专利名称:协商网络认证方式的方法
技术领域:
本发明实施例涉及移动通信领域,尤其涉及一种协商网络认证方式的方法。
背景技术:
现有的3GPP ( 3rd Generation Partnership Project,第三代移动通信标准化伙 伴项目)认证方案存在如下安全隐患首先,根据3GPP的认证协议,MS (Mobile Station,移动台)不能对VLR ( Visitor Location Register,拜访位置寄存器)的 合法性进行认证,如此一来,MS可能被假冒的VLR所欺骗;其次,MS首次申请 认证时其IMSI (用户永久身份标识)以明文的方式传输,攻击者截获该IMSI可 以假冒用户接入网络,同时IMSI泄漏会造成位置跟踪等攻击;第三,VLR和HLR (Home Location Register,归属位置寄存器)之间的敏感信息以明文方式传输, 攻击者能够窃听VLR与HLR间信息得到CK (加密密钥)和IK (完整性密钥)。
针对以上3GPP的认证方案存在的安全隐患,我国已提出对3GPP的认证协议 进行完善,称为"增强型认证协议",并计划将其进行标准化。同时,在增强型认 证协议中采用自主的空口加密算法和鉴权算法。在增强型认证协议中要求VLR 和HLR之间共享密钥KH、同一种加密算法和同一种完整性验证算法。同时要求 终端能产生随机数,也支持与HLR用于加密随机数的同 一种加密算法和同 一种 完整性验证算法。
如此一来,对现有的设备就有了如下的新要求
1) 手机基带芯片集成单路标准算法和改进空口加密算法;
2) 手机的USIM (User Service Identity Module,用户服务识别模块)卡支 持标准认证协议和增强型认证协议;
3) VLR的基带芯片集成多路标准空口加密算法、改进空口加密算法和加 密算法E;
4 ) VLR软件支持标准认证协议和增强型认证协议;
5) HLR支持标准认证协议、增强型认证协议和加密算法E;
6) AUC (鉴权中心)集中产生共享密钥K,发卡时USIM卡增加该参数;
7) AUC集中产生共享密钥KH,服务网建设时下载到服务网内,并定期更换。
由于国内的网络设备、用户终端和USIM卡无法同时升级以支持增强型认证 协议,而且国外的网络设备、用户终端和USIM卡也不一定支持增强型认证协议, 因此增强型认证协议和标准认证协议会长期共存。两种不同的认证协议共存会 造成支持不同认证协议的设备之间的互联互通问题。
发明内容
本发明实施例所要解决的技术问题在于提供一种能解决不同认证协议共存 的协商网络i人证方式的方法。
为解决上述技术问题,本发明实施例所采用的技术方案是提供一种协商 网络认证方式的方法,包括以下步骤
用户设备接收网络侧发送的消息,所述消息携带标识网络側设备是否支持 增强型认i正协议的安全能力标识;才艮据所述消息中的安全能力标识确定所述网 络側设备和所述用户设备间进行认证的方式。
上述技术方案的进一步改进在于所述方法还包括如果所述用户设备没 有接收到所述消息,则向所述网络側设备发送认证请求以确定所述网络侧设备 和所述用户设备间进行认证的方式。
所述方法还包括无线网络控制器向所有用户设备广播消息,所述消息中 携带标识网络侧设备是否支持增强型认证协议的安全能力标识。
所述方法还包括如果所述用户设备预设选择标准认证协议,则确定所述 网络側设备和所述用户设备间以标准认证协议流程进行认证。
所述方法还包括如果所述用户设备不支持增强型认证协议,则确定所述 网络側设备和所述用户设备间以标准认证协议流程进行认证。
用户设备接收网络側发送的消息,根据所述消息中的安全能力标识确定所 述网络側设备和所述用户设备间进行认证的方式的步骤具体包括
如果所述消息指示所述网络側设备不支持增强型认证协议,则所述用户设 备以标准i人证协议的流程进行认证;
