CN106304061B - 一种故障弱化状态下的用户鉴权方法 - Google Patents
一种故障弱化状态下的用户鉴权方法 Download PDFInfo
- Publication number
- CN106304061B CN106304061B CN201510272557.5A CN201510272557A CN106304061B CN 106304061 B CN106304061 B CN 106304061B CN 201510272557 A CN201510272557 A CN 201510272557A CN 106304061 B CN106304061 B CN 106304061B
- Authority
- CN
- China
- Prior art keywords
- authentication
- auth
- terminal
- base station
- omc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本申请公开了一种故障弱化状态下的用户鉴权方法,包括:基站接收OMC配置给自身的故障弱化状态下对所有终端统一的鉴权密钥KAUTH,并加密保存在所述基站中;终端接收所述OMC发来的配置给所述基站的KAUTH,将其作为软SIM卡的K值进行加密保存;在故障弱化状态下,基站和终端之间利用保存的KAUTH进行双向鉴权。应用本申请,能够简单方便地实现故障弱化状态下的用户鉴权,并保证系统的安全性。
Description
技术领域
本申请涉及通信系统中的鉴权技术,特别涉及一种故障弱化状态下的用户鉴权方法。
背景技术
目前基于LTE的集群通信架构中,由于各种原因可能导致基站与核心网间连接中断,这种状态称为故障弱化状态。由于故障弱化状态下,基站与核心网间无法通信,因此没有对用户进行双向鉴权,空口的信令和数据也没有加密,存在不安全的隐患。
针对故障弱化状态下无法对用户进行双向鉴权的问题,有些解决方案是在基站中保存特定用户的签约数据:一种方式是静态配置一些用户,在弱化时只允许这些用户访问;另一种方式是基站在网络正常时对服务的终端从正常核心网的HSS获取它的签约数据,包括鉴权密钥,在基站缓存。
但是上述两种解决故障弱化状态下用户双向鉴权问题的方式都存在相应的问题:1)在基站中保存特定用户的签约数据属于静态配置方式,这种方式下,由于基站容量有限,只能保存少量用户,而且维护复杂、麻烦;2)在网络正常时获取HSS中的用户签约数据属于动态获取方式,这种方式网络交互复杂,而且会破坏原来3GPP的安全架构,USIM卡中鉴权密钥K会离开鉴权中心,有泄露的风险。
发明内容
本申请提供一种故障弱化状态下的用户鉴权方法,能够简单、方便地实现鉴权,同时保障系统的安全性。
为实现上述目的,本申请采用如下的技术方案:
一种故障弱化状态下的用户鉴权方法,包括:
基站接收OMC配置给自身的故障弱化状态下对所有终端统一的鉴权密钥KAUTH,并加密保存在所述基站中;
终端接收所述OMC发来的配置给所述基站的KAUTH,将其作为软SIM卡的K值进行加密保存;
在故障弱化状态下,基站和终端之间利用保存的KAUTH进行双向鉴权。
较佳地,所述终端接收所述OMC发来的所述KAUTH包括:所述OMC通过OTA方式下发所述KAUTH,所述终端接收OMC中的OTA密钥服务器发来的所述KAUTH。
较佳地,所述OMC通过OTA方式下发所述KAUTH包括:
所述终端登录所述OMC中的OTA密钥服务器,所述OTA密钥服务器对所述终端进行合法性验证通过后,利用OTA通道向所述终端下发所述KAUTH。
较佳地,所述基站和终端之间利用所述KAUTH进行双向鉴权包括:
在所述故障弱化状态下,所述基站启用所述KAUTH,并在所述基站内嵌核心网的HSS模块内仅启用鉴权功能,对每个从所述内嵌核心网MME模块发来的鉴权请求,不检测IMSI是否开卡,都为其计算鉴权向量,所述HSS模块不维护所述终端的安全上下文,为所有终端公用统一的SQN,并在每次鉴权之后将所述SQN加1;其中,计算鉴权向量时AMF取16进制数8000,RAND在每次鉴权时申请重新生成,OP取全零,SQN初始值取0;
所述终端在故障单站模式下启用所述KAUTH,将其作为软SIM卡的K值进行密钥推导和鉴权处理,在所述鉴权处理过程中,不对所述SQN的范围合法性进行校验,不进行重鉴权过程;其中,进行鉴权时OP取全零。
较佳地,当所述KAUTH进行更新时,所述OMC为所述基站配置更新后的KAUTH,所述OMC中的OTA密钥服务器通过PUSH方式通知终端,终端通过OTA方式获取。
较佳地,在故障弱化状态下,基站和终端之间完成鉴权和密钥协商过程后,建立各自的安全上下文,进行空口NAS、RRC信令的加密和完整性保护,完成空口用户面的加密。
