[发明专利]基于TD-LTE网络的鉴权和密钥衍生方法及系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及基于TD-LTE网络的鉴权和密钥衍生方法及系统。

背景技术

集群通信的快速发展，尤其是更为先进的数字集群通信技术，能够为用户提供更强大的系统功能，数字集群通信系统集多功能于一体,在技术上和系统容量上能够满足大型共网的建设要求,系统可提供指挥调度、电话互联、数据传输、短消息收发、定位服务等多种业务。建立共享网络，能有利于充分发挥数字集群这些强大的系统功能和优良的网络性能，满足当今各专业用户对通信的需求。随着社会经济的发展，政府部门、企事业单位对移动调度服务的需求越加广泛和迫切。因此对于集群系统业务的安全性也有着很关键的要求。TD-LTE公网在我国发展迅速，已经在我国大规模建网。基于TD-LTE公网的情况下可以建立专用的集群网络来发挥集群业务的优势，可以应用于这些单位部门，满足他们对于不同业务的特殊要求。

TD-LTE公网集群系统无需为集群通信独立建网，而是与TD-LTE公众网络共享网络资源。其中，TD-LTE无线接入网是TD-LTE公众网络的主体构成部分，占公众移动通信网络投资的大部分，公网集群的接入网应与公众网络的接入网共享，包括站址、天线等资源，可有效利用公众网络资源。

集群的安全等级和安全要求一般要比公网的高，所以要使用高级的加密算法和更加复杂的鉴权机制来保证集群的高安全等级的要求成为目前急需解决的技术问题。

发明内容

为了解决现有技术中的问题，本发明提供了一种基于TD-LTE网络的鉴权和密钥衍生方法。

本发明提供了一种基于TD-LTE网络的鉴权和密钥衍生方法，包括LTE鉴权方法，在LTE鉴权方法中包括如下步骤：

鉴权请求发起步骤，用户向非接入层移动管理实体发起鉴权请求；

索要鉴权向量步骤，移动管理实体向归属用户服务器索要鉴权向量；

返回步骤，归属用户服务器返回一套或多套通用分组核心演进鉴权向量{随机数，鉴权令牌，预期响应，根密钥}给移动管理实体，其中包含AMF分隔符，”1”代表LTE/SAE,”0”代表非LTE/SAE；

发送步骤，移动管理实体收到后保存预期用户响应、根密钥，并将随机数和鉴权令牌发送给用户；

用户端鉴权步骤，用户通过鉴权特征向量对网络进行鉴权，用户根据鉴权特征向量&随机数计算出鉴权响应&CK/IK，进一步计算出根密钥，用户将鉴权响应发送到移动管理实体，移动管理实体将鉴权响应和预期用户响应进行对比；

推导步骤，用户与移动管理实体根据根密钥推导出非接入层与接入层所需的加密密钥和完整性保护密钥。

作为本发明的进一步改进，在鉴权和密钥衍生方法中，IK，IV是密钥衍生机制的初始输入密钥，CK/IK分别表示加密和完整性密钥；K_ASME是一个中间密钥，是终端和归属用户服务器在AKA过程中根据K生成的；ASME是一个网络实体，根据接收到的归属用户服务器发送的密钥，负责建立和维持归属用户服务器与终端的安全协商；K_eNB也是一个中间密钥，是终端和移动管理实体根据根密钥生成的；K_eNB的值取决于eNodeB识别码，用于eNodeB为RRC业务和UP业务生成密钥；最后，为了NAS信令、AS信令和用户平面数据进行完整性保护和机密性保护，还要生成如下5个密钥：K_eNB，K_NASint，K_NASenc，K_UPenc，K_RRCint和K_RRCenc。，K_eNB是演进型基站密钥，K_NASint是接入层完整性密钥，K_NASenc是接入层安全性密钥，K_UPenc是用户层安全密钥，K_RRCint是接入控制完整性密钥，K_RRCenc是接入控制安全性密钥。

作为本发明的进一步改进，

用户在鉴权过程中AS层和AS层密钥将由初始密钥K进行KDF算法处理后得出根密钥K_ASME；

根密钥K_ASME在NAS层进行衍生出NAS层使用的安全性密钥K_NASenc和完整性保护密钥K_NASint，其中安全性密钥和完整性密钥的生成是根据用户所支持的安全算法，通过选择不同的安全算法组合生成不同的安全性保护密钥和完整性保护密钥；