WO2014113921A1 - 移动通信系统的安全认证的方法和网络设备 - Google Patents

Abstract

本发明实施例公开了一种移动通信系统的安全认证的方法和网络设备。一种移动通信系统的安全认证的方法，HSS接收接入网网元发送的要求特殊认证向量的请求，该要求特殊认证向量的请求由该接入网网元接收到SGSN发送的要求认证向量的请求后发送；该HSS根据该要求特殊认证向量的请求，生成特殊认证向量；该HSS将该特殊认证向量发送给该接入网网元，以便该接入网网元、该SGSN和LTE UE完成安全认证。本发明实施例公开的移动通信系统的安全认证的方法和网络设备能够使LTE UE使用2G/3G网络。

Description

移动通信系统的安全 ^人证的方法和网络设备

技术领域

本发明实施例涉及通信领域， 尤其涉及移动通信系统的安全认证的方法和 网络设备。

背景技术 长期演进（ Long Term Evolution ,筒称为 "LTE" )/系统架构演进 (System Architecture Evolution , 筒称为 "SAE" )网络是标准组织第三代合作伙伴计 划（3rd Generation Partnership Project , 筒称为 "3GPP" )制定的新的移动通 信系统。 这种网络将是现有的包括宽带码分多址 （Wideband Code Division Multiple Access , 筒称为 "WCDMA" ) 网络、 时分-同步码分多址 （Time Division-Synchronous Code Division Multiple Access , 筒称为 "TD-SCDMA" ) 网络、 码分多址 2000 (Code Division Multiple Access 2000 , 筒称为 "CDMA2000" )网络在内的 3G网络的下一步演进方向。 目前在某些国家， 已经有商业部署的 LTE/SAE网络正在运行。安全是移动通信系统商业运营必 不可少的特性， 认证是安全特性中的一个重要特性。 通用移动通信系统 ( Universal Mobile Telecommunication System, 筒称为 "UMTS" ) 网络和 LTE/SAE网络制定了认证和密钥协商 （Authentication and Key Agreement , 筒称为 "AKA" )机制来执行 UE和网络之间的双向认证。 UMTS网络的双 向认证机制称为 UMTS AKA, LTE/SAE网络的双向认证机制称为演进分组 系统 （ Evolved Packet System, 筒称为 "EPS" ) AKA。 在某些特殊场景下， 存在着 LTE 用户设备（User Equipment, 筒称为 "UE" ) 通过 LTE接入网 接入 2G/3G核心网的情况。 由于 2G/3G核心网只能从 HSS获得 UMTS AV , 而 LTE UE在通过 LTE网络接入时， 会拒绝使用 UMTS AV进行认证， 因此 LTE UE不能够通过 LTE接入网接入 2G/3G核心网。 发明内容

有鉴于此， 本发明实施例提供了一种移动通信系统的安全认证的方法和网 络设备， 能够使 LTE UE使用 2G/3G网络。 第一方面， 提供了一种移动通信系统的安全认证方法， 包括：

HSS接收接入网网元发送的要求特殊认证向量的请求， 该要求特殊认证 向量的请求由该接入网网元接收到 SGSN 发送的要求认证向量的请求后发 送；

该 HSS根据该要求特殊认证向量的请求， 生成特殊认证向量；

该 HSS将该特殊认证向量发送给该接入网网元， 以便该接入网网元、 该 SGSN和 LTE UE完成安全认证。

在第一种可能的实现方式中， 该要求认证向量的请求是该 SGSN在接收 到该接入网网元发送的 UMTS attach request 消息后发送， 该 UMTS attach request消息是该接入网网元将 attach request消息转换所得， 该 attach request 消息由该 LTE UE发送。

在第二种可能的实现方式中， 结合第一方面或第一方面的第一种可能的 实现方式， 该以便该接入网网元、 该 SGSN和 LTE UE完成安全认证包括： 该接入网网元将该特殊认证向量发送给该 SGSN , 该 SGSN发送 UMTS AKA认证挑战给该接入网网元， 该接入网网元将该 UMTS AKA认证挑战转 换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA 认证挑战进行验证并生成 RES和密钥 K_ASME后， 该 LTE UE将包含该 RES 的 LTE AKA认证响应发送给该接入网网元， 以便该接入网网元、 该 SGSN 和该 LTE UE进一步完成安全认证。

在第三种可能的实现方式中， 结合第一方面或第一方面的第一种至第二 种可能的实现方式， 该特殊认证向量中包含 XRES、 CK、 IK;

该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括： 该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同， 当该比较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入 网网元， 该接入网网元根据该 CK和或 IK生成 K_ASME, 该接入网网元和该 LTE UE共享该 K_ASME。

在第四种可能的实现方式中， 结合第一方面的第三种可能的实现方式， 该 SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时， 中止进行安全认证。

在第五种可能的实现方式中， 结合第一方面或第一方面的第一至第四任 一种可能的实现方式， 该要求特殊认证向量的请求由该接入网网元接收到 SGSN发送的要求认证向量的请求后发送包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

在第六种可能的实现方式中， 结合第一方面或第一方面的第一至第五任 一种可能的实现方式， 该 HSS根据该要求特殊认证向量的请求， 生成特殊认 证向量包括：

该 HSS为该 LTE UE生成 EPS AV；

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

在第七种可能的实现方式中， 结合第一方面的第六种可能的实现方式， 该 HSS将该 EPS AV转换成 UMTS AV格式包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME拆 分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

在第八种可能的实现方式中， 结合第一方面的第三至第七任一种可能的 实现方式， 该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。

第二方面， 提供了一种移动通信系统的安全认证方法， 包括：

SGSN接收接入网网元发送 UMTS attach request消息， 该 UMTS attach request消息是该接入网网元将 LTE UE发送的 attach request消息转换所得； 该 SGSN向该接入网网元发送要求认证向量的请求， 以便该接入网网元 接收到该要求认证向量的请求后， 向 HSS发送要求特殊认证向量的请求， 进 而以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量后发送 给该接人网网元；

该 SGSN接收来自于该接入网网元的该特殊认证向量后， 发送 UMTS AKA认证挑战给该接入网网元， 以便该 SGSN、 该接入网网元和该 LTE UE 完成安全认证。

在第一种可能的实现方式中， 该以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证包括：

该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 K_ASME后， 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元， 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。

在第二种可能的实现方式中， 结合第二方面或第二方面的第一种可能的 实现方式， 该特殊认证向量包含 XRES、 CK、 IK;

该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括： 该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同， 当该比较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入 网网元， 该接入网网元根据该 CK和或 IK生成 K_ASME, 该接入网网元和该 LTE UE共享该 K_ASME。 在第三种可能的实现方式中， 结第二方面的第二种可能的实现方式， 该

SGSN比较该 RES和该 XRES是否相同还包括， 当该比较结果为不相同时， 中止进行安全认证。

在第四种可能的实现方式中， 结合第二方面或第二方面的第一种至第三 种任一可能的实现方式， 该以便该接入网网元接收到该要求认证向量的请求 后， 向 HSS发送要求特殊认证向量的请求包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

在第五种可能的实现方式中， 结合第二方面或第二方面的第一种至第四 种可能的实现方式，该以便该 HSS根据该要求特殊认证向量的请求生成该特 殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV ;

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

在第六种可能的实现方式中， 结合第二方面的第五种可能的实现方式， 该 HSS将该 EPS AV转换成 UMTS AV格式包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME拆 分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

在第七种可能的实现方式中， 结合第二方面的第二种至第六种任一可能 的实现方式， 该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKIIIK , 根据该 CK和或 IK生成该

KASME。 第三方面， 提供了一种移动通信系统的安全认证方法， 包括： 接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息；

该接入网网元将该 UMTS attach request消息发送给 SGSN,以便该 SGSN 收到该 UMTS attach request消息后发送要求认证向量的请求给该接入网网 元；

该接入网网元收到该要求认证向量的请求后发送要求特殊认证向量的请 求给该 HSS ,以便该 HSS根据要求特殊认证向量的请求生成该特殊认证向量， 进而以便该 HSS将该特殊认证向量发送给该接入网网网元；

该接入网网元接收 UMTS AKA认证挑战， 该 UMTS AKA认证挑战为该 接入网网元将该特殊认证向量发送给该 SGSN后由该 SGSN发送；

该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE, 以便该接入网网元、 该 SGSN和该 LTE UE完成安全认证。

在第一种可能的实现方式中， 该以便该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括：

该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 K_ASME;

该接入网网元接收该 LTE UE发送的包含该 RES的 LTE AKA认证响应， 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。

在第二种可能的实现方式中，结合第三方面或第三方面的第一种可能的实 现方式， 该特殊认证向量包含 XRES、 CK和 IK;

该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证包括： 该接入网网元将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应，该接入网网元将该包含该 RES的 UMTS AKA认证响 应发送给该 SGSN, 以便该 SGSN比较该 RES和该 XRES是否相同， 当该比 较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入网网元；

该接入网网元根据该 CK和或 IK生成 K_ASME,该接入网网元和该 LTE UE 共早该 KASME °

在第三种可能的实现方式中， 结合第三方面的第二种可能的实现方式， 该 SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时， 中止进行安全认证。

在第四种可能的实现方式中， 结合第三方面或第三方面的第一至第三任 一种可能的实现方式， 该接入网网元收到该要求认证向量的请求后发送要求 特殊认证向量的请求给该 HSS包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

在第五种可能的实现方式中， 结合第三方面或第三方面的第一至第四任 一种可能的实现方式，该以便该 HSS根据要求特殊认证向量的请求生成该特 殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV；

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

在第六种可能的实现方式中， 结合第三方面的第五种可能的实现方式， 该 HSS将该 EPS AV转换成 UMTS AV格式包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME拆 分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

在第七种可能的实现方式中， 结合第三方面的第二至第六任一种可能的 实现方式， 该接入网网元根据该 CK和或 ΙΚ生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKIIIK , 根据该 CK和或 IK生成该 KASME。

第四方面， 提供了一种 HSS , 包括： 接收模块， 处理模块， 发送模块； 该接收模块用于接收接入网网元发送的要求特殊认证向量的请求， 该要 求特殊认证向量的请求由该接入网网元接收到 SGSN发送的要求认证向量的 请求后发送；

该处理模块用于根据该要求特殊认证向量的请求， 生成特殊认证向量； 该发送模块用于将该特殊认证向量发送给该接入网网元， 以便该接入网 网元、 该 SGSN和 LTE UE完成安全认证。

