CN102158860B - 无线节点入网方法、系统及中继节点 - Google Patents

无线节点入网方法、系统及中继节点 Download PDF

Info

Publication number
CN102158860B
CN102158860B CN201010111422.8A CN201010111422A CN102158860B CN 102158860 B CN102158860 B CN 102158860B CN 201010111422 A CN201010111422 A CN 201010111422A CN 102158860 B CN102158860 B CN 102158860B
Authority
CN
China
Prior art keywords
base station
donor base
via node
certificate
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201010111422.8A
Other languages
English (en)
Other versions
CN102158860A (zh
Inventor
陈璟
张爱琴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201010111422.8A priority Critical patent/CN102158860B/zh
Priority to PCT/CN2011/070948 priority patent/WO2011098048A1/zh
Publication of CN102158860A publication Critical patent/CN102158860A/zh
Application granted granted Critical
Publication of CN102158860B publication Critical patent/CN102158860B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例涉及一种无线节点入网方法、系统及中继节点。本发明实施例的无线节点入网方法、系统及中继节点,通过在中继节点和施主基站或归属用户服务器或移动管理实体之间交互的消息中携带证书,进行中继节点与施主基站或归属用户服务器或移动管理实体之间的认证,并通过中继节点和施主基站或归属用户服务器或移动管理实体之间交换的DH参数,计算类似于用户设备入网时的共享密钥,最终完成中继节点与施主基站之间的无线承载建立,从而实现中继节点入网时基于证书的认证方法,且使得网络侧中继节点入网更加安全。

Description

无线节点入网方法、系统及中继节点
技术领域
本发明涉及通信技术领域,特别涉及一种无线节点入网方法、系统及中继节点。
背景技术
长期演进的后续演进(Long Term Evolution–Advanced,简称LTE-A)中引入了中继节点(Relay Node,简称RN),RN是为了提高通信小区边缘的吞吐量、方便运营商或用户的临时网络部署的需求、以及支持群移动功能而设置的。RN可以部署在乡村、城市、室内等的热点区域或者盲点区域。
在现有的无线接入网(Radio Access Network,简称RAN)中,在RN入网时,RN类似一个附加用户设备(User Equipment,简称UE)。因此,RN入网时,并不能实现基于证书的认证方法。
发明内容
本发明实施例的目的在于提供一种无线节点入网方法、系统及中继节点,以实现RN入网时基于证书的认证方法。
本发明实施例提供了一种无线节点入网方法,包括:
在中继节点与集成有归属用户服务器的施主基站之间的无线资源控制连接建立过程中,向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证;
接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,并根据所述施主基站的证书对所述施主基站进行认证;
若所述中继节点和所述施主基站认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算基础密钥K;
基于所述基础密钥K,与移动管理实体进行认证与密钥协商;与所述移动管理实体进行非接入层安全模式控制,并与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
本发明实施例还提供了一种中继节点,包括:
发送模块,用于在中继节点与集成有归属用户服务器的施主基站之间的无线资源控制连接建立过程中,向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证;
接收认证模块,用于接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,并根据所述施主基站的证书对所述施主基站进行认证;
计算模块,用于若所述中继节点和所述施主基站认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块接收的所述施主基站的迪菲-赫尔曼参数计算基础密钥K;
承载建立模块,用于基于所述计算模块计算得到的所述基础密钥K,与移动管理实体进行认证与密钥协商;并用于与所述移动管理实体进行非接入层安全模式控制,与所述施主基站之间的接入层安全模式控制,建立与所述施主基站之间的无线承载。
本发明实施例还提供了一种无线节点入网系统,包括:移动管理实体、集成有归属用户服务器的施主基站和如上所述的中继节点,
所述集成有归属用户服务器的施主基站,用于接收所述中继节点发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数至所述中继节点;根据所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算所述基础密钥K;根据所述基础密钥K计算的接入层密钥,与所述中继节点进行接入层安全模式控制;
