CN104661217A - 基于td-lte网络的鉴权和密钥衍生方法及系统 - Google Patents

Abstract

本发明提供了一种基于TD-LTE网络的鉴权和密钥衍生方法及系统，本发明致力于研究基于TD-LTE系统集群业务的安全性。本发明的有益效果是：本发明提出的密钥衍生机制将增加初始密钥对用户安全等级的支持，初始密钥K根据，用户安全等级进行IK，IV级联不同衍生次数的处理，能够实现对不同安全等级不同复杂度密钥的支持密钥。以引入用户安全等级的密钥衍生机制，其中密钥K的复杂度表示用户的安全等级。当用户安全等级较高时，需要系统使用更高的安全机制来保证用户的安全，密钥生成时高安全等级用户专用的复杂密钥K如K3，安全等级要求低的用户可以通过使用K1作为初始密钥。

Description

基于TD-LTE网络的鉴权和密钥衍生方法及系统

技术领域

本发明涉及通信技术领域，尤其涉及基于TD-LTE网络的鉴权和密钥衍生方法及系统。

背景技术

集群通信的快速发展，尤其是更为先进的数字集群通信技术，能够为用户提供更强大的系统功能，数字集群通信系统集多功能于一体,在技术上和系统容量上能够满足大型共网的建设要求,系统可提供指挥调度、电话互联、数据传输、短消息收发、定位服务等多种业务。建立共享网络，能有利于充分发挥数字集群这些强大的系统功能和优良的网络性能，满足当今各专业用户对通信的需求。随着社会经济的发展，政府部门、企事业单位对移动调度服务的需求越加广泛和迫切。因此对于集群系统业务的安全性也有着很关键的要求。TD-LTE公网在我国发展迅速，已经在我国大规模建网。基于TD-LTE公网的情况下可以建立专用的集群网络来发挥集群业务的优势，可以应用于这些单位部门，满足他们对于不同业务的特殊要求。

TD-LTE公网集群系统无需为集群通信独立建网，而是与TD-LTE公众网络共享网络资源。其中，TD-LTE无线接入网是TD-LTE公众网络的主体构成部分，占公众移动通信网络投资的大部分，公网集群的接入网应与公众网络的接入网共享，包括站址、天线等资源，可有效利用公众网络资源。

集群的安全等级和安全要求一般要比公网的高，所以要使用高级的加密算法和更加复杂的鉴权机制来保证集群的高安全等级的要求成为目前急需解决的技术问题。

发明内容

为了解决现有技术中的问题，本发明提供了一种基于TD-LTE网络的鉴权和密钥衍生方法。

本发明提供了一种基于TD-LTE网络的鉴权和密钥衍生方法，包括LTE鉴权方法，在LTE鉴权方法中包括如下步骤：

鉴权请求发起步骤，用户向非接入层移动管理实体发起鉴权请求；

索要鉴权向量步骤，移动管理实体向归属用户服务器索要鉴权向量；

返回步骤，归属用户服务器返回一套或多套通用分组核心演进鉴权向量{随机数，鉴权令牌，预期响应，根密钥}给移动管理实体，其中包含AMF分隔符，”1”代表LTE/SAE,”0”代表非LTE/SAE；

发送步骤，移动管理实体收到后保存预期用户响应、根密钥，并将随机数和鉴权令牌发送给用户；

用户端鉴权步骤，用户通过鉴权特征向量对网络进行鉴权，用户根据鉴权特征向量&随机数计算出鉴权响应&CK/IK，进一步计算出根密钥，用户将鉴权响应发送到移动管理实体，移动管理实体将鉴权响应和预期用户响应进行对比；

