CN108337661A - 基于票据的lte-r车-地通信接入层切换认证方法 - Google Patents

基于票据的lte-r车-地通信接入层切换认证方法 Download PDF

Info

Publication number
CN108337661A
CN108337661A CN201810006672.1A CN201810006672A CN108337661A CN 108337661 A CN108337661 A CN 108337661A CN 201810006672 A CN201810006672 A CN 201810006672A CN 108337661 A CN108337661 A CN 108337661A
Authority
CN
China
Prior art keywords
target
base station
key
parameter
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810006672.1A
Other languages
English (en)
Other versions
CN108337661B (zh
Inventor
王小敏
王宇
张文芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southwest Jiaotong University
Original Assignee
Southwest Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southwest Jiaotong University filed Critical Southwest Jiaotong University
Priority to CN201810006672.1A priority Critical patent/CN108337661B/zh
Publication of CN108337661A publication Critical patent/CN108337661A/zh
Application granted granted Critical
Publication of CN108337661B publication Critical patent/CN108337661B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种基于票据的LTE‑R车‑地通信接入层切换认证方法,其步骤主要是:A、申请票据:车载移动单元申请并保存目标票据和目标基站票据;B、X2接口切换认证:车载移动单元利用目标基站票据与目标基站安全高效的完成认证及密钥协商过程,实现跨基站的快速切换,避免了源基站的参与;C、S1接口切换认证:车载移动单元利用目标票据与目标移动管理实体安全高效的完成认证过程,并在其帮助下与目标基站完成认证及密钥协商过程,避免了源移动管理实体和源基站的参与,可快速实现跨移动管理实体切换;该方法有效实现LTE‑R系统中车地无线通信安全实时的接入层切换认证,在保证安全性的基础上,提高了切换认证效率。