所述移动管理实体,用于获取所述集成有归属用户服务器的施主基站基于所述基础密钥K计算的认证矢量,根据所述认证矢量,与所述中继节点进行认证与密钥协商;并用于根据所述基础密钥K计算的非接入层密钥,与所述中继节点进行非接入层安全模式控制。
本发明实施例还提供了一种无线节点入网方法,包括:
在中继节点与施主基站之间的无线资源控制连接建立过程中,通过所述施主基站向归属用户服务器发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述归属用户服务器根据所述中继节点的证书对所述中继节点进行认证;
通过所述施主基站接收所述归属用户服务器发送的所述归属用户服务器的证书和所述归属用户服务器的迪菲-赫尔曼参数,并根据所述归属用户服务器的证书对所述归属用户服务器进行认证;
若所述中继节点和所述归属用户服务器认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述归属用户服务器的迪菲-赫尔曼参数计算基础密钥K;
基于所述基础密钥K,与移动管理实体进行认证与密钥协商;与所述移动管理实体进行非接入层安全模式控制,并与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
本发明实施例还提供了一种中继节点,包括:
发送模块,用于在中继节点与施主基站之间的无线资源控制连接建立过程中,通过所述施主基站向归属用户服务器发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述归属用户服务器根据所述中继节点的证书对所述中继节点进行认证;
接收认证模块,用于通过所述施主基站接收所述归属用户服务器发送的所述归属用户服务器的证书和所述归属用户服务器的迪菲-赫尔曼参数,并根据所述归属用户服务器的证书对所述归属用户服务器进行认证;
计算模块,用于若所述中继节点和所述归属用户服务器认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块接收的所述归属用户服务器的迪菲-赫尔曼参数计算基础密钥K;
承载建立模块,用于基于所述计算模块计算得到的所述基础密钥K,与移动管理实体进行认证与密钥协商;并用于与所述移动管理实体进行非接入层安全模式控制,与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
本发明实施例还提供了一种无线节点入网系统,包括:移动管理实体、归属用户服务器、施主基站和如上所述的中继节点,
所述归属用户服务器,用于接收所述中继节点发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送所述归属用户服务器的证书和所述归属用户服务器的迪菲-赫尔曼参数至所述中继节点;根据所述中继节点的迪菲-赫尔曼参数和所述归属用户服务器的迪菲-赫尔曼参数计算所述基础密钥K;
所述移动管理实体,用于获取所述归属用户服务器基于所述基础密钥K计算的认证矢量,根据所述认证矢量,与所述中继节点进行认证与密钥协商;并用于根据所述基础密钥K计算的非接入层密钥,与所述中继节点进行非接入层安全模式控制;
所述施主基站,用于获取所述归属用户服务器基于所述基础密钥K计算的接入层密钥,根据所述接入层密钥,与所述中继节点进行接入层安全模式控制。
本发明实施例还提供了一种无线节点入网方法,包括:
完成中继节点与施主基站之间的无线资源控制连接建立;
发送携带有所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数的附着请求消息至集成有归属用户服务器的移动管理实体,以使所述移动管理实体根据所述中继节点的证书对所述中继节点进行认证;
接收所述移动管理实体发送的携带有移动管理实体的证书和所述移动管理实体的迪菲-赫尔曼参数的非接入层消息,并根据所述移动管理实体的证书对所述移动管理实体进行认证;
若所述中继节点和所述移动管理实体认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述移动管理实体的迪菲-赫尔曼参数计算共享密钥;
基于所述共享密钥,与所述移动管理实体进行非接入层安全模式控制,并与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
本发明实施例还提供了一种中继节点,包括:
连接建立模块,用于完成中继节点与施主基站之间的无线资源控制连接建立;
发送模块,用于发送携带有所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数的附着请求消息至集成有归属用户服务器的移动管理实体,以使所述移动管理实体根据所述中继节点的证书对所述中继节点进行认证;
接收认证模块,用于接收所述移动管理实体发送的携带有移动管理实体的证书和所述移动管理实体的迪菲-赫尔曼参数的非接入层消息,并根据所述移动管理实体的证书对所述移动管理实体进行认证;
计算模块,用于若所述中继节点和所述移动管理实体认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块接收的所述移动管理实体的迪菲-赫尔曼参数计算共享密钥;
承载建立模块,用于基于所述计算模块计算得到的所述共享密钥,与所述移动管理实体进行非接入层安全模式控制,并与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
本发明实施例还提供了一种无线节点入网系统,包括:集成有归属用户服务器的移动管理实体、施主基站和如上所述的中继节点,
所述集成有归属用户服务器的移动管理实体,用于接收所述中继节点发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送移动管理实体的证书和所述移动管理实体的迪菲-赫尔曼参数至所述中继节点;根据所述中继节点的迪菲-赫尔曼参数和所述移动管理实体的迪菲-赫尔曼参数计算所述共享密钥;根据所述共享密钥计算得到的非接入层密钥,与所述中继节点进行非接入层安全模式控制;
