CN109151816B - 一种网络鉴权方法及*** - Google Patents
一种网络鉴权方法及*** Download PDFInfo
- Publication number
- CN109151816B CN109151816B CN201710510229.3A CN201710510229A CN109151816B CN 109151816 B CN109151816 B CN 109151816B CN 201710510229 A CN201710510229 A CN 201710510229A CN 109151816 B CN109151816 B CN 109151816B
- Authority
- CN
- China
- Prior art keywords
- network
- mme
- random number
- autn
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种网络鉴权方法及***,属于通信技术领域。该方法包括:当LTE‑U网络的MME接收到第一附着请求时,在第一附着请求中添加LTE‑U网络的网络标识,以生成第二附着请求,并发送至LTE网络的MME;LTE网络的MME基于第二附着请求,向HSS发送携带LTE‑U网络的网络标识和LTE网络的网络标识的鉴权数据请求;HSS基于鉴权数据请求,生成鉴权向量,并发送至LTE网络的MME;LTE网络的MME基于鉴权向量与UE以及LTE‑U网络的MME进行交互,以实现网络鉴权。也即是,通过本申请提供的方法,UE可以在接入运营商网络和LTE‑U网络时,一次性完成与运营商网络和LTE‑U网络之间的鉴权。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种网络鉴权方法及***。
背景技术
基于长期演进的无牌照(Long Term Evolution-Unlicensed,LTE-U)网络是指除了运营商、用户部署的网络设备之外,由第三方部署的网络设备组成的网络。例如,某医院在该医院范围内,部署了LTE-U基站(Evolved Node B,eNB)、LTE-U移动管理实体(MobilityManagement Entity,MME),LTE-U网关(Gateway,GW)等网络设备,这些网络设备即组成了LTE-U 网络,处于该医院范围内的用户设备(User Equipment,UE)可以通过接入该LTE-U网络进行通信。为了保证UE在接入LTE-U网络的同时还能使用运营商网络如长期演进(LongTerm Evolution,LTE)网络提供的网络服务,LTE-U网络的网络设备可以与运营商网络的网络设备进行连接,这样,当当前未接入运营商网络的UE接入LTE-U网络时,UE需要与该LTE-U网络和运营商网络进行鉴权。
相关技术中,当UE初次接入LTE网络时,UE首先与LTE网络的MME之间进行双向认证,如果UE确定LTE网络是真实的,而MME也确定UE是真实的,那么,双向认证成功。当双向认证成功后,MME会生成非接入层(Non-Access Stratum,NAS)密钥,并根据该NAS密钥,与UE进行算法协商。当MME与UE之间的算法协商成功之后,LTE网络的基站(Evolved Node B,eNodeB)会生成接入层(Access Stratum,AS)密钥,并根据该AS 密钥与UE之间进行算法协商,如果eNodeB与UE之间的算法协商成功,则UE与LTE网络之间的鉴权完成,UE可以成功接入该LTE网络。
由上述描述可知,相关技术中仅提供了UE接入运营商网络时与运营商网络中的网络设备直接鉴权的方法,并没有提供当存在LTE-U网络时,UE接入运营商网络和LTE-U网络时进行网络鉴权的方法。
发明内容
为了解决相关技术中未提供UE接入LTE网络和LTE-U网络进行网络鉴权的方法的问题,本申请提供了一种网络鉴权方法,所述技术方案如下:
第一方面,提供了一种网络鉴权方法,所述方法包括:
当基于长期演进的无牌照LTE-U网络的移动管理实体MME接收到来自用户设备UE的第一附着请求时,在所述第一附着请求中添加所述LTE-U网络的网络标识,以生成第二附着请求,并将所述第二附着请求发送至长期演进LTE网络的MME;
当所述LTE网络的MME接收到所述第二附着请求时,基于所述第二附着请求,向归属签约用户服务器HSS发送鉴权数据请求,所述鉴权数据请求中携带所述LTE-U网络的网络标识和所述LTE网络的网络标识;
当所述HSS接收到所述鉴权数据请求时,基于所述LTE-U网络的网络标识和所述LTE 网络的网络标识,生成鉴权向量,并向所述LTE网络的MME发送所述鉴权向量,所述鉴权向量包括用于对所述UE、所述LTE-U网络和所述LTE网络进行鉴权的参数;
当所述LTE网络的MME接收到所述鉴权向量时,基于所述鉴权向量与所述UE以及所述LTE-U网络的MME进行交互,以实现网络鉴权。
可选地,所述鉴权向量包括第一基础密钥、期望回复信息、第一随机数和鉴权标记AUTN,所述第一基础密钥为所述LTE-U网络对应的密钥;
所述基于所述鉴权向量与所述UE以及所述LTE-U网络的MME进行交互,以实现网络鉴权,包括:
所述LTE网络的MME存储所述期望回复信息,并通过所述LTE-U网络的MME向所述UE发送所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和第一加密结果,所述第一加密结果由所述LTE-U网络的MME基于所述第一基础密钥生成;
当所述UE接收到所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果时,基于所述第一随机数和所述AUTN对所述LTE网络进行验证,并基于所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果对所述LTE-U网络进行验证;
当所述UE确定对所述LTE网络和所述LTE-U网络均验证通过时,生成回复信息,并基于所述第一随机数、所述AUTN和所述LTE-U网络的网络标识生成第二加密结果;
所述UE将所述第二加密结果发送至所述LTE-U网络的MME,并将所述回复信息发送至LTE网络的MME;
当所述LTE-U网络的MME接收到所述第二加密结果时,基于所述第二加密结果对所述 UE进行验证,当所述LTE网络的MME接收到所述回复信息时,基于所述期望回复信息和所述回复信息对所述UE进行验证。
可选地,所述LTE网络的MME通过所述LTE-U网络的MME向所述UE发送所述第一随机数、所述AUTN和第一加密结果,包括:
所述LTE网络的MME将所述期望回复信息进行存储,并将所述第一基础密钥、所述第一随机数和所述AUTN发送至所述LTE-U网络的MME;
当所述LTE-U网络的MME接收到所述第一基础密钥、所述第一随机数和所述AUTN时,将所述第一基础密钥进行存储,基于所述第一基础密钥生成第一加密结果,并将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果发送至所述UE。
可选地,所述基于所述第一基础密钥生成第一加密结果,包括:
所述LTE-U网络的MME生成第二随机数,并通过所述第一基础密钥对所述第二随机数进行加密,得到所述第一加密结果;
相应地,所述将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果发送至所述UE,包括:
所述LTE-U网络的MME将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识、所述第一加密结果和所述第二随机数发送至所述UE。
可选地,所述AUTN包括消息鉴权码MAC;
所述UE基于所述第一随机数和所述AUTN对所述LTE网络进行验证,包括:
所述UE基于所述第一随机数和所述AUTN中除所述MAC之外的其他参数生成期望消息鉴权码XMAC;
如果所述XMAC和所述MAC相同,则所述UE确定对所述LTE网络的验证通过。
可选地,所述UE基于所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果对所述LTE-U网络进行验证,包括:
所述UE根据所述LTE-U网络的网络标识、所述第一随机数和所述AUTN生成第二基础密钥;
所述UE通过所述第二基础密钥对所述第二随机数进行加密,得到第三加密结果;
如果所述第一加密结果等于所述第三加密结果,则所述UE确定对所述LTE-U网络的验证通过。
可选地,所述基于所述第一随机数、所述AUTN和所述LTE-U网络的网络标识生成第二加密结果,包括:
所述UE生成第三随机数,并通过所述第二基础密钥对所述第二随机数和所述第三随机数进行整体加密,得到第二加密结果;
相应地,所述UE将所述第二加密结果发送至所述LTE-U网络的MME,包括:
所述UE将所述第二加密结果和所述第三随机数发送至所述LTE-U网络的MME;
相应地,所述LTE-U网络的MME基于所述第二加密结果对所述UE进行验证,包括:
所述LTE-U网络的MME通过存储的所述第一基础密钥对所述第二随机数和所述第三随机数进行整体加密,得到第四加密结果;
如果所述第二加密结果和所述第四加密结果相等,则所述LTE-U网络的MME确定对所述UE的验证通过。
可选地,所述LTE网络的MME通过所述LTE-U网络的MME向所述UE发送所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和第一加密结果,包括:
所述LTE网络的MME将所述期望回复信息进行存储,并将所述第一基础密钥、所述期望回复信息、所述第一随机数和所述AUTN发送至所述LTE-U网络的MME;
当所述LTE-U网络的MME接收到所述第一基础密钥、所述期望回复信息、所述第一随机数和所述AUTN时,将所述第一基础密钥和所述期望回复信息进行存储,基于所述第一基础密钥生成第一加密结果,并将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果发送至所述UE。
可选地,所述AUTN包括MAC;
所述基于所述第一基础密钥生成第一加密结果,包括:
所述LTE-U网络的MME通过所述第一基础密钥对所述MAC进行加密,得到所述第一加密结果。
可选地,所述UE基于所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果对所述LTE-U网络进行验证,包括:
所述UE根据所述LTE-U网络的网络标识、所述第一随机数和所述AUTN生成第二基础密钥;
所述UE通过所述第二基础密钥对所述MAC进行加密,得到第五加密结果;
如果所述第一加密结果等于所述第五加密结果,则所述UE确定对所述LTE-U网络的验证通过。
可选地,所述基于所述第一随机数、所述AUTN和所述LTE-U网络的网络标识生成第二加密结果,包括:
所述UE通过所述第二基础密钥对所述回复信息进行加密,得到第二加密结果;
相应地,所述LTE-U网络的MME基于所述第二加密结果对所述UE进行验证,包括:
所述LTE-U网络的MME通过存储的所述第一基础密钥对所述回复信息加密,得到第六加密结果;
如果所述LTE-U网络的MME存储的所述期望回复信息与所述回复信息相同,且所述第六加密结果与所述第二加密结果相等,则所述LTE-U网络的MME确定对所述UE的验证通过。
可选地,所述第二附着请求中携带所述UE的安全算法,所述鉴权向量包括第三基础密钥、期望回复信息、第一随机数、鉴权标记AUTN,所述第三基础密钥为所述LTE网络对应的密钥;
所述基于所述鉴权向量与所述UE以及所述LTE-U的MME进行交互,以实现网络鉴权,包括:
所述LTE网络的MME基于所述第三基础密钥、所述期望回复信息、所述第一随机数和所述AUTN与所述UE进行交互,以实现所述UE对所述LTE网络的验证,以及所述LTE网络的MME对所述UE的验证;
当所述LTE网络的MME确定对所述UE的验证通过时,生成第二随机数,并基于所述LTE-U网络的网络标识和所述第三基础密钥,生成第一基础密钥;
所述LTE网络的MME基于所述UE的安全算法生成非接入层NAS密钥,并通过所述NAS密钥对所述第二随机数进行加密,得到第七加密结果;
所述LTE网络的MME将所述第一基础密钥、所述第三基础密钥、所述NAS密钥、所述LTE-U网络的网络标识、所述第二随机数和所述第七加密结果发送至所述LTE-U网络的MME;
所述LTE-U网络的MME通过所述第一基础密钥对所述第二随机数进行加密,得到第八加密结果,并将所述第三基础密钥、所述NAS密钥、所述LTE-U网络的网络标识、所述第七加密结果和所述第八加密结果发送至所述UE;
所述UE基于所述第三基础密钥和所述LTE-U网络的网络标识生成第二基础密钥,并通过所述第二基础密钥对所述第八加密结果进行解密,得到第一解密结果,通过所述NAS密钥对第七加密结果进行解密,得到第二解密结果;
如果所述第一解密结果和所述第二解密结果相同,则所述UE确定对所述LTE-U网络的验证通过。
第二方面,提供了一种网络鉴权***,所述网络鉴权***具有实现上述第一方面中网络鉴权方法行为的功能。所述网络鉴权***包括UE、LTE-U网络的MME、LTE网络的MME、HSS,该UE、LTE-U网络的MME、LTE网络的MME、HSS用于实现上述第一方面所提供的网络鉴权方法。
第三方面,提供了一种网络设备,所述网络设备的结构中包括处理器和存储器,所述存储器用于存储支持网络设备执行上述第一方面所提供的网络鉴权方法的程序,以及存储用于实现上述第一方面所提供的网络鉴权方法所涉及的数据。所述处理器被配置为用于执行所述存储器中存储的程序。所述存储设备的操作装置还可以包括通信总线,该通信总线用于该处理器与存储器之间建立连接。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面所述的网络鉴权方法。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的网络鉴权方法。
上述第二方面、第三方面、第四方面和第五方面所获得的技术效果与第一方面中对应的技术手段获得的技术效果近似,在这里不再赘述。
本申请提供的技术方案带来的有益效果是:在本发明实施例中,对于未接入运营商网络的UE,当该UE接入LTE-U网络时,可以将第一附着请求发送至LTE-U网络的MME,当LTE-U网络的MME接收到该第一附着请求时,可以在第一附着请求中加入该LTE-U网络的网络标识,从而生成第二附着请求,并将该第二附着请求发送至LTE网络的MME,LTE网络的MME基于该第二附着请求生成鉴权数据请求,以向HSS请求鉴权向量,当HSS接收到该鉴权数据请求时,基于该鉴权数据请求生成鉴权向量,并将该鉴权向量发送至LTE网络的 MME,之后,LTE网络的MME即可以根据接收到的鉴权向量与UE以及LTE-U网络的MME 进行交互,以实现网络鉴权。也即是,通过本发明实施例提供的网络鉴权方法,UE可以在接入运营商网络和LTE-U网络时,一次性完成与运营商网络和LTE-U网络之间的鉴权,从而使 UE可以同时顺利的接入运营商网络和LTE-U网络,为用户的使用带来了方便。
附图说明
图1是本发明实施例提供的一种网络鉴权方法的***架构图;
图2是本发明实施例提供的一种网络设备的结构示意图;
图3是本发明实施例提供的一种网络鉴权方法的流程图;
图4是本发明实施例提供的一种LTE网络的MME、LTE-U网络的MME和UE之间交互进行网络鉴权方法的流程图;
图5是本发明实施例提供的又一种LTE网络的MME、LTE-U网络的MME和UE之间交互进行网络鉴权方法的流程图;
图6是本发明实施例提供的另一种LTE网络的MME、LTE-U网络的MME和UE之间交互进行网络鉴权方法的流程图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
在对本发明实施例进行详细的解释说明之前,先对本发明实施例的应用场景予以介绍。当前,诸如企业、医院、政府单位等组织为了便于内部员工交流通信,或者为了向服务的用户推送特定的信息和业务,可以在一定的区域内部署属于自己的网络设备,并采用未授权的频谱,通过部署的网络设备进行通信,其中未授权的频谱可以为与无线保真(WIreless-Fidelity, WIFI)频谱相同的频谱。这些由第三方部署的网络设备组成且采用未授权频谱进行通信的网络即为LTE-U网络。部署该LTE-U网络的第三方可以通过对部署的网络设备的控制,向接入该LTE-U网络的用户提供特定的业务。例如,某医院在该医院所在的范围内,部署了LTE-U eNB、LTE-U MME,LTE-U GW等网络设备,从而组成了一个LTE-U网络,医院可以通过该 LTE-U网络向用户提供医疗服务,接入该LTE-U网络的用户则可以通过该LTE-U网络方便快捷的查找该医院的医生信息、排队人数和科室位置等信息。
需要说明的是,第三方不仅可以通过部署的LTE-U网络向用户提供特定的业务,而且,还可以将该LTE-U网络中的网络设备与运营商网络中的网路设备进行连接,以使接入该LTE-U网络的用户可以同时使用运营商网络提供的网络服务。在此前提下,当当前未接入运营商网络的UE接入LTE-U网络时,UE需要与该LTE-U网络和运营商网络进行鉴权。而本申请提供的网络鉴权方法及***即可以用于当前未接入运营商网络的UE在接入LTE-U网络时,与运营商网络和LTE-U网络进行鉴权的场景中。
在对本发明实施例的应用场景进行介绍之后,接下来对本发明实施例涉及的***架构进行说明。
图1是本发明实施例提供的一种网络鉴权方法的***架构图。如图1所示,该***中包括UE 101,LTE-U网络的eNB 102,LTE-U网络的MME 103,LTE网络的MME 104和HSS 105。其中UE 101与LTE-U网络的eNB 102连接,LTE-U网络的MME 103与LTE网络的 MME 104连接,LTE网络的MME 104和HSS 105连接。
其中,UE 101可以为诸如智能手机、平板电脑等用户设备。当进行网络鉴权时,UE101 向LTE-U网络的eNB 102发起附着请求,LTE-U网络的eNB 102将UE 101发送的附着请求转发给LTE-U网络的MME 103,LTE-U网络的MME 103和LTE网络的MME 104根据UE 发送的该附着请求与UE进行交互,以实现UE 101、LTE-U网络的MME 103以及LTE网络的MME 104之间的鉴权。在这个过程中,LTE网络的MME 104可以根据UE 101发送的附着请求、LTE-U网络的网络标识和LTE网络的网络标识,向HSS请求鉴权向量,HSS 105根据接收到的信息生成鉴权向量,并将该鉴权向量返回至LTE网络的MME 104,以使LTE-U 网络的MME 103和LTE网络的MME 104根据该鉴权向量与UE 101进行鉴权。
图2是本发明实施例提供的一种网络设备结构示意图。该网络设备可以为图1中的UE、 eNB、MME或HSS。参见图2,该网络设备包括至少一个处理器201,通信总线202,存储器203以及至少一个通信接口204。
处理器201可以是一个通用中央处理器(Central Processing Unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信总线202可包括一通路,在上述组件之间传送信息。
存储器203可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其它类型的静态存储设备,随机存取存储器(random access memory,RAM))或者可存储信息和指令的其它类型的动态存储设备,也可以是电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质,但不限于此。存储器203可以是独立存在,通过通信总线202与处理器201相连接。存储器203也可以和处理器201集成在一起。
通信接口204,使用任何收发器一类的装置,用于与其它设备或通信网络通信,如以太网,无线接入网(RAN),无线局域网(Wireless Local Area Networks,WLAN)等。
在具体实现中,作为一种实施例,处理器201可以包括一个或多个CPU,例如图2中所示的CPU0和CPU1。