Description

基于票据的LTE-R车-地通信接入层切换认证方法
技术领域
本发明涉及一种铁路系统的无线通信接入层的切换认证方法,尤其涉及一种基于票据的LTE-R车-地通信接入层切换认证方法。
背景技术
2009年国际铁路联盟UIC(International Union of Railways)已明确采用LTE-R(Long Term Evolution for Railway)作为新一代铁路系统的无线通信技术。LTE-R沿用了SAE/LTE的基本结构,采用全IP的扁平化网络构架,具有高数据传输率、低接入延迟和多网兼容的特点,但也继承了Internet网固有的安全缺陷,并且过渡阶段多网共存,无线接口以及核心网段都具有前所未有的开放性,这些都为LTE-R系统带来了更多的安全挑战。
在LTE-R系统中与接入层认证相关的实体主要包括车载移动单元、移动管理实体和基站,其中车载移动单元内安装有全球用户识别卡。当车载移动单元接入的源基站和拟接入的目标基站归同一移动管理实体管辖,则两基站间存在X2接口,可实现车载移动单元的认证信息在两基站间的传输;当当车载移动单元接入的源基站和拟接入的目标基站不归同一移动管理实体管辖,则认证信息通过源基站与其归属的源移动管理实体间的S1接口传输,随后源移动管理实体将认证信息传输至目标移动管理实体,最后,目标移动管理实体再通过S1接口传输至目标基站。LTE-R系统接入层切换认证主要包括接入层S1接口切换认证和接入层X2接口切换认证。接入层S1接口切换认证发生在分属不同移动管理实体管辖的基站之间切换时,主要完成车载移动单元与目标移动管理实体,车载移动单元与目标基站的信任建立。接入层X2接口切换认证发生在车载移动单元在同属某移动管理实体管辖的基站之间切换时,主要完成车载移动单元与目标基站的信任建立。
LTE接入层切换认证的标准方法(协议)主要采用哈希链技术,完全基于对称密码体制,其计算复杂度虽然较低,但信息交互次数较多,通信时延较高。并且,由于哈希函数的单向性,其当前会话密钥泄漏后,会导致下轮会话密钥同样泄漏,也即,其会话密钥缺少后向安全性。此外,基站和车载移动单元在认证过程中传输的同步参数未进行机密性保护,易被篡改,因此,难以抵抗去同步攻击;最后,由于其各信息报文缺乏时戳保护新鲜性,因此,易遭受重放攻击。
发明内容
本发明的目的就是提供一种基于票据的LTE-R车-地通信接入层切换认证方法,用该方法进行车-地通信接入层切换认证,能有效提高切换认证的安全性。
本发明实现其发明目的所采用的技术方案是,一种基于票据的LTE-R车-地通信接入层切换认证方法,其步骤是:
A、申请票据
车载移动单元启动后,首先通过源基站的转发,完成非接入层初始认证,与源移动管理实体完成认证,并共享主密钥KASME
源移动管理实体利用主密钥KASME生成目标主密钥TKASME;随后选取一随机数作为目标本地参数TNM,再利用与目标移动管理实体共享的密钥KM-M加密目标主密钥TKASME和目标本地参数TNM,生成目标票据TSTM;随后将目标主密钥TKASME、目标本地参数TNM和目标票据TSTM串联,组成目标S1接口切换信息;源移动管理实体利用主密钥KASME为基站生成目标基站密钥TKe、目标基站参数TNe;再利用与源基站共享的密钥Ke-M对目标基站密钥TKe、目标基站参数TNe加密生成密文INF;源移动管理实体将密文INF连同目标S1接口切换信息传输给源基站;源基站判断与目标基站是否存在X2接口:
若不存在,表明目标基站不属于源移动管理实体管辖,而属于目标移动管理实体管辖,则源基站将S1接口切换信息发送给车载移动单元保存,执行步骤C;
若存在,表明目标基站属于源移动管理实体管辖,则源基站首先利用与源移动管理实体共享的密钥Ke-M解密密文INF,获得目标基站密钥TKe、目标基站参数TNe;随后,再利用目标基站与源基站共享的密钥Ke-e加密目标基站密钥TKe、目标基站参数TNe,生成目标基站票据TSTe;并将目标基站密钥TKe、目标基站参数TNe和目标基站票据TSTe串联,组成目标X2接口切换信息;最后将所述的目标S1接口切换信息和目标X2接口切换信息发送给车载移动单元保存,执行步骤B;
B、X2接口切换认证
B1、当车载移动单元移动到源基站和目标基站切换点时,车载移动单元从保存的目标X2接口切换信息中,提取出目标基站密钥TKe、目标基站参数TNe和目标基站票据TSTe;随后,选取一随机数作为终端参数NO,并生成时戳一T1;再利用目标基站密钥TKe、终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE,随后利用认证密钥KA、目标基站参数TNe生成包含终端参数NO和时戳一T1的终端认证信息RES;最后,向目标基站发终端认证信息RES和目标基站票据TSTe
B2、目标基站利用其与源基站共享的密钥Ke-e,解密收到的目标基站票据TSTe,获得目标基站密钥TKe、目标基站参数TNe;随后,利用目标基站密钥TKe、收到的终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE;最后,目标基站利用认证密钥KA对车载移动单元进行身份合法性认证;若认证未通过,则执行步骤D;若认证通过,则生成时戳二T2,并利用认证密钥KA、目标基站密钥TKe生成包含时戳二T2的基站认证信息MAC;
目标基站检测与前方基站站间是否存在X2接口;若不存在,则将基站认证信息MAC传送给车载移动单元;若存在,则选取一随机数作为前方基站参数FNe,利用目标基站密钥TKe、前方基站身份IDFe、前方基站参数FNe,通过哈希运算,生成前方基站密钥FKe;再利用目标基站与前方基站共享的密钥Ke-e对前方基站密钥FKe、前方基站参数FNe、前方基站身份IDFe、目标基站身份IDe、基站票据有效期LTe加密生成前方基站票据FSTe;再利用加密密钥KE对将前方基站身份IDFe、目标基站身份IDe、前方基站参数FNe、前方基站密钥FKe和前方基站票据有效期LTe进行加密,生成前方基站切换信息ST_INFFe;最后,将所述的基站认证信息MAC、前方基站票据FSTe和前方基站切换信息ST_INFFe发送给车载移动单元;
B3、车载移动单元利用认证密钥KA对目标基站进行身份合法性认证;若认证未通过,则执行步骤D;若认证通过,则判断是否收到前方基站票据FSTe和前方基站切换信息ST_INFFe
若未收到,则完成X2接口切换认证,车载移动单元接入目标基站,随即目标基站变为源基站,前方基站变为目标基站,执行步骤C;
若收到,则利用加密密钥KE解密收到的前方基站切换信息ST_INFFe得到前方基站密钥FKe和前方基站参数FNe,再将前方基站密钥FKe、前方基站参数FNe和前方基站票据FSTe组成前方X2接口切换信息,完成X2接口切换认证,车载移动单元接入目标基站;随即,目标基站变为源基站,前方基站变为目标基站,并用前方X2接口切换信息置换目标X2接口切换信息并保存,执行步骤B1;
C、S1接口切换认证
C1、当车载移动单元移动到源基站和目标基站切换点时,则首先从目标S1接口切换信息中提取出:目标主密钥TKASME、目标本地参数TNM和目标票据TSTM;随后,选取一随机数更新终端参数NO,同时更新生成时戳一T1;然后,生成目标主密钥TKASME、目标本地参数TNM、终端参数NO和时戳一T1的消息认证码,再与终端参数NO和时戳一T1串联,生成S1终端认证信息MACO;最后,将S1终端认证信息MACO和目标票据TSTM发送至目标基站;
