国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種lte中鑒權(quán)的方法

      文檔序號:7957789閱讀:1917來源:國知局
      專利名稱:一種lte中鑒權(quán)的方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種在移動通信的長期演進(簡稱LTE)系統(tǒng)中,提出了一種新的鑒權(quán)架構(gòu)和鑒權(quán)流程,從而實現(xiàn)更安全的通信的方法。
      背景技術(shù)
      LTE/SAE 項目是 3G 的演進,始于 2004 年 3GPP (3rd Generation PartnershipI^oject,第3代合作伙伴計劃)的多倫多會議。LTE是3G與4G技術(shù)之間的一個過渡,是3. 9G的全球標準。(注本專利中出現(xiàn)的術(shù)語、英文縮寫和函數(shù),如無特殊說明,均可認為來自3GPP系列協(xié)議)。為了適應(yīng)網(wǎng)絡(luò)的全IP化和扁平化的演進趨勢,LTE網(wǎng)絡(luò)將RRC (Radio ResourceControl,無線資源控制)功能放在eNode B (Evolved Node B,演進的Node B沖。與UMTS網(wǎng)絡(luò)相比,LTE 更加分布化,AS (Access Stratum,接入層)層和 NAS (Non-Access Stratum,非接入層)層分布在不同的網(wǎng)絡(luò)實體。由于這種成本日益低廉化、小型化的無線基站會大量部署,各個AS層之間及AS層和NAS層之間在地理和邏輯上都處于分離化狀態(tài),位于安全域的核心網(wǎng)實體難以為接入網(wǎng)絡(luò)提供安全保護,LTE網(wǎng)絡(luò)主要面臨以下安全方面的問題。(1)由于eNode B部署于非安全域,且地理位置分散,一旦eNode B被攻破,攻擊者可以利用攻破的eNode B對核心網(wǎng)的MME (Mobile Management Entity,移動管理實體)和S-Gff (Serving Gate Way,服務(wù)網(wǎng)關(guān))進行攻擊,也可以利用它對其他eNode B和UE (UserEquipment,用戶設(shè)備)進行攻擊。(2) UE開機注冊或初次加入網(wǎng)絡(luò),或因特殊情況需要,網(wǎng)絡(luò)無法恢復(fù)出UE的IMSI(International Mobile Subscriber Identity,全球移動用戶惟一標識)時,UE 將以明文發(fā)送IMSI,易被截獲。(3)UE和HSS (Home Subscriber Server,歸屬用戶服務(wù)器)需要長期共享密鑰K,一旦泄露,攻擊者可以輕而易舉地獲得機密通信的密鑰,從而截獲用戶數(shù)據(jù),將對用戶產(chǎn)生不可估量的損失。

      發(fā)明內(nèi)容
      本發(fā)明的目的是提出一種在LTE中使用的鑒權(quán)方法。本鑒權(quán)方法,包含以下步驟
      (I)UE向eNode B發(fā)起附著請求a及網(wǎng)絡(luò)選擇指示,消息包含TMSI(Temporary MobileSubscriber Identity,臨時移動用戶唯一標識)/IMSI, UE能力、UE的身份——由HSS中的 ASE (Authentication Service Entity,鑒別服務(wù)實體)頒發(fā),以及 PDN (Packet DataNetwork,分組數(shù)據(jù)網(wǎng))地址等參數(shù)。(2)eNode B根據(jù)TMSI/IMSI和網(wǎng)絡(luò)選擇指示推導(dǎo)得到MME,并生成附著請求b,它包含UE能力、UE的身份、eNode B的身份——由HSS中的ASE頒發(fā),以及PDN地址等參數(shù)。(3) eNode B發(fā)送附著請求b到MME。