在具体实现中,作为一种实施例,网络设备可以包括多个处理器,例如图2中所示的处理器201和处理器205。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,网络设备还可以包括输出设备206和输入设备207。输出设备206和处理器201通信,可以以多种方式来显示信息。例如,输出设备206可以是液晶显示器(liquid crystal display,LCD),发光二极管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备 207和处理器201通信,可以以多种方式接收用户的输入。例如,输入设备207可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的网络设备可以是一个通用计算机设备或者是一个专用计算机设备。在具体实现中,该网络设备可以是台式机、便携式电脑、网络服务器、掌上电脑(Personal DigitalAssistant, PDA)、移动手机、平板电脑、无线终端设备、通信设备或者嵌入式设备。本发明实施例不限定网络设备的类型。
其中,存储器203用于存储执行本申请方案的程序代码,并由处理器201来控制执行。处理器201用于执行存储器203中存储的程序代码208。程序代码208中可以包括一个或多个软件模块。图1中所示的网络设备可以通过处理器201以及存储器203中的程序代码208中的一个或多个软件模块,来实现网络鉴权。
通过上述描述,对本发明实施例涉及的应用场景和***架构进行解释说明之后,接下来对本发明实施例的具体实现过程进行详细说明。
图3是本发明实施例提供的一种网络鉴权方法的流程图,如图3所示,该方法包括以下步骤:
步骤301:UE将第一附着请求发送至LTE-U网络的MME。
其中,对于未接入运营商网络的UE,当该UE接入LTE-U网络时,UE可以发送第一附着请求(Attach Request)至LTE-U网络的eNB,当LTE-U网络的eNB接收到该第一附着请求时,LTE-U网络的eNB将该第一附着请求转发给LTE-U网络的MME。
需要说明的是,该第一附着请求为NAS消息,LTE-U网络的eNB无法解析该第一附着请求。并且,该第一附着请求中可以携带该UE的国际移动用户识别码(InternationalMobile Subscriber Identification Number,IMSI)以及该UE的安全算法。其中,该UE的IMSI可以用于唯一标识该UE,并且,通过该UE的IMSI可以确定该UE当前所属的移动网络。另外,该UE的安全算法是指该UE所支持的加密算法和完整性保护算法。
步骤302:当LTE-U网络的MME接收到来自UE的第一附着请求时,在第一附着请求中添加LTE-U网络的网络标识,以生成第二附着请求。
当LTE-U网络的MME接收到第一附着请求时,可以将自身的网络标识添加到该第一附着请求中,从而生成第二附着请求。当生成第二附着请求之后,LTE-U网络的MME可以根据该第一附着请求中携带的该UE的IMSI,确定该UE对应的LTE网络的MME。
步骤303:LTE-U网络的MME将第二附着请求发送至LTE网络的MME。
当确定该UE对应的LTE网络的MME之后,LTE-U网络的MME可以将生成的第二附着请求发送至确定的LTE网络的MME。
步骤304:当LTE网络的MME接收到第二附着请求时,基于第二附着请求,向HSS发送鉴权数据请求。
当LTE网络的MME接收到第二附着请求时,由前述描述可知,该第二附着请求中携带有UE的IMSI、安全能力和LTE-U网络的网络标识,此时,LTE网络的MME可以将该第二附着请求中添加LTE网络的网络标识,从而生成鉴权数据请求,并将该鉴权数据请求发送至HSS。
步骤305:当HSS接收到该鉴权数据请求时,基于LTE-U网络的网络标识和LTE网络的网络标识,生成鉴权向量。
当接收到该鉴权数据请求时,HSS可以根据该鉴权数据请求中携带的IMSI,从存储的多个长期密钥中确定该UE的IMSI对应的长期密钥,该长期密钥也可以称为手机鉴权码(Key identifier,Ki)。之后,HSS可以根据确定的长期密钥和LTE网络的网络标识,生成LTE网络对应的第三基础密钥,并利用该长期密钥和LTE-U网络的网络标识生成LTE-U网络对应的第一基础密钥。除此之外,当Ki之后,HSS还可以生成第一随机数和序列号,并根据该第一随机数和序列号生成鉴权标记(Authentication Token,AUTN)和期望回复信息。其中,AUTN包括序列号、消息鉴权码(Message authentication code,MAC)、鉴权管理域(Authentication Management Field,AMF)等。
需要说明的是,该鉴权向量可以包括第一基础密钥、第三基础密钥、第一随机数、期望回复信息和AUTN,也可以不包括第一基础密钥,只包括第三基础密钥、第一随机数、期望回复信息和AUTN。或者,该鉴权向量还可以不包括第三基础密钥,而包括第一基础密钥、第一随机数、期望回复信息和AUTN。当该鉴权向量不包括第一基础密钥或第三基础密钥时时,在上述过程中HSS可以不必生成该第一基础密钥或第三基础密钥。
步骤306:HSS向LTE网络的MME发送鉴权向量。
步骤307:当LTE网络的MME接收到该鉴权向量时,基于该鉴权向量与UE以及LTE-U网络的MME进行交互,以实现网络鉴权。
当LTE网络的MME接收到该鉴权向量时,可以根据该鉴权向量与UE以及LTE-U网络的MME进行交互,从而完成LTE网络对UE的验证、LTE-U网络对UE的验证以及UE对 LTE网络、LTE-U网络的验证。
需要说明的是,在本发明实施例中,UE可以同时对LTE-U网络和LTE网络进行验证,也可以先与LTE网络互相验证成功之后,再与LTE-U网络进行相互验证。另外,当UE同时对LTE-U网络和LTE网络进行验证时,UE也可以采用鉴权向量中不同的参数对LTE-U网络进行验证。具体的基于该鉴权向量与UE以及LTE-U网络的MME进行交互来进行网络鉴权的实现过程将通过后续实施例进行详细的介绍。
在本发明实施例中,对于未接入运营商网络的UE,当该UE接入LTE-U网络时,可以将第一附着请求发送至LTE-U网络的MME,当LTE-U网络的MME接收到该第一附着请求时,可以在第一附着请求中加入该LTE-U网络的网络标识,从而生成第二附着请求,并将该第二附着请求发送至LTE网络的MME,LTE网络的MME基于该第二附着请求生成鉴权数据请求,以向HSS请求鉴权向量,当HSS接收到该鉴权数据请求时,基于该鉴权数据请求生成鉴权向量,并将该鉴权向量发送至LTE网络的MME,之后,LTE网络的MME即可以根据接收到的鉴权向量与UE以及LTE-U网络的MME进行交互,以实现网络鉴权。也即是,通过本发明实施例提供的网络鉴权方法,UE可以在接入运营商网络和LTE-U网络时,一次性完成与运营商网络和LTE-U网络之间的鉴权,从而使UE可以同时顺利的接入运营商网络和LTE-U网络,为用户的使用带来了方便。
基于前述描述,UE可以同时对LTE-U网络和LTE网络进行验证,也可以先与LTE网络互相验证成功之后,再与LTE-U网络进行相互验证。另外,当UE同时对LTE-U网络和LTE 网络进行验证时,UE也可以采用鉴权向量中不同的参数对LTE-U网络进行验证。下面将结合附图,对LTE网络的MME基于该鉴权向量与UE以及LTE-U网络的MME进行交互,以实现网络鉴权的三种实现方式分别进行解释说明。
图4是本发明实施例提供的第一种基于鉴权向量进行网络鉴权的方法的流程图,如图4 所示,该方法包括以下步骤:
步骤401:LTE网络的MME将鉴权向量中的期望回复信息进行存储。
基于前述实施例中的描述,鉴权向量可以包括第一基础密钥、第一随机数、期望回复信息和AUTN,当LTE网络的MME接收到该鉴权向量时,可以将该鉴权向量中的期望回复信息进行存储,留待之后对UE进行验证。而该鉴权向量中的第一基础密钥、第一随机数和AUTN则可以被转发给LTE-U网络的MME。
步骤402:LTE网络的MME将第一基础密钥、第一随机数和AUTN发送至LTE-U网络的MME。
步骤403:当LTE-U网络的MME接收到第一基础密钥、第一随机数和AUTN时,将第一基础密钥进行存储,生成第二随机数,并基于第一基础密钥和第二随机数生成第一加密结果。
当接收到LTE网络发送的第一基础密钥、第一随机数和AUTN时,LTE-U网络的MME可以将第一基础密钥进行存储,留待后续对UE进行验证。与此同时,LTE-U网络的MME 还可以基于第一基础密钥生成第一加密结果,该第一加密结果用于UE对LTE-U网络进行验证。
其中,当接收到第一基础密钥、第一随机数和AUTN时,LTE-U网络的MME可以利用随机数发生器生成第二随机数,并通过第一基础密钥对该第二随机数进行加密,从而得到第一加密结果。
步骤404:LTE-U网络的MME将第一随机数、AUTN、LTE-U网络的网络标识、第一加密结果和第二随机数发送至UE。
当LTE-U网络的MME生成第一加密结果之后,可以将第一随机数、AUTN、LTE-U网络的网络标识和第一加密结果以及用于生成第一加密结果的第二随机数发送至LTE-U网络的eNB,再由LTE-U网络的eNB将该第一随机数、AUTN、LTE-U网络的网络标识、第一加密结果和第二随机数转发给UE。
步骤405:当UE接收到第一随机数、AUTN、LTE-U网络的网络标识、第一加密结果和第二随机数时,基于第一随机数、AUTN、LTE-U网络的网络标识、第一加密结果和第二随机数对LTE网络和LTE-U网络进行验证。
当UE接收到第一随机数、AUTN和第一加密结果时,UE可以根据第一随机数和AUTN对LTE网络进行验证,根据第一随机数、AUTN和第一加密结果对LTE-U网络进行验证。
当UE对LTE网络进行验证时,UE可以基于第一随机数和AUTN中除MAC之外的其他参数生成期望消息鉴权码XMAC;如果XMAC和MAC相同,则UE确定对LTE网络的验证通过。
其中,UE可以根据自身存储的Ki、第一随机数、AUTN中的序列号和AMF计算得到期望消息鉴权码(Expected Message Authentication Code,XMAC)。基于前述实施例中步骤305 的描述可知,该AUTN中包括有MAC,而该MAC是HSS根据确定的Ki、第一随机数、AUTN 中的序列号和AMF计算得到的,当UE生成XMAC之后,如果该XMAC和MAC相同,则说明HSS确定的Ki和该UE中存储的Ki是一致的。而HSS确定的Ki是根据UE的IMSI确定的,也即是,HSS确定的Ki实际上是该UE在LTE网络侧存储的Ki,因此,当XMAC和 MAC相同时,UE就可以确定当前的LTE网络是真实的,也即是,UE对LTE网络的验证通过。
