WO2016206387A1

WO2016206387A1 - 一种接入孤立网络的鉴权认证方法及系统

Info

Publication number: WO2016206387A1
Application number: PCT/CN2016/073807
Authority: WO
Inventors: 彭锦; 游世林; 朱进国; 林兆骥
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-06-26
Filing date: 2016-02-15
Publication date: 2016-12-29
Also published as: CN106332077A; CN106332077B

Abstract

一种接入孤立网络的鉴权认证方法及系统，包括：通用集成电路卡从终端接收孤立网络的网络标识，或者根据孤立网络的网络标识确定的关联参数；通用集成电路卡根据网络标识或关联参数，参照预配置的网络标识与鉴权密钥的对应关系，获取孤立网络的网络标识对应的鉴权密钥，其中，通用集成电路卡预配置的网络标识与鉴权密钥的对应关系与包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系。上述技术方案能够解决相关技术中使用鉴权向量的AMF域指定鉴权密钥的方式无法大规模实施的问题。

Description

一种接入孤立网络的鉴权认证方法及系统

技术领域

本文涉及但不限于移动通信领域，尤其涉及一种接入孤立网络的鉴权认证方法及系统。

背景技术

为了保持第三代移动通信系统在通信领域的竞争力，为用户提供速率更快、时延更低、更加个性化的移动通信服务，同时，降低运营商的运营成本，第三代合作伙伴计划(3GPP，3rd Generation Partnership Project)标准工作组正致力于演进分组系统(EPS，Evolved Packet System)的研究。

图1为相关技术中演进的分组核心网(EPC，Evolved Packet Core)的网络架构示意图。如图1所示，在EPC中，包含了归属用户数据服务器(HSS，Home Subscriber Server)、移动性管理实体(MME，Mobility Management Entity)、服务网关(S-GW，Serving Gateway)、分组数据网络网关(P-GW，PDN Gateway)、服务GPRS支持节点(SGSN，Serving GPRS Support Node)以及策略与计费规则功能实体(PCRF，Policy and Charging Rules Function)。

其中，HSS设置为用户签约数据的永久存放地点，位于用户签约的归属网；MME设置为用户签约数据在当前网络的存放地点，负责终端到网络的非接入层(Non-Access Stratum)信令管理、用户空闲模式下的跟踪和寻呼管理功能和承载管理；S-GW设置为核心网到无线系统的网关，负责终端到核心网的用户面承载、终端空闲模式下的数据缓存、网络侧发起业务请求的功能、合法窃听和分组数据路由和转发功能；P-GW设置为演进分组系统和该系统外部网络的网关，负责终端的网络协议(IP，Internet Protocol)地址分配、计费功能、分组包过滤、策略应用等功能；SGSN设置为全球移动通信系统(GSM，Global System for Mobile Communication)和/或增强型数据速率GSM演进(EDGE，Enhanced Data Rate for GSM Evolution)无线接入网(GERAN，GSM EDGE Radio Access Network)和通用陆地无线接入网络 (UTRAN，Universal Terrestrial Radio Access Network)用户接入EPC网络的业务支持点，功能上与MME类似，负责用户的位置更新、寻呼管理和承载管理等功能；PCRF设置为负责向策略与计费执行功能实体(PCEF，Policy and Charging Enforcement Function)提供策略控制与计费规则。

其中，Iu为无线网络控制器与SGSN之间的接口，Gr为SGSN与HSS之间的接口，S1-MME为基站与MME之间的接口，S1-U为基站与S-GW之间的接口，S3为MME与SGSN之间的接口，S4为SGSN与S-GW之间的接口，S5为S-GW与P-GW之间的接口，S6a为MME与HSS之间的接口，S7为P-GW与PCRF之间的接口，S10为MME之间的接口，S11为MME与S-GW之间的接口，SGi为P-GW与分组数据网络之间的接口，Rx为PCRF与分组数据网络之间的参考点接口。

在一些应急情况下，基站可能与核心网断开连接或者保持有限的连接(即控制面的消息传递可以保证，但是用户面数据的传递可能无法保证)，此时，需要快速建立一个应急通信的网络，以保证在特殊情况下为网络中部分特殊用户(例如跟国家公共安全相关的人员)提供特殊的业务。应急通信的网络，又称为孤立网络，采用的网络架构与相关技术本来的架构并无不同，只是基站可能转变为具有公共安全能力的基站，即具有部分演进分组核心网的功能，也即多个逻辑功能实体集成在一个或者几个实体公共安全基站中。

由于公共安全基站进入了公共安全模式，如果公共终端需要接入公共安全基站进行公共安全业务，则公共安全基站和公共安全终端需要相互认证。相关技术使用扩展的全球用户身份模块(USIM，Universal Subscriber Identity Module)应用，即在同一个USIM应用中包括一个国际移动用户识别码(IMSI，International Mobile Subscriber Identification Number)和多个鉴权密钥Ki。本地核心网通过在鉴权请求消息中携带鉴权密钥Ki的索引值的方式，向通用集成电路卡(UICC，Universal Integrated Circuit Card)指定使用的鉴权密钥。

图2为相关技术中终端接入孤立网络鉴权认证的流程图。如图2所示，该过程包括以下步骤：

步骤201：通用集成电路卡和包括本地核心网的基站预配置孤立网络鉴权密钥(Ki)列表；

步骤202：基站与核心网的连接中断，切换到孤立网络模式；

步骤203：基站广播孤立网络的网络标识；

步骤204：终端检测到该孤立网络的网络标识；

步骤205：终端向包括本地核心网的基站发送网络附着请求消息，其中，该消息中包括用户标识参数；

步骤206：包括本地核心网的基站随机选择孤立网络鉴权密钥Ki，将Ki的索引值加入认证管理功能(AMF，Authentication Management Function)域中，并生成认证与密钥协商协议(AKA，Authentication and Key Agreement)鉴权向量；

步骤207：包括本地核心网的基站向终端发送鉴权请求消息，该消息中包括随机数和鉴权令牌(AUTN，Authentication Token)参数，其中，鉴权令牌参数包括AMF域；

步骤208：终端向通用集成电路卡发送鉴权数据请求消息，该消息中包括随机数和鉴权令牌参数，其中，鉴权令牌参数包括AMF域；

步骤209：通用集成电路卡根据AMF域中的鉴权密钥索引值获取鉴权密钥Ki，验证鉴权令牌，并计算响应值(RES)和中间密钥(K_ASME)；

步骤210：通用集成电路卡向终端回送鉴权数据响应消息，该消息中包括响应值RES和中间密钥K_ASME参数；

步骤211：终端根据中间密钥K_ASME推算非接入层(NAS)和接入层(AS，Access Stratum)业务密钥；

步骤212：终端向包括本地核心网的基站回送鉴权响应消息，该消息中包括响应值RES；

步骤213：包括本地核心网的基站验证接收到的响应值RES是否跟预计响应值XRES相等，如果相等则验证通过；

步骤214：包括本地核心网的基站与终端之间执行安全模式命令(SMC，Safe Mode Command)过程，以协商安全算法，完成安全连接的建立；

步骤215：包括本地核心网的基站向终端回送网络附着接受消息。

其中，上述流程使用鉴权向量中的AMF域来指定使用的鉴权密钥，这就要求所有的运营商和终端对AMF域的使用遵循同样的标准。但是，目前对AMF域的使用是没有被标准化的。而且，在现网中，不同的运营商对AMF域已经有了不同的使用，也很难进行标准化。因此，相关技术的处理流程无法大规模实施。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提供一种接入孤立网络的鉴权认证方法及系统，可避免使用鉴权向量的AMF域指定鉴权密钥的方式无法大规模实施的问题。

本发明实施例提供一种接入孤立网络的鉴权认证方法，应用于安装在终端的通用集成电路卡中，包括：通用集成电路卡从终端接收孤立网络的网络标识，或者从终端接收根据所述孤立网络的网络标识确定的关联参数；通用集成电路卡根据所述网络标识或所述与网络标识存在对应关系的关联参数，参照预配置的网络标识与鉴权密钥的对应关系，获取所述孤立网络的网络标识对应的鉴权密钥，其中，所述通用集成电路卡预配置的网络标识与鉴权密钥的对应关系与包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系相同。

可选地，所述获取所述孤立网络的网络标识对应的鉴权密钥之后，该方法还包括：所述通用集成电路卡根据获取的鉴权密钥，确定响应值RES，提供给所述终端。

可选地，所述预配置的网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

网络标识与鉴权密钥通过关联参数进行关联的间接对应关系。

可选地，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

本发明实施例还提供一种接入孤立网络的鉴权认证方法，应用于安装通用集成电路卡的终端中，包括：终端向通用集成电路卡发送检测到的孤立网络的网络标识或者根据所述孤立网络的网络标识确定的关联参数；所述终端接收由所述通用集成电路卡根据与网络标识对应的鉴权密钥确定的响应值RES；所述终端将所述响应值RES发送至包括本地核心网的基站。

可选地，所述网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

可选地，所述终端向通用集成电路卡发送根据孤立网络的网络标识确定的关联参数之前，该方法还包括：所述终端从所述通用集成电路卡获取网络标识与鉴权密钥通过关联参数进行关联的间接对应关系，根据所述间接对应关系获取并存储网络标识与关联参数的对应关系。

可选地，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

本发明实施例还提供一种接入孤立网络的鉴权认证方法，包括：切换为孤立网络模式的包括本地核心网的基站根据孤立网络的网络标识，参照预配置的网络标识与鉴权密钥的对应关系，确定所述孤立网络的网络标识对应的鉴权密钥，并生成预计响应值XRES，其中，包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系与通用集成电路卡预配置的网络标识与鉴权密钥的对应关系相同；所述基站根据所述预计响应值XRES对终端返回的响应值RES进行认证。