由上述技术方案可见,本申请中,OMC为基站配置故障弱化状态下对所有终端统一的鉴权密钥KAUTH,并加密保存在基站中;该OMC也将配置给基站的KAUTH发送给终端,终端将其作为软SIM卡的K值进行加密保存;在故障弱化状态下,基站和终端之间利用保存的KAUTH进行双向鉴权。通过上述方式,OMC为基站配置鉴权密钥KAUTH,基站对所有终端采用统一的KAUTH进行鉴权,一方面可以简单方便地实现双向鉴权,另一方面由于不需要获取HSS中的鉴权密钥,而保障了系统的安全性。
附图说明
图1为本申请中用户鉴权方法的基本流程示意图;
图2为终端和网络侧计算鉴权相关参数的简化过程;
图3为基站内鉴权向量的计算过程示意图;
图4为终端内鉴权向量的计算过程示意图。
具体实施方式
为了使本申请的目的、技术手段和优点更加清楚明白,以下结合附图对本申请做进一步详细说明。
为了在故障弱化状态下支持鉴权和空口加密,就需要终端和弱化的基站拥有鉴权密钥。但是由于基站与核心网间的连接已中断,因此基站不能再使用核心网的HSS进行用户的鉴权。基于此,本申请中为所有终端统一配置一个鉴权密钥,与基站设置的鉴权密钥在基站处于故障弱化状态时,以该鉴权密钥完成双向鉴权过程,并建立安全上下文,进行空口信令和数据的加密。若没有获得该鉴权密钥的终端,在故障弱化下无法接入基站,不能获得网络的服务。统一配置的鉴权密钥长度为128bit,和用户开卡时的USIM卡内存储的K值长度一致。
下面对本申请中的用户鉴权方法进行详细描述。图1为本申请中用户鉴权方法的基本流程示意图。如图1所示,该方法包括:
步骤101,基站接收OMC配置给自身的故障弱化状态下对所有终端统一的鉴权密钥KAUTH,并加密保存在基站中。
其中,系统中的OMC为基站配置鉴权密钥KAUTH,且对所有终端共用该密钥KAUTH。具体地,鉴权密钥KAUTH由OMC对基站内的内置核心网进行统一的配置,鉴权密钥在内置核心网进行加密存储。
步骤102,终端接收OMC发来的配置给基站的KAUTH,将其作为软SIM卡的K值进行加密保存。
其中,OMC将配置给基站的KAUTH下发给终端。优选地,为保证安全性,采用OTA的方式下发。具体地,终端登录OMC中的OTA密钥服务器,OTA密钥服务器对终端进行合法性验证,并在验证通过后,利用OTA通道向终端下发KAUTH。这里,KAUTH下发的传输安全性由OTA通道的HTTPS协议的安全性保证。终端收到密钥KAUTH后,将其作为软SIM卡的K值加密保存,在故障弱化时激活使用。
步骤103,在故障弱化状态下,基站和终端之间利用保存的KAUTH进行双向鉴权。
当终端处于故障单站模式下,终端启用KAUTH,把它作为软SIM卡的K值进行鉴权流程和密钥推导。网络侧也是一样,只不过每个用户的K值都相同。终端和网络侧计算鉴权相关参数的简化过程如图2所示。
在终端和基站激活KAUTH进行双向鉴权的过程中,基站内置HSS认证中心采用统一的SQN值,并在每次鉴权后加1;终端在鉴权过程中不对SQN值的范围进行校验,避免反复的SQN同步带来的重鉴权权问题。
具体地,基站和终端间进行的双向鉴权包括:
1)在基站内嵌核心网的HSS模块内,只启用鉴权功能。基站内嵌核心网的MME模块和HSS模块之间需要进行鉴权流程。由于HSS模块内没有保存任何用户的开卡开户信息,对每一个从MME模块发过来的鉴权请求,不检查IMSI是否开卡,都为其计算鉴权向量。具体鉴权向量的计算过程和3GPP标准一致,如图3所示。其中,各参数取值如下:
AMF:取8000(16进制);
RAND:随机数,每一鉴权申请重新生成;
OP:取全零,终端的OP值也需取全零进行计算;
SQN:初始值取0。
基站中内嵌核心网的HSS模块不维护每个用户的安全上下文,没有单个用户专用的SQN值,终端公用的SQN在每次鉴权之后加1。
2)当终端处于故障单站模式下,终端启用KAUTH,把它作为软SIM卡的K值进行鉴权流程和密钥推导。具体鉴权向量的计算过程如图4所示。其中,终端在故障弱化模式下,OP值取全零,不对SQN的范围合法性进行校验,没有重鉴权过程。鉴权通过后,加密算法的配置和协商与正常网络一致。
至此,本申请中的用户鉴权方法流程结束。
终端和弱化基站的鉴权和密钥协商过程完成之后,优选地,还可以进一步建立起各自的安全上下文,完成空口NAS、RRC信令的加密和完整性保护,完成空口用户面的加密,保证通信的安全性。
另外,在故障弱化状态下,还可能发生KAUTH的更新。当KAUTH更新时,OMC中的OTA密钥服务器需要通过PUSH方式通知终端,终端再通过OTA的方式获取更新后的KAUTH;OMC也需要为基站及时配置更新后的KAUTH,保证故障弱化发生时,终端和基站之间的双向认证能够顺利完成。
上述即为本申请中故障弱化状态下的用户鉴权方法,通过该方法,可以弥补故障弱化下终端和基站无法鉴权的问题,保证终端和基站通信的安全性;同时,在弱化基站内无需为每个用户配置签约数据,也无需从正常核心网的HSS获取该基站所服务的终端的签约数据,而是采用公共的鉴权密钥完成鉴权过程,简化了系统的复杂度,保证系统的安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (5)
