[发明专利]一种网络鉴权认证的方法及设备

说明书

本发明公开了一种网络鉴权认证的方法及设备。其方法包括：接入网元通过接入网元向终端发送使用第二网元签名私钥进行签名的鉴权向量信息；终端对鉴权向量信息的签名进行验证，验证成功后，生成两个一致性检查密钥，分别使用这两个一致性检查密钥进行消息完整性计算，并分别与第一网元和接入网元发送的消息完整性计算结果进行比对；比对正确后，再分别使用这两个一致性检查密钥再次进行消息完整性计算，将计算结果分别发送给接入网元和第一网元；接入网元和第一网元分别使用各自生成的一致性检查密钥进行消息完整性计算，将计算结果与终端发送的计算结果进行比对，从而实现鉴权。保证了鉴权向量信息在传递过程中的安全性以及鉴权的可靠性。

技术领域

本发明涉及通信技术领域，尤其涉及一种网络鉴权认证的方法及设备。

背景技术

长期演进（LTE，Long Term Evolution）网络的鉴权认证阶段采用AKA协议。现有的LTE网络中，鉴权认证阶段存在安全漏洞，具体体现在：

鉴权向量在传递过程中容易受到攻击。特别是当终端跨公共陆地移动网络（PLMN，Public Land Mobile Network）漫游时，为了对终端进行鉴权认证，归属地网络的网元会把鉴权向量发送到漫游网络的网元。在这个过程中，鉴权向量穿过不同的网络，很容易受到攻击。

发明内容

本发明的目的是提供一种网络鉴权认证的方法及设备，以解决LTE网络鉴权认证阶段存在的安全问题。

本发明的目的是通过以下技术方案实现的：

一种网络鉴权认证的方法，包括：

终端生成第二临时公私钥对，向接入网元发送终端问候消息和终端密钥交换消息，所述终端问候消息包含终端标识和终端随机数，所述终端密钥交换消息包含第二临时公钥；

所述接入网元向第一网元发送所述终端问候消息、所述终端密钥交换消息和接入网元问候消息，所述接入网元问候消息包含接入网元标识和接入网元后向随机数；

所述第一网元向第二网元发送所述终端问候消息、所述接入网元问候消息和第一网元后向问候消息，所述第一网元后向问候消息中包含第一网元后向随机数和第一网元签名证书；

第二网元向第一网元发送鉴权向量信息，所述鉴权向量信息中需要终端验证的信息使用第二网元签名私钥进行签名；

所述第一网元获取所述鉴权向量信息；

所述第一网元生成第一临时公私钥对和包含第一网元前向随机数的第一网元前向问候消息，利用获得的鉴权向量信息、所述第二临时公钥、所述第一网元交换私钥和所述第一临时私钥生成第一一致性检查密钥，使用所述第一一致性检查密钥对所述终端问候消息和第一网元前向问候消息进行完整性计算产生第一消息完整性计算结果，并向所述接入网元发送所述鉴权向量信息、包含第一临时公钥的第一网元密钥交换消息、第一网元前向问候消息和第一消息完整性计算结果；

所述接入网元生成接入网元临时公私钥对和包含接入网元前向随机数的接入网元前向问候消息，利用获得的鉴权向量信息、所述第二临时公钥、所述接入网元交换私钥和所述接入网元临时私钥生成接入一致性检查密钥，使用所述接入一致性检查密钥对所述终端问候消息和接入网元前向问候消息进行完整性计算产生接入消息完整性计算结果，并向终端发送所述鉴权向量信息、包含接入网元临时公钥的接入网元密钥交换消息、所述接入网元前向问候消息、接入消息完整性计算结果、所述第一网元前向问候消息和所述第一消息完整性计算结果；

所述终端使用保存的第二网元的签名证书对接收到的所述鉴权向量信息中的签名进行验证；

验证成功后，所述终端利用所述鉴权向量信息、所述终端标识、所述第一临时公钥、终端交换私钥、和所述第二临时私钥生成第二一致性检查密钥，并利用所述鉴权向量信息、所述终端标识、所述接入临时公钥、终端交换私钥、和所述第三临时私钥生成第三一致性检查密钥；