C2、目标基站将收到的信息转发至目标移动管理实体;
C3、目标移动管理实体首先利用同源移动管理实体共享的密钥KM-M解密收到的目标票据TSTM,得到目标主密钥TKASME和目标本地参数TNM;随后利用目标主密钥TKASME、目标本地参数TNM、终端参数NO和时戳一T1对收到的S1终端认证信息MACO的合法性进行认证;若认证未通过,则执行步骤D;若认证通过,则选取一随机数作为前方本地参数FNM,再选取一随机数更新目标基站参数TNe,同时更新生成时戳二T2,利用目标主密钥TKASME、前方移动管理实体的身份IDFM、前方本地参数FNM,通过哈希运算,生成前方主密钥FKASME,再利用与前方移动管理实体共享的密钥KM-M加密前方主密钥FKASME和前方本地参数FNM、前方移动管理实体的身份IDFM、目标移动管理实体的身份IDM,票据的有效期LTM生成前方票据FSTM;并利用目标主密钥TKASME对前方主密钥FKASME、前方本地参数FNM、目标基站参数TNe进行加密保护,生成前方切换信息ST_INFFM;随后,利用目标主密钥TKASME、目标基站身份IDe、目标基站参数TNe更新生成目标基站密钥TKe,并利用目标移动管理实体与目标基站间的共享密钥Ke-M对目标基站密钥TKe、目标基站参数TNe和目标基站身份IDe加密,更新生成密文INF,再生成目标主密钥TKASME、目标基站参数TNe、终端参数NO和时戳二T2的消息认证码,并与时戳二T2串联,生成S1本地认证信息MACM;最后将S1本地认证信息MACM、前方切换信息ST_INFFM、前方票据FSTM、密文INF发送给目标基站;
C4、目标基站利用其与目标移动管理实体间共享的密钥Ke-M解密收到的密文INF,获得目标基站密钥TKe和目标基站参数TNe,再更新生成时戳三T3,并利用目标基站密钥TKe、收到的终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE;随后生成认证密钥KA、目标基站参数TNe和收到的终端参数NO和时戳三T3的消息认证码,并与时戳三T3串联,生成S1基站认证信息MACe;随后检测与前方基站间是否存在X2接口;
若不存在,表明前方基站不属于目标移动管理实体管辖,而属于前方移动管理实体管辖;则发送S1本地认证信息MACM、S1基站认证信息MACe、前方切换信息ST_INFFM、前方票据FSTM给车载移动单元;
若存在,表明前方基站属于目标移动管理实体管辖;则选取一随机数更新为前方基站参数FNe,利用目标基站密钥TKe、前方基站身份IDFe和目标基站参数TNe,通过SHA2哈希运算,更新生成前方基站密钥FKe,再利用目标基站与前方基站共享的密钥Ke-e对前方基站密钥FKe、前方基站参数FNe加密更新生成前方基站票据FSTe;随后,利用加密密钥KE对前方基站密钥FKe、前方基站参数FNe进行加密,更新生成前方基站切换信息ST_INFFe;最后,将S1本地认证信息MACM、S1基站认证信息MACe、前方切换信息ST_INFFM、前方票据FSTM、前方基站票据FSTe、前方基站切换信息ST_INFFe发送给车载移动单元;
C5、车载移动单元利用目标主密钥TKASME、目标基站参数TNe、终端参数NO和时戳二T2对收到的S1本地认证信息MACM进行验证;若不通过,则执行步骤D;若通过,则利用目标主密钥TKASME解密收到的前方切换信息ST_INFFM,获得前方主密钥FKASME、前方本地参数FNM、目标基站参数TNe;再将前方票据FSTM、前方主密钥FKASME、前方本地参数FNM更新组成前方S1切换信息;随后,利用目标主密钥TKASME、前方基站身份IDFe和目标基站参数TNe,通过哈希运算,更新生成目标基站密钥TKe,并利用目标基站密钥TKe、终端参数NO和目标基站参数TNe更新生成认证密钥KA和加密密钥KE;最后,利用认证密钥KA、目标基站参数TNe、终端参数NO和时戳三T3对S1基站认证信息MACe进行验证;若不通过,则执行步骤D;若通过,则判断是否收到前方基站票据FSTe、前方基站切换信息ST_INFFe
若未收到,则完成S1接口切换认证,车载移动单元接入目标基站;随即,目标基站变为源基站,前方基站变为目标基站,目标移动管理实体变为源移动管理实体,前方移动管理实体变为目标移动管理实体,用前方S1接口切换信息置换目标S1接口切换信息并保存,执行步骤C1;
若收到,则利用加密密钥KE解密前方基站切换信息ST_INFFe,获得前方基站密钥FKe、前方基站参数FNe;用前方基站票据FSTe、前方基站密钥FKe、前方基站参数FNe更新组成前方X2接口切换信息,完成S1接口切换认证,车载移动单元接入目标基站;随即目标基站变为源基站,前方基站变为目标基站,目标移动管理实体变为源移动管理实体,前方移动管理实体变为目标移动管理实体,并用前方X2接口切换信息置换目标X2接口切换信息并保存,用前方S1接口切换信息置换目标S1接口切换信息并保存,执行步骤B;
D、认证失败,中止认证。
与现有技术相比,本发明的有益效果是:
一、现有的方法每次切换认证时均需要源移动管理实体和源基站将基站密钥和主密钥传输至目标移动管理实体和目标基站。本发明初始阶段通过申请票据操作,将基站密钥和主密钥提前存储于加密的票据之中,并保存在车载移动单元;当以后需要进行切换认证时,车载移动单元仅需提供加密的票据给目标基站及目标移动管理实体,即可完成切换认证。本发明避免了切换认证过程源移动管理实体和源基站的参与,将X2接口切换认证信息交互次数有现有方法的7次降低为本发明的2次,将S1接口切换认证信息交互次数有现有方法的9次降低为本发明的4次,降低了认证过程复杂度与通信时延,有效提高了认证效率。
二、针对现有方法存在的难以抵抗同步攻击、重放攻击和中间人攻击的问题,本发明方法引入票据和消息认证码,通过票据在车载移动单元与移动管理实体或基站间快速安全的完成密钥的共享,利用包含该密钥的消息认证码,如终端认证信息RES、基站认证信息MAC等,实现了实体间双向身份认证,避免了中间人攻击;同时取消了同步参数,避免了去同步攻击;各主要步骤生成的报文皆由包含时戳的消息认证码进行保护,有效抵抗了重放攻击;因此,本发明方法有效提高了认证的安全性。
三、不同于引入基于单秘密参数的哈希链技术的现有技术,本发明方法引入了基于多秘密参数的哈希链技术,如步骤B2和步骤C3中前方基站密钥的生成包含两个秘密参数,分别为前方基站参数FNe和目标基站密钥TKe,即使目标基站密钥TKe泄漏,攻击者也会因缺少前方基站参数FNe而无法计算前方基站密钥FKe。因此,本发明实现了基站密钥的后向安全性,避免了当前会话密钥泄漏后对于后续密钥的影响。此外,计算的前方基站票据FSTe中包含生成者和接受者的身份,可有效避免前方基站票据FSTe的滥用,提高了认证的安全性。
进一步,本发明的步骤B1中,利用目标基站密钥TKe、终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE的具体方法是:
将终端参数NO、目标基站参数TNe、目标基站密钥TKe串联,再进行MD5哈希运算即生成认证密钥KA,KA=h1(NO||TNe||TKe);
将终端参数NO、目标基站参数TNe、目标基站密钥TKe串联,再进行SHA1哈希运算即生成加密密钥KE,KE=h2(NO||TNe||TKe);
