基于td-lte網絡的鑒權和密鑰衍生方法及系統的制作方法
【技術領域】
[0001] 本發明設及通信技術領域,尤其設及基于TD-LTE網絡的鑒權和密鑰衍生方法及 系統。
【背景技術】
[0002] 集群通信的快速發展,尤其是更為先進的數字集群通信技術,能夠為用戶提供更 強大的系統功能,數字集群通信系統集多功能于一體,在技術上和系統容量上能夠滿足大 型共網的建設要求,系統可提供指揮調度、電話互聯、數據傳輸、短消息收發、定位服務等 多種業務。建立共享網絡,能有利于充分發揮數字集群該些強大的系統功能和優良的網絡 性能,滿足當今各專業用戶對通信的需求。隨著社會經濟的發展,政府部口、企事業單位對 移動調度服務的需求越加廣泛和迫切。因此對于集群系統業務的安全性也有著很關鍵的要 求。TD-LTE公網在我國發展迅速,已經在我國大規模建網。基于TD-LTE公網的情況下可W 建立專用的集群網絡來發揮集群業務的優勢,可W應用于該些單位部口,滿足他們對于不 同業務的特殊要求。
[0003] TD-LTE公網集群系統無需為集群通信獨立建網,而是與TD-LTE公眾網絡共享網 絡資源。其中,TD-LTE無線接入網是TD-LTE公眾網絡的主體構成部分,占公眾移動通信網 絡投資的大部分,公網集群的接入網應與公眾網絡的接入網共享,包括站址、天線等資源, 可有效利用公眾網絡資源。
[0004] 集群的安全等級和安全要求一般要比公網的高,所W要使用高級的加密算法和更 加復雜的鑒權機制來保證集群的高安全等級的要求成為目前急需解決的技術問題。
【發明內容】
[0005] 為了解決現有技術中的問題,本發明提供了一種基于TD-LTE網絡的鑒權和密鑰 衍生方法。
[0006] 本發明提供了一種基于TD-LTE網絡的鑒權和密鑰衍生方法,包括LTE鑒權方法, 在LTE鑒權方法中包括如下步驟:
[0007] 鑒權請求發起步驟,用戶向非接入層移動管理實體發起鑒權請求;
[000引索要鑒權向量步驟,移動管理實體向歸屬用戶服務器索要鑒權向量;
[0009] 返回步驟,歸屬用戶服務器返回一套或多套通用分組核屯、演進鑒權向量{隨機 數,鑒權令牌,預期響應,根密鑰}給移動管理實體,其中包含AMF分隔符,"1"代表LTE/ SAE, "0"代表非 LTE/SAE ;
[0010] 發送步驟,移動管理實體收到后保存預期用戶響應、根密鑰,并將隨機數和鑒權令 牌發送給用戶;
[0011] 用戶端鑒權步驟,用戶通過鑒權特征向量對網絡進行鑒權,用戶根據鑒權特征向 量&隨機數計算出鑒權響應&CK/IK,進一步計算出根密鑰,用戶將鑒權響應發送到移動管 理實體,移動管理實體將鑒權響應和預期用戶響應進行對比;
[0012] 推導步驟,用戶與移動管理實體根據根密鑰推導出非接入層與接入層所需的加密 密鑰和完整性保護密鑰。
[0013] 作為本發明的進一步改進,在鑒權和密鑰衍生方法中,IK,IV是密鑰衍生機制的初 始輸入密鑰,CK/IK分別表示加密和完整性密鑰;Kasme是一個中間密鑰,是終端和歸屬用戶 服務器在AKA過程中根據K生成的;ASME是一個網絡實體,根據接收到的歸屬用戶服務器 發送的密鑰,負責建立和維持歸屬用戶服務器與終端的安全協商;K。^也是一個中間密鑰, 是終端和移動管理實體根據根密鑰生成的;K。^的值取決于eNodeB識別碼,用于eNodeB為 RRC業務和UP業務生成密鑰;最后,為了 NAS信令、AS信令和用戶平面數據進行完整性保護 和機密性保護,還要生成如下5個密鑰;IU,IW。。lUe。。,Kupe。。,IWht和K W。。。。。,是演進 型基站密鑰,KwAsht是接入層完整性密鑰,K MS。。。是接入層安全性密鑰,K UP。。。是用戶層安全密 鑰,IWht是接入控制完整性密鑰,Kkk。。。。是接入控制安全性密鑰。
[0014] 作為本發明的進一步改進,
[0015] 用戶在鑒權過程中AS層和AS層密鑰將由初始密鑰K進行KDF算法處理后得出根 醬鑰Kasme ;
[0016] 根密鑰Kasme在NAS層進行衍生出NAS層使用的安全性密鑰K wASe。。和完整性保護密 鑰Kmsim,其中安全性密鑰和完整性密鑰的生成是根據用戶所支持的安全算法,通過選擇不 同的安全算法組合生成不同的安全性保護密鑰和完整性保護密鑰;