      (4)MME 生成鑒權(quán)請求,消息包含 TMSI/IMSI、SNID (Server Network Identity,服務(wù)網(wǎng)標識)、Network Type (網(wǎng)絡(luò)類型)、UE的身份及eNode B身份等參數(shù)。(5) MME發(fā)送鑒權(quán)請求到HSS。(6)HSS用SNID對UE所在的服務(wù)網(wǎng)絡(luò)進行驗證。若驗證失敗,則拒絕該消息。若驗證通過,則HSS中的ASE分別對UE及eNode B的身份進行驗證,然后生成計數(shù)值SQNhss(由HSS中的計數(shù)器產(chǎn)生)和隨機數(shù)RAND,同時產(chǎn)生一個或一組鑒權(quán)向量AV (AuthenticationVector,鑒權(quán)向量),它包括參數(shù) RAND、AUTN(Authentication iToken,鑒證令牌)、XRES (通過和用戶返回的RES比較來達成密鑰協(xié)商的目的)和密鑰Kasme (用來產(chǎn)生非接入層和接入層密鑰的總密鑰)。完成這些過程之后,HSS生成鑒權(quán)響應(yīng),它包含鑒權(quán)向量和ASE對UE的身份及eNode B身份驗證的結(jié)果。(7) HSS發(fā)送鑒權(quán)響應(yīng)到MME。(8) MME根據(jù)收到ASE對eNode B身份驗證的結(jié)果進行處理,若eNode B不合法,則拒絕該消息。若它合法,則儲存AV并生成用戶鑒權(quán)請求a,它包含參數(shù)AUTN、RAND、KSIasme以及ASE對UE身份驗證結(jié)果。其中KSIasme是用來標識Kasme,目的是為了終端能獲得和網(wǎng)絡(luò)端一樣的KA3(E。(9) MME發(fā)送用戶鑒權(quán)請求a到eNode B。(10)根據(jù)ASE對UE身份驗證的結(jié)果進行處理,若UE不合法,則拒絕UE接入,若合法,則生成用戶鑒權(quán)請求b,它包括AUTN、RAND、KSIasmeo(11) eNode B發(fā)送用戶鑒權(quán)請求b到UE。(12) UE 將先核實收到的 AUTN 的 AMF (Authentication Management Field,鑒證管理域),若合適,則UE通過計算得出的XMAC,若不等于MAC,則UE將不接入網(wǎng)絡(luò),若兩者相等,則生成用戶鑒權(quán)響應(yīng)。(13) UE發(fā)送用戶鑒權(quán)響應(yīng)到MME。(注本步驟中,由于eNode B只是起到轉(zhuǎn)發(fā)的作用,但并不表示UE可以不經(jīng)過eNode B而可以和MME進行交互,具體的講是UE先發(fā)送用戶鑒權(quán)響應(yīng)到eNode B,后eNode B轉(zhuǎn)發(fā)到MME)。(14) MME計算得出的RES,若不等于XRES,則拒絕該消息,若兩者相等,則完成鑒權(quán)。后面的處理按照3GPP系列協(xié)議規(guī)定的處理流程處理。針對目前LTE網(wǎng)絡(luò)中存在的安全問題,本發(fā)明提出了一種新的鑒權(quán)模型和鑒權(quán)流程,可以解決這些問題。在上述流程中,明顯看出由于增加了核心網(wǎng)對eNode B的鑒權(quán)并把鑒權(quán)結(jié)果發(fā)送給MME,這樣就避免了一些非法的eNode B對核心網(wǎng)和用戶進行攻擊;當UE需要向核心網(wǎng)發(fā)送IMSI時,需要根據(jù)分配的TMSI完成上述通信流程,后利用ASE給UE頒發(fā)的身份來加密IMSI,這樣避免了 UE以明文的方式發(fā)送IMSI,使之不易被截獲;完成了上述步驟后,認為UE到ASE之間的通信鏈路是安全的,可以更新共享密鑰K。當然,后面兩個問題的解決,是依賴于事先已經(jīng)建立過的安全的鏈路而實現(xiàn)的。


      圖1是LTE中改進前鑒權(quán)流程圖(AKA協(xié)議);圖2是LTE中改進后鑒權(quán)流程圖;圖3是AV的生成過程;圖4是UE的鑒權(quán)功能。
      具體實施例方式
      實施例LTE中改進后鑒權(quán)過程,參見圖2,包括以下步驟
      (1)UE向eNodeB發(fā)起附著請求a及網(wǎng)絡(luò)選擇指示,消息包含TMSI(Temporary MobileSubscriber Identity,臨時移動用戶唯一標識)/IMSI, UE能力、UE的身份——由HSS中的 ASE (Authentication Service Entity,鑒別服務(wù)實體)頒發(fā),以及 PDN (Packet DataNetwork,分組數(shù)據(jù)網(wǎng))地址等參數(shù);
