WO2012028043A1

WO2012028043A1 - 认证方法、装置及系统

Info

Publication number: WO2012028043A1
Application number: PCT/CN2011/077458
Authority: WO
Inventors: 和峰; 甘露; 冯成燕
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-09-03
Filing date: 2011-07-21
Publication date: 2012-03-08
Also published as: CN101951590B; CN101951590A

Abstract

本发明公开了一种认证方法、装置及系统，该方法包括：RN接收设备认证请求，其中设备认证请求中携带有使用随机数生成的设备认证数据；RN根据设备认证数据生成对应的设备认证响应值，并将设备认证响应值发送至网络侧，用于认证RN。本发明可以保证RN作为基站的合法性，并提高RN服务的用户设备的安全性。

Description

认证方法、装置及系统技术领域本发明涉及通信领域，具体而言，涉及一种认证方法、装置及系统。背景技术长期演进（Long Term Evolution, 简称为 LTE) 网络，如图 1所示，由演进全球陆地无线接入网（Evolved Universal Terrestrial Radio Access Network , 简称为 E-UTRAN)和演进分组交换中心（Evolved Packet Core, 简称为 EPC)组成，网络呈现扁平化。 EUTRAN通过 SI接口与 EPC相连。其中， EUTRAN由多个相互连接的演进基站（Evolved NodeB, 简称为 eNB)组成，各个 eNB之间通过 X2接口连接； EPC 由移动性管理实体（Mobility Management Entity, 简称为 MME) 和服务网关实体 ( Serving Gateway,简称为 S-GW)组成。另夕卜，在系统架构中还有一个归属环境（Home Environment, 简称为 HE)，即归属用户服务器（Home Subscriber Server, 简称为 HSS) 或归属位置寄存器（Home Location Register, 简称为 HLR)，作为用户数据库。它包含用户配置文件，执行用户的身份验证和授权，并可提供有关用户物理位置的信息等。为了满足日益增长的大带宽高速移动接入的需求，第三代伙伴组织计划（Third

Generation Partnership Projects,简称为 3GPP)推出高级长期演进 (Long-Term Evolution advance, 简称为 LTE- Advanced ) 标准。 LTE- Advanced 对于长期演进（Long-Term Evolution, 简称为 LTE) 系统的演进保留了 LTE的核心，在此基础上采用一系列技术对频域、空域进行扩充，以达到提高频谱利用率、增加系统容量等目的。无线中继 (Relay) 技术即是 LTE-Advanced中的核心技术之一，旨在扩展小区的覆盖范围，减少通信中的死角地区，平衡负载，转移热点地区的业务，节省用户设备 (User Equipment, 简称为 UE)即终端的发射功率。图 2是根据相关技术的引入中继节点后的接入网络架构示意图，如图 2所示，在现有的网络架构中增加一种新的中继节点（Relay-Node, 简称为 RN)，这种新增的 RN和施主演进基站（Donor-e B) 之间使用无线连接。其中， Donor-eNB 禾 P RN之间的接口称为 Un 口，两者之间的无线链路称为回程链路 (backhaul link); RN和用户设备（User Equipment, 简称为 UE) 之间的接口称为 Uu 口，其间的无线链路称为接入链路（access link)。下行数据先到达 Donor-eNB，然后传递给 RN， RN再传输至 UE，上行反之。在本发明的后续描述中，施主演进基站 (De B ) 统一描述为演进基站 e B。在实际通信过程中， RN即可以作为一个普通的终端设备，也可以作为一个基站。当 RN作为一个终端设备时， RN可以像普通 UE—样接入无线网络。普通 UE在接入时网络侧会对该其进行用户的鉴权认证和密钥协定（Authentication and Key Agreement,简称为 AKA)，在 LTE系统中该过程也称为演进分组系统（Evolved Packet System, 简称为 EPS) AKA，即 EPS AKA, 图 3是根据相关技术的 UE的 AKA过程流程图，该过程的流程如图 3所示：步骤 S301： UE/USIM向 MME发送 NAS消息。步骤 S303 : MME向 HSS发起认证数据请求消息，其中携带了 UE的用户标识信息，比如 UE 的国际移动用户标识（International Mobile Subscriber Identity, 简称为 IMSI), 以及服务网络标识（SN id) 和网络类型信息（Network type )。步骤 S305: HSS根据请求消息生成认证向量 {RAND, XRES, Kasme, AUTN} , 并通过认证数据响应消息发送给 MME。其中认证向量中各个分量的意义为： RAND 为 HSS产生的随机数， XRES为网络侧期望的用户响应， Kasme为 HSS产生的一个中间密钥，该密钥主要用于派生非接入层（Non-access stratum, NAS)和接入层（Access Stratum, AS) 的安全密钥，而 AUTN为网络认证标志（Authentication token )。 AUTN = SQN * AK (I AMF || MAC, 其中 SQN* AK是指由 HSS生成的序列号 SQN和匿名密钥 AK的异或操作， AMF是认证管理域（Authentication Management field), MAC为消息验证码。步骤 S307: MME向 UE发送用户认证请求消息（User authentication Request), 其中携带了 HSS生成的认证数据 RAND和 AUTN。步骤 S309: UE收到对 AUTN进行验证，验证的方法是使用 RAND、 AUTN中的 SQN*AK, 以及 UE的根密钥 K生成消息验证码 XMAC, 并验证 XMAC与 AUTN中的 MAC值是否一致，如果一致，则作为 AUTN验证通过，则根据 RAND和根密钥 K 按照约定算法计算 RES值，并通过用户认证响应消息（User authentication Response) 发送给 MME。步骤 S311 : MME收到后会比较 UE发来的 RES和最初从 HSS收到的 XRES, 如果两者一致，则认为用户的 AKA过程成功完成。需要说明的是，上述描述中 UE是指移动设备（Mobile Equipment, 简称为 ME) 和全球用户标识模块（Universal Subscriber Identity Module, 简称为 USIM) 的总称，上述过程实际是由 USIM完成的，该过程完成了 USIM的认证，即用户认证。上述过程完成后， USIM会根据根密钥 K生成 IK和 CK发送给 ME， ME根据 IK和 CK生成中间密钥 Kasme , 通过上述过程完成了网络对终端的签约认证（subscription Authentication) 或称 USIM认证和密钥协定。相关技术中，采用上述认证方法只能实现 RN作为一个终端接入时，对 RN进行用户认证，但是上述认证方法无法确保 RN作为基站的合法性，从而导致 RN服务的用户设备的安全性比较低。发明内容本发明的主要目的在于提供一种认证方法、装置及系统，以解决以上问题至少之

