[发明专利]一种LTE中鉴权的方法

摘要

针对目前LTE网络中存在的安全问题，本发明提出了一种新的鉴权方法，在方法中，由于增加了核心网对eNodeB的鉴权并把鉴权结果发送给MME，这样就避免了一些非法的eNodeB对核心网和用户进行攻击；当UE需要向核心网发送IMSI时，需要根据分配的TMSI完成上述通信流程，后利用ASE给UE颁发的身份来加密IMSI，这样避免了UE以明文的方式发送IMSI，使之不易被截获；通过本发明鉴权步骤，能够使UE到ASE之间的通信链路是安全的，可以更新共享密钥K。当然，后面两个问题的解决，是依赖于事先已经建立过的安全的链路而实现的。

主权项

一种在LTE中，身份鉴权方法，包括以下步骤：1）UE向eNode B发起附着请求a及网络选择指示，消息包含TMSI/IMSI、UE能力、UE的身份，以及分组数据网PDN地址;2）eNode B根据TMSI/IMSI和网络选择指示推导得到MME，并生成附着请求b，附着请求b包含UE能力、UE的身份、eNode B的身份及PDN地址;3）eNode B发送附着请求b到MME;4）MME生成鉴权请求，消息包含TMSI/IMSI、服务网标识SNID、网络类型、UE的身份及eNode B身份;5）MME发送鉴权请求到HSS;6）HSS用SNID对UE所在的服务网络进行验证,若验证失败，则拒绝该消息;若验证通过，则HSS中的ASE分别对UE及eNode B的身份进行验证，然后生成计数值SQNHSS和随机数RAND，同时产生一个或一组鉴权向量AV，它包括参数RAND、鉴证令牌AUTN、XRES和密钥KASME,然后，HSS生成鉴权响应，它包含鉴权向量AV和ASE对UE的身份及eNode B身份验证的结果；7）HSS发送鉴权响应到MME；8）MME根据收到ASE对eNode B身份验证的结果进行处理，若eNode B不合法，则拒绝该消息；若它合法，则储存AV并生成用户鉴权请求a，它包含参数AUTN、RAND、KSIASME以及ASE对UE身份验证结果，其中KSIASME是用来标识KASME，目的是为了终端能获得和网络端一样的KASME；9）MME发送用户鉴权请求a到eNode B；10）根据ASE对UE身份验证的结果进行处理，若UE不合法，则拒绝UE接入，若合法，则生成用户鉴权请求b，它包括参数AUTN、RAND和KSIASME；11）eNode B发送用户鉴权请求b到UE；12）UE先核实收到的AUTN的鉴证管理域AMF，若合适，则UE通过计算得出的XMAC，若不等于MAC，则UE将不接入网络，若两者相等，则生成用户鉴权响应；13）UE发送用户鉴权响应到MME：由UE先发送用户鉴权响应到eNode B，后由eNode B转发到MME；14）MME计算得出的RES，若不等于XRES，则拒绝该消息，若两者相等，则完成鉴权。