WO2014113922A1

WO2014113922A1 - 移动通信系统的安全认证的方法和网络设备

Info

Publication number: WO2014113922A1
Application number: PCT/CN2013/070844
Authority: WO
Inventors: 陈璟; 靳维生
Original assignee: 华为技术有限公司
Priority date: 2013-01-22
Filing date: 2013-01-22
Publication date: 2014-07-31
Also published as: CN104937965A; CN104937965B; EP2941032A4; EP2941032A1

Abstract

本发明涉及一种移动通信系统的安全认证的方法和网络设备。所述方法包括：归属用户服务器（HSS）接收代理服务器发送的要求特殊认证向量的请求，该要求特殊认证向量的请求由该代理服务器接收到服务通用分组无线业务支持节点（SGSN）发送的要求认证向量的请求后发送（S110）；该HSS根据该要求特殊认证向量的请求，生成特殊认证向量（S120）；该HSS将该特殊认证向量发送给该代理服务器，以便该代理服务器、接入网网元、该SGSN和长期演进（LTE）用户设备（UE）完成安全认证（S130）。本发明能够使LTE UE使用2G/3G网络。

Description

移动通信系统的安全认证的方法和网络设备

技术领域

本发明实施例涉及通信领域，尤其涉及移动通信系统的安全认证的方法和网络设备。

背景技术长期演进（ Long Term Evolution,简称为 "LTE" )/系统架构演进 (System Architecture Evolution ，简称为 " SAE" )网络是标准组织第三代合作伙伴计 ¾J (3rd Generation Partnership Project ，简称为 "3GPP" )制定的新的移动通信系统。这种网络将是现有的包括宽带码分多址（Wideband Code Division Multiple Access , 简称为 "WCDMA" ) 网络、时分-同步码分多址（Time Division-Synchronous Code Division Multiple Access ,简称为 "TD-SCDMA" ) 网络、码分多址 2000 (Code Division Multiple Access 2000 ，简称为 "CDMA2000" )网络在内的 3G网络的下一步演进方向。目前在某些国家，已经有商业部署的 LTE/SAE 网络正在运行。安全是移动通信系统商业运营必不可少的特性，认证是安全特性中的一个重要特性。通用移动通信系统 ( Universal Mobile Telecommunication System, 简称为 "UMTS" ) 网洛和 LTE/SAE网洛制定了认证和密钥协商 ( Authentication and Key Agreement，简称为 "AKA" )机制来执行 UE和网络之间的双向认证。 UMTS网络的双向认证机制称为 UMTS AKA， LTE/SAE网络的双向认证机制称为演进分组系统（ Evolved Packet System, 简称为 "EPS" ) AKA。在某些特殊场景下，存在着 LTE 用户设备（User Equipment, 简称为 "UE" )通过 LTE接入网接入 2G/3G核心网的情况。由于 2G/3G核心网只能从 HSS获得 UMTS AV, 而 LTE UE在通过 LTE网络接入时，会拒绝使用 UMTS AV进行认证，因此 LTE UE不能够通过 LTE接入网接入 2G/3G核心网。发明内容

有鉴于此，本发明实施例提供了一种移动通信系统的安全认证的方法和网络设备，能够使 LTE UE完成安全认证接入 2G/3G网络。

第一方面，提供了一种移动通信系统的安全认证方法，包括： HSS接收代理服务器发送的要求特殊认证向量的请求，该要求特殊认证向量的请求由该代理服务器接收到 SGSN 发送的要求认证向量的请求后发送；

该 HSS根据该要求特殊认证向量的请求，生成特殊认证向量；该 HSS 将该特殊认证向量发送给该代理服务器，以便该代理服务器、接入网网元、该 SGSN和 LTE UE完成安全认证。

在第一种可能的实现方式中，该要求认证向量的请求是该 SGSN在接收到该接入网网元发送的 UMTS attach request消息后发送给该代理服务器，该 UMTS attach request消息是该接入网网元将 attach request消息转换所得，该 attach request消息由该 LTE UE发送。

在第二种可能的实现方式中，结合第一方面或第一方面的第一种可能的实现方式，该以便该代理月良务器、接入网网元、该 SGSN和 LTE UE完成安全认证包括：

该代理服务器将该特殊认证向量发送给该 SGSN，该 SGSN发送 UMTS AKA认证挑战给该接入网网元，该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA 认证挑战进行验证并生成 RES和密钥 K_ASME后，该 LTE UE将包含该 RES 的 LTE AKA认证响应发送给该接入网网元，以便该接入网网元、该 SGSN 和该 LTE UE进一步完成安全认证。

在第三种可能的实现方式中，结合第一方面或第一方面的第一种至第二种可能的实现方式，该特殊认证向量中包含 XRES、 CK、 IK;

该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括：该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将该 UMTS AKA认证响应发送给该 SGSN，该 SGSN比较该 RES和该 XRES 是否相同，当该比较结果为相同时，该 SGSN将该 CK和或 IK发送给该接入网网元，该接入网网元才艮据该 CK和或 IK生成 K_ASME，该接入网网元和该 LTE UE共享该 K_ASME。在第四种可能的实现方式中，结合第一方面的第三种可能的实现方式，该 SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时，中止进行安全认证。

在第五种可能的实现方式中，结合第一方面或第一方面的第一至第四任一种可能的实现方式，该要求特殊认证向量的请求由该代理服务器接收到

SGSN发送的要求认证向量的请求后发送包括：

该代理服务器接收该 SGSN发送的该要求认证向量的请求；

该代理服务器配备一个列表，该列表包括通过接入 2G/3G网络的 LTE

UE的标识信息；

该代理服务器根据该列表中的该标识信息，获知该 LTE UE的标识信息包含在该列表中，则该代理服务器识别出是该 LTE UE接入 2G或 3G网络；该代理服务器在该要求认证向量的请求中加入指示信息生成该要求特殊认证向量的请求，该指示信息用于指示该 HSS生成该特殊认证向量。

在第六种可能的实现方式中，结合第一方面或第一方面的第一至第五任一种可能的实现方式，该 HSS根据该要求特殊认证向量的请求，生成特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

该 HSS将该 EPS AV转换成 UMTS AV格式，该转换为 UMTS AV格式的 EPS AV为该特殊认证向量。

在第七种可能的实现方式中，结合第一方面的第六种可能的实现方式，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND，该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN，该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES，该 HSS将该 EPS AV中的 K_ASME拆分为两部分，分别作为该 UMTS AV的该 CK和该 IK。

在第八种可能的实现方式中，结合第一方面的第三至第七任一种可能的实现方式，该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：该接入网网元按照生成规则 K_ASME=CK||IK ，根据该 CK和或 IK生成该

KASMEO

第二方面，提供了一种移动通信系统的安全认证方法，包括：

SGSN接收接入网网元发送 UMTS attach request消息，该 UMTS attach request消息是该接入网网元将 LTE UE发送的 attach request消息转换所得；该 SGSN向该代理服务器发送要求认证向量的请求，以便该代理服务器接收到该要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求，进而以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量后发送给该代理服务器；

该 SGSN接收来自于该代理服务器的该特殊认证向量后，发送 UMTS

AKA认证挑战给该接入网网元，以便该 SGSN、该接入网网元和该 LTE UE 完成安全认证。

在第一种可能的实现方式中，该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括：

该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后

RES和密钥 K_ASME后，该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元，以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证。

在第二种可能的实现方式中，结合第二方面或第二方面的第一种可能的实现方式，该特殊认证向量包含 XRES、 CK、 IK;

该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括：该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将该 UMTS AKA认证响应发送给该 SGSN，该 SGSN比较该 RES和该 XRES 是否相同，当该比较结果为相同时，该 SGSN将该 CK和或 IK发送给该接入网网元，该接入网网元才艮据该 CK和或 IK生成 K_ASME，该接入网网元和该 LTE UE共享该 K_ASME。在第三种可能的实现方式中，结第二方面的第二种可能的实现方式，该

SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时，中止进行安全认证。

在第四种可能的实现方式中，结合第二方面或第二方面的第一种至第三种任一可能的实现方式，该以便该代理服务器接收到该要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求包括：

该代理服务器配备一个列表，该列表包括通过接入 2G/3G网络的 LTE UE的标识信息；

在第五种可能的实现方式中，结合第二方面或第二方面的第一种至第四种可能的实现方式，该以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

在第六种可能的实现方式中，结合第二方面的第五种可能的实现方式，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

在第七种可能的实现方式中，结合第二方面的第二种至第六种任一可能的实现方式，该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CK||IK ，根据该 CK和或 IK生成该 KASMEO

第三方面，提供了一种移动通信系统的安全认证方法，其特征在于，包括：

接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息；

该接入网网元将该 UMTS attach request消息发送给 SGSN,以便该 SGSN 收到该 UMTS attach request消息后发送要求认证向量的请求给代理服务器，以便该代理服务器收到该要求认证向量的请求后发送要求特殊认证向量的请求给该 HSS，进而以便该 HSS根据要求特殊认证向量的请求生成该特殊认证向量后将该特殊认证向量发送给该代理服务器；

该接入网网元接收 UMTS AKA认证挑战，该 UMTS AKA认证挑战为该 SGSN将该代理服务器发送的该特殊认证向量发送给该 SGSN后由该 SGSN 发送；

该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 以便该接入网网元、该 SGSN和该 LTE UE完成安全认证。

在第一种可能的实现方式中，该以便该接入网网元、该 SGSN和该 LTE UE完成安全认证包括：

该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 K_ASME; 以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证。

在第二种可能的实现方式中，结合第三方面或第三方面的第一种可能的实现方式，该特殊认证向量包含 XRES、 CK和 IK;

该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括：该接入网网元将包含该 RES的 LTE AKA认证响应转换为包含该 RES的

UMTS AKA认证响应，该接入网网元将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN，以便该 SGSN比较该 RES和该 XRES是否相同，当该比较结果为相同时，该 SGSN将该 CK和或 IK发送给该接入网网元；该接入网网元根据该 CK和或 IK生成 K_ASME，该接入网网元和该 LTE UE 共早该 KASME °

在第三种可能的实现方式中，结合第三方面的第二种可能的实现方式，该 SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时，中止进行安全认证。

在第四种可能的实现方式中，结合第三方面或第三方面的第一至第三任一种可能的实现方式，该代理服务器收到该要求认证向量的请求后发送要求特殊认证向量的请求给该 HSS包括：

UE的标识信息；

在第五种可能的实现方式中，结合第三方面或第三方面的第一至第四任一种可能的实现方式，该以便该 HSS根据要求特殊认证向量的请求生成该特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

在第六种可能的实现方式中，结合第三方面的第五种可能的实现方式，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND，该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN，该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES，该 HSS将该 EPS AV中的 K_ASME拆分为两部分，分别作为该 UMTS AV的该 CK和该 IK。在第七种可能的实现方式中，结合第三方面的第二至第六任一种可能的实现方式，该接入网网元根据该 CK和或 IK生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CK||IK ，根据该 CK和或 IK生成该

KASMEO

第四方面，提供了一种移动通信系统的安全认证方法，其特征在于，包括：

代理服务器接收 SGSN发送的要求认证向量的请求，该要求认证向量的请求由该 SGSN在收到接入网网元发送的 UMTS attach request消息后发送；该代理服务器发送要求特殊认证向量的请求给该 HSS，以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量；

该代理服务器接收该 HSS发送的该特殊认证向量后，该代理服务器将该特殊认证向量发送给该 SGSN，以便该 SGSN、该接入网网元和该 LTE UE 完成安全认证。