当UE对LTE-U网络进行验证时,UE可以根据LTE-U网络的网络标识、第一随机数和AUTN生成第二基础密钥;UE通过第二基础密钥对第二随机数进行加密,得到第三加密结果;如果第一加密结果等于第三加密结果,则UE确定对LTE-U网络的验证通过。
其中,当UE对LTE-U网络进行验证时,UE可以根据自身存储的Ki、LTE-U网络的网络标识、第一随机数和AUTN生成第二基础密钥。之后,通过第二基础密钥对该第二随机数进行加密,从而得到第三加密结果。由于第一基础密钥是LTE-U网络对应的密钥,第一加密结果是通过第一基础密钥对第二随机数进行加密得到的,因此,如果该第三加密结果和第一加密结果相同,则说明该第二基础密钥和第一基础密钥是相同的,也即是,UE可以确定对LTE-U网络的验证通过。反之,如果第三加密结果和第一加密结果不同,则说明第二基础密钥和第一基础密钥不同,此时,UE对LTE-U网络的验证将失败。
步骤406:当UE确定对LTE网络和LTE-U网络均验证通过时,生成回复信息和第三随机数,并基于LTE-U网络的网络标识、第一随机数、AUTN和第三随机数生成第二加密结果。
当UE确定对LTE网络的验证通过之后,可以通过自身存储的Ki和接收到的第一随机数生成回复信息,该回复信息用于后续LTE网络对UE进行验证。
当UE确定对LTE-U网络的验证通过之后,可以生成第三随机数,之后,UE可以根据通过LTE-U网络的网络标识、第一随机数和AUTN生成的第二基础密钥,对接收到的第二随机数和生成的第三随机数进行整体加密,从而得到第二加密结果。
步骤407:UE将第二加密结果、第三随机数和回复信息发送至LTE-U网络的MME。
当UE生成回复信息和第二加密结果之后,可以将第二加密结果、第三随机数和回复信息发送至LTE-U网络的eNB,并由LTE-U网络的eNB将该第二加密结果、第三随机数和回复信息转发至LTE-U网络的MME。
步骤408:当LTE-U网络的MME接收到第二加密结果和第三随机数时,基于第二加密结果对UE进行验证。
基于前述步骤403中的描述可知,LTE-U网络的MME中存储有第一基础密钥,并且,第二随机数是由LTE-U网络的MME生成,并存储在该LTE-U网络的MME中的,因此,当LTE-U网络的MME接收到第二加密结果和第三随机数之后,可以通过存储的第一基础密钥对存储的第二随机数和接收到的第三随机数进行整体加密,从而得到第四加密结果。如果该第四加密结果和第二加密结果相同,则说明UE生成的第二基础密钥和LTE-U网络的MME 中存储的第一基础密钥是相同的,也即是,LTE-U网络的MME可以确定对UE的验证通过。反之,如果第四加密结果和第二加密结果不同,则说明第一基础密钥和第二基础密钥是不同的,此时,LTE-U网络对UE的验证失败。
步骤409:当LTE-U网络的MME接收到回复信息时,将回复信息发送至LTE网络的MME。
基于步骤407中的描述,UE将第二加密结果、第三随机数和回复信息发送至LTE-U网络的MME,其中,LTE-U网络的MME可以利用第二加密结果和第三随机数,通过步骤408 中的方式对UE进行验证,而对于接收到的回复信息,由于该回复信息是用于LTE网络对UE 进行验证的,因此,LTE-U网络的MME可以直接将该回复信息转发给LTE网络的MME。
步骤410:当LTE网络的MME接收到回复信息时,基于回复信息对UE进行验证。
基于步骤401中的描述可知,LTE网络的MME中存储有期望回复信息,而该期望回复信息是由HSS根据确定的Ki和第一随机数生成的。因此,当LTE网络的MME接收到该回复信息时,如果该回复信息和期望回复信息相同,那么,LTE网络的MME则可以确定用于生成期望回复信息的Ki和用于生成回复信息的Ki是相同的,也即是,LTE网络侧存储的Ki 和该UE自身存储的Ki是一致的,此时,该LTE网络的MME即可以确定当前的UE是真实有效地,也即是,该LTE网络的MME可以确定对UE的验证通过。
在本发明实施例中,当LTE网络的MME接收到鉴权向量之后,LTE网络的MME和 LTE-U网络的MME可以向UE发送第一随机数、AUTN和第一加密结果,当UE接收到该第一随机数、AUTN和第一加密结果之后,可以同时根据第一随机数、AUTN和第一加密结果对LTE-U网络和LTE网络进行验证,之后,LTE-U网络的MME和LTE网络的MME再根据来自UE的回复信息和第二加密结果对UE进行验证。也即是,通过本发明实施例提供的网络鉴权方法,UE可以在接入运营商网络和LTE-U网络时,同时完成与运营商网络和LTE-U 网络之间的鉴权,从而使UE可以同时接入运营商网络和LTE-U网络,为用户的使用带来了方便。
通过上述实施例介绍了UE根据LTE-U网络生成的第二随机数以及其他参数同时对LTE-U网络和LTE网络进行验证的方法,接下来将介绍另一种UE同时对LTE-U网络和LTE 网络进行验证的方法。
图5是本发明实施例提供的第二种基于鉴权向量进行网络鉴权的方法的流程图,如图5 所示,该方法包括以下步骤:
步骤501:LTE网络的MME将鉴权向量中的期望回复信息进行存储。
基于前述实施例中步骤305的描述可知,鉴权向量包括第一基础密钥、第一随机数、期望回复信息和AUTN,当LTE网络的MME接收到鉴权向量时,可以将期望回复信息进行存储,以便后续对UE进行验证。
步骤502:LTE网络的MME将第一基础密钥、期望回复信息、第一随机数和AUTN发送至LTE-U网络的MME。
LTE网络的MME将期望回复信息进行存储之后,除了向LTE-U网络的MME发送鉴权向量中剩余的第一基础密钥、第一随机数和AUTN之外,还需要将期望回复信息也发送LTE-U网络的MME。
步骤503:当LTE-U网络的MME接收到第一基础密钥、期望回复信息、第一随机数和AUTN时,将第一基础密钥和期望回复信息进行存储,基于第一基础密钥生成第一加密结果。
当LTE-U网络的MME接收到第一基础密钥、期望回复信息、第一随机数和AUTN时,可以将第一基础密钥和期望回复信息进行存储,以便后续对UE进行验证。与此同时,LTE-U 网络的MME可以基于第一基础密钥生成第一加密结果。
需要说明的是,由前述实施例中步骤305的描述中可知,AUTN中包括MAC,当LTE-U网络的MME接收到第一基础密钥、期望回复信息、第一随机数和AUTN时,可以通过第一基础密钥对AUTN中的MAC加密,从而得到第一加密结果。
步骤504:LTE-U网络的MME将第一随机数、AUTN、LTE-U网络的网络标识和第一加密结果发送至UE。
当生成第一加密结果之后,LTE-U网络的MME可以将第一随机数、AUTN、LTE-U网络的网络标识和该第一加密结果发送至LTE-U网络的eNB,并由该LTE-U网络的eNB将第一随机数、AUTN、LTE-U网络的网络标识和第一加密结果转发给UE。
步骤505:当UE接收到第一随机数、AUTN、LTE-U网络的网络标识和第一加密结果时,基于第一随机数、AUTN、LTE-U网络的网络标识和第一加密结果对LTE网络和LTE-U网络进行验证。
当UE接收到第一随机数、AUTN、LTE-U网络的网络标识和第一加密结果时,UE可以根据第一随机数和AUTN对LTE网络进行验证,根据第一随机数、AUTN、LTE-U网络的网络标识和第一加密结果对LTE-U网络进行验证。
其中,UE对LTE网络进行验证的具体实现方式可以参考步骤405中UE对LTE网络的验证方式,本发明实施例不再赘述。
当UE对LTE-U网络进行验证时,UE可以根据LTE-U网络的网络标识、第一随机数和AUTN生成第二基础密钥;通过第二基础密钥对MAC进行加密,得到第五加密结果;如果第一加密结果等于第五加密结果,则UE确定对LTE-U网络的验证通过。
其中,当UE对LTE-U网络进行验证时,UE可以根据自身存储的Ki、LTE-U网络的网络标识、第一随机数和AUTN生成第二基础密钥,之后,通过该第二基础密钥对AUTN中包括的MAC进行加密,从而得到第五加密结果。由于第一基础密钥是LTE-U网络对应的密钥,第一加密结果是通过第一基础密钥对MAC加密得到的,而第五加密结果是通过第二基础密钥对MAC加密得到的。因此,如果第一加密结果和第五加密结果相同,则说明第一基础密钥和第二基础密钥是相同的,也即是,UE可以确定对LTE-U网络的验证通过。反之,如果第五加密结果和第一加密结果不同,则说明第二基础密钥和第一基础密钥不同,此时,UE对 LTE-U网络的验证将失败。
步骤506:当UE确定对LTE网络和LTE-U网络均验证通过时,生成回复信息,并基于LTE-U网络的网络标识、第一随机数和AUTN生成第二加密结果。
当UE确定对LTE网络的验证通过时,可以通过自身存储的Ki和接收到的第一随机数生成回复信息。
当UE确定对LTE-U网络的验证通过,且生成回复信息之后,UE可以通过步骤505中根据LTE-U网络的网络标识、第一随机数和AUTN生成的第二基础密钥,对该回复信息进行加密,从而得到第二加密结果。
步骤507:UE将第二加密结果和回复信息发送至LTE-U网络的MME。
当UE生成回复信息和第二加密结果之后,可以将该回复信息和第二加密结果发送至 LTE-U网络的eNB,并由LTE-U网络的eNB将该回复信息和第二加密结果转发给LTE-U网络的MME。
步骤508:当LTE-U网络的MME接收到回复信息和第二加密结果时,基于该回复信息和第二加密结果对UE进行验证。
基于步骤503中的描述可知,LTE-U网络的MME中存储有第一基础密钥和期望回复信息,其中,该期望回复信息是由HSS根据存储的Ki和第一随机数生成。当LTE-U网络的 MME接收到回复信息和第二解密结果之后,首先可以将该回复信息与期望回复信息进行比较,之后,LTE-U网络的MME可以通过自身存储的第一基础密钥对该回复信息进行加密,得到第六加密结果。由于该回复信息是由UE根据自身存储的Ki和第一随机数生成的,因此,如果该回复信息和期望回复信息相同,且该第六加密结果与第二加密结果也相同,则说明UE 生成的第二基础密钥和LTE-U网络的MME存储的第一基础密钥是一致的,此时,LTE-U网络的MME就可以确认当前的UE是真实有效的,也即是,LTE-U网络的MME可以确定对 UE的验证通过。反之,如果该第六加密结果和第二加密结果不同,则说明第一基础密钥和第二基础密钥是不同的,此时,LTE-U网络对UE的验证失败。
步骤509:LTE-U网络的MME将回复信息发送至LTE网络的MME。
LTE-U网络的MME可以在接收到回复信息时,即将该回复信息发送至LTE网络的MME,当然,也可以在完成对UE的验证之后,将该回复信息发送至LTE网络的MME.
步骤510:当LTE网络的MME接收到回复信息时,基于回复信息对UE进行验证。
当LTE网络的MME接收到回复信息时,基于该回复信息对UE进行验证的具体实现方式可以参考步骤410中的实现方式,本发明实施例不再赘述。
在本发明实施例中,当LTE网络的MME接收到鉴权向量之后,LTE网络的MME和 LTE-U网络的MME可以向UE发送第一随机数、AUTN和第一加密结果,其中,该第一加密结果是LTE-U网络的MME对AUTN中的MAC进行加密后得到的,当UE接收到该第一随机数、AUTN和第一加密结果之后,可以同时根据第一随机数、AUTN和第一加密结果对 LTE-U网络和LTE网络进行验证,之后,LTE-U网络的MME和LTE网络的MME再根据来自UE的回复信息和第二加密结果对UE进行验证,其中,该第二加密结果是UE对回复信息进行加密得到的。也即是,在本发明实施例提供的网络鉴权方法中,LTE-U网络和UE都不必再生成随机数,只需对鉴权向量中的参数进行加密即可完成互相验证,简化了操作。通过本发明实施例提供的网络鉴权方法,UE可以在接入运营商网络和LTE-U网络时,同时完成与运营商网络和LTE-U网络之间的鉴权,从而使UE可以同时接入运营商网络和LTE-U网络,为用户的使用带来了方便。
前述结合附图4和5介绍了UE同时对LTE-U网络和LTE网络进行验证,之后,LTE-U网络的MME和LTE网络的MME对UE进行验证的两种验证方法,接下来,将结合附图6 介绍UE先与LTE网络互相验证,再对LTE-U网络进行验证的网络鉴权方法。
图6是本发明实施例提供的第三种基于鉴权向量进行网络鉴权的方法的流程图,在该方法中,LTE网络的MME首先基于第三基础密钥、期望回复信息,第一随机数和AUTN通过步骤601-步骤60中的方法与UE交互,从而完成与UE之间的互相验证,之后,进行如图6 所示,该方法包括以下步骤:
步骤601:LTE网络的MME将鉴权向量中的第三基础密钥和期望回复信息进行存储。
基于前述实施例中步骤305的描述,鉴权向量可以包括第三基础密钥、期望回复信息、第一随机数和AUTN。当鉴权向量中包括第三基础密钥、期望回复信息、第一随机数和AUTN 时,LTE网络的MME可以在接收到该鉴权向量时,将该鉴权向量中的第三基础密钥和期望回复信息进行存储,以便后续对UE进行验证。
步骤602:LTE网络的MME将第一随机数和AUTN发送至UE。
当LTE网络的MME将第三基础密钥和期望回复信息进行存储之后,LTE网络的MME可以将该鉴权向量中的第一随机数和AUTN发送至LTE-U网络的MME,LTE-U网络的MME 在接收到该第一随机数和AUTN之后,可以将该第一随机数和AUTN发送至LTE-U网络的 eNB,LTE-U网络的eNB在接收到第一随机数和AUTN之后,再将该第一随机数和AUTN 转发给UE。
步骤603:当UE接收到第一随机数和AUTN时,基于第一随机数和AUTN,对LTE网络进行验证。
本步骤的具体实现方式可以参考步骤405中UE基于第一随机数和AUTN对LTE网络进行验证的实现方式,本发明实施例不再赘述。
步骤604:当UE确定对LTE网络的验证通过时,生成回复信息。
本步骤的具体实现方式可以参考步骤406中当UE确定对LTE网络的验证通过时,生成回复信息的相关说明,本发明实施例不再赘述。
步骤605:UE将回复信息发送至LTE网络的MME。
当UE生成回复信息之后,可以将该回复信息经由LTE-U网络的eNB和MME,发送至LTE网络的MME。
步骤606:当LTE网络的MME接收到回复信息时,基于该回复信息对UE进行验证。
本步骤的具体实现方式可以参考步骤410中LTE网络的MME基于回复信息对UE进行验证的相关说明,本发明实施例不再赘述。
步骤607:当LTE网络的MME确定对UE的验证通过时,生成第二随机数,并基于LTE-U网络的网络标识和第三基础密钥,生成第一基础密钥,基于UE的安全算法生成NAS密钥,并通过NAS密钥对第二随机数进行加密,得到第七加密结果。
基于步骤302中的描述可知,LTE-U网络的MME在第一附着请求中添加了LTE-U网络的网络标识,从而生成了第二附着请求,并将该第二附着请求发送给了LTE网络的MME,因此,当LTE网络的MME确定对UE的验证通过时,可以基于LTE-U网络的网络标识和第三基础密钥,生成第一基础密钥。与此同时,LTE网络的MME可以利用随机数发生器生成第二随机数。
需要说明的是,由于第二附着请求中还包括该UE的安全算法,因此,当LTE网络的MME生成第二随机数和第一基础密钥之后,可以根据该UE的安全算法生成NAS密钥。之后,LTE网络的MME可以通过该NAS密钥对第二随机数进行加密,得到第七加密结果。
步骤608:LTE网络的MME将第一基础密钥、第三基础密钥、NAS密钥、LTE-U网络的网络标识、第二随机数和第七加密结果发送至LTE-U网络的MME。
步骤609:当LTE-U网络的MME接收到第一基础密钥、第三基础密钥、NAS密钥、LTE-U网络的网络标识、第二随机数和第七加密结果时,通过第一基础密钥对第二随机数进行加密,得到第八加密结果。
步骤610:LTE-U网络的MME将第三基础密钥、NAS密钥、LTE-U网络的网络标识、第七加密结果和第八加密结果发送至UE。
LTE-U网络的MME将第三基础密钥、NAS密钥、LTE-U网络的网络标识、第七加密结果和第八加密结果发送至LTE-U网络的eNB,再由LTE-U网络的eNB转发给UE。
步骤611:当UE接收到第三基础密钥、NAS密钥、LTE-U网络的网络标识、第七加密结果和第八加密结果时,基于第三基础密钥和LTE-U网络的网络标识生成第二基础密钥,并通过第二基础密钥对第八加密结果进行解密,得到第一解密结果,通过NAS密钥对第七加密结果进行解密,得到第二解密结果。
由于第一基础密钥是LTE网络的MME根据第三基础密钥和LTE-U网络的网络标识生成的,因此,为了验证LTE-U网络的真实性,当UE接收到第三基础密钥和LTE-U网络的网络标识时,可以根据该第三基础密钥和LTE-U网络的网络标识生成第二基础密钥,从而验证第二基础密钥和第一基础密钥是否相同,以此来实现对LTE-U网络的验证。
需要说明的是,为了防止LTE-U网络的MME向UE传递信息的过程中信息被篡改,LTE-U 网络的MME并没有将第一基础密钥直接发送至UE,而是通过步骤609中的方法利用第一基础密钥对第二随机数进行加密得到第八加密结果,并将该第八加密结果发送至UE。当UE接收到第八加密结果之后,UE可以通过该第二基础密钥对第八加密结果进行解密,得到第一解密结果,并通过NAS密钥对第七加密结果解密,得到第二解密结果。
步骤612:UE基于第一解密结果和第二解密结果,对LTE-U网络进行验证。
由于第八加密结果是LTE-U网络的MME通过第一基础密钥对第二随机数进行加密得到的,而第七加密结果是LTE网络的MME通过NAS密钥对第二随机数进行加密得到的,因此,当UE通过第二基础密钥对第八加密结果解密,通过NAS密钥对第七加密结果解密之后,如果第一加密结果和第二加密结果相等,则说明UE生成的第二基础密钥和第一基础密钥是相同的,也即是,UE可以确定该LTE-U网络是真实可信的,此时,UE即可以确定对LTE-U 网络的验证通过。
在本发明实施例中,当LTE网络的MME接收到鉴权向量之后,LTE网络的MME可以先基于鉴权向量中的第三基础密钥、第一随机数、期望回复信息和AUTN与UE进行交互,以完成与UE的互相认证,之后,LTE网络的MME可以生成第一基础密钥、第二随机数获得NAS密钥,并将该第一基础密钥、第二随机数和NAS密钥发送至LTE-U网络的MME,之后,LTE-U网络的MME和UE可以通过该第一基础密钥、第二随机数和NAS密钥进行网络鉴权。也即是,通过本发明实施例提供的网络鉴权方法,UE可以在接入运营商网络和LTE-U 网络时,同时完成与运营商网络和LTE-U网络之间的鉴权,从而使UE可以同时接入运营商网络和LTE-U网络,为用户的使用带来了方便。
在对本发明实施例提供的网络鉴权方法进行介绍之后,接下来对本发明实施例提供的网络鉴权***进行介绍。
本发明实施例提供了一种网络鉴权***,该网络鉴权***包括UE、LTE-U网络的MME、 LTE网络的MME和HSS。
所述LTE-U网络的MME用于执行上述实施例中的步骤302和303;
所述LTE网络的MME用于执行上述实施例中的步骤304;
所述HSS用于执行上述实施例中的步骤305和306;
所述LTE网络的MME用于执行上述实施例中的步骤307。
可选地,所述鉴权向量包括第一基础密钥、期望回复信息、第一随机数和鉴权标记AUTN,所述第一基础密钥为所述LTE-U网络对应的密钥;
所述LTE网络的MME具体用于存储所述期望回复信息,并通过所述LTE-U网络的MME向所述UE发送所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和第一加密结果,所述第一加密结果由所述LTE-U网络的MME基于所述第一基础密钥生成;
所述UE用于当接收到所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果时,基于所述第一随机数和所述AUTN对所述LTE网络进行验证,并基于所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果对所述LTE-U 网络进行验证;
所述UE还用于当确定对所述LTE网络和所述LTE-U网络均验证通过时,生成回复信息,并基于所述第一随机数、所述AUTN和所述LTE-U网络的网络标识生成第二加密结果;
所述UE还用于将所述第二加密结果发送至所述LTE-U网络的MME,并将所述回复信息发送至LTE网络的MME;
所述LTE-U网络的MME用于当接收到所述第二加密结果时,基于所述第二加密结果对所述UE进行验证,当所述LTE网络的MME接收到所述回复信息时,基于所述期望回复信息和所述回复信息对所述UE进行验证。
可选地,所述LTE网络的MME具体用于:
将所述期望回复信息进行存储,并将所述第一基础密钥、所述第一随机数和所述AUTN 发送至所述LTE-U网络的MME;
所述LTE-U网络的MME还用于当接收到所述第一基础密钥、所述第一随机数和所述AUTN时,将所述第一基础密钥进行存储,基于所述第一基础密钥生成第一加密结果,并将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果发送至所述 UE。
可选地,所述所述LTE-U网络的MME具体用于:
生成第二随机数,并通过所述第一基础密钥对所述第二随机数进行加密,得到所述第一加密结果;
将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识、所述第一加密结果和所述第二随机数发送至所述UE。
可选地,所述AUTN包括消息鉴权码MAC;
所述UE具体用于:
基于所述第一随机数和所述AUTN中除所述MAC之外的其他参数生成期望消息鉴权码 XMAC;
如果所述XMAC和所述MAC相同,则确定对所述LTE网络的验证通过。
可选地,所述UE具体用于:
根据所述LTE-U网络的网络标识、所述第一随机数和所述AUTN生成第二基础密钥;
通过所述第二基础密钥对所述第二随机数进行加密,得到第三加密结果;
如果所述第一加密结果等于所述第三加密结果,则确定对所述LTE-U网络的验证通过。
可选地,所述UE具体用于:
生成第三随机数,并通过所述第二基础密钥对所述第二随机数和所述第三随机数进行整体加密,得到第二加密结果;
将所述第二加密结果和所述第三随机数发送至所述LTE-U网络的MME;
相应地,所述LTE-U网络的MME具体用于:
通过存储的所述第一基础密钥对所述第二随机数和所述第三随机数进行整体加密,得到第四加密结果;
如果所述第二加密结果和所述第四加密结果相等,则确定对所述UE的验证通过。
可选地,所述LTE网络的MME具体用于:
将所述期望回复信息进行存储,并将所述第一基础密钥、所述期望回复信息、所述第一随机数和所述AUTN发送至所述LTE-U网络的MME;
所述LTE-U网络的MME用于当接收到所述第一基础密钥、所述期望回复信息、所述第一随机数和所述AUTN时,将所述第一基础密钥和所述期望回复信息进行存储,基于所述第一基础密钥生成第一加密结果,并将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果发送至所述UE。
可选地,所述AUTN包括MAC;
所述LTE-U网络的MME具体用于:
通过所述第一基础密钥对所述MAC进行加密,得到所述第一加密结果。
可选地,所述UE具体用于:
根据所述LTE-U网络的网络标识、所述第一随机数和所述AUTN生成第二基础密钥;
通过所述第二基础密钥对所述MAC进行加密,得到第五加密结果;
如果所述第一加密结果等于所述第五加密结果,则确定对所述LTE-U网络的验证通过。
可选地,所述UE具体用于:
通过所述第二基础密钥对所述回复信息进行加密,得到第二加密结果;
相应地,所述LTE-U网络的MME具体用于:
通过存储的所述第一基础密钥对所述回复信息加密,得到第六加密结果;
如果所述LTE-U网络的MME存储的所述期望回复信息与所述回复信息相同,且所述第六加密结果与所述第二加密结果相等,则确定对所述UE的验证通过。
可选地,所述第二附着请求中携带所述UE的安全算法,所述鉴权向量包括第三基础密钥、期望回复信息、第一随机数、鉴权标记AUTN,所述第三基础密钥为所述LTE网络对应的密钥;
所述LTE网络的MME具体用于,基于所述第三基础密钥、所述期望回复信息、所述第一随机数和所述AUTN与所述UE进行交互,以实现所述UE对所述LTE网络的验证,以及所述LTE网络的MME对所述UE的验证;
所述LTE网络的MME还用于当确定对所述UE的验证通过时,生成第二随机数,并基于所述LTE-U网络的网络标识和所述第三基础密钥,生成第一基础密钥;
所述LTE网络的MME还用于基于所述UE的安全算法生成非接入层NAS密钥,并通过所述NAS密钥对所述第二随机数进行加密,得到第七加密结果;
所述LTE网络的MME还用于将所述第一基础密钥、所述第三基础密钥、所述NAS密钥、所述LTE-U网络的网络标识、所述第二随机数和所述第七加密结果发送至所述LTE-U网络的 MME;
所述LTE-U网络的MME具体用于通过所述第一基础密钥对所述第二随机数进行加密,得到第八加密结果,并将所述第三基础密钥、所述NAS密钥、所述LTE-U网络的网络标识、所述第七加密结果和所述第八加密结果发送至所述UE;
所述UE具体用于基于所述第三基础密钥和所述LTE-U网络的网络标识生成第二基础密钥,并通过所述第二基础密钥对所述第八加密结果进行解密,得到第一解密结果,通过所述 NAS密钥对第七加密结果进行解密,得到第二解密结果;
所述UE还用于如果所述第一解密结果和所述第二解密结果相同,则确定对所述LTE-U 网络的验证通过。
综上所述,在本发明实施例中,对于未接入运营商网络的UE,当该UE接入LTE-U网络时,可以将第一附着请求发送至LTE-U网络的MME,当LTE-U网络的MME接收到该第一附着请求时,可以在第一附着请求中加入该LTE-U网络的网络标识,从而生成第二附着请求,并将该第二附着请求发送至LTE网络的MME,LTE网络的MME基于该第二附着请求生成鉴权数据请求,以向HSS请求鉴权向量,当HSS接收到该鉴权数据请求时,基于该鉴权数据请求生成鉴权向量,并将该鉴权向量发送至LTE网络的MME,之后,LTE网络的MME 即可以根据接收到的鉴权向量与UE以及LTE-U网络的MME进行交互,以实现网络鉴权。也即是,通过本发明实施例提供的网络鉴权方法,UE可以在接入运营商网络和LTE-U网络时,一次性完成与运营商网络和LTE-U网络之间的鉴权,从而使UE可以同时顺利的接入运营商网络和LTE-U网络,为用户的使用带来了方便。
需要说明的是:上述实施例提供的网络鉴权***在进行网络鉴权时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的网络鉴权***与网络鉴权方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意结合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如:同轴电缆、光纤、数据用户线(Digital Subscriber Line,DSL))或无线(例如:红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如:软盘、硬盘、磁带)、光介质(例如:数字通用光盘(Digital Versatile Disc,DVD))、或者半导体介质(例如:固态硬盘(Solid State Disk,SSD))等。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述为本申请提供的实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (24)
1.一种网络鉴权方法,其特征在于,所述方法包括:
当基于长期演进的无牌照LTE-U网络的移动管理实体MME接收到来自用户设备UE的第一附着请求时,在所述第一附着请求中添加所述LTE-U网络的网络标识,以生成第二附着请求,并将所述第二附着请求发送至长期演进LTE网络的MME;
当所述LTE网络的MME接收到所述第二附着请求时,基于所述第二附着请求,向归属签约用户服务器HSS发送鉴权数据请求,所述鉴权数据请求中携带所述LTE-U网络的网络标识和所述LTE网络的网络标识;
当所述HSS接收到所述鉴权数据请求时,基于所述LTE-U网络的网络标识和所述LTE网络的网络标识,生成鉴权向量,并向所述LTE网络的MME发送所述鉴权向量,所述鉴权向量包括用于对所述UE、所述LTE-U网络和所述LTE网络进行鉴权的参数;
当所述LTE网络的MME接收到所述鉴权向量时,基于所述鉴权向量与所述UE以及所述LTE-U网络的MME进行交互,以实现所述UE与所述LTE网络之间的网络鉴权以及所述UE与所述LTE-U网络之间的网络鉴权。
2.如权利要求1所述的方法,其特征在于,所述鉴权向量包括第一基础密钥、期望回复信息、第一随机数和鉴权标记AUTN,所述第一基础密钥为所述LTE-U网络对应的密钥;
所述基于所述鉴权向量与所述UE以及所述LTE-U网络的MME进行交互,以实现网络鉴权,包括:
所述LTE网络的MME存储所述期望回复信息,并通过所述LTE-U网络的MME向所述UE发送所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和第一加密结果,所述第一加密结果由所述LTE-U网络的MME基于所述第一基础密钥生成;
当所述UE接收到所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果时,基于所述第一随机数和所述AUTN对所述LTE网络进行验证,并基于所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果对所述LTE-U网络进行验证;
当所述UE确定对所述LTE网络和所述LTE-U网络均验证通过时,生成回复信息,并基于所述第一随机数、所述AUTN和所述LTE-U网络的网络标识生成第二加密结果;
所述UE将所述第二加密结果发送至所述LTE-U网络的MME,并将所述回复信息发送至LTE网络的MME;
当所述LTE-U网络的MME接收到所述第二加密结果时,基于所述第二加密结果对所述UE进行验证,当所述LTE网络的MME接收到所述回复信息时,基于所述期望回复信息和所述回复信息对所述UE进行验证。
3.如权利要求2所述的方法,其特征在于,所述LTE网络的MME通过所述LTE-U网络的MME向所述UE发送所述第一随机数、所述AUTN和第一加密结果,包括:
所述LTE网络的MME将所述期望回复信息进行存储,并将所述第一基础密钥、所述第一随机数和所述AUTN发送至所述LTE-U网络的MME;
当所述LTE-U网络的MME接收到所述第一基础密钥、所述第一随机数和所述AUTN时,将所述第一基础密钥进行存储,基于所述第一基础密钥生成第一加密结果,并将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果发送至所述UE。
4.如权利要求3所述的方法,其特征在于,所述基于所述第一基础密钥生成第一加密结果,包括:
所述LTE-U网络的MME生成第二随机数,并通过所述第一基础密钥对所述第二随机数进行加密,得到所述第一加密结果;
相应地,所述将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果发送至所述UE,包括:
所述LTE-U网络的MME将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识、所述第一加密结果和所述第二随机数发送至所述UE。
5.如权利要求3或4所述的方法,其特征在于,所述AUTN包括消息鉴权码MAC;
所述UE基于所述第一随机数和所述AUTN对所述LTE网络进行验证,包括:
所述UE基于所述第一随机数和所述AUTN中除所述MAC之外的其他参数生成期望消息鉴权码XMAC;
如果所述XMAC和所述MAC相同,则所述UE确定对所述LTE网络的验证通过。
6.如权利要求4所述的方法,其特征在于,所述UE基于所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果对所述LTE-U网络进行验证,包括:
所述UE根据所述LTE-U网络的网络标识、所述第一随机数和所述AUTN生成第二基础密钥;
所述UE通过所述第二基础密钥对所述第二随机数进行加密,得到第三加密结果;
如果所述第一加密结果等于所述第三加密结果,则所述UE确定对所述LTE-U网络的验证通过。
7.如权利要求6所述的方法,其特征在于,所述基于所述第一随机数、所述AUTN和所述LTE-U网络的网络标识生成第二加密结果,包括:
所述UE生成第三随机数,并通过所述第二基础密钥对所述第二随机数和所述第三随机数进行整体加密,得到第二加密结果;
相应地,所述UE将所述第二加密结果发送至所述LTE-U网络的MME,包括:
所述UE将所述第二加密结果和所述第三随机数发送至所述LTE-U网络的MME;
相应地,所述LTE-U网络的MME基于所述第二加密结果对所述UE进行验证,包括:
所述LTE-U网络的MME通过存储的所述第一基础密钥对所述第二随机数和所述第三随机数进行整体加密,得到第四加密结果;
如果所述第二加密结果和所述第四加密结果相等,则所述LTE-U网络的MME确定对所述UE的验证通过。
8.如权利要求1所述的方法,其特征在于,鉴权向量包括第一基础密钥、期望回复信息、第一随机数和鉴权标记AUTN,所述第一基础密钥为所述LTE-U网络对应的密钥;
所述基于所述鉴权向量与所述UE以及所述LTE-U网络的MME进行交互,以实现所述UE与所述LTE网络之间的网络鉴权以及所述UE与所述LTE-U网络之间的网络鉴权,包括:
所述LTE网络的MME将所述期望回复信息进行存储,并将所述第一基础密钥、所述期望回复信息、所述第一随机数和所述AUTN发送至所述LTE-U网络的MME;
当所述LTE-U网络的MME接收到所述第一基础密钥、所述期望回复信息、所述第一随机数和所述AUTN时,将所述第一基础密钥和所述期望回复信息进行存储,基于所述第一基础密钥生成第一加密结果,并将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果发送至所述UE;
当所述UE接收到所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果时,基于所述第一随机数和所述AUTN对所述LTE网络进行验证,并基于所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果对所述LTE-U网络进行验证;
当所述UE确定对所述LTE网络和所述LTE-U网络均验证通过时,生成回复信息,并基于所述第一随机数、所述AUTN和所述LTE-U网络的网络标识生成第二加密结果;
所述UE将所述第二加密结果和所述回复信息发送至所述LTE-U网络的MME,并将所述回复信息发送至所述LTE网络的MME;
当所述LTE-U网络的MME接收到所述第二加密结果和所述回复信息时,基于所述回复信息和所述第二加密结果对所述UE进行验证,当所述LTE网络的MME接收到所述回复信息时,基于所述期望回复信息和所述回复信息对所述UE进行验证。
9.如权利要求2或8所述的方法,其特征在于,所述AUTN包括MAC;
所述基于所述第一基础密钥生成第一加密结果,包括:
所述LTE-U网络的MME通过所述第一基础密钥对所述MAC进行加密,得到所述第一加密结果。
10.如权利要求9所述的方法,其特征在于,所述UE基于所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果对所述LTE-U网络进行验证,包括:
所述UE根据所述LTE-U网络的网络标识、所述第一随机数和所述AUTN生成第二基础密钥;
所述UE通过所述第二基础密钥对所述MAC进行加密,得到第五加密结果;
如果所述第一加密结果等于所述第五加密结果,则所述UE确定对所述LTE-U网络的验证通过。
11.如权利要求10所述的方法,其特征在于,所述基于所述第一随机数、所述AUTN和所述LTE-U网络的网络标识生成第二加密结果,包括:
所述UE通过所述第二基础密钥对所述回复信息进行加密,得到第二加密结果;
相应地,所述LTE-U网络的MME基于所述第二加密结果对所述UE进行验证,包括:
所述LTE-U网络的MME通过存储的所述第一基础密钥对所述回复信息加密,得到第六加密结果;
如果所述LTE-U网络的MME存储的所述期望回复信息与所述回复信息相同,且所述第六加密结果与所述第二加密结果相等,则所述LTE-U网络的MME确定对所述UE的验证通过。
12.如权利要求1所述的方法,其特征在于,所述第二附着请求中携带所述UE的安全算法,所述鉴权向量包括第三基础密钥、期望回复信息、第一随机数、鉴权标记AUTN,所述第三基础密钥为所述LTE网络对应的密钥;
所述基于所述鉴权向量与所述UE以及所述LTE-U网络的MME进行交互,以实现网络鉴权,包括:
所述LTE网络的MME基于所述第三基础密钥、所述期望回复信息、所述第一随机数和所述AUTN与所述UE进行交互,以实现所述UE对所述LTE网络的验证,以及所述LTE网络的MME对所述UE的验证;
当所述LTE网络的MME确定对所述UE的验证通过时,生成第二随机数,并基于所述LTE-U网络的网络标识和所述第三基础密钥,生成第一基础密钥;
所述LTE网络的MME基于所述UE的安全算法生成非接入层NAS密钥,并通过所述NAS密钥对所述第二随机数进行加密,得到第七加密结果;
所述LTE网络的MME将所述第一基础密钥、所述第三基础密钥、所述NAS密钥、所述LTE-U网络的网络标识、所述第二随机数和所述第七加密结果发送至所述LTE-U网络的MME;
所述LTE-U网络的MME通过所述第一基础密钥对所述第二随机数进行加密,得到第八加密结果,并将所述第三基础密钥、所述NAS密钥、所述LTE-U网络的网络标识、所述第七加密结果和所述第八加密结果发送至所述UE;
所述UE基于所述第三基础密钥和所述LTE-U网络的网络标识生成第二基础密钥,并通过所述第二基础密钥对所述第八加密结果进行解密,得到第一解密结果,通过所述NAS密钥对第七加密结果进行解密,得到第二解密结果;
如果所述第一解密结果和所述第二解密结果相同,则所述UE确定对所述LTE-U网络的验证通过。
13.一种网络鉴权***,其特征在于,所述***包括:
基于长期演进的无牌照LTE-U网络的移动管理实体MME,用于当接收到来自用户设备UE的第一附着请求时,在所述第一附着请求中添加所述LTE-U网络的网络标识,以生成第二附着请求,并将所述第二附着请求发送至长期演进LTE网络的MME;
所述LTE网络的MME,用于当所述接收到所述第二附着请求时,基于所述第二附着请求,向归属签约用户服务器HSS发送鉴权数据请求,所述鉴权数据请求中携带所述LTE-U网络的网络标识和所述LTE网络的网络标识;
所述HSS,用于当接收到所述鉴权数据请求时,基于所述LTE-U网络的网络标识和所述LTE网络的网络标识,生成鉴权向量,并向所述LTE网络的MME发送所述鉴权向量,所述鉴权向量包括用于对所述UE、所述LTE-U网络和所述LTE网络进行鉴权的参数;
所述LTE网络的MME,用于当接收到所述鉴权向量时,基于所述鉴权向量与所述UE以及所述LTE-U网络的MME进行交互,以实现所述UE与所述LTE网络之间的网络鉴权以及所述UE与所述LTE-U网络之间的网络鉴权。
14.如权利要求13所述的***,其特征在于,所述鉴权向量包括第一基础密钥、期望回复信息、第一随机数和鉴权标记AUTN,所述第一基础密钥为所述LTE-U网络对应的密钥;
所述LTE网络的MME具体用于存储所述期望回复信息,并通过所述LTE-U网络的MME向所述UE发送所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和第一加密结果,所述第一加密结果由所述LTE-U网络的MME基于所述第一基础密钥生成;
所述UE用于当接收到所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果时,基于所述第一随机数和所述AUTN对所述LTE网络进行验证,并基于所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果对所述LTE-U网络进行验证;
所述UE还用于当确定对所述LTE网络和所述LTE-U网络均验证通过时,生成回复信息,并基于所述第一随机数、所述AUTN和所述LTE-U网络的网络标识生成第二加密结果;
所述UE还用于将所述第二加密结果发送至所述LTE-U网络的MME,并将所述回复信息发送至LTE网络的MME;
所述LTE-U网络的MME用于当接收到所述第二加密结果时,基于所述第二加密结果对所述UE进行验证,当所述LTE网络的MME接收到所述回复信息时,基于所述期望回复信息和所述回复信息对所述UE进行验证。
15.如权利要求14所述的***,其特征在于,所述LTE网络的MME具体用于:
将所述期望回复信息进行存储,并将所述第一基础密钥、所述第一随机数和所述AUTN发送至所述LTE-U网络的MME;
所述LTE-U网络的MME还用于当接收到所述第一基础密钥、所述第一随机数和所述AUTN时,将所述第一基础密钥进行存储,基于所述第一基础密钥生成第一加密结果,并将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果发送至所述UE。
16.如权利要求15所述的***,其特征在于,所述所述LTE-U网络的MME具体用于:
生成第二随机数,并通过所述第一基础密钥对所述第二随机数进行加密,得到所述第一加密结果;
将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识、所述第一加密结果和所述第二随机数发送至所述UE。
17.如权利要求15或16所述的***,其特征在于,所述AUTN包括消息鉴权码MAC;
所述UE具体用于:
基于所述第一随机数和所述AUTN中除所述MAC之外的其他参数生成期望消息鉴权码XMAC;
如果所述XMAC和所述MAC相同,则所述对所述LTE网络的验证通过。
18.如权利要求16所述的***,其特征在于,所述UE具体用于:
根据所述LTE-U网络的网络标识、所述第一随机数和所述AUTN生成第二基础密钥;
通过所述第二基础密钥对所述第二随机数进行加密,得到第三加密结果;
如果所述第一加密结果等于所述第三加密结果,则确定对所述LTE-U网络的验证通过。
19.如权利要求18所述的***,其特征在于,所述UE具体用于:
生成第三随机数,并通过所述第二基础密钥对所述第二随机数和所述第三随机数进行整体加密,得到第二加密结果;
将所述第二加密结果和所述第三随机数发送至所述LTE-U网络的MME;
相应地,所述LTE-U网络的MME具体用于:
通过存储的所述第一基础密钥对所述第二随机数和所述第三随机数进行整体加密,得到第四加密结果;
如果所述第二加密结果和所述第四加密结果相等,则确定对所述UE的验证通过。
20.如权利要求14所述的***,其特征在于,鉴权向量包括第一基础密钥、期望回复信息、第一随机数和鉴权标记AUTN,所述第一基础密钥为所述LTE-U网络对应的密钥;
所述LTE网络的MME用于将所述期望回复信息进行存储,并将所述第一基础密钥、所述期望回复信息、所述第一随机数和所述AUTN发送至所述LTE-U网络的MME;
所述LTE-U网络的MME用于当接收到所述第一基础密钥、所述期望回复信息、所述第一随机数和所述AUTN时,将所述第一基础密钥和所述期望回复信息进行存储,基于所述第一基础密钥生成第一加密结果,并将所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果发送至所述UE;
所述UE用于当接收到所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果时,基于所述第一随机数和所述AUTN对所述LTE网络进行验证,并基于所述第一随机数、所述AUTN、所述LTE-U网络的网络标识和所述第一加密结果对所述LTE-U网络进行验证;
所述UE还用于当确定对所述LTE网络和所述LTE-U网络均验证通过时,生成回复信息,并基于所述第一随机数、所述AUTN和所述LTE-U网络的网络标识生成第二加密结果;
所述UE还用于将所述第二加密结果和所述回复信息发送至所述LTE-U网络的MME,并将所述回复信息发送至所述LTE网络的MME;
所述LTE-U网络的MME还用于当接收到所述第二加密结果和所述回复信息时,基于所述回复信息和所述第二加密结果对所述UE进行验证;
所述LTE网络的MME还用于当接收到所述回复信息时,基于所述期望回复信息和所述回复信息对所述UE进行验证。
21.如权利要求14或20所述的***,其特征在于,所述AUTN包括MAC;
所述LTE-U网络的MME具体用于:
通过所述第一基础密钥对所述MAC进行加密,得到所述第一加密结果。
22.如权利要求21所述的***,其特征在于,所述UE具体用于:
根据所述LTE-U网络的网络标识、所述第一随机数和所述AUTN生成第二基础密钥;
通过所述第二基础密钥对所述MAC进行加密,得到第五加密结果;
如果所述第一加密结果等于所述第五加密结果,则确定对所述LTE-U网络的验证通过。
23.如权利要求22所述的***,其特征在于,所述UE具体用于:
通过所述第二基础密钥对所述回复信息进行加密,得到第二加密结果;
相应地,所述LTE-U网络的MME具体用于:
通过存储的所述第一基础密钥对所述回复信息加密,得到第六加密结果;
如果所述LTE-U网络的MME存储的所述期望回复信息与所述回复信息相同,且所述第六加密结果与所述第二加密结果相等,则确定对所述UE的验证通过。
24.如权利要求13所述的***,其特征在于,所述第二附着请求中携带所述UE的安全算法,所述鉴权向量包括第三基础密钥、期望回复信息、第一随机数、鉴权标记AUTN,所述第三基础密钥为所述LTE网络对应的密钥;
所述LTE网络的MME具体用于,基于所述第三基础密钥、所述期望回复信息、所述第一随机数和所述AUTN与所述UE进行交互,以实现所述UE对所述LTE网络的验证,以及所述LTE网络的MME对所述UE的验证;
所述LTE网络的MME还用于当确定对所述UE的验证通过时,生成第二随机数,并基于所述LTE-U网络的网络标识和所述第三基础密钥,生成第一基础密钥;
所述LTE网络的MME还用于基于所述UE的安全算法生成非接入层NAS密钥,并通过所述NAS密钥对所述第二随机数进行加密,得到第七加密结果;
所述LTE网络的MME还用于将所述第一基础密钥、所述第三基础密钥、所述NAS密钥、所述LTE-U网络的网络标识、所述第二随机数和所述第七加密结果发送至所述LTE-U网络的MME;
所述LTE-U网络的MME具体用于通过所述第一基础密钥对所述第二随机数进行加密,得到第八加密结果,并将所述第三基础密钥、所述NAS密钥、所述LTE-U网络的网络标识、所述第七加密结果和所述第八加密结果发送至所述UE;
所述UE具体用于基于所述第三基础密钥和所述LTE-U网络的网络标识生成第二基础密钥,并通过所述第二基础密钥对所述第八加密结果进行解密,得到第一解密结果,通过所述NAS密钥对第七加密结果进行解密,得到第二解密结果;
所述UE还用于如果所述第一解密结果和所述第二解密结果相同,则确定对所述LTE-U网络的验证通过。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710510229.3A CN109151816B (zh) | 2017-06-28 | 2017-06-28 | 一种网络鉴权方法及*** |
| PCT/CN2018/093319 WO2019001509A1 (zh) | 2017-06-28 | 2018-06-28 | 一种网络鉴权方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710510229.3A CN109151816B (zh) | 2017-06-28 | 2017-06-28 | 一种网络鉴权方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109151816A CN109151816A (zh) | 2019-01-04 |
| CN109151816B true CN109151816B (zh) | 2020-08-07 |
Family
ID=64741115
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710510229.3A Expired - Fee Related CN109151816B (zh) | 2017-06-28 | 2017-06-28 | 一种网络鉴权方法及*** |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN109151816B (zh) |
| WO (1) | WO2019001509A1 (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016074707A1 (en) * | 2014-11-12 | 2016-05-19 | Nokia Solutions And Networks Oy | Method, apparatus and system |
| WO2016136647A1 (ja) * | 2015-02-25 | 2016-09-01 | 京セラ株式会社 | ネットワーク装置及びユーザ端末 |
| CN106465242A (zh) * | 2014-05-06 | 2017-02-22 | 高通股份有限公司 | 用于未许可频带中的网络选择的技术 |
| CN106470382A (zh) * | 2015-08-14 | 2017-03-01 | 中兴通讯股份有限公司 | 授权验证方法、配置信息接收方法、装置、基站及终端 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9942762B2 (en) * | 2014-03-28 | 2018-04-10 | Qualcomm Incorporated | Provisioning credentials in wireless communications |
| CN106455065A (zh) * | 2015-08-06 | 2017-02-22 | 阿尔卡特朗讯 | 一种用于控制未授权频段的使用的方法与设备 |
| CN106888482B (zh) * | 2015-12-15 | 2020-04-07 | 展讯通信(上海)有限公司 | 终端、lte-u基站及其通信的方法 |
| CN106851662B (zh) * | 2017-01-18 | 2019-11-19 | 京信通信***(中国)有限公司 | 一种非授权频谱资源分配方法及装置 |
-
2017
- 2017-06-28 CN CN201710510229.3A patent/CN109151816B/zh not_active Expired - Fee Related
-
2018
- 2018-06-28 WO PCT/CN2018/093319 patent/WO2019001509A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106465242A (zh) * | 2014-05-06 | 2017-02-22 | 高通股份有限公司 | 用于未许可频带中的网络选择的技术 |
| WO2016074707A1 (en) * | 2014-11-12 | 2016-05-19 | Nokia Solutions And Networks Oy | Method, apparatus and system |
| WO2016136647A1 (ja) * | 2015-02-25 | 2016-09-01 | 京セラ株式会社 | ネットワーク装置及びユーザ端末 |
| CN106470382A (zh) * | 2015-08-14 | 2017-03-01 | 中兴通讯股份有限公司 | 授权验证方法、配置信息接收方法、装置、基站及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019001509A1 (zh) | 2019-01-03 |
| CN109151816A (zh) | 2019-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10187202B2 (en) | Key agreement for wireless communication | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| KR102024653B1 (ko) | 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템 | |
| CN113225176B (zh) | 密钥获取方法及装置 | |
| KR101648158B1 (ko) | 동시적 재인증 및 접속 셋업을 이용하는 무선 통신 | |
| US9088408B2 (en) | Key agreement using a key derivation key | |
| US9608971B2 (en) | Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers | |
| CN108012266B (zh) | 一种数据传输方法及相关设备 | |
| US8819415B2 (en) | Method and device for authenticating personal network entity | |
| CN103188229A (zh) | 用于安全内容访问的方法和设备 | |
| CN103024735B (zh) | 无卡终端的业务访问方法及设备 | |
| CN110831002B (zh) | 一种密钥推演的方法、装置及计算存储介质 | |
| JP7231010B2 (ja) | 制御装置、無線通信システム、制御方法及びプログラム | |
| US8972729B2 (en) | Secure information delivery | |
| CN109151816B (zh) | 一种网络鉴权方法及*** | |
| CN112637169B (zh) | 一种无源nfc云锁加密方法 | |
| CN109155913B (zh) | 网络连接方法、安全节点的确定方法及装置 | |
| WO2019024937A1 (zh) | 密钥协商方法、装置及*** | |
| CN105721403B (zh) | 用于提供无线网络资源的方法、设备及*** | |
| CN117098111A (zh) | 用户设备的注册方法、装置、计算机可读介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200807 Termination date: 20210628 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |