双向认证方法、装置和系统、计算机可读存储介质制造方法及图纸

本发明专利技术公开一种双向认证方法、装置和系统、计算机可读存储介质。该双向认证方法包括：在用户终端接入拜访家庭基站的情况下，在用户终端进行核心网认证前，拜访家庭基站和归属家庭基站对用户终端进行接入认证，其中，用户终端不需通过核心网的认证。本发明专利技术在用户终端接入拜访家庭基站的情况下，通过拜访家庭基站和归属家庭基站对用户终端进行接入认证。本发明专利技术上述实施例不需要通过核心网的认证，从而大大减小了对核心网资源的占用。

Two-way authentication method, device and system, computer readable storage medium

【技术实现步骤摘要】
双向认证方法、装置和系统、计算机可读存储介质
本专利技术涉及物联网领域，特别涉及一种双向认证方法、装置和系统、计算机可读存储介质。
技术介绍
为了提供更高的数据传输速率和更小的时延，同时降低运营商的运营成本，3GPP提出了一种基于H(e)NB(Home(evolution)UTRANNodeB，家庭(演进)基站)的接入服务。家庭基站是一种小型的基站，可以在家庭、商场或工厂企业等场所部署，它可以实现宏基站的所有功能。用户使用UE通过H(e)NB接入运营商核心网的同时，还可以接入到家庭网络/工厂企业网络中与其他IP设备互联，或通过LIPA(LocalIPAccess，本地IP接入)网络架构接入到Internet网络中。用于支持LIPA的网络实体包含H(e)NB，除此之外也可以包含H(e)NBGW(H(e)NBGateWay，家庭(演进)基站网关)。为了实现LIPA技术，即UE接入到家庭网络/工厂企业网络中与其它IP设备互联或者实现互联网络的本地接入，增设了LGW(LocalGateway，本地网关)。每一H(e)NB加入网络服务之前，必须先对CN(CoreNetwork，核心网网元)完成认证并达成H(e)NB与CN的互信关系，才能对UE(UserEquipment，用户终端)提供服务；而每一UE进入一LIPA网络的服务范围时，必须先经由此LIPA网络的H(e)NB向CN认证成功，才得以使用此H(e)NB提供的服务；UE经由LIPA网络向CN，如MME(MobilityManagementEntity，移动管理功能节点)和HSS(HomeSubscriberServer，归属签约用户服务器)等网元进行认证的程序。需要确保UE、CN、拜访(Visit)LIPA网络元件、以及归属(Home)LIPA网络元件彼此之间互相信任，并且确认UE对归属LIPA网络的接入权后才能启始LIPA服务。UE如果为僵尸终端，当V-H(e)NB(拜访家庭(演进)基站)分析为一跨LIPA的接入请求，有可能不停的攻击V-H(e)NB或/和H-H(e)NB(归属家庭(演进)基站)，因为UE在完成初次认证前需要执行接入CN认证的过程，这之前需要占用V-H(e)NB或/和H-H(e)NB的资源及部分核心网资源。
技术实现思路
鉴于以上技术问题，本专利技术提供了一种双向认证方法、装置和系统、计算机可读存储介质，不需要通过核心网的认证，从而大大减小了对核心网资源的占用。根据本专利技术的一个方面，提供一种双向认证方法，包括：在用户终端接入拜访家庭基站的情况下，在用户终端进行核心网认证前，拜访家庭基站和归属家庭基站对用户终端进行接入认证，其中，用户终端不需通过核心网的认证。在本专利技术的一个实施例中，所述方法还包括：在同一场所内的所有家庭基站组成的群组进行共享群密钥的生成和分发，完成群组的认证，其中，所述家庭基站包括拜访家庭基站和归属家庭基站。在本专利技术的一个实施例中，所述在同一场所内的所有家庭基站组成的群组进行共享群密钥的生成和分发包括：在同一场所内的所有家庭基站组成一个群组；所述群组生成共享群密钥；归属家庭基站将所述共享群密钥发送给对应的用户终端。