演进分组系统的非3GPP接入的安全性转让专利
申请号 : CN200880128447.X
文献号 : CN101983517A
文献日 : 2011-03-02
发明人 : G·霍恩
申请人 : 诺基亚西门子通信公司
摘要 :
归属订户服务器(400)从认证服务器(300)接收对认证信息的请求并且基于控制从用户装置(100)到EPS网络的接入的认证器(200)的标识把用户装置(100)的密码密钥变换成接入特定的密码密钥,并且生成包括接入特定的密码密钥和被设定的分离指示符的认证信息。用户装置(100)检查在认证信息中包括的分离指示符是否被设定,并且如果分离指示符被设定,则基于认证器(200)的标识把密码密钥变换成接入特定的密码密钥,并且根据接入特定的密码密钥计算对认证方法特定的密钥。
权利要求 :
1.一种设备,被配置成:
检查在认证信息中包括的分离指示符是否被设定;以及如果该分离指示符被设定,则基于控制从设备到网络的接入的装置的标识把密码密钥变换成接入特定的密码密钥,并且根据接入特定的密码密钥计算对认证方法特定的密钥。
2.权利要求1的设备,其中网络是EPS网络并且设备被配置成接入EPS网络。
3.权利要求1或2的设备,其中认证方法是基于用于认证及密钥协商的可扩展认证协议方法,该设备包括:接收器,被配置成在设备和网络之间的认证期间使用用于认证及密钥协商的可扩展认证协议方法来接收认证信息;以及发射器,被配置成使用用于认证及密钥协商的可扩展认证协议方法来传送认证消息。
4.权利要求1到3中任一项的设备,其中装置的标识包括完全合格域名、移动国家码和移动网络码中的至少一个。
5.一种设备,包括:
处理器,被配置成检查包括被设定的分离指示符的未使用认证信息在用户装置和网络之间的认证期间是否可用于用户装置;
接收器;以及
发射器,
其中处理器被配置成在未使用认证信息不可用的情况下将控制从用户装置到网络的接入的装置的标识和使用信息包括在对认证信息的请求中并且使发射器传送请求,其中接收器被配置成接收基于装置的标识、依据使用信息而从用户装置的密码密钥变换的接入特定的密码密钥,且其中处理器被配置成根据接入特定的密码密钥计算对认证方法特定的密钥。
6.一种设备,包括:
接收器,被配置成接收对认证信息的请求,该请求包括控制从用户装置到网络的接入的装置的标识和使用信息;
处理器,被配置成依据使用信息、基于装置的标识把用户装置的密码密钥变换成接入特定的密码密钥,并且依据使用信息生成包括接入特定的密码密钥和被设定的分离指示符的认证信息,其中接入特定的密码密钥用作由权利要求5的设备计算对认证方法特定的密钥的基础;以及发射器,被配置成传送认证信息。
7.权利要求6的设备,其中使用信息包括认证信息用于演进分组系统使用的指示和指示为与装置进行的隧道建立而执行用户装置和网络之间的认证的指示符中的至少一个。
8.一种设备,包括:
处理器,被配置成在用户装置和网络之间的认证期间控制从用户装置到网络的接入;
以及
发射器,
其中处理器被配置成使发射器传送设备的标识和使用信息,基于其在控制期间从用户装置的密码密钥变换接入特定的密码密钥,其中接入特定的密码密钥用作由权利要求5的设备计算对认证方法特定的密钥的基础。
9.一种方法,包括:
检查在认证信息中包括的分离指示符是否被设定;以及如果该分离指示符被设定,则基于控制从用户装置到网络的接入的装置的标识把密码密钥变换成接入特定的密码密钥,并且根据接入特定的密码密钥计算对认证方法特定的密钥。
10.权利要求9的方法,其中网络是EPS网络,该方法包括:接入EPS网络。
11.权利要求9或10的方法,其中认证方法是基于用于认证及密钥协商的可扩展认证协议方法,该方法包括:在用户装置和网络之间的认证期间使用用于认证及密钥协商的可扩展认证协议方法来接收认证信息;以及使用用于认证及密钥协商的可扩展认证协议方法来传送认证消息。
12.权利要求9到11中任一项的方法,其中装置的标识包括完全合格域名、移动国家码和移动网络码中的至少一个。
13.一种方法,包括:
检查包括被设定的分离指示符的未使用认证信息在用户装置和网络之间的认证期间是否可用于用户装置;
在未使用认证信息不可用的情况下,将控制从用户装置到网络的接入的装置的标识和使用信息包括在对认证信息的请求中并且传送请求;
接收基于装置的标识、依据使用信息而从用户装置的密码密钥变换的接入特定的密码密钥;以及根据接入特定的密码密钥计算对认证方法特定的密钥。
14.一种方法,包括:
接收对认证信息的请求,该请求包括控制从用户装置到网络的接入的装置的标识和使用信息;
依据使用信息、基于装置的标识把用户装置的密码密钥变换成接入特定的密码密钥,其中接入特定的密码密钥用作由权利要求13的方法计算对认证方法特定的密钥的基础;
依据使用信息生成包括接入特定的密码密钥和被设定的分离指示符的认证信息;以及传送认证信息。
15.权利要求14的方法,其中使用信息包括认证信息用于演进分组系统使用的指示和指示为与装置进行的隧道建立而执行用户装置和网络之间的认证的指示符中的至少一个。
16.一种方法,包括:
在用户装置和网络之间的认证期间经由装置传送该装置的标识和使用信息,基于其在控制从用户装置到网络的接入期间从用户装置的密码密钥变换接入特定的密码密钥,其中接入特定的密码密钥用作由权利要求13的方法计算对认证方法特定的密钥的基础。
17.一种计算机程序产品,包括用于处理装置的程序,包括当在处理装置上运行程序时执行权利要求9到16中任一项的步骤的软件代码部分。
18.权利要求17的计算机程序产品,其中计算机程序产品包括软件代码部分存储在其上的计算机可读介质。
19.权利要求17的计算机程序产品,其中程序可直接加载到处理装置的内部存储器中。
1.一种设备,被配置成:
检查在认证信息中包括的分离指示符是否被设定,认证信息是在设备和网络之间的认证期间使用用于认证及密钥协商的可扩展认证协议方法来接收的,分离指示符指示网络是否是演进分组系统网络;以及如果该分离指示符被设定,则使用网络的标识把设备的密码密钥CK、IK变换成新的密码密钥CK_new、IK_new,并且从新的密码密钥CK_new、IK_new计算待用于可扩展认证协议方法的密钥MSK。
2.权利要求1的设备,其中网络的标识包括移动国家码和移动网络码。
3.一种设备,包括:
处理器,被配置成使用用于认证及密钥协商的可扩展认证协议方法来检查包括被设定的分离指示符的未使用认证信息在用户装置和网络之间的认证期间是否可用于用户装置,分离指示符指示网络是否是演进分组系统网络;
接收器;以及
发射器,
其中处理器被配置成在未使用认证信息不可用的情况下将网络的标识和使用信息包括在对认证信息的请求中并且使发射器传送请求,其中接收器被配置成接收使用网络的标识、依据使用信息而从用户装置的密码密钥CK、IK变换的新的密码密钥CK_new、IK_new,且其中处理器被配置成从新的密码密钥计算待用于可扩展认证协议方法的密钥MSK。
4.一种设备,包括:
接收器,被配置成在用户装置和网络之间的认证期间使用用于认证及密钥协商的可扩展认证协议方法来接收对认证信息的请求,该请求包括网络的标识和使用信息;
处理器,被配置成使用网络的标识、依据使用信息把用户装置的密码密钥CK、IK变换成新的密码密钥CK_new、IK_new,并且依据使用信息生成包括新的密码密钥和被设定的分离指示符的认证信息,分离指示符指示网络是否是演进分组系统网络,其中新的密码密钥用作由权利要求3的设备计算待用于可扩展认证协议方法的密钥MSK的基础;以及发射器,被配置成传送认证信息。
5.权利要求4的设备,其中使用信息包括认证信息用于演进分组系统使用的指示和指示为与网络进行的隧道建立而执行用户装置和网络之间的认证的指示符中的至少一个。
6.一种方法,包括:
检查在认证信息中包括的分离指示符是否被设定,认证信息是在用户装置和网络之间的认证期间使用用于认证及密钥协商的可扩展认证协议方法来接收的,分离指示符指示网络是否是演进分组系统网络;以及如果该分离指示符被设定,则使用网络的标识把用户装置的密码密钥CK、IK变换成新的密码密钥CK_new、IK_new,并且从新的密码密钥CK_new、IK_new计算待用于可扩展认证协议方法的密钥MSK。
7.权利要求6的方法,其中网络的标识包括移动国家码和移动网络码。
8.一种方法,包括:
使用用于认证及密钥协商的可扩展认证协议方法检查包括被设定的分离指示符的未
说明书 :
演进分组系统的非3GPP接入的安全性
技术领域
[0001] 本发明涉及演进分组系统(Evolved Packet System,EPS)的安全性。具体而言,该发明涉及在从非3GPP(非第三代合作伙伴计划)接入网络接入其时EPS的安全性。
背景技术
[0002] EPS是UMTS(通用移动通信系统)的后继技术。EPS的安全性方面取决于接入网络是3GPP定义的接入网络(例如GERAN(GSM(全球移动通信系统)EDGE(增强型数据速率全球演进)无线电接入网络)、UTRAN(UMTS陆地无线电接入网络)、E-UTRAN(演进UTRAN))还是非3GPP接入网络(例如由3GPP2(第三代合作伙伴计划2)定义的演进HRPD(高速率分组数据)、由IEEE(电气与电子工程师协会)和WiMAX论坛定义的WiMAX(微波存取全球互通))。
[0003] 在接入网络是E-UTRAN(也被称为LTE(长期演进))即3GPP定义的接入网络的情况下,服务网络认证(authentication)意味着确保用户装置(UE)与特定服务网络中的移动性管理实体(MME)进行通信。这是在UMTS中未知的安全性特征。
[0004] 为了防止这个安全性特征被攻击者所规避,要求被称作密码网络分离(cryptographic network separation)的附加特征。在下文中,给出一些更多的背景信息以便可以解释这个附加特征。
[0005] 在UMTS中和在EPS中一样,认证向量是参数合集,该参数合集尤其包含密码密钥(cryptographic key)CK、IK以及所谓的AMF(认证管理域)分离位(separation bit)。当攻击者知道密钥CK、IK时,他可以冒充服务网络实体。密钥CK、IK在UMTS服务网络中可用于实体SGSN(服务GPRS(通用分组无线电服务)支持节点)和RNC(无线电网络控制器)。因此,一个UMTS服务网络中SGSN或RNC的任何盗用(compromise)允许攻击者冒充另一个UMTS服务网络实体。
[0006] EPS用户配有UICC(UMTS集成电路卡),为安全性目的,该UICC带有USIM(User Services Identity Module,用户服务标识模块)应用。用户记录被保存在HSS(归属订户服务器)中。
[0007] 被指定用于EPS的用户安全性数据的密码网络分离依靠HSS和移动装置(ME)中认证管理域(AMF)的特定处理,AMF是AV(认证向量)的一部分。ME是不带UICC的用户装置(UE)。
[0008] 包括ASME(接入安全性管理实体)的UE和EPC(演进分组核心)网络元件与包括认证中心的HSS之间的安全性过程包括认证及密钥协商过程(Authentication and key agreement procedure,AKA)。EPSAKA产生形成用户平面和控制平面保护(加密、完整性)的基础的密钥。EPS AKA是基于在UE和HSS之间共享的以下长期密钥:
[0009] -K是存储在USIM(用户服务标识模块)上且在认证中心AuC中的永久密钥;
[0010] -CK、IK是在AuC中导出的且在AKA运行期间在USIM上的密钥对。
[0011] 作为认证及密钥协商的结果,生成在UE和ASME之间共享的中间密钥K_ASME。对于E-UTRAN接入网络,ASME是MME。
[0012] 这个过程的目的是提供带有一个或多个MME安全性上下文(例如K_ASME)的MME(移动性管理实体),该MME安全性上下文包括来自用户HSS的用于执行许多用户认证的新认证向量。
[0013] 从认证向量中导出MME安全性上下文。为导出HSS中的密钥K_ASME,使用包含输入参数CK、IK和SN(服务网络)标识的密钥导出函数。
[0014] EPS通过使用AMF分离位来引入针对E-UTRAN接入网络情况的密码网络分离。这个特征使攻击者不可能利用UTRAN或E-UTRAN接入网络从一个服务网络中的实体窃取密钥CK、IK并且在UE使用E-UTRAN接入时使用它们来冒充另一个服务网络。这个特征通过密码装置而确保一个网络中的安全性漏洞不影响另一个网络,因此叫做“密码网络分离”。
[0015] 在到EPS的E-UTRAN接入的背景下,密码网络分离用以下方式来实现:
[0016] -对于E-UTRAN接入网络,归属订户服务器(HSS)仅使用带有AMF分离位=1的认证向量;
[0017] -对于UTRAN接入网络,归属订户服务器(HSS)仅使用带有AMF分离位=0的认证向量;
[0018] -当经由E-UTRAN进行接入时,HSS不发送CK、IK到HSS之外的另一个实体,而是发送从CK、IK和服务网络标识中导出的密钥到服务网络中的MME;以及
[0019] -对于E-UTRAN接入网络,UE仅接收带有AMF分离位=1的认证向量。
[0020] 在非3GPP接入网络的背景下,对于订户认证,使用协议EAP-AKA(用于认证及密钥协商的可扩展认证协议)。EAP-AKA终止(terminate)在3GPP AAA(接入、授权和计费)服务器中,该服务器总是位于本地网络中。3GPP AAA服务器从HSS(归属订户服务器)获取密钥CK、IK。密钥CK、IK然后保留在位于本地网络中的3GPP AAA服务器中。因此,CK、IK的窃取在这里不是问题。然而,3GPP AAA服务器从CK、IK产生主会话密钥(Master Session Key,MSK)并且然后发送MSK到认证器(authenticator),该认证器是控制从用户装置的接入的实体。在到EPS的非3GPP接入的背景下,在所谓的可信接入的情况下认证器可以是非3GPP接入网络中的实体,或者在所谓的不可信接入的情况下认证器可以是3GPP EPS网络中的演进分组数据网关(ePDG)。
[0021] 问题在于认证器可能被盗用并且可能使用MSK来冒充不同网络中的另一个认证器。例如,从3G-WLAN交互工作系统的WLAN(无线局域网)接入点可以获取MSK并且然后冒充EPS网络中的ePDG或者eHRPD网络中的认证器。这将使EPS网络的安全性依赖于WLAN接入点的安全性。但是,后者可能享有相当低的物理安全性并且可能位于暴露的位置。而且,可能脆弱地保护从这个WLAN接入点的回程链路。EPS安全性对WLAN安全性的这种依赖性因此是非常不希望的。
发明内容
[0022] 提供用于解决上面问题的设备和方法,其被定义在所附的权利要求书中。本发明的实施例也可以由计算机程序产品来实施。
[0023] 根据本发明的实施例,在到EPS的非3GPP接入的背景下,可以防止攻击者通过盗用不同网络中的另一个认证器来冒充认证器。换言之,可以在到EPS的非3GPP接入的背景下提供认证器的密码分离以及认证器所位于的网络的密码分离。
[0024] 根据本发明的实施例,EAP-AKA协议不必被改变并且不要求对认证器进行协议改变。
附图说明
[0025] 图1示出说明根据本发明的实施例的用于可信接入的认证及密钥协商的信令图。
[0026] 图2示出说明根据本发明的实施例的用于不可信接入的认证及密钥协商的信令图。
[0027] 图3示出说明根据本发明的实施例的用户装置、认证器、认证服务器和归属订户服务器的结构的示意框图。
具体实施方式
[0028] 在下文中本发明将参考形成部分说明书的附图通过其实施例进行描述。
[0029] 为了下面本文中要描述的本发明的实施例,应当注意:
[0030] -用户装置可以例如是用户可以借助于其接入通信网络的任何装置;这意味着移动以及非移动装置和网络,与它们所基于的技术平台无关;仅作为示例,应当注意配有为了安全性目的而带有USIM(用户服务标识模块)应用的UICC(UMTS(通用移动电信系统)集成电路卡)的终端尤其适合用于与本发明结合;
[0031] -可能被实施为软件代码部分并且使用在实体之一处的处理器运行的方法步骤是与软件代码无关的并且可以使用任何已知的或将来开发的编程语言来指定;
[0032] -可能被实施为在实体之一处的硬件部件的方法步骤和/或装置是与硬件无关的并且可以使用任何已知的或将来开发的硬件技术或者这些诸如MOS、CMOS、BiCMOS、ECL、TTL等等的任何混合来实施,作为示例,使用例如ASIC部件或DSP部件来实施;
[0033] -通常,任何方法步骤适合于作为软件或由硬件来实施而不改变本发明的思想;
[0034] -装置可以被实施为个别装置,但这不排除它们以遍及系统的分布式方式被实施,只要维持装置的功能性。
[0035] 如上所述,在非3GPP接入网络的背景下,对于订户认证,使用协议EAP-AKA。EAP-AKA终止在AAA服务器(3GPP AAA服务器)中,该AAA服务器在3GPP网络的背景下总是位于本地网络中。3GPPAAA服务器从HSS获取密钥CK、IK。密钥CK、IK然后保留在位于本地网络中的3GPP AAA服务器中。3GPP AAA服务器从CK、IK产生主会话密钥(MSK)并且然后发送MSK到认证器,该认证器是控制从用户装置(UE)的接入的实体。在EPS的非3GPP接入的背景下,在所谓的可信接入的情况下认证器可以是非3GPP接入网络中的实体,或者在所谓的不可信接入的情况下认证器可以是3GPP EPS网络中的演进分组数据网关(ePDG)。
[0036] 根据本发明的实施例,HSS不发送密钥CK、IK到AAA服务器,而是应用变换以获取密钥CK_new、IK_new。UE应用对从USIM(UMTS订户标识模块)获取的密钥CK、IK应用相同的变换。AAA服务器、UE上的EAP对等机(peer)、以及认证器不通知这种变换并且继续进行EAP-AKA。此外,就当AAA服务器用于EPS接入时HSS仅向AAA服务器发送带有设定为1的AMF分离位的认证向量,并且当UE接入EPS时UE检查AMF分离位被设定为1的情况而言,AMF分离位的使用针对E-UTRAN接入。
[0037] 为了实现认证器或服务网络到UE的认证,根据本发明的实施例,由HSS和UE应用的变换包括有意义的认证器或服务网络标识,例如ePDG的完全合格域名、或者识别eHPRD网络的移动国家码(MCC)加上移动网络码(MNC)。UE和HSS具有可用的相同形式的标识。
[0038] 分别从CK、IK和从CK_new、IK_new导出的MSK密钥是不同的。因此,例如窃取从CK、IK导出的MSK的WLAN接入点不能使用这个MSK来冒充EPS背景下的认证器,至于后者MSK将不得不从CK_new、IK_new导出。
[0039] 在下文中将通过参考图1和2来描述实施示例。
[0040] 图1示出说明根据本发明的实施例的用于从非3GPP接入网络可信接入EPS的认证及密钥协商的信令图。
[0041] 图2示出说明根据本发明的实施例的用于不可信接入的认证及密钥协商的信令图。
[0042] 根据本发明的实施例,EPS中用于非3GPP接入的接入认证是基于EAP-AKA。位于EPC中的AAA服务器30(3GPP AAA服务器)可以充当EAP-AKA的EAP服务器。
[0043] 根据实施例,假设当且仅当带有AMF分离位=1的认证向量用于实施例中定义的过程,HSS 40就发送该认证向量到AAA服务器30。
[0044] 根据本发明的实施例,每当不执行图2所示的过程时,就执行图1所示的过程。
[0045] 如图1所示,在步骤S101中使用对非3GPP接入网络特定的过程来建立UE 10和可信非3GPP接入网络之间的连接。
[0046] 在步骤S102中,可信非3GPP接入网络中的认证器20向UE 10发送EAP请求/标识以请求用户标识。在步骤S103中,UE 10发送EAP响应/标识(EAP Response/Identity)消息。UE 10发送其符合网络接入标识符(NAI)格式的标识。NAI包含在先前运行认证过程时分配给UE 10的假名(pseudonym)或者在首次认证的情况下包含IMSI(国际移动订户标识)。在首次认证的情况下,NAI指示EAP-AKA。
[0047] 在步骤S104中,EAP响应/标识消息基于NAI的领域(realm)部分而被路由到AAA服务器30。路由路径可以包括一个或若干AAA代理(在图1中未示出)。在步骤S105中,AAA服务器30通过Ta*/Wd*接口(未示出)接收包含订户标识的EAP响应/标识消息。
[0048] 在步骤S106中,AAA服务器30检查其是否具有可用于该订户(即UE 10)的带有AMF分离位=1的未使用认证向量。如果否,则在步骤S106中从HSS 40检索新的认证向量集。为此,AAA服务器30将认证向量是用于EPS使用的指示和认证器20所位于的接入网络的标识(例如eHRPD接入网络的MCC+MNC)包括在步骤106中发送到HSS 40的消息中。请求从暂时标识符到IMSI的映射。HSS 40从带有AMF分离位=1的认证中心(未示出)检索认证向量。HSS 40然后通过计算(CK_new、IK_new)=F(CK、IK、<接入网络标识>、<可能的其他参数>)而把这个认证向量变换成新的认证向量,其中F是密钥导出函数。HSS
40然后在步骤S106中把这个变换的认证向量发送到AAA服务器30。
40然后在步骤S106中把这个变换的认证向量发送到AAA服务器30。
[0049] 要注意的是,AAA服务器30不通知该变换并且像任何其他认证向量那样处理这个认证向量。
[0050] 另外,AAA服务器30在其检测到UE 10的用户所选择的VPLMN(受访公共陆上移动网)发生了变化时可以从HSS 40检索认证向量。这例如可以发生在用户正在执行VPLMN重选过程并且正在经由新的VPLMN启动新的认证过程时。
[0051] HSS 40可以检查是否存在已经被注册来为该订户(即UE 10)服务的3GPP AAA服务器。在HSS 40检测到另一个AAA服务器已经注册用于该订户的情况下,其可以给AAA服务器30提供先前注册的AAA服务器地址。然后通过直径(Diameter)特定的机构把认证信令路由到先前注册的AAA服务器,例如AAA服务器30把先前注册的AAA服务器地址转移到3GPP AAA代理或可信非3GPP接入网络中的AAA实体,或者AAA服务器30充当AAA代理并且把认证消息转发到先前注册的AAA服务器。
[0052] 在步骤S107中,AAA服务器30再次使用EAP请求/AKA标识(EAP Request/AKA Identity)消息来请求用户标识。在中间节点可能改变了或替换了EAP响应标识消息中接收的用户标识时,执行这个标识请求。然而,如果保证用户标识在EAP响应标识消息中不会以任何手段被改变或修改,则本地运营商可以忽略用户标识的这个新请求。
[0053] 在步骤S108中,接入网络中的认证器20把EAP请求/AKA标识消息转发到UE 10。在步骤S109中,UE 10用其在先前EAP响应标识消息中使用的相同标识来做出响应。在步骤S110中,接入网络中的认证器20把EAP响应/AKA标识转发到AAA服务器30。在这个消息中接收的标识将被AAA服务器30用于认证过程的其余部分。如果在两个消息(EAP响应标识和EAP响应/AKA标识)中接收的标识之间发现不一致以使得先前从HSS 40检索的用户简档和认证向量无效,则可以再次想HSS 40请求这些数据。换言之,步骤S106可以被重复然后继续步骤S111。
[0054] 为了优化性能,可以在用户简档和认证向量检索之前执行标识再请求过程(步骤S107到S110)。
[0055] 在步骤S111中,AAA服务器30检查其是否具有可用的UE 10的EPS接入简档。如果否,则从HSS 40检索EPS接入简档。AAA服务器30验证UE 10被授权使用EPS。要注意的是,可以在步骤105之后且在步骤S114之前的某个其他点时执行这个步骤。
[0056] 在步骤S112中,根据EAP-AKA从IK_new、CK_new导出新的密钥资料。可以选择新的假名和/或再认证ID并且如果被选择的话它们应当使用从EAP-AKA生成的密钥资料进行保护,即进行加密和完整性保护。
[0057] 在 步 骤 S113 中,AAA 服 务 器30 在 EAP 请 求 /AKA 提 问 (EAPRequest/AKA-Challenge)消息中把RAND、AUTN、消息认证码(MAC)以及两个标识(如果它们被生成的话)、受保护的假名和/或受保护的再认证id发送到接入网络中的认证器20。再认证id的发送取决于3GPP运营商关于是否允许快速再认证过程的策略。这意味着在任何时候AAA服务器30(基于由运营商设定的策略)决定包括再认证id或不包括,因而允许或不允许快速再认证过程的触发。
[0058] AAA服务器30也可以把结果指示发送到接入网络中的认证器20,以便指示其希望在过程的结尾保护成功的结果消息,即结果是否是成功的。结果消息的保护取决于本地运营商的策略。
[0059] 在步骤S114中,接入网络中的认证器20把EAP请求/AKA提问消息发送到UE 10。
[0060] 在步骤S115中UE 10首先检查EAP请求/AKA提问消息中的AMF分离位是否被设定为1。如果情况不是如此,UE 10拒绝认证。否则,UE 10运行USIM应用上的AKA算法。USIM应用验证AUTN是正确的并由此认证网络。如果AUTN是不正确的,则UE 10拒绝认证(在这个示例中未示出)。如果序列号不同步,则UE 10启动同步过程。如果AUTN是正确的,则USIM应用计算RES、IK和CK。
[0061] 此外,在步骤S115中UE 10以与HSS 40相同的方式计算(CK_new、IK_new)=F(CK、IK、<接入网络标识>、<可能的其他参数>),其中F是密钥导出函数。UE 10以与AAA服务器30相同的方式从新计算的IK和CK(即CK_new、IK_new)导出所需的附加新密钥资料(包括密钥MSK)并且用新导出的密钥资料检查所接收的MAC。
[0062] 如果受保护的假名和/或再认证标识被接收,则UE 10存储(一个或多个)暂时标识以用于将来的认证。
[0063] 在步骤S116中UE 10用新的密钥资料来计算覆盖EAP消息的新MAC值。UE 10把包含计算的RES和新计算的MAC值的消息EAP响应/AKA提问发送到接入网络中的认证器20。UE 10可以在这个消息中包括其是否从AAA服务器30接收相同指示的结果指示。否则,UE 10可以忽略这个指示。
[0064] 在步骤S117中,接入网络中的认证器20向AAA服务器30发送EAP响应/AKA提问消息。在步骤S118中AAA服务器30检查所接收的MAC并且将XRES与所接收的RES进行比较。如果步骤S118中的所有检查都成功,则在步骤S119中AAA服务器30可以在EAP成功消息之前发送消息EAP请求/AKA通知,如果先前请求AAA服务器30使用保护的成功结果指示的话。这个消息是受保护的MAC。
[0065] 在步骤S120中,接入网络中的认证器20把消息转发到UE 10。在步骤S121中UE10发送EAP响应/AKA通知。在步骤S122中,接入网络中的认证器20把EAP响应/AKA通知消息转发到AAA服务器30。AAA服务器可以忽略这个消息的内容。在步骤S123中AAA服务器30把EAP成功消息发送到接入网络中的认证器20,这可以在EAP通知之后,如在步骤S120中所解释的。AAA服务器30在底层的AAA协议消息中(即不在EAP层级)也包括密钥资料,例如密钥MSK。接入网络中的认证器20存储接入网络所需的用于与被认证UE10通信的密钥资料。
[0066] 在步骤S124中,接入网络中的认证器20用EAP成功消息向UE10告知成功认证。现在EAP AKA交换已被成功地完成,并且UE 10和接入网络中的认证器20共享在该交换期间导出的密钥资料。在步骤S125中AAA服务器可以启动向HSS 40的注册。
[0067] 认证过程可能例如由于MAC的不成功检查或者在网络请求后没有来自UE 10的响应而在任何时候失败。在这种情况下,EAP AKA过程将终止并且应当把指示发送到HSS 40。
[0068] 在下文中,到EPS的不可信接入的隧道全认证和授权过程将通过图2所示的实施例进行描述。EPS网络中的隧道端点是充当认证器的ePDG 60。作为隧道建立尝试的一部分,请求特定APN(接入点名称)的使用。当UE 50执行隧道建立的新尝试时,UE 50应当使用IKEv2(因特网密钥交换版本2)。UE 50在其作为IKEv2启动器的角色中的认证终止于AAA服务器30(3GPP AAA服务器)。UE 50可以通过IKEv2把EAP消息发送到ePDG 60。ePDG 60可以提取通过IKEv2从UE 50接收的EAP消息,并且把它们发送到AAA服务器30。
UE 50可以使用IKEv2的配置有效载荷以获取远程IP地址。
UE 50可以使用IKEv2的配置有效载荷以获取远程IP地址。
[0069] 忽略关于认证的EAP-AKA消息参数和过程。仅解释与IKEv2内EAP-AKA的使用有关的决定和过程。
[0070] 在UE 50和ePDG 60生成作为输入的随机数(nonces)以导出IKEv2中的加密和认证密钥时,提供回放保护。为此,不需要AAA服务器30再次使用EAP-AKA特定方法来请求用户标识,因为AAA服务器30确信没有中间节点修改了或改变了用户标识。
[0071] 在步骤S201中,UE 50和ePDG 60交换第一对消息IKE_SA_INIT,其中ePDG 60和UE 50协商密码算法、交换随机数并且执行Diffie_Hellman交换。
[0072] 在步骤S202中,UE 50发送IKE_AUTH阶段的第一消息中的用户标识(在IDi有效载荷中)和APN信息(在IDr有效载荷中),并且开始子安全性关联的协商。UE 50忽略AUTH参数以便向ePDG 60指示其想要通过IKEv2使用EAP。用户标识应当符合针对EAP-AKA协议定义的包括IMSI或假名的网络接入标识符(NAI)格式。UE 50可以发送IKE_AUTH请求消息内的配置有效载荷(CFG_REQUEST)以获取远程IP地址。
[0073] 在步骤S203中,ePDG 60向AAA服务器30发送带有空EAP AVP(属性值对)的认证请求消息,包含用户标识和APN。ePDG 60应当包括PDG类型指示符,指示正在执行认证以进行与ePDG而不是I-WLAN(询问WLAN)PDG的隧道建立。这将帮助AAA服务器30区分在如关于图1描述的用于可信接入的认证、在也将允许EAP-SIM(订户标识模块)的I-WLAN中用于隧道设置的认证、以及在仅允许EAP-AKA的EPS中用于隧道设置的认证。
[0074] 在步骤S204中,AAA服务器30可以从HSS 40取得用户简档和认证向量,如果这些参数在AAA服务器30中不可获得的话。AAA服务器30在其向HSS 40的请求中包括PDG类型指示符、以及ePDG的标识。
[0075] 此外,在步骤S204中,HSS 40从带有AMF分离位=1的认证中心检索认证向量。HSS 40然后通过计算(CK_new、IK_new)=F(CK、IK、、<可能的其他参数>)而把这个认证向量变换成新的认证向量,其中F是密钥导出函数。HSS 40然后把这个变换的认证向量发送到AAA服务器30。
[0076] 要注意的是,AAA服务器30不通知该变换并且像任何其他认证向量那样处理这个认证向量。
[0077] 另外,AAA服务器30在其检测到用户所选择的VPLMN发生了变化时可以从HSS 40检索认证向量。这例如可以发生在用户正在执行VPLMN重选过程并且正在经由新的VPLMN启动新的认证过程时。要注意的是,用户不能启动新的认证过程。
[0078] 在步骤S205中,AAA服务器30启动认证提问。用户标识不被再次请求。在步骤S206中,通过消息IKE_AUTH响应,ePDG 60用其标识、证书做出响应,并且发送AUTH参数以保护其在IKE_SA_INIT交换中发送到UE 50的先前消息。ePDG 60也完成子安全性关联的协商。从AAA服务器30接收的EAP消息EAP请求/AKA提问被包括以便通过IKEv2开始EAP过程。
[0079] 在步骤S207中,UE 50首先检查在从ePDG 60接收的消息IKE_AUTH响应中是否把AMF分离位设定为1。如果情况不是如此,则UE 50拒绝认证。否则,UE 50运行USIM应用上的AKA算法并检查认证参数,如关于图1中的步骤S115所描述的。
[0080] UE 50然后以与HSS 40相同的方式计算(CK_new、IK_new)=F(CK、IK、、<可能的其他参数>),其中F是密钥导出函数。UE 50以与AAA服务器30相同的方式根据EAP-AKA协议从新计算的IK和CK(即CK_new、IK_new)导出所需的附加新密钥资料(包括密钥MSK),并且在步骤S207a中对认证提问做出响应。IKEv2消息IKE_AUTH请求中的唯一有效载荷(与头部(header)分开)是EAP消息EAP响应/AKA提问。
[0081] 在步骤S208中,ePDG 60把EAP响应/AKA提问消息转发到AAA服务器30。在步骤S209中,当所有检查成功时,AAA服务器30向ePDG 60发送包括EAP成功和密钥资料的认证应答(AuthenticationAnswer)。这种密钥资料应当包括在认证过程期间生成的MSK。当使用Diameter来实施ePDG 60和AAA服务器30之间的Wm*和Wd*接口时,MSK可以被封装在EAP-Master-Session-Key参数中。
[0082] 在步骤S209a中,ePDG 60向AAA服务器30发送带有空EAP AVP的授权请求消息,包含APN。在步骤S209b中,AAA服务器30在用户的预订(UE 50的预订)中检查用户(UE50)是否被授权建立隧道。该APN的IKE SA(因特网密钥交换安全性关联)的计数器逐步增加。如果超过该APN的IKE SA的最大数量,则AAA服务器30应当向建立最老的活动IKE SA的ePDG(其可以是ePDG 60或不同的ePDG)发送指示以删除最老的所建立IKE SA。AAA服务器应当相应地更新对APN活动的IKE SA的信息。
[0083] 在步骤S209c中,AAA服务器30发送AA应答(AA-Answer)到ePDG 60。如果步骤S109a中的授权请求消息包含暂时标识,即如果AA请求不包含IMSI,则AAA服务器30可以发送AA应答内的IMSI。
[0084] 在步骤S210中,MSK应当被ePDG 60用来生成AUTH参数以便认证为IKEv2所指定的IKE_SA_INIT阶段消息。这两个第一消息先前未被认证,因为仍不存在可用的密钥资料。在EAP交换中生成的共享秘密,例如MSK,在通过IKEv2被使用时应当用来生成AUTH参数。
[0085] 在步骤S211中,EAP成功/失败(Success/Failure)消息通过IKEv2被转发到UE50。在步骤S212中,UE 50可以把MSK的其自己拷贝作为输入以生成AUTH参数从而认证第一IKE_SA_INIT消息。AUTH参数被发送到ePDG 60。
[0086] 在步骤S213中,ePDG 60检查从UE 50接收的AUTH的正确性。在这个时候认证UE 50。在使用S2b参考点的情况下,在ePDG 60和PDN GW(分组数据网络网关)(未示出)之间的PMIP(代理移动IP(Proxy Mobile IP))信令可以开始。ePDG 60只有在成功完成PMIP绑定更新过程后才继续关于图2所描述的过程中的下一步骤。
[0087] 在步骤S214中,ePDG 60计算认证第二IKE_SA_INIT消息的AUTH参数。ePDG 60应当发送配置有效载荷(CFG_REPLY)中所分派的远程IP地址。然后把AUTH参数连同配置有效载荷、安全性关联和IKEv2参数的其余部分一起发送到UE 50,并且IKEv2协商终止。
[0088] 在步骤S215中,如果ePDG 60检测到已经存在该APN的老IKESA,则其将删除IKE SA并且向UE 50发送带有Delete payload(删除有效载荷)的信息交换(INFORMATIONAL exchange)以便删除UE 50中的老IKE SA。
[0089] 图3示出说明根据本发明的实施例的用户装置100、认证器200、认证服务器300和归属订户服务器400的结构的示意框图。用户装置100可以充当图1所示的UE 10或图2所示的UE 50。认证服务器300可以充当图1和2所示的AAA服务器,并且归属订户服务器400可以充当图1和图2所示的HSS 40。认证器200可以充当图1所示的认证器20或图3所示的ePDG 60。
[0090] 根据图3所示的实施例,用户装置100包括处理器310、接收器311和发射器312,它们彼此经由总线313进行通信。认证服务器300包括处理器330、接收器331和发射器332,它们彼此经由总线333进行通信。归属订户服务器400包括处理器340、接收器341和发射器342,它们彼此经由总线343进行通信。认证器200包括处理器320、接收器321和发射器322,它们彼此经由总线323进行通信。
[0091] 认证器200的处理器320在用户装置和网络之间的认证期间控制从用户装置100到网络(例如EPS网络)的接入,并且可以在控制期间使发射器322传送认证器200的标识和使用信息到认证服务器300。
[0092] 认证服务器300的处理器330检查包括被设定(即被设定为1)的分离指示符(AMF分离位)的未使用认证信息是否在用户装置100和EPS网络之间的认证期间可用于用户装置100。在未使用认证信息不可用的情况下,处理器330将控制从用户装置100到EPS网络的接入的认证器200的标识和使用信息包括在对认证信息的请求中并且使发射器331传送请求。使用信息可以包括认证信息用于演进分组系统使用的指示和指示为与认证器200的隧道建立而执行认证的指示符中的至少一个。指示符和/或标识可以从认证器200进行接收。认证器200的标识可以包括完全合格域名、移动国家码和移动网络码中的至少一个。
[0093] 归属订户服务器400的处理器341可以从认证服务器300接收对认证信息的请求。归属订户服务器400的处理器340依据使用信息把用户化装置100的密码密钥(CK、IK)变换成基于认证器200的标识的接入特定的密码密钥(CK_new、IK_new),并且依据使用信息生成包括接入特定的密码密钥和被设定(即被设定为1)的分离指示符(AMF分离位)的认证信息,并且归属订户服务器400的发射器342传送认证消息到认证服务器300。
[0094] 认证服务器300的接收器311从归属订户服务器400接收认证信息,并且处理器330根据接入特定的密码密钥计算对认证方法特定的密钥(MSK)。认证方法可以基于用于认证及密钥协商的可扩展认证协议方法(EAP-AKA)。
[0095] 用户装置100的处理器310检查在认证信息中包括的分离指示符(AMF分离位)是否被设定(即被设定为1)。认证信息可以在用户装置100和EPS网络之间的认证期间由接收器311使用用于认证及密钥协商的可扩展认证协议方法(EAP-AKA)从认证器200进行接收。如果分离指示符被设定,则处理器310把从插入在用户装置100中的USIM(未示出)获取的密码密钥(CK、IK)变换成基于认证器200的标识的接入特定的密码密钥(CK_new、IK_new),并且根据接入特定的密码密钥计算对认证方法特定的密钥(MSK)。发射器312可以使用用于认证及密钥协商的可扩展认证协议方法来传送认证消息。
[0096] 根据本发明的实施例,归属订户服务器400从认证服务器300接收对认证信息的请求并且基于控制从用户装置100到EPS网络的接入的认证器200的标识把用户装置100的密码密钥(CK、IK)变换成接入特定的密码密钥(CK_new、IK_new),并且生成包括接入特定的密码密钥和被设定的分离指示符的认证信息。用户装置100检查在认证信息中包括的分离指示符是否被设定,并且如果分离指示符被设定,则基于认证器200的标识把密码密钥变换成接入特定的密码密钥,并且根据接入特定的密码密钥计算对认证方法特定的密钥(MSK)。
[0097] 根据如上所述的本发明的实施例,在对受AAA服务器控制的EAP机构透明的HSS和UE上并行导出新的密钥CK_new、IK_new。这些新导出的密钥不能被误用于其他网络中的授权。
[0098] 在用于非3GPP不可信接入的EPS中,密码分离是具有认证器粒度。如上所述,所涉及的实体是HSS和ePDG。结果,即使当每服务PLMN存在若干ePDG(认证器)时,一个认证器不能冒充另一个认证器。
[0099] 在用于非3GPP可信接入的EPS中,密码分离是按照PLMN层级,如上所述。如果认证器可以给AAA服务器提供有意义的标识,则其也可以是按照认证器。
[0100] 要理解,实施例的上面描述是说明发明的而不要解释为限制发明。本领域的技术人员可以在不偏离由所附权利要求书定义的发明的真实精神和范围的情况下想到各种修改和应用。