专利名称:一种基于lte-lan实现双向认证的方法、装置及系统的制作方法
技术领域:
本发明涉及通信领域,特别涉及一种基于LTE-LAN实现双向认证的方法、装置及系统。
背景技术:
随着通信技术的发展,对通信网络服务质量的要求日益提高,为了在现有网络基础上进一步提高数据处理效率,降低数据处理成本,设计了一种全新的网络架构,称为LTE-LAN(Long Term Evolution-LAN,长期演进本地网)。参阅图I所示,在LTE-LAN系统中,LTE-LAN-AP (LTE-LAN系统中的无线接入点)利用现有LTE底层传输及接入技术为终端提供无线数据链路,从而为终端提供具有QoS保障的通信服务。LTE-LAN-AP和终端均基于LTE移动通信系统底层通信技术实现其各自的功能,即通过增加新的管理及传输调度功能实现本地无线网络的组网与本地网络内终端的互联互通,通过改造现有LTE系统的网络架构及高层协议在不经过运营商核心网处理的情况下实现终端对外部网络的IP接入,即本地无线网络的LTE-LAN-AP通过相应接口可以不经过核心网而直接访问外部网络,这样一种扁平化的网络结构有助于终端数据的快速处理和转发,降低了网络通信的成本,提高了效率。现有技术下,对于3GPP制式的通信系统,如LTE-SAE (长期演进-系统架构演进)系统而言,通常采用AKA (认证和密钥协商)机制来完成用户鉴权。LTE-SAE系统的AKA鉴权过程和 UMTS (Universal Mobile Telecommunication System 通用无线通信系统)中的AKA鉴权过程基本相同,采用Mi Ienage算法,继承了 UMTS中五元组鉴权机制的优点,实现了UE和网络侧的双向认证。与UMTS 相 tt,SAE 的 AV (Authentication Vector,鉴权向量)与 UMTS 的 AV不同,UMTS AV 包含 CK 和 IK,而 SAE AV 仅包含 Kasme,一种由 HSS (Home SubscriberServer,归属用户服务器)和UE根据CK和IK推演得到的密钥。LTE-SAE使用AV中的AMF (Authentication Management Field,认证管理字段)来标识此 AV 是 SAE AV 还是 UMTSAV, UE利用该标识来判断认证挑战是否符合其接入网络类型,网络侧也可以利用该标识隔离SAE AV和UMTS AV,防止获得UMTS AV的攻击者假冒SAE网络。而相应的,对于非3GPP机制的通信系统,通常采用EAP-AKA(ExtensibleAuthentication Protocol Method for 3rd Generation Authentication and KeyAgreement,针对第三代通信系统认证和密钥协商的扩展认证协议)的方式进行安全鉴权,具体的鉴权方式分为以下两种对于采用WLAN (Wireless Local Area Networks,无线局域网络)接入技术的系统而言,由于WLAN系统本身支持EAP协议,因此无需上层协议的支持就可以实现基于EAP-AKA方式的安全鉴权;
而对于未采用WLAN接入技术的系统而言,必须有协议来承载EAP协议才能实现基于EAP-AKA方式的安全鉴权,目前,通常使用IKEV2协议来承载EAP协议,即采用IKEV2协议在AN(接入网)和网络之间建立IPSEC(Internet protocol Security, Internet协议安全性)隧道,用于承载EAP-AKA消息,从而完成基于EAP-AKA方式的安全鉴权流程。然而,对于LTE-LAN系统来说,由于采用了扁平化的网络架构,没有设置核心网设备,而在LTE-SAE安全架构中,安全鉴权流程需要核心网设备参与,因此,LTE-LAN系统已不可能沿用LTE-SAE系统的安全鉴权机制,LTE-SAE系统中定义的安全鉴权流程不再适用于LTE-LAN 系统。
