[发明专利]一种基于公钥密码体制的LTE无线网络的安全认证方法

摘要

本发明公开本发明公开了一种基于公钥密码体制的LTE无线网络的安全认证方法，首先为参与AKA流程的实体UE、MME等分配了公钥证书，然后改进了EPS AKA协议的流程，使用公钥密码体制加密，同时取消了原有协议的序列号SQN机制，改用随机数应答的方式进行认证，最后对鉴权向量AV向量的计算进行了简化，取消了原有的消息认证码(MAC)、预期响应(XRES)和认证令牌(AUTN)等参数。本发明提供的方法增强了EPS AKA协议的安全性，提高了其可扩展性；本发明提供的方法具有较高的灵活性，随着LTE技术的发展，本发明能够应用于多个场合，尤其适用于安全要求高的LTE企业专网，如电力无线专网。

主权项

一种基于公钥密码体制的LTE无线网络的安全认证方法，其特征在于：包括以下步骤：步骤1：UE向MME发起访问请求；请求中包含UE的HSS标识IDHSS、用MME公钥PKM加密的IMSI和R1，其中R1是UE生成的随机数；其中，HSS表示归属用户服务器；步骤2：MME收到UE的访问请求消息后，解密得到IMSI和随机数R1，根据IDHSS向UE对应的HSS发送认证请求，请求中包含用MME与HSS共享的对称密钥K0加密的IMSI、随机数R1以及MME自身的网络标识SNID；步骤3：HSS收到MME发送的认证请求后，解密获得IMSI、R1和SNID，随后HSS检查自己的数据库，验证IMSI和SNID的合法性；若验证通过，HSS就生成随机数RAND，与随机数R1一同作为输入产生由鉴权向量AV组成的鉴权向量组{AV1、AV1……AVn}，其中n表示生成鉴权向量AV的个数；然后用密钥K0加密鉴权向量组{AV1、AV1……AVn}，并作为应答信息发送给MME；步骤4：MME收到HSS发送的应答信息后，解密得到鉴权向量组{AV1、AV1……AVn}，然后MME检查鉴权向量组并从鉴权向量组中选取一个鉴权向量AVi，随后提取鉴权向量AVi里面的数据，给鉴权向量AVi中的基础密钥KASMEi分配一个密钥标识KSIASMEi；然后，MME向UE发起用户认证请求，请求中包含用UE的公钥PKU加密的鉴权向量AVi、R1和R2，其中R2是MME生成的随机数；下标i表示鉴权向量组中鉴权向量AV的标号；步骤5：UE收到MME发送的用户认证请求后，解密得到鉴权向量AVi、R1和R2，然后UE验证R1的正确性；验证通过后向MME发送请求响应消息，消息中包含用MME的公钥PKM加密的随机数R2；步骤6：MME收到UE发送的请求响应消息后，解密并验证R2的正确性；验证通过后，MME与UE选择一个KASMEi作为基础密钥，根据密钥推导函数KDF衍生出后继通信使用的加密密钥CKi和完整性保护密钥IKi，至此完成整个安全认证。