CN108616881A - 连接重建的认证方法、基站、用户设备、核心网及系统 - Google Patents

连接重建的认证方法、基站、用户设备、核心网及系统 Download PDF

Info

Publication number
CN108616881A
CN108616881A CN201710060338.XA CN201710060338A CN108616881A CN 108616881 A CN108616881 A CN 108616881A CN 201710060338 A CN201710060338 A CN 201710060338A CN 108616881 A CN108616881 A CN 108616881A
Authority
CN
China
Prior art keywords
base station
information
token1
key
algorithm information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710060338.XA
Other languages
English (en)
Inventor
谢振华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201710060338.XA priority Critical patent/CN108616881A/zh
Priority to PCT/CN2018/074053 priority patent/WO2018137671A1/zh
Publication of CN108616881A publication Critical patent/CN108616881A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种连接重建的认证方法、基站、用户设备、核心网及系统,所述方法包括:第一基站收到来自核心网网元的针对终端UE的算法信息和密钥;所述第一基站收到来自第二基站的针对所述UE的第一令牌Token1,所述Token1由所述第二基站接收自所述UE,并基于所述算法信息和所述密钥对其进行校验;或者,所述第一基站收到来自第二基站针对所述UE的请求,向第二基站发送第二令牌Token2及所述算法信息,所述Token2基于所述算法信息和所述密钥生成,并用于在所述第二基站侧校验所述UE发来的所述Token1。

Description

连接重建的认证方法、基站、用户设备、核心网及系统
技术领域
本申请涉及通信领域,具体涉及一种连接重建的认证方法、基站、用户设备(UE)、核心网及系统。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)提出了一种移动网络连接重建的认证方案,其中,包括:首先UE向核心网网元(比如移动网络实体MME)发送附着请求,然后核心网网元对UE进行认证,在认证过程中协商密钥以及安全算法,并基于密钥生成Key;核心网网元利用协商的key和安全算法计算得到令牌(Token)1,将携带有令牌1的连接建立指示发送给UE的源基站;源基站基于令牌1向UE发送下传数据消息;当UE需要与目标基站建立连接时,会向目标基站发送包含有令牌1的重建立请求信息,目标基站与源基站验证令牌1之后,收到核心网发来的包含有重新计算得到的令牌2的切换指令。
可以看出,在现有技术中进行重连接的认证过程中,需要核心网网元重复执行计算得到令牌的处理。
发明内容
本发明的主要目的在于提出一种连接重建的认证方法、基站、用户设备、核心网及系统,旨在解决现有技术中存在的上述问题。
为实现上述目的,本发明实施例提供了一种连接重建的认证方法,应用于第一基站,所述方法包括:
第一基站收到来自核心网网元的针对终端UE的算法信息和密钥;
所述第一基站收到来自第二基站的针对所述UE的第一令牌Token1,所述Token1由所述第二基站接收自所述UE,并由所述第一基站基于所述算法信息和所述密钥对其进行校验;
或者,所述第一基站收到来自第二基站针对所述UE的请求,向第二基站发送第二令牌Token2及所述算法信息,所述Token2基于所述算法信息和所述密钥生成,并用于在所述第二基站侧校验所述UE发来的所述Token1。
上述方案中,所述方法还包括:所述第一基站基于所述算法信息和所述密钥生成第二令牌Token2;将生成的所述Token2与所述Token1进行比较。
上述方案中,所述方法还包括:当所述第一基站校验所述Token1成功时,向所述第二基站发送所述算法信息。
上述方案中,所述方法还包括:所述第一基站向所述UE发送所述算法信息。
上述方案中,所述方法还包括:所述第一基站向所述核心网网元发送所述第一基站的安全能力信息;其中,所述安全能力信息用于在所述核心网网元侧,基于其选择所述算法信息。
本发明实施例又提供了一种连接重建的认证方法,应用于第二基站,所述方法包括:
第二基站收到来自终端UE的第一令牌Token1;
所述第二基站向第一基站转发所述Token1;或者,
所述第二基站向第一基站请求发送第二令牌Token2,所述Token2用于在所述第二基站侧校验所述Token1。
本发明实施例又提供了一种连接重建的认证方法,应用于终端UE,所述方法包括:
终端UE收到来自核心网网元的算法信息和密钥生成信息;
所述UE向第二基站发送第一令牌Token1,所述Token1基于所述算法信息及基于所述密钥生成信息生成的密钥生成。
本发明实施例又提供了一种连接重建的认证方法,应用于核心网,所述方法包括:
核心网网元与终端UE协商密钥生成信息和算法信息;
向第一基站发送所述算法信息和基于所述密钥生成信息生成的密钥。
上述方案中,所述核心网网元收到来自所述第一基站的安全能力信息,所述安全能力信息用于所述核心网网元基于其选择所述算法信息。
本发明实施例还提供了一种第一基站,所述第一基站包括:
第一接收单元,用于收到来自核心网网元的算法信息和密钥;
第二接收单元,用于收到来自第二基站的第一令牌Token1;所述Token1由所述第二基站接收自所述UE,并由所述第一基站基于所述算法信息和所述密钥对其进行校验;
或者,
所述第二接收单元,用于收到来自第二基站的请求;
相应的,发送单元,用于向第二基站发送第二令牌Token2及所述算法信息,所述Token2基于所述算法信息和所述密钥生成,并用于在所述第二基站侧校验所述UE发来的所述Token1。
上述方案中,所述第一基站还包括:处理单元,用于将生成的所述Token2与所述Token1进行比较;基于所述算法信息和所述密钥生成第二令牌Token2。
上述方案中,所述发送单元,用于当所述第一基站校验所述Token1成功时,向所述第二基站发送算法信息。
上述方案中,所述发送单元,用于向UE发送所述算法信息。
上述方案中,所述发送单元,还用于向所述核心网网元发送所述第一基站的安全能力信息;其中,所述安全能力信息用于在所述核心网网元侧,基于其选择所述算法信息。
本发明实施例还提供了一种第二基站,所述第二基站包括:
接收单元,用于收到来自UE的第一令牌Token1;
发送单元,用于向第一基站转发所述Token1;或者,
向第一基站请求发送第二令牌Token2。
本发明实施例还提供了一种UE,所述UE包括:
信息接收单元,用于收到来自核心网网元的算法信息和密钥生成信息;
信息发送单元,用于向第二基站发送第一令牌Token1,所述Token1基于所述算法信息及基于所述密钥生成信息生成的密钥生成。
本发明实施例还提供了一种核心网,所述核心网包括:
协商单元,用于与UE协商密钥生成信息和算法信息;
通信单元,用于向第一基站发送所述算法信息和基于所述密钥生成信息生成的密钥。
上述方案中,所述通信单元,还用于收到来自第一基站的安全能力信息,所述安全能力信息用于所述核心网网元选择所述算法信息。
本发明实施例又提供了一种连接重建的认证系统,所述系统包括:
第一基站,用于收到来自核心网网元的算法信息和密钥;收到来自第二基站的针对所述UE的第一令牌Token1,所述Token1由所述第二基站接收自所述UE,并基于所述算法信息和所述密钥对其进行校验;或者,收到来自第二基站针对所述UE的请求,向第二基站发送第二令牌Token2及所述算法信息,所述Token2基于所述算法信息和所述密钥生成,并用于在所述第二基站侧校验所述UE发来的所述Token1;
第二基站,用于收到来自UE的第一令牌Token1;向第一基站转发所述Token1;或者,向第一基站请求发送第二令牌Token2;
UE,用于收到来自核心网网元的算法信息和密钥生成信息;向第二基站发送第一令牌Token1,所述Token1基于所述算法信息及基于所述密钥生成信息生成的密钥生成;
核心网,用于与终端UE协商密钥生成信息和算法信息;向第一基站发送所述算法信息和基于所述密钥生成信息生成的密钥。
本发明实施例还提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令被执行时实现以下处理:
收到来自核心网网元的针对终端UE的算法信息和密钥;
收到来自第二基站的针对所述UE的第一令牌Token1,所述Token1由所述第二基站接收自所述UE,并基于所述算法信息和所述密钥对其进行校验;
或者,收到来自第二基站针对所述UE的请求,向第二基站发送第二令牌Token2及所述算法信息,所述Token2基于所述算法信息和所述密钥生成,并用于在所述第二基站侧校验所述UE发来的所述Token1。
本发明实施例提供的切片网络的密钥生成方法及装置,网络侧将所选择切片网络的切片安全参数发送给终端,使得网络侧和终端能够分别针对不同的切片网络生成其专用的密钥,使得每个切片网络都有且专用的安全保护手段,实现了切片网络间的安全隔离,提高了切片网络通信的安全性。
附图说明
图1为本发明实施例一种连接重建的认证方法的流程示意图;
图2为本发明实施例一的连接重建的认证方法的流程示意图1;
图3为本发明实施例一的连接重建的认证方法的流程示意图2;
图4为本发明实施例一种连接重建的认证方法的流程示意图;
图5为本发明实施例一种连接重建的认证方法的流程示意图;
图6为本发明实施例一种连接重建的认证方法的流程示意图;
图7为本发明实施例第一基站的组成结构示意图;
图8为本发明实施例第二基站的组成结构示意图;
图9为本发明实施例UE的组成结构示意图;
图10为本发明实施例核心网的组成结构示意图;
图11为本发明实施例一种连接重建的认证系统的组成结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
本发明实施例提供了一种连接重建的认证方法,应用于第一基站,如图1所示,包括:
步骤101:第一基站收到来自核心网网元的针对终端UE的算法信息和密钥;其中,所述第一基站为自身管理的用户设备UE的源基站;
步骤102:所述第一基站收到来自第二基站的针对所述UE的第一令牌Token1,所述Token1由所述第二基站接收自所述UE,并由所述第一基站基于所述算法信息和所述密钥对其进行校验;
或者,所述第一基站收到来自第二基站针对所述UE的请求,向第二基站发送第二令牌Token2及所述算法信息,所述Token2基于所述算法信息和所述密钥生成,并用于在所述第二基站侧校验所述UE发来的所述Token1;
其中,所述第二基站为所述UE所要切换的目标基站。
上述实施例中,所述第一基站与第二基站可以为相同基站也可以为不同基站。
在执行步骤101之前,UE还需要向核心网网元发送附着请求;具体来说,可以通过第一基站(也就是源基站)向核心网网元发送附着请求。
然后由第一基站向核心网网元发送安全能力信息,其中可以包括有能够支持的算法信息。所述第一基站向所述核心网网元发送所述第一基站的安全能力信息;其中,所述安全能力信息用于在所述核心网网元侧,基于其选择所述算法信息。
第一基站从核心网接收到算法信息以及密钥。
第一基站与UE之间能够通过算法信息以及密钥生成初始令牌进行认证,之后,第一基站与UE进行信息传输。
比如,可以包括:
核心网网元与UE执行认证过程,通过该过程与UE协商了密钥生成信息和使用的安全算法Algorithm,并基于密钥生成信息生成了Key,核心网网元可根据策略选择源基站系统也支持的安全算法,也可根据收到的源基站系统的安全能力信息选择;
核心网网元向源基站系统(比如eNB)发送连接建立指示,比如发送ConnectionEstablishment Indication消息,消息携带Key及协商好的Algorithm;
源基站系统存储该Algorithm和Key,并向UE发送下传数据消息,比如发送RRC DLInformation Transfer消息。
在完成上述处理之后,当UE需要切换至目标基站也就是第二基站时,可以使用协商的密钥生成信息生成Key,并和协商好的Algorithm以及相关参数(比如源或目标基站系统标识,或源基站系统分配的用户标识等)计算得到第一令牌Token1,然后向目标基站发送连接重建请求,比如发送RRC Connection Re-establishment Request消息,携带Token1。
此后,可以包括有:所述基于所述算法信息和所述密钥校验所述Token1,包括:
所述第一基站基于所述算法信息和所述密钥生成第二令牌Token2;
将生成的所述Token2与所述Token1进行比较,以得到验证结果。
目标基站(第二基站)向源基站(第一基站)请求UE上下文,比如发送Retrieve UEContext Request消息,可以携带收到的Token1;第一基站系统使用Key和Algorithm以及相关参数(比如源或目标基站系统标识,或源基站系统分配的用户标识等)计算Token1,如果源基站系统收到Token1,则源基站系统将计算出的Token2和收到的Token1进行比较,如果相等则认证UE成功,否则认证失败。
进一步地,认证成功之后,或源基站系统未收到Token1,则第一基站(源基站)返回UE上下文,比如发送Retrieve UE Context Response消息,如果源基站系统未收到Token1则携带计算出的Token2;
具体的,所述第一基站收到来自第二基站的请求,基于所述算法信息和所述密钥生成第二令牌Token2,向第二基站发送所述Token2,以使得所述第二基站基于所述Token2针对所述UE发来的连接重建立请求中包含的Token1进行验证;具体来说,就是目标基站系统收到来自源基站系统的Token,则比较收到的来自源基站系统的Token2和来自UE的Token1,如果相等则认证UE成功,否则认证失败,如果认证成功或目标基站未收到来自源基站系统的Token,目标基站系统向UE发送连接重建响应,比如发送RRC Connection Re-establishment消息.
上述处理流程可以参见图2是本发明实施例一的连接重建的认证方法的流程示意图1,该流程包括:
步骤201:UE向核心网网元(比如移动网络实体MME)发送附着请求,比如发送Attach Request消息,消息途径源基站系统(比如eNB);
步骤202:源基站系统转发附着请求给核心网网元,可携带源基站系统的安全能力信息,比如支持的安全算法信息;
步骤203:核心网网元与UE执行认证过程,通过该过程与UE协商了密钥生成信息和使用的安全算法Algorithm,并基于密钥生成信息生成了Key,核心网网元可根据策略选择源基站系统也支持的安全算法,也可根据收到的源基站系统的安全能力信息选择;
步骤204:核心网网元向源基站系统(比如eNB)发送连接建立指示,比如发送Connection Establishment Indication消息,消息携带Key及协商好的Algorithm;
步骤205:源基站系统存储该Algorithm和Key,并向UE发送下传数据消息,比如发送RRC DL Information Transfer消息;
步骤206:UE在某个时候希望和其他基站系统(目标基站系统)建立连接,于是使用协商的密钥生成信息生成Key,并和协商好的Algorithm以及相关参数(比如源或目标基站系统标识,或源基站系统分配的用户标识等)计算Token,然后向目标基站发送连接重建请求,比如发送RRC Connection Re-establishment Request消息,携带Token;
步骤207:目标基站系统向源基站系统请求UE上下文,比如发送Retrieve UEContext Request消息,可以携带收到的Token;
步骤208:源基站系统使用Key和Algorithm以及相关参数(比如源或目标基站系统标识,或源基站系统分配的用户标识等)计算Token,如果源基站系统收到Token,则源基站系统将计算出的Token和收到的Token进行比较,如果相等则认证UE成功,否则认证失败,如果认证成功或源基站系统未收到Token,源基站返回UE上下文,比如发送Retrieve UEContext Response消息,如果源基站系统未收到Token则携带计算出的Token;
步骤209:目标基站系统收到来自源基站系统的Token,则比较收到的来自源基站系统的Token和来自UE的Token,如果相等则认证UE成功,否则认证失败,如果认证成功或目标基站未收到来自源基站系统的Token,目标基站系统向UE发送连接重建响应,比如发送RRC Connection Re-establishment消息;
步骤210:目标基站系统向核心网网元发送路径切换请求,比如发送Path Switch消息;
步骤211:核心网网元向目标基站系统发送路径切换响应,比如发送Path SwitchACK消息。
另外,本实施例还提供一种与前述不同的处理方式,也就是说,所述第一基站收到来自第二基站的第一令牌Token1之前,所述方法还包括:
基于核心网网元发来的第一算法信息,发送所述第一算法信息发送至所述UE,与所述UE之间通过所述第一算法信息确定初始令牌,并基于所述初始令牌进行交互。
所述第一基站收到来自第二基站的第一令牌Token1之前,所述方法还包括:接收到核心网网元发来的第二算法信息;
相应的,所述方法还包括:当所述第一基站校验所述Token1成功时,向所述第二基站发送所述第二算法信息;
或者,还可以基于所述第二算法信息计算得到第二令牌,利用第二令牌与第一令牌比较以得到验证结果;
或者,将第二算法发送至第二基站,使得第二基站基于第二算法信息计算得到第二令牌以进行验证,得到验证结果。
图3是本发明实施例一的连接重建的认证方法的流程示意图2,该流程包括:
步骤301:UE向核心网网元(比如移动网络实体MME)发送附着请求,比如发送Attach Request消息,消息途径源基站系统(比如eNB);
步骤302:源基站系统转发附着请求给核心网网元,可携带源基站系统的安全能力信息,比如支持的安全算法信息;
步骤303:核心网网元与UE执行认证过程,通过该过程与UE协商了密钥生成信息和使用的安全算法Algorithm1,并基于密钥生成信息生成了Key,核心网网元可根据策略选择源基站系统也支持的安全算法,也可根据收到的源基站系统的安全能力信息选择;
步骤304:核心网网元向源基站系统(比如eNB)发送连接建立指示,比如发送Connection Establishment Indication消息,消息携带Key及Algorithm2;
步骤305:源基站系统存储该Key和Algorithm2,并向UE发送下传数据消息,比如发送RRC DL Information Transfer消息,消息携带Algorithm2;
步骤306:UE在某个时候希望和其他基站系统(目标基站系统)建立连接,于是使用协商的密钥生成信息生成Key,并和Algorithm2以及相关参数(比如源或目标基站系统标识,或源基站系统分配的用户标识等)计算Token,然后向目标基站系统发送连接重建请求,比如发送RRC Connection Re-establishment Request消息,携带Token;
步骤307:目标基站系统向源基站系统请求UE上下文,比如发送Retrieve UEContext Request消息,可以携带收到的Token;
步骤308:源基站系统使用Key和Algorithm2以及相关参数(比如源或目标基站系统标识,或源基站系统分配的用户标识等)计算Token,如果源基站系统收到Token2,则源基站系统将计算出的Token2和收到的Token进行比较,如果相等则认证UE成功,否则认证失败,如果认证成功或源基站系统未收到Token,源基站系统返回UE上下文,比如发送Retrieve UE Context Response消息,如果源基站系统未收到Token则携带计算出的Token;
步骤309:目标基站系统收到来自源基站系统的Token,则比较收到的来自源基站系统的Token和来自UE的Token,如果相等则认证UE成功,否则认证失败,如果认证成功或目标基站系统未收到来自源基站系统的Token,目标基站系统向UE发送连接重建响应,比如发送RRC Connection Re-establishment消息;
步骤310:目标基站系统向核心网网元发送路径切换请求,比如发送Path Switch消息;
步骤311:核心网网元向目标基站系统发送路径切换响应,比如发送Path SwitchACK消息。
在完成前述步骤之后,第二基站系统向核心网网元发送路径切换请求,比如发送Path Switch消息;核心网网元向目标基站系统发送路径切换响应,比如发送Path SwitchACK消息。
本实施例与前述实施例相对应的,分别从第二基站、UE、以及核心网侧分别针对一种连接重建的认证方法进行说明。
应用于第二基站时,参见图4,所述方法包括:
步骤401:第二基站收到来自UE的第一令牌Token1;
步骤402:所述第二基站向第一基站转发所述Token1;或者,
所述第二基站向第一基站请求发送第二令牌Token2。
所述第二基站向第一基站请求发送第二令牌Token2之后,所述方法还包括:
所述第二基站接收到所述Token2之后,比较所述Token1和所述Token2以得到验证结果。
本实施例一种连接重建的认证方法,应用于UE,如图5所示,所述方法包括:
步骤501:UE通过第一基站或直接收到来自核心网网元的算法信息和密钥生成信息;
步骤502:所述UE向第二基站发送第一令牌Token1,所述Token1基于所述算法信息及基于所述密钥生成信息生成的密钥生成;
其中,所述第一基站为用户设备UE的源基站,所述第二基站为所述UE的目标基站。
本实施例提供的一种连接重建的认证方法,应用于核心网,参见图6,所述方法包括:
步骤601:核心网网元与UE协商密钥生成信息和算法信息;
步骤602:向第一基站发送所述算法信息和基于所述密钥生成信息生成的密钥;其中,所述第一基站为自身管理的用户设备UE的源基站。
所述核心网网元收到来自第一基站的安全能力信息,所述安全能力信息用于所述核心网网元选择所述算法信息。
可见,通过采用上述方案,就能够由基站侧在进行重连接时进行令牌的验证;如此,避免了核心网侧重复多次的进行令牌的生成,减少了核心网网元的负荷。
本发明实施例提供了一种第一基站,所述第一基站包括:
第一接收单元,用于收到来自核心网网元的算法信息和密钥;
第二接收单元,用于收到来自第二基站的第一令牌Token1;所述Token1由所述第二基站接收自所述UE,并基于所述算法信息和所述密钥对其进行校验;
或者,
所述第二接收单元,用于收到来自第二基站的请求;
相应的,发送单元,用于向第二基站发送第二令牌Token2及所述算法信息,所述Token2基于所述算法信息和所述密钥生成,并用于在所述第二基站侧校验所述UE发来的所述Token1。
具体来说,如图7所示,所述第一基站包括:第一接收单元71,用于收到来自核心网网元的算法信息和密钥;其中,所述第一基站为自身管理的用户设备UE的源基站;
第二接收单元72,用于收到来自第二基站的第一令牌Token1;相应的,处理单元73,用于基于所述算法信息和所述密钥校验所述Token1;
或者,
所述第二接收单元72,用于收到来自第二基站的请求;
相应的,所述处理单元73,用于基于所述算法信息和所述密钥生成第二令牌Token2;
发送单元74,用于向第二基站发送所述Token2;
其中,所述第二基站为所述UE所要切换的目标基站。
上述实施例中,所述第一基站与第二基站可以为相同基站也可以为不同基站。
UE还需要向核心网网元发送附着请求;具体来说,可以通过第一基站(也就是源基站)向核心网网元发送附着请求。
然后由第一基站向核心网网元发送安全能力信息,其中可以包括有能够支持的算法信息。
第一基站从核心网接收到算法信息以及密钥。
第一基站与UE之间能够通过算法信息以及密钥生成初始令牌进行认证,之后,第一基站与UE进行信息传输。
比如,可以包括:
核心网网元与UE执行认证过程,通过该过程与UE协商了密钥生成信息和使用的安全算法Algorithm,并基于密钥生成信息生成了Key,核心网网元可根据策略选择源基站系统也支持的安全算法,也可根据收到的源基站系统的安全能力信息选择;
核心网网元向源基站系统(比如eNB)发送连接建立指示,比如发送ConnectionEstablishment Indication消息,消息携带Key及协商好的Algorithm;
源基站系统存储该Algorithm和Key,并向UE发送下传数据消息,比如发送RRC DLInformation Transfer消息。
在完成上述处理之后,当UE需要切换至目标基站也就是第二基站时,可以使用协商的密钥生成信息生成Key,并和协商好的Algorithm以及相关参数(比如源或目标基站系统标识,或源基站系统分配的用户标识等)计算得到第一令牌Token1,然后向目标基站发送连接重建请求,比如发送RRC Connection Re-establishment Request消息,携带Token1。
此后,所述第二接收单元,用于基于所述算法信息和所述密钥生成第二令牌Token2;
将生成的所述Token2与所述Token1进行比较,以得到验证结果。
目标基站(第二基站)向源基站(第一基站)请求UE上下文,比如发送Retrieve UEContext Request消息,可以携带收到的Token1;第一基站系统使用Key和Algorithm以及相关参数(比如源或目标基站系统标识,或源基站系统分配的用户标识等)计算Token1,如果源基站系统收到Token1,则源基站系统将计算出的Token2和收到的Token1进行比较,如果相等则认证UE成功,否则认证失败。
进一步地,认证成功之后,或源基站系统未收到Token1,则第一基站(源基站)返回UE上下文,比如发送Retrieve UE Context Response消息,如果源基站系统未收到Token1则携带计算出的Token2;
具体的,所述第一基站收到来自第二基站的请求,基于所述算法信息和所述密钥生成第二令牌Token2,向第二基站发送所述Token2,以使得所述第二基站基于所述Token2针对所述UE发来的连接重建立请求中包含的Token1进行验证;具体来说,就是目标基站系统收到来自源基站系统的Token,则比较收到的来自源基站系统的Token2和来自UE的Token1,如果相等则认证UE成功,否则认证失败,如果认证成功或目标基站未收到来自源基站系统的Token,目标基站系统向UE发送连接重建响应,比如发送RRC Connection Re-establishment消息.
另外,本实施例还提供一种与前述不同的处理方式,也就是说,所述第一基站收到来自第二基站的第一令牌Token1之前,所述方法还包括:
所述处理单元,用于基于核心网网元发来的第一算法信息,发送所述第一算法信息发送至所述UE,与所述UE之间通过所述第一算法信息确定初始令牌,并基于所述初始令牌进行交互。
所述第一基站收到来自第二基站的第一令牌Token1之前,所述第一接收单元,用于接收到核心网网元发来的第二算法信息;
相应的,所述发送单元,用于当所述第一基站校验所述Token1成功时,向所述第二基站发送所述第二算法信息。
或者,还可以基于所述第二算法信息计算得到第二令牌,利用第二令牌与第一令牌比较以得到验证结果;
或者,将第二算法发送至第二基站,使得第二基站基于第二算法信息计算得到第二令牌以进行验证,得到验证结果。
本实施例与前述实施例相对应的,分别从第二基站、UE、以及核心网侧分别针对一种连接重建的认证方法进行说明。
应用于第二基站时,参见图8,所述第二基站包括:
接收单元81,用于收到来自UE的第一令牌Token1;
发送单元82,用于向第一基站转发所述Token1;或者,
向第一基站请求发送第二令牌Token2。
所述所述第二基站向第一基站请求发送第二令牌Token2之后,所述方法还包括:
所述第二基站还包括:
处理单元,用于接收到所述Token2之后,比较所述Token1和所述Token2以得到验证结果。
如图9所示,一种UE,所述UE包括:
信息接收单元91,用于通过第一基站或直接收到来自核心网网元的算法信息和密钥生成信息;
信息发送单元92,用于向第二基站发送第一令牌Token1,所述Token1基于所述算法信息及基于所述密钥生成信息生成的密钥生成;
其中,所述第一基站为用户设备UE的源基站,所述第二基站为所述UE的目标基站。
本实施例提供的一种核心网,参见图10,包括:
协商单元1001,用于与UE协商密钥生成信息和算法信息;
通信单元1002,用于向第一基站发送所述算法信息和基于所述密钥生成信息生成的密钥;其中,所述第一基站为自身管理的用户设备UE的源基站。
所述核心网网元收到来自第一基站的安全能力信息,所述安全能力信息用于所述核心网网元选择所述算法信息。
参见图11,本实施例提供了一种连接重建的认证系统,所述系统包括:
第一基站1101,用于收到来自核心网网元的算法信息和密钥;其中,所述第一基站为自身管理的用户设备UE的源基站;收到来自第二基站的第一令牌Token1,基于所述算法信息和所述密钥校验所述Token1;
或者,收到来自第二基站的请求,基于所述算法信息和所述密钥生成第二令牌Token2,向第二基站发送所述Token2,以使得所述第二基站基于所述Token2针对所述UE发来的连接重建立请求中包含的Token1进行验证;其中,所述第二基站为所述UE所要切换的目标基站;
第二基站1102,用于收到来自UE的第一令牌Token1;向第一基站转发所述Token1;或者,向第一基站请求发送第二令牌Token2;
UE1103,用于通过第一基站或直接收到来自核心网网元的算法信息和密钥生成信息;向第二基站发送第一令牌Token1,所述Token1基于所述算法信息及基于所述密钥生成信息生成的密钥生成;
核心网1104,用于与UE协商密钥生成信息和算法信息;向第一基站发送所述算法信息和基于所述密钥生成信息生成的密钥;其中,所述第一基站为自身管理的用户设备UE的源基站。
本实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令被执行时实现以下处理:
收到来自核心网网元的算法信息和密钥;
收到来自第二基站的第一令牌Token1,基于所述算法信息和所述密钥校验所述Token1;
或者,收到来自第二基站的请求,基于所述算法信息和所述密钥生成第二令牌Token2,向第二基站发送所述Token2,以使得所述第二基站基于所述Token2针对所述UE发来的连接重建立请求中包含的Token1进行验证;
其中,所述第二基站为所述UE所要切换的目标基站。
可见,通过采用上述方案,就能够由基站侧在进行重连接时进行令牌的验证;如此,避免了核心网侧重复多次的进行令牌的生成,减少了核心网网元的负荷。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,例如通过集成电路来实现其相应功能,也可以采用软件功能模块的形式实现,例如通过处理器执行存储于存储器中的程序/指令来实现其相应功能。本申请不限制于任何指定形式的硬件和软件的结合。
以上显示和描述了本申请的基本原理和主要特征和本申请的优点。本申请不受上述实施例的限制,上述实施例和说明书中描述的只是说明本申请的原理,在不脱离本申请精神和范围的前提下,本申请还会有各种变化和改进,这些变化和改进都落入要求保护的本申请范围内。

