[发明专利]认证方法、装置及系统

权利要求书

1.一种认证方法，其特征在于，包括：

中继节点RN接收设备认证请求，其中，所述设备认证请求中携带有使用用户认证向量生成的设备认证数据；

所述RN根据所述设备认证数据生成对应的设备认证响应值，并将携带有所述设备认证响应值的设备认证响应发送至网络侧，用于认证所述RN。

2.根据权利要求1所述的方法，其特征在于，在RN接收设备认证请求之前，还包括：

所述网络侧通过接收到的非接入层NAS消息获取所述RN的设备标识或所述RN的设备证书信息；

所述网络侧根据所述RN的设备标识或所述网络侧的设备证书信息确定所述RN的设备相关密钥；

所述网络侧使用所述设备相关密钥生成所述设备认证数据，并将所述设备认证数据通过所述设备认证请求发送给所述RN。

3.根据权利要求2所述的方法，其特征在于，所述设备相关密钥为以下之一：

所述设备相关密钥是RN设备签约信息或者设备证书中的预共享密钥或参数；

所述设备相关密钥是由所述预共享密钥或所述参数生成的新密钥或新参数。 

4.根据权利要求2所述的方法，其特征在于，所述网络侧使用所述设备相关密钥生成所述设备认证数据包括：

使用所述RN的设备相关密钥、可选参数、所述用户认证向量中的{RAND，XRES，Kasme，AUTN}中的RAND和/或AUTN按照预定算法进行加密，并生成设备认证数据RAND_D和/或AUTN_D；或

使用所述设备相关密钥、所述可选参数、所述用户认证向量中的{RAND，XRES，Kasme，AUTN}中的RAND和/或AUTN中的字段按照所述预定算法进行加密，并生成设备认证数据RAND_D和/或AUTH_D1，其中，RAND是网络侧生成的随机数，XRES是期望设备响应，Kasme是中间密钥，AUTN是网络认证标志，且包含了多个字段，具体为AUTN＝SQN*AK||AMF||MAC，其中SQN*AK是指由归属用户服务器HSS生成的序列号SQN和匿名密钥AK的异或操作，AMF是认证管理域，MAC为消息验证码，可选参数为以下之一：所述RN和所述网络侧共享的数据；所述网络侧和/或所述RN生成的随机数。

5.根据权利要求4所述的方法，其特征在于，所述RN根据所述设备认证数据生成对应的设备认证响应值包括：

所述RN使用所述设备相关密钥、所述可选参数、接收到的RAND_D和/或AUTN_D按照所述预定算法进行解密，并得到RAND和/或AUTN；使用所述RAND和/或所述AUTN按照分组演进系统鉴权认证和密钥协定EPS AKA的用户认证方法生成用户响应值RES，并确定所述用户响应值RES为设备认证响应值RES_D；或

所述RN使用所述RN的设备相关密钥、所述可选参数、接收到的RAND_D和/或AUTH_D1按照预定算法进行解密， 

并得到RAND和/或AUTH；使用所述RAND和/或所述AUTN按照所述EPS AKA的用户认证方法生成用户响应值RES，并确定所述用户响应值RES为设备认证响应值RES_D。

6.根据权利要求2所述的方法，其特征在于，所述网络侧使用所述设备相关密钥生成所述设备认证数据包括：

选取所述用户认证向量{RAND，XRES，Kasme，AUTN}中的RAND和AUTN为设备认证数据；

使用所述设备相关密钥、用户认证向量{RAND，XRES，Kasme，AUTN}中的期望用户响应XRES和可选参数按照预定算法生成期望设备认证响应XRES_D，并确定所述XRES_D作为设备认证数据，其中，RAND是网络侧生成的随机数，Kasme是中间密钥，AUTN是网络认证标志，所述可选参数为以下之一：所述RN和所述网络侧共享的数据；所述网络侧和/或所述RN生成的随机数。

7.根据权利要求6所述的方法，其特征在于，所述RN根据所述设备认证数据生成对应的设备认证响应值包括：

所述RN按照EPS AKA的用户认证方法生成用户响应值RES；

使用所述设备相关密钥、所述RES和所述可选参数按照所述预定算法生成设备认证响应值RES_D。