其中h1(■)、h2(■)分别代表SHA1哈希运算和SHA2哈希运算,‖表示字符串联运算;
进一步,本发明的步骤B1中利用认证密钥KA、目标基站参数TNe生成包含终端参数NO和时戳一T1的终端认证信息RES的具体方法是:
将终端参数NO、目标基站参数TNe和时戳一T1串联,通过密钥为认证密钥KA的消息认证码运算,得到终端认证码M1,M1=H(NO||TNe||T1,KA),其中H(■,KA)代表密钥为认证密钥KA的消息认证码运算;再将终端认证码M1与终端参数NO、时戳一T1串联,即生成终端认证消息RES,RES=NO||T1||M1
进一步,本发明的步骤B2中,目标基站利用认证密钥KA对车载移动单元进行身份合法性认证的具体操作是:
将收到的终端参数NO、解密得到的目标基站参数TNe和收到的时戳一T1串联,通过密钥为认证密钥KA的消息认证码运算,得到终端待认证码M’,M’=H(NO||TNe||T1,KA),再将终端待认证码M’与终端参数NO、时戳一T1串联得到终端待认证消息RES′,如终端待认证消息RES′与收到的终端认证消息RES相等,则验证通过;否则,验证不通过;
进一步,本发明的步骤B2中,利用认证密钥KA、目标基站参数TNe生成包含时戳二T2的基站认证信息MAC的具体操作是:
将终端参数NO、目标基站参数TNe和时戳二T2串联,通过密钥为认证密钥KA的消息认证码运算,得到基站认证码M2,M2=H(NO||TNe||T2,KA);再将基站认证码M2与时戳二T2串联,即生成基站认证信息MAC,MAC=T2||M2
进一步,本发明的步骤B3中,车载移动单元利用认证密钥KA对目标基站进行身份合法性认证的具体操作是:
将终端参数NO、目标基站参数TNe和收到的时戳二T2串联,通过密钥为认证密钥KA的消息认证码运算,得到基站待认证码M2’,M2’=H(NO||TNe||T2,KA),再将站待认证码M2’与时戳二T2串联得到终端待认证消息MAC′,如基站待认证消息MAC′与收到的基站认证消息MAC相等,则验证通过;否则,验证不通过;
现有方法中未对明文发送的信息进行完整性保护,且缺乏时戳,易被攻击者截获而发起信息重放。而本发明的上述操作利用带有时戳的消息认证码,实现对了关键数据如终端参数NO的完整性与新鲜性保护,有效提高了认证的安全性。
下面结合具体实施方式对本发明作进一步的详细说明。
具体实施方式
实施例
本发明的一种具体实施方式是,一种基于票据的LTE-R车-地通信接入层切换认证方法,其步骤是:
A、申请票据
车载移动单元启动后,首先通过源基站的转发,完成非接入层初始认证,与源移动管理实体完成认证,并共享主密钥KASME
源移动管理实体利用主密钥KASME生成目标主密钥TKASME;随后选取一随机数作为目标本地参数TNM,再利用与目标移动管理实体共享的密钥KM-M加密目标主密钥TKASME和目标本地参数TNM,生成目标票据TSTM;随后将目标主密钥TKASME、目标本地参数TNM和目标票据TSTM串联,组成目标S1接口切换信息;源移动管理实体利用主密钥KASME为基站生成目标基站密钥TKe、目标基站参数TNe;再利用与源基站共享的密钥Ke-M对目标基站密钥TKe、目标基站参数TNe加密生成密文INF;源移动管理实体将密文INF连同目标S1接口切换信息传输给源基站;源基站判断与目标基站是否存在X2接口:
若不存在,表明目标基站不属于源移动管理实体管辖,而属于目标移动管理实体管辖,则源基站将S1接口切换信息发送给车载移动单元保存,执行步骤C;
若存在,表明目标基站属于源移动管理实体管辖,则源基站首先利用与源移动管理实体共享的密钥Ke-M解密密文INF,获得目标基站密钥TKe、目标基站参数TNe;随后,再利用目标基站与源基站共享的密钥Ke-e加密目标基站密钥TKe、目标基站参数TNe,生成目标基站票据TSTe;并将目标基站密钥TKe、目标基站参数TNe和目标基站票据TSTe串联,组成目标X2接口切换信息;最后将所述的目标S1接口切换信息和目标X2接口切换信息发送给车载移动单元保存,执行步骤B;
B、X2接口切换认证
B1、当车载移动单元移动到源基站和目标基站切换点时,车载移动单元从保存的目标X2接口切换信息中,提取出目标基站密钥TKe、目标基站参数TNe和目标基站票据TSTe;随后,选取一随机数作为终端参数NO,并生成时戳一T1;再利用目标基站密钥TKe、终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE,随后利用认证密钥KA、目标基站参数TNe生成包含终端参数NO和时戳一T1的终端认证信息RES;最后,向目标基站发终端认证信息RES和目标基站票据TSTe
本例中,利用目标基站密钥TKe、终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE的具体方法是:
将终端参数NO、目标基站参数TNe、目标基站密钥TKe串联,再进行MD5哈希运算即生成认证密钥KA,KA=h1(NO||TNe||TKe);
将终端参数NO、目标基站参数TNe、目标基站密钥TKe串联,再进行SHA1哈希运算即生成加密密钥KE,KE=h2(NO||TNe||TKe);
其中h1(■)、h2(■)分别代表MD5哈希运算和SHA1哈希运算,‖表示字符串联运算;
本例中,利用认证密钥KA、目标基站参数TNe生成包含终端参数NO和时戳一T1的终端认证信息RES的具体方法是:
将终端参数NO、目标基站参数TNe和时戳一T1串联,通过密钥为认证密钥KA的消息认证码运算,得到终端认证码M1,M1=H(NO||TNe||T1,KA),其中H(■,KA)代表密钥为认证密钥KA的消息认证码运算;再将终端认证码M1与终端参数NO、时戳一T1串联,即生成终端认证消息RES,RES=NO||T1||M1
B2、目标基站利用其与源基站共享的密钥Ke-e,解密收到的目标基站票据TSTe,获得目标基站密钥TKe、目标基站参数TNe;随后,利用目标基站密钥TKe、收到的终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE;最后,目标基站利用认证密钥KA对车载移动单元进行身份合法性认证;若认证未通过,则执行步骤D;若认证通过,则生成时戳二T2,并利用认证密钥KA、目标基站密钥TKe生成包含时戳二T2的基站认证信息MAC;
本例中,目标基站利用认证密钥KA对车载移动单元进行身份合法性认证的具体操作是:
将收到的终端参数NO、解密得到的目标基站参数TNe和收到的时戳一T1串联,通过密钥为认证密钥KA的消息认证码运算,得到终端待认证码M’,M’=H(NO||TNe||T1,KA),再将终端待认证码M’与终端参数NO、时戳一T1串联得到终端待认证消息RES′,如终端待认证消息RES′与收到的终端认证消息RES相等,则验证通过;否则,验证不通过;
本例中,利用认证密钥KA、目标基站参数TNe生成包含时戳二T2的基站认证信息MAC的具体操作是:
将终端参数NO、目标基站参数TNe和时戳二T2串联,通过密钥为认证密钥KA的消息认证码运算,得到基站认证码M2,M2=H(NO||TNe||T2,KA);再将基站认证码M2与时戳二T2串联,即生成基站认证信息MAC,MAC=T2||M2
