本發明公開了一種網絡鑒權認證的方法及設備。其方法包括：接入網元通過接入網元向終端發送使用第二網元簽名私鑰進行簽名的鑒權向量信息；終端對鑒權向量信息的簽名進行驗證，驗證成功后，生成兩個一致性檢查密鑰，分別使用這兩個一致性檢查密鑰進行消息完整性計算，并分別與第一網元和接入網元發送的消息完整性計算結果進行比對；比對正確后，再分別使用這兩個一致性檢查密鑰再次進行消息完整性計算，將計算結果分別發送給接入網元和第一網元；接入網元和第一網元分別使用各自生成的一致性檢查密鑰進行消息完整性計算，將計算結果與終端發送的計算結果進行比對，從而實現鑒權。保證了鑒權向量信息在傳遞過程中的安全性以及鑒權的可靠性。

技術領域

本發明涉及通信技術領域，尤其涉及一種網絡鑒權認證的方法及設備。

背景技術

長期演進（LTE，Long Term Evolution）網絡的鑒權認證階段采用AKA協議。現有的LTE網絡中，鑒權認證階段存在安全漏洞，具體體現在：

鑒權向量在傳遞過程中容易受到攻擊。特別是當終端跨公共陸地移動網絡（PLMN，Public Land Mobile Network）漫游時，為了對終端進行鑒權認證，歸屬地網絡的網元會把鑒權向量發送到漫游網絡的網元。在這個過程中，鑒權向量穿過不同的網絡，很容易受到攻擊。

發明內容

本發明的目的是提供一種網絡鑒權認證的方法及設備，以解決LTE網絡鑒權認證階段存在的安全問題。

本發明的目的是通過以下技術方案實現的：

一種網絡鑒權認證的方法，包括：

終端生成第二臨時公私鑰對，向接入網元發送終端問候消息和終端密鑰交換消息，所述終端問候消息包含終端標識和終端隨機數，所述終端密鑰交換消息包含第二臨時公鑰；

所述接入網元向第一網元發送所述終端問候消息、所述終端密鑰交換消息和接入網元問候消息，所述接入網元問候消息包含接入網元標識和接入網元后向隨機數；

所述第一網元向第二網元發送所述終端問候消息、所述接入網元問候消息和第一網元后向問候消息，所述第一網元后向問候消息中包含第一網元后向隨機數和第一網元簽名證書；

第二網元向第一網元發送鑒權向量信息，所述鑒權向量信息中需要終端驗證的信息使用第二網元簽名私鑰進行簽名；

所述第一網元獲取所述鑒權向量信息；

所述第一網元生成第一臨時公私鑰對和包含第一網元前向隨機數的第一網元前向問候消息，利用獲得的鑒權向量信息、所述第二臨時公鑰、所述第一網元交換私鑰和所述第一臨時私鑰生成第一一致性檢查密鑰，使用所述第一一致性檢查密鑰對所述終端問候消息和第一網元前向問候消息進行完整性計算產生第一消息完整性計算結果，并向所述接入網元發送所述鑒權向量信息、包含第一臨時公鑰的第一網元密鑰交換消息、第一網元前向問候消息和第一消息完整性計算結果；

所述接入網元生成接入網元臨時公私鑰對和包含接入網元前向隨機數的接入網元前向問候消息，利用獲得的鑒權向量信息、所述第二臨時公鑰、所述接入網元交換私鑰和所述接入網元臨時私鑰生成接入一致性檢查密鑰，使用所述接入一致性檢查密鑰對所述終端問候消息和接入網元前向問候消息進行完整性計算產生接入消息完整性計算結果，并向終端發送所述鑒權向量信息、包含接入網元臨時公鑰的接入網元密鑰交換消息、所述接入網元前向問候消息、接入消息完整性計算結果、所述第一網元前向問候消息和所述第一消息完整性計算結果；

所述終端使用保存的第二網元的簽名證書對接收到的所述鑒權向量信息中的簽名進行驗證；

驗證成功后，所述終端利用所述鑒權向量信息、所述終端標識、所述第一臨時公鑰、終端交換私鑰、和所述第二臨時私鑰生成第二一致性檢查密鑰，并利用所述鑒權向量信息、所述終端標識、所述接入臨時公鑰、終端交換私鑰、和所述第三臨時私鑰生成第三一致性檢查密鑰；