WO2011127732A1 - 下一代网络中多接入认证方法及系统 - Google Patents

Description

下一代网络中多接入认证方法及系统 技术领域

本发明涉及认证技术，尤其涉及一种下一代网络（ NGN, Next Generation Network ) 中多接入认证方法及系统。 背景技术

NGN作为演进的基于分组交换的网络框架受到越来越多的关注。 国际 电信联盟电信标准局 ( ITU-T, Telecommunication Standardization Sector of the International Telecommunications Union )和其他地区标准组织 口欧洲电信 标准化协会 ( ETSI, European Telecommunications Standards Institute )、 世界 无线通讯解决方案联盟 ( ATIS , The Alliance for Telecommunications Industry Solution )等对 NGN框架模型、 业务以及相关领域进行了广泛的研究和标 准化工作。

NGN能够支持多种网络接入。 在移动用户终端进行多接入时， 需要保 证业务的连续性， 同时要减少移动用户终端与 NGN网络的认证信令。 NGN 网络中定义了五种多接入场景。

其中有场景为： 用户有多个接入模块， 同时接入到相同的接入节点， 这样可以达到更高的速率， 提供更快速的数据传输， 优化的体验， 提高无 线资源的利用率。 用户在同时接入到相同的节点时， 需要保护不同接入模 块与网络接入节点的数据私密性和完整性， 要达到不同的接入模块不互相 干扰的目的， 终端的不同的接入模块应使用不同的密钥。 终端可以通过用 不同的接入模块逐一与 NGN 网络进行认证的方式实现生成不同的密钥的 目的。

但是， 这增加了用户终端与 NGN网络的信令交互， 这无疑阻碍了用户 终端接入网络的速度， 对本来就资源紧张的空口资源来讲， 造成很大的资 源浪费。 发明内容

有鉴于此， 本发明的主要目的在于提供一种下一代网络中多接入认证 方法及系统， 在用户终端与网络侧认证中心进行认证过程中， 将会生成用 户终端多接入信息的密钥材料， 从而实现对各接入业务进行密钥保护。

为达到上述目的， 本发明的技术方案是这样实现的：

一种下一代网络中多接入认证方法， 网络侧设置有网络侧认证中心和 接入节点， 所述接入节点中包含接入转发功能模块及接入管理功能模块； 所述方法包括：

网络侧认证中心接收到用户终端发送的用户终端信息后， 生成认证向 量； 所述用户终端信息包含所述用户终端的签约信息及多接入信息；

所述用户终端接收到网络侧认证中心发送的认证请求后， 对网络侧进 行认证， 认证成功后， 根据自身的多接入信息生成密钥材料和网络侧认证 信息， 并将所述网络侧认证信息发送给所述网络侧认证中心； 其中， 所述 认证请求中包含认证信息；

所述网络侧认证中心利用所述认证向量对所述网络侧认证信息进行认 证；

认证成功后根据所述用户终端的多接入信息生成密钥材料。

优选地， 所述方法还包括：

所述接入转发功能模块从所述网络侧认证中心或所述接入管理功能模 块获取所述密钥材料， 并利用所述密钥材料对所述用户终端的接入业务信 息进行加解密。

优选地， 根据所述用户终端自身的多接入信息生成密钥材料为： 所述用户终端根据自身的多接入信息生成各接入接口的密钥材料； 所述认证成功后根据所述用户终端的多接入信息生成密钥材料为： 所述网络侧认证中心根据所述用户终端的多接入信息生成各接入接口 的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述网络侧认证中心直接发送给所述接入转发功能模块， 或通过所述 接入管理功能模块发送给所述接入转发功能模块。

优选地， 根据所述用户终端自身的多接入信息生成密钥材料为： 所述用户终端生成主密钥， 并根据自身的多接入信息生成各接入接口 的密钥材料；

所述认证成功后根据所述用户终端的多接入信息生成密钥材料为： 所述网络侧认证中心生成主密钥， 并根据所述用户终端的多接入信息 生成各接入接口的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述网络侧认证中心将所生成的密钥材料直接发送给所述接入转发功 能模块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

优选地， 根据所述用户终端自身的多接入信息生成密钥材料为： 所述用户终端生成一个主密钥， 并根据自身的多接入信息生成各接入 接口的密钥材料；

所述认证成功后根据所述用户终端的多接入信息生成密钥材料为： 所述网络侧认证中心根据所述用户终端的多接入信息生成各接入接口 的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述网络侧认证中心将所生成的密钥材料直接发送给所述接入转发功 能模块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

优选地， 根据所述用户终端自身的多接入信息生成密钥材料为： 所述用户终端根据自身的多接入信息生成各接入接口的密钥材料； 所述认证成功后根据所述用户终端的多接入信息生成密钥材料为： 所述网络侧认证中心生成一个主密钥， 再根据所述用户终端的多接入 信息生成各接入接口的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述网络侧认证中心将所生成的密钥材料直接发送给所述接入转发功 能模块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

优选地， 根据所述用户终端自身的多接入信息生成密钥材料为： 所述用户终端根据自身的多接入信息生成各接入接口的密钥材料； 所述认证成功后根据所述用户终端的多接入信息生成密钥材料为： 所述网络侧认证中心生成主密钥， 并通知给所述接入管理功能模块； 所述接入管理功能模块根据所述主密钥及所述用户终端的多接入信息生成 各接入接口的密钥材料； 其中， 所述接入管理功能模块从所述用户终端或 所述网络侧认证中心获取所述用户终端的多接入信息；

所述接入转发功能模块从所述接入管理功能模块获取所述密钥材料， 为；

所述接入管理功能模块将所生成的密钥材料发送给所述接入转发功能 模块。

优选地， 根据所述用户终端自身的多接入信息生成密钥材料为： 所述用户终端生成一个主密钥， 并根据自身的多接入信息生成各接入 接口的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述网络侧认证中心生成主密钥， 并通知给所述接入管理功能模块； 所述接入管理功能模块根据所述主密钥及所述用户终端的多接入信息生成 各接入接口的密钥材料； 其中， 所述接入管理功能模块从所述用户终端或 所述网络侧认证中心获取所述用户终端的多接入信息；

所述接入转发功能模块从所述接入管理功能模块获取所述密钥材料， 为；

所述接入管理功能模块将所生成的密钥材料发送给所述接入转发功能 模块。

一种下一代网络中多接入认证系统， 包括网络侧和用户终端， 网络侧 设置有网络侧认证中心和接入节点， 所述接入节点中包含接入转发功能模 块及接入管理功能模块； 所述系统还包括第一接收单元、 第一生成单元、 第二接收单元、 第一认证单元、 第二生成单元、 发送单元、 第二认证单元 和第三生成单元， 所述第二接收单元、 所述第一认证单元、 所述第二生成 单元和发送单元设于用户终端中， 所述第一接收单元、 第一生成单元、 第 二认证单元和第三生成单元设于网络侧认证中心； 其中：

第一接收单元， 用于接收到用户终端发送的用户终端信息； 所述用户 终端信息包含所述用户终端的签约信息及多接入信息；

第一生成单元， 用于在所述第一接收单元接收用户终端信息后生成认 证向量；

第二接收单元， 用于接收到网络侧认证中心发送的认证请求； 第一认证单元， 用于对网络侧进行认证；

第二生成单元， 用于在所述第一认证单元认证成功后， 根据所述用户 终端的多接入信息生成密钥材料和网络侧认证信息；

发送单元， 用于将所述网络侧认证信息发送给所述网络侧认证中心； 其中， 所述认证请求中包含认证信息；

第二认证单元， 用于利用所述认证向量对所述网络侧认证信息进行认 证；

第三生成单元， 用于在所述第二认证单元认证成功后根据所述用户终 端的多接入信息生成密钥材料。

优选地， 所述接入转发功能模块从所述网络侧认证中心或所述接入管 理功能模块获取所述密钥材料； 所述接入转发功能模块利用所述密钥材料 对所述用户终端的接入业务信息进行加解密。

优选地， 所述第二生成单元进一步根据所述用户终端的多接入信息生 成各接入接口的密钥材料；

所述第三生成单元根据所述用户终端的多接入信息生成各接入接口的 密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述第三生成单元将所生成的密钥材料直接发送给所述接入转发功能 模块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

优选地， 所述第二生成单元进一步生成一个主密钥， 并根据所述用户 终端的多接入信息生成各接入接口的密钥材料；

所述第三生成单元进一步生成一个主密钥， 再根据所述用户终端的多 接入信息生成各接入接口的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述第三生成单元将所生成的密钥材料直接发送给所述接入转发功能模 块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

优选地， 所述第二生成单元进一步生成一个主密钥， 并根据所述用户 终端的多接入信息生成各接入接口的密钥材料；

所述第三生成单元进一步根据所述用户终端的多接入信息生成各接入 接口的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述第三生成单元将所生成的密钥材料直接发送给所述接入转发功能模 块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。 优选地， 所述第二生成单元进一步根据所述用户终端的多接入信息生 成各接入接口的密钥材料；

所述第三生成单元进一步生成一个主密钥， 再根据所述用户终端的多 接入信息生成各接入接口的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述第三生成单元将所生成的密钥材料直接发送给所述接入转发功能 模块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

优选地， 所述第二生成单元进一步根据所述用户终端的多接入信息生 成各接入接口的密钥材料；

所述第三生成单元进一步生成主密钥， 并发送给所述接入管理功能模 块； 所述接入管理功能模块根据所述主密钥及所述用户终端的多接入信息 生成各接入接口的密钥材料； 其中， 所述接入管理功能模块从所述用户终 端或所述网络侧认证中心获取所述用户终端的多接入信息；

所述接入转发功能模块从所述接入管理功能模块获取所述密钥材料 为：

所述接入管理功能模块将所生成的密钥材料发送给所述接入转发功能 模块。

优选地， 所述第二生成单元进一步生成主密钥， 并根据所述用户终端 的多接入信息生成各接入接口的密钥材料；

所述第三生成单元进一步生成主密钥， 并发送给所述接入管理功能模 块；

所述接入管理功能模块根据所述主密钥及所述用户终端的多接入信息 生成各接入接口的密钥材料； 其中， 所述接入管理功能模块从所述用户终 端或所述网络侧认证中心获取所述用户终端的多接入信息；

所述接入转发功能模块从所述接入管理功能模块获取所述密钥材料 所述接入管理功能模块将所生成的密钥材料发送给所述接入转发功能 模块。

本发明中， 在用户终端接入 NGN网络中而与 NGN网络中的认证服务 器进行认证时， 用户终端将自身支持的多接入信息通知给认证服务器， 该 认证服务器与用户终端侧利用相同的密钥生成方式为多接入信息生成密钥 材料， 用户终端与网络侧进行相应业务时， 使用相应的密钥材料对业务信 息进行加解密， 从而在网络侧与用户终端之间实现对多接入信息进行保护。 本发明中， 用户终端在首次接入网络时在认证过程中即实现用户终端多接 入信息密钥材料的生成， 不必为每种接入业务单独进行认证并生成相应的 密钥材料， 从而节约了宝贵的空口资源， 并提高了用户终端接入网络的效 率。 附图说明

图 1为本发明下- -代网络中多接入认证方法实施例一的流程图 图 2为本发明下- -代网络中多接入认证方法实施例二的流程图 图 3为本发明下- -代网络中多接入认证方法实施例三的流程图 图 4为本发明下- -代网络中多接入认证方法实施例四的流程图 图 5为本发明下- -代网络中多接入认证方法实施例五的流程图 图 6为本发明下- -代网络中多接入认证方法实施例六的流程图 图 7为本发明下- -代网络中多接入认证方法实施例七的流程图 图 8为本发明下- -代网络中多接入认证系统的组成结构示意图 具体实施方式

本发明的基本思想为： 在用户终端接入 NGN网络中而与 NGN网络中 的认证服务器进行认证时， 用户终端将自身支持的多接入信息通知给认证 服务器， 该认证服务器与用户终端侧利用相同的密钥生成方式为多接入信 息生成密钥材料， 用户终端与网络侧进行相应业务时， 使用相应的密钥材 料对业务信息进行加解密， 从而在网络侧与用户终端之间实现对多接入信 息进行保护。

为使本发明的目的、 技术方案和优点更加清楚明白， 以下举实施例并 参照附图， 对本发明进一步详细说明。

本发明中， NGN网络包括网络侧和用户终端， 其中， 网络侧设置有网 络侧认证中心、 用户数据中心及接入节点等， 网络侧认证中心包括认证服 务器等具有认证功能的网元， 用户信息中心用于存储用户终端的签约信息 等数据， 如网络侧的归属位置寄存器（ HLR, Home Location Register )或归 属用户服务器（HSS , Home Subscriber Server )等网元； 接入节点包括基站 和 /或基站控制器等网元， 接入节点中包括接入转发功能模块及接入管理功 能模块等基本功能模块， 其中， 接入转发功能模块用于对接入业务进行转 发， 接入管理功能模块用于对接入业务进行相应管理。 由于上述网元均为 现有网元， 其功能与现有网元也未有实质性区别， 不再赘述其具体结构及 功能。 以下， 结合附图， 进一步阐述本发明的技术方案的实质。

图 1为本发明下一代网络中多接入认证方法实施例一的流程图，如图 1 所示， 本示例下一代网络中多接入认证方法包括以下步骤：

步骤 110, 用户终端接入网络时， 通过接入节点向认证服务器发送自身 的相关消息， 用户终端发送给认证服务器的消息中， 至少包含该用户终端 的签约信息、 自身所支持的多接入业务的多接入信息， 其中， 多接入信息 包含多接入业务的标志以及用户终端的多接口信息等。 认证服务器收到用 户终端发送的相关消息后， 生成相应的认证向量。 这里， 认证向量可以直 接在认证服务器本地生成， 具体的， 根据用户终端上报的用户签约信息等 利用事先设置的认证向量的相关算法， 直接计算即可。 这里， 计算认证向 量涉及的基本信息包含用户签约的各种信息及用户终端的标识信息等。 上 述的认证向量， 也可以通过与用户信息中心交互， 获取用户终端的签约信 息后再生成认证向量。

步骤 120,认证服务器向用户终端发送认证请求， 认证请求包含认证信 息比如挑战值等。

接收到用户终端的相关信息后， 实现对用户终端的认证流程， 该认证 流程将是网络侧及认证服务器双方互认证的过程。 具体的， 认证服务器首 先向用户终端发起认证请求， 实现对用户终端的认证。

步骤 130, 用户终端收到认证请求后， 根据认证请求中的认证信息对网 络侧进行认证， 认证成功后， 根据多接入信息生成密钥材料和网络侧认证 信息。 并将所生成的网络侧认证信息发送给认证服务器。

步骤 140: 认证服务器收到认证响应信息后，根据认证响应中的信息认 证终端， 认证成功后， 认证服务器根据用户终端的多接入信息生成密钥材 料。 认证服务器将密钥材料发送给接入转发功能模块， 或同时发送给接入 转发功能模块和接入管理功能模块， 或者， 通过接入管理功能模块发送给 接入转发功能模块。 用户终端与网络侧实现各业务时， 通过密钥材料对多 接入信息进行保护。

本示例中， 用户终端与认证服务器生成密钥材料的密钥生成算法相同， 也即是说， 相同的密钥生成算法事先配置于用户终端与认证服务器中， 用 户终端及认证服务器根据该相同的密钥生成算法， 并基于相同的元素生成 相应的密钥。 密钥生成算法如数据加密标准 （ DES , Data Encryption Standard ), 非对称加密源代码（RSA )等密钥生成算法。

本示例中， 用户终端及认证服务器侧根据用户终端的多接入信息生成 了一个密钥材料， 该密钥材料适用于用户终端的各接入业务对应的各个接 入接口， 也即所有的接入接口都将使用上述的密钥材料对业务信息进行加 解密。

图 2为本发明下一代网络中多接入认证方法实施例二的流程图，如图 2 所示， 本示例下一代网络中多接入认证方法包括以下步骤：

步骤 210, 用户终端接入网络时， 通过接入节点向认证服务器发送自身 的相关消息， 用户终端发送给认证服务器的消息中， 至少包含该用户终端 的签约信息、 自身所支持的多接入业务的多接入信息， 其中， 多接入信息 包含多接入业务的标志以及用户终端的多接口信息等。 认证服务器收到用 户终端发送的相关消息后， 生成相应的认证向量。

该步骤与前述步骤 110相同。

步骤 220,认证服务器向用户终端发送认证请求， 认证请求包含认证信 息比如挑战值等。 该步骤与前述步骤 120相同。

步骤 230 , 用户终端收到认证请求后， 根据认证请求中的认证信息对网 络侧进行认证， 认证成功后， 生成一个主密钥， 根据自身的多接入信息生 成各接入接口的密钥材料， 并生成的网络侧认证信息。 将所生成的网络侧 认证信息发送给认证服务器。

本步骤中， 用户终端将根据相应的密钥生成算法生成一个主密钥， 再 利用该主密钥对多接入的接口分别生成密钥材料， 各接入接口将使用各自 的密钥材料进行加解密处理。

步骤 240: 认证服务器收到认证响应信息后，根据认证响应中的信息认 证终端， 认证成功后， 认证服务器根据相应的密钥生成算法生成一个主密 钥， 再根据用户终端的多接入信息生成用户终端各接入接口的密钥材料。 认证服务器将生成的密钥材料发送给接入转发功能模块， 或同时发送给接 入转发功能模块和接入管理功能模块， 或者， 通过接入管理功能模块发送 给接入转发功能模块。 用户终端与网络侧实现各业务时， 通过密钥材料对 多接入信息进行保护。 本示例中， 用户终端与认证服务器生成密钥材料的密钥生成算法相同， 也即是说， 相同的密钥生成算法事先配置于用户终端与认证服务器中， 用 户终端侧及认证服务器均是先生成主密钥， 再根据用户终端多接入信息的 各个分别生成密钥材料， 而用户终端侧及认证服务器侧对应接入接口的密 钥材料是相同的。 密钥生成算法如数据加密标准 （ DES , Data Encryption Standard ), 非对称加密 （RSA )等密钥生成算法。

图 3为本发明下一代网络中多接入认证方法实施例三的流程图，如图 3 所示， 本示例下一代网络中多接入认证方法包括以下步骤：

步骤 310, 用户终端接入网络时， 通过接入节点向认证服务器发送自身 的相关消息， 用户终端发送给认证服务器的消息中， 至少包含该用户终端 的签约信息、 自身所支持的多接入业务的多接入信息， 其中， 多接入信息 包含多接入业务的标志以及用户终端的多接口信息等。 认证服务器收到用 户终端发送的相关消息后， 生成相应的认证向量。

该步骤与前述步骤 110相同。

步骤 320,认证服务器向用户终端发送认证请求， 认证请求包含认证信 息比如挑战值等。 该步骤与前述步骤 120相同。

步骤 330, 用户终端收到认证请求后， 根据认证请求中的认证信息对网 络侧进行认证， 认证成功后， 根据自身的多接入信息生成各接入接口的密 钥材料， 并生成的网络侧认证信息。 将所生成的网络侧认证信息发送给认 证服务器。

本步骤中， 用户终端将根据相应的密钥生成算法及多接入信息的各个 分别生成密钥材料， 各接入接口将使用各自的密钥材料进行加解密处理。

步骤 340: 认证服务器收到认证响应信息后，根据认证响应中的信息认 证终端， 认证成功后， 认证服务器根据相应的密钥生成算法及用户终端的 多接入信息生成用户终端各接入接口的密钥材料。 认证服务器将生成的密 钥材料发送给接入转发功能模块， 或同时发送给接入转发功能模块和接入 管理功能模块， 或者， 通过接入管理功能模块发送给接入转发功能模块。 用户终端与网络侧实现各业务时， 通过密钥材料对多接入信息进行保护。

本示例中， 用户终端与认证服务器生成密钥材料的密钥生成算法相同， 也即是说， 相同的密钥生成算法事先配置于用户终端与认证服务器中， 用 户终端及认证服务器根据该相同的密钥生成算法， 并基于相同的元素生成 相应的密钥。 密钥生成算法如数据加密标准 （ DES , Data Encryption Standard ), 非对称加密 （RSA )等密钥生成算法。

本示例中， 用户终端及认证服务器侧根据密钥生成算法及用户终端的 多接入信息的各个分别生成密钥材料。 用户终端与网络侧开展相应的接入 业务时， 将利用各接入接口的密钥材料进行加解密。

图 4为本发明下一代网络中多接入认证方法实施例四的流程图，如图 4 所示， 本示例下一代网络中多接入认证方法包括以下步骤：

步骤 410, 用户终端接入网络时， 通过接入节点向认证服务器发送自身 的相关消息， 用户终端发送给认证服务器的消息中， 至少包含该用户终端 的签约信息、 自身所支持的多接入业务的多接入信息， 其中， 多接入信息 包含多接入业务的标志以及用户终端的多接口信息等。 认证服务器收到用 户终端发送的相关消息后， 生成相应的认证向量。

该步骤与前述步骤 110相同。

步骤 420,认证服务器向用户终端发送认证请求， 认证请求包含认证信 息比如挑战值等。 该步骤与前述步骤 120相同。

步骤 430 , 用户终端收到认证请求后， 根据认证请求中的认证信息对网 络侧进行认证， 认证成功后， 生成一个主密钥， 根据自身的多接入信息生 成各接入接口的密钥材料， 并生成的网络侧认证信息。 将所生成的网络侧 认证信息发送给认证服务器。 本步骤中， 用户终端将根据相应的密钥生成算法生成一个主密钥， 再 利用该主密钥对多接入的接口分别生成密钥材料， 各接入接口将使用各自 的密钥材料进行加解密处理。

步骤 440: 认证服务器收到认证响应信息后，根据认证响应中的信息认 证终端， 认证成功后， 认证服务器根据相应的密钥生成算法及用户终端的 多接入信息生成用户终端各接入接口的密钥材料。 认证服务器将生成的密 钥材料发送给接入转发功能模块， 或同时发送给接入转发功能模块和接入 管理功能模块， 或者， 通过接入管理功能模块发送给接入转发功能模块。 用户终端与网络侧实现各业务时， 通过密钥材料对多接入信息进行保护。 本步骤与前述步骤 240 的主要区别在于， 不再生成主密钥， 而是直接更加 密钥生成算法及多接入信息中的各个分别生成相应接口的密钥材料。

本示例中， 用户终端与认证服务器生成密钥材料的密钥生成算法相同， 也即是说， 相同的密钥生成算法事先配置于用户终端与认证服务器中， 用 户终端侧先生成主密钥， 再根据用户终端多接入信息的各个分别生成密钥 材料， 而认证服务器则是根据该相同的密钥生成算法及用户终端多接入信 息的各个直接生成各个密钥材料， 这样， 用户终端侧及认证服务器侧对应 接入接口的密钥材料是相同的。 密钥生成算法如数据加密标准（DES, Data Encryption Standard ), 非对称加密 （RSA )等密钥生成算法。

图 5为本发明下一代网络中多接入认证方法实施例五的流程图，如图 5 所示， 本示例下一代网络中多接入认证方法包括以下步骤：

步骤 510, 用户终端接入网络时， 通过接入节点向认证服务器发送自身 的相关消息， 用户终端发送给认证服务器的消息中， 至少包含该用户终端 的签约信息、 自身所支持的多接入业务的多接入信息， 其中， 多接入信息 包含多接入业务的标志以及用户终端的多接口信息等。 认证服务器收到用 户终端发送的相关消息后， 生成相应的认证向量。 该步骤与前述步骤 110相同。

步骤 520,认证服务器向用户终端发送认证请求， 认证请求包含认证信 息比如挑战值等。

该步骤与前述步骤 120相同。

步骤 530, 用户终端收到认证请求后， 根据认证请求中的认证信息对网 络侧进行认证， 认证成功后， 根据自身的多接入信息生成各接入接口的密 钥材料， 并生成的网络侧认证信息。 将所生成的网络侧认证信息发送给认 证服务器。

本步骤中， 用户终端将根据相应的密钥生成算法及多接入信息的各个 分别生成密钥材料， 各接入接口将使用各自的密钥材料进行加解密处理。

步骤 540: 认证服务器收到认证响应信息后，根据认证响应中的信息认 证终端， 认证成功后， 认证服务器根据相应的密钥生成算法生成一个主密 钥， 再根据用户终端的多接入信息生成用户终端各接入接口的密钥材料。 认证服务器将生成的密钥材料发送给接入转发功能模块， 或同时发送给接 入转发功能模块和接入管理功能模块， 或者， 通过接入管理功能模块发送 给接入转发功能模块。 用户终端与网络侧实现各业务时， 通过密钥材料对 多接入信息进行保护。

本示例中， 用户终端与认证服务器生成密钥材料的密钥生成算法相同， 也即是说， 相同的密钥生成算法事先配置于用户终端与认证服务器中， 用 户终端侧根据自身配置的密钥生成算法及用户终端多接入信息的各个直接 生成各个密钥材料， 而认证服务器则是先生成主密钥， 再根据用户终端多 接入信息的各个分别生成密钥材料， 而用户终端侧及认证服务器侧对应接 入接口的密钥材料是相同的。 密钥生成算法如数据加密标准 （DES , Data Encryption Standard ), 非对称加密 （RSA )等密钥生成算法。

图 6为本发明下一代网络中多接入认证方法实施例六的流程图，如图 6 所示， 本示例下一代网络中多接入认证方法包括以下步骤：

步骤 610, 用户终端接入网络时， 通过接入节点向认证服务器发送自身 的相关消息， 用户终端发送给认证服务器的消息中， 至少包含该用户终端 的签约信息、 自身所支持的多接入业务的多接入信息， 其中， 多接入信息 包含多接入业务的标志以及用户终端的多接口信息等。 认证服务器收到用 户终端发送的相关消息后， 生成相应的认证向量。

该步骤与前述步骤 110相同。

步骤 620,认证服务器向用户终端发送认证请求， 认证请求包含认证信 息比如挑战值等。

该步骤与前述步骤 120相同。

步骤 630 , 用户终端收到认证请求后， 根据认证请求中的认证信息对网 络侧进行认证， 认证成功后， 根据自身的多接入信息生成各接入接口的密 钥材料， 并生成的网络侧认证信息。 将所生成的网络侧认证信息发送给认 证服务器。

本步骤中， 用户终端将根据相应的密钥生成算法及多接入信息的各个 分别生成密钥材料， 各接入接口将使用各自的密钥材料进行加解密处理。

步骤 640: 认证服务器收到认证响应信息后，根据认证响应中的信息认 证终端， 认证成功后， 认证服务器根据相应的密钥生成算法生成一个主密 钥， 并发送给所述接入管理功能模块；

步骤 650:接入管理功能模块根据主密钥及用户终端的多接入信息生成 各接入接口的密钥材料， 并发送给接入转发功能模块； 其中， 接入管理功 能模块从用户终端或网络侧认证中心获取用户终端的多接入信息。

本示例中， 用户终端、 接入管理功能模块与认证服务器中配置的密钥 生成算法相同， 也即是说， 相同的密钥生成算法事先配置于用户终端、 接 入管理功能模块与认证服务器中， 用户终端侧根据自身配置的密钥生成算 法及用户终端多接入信息的各个直接生成各个密钥材料， 而认证服务器则 仅生成主密钥。 接入管理功能模块根据主密钥及用户终端多接入信息的各 个分别生成密钥材料， 而用户终端侧及认证服务器侧对应接入接口的密钥 材料是相同的。 密钥生成算法如数据加密标准 （DES , Data Encryption Standard ), 非对称加密 （RSA )等密钥生成算法。

图 7为本发明下一代网络中多接入认证方法实施例七的流程图，如图 7 所示， 本示例下一代网络中多接入认证方法包括以下步骤：

步骤 710, 用户终端接入网络时， 通过接入节点向认证服务器发送自身 的相关消息， 用户终端发送给认证服务器的消息中， 至少包含该用户终端 的签约信息、 自身所支持的多接入业务的多接入信息， 其中， 多接入信息 包含多接入业务的标志以及用户终端的多接口信息等。 认证服务器收到用 户终端发送的相关消息后， 生成相应的认证向量。

该步骤与前述步骤 110相同。

步骤 720,认证服务器向用户终端发送认证请求， 认证请求包含认证信 息比如挑战值等。

该步骤与前述步骤 120相同。

步骤 730 , 用户终端收到认证请求后， 根据认证请求中的认证信息对网 络侧进行认证， 认证成功后， 生成一个主密钥， 根据自身的多接入信息生 成各接入接口的密钥材料， 并生成的网络侧认证信息。 将所生成的网络侧 认证信息发送给认证服务器。

本步骤中， 用户终端将根据相应的密钥生成算法生成一个主密钥， 再 利用该主密钥对多接入的接口分别生成密钥材料， 各接入接口将使用各自 的密钥材料进行加解密处理。

步骤 740: 认证服务器收到认证响应信息后，根据认证响应中的信息认 证终端， 认证成功后， 认证服务器根据相应的密钥生成算法生成一个主密 钥， 并发送给所述接入管理功能模块；

步骤 750:接入管理功能模块根据主密钥及用户终端的多接入信息生成 各接入接口的密钥材料， 并发送给接入转发功能模块； 其中， 接入管理功 能模块从用户终端或网络侧认证中心获取用户终端的多接入信息。

本示例中， 用户终端、 接入管理功能模块与认证服务器中配置的密钥 生成算法相同， 也即是说， 相同的密钥生成算法事先配置于用户终端、 接 入管理功能模块与认证服务器中， 用户终端侧首先生成主密钥， 再根据自 身配置的密钥生成算法及用户终端多接入信息的各个直接生成各个密钥材 料， 而认证服务器则仅生成主密钥。 接入管理功能模块根据主密钥及用户 终端多接入信息的各个分别生成密钥材料， 而用户终端侧及认证服务器侧 对应接入接口的密钥材料是相同的。 密钥生成算法如数据加密标准（DES , Data Encryption Standard ), 非对称加密 （RSA )等密钥生成算法。

本发明下一代网络中多接入认证系统包括网络侧和用户终端， 网络侧 设置有网络侧认证中心和接入节点， 所述接入节点中包含接入转发功能模 块及接入管理功能模块。 接入节点例如可以是基站、 接入网关等提供用户 终端接入的网元。 网络侧认证中心例如可以是认证服务器等网元。 图 8为 本发明下一代网络中多接入认证系统的组成结构示意图， 如图 8所示， 本 发明下一代网络中多接入认证系统还包括第一接收单元 80、 第一生成单元 81、 第二接收单元 82、 第一认证单元 83、 第二生成单元 84、 发送单元 85、 第二认证单元 86和第三生成单元 87, 其中， 第二接收单元 82、 第一认证 单元 83、 第二生成单元 84和发送单元 85设于用户终端中， 其余各单元设 于网络侧认证中心； 其中：

第一接收单元 80, 用于接收到用户终端发送的用户终端信息； 所述用 户终端信息包含所述用户终端的签约信息及多接入信息；

第一生成单元 81 , 用于在所述第一接收单元接收用户终端信息后生成 认证向量；

第二接收单元 82, 用于接收到网络侧认证中心发送的认证请求； 第一认证单元 83 , 用于对网络侧进行认证；

第二生成单元 84, 用于在所述第一认证单元 83认证成功后，根据所述 用户终端的多接入信息生成密钥材料和网络侧认证信息；

发送单元 85 ,用于将所述网络侧认证信息发送给所述网络侧认证中心； 其中， 所述认证请求中包含认证信息；

第二认证单元 86 , 用于利用所述认证向量对所述网络侧认证信息进行 认证；

第三生成单元 87 ,用于在所述第二认证单元 86认证成功后根据所述用 户终端的多接入信息生成密钥材料；

所述接入转发功能模块根据所述密钥材料对所述用户终端的接入业务 信息进行加解密。

接入转发功能模块从所述网络侧认证中心或所述接入管理功能模块获 取所述密钥材料； 所述接入转发功能模块利用所述密钥材料对所述用户终 端的接入业务信息进行加解密。

上述第二生成单元 84进一步根据所述用户终端的多接入信息生成一个 密钥材料；

对应地， 上述第三生成单元 87直接生成所述用户终端的多接入信息的 密钥材料； 所述接入转发功能模块从所述网络侧认证中心获取所述密钥材 料为： 上述第三生成单元 87将所生成的密钥材料直接发送给所述接入转发 功能模块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

或者， 上述第二生成单元 84进一步根据所述用户终端的多接入信息生 成各接入接口的密钥材料；

对应地， 上述第三生成单元 87根据所述用户终端的多接入信息生成各 接入接口的密钥材料； 所述接入转发功能模块从所述网络侧认证中心获取 所述密钥材料为： 上述第三生成单元 87将所生成的密钥材料直接发送给所 述接入转发功能模块， 或通过所述接入管理功能模块发送给所述接入转发 功能模块。

或者， 上述第二生成单元 84进一步生成一个主密钥， 并根据所述用户 终端的多接入信息生成各接入接口的密钥材料；

对应地， 上述第三生成单元 87进一步生成一个主密钥， 再根据所述用 户终端的多接入信息生成各接入接口的密钥材料所述接入转发功能模块从 所述网络侧认证中心获取所述密钥材料为： 上述第三生成单元 87将所生成 的密钥材料直接发送给所述接入转发功能模块， 或通过所述接入管理功能 模块发送给所述接入转发功能模块。