所述施主基站,用于获取所述集成有归属用户服务器的移动管理实体基于所述共享密钥计算的接入层密钥,根据所述接入层密钥,与所述中继节点进行接入层安全模式控制。
本发明实施例还提供了一种无线节点入网方法,包括:
在中继节点与施主基站之间的无线资源控制连接建立和/或无线承载建立的过程中,向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证;
接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,并根据所述施主基站的证书对所述施主基站进行认证;
若所述中继节点和所述施主基站认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算认证密钥AK;
将所述认证密钥AK作为所述中继节点和所述施主基站共享的临时密钥KeNB,并基于所述临时密钥KeNB,与所述施主基站进行接入层安全模式控制。
本发明实施例还提供了一种中继节点,包括:
发送模块,用于在中继节点与施主基站之间的无线资源控制连接建立和/或无线承载建立的过程中,向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证;
接收认证模块,用于接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,并根据所述施主基站的证书对所述施主基站进行认证;
计算模块,用于若所述中继节点和所述施主基站认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块接收的所述施主基站的迪菲-赫尔曼参数计算认证密钥AK;
承载建立模块,用于将所述计算模块计算得到的所述认证密钥AK作为所述中继节点和所述施主基站共享的临时密钥KeNB,并基于所述临时密钥KeNB,与所述施主基站进行接入层安全模式控制。
本发明实施例还提供了一种无线节点入网系统,包括:施主基站和如上所述的中继节点,
所述施主基站,用于接收所述中继节点发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数至所述中继节点;根据所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算所述认证密钥AK;将所述认证密钥AK作为所述中继节点和所述施主基站共享的临时密钥KeNB,并根据所述临时密钥KeNB,与所述中继节点进行接入层安全模式控制。
本发明实施例还提供了一种无线节点入网方法,包括:
在完成中继节点与施主基站之间的无线资源控制连接建立和无线承载建立的过程后,向所述施主基站发送因特网密钥交换安全关联初始协商请求消息,并接收所述施主基站回复的因特网密钥交换安全关联初始协商响应消息,以交换所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数,所述迪菲-赫尔曼参数用于协商所述中继节点与所述施主基站之间的安全保护联盟;
向所述施主基站发送因特网密钥交换认证请求消息,所述因特网密钥交换认证请求消息中携带请求所述施主基站的证书的信息;
接收所述施主基站返回的携带所述施主基站的证书的因特网密钥交换认证响应消息,并根据所述施主基站的证书对所述施主基站进行认证,所述因特网密钥交换认证响应消息中还携带请求所述中继节点的证书的信息;
向所述施主基站发送携带所述中继节点的证书的因特网密钥交换认证响应消息,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证。
本发明实施例还提供了一种中继节点,包括:
参数交换模块,用于在完成中继节点与施主基站之间的无线资源控制连接建立和无线承载建立的过程后,向所述施主基站发送因特网密钥交换安全关联初始协商请求消息,并接收所述施主基站回复的因特网密钥交换安全关联初始协商响应消息,以交换所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数,所述迪菲-赫尔曼参数用于协商所述中继节点与所述施主基站之间的安全保护联盟;
第一发送模块,用于向所述施主基站发送因特网密钥交换认证请求消息,所述因特网密钥交换认证请求消息中携带请求所述施主基站的证书的信息;
接收认证模块,用于接收所述施主基站返回的携带所述施主基站的证书的因特网密钥交换认证响应消息,并根据所述施主基站的证书对所述施主基站进行认证,所述因特网密钥交换认证响应消息中还携带请求所述中继节点的证书的信息;
第二发送模块,用于向所述施主基站发送携带所述中继节点的证书的因特网密钥交换认证响应消息,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证。
本发明实施例还提供了一种无线节点入网系统,包括:施主基站和如上所述的中继节点,
所述施主基站,用于接收所述中继节点发送的所述因特网密钥交换安全关联初始协商请求消息,并向所述中继节点返回所述因特网密钥交换安全关联初始协商响应消息,以交换所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数,所述迪菲-赫尔曼参数用于协商所述中继节点与所述施主基站之间的安全保护联盟;接收所述中继节点发送的所述因特网密钥交换认证请求消息,所述因特网密钥交换认证请求消息中携带请求所述施主基站的证书的信息;并向所述中继节点返回携带所述施主基站的证书的所述因特网密钥交换认证响应消息,所述因特网密钥交换认证响应消息中还携带请求所述中继节点的证书的信息;接收所述中继节点发送的携带所述中继节点的证书的所述因特网密钥交换认证响应消息,并根据所述中继节点的证书对所述中继节点进行认证。
