一种基于公钥实现用户与网络认证和密钥分发的方法

摘要

本发明提供了一种基于公钥实现用户与网络认证和密钥分发的方法，其步骤包括：1)通讯网络中配置一套公钥基础设施PKI，由证书认证中心对网络中通讯实体颁发公钥证书；2)用户设备和网络移动管理实体通过验证对方的公钥证书进行互相认证；3)用户设备和网络归属服务器分别产生随机数、会话密钥，所述会话密钥由用户设备和网络归属服务器根据两个随机数各自推导，网络归属服务器推导的会话密钥发送给网络移动管理实体；4)用户设备与网络移动管理实体之间利用会话密钥对通信数据进行保护。该方法能进一步解决现有机制存在的用户身份泄露、认证向量易被截获、长期共享密钥K和不支持数据签名的问题，提高通信的安全性能。

说明书

技术领域

本发明主要应用于通信领域，具体涉及一种基于公钥的用于实现通讯中用户与网络相互认证及密钥分发的方法。

背景技术

LTE/SAE(Long Term Evolution长期演进/System architecture evolution系统架构演进)是3GPP对UMTS(Universal Mobile Telecommunication System通用移动通信系统)的演进技术，它支持在20MHz频谱带宽下提供下行100Mbps、上行50Mbps的峰值速率。LTE/SAE的网络由用户设备、接入网以及核心网组成。

在UMTS系统中，UE(User Equipment用户设备)和网络的交互认证采用AKA(Authentication and Key Agreement认证和密钥协商协议)认证的方式。EPS(Evolved PacketSystem演进的分组系统)系统的认证过程与UMTS中的AKA鉴权过程基本相同，采用Milenage算法，继承了UMTS中五元组鉴权机制的优点，实现了UE和网络侧的双向认证。

EPS AKA是应用于E-UTRAN(Evolved UTRAN演进的UTRAN)的认证与密钥协商过程。EPS AKA生成的密钥是推衍用户平面、无线资源控制、非接入层的加密密钥的基础，也是无线资源控制、非接入层的完整性保护密钥的基础。

EPS AKA过程由EPS用户认证过程和分发认证数据/密钥协定过程组成。EPS系统的AKA用户认证流程如下：

1)网络侧MME(Mobility Management Entity移动管理实体)向UE首先发起用户鉴权请求流程。MME将随机挑选的RAND(随机数)和认证令牌AUTN(Authentication token认证令牌)经过ME(Mobile Equipment移动设备)发送给USIM(Universal SubscriberIdentity Module通用用户识别模块)，其中AUTN来自当前所选的认证向量，供用户认证网络。

2)收到此消息后，USIM应检验AUTN是否正确，如果正确，UE应该对用户的认证响应消息作出回应，响应消息中包括RES(Response响应)、成功的AUTN检验，以及成功的AMF(Authentication Management Field认证管理字段)检验。同时，USIM计算加密密钥和完整性密钥。

3)如果认证不成功，UE应发送用户认证拒绝消息，并返回对应的CAUSE值。

EPS系统的分发认证数据/密钥协定过程主要实现MME从HSS(Home Subscriber Server归属用户服务器)获取一个或者若干个EPS认证向量(RAND、AUTN、XRES、K_ASME)，以执行一定数目的用户认证。从HSS到MME认证向量的发布流程如下：

1)MME通过认证数据请求消息向HSS请求认证向量，消息包括IMSI(InternationalMobile Subscriber Identity国际移动用户标识)、服务网络标识以及网络类型。

2)当HSS收到MME认证数据请求后，可以请求将它们从HSS的数据库中取回一定数量事先计算好的EPS认证向量，或者根据需要进行计算。

3)HSS发送认证响应给MME，认证响应中包含请求信息，如果请求多个EPS认证向量，则根据其序列号进行分配。

3GPP的SAE Release 8标准中提到，AKA认证与密钥协商机制存在用户身份信息泄露、认证向量易被截获、长期共享密钥K和不支持数据签名等问题。

发明内容

本发明的目的在于提出一种基于公钥体制的改进的认证与密钥分发方法，该方法能进一步解决现有机制存在的用户身份泄露、认证向量易被截获、长期共享密钥K和不支持数据签名的问题，提高通信的安全性能。

为了实现本发明的目的采用的技术方案概述如下：

一种基于公钥实现用户与网络认证和密钥分发的方法，其步骤包括：

1)通讯网络中配置一套公钥基础设施PKI，由证书认证中心对网络中通讯实体包括用户设备、网络移动管理实体、网络归属用户服务器颁发公钥证书；

2)用户设备和网络移动管理实体通过验证对方的公钥证书进行互相认证；网络移动管理实体、网络归属用户服务器互相信任，故网络归属用户服务器与用户设备不需互相认证。

3)用户设备和网络归属服务器分别产生随机数、会话密钥，所述会话密钥由用户设备和网络归属服务器根据两个随机数各自推导，网络归属服务器推导的会话密钥发送给网络移动管理实体；

4)用户设备与网络移动管理实体之间利用会话密钥对通信数据进行保护。

所述步骤1)证书认证中心利用自己的私钥对用户设备、网络移动管理实体、网络归属用户服务器的公钥进行签名生成对应的证书。

所述步骤2)用户设备向网络移动管理实体发送一个请求连接消息，网络移动管理实体收到连接消息后发送自己的证书给用户设备，用户设备收到网络移动管理实体的证书之后利用CA的证书验证网络移动管理实体的证书。

所述步骤2)为防止敌手盗用用户公钥证书假冒UE，可由网络移动管理实体为用户分配临时身份标识，用户用私钥对临时身份标识签名，网络移动管理实体验证用户的签名。

所述步骤3)用户设备生成的随机数使用网络移动管理实体的公钥加密。

所述步骤3)用户设备将自己的证书利用生成的随机数进行加密。

进一步，用户设备以产生的随机数为密钥，使用事先约定的对称密码算法将自己的证书加密。

所述步骤3)用户设备将加密的随机数和证书发送给网络移动管理实体。

进一步，网络移动管理实体将解密后的随机数和用户设备证书发送给网络归属服务器。

进一步，网络移动管理实体以用户设备产生的随机数为密钥，使用事先约定的对称密码算法解密用户设备加密的证书，对用户身份进行验证并将解密结果上报给网络归属用户服务器。

所述步骤3)网络归属服务器使用用户设备的公钥加密产生的随机数后并签名，通过网络移动管理实体转发给用户设备。

进一步，用户设备使用网络归属服务器的公钥验证加密随机数的签名，验证成功后，用户设备利用自己的私钥对加密的随机数进行解密，再利用网络归属服务器的随机数产生会话密钥。

所述步骤3)网络归属服务器将生成的会话密钥明文发送给移动管理实体。

与现有技术相比，本发明基于公钥的认证和密钥分发的方法具有如下技术效果：

1)能够达到保护用户身份的目的；

2)现有通讯设备完全能够满足公钥密钥算法的软、硬件需求；

3)证书与用户身份绑定，利于通讯实名制的开展；

4)简化了密钥层次结构。

附图说明

图1为本发明方法中公钥证书和私钥的分发流程图；

图2为本发明认证与密钥分发流程图。

具体实施方式

以下结合附图和具体实施例对本发明的方法作详细的说明。

在本发明的方法中，UE(用户设备)与网络都将可以获得对方的证书，从而利用对方的公钥将鉴权消息进行保护，并利用自己的私钥对消息进行签名。在发送方的消息传送至接收方后，由接收方使用发送方的公钥进行签名验证，然后再用接收方的私钥对消息进行解密。利用这种方式，可以达到用户与网络的双向认证。

本发明基于公钥的认证与密钥分发机制，前提是需要在通讯网络中配置一套公钥基础设施PKI。在此基础上，如图1所示，由CA生成用户UE、服务网设备MME，以及HSS对应的公钥和私钥，然后CA利用自己的私钥对UE/MME/HSS的公钥进行签名生成对应的公钥证书，然后CA将UE/MME/HSS的证书、私钥以及CA本身的证书通过安全的渠道(离线拷贝、在线加密传输等)发送到UE/MME/HSS中。

此方法还需要UE与网络间事先约定一个对称密码算法，用于证书的加、解密，以达到高效的保护用户身份的目的。在此实施例中，选取欧洲通讯标准中的SNOW 3G序列密码算法。该算法也是3GPP LTE通讯标准的算法之一，故选用此算法加密，不会带来额外的软、硬件开销。

如图2所示，本发明基于公钥的认证和密钥分发方法包括的步骤如下：

1、UE(USIM/ME)需要接入网络，因此向MME发送入网请求。

2、MME在接收到UE的入网请求后，为UE生成临时身份标识TID。

3、MME向UE发送自己的证书Cert_MME和TID。

4、UE在收到MME的证书之后，利用CA的证书Cert_CA来验证MME证书，在验证通过之后，UE负责产生随机数R₁，然后利用MME公钥将随机数加密为E₁＝PK_MME(R₁)。UE以R₁为密钥，使用事先约定的对称密码算法将自己的证书加密为E₁’＝E(Cert_UE，R₁)，并用自己的私钥对TID进行签名。此实施例中，R₁可选取为128比特长度。

5、UE向MME发送加密后的随机数E₁、加密后的证书E₁’及对TID的签名。

6、MME在收到UE的消息之后，首先用自己的私钥解密E₁得到随机数R₁，即R₁＝SK_MME(E₁)＝SK_MME(PK_MME(R₁))。然后以R₁为密钥，使用事先约定的对称密码算法解密E₁’得到UE的证书Cert_UE，即Cert_UE＝D(E₁’，R₁)。用CA的证书Cert_CA验证UE的证书，验证UE对TID的签名，从而完成UE与MME之间的双向认证。

7、MME验证UE的证书及签名后，将随机数R₁和UE的证书上报给HSS。

8、HSS产生随机数R₂，然后根据R₁与R₂产生会话密钥K_session＝f(R₁，R₂)，并利用UE的公钥PK_UE加密R₂为E₂＝PK_UE(R₂)，并用自己的私钥对E₂进行签名。此实施例中，R₁可选取为128比特长度。

9、HSS将自己的证书Cert_HSS、加密后的随机数E₂、对E₂的签名和会话密钥K_session发送给MME。

10、MME将K_session保留，然后将HSS的证书Cert_HSS和加密后的随机数E₂、对E₂的签名发送给UE。

11、UE在收到HSS的证书Cert_HSS之后，利用CA的证书Cert_CA对HSS的证书进行验证，再用HSS的公钥对E₂的签名进行验证。验证成功后，UE利用自己的私钥SK_UE对E₂进行解密R₂＝SK_UE(E₂)＝SK_UE(PK_UE(R₂))。UE再利用R₁和R₂产生会话密钥K_session＝f(R₁，R₂)。

12、UE与MME之间利用会话密钥K_session对通信数据进行保护。