或者， 上述第二生成单元 84进一步生成一个主密钥， 并根据所述用户 终端的多接入信息生成各接入接口的密钥材料；

对应地， 上述第三生成单元 87进一步根据所述用户终端的多接入信息 生成各接入接口的密钥材料； 所述接入转发功能模块从所述网络侧认证中 心获取所述密钥材料为： 上述第三生成单元 87将所生成的密钥材料直接发 送给所述接入转发功能模块， 或通过所述接入管理功能模块发送给所述接 入转发功能模块。

或者， 上述第二生成单元 84进一步根据所述用户终端的多接入信息生 成各接入接口的密钥材料；

对应地， 上述第三生成单元 87进一步生成一个主密钥， 再根据所述用 户终端的多接入信息生成各接入接口的密钥材料； 所述接入转发功能模块 从所述网络侧认证中心获取所述密钥材料为： 上述第三生成单元 87将所生 成的密钥材料直接发送给所述接入转发功能模块， 或通过所述接入管理功 能模块发送给所述接入转发功能模块。 或者， 上述第二生成单元 84进一步根据所述用户终端的多接入信息生 成各接入接口的密钥材料；

对应地， 上述第三生成单元 87进一步生成主密钥， 并发送给所述接入 管理功能模块； 所述接入管理功能模块根据所述主密钥及所述用户终端的 多接入信息生成各接入接口的密钥材料； 其中， 所述接入管理功能模块从 所述用户终端或所述网络侧认证中心获取所述用户终端的多接入信息； 所述接入转发功能模块从所述接入管理功能模块获取所述密钥材料 为： 所述接入管理功能模块将所生成的密钥材料发送给所述接入转发功能 模块。

或者， 上述第二生成单元 84进一步生成主密钥， 并根据所述用户终端 的多接入信息生成各接入接口的密钥材料；

对应地， 上述第三生成单元 87进一步生成主密钥， 并发送给所述接入 管理功能模块； 所述接入管理功能模块根据所述主密钥及所述用户终端的 多接入信息生成各接入接口的密钥材料； 其中， 所述接入管理功能模块从 所述用户终端或所述网络侧认证中心获取所述用户终端的多接入信息； 所述接入转发功能模块从所述接入管理功能模块获取所述密钥材料 为： 所述接入管理功能模块将所生成的密钥材料发送给所述接入转发功能 模块。

本领域技术人员应当理解， 图 8所示的下一代网络中多接入认证系统 是为实现前述的下一代网络中多接入认证方法而设置的， 图中的各处理单 元的实现功能可参照前述方法的相关描述而理解。 图 8 所示的系统中各处 理单元的功能可通过运行于处理器上的程序而实现， 也可通过具体的逻辑 电路而实现。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

Claims

权利要求书

1、 一种下一代网络中多接入认证方法， 网络侧设置有网络侧认证中心 和接入节点， 所述接入节点中包含接入转发功能模块及接入管理功能模块； 其特征在于， 所述方法还包括：

网络侧认证中心接收到用户终端发送的用户终端信息后， 生成认证向 量； 所述用户终端信息包含所述用户终端的签约信息及多接入信息；

所述用户终端接收到网络侧认证中心发送的认证请求后， 对网络侧进 行认证， 认证成功后， 根据自身的多接入信息生成密钥材料和网络侧认证 信息， 并将所述网络侧认证信息发送给所述网络侧认证中心； 其中， 所述 认证请求中包含认证信息；

所述网络侧认证中心利用所述认证向量对所述网络侧认证信息进行认 证；

认证成功后根据所述用户终端的多接入信息生成密钥材料。

2、 根据权利要求 1所述的方法， 其特征在于， 所述方法还包括： 所述接入转发功能模块从所述网络侧认证中心或所述接入管理功能模 块获取所述密钥材料， 并利用所述密钥材料对所述用户终端的接入业务信 息进行加解密。

3、 根据权利要求 2所述的方法， 其特征在于， 根据所述用户终端自身 的多接入信息生成密钥材料， 具体为：

所述用户终端根据自身的多接入信息生成各接入接口的密钥材料； 所述认证成功后根据所述用户终端的多接入信息生成密钥材料为： 所述网络侧认证中心根据所述用户终端的多接入信息生成各接入接口 的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述网络侧认证中心直接发送给所述接入转发功能模块， 或通过所述 接入管理功能模块发送给所述接入转发功能模块。

4、 根据权利要求 2所述的方法， 其特征在于， 根据所述用户终端自身 的多接入信息生成密钥材料， 具体为：

所述用户终端生成主密钥， 并根据自身的多接入信息生成各接入接口 的密钥材料；

所述认证成功后根据所述用户终端的多接入信息生成密钥材料为： 所述网络侧认证中心生成主密钥， 并根据所述用户终端的多接入信息 生成各接入接口的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述网络侧认证中心将所生成的密钥材料直接发送给所述接入转发功 能模块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

5、 根据权利要求 2所述的方法， 其特征在于， 根据所述用户终端自身 的多接入信息生成密钥材料， 具体为：

所述用户终端生成一个主密钥， 并根据自身的多接入信息生成各接入 接口的密钥材料；

所述认证成功后根据所述用户终端的多接入信息生成密钥材料为： 所述网络侧认证中心根据所述用户终端的多接入信息生成各接入接口 的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述网络侧认证中心将所生成的密钥材料直接发送给所述接入转发功 能模块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

6、 根据权利要求 2所述的方法， 其特征在于， 根据所述用户终端自身 的多接入信息生成密钥材料， 具体为：

所述用户终端根据自身的多接入信息生成各接入接口的密钥材料； 所述认证成功后根据所述用户终端的多接入信息生成密钥材料为： 所述网络侧认证中心生成一个主密钥， 再根据所述用户终端的多接入 信息生成各接入接口的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述网络侧认证中心将所生成的密钥材料直接发送给所述接入转发功 能模块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