由以上技术方案可知,本发明实施例的无线节点入网方法、系统及中继节点,通过在中继节点和施主基站或归属用户服务器或移动管理实体之间交互的消息中携带证书,进行中继节点与施主基站或归属用户服务器或移动管理实体之间的认证,并通过中继节点和施主基站或归属用户服务器或移动管理实体之间交换的DH参数,计算类似于用户设备入网时的共享密钥,最终完成中继节点与施主基站之间的无线承载建立,从而实现中继节点入网时基于证书的认证方法,且使得网络侧中继节点入网更加安全。
附图说明
图1为本发明无线节点入网方法第一实施例的流程示意图;
图2为本发明无线节点入网方法第二实施例的信令流程图;
图3为本发明无线节点入网方法第三实施例的信令流程图;
图4为本发明中继节点第一实施例的结构示意图;
图5为本发明无线节点入网系统第一实施例的结构示意图;
图6为本发明无线节点入网方法第四实施例的流程示意图;
图7为本发明无线节点入网方法第五实施例的信令流程图;
图8为本发明中继节点第二实施例的结构示意图;
图9为本发明无线节点入网系统第二实施例的结构示意图;
图10为本发明无线节点入网方法第六实施例的流程示意图;
图11为本发明无线节点入网方法第七实施例的信令流程图;
图12为本发明中继节点第三实施例的结构示意图;
图13为本发明无线节点入网系统第三实施例的结构示意图;
图14为本发明无线节点入网方法第八实施例的流程示意图;
图15为本发明无线节点入网方法第九实施例的信令流程图;
图16为本发明无线节点入网方法第十实施例的信令流程图;
图17为本发明无线节点入网方法第十一实施例的信令流程图;
图18为本发明中继节点第四实施例的结构示意图;
图19为本发明无线节点入网系统第四实施例的结构示意图;
图20为本发明无线节点入网方法第十二实施例的流程示意图;
图21为本发明中继节点第五实施例的结构示意图;
图22为本发明无线节点入网系统第五实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明无线节点入网方法第一实施例的流程示意图。如图1所示,包括如下步骤:
步骤101、在中继节点(Relay Node,简称RN)与集成有归属用户服务器(Home Subscriber Server,简称HSS)的施主基站(施主增强型节点B,Dorner Node B,简称DeNB)之间的无线资源控制(Radio ResourceControl,简称RRC)连接建立过程中,向DeNB发送RN的证书和RN的迪菲-赫尔曼(Diffie Hell-man,简称DH)参数,以使DeNB根据RN的证书对RN进行认证。
步骤102、RN接收DeNB发送的DeNB的证书和DeNB的DH参数,并根据DeNB的证书对DeNB进行认证。
上述步骤101和步骤102中,RN和DeNB分别将其自身的证书发送至对端,以便实现RN和DeNB之间基于证书的认证。
步骤103、若RN和DeNB认证成功,则根据RN的DH参数和DeNB的DH参数计算基础密钥K。
该基础密钥K类似于UE入网传统LTE时,UE的全球用户识别卡(Universal Subscriber Identity Module,简称USIM)中携带的基础密钥K。本步骤103中,K=KDF(KDH);另外,DeNB也会根据RN的DH参数和DeNB的DH参数计算该基础密钥K,即在DeNB侧也采用同样的算法生成该基础密钥K。
步骤104、基于该基础密钥K,与移动管理实体(Mobile ManagementEntity,简称MME)进行认证与密钥协商(Authentication and KeyAgreement,简称AKA),与MME进行非接入层(Non-Access Stratum,简称NAS)安全模式控制(Security Mode Control,简称SMC),并与DeNB进行接入层(Access Stratum,简称AS)SMC,建立RN与DeNB之间的无线承载。
在该步骤104中,由于RN侧和集成有HSS的DeNB侧均产生了基础密钥K,后续根据基础密钥K计算得到的认证矢量,进行RN与MME之间的AKA过程,根据基础密钥K计算得到的非接入层密钥,进行NAS SMC过程,并根据基础密钥K计算得到的接入层密钥,进行RN与DeNB之间的AS SMC的过程,上述过程类似于UE入网传统LTE的过程,RN类似传统LTE中的UE完成了RN入网认证和安全模式建立的过程,在此不再赘述。
本实施例提供的无线节点入网方法,通过在RRC连接建立过程中,在RN和集成有HSS功能的DeNB之间交互的消息中携带证书,进行RN和DeNB之间的认证,并通过RN和DeNB之间交换的DH参数,计算类似于UE入网时USIM卡中携带的基础密钥K,最终完成了RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图2为本发明无线节点入网方法第二实施例的信令流程图。本实施例中,DeNB和HSS集成在同一实体上,RN在建立RRC连接过程中,利用空口消息携带证书及密钥协商参数,在RN和DeNB/HSS之间协商出基础密钥K,然后RN基于此基础密钥K采用AKA方式与MME进行相互认证,后续SMC流程完全和现有的UE入网传统LTE的SMC流程一致。如图2所示,该无线节点入网方法包括如下步骤:
步骤201、RN向集成有HSS功能的DeNB发送RRC连接建立请求消息,该RRC连接建立请求消息中携带RN的证书和RN的DH参数等信息,以使DeNB根据RN的证书对RN进行认证。
在该RRC连接建立请求消息中还可以携带认证(AUTH)参数,该AUTH参数用来证明知道与实体本身ID相关的秘密,同时对之前和当前的数据包进行完整性保护。
步骤202、DeNB收到RRC连接建立请求消息后,会向发送该消息的RN发送RRC连接建立消息,该RRC连接建立消息中携带DeNB的证书和DeNB的DH参数等信息,以根据DeNB的证书对DeNB进行认证。
在该RRC连接建立消息中还可以携带AUTH参数,该AUTH参数用来证明知道与实体本身ID相关的秘密,同时对之前和当前的数据包进行完整性保护。在该步骤202中,集成在DeNB上的HSS还可以为RN分配一个国际移动用户识别码(International Mobile Subscriber Identity,简称IMSI),如果分配了,IMSI也会携带在前述RRC连接建立消息一起发送给RN,用来唯一标识该RN。
