一种故障弱化状态下的用户鉴权方法与流程

本申请涉及通信系统中的鉴权技术，特别涉及一种故障弱化状态下的用户鉴权方法。

背景技术：

目前基于LTE的集群通信架构中，由于各种原因可能导致基站与核心网间连接中断，这种状态称为故障弱化状态。由于故障弱化状态下，基站与核心网间无法通信，因此没有对用户进行双向鉴权，空口的信令和数据也没有加密，存在不安全的隐患。

针对故障弱化状态下无法对用户进行双向鉴权的问题，有些解决方案是在基站中保存特定用户的签约数据：一种方式是静态配置一些用户，在弱化时只允许这些用户访问；另一种方式是基站在网络正常时对服务的终端从正常核心网的HSS获取它的签约数据，包括鉴权密钥，在基站缓存。

但是上述两种解决故障弱化状态下用户双向鉴权问题的方式都存在相应的问题：1)在基站中保存特定用户的签约数据属于静态配置方式，这种方式下，由于基站容量有限，只能保存少量用户，而且维护复杂、麻烦；2)在网络正常时获取HSS中的用户签约数据属于动态获取方式，这种方式网络交互复杂，而且会破坏原来3GPP的安全架构，USIM卡中鉴权密钥K会离开鉴权中心，有泄露的风险。

技术实现要素：

本申请提供一种故障弱化状态下的用户鉴权方法，能够简单、方便地实现鉴权，同时保障系统的安全性。

为实现上述目的，本申请采用如下的技术方案：

一种故障弱化状态下的用户鉴权方法，包括：

基站接收OMC配置给自身的故障弱化状态下对所有终端统一的鉴权密钥K_AUTH，并加密保存在所述基站中；

终端接收所述OMC发来的配置给所述基站的K_AUTH，将其作为软SIM卡的K值进行加密保存；

在故障弱化状态下，基站和终端之间利用保存的K_AUTH进行双向鉴权。

较佳地，所述终端接收所述OMC发来的所述K_AUTH包括：所述OMC通过OTA方式下发所述K_AUTH，所述终端接收OMC中的OTA密钥服务器发来的所述K_AUTH。

较佳地，所述OMC通过OTA方式下发所述K_AUTH包括：

所述终端登录所述OMC中的OTA密钥服务器，所述OTA密钥服务器对所述终端进行合法性验证通过后，利用OTA通道向所述终端下发所述K_AUTH。

较佳地，所述基站和终端之间利用所述K_AUTH进行双向鉴权包括：

在所述故障弱化状态下，所述基站启用所述K_AUTH，并在所述基站内嵌核心网的HSS模块内仅启用鉴权功能，对每个从所述内嵌核心网MME模块发来的鉴权请求，不检测IMSI是否开卡，都为其计算鉴权向量，所述HSS模块不维护所述终端的安全上下文，为所有终端公用统一的SQN，并在每次鉴权之后将所述SQN加1；其中，计算鉴权向量时AMF取16进制数8000，RAND在每次鉴权时申请重新生成，OP取全零，SQN初始值取0；

所述终端在故障单站模式下启用所述K_AUTH，将其作为软SIM卡的K值进行密钥推导和鉴权处理，在所述鉴权处理过程中，不对所述SQN的范围合法性进行校验，不进行重鉴权过程；其中，进行鉴权时OP取全零。

较佳地，当所述K_AUTH进行更新时，所述OMC为所述基站配置更新后的K_AUTH，所述OMC中的OTA密钥服务器通过PUSH方式通知终端，终端通过OTA方式获取。

较佳地，在故障弱化状态下，基站和终端之间完成鉴权和密钥协商过程后，建立各自的安全上下文，进行空口NAS、RRC信令的加密和完整性保护，完成空口用户面的加密。

由上述技术方案可见，本申请中，OMC为基站配置故障弱化状态下对所有终端统一的鉴权密钥K_AUTH，并加密保存在基站中；该OMC也将配置给基站的K_AUTH发送给终端，终端将其作为软SIM卡的K值进行加密保存；在故障弱化状态下，基站和终端之间利用保存的K_AUTH进行双向鉴权。通过上述方式，OMC为基站配置鉴权密钥K_AUTH，基站对所有终端采用统一的K_AUTH进行鉴权，一方面可以简单方便地实现双向鉴权，另一方面由于不需要获取HSS中的鉴权密钥，而保障了系统的安全性。

附图说明

图1为本申请中用户鉴权方法的基本流程示意图；

图2为终端和网络侧计算鉴权相关参数的简化过程；

图3为基站内鉴权向量的计算过程示意图；

图4为终端内鉴权向量的计算过程示意图。

具体实施方式

为了使本申请的目的、技术手段和优点更加清楚明白，以下结合附图对本申请做进一步详细说明。

为了在故障弱化状态下支持鉴权和空口加密，就需要终端和弱化的基站拥有鉴权密钥。但是由于基站与核心网间的连接已中断，因此基站不能再使用核心网的HSS进行用户的鉴权。基于此，本申请中为所有终端统一配置一个鉴权密钥，与基站设置的鉴权密钥在基站处于故障弱化状态时，以该鉴权密钥完成双向鉴权过程，并建立安全上下文，进行空口信令和数据的加密。若没有获得该鉴权密钥的终端，在故障弱化下无法接入基站，不能获得网络的服务。统一配置的鉴权密钥长度为128bit，和用户开卡时的USIM卡内存储的K值长度一致。

下面对本申请中的用户鉴权方法进行详细描述。图1为本申请中用户鉴权方法的基本流程示意图。如图1所示，该方法包括：

步骤101，基站接收OMC配置给自身的故障弱化状态下对所有终端统一的鉴权密钥K_AUTH，并加密保存在基站中。

其中，系统中的OMC为基站配置鉴权密钥K_AUTH，且对所有终端共用该密钥K_AUTH。具体地，鉴权密钥K_AUTH由OMC对基站内的内置核心网进行统一的配置，鉴权密钥在内置核心网进行加密存储。

步骤102，终端接收OMC发来的配置给基站的K_AUTH，将其作为软SIM卡的K值进行加密保存。

其中，OMC将配置给基站的K_AUTH下发给终端。优选地，为保证安全性，采用OTA的方式下发。具体地，终端登录OMC中的OTA密钥服务器，OTA密钥服务器对终端进行合法性验证，并在验证通过后，利用OTA通道向终端下发K_AUTH。这里，K_AUTH下发的传输安全性由OTA通道的HTTPS协议的安全性保证。终端收到密钥K_AUTH后，将其作为软SIM卡的K值加密保存，在故障弱化时激活使用。

步骤103，在故障弱化状态下，基站和终端之间利用保存的K_AUTH进行双向鉴权。

当终端处于故障单站模式下，终端启用KAUTH，把它作为软SIM卡的K值进行鉴权流程和密钥推导。网络侧也是一样，只不过每个用户的K值都相同。终端和网络侧计算鉴权相关参数的简化过程如图2所示。

在终端和基站激活K_AUTH进行双向鉴权的过程中，基站内置HSS认证中心采用统一的SQN值，并在每次鉴权后加1；终端在鉴权过程中不对SQN值的范围进行校验，避免反复的SQN同步带来的重鉴权权问题。

具体地，基站和终端间进行的双向鉴权包括：

1)在基站内嵌核心网的HSS模块内，只启用鉴权功能。基站内嵌核心网的MME模块和HSS模块之间需要进行鉴权流程。由于HSS模块内没有保存任何用户的开卡开户信息，对每一个从MME模块发过来的鉴权请求，不检查IMSI是否开卡，都为其计算鉴权向量。具体鉴权向量的计算过程和3GPP标准一致，如图3所示。其中，各参数取值如下：

AMF：取8000(16进制)；

RAND：随机数，每一鉴权申请重新生成；

OP：取全零，终端的OP值也需取全零进行计算；

SQN：初始值取0。

基站中内嵌核心网的HSS模块不维护每个用户的安全上下文，没有单个用户专用的SQN值，终端公用的SQN在每次鉴权之后加1。

2)当终端处于故障单站模式下，终端启用K_AUTH，把它作为软SIM卡的K值进行鉴权流程和密钥推导。具体鉴权向量的计算过程如图4所示。其中，终端在故障弱化模式下，OP值取全零，不对SQN的范围合法性进行校验，没有重鉴权过程。鉴权通过后，加密算法的配置和协商与正常网络一致。

至此，本申请中的用户鉴权方法流程结束。

终端和弱化基站的鉴权和密钥协商过程完成之后，优选地，还可以进一步建立起各自的安全上下文，完成空口NAS、RRC信令的加密和完整性保护，完成空口用户面的加密，保证通信的安全性。

另外，在故障弱化状态下，还可能发生K_AUTH的更新。当K_AUTH更新时，OMC中的OTA密钥服务器需要通过PUSH方式通知终端，终端再通过OTA的方式获取更新后的K_AUTH；OMC也需要为基站及时配置更新后的K_AUTH，保证故障弱化发生时，终端和基站之间的双向认证能够顺利完成。

上述即为本申请中故障弱化状态下的用户鉴权方法，通过该方法，可以弥补故障弱化下终端和基站无法鉴权的问题，保证终端和基站通信的安全性；同时，在弱化基站内无需为每个用户配置签约数据，也无需从正常核心网的HSS获取该基站所服务的终端的签约数据，而是采用公共的鉴权密钥完成鉴权过程，简化了系统的复杂度，保证系统的安全性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。