目标基站检测与前方基站站间是否存在X2接口;若不存在,则将基站认证信息MAC传送给车载移动单元;若存在,则选取一随机数作为前方基站参数FNe,利用目标基站密钥TKe、前方基站身份IDFe、前方基站参数FNe,通过哈希运算,生成前方基站密钥FKe;再利用目标基站与前方基站共享的密钥Ke-e对前方基站密钥FKe、前方基站参数FNe、前方基站身份IDFe、目标基站身份IDe、基站票据有效期LTe加密生成前方基站票据FSTe;再利用加密密钥KE对将前方基站身份IDFe、目标基站身份IDe、前方基站参数FNe、前方基站密钥FKe和前方基站票据有效期LTe进行加密,生成前方基站切换信息ST_INFFe;最后,将所述的基站认证信息MAC、前方基站票据FSTe和前方基站切换信息ST_INFFe发送给车载移动单元;
B3、车载移动单元利用认证密钥KA对目标基站进行身份合法性认证;若认证未通过,则执行步骤D;若认证通过,则判断是否收到前方基站票据FSTe和前方基站切换信息ST_INFFe
若未收到,则完成X2接口切换认证,车载移动单元接入目标基站,随即目标基站变为源基站,前方基站变为目标基站,执行步骤C;
若收到,则利用加密密钥KE解密收到的前方基站切换信息ST_INFFe得到前方基站密钥FKe和前方基站参数FNe,再将前方基站密钥FKe、前方基站参数FNe和前方基站票据FSTe组成前方X2接口切换信息,完成X2接口切换认证,车载移动单元接入目标基站;随即,目标基站变为源基站,前方基站变为目标基站,并用前方X2接口切换信息置换目标X2接口切换信息并保存,执行步骤B1;
本例中,车载移动单元利用认证密钥KA对目标基站进行身份合法性认证的具体操作是:
将终端参数NO、目标基站参数TNe和收到的时戳二T2串联,通过密钥为认证密钥KA的消息认证码运算,得到基站待认证码M2’,M2’=H(NO||TNe||T2,KA),再将站待认证码M2’与时戳二T2串联得到终端待认证消息MAC',如基站待认证消息MAC'与收到的基站认证消息MAC相等,则验证通过;否则,验证不通过;
C、S1接口切换认证
C1、当车载移动单元移动到源基站和目标基站切换点时,则首先从目标S1接口切换信息中提取出:目标主密钥TKASME、目标本地参数TNM和目标票据TSTM;随后,选取一随机数更新终端参数NO,同时更新生成时戳一T1;然后,生成目标主密钥TKASME、目标本地参数TNM、终端参数NO和时戳一T1的消息认证码,再与终端参数NO和时戳一T1串联,生成S1终端认证信息MACO;最后,将S1终端认证信息MACO和目标票据TSTM发送至目标基站;
C2、目标基站将收到的信息转发至目标移动管理实体;
C3、目标移动管理实体首先利用同源移动管理实体共享的密钥KM-M解密收到的目标票据TSTM,得到目标主密钥TKASME和目标本地参数TNM;随后利用目标主密钥TKASME、目标本地参数TNM、终端参数NO和时戳一T1对收到的S1终端认证信息MACO的合法性进行认证;若认证未通过,则执行步骤D;若认证通过,则选取一随机数作为前方本地参数FNM,再选取一随机数更新目标基站参数TNe,同时更新生成时戳二T2,利用目标主密钥TKASME、前方移动管理实体的身份IDFM、前方本地参数FNM,通过哈希运算,生成前方主密钥FKASME,再利用与前方移动管理实体共享的密钥KM-M加密前方主密钥FKASME和前方本地参数FNM、前方移动管理实体的身份IDFM、目标移动管理实体的身份IDM,票据的有效期LTM生成前方票据FSTM;并利用目标主密钥TKASME对前方主密钥FKASME、前方本地参数FNM、目标基站参数TNe进行加密保护,生成前方切换信息ST_INFFM;随后,利用目标主密钥TKASME、目标基站身份IDe、目标基站参数TNe更新生成目标基站密钥TKe,并利用目标移动管理实体与目标基站间的共享密钥Ke-M对目标基站密钥TKe、目标基站参数TNe和目标基站身份IDe加密,更新生成密文INF,再生成目标主密钥TKASME、目标基站参数TNe、终端参数NO和时戳二T2的消息认证码,并与时戳二T2串联,生成S1本地认证信息MACM;最后将S1本地认证信息MACM、前方切换信息ST_INFFM、前方票据FSTM、密文INF发送给目标基站;
C4、目标基站利用其与目标移动管理实体间共享的密钥Ke-M解密收到的密文INF,获得目标基站密钥TKe和目标基站参数TNe,再更新生成时戳三T3,并利用目标基站密钥TKe、收到的终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE;随后生成认证密钥KA、目标基站参数TNe和收到的终端参数NO和时戳三T3的消息认证码,并与时戳三T3串联,生成S1基站认证信息MACe;随后检测与前方基站间是否存在X2接口;
若不存在,表明前方基站不属于目标移动管理实体管辖,而属于前方移动管理实体管辖;则发送S1本地认证信息MACM、S1基站认证信息MACe、前方切换信息ST_INFFM、前方票据FSTM给车载移动单元;
若存在,表明前方基站属于目标移动管理实体管辖;则选取一随机数更新为前方基站参数FNe,利用目标基站密钥TKe、前方基站身份IDFe和目标基站参数TNe,通过SHA2哈希运算,更新生成前方基站密钥FKe,再利用目标基站与前方基站共享的密钥Ke-e对前方基站密钥FKe、前方基站参数FNe加密更新生成前方基站票据FSTe;随后,利用加密密钥KE对前方基站密钥FKe、前方基站参数FNe进行加密,更新生成前方基站切换信息ST_INFFe;最后,将S1本地认证信息MACM、S1基站认证信息MACe、前方切换信息ST_INFFM、前方票据FSTM、前方基站票据FSTe、前方基站切换信息ST_INFFe发送给车载移动单元;
C5、车载移动单元利用目标主密钥TKASME、目标基站参数TNe、终端参数NO和时戳二T2对收到的S1本地认证信息MACM进行验证;若不通过,则执行步骤D;若通过,则利用目标主密钥TKASME解密收到的前方切换信息ST_INFFM,获得前方主密钥FKASME、前方本地参数FNM、目标基站参数TNe;再将前方票据FSTM、前方主密钥FKASME、前方本地参数FNM更新组成前方S1切换信息;随后,利用目标主密钥TKASME、前方基站身份IDFe和目标基站参数TNe,通过哈希运算,更新生成目标基站密钥TKe,并利用目标基站密钥TKe、终端参数NO和目标基站参数TNe更新生成认证密钥KA和加密密钥KE;最后,利用认证密钥KA、目标基站参数TNe、终端参数NO和时戳三T3对S1基站认证信息MACe进行验证;若不通过,则执行步骤D;若通过,则判断是否收到前方基站票据FSTe、前方基站切换信息ST_INFFe
若未收到,则完成S1接口切换认证,车载移动单元接入目标基站;随即,目标基站变为源基站,前方基站变为目标基站,目标移动管理实体变为源移动管理实体,前方移动管理实体变为目标移动管理实体,用前方S1接口切换信息置换目标S1接口切换信息并保存,执行步骤C1;
若收到,则利用加密密钥KE解密前方基站切换信息ST_INFFe,获得前方基站密钥FKe、前方基站参数FNe;用前方基站票据FSTe、前方基站密钥FKe、前方基站参数FNe更新组成前方X2接口切换信息,完成S1接口切换认证,车载移动单元接入目标基站;随即目标基站变为源基站,前方基站变为目标基站,目标移动管理实体变为源移动管理实体,前方移动管理实体变为目标移动管理实体,并用前方X2接口切换信息置换目标X2接口切换信息并保存,用前方S1接口切换信息置换目标S1接口切换信息并保存,执行步骤B
D、认证失败,中止认证。

