CN108282775A - 面向移动专用网络的动态附加认证方法及*** - Google Patents

面向移动专用网络的动态附加认证方法及*** Download PDF

Info

Publication number
CN108282775A
CN108282775A CN201711401758.6A CN201711401758A CN108282775A CN 108282775 A CN108282775 A CN 108282775A CN 201711401758 A CN201711401758 A CN 201711401758A CN 108282775 A CN108282775 A CN 108282775A
Authority
CN
China
Prior art keywords
sas
key
hss
access authentication
control plane
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711401758.6A
Other languages
English (en)
Other versions
CN108282775B (zh
Inventor
张顺亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201711401758.6A priority Critical patent/CN108282775B/zh
Publication of CN108282775A publication Critical patent/CN108282775A/zh
Application granted granted Critical
Publication of CN108282775B publication Critical patent/CN108282775B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W64/00Locating users or terminals or network equipment for network management purposes, e.g. mobility management
    • H04W64/003Locating users or terminals or network equipment for network management purposes, e.g. mobility management locating network equipment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供一种面向移动专用网络的动态附加认证方法及***,该方法的步骤包括:UE判断是否需要启动接入认证,如需要,则向SAS发起接入认证请求;或者,S/P‑GW收到UE发出的业务请求触发判断是否需要启动SAS和UE之间的接入认证,如需要,则向SAS发起接入认证请求;SAS收到接入认证请求后,确定是否启动接入认证,如果启动,则向HSS发送用户ID和由S/P‑GW提供的IMSI信息;HSS收到后,生成初始密钥;SAS根据初始密钥生成密钥,保护其与UE之间的控制面交互信息;UE生成初始密钥,根据该初始密钥生成密钥,保护其与SAS之间的控制面交互信息;UE接收SAS的认证命令后,认证专用核心网的合法性,并通知SAS;SAS认证UE的合法性,并通知UE。

