CN102036242B - 一种移动通讯网络中的接入认证方法和*** - Google Patents

一种移动通讯网络中的接入认证方法和*** Download PDF

Info

Publication number
CN102036242B
CN102036242B CN200910176393.0A CN200910176393A CN102036242B CN 102036242 B CN102036242 B CN 102036242B CN 200910176393 A CN200910176393 A CN 200910176393A CN 102036242 B CN102036242 B CN 102036242B
Authority
CN
China
Prior art keywords
ilr
authentication
access server
asn
random number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200910176393.0A
Other languages
English (en)
Other versions
CN102036242A (zh
Inventor
张世伟
符涛
吴强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN200910176393.0A priority Critical patent/CN102036242B/zh
Priority to PCT/CN2010/076174 priority patent/WO2011038620A1/zh
Publication of CN102036242A publication Critical patent/CN102036242A/zh
Application granted granted Critical
Publication of CN102036242B publication Critical patent/CN102036242B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种移动通讯网络中的接入认证的方法,包括用户终端需要进行认证时产生随机数RANDUE,获取ASN在网络中的RID以及ILR产生的随机数RANDILR;所述用户终端利用预共享密钥K1,计算得到认证结果RES2ILR,并将该RES2ILR发送给ASN;ASN产生随机数RANDASN,并将所述RES2ILR与随机数RANDASN发送给所述ILR;ILR利用预共享密钥K1,计算得到认证结果XRES2ILR,并将该XRES2ILR与接收到的RES2ILR进行比较,如果XRES2ILR与RES2ILR一致,接入认证通过。相应地,还提供了实现上述方法的***。本发明有效地避免了经由不可靠网络而导致的中间人攻击。