如果所述消息指示所述网络側设备支持增强型认证协议,且所述用户设备 本端支持增强型认证协议,则以增强型认证协议的流程进行认证;
如果所述消息指示所述网络側设备支持增强型认证协议,且所述用户设备 预设选择增强型认证协议,则以增强型认证协议的流程进行认证。
如果所述用户设备没有接收到所述消息,则向所述网络側设备发送认证请 求以确定所述网络侧设备和所述用户设备间进行认证的方式的步骤具体包括 如果所述用户设备确定本端支持增强型认证协议或预设选择增强型认证协
议,则以增强型认证协议的流程向网络側设备发送认证请求;
所述网络側设备接收到该请求后,如果确定本端支持增强型认证协议,则向
所述支持增强型认证协议的用户设备返回符合增强型认证协议响应消息;如果 确定本端不支持增强型认证协议,则向所述支持增强型认证协议的用户设备返 回拒绝消息;
所述用户设备收到所述符合增强型认证协议响应消息,则以增强型认证协议 进行认证,若所述用户设备收到所述拒绝消息,则以标准认证协议流程进行认 证。
所述方法还包括所述用户设备判断本端是否支持增强型认证协议的步骤, 具体为所述用户设备判断用户终端和用户服务识别模块卡都支持增强型认证 协议,则确定用户设备本端支持增强型认证协议,否则确定用户设备本端不支 持增强型协议。
所述网络侧设备包括归属位置寄存器HLR和/或访问位置寄存器VLR。 本发明实施例的有益效果是由于本发明实施例根据用户设备和网络设备 是否支持增强型认证协议,若支持,则以增强型认证协议的流程进行认证;若 不支持,则以标准认证协议进行认证,从而使增强型认证协议和标准认证协议 共存,解决了支持这两种认证协议的设备之间的互联互通问题。
图l是本发明实施例协商网络i人证方式的方法流^呈示意图。
图2是本发明第 一 实施例协商网络认证方式的方法流程示意图。
图3是本发明用户设备同时支持增强型认证协议和标准认证协议的第 一 实 施例协商网络认证方式的方法流程示意图。
图4是本发明用户设备不支持增强型认证协议的第一实施例协商网络认证 方式的方法流程示意图。
图5是本发明第二实施例协商网络认证方式的方法流程示意图。
具体实施例方式
为解决标准认证协议和增强型认证协议共存以达到支持这两种认证协议的 设备之间互联互通的问题,本发明实施例采用了如下的解决方案。本发明实施 例中用户设备包括用户终端和USIM卡,网络側设备主要包括VLR和HLR。
请参阅图1,本发明实施例协商网络认证方式的方法包括以下步骤
用户设备接收网络侧发送的消息,所述消息携带标识网络側设备是否支持 增强型认证协议的安全能力标识;
根据所述消息中的安全能力标识确定所述网络侧设备和所述用户设备间进 4亍i人证的方式。
如果所述用户设备没有接收到所述消息,则向所述网络侧设备发送认证请 求以确定所述网络側设备和所述用户设备间进行认证的方式;如果所述用户设 备预设选择标准认证协议,则确定所述网络側设备和所述用户设备间以标准认 证协议流程进行认证;如果所述用户设备不支持增强型认证协议,则确定所述
网络侧设备和所述用户设备间以标准认证协议流程进行认证。
所述方法还包括所述用户设备判断本端是否支持增强型认证协议的步骤, 具体为所述用户设备判断用户终端和用户服务识别;f莫块卡都支持增强型认证 协议,则确定用户设备本端支持增强型认证协议,否则确定用户设备本端不支 持增强型协议。
本发明第一实施例的协商网络认证方式的方法,在广播消息中新增一安全 能力标识,用于标识网络側设备是否支持增强型认证协议。RNC ( Radio Network Controller,无线网络控制器)设备通过广播消息,通知所有用户终端,用户终 端如果支持增强型认证协议,必能识别此广播消息中的安全能力标识。
请参阅图2,本发明第一实施例的协商网络认证方式的方法具体包括以下步號.
无线网络控制器向所有用户设备广播消息,所述消息中携带标识网络侧设 备是否支持增强型认证协议的安全能力标识;
如果所述用户i殳备接收到所述消息,则才艮据所述消息中的安全能力标识进 行网络側设备和所述用户设备认证方式协商,具体包括
如果所述消息指示所述网络側设备不支持增强型认证协议,则所述用户设 备以标准认证协议的流程进行认证;
如果所述消息指示所述网络側设备支持增强型认证协议,且所述用户设备
本端支持增强型认证协议,则以增强型认证协议的流程进行认证;
如果所述消息指示所述网络側设备支持增强型认证协议,且所述用户设备
预设选择增强型认证协议,则以增强型认证协议的流程进行认证。
请参阅图3,本发明用户设备同时支持增强型认证协议和标准认证协议的第 一实施例协商网络认证方式的方法包括以下步骤
1、 RNC不断向用户设备广播消息,消息中携带标识网络侧设备是否支持 增强型认证协议的安全能力标识;
2、 用户设备收到广播消息后,根据消息中的安全能力标识判断网络侧设 备是否支持增强型认证协议;若支持,则以增强型认证协议的流程向网络设备 发送认证请求;若不支持,则以标准认证协议向网络设备发送认证请求。
请参阅图4,本发明用户设备不支持增强型认证协议的第一实施例协商网络 认证方式的方法包括以下步骤
1、 RNC不断向用户设备广播消息,消息中携带标识网络侧设备是否支持 增强型认证协议的安全能力标识;
2、 用户设备收到广播消息后,将忽略广播消息中的安全能力标识;以标 准认证协议向网络设备发送认证请求。
请参阅图5,本发明第二实施例协商网络认证方式的方法,即如果所述用户 设备没有接收到所述消息,则向所述网络侧设备发送认证请求以确定所述网络 側设备和所述用户设备间进行认证的方式的步骤具体为
如果所述用户设备确定本端支持增强型认证协议或预设选择增强型认证协 议,则以增强型认证协议的流程向网络侧设备发送认证请求;
所述网络侧设^^接收到该请求后,如果确定本端支持增强型认证协议,则向
所述支持增强型认证协议的用户设备返回符合增强型认证协议响应消息;如果 确定本端不支持增强型认证协议,则向所述支持增强型认证协议的用户设备返 回拒绝消息;
所述用户设备收到所述符合增强型认证协议响应消息,则以增强型认证协议 进行后续认证,若所述用户设备收到所述拒绝消息,则以标准认证协议流程进 行认证。
采用本发明第二实施例协商网络认证方式的方法后,场景分析如下
1) USIM卡不支持增强型认证协议
由于增强型认证协议对USIM卡有要求,因此无论用户终端或网络设备支持 以否,配备不支持增强型认证协议的USIM卡的用户终端无法按照增强型认证协 议发起请求,因此这种情况下只能使用标准认证协i义。
2) USIM卡支持增强型认证协议,用户终端不支持增强型认证协议
由于用户终端不支持增强型认证协议,因此用户终端无法生成增强型认证 协议要求的接入请求,在这种情况下只能使用标准认证协议。
3) USIM卡和用户终端支持增强型认证协议,VLR不支持增强型认证协议 用户设备(用户终端和USIM卡的组合)首先发送增强型认证协议的请求,
VLR拒绝或不响应此请求,用户设备接收到拒绝指示或没有接收到任何指示, 则用户设备判断出VLR不支持增强型认证协议。用户设备重新按照标准认证协 i义的流程执行认证。
4 ) USIM卡支持增强型认证协议,HLR不支持增强型认证协议 只有支持增强型认证协议的HLR才会发行支持增强型认证协议的USIM卡。 因此这种情况不存在。
5)USIM卡、用户终端和网络设4^部支持增强型认证协议 按照增强型认证协议的流程执行认证。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范 围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应 包含在本发明的保护范围之内。
权利要求
1、一种协商网络认证方式的方法,其特征在于包括以下步骤用户设备接收网络侧发送的消息,所述消息携带标识网络侧设备是否支持增强型认证协议的安全能力标识;根据所述消息中的安全能力标识确定所述网络侧设备和所述用户设备间进行认证的方式。
2、 如权利要求1所述的方法,其特征在于,所述方法还包括如果所述用 户设备没有接收到所述消息,则向所述网络侧设备发送认证请求以确定所述网 络侧i殳备和所述用户设备间进行认证的方式。
3、 如权利要求l所述的方法,其特征在于,所述方法还包括无线网络控 制器向所有用户设备广播消息,所述消息中携带标识网络側设备是否支持增强 型认证协议的安全能力标识。
4、 如权利要求1所述的方法,其特征在于,所述方法还包括如果所述用 户设备预设选择标准认证协议,则确定所述网络側设备和所述用户设备间以标 准认证协议流程进行认证。
5、 如权利要求l所述的方法,其特征在于,所述方法还包括如果所述用 户设备不支持增强型认证协议,则确定所述网络側设备和所述用户设备间以标 准i人证协i义流程进行i人证。
6、 如权利要求l所述的方法,其特征在于,用户设备接收网络侧发送的消 息,根据所述消息中的安全能力标识确定所述网络側设备和所述用户设备间进 行认证的方式的步骤具体包括如果所述消息指示所述网络侧设备不支持增强型认证协议,则所述用户设备以标准认证协议的流程进行认证;如果所述消息指示所述网络侧设备支持增强型认证协议,且所述用户设备 本端支持增强型认证协议,则以增强型认证协议的流程进行认证;如果所述消息指示所述网络側设备支持增强型认证协议,且所述用户设备 预设选择增强型认证协议,则以增强型认证协议的流程进行认证。
7、 如权利要求2所述的方法,其特征在于,如果所述用户设备没有接收到 所述消息,则向所述网络侧i殳备发送i人证请求以确定所述网络側i殳备和所述用 户设备间进行认证的方式的步骤具体包括如果所述用户设备确定本端支持增强型认证协议或预设选择增强型认证协 议,则以增强型认证协议的流程向网络侧设备发送认证请求;所述网络側设备接收到该请求后,如果确定本端支持增强型认证协议,则向 所述支持增强型i人证协议的用户设备返回符合增强型认证协议响应消息;如果 确定本端不支持增强型认证协议,则向所述支持增强型认证协议的用户设备返 回拒绝消息;所述用户设备收到所述符合增强型认证协议响应消息,则以增强型认证协议 进行认证,若所述用户设备收到所述拒绝消息,则以标准认证协议流程进行认 证。
8、 如权利要求l、 5-7任意一项所述的方法,其特征在于,所述方法还包 括所述用户设备判断本端是否支持增强型认证协议的步骤,具体为所述用户 设备判断用户终端和用户服务识别4莫块卡都支持增强型认证协议,则确定用户 设备本端支持增强型认证协议,否则确定用户设备本端不支持增强型协议。
9、如权利要求1至7任一项所述的方法,其特征在于,所述网络側设备包 括归属位置寄存器HLR和/或访问位置寄存器VLR。
全文摘要
本发明实施例公开了一种协商网络认证方式的方法,包括以下步骤用户设备接收网络侧发送的消息,所述消息携带标识网络侧设备是否支持增强型认证协议的安全能力标识;根据所述消息中的安全能力标识确定所述网络侧设备和所述用户设备间进行认证的方式。本发明实施例使增强型认证协议和标准认证协议共存,解决了支持这两种认证协议的设备之间的互联互通。
文档编号H04L29/06GK101188608SQ20061015688
公开日2008年5月28日 申请日期2006年11月16日 优先权日2006年11月16日
发明者侯晓钧, 璟 陈 申请人:华为技术有限公司