      (2)eNodeB根據(jù)TMSI/IMSI和網(wǎng)絡(luò)選擇指示推導(dǎo)得到MME,并生成附著請求b,它包含UE能力、UE的身份、eNode B的身份——由HSS中的ASE頒發(fā),以及PDN地址等參數(shù);
      (3)eNode B發(fā)送附著請求b到MME ;
      (4)MME生成鑒權(quán)請求,消息包含 TMSI/IMSI、SNID (Server Network Identity,服務(wù)網(wǎng)標識)、Network Type (網(wǎng)絡(luò)類型)、UE的身份及eNode B身份等參數(shù);
      (5)MME發(fā)送鑒權(quán)請求到HSS ;
      (6)HSS用SNID對UE所在的服務(wù)網(wǎng)絡(luò)進行驗證。若驗證失敗,則拒絕該消息。若驗證通過,則HSS中的ASE分別對UE及eNode B的身份進行驗證,然后生成計數(shù)值SQNhss (由HSS中的計數(shù)器產(chǎn)生)和隨機數(shù)RAND,同時產(chǎn)生一個或一組鑒權(quán)向量AV (AuthenticationVector,鑒權(quán)向量),它包括參數(shù) RAND、AUTN(Authentication iToken,鑒證令牌)、XRES (通過和用戶返回的RES比較來達成密鑰協(xié)商的目的)和密鑰Kasme (用來產(chǎn)生非接入層和接入層密鑰的總密鑰)。完成這些過程之后,HSS生成鑒權(quán)響應(yīng),它包含鑒權(quán)向量和ASE對UE的身份及eNode B身份驗證的結(jié)果;
      (7)HSS發(fā)送鑒權(quán)響應(yīng)到MME ;
      (8)MME根據(jù)收到ASE對eNode B身份驗證的結(jié)果進行處理,若eNode B不合法,則拒絕該消息。若它合法,則儲存AV并生成用戶鑒權(quán)請求a,它包含參數(shù)AUTN、RAND、KSIasme以及ASE對UE身份驗證結(jié)果。其中KSIasme是用來標識Kasme,目的是為了終端能獲得和網(wǎng)絡(luò)端一樣的 Ka31e ;
      (9)MME發(fā)送用戶鑒權(quán)請求a到eNode B ;
      (10)根據(jù)ASE對UE身份驗證的結(jié)果進行處理,若UE不合法,則拒絕UE接入,若合法,則生成用戶鑒權(quán)請求b,它包括AUTN、RAND、KSIasme ;
      (11)eNode B發(fā)送用戶鑒權(quán)請求b到UE ;
      (12)UE 將先核實收到的 AUTN 的 AMF (Authentication Management Field,鑒證管理域),若合適,則UE通過計算得出的XMAC,若不等于MAC,則UE將不接入網(wǎng)絡(luò),若兩者相等,則生成用戶鑒權(quán)響應(yīng);
      (13)UE發(fā)送用戶鑒權(quán)響應(yīng)到MME 先UE先發(fā)送用戶鑒權(quán)響應(yīng)到eNode B,后由eNodeB轉(zhuǎn)發(fā)到MME ;
      (14)MME計算得出的RES,若不等于XRES,則拒絕該消息,若兩者相等,則完成鑒權(quán);實施例2,在LTE中鑒權(quán)向量AV的生成過程
      參見圖3,UE和HSS各自維持一個計數(shù)器,并且計數(shù)器產(chǎn)生的SQNms和SQNhss的初值都為0。HSS收到鑒權(quán)請求后,生成隨機數(shù)RAND和SQNhss。圖中的和f2為認證函數(shù),f3> f4、f5> Sltl為密鑰生成函數(shù)。認證令牌AUTN=SQN AK IlAMF I I MAC,鑒權(quán)向量AV= (RAND |XRES || KASME | | AUTN),AK= f5 (RAND, K) ,MAC=fi (SQNhss I I RAND I IAMF,K),XRES= f2 (RAND, K),CK= f3 (RAND, K),IK= f4 (RAND, K),密鑰由CK、IK和服務(wù)網(wǎng)絡(luò)號從密鑰產(chǎn)生算法Sltl得到。(其中“ I I,,表示符號消息的串聯(lián),“ ω ”際識異或運算符。f5、S10來自AKA協(xié)議)實施例3,在LTE中,UE的鑒權(quán)功能
      參見圖4,UE收到用戶鑒權(quán)請求b之后,運算得到SQNms,后和UE中計數(shù)器產(chǎn)生的SQNis進行比較,判斷SQN MS,是不是在合適范圍內(nèi)。其中XMAC= (SQNll RAND | AMF,K),其余參數(shù)的運算過程與圖3中各參數(shù)的運算過程是相同的。UE會比較XMAC和MAC是否相等,也會驗證AMF分離標志位是否合法。
      權(quán)利要求
      1. 一種在LTE中,身份鑒權(quán)方法,包括以下步驟1)UE向eNode B發(fā)起附著請求a及網(wǎng)絡(luò)選擇指示,消息包含TMSI/IMSI、UE能力、UE的身份,以及分組數(shù)據(jù)網(wǎng)PDN地址;2)eNode B根據(jù)TMSI/IMSI和網(wǎng)絡(luò)選擇指示推導(dǎo)得到MME,并生成附著請求b,附著請求b包含UE能力、UE的身份、eNode B的身份及PDN地址;3)eNode B發(fā)送附著請求b到MME;4)MME生成鑒權(quán)請求,消息包含TMSI/IMSI、服務(wù)網(wǎng)標識SNID、網(wǎng)絡(luò)類型、UE的身份及eNode B 身份;5)MME發(fā)送鑒權(quán)請求到HSS;6)HSS用SNID對UE所在的服務(wù)網(wǎng)絡(luò)進行驗證,若驗證失敗,則拒絕該消息;若驗證通過,則HSS中的ASE分別對UE及eNode B的身份進行驗證,然后生成計數(shù)值SQNhss和隨機數(shù)RAND,同時產(chǎn)生一個或一組鑒權(quán)向量AV,它包括參數(shù)RAND、鑒證令牌AUTN、XRES和密鑰Kasme,然后,HSS生成鑒權(quán)響應(yīng),它包含鑒權(quán)向量AV和ASE對UE的身份及eNode B身份驗證的結(jié)果;7)HSS發(fā)送鑒權(quán)響應(yīng)到MME ;8)MME根據(jù)收到ASE對eNodeB身份驗證的結(jié)果進行處理,若eNode B不合法,則拒絕該消息;若它合法,則儲存AV并生成用戶鑒權(quán)請求a,它包含參數(shù)AUTN、RAND、KSIasme以及ASE對UE身份驗證結(jié)果,其中KSIasme是用來標識KASME,目的是為了終端能獲得和網(wǎng)絡(luò)端一樣的Ka31e ;9)MME發(fā)送用戶鑒權(quán)請求a到eNode B ;10)根據(jù)ASE對UE身份驗證的結(jié)果進行處理,若UE不合法,則拒絕UE接入,若合法,則生成用戶鑒權(quán)請求b,它包括參數(shù)AUTN、RAND和KSIasme ;11)eNode B發(fā)送用戶鑒權(quán)請求b到UE ;12)UE先核實收到的AUTN的鑒證管理域AMF,若合適,則UE通過計算得出的XMAC,若不等于MAC,則UE將不接入網(wǎng)絡(luò),若兩者相等,則生成用戶鑒權(quán)響應(yīng);13)UE發(fā)送用戶鑒權(quán)響應(yīng)到MME由UE先發(fā)送用戶鑒權(quán)響應(yīng)到eNode B,后由eNode B轉(zhuǎn)發(fā)到MME ;14)MME計算得出的RES,若不等于XRES,則拒絕該消息,若兩者相等,則完成鑒權(quán)。
      全文摘要
      針對目前LTE網(wǎng)絡(luò)中存在的安全問題,本發(fā)明提出了一種新的鑒權(quán)方法,在方法中,由于增加了核心網(wǎng)對eNodeB的鑒權(quán)并把鑒權(quán)結(jié)果發(fā)送給MME,這樣就避免了一些非法的eNodeB對核心網(wǎng)和用戶進行攻擊;當UE需要向核心網(wǎng)發(fā)送IMSI時,需要根據(jù)分配的TMSI完成上述通信流程,后利用ASE給UE頒發(fā)的身份來加密IMSI,這樣避免了UE以明文的方式發(fā)送IMSI,使之不易被截獲;通過本發(fā)明鑒權(quán)步驟,能夠使UE到ASE之間的通信鏈路是安全的,可以更新共享密鑰K。當然,后面兩個問題的解決,是依賴于事先已經(jīng)建立過的安全的鏈路而實現(xiàn)的。
      文檔編號H04W12/06GK102395130SQ20111033977
      公開日2012年3月28日 申請日期2011年11月1日 優(yōu)先權(quán)日2011年11月1日
      發(fā)明者劉達明, 商浩, 將貴全, 張 林, 李濤, 龍昭華 申請人:重慶郵電大學
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1