在第一种可能的实现方式中，该 UMTS attach request消息是该接入网网元将 attach request消息转换所得，该 attach request消息由该 LTE UE发送。

在第二种可能的实现方式中，结合第四方面或第四方面的第一种可能的实现方式，该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括：该 SGSN发送 UMTS AKA认证挑战给该接入网网元，该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE ,该该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元，以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证。

在第三种可能的实现方式中，结合第四方面或第四方面的第一种至第二种可能的实现方式，该特殊认证向量中包含 XRES、 CK、 IK;

该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括：该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将该 UMTS AKA认证响应发送给该 SGSN，该 SGSN比较该 RES和该 XRES 是否相同，当该比较结果为相同时，该 SGSN将该 CK和或 IK发送给该接入网网元，该接入网网元才艮据该 CK和或 IK生成 K_ASME，该接入网网元和该 LTE UE共享该 K_ASME。

在第四种可能的实现方式中，第四方面的第三种可能的实现方式，该 SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时，中止进行安全认证。

在第五种可能的实现方式中，结合第四方面或第四方面的第一至第四任一种可能的实现方式，该代理服务器发送要求特殊认证向量的请求给该 HSS 包括：

UE的标识信息；

在第六种可能的实现方式中，结合第四方面或第四方面的第一至第五任一种可能的实现方式，该 HSS生成特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

在第七种可能的实现方式中，结合第四方面的第六种可能的实现方式，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

在第八种可能的实现方式中，结合第四方面的第三至第七任一种可能的实现方式，该接入网网元根据该 CK和或 IK生成 K_ASME包括：

KASMEO

第五方面，提供了一种移动通信系统的安全认证方法，包括：接收模块，处理模块，发送模块；

该接收模块用于接收代理服务器发送的要求特殊认证向量的请求，该要求特殊认证向量的请求由该代理服务器接收到 SGSN 发送的要求认证向量的请求后发送；

该处理模块用于根据该要求特殊认证向量的请求，生成特殊认证向量；该发送模块用于将该特殊认证向量发送给该代理服务器，以便该代理服务器、接入网网元、该 SGSN和 LTE UE完成安全认证。

在第二种可能的实现方式中，结合第五方面或第五方面的第一种可能的实现方式，该以便该给该代理服务器、接入网网元、该 SGSN和 LTE UE完成安全认证包括：

该给该代理服务器将该特殊认证向量发送给该 SGSN，该 SGSN发送 UMTS AKA认证挑战给该接入网网元，该接入网网元将该 UMTS AKA认证 4兆战转换成 LTE AKA认证^战后发送给该 LTE UE，该 LTE UE才艮据该 LTE AKA认证挑战进行验证并生成 RES和密钥 K_ASME后，该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元，以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证。

在第三种可能的实现方式中，结合第五方面或第五方面的第一种至第二种可能的实现方式，该特殊认证向量中包含 XRES、 CK、 IK;

在第四种可能的实现方式中，结合第五方面的第三种可能的实现方式，该 SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时，中止进行安全认证。

在第五种可能的实现方式中，结合第五方面或第五方面的第一至第四任一种可能的实现方式，该要求特殊认证向量的请求由该代理服务器接收到 SGSN发送的要求认证向量的请求后发送包括：

该代理服务器接收该 SGSN发送的该要求认证向量的请求；

该代理服务器识别出是 LTE UE接入 2G或 3G网络；

该代理服务器在该认证向量中加入指示信息生成该要求特殊认证向量的请求，该指示信息用于指示该 HSS生成该特殊认证向量。

在第六种可能的实现方式中，结合第五方面或第五方面的第一至第五任一种可能的实现方式，该处理模块用于根据该要求特殊认证向量的请求，生成特殊认证向量包括：

该处理模块用于为该 LTE UE生成 EPS AV;

该处理模块用于将该 EPS AV转换成 UMTS AV格式，该转换为 UMTS

AV格式的 EPS AV为该特殊认证向量。

在第七种可能的实现方式中，结合第五方面的第六种可能的实现方式，该处理模块用于将该 EPS AV转换成 UMTS AV格式包括：

该处理模块用于将该 EPS AV中的 RAND作为该 UMTS AV的 RAND，该处理模块用于将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN，该处理模块用于将该 EPS AV中的 XRES作为该 UMTS AV的 XRES，该处理模块用于将该 EPS AV中的 K_ASME拆分为两部分，分别作为该 UMTS AV的该 CK和该 IK：。

在第八种可能的实现方式中，结合第五方面的第三至第七任一种可能的实现方式，该接入网网元根据该 CK和或 IK生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CK||IK ，根据该 CK和或 IK生成该 KASME。

第六方面，提供了一种 SGSN，其特征在于，包括：接收模块；发送模块；

该接收模块用于接收接入网网元发送的 UMTS attach request消息，该 UMTS attach request消息是该接入网网元将 LTE UE发送的 attach request消息转换所得；

该发送模块用于向该代理服务器发送要求认证向量的请求，以便该代理服务器接收到该要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求，进而以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量后发送给该代理服务器；

该接收模块还用于接收来自于该代理服务器的该特殊认证向量，该发送模块还用于该接收模块接收到该特殊认证向量后发送 UMTS AKA认证挑战给该接入网网元，以便该 SGSN、该接入网网元和该 LTE UE完成安全认证。

该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后

在第二种可能的实现方式中，结合第六方面或第六方面的第一种可能的实现方式，该 SGSN还包括处理模块；

该特殊认证向量包含 XRES、 CK、 IK; 该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括：该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将该 UMTS AKA认证响应发送给该接收模块，该处理模块用于比较该 RES 和该 XRES是否相同，当该比较结果为相同时，该发送模块将该 CK和或 IK 发送给该接入网网元，该接入网网元根据该 CK和或 IK生成 K_ASME，该 CK 和或 IK由该发送模块发送，该接入网网元和该 LTE UE共享该 K_ASME。

在第三种可能的实现方式中，结第六方面的第二种可能的实现方式，该处理模块用于比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时，中止进行安全认证。

在第四种可能的实现方式中，结合第六方面或第六方面的第一种至第三种任一可能的实现方式，该以便该代理服务器接收到该要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求包括：

在第五种可能的实现方式中，结合第六方面或第六方面的第一种至第四种可能的实现方式，该以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

在第六种可能的实现方式中，结合第六方面的第五种可能的实现方式，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

在第七种可能的实现方式中，结合第六方面的第二种至第六种任一可能的实现方式，该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：

第七方面，提供了一种接入网网元，其特征在于，包括：接收模块，处理模块，发送模块；

该接收模块用于接收来自 LTE UE的 attach request消息；该处理模块用于将该 attach request消息转换为 UMTS attach request消息；

该发送模块用于将该 UMTS attach request消息发送给 SGSN，以便该 SGSN收到该 UMTS attach request消息后发送要求认证向量的请求给该代理服务器，以便该代理服务器收到该要求认证向量的请求后发送要求特殊认证向量的请求给该 HSS，进而以便该 HSS根据要求特殊认证向量的请求生成该特殊认证向量后将该特殊认证向量发送给该代理服务器

该接收模块还用于接收 UMTS AKA认证挑战，该 UMTS AKA认证挑战为该 SGSN将该代理服务器发送的该特殊认证向量发送给该 SGSN后由该 SGSN发送；

该处理模块还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战，该发送模块还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以便该接入网网元、该 SGSN和该 LTE UE完成安全认证。

该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 K_ASME；该接收模块用于接收该 LTE UE发送的包含该 RES的 LTE AKA认证响应，以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证。在第二种可能的实现方式中，结合第七方面或第七方面的第一种可能的实现方式，该特殊认证向量包含 XRES、 CK和 IK;

该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括：该处理模块还用于将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应，该发送模块还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN，以便该 SGSN比较该 RES和该 XRES是否相同，当该比较结果为相同时，该 SGSN将该 CK和或 IK发送给该接入网网元；

该处理模块还用于根据该 CK和或 IK生成 K_ASME，该接入网网元和该 LTE UE共享该 K_ASME。

在第三种可能的实现方式中，结合第七方面的第二种可能的实现方式，该 SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时，中止进行安全认证。

在第四种可能的实现方式中，结合第七方面或第七方面的第一至第三任一种可能的实现方式，该代理服务器收到该要求认证向量的请求后发送要求特殊认证向量的请求给该 HSS包括：

在第五种可能的实现方式中，结合第七方面或第七方面的第一至第四任一种可能的实现方式，该以便该 HSS根据要求特殊认证向量的请求生成该特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

在第六种可能的实现方式中，结合第七方面的第五种可能的实现方式，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND，该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN，该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES，该 HSS将该 EPS AV中的 K_ASME ( 256bits ) 拆分为两部分，分别作为该 UMTS AV的该 CK和该 IK。

在第七种可能的实现方式中，结合第七方面的第二至第六任一种可能的实现方式，该处理模块进一步用于按照生成规则 K_ASME=CK||IK ，根据该 CK 和或 IK生成该 K_ASME。

第八方面，提供了一种移动通信系统的代理服务器，其特征在于，包括：接收模块；发送模块；

该接收模块用于接收 SGSN发送的要求认证向量的请求，该要求认证向量的请求由该 SGSN在收到接入网网元发送的 UMTS attach request消息后发送；

该发送模块用于发送要求特殊认证向量的请求给该 HSS，以便该 HSS 根据该要求特殊认证向量的请求生成该特殊认证向量；

该接收模块用于接收该 HSS发送的该特殊认证向量后，该代理服务器将该特殊认证向量发送给该 SGSN，以便该 SGSN、该接入网网元和该 LTE UE 完成安全认证。

在第二种可能的实现方式中，结合第八方面或第八方面的第一种可能的实现方式，该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括：该 SGSN发送 UMTS AKA认证挑战给该接入网网元，该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE ,该该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元，以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证。

在第三种可能的实现方式中，结合第八方面或第八方面的第一种至第二种可能的实现方式，该特殊认证向量中包含 XRES、 CK、 IK;

在第四种可能的实现方式中，第八方面的第三种可能的实现方式，该 SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时，中止进行安全认证。

在第五种可能的实现方式中，结合第八方面或第八方面的第一至第四任一种可能的实现方式，还包括存储模块和处理模块；

该发送模块用于发送要求特殊认证向量的请求给该 HSS包括：该存储模块用于存储一个列表，该列表包括通过接入 2G/3G网络的 LTE UE的标识信息；

该处理模块用于根据该列表中的该标识信息，获知该 LTE UE的标识信息包含在该列表中，则该处理模块用于识别出是该 LTE UE接入 2G或 3G 网络；

该处理模块还用于在该要求认证向量的请求中加入指示信息生成该要求特殊认证向量的请求，该指示信息用于指示该 HSS生成该特殊认证向量。

在第六种可能的实现方式中，结合第八方面或第八方面的第一至第五任一种可能的实现方式，该 HSS生成特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

在第七种可能的实现方式中，结合第八方面的第六种可能的实现方式，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

在第八种可能的实现方式中，结合第八方面的第三至第七任一种可能的实现方式，该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CK| |IK ，根据该 CK和或 IK生成该 KASMEO

通过上述方案，能够使 LTE UE通过安全认证接入 2G/3G网络。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1是根据本发明实施例的移动通信系统的认证方法的示意性流程图；图 2是根据本发明另一实施例的移动通信系统的认证方法的示意图流程图；

图 3是根据本发明另一实施例的移动通信系统的认证方法的示意性流程图；

图 4是根据本发明另一实施例的移动通信系统的认证方法的示意性流程图；

图 5是根据本发明另一实施例的移动通信系统的认证方法的示意性流程图；

图 6是根据本发明实施例的归属用户服务器的示意性框图；

图 7是根据本发明实施例的 GPRS服务支撑节点的示意性框图；图 8是根据本发明实施例的接入网网元的示意性框图；

图 9是根据本发明实施例的代理服务器的示意性框图；

图 10是根据本发明另一实施例的归属用户服务器的示意性框图；图 1 1是根据本发明另一实施例的 GPRS服务支撑节点的示意性框图；图 12是根据本发明另一实施例的接入网网元的示意性框图；

图 13是根据本发明另一实施例的代理服务器的示意性框图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

应理解，本发明实施例的技术方案可以应用于各种 2G或 3G通信系统，例如：全球移动通讯 ( Global System of Mobile communication, 简称为 "GSM" ) 系统、码分多址（Code Division Multiple Access , 简称为 "CDMA" ) 系统、宽带码分多址（ Wideband Code Division Multiple Access , 简称为 "WCDMA" ) 系统、通用分组无线业务（General Packet Radio Service, 简称为 "GPRS" )、通用移动通信系统 ( Universal Mobile Telecommunication System, 简称为 "UMTS" )、全球互联! ¾:波接入 ( Worldwide Interoperability for Microwave Access , 简称为 "WiMAX" )通信系统等。

本发明实施例中的接入网网元，是一种增强的接入网网元，用于支持 LTE UE接入 2G/3G核心网。在发明所有实施例中，接入网网元可具备如下功能： LTE eNB的功能， LTE UE可以不需要进行修改通过该接入网网元接入 2G/3G核心网，而且使 LTE UE认为其正在接入的是 LTE网络，而不是 2G/3G核心网；本发明实施例中的接入网网元还可以实现部分移动性管理实体（Mobility Management Entity ，简称为 "MME" ) 的功能，如对 NAS信令的安全保护功能。

图 1示出了根据本发明实施例的移动通信系统的安全认证的方法 100的示意性流程图。如图 1所示，该方法 100包括：

S1 10 , HSS接收代理服务器发送的要求特殊认证向量的请求，所述要求特殊认证向量的请求由所述代理服务器接收到 SGSN发送的要求认证向量的清求后发送；

S120 , 该 HSS根据该要求特殊认证向量的请求，生成特殊认证向量； S130 , 所述 HSS将所述特殊认证向量发送给所述代理服务器，以便所述代理服务器、接入网网元、所述 SGSN和 LTE UE完成安全认证。

在本发明实施例中，为了使 LTE UE能够使用 2G或 3G网络，在代理服务器识别出是 LTE UE接入 2G/3G网络后， HSS为该 LTE UE生成特殊认证向量，以便该 SGSN、该接入网网元和该 LTE UE完成安全认证，使 LTE UE可以使用 2G或 3G核心网。

可选地，该要求认证向量的请求是该 SGSN在接收到该接入网网元发送的 UMTS attach request 消息后发送给所述代理服务器，该 UMTS attach request消息是该接入网网元将 attach request消息转换所得，该 attach request 消息由该 LTE UE发送。

可选地，该以便代理月良务器、该接入网网元、该 SGSN和 LTE UE完成安全认证包括：

该代理服务器将该特殊认证向量发送给该 SGSN，该 SGSN发送 UMTS

AKA认证挑战给该接入网网元，该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA 认证挑战进行验证并生成 RES和密钥 K_ASME后，该 LTE UE将包含该 RES 的 LTE AKA认证响应发送给该接入网网元，以便该接入网网元、该 SGSN 和该 LTE UE进一步完成安全认证。

可选地，该特殊认证向量中包含 XRES、 CK, IK;

可选地，该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括：

该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将该 UMTS AKA认证响应发送给该 SGSN，该 SGSN比较该 RES和该 XRES 是否相同，当该比较结果为相同时，该 SGSN将该 CK和或 IK发送给该接入网网元，该接入网网元根据该 CK和或 IK生成 KASME，该接入网网元和该 LTE UE共享该 K_ASME。

可选地，该 SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时，中止进行安全认证。

可选地，要求特殊认证向量的请求由所述代理服务器接收到 SGSN发送的要求认证向量的请求后发送包括：

所述代理服务器接收所述 SGSN发送的所述要求认证向量的请求；所述代理服务器配备一个列表，所述列表包括通过接入 2G/3G网络的 LTE UE的标识信息；

所述代理服务器根据所述列表中的所述标识信息，获知所述 LTE UE的标识信息包含在所述列表中，则所述代理服务器识别出是所述 LTE UE接入 2G或 3G网络；

所述代理服务器在所述要求认证向量的请求中加入指示信息生成所述要求特殊认证向量的请求，所述指示信息用于指示所述 HSS生成所述特殊认证向量。

可选地，该 HSS根据该要求特殊认证向量的请求，生成特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

可选地，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

可选地，该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CK| |IK ，根据该 CK和或 IK生成该

KASMEO

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于

2G或 3G网络的消息，由代理服务器识别出 LTE UE通过该接入网网元接入 2G 或 3G网络的场景后， HSS生成特殊的认证向量，通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。不需要对 LTE UE做修改，使得 LTE UE可以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G 或 3G核心网资源。

图 2示出了根据本发明实施例的移动通信系统的安全认证的方法 200的示意性流程图。图 2及其说明所揭示的方法，可基于本发明实施例图 1和基于本发明实施例图 1所揭示的方法。如图 2所示，该方法 200包括：

S210 , SGSN接收接入网网元发送 UMTS attach request消息，该 UMTS attach request是该接入网网元将 LTE UE发送的 attach request消息转换所得； S220 , 所述 SGSN向所述代理服务器发送要求认证向量的请求，以便所述代理服务器接收到所述要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求，进而以便所述 HSS根据所述要求特殊认证向量的请求生成所述特殊认证向量后发送给所述代理服务器；

S230 , 该 SGSN接收来自于该代理服务器的该特殊认证向量后，发送 UMTS AKA认证挑战给该接入网网元，以便该 SGSN、该接入网网元和该 LTE UE完成安全认证。

在本发明实施例中，通过代理服务器识别出 LTE UE接入 2G或 3G核心网的场景后，代理服务器向 HSS请求获取特殊认证向量， HSS根据 SGSN的该请求生成特殊认证向量，使 SGSN、接入网网元和该 LTE UE完成安全认证，实现不需要对 LTEUE进行修改的条件下使 LTE UE使用 2G或 3G核心网。

可选地，该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括：该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发和密钥 K_ASME后，该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元，以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证。可选地，该特殊认证向量包含 XRES、 CK, IK;

可选地，

所述以便所述代理服务器接收到所述要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求包括：

所述代理服务器配备一个列表，所述列表包括通过接入 2G/3G网络的 LTE UE的标识信息；

所述代理服务器在所述要求认证向量的请求中加入指示信息生成所述要求特殊认证向量的请求，所述指示信息用于指示所述 HSS生成所述特殊认证向量。可选地，该以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

可选地，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

可选地，该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：

KASMEO

2G或 3G网络的消息，由接入网网元识别出 LTE UE通过该接入网网元接入 2G 或 3G网络的场景后， HSS生成特殊的认证向量，通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。不需要对 LTE UE做修改，使得 LTE UE可以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G 或 3G核心网资源。

图 3示出了根据本发明实施例的移动通信系统的安全认证的方法 300的示意性流程图。图 3及其说明所揭示的方法，可基于本发明实施例图 1至图 2以及基于本发明实施例图 1至图 2所揭示的方法。如图 3所示，该方法 300包括： S310，接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息；

S320 , 所述接入网网元将所述 UMTS attach request消息发送给 SGSN，以便所述 SGSN收到所述 UMTS attach request消息后发送要求认证向量的请求给代理服务器，以便所述代理服务器收到所述要求认证向量的请求后发送要求特殊认证向量的请求给所述 HSS，进而以便所述 HSS根据要求特殊认证向量的请求生成所述特殊认证向量后将所述特殊认证向量发送给所述代理服务器； S330 , 所述接入网网元接收 UMTS AKA认证挑战，所述 UMTS AKA认证挑战为所述 SGSN将所述代理服务器发送的所述特殊认证向量发送给所述 SGSN后由所述 SGSN发送；

S340 ,所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给所述 LTE UE，以便所述接入网网元、所述 SGSN和所述 LTE UE完成安全认证。

在本发明实施例中，通过接入网网元将 LTE UE发送的信息转换为适用于 2G或 3G网络系统的信息，由代理服务器识别出为 LTE UE接入 2G或 3G网络的场景，通过 HSS生成特殊的认证向量，使接入网网元、 SGSN和 LTE UE能够完成安全认证，使得 LTE UE可以使用现有 2G或 3G核心网。

可选地，该接入网网元、该 SGSN和该 LTE UE完成安全认证包括：该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 K_ASME;

该接入网网元接收该 LTE UE发送的包含该 RES的 LTE AKA认证响应，以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证。

可选地，该特殊认证向量包含 XRES、 CK和 IK;

该接入网网元将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应，该接入网网元将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN，以便该 SGSN比较该 RES和该 XRES是否相同，当该比较结果为相同时，该 SGSN将该 CK和或 IK发送给该接入网网元；

该接入网网元根据该 CK和或 IK生成 K_ASME，该接入网网元和该 LTE UE 共早该 KASME °

所述代理服务器收到所述要求认证向量的请求后发送要求特殊认证向量的请求给所述 HSS包括：

可选地，该以便该 HSS根据要求特殊认证向量的请求生成该特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

可选地，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

可选地，该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息，由接入网网元识别出 LTE UE通过该接入网网元接入 2G 或 3G核心网的场景后， HSS生成特殊的认证向量，通过该接入网网元、 SGSN 完成 LTE UE和网络之间的安全认证。不需要对 LTE UE做修改，使得 LTE UE 可以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G或 3G核心网资源。

图 4示出了根据本发明实施例的移动通信系统的安全认证的方法 400的示意性流程图。图 4及其所揭示的方法可基于本发明实施例图 1至图 3 以及基于本发明实施例图 1至图 3所揭示的方法可参考图 4及其说明所揭示的方法。如图 4所示，该方法 400包括：

S410, 代理服务器接收 SGSN发送的要求认证向量的请求，所述要求认证向量的请求由所述 SGSN在收到接入网网元发送的 UMTS attach request消息后发送；

S420, 所述代理服务器发送要求特殊认证向量的请求给所述 HSS，以便所述 HSS根据所述要求特殊认证向量的请求生成所述特殊认证向量；

S430, 所述代理服务器接收所述 HSS发送的所述特殊认证向量后，所述代理服务器将所述特殊认证向量发送给所述 SGSN，以便所述 SGSN、所述接入网网元和所述 LTE UE完成安全认证。

在本发明实施例中，通过由代理服务器识别出为 LTE UE接入 2G或 3G网络的场景，要求 HSS生成特殊的认证向量，使接入网网元、 SGSN和 LTE UE 能够完成安全认证，使得 LTE UE可以使用现有 2G或 3G核心网。

可选地，所述 UMTS attach request消息是所述接入网网元将 attach request 消息转换所得，所述 attach request消息由所述 LTE UE发送。

可选地，所述 SGSN、所述接入网网元和所述 LTE UE完成安全认证包括：所述 SGSN发送 UMTS AKA认证挑战给所述接入网网元，所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给所述 LTE UE,所述 LTE UE根据所述 LTE AKA认证挑战进行验证并生成 RES和密钥 K_ASME后，所述 LTE UE将包含所述 RES的 LTE AKA认证响应发送给所述接入网网元，以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证。可选地，所述特殊认证向量中包含 XRES、 CK、 IK;

可选地，所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证包括：

所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响应并将所述 UMTS AKA认证响应发送给所述 SGSN，所述 SGSN比较所述 RES 和所述 XRES是否相同，当所述比较结果为相同时，所述 SGSN将所述 CK 和或 IK发送给所述接入网网元，所述接入网网元根据所述 CK和或 IK生成 KASME，所述接入网网元和所述 LTE UE共享所述 K_ASME。

可选地，所述 SGSN比较所述 RES和所述 XRES是否相同还包括，当所述比较结果为不相同时，中止进行安全认证。

可选地，所述代理服务器发送要求特殊认证向量的请求给所述 HSS包括：

可选地，所述 HSS生成特殊认证向量包括：

所述 HSS为所述 LTE UE生成 EPS AV;

所述 HSS将所述 EPS AV转换成 UMTS AV格式，所述转换为 UMTS AV 格式的 EP S AV为所述特殊认证向量。

可选地，所述 HSS将所述 EPS AV转换成 UMTS AV格式包括：所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND，所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN,所述 HSS 将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES，所述 HSS将所述 EPS AV中的 K_ASME拆分为两部分，分别作为所述 UMTS AV的所述 CK和所述 IK。

可选地，所述接入网网元才艮据所述 CK和或 ΙΚ生成 K_ASME包括：所述接入网网元按照生成规则 K_ASME=CK||IK ，根据所述 CK和或 IK生成所述 KASMEC

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息，由代理服务器识别出 LTE UE通过该接入网网元接入 2G 或 3G核心网的场景后， HSS生成特殊的认证向量，通过该接入网网元、 SGSN 完成 LTE UE和网络之间的安全认证。不需要对 LTE UE做修改，使得 LTE UE 可以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G或 3G核心网资源。

图 5示出了根据本发明实施例的移动通信系统的安全认证的方法 500的示意性流程图。本发明实施例图 1至图 4和基于本发明实施例图 1至图 4所揭示图 4和基于本发明实施例图 1至图 4所揭示的方法可参考图 5及其说明所揭示的方法。如图 5所示，该方法 500包括：

可选地， LTE UE通过接入网网元接入到 2G/3G核心网， LTE UE和接入网网元之间建立 RRC连接。

LTE UE发送 attach request消息给接入网网元，接入网网元将从 LTE UE处收到的该 attach request消息转换为 UMTS系统中 2G/3G核心网 SGSN可识别的 UMTS attach request消息，接入网网元将转换后的 UMTS attach request消息发送给 SGSNc

SGSN发送要求认证向量的请求给代理服务器，该代理服务器接收该 SGSN 发送的该要求认证向量的请求；代理服务器识别出是 LTE UE接入 2G或 3G网络，进一步的，所述代理服务器配备一个列表，所述列表包括通过接入 2G/3G网络的

LTE UE的标识信息；

所述代理服务器根据所述列表中的所述标识信息，获知所述 LTE UE的标识信息包含在所述列表中，则所述代理服务器识别出是所述 LTE UE接入

2G或 3G网络；

该 HSS根据该代理服务器发送的特殊认证向量的请求中的指示信息识别出此场景为 LTE UE接入 2G/3G网络的场景。该 HSS生成该特殊认证向量，包括：

可选地，该 HSS为该 LTE UE生成 EPS AV;

进一步的，

HSS将认证管理域 AMF中第 0个 bit设为 1 以标示此认证向量为 EPS

AV;

HSS生成 RAND、 AUTN、 CK, IK和 XRES;

HSS根据 CK和 IK推演得到 KASME ，推演规则可以为 K_ASME =KDF ( CK, IK ) ， KDF为密钥推演函数；

EPS AV由 K_ASME、 AUTN、 XRES , RAND组成，其中 AUTN中的 AMF 参数的第 0个比特的值为 1。

可选地，该 HSS将该 EPS AV转换成 UMTS AV格式格式，以使得 EPS AV 可以通过现有的 UMTS认证响应发送给 SGSN。 EPS AV转换成 UMTS AV格式的方法包括：将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS AV的 RAND、 AUTN和 XRES，将 EPS AV中的 K_ASME( 256bits )拆分为两部分，分别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。该 EPS AV转换成 UMTS AV格式格式后， AUTN中的 AMF的第 0个比特的值仍然为 1。将该 EPS AV转换成 UMTS AV格式后所得的向量为该特殊认证向量。

该 HSS将该特殊认证向量传输给该代理服务器，代理服务器再将该特殊认证向量发送给该 SGSN;

该 SGSN根据从该接入网网元接收到的特殊认证向量执行 UMTS AKA认证流程。 SGSN发送 UMTS AKA认证挑战给接入网网元，该 UMTS AKA认证挑战中包含 RAND和 AUTN。

接入网网元将接收到的 UMTS AKA认证挑战转换成 LTE AKA认证挑战。 UMTS AKA认证挑战中的 RAND和 AUTN被放在 LTE AKA认证挑战中发送给 LTE UE。

LTE UE验证 AUTN。进一步的，由于 AUTN中 AMF的第 0个比特的值为 1，因此 LTE UE会通过对 AMF的检查。 LTE UE生成 RES和密钥 K_ASME。

LTE UE发送 LTE AKA认证响应给接入网网元，该 LTE AKA认证响应中包含 RES。

接入网网元将 LTE AKA认证响应转换为 UMTS AKA认证响应，将 LTE

AKA认证响应中的该 RES放在 UMTS AKA认证响应中发送给 SGSN。

SGSN比较该 RES和该 XRES是否相同。

可选地，如果比较结果为该 RES和该 XRES不相同，则中止进行安全认证；

可选地，如果比较结果为该 RES和该 XRES相同，则 SGSN发起安全模式过程，在安全模式过程中， CK和或 IK被发送给接入网网元。

可选地，接入网网元根据 CK和或 IK生成 K_ASME。可选地，接入网网元根据 CK和或 IK生成 K_ASME的生成规则为 K_ASME=CK||IK， "II"表示串联，即将 IK 加在 CK后面。

接入网网元和 LTE UE共享密钥 K_ASME。

可选地，接入网网元和 LTE UE之间执行 LTE NAS SMC流程和 LTE AS SMC 流程建立 LTE空口安全。

图 6示出了根据本发明实施例的移动通信系统的安全认证的归属用户服务器 600的示意性框图。图 6及其说明所揭示的装置，可基于本发明实施例图 1 至图 5以及基于本发明实施例图 1至图 5所揭示的方法。如图 6所示，该归属用户服务器 HSS600包括：接收模块 610，处理模块 620，发送模块 630;

该接收模块 610用于接收代理服务器发送的要求特殊认证向量的请求，该要求特殊认证向量的请求由该接入网网元接收到 SGSN发送的要求认证向量的请求后发送；

该处理模块 620用于根据该要求特殊认证向量的请求，生成特殊认证向量；

该发送模块 630用于将该特殊认证向量发送给该代理服务器，以便该代理服务器、接入网网元、该 SGSN和 LTE UE完成安全认证。

在本发明实施例中，为了使 LTE UE能够使用 2G或 3G网络，在代理服务器识别出是 LTE UE接入 2G/3G核心网后， HSS为该 LTE UE生成特殊认证向量，以便该 SGSN、该接入网网元和该 LTE UE完成安全认证，使 LTE UE可以使用 2G或 3G核心网。

可选地，该要求认证向量的请求是该 SGSN在接收到该接入网网元发送的 UMTS attach request 消息后发送给所述代理服务器，该 UMTS attach request消息是该接入网网元将 attach request消息转换所得，该 attach request 消息由该 LTE UE发送。可选地，

该以便该所述代理服务器、接入网网元、该 SGSN和 LTE UE完成安全认证包括：

该代理服务器将该特殊认证向量发送给该 SGSN，该 SGSN发送 UMTS AKA认证挑战给该接入网网元，该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给该 LTE UE , 该 LTE UE根据该 LTE AKA 认证挑战进行验证并生成 RES和密钥 K_ASME后，该 LTE UE将包含该 RES 的 LTE AKA认证响应发送给该接入网网元，以便该接入网网元、该 SGSN 和该 LTE UE进一步完成安全认证。

可选地，该特殊认证向量中包含 XRES、 CK, IK;

可选的，该要求特殊认证向量的请求由该代理服务器接收到 SGSN发送的要求认证向量的请求后发送包括：

所述代理服务器根据所述列表中的所述标识信息，获知所述 LTE UE的标识信息包含在所述列表中，则所述代理服务器识别出是所述 LTE UE接入 2G或 3G网络；所述代理服务器在所述要求认证向量的请求中加入指示信息生成所述要求特殊认证向量的请求，所述指示信息用于指示所述 HSS生成所述特殊认证向量。

可选地，该处理模块 620用于根据该要求特殊认证向量的请求，生成特殊认证向量包括：

该处理模块 620用于为该 LTE UE生成 EPS AV;

进一步的，

该处理模块 620用于将认证管理域 AMF中第 0个 bit设为 1以标示此认证向量为 EPS AV;

该处理模块 620用于生成 RAND、 AUTN, CK：、 IK和 XRES;

该处理模块 620用于根据 CK和 IK推演得到 KASME ，推演规则可以为 K_ASME =KDF ( CK， IK ) ， KDF为密钥推演函数；

EPS AV由 K_ASME、 AUTN, XRES , RAND组成，其中 AUTN中的 AMF 参数的第 0个比特的值为 1。

可选地，该处理模块 620用于将该 EPS AV转换成 UMTS AV格式格式，

UMTS AV格式的方法包括：将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS

AV的 RAND、 AUTN和 XRES，将 EPS AV中的 K_ASME ( 256bits )拆分为两部分，分别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。该 EPS AV转换成 UMTS AV格式格式后， AUTN中的 AMF的第 0个比特的值仍然为 1。将该 EPS AV 转换成 UMTS AV格式格式后所得的向量为该特殊认证向量。可选地，该接入网网元根据该 CK和或 IK生成 K_ASME包括：

KASMEC "II" 表示串联，即将 IK加在 CK后面。

图 7示出了根据本发明实施例的移动通信系统的安全认证的 GPRS服务支撑节点 700的示意性框图。图 7及其说明所揭示的装置，可基于本发明实施例图 1 至图 5以及基于本发明实施例图 1至图 5所揭示的方法，也可以基于本发明实施例图 6以及图 6所揭示的装置。如图 7所示，该 GPRS服务支撑节点 SGSN600 包括：接收模块 710; 发送模块 720;

该接收模块 710用于接收接入网网元发送的 UMTS attach request消息，该 UMTS attach request消息是该接入网网元将 LTE UE发送的 attach request 消息转换所得；

该发送模块 720用于向代理服务器发送要求认证向量的请求，以便该代理服务器接收到该要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求，进而以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量后发送给该代理服务器；

该接收模块 710还用于接收来自于该代理服务器的该特殊认证向量，该发送模块 720还用于该接收模块 710接收到该特殊认证向量后发送 UMTS AKA认证挑战给该接入网网元，以便该 SGSN、该接入网网元和该 LTE UE 完成安全认证。

在本发明实施例中，通过代理服务器识别出 LTE UE接入 2G或 3G网络的场景后，代理服务器向 HSS请求获取特殊认证向量， HSS根据该请求生成特殊认证向量，使 SGSN、接入网网元和该 LTE UE完成安全认证，实现不需要对 LTEUE进行修改的条件下使 LTE UE使用 2G或 3G核心网。

可选地，该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括：该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发和密钥 K_ASME后，该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该接入网网元，以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证。

可选地，该 SGSN还包括处理模块 730 ;

可选地，该特殊认证向量包含 XRES、 CK, IK;

该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将该 UMTS AKA认证响应发送给该接收模块 710，该处理模块 730用于比较该 RES和该 XRES是否相同，当该比较结果为相同时，该发送模块 720将该 CK 和或 IK发送给该接入网网元，该接入网网元根据该 CK和或 IK生成 K_ASME，该 CK和或 IK由该发送模块 720发送，该接入网网元和该 LTE UE共享该 KASMEO

可选地，该处理模块 730用于比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时，中止进行安全认证。

可选地，以便该代理服务器接收到该要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求包括：

该 HSS为该 LTE UE生成 EPS AV;

可选地，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

可选地，该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：

图 8示出了根据本发明实施例的移动通信系统的安全认证的接入网网元 800 的示意性框图。图 8及其说明所揭示的装置，可基于本发明实施例图 1 至图 5 以及基于本发明实施例图 1至图 5所揭示的方法，也可以基于本发明实施例图 6 至图 7以及图 6至图 7所揭示的装置。如图 8所示，该接入网网元 800包括：接收模块 810，处理模块 820，发送模块 830;

该接收模块 810用于接收来自 LTE UE的 attach request消息；该处理模块 820用于将该 attach request消息转换为 UMTS attach request消息；该发送模块 830用于将该 UMTS attach request消息发送给 SGSN，以便该 SGSN收到该 UMTS attach request消息后发送要求认证向量的请求给该代理服务器，以便所述代理服务器收到所述要求认证向量的请求后发送要求特殊认证向量的请求给所述 HSS，进而以便所述 HSS根据要求特殊认证向量的请求生成所述特殊认证向量后将所述特殊认证向量发送给所述代理服务器；该接收模块 810还用于接收 UMTS AKA认证挑战，该 UMTS AKA认证挑战为 SGSN将所述代理服务器发送的所述特殊认证向量发送给该 SGSN后由该 SGSN发送；

该处理模块 820还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战，该发送模块 830还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以便该接入网网元、该 SGSN和该 LTE UE完成安全认证。

在本发明实施例中，通过接入网网元将 LTE UE发送的信息转换为适用于 2G或 3G网络系统的信息，由接入网网元识别出为 LTE UE接入 2G或 3G网络的场景，通过 HSS生成特殊的认证向量，使接入网网元、 SGSN和 LTE UE能够完成安全认证，使得 LTE UE可以使用现有 2G或 3G核心网。

该接收模块 810用于接收该 LTE UE发送的包含该 RES的 LTE AKA认证响应，以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证。

可选地，该特殊认证向量包含 XRES、 CK和 IK;

该处理模块 820还用于将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应，该发送模块 830还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN，以便该 SGSN比较该 RES和该 XRES 是否相同，当该比较结果为相同时，该 SGSN将该 CK和或 IK发送给该接入网网元；

该处理模块 820还用于根据该 CK和或 IK生成 K_ASME，该接入网网元和该 LTE UE共享该 K_ASME。

可选地，

该 HSS为该 LTE UE生成 EPS AV;

可选地，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND，该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN，该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES，该 HSS将该 EPS AV中的 K_ASME ( 256bits ) 拆分为两部分，分别作为该 UMTS AV的该 CK和该 IK。可选地，该处理模块 820进一步用于按照生成规则 K_ASME=CK||IK ，根据该 CK和或 IK生成该 K_ASME。 1" 表示串联，即将 IK加在 CK后面。

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息，由接入网网元识别出 LTE UE通过该接入网网元接入 2G 或 3G网络的场景后， HSS生成特殊的认证向量，通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。不需要对 LTE UE做修改，使得 LTE UE可以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G 或 3G核心网资源。

图 9示出了根据本发明实施例的移动通信系统的代理服务器 900的示意性框图。图 9及其所揭示的方法可基于本发明实施例图 1至图 5 以及基于本发明实施例图 1至图 5所揭示的方法，也可以基于本发明实施例图 6至图 8以及基于本发明实施例图 6至图 8所揭示的装置。如图 9所示，该代理服务器 900包括：接收器 1310; 发送器 1320;

所述接收器 1310用于接收 SGSN发送的要求认证向量的请求，所述要求认证向量的请求由所述 SGSN在收到接入网网元发送的 UMTS attach request 消息后发送；

所述发送器 1320用于发送要求特殊认证向量的请求给所述 HSS，以便所述 HSS根据所述要求特殊认证向量的请求生成所述特殊认证向量；

所述接收器 1310还用于接收所述 HSS发送的所述特殊认证向量后，所述代理服务器将所述特殊认证向量发送给所述 SGSN，以便所述 SGSN、所述接入网网元和所述 LTE UE完成安全认证。

可选地，所述 UMTS attach request消息是所述接入网网元将 attach request 消息转换所得，所述 attach request消息由所述 LTE UE发送。可选地，所述 SGSN、所述接入网网元和所述 LTE UE完成安全认证包括：所述 SGSN发送 UMTS AKA认证挑战给所述接入网网元，所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给所述 LTE UE,所述 LTE UE根据所述 LTE AKA认证挑战进行验证并生成 RES和密钥 K_ASME后，所述 LTE UE将包含所述 RES的 LTE AKA认证响应发送给所述接入网网元，以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证。

可选地，所述特殊认证向量中包含 XRES、 CK、 IK;

所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响应并将所述 UMTS AKA认证响应发送给所述 SGSN，所述 SGSN比较所述 RES 和所述 XRES是否相同，当所述比较结果为相同时，所述 SGSN将所述 CK 和或 IK发送给所述接入网网元，所述接入网网元根据所述 CK和或 IK生成 K_ASME，所述接入网网元和所述 LTE UE共享所述 K_ASME。

可选地，所述代理服务器还可以包括存储器 1330和处理器 1340; 所述发送器 1320用于发送要求特殊认证向量的请求给所述 HSS包括：

所述存储器 1330用于存储一个列表，所述列表包括通过接入 2G/3G网络的 LTE UE的标识信息；

所述处理器 1340用于根据所述列表中的所述标识信息，获知所述 LTE UE的标识信息包含在所述列表中，则所述处理器 1340识别出是所述 LTE UE 接入 2G或 3G网络；

所述处理器 1340还用于在所述要求认证向量的请求中加入指示信息生成所述要求特殊认证向量的请求，所述指示信息用于指示所述 HSS生成所述特殊认证向量。

可选地，所述 HSS生成特殊认证向量包括：

所述 HSS为所述 LTE UE生成 EPS AV;

所述 HSS将所述 EPS AV转换成 UMTS AV格式，所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。

可选地，所述 HSS将所述 EPS AV转换成 UMTS AV格式包括：所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND，所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN ,所述 HSS 将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES，所述 HSS将所述 EPS AV中的 K_ASME拆分为两部分，分别作为所述 UMTS AV的所述 CK和所述 IK。

可选地，所述接入网网元才艮据所述 CK和或 ΙΚ生成 K_ASME包括：所述接入网网元按照生成规则 K_ASME=CK| |IK ，根据所述 CK和或 IK生成所述 KASMEC

2G或 3G网络的消息，由代理服务器识别出 LTE UE通过该接入网网元接入 2G 或 3G核心网的场景后， HSS生成特殊的认证向量，通过该接入网网元、 SGSN 完成 LTE UE和网络之间的安全认证。不需要对 LTE UE做修改，使得 LTE UE 可以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G或 3G核心网资源。

图 10示出了根据本发明实施例的移动通信系统的安全认证的归属用户服务器 1000的示意性框图。图 10及其说明所揭示的装置，可基于本发明实施例图 1 至图 5以及基于本发明实施例图 1至图 5所揭示的方法，也可以基于本发明实施例图 6至图 9以及图 6至图 9揭示的装置。如图 10所示，该归属用户服务器 HSS 1000包括：接收器 1010，处理器 1020，发送器 1030 ;

该接收器 1010用于接收代理服务器发送的要求特殊认证向量的请求，该要求特殊认证向量的请求由该接入网网元接收到 SGSN发送的要求认证向量的请求后发送；

该处理器 1020 用于根据该要求特殊认证向量的请求，生成特殊认证向量；

该发送器 1030用于将该特殊认证向量发送给该代理服务器，以便该代理月良务器、接入网网元、该 SGSN和 LTE UE完成安全认证。

可选地，

可选地，该特殊认证向量中包含 XRES、 CK：、 IK;

可选地，该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括：该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将该 UMTS AKA认证响应发送给该 SGSN，该 SGSN比较该 RES和该 XRES 是否相同，当该比较结果为相同时，该 SGSN将该 CK和或 IK发送给该接入网网元，该接入网网元根据该 CK和或 IK生成 KASME，该接入网网元和该 LTE UE共享该 K_ASME。

所述代理服务器配备一个列表，所述列表包括通过接入 2G/3G网络的

LTE UE的标识信息；

可选地，该处理器 1020用于根据该要求特殊认证向量的请求，生成特殊认证向量包括：

该处理器 1020用于为该 LTE UE生成 EPS AV;

进一步的，

该处理器 1020用于将认证管理域 AMF中第 0个 bit设为 1以标示此认证向量为 EPS AV;

该处理器 1020用于生成 RAND、 AUTN、 CK, IK和 XRES;

该处理器 1020用于根据 CK和 IK推演得到 KASME ，推演规则可以为

KASME = DF ( CK, IK ) ， KDF为密钥推演函数； EPS AV由 K_ASME、 AUTN, XRES , RAND组成，其中 AUTN中的 AMF 参数的第 0个比特的值为 1。

可选地，该处理器 1020用于将该 EPS AV转换成 UMTS AV格式格式， UMTS AV格式的方法包括：将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS AV的 RAND、 AUTN和 XRES，将 EPS AV中的 K_ASME ( 256bits )拆分为两部分，分别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。该 EPS AV转换成 UMTS AV格式格式后， AUTN中的 AMF的第 0个比特的值仍然为 1。将该 EPS AV 转换成 UMTS AV格式格式后所得的向量为该特殊认证向量。可选地，该接入网网元根据该 CK和或 IK生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CK||IK ，根据该 CK和或 IK生成该 KASMEC "II" 表示串联，即将 IK加在 CK后面。

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息，由代理服务器识别出 LTE UE通过该接入网网元接入 2G 或 3G网络的场景后， HSS生成特殊的认证向量，通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认证。不需要对 LTE UE做修改，使得 LTE UE可以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G 或 3G核心网资源。

图 11示出了根据本发明实施例的移动通信系统的安全认证的 GPRS服务支撑节点 1100的示意性框图。图 11及其说明所揭示的装置，可基于本发明实施例图 1至图 5以及基于本发明实施例图 1至图 5所揭示的方法，也可以基于本发明实施例图 6至图 10以及图 6至图 10所揭示的装置。如图 11所示，该 GPRS 服务支撑节点 SGSN1100包括：接收器 1110; 发送器 1120;

该接收器 11 10用于接收接入网网元发送的 UMTS attach request消息，该 UMTS attach request消息是该接入网网元将 LTE UE发送的 attach request消息转换所得；该发送器 1120用于向代理服务器发送要求认证向量的请求，以便该代理服务器接收到该要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求，进而以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量后发送给该代理服务器；

该接收器 11 10还用于接收来自于该代理服务器的该特殊认证向量，该发送器 1 120还用于该接收器 1 110接收到该特殊认证向量后发送 UMTS AKA 认证挑战给该接入网网元，以便该 SGSN、该接入网网元和该 LTE UE完成安全认证。

可选地，该 SGSN还包括处理器 1 130;

可选地，该特殊认证向量包含 XRES、 CK：、 IK;

该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将该 UMTS AKA认证响应发送给该接收器 1 110，该处理器 1 130用于比较该 RES和该 XRES是否相同，当该比较结果为相同时，该发送器 1120将该 CK 和或 IK发送给该接入网网元，该接入网网元根据该 CK和或 IK生成 K_ASME，该 CK和或 IK由该发送器 1 120发送，该接入网网元和该 LTE UE共享该

KASMEO

可选地，该处理器 1 130用于比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时，中止进行安全认证。

可选地，该以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

可选地，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

可选地，该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：

图 12 示出了根据本发明实施例的移动通信系统的安全认证的接入网网元 1200的示意性框图。图 12及其说明所揭示的装置，可基于本发明实施例图 1至图 5 以及基于本发明实施例图 1至图 5所揭示的方法，也可以基于本发明实施例图 6至图 11以及图 6至图 11所揭示的装置。如图 8所示，该接入网网元 1200 包括：接收模块 1210，处理模块 1220，发送模块 1230;

该接收器 1210用于接收来自 LTE UE的 attach request消息；该处理器 1220用于将该 attach request消息转换为 UMTS attach request消息；

该发送器 1230用于将该 UMTS attach request消息发送给 SGSN，以便该

SGSN收到该 UMTS attach request消息后发送要求认证向量的请求给该代理服务器，以便所述代理服务器收到所述要求认证向量的请求后发送要求特殊认证向量的请求给所述 HSS，进而以便所述 HSS根据要求特殊认证向量的请求生成所述特殊认证向量后将所述特殊认证向量发送给所述代理服务器；该接收器 1210还用于接收 UMTS AKA认证挑战，该 UMTS AKA认证挑战为 SGSN将所述代理服务器发送的所述特殊认证向量发送给该 SGSN后由该 SGSN发送；

该处理器 1220还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战，该发送器 1230还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以便该接入网网元、该 SGSN和该 LTE UE完成安全认证。

可选地，该接入网网元、该 SGSN和该 LTE UE完成安全认证包括：该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 K_ASME；该接收器 1210用于接收该 LTE UE发送的包含该 RES的 LTE AKA认证响应，以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证。

可选地，该特殊认证向量包含 XRES、 CK和 IK;

该处理器 1220还用于将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应，该发送器 1230还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN，以便该 SGSN比较该 RES和该 XRES 是否相同，当该比较结果为相同时，该 SGSN将该 CK和或 IK发送给该接入网网元；

该处理器 1220还用于根据该 CK和或 IK生成 K_ASME，该接入网网元和该 LTE UE共享该 K_ASME。

可选地，

该 HSS为该 LTE UE生成 EPS AV;

可选地，该 HSS将该 EPS AV转换成 UMTS AV格式包括：

可选地，该处理器 1220进一步用于按照生成规则 K_ASME=CK||IK ，根据该 CK和或 IK生成该 K_ASME。 "II" 表示串联，即将 IK加在 CK后面。

图 13示出了根据本发明实施例的移动通信系统的代理服务器 1300的示意性框图。图 13及其所揭示的方法可基于本发明实施例图 1至图 5以及基于本发明实施例图 1至图 5所揭示的方法，也可以基于本发明实施例图 6至图 12以及基于本发明实施例图 6至图 12所揭示的装置。如图 12所示，该代理服务器 1300 包括：接收器 1310; 发送器 1320;

可选地，所述 SGSN、所述接入网网元和所述 LTE UE完成安全认证包括：所述 SGSN发送 UMTS AKA认证挑战给所述接入网网元，所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给所述 LTE UE,所述 LTE UE根据所述 LTE AKA认证挑战进行验证并生成 RES和密钥 K_ASME后，所述 LTE UE将包含所述 RES的 LTE AKA认证响应发送给所述接入网网元，以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证。

可选地，所述特殊认证向量中包含 XRES、 CK、 IK;

可选地，所述代理服务器还可以包括存储器 1330和处理器 1340 ; 所述发送器 1320用于发送要求特殊认证向量的请求给所述 HSS包括：

所述处理器 1340用于根据所述列表中的所述标识信息，获知所述 LTE

UE的标识信息包含在所述列表中，则所述处理器 1340识别出是所述 LTE UE 接入 2G或 3G网络；

可选地，所述 HSS生成特殊认证向量包括：

所述 HSS为所述 LTE UE生成 EPS AV;

可选地，所述 HSS将所述 EPS AV转换成 UMTS AV格式包括：所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND，所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN ,所述 HSS 将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES，所述 HSS将所述 EPS AV中的 K_ASME拆分为两部分，分别作为所述 UMTS AV的所述 CK和所述 IK：。

可选地，所述接入网网元才艮据所述 CK和或 IK生成 K_ASME包括：所述接入网网元按照生成规则 K_ASME=CK||IK ，根据所述 CK和或 IK生成所述 KASMEC

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息，由代理服务器识别出 LTE UE通过该接入网网元接入 2G 或 3G核心网的场景后， HSS生成特殊的认证向量，通过该接入网网元、 SGSN 完成 LTE UE和网络之间的安全认证。不需要对 LTE UE做修改，使得 LTE UE 可以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G或 3G核心网资源。通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本发明可以用硬件实现，或固件实现，或它们的组合方式来实现。当使用软件实现时，可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于：计算机可读介质可以包括 RAM、 ROM, EEPROM、 CD-ROM或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如，如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线（DSL ) 或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的，那么同轴电缆、光纤光缆、双绞线、 DSL或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本发明所使用的，盘（ Disk )和碟（ disc ) 包括压缩光碟（CD ) 、激光碟、光碟、数字通用光碟（DVD ) 、软盘和蓝光光碟，其中盘通常磁性的复制数据，而碟则用激光来光学的复制数据。上面的组合也应当包括在计算机可读介质的保护范围之内。总之，以上所述仅为本发明技术方案的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求

1. 一种移动通信系统的安全认证方法，其特征在于，包括：

HSS接收代理服务器发送的要求特殊认证向量的请求，所述要求特殊认证向量的请求由所述代理服务器接收到 SGSN发送的要求认证向量的请求后发送；

所述 HSS根据所述要求特殊认证向量的请求，生成特殊认证向量；所述 HSS将所述特殊认证向量发送给所述代理服务器，以便所述代理服务器、接入网网元、所述 SGSN和 LTE UE完成安全认证。

2. 根据权利要求 1所述的方法，其特征在于，所述要求认证向量的请求是所述 SGSN在接收到所述接入网网元发送的 UMTS attach request消息后发送给所述代理服务器，所述 UMTS attach request消息是所述接入网网元将 attach request消息转换所得 , 所述 attach request消息由所述 LTE UE 发送。

3. 根据权利要求 1或 2所述的方法，其特征在于，所述以便所述代理服务器、接入网网元、所述 SGSN和 LTE UE完成安全认证包括：

所述代理服务器将所述特殊认证向量发送给所述 SGSN, 所述 SGSN 发送 UMTS AKA认证挑战给所述接入网网元，所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给所述 LTE UE, 所述 LTE UE根据所述 LTE ΛΚΛ认证挑战进行验证并生成 RES和密钥 K_ASME后，所述 LTE UE将包含所述 RES的 LTE A A认证响应发送给所述接入网网元，以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认 i 。

4. 根据权利要求 1至 3任一项所述的方法，其特征在于，

所述特殊认证向量中包含 XRES、 CK、 IK;

所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证包括：更正页（细则第 91条) 所述接入网网元将所述 LTE A A认证响应转换为 UMTS AKA认证响应并将所述 UMTS AKA认证响应发送给所述 SGSN , 所述 SGSN比较所述 RES和所述 XRES是否相同，当所述比较结果为相同时，所述 SGSN 将所述 CK和或 IK发送给所述接入网网元，所述接入网网元根据所述 CK 和或 IK生成 K_MMK , 所述接入网网元和所述 LTE UE共享所述 K_ASMK。

5. 根据权利要求 4所述的方法，其特征在于，所述 SGSN比较所述 RES和所述 XRES是否相同还包括，当所述比较结果为不相同时，中止进行安全认证。

6. 根据权利要求 1至 5任一项所述的方法，其特征在于，所述要求特殊认证向量的请求由所述代理服务器接收到 SGSN发送的要求认证向量的请求后发送包括：

所述代理服务器根据所述列表中的所述标识信息，获知所述 LTE UE 的标识信息包含在所述列表中，则所述代理服务器识别出是所述 LTE U E 接入 2G或 3G网络；

7. 根据权利要求 1至 6任一项所述的方法，其特征在于，所述 HSS 根据所述要求特殊认证向量的请求，生成特殊认证向量包括：

所述 HSS为所述 LTE UE生成 EPS AV;

所述 HSS将所述 EPS AV转换成 UMTS AV格式，所述转换为 UMTS AV格式的 EPS AV为所述特殊认证向量„

8. 根据权利要求 Ί所述的方法，其特征在于，所述 HSS将所述 EPS AV 更正页（细则第 91条) 转换成 UMTS AV格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN，所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES , 所述 HSS将所述 EPS AV中的 ^^拆分为两部分，分别作为所述 UMTS AV 的所述 CK和所述 IK。

9. 根据权利要求 4至 8任一项所述的方法，其特征在于，所述接入网网元居所述 CK和或 ΙΚ生成 K_ASME包 4舌：

所述接入网网元按照生成规则 K_ASMK=CK||IK ，根据所述 CK和或 IK 生成所述 K_ASME。

10. 一种移动通信系统的安全认证方法，其特征在于，包括：

SGSN接收接入网网元发送 UMTS attach request消息，所述 UMTS attach request消息是所述接入网网元将 LTE UE发送的 attach request消息转换所得；

所述 SGSN向所述代理服务器发送要求认证向量的请求，以便所述代理服务器接收到所述要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求，进而以便所述 HSS根据所述要求特殊认证向量的请求生成所述特殊认证向量后发送给所述代理服务器；

所述 SGSN接收来自于所述代理服务器的所述特殊认证向量后，发送 UMTS AKA认证挑战给所述接入网网元，以便所述 SGSN、所述接入网网元和所述 LTE UE完成安全认证。

1 1. 根据权利要求 10所述的方法，其特征在于，所述以便所述 SGSN、所述接入网网元和所述 LTE UE完成安全认 i£包括：

所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE A A认证挑战后发送给所述 LTE UE,所述 LTE UE根据所述 LTE AKA认证挑战进行验证并生成 RES和密钥 Κ_ΛδΜΕ后，所述 LTE UE将包含所述 RES的 LTE 更正页（细则第 91条) AKA认证响应发送给所述接入网网元，以便所述接入网网元、所述 SGSN 和所述 LTE UE进一步完成安全认证。

12. 根据权利要求 10或 1 1所述的方法，其特征在于，

所述特殊认 ^向量包含 XRES、 CK：、 I ;

所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证包括：

所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响应并将所述 UMTS AKA认证响应发送给所述 SGSN, 所述 SGSN比较所述 RES和所述 XRES是否相同，当所述比较结果为相同时，所述 SGSN 将所述 CK和或 IK发送给所述接入网网元，所述接入网网元根据所述 CK 和或 IK生成 K_ASME，所述接入网网元和所述 LTE UE共享所述 K_ASME。

13. 根据权利要求 12所述的方法，其特征在于，所述 SGSN比较所述 RES和所述 XRES是否相同还包括，当所述比较结果为不相同时，中止进行安全认证。

14. 根据权利要求 10至 13任一项所述的方法，其特征在于，所述以便所述代理服务器接收到所述要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求包括：