步骤203、RN和DeNB根据上面步骤201和步骤202中的两条消息里的RN的DH参数和DeNB的DH参数,分别在本地计算生成基础密钥K。
该基础密钥K类似于UE入网传统LTE时,UE的USIM卡中携带的基础密钥K。K=KDF(KDH)。
步骤204、RN向DeNB发送RRC连接建立完成消息,该RRC连接建立完成消息中携带有NAS附着请求消息。
步骤205、DeNB向MME转发RN的NAS附着请求消息。
步骤206、MME发现附着的是RN,启动AKA认证过程,首先向HSS发出认证数据请求消息。
步骤207、HSS会将其根据该基础密钥K计算得到的认证向量发送至MME,该认证向量可以包括{RAND,XRES,KASME,AUTN}。
步骤208、MME获取到认证向量后,向RN发送认证请求,携带认证用的AUTN、XRES以及计算密钥需要的RAND。
步骤209、MME接收RN计算后返回的携带RES的认证响应,验证该认证响应中的RES,从而完成RN和MME之间的AKA认证。
步骤210、通过SMC进行RN和MME之间的NAS加密算法的协商,该SMC过程和现有技术中UE入网传统LTE时的SMC过程相同。
步骤211、MME向DeNB发送RN的初始上下文建立消息,该初始上下文建立消息中携带有RN和MME之间AKA认证过程中计算得到的AS密钥。
步骤212、通过SMC进行DeNB与RN之间的AS机密算法的协商,该SMC过程和现有技术中UE入网传统LTE时的SMC过程相同。
步骤213、进行RN与DeNB之间的无线承载建立过程,至此完成RN入网认证。
由于RRC连接建立请求消息或RRC连接建立消息的长度受限,所以,在步骤201、步骤202中,RN的证书和/或DeNB的证书也可以考虑用一个位长更短的证书标识来替代,而不是证书本身。当上述的认证过程中RRC连接建立请求消息或RRC连接建立消息中携带的是证书标识而不是证书本身,那接收消息的实体需要首先完成和注册中心(RegistrationAssociation,简称RA)/证书中心(Certificate Association,简称CA)的交互,来获得证书标识所指示的证书的内容,然后进行对端的基于证书的内容的认证。
本实施例提供的无线节点入网方法,详细描述了RN和集成有HSS的DeNB之间的证书认证的信令流程,通过在RRC连接建立请求消息中携带RN的证书,在RRC连接建立消息中携带DeNB的证书,进行RN和DeNB之间的基于证书的认证,并通过RN和DeNB之间RRC连接建立请求消息和RRC连接建立消息交互交换DH参数,计算类似于UE入网时USIM卡中携带的基础密钥K,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图3为本发明无线节点入网方法第三实施例的信令流程图。本实施例中,DeNB和HSS集成在同一实体上,RN在RRC连接建立请求消息里携带密钥协商所需的信息,RN对DeNB的AUTH参数放在RRC连接建立完成消息里携带,以验证之前发送的RRC连接建立请求消息。如图3所示,包括如下步骤:
步骤301、RN在向集成有HSS功能的DeNB发送的RRC连接建立请求消息里携带RN的证书和RN的DH参数等信息。
步骤302、DeNB根据收到的RN的DH参数以及本地的DeNB的DH参数,计算获得基础密钥K,并根据K计算出AUTH参数,向RN发送RRC连接建立消息,该RRC连接建立消息中携带DeNB的证书、DeNB的DH参数以及AUTH参数,以根据DeNB的证书对DeNB进行认证。
在该步骤302中,集成在DeNB上的HSS还可以为RN分配一个IMSI,如果分配了,IMSI也会携带在前述RRC连接建立消息一起发送给RN,用来唯一标识该RN。该基础密钥K类似于UE入网传统LTE时,UE的USIM卡中携带的基础密钥K,K=KDF(KDH)。
步骤303、RN发送RRC连接建立完成消息至DeNB,在该RRC连接建立完成消息里携带RN对DeNB的AUTH参数,以使DeNB根据此值完成对RN之前发送的RRC连接建立请求消息的认证,并在认证成功后,根据RN的证书对RN进行认证。在该RRC连接建立完成消息里还携带有RN的NAS附着请求消息。
步骤304、RN根据上面步骤301-步骤303中的消息里的RN的DH参数和DeNB的DH参数,在本地计算生成基础密钥K。
该基础密钥K类似于UE入网传统LTE时,UE的USIM卡中携带的基础密钥K,K=KDF(KDH)。
步骤305、DeNB向MME转发RN的NAS附着请求消息。
步骤306、MME发现附着的是RN,启动AKA认证过程,首先向HSS发出认证数据请求消息。
步骤307、HSS会将其根据该基础密钥K计算得到的认证向量发送至MME,该认证向量可以包括{RAND,XRES,KASME,AUTN}。
步骤308、MME获取到认证向量后,向RN发送认证请求,携带认证用的AUTN、XRES以及计算密钥需要的RAND。
步骤309、MME接收RN计算后返回的携带RES的认证响应,验证该认证响应中的RES,以完成RN和MME之间的AKA认证。
步骤310、通过SMC进行RN和MME之间的NAS加密算法的协商,该SMC过程和现有技术中UE入网传统LTE时的SMC过程相同。
步骤311、MME向DeNB发送RN的初始上下文建立消息,该初始上下文建立消息中携带有RN和MME之间AKA认证过程中计算得到的AS密钥。
步骤312、通过SMC进行DeNB与RN之间的AS机密算法的协商,该SMC过程和现有技术中UE入网传统LTE时的SMC过程相同。
步骤313、进行RN与DeNB之间的无线承载建立过程,至此完成RN入网认证。
由于RRC连接建立请求消息或RRC连接建立消息的长度受限,所以,在步骤301、步骤302中,RN证书和/或DeNB证书也可以考虑用一个位长更短的证书标识来替代,而不是证书本身。当上述的认证过程中RRC连接建立请求消息或RRC链接建立消息中携带的是证书标识而不是证书本身,那接收消息的实体需要首先完成和RA/CA的交互,来获得证书标识所指示的证书,然后进行对端的基于证书的认证。