网络标识与鉴权密钥的直接对应关系；或者，

可选地，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

可选地，所述基站根据所述预计响应值XRES对终端返回的响应值RES进行认证包括：当所述预计响应值XRES与终端返回的响应值RES相等时，所述终端通过认证。

本发明实施例还提供一种接入孤立网络的鉴权认证系统，应用于安装在终端的通用集成电路卡中，包括：接收模块，设置为从终端接收孤立网络的网络标识，或者从终端接收根据所述孤立网络的网络标识确定的关联参数；处理模块，设置为根据所述网络标识或所述与网络标识存在对应关系的关联参数，参照预配置的网络标识与鉴权密钥的对应关系，获取所述孤立网络的网络标识对应的鉴权密钥，其中，所述预配置的网络标识与鉴权密钥的对应关系与包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系相同。

可选地，该系统还包括：存储模块，设置为存储预配置的网络标识与鉴权密钥的对应关系。

网络标识与鉴权密钥的直接对应关系；或者，

可选地，所述处理模块，还设置为根据获取的鉴权密钥，确定响应值RES，提供给所述终端。

可选地，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

本发明实施例还提供一种接入孤立网络的鉴权认证系统，应用于安装通用集成电路卡的终端中，包括：第一发送模块，设置为向通用集成电路卡发送检测到的孤立网络的网络标识或者根据所述孤立网络的网络标识确定的关联参数；接收模块，设置为接收由所述通用集成电路卡根据与网络标识对应的鉴权密钥确定的响应值RES；第二发送模块，设置为将所述响应值RES发送至包括本地核心网的基站。

网络标识与鉴权密钥的直接对应关系；或者，

可选地，该系统还包括：存储模块，设置为从所述通用集成电路卡获取网络标识与鉴权密钥通过关联参数进行关联的间接对应关系，根据所述间接对应关系获取并存储网络标识与关联参数的对应关系。

可选地，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

本发明实施例还提供一种接入孤立网络的鉴权认证系统，包括：处理模块，设置为根据孤立网络的网络标识，参照预配置的网络标识与鉴权密钥的对应关系，确定所述孤立网络的网络标识对应的鉴权密钥，并生成预计响应值XRES，其中，所述预配置的网络标识与鉴权密钥的对应关系与通用集成电路卡预配置的网络标识与鉴权密钥的对应关系相同；认证模块，设置为根据所述预计响应值XRES对终端返回的响应值RES进行认证。

网络标识与鉴权密钥的直接对应关系；或者，

可选地，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

本发明实施例还提供了一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行上述的方法。

在本发明实施例中，通用集成电路卡从终端接收孤立网络的网络标识，或者根据孤立网络的网络标识确定的关联参数；通用集成电路卡根据网络标识或关联参数，参照预配置的网络标识与鉴权密钥的对应关系，获取孤立网络的网络标识对应的鉴权密钥，其中，通用集成电路卡预配置的网络标识与鉴权密钥的对应关系与包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系相同。如此，本发明实施例避免了相关技术中使用鉴权向量的AMF域指定鉴权密钥存在的问题。而且，本发明实施例可以实现大规模实施。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为相关EPC的网络架构示意图；

图2为相关技术中终端接入孤立网络鉴权认证的流程图；

图3为本发明实施例提供的接入孤立网络的鉴权认证方法的流程图；

图4为本发明实施例提供的接入孤立网络的鉴权认证方法的流程图；

图5为本发明实施例提供的接入孤立网络的鉴权认证方法的流程图；

图6为本发明实施例一提供的接入孤立网络的鉴权认证方法的流程图；

图7为本发明实施例二提供的接入孤立网络的鉴权认证方法的流程图；

图8为本发明实施例三提供的接入孤立网络的鉴权认证方法的流程图；

图9为本发明实施例提供的一种应用于安装在终端的通用集成电路卡中的接入孤立网络的鉴权认证系统组成模块图；

图10为本发明实施例提供的一种应用于安装通用集成电路卡的终端中的接入孤立网络的鉴权认证系统组成模块图。

本发明的实施方式

以下结合附图对本发明的实施例进行详细说明，应当理解，以下所说明的实施例仅用于说明和解释本发明，并不用于限定本发明。

图3为本发明实施例提供的接入孤立网络的鉴权认证方法的流程图。如图3所示，本实施例提供的接入孤立网络的鉴权认证方法，应用于安装在终端的通用集成电路卡中，包括以下步骤：

步骤11：通用集成电路卡从终端接收孤立网络的网络标识，或者从终端接收根据所述孤立网络的网络标识确定关联参数。

其中，关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

步骤12：通用集成电路卡根据所述网络标识或所述与网络标识存在对应关系的关联参数，参照预配置的网络标识与鉴权密钥的对应关系，获取孤立网络的网络标识对应的鉴权密钥。

其中，通用集成电路卡预配置的网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

而且，通用集成电路卡预配置的网络标识与鉴权密钥的对应关系与包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系相同。可选的，当通用集成电路卡预配置网络标识与鉴权密钥的直接对应关系或间接对应关系时，包括本地核心网的基站可预配置网络标识与鉴权密钥的直接或间接对应关系，仅需满足，通用集成电路卡根据孤立网络的网络标识或相应的关联参数参照其预配置的对应关系确定的鉴权密钥，与包括本地核心网的基站根据孤立网络的网络标识参照其预配置的对应关系确定的鉴权密钥一致即可。

于步骤12之后，该方法还包括：通用集成电路卡根据获取的鉴权密钥，确定响应值RES，提供给终端。

图4为本发明实施例提供的接入孤立网络的鉴权认证方法的流程图。如图4所示，本实施例提供的接入孤立网络的鉴权认证方法，应用于安装通用集成电路卡的终端中，包括以下步骤：

步骤21：终端向通用集成电路卡发送检测到的孤立网络的网络标识或者根据孤立网络的网络标识确定的关联参数。

其中，关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

于步骤21之前，该方法还包括：终端从通用集成电路卡获取网络标识与鉴权密钥通过关联参数进行关联的间接对应关系，根据所述间接对应关系获取并存储网络标识与关联参数的对应关系。

其中，通用集成电路卡预配置有网络标识与鉴权密钥的对应关系，该对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

而且，通用集成电路卡预配置的网络标识与鉴权密钥的对应关系与包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系相同。具体而言，当通用集成电路卡预配置网络标识与鉴权密钥的直接对应关系或间接对应关系时，包括本地核心网的基站可预配置网络标识与鉴权密钥的直接或间接对应关系，仅需满足通用集成电路卡根据孤立网络的网络标识或相应的关联参数参照其预配置的对应关系确定的鉴权密钥与包括本地核心网的基站根据孤立网络的网络标识参照其预配置的对应关系确定的鉴权密钥一致即可。

步骤22：终端接收由通用集成电路卡确定的响应值RES。

其中，响应值RES由通用集成电路卡根据所述网络标识或所述关联参数，参照预配置的网络标识与鉴权密钥的对应关系，获取的孤立网络的网络标识对应的鉴权密钥确定。

步骤23：终端将响应值RES发送至包括本地核心网的基站。

可选的，切换为孤立网络模式的包括本地核心网的基站根据孤立网络的网络标识，参照基站内预配置的网络标识与鉴权密钥的对应关系或，确定孤立网络的网络标识对应的鉴权密钥，并根据所述鉴权密钥生成预计响应值XRES。当响应值RES与预计响应值XRES相等时，则终端通过认证，接入孤立网络。

图5为本发明实施例提供的接入鉴权网络的鉴权认证方法的流程图。如图5所示，本实施例提供的接入鉴权网络的鉴权认证方法，包括以下步骤：

步骤31：切换为孤立网络模式的包括本地核心网的基站根据孤立网络的网络标识，参照预配置的网络标识与鉴权密钥的对应关系，确定孤立网络的网络标识对应的鉴权密钥，并生成预计响应值XRES。

其中，关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

其中，包括本地核心网的基站预配置网络标识与鉴权密钥的对应关系，该对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

而且，包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系与通用集成电路卡预配置的网络标识与鉴权密钥的对应关系相同。可选的，当包括本地核心网的基站预配置网络标识与鉴权密钥的直接对应关系或间接对应关系时，通用集成电路卡可预配置网络标识与鉴权密钥的直接或间接对应关系，仅需满足，通用集成电路卡根据孤立网络的网络标识或相应的关联参数参照其预配置的对应关系确定的鉴权密钥，与包括本地核心网的基站根据孤立网络的网络标识参照其预配置的对应关系确定的鉴权密钥一致即可。

步骤32：基站根据预计响应值XRES对终端返回的响应值RES进行认证。

可选的，当响应值RES与预计响应值XRES相等时，则终端通过认证，接入孤立网络。

图6为本发明实施例一提供的接入孤立网络的鉴权认证方法的流程图。于本实施例中，终端不存储网络标识与鉴权密钥索引值的对应关系，直接将孤立网络的网络标识传递给通用集成电路卡。如图6所示，本实施例具体包括以下步骤：

步骤301：通用集成电路卡和包括本地核心网的基站，预配置孤立网络的鉴权密钥Ki及其对应的网络标识列表，于此，通用集成电路卡例如预配置网络标识与鉴权密钥通过鉴权密钥索引值进行关联的间接对应关系，包括本地核心网的基站例如预配置网络标识与鉴权密钥通过鉴权密钥索引值进行关联的间接对应关系或网络标识与鉴权密钥的直接对应关系；

可选的，通用集成电路卡将该列表保存在某个基本文件(EF，Elementary File)中，比如可以保存在EF_OPLMNwACT文件中，格式如表1所示。

表1 EF_OPLMNwACT文件格式

由表1可见，鉴权密钥索引值(Key Index)与网络标识(N^th PLMN)对应。可选的，由于通用集成电路卡将鉴权密钥保存在安全存储区中，因此，EF中只保存鉴权密钥索引值即可。然而，本发明对此并不限定。通用集成电路卡亦可存储网络标识与鉴权密钥的直接对应列表。

另外，包括本地核心网的基站将孤立网络的鉴权密钥Ki及其对应的网络标识列表保存在数据库中，可选的，包括本地核心网的基站例如可存储鉴权密钥与鉴权密钥索引值的关系列表以及鉴权密钥索引值与网络标识的对应关系列表；或者，可存储网络标识与鉴权密钥的直接对应列表。

步骤302：基站与核心网的连接中断，切换到孤立网络模式；

步骤303：基站广播孤立网络的网络标识；

步骤304：终端检测到该孤立网络的网络标识；

步骤305：终端向包括本地核心网的基站发送网络附着请求消息，其中，该消息中包括用户标识参数；

步骤306：包括本地核心网的基站根据在步骤303中所广播的网络标识，参照其在步骤301中保存的列表，获取对应的鉴权密钥Ki，并生成AKA鉴权向量；

步骤307：包括本地核心网的基站向终端发送鉴权请求消息，其中，该消息中包括随机数和鉴权令牌(AUTN)参数；

步骤308：终端向通用集成电路卡发送鉴权数据请求消息，其中，该消息中包括随机数、鉴权令牌和检测到的孤立网络的网络标识参数；

步骤309：通用集成电路卡参照其在步骤301中保存的列表，根据接收到的网络标识参数获取对应的鉴权密钥索引值，根据鉴权密钥索引值获取鉴权密钥Ki，验证鉴权令牌，并计算响应值RES和中间密钥K_ASME；

步骤310：通用集成电路卡向终端返回鉴权数据响应消息，其中，该消息中携带鉴权响应参数，包括响应值RES和中间密钥K_ASME参数；

步骤311：终端根据中间密钥K_ASME推算NAS和AS业务密钥；

步骤312：终端向包括本地核心网的基站回送鉴权响应消息，该消息中包括响应值RES参数；

步骤313：包括本地核心网的基站验证接收到的响应值RES是否跟预计响应值XRES相等，如果相等则验证通过；

步骤314：包括本地核心网的基站与终端之间执行SMC过程，以协商安全算法，完成安全连接的建立；

步骤315：包括本地核心网的基站向终端回送网络附着接受消息。

图7为本发明实施例二提供的接入孤立网络的鉴权认证方法的流程图。于本实施例中，终端存储网络标识和鉴权密钥索引值的对应关系，并将根据孤立网络的网络标识确定的鉴权密钥索引值传递给通用集成电路卡。如图7所示，本实施例具体包括以下步骤：

步骤401：通用集成电路卡和包括本地核心网的基站预配置孤立网络的鉴权密钥Ki及其对应的网络标识列表，于此，通用集成电路卡和包括本地核心网的基站预配置网络标识与鉴权密钥通过鉴权密钥索引值进行关联的间接对应关系；

可选的，通用集成电路卡将该列表保存在某个EF文件中，比如可以保存在EF_OPLMNwACT文件中，格式如表2所示。

表2 EF_OPLMNwACT文件格式

由表2可见，鉴权密钥索引值(Key Index)与网络标识(N^th PLMN)存在对应关系。可选的，由于通用集成电路卡将鉴权密钥保存在安全存储区中，因此，EF中只保存鉴权密钥索引值即可，即通过鉴权密钥索引值实现网络标识与鉴权密钥的关联对应。

另外，包括本地核心网的基站例如将孤立网络的鉴权密钥Ki及其对应的鉴权密钥索引值列表、网络标识及其对应的鉴权密钥索引值列表保存在数据库中。

步骤402：终端读取通用集成电路卡上的EF文件，存储网络标识及其对应的鉴权密钥索引值列表；

步骤403：基站与核心网的连接中断，切换到孤立网络模式；

步骤404：基站广播孤立网络的网络标识；

步骤405：终端检测到该孤立网络的网络标识；

步骤406：终端向包括本地核心网的基站发送网络附着请求消息，该消息中包括用户标识参数；

步骤407：包括本地核心网的基站根据在步骤404中所广播的网络标识，参照其在步骤401中保存的列表，获取对应的鉴权密钥Ki，生成AKA鉴权向量；

步骤408：包括本地核心网的基站向终端发送鉴权请求消息，该消息中包括随机数和鉴权令牌(AUTN)参数；

步骤409：终端根据在步骤405中所检测到的网络标识，参照步骤402存储的网络标识及其对应的鉴权密钥索引值列表，获取对应的鉴权密钥索引值；终端向通用集成电路卡发送鉴权数据请求消息，其中，该消息中包括随机数、鉴权令牌和鉴权密钥索引值参数；

步骤410：通用集成电路卡根据接收到的鉴权密钥索引值参数，参照其在步骤401中保存的列表，获取对应的鉴权密钥Ki，验证鉴权令牌，并计算响应值RES和中间密钥K_ASME；

步骤411：通用集成电路卡向终端返回鉴权数据响应消息，该消息中包括响应值RES和中间密钥K_ASME参数；

步骤412：终端根据中间密钥K_ASME推算NAS和AS业务密钥；

步骤413：终端向包括本地核心网的基站回送鉴权响应消息，消息中包括响应值RES参数；

步骤414：包括本地核心网的基站验证接收到的响应值RES是否跟预计响应值XRES相等，如果相等则验证通过；

步骤415：包括本地核心网的基站与终端之间执行SMC过程，以协商安全算法，完成安全连接的建立；

步骤416：包括本地核心网的基站向终端回送网络附着接受消息。

图8为本发明实施例三提供的接入孤立网络的鉴权认证方法的流程图。于本实施例中，终端存储网络标识和网络模式指示符参数的对应关系，并将根据孤立网络的网络标识确定的网络模式指示符参数传递给通用集成电路卡。本实施例应用于所有普通网络使用同样的鉴权密钥和所有孤立网络使用同样的鉴权密钥的情况。如图8所示，本实施例具体包括以下步骤：

步骤501：通用集成电路卡和包括本地核心网的基站预配置网络标识及其对应的网络模式列表；其中网络模式例如包括普通网络模式、孤立网络模式；普通网络模式配置有普通网络鉴权密钥，孤立网络模式配置有孤立网络鉴权密钥，于此，通用集成电路卡和包括本地核心网的基站预配置网络标识与鉴权密钥通过网络模式指示符参数进行关联的间接对应关系；

可选的，通用集成电路卡将该列表保存在某个EF文件中，比如可以保存在EF_OPLMNwACT文件中，格式如表3所示。

表3 EF_OPLMNwACT文件格式

Bytes	Description	M/O	Length
1 to 3	1^st PLMN(highest priority)	M	3 bytes
4 to 5	1^st PLMN Access Technology Identifier	M	2 bytes
6	1^st PLMN Mode Indicator	M	1 byte
:	:
43 to 45	8^th PLMN	M	3 bytes
46 to 47	8^th PLMN Access Technology Identifier	M	2 bytes
48	8^th PLMN Mode Indicator	M	1 byte
49 to 51	9^th PLMN	O	3 bytes
52 to 53	9^th PLMN Access Technology Identifier	O	2 bytes
54	9^th PLMN Mode Indicator	O	1 byte
:	:
(6n-5)to(6n-3)	N^th PLMN(lowest priority)	O	3 bytes
(6n-2)to(6n-1)	N^th PLMN Access Technology Identifier	O	2 bytes
6n	N^th PLMN Mode Indicator	O	1 byte

由表3可见，网络模式指示符(Mode Indicator)与网络标识(N^th PLMN) 存在对应关系。当网络为普通网络时，其Mode Indicator的值为0；当网络为孤立网络时，其Mode Indicator的值为1。普通网络配置有对应的普通网络鉴权密钥，孤立网络配置有对应的孤立网络鉴权密钥。即，通过网络模式指示符参数实现网络标识与鉴权密钥的关联对应。

另外，包括本地核心网的基站例如将网络标识及其对应的网络模式指示符参数列表、网络模式指示符参数及其对应的鉴权密钥列表保存在数据库中。

步骤502：终端读取通用集成电路卡上的EF文件，存储网络标识及其对应的网络模式指示符列表；

步骤503：基站与核心网的连接中断，切换到孤立网络模式；

步骤504：基站广播孤立网络的网络标识；

步骤505：终端检测到该孤立网络的网络标识；

步骤506：终端向包括本地核心网的基站发送网络附着请求消息，消息中包括用户标识参数；

步骤507：本地核心网根据在步骤504中所广播的网络标识，参照其在步骤501中保存的列表，获取对应的网络模式指示符参数，并获取对应的鉴权密钥Ki，生成AKA鉴权向量；

步骤508：包括本地核心网的基站向终端发送鉴权请求消息，消息中包括随机数和鉴权令牌(AUTN)参数；

步骤509：终端根据在步骤505中所检测到的网络标识，参照其在步骤502中存储的列表，获取对应的网络模式指示符参数；终端向通用集成电路卡发送鉴权数据请求消息，该消息中包括随机数、鉴权令牌和网络模式指示符参数；

步骤510：通用集成电路卡根据接收到的网络模式指示符参数，参照其在步骤501中保存的列表，获取对应的鉴权密钥Ki，验证鉴权令牌，并计算响应值RES和中间密钥K_ASME；

步骤511：通用集成电路卡向终端或送鉴权数据响应消息，消息中包括响应值RES和中间密钥K_ASME参数；

步骤512：终端根据中间密钥K_ASME推算NAS和AS业务密钥；

步骤513：终端向包括本地核心网的基站回送鉴权响应消息，消息中包括响应值RES参数；

步骤514：包括本地核心网的基站验证接收到的响应值RES是否跟预计响应值XRES相等，如果相等则验证通过；

步骤515：包括本地核心网的基站与终端之间执行SMC过程，以协商安全算法，完成安全连接的建立；

步骤516：包括本地核心网的基站向终端回送网络附着接受消息。

此外，本发明实施例还提供一种接入孤立网络的鉴权认证系统，应用于安装在终端的通用集成电路卡中，如图9所示，包括：接收模块，设置为从终端接收孤立网络的网络标识，或者从终端接收根据所述孤立网络的网络标识确定的关联参数；处理模块，设置为根据所述网络标识或所述关联参数，参照预配置的网络标识与鉴权密钥的对应关系，获取所述孤立网络的网络标识对应的鉴权密钥，其中，所述预配置的网络标识与鉴权密钥的对应关系与包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系相同。

于一实施例中，上述系统还包括：存储模块，设置为存储预配置的网络标识与鉴权密钥的对应关系。

于一实施例中，处理模块，还设置为根据获取的鉴权密钥，确定响应值RES，提供给终端。

其中，预配置的网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

其中，关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

此外，本发明实施例还提供一种接入孤立网络的鉴权认证系统，应用于安装通用集成电路卡的终端中，如图10所示，包括：第一发送模块，设置为向通用集成电路卡发送检测到的孤立网络的网络标识或者根据所述孤立网络的网络标识确定的关联参数；接收模块，设置为接收由所述通用集成电路卡确定的响应值RES，其中，响应值RES由所述通用集成电路卡根据所述网络标识或所述关联参数，参照预配置的网络标识与鉴权密钥的对应关系，获取的所述孤立网络的网络标识对应的鉴权密钥确定，所述预配置的网络标识与鉴权密钥的对应关系与包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系相同；第二发送模块，设置为将所述响应值RES发送至包括本地核心网的基站。

其中，预配置的网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

于一实施例中，该系统还包括：存储模块，设置为从通用集成电路卡获取网络标识与鉴权密钥通过关联参数进行关联的间接对应关系，根据所述间接对应关系获取并存储网络标识与关联参数的对应关系。

其中，关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

此外，本发明实施例还提供一种接入孤立网络的鉴权认证系统，包括：处理模块，设置为根据孤立网络的网络标识，参照预配置的网络标识与鉴权密钥的对应关系，确定所述孤立网络的网络标识对应的鉴权密钥，并生成预计响应值XRES，其中，所述预配置的网络标识与鉴权密钥的对应关系与通用集成电路卡预配置的网络标识与鉴权密钥的对应关系相同；认证模块，设置为根据所述预计响应值XRES对终端返回的响应值RES进行认证。

其中，预配置的网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

其中，关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。

此外，关于上述系统的具体处理流程同上述方法所述，故于此不再赘述。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，例如通过集成电路来实现其相应功能，也可以采用软件功能模块的形式实现，例如通过处理器执行存储于存储器中的程序/指令来实现其相应功能。本发明不限制于任何特定形式的硬件和软件的结合。

本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，均应涵盖在本发明的权利要求范围当中。

工业实用性

上述技术方案避免了相关技术中使用鉴权向量的AMF域指定鉴权密钥存在的问题。而且，上述技术方案可以实现大规模实施。

Claims

一种接入孤立网络的鉴权认证方法，应用于安装在终端的通用集成电路卡中，包括：

通用集成电路卡从终端接收孤立网络的网络标识，或者从终端接收根据所述孤立网络的网络标识确定的关联参数；

所述通用集成电路卡根据所述网络标识或所述与网络标识存在对应关系的关联参数，参照预配置的网络标识与鉴权密钥的对应关系，获取所述孤立网络的网络标识对应的鉴权密钥，其中，所述通用集成电路卡预配置的网络标识与鉴权密钥的对应关系与包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系相同。
如权利要求1所述的方法，还包括：

所述获取所述孤立网络的网络标识对应的鉴权密钥之后，所述通用集成电路卡根据获取的鉴权密钥，确定响应值RES，提供给所述终端。
如权利要求1所述的方法，其中，所述预配置的网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

网络标识与鉴权密钥通过关联参数进行关联的间接对应关系。
如权利要求1或3所述的方法，其中，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。
一种接入孤立网络的鉴权认证方法，应用于安装通用集成电路卡的终端中，包括：

终端向通用集成电路卡发送检测到的孤立网络的网络标识或者根据所述孤立网络的网络标识确定的关联参数；

所述终端接收由所述通用集成电路卡根据与网络标识对应的鉴权密钥确定的响应值RES；

所述终端将所述响应值RES发送至包括本地核心网的基站。
如权利要求5所述的方法，其中，所述网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

网络标识与鉴权密钥通过关联参数进行关联的间接对应关系。
如权利要求5所述的方法，还包括：

所述终端向通用集成电路卡发送根据孤立网络的网络标识确定的关联参数之前，所述终端从所述通用集成电路卡获取网络标识与鉴权密钥通过关联参数进行关联的间接对应关系，根据所述间接对应关系获取并存储网络标识与关联参数的对应关系。
如权利要求5至7任一项所述的方法，其中，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。
一种接入孤立网络的鉴权认证方法，包括：

切换为孤立网络模式的包括本地核心网的基站根据孤立网络的网络标识，参照预配置的网络标识与鉴权密钥的对应关系，确定所述孤立网络的网络标识对应的鉴权密钥，并生成预计响应值XRES，其中，包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系与通用集成电路卡预配置的网络标识与鉴权密钥的对应关系相同；

所述基站根据所述预计响应值XRES对终端返回的响应值RES进行认证。
如权利要求9所述的方法，其中，所述预配置的网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

网络标识与鉴权密钥通过关联参数进行关联的间接对应关系。
如权利要求9或10所述的方法，其中，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。
如权利要求9所述的方法，其中，所述基站根据所述预计响应值XRES对终端返回的响应值RES进行认证包括：当所述预计响应值XRES与终端返回的响应值RES相等时，所述终端通过认证。
一种接入孤立网络的鉴权认证系统，应用于安装在终端的通用集成电路卡中，包括：

接收模块，设置为从终端接收孤立网络的网络标识，或者从终端接收根据所述孤立网络的网络标识确定的关联参数；

处理模块，设置为根据所述网络标识或所述与网络标识存在对应关系的关联参数，参照预配置的网络标识与鉴权密钥的对应关系，获取所述孤立网络的网络标识对应的鉴权密钥，其中，所述预配置的网络标识与鉴权密钥的对应关系与包括本地核心网的基站预配置的网络标识与鉴权密钥的对应关系相同。
如权利要求13所述的系统，还包括：存储模块，设置为存储预配置的网络标识与鉴权密钥的对应关系。
如权利要求13或14所述的系统，其中，所述预配置的网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

网络标识与鉴权密钥通过关联参数进行关联的间接对应关系。
如权利要求13所述的系统，所述处理模块，还设置为根据获取的鉴权密钥，确定响应值RES，提供给所述终端。
如权利要求13所述的系统，其中，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。
一种接入孤立网络的鉴权认证系统，应用于安装通用集成电路卡的终端中，包括：

第一发送模块，设置为向通用集成电路卡发送检测到的孤立网络的网络标识或者根据所述孤立网络的网络标识确定的关联参数；

接收模块，设置为接收由所述通用集成电路卡根据与网络标识对应的鉴权密钥确定的响应值RES；

第二发送模块，设置为将所述响应值RES发送至包括本地核心网的基站。
如权利要求18所述的系统，其中，所述网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

网络标识与鉴权密钥通过关联参数进行关联的间接对应关系。
如权利要求19所述的系统，还包括：存储模块，设置为从所述通用集成电路卡获取网络标识与鉴权密钥通过关联参数进行关联的间接对应关系，根据所述间接对应关系获取并存储网络标识与关联参数的对应关系。
如权利要求18至20任一项所述的系统，其中，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。
一种接入孤立网络的鉴权认证系统，包括：

处理模块，设置为根据孤立网络的网络标识，参照预配置的网络标识与鉴权密钥的对应关系，确定所述孤立网络的网络标识对应的鉴权密钥，并生成预计响应值XRES，其中，所述预配置的网络标识与鉴权密钥的对应关系与通用集成电路卡预配置的网络标识与鉴权密钥的对应关系相同；

认证模块，设置为根据所述预计响应值XRES对终端返回的响应值RES进行认证。
如权利要求22所述的系统，还包括：存储模块，设置为存储预配置的网络标识与鉴权密钥的对应关系。
如权利要求22或23所述的系统，其中，所述预配置的网络标识与鉴权密钥的对应关系包括：

网络标识与鉴权密钥的直接对应关系；或者，

网络标识与鉴权密钥通过关联参数进行关联的间接对应关系。
如权利要求22所述的系统，其中，所述关联参数包括：

鉴权密钥索引值；或者，

网络模式指示符参数。