所述代理服务器根据所述列表中的所述标识信息，获知所述 LTE UE 的标识信息包含在所述列表中，则所述代理服务器识别出是所述 LTE UE 接入 2G或 3G网；

所述代理服务器在所述要求认证向量的请求中加入指示信息生成所述要求特殊认证向量的请求，所述指示信息用于指示所述 HS S生成所述特殊认证向量。

15. 根据权利要求 10至 14任一项所述的方法，其特征在于，所述以更正页（细则第 91条) 便所述 HSS根据所述要求特殊认证向量的请求生成所述特殊认证向量包括：

所述 HSS为所述 LTE UE生成 EPS AV;

所述 HSS将所述 EPS AV转换成 UMTS AV格式，所述转换为 UMTS AV格式的 EPS AV为所述特殊认证向量。

16. 根据权利要求 15所述的方法，其特征在于，所述 HSS将所述 EPS AV转换成 UMTS AV格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES，所述 HSS将所述 EPS AV中的 K_ASME拆分为两部分，分别作为所述 UMTS AV 的所述 CK和所述 IK。

17. 根据权利要求 12至 16任一项所述的方法，其特征在于，所述接入网网元根据所述 CK和或 ΙΚ生成 K_ASME包括：

所述接入网网元按照生成规则 K_ASME=CK||1K , 根据所述 CK和或 IK 生成所述 K_ASME。

18. 一种移动通信系统的安全认证方法，其特征在于，包括：接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息；

所述接入网网元将所述 UMTS attach request消息发送给 SGSN, 以便所述 SGSN收到所述 UMTS attach request消息后发送要求认证向量的请求给代理服务器，以便所述代理服务器收到所述要求认证向量的请求后发送要求特殊认证向量的请求给所述 HSS , 进而以便所述 HSS根据要求特殊认证向量的请求生成所述特殊认证向量后将所述特殊认证向量发送给所述代理服务器；

所述接入网网元接收 UMTS AKA认证挑战，所述 UMTS AKA认证挑更正页（细则第 91条) 战为所述 SGSN将所述代理服务器发送的所述特殊认证向量发送给所述 SGSN后由所述 SGSN发送；

所述接入网网元将所述 UMTS ΑΚΛ认证挑战转换成 LTE AKA认证挑战后发送给所述 LTE UE，以便所述接入网网元、所述 SGSN和所述 LTE UE 完成安全认 i正。

19. 根据权利要求 1 8所述的方法，其特征在于，所述以便所述接入网网元、所述 SGSN和所述 LTE UE完成安全认 i正包^

所述 U't; Uh验证所述 U'li AKA认证挑战后生成 RES和密钥 K_ASMK; 所述接入网网元接收所述 LTE UE发送的包含所述 RES的 LTE AKA 认 i正响应，以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证。

20. 根据权利要求 1 8或 1 9所述的方法，其特征在于，

所述特殊认证向量包含 XRES、 CK和 I K ;

所述接入网网元将包含所述 RES的 LTE AKA认证响应转换为包含所述 RES的 UMTS AKA认证响应，所述接入网网元将所述包含所述 RES 的 UMTS AKA认证响应发送给所述 SGSN，以便所述 SGSN比较所述 RES 和所述 XRES是否相同，当所述比较结果为相同时，所述 SGSN将所述 CK和或 IK发送给所述接入网网元；

所述接入网网元 ^据所述 CK和或 1K生成 K_ASMK，所述接入网网元和所述 LTE UH共享所述 KA_{SM I}._:。

2 1 . 根据权利要求 20所述的方法，其特征在于，所述 SGSN比较所述 RES和所述 XRES是否相同还包括，当所述比较结果为不相同时，中止进行安全认证„

22. 根据权利要求 1 8至 2 1任一项所述的方法，其特征在于，所述代更正页（细则第 91条) 理服务器收到所述要求认证向量的请求后发送要求特殊认证向量的请求给所述 HSS包括：

所述代理服务器根据所述列表中的所述标识信息，获知所述 LTE UE 的标识信息包含在所述列表中，则所述代理服务器识别出是所述 LTE UE 接入 2G或 3G网络；

23. 根据权利要求 18至 22任一项所述的方法，其特征在于，所述以便所述 HSS根据要求特殊认证向量的请求生成所述特殊认证向量包括：所述 HSS为所述 LTE UE生成 EPS AV;

24. 根据权利要求 23所述的方法，其特征在于，所述 HSS将所述 EPS AV转换成 UMTS AV格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND，所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES , 所述 HSS将所述 EPS AV中的 K_ASME拆分为两部分，分别作为所述 UMTS AV 的所述 CK和所述 IK。

25. 根据权利要求 20至 24任一项所述的方法，其特征在于，所述接入网网元据所述 CK和或 ΙΚ生成 K_ASMF.包括：

所述接入网网元按照生成规则 K_ASME=CK||IK , 根据所述 CK和或 IK 生成所述 K_ASME。

更正页（细则第 91条）

26. 一种移动通信系统的安全认证方法，其特征在于，包括：代理服务器接收 SGSN发送的要求认证向量的请求，所述要求认证向量的请求由所述 SGSN在收到接入网网元发送的 UMTS attach request消息后发送；

所述代理服务器发送要求特殊认证向量的请求给所述 HSS , 以便所述 HSS根据所述要求特殊认证向量的请求生成所述特殊认证向量；

所述代理服务器接收所述 HSS发送的所述特殊认证向量后，所述代理服务器将所述特殊认证向量发送给所述 SGSN , 以便所述 SGSN、所述接入网网元和所述 LTE UE完成安全正。

27. 根据权利要求 26 所述的方法，其特征在于，所述 UMTS attach request消息是所述接入网网元将 attach request消息转换所得 , 所述 attach request消息由所述 LTE UE发送。

28. 根据权利要求 26或 27所述的方法，其特征在于，所述以便所述 SGSN , 所述接入网网元和所述 LTE UE完成安全认证包括：

所述 SGSN发送 UMTS A A认证挑战给所述接入网网元，所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE A A认证挑战后发送给所述 LTE UE ,所述 LTE UE根据所述 LTE A A认证挑战进行验证并生成 RES和密钥 K_ASM 后，所述 LTE UE将包含所述 RES的 LTE AKA认证响应发送给所述接入网网元，以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认 ϊ 。

29. 根据权利要求 26至 28任一项所述的方法，其特征在于，所述特殊认证向量中包含 XRES、 CK、 IK;

所述以更所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证包括：

所述接入网网元将所述 LTE A A认证响应转换为 UMTS AKA认证响应并将所述 UMTS AKA认证响应发送给所述 SGSN , 所述 SGSN比较更正页（细则第 91条) 所述 RES和所述 XRES是否相同，当所述比较结果为相同时，所述 SGSN 将所述 CK和或 IK发送给所述接入网网元，所述接入网网元根据所述 CK 和或 IK生成 K_ASMH , 所述接入网网元和所述 LTE UE共享所述 K_ASMI.：。

30. 根据权利要求 29所述的方法，其特征在于，所述 SGSN比较所述 RES和所述 XRES是否相同还包括，当所述比较结果为不相同时，中止进行安全认证。

3 1 . 根据权利要求 26至 30任一项所述的方法，其特征在于，所述代理服务器发送要求特殊认证向量的请求给所述 HSS包括：

32. 根据权利要求 26至 3 1任一项所述的方法，其特征在于，所述 HSS 生成特殊认证向量包括：

所述 HSS为所述 LTE UE生成 EPS AV;

33. 根据权利要求 32所述的方法，其特征在于，所述 HSS将所述 EPS AV转换成 UMTS AV格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN，所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES , 所述更正页（细则第 91条) HSS将所述 EPS AV中的 1^^,„._:拆分为两部分，分别作为所述 UMTS AV 的所述 CK和所述 IK。

34. 根据权利要求 29至 33任一项所述的方法，其特征在于，所述接入网网元 ^据所述 CK和或 ΙΚ生成 K_ASM 包括：

所述接入网网元按照生成规则 K_ASMK=CK||IK ，根据所述 CK和或 IK 生成所述 K_ASMI.：。

35. 一种 HSS , 其特征在于，包括：接收模块，处理模块，发送模块；所述接收模块用于接收代理服务器发送的要求特殊认证向量的请求，所述要求特殊认证向量的请求由所迷代理服务器接收到 SGSN发送的要求认 "i 向量的请求后发送；

所述处理模块用于根据所述要求特殊认证向量的请求，生成特殊认证向量；

所述发送模块用于将所述特殊认证向量发送给所述代理服务器，以便所述代理服务器、接入网网元、所述 SGSN和 LTE UE完成安全认证。

36. 根据权利要求 35所述的 HSS , 其特征在于，所述要求认证向量的请求是所述 SGSN在接收到所述接入网网元发送的 UMTS attach request 消息后发送给所述代理服务器，所述 UMTS attach request消息是所述接入网网元将 attach request消息转换所得，所述 attach request消息由所述 LTH UE发送。

37. 根据权利要求 35或 36所述的 HSS , 其特征在于，所述以便所述给所述代理服务器、接入网网元、所述 SGSN和 LTE UE完成安全认证包括：

所述给所述代理服务器将所述特殊认证向量发送给所述 SGSN, 所述 SGSN发送 UMTS AKA认 i正 <战给所述接入网网元，所述接入网网元将所述 UMTS AKA认证 4 战转换成 LTE A A认 i正 4 战后发送给所述 LTE UE，所述 LTE UE根据所述 LTE A A认证 Φί^战进行 -险证并生成 RES和密更正页（细则第 91条) 钥 K_ASME后，所述 LTE UE将包含所述 RES的 LTE AKA认证响应发送给所述接入网网元，以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证。

38. 根据权利要求 35至 38任一项所述的 HSS, 其特征在于，所述特殊认证向量中包含 XRES、 CK、 IK;

所述接入网网元将所述 LTE A A认证响应转换为 UMTS AKA认证响应并将所述 UMTS AKA认证响应发送给所述 SGSN, 所述 SGSN比较所述 RES和所述 XRES是否相同，当所述比较结果为相同时，所述 SGSN 将所述 CK和或 IK发送给所述接入网网元，所述接入网网元根据所述 CK 和或 IK生成 K_ASMK，所述接入网网元和所述 LTE UE共享所述 Κ_ΛδΜΕ。

39. 根据权利要求 38所述的 HSS , 其特征在于，所述 SGSN比较所述 RES和所述 XRES是否相同还包括，当所述比较结果为不相同时，中止进行安全认证。

40. 根据权利要求 35至 39任一项所述的 HSS，其特征在于，所述要求特殊认证向量的请求由所述代理服务器接收到 SGSN发送的要求认证向量的请求后发送包括：

所述代理服务器接收所述 SGSN发送的所述要求认证向量的请求；所述代理服务器识别出是 LTE UE接入 2G或 3G网络；

所述代理服务器在所述认证向量中加入指示信息生成所述要求特殊认证向量的请求，所述指示信息用于指示所述 HSS生成所述特殊认证向量。

41. 根据权利要求 35至 40任一项所述的 HSS , 其特征在于，所述处理模块用于根据所述要求特殊认证向量的请求，生成特殊认证向量包括：所述处理模块用于为所述 LTE UE生成 EPS AV; 更正页（细则第 91条) 所述处理模块用于将所述 EPS AV转换成 UMTS AV格式，所述转换为 UMTS AV格式的 EPS AV为所述特殊认证向量。

