[发明专利]一种对用户设备鉴权的系统、方法及其基站子系统

权利要求书

1.一种对用户设备鉴权的方法，用于基站子系统接入分组域网络的系统中，其特征在于，所述方法包括：

接收来自分组域网络的SGSN的鉴权及加密请求消息，获得第一加密密钥Kc1及加密算法信息，并将第一加密密钥Kc1从鉴权及加密请求消息中去除；

将去除第一加密密钥Kc1后的所述鉴权及加密请求消息发送给接入所述基站子系统的用户设备；

接收来自所述用户设备的经加密的鉴权及加密响应消息，利用所述第一加密密钥Kc1经所述加密算法进行解密处理；

将所述解密后的鉴权及加密响应消息发送给所述SGSN，以使所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权。

2.如权利要求1所述的对用户设备鉴权的方法，其特征在于，进一步包括：

所述鉴权及加密请求消息由所述SGSN获取鉴权向量信息及加密算法信息生成，其中，所述鉴权向量信息为鉴权三元组，包括第一加密密钥Kc1、随机数RAND以及第一鉴权响应值SRES1。

3.如权利要求1所述的对用户设备鉴权的方法，其特征在于，进一步包括：

所述鉴权及加密请求消息由所述SGSN获取鉴权向量信息及加密算法信息生成，其中，所述鉴权向量信息为鉴权五元组，包括随机数RAND、期望响应XRES、加密密钥CK、完整性密钥IK以及鉴权令牌AUTN；且由所述鉴权五元组的加密密钥CK和完整性密钥IK转化成第一加密密钥Kc1。

4.如权利要求2或3所述的对用户设备鉴权的方法，其特征在于，所述用户设备的经加密的鉴权及加密响应消息通过下述步骤获得：

用户设备获取所述鉴权及加密请求消息携带的密钥序列号CKSN、加密算法以及随机数RAND；

根据所述随机数RAND计算获得第二鉴权响应值SRES2，携带在所述鉴权及加密响应消息中，且根据所述随机数与用户设备中的SIM卡中的密码标识Ki 计算得到第二加密密钥Kc2；

利用所述第二加密密钥Kc2经所述加密算法对所述鉴权及加密响应消息进行加密处理。

5.如权利要求4所述的对用户设备鉴权的方法，其特征在于，所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权为：

将所述鉴权及加密响应消息中所携带的第二鉴权响应值SRES2与SGSN中预先存储的第一鉴权响应值SRES1或期望响应值XRES进行比较，如果相同，则指示对所述用户设备的鉴权成功；否则指示为鉴权失败。

6.一种对用户设备鉴权的方法，用于基站子系统接入分组域网络的系统中，其特征在于，所述方法包括：

分组域网络的SGSN获取鉴权向量信息及加密算法信息，生成鉴权及加密请求消息并发送给基站子系统，所述鉴权向量信息至少包含第一加密密钥Kc1；

基站子系统接收所述鉴权及加密请求消息，获得所述第一加密密钥Kc1及加密算法信息并存储，并将所述第一加密密钥Kc1从鉴权及加密请求消息中去除，并将所述去除第一加密密钥Kc1后的鉴权及加密请求消息发送给接入所述基站子系统的用户设备；

用户设备依据所述鉴权及加密请求消息生成鉴权及加密响应消息，并依据所述鉴权及加密请求消息生成第二加密密钥Kc2，利用所述第二加密密钥Kc2经所述加密算法对所述鉴权及加密响应消息进行加密处理后，发送给所述基站子系统；

基站子系统接收来自所述用户设备的经加密的鉴权及加密响应消息，利用来自所述第一加密密钥Kc1经所述加密算法进行解密处理，将解密后的鉴权及加密响应消息发送给SGSN；

所述SGSN根据所述鉴权及加密响应消息对所述用户设备进行鉴权。

7.如权利要求6所述的对用户设备鉴权的方法，其特征在于，所述分组域网络的SGSN获取鉴权向量信息及加密算法信息，生成鉴权及加密请求消息的步骤具体为： 

所述SGSN获取鉴权三元组及加密算法信息，其中，所述鉴权三元组包括第一加密密钥Kc1、随机数RAND以及第一鉴权响应值SRES1；

将所述第一加密密钥Kc1、随机数RAND以及加密算法携带在鉴权及加密请求消息中。