在第一种可能的实现方式中， 该要求认证向量的请求是该 SGSN在接收 到该接入网网元发送的 UMTS attach request 消息后发送， 该 UMTS attach request消息是该接入网网元将 attach request消息转换所得， 该 attach request 消息由该 LTE UE发送。

在第二种可能的实现方式中， 结合第四方面或第四方面的第一种可能的 实现方式， 该以便该接入网网元、 该 SGSN和 LTE UE完成安全认证包括： 该接入网网元将该特殊认证向量发送给该 SGSN , 该 SGSN发送 UMTS

AKA认证挑战给该接入网网元， 该接入网网元将该 UMTS AKA认证挑战转 换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA 认证挑战进行验证并生成 RES和密钥 K_ASME后， 该 LTE UE将包含该 RES 的 LTE AKA认证响应发送给该接入网网元， 以便该接入网网元、 该 SGSN 和该 LTE UE进一步完成安全认证。

在第三种可能的实现方式中， 结合第四方面或第四方面的第一种至第二 种可能的实现方式， 该特殊认证向量中包含 XRES、 CK、 IK;

该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括： 该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同， 当该比较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入 网网元， 该接入网网元根据该 CK和或 IK生成 K_ASME, 该接入网网元和该 LTE UE共享该 K_ASME。

在第四种可能的实现方式中， 结合第四方面的第三种可能的实现方式， 该 SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时， 中止进行安全认证。

在第五种可能的实现方式中， 结合第四方面或第四方面的第一至第四任 一种可能的实现方式， 该要求特殊认证向量的请求由该接入网网元接收到 SGSN发送的要求认证向量的请求后发送包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

在第六种可能的实现方式中， 结合第四方面或第四方面的第一至第五任 一种可能的实现方式， 该处理模块用于根据该要求特殊认证向量的请求， 生 成特殊认证向量包括：

该处理模块用于为该 LTE UE生成 EPS AV;

该处理模块用于将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式的 EPS AV为该特殊认证向量。

在第七种可能的实现方式中， 结合第四方面的第六种可能的实现方式， 该处理模块用于将该 EPS AV转换成 UMTS AV格式包括：

该处理模块用于将该 EPS AV中的 RAND作为该 UMTS AV的 RAND, 该处理模块用于将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该处 理模块用于将该 EPS AV中的 XRES作为该 UMTS AV的 XRES , 该处理模 块用于将该 EPS AV中的 K_ASME拆分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

在第八种可能的实现方式中， 结合第四方面的第三至第七任一种可能的 实现方式， 该接入网网元根据该 CK和或 IK生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKIIIK , 根据该 CK和或 IK生成该

KASME。

第五方面， 提供了一种 SGSN, 包括： 接收模块； 发送模块；

该接收模块用于接收接入网网元发送的 UMTS attach request消息， 该

UMTS attach request消息是该接入网网元将 LTE UE发送的 attach request消 息转换所得；

该发送模块用于向该接入网网元发送要求认证向量的请求， 以便该接入 网网元接收到该要求认证向量的请求后，向 HSS发送要求特殊认证向量的请 求，进而以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量后 发送给该接入网网元；

该接收模块还用于接收来自于该接入网网元的该特殊认证向量， 该发送 模块还用于该接收模块接收到该特殊认证向量后发送 UMTS AKA认证挑战 给该接入网网元， 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证。

在第一种可能的实现方式中， 该以便该 SGSN、 该接入网网元和该 LTE

UE完成安全认证包括：

该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 K_ASME后， 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元， 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。

在第二种可能的实现方式中， 结合第五方面或第五方面的第一种可能的 实现方式， 该 SGSN还包括处理模块；

该特殊认证向量包含 XRES、 CK、 IK;

该以便该接入网网元、该 SGSN和该 LTE UE进一步完成安全认证包括： 该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该接收模块， 该处理模块用于比较该 RES和 该 XRES是否相同， 当该比较结果为相同时， 该发送模块将该 CK和或 IK发 送给该接入网网元， 该接入网网元才艮据该 CK和或 IK生成 K_ASME , 该 CK和 或 IK由该发送模块发送， 该接入网网元和该 LTE UE共享该 K_ASME。

在第三种可能的实现方式中， 结第五方面的第二种可能的实现方式， 该 处理模块用于比较该 RES和该 XRES是否相同还包括， 当该比较结果为不相 同时， 中止进行安全认证。

在第四种可能的实现方式中， 结合第五方面或第五方面的第一种至第三 种任一可能的实现方式， 该以便该接入网网元接收到该要求认证向量的请求 后， 向 HSS发送要求特殊认证向量的请求包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

在第五种可能的实现方式中， 结合第五方面或第五方面的第一种至第四 种可能的实现方式，该以便该 HSS根据该要求特殊认证向量的请求生成该特 殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV;

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

在第六种可能的实现方式中， 结合第五方面的第五种可能的实现方式， 该 HSS将该 EPS AV转换成 UMTS AV格式包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME拆 分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。 在第七种可能的实现方式中， 结合第五方面的第二种至第六种任一可能 的实现方式， 该接入网网元根据该 CK和或 IK生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKIIIK , 根据该 CK和或 IK生成该

KASME。

第六方面， 提供了一种接入网网元， 包括： 接收模块， 处理模块， 发送 模块；

该接收模块用于接收来自 LTE UE的 attach request消息； 该处理模块用 于将该 attach request消息转换为 UMTS attach request消息；

该发送模块用于将该 UMTS attach request消息发送给 SGSN, 以便该 SGSN收到该 UMTS attach request消息后发送要求认证向量的请求给该接收 模块； 该发送模块还用于在该接收模块收到该要求认证向量的请求后发送要 求特殊认证向量的请求给该 HSS ,以便该 HSS根据要求特殊认证向量的请求 生成该特殊认证向量， 进而以便该 HSS将该特殊认证向量发送给该接收模 块；

该接收模块还用于接收 UMTS AKA认证挑战， 该 UMTS AKA认证挑战 为该发送模块将该特殊认证向量发送给该 SGSN后由该 SGSN发送； 该处理 模块还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战，该发送模 块还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以便该接入网网元、 该 SGSN和该 LTE UE完成安全认证。

在第一种可能的实现方式中， 该以便该接入网网元、 该 SGSN和该 LTE

UE完成安全认证包括：

该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 K_ASME;

该接收模块用于接收该 LTE UE发送的包含该 RES的 LTE AKA认证响 应， 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。

在第二种可能的实现方式中，结合第六方面或第六方面的第一种可能的实 现方式， 该特殊认证向量包含 XRES、 CK和 IK; 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证包括： 该处理模块还用于将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应， 该发送模块还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN , 以便该 SGSN比较该 RES和该 XRES是否 相同， 当该比较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入网网 元；

该处理模块还用于根据该 CK和或 IK生成 K_ASME ,该接入网网元和该 LTE UE共早该 KASME。

在第三种可能的实现方式中， 结合第六方面的第二种可能的实现方式， 该 SGSN比较该 RES和该 XRES是否相同还包括，当该比较结果为不相同时， 中止进行安全认证。

在第四种可能的实现方式中， 结合第六方面或第六方面的第一至第三任 一种可能的实现方式， 该发送模块还用于在该接收模块收到该要求认证向量 的请求后发送要求特殊认证向量的请求给该 HSS包括：

该接收模块用于接收该 SGSN发送的该要求认证向量的请求；

该处理模块用于识别出是 LTE UE接入 2G或 3G网络；

该处理模块还用于在该认证向量中加入指示信息生成该要求特殊认证向 量的请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

在第五种可能的实现方式中， 结合第六方面或第六方面的第一至第四任 一种可能的实现方式，该以便该 HSS根据要求特殊认证向量的请求生成该特 殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV ;

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

在第六种可能的实现方式中， 结合第六方面的第五种可能的实现方式， 该 HSS将该 EPS AV转换成 UMTS AV格式包括： 该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME ( 256bits ) 拆分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

在第七种可能的实现方式中， 结合第六方面的第二至第六任一种可能的 实现方式， 该处理模块进一步用于按照生成规则 K_ASME=CKIIIK , 根据该 CK 和或 IK生成该 K_ASME。

通过上述方案， 能够使 LTE UE使用 2G/3G网络。 附图说明

为了更清楚地说明本发明实施例的技术方案， 下面将对本发明实施例中所 需要使用的附图作筒单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明 的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1是根据本发明实施例的移动通信系统的认证方法的示意性流程图； 图 2是根据本发明另一实施例的移动通信系统的认证方法的示意图流程 图；

图 3是根据本发明另一实施例的移动通信系统的认证方法的示意性流程 图；

图 4是根据本发明另一实施例的移动通信系统的认证方法的示意性流程 图；

图 5是根据本发明实施例的归属用户服务器的示意性框图；

图 6是根据本发明实施例的 GPRS服务支撑节点的示意性框图； 图 7是根据本发明实施例的接入网网元的示意性框图；

图 8是根据本发明另一实施例的归属用户服务器的示意性框图； 图 9是根据本发明另一实施例的 GPRS服务支撑节点的示意性框图； 图 10是根据本发明另一实施例的接入网网元的示意性框图。 具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行清 楚、 完整地描述， 显然， 所描述的实施例是本发明的一部分实施例， 而不是全 部实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作出创造性劳 动的前提下所获得的所有其他实施例， 都应属于本发明保护的范围。

应理解， 本发明实施例的技术方案可以应用于各种 2G或 3G通信系统， 例 如： 全球移动通讯（ Global System of Mobile communication, 筒称为 "GSM" ) 系统、 码分多址（Code Division Multiple Access , 筒称为 "CDMA" ) 系统、 宽 带码分多址（ Wideband Code Division Multiple Access , 筒称为 "WCDMA" ) 系 统、 通用分组无线业务（General Packet Radio Service, 筒称为 "GPRS" )、 通用 移动通信系统 ( Universal Mobile Telecommunication System, 筒称为 "UMTS" )、 全球互联微波接入 ( Worldwide Interoperability for Microwave Access , 筒称为 "WiMAX" )通信系统等。

本发明实施例中的接入网网元， 是一种增强的接入网网元， 用于支持 LTE UE接入 2G/3G核心网。在发明所有实施例中，接入网网元可具备如下功能： LTE eNB的功能， LTE UE可以不需要进行修改通过该接入网网元接入 2G/3G核心网， 而且使 LTE UE认为其正在接入的是 LTE网络， 而不是 2G/3G核心网； 本发明 实施例中的接入网网元还可以实现部分移动性管理实体（ Mobility Management Entity , 筒称为 "ΜΜΕ" ) 的功能， 如对 NAS信令的安全保护功能。

图 1示出了根据本发明实施例的移动通信系统的安全认证的方法 100的示 意性流程图。 如图 1所示， 该方法 100包括：

S110 , HSS接收接入网网元发送的要求特殊认证向量的请求， 该要求特 殊认证向量的请求由该接入网网元接收到 SGSN发送的要求认证向量的请求 后发送； S120 , 该 HSS根据该要求特殊认证向量的请求， 生成特殊认证向量；

S130 , 该 HSS将该特殊认证向量发送给该接入网网元， 以便该接入网网 元、 该 SGSN和 LTE UE完成安全认证。

在本发明实施例中， 为了使 LTE UE能够使用 2G或 3G网络， 在接入网网 元识别出是 LTE UE接入 2G/3G网络后， HSS为该 LTE UE生成特殊认证向量， 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证， 使 LTE UE可以使 用 2G或 3G核心网。

可选地， 该要求认证向量的请求是该 SGSN在接收到该接入网网元发送 的 UMTS attach request消息后发送， 该 UMTS attach request消息是该接入网 网元将 attach request消息转换所得，该 attach request消息由该 LTE UE发送。

可选地， 该以便该接入网网元、 该 SGSN和 LTE UE完成安全认证包括： 该接入网网元将该特殊认证向量发送给该 SGSN , 该 SGSN发送 UMTS AKA认证挑战给该接入网网元， 该接入网网元将该 UMTS AKA认证挑战转 换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA 认证挑战进行验证并生成 RES和密钥 K_ASME后， 该 LTE UE将包含该 RES 的 LTE AKA认证响应发送给该接入网网元， 以便该接入网网元、 该 SGSN 和该 LTE UE进一步完成安全认证。

可选地， 该特殊认证向量中包含 XRES、 CK、 IK;

可选地， 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括：

该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同， 当该比较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入 网网元， 该接入网网元根据该 CK和或 IK生成 K_ASME, 该接入网网元和该

LTE UE共享该 K_ASME。

可选地， 该 SGSN比较该 RES和该 XRES是否相同还包括， 当该比较结 果为不相同时， 中止进行安全认证。

可选地， 该要求特殊认证向量的请求由该接入网网元接收到 SGSN发送 的要求认证向量的请求后发送包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

可选地， 该 HSS根据该要求特殊认证向量的请求， 生成特殊认证向量包 括：

该 HSS为该 LTE UE生成 EPS AV；

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

可选地， 该 HSS将该 EPS AV转换成 UMTS AV格式包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME拆 分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

可选地， 该接入网网元才艮据该 CK和或 ΙΚ生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKIIIK , 根据该 CK和或 IK生成该 K_ASME。

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息， 由接入网网元识别出 LTE UE通过该接入网网元接入 2G 或 3G网络的场景后， HSS生成特殊的认证向量， 通过该接入网网元、 SGSN完 成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改， 使得 LTE UE可 以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G 或 3G核心网资源。 图 2示出了根据本发明实施例的移动通信系统的安全认证的方法 200的示 意性流程图。 图 2及其说明所揭示的方法， 可基于本发明实施例图 1和基于本 发明实施例图 1所揭示的方法。 如图 2所示， 该方法 200包括：

S210 , SGSN接收接入网网元发送 UMTS attach request消息， 该 UMTS attach request是该接入网网元将 LTE UE发送的 attach request消息转换所得； S220 , 该 SGSN向该接入网网元发送要求认证向量的请求， 以便该接入 网网元接收到该要求认证向量的请求后，向 HSS发送要求特殊认证向量的请 求，进而以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量后 发送给该接入网网元；

S230 , 该 SGSN接收来自于该接入网网元的该特殊认证向量后， 发送

UMTS AKA认证挑战给该接入网网元， 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证。

在本发明实施例中， 通过接入网网元识别出 LTE UE接入 2G或 3G核心网 的场景后， 接入网网元向 HSS请求获取特殊认证向量， HSS根据 SGSN的该 请求生成特殊认证向量， 使 SGSN、 接入网网元和该 LTE UE完成安全认证， 实现不需要对 LTE UE进行修改的条件下使 LTE UE使用 2G或 3G核心网。

可选地，该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括： 该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 K_ASME后， 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元， 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。

可选地， 该特殊认证向量包含 XRES、 CK、 IK;

可选地， 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括：

该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN , 该 SGSN比较该 RES和该 XRES 是否相同， 当该比较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入 网网元， 该接入网网元根据该 CK和或 IK生成 K_ASME , 该接入网网元和该 LTE UE共享该 K_ASME。

可选地， 该 SGSN比较该 RES和该 XRES是否相同还包括， 当该比较结 果为不相同时， 中止进行安全认证。

可选地， 该以便该接入网网元接收到该要求认证向量的请求后， 向 HSS 发送要求特殊认证向量的请求包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。 可选地， 该以便该 H S S根据该要求特殊认证向量的请求生成该特殊认证向量包括：

该 HSS为该 LTE UE生成 EPS AV ;

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

可选地， 该 HSS将该 EPS AV转换成 UMTS AV格式 包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME拆 分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

可选地， 该接入网网元才艮据该 CK和或 ΙΚ生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKI IIK , 根据该 CK和或 IK生成该 KASME。

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于

2G或 3G网络的消息， 由接入网网元识别出 LTE UE通过该接入网网元接入 2G 或 3G网络的场景后， HSS生成特殊的认证向量， 通过该接入网网元、 SGSN完 成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改， 使得 LTE UE可 以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G 或 3G核心网资源。

图 3示出了根据本发明实施例的移动通信系统的安全认证的方法 300的示 意性流程图。 图 3及其说明所揭示的方法， 可基于本发明实施例图 1至图 2以 及基于本发明实施例图 1至图 2所揭示的方法。 如图 3所示， 该方法 300包括： S310 , 接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息；

S320 , 该接入网网元将该 UMTS attach request消息发送给 SGSN, 以便 该 SGSN收到该 UMTS attach request消息后发送要求认证向量的请求给该接 入网网元；

S330 , 该接入网网元收到该要求认证向量的请求后发送要求特殊认证向 量的请求给该 HSS ,以便该 HSS根据要求特殊认证向量的请求生成该特殊认 证向量， 进而以便该 HSS将该特殊认证向量发送给该接入网网网元；

S340 , 该接入网网元接收 UMTS AKA认证挑战， 该 UMTS AKA认证挑 战为该接入网网元将该特殊认证向量发送给该 SGSN后由该 SGSN发送；

S350 ,该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑 战后发送给该 LTE UE, 以便该接入网网元、 该 SGSN和该 LTE UE完成安 全认证。

在本发明实施例中， 通过接入网网元将 LTE UE发送的信息转换为适用于 2G或 3G网络系统的信息， 由接入网网元识别出为 LTE UE接入 2G或 3G网络 的场景， 通过 HSS生成特殊的认证向量， 使接入网网元、 SGSN和 LTE UE能 够完成安全认证， 使得 LTE UE可以使用现有 2G或 3G核心网。

可选地， 该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括： 该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 K_ASME; 该接入网网元接收该 LTE UE发送的包含该 RES的 LTE AKA认证响应， 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。

可选地， 该特殊认证向量包含 XRES、 CK和 IK;

可选地， 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证包括：

该接入网网元将包含该 RES的 LTE AKA认证响应转换为包含该 RES的 UMTS AKA认证响应，该接入网网元将该包含该 RES的 UMTS AKA认证响 应发送给该 SGSN , 以便该 SGSN比较该 RES和该 XRES是否相同， 当该比 较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入网网元；

该接入网网元才艮据该 CK和或 IK生成 K_ASME ,该接入网网元和该 LTE UE 共早该 KASME °

可选地， 该 SGSN比较该 RES和该 XRES是否相同还包括， 当该比较结 果为不相同时， 中止进行安全认证。 可选地， 该接入网网元收到该要求认证 向量的请求后发送要求特殊认证向量的请求给该 HSS包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

可选地， 该以便该 HSS根据要求特殊认证向量的请求生成该特殊认证向 量包括：

该 HSS为该 LTE UE生成 EPS AV ;

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

可选地， 该 HSS将该 EPS AV转换成 UMTS AV格式 包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME拆 分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

可选地， 该接入网网元才艮据该 CK和或 ΙΚ生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKIIIK , 根据该 CK和或 IK生成该 ASME。

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息， 由接入网网元识别出 LTE UE通过该接入网网元接入 2G 或 3G核心网的场景后， HSS生成特殊的认证向量， 通过该接入网网元、 SGSN 完成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改， 使得 LTE UE 可以通过本实施例中的接入网网元接入 2G或 3G核心网， 完成安全认证并使用 2G或 3G核心网资源。

图 4示出了根据本发明实施例的移动通信系统的安全认证的方法 400的示 意性流程图。 本发明实施例图 1至图 3和基于本发明实施例图 1至图 3所揭示 图 3和基于本发明实施例图 1至图 3所揭示的方法可参考图 4及其说明所揭示 的方法。 如图 4所示， 该方法 400包括：

可选地， LTE UE通过接入网网元接入到 2G/3G核心网， LTE UE和接入网 网元之间建立 RRC连接。

LTE UE发送 attach request消息给接入网网元， 接入网网元将从 LTE UE处 收到的该 attach request消息转换为 UMTS系统中 2G/3G核心网 SGSN可识别的 UMTS attach request消息，接入网网元将转换后的 UMTS attach request消息发送 给 SGSN。

SGSN发送要求认证向量的请求给该接入网网元， 该接入网网元接收该 SGSN发送的该要求认证向量的请求；

接入网网元识别出是 LTE UE接入 2G或 3G网络， 进一步的， 接入网网 元可以识别出通过该接入网网元的 UE类型， 即接入网网元能够识别出 LTE UE接入 2G或 3G网络；

接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的请 求， 该指示信息用于指示该 HSS生成该特殊认证向量。 该 HSS根据该接入网 网元发送的特殊认证向量的请求中的指示信息识别出此场景为 LTE UE接入 2G/3G网络的场景。 该 HSS生成该特殊认证向量， 包括：