推导步骤，用户与移动管理实体根据根密钥推导出非接入层与接入层所需的加密密钥和完整性保护密钥。

作为本发明的进一步改进，在鉴权和密钥衍生方法中，IK，IV是密钥衍生机制的初始输入密钥，CK/IK分别表示加密和完整性密钥；K_ASME是一个中间密钥，是终端和归属用户服务器在AKA过程中根据K生成的；ASME是一个网络实体，根据接收到的归属用户服务器发送的密钥，负责建立和维持归属用户服务器与终端的安全协商；K_eNB也是一个中间密钥，是终端和移动管理实体根据根密钥生成的；K_eNB的值取决于eNodeB识别码，用于eNodeB为RRC业务和UP业务生成密钥；最后，为了NAS信令、AS信令和用户平面数据进行完整性保护和机密性保护，还要生成如下5个密钥：K_eNB，K_NASint，K_NASenc，K_UPenc，K_RRCint和K_RRCenc。，K_eNB是演进型基站密钥，K_NASint是接入层完整性密钥，K_NASenc是接入层安全性密钥，K_UPenc是用户层安全密钥，K_RRCint是接入控制完整性密钥，K_RRCenc是接入控制安全性密钥。

作为本发明的进一步改进，

用户在鉴权过程中AS层和AS层密钥将由初始密钥K进行KDF算法处理后得出根密钥K_ASME；

根密钥K_ASME在NAS层进行衍生出NAS层使用的安全性密钥K_NASenc和完整性保护密钥K_NASint，其中安全性密钥和完整性密钥的生成是根据用户所支持的安全算法，通过选择不同的安全算法组合生成不同的安全性保护密钥和完整性保护密钥；

根密钥K_ASME通过衍生得出中间密钥K_eNB，中间密钥K_eNB主要用于AS层的安全性保护密钥K_RRCenc和完整性保护密钥K_RRCint的生成，其生成方式与NAS层相同，其中，通过改变安全性算法中输入的标志位BEARER则得到用户层密钥K_UPenc。

作为本发明的进一步改进，该鉴权和密钥衍生方法还包括密钥生成方法，该密钥生成方法包括如下步骤：

CK和IK实现步骤：IK和IV是初始密钥和向量，代入KDF算法得到K，K为KDF算法得到的初始密钥，根据用户的算法选择来选择使用的安全算法，K分别代入EEA模块和EIA模块中得到安全性密钥CK和完整性IK；

基于用户安全等级的密钥K步骤：用户安全等级高时，将K带入到KDF函数中进行衍生得到复杂度高的K，当用户安全等级低时，直接将初始的K，通过衍生次数得到不同复杂度的K来表示用户安全等级；

K_ASME实现步骤，将K代入到KDF算法中再截取后32位得到K_ASME；

K_NASint，K_NASenc实现步骤：根据用户的算法选择来选择使用的安全算法，将K_ASME分别代入到EEA算法和EIA算法中得到K_NASint，K_NASenc；

K_eNB实现步骤：将K_ASME代入到KDF算法中再截取后32位可以得到K_eNB；

K_UPenc，K_RRCint和K_RRCenc实现步骤：根据用户的算法选择来选择使用的安全算法，将K_eNB分别代入到EEA算法和EIA算法中得到K_RRCenc和K_RRCint，K_UPenc是用户层使用的保密性密钥，K_RRCenc是控制层使用的保密性密钥，区别是设置不同的标志位(BEARER＝0，1)。

本发明还提供了一种基于TD-LTE网络的鉴权和密钥衍生系统，包括LTE鉴权单元，在LTE鉴权单元中包括：

鉴权请求发起模块，用户向非接入层移动管理实体发起鉴权请求；

索要鉴权向量模块，移动管理实体向归属用户服务器索要鉴权向量；

返回模块，归属用户服务器返回一套或多套通用分组核心演进鉴权向量{随机数，鉴权令牌，预期响应，根密钥}给移动管理实体，其中包含AMF分隔符，”1”代表LTE/SAE,”0”代表非LTE/SAE；

发送模块，移动管理实体收到后保存预期用户响应、根密钥，并将随机数和鉴权令牌发送给用户；

用户端鉴权模块，用户通过鉴权特征向量对网络进行鉴权，用户根据鉴权特征向量&随机数计算出鉴权响应&CK/IK，进一步计算出根密钥，用户将鉴权响应发送到移动管理实体，移动管理实体将鉴权响应和预期用户响应进行对比；

推导模块，用户与移动管理实体根据根密钥推导出非接入层与接入层所需的加密密钥和完整性保护密钥。

作为本发明的进一步改进，在鉴权和密钥衍生系统中，IK，IV是密钥衍生机制的初始输入密钥，CK/IK分别表示加密和完整性密钥；K_ASME是一个中间密钥，是终端和归属用户服务器在AKA过程中根据K生成的；ASME是一个网络实体，根据接收到的归属用户服务器发送的密钥，负责建立和维持归属用户服务器与终端的安全协商；K_eNB也是一个中间密钥，是终端和移动管理实体根据根密钥生成的；K_eNB的值取决于eNodeB识别码，用于eNodeB为RRC业务和UP业务生成密钥；最后，为了NAS信令、AS信令和用户平面数据进行完整性保护和机密性保护，还要生成如下5个密钥：K_eNB，K_NASint，K_NASenc，K_UPenc，K_RRCint和K_RRCenc。，K_eNB是演进型基站密钥，K_NASint是接入层完整性密钥，K_NASenc是接入层安全性密钥，K_UPenc是用户层安全密钥，K_RRCint是接入控制完整性密钥，K_RRCenc是接入控制安全性密钥。

作为本发明的进一步改进，

用户在鉴权过程中AS层和AS层密钥将由初始密钥K进行KDF算法处理后得出根密钥K_ASME；

根密钥K_ASME在NAS层进行衍生出NAS层使用的安全性密钥K_NASenc和完整性保护密钥K_NASint，其中安全性密钥和完整性密钥的生成是根据用户所支持的安全算法，通过选择不同的安全算法组合生成不同的安全性保护密钥和完整性保护密钥；

根密钥K_ASME通过衍生得出中间密钥K_eNB，中间密钥K_eNB主要用于AS层的安全性保护密钥K_RRCenc和完整性保护密钥K_RRCint的生成，其生成方式与NAS层相同，其中，通过改变安全性算法中输入的标志位BEARER则得到用户层密钥K_UPenc。

作为本发明的进一步改进，该鉴权和密钥衍生系统还包括密钥生成单元，该密钥生成单元包括：

CK和IK实现模块：IK和IV是初始密钥和向量，代入KDF算法得到K，K为KDF算法得到的初始密钥，根据用户的算法选择来选择使用的安全算法，K分别代入EEA模块和EIA模块中得到安全性密钥CK和完整性IK；

基于用户安全等级的密钥K模块：用户安全等级高时，将K带入到KDF函数中进行衍生得到复杂度高的K，当用户安全等级低时，直接将初始的K，通过衍生次数得到不同复杂度的K来表示用户安全等级；

K_ASME实现模块，将K代入到KDF算法中再截取后32位得到K_ASME；

K_NASint，K_NASenc实现模块：根据用户的算法选择来选择使用的安全算法，将K_ASME分别代入到EEA算法和EIA算法中得到K_NASint，K_NASenc；

K_eNB实现模块：将K_ASME代入到KDF算法中再截取后32位可以得到K_eNB；

K_UPenc，K_RRCint和K_RRCenc实现模块：根据用户的算法选择来选择使用的安全算法，将K_eNB分别代入到EEA算法和EIA算法中得到K_RRCenc和K_RRCint，K_UPenc是用户层使用的保密性密钥，K_RRCenc是控制层使用的保密性密钥，区别是设置不同的标志位(BEARER＝0，1)。

本发明的有益效果是：本发明提出的密钥衍生机制加入了不同衍生次数的初始密钥K，通过K的衍生次数实现了支持不同安全等级要求用户的初始密钥处理，从而实现了支持安全等级的密钥衍生机制，LTE的安全密钥层次更复杂，能实现AS层和NAS层的分层安全密钥加密和完整性保护。

附图说明

图1是本发明的LTE网络鉴权示意图。

图2是本发明的密钥等级架构图。

图3是本发明基于用户安全等级的初始密钥衍生模块图。

图4是本发明鉴权过程中的密钥衍生机制图。

图5是本发明密钥衍生流程图。

图6是本发明的CK，IK仿真结果图。

图7是本发明的K_ASME，K_NASenc，K_NASint仿真结果图。

图8是本发明的K_eNB，K_RRCenc，K_RRCint仿真结果图。

具体实施方式

本发明公开了一种基于TD-LTE网络的鉴权和密钥衍生方法，包括LTE鉴权方法，鉴权的目的是确定对象的合法性，在集群系统网络内的实体之间、用户与服务之间在建立通信和服务之前相互间的确认，以保障通信和服务的安全性。

