Uim卡接入epc网络的认证方法和系统的制作方法

Uim卡接入epc网络的认证方法和系统的制作方法
【专利摘要】本发明公开了一种UIM卡接入EPC网络的认证方法及系统，涉及通信【技术领域】。在该认证方法中，认证设备收到终端消息后，向HSS发送认证信息请求；HSS根据用户是否为2G?UIM卡用户，确定是否与HLR/AC交互，生成认证向量，发送给认证设备；认证设备向终端发送认证请求消息；终端根据UIM卡内的特定标识位，判断该卡为2G?UIM卡还是3G?UIM卡，通过不同指令与UIM卡交互获取参数并生成RES参数后返回给认证设备；认证设备将RES与从HSS获取的XRES参数对比，判断用户是否通过认证并允许接入网络。通过该方法，可以实现2G、3G?UIM卡用户不换卡使用LTE/eHRPD网络服务。
【专利说明】UIM卡接入EPC网络的认证方法和系统
【技术领域】
[0001]本发明涉及通信【技术领域】,特别涉及一种UIM(User Identity Model,用户识别模块)卡接入EPC (Evolved Packet Core,演进的分组核心)网络的认证方法和系统。
【背景技术】
[0002]当CDMA (Code Division Multiple Access,码分多址)网络运营商网络向 LTE(Long Term Evolution,长期演进)和 eHRPD(Evolved High Rate Packet Data,演进的高速分组数据)网络演进时，原有2G (2nd Generation，第2代)或3G (3rdGeneration，第3代)的用户若要继续使用LTE/eHRPD网络的服务，需要到运营商处将原有的CDMA网络2G或3G的UM卡更换为USM卡。此问题一方面会给用户带来不便，另一方面也会减慢运营商将2G、3G用户向LTE用户迁移，实现CDMA网络向LTE的快速过渡的过程。
[0003]如图1所示，对于接入EPC核心网的LTE网络和CDMA eHRPD网络，用户的认证数据都存储在HSS (Home Subscriber Server,归属用户服务器)设备11中，对于通过LTE网络接入的用户，由MME (Mobility Management Entity,移动管理实体)12与HSSll配合完成网络与用户间的认证和密钥协商(AKA)过程，对于通过eHRPD等非3GPP (3rd GenerationPartnership Project,第三代合作伙伴计划)网络接入的用户，由3GPP AAA (Authentication, Authorization, Accounting,认证、授权、计费)服务器13与HSSll配合完成网络与用户间的AKA过程。
[0004]前期CDMA网络在从2G的IX网络向3G的EVDO (Evolution、Data Only,演进数据)网络演进时，通过终端和网络侧的适配，实现了 2G用户可以不换卡使用3G的EVDO网络。
[0005]图2所示为EVDO网络的架构示意图，对于3G UM卡用户，用户的HRPD接入认证数据同时存储在接入终端21的UIM卡及AN-AAA22中，由AN-AAA设备22采用基于MD5算法的 CHAP (Challenge Handshake Authentication Protocol,询问握手认证协议)协议完成用户接入认证，当用户为2G UIM卡用户时，卡内不存在HRPD接入认证数据，由AN-AAA22与 HLR (Home Location Register,归属位置寄存器)/AC (Access Controller,接入控制器)设备23交互，利用UM卡及HLR/AC23中的IX接入认证数据以及CAVE算法，采用基于CAVE算法的CHAP协议完成对用户的接入认证。
[0006]由于ΠΜ卡与LTE/eHRPD网络所用的认证算法及参数不同，目前来说，2G、3G用户的UM卡如何接入LTE/eHRPD网络进行认证，是一个需要解决的问题。

【发明内容】

[0007]本发明的发明人发现上述现有技术中存在问题，并因此针对所述问题中的至少一个问题提出了一种新的技术方案。
[0008]本发明的一个目的是提供一种用于ΠΜ卡接入EPC网络的认证的技术方案。
[0009]根据本发明的第一方面，提供了一种UM卡接入EPC网络的认证方法，包括:EPC核心网认证设备收到终端接入请求；认证设备向HSS发送认证信息请求，携带用户标识；HSS根据用户签约信息判断用户为2G UIM卡用户还是3G UIM卡用户；如果用户为3G UIM卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造EPC认证向量(Kasme、RAND、AUTN、XRES)；如果用户为2G UIM卡用户，HSS与HLR设备交互获取参数并构造EPC认证向量(Kasme、RAND、AUTN、XRES);HSS将生成的EPC认证向量发送给认证设备；认证设备向终端发送认证请求消息，携带RAND、AUTN参数；认证设备接收来自终端的RES参数，RES参数由终端响应于认证请求消息、根据ΠΜ卡内的预定标识位判断该卡为2G UIM卡还是3G UIM卡、为3G UIM卡用户或2G UIM卡用户生成密钥K、根据K、AUTN及终端存储的密码算法完成对网络的认证并生成；认证设备对比来自终端的RES参数和EPC认证向量中的XRES参数，如果两者一致则用户认证通过。
[0010]可选地，为3G UM卡用户或2G UM卡用户生成密钥K包括:如果该卡为3G UIM卡，终端通过Compute IP Authentication (计算IP认证)指令与UIM卡交互获取参数,生成密钥K ;如果该卡为2⑶頂卡，终端通过RUN CAVE指令和Generate Key (生成密钥)指令与UM卡交互获取参数，生成密钥K。
[0011]可选地,用户标识为IMSI。
[0012]可选地，终端为LTE终端，认证设备为MME设备。
[0013]可选地，终端为eHRPD终端，认证设备为3GPP AAA服务器设备。
[0014]根据本发明的另一方面，提供一种ΠΜ卡接入EPC网络的认证系统，包括:认证设备，用于接收终端接入请求；向HSS发送认证信息请求，携带用户标识；接收来自HSS的EPC认证向量；向终端发送认证请求消息，携带RAND、AUTN参数；接收来自终端的RES参数，RES参数由终端响应于认证请求消息、根据UIM卡内的预定标识位判断该卡为2G UIM卡还是3G UM卡、为3G UM卡用户或2G UM卡用户生成密钥K、根据K、AUTN及终端存储的密码算法完成对网络的认证并生成；对比来自终端的RES参数和EPC认证向量中的XRES参数，如果两者一致则用户认证通过；HSS，用于接收来自认证设备的认证信息请求，根据用户签约信息判断用户为2GUIM卡用户还是3G UIM卡用户；如果用户为3G UIM卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造EPC认证向量(Kasme、RAND、AUTN、XRES);如果用户为2GUIM卡用户，HSS与HLR设备交互获取参数并构造EPC认证向量(KASME、RAND、AUTN、XRES)；将生成的EPC认证向量发送给认证设备。
[0015]可选地，该系统还包括:HLR/AC设备，用于完成与HSS设备的交互，接收HSS设备的请求消息，并提供HSS设备所需的参数。
[0016]可选地，该系统还包括:终端，用于发送终端接入请求；在收到来自认证设备认证请求消息时，根据UIM卡内的预定标识位，判断该卡为2G UIM卡还是3G UIM卡；如果该卡为3G UM卡，终端通过Compute IP Authentication指令与UM卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，生成RES参数，并发送给认证设备，如果该卡为2G UIM卡，终端通过RUNCAVE指令和生成密钥指令与UM卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，生成RES参数，并发送给认证设备。
[0017]可选地，用户标识为MSI。
[0018]可选地，终端为LTE终端，认证设备为MME设备。[0019]可选地，终端为eHRPD终端，认证设备为3GPP AAA服务器设备。
[0020]本发明的一个优点在于，将用户认证数据导入HSS设备中，当用户利用2G、3G UIM卡通过LTE或eHRPD终端接入EPC核心网时，由HSS (3G UIM卡时)或HSS与HLR/AC设备交互(2G UM卡时)，完成网络与用户的AKA认证及密钥协商流程，能够实现2G、3G UM卡用户不换卡使用LTE/eHRPD网络服务。
[0021]通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。
【专利附图】

【附图说明】
[0022]构成说明书的一部分的附图描述了本发明的实施例，并且连同说明书一起用于解释本发明的原理。
[0023]参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中:
[0024]图1为现有技术中的LTE、eHRPD无线网接入EPC核心网的架构示意图。
[0025]图2为现有技术中的2G或3G UIM卡接入CDMA HRPD网络的架构示意图。
[0026]图3为本发明UM卡接入EPC网络的认证方法一个实施例的示意图。
[0027]图4A-4B为本发明UM卡接入EPC网络的认证方法另一个实施例的示意图。
[0028]图5为本发明UM卡接入EPC网络的认证方法再一个实施例的示意图。
[0029]图6为本发明UM卡接入EPC网络的认证方法又一个实施例的示意图。
[0030]图7为本发明UM卡接入EPC网络的认证方法又一个实施例的示意图。
[0031]图8为本发明UM卡接入EPC网络的认证方法又一个实施例的示意图。
[0032]图9为本发明UM卡接入EPC网络的认证系统一个实施例的示意图。
[0033]图10为本发明UM卡接入EPC网络的认证统另一实施例的示意图。
[0034]图11为本发明UM卡接入EPC网络的认证统又一实施例的示意图。
[0035]图12为本发明UM卡接入EPC网络的认证统再一实施例的示意图。
[0036]图13为LTE/EPC认证向量生成方法例子示意图。
[0037]图14为RES、CK、IK参数的生成方式例子示意图。
【具体实施方式】
[0038]现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
[0039]同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
[0040]以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。
[0041]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。
[0042]在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。[0043]应注意到:相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
[0044]图3为本发明UM卡接入EPC网络的认证方法一个实施例的示意图。
[0045]如图3所示，步骤301中，EPC核心网认证设备(MME或3GPPAAA服务器)收到来自终端或者其他设备转发的终端接入请求。
[0046]步骤302中，认证设备确认需要对用户进行认证，向HSS发送认证信息请求,消息中携带用户标识，如 IMSI (International Mobile Subscriber Identification Number,国际移动用户识别码)等参数。
[0047]步骤303中，HSS根据用户签约信息，判断用户为2G UM卡用户还是3G UIM卡用户，并做不同的处理。
[0048]步骤304中，如果用户为3G UIM卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造 EPC 认证向量(Kasme, RAND、AUTN、XRES )。
[0049]步骤305中，如果用户为2G UIM卡用户，HSS与HLR/AC设备交互获取参数并构造EPC 认证向量(Kasme, RAND、AUTN、XRES )。
[0050]步骤306中，HSS将生成的认证向量(KASME、RAND、AUTN、XRES)发送给认证设备。
[0051]步骤307中，认证设备向终端发送认证请求消息,携带RAND、AUTN等参数。
[0052]步骤308中，终端根据UM卡内的特定标识位，判断该卡为2⑶頂卡还是3G UIM卡，并做不同的处理。
[0053]步骤309中，如果该卡为3G UIM卡，终端通过Compute IP Authentication指令与UM卡交互获取参数，并生成RES参数。
[0054]步骤310中，如果该卡为2G UIM卡，终端通过RUN CAVE (运行CAVE)指令和Generate Key (生成密钥)指令与UM卡交互获取参数，并生成RES参数；
[0055]步骤311中，终端向认证设备发送RES参数。
[0056]步骤312中，认证设备对比收到的RES参数和XRES参数，如果两者一致则用户认证通过，否则拒绝用户接入网络。
[0057]基于本发明上述实施例提供的UM卡接入EPC网络的认证方法，通过EPC核心网认证设备收到来自终端或者其他设备转发的终端接入请求后，认证设备确认需要对用户进行认证，向HSS发送认证信息请求，携带用户的标识，如MSI等参数；HSS根据用户签约信息，判断用户为2G UM卡用户还是3G UM卡用户，并做不同的处理；如果用户为3G UIM卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造EPC认证向量(KASME、RAND、AUTN、XRES)；如果用户为2G UIM卡用户，HSS与HLR设备交互获取参数并构造EPC认证向量(Kasme、RAND、AUTN、XRES) ；HSS将生成的认证向量发送给认证设备；认证设备向终端发送认证请求消息，携带RAND、AUTN ;终端根据UM卡内的特定标识位，判断该卡为2G UIM卡还是3G UIM卡，并做不同的处理；如果该卡为3G UIM卡，终端通过Compute IP Authentication指令与UIM卡交互获取参数，并生成RES参数；如果该卡为2G UIM卡，终端通过RUN CAVE指令和Generate Key指令与UM卡交互获取参数，并生成RES参数；终端向认证设备发送RES参数；认证设备对比收到的RES参数和XRES参数，如果两者一致则用户认证通过，否则拒绝用户接入网络，从而实现ΠΜ卡接入EPC网络的认证。
[0058]在一个实施例中，HSS利用HRPD-AA-SS参数和MD5算法构造EPC认证向量(KASME、RAND、AUTN、XRES)的一个具体构造方法如下:
[0059]设置CHAP-1D为SQN参数的低8比特，或设置为一个固定参数，与终端侧保持一致即可；令CHAP-SS等于HSS中存储的用户HRPD-AA-SS (HRPD接入认证共享密钥)参数；令CHAP-Challenge (CHAP挑战)等于HSS随机生成的RAND参数；HSS利用下述公式生成CHAP-Response (CHAP 响应)参数:
[0060]CHAP-Response=MD5 (CHAP-1D | | CHAP-SS Il CHAP-ChalIenge)
[0061](I)
[0062]令K等于CHAP-Response ；HSS使用图13所示的3GPPLTE/EPC网络标准方法生成认证向量 AV= (Kasme、RAND、AUTN、XRES):
[0063]S=FC Il PO Il LO II Pl Il LI
[0064]其中:
[0065]FC=OxlO,
[0066]PO=SN id,
[0067]LO=SN id 的长度(1.e.0x000x03)，SN id 包含了 MCC 和 MNC ；
[0068]Pl=SQN AK;
[0069]Ll=Iength of SQNAK(1.e.0x000x06);
[0070]AUTN:=SQN AK 11 AMF 11 MAC;
[0071 ] Kasme=HMAC-SHA-256 (CK | | IK, S)
[0072]AV: =RAND || XRES || Kasme || AUTN。
[0073]根据本发明的一个实施例，终端与ΠΜ卡交互获取参数，并生成RES参数认证向量的具体方法如下:
[0074]终端设置CHAP-1D为SQN的低8比特，或设置为一个固定参数，与HSS设备保持一致即可，其中SQN从认证设备发送过来的AUTN参数中获取；
[0075]令CHAP-Challenge等于从认证设备中获取的RAND参数；
[0076]终端向UIM卡发送Compute IP Authentication指令，输入参数为CHAP-ChalIenge'CHAP-1D ；
[0077]UIM 卡利用 CHAP-Chal I enge、CHAP-1D 及 UM 卡存储的 HRPD-AA-SS 参数及 MD5 算法，计算得到CHAP-Response参数,并返回给终端；
[0078]终端令K 等于 CHAP-Response ；
[0079]终端利用3GPP LTE/EPC网络标准流程，完成对网络的认证，并生成RES参数，此流程与标准流程的区别在这里将所有在USIM卡内完成的处理都在手机中完成，简要说明如下:
[0080]首先终端完成对AUTN参数的验证，包括两部分，一部分是对AUTN的验证，一部分是对 AUTN 中 AMF 域的“separation bit”的验证。USIM(Universal Subscriber IdentityModule,全球用户识别卡)卡首先对网络进行认证，通过AUTN中的SQN十AK和AMF字段，利用上述方法计算得到的参数K和终端存储的f I函数，计算XMAC-A，并和AUTN中的MAC字段进行比较，如果相同，则对网络的认证通过；同时验证AMF域中的分离位(SeparationBit)是否为I。
[0081]完成对网络的认证后，终端利用图14所示方式计算响应参数RES，以及CK、IK。图中所示的fl、f2、f3、f4、f5为终端上存储的密码算法，在标准的LTE/EPC网络中，这些算法存储在USM卡中。
[0082]UsnH吏用图13所示方法，利用密钥推导函数，用CK、IK、SN id参数计算得到密钥
Kasmeo
[0083]图4A-4B为本发明UM卡接入EPC网络的认证方法另一个实施例的示意图。
[0084]如图4A-4B所示，步骤401中，EPC核心网认证设备EPC认证设备(MME或3GPP AAA服务器)收到来自终端或者其他设备转发的终端接入请求。
[0085]步骤402a_402b中，认证设备确认需要对用户进行认证,并向HSS发送认证信息请求，消息中携带用户标识，如IMSI等参数。
[0086]步骤403中，HSS根据用户签约信息，判断用户为2G UM卡用户还是3G UIM卡用户，如果是3G UIM卡用户，继续步骤404，如果是2G UIM卡用户，继续步骤405a。
[0087]步骤404中，如果用户为3G UIM卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造 EPC 认证向量(Kasme, RAND、AUTN、XRES )。
[0088]步骤405a中，如果用户为2G UIM卡用户，HSS与HLR/AC设备交互获取参数并构造EPC认证向量(KASME、RAND、AUTN、XRES), HSS与HLR/AC的交互流程及认证向量的具体构造方法如下:
[0089]405b,HSS设备向HLR/AC设备发送AUTHREQ认证请求消息，消息中携带MS1、ESN、COUNT参数，其中COUNT参数为0，SYSACCTYPE系统接入类型参数设置为Flash Request(闪动请求);
[0090]405c、HLR/AC设备向HSS设备发送authreq认证响应消息，消息中携带RANDl和AUTHUl 参数；
[0091]405d、HSS设备利用RANDUl参数和用户MIN2号码中的最低8比特串成RANDl参数，即RAND1=RANDU1 Il MIN2最低8比特，并令AUTHRl参数等于AUTHUl参数；
[0092]405e、HSS设备向HLR/AC设备发送AUTHREQ认证请求消息，消息中携带RAND1、AUTHRl、COUNT参数，其中COUNT参数为0，SYSACCTYPE系统接入类型参数设置为PageResponse (寻呼响应)；
[0093]405f、HLR/AC设备向HSS设备发送authreq认证响应消息,消息中携带信令消息加密密钥SMEKEY1参数和CDMA公共长码扰码CDMAPLCM1参数；
[0094]405g、HSS 设备利用 SMEKEY1、CDMAPLCM1 和 AUTHRl 参数串成 KEYSNl 参数，即 KEYSN1=SMEKEY11 CDMAPLCM11 AUTHRl ；
[0095]405h、HSS设备向HLR/AC设备发送AUTHREQ认证请求消息，消息中携带MS1、ESN、COUNT参数，其中COUNT参数为0，SYSACCTYPE系统接入类型参数设置为Flash Request(闪动请求);
[0096]4051、HLR/AC设备向HSS设备发送authreq认证响应消息，消息中携带RAND2和AUTHU2 参数；
[0097]405j\ HSS设备利用RANDU2参数和用户MIN2号码中的最低8比特串成RAND2参数，即RAND2=RANDU2 Il MIN2最低8比特，并令AUTHR2参数等于AUTHU2参数；
[0098]405k、HSS设备向HLR/AC设备发送AUTHREQ认证请求消息，消息中携带RAND2、AUTHR2、COUNT参数，其中COUNT参数为0，SYSACCTYPE系统接入类型参数设置为PageResponse (寻呼响应)；
[0099]4051、HLR/AC设备向HSS设备发送authreq认证响应消息,消息中携带信令消息加密密钥SMEKEY2参数和CDMA公共长码扰码CDMAPLCM2参数；
[0100]405m、HSS 设备利用 SMEKEY2、CDMAPLCM2 和 AUTHR2 参数串成 KEYSN2 参数，即 KEYSN2=SMEKEY2||CDMAPLCM2||AUTHR2 ；
[0101]405n、HSS设备利用KEYSNl和KEYSN2生成K，令K等于KEYSNl和KEYSN2哈希值得最低 128 比特，即 K=最低 128 比特(SHA-256 (KEYSN1 Il KEYSN2))；
[0102]405ο、HSS生成一个长80比特的随机数RANDHSS，并另RAND=RANDU11 | RANDU2 | | RANDHSS, HSS 利用 K 和 RAND，使用图 13 所示的 3GPP LTE/EPC 网络标准方法生成认证向量AV= (Kasme, RAND, AUTN, XRES)。
[0103]步骤406中，HSS将生成的认证向量发送给认证设备。
[0104]步骤407中，认证设备向终端发送认证请求消息,携带RAND、AUTN等参数。
[0105]步骤408a_408e中，终端根据UM卡内的特定标识位，判断该卡为3G UM卡，通过Compute IP Authentication指令与UM卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，并生成RES参数，具体如下:
[0106]408a、发现ΠΜ卡位3G UIM卡，设置CHAP-1D为SQN参数的低8比特，或设置为一个固定参数，与网络侧保持一致即可，令CHAP-Challenge等于从网络下发的RAND参数；
[0107]408b、终端向UIM卡发送Compute IP Authentication指令，输入参数为CHAP-Challenge 和 CHAP-1D ；
[0108]408c、UIM 卡利用 CHAP-Challenge、CHAP-1D 及 UM 卡存储的 HRPD-AA-SS 参数和MD5 算法计算 CHAP-Response ；
[0109]408d、UIM 卡向终端返回 CHAP-Response 参数；
[0110]408e、终端令K等于CHAP-Response，根据K、AUTN及终端存储的密码算法完成对网络的认证，并根据图14所示方法生成RES参数，详细说明参见上一实施例，此处不再赘述；
[0111]步骤409a-409m中，终端根据UM卡内的特定标识位，判断该卡为2G UM卡，终端通过RUN CAVE指令和Generate Key指令与UM卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，并生成RES参数，具体如下:
[0112]409a、终端发现ΠΜ卡为2G UM卡，从认证设备发送的RAND参数中提取出RANDUl和RANDU2参数；
[0113]409b、终端利用RANDUl参数和用户MIN2号码中的最低8比特串成RANDl参数，即RANDI =RANDUI Il MIN2 最低 8 比特；
[0114]409c、终端向UM卡发送RUN CAVE指令，携带输入参数RANDl ；
[0115]409d、UM卡向终端返回响应，携带AUTHRl参数；
[0116]409e、终端向UM卡发送Generate Key/PLCM指令，携带输入参数RANDl和AUTHRl ；
[0117]409f、HM卡向终端返回响应，携带SMEKEY1和CDMAPLCM1参数；
[0118]409g、终端利用RANDU2参数和用户MIN2号码中的最低8比特串成RAND2参数，即RAND2=RANDU2 Il MIN2 最低 8 比特；
[0119]409h、终端向UM卡发送RUN CAVE指令，携带输入参数RAND2 ；[0120]409丨』頂卡向终端返回响应，携带4爪册2参数；
[0121 ] 409 j、终端向UM卡发送Generate Key/PLCM指令，携带输入参数RAND2和AUTHR2 ；
[0122]409k、uiΜ卡向终端返回响应，携带SMEKEY2和CDMAPLCM2参数；
[0123]4091、终端令 KEYSN1=SMEKEY11 | CDMAPLCM11 | AUTHRl，令 KEYSN2=SMEKEY2 | | CDMAPLCM2 AUTHR2，令 K=最低 128 比特(SHA-256 (KEYSN1 KEYSN2))；
[0124]409m、终端根据K、AUTN及终端存储的密码算法完成对网络的认证，并根据图14所示方法生成RES参数,详细说明参见上一实施例,此处不再赘述；
[0125]步骤410中，终端向认证设备发送认证响应消息,携带RES参数。
[0126]步骤411中，认证设备对比收到的RES参数和认证向量中的XRES参数,如果两者一致则用户认证通过，否则拒绝用户接入网络。
[0127]图5为本发明UM卡接入EPC网络的认证方法另一个实施例的示意图。在该实施例中，终端为LTE终端，认证设备为MME设备，LTE终端及MME设备之间设有eNB设备，LTE终端与MME设备通过eNB设备进行信息交互。
[0128]如图5所示，步骤501，EPC核心网认证设备MME收到来自LTE终端或者其他设备转发的终端接入请求，其中携带用户标识。
[0129]步骤502，认 证设备MME确认需要对用户进行认证。
[0130]步骤503，认证设备MME向HSS发送认证信息请求，消息中携带用户标识，如MSI
等参数。
[0131]步骤504，HSS根据用户签约信息，判断用户为2G UM卡用户还是3G UM卡用户，如果是3G UM卡用户，继续步骤505，如果是2G UM卡用户，继续步骤506。
[0132]步骤505，如果用户为3G UIM卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造EPC 认证向量(Kasme, RAND、AUTN、XRES )。
[0133]步骤506a，如果用户为2G UM卡用户，HSS与HLR/AC设备交互获取密钥参数(步骤506b)，生成针对2G用户的EPC认证向量(Kasme、RAND、AUTN、XRES)(步骤506c)。
[0134]步骤507，HSS通过认证信息应答将生成的认证向量(Kasme、RAND、AUTN、XRES)发送给认证设备MME。
[0135]步骤508，认证设备MME向LTE终端发送认证请求消息，携带RAND、AUTN、KSIasme等参数。
[0136]步骤509a，终端根据UM卡内的特定标识位，判断该卡为3⑶頂卡，提取CHAP参数。
[0137]步骤509b,终端向UIM卡发送Compute IP Authentication指令，输入参数为CHAP-Challenge 和 CHAP-1D。
[0138]步骤509c，UIM 卡利用 CHAP-Challenge、CHAP-1D 及 UM 卡存储的 HRPD-AA-SS 参数和MD5算法计算CHAP-Response。
[0139]步骤509d, UIM卡通过Compute IP Authentication指令响应向终端返回CHAP-Response 参数。
[0140]步骤509e，终端令K等于CHAP-Response，根据K、AUTN及终端存储的密码算法完成对网络的认证，并生成RES参数。[0141]步骤510a，终端根据UM卡内的特定标识位，判断该卡为2⑶頂卡。
[0142]步骤510b，终端向UM卡发送RUN CAVE指令，携带输入参数RAND ；
[0143]步骤510c，UM卡向终端返回响应，携带AUTHR参数；
[0144]步骤510d，终端向UM卡发送Generate Key/PLCM指令，携带输入参数RAND和AUTHR ；
[0145]步骤510e，UM卡向终端返回响应，携带SMEKEY和CDMAPLCM参数；
[0146]步骤510f，终端生成RES参数，详细说明参见上一实施例，此处不再赘述。
[0147]步骤511，LTE终端向认证设备MME发送认证响应消息，携带RES参数。
[0148]步骤512,认证设备对比收到的RES参数和认证向量中的XRES参数,如果两者一致则用户认证通过，否则拒绝用户接入网络。
[0149]图6为本发明UM卡接入EPC网络的认证方法另一个实施例的示意图。在该实施例，终端为eHRH)终端，认证设备为3GPP AAA服务器，eHRH)终端及3GPP AAA服务器之间设有 HRPD BTS、eAN/ePCF、HSGff 和 3GPP2AAA Proxy 设备，eHRPD 终端与 3GPPAAA 服务器设备通过HRPD BTS、eAN/ePCF、HSGff和3GPP2AAA Proxy设备进行信息交互。
[0150]如图6所示，步骤601，EPC核心网认证设备3GPP AAA服务器收到来自eHRH)终端或者其他设备转发的终端接入请求，其中携带用户标识。
[0151]步骤602，认证设备3GPP AAA服务器确认需要对用户进行认证。
[0152]步骤603，认证设备3GPP AAA服务器向HSS发送认证信息请求，消息中携带用户标识，如MSI等参数。
[0153]步骤604，HSS根据用户签约信息，判断用户为2G UM卡用户还是3G UM卡用户，如果是3G UM卡用户，继续步骤605，如果是2G UM卡用户，继续步骤606。
[0154]步骤605，如果用户为3G UIM卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造EPC 认证向量(Kasme, RAND、AUTN、XRES )。
[0155]步骤606a，如果用户为2G UM卡用户，HSS与HLR/AC设备交互获取密钥参数(步骤606b)，生成针对2G用户的EPC认证向量(Kasme、RAND、AUTN、XRES)(步骤606c)。
[0156]步骤607，HSS通过认证信息应答将生成的认证向量(Kasme、RAND、AUTN、XRES)发送给认证设备3GPP AAA服务器。
[0157]步骤608，认证设备3GPP AAA服务器向eHRPD终端发送认证请求消息，携带RAND、AUTN、KSIasme 等参数。
[0158]步骤609a，eHRPD终端根据UM卡内的特定标识位，判断该卡为3G UIM卡，提取CHAP参数。
[0159]步骤609b, eHRPD 终端向 UIM 卡发送 Compute IP Authentication 指令,输入参数为 CHAP-Challenge 和 CHAP-1D。
[0160]步骤609c，UIM 卡利用 CHAP-Challenge、CHAP-1D 及 UM 卡存储的 HRPD-AA-SS 参数和MD5算法计算CHAP-Response。
[0161]步骤609d, UIM卡通过Compute IP Authentication指令响应向终端返回CHAP-Response 参数。
[0162]步骤609e，eHRPD终端令K等于CHAP-Response，根据K、AUTN及终端存储的密码算法完成对网络的认证，并生成RES参数。[0163]步骤610a，eHRPD终端根据UM卡内的特定标识位，判断该卡为2G UM卡。
[0164]步骤610b，终端向UM卡发送RUN CAVE指令，携带输入参数RAND ；
[0165]步骤610c，UM卡向终端返回响应，携带AUTHR参数；
[0166]步骤610d，终端向UM卡发送Generate Key/PLCM指令，携带输入参数RAND和AUTHR ；
[0167]步骤610e，UM卡向终端返回响应，携带SMEKEY和CDMAPLCM参数；
[0168]步骤610f，终端生成RES参数，详细说明参见上一实施例，此处不再赘述。
[0169]步骤611，eHRPD终端向认证设备3GPP AAA服务器发送认证响应消息，携带RES参数。
[0170]步骤612,认证设备对比收到的RES参数和认证向量中的XRES参数,如果两者一致则用户认证通过，否则拒绝用户接入网络。
[0171]图7为本发明UM卡接入EPC网络的认证方法另一个实施例的示意图。
[0172]如图7所示，步骤701，EPC核心网认证设备MME收到来自终端ME的NAS消息，其中携带用户标识頂SI。
[0173]步骤702，认证设备MME确认需要对用户进行认证。
[0174]步骤703，认证设备MME向HSS发送认证信息请求，消息中携带MS1、SN ID、Network Type (网络类型))等参数。
[0175]步骤704，HSS根据用户签约信息，判断用户为3G UM卡用户，生成针对3G UM卡用户的 EPC 认证向量(Kasme, RAND、AUTN、XRES )。
[0176]步骤705，HSS通过认证信息应答将生成的认证向量(Kasme、RAND、AUTN、XRES)发送给认证设备MME。
[0177]步骤706，认证设备MME向ME发送认证请求消息，携带RAND、AUTN、KSIasme等参数。
[0178]步骤707，终端根据UM卡内的特定标识位，判断该卡为3⑶頂卡，提取CHAP参数。
[0179]步骤708,终端向UIM卡发送Compute IP Authentication指令，输入参数为CHAP-Challenge 和 CHAP-1D。
[0180]步骤709，ΠΜ 卡利用 CHAP-Chal I enge、CHAP-1D 及 UM 卡存储的 HRPD-AA-SS 参数和 MD5 算法计算 CHAP-Response。
[0181]步骤710, UIM卡通过Compute IP Authentication指令响应向终端返回CHAP-Response 参数。
[0182]步骤711，终端令K等于CHAP-Response，根据K、AUTN及终端存储的密码算法完成对网络的认证，并生成RES参数。
[0183]步骤712,终端向认证设备MME发送认证响应消息,携带RES参数。
[0184]步骤713，认证设备MME对比收到的RES参数和认证向量中的XRES参数，如果两者一致则用户认证通过，否则拒绝用户接入网络。
[0185]图8为本发明UM卡接入EPC网络的认证方法另一个实施例的示意图。
[0186]如图8所示，步骤801，EPC核心网认证设备MME收到来自终端ME的NAS消息，其中携带用户标识頂SI。
[0187]步骤802，认证设备MME确认需要对用户进行认证。
[0188]步骤803，认证设备MME向HSS发送认证信息请求，消息中携带用户标识MS1、SNID、网络类型(Network Type)等参数。
[0189]步骤804，HSS根据用户签约信息，判断用户为2G UM卡用户。
[0190]步骤805，HSS与HLR/AC设备交互获取密钥参数。
[0191]步骤806，生成针对2G用户的EPC认证向量(KASME、RAND、AUTN、XRES)。
[0192]步骤807，HSS通过认证信息应答将生成的认证向量(Kasme、RAND、AUTN、XRES)发送给认证设备MME。
[0193]步骤808，认证设备MME向终端发送认证请求消息，携带RAND、AUTN、KSIasme等参数。
[0194]步骤809，终端根据UM卡内的特定标识位，判断该卡为2⑶頂卡。
[0195]步骤810，终端向UM卡发送RUN CAVE指令，携带输入参数RAND ；
[0196]步骤811，UM卡向终端返回RUN CAVE指令响应，携带AUTHR参数；
[0197]步骤812，终端向UM卡发送Generate Key/PLCM指令，携带输入参数RAND和AUTHR ；
[0198]步骤813，UIM卡向终端返回Generate Key/PLCM指令响应，携带SMEKEY和CDMAPLCM 参数；
[0199]步骤814，终端生成RES参数。
[0200]步骤815,终端向认证设备MME发送认证响应消息,携带RES参数。
[0201]步骤816,认证设备对比收到的RES参数和认证向量中的XRES参数,如果两者一致则用户认证通过，否则拒绝用户接入网络。
[0202]图9为本发明UIM卡接入EPC网络的认证系统一个实施例的示意图。如图9所示，UIM卡接入EPC网络的认证系统包括:
[0203]终端901，用于在收到认证设备发送的认证请求消息时，根据UM卡内的特定标识位，判断该卡为2G UM卡还是3G UM卡，并做不同的处理；如果该卡为3G UM卡，终端通过Compute IP Authentication指令与UM卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，生成RES参数，并发送给认证设备，如果该卡为2G UIM卡，终端通过RUN CAVE指令和Generate Key指令与ΠΜ卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，生成RES参数，并发送给认证设备；
[0204]认证设备902，用于在收到来自终端或者其他设备转发的终端接入请求，确认需要对用户进行认证时，向HSS发送认证信息请求，携带用户的标识，如IMSI等参数；用于在收到HSS发送的认证向量时，向终端发送认证请求消息，携带RAND、AUTN等参数；用于在收到终端发送的RES参数时,对比收到的RES参数和认证向量中的XRES参数,如果两者一致则用户认证通过，否则拒绝用户接入网络；
[0205]HSS设备903，用于在收到认证设备的认证信息请求消息时，根据用户签约信息，判断用户为2G UIM卡用户还是3G UIM卡用户，并做不同的处理，如果用户为3G UIM卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造EPC认证向量(KASME、RAND、AUTN、XRES),如果用户为2G UM卡用户，HSS与HLR设备交互获取参数并构造EPC认证向量(KASME、RAND、AUTN、XRES),并将生成的认证向量发送给认证设备；
[0206]HLR/AC设备904，用于完成与HSS设备的交互，接收HSS设备的请求消息，并提供HSS设备所需的参数。[0207]图10为本发明UM卡接入EPC网络的认证统另一实施例的示意图。如图10所示，UIM卡接入EPC网络的认证系统包括:
[0208]终端1001，用于在收到认证设备发送的认证请求消息时，根据ΠΜ卡内的特定标识位，判断该卡为3G UIM卡,终端通过Compute IP Authentication指令与UIM卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，生成RES参数，并发送给认证设备；
[0209]认证设备1002，用于在收到来自终端或者其他设备转发的终端接入请求，确认需要对用户进行认证时，向HSS发送认证信息请求，携带用户的标识，如IMSI等参数；用于在收到HSS发送的认证向量时，向终端发送认证请求消息，携带RAND、AUTN等参数；用于在收到终端发送的RES参数时,对比收到的RES参数和认证向量中的XRES参数,如果两者一致则用户认证通过，否则拒绝用户接入网络；
[0210]HSS设备1003，用于在收到认证设备的认证信息请求消息时，根据用户签约信息，判断用户为3G UM卡用户，利用HRPD-AA-SS参数和MD5算法构造EPC认证向量(KASME、RAND、AUTN、XRES),并将生成的认证向量发送给认证设备；
[0211]图11为本发明认证统另一实施例的示意图。如图10所示，UM卡接入EPC网络的认证系统包括:
[0212]LTE终端1101，用于在收到MME设备发送的认证请求消息时，根据UM卡内的特定标识位，判断该卡为2G UM卡还是3G UM卡，并做不同的处理；如果该卡为3G UM卡，终端通过Compute IP Authentication指令与UM卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，生成RES参数，并发送给MME设备，如果该卡为2G UM卡，终端通过RUN CAVE指令和Generate Key指令与ΠΜ卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，生成RES参数，并发送给MME设备;
[0213]MME设备1102，用于在收到来自终端或者其他设备转发的终端接入请求，确认需要对用户进行认证时，向HSS发送认证信息请求，携带用户的标识，如IMSI等参数；用于在收到HSS发送的认证向量时，向终端发送认证请求消息，携带RAND、AUTN等参数；用于在收到终端发送的RES参数时,对比收到的RES参数和认证向量中的XRES参数,如果两者一致则用户认证通过，否则拒绝用户接入网络；
[0214]HSS设备1103，用于在收到MME设备的认证信息请求消息时，根据用户签约信息，判断用户为2G UIM卡用户还是3G UIM卡用户，并做不同的处理，如果用户为3G UIM卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造EPC认证向量(KASME、RAND、AUTN、XRES),如果用户为2G UM卡用户，HSS与HLR设备交互获取参数并构造EPC认证向量(KASME、RAND、AUTN、XRES),并将生成的认证向量发送给MME设备；
[0215]HLR/AC设备1104，用于完成与HSS设备的交互，接收HSS设备的请求消息，并提供HSS设备所需的参数。
[0216]图12为本发明认证统另一实施例的示意图。
[0217]eHRH)终端1201，用于在收到网络转发的来自3GPP AAA服务器设备的认证请求消息时，根据ΠΜ卡内的特定标识位，判断该卡为2G UIM卡还是3G UIM卡，并做不同的处理；如果该卡为3⑶IM卡,终端通过Compute IP Authentication指令与UIM卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，生成RES参数，并通过网络转发给3GPP AAA服务器设备，如果该卡为2G UM卡，终端通过RUN CAVE指令和Generate Key指令与UM卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，生成RES参数，并通过网络转发给3GPP AAA服务器设备；
[0218]3GPP AAA服务器设备1202，用于在收到来自终端或者其他设备转发的终端接入请求，确认需要对用户进行认证时，向HSS发送认证信息请求,携带用户的标识,如IMSI等参数；用于在收到HSS发送的认证向量时，向终端发送认证请求消息，携带RAND、AUTN等参数；用于在收到终端发送的RES参数时，对比收到的RES参数和认证向量中的XRES参数，如果两者一致则用户认证通过，否则拒绝用户接入网络；
[0219]HSS设备1203，用于在收到3GPP AAA服务器设备的认证信息请求消息时，根据用户签约信息，判断用户为2G UIM卡用户还是3G UIM卡用户，并做不同的处理，如果用户为3G UIM卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造EPC认证向量(Kasme、RAND、AUTN、XRES)，如果用户为2G UM卡用户，HSS与HLR设备交互获取参数并构造EPC认证向量(Kasme,RAND、AUTN、XRES)，并将生成的认证向量发送给3GPP AAA服务器设备；
[0220]HLR/AC设备1204，用于完成与HSS设备的交互，接收HSS设备的请求消息，并提供HSS设备所需的参数。
[0221]上述方法和系统，将用户认证数据导入HSS设备中，当用户利用2G、3G UM卡通过LTE或eHRPD终端接入EPC核心网时，由HSS (3G UIM卡时)或HSS与HLR/AC设备交互(2GUM卡时)，完成网络与用户的AKA认证及密钥协商流程，能够实现2G、3G UM卡用户不换卡使用LTE/eHRPD网络服务。
[0222]至此，已经详细描述了根据本发明的UM卡接入EPC网络的认证方法和系统。为了避免遮蔽本发明的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。
[0223]可能以许多方式来实现本发明的方法和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
[0224]虽然已经通过示例对本发明的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本发明的范围。本领域的技术人员应该理解，可在不脱离本发明的范围和精神的情况下，对以上实施例进行修改。本发明的范围由所附权利要求来限定。
【权利要求】
1.一种用户识别模块ΠΜ卡接入演进的分组核心EPC网络的认证方法，其特征在于，包括: EPC核心网认证设备收到终端接入请求； 认证设备向归属用户服务器HSS发送认证信息请求，携带用户标识； HSS根据用户签约信息判断用户为2G UIM卡用户还是3G UIM卡用户； 如果用户为3G UIM卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造EPC认证向量(Kasme、RAND、AUTN、XRES)； 如果用户为2G UM卡用户，HSS与归属位置寄存器交互获取参数并构造EPC认证向量(Kasme、RAND、AUTN、XRES)； HSS将生成的EPC认证向量发送给认证设备； 认证设备向终端发送认证请求消息，携带RAND、AUTN参数； 认证设备接收来自终端的RES参数,RES参数由终端响应于认证请求消息、根据UIM卡内的预定标识位判断该卡为2G UM卡还是3G UM卡、为3G UIM卡用户或2G UM卡用户生成密钥K、根据密钥K、AUTN及终端存储的密码算法完成对网络的认证并生成； 认证设备对比 来自终端的RES参数和EPC认证向量中的XRES参数，如果两者一致则用户认证通过。
2.根据权利要求1所述的方法，其特征在于，为3GUIM卡用户或2G UIM卡用户生成密钥K包括: 如果该卡为3G UM卡，终端通过计算IP认证指令与ΠΜ卡交互获取参数，生成密钥K ;如果该卡为2G UM卡，终端通过RUN CAVE指令和生成密钥指令与UM卡交互获取参数，生成密钥K。
3.根据权利要求1所述的方法，其特征在于，用户标识为国际移动用户识别码。
4.根据权利要求1所述的方法，其特征在于，终端为长期演进终端，认证设备为移动管理实体设备。
5.根据权利要求1所述的方法，其特征在于，终端为演进的高速分组数据终端，认证设备为第三代合作伙伴计划认证、授权、计费服务器。
6.一种用户识别模块ΠΜ卡接入演进的分组核心EPC网络的认证系统，其特征在于，包括: 认证设备，用于接收终端接入请求；向归属用户服务器HSS发送认证信息请求，携带用户标识；接收来自HSS的EPC认证向量；向终端发送认证请求消息，携带RAND、AUTN参数；接收来自终端的RES参数,RES参数由终端响应于认证请求消息、根据UIM卡内的预定标识位判断该卡为2G UM卡还是3G UM卡、为3G UM卡用户或2G UM卡用户生成密钥K、根据密钥K、AUTN及终端存储的密码算法完成对网络的认证并生成；对比来自终端的RES参数和EPC认证向量中的XRES参数，如果两者一致则用户认证通过； HSS，用于接收来自认证设备的认证信息请求，根据用户签约信息判断用户为2G UM卡用户还是3G UIM卡用户；如果用户为3⑶M卡用户，HSS利用HRPD-AA-SS参数和MD5算法构造EPC认证向量(Kasme、RAND、AUTN、XRES);如果用户为2G UM卡用户，HSS与归属位置寄存器/接入控制器交互获取参数并构造EPC认证向量(KASME、RAND、AUTN、XRES);将生成的EPC认证向量发送给认证设备。
7.根据权利要求6所述的系统，其特征在于，还包括: 归属位置寄存器/接入控制器，用于完成与HSS设备的交互，接收HSS设备的请求消息，并提供HSS设备所需的参数。
8.根据权利要求6所述的系统，其特征在于，还包括: 终端，用于发送终端接入请求；在收到来自认证设备认证请求消息时，根据UIM卡内的预定标识位，判断该卡为2G UIM卡还是3⑶M卡；如果该卡为3G UIM卡，终端通过计算IP认证指令与UM卡交互获取参数，生成密钥K，根据密钥K、AUTN及终端存储的密码算法完成对网络的认证，生成RES参数，并发送给认证设备，如果该卡为2G UIM卡，终端通过RUNCAVE指令和生成密钥指令与UIM卡交互获取参数，生成密钥K，根据K、AUTN及终端存储的密码算法完成对网络的认证，生成RES参数，并发送给认证设备。
9.根据权利要求6所述的系统，其特征在于，用户标识为国际移动用户识别码。
10.根据权利要求6所述的系统，其特征在于，终端为长期演进终端，认证设备为移动管理实体设备。
11.根据权利要求6所述的系统，其特征在于，终端为演进的高速分组数据终端，认证设备为第三代合作伙伴计划 认证、授权、计费服务器。
【文档编号】H04W12/06GK103702328SQ201210367786
【公开日】2014年4月2日 申请日期:2012年9月28日 优先权日:2012年9月28日
【发明者】林奕琳, 曹磊, 赵晔, 王庆扬, 尹珂, 陈洁, 张琳峰, 朱红梅, 刘宁芳 申请人:中国电信股份有限公司