[发明专利]一种实现LTE-WLAN融合网络接入认证协议的方法

权利要求书

1.一种实现LTE-WLAN融合网络接入认证协议的方法，其特征在于，包含有以下两个阶段：

(1)生成参数阶段：采用ECDH方法生成对称密钥，用于对需要认证的参数加密和解密，具体是在有限域Fq上定义一个椭圆曲线方程Eq，在椭圆曲线上随机选取点Q，HAAA具有公钥U_H＝d_H*Q，UE与HSS具有共享密钥对(U_E，d_E)，其中U_E＝d_E*Q；

(2)UE的身份认证阶段：认证开始后各节点只有在传输参数时需要加密，需要加密时采用ECDH方法随机生成密钥，该密钥是由密钥交换双方在不共享任何秘密的情况下协商确定；

身份认证过程包含有以下步骤：

(2a)UE，AP建立连接；

(2b)AP向UE发送EAP-Identity Request消息；

(2c)UE生成随机数r_UE用于生成一个临时密钥K_UH，用于加密IMSI，加密后的结果为IDue，同时UE生成一个密码令牌CTue用来对连接的AP身份进行加密，UE发送EAP数据包{IDue，CTue，R_UE}到AP；

(2d)AP将自己收到的EAP数据包{IDue，CTue，R_UE}和自己的IDap经由WAAA发送到HAAA；

(2e)HAAA计算出K_UH＝d_H*R_UE，用K_UH从IDue中解密出IMSI，同时从CTue中解密出IDap，验证是否与从AP收到的IDap一致，若不一致则断开连接；HAAA将IMSI发送给HSS并请求生成认证向量AV；

(2f)HSS验证IMSI是否合法，若合法HSS生成一个随机数r_H用于计算K_hu，生成随机数R_h用于生成认证向量AV，AV包括有XRES、CK、IK、nIDue、CTh和MACh，然后将AV经由HAAA发送到WAAA；

(2g)WAAA存储收到的XRES，然后计算出MSK，并将{R_h,MACh,CTh}经由AP发送到UE；

(2h)UE从CTh中解密出R_h，验证是否与从WAAA收到的R_h相等，之后UE计算出CK，IK，nIDue，MSK，并计算出MACh与从WAAA收到的进行验证，紧接着UE计算出RES和MACu并将其经由AP发送到WAAA；

(2i)WAAA对收到的MACu进行验证，并检查收到的RES是否与之前存储的XRES相等，若相等则发送认证成功消息EAP-Success和EMSK到AP，至此，UE与WAAA的相互认证完成；

(2j)AP用自己的ID和UE的公共密钥R_UE计算出Kw对EMSK解密用于对UE进行认证；

(2k)AP对UE认证成功后发送认证成功消息EAP-Success到UE，并切换到认证端口，认证完成并允许UE接入网络。

2.根据权利要求1所述的一种实现LTE-WLAN融合网络接入认证协议的方法，其特征在于，步骤(2c)中的IDue是当前UE的临时ID，是k_UH对IMSI加密后的结果，其计算如下所示：

R_UE＝r_UE*U_E R_UE'＝r_UE*U_H

k_UH＝d_E*R_UE'

IDue＝{IMSI}_k_UH

其中k_UH为加密密钥。