CN101163004A - 一种实现认证的方法和系统 - Google Patents

一种实现认证的方法和系统 Download PDF

Info

Publication number
CN101163004A
CN101163004A CNA2006101411887A CN200610141188A CN101163004A CN 101163004 A CN101163004 A CN 101163004A CN A2006101411887 A CNA2006101411887 A CN A2006101411887A CN 200610141188 A CN200610141188 A CN 200610141188A CN 101163004 A CN101163004 A CN 101163004A
Authority
CN
China
Prior art keywords
random number
node
message
request message
mmr
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2006101411887A
Other languages
English (en)
Inventor
李亚娟
冯淑兰
林雪红
梁童
吕旌阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Beijing University of Posts and Telecommunications
Original Assignee
Huawei Technologies Co Ltd
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd, Beijing University of Posts and Telecommunications filed Critical Huawei Technologies Co Ltd
Priority to CNA2006101411887A priority Critical patent/CN101163004A/zh
Publication of CN101163004A publication Critical patent/CN101163004A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供一种实现认证的方法和系统,具体为:接入节点向支持移动多跳中继的基站(MMR-BS)发送认证请求消息;MMR-BS根据预先设置的验证机制对认证请求消息进行验证,验证成功后,MMR-BS将生成的携带有授权信息的认证响应消息返回给接入节点;接入节点根据预先设置的验证机制对认证响应消息进行验证,验证成功后,从认证响应消息中获取授权信息。应用本发明方案,接入节点可以在多跳网络中实现认证,获取授权信息,从而可以进入网络,利用授权信息进行通信。

Description

一种实现认证的方法和系统
技术领域
本发明涉及认证技术,特别是涉及一种实现认证的方法和系统。
背景技术
目前,通信系统的网络结构一般为信源和信宿直接通信的单跳网络,比如:蜂窝网络等。
在单跳网络中的上行链路或下行链路中只存在两个节点,即:基站(BS,Base Station)和移动终端(MS,Mobile Station)。当MS接入网络时,一般需要完成下行信道同步、能力协商、认证、注册等过程。其中,认证过程是为了验证信息发送者的合法性,属于MS接入网络过程一个重要步骤。
单跳网络中,BS一般采用高频率的无线电波传输。由于频率越高,无线电波随距离衰减的速率越快,不利于保持系统性能,所以,为了提高系统性能,目前提出在网络中增加无线中继站(RS),通过空中接口与BS进行通信,并负责转发MS的数据。
这里所述的RS分为高能力RS和低能力RS两种,其中,高能力RS是具有资源调度能力的RS,可以获知自身管理范围内节点的拓扑信息,可以发送用于自身下一级节点进行同步的同步头(Preamble)和资源调度广播消息,还可以进行自身和参与其他节点认证过程。所述的低能力RS则不具备所述高能力RS的功能,只能进行自身的认证过程,一般只进行数据转发。含有RS的网络一般称为多跳网络,如中继网络、网格网络等网络结构都属于这种类型。
在多跳网络中,上行链路和下行链路中可以存在两个或两个以上节点,最高一级节点为支持移动多跳中继的基站(MMR-BS),接入节点可以为MS、高能力RS或低能力RS。
当接入节点需要接入网络时,需要由MMR-BS对其进行认证,但目前的认证方法只针对单跳网络,无法直接应用于多跳网络。
发明内容
有鉴于此,本发明的主要目的在于提供一种实现认证的方法和系统,可以使接入节点在多跳网络的情况下,实现认证过程,获取授权信息。
为了达到上述目的,本发明提出的技术方案为:
一种实现认证的方法,该方法适用于多跳网络,包括以下步骤:
a、接入节点向支持移动多跳中继的基站MMR-BS发送认证请求消息;
b、MMR-BS根据预先设置的验证机制对认证请求消息进行验证,验证成功后,MMR-BS将生成的携带有授权信息的认证响应消息返回给接入节点;
c、接入节点根据预先设置的验证机制对认证响应消息进行验证,验证成功后,从认证响应消息中获取授权信息。
上述方案中,所述接入节点为高能力中继站RS或低能力RS,接入节点和MMR-BS之间的链路包括一级或一级以上中继节点,所述中继节点为低能力RS;
当中继节点接收到认证请求消息时,该方法进一步包括:中继节点将认证请求消息进行物理层处理,再直接转发给上级节点;
当中继节点接收到认证响应消息时,该方法进一步包括:中继节点将认证响应消息进行物理层处理,再直接转发给下级节点。
上述方案中,所述接入节点为MS、高能力RS或低能力RS,所述接入节点和MMR-BS之间的链路包括一级或一级以上中继节点,所述中继节点为高能力RS。
上述方案中,所述步骤a具体为:所述接入节点通过中继节点将认证请求消息发送给MMR-BS,在发送给MMR-BS的过程中,当中继节点接收到认证请求消息时,生成当前节点随机数,再根据当前节点随机数生成新的认证请求消息,并发送给上级节点,直至MMR-BS;
步骤b所述MMR-BS将认证响应消息返回给接入节点的方法具体为:
MMR-BS通过中继节点将认证响应消息返回给接入节点,在返回过程中,当中继节点接收到认证响应消息时,根据预先设置的验证机制对认证响应消息进行验证,验证成功后,再将认证响应消息发送给下级节点,直至接入节点。
上述方案中,步骤a所述接入节点的认证请求消息包括接入节点随机数,所述中继节点生成新的认证请求消息的方法为:
中继节点先保存认证请求消息中下级节点随机数,再将认证请求消息中的下级节点随机数替换为当前节点随机数;
所述MMR-BS生成的认证响应消息中还包括MMR-BS证书、MMR-BS随机数、用于下级节点验证消息新鲜性的验证随机数以及MMR-BS签名,步骤b所述中继节点发送给下级节点的认证响应消息为生成的新的认证响应消息,生成方法为:
中继节点将认证响应消息中的上级节点证书、上级节点随机数、用于当前节点验证消息新鲜性的验证随机数以及上级节点签名,分别替换为当前节点证书、当前节点随机数、用于下级节点验证消息新鲜性的验证随机数以及当前节点签名。
上述方案中,步骤a所述中继节点生成的当前节点随机数为未经过加密的随机数;
步骤b所述用于下级节点验证消息新鲜性的验证随机数为:当前节点从认证请求消息中获取的下级节点随机数;
步骤b所述中继节点根据预先设置的验证机制进行验证的过程中包括:
中继节点将认证响应消息中的验证随机数,与生成认证请求消息时生成的当前节点随机数进行比较,确定认证响应消息的新鲜性。
上述方案中,步骤a所述中继节点生成当前节点随机数,和替换认证请求消息中下级节点随机数之间进一步包括:中继节点将生成的当前节点随机数进行加密;
步骤b所述MMR-BS生成认证响应消息的过程中包括:MMR-BS解密从认证请求消息中获取的下级节点随机数,并作为下级节点用于验证消息新鲜性的验证随机数;
步骤b所述中继节点替换认证响应消息中验证随机数的方法为:中继节点解密事先保存的下级节点随机数,再将认证响应消息中验证随机数替换为解密后的下级节点随机数。
上述方案中,步骤a所述接入节点发送的认证请求消息包括接入节点签名,当中继节点接收到来自下级节点的认证请求消息时,该方法进一步包括:
中继节点根据认证请求消息中下级节点签名验证消息的完整性,并将下级节点签名替换为当前节点签名;
当MMR-BS接收到来自下级节点的认证请求消息时,在MMR-BS对认证请求消息的验证过程中,该方法进一步包括:
MMR-BS根据认证请求消息中下级节点签名验证消息的完整性。
上述方案中,步骤a所述生成新的认证请求消息的方法为:中继节点将生成的当前节点随机数级联于接收到的认证请求消息,作为新的认证请求消息;
步骤b所述MMR-BS生成认证响应消息的方法为:MMR-BS先根据认证请求消息中非级联的部分生成认证响应消息,再将认证请求消息中各级节点级联的随机数,作为各级节点验证消息新鲜性的验证随机数,并级联在生成的认证响应消息后。
上述方案中,步骤b所述中继节点发送给下级节点的认证响应消息为生成的新的认证响应消息,生成新的认证响应消息的方法为:中继节点删除认证响应消息中用于当前节点验证消息新鲜性的验证随机数,并将删除验证随机数后的认证响应消息作为新的认证响应消息。
上述方案中,步骤a所述中继节点生成的当前节点随机数为未经过加密的随机数;
步骤b所述中继节点根据预先设置的验证机制进行验证的过程中包括:
中继节点将认证响应消息中用于当前节点验证消息新鲜性的验证随机数,与自身生成的当前节点随机数进行比较,确定认证响应消息的新鲜性。
上述方案中,步骤a所述中继节点生成当前节点随机数,和将当前节点随机数级联于认证请求消息之间进一步包括:中继节点将生成的当前节点随机数进行加密;
步骤b所述MMR-BS在将各级节点级联于认证响应消息之前进一步包括:MMR-BS将认证请求消息中各级节点随机数进行解密。
上述方案中,步骤a所述中继节点接收到的认证请求消息中,存在下级节点对级联的随机数或对整个认证请求消息的签名;当中继节点接收到认证请求消息时,该方法进一步包括:
中继节点根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性,并将所述对级联的随机数或对整个认证请求消息的签名替换为当前节点签名;
当MMR-BS接收到来自下级节点的认证请求消息时,在MMR-BS对认证请求消息的验证过程中,该方法进一步包括:
MMR-BS根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性。
上述方案中,步骤a所述生成新的认证请求消息的方法为:如果中继节点接收的认证请求消息已存在下级节点级联的随机数,则先保存级联的下级节点随机数,再替换为当前节点随机数;否则,直接将当前节点级联在接收到的认证请求消息后,作为新的认证请求消息。
上述方案中,步骤b所述MMR-BS生成认证响应消息的方法为:MMR-BS根据认证请求消息中非级联的部分生成认证响应消息,再将认证请求消息级联的下级节点随机数作为下级节点验证消息新鲜性的验证随机数,并级联于生成的认证响应消息后;
步骤b所述中继节点发送给下级节点的认证响应消息为生成的新的认证响应消息,生成新的认证响应消息的方法为:中继节点将认证响应消息中级联的验证随机数替换为事先保存的下级节点随机数。
上述方案中,所述认证请求消息包括接入节点随机数,当中继节点接收到认证请求消息,该方法进一步包括:中继节点保存接入节点随机数;
步骤b所述MMR-BS生成认证响应消息的方法为:MMR-BS根据认证请求消息生成携带有接入节点随机数的认证响应消息,再将认证请求消息中下级节点随机数作为下级节点验证消息新鲜性的验证随机数,然后将认证响应消息中的接入节点随机数替换为下级节点的验证随机数;
步骤b所述中继节点根据预先设置的验证机制进行验证之前进一步包括:中继节点将认证响应消息中的验证随机数替换为事先保存的接入节点随机数。
上述方案中,步骤a所述中继节点生成的当前节点随机数为未经过加密的随机数;
步骤b所述中继节点根据预先设置的验证机制进行验证的过程中包括:
中继节点将接收到的用于当前节点验证消息新鲜性的验证随机数,与自身生成的当前节点随机数进行比较,确定认证响应消息的新鲜性。
上述方案中,步骤a所述中继节点生成当前节点随机数,和将当前节点随机数级联于认证请求消息之间进一步包括:中继节点将生成的当前节点随机数进行加密;
步骤b所述MMR-BS接收认证请求消息和发送认证响应消息之间进一步包括:MMR-BS将认证请求消息中级联的下级节点随机数进行解密;
步骤b所述中继节点在替换认证响应消息中验证随机数之前进一步包括:中继节点将事先保存的下级节点随机数进行解密。
上述方案中,步骤a所述中继节点接收到的认证请求消息中,存在下级节点对级联的随机数或对整个认证请求消息的签名;当中继节点接收到认证请求消息时,该方法进一步包括:
中继节点根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性,并将所述对级联的随机数或对整个认证请求消息的签名替换为当前节点签名;
当MMR-BS接收到来自下级节点的认证请求消息时,在MMR-BS对认证请求消息的验证过程中,该方法进一步包括:
MMR-BS根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性。
上述方案中,步骤a所述MMR-BS生成的认证响应消息中包括:MMR-BS对级联的验证随机数的签名或对整个认证响应消息的签名;
所述中继节点将新的认证响应消息发送给下级节点之前,该方法进一步包括:中继节点将上一级节点签名替换为当前节点签名。
上述方案中,所述接入节点和MMR-BS之间的链路包括一级或一级以上低能力RS,
当低能力RS接收到来自下级节点的认证请求消息时,该方法进一步包括:低能力RS将认证请求消息进行物理层处理,再转发给上级节点;
当低能力RS接收到来自上级节点的认证响应消息时,该方法进一步包括:低能力RS将认证响应消息进行物理层处理,再转发给下级节点。
一种实现认证的系统,该系统包括:
接入节点,用于向MMR-BS发送认证请求消息,对来自MMR-BS的认证响应消息进行验证,并在验证成功时,从认证响应消息中获取授权信息;
MMR-BS,用于对来自接入节点的认证请求消息进行验证,并在验证成功后,将生成的携带有授权信息的认证响应消息返回给接入节点。
上述方案中,所述接入节点为MS、高能力RS或低能力RS,该系统还包括:
一级或一级以上中继节点,所述中继节点为高能力RS,用于接收认证请求消息,生成当前节点随机数,再根据当前节点随机数生成新的认证请求消息,并发送给上级节点,直至MMR-BS;还用于接收认证响应消息,根据预先设置的验证机制对认证响应消息进行验证,验证成功后,再将认证响应消息发送给下级节点,直至接入节点。
上述方案中,该系统还包括:
一级或一级以上低能力RS,用于接收认证请求消息,将认证请求消息进行物理层处理,再直接转发给上级节点;还用于接收认证响应消息,将认证响应消息进行物理层处理,再直接转发给下级节点。
综上所述,本发明提出一种基于无线系统的认证方法,由接入节点向支持移动多跳中继的基站MMR-BS发送认证请求消息;MMR-BS根据预先设置的验证机制对认证请求消息进行验证,验证成功后,MMR-BS将生成的携带有授权信息的认证响应消息返回给接入节点;接入节点根据预先设置的验证机制对认证响应消息进行验证,验证成功后,从认证响应消息中获取授权信息,从而接入节点可以成功地进入网络,利用授权信息进行通信。
附图说明
图1是本发明方法的流程图;
图2是本发明方法的实施例一的消息流示意图;
图3是本发明方法的实施例二的消息流示意图;
图4是本发明方法的实施例三的消息流示意图;
图5是本发明方法的实施例四的消息流示意图;
图6是本发明系统的基本结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。
图1是本发明的流程图。如图1所示,本发明包括以下步骤:
步骤101:接入节点向MMR-BS发送认证请求消息;
步骤102:MMR-BS根据预先设置的验证机制对认证请求消息进行验证,验证成功后,MM-BS将生成的携带有授权信息的认证响应消息返回给接入节点;
步骤103:接入节点根据预先设置的验证机制对认证响应消息进行验证,验证成功后,从认证响应消息中获取授权信息。
在本发明中,接入节点和MMR-BS之间采用双向认证的方法,其中,MMR-BS需要验证接入节点的合法性,或者还需要验证消息的完整性;接入节点则需要验证MMR-BS的合法性、消息的新鲜性以及消息的完整性。这里所述的合法性、新鲜性和完整性是接入节点进入网络的三个必要条件,可以防止非法节点进入网络,或非法节点干扰正常的认证过程等情况,其定义与现有技术相同,此处不再赘述。
本发明对接入节点进行认证的方案适合于多跳网络,在多跳网络中,接入节点与MMR-BS之间可能不存在高能力RS,也可能存在一级或一级以上的高能力RS,根据MMR-BS之间是否存在高能力RS,可以将本发明的认证方法分为两类。
对于第一类方案,即接入节点与MMR-BS之间不存在高能力RS的情况,所述接入节点自身为高能力RS或低能力RS。
那么,步骤101中,接入节点向MMR-BS发送的认证请求消息包括:接入节点证书、接入节点生成的随机数、接入节点的基本连接标识符(CID)、接入节点支持的加解密算法。
当MMR-BS接收到认证请求消息时,即在步骤102中,MMR-BS根据预先设置的验证机制对认证请求消息进行验证,这里所述的预先设置的验证机制与现有的802.16e所述的验证机制相似,即MMR-BS根据认证请求消息中高能力RS的证书验证所述接入节点的合法性,如果验证成功,即确定所述接入节点是合法的,则产生认证响应消息,所述认证响应消息包括:MMR-BS证书、授权信息、接入节点随机数、MMR-BS随机数以及MMR-BS对以上信息的签名。其中,MMR-BS证书是MMR-BS自身所具备的,作为标识自身身份的信息;授权信息包括:MMR-BS为高能力RS生成的密钥、密钥序列号、密钥有效期,以及利用高能力RS基本CID生成的安全连接识别符(SAID),其中,密钥可以利用高能力RS公钥进行加密;所述接入节点随机数就是MMR-BS从认证请求消息中获取的接入节点随机数,作为接入节点验证消息新鲜性的验证随机数。
当接入节点接收到认证响应消息时,在步骤103中,接入节点需要利用预设的验证机制对消息进行验证,这里所述的预设验证机制为:接入节点根据MMR-BS证书验证所述MMR-BS的合法性;根据接入节点随机数和认证响应消息中验证随机数,验证认证响应消息的新鲜性;根据MMR-BS签名验证认证响应消息的完整性,如果验证成功,则从认证响应消息中获取授权信息。这样,接入节点和MMR-BS之间就通过了双向认证,接入节点可以成功进入网络,并利用分配的授权信息进行通信。
接入节点发送给MMR-BS的认证请求消息也可以不包括加解密算法,而是包括接入节点自身的签名,那么,步骤102中,MMR-BS在验证认证请求消息时,不但要验证接入节点的合法性,还要验证消息的完整性。
另外,在现有的单跳网络中,作为接入节点的MS既可以生成管理消息,也可以生成用户数据,MMR-BS在为MS生成密钥时,可以采用适合管理消息和用户数据范围内的算法。而本发明中所述的接入节点只能生成管理消息,所以,在为接入节点生成密钥时,MMR-BS可以只采用仅适合管理消息范围内的算法。
在接入节点和MMR-BS之间的链路中,还可能包括一级或一级以上低能力RS。为了叙述方便,本发明中,在接入节点和MMR-BS之间的链路中,当某个节点接收到消息时,该节点就是当前节点,与该节点直接相连并靠近接入节点一方称为下级节点,与该节点直接相连并靠近MMR-BS一方称为上级节点。
在此情况下,当低能力RS接收到来自下级节点的认证请求消息时,只对认证请求消息进行物理层处理,再转发给上级节点;同样,当低能力RS接收到来自上级节点的认证响应消息时,只对认证响应消息进行物理层处理,再转发给下级节点。
本发明的第二类方案,即接入节点和MMR-BS之间包括一级或一级以上中继节点的情况,所述中继节点为高能力RS,所述接入节点为MS、高能力RS或低能力RS。
由于接入节点和MMR-BS存在一级或一级以上的中继节点,则步骤101所述将认证请求消息发送给MMR-BS的方法具体为:接入节点通过中继节点将认证请求消息发送给MMR-BS,在发送过程中,当中继节点接收到认证请求消息时,生成当前节点随机数,再根据当前节点随机数生成新的认证请求消息,然后发送给上级节点,直至MMR-BS。
步骤102中所述MMR-BS将认证响应消息返回给接入节点的方法具体为:MMR-BS通过中继节点将认证响应消息返回给接入节点,在返回过程中,当中继节点接收到认证响应消息时,根据预先设置的验证机制对认证响应消息进行验证,验证成功后,再将认证响应消息发送给下级节点,直至接入节点。这里,中继节点根据预先设置的验证机制,对认证响应消息进行验证的方法与第一类方案中接入节点验证机制相似,即验证节点的合法性、消息的新鲜性和消息的完整性,只是验证的内容不相同,这将在实施例中详细说明,此处不再赘述。
与第一类方案相同,在第二类方案中,接入节点发送的认证请求消息可能包括接入节点证书、接入节点随机数、接入节点基本CID、接入节点加解密算法;也可能包括接入节点证书、接入节点随机数、接入节点基本CID、接入节点签名。
在第二类方案中,中继节点为高能力RS,有验证消息、产生随机数等与认证相关的能力,所以,在接入节点向MMR-BS发送认证请求消息的过程中,为了保证消息的新鲜性,接受到认证请求消息的某中继节点将生成自身随机数,并随同认证请求消息发送给上级节点。这样,当该中继节点接收到返回的认证响应消息时,如果认证响应消息包括自身事先生成的随机数,则确定该认证响应消息就是针对自身事先发送的认证请求消息的,即具有新鲜性。
由于中继节点需要将生成的随机数随同认证请求消息发送给上级节点,也就是说,中继节点需要向上级节点发送新的认证请求消息。中继节点产生新的认证请求消息的方法有三种:第一种为替换原认证请求消息中随机数;第二种为逐级级联原认证请求消息;第三种为单级级联原认证请求消息。
其中,替换原认证请求消息中随机数的方法为:当接入节点的上级节点,即接入节点的同步站,接收到自身下级节点的认证请求消息时,先将认证请求消息中接入节点随机数保存下来,再将自身生成的随机数替代接入节点随机数,从而生成新的认证请求消息,并发送给上级节点;上级节点也采用同样的方法生成新的认证请求消息,直至MMR-BS接收到认证请求消息。
当然,如果原认证请求消息中包括接入节点签名,每一个接收到认证请求消息的中继节点还需要根据上级节点签名验证消息的完整性,并在替换随机数之后,用当前节点签名替换下级节点签名。
相应地,在MMR-BS将认证响应消息返回给接入节点的过程中,中继节点将对认证响应消息进行验证,即:根据上级节点证书验证上级节点的合法性,根据当前节点随机数和认证响应消息中的验证随机数,验证认证响应消息的新鲜性,根据上级节点签名验证认证请求消息的完整性。如果验证通过,再将认证响应消息中的验证随机数替换为事先保存的下级节点随机数,以便于下级节点验证认证请求消息的新鲜性。同时,由于当前节点替换了验证随机数,而认证响应消息中的上级节点签名是对替换前各种信息的签名,所以,当前节点还需要替换其它的与认证相关的信息,即:将上级节点证书、上级节点随机数和上级节点签名,分别替换为当前节点证书、当前节点随机数和当前节点签名。
需要注意的是,在返回认证响应消息的过程中,MMR-BS发送给接入节点的授权信息并没有任何的影响,接入节点仍然可以在验证成功时,获取授权信息。
另外,中继节点生成的随机数可以是普通的未经过加密的随机数,也可以在替换随机数之前将自身生成的随机数进行加密。如果是普通的随机数,当某中继节点将认证响应消息返回给下级节点时,替换到认证响应消息中的验证随机数,就是事先从来自下级节点的认证请求消息中所获取的下级节点随机数。这样,下级节点直接将自身产生的随机数,和认证响应消息中的验证随机数进行比较,确定消息的新鲜性。如果是加密的随机数,当某中继节点将认证响应消息返回给下级节点,该中继节点在替换验证随机数之前,还需要将保存的下级节点随机数进行解密。
逐级级联原认证请求消息的方法为:各级中继节点不对原认证请求消息作任何改变,只是将自身生成的随机数直接级联在接收到的认证请求消息后即可。
那么,MMR-RS可以根据认证请求消息中非级联的部分生成认证响应消息,即根据原认证请求消息生成认证响应消息,再将认证请求消息中各级节点级联的随机数作为各级节点验证消息新鲜性的验证随机数,并级联在生成的认证响应消息后。在将认证响应消息返回接入节点的过程中,由于用于各级节点验证消息新鲜性的验证随机数已经存在于认证响应消息中,中继节点无需对认证响应消息作任何的改变,可以在验证通过后,直接发送给下级节点。当然,中继节点也可以删除认证响应消息中用于自身的验证随机数。不管采用哪种方法,与接入节点直接相连的中继节点,即接入节点的同步站需要删除所有级联的验证随机数,将原认证响应消息发送给接入节点。
与第一种方法相似,中继节点级联的随机数也可以是经过加密的随机数,这样,在返回认证响应消息之前,MMR-BS就需要将所有的随机数进行解密,再作为验证随机数级联在认证响应消息后。
单级级联原认证请求消息的方法为:如果中继节点接收的认证请求消息已存在下级节点级联的随机数,则先保存级联的下级节点随机数,再替换为当前节点随机数;否则,直接将当前节点级联在接收到的认证请求消息后,作为新的认证请求消息。
也就是说,当接入节点的上级节点,即接入节点的同步站接收到认证请求消息时,直接将自身生成的随机数级联在认证请求消息后,并转发给上级节点。此后接收到认证请求消息的中继节点,将不再直接级联,而是先保存下级节点随机数,再替换为自身的随机数,以保持认证请求消息后只级联一个随机数。
相应地,返回认证响应消息时,各级中继节点需要将认证响应消息中验证随机数替换为事先保存的下级节点随机数,以便于下级节点进行消息新鲜性的验证。这里,所述的验证随机数可以级联在认证响应消息后,也可以放在认证响应消息中。将验证随机数放在认证响应消息中的方法可以为:MMR-BS根据原认证请求消息生成认证响应消息后,直接将认证响应消息中的接入节点随机数替换为验证随机数。这样,各级中继节点都可以进行相似的替换。需要注意的是,由于是在MMR-BS生成认证响应消息之后才替换的,而认证响应消息中的MMR-BS签名是针对替换前信息的签名,所以,如果中继节点要验证接收到的认证响应消息的完整性,还需要先将验证随机数替换为接入节点随机数,才能够通过验证。毫无疑问,中继节点需要在上传认证请求消息时,将原认证请求消息中的接入节点随机数保存下来。当然,如果验证随机数级联在认证响应消息后,由于MMR-BS的签名是针对非级联部分的签名,中继节点无需替换,可以直接验证认证响应消息的完整性。
与前两种方法相似,单级级联原认证请求消息的方法中,各级中继节点也可以将生成的随机数加密。
为了更好地说明本发明方案,下面用实施例进行详细地描述。
实施例一
本实施例中,接入节点为高能力RS,接入节点与MMR-BS之间不存在任何中继节点;本实施例中,高能力RS发送的认证请求消息为中继认证请求(Rel-Auth-REQ),可以定义为PKM-REQ中的子类型;MMR-BS返回认证响应消息为中继认证响应消息(Rel-Auth-Reply),可以定义为PKM-RSP中的子类型。针对Rel-Auth-REQ消息,PKM-REQ中增加的编码(Code)定义如表一所示:
  CODE   PKM消息类型  MAC管理消息名称
  协议中未使用的任何一种编号   Rel-Auth-Request  PKM-REQ
表一
PKM-RSP中增加的编码定义如表二所示:
  CODE   PKM消息类型  MAC管理消息名称
  协议中未使用的任何一种编号   Rel-Auth-Reply  PKM-RSP
表二
本实施例中,所述Rel-Auth-REQ消息特性如表三所示:
  特性   内容
  高能力RS随机数   由高能力RS生成的64位比特的随机数
  高能力RS证书   高能力RS的X.509数字证书
  高能力RS的基本CID   即高能力RS的主SAID
  加解密算法,或者高能力RS签名   高能力RS所支持的加解密算法,或者高能力RS对以上信息的签名
表三
其中,加解密算法和基本CID的类型长度数值(TLV)的定义与现有技术相同,而高能力RS随机数、高能力RS证书和高能力RS签名的TLV定义如表四所示:
  名称   类型   长度   值
高能力RS随机数   协议中未使用的任何类型 8比特   高能力RS生成的随机数
高能力RS证书 协议中未使用的任何类型   可变,不超过MAC管理消息中允许的最大长度 高能力RS的X.509数字证书
高能力RS签名   协议中未使用的任何类型 128比特   高能力RS对消息中全部或部分信息的数字签名
表四
本实施例中,所述Rel-Auth-Reply消息特性如表五所示:
  特性   内容
  高能力RS随机数   高能力RS自身生成的随机数
  MMR-BS随机数   MMR-BS生成的随机数
密钥   MMR-BS为接入节点,即高能力RS生成的密钥,并将该密钥用所述高能力RS公钥进行加密
  密钥有效期   高能力RS使用密钥的有效期限
  密钥序列号   MMR-BS所生成密钥的序列号
  SAID   MMR-BS根据高能力RS的基本CID生成的SAID
  MMR-BS证书   MMR-BS的X.509证书
  MMR-BS签名   MMR-BS对以上信息的签名
表五
图2是本实施例实现认证的消息流示意图。如图2所示,本实施例包括以下步骤:
步骤201:高能力RS将携带有高能力RS证书、高能力RS随机数、高能力RS基本CID和高能力RS签名的Rel-Auth-REQ消息发送给MMR-BS。
步骤202~步骤203:MMR-BS根据高能力RS证书验证高能力RS的合法性,根据高能力RS签名验证认证请求消息的完整性,验证成功后,将携带有MMR-BS证书、授权信息、MMR-BS随机数、高能力RS随机数和MMR-BS签名的Rel-Auth-Reply消息返回给高能力RS。
实际应用中,如果认证请求消息不包括高能力RS签名,则MMR-BS无需验证认证请求消息的完整性。
步骤204:高能力RS根据MMR-BS证书验证MMR-BS的合法性,根据返回的高能力RS随机数验证消息新鲜性,根据MMR-BS签名验证消息的完整性,验证成功后,从Rel-Auth-Reply消息中获取授权信息。
实际应用中,接入节点也可以为低能力RS,实现认证的过程与本实施例相似,此处不再赘述。
应用本实施例方案,多跳网络中的高能力RS或低能力RS和MMR-BS之间可以实现双向认证,高能力RS或低能力RS可以获取授权信息,进入网络,从而利用授权信息进行通信。
实施例二
本实施例中,接入节点为MS,MS和MMR-BS之间的链路上有n级中继节点,分别为第1高能力RS、第2高能力RS……、第n高能力RS,n大于等于1;本实施例中,MS发送的认证请求消息与现有技术中的认证请求消息相同,即Auth-REQ消息,而中继节点发送的认证请求消息为Rel-Auth-REQ消息,其特性如表六所示:
  特性   内容
  当前节点随机数   由当前节点生成的64比特
接入节点证书   接入节点的X.509数字证书,所述接入节点为高能力RS或MS
接入节点基本CID   即接入节点的主SAID,所述接入节点为高能力RS或MS
加解密算法或当前节点签名   接入节点所支持的加解密算法,或者为当前节点对以上信息的签名,所述接入节点为高能力RS或MS
表六
本实施例中,认证响应消息为Rel-Auth-Reply,其特性如表七所示:
  特性   内容
验证随机数   用于下级节点验证消息新鲜性的随机数,与下级节点生成的随机数相等
  当前节点随机数   当前节点生成的随机数
  密钥   MMR-BS为接入节点生成的密钥,可加密
  密钥有效期   接入节点使用密钥的有效期限
  密钥序列号   MMR-BS所生成密钥的序列号
  SAID   MMR-BS根据接入节点基本CID生成的SAID
  当前节点证书   当前节点的X.509数字证书
  当前节点签名   当前节点对以上信息的签名
表七
表六中的当前节点指发送Rel-Auth-REQ消息的节点,表七中所述的当前节点指发送Rel-Auth-Reply消息的节点,可以为MMR-BS或中继节点,其TLV定义与实施例一相似,此处不再赘述。
图3是本实施例实现认证的消息流示意图。如图3所示,本实施例采用替换原认证请求消息中随机数的方法,实现认证的方法包括以下步骤:
步骤301:MS向第1高能力RS发送Auth-REQ消息,所述Auth-REQ消息包括MS证书、MS随机数、MS基本CID和MS支持的加解密算法。
步骤302~步骤303:第1高能力RS保存Auth-REQ消息中MS随机数,将Auth-REQ消息中的MS随机数替换为自身生成的随机数,即第1高能力RS随机数,生成新的认证请求消息Rel-Auth-REQ,再将Rel-Auth-REQ消息发送给第2高能力RS,第2高能力RS依此类推,直至第n高能力RS将Rel-Auth-REQ消息发送给MMR-RS。
步骤304~步骤305:MMR-RS根据Rel-Auth-REQ消息中的MS证书验证MS合法性,验证成功后,将生成的Rel-Auth-Reply消息返回给第n高能力RS。
这里所述Rel-Auth-Reply消息包括:MMR-BS为MS生成的密钥、密钥有效期、密钥序列号、MMR-BS随机数、MMR-BS证书、SAID、验证随机数、MMR-BS签名。其中,密钥、密钥有效期、密钥序列号和SAID是MS需要获得的授权信息,如何生成授权信息属于现有技术,此处不再赘述;所述验证随机数就是MMR-BS从来自第n高能力RS的Rel-Auth-REQ消息中的第n高能力RS随机数,用于第n高能力RS对接收到的认证响应消息进行新鲜性验证;所述MMR-BS签名为MMR-BS对上述各信息的签名。
步骤306~步骤307:第n高能力RS根据Rel-Auth-Reply消息中的MMR-BS证书验证MMR-BS的合法性,根据Rel-Auth-Reply消息中的验证随机数验证消息的新鲜性,根据Rel-Auth-Reply消息中MMR-BS签名验证消息的完整性,验证成功后,将MMR-BS证书、MMR-BS随机数、用于当前节点验证消息新鲜性的验证随机数和MMR-BS签名,分别替换为第n高能力RS证书、第n高能力RS随机数、用于下级节点验证消息新鲜性的验证随机数和第n高能力RS签名,并发送给第n-1高能力RS,第n-1高能力依此类推,直至第1高能力RS将Rel-Auth-Reply消息发送给MS。
这里,第n高能力RS验证消息新鲜性的方法为:第n高能力RS将自身事先生成的随机数,和Rel-Auth-Reply消息中的验证随机数进行比较,如果相同,则确定消息具有新鲜性。
所述用于下级验证消息新鲜性的验证随机数,就是第n高能力RS从Rel-Auth-REQ消息中获取并保存的第n-1高能力随机数。
此后,第n-1高能力RS按照第n高能力RS处理的方法,对接收到的Rel-Auth-Reply消息进行处理,并发送给自身下级节点,直到MS接收到Rel-Auth-Reply消息。此时,MS接收到的Rel-Auth-Reply消息包括:MMR-BS为MS生成的密钥、密钥有效期、密钥序列号、第1高能力RS随机数、第1高能力RS证书、SAID、验证随机数、第1高能力RS签名,显然,这里的验证随机数就是第1高能力RS事先保存的MS随机数。
步骤308:MS根据Rel-Auth-Reply消息中的第1高能力RS证书,验证第1高能力RS的合法性,根据Rel-Auth-Reply消息中的验证随机数验证消息的新鲜性,根据Rel-Auth-Reply消息中第1高能力RS签名验证消息的完整性,验证成功后,从Rel-Auth-Reply消息中获取密钥、密钥有效期、密钥序列号和SAID。
实际应用中,第1高能力RS~第n高能力RS向自身上级节点发送Rel-Auth-REQ消息时,还可以先将生成的随机数进行加密再替换,上级节点保存的是一个经过加密的下级节点随机数;相应地,当返回Rel-Auth-Reply消息时,当前节点需要将下级节点随机数解密,再替换到Rel-Auth-Reply消息中。
步骤301中,如果所述的Auth-REQ消息包括MS签名,则步骤302中,第1高能力RS还将根据MS签名验证Auth-REQ消息的完整性,并替换为自身当前节点的签名。同理,当其它中继节点接收到Rel-Auth-REQ消息时,还需要根据下级节点签名验证Rel-Auth-REQ消息的完整性,并替换为当前节点签名。相应地,在步骤304中,当MMR-BS接收到来自下级节点的认证请求消息,在对认证请求消息的验证过程中,MMR-BS不仅仅验证MS合法性,还将根据认证请求消息中下级节点签名验证消息的完整性。
本实施例中的接入节点为MS,实际应用中,接入节点也可以为高能力RS或低能力RS,其认证过程与本实施例相似,此处不再赘述。
实施例三
本实施例中,接入节点为MS,MS和MMR-BS之间的链路上有n级中继节点,分别为第1高能力RS、第2高能力RS……、第n高能力RS,其中,n大于等于1;本实施例中,MS发送给第1高能力RS的认证请求消息与现有技术的认证请求消息相同,即Auth-REQ消息,中继节点发送的认证请求消息为Rel-Auth-REQ消息,其特性如表八所示:
  特性   内容
  接入节点随机数   由接入节点生成的64比特的随机数
  接入节点证书   接入节点的X.509数字证书
  接入节点基本CID   即接入节点的主SAID
  接入节点签名   接入节点对以上信息的签名
  各级节点随机数   由各级节点生成并级联的随机数
当前节点签名(可选)   由当前节点对以上所有信息或仅对级联随机数的签名
表八
其中,前4项就是接入节点发送的Auth-REQ消息,也可以称为非级联部分,其TLV定义与现有技术相似,此处不再赘述。Rel-Auth-REQ消息特性中还包括各级节点随机数,和当前节点签名。其中,各级节点随机数随着消息向上级节点传输而逐级扩展,比如:第3高能力RS接收的Rel-Auth-REQ消息,级联了第1高能力RS随机数和第2高能力RS随机数;第4高能力RS接收的Rel-Auth-REQ消息,级联了第1高能力RS随机数~第3高能力RS随机数。另外,每一级中继节点在发送Rel-Auth-REQ消息时,还可以携带上自身的签名,该签名可以是对整个Rel-Auth-REQ消息的签名,也可以仅对级联部分的签名。所述各级节点随机数和当前节点签名的TLV定义如表九所示:
  名称   类型   长度   值
各级节点随机数 协议中未使用的任一类型 8比特   各级节点生成的随机数
  当前节点签名(可选) 协议中未使用的任一类型 128比特   当前节点对整个消息的签名,或对级联部分的签名
表九
本实施例中,返回给中继节点的认证响应消息为Rel-Auth-Reply消息,其特征如表十所示:
  特性   内容
接入节点随机数   由接入节点生成的随机数,所述接入节点为MS或高能力RS
  MMR-BS随机数   由MMR-BS生成的随机数
  密钥   由MMR-BS为接入节点生成的密钥
  密钥有效期   接入节点使用密钥的有效期限
  密钥序列号   MMR-BS所生成密钥的序列号
SAID   MMR-BS根据接入节点基本CID生成的SAID
  MMR-BS证书   MMR-BS的X.509数字证书
  MMR-BS签名   MMR-BS对以上信息的签名
各级节点验证随机数   用于各级节点验证消息新鲜性的验证随机数
当前节点签名(可选)   当前节点对整个消息或仅对验证随机数的签名
表十
其中,前8项与现有技术相似,只是接入节点可以为MS、高能力RS或低能力RS,此处不再详细叙述。所述各级节点的验证随机数,与表九中所述的各级节点随机数相对应,用于各级节点验证认证响应消息的新鲜性。比如:MMR-BS接收到的Rel-Auth-REQ消息级联了3个随机数,分别是第1高能力RS、第2高能力RS和第3高能力RS生成的随机数。当MMR-BS生成响应消息后,可以直接将这3个随机数级联在生成的响应消息后,作为一个完整的认证响应消息,即Rel-Auth-Reply消息。当然,MMR-BS还可以对级联的随机数进行签名,或对整个认证响应消息签名,签名后的消息才作为Rel-Auth-Reply消息。
另外,本实施例采用逐级级联原认证请求消息的方法。各级中继节点生成随机数后,还将自身随机数采用MMR-BS公钥进行加密,加密后的随机数可以表示为:EKU-BS(g(RAND-RS)),其中,EKU-BS表示MMR-BS公钥加密,g(RAND-RS)表示某高能力RS生成的随机数。
图4是本实施例实现认证过程的消息流示意图。如图4所示,本实施例包括以下步骤:
步骤401:MS向第1高能力RS发送Auth-REQ消息,所述Auth-REQ消息包括:MS证书、MS随机数、MS基本CID、MS支持的加解密算法。
步骤402~步骤403:第1高能力RS将生成的随机数级联于接收到的认证请求消息后,生成新的认证请求消息,即:Rel-Auth-REQ消息,并将Rel-Auth-REQ消息转发给第2高能力RS;第2高能力RS依此类推,直至第n高能力RS将Rel-Auth-REQ消息发送给MMR-BS。
本步骤中,每一级高能力RS都将自身生成的随机数级联于Rel-Auth-REQ消息之后,那么,MMR-BS接收到的Rel-Auth-REQ消息包括:MS证书、MS随机数、MS基本CID、MS支持的加解密算法、EKU-BS(g(RAND-RS1))~EKU-BS(g(RAND-RSn))。
步骤404~步骤405:MMR-BS根据Rel-Auth-REQ消息中非级联部分生成认证响应消息,再将Rel-Auth-REQ消息中级联的各级节点随机数进行解密,作为各级节点的验证随机数,级联在认证响应消息后,获得Rel-Auth-Reply消息,并将Rel-Auth-Reply消息发送给第n高能力RS。
本步骤中,所述的非级联部分就是接入MS发送的原认证请求消息,即Auth-REQ消息,MMR-BS根据原认证请求消息生成认证响应消息,包括:MMR-BS随机数、接入节点随机数、密钥、密钥有效期、密钥序列号、SAID、MMR-BS证书、MMR-BS签名。MMR-BS将各级节点随机数解密后获得的随机数为:g(RAND-RS1)~g(RAND-RSn),即级联在Rel-Auth-REQ消息后的验证随机数。
实际应用中,MMR-BS还可以对生成的上述消息签名,或仅对级联部分g(RAND-RS1)~g(RAND-RSn)进行签名,并将签名后的消息作为Rel-Auth-Reply消息。
步骤406~步骤407:第n高能力RS根据MMR-BS证书验证MMR-BS的合法性,根据g(RAND-RSn)验证消息的新鲜性,根据MMR-BS签名验证消息完整性,验证成功后,第n高能力RS删除Rel-Auth-Reply消息中级联的g(RAND-RSn),将新的Rel-Auth-Reply消息发送给第n-1高能力RS,第n-1高能力RS依此类推,直至第1高能力RS将Rel-Auth-Reply消息发送给MS。
实际应用中,第n高能力RS~第2高能力RS也可以在验证成功后直接将Rel-Auth-Reply消息发送给下级节点,最后由第1高能力RS删除Rel-Auth-Reply消息中级联的所有验证随机数。
步骤408:MS根据MMR-BS证书验证MMR-BS的合法性,根据MS随机数验证认证响应消息的新鲜性,根据MMR-BS签名验证认证请求消息的完整性,验证成功后,MS再从Rel-Auth-Reply消息中获取密钥、密钥有效期、密钥序列号、SAID。
本步骤,所述MS获得的Rel-Auth-Reply消息与现有技术中MS获得的认证响应消息Auth-Relpy,即MMR-BS直接根据MS发送的原认证请求消息生成的认证响应消息。
实际应用中,如果中继节点接收到的认证请求消息中,存在下级节点对级联的随机数或对整个认证请求消息的签名,那么,当中继节点接收到认证请求消息时,中继节点将根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性,并将下级节点签名替换为当前节点签名。也就是说,在步骤402中,第1高能力RS将生成的随机数级联于接收到的认证请求消息后,还可以对级联的随机数签名或对整个认证请求消息签名,再将签名后的消息发送给上级节点。此后,当其它中继节点接收到认证请求消息时,将根据所述签名验证消息的完整性,并替换为当前节点签名。
同理,当MMR-BS接收到来自下级节点的认证请求消息时,在MMR-BS对认证请求消息的验证过程中,MMR-BS根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性。
实施例四
本实施例中,接入节点为高能力RS,接入节点和MMR-BS之间的链路上有n级中继节点,分别为第1高能力RS、第2高能力RS……、第n高能力RS,其中,n大于等于1;本实施例中,认证请求消息为Rel-Auth-REQ消息,认证响应消息为Rel-Auth-Reply消息,其特性与实施三中的相似,此处不再赘述;本实施例采用单级级联原认证请求消息的方法。
图5是本实施例的消息流示意图。如图5所示,本实施例包括以下步骤:
步骤501:接入节点将Rel-Auth-REQ消息发送给第1高能力RS,所述Rel-Auth-REQ消息包括:接入节点证书、接入节点随机数、接入节点基本CID和接入节点签名。
步骤502~步骤503:第1高能力RS根据Rel-Auth-REQ消息中的接入节点签名验证Rel-Auth-REQ消息的完整性,验证成功后,将自身生成的随机数加密后,级联在Rel-Auth-REQ消息后,生成新的Rel-Auth-REQ消息,并转发给第2高能力RS。
本步骤中,某中继节点对自身生成的随机数可以采用事先由MMR-BS生成的密钥进行加密,再由上级节点进行解密。比如:MMR-BS为第1高能力RS生成的密钥为AUK1,MMR-BS为第2高能力RS生成的密钥为AUK2。其中,AUK1分为前后两个部分,即AUK1-b和AUK1-f;AUK2也分为前后两个部分,即AUK2-b和AUK2-f,AUK1-f和AUK2-b是一对加解密密钥对。也就是说,第1高能力RS采用AUK1-f加密的随机数,可以由第2高能力RS采用AUK2-b进行解密。那么,第j级中继节点采用AUK密钥进行加密的随机数可以表示为:EAUK(j)-f(g(RAND-RSj))。
也就是说,第1高能力RS发送的Rel-Auth-REQ消息包括:接入节点证书、接入节点随机数、接入节点基本CID、接入节点签名和EAUK(1)-f(g(RAND-RS1))。
第2高能力RS接收到Rel-Auth-REQ消息时,先保存第1高能力RS随机数,再将Rel-Auth-REQ消息中EAUK(1)-f(g(RAND-RS1))替换为自身生成的经过加密的随机数EAUK(2)-f(g(RAND-RS2)),生成新的Rel-Auth-REQ消息,并转发给第3高能力RS,第3高能力RS依此类推,直至第n高能力RS将Rel-Auth-REQ消息发送给MMR-BS。
所述MMR-BS接收到Rel-Auth-REQ消息包括:接入节点证书、接入节点随机数、接入节点CID、接入节点签名和EAUK(n)-f(g(RAND-RSn))。
步骤504~步骤505:MMR-BS根据接入节点证书验证接入节点合法性,验证成功后,根据Rel-Auth-REQ消息中非级联部分生成认证响应消息,再将从Rel-Auth-REQ消息中获得的EAUK(n)-f(g(RAND-RSn))进行解密,获得g(RAND-RSn),并级联在认证响应消息后,生成完整的Rel-Auth-Reply消息,再发送给第n高能力RS。
所述Rel-Auth-Reply消息包括:MMR-BS随机数、接入节点随机数、密钥、密钥有效期、密钥序列号、SAID、MMR-BS证书、MMR-BS签名和g(RAND-RSn)。
实际应用中,MMR-BS还可以将解密后的随机数利用第n高能力RS的公钥进行加密,生成EKU-RS1(g(RAND-RSn)),再级联在认证消息后。之后,在步骤506中,第n高能力RS将先通过自身的公钥对EKU-RS1(g(RAND-RSn))解密,获得g(RAND-RSn),再替换随机数。
另外,MMR-BS还可以对Rel-Auth-Reply消息或仅对级联的随机数进行签名。
步骤506~步骤507:第n高能力RS根据Rel-Auth-Reply消息中MMR-BS证书验证MMR-BS的合法性,根据g(RAND-RSn)验证消息的新鲜性,根据MMR-BS签名验证消息完整性,验证成功后,将事先保存的EAUK(n -1)-f(g(RAND-RSn-1))进行解密,获得g(RAND-RSn-1),再将Rel-Auth-Reply消息中级联的g(RAND-RSn)替换为g(RAND-RSn-1),然后将新的Rel-Auth-Reply消息发送给第n-1高能力RS,第n-1高能力RS依此类推,直至第1高能力RS将Rel-Auth-Reply消息发送给接入节点。
所述第1高能力RS发送给接入节点的Rel-Auth-Reply消息包括:MMR-BS随机数、接入节点随机数、密钥、密钥有效期、密钥序列号、SAID、MMR-BS证书、MMR-BS签名。
步骤508:接入节点根据MMR-BS证书验证MMR-BS的合法性,根据接入节点随机数验证消息的新鲜性,根据MMR-BS签名验证消息的完整性,验证成功后,接入节点从Rel-Auth-Reply消息获取密钥、密钥有效期、密钥序列号和SAID。
另外,在步骤504中,MMR-BS也可以不将解密后的g(RAND-RSn)级联在Rel-Auth-Reply消息后,而是直接放到认证响应消息中,替换接入节点随机数,即Rel-Auth-Reply消息包括:MMR-BS随机数、g(RAND-RSn)、密钥、密钥有效期、密钥序列号、SAID、MMR-BS证书、MMR-BS签名。当然,这要求各级节点发送认证请求消息的过程中,保存接入节点随机数。这样,当各级节点验证消息完整性时,又需要将保存的接入节点替换回认证响应消息,再验证消息的完整性。
与实施例三相似,如果中继节点接收到的认证请求消息中,存在下级节点对级联的随机数或对整个认证请求消息的签名,那么,当中继节点接收到认证请求消息时,中继节点将根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性,并将下级节点签名替换为当前节点签名。
同理,当MMR-BS接收到来自下级节点的认证请求消息时,在MMR-BS对认证请求消息的验证过程中,MMR-BS根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性。
实际应用中,接入节点发送的认证请求消息是否包括接入节点签名,中继节点采用哪种方法生成新的认证请求消息,中继节点是否对级联的随机数或对整个认证请求消息签名,随机数是否加密,采用哪种方法加密,MMR-BS将验证随机数级联在认证响应消息后,还是放在认证响应消息中,MMR-BS是否对级联的验证随机数签名,是否对整个认证响应消息签名等情况,可以由用户自行确定,此处不再一一列举。
应用本发明方案,接入节点可以在多跳网络中,与MMR-BS实现双向认证过程,获取授权信息,从而进入网络,并利用授权信息进行通信。
针对实现认证的方法,本发明还提出一种实现认证的系统。图6是该系统的基本结构示意图。如图6所示,该系统包括:
接入节点601,用于向MMR-BS602发送认证请求消息,对来自MMR-BS602的认证响应消息进行验证,并在验证成功时,从认证响应消息中获取授权信息;
MMR-BS602,用于对来自接入节点601的认证请求消息进行验证,并在验证成功后,将生成的携带有授权信息的认证响应消息返回给接入节点601。
实际应用中,所述接入节点为可以为MS、高能力RS或低能力RS,并且,该系统还可以进一步包括:
一级或一级以上中继节点,所述中继节点为高能力RS,用于接收认证请求消息,生成当前节点随机数,再根据当前节点随机数生成新的认证请求消息,并发送给上级节点,直至MMR-BS602;还用于接收认证响应消息,根据预先设置的验证机制对认证响应消息进行验证,验证成功后,再将认证响应消息发送给下级节点,直至接入节点601。
实际应用中,不论系统是否包括为高能力RS的中继节点,还可以进一步包括:
一级或一级以上低能力RS,用于接收认证请求消息,将认证请求消息进行物理层处理,再直接转发给上级节点;还用于接收认证响应消息,将认证响应消息进行物理层处理,再直接转发给下级节点。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (24)

1.一种实现认证的方法,其特征在于,该方法适用于多跳网络,包括以下步骤:
a、接入节点向支持移动多跳中继的基站MMR-BS发送认证请求消息;
b、MMR-BS根据预先设置的验证机制对所述认证请求消息进行验证,验证成功后,MMR-BS将生成的携带有授权信息的认证响应消息返回给接入节点;
c、接入节点根据预先设置的验证机制对所述认证响应消息进行验证,验证成功后,从所述认证响应消息中获取授权信息。
2.根据权利要求1所述的方法,其特征在于,所述接入节点为高能力中继站RS或低能力RS,接入节点和MMR-BS之间的链路包括一级或一级以上中继节点,所述中继节点为低能力RS;
当中继节点接收到认证请求消息时,该方法进一步包括:中继节点将所述认证请求消息进行物理层处理,再直接转发给上级节点;
当中继节点接收到认证响应消息时,该方法进一步包括:中继节点将所述认证响应消息进行物理层处理,再直接转发给下级节点。
3.根据权利要求1所述的方法,其特征在于,所述接入节点为MS、高能力RS或低能力RS,所述接入节点和MMR-BS之间的链路包括一级或一级以上中继节点,所述中继节点为高能力RS。
4.根据权利要求3所述的方法,其特征在于,所述步骤a具体为:所述接入节点通过中继节点将所述认证请求消息发送给MMR-BS,在发送给MMR-BS的过程中,当中继节点接收到认证请求消息时,生成当前节点随机数,再根据当前节点随机数生成新的认证请求消息,并发送给上级节点,直至MMR-BS;
步骤b所述MMR-BS将所述认证响应消息返回给接入节点的方法具体为:
MMR-BS通过中继节点将所述认证响应消息返回给接入节点,在返回过程中,当中继节点接收到认证响应消息时,根据预先设置的验证机制对认证响应消息进行验证,验证成功后,再将认证响应消息发送给下级节点,直至接入节点。
5.根据权利要求4所述的方法,其特征在于,步骤a所述接入节点的认证请求消息包括接入节点随机数,所述中继节点生成新的认证请求消息的方法为:
中继节点先保存认证请求消息中下级节点随机数,再将认证请求消息中的下级节点随机数替换为当前节点随机数;
所述MMR-BS生成的认证响应消息中还包括MMR-BS证书、MMR-BS随机数、用于下级节点验证消息新鲜性的验证随机数以及MMR-BS签名,步骤b所述中继节点发送给下级节点的认证响应消息为生成的新的认证响应消息,生成方法为:
中继节点将接收到的认证响应消息中的上级节点证书、上级节点随机数、用于当前节点验证消息新鲜性的验证随机数以及上级节点签名,分别替换为当前节点证书、当前节点随机数、用于下级节点验证消息新鲜性的验证随机数以及当前节点签名。
6.根据权利要求5所述的方法,其特征在于,步骤a所述中继节点生成的当前节点随机数为未经过加密的随机数;
步骤b所述用于下级节点验证消息新鲜性的验证随机数为:当前节点从认证请求消息中获取的下级节点随机数;
步骤b所述中继节点根据预先设置的验证机制进行验证的过程中包括:
中继节点将接收到的认证响应消息中的验证随机数,与生成认证请求消息时生成的当前节点随机数进行比较,确定所述认证响应消息的新鲜性。
7.根据权利要求所述6所述的方法,其特征在于,步骤a所述中继节点生成当前节点随机数,和替换认证请求消息中下级节点随机数之间进一步包括:中继节点将生成的当前节点随机数进行加密;
步骤b所述MMR-BS生成认证响应消息的过程中包括:MMR-BS解密从认证请求消息中获取的下级节点随机数,并作为下级节点用于验证消息新鲜性的验证随机数;
步骤b所述中继节点替换认证响应消息中验证随机数的方法为:中继节点解密事先保存的下级节点随机数,再将所述认证响应消息中验证随机数替换为解密后的下级节点随机数。
8.根据权利要求5至7任一项所述的方法,其特征在于,步骤a所述接入节点发送的认证请求消息包括接入节点签名,当中继节点接收到来自下级节点的认证请求消息时,该方法进一步包括:
中继节点根据所述认证请求消息中下级节点签名验证消息的完整性,并将下级节点签名替换为当前节点签名;
当MMR-BS接收到来自下级节点的认证请求消息时,在MMR-BS对认证请求消息的验证过程中,该方法进一步包括:
MMR-BS根据所述认证请求消息中下级节点签名验证消息的完整性。
9.根据权利要求4所述的方法,其特征在于,步骤a所述生成新的认证请求消息的方法为:中继节点将生成的当前节点随机数级联于接收到的认证请求消息,作为新的认证请求消息;
步骤b所述MMR-BS生成认证响应消息的方法为:MMR-BS先根据认证请求消息中非级联的部分生成认证响应消息,再将认证请求消息中各级节点级联的随机数,作为各级节点验证消息新鲜性的验证随机数,并级联在生成的认证响应消息后。
10.根据权利要求9所述的方法,其特征在于,步骤b所述中继节点发送给下级节点的认证响应消息为生成的新的认证响应消息,生成新的认证响应消息的方法为:中继节点删除认证响应消息中用于当前节点验证消息新鲜性的验证随机数,并将删除验证随机数后的认证响应消息作为新的认证响应消息。
11.根据权利要求9或10所述的方法,其特征在于,步骤a所述中继节点生成的当前节点随机数为未经过加密的随机数;
步骤b所述中继节点根据预先设置的验证机制进行验证的过程中包括:
中继节点将所述认证响应消息中用于当前节点验证消息新鲜性的验证随机数,与自身生成的当前节点随机数进行比较,确定认证响应消息的新鲜性。
12.根据权利要求11所述的方法,其特征在于,步骤a所述中继节点生成当前节点随机数,和将当前节点随机数级联于认证请求消息之间进一步包括:中继节点将生成的当前节点随机数进行加密;
步骤b所述MMR-BS在将各级节点级联于认证响应消息之前进一步包括:MMR-BS将认证请求消息中各级节点随机数进行解密。
13.根据权利要求9或10所述的方法,其特征在于,步骤a所述中继节点接收到的认证请求消息中,存在下级节点对级联的随机数或对整个认证请求消息的签名;当中继节点接收到认证请求消息时,该方法进一步包括:
中继节点根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性,并将所述对级联的随机数或对整个认证请求消息的签名替换为当前节点签名;
当MMR-BS接收到来自下级节点的认证请求消息时,在MMR-BS对认证请求消息的验证过程中,该方法进一步包括:
所述MMR-BS根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性。
14.根据权利要求4所述的方法,其特征在于,步骤a所述生成新的认证请求消息的方法为:如果中继节点接收的认证请求消息已存在下级节点级联的随机数,则先保存级联的下级节点随机数,再替换为当前节点随机数;否则,直接将当前节点级联在接收到的认证请求消息后,作为新的认证请求消息。
15.根据权利要求14所述的方法,其特征在于,步骤b所述MMR-BS生成认证响应消息的方法为:MMR-BS根据认证请求消息中非级联的部分生成认证响应消息,再将认证请求消息级联的下级节点随机数作为下级节点验证消息新鲜性的验证随机数,并级联于生成的认证响应消息后;
步骤b所述中继节点发送给下级节点的认证响应消息为生成的新的认证响应消息,生成新的认证响应消息的方法为:中继节点将认证响应消息中级联的验证随机数替换为事先保存的下级节点随机数。
16.根据权利要求14所述的方法,其特征在于,所述认证请求消息包括接入节点随机数,当中继节点接收到认证请求消息,该方法进一步包括:中继节点保存接入节点随机数;
步骤b所述MMR-BS生成认证响应消息的方法为:MMR-BS根据认证请求消息生成携带有接入节点随机数的认证响应消息,再将认证请求消息中下级节点随机数作为下级节点验证消息新鲜性的验证随机数,然后将认证响应消息中的接入节点随机数替换为下级节点的验证随机数;
步骤b所述中继节点根据预先设置的验证机制进行验证之前进一步包括:中继节点将所述认证响应消息中的验证随机数替换为事先保存的接入节点随机数。
17.根据权利要求15或16所述的方法,其特征在于,步骤a所述中继节点生成的当前节点随机数为未经过加密的随机数;
步骤b所述中继节点根据预先设置的验证机制进行验证的过程中包括:
中继节点将接收到的用于当前节点验证消息新鲜性的验证随机数,与自身生成的当前节点随机数进行比较,确定认证响应消息的新鲜性。
18.根据权利要求17所述的方法,其特征在于,步骤a所述中继节点生成当前节点随机数,和将当前节点随机数级联于认证请求消息之间进一步包括:中继节点将生成的当前节点随机数进行加密;
步骤b所述MMR-BS接收认证请求消息和发送认证响应消息之间进一步包括:MMR-BS将认证请求消息中级联的下级节点随机数进行解密;
步骤b所述中继节点在替换认证响应消息中验证随机数之前进一步包括:中继节点将事先保存的下级节点随机数进行解密。
19.根据权利要求14至16所述的方法,其特征在于,步骤a所述中继节点接收到的认证请求消息中,存在下级节点对级联的随机数或对整个认证请求消息的签名;当中继节点接收到所述认证请求消息时,该方法进一步包括:
中继节点根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性,并将所述对级联的随机数或对整个认证请求消息的签名,替换为当前节点签名;
当MMR-BS接收到来自下级节点的认证请求消息时,在MMR-BS对认证请求消息的验证过程中,该方法进一步包括:
MMR-BS根据下级节点对级联的随机数或对整个认证请求消息的签名,验证消息的完整性。
20.根据权利要求4所述的方法,其特征在于,步骤a所述MMR-BS生成的认证响应消息中包括:MMR-BS对级联的验证随机数的签名或对整个认证响应消息的签名;
所述中继节点将新的认证响应消息发送给下级节点之前,该方法进一步包括:中继节点将上一级节点签名替换为当前节点签名。
21.根据权利要求4所述的方法,其特征在于,所述接入节点和MMR-BS之间的链路还包括一级或一级以上低能力RS,
当低能力RS接收到来自下级节点的认证请求消息时,该方法进一步包括:低能力RS将所述认证请求消息进行物理层处理,再转发给上级节点;
当低能力RS接收到来自上级节点的认证响应消息时,该方法进一步包括:低能力RS将所述认证响应消息进行物理层处理,再转发给下级节点。
22.一种实现认证的系统,其特征在于,该系统包括:
接入节点,用于向MMR-BS发送认证请求消息,对来自MMR-BS的认证响应消息进行验证,并在验证成功时,从认证响应消息中获取授权信息;
MMR-BS,用于对来自接入节点的认证请求消息进行验证,并在验证成功后,将生成的携带有授权信息的认证响应消息返回给接入节点。
23.根据权利要求22所述的系统,其特征在于,所述接入节点为MS、高能力RS或低能力RS,该系统还包括:
一级或一级以上中继节点,所述中继节点为高能力RS,用于接收认证请求消息,生成当前节点随机数,再根据当前节点随机数生成新的认证请求消息,并发送给上级节点,直至MMR-BS;还用于接收认证响应消息,根据预先设置的验证机制对认证响应消息进行验证,验证成功后,再将认证响应消息发送给下级节点,直至接入节点。
24.根据权利要求22或23所述的系统,其特征在于,该系统还包括:
一级或一级以上低能力RS,用于接收认证请求消息,将认证请求消息进行物理层处理,再直接转发给上级节点;还用于接收认证响应消息,将认证响应消息进行物理层处理,再直接转发给下级节点。
CNA2006101411887A 2006-10-13 2006-10-13 一种实现认证的方法和系统 Pending CN101163004A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNA2006101411887A CN101163004A (zh) 2006-10-13 2006-10-13 一种实现认证的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNA2006101411887A CN101163004A (zh) 2006-10-13 2006-10-13 一种实现认证的方法和系统

Publications (1)

Publication Number Publication Date
CN101163004A true CN101163004A (zh) 2008-04-16

Family

ID=39297844

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2006101411887A Pending CN101163004A (zh) 2006-10-13 2006-10-13 一种实现认证的方法和系统

Country Status (1)

Country Link
CN (1) CN101163004A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016184197A1 (zh) * 2015-10-08 2016-11-24 中兴通讯股份有限公司 授权信息的调整方法、装置和计算机存储介质
CN109639645A (zh) * 2018-11-14 2019-04-16 重庆爱奇艺智能科技有限公司 用于监测信息安全的方法及装置
CN112956163A (zh) * 2018-10-25 2021-06-11 索尼公司 通信装置、通信方法以及数据结构
CN116155631A (zh) * 2023-04-21 2023-05-23 四川中电启明星信息技术有限公司 一种企业级的正反向级联认证方法及系统

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016184197A1 (zh) * 2015-10-08 2016-11-24 中兴通讯股份有限公司 授权信息的调整方法、装置和计算机存储介质
CN112956163A (zh) * 2018-10-25 2021-06-11 索尼公司 通信装置、通信方法以及数据结构
CN112956163B (zh) * 2018-10-25 2023-06-30 索尼公司 通信装置以及通信方法
CN109639645A (zh) * 2018-11-14 2019-04-16 重庆爱奇艺智能科技有限公司 用于监测信息安全的方法及装置
CN116155631A (zh) * 2023-04-21 2023-05-23 四川中电启明星信息技术有限公司 一种企业级的正反向级联认证方法及系统
CN116155631B (zh) * 2023-04-21 2023-07-28 四川中电启明星信息技术有限公司 一种企业级的正反向级联认证方法及系统

Similar Documents

Publication Publication Date Title
CN101222331B (zh) 一种认证服务器及网状网中双向认证的方法及系统
US8325922B1 (en) Group key security in a multihop relay wireless network
CN100581169C (zh) 一种基于单播会话密钥的组播密钥分发方法及其更新方法
CN112752236B (zh) 一种基于区块链的网联汽车认证方法、设备及储存介质
Zhang et al. Group-signature and group session key combined safety message authentication protocol for VANETs
CN101951590B (zh) 认证方法、装置及系统
JP2000083018A (ja) 機密を要する情報を最初は機密化されてない通信を用いて伝送するための方法
Cao et al. G2RHA: Group-to-route handover authentication scheme for mobile relays in LTE-A high-speed rail networks
CN105554760A (zh) 无线接入点认证方法、装置及系统
CN101945387A (zh) 一种接入层密钥与设备的绑定方法和系统
Khan et al. Secure authentication and key management protocols for mobile multihop WiMAX networks
CN101442749B (zh) 基于wapi的无线网状网的认证方法
CN101136741A (zh) 组播密钥管理方法及用于组播密钥管理的中心节点
CN101163004A (zh) 一种实现认证的方法和系统
KR20010047563A (ko) 무선통신시스템에서의 공개키 기반 상호 인증 방법
Khan et al. Secure authentication and key management protocols for mobile multihop WiMAX networks
CN102111268B (zh) 一种gsm网络双向认证的方法
CN101022330A (zh) 提高密钥管理授权消息安全性的方法和模块
CN114025346B (zh) 一种移动自设网络间数据安全有效的数据传输方法
Talawar et al. Secure routing with an integrated localized key management protocol in MANETs
CN104703174A (zh) 一种无线Mesh网络路由安全保护方法
He et al. User authentication scheme based on self-certified public-key for next generation wireless network
Khan et al. Efficient distributed authentication key scheme for multi-hop relay in IEEE 802.16 j network
Habib et al. Performance of wimax security algorithm (the comparative study of rsa encryption algorithm with ecc encryption algorithm)
Khan et al. Mitigation of Non-Transparent Rouge Relay Stations in Mobile Multihop Relay Networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Open date: 20080416