专利名称:认证方法、系统和设备的制作方法
技术领域:
本发明涉及无线通信技术领域,尤其涉及一种认证方法、系统和设备。
背景技术:
近年来,随着移动互联网(Mobile Internet)和智能手机的普及,移动数据流量需求飞速增长,且室内数据业务占据了相当大一部分比例。室内和热点数据业务特征为用户通常为固定或者非常低速移动,对移动性要求不高;另一方面,数据业务主要为基于因特网协议(Internet Protocol, IP)的 Internet 业务,对服务质量(Quality of Service,QoS)的要求比较单一,而且远远低于电信级业务对QoS的要求。传统的蜂窝移动通信系统主要面向的是高速移动,无缝切换的电信级业务设计,当其承载大流量低速IP数据包业务时,效率偏低,成本过高。综上,蜂窝移动运营商需要找出低成本,高容量,适合室内无线数据接入的解决方案。目前主要的解决方案为家庭基站(Femto,毫微微蜂窝式基站)作为解决室内和热点地区数据业务流量需求的另外一种解决方案,根据覆盖室内距离更短,用户数目较少的特点,降低单站的容量要求和功发射率,通常用户数目在8-20,功率和手机终端相当,一般在23dBm以下。图I为长期演进(Long Term Evolution, LTE)Femto网络架构不意图。家庭基站相对室内覆盖系统和微基站,成本更低,部署更灵活,起到了一定的室内数据了业务体验的作用。但是其不足在与家庭基站并没有针对室内数据业务特点进行优化,以LTE系统为例,LTE Femto系统基本采用了 LTE系统完整的协议架构和接口设计,所以实现复杂,只是基站容量和功率降低,所以成本一直居高不下。另外,Femto为国际移动电信(International Mobile Telecommunications, IMT)系统内设备,其能够工作的频率仍然为MT内的运营商授权频段,相对WiFi可用的带宽较少,无法完全满足运营商数据业务分流需求。目前,终端与网络侧进行双向认证的方法主要有以下两种第一,长期演进/系统架构演进(LTE/SAE)系统的认证和密钥管理(Authentication and Key Agreement, AKA)认证过程和通用移动通信系统(UniversalMobile Telecommunications System, UMT S)中的 AKA 认证过程基本相同,米用 Milenage算法,继承了 UMTS中五元组认证机制的优点,实现了终端(UE)和网络侧的双向认证。与UMTS 相比,SAE 系统的认证向量(Authentication Vector, AV)与 UMTS 的 AV 不同,UMTS AV 包含加密密钥(Cipher Key, CK)/完整性密钥(Integrity Key, IK),而 SAEAV仅包含中间密钥Kasme, Kasme是终端和归属签约用户服务器(Home Subscriber Server,HSS)在AKA过程中根据CK和IK生成的密钥。LTE/SAE系统使用AV中的认证管理字段(Authentication Management Field, AMF)来标识此 AV 是 SAE AV 还是 UMTS AV, UE 利用该标识来判断认证挑战是否符合其接入网络类型,网络侧也可以利用该标识隔离SAE AV和UMTS AV,防止获得UMTS AV的攻击者假冒SAE网络。
第二,对于非第三代移动通信标准化组织(3rd Generation PartnershipProject, )3GPP接入方式的安全架构和认证方式,采用了针对第三代通信系统认证和密钥管理的扩展认证协议(Extensible Authentication Protocol Method for 3rdGeneration Authentication and Key Agreement, EAP-AKA)的方式。EAP-AKA协议是 IETF专门为3GPPAKA制定的RFC协议,最初的目的在于当无线局域网(Wireless Local AreaNetwork, WLAN)接入到3GPP系统时,UE可以采用3GPP的AKA认证方式。实现EAP-AKA的方式有两种
对于WLAN接入来说,WLAN系统本身支持扩展认证协议(ExtensibleAuthentication Protocol, ΕΑΡ),因此无需上层协议的支持就可以工作;对于接入系统不是WLAN接入技术的系统来说,必须有协议来承载ΕΑΡ,目前由于在LTE系统中,为了网络安全,对于非3GPP接入系统来说,有必要在接入网(AN)和网络之间建立 Internet 协议安全(Internet protocol Security, IPSEC)隧道,在建立 IPSEC 隧道的时候需要使用Internet密钥交换协议版本2 (Internet key exchange Version2, IKEV2)协议进行安全关联的协商,因此3GPP中使用IKEV2协议来承载EAP-AKA消息,从而实现了EAP-AKA的认证过程。现有LTE Femto的成本相对较高,与无线保真技术(Wireless Fidelity, wifi)相比有着一定的差距,因此引入了一种新的网络接入系统,并且该系统中加入了接入点(Access Point, AP)设备。对于引入的新系统来说,采用LTE本身的架构已经不可能了,因为在LTE安全架构中,安全过程需要核心网设备参与,同时也需要非接入层(NAS)协议来完成安全过程,而在新系统架构中可能没有核心网设备,因此LTE定义的通过NAS协议承载的安全过程都不能使用了。如果采用non 3gpp接入的安全架构,使用IKEV2承载EAP-AKA进行安全认证过程,那么就需要新系统的AP设备具有IP协议栈,而在很多情况下新系统的AP设备是一个二层设备,不具备IP协议栈,因此无法使用IKEV2的方式。同时,由于IKEV2协议本身是用来进行IPSEC隧道安全关联协商的,因此IKEV2是IPSEC的一部分,即必须建立IPSEC隧道才能使用IKEV2,目前在IETF中有草案是把IKEV2从IPSEC协议中分离出来,作为单独的认证协议,但是还有很多缺点,并没有得到大家的一致认可。而新系统的AP设备并不一定要使用IPSEC隧道实现安全。综上,目前还没有UE与AP设备进行认证的方案。
发明内容
本发明实施例提供一种认证方法和设备,用于解决UE如何对AP设备进行认证的问题。一种认证方法,该方法包括终端接收到接入点AP设备发来的请求终端上报标识信息的请求消息后,将本终端的标识信息发送给AP设备;终端接收到AP设备发来的认证和密钥管理AKA认证向量后,使用AKA算法对所述AKA认证向量进行验证;