1.一种故障弱化状态下的用户鉴权方法,其特征在于,包括:
基站接收OMC配置给自身的故障弱化状态下对所有终端统一的鉴权密钥KAUTH,并加密保存在所述基站中;
终端接收所述OMC发来的配置给所述基站的KAUTH,将其作为软SIM卡的K值进行加密保存;
在故障弱化状态下,基站和终端之间利用保存的KAUTH进行双向鉴权,并在双向鉴权时基站和终端均将OP取全零;
所述基站和终端之间利用所述KAUTH进行双向鉴权包括:
在所述故障弱化状态下,所述基站启用所述KAUTH,并在所述基站内嵌核心网的HSS模块内仅启用鉴权功能,对每个从所述内嵌核心网MME模块发来的鉴权请求,不检测IMSI是否开卡,都为其计算鉴权向量,所述HSS模块不维护所述终端的安全上下文,为所有终端公用统一的SQN,并在每次鉴权之后将所述SQN加1;其中,计算鉴权向量时AMF取16进制数8000,RAND在每次鉴权时申请重新生成,SQN初始值取0;
所述终端在故障单站模式下启用所述KAUTH,将其作为软SIM卡的K值进行密钥推导和鉴权处理,在所述鉴权处理过程中,不对所述SQN的范围合法性进行校验,不进行重鉴权过程。
2.根据权利要求1所述的方法,其特征在于,所述终端接收所述OMC发来的所述KAUTH包括:所述OMC通过OTA方式下发所述KAUTH,所述终端接收OMC中的OTA密钥服务器发来的所述KAUTH。
3.根据权利要求2所述的方法,其特征在于,所述OMC通过OTA方式下发所述KAUTH包括:
所述终端登录所述OMC中的OTA密钥服务器,所述OTA密钥服务器对所述终端进行合法性验证通过后,利用OTA通道向所述终端下发所述KAUTH。
4.根据权利要求1到3中任一所述的方法,其特征在于,当所述KAUTH进行更新时,所述OMC为所述基站配置更新后的KAUTH,所述OMC中的OTA密钥服务器通过PUSH方式通知终端,终端通过OTA方式获取。
5.根据权利要求1到3中任一所述的方法,其特征在于,在故障弱化状态下,基站和终端之间完成鉴权和密钥协商过程后,建立各自的安全上下文,进行空口NAS、RRC信令的加密和完整性保护,完成空口用户面的加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510272557.5A CN106304061B (zh) | 2015-05-26 | 2015-05-26 | 一种故障弱化状态下的用户鉴权方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510272557.5A CN106304061B (zh) | 2015-05-26 | 2015-05-26 | 一种故障弱化状态下的用户鉴权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106304061A CN106304061A (zh) | 2017-01-04 |
| CN106304061B true CN106304061B (zh) | 2020-01-10 |
Family
ID=57635229
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510272557.5A Active CN106304061B (zh) | 2015-05-26 | 2015-05-26 | 一种故障弱化状态下的用户鉴权方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106304061B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107896370B (zh) * | 2017-12-27 | 2020-12-18 | 海能达通信股份有限公司 | 一种故障弱化模式下接入网络的方法、装置 |
| CN109587687A (zh) * | 2018-12-04 | 2019-04-05 | 西安佰才邦网络技术有限公司 | 基站侧设备及其组网方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1630405A (zh) * | 2003-12-18 | 2005-06-22 | 中国电子科技集团公司第三十研究所 | 数字蜂窝移动通信系统用户切换时的双向鉴别方法 |
| CN101163003A (zh) * | 2006-10-12 | 2008-04-16 | 北京三星通信技术研究有限公司 | Sim卡使用umts终端和umts系统时终端认证网络的系统和方法 |
| CN101192921A (zh) * | 2006-11-23 | 2008-06-04 | 中兴通讯股份有限公司 | 共享密钥管理装置 |
