[发明专利]鉴权方法、重认证方法和通信装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及鉴权方法、重认证方法和通信装置。

背景技术

随着移动系统的覆盖范围越来越大，用户接入系统的数目逐渐增多，服 务提供商提供的服务多元化发展，使得网络的复杂程度不断提高，如何保证 网络和业务信息的安全是一个当前迫切需要解决的问题。

在移动通信系统中，为了保证运营业务的安全性，网络侧需要对接入的 用户设备(User Equipment，UE)进行鉴权处理，使得非法UE无法得到网 络侧提供的服务，保障运营商的利益；同时，UE也需要验证网络侧发送的 鉴权信息是否有效，即UE对网络侧进行鉴权处理，防止非法网络侧利用合 法网络侧已经使用过的鉴权信息对UE进行重放攻击，使UE相信该非法网 络侧合法。

现有长期演进(Long Term Evolved，LTE)网络系统中，UE和演进的基 站(E-UTRAN Node B，eNB)之间的空口链路是单跳的，采用演进的分组系 统(Evolved Packet System，EPS)认证和密钥协商(Authentication and Key Agreement，AKA)协议来完成用户和网络侧的鉴权过程，即包括身份认证和 密钥协商的处理，其实现的基础是用户和网络侧预共享一个永久性对称密钥。 整个鉴权过程包含在一个鉴权处理中进行，并且采用鉴权元组的方式来进行 认证，鉴权元组包括：包括：随机数(RAND)、期望响应(Expected user Response，XRES)、密钥(K_ASME)和鉴权令牌(Authentication token，AUTN)， 其中，密钥是由加密密钥(Cipher Key，CK)和完整性密钥(Integrity Key， IK)共同派生的；其中，AUTN进一步包括鉴权序列号(Sequence Number， SQN)、鉴权管理域(Authentication Management Field，AMF)和消息鉴权编 码(Message Authentication Code，MAC)三个部分。

引入中继站(Relay Station，RS)后，LTE系统中UE和eNB之间的空 口链路被分段，包括UE和RS之间的接入链路，以及RS和eNB之间的中 继链路。RS的网络接入过程中，可以将RS看作为UE进行网络接入，即RS 采用与传统UE相同的鉴权过程，具体接入过程参见图1，RS接入过程中的 鉴权处理流程为：

步骤101：RS向移动性管理实体(Mobility Management Entity，MME) 发送认证请求，该消息中携带了RS的国际移动用户标识(International Mobile Subscriber Identity，IMSI)、RS的能力(即所支持的加密和完整性保护密钥 派生算法)、以及派生密钥(K_ASME)所对应的密钥标识符(KSI_ASME)等内容；

步骤102：MME向归属用户服务器(Home Subscriber Server，HSS)转 发RS的认证请求，该消息中携带了RS的身份标识IMSI、服务网络标识等 内容，HSS根据RS的IMSI找到该用户对应的共享密钥K，上述RS与HSS 之间的共享密钥在RS侧是存贮在用户识别(User Subscriber Identify Module， USIM)卡中，并随机产生一个RAND，然后根据RAND、自身当前保存的 鉴权SQN、RS和HSS共享密钥K及其它信息生成该RS对应的认证向量 (Authentication Vector，AV)，其中AV包括RAND、XRES、K_ASME和AUTN；

步骤103：HSS向MME返回认证响应，该消息中携带了该用户的认证 向量AV，以及密钥K_ASME所对应的密钥标识符KSI_ASME等内容，MME将收到的 该RS的认证向量进行保存；

步骤104：MME向RS发送RS认证请求，该消息中携带了该RS认证 向量中对应的RAND和AUTN，以及密钥K_ASME所对应的密钥标识符KSI_ASME等 内容；