[发明专利]一种面向异构网络的批量切换认证及密钥协商方法

说明书

本发明提供了一种面向异构网络的批量切换认证及密钥协商方法，其主要实现步骤是：系统建立及参与者注册：参与认证的用户在LTE‑A网络完成注册，以获取各自的身份信息；B、接入认证：大量用户同时请求接入WLAN网络时，利用发现功能模块ANDSF发现目标网络WLAN，由组长(Leader)将完整的组认证消息发送给WLAN网络的AAA服务器以请求身份认证。认证成功后，由WLAN网络的AAA服务器返回身份认证响应；C、认证失败，终止协议继续执行。该方法有效实现用户从LTE‑A网络切换到WLAN网络的批量认证，因此认证效率高，信令开销小，安全性好。

技术领域

本发明属于LTE-A和WLAN集成的异构网络技术领域，尤其涉及一种面向异构网络的批量切换认证及密钥协商方法。

背景技术

近年来，随着移动设备的不断普及，用户对实时稳定的无线网络需求迅速增加，不仅要求基本的通信服务，还希望能够享受在线游戏、视频等丰富的多媒体服务。随着5G时代的到来，新一代无线通信系统将集成不同的无线接入技术以支持用户设备安全的无缝切换以及具有不同服务质量(QoS)要求的应用程序和服务。集成的异构网络由具有不同传输功率和覆盖范围的节点组成，高功率节点(High Power Node，HPN)覆盖区域广，因此通常部署在城市、郊区和农村等地区以提供全面覆盖；低功率节点(Low Power Node，LPN)则通常部署在火车站、图书馆等地方实现小范围覆盖，以提升系统容量和网络吞吐量。融合HPN和LPN的异构网络能够实现更大的网络容量和覆盖范围。因此，作为使用最广泛的技术和标准，3GPP LTE-A网络(提供HPN)和WLAN(提供LPN)的集成的典型异构网络架构将支持大量用户设备高质量的数据服务。因此，用户将不可避免地面临在LTE-A和WLAN异构网络间进行切换的问题，为了保证无线通信的安全性，需要进行安全的身份认证以及密钥协商。

本方案采用的LTE-A和WLAN集成的异构网络架构。其中，服务网关(S-GW)支持3GPP接入连接，具备用于IP移动性管理的移动访问网关(MAG)功能；接入网关(A-GW)支持非3GPP接入连接，在受信任的非3GPP接入中充当MAG；PDN网关(PDN GW)负责将IP地址分配给用户设备，并作为3GPP和非3GPP接入网络之间的LMA管理用户设备的绑定撤销状态；发现功能模块ANDSF模块支持3GPP和非3GPP接入网的发现与选择，以此作为异构网络的无缝切换过程的可信第三方，用户设备通过S14接口向发现功能模块ANDSF发送其身份位置等关键信息，以请求目标接入网络检测；3GPP中定义的发现功能模块ANDSF为异构网络的系统间切换提供了必要的网络发现和选择辅助功能，即将相关可用目标接入网络信息以及运营商的系统间移动策略规则等作为接入网络信息响应发送给用户设备；AAA服务器则负责对用户设备进行身份验证并授权合法设备访问网络。针对目前接入认证协议流程，存在以下问题：

(1)不适用于规模庞大的群体接入认证。由于在异构网络架构下，用户对目标接入网络的移动访问网关相关接入策略不明确，若每个用户单独利用发现功能模块ANDSF请求接入网关信息，不仅会导致严重的网络拥塞问题，还会消耗大量的网络资源，计算开销和通信开销将成倍增长。

(2)安全等级低。在异构网络中，相关信令通过开放的空中接口进行传输，在这个过程中，协议无法提供隐私保护容易遭受假冒、中间人攻击、重放攻击和重定向攻击等多种恶意攻击。同时，目标接入网络与用户协商的会话密钥不具备前向/后向安全性，一旦发生会话密钥泄露，将导致机密信息泄露，整个通信过程将不再安全。

发明内容

针对现有技术中的上述不足，本发明提供的一种面向异构网络的批量切换认证及密钥协商方法，能够有效实现大量用户从LTE-A网络安全快速切换到WLAN网络，在实现批量切换认证的同时，大大降低系统开销，并为无线通信下的用户提供强大的安全保障。

为了达到以上目的，本发明采用的技术方案为：

本方案提供了一种面向异构网络的批量切换认证及密钥协商方法，包括以下步骤：