[发明专利]基于票据的LTE-R车-地通信接入层切换认证方法

摘要

一种基于票据的LTE‑R车‑地通信接入层切换认证方法，其步骤主要是：A、申请票据：车载移动单元申请并保存目标票据和目标基站票据；B、X2接口切换认证：车载移动单元利用目标基站票据与目标基站安全高效的完成认证及密钥协商过程，实现跨基站的快速切换，避免了源基站的参与；C、S1接口切换认证：车载移动单元利用目标票据与目标移动管理实体安全高效的完成认证过程，并在其帮助下与目标基站完成认证及密钥协商过程，避免了源移动管理实体和源基站的参与，可快速实现跨移动管理实体切换；该方法有效实现LTE‑R系统中车地无线通信安全实时的接入层切换认证，在保证安全性的基础上，提高了切换认证效率。

主权项

1.一种基于票据的LTE‑R车‑地通信接入层切换认证方法，其步骤是：A、申请票据车载移动单元启动后，首先通过源基站的转发，完成非接入层初始认证，与源移动管理实体完成认证，并共享主密钥KASME；源移动管理实体利用主密钥KASME生成目标主密钥TKASME；随后选取一随机数作为目标本地参数TNM，再利用与目标移动管理实体共享的密钥KM‑M加密目标主密钥TKASME和目标本地参数TNM，生成目标票据TSTM；随后将目标主密钥TKASME、目标本地参数TNM和目标票据TSTM串联，组成目标S1接口切换信息；源移动管理实体利用主密钥KASME为基站生成目标基站密钥TKe、目标基站参数TNe；再利用与源基站共享的密钥Ke‑M对目标基站密钥TKe、目标基站参数TNe加密生成密文INF；源移动管理实体将密文INF连同目标S1接口切换信息传输给源基站；源基站判断与目标基站是否存在X2接口：若不存在，表明目标基站不属于源移动管理实体管辖，而属于目标移动管理实体管辖，则源基站将S1接口切换信息发送给车载移动单元保存，执行步骤C；若存在，表明目标基站属于源移动管理实体管辖，则源基站首先利用与源移动管理实体共享的密钥Ke‑M解密密文INF，获得目标基站密钥TKe、目标基站参数TNe；随后，再利用目标基站与源基站共享的密钥Ke‑e加密目标基站密钥TKe、目标基站参数TNe，生成目标基站票据TSTe；并将目标基站密钥TKe、目标基站参数TNe和目标基站票据TSTe串联，组成目标X2接口切换信息；最后将所述的目标S1接口切换信息和目标X2接口切换信息发送给车载移动单元保存，执行步骤B；B、X2接口切换认证B1、当车载移动单元移动到源基站和目标基站切换点时，车载移动单元从保存的目标X2接口切换信息中，提取出目标基站密钥TKe、目标基站参数TNe和目标基站票据TSTe；随后，选取一随机数作为终端参数NO，并生成时戳一T1；再利用目标基站密钥TKe、终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE，随后利用认证密钥KA、目标基站参数TNe生成包含终端参数NO和时戳一T1的终端认证信息RES；最后，向目标基站发终端认证信息RES和目标基站票据TSTe；B2、目标基站利用其与源基站共享的密钥Ke‑e，解密收到的目标基站票据TSTe，获得目标基站密钥TKe、目标基站参数TNe；随后，利用目标基站密钥TKe、收到的终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE；最后，目标基站利用认证密钥KA对车载移动单元进行身份合法性认证；若认证未通过，则执行步骤D；若认证通过，则生成时戳二T2，并利用认证密钥KA、目标基站密钥TKe生成包含时戳二T2的基站认证信息MAC；目标基站检测与前方基站站间是否存在X2接口；若不存在，则将基站认证信息MAC传送给车载移动单元；若存在，则选取一随机数作为前方基站参数FNe，利用目标基站密钥TKe、前方基站身份IDFe、前方基站参数FNe，通过哈希运算，生成前方基站密钥FKe；再利用目标基站与前方基站共享的密钥Ke‑e对前方基站密钥FKe、前方基站参数FNe、前方基站身份IDFe、目标基站身份IDe、基站票据有效期LTe加密生成前方基站票据FSTe；再利用加密密钥KE对将前方基站身份IDFe、目标基站身份IDe、前方基站参数FNe、前方基站密钥FKe和前方基站票据有效期LTe进行加密，生成前方基站切换信息ST_INFFe；最后，将所述的基站认证信息MAC、前方基站票据FSTe和前方基站切换信息ST_INFFe发送给车载移动单元；B3、车载移动单元利用认证密钥KA对目标基站进行身份合法性认证；若认证未通过，则执行步骤D；若认证通过，则判断是否收到前方基站票据FSTe和前方基站切换信息ST_INFFe；若未收到，则完成X2接口切换认证，车载移动单元接入目标基站，随即目标基站变为源基站，前方基站变为目标基站，执行步骤C；若收到，则利用加密密钥KE解密收到的前方基站切换信息ST_INFFe得到前方基站密钥FKe和前方基站参数FNe，再将前方基站密钥FKe、前方基站参数FNe和前方基站票据FSTe组成前方X2接口切换信息，完成X2接口切换认证，车载移动单元接入目标基站；随即，目标基站变为源基站，前方基站变为目标基站，并用前方X2接口切换信息置换目标X2接口切换信息并保存，执行步骤B1；C、S1接口切换认证C1、当车载移动单元移动到源基站和目标基站切换点时，则首先从目标S1接口切换信息中提取出：目标主密钥TKASME、目标本地参数TNM和目标票据TSTM；随后，选取一随机数更新终端参数NO，同时更新生成时戳一T1；然后，生成目标主密钥TKASME、目标本地参数TNM、终端参数NO和时戳一T1的消息认证码，再与终端参数NO和时戳一T1串联，生成S1终端认证信息MACO；最后，将S1终端认证信息MACO和目标票据TSTM发送至目标基站；C2、目标基站将收到的信息转发至目标移动管理实体；C3、目标移动管理实体首先利用同源移动管理实体共享的密钥KM‑M解密收到的目标票据TSTM，得到目标主密钥TKASME和目标本地参数TNM；随后利用目标主密钥TKASME、目标本地参数TNM、终端参数NO和时戳一T1对收到的S1终端认证信息MACO的合法性进行认证；若认证未通过，则执行步骤D；若认证通过，则选取一随机数作为前方本地参数FNM，再选取一随机数更新目标基站参数TNe，同时更新生成时戳二T2，利用目标主密钥TKASME、前方移动管理实体的身份IDFM、前方本地参数FNM，通过哈希运算，生成前方主密钥FKASME，再利用与前方移动管理实体共享的密钥KM‑M加密前方主密钥FKASME和前方本地参数FNM、前方移动管理实体的身份IDFM、目标移动管理实体的身份IDM，票据的有效期LTM生成前方票据FSTM；并利用目标主密钥TKASME对前方主密钥FKASME、前方本地参数FNM、目标基站参数TNe进行加密保护，生成前方切换信息ST_INFFM；随后，利用目标主密钥TKASME、目标基站身份IDe、目标基站参数TNe更新生成目标基站密钥TKe，并利用目标移动管理实体与目标基站间的共享密钥Ke‑M对目标基站密钥TKe、目标基站参数TNe和目标基站身份IDe加密，更新生成密文INF，再生成目标主密钥TKASME、目标基站参数TNe、终端参数NO和时戳二T2的消息认证码，并与时戳二T2串联，生成S1本地认证信息MACM；最后将S1本地认证信息MACM、前方切换信息ST_INFFM、前方票据FSTM、密文INF发送给目标基站；C4、目标基站利用其与目标移动管理实体间共享的密钥Ke‑M解密收到的密文INF，获得目标基站密钥TKe和目标基站参数TNe，再更新生成时戳三T3，并利用目标基站密钥TKe、收到的终端参数NO和目标基站参数TNe生成认证密钥KA和加密密钥KE；随后生成认证密钥KA、目标基站参数TNe和收到的终端参数NO和时戳三T3的消息认证码，并与时戳三T3串联，生成S1基站认证信息MACe；随后检测与前方基站间是否存在X2接口；若不存在，表明前方基站不属于目标移动管理实体管辖，而属于前方移动管理实体管辖；则发送S1本地认证信息MACM、S1基站认证信息MACe、前方切换信息ST_INFFM、前方票据FSTM给车载移动单元；若存在，表明前方基站属于目标移动管理实体管辖；则选取一随机数更新为前方基站参数FNe，利用目标基站密钥TKe、前方基站身份IDFe和目标基站参数TNe，通过SHA2哈希运算，更新生成前方基站密钥FKe，再利用目标基站与前方基站共享的密钥Ke‑e对前方基站密钥FKe、前方基站参数FNe加密更新生成前方基站票据FSTe；随后，利用加密密钥KE对前方基站密钥FKe、前方基站参数FNe进行加密，更新生成前方基站切换信息ST_INFFe；最后，将S1本地认证信息MACM、S1基站认证信息MACe、前方切换信息ST_INFFM、前方票据FSTM、前方基站票据FSTe、前方基站切换信息ST_INFFe发送给车载移动单元；C5、车载移动单元利用目标主密钥TKASME、目标基站参数TNe、终端参数NO和时戳二T2对收到的S1本地认证信息MACM进行验证；若不通过，则执行步骤D；若通过，则利用目标主密钥TKASME解密收到的前方切换信息ST_INFFM，获得前方主密钥FKASME、前方本地参数FNM、目标基站参数TNe；再将前方票据FSTM、前方主密钥FKASME、前方本地参数FNM更新组成前方S1切换信息；随后，利用目标主密钥TKASME、前方基站身份IDFe和目标基站参数TNe，通过哈希运算，更新生成目标基站密钥TKe，并利用目标基站密钥TKe、终端参数NO和目标基站参数TNe更新生成认证密钥KA和加密密钥KE；最后，利用认证密钥KA、目标基站参数TNe、终端参数NO和时戳三T3对S1基站认证信息MACe进行验证；若不通过，则执行步骤D；若通过，则判断是否收到前方基站票据FSTe、前方基站切换信息ST_INFFe；若未收到，则完成S1接口切换认证，车载移动单元接入目标基站；随即，目标基站变为源基站，前方基站变为目标基站，目标移动管理实体变为源移动管理实体，前方移动管理实体变为目标移动管理实体，用前方S1接口切换信息置换目标S1接口切换信息并保存，执行步骤C1；若收到，则利用加密密钥KE解密前方基站切换信息ST_INFFe，获得前方基站密钥FKe、前方基站参数FNe；用前方基站票据FSTe、前方基站密钥FKe、前方基站参数FNe更新组成前方X2接口切换信息，完成S1接口切换认证，车载移动单元接入目标基站；随即目标基站变为源基站，前方基站变为目标基站，目标移动管理实体变为源移动管理实体，前方移动管理实体变为目标移动管理实体，并用前方X2接口切换信息置换目标X2接口切换信息并保存，用前方S1接口切换信息置换目标S1接口切换信息并保存，执行步骤B；D、认证失败，中止认证。