Description

一种移动通讯网络中的接入认证方法和***
技术领域
本发明涉及移动通讯领域,尤其涉及一种移动通讯网络中的接入认证的方法和***。
背景技术
接入认证是一个通讯网络的安全正常运行的基本需求,利用接入认证,网络可正确的鉴别用户身份,并赋予合法用户所签约的业务能力,防止其他用户盗用业务,保证计费的正确性。
目前WCDMA(Wideband Code Division Multiple Access,宽带码分多址)所采用的AKA(Authentication and Key Agreement,认证与密钥协商)认证方法是较完善的认证方法之一,WCDMA认证采用了共享密钥方式,用户终端的USIM(Universal Subscriber Identity Module,全球用户识别卡)卡和HLR(Home Location Register,归属位置寄存器)之间存在一个共享密钥K,同时,由HLR生成随机数RAND,然后通过几种专有算法,生成AUTN(认证令牌)、XRES(期望响应值)、CK(加密密钥)和IK(完整性保护密钥),这四个参数连同随机数RAND,生成鉴权五元组向量,然后HLR将XRES、AUTN、RAND传递到SGSN(Serving GPRS Support Node,服务GPRS支持节点),SGSN保存XRES,并将随机数RAND和AUTN传递到UE(User Equipment,用户终端),UE利用RAND和共享密钥K计算出AUTN,然后比对计算出的AUTN是否和传过来的AUTN一致,如果一致则表明终端接入的是合法的网络,如果不一致说明是假冒的网络。
当UE确定所接入的网络是合法网络后,它将根据随机数RAND和密钥K计算RES(认证响应),然后UE将RES返回到SGSN,SGSN判断UE发送的RES和HLR发送的XRES是否一致,如果一致说明是终端UE是合法用户,如果不一致,则认为是UE是非法用户。可以看出,这种AKA算法采用了双向认证,很好地解决了接入认证、加密以及完整性校验等问题,成为一种经典认证方法而被3G网络广泛应用。
WCDMA这种AKA认证方法,HLR和SGSN之间是通过明文传递的认证参数,这种方法是建立在每个SGSN节点都可信,且SGSN到HLR的消息路径都是严格可靠的情况下。但如果这种认证用于基于IP互联的网络中,由于IP网络的两个网络之间可能有多条路径相连,如果有一条路径的一个中间节点不够安全,如路径中的中间转发节点修改所传递的认证参数,就可能形成中间人攻击,如图1所示。
在图1中,如果SGSN和HLR之间采用IP网络传输,在传输的过程中,如果其中一个中间节点MN(如路由器)是恶意节点,此中间节点MN截获SGSN发到HLR的认证消息后,将SGSN的发往HLR的UE注册消息中的SGSN路由信息更改为恶意节点SGSN_mal的路由,这样经过中间节点MN修改后,虽然用户注册仍能成功,但HLR记录的用户接入位置却是SGSN_mal而不是SGSN,这样如果其他用户向此UE发送数据,其他用户所在接入服务器需要向HLR查询UE的当前位置,但HLR返回的UE接入点路由信息却是恶意节点SGSN_mal的信息,这样原本应该发向SGSN转发给UE的数据包,却被发向SGSN_mal,从而导致了一种典型的中间人攻击。
从上面可以看出,在WCDMA的认证机制下,由于AKA认证时没有对接入点SGSN路由信息进行保护,因而HLR和终端甚至ASN都不知道是否存在中间人攻击,因此无法做合理的防范。
发明内容
本发明要解决的技术问题是提供一种移动通讯网络中的接入认证的方法和***,可以防范中间人攻击,尤其适用于基于IP的移动通信网络。
为了解决上述问题,本发明提供了一种移动通讯网络中的接入认证的方法,包括:身份位置寄存器(ILR)对用户终端的接入认证过程,具体包括如下步骤:
所述用户终端需要进行认证时,产生随机数RANDUE,并获取接入服务器在网络中的路由标识符(RID)以及所述ILR产生的随机数RANDILR
所述用户终端利用预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算得到认证结果RES2ILR,并将该认证结果RES2ILR发送给所述接入服务器;
所述接入服务器收到所述认证结果RES2ILR后,产生随机数RANDASN,并将所述认证结果RES2ILR与所述随机数RANDASN发送给所述ILR;
所述ILR利用所述预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算得到认证结果XRES2ILR,并将该认证结果XRES2ILR与接收到的认证结果RES2ILR进行比较,如果所述认证结果XRES2ILR与所述认证结果RES2ILR一致,所述接入认证通过;否则,所述接入认证失败;
其中,所述预共享密钥K1为所述用户终端与所述ILR的预共享密钥;所述第二认证参数包括所述随机数RANDUE、所述随机数RANDILR、用户身份标识符(SID)和所述RID为参数。
进一步地,上述方法还具有如下特定:
所述接入服务器产生随机数RANDASN后,并将所述认证结果RES2ILR与所述随机数RANDASN发送给所述ILR进一步包括如下步骤:
所述接入服务器将所述认证结果RES2ILR和随机数RANDASN用所述ILR的公钥采用非对称加密算法加密后生成加密数据E2;所述接入服务器将该加密数据E2发送给所述ILR;
所述ILR计算所述认证结果XRES2ILR之前还包括:
所述ILR用所述ILR的私钥Ki对所述加密数据E2解密,获取所述认证结果RES2ILR和所述随机数RANDASN
进一步地,上述方法还具有如下特定:
所述接入服务器将所述加密数据E2发送给所述ILR进一步包括如下步骤:
所述接入服务器用所述接入服务器的私钥Ka对所述加密数据E2进行数字签名SIGNASN;所述接入服务器将所述加密数据E2和所述数字签名SIGNASN发送给所述ILR;
所述ILR对所述加密数据E2解密前,还包括:
所述ILR用所述接入服务器的公钥KASN检验数字签名SIGNASN的正确性,如果正确,继续执行所述ILR用所述ILR的私钥Ki对所述加密数据E2解密的步骤。
进一步地,上述方法还具有如下特定:
所述ILR对所述用户终端的接入认证过程之前,还包括所述用户终端对所述ILR的认证,具体包括如下步骤:
当用户终端需要接入认证时,将所述SID和所述随机数RANDUE发送给所述接入服务器;
所述接入服务器将接收到的所述SID和随机数RANDUE,连同所述接入服务器的公钥KASN以及所述RID发送给所述ILR;
所述ILR利用所述预共享密钥K1通过第一消息完整性校验算法对第一认证参数计算得到认证结果RES2UE,并用所述KASN采用非对称加密算法对第一加密参数加密后,将加密数据E1发送给所述接入服务器;其中,所述第一认证参数包括所述随机数RANDUE和随机数RANDILR;所述第一加密参数包括所述认证结果RES2UE和随机数RANDILR