为了实现上述目的，根据本发明的一个方面，提供了一种认证方法。根据本发明的认证方法包括： RN接收设备认证请求，其中设备认证请求中携带有使用随机数生成的设备认证数据； RN根据设备认证数据生成对应的设备认证响应值，并将设备认证响应值发送至网络侧，用于认证 RN。在 RN接收设备认证请求之前，上述方法还包括：网络侧通过空口消息获取 RN 的设备标识或 RN的设备证书信息；网络侧根据 RN的设备标识或 RN的设备证书信息确定 RN的设备相关密钥；网络侧使用设备相关密钥生成设备认证数据，并将设备认证数据通过设备认证请求发送给 RN。网络侧使用设备相关密钥生成设备认证数据包括：根据 RN的设备相关密钥对随机参量 Para_RAND按照预定加密算法进行加密，并生成设备认证数据 Para_RAND_D，其中，随机参量为网络侧生成的随机数；和 /或选取用于生成 RN设备认证响应值的随机数 RAND_NW为设备认证数据。设备相关密钥为以下之一：设备相关密钥是 RN设备签约信息或者设备证书中的预共享密钥或参数；设备相关密钥是由预共享密钥或参数生成的新密钥或新参数。

RN根据设备认证数据生成对应的设备认证响应值包括：使用预定密钥派生算法 KDF确定设备认证响应值 RES_D=KDF (Ks， Y， Χ)，其中， Ks是设备相关密钥， Y 为 Para_RA D 禾 P/或 RA D_NW， Para RA D 是 RN 对接收到的设备认证数据 Para_RAND_D 按照预定加密算法对应的解密算法进行解密得到的随机参量， RA D_NW是接收到的随机数， X是可选参数，且 X为以下之一： RN和网络侧共享的数据和 /或网络侧生成的随机数。在将设备认证响应值发送至网络侧，用于认证 RN之后，上述方法还包括：网络侧判断接收到的设备认证响应值 RES_D与网络侧生成的期望设备响应 XRES_D是否一致，其中， XRES_D 为使用预定密钥派生算法 KDF 生成的网络侧期望设备响应 XRES D = KDF (Ks， Y， Χ)，其中， Ks是设备相关密钥， Y为 Para_RAND禾口 /或 RAND NW, Para RA D是 RN对 Para_RAND_D按照预定加密算法对应的解密算法进行解密得到的随机参量， RA D_NW是接收到的随机数， X是可选参数，且 X为以下之一： RN和网络侧共享的数据和 /或网络侧生成的随机数；如果判断结果为是，确定 RN认证通过。在确定 RN认证通过之后，上述方法还包括： RN和网络侧生成关联密钥，其中，关联密钥为以下之一：设备相关密钥；设备相关密钥和参量使用预定密钥派生算法派生的新密钥，参量包括： Kasme或由 Kasme派生的密钥，其中， Kasme为中间密钥。网络侧包括： MME和 HSS。为了实现上述目的，根据本发明的另一个方面，提供了一种 RN。根据本发明的 RN包括：接收模块，设置为接收设备认证请求，其中设备认证请求中携带有使用随机数生成的设备认证数据；第一生成模块，设置为根据设备认证数据生成对应的设备认证响应值；第一发送模块，设置为将设备认证响应值发送至网络侧，用于认证 RN。第一生成模块还设置为使用预定密钥派生算法 KDF 确定设备认证响应值 RES_D=KDF(Ks, Y， X)，其中， Ks是设备相关密钥， Y为 Para_RA D禾口 /或 RA D_NW， Para_RAND是 RN对 Para_RAND_D按照预定加密算法对应的解密算法进行解密得到的随机参量， RA D_NW是接收到的随机数， X可选参数，且 X为以下之一： RN和网络侧共享的数据；网络侧生成的随机数。上述 RN还包括第一关联密钥生成模块，设置为生成关联密钥，其中，关联密钥为以下之一：设备相关密钥；设备相关密钥和参量使用预定密钥派生算法生成的新密钥，参量包括： Kasme或由 Kasme生成的密钥，其中， Kasme为中间密钥。为了实现上述目的，根据本发明的又一个方面，提供了一种网络侧。根据本发明的网络侧包括：获取模块，设置为通过空口消息获取 RN的设备标识或 RN的设备证书信息；确定模块，设置为根据 RN的设备标识或 RN的设备证书信息确定 RN的设备相关密钥；第二生成模块，设置为使用设备相关密钥生成设备认证数据；第二发送模块，设置为将设备认证数据通过设备认证请求发送给 RN。第二生成模块包括：设备认证数据生成子模块，设置为根据 RN的设备相关密钥对随机参量 Para_RAND 按照预定加密算法进行加密，并生成设备认证数据 Para_RAND_D , 其中，随机参量为网络侧生成的随机数；和 /或选取子模块，设置为选取用于生成 RN设备认证响应值的随机数 RAND_NW为设备认证数据。上述网络侧还包括：判断模块，设置为判断接收到的设备认证响应值与网络侧生成的期望设备响应 XRES_D是否一致，其中， XRES_D为使用预定密钥派生算法 KDF 生成的网络侧期望设备响应 XRES_D = KDF ( Ks， Y， X) , 其中， Ks是设备相关密钥， Y为 Para_RAND禾口 /或 RA D_NW， Para RAND是 RN对 Para_RA D_D按照预定加密算法对应的解密算法进行解密得到的随机参量， RA D_NW是接收到的随机数， X 是可选参数，且 X为以下之一： RN和网络侧共享的数据；网络侧生成的随机数；认证模块，设置为在判断模块的判断结果为是时，确定 RN认证通过。上述网络侧还包括第二关联密钥生成模块，设置为生成关联密钥，其中，关联密钥为以下之一：设备相关密钥；设备相关密钥和参量使用预定密钥派生算法派生的新密钥，参量包括： Kasme或由 Kasme派生的密钥，其中， Kasme是相关密钥。