CN107801186A - 一种集群通信***中非接入层摘要鉴权方法 - Google Patents
一种集群通信***中非接入层摘要鉴权方法 Download PDFInfo
- Publication number
- CN107801186A CN107801186A CN201610807062.2A CN201610807062A CN107801186A CN 107801186 A CN107801186 A CN 107801186A CN 201610807062 A CN201610807062 A CN 201610807062A CN 107801186 A CN107801186 A CN 107801186A
- Authority
- CN
- China
- Prior art keywords
- cluster
- parameter value
- target
- message
- nonce
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种集群通信***中非接入层摘要鉴权方法,包括:UE向目标T‑CN发送集群注册请求消息,该消息中携带有登录鉴权指示信息以及用于质询网络的第一质询参数值,以使目标T‑CN基于登录鉴权指示信息,向UE反馈集群注册接受消息;UE基于集群注册接受消息中携带的用于鉴权网络的第一响应参数值,鉴权目标T‑CN;若鉴权成功,则UE基于集群注册接受消息中携带的用于质询UE的第二质询参数值,得到用于鉴权UE的第二响应参数值;UE向目标T‑CN发送集群注册完成消息,该消息中携带有第二响应参数值,以使目标T‑CN基于第二响应参数值鉴权所述UE,实现非接入层摘要鉴权。本发明可实现UE与T‑CN双向鉴权。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种集群通信***中非接入层摘要鉴权方法。
背景技术
集群通信***是为了满足行业用户指挥调度的需求而开发、面向特定行业应用的专用无线通信***。集群通信***中大量无线用户共享少量无线信道,以指挥调度业务为主体应用,是一种多用途、高效能利用频率资源的无线通信***。集群通信***在政府部门、公共安全、应急通信、电力、民航、石油化工和军队等领域有着广泛的应用市场。LTE(Long Term Evolution,长期演进)的宽带多媒体集群通信***是以***移动通信技术LTE为核心技术,将LTE的高速率、大带宽与数字集群技术中的资源共享、快速呼叫建立、指挥调度等特点进行融合的集语音、数据、视频为一体的新一代宽带数字多媒体集群通信***。
随着宽带多媒体集群业务需求的涌现,对于公共安全、政务等行业用户,希望在一个集群终端上允许多个用户登录使用,每个用户根据用户名和密码登录集群终端并进行集群调度业务。这就要求网络侧对不同用户进行鉴权,鉴权通过的用户才允许登录集群通信***。
中国工业和信息化部2013年发布的《基于LTE技术的宽带集群通信(B-TrunC)***总体技术要求(第一阶段)》未定义集群通信***用户登录并进行鉴权的功能。理论上任意用户都可以使用合法集群终端登录集群通信***进行集群业务。
可见,现有技术中,非法用户如果使用合法集群终端而仿冒、伪造集群用户登录集群通信***,就可以进行集群业务,集群通信***安全隐患很大。
发明内容
鉴于上述问题,本发明提出了克服上述问题或者至少部分地解决上述问题的一种集群通信***中非接入层摘要鉴权方法,用于对多用户登录集群通信***进行鉴权,实现用户和集群通信***之间的双向鉴权。
第一方面,本发明提出一种集群通信***中非接入层摘要鉴权方法,包括:
用户设备UE向目标集群核心网T-CN发送集群注册请求消息,该消息中携带有登录鉴权指示信息以及用于质询网络的第一质询参数值,以使所述目标T-CN基于所述登录鉴权指示信息,向所述UE反馈集群注册接受消息;
所述UE基于所述集群注册接受消息中携带的用于鉴权网络的第一响应参数值,鉴权所述目标T-CN;其中,所述第一响应参数值为所述目标T-CN基于所述第一质询参数值得到的参数值;
若鉴权成功,则所述UE基于所述集群注册接受消息中携带的用于质询UE的第二质询参数值,得到用于鉴权UE的第二响应参数值;
所述UE向所述目标T-CN发送集群注册完成消息,该消息中携带有所述第二响应参数值,以使所述目标T-CN基于所述第二响应参数值鉴权所述UE,实现非接入层摘要鉴权。
第二方面,本发明还提出一种集群通信***中非接入层摘要鉴权方法,包括:
T-CN在接收到目标UE发送的携带有登录鉴权指示信息以及用于质询网络的第一质询参数值的集群注册请求消息后,基于所述第一质询参数值得到的用于鉴权网络的第一响应参数值;
所述T-CN基于所述登录鉴权指示信息,向所述目标UE反馈集群注册接受消息,该消息中携带有所述第一响应参数值以及用于质询UE的第二质询参数值,以使所述目标UE基于所述第一响应参数值鉴权所述T-CN;
所述T-CN接收所述目标UE在鉴权所述T-CN成功后发送的携带有用于鉴权UE的第二响应参数值的集群注册完成消息,基于所述第二响应参数值鉴权所述目标UE,实现非接入层摘要鉴权;其中,第二响应参数值为目标UE基于所述第二质询参数值得到的参数值。
相比于现有技术,针对LTE宽带集群通信***,本发明提出的集群通信***中非接入层摘要鉴权方法,是基于质询-响应(Challenge-Response)的共享密钥体制的非接入层摘要(NAS Digest)的用户接入鉴权方法,通过复用宽带集群通信(B-TrunC)第一阶段的三条注册相关消息,实现终端对网络和网络对终端的双向鉴权。
进一步地,本发明提出的集群通信***中非接入层摘要鉴权方法,是基于质询-响应(Challenge-Response)的共享密钥体制的非接入层摘要(NAS Digest)的用户接入鉴权方法,在非接入层(NAS)终端和LTE集群核心网(T-CN)间不传递密钥,只传递经过散列函数计算的响应值,有效避免伪造和仿冒用户的攻击。安全、可靠性高。
进一步地,针对多用户登录时的鉴权,本发明复用宽带集群通信(BroadbandTrunking Communication,B-TrunC)第一阶段《2014-1131T-YD_B-TrunC***_接口测试方法(第一阶段)_终端到集群核心网接口》中终端注册流程。无需新增或修改B-TrunC第一阶段注册和周期性注册流程。并且本方法保证多用户登录和鉴权过程不影响符合B-TrunC第一阶段要求的芯片非接入层(NAS)状态机的状态。即在应用层维护注册、鉴权状态,不影响芯片NAS状态机状态。降低了实现成本。
进一步地,本发明提出的集群通信***中非接入层摘要鉴权方法,以应用容器(也称为鉴权参数容器)的方式扩展非接入层NAS注册相关消息(即集群注册请求消息、集群注册接受消息及集群注册完成消息),并能支持其他鉴权机制,而不影响已有鉴权方法。
进一步地,本发明提出的集群通信***中非接入层摘要鉴权方法,适用于多集群核心网组网场景。消息流程复用SIP注册Digest鉴权流程,通过携带扩展Ptt-Extension携带鉴权参数支持漫游集群终端在拜访域TCF的注册和鉴权。
附图说明
图1为本发明第一实施例提供的一种集群通信***中非接入层摘要鉴权方法流程图;
图2为本发明第二实施例提供的一种集群通信***中非接入层摘要鉴权方法流程图;
图3为本发明第三实施例提供的多集群***组网时漫游用户注册流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
需要说明的是,在本文中,“第一”、“第二”、“第三”、“第四”字样仅仅用来将相同的名称区分开来,而不是暗示这些名称之间的关系或者顺序。
本发明各实施例遵循下列前提和说明1~4:
1、非接入层(Non-Access Stratum,NAS)信令在用户设备(User Equipment,UE)(也称为用户终端)附着LTE接入网络后,全部按照加密方式在空口传递。鉴权过程包含在注册过程,并受NAS信令加密的保护。
2、下文中注册注销流程和消息定义引用:
《2014-1131T-YD_B-TrunC***_接口测试方法(第一阶段)_终端到集群核心网接口》。扩展部分单独标出。
3、周期性注册和初始注册相同处理。
4、鉴权方法的描述形式采用下面散列函数,引用自[RFC 2617]:
H(data)表示以data作为输入参数,用单向散列函数H计算得到结果值。比如使用MD5散列函数时,H(data)=MD5(data)。散列函数包括MD5,SHA-1,SHA-2(包括SHA-256,SHA-512等)。
下式描述了下文中所用的KD函数:即提供输入要加密的密文secret和数据data,使用散列函数得到计算结果。
KD(secret,data)=H(concat(secret,":",data))
其中,concat表示将密文secret、字符冒号":"对应的ASCII编码值0x3A、数据data依次连接组成一个连续完整的数据块,此数据块作为散列函数的输入参数。比如concat(0x12,0x3A,0x56)的结果为0x123A56的数据块。
data是多个参数连接组成的数据块,以冒号":"对应的ASCII编码值0x3A分割不同参数。
本文中采用字符冒号":"来分割组成数据块的各参数,本领域技术人员可用其他字符来实现冒号":"的功能。
如图1所示,本实施例公开一种集群通信***中非接入层(Non-Access Stratum,NAS)摘要(Digest)鉴权方法,用于对用户登录集群通信***进行鉴权,本实施例的执行主体为UE,该方法可包括如下步骤101~104:
101、用户设备(User Equipment,UE)(也称为用户终端)向目标集群核心网(Trunking-Core Network,T-CN)发送集群注册请求(TRUNKING REGISTER REQUEST)消息,该消息中携带有登录鉴权指示信息以及用于质询网络的第一质询参数值,以使所述目标T-CN基于所述登录鉴权指示信息,向所述UE反馈集群注册接受(TRUNKING REGISTER ACCEPT)消息。
102、所述UE基于所述集群注册接受消息中携带的用于鉴权网络的第一响应参数值,鉴权所述目标T-CN;其中,所述第一响应参数值为所述目标T-CN基于所述第一质询参数值得到的参数值。
103、若鉴权成功,则所述UE基于所述集群注册接受消息中携带的用于质询UE的第二质询参数值,得到用于鉴权UE的第二响应参数值。
104、所述UE向所述目标T-CN发送集群注册完成(TRUNKING REGISTER COMPLETE)消息,该消息中携带有所述第二响应参数值,以使所述目标T-CN基于所述第二响应参数值鉴权所述UE,实现非接入层摘要鉴权。
可见,本实施例公开的集群通信***中非接入层摘要鉴权方法针对LTE宽带集群***,提出了一种基于质询-响应(challenge-response)的共享密钥体制的非接入层摘要(NAS Digest)鉴权用户访问接入(Access Authentication)的方法。本方法可以确保使用非接入层NAS协议的B-TrunC集群终端用户,通过NAS Digest鉴权方法双向鉴权终端和网络。
进一步地,本实施例公开的集群通信***中非接入层摘要鉴权方法,通过复用宽带集群通信(B-TrunC)第一阶段的三条注册相关消息(即集群注册请求消息、集群注册接受消息及集群注册完成消息),实现终端对网络和网络对终端的双向鉴权。
进一步地,本实施例公开的集群通信***中非接入层摘要鉴权方法,在非接入层(NAS)终端和LTE集群核心网(T-CN)间不传递密钥,只传递经过散列函数计算的响应值,有效避免伪造和仿冒用户的攻击。安全、可靠性高。
进一步地,针对多用户登录时的鉴权,本实施例复用B-TrunC第一阶段《2014-1131T-YD_B-TrunC***_接口测试方法(第一阶段)_终端到集群核心网接口》中终端注册流程。无需新增或修改B-TrunC第一阶段注册和周期性注册流程。并且本方法保证多用户登录和鉴权过程不影响符合B-TrunC第一阶段要求的芯片非接入层(NAS)状态机的状态。即在应用层维护注册、鉴权状态,不影响芯片NAS状态机状态。降低了实现成本。
步骤101中所述用于质询网络的第一质询参数值通过下式得到:
cnonce=KD(time-stampUE,TPIUE":"private-keyUE)
其中,cnonce为所述第一质询参数,time-stampUE为所述UE本地的时间戳,TPIUE为所述集群注册请求消息中携带的集群过程事务标识,private-keyUE为所述UE的私有标识,TPIUE与private-keyUE的组合TPIUE":"private-keyUE作为KD函数的第二参数,KD函数有两个参数:第一参数和第二参数,所述第一参数为所述time-stampUE,KD函数表示对第一参数和第二参数构成的数据进行散列。
步骤101中所述集群注册请求消息的应用容器字段中携带有所述登录鉴权指示信息以及所述第一质询参数值;步骤104中所述集群注册完成消息的应用容器字段中携带有所述第二响应参数值。
可见,本实施例公开的集群通信***中非接入层摘要鉴权方法,以应用容器(也称为参数容器)的方式扩展集群注册请求消息、集群注册完成消息,并能支持其他鉴权机制,而不影响已有鉴权方法。
步骤102中所述UE基于所述集群注册接受消息中携带的用于鉴权网络的第一响应参数值,鉴权所述目标T-CN,包括图1中未示出的步骤1021和1022:
1021、所述UE通过下式计算用于鉴权网络的第三响应参数值:
response3=KD(H(AUE),cnonce":"nonce-count":"Subscriber BCD Number)
其中,response3为所述第三响应参数值,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,Subscriber BCD Number为所述集群注册请求消息中携带的所述UE的用户号码的二进制编码的十进制码;
其中,H(AUE)=H(User Name":"PwdUE":"realm),H函数为散列函数,User Name为所述UE登录集群通信***的用户名,PwdUE为所述UE登录集群通信***的密码,realm为所述集群注册请求消息中域字段携带的信息;
1022、所述UE通过比较所述第三响应参数值与所述第一响应参数值来鉴权所述目标T-CN;
相应地,步骤103中所述鉴权成功,包括:所述UE比较所述第三响应参数值与所述第一响应参数值,若相等,则鉴权所述目标T-CN成功。
步骤103中所述UE基于所述集群注册接受消息中携带的用于质询UE的第二质询参数值,得到用于鉴权UE的第二响应参数值,包括:
所述UE基于所述集群注册接受消息中携带的用于质询UE的第二质询参数值,通过下式得到用于鉴权UE的第二响应参数值;
response2=KD(H(AUE),nonce":"cnonce":"nonce-count":"Subscriber BCDNumber)
其中,response2为所述第二响应参数值,nonce为所述第二质询参数,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,Subscriber BCD Number为所述集群注册请求消息中携带的所述UE的用户号码的二进制编码的十进制码;
其中,H(AUE)=H(User Name":"PwdUE":"realm),H函数为散列函数,User Name为所述UE登录集群通信***的用户名,PwdUE为所述UE登录集群通信***的密码,realm为所述集群注册请求消息中域字段携带的信息。
如图2所示,本实施例公开一种集群通信***中非接入层摘要鉴权方法,与图1相比,本实施例的执行主体为T-CN,该方法可包括以下步骤201~203:
201、T-CN在接收到目标UE发送的携带有登录鉴权指示信息以及用于质询网络的第一质询参数值的集群注册请求消息后,基于所述第一质询参数值得到的用于鉴权网络的第一响应参数值;
202、所述T-CN基于所述登录鉴权指示信息,向所述目标UE反馈集群注册接受消息,该消息中携带有所述第一响应参数值以及用于质询UE的第二质询参数值,以使所述目标UE基于所述第一响应参数值鉴权所述T-CN;
203、所述T-CN接收所述目标UE在鉴权所述T-CN成功后发送的携带有用于鉴权UE的第二响应参数值的集群注册完成消息,基于所述第二响应参数值鉴权所述目标UE,实现非接入层摘要鉴权;其中,第二响应参数值为目标UE基于所述第二质询参数值得到的参数值。
本实施例的效果及说明可参见图1所示的实施例,在此不再赘述。
步骤201中所述基于所述第一质询参数值得到的用于鉴权网络的第一响应参数值,包括:
基于所述第一质询参数值,通过下式得到所述第一响应参数值:response1=KD(H(AT-CN),cnonce":"nonce-count":"Subscriber BCD Number)
其中,response1为所述第一响应参数值,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,Subscriber BCD Number为所述集群注册请求消息中携带的所述UE的用户号码的二进制编码的十进制码;
其中,H(AT-CN)=H(User Name":"PwdT-CN":"realm),User Name为所述目标UE登录集群通信***的用户名,所述集群注册请求消息中携带有所述User Name,PwdT-CN为所述T-CN中记录的与该User Name对应的密码,realm为所述集群注册请求消息中域字段携带的信息。
步骤202中所述用于质询UE的第二质询参数值通过下式得到:
nonce=KD(time-stampT-CN,TPIT-CN":"private-keyT-CN":"User Name)
其中,nonce为所述第二质询参数,time-stampT-CN为所述T-CN的绝对时间,TPIT-CN为所述集群注册接受消息中携带的集群过程事务标识,private-keyT-CN为所述T-CN的私有标识,User Name为所述目标UE登录集群通信***的用户名,所述集群注册请求消息中携带有所述User Name。
步骤202中所述集群注册接受消息的应用容器字段中携带有所述第一响应参数值以及用于质询UE的第二质询参数值。
步骤203中所述基于所述第二响应参数值鉴权所述目标UE,包括以下图2中未示出的步骤2031和2032:
2031、所述T-CN通过下式计算用于鉴权所述目标UE的第四响应参数值:
response4=KD(H(AT-CN),nonce":"cnonce":"nonce-count":"Subscriber BCDNumber)
其中,response4为所述第四响应参数值,nonce为所述第二质询参数,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,Subscriber BCD Number为所述集群注册请求消息中携带的所述目标UE的用户号码的二进制编码的十进制码;
其中,H(AT-CN)=H(User Name":"PwdT-CN":"realm),H函数为散列函数,User Name为所述目标UE登录集群通信***的用户名,所述集群注册请求消息中携带有所述UserName,PwdT-CN为所述T-CN中记录的与该User Name对应的密码,realm为所述集群注册请求消息中域字段携带的信息;
2032、所述T-CN比较所述第四响应参数值与所述第二响应参数值,若相等,则鉴权所述目标UE成功。
基于上述图1和图2公开的集群通信***中非接入层摘要鉴权方法,下面给出具体的例子进行进一步解释说明,非接入层摘要鉴权包括以下三个过程(一)至(三)。
(一)UE向T-CN发送集群注册请求(TRUNKING REGISTER REQUEST)消息,该消息中的应用容器(Application Container)字段携带有登录鉴权指示信息,用于指示集群用户登录鉴权,应用容器字段携带初始鉴权参数,包括用于质询网络的第一质询参数值cnonce,具体的,还包括:authentication schema、User Name、nonce-count、realm以及algorithm。
其中,authentication schema表示鉴权方案,默认是NAS Digest鉴权。User Name为UE登录集群通信***的用户名。nonce-count为cnonce的计数值。realm为鉴权所保护的域,作用同RFC 2617中的realm。algorithm为散列函数方法,包括MD5,SHA-1,SHA-2。cnonce由UE生成且每次集群注册请求消息中携带的cnonce值都不同。第一质询参数值cnonce通过下式得到:
cnonce=KD(time-stampUE,TPIUE":"private-keyUE)
其中,cnonce为所述第一质询参数;time-stampUE为所述UE本地的时间戳;TPIUE为所述集群注册请求消息中携带的集群过程事务标识;private-keyUE为所述UE的私有标识,private-keyUE使用终端国际移动用户识别码IMSI+随机值;TPIUE与private-keyUE的组合TPIUE":"private-keyUE作为KD函数的第二参数,KD函数有两个参数:第一参数和第二参数,所述第一参数为所述time-stampUE,KD函数表示对第一参数和第二参数构成的数据进行散列。
表1示出了集群注册请求(TRUNKING REGISTER REQUEST)消息内容。
表1 TRUNKING REGISTER REQUEST消息内容
消息中已知信息元素(Information Element,IE)(也称为信元)的列表,并给出各IE在消息中的顺序。所有的必选字段必须定义在可选字段的前面。表中每个IE的定义包括:
信息元素的标识符(IEI),十六进制表示法,如果IE有格式T,TV,TLV或TLV-E,长度为字节的整数倍。如果IEI是半字节的长度,它是指定的符号代表的参数作为一个十六进制数字后面加上一个“-”。
IE的名字,信息元素的名称后面加上“IE”或“Information Element”在本文是用于消息的信息元素引用。
表2为应用容器(Application Container)的定义。表3为应用容器内容(Application Container contents)的定义。
表2 Application Container定义
表3 Application Container contents定义
Application Type取值1时,携带应用参数集合(Application parameters)见表4。
表4 初始鉴权携带的应用参数集合(Application parameters)
M必选字段仅针对鉴权方案是NAS Digest时必选携带。后续不再单独说明。
(二)T-CN向UE返回集群注册接受(TRUNKING REGISTER ACCEPT)消息,该消息中的应用容器(Application Container)字段携带有扩展携带有用于鉴权网络的第一响应参数值response1以及用于质询UE的第二质询参数值nonce。
其中,第一响应参数值通过下式得到:
response1=KD(H(AT-CN),cnonce":"nonce-count":"Subscriber BCD Number)
其中,response1为所述第一响应参数值,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,Subscriber BCD Number为所述集群注册请求消息中携带的所述UE的用户二进制编码的十进制码;
其中,H(AT-CN)=H(User Name":"PwdT-CN":"realm),User Name为所述目标UE登录集群通信***的用户名,所述集群注册请求消息中携带有所述User Name,PwdT-CN为所述T-CN中记录的与该User Name对应的密码,realm为所述集群注册请求消息中域字段携带的信息。
nonce由T-CN生成,保证每个UE、每次集群注册接受消息中的nonce值都不同。第二质询参数值nonce通过下式得到:
nonce=KD(time-stampT-CN,TPIT-CN":"private-keyT-CN":"User Name)
其中,nonce为所述第二质询参数;time-stampT-CN为所述T-CN的绝对时间;TPIT-CN为所述集群注册接受消息中携带的集群过程事务标识;private-keyT-CN为所述T-CN的私有标识,采用TCF域名或ID号+随机值;User Name为所述目标UE登录集群通信***的用户名,所述集群注册请求消息中携带有所述User Name。
集群注册接受消息的应用容器字段还携带如下参数:authentication schema、expire以及algorithm。
其中,authentication schema表示鉴权方案,默认是NAS Digest鉴权。expire为注册生命周期,单位秒。algorithm为散列函数方法,包括MD5,SHA-1,SHA-2。
UE收到TRUNKING REGISTER ACCEPT消息的response1值后,通过下式计算用于鉴权网络的第三响应参数值:
response3=KD(H(AUE),cnonce":"nonce-count":"Subscriber BCD Number)
其中,response3为所述第三响应参数值,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,Subscriber BCD Number为所述集群注册请求消息中携带的所述UE用户号码的二进制编码的十进制码;
其中,H(AUE)=H(User Name":"PwdUE":"realm),H函数为散列函数,User Name为所述UE登录集群通信***的用户名,PwdUE为所述UE登录集群通信***的密码,realm为所述集群注册请求消息中域字段携带的信息;
UE通过比较所述第三响应参数值与所述第一响应参数值来鉴权T-CN;若相等,则鉴权T-CN成功,UE将发送集群注册完成(TRUNKING REGISTER COMPLETE)消息。如果鉴权T-CN失败,UE可以继续注册过程,但不携带鉴权参数。如果注册完成后,终端必须立即发起注销工作。
表5为集群注册接受(TRUNKING REGISTER ACCEPT)消息内容,该消息用于指示接受UE集群注册请求,但不表示UE集群注册鉴权通过。
表5 TRUNKING REGISTER ACCEPT消息内容
应用容器内容定义参见表3,Application Type取值2时,携带应用参数集合(Application parameters)见表6
表6 鉴权质询携带的应用参数集合(Application parameters)
(三)UE如果鉴权T-CN成功,则向T-CN发送集群注册完成(TRUNKING REGISTERCOMPLETE)消息中,该消息中携带用于鉴权UE的第二响应参数值response2。
response2通过下式得到;
response2=KD(H(AUE),nonce":"cnonce":"nonce-count":"Subscriber BCDNumber)
其中,response2为所述第二响应参数值,nonce为所述第二质询参数,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,Subscriber BCD Number为所述集群注册请求消息中携带的所述UE用户号码的二进制编码的十进制码;
其中,H(AUE)=H(User Name":"PwdUE":"realm),H函数为散列函数,User Name为所述UE登录集群通信***的用户名,PwdUE为所述UE登录集群通信***的密码,realm为所述集群注册请求消息中域字段携带的信息。
集群注册完成消息的应用容器字段还携带如下参数:authentication schema、realm。
其中,authentication schema:鉴权方案,默认是NAS Digest鉴权方案。realm为鉴权所保护的域,作用同RFC 2617中realm定义。
T-CN收到集群注册完成消息携带的response2值后,通过下式计算用于鉴权UE的第四响应参数值:
response4=KD(H(AT-CN),nonce":"cnonce":"nonce-count":"Subscriber BCDNumber)
其中,response4为所述第四响应参数值,nonce为所述第二质询参数,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,Subscriber BCD Number为所述集群注册请求消息中携带的所述目标UE用户号码的二进制编码的十进制码;
其中,H(AT-CN)=H(User Name":"PwdT-CN":"realm),H函数为散列函数,User Name为所述目标UE登录集群通信***的用户名,所述集群注册请求消息中携带有所述UserName,PwdT-CN为所述T-CN中记录的与该User Name对应的密码,realm为所述集群注册请求消息中域字段携带的信息。
T-CN比较所述第四响应参数值与所述第二响应参数值,若相等,则鉴权UE成功。T-CN记录注册并鉴权成功状态。如果鉴权UE失败,T-CN必须立即发起注销用户流程,并拒绝UE除注册请求的其他任何NAS集群业务请求。
表7为集群注册完成(TRUNKING REGISTER COMPLETE)消息内容。
表7 TRUNKING REGISTER COMPLETE消息内容
应用容器内容定义参见表3,Application Type取值3时,携带应用参数集合(Application parameters)见表8。
表8 鉴权响应携带的应用参数集合(Application parameters)
对于多集群***组网时漫游用户注册,漫游集群终端成功注册过程,如图3所示,处理流程如下1~7:
1、集群终端漫游到拜访地进行集群注册。UE发送NAS(TRUNKING REGISTERREQUEST)消息,即非接入层的集群注册请求消息到拜访地集群控制功能体(TrunkingControl Function-Visited,TCF-V)。携带初始鉴权请求信息。
2、TCF-V向终端归属地集群控制功能体(Trunking Control Function-Home,TCF-H)发送SIP(REGISTER)消息,SIP为Session Initiation Protocol,即会话初始协议。SIP(REGISTER)消息,即会话初始协议的注册消息,携带扩展头Ptt-Extension头,携带鉴权方案,用户名,cnonce,nonce-count,algorithm,realm。
3、TCF-H向TCF-V返回会话初始协议注册响应消息,即SIP(401Unauthorized)消息,携带扩展头Ptt-Extension头,携带鉴权方案,nonce,response1,algorithm,realm,expire。
4、TCF-V向终端发送NAS(TRUNKING REGISTER ACCEPT),即非接入层的集群注册接受消息,携带网络鉴权质询响应信息。
5、终端鉴权网络成功后,终端向TCF-V发送NAS(TRUNKING REGISTER COMPLETE)消息,即非接入层的集群注册完成消息,携带终端鉴权响应信息。
6、TCF-V向TCF-H发送SIP(REGISTER)消息,携带扩展头Ptt-Extension头,携带鉴权方案,用户名,response2,realm。
7、TCF-H鉴权匹配终端响应信息,如果成功则向TCF-V发送成功响应,即SIP(200OK)响应。否则发送错误响应,即403Forbidden错误响应。TCF-V向终端发起集群注销流程。
消息扩展头示例:
Ptt-Extension:pttroamingreg;auth-schema=1,username=”xxx”,cnonce=“a1a2a3a4a5a6a7a8”,nonce-count=1,algorithm=3,realm=”test.com”,nonce=“a1a2a3a4a5a6a7a8a1a2a3a4a5a6a7a8”,expire=3600,response1=“a1a2a3a4a5a6a7a8a1a2a3a4a5a6a7a8”,response2=“a1a2a3a4a5a6a7a8a1a2a3a4a5a6a7a8”
扩展参数说明:
基于上述图1~图2公开的实施例,本发明有如下有益效果:
一是复用B-TrunC第一阶段《2014-1131T-YD_B-TrunC***_接口测试方法(第一阶段)_终端到集群核心网接口》中终端注册流程,底层NAS芯片无需新增或修改B-TrunC第一阶段注册和周期性注册流程。本方法保证多用户登录和鉴权过程在应用层维护鉴权状态,不影响终端芯片NAS状态机注册状态。
二是提出的NAS Digest鉴权方法通过3条注册消息实现了终端对网络和网络对终端的双向鉴权。
三是NAS Digest鉴权方法是基于质询-响应(challenge-response)的共享密钥体制的鉴权方法,终端和网络间不传递密钥,只传递经过散列函数计算的响应值,有效避免伪造和仿冒用户的攻击。针对宽带集群通信***提出了cnonce,nonce和response1,response2的专门计算方法,方法简便且安全程度高。
四是鉴权方法以参数容器的方式扩展NAS注册消息,可以扩展支持其他的鉴权机制,扩展性好。
五是该鉴权方法同样适用于多集群核心网组网场景。消息流程复用SIP注册Digest鉴权流程,通过携带扩展Ptt-Extension携带鉴权参数支持漫游集群终端在拜访域TCF的注册和鉴权。
本领域技术人员可以理解,可以把实施例中的各步骤组合成一个步骤,以及此外可以把它们分成多个子步骤。除了这样的特征和/或过程或者步骤中的至少一些是互相排斥之处,可以采用任何组合对本说明书中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。
本领域技术人员可以理解,实施例中的各步骤可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。
虽然结合附图描述了本发明的实施方式,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (11)
1.一种集群通信***中非接入层摘要鉴权方法,其特征在于,包括:
用户设备UE向目标集群核心网T-CN发送集群注册请求消息,该消息中携带有登录鉴权指示信息以及用于质询网络的第一质询参数值,以使所述目标T-CN基于所述登录鉴权指示信息,向所述UE反馈集群注册接受消息;
所述UE基于所述集群注册接受消息中携带的用于鉴权网络的第一响应参数值,鉴权所述目标T-CN;其中,所述第一响应参数值为所述目标T-CN基于所述第一质询参数值得到的参数值;
若鉴权成功,则所述UE基于所述集群注册接受消息中携带的用于质询UE的第二质询参数值,得到用于鉴权UE的第二响应参数值;
所述UE向所述目标T-CN发送集群注册完成消息,该消息中携带有所述第二响应参数值,以使所述目标T-CN基于所述第二响应参数值鉴权所述UE,实现非接入层摘要鉴权。
2.根据权利要求1所述的方法,其特征在于,所述用于质询网络的第一质询参数值通过下式得到:
cnonce=KD(time-stampUE,TPIUE":"private-keyUE)
其中,cnonce为所述第一质询参数;time-stampUE为所述UE本地的时间戳;TPIUE为所述集群注册请求消息中携带的集群过程事务标识;private-keyUE为所述UE的私有标识;TPIUE与private-keyUE的组合TPIUE":"private-keyUE作为KD函数的第二参数,KD函数有两个参数:第一参数和第二参数,所述第一参数为所述time-stampUE,KD函数表示对第一参数和第二参数构成的数据进行散列。
3.根据权利要求1所述的方法,其特征在于,所述集群注册请求消息的应用容器字段中携带有所述登录鉴权指示信息以及所述第一质询参数值;所述集群注册完成消息的应用容器字段中携带有所述第二响应参数值。
4.根据权利要求1所述的方法,其特征在于,所述UE基于所述集群注册接受消息中携带的用于鉴权网络的第一响应参数值,鉴权所述目标T-CN,包括:
所述UE通过下式计算用于鉴权网络的第三响应参数值:
response3=KD(H(AUE),cnonce":"nonce-count":"Subscriber BCD Number)
其中,response3为所述第三响应参数值,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,SubscriberBCD Number为所述集群注册请求消息中携带的所述UE的用户号码的二进制编码的十进制码;
其中,H(AUE)=H(User Name":"PwdUE":"realm),H函数为散列函数,User Name为所述UE登录集群通信***的用户名,PwdUE为所述UE登录集群通信***的密码,realm为所述集群注册请求消息中域字段携带的信息;
所述UE通过比较所述第三响应参数值与所述第一响应参数值来鉴权所述目标T-CN;
相应地,所述鉴权成功,包括:所述UE比较所述第三响应参数值与所述第一响应参数值,若相等,则鉴权所述目标T-CN成功。
5.根据权利要求1所述的方法,其特征在于,所述UE基于所述集群注册接受消息中携带的用于质询UE的第二质询参数值,得到用于鉴权UE的第二响应参数值,包括:
所述UE基于所述集群注册接受消息中携带的用于质询UE的第二质询参数值,通过下式得到用于鉴权UE的第二响应参数值;
response2=KD(H(AUE),nonce":"cnonce":"nonce-count":"Subscriber BCD Number)
其中,response2为所述第二响应参数值,nonce为所述第二质询参数,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,Subscriber BCD Number为所述集群注册请求消息中携带的所述UE的用户号码的二进制编码的十进制码;
其中,H(AUE)=H(User Name":"PwdUE":"realm),H函数为散列函数,User Name为所述UE登录集群通信***的用户名,PwdUE为所述UE登录集群通信***的密码,realm为所述集群注册请求消息中域字段携带的信息。
6.一种集群通信***中非接入层摘要鉴权方法,其特征在于,包括:
T-CN在接收到目标UE发送的携带有登录鉴权指示信息以及用于质询网络的第一质询参数值的集群注册请求消息后,基于所述第一质询参数值得到的用于鉴权网络的第一响应参数值;
所述T-CN基于所述登录鉴权指示信息,向所述目标UE反馈集群注册接受消息,该消息中携带有所述第一响应参数值以及用于质询UE的第二质询参数值,以使所述目标UE基于所述第一响应参数值鉴权所述T-CN;
所述T-CN接收所述目标UE在鉴权所述T-CN成功后发送的携带有用于鉴权UE的第二响应参数值的集群注册完成消息,基于所述第二响应参数值鉴权所述目标UE,实现非接入层摘要鉴权;其中,第二响应参数值为目标UE基于所述第二质询参数值得到的参数值。
7.根据权利要求6所述的方法,其特征在于,所述基于所述第一质询参数值得到的用于鉴权网络的第一响应参数值,包括:
基于所述第一质询参数值,通过下式得到所述第一响应参数值:
response1=KD(H(AT-CN),cnonce":"nonce-count":"Subscriber BCD Number)
其中,response1为所述第一响应参数值,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,SubscriberBCD Number为所述集群注册请求消息中携带的所述UE的用户号码的二进制编码的十进制码;
其中,H(AT-CN)=H(User Name":"PwdT-CN":"realm),User Name为所述目标UE登录集群通信***的用户名,所述集群注册请求消息中携带有所述User Name,PwdT-CN为所述T-CN中记录的与该User Name对应的密码,realm为所述集群注册请求消息中域字段携带的信息。
8.根据权利要求6所述的方法,其特征在于,所述用于质询UE的第二质询参数值通过下式得到:
nonce=KD(time-stampT-CN,TPIT-CN":"private-keyT-CN":"User Name)
其中,nonce为所述第二质询参数,time-stampT-CN为所述T-CN的绝对时间,TPIT-CN为所述集群注册接受消息中携带的集群过程事务标识,private-keyT-CN为所述T-CN的私有标识,User Name为所述目标UE登录集群通信***的用户名,所述集群注册请求消息中携带有所述User Name。
9.根据权利要求6所述的方法,其特征在于,所述集群注册接受消息的应用容器字段中携带有所述第一响应参数值以及用于质询UE的第二质询参数值。
10.根据权利要求6所述的方法,其特征在于,所述基于所述第二响应参数值鉴权所述目标UE,包括:
所述T-CN通过下式计算用于鉴权所述目标UE的第四响应参数值:
response4=KD(H(AT-CN),nonce":"cnonce":"nonce-count":"Subscriber BCDNumber)
其中,response4为所述第四响应参数值,nonce为所述第二质询参数,cnonce为所述第一质询参数,nonce-count为所述第一质询参数的计数值,所述集群注册请求消息中携带有nonce-count,Subscriber BCD Number为所述集群注册请求消息中携带的所述目标UE的用户号码的二进制编码的十进制码;
其中,H(AT-CN)=H(User Name":"PwdT-CN":"realm),H函数为散列函数,User Name为所述目标UE登录集群通信***的用户名,所述集群注册请求消息中携带有所述User Name,PwdT-CN为所述T-CN中记录的与该User Name对应的密码,realm为所述集群注册请求消息中域字段携带的信息;
所述T-CN比较所述第四响应参数值与所述第二响应参数值,若相等,则鉴权所述目标UE成功。
11.一种多集群核心网间漫游用户鉴权方法,其特征在于,包括:
漫游UE漫游到拜访地进行集群注册,漫游UE发送非接入层集群注册请求消息到拜访地集群控制功能体TCF-V,所述非接入层的集群注册请求消息携带初始鉴权请求信息;
TCF-V向终端归属地集群控制功能体TCF-H发送会话初始协议注册消息,该会话初始协议注册消息携带扩展头Ptt-Extension头,携带鉴权方案,用户名,cnonce,nonce-count,algorithm及realm;
TCF-H向TCF-V返回会话初始协议注册响应,携带扩展Ptt-Extension头,携带鉴权方案,nonce,response1,algorithm,realm及expire;
TCF-V向终端发送非接入层集群注册接受消息,携带网络鉴权质询响应信息;
漫游UE鉴权网络成功后,漫游UE向TCF-V发送非接入层的集群注册完成消息,携带终端鉴权响应信息;
TCF-V向TCF-H发送会话初始协议注册消息,携带扩展Ptt-Extension头,携带鉴权方案,用户名,response2,realm;
TCF-H鉴权匹配漫游UE响应信息,如果成功则向TCF-V发送成功响应。否则发送错误响应。TCF-V向漫游UE发起集群注销流程。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610807062.2A CN107801186B (zh) | 2016-09-06 | 2016-09-06 | 一种集群通信***中非接入层摘要鉴权方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610807062.2A CN107801186B (zh) | 2016-09-06 | 2016-09-06 | 一种集群通信***中非接入层摘要鉴权方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107801186A true CN107801186A (zh) | 2018-03-13 |
CN107801186B CN107801186B (zh) | 2020-10-30 |
Family
ID=61529889
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610807062.2A Active CN107801186B (zh) | 2016-09-06 | 2016-09-06 | 一种集群通信***中非接入层摘要鉴权方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107801186B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115278554A (zh) * | 2022-05-07 | 2022-11-01 | 天津七一二移动通信有限公司 | 一种基于lte的无线车载台实现方法 |
CN117295138A (zh) * | 2023-10-17 | 2023-12-26 | 泸州卓远液压有限公司 | 一种针对液压设备集群的控制方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060190723A1 (en) * | 2005-02-18 | 2006-08-24 | Jp Morgan Chase Bank | Payload layer security for file transfer |
CN101399958A (zh) * | 2007-09-30 | 2009-04-01 | 华为技术有限公司 | 获取用户管理信息的方法、***和设备 |
CN101616364A (zh) * | 2009-07-27 | 2009-12-30 | 普天信息技术研究院有限公司 | 一种组呼业务实现方法 |
CN103237342A (zh) * | 2013-04-28 | 2013-08-07 | 哈尔滨工业大学 | 基于td-lte的公网集群同组用户的交叉身份注册方法 |
-
2016
- 2016-09-06 CN CN201610807062.2A patent/CN107801186B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060190723A1 (en) * | 2005-02-18 | 2006-08-24 | Jp Morgan Chase Bank | Payload layer security for file transfer |
CN101399958A (zh) * | 2007-09-30 | 2009-04-01 | 华为技术有限公司 | 获取用户管理信息的方法、***和设备 |
CN101616364A (zh) * | 2009-07-27 | 2009-12-30 | 普天信息技术研究院有限公司 | 一种组呼业务实现方法 |
CN103237342A (zh) * | 2013-04-28 | 2013-08-07 | 哈尔滨工业大学 | 基于td-lte的公网集群同组用户的交叉身份注册方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115278554A (zh) * | 2022-05-07 | 2022-11-01 | 天津七一二移动通信有限公司 | 一种基于lte的无线车载台实现方法 |
CN117295138A (zh) * | 2023-10-17 | 2023-12-26 | 泸州卓远液压有限公司 | 一种针对液压设备集群的控制方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107801186B (zh) | 2020-10-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10284555B2 (en) | User equipment credential system | |
JP6371644B2 (ja) | 単一の登録手順を使用するクライアントのグループの安全な登録 | |
KR101438243B1 (ko) | Sim 기반 인증방법 | |
EP2437469B1 (en) | Method and apparatus for establishing a security association | |
CN1835436B (zh) | 一种通用鉴权网络及一种实现鉴权的方法 | |
US20060059344A1 (en) | Service authentication | |
US20070086590A1 (en) | Method and apparatus for establishing a security association | |
CN102388638A (zh) | 由网络运营商提供的身份管理服务 | |
CN1921682B (zh) | 增强通用鉴权框架中的密钥协商方法 | |
WO2011088658A1 (zh) | 对dns报文中的身份信息进行认证的方法、服务器和*** | |
US20130024691A1 (en) | Method and Apparatus for Securing Communication Between a Mobile Node and a Network | |
WO2012024905A1 (zh) | 一种移动通讯网中数据加解密方法、终端和ggsn | |
CN100544247C (zh) | 安全能力协商方法 | |
CN102006298A (zh) | 接入网关实现负荷分担的方法和装置 | |
EP2987293A1 (en) | A method of and a device handling charging data in an ip-based network | |
CN107801186A (zh) | 一种集群通信***中非接入层摘要鉴权方法 | |
JP4677784B2 (ja) | 集合型宅内ネットワークにおける認証方法及びシステム | |
Torvinen et al. | Hypertext transfer protocol (HTTP) digest authentication using authentication and key agreement (AKA) Version-2 | |
Torvinen et al. | RFC 4169: Hypertext Transfer Protocol (HTTP) Digest Authentication Using Authentication and Key Agreement (AKA) Version-2 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |