[发明专利]移动用户通过家庭基站接入核心网的认证方法

说明书

技术领域

本发明属于通信安全技术领域，涉及一种移动用户通过家庭基站接入核心网的认证方法，可用于任何移动用户需要通过家庭基站接入核心网的场景，如家庭、学校、实验室、办公室等。

背景技术

家庭基站也称femtocell，是一种小型、低功率蜂窝基站，主要用于家庭及办公室等室内场所。它的作用是作为蜂窝网在室内覆盖的补充，为用户提供话音及数据服务。家庭基站使用IP协议，采用扁平化的基站架构，可以通过现有的宽带手段接入移动运营商的核心网络。远端由专用网关实现从IP网到移动网的连接。若只从网络连接来看，家庭基站和无线路由器几乎完全一致。Femtocell适用于CDMA、GSM、UMTS等各种标准和支持2G、2.5G和3G的产品，与运营商的其它移动基站同制式、同频段，适用于现有移动终端。

家庭基站是实现固网、移动形成融合平台的有效方案。对于家庭基站的应用，需要跳出传统微蜂窝的观念，通过创新的业务模式和应用模式将移动业务主导的个人市场和固定业务主导的家庭市场相结合。它的引入不但可以改善家庭室内覆盖质量，提供高速数据无线接入，卸载宏小区负荷，更重要得是可以增强用户黏性，使移动业务和宽带业务在市场竞争中相互促进相互支撑。

与传统宏基站不同，家庭基站通过固网运营商不可信的链路连接到移动运营商的核心网络，使运营商的核心网络与公共网络直接相连，这必然为运营商的网络管理带来新的风险。此外，家庭基站部署在不可信的环境中，极易受到恶意用户的攻击，并以家庭基站为跳板，进一步对运营商的核心网络以及用户终端造成严重威胁。因此3GPP已经开展了关于家庭基站安全方面的标准化工作，提出了一系列家庭基站的安全方案，其中包括家庭基站的设备鉴权、移动用户的接入鉴权，但是3GPP并没有给出完整的移动用户通过家庭基站接入核心网的认证方法，目前也没有其它研究组织和个人提出完整的认证方法。

发明内容

本发明的目的在于避免上述已有技术的缺陷，提出一种移动用户通过家庭基站接入核心网的认证方法，以对移动用户通过家庭基站接入核心网进行安全快速的认证。

实现本发明目的的技术方案是：基于认证与密钥分配协议EAP-AKA和密钥交换协议IKEv2进行，所使用的网络设备包括：

用户移动终端，用于用户对网络的访问；

家庭基站，移动用户终端室内的无线接入点；

安全网关，确保接入核心网的安全；

AAA服务器，对家庭基站和用户设备进行接入认证和鉴权；

用户属性归属服务器HSS，管理用户的各种签约数据。

安全网关代表核心网对移动用户进行安全认证，认证通过后，移动用户将获得一个接入核心网的IP地址，从而能够接入到核心网。其实现步骤如下：

(1)利用认证与密钥分配协议EAP-AKA/SIM以及密钥交换协议IKEv2，对家庭基站与安全网关进行双向认证，并在家庭基站与安全网关之间建立一条安全信道IPsec；

(2)移动用户通过AAA服务器进行接入认证：

2.1)移动用户将自己的移动用户身份发送给AAA服务器，AAA服务器通过获得的移动用户身份从HSS服务器获取认证向量(挑战随机数RAND、认证令牌AUTN、认证挑战SRES、加密密钥CK和完整性密钥IK)；

2.2)AAA服务器计算主密钥：MK＝prf(Identity|IK|CK))，并使用主密钥MK生成主会话密钥MSK，其中|表示比特串的链接，prf是伪随机函数，Identity是移动用户身份，AAA服务器保存主密钥MK，建立与该主密钥对应的移动用户身份列表；

2.3)AAA服务器计算消息认证码MACserver，将步骤2.1)得到的挑战随机数RAND，认证令牌AUTN以及MACserver通过EAP-Request/AKA-Challenge消息发送给移动用户；

2.4)移动用户使用步骤2.2)的方法分别计算主密钥MK和主会话密钥MSK，并将这两个密钥存储后，计算认证响应XRES和消息认证码MACuser；

2.5)移动用户验证从步骤接2.3)收到的消息认证码MACserver和挑战随机数RAND，验证通过后，将步骤2.4)中得到的认证响应XRES和消息认证码MACuser，通过EAP-Response/AKA-Challenge消息发送给AAA服务器；

2.6)AAA服务器验证接收到的认证响应XRES和消息认证码MACuser，如果验证通过，则在移动用户和家庭基站之间使用主会话密钥MSK进行安全通信；