上述网络侧包括 MME和 HSS。为了实现上述目的，根据本发明的又一个方面，提供了一种认证系统。根据本发明的认证系统包括上述 RN和上述网络侧。通过本发明，采用中继节点接收携带有设备认证数据的设备认证请求，其中并将生成的对应的设备认证响应值发送给 MME，用于认证 RN，解决了相关技术中的认证方法无法保证 RN作为基站的合法性，从而导致 RN服务的用户设备的安全性比较低的问题，保证了 RN作为基站的合法性，从而提高了 RN服务的用户设备的安全性。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图 1是根据相关技术的 LTE网络架构示意图；图 2是根据相关技术的引入中继节点后的接入网络架构示意图；图 3是根据相关技术的 UE的 AKA过程流程图；图 4是根据本发明实施例的认证方法的流程图；图 5是根据本发明优选实施例的设备认证流程图一；图 6是根据本发明优选实施例的设备认证流程图二；图 7是根据本发明优选实施例的设备认证流程图三；图 8是根据本发明优选实施例的设备认证流程图四；图 9是根据本发明优选实施例的设备认证流程图五；图 10是根据本发明优选实施例的认证数据生成示意图；图 11是根据本发明优选实施例的设备响应生成示意图；图 12是根据本发明优选实施例的设备关联密钥生成示意图；图 13是根据本发明实施例的 RN的结构框图；图 14是根据本发明实施例的 RN的优选的结构框图；图 15是根据本发明实施例的网络侧的结构框图；图 16是根据本发明实施例的网络侧的优选的结构框图；以及图 17是根据本发明实施例的认证系统的结构框图。具体实施方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。本实施例提供了一种认证方法，图 4是根据本发明实施例的认证方法的流程图，如图 4所示，该方法包括：步骤 S402， RN接收设备认证请求，其中设备认证请求中携带有使用随机数生成的设备认证数据；步骤 S404， RN根据设备认证数据生成对应的设备认证响应值，并将设备认证响应值发送至网络侧，用于认证 RN。通过上述步骤， RN接收用于认证的设备认证请求，并将生成的对应的设备认证响应值发送给网络侧，网络侧使用该设备认证响应值认证 RN，即发送至网络侧的设备认证响应值用于认证 RN，解决了相关技术中的认证方法无法保证 RN作为基站的合法性，继而导致 RN服务的用户设备的安全性比较低的问题，保证了 RN作为基站的合法性，从而提高了 RN服务的用户设备的安全性。优选地，在步骤 S402之前，上述方法还包括：网络侧通过空口消息获得 RN的设备标识或 RN的设备证书信息；根据 RN的设备标识或 RN的设备证书信息确定 RN的设备相关的密钥，然后使用设备相关密钥生成设备认证数据，并将设备认证数据通过设备认证请求发送给 RN。通过本优选实施例的生成步骤，实现了网络侧生成设备认证数据，提高了认证方法的适用性。下面对上述步骤网络侧使用设备相关密钥生成设备认证数据的优选的实施方式进行说明。根据 RN的设备相关密钥对随机参量 Para_RAND按照预定加密算法进行加密，并生成设备认证数据 Para_RAND_D，其中，随机参量为网络侧选取的随机数；和 /或选取用于生成 RN设备认证响应值的随机数 RAND_NW为设备认证数据。通过本优选实施例的生成步骤，实现了对随机参量加密并得到设备认证数据，提高了认证参数的可靠性。优选地，设备相关密钥为以下之一：设备相关密钥是 RN设备签约信息或者设备证书中的预共享密钥或参数；设备相关密钥是由预共享密钥或参数生成的新密钥或新参数。通过本优选实施例，实现密钥设定的灵活性。下面对步骤 S404的 RN根据设备认证数据生成对应的设备认证响应值 RES_D的一个优选实施方式进行说明。使用预定密钥派生算法 KDF 确定设备认证响应值 RES_D=KDF(Ks, Y， X)，其中， Ks是设备相关密钥， Y为 Para_RA D禾口 /或 RA D_NW， Para_RAND是 RN对接收到的设备认证数据 Para_RA D_D按照预定加密算法对应的解密算法进行解密得到的随机参量， RAND_NW是接收到的为网络侧生成的随机数的设备认证数据， X是可选参数，且 X为 RN和网络侧共享的数据，比如用户认证向量中的期望响应值 XRES; 网络侧生成的随机数。通过本优选实施例，实现了 RN根据接收到的设备认证数据确定设备认证响应值，提高了认证的可靠性。优选地，下面对步骤 S404中将设备认证响应值发送至网络侧，用于认证 RN的一个优选的实施方式进行说明。网络侧判断判断接收到的设备认证响应值 RES D与网络侧生成的期望设备认证响应值 XRES_D是否一致，其中， XRES_D为使用预定密钥派生算法 KDF生成的网络侧期望设备响应 XRES_D = KDF (Ks， Y， Χ)，其中， Ks是设备相关密钥， Y为 Para_RA D禾口 /或 RA D_NW， Para RA D是 RN对 Para_RA D_D 按照预定加密算法对应的解密算法进行解密得到的随机参量， RAND_NW是接收到的随机数， X是可选参数，且 X为 RN和网络侧共享的数据，比如用户认证向量中的期望响应值 XRES, 和 /或网络侧生成的随机数。如果判断结果为是，确定 RN认证通过。优选地，上述的约定加密 /解密算法，以及约定密钥派生算法是 RN与网络实现约定好的算法，具体计算方式可以使用当前已知的计算方法，本发明在此不做赘述。优选地，在上述步骤确定 RN认证通过之后，上述方法还还包括：

