无线通信系统中在用户终端设备和网络之间进行认证的方法

专利名称：无线通信系统中在用户终端设备和网络之间进行认证的方法
技术领域：
本发明涉及无线通信系统，特别是涉及一种在无线通信系统中网络和用户终端设备进行相互认证的方法，用于加快呼叫建立的过程。
背景技术：
第三代移动通信系统的主要目的是希望能够为最终用户在全球上的任何地点和任何时间提供无缝的服务。其中，通用移动通信系统(以下简称UMTS)作为第三代移动通信系统的一种网络平台，在很多运营商的网络中都得到了应用。图1是UMTS系统的结构框架图。
用户设备101(以下称为UE)是用来接收作为被叫的业务或者呼叫，发送作为主叫的业务或呼叫的一个装置。基站102(以下称为Node B)是通过发送接收器件与用户设备利用无线信号进行通信的设备。UE与NodeB之间的空中接口涉及物理层和媒体接入层(以下称为MAC层)。物理层负责处理与无线信号收发相关的操作，MAC负责将不同的业务映射到物理层上去。控制无线网络控制器(以下称为CRNC)控制基站中各个小区的无线资源管理、分配及使用，负责将各个小区中的无线资源分配给用户设备UE。无线网络控制器RNC在对于UE的角色来说可以有服务无线网络控制器(以下称为SRNC)和漂移无线网络控制器(以下称为DRNC)的区别。SRNC是为用户设备提供无线资源控制连接(以下称为RRC)的实体，通过它用户设备才可以向网络发送控制信令和从网络接收控制信令。SRNC从CRNC处得到给该用户分配的网络资源，将该资源配置参数通过RRC信令发送给用户设备。这样用户设备才能够与网络进行通信。SRNC与用户设备之间的接口为Uu接口。服务GPRS支持节点105(以下称为SGSN)是负责管理用户设备的移动管理状态及会话管理状态的实体，用户设备的移动性管理和与会话相关的服务质量的协商也是发生在UE与SGSN之间的。SGSN与用户设备的SRNC之间的接口为Iu，负责为用户数据的传输建立用户平面的传输通道及传送信令的信令连接。网关GPRS支持节点106(以下称为GGSN)为用户设备与分组数据网络(以下称为PDN)的数据传输起一个网关的功能。GGSN为用户设备分配因特网协议(以下称为IP)地址，用户发出的数据和发给该用户的数据都以该地址为标识。GGSN与SGSN之间的接口称为Gn，该接口负责在SGSN与GGSN之间对业务进行服务质量的协商，及建立用户平面的GPRS用户平面隧道(以下称为GTP-U)进行数据传输。GGSN与PDN之间的接口为Gi，该接口的功能比较广泛，可以用来对用户进行IP地址分配、鉴权认证计费等功能。GGSN最主要的功能就是接收和分析收到的数据，然后将属于某一个用户设备的数据传到相应的GTP-U隧道上去。
UTRAN既可以同时和这两个域连接，也可以只和其中的一个域连接。UTRAN的目标是提供一组统一的无线承载，它可以用于突发的分组业务，也可以用于传统的电话业务。每个URAN能够在一定的区域内进行无线覆盖，提供业务。这个区域被定义为UTRAN登记区域(以下简称URA)。为了提供所述的无线覆盖，每个URAN包括一个无线网络控制器(以下简称RNC)和其控制下的至少一个基站(以下简称NodeB)。从逻辑上来说，每个NodeB又可能包含至少一个蜂窝(以下简称Cell)。RNC可以同其它RNC相连，支持由于用户终端设备(以下简称UE)移动所带来的切换和移动性管理。CN连接到其它类型的网络，从而为最终用户提供无缝服务。
无线资源处理是UTRAN的内部功能，CN不定义分配的无线资源类型。通常UE和RNC之间需要建立一个无线资源控制(以下简称RRC)连接，以便在UTRAN与UE间传送大量的用户数据流和信令流。RRC有两种模式RRC连接模式和RRC空闲模式。RRC的模式描述了识别UE身份的方式。在RRC空闲模式，通过和CN有关的身份识别UE。在RRC连接模式，通过在公共传输信道上分配给UE的无线网络临时身份(以下简称RNTI)来识别UE。
参见图2，对于UE的移动性功能，在UMTS系统中使用四个不同的区域概念。位置区域(以下简称LA)和路由区域(以下简称RA)用于核心网。URA和蜂窝Cell区域用于UTRAN。位置区域LA与CS业务有关，路由区域RA与PS业务有关。一个位置区域LA由一个CN节点处理。UE在一个位置区域LA中登记，也就意味着UE在处理此位置区域LA的CN节点中登记。一个路由区域RA由一个CN节点处理。UE在一个路由区域RA中登记，也就意味着UE在处理此路由区域RA的CN节点中登记。在UMTS系统中，MSC/VLR使用LA来寻呼UE，SGSN使用RA来寻呼UE。URA和Cell区域只在UTRAN中可见并用于RRC连接模式。
合并的MSC/VLR+SGSN对CS/PS业务，CN使用位置区域LA/路由区域RA。CN在开始寻呼和CS/PS业务有关的UE时，使用LA/RA。MSC/VLR和SGSN可以分配给UE一个和CS/RS业务有关的临时身份，TMSI/P-TMSI。这个临时身份在一个LA/RA内是唯一的。
当终端处于RRC连接模式时，使用UTRAN内部区域。在UTRAN开始寻呼时使用这些区域。UTRAN内部区域更新是无线网络过程，并且在UTRAN外应该看不见UTRAN内部区域结构。在RRC连接模式，主要的状态是蜂窝连接状态和URA连接状态，可以在蜂窝级或URA级知道UE位置。在UTRAN内使用无线网络临时标识符(以下简称RNTI)作为临时的UE标识，它在RRC连接建立时分配给UE。在此模式下只有一个RNC作为服务RNC，在UE和此SRNC间建立了RRC连接。
一个RA由属于连接到同一CN节点的RNCs的多个蜂窝组成，RA与RNCs间的映射由拥有此RA的SGSN处理。一个LA由属于连接到同一CN节点的RNCs的多个蜂窝组成，LA与RNCs间的映射由拥有此LA的MSC/VLR处理。一个RA/LA只由一个CN服务节点处理，即一个SGSN或者MSC/VLR。有些运营商可能会采用以下的组网方式RA与LA相等或一个RA是一个，且只能是一个LA的子集，也就是一个RA不会超过一个LA。LA与Cell间及RA与Cell间的映射在RNC内处理。
UE一开始在CN的各自业务域进行业务登记。当UE从一个URA(以下称之为旧的URA)移动到一个新的URA时，会引起新的URA所属的RNC执行URA更新过程，这样在需要时，才能够找到此UE。因此，网络运营商就必须通过一定的验证过程来确信，发起URA更新的UE就是这个有效的UE。这个验证的过程就涉及RNC对RNC和UE之间所传输的数据进行完整性检查。
参见图3，每个UE内部具有一个包含了用户的特定信息、用于用户识别的用户识别模块(以下简称SIM)的卡片和用于处理其他功能、特别是支持用户移动功能的移动设备(以下简称ME)。SIM卡片上记录有各种数据和可执行文件。其中，数据部分包含了唯一永久标识用户身份的国际移动用户身份(以下简称IMSI)、UE当前的位置信息、完整性密匙(以下简称IK)以及其它安全和管理信息。在每次呼叫终止、手机完全终止服务或者当终端从一个URA移动到另一个URA时，所述的位置信息将随之被更新。位置信息包括了临时用于标识用户的匿名标识，它在每个URA内部使用。根据使用RRC模式的不同、以及CS/PS业务域的不同，这个匿名标识可能是临时用户识别码(以下简称TMSI)、分组临时移动用户码(以下简称P-TMSI)或者无线网络临时标识符(以下简称RNTI)。
不直接使用IMSI而使用TMSI或者其它的临时标识来匿名标识某一个UE的目的是出于安全方面的考虑。因为用户身份是重要而又敏感的信息，在通信中必须保证这些信息的机密性。身份保密的目的是保护用户的隐私，避免永久用户标识IMSI信息的泄漏。
TMSI/P-TMSI具有本地特征，仅在归属区域MSC/VLR或用户注册的路由区域RA内有效。在此区域外，为避免混淆，还应该附加一个位置区域标识(以下简称LAI)或路由区域标识(以下简称RAI)。临时用户标识与永久用户标识之间的关系保存在用户注册的MSC/VLR或者SGSN中。
为了避免用户的可追踪性，通常不应该长期使用同一TMSI/P-TMSI来鉴别一个用户的身份。参见图4，以PS域为例，P-TMSI的更新是在安全模式建立以后由SGSN发起，再分配过程如下首先SGSN产生一个新的P-TMSIn，并将该P-TMSIn与IMSI的映射关系存储在它的数据库中，然后SGSN向用户发送P-TMSIn及一个新的路由区域标识RAIn；然后，用户收到之后，保存P-TMSIn并自动删除与先前P-TMSIo之间的关联后，向SGSN发送应答；最后，SGSN收到应答后，从数据库中删除与旧的P-TMSIo的关联，P-TMSIn用于随后的身份鉴别过程中。
在UMTS系统中，当用户无法通过P-TMSI来鉴别其身份时，可利用IMSI来鉴别自己的身份。此过程主要用于用户第一次注册到一个服务网络或SGSN无法从P-TMSI中得到IMSI。此时，由SGSN向用户发送IMSI请求，用户的应答是包含IMSI信息的纯文本。
同样出于安全方面的考虑，UE和URAN之间的通信是采用加密密匙进行了加密的。加密密匙通常是在UE家乡环境中(以下简称HE)的认证中心(以下简称AuC)或者归属位置寄存器(以下简称HLR)中所保存的加密密匙CK。在CS域和PS域通常有不同的CK。为了避免使本专利的描述过于冗长，在下面的说明中，仅以PS域的操作为例，而略去了类似的CS域的详细描述。
上述的CK通过认证和密匙协商(以下简称AKA)过程而得到。所描述的过程是基于某个只被SIM和HLR所共享的密匙K来进行的，UE和网络各自通过证明自己都能够获知这个密匙，从而达到相互认证的目的。除此之外，为了支持网络认证，SIM和用户的本地环境都还各自记录着序列号SQNMS和序列号SQNHE。对每个用户都有一个单独的序列号SQNHE，SQNMS表明了SIM所接受的最高的序列号。UE给相关的SGSN发送进程接入请求消息以使其获得该移动台的参数。网络方面发出认证请求，其中包括一个随机数，UE按一定的算法对此随机数进行处理后，发送认证响应给网络方面，由网络方面判断此用户的合法性。
参见图5，AKA的具体过程如下首先，UE向SGSN发送能够表明自己身份的标识。SGSN能够从这个标识中直接，或者通过所存储的P-TMSI和IMSI的映射关系间接得到唯一永久标识用户身份的IMSI以及其归属局HLR信息。然后，SGSN向该HLR发送“认证数据请求”，请求获得与该IMSI对应的认证数据。“认证数据请求”中包含用户的IMSI和所请求的域的类别(PS或者CS)。之后，在收到SGSN的“认证数据请求”后，HLR随即生成n个认证向量(以下简称AV)，或者从已经计算出的AV数据库中取出所需的数量，按照序号排序后把它们发送给VLR。图17描述了AV的生成方法。其中所述的AMF、f1、f2、f3、f4、f5算法超出了本发明的范围，因此省去了对它们的详细描述。每个AV包括以下信息随机数RAND，期望回应XRES，加密密匙CK，完整性密匙IK，和认证令牌AUTN。每一个每个AV都能用于SGSN和SIM之间的一次认证和密匙协商。
此后，当SGSN发起一次认证和密匙协商时，它会从排了序的AV数组种选择下一个AV，将其中的随机数RAND及认证令牌AUTN发送给UE，请求用户产生认证数据。各节点对AV的处理是按照先进/先出的原则。
接下来，SIM接收到认证请求后，首先计算XMAC，并与AUTN中的MAC进行比较，若不同，则向VLR发送拒绝认证消息，并放弃该过程。同时还要验证接受到的序列号SQN是否在有效的范围内，若不在，MS向VLR发送同步失败消息，并放弃该过程。上述两项均通过后，UE用f2计算出RES，用f3计算出CK，用f4算法计算出IK，并将RES发送给SGSN。
最后，SGSN接收到来自UE的RES后，将RES与AV中的XRES进行比较，相同则认证成功，否则认证失败。由于MS和HLR计算CK用的都是同一种算法f3，计算IK用的都是同一种算法f4，故而所得出的CK、IK必定相同，这样经过相互身份认证和密匙协商后，SIM和SGSN分别将该过程中的CK、IK传给具体执行加密和完整性保护功能的ME和RNC，为以后UE和RNC的保密通信使用。
UE和网络之间的相互身份认证包括用户认证和网络认证两方面用户认证使服务网络能够确认用户的身份，而网络认证使用户能够确认它正在使用的服务网络是经过其所注册的家乡环境HE授权从而可以给他提供服务的，其中者也包括了确认这个授权是最新的。为了达到上述目的，通常情况下在用户和网络之间每次建立连接时，都需要彼此进行身份认证。在UMTS系统中的身份认证过程，包括AKA和本地认证两种机制。其中，AKA过程就是上述的使用来自用户家乡环境HE的认证向量来进行的过程。当用户第一次注册到一个服务网络时，或者在已注册的服务网络中发送服务请求(SERVICE REQUEST)、位置更新请求(LOCATIONUPDATE REQUEST)、路由区域更新请求(ROUTING AREA UPDATEREQUEST)、附着网络请求(ATTAH REQUEST)、脱离网络请求(DETACHREQUEST)和重建连接请求(CONNECTION RE-ESTABLISHMENTREQUEST)等命令后，采用上一次AKA所产生的IK能进行的本地认证次数已经达到了最大限制值时，服务网络发起这种AKA过程。另一种的本地认证机制是用户和服务网络之间使用上一次AKA过程中所产生的完整性密匙IK。当用户在已注册的服务网络中发送服务请求(SERVICEREQUEST)、位置更新请求(LOCATION UPDATE REQUEST)、路由区域更新请求(ROUTING AREA UPDATE REQUEST)、附着网络请求(ATTAHREQUEST)、脱离网络请求(DETACH REQUEST)和重建连接请求(CONNECTION RE-ESTABLISHMENT REQUEST)等命令后，而采用上一次的AKA所产生的IK能进行的本地认证次数还没有达到了最大限制值时，服务网络发起这种本地认证过程。由此而知，AKA过程发生的间隔时间较长；而本地认证过程发生的间隔时间较短。
图6描述了UMTS系统中进行本地认证和连接建立的初始过程。
在步骤601，UE在建立RRC连接的过程中将发送保存在SIM卡上的参数START的值，以及“UE的安全能力”信息给RNC。如果UE具有这个能力的话，上述步骤中还可能传输GSM等级2和3能力。所述的UE的安全能力信息包括UE所能够支持的各种加密算法UEA和完整性保护算法UIA。START值和UE的安全能力信息被存储在服务RNC(以下简称SRNC)中。如果在RRC连接建立过程中传输了GSM等级2和3能力，RNC需要存储UE的GSM域加密能力(参见步骤607)。
在步骤602，UE并且通过初始的第三层消息给VLR/SGSN。所述的第三层消息包括“连接管理服务请求(CM_SERVICE_REQUEST)、位置更新请求(LOCATION UPDATE REQUEST)、路由区域更新请求(ROUTING AREA UPDATE REQUEST)、附着网络请求(ATTAHREQUEST)、寻呼响应(PAGING RESPONSE)等类型。它包括了用户身份识别信息和密钥组识别(以下简称KSI)信息。其中的KSI是指上一次在CS域或者PS域内认证时，由这个域所分配的对CK/IK组的标识。
在步骤603，如果需要，网络内部以及网络和UE之间一定的交互操作，来确认用户的身份标识IMSI。根据IK能够允许的最大限制值，可能会存在AKA过程来认证用户并产生新的密匙IK和CK。同时，网络会给这个IK/CK组分配一个KSI标识。AKA的过程在图4中有描述。
在步骤604，SGSN决定允许使用的各种UIA和UEA算法，并按照优先级排队。
在步骤605，SGSN通过发送RANAP消息“安全模式命令(Security_mode_command)”到RNC发起完整性保护和加密操作。“安全模式命令”消息携带的参数包括按照优先级排列的许可RNC使用的各种UIA列表和将要使用的IK。如果以后的通信要加密，那么上述消息中还包括包括按照优先级排列的各种UEA列表和将要使用的CK。如果之前进行了新的AKA过程，那么发给RNC的消息应该指示这一点。这个指示就意味着在使用新密匙时，START值将被复位成0。否则的话，RNC将使用步骤601中所得到的START值。
在步骤606，RNC收到“安全模式命令Security_mode_command”消息后比较UE支持的UIA/UEA和其许可使用的UIA/UEA，在UE支持的算法列表中，选用最高优先级的UIA/UEA算法，并生成随机值FRESH，开始启动下行链路完整性保护。如果所收到的“安全模式命令Security_mode_command”消息中的需求不能被满足，那么RNC向SGSN发送“安全模式拒绝SECURITY MODE REJECT”消息。
在步骤607，RNC产生“安全模式命令Security_mode_command”消息。所属的消息中包括了UE的安全能力、可选的GSM加密能力(如果RNC在步骤601中收到此信息)、所要使用的UIA和FRESH参数以及如果使用加密的话那么所需要UEA。其它信息(如开始加密标志)也可能包含在内。由于UE能同时拥有CS域和PS域的两套加密和完整性保护密匙组，因此网络必须要加一个CN域指示，来表明要使用的是CS域还是PS域的密匙组。在发送消息之前，RNC产生用于完整性保护的消息识别码MAC-I，并把它附着到消息中。
在步骤608，在接收到RNC发出的Security_mode_command(安全模式命令)消息后，UE首先确认此消息中的“UE的安全能力”同步骤601中的“UE的安全能力”一致。同样，如果在步骤601中包括了GSM等级能力，那么也要同样对其进行验证。UE根据在接收的Security_mode_command消息中的参数，使用指示的UIA、存储的START和接收的FRESH参数，计算XMAC-I，通过比较接收的MAC-I和生成的XMAC-I，验证完整性保护是否成功。
在步骤609，如果成功实施完整性保护，UE将生成MAC-I，向RNC发出包含MAC-I的Security_mode_complete。如果没有成功实施完整性保护，那么在UE就结束本过程。
在步骤610，一旦接收到响应消息“安全模式完成(Security_mode_complete)”，SRNC计算消息的XMAC-I。SRNC通过比较接收的MAC-I和生成的XMAC-I，验证完整性保护是否成功。
在步骤611，如果验证成功，RNC向SGSN发送包括被选择的算法的RANAP消息Security_mode_complete，从而结束本地认证过程。
发往UE的“安全模式命令Security_mode_command”消息开始了下行的完整性保护，也就是说，这条消息和以后的发往UE的下行消息都使用新的完整性保护配置进行保护。从UE发出的“安全模式完成Security_mode_complete”消息开始了上行的完整性保护，也就是说这条消息和以后的来自UE的上行消息都使用新的完整性保护配置进行保护。当需要使用加密时，RNC和UE之间在安全模式建立过程中交换加密开始时间。这个加密开始时间就设定了使用新的加密配置开始下行加密和上行加密的RLC序列号或者CFN序列号。
在UMTS系统中，当某个UE在随机接入信道上对另一个移动台或固定网用户发起呼叫时，PLMN系统网络将开始一系列的操作。首先，UE发起呼叫时，UE中的无线资源管理RRC单元通过随机接入进程启动信令链路的建立。该进程在随机接入信道上发送信道请求消息及安全能力消息通过NodeB给RNC。若RNC成功接收到，则这个请求被送到RNC中的无线资源管理RRC单元，由其分配一个专用信道，并在接入允许信道上发送立即指配消息。UE在启动主呼进程的同时还设置定时器，以一定的时间间隔重复呼叫。如果按预定次数重复呼叫仍收不到响应，则放弃这次呼叫。
当UE收到立即指配消息后转换到指定的专用信道上，从而和RNC之间建立起主信令链路。这之后一直到无线业务信道分配以前的一切信令都是在这个专用信道上进行的，业务信道接通后的通话过程中的信令则是在随路控制信道中进行。UE中的连接管理CM单元继续用发给数据链路层的业务请求消息来启动建立数据链路的进程。该业务请求实际上是被嵌入一个完整的步骤602中所述的第三层的“连接管理服务请求(CM_SERVICE_REQUEST)”消息，交RNC发给SGSN的。
然后，根据具体情况，经过UE和网络之间的相互身份认证之后，UE对接收到的消息进行完整性检验，其移动管理层MM同时监控完整性保护的启动。而SGSN收到来自RNC的“安全模式完成Security_mode_complete”消息，安全控制过程成功启动。如果需要加密，激活后的某个时间，UE和RNC就可以开始进行业务数据、信道标识、信令等的加密保护了。
同理，移动台被呼过程也与此类似，在随机接入过程以后的安全流程和上述的过程一样。
下面将描述现有技术问题需要改善的地方。
现有的UMTS系统结构存在可升级性差，呼叫建立时间长，系统结构复杂等诸多缺点。目前，负责制定UMTS标准的第三代移动通信伙伴计划(3GPP)标准化组织正在进行UMTS系统的长期演化(以下简称LTE)的相关标准化工作，其中长期演化的目标之一就是加快呼叫建立过程，减少呼叫建立时间。针对UMTS系统的长期演化的各种目标，各个公司都提出了希望的长期演化后的系统结构，其中一种提出的长期演化后的系统结构如图7和图8所示。
图7中演进的基站(以下称为ENB)集中了UMTS系统中基站和RNC的功能，主要负责无线信号的收发、与用户设备之间的信令连接、移动性管理等功能，而演进的GGSN(以下称为E-GGSN)则集中了UMTS系统中SGSN和GGSN的功能，主要负责移动性管理、与PDN网络的接口、业务质量的协商等。
图8中的基站ENB跟UMTS中的基站功能差别不大，都是负责无线信号的接收与发送，还拥有部分MAC层的功能；锚点anchor与UMTS中的RNC功能类似，负责用户数据的加密解密、控制ENB中无线资源的分配、与用户设备之间的信令连接和处于连接状态时用户移动性的管理。E-GGSN的功能则融合了UMTS系统中的SGSN和GGSN的功能，主要负责移动性管理、与PDN网络的接口、业务质量的协商等。
为简化起见，在下面的对本发明的描述中，将不局限于某一种体系结构。而将图7中的ENB及图8中的ENB和锚点anchor称为E-RAN，而将E-GGSN称为E-CN。
从连接建立的过程上来看，通常用户在键入对方号码、按下通话键后，总是希望能够尽快的建立起这个呼叫。而根据前面的介绍，UE和RRC之间建立起主信令链路之后、需要进行UE和网络之间的相互身份认证，之后才能继续这个呼叫；而其中的UE和网络之间的相互身份认证过程就会花费很多时间。因此，仅仅从系统组成上进行简化还不足以满足LTE提出的足够短的连接建立时间的要求。

发明内容
本发明为了降低呼叫建立时间，加速用户的业务接入过程，提出了一种新的耗时较短的UE和网络间的彼此认证机制的方法，从而加快呼叫建立的过程。
为了实现上述目的，根据本发明，提出了一种无线通信系统中在用户终端设备和网络之间进行认证的方法，所述方法包括以下步骤UE向网络传送认证请求消息，所述认证请求消息包括认证参考值；网络判断其自身所产生的认证值是否与认证参考值一致，如果一致，则表示网络侧认证成功并向UE发送认证响应消息，所述认证响应消息包含另一认证参考值；以及UE接收从网络传送来的所述认证响应消息，并验证所述认证响应消息中所包含的所述另一认证参考值是否与其自身所产生的认证值一致，如果一致，则用户终端设备侧认证成功。
优选地，所述认证请求消息包含UE所采用的加密算法、完整性保护算法和认证用参数信息。
优选地，所述网络自身所产生的认证值是根据所述加密算法、完整性保护算法、认证用参数信息、以及网络所产生的密钥信息来产生的。
优选地，所述UE自身所产生的认证值是根据UE自身所保存的所述加密算法、完整性保护算法、认证用参数信息、以及密钥信息来产生的。
优选地，所述认证用参数信息包括FRESH随机数和START值。
优选地，所述网络所产生的密钥信息包括加密密钥信息和完整性保护密钥信息。
优选地，所述加密密钥信息和完整性保护密钥信息是由网络中的核心网实体部分所产生的。
优选地，UE向网络传送的认证请求消息所包含的加密算法和完整性保护算法是从网络所提供的多个加密算法和完整性保护算法所选的、所述UE所能支持的加密算法和完整性保护算法。
优选地，所述随机数FRESH是由网络广播的。
优选地，所述随机数FRESH是由UE自身所固有的。
优选地，所述随机数FRESH是可更新的。


通过参考以下结合附图对所采用的优选实施例的详细描述，本发明的上述目的、优点和特征将变得显而易见，其中图1是示出了UMTS的网络结构的图；图2是用于解释UMTS系统中不同区域之间的关系的图；图3是示出了UE的组成结构图；图4是示出了临时标识分配过程的图；图5是示出了AKA过程的图；图6是示出了本地认证和连接建立过程的图；图7是示出了E-UTMS的一种体系结构的图；图8是示出了E-UTMS的另一种体系结构的图；图9是示出了根据本发明的网络和设备之间进行相互认证的过程的图；图10是用于解释MAC-I计算及验证的图；图11是示出了根据本发明第一实施例的网络和设备之间进行相互认证的过程的图；图12是示出了根据本发明第二实施例的网络和设备之间进行相互认证的过程的图；图13是示出了根据本发明实施例的消息转发方式的图；图14是示出了根据本发明实施例的相互认证过程中、UE的操作的流程图；图15是示出了根据本发明实施例的相互认证过程中、E-RAN的节点的操作的流程图；图16是示出了根据本发明实施例的相互认证过程中、E-CN的节点的操作的流程图；以及图17是用于解释鉴权矢量组生成的图。
具体实施例方式
首先，需要注意的是，本发明可以图7或图8的体系结构为基础，但并不仅局限于这两种体系结构。
下面将参考附图来详细描述根据本发明的优选实施例。
图9是示出了根据本发明的网络和设备之间进行相互认证的过程的图。
如以上参考图6所述，用户设备与网络进行通信时，首先要发送消息给网络，这条消息在UMTS系统中可以是业务请求，路由区域更新等。本发明并不限制第一条发送的消息内容。在第一条消息中，UE要根据已有的参数，按照图10中描述的方法计算MAC-I及验证MAC-I。计算MAC-I的参数分别是IK，COUNT-I，MESSAGE，DIRECTION和FRESH。
在特定情况下，比如用户设备在同一个地方进行周期性的路由区域更新，用户设备在与网络进行通信时，有可能两次过程会发送内容完全相同的消息。同时，也有可能某些非法的用户会窃听到一个正常进行通信的用户设备向网络所发送的消息内容，然后在合适的时候伪装成这个合法用户再次向网络发送包含这个内容的消息。这时候，网络就需要能够区分出所收到的消息是来自合法的用户还是伪装的用户。所述的FRESH参数就是为了达到这个目的。当用于计算MAC-I时的其余IK、COUNT-I、MESSAGE和DIRECTION等参数完全相同时，两次计算过程采用不同的FRESH参数也能够产生不同的MAC-I。这时候，只有真正合法的用户设备才知道IK，进而可以计算出新的MAC-I。
IK是在鉴权过程中产生的，具体可以参见图6的描述。因为用户设备有可能保存多个IK，那么在用户设备发给网络的第一条消息中，UE要告诉网络它用来加密和完整性保护的IK和CK是哪个。IK和CK是用一个序列号来表示的，这个序列号唯一标识一个IK和CK的组合。当E-CN收到这个序列号之后就知道用户设备用的是哪个IK和CK了。
COUNT-I是UE自己保存的一个参数。这个值是在用户设备开始与网络进行通信时，由一个START进行初始化的。START是一个UE自己保存的参数，这个参数在每次用户返回空闲状态的时候都要更新一下，更新的值是与当时的COUNT-I或者COUNT-C的最高20位一致，然后在这个值的基础上加2。
MESSAGE就是要进行完整性保护的消息本身。
DIRECTION标识该消息的方向，是由用户设备发给网络的的上行消息还是由网络发给用户设备的下行消息。
FRESH这个值的获得是本发明的内容之一，会在下面描述。
这个五个参数输入到算法f9当中，就会计算出MAC-I。
当接收端收到MAC-I之后，按照图10右边的算法和输入参数，算出XMAC-I。然后将收到的MAC-I与计算出的XMAC-I进行比较。如果两者相等，那么就可以认为发送端是合法的用户终端或者网络设备。
然后用户设备将给网络发送的第一条消息封装好，里面要包含MAC-I(步骤902)。当无线接入网收到这条消息后，会保存MAC-I，并将这第一条消息进行必要的处理。例如，在步骤903，将MAC-I从消息中抽取出来，将剩下的内容转发给E-CN。或者将用户设备发送的消息利用Iu+接口的消息进行封装，发送给E-CN。当E-CN收到这第一条消息之后，查看该用户设备是否有合法的标识如P-TMSI，所用的进行完整性保护的IK和加密的CK序列是哪个。然后E-CN给无线接入网络发送安全模式命令(步骤904)，该消息中包含要进行加密的密钥CK和进行完整性包含的IK，及加密算法，完整性包含算法。该消息还可能有其他功能如用户平面建立、服务质量协商等，但这些因为与本发明没有关系，在此不赘述。RAN收到进行完整性保护的IK后，将从用户设备收到的MAC-I1按照图10中的过程进行验证(步骤905)。如果验证通过，RAN再产生一个MAC-I2(步骤906)，这个值的产生方式与用户设备产生MAC-I的方法是一样的，输入5个参数到f9算法之后，就可以得到该结果。然后RAN将MAC-I包含在要发给用户设备的消息安全模式命令中(步骤907)，该消息还有包括加密算法，完整性包含算法等参数。如果在步骤904，消息还进行服务质量协商，用户平面建立等功能，那么在步骤907，也应该有类似用户无线承载建立的功能。当用户设备收到安全模式命令后，将其他中的MAC-I取出，然后利用图10中的算法，查看这个MAC-I是否没有经过任何修改(步骤908)。若是，则表明这个RAN是可以相信的，是合法的网络设备。
下面将描述根据本发明的第一实施例和第二实施例。
在本发明中，FRESH参数的获得可以通过不同的实施例体现出来。
图11是示出了根据本发明第一实施例的网络和设备之间进行相互认证的过程的图。
E-CN(也就是核心网实体)确定本网络要用的加密算法和完整性保护算法，这可以是一个或多个。如果是多个，那么根据给出的顺序的不同，代表优先级的不同。例如E-CN想让用户设备在有能力的前提下优先使用算法1，次之选择算法2，再次之选择算法3，那么在步骤1101的消息安全模式广播中，会包含算法1，算法2和算法3。当E-RAN收到该广播消息后，就在其所有小区中广播这些算法及其优先级(步骤1102)。在安全模式广播消息中，不但包含网络让用户设备选择的加密算法和完整性包含算法，还包括网络想让用户设备使用的FRESH值，该参数的使用在图10中的描述中有很好的说明。当用户设备收到这些参数之后，就保存他们，以便在跟网络进行通信时使用。
当用户设备想与网络进行通信时，它发出第一条消息给E-RAN(步骤1103)，该消息中包含它所要使用的加密密钥和完整性保护密钥的序列号，通过图10的步骤所计算出的MAC-I，以及它选择的加密算法和完整性保护算法，用户标识等参数。当E-RAN收到从用户设备处接收到的第一条消息后，就保存MAC-I，加密算法和完整性保护算法，将消息的其他部分或者消息的全部转发给E-CN(步骤1104)。这个过程在图13的时候会详细讲述。当E-CN收到从用户设备发送的第一条消息后，查看用户选择的加密算法和完整性保护算法是否合法。通过查看KSI，知道用户设备进行加密或者完整性保护所使用的密钥分别是什么。该消息中一般还包括用户的标识如P-TMSI等参数。当E-CN知道该用户设备是合法用户后，向E-RAN发送安全模式命令消息(步骤1105)，该消息中包括网络想让用户设备和E-RAN进行加密和完整性保护使用的算法。该算法可以和用户设备自己在步骤1103中选择的是一样的。如果该参数不包含在该步骤1105所传送的消息中，那么E-RAN和用户设备都默认用户设备所选择的加密算法和完整性保护算法可以使用，否则就使用网络所重新配置的加密算法和完整性保护算法。步骤1105所传送的消息中还包含加密密钥CK和完整性包含密钥IK，这两个参数传给E-RAN，从而使得E-RAN对下行信令和数据可以进行完整性保护和加密操作。
当E-RAN收到安全模式命令后(步骤1105)，通过网络传送的IK，及用户设备在步骤1103所传送的消息中包括的完整性保护算法，对在步骤1103中收到的MAC-I按照图10中的操作方法，验证该MAC-I是否正确。如果正确，说明该用户设备是一个合法的UE，否则就是不合法的。如果该用户设备合法，E-RAN就向用户设备发送安全模式命令消息(步骤1106)，该消息中包含网络想要重新配置的加密算法和完整性保护算法，如果在步骤1105，没有包含加密算法和完整性包含算法，那么在步骤1106所传送的消息中也不包含加密算法和完整性包含算法。同时E-RAN计算一个MAC-I，将其包含在安全模式命令中，发送给UE。MAC-I用的完整性保护算法应该是步骤1105中所涉及的算法，否则就是用户设备在步骤1103中告知E-RAN的。
用户设备收到安全模式命令后，如果该消息中没有保护加密算法和完整性保护算法，就利用用户自己选择的完整性保护算法根据图10的方法验证MAC-I是否正确。否则就按照该消息中包含的完整性保护算法进行验证。如果验证正确，那么就认为该网络是合法的，继续下面的操作。
本实施例的一个变形，网络可以不广播加密算法和完整性保护算法，而是由用户设备才自己的安全能力中选择一个，同样的在步骤1103里告知E-RAN。
图12是本发明的第二个实施例。
E-GGSN(也就是核心网实体)确定本网络要用的加密算法和完整性保护算法，这可以是一个或多个。如果是多个，那么根据给出的顺序的不同，代表优先级的不同。例如E-GGSN想让用户设备在有能力的前提下优先使用算法1，次之选择算法2，再次之选择算法3，那么在消息安全模式广播中(步骤1201)，会包含算法1，算法2和算法3。当E-RAN收到该消息后，就在其所有小区中广播这些算法及其优先级(步骤1202)。在步骤1202所传送的安全模式广播消息中，包含网络让用户设备选择的加密算法和完整性包含算法。当用户设备收到这些参数之后，就保存他们，以便在跟网络进行通信时使用。
当用户设备想与网络进行通信时，它发出第一条消息给E-RAN(步骤1203)，该消息中包含它所要使用的加密密钥和完整性保护密钥的序列号，通过图10的步骤所计算出的MAC-I，以及它选择的加密算法和完整性保护算法，用户标识，用来产生MAC-I的FRESH值等参数。其中计算MAC-I时，所用到的FRESH值，可以是一个随机数，也可以是START加上一个随机数或者加一个固定的值。
当E-RAN收到从用户设备处接收到的第一条消息后(步骤1203)，就保存MAC-I，FRESH，加密算法和完整性保护算法，将消息的其他部分或者消息的全部转发给E-GGSN(步骤1203)。这个过程在图13的时候会详细讲述。当E-CN收到从用户设备发送的第一条消息后(步骤1204)，查看用户选择的加密算法和完整性保护算法是否合法。通过查看KSI，知道用户设备进行加密或者完整性保护所使用的密钥分别是什么。在步骤1204所传送的该消息中一般还包括用户的标识如P-TMSI等参数。当E-CN知道该用户设备是合法用户后，向E-RAN发送安全模式命令消息(步骤1205)，该消息中包括网络想让用户设备和E-RAN进行加密和完整性保护使用的算法。该算法可以和用户设备自己在步骤1203中选择的是一样的。如果该参数不包含在该步骤1205所传送的消息中，那么E-RAN和用户设备都默认用户设备所选择的加密算法和完整性保护算法可以使用，否则就使用网络所重新配置的加密算法和完整性保护算法。在步骤1205中所传送的消息中还包含加密密钥CK和完整性包含密钥IK，这两个参数传给E-RAN，从而使得E-RAN对下行信令和数据可以进行完整性保护和加密操作。
当E-RAN收到安全模式命令后(步骤1205)，通过网络传送的IK，及用户设备在步骤1203中所涉及的完整性保护算法和FRESH值，就对在步骤1203中收到的MAC-I按照图10中的操作方法，验证该MAC-I是否正确。如果正确，说明该用户设备是一个合法的UE，否则就是不合法的。如果该用户设备合法，E-RAN就向用户设备发送安全模式命令消息(步骤1206)，该消息中包含网络想要重新配置的加密算法和完整性保护算法，如果在步骤1205中，没有包含加密算法和完整性包含算法，那么在步骤1206中也不包含加密算法和完整性包含算法。同时E-RAN计算一个MAC-I，将其包含在安全模式命令中，发送给UE。MAC-I用的完整性保护算法应该是步骤1205中包含的算法，否则就是用户设备在步骤1203中告知E-RAN的。
用户设备收到安全模式命令后，如果该消息中没有保护加密算法和完整性保护算法，就利用用户自己选择的完整性保护算法根据图10的方法验证MAC-I是否正确。否则就按照该消息中包含的完整性保护算法进行验证。如果验证正确，那么就认为该网络是合法的，继续下面的操作。
该实施例的一个变通就是在步骤1206所传送的安全模式命令消息中可以携带一个新的FRESH值，并且在步骤1206所传送的这条消息是通过这个新的FRESH进行完整性保护的。然后用户设备收到在步骤1206所传送的安全模式命令后，用这条消息中包含的FRESH对其进行完整性检验。如果通过，则表示该网络是可信的。
本实施例的一个变形，网络可以不广播加密算法和完整性保护算法，而是由用户设备才自己的安全能力中选择一个，同样的在步骤1203里告知E-RAN。
实际上用户设备和网络可以事先约定计算MAC-I时不使用FRESH参数。这时候，为了保证对相同内容的两次计算所产生的MAC-I不一样，可以使两次计算时所使用的COUN-I不一样。由于COUNT-I是由START进行初始化的，这也就是说使两次计算时所使用的START不一样。因此，作为本实施例的一个变形，网络可以在上一次通信过程中，给用户网络设备指定一个供下次使用的新的START值。这样，在下次通信过程中，用户网络设备使用这个指定的START值进行MAC-I计算。网络同样使用所保存的START值进行MAC-I计算。这时候，所述的START值可以在下次通信过程中由用户通信设备传给网络，或者由网络传给用户通信设备，也可以不进行传输。如果进行传输，接收方可以验证本次通信过程所使用的START值是否自己所保存的START值一样。
同样，作为本实施例的另一个变形，用户设备在每次通信过程中使用一个新的START值。这样，用户网络设备和网络使用这个START值进行MAC-I计算。这时候，所述的START值需要由用户通信设备传给网络。网络可以保存上次所使用的START值，从而验证本次通信过程所使用的START值是否和自己所保存的START值一样。
图13描述了用户设备如何与网络进行信令交互的方法。
用户设备与E-RAN之间有一个专门的接口Uu+及针对该接口的相应消息名称。其中有的消息应该负责传递从用户设备到E-CN的信令，该信令可以称为L3信令。这与现在UMTS中的初始直接传输INITIAL DIRECTTRANSFER及上行直接传输UPLINK DIRECT TRANSFER及下行直接传输DOWNLINK DIRECT TRANSFER可以是类似的。L3的信令就包含在这些特殊的Uu+接口消息中。
当E-RAN收到这类消息之后，就将其中的L3信令转发给E-CN或者转发给UE。E-RAN与E-CN之间的接口Iu+负责传递用户设备与E-CN之间信令的消息可以与UMTS中的初始UE消息INITIAL UE MESSAGE和直接传输DIRECT TRANSFER类似。L3的信令就包含在这些特殊的Iu+接口消息中。
图13的1301和1302就是通过这种机制传输用户设备与E-CN之间的信令的。UE发送1301UE与E-RAN之间的信令给E-RAN，该消息中除了包含L3信令之外，还包含UE让E-RAN处理的信息单元。同样地，E-RAN在收到该消息后，将L3信令转发给E-CN，E-RAN给E-GGSN发送1302E-RAN与E-CN之间的信令转发L3信令，该消息中不仅包含L3信令，还包含该E-RAN让E-GGSN进行处理的信息单元。
用户设备与E-CN进行信令交互还可以通过1311和1312这两步来进行。1311和1312这两个消息的名称可以一样，也可以不一样，但是这两个消息在UE与E-RAN之间的接口和E-RAN与E-CN之间的接口间要能一一对应起来。E-RAN可以将1311消息中的某些信息单元抽取出来，不传递给E-CN。也可以在此消息的基础上添加某些新的信息单元，然后通过1302发送给E-CN。
图14描述的是本发明的UE的动作行为。
用户设备收到广播消息中的安全模式广播消息(步骤1401)，消息中保护网络让用户设备选择的加密算法和完整性保护算法及其优先级。用户设备保存这些信息，以便与网络进行交互的时候使用。如果广播消息中包含FRESH，那么用户设备也要保存该参数(步骤1402)。当用户设备要向网络发送第一条消息时，根据图10中描述的过程，计算要发送消息的MAC-I，将其包含在第一条消息中，发送给E-RAN(步骤1403)。该消息还要包括用户设备要使用的加密算法和完整性保护算法。UE收到网络发送的安全模式命令，取出其中的MAC-I，按照图10描述的方法进行验证(步骤1404)。如果验证成功，就继续后续操作。否则UE认为网络不合法，退出与网络的通信过程。
图15描述的是本发明的E-RAN的动作行为。
E-RAN收到E-CN发送的要在其小区广播安全模式的消息“安全模式广播”(步骤1501)，该消息中包括要广播的加密算法和完整性保护算法及各自的优先级。然后E-RAN在其控制的小区的系统信息广播中将加密算法和完整性保护算法及各自的优先级以小区广播的方式告知用户设备。如果对应于本发明的第一实施例(图11所述)，E-RAN还需要广播FRESH参数。当E-RAN收到用户设备的第一条消息后(步骤1502)，使用该消息中包含的完整性保护算法，及其他相关参数验证其中的MAC-I是否正确(步骤1503)。E-RAN要保存用户设备所选择的加密算法和完整性保护算法。如果在步骤1501中，E-RAN有广播FRESH值，那么在步骤1503进行检验MAC-I的时候使用的FRESH就是广播消息中的，否则该消息应该包含用户进行完整性保护所使用的FRESH。验证MAC-I的方法按照图10的描述进行(步骤1504)。如果验证通过，那么在步骤1505，E-RAN向E-CN转发从用户设备处收到的第一条消息。否则，就E-RAN就认为用户设备为非法用户，结束该过程。在步骤1506，当E-RAN收到从E-CN发送的安全模式命令后，如果其中保护加密算法或完整性保护算法，那么就覆盖用户设备所选择的算法，否则就使用用户设备所选择的算法。E-RAN向用户设备发送安全模式命令消息，该消息中携带E-RAN计算出的MAC-I，及E-CN更改的加密算法和完整性保护算法。
图16描述了本发明的E-CN的动作行为。
E-CN向E-RAN发送安全模式广播消息，让E-RAN在其控制的小区中广播网络设定的加密算法和完整性保护算法及各自的优先级(步骤1601)。当E-CN收到从E-RAN转发的用户设备的第一条消息后(步骤1602)，该消息保护UE选择的加密算法和完整性保护算法。E-CN查看该消息中用户设备的标识如P-TMSI是否标识一个合法用户(步骤1603)。如果是，那么就向E-RAN发送安全模式命令消息(步骤1604)，该消息中包括用户设备的标识，及网络想让用户设备使用的加密算法和完整保护算法。如果E-CN不想改变用户选择的加密算法和完整性保护算法，那么该消息就不携带任何算法信息，最后，在步骤1605，操作结束。
通过如上所述的本发明，能够使得E-UMTS的呼叫建立过程短，速度快，达到优化UMTS的目的。
尽管以上已经结合本发明的优选实施例示出了本发明，但是本领域的技术人员将会理解，在不脱离本发明的精神和范围的情况下，可以对本发明进行各种修改、替换和改变。因此，本发明不应由上述实施例来限定，而应由所附权利要求及其等价物来限定。
权利要求
1.一种无线通信系统中在用户终端设备和网络之间进行认证的方法，所述方法包括以下步骤网络终端设备向网络传送认证请求消息，所述认证请求消息包括认证参考值；网络判断其自身所产生的认证值是否与认证参考值一致，如果一致，则表示网络侧认证成功并向网络终端设备发送认证响应消息，所述认证响应消息包含另一认证参考值；以及网络终端设备接收从网络传送来的所述认证响应消息，并验证所述认证响应消息中所包含的所述另一认证参考值是否与其自身所产生的认证值一致，如果一致，则用户终端设备侧认证成功。
2.根据权利要求1所述的方法，其特征在于所述认证请求消息包含网络终端设备所采用的加密算法、完整性保护算法和认证用参数信息。
3.根据权利要求1所述的方法，其特征在于所述网络自身所产生的认证值是根据所述加密算法、完整性保护算法、认证用参数信息、以及网络所产生的密钥信息来产生的。
4.根据权利要求1所述的方法，其特征在于所述网络终端设备自身所产生的认证值是根据网络终端设备自身所保存的所述加密算法、完整性保护算法、认证用参数信息、以及密钥信息来产生的。
5.根据权利要求2、3和4之一所述的方法，其特征在于所述认证用参数信息包括FRESH随机数或者START值。
6.根据权利要求3或4所述的方法，其特征在于所述网络所产生的密钥信息包括加密密钥信息和完整性保护密钥信息。
7.根据权利要求6所述的方法，其特征在于所述加密密钥信息和完整性保护密钥信息是由网络中的核心网实体部分所产生的。
8.根据权利要求2所述的方法，其特征在于网络终端设备向网络传送的认证请求消息所包含的加密算法和完整性保护算法是从网络所提供的多个加密算法和完整性保护算法所选的、所述网络终端设备所能支持的加密算法和完整性保护算法。
9.根据权利要求5所述的方法，其特征在于所述随机数FRESH是由网络广播的。
10.根据权利要求5所述的方法，其特征在于所述随机数FRESH是由网络终端设备自身所产生的。
11.根据权利要求5所述的方法，其特征在于所述随机数FRESH是可更新的。
12.根据权利要求1所述的方法，其特征在于所述认证响应消息包含网络侧重新指配给网络终端设备的加密算法、完整性保护算法和认证用参数信息。
13.根据权利要求5所述的方法，其特征在于所述START值是网络指定的。
14.根据权利要求5所述的方法，其特征在于所述START值是网络终端设备自身所产生的。
15.根据权利要求5所述的方法，其特征在于网络或者用户设备接收到START值后，验证这个START值是否与其所保存的START值一样。
16.根据权利要求5所述的方法，其特征在于，用户设备在每次通信过程中使用一个新的START值。
全文摘要
根据本发明，提出了一种无线通信系统中在用户终端设备和网络之间进行认证的方法，所述方法包括以下步骤UE向网络传送认证请求消息，所述认证请求消息包括认证参考值；网络判断其自身所产生的认证值是否与认证参考值一致，如果一致，则表示网络侧认证成功并向UE发送认证响应消息，所述认证响应消息包含另一认证参考值；以及UE接收从网络传送来的所述认证响应消息，并验证所述认证响应消息中所包含的所述另一认证参考值是否与其自身所产生的认证值一致，如果一致，则用户终端设备侧认证成功。
文档编号H04W12/06GK1941990SQ200510048309
公开日2007年4月4日 申请日期2005年12月28日 优先权日2005年9月30日
发明者朱彦民, 格特-扬·范利斯豪特, 崔成豪, 李小强 申请人:北京三星通信技术研究有限公司, 三星电子株式会社