[发明专利]认证方法和认证设备

说明书

技术领域

本发明涉及移动通信技术，尤其涉及一种认证方法和认证设备。

背景技术

长期演进(Long Term Evolution，LTE)系统中，用户设备(UserEquipment，UE)入网时需要完成签约认证(subscription authentication)，即完成全球用户身份模块(Universal Subscriber Identity Module，USIM)认证，该认证由UE的卡和移动管理实体(Mobile Management Entity，MME)间执行认证和密钥协商(Authentication and Key Agreement，AKA)过程完成。演进基站(evolution NodeB，eNB)启动时，可以和有接口的网元间进行基于证书的密钥交换(Internet Key Exchange，IKE)认证，即平台认证(platform authentication)，并建立IPsec安全隧道，或者建立传输层安全协议(Transport Layer Security Protocol，TLS)隧道。中继节点(Relay Node，RN)是长期演进系统的进一步增强(Long Term EvolutionAdvanced，LTE-A)中引入的新的接入网节点，RN有双重角色：UE角色和eNB角色。在引入RN后，对应的eNB和MME(mobility managemententity移动性管理实体)分别为锚点基站(DeNB，Donor eNB)和MME_RN。

RN在入网过程中，和传统的UE一样，会与MME_RN进行AKA过程，完成对RN卡(即USIM)的认证。但是，由于RN设备与USIM之间通道的不安全性，单纯进行AKA认证很容易被攻击者攻击，不能保证安全性。

发明内容

本发明实施例是提供一种认证方法和认证设备，提高安全保护能力。

本发明实施例提供了一种认证方法，包括：

获取签约认证后生成的第一密钥，并获取平台认证后生成的第二密钥；

根据所述第一密钥和第二密钥进行密钥推演，得到第三密钥，根据所述第三密钥推演非接入层NAS密钥以及接入层AS根密钥，所述NAS密钥用于保护NAS消息，所述AS根密钥用于推演AS密钥，所述AS密钥用于保护AS消息和数据。

本发明实施例提供一种认证设备，包括：

获取模块，用于获取签约认证后生成的第一密钥，并获取平台认证后生成的第二密钥；

推演模块，用于根据所述获取模块获取的第一密钥和第二密钥进行密钥推演，得到第三密钥，根据所述第三密钥推演非接入层NAS密钥以及接入层AS根密钥，所述NAS密钥用于保护NAS消息，所述AS根密钥用于推演AS密钥，所述AS密钥用于保护AS消息和数据。

本发明实施例提供了一种认证方法，包括：

获取签约认证后生成的第一密钥，并与DeNB进行平台认证，生成第二密钥，所述DeNB在与中继节点RN建立安全隧道后将所述第二密钥发送给所述RN；

接收所述DeNB发送的指示消息，所述指示消息中包含表明所述设备认证是否成功的信息，如果所述指示消息包括表明所述设备认证未成功的信息，则释放与所述RN的连接。

本发明实施例提供了一种认证设备，包括：

获取模块，用于获取签约认证后生成的第一密钥，并与锚点基站DeNB进行平台认证，生成所述第二密钥；

释放模块，用于在所述DeNB在与中继节点RN建立安全隧道后将所述获取模块获取的第二密钥发送给所述RN后，接收所述DeNB发送的指示消息，所述指示消息中包含表明所述设备认证是否成功的信息，如果所述指示消息包括表明所述设备认证未成功的信息，则释放与所述RN的连接。

由上述技术方案可知，本发明实施例不仅进行卡认证，还进行设备认证，通过对卡认证生成的第一密钥和设备认证生成的第二密钥进行密钥推演得到第三密钥，采用第三密钥得到NAS密钥和AS密钥并进行安全保护，可以提高安全保护能力。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明第一实施例的方法流程示意图；

图2为本发明第二实施例的方法流程示意图；

图3为本发明第三实施例的方法流程示意图；

图4为本发明第四实施例的方法流程示意图；