| CN104349315A (zh) * | 2013-07-31 | 2015-02-11 | 普天信息技术研究院有限公司 | 一种保障基站与用户设备信息安全的方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769850B (zh) * | 2012-04-16 | 2015-10-28 | 中兴通讯股份有限公司 | 单卡多模多运营商鉴权方法及装置 |
-
2015
- 2015-05-26 CN CN201510272557.5A patent/CN106304061B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1630405A (zh) * | 2003-12-18 | 2005-06-22 | 中国电子科技集团公司第三十研究所 | 数字蜂窝移动通信系统用户切换时的双向鉴别方法 |
| CN101163003A (zh) * | 2006-10-12 | 2008-04-16 | 北京三星通信技术研究有限公司 | Sim卡使用umts终端和umts系统时终端认证网络的系统和方法 |
| CN101192921A (zh) * | 2006-11-23 | 2008-06-04 | 中兴通讯股份有限公司 | 共享密钥管理装置 |
| CN104349315A (zh) * | 2013-07-31 | 2015-02-11 | 普天信息技术研究院有限公司 | 一种保障基站与用户设备信息安全的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106304061A (zh) | 2017-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| US8713320B2 (en) | Security authentication method, apparatus, and system | |
| KR102112542B1 (ko) | 디피 헬먼(Diffie-Hellman) 절차를 이용한 세션 키 생성 방법 및 시스템 | |
| CN110192381B (zh) | 密钥的传输方法及设备 | |
| CN107005927B (zh) | 用户设备ue的接入方法、设备及系统 | |
| EP2296392A1 (en) | Authentication method, re-certification method and communication device | |
| JP6757845B2 (ja) | 秘密識別子を使用するユーザ機器に関連した動作 | |
| US11159940B2 (en) | Method for mutual authentication between user equipment and a communication network | |
| AU2020200523B2 (en) | Methods and arrangements for authenticating a communication device | |
| CN105323754B (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
| CN109788480B (zh) | 一种通信方法及装置 | |
| CN105828332A (zh) | 一种无线局域网认证机制的改进方法 | |
| CN109496412A (zh) | 使用隐私识别码的验证 | |
| CN107026823A (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
| CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
| CN109561431B (zh) | 基于多口令身份鉴别的wlan接入访问控制系统及方法 | |
| CN107888376B (zh) | 基于量子通信网络的nfc认证系统 | |
| CN106304061B (zh) | 一种故障弱化状态下的用户鉴权方法 | |
| CN107786978B (zh) | 基于量子加密的nfc认证系统 | |
| CN102905267B (zh) | Me标识鉴权、安全模式控制方法及装置 | |
| CN112235799B (zh) | 终端设备入网鉴权方法及系统 | |
| KR20140030518A (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
| CN109818903B (zh) | 数据传输方法、系统、装置和计算机可读存储介质 | |
| CN1968096B (zh) | 一种同步流程优化方法和系统 | |
| CN112400335A (zh) | 用于执行数据完整性保护的方法和计算设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |