移动通信系统的安全认证的方法和网络设备与流程

文档序号:17770855发布日期:2019-05-28 19:24阅读:280来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
移动通信系统的安全认证的方法和网络设备与流程

本发明实施例涉及通信领域,尤其涉及移动通信系统的安全认证的方法和网络设备。



背景技术:

长期演进(Long Term Evolution,简称为“LTE”)/系统架构演进(System Architecture Evolution,简称为“SAE”)网络是标准组织第三代合作伙伴计划(3rd Generation Partnership Project,简称为“3GPP”)制定的新的移动通信系统。这种网络将是现有的包括宽带码分多址(Wideband Code Division Multiple Access,简称为“WCDMA”)网络、时分-同步码分多址(Time Division-Synchronous Code Division Multiple Access,简称为“TD-SCDMA”)网络、码分多址2000(Code Division Multiple Access 2000,简称为“CDMA2000”)网络在内的3G网络的下一步演进方向。目前在某些国家,已经有商业部署的LTE/SAE网络正在运行。安全是移动通信系统商业运营必不可少的特性,认证是安全特性中的一个重要特性。通用移动通信系统(Universal Mobile Telecommunication System,简称为“UMTS”)网络和LTE/SAE网络制定了认证和密钥协商(Authentication and Key Agreement,简称为“AKA”)机制来执行UE和网络之间的双向认证。UMTS网络的双向认证机制称为UMTS AKA,LTE/SAE网络的双向认证机制称为演进分组系统(Evolved Packet System,简称为“EPS”)AKA。在某些特殊场景下,存在着LTE用户设备(User Equipment,简称为“UE”)通过LTE接入网接入2G/3G核心网的情况。由于2G/3G核心网只能从HSS获得UMTS AV,而LTE UE在通过LTE网络接入时,会拒绝使用UMTS AV进行认证,因此LTE UE不能够通过LTE接入网接入2G/3G核心网。



技术实现要素:

有鉴于此,本发明实施例提供了一种移动通信系统的安全认证的方法和网络设备,能够使LTE UE使用2G/3G网络。

第一方面,提供了一种移动通信系统的安全认证方法,包括:

HSS接收接入网网元发送的要求特殊认证向量的请求,该要求特殊认证向量的请求由该接入网网元接收到SGSN发送的要求认证向量的请求后发送;

该HSS根据该要求特殊认证向量的请求,生成特殊认证向量;

该HSS将该特殊认证向量发送给该接入网网元,以便该接入网网元、该SGSN和LTE UE完成安全认证。

在第一种可能的实现方式中,该要求认证向量的请求是该SGSN在接收到该接入网网元发送的UMTS attach request消息后发送,该UMTS attach request消息是该接入网网元将attach request消息转换所得,该attach request消息由该LTE UE发送。

在第二种可能的实现方式中,结合第一方面或第一方面的第一种可能的实现方式,该以便该接入网网元、该SGSN和LTE UE完成安全认证包括:

该接入网网元将该特殊认证向量发送给该SGSN,该SGSN发送UMTS AKA认证挑战给该接入网网元,该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,该LTE UE根据该LTE AKA认证挑战进行验证并生成RES和密钥KASME后,该LTE UE将包含该RES的LTE AKA认证响应发送给该接入网网元,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

在第三种可能的实现方式中,结合第一方面或第一方面的第一种至第二种可能的实现方式,该特殊认证向量中包含XRES、CK、IK;

该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将该LTE AKA认证响应转换为UMTS AKA认证响应并将该UMTS AKA认证响应发送给该SGSN,该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元,该接入网网元根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

在第四种可能的实现方式中,结合第一方面的第三种可能的实现方式,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

在第五种可能的实现方式中,结合第一方面或第一方面的第一至第四任一种可能的实现方式,该要求特殊认证向量的请求由该接入网网元接收到SGSN发送的要求认证向量的请求后发送包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

在第六种可能的实现方式中,结合第一方面或第一方面的第一至第五任一种可能的实现方式,该HSS根据该要求特殊认证向量的请求,生成特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

在第七种可能的实现方式中,结合第一方面的第六种可能的实现方式,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME拆分为两部分,分别作为该UMTS AV的该CK和该IK。

在第八种可能的实现方式中,结合第一方面的第三至第七任一种可能的实现方式,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。

第二方面,提供了一种移动通信系统的安全认证方法,包括:

SGSN接收接入网网元发送UMTS attach request消息,该UMTS attach request消息是该接入网网元将LTE UE发送的attach request消息转换所得;

该SGSN向该接入网网元发送要求认证向量的请求,以便该接入网网元接收到该要求认证向量的请求后,向HSS发送要求特殊认证向量的请求,进而以便该HSS根据该要求特殊认证向量的请求生成该特殊认证向量后发送给该接入网网元;

该SGSN接收来自于该接入网网元的该特殊认证向量后,发送UMTS AKA认证挑战给该接入网网元,以便该SGSN、该接入网网元和该LTE UE完成安全认证。

在第一种可能的实现方式中,该以便该SGSN、该接入网网元和该LTE UE完成安全认证包括:

该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,该LTE UE根据该LTE AKA认证挑战进行验证并生成RES和密钥KASME后,该LTE UE将包含该RES的LTE AKA认证响应发送给该接入网网元,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

在第二种可能的实现方式中,结合第二方面或第二方面的第一种可能的实现方式,该特殊认证向量包含XRES、CK、IK;

该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将该LTE AKA认证响应转换为UMTS AKA认证响应并将该UMTS AKA认证响应发送给该SGSN,该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元,该接入网网元根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

在第三种可能的实现方式中,结第二方面的第二种可能的实现方式,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

在第四种可能的实现方式中,结合第二方面或第二方面的第一种至第三种任一可能的实现方式,该以便该接入网网元接收到该要求认证向量的请求后,向HSS发送要求特殊认证向量的请求包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

在第五种可能的实现方式中,结合第二方面或第二方面的第一种至第四种可能的实现方式,该以便该HSS根据该要求特殊认证向量的请求生成该特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

在第六种可能的实现方式中,结合第二方面的第五种可能的实现方式,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME拆分为两部分,分别作为该UMTS AV的该CK和该IK。

在第七种可能的实现方式中,结合第二方面的第二种至第六种任一可能的实现方式,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。

第三方面,提供了一种移动通信系统的安全认证方法,包括:

接入网网元将来自于LTE UE的attach request消息转换为UMTS attach request消息;

该接入网网元将该UMTS attach request消息发送给SGSN,以便该SGSN收到该UMTS attach request消息后发送要求认证向量的请求给该接入网网元;

该接入网网元收到该要求认证向量的请求后发送要求特殊认证向量的请求给该HSS,以便该HSS根据要求特殊认证向量的请求生成该特殊认证向量,进而以便该HSS将该特殊认证向量发送给该接入网网网元;

该接入网网元接收UMTS AKA认证挑战,该UMTS AKA认证挑战为该接入网网元将该特殊认证向量发送给该SGSN后由该SGSN发送;

该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,以便该接入网网元、该SGSN和该LTE UE完成安全认证。

在第一种可能的实现方式中,该以便该接入网网元、该SGSN和该LTE UE完成安全认证包括:

该LTE UE验证该LTE AKA认证挑战后生成RES和密钥KASME;

该接入网网元接收该LTE UE发送的包含该RES的LTE AKA认证响应,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

在第二种可能的实现方式中,结合第三方面或第三方面的第一种可能的实现方式,该特殊认证向量包含XRES、CK和IK;

该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将包含该RES的LTE AKA认证响应转换为包含该RES的UMTS AKA认证响应,该接入网网元将该包含该RES的UMTS AKA认证响应发送给该SGSN,以便该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元;

该接入网网元根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

在第三种可能的实现方式中,结合第三方面的第二种可能的实现方式,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

在第四种可能的实现方式中,结合第三方面或第三方面的第一至第三任一种可能的实现方式,该接入网网元收到该要求认证向量的请求后发送要求特殊认证向量的请求给该HSS包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

在第五种可能的实现方式中,结合第三方面或第三方面的第一至第四任一种可能的实现方式,该以便该HSS根据要求特殊认证向量的请求生成该特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

在第六种可能的实现方式中,结合第三方面的第五种可能的实现方式,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME拆分为两部分,分别作为该UMTS AV的该CK和该IK。

在第七种可能的实现方式中,结合第三方面的第二至第六任一种可能的实现方式,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。

第四方面,提供了一种HSS,包括:接收模块,处理模块,发送模块;

该接收模块用于接收接入网网元发送的要求特殊认证向量的请求,该要求特殊认证向量的请求由该接入网网元接收到SGSN发送的要求认证向量的请求后发送;

该处理模块用于根据该要求特殊认证向量的请求,生成特殊认证向量;

该发送模块用于将该特殊认证向量发送给该接入网网元,以便该接入网网元、该SGSN和LTE UE完成安全认证。

在第一种可能的实现方式中,该要求认证向量的请求是该SGSN在接收到该接入网网元发送的UMTS attach request消息后发送,该UMTS attach request消息是该接入网网元将attach request消息转换所得,该attach request消息由该LTE UE发送。

在第二种可能的实现方式中,结合第四方面或第四方面的第一种可能的实现方式,该以便该接入网网元、该SGSN和LTE UE完成安全认证包括:

该接入网网元将该特殊认证向量发送给该SGSN,该SGSN发送UMTS AKA认证挑战给该接入网网元,该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,该LTE UE根据该LTE AKA认证挑战进行验证并生成RES和密钥KASME后,该LTE UE将包含该RES的LTE AKA认证响应发送给该接入网网元,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

在第三种可能的实现方式中,结合第四方面或第四方面的第一种至第二种可能的实现方式,该特殊认证向量中包含XRES、CK、IK;

该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将该LTE AKA认证响应转换为UMTS AKA认证响应并将该UMTS AKA认证响应发送给该SGSN,该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元,该接入网网元根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

在第四种可能的实现方式中,结合第四方面的第三种可能的实现方式,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

在第五种可能的实现方式中,结合第四方面或第四方面的第一至第四任一种可能的实现方式,该要求特殊认证向量的请求由该接入网网元接收到SGSN发送的要求认证向量的请求后发送包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

在第六种可能的实现方式中,结合第四方面或第四方面的第一至第五任一种可能的实现方式,该处理模块用于根据该要求特殊认证向量的请求,生成特殊认证向量包括:

该处理模块用于为该LTE UE生成EPS AV;

该处理模块用于将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

在第七种可能的实现方式中,结合第四方面的第六种可能的实现方式,该处理模块用于将该EPS AV转换成UMTS AV格式包括:

该处理模块用于将该EPS AV中的RAND作为该UMTS AV的RAND,该处理模块用于将该EPS AV中的AUTN作为该UMTS AV的AUTN,该处理模块用于将该EPS AV中的XRES作为该UMTS AV的XRES,该处理模块用于将该EPS AV中的KASME拆分为两部分,分别作为该UMTS AV的该CK和该IK。

在第八种可能的实现方式中,结合第四方面的第三至第七任一种可能的实现方式,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。

第五方面,提供了一种SGSN,包括:接收模块;发送模块;

该接收模块用于接收接入网网元发送的UMTS attach request消息,该UMTS attach request消息是该接入网网元将LTE UE发送的attach request消息转换所得;

该发送模块用于向该接入网网元发送要求认证向量的请求,以便该接入网网元接收到该要求认证向量的请求后,向HSS发送要求特殊认证向量的请求,进而以便该HSS根据该要求特殊认证向量的请求生成该特殊认证向量后发送给该接入网网元;

该接收模块还用于接收来自于该接入网网元的该特殊认证向量,该发送模块还用于该接收模块接收到该特殊认证向量后发送UMTS AKA认证挑战给该接入网网元,以便该SGSN、该接入网网元和该LTE UE完成安全认证。

在第一种可能的实现方式中,该以便该SGSN、该接入网网元和该LTE UE完成安全认证包括:

该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,该LTE UE根据该LTE AKA认证挑战进行验证并生成RES和密钥KASME后,该LTE UE将包含该RES的LTE AKA认证响应发送给该接入网网元,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

在第二种可能的实现方式中,结合第五方面或第五方面的第一种可能的实现方式,该SGSN还包括处理模块;

该特殊认证向量包含XRES、CK、IK;

该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将该LTE AKA认证响应转换为UMTS AKA认证响应并将该UMTS AKA认证响应发送给该接收模块,该处理模块用于比较该RES和该XRES是否相同,当该比较结果为相同时,该发送模块将该CK和或IK发送给该接入网网元,该接入网网元根据该CK和或IK生成KASME,该CK和或IK由该发送模块发送,该接入网网元和该LTE UE共享该KASME。

在第三种可能的实现方式中,结第五方面的第二种可能的实现方式,该处理模块用于比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

在第四种可能的实现方式中,结合第五方面或第五方面的第一种至第三种任一可能的实现方式,该以便该接入网网元接收到该要求认证向量的请求后,向HSS发送要求特殊认证向量的请求包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

在第五种可能的实现方式中,结合第五方面或第五方面的第一种至第四种可能的实现方式,该以便该HSS根据该要求特殊认证向量的请求生成该特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

在第六种可能的实现方式中,结合第五方面的第五种可能的实现方式,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME拆分为两部分,分别作为该UMTS AV的该CK和该IK。

在第七种可能的实现方式中,结合第五方面的第二种至第六种任一可能的实现方式,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。

第六方面,提供了一种接入网网元,包括:接收模块,处理模块,发送模块;

该接收模块用于接收来自LTE UE的attach request消息;该处理模块用于将该attach request消息转换为UMTS attach request消息;

该发送模块用于将该UMTS attach request消息发送给SGSN,以便该SGSN收到该UMTS attach request消息后发送要求认证向量的请求给该接收模块;该发送模块还用于在该接收模块收到该要求认证向量的请求后发送要求特殊认证向量的请求给该HSS,以便该HSS根据要求特殊认证向量的请求生成该特殊认证向量,进而以便该HSS将该特殊认证向量发送给该接收模块;

该接收模块还用于接收UMTS AKA认证挑战,该UMTS AKA认证挑战为该发送模块将该特殊认证向量发送给该SGSN后由该SGSN发送;该处理模块还用于将该UMTS AKA认证挑战转换成LTE AKA认证挑战,该发送模块还用于将该LTE AKA认证挑战发送给该LTE UE,以便该接入网网元、该SGSN和该LTE UE完成安全认证。

在第一种可能的实现方式中,该以便该接入网网元、该SGSN和该LTE UE完成安全认证包括:

该LTE UE验证该LTE AKA认证挑战后生成RES和密钥KASME;

该接收模块用于接收该LTE UE发送的包含该RES的LTE AKA认证响应,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

在第二种可能的实现方式中,结合第六方面或第六方面的第一种可能的实现方式,该特殊认证向量包含XRES、CK和IK;

该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该处理模块还用于将包含该RES的LTE AKA认证响应转换为包含该RES的UMTS AKA认证响应,该发送模块还用于将该包含该RES的UMTS AKA认证响应发送给该SGSN,以便该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元;

该处理模块还用于根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

在第三种可能的实现方式中,结合第六方面的第二种可能的实现方式,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

在第四种可能的实现方式中,结合第六方面或第六方面的第一至第三任一种可能的实现方式,该发送模块还用于在该接收模块收到该要求认证向量的请求后发送要求特殊认证向量的请求给该HSS包括:

该接收模块用于接收该SGSN发送的该要求认证向量的请求;

该处理模块用于识别出是LTE UE接入2G或3G网络;

该处理模块还用于在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

在第五种可能的实现方式中,结合第六方面或第六方面的第一至第四任一种可能的实现方式,该以便该HSS根据要求特殊认证向量的请求生成该特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

在第六种可能的实现方式中,结合第六方面的第五种可能的实现方式,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME(256bits)拆分为两部分,分别作为该UMTS AV的该CK和该IK。

在第七种可能的实现方式中,结合第六方面的第二至第六任一种可能的实现方式,该处理模块进一步用于按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。

通过上述方案,能够使LTE UE使用2G/3G网络。

附图说明

为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的移动通信系统的认证方法的示意性流程图;

图2是根据本发明另一实施例的移动通信系统的认证方法的示意图流程图;

图3是根据本发明另一实施例的移动通信系统的认证方法的示意性流程图;

图4是根据本发明另一实施例的移动通信系统的认证方法的示意性流程图;

图5是根据本发明实施例的归属用户服务器的示意性框图;

图6是根据本发明实施例的GPRS服务支撑节点的示意性框图;

图7是根据本发明实施例的接入网网元的示意性框图;

图8是根据本发明另一实施例的归属用户服务器的示意性框图;

图9是根据本发明另一实施例的GPRS服务支撑节点的示意性框图;

图10是根据本发明另一实施例的接入网网元的示意性框图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。

应理解,本发明实施例的技术方案可以应用于各种2G或3G通信系统,例如:全球移动通讯(Global System of Mobile communication,简称为“GSM”)系统、码分多址(Code Division Multiple Access,简称为“CDMA”)系统、宽带码分多址(Wideband Code Division Multiple Access,简称为“WCDMA”)系统、通用分组无线业务(General Packet Radio Service,简称为“GPRS”)、通用移动通信系统(Universal Mobile Telecommunication System,简称为“UMTS”)、全球互联微波接入(Worldwide Interoperability for Microwave Access,简称为“WiMAX”)通信系统等。

本发明实施例中的接入网网元,是一种增强的接入网网元,用于支持LTE UE接入2G/3G核心网。在发明所有实施例中,接入网网元可具备如下功能:LTE eNB的功能,LTE UE可以不需要进行修改通过该接入网网元接入2G/3G核心网,而且使LTE UE认为其正在接入的是LTE网络,而不是2G/3G核心网;本发明实施例中的接入网网元还可以实现部分移动性管理实体(Mobility Management Entity,简称为“MME”)的功能,如对NAS信令的安全保护功能。

图1示出了根据本发明实施例的移动通信系统的安全认证的方法100的示意性流程图。如图1所示,该方法100包括:

S110,HSS接收接入网网元发送的要求特殊认证向量的请求,该要求特殊认证向量的请求由该接入网网元接收到SGSN发送的要求认证向量的请求后发送;

S120,该HSS根据该要求特殊认证向量的请求,生成特殊认证向量;

S130,该HSS将该特殊认证向量发送给该接入网网元,以便该接入网网元、该SGSN和LTE UE完成安全认证。

在本发明实施例中,为了使LTE UE能够使用2G或3G网络,在接入网网元识别出是LTE UE接入2G/3G网络后,HSS为该LTE UE生成特殊认证向量,以便该SGSN、该接入网网元和该LTE UE完成安全认证,使LTE UE可以使用2G或3G核心网。

可选地,该要求认证向量的请求是该SGSN在接收到该接入网网元发送的UMTS attach request消息后发送,该UMTS attach request消息是该接入网网元将attach request消息转换所得,该attach request消息由该LTE UE发送。

可选地,该以便该接入网网元、该SGSN和LTE UE完成安全认证包括:

该接入网网元将该特殊认证向量发送给该SGSN,该SGSN发送UMTS AKA认证挑战给该接入网网元,该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,该LTE UE根据该LTE AKA认证挑战进行验证并生成RES和密钥KASME后,该LTE UE将包含该RES的LTE AKA认证响应发送给该接入网网元,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

可选地,该特殊认证向量中包含XRES、CK、IK;

可选地,该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将该LTE AKA认证响应转换为UMTS AKA认证响应并将该UMTS AKA认证响应发送给该SGSN,该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元,该接入网网元根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

可选地,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

可选地,该要求特殊认证向量的请求由该接入网网元接收到SGSN发送的要求认证向量的请求后发送包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

可选地,该HSS根据该要求特殊认证向量的请求,生成特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

可选地,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME拆分为两部分,分别作为该UMTS AV的该CK和该IK。

可选地,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。

本发明实施例中,通过该接入网网元将LTE UE所发送的消息转换为适用于2G或3G网络的消息,由接入网网元识别出LTE UE通过该接入网网元接入2G或3G网络的场景后,HSS生成特殊的认证向量,通过该接入网网元、SGSN完成LTE UE和网络之间的安全认证。不需要对LTE UE做修改,使得LTE UE可以通过本实施例中的接入网网元接入2G或3G核心网,完成安全认证并使用2G或3G核心网资源。

图2示出了根据本发明实施例的移动通信系统的安全认证的方法200的示意性流程图。图2及其说明所揭示的方法,可基于本发明实施例图1和基于本发明实施例图1所揭示的方法。如图2所示,该方法200包括:

S210,SGSN接收接入网网元发送UMTS attach request消息,该UMTS attach request是该接入网网元将LTE UE发送的attach request消息转换所得;

S220,该SGSN向该接入网网元发送要求认证向量的请求,以便该接入网网元接收到该要求认证向量的请求后,向HSS发送要求特殊认证向量的请求,进而以便该HSS根据该要求特殊认证向量的请求生成该特殊认证向量后发送给该接入网网元;

S230,该SGSN接收来自于该接入网网元的该特殊认证向量后,发送UMTS AKA认证挑战给该接入网网元,以便该SGSN、该接入网网元和该LTE UE完成安全认证。

在本发明实施例中,通过接入网网元识别出LTE UE接入2G或3G核心网的场景后,接入网网元向HSS请求获取特殊认证向量,HSS根据SGSN的该请求生成特殊认证向量,使SGSN、接入网网元和该LTE UE完成安全认证,实现不需要对LTE UE进行修改的条件下使LTE UE使用2G或3G核心网。

可选地,该以便该SGSN、该接入网网元和该LTE UE完成安全认证包括:

该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,该LTE UE根据该LTE AKA认证挑战进行验证并生成RES和密钥KASME后,该LTE UE将包含该RES的LTE AKA认证响应发送给该接入网网元,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

可选地,该特殊认证向量包含XRES、CK、IK;

可选地,该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将该LTE AKA认证响应转换为UMTS AKA认证响应并将该UMTS AKA认证响应发送给该SGSN,该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元,该接入网网元根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

可选地,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

可选地,该以便该接入网网元接收到该要求认证向量的请求后,向HSS发送要求特殊认证向量的请求包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。可选地,该以便该HSS根据该要求特殊认证向量的请求生成该特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

可选地,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME拆分为两部分,分别作为该UMTS AV的该CK和该IK。

可选地,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。

本发明实施例中,通过该接入网网元将LTE UE所发送的消息转换为适用于2G或3G网络的消息,由接入网网元识别出LTE UE通过该接入网网元接入2G或3G网络的场景后,HSS生成特殊的认证向量,通过该接入网网元、SGSN完成LTE UE和网络之间的安全认证。不需要对LTE UE做修改,使得LTE UE可以通过本实施例中的接入网网元接入2G或3G核心网,完成安全认证并使用2G或3G核心网资源。

图3示出了根据本发明实施例的移动通信系统的安全认证的方法300的示意性流程图。图3及其说明所揭示的方法,可基于本发明实施例图1至图2以及基于本发明实施例图1至图2所揭示的方法。如图3所示,该方法300包括:

S310,接入网网元将来自于LTE UE的attach request消息转换为UMTS attach request消息;

S320,该接入网网元将该UMTS attach request消息发送给SGSN,以便该SGSN收到该UMTS attach request消息后发送要求认证向量的请求给该接入网网元;

S330,该接入网网元收到该要求认证向量的请求后发送要求特殊认证向量的请求给该HSS,以便该HSS根据要求特殊认证向量的请求生成该特殊认证向量,进而以便该HSS将该特殊认证向量发送给该接入网网网元;

S340,该接入网网元接收UMTS AKA认证挑战,该UMTS AKA认证挑战为该接入网网元将该特殊认证向量发送给该SGSN后由该SGSN发送;

S350,该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,以便该接入网网元、该SGSN和该LTE UE完成安全认证。

在本发明实施例中,通过接入网网元将LTE UE发送的信息转换为适用于2G或3G网络系统的信息,由接入网网元识别出为LTE UE接入2G或3G网络的场景,通过HSS生成特殊的认证向量,使接入网网元、SGSN和LTE UE能够完成安全认证,使得LTE UE可以使用现有2G或3G核心网。

可选地,该接入网网元、该SGSN和该LTE UE完成安全认证包括:

该LTE UE验证该LTE AKA认证挑战后生成RES和密钥KASME;

该接入网网元接收该LTE UE发送的包含该RES的LTE AKA认证响应,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

可选地,该特殊认证向量包含XRES、CK和IK;

可选地,该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将包含该RES的LTE AKA认证响应转换为包含该RES的UMTS AKA认证响应,该接入网网元将该包含该RES的UMTS AKA认证响应发送给该SGSN,以便该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元;

该接入网网元根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

可选地,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。可选地,该接入网网元收到该要求认证向量的请求后发送要求特殊认证向量的请求给该HSS包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

可选地,该以便该HSS根据要求特殊认证向量的请求生成该特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

可选地,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME拆分为两部分,分别作为该UMTS AV的该CK和该IK。

可选地,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。

本发明实施例中,通过该接入网网元将LTE UE所发送的消息转换为适用于2G或3G网络的消息,由接入网网元识别出LTE UE通过该接入网网元接入2G或3G核心网的场景后,HSS生成特殊的认证向量,通过该接入网网元、SGSN完成LTE UE和网络之间的安全认证。不需要对LTE UE做修改,使得LTE UE可以通过本实施例中的接入网网元接入2G或3G核心网,完成安全认证并使用2G或3G核心网资源。

图4示出了根据本发明实施例的移动通信系统的安全认证的方法400的示意性流程图。本发明实施例图1至图3和基于本发明实施例图1至图3所揭示的方法是分别从不同角度对本发明实施例所公开的方法的描述,实施例图1至图3和基于本发明实施例图1至图3所揭示的方法可参考图4及其说明所揭示的方法。如图4所示,该方法400包括:

可选地,LTE UE通过接入网网元接入到2G/3G核心网,LTE UE和接入网网元之间建立RRC连接。

LTE UE发送attach request消息给接入网网元,接入网网元将从LTE UE处收到的该attach request消息转换为UMTS系统中2G/3G核心网SGSN可识别的UMTS attach request消息,接入网网元将转换后的UMTS attach request消息发送给SGSN。

SGSN发送要求认证向量的请求给该接入网网元,该接入网网元接收该SGSN发送的该要求认证向量的请求;

接入网网元识别出是LTE UE接入2G或3G网络,进一步的,接入网网元可以识别出通过该接入网网元的UE类型,即接入网网元能够识别出LTE UE接入2G或3G网络;

接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。该HSS根据该接入网网元发送的特殊认证向量的请求中的指示信息识别出此场景为LTE UE接入2G/3G网络的场景。该HSS生成该特殊认证向量,包括:

可选地,该HSS为该LTE UE生成EPS AV;

进一步的,

HSS将认证管理域AMF中第0个bit设为1以标示此认证向量为EPS AV;

HSS生成RAND、AUTN、CK、IK和XRES;

HSS根据CK和IK推演得到KASME,推演规则可以为KASME=KDF(CK,IK),KDF为密钥推演函数;

EPS AV由KASME、AUTN、XRES、RAND组成,其中AUTN中的AMF参数的第0个比特的值为1。

可选地,该HSS将该EPS AV转换成UMTS AV格式格式,以使得EPS AV可以通过现有的UMTS认证响应发送给SGSN。EPS AV转换成UMTS AV格式的方法包括:将EPS AV中的RAND、AUTN和XRES作为UMTS AV的RAND、AUTN和XRES,将EPS AV中的KASME(256bits)拆分为两部分,分别作为UMTS AV的CK(128bits)和IK(128bits)。该EPS AV转换成UMTS AV格式格式后,AUTN中的AMF的第0个比特的值仍然为1。将该EPS AV转换成UMTS AV格式后所得的向量为该特殊认证向量。

该HSS将该特殊认证向量传输给该接入网网元,接入网网元再将该特殊认证向量发送给该SGSN;

该SGSN根据从该接入网网元接收到的特殊认证向量执行UMTS AKA认证流程。SGSN发送UMTS AKA认证挑战给接入网网元,该UMTS AKA认证挑战中包含RAND和AUTN。

接入网网元将接收到的UMTS AKA认证挑战转换成LTE AKA认证挑战。UMTS AKA认证挑战中的RAND和AUTN被放在LTE AKA认证挑战中发送给LTE UE。

LTE UE验证AUTN。进一步的,由于AUTN中AMF的第0个比特的值为1,因此LTE UE会通过对AMF的检查。LTE UE生成RES和密钥KASME。

LTE UE发送LTE AKA认证响应给接入网网元,该LTE AKA认证响应中包含RES。

接入网网元将LTE AKA认证响应转换为UMTS AKA认证响应,将LTE AKA认证响应中的该RES放在UMTS AKA认证响应中发送给SGSN。

SGSN比较该RES和该XRES是否相同。

可选地,如果比较结果为该RES和该XRES不相同,则中止进行安全认证;

可选地,如果比较结果为该RES和该XRES相同,则SGSN发起安全模式过程,在安全模式过程中,CK和或IK被发送给接入网网元。

可选地,接入网网元根据CK和或IK生成KASME。可选地,接入网网元根据CK和或IK生成KASME的生成规则为KASME=CK||IK,“||”表示串联,即将IK加在CK后面。

接入网网元和LTE UE共享密钥KASME。

可选地,接入网网元和LTE UE之间执行LTE NAS SMC流程和LTE AS SMC流程建立LTE空口安全。

本发明实施例中,通过该接入网网元将LTE UE所发送的消息转换为适用于2G或3G网络的消息,由SGSN识别出LTE UE通过该接入网网元接入2G或3G核心网的场景后,HSS生成特殊的认证向量,通过该接入网网元、SGSN完成LTE UE和网络之间的安全认证。不需要对LTE UE做修改,使得LTE UE可以通过本实施例中的接入网网元接入2G或3G核心网,完成安全认证并使用2G或3G核心网资源。

图5示出了根据本发明实施例的移动通信系统的安全认证的归属用户服务器500的示意性框图。图5及其说明所揭示的装置,可基于本发明实施例图1至图4以及基于本发明实施例图1至图4所揭示的方法。如图5所示,该归属用户服务器HSS500包括:接收模块510,处理模块520,发送模块530;

该接收模块510用于接收接入网网元发送的要求特殊认证向量的请求,该要求特殊认证向量的请求由该接入网网元接收到SGSN发送的要求认证向量的请求后发送;

该处理模块520用于根据该要求特殊认证向量的请求,生成特殊认证向量;

该发送模块530用于将该特殊认证向量发送给该接入网网元,以便该接入网网元、该SGSN和LTE UE完成安全认证。

在本发明实施例中,为了使LTE UE能够使用2G或3G网络,在接入网网元识别出是LTE UE接入2G/3G核心网后,HSS为该LTE UE生成特殊认证向量,以便该SGSN、该接入网网元和该LTE UE完成安全认证,使LTE UE可以使用2G或3G核心网。

可选地,该要求认证向量的请求是该SGSN在接收到该接入网网元发送的UMTS attach request消息后发送,该UMTS attach request消息是该接入网网元将attach request消息转换所得,该attach request消息由该LTE UE发送。

可选地,

该以便该接入网网元、该SGSN和LTE UE完成安全认证包括:

该接入网网元将该特殊认证向量发送给该SGSN,该SGSN发送UMTS AKA认证挑战给该接入网网元,该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,该LTE UE根据该LTE AKA认证挑战进行验证并生成RES和密钥KASME后,该LTE UE将包含该RES的LTE AKA认证响应发送给该接入网网元,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

可选地,该特殊认证向量中包含XRES、CK、IK;

可选地,该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将该LTE AKA认证响应转换为UMTS AKA认证响应并将该UMTS AKA认证响应发送给该SGSN,该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元,该接入网网元根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

可选地,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

可选的,该要求特殊认证向量的请求由该接入网网元接收到SGSN发送的要求认证向量的请求后发送包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

可选地,该处理模块520用于根据该要求特殊认证向量的请求,生成特殊认证向量包括:

该处理模块520用于为该LTE UE生成EPS AV;

进一步的,

该处理模块520用于将认证管理域AMF中第0个bit设为1以标示此认证向量为EPS AV;

该处理模块520用于生成RAND、AUTN、CK、IK和XRES;

该处理模块520用于根据CK和IK推演得到KASME,推演规则可以为KASME=KDF(CK,IK),KDF为密钥推演函数;

EPS AV由KASME、AUTN、XRES、RAND组成,其中AUTN中的AMF参数的第0个比特的值为1。

可选地,该处理模块520用于将该EPS AV转换成UMTS AV格式格式,以使得EPS AV可以通过现有的UMTS认证响应发送给SGSN。EPS AV转换成UMTS AV格式的方法包括:将EPS AV中的RAND、AUTN和XRES作为UMTS AV的RAND、AUTN和XRES,将EPS AV中的KASME(256bits)拆分为两部分,分别作为UMTS AV的CK(128bits)和IK(128bits)。该EPS AV转换成UMTS AV格式格式后,AUTN中的AMF的第0个比特的值仍然为1。将该EPS AV转换成UMTS AV格式格式后所得的向量为该特殊认证向量。可选地,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。“||”表示串联,即将IK加在CK后面。本发明实施例中,通过该接入网网元将LTE UE所发送的消息转换为适用于2G或3G网络的消息,由接入网网元识别出LTE UE通过该接入网网元接入2G或3G网络的场景后,HSS生成特殊的认证向量,通过该接入网网元、SGSN完成LTE UE和网络之间的安全认证。不需要对LTE UE做修改,使得LTE UE可以通过本实施例中的接入网网元接入2G或3G核心网,完成安全认证并使用2G或3G核心网资源。

图6示出了根据本发明实施例的移动通信系统的安全认证的GPRS服务支撑节点600的示意性框图。图6及其说明所揭示的装置,可基于本发明实施例图1至图4以及基于本发明实施例图1至图4所揭示的方法,也可以基于本发明实施例图5以及图5所揭示的装置。如图6所示,该GPRS服务支撑节点SGSN600包括:接收模块610;发送模块620;

该接收模块610用于接收接入网网元发送的UMTS attach request消息,该UMTS attach request消息是该接入网网元将LTE UE发送的attach request消息转换所得;

该发送模块620用于向该接入网网元发送要求认证向量的请求,以便该接入网网元接收到该要求认证向量的请求后,向HSS发送要求特殊认证向量的请求,进而以便该HSS根据该要求特殊认证向量的请求生成该特殊认证向量后发送给该接入网网元;

该接收模块610还用于接收来自于该接入网网元的该特殊认证向量,该发送模块620还用于该接收模块610接收到该特殊认证向量后发送UMTS AKA认证挑战给该接入网网元,以便该SGSN、该接入网网元和该LTE UE完成安全认证。

在本发明实施例中,通过接入网网元识别出LTE UE接入2G或3G网络的场景后,接入网网元向HSS请求获取特殊认证向量,HSS根据该请求生成特殊认证向量,使SGSN、接入网网元和该LTE UE完成安全认证,实现不需要对LTEUE进行修改的条件下使LTE UE使用2G或3G核心网。

可选地,该以便该SGSN、该接入网网元和该LTE UE完成安全认证包括:

该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,该LTE UE根据该LTE AKA认证挑战进行验证并生成RES和密钥KASME后,该LTE UE将包含该RES的LTE AKA认证响应发送给该接入网网元,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

可选地,该SGSN还包括处理模块630;

可选地,该特殊认证向量包含XRES、CK、IK;

可选地,该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将该LTE AKA认证响应转换为UMTS AKA认证响应并将该UMTS AKA认证响应发送给该接收模块610,该处理模块630用于比较该RES和该XRES是否相同,当该比较结果为相同时,该发送模块620将该CK和或IK发送给该接入网网元,该接入网网元根据该CK和或IK生成KASME,该CK和或IK由该发送模块620发送,该接入网网元和该LTE UE共享该KASMF。

可选地,该处理模块630用于比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

可选地,该以便该接入网网元接收到该要求认证向量的请求后,向HSS发送要求特殊认证向量的请求包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

可选地,该以便该HSS根据该要求特殊认证向量的请求生成该特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

可选地,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME拆分为两部分,分别作为该UMTS AV的该CK和该IK。

可选地,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。

本发明实施例中,通过该接入网网元将LTE UE所发送的消息转换为适用于2G或3G网络的消息,由SGSN识别出LTE UE通过该接入网网元接入2G或3G核心网的场景后,HSS生成特殊的认证向量,通过该接入网网元、SGSN完成LTE UE和网络之间的安全认证。不需要对LTE UE做修改,使得LTE UE可以通过本实施例中的接入网网元接入2G或3G核心网,完成安全认证并使用2G或3G核心网资源。

图7示出了根据本发明实施例的移动通信系统的安全认证的接入网网元700的示意性框图。图7及其说明所揭示的装置,可基于本发明实施例图1至图4以及基于本发明实施例图1至图4所揭示的方法,也可以基于本发明实施例图5至图6以及图5至图6所揭示的装置。如图7所示,该接入网网元700包括:接收模块710,处理模块720,发送模块730;

该接收模块710用于接收来自LTE UE的attach request消息;该处理模块720用于将该attach request消息转换为UMTS attach request消息;

该发送模块730用于将该UMTS attach request消息发送给SGSN,以便该SGSN收到该UMTS attach request消息后发送要求认证向量的请求给该接收模块710;该发送模块730还用于在该接收模块710收到该要求认证向量的请求后发送要求特殊认证向量的请求给该HSS,以便该HSS根据要求特殊认证向量的请求生成该特殊认证向量,进而以便该HSS将该特殊认证向量发送给该接收模块710;

该接收模块710还用于接收UMTS AKA认证挑战,该UMTS AKA认证挑战为该发送模块730将该特殊认证向量发送给该SGSN后由该SGSN发送;该处理模块720还用于将该UMTS AKA认证挑战转换成LTE AKA认证挑战,该发送模块730还用于将该LTE AKA认证挑战发送给该LTE UE,以便该接入网网元、该SGSN和该LTE UE完成安全认证。

在本发明实施例中,通过接入网网元将LTE UE发送的信息转换为适用于2G或3G网络系统的信息,由接入网网元识别出为LTE UE接入2G或3G网络的场景,通过HSS生成特殊的认证向量,使接入网网元、SGSN和LTE UE能够完成安全认证,使得LTE UE可以使用现有2G或3G核心网。

可选地,该接入网网元、该SGSN和该LTE UE完成安全认证包括:

该LTE UE验证该LTE AKA认证挑战后生成RES和密钥KASME;

该接收模块710用于接收该LTE UE发送的包含该RES的LTE AKA认证响应,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

可选地,该特殊认证向量包含XRES、CK和IK;

可选地,该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该处理模块720还用于将包含该RES的LTE AKA认证响应转换为包含该RES的UMTS AKA认证响应,该发送模块730还用于将该包含该RES的UMTS AKA认证响应发送给该SGSN,以便该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元;

该处理模块720还用于根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

可选地,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

可选地,该发送模块730还用于在该接收模块710收到该要求认证向量的请求后发送要求特殊认证向量的请求给该HSS包括:

该接收模块710用于接收该SGSN发送的该要求认证向量的请求;

该处理模块720用于识别出是LTE UE接入2G或3G网络;

该处理模块720还用于在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

可选地,该以便该HSS根据要求特殊认证向量的请求生成该特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

可选地,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME(256bits)拆分为两部分,分别作为该UMTS AV的该CK和该IK。

可选地,该处理模块720进一步用于按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。“||”表示串联,即将IK加在CK后面。

本发明实施例中,通过该接入网网元将LTE UE所发送的消息转换为适用于2G或3G网络的消息,由接入网网元识别出LTE UE通过该接入网网元接入2G或3G网络的场景后,HSS生成特殊的认证向量,通过该接入网网元、SGSN完成LTE UE和网络之间的安全认证。不需要对LTE UE做修改,使得LTE UE可以通过本实施例中的接入网网元接入2G或3G核心网,完成安全认证并使用2G或3G核心网资源。

图8示出了根据本发明实施例的移动通信系统的安全认证的用户归属服务器800的示意性框图。图8及其说明所揭示的装置,可基于本发明实施例图1至图4以及基于本发明实施例图1至图4所揭示的方法,以及基于本发明实施例图5至图7以及基于本发明实施例图5至图7所揭示的装置。如图8所示,该用户归属服务器HSS800包括:接收器810,处理器820,发送器830;

该接收器810用于接收接入网网元发送的要求特殊认证向量的请求,该要求特殊认证向量的请求由该接入网网元接收到SGSN发送的要求认证向量的请求后发送;

该处理器820用于根据该要求特殊认证向量的请求,生成特殊认证向量;

该发送器830用于将该特殊认证向量发送给该接入网网元,以便该接入网网元、该SGSN和LTE UE完成安全认证。

在本发明实施例中,为了使LTE UE能够使用2G或3G网络,在接入网网元识别出是LTE UE接入2G/3G核心网后,HSS为该LTE UE生成特殊认证向量,以便该SGSN、该接入网网元和该LTE UE完成安全认证,使LTE UE可以使用2G或3G核心网。

可选地,该要求认证向量的请求是该SGSN在接收到该接入网网元发送的UMTS attach request消息后发送,该UMTS attach request消息是该接入网网元将attach request消息转换所得,该attach request消息由该LTE UE发送。

可选地,

该以便该接入网网元、该SGSN和LTE UE完成安全认证包括:

该接入网网元将该特殊认证向量发送给该SGSN,该SGSN发送UMTS AKA认证挑战给该接入网网元,该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,该LTE UE根据该LTE AKA认证挑战进行验证并生成RES和密钥KASME后,该LTE UE将包含该RES的LTE AKA认证响应发送给该接入网网元,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

可选地,该特殊认证向量中包含XRES、CK、IK;

可选地,该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将该LTE AKA认证响应转换为UMTS AKA认证响应并将该UMTS AKA认证响应发送给该SGSN,该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元,该接入网网元根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

可选地,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

可选的,该要求特殊认证向量的请求由该接入网网元接收到SGSN发送的要求认证向量的请求后发送包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

可选地,该处理器820用于根据该要求特殊认证向量的请求,生成特殊认证向量包括:

该处理器820用于为该LTE UE生成EPS AV;

进一步的,

该处理器820用于将认证管理域AMF中第0个bit设为1以标示此认证向量为EPS AV;

该处理器820用于生成RAND、AUTN、CK、IK和XRES;

该处理器820用于根据CK和IK推演得到KASME,推演规则可以为KASME=KDF(CK,IK),KDF为密钥推演函数;

EPS AV由KASME、AUTN、XRES、RAND组成,其中AUTN中的AMF参数的第0个比特的值为1。

可选地,该处理器820用于将该EPS AV转换成UMTS AV格式格式,以使得EPS AV可以通过现有的UMTS认证响应发送给SGSN。EPS AV转换成UMTS AV格式的方法包括:将EPS AV中的RAND、AUTN和XRES作为UMTS AV的RAND、AUTN和XRES,将EPS AV中的KASME(256bits)拆分为两部分,分别作为UMTS AV的CK(128bits)和IK(128bits)。该EPS AV转换成UMTS AV格式格式后,AUTN中的AMF的第0个比特的值仍然为1。将该EPS AV转换成UMTS AV格式格式后所得的向量为该特殊认证向量。可选地,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。“||”表示串联,即将IK加在CK后面。本发明实施例中,通过该接入网网元将LTE UE所发送的消息转换为适用于2G或3G网络的消息,由接入网网元识别出LTE UE通过该接入网网元接入2G或3G网络的场景后,HSS生成特殊的认证向量,通过该接入网网元、SGSN完成LTE UE和网络之间的安全认证。不需要对LTE UE做修改,使得LTE UE可以通过本实施例中的接入网网元接入2G或3G核心网,完成安全认证并使用2G或3G核心网资源。

图9示出了根据本发明实施例的移动通信系统的安全认证的GPRS服务支撑节点900的示意性框图。图9及其说明所揭示的装置,可基于本发明实施例图1至图4以及基于本发明实施例图1至图4所揭示的方法,也可以基于本发明实施例图5以及图8所揭示的装置。如图9所示,该GPRS服务支撑节点SGSN900包括:接收器910;发送器920;

该接收器910用于接收接入网网元发送的UMTS attach request消息,该UMTS attach request消息是该接入网网元将LTE UE发送的attach request消息转换所得;

该发送器920用于向该接入网网元发送要求认证向量的请求,以便该接入网网元接收到该要求认证向量的请求后,向HSS发送要求特殊认证向量的请求,进而以便该HSS根据该要求特殊认证向量的请求生成该特殊认证向量后发送给该接入网网元;

该接收器910还用于接收来自于该接入网网元的该特殊认证向量,该发送器920还用于该接收器910接收到该特殊认证向量后发送UMTS AKA认证挑战给该接入网网元,以便该SGSN、该接入网网元和该LTE UE完成安全认证。

在本发明实施例中,通过接入网网元识别出LTE UE接入2G或3G网络的场景后,接入网网元向HSS请求获取特殊认证向量,HSS根据该请求生成特殊认证向量,使SGSN、接入网网元和该LTE UE完成安全认证,实现不需要对LTEUE进行修改的条件下使LTE UE使用2G或3G核心网。

可选地,该以便该SGSN、该接入网网元和该LTE UE完成安全认证包括:

该接入网网元将该UMTS AKA认证挑战转换成LTE AKA认证挑战后发送给该LTE UE,该LTE UE根据该LTE AKA认证挑战进行验证并生成RES和密钥KASME后,该LTE UE将包含该RES的LTE AKA认证响应发送给该接入网网元,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

可选地,该SGSN还包括处理器930;

可选地,该特殊认证向量包含XRES、CK、IK;

可选地,该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该接入网网元将该LTE AKA认证响应转换为UMTS AKA认证响应并将该UMTS AKA认证响应发送给该接收器910,该处理器930用于比较该RES和该XRES是否相同,当该比较结果为相同时,该发送器920将该CK和或IK发送给该接入网网元,该接入网网元根据该CK和或IK生成KASME,该CK和或IK由该发送器920发送,该接入网网元和该LTE UE共享该KASME。

可选地,该处理器930用于比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

可选地,该以便该接入网网元接收到该要求认证向量的请求后,向HSS发送要求特殊认证向量的请求包括:

该接入网网元接收该SGSN发送的该要求认证向量的请求;

该接入网网元识别出是LTE UE接入2G或3G网络;

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

可选地,该以便该HSS根据该要求特殊认证向量的请求生成该特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

可选地,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME拆分为两部分,分别作为该UMTS AV的该CK和该IK。

可选地,该接入网网元根据该CK和或IK生成KASME包括:

该接入网网元按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。

本发明实施例中,通过该接入网网元将LTE UE所发送的消息转换为适用于2G或3G网络的消息,由SGSN识别出LTE UE通过该接入网网元接入2G或3G核心网的场景后,HSS生成特殊的认证向量,通过该接入网网元、SGSN完成LTE UE和网络之间的安全认证。不需要对LTE UE做修改,使得LTE UE可以通过本实施例中的接入网网元接入2G或3G核心网,完成安全认证并使用2G或3G核心网资源。

图10示出了根据本发明实施例的移动通信系统的安全认证的接入网网元1000的示意性框图。图10及其说明所揭示的装置,可基于本发明实施例图1至图4以及基于本发明实施例图1至图4所揭示的方法,也可以基于本发明实施例图5至图9以及图5至图9所揭示的装置。如图10所示,该接入网网元1000包括:接收器1010,处理器1020,发送器1030;

该接收器1010用于接收来自LTE UE的attach request消息;该处理器1020用于将该attach request消息转换为UMTS attach request消息;

该发送器1030用于将该UMTS attach request消息发送给SGSN,以便该SGSN收到该UMTS attach request消息后发送要求认证向量的请求给该接收器1010;该发送器1030还用于在该接收器1010收到该要求认证向量的请求后发送要求特殊认证向量的请求给该HSS,以便该HSS根据要求特殊认证向量的请求生成该特殊认证向量,进而以便该HSS将该特殊认证向量发送给该接收器1010;

该接收器1010还用于接收UMTS AKA认证挑战,该UMTS AKA认证挑战为该发送器1030将该特殊认证向量发送给该SGSN后由该SGSN发送;该处理器1020还用于将该UMTS AKA认证挑战转换成LTE AKA认证挑战,该发送器1030还用于将该LTE AKA认证挑战发送给该LTE UE,以便该接入网网元、该SGSN和该LTE UE完成安全认证。

在本发明实施例中,通过接入网网元将LTE UE发送的信息转换为适用于2G或3G网络系统的信息,由接入网网元识别出为LTE UE接入2G或3G网络的场景,通过HSS生成特殊的认证向量,使接入网网元、SGSN和LTE UE能够完成安全认证,使得LTE UE可以使用现有2G或3G核心网。

可选地,该接入网网元、该SGSN和该LTE UE完成安全认证包括:

该LTE UE验证该LTE AKA认证挑战后生成RES和密钥KASME;

该接收器1010用于接收该LTE UE发送的包含该RES的LTE AKA认证响应,以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证。

可选地,该特殊认证向量包含XRES、CK和IK;

可选地,该以便该接入网网元、该SGSN和该LTE UE进一步完成安全认证包括:

该处理器1020还用于将包含该RES的LTE AKA认证响应转换为包含该RES的UMTS AKA认证响应,该发送器1030还用于将该包含该RES的UMTS AKA认证响应发送给该SGSN,以便该SGSN比较该RES和该XRES是否相同,当该比较结果为相同时,该SGSN将该CK和或IK发送给该接入网网元;

该处理器1020还用于根据该CK和或IK生成KASME,该接入网网元和该LTE UE共享该KASME。

可选地,该SGSN比较该RES和该XRES是否相同还包括,当该比较结果为不相同时,中止进行安全认证。

可选地,该发送器1030还用于在该接收器1010收到该要求认证向量的请求后发送要求特殊认证向量的请求给该HSS包括:

该接收器1010用于接收该SGSN发送的该要求认证向量的请求;

该处理器1020用于识别出是LTE UE接入2G或3G网络;

该处理器1020还用于在该认证向量中加入指示信息生成该要求特殊认证向量的请求,该指示信息用于指示该HSS生成该特殊认证向量。

可选地,该以便该HSS根据要求特殊认证向量的请求生成该特殊认证向量包括:

该HSS为该LTE UE生成EPS AV;

该HSS将该EPS AV转换成UMTS AV格式,该转换为UMTS AV格式的EPS AV为该特殊认证向量。

可选地,该HSS将该EPS AV转换成UMTS AV格式包括:

该HSS将该EPS AV中的RAND作为该UMTS AV的RAND,该HSS将该EPS AV中的AUTN作为该UMTS AV的AUTN,该HSS将该EPS AV中的XRES作为该UMTS AV的XRES,该HSS将该EPS AV中的KASME

(256bits)拆分为两部分,分别作为该UMTS AV的该CK和该IK。

可选地,该处理器1020进一步用于按照生成规则KASME=CK||IK,根据该CK和或IK生成该KASME。“||”表示串联,即将IK加在CK后面。

本发明实施例中,通过该接入网网元将LTE UE所发送的消息转换为适用于2G或3G网络的消息,由接入网网元识别出LTE UE通过该接入网网元接入2G或3G网络的场景后,HSS生成特殊的认证向量,通过该接入网网元、SGSN完成LTE UE和网络之间的安全认证。不需要对LTE UE做修改,使得LTE UE可以通过本实施例中的接入网网元接入2G或3G核心网,完成安全认证并使用2G或3G核心网资源。

通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可以用硬件实现,或固件实现,或它们的组合方式来实现。当使用软件实现时,可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线(DSL)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的,那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本发明所使用的,盘(Disk)和碟(disc)包括压缩光碟(CD)、激光碟、光碟、数字通用光碟(DVD)、软盘和蓝光光碟,其中盘通常磁性的复制数据,而碟则用激光来光学的复制数据。上面的组合也应当包括在计算机可读介质的保护范围之内。

总之,以上所述仅为本发明技术方案的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:陈璟;靳维生;
  • 技术所有人:华为技术有限公司;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
信号系统安全认证相关技术
安全认证相关技术
安全认证系统相关技术
信息系统安全认证相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2