42. 根据权利要求 41所述的 HSS , 其特征在于，所述处理模块用于将所述 EPS AV转换成 UMTS AV 4各式包括：

所述处理模块用于将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND,所述处理模块用于将所述 EPS AV中的 AUTN作为所述 UMTS AV 的 AUTN, 所述处理模块用于将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述处理模块用于将所述 EPS AV中的 K._ASME拆分为两部分，分别作为所述 UMTS AV的所述 CK和所述 IK。

43. 根据权利要求 38至 42任一项所述的 HSS , 其特征在于，所述接入网网元根据所述 CK和或 IK生成 K_ASM 包括：

所述接入网网元按照生成规则 Κ_Λί?Μ1 CK||IK ，根据所述 CK和或 IK 生成所述 K_ASMK。

44. 一种 SGSN，其特征在于，包括：接收模块；发送模块；

所述接收模块用于接收接入网网元发送的 UMTS attach request消息，所述 UMTS attach request消息是所述接入网网元将 LTE UE发送的 attach request消息转换所得；

所述发送模块用于向所述代理服务器发送要求认证向量的请求，以便所述代理服务器接收到所述要求认证向量的请求后，向 HSS发送要求特殊认证向量的请求，进而以便所述 H S S根据所述要求特殊认证向量的请求生成所述特殊认证向量后发送给所述代理服务器；量，所述发送模块还用于所述接收模块接收到所述特殊认证向量后发送 UMTS AKA认证挑战给所述接入网网元，以便所述 SGSN、所述接入网网元和所述 LTE UE完成安全。

45. 根据权利要求 44所述的 SG SN，其特征在于，所述以便所述 SGSN、更正页（细则第 91条) 所述接入网网元和所述 LTE UE完成安全认证包括：

所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE A A认证挑战后发送给所述 LTE UE，所述 LTE UE根据所述 LTE AKA认证挑战进行验证并生成 RES和密钥 K_ASM1._:后 ,所述 LTE UE将包含所述 RES的 LTE Α Λ认证响应发送给所述接入网网元，以便所述接入网网元、所述 SGSN 和所述 LTE UE进一步完成安全认证。

46. 根据权利要求 44或 45所述的 SGSN , 其特征在于，所述 SGSN 还包括处理模块；

所述特殊认证向量包含 XRES、 CK、 IK;

所述接入网网元将所述 LTE A A认证响应转换为 UMTS AKA认证响应并将所述 UMTS AKA认证响应发送给所述接收模块，所述处理模块用于比较所述 RES和所述 XRES是否相同，当所述比较结果为相同时，所述发送模块将所述 CK和或 IK发送给所述接入网网元，所述接入网网元根据所述 CK和或 IK生成 Κ_{Λ Μ1}.：，所述 CK和或 1K由所述发送模块发送，所述接入网网元和所述 LTE UE共享所述 K_ASN1K„

47. 根据权利要求 46所述的 SGSN，其特征在于，所述处理模块用于比较所述 RES和所述 XRES是否相同还包 4 ，当所述比较结杲为不相同时，中止进行安全认 i正。

48. 根据权利要求 44至 47任一项所述的 SGSN, 其特征在于，所述以便所迷代理服务器接收到所述要求认证向量的请求后，向 HSS发送要求特珠认证向量的请求包括：

所述代理服务器根据所述列表中的所述标识信息，获知所述 LTE UE 更正页（细则第 91条) 的标识信息包含在所述列表中，则所述代理服务器识别出是所述 LTE UE 接入 2G或 3G网络；

49. 根据权利要求 44至 48任一项所述的 SGSN , 其特征在于，所述以便所述 HSS根据所述要求特殊认证向量的请求生成所述特殊认证向量包括：

所述 HSS为所述 LTE UE生成 EPS AV;

50. 根据权利要求 49所述的 SGSN, 其特征在于，所述 HSS将所述 EPS AV转换成 UMTS A V格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES，所述 HSS将所述 EPS AV中的 K_ASM1.：拆分为两部分，分别作为所述 UMTS AV 的所述 CK和所述 IK。

51 . 根据权利要求 46至 50任一项所述的 SGSN , 其特征在于，所述接入网网元根据所述 CK和或 IK生成 K_{ASM I}._:包括：

所述接入网网元按照生成则 K_ASM1,=CK||IK , 根据所述 CK和或 IK 生成所述 K_ASMI：。

52. 一种接入网网元，其特征在于，包括：接收模块，处理模块，发送模块；

所述接收模块用于接收来自 LTE UE的 attach request消息；所述处理模块用于将所述 attach request消息转换为 UMTS attach request消息；更正页（细则第 91条) 所述发送模块用于将所述 UMTS attach request消息发送给 SGSN, 以便所述 SGSN收到所述 UMTS attach request消息后发送要求认证向量的请求给所述代理服务器，以便所述代理服务器收到所述要求认证向量的请求后发送要求特殊认证向量的请求给所述 HSS, 进而以便所述 HSS根据要求特殊认证向量的请求生成所述特殊认证向量后将所述特殊认证向量发送给所述代理服务器

所述接收模块还用于接收 UMTS AKA认证挑战，所述 UMTS A A认证挑战为所述 SGSN将所述代理服务器发送的所述特殊认证向量发送给所述 SGSN后由所述 SGSN发送；证挑战，所述发送模块还用于将所述 LTE A A认证挑战发送给所述 LTE UE, 以便所述接入网网元、所述 SGSN和所述 LTE UE完成安全认证。

53. 根据权利要求 52所述的接入网网元，其特征在于，所述以便所述接入网网元、所述 SGSN和所述 LTE UE完成安全认证包括：

所述 LTE UE验证所述 LTE AKA认证挑战后生成 RES和密钥 K_ASME; 所述接收模块用于接收所述 LTE UE发送的包含所述 RES的 LTE AKA认证响应，以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证。

54. 根据权利要求 52或 53所述的接入网网元，其特征在于，

所述特殊认证向量包含 XRES、 C 和 IK;

所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证包 ί舌：

所述处理模块还用于将包含所述 RES的 LTE AKA认证响应转换为包含所述 RES的 UMTS AKA认证响应，所述发送模块还用于将所述包含所述 RES的 UMTS AKA认证响应发送给所述 SGSN, 以便所述 SGSN比较所述 RES和所述 XRES是否相同，当所述比较结果为相同时，所述 SGSN 更正页（细则第 91条) 将所述 CK和或 IK发送给所述接入网网元；

所述处理模块还用于根据所述 CK和或生成 K_ASME，所述接入网网元和所述 LTE UE共享所述 K_ASMK。

55. 根据权利要求 54所述的接入网网元，其特征在于，所述 SGSN比较所述 RES和所述 XRES是否相同还包括，当所述比较结果为不相同时，中止进行安全认证。

56. 根据权利要求 52至 55任一项所述的接入网网元，其特征在于，所述代理服务器收到所述要求认证向量的请求后发送要求特殊认证向量的请求给所述 HSS包括：

57. 根据权利要求 52至 56任一项所述的接入网网元，其特征在于，所述以便所述 HSS根据要求特殊认证向量的请求生成所述特殊认证向量包括：

所述 HS S为所述 LTE UE生成 EPS AV ;

58. 根据权利要求 57所述的接入网网元，其特征在于，所述 HSS将所述 EPS AV转换成 UMTS AV格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND , 更正页（细则第 91条) 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRFS作为所述 UMTS AV的 XRES , 所述 HSS将所述 EPS AV中的 K_ASM1._: ( 256bits ) 拆分为两部分，分别作为所述 UMTS AV的所述 CK和所述 IK。

59. 根据权利要求 54至 58任一项所述的接入网网元，其特征在于，所述处理模块进一步用于按照生成规则 K_ASME=CK||IK ,根据所述 CK 和或 I K生成所述 KA_{SM I}.：。

60. —种移动通信系统的代理服务器，其特征在于，包括：接收模块；发送模块；

所述接收模块用于接收 SGSN发送的要求认证向量的请求，所述要求认证向量的请求由所述 SGSN在收到接入网网元发送的 UMTS attach request消息后发送；

所述发送模块用于发送要求特殊认证向量的请求给所述 HSS，以便所述 HSS根据所述要求特殊认证向量的请求生成所述特殊认证向量；

所述接收模块用于接收所述 HSS发送的所述特殊认证向量后，所述代理服务器将所述特殊认证向量发送给所述 SGSN, 以便所述 SGSN、所述接入网网元和所述 LTE UE完成安全认 ϊ£。

61. 根据权利要求 60 所述的方法，其特征在于，所述 UMTS attach request消息是所述接入网网元将 attach request消息转换所得 , 所述 attach request消息由所迷 LTE UE发送。

62. 根据权利要求 60或 61 所述的方法，其特征在于，所述以便所述 SGSN , 所述接入网网元和所述 LTE UE完成安全认 i正包 4舌：

所述 SGSN发送 UMTS AKA认证 >¾战给所述接入网网元，所述接入网网元将所述 UMTS AKA认证^ i战转换成 LTE AKA认 ^4 战后发送给所述 LTE UE ,所述 LTE UE根据所述 LTE ΛΚΛ认证挑战进行验证并生成 RES和密钥 K,\_SME后，所述 LTE UE将包含所述 RES的 LTE A A认证响更正页（细则第 91条) 应发送给所述 4 入网网元，以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全认证。

63. 根据权利要求 60至 62任一项所述的方法，其特征在于，所述特殊认证向量中包含 XRES、 CK、 IK;

所述接入网网元将所述 LTE ΑΚΛ认证响应转换为 UMTS A A认证响应并将所述 UMTS ΛΚΑ认证响应发送给所述 SGSN , 所述 SGSN比较所述 RES和所述 XRES是否相同，当所述比较结杲为相同时，所述 SGSN 将所述 CK和或 IK发送给所述接入网网元，所述接入网网元根据所述 CK 和或 IK生成 K_ASME，所述接入网网元和所述 LTE UE共享所述 K_ASM [；。

64. 根据权利要求 63所述的方法，其特征在于，所述 SGSN比较所述 RES和所述 XRES是否相同还包括，当所述比较结果为不相同时，中止进行安全认证。

65. 根据权利要求 60至 64任一项所述的方法，其特征在于，还包括存储模块和处理模块；

所述发送模块用于发送要求特殊认证向量的请求给所述 HSS包括：所述存储模块用于存储一个列表，所述列表包括通过接入 2G/3G网络的 LTE UE的标识信息；

UE的标识信息包含在所述列表中，则所述处理模块用于识别出是所述 LTE UE接入 2G或 3G网络；

所述处理模块还用于在所述要求认证向量的请求中加入指示信息生成所述要求特殊认证向量的请求，所述指示信息用于指示所述 HSS生成所述特殊认证向量。

66. 根据权利要求 60至 65任一项所述的方法，其特征在于，所述 HSS 更正页（细则第 91条）生成特殊认证向量包括：

所述 HSS为所述 LTE UE生成 EPS AV;

67. 根据权利要求 66所述的方法，其特征在于，所述 HSS将所述 EPS AV转换成 UMTS AV格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN , 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES , 所述 HSS将所述 EPS AV中的 K_ASMf;拆分为两部分，分别作为所述 UMTS AV 的所述 CK和所述 IK。

68. 根据权利要求 63至 67任一项所述的方法，其特征在于，所述接入网网元根据所述 CK和或 ΙΚ生成 Κ_Λί5ΜΚ包括：

所述接入网网元按照生成规则 K_ASN1E=CK||IK , 根据所述 CK和或 IK 生成所述 K_ASM1.:。

更正页（细则第 91条)