另一方面,非3GPP机制的通信系统中,使用基于IKEV2协议建立的IPSEC隧道承载EAP-AKA消息以进行安全鉴权的方式也不适用于LTE-LAN系统,这是因为若要使用IKEV2协议,就需要设备具有IP协议栈,而LTE-LAN系统中的LTE-LAN AP在多数情况下是一个二层设备,不具备IP协议栈,因此无法使用IKEV2协议,显然,LTE-LAN系统同样也不可能沿用非3GPP制式的通信系统的安全鉴权机制。有鉴于此,需要针对LTE-LAN系统重新设计相适合的安全鉴权流程。
发明内容
本发明实施例提供一种基于LTE-LAN实现双向认证的方法、装置及系统,用以实现LTE-LAN-AP和LTE-LAN-GW之间的双向认证。本发明实施例提供的具体技术方案如下一种基于LTE-LAN实现双向认证的方法,包括Gff检测到AP接入后,接收AP发送的该AP的身份标识;所述GW向所述AP返回对应所述AP的身份标识生成的AKA认证向量;所述GW接收到所述AP发送的用于表示所述AKA认证向量通过AP认证的AKA认证响应向量后,对该AKA认证响应向量进行认证,确定其通过认证时,确认双向认证成功。一种基于LTE-LAN实现双向认证的方法,包括Gff检测到无AP接入后,接收AP发送的该AP的身份标识,向所述AP返回对应所述AP的身份标识生成的AKA认证向量,以及在接收到所述AP发送的用于表示所述AKA认证向量通过AP认证的AKA认证响应向量后,对该AKA认证响应向量进行认证,确定其通过认证时,确认双向认证成功。一种基于LTE-LAN实现双向认证的装置,包括第一通信单元,用于在所述装置所属的AP启动时,向GW发送AP的身份标识,以及接收GW返回的对应所述AP的身份标识生成的AKA认证向量;认证单元,用于对所述AKA认证向量进行认证;第二通信单元,用于在确定所述AKA认证向量通过认证时,向GW返回AKA认证响应向量,并在确定所述AKA认证响应向量通过GW认证时,确认双向认证成功。一种基于LTE-LAN实现双向认证的装置,包括通信单元,用于在检测到AP接入后,接收AP发送的该AP的身份标识,并向所述AP返回对应所述AP的身份标识生成的AKA认证向量,以及接收收所述AP发送的用于表示所述AKA认证向量通过AP认证的AKA认证响应向量;认证单元,用于对所述AKA认证响应向量进行认证,确定其通过认证时,确认双向认证成功。一种基于LTE-LAN实现双向认证的系统,包括
AP,用于在本AP启动时,向GW发送本AP的身份标识,接收GW返回的对应本AP的身份标识生成的AKA认证向量,以及对所述AKA认证向量进行认证,确定其通过认证时,向GW返回AKA认证响应向量,并在确定所述AKA认证响应向量通过GW认证时,确认双向认证成功;GW,用于在检测到AP接入后,接收AP发送的该AP的身份标识,向所述AP返回对应所述AP的身份标识生成的认证和密钥协商AKA认证向量,以及在接收到所述AP发送的用于表示所述AKA认证向量通过AP认证的AKA认证响应向量后,对该AKA认证响应向量进行认证,并在确定其通过认证时 ,确认双向认证成功。本发明实施例中,AP启动后,GW检测到AP接入,并从AP获取该AP的身份标识,以及向AP返回对应AP的身份标识生成的AKA认证向量,AP对AKA认证向量进行认证,确定认证通过后,确认GW对AP合法,并向GW返回AKA认证响应向量,Gff对AKA认证响应向量进行认证,确定认证通过后,确认AP对GW合法,从而完成了 AP与GW之间的双向认证流程。这样,便基于底层通信(如,链路层)实现了 AP和GW之间的双向认证,保证了 GW和AP均为合法用户才能接入到LTE-LAN网络中,从而有效确保了 LTE-LAN系统的安全性,提升了系统性能。同时,由于不需要为AP增设IP协议栈,也在一定程度上降低了设备成本。
图I为本发明实施例中LTE-LAN系统体系架构示意图; 图2为本发明实施例中LTE-LAN-AP和LTE-LAN-GW协议栈示意图;图3A为本发明实施例中LTE-LAN-AP中的BAE模块功能结构示意图;图3B为本发明实施例中LTE-LAN-GW中的BAE模块功能结构示意图;图4为本发明实施例中LTE-LAN-AP和LTE-LAN-GW之间双向认证流程。
具体实施例方式在LTE-LAN系统中,由于LTE-LAN-AP处于运营商网络之外,不在运营商的控制范围内,因此需要对LTE-LAN-AP和LTE-LAN-GW进行双向认证,以保证LTE-LAN-AP对LTE-LAN-Gff是合法的,而LTE-LAN-GW对LTE-LAN-AP同样也是合法的。鉴于LTE-LAN-AP通常为一个二层设备,不具备IP协议栈,因此,本发明实施例中,提出了基于底层实现LTE-LAN-AP和LTE-LAN-GW双向认证的方法。下面结合附图对本发明优选的实施方式进行详细说明。参阅图I所示,本发明实施例中,LTE-LAN系统内包括LTE-LAN-AP(以下简称为AP)和LTE-LAN-GW(以下简称为GW),其中,AP,用于在本AP启动时,向GW发送本AP的身份标识,接收GW返回的对应本AP的身份标识生成的AKA认证向量,以及对该AKA认证向量进行认证,确定其通过认证时,向GW返回AKA认证响应向量,并在确定该AKA认证响应向量通过GW认证时,确认双向认证成功;Gff,用于在检测到AP接入后,接收AP发送的该AP的身份标识,向AP返回对应该AP的身份标识生成的AKA认证向量,以及在接收到AP发送的用于表示AKA认证向量通过AP认证的AKA认证响应向量后,对该AKA认证响应向量进行认证,并在确定其通过认证时,确认双向认证成功。
较佳的,上述流程通过AP和GW的链路层 完成。如图I 所不,LTE-LAN 系统中还配置有 AAA(Authentication、Authorization、Accounting,认证、授权和记账)服务器和HSS (Home Subscriber Server,归属用户服务器),AAA服务器用于将GW发送的消息转发至HSS服务器,以及将HSS发送的消息返回至GW。参阅图2所示,本发明实施例中,AP和GW中配置的协议栈包括对于AP而言,面对终端侧配置的协议栈包含MAC层、RLC(Radio Link Control,无线链路控制)层、RRC(Radio Resource Control,无线资源控制)层、PDCP (Packet DataConvergence Protocol,分组数据集中协议)层;而面对GW配置的协议栈包含MAC层和LLC(Logical Link Control,逻辑链路控制)层;其中,在AP中设置有BAE (Bearer Access entity,承载接入实体)模块,BAE模块是一个执行算法和协议操作的实体,是一个逻辑实体,具有以下功能实现EAP协议实现双向认证,执行密钥协商;实际应用中,并不限制BAE模块所位于的协议层位置,较佳的,本实施例中,将BAE模块设置在链路层。在AP中还设置有BAC(BearerAccess control,承载接入控制)模块,该逻辑实体根据本地的BAE模块的接入控制和授权结果执行相应的操作,较佳的,BAC模块设置在AP的MAC层中。在AP和GW之间,当进行双向认证时,AP的BAE模块通知本地的BAC模块打开用于传输认证相关消息的非受控端口,以完成双向认证流程,当双向认证成功时,AP中的BAE模块通知本地的BAC模块打开用于传输数据的受控端口,此时所有的数据包都可以通过,另一方面,如果双向认证不成功,那么,AP中的BAE模块将通知本地的BAC模块关闭受控端口,此时所有数据包均不能通过。对于GW而言,面对AP配置的协议栈包含MAC层和LLC层;其中,在GW中设置有BAE模块,BAE模块是一个执行算法和协议操作的实体,是一个逻辑实体,具有以下功能实现EAP协议实现双向认证,执行密钥协商;实际应用中,并不限制BAE模块所位于的协议层位置,较佳的,本实施例中,将BAE模块设置在链路层。在GW中还设置有BAC(Bearer Access control,承载接入控制)模块,该逻辑实体根据本地的BAE模块的接入控制和授权结果执行相应的操作,较佳的,BAC模块设置在GW的MAC层中。在AP和GW之间,当进行双向认证时,Gff的BAE模块通知本地的BAC模块打开用于传输认证相关消息的非受控端口,以完成双向认证流程,当双向认证成功时,GW中的BAE模块通知本地的BAC模块打开用于传输数据的受控端口,此时所有的数据包都可以通过,另一方面,如果双向认证不成功,那么,AP中的BAE模块将通知本地的BAC模块关闭受控端口,此时所有数据包均不能通过。参阅图3A所示,本发明实施例中,AP中的BAE模块包含第一通信单元30、认证单元31和第二通信单元32,其中,第一通信单元30,用于在所属的AP启动时,向GW发送AP的身份标识,以及接收Gff返回的对应该AP的身份标识生成的AKA认证向量;认证单元31,用于对获得的AKA认证向量进行认证;第二通信单元32,用于在确定AKA认证向量通过认证时,向GW返回AKA认证响应向量,并在确定该AKA认证响应向量通过GW认证时,确认双向认证成功。
较佳的,第一通 信单元30、认证单元31和第二通信单元32位于AP的链路层中,用以对MAC层中的BAC模块进行相应控制。参阅图3B所示,本发明实施例中,AP中的BAE模块包含通信单元40和认证单元41,其中,通信单元40,用于在检测到AP接入后,接收AP发送的该AP的身份标识,并向AP返回对应该AP的身份标识生成的AKA认证向量,以及接收收AP发送的用于表示AKA认证向量通过AP认证的AKA认证响应向量;认证单元41,用于对获得的AKA认证响应向量进行认证,确定其通过认证时,确认双向认证成功。较佳的,通信单元40和认证单元41位于GW的链路层中,用以对MAC层中的BAC模块进行相应控制基于上述技术方案,参阅图4所示,本发明实施例中,AP和GW之间的双向认证的详细流程如下步骤400 AP启动后,在本地建立非受制端口和受制端口,并打开非受控端口以传输认证相关消息。参阅图2所示,本发明实施例中,AP在启动后,由本地链路层的BAE模块通知本地MAC层的BAC模块,在本地LLC层建立LLC (U)和LLC (C),并且打开LLC (U),以传输认证相关消息,后续的双向认证流程中,AP和GW之间传输的所有用于认证的消息均是通过LLC(U)传输的,此时,LLC(C)仍处于关闭状态,不能够传输数据,待认证通过后才能打开LLC(C)。步骤401 :GW检测有新的AP接入时,在本地建立在非受制端口和受制端口,并打开非受控端口以传输认证相关消息。参阅图2所示,本发明实施例中,GW在发现有新的AP接入后,也由本地的BAE模块通知本地MAC层的BAC模块,在本地LLC层建立LLC (U)和LLC (C),并且打开LLC (U),以传输认证相关消息,后续的双向认证流程中,AP和GW之间传输的所有用于认证的消息均是通过LLC(U)传输的,此时,LLC(C)仍处于关闭状态,不能够传输数据,待认证通过后才能打开 LLC (C)。步骤402 Gff向AP发送EAP-Request消息,请求获取AP的identity (身份标识),实际应用中,AP 的 identity 可以是 IMSI (InternationalMobileSubscriberIdentificationNumber,国际移动用户识别码)。本实施例中,GW通过本地的BAE模块向AP发送EAP-Request消息。步骤403 AP向GW发送EAP-Response消息,将自身的identity发送给GW。本实施例中,AP通过本地的BAE模块向GW发送携带identity的EAP-Response消息中。步骤404 Gff收到AP的identity后,通过认证请求消息将AP的identity发往HSS。本实施例中,Gff发送的认证请求消息由AAA服务器转发至HSS。AAA服务器主要起到转发认证数据的作用,当GW向AAA服务器发送认证请求消息时,AAA服务器将该认证请求消息转发至HSS,而HSS反馈的认证信息也由AAA服务器转发至Gl步骤405 =HSS根据获得的AP的identity获得相应的根密钥K,并根据该根密钥K,计算出相应的AKA认证向量;本实施例中,该AKA认证向量包括RAND(RANDom number随机数)和 AUTN(Authentication token 认证令牌)等。
本实施例中,HSS获得AP对应的根密钥K后,在HSS的AuC (鉴权中心)内推衍出CK和IK,并根据CK和IK推衍出Kasme,同时产生出RAND和AUTN,以及在后续流程中通过AAA服务器将RAND和AUTN,以及Kasme发送给GW ;其中,CK和IK只保存在UE和HSS中,而KASME是保存在安全上下文中为了推衍其他用于加密和完整性保护的密钥的,与本发明实施例中记录的双向认证流程没有太多关系,只是需要在这个过程中传给GW。步骤406 =HSS向GW发送认证请求响应消息,将获得的AKA认证向量发送至GW。在执行步骤406的过程中,HSS还需要向GW发送一个xRES (期望响应),GW可以基于该xRES在后续流程中对AP进行合法性认证。步骤407 =Gff将获得的AKA认证向量通过EAP-Request/AKA-ChalIenge消息(扩展认证协议认证和密钥协商挑战请求消息)发送给AP。本实施例中,GW通过本地的BAE模块将AKA认证向量发送给AP,该AKA认证向量包含RAND和AUTN ;较佳的,GW还需要在EAP-Request/AKA-Challenge消息中携带自身产生的 MAC (Message Authentication Code,消息认证码),该 MAC 为 GW 对 EAP-Request/AKA-Challenge消息采用指定算法进行加密处理后获得的处理结果,以保证EAP-Request/AKA-Challenge消息包含的数据包的完整性,GW将MAC随EAP-Request/AKA-ChalIenge消息发往AP后,AP根据EAP-Request/AKA-Challenge消息采用相同的指定算法进行加密处理,并将获得的结果与MAC进行比较,一致则认为EAP-Request/AKA-Challenge消息携带的数据包是完整的。步骤408 AP采用AKA算法,对获得的AKA认证向量进行认证,确定其通过认证时,生成相应的AKA认证响应向量,该AKK认证响应向量主要包含RES (响应)。本发明实施例中,AP采用AKA算法,对AKA认证向量进行认证时,包括对AKA认证向量包含的AUTN进行认证,确认其通过认证时,说明GW对AP是合法的,则采用AKA算法包含的RAND生成相应的响应RES作为AKA认证响应向量。同时,AP生成RES的同时,还需要生成session Key,该session key是针对MAC层的key,目前可以是Kupenc,主要用于用户面的安全,与本发明实施例中记录的双向认证流程没有太多关系,只是需要在这个过程中传给GW。AP确定接收的AKA认证向量通过认证时,便可以确认GW对AP合法。步骤409 AP将获得的AKA认证响应向量通过EAP-Response/AKA-ChalIenge消息(扩展认证协议认证和密钥协商挑战响应消息)发送给GW。较佳的,AP还需要在EAP Response/AKA-Challenge消息中携带自身产生的MAC,该MAC为AP对EAP-Response/AKA-ChalIenge消息采用指定算法进行加密处理后获得的处理结果,以保证EAP-Response/AKA-ChalIenge消息包含的数据包的完整性,AP将MAC随 EAP-Response/AKA-Challenge 消息发往 GW 后,Gff 根据 EAP-Response/AKA-Challenge消息采用相同的指定算法进行加密处理,并将获得的结果与MAC进行比较,一致则认为EAP-Response/AKA-Challenge消息携带的数据包是完整的。实际应用中,如果GW向AP发送的AKA响应向量未通过AP的认证,则AP会直接向Gff发送拒绝消息以结束当前流程,因此,GW若收到AP发送的AKA认证响应向量,即说明GW已通过AP的认证,接下来,Gff只需要对AP也进行认证,即可完成双向认证流程。
步骤410 Gff对获得的AKA认证响应向量进行认证,确定其通过认证时,打开本地的受控端口以传输数据。本实施例中,Gff对获得的AKA认证响应向量进行认证时,即是将AKA认证响应向量中包含的RES和本地保存的xRES进行比较,确认两者一致时,确定AP通过认证,即AP对GW合法。另一方面,本实施例中,GW获知本GW通过AP的认证时,通过本地链路层的BAE模块通知MAC层的BAC模块,打开LLC层的LLC (C),准备开始进行数据传输。步骤411 Gff向AP返回EAP Success消息,通知AP已通过认证,即认证成功。步骤412 AP获知本AP通过GW的认证时,打开本地的受控端口,以传输数据。本实施例中,AP获知本AP通过GW的认证时,通过本地链路层的BAE模块通知MAC层的BAC模块,打开LLC层的LLC (C),从而开始进行数据传输。本发明实施例中,AP启动后,GW检测到AP接入,并从AP获取该AP的身份标识,以及向AP返回对应AP的身份标识生成的AKA认证向量,AP对AKA认证向量进行认证,确定认证通过后,确认GW对AP合法,并向GW返回AKA认证响应向量,Gff对AKA认证响应向量进行认证,确定认证通过后,确认AP对GW合法,从而完成了 AP与GW之间的双向认证流程。这样,便基于底层通信(如,链路层)实现了 AP和GW之间的双向认证,保证了 GW和AP均为合法用户才能接入到LTE-LAN网络中,从而有效确保了 LTE-LAN系统的安全性,提升了系统性能。同时,由于不需要为AP增设IP协议栈,也在一定程度上降低了设备成本。显然,本领域的技术人员可以对本发明中的实施例进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明实施例中的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明中的实施例也意图包含这些改动和变型在内。
权利要求
1.一种基于长期演进本地网LTE-LAN实现双向认证的方法,其特征在于,包括 无线接入点AP启动时,向网关GW发送本AP的身份标识; 所述AP接收GW返回的对应本AP的身份标识生成的认证和密钥协商AKA认证向量; 所述AP对所述AKA认证向量进行认证,确定其通过认证时,向GW返回AKA认证响应向量; 所述AP确定所述AKA认证响应向量通过GW认证时,确认双向认证成功。
2.如权利要求2所述的方法,其特征在于,包括所述AP启动时,向GW发送本AP的身份标识,包括 AP启动后,在本地建立用于传输数据的受控端口和用于传输认证相关消息的非受控端口,并打开所述非受控端口,以及在接收到GW发送的扩展认证协议EAP请求消息时,将本AP的身份标识通过EAP响应消息发送所述GW。
3.如权利要求2所述的方法,其特征在于,所述AP通过GW发送的扩展认证协议认证和密钥协商挑战请求消息获取GW返回的对应本AP的身份标识生成的AKA认证向量,以及通过扩展认证协议认证和密钥协商挑战响应消息向GW返回所述AKA认证响应向量。
4.如权利要求2或3所述的方法,其特征在于,所述AP对所述AKA认证向量进行认证,包括 所述AKA认证向量包括随机数RAND和认证令牌AUTN’所述AP采用AKA算法对所述AUTN进行认证,确认其通过认证时,采用所述RAND生成相应的响应RES作为AKA认证响应向量。
5.如权利要求4所述的方法,其特征在于,所述AP确认双向认证成功后,打开本地建立的所述受控端口,以进行数据传输。
6.如权利要求4所述的方法,其特征在于,所述双向认证流程在所述AP的链路层完成。
7.一种基于长期演进本地网LTE-LAN实现双向认证的方法,其特征在于,包括 网关GW检测到无线接入点AP接入后,接收AP发送的该AP的身份标识; 所述GW向所述AP返回对应所述AP的身份标识生成的认证和密钥协商AKA认证向量;所述GW接收到所述AP发送的用于表示所述AKA认证向量通过AP认证的AKA认证响应向量后,对该AKA认证响应向量进行认证,确定其通过认证时,确认双向认证成功。
8.如权利要求7所述的方法,其特征在于,所述GW检测到AP接入后,接收AP发送的该AP的身份标识,包括 Gff检测AP接入后,在本地建立用于传输数据的受控端口和用于传输认证相关消息的非受控端口,并打开所述非受控端口,以及向AP发送用于获取AP的身份标识的扩展认证协议EAP请求消息,并接收AP发送的携带该AP的身份标识的EAP响应消息。
9.如权利要求8所述的方法,其特征在于,所述GW将获得的所述AP的身份标识发往归属用户服务器HSS,并接收所述HSS返回的对应所述AP的身份标识生成的AKA认证向量。
10.如权利要求8所述的方法,其特征在于,所述GW通过扩展认证协议认证和密钥协商挑战请求消息将所述AKA认证向量发往所述AP,以及通过扩展认证协议认证和密钥协商挑战响应消息接收所述AP返回的AKA认证响应向量。
11.如权利要求8、9或10所述的方法,其特征在于,所述GW接收到所述AP发送的用于表示所述AKA认证向量通过AP认证的AKA认证响应向量后,对该AKA认证响应向量进行认证,包括 所述AKA认证响应向量中包括所述AP基于所述AKA认证向量生成的响应RES,所述GW将所述RES与本地预存的期望响应xRES进行比较,确定两者一致吋,确认所述RES通过认证。
12.如权利要求11所述的方法,其特征在于,所述GW确认双向认证成功后,打开本地建立的所述受控端ロ,以进行数据传输。
13.如权利要求11所述的方法,其特征在于,所述双向认证流程在所述GW的链路层完成。
14.ー种基于长期演进本地网LTE-LAN实现双向认证的装置,其特征在于,包括 第一通信単元,用于在所述装置所属的无线接入点AP启动时,向网关GW发送AP的身份标识,以及接收GW返回的对应所述AP的身份标识生成的认证和密钥协商AKA认证向量; 认证单元,用于对所述AKA认证向量进行认证; 第二通信单元,用于在确定所述AKA认证向量通过认证时,向GW返回AKA认证响应向量,并在确定所述AKA认证响应向量通过GW认证时,确认双向认证成功。
15.如权利要求14所述的装置,其特征在于,所述第一通信単元在所述AP启动时,向Gff发送所述AP的身份标识,包括 AP启动后,所述第一通信単元在本地建立用于传输数据的受控端口和用于传输认证相关消息的非受控端ロ,并打开所述非受控端ロ,以及在接收到GW发送的扩展认证协议EAP请求消息吋,将所述AP的身份标识通过EAP响应消息发送所述Gl
16.如权利要求15所述的装置,其特征在于,所述第一通信単元通过GW发送的扩展认证协议认证和密钥协商挑战请求消息获取GW返回的对应所述AP的身份标识生成的AKA认证向量,所述第二通信単元通过扩展认证协议认证和密钥协商挑战响应消息向GW返回所述AKA认证响应向量。
17.如权利要求15或16所述的装置,其特征在于,所述认证単元对所述AKA认证向量进行认证,包括 所述AKA认证向量包括随机数RAND和认证信息AUTN’所述认证单元采用AKA算法对所述AUTN进行认证,确认其通过认证时,采用所述RAN生成相应的响应RES作为AKA认证响应向量。
18.如权利要求17所述的装置,其特征在于,所述第二通信単元确认双向认证成功后,打开本地建立的所述受控端ロ,以进行数据传输。
19.如权利要求17所述的装置,其特征在于,所述第一通信単元、认证单元、第二通信単元位于所述AP的链路层。
20.ー种基于长期演进本地网LTE-LAN实现双向认证的装置,其特征在于,包括 通信単元,用于在检测到无线接入点AP接入后,接收AP发送的该AP的身份标识,并向所述AP返回对应所述AP的身份标识生成的认证和密钥协商AKA认证向量,以及接收收所述AP发送的用于表示所述AKA认证向量通过AP认证的AKA认证响应向量; 认证单元,用于对所述AKA认证响应向量进行认证,确定其通过认证时,确认双向认证成功。
21.如权利要求20所述的装置,其特征在干,所述通信単元检测到AP接入后,接收AP发送的该AP的身份标识,包括 检测到AP接入后,在本地建立用于传输数据的受控端口和用于传输认证相关消息的非受控端ロ,并打开所述非受控端ロ,以及向AP发送用于获取AP的身份标识的扩展认证协议EAP请求消息,并接收AP发送的携带该AP的身份标识的EAP响应消息。
22.如权利要求21所述的装置,其特征在于,所述通信单元获得的所述AP的身份标识发往归属用户服务器HSS,并接收所述HSS返回的对应所述AP的身份标识生成的AKA认证向量。
23.如权利要求21所述的装置,其特征在于,所述通信単元通过扩展认证协议认证和密钥协商挑战消息将所述AKA认证向量发往所述AP,以及通过扩展认证协议认证和密钥协商挑战响应消息接收所述AP返回的AKA认证响应向量。
24.如权利要求21、22或23所述的装置,其特征在于,所述通信単元接收到所述AP发送的用于表示所述AKA认证向量通过AP认证的AKA认证响应向量后,所述认证单元对该AKA认证响应向量进行认证,包括 所述AKA认证响应向量中包括所述AP基于所述AKA认证向量生成的响应RES,所述认证单元将所述RES与本地预存的期望响应xRES进行比较,确定两者一致时,确认所述RES通过认证。
25.如权利要求24所述的装置,其特征在于,所述认证単元确认双向认证成功后,所述通信単元打开本地建立的所述受控端ロ,以进行数据传输。
26.如权利要求24所述的装置,其特征在于,所述通信単元和所述认证単元位于网关GW的链路层。
27.ー种基于长期演进本地网LTE-LAN实现双向认证的系统,其特征在于,包括 无线接入点AP,用于在本AP启动时,向网关GW发送本AP的身份标识,接收GW返回的对应本AP的身份标识生成的认证和密钥协商AKA认证向量,以及对所述AKA认证向量进行认证,确定其通过认证时,向GW返回AKA认证响应向量,并在确定所述AKA认证响应向量通过GW认证时,确认双向认证成功; GW,用于在检测到AP接入后,接收AP发送的该AP的身份标识,向所述AP返回对应所述AP的身份标识生成的认证和密钥协商AKA认证向量,以及在接收到所述AP发送的用于表示所述AKA认证向量通过AP认证的AKA认证响应向量后,对该AKA认证响应向量进行认证,并在确定其通过认证时,确认双向认证成功。
全文摘要
本发明涉及通信领域,公开了一种基于LTE-LAN实现双向认证的方法、装置及系统,用于实现LTE-LAN-AP和LTE-LAN-GW之间的双向认证。该方法为AP启动后,GW检测到AP接入,并从AP获取该AP的身份标识,以及向AP返回对应AP的身份标识生成的AKA认证向量,AP对AKA认证向量进行认证,确定认证通过后,确认GW对AP合法,并向GW返回AKA认证响应向量,GW对AKA认证响应向量进行认证,确定认证通过后,确认AP对GW合法;这样,便实现了AP和GW之间的双向认证,保证了GW和AP均为合法用户才能接入到LTE-LAN网络中,从而有效确保了LTE-LAN系统的安全性,提升了系统性能。
文档编号H04W12/06GK102625308SQ201110034300
公开日2012年8月1日 申请日期2011年1月31日 优先权日2011年1月31日
发明者徐晖, 秦飞, 艾明, 赵瑾波 申请人:电信科学技术研究院