可选地， 该 HSS为该 LTE UE生成 EPS AV；

进一步的，

HSS将认证管理域 AMF中第 0个 bit设为 1 以标示此认证向量为 EPS

AV;

HSS生成 RAND、 AUTN , CK、 IK和 XRES ;

HSS根据 CK和 IK推演得到 KASME , 推演规则可以为 K_ASME =KDF ( CK, IK ) , KDF为密钥推演函数；

EPS AV由 K_ASME、 AUTN , XRES , RAND组成， 其中 AUTN中的 AMF 参数的第 0个比特的值为 1。

可选地，该 HSS将该 EPS AV转换成 UMTS AV格式格式，以使得 EPS AV 可以通过现有的 UMTS认证响应发送给 SGSN。 EPS AV转换成 UMTS AV格式 的方法包括：将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS AV的 RAND、 AUTN和 XRES,将 EPS AV中的 K_ASME( 256bits )拆分为两部分，分别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。 该 EPS AV转换成 UMTS AV格式格式 后， AUTN中的 AMF的第 0个比特的值仍然为 1。将该 EPS AV转换成 UMTS AV格式后所得的向量为该特殊认证向量。

该 HSS将该特殊认证向量传输给该接入网网元，接入网网元再将该特殊认 证向量发送给该 SGSN;

该 SGSN根据从该接入网网元接收到的特殊认证向量执行 UMTS AKA认 证流程。 SGSN发送 UMTS AKA认证 4 战给接入网网元， 该 UMTS AKA认证 挑战中包含 RAND和 AUTNo 接入网网元将接收到的 UMTS AKA认证挑战转换成 LTE AKA认证挑战。 UMTS AKA认证挑战中的 RAND和 AUTN被放在 LTE AKA认证挑战中发送给 LTE UE。

LTE UE验证 AUTN。 进一步的， 由于 AUTN中 AMF的第 0个比特的值为 1 , 因此 LTE UE会通过对 AMF的检查。 LTE UE生成 RES和密钥 K_ASME。

LTE UE发送 LTE AKA认证响应给接入网网元，该 LTE AKA认证响应中包 含 RES。

接入网网元将 LTE AKA认证响应转换为 UMTS AKA认证响应， 将 LTE AKA认证响应中的该 RES放在 UMTS AKA认证响应中发送给 SGSN。

SGSN比较该 RES和该 XRES是否相同。

可选地， 如果比较结果为该 RES和该 XRES不相同， 则中止进行安全认 证；

可选地， 如果比较结果为该 RES和该 XRES相同， 则 SGSN发起安全模 式过程， 在安全模式过程中， CK和或 IK被发送给接入网网元。

可选地， 接入网网元根据 CK和或 IK生成 K_ASME。 可选地， 接入网网元根 据 CK和或 IK生成 K_ASME的生成规则为 K_ASME=CKIIIK, "II"表示串联， 即将 IK 加在 CK后面。

接入网网元和 LTE UE共享密钥 K_ASME。

可选地，接入网网元和 LTE UE之间执行 LTE NAS SMC流程和 LTE AS SMC 流程建立 LTE空口安全。

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息， 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G核心网的场景后， HSS生成特殊的认证向量， 通过该接入网网元、 SGSN完 成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改， 使得 LTE UE可 以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G 或 3G核心网资源。 图 5示出了根据本发明实施例的移动通信系统的安全认证的归属用户服务 器 500的示意性框图。 图 5及其说明所揭示的装置， 可基于本发明实施例图 1 至图 4以及基于本发明实施例图 1至图 4所揭示的方法。 如图 5所示， 该归属 用户服务器 HSS500包括： 接收模块 510 , 处理模块 520 , 发送模块 530; 该接收模块 510用于接收接入网网元发送的要求特殊认证向量的请求， 该要求特殊认证向量的请求由该接入网网元接收到 SGSN发送的要求认证向 量的请求后发送；

该处理模块 520用于根据该要求特殊认证向量的请求， 生成特殊认证向 量；

该发送模块 530用于将该特殊认证向量发送给该接入网网元， 以便该接 入网网元、 该 SGSN和 LTE UE完成安全认证。

在本发明实施例中， 为了使 LTE UE能够使用 2G或 3G网络， 在接入网网 元识别出是 LTE UE接入 2G/3G核心网后， HSS为该 LTE UE生成特殊认证向 量， 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证， 使 LTE UE可 以使用 2G或 3G核心网。

可选地， 该要求认证向量的请求是该 SGSN在接收到该接入网网元发送 的 UMTS attach request消息后发送， 该 UMTS attach request消息是该接入网 网元将 attach request消息转换所得，该 attach request消息由该 LTE UE发送。

可选地,

该以便该接入网网元、 该 SGSN和 LTE UE完成安全认证包括： 该接入网网元将该特殊认证向量发送给该 SGSN , 该 SGSN发送 UMTS AKA认证挑战给该接入网网元， 该接入网网元将该 UMTS AKA认证挑战转 换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA 认证挑战进行验证并生成 RES和密钥 K_ASME后， 该 LTE UE将包含该 RES 的 LTE AKA认证响应发送给该接入网网元， 以便该接入网网元、 该 SGSN 和该 LTE UE进一步完成安全认证。 可选地， 该特殊认证向量中包含 XRES、 CK、 IK;

可选地， 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括：

该接入网网元将该 LTE ΑΚΑ认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同， 当该比较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入 网网元， 该接入网网元根据该 CK和或 IK生成 K_ASME, 该接入网网元和该 LTE UE共享该 K_ASME。

可选地， 该 SGSN比较该 RES和该 XRES是否相同还包括， 当该比较结 果为不相同时， 中止进行安全认证。

可选的， 该要求特殊认证向量的请求由该接入网网元接收到 SGSN发送 的要求认证向量的请求后发送包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

可选地， 该处理模块 520用于根据该要求特殊认证向量的请求， 生成特 殊认证向量包括：

该处理模块 520用于为该 LTE UE生成 EPS AV;

进一步的，

该处理模块 520用于将认证管理域 AMF中第 0个 bit设为 1以标示此认 证向量为 EPS AV;

该处理模块 520用于生成 RAND、 AUTN、 CK、 IK和 XRES;

该处理模块 520用于根据 CK和 IK推演得到 KASME , 推演规则可以 为 K_ASME =KDF ( CK, IK ) , KDF为密钥推演函数；

EPS AV由 K_ASME、 AUTN、 XRES , RAND组成， 其中 AUTN中的 AMF 参数的第 0个比特的值为 1。

可选地， 该处理模块 520用于将该 EPS AV转换成 UMTS AV格式格式， 以使得 EPS AV可以通过现有的 UMTS认证响应发送给 SGSN。 EPS AV转换成 UMTS AV格式的方法包括：将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS AV的 RAND、 AUTN和 XRES ,将 EPS AV中的 K_ASME ( 256bits )拆分为两部分， 分别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。该 EPS AV转换成 UMTS AV格式格式后， AUTN中的 AMF的第 0个比特的值仍然为 1。 将该 EPS AV 转换成 UMTS AV格式格式后所得的向量为该特殊认证向量。 可选地， 该接入 网网元根据该 CK和或 IK生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKIIIK , 根据该 CK和或 IK生成该

K_ASME。 ΊΓ 表示串联， 即将 IK加在 CK后面。 本发明实施例中， 通过该接入 网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息， 由接入网 网元识别出 LTE UE通过该接入网网元接入 2G或 3G网络的场景后， HSS生成 特殊的认证向量， 通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认 证。 不需要对 LTE UE做修改， 使得 LTE UE可以通过本实施例中的接入网网元 接入 2G或 3G核心网， 完成安全认证并使用 2G或 3G核心网资源。

图 6示出了根据本发明实施例的移动通信系统的安全认证的 GPRS服务支撑 节点 600的示意性框图。 图 6及其说明所揭示的装置， 可基于本发明实施例图 1 至图 4以及基于本发明实施例图 1至图 4所揭示的方法， 也可以基于本发明实 施例图 5以及图 5所揭示的装置。如图 6所示，该 GPRS服务支撑节点 SGSN600 包括： 接收模块 610; 发送模块 620;

该接收模块 610用于接收接入网网元发送的 UMTS attach request消息， 该 UMTS attach request消息是该接入网网元将 LTE UE发送的 attach request 消息转换所得；

该发送模块 620用于向该接入网网元发送要求认证向量的请求， 以便该 接入网网元接收到该要求认证向量的请求后，向 HSS发送要求特殊认证向量 的请求，进而以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向 量后发送给该接入网网元；

该接收模块 610还用于接收来自于该接入网网元的该特殊认证向量， 该 发送模块 620还用于该接收模块 610接收到该特殊认证向量后发送 UMTS AKA认证挑战给该接入网网元， 以便该 SGSN、 该接入网网元和该 LTE UE 完成安全认证。

在本发明实施例中， 通过接入网网元识别出 LTE UE接入 2G或 3G网络的 场景后， 接入网网元向 HSS请求获取特殊认证向量， HSS根据该请求生成特 殊认证向量， 使 SGSN、 接入网网元和该 LTE UE完成安全认证， 实现不需要 对 LTEUE进行修改的条件下使 LTE UE使用 2G或 3G核心网。

可选地，该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括： 该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE ,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 K_ASME后， 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元， 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。

可选地， 该 SGSN还包括处理模块 630 ;

可选地， 该特殊认证向量包含 XRES、 CK、 IK;

可选地， 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括：

该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该接收模块 610 ,该处理模块 630用于比较该 RES和该 XRES是否相同， 当该比较结果为相同时，该发送模块 620将该 CK 和或 IK发送给该接入网网元， 该接入网网元根据该 CK和或 IK生成 K_ASME , 该 CK和或 IK由该发送模块 620发送， 该接入网网元和该 LTE UE共享该 KASME。 可选地， 该处理模块 630用于比较该 RES和该 XRES是否相同还包括， 当该比较结果为不相同时， 中止进行安全认证。

可选地， 该以便该接入网网元接收到该要求认证向量的请求后， 向 HSS 发送要求特殊认证向量的请求包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

可选地， 该以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证 向量包括：

该 HSS为该 LTE UE生成 EPS AV ;

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

可选地， 该 HSS将该 EPS AV转换成 UMTS AV格式 包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN , 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME拆 分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

可选地， 该接入网网元才艮据该 CK和或 ΙΚ生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKIIIK , 根据该 CK和或 IK生成该

