基于td-lte网络的鉴权和密钥衍生方法及系统的制作方法

文档序号:8343339阅读:902来源:国知局
基于td-lte网络的鉴权和密钥衍生方法及系统的制作方法
【技术领域】
[0001] 本发明设及通信技术领域,尤其设及基于TD-LTE网络的鉴权和密钥衍生方法及 系统。
【背景技术】
[0002] 集群通信的快速发展,尤其是更为先进的数字集群通信技术,能够为用户提供更 强大的系统功能,数字集群通信系统集多功能于一体,在技术上和系统容量上能够满足大 型共网的建设要求,系统可提供指挥调度、电话互联、数据传输、短消息收发、定位服务等 多种业务。建立共享网络,能有利于充分发挥数字集群该些强大的系统功能和优良的网络 性能,满足当今各专业用户对通信的需求。随着社会经济的发展,政府部口、企事业单位对 移动调度服务的需求越加广泛和迫切。因此对于集群系统业务的安全性也有着很关键的要 求。TD-LTE公网在我国发展迅速,已经在我国大规模建网。基于TD-LTE公网的情况下可W 建立专用的集群网络来发挥集群业务的优势,可W应用于该些单位部口,满足他们对于不 同业务的特殊要求。
[0003] TD-LTE公网集群系统无需为集群通信独立建网,而是与TD-LTE公众网络共享网 络资源。其中,TD-LTE无线接入网是TD-LTE公众网络的主体构成部分,占公众移动通信网 络投资的大部分,公网集群的接入网应与公众网络的接入网共享,包括站址、天线等资源, 可有效利用公众网络资源。
[0004] 集群的安全等级和安全要求一般要比公网的高,所W要使用高级的加密算法和更 加复杂的鉴权机制来保证集群的高安全等级的要求成为目前急需解决的技术问题。

【发明内容】

[0005] 为了解决现有技术中的问题,本发明提供了一种基于TD-LTE网络的鉴权和密钥 衍生方法。
[0006] 本发明提供了一种基于TD-LTE网络的鉴权和密钥衍生方法,包括LTE鉴权方法, 在LTE鉴权方法中包括如下步骤:
[0007] 鉴权请求发起步骤,用户向非接入层移动管理实体发起鉴权请求;
[000引索要鉴权向量步骤,移动管理实体向归属用户服务器索要鉴权向量;
[0009] 返回步骤,归属用户服务器返回一套或多套通用分组核屯、演进鉴权向量{随机 数,鉴权令牌,预期响应,根密钥}给移动管理实体,其中包含AMF分隔符,"1"代表LTE/ SAE, "0"代表非 LTE/SAE ;
[0010] 发送步骤,移动管理实体收到后保存预期用户响应、根密钥,并将随机数和鉴权令 牌发送给用户;
[0011] 用户端鉴权步骤,用户通过鉴权特征向量对网络进行鉴权,用户根据鉴权特征向 量&随机数计算出鉴权响应&CK/IK,进一步计算出根密钥,用户将鉴权响应发送到移动管 理实体,移动管理实体将鉴权响应和预期用户响应进行对比;
[0012] 推导步骤,用户与移动管理实体根据根密钥推导出非接入层与接入层所需的加密 密钥和完整性保护密钥。
[0013] 作为本发明的进一步改进,在鉴权和密钥衍生方法中,IK,IV是密钥衍生机制的初 始输入密钥,CK/IK分别表示加密和完整性密钥;Kasme是一个中间密钥,是终端和归属用户 服务器在AKA过程中根据K生成的;ASME是一个网络实体,根据接收到的归属用户服务器 发送的密钥,负责建立和维持归属用户服务器与终端的安全协商;K。^也是一个中间密钥, 是终端和移动管理实体根据根密钥生成的;K。^的值取决于eNodeB识别码,用于eNodeB为 RRC业务和UP业务生成密钥;最后,为了 NAS信令、AS信令和用户平面数据进行完整性保护 和机密性保护,还要生成如下5个密钥;IU,IW。。lUe。。,Kupe。。,IWht和K W。。。。。,是演进 型基站密钥,KwAsht是接入层完整性密钥,K MS。。。是接入层安全性密钥,K UP。。。是用户层安全密 钥,IWht是接入控制完整性密钥,Kkk。。。。是接入控制安全性密钥。
[0014] 作为本发明的进一步改进,
[0015] 用户在鉴权过程中AS层和AS层密钥将由初始密钥K进行KDF算法处理后得出根 酱钥Kasme ;
[0016] 根密钥Kasme在NAS层进行衍生出NAS层使用的安全性密钥K wASe。。和完整性保护密 钥Kmsim,其中安全性密钥和完整性密钥的生成是根据用户所支持的安全算法,通过选择不 同的安全算法组合生成不同的安全性保护密钥和完整性保护密钥;
[0017] 根密钥Kasme通过衍生得出中间密钥K。^,中间密钥Kewc主要用于AS层的安全性保 护密钥Kckc。。。和完整性保护密钥K cKCht的生成,其生成方式与NAS层相同,其中,通过改变安 全性算法中输入的标志位BEARER则得到用户层密钥Kup。。。。
[0018] 作为本发明的进一步改进,该鉴权和密钥衍生方法还包括密钥生成方法,该密钥 生成方法包括如下步骤:
[0019] CK和IK实现步骤;IK和IV是初始密钥和向量,代入邸F算法得到K,K为邸F算法 得到的初始密钥,根据用户的算法选择来选择使用的安全算法,K分别代入EEA模块和EIA 模块中得到安全性密钥CK和完整性IK ;
[0020] 基于用户安全等级的密钥K步骤;用户安全等级高时,将K带入到KDF函数中进行 衍生得到复杂度高的K,当用户安全等级低时,直接将初始的K,通过衍生次数得到不同复 杂度的K来表示用户安全等级;
[0021] Kasme实现步骤,将K代入到KDF算法中再截取后32位得到Kasme;
[0022] KwAsiM,IU。。。实现步骤:根据用户的算法选择来选择使用的安全算法,将K asme分别 代入到邸4算法和EIA算法中得到KwASht,lUe。。;
[0023] K。^实现步骤:将K asme代入到邸F算法中再截取后32位可W得到K cw;
[0024] Kup。。。,IWht和K cKee。。实现步骤:根据用户的算法选择来选择使用的安全算法,将 分别代入到EEA算法和EIA算法中得到K wee。。和K KKUM,Kup。。。是用户层使用的保密性密 钥,IWe。。是控制层使用的保密性密钥,区别是设置不同的标志位炬EARER = 0,1)。
[0025] 本发明还提供了一种基于TD-LTE网络的鉴权和密钥衍生系统,包括LTE鉴权单 元,在LTE鉴权单元中包括;
[0026] 鉴权请求发起模块,用户向非接入层移动管理实体发起鉴权请求;
[0027] 索要鉴权向量模块,移动管理实体向归属用户服务器索要鉴权向量;
[002引返回模块,归属用户服务器返回一套或多套通用分组核屯、演进鉴权向量{随机 数,鉴权令牌,预期响应,根密钥}给移动管理实体,其中包含AMF分隔符,"1"代表LTE/ SAE, "0"代表非 LTE/SAE ;
[0029] 发送模块,移动管理实体收到后保存预期用户响应、根密钥,并将随机数和鉴权令 牌发送给用户;
[0030] 用户端鉴权模块,用户通过鉴权特征向量对网络进行鉴权,用户根据鉴权特征向 量&随机数计算出鉴权响应&CK/IK,进一步计算出根密钥,用户将鉴权响应发送到移动管 理实体,移动管理实体将鉴权响应和预期用户响应进行对比;
[0031] 推导模块,用户与移动管理实体根据根密钥推导出非接入层与接入层所需的加密 密钥和完整性保护密钥。
[0032] 作为本发明的进一步改进,在鉴权和密钥衍生系统中,IK,IV是密钥衍生机制的初 始输入密钥,CK/IK分别表示加密和完整性密钥;Kasme是一个中间密钥,是终端和归属用户 服务器在AKA过程中根据K生成的;ASME是一个网络实体,根据接收到的归属用户服务器 发送的密钥,负责建立和维持归属用户服务器与终端的安全协商;K。^也是一个中间密钥, 是终端和移动管理实体根据根密钥生成的;K。^的值取决于eNodeB识别码,用于eNodeB为 RRC业务和UP业务生成密钥;最后,为了 NAS信令、AS信令和用户平面数据进行完整性保护 和机密性保护,还要生成如下5个密钥;IU,IW。。lUe。。,Kupe。。,IWht和K W。。。。。,是演进 型基站密钥,KwAsht是接入层完整性密钥,K MS。。。是接入层安全性密钥,K UP。。。是用户层安全密 钥,IWht是接入控制完整性密钥,Kkk。。。。是接入控制安全性密钥。
[0033] 作为本发明的进一步改进,
[0034] 用户在鉴权过程中AS层和AS层密钥将由初始密钥K进行KDF算法处理后得出根 酱钥Kasme ;
[0035] 根密钥Kasme在NAS层进行衍生出NAS层使用的安全性密钥K wASe。。和完整性保护密 钥Kmsim,其中安全性密钥和完整性密钥的生成是根据用户所支持的安全算法,通过选择不 同的安全算法组合生成不同的安全性保护密钥和完整性保护密钥;
[0036] 根密钥Kasme通过衍生得出中间密钥K。^,中间
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1