所述接入服务器利用接入服务器的私钥Ka对所述加密数据E1解密后,将得到的认证结果RES2UE和随机数RANDILR发送给所述用户终端;
所述用户终端收到所述认证结果RES2UE和随机数RANDILR后,利用所述预共享密钥K1通过第一消息完整性校验算法对第一认证参数计算得到认证结果XRES2UE后与所述认证结果RES2UE进行比较,如果一致,所述用户终端对所述认证服务器的认证通过,否则,所述用户终端对所述认证服务器的认证失败。
进一步地,上述方法还具有如下特定:
所述ILR对所述用户终端的认证通过后,还包括所述接入服务器对所述ILR的认证,具体包括如下步骤:
所述ILR利用所述ILR与所述接入服务器共享的认证密钥KAI,通过第三消息完整性校验算法对第三认证参数计算得到认证结果RES2ASN,并用所述接入服务器的公钥KASN对第二加密参数加密后得到加密数据E3,将该加密数据E3发送给所述接入服务器;其中,所述第三认证参数包括RANDASN,RANDUE,RANDILR,RID,ILR的网络标识符(IID)和SID;所述第二加密参数包括所述认证结果RES2ASN
所述接入服务器接收到所述加密数据E3后,用所述接入服务器的私钥Ka将所述加密数据E3解密,提取所述RES2ASN,并用所述认证密钥KAI通过第三消息完整性校验算法对第三认证参数计算得到认证结果XRES2ASN
所述接入服务器将所述XRES2ASN和所述RES2ASN进行比较,如果一致,则所述接入服务器对所述ILR的认证通过;如果不一致,所述接入服务器对所述ILR的认证失败。
进一步地,上述方法还具有如下特定:
所述第一加密参数还包括所述ILR的公钥KILR和IID;
所述第二加密参数还包括接入数据加密密钥KENC,接入数据完整性校验密钥KINT,以及其他密钥和参数中的一种或多种;
其中,所述接入数据加密密钥KENC是所述认证服务器利用所述用户终端与所述认证服务器之间的共享的加密根密钥K2,以所述RANDUE,RANDILR,SID和RID为参数,采用加密密钥生成算法计算得到;
所述接入数据完整性校验密钥KINT是所述认证服务器利用所述用户终端与所述认证服务器之间共享的完整性密钥K3,以所述RANDUE,RANDILR,SID和RID为参数,采用完整性校验密钥生成算法计算得到。
进一步地,上述方法还具有如下特定:
所述ILR将所述加密数据E3发送给所述接入服务器进一步包括:
所述ILR用所述ILR的私钥Ki生成所述加密数据E3的数字签名SIGNILR,并将该数字签名SIGNILR与所述加密数据E3一起发送给所述接入服务器;
所述接入服务器对所述加密数据E3解密之前,还包括:
所述接入服务器先用所述ILR的公钥KILR检验数字签名SIGNILR的正确性,如果正确,则继续执行所述接入服务器利用接入服务器的私钥Ka对所述加密数据E3解密的步骤。
进一步地,上述方法还具有如下特定:
所述接入服务器是服务GPRS支持节点、网关GPRS支持节点、分组数据支持节点、服务网关分组数据网关或外部代理。
进一步地,上述方法还具有如下特定:
所述移动通讯网络为基于IP的移动通讯网络。
进一步地,上述方法还具有如下特定:
所述ILR为归属位置寄存器、归属用户服务器、授权/认证/计费服务器或其他认证服务器。
为了解决上述问题,本发明还提供了一种移动通讯网络中的接入认证的***,包括用户终端,接入服务器和身份位置寄存器(ILR),其中:
所述用户终端,用于在需要进行认证时产生随机数RANDUE,获取所述接入服务器在网络中的路由标识符(RID)以及所述ILR产生的随机数RANDILR,并利用预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算得到认证结果RES2ILR,将该认证结果RES2ILR发送给所述接入服务器;
所述接入服务器,用于收到所述认证结果RES2ILR后,产生随机数RANDASN,并将所述认证结果RES2ILR与所述随机数RANDASN发送给所述ILR;
所述ILR,用于收到所述接入服务器发送来的所述认证结果RES2ILR与所述随机数RANDASN后,利用所述预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算得到认证结果XRES2ILR,并将该认证结果XRES2ILR与接收到的认证结果RES2ILR进行比较,如果所述认证结果XRES2ILR与所述认证结果RES2ILR一致,所述接入认证通过;否则,所述接入认证失败;
其中,所述预共享密钥K1为所述用户终端与所述ILR的预共享密钥;所述第二认证参数包括所述随机数RANDUE、所述随机数RANDILR、用户身份标识符(SID)和所述RID为参数。
进一步地,上述***还具有如下特定:
所述用户终端,还用于在需要接入认证时将所述SID和所述随机数RANDUE发送给所述接入服务器;以及收到所述接入服务器发送来的随机数RES2UE和随机数RANDILR后,利用所述预共享密钥K1通过第一消息完整性校验算法对第一认证参数计算得到认证结果XRES2UE后与所述认证结果RES2UE进行比较,如果一致,所述用户终端对所述认证服务器的认证通过,否则,所述用户终端对所述认证服务器的认证失败;
所述接入服务器,还用于将接收到的所述SID和随机数RANDUE,连同所述接入服务器的公钥KASN以及所述RID发送给所述ILR;
所述ILR,还用于利用所述预共享密钥K1通过第一消息完整性校验算法对第一认证参数计算得到认证结果RES2UE,并用所述KASN采用非对称加密算法对第一加密参数加密后,将加密数据E1发送给所述接入服务器;其中,所述第一认证参数包括所述认证结果RANDUE和随机数RANDILR;所述第一加密参数包括所述认证结果RES2UE和随机数RANDILR
所述接入服务器,还用于利用接入服务器的私钥Ka对所述加密数据E1解密后,将得到的认证结果RES2UE和随机数RANDILR发送给所述用户终端。
进一步地,上述***还具有如下特定:
所述ILR,还用于利用所述ILR与所述接入服务器共享的认证密钥KAI,通过第三消息完整性校验算法对第三认证参数计算得到认证结果RES2ASN,并用所述接入服务器的公钥KASN对第二加密参数加密后得到加密数据E3,将该加密数据E3发送给所述接入服务器;其中,所述第三认证参数包括RANDASN,RANDUE,RANDILR,RID,ILR的网络标识符(IID)和SID;所述第二加密参数包括所述认证结果RES2ASN
所述接入服务器,还用于在接收到所述加密数据E3后,用所述接入服务器的私钥Ka将所述加密数据E3解密,提取所述RES2ASN,并用所述认证密钥KAI通过第三消息完整性校验算法对第三认证参数计算得到认证结果RES2ASN,并将所述认证结果XRES2ASN和所述认证结果RES2ASN进行比较,如果一致,则所述接入服务器对所述ILR的认证通过;如果不一致,所述接入服务器对所述ILR的认证失败。
上述方法和***有效地避免了经由不可靠网络而导致的中间人攻击,通过将接入点路由信息和认证结果绑定,来保证接入点就是用户真实的接入点。在一实施例中,还可以获得以下优点:
第一:上述方法和***在ILR或者UE计算认证结果时,均采用了各自节点自己生成的随机数RANDILR、RANDASN、RANDUE,这可以避免中间人将随机数改为非随机数,让UE或ILR生成认证结果来破解共享密钥。
第二:上述方法和***将ASN和ILR的公钥KASN和KILR向对方分发的过程穿插到UE对ILR的认证和ILR对UE的认证中,保证了公钥KASN和KILR能够正确无误的到达目的服务器,避免中间人对公钥KASN和KILR截取或替换,保证了后续数据传递的安全性。
第三:通过三个认证过程,很好的保证了网络各方都不能被假冒,保证了整个网络认证体系的安全性。
第四:通过数字签名,保证了ILR中产生的密钥KENC和KINT能通过不安全网络正确到达ASN,保证了从UE到ASN的接入侧数据传输的安全性。
附图说明
图1所示为现有技术的WCDMA所采用的认证机制中中间人攻击场景;
图2所示为本发明实施例所采用的认证机制的示意图。
具体实施方式
下面结合附图详细说明本发明的具体实施方式。
UE在接入网络时,首先必须通过接入服务节点(ASN:Access ServiceNode)的认证,由于移动用户UE经常从一个接入点漫游到另一个接入点,因此用户所接入的ASN和存储用户身份信息和位置信息的身份位置寄存器(ILR Identity Location Register,ILR)往往不在同一地,当两者位于不同区域通过IP网络或其他数据网络互联时,可能会出现背景技术图1中描述的中间人攻击。
本实施例中所述的认证方法至少包括ILR对UE的认证,还可以进一步包括UE对ILR的认证和ASN对ILR的认证。
其中,ILR对UE的认证可保证UE为本网络的合法用户;UE对ILR认证可保证接入的网络是合法的网络,防止假冒网络欺骗UE;ASN对ILR认证可保证ILR为合法认证服务器,防止假冒ILR和假冒UE联合起来欺骗ASN,盗用ASN宝贵的无线资源。利用这三个相互融合的认证,完全避免了ASN和ILR之间存在的不安全路径而被中间人攻击的可能,使移动网络的认证过程更加安全可靠。
其中,ASN可以是SGSN、GGSN(Gateway GPRS Support Node,网关GPRS支持节点)、PDSN(Packet Data Support Node,分组数据支持节点)、SGW(Serving Gateway,服务网关)或PGW(PDN Gateway,分组数据网关),FA(Foreign Agency,外部代理)等;
ILR是逻辑标识,在具体应用场景中可以是HLR、归属用户服务器(HomeSubscriber Server,HSS)、授权/认证/计费服务器(Authorization、Authentication、Accounting,AAA)或其他认证服务器。
同时,定义UE、ASN和ILR的标识符分别为SID(Subscriber Identification,用户身份标识符)、RID(Route Identification,路由标识符)和IID(ILR在网络中的路由标识);UE和ILR之间存在共享密钥K1、K2和K3;其中,K1是UE和ILR预共享密钥,主要负责UE对ILR认证以及ILR对UE认证,K2为生成加密密钥的根密钥,K3为用于生成完整性校验密钥的根密钥,K2和K3可以由UE和ILR预先约定好,也可以由K1推导而来,UE和ILR还分别都具备认证算法f1、f2、f4、f5。另外在ASN和ILR之间存在共享密钥KAI,并分别都具备认证算法f3。
下面具体描述本实施例的实现过程:
步骤201:当UE漫游到一个新的接入点时,将向此新接入点的ASN发送SID;
其中SID可以通过发送“接入请求”消息发送,也可以直接发起数据包,其中携带UE的身份标识符SID。
步骤202:ASN收到该SID后检查该SID是否已通过认证,如果没有通过认证,则向UE发送RID,并指示UE进行认证;
其中,ASN可以通过向UE发送“需要接入认证”消息发送RID并指示UE进行认证,也可以通过广播方式将SID传递给UE。
步骤203:UE收到需要认证的指示后,生成一个随机数RANDUE,并通过“认证网络请求”消息将该RANDUE与SID发送给ASN;
此外,为了简化ASN收到“认证网络请求”消息后的处理,也可以由UE直接将RANDUE、SID一起以及RID发送给ASN;
本文中的随机数均可以由计算机编程语言中的伪随机数算法生成;
步骤204:ASN将收到的RANDUE和SID,连同RID以及ASN的公钥KASN四个参数“RANDUE,SID,RID,KASN”通过“认证网络请求”消息一起发送给ILR;
其中,如果步骤203中发来的“需要接入认证”包含RID,ASN只需添加ASN的公钥KASN即可;
ASN的公钥KASN可以有多组,也可临时生成,只要在一个用户的认证过程中保持不变就可以。
步骤205:ILR收到ASN发送来的“认证网络请求”消息,先产生一个随机数RANDILR,并利用SID对应的共享认证密钥K1,以RANDUE、RANDILR、SID、RID为参数,通过f1算法计算得到RES2UE,即RES2UE=f1K1(RANDUE,RANDILR,SID,RID),并用ASN的公钥KASN把RES2UE、RANDILR、ILR的公钥KILR、ILR的网络标识符IID加密得到E1,然后通过“认证网络响应”消息将加密数据E1发送给ASN;
优选地,可以将RES2UE、RANDILR、ILR的公钥KILR、ILR的网络标识符IID并成一个长数据串(RES2UE|RANDILR|KILR|IID),然后ILR对这个长数据串(RES2UE|RANDILR|KILR|IID)用ASN的公钥KASN进行加密,得到后通过“认证网络响应”消息发送给ASN;其中,将RES2UE、RANDILR、KILR和IID并成长数据串时可以以任何顺序进行合并,只要ASN能够正确识别出这四个参数即可;如,RES2UE、RANDILR、KILR、IID可以采用约定的长度,约定的顺序,便于ASN接收后按序分离这四个参数;
其中,表示用ASN的公钥KASN对方括号[]内的数据加密,此处的加密算法可以是RSA或数字签名算法(Digital Signature Algorithm,DSA)等任意非对称加密算法;
RES2UE表示发向UE的认证计算结果;
f1为一种消息完整性认证算法,具体算法可采用MD5或SHA-1以及其他自定义消息摘要算法等,本发明不指定f1的具体算法,具体采用哪种算法可由运营商根据实际运营的安全需求确定,用于UE对ILR(网络)的认证和ILR对UE的认证,在ILR和UE中计算RES2UE和XRES2UE,同时存在于UE和ILR中,f1K1(RANDUE,RANDILR,SID,RID)表示用RANDUE、RANDILR、SID和RID作为输入参数,采用预共享密钥K1经过f1算法运算的结果;
步骤206:ASN收到ILR发送来的“认证网络响应”消息后,利用ASN的私钥Ka解密,得到RES2UE和RANDILR,并发送到UE;
此时,ASN还可以进一步记录KILR和IID,用于当ASN接收到ILR向ASN传递了UE的数据加密密钥KENC完整性密钥KINT后,在UE和ASN之间的数据流需要加密和完整性校验时使用;如果仅仅用于认证而UE和ASN之间不需要加密和数据完整性校验等业务需要的共享安全密钥时,步骤205和步骤206中也可以不包括KILR和IID。
步骤207:UE收到RES2UE和RANDILR后,利用f1算法得到XRES2UE,即XRES2UE=f1K1(RANDUE,RANDILR,SID,RID)后与RES2UE进行比较,对ILR进行认证:
如果不一致,则通知ASN认证失败;如果一致,UE对ILR的认证通过;
如果UE对XRES2UE和RES2UE的比较结果为一致,可以继续ILR对UE的认证,此时,UE进一步向ASN发送“认证终端请求”消息,其中携带有以RANDUE、RANDILR、SID、RID为参数,用预共享密钥K1并采用f2算法计算出的返回给ILR的认证结果RES2ILR,即:RES2ILR=f2K1(RANDUE,RANDILR,SID,RID);
其中,如果UE通过对XRES2UE和RES2UE进行比较,结果为二者不一致,则说明网络是非法的,或者遭受了中间人攻击;
终端的f1算法与ILR上的f1算法相同;
RES2ILR表示发向ILR的认证计算结果;
f2K1(RANDUE,RANDILR,SID,RID)表示用RANDUE、RANDILR、SID、RID作为输入参数,采用共享认证密钥K1经过f2算法运算的结果;
需要指出的是,本文并不指定f2的具体算法,只要满足用RANDUE、RANDILR、SID、RID作为输入参数,采用共享认证密钥K1经过f2算法即可,如可以是MD5或SHA-1等标准算法,或者其他自定义算法;
步骤208:ASN收到终端发送来的“认证终端请求”消息后,生成一个随机数RANDASN,并用公钥KILR对RES2ILR和RANDASN加密,得到E2,再用ASN的私钥Ka对加密数据E2进行数字签名SIGNASN,然后将加密数据E2以及数字签名SIGNASN通过“认证终端请求”发送给认证服务器ILR;
其中,ASN可以将生成的随机数RANDASN与RES2ILR按照约定的顺序和长度合并成一个数据串RES2ILR|RANDASN,也就是说,也可以采用数据串RANDASN|RES2ILR只要按约定顺序和长度就可以,下文中数据串中的参数顺序也是按约定顺序和长度即可。ASN然后使用ILR的公钥KILR对这个串进行加密,形成加密后的数据E2,如
表示用认证服务器ILR的公钥KILR对方括号[]内的数据加密得到的结果,此处的加密算法同样也可以是RSA或DSA等非对称加密算法;
步骤209:ILR收到ASN发送来的“认证终端请求”消息后,用ASN的公钥KASN检验数字签名SIGNASN的正确性,如果正确,则用ILR的私钥Ki对加密数据E2(如)进行解密,得到RES2ILR和RANDASN,然后用f2算法计算XRES2ILR=f2K1(RANDUE,RANDILR,SID,RID),并将该XRES2ILR与解密得到的RES2ILR(即UE发送来的RES2ILR)进行比较,如果不一致,则通知ASN认证失败;如果一致,则认证通过;
当ILR对UE的认证通过后,还可以进一步开始ASN对ILR的认证过程,此时,ILR利用其与ASN的共享密钥KAI,采用f3算法计算(RANDASN,RANDUE,RANDILR,RID,IID,SID);同时采用f4算法和UE与ILR之间的共享的加密根密钥K2计算UE和ASN之间的接入数据加密密钥KENC=f4K2(RANDUE,RANDILR,SID,RID);并通过f5算法和UE与ILR之间的共享的完整性校验根密钥K3计算UE和ASN之间的接入数据完整性校验密钥KINT=f5K3(RANDUE,RANDILR,SID,RID),计算完整性密钥KINT等;然后用ASN的公钥KASN对RES2ASN、KENC和KINT加密后得到一加密数据,并用ILR的私钥Ki生成该加密数据的数字签名SIGNILR,并通过“认证通过”消息将加密数据和SIGNILR发送到ASN。
其中,如果XRES2ILR与RES2ILR比较的结果为不一致,则说明终端UE是假冒的,或者有中间人攻击;
本文同样不具体定义f3算法;
本文同样不定义f4、f5的具体算法。
可以将RES2ASN、KENC和KINT(以任意约定的顺序和长度)并接成一个长数据串,如可以是RES2ASN|KENC|KINT,然后使用ASN的公钥KASN对该并接后的长数据串加密得到E3,即,并用ILR的私钥Ki对加密后的数据E3进行数字签名。
此外,本步骤的“认证通过”还可以进一步包括其他需要从ILR发送到ASN的密钥或参数,如也可以将UE的切换密钥包含进去传递到ASN等。
f1,f2,f3都是消息完整性校验算法,可以为MD5或SHA-1或其他自定义的消息摘要算法等,可以是相同的或不同的消息完整性校验算法,f4是加密密钥生成算法,f5是完整性校验密钥生成算法,这两种算法一般与前面的不同,上述算法都可以由运营商自己设定,本发明不指定具体算法。关于这些算法的分发和存放地点,对于终端,一般烧制于SIM/USIM/UIM卡中或集成于终端软件中,对于认证服务器,一般以加密方式保存于ILR的数据库中,对所有用户f1~f5算法都是相同的,不同的只是共享密钥K1、K2、K3。在实际运营中,运营商一般也将f1~f5对外界保密,以保证更好的安全性。
步骤210:ASN收到ILR发送来的“认证通过”消息后,先用ILR的公钥KILR检验数字签名的正确性,然后用ASN的私钥Ka将加密数据E3解密,提取RES2ASN、KENC以及KINT,然后ASN用密钥KAI及f3算法计算(RANDASN,RANDUE,RANDILR,RID,IID,SID),并将XRES2ASN和RES2ASN进行比较,如果不一致,认证失败;如果一致,则向UE发送“认证通过消息”;
其中,ASN还可以进一步地保存KENC和KINT,分别用于后续对UE和ASN之间传输的数据的加密和完整性校验;
当ASN用XRES2ASN和RES2ASN进行比较时,如果不一致,说明是用户UE和ILR两个联合起来欺骗ASN。
步骤211:终端UE收到“认证通过”消息后,分别计算出KENC和KINT,在后续和ASN的数据交互中,可根据***要求利用这两个密钥对UE和ASN之间的数据进行加密和完整性校验。
其中,KENC=f4K2(RANDUE,RANDILR,SID,RID);
KINT=f5K3(RANDUE,RANDILR,SID,RID)。
本发明通过将ASN的RID和公钥KASN以及ILR的公钥KILR作为UE和ILR双向认证的参数,利用UE和ILR之间的共享认证密钥K1来计算多个参数,并通过将多个参数混合运算后得出认证结果,从而实现ILR对UE的认证及UE对ILR双向认证的同时,也保证了接入服务器ASN的RID和公钥KASN能正确的从ASN传送到ILR,同时也保证了ILR的公钥KILR能正确地从ILR传送到ASN,以及在ILR中生成加密密钥KENC和完整性校验密钥KINT能正确的从ILR传送到ASN。
另外,本发明还加入了ASN对ILR的认证,避免了UE和ILR同时假冒来骗取ASN的信任从而使用网络的情况。
在上述实施例中,有几种手段检测是否产生了中间人攻击:
首先,UE收到ILR发来的认证网络响应消息后,利用共享密钥K1和接入点标识RID、用户身份标识SID及相关随机数RANDUE和RANDILR算出的认证结果XRES2UE和ILR发来的RES2UE不一致,认为产生了中间人攻击。
同样,如果ILR收到UE发来的认证终端请求消息后,利用共享密钥K1和接入点标识RID、用户身份标识SID以及相关随机数RANDUE和RANDILR算出的认证结果XRES2ILR和ILR发来的RES2ILR不一致,认为产生了中间人攻击。
另外,如果ASN收到ILR发来的RES2ASN和ASN自己计算的XRES2ASN不一致,也认为产生了中间人攻击。
两个数字签名SIGNASN和SIGNILR如果传送的结果和计算结果不一致也认为发生了中间人攻击。
通过上述流程,实现了:
1、终端UE对认证服务器ILR的认证,防止了假冒的网络攻击。
2、认证服务器ILR对终端UE的认证,防止了假冒的终端接入。
3、接入服务器ASN对认证服务器ILR的认证,防止了假冒的终端和认证服务器同时欺骗ASN.
4、从ASN正确传递了RID和KASN到ILR,从ILR正确传递了IID和KILR到ASN,在ASN和ILR之间建立了安全通道,便于后续其他ILR产生的针对UE的共享密钥通过此安全通道传输到ASN。
5、从ILR正确传递了KENC和KINT到ASN,在UE和ASN之间的接入侧建立了安全数据传输通道。
相应地,本实施例还给出了一种实现上述方法的***,包括用户终端,接入服务器和认证服务器,其中:
用户终端,用于当所述用户终端需要接入认证时,产生一个随机数RANDUE,并将用户身份标识符(SID)和随机数RANDUE发送给接入服务器;以及用户终端收到接入服务器发送来RES2UE和RANDILR后,利用f1算法得到XRES2UE后与RES2UE进行比较,如果一致,用户终端对所述认证服务器的认证通过,如果不一致,用户终端对认证服务器的认证失败;
接入服务器,用于将接收到的SID和随机数RANDUE,连同接入服务器的公钥(KASN)以及接入服务器在网络中的路由标识符(RID)发送给认证服务器;以及利用其私钥Ka对认证服务器发送来的加密数据E1解密后,将得到的RES2UE和RANDILR发送给用户终端
认证服务器,用于利用所述RID和KASN生成RANDILR,并利用SID对应的共享认证密钥K1,以RANDUE和RANDILR为参数,通过f1算法计算得到RES2UE,并用KASN把RES2UE和RANDILR加密,并将加密后的加密数据E1发送给接入服务器;
其中,所述f1算法为一种认证算法,用于用户终端对认证服务器的认证,同时存在于用户终端和认证服务器中。
加密数据E1中还包括用所述KASN加密的认证服务器的公钥(KILR)和认证服务器的网络标识符(IID);
用户终端利用f1算法得到XRES2UE后与RES2UE进行比较后,用户终端、接入服务器和认证服务器还用于:
用户终端,还用于如果不一致,用户终端通知接入服务器认证失败;如果一致,用户终端向接入服务器发送认证终端请求消息,其中携带有利用K1,以RANDUE、RANDILR、SID和RID为参数,采用f2算法计算出的返回给认证服务器的认证结果RES2ILR
接入服务器,用于收到认证终端请求消息后,生成随机数RANDASN,并用KILR对RES2ILR和RANDASN加密后将加密数据E2发送给认证服务器;
认证服务器,用于利用认证服务器的私钥Ki对接入服务器发送来的加密数据E2解密得到RES2ILR和RANDASN,然后利用K1,以RANDUE、RANDILR、SID和RID为参数,用f2算法计算出XRES2ILR,并将该XRES2ILR与解密得到的RES2ILR进行比较,如果一致,认证服务器对用户终端的认证通过;如果不一致,认证服务器对用户终端的认证失败。
所述f2为一种认证算法,同时存在于同时存在于用户终端和认证服务器中。
认证服务器对所述用户终端的认证通过后,接入服务器和认证服务器还用于:
认证服务器,用于利用其与接入服务器的共享密钥KAI,以RANDASN,RANDUE,RANDILR,RID,IID和SID作为参数,用f3算法计算RES2ASN,并用接入服务器的公钥KASN对RES2ASN加密后得到一加密数据E3,将该加密数据E3发送给接入服务器;
接入服务器,用于接收到加密数据E3后,用接入服务器的私钥Ka将加密数据E3解密,提取RES2ASN,并将XRES2ASN和RES2ASN进行比较,如果不一致,接入服务器对认证服务器的认证失败;如果一致,则接入服务器对认证服务器的认证通过;
所述f3算法为一种认证算法,同时存在于接入服务器和认证服务器之间。
综上所述,本方法有下述优点:
第一,由于本发明在UE和ILR双方计算认证结果的时候,加入了对接入服务器的路由标识RID计算,从机制上使UE看到的ASN的路由标识和ILR看到的ASN的路由标识一致,保证了ILR中登记的用户接入的RID和实际接入的一致,避免了中间人修改接入服务器标识RID而产生的中间人攻击;
第二,本方案在认证服务器ILR或者终端UE计算认证结果时,均采用了各自节点自己生成的随机数RANDILR、RANDASN、RANDUE,这可以避免中间人将随机数改为非随机数,如全0字符串,让UE或ILR生成认证结果来猜测共享密钥。
举例来说,如果随机数全由对方生成,如果信令被中间人截取,中间人就可以将随机数修改为一个不随机的数值,如00000000,然后交由UE计算结果,这样就有了参数00000000和认证响应RESUE一个对照结果。然后中间人再将随机数改为00000001,然后再由UE计算对照结果。多次重复后,中间人可能就攻破了UE的共享密钥。
在WCDMA中,只有HLR服务器产生随机数,UE不产生随机数,因此在WCDMA中,不能排除上述攻击UE的可能。而在本发明的方案中,由于UE、ILR和ASN各自都产生随机数,因此杜绝了中间人修改随机数来形成攻击的可能,从而保证了接入认证中共享密钥的安全性。
第三,本方案巧妙的将ASN和ILR的公钥KASN和KILR向对方分发的过程穿插到UE对ILR的认证和ILR对UE的认证中,保证了公钥KASN和KILR能够正确无误的到达目的服务器,避免中间人对公钥KASN和KILR截取或替换,保证了后续数据传递的安全性。
第四,本文使用的三个认证过程,很好的保证了网络各方都不能被假冒,保证了整个网络认证体系的安全性。
第五,通过数字签名,保证了ILR中产生的密钥KENC和KINT能通过不安全网络正确到达ASN,保证了从UE到ASN的接入侧数据传输的安全性。
此外,本发明涉及的名词缩写如下表:

Claims (10)

1.一种移动通讯网络中的接入认证的方法,其特征在于,所述移动通讯网络包括身份位置寄存器ILR对用户终端的接入认证过程,所述方法具体包括如下步骤:
所述用户终端需要进行认证时,产生随机数RANDUE,并获取接入服务器在网络中的路由标识符RID以及所述ILR产生的随机数RANDILR
所述用户终端利用预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算得到认证结果RES2ILR,并将该认证结果RES2ILR发送给所述接入服务器;
所述接入服务器收到所述认证结果RES2ILR后,产生随机数RANDASN,并将所述认证结果RES2ILR与所述随机数RANDASN发送给所述ILR;
所述ILR利用所述预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算得到认证结果XRES2ILR,并将该认证结果XRES2ILR与接收到的认证结果RES2ILR进行比较,如果所述认证结果XRES2ILR与所述认证结果RES2ILR一致,所述接入认证通过;否则,所述接入认证失败;
其中,所述预共享密钥K1为所述用户终端与所述ILR的预共享密钥;所述第二认证参数包括所述随机数RANDUE、所述随机数RANDILR、用户身份标识符SID和所述RID为参数;
所述接入服务器产生随机数RANDASN后,并将所述认证结果RES2ILR与所述随机数RANDASN发送给所述ILR进一步包括如下步骤:
所述接入服务器将所述认证结果RES2ILR和随机数RANDASN用所述ILR的公钥采用非对称加密算法加密后生成加密数据E2;所述接入服务器将该加密数据E2发送给所述ILR;
所述ILR计算所述认证结果XRES2ILR之前还包括:
所述ILR用所述ILR的私钥Ki对所述加密数据E2解密,获取所述认证结果RES2ILR和所述随机数RANDASN
所述接入服务器将所述加密所述接入服务器将所述加密数据E2发送给所述ILR进一步包括如下步骤:
所述接入服务器用所述接入服务器的私钥Ka对所述加密数据E2进行数字签名SIGNASN;所述接入服务器将所述加密数据E2和所述数字签名SIGNASN发送给所述ILR;
所述ILR对所述加密数据E2解密前,还包括:
所述ILR用所述接入服务器的公钥KASN检验数字签名SIGNASN的正确性,如果正确,继续执行所述ILR用所述ILR的私钥Ki对所述加密数据E2解密的步骤。
2.如权利要求1所述的方法,其特征在于,所述ILR对所述用户终端的接入认证过程之前,还包括所述用户终端对所述ILR的认证,具体包括如下步骤:
当用户终端需要接入认证时,将所述SID和所述随机数RANDUE发送给所述接入服务器;
所述接入服务器将接收到的所述SID和随机数RANDUE,连同所述接入服务器的公钥KASN以及所述RID发送给所述ILR;
所述ILR利用所述预共享密钥K1通过第一消息完整性校验算法对第一认证参数计算得到认证结果RES2UE,并用所述KASN采用非对称加密算法对第一加密参数加密后,将加密数据E1发送给所述接入服务器;其中,所述第一认证参数包括所述随机数RANDUE和随机数RANDILR;所述第一加密参数包括所述认证结果RES2UE和随机数RANDILR
所述接入服务器利用接入服务器的私钥Ka对所述加密数据E1解密后,将得到的认证结果RES2UE和随机数RANDILR发送给所述用户终端;
所述用户终端收到所述认证结果RES2UE和随机数RANDILR后,利用所述预共享密钥K1通过第一消息完整性校验算法对第一认证参数计算得到认证结果XRES2UE后与所述认证结果RES2UE进行比较,如果一致,所述用户终端对所述认证服务器的认证通过,否则,所述用户终端对所述认证服务器的认证失败。
3.如权利要求2所述的方法,其特征在于,所述ILR对所述用户终端的认证通过后,还包括所述接入服务器对所述ILR的认证,具体包括如下步骤:
所述ILR利用所述ILR与所述接入服务器共享的认证密钥KAI,通过第三消息完整性校验算法对第三认证参数计算得到认证结果RES2ASN,并用所述接入服务器的公钥KASN对第二加密参数加密后得到加密数据E3,将该加密数据E3发送给所述接入服务器;其中,所述第三认证参数包括RANDASN,RANDUE,RANDILR,RID,ILR的网络标识符IID和SID;所述第二加密参数包括所述认证结果RES2ASN
所述接入服务器接收到所述加密数据E3后,用所述接入服务器的私钥Ka将所述加密数据E3解密,提取所述RES2ASN,并用所述认证密钥KAI通过第三消息完整性校验算法对第三认证参数计算得到认证结果XRES2ASN
所述接入服务器将所述XRES2ASN和所述RES2ASN进行比较,如果一致,则所述接入服务器对所述ILR的认证通过;如果不一致,所述接入服务器对所述ILR的认证失败。
4.如权利要求3所述的方法,其特征在于,
所述第一加密参数还包括所述ILR的公钥KILR和IID;
所述第二加密参数还包括接入数据加密密钥KENC,接入数据完整性校验密钥KINT,以及其他密钥和参数中的一种或多种;
其中,所述接入数据加密密钥KENC是所述认证服务器利用所述用户终端与所述认证服务器之间的共享的加密根密钥K2,以所述RANDUE,RANDILR,SID和RID为参数,采用加密密钥生成算法计算得到;
所述接入数据完整性校验密钥KINT是所述认证服务器利用所述用户终端与所述认证服务器之间共享的完整性密钥K3,以所述RANDUE,RANDILR,SID和RID为参数,采用完整性校验密钥生成算法计算得到。
5.如权利要求3或4所述的方法,其特征在于,所述ILR将所述加密数据E3发送给所述接入服务器进一步包括:
所述ILR用所述ILR的私钥Ki生成所述加密数据E3的数字签名SIGNILR,并将该数字签名SIGNILR与所述加密数据E3一起发送给所述接入服务器;
所述接入服务器对所述加密数据E3解密之前,还包括:
所述接入服务器先用所述ILR的公钥KILR检验数字签名SIGNILR的正确性,如果正确,则继续执行所述接入服务器利用接入服务器的私钥Ka对所述加密数据E3解密的步骤。
6.如权利要求1所述的方法,其特征在于:
所述接入服务器是服务GPRS支持节点、网关GPRS支持节点、分组数据支持节点、服务网关分组数据网关或外部代理。
7.如权利要求1所述的方法,其特征在于:所述移动通讯网络为基于IP的移动通讯网络。
8.如权利要求1所述的方法,其特征在于:
所述ILR为归属位置寄存器、归属用户服务器、授权/认证/计费服务器或其他认证服务器。
9.一种移动通讯网络中的接入认证的***,其特征在于,所述***包括用户终端,接入服务器和身份位置寄存器ILR;其中,
所述用户终端,用于在需要进行认证时产生随机数RANDUE,获取所述接入服务器在网络中的路由标识符RID以及所述ILR产生的随机数RANDILR,并利用预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算得到认证结果RES2ILR,将该认证结果RES2ILR发送给所述接入服务器;
所述接入服务器,用于收到所述认证结果RES2ILR后,产生随机数RANDASN,并将所述认证结果RES2ILR与所述随机数RANDASN发送给所述ILR;
所述ILR,用于收到所述接入服务器发送来的所述认证结果RES2ILR与所述随机数RANDASN后,利用所述预共享密钥K1,通过第二消息完整性校验算法对第二认证参数计算得到认证结果XRES2ILR,并将该认证结果XRES2ILR与接收到的认证结果RES2ILR进行比较,如果所述认证结果XRES2ILR与所述认证结果RES2ILR一致,所述接入认证通过;否则,所述接入认证失败;
其中,所述预共享密钥K1为所述用户终端与所述ILR的预共享密钥;所述第二认证参数包括所述随机数RANDUE、所述随机数RANDILR、用户身份标识符SID和所述RID为参数;
所述用户终端,还用于在需要接入认证时将所述SID和所述随机数RANDUE发送给所述接入服务器;以及收到所述接入服务器发送来的随机数RES2UE和随机数RANDILR后,利用所述预共享密钥K1通过第一消息完整性校验算法对第一认证参数计算得到认证结果XRES2UE后与所述认证结果RES2UE进行比较,如果一致,所述用户终端对所述认证服务器的认证通过,否则,所述用户终端对所述认证服务器的认证失败;
所述接入服务器,还用于将接收到的所述SID和随机数RANDUE,连同所述接入服务器的公钥KASN以及所述RID发送给所述ILR;
所述ILR,还用于利用所述预共享密钥K1通过第一消息完整性校验算法对第一认证参数计算得到认证结果RES2UE,并用所述KASN采用非对称加密算法对第一加密参数加密后,将加密数据E1发送给所述接入服务器;其中,所述第一认证参数包括所述认证结果RANDUE和随机数RANDILR;所述第一加密参数包括所述认证结果RES2UE和随机数RANDILR
所述接入服务器,还用于利用接入服务器的私钥Ka对所述加密数据E1解密后,将得到的认证结果RES2UE和随机数RANDILR发送给所述用户终端。
10.如权利要求9所述的***,其特征在于:
所述ILR,还用于利用所述ILR与所述接入服务器共享的认证密钥KAI,通过第三消息完整性校验算法对第三认证参数计算得到认证结果RES2ASN,并用所述接入服务器的公钥KASN对第二加密参数加密后得到加密数据E3,将该加密数据E3发送给所述接入服务器;其中,所述第三认证参数包括RANDASN,RANDUE,RANDILR,RID,ILR的网络标识符IID和SID;所述第二加密参数包括所述认证结果RES2ASN
所述接入服务器,还用于在接收到所述加密数据E3后,用所述接入服务器的私钥Ka将所述加密数据E3解密,提取所述RES2ASN,并用所述认证密钥KAI通过第三消息完整性校验算法对第三认证参数计算得到认证结果RES2ASN,并将所述认证结果XRES2ASN和所述认证结果RES2ASN进行比较,如果一致,则所述接入服务器对所述ILR的认证通过;如果不一致,所述接入服务器对所述ILR的认证失败。
CN200910176393.0A 2009-09-29 2009-09-29 一种移动通讯网络中的接入认证方法和*** Expired - Fee Related CN102036242B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN200910176393.0A CN102036242B (zh) 2009-09-29 2009-09-29 一种移动通讯网络中的接入认证方法和***
PCT/CN2010/076174 WO2011038620A1 (zh) 2009-09-29 2010-08-20 一种移动通讯网络中的接入认证方法、装置及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200910176393.0A CN102036242B (zh) 2009-09-29 2009-09-29 一种移动通讯网络中的接入认证方法和***

Publications (2)

Publication Number Publication Date
CN102036242A CN102036242A (zh) 2011-04-27
CN102036242B true CN102036242B (zh) 2014-11-05

Family

ID=43825536

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910176393.0A Expired - Fee Related CN102036242B (zh) 2009-09-29 2009-09-29 一种移动通讯网络中的接入认证方法和***

Country Status (2)

Country Link
CN (1) CN102036242B (zh)
WO (1) WO2011038620A1 (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102625311B (zh) * 2012-03-14 2016-01-27 ***通信集团江苏有限公司 一种鉴权方法、鉴权***及智能卡
CN104396283A (zh) 2012-06-29 2015-03-04 日本电气株式会社 用于m2m中的基于组的特征的安全性的更新
CN104753687B (zh) * 2013-12-31 2019-01-01 ***通信集团公司 一种基于统一计费平台的计费方法及装置
CN103795542A (zh) * 2014-01-24 2014-05-14 中国工商银行股份有限公司 一种数字签名认证方法及装置
CN104954129B (zh) * 2014-03-31 2019-09-27 西安西电捷通无线网络通信股份有限公司 实体鉴别方法及装置
JP6348019B2 (ja) * 2014-08-28 2018-06-27 ルネサスエレクトロニクス株式会社 通信システム、通信装置、自動車および通信方法
KR20180098589A (ko) * 2015-12-21 2018-09-04 코닌클리케 필립스 엔.브이. 보안 통신을 위한 네트워크 시스템
CN105577699B (zh) * 2016-03-03 2018-08-24 山东航天电子技术研究所 一种双向动态无中心鉴权的安全接入认证方法
US10873464B2 (en) 2016-03-10 2020-12-22 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
US10382206B2 (en) 2016-03-10 2019-08-13 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
SG10201606164TA (en) * 2016-07-26 2018-02-27 Huawei Int Pte Ltd System and method for obtaining a common session key between devices
WO2019010701A1 (en) * 2017-07-14 2019-01-17 Zte Corporation METHODS AND COMPUTER DEVICE FOR TRANSMITTING ENCODED INFORMATION DURING AUTHENTICATION
CN107493570B (zh) * 2017-07-18 2019-10-11 东北大学 一种基于身份群签的pmipv6匿名接入认证***及方法
CN108174385B (zh) * 2018-02-12 2020-07-10 海信集团有限公司 一种通信链路的检测方法和装置
CN109335906B (zh) * 2018-08-01 2020-09-11 苏州汇川技术有限公司 校验方法、电梯控制设备以及电梯***设备
CN110349468A (zh) * 2019-07-15 2019-10-18 贵州电网有限责任公司 一种基于多人协同的电气设备绝缘试验虚拟仿真***
CN110493272B (zh) * 2019-09-25 2020-10-02 北京风信科技有限公司 使用多重密钥的通信方法和通信***
CN114930769B (zh) * 2019-12-31 2024-04-12 华为技术有限公司 本地通信的方法、装置和***
CN113206790B (zh) * 2021-04-30 2022-10-18 网络通信与安全紫金山实验室 基于时间周期的SRv6传输路径认证方法、***及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022418A (zh) * 2007-03-14 2007-08-22 华为技术有限公司 Hmip认证方法、设备及***
CN101299667A (zh) * 2008-06-05 2008-11-05 华为技术有限公司 一种认证方法、***、客户端设备和服务器

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009510955A (ja) * 2005-10-05 2009-03-12 プリヴァスヒア アーゲー ユーザ認証の方法およびデバイス

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022418A (zh) * 2007-03-14 2007-08-22 华为技术有限公司 Hmip认证方法、设备及***
CN101299667A (zh) * 2008-06-05 2008-11-05 华为技术有限公司 一种认证方法、***、客户端设备和服务器

Also Published As

Publication number Publication date
CN102036242A (zh) 2011-04-27
WO2011038620A1 (zh) 2011-04-07

Similar Documents

Publication Publication Date Title
CN102036242B (zh) 一种移动通讯网络中的接入认证方法和***
KR102134302B1 (ko) 무선 네트워크 접속 방법 및 장치, 및 저장 매체
CN109729523B (zh) 一种终端联网认证的方法和装置
KR101485230B1 (ko) 안전한 멀티 uim 인증 및 키 교환
KR100704675B1 (ko) 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
JP4002035B2 (ja) 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法
CN108880813B (zh) 一种附着流程的实现方法及装置
US20050044365A1 (en) Method of protecting digest authentication and key agreement (AKA) against man-in-the-middle (MITM) attack
US20110271330A1 (en) Solutions for identifying legal user equipments in a communication network
US20120102546A1 (en) Method And System For Authenticating Network Device
CN111865603A (zh) 认证方法、认证装置和认证***
KR20070112260A (ko) Sim/uicc 키 설정을 위한 네트워크 지원 단말기
CN107820239B (zh) 信息处理方法及装置
CN107396350B (zh) 基于sdn-5g网络架构的sdn组件间安全保护方法
Lounis et al. Bad-token: denial of service attacks on WPA3
WO2014015759A1 (zh) 一种终端身份验证和服务鉴权的方法、***和终端
CN106888092A (zh) 信息处理方法及装置
JP2016522637A (ja) 共有秘密を含意するセキュア化されたデータチャネル認証
WO2022135391A1 (zh) 身份鉴别方法、装置、存储介质、程序、及程序产品
US10700854B2 (en) Resource management in a cellular network
Hoeper et al. Where EAP security claims fail
Khan et al. Another look at privacy threats in 3G mobile telephony
Jin et al. An improved mutual authentication scheme in multi-hop WiMax network
EP2249593B1 (en) Method and apparatus for authenticating a mobile device
EP2442519A1 (en) Method and system for authenticating network device

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20141105

Termination date: 20170929

CF01 Termination of patent right due to non-payment of annual fee