RN和网络侧生成关联密钥，其中，关联密钥为以下之一：设备相关密钥；设备相关密钥和参量使用预定密钥派生算法生成的新密钥，参量包括： Kasme或由 Kasme 派生的密钥，其中， Kasme是相关密钥。实施例一在本实施例结合了上述实施例及其中的优选实施方式，本实施例提供了一种设备认证方法，该方法包括：步骤 1 : HSS生成 RN设备认证所需的设备认证数据发送给 MME，由 MME向 RN发起设备认证请求，消息中携带所述设备认证数据， RN收到根据设备认证数据生成设备认证响应值并通过设备认证响应消息发送给网络侧，由网络侧验证 RN设备的响应值确认 RN设备认证是否成功。优选地， MME向 RN发起的设备认证过程可以复用 EPS AKA流程，也可使用新的消息流程。优选地，步骤 1中的设备认证数据的可以采用以下两种方式至少其中之一生成：

( 1 ) 与设备相关的验证信元 Para_RAND_D，设备相关的验证信元的生成方法可以为：根据 RN的设备相关的密钥 Ke对指定参数 Para_RAND通过约定加密算法进行加密。其中所述的指定参数 Para_RAND可以是随机生成的随机值，或其他 RN在解密之前无法知道的数值。 (2) 用于生成 RN设备认证响应值的指定参数 RA D_NW，该参数是随机生成的随机数。优选地，相应于不同的设备认证数据生成方法，步骤 1中的 RN生成设备认证响应值（RES_D) 可以采用以下至少其中之一的方法生成： ( 1 )首先对 RN设备认证数据中的验证信元进行解密，获得指定参数 Para_RAND，其中解密的密钥使用 RN的设备相关的密钥 Ke (如果使用的是非对称形式的设备密钥，则这里要使用加密密钥 Ke对应的解密密钥 Kd)，解密算法使用与约定加密算法对应的约定解密算法。然后使用 RN的设备相关的密钥 Ks和指定参数 Para_RAND使用约定的密钥派生算法（Key Derivation Function, KDF)生成 RES_D: RES D = KDF (Ks, Para_RAND ) ₀ 可选的该算法还可以有其他输入，比如设备认证数据中的指定参数 RAND NW, 或者是 RN随机生成的指定参数 RA D_RN。

( 2 ) 直接使用 RN 的设备相关的密钥 Ks 和设备认证数据中的指定参数 RA D_NW其使用约定的密钥派生算法生成 RES_D: RES D = KDF(Ks, RA D_NW)。可选的该算法还可以有其他输入，比如 RN随机生成的指定参数 RAND_RN，或者 RN 与网络侧共享的参数。步骤 2: 验证 RN设备认证响应值。该方法包括验证该响应值 RES_D是否与期望设备认证响应值 XRES_D—致，如果一致则认为 RN设备认证成功。优选地，步骤 2中的期望设备认证响应值 XRES_D由 HSS或者 MME生成，生成方法与 RN生成 RN设备响应 RES_D的方法和参数相同。优选地， HSS (或者 MME) 生成期望设备认证响应值 XRES_D的时间可以是在发起设备认证过程之前，也可以是在设备认证过程完成之后。优选地，在上述认证过程中还可以实现 HSS和 RN生成共享的设备关联密钥，设备关联密钥与设备身份相关，该密钥可以用来保护设备与网络侧（比如 MME 或者 e B) 之间的通信安全，也可以用来派生用于保护设备与网络侧之间的通信安全的其他密钥。 HSS侧生成设备关联密钥的时间可以在生成设备认证数据的同时，也可以是在完成 RN设备认证之后; RN侧生成设备关联密钥的时间时在完成 RN设备认证之后。需要说明的是，设备关联密钥的生成方法包括：直接使用 RN设备相关的密钥 Ks，或者是使用 RN设备相关的密钥和额外参数使用约定的密钥派生算法生成的新密钥。其中所述的额外参数可以是用户认证过程协定的中间密钥 Kasme,或者由 Kasme派生的其他密钥，也可以是其他 RN和网络侧共享的一个数值。优选地，设备关联密钥也可以由 MME完成。优选地，上述的 RN设备相关的密钥 Ks，和 /或加密密钥 Ke，和 /或解密密钥 Kd 都是 RN和 HSS (或者 MME) 共享的密钥，该密钥可以是存在于 RN设备签约信息 ( Subscription data) 或者设备证书（Device Certificate) 中的预共享密钥，也可以是由该共享派生的新密钥，它们可以是同一个密钥，也可以是由共享密钥派生的不同密钥。上述的约定加密 /解密算法，以及约定密钥派生算法是只 RN与网络实现约定好的算法，具体计算方式可以使用当前已知的计算方法，本发明在此不做赘述。实施例二在本实施例结合了上述实施例及其中的优选实施方式，本实施例提供了一种设备认证方法，在本实施例中的设备认证过程复用现有的 AKA流程，在请求消息中携带验证信元，期望设备响应由 HSS生成，并在 MME侧做验证；同时 HSS在设备认证之前的生成设备关联密钥。图 5是根据本发明优选实施例的设备认证流程图一，如图 5 所示，该方法包括：步骤 S501 : RN向 MME发起 NAS消息（比如 Attach request), 消息中携带了 RN 的设备标识信息 IMEI。步骤 S503 : MME收到后向 HSS发起认证数据请求（Authentication data Request) 消息，消息中携带 RN设备标识信息 IMEI。步骤 S505: HSS生成 IMEI对应设备的设备认证数据 AUTH_NW、 RN关联密钥

