[发明专利]家庭基站系统中用户终端接入认证及重认证的方法

摘要

本发明公开了一种在家庭基站系统中用户终端接入认证及重认证的方法，主要解决现有标准中没有给出用户终端通过家庭基站接入核心网络认证方法的缺陷。其接入认证过程为：首先将用户的身份和家庭基站的身份同时发送给HNBHLR进行查询，根据用户的身份是否存在于家庭基站的CSG列表中进行判决；然后在用户终端与鉴权服务器之间采用改进的EAP-AKA协议进行相互认证。其重认证过程为：首先通过比较用户的身份和家庭基站网关中所存储的身份是否相同进行判决；然后通过分级密钥对现有的EAP-AKA重认证方法进行改进，实现用户终端与鉴权服务器间的相互认证。本发明具有流程简便、高效、可靠、安全性能好等优点，适合于家庭基站系统中用户终端的接入认证及重认证。

主权项

一种用户终端通过家庭基站接入核心网的接入认证方法，包括以下步骤：(1)家庭基站HNB向用户终端UE发送身份请求信息EAP request/identity；(2)UE将用户终端的身份信息UE ID通过身份响应信息EAP response/identity发送给HNB，HNB再将身份响应信息EAP response/identity转发给家庭基站网关HNB-GW；(3)HNB-GW从身份响应信息EAP response/identity中得到用户终端身份信息UEID，并将UE ID以及家庭基站的身份信息HNB ID一起发送给家庭基站的用户属性归属服务器HNB HLR；(4)家庭基站的用户属性归属服务器HNB HLR查看在此HNB ID下的闭合用户群列表CSG是否存在此UE ID，如果有，则向家庭基站网关HNB-GW发送确认信息，如果没有，则向HNB-GW发送终止接入消息；(5)HNB-GW如果收到确认消息，则向鉴权服务器AAA发送UE ID，请求对用户进行认证，如果收到终止接入信息，则将此信息返回给UE，进行重新搜索；(6)AAA收到用户终端身份信息UE ID后，与用户属性归属服务器HLR进行交互，得到UE ID的认证向量AV，该AV包括随机数RAND，挑战响应值XRES，加密密钥CK，完整性密钥IK和挑战值AUTN；(7)AAA生成一个随机数RANDi和一个新的重认证身份信息next ID，并利用机密性密钥K_encr对用户重认证的身份信息next ID、重认证的次数Nr、家庭基站身份信息HNB ID以及随机数RANDi进行加密，得到秘密信息(next ID，Nr，HNB ID，RANDi)K_encr，和计算消息认证码MAC；再将随机数RAND，挑战值AUTN，秘密信息(next ID，Nr，HNB ID，RANDi)K_encr和消息认证码MAC通过一个挑战信息EAP request/AKA-challenge发送给家庭基站网关HNB-GW；(8)HNB-GW将挑战信息EAP request/AKA-challenge发送给家庭基站HNB，HNB再将EAP request/AKA-challenge信息发送给UE；(9)UE验证AUTN及MAC是否正确，若有一个不正确，则UE认证AAA失败，并终止认证，若都正确，则UE认证AAA成功，利用机密性密钥K_encr对秘密信息(next ID，Nr，HNB ID，RANDi)K_encr进行解密，得到next ID、HNB ID、RANDi和Nr，并保存这些信息，再生成挑战值RES和新的消息认证码MAC1，并将该挑战值RES和新的消息认证码MAC1通过一个挑战响应消息EAP response/AKA-challenge发送给HNB；(10)HNB将挑战响应消息EAP response/AKA-challenge转发给HNB-GW，HNB-GW再将EAP response/AKA-challenge信息转发至AAA；(11)AAA首先验证MAC1是否正确，并将所收到的RES与从认证向量AV中得到挑战响应值XRES进行比较，如果有一个不正确，则AAA认证UE失败，并终止认证，如果都正确，则AAA认证UE成功，并利用主会话密钥MSK分别生成主传输会话密钥KA，UE与HNB之间的传输会话密钥KH，以及UE与AAA之间的传输会话密钥KS，再将成功消息EAP success、重认证身份信息next ID以及KH发送给HNB-GW；(12)HNB-GW保存重认证身份信息next ID，并将EAP success和KH发送给HNB；(13)HNB保存KH，并将EAP success信息转发给UE；(14)UE收到成功消息后，分别利用主会话密钥MSK生成KA、KH和KS，接入认证过程结束。