在本专利技术的一个实施例中，所述拜访家庭基站和归属家庭基站对用户终端进行接入认证包括：用户终端向拜访家庭基站发送接入请求；响应于所述接入请求，拜访家庭基站向用户终端发送认证身份请求；响应于所述认证身份请求，用户终端向拜访家庭基站发送认证身份响应消息，其中，所述认证身份响应消息包括用户终端的全球唯一临时用户终端标识以及所述群组的群体身份标识。在本专利技术的一个实施例中，所述拜访家庭基站和归属家庭基站对用户终端进行接入认证还包括：响应于所述认证身份响应消息，拜访家庭基站向归属家庭基站发送认证数据请求，其中，所述认证数据请求包括用户终端的全球唯一临时用户终端标识以及所述群组的群体身份标识；归属家庭基站验证所述群组与用户终端的隶属关系，并分配认证向量；归属家庭基站向拜访家庭基站返回认证数据响应消息，其中，所述认证数据响应消息包括认证向量；拜访家庭基站保存所述认证向量；用户终端基于认证与密钥协商协议和共享群密钥实现相关认证。在本专利技术的一个实施例中，所述用户终端接入拜访家庭基站的情况包括：用户终端接入拜访家庭基站并在归属家庭基站进行认证的情况，或者，用户终端在拜访家庭基站中与其它IP设备进行相互认证的情况，其中，所述拜访家庭基站和归属家庭基站处于同一场所。根据本专利技术的另一方面，提供一种归属家庭基站，包括：接入认证模块，用于在用户终端接入拜访家庭基站的情况下，在用户终端进行核心网认证前，与拜访家庭基站共同实现对用户终端的接入认证，其中用户终端不需通过核心网的认证。在本专利技术的一个实施例中，所述归属家庭基站还包括：群组认证模块，用于在同一场所内的所有家庭基站组成的群组进行共享群密钥的生成和分发，完成群组的认证，其中，所述家庭基站包括拜访家庭基站和归属家庭基站。在本专利技术的一个实施例中，群组认证模块用于与同一场所内的所有家庭基站组成一个群组；生成共享群密钥；并将所述共享群密钥发送给归属家庭基站对应的用户终端。在本专利技术的一个实施例中，接入认证模块，用于接收拜访家庭基站发送的认证数据请求，其中，响应于用户终端发送的接入请求，拜访家庭基站向用户终端发送认证身份请求，响应于用户终端发送的认证身份响应消息，拜访家庭基站向归属家庭基站发送认证数据请求，所述认证数据请求包括用户终端的全球唯一临时用户终端标识以及所述群组的群体身份标识；验证所述群组与用户终端的隶属关系，并分配认证向量；向拜访家庭基站返回认证数据响应消息，其中，所述认证数据响应消息包括认证向量，以便拜访家庭基站保存所述认证向量，用户终端基于认证与密钥协商协议和共享群密钥实现相关认证。根据本专利技术的另一方面，提供一种归属家庭基站，包括：归属家庭基站存储器，用于存储指令；归属家庭基站处理器，用于执行所述指令，使得所述归属家庭基站实现如下操作：在用户终端接入拜访家庭基站的情况下，在用户终端进行核心网认证前，与拜访家庭基站共同实现对用户终端的接入认证，其中用户终端不需通过核心网的认证。根据本专利技术的另一方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述指令被处理器执行时实现如下操作：在用户终端接入拜访家庭基站的情况下，在用户终端进行核心网认证前，与拜访家庭基站共同实现对用户终端的接入认证，其中用户终端不需通过核心网的认证。根据本专利技术的另一方面，提供一种拜访家庭基站，包括：终端认证模块，用于在用户终端接入拜访家庭基站的情况下，在用户终端进行核心网认证前，与归属家庭基站共同实现对用户终端的接入认证，其中用户终端不需通过核心网的认证。在本专利技术的一个实施例中，所述拜访家庭基站还包括：基站群认证模块，用于在同一场所内的所有家庭基站组成的群组进行共享群密钥的生成和分发，完成群组的认证，其中，所述家庭基站包括拜访家庭基站和归属家庭基站。在本专利技术的一个实施例中，终端认证模块，用于响应于用户终端发送的接入请求，向用户终端发送认证身份请求；接收用户终端发送的认证身份响应消息，其中，所述认证身份响应消息包括用户终端的全球唯一临时用户终端标识以及所述群组的群体身份标识；响应于所述认证身份响应消息，向本文档来自技高网...

【技术保护点】
1.一种双向认证方法，其特征在于，包括：在用户终端接入拜访家庭基站的情况下，在用户终端进行核心网认证前，拜访家庭基站和归属家庭基站对用户终端进行接入认证，其中，用户终端不需通过核心网的认证。

【技术特征摘要】
1.一种双向认证方法，其特征在于，包括：在用户终端接入拜访家庭基站的情况下，在用户终端进行核心网认证前，拜访家庭基站和归属家庭基站对用户终端进行接入认证，其中，用户终端不需通过核心网的认证。2.根据权利要求1所述的方法，其特征在于，还包括：在同一场所内的所有家庭基站组成的群组进行共享群密钥的生成和分发，完成群组的认证，其中，所述家庭基站包括拜访家庭基站和归属家庭基站。3.根据权利要求2所述的方法，其特征在于，所述在同一场所内的所有家庭基站组成的群组进行共享群密钥的生成和分发包括：在同一场所内的所有家庭基站组成一个群组；所述群组生成共享群密钥；归属家庭基站将所述共享群密钥发送给对应的用户终端。4.根据权利要求1-3中任一项所述的方法，其特征在于，所述拜访家庭基站和归属家庭基站对用户终端进行接入认证包括：用户终端向拜访家庭基站发送接入请求；响应于所述接入请求，拜访家庭基站向用户终端发送认证身份请求；响应于所述认证身份请求，用户终端向拜访家庭基站发送认证身份响应消息，其中，所述认证身份响应消息包括用户终端的全球唯一临时用户终端标识以及所述群组的群体身份标识。5.根据权利要求4所述的方法，其特征在于，所述拜访家庭基站和归属家庭基站对用户终端进行接入认证还包括：响应于所述认证身份响应消息，拜访家庭基站向归属家庭基站发送认证数据请求，其中，所述认证数据请求包括用户终端的全球唯一临时用户终端标识以及所述群组的群体身份标识；归属家庭基站验证所述群组与用户终端的隶属关系，并分配认证向量；归属家庭基站向拜访家庭基站返回认证数据响应消息，其中，所述认证数据响应消息包括认证向量；拜访家庭基站保存所述认证向量；用户终端基于认证与密钥协商协议和共享群密钥实现相关认证。6.根据权利要求1-3中任一项所述的方法，其特征在于，所述用户终端接入拜访家庭基站的情况包括：用户终端接入拜访家庭基站并在归属家庭基站进行认证的情况，或者，用户终端在拜访家庭基站中与其它IP设备进行相互认证的情况，其中，所述拜访家庭基站和归属家庭基站处于同一场所。7.一种归属家庭基站，其特征在于，包括：接入认证模块，用于在用户终端接入拜访家庭基站的情况下，在用户终端进行核心网认证前，与拜访家庭基站共同实现对用户终端的接入认证，其中用户终端不需通过核心网的认证。8.根据权利要求7所述的归属家庭基站，其特征在于，还包括：群组认证模块，用于在同一场所内的所有家庭基站组成的群组进行共享群密钥的生成和分发，完成群组的认证，其中，所述家庭基站包括拜访家庭基站和归属家庭基站。9.根据权利要求8所述的归属家庭基站，其特征在于，群组认证模块用于与同一场所内的所有家庭基站组成一个群组；生成共享群密钥；并将所述共享群密钥发送给归属家庭基站对应的用户终端。10.根据权利要求7-9中任一项所述的归属家庭基站，其特征在于，接入认证模块，用于接收拜访家庭基站发送的认证数据请求，其中，响应于用户终端发送的接入请求，拜访家庭基站向用户终端发送认证身份请求，响应于用户终端发送的认证身份响应消息，拜访家庭基站向归属家庭基站发送认证数据请求，所述认证数据请求包括用户终端的全球唯一临时用户终端标识以及所述群组的群体身份标识；验证所述群组与用户终端的隶属关系，并分配认证向量；向拜访家庭基站返回认证数据响应消息，其中，所述认证数据响应消息包括认证向量，以便拜访家庭基站保存所述认证向量，用户终端基于认证与密钥协商协议和共享群密钥实现相关认证。11.一种归属家庭基站，其特征在于，包括：归属家庭基站存储器，用于存储指令；归属家庭基站处理器，用于执行所述指令，使得所述归属家庭基站实现如下操作：在用户终端接入拜访家庭基站的情况下，在用户终端进行核心网认证前，与拜访家庭基站共同实现对用户终端的接入认证，其中用户终端不需通过核心网的认证。12.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述指令被处理器执行时实现如下操作：在用户终端接入...

【专利技术属性】
技术研发人员：常洁，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京,11