Kasme_D，以及期望设备认证响应值 XRES_D。其中认证数据由 HSS根据 RN的设备相关的密钥（比如 Ke) 对指定参数 Para_RAND进行加密获得，如图 8所示，其中 Para_RAND是 HSS生成的随机数。其中 Kasme_D由设备相关密钥（比如 Ks)和用户认证向量中的中间密钥 Kasme按照约定密钥派生算法计算得出，如图 10所示，。其中期望设备认证响应值 XRES_D，由 HSS使用 RN设备相关密钥（比如 Ks) 和指定参数 Para_RAND按照约定 KDF算法计算得出，如图 9所示。然后 HSS向 MME发送认证数据响应 ( Authentication data Response ) 消息，消息中携带了 RN 的认证数据 AUTH NW, 期望设备认证响应值 XRES_D，以及对应的 RN关联密钥 Kasme_D。步骤 S507 : MME 向 RN 发送认证请求消息，消息中携带设备的认证数据 AUTH—丽。步骤 S509: RN收到后，使用 RN设备相关的密钥 Ke (如果 RN设备使用的是非对称密钥形式，则此时需要使用加密密钥 ke 对应的解密密钥 Kd ) 对认证数据 AUTH_NW进行解密，获得指定参数 Para_RA D，然后使用与 HSS计算 Kasme_D和 XRES_D时相同的方法计算出设备关联密钥 Ka_Sme_D和设备相应 RES_D。并通过设备认证响应消息将 RES_D发送给 MME。步骤 S511 : MME收到后将 RES_D与XRES_D，如果两者一致，则表示 RN成功完成了设备认证，因为只有合法设备才有与网络侧共享的计算方法和算法密钥，非法设备因为得不到这些信息而无法生成正确的 RES_D。该认证过程之后 MME和 RN也拥有了相同的关联密钥 Ka_Sme_D，根据该中间密钥可以生成其他的用于保护空口信令的安全密钥。优选地，上述过程中， &31^_0和 ^8_0的计算也可以由 MME完成，计算方法同 HSS计算方法。实施例三在本实施例结合了上述实施例及其中的优选实施方式，本实施例提供了一种设备认证方法，在本实施例中，设备认证过程复用现有的 AKA流程，在请求消息中携带验证信元和生成设备响应的输入参数，同时期望设备响应由 HSS生成，并在 MME侧做验证；另外 MME在设备认证完成之后生成设备关联。图 6是根据本发明优选实施例的设备认证流程图二，如图 6所示，该方法包括：步骤 S601 : 同实施例二步骤 S501。步骤 S603 : 同实施例二步骤 S503。步骤 S605: HSS生成 IMEI对应设备的设备认证数据 AUTH_NW，以及期望设备认证响应值 XRES_D。其中认证数据由 HSS根据 RN的设备相关的加密密钥（比如 Ke) 对指定参数 Para_RAND进行加密获得，如图 8所示，其中 Para_RAND是 HSS 生成的随机数。其中期望设备认证响应值 XRES_D，由 HSS使用 RN设备相关密钥 Ks、指定参数 Para_RAND以及 HSS随机生成的随机数 RAND_NW作为入参，按照约定 KDF算法计算得出，如图 9所示： XRES_D=KDF (Ks， Para RA D, RA D_NW) o 然后 HSS向 MME发送认证数据响应（Authentication data Response) 消息，消息中携带了 RN的认证数据 AUTH_NW，期望设备认证响应值 XRES_D，以及 RN设备相关的密钥 Ks。优选的，上述设备认证数据 AUTH_NW和期望设备相应 XRES_D也可以由 MME 生成，具体计算方法同 HSS计算方法。步骤 S607 : MME 向 RN 发送认证请求消息，消息中携带设备的认证数据

AUTH NW, 以及随机值 RA D_NW。步骤 S609 : RN 收到后，对认证数据 AUTH_NW 进行解密，获得指定参数 Para_RAND, 然后使用与 HSS计算 XRES_D相同的方法计算设备认证相应 RES_D。并通过设备认证响应消息将 RES_D发送给 MME。然后 RN使用设备相关的密钥 Ks，中间密钥 Kasme以及 RN随机生成的随机值 RAND_RN作为入参，采用约定的 KDF 算法计算出设备关联密钥 Kasme_D: Kasme_D= KDF (Ks, Kasme, RA D_RN)。其中中间密钥 Kasme 在用户认证过程中生成的用户认证向量中的中间密钥。可选的 Kasme_D的入参还可以包含 HSS生成的随机值 RAND_NW，如图 9所示。步骤 S611 : MME收到后比较 RES_D与之前 HSS发来的 XRES_D，如果两者一致，则表示 RN成功完成了设备认证，同时 MME使用与 RN生成 &51^_0相同的计算方法生成相同的关联密钥 Ka_Sme_D，从而完成设备关联密钥的协定。根据该中间密钥可以生成其他的用于保护空口信令的安全密钥。实施例四在本实施例结合了上述实施例及其中的优选实施方式，本实施例提供了一种设备认证方法，在本实施例中该设备认证过程使用新的认证流程，该流程发生在 RN的用户认证之后，设备请求消息中携带验证信元和生成设备响应的输入参数，同时期望设备响应由 MME生成，并在 MME侧做验证；另外 HSS在设备认证发起之前生成设备关联。图 7是根据本发明优选实施例的设备认证流程图三，该方法包括：

S701 : 网络侧使用 EPS AKA流程对 RN进行用户认证。同时 RN在该步骤中通过 NAS消息将 RN的设备标识信息，比如设备证书信息发送给 MME，其中设备证书信息包括了设备的标识。步骤 S703 : MME向 HSS发送 RN设备标识信息（或设备证书信息）。步骤 S705 : HSS生成该设备的设备认证数据 AUTH_NW、RN关联密钥 Kasme_D。其中认证数据由 HSS 根据 RN 的设备相关的加密密钥（比如 Ke ) 对指定参数 Para_RAND进行加密获得，如图 8所示，其中 Para_RAND是 HSS生成的随机数。其中 Kasme_D由相关密钥（比如 Ks) 和用户认证向量中的中间密钥 Kasme按照约定密钥派生算法计算得出，如图 10 所示。然后 HSS 向 MME 发送认证数据响应 (Authentication data Response) 消息，消息中携带了 RN的认证数据 AUTH_NW，对应的 RN关联密钥 Kasme_D，以及 RN设备相关的密钥 Ks 。步骤 S707: MME根据密钥 Ks和 MME随机生成的随机值 RAND_NW，按照约定 KDF算法生成期望设备响应 XRES_D，如图 9所示，然后 MME向 RN发送设备认证请求消息，消息中携带设备的认证数据 AUTH_NW，以及随机值 RAND_NW。步骤 S709: RN收到后，使用 RN签约信息中的相关解密密钥（比如 Kd)对消息中的设备认证数据 AUTH_NW进行解密获得指定参数 Para_RAND。然后 RN使用与 MME计算 XRES_D相同的方法计算设备认证响应值 RES_D。然后向 MME发送认证响应消息，其中携带了 RES_D。然后 RN使用与 HSS生成 Ka_Sme_D相同的方法计算设备关联密钥 Kasme_D。步骤 S711 : MME收到后，比较 XRES_D是否与 RES_D—致，如果一致则说明 RN成功完成的设备认证。此时 MME 和 RN 也拥有了相同的设备关联密钥（比如 Kasme_D), 根据该密钥可以生成其他的用于保护空口信令的安全密钥。实施例五在本实施例结合了上述实施例及其中的优选实施方式，本实施例提供了一种设备认证方法，在本实施例中该设备认证过程使用新的认证流程，该流程发生在 RN的用户认证之后，设备请求消息中只携带生成设备响应的输入参数，同时期望设备响应由 HSS生成，并在 MME侧做验证；另外由 HSS在设备认证发起之前生成设备关联。图 8是根据本发明优选实施例的设备认证流程图四，如图 8所示，该方法包括：步骤 S801 : 同实施例四步骤 S701。步骤 S803 : 同实施例四步骤 S703。步骤 S805 : HSS 生成该设备的设备关联密钥 Ka_Sme_D 以及期望的设备相应

XRES_D。其中 Kasme_D由相关密钥（比如 Ks)和用户认证向量中的中间密钥 Kasme 按照约定密钥派生算法计算得出，如图 9所示。其中期望设备认证响应值 XRES_D，由 HSS使用 RN设备相关密钥 Ks以及 HSS随机生成的随机数 RA D_NW作为入参，按照约定 KDF算法计算得出： XRES D=KDF (Ks, RAND NW)。可选的，在该计算过程中还可以使用其他参数，比如使用 RN和 HSS共享的某个数值。然后 HSS向 MME发送认证数据响应（ Authentication data Response )消息，消息中携带了期望设备相应 XRES_D、相应的随机参数 RAND_NW，以及 RN关联密钥 Kasme_D。可选的，上述随机参数 RAND_NW和期望设备认证响应值 XRES_D 也可以由 MME生成，具体生成方法同 HSS的生成方法。步骤 S807: MME向 RN发送设备认证请求消息，消息中携带用于生成设备响应的输入 RA D_NW。步骤 S809: RN收到后，使用与 HSS生成 XRES_D时相同的方法计算设备认证响应值 RES_D，同样的使用与 HSS 生成设备关联密钥 Ka_Sme_D 相同的方法计算 Kasme_D。然后向 MME发送认证响应消息，其中携带了 RES_D。步骤 S811 : MME收到后比较 XRES_D是否与 RES_D—致，如果一致，则说明

RN成功完成了设备认证。此时 MME 和 RN 也拥有了相同的设备关联密钥（例如 Kasme_D), 根据该密钥可以生成其他的用于保护空口信令的安全密钥。实施例六在本实施例结合了上述实施例及其中的优选实施方式，本实施例提供了一种设备认证方法，在本实施例中该设备认证过程复用现有的 AKA流程，在请求消息中携带生成设备响应的输入参数，同时期望设备响应由 HSS生成，并在 HSS侧做验证；另外 HSS在设备认证完成之后生成设备关联并发送给 MME。图 9是根据本发明优选实施例的设备认证流程图五，如图 9所示，该方法包括：步骤 S901. 同实施例二步骤 S501。步骤 S903 : 同实施例二步骤 S503。步骤 S905: HSS随机生成随机值 RAND_NW。然后 HSS向 MME发送认证数据响应（Authentication data Response) 消息，消息中携带随机参数 RA D_NW。步骤 S907: MME向 RN发送认证请求消息，消息中携带随机值 RAND_NW。步骤 S909: RN收到后，使用设备相应的密钥 Ks、随机值 RAND_NW和 RN随机生成的随机值 RA D_RN 作为入参，采用约定的 KDF 算法生成设备认证相应 RES D: RES D = KDF (Ks, RA D NW, RA D RN), 可选的生成过程还可以使用其他参数，比如使用 RN和 HSS共享的某个数值。然后 RN通过设备认证响应消息将 RES_D和 RN生成的随机数 RAND_RN发送给 MME。同时 RN使用设备相关的密钥 Ks, 中间密钥 Kasme, HSS 生成的随机数 RAND_NW 以及 RN 随机生成的随机值 RAND RN作为入参，采用约定的 KDF算法计算出设备关联密钥 Kasme_D: Kasme_D= KDF (Ks, Kasme, RAKD NW, RA D_RN)。其中 Kasme是在用户认证过程中生成的用户认证向量中的中间密钥。步骤 S911 : MME收到后将 RES_D随机数 RA D_RN通过验证请求消息发送给 HSS。步骤 S913 : HSS使用与 RN生成 RES_D相同的方法计算期望设备相应 XRES_D，并比较 RES_D与之前 HSS发来的 XRES_D，如果两者一致，则表示 RN成功完成了设备认证。同时 HSS使用与 RN生成 Ka_Sme_D相同的计算方法生成相同的关联密钥 Kasme D, 然后 HSS通过验证响应消息将 Kasme_D发送给 MME。从而完成了 RN与

MME之间的设备关联密钥的协定。根据该中间密钥可以生成其他的用于保护空口信令的安全密钥。可选的上述步骤 S911和 S913中的验证请求 /响应过程，可以复用现有的 S6a接口上消息，也可以是新增消息。需要说明的是，上述所有实施例中的约定加密 /密钥派生算法都可以采用现有的已知方法，在此不做赘述，具体使用哪一种，可以根据实际情况决定。优选的，上述所有实施例用的加密 /密钥都可以采用在 RN签约数据中或 RN设备证书中的预共享密钥，或者由此密钥派生的新密钥。具体情况可以根据实际情况决定。优选地，如果 RN设备使用的是非对称密钥，则需要保证通信双方都知道对端的公钥。需要说明的是，上述实施例中的设备相关密钥是 RN设备签约信息或者设备证书中的预共享密钥或参数；或者设备相关密钥是由预共享密钥或参数生成的新密钥或新参数。上述各个实施例中所述的设备相关密钥可以相同的同一个新密钥、新参数，也可以是由共享密钥生成的不同密钥或参数。在以上实施例中，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。本实施例提供了一种 RN，图 13是根据本发明实施例的 RN的结构框图， RN包括接收模块 132、第一生成模块 134和第一发送模块 136，下面对上述结构进行详细描述：接收模块 132，设置为接收设备认证请求，其中设备认证请求中携带有使用随机数生成的设备认证数据；第一生成模块 134，连接至接收模块 132，设置为根据接收模块 132接收到的设备认证数据生成对应的设备认证响应值；第一发送模块 136，连接至第一生成模块 134，设置为将第一生成模块 134生成的设备认证响应值发送至网络侧，用于认证 RN。优选地，第一生成模块 134还设置为使用预定密钥派生算法 KDF确定设备认证响应值 RES_D=KDF (Ks， Y， Χ)，其中， Ks是设备相关密钥， Y为 Para_RAND禾口 /或 RAND NW, Para RA D是 RN对 Para_RAND_D按照预定加密算法对应的解密算法进行解密得到的随机参量， RA D_NW是接收到的随机数， X是可选参数，且 X为以下之一： RN和网络侧共享的数据；网络侧生成的随机数。图 14是根据本发明实施例的 RN的优选的结构框图，如图 14所示，上述装置还包括：第一关联密钥生成模块 142，下面对上述结构进行详细描述：第一关联密钥生成模块 142，连接至网络侧，设置为生成关联密钥，其中，关联密钥为以下之一：设备相关密钥；设备相关密钥和参量使用预定密钥派生算法派生的新密钥，参量包括： Kasme或由 Kasme派生的密钥，其中， Kasme为中间密钥。本实施例提供了一种网络侧，图 15是根据本发明实施例的网络侧的结构框图，如图 15所示，网络侧包括：获取模块 152、确定模块 154、第二生成模块 156、第二发送模块 158，下面对上述结构进行详细描述：获取模块 152，设置为通过空口消息获取 RN的设备标识或 RN的设备证书信息；确定模块 154，连接至获取模块 152，设置为根据获取模块 152获取到的 RN的设备标识或 RN的设备证书信息确定 RN的设备相关密钥；第二生成模块 156，连接至确定模块 154，设置为使用确定模块 154确定的设备相关密钥生成设备认证数据；第二发送模块 158，连接至第二生成模块 156，设置为将第二生成模块 156生成的设备认证数据通过设备认证请求发送给 RN。图 16是根据本发明实施例的网络侧的优选的结构框图，如图 16所示，第二生成模块 156包括：设备认证数据生成子模块 162和选取子模块 164; 网络侧还包括：判断模块 166、认证模块 168、第二关联密钥生成模块 169，下面对上述结构进行详细描

判断模块 166，设置为判断接收到的设备认证响应值与网络侧生成的期望设备响应 XRES_D是否一致，其中， XRES_D为使用预定密钥派生算法 KDF生成的网络侧期望设备响应 XRES_D = KDFCKs, Y， X)，其中， Ks是设备相关密钥， Y为 Para_RA D 禾口 /或 RA D_NW， Para RA D是 RN对 Para_RA D_D按照预定加密算法对应的解密算法进行解密得到的随机参量， RAND_NW是接收到的随机数， X是可选参数，且 X为以下之一： RN和网络侧共享的数据；网络侧生成的随机数；认证模块 168，连接至判断模块 166，设置为在判断模块 166的判断结果为是时，确定 RN认证通过。第二关联密钥设置模块 169，连接至认证模块 168，设置为在认证模块 168认证通过后设置关联密钥，其中，关联密钥为以下之一：设备相关密钥；设备相关密钥和参量使用预定密钥派生算法生成的新密钥，参量包括： Kasme或由 Kasme派生的密钥，其中， Kasme为中间密钥。本实施例提供了一种认证系统，图 17 是根据本发明实施例的认证系统的结构框图，如图 17所示，该认证系统包括： RN 2、网络侧 4， RN 2和网络侧 4的具体结构如上所示，在此不再赘述。通过上述实施例，可以实现网络对中继节点设备的认证，确保 RN的合法性，有效保护 RN服务的用户设备的安全性。同时使用在设备认证过程中协定的密钥保护 RN 与网络之间的通信安全，从而防止攻击者对通信内容的窃听及篡改，也保证了网络侧网元的安全。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种认证方法，包括：

中继节点 RN接收设备认证请求，其中所述设备认证请求中携带有使用随机数生成的设备认证数据；

所述 RN根据所述设备认证数据生成对应的设备认证响应值，并将所述设备认证响应值发送至网络侧，用于认证所述 RN。

2. 根据权利要求 1所述的方法，其中，在 RN接收设备认证请求之前，还包括：网络侧通过空口消息获取所述 RN的设备标识或所述 RN的设备证书信息；所述网络侧根据所述 RN的设备标识或所述 RN的设备证书信息确定所述 RN的设备相关密钥；

所述网络侧使用所述设备相关密钥生成所述设备认证数据，并将所述设备认证数据通过所述设备认证请求发送给所述 RN。

3. 根据权利要求 2所述的方法，其中，所述网络侧使用所述设备相关密钥生成所述设备认证数据包括：

根据所述 RN的设备相关密钥对随机参量 Para_RA D按照预定加密算法进行加密，并生成所述设备认证数据 P_ara_RAND_D，其中，所述随机参量为所述网络侧生成的随机数；和 /或选取用于生成所述 RN设备认证响应值的随机数 RAND_NW为所述设备认证数据。

4. 根据权利要求 2所述的方法，其中，所述设备相关密钥为以下之一：

所述设备相关密钥是 RN设备签约信息或者设备证书中的预共享密钥或参数；

所述设备相关密钥是由所述预共享密钥或所述参数生成的新密钥或新参数。

5. 根据权利要求 3所述的方法，其中，所述 RN根据所述设备认证数据生成对应的设备认证响应值包括：使用预定密钥派生算法 KDF确定所述设备认证响应值 RES_D=KDF (Ks, Y， X), 其中， Ks 是设备相关密钥， Y 为 Para_RA D 禾口 /或 RA D_NW， Para_RAND是所述 RN对接收到的设备认证数据 Para_RAND_D按照所述预定加密算法对应的解密算法进行解密得到的随机参量， RAND_NW是接收到的随机数， X是可选参数，且 X为以下之一：所述 RN和所述网络侧共享的数据和 /或所述网络侧生成的随机数。

6. 根据权利要求 4所述的方法，其中，在将所述设备认证响应值发送至网络侧，用于认证所述 RN之后，还包括：

所述网络侧判断接收到的所述设备认证响应值 RES_D 与所述网络侧生成的期望设备响应 XRES_D是否一致，其中， XRES_D为使用所述预定密钥派生算法 KDF生成的网络侧期望设备响应 XRES_D = KDF (Ks, Y， Χ)，其中， Ks是设备相关密钥， Y为 Para_RA D禾口 /或 RA D_NW， Para RA D是所述 RN对 Para_RAND_D按照所述预定加密算法对应的解密算法进行解密得到的随机参量， RA D_NW是接收到的随机数， X是可选参数，且 X为以下之一： RN和所述网络侧共享的数据和 /或所述网络侧生成的随机数；

如果判断结果为是，确定所述 RN认证通过。

7. 根据权利要求 6所述的方法，其中，在确定所述 RN认证通过之后，还包括：所述 RN和所述网络侧生成关联密钥，其中，所述关联密钥为以下之一：所述设备相关密钥；

所述设备相关密钥和参量使用预定密钥派生算法派生的新密钥，所述参量包括： Kasme或由 Kasme派生的密钥，其中， Kasme为中间密钥。

8. 根据权利要求 1至 7中任一项所述的方法，其中，所述网络侧包括：移动管理实体 MME和归属用户服务器 HSS。

9. 一种中继节点 RN，包括：

接收模块，设置为接收设备认证请求，其中所述设备认证请求中携带有使用随机数生成的设备认证数据；

第一生成模块，设置为根据所述设备认证数据生成对应的设备认证响应值; 第一发送模块，设置为将所述设备认证响应值发送至网络侧，用于认证所述腿。

10. 根据权利要求 9所述的 RN，其中，

所述第一生成模块还用于使用预定密钥派生算法 KDF 确定所述设备认证响应值 RES_D=KDF (Ks， Y， X),其中， Ks是设备相关密钥， Y为 Para_RA D 禾口 /或 RA D_NW， Para RA D是所述 RN对 Para_RA D_D按照所述预定加密算法对应的解密算法进行解密得到的随机参量， RAND_NW是接收到的随机数， X可选参数，且 X为以下之一：所述 RN和所述网络侧共享的数据；所述网络侧生成的随机数。

11. 根据权利要求 9所述的 RN，其中，还包括：

第一关联密钥生成模块，设置为生成关联密钥，其中，所述关联密钥为以下之一：所述设备相关密钥；

所述设备相关密钥和参量使用预定密钥派生算法生成的新密钥，所述参量包括： Kasme或由 Kasme生成的密钥，其中， Kasme为中间密钥。

12. 一种网络侧，包括：

获取模块，设置为通过空口消息获取所述 RN的设备标识或所述 RN的设备证书信息；

确定模块，设置为根据所述 RN的设备标识或所述 RN的设备证书信息确定所述 RN的设备相关密钥；

第二生成模块，设置为使用所述设备相关密钥生成所述设备认证数据；第二发送模块，设置为将所述设备认证数据通过所述设备认证请求发送给所述 RN。

13. 根据权利要求 12所述的网络侧，其中，所述第二生成模块包括：

设备认证数据生成子模块，设置为根据所述 RN的设备相关密钥对随机参量 Para_RAND 按照预定加密算法进行加密，并生成所述设备认证数据 Para_RAND_D, 其中，所述随机参量为所述网络侧生成的随机数；和 /或

选取子模块，设置为选取用于生成所述 RN 设备认证响应值的随机数 RAND NW为所述设备认证数据。

14. 根据权利要求 12所述的网络侧，其中，还包括：判断模块，设置为判断接收到的所述设备认证响应值与所述网络侧生成的期望设备响应 XRES_D是否一致，其中， XRES_D为使用所述预定密钥派生算法 KDF生成的网络侧期望设备响应 XRES_D = KDF (Ks， Υ， Χ)，其中， Ks 是设备相关密钥， Y为 Para_RAND和 /或 RAND_NW， Para RAND是所述 RN 对 Para_RAND_D按照所述预定加密算法对应的解密算法进行解密得到的随机参量， RAND_NW是接收到的随机数， X是可选参数，且 X为以下之一：所述 RN和所述网络侧共享的数据；所述网络侧生成的随机数；

认证模块，设置为在所述判断模块的判断结果为是时，确定所述 RN认证通过。

15. 根据权利要求 12所述的网络侧，其中，还包括：第二关联密钥生成模块，设置为生成关联密钥，其中，所述关联密钥为以下之一：所述设备相关密钥；

所述设备相关密钥和参量使用预定密钥派生算法派生的新密钥，所述参量包括： Kasme或由 Kasme派生的密钥，其中， Kasme是相关密钥。

16. 根据权利要求 12至 15中任一项所述的网络侧，其中，所述网络侧包括：移动管理实体 MME和归属用户服务器 HSS。一种认证系统，包括：根据权利要求 9至 11中任一项所述的 RN和根据权利要求 12至 16中任一项所述的网络侧。