KASME。

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息， 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G核心网的场景后， HSS生成特殊的认证向量， 通过该接入网网元、 SGSN完 成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改， 使得 LTE UE可 以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G 或 3G核心网资源。

图 7示出了根据本发明实施例的移动通信系统的安全认证的接入网网元 700 的示意性框图。 图 7及其说明所揭示的装置， 可基于本发明实施例图 1至图 4 以及基于本发明实施例图 1至图 4所揭示的方法，也可以基于本发明实施例图 5 至图 6以及图 5至图 6所揭示的装置。 如图 7所示， 该接入网网元 700包括： 接收模块 710 , 处理模块 720 , 发送模块 730;

该接收模块 710用于接收来自 LTE UE的 attach request消息； 该处理模 块 720用于将该 attach request消息转换为 UMTS attach request消息；

该发送模块 730用于将该 UMTS attach request消息发送给 SGSN, 以便 该 SGSN收到该 UMTS attach request消息后发送要求认证向量的请求给该接 收模块 710; 该发送模块 730还用于在该接收模块 710收到该要求认证向量 的请求后发送要求特殊认证向量的请求给该 HSS ,以便该 HSS根据要求特殊 认证向量的请求生成该特殊认证向量，进而以便该 HSS将该特殊认证向量发 送给该接收模块 710;

该接收模块 710还用于接收 UMTS AKA认证挑战， 该 UMTS AKA认证 挑战为该发送模块 730将该特殊认证向量发送给该 SGSN后由该 SGSN发送； 该处理模块 720还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证挑 战， 该发送模块 730还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以便 该接入网网元、 该 SGSN和该 LTE UE完成安全认证。

在本发明实施例中， 通过接入网网元将 LTE UE发送的信息转换为适用于

2G或 3G网络系统的信息， 由接入网网元识别出为 LTE UE接入 2G或 3G网络 的场景， 通过 HSS生成特殊的认证向量， 使接入网网元、 SGSN和 LTE UE能 够完成安全认证， 使得 LTE UE可以使用现有 2G或 3G核心网。

可选地， 该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括： 该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 K_ASME； 该接收模块 710用于接收该 LTE UE发送的包含该 RES的 LTE AKA认 证响应， 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。 可选地， 该特殊认证向量包含 XRES、 CK和 IK;

可选地， 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证包括：

该处理模块 720还用于将包含该 RES的 LTE AKA认证响应转换为包含 该 RES的 UMTS AKA认证响应，该发送模块 730还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN ,以便该 SGSN比较该 RES和该 XRES 是否相同， 当该比较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入 网网元；

该处理模块 720还用于才艮据该 CK和或 IK生成 K_ASME, 该接入网网元和 该 LTE UE共享该 K_ASME。

可选地， 该 SGSN比较该 RES和该 XRES是否相同还包括， 当该比较结 果为不相同时， 中止进行安全认证。

可选地， 该发送模块 730还用于在该接收模块 710收到该要求认证向量 的请求后发送要求特殊认证向量的请求给该 HSS包括：

该接收模块 710用于接收该 SGSN发送的该要求认证向量的请求； 该处理模块 720用于识别出是 LTE UE接入 2G或 3G网络；

该处理模块 720还用于在该认证向量中加入指示信息生成该要求特殊认 证向量的请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

可选地， 该以便该 HSS根据要求特殊认证向量的请求生成该特殊认证向 量包括：

该 HSS为该 LTE UE生成 EPS AV;

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

可选地， 该 HSS将该 EPS AV转换成 UMTS AV格式 包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME ( 256bits ) 拆分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

可选地， 该处理模块 720进一步用于按照生成规则 K_ASME=CKIIIK , 根 据该 CK和或 IK生成该 K_ASME。 ΊΓ 表示串联， 即将 IK加在 CK后面。

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息， 由接入网网元识别出 LTE UE通过该接入网网元接入 2G 或 3G网络的场景后， HSS生成特殊的认证向量， 通过该接入网网元、 SGSN完 成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改， 使得 LTE UE可 以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G 或 3G核心网资源。

图 8示出了根据本发明实施例的移动通信系统的安全认证的用户归属服务 器 800的示意性框图。 图 8及其说明所揭示的装置， 可基于本发明实施例图 1 至图 4以及基于本发明实施例图 1至图 4所揭示的方法， 以及基于本发明实施 例图 5至图 7以及基于本发明实施例图 5至图 7所揭示的装置。 如图 8所示， 该用户归属服务器 HSS800包括： 接收器 810 , 处理器 820 , 发送器 830;

该接收器 810用于接收接入网网元发送的要求特殊认证向量的请求， 该 要求特殊认证向量的请求由该接入网网元接收到 SGSN发送的要求认证向量 的请求后发送；

该处理器 820用于根据该要求特殊认证向量的请求，生成特殊认证向量； 该发送器 830用于将该特殊认证向量发送给该接入网网元， 以便该接入 网网元、 该 SGSN和 LTE UE完成安全认证。

在本发明实施例中， 为了使 LTE UE能够使用 2G或 3G网络， 在接入网网 元识别出是 LTE UE接入 2G/3G核心网后， HSS为该 LTE UE生成特殊认证向 量， 以便该 SGSN、 该接入网网元和该 LTE UE完成安全认证， 使 LTE UE可 以使用 2G或 3G核心网。 可选地， 该要求认证向量的请求是该 SGSN在接收到该接入网网元发送 的 UMTS attach request消息后发送， 该 UMTS attach request消息是该接入网 网元将 attach request消息转换所得，该 attach request消息由该 LTE UE发送。

可选地,

该以便该接入网网元、 该 SGSN和 LTE UE完成安全认证包括： 该接入网网元将该特殊认证向量发送给该 SGSN , 该 SGSN发送 UMTS AKA认证挑战给该接入网网元， 该接入网网元将该 UMTS AKA认证挑战转 换成 LTE AKA认证挑战后发送给该 LTE UE, 该 LTE UE根据该 LTE AKA 认证挑战进行验证并生成 RES和密钥 K_ASME后， 该 LTE UE将包含该 RES 的 LTE AKA认证响应发送给该接入网网元， 以便该接入网网元、 该 SGSN 和该 LTE UE进一步完成安全认证。

可选地， 该特殊认证向量中包含 XRES、 CK、 IK;

可选地， 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括：

该接入网网元将该 LTE AKA认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该 SGSN, 该 SGSN比较该 RES和该 XRES 是否相同， 当该比较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入 网网元， 该接入网网元根据该 CK和或 IK生成 K_ASME, 该接入网网元和该 LTE UE共享该 K_ASME。

可选地， 该 SGSN比较该 RES和该 XRES是否相同还包括， 当该比较结 果为不相同时， 中止进行安全认证。

可选的， 该要求特殊认证向量的请求由该接入网网元接收到 SGSN发送 的要求认证向量的请求后发送包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

可选地， 该处理器 820用于根据该要求特殊认证向量的请求， 生成特殊 认证向量包括：

该处理器 820用于为该 LTE UE生成 EPS AV;

进一步的，

该处理器 820用于将认证管理域 AMF中第 0个 bit设为 1以标示此认证 向量为 EPS AV;

该处理器 820用于生成 RAND、 AUTN , CK、 IK和 XRES;

该处理器 820用于根据 CK和 IK推演得到 KASME , 推演规则可以为 KASME =KDF ( CK, IK ) , KDF为密钥推演函数；

EPS AV由 K_ASME、 AUTN , XRES , RAND组成， 其中 AUTN中的 AMF 参数的第 0个比特的值为 1。

可选地， 该处理器 820用于将该 EPS AV转换成 UMTS AV格式格式， 以 使得 EPS AV可以通过现有的 UMTS认证响应发送给 SGSN。 EPS AV转换成 UMTS AV格式的方法包括：将 EPS AV中的 RAND、 AUTN和 XRES作为 UMTS AV的 RAND、 AUTN和 XRES ,将 EPS AV中的 K_ASME ( 256bits )拆分为两部分， 分别作为 UMTS AV的 CK ( 128bits )和 IK ( 128bits )。该 EPS AV转换成 UMTS AV格式格式后， AUTN中的 AMF的第 0个比特的值仍然为 1。 将该 EPS AV 转换成 UMTS AV格式格式后所得的向量为该特殊认证向量。 可选地， 该接入 网网元根据该 CK和或 IK生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKIIIK , 根据该 CK和或 IK生成该 K_ASME。 ΊΓ 表示串联， 即将 IK加在 CK后面。 本发明实施例中， 通过该接入 网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息， 由接入网 网元识别出 LTE UE通过该接入网网元接入 2G或 3G网络的场景后， HSS生成 特殊的认证向量， 通过该接入网网元、 SGSN完成 LTE UE和网络之间的安全认 证。 不需要对 LTE UE做修改， 使得 LTE UE可以通过本实施例中的接入网网元 接入 2G或 3G核心网， 完成安全认证并使用 2G或 3G核心网资源。 图 9示出了根据本发明实施例的移动通信系统的安全认证的 GPRS服务支撑 节点 900的示意性框图。 图 9及其说明所揭示的装置， 可基于本发明实施例图 1 至图 4以及基于本发明实施例图 1至图 4所揭示的方法， 也可以基于本发明实 施例图 5以及图 8所揭示的装置。如图 9所示，该 GPRS服务支撑节点 SGSN900 包括： 接收器 910; 发送器 920;

该接收器 910用于接收接入网网元发送的 UMTS attach request消息， 该

UMTS attach request消息是该接入网网元将 LTE UE发送的 attach request消 息转换所得；

该发送器 920用于向该接入网网元发送要求认证向量的请求， 以便该接 入网网元接收到该要求认证向量的请求后，向 HSS发送要求特殊认证向量的 请求，进而以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证向量 后发送给该接入网网元；

该接收器 910还用于接收来自于该接入网网元的该特殊认证向量， 该发 送器 920还用于该接收器 910接收到该特殊认证向量后发送 UMTS AKA认 证挑战给该接入网网元， 以便该 SGSN、 该接入网网元和该 LTE UE完成安 全认证。

在本发明实施例中， 通过接入网网元识别出 LTE UE接入 2G或 3G网络的 场景后， 接入网网元向 HSS请求获取特殊认证向量， HSS根据该请求生成特 殊认证向量， 使 SGSN、 接入网网元和该 LTE UE完成安全认证， 实现不需要 对 LTEUE进行修改的条件下使 LTE UE使用 2G或 3G核心网。

可选地，该以便该 SGSN、该接入网网元和该 LTE UE完成安全认证包括： 该接入网网元将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发 送给该 LTE UE,该 LTE UE根据该 LTE AKA认证挑战进行验证并生成 RES 和密钥 K_ASME后， 该 LTE UE将包含该 RES的 LTE AKA认证响应发送给该 接入网网元， 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证。

可选地， 该 SGSN还包括处理器 930;

可选地， 该特殊认证向量包含 XRES、 CK、 IK;

可选地， 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全 认证包括：

该接入网网元将该 LTE ΑΚΑ认证响应转换为 UMTS AKA认证响应并将 该 UMTS AKA认证响应发送给该接收器 910 ,该处理器 930用于比较该 RES 和该 XRES是否相同， 当该比较结果为相同时， 该发送器 920将该 CK和或 IK发送给该接入网网元， 该接入网网元才艮据该 CK和或 IK生成 K_ASME , 该 CK和或 IK由该发送器 920发送，该接入网网元和该 LTE UE共享该 K_ASME。

可选地， 该处理器 930用于比较该 RES和该 XRES是否相同还包括， 当 该比较结果为不相同时， 中止进行安全认证。

可选地， 该以便该接入网网元接收到该要求认证向量的请求后， 向 HSS 发送要求特殊认证向量的请求包括：

该接入网网元接收该 SGSN发送的该要求认证向量的请求；

该接入网网元识别出是 LTE UE接入 2G或 3G网络；

该接入网网元在该认证向量中加入指示信息生成该要求特殊认证向量的 请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

可选地， 该以便该 HSS根据该要求特殊认证向量的请求生成该特殊认证 向量包括：

该 HSS为该 LTE UE生成 EPS AV;

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

可选地， 该 HSS将该 EPS AV转换成 UMTS AV格式 包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME拆 分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

可选地， 该接入网网元才艮据该 CK和或 ΙΚ生成 K_ASME包括：

该接入网网元按照生成规则 K_ASME=CKIIIK , 根据该 CK和或 IK生成该 ASME。

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息， 由 SGSN识别出 LTE UE通过该接入网网元接入 2G或 3G核心网的场景后， HSS生成特殊的认证向量， 通过该接入网网元、 SGSN完 成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改， 使得 LTE UE可 以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G 或 3G核心网资源。

图 10 示出了根据本发明实施例的移动通信系统的安全认证的接入网网元 1000的示意性框图。 图 10及其说明所揭示的装置， 可基于本发明实施例图 1至 图 4以及基于本发明实施例图 1至图 4所揭示的方法， 也可以基于本发明实施 例图 5至图 9以及图 5至图 9所揭示的装置。 如图 10所示， 该接入网网元 1000 包括： 接收器 1010 , 处理器 1020 , 发送器 1030;

该接收器 1010用于接收来自 LTE UE的 attach request消息； 该处理器 1020用于将该 attach request消息转换为 UMTS attach request消息；

该发送器 1030用于将该 UMTS attach request消息发送给 SGSN, 以便该 SGSN收到该 UMTS attach request消息后发送要求认证向量的请求给该接收 器 1010; 该发送器 1030还用于在该接收器 1010收到该要求认证向量的请求 后发送要求特殊认证向量的请求给该 HSS ,以便该 HSS根据要求特殊认证向 量的请求生成该特殊认证向量，进而以便该 HSS将该特殊认证向量发送给该 接收器 1010;

该接收器 1010还用于接收 UMTS AKA认证挑战， 该 UMTS AKA认证 挑战为该发送器 1030将该特殊认证向量发送给该 SGSN后由该 SGSN发送； 该处理器 1020还用于将该 UMTS AKA认证挑战转换成 LTE AKA认证挑战， 该发送器 1030还用于将该 LTE AKA认证挑战发送给该 LTE UE, 以便该接 入网网元、 该 SGSN和该 LTE UE完成安全认证。

在本发明实施例中， 通过接入网网元将 LTE UE发送的信息转换为适用于 2G或 3G网络系统的信息， 由接入网网元识别出为 LTE UE接入 2G或 3G网络 的场景， 通过 HSS生成特殊的认证向量， 使接入网网元、 SGSN和 LTE UE能 够完成安全认证， 使得 LTE UE可以使用现有 2G或 3G核心网。

可选地， 该接入网网元、 该 SGSN和该 LTE UE完成安全认证包括： 该 LTE UE验证该 LTE AKA认证挑战后生成 RES和密钥 K_ASME;

该接收器 1010用于接收该 LTE UE发送的包含该 RES的 LTE AKA认证 响应， 以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认证。

可选地， 该特殊认证向量包含 XRES、 CK和 IK;

可选地， 该以便该接入网网元、 该 SGSN和该 LTE UE进一步完成安全认 证包括：

该处理器 1020还用于将包含该 RES的 LTE AKA认证响应转换为包含该

RES的 UMTS AKA认证响应， 该发送器 1030还用于将该包含该 RES的 UMTS AKA认证响应发送给该 SGSN ,以便该 SGSN比较该 RES和该 XRES 是否相同， 当该比较结果为相同时， 该 SGSN将该 CK和或 IK发送给该接入 网网元；

该处理器 1020还用于才艮据该 CK和或 IK生成 K_ASME, 该接入网网元和 该 LTE UE共享该 K_ASME。

可选地， 该 SGSN比较该 RES和该 XRES是否相同还包括， 当该比较结 果为不相同时， 中止进行安全认证。

可选地， 该发送器 1030还用于在该接收器 1010收到该要求认证向量的 请求后发送要求特殊认证向量的请求给该 HSS包括：

该接收器 1010用于接收该 SGSN发送的该要求认证向量的请求； 该处理器 1020用于识别出是 LTE UE接入 2G或 3G网络； 该处理器 1020还用于在该认证向量中加入指示信息生成该要求特殊认 证向量的请求， 该指示信息用于指示该 HSS生成该特殊认证向量。

可选地， 该以便该 HSS根据要求特殊认证向量的请求生成该特殊认证向 量包括：

该 HSS为该 LTE UE生成 EPS AV;

该 HSS将该 EPS AV转换成 UMTS AV格式， 该转换为 UMTS AV格式 的 EPS AV为该特殊认证向量。

可选地， 该 HSS将该 EPS AV转换成 UMTS AV格式 包括：

该 HSS将该 EPS AV中的 RAND作为该 UMTS AV的 RAND , 该 HSS 将该 EPS AV中的 AUTN作为该 UMTS AV的 AUTN, 该 HSS将该 EPS AV 中的 XRES作为该 UMTS AV的 XRES , 该 HSS将该 EPS AV中的 K_ASME ( 256bits ) 拆分为两部分， 分别作为该 UMTS AV的该 CK和该 IK。

可选地， 该处理器 1020进一步用于按照生成规则 K_ASME=CKIIIK , 根据 该 CK和或 IK生成该 K_ASME。 ΊΓ 表示串联， 即将 IK加在 CK后面。

本发明实施例中，通过该接入网网元将 LTE UE所发送的消息转换为适用于 2G或 3G网络的消息， 由接入网网元识别出 LTE UE通过该接入网网元接入 2G 或 3G网络的场景后， HSS生成特殊的认证向量， 通过该接入网网元、 SGSN完 成 LTE UE和网络之间的安全认证。 不需要对 LTE UE做修改， 使得 LTE UE可 以通过本实施例中的接入网网元接入 2G或 3G核心网，完成安全认证并使用 2G 或 3G核心网资源。 通过以上的实施方式的描述， 所属领域的技术人员可以清楚地了解到本 发明可以用硬件实现， 或固件实现， 或它们的组合方式来实现。 当使用软件 实现时， 可以将上述功能存储在计算机可读介质中或作为计算机可读介质上 的一个或多个指令或代码进行传输。 计算机可读介质包括计算机存储介质和 通信介质， 其中通信介质包括便于从一个地方向另一个地方传送计算机程序 的任何介质。 存储介质可以是计算机能够存取的任何可用介质。 以此为例但 不限于： 计算机可读介质可以包括 RAM、 ROM, EEPROM、 CD-ROM或其 他光盘存储、 磁盘存储介质或者其他磁存储设备、 或者能够用于携带或存储 具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他 介质。 此外。 任何连接可以适当的成为计算机可读介质。 例如， 如果软件是 使用同轴电缆、 光纤光缆、 双绞线、 数字用户线 （DSL ) 或者诸如红外线、 无线电和微波之类的无线技术从网站、 服务器或者其他远程源传输的， 那么 同轴电缆、 光纤光缆、 双绞线、 DSL或者诸如红外线、 无线和微波之类的无 线技术包括在所属介质的定影中。 如本发明所使用的， 盘（ Disk )和碟（ disc ) 包括压缩光碟（CD ) 、 激光碟、 光碟、 数字通用光碟（DVD ) 、 软盘和蓝光 光碟， 其中盘通常磁性的复制数据， 而碟则用激光来光学的复制数据。 上面 的组合也应当包括在计算机可读介质的保护范围之内。 总之， 以上所述仅为本发明技术方案的较佳实施例而已， 并非用于限定 本发明的保护范围。 凡在本发明的精神和原则之内， 所作的任何修改、 等同 替换、 改进等， 均应包含在本发明的保护范围之内。

Claims

权 利 要 求

1. 一种移动通信系统的安全认证方法， 其特征在于， 包括：

归属用户服务器 HSS接收接入网网元发送的要求特殊认证向量的请求， 所述要求特殊认证向量的请求由所述接入网网元接收到 GPRS服务支撑节点 SGSN发送的要求认证向量的请求后发送；

所述 HSS根据所述要求特殊认证向量的请求， 生成特殊认证向量； 所述 HSS 将所述特殊认证向量发送给所述接入网网元， 以便所述接入 网网元、 所述 SGSN和 LTE UE完成安全认证。

2. 根据权利要求 1 所述的方法， 其特征在于， 所述要求认证向量的请 求是所述 SGSN在接收到所述接入网网元发送的 UMTS attach request消息后 发送， 所述 UMTS附着请求 attach request消息是所述接入网网元将附着请 求 attach request消息转换所得，所述 attach request消息由所述 LTE UE发送。

3. 根据权利要求 1或 2所述的方法， 其特征在于， 所述以便所述接入 网网元、 所述 SGSN和 LTE UE完成安全认证包括：

所述接入网网元将所述特殊认证向量发送给所述 SGSN, 所述 SGSN发 送 UMTS AKA认证挑战给所述接入网网元， 所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给所述 LTE UE, 所述 LTE 述 LTE UE将包含所述 RES的 LTE AKA认证响应发送给所述接入网网元， 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全认证。

4. 根据权利要求 1至 3任一项所述的方法， 其特征在于，

所述特殊认证向量中包含 XRES、 CK、 IK;

所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括：

所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述 SGSN , 所述 SGSN比较所述 RES和所述 XRES是否相同， 当所述比较结果为相同时， 所述 SGSN将所述 CK和或 IK发送给所述接入网网元， 所述接入网网元根据所述 CK和或 IK 生成 K_ASME, 所述接入网网元和所述 LTE UE共享所述 K_ASME。

5. 根据权利要求 4所述的方法，其特征在于，所述 SGSN比较所述 RES 和所述 XRES是否相同还包括， 当所述比较结果为不相同时， 中止进行安全 认证。

6. 根据权利要求 1至 5任一项所述的方法， 其特征在于， 所述要求特 殊认证向量的请求由所述接入网网元接收到 SGSN发送的要求认证向量的 请求后发送包括：

所述接入网网元接收所述 SGSN发送的所述要求认证向量的请求； 所述接入网网元识别出是 LTE UE接入 2G或 3G网络；

所述接入网网元在所述认证向量中加入指示信息生成所述要求特殊认 证向量的请求， 所述指示信息用于指示所述 HSS生成所述特殊认证向量。

7. 根据权利要求 1至 6任一项所述的方法， 其特征在于， 所述 HSS根 据所述要求特殊认证向量的请求， 生成特殊认证向量包括：

所述 HSS为所述 LTE UE生成 EPS AV;

所述 HSS将所述 EPS AV转换成 UMTS AV格式，所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。

8. 根据权利要求 7所述的方法， 其特征在于， 所述 HSS将所述 EPS AV 转换成 UMTS AV格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 K_ASME拆分为两部分，分别作为所述 UMTS AV的所述 CK 和所述 IK。

9. 根据权利要求 4至 8任一项所述的方法， 其特征在于， 所述接入网网 元根据所述 CK和或 IK生成 K_ASME包括：

所述接入网网元按照生成规则 K_ASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O

10. 一种移动通信系统的安全认证方法， 其特征在于， 包括：

SGSN接收接入网网元发送 UMTS attach request消息，所述 UMTS attach request消息是所述接入网网元将 LTE UE发送的 attach request消息转换所 付；

所述 SGSN向所述接入网网元发送要求认证向量的请求， 以便所述接入 网网元接收到所述要求认证向量的请求后， 向 HSS发送要求特殊认证向量 的请求， 进而以便所述 HSS根据所述要求特殊认证向量的请求生成所述特 殊认证向量后发送给所述接入网网元；

所述 SGSN接收来自于所述接入网网元的所述特殊认证向量后， 发送 UMTS AKA认证挑战给所述接入网网元， 以便所述 SGSN、所述接入网网元 和所述 LTE UE完成安全认证。

11. 根据权利要求 10所述的方法， 其特征在于， 所述以便所述 SGSN、 所述接入网网元和所述 LTE UE完成安全认证包括：

所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑 验证并生成 RES和密钥 K_ASME后，所述 LTE UE将包含所述 RES的 LTE AKA 认证响应发送给所述接入网网元， 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全认证。

12. 根据权利要求 10或 11所述的方法， 其特征在于，

所述特殊认证向量包含 XRES、 CK、 IK;

所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括：

所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述 SGSN , 所述 SGSN比较所述 RES和所述 XRES是否相同， 当所述比较结果为相同时， 所述 SGSN将所述 CK和或 IK发送给所述接入网网元， 所述接入网网元根据所述 CK和或 IK 生成 K_ASME, 所述接入网网元和所述 LTE UE共享所述 K_ASME。

13. 根据权利要求 12所述的方法， 其特征在于， 所述 SGSN比较所述

RES和所述 XRES是否相同还包括， 当所述比较结果为不相同时， 中止进行 安全认证。

14. 根据权利要求 10至 13任一项所述的方法， 其特征在于， 所述以便 所述接入网网元接收到所述要求认证向量的请求后， 向 HSS发送要求特殊 认证向量的请求包括：

所述接入网网元接收所述 SGSN发送的所述要求认证向量的请求； 所述接入网网元识别出是 LTE UE接入 2G或 3G网络；

所述接入网网元在所述认证向量中加入指示信息生成所述要求特殊认 证向量的请求， 所述指示信息用于指示所述 HSS生成所述特殊认证向量。

15. 根据权利要求 10至 14任一项所述的方法， 其特征在于， 所述以便 所述 HSS根据所述要求特殊认证向量的请求生成所述特殊认证向量包括： 所述 HSS为所述 LTE UE生成 EPS AV;

所述 HSS将所述 EPS AV转换成 UMTS AV格式，所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。

16. 根据权利要求 15所述的方法，其特征在于，所述 HSS将所述 EPS AV 转换成 UMTS AV格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 K_ASME拆分为两部分，分别作为所述 UMTS AV的所述 CK 和所述 IK。

17. 根据权利要求 12至 16任一项所述的方法， 其特征在于， 所述接入 网网元根据所述 CK和或 IK生成 K_ASME包括：

所述接入网网元按照生成规则 K_ASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O

18. 一种移动通信系统的安全认证方法， 其特征在于， 包括：

接入网网元将来自于 LTE UE的 attach request消息转换为 UMTS attach request消息；

所述接入网网元将所述 UMTS attach request消息发送给 SGSN, 以便所 述 SGSN收到所述 UMTS attach request消息后发送要求认证向量的请求给所 述接入网网元；

所述接入网网元收到所述要求认证向量的请求后发送要求特殊认证向 量的请求给所述 HSS , 以便所述 HSS根据所述要求特殊认证向量的请求生 成所述特殊认证向量， 进而以便所述 HSS将所述特殊认证向量发送给所述 接入网网网元；

所述接入网网元接收 UMTS AKA认证挑战，所述 UMTS AKA认证挑战 为所述接入网网元将所述特殊认证向量发送给所述 SGSN后由所述 SGSN发 送；

所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑 战后发送给所述 LTE UE, 以便所述接入网网元、所述 SGSN和所述 LTE UE 完成安全认证。

19. 根据权利要求 18所述的方法， 其特征在于， 所述以便所述接入网网 元、 所述 SGSN和所述 LTE UE完成安全认证包括：

所述 LTE UE验证所述 LTE AKA认证挑战后生成 RES和密钥 K_ASME; 所述接入网网元接收所述 LTE UE发送的包含所述 RES的 LTE AKA认 证响应， 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全 认证。

20. 根据权利要求 18或 19所述的方法， 其特征在于，

所述特殊认证向量包含 XRES、 CK和 IK;

所述以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全 认证包括：

所述接入网网元将包含所述 RES的 LTE AKA认证响应转换为包含所述

RES的 UMTS AKA认证响应， 所述接入网网元将所述包含所述 RES的 UMTS AKA认证响应发送给所述 SGSN, 以便所述 SGSN比较所述 RES和 所述 XRES是否相同， 当所述比较结果为相同时， 所述 SGSN将所述 CK和 或 IK发送给所述接入网网元；

所述接入网网元才艮据所述 CK和或 IK生成 K_ASME,所述接入网网元和所 述 LTE UE共享所述 K_ASME。

21. 根据权利要求 20所述的方法， 其特征在于， 所述 SGSN比较所述 RES和所述 XRES是否相同还包括， 当所述比较结果为不相同时， 中止进行 安全认证。

22. 根据权利要求 18至 21任一项所述的方法， 其特征在于， 所述接入 网网元收到所述要求认证向量的请求后发送要求特殊认证向量的请求给所 述 HSS包括：

所述接入网网元接收所述 SGSN发送的所述要求认证向量的请求； 所述接入网网元识别出是 LTE UE接入 2G或 3G网络；

所述接入网网元在所述认证向量中加入指示信息生成所述要求特殊认 证向量的请求， 所述指示信息用于指示所述 HSS生成所述特殊认证向量。

23. 根据权利要求 18至 22任一项所述的方法， 其特征在于， 所述以便 所述 HSS根据要求特殊认证向量的请求生成所述特殊认证向量包括：

所述 HSS为所述 LTE UE生成 EPS AV;

所述 HSS将所述 EPS AV转换成 UMTS AV格式，所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。

24. 根据权利要求 23所述的方法，其特征在于，所述 HSS将所述 EPS AV 转换成 UMTS AV格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 K_ASME拆分为两部分，分别作为所述 UMTS AV的所述 CK 和所述 IK。

25. 根据权利要求 20至 24任一项所述的方法， 其特征在于， 所述接入 网网元根据所述 CK和或 ΙΚ生成 K_ASME包括：

所述接入网网元按照生成规则 K_ASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O

26. 一种 HSS , 其特征在于， 包括： 接收模块， 处理模块， 发送模块； 所述接收模块用于接收接入网网元发送的要求特殊认证向量的请求， 所 述要求特殊认证向量的请求由所述接入网网元接收到 SGSN 发送的要求认 证向量的请求后发送；

所述处理模块用于根据所述要求特殊认证向量的请求， 生成特殊认证向 量；

所述发送模块用于将所述特殊认证向量发送给所述接入网网元， 以便所 述接入网网元、 所述 SGSN和 LTE UE完成安全认证。

27. 根据权利要求 26所述的 HSS , 其特征在于， 所述要求认证向量的 请求是所述 SGSN在接收到所述接入网网元发送的 UMTS attach request消息 后发送， 所述 UMTS attach request消息是所述接入网网元将 attach request 消息转换所得， 所述 attach request消息由所述 LTE UE发送。

28. 根据权利要求 26或 27所述的 HSS , 其特征在于， 所述以便所述接 入网网元、 所述 SGSN和 LTE UE完成安全认证包括：

所述接入网网元将所述特殊认证向量发送给所述 SGSN, 所述 SGSN发 送 UMTS AKA认证挑战给所述接入网网元， 所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑战后发送给所述 LTE UE, 所述 LTE 述 LTE UE将包含所述 RES的 LTE AKA认证响应发送给所述接入网网元， 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全认证。

29. 根据权利要求 26至 28任一项所述的 HSS , 其特征在于，

所述特殊认证向量中包含 XRES、 CK、 IK;

所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括：

所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述 SGSN , 所述 SGSN比较所述 RES和所述 XRES是否相同， 当所述比较结果为相同时， 所述 SGSN将所述 CK和或 IK发送给所述接入网网元， 所述接入网网元根据所述 CK和或 IK 生成 K_ASME, 所述接入网网元和所述 LTE UE共享所述 K_ASME。

30. 根据权利要求 29所述的 HSS , 其特征在于， 所述 SGSN比较所述

RES和所述 XRES是否相同还包括， 当所述比较结果为不相同时， 中止进行 安全认证。

31. 根据权利要求 26至 30任一项所述的 HSS , 其特征在于， 所述要求 特殊认证向量的请求由所述接入网网元接收到 SGSN发送的要求认证向量 的请求后发送包括：

所述接入网网元接收所述 SGSN发送的所述要求认证向量的请求； 所述接入网网元识别出是 LTE UE接入 2G或 3G网络；

所述接入网网元在所述认证向量中加入指示信息生成所述要求特殊认 证向量的请求， 所述指示信息用于指示所述 HSS生成所述特殊认证向量。

32. 根据权利要求 26至 31任一项所述的 HSS , 其特征在于， 所述处理模块 用于根据所述要求特殊认证向量的请求， 生成特殊认证向量包括： 所述处理模块用于为所述 LTE UE生成 EPS AV;

所述处理模块用于将所述 EPS AV转换成 UMTS AV格式， 所述转换为 UMTS AV格式的 EPS AV为所述特殊认证向量。

33. 根据权利要求 32所述的 HSS , 其特征在于， 所述处理模块用于将 所述 EPS AV转换成 UMTS AV格式包括：

所述处理模块用于将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND , 所述处理模块用于将所述 EPS AV中的 AUTN作为所述 UMTS AV 的 AUTN,所述处理模块用于将所述 EPS AV中的 XRES作为所述 UMTS AV 的 XRES , 所述处理模块用于将所述 EPS AV中的 K_ASME拆分为两部分， 分 别作为所述 UMTS AV的所述 CK和所述 IK。

34. 根据权利要求 29至 33任一项所述的 HSS , 其特征在于， 所述接入 网网元根据所述 CK和或 IK生成 K_ASME包括：

所述接入网网元按照生成规则 K_ASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O

35. 一种 SGSN, 其特征在于， 包括： 接收模块； 发送模块；

所述接收模块用于接收接入网网元发送的 UMTS attach request消息，所 述 UMTS attach request消息是所述接入网网元将 LTE UE发送的 attach request消息转换所得；

所述发送模块用于向所述接入网网元发送要求认证向量的请求， 以便所 述接入网网元接收到所述要求认证向量的请求后， 向 HSS发送要求特殊认 证向量的请求， 进而以便所述 HSS根据所述要求特殊认证向量的请求生成 所述特殊认证向量后发送给所述接入网网元；

所述接收模块还用于接收来自于所述接入网网元的所述特殊认证向量， 所述发送模块还用于所述接收模块接收到所述特殊认证向量后发送 UMTS AKA认证挑战给所述接入网网元， 以便所述 SGSN、所述接入网网元和所述 LTE UE完成安全认证。

36. 根据权利要求 35所述的 SGSN ,其特征在于，所述以便所述 SGSN、 所述接入网网元和所述 LTE UE完成安全认证包括：

所述接入网网元将所述 UMTS AKA认证挑战转换成 LTE AKA认证挑 验证并生成 RES和密钥 K_ASME后，所述 LTE UE将包含所述 RES的 LTE AKA 认证响应发送给所述接入网网元， 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全认证。

37. 根据权利要求 35或 36所述的 SGSN , 其特征在于， 所述 SGSN还 包括处理模块；

所述特殊认证向量包含 XRES、 CK、 IK;

所述以便所述接入网网元、所述 SGSN和所述 LTE UE进一步完成安全 认证包括：

所述接入网网元将所述 LTE AKA认证响应转换为 UMTS AKA认证响 应并将所述 UMTS AKA认证响应发送给所述接收模块， 所述处理模块用于 比较所述 RES和所述 XRES是否相同， 当所述比较结果为相同时， 所述发 送模块将所述 CK和或 IK发送给所述接入网网元， 所述接入网网元根据所 述 CK和或 IK生成 K_ASME , 所述 CK和或 IK由所述发送模块发送， 所述接 入网网元和所述 LTE UE共享所述 KASME。

38. 根据权利要求 37所述的 SGSN , 其特征在于， 所述处理模块用于比 较所述 RES和所述 XRES是否相同还包括， 当所述比较结果为不相同时， 中止进行安全认证。

39. 根据权利要求 35至 38任一项所述的 SGSN , 其特征在于， 所述以 便所述接入网网元接收到所述要求认证向量的请求后， 向 HSS发送要求特 殊认证向量的请求包括：

所述接入网网元接收所述 SGSN发送的所述要求认证向量的请求； 所述接入网网元识别出是 LTE UE接入 2G或 3G网络； 所述接入网网元在所述认证向量中加入指示信息生成所述要求特殊认 证向量的请求， 所述指示信息用于指示所述 HSS生成所述特殊认证向量。

40. 根据权利要求 35至 39任一项所述的 SGSN , 其特征在于， 所述以便所 述 HSS根据所述要求特殊认证向量的请求生成所述特殊认证向量包括： 所述 HSS为所述 LTE UE生成 EPS AV;

所述 HSS将所述 EPS AV转换成 UMTS AV格式，所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。

41. 根据权利要求 40所述的 SGSN , 其特征在于， 所述 HSS将所述 EPS AV转换成 UMTS AV格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 K_ASME拆分为两部分，分别作为所述 UMTS AV的所述 CK 和所述 IK。

42. 根据权利要求 37至 41任一项所述的 SGSN , 其特征在于， 所述接 入网网元根据所述 CK和或 IK生成 K_ASME包括：

所述接入网网元按照生成规则 K_ASME=CKIIIK ,根据所述 CK和或 IK生 成所述 KASME O

43. —种接入网网元， 其特征在于， 包括： 接收模块， 处理模块， 发送 模块；

所述接收模块用于接收来自 LTE UE的 attach request消息； 所述处理模 块用于将所述 attach request消息转换为 UMTS attach request消息；

所述发送模块用于将所述 UMTS attach request消息发送给 SGSN, 以便 所述 SGSN收到所述 UMTS attach request消息后发送要求认证向量的请求给 所述接收模块；所述发送模块还用于在所述接收模块收到所述要求认证向量 的请求后发送要求特殊认证向量的请求给所述 HSS , 以便所述 HSS根据要 求特殊认证向量的请求生成所述特殊认证向量， 进而以便所述 HSS将所述 特殊认证向量发送给所述接收模块；

所述接收模块还用于接收 UMTS AKA认证挑战，所述 UMTS AKA认证 挑战为所述发送模块将所述特殊认证向量发送给所述 SGSN后由所述 SGSN 发送； 所述处理模块还用于将所述 UMTS AKA认证挑战转换成 LTE AKA 认证挑战， 所述发送模块还用于将所述 LTE AKA认证挑战发送给所述 LTE UE, 以便所述接入网网元、 所述 SGSN和所述 LTE UE完成安全认证。

44. 根据权利要求 43所述的接入网网元， 其特征在于， 所述以便所述接 入网网元、 所述 SGSN和所述 LTE UE完成安全认证包括：

所述 LTE UE验证所述 LTE AKA认证挑战后生成 RES和密钥 K_ASME; 所述接收模块用于接收所述 LTE UE发送的包含所述 RES的 LTE AKA 认证响应， 以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安 全认证。

45. 根据权利要求 43或 44所述的接入网网元， 其特征在于，

所述特殊认证向量包含 XRES、 CK和 IK;

所述以便所述接入网网元、 所述 SGSN和所述 LTE UE进一步完成安全 认证包括：

所述处理模块还用于将包含所述 RES的 LTE AKA认证响应转换为包含 所述 RES的 UMTS AKA认证响应， 所述发送模块还用于将所述包含所述 RES的 UMTS AKA认证响应发送给所述 SGSN , 以便所述 SGSN比较所述 RES和所述 XRES是否相同， 当所述比较结果为相同时， 所述 SGSN将所述 CK和或 IK发送给所述接入网网元；

所述处理模块还用于根据所述 CK和或 IK生成 K_ASME,所述接入网网元 和所述 LTE UE共享所述 K_ASME。

46. 根据权利要求 45所述的接入网网元， 其特征在于， 所述 SGSN比 较所述 RES和所述 XRES是否相同还包括， 当所述比较结果为不相同时， 中止进行安全认证。

47. 根据权利要求 43至 46任一项所述的接入网网元， 其特征在于， 所 述发送模块还用于在所述接收模块收到所述要求认证向量的请求后发送要 求特殊认证向量的请求给所述 HSS包括：

所述接收模块用于接收所述 SGSN发送的所述要求认证向量的请求； 所述处理模块用于识别出是 LTE UE接入 2G或 3G网络；

所述处理模块还用于在所述认证向量中加入指示信息生成所述要求特 殊认证向量的请求， 所述指示信息用于指示所述 HSS生成所述特殊认证向 量。

48. 根据权利要求 43至 47任一项所述的接入网网元， 其特征在于， 所 述以便所述 HSS根据要求特殊认证向量的请求生成所述特殊认证向量包括： 所述 HSS为所述 LTE UE生成 EPS AV;

所述 HSS将所述 EPS AV转换成 UMTS AV格式，所述转换为 UMTS AV 格式的 EPS AV为所述特殊认证向量。

49. 根据权利要求 48所述的接入网网元， 其特征在于， 所述 HSS将所 述 EPS AV转换成 UMTS AV格式包括：

所述 HSS将所述 EPS AV中的 RAND作为所述 UMTS AV的 RAND, 所述 HSS将所述 EPS AV中的 AUTN作为所述 UMTS AV的 AUTN, 所述 HSS将所述 EPS AV中的 XRES作为所述 UMTS AV的 XRES ,所述 HSS将 所述 EPS AV中的 K_ASME ( 256bits )拆分为两部分， 分别作为所述 UMTS AV 的所述 CK和所述 IK。

50. 根据权利要求 45至 49任一项所述的接入网网元， 其特征在于， 所述处理模块进一步用于按照生成规则 K_ASME=CKIIIK , 根据所述 CK 和或 IK生成所述 K_ASME。