Claims (20)

1.一种连接重建的认证方法,应用于第一基站,其特征在于,所述方法包括:
第一基站收到来自核心网网元的针对终端UE的算法信息和密钥;
所述第一基站收到来自第二基站的针对所述UE的第一令牌Token1,所述Token1由所述第二基站接收自所述UE,并由所述第一基站基于所述算法信息和所述密钥对其进行校验;
或者,所述第一基站收到来自第二基站针对所述UE的请求,向第二基站发送第二令牌Token2及所述算法信息,所述Token2基于所述算法信息和所述密钥生成,并用于在所述第二基站侧校验所述UE发来的所述Token1。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一基站基于所述算法信息和所述密钥生成第二令牌Token2;
将生成的所述Token2与所述Token1进行比较。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一基站校验所述Token1成功时,向所述第二基站发送所述算法信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一基站向所述UE发送所述算法信息。
5.根据权利要求1所述的方法,其特征还在于,所述方法还包括:
所述第一基站向所述核心网网元发送所述第一基站的安全能力信息;其中,所述安全能力信息用于在所述核心网网元侧,基于其选择所述算法信息。
6.一种连接重建的认证方法,应用于第二基站,其特征在于,所述方法包括:
第二基站收到来自终端UE的第一令牌Token1;
所述第二基站向第一基站转发所述Token1;或者,
所述第二基站向第一基站请求发送第二令牌Token2,所述Token2用于在所述第二基站侧校验所述Token1。
7.一种连接重建的认证方法,应用于终端UE,其特征在于,所述方法包括:
终端UE收到来自核心网网元的算法信息和密钥生成信息;
所述UE向第二基站发送第一令牌Token1,所述Token1基于所述算法信息及基于所述密钥生成信息生成的密钥生成。
8.一种连接重建的认证方法,应用于核心网,其特征在于,所述方法包括:
核心网网元与终端UE协商密钥生成信息和算法信息;
向第一基站发送所述算法信息和基于所述密钥生成信息生成的密钥。
9.根据权利要求8所述的方法,其特征还在于,所述核心网网元收到来自所述第一基站的安全能力信息,所述安全能力信息用于所述核心网网元基于其选择所述算法信息。
10.一种第一基站,其特征在于,所述第一基站包括:
第一接收单元,用于收到来自核心网网元的算法信息和密钥;
第二接收单元,用于收到来自第二基站的第一令牌Token1;所述Token1由所述第二基站接收自所述UE,并由所述第一基站基于所述算法信息和所述密钥对其进行校验;
或者,
所述第二接收单元,用于收到来自第二基站的请求;
相应的,发送单元,用于向第二基站发送第二令牌Token2及所述算法信息,所述Token2基于所述算法信息和所述密钥生成,并用于在所述第二基站侧校验所述UE发来的所述Token1。
11.根据权利要求10所述的第一基站,其特征在于,所述第一基站还包括:
处理单元,用于将生成的所述Token2与所述Token1进行比较;基于所述算法信息和所述密钥生成第二令牌Token2。
12.根据权利要求10所述的第一基站,其特征在于,
所述发送单元,用于当所述第一基站校验所述Token1成功时,向所述第二基站发送算法信息。
13.根据权利要求10所述的第一基站,其特征在于,所述发送单元,用于向UE发送所述算法信息。
14.根据权利要求10所述的第一基站,其特征还在于,所述发送单元,还用于向所述核心网网元发送所述第一基站的安全能力信息;其中,所述安全能力信息用于在所述核心网网元侧,基于其选择所述算法信息。
15.一种第二基站,其特征在于,所述第二基站包括:
接收单元,用于收到来自UE的第一令牌Token1;
发送单元,用于向第一基站转发所述Token1;或者,
向第一基站请求发送第二令牌Token2。
16.一种UE,其特征在于,所述UE包括:
信息接收单元,用于收到来自核心网网元的算法信息和密钥生成信息;
信息发送单元,用于向第二基站发送第一令牌Token1,所述Token1基于所述算法信息及基于所述密钥生成信息生成的密钥生成。
17.一种核心网,其特征在于,所述核心网包括:
协商单元,用于与UE协商密钥生成信息和算法信息;
通信单元,用于向第一基站发送所述算法信息和基于所述密钥生成信息生成的密钥。
18.根据权利要求17所述的核心网,其特征还在于,所述通信单元,还用于收到来自第一基站的安全能力信息,所述安全能力信息用于所述核心网网元选择所述算法信息。
19.一种连接重建的认证系统,其特征在于,所述系统包括:
第一基站,用于收到来自核心网网元的算法信息和密钥;收到来自第二基站的针对所述UE的第一令牌Token1,所述Token1由所述第二基站接收自所述UE,并基于所述算法信息和所述密钥对其进行校验;或者,收到来自第二基站针对所述UE的请求,向第二基站发送第二令牌Token2及所述算法信息,所述Token2基于所述算法信息和所述密钥生成,并用于在所述第二基站侧校验所述UE发来的所述Token1;
第二基站,用于收到来自UE的第一令牌Token1;向第一基站转发所述Token1;或者,向第一基站请求发送第二令牌Token2;
UE,用于收到来自核心网网元的算法信息和密钥生成信息;向第二基站发送第一令牌Token1,所述Token1基于所述算法信息及基于所述密钥生成信息生成的密钥生成;
核心网,用于与终端UE协商密钥生成信息和算法信息;向第一基站发送所述算法信息和基于所述密钥生成信息生成的密钥。
20.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令被执行时实现以下处理:
收到来自核心网网元的针对终端UE的算法信息和密钥;
收到来自第二基站的针对所述UE的第一令牌Token1,所述Token1由所述第二基站接收自所述UE,并基于所述算法信息和所述密钥对其进行校验;
或者,收到来自第二基站针对所述UE的请求,向第二基站发送第二令牌Token2及所述算法信息,所述Token2基于所述算法信息和所述密钥生成,并用于在所述第二基站侧校验所述UE发来的所述Token1。
CN201710060338.XA 2017-01-24 2017-01-24 连接重建的认证方法、基站、用户设备、核心网及系统 Pending CN108616881A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201710060338.XA CN108616881A (zh) 2017-01-24 2017-01-24 连接重建的认证方法、基站、用户设备、核心网及系统
PCT/CN2018/074053 WO2018137671A1 (zh) 2017-01-24 2018-01-24 认证方法、基站、用户设备、核心网及系统、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710060338.XA CN108616881A (zh) 2017-01-24 2017-01-24 连接重建的认证方法、基站、用户设备、核心网及系统

Publications (1)

Publication Number Publication Date
CN108616881A true CN108616881A (zh) 2018-10-02

Family

ID=62978094

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710060338.XA Pending CN108616881A (zh) 2017-01-24 2017-01-24 连接重建的认证方法、基站、用户设备、核心网及系统

Country Status (2)

Country Link
CN (1) CN108616881A (zh)
WO (1) WO2018137671A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080181411A1 (en) * 2007-01-26 2008-07-31 Karl Norrman Method and system for protecting signaling information
CN101378591B (zh) * 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
US8145195B2 (en) * 2008-04-14 2012-03-27 Nokia Corporation Mobility related control signalling authentication in mobile communications system
KR101224230B1 (ko) * 2008-06-13 2013-01-21 노키아 코포레이션 시스템간 모빌리티 동안에 프레시 보안 콘텍스트를 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체
KR102125968B1 (ko) * 2013-02-18 2020-06-24 엘지전자 주식회사 무선 통신 시스템에서 데이터 전송을 수행하는 방법 및 장치

Also Published As

Publication number Publication date
WO2018137671A1 (zh) 2018-08-02

Similar Documents

Publication Publication Date Title
US11496320B2 (en) Registration method and apparatus based on service-based architecture
CN108347416B (zh) 一种安全保护协商方法及网元
KR102033465B1 (ko) 통신 디바이스와 네트워크 디바이스 사이의 통신에서의 보안 설비
KR102024653B1 (ko) 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템
CN110035433A (zh) 采用共享密钥、公钥和私钥的验证方法及装置
JP2020536424A (ja) セキュリティ保護方法、装置及びシステム
EP1768426A1 (en) Authentication method and corresponding information transmission method
CN109699031A (zh) 采用共享密钥、公钥和私钥的验证方法及装置
CN106850680B (zh) 一种用于轨道交通设备的智能身份认证方法及装置
KR20160021763A (ko) 사용자 신원 인증 방법, 단말, 및 서버
US11445365B2 (en) Communication method and communications apparatus
CN112105021B (zh) 一种认证方法、装置及系统
CN110192399B (zh) 重新建立无线电资源控制连接
US11689922B2 (en) Re-establishing a radio resource control connection
CN107820242A (zh) 一种认证机制的协商方法及装置
CN111866870A (zh) 密钥的管理方法和装置
CN108271154B (zh) 一种认证方法及装置
WO2019192275A1 (zh) 一种认证方法及网元
CN110830996B (zh) 一种密钥更新方法、网络设备及终端
CN108616881A (zh) 连接重建的认证方法、基站、用户设备、核心网及系统
CN113840283A (zh) 引导认证方法、系统、电子设备和可读存储介质
CN112400335A (zh) 用于执行数据完整性保护的方法和计算设备
CN114071624B (zh) 切换方法、装置及通信设备
US20200053564A1 (en) Method for establishing a connection of a mobile terminal to a mobile radio communication network and communication network device
CN102404736B (zh) 一种wai 证书鉴别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20181002