7、 根据权利要求 2所述的方法， 其特征在于， 根据所述用户终端自身 的多接入信息生成密钥材料， 具体为：

所述用户终端根据自身的多接入信息生成各接入接口的密钥材料； 所述认证成功后根据所述用户终端的多接入信息生成密钥材料为： 所述网络侧认证中心生成主密钥， 并通知给所述接入管理功能模块； 所述接入管理功能模块根据所述主密钥及所述用户终端的多接入信息生成 各接入接口的密钥材料； 其中， 所述接入管理功能模块从所述用户终端或 所述网络侧认证中心获取所述用户终端的多接入信息；

所述接入转发功能模块从所述接入管理功能模块获取所述密钥材料， 为；

所述接入管理功能模块将所生成的密钥材料发送给所述接入转发功能 模块。

8、 根据权利要求 1所述的方法， 其特征在于， 根据所述用户终端自身 的多接入信息生成密钥材料， 具体为：

所述用户终端生成一个主密钥， 并根据自身的多接入信息生成各接入 接口的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述网络侧认证中心生成主密钥， 并通知给所述接入管理功能模块； 所述接入管理功能模块根据所述主密钥及所述用户终端的多接入信息生成 各接入接口的密钥材料； 其中， 所述接入管理功能模块从所述用户终端或 所述网络侧认证中心获取所述用户终端的多接入信息；

所述接入转发功能模块从所述接入管理功能模块获取所述密钥材料， 为；

所述接入管理功能模块将所生成的密钥材料发送给所述接入转发功能 模块。

9、 一种下一代网络中多接入认证系统， 包括网络侧和用户终端， 网络 侧设置有网络侧认证中心和接入节点， 所述接入节点中包含接入转发功能 模块及接入管理功能模块； 其特征在于， 所述系统还包括第一接收单元、 第一生成单元、 第二接收单元、 第一认证单元、 第二生成单元、 发送单元、 第二认证单元和第三生成单元， 所述第二接收单元、 所述第一认证单元、 所述第二生成单元和发送单元设于用户终端中， 所述第一接收单元、 第一 生成单元、 第二认证单元和第三生成单元设于网络侧认证中心； 其中： 第一接收单元， 用于接收到用户终端发送的用户终端信息； 所述用户 终端信息包含所述用户终端的签约信息及多接入信息；

第一生成单元， 用于在所述第一接收单元接收用户终端信息后生成认 证向量；

第二接收单元， 用于接收到网络侧认证中心发送的认证请求； 第一认证单元， 用于对网络侧进行认证；

第二生成单元， 用于在所述第一认证单元认证成功后， 根据所述用户 终端的多接入信息生成密钥材料和网络侧认证信息；

发送单元， 用于将所述网络侧认证信息发送给所述网络侧认证中心； 其中， 所述认证请求中包含认证信息；

第二认证单元， 用于利用所述认证向量对所述网络侧认证信息进行认 证；

第三生成单元， 用于在所述第二认证单元认证成功后根据所述用户终 端的多接入信息生成密钥材料。

10、 根据权利要求 9所述的系统， 其特征在于， 所述接入转发功能模 块从所述网络侧认证中心或所述接入管理功能模块获取所述密钥材料； 所 述接入转发功能模块利用所述密钥材料对所述用户终端的接入业务信息进 行加解密。

11、 根据权利要求 9 所述的系统， 其特征在于， 所述第二生成单元进 一步根据所述用户终端的多接入信息生成各接入接口的密钥材料；

所述第三生成单元根据所述用户终端的多接入信息生成各接入接口的 密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述第三生成单元将所生成的密钥材料直接发送给所述接入转发功能 模块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

12、 根据权利要求 9所述的系统， 其特征在于， 所述第二生成单元进 一步生成一个主密钥， 并根据所述用户终端的多接入信息生成各接入接口 的密钥材料；

所述第三生成单元进一步生成一个主密钥， 再根据所述用户终端的多 接入信息生成各接入接口的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述第三生成单元将所生成的密钥材料直接发送给所述接入转发功能模 块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

13、 根据权利要求 9所述的系统， 其特征在于， 所述第二生成单元进 一步生成一个主密钥， 并根据所述用户终端的多接入信息生成各接入接口 的密钥材料；

所述第三生成单元进一步根据所述用户终端的多接入信息生成各接入 接口的密钥材料； 所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述第三生成单元将所生成的密钥材料直接发送给所述接入转发功能模 块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

14、 根据权利要求 9所述的系统， 其特征在于， 所述第二生成单元进 一步根据所述用户终端的多接入信息生成各接入接口的密钥材料；

所述第三生成单元进一步生成一个主密钥， 再根据所述用户终端的多 接入信息生成各接入接口的密钥材料；

所述接入转发功能模块从所述网络侧认证中心获取所述密钥材料为： 所述第三生成单元将所生成的密钥材料直接发送给所述接入转发功能 模块， 或通过所述接入管理功能模块发送给所述接入转发功能模块。

15、 根据权利要求 9所述的系统， 其特征在于， 所述第二生成单元进 一步根据所述用户终端的多接入信息生成各接入接口的密钥材料；

所述第三生成单元进一步生成主密钥， 并发送给所述接入管理功能模 块； 所述接入管理功能模块根据所述主密钥及所述用户终端的多接入信息 生成各接入接口的密钥材料； 其中， 所述接入管理功能模块从所述用户终 端或所述网络侧认证中心获取所述用户终端的多接入信息；

所述接入转发功能模块从所述接入管理功能模块获取所述密钥材料 为：

所述接入管理功能模块将所生成的密钥材料发送给所述接入转发功能 模块。