Claims (6)

1.一种基于票据的LTE-R车-地通信接入层切换认证方法,其步骤是:
A、申请票据
车载移动单元启动后,首先通过源基站的转发,完成非接入层初始认证,与源移动管理实体完成认证,并共享主密钥KASME
源移动管理实体利用主密钥KASME生成目标主密钥TKASME;随后选取一随机数作为目标本地参数TNM,再利用与目标移动管理实体共享的密钥KM-M加密目标主密钥TKASME和目标本地参数TNM,生成目标票据TSTM;随后将目标主密钥TKASME、目标本地参数TNM和目标票据TSTM串联,组成目标S1接口切换信息;源移动管理实体利用主密钥KASME为基站生成目标基站密钥TKe、目标基站参数TNe;再利用与源基站共享的密钥Ke-M对目标基站密钥TKe、目标基站参数TNe加密生成密文INF;源移动管理实体将密文INF连同目标S1接口切换信息传输给源基站;源基站判断与目标基站是否存在X2接口:
若不存在,表明目标基站不属于源移动管理实体管辖,而属于目标移动管理实体管辖,则源基站将S1接口切换信息发送给车载移动单元保存,执行步骤C;
若存在,表明目标基站属于源移动管理实体管辖,则源基站首先利用与源移动管理实体共享的密钥Ke-M解密密文INF,获得目标基站密钥TKe、目标基站参数TNe;随后,再利用目标基站与源基站共享的密钥Ke-e加密目标基站密钥TKe、目标基站参数TNe,生成目标基站票据TSTe;并将目标基站密钥TKe、目标基站参数TNe和目标基站票据TSTe串联,组成目标X2接口切换信息;最后将所述的目标S1接口切换信息和目标X2接口切换信息发送给车载移动单元保存,执行步骤B;
B、X2接口切换认证
B1、当车载移动单元移动到源基站和目标基站切换点时,车载移动单元从保存的目标X2接口切换信息中,提取出目标基站密钥TKe、目标基站参数TNe和目标基站票据TSTe;随后,选取一随机数作为终端参数NO,并生成时戳一T1;再利用目标基站密钥TKe、终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE,随后利用认证密钥KA、目标基站参数TNe生成包含终端参数NO和时戳一T1的终端认证信息RES;最后,向目标基站发终端认证信息RES和目标基站票据TSTe
B2、目标基站利用其与源基站共享的密钥Ke-e,解密收到的目标基站票据TSTe,获得目标基站密钥TKe、目标基站参数TNe;随后,利用目标基站密钥TKe、收到的终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE;最后,目标基站利用认证密钥KA对车载移动单元进行身份合法性认证;若认证未通过,则执行步骤D;若认证通过,则生成时戳二T2,并利用认证密钥KA、目标基站密钥TKe生成包含时戳二T2的基站认证信息MAC;
目标基站检测与前方基站站间是否存在X2接口;若不存在,则将基站认证信息MAC传送给车载移动单元;若存在,则选取一随机数作为前方基站参数FNe,利用目标基站密钥TKe、前方基站身份IDFe、前方基站参数FNe,通过哈希运算,生成前方基站密钥FKe;再利用目标基站与前方基站共享的密钥Ke-e对前方基站密钥FKe、前方基站参数FNe、前方基站身份IDFe、目标基站身份IDe、基站票据有效期LTe加密生成前方基站票据FSTe;再利用加密密钥KE对将前方基站身份IDFe、目标基站身份IDe、前方基站参数FNe、前方基站密钥FKe和前方基站票据有效期LTe进行加密,生成前方基站切换信息ST_INFFe;最后,将所述的基站认证信息MAC、前方基站票据FSTe和前方基站切换信息ST_INFFe发送给车载移动单元;
B3、车载移动单元利用认证密钥KA对目标基站进行身份合法性认证;若认证未通过,则执行步骤D;若认证通过,则判断是否收到前方基站票据FSTe和前方基站切换信息ST_INFFe
若未收到,则完成X2接口切换认证,车载移动单元接入目标基站,随即目标基站变为源基站,前方基站变为目标基站,执行步骤C;
若收到,则利用加密密钥KE解密收到的前方基站切换信息ST_INFFe得到前方基站密钥FKe和前方基站参数FNe,再将前方基站密钥FKe、前方基站参数FNe和前方基站票据FSTe组成前方X2接口切换信息,完成X2接口切换认证,车载移动单元接入目标基站;随即,目标基站变为源基站,前方基站变为目标基站,并用前方X2接口切换信息置换目标X2接口切换信息并保存,执行步骤B1;
C、S1接口切换认证
C1、当车载移动单元移动到源基站和目标基站切换点时,则首先从目标S1接口切换信息中提取出:目标主密钥TKASME、目标本地参数TNM和目标票据TSTM;随后,选取一随机数更新终端参数NO,同时更新生成时戳一T1;然后,生成目标主密钥TKASME、目标本地参数TNM、终端参数NO和时戳一T1的消息认证码,再与终端参数NO和时戳一T1串联,生成S1终端认证信息MACO;最后,将S1终端认证信息MACO和目标票据TSTM发送至目标基站;
C2、目标基站将收到的信息转发至目标移动管理实体;
C3、目标移动管理实体首先利用同源移动管理实体共享的密钥KM-M解密收到的目标票据TSTM,得到目标主密钥TKASME和目标本地参数TNM;随后利用目标主密钥TKASME、目标本地参数TNM、终端参数NO和时戳一T1对收到的S1终端认证信息MACO的合法性进行认证;若认证未通过,则执行步骤D;若认证通过,则选取一随机数作为前方本地参数FNM,再选取一随机数更新目标基站参数TNe,同时更新生成时戳二T2,利用目标主密钥TKASME、前方移动管理实体的身份IDFM、前方本地参数FNM,通过哈希运算,生成前方主密钥FKASME,再利用与前方移动管理实体共享的密钥KM-M加密前方主密钥FKASME和前方本地参数FNM、前方移动管理实体的身份IDFM、目标移动管理实体的身份IDM,票据的有效期LTM生成前方票据FSTM;并利用目标主密钥TKASME对前方主密钥FKASME、前方本地参数FNM、目标基站参数TNe进行加密保护,生成前方切换信息ST_INFFM;随后,利用目标主密钥TKASME、目标基站身份IDe、目标基站参数TNe更新生成目标基站密钥TKe,并利用目标移动管理实体与目标基站间的共享密钥Ke-M对目标基站密钥TKe、目标基站参数TNe和目标基站身份IDe加密,更新生成密文INF,再生成目标主密钥TKASME、目标基站参数TNe、终端参数NO和时戳二T2的消息认证码,并与时戳二T2串联,生成S1本地认证信息MACM;最后将S1本地认证信息MACM、前方切换信息ST_INFFM、前方票据FSTM、密文INF发送给目标基站;
C4、目标基站利用其与目标移动管理实体间共享的密钥Ke-M解密收到的密文INF,获得目标基站密钥TKe和目标基站参数TNe,再更新生成时戳三T3,并利用目标基站密钥TKe、收到的终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE;随后生成认证密钥KA、目标基站参数TNe和收到的终端参数NO和时戳三T3的消息认证码,并与时戳三T3串联,生成S1基站认证信息MACe;随后检测与前方基站间是否存在X2接口;
若不存在,表明前方基站不属于目标移动管理实体管辖,而属于前方移动管理实体管辖;则发送S1本地认证信息MACM、S1基站认证信息MACe、前方切换信息ST_INFFM、前方票据FSTM给车载移动单元;
若存在,表明前方基站属于目标移动管理实体管辖;则选取一随机数更新为前方基站参数FNe,利用目标基站密钥TKe、前方基站身份IDFe和目标基站参数TNe,通过SHA2哈希运算,更新生成前方基站密钥FKe,再利用目标基站与前方基站共享的密钥Ke-e对前方基站密钥FKe、前方基站参数FNe加密更新生成前方基站票据FSTe;随后,利用加密密钥KE对前方基站密钥FKe、前方基站参数FNe进行加密,更新生成前方基站切换信息ST_INFFe;最后,将S1本地认证信息MACM、S1基站认证信息MACe、前方切换信息ST_INFFM、前方票据FSTM、前方基站票据FSTe、前方基站切换信息ST_INFFe发送给车载移动单元;
C5、车载移动单元利用目标主密钥TKASME、目标基站参数TNe、终端参数NO和时戳二T2对收到的S1本地认证信息MACM进行验证;若不通过,则执行步骤D;若通过,则利用目标主密钥TKASME解密收到的前方切换信息ST_INFFM,获得前方主密钥FKASME、前方本地参数FNM、目标基站参数TNe;再将前方票据FSTM、前方主密钥FKASME、前方本地参数FNM更新组成前方S1切换信息;随后,利用目标主密钥TKASME、前方基站身份IDFe和目标基站参数TNe,通过哈希运算,更新生成目标基站密钥TKe,并利用目标基站密钥TKe、终端参数NO和目标基站参数TNe更新生成认证密钥KA和加密密钥KE;最后,利用认证密钥KA、目标基站参数TNe、终端参数NO和时戳三T3对S1基站认证信息MACe进行验证;若不通过,则执行步骤D;若通过,则判断是否收到前方基站票据FSTe、前方基站切换信息ST_INFFe
若未收到,则完成S1接口切换认证,车载移动单元接入目标基站;随即,目标基站变为源基站,前方基站变为目标基站,目标移动管理实体变为源移动管理实体,前方移动管理实体变为目标移动管理实体,用前方S1接口切换信息置换目标S1接口切换信息并保存,执行步骤C1;
若收到,则利用加密密钥KE解密前方基站切换信息ST_INFFe,获得前方基站密钥FKe、前方基站参数FNe;用前方基站票据FSTe、前方基站密钥FKe、前方基站参数FNe更新组成前方X2接口切换信息,完成S1接口切换认证,车载移动单元接入目标基站;随即目标基站变为源基站,前方基站变为目标基站,目标移动管理实体变为源移动管理实体,前方移动管理实体变为目标移动管理实体,并用前方X2接口切换信息置换目标X2接口切换信息并保存,用前方S1接口切换信息置换目标S1接口切换信息并保存,执行步骤B;
D、认证失败,中止认证。
2.根据权利要求1所述的基于票据的LTE-R车-地通信接入层切换认证方法,其特征在于:所述的步骤B1中,利用目标基站密钥TKe、终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE的具体方法是:
将终端参数NO、目标基站参数TNe、目标基站密钥TKe串联,再进行MD5哈希运算即生成认证密钥KA,KA=h1(NO||TNe||TKe);
将终端参数NO、目标基站参数TNe、目标基站密钥TKe串联,再进行SHA1哈希运算即生成加密密钥KE,KE=h2(NO||TNe||TKe);
其中h1(■)、h2(■)分别代表SHA1哈希运算和SHA2哈希运算,||表示字符串联运算。
3.根据权利要求2所述的基于票据的LTE-R车-地通信接入层切换认证方法,其特征在于:所述的步骤B1中利用认证密钥KA、目标基站参数TNe生成包含终端参数NO和时戳一T1的终端认证信息RES的具体方法是:
将终端参数NO、目标基站参数TNe和时戳一T1串联,通过密钥为认证密钥KA的消息认证码运算,得到终端认证码M1,M1=H(NO||TNe||T1,KA),其中H(■,KA)代表密钥为认证密钥KA的消息认证码运算;再将终端认证码M1与终端参数NO、时戳一T1串联,即生成终端认证消息RES,RES=NO||T1||M1
4.根据权利要求3所述的基于票据的LTE-R车-地通信接入层切换认证方法,其特征在于:所述的步骤B2中,目标基站利用认证密钥KA对车载移动单元进行身份合法性认证的具体操作是:
将收到的终端参数NO、解密得到的目标基站参数TNe和收到的时戳一T1串联,通过密钥为认证密钥KA的消息认证码运算,得到终端待认证码M’,M’=H(NO||TNe||T1,KA),再将终端待认证码M’与终端参数NO、时戳一T1串联得到终端待认证消息RES′,如终端待认证消息RES′与收到的终端认证消息RES相等,则验证通过;否则,验证不通过。
5.根据权利要求1所述的基于票据的LTE-R车-地通信接入层切换认证方法,其特征在于:所述的步骤B2中,利用认证密钥KA、目标基站参数TNe生成包含时戳二T2的基站认证信息MAC的具体操作是:
将终端参数NO、目标基站参数TNe和时戳二T2串联,通过密钥为认证密钥KA的消息认证码运算,得到基站认证码M2,M2=H(NO||TNe||T2,KA);再将基站认证码M2与时戳二T2串联,即生成基站认证信息MAC,MAC=T2||M2
6.根据权利要求5所述的基于票据的LTE-R车-地通信接入层切换认证方法,其特征在于:所述的步骤B3中,车载移动单元利用认证密钥KA对目标基站进行身份合法性认证的具体操作是:
将终端参数NO、目标基站参数TNe和收到的时戳二T2串联,通过密钥为认证密钥KA的消息认证码运算,得到基站待认证码M2’,M2’=H(NO||TNe||T2,KA),再将站待认证码M2’与时戳二T2串联得到终端待认证消息MAC′,如基站待认证消息MAC′与收到的基站认证消息MAC相等,则验证通过;否则,验证不通过。
CN201810006672.1A 2018-01-04 2018-01-04 基于票据的lte-r车-地通信接入层切换认证方法 Active CN108337661B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810006672.1A CN108337661B (zh) 2018-01-04 2018-01-04 基于票据的lte-r车-地通信接入层切换认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810006672.1A CN108337661B (zh) 2018-01-04 2018-01-04 基于票据的lte-r车-地通信接入层切换认证方法

Publications (2)

Publication Number Publication Date
CN108337661A true CN108337661A (zh) 2018-07-27
CN108337661B CN108337661B (zh) 2020-05-19

Family

ID=62924747

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810006672.1A Active CN108337661B (zh) 2018-01-04 2018-01-04 基于票据的lte-r车-地通信接入层切换认证方法

Country Status (1)

Country Link
CN (1) CN108337661B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112448810A (zh) * 2019-08-31 2021-03-05 华为技术有限公司 一种认证方法以及装置

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101309500A (zh) * 2007-05-15 2008-11-19 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
EP2237606A2 (en) * 2009-03-30 2010-10-06 Fujitsu Limited Interface establishing method in radio communication system, management apparatus and radio node apparatus in radio communication system
CN102056160A (zh) * 2009-11-03 2011-05-11 华为技术有限公司 一种密钥生成的方法、装置和系统
US20110151920A1 (en) * 2009-12-21 2011-06-23 Electronics And Telecommunications Research Institute Handover controlling method and apparatus
CN102238541A (zh) * 2010-04-29 2011-11-09 电信科学技术研究院 密钥更新方法和基站
CN102598786A (zh) * 2011-11-11 2012-07-18 华为技术有限公司 基站间的切换方法、基站、和通讯系统
CN102625302A (zh) * 2008-06-23 2012-08-01 华为技术有限公司 密钥衍生方法、设备及系统
CN103139771A (zh) * 2011-11-25 2013-06-05 中兴通讯股份有限公司 切换过程中密钥生成方法及系统
CN104221431A (zh) * 2012-04-09 2014-12-17 日本电气株式会社 基站网关装置、无线通信系统和通信方法
CN105472681A (zh) * 2014-09-03 2016-04-06 上海贝尔股份有限公司 虚拟基站动态迁移方法和设备

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101309500A (zh) * 2007-05-15 2008-11-19 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
CN102625302A (zh) * 2008-06-23 2012-08-01 华为技术有限公司 密钥衍生方法、设备及系统
EP2237606A2 (en) * 2009-03-30 2010-10-06 Fujitsu Limited Interface establishing method in radio communication system, management apparatus and radio node apparatus in radio communication system
CN102056160A (zh) * 2009-11-03 2011-05-11 华为技术有限公司 一种密钥生成的方法、装置和系统
US20110151920A1 (en) * 2009-12-21 2011-06-23 Electronics And Telecommunications Research Institute Handover controlling method and apparatus
CN102238541A (zh) * 2010-04-29 2011-11-09 电信科学技术研究院 密钥更新方法和基站
CN102598786A (zh) * 2011-11-11 2012-07-18 华为技术有限公司 基站间的切换方法、基站、和通讯系统
CN103139771A (zh) * 2011-11-25 2013-06-05 中兴通讯股份有限公司 切换过程中密钥生成方法及系统
CN104221431A (zh) * 2012-04-09 2014-12-17 日本电气株式会社 基站网关装置、无线通信系统和通信方法
CN105472681A (zh) * 2014-09-03 2016-04-06 上海贝尔股份有限公司 虚拟基站动态迁移方法和设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ALEZABI K A,HASHIM F, HASHIM SJ, BORHANUDDIN M A: "An Efficient Authentication and Key Agreement Protocol for 4G (LTE) Networks", 《2014 IEEE REGION 10 SYMPOEIUM》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112448810A (zh) * 2019-08-31 2021-03-05 华为技术有限公司 一种认证方法以及装置
CN112448810B (zh) * 2019-08-31 2022-04-05 华为技术有限公司 一种认证方法以及装置

Also Published As

Publication number Publication date
CN108337661B (zh) 2020-05-19

Similar Documents

Publication Publication Date Title
CN108683501B (zh) 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法
CN107196920B (zh) 一种面向无线通信系统的密钥产生分配方法
CN108809637B (zh) 基于混合密码的lte-r车-地通信非接入层认证密钥协商方法
CN102026178B (zh) 一种基于公钥机制的用户身份保护方法
CN108260102B (zh) 基于代理签名的lte-r车-地通信非接入层认证方法
CN108650028B (zh) 基于量子通信网络与真随机数的多次身份认证系统和方法
CN102065016B (zh) 报文发送和接收方法及装置、报文处理方法及系统
CN100488281C (zh) 一种目标基站获取鉴权密钥上下文信息的方法
CN101420686B (zh) 基于密钥的工业无线网络安全通信实现方法
CN108848495B (zh) 一种使用预置密钥的用户身份更新方法
CN101741555A (zh) 身份认证和密钥协商方法及系统
CN108964897B (zh) 基于群组通信的身份认证系统和方法
CN104424446A (zh) 一种安全认证和传输的方法和系统
CN105323754A (zh) 一种基于预共享密钥的分布式鉴权方法
CN112235792B (zh) 一种多类型终端接入与切换认证方法、系统、设备及应用
CN106411715A (zh) 一种基于云端的安全即时通信方法及系统
CN104270756A (zh) 身份与位置分离网络中的域内映射更新认证方法
CN101800982A (zh) 无线局域网切换快速认证安全性增强方法
CN106209384B (zh) 使用安全机制的客户终端与充电装置的通信认证方法
CN110248334B (zh) 一种lte-r车-地通信非接入层认证方法
CN101005489A (zh) 一种保护移动通信系统网络安全的方法
CN112055333A (zh) 一种无证书代理签名的lte-r车-地无线通信安全认证方法
CN108337661A (zh) 基于票据的lte-r车-地通信接入层切换认证方法
CN1964259B (zh) 一种切换过程中的密钥管理方法
CN108270560B (zh) 一种密钥传输方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant