午夜毛片免费看,老师老少妇黄色网站,久久本道综合久久伊人,伊人黄片子

Sim卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法和相關(guān)設(shè)備的制作方法

文檔序號:7709957閱讀:402來源:國知局
專利名稱:Sim卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法和相關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及移動通信技術(shù)領(lǐng)域,特別涉及一種SIM卡用戶設(shè)備接入演進 網(wǎng)絡(luò)的方法和相關(guān)設(shè)備。
背景技術(shù)
現(xiàn)有的第三代合作伙伴計劃(3rd Generation Partnership Project,簡稱 3GPP)的無線網(wǎng)絡(luò)分為3GPP無線接入網(wǎng)和核心網(wǎng)兩部分。其中3GPP無線 接入網(wǎng)又分為3種①全5求移動通訊系統(tǒng)(Global System for Mobile Communications,筒稱GSM)邊鄉(xiāng)彖無線接入網(wǎng)(GSM/EDGE Radio Access Network,筒稱GERAN ),該GERAN為2G接入網(wǎng),其中包括基站收發(fā)臺(Base Transceiver Station,簡稱BTS )和基站控制器(Base Station Controller, BSC ); ②全球陸上無線接入(Universal Terrestrial Radio Access,簡稱UTRAN ),該 UTRAN為3G接入網(wǎng),其中包括基站(節(jié)點B,簡稱NodeB )和無線網(wǎng)絡(luò)控 制器(Radio Network Controller, RNC );③演進的通用陸基無線接入網(wǎng)
(Evolved Universal Terrestrial Radio Access Network, 簡稱EUTRAN), 該 EUTRAN為長期演進(Long Term Evolution,簡稱LTE )接入網(wǎng),包括演進 的基站(evoluted NodeB,筒稱eNB ),與未來演進的LTE接入網(wǎng)對應(yīng)的核心 網(wǎng)為系統(tǒng)架構(gòu)演進(System Architecture Evolution ,筒稱SAE )。
未來演進網(wǎng)絡(luò)中和安全相關(guān)的實體是eNB和SAE中的移動管理實體
(Mobility Management Entity,簡稱MME ),其中eNB主要完成無線資源控 制(Radio Resources Control,簡稱RRC ) /用戶面(User Plane,簡稱UP )信 令的安全保護功能,MME主要完成非接入信令(Non-Access Signalling,簡 稱NAS信令)的安全保護功能。為保證未來演進網(wǎng)絡(luò)的通信安全,用戶設(shè)備(User Equipment,簡稱UE )需要和eNB共享相同的RRC加密密鑰 (K_RRC_enc)、 RRC完整性保護密鑰(K_RRC—int)和UP加密密鑰 (K_UP—enc),以保護UE和eNB之間RRC/UP信令;UE還需要和MME共 享相同的NAS加密密鑰(K一NAS一enc )和NAS完整性保護密鑰(K一NAS一int ), 以保護UE和MME之間NAS信令。
目前3GPP標(biāo)準(zhǔn)中,演進網(wǎng)絡(luò)只支持通用用戶身份模塊(Universal Subscriber Identity Module,筒稱USIM)卡用戶接入該演進網(wǎng)絡(luò);而對于用 戶身份模塊(Subscriber Identity Module, SIM)卡用戶,演進網(wǎng)絡(luò)則禁止SIM 卡用戶接入。這樣,對于很多的運營商(例如中國移動)來說,在網(wǎng)絡(luò)升級 到未來的演進網(wǎng)絡(luò)時,勢必要強制性進行用戶換卡工作,即將用戶的SIM卡 更換為USIM卡。這樣, 一方面可能增加運營商的負擔(dān),另一方面也可能導(dǎo) 致用戶的轉(zhuǎn)網(wǎng)。

發(fā)明內(nèi)容
本發(fā)明實施例提供了 一種SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法和相關(guān)設(shè) 備,以實現(xiàn)SIM卡用戶設(shè)備接入到演進網(wǎng)絡(luò)/移動到演進網(wǎng)絡(luò)/從演進網(wǎng)絡(luò)移 出時的鑒^/密鑰等安全處理。
根據(jù)本發(fā)明實施例,提供了 一種用戶身份模塊SIM卡用戶設(shè)備接入演進 網(wǎng)絡(luò)的方法,包括
接收歸屬用戶服務(wù)器HSS生成的與SIM卡用戶設(shè)備對應(yīng)的四元組鑒權(quán)矢 量AV,所述四元組AV包括隨機數(shù)和期望挑戰(zhàn)響應(yīng);
向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息,所述鑒權(quán)請求消息中包括所 述四元組AV中的隨才幾數(shù);
接收所述SIM卡用戶設(shè)備才艮據(jù)所述四元組AV中的隨機數(shù)生成的用戶端 挑戰(zhàn)響應(yīng);
若接收到的所述四元組AV中的期望挑戰(zhàn)響應(yīng)和所述用戶端4"兆戰(zhàn)響應(yīng)一
10致,則鑒權(quán)成功。
根據(jù)本發(fā)明實施例,還提供了一種用戶身份模塊SIM卡用戶設(shè)備移動到 演進網(wǎng)全各的方法,包才舌
移動管理實體MME接收服務(wù)GPRS支持節(jié)點SGSN發(fā)送的包含三元組 鑒權(quán)矢量AV中的加密密鑰、或五元組AV中的加密密鑰和完整性保護密鑰的 消息,并根據(jù)接收到的密鑰生成非接入信令NAS加密密鑰和NAS完整性保 護密鑰;
所述SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消息后,根據(jù) 所述SIM卡用戶設(shè)備中三元組AV中的加密密鑰生成NAS加密密鑰和NAS 完整性保護密鑰;
所述MME和所述SIM卡用戶設(shè)備采用各自生成的NAS加密密鑰和NAS 完整性保護密鑰進行信令保護。
根據(jù)本發(fā)明實施例,還提供了 一種用戶身份模塊SIM卡用戶設(shè)備從演進 網(wǎng)絡(luò)移出的方法,包括
移動管理實體MME根據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組AV 中的加密密鑰和完整性保護密鑰、或三元組AV中的加密密鑰;
所述MME將包含所述五元組AV中的加密密鑰和完整性保護密鑰、或所 述三元組AV中的加密密鑰的消息發(fā)送給服務(wù)GPRS支持節(jié)點SGSN;
所述SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消息后,根據(jù) 四元組AV中的根密鑰生成五元組AV中的加密密鑰和完整性保護密鑰、或三 元組AV中的加密密鑰;
所述SIM卡用戶設(shè)備根據(jù)自身生成的五元組AV中的加密密鑰和完整性 保護密鑰、或三元組AV中的加密密鑰對發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備的信令進行保護, 所述網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)所述MME生成的五元組AV中的加密密鑰和完整性保護 密鑰、或三元組AV中的加密密鑰對發(fā)送給所述SIM卡用戶設(shè)備的信令進行 保護。根據(jù)本發(fā)明實施例,還提供了一種移動管理實體MME,包括
第一接收模塊,用于接收歸屬用戶服務(wù)器HSS生成的與SIM卡用戶設(shè)備 對應(yīng)的四元組鑒權(quán)矢量AV,所述四元組AV包括隨機數(shù)和期望挑戰(zhàn)響應(yīng);
第一發(fā)送模塊,用于向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息,所述鑒 權(quán)請求消息中包括所述四元組AV中的隨機數(shù);
第二接收模塊,用于接收所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的 隨才幾數(shù)生成的用戶端4兆戰(zhàn)響應(yīng);
鑒權(quán)模塊,用于比較鑒權(quán)所述第一接收模塊接收到的所述四元組AV中 的期望挑戰(zhàn)響應(yīng)和所述第二接收模塊接收到的所述用戶端挑戰(zhàn)響應(yīng),若所述 期望挑戰(zhàn)響應(yīng)和所述用戶端挑戰(zhàn)響應(yīng)一致,則鑒權(quán)成功。
根據(jù)本發(fā)明實施例,還提供了 一種用戶身份模塊SIM卡用戶設(shè)備,包括
第三接收模塊,用于接收移動管理實體MME發(fā)送的鑒權(quán)請求消息,所 述鑒權(quán)請求消息包括所述四元組AV中的隨機數(shù);
第一生成模塊,用于根據(jù)所述第三接收模塊接收到的所述四元組AV中 的隨才幾數(shù)生成用戶端挑戰(zhàn)響應(yīng);
第二發(fā)送模塊,用于發(fā)送鑒權(quán)響應(yīng)消息到所述MME,所述鑒權(quán)響應(yīng)消息 中包括所述第一生成才莫塊生成的所述用戶端挑戰(zhàn)響應(yīng),使得所述MME根據(jù) 所述用戶端挑戰(zhàn)響應(yīng)和從歸屬用戶服務(wù)器HSS接收到的期望挑戰(zhàn)響應(yīng)對所述 SIM卡用戶設(shè)備進行鑒權(quán)。
根據(jù)本發(fā)明實施例,還提供了一種移動管理實體MME,包括
第四接收模塊,用于接收服務(wù)GPRS支持節(jié)點SGSN發(fā)送的包含三元組 鑒權(quán)矢量AV中的加密密鑰、或五元組AV中的加密密鑰和完整性保護密鑰的 消息;
第二生成模塊,用于根據(jù)所述第四接收模塊接收到的所述三元組AV中 的加密密鑰、或五元組AV中的加密密鑰和完整性保護密鑰生成非接入信令 NAS加密密鑰和NAS完整性保護密鑰;第 一信令保護才莫塊,用于采用所述第二生成才莫塊生成的所述NAS加密密 鑰和NAS完整性保護密鑰對發(fā)送給用戶身傷"漠塊SIM卡用戶設(shè)備的信令進 行保護。
根據(jù)本發(fā)明實施例,還提供了一種用戶身份模塊SIM卡用戶設(shè)備,包括 第五接收模塊,用于接收切換命令消息或跟蹤區(qū)域接收消息; 第三生成模塊,用于根據(jù)三元組鑒權(quán)矢量AV中的加密密鑰生成非接入 信令NAS加密密鑰和NAS完整性保護密鑰;
第二信令保護才莫塊,用于采用所述第三生成模塊生成的所述NAS加密密 鑰和NAS完整性保護密鑰對發(fā)送給所述MME的信令進行保護。 根據(jù)本發(fā)明實施例,還提供了一種移動管理實體MME,包括 第四生成模塊,用于根據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組AV 中的完整性保護密鑰和加密密鑰;或,根據(jù)四元組AV中的根密鑰生成五元 組AV中的完整性保護密鑰和加密密鑰,根據(jù)五元組AV中的完整性保護密鑰 和加密密鑰生成三元組AV中的加密密鑰;
第三發(fā)送模塊,用于將攜帶有所述第四生成模塊生成的所述五元組AV 中的完整性保護密鑰和加密密鑰、或三元組AV中的加密密鑰的消息發(fā)送給 服務(wù)GPRS支持節(jié)點SGSN,使得所述SGSN根據(jù)所述MME生成的五元組 AV中的加密密鑰和完整性保護密鑰、或三元組AV中的加密密鑰對發(fā)送給用 戶身份模塊SIM卡用戶設(shè)備的信令進行保護。
根據(jù)本發(fā)明實施例,還提供了一種用戶身份模塊SIM卡用戶設(shè)備,包括 第六接收模塊,用于接收切換命令消息或跟蹤區(qū)域接收消息; 第五生成模塊,用于根據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組AV 中的完整性保護密鑰和加密密鑰;或,根據(jù)四元組AV中的根密鑰生成五元 組AV中的完整性保護密鑰和加密密鑰,根據(jù)五元組AV中的完整性保護密鑰 和加密密鑰生成三元組AV中的加密密鑰;
第三信令保護模塊,用于根據(jù)第五生成模塊生成的五元組AV中的加密密鑰和完整性保護密鑰、或三元組AV中的加密密鑰進行信令保護。
由以上技術(shù)方案可知,本發(fā)明實施例提供的一種SIM卡用戶設(shè)備接入演 進網(wǎng)絡(luò)的方法和相關(guān)設(shè)備,通過對SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)/移動到演進 網(wǎng)絡(luò)/從演進網(wǎng)絡(luò)移出時的鑒權(quán)矢量的處理,可以使得SIM卡用戶設(shè)備加入到 演進網(wǎng)絡(luò)中或者從其他網(wǎng)絡(luò)移動到演進網(wǎng)絡(luò)中或者可以從演進網(wǎng)絡(luò)中移出, 保證了 SIM卡用戶能夠安全地接入演進網(wǎng)絡(luò)。


圖1為本發(fā)明實施例的3GPP無線網(wǎng)絡(luò)的結(jié)構(gòu)示意圖2為本發(fā)明實施例的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法的流程示意
圖3為本發(fā)明實施例的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法的信令流程 示意圖4為本發(fā)明實施例的生成三元組AV、五元組AV和四元組AV的示意
圖5為本發(fā)明實施例的SIM卡用戶i更備移動到演進網(wǎng)絡(luò)的方法的流程示 意圖6為本發(fā)明實施例的SIM卡用戶設(shè)備/人GERAN/UTRAN切換到 EUTRAN的方法的信令流程示意圖7為本發(fā)明實施例的SIM卡用戶設(shè)備乂人GERAN/UTRAN空閑態(tài)移動 到EUTRAN的方法的信令流程示意圖8為本發(fā)明實施例的SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)移出的方法的流程示 意圖9為本發(fā)明實施例的SIM卡用戶i殳備/人EUTRAN切換到 GERAN/UTRAN的方法的信令流程示意圖10為本發(fā)明實施例的SIM卡用戶設(shè)備從EUTRAN空閑態(tài)移動到GERAN/UTRAN的方法的信令流程示意圖11為本發(fā)明實施例的SIM卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)的方法的信令 流程圖12為本發(fā)明實施例的移動管理實體的結(jié)構(gòu)示意圖; 圖13為本發(fā)明實施例的SIM卡用戶設(shè)備的結(jié)構(gòu)示意圖; 圖14為本發(fā)明實施例的移動管理實體的另一結(jié)構(gòu)示意圖; 圖15為本發(fā)明實施例的SIM卡用戶設(shè)備的另一結(jié)構(gòu)示意圖; 圖16為本發(fā)明實施例的移動管理實體的又一結(jié)構(gòu)示意圖; 圖17為本發(fā)明實施例的SIM卡用戶設(shè)備的又一結(jié)構(gòu)示意圖; 圖18為本發(fā)明實施例的演進網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)示意圖。
具體實施例方式
下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行 清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而 不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作 出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
圖1為本發(fā)明實施例的3GPP無線網(wǎng)絡(luò)的結(jié)構(gòu)示意圖。如圖1所示,其 中虛線以下部分為演進網(wǎng)絡(luò)的接入網(wǎng)和核心網(wǎng)。下面將基于該3GPP無線網(wǎng) 絡(luò)的結(jié)構(gòu),以多個實施例具體描述允許SIM卡用戶接入演進網(wǎng)絡(luò)的安全能力 協(xié)商。
圖2為本發(fā)明實施例的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法的流程示意 圖。如圖2所示,本實施例說明SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)時,移動管理 實體(MME )根據(jù)HSS生成的四元組鑒4又矢量(Authentication Vector,簡稱 AV)對UE進行鑒權(quán)的方法,包括如下步驟
步驟201 、接收歸屬用戶服務(wù)器(Home Subscriber Server,簡稱HSS )生 成的與SIM卡用戶設(shè)備對應(yīng)的四元組AV,所述四元組AV包括隨機數(shù)RAND
15和期望4兆戰(zhàn)響應(yīng)XRES;
四元組AV還包括鑒權(quán)參數(shù)(AUTN)和根密鑰(Kasme);
該MME后續(xù)還可以根據(jù)四元組AV中的Kasme生成非接入信令(NAS ) 加密密鑰和NAS完整性保護密鑰;
步驟202、向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息,所述鑒權(quán)請求消 息中包括所述四元組AV中的隨機數(shù);
步驟203、接收SIM卡用戶設(shè)備根據(jù)該四元組AV中的RAND生成的用 戶端才兆戰(zhàn)響應(yīng)(RES);
步驟204、若接收到的四元組AV中的期望挑戰(zhàn)響應(yīng)XRES和用戶端挑戰(zhàn) 響應(yīng)RES—致,則鑒權(quán)成功。
其中步驟201之前具體可以包括
步驟200a、 HSS接收MME發(fā)送的鑒權(quán)數(shù)據(jù)請求消息;
步驟200b、 HSS根據(jù)三元組AV生成與SIM卡用戶設(shè)備對應(yīng)的五元組 AV,再進一步生成四元組AV,該三元組AV包括有隨機數(shù)(RAND)、期望 挑戰(zhàn)響應(yīng)(SRES)和加密密鑰(Kc);
例如先才艮據(jù)三元組AV中的加密密鑰Kc生成五元組AV中的完整性保 護密鑰IK和加密密鑰CK,再根據(jù)IK和CK進一步生成四元組AV中的根密 鑰Kssm6。
步驟200c 、 HSS將該四元組AV攜帶在鑒權(quán)數(shù)據(jù)應(yīng)答消息中發(fā)送給MME。 在步驟202和步驟203之間還可以包括
步驟202a、 SIM卡用戶設(shè)備接收MME發(fā)送的攜帶四元組AV中的RAND 的鑒權(quán)請求消息;
步驟202b 、 SIM卡用戶設(shè)備才艮據(jù)四元組AV中的RAND以及與HSS的 共享密鑰Ki生成三元組AV中的Kc;
步驟202c、 SIM卡用戶設(shè)備根據(jù)三元組AV中的Kc生成角戶端RES; 步驟202d、發(fā)送攜帶用戶端RES的鑒權(quán)響應(yīng)消息到MME。本實施例提供的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法,通過對SIM卡用 戶設(shè)備接入演進網(wǎng)絡(luò)時的鑒權(quán)矢量的鑒權(quán)處理,可以使得SIM卡用戶設(shè)備接 入到演進網(wǎng)絡(luò)中,并保證了 SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的安全性。
其中SIM卡用戶設(shè)備具體可以包括有移動設(shè)備(Mobile Equipment,簡 稱ME )和SIM卡,該ME還可以4艮據(jù)三元組AV中的加密密鑰生成五元組 AV中的完整性保護密鑰IK和加密密鑰CK,再進一步生成四元組AV中的根 密鑰,并將Kasme保存在SIM卡用戶設(shè)備上的演進分組系統(tǒng)(EPS) NAS安 全上下文中;該ME后續(xù)還可以進一步根據(jù)四元組AV中的Kasme生成NAS 加密密鑰和NAS完整性保護密鑰。
該EPS NAS安全上下文中除了包括有所述Kasme,還包括有SIM卡用 戶設(shè)備安全能力、選擇的NAS完整性保護算法和加密算法和上行/下行NAS 計數(shù)器值等。SIM卡用戶設(shè)備中的ME對該EPS NAS安全上下文的處理具體 可以包括
如果ME發(fā)現(xiàn)其插入的是SIM卡,則ME對EPS NAS安全上下文的處 理原則如下
第一、ME在如下情況下可以刪除以前保存的EPS NAS安全上下文
① ME上電狀態(tài)下拔掉SIM卡;
② ME開機時,ME發(fā)現(xiàn)插入的SIM卡并不是以前創(chuàng)建EPS NAS安全上 下文時對應(yīng)的SIM卡;
③ ME開才幾時發(fā)現(xiàn)沒有插SIM卡。
第二、關(guān)機時,ME將EPSNAS安全上下文保存到ME上的非易失內(nèi)存 (例如閃存flash )中,并在非易失內(nèi)存中標(biāo)記這些ESP NAS安全上下文有效。
第三、開機時,如果以前保存的EPSNAS安全上下文在非易失內(nèi)存中標(biāo) 記有效,則ME從非易失內(nèi)存中取出以前保存的EPS NAS安全上下文使用。
第四、去附著網(wǎng)絡(luò)時(包括SIM卡用戶設(shè)備發(fā)起的去附著、MME發(fā)起 的去附著或HSS發(fā)起的去附著),ME用當(dāng)前的本地EPS NAS安全上下文更新ME上以前在非易失內(nèi)存中保存的EPSNAS安全上下文,并在非易失內(nèi)存 中標(biāo)記這些ESP NAS安全上下文有效。
第五、附著網(wǎng)絡(luò)時,ME在非易失內(nèi)存中標(biāo)記以前保存的EPS安全上下 文無效。
第六、遷移到連接態(tài)時,例如當(dāng)SIM卡用戶設(shè)備/人EPS連接管理的空閑 態(tài)(ECM-IDLE)遷移到EPS連接管理的連接態(tài)(ECM-CONNECTED )時, ME在非易失內(nèi)存中標(biāo)記以前保存的EPS安全上下文無效。
第七、遷移到空閑態(tài)時,例如當(dāng)SIM卡用戶設(shè)備從EPS連接管理的連接 態(tài)(ECM-CONNECTED)遷移到EPS連接管理的空閑態(tài)(ECM-IDLE )時, ME用當(dāng)前的本地EPS NAS安全上下文更新ME上以前在非易失內(nèi)存中保存 的EPSNAS安全上下文,并在非易失內(nèi)存中標(biāo)記這些ESPNAS安全上下文 有效。
由于本發(fā)明實施例可以使得SIM卡用戶設(shè)備接入到演進網(wǎng)絡(luò)中,因此該 SIM卡用戶設(shè)備上還實現(xiàn)了對其上保存的與接入演進網(wǎng)絡(luò)相關(guān)的、EPS NAS 安全上下文中的各個參數(shù)進行有效的管理。
下面通過具體的實施例來描述將圖2的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的 方法。圖3為本發(fā)明實施例的SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法的信令流 程示意圖。其中結(jié)合圖1, LTE網(wǎng)絡(luò)的核心網(wǎng)為MME。在現(xiàn)有技術(shù)中,UE 在接入LTE網(wǎng)絡(luò)時,當(dāng)在網(wǎng)絡(luò)附著過程(ATTACH)或者位置區(qū)域更新(TAU) 過程之前,檢測到UE的ME插入的卡的類型是SIM卡,則禁止SIM卡接入, 即UE不發(fā)送ATTACH請求消息或者TAU請求消息到網(wǎng)絡(luò)側(cè);但是惡意的 UE還是可能會發(fā)起ATTACH請求消息或者TAU請求消息到MME, MME 在受到UE發(fā)送來的初始層3的NAS消息,即ATTACH請求消息或者TAU 請求消息后,MME發(fā)送鑒權(quán)數(shù)據(jù)請求消息到HSS, HSS檢查是插入SIM卡 的用戶,則發(fā)送攜帶有錯誤碼的鑒權(quán)數(shù)據(jù)應(yīng)答消息至MME,表示禁止UE接 入LTE網(wǎng)絡(luò),MME再向UE發(fā)送初始層3的NAS響應(yīng)消息,其中包括錯誤碼,從而達到禁止SIM卡接入LTE網(wǎng)絡(luò)的目的。如圖3所示,本發(fā)明實施例 提供了一種SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法,包括如下步驟
步驟301 、當(dāng)ME附著到LTE網(wǎng)絡(luò)時,檢測到其是插入SIM卡的用戶設(shè) 備(UE);
ME上可以配置是否允許該SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò),當(dāng)配置為禁 止SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò)時,如果ME檢測到是SIM卡用戶設(shè)備, 則禁止該SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò);當(dāng)配置為允許SIM用戶設(shè)備接入 LTE網(wǎng)絡(luò)時,如果ME檢測到是SIM卡用戶設(shè)備,則繼續(xù)該SIM卡用戶設(shè)備 接入LTE網(wǎng)絡(luò)的處理,例如發(fā)送ATTACH請求消息或者TAU請求消息到LTE 網(wǎng)絡(luò)側(cè)設(shè)備MME。
ME上也可以配置始終對接入LTE網(wǎng)絡(luò)的SIM卡用戶設(shè)備進行接入處理。 步驟302、 MME接收到SIM卡用戶設(shè)備發(fā)來的初始層3的NAS消息; 該NAS消息具體可以為ATTACH請求消息或者TAU請求消息; 步驟303、 MME發(fā)送鑒權(quán)數(shù)據(jù)請求消息到HSS;
步驟304、 HSS根據(jù)自身存儲的用戶簽約信息檢測到用戶設(shè)備為SIM卡 用戶設(shè)備,若其上配置為允許SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò),貝'jHSS接收 到MME發(fā)送的鑒權(quán)數(shù)據(jù)請求消息后,則生成四元組AV;具體操作如下
HSS生成三元組AV、五元組AV和四元組AV,其中三元組AV包括{隨 才幾數(shù)(RAND),期望挑戰(zhàn)響應(yīng)(SRES ),加密密鑰(Kc)),五元組AV包括 {RAND,期望挑戰(zhàn)響應(yīng)(XRES),完整性密鑰(IK),加密密鑰(CK),鑒 權(quán)參數(shù)(AUTN) },四元組AV包括(RAND、鑒權(quán)參數(shù)(AUTN)、 XRES 和才艮密鑰(Kasme) }。圖4為本發(fā)明實施例的生成三元組AV、五元組AV和 四元組AV的示意圖,如圖4所示,包括
A) HSS首先生成SIM卡用戶設(shè)備的三元組AV(RAND, SRES, Kc},具 體步驟如下
3041a、 HSS先產(chǎn)生一個長度為16字節(jié)的隨機數(shù)RAND;3042a、以RAND、 SIM卡與HSS的共享密鑰Ki為輸入^ft,利用A3 算法生成長度為4個字節(jié)的期望挑戰(zhàn)響應(yīng)SRES=A3(Ki,RAND);
3043a、以RAND、 SIM卡與HSS的共享密鑰Ki為輸入^lt,利用A8 算法生成長度為8個字節(jié)的加密密鑰Kc= A8(Ki, RAND)。
B )HSS進一步根據(jù)三元組AV生成SIM卡用戶設(shè)備的五元組AV{RAND, XRES, IK, CK, AUTN},具體步驟如下
3041b、 HSS采用三元組AV中的RAND作為五元組AV中的RAND,且 產(chǎn)生一個長度為6個字節(jié)的系列號SQN;
3042b、根據(jù)Kc生成長度為16個字節(jié)的基礎(chǔ)密鑰K-Cl(Kc),其中,CI 為轉(zhuǎn)換函數(shù),且以參數(shù)K、 RAND、 SQN以及認證管理域(Authentication Management Field,簡稱AMF)為輸入,利用fl算法生成消息認證碼(Message Authentication Code,簡稱MAC) = fl(K, RAND, SQN, AMF);
例如計算K具體為K^8字節(jié)的0IIKc,或者K= Kc || 8字節(jié)的0,或者 K=Kc II Kc;
3043b、以K和RAND為輸入,利用f5算法生成認證密鑰(Authentication Key,簡稱AK) = f5(K, RAND);
3044b、生成鑒權(quán)參數(shù)AUTN-SQN十AKI1 AMF||MAC,此處AMF的 分離位置為0;
3045b、利用f3算法生成加密密鑰CK= f3(K, RAND),以及利用f4算法 生成完整性密鑰IK= f4(K, RAND);
另外,3045b中生成的IK和CK也可直4姿由Kc產(chǎn)生,例如利用c4算法 計算CK= c4(Kc II Kc),利用c5算法計算IK= c5(Kcl xor Kc2 || Kc || Kcl xor Kc2);
3046b、生成期望才兆戰(zhàn)響應(yīng)XRES= f2(K, RAND);
另夕卜,3046b中生成的XRES也可以直接才艮據(jù)A)中的SRES生成,例如 XRES= SRES II 12個字節(jié)的0,或者XRES= 12個字節(jié)的0 || SRES,或者XRES=SRES1 xor SRES2 || SRES || SRES1 xor SRES2 || SRES1 xor SRES2 ||SRES|| SRES1 xor SRES2,此處假設(shè)SRES= SRES1 || SRES2和SRESi都是2字節(jié)的。
該步驟304中的A)和B)還可以在步驟303之前完成,即三元組AV 和五元組AV可以預(yù)先生成。
C ) HSS進一步生成LTE網(wǎng)絡(luò)的用戶鑒權(quán)矢量四元組AV(RAND, AUTN, XRES,Kasme},具體步驟如下
3041c、參數(shù)RAND和XRES如B)中所得;
3042c、計算參數(shù)AUTN的方法和B )的3044b中計算AUTN的方法基 本相同,不同之處在于,此處的AMF的分離位置為1;
即,AUTN = SQN AK||AMF||MAC,此處AMF的分離位置為1。
3043c、根據(jù)B )中的IK和CK計算根密鑰(Kasme ),例如Kasme = KDF(IK, CK),此處KDF為密鑰衍生函數(shù)(Key Derivation Function )。
步驟305、 HSS向MME返回鑒權(quán)數(shù)據(jù)應(yīng)答消息,其中包含上述步驟304 中生成的四元組AV;
步驟306、當(dāng)MME接收到四元組AV時,該MME向SIM卡用戶設(shè)備發(fā) 送的用戶鑒權(quán)請求消息中攜帶四元組AV中的參數(shù)RAND和AUTN;
后續(xù)MME還可以才艮據(jù)四元組AV中的Kasme生成NAS加密密鑰 Knas—enc和NAS完整性4呆護密鑰Knas一int;例如Knas_enc=KDF(Kasme>。密 算法標(biāo)識),Knas—int-KDF(Kasme,完整性保護算法標(biāo)識),這里KDF為密鑰 衍生函數(shù)(Key Derivation Function),加密算法標(biāo)識為加密算法AES或者 SNOW 3G的標(biāo)識,完整性保護算法標(biāo)識為完整性保護算法AES或者SNOW 3G的標(biāo)識;
步驟307、 SIM卡用戶設(shè)備中的ME接收到MME發(fā)送的用戶鑒權(quán)請求消 息后,發(fā)現(xiàn)插入該ME的是SIM卡,則ME生成用戶端RES、用戶端IK和 用戶端CK,具體梯:作如下
3070、 ME檢查其接收到的AUTN中的AMF的分離位是否設(shè)置為1,如果不是,則返回給MME—個表示拒絕鑒權(quán)的響應(yīng)消息;該3070為一可選步 驟,即可以在此執(zhí)行,也可以不予以執(zhí)行;
3071、 ME把接收到的RAND發(fā)送給SIM卡;
3072、 SIM卡利用和在步驟304的3042a和3043a中HSS計算SRES和 Kc相同的算法,根據(jù)RAND和Ki來計算SRES和Kc,并且將Kc發(fā)送給 ME;可選地,SIM卡還可以將SRES發(fā)送給ME;
3073、 ME采取和步驟304的3042b中的HSS計算K相同的算法,根據(jù) Kc來計算K;
3074、 ME采取和步驟304的3045b中的HSS計算IK和CK相同的算法, 來計算IK和CK;并進一步采取和3043c中相同的算法計算出根密鑰Kasme; 后續(xù)ME可以采用和上述MME相同的方法,根據(jù)該根密鑰Kasme計算出對 應(yīng)的NAS加密密鑰Knas—enc和NAS完整性保護密鑰Knas—int;
3075、 ME采取和步驟303的3046b中的HSS計算XRES相同的算法, 來計算RES= G(K, RAND);當(dāng)需要用SRES來計算RES時,則3072中SIM 卡需要將SRES發(fā)送給ME,相應(yīng)地,計算方法可以為例如RES:SRESU 12 個字節(jié)的O,或者RES-12個字節(jié)的0HSRES,或者RES= SRES1 xor SRES2 II SRES II SRES1 xor SRES2 || SRES1 xor SRES2 ||SRES|| SRES1 xor SRES2,此 處假設(shè)SRES= SRES1 II SRES2和SRESi都是2字節(jié)的。
其中,可選地,在3073和3074之間還可以包括
307a、 ME采取和步驟304的3043b中的HSS計算AK相同的算法,利 用f5算法生成AK;
307b、 ME利用AUTN中的SQN④AK以及307a中生成的AK,來計算 SQN= (SQN十AK)十AK;
307c、 ME計算XMAO fl K(SQN || RAND || AMF);
307d、 ME將其計算的XMAC和參數(shù)AUTN中的MAC比較,如果不一 致,則返回給SGSN—個表示拒絕鑒權(quán)的響應(yīng)消息;和/或,ME檢查序列號SQN是否在一合適的范圍之內(nèi),如果不是,則發(fā)送一個同步失敗響應(yīng)消息給 SGSN。
需要說明的是,本步驟中SIM卡用戶設(shè)備采用的與網(wǎng)絡(luò)側(cè)相同的算法可 以通過預(yù)先協(xié)商的方式從網(wǎng)絡(luò)側(cè)獲得,具體的,可以從MME獲取上述算法。 步驟308、 SIM卡用戶設(shè)備向MME發(fā)送用戶鑒權(quán)響應(yīng)消息,其中攜帶有
RES;
步驟309、 MME通過比豐支RES和四元組AV中的XRES是否一致對SIM 卡用戶設(shè)備進行鑒權(quán),若RES和XRES—致,則鑒權(quán)成功;
步驟310、 MME向SIM卡用戶設(shè)備發(fā)送初始層3的NAS響應(yīng)消息,至 此SIM卡用戶設(shè)備可以接入到演進網(wǎng)絡(luò)中。
本實施例提供的SIM卡用戶i殳備接入演進網(wǎng)絡(luò)的方法,才艮據(jù)三元組AV 生成五元組AV,才艮據(jù)五元組AV生成LTE網(wǎng)絡(luò)中對用戶進行鑒權(quán)的四元組 AV,使得使用SIM卡的UE也能夠接入到LTE網(wǎng)絡(luò)中,保證了 SIM卡用戶 設(shè)備接入演進網(wǎng)絡(luò)的安全性。
需要說明的是,本實施例為SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法,網(wǎng)絡(luò) 側(cè)和SIM卡用戶設(shè)備都保存有SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)時得到的參數(shù), 當(dāng)SIM用戶設(shè)備接入演進網(wǎng)絡(luò)后還可以基于本實施例進行后續(xù)的切換流程, 從而使得上述^i:可以應(yīng)用在后續(xù)實施例中。
圖5為本發(fā)明實施例的SIM卡用戶設(shè)備移動到演進網(wǎng)絡(luò)的方法的流程示 意圖,該移動包括空閑態(tài)移動和/或切換。在本實施例中,2G/3G網(wǎng)絡(luò)中的 源核心網(wǎng)為服務(wù)GPRS支持節(jié)點(SGSN),演進網(wǎng)絡(luò)中的目標(biāo)核心網(wǎng)i殳備為 MME;本實施例主要針對UE從2G/3G網(wǎng)絡(luò)切換到演進網(wǎng)絡(luò)或是UE從2G/3G 網(wǎng)絡(luò)空閑態(tài)移動到演進網(wǎng)絡(luò)的方法。如圖5所示,包括如下步驟
步驟501、 MME接收SGSN發(fā)送的攜帶有三元組鑒權(quán)矢量AV中的加密 密鑰、或五元組AV中的加密密鑰和完整性保護密鑰的消息,并根據(jù)接收到 的密鑰生成非接入信令NAS加密密鑰和NAS完整性保護密鑰;步驟502、 SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消息后, 才艮據(jù)所述SIM卡用戶i殳備中三元組AV中的加密密鑰生成NAS加密密鑰和 NAS完整性保護密鑰;
步驟503 、所述MME和所述SIM卡用戶設(shè)備采用各自生成的NAS加密 密鑰和NAS完整性保護密鑰進行信令保護。
具體的,步驟501中,MME根據(jù)接收到的所述三元組鑒權(quán)矢量AV中的 加密密鑰生成五元組AV中的加密密鑰和完整性保護密鑰,并進一步才艮據(jù)五 元組AV中的加密密鑰和完整性保護密鑰生成根密鑰Kasme,然后根據(jù)根密 鑰Kasme生成非接入信令NAS加密密鑰和NAS完整性保護密鑰;或,MME 根據(jù)接收到的五元組AV中的加密密鑰和完整性保護密鑰生成根密鑰Kasme, 然后根據(jù)根密鑰Kasme生成非接入信令NAS加密密鑰和NAS完整性保護密 鑰;
步驟502中,SIM卡用戶設(shè)備根據(jù)自身保存的三元組AV中的加密密鑰 生成五元組AV中的加密密鑰和完整性保護密鑰,并進一步#4居五元組AV中 的加密密鑰和完整性保護密鑰生成根密鑰Kasme,然后根據(jù)根密鑰Kasme生 成非接入信令NAS加密密鑰和NAS完整性保護密鑰。
本實施例提供的SIM卡用戶設(shè)備移動到演進網(wǎng)絡(luò)時的方法,實現(xiàn)了 SIM 卡用戶設(shè)備從2G/3G網(wǎng)絡(luò)到演進網(wǎng)絡(luò)的移動,且保證了移動過程中的安全性。
下面通過兩個具體實施例分別描述SIM卡用戶設(shè)備從2G/3G網(wǎng)絡(luò)切換到 演進網(wǎng)絡(luò)時SIM卡用戶設(shè)備的方法、SIM卡用戶設(shè)備從2G/3G網(wǎng)絡(luò)空閑態(tài)移 動到演進網(wǎng)絡(luò)時SIM卡用戶i殳備的方法。
圖6為本發(fā)明實施例的SIM卡用戶i殳備從GERAN/UTRAN切換到 EUTRAN的方法的信令流程示意圖。在現(xiàn)有的方案中,當(dāng)EUTRAN網(wǎng)絡(luò)中 的MME接收到GERAN/UTRAN網(wǎng)絡(luò)中的SGSN的轉(zhuǎn)發(fā)重定向請求(Forward Relocation R叫uest,簡稱FRR)消息時,檢查該FRR消息中的移動性管理上 下文(Mobile Management context)參數(shù),如果該移動性管理上下文參數(shù)中包括SIM卡用戶設(shè)備的三元組AV中的加密密鑰Kc,則MME發(fā)送一表示拒絕 SIM卡用戶設(shè)備從GERAN/UTRAN切換到EUTRAN的響應(yīng)消息。而本實施 例中,可以實現(xiàn)SIM卡用戶設(shè)備從GERAN/UTRAN到EUTRAN的切換,如 圖6所示,該SIM卡用戶設(shè)備從GERAN/UTRAN切換到EUTRAN的方法的 流程包括如下步驟
步驟601、源無線網(wǎng)絡(luò)控制器(Radio Network Controller,簡稱RNC)或 源基站子系統(tǒng)(Base Station Subsystem,簡稱BSS )發(fā)送重定向請求(Relocation Request)消息到源SGSN;
步驟602、若在SIM卡用戶i殳備接入2G/3G網(wǎng)絡(luò)時的鑒;^又過程中,源 SGSN從HSS中獲得的為三元組AV,則該源SGSN發(fā)送FRR消息到目標(biāo) MME時,其中攜帶有SIM卡用戶設(shè)備的三元組AV中的加密密鑰Kc;
該步驟602還可以為源SGSN發(fā)送FRR消息到目標(biāo)MME,其中在FRR 消息中攜帶計算得到的、未使用的三元組AV,其中包括Kc;或者
該步驟602還可以為源SGSN根據(jù)三元組AV中的加密密鑰Kc計算得 到五元組AV中的加密密鑰CK和完整性保護密鑰IK,然后發(fā)送攜帶五元組 AV中的加密密鑰CK和完整性保護密鑰IK的FRR消息到目標(biāo)MME;
該步驟602還可以為若在SIM卡用戶i殳備接入2G/3G網(wǎng)絡(luò)時的鑒4又過 程中,源SGSN從HSS中獲得的為五元組AV,則該源SGSN發(fā)送FRR消息 到目標(biāo)MME時,其中攜帶有SIM卡用戶i殳備的五元組AV中的CK和IK;
步驟603、目標(biāo)MME根據(jù)該加密密鑰Kc判斷請求切換的用戶是SIM卡 用戶設(shè)備,若在目標(biāo)MME上配置允許SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò),則生 成臨時密鑰(Kenb)、 NAS信令加密密鑰(Knas—enc)和NAS信令完整性保 護密鑰(Knas_int);
具體包括若在步驟602中源SGSN發(fā)送的FRR消息中攜帶的為三元組 AV中的加密密鑰Kc,則目標(biāo)MME根據(jù)Kc推導(dǎo)加密密鑰CK和完整性保護 密鑰IK,例如根據(jù)c4算法計算CK^c4(Kc || Kc),利用c5算法計算IK^ c5(Kclxor Kc2 II Kc II Kcl xor Kc2);再根據(jù)得到的IK和CK推導(dǎo)出根密鑰Kasme; 根據(jù)Kasme推導(dǎo)出臨時密鑰Kenb、 NAS信令加密密鑰Knas一enc和NAS信 令完整性保護密鑰Knas—int。
或者,若在步驟602中源SGSN發(fā)送的FRR消息中攜帶的為五元組AV 中的加密密鑰CK和完整性保護密鑰IK,則步驟603為目標(biāo)MME根據(jù)得到 的IK和CK推導(dǎo)出根密鑰Kasme;根據(jù)Kasme推導(dǎo)出臨時密鑰Kenb、 NAS 信令加密密鑰Knas—enc和NAS信令完整性保護密鑰Knas一int。
步驟604、目標(biāo)MME發(fā)送切換請求(Handover R叫uest )消息到目標(biāo)eNB, 其中攜帶有參數(shù)Kenb;
步驟605、目標(biāo)eNB根據(jù)參數(shù)Kenb計算RRC信令完整性保護密鑰 (Krrc—int)、 RRC信令加密密鑰(Krrc—enc )以及用戶面信令加密密鑰 (Kup—enc》,
步驟606、目標(biāo)eNB發(fā)送切換請求響應(yīng)(Handover Request Ack)消息給 目標(biāo)MME;
步驟6(V7、目標(biāo)MME發(fā)送轉(zhuǎn)發(fā)重定向響應(yīng)(Forward Relocation Response) 消息至源SGSN;
步驟608、源SGSN發(fā)送重定向命令(Relocation Command)消息至源 BTS願C;
步驟609、源RNC或源BSS發(fā)送切換命令(Handover Command)至SIM 卡用戶設(shè)備,其中該SIM卡用戶設(shè)備包括有ME和SIM卡;
610、 ME發(fā)現(xiàn)其插入的是SIM卡,則根據(jù)Kc推導(dǎo)加密密鑰CK和完整 性保護密鑰IK,例如根據(jù)c4算法計算CK-c4(KcllKc),利用c5算法計算 IK= c5(Kcl xor Kc2 || Kc || Kcl xor Kc2);再根據(jù)得到的IK和CK推導(dǎo)出根密 鑰Kasme;根據(jù)Kasme推導(dǎo)出臨時密鑰Kenb、 NAS信令加密密鑰Knas—enc 和NAS信令完整性保護密鑰Knas—int,并根據(jù)參數(shù)Kenb計算RRC信令完整 性保護密鑰(Krrc—int )、 RRC信令加密密鑰(Krrc—enc )以及用戶面信令加
26密密鑰(Kup_enc);
步驟611、在完成上述的密鑰處理流程后,繼續(xù)后面的SIM卡用戶設(shè)備 到EUTRAN的切換過程,其中,MME和SIM卡用戶設(shè)備之間的信令交互 需要采用Knas—enc和Knas一int進行保護,SIM卡用戶設(shè)備和目標(biāo)eNB之間 的信令交互需要采用Krrc—int、 Krrc—enc和Kup—enc進行保護。
本實施例提供的SIM卡用戶設(shè)備從GERAN/UTRAN切換到EUTRAN的 方法,實現(xiàn)了 SIM卡用戶設(shè)備從GERAN/UTRAN到EUTRAN的切換,且保 證了切換過程中的安全性。
圖7為本發(fā)明實施例的SIM卡用戶設(shè)備從GERAN/UTRAN空閑態(tài)移動 到EUTRAN的方法的信令流程示意圖。如圖7所示,包括如下步驟
步驟701 、 SIM卡用戶設(shè)備發(fā)送跟蹤區(qū)域更新(TAU)消息到目標(biāo)MME;
步驟702、目標(biāo)MME發(fā)送上下文請求消息(context request)到源SGSN;
步驟703、若在SIM卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)時的鑒權(quán)過程中,源 SGSN從HSS中獲得的為三元組AV,則該源SGSN發(fā)送上下文響應(yīng)消息到 目標(biāo)MME時,其中攜帶有SIM卡用戶的三元組AV中的加密密鑰Kc;
該步驟703還可以為源SGSN發(fā)送上下文響應(yīng)消息到目標(biāo)MME,其中 攜帶未使用的三元組AV,其中包括Kc;或者
該步驟703還可以為源SGSN根據(jù)三元組AV中的加密密鑰Kc計算得 到五元組AV中的加密密鑰CK和完整性保護密鑰IK,然后發(fā)送攜帶五元組 AV中的加密密鑰CK和完整性保護密鑰IK的上下文響應(yīng)消息到目標(biāo)MME;
該步驟703還可以為若在SIM卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)時的鑒權(quán)過 程中,源SGSN從HSS中獲得的為五元組AV,則該源SGSN發(fā)送上下文響 應(yīng)消息到目標(biāo)MME時,其中攜帶有SIM卡用戶的五元組AV中的CK和IK;
步驟704、目標(biāo)MME根據(jù)加密密鑰Kc判斷是SIM卡用戶設(shè)備,若在目 標(biāo)MME上配置允許該SIM卡用戶設(shè)備接入LTE網(wǎng)絡(luò),則生成Knas一enc和 Knas—int 5具體包括若在步驟703中源SGSN發(fā)送的上下文響應(yīng)消息中攜帶的為 三元組AV中的加密密鑰Kc,則目標(biāo)MME根據(jù)Kc生成加密密鑰CK,完整 性保護密鑰IK,例如根據(jù)c4算法計算CK^c4(KcllKc),利用c5算法計算 IK= c5(Kcl xor Kc2 || Kc || Kcl xor Kc2);再根據(jù)IK和CK生成出根密鑰 Kasme;根據(jù)Kasme生成出NAS信令加密密鑰Knas—enc和NAS信令完整性 保護密鑰Knas—int。
或者,若在步驟703中源SGSN發(fā)送的上下文響應(yīng)消息中攜帶的為五元 組AV中的加密密鑰CK和完整性保護密鑰IK,則步驟704為目標(biāo)MME根 據(jù)IK和CK生成出根密鑰Kasme;根據(jù)Kasme生成出NAS信令加密密鑰 Knas—enc和NAS信令完整性保護密鑰Knas—int。
步驟705、目標(biāo)MME發(fā)送跟蹤區(qū)域接收消息到SIM卡用戶設(shè)備,其中 該SIM卡用戶設(shè)備包括有ME和SIM卡;
步驟706、 ME發(fā)現(xiàn)其插入的是SIM卡,則才艮據(jù)共享密鑰Ki計算Kc,再 根據(jù)Kc生成加密密鑰CK,完整性保護密鑰IK,例如根據(jù)c4算法計算CK= c4(Kc II Kc),利用c5算法計算IK= c5(Kcl xor Kc2 || Kc || Kcl xor Kc2);再根 據(jù)IK和CK生成出根密鑰Kasme;根據(jù)Kasme生成出NAS信令加密密鑰 Knas—enc和NAS j言令完整性j呆護密鑰Knas—int;
步驟707、在完成上述的密鑰處理流程后,繼續(xù)后面的SIM卡用戶設(shè)備 到EUTRAN的空閑態(tài)移動過程,其中,MME和SIM卡用戶設(shè)備之間的信 令交互需要采用Knas—enc和Knas一int進行保護。
本實施例提供的SIM卡用戶;殳備/人GERAN/UTRAN空閑態(tài)移動到 EUTRAN的方法,實現(xiàn)了 SIM卡用戶設(shè)備在非工作狀態(tài)下,從 GERAN/UTRAN移動到EUTRAN的過程,且保證了空閑態(tài)移動過程中的安 全性。
圖8為本發(fā)明實施例的SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)移出的方法的流程示 意圖,該移出包括空閑態(tài)移出和/或切換。在本實施例中,演進網(wǎng)絡(luò)中的源核心網(wǎng)設(shè)備為MME, 2G/3G網(wǎng)絡(luò)中的目標(biāo)核心網(wǎng)為SGSN;本實施例主要針對 UE從演進網(wǎng)絡(luò)切換到2G/3G網(wǎng)絡(luò)或是UE從演進網(wǎng)絡(luò)空閑態(tài)移動到2G/3G 網(wǎng)絡(luò)時的方法。如圖8所示,包括如下步驟
步驟801、移動管理實體MME根據(jù)四元組鑒權(quán)矢量AV中的才艮密鑰生成 五元組AV中的加密密鑰和完整性保護密鑰、或三元組AV中的加密密鑰;
步驟802、所述MME將包含所述五元組AV中的加密密鑰和完整性保護 密鑰、或所述三元組AV中的加密密鑰的消息發(fā)送給服務(wù)GPRS支持節(jié)點 SGSN;
步驟803 、所述SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消 息后,根據(jù)四元組AV中的根密鑰生成五元組AV中的加密密鑰和完整性保護 密鑰、或三元組AV中的加密密鑰;
步驟804、 SIM卡用戶設(shè)備和網(wǎng)絡(luò)側(cè)設(shè)備之間的信令交互采用上述密鑰 進行保護,具體地,所述SIM卡用戶設(shè)備根據(jù)自身生成的五元組AV中的加 密密鑰和完整性保護密鑰、或三元組AV中的加密密鑰對發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備 的信令進行保護,所述網(wǎng)絡(luò)側(cè)設(shè)備才艮據(jù)所述MME生成的五元組AV中的加密 密鑰和完整性保護密鑰、或三元組AV中的加密密鑰對發(fā)送給所述SIM卡用 戶設(shè)備的信令進行保護。
在該步驟804中,SGSN連接的無線接入網(wǎng)可能是2G網(wǎng)絡(luò),也可能是 3G網(wǎng)絡(luò),若是2G網(wǎng)絡(luò),則所述網(wǎng)絡(luò)側(cè)設(shè)備為SGSN, SGSN和SIM卡用戶 設(shè)備之間的信令交互直接采用從MME直接獲得的三元組AV中的加密密鑰, 或者從MME獲得的五元組AV中的加密密鑰和完整性保護密鑰推導(dǎo)得到的三 元組AV中的加密密鑰進行保護。若是3G網(wǎng)絡(luò),所述網(wǎng)絡(luò)側(cè)設(shè)備為RNC, 則SGSN將從MME直接獲得的五元組AV中的加密密鑰和完整性保護密鑰、 或者從MME獲得的由三元組AV中的加密密鑰生成的五元組AV中的加密密 鑰和完整性保護密鑰發(fā)給RNC,用于保護UE和RNC之間的信令安全。
本實施例提供的SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)移出的方法,實現(xiàn)了 SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)到2G/3G網(wǎng)絡(luò)的移動,且保證了移動過程中的安全性。
下面通過兩個具體實施例分別描述SIM卡用戶設(shè)備/人演進網(wǎng)絡(luò)切換到 2G/3G網(wǎng)絡(luò)時SIM卡用戶設(shè)備的方法、SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)空閑態(tài)移 動到2G/3G網(wǎng)絡(luò)時SIM卡用戶設(shè)備的方法。
圖9為本發(fā)明實施例的SIM卡用戶i殳備/人EUTRAN切換到 GERAN/UTRAN的方法的信令流程示意圖。如圖9所示,包括如下步驟
步驟901 、源eNB發(fā)送切換請求(Handover Request)消息到源MME;
步驟902、源MME推導(dǎo)出五元組AV中的加密密鑰CK,和完整性保護密 鑰IK,,或源MME推導(dǎo)出五元組AV中的加密密鑰CK,和完整性保護密鑰IK,, 再進一步才艮據(jù)IK,,CK,推導(dǎo)出三元組AV中的加密密鑰Kc,,以及密鑰索引號 KSI,;
具體地,源MME才艮據(jù)四元組AV中的Kasme推導(dǎo)五元組AV中的完整 性保護密鑰IK,和加密密鑰CK,,還可以再才艮據(jù)IK,和CK,推導(dǎo)出三元組AV 中的加密密鑰Kc,;例如根據(jù)c3算法計算Kc^c3(CKlxorCK2xorlKlxor IK2),其中假設(shè)CKi和IKi都是64位且CK= CK1 || CK2, IK= IK1 || IK2;根 據(jù)演進的密鑰索引號eKSI推導(dǎo)得到KSI,,例如KSI,= eKSI的值域(Value field)部分,此處eKSI共4個位bit,由一個位bit的索引類型以及3個位的 值域組成。
步驟903、源MME發(fā)送轉(zhuǎn)發(fā)重定位請求消息到目標(biāo)SGSN,其中攜帶有 Kc,和KSI',或是IK,、 CK,和KSI,;
在該步驟903中,也可以在轉(zhuǎn)發(fā)重定位請求消息中攜帶之前保存在MME 中的三元組AV;
步驟904、
如果目標(biāo)網(wǎng)絡(luò)是2G,貝'J:
如果目標(biāo)SGSN接收到的是Kc,和KSI,,則該目標(biāo)SGSN用該Kc,和KSI, 替換先前保存的Kc和KSI;如果目標(biāo)SGSN接收到的是IK,、 CK,和KSI,,則目標(biāo)SGSN根據(jù)IK,和 CK,進一步推導(dǎo)出三元組AV中的加密密鑰Kc,,例如才艮據(jù)c3算法計算Kc,-c3(CKl xor CK2 xor IK1 xor IK2),其中假設(shè)CKi和IKi都是64位且CK= CK1 II CK2, IK= IKI IIIK2,然后可以用該Kc,和KSI,替換先前保存的Kc和KSI。
如果目標(biāo)網(wǎng)絡(luò)是3G,貝寸
如果目標(biāo)SGSN接收到的是Kc,和KSI,,則該目標(biāo)SGSN根據(jù)Kc,進一 步計算出5元組AV中的完整性保護密鑰IK,和加密密鑰CK,,例如根據(jù)c4算 法計算CK, = Kc II Kc,例如c5算法計算IK, = Kcl xor Kc2 || Kc || Kcl xor Kc2, 這里Kcl和Kc2都是32位,并且Kc = Kcl || Kc2。
如果目標(biāo)SGSN接收到的是IK,、 CK,和KSr,則繼續(xù)步驟905的處理。 步驟905、目標(biāo)SGSN發(fā)送重定向請求消息或者切換請求消息到目標(biāo)RNC 或者目標(biāo)BSS;
如果目標(biāo)網(wǎng)絡(luò)是3G,目標(biāo)SGSN還要把步驟904中的IK,和CK,,KSI,發(fā) 送給RNC。目標(biāo)RNC用收到的IK,,CK,,KSI,替換到以前保存的 IK,CK,KSI。
步驟906、目標(biāo)RNC或者目標(biāo)BSS返回重定向請求響應(yīng)消息或者切換請 求響應(yīng)消息至目標(biāo)SGSN;
步驟907、目標(biāo)SGSN發(fā)送轉(zhuǎn)發(fā)重定向響應(yīng)消息至源MME; 步驟908、源MME發(fā)送切換命令消息至源eNB;
步驟909、源eNB發(fā)送切換命令至SIM卡用戶設(shè)備,該SIM卡用戶設(shè)備 包括ME和SIM卡;
步驟910、 ME發(fā)現(xiàn)其插入的是SIM卡,則ME可以4艮據(jù)四元組AV中的 Kasme推導(dǎo)五元組AV中的完整性保護密鑰IK,和加密密鑰CK,,還可以進一 步根據(jù)IK,和CK,推導(dǎo)出三元組AV中的加密密鑰Kc,;還可以用IK,、 CK, 和KSI,替換之前保存的IK、 CK和KSI,或是用Kc,替換之前保存的Kc和 KSI,并且ME將初始值(START)清0,該初始值用于防止重放攻擊;
31步驟911、在完成上述的密鑰處理流程后,繼續(xù)后面的SIM卡用戶設(shè)備 到GERAN/UTRAN的切換過程,其中,對于2G網(wǎng)絡(luò),SGSN和SIM卡用戶 設(shè)備之間的信令交互需要釆用Kc,進行保護。對于3G網(wǎng)絡(luò),SIM卡用戶設(shè) 備和RNC之間的信令用IK,,CK,進行保護。
本實施例提供的SIM卡用戶設(shè)備從EUTRAN切換到GERAN/UTRAN的 方法,實現(xiàn)了 SIM卡用戶設(shè)備從EUTRAN到GERAN/UTRAN的切換,且保 證了切換過程中的安全性。
圖10為本發(fā)明實施例的SIM卡用戶i殳備A人EUTRAN空閑態(tài)移動到 GERAN/UTRAN的方法的信令流程示意圖。如圖10所示,包括如下步驟
步驟1001 、 SIM卡用戶設(shè)備發(fā)送路由區(qū)域更新(RAU)請求消息到目標(biāo) SGSN;
步驟1002、目標(biāo)SGSN發(fā)送上下文請求消息到源MME;
步驟1003、源MME根據(jù)四元組AV中的根密鑰Kasme推導(dǎo)出五元組中 的完整性保護密鑰IK,和加密密鑰CK,,還可以再才艮據(jù)IK,和CK,推導(dǎo)出Kc,; 例如根據(jù)c3算法計算Kc,= c3(CKl xor CK2 xor IKl xor IK2),其中假設(shè)CKi 和IKi都是64位且CK= CKI || CK2, IK= IKl || IK2;根據(jù)演進的密鑰索引號 eKSI推導(dǎo)得到KSI',例如KSI,= eKSI的值域部分。
步驟1004、源MME發(fā)送上下文響應(yīng)消息至目標(biāo)SGSN,其中攜帶有Kc, 和KSI',或是IK,、 CK,和KSI,;
在該步驟1004中,也可以在上下文響應(yīng)消息中攜帶之前保存的、SGSN 對應(yīng)的三元組AV,其中包括步驟1003計算得到的Kc,,這里的三元組AV中 的其他兩個參數(shù)是之前同一個SGSN發(fā)送給該源MME的。
步驟1005、
如果目標(biāo)網(wǎng)絡(luò)是2G,貝'J:
如果目標(biāo)SGSN接收到的是Kc,和KSI,,則該目標(biāo)SGSN用該Kc,和KSI, 替換先前保存的Kc和KSI;如果目標(biāo)SGSN接收到的是IK, 、 CK,和KSI,,則目標(biāo)SGSN根據(jù)IK,和 CK,推導(dǎo)出三元組AV中的加密密鑰Kc,,例如才艮據(jù)c3算法計算Kc^ c3(CKl xor CK2 xor IK1 xor IK2),其中假設(shè)CKi和IKi都是64位且CK= CK1 || CK2, IK= IKI IIIK2,然后可以用該Kc,和KSI,替換先前保存的Kc和KSI。
如果目標(biāo)網(wǎng)絡(luò)是3G,貝'J:
如果目標(biāo)SGSN接收到的是Kc,和KSI,,則該目標(biāo)SGSN根據(jù)Kc,進一 步計算出5元組AV中的完整性保護密鑰IK,和加密密鑰CK,,例如才艮據(jù)c4算 法計算CK, = Kc II Kc,例如c5算法計算IK, = Kcl xor Kc2 || Kc || Kcl xor Kc2, 這里Kcl和Kc2都是32位,并且Kc = Kcl || Kc2。
如果目標(biāo)SGSN接收到的是IK,、 CK,和KSr,則繼續(xù)步驟1006的處理。
步驟1006、目標(biāo)SGSN發(fā)送路由區(qū)域更新響應(yīng)消息到SIM卡用戶設(shè)備, 該SIM卡用戶設(shè)備包括ME和SIM卡;
如果目標(biāo)網(wǎng)絡(luò)是3G,該過程中還包括目標(biāo)SGSN還要把前面步驟1005 中的IK,和CK,,KSI,發(fā)送給RNC。目標(biāo)RNC用收到的IK,,CK,,KSI,替換到以 前保存的IK,CK,KSI。
步驟1007、 ME發(fā)現(xiàn)其插入的是SIM卡,則ME可以根據(jù)四元組AV中 的Kasme推導(dǎo)五元組AV中的完整性保護密鑰IK,和加密密鑰CK,,還可以進 一步才艮據(jù)IK,和CK,推導(dǎo)出三元組AV中的加密密鑰Kc,;還可以用IK,、 CK, 和KSI,替換之前保存的IK、 CK和KSI,或是用Kc,和KSI,替換之前保存的 Kc和KSI,并且ME將初始值START清0;
步驟1008、在完成上述的密鑰處理流程后,繼續(xù)后面的SIM卡用戶設(shè)備 到GERAN/UTRAN的空閑態(tài)移動過程,其中,對于2G網(wǎng)絡(luò),SGSN和SIM 卡用戶設(shè)備之間的信令交互需要采用Kc,進行保護。對于3G網(wǎng)絡(luò),SGSN需 要把IK,、 CK,發(fā)送給對應(yīng)的RNC, UE和RNC之間的信令采用IK,,CK,進行 保護。
本實施例提供的SIM卡用戶設(shè)備/人EUTRAN空閑態(tài)移動到GERAN/UTRAN的方法,實現(xiàn)了 SIM卡用戶設(shè)備在非工作狀態(tài)下,從 EUTRAN移動到GERAN/UTRAN的過程,且保證了空閑態(tài)移動過程中的安 全性。
圖11為本發(fā)明實施例的SIM卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)的方法的信令 流程圖。其中參見圖1, 2G/3G網(wǎng)絡(luò)的核心網(wǎng)為SGSN。如圖11所示,該SIM 卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)的方法包括如下步驟
步驟1101、 SGSN接收到SIM卡用戶設(shè)備發(fā)來的初始層3的NAS消息;
該NAS消息具體可以為附著請求(ATTACH request)消息或者if各由區(qū) 域更新請求(RAUrequest)消息;
步驟1102、 SGSN發(fā)送鑒權(quán)數(shù)據(jù)請求消息到HSS;
步驟1103、 HSS接收到SGSN發(fā)送的鑒權(quán)數(shù)據(jù)請求消息后,若4企測到為 SIM卡用戶設(shè)備,則生成三元組AV或五元組AV;具體操作如下
其中三元組AV包括(隨機數(shù)(RAND),期望才兆戰(zhàn)響應(yīng)(SRES),密鑰 (Kc) },五元組AV包括{RAND,期望挑戰(zhàn)響應(yīng)(XRES),完整性 密鑰(IK),加密密鑰(CK),鑒權(quán)參數(shù)(AUTN) }。參考圖4,包括
A) HSS首先生成SIM卡用戶設(shè)備的三元組AV(RAND, SRES,Kc},具 體步驟如下
11031a、 HSS先產(chǎn)生一個長度為16字節(jié)的隨才幾數(shù)RAND;
U032a、以RAND、 SIM卡與HSS的共享密鑰Ki為輸入?yún)?shù),利用A3 算法生成長度為4個字節(jié)的期望才先戰(zhàn)響應(yīng)SRES=A3(Ki,RAND);
11033a、以RAND、 SIM卡與HSS的共享密鑰Ki為輸入?yún)?shù),利用A8 算法生成長度為8個字節(jié)的密鑰參數(shù)Kc-A8(Ki,RAND)。
B )HSS進一步根據(jù)三元組AV生成SIM卡用戶設(shè)備的五元組AV(RAND, XRES,IK,CK,AUTN},具體步驟如下
11031b、 HSS采用三元組AV中的RAND作為五元組AV中的RAND, 且產(chǎn)生一個長度為6個字節(jié)的系列號SQN;U032b、根據(jù)Kc生成長度為16個字節(jié)的基礎(chǔ)密鑰K^ Cl(Kc),其中, Cl為轉(zhuǎn)換函數(shù),且以參數(shù)K、 RAND、 SQN以及認證管理域(Authentication Management Field,簡稱AMF)為輸入,利用fl算法生成消息認證碼(Message Authentication Code ,簡稱MAC ) = fl (K, RAND, SQN, AMF);
例如計算K具體為K^8字節(jié)的0liKc,或者K= Kc || 8字節(jié)的0,或者 K=Kc II Kc;
11033b、以K、 RAND為輸入,利用f5算法生成認證密鑰(Authentication Key,簡稱AK) = f5(K, RAND);
11034b、生成鑒權(quán)參數(shù)AUTN-SQN④AKIIAMFIIMAC,此處AMF的 分離位置為0;
11035b、利用f3算法生成加密密鑰CK=f3(K,RAND),以及利用f4算法 生成完整性密鑰IK= f4(K, RAND);
另夕卜,11035b中生成的IK和CK也可直接由Kc產(chǎn)生,例如利用c4算 法計算CK= c4(Kc II Kc),利用c5算法計算IK= c5(Kcl xor Kc2 || Kc || Kcl xor Kc2);
11(B6b、生成期望才兆戰(zhàn)響應(yīng)XRES= f2(K, RAND);
另外,11036b中生成的XRES也可以直接根據(jù)A)中的SRES生成,例 如XRES-SRESH 12個字節(jié)的0,或者XRES= 12個字節(jié)的0 || SRES,或者 XRES= SRESl xor SRES2 || SRES || SRESl xor SRES2 || SRESl xor SRES2 ||SRES|| SRESl xor SRES2,此處假設(shè)SRES= SRESl || SRES2和SRESi都是2
字節(jié)的。
該步驟1103中的A)和B)還可以在步驟1102之前完成,即三元組AV 和五元組AV可以預(yù)先生成。
步驟1104、HSS向SGSN返回鑒權(quán)數(shù)據(jù)應(yīng)答消息,其中包含上述步驟1103 中生成的三元組AV{RAND, SRES, Kc》或者五元組AV{RAND, XRES, IK, CK: AUTN};具體地,HSS上對于不同的SGSN可以配置為發(fā)送三元組AV或者五元 組AV,例如可以根據(jù)SGSN所在網(wǎng)絡(luò)的網(wǎng)絡(luò)標(biāo)識進行配置;當(dāng)配置為發(fā)送三 元組AV的時候,則不需要進行上面的B )中計算五元組AV鑒權(quán)矢量的操作。
步驟1105、當(dāng)SGSN接收到的為五元組AV時,該SGSN向SIM卡用戶 設(shè)備發(fā)送的用戶鑒權(quán)請求消息中攜帶參數(shù)RAND和AUTN;
對于SGSN接收三元組AV的情況,與現(xiàn)有技術(shù)相同,對SIM卡用戶設(shè) 備和HSS上的鑒權(quán)參數(shù)沒有影響。
步驟1106、 SIM卡用戶設(shè)備中的ME接收到SGSN發(fā)送的用戶鑒權(quán)請求 消息后,發(fā)現(xiàn)插入ME的是SIM卡,則ME生成對應(yīng)的三元組AV或五元組 AV,其中,
A) 生成三元組AV的具體操作如下
11061、 ME把接收到的RAND發(fā)送給SIM卡;
11062、 SIM卡利用和在步驟1103的11032a和11033a中HSS計算SRES 和Kc相同的算法,根據(jù)RAND和Ki來計算SRES和Kc,并且將Kc發(fā)送給 ME;可選地,SIM卡還可以將SRES發(fā)送給ME, ME將SRES作為用戶端 才兆戰(zhàn)響應(yīng)RES;
B) 若需要ME生成五元組AV,則生成五元組AV的進一步操作如下
11063、 ME采取和步驟1103的11032b中的HSS計算K相同的算法,根 據(jù)Kc來計算K;
11064、 ME采取和步驟1103的11035b中的HSS計算IK和CK相同的 算法,來計算IK和CK;
11065、 ME采取和步驟1103的11036b中的HSS計算XRES相同的算法, 來計算RES= G(K, RAND);當(dāng)需要用SRES來計算RES時,貝'j 11062中SIM 卡需要將SRES發(fā)送給ME。
其中,可選地,在11063和11064之間還可以包括
1106a、 ME采取和步驟1103的11033b中的HSS計算AK相同的算法,
36利用f5算法生成AK;
U06b、 ME利用AUTN中的SQN④AK以及1106a中生成的AK,來計 算SQN= (SQN十AK)十AK;
1106c、 ME計算期望的消息認證碼(expected Authentication Code,筒稱 XMAC ) = fl K(SQN II RAND || AMF);
1106d、 ME將其計算的XMAC和參數(shù)AUTN中的MAC比較,如果不 一致,則返回給SGSN—個表示拒絕鑒權(quán)的響應(yīng)消息;和/或ME檢查序列號 SQN是否在一合適的范圍之內(nèi),如果不是,則發(fā)送一個同步失敗響應(yīng)消息給 SGSN。
步驟1107、 SIM卡用戶設(shè)備向SGSN發(fā)送用戶鑒權(quán)響應(yīng)消息,其中攜帶 有挑戰(zhàn)響應(yīng)RES;
步驟1108、 SGSN通過比較RES和從HSS獲得的SRES或XRES是否一 致對UE進行鑒權(quán),若兩者一致,則鑒權(quán)成功;
步驟1109、 SGSN向UE發(fā)送初始層3的NAS響應(yīng)消息,至此SIM卡 用戶設(shè)備可以接入到2G/3G網(wǎng)絡(luò)中。
本實施例提供的SIM卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)的方法,將現(xiàn)有的SIM
鑒權(quán)來接入3G網(wǎng)絡(luò)相結(jié)合,重新構(gòu)造一種才艮據(jù)三元組AV產(chǎn)生的五元組AV, 使得使用SIM卡的UE既可以接入2G網(wǎng)絡(luò)又可以接入3G網(wǎng)絡(luò),保證了 SIM 卡用戶設(shè)備接入2G/3G網(wǎng)絡(luò)的安全性。
圖12為本發(fā)明實施例的移動管理實體的結(jié)構(gòu)示意圖。如圖12所示,該 移動管理實體(MME)包括第一接收模塊121、第二接收模塊122、鑒權(quán) 模塊123和第一發(fā)送模塊124。其中,第一接收模塊121用于接收歸屬用戶 服務(wù)器HSS生成的與SIM卡用戶i殳備對應(yīng)的四元組鑒權(quán)矢量AV,所述四元 組AV包括隨機數(shù)和期望挑戰(zhàn)響應(yīng);第一發(fā)送模塊124,用于向所述SIM卡 用戶設(shè)備發(fā)送鑒權(quán)請求消息,所述鑒權(quán)請求消息中包括所述四元組AV中的隨機數(shù);第二接收模塊122用于接收SIM卡用戶設(shè)備根據(jù)四元組AV中的隨 機數(shù)生成的用戶端挑戰(zhàn)響應(yīng);鑒權(quán)模塊123用于比較鑒權(quán)第一接收模塊121 接收到的四元組AV中的期望挑戰(zhàn)響應(yīng)和第二接收沖莫塊122接收到的用戶端 挑戰(zhàn)響應(yīng),若期望挑戰(zhàn)響應(yīng)和用戶端挑戰(zhàn)響應(yīng)一致,則鑒權(quán)成功。
本實施例提供的移動管理實體的具體實現(xiàn)如上述方法實施例所述,在此 不再贅述。本實施例提供的移動管理實體可以實現(xiàn)SIM卡用戶設(shè)備接入演進 網(wǎng)絡(luò)時的鑒權(quán)處理。
圖13為本發(fā)明實施例的SIM卡用戶設(shè)備的結(jié)構(gòu)示意圖。如圖13所示, 該SIM卡用戶設(shè)備包括第三接收模塊131、第一生成模塊132和第二發(fā)送 模塊133。其中,第三接收模塊131用于接收MME發(fā)送的鑒權(quán)請求消息,所 述鑒權(quán)請求消息包括所述四元組AV中的隨機數(shù);第一生成模塊132用于根 據(jù)第三接收模塊131接收到的四元組AV中的隨機數(shù)生成用戶端挑戰(zhàn)響應(yīng); 第二發(fā)送模塊133用于發(fā)送鑒權(quán)響應(yīng)消息到所述MME,所述鑒權(quán)響應(yīng)消息中 包括所述第一生成模塊132生成的所述用戶端挑戰(zhàn)響應(yīng),使得所述MME根 據(jù)所述用戶端挑戰(zhàn)響應(yīng)和從歸屬用戶服務(wù)器HSS接收到的期望挑戰(zhàn)響應(yīng)對所 述SIM卡用戶設(shè)備進行鑒斥又。
該SIM卡用戶設(shè)備還可以包括第一保存模塊134。其中,第一生成模 塊132還用于4艮據(jù)三元組AV中的加密密鑰生成五元組AV中加密密鑰和完整 性保護密鑰,然后再進一步生成四元組AV中的根密鑰;第一保存模塊134 用于將第一生成模塊132生成的才艮密鑰保存在SIM卡用戶設(shè)備的演進分組系 統(tǒng)非接入信令安全上下文中。
本實施例提供的SIM卡用戶設(shè)備的具體實現(xiàn)如上述方法實施例所述,在 此不再贅述。本實施例提供的SIM卡用戶設(shè)備可以實現(xiàn)SIM卡用戶設(shè)備接入 演進網(wǎng)絡(luò)時的鑒權(quán)處理。
圖14為本發(fā)明實施例的移動管理實體的另一結(jié)構(gòu)示意圖。如圖14所示, 該移動管理實體(MME)包括第四接收模塊141、第二生成模塊142和笫一信令保護模塊143。其中,第四接收模塊141用于接收服務(wù)GPRS支持節(jié) 點SGSN發(fā)送的包含三元組鑒權(quán)矢量AV中的加密密鑰、或五元組AV中的加 密密鑰和完整性保護密鑰的消息;第二生成模塊142用于根據(jù)所述第四接收 才莫塊141接收到的所述三元組AV中的加密密鑰、或五元組AV中的加密密鑰 和完整性保護密鑰生成非接入信令NAS加密密鑰和NAS完整性保護密鑰; 第一信令保護模塊143用于采用所述第二生成模塊142生成的所述NAS加密 密鑰和NAS完整性保護密鑰對發(fā)送給用戶身份;漠塊SIM卡用戶設(shè)備的信令 進行保護。
本實施例提供的移動管理實體的具體實現(xiàn)如上述方法實施例所述,在此 不再贅述。本實施例提供的移動管理實體可以實現(xiàn)SIM卡用戶設(shè)備移動到演 進網(wǎng)絡(luò)時對密鑰的處理。
圖15為本發(fā)明實施例的SIM卡用戶設(shè)備的另一結(jié)構(gòu)示意圖。如圖15所 示,該SIM卡用戶設(shè)備包括第五接收模塊151、第三生成模塊152和第二 信令保護模塊153。其中,第五接收模塊151用于接收切換命令消息或跟蹤 區(qū)域接收消息消息;第三生成模塊152用于根據(jù)三元組鑒權(quán)矢量AV中的加 密密鑰生成非接入信令NAS加密密鑰和NAS完整性保護密鑰;第二信令保 護模塊153用于采用第三生成模塊152生成的NAS加密密鑰和NAS完整性 保護密鑰對發(fā)送給所述MME的信令進行保護。。
所述第三生成模塊152具體用于根據(jù)三元組AV中的加密密鑰生成五元 組AV中加密密鑰和完整性保護密鑰,然后再進一步生成四元組AV中的才艮密 鑰,然后再進一步生成NAS加密密鑰和NAS完整性保護密鑰
本實施例提供的SIM卡用戶設(shè)備的具體實現(xiàn)如上述方法實施例所述,在 此不再贅述。本實施例提供的SIM卡用戶設(shè)備可以實現(xiàn)SIM卡用戶設(shè)備移動 到演進網(wǎng)絡(luò)時對密鑰的處理。
圖16為本發(fā)明實施例的移動管理實體的又一結(jié)構(gòu)示意圖。如圖16所示, 該移動管理實體(MME)包括第四生成模塊161和第三發(fā)送模塊162。其中,第四生成才莫塊161用于4艮據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組 AV中的完整性保護密鑰和加密密鑰;或,根據(jù)四元組AV中的根密鑰生成五 元組AV中的完整性保護密鑰和加密密鑰,根據(jù)五元組AV中的完整性保護密 鑰和加密密鑰生成三元組AV中的加密密鑰;第三發(fā)送才莫塊162用于將攜帶 有所述第四生成模塊161生成的所述五元組AV中的完整性保護密鑰和加密 密鑰、或三元組AV中的加密密鑰的消息發(fā)送給服務(wù)GPRS支持節(jié)點SGSN, 使得所述SGSN根據(jù)所述MME生成的五元組AV中的加密密鑰和完整性保 護密鑰、或三元組AV中的加密密鑰對發(fā)送給用戶身份模塊SIM卡用戶設(shè)備 的信令進行保護。
本實施例提供的移動管理實體的具體實現(xiàn)如上述方法實施例所述,在此 不再贅述。本實施例提供的移動管理實體可以實現(xiàn)SIM卡用戶設(shè)備從演進網(wǎng) 絡(luò)移出時對密鑰的處理。
圖17為本發(fā)明實施例的SIM卡用戶設(shè)備的又一結(jié)構(gòu)示意圖。如圖17所 示,該SIM卡用戶設(shè)備包括第六接收模塊171、第五生成模塊172和第三 信令保護模塊173。其中,第六接收模塊171用于接收切換命令消息或跟蹤 區(qū)域接收消息;第五生成模塊172用于根據(jù)四元組鑒權(quán)矢量AV中的根密鑰 生成五元組AV中的完整性保護密鑰和加密密鑰;或,根據(jù)四元組AV中的根 密鑰生成五元組AV中的完整性保護密鑰和加密密鑰,才艮據(jù)五元組AV中的完 整性保護密鑰和加密密鑰生成三元組AV中的加密密鑰;第三信今"床護才莫塊 173,用于才艮據(jù)第五生成模塊172生成的五元組AV中的加密密鑰和完整性保 護密鑰、或三元組AV中的加密密鑰進行信令保護。
本實施例^是供的SIM卡用戶設(shè)備的具體實現(xiàn)如上述方法實施例所述,在 此不再贅述。本實施例提供的SIM卡用戶設(shè)備可以實現(xiàn)SIM卡用戶設(shè)備從演 進網(wǎng)絡(luò)移出時對密鑰的處理。
圖18為本發(fā)明實施例的演進網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)示意圖。如圖18所示,該 演進網(wǎng)絡(luò)系統(tǒng)包括如圖12、圖14或圖16所述的移動管理實體(MME)18,該MME18用于對接入到演進網(wǎng)絡(luò)系統(tǒng)的SIM卡用戶設(shè)備進行鑒權(quán)處理,或 者對移動到演進網(wǎng)絡(luò)系統(tǒng)或移出所述演進網(wǎng)絡(luò)系統(tǒng)的SIM卡用戶設(shè)備進行密 鑰處理。
本實施例提供的演進網(wǎng)絡(luò)系統(tǒng)的具體實現(xiàn)如上述方法實施例所述,在此 不再贅述。本實施例提供的演進網(wǎng)絡(luò)系統(tǒng)可以實現(xiàn)SIM卡用戶設(shè)備接入演進 網(wǎng)絡(luò)的鑒權(quán)處理,SIM卡用戶設(shè)備移動到演進網(wǎng)絡(luò)或從演進網(wǎng)絡(luò)移出時對密 鑰的處理。
本領(lǐng)
程,是可以通過計算機程序來指令相關(guān)的硬件來完成,所述的程序可存儲于 一計算^L可獲取存儲介質(zhì)中,該程序在執(zhí)行時,可包括如上述各方法的實施
例的流程。其中,所述的存儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨才踏儲記憶體(Random Access Memory, RAM)等。
最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其 限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù) 人員應(yīng)當(dāng)理解其依然可以對前述各實施例所記載的技術(shù)方案進行修改,或 者對其中部分技術(shù)特征進行等同替換;而這些修改或者替換,并不使相應(yīng)技
術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。
權(quán)利要求
1、一種用戶身份模塊SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法,其特征在于,包括接收歸屬用戶服務(wù)器HSS生成的與SIM卡用戶設(shè)備對應(yīng)的四元組鑒權(quán)矢量AV,所述四元組AV包括隨機數(shù)和期望挑戰(zhàn)響應(yīng);向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息,所述鑒權(quán)請求消息中包括所述四元組AV中的隨機數(shù);接收所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的隨機數(shù)生成的用戶端挑戰(zhàn)響應(yīng);若接收到的所述四元組AV中的期望挑戰(zhàn)響應(yīng)和所述用戶端挑戰(zhàn)響應(yīng)一致,則鑒權(quán)成功。
2、 根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述接收HSS生成的與 SIM卡用戶設(shè)備對應(yīng)的四元組AV之前包括所述HSS接收移動管理實體MME發(fā)送的鑒權(quán)數(shù)據(jù)請求消息;所述HSS根據(jù)三元組AV生成五元組AV,并根據(jù)所述五元組AV生成與所述SIM卡用戶設(shè)備對應(yīng)的所述四元組AV;所述HSS發(fā)送鑒權(quán)數(shù)據(jù)應(yīng)答消息給所述MME,所述鑒權(quán)數(shù)據(jù)應(yīng)答消息包含所述四元組AV。
3、 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述接收所述SIM卡用戶 設(shè)備根據(jù)所述四元組AV中的隨機數(shù)生成的用戶端挑戰(zhàn)響應(yīng)之前包括所述SIM卡用戶設(shè)備接收MME發(fā)送的鑒權(quán)請求消息,所述鑒權(quán)請求消 息包括所述四元組AV中的隨機數(shù);所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的隨機數(shù)生成用戶端挑戰(zhàn)響應(yīng);發(fā)送鑒權(quán)響應(yīng)消息到所述MME,所述鑒權(quán)響應(yīng)消息中包括所述用戶端挑 戰(zhàn)響應(yīng)。
4、 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述SIM卡用戶設(shè)備根據(jù) 所述四元組AV中的隨機數(shù)生成用戶端挑戰(zhàn)響應(yīng)包括所述SIM卡用戶設(shè)備根據(jù)所述隨機數(shù)和共享密鑰生成三元組AV中的加 密密鑰,根據(jù)所述三元組AV中的加密密鑰生成基礎(chǔ)密鑰,根據(jù)所述隨機數(shù)和 基礎(chǔ)密鑰生成所述用戶端#<戰(zhàn)響應(yīng);或,所述SIM卡用戶設(shè)備根據(jù)所述隨機數(shù)和共享密鑰生成期望挑戰(zhàn)響應(yīng),并 根據(jù)自身生成的期望挑戰(zhàn)響應(yīng)生成所述用戶端才4戰(zhàn)響應(yīng)。
5、 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述方法還包括所述SIM卡用戶設(shè)備根據(jù)所述隨機數(shù)和共享密鑰生成三元組AV中的加 密密鑰;所述SIM卡用戶設(shè)備才艮據(jù)所述三元組AV中的加密密鑰生成五元組AV 中的完整性保護密鑰和加密密鑰;所述SIM卡用戶設(shè)備才艮據(jù)所述五元組AV中的完整性保護密鑰和加密密 鑰生成所述四元組AV中的才艮密鑰。
6、 一種用戶身份才莫塊SIM卡用戶設(shè)備移動到演進網(wǎng)絡(luò)的方法,其特征在 于,包括移動管理實體MME接收服務(wù)GPRS支持節(jié)點SGSN發(fā)送的包含三元組 鑒權(quán)矢量AV中的加密密鑰、或五元組AV中的加密密鑰和完整性保護密鑰的 消息,并根據(jù)接收到的密鑰生成非接入信令NAS加密密鑰和NAS完整性保 護密鑰;所述SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消息后,根據(jù) 所述SIM卡用戶設(shè)備中三元組AV中的加密密鑰生成NAS加密密鑰和NAS 完整性保護密鑰;所述MME和所述SIM卡用戶設(shè)備采用各自生成的NAS加密密鑰和NAS 完整性保護密鑰進行信令保護。
7、 根據(jù)權(quán)利要求6所述的方法,其特征在于,當(dāng)所述MME接收到所述SGSN發(fā)送的所述三元組AV中的加密密鑰時, 所述根據(jù)接收到的密鑰生成NAS加密密鑰和NAS完整性保護密鑰包括所述MME根據(jù)所述三元組AV中的加密密鑰生成五元組AV中的加密密 鑰和完整性保護密鑰;所述MME根據(jù)所述五元組AV中的加密密鑰和完整性保護密鑰生成四元 組AV中的根密鑰;所述MME才艮據(jù)所述四元組AV中的才艮密鑰生成所述NAS加密密鑰和 NAS完整性保護密鑰;當(dāng)所述MME接收到所述SGSN發(fā)送的所述五元組AV中的加密密鑰和完 整性保護密鑰時,所述根據(jù)接收到的密鑰生成NAS加密密鑰和NAS完整性 保護密鑰包括所述MME根據(jù)所述五元組AV中的加密密鑰和完整性保護密鑰生成四元 組AV中的根密鑰;所述MME根據(jù)所述四元組AV中的根密鑰生成所述NAS加密密鑰和 NAS完整性保護密鑰。
8、 根據(jù)權(quán)利要求6所述的方法,其特征在于,所述SIM卡用戶設(shè)備根據(jù) 所述SIM卡用戶i殳備中三元組AV中的加密密鑰生成所述NAS加密密鑰和 NAS完整性保護密鑰包括所述SIM卡用戶i殳備才艮據(jù)所述三元組AV中的加密密鑰生成五元組AV 中的加密密鑰和完整性保護密鑰;所述SIM卡用戶i殳備^^艮據(jù)所述五元組AV中的加密密鑰和完整性保護密 鑰生成四元組AV中的根密鑰;所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的根密鑰生成所述NAS加密 密鑰和NAS完整性保護密鑰。
9、 一種用戶身份模塊SIM卡用戶設(shè)備從演進網(wǎng)絡(luò)移出的方法,其特征在 于,包括移動管理實體MME才艮據(jù)四元組鑒權(quán)矢量AV中的才艮密鑰生成五元組AV 中的加密密鑰和完整性保護密鑰、或三元組AV中的加密密鑰;所述MME將包含所述五元組AV中的加密密鑰和完整性保護密鑰、或所 述三元組AV中的加密密鑰的消息發(fā)送給服務(wù)GPRS支持節(jié)點SGSN;所述SIM卡用戶設(shè)備接收到切換命令消息或跟蹤區(qū)域接收消息后,根據(jù) 四元組AV中的根密鑰生成五元組AV中的加密密鑰和完整性保護密鑰、或三 元組AV中的加密密鑰;所述SIM卡用戶設(shè)備根據(jù)自身生成的五元組AV中的加密密鑰和完整性 保護密鑰、或三元組AV中的加密密鑰對發(fā)送給網(wǎng)絡(luò)側(cè)設(shè)備的信令進行保護, 所述網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)所述MME生成的五元組AV中的加密密鑰和完整性保護 密鑰、或三元組AV中的加密密鑰對發(fā)送給所述SIM卡用戶設(shè)備的信令進行 保護。
10、根據(jù)權(quán)利要求9所述的方法,其特征在于,在2G網(wǎng)絡(luò)中,所述網(wǎng)絡(luò)側(cè)設(shè)備為所述SGSN,則所述網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)所 述MME生成的五元組AV中的加密密鑰和完整性保護密鑰、或三元組AV中 的加密密鑰對發(fā)送給所述SIM卡用戶設(shè)備的信令進行保護包括所述SGSN根據(jù)從所述MME接收的三元組AV中的加密密鑰對發(fā)送給 SIM卡用戶設(shè)備的信令進行保護;或,所述SGSN根據(jù)從MME接收的五元組AV中的加密密鑰和完整性保護密 鑰生成三元組AV中的加密密鑰,才艮據(jù)生成的所述三元組AV中的加密密鑰對 發(fā)送給SIM卡用戶設(shè)備的信令進行保護;或,在3G網(wǎng)絡(luò)中,所述網(wǎng)絡(luò)側(cè)設(shè)備為無線網(wǎng)絡(luò)控制器RNC,則在所述MME 將包含所述五元組AV中的加密密鑰和完整性保護密鑰、或所述三元組AV中 的加密密鑰的消息發(fā)送給SGSN之后還包括所述SGSN將所述五元組AV中的加密密鑰和完整性保護密鑰、或根據(jù)所述三元組AV中的加密密鑰生成的五元組AV中的加密密鑰和完整性保護密鑰 發(fā)送給所述RNC;則所述網(wǎng)絡(luò)側(cè)設(shè)備根據(jù)所述MME生成的五元組AV中的加密密鑰和完整 性保護密鑰、或三元組AV中的加密密鑰對發(fā)送給所述SIM卡用戶設(shè)備的信 令進行保護包括所述RNC根據(jù)從所述SGSN接收的五元組AV中的加密密鑰和完整性保 護密鑰對發(fā)送給SIM卡用戶設(shè)備的信令進行保護。
11、 根據(jù)權(quán)利要求9所述的方法,其特征在于,所述MME根據(jù)四元組 AV中的根密鑰生成三元組AV中的加密密鑰包括所述MME根據(jù)所述四元組AV中的根密鑰生成五元組AV中的加密密鑰 和完整性保護密鑰;所述MME根據(jù)所述五元組AV中的加密密鑰和完整性保護密鑰生成所述 三元組AV中的加密密鑰。
12、 根據(jù)權(quán)利要求9所述的方法,其特征在于,所述SIM卡用戶設(shè)備根 據(jù)四元組AV中的根密鑰生成三元組AV中的加密密鑰包括所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的根密鑰生成五元組AV中的 加密密鑰和完整性保護密鑰;所述SIM卡用戶設(shè)備根據(jù)所述五元組AV中的加密密鑰和完整性保護密 鑰生成所述三元組AV中的加密密鑰。
13、 一種移動管理實體MME,其特征在于,包括第一接收模塊,用于接收歸屬用戶服務(wù)器HSS生成的與SIM卡用戶設(shè)備 對應(yīng)的四元組鑒權(quán)矢量AV,所述四元組AV包括隨才幾數(shù)和期望挑戰(zhàn)響應(yīng);第一發(fā)送模塊,用于向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息,所述鑒 權(quán)請求消息中包括所述四元組AV中的隨機數(shù);第二接收模塊,用于接收所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的隨機數(shù)生成的用戶端挑戰(zhàn)響應(yīng);鑒權(quán)模塊,用于比較鑒權(quán)所述第一接收模塊接收到的所述四元組AV中的 期望挑戰(zhàn)響應(yīng)和所述第二接收模塊接收到的所述用戶端挑戰(zhàn)響應(yīng),若所述期 望^t兆戰(zhàn)響應(yīng)和所述用戶端^L戰(zhàn)響應(yīng)一致,則鑒;f又成功。
14、 一種用戶身份模塊SIM卡用戶設(shè)備,其特征在于,包括 第三接收模塊,用于接收移動管理實體MME發(fā)送的鑒權(quán)請求消息,所述鑒權(quán)請求消息包括所述四元組AV中的隨機數(shù);第一生成模塊,用于根據(jù)所述第三接收模塊接收到的所述四元組AV中的 隨機數(shù)生成用戶端挑戰(zhàn)響應(yīng);第二發(fā)送模塊,用于發(fā)送鑒權(quán)響應(yīng)消息到所述MME,所述鑒權(quán)響應(yīng)消息 中包括所述第 一生成模塊生成的所述用戶端挑戰(zhàn)響應(yīng),使得所述MME根據(jù)所 述用戶端挑戰(zhàn)響應(yīng)和從歸屬用戶服務(wù)器HSS接收到的期望挑戰(zhàn)響應(yīng)對所述 SIM卡用戶設(shè)備進行鑒權(quán)。
15、 一種移動管理實體MME,其特征在于,包括第四接收模塊,用于接收服務(wù)GPRS支持節(jié)點SGSN發(fā)送的包含三元組 鑒權(quán)矢量AV中的加密密鑰、或五元組AV中的加密密鑰和完整性保護密鑰的 消息;第二生成模塊,用于根據(jù)所述第四接收才莫塊接收到的所述三元組AV中的 加密密鑰、或五元組AV中的加密密鑰和完整性保護密鑰生成非接入信令NAS 加密密鑰和NAS完整性保護密鑰;第一信令f呆護模塊,用于采用所述第二生成模塊生成的所述NAS加密密 鑰和NAS完整性保護密鑰對發(fā)送給用戶身份模塊SIM卡用戶設(shè)備的信令進行 保護。
16、 一種用戶身傷^莫塊SIM卡用戶設(shè)備,其特征在于,包括 第五接收模塊,用于接收切換命令消息或跟蹤區(qū)域接收消息; 第三生成模塊,用于根據(jù)三元組鑒權(quán)矢量AV中的加密密鑰生成非接入信令NAS加密密鑰和NAS完整性保護密鑰;第二信令保護模塊,用于采用所述第三生成才莫塊生成的所述NAS加密密 鑰和NAS完整性保護密鑰對發(fā)送給所述MME的信令進行保護。
17、 一種移動管理實體MME,其特征在于,包括第四生成模塊,用于根據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組AV 中的完整性保護密鑰和加密密鑰;或,根據(jù)四元組AV中的根密鑰生成五元組 AV中的完整性保護密鑰和加密密鑰,4艮據(jù)五元組AV中的完整性保護密鑰和 加密密鑰生成三元組AV中的加密密鑰;第三發(fā)送模塊,用于將攜帶有所述第四生成模塊生成的所述五元組AV中 的完整性保護密鑰和加密密鑰、或三元組AV中的加密密鑰的消息發(fā)送給服務(wù) GPRS支持節(jié)點SGSN,使得所述SGSN根據(jù)所述MME生成的五元組AV中 的加密密鑰和完整性保護密鑰、或三元組AV中的加密密鑰對發(fā)送給用戶身份 模塊SIM卡用戶設(shè)備的信令進行保護。
18、 一種用戶身份模塊SIM卡用戶設(shè)備,其特征在于,包括 第六接收模塊,用于接收切換命令消息或跟蹤區(qū)域接收消息; 第五生成模塊,用于根據(jù)四元組鑒權(quán)矢量AV中的根密鑰生成五元組AV中的完整性保護密鑰和加密密鑰;或,才艮據(jù)四元組AV中的才艮密鑰生成五元組 AV中的完整性保護密鑰和加密密鑰,根據(jù)五元組AV中的完整性保護密鑰和 加密密鑰生成三元組AV中的加密密鑰;第三信令保護模塊,用于根據(jù)第五生成模塊生成的五元組AV中的加密密 鑰和完整性保護密鑰、或三元組AV中的加密密鑰進行信令保護。
全文摘要
本發(fā)明實施例涉及一種SIM卡用戶設(shè)備接入演進網(wǎng)絡(luò)的方法和相關(guān)設(shè)備。所述方法包括接收歸屬用戶服務(wù)器HSS生成的與SIM卡用戶設(shè)備對應(yīng)的四元組鑒權(quán)矢量AV,所述四元組AV包括隨機數(shù)和期望挑戰(zhàn)響應(yīng);向所述SIM卡用戶設(shè)備發(fā)送鑒權(quán)請求消息,所述鑒權(quán)請求消息中包括所述四元組AV中的隨機數(shù);接收所述SIM卡用戶設(shè)備根據(jù)所述四元組AV中的隨機數(shù)生成的用戶端挑戰(zhàn)響應(yīng);若接收到的所述四元組AV中的期望挑戰(zhàn)響應(yīng)和所述用戶端挑戰(zhàn)響應(yīng)一致,則鑒權(quán)成功。使得SIM卡用戶設(shè)備加入到演進網(wǎng)絡(luò)中或者從其他網(wǎng)絡(luò)移動到演進網(wǎng)絡(luò)中或者可以從演進網(wǎng)絡(luò)中移出,保證了SIM卡用戶能夠接入演進網(wǎng)絡(luò)。
文檔編號H04W12/04GK101600205SQ20091015220
公開日2009年12月9日 申請日期2009年7月10日 優(yōu)先權(quán)日2009年7月10日
發(fā)明者何承東, 朱志明, 胡偉華, 宇 銀 申請人:華為技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1