Description

面向移动专用网络的动态附加认证方法及***
技术领域
本发明涉及网络通信安全技术领域,尤其涉及在移动通信网络中用户及设备和专用网络之间的相互认证方法及***。
背景技术
移动通信网络服务由于其移动性和便利性已经广泛应用于人们的日常生活。随着4G移动通信网络的大规模部署,越来越多人开始使用4G网络服务。在享受移动通信网络带来的便利同时,伪基站、伪网络也给移动应用带来新的安全问题。同时,移动通信网络也面临着来自越来智能手持终端设备,越来越多样化,承受数量具大的物联网终端的非法接入及攻击。
移动专用网络用户使用网络业务的过程中,由于用户的移动性及专用网络运营商网络覆盖的局限性,在一些情况下,如漫游场景,用户可能需要通过公共移动网络以漫游的方式接入专用移动核心网。漫游地公共移动接入网对于专网用户及专用核心网来说是不完全可信的。在漫游情况下,用户接入专用核心网时需要进行认证,缺省的认证流程是经过漫游地核心网MME执行并决定认证结果的,那么对于专用核心网就可能存在中间人攻击的风险。此外,当专网用户处于非漫游状态时,此时,用户经过可信的专用接入网直接接入专用核心网,那么上述非完全可信MME充当中间人的问题就没有了,如何针对不同场景采取灵活高效的安全防护措施是一个值得考虑的问题。
为了防止非法用户接入3G及4G网络,设计了AKA的认证机制,利用网络侧HSS和终端的共享安全凭据信息及AKA算法使得网络可以认证用户的合法性,同时用户终端设备也可以认证网络的合法性。目前3GPP设计移动网络安全认证机制假定接入网及核心网所有功能都是安全可信的。现有的3G和4G移动网络假设漫游地网络和归属地网络在安全上是相互可信的,即归属地网络总是信任漫游地网络,因此就没有考虑上述漫游地核心网MME成为中间人的安全风险。目前4G网络对漫游用户认证方法是基于漫游地网络完全可信的假设,还没有针对漫游地核心网功能成为中间人问题的解决方法。现有的漫游用户认证措施无法解决移动专用网络新使用场景面临的新问题。
发明内容
本发明的目的在于提出一种面向移动专用网络的动态附加认证方法及***,即专用移动通信网络和专网用户相互认证方法,可以实现非可信3GPP接入网环境下或漫游环境下专网用户和专用网络之间的安全可靠相互认证,从而避免专网用户及设备接入伪专用网络,也可防止非法用户及设备接入专用网络。
为达到上述目的,本发明采用的技术方案如下:
一种面向移动专用网络的动态附加认证方法,其步骤包括:
已与位于专用核心网的移动管理节点MME和服务器HSS进行过双向认证的用户终端UE判断是否需要启动动态附加接入认证,如需要,则该UE向位于专用核心网的安全接入服务器SAS发起接入认证请求;或者,专用核心网的网关S/P-GW收到所述UE发出的业务请求触发判断是否需要启动SAS和UE之间的动态附加接入认证,如需要,则该S/P-GW向SAS发起接入认证请求;
SAS收到所述接入认证请求后,确定是否启动接入认证,如果启动,则SAS向HSS发送用户ID和由S/P-GW提供的用户身份IMSI信息;
HSS收到所述用户ID和IMSI信息后,生成控制面安全保护需要的初始密钥;
SAS根据所述初始密钥生成控制面安全保护需要的密钥,保护其与UE之间的控制面交互信息;
UE生成控制面安全保护需要的初始密钥,根据该初始密钥生成控制面安全保护需要的密钥,保护其与SAS之间的控制面交互信息;
UE接收SAS的认证命令后,认证专用核心网的合法性,并通知SAS;
SAS认证UE的合法性,并将该认证结果通知UE。
进一步地,根据所述UE的当前位置、是否漫游、接入网络安全可信度、接入网络类型、接入网络ID、UE访问的业务是否为专网相关业务以及预配置的安全策略判断是否启动动态附加接入认证。
进一步地,所述安全策略用于判断所述UE与专用核心网之间是否需要启动接入认证,该策略定义了需要启动附加认证的条件。例如:所述UE如果通过非可信3GPP或在漫游状态下通公共LTE网(PLMN ID=A)接入专用核心网,则需要启动接入认证;如果在非漫游状态下通过专用LTE接入网(PLMN ID=B)接入专用核心网,则不需要启动接入认证。
进一步地,所述接入认证请求包括UE当前位置、硬件ID、接入网络类型、接入网ID及PLMN ID、IP地址信息。
进一步地,所述UE和HSS根据UE和HSS共享的安全凭据信息(包括CK,IK和共享因子factor)生成初始密钥。
进一步地,所述初始密钥的生成算法如图2所示(图中USIM设置于UE上),具体为:以UE和HSS共享的安全凭据信息的CK,IK和共享因子Factor、服务网络标识SN ID以及序列号SQN异或AK为输入,通过标准密钥演算函数KDF运算生成初始密钥Ks_init。
进一步地,所述UE和SAS还根据UE和SAS共享的安全凭据信息(包括共享因子Factor和共享时间戳Timestamp)以及UE和HSS共享的安全凭据信息生成密钥;所述共享包括静态预配置或通过共享的第三方设备传递的信息。
进一步地,所述密钥包括机密性保护密钥和完整性保护密钥;
所述机密性保护密钥的生成算法如图3所示(图中USIM设置于UE上),具体为:以初始密钥Ks_init、UE和HSS共享的安全凭据信息、UE和SAS共享的安全凭据信息、Alg-ID、新定义的机密性保护算法类型标识符SA-init-enc-alg以及新定义的算法标识256-EEA4 AESbased algorithm(AES-CTR)作为输入,经密钥演算函数KDF运算生成机密性保护密钥Kinit_enc;
所述完整性保护密钥的生成算法如图3所示,具体为:以初始密钥Ks_init、UE和HSS共享的安全凭据信息、UE和SAS共享的安全凭据信息、Alg-ID、新定义的完整性保护算法类型标识符SA-init-int-alg以及新定义的算法标识256-EIA4 AES based algorithm(AES-CMAC)作为输入,经密钥演算函数KDF运算生成完整性保护密钥Kinit_int;
该密钥演算架构具体如下:
Algorithm type distinguishers
拓展定义:
SA-init-enc-alg=0x09,
SA-init-int-alg=0x10;
Alg-ID;
拓展定义:
"0100"=256-EEA4 AES based algorithm(AES-CTR),
"0110"=256-EIA4 AES based algorithm(AES-CMAC);
机密性保护密钥:
Kinit_enc
=KDF(Factor,TIME,SA-init-enc-alg,256-EEA4 AES based algorithm(AES-CTR),Ks_init);
完整性保护密钥:
Kinit_int
=KDF(Factor,TIME,SA-init-int-alg,256-EIA4 AES based algorithm(AES-CMAC),Ks_init)。
进一步地,所述认证命令包括HSS生成的随机数RAND以及认证令牌AUTN信息。
进一步地,所述UE根据其生成的初始密钥、UE和SAS共享的安全凭据信息以及AKA算法来认证专用核心网的合法性。
进一步地,所述SAS根据HSS生成的初始密钥、UE和SAS共享的安全凭据信息以及AKA算法来认证UE的合法性。
一种面向移动专用网络的动态附加认证***,包括:
UE,用于发送接入认证请求或业务请求,生成控制面安全保护需要的初始密钥及密钥,保护其与SAS之间的控制面交互信息,并认证专用核心网的合法性;
SAS,位于专用核心网,用于确定是否启动动态附加接入认证,生成控制面安全保护需要的密钥,保护其与UE之间的控制面交互信息,并认证UE的合法性;
HSS,位于专用核心网,用于生成控制面安全保护需要的初始密钥;
S/P-GW,位于专用核心网,用于向SAS提供用户身份IMSI信息。
进一步地,如果所述UE发送接入认证请求,则在发送之前先判断是否需要启动动态附加接入认证;如果所述UE发送业务请求,则该业务请求触发所述S/P-GW判断是否需要启动SAS和UE之间的动态附加接入认证。
本发明提出了一种专用移动通信网络用户和专用移动通信网络之间安全可靠的相互认证的方法。为了避免漫游情况下公共核心网控制面功能MME引起的可信问题,在专用核心网引入SAS。该方法通过利用UE和专用核心网共享的安全凭据信息及依据密钥生成算法生成的密钥,保护UE到SAS之间的接口消息。SAS根据UE的当前位置、接入网络安全可信度、用户漫游状态等信息,决定是否对该UE进行动态附加接入认证。如果需要进行认证,SAS和HSS交互获取根据UE和HSS共享的安全凭据信息生成的认证数据,并使用该认证数据和UE进行接入认证。根据认证结果,确定该UE是否可以接入专用网络。
此外,本发明通过增强终端功能,使得UE利用和HSS及SAS共享的安全凭据信息及初始密钥生成算法生成密钥,以保护UE与SAS之间的接口。此外需要增强核心网HSS功能,HSS需要利用和UE共享的安全凭据信息及初始密钥生成算法生成初始密钥并将该密钥传递给SAS。UE或S/P-GW根据接入网络ID、接入网络可信度、漫游状态及预配置的安全策略,决定是否触发SAS启动附加独立认证。
图1所示为在现有LTE密钥演算体系基础之上的控制面安全保护密钥的演算体系。图中USIM/AUC、UE/HSS、UE/MME以及UE/ENB相关的密钥演算部分为目前现有机制。为了解决UE和新增安全接入服务器SAS之间控制面安全保护问题,在现有LTE密钥演算体系基础之上进行了扩展,引入了UE/SAS相关密钥演算机制。UE和HSS各自使用IK、CK及新引进的参数,如共享因子Factor等,通过KDF函数演算生成初始密钥Ks_init。HSS将生成的初始密钥传递给SAS。然后,UE和SAS各自使用初始密钥Ks_init,以及其它新定义参数,包括共享因子Factor、时间戳Timestamp等,利用KDF函数演算生成机密性保护密钥Kinit_enc以及完整性保护密钥Kinit_int,用于保护UE和安全接入服务器SAS之间信令交互安全。
附图说明
图1是控制面安全保护需要的密钥演算体系图。
图2是控制面安全保护需要的初始密钥演算示意图。
图3是控制面安全保护需要的密钥演算示意图。
图4是实施例一的一种面向移动专用网络的动态附加认证***结构图。
图5是实施例一的一种面向移动专用网络的动态附加认证方法流程图。
图6是实施例二的一种面向移动专用网络的动态附加认证***结构图。
图7是实施例二的一种面向移动专用网络的动态附加认证方法流程图。
具体实施方式
为使本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图作详细说明如下。
基于本发明同样的技术构思,考虑到对现有终端及网络的不同影响,本发明提出了两种实施例。
实施例一
本实施例为增强现有UE功能,***架构如图4所示。UE依据漫游状态、接入网类型、接入网可信度等判断是否触发SAS启动动态附加接入认证,如果需要,则汇报UE相关信息及接入网相关信息给SAS。此外,在专用核心网引入SAS,SAS根UE当前位置、接入网络安全可信度、接入网络类型、接入网ID、接入网的PLMN ID及预配置的安全策略确定是否启动对该UE进行接入认证。如SAS确定认证必要,则UE利用和网络侧HSS共享的安全凭据信息及初始密钥生成算法,生成UE和SAS之间控制面安全保护需要的初始密钥,并启动UE到SAS之间的信令消息安全保护。同时SAS和HSS交互获取HSS根据共享的安全凭据信息生成的认证数据及控制面安全保护需要的密钥。HSS需要利用和UE共享的安全凭据信息及初始密钥生成算法,生成控制面安全保护需要的初始密钥并将该初始密钥及认证数据传递给SAS。SAS根据初始密钥生成密钥,根据该密钥及预配置的安全策略保护SAS到UE的接口消息。同时,SAS使用HSS提供的认证数据通过安全保护的接口和UE依据AKA算法进行接入认证,并根据认证结果确定UE是否可以接入专用网络。UE可以根据认证结果确定是否接入该网络。
本实施例的方法如图5所示,主要步骤如下:
(1)UE向核心网功能的MME发送附着请求消息,MME和HSS交互获取用户认证数据,并使用该认证数据与UE交互完成用户和网络之间的双向认证。
(2)UE依据其当前位置、接入网络安全可信度、接入网络类型、接入网络ID、漫游状态以及要访问的业务(是否为专网相关业务),判断是否触发动态附加接入认证。
(3)如果需要触发接入认证,UE向SAS发起接入认证请求消息,该消息包含:UE当前位置、硬件ID、接入网络类型、接入网ID及PLMN ID、用户IP地址等信息。
(4)SAS根据UE当前位置、漫游状态、接入网络是否可信、当前位置是否安全等信息,并根据预配置的安全策略确定是否启动接入认证。
安全策略例如:UE在非漫游状态下,通过专用LTE接入网(PLMN ID=B)接入专用核心网时,不需要启动接入认证;在漫游状态下,通公共LTE网(PLMN ID=A)接入时,需要启动接入认证。
(5)SAS向S/P-GW发送消息,请求用户身份IMSI信息。
(6)S/P-GW查找到对应的IMSI信息,通过响应消息将IMSI信息告诉SAS。
(7)如果需要启动接入认证,SAS向HSS发送消息请求用户认证数据,该数据包含用户ID和IMSI信息。
(8)HSS根据和UE共享的安全凭据信息生成认证向量,根据初始密钥生成算法生成控制面安全保护需要的初始密钥。
(9)HSS将生成的认证向量及初始密钥,通过响应消息通知给SAS。
(10)SAS回复UE响应消息,该消息包含接入检查结果,即是否需要启动接入认证。
(11)如果需要启动接入认证,UE以和HSS共享的安全凭据信息,利用初始密钥生成算法生成控制面安全保护需要的初始密钥。
(12)UE根据其生成的初始密钥、和HSS共享的安全凭据信息以及和SAS共享的安全凭据信息作为输入,以密钥生成算法生成控制面安全保护需要的密钥,采用预配置算法保护SAS和UE的控制面交互的AKA认证信息。
(13)SAS以初始密钥、和UE共享的安全凭据信息、UE和HSS的安全凭据信息作为输入,依据密钥生成算法生成控制面保护需要的密钥。采用预配置的安全策略保护SAS和UE之间的控制面交互的AKA认证信息。
(14)SAS向UE发送附加认证命令消息,该消息包含HSS生成的随机数RAND及认证令牌AUTN信息。
(15)UE依据和HSS共享的安全凭据信息及AKA算法认证专用核心网的合法性。
(16)认证专用核心网通过后,UE发送认证请求消息,该消息包含使用安全凭据信息及AKA算法生成的认证响应结果RES。
(17)收到UE的认证响应数据后,SAS认证UE的合法性。
(18)SAS回复UE附加认证响应消息,该消息包含认证结果。
实施例二
本实施例引入新网络功能的安全接入服务器SAS,位于专用核心网,以避免对现有网络功能的MME的影响,***架构如图6所示。专用核心网网关S/P-GW收到用户访问业务请求后,根据接入网络ID、接入网类型、PLMN ID、接入网络可信度、漫游状态(是否漫游)、预配置的安全策略以及用户访问的业务类型/名称,决定是否触发动态附加接入认证。如果需要触发,S/P-GW通过和SAS之间新定义的接口汇报UE当前位置、接入网类型、接入网可信度、漫游状态等信息。SAS根据UE当前位置、接入网络安全可信度、接入网络类型、接入网ID、接入网的PLMN ID及预配置的安全策略,确定是否启动对该UE进行接入认证。如果必要,启动UE和专用核心网之间的认证过程。
本实施例的方法流程如图7所示,主要步骤如下:
(1)UE向核心网功能MME发送附着请求消息。MME和HSS交互获取用户认证数据,使用该认证数据和UE交互完成用户和网络之间的双向认证。
(2)UE向应用服务器AF发起业务请求,如HTTP请求消息,先由S/P-GW接收。
(3)S/P-GW根据接入网络ID、接入网类型、PLMN ID、接入网络可信度、漫游状态及预配置的安全策略及用户访问的业务类型/名称,决定是否触发动态附加接入认证。
(4)如果需要触发接入认证,S/P-GW通过新定义的接口向SAS发送接入认证请求消息,该消息包含以下相关信息:UE当前位置、接入网络类型、接入网络PLMN名称、接入网可信度、漫游状态、用户身份IMSI信息等。
(5)SAS根据S/P-GW上报的UE当前位置、漫游状态、接入网络是否可信、UE当前位置是否安全等信息,根据预配置的安全策略确定是否启动接入认证。
(6)如果需要启动接入认证,SAS向HSS发送消息请求用户认证数据,该数据包含用户ID和IMSI信息。
(7)HSS根据和UE共享的安全凭据信息生成认证向量,根据初始密钥生成算法生成控制面安全保护需要的初始密钥。
(8)HSS将生成的认证向量及初始密钥,通过响应消息通知给SAS。
(9)SAS回复UE响应消息,该消息包含接入检查结果,即是否需要启动接入认证。
(10)如果需要启动接入认证,UE以和HSS共享的安全凭据信息,利用初始密钥生成算法生成控制面安全保护需要的初始密钥。
(11)UE根据其生成的初始密钥、和HSS共享的安全凭据信息以及和SAS共享的安全凭据信息作为输入,以密钥生成算法生成控制面安全保护需要的密钥,采用预配置算法保护SAS和UE的控制面交互的AKA认证信息。
(12)SAS以初始密钥、和UE共享的安全凭据信息、UE和HSS的安全凭据信息作为输入,依据密钥生成算法生成控制面保护需要的密钥。采用预配置的安全策略保护SAS和UE之间的控制面交互的AKA认证信息。
(13)SAS向UE发送附加认证命令消息,该消息包含HSS生成的随机数RAND及认证令牌AUTN信息。
(14)UE依据和HSS共享的安全凭据信息及AKA算法认证专用网络的合法性。
(15)认证专用核心网通过后,UE发送认证请求消息,该消息包含使用安全凭据信息及AKA算法生成的认证响应结果RES。
(16)收到UE的认证响应数据后,SAS认证UE的合法性。
(17)SAS回复UE附加认证响应消息,该消息包含认证结果;发送认证通知消息给S/P-GW,该消息包含用户认证结果。
(18)P-GW回复SAS响应消息。
(19)根据认证结果,S/P-GW决定是否允许该UE的业务请求通过。
(20)如果认证通过,S/P-GW将该用户的IP数据包(业务请求消息)路由到位于专网之后的业务服务器AF。
(21)UE和AF进行业务交互。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。

Claims (10)

1.一种面向移动专用网络的动态附加认证方法,其步骤包括:
已与位于专用核心网的MME和HSS进行过双向认证的UE判断是否需要启动动态附加接入认证,如需要,则该UE向位于专用核心网的SAS发起接入认证请求;或者,专用核心网的S/P-GW收到所述UE发出的业务请求触发判断是否需要启动所述SAS和所述UE之间的动态附加接入认证,如需要,则该S/P-GW向所述SAS发起接入认证请求;
所述SAS收到所述接入认证请求后,确定是否启动接入认证,如果启动,则所述SAS向所述HSS发送用户ID和由所述S/P-GW提供的IMSI信息;
所述HSS收到所述用户ID和所述IMSI信息后,生成控制面安全保护需要的初始密钥;
所述SAS根据所述初始密钥生成控制面安全保护需要的密钥,保护其与所述UE之间的控制面交互信息;
所述UE生成控制面安全保护需要的初始密钥,根据该初始密钥生成控制面安全保护需要的密钥,保护其与所述SAS之间的控制面交互信息;
所述UE接收所述SAS的认证命令后,认证专用核心网的合法性,并通知所述SAS;
所述SAS认证所述UE的合法性,并通知所述UE。
2.根据权利要求1所述的方法,其特征在于,根据所述UE的当前位置、是否漫游、访问的业务是否为专网业务、接入网络安全可信度、接入网络类型、接入网络ID以及预配置的安全策略判断是否启动所述接入认证。
3.根据权利要求1所述的方法,其特征在于,所述接入认证请求包括所述UE当前位置、硬件ID、接入网络类型、接入网ID及PLMN ID、IP地址信息。
4.根据权利要求1所述的方法,其特征在于,所述UE和所述HSS根据之间共享的安全凭据信息生成初始密钥。
5.根据权利要求4所述的方法,其特征在于,所述初始密钥的生成算法为:以所述UE和所述HSS共享的安全凭据信息的CK,IK和共享因子Factor、服务网络标识SN ID以及序列号SQN异或AK为输入,通过标准密钥演算函数KDF运算生成所述初始密钥。
6.根据权利要求1所述的方法,其特征在于,所述UE和所述SAS还根据之间共享的安全凭据信息以及该UE和所述HSS共享的安全凭据信息生成密钥。
7.根据权利要求6所述的方法,其特征在于,所述密钥包括机密性保护密钥和完整性保护密钥;
所述机密性保护密钥的生成算法为:以初始密钥、所述UE和所述HSS共享的安全凭据信息、所述UE和所述SAS共享的安全凭据信息、Alg-ID、新定义的机密性保护算法类型标识符SA-init-enc-alg以及新定义的算法标识256-EEA4AES based algorithm(AES-CTR)作为输入,经密钥演算函数KDF运算生成所述机密性保护密钥;
所述完整性保护密钥的生成算法为:以初始密钥、所述UE和所述HSS共享的安全凭据信息、所述UE和所述SAS共享的安全凭据信息、Alg-ID、新定义的完整性保护算法类型标识符SA-init-int-alg以及新定义的算法标识256-EIA4AES based algorithm(AES-CMAC)作为输入,经密钥演算函数KDF运算生成所述完整性保护密钥。
8.根据权利要求1所述的方法,其特征在于,所述UE根据其生成的初始密钥、其和所述SAS共享的安全凭据信息以及AKA算法来认证专用核心网的合法性;所述SAS根据所述HSS生成的初始密钥、其和所述UE共享的安全凭据信息以及AKA算法来认证所述UE的合法性。
9.一种面向移动专用网络的动态附加认证***,包括:
UE,用于发送接入认证请求或业务请求,生成控制面安全保护需要的初始密钥及密钥,保护其与SAS之间的控制面交互信息,并认证专用核心网的合法性;
SAS,位于专用核心网,用于确定是否启动动态附加接入认证,生成控制面安全保护需要的密钥,保护其与所述UE之间的控制面交互信息,并认证所述UE的合法性;
HSS,位于专用核心网,用于生成控制面安全保护需要的初始密钥;
S/P-GW,位于专用核心网,用于向所述SAS提供IMSI信息。
10.根据权利要求9所述的***,其特征在于,如果所述UE发送接入认证请求,则在发送之前先判断是否需要启动动态附加接入认证;如果所述UE发送业务请求,则该业务请求触发所述S/P-GW判断是否需要启动SAS和UE之间的动态附加接入认证。
CN201711401758.6A 2017-12-22 2017-12-22 面向移动专用网络的动态附加认证方法及*** Expired - Fee Related CN108282775B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711401758.6A CN108282775B (zh) 2017-12-22 2017-12-22 面向移动专用网络的动态附加认证方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711401758.6A CN108282775B (zh) 2017-12-22 2017-12-22 面向移动专用网络的动态附加认证方法及***

Publications (2)

Publication Number Publication Date
CN108282775A true CN108282775A (zh) 2018-07-13
CN108282775B CN108282775B (zh) 2021-01-01

Family

ID=62801979

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711401758.6A Expired - Fee Related CN108282775B (zh) 2017-12-22 2017-12-22 面向移动专用网络的动态附加认证方法及***

Country Status (1)

Country Link
CN (1) CN108282775B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110753346A (zh) * 2019-10-30 2020-02-04 北京微智信业科技有限公司 移动通信专网密钥生成方法、装置及控制器

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101472263A (zh) * 2008-05-04 2009-07-01 中兴通讯股份有限公司 一种网络连接方式的决定方法
US9060263B1 (en) * 2011-09-21 2015-06-16 Cellco Partnership Inbound LTE roaming footprint control
WO2017077441A1 (en) * 2015-11-03 2017-05-11 Telefonaktiebolaget Lm Ericsson (Publ) Selection of gateway node in a communication system
EP2276281A4 (en) * 2008-05-05 2017-07-12 China Academy of Telecommunications Technology Method, system and device for obtaining a trust type of a non-3gpp access system
WO2017143521A1 (zh) * 2016-02-23 2017-08-31 华为技术有限公司 一种安全通信方法及核心网节点

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101472263A (zh) * 2008-05-04 2009-07-01 中兴通讯股份有限公司 一种网络连接方式的决定方法
EP2276281A4 (en) * 2008-05-05 2017-07-12 China Academy of Telecommunications Technology Method, system and device for obtaining a trust type of a non-3gpp access system
US9060263B1 (en) * 2011-09-21 2015-06-16 Cellco Partnership Inbound LTE roaming footprint control
WO2017077441A1 (en) * 2015-11-03 2017-05-11 Telefonaktiebolaget Lm Ericsson (Publ) Selection of gateway node in a communication system
WO2017143521A1 (zh) * 2016-02-23 2017-08-31 华为技术有限公司 一种安全通信方法及核心网节点

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110753346A (zh) * 2019-10-30 2020-02-04 北京微智信业科技有限公司 移动通信专网密钥生成方法、装置及控制器
CN110753346B (zh) * 2019-10-30 2021-02-19 北京微智信业科技有限公司 移动通信专网密钥生成方法、装置及控制器

Also Published As

Publication number Publication date
CN108282775B (zh) 2021-01-01

Similar Documents

Publication Publication Date Title
Arapinis et al. New privacy issues in mobile telephony: fix and verification
KR101170191B1 (ko) 비승인 모바일 액세스 시그널링에 대한 개선된 가입자 인증
Golde et al. Weaponizing Femtocells: The Effect of Rogue Devices on Mobile Telecommunications.
CN102415119B (zh) 管理网络中不期望的服务请求
WO2020010515A1 (en) Identity-based message integrity protection and verification for wireless communication
US20220116777A1 (en) A Method for Authentication a Secure Element Cooperating with a Mobile Equipment within a Terminal in a Telecommunication Network
CN108880813A (zh) 一种附着流程的实现方法及装置
CN103430582B (zh) 防止混合式通信***中的窃听类型的攻击
JP2021511746A (ja) 通信装置、第1のネットワーク装置、通信装置の方法、及び第1のネットワーク装置の方法
US10582378B2 (en) Message protection method, user equipment, and core network device
CN108235300B (zh) 移动通信网络用户数据安全保护方法及***
Koien Entity authentication and personal privacy in future cellular systems
CN108243416A (zh) 用户设备鉴权方法、移动管理实体及用户设备
CN104244210A (zh) 一种应急通信方法、移动终端、认证服务器和无线接入点
CN108282775A (zh) 面向移动专用网络的动态附加认证方法及***
Escudero-Andreu et al. Analysis and design of security for next generation 4G cellular networks
Abdeljebbar et al. Fast authentication during handover in 4G LTE/SAE networks
Ouaissa et al. Group access authentication of machine to machine communications in LTE networks
JP5670926B2 (ja) 無線lanのアクセスポイントの端末アクセス制御システム及び認可サーバ装置
Bodhe et al. Wireless LAN security attacks and CCM protocol with some best practices in deployment of services
Singh et al. Security analysis of lte/sae networks with the possibilities of tampering e-utran on ns3
KR100968522B1 (ko) 상호 인증 및 핸드오버 보안을 강화한 모바일 인증 방법
KR20140055675A (ko) 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치
CN117692902B (zh) 一种基于嵌入式家庭网关的智能家居的交互方法及***
Borgaonkar Security analysis of femtocell-enabled cellular network architecture

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20210101