基于td-lte網(wǎng)絡(luò)的鑒權(quán)和密鑰衍生方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及通信技術(shù)領(lǐng)域,尤其設(shè)及基于TD-LTE網(wǎng)絡(luò)的鑒權(quán)和密鑰衍生方法及 系統(tǒng)。
【背景技術(shù)】
[0002] 集群通信的快速發(fā)展,尤其是更為先進的數(shù)字集群通信技術(shù),能夠為用戶提供更 強大的系統(tǒng)功能,數(shù)字集群通信系統(tǒng)集多功能于一體,在技術(shù)上和系統(tǒng)容量上能夠滿足大 型共網(wǎng)的建設(shè)要求,系統(tǒng)可提供指揮調(diào)度、電話互聯(lián)、數(shù)據(jù)傳輸、短消息收發(fā)、定位服務(wù)等 多種業(yè)務(wù)。建立共享網(wǎng)絡(luò),能有利于充分發(fā)揮數(shù)字集群該些強大的系統(tǒng)功能和優(yōu)良的網(wǎng)絡(luò) 性能,滿足當今各專業(yè)用戶對通信的需求。隨著社會經(jīng)濟的發(fā)展,政府部口、企事業(yè)單位對 移動調(diào)度服務(wù)的需求越加廣泛和迫切。因此對于集群系統(tǒng)業(yè)務(wù)的安全性也有著很關(guān)鍵的要 求。TD-LTE公網(wǎng)在我國發(fā)展迅速,已經(jīng)在我國大規(guī)模建網(wǎng)。基于TD-LTE公網(wǎng)的情況下可W 建立專用的集群網(wǎng)絡(luò)來發(fā)揮集群業(yè)務(wù)的優(yōu)勢,可W應(yīng)用于該些單位部口,滿足他們對于不 同業(yè)務(wù)的特殊要求。
[0003] TD-LTE公網(wǎng)集群系統(tǒng)無需為集群通信獨立建網(wǎng),而是與TD-LTE公眾網(wǎng)絡(luò)共享網(wǎng) 絡(luò)資源。其中,TD-LTE無線接入網(wǎng)是TD-LTE公眾網(wǎng)絡(luò)的主體構(gòu)成部分,占公眾移動通信網(wǎng) 絡(luò)投資的大部分,公網(wǎng)集群的接入網(wǎng)應(yīng)與公眾網(wǎng)絡(luò)的接入網(wǎng)共享,包括站址、天線等資源, 可有效利用公眾網(wǎng)絡(luò)資源。
[0004] 集群的安全等級和安全要求一般要比公網(wǎng)的高,所W要使用高級的加密算法和更 加復(fù)雜的鑒權(quán)機制來保證集群的高安全等級的要求成為目前急需解決的技術(shù)問題。
【發(fā)明內(nèi)容】
[0005] 為了解決現(xiàn)有技術(shù)中的問題,本發(fā)明提供了一種基于TD-LTE網(wǎng)絡(luò)的鑒權(quán)和密鑰 衍生方法。
[0006] 本發(fā)明提供了一種基于TD-LTE網(wǎng)絡(luò)的鑒權(quán)和密鑰衍生方法,包括LTE鑒權(quán)方法, 在LTE鑒權(quán)方法中包括如下步驟:
[0007] 鑒權(quán)請求發(fā)起步驟,用戶向非接入層移動管理實體發(fā)起鑒權(quán)請求;
[000引索要鑒權(quán)向量步驟,移動管理實體向歸屬用戶服務(wù)器索要鑒權(quán)向量;
[0009] 返回步驟,歸屬用戶服務(wù)器返回一套或多套通用分組核屯、演進鑒權(quán)向量{隨機 數(shù),鑒權(quán)令牌,預(yù)期響應(yīng),根密鑰}給移動管理實體,其中包含AMF分隔符,"1"代表LTE/ SAE, "0"代表非 LTE/SAE ;
[0010] 發(fā)送步驟,移動管理實體收到后保存預(yù)期用戶響應(yīng)、根密鑰,并將隨機數(shù)和鑒權(quán)令 牌發(fā)送給用戶;
[0011] 用戶端鑒權(quán)步驟,用戶通過鑒權(quán)特征向量對網(wǎng)絡(luò)進行鑒權(quán),用戶根據(jù)鑒權(quán)特征向 量&隨機數(shù)計算出鑒權(quán)響應(yīng)&CK/IK,進一步計算出根密鑰,用戶將鑒權(quán)響應(yīng)發(fā)送到移動管 理實體,移動管理實體將鑒權(quán)響應(yīng)和預(yù)期用戶響應(yīng)進行對比;
[0012] 推導(dǎo)步驟,用戶與移動管理實體根據(jù)根密鑰推導(dǎo)出非接入層與接入層所需的加密 密鑰和完整性保護密鑰。
[0013] 作為本發(fā)明的進一步改進,在鑒權(quán)和密鑰衍生方法中,IK,IV是密鑰衍生機制的初 始輸入密鑰,CK/IK分別表示加密和完整性密鑰;Kasme是一個中間密鑰,是終端和歸屬用戶 服務(wù)器在AKA過程中根據(jù)K生成的;ASME是一個網(wǎng)絡(luò)實體,根據(jù)接收到的歸屬用戶服務(wù)器 發(fā)送的密鑰,負責建立和維持歸屬用戶服務(wù)器與終端的安全協(xié)商;K。^也是一個中間密鑰, 是終端和移動管理實體根據(jù)根密鑰生成的;K。^的值取決于eNodeB識別碼,用于eNodeB為 RRC業(yè)務(wù)和UP業(yè)務(wù)生成密鑰;最后,為了 NAS信令、AS信令和用戶平面數(shù)據(jù)進行完整性保護 和機密性保護,還要生成如下5個密鑰;IU,IW。。lUe。。,Kupe。。,IWht和K W。。。。。,是演進 型基站密鑰,KwAsht是接入層完整性密鑰,K MS。。。是接入層安全性密鑰,K UP。。。是用戶層安全密 鑰,IWht是接入控制完整性密鑰,Kkk。。。。是接入控制安全性密鑰。
[0014] 作為本發(fā)明的進一步改進,
[0015] 用戶在鑒權(quán)過程中AS層和AS層密鑰將由初始密鑰K進行KDF算法處理后得出根 醬鑰Kasme ;
[0016] 根密鑰Kasme在NAS層進行衍生出NAS層使用的安全性密鑰K wASe。。和完整性保護密 鑰Kmsim,其中安全性密鑰和完整性密鑰的生成是根據(jù)用戶所支持的安全算法,通過選擇不 同的安全算法組合生成不同的安全性保護密鑰和完整性保護密鑰;
[0017] 根密鑰Kasme通過衍生得出中間密鑰K。^,中間密鑰Kewc主要用于AS層的安全性保 護密鑰Kckc。。。和完整性保護密鑰K cKCht的生成,其生成方式與NAS層相同,其中,通過改變安 全性算法中輸入的標志位BEARER則得到用戶層密鑰Kup。。。。
[0018] 作為本發(fā)明的進一步改進,該鑒權(quán)和密鑰衍生方法還包括密鑰生成方法,該密鑰 生成方法包括如下步驟:
[0019] CK和IK實現(xiàn)步驟;IK和IV是初始密鑰和向量,代入邸F算法得到K,K為邸F算法 得到的初始密鑰,根據(jù)用戶的算法選擇來選擇使用的安全算法,K分別代入EEA模塊和EIA 模塊中得到安全性密鑰CK和完整性IK ;
[0020] 基于用戶安全等級的密鑰K步驟;用戶安全等級高時,將K帶入到KDF函數(shù)中進行 衍生得到復(fù)雜度高的K,當用戶安全等級低時,直接將初始的K,通過衍生次數(shù)得到不同復(fù) 雜度的K來表示用戶安全等級;
[0021] Kasme實現(xiàn)步驟,將K代入到KDF算法中再截取后32位得到Kasme;
[0022] KwAsiM,IU。。。實現(xiàn)步驟:根據(jù)用戶的算法選擇來選擇使用的安全算法,將K asme分別 代入到邸4算法和EIA算法中得到KwASht,lUe。。;
[0023] K。^實現(xiàn)步驟:將K asme代入到邸F算法中再截取后32位可W得到K cw;
[0024] Kup。。。,IWht和K cKee。。實現(xiàn)步驟:根據(jù)用戶的算法選擇來選擇使用的安全算法,將 分別代入到EEA算法和EIA算法中得到K wee。。和K KKUM,Kup。。。是用戶層使用的保密性密 鑰,IWe。。是控制層使用的保密性密鑰,區(qū)別是設(shè)置不同的標志位炬EARER = 0,1)。
[0025] 本發(fā)明還提供了一種基于TD-LTE網(wǎng)絡(luò)的鑒權(quán)和密鑰衍生系統(tǒng),包括LTE鑒權(quán)單 元,在LTE鑒權(quán)單元中包括;
[0026] 鑒權(quán)請求發(fā)起模塊,用戶向非接入層移動管理實體發(fā)起鑒權(quán)請求;
[0027] 索要鑒權(quán)向量模塊,移動管理實體向歸屬用戶服務(wù)器索要鑒權(quán)向量;
[002引返回模塊,歸屬用戶服務(wù)器返回一套或多套通用分組核屯、演進鑒權(quán)向量{隨機 數(shù),鑒權(quán)令牌,預(yù)期響應(yīng),根密鑰}給移動管理實體,其中包含AMF分隔符,"1"代表LTE/ SAE, "0"代表非 LTE/SAE ;
[0029] 發(fā)送模塊,移動管理實體收到后保存預(yù)期用戶響應(yīng)、根密鑰,并將隨機數(shù)和鑒權(quán)令 牌發(fā)送給用戶;
[0030] 用戶端鑒權(quán)模塊,用戶通過鑒權(quán)特征向量對網(wǎng)絡(luò)進行鑒權(quán),用戶根據(jù)鑒權(quán)特征向 量&隨機數(shù)計算出鑒權(quán)響應(yīng)&CK/IK,進一步計算出根密鑰,用戶將鑒權(quán)響應(yīng)發(fā)送到移動管 理實體,移動管理實體將鑒權(quán)響應(yīng)和預(yù)期用戶響應(yīng)進行對比;
[0031] 推導(dǎo)模塊,用戶與移動管理實體根據(jù)根密鑰推導(dǎo)出非接入層與接入層所需的加密 密鑰和完整性保護密鑰。
[0032] 作為本發(fā)明的進一步改進,在鑒權(quán)和密鑰衍生系統(tǒng)中,IK,IV是密鑰衍生機制的初 始輸入密鑰,CK/IK分別表示加密和完整性密鑰;Kasme是一個中間密鑰,是終端和歸屬用戶 服務(wù)器在AKA過程中根據(jù)K生成的;ASME是一個網(wǎng)絡(luò)實體,根據(jù)接收到的歸屬用戶服務(wù)器 發(fā)送的密鑰,負責建立和維持歸屬用戶服務(wù)器與終端的安全協(xié)商;K。^也是一個中間密鑰, 是終端和移動管理實體根據(jù)根密鑰生成的;K。^的值取決于eNodeB識別碼,用于eNodeB為 RRC業(yè)務(wù)和UP業(yè)務(wù)生成密鑰;最后,為了 NAS信令、AS信令和用戶平面數(shù)據(jù)進行完整性保護 和機密性保護,還要生成如下5個密鑰;IU,IW。。lUe。。,Kupe。。,IWht和K W。。。。。,是演進 型基站密鑰,KwAsht是接入層完整性密鑰,K MS。。。是接入層安全性密鑰,K UP。。。是用戶層安全密 鑰,IWht是接入控制完整性密鑰,Kkk。。。。是接入控制安全性密鑰。
[0033] 作為本發(fā)明的進一步改進,
[0034] 用戶在鑒權(quán)過程中AS層和AS層密鑰將由初始密鑰K進行KDF算法處理后得出根 醬鑰Kasme ;
[0035] 根密鑰Kasme在NAS層進行衍生出NAS層使用的安全性密鑰K wASe。。和完整性保護密 鑰Kmsim,其中安全性密鑰和完整性密鑰的生成是根據(jù)用戶所支持的安全算法,通過選擇不 同的安全算法組合生成不同的安全性保護密鑰和完整性保護密鑰;
[0036] 根密鑰Kasme通過衍生得出中間密鑰K。^,中間