终端根据验证结果确定AP设备是否为合法接入设备。一种认证设备,该设备包括发送单元,用于接收到接入点AP设备发来的请求终端上报标识信息的请求消息后,将本终端的标识信息发送给AP设备;验证单元,用于接收到AP设备发来的认证和密钥管理AKA认证向量后,使用AKA算法对所述AKA认证向量进行验证;认证单元,用于根据验证结果确定AP设备是否为合法接入设备。采用本方案,实现了 UE对AP设备的认证。本发明实施例提供一种认证方法、系统和设备,用于解决AP设备如何对UE进行认证的问题。一种认证方法,该方法包括接入点AP设备向附着的终端发送请求终端上报标识信息的请求消息;AP设备接收到来自终端的终端标识信息后,通过网关设备GW向归属签约用户服务器HSS发送携带该终端标识信息的鉴权请求;AP设备接收到GW转发的来自HSS的认证和密钥管理AKA认证向量后,将该AKA认证向量发送给终端;AP设备接收到来自终端的认证响应RES,根据所述AKA认证向量验证所述RES ;并根据验证结果确定终端是否为合法终端。一种认证设备,该设备包括标识请求单元,用于向附着的终端发送请求终端上报标识信息的请求消息;鉴权请求单元,用于接收到来自终端的终端标识信息后,通过网关设备GW向归属签约用户服务器HSS发送携带该终端标识信息的鉴权请求;向量发送单元,用于接收到GW转发的来自HSS的认证和密钥管理AKA认证向量后,将该AKA认证向量发送给终端;认证单元,用于接收来自终端的认证响应RES,根据所述AKA认证向量验证所述RES ;并根据验证结果确定终端是否为合法终端。一种认证系统,该系统包括终端,用于接收到接入点AP设备发来的请求终端上报标识信息的请求消息后,将本终端的标识信息发送给AP设备;接收到AP设备发来的认证和密钥管理AKA认证向量后,使用AKA算法对所述AKA认证向量进行验证;根据验证结果确定AP设备是否为合法接入设备;AP设备,用于向附着的终端发送请求终端上报标识信息的请求消息;接收到来自终端的终端标识信息后,通过网关设备GW向归属签约用户服务器HSS发送携带该终端标识信息的鉴权请求;接收到GW转发的来自HSS的AKA认证向量后,将该AKA认证向量发送给终端;接收到来自终端的认证响应RES,根据所述AKA认证向量验证所述RES ;并根据验证结果确定终端是否为合法终端;
GW,用于接收来自HSS的AKA认证向量,将所述AKA认证向量转发给AP设备;HSS,用于接收到AP设备通过GW发来的携带终端标识信息的鉴权请求后,确定预先为所述终端标识对应的终端设置的根密钥;根据所述根密钥以及AKA算法,计算得到AKA认证向量;将所述AKA认证向量通过GW发送给AP设备。采用本方案,实现了 AP设备对UE的认证。 本发明实施例提供一种数据转发方法和设备,用于解决AP设备如何获得AKA认证向量的问题。一种数据转发方法,该方法包括网关设备GW接收来自归属签约用户服务器HSS的AKA认证向量;Gff将所述AKA认证向量转发给接入点AP设备。一种数据转发设备,该设备包括接收单元,用于接收来自归属签约用户服务器HSS的AKA认证向量;转发单元,用于将所述AKA认证向量转发给接入点AP设备。采用本方案,AP设备能够从GW获得AKA认证向量。本发明实施例提供一种认证向量发送方法和设备,用于解决如何生成AKA认证向量的问题。一种认证向量发送方法,其该方法包括归属签约用户服务器HSS接收到接入点AP设备通过网关设备GW发来的携带终端标识信息的鉴权请求后,确定预先为所述终端标识对应的终端设置的根密钥;HSS根据所述根密钥以及认证和密钥管理AKA算法,计算得到AKA认证向量;HSS将所述AKA认证向量通过GW发送给AP设备。一种认证向量发送设备,该设备包括确定单元,用于接收到接入点AP设备通过网关设备GW发来的携带终端标识信息的鉴权请求后,确定预先为所述终端标识对应的终端设置的根密钥;计算单元,用于根据所述根密钥以及认证和密钥管理AKA算法,计算得到AKA认证
向量;发送单元,用于将所述AKA认证向量通过GW发送给AP设备。采用本方案,HSS能够根据终端标识生成KA认证向量。综上,本发明中,AP设备向附着的终端发送请求终端上报标识信息的请求消息,终端将本终端的标识信息发送给AP设备,AP设备通过GW向HSS发送携带该终端标识信息的鉴权请求,HSS确定预先为所述终端标识对应的终端设置的根密钥,根据所述根密钥以及AKA算法,计算得到AKA认证向量,将所述AKA认证向量通过GW发送给AP设备;AP设备将该AKA认证向量发送给终端,终端使用AKA算法对所述AKA认证向量进行验证,并根据验证结果确定AP设备是否为合法接入设备,从而实现了终端对AP设备的认证。进一步,终端在确定AP设备为合法接入设备之后,根据AKA认证向量中的RAND和AKA算法,计算出RES,并将该RES发送给AP设备;AP设备根据AKA认证向量验证所述RES,并根据验证结果确定终端是否为合法终端,从而实现了 AP设备对终端的认证。
图I为现有技术中的Femto方案的架构示意图;图2A和图2B为本发明中的LTE-LAN结构示意图;图3为本发明实施例提供的方法流程示意图4为本发明实施例提供的另一方法流程示意图;图5为本发明实施例提供的又一方法流程示意图;图6为本发明实施例提供的再一方法流程示意图;图7为本发明实施例中的安全架构示意图;图8为本发明实施例的流程示意图;图9为本发明实施例提供的系统结构示意图;图10为本发明实施例提供的设备结构示意图;图11为本发明实施例提供的另一设备结构示意图;图12为本发明实施例提供的又一设备结构示意图;图13为本发明实施例提供的再一设备结构示意图。
具体实施例方式为了实现UE对AP设备的认证以及AP设备对UE的认证,本发明实施例提供一种认证方法,本方法中,终端与AP设备使用AKA算法对对方进行认证。本发明实施例可以应用在新引入的长期演进局域网(Local Area Network,LTE-LAN)系统中,也可以应用在其他含有UE、AP设备、网关设备和HSS的系统中。如图2A所示,LTE-LAN系统中,AP设备为一种新的接入设备,空口上采用了现有LTE物理层技术,AP设备之间同步完成后通过网关设备接入internet,AP设备使用的频段与宏基站(eNB)的频段不重复。LTE-LAN系统中UE通过与AP设备、网关设备之间建立的通道完成与internet之间的数据业务。AP设备与网关设备之间的接口是Iu_r接口,即新定义的接口。如图2B所示,LTE-LAN系统包括接入设备LTE-LAN-AP,用于实现本地无线网络长期演进局域网LTE-LAN的组网与LTE-LAN内终端的通信,并通过建立与外部网络的数据连接,为终端提供访问外部网络的途径;终端,用于通过选择并接入一个LTE-LAN-AP,成为LTE-LAN的网络成员,通过所接入的LTE-LAN-AP,与LTE-LAN中其它网络成员进行通信,并访问LTE-LAN-AP所连接的外部网络。LTE-LAN系统架构中,终端直接通过LTE-LAN-AP访问外部网络,且能够通过LTE-LAN-AP进行LTE-LAN内终端间通信,终端与LTE-LAN-AP间的通信基于LTE移动通信系统底层通信技术实现,LTE-LAN-AP基于LTE移动通信系统底层通信技术组建局域网,因此UE基于LTE-LAN与外部网络通信,这样在家庭、企业或热点地区部署LTE-LAN-AP组建无线局域网的方法有效地为终端建立了本地接入系统,从而允许终端以较为直接的方式在同一网络内部实现信息交互并实现对外部网络的访问;另外,由于基于LTE移动通信系统底层通信技术实现本地网络LTE-LAN的系统架 构,可以通过利用现有LTE系统层I、层2和层3技术在终端和无线网络接入点之间建立具有安全性和QoS保证的无线链路,能够对室内及热点区域的终端提供高效的数据通信服务。优选地,如图2B所示,LTE-LAN系统还包括操作与维护OAM实体,与LTE-LAN-AP连接,用于通过与LTE-LAN-AP的交互,实现对LTE-LAN的网络参数配置、终端的管理及LTE-LAN安全机制的设置。管理员通过OAM实体实现对LTE-LAN进行配置和管理及维护。
LTE-LAN系统中的无线接入点LTE-LAN-AP利用现有LTE底层传输及接入技术为终端提供无线数据链路,从而为终端提供具有QoS保障的通信服务。本地无线网络的LTE-LAN-AP通过相应接口可以直接访问外部网络,这样一种扁平化的网络结构有助于终端数据的快速处理和转发,降低了网络通信的成本,提高了效率。LTE-LAN-AP和终端均基于LTE移动通信系统底层通信技术实现其各自的功能,即通过增加新的管理及传输调度功能实现本地无线网络的组网与本地网络内终端的互联互通,通过改造现有LTE系统的网络架构及高层协议在不经过运营商核心网处理的情况下实现终端对外部网络的IP接入。依照本发明优选实施例中,LTE-LAN-AP和终端均基于LTE移动通信系统底层通信技术所实现的功能不限于此,还可以进行相应的功能拓展,下面对本发明优选实施例中LTE-LAN-AP和终端基于LTE底层通信技术所实现的功能进行描述I) LTE-LAN-AP 功能从整体上来看,LTE-LAN-AP是LTE-LAN网络的中心控制单元,负责LTE-LAN的组网和管理,为终端LTE-LAN-UE提供本地无线网络接入服务。在终端一侧,LTE-LAN-AP基于现有的LTE-Uu接口与终端建立无线连接,由于是LTE-Uu接口,因此终端与LTE-LAN-AP通信的工作频段、无线接入技术均能克服现有WLAN所存在的缺陷,为高层数据传输提供可靠的传输通道。LTE-LAN-AP利用与终端间的传输通道,可以实现下面功能=LTE-LAN-AP与终端进行高层管理实体间的控制信息交互,实现对LTE-LAN内终端的管理;除了控制信息之外,利用此传输通道,LTE-LAN-AP实现对面向终端的业务数据的发送与接收。在外部网络一侧,LTE-LAN-AP通过连接LTE-LAN-AP与外部网络的接口 II,建立至外部网络的数据连接,为终端访问外部网络提供途径。 此外,LTE-LAN-AP还可以通过连接LTE-LAN-AP与OAM实体的接口 I,与OAM实体相连接,实现与OAM实体间的信息交互。2)终端 LTE-LAN-UE 功能LTE-LAN-UE为具有LTE-LAN接入能力的终端,即可以基于LTE-Uu接口与LTE-LAN-AP建立无线连接。LTE-LAN-UE具有如下功能开机后,通过选择并接入一个LTE-LAN-AP, LTE-LAN-UE可以成为一个LTE-LAN网络的成员;通过所接入的LTE-LAN-AP,LTE-LAN-UE可以与LTE-LAN网络中其他网络成员进行通信,并通过LTE-LAN-AP的接口 II访问LTE-LAN-AP所连接的外部网络。上述功能的LTE-LAN-UE终端通过支持LTE底层传输技术并在协议栈高层增加适当功能实现,它可以是对高层协议改进的现有LTE系统终端,也可以是底层基于LTE系统技术全新设计的LTE-LAN专用终端。3) OAM实体功能OAM实体是操作管理维护模块,网络用户可以通过它实现对LTE-LAN的网络参数配置、LTE-LAN终端的管理、LTE-LAN安全机制的设置等。OAM实体可以与LTE-LAN-AP合设于同一物理实体,或与LTE-LAN-AP分设于不同物理实体,在分设的情形下,OAM通过连接OAM 与 LTE-LAN-AP 的接口 I 与 LTE-LAN-AP 相连接。图2B中的外部网络主要是指本地无线网络LTE-LAN范围之外的其他网络,如Internet网络、家庭网络、企业网络等。LTE-LAN-AP通过回程链路(如xDSL,xPON, CABLE等)或以太网的方式与外部网络相连接。
参见图3,本发明实施例提供的认证方法,具体包括以下步骤步骤30 :终端接收到接入点(AP)设备发来的请求终端上报标识信息的请求消息后,将本终端的标识信息发送给AP设备;这里,终端的标识信息可以是国际移动用户标识码(International Mobile Subscriber Identity, IMSI),也可以是网络接入标识(Network Access identity, ΝΑΙ)等。步骤31 :终端接收到AP设备发来的认证和密钥管理(AKA)认证向量后,使用AKA算法对所述AKA认证向量进行验证;步骤32 :终端根据验证结果确定AP设备是否为合法接入设备。在步骤30中终端接收到所述EAP请求消息之前,该方法进一步包括终端向AP设备发起附着过程,与AP设备建立用于传输认证消息的信令无线承载(SRB)。步骤31中,所述AKA认证向量包括认证令牌(AUTN)信息;则使用AKA算法对所述AKA认证向量进行验证的具体实现可以如下终端将所述AUTN信息发送给本终端的电信智能卡,例如通用用户标识模块(Universal SubscriberIdentity Module, USIM),该电信智能卡使用 AKA 算法验证所述AUTN信息是否正确。具体的,USIM读取保存在本地的根密钥,将根密钥输入AKA算法后运行AKA算法,将运行AKA算法得到的AUTN与接收到的AUTN比较,若两者一致,则验证所述AUTN信息是否正确,否则,验证所述AUTN信息是否错误。步骤32中,终端根据验证结果确定AP设备是否为合法接入设备,其具体实现可以如下终端若验证所述AKA认证向量正确,则确定AP设备为合法接入设备;若验证所述AKA认证向量错误,则确定AP设备为非法接入设备。较佳的,所述AKA认证向量还包括随机数(RAND),在步骤32中终端根据验证结果确定AP设备为合法接入设备之后,还可以根据所述RAND和AKA算法,计算出认证响应(RES),并将该RES发送给AP设备。具体的,将所述RAND输入AKA算法后运行AKA算法,得到 RES0较佳的,在将该RES发送给AP设备之后,终端在接收到AP设备发来的EAP成功消息时,建立用于传输数据的数据无线承载(DRB)。具体的,UE的SAE通知本地的BAC通过RRC消息建立用于传输数据的DRB。较佳的,步骤31中终端在接收到AP设备发来的AKA认证向量的同时,还接收到携带在第一消息中的第一消息认证码(MAC),第一消息是携带所述AKA认证向量的消息;终端根据所述第一 MAC对所述第一消息进行验证,若验证通过,则使用AKA算法对所述AKA认证向量进行验证,否则,不使用AKA算法对所述AKA认证向量进行验证。这里,终端根据第一MAC对第一消息进行验证的具体方法为终端将保存在本地的针对AP设备的完整性保护密钥、计数(COUNT)值、第一消息、消息传输方向值(这里为下行)输入完整性保护算法后,运行完整性保护算法,将运行完整性保护算法得到的MAC与第一 MAC比较,若两者一致,则对第一消息的验证通过,否则,对第一消息的验证失败。
较佳的,终端在将所述RES发送给AP设备的同时,还将使用完整性保护算法计算得到的第二MAC携带在第二消息中发送给AP设备,第二消息是携带所述RES的消息。这里,使用完整性保护算法计算第二MAC的具体方法为终端将保存在本地的针对AP设备的完整性保护密钥、计数(COUNT)值、第二消息、消息传输方向值(这里为上行)输入完整性保护算法后,运行完整性保护算法,得到第二 MAC。较佳的,在终端根据验证结果确定AP设备为非法接入设备 之后,终端可以向AP设备发送用户认证拒绝消息,该用户认证拒绝消息中携带有认证失败的原因信息。本方法中,终端与AP设备之间采用扩展认证协议(EAP)进行通信。本方法各步骤的执行主体具体可以是终端中的BAE。参见图4,本发明实施例还提供一种认证方法,包括以下步骤步骤40 AP设备向附着的终端发送请求终端上报标识信息的请求消息;步骤41 :AP设备接收到来自终端的终端标识信息后,通过网关设备(GW)向归属签约用户服务器(HSS)发送携带该终端标识信息的鉴权请求;步骤42 AP设备接收到GW转发的来自HSS的AKA认证向量后,将该AKA认证向量发送给终端;步骤43 AP设备接收到来自终端的RES,根据所述AKA认证向量验证所述RES ;并根据验证结果确定终端是否为合法终端。在步骤40中AP设备向附着的终端发送所述EAP请求消息之前,AP设备可以为附着的终端建立非受控端口和受控端口 ;具体可以是AP设备的GW接口上的BAC为该终端建立非受控端口和受控端口。所述非受控端口是指向GW传输认证消息所使用的端口 ;所述受控端口是指向GW传输数据所使用的端口,若该受控端口处于打开状态,则数据能够通过该受控端口,否则,数据不能够通过该受控端口。步骤42中,AP设备具体将所述AKA认证向量中的RAND和AUTN信息,发送给终端。较佳的,AP设备在将所述RAND和AUTN信息发送给终端的同时,还将使用完整性保护算法计算得到的第一 MAC携带在第一消息中发送给终端,第一消息是携带所述RAND和AUTN信息的消息。这里,使用完整性保护算法计算第一 MAC的具体方法为AP设备将保存在本地的针对终端的完整性保护密钥、计数(COUNT)值、第一消息、消息传输方向值(这里为下行)输入完整性保护算法后,运行完整性保护算法,得到第一 MAC。较佳的,步骤42中AP设备在接收到所述AKA认证向量的同时,还接收到携带在第三消息中的第三MAC,第三消息是携带所述AKA认证向量的消息;AP设备根据所述第三MAC对所述第三消息进行验证,若验证通过,则将该AKA认证向量发送给终端,否则,不将该AKA认证向量发送给终端。这里,AP设备根据第三MAC对第三消息进行验证的具体方法为AP设备将保存在本地的针对GW的完整性保护密钥、计数(COUNT)值、第三消息、消息传输方向值(这里为下行)输入完整性保护算法后,运行完整性保护算法,将运行完整性保护算法得到的MAC与第三MAC比较,若两者一致,则对第三消息的验证通过,否则,对第三消息的验证失败。步骤43中,根据所述AKA认证向量验证所述RES,其具体实现可以如下AP设备确定所述RES与所述AKA认证向量中的期望认证响应(xRES)是否一致,如果一致,则验证所述RES正确,否则,验证所述RES错误。
步骤43中,根据验证结果确定终端是否为合法终端,其具体实现可以如下AP设备若验证所述RES正确,则确定终端为合法终端;若验证所述RES错误,则确定终端为非法终端。较佳的,在步骤43中AP设备确定终端为合法终端之后,AP设备可以将所述受控端口打开,并向终端发送EAP成功消息。具体的,AP设备可以通知GW接口上的BAC打开受控端口。本方法中,AP设备与终端、GW之间采用EAP进行通信。本方法各步骤的执行主体具体可以是AP设备中的BAE。参见图5,本发明实施例还提供一种数据转发方法,包括以下步骤步骤50 =Gff接收来自HSS的AKA认证向量;步骤51 =Gff将所述AKA认证向量转发给AP设备。所述AKA认证向量包括RAND、RUTN。较佳的,步骤51中GW在将所述AKA认证向量转发给AP设备的同时,将使用完整性保护算法计算得到的第三MAC携带在第三消息中发送给AP设备,第三消息是携带所述AKA认证向量的消息。这里,使用完整性保护算法计算第三MAC的具体方法为GW将保存在本地的针对AP设备的完整性保护密钥、计数(COUNT)值、第三消息、消息传输方向值(这里为下行)输入完整性保护算法后,运行完整性保护算法,得到第三MAC。参见图6,本发明实施例还提供一种认证向量发送方法,包括以下步骤步骤60 =HSS接收到AP设备通过GW发来的携带终端标识信息的鉴权请求后,确定预先为所述终端标识对应的终端设置的根密钥;步骤61 :HSS根据所述根密钥以及AKA算法,计算得到AKA认证向量;具体的,将根密钥输入AKA算法后运行AKA算法,得到AKA认证向量;步骤62 =HSS将所述AKA认证向量通过GW发送给AP设备。所述AKA认证向量包括RAND、AUTN信息、xRES。下面对本发明进行具体说明当UE接入到AP时,AP需要对UE进行认证,只有认证通过后才能接入网络,收发数据,同时UE也需要对AP进行认证,保证其接入的AP是合法设备,而不是伪基站,同时对于LTE-LAN系统来说,AP可能是一个二层设备,并不具备IP协议栈,因此无法使用基于IP的EAP-AKA承载方法,本专利提出了基于链路层的适用于LTE-LAN系统的UE和AP之间的双向鉴权认证方法,本专利中是使用链路层技术来承载认证协议,并实现双向认证过程。其架构如图7所示,该安全架构主要有以下几部分组成MAC层对于UE和AP之间是LTE-LAN系统的MAC层协议,对于AP和GW之间是标准以太网的MAC层;RLC 层LTE-LAN 系统的 RLC 层;RRC 层LTE-LAN 系统的 RRC 层;PDCP层LTE_LAN系统的TOCP层,负责UE和AP之间的信令和数据的安全;LLC (Logical Link Control)层AP 和 GW 的之间连接技术的 LLC 层;BAE :端口接入实体模块,为逻辑模块,负责执行算法和协议操作的实体,实现以下功能使用EAP协议实现双向认证、以及执行密钥协商。
BAC :是接入控制模块,该逻辑实体根据BAE的接入控制和授权结果控制接入的行为。对于AP和UE之间的接口,BAC位于RRC层,对于AP和GW之间的接口,BAC位于MAC层。对于AP和UE之间,当双向认证成功,BAE通知BAC,BAC通过RRC信令建立数据无线承载(Data radio bearer, DRB),使所有的数据包可以通过,如果认证不成功,那么BAE通知BAC,BAC不会建立DRB ;对于AP和GW之间,当双向认证成功,BAE通知BAC打开受控端口,此时所有的数据包都可以通过;如果双向认证不成功,那么BAE通知BAC关闭受控端口,此时所有数据包 均不能通过。图7中层2主要的功能可以分为3部分,分别为数据传输部分的RLC/MAC,以及连接管理部分的RRC。优化的层2设计为该系统的主要创新点。具体描述各部分功能如下MAC主要包括数据包调度,信道映射和复用,传输格式选择以及HARQ功能。调度部分,保留了 QoS级别和要求的接口,能够实现对高层数据包传输的QoS保证。信道映射和复用的功能为将最终的各种MAC数据包复用映射到物理信道上传输。传输格式选择为链路自适应功能在MAC层的体现,选择数据包传输的块大小。HARQ根据物理信道的反馈实现快速错误重传,保证链路质量。RLC部分的主要功能为将IP包转化为适合MAC层传输的MAC包,以及将MAC包进行重组并上传到IP层。PDCP层实现完整性保护、加密,分段级联,重排序等功能,分段级联将IP数据包分段为适合MAC传输的的MAC包,或者将MAC包级联为IP数据包,重排序实现将由于错误重传而非顺序到达的包进行排序。数据加密功能为根据系统配置的需求,完成数据包在空口的加密,提高安全性,该功能可以高层配置的安全性级别实现不同的加密方式。RRC部分实现系统信息广播,AP和用户接入鉴权和安全性管理,AP和Gateway之间的鉴权,以及无线链接管理的功能;同时RRC还负责接收来自网关的管理配置信息,实现各层参数配置以及同步功能。如图8所示,具体认证流程如下步骤I :UE发起附着过程,连接到AP上,与AP建立信令无线承载(SigallingRadio Bearer, SRB),用于传输后续的认证消息,认证消息是整个认证流程中传输的消息;附着过程主要是指UE与AP建立了底层连接(如物理层、MAC、RLC层)。步骤2-步骤3 AP发现UE附着,AP的GW接口上的BAC为该UE建立受控端口和非受控端口,同时AP的BAE向UE发送EAP-Request消息,请求UE发送其identity ;非受控端口用于传输后续的认证消息;AP和GW之间通过有线技术连接,没有无线的信令承载和数据承载,只有LLC连接,因此在没有认证成功之前需要采用某种机制不能使数据通过,而只能让认证消息通过。这两个端口是逻辑概念,非受控端口是指认证消息可以通过的端口,而受控端口是指在数据端口,只有当认证成功后才能打开。这两个端口由MAC层的BAC控制生成。步骤4 UE的BAE在EAP-Response消息中将UE的标识发给AP ;UE的标识可以是MSI,也可以是NAI。步骤5-步骤7 AP的GW接口上的BAE向GW的BAE发送携带终端标识的鉴权请求(ΕΑΡ-Response消息),GW向HSS发送鉴权请求,HSS计算AKA认证向量,将得到的RAND、AUTN、KASME、xRES 通过 GW 发给 AP 的 BAE ;HSS根据AP发来的标识(如MSI)找到AP对应的根密钥K,在HSS的AuC中推衍出CK、IK,并根据CK、IK推衍出KASME,同时产生出随机数RAND和认证令牌AUTN’通过AAA服务器发给GW。其中CK、IK只保存在UE和HSS中,而KASME是保存在安全上下文中,为了推衍出其他加密和完整性保护的密钥的,与鉴权过程没有太多关系,只是需要在这个过程中传给GW。步骤8 :AP 的 BAE 将 RAND、AUTN、MAC (Message Authentication Code 消息认证码)在 EAP-Request/AKA-Challenge 消息中携带给 UE ;消息认证实际上是对消息本身产生一个冗余的信息-MAC(消息认证码),消息认证码是利用密钥对要认证的消息产生新的数据块并对数据块加密生成的。它对于要保护的信息来说是唯一和一一对应的。因此可以有效地保护消息的完整性,以及实现发送方消息的不可抵赖和不能伪造。步骤9 :UE也运行AKA算法,验证AUTN,验证成功后计算出RES(Response)和session key ;RES是认证响应,session key是指针对链路层的key,目前可以是Kupenc,主要用于用户面的安全。验证AUTN的意义在于UE认证AP是合法用户,当UE收到AP发来的AUTN后,UE将其发给USM,US頂检查AUTN是否正确,如果正确则计算出相应RES和SessionKEY,同时将相应和MAC发给AP,AP检查RES是否正确,如果正确,则AP认为UE是合法的。如果UE发现是AUTN是错误的,那么认证不成功,UE应发送用户认证拒绝消息,其中CAUSE值指示失败的原因。步骤10 UE 的 BAE 在 EAP-Response/AKA-Challenge 消息中携带 RES 和 MAC 给 AP ;步骤11 :AP检查RES是否有效,如果有效,表示UE是合法用户,并执行步骤14 ;当AP收到UE发送的RES后,与xRES进行比较,如果相同,则表示有效。步骤12-步骤13 AP设备发送EAP success消息给UE,UE收到该消息后,BAE通知BAC通过RRC消息建立DRB,用来传输数据; 步骤14 =BAE通知AP的GW接口上的BAC打开受控端口。参见图9,本发明实施例还提供一种认证系统,该系统包括终端90,用于接收到接入点AP设备发来的请求终端上报标识信息的请求消息后,将本终端的标识信息发送给AP设备;接收到AP设备发来的认证和密钥管理AKA认证向量后,使用AKA算法对所述AKA认证向量进行验证;根据验证结果确定AP设备是否为合法接入设备;AP设备91,用于向附着的终端发送请求终端上报标识信息的请求消息;接收到来自终端的终端标识信息后,通过网关设备GW向归属签约用户服务器HSS发送携带该终端标识信息的鉴权请求;接收到GW转发的来自HSS的AKA认证向量后,将该AKA认证向量发送给终端;接收到来自终端的认证响应RES,根据所述AKA认证向量验证所述RES ;并根据验证结果确定终端是否为合法终端;GW92,用于接收来自HSS的AKA认证向量,将所述AKA认证向量转发给AP设备;HSS93,用于接收到AP设备通过GW发来的携带终端标识信息的鉴权请求后,确定预先为所述终端标识对应的终端设置的根密钥;根据所述根密钥以及AKA算法,计算得到AKA认证向量;将所述AKA认证向量通过GW发送给AP设备。参见图10,本发明实施例还提供一种认证设备,该设备包括
发送单元101,用于接收到接入点AP设备发来的请求终端上报标识信息的请求消息后,将本终端的标识信息发送给AP设备;验证单元102,用于接收到AP设备发来的认证和密钥管理AKA认证向量后,使用AKA算法对所述AKA认证向量进行验证;认证单兀103,用于根据验证结果确定AP设备是否为合法接入设备。该设备包括附着单元104,用于在接收到所述EAP请求消息之前,向AP设备发起附着过程,与AP设备建立用于传输认证消息的信令无线承载SRB。所述验证单元102用于在所述AKA认证向量包括认证令牌AUTN信息时,将所述AUTN信息发送给本终端的电信智能卡,该电信智能卡使用AKA算法验证所述AUTN信息是否正确。所述认证单元103用于若验证所述AKA认证向量正确,则确定AP设备为合法接入设备;若验证所述AKA认证向量错误,则确定AP设备为非法接入设备。该设备还包括第一响应单元105,用于在所述AKA认证向量还包括随机数RAND、并且根据验证结果确定AP设备为合法接入设备之后,根据所述RAND和AKA算法,计算出认证响应RES,并将该RES发送给AP设备。该设备还包括承载建立单元106,用于在将该RES发送给AP设备之后,在接收到AP设备发来的EAP成功消息时,建立用于传输数据的数据无线承载DRB。所述验证单元102还用于在接收到AP设备发来的AKA认证向量的同时,还接收到携带在第一消息中的第一消息认证码MAC,第一消息是携带所述AKA认证向量的消息;根据所述第一 MAC对所述第一消息进行验证,若验证通过,则使用AKA算法对所述AKA认证向量进行验证,否则,不使用AKA算法对所述AKA认证向量进行验证。所述第一响应单元104还用于在将所述RES发送给AP设备的同时,还将使用完整性保护算法计算得到的第二MAC携带在第二消息中发送给AP设备,第二消息是携带所述RES的消息。该设备还包括第二响应单元107,用于在根据验证结果确定AP设备为非法接入设备之后,向AP设备发送用户认证拒绝消息,该用户认证拒绝消息中携带有认证失败的原因信息。参见图11,本发明实施例还提供一种认证设备,该设备包括标识请求单元111,用于向附着的终端发送请求终端上报标识信息的请求消息;鉴权请求单元112,用于接收到来自终端的终端标识信息后,通过网关设备GW向归属签约用户服务器HSS发送携带该终端标识信息的鉴权请求;
向量发送单元113,用于接收到GW转发的来自HSS的认证和密钥管理AKA认证向量后,将该AKA认证向量发送给终端;认证单元114,用于接收来自终端的认证响应RES,根据所述AKA认证向量验证所述RES ;并根据验证结果确定终端是否为合法终端。该设备还包括端口建立单元115,用于在向附着的终端发送所述EAP请求消息之前,为附着的终端建立非受控端口和受控端口;所述非受控端口是指向GW传输认证消息所使用的端口 ;所述受控端口是指向GW传输数据所使用的端口,若该受控端口处于打开状态,则数据能够通过该受控端口,否则,数据不能够通过该受控端口。所述向量发送单元113用于将所述AKA认证向量中的随机数RAND和认证令牌AUTN信息,发送给终端。所述向量发送单元113还用于在将所述RAND和AUTN信息发送给终端的同时,还将使用完整性保护算法计算得到的第一消息验证码MAC携带在第一消息中发送给终端,第一消息是携带所述RAND和AUTN信息的消息。所述向量发送单元113还用于在接收到所述AKA认证向量的同时,还接收到携带在第三消息中的第三消息认证码MAC,第三消息是携带所述AKA认证向量的消息;根据所述第三MAC对所述第三消息进行验证,若验证通过,则将该AKA认证向量发送给终端,否则,不将该AKA认证向量发送给终端。所述认证单元114用于确定所述RES与所述AKA认证向量中的期望认证响应xRES是否一致,如果一致,则验证所述RES正确,否则,验证所述RES错误。所述认证单元114用于若验证所述RES正确,则确定终端为合法终端;若验证所述RES错误,则确定终端为非法终端。该设备还包括端口打开单元116还用于在确定终端为合法终端之后,将所述受控端口打开,并向终端发送EAP成功消息。参见图12,本发明实施例还提供一种数据转发设备,该设备包括接收单元121,用于接收来自归属签约用户服务器HSS的AKA认证向量;转发单元122,用于将所述AKA认证向量转发给接入点AP设备。所述转发单元122还用于在将所述AKA认证向量转发给AP设备的同时,将使用完整性保护算法计算得到的 第三消息验证码MAC携带在第三消息中发送给AP设备,第三消息是携带所述AKA认证向量的消息。参见图13,本发明实施例还提供一种认证向量发送设备,该设备包括确定单元131,用于接收到接入点AP设备通过网关设备GW发来的携带终端标识信息的鉴权请求后,确定预先为所述 终端标识对应的终端设置的根密钥;计算单元132,用于根据所述根密钥以及认证和密钥管理AKA算法,计算得到AKA认证向量;发送单元133,用于将所述AKA认证向量通过GW发送给AP设备。所述AKA认证向量包括随机数RAND、认证令牌AUTN信息、期望认证响应xRES。综上,本发明的有益效果包括 本发明实施例提供的方案中,AP设备向附着的终端发送请求终端上报标识信息的请求消息,终端将本终端的标识信息发送给AP设备,AP设备通过GW向HSS发送携带该终端标识信息的鉴权请求,HSS确定预先为所述终端标识对应的终端设置的根密钥,根据所述根密钥以及AKA算法,计算得到AKA认证向量,将所述AKA认证向量通过GW发送给AP设备;AP设备将该AKA认证向量发送给终端,终端使用AKA算法对所述AKA认证向量进行验证,并根据验证结果确定AP设备是否为合法接入设备,从而实现了终端对AP设备的认证。进一步,终端在确定AP设备为合法接入设备之后,根据AKA认证向量中的RAND和AKA算法,计算出RES,并将该RES发送给AP设备;AP设备根据AKA认证向量验证所述RES,并根据验证结果确定终端是否为合法终端,从而实现了 AP设备对终端的认证。本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种认证方法,其特征在于,该方法包括 终端接收到接入点AP设备发来的请求终端上报标识信息的请求消息后,将本终端的标识信息发送给AP设备; 终端接收到AP设备发来的认证和密钥管理AKA认证向量后,使用AKA算法对所述AKA认证向量进行验证; 终端根据验证结果确定AP设备是否为合法接入设备。
2.如权利要求I所述的方法,其特征在于,在终端接收到所述EAP请求消息之前,该方法进一步包括 终端向AP设备发起附着过程,与AP设备建立用于传输认证消息的信令无线承载SRB。
3.如权利要求I所述的方法,其特征在于,所述AKA认证向量包括认证令牌AUTN信息;所述使用AKA算法对所述AKA认证向量进行验证包括 终端将所述AUTN信息发送给本终端的电信智能卡,该电信智能卡使用AKA算法验证所述AUTN信息是否正确。
4.如权利要求I所述的方法,其特征在于,所述终端根据验证结果确定AP设备是否为合法接入设备包括 终端若验证所述AKA认证向量正确,则确定AP设备为合法接入设备;若验证所述AKA认证向量错误,则确定AP设备为非法接入设备。
5.如权利要求3所述的方法,其特征在于,所述AKA认证向量还包括随机数RAND,在终端根据验证结果确定AP设备为合法接入设备之后,该方法进一步包括 终端根据所述RAND和AKA算法,计算出认证响应RES,并将该RES发送给AP设备。
6.如权利要求5所述的方法,其特征在于,在将该RES发送给AP设备之后,该方法进一步包括 终端在接收到AP设备发来的EAP成功消息后,建立用于传输数据的数据无线承载DRB。
7.如权利要求I所述的方法,其特征在于,该方法进一步包括 终端在接收到AP设备发来的AKA认证向量的同时,还接收到携带在第一消息中的第一消息认证码MAC,第一消息是携带所述AKA认证向量的消息; 终端根据所述第一 MAC对所述第一消息进行验证,若验证通过,则使用AKA算法对所述AKA认证向量进行验证,否则,不使用AKA算法对所述AKA认证向量进行验证。
8.如权利要求5所述的方法,其特征在于,该方法进一步包括 终端在将所述RES发送给AP设备的同时,还将使用完整性保护算法计算得到的第二MAC携带在第二消息中发送给AP设备,第二消息是携带所述RES的消息。
9.如权利要求I所述的方法,其特征在于,在终端根据验证结果确定AP设备为非法接入设备之后,该方法进一步包括 终端向AP设备发送用户认证拒绝消息,该用户认证拒绝消息中携带有认证失败的原因信息。
10.如权利要求1-9中任一所述的方法,其特征在于,终端与AP设备之间采用扩展认证协议EAP进行通信。
11.一种认证方法,其特征在于,该方法包括 接入点AP设备向附着的终端发送请求终端上报标识信息的请求消息;AP设备接收到来自终端的終端标识信息后,通过网关设备GW向归属签约用户服务器HSS发送携带该终端标识信息的鉴权请求; AP设备接收到GW转发的来自HSS的认证和密钥管理AKA认证向量后,将该AKA认证向量发送 给终端; AP设备接收到来自终端的认证响应RES,根据所述AKA认证向量验证所述RES ;并根据验证结果确定終端是否为合法終端。
12.如权利要求11所述的方法,其特征在于,在AP设备向附着的终端发送所述EAP请求消息之前,该方法进ー步包括 AP设备为附着的終端建立非受控端口和受控端ロ ; 所述非受控端ロ是指向GW传输认证消息所使用的端ロ ;所述受控端ロ是指向GW传输数据所使用的端ロ,若该受控端ロ处于打开状态,则数据能够通过该受控端ロ,否则,数据不能够通过该受控端ロ。
13.如权利要求11所述的方法,其特征在于,所述将该AKA认证向量发送给終端包括 AP设备将所述AKA认证向量中的随机数RAND和认证令牌AUTN信息,发送给终端。
14.如权利要求13所述的方法,其特征在于,该方法进ー步包括 AP设备在将所述RAND和AUTN信息发送给终端的同时,还将使用完整性保护算法计算得到的第一消息验证码MAC携帯在第一消息中发送给終端,第一消息是携带所述RAND和AUTN信息的消息。
15.如权利要求11所述的方法,其特征在于,该方法进ー步包括 AP设备在接收到所述AKA认证向量的同吋,还接收到携帯在第三消息中的第三消息认证码MAC,第三消息是携带所述AKA认证向量的消息; AP设备根据所述第三MAC对所述第三消息进行验证,若验证通过,则将该AKA认证向量发送给終端,否则,不将该AKA认证向量发送给終端。
16.如权利要求11所述的方法,其特征在于,所述根据所述AKA认证向量验证所述RES包括 AP设备确定所述RES与所述AKA认证向量中的期望认证响应xRES是否一致,如果ー致,则验证所述RES正确,否则,验证所述RES错误。
17.如权利要求11所述的方法,其特征在于,所述根据验证结果确定終端是否为合法终端包括 AP设备若验证所述RES正确,则确定终端为合法终端;若验证所述RES错误,则确定终端为非法终端。
18.如权利要求12所述的方法,其特征在于,在AP设备确定终端为合法終端之后,该方法进ー步包括 AP设备将所述受控端ロ打开,井向终端发送EAP成功消息。
19.如权利要求11-18中任一所述的方法,其特征在于,AP设备与终端、GW之间采用扩展认证协议EAP进行通信。
20.ー种数据转发方法,其特征在于,该方法包括 网关设备GW接收来自归属签约用户服务器HSS的AKA认证向量; Gff将所述AKA认证向量转发给接入点AP设备。
21.如权利要求20所述的方法,其特征在于,该方法进一步包括 GW在将所述AKA认证向量转发给AP设备的同时,将使用完整性保护算法计算得到的第三消息验证码MAC携带在第三消息中发送给AP设备,第三消息是携带所述AKA认证向量的消息。
22.—种认证向量发送方法,其特征在于,该方法包括 归属签约用户服务器HSS接收到接入点AP设备通过网关设备GW发来的携带终端标识信息的鉴权请求后,确定预先为所述终端标识对应的终端设置的根密钥; HSS根据所述根密钥以及认证和密钥管理AKA算法,计算得到AKA认证向量; HSS将所述AKA认证向量通过GW发送给AP设备。
23.如权利要求22所述的方法,其特征在于,所述AKA认证向量包括 随机数RAND、认证令牌AUTN信息、期望认证响应xRES。
24.一种认证设备,其特征在于,该设备包括 发送单元,用于接收到接入点AP设备发来的请求终端上报标识信息的请求消息后,将本终端的标识信息发送给AP设备; 验证单元,用于接收到AP设备发来的认证和密钥管理AKA认证向量后,使用AKA算法对所述AKA认证向量进行验证; 认证单元,用于根据验证结果确定AP设备是否为合法接入设备。
25.如权利要求24所述的设备,其特征在于,该设备包括 附着单元,用于在接收到所述EAP请求消息之前,向AP设备发起附着过程,与AP设备建立用于传输认证消息的信令无线承载SRB。
26.如权利要求24所述的设备,其特征在于,所述验证单元用于 在所述AKA认证向量包括认证令牌AUTN信息时,将所述AUTN信息发送给本终端的电信智能卡,该电信智能卡使用AKA算法验证所述AUTN信息是否正确。
27.如权利要求24所述的设备,其特征在于,所述认证单元用于 若验证所述AKA认证向量正确,则确定AP设备为合法接入设备;若验证所述AKA认证向量错误,则确定AP设备为非法接入设备。
28.如权利要求26所述的设备,其特征在于,该设备还包括 第一响应单元,用于在所述AKA认证向量还包括随机数RAND、并且根据验证结果确定AP设备为合法接入设备之后,根据所述RAND和AKA算法,计算出认证响应RES,并将该RES发送给AP设备。
29.如权利要求28所述的设备,其特征在于,该设备还包括 承载建立单元,用于在将该RES发送给AP设备之后,在接收到AP设备发来的EAP成功消息时,建立用于传输数据的数据无线承载DRB。
30.如权利要求24所述的设备,其特征在于,所述验证单元还用于 在接收到AP设备发来的AKA认证向量的同时,还接收到携带在第一消息中的第一消息认证码MAC,第一消息是携带所述AKA认证向量的消息; 根据所述第一 MAC对所述第一消息进行验证,若验证通过,则使用AKA算法对所述AKA认证向量进行验证,否则,不使用AKA算法对所述AKA认证向量进行验证。
31.如权利要求28所述的设备,其特征在于,所述第一响应单元还用于在将所述RES发送给AP设备的同时,还将使用完整性保护算法计算得到的第二 MAC携带在第二消息中发送给AP设备,第二消息是携带所述RES的消息。
32.如权利要求24所述的设备,其特征在于,该设备还包括 第二响应单元,用于在根据验证结果确定AP设备为非法接入设备之后,向AP设备发送用户认证拒绝消息,该用户认证拒绝消息中携帯有认证失败的原因信息。
33.ー种认证设备,其特征在干,该设备包括 标识请求単元,用于向附着的终端发送请求终端上报标识信息的请求消息; 鉴权请求単元,用于接收到来自终端的終端标识信息后,通过网关设备GW向归属签约用户服务器HSS发送携带该终端标识信息的鉴权请求; 向量发送单元,用于接收到GW转发的来自HSS的认证和密钥管理AKA认证向量后,将该AKA认证向量发送给终端; 认证单元,用于接收来自终端的认证响应RES,根据所述AKA认证向量验证所述RES ;并根据验证结果确定终端是否为合法終端。
34.如权利要求33所述的设备,其特征在于,该设备还包括 端ロ建立単元,用于在向附着的终端发送所述EAP请求消息之前,为附着的終端建立非受控端口和受控端ロ; 所述非受控端ロ是指向GW传输认证消息所使用的端ロ ;所述受控端ロ是指向GW传输数据所使用的端ロ,若该受控端ロ处于打开状态,则数据能够通过该受控端ロ,否则,数据不能够通过该受控端ロ。
35.如权利要求33所述的设备,其特征在于,所述向量发送单元用于 将所述AKA认证向量中的随机数RAND和认证令牌AUTN信息,发送给终端。
36.如权利要求35所述的设备,其特征在于,所述向量发送单元还用于 在将所述RAND和AUTN信息发送给终端的同吋,还将使用完整性保护算法计算得到的第一消息验证码MAC携带在第一消息中发送给终端,第一消息是携带所述RAND和AUTN信息的消息。
37.如权利要求33所述的设备,其特征在于,所述向量发送单元还用于 在接收到所述AKA认证向量的同吋,还接收到携帯在第三消息中的第三消息认证码MAC,第三消息是携带所述AKA认证向量的消息; 根据所述第三MAC对所述第三消息进行验证,若验证通过,则将该AKA认证向量发送给終端,否则,不将该AKA认证向量发送给終端。
38.如权利要求33所述的设备,其特征在于,所述认证単元用于 确定所述RES与所述AKA认证向量中的期望认证响应xRES是否一致,如果一致,贝Ij验证所述RES正确,否则,验证所述RES错误。
39.如权利要求33所述的设备,其特征在于,所述认证単元用于 若验证所述RES正确,则确定终端为合法终端;若验证所述RES错误,则确定终端为非法终端。
40.如权利要求34所述的设备,其特征在于,该设备还包括 端ロ打开单元,用于在确定终端为合法終端之后,将所述受控端ロ打开,井向终端发送EAP成功消息。
41.一种数据转发设备,其特征在于,该设备包括 接收单元,用于接收来自归属签约用户服务器HSS的AKA认证向量; 转发单元,用于将所述AKA认证向量转发给接入点AP设备。
42.如权利要求41所述的设备,其特征在于,所述转发单元还用于 在将所述AKA认证向量转发给AP设备的同时,将使用完整性保护算法计算得到的第三消息验证码MAC携带在第三消息中发送给AP设备,第三消息是携带所述AKA认证向量的消息。
43.一种认证向量发送设备,其特征在于,该设备包括 确定单元,用于接收到接入点AP设备通过网关设备GW发来的携带终端标识信息的鉴权请求后,确定预先为所述终端标识对应的终端设置的根密钥; 计算单元,用于根据所述根密钥以及认证和密钥管理AKA算法,计算得到AKA认证向量; 发送单元,用于将所述AKA认证向量通过GW发送给AP设备。
44.如权利要求43所述的设备,其特征在于,所述AKA认证向量包括 随机数RAND、认证令牌AUTN信息、期望认证响应xRES。一种认证系统,其特征在于,该系统包括 终端,用于接收到接入点AP设备发来的请求终端上报标识信息的请求消息后,将本终端的标识信息发送给AP设备;接收到AP设备发来的认证和密钥管理AKA认证向量后,使用AKA算法对所述AKA认证向量进行验证;根据验证结果确定AP设备是否为合法接入设备;AP设备,用于向附着的终端发送请求终端上报标识信息的请求消息;接收到来自终端的终端标识信息后,通过网关设备GW向归属签约用户服务器HSS发送携带该终端标识信息的鉴权请求;接收到GW转发的来自HSS的AKA认证向量后,将该AKA认证向量发送给终端;接收到来自终端的认证响应RES,根据所述AKA认证向量验证所述RES ;并根据验证结果确定终端是否为合法终端; GW,用于接收来自HSS的AKA认证向量,将所述AKA认证向量转发给AP设备; HSS,用于接收到AP设备通过GW发来的携带终端标识信息的鉴权请求后,确定预先为所述终端标识对应的终端设置的根密钥;根据所述根密钥以及AKA算法,计算得到AKA认证向量;将所述AKA认证向量通过GW发送给AP设备。
全文摘要
本发明实施例公开了一种认证方法、系统和设备,涉及无线通信技术领域,用于解决终端与接入点AP设备之间如何进行认证的问题。本发明中,终端将本终端的标识信息发送给AP设备,AP设备通过网关设备GW向归属签约用户服务器HSS发送携带该终端标识信息的鉴权请求,HSS确定预先为所述终端标识对应的终端设置的根密钥,根据所述根密钥以及认证和密钥管理AKA算法,计算得到AKA认证向量,将所述AKA认证向量通过GW发送给AP设备;AP设备将该AKA认证向量发送给终端,终端使用AKA算法对所述AKA认证向量进行验证,并根据验证结果确定AP设备是否为合法接入设备,从而实现了终端对AP设备的认证。
文档编号H04W12/06GK102625306SQ201110034280
公开日2012年8月1日 申请日期2011年1月31日 优先权日2011年1月31日
发明者徐晖, 秦飞, 艾明, 赵瑾波 申请人:电信科学技术研究院