[0017] 根密鑰Kasme通過衍生得出中間密鑰K。^,中間密鑰Kewc主要用于AS層的安全性保 護密鑰Kckc。。。和完整性保護密鑰K cKCht的生成,其生成方式與NAS層相同,其中,通過改變安 全性算法中輸入的標志位BEARER則得到用戶層密鑰Kup。。。。
[0018] 作為本發明的進一步改進,該鑒權和密鑰衍生方法還包括密鑰生成方法,該密鑰 生成方法包括如下步驟:
[0019] CK和IK實現步驟;IK和IV是初始密鑰和向量,代入邸F算法得到K,K為邸F算法 得到的初始密鑰,根據用戶的算法選擇來選擇使用的安全算法,K分別代入EEA模塊和EIA 模塊中得到安全性密鑰CK和完整性IK ;
[0020] 基于用戶安全等級的密鑰K步驟;用戶安全等級高時,將K帶入到KDF函數中進行 衍生得到復雜度高的K,當用戶安全等級低時,直接將初始的K,通過衍生次數得到不同復 雜度的K來表示用戶安全等級;
[0021] Kasme實現步驟,將K代入到KDF算法中再截取后32位得到Kasme;
[0022] KwAsiM,IU。。。實現步驟:根據用戶的算法選擇來選擇使用的安全算法,將K asme分別 代入到邸4算法和EIA算法中得到KwASht,lUe。。;
[0023] K。^實現步驟:將K asme代入到邸F算法中再截取后32位可W得到K cw;
[0024] Kup。。。,IWht和K cKee。。實現步驟:根據用戶的算法選擇來選擇使用的安全算法,將 分別代入到EEA算法和EIA算法中得到K wee。。和K KKUM,Kup。。。是用戶層使用的保密性密 鑰,IWe。。是控制層使用的保密性密鑰,區別是設置不同的標志位炬EARER = 0,1)。
[0025] 本發明還提供了一種基于TD-LTE網絡的鑒權和密鑰衍生系統,包括LTE鑒權單 元,在LTE鑒權單元中包括;
[0026] 鑒權請求發起模塊,用戶向非接入層移動管理實體發起鑒權請求;
[0027] 索要鑒權向量模塊,移動管理實體向歸屬用戶服務器索要鑒權向量;
[002引返回模塊,歸屬用戶服務器返回一套或多套通用分組核屯、演進鑒權向量{隨機 數,鑒權令牌,預期響應,根密鑰}給移動管理實體,其中包含AMF分隔符,"1"代表LTE/ SAE, "0"代表非 LTE/SAE ;
[0029] 發送模塊,移動管理實體收到后保存預期用戶響應、根密鑰,并將隨機數和鑒權令 牌發送給用戶;
[0030] 用戶端鑒權模塊,用戶通過鑒權特征向量對網絡進行鑒權,用戶根據鑒權特征向 量&隨機數計算出鑒權響應&CK/IK,進一步計算出根密鑰,用戶將鑒權響應發送到移動管 理實體,移動管理實體將鑒權響應和預期用戶響應進行對比;
[0031] 推導模塊,用戶與移動管理實體根據根密鑰推導出非接入層與接入層所需的加密 密鑰和完整性保護密鑰。
[0032] 作為本發明的進一步改進,在鑒權和密鑰衍生系統中,IK,IV是密鑰衍生機制的初 始輸入密鑰,CK/IK分別表示加密和完整性密鑰;Kasme是一個中間密鑰,是終端和歸屬用戶 服務器在AKA過程中根據K生成的;ASME是一個網絡實體,根據接收到的歸屬用戶服務器 發送的密鑰,負責建立和維持歸屬用戶服務器與終端的安全協商;K。^也是一個中間密鑰, 是終端和移動管理實體根據根密鑰生成的;K。^的值取決于eNodeB識別碼,用于eNodeB為 RRC業務和UP業務生成密鑰;最后,為了 NAS信令、AS信令和用戶平面數據進行完整性保護 和機密性保護,還要生成如下5個密鑰;IU,IW。。lUe。。,Kupe。。,IWht和K W。。。。。,是演進 型基站密鑰,KwAsht是接入層完整性密鑰,K MS。。。是接入層安全性密鑰,K UP。。。是用戶層安全密 鑰,IWht是接入控制完整性密鑰,Kkk。。。。是接入控制安全性密鑰。
[0033] 作為本發明的進一步改進,
[0034] 用戶在鑒權過程中AS層和AS層密鑰將由初始密鑰K進行KDF算法處理后得出根 醬鑰Kasme ;
[0035] 根密鑰Kasme在NAS層進行衍生出NAS層使用的安全性密鑰K wASe。。和完整性保護密 鑰Kmsim,其中安全性密鑰和完整性密鑰的生成是根據用戶所支持的安全算法,通過選擇不 同的安全算法組合生成不同的安全性保護密鑰和完整性保護密鑰;
[0036] 根密鑰Kasme通過衍生得出中間密鑰K。^,中間