LTE鉴权是一个基于四元组的鉴权：根密钥(Kasme)、鉴权特征向量(AUTN)、随机数(RAND)以及预期用户响应(XRES)。

1.在LTE鉴权方法中包括如下步骤：

鉴权请求发起步骤，用户(UE)向非接入层(NAS)移动管理实体MME发起鉴权请求；

索要鉴权向量步骤，MME则向归属用户服务器HSS索要鉴权向量；

返回步骤，HSS返回一套或多套通用分组核心演进EPS鉴权向量{随机数RAND,鉴权令牌AUTN,预期响应XRES,根密钥Kasme}给MME，其中包含AMF分隔符，”1”代表LTE/SAE,”0”代表非LTE/SAE,如GSM,UMTS；

发送步骤，MME收到后保存XRES、Kasme并将随机数RAND和鉴权令牌AUTN发送给UE；

用户端鉴权步骤，UE通过AUTN对网络进行鉴权，这是网络端的鉴权，UE根据AUTN&RAND计算出RES&CK/IK，进一步计算出Kasme，UE将鉴权响应RES发送到MME，MME将RES和XRES进行对比，这是用户端鉴权；

推导步骤，UE与MME根据Kasme推导出NAS层与接入层AS层所需的加密密钥和完整性保护密钥。当UE从活动态ACTIVE到空闲状态IDLE态时，将删除这些密钥。

2.TD-LTE系统中的密钥生成过程：

LTE系统中，为了对不同信息流进行合适的安全保护标准中引入了密钥分层:图1中K是固定的私有密钥，存储在USIM和认证中心AuC中。它是所有密钥生成算法的基础。USIM：用户身份识别模块。

IK，IV是当建立安全协商时在AuC和USIM生成的一对密钥(分别表示加密和完整性密钥)。K_ASME是一个中间密钥，是终端和HSS在AKA过程中根据CK和IK生成的。ASME是一个网络实体，根据接收到的HSS发送的密钥，负责建立和维持HSS与终端的安全协商。K_eNB也是一个中间密钥，是终端和MME根据KASME生成的。K_eNB的值取决于eNodeB识别码，用于eNodeB为RRC业务和UP业务生成密钥。最后，为了NAS信令、AS信令和用户平面数据进行完整性保护和机密性保护，还要生成如下5个密钥：K_eNB，K_NASint，K_NASenc，K_UPenc，K_RRCint和K_RRCenc。

AKA：认证与密钥协商；RRC：接入控制；UP：用户层；NAS：非接入层；AS：接入层。

3.密钥等级及生成

3.1密钥等级：

LTE/SAE系统中的密钥应包括接入层和非接入层的加密和完整性保护密钥，长度为128比特。为长远发展，网络接口还应准备支持256位的密钥。保护UP、NAS和AS的密钥的推衍以它们各自使用的安全算法为输入参数。LTE系统中应使用密钥等级(见图2)，包括以下密钥：演进型基站密钥K_eNB，接入层完整性密钥K_NASint，接入层安全性密钥K_NASenc，用户层安全密钥K_UPenc，接入控制完整性密钥K_RRCint和接入控制安全性密钥K_RRCenc。

K_eNB是由ME和MME从K_ASME推衍产生的密钥，或是由ME和目标eNB产生的密钥。

非接入层通信密钥：

K_NASint是由ME和MME从K_ASME和完整性算法标识推衍产生的对非接入层信令进行完整性保护的密钥。

K_NASenc是由ME和MME从K_ASME和加密算法标识推衍产生的对非接入层信令进行加密保护的密钥。

用户平面通信密钥：

K_UPenc是由ME和eNB从K_eNB和加密算法标识推衍产生的对用户平面数据进行加密保护的密钥。

RRC通信密钥：

K_RRCint是由ME和eNB从K_eNB和完整性算法标识推衍产生的对无线资源控制平面信令进行完整性保护的密钥。

K_RRCenc是由ME和eNB从K_eNB和加密算法标识推衍产生的对无线资源控制平面信令进行加密保护的密钥。

本发明引入用户安全等级的密钥衍生机制，其中密钥K的复杂度表示用户的安全等级。如图3所示，当用户安全等级较高时，需要系统使用更高的安全机制来保证用户的安全，密钥生成时高安全等级用户专用的复杂密钥K如K3，安全等级要求低的用户可以通过使用K1作为初始密钥。通过衍生次数在系统的密钥衍生机制中体现出更高的安全性。

密钥从私有的初始密钥开始在鉴权过程中进行密钥的衍生，如图4所示，具体过程如下：

用户在鉴权过程中AS层和AS层密钥将由初始密钥K进行KDF算法处理后得出根密钥K_ASME；

根密钥K_ASME在NAS层进行衍生出NAS层使用的安全性密钥K_NASenc和完整性保护密钥K_NASint，其中安全性密钥和完整性密钥的生成是根据用户所支持的安全算法，通过选择不同的安全算法组合生成不同的安全性保护密钥和完整性保护密钥(表1)；

根密钥K_ASME通过衍生得出中间密钥K_eNB，中间密钥K_eNB主要用于AS层的安全性保护密钥K_RRCenc和完整性保护密钥K_RRCint的生成，其生成方式与NAS层相同，其中，通过改变安全性算法中输入的标志位BEARER则得到用户层密钥K_UPenc。

表1算法选择表

在研究过程中采用的鉴权认证机制KDF的输入参数中包括算法的ID和算法的识别码(图4)，在进行鉴权的过程中可以输入不同的算法ID，可以表示出不同的算法产生的鉴权密钥流。

密钥衍生机制实现的主要操作流程如图5所示：

CK和IK实现步骤：IK和IV是初始密钥和向量，代入KDF算法得到K，K为KDF算法得到的初始密钥，根据用户的算法选择来选择使用的安全算法(该过程通过算法识别ID实现)，K分别代入EEA模块和EIA模块中得到安全性密钥CK和完整性IK；

基于用户安全等级的密钥K步骤：用户安全等级高时，将K带入到KDF函数中进行衍生得到复杂度高的K，当用户安全等级低时，直接将初始的K，通过衍生次数得到不同复杂度的K来表示用户安全等级；

K_ASME实现步骤，将K代入到KDF算法中再截取后32位得到K_ASME；

K_NASint，K_NASenc实现步骤：根据用户的算法选择来选择使用的安全算法，将K_ASME分别代入到EEA算法和EIA算法中得到K_NASint，K_NASenc；

K_eNB实现步骤：将K_ASME代入到KDF算法中再截取后32位可以得到K_eNB；

K_UPenc，K_RRCint和K_RRCenc实现步骤：根据用户的算法选择来选择使用的安全算法，将K_eNB分别代入到EEA算法和EIA算法中得到K_RRCenc和K_RRCint，K_UPenc是用户层使用的保密性密钥，K_RRCenc是控制层使用的保密性密钥，区别是设置不同的标志位(BEARER＝0，1)。

计算结果及分析：

多等级的密钥衍生结果及分析：

基于图4的流程，设置初始的密钥向量为：

用KDF算法得到的密钥：

$\mathrm{IK}\left[16\right]=\left\{\begin{array}{c}0x\mathrm{17,0}x3d,0x\mathrm{14,0}\mathrm{xba},0x\mathrm{50,0}x\mathrm{03,0}x\mathrm{73,0}x1d,\\ 0x7a,0x\mathrm{60,0}x\mathrm{04,0}x\mathrm{94,0}x\mathrm{70,0}\mathrm{xf}\mathrm{0,0}x0a,0x29\end{array}\right\}$

$\mathrm{IV}\left[16\right]=\left\{\begin{array}{c}0x\mathrm{52,0}x\mathrm{95,0}x9d,0\mathrm{xab},0\mathrm{xa}\mathrm{0,0}\mathrm{xbf},0x\mathrm{17,0}x6e,\\ 0\mathrm{xce},0x2d,0\mathrm{xc}\mathrm{3,0}x\mathrm{15,0}x\mathrm{04,0}x9e,0\mathrm{xb}\mathrm{5,0}x74\end{array}\right\}$

K＝{986fe81915b9449e69588a1f55ab8622}；

通过系统的算法选择机制密钥将进行加密和完整性密钥的衍生，加密算法和完整性算法以ZUC算法为例做了以下加密和完整性保护的仿真。如

图6所示，K输入EEA模块和EIA模块得到CK和IK。

若用户安全等级要求较高时，则将K带入KDF算法中进行多次衍生得到更复杂的密钥K。

K1＝{436da8291659329ebae3211b4d3b2134}(衍生1次)；

K2＝{5eacfd986336120465489105264da654}(衍生2次)；

K3＝{657454674ba4654f464789e464c4646a}(衍生3次)；

需要注意的是CK与明文对应，这里得出的是与明文长度一致的密钥。

CK＝{1161004c，aa61f808，b71afdfe，549e2021，220f23e9，8e623ead，ccfd4a71}；

IK＝{003434c0}；

K输入KDF模块得到：

K_ASME＝{6aeee61c0cc932e19bea74275b08b8e44}；

将K_ASME输入到EEA模块和EIA模块中得到K_NASenc，K_NASint(图7)

K_NASenc＝{68066bf0，3a659991，f3ba4f9b，0829ed9f，07663181，bd1c3e63，26306854}；

K _NASint ＝{04161728}；

K_ASME输入KDF得：

K _eNB ＝{105213e9f3f399e3516024cee768af89}；

将K _eNB 输入EEA和EIA中(图8)得到K _RRCenc ，KRRCint。

K_RRCenc＝{a8ba3f97，0a6d12b9，31e8c707，59410911，66b8ce60，45402eb6，7ac2b7cd}；

K_RRCint＝{041e1728}；

修改EEA中输入标识位BEARER＝0，得出K_UPenc。

K_UPenc＝{d26c3efa，059c4b36，2265c81a，33647f1c，58c3ef3a，16aec2a3，cc0da4fc}；

通过上述的结果表述，我们可以得到基于用户安全等级的进行鉴权和各层业务安全所需要的各个密钥和NAS层AS层加密和完整性保护。

本发明致力于研究基于TD-LTE系统集群业务的安全性，本发明提出的密钥衍生机制不再是直接使用密钥K进行密钥衍生，而是基于不同的安全等级用户产生不同衍生次数的术士密钥K，相对于以前的系统，增添了系统对用户安全等级支持，LTE的安全密钥层次更复杂，能实现AS层和NAS层的分层安全密钥加密和完整性保护。

本发明主要是针对基于TD-LTE的集群业务的用户安全等级的密钥衍生机制进行了研究，阐述了系统进行鉴权的流程和鉴权所需的算法和密钥的衍生过程，介绍了各个密钥在各个层面的作用和应用，并对于密钥流产生算法ZUC算法进行了介绍，同时对鉴权流程中的各个阶段所需的密钥进行了分析计算。

本发明提出的密钥衍生机制将增加初始密钥对用户安全等级的支持，初始密钥K根据，用户安全等级进行IK，IV级联不同衍生次数的处理，能够实现对不同安全等级不同复杂度密钥的支持密钥。以引入用户安全等级的密钥衍生机制，其中密钥K的复杂度表示用户的安全等级。如图4所示，当用户安全等级较高时，需要系统使用更高的安全机制来保证用户的安全，密钥生成时高安全等级用户专用的复杂密钥K如K3，安全等级要求低的用户可以通过使用K1作为初始密钥。通过衍生次数在系统的密钥衍生机制中体现出更高的安全性。在通过初始密钥K的不同处理次数可以实现对不同安全等级用户产生不同复杂度的初始密钥K，实现系统对用户安全等级的支持。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (8)

1.一种基于TD-LTE网络的鉴权和密钥衍生方法，其特征在于，包括LTE鉴权方法，在LTE鉴权方法中包括如下步骤：

鉴权请求发起步骤，用户向非接入层移动管理实体发起鉴权请求；

索要鉴权向量步骤，移动管理实体向归属用户服务器索要鉴权向量；

返回步骤，归属用户服务器返回一套或多套通用分组核心演进鉴权向量{随机数，鉴权令牌，预期响应，根密钥}给移动管理实体，其中包含AMF分隔符，”1”代表LTE/SAE,”0”代表非LTE/SAE；

发送步骤，移动管理实体收到后保存预期用户响应、根密钥，并将随机数和鉴权令牌发送给用户；

用户端鉴权步骤，用户通过鉴权特征向量对网络进行鉴权，用户根据鉴权特征向量&随机数计算出鉴权响应&CK/IK，进一步计算出根密钥，用户将鉴权响应发送到移动管理实体，移动管理实体将鉴权响应和预期用户响应进行对比；

推导步骤，用户与移动管理实体根据根密钥推导出非接入层与接入层所需的加密密钥和完整性保护密钥。

2.根据权利要求1所述的鉴权和密钥衍生方法，其特征在于，在鉴权和密钥衍生方法中，IK，IV是密钥衍生机制的初始输入密钥，CK/IK分别表示加密和完整性密钥；K_ASME是一个中间密钥，是终端和归属用户服务器在AKA过程中根据K生成的；ASME是一个网络实体，根据接收到的归属用户服务器发送的密钥，负责建立和维持归属用户服务器与终端的安全协商；K_eNB也是一个中间密钥，是终端和移动管理实体根据根密钥生成的；K_eNB的值取决于eNodeB识别码，用于eNodeB为RRC业务和UP业务生成密钥；最后，为了NAS信令、AS信令和用户平面数据进行完整性保护和机密性保护，还要生成如下5个密钥：K_eNB，K_NASint，K_NASenc，K_UPenc，K_RRCint和K_RRCenc。，K_eNB是演进型基站密钥，K_NASint是接入层完整性密钥，K_NASenc是接入层安全性密钥，K_UPenc是用户层安全密钥，K_RRCint是接入控制完整性密钥，K_RRCenc是接入控制安全性密钥。

3.根据权利要求2所述的鉴权和密钥衍生方法，其特征在于，

用户在鉴权过程中AS层和AS层密钥将由初始密钥K进行KDF算法处理后得出根密钥K_ASME；

根密钥K_ASME在NAS层进行衍生出NAS层使用的安全性密钥K_NASenc和完整性保护密钥K_NASint，其中安全性密钥和完整性密钥的生成是根据用户所支持的安全算法，通过选择不同的安全算法组合生成不同的安全性保护密钥和完整性保护密钥；

根密钥K_ASME通过衍生得出中间密钥K_eNB，中间密钥K_eNB主要用于AS层的安全性保护密钥K_RRCenc和完整性保护密钥K_RRCint的生成，其生成方式与NAS层相同，其中，通过改变安全性算法中输入的标志位BEARER则得到用户层密钥K_UPenc。

4.根据权利要求1所述的鉴权和密钥衍生方法，其特征在于，该鉴权和密钥衍生方法还包括密钥生成方法，该密钥生成方法包括如下步骤：

CK和IK实现步骤：IK和IV是初始密钥和向量，代入KDF算法得到K，K为KDF算法得到的初始密钥，根据用户的算法选择来选择使用的安全算法，K分别代入EEA模块和EIA模块中得到安全性密钥CK和完整性IK；

基于用户安全等级的密钥K步骤：用户安全等级高时，将K带入到KDF函数中进行衍生得到复杂度高的K，当用户安全等级低时，直接将初始的K，通过衍生次数得到不同复杂度的K来表示用户安全等级；

K_ASME实现步骤，将K代入到KDF算法中再截取后32位得到K_ASME；

K_NASint，K_NASenc实现步骤：根据用户的算法选择来选择使用的安全算法，将K_ASME分别代入到EEA算法和EIA算法中得到K_NASint，K_NASenc；

K_eNB实现步骤：将K_ASME代入到KDF算法中再截取后32位可以得到K_eNB；

K_UPenc，K_RRCint和K_RRCenc实现步骤：根据用户的算法选择来选择使用的安全算法，将K_eNB分别代入到EEA算法和EIA算法中得到K_RRCenc和K_RRCint，K_UPenc是用户层使用的保密性密钥，K_RRCenc是控制层使用的保密性密钥，区别是设置不同的标志位(BEARER＝0，1)。

5.一种基于TD-LTE网络的鉴权和密钥衍生系统，其特征在于，包括LTE鉴权单元，在LTE鉴权单元中包括：

鉴权请求发起模块，用户向非接入层移动管理实体发起鉴权请求；

索要鉴权向量模块，移动管理实体向归属用户服务器索要鉴权向量；

返回模块，归属用户服务器返回一套或多套通用分组核心演进鉴权向量{随机数，鉴权令牌，预期响应，根密钥}给移动管理实体，其中包含AMF分隔符，”1”代表LTE/SAE,”0”代表非LTE/SAE；

发送模块，移动管理实体收到后保存预期用户响应、根密钥，并将随机数和鉴权令牌发送给用户；

用户端鉴权模块，用户通过鉴权特征向量对网络进行鉴权，用户根据鉴权特征向量&随机数计算出鉴权响应&CK/IK，进一步计算出根密钥，用户将鉴权响应发送到移动管理实体，移动管理实体将鉴权响应和预期用户响应进行对比；

推导模块，用户与移动管理实体根据根密钥推导出非接入层与接入层所需的加密密钥和完整性保护密钥。

6.根据权利要求5所述的鉴权和密钥衍生系统，其特征在于，在鉴权和密钥衍生系统中，IK，IV是密钥衍生机制的初始输入密钥，CK/IK分别表示加密和完整性密钥；K_ASME是一个中间密钥，是终端和归属用户服务器在AKA过程中根据K生成的；ASME是一个网络实体，根据接收到的归属用户服务器发送的密钥，负责建立和维持归属用户服务器与终端的安全协商；K_eNB也是一个中间密钥，是终端和移动管理实体根据根密钥生成的；K_eNB的值取决于eNodeB识别码，用于eNodeB为RRC业务和UP业务生成密钥；最后，为了NAS信令、AS信令和用户平面数据进行完整性保护和机密性保护，还要生成如下5个密钥：K_eNB，K_NASint，K_NASenc，K_UPenc，K_RRCint和K_RRCenc。，K_eNB是演进型基站密钥，K_NASint是接入层完整性密钥，K_NASenc是接入层安全性密钥，K_UPenc是用户层安全密钥，K_RRCint是接入控制完整性密钥，K_RRCenc是接入控制安全性密钥。

7.根据权利要求6所述的鉴权和密钥衍生系统，其特征在于，

用户在鉴权过程中AS层和AS层密钥将由初始密钥K进行KDF算法处理后得出根密钥K_ASME；

根密钥K_ASME在NAS层进行衍生出NAS层使用的安全性密钥K_NASenc和完整性保护密钥K_NASint，其中安全性密钥和完整性密钥的生成是根据用户所支持的安全算法，通过选择不同的安全算法组合生成不同的安全性保护密钥和完整性保护密钥；

根密钥K_ASME通过衍生得出中间密钥K_eNB，中间密钥K_eNB主要用于AS层的安全性保护密钥K_RRCenc和完整性保护密钥K_RRCint的生成，其生成方式与NAS层相同，其中，通过改变安全性算法中输入的标志位BEARER则得到用户层密钥K_UPenc。

8.根据权利要求5所述的鉴权和密钥衍生系统，其特征在于，该鉴权和密钥衍生系统还包括密钥生成单元，该密钥生成单元包括：

CK和IK实现模块：IK和IV是初始密钥和向量，代入KDF算法得到K，K为KDF算法得到的初始密钥，根据用户的算法选择来选择使用的安全算法，K分别代入EEA模块和EIA模块中得到安全性密钥CK和完整性IK；

基于用户安全等级的密钥K模块：用户安全等级高时，将K带入到KDF函数中进行衍生得到复杂度高的K，当用户安全等级低时，直接将初始的K，通过衍生次数得到不同复杂度的K来表示用户安全等级；

K_ASME实现模块，将K代入到KDF算法中再截取后32位得到K_ASME；

K_NASint，K_NASenc实现模块：根据用户的算法选择来选择使用的安全算法，将K_ASME分别代入到EEA算法和EIA算法中得到K_NASint，K_NASenc；

K_eNB实现模块：将K_ASME代入到KDF算法中再截取后32位可以得到K_eNB；

K_UPenc，K_RRCint和K_RRCenc实现模块：根据用户的算法选择来选择使用的安全算法，将K_eNB分别代入到EEA算法和EIA算法中得到K_RRCenc和K_RRCint，K_UPenc是用户层使用的保密性密钥，K_RRCenc是控制层使用的保密性密钥，区别是设置不同的标志位(BEARER＝0，1)。