本实施例提供的无线节点入网方法,详细描述了RN和集成有HSS的DeNB之间的证书认证的信令流程,本实施例获得了与无线节点入网方法第二实施例大致相同的有益效果,实现了RN入网时基于证书的认证方法,使得网络侧RN入网更加安全。
图4为本发明中继节点第一实施例的结构示意图。如图4所示,该中继节点包括:发送模块41、接收认证模块42、计算模块43和承载建立模块44。其中,发送模块41,用于在中继节点与集成有归属用户服务器的施主基站的无线资源控制连接建立过程中,向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证;接收认证模块42,用于接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,并根据所述施主基站的证书对所述施主基站进行认证;计算模块43,用于若所述中继节点和所述施主基站认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块42接收的所述施主基站的迪菲-赫尔曼参数计算基础密钥K;承载建立模块44,用于基于所述计算模块43计算得到的所述基础密钥K,与移动管理实体进行认证与密钥协商;并用于与所述移动管理实体进行非接入层安全模式控制,与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
本实施例提供的中继节点,具体实现无线节点入网方法详见上述方法实施例,通过在RRC连接建立过程中,在RN和集成有HSS功能的DeNB之间交互的消息中携带证书,进行RN和DeNB之间的认证,并通过RN和DeNB之间交换的DH参数,计算类似于UE入网时USIM卡中携带的基础密钥K,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图5为本发明无线节点入网系统第一实施例的结构示意图。如图5所示,包括:移动管理实体51、集成有归属用户服务器的施主基站52和中继节点53。所述中继节点53如上述中继节点第一实施例中所描述,在此不再赘述。所述集成有归属用户服务器的施主基站52,用于接收所述中继节点53发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数至所述中继节点53;根据所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算所述基础密钥K;根据所述基础密钥K计算的接入层密钥,与所述中继节点53进行接入层安全模式控制。所述移动管理实体51,用于获取所述集成有归属用户服务器的施主基站52基于所述基础密钥K计算的认证矢量,根据所述认证矢量,与所述中继节点53进行认证与密钥协商;并用于根据所述基础密钥K计算的非接入层密钥,与所述中继节点53进行非接入层安全模式控制。
本实施例提供的无线节点入网系统,具体实现无线节点入网方法详见上述方法实施例,通过在RRC连接建立过程中,在RN和集成有HSS功能的DeNB之间交互的消息中携带证书,进行RN和DeNB之间的认证,并通过RN和DeNB之间交换的DH参数,计算类似于UE入网时USIM卡中携带的基础密钥K,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图6为本发明无线节点入网方法第四实施例的流程示意图。如图6所示,包括如下步骤:
步骤601、在RN与DeNB之间的RRC连接建立过程中,通过DeNB向HSS发送RN的证书和RN的DH参数,以使HSS根据RN的证书对RN进行认证。
步骤602、RN通过DeNB接收HSS发送的HSS的证书和HSS的DH参数,并根据HSS的证书对HSS进行认证。
上述步骤601和步骤602中,RN和HSS分别将其自身的证书发送至对端,以便实现RN和HSS之间基于证书的认证。
步骤603、若RN和HSS认证成功,则根据RN的DH参数和HSS的DH参数计算基础密钥K。
该基础密钥K类似于UE入网传统LTE时,UE的全球用户识别卡(Universal Subscriber Identity Module,简称USIM)中携带的基础密钥K。本步骤603中,K=KDF(KDH);另外,HSS也会根据RN的DH参数和HSS的DH参数计算该基础密钥K,即在DeNB侧也采用同样的算法生成该基础密钥K。
步骤604、基于该基础密钥K,与MME进行AKA;与MME进行NASSMC,并与DeNB进行AS SMC,建立RN与DeNB之间的无线承载。
在该步骤604中,由于RN侧产生了基础密钥K,后续根据基础密钥K计算得到的认证矢量,进行RN与MME之间的AKA过程,根据基础密钥K计算得到的非接入层密钥,进行NAS SMC过程,并根据基础密钥K计算得到的接入层密钥,进行RN与DeNB之间的AS SMC的过程,上述过程类似于UE入网传统LTE的过程,RN类似传统LTE中的UE完成了RN入网认证和安全模式建立的过程,在此不再赘述。
本实施例提供的无线节点入网方法,通过在RRC连接建立过程中,在RN和HSS之间交互的消息中携带证书,进行RN和HSS之间的认证,并通过RN和HSS之间交换的DH参数,计算类似于UE入网时USIM卡中携带的基础密钥K,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图7为本发明无线节点入网方法第五实施例的信令流程图。本实施例中,HSS是独立的物理实体,而不是位于DeNB上的,RN和HSS仍然通过证书认证,并协商出基础密钥K,DeNB在RN和HSS的中间转发相应的消息。如图7所示,该无线节点入网方法包括如下步骤:
步骤701、RN向DeNB发送RRC连接建立请求消息,该RRC连接建立请求消息中携带RN的证书、RN的DH参数以及AUTH参数等信息。
步骤702、DeNB将接收到的该RRC连接建立请求消息中的RN的证书、RN的DH参数以及AUTH参数等信息转发给HSS,以使HSS根据RN的证书对RN进行认证。
步骤703、HSS将携带有HSS的证书、HSS的DH参数以及AUTH参数的消息发送给DeNB。
步骤704、DeNB收到HSS的证书、HSS的DH参数以及AUTH参数后,会向RN发送RRC连接建立消息,该RRC连接建立消息中携带HSS的证书、HSS的DH参数以及AUTH参数,以根据HSS的证书对HSS进行认证。
在该步骤中,HSS可以为RN分配一个IMSI,如果分配了,DeNB将该IMSI也放在RRC连接建立消息中发送给RN,用来唯一标识该RN。
步骤705、RN和HSS根据上面步骤501-步骤504中的消息里的RN的DH参数和HSS的DH参数,分别在本地计算生成基础密钥K。
该基础密钥K类似于UE入网传统LTE时,UE的USIM卡中携带的基础密钥K。K=KDF(KDH)。
步骤706、RN向DeNB发送RRC连接建立完成消息,该RRC连接建立完成消息中携带有NAS附着请求消息。
步骤707、DeNB向MME转发RN的NAS附着请求消息。
步骤708、MME发现附着的是RN,启动AKA认证过程,首先向HSS发出认证数据请求消息。
步骤709、HSS会将其根据该基础密钥K计算得到的认证向量发送至MME,该认证向量可以包括{RAND,XRES,KASME,AUTN}。
步骤710、MME获取到认证向量后,向RN发送认证请求,携带认证用的AUTN、XRES以及计算密钥需要的RAND。
步骤711、MME接收RN计算后返回的携带RES的认证响应,验证该认证响应中的RES,以完成RN和MME之间的AKA认证。
步骤712、通过SMC进行RN和MME之间的NAS加密算法的协商,该SMC过程和现有技术中UE入网传统LTE时的SMC过程相同。
步骤713、MME向DeNB发送RN的初始上下文建立消息,该初始上下文建立消息中携带有RN和MME之间AKA认证过程中计算得到的AS密钥。
步骤714、通过SMC进行DeNB与RN之间的AS机密算法的协商,该SMC过程和现有技术中UE入网传统LTE时的SMC过程相同。
步骤715、进行RN与DeNB之间的无线承载建立过程,至此完成RN入网认证。
由于RRC连接建立请求消息或RRC连接建立消息的长度受限,所以,在步骤701-步骤704中,RN的证书和/或HSS的证书也可以考虑用一个位长更短的证书标识来替代,而不是证书本身。当上述的认证过程中RRC连接建立请求消息或RRC链接建立消息中携带的是证书标识而不是证书本身,那接收消息的实体需要首先完成和RA/CA的交互,来获得证书标识所指示的证书,然后进行对端的基于证书的认证。
本实施例提供的无线节点入网方法,DeNB和HSS为两个分立的实体,本实施例详细描述了RN和HSS之间的证书认证的信令流程,通过在RRC连接建立请求消息中携带RN的证书,在RRC连接建立消息中携带HSS的证书,进行RN和HSS之间的基于证书的认证,并通过RN和HSS之间RRC连接建立请求消息和RRC连接建立消息的交互交换DH参数,计算类似于UE入网时USIM卡中携带的基础密钥K,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图8为本发明中继节点第二实施例的结构示意图。如图8所示,该中继节点包括:发送模块81、接收认证模块82、计算模块83和承载建立模块84。其中,发送模块81,用于在中继节点与施主基站之间的无线资源控制连接建立过程中,通过所述施主基站向归属用户服务器发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述归属用户服务器根据所述中继节点的证书对所述中继节点进行认证;接收认证模块82,用于通过所述施主基站接收所述归属用户服务器发送的所述归属用户服务器的证书和所述归属用户服务器的迪菲-赫尔曼参数,并根据所述归属用户服务器的证书对所述归属用户服务器进行认证;计算模块83,用于若所述中继节点和所述归属用户服务器认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块82接收的所述归属用户服务器的迪菲-赫尔曼参数计算基础密钥K;承载建立模块84,用于基于所述计算模块83计算得到的所述基础密钥K,与移动管理实体进行认证与密钥协商;并用于与所述移动管理实体进行非接入层安全模式控制,与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
本实施例提供的中继节点,具体实现无线节点入网方法详见上述方法实施例,通过在RRC连接建立过程中,在RN和HSS之间交互的消息中携带证书,进行RN和HSS之间的认证,并通过RN和HSS之间交换的DH参数,计算类似于UE入网时USIM卡中携带的基础密钥K,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图9为本发明无线节点入网系统第二实施例的结构示意图。如图9所示,包括:移动管理实体91、归属用户服务器92、施主基站93和中继节点94。所述中继节点94如上述中继节点第二实施例中所描述,在此不再赘述。所述归属用户服务器92,用于接收所述中继节点94发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送所述归属用户服务器的证书和所述归属用户服务器的迪菲-赫尔曼参数至所述中继节点94;根据所述中继节点的迪菲-赫尔曼参数和所述归属用户服务器的迪菲-赫尔曼参数计算所述基础密钥K;所述移动管理实体91,用于获取所述归属用户服务器92基于所述基础密钥K计算的认证矢量,根据所述认证矢量,与所述中继节点94进行认证与密钥协商;并用于根据所述基础密钥K计算的非接入层密钥,与所述中继节点94进行非接入层安全模式控制;所述施主基站93,用于获取所述归属用户服务器92基于所述基础密钥K计算的接入层密钥,根据所述接入层密钥,与所述中继节点94进行接入层安全模式控制。
本实施例提供的无线节点入网系统,具体实现无线节点入网方法详见上述方法实施例,通过在RRC连接建立过程中,在RN和HSS之间交互的消息中携带证书,进行RN和HSS之间的认证,并通过RN和HSS之间交换的DH参数,计算类似于UE入网时USIM卡中携带的基础密钥K,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图10为本发明无线节点入网方法第六实施例的流程示意图。本实施例中HSS与MME集成在同一实体上。如图10所示,包括如下步骤:
步骤1001、完成RN与DeNB之间的RRC连接建立。
步骤1002、RN发送携带有RN的证书和RN的DH参数的附着请求消息至集成有HSS的MME,以使MME根据RN的证书对RN进行认证。
步骤1003、RN接收MME发送的携带有MME的证书和MME的DH参数的非接入层消息,并根据MME的证书对MME进行认证。
步骤1004、若RN和MME认证成功,则根据RN的DH参数和MME的DH计算共享密钥。
其中,MME根据RN的DH参数和MME的DH参数计算所述共享密钥。
步骤1005、基于共享密钥,RN与MME进行NAS SMC,并与DeNB进行AS SMC,建立RN与DeNB之间的无线承载。
根据共享密钥计算得到的非接入层密钥,进行NAS SMC过程,并根据共享密钥计算得到的接入层密钥,进行RN与DeNB之间的AS SMC的过程,上述过程类似于UE入网传统LTE的过程,RN类似传统LTE中的UE完成了RN入网认证和安全模式建立的过程,在此不再赘述。
本实施例提供的无线节点入网方法,通过在RN和集成有HSS的MME之间交互的消息中携带证书,进行RN和MME之间的认证,并通过RN和MME之间交换的DH参数,计算类似于UE入网时USIM卡中携带的共享密钥,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图11为本发明无线节点入网方法第七实施例的信令流程图。本实施例是上述第六实施例的具体信令流程,HSS与MME集成在同一实体上。如图11所示,包括如下步骤:
步骤1101、RN向DeNB发起RRC连接建立请求消息。
步骤1102、DeNB向RN发送RRC连接建立消息。
步骤1103、RN向DeNB回复RRC连接建立完成消息。
步骤1104、RN向集成有HSS的MME发送NAS附着请求消息,该NAS附着请求消息中携带RN的证书和RN的DH参数。
步骤1105、MME向RN发送IMSI请求消息,该IMSI请求消息中携带MME的证书、MME的DH参数以及用于认证的AUTH参数。
在该步骤1105中,集成在MME上的HSS还可以为RN分配一个IMSI,如果分配了,IMSI也会携带在前述IMSI请求消息中一起发送给RN,用来唯一标识该RN。
步骤1106、RN收到MME的证书后完成对MME的认证,然后在IMSI响应消息中携带用于认证的AUTN参数发送至MME,以使MME根据步骤1104中发送的RN的证书对RN进行证书认证。
步骤1107、认证双方RN和MME分别在本地根据RN的DH参数和MME的DH参数,计算出共享密钥K1,K1=KDF(KDH)。
RN和MME之间基于该共享密钥K1完成后续的安全过程,具体可以包括有两种方案:
A)将共享密钥K1作为AKA认证时的基础密钥K:
步骤1108a、集成有HSS功能的MME会根据该基础密钥K计算得到认证向量,该认证向量可以包括{RAND,XRES,KASME,AUTN}。
B)将共享密钥K1作为根密钥KASME:
步骤1108b、集成有HSS功能的MME从HSS得到包括该根密钥KASME的认证向量,该认证向量可以包括{RAND,XRES,KASME,AUTN}。
步骤1109、MME获取到认证向量后,向RN发送认证请求,携带认证用的AUTN、XRES以及计算密钥需要的RAND。
步骤1110、MME接收RN计算后返回的携带RES的认证响应,验证该认证响应中的RES,以完成RN和MME之间的AKA认证。
步骤1111、通过SMC进行RN和MME之间的NAS加密算法的协商,该SMC过程和现有技术中UE入网传统LTE时的SMC过程相同。
步骤1112、MME向DeNB发送RN的初始上下文建立消息,该初始上下文建立消息中携带有RN和MME之间AKA认证过程中计算得到的AS密钥。
步骤1113、通过SMC进行DeNB与RN之间的AS机密算法的协商,该SMC过程和现有技术中UE入网传统LTE时的SMC过程相同。
步骤1114、进行RN与DeNB之间的无线承载建立过程,至此完成RN入网认证。
由于附着请求消息或IMSI请求消息的长度受限,所以,在步骤1104-步骤1105中,RN的证书和/或MME的证书也可以考虑用一个位长更短的证书标识来替代,而不是证书本身,那么接收消息的实体需要首先完成和RA/CA的交互,来获得证书标识所指示的证书的内容,然后进行对端的基于证书的内容的认证。
本实施例提供的无线节点入网方法,详细描述了RN和集成有HSS的MME之间的证书认证的信令流程,与上述无线节点入网方法第六实施例类似,同样可以实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图12为本发明中继节点第三实施例的结构示意图。如图12所示,该中继节点包括:连接建立模块121、发送模块122、接收认证模块123、计算模块124和承载建立模块125。其中,连接建立模块121,用于完成中继节点与施主基站的无线资源控制连接建立;发送模块122,用于发送携带有所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数的附着请求消息至集成有归属用户服务器的移动管理实体,以使所述移动管理实体根据所述中继节点的证书对所述中继节点进行认证;接收认证模块123,用于接收所述移动管理实体发送的携带有移动管理实体的证书和所述移动管理实体的迪菲-赫尔曼参数的非接入层消息,并根据所述移动管理实体的证书对所述移动管理实体进行认证;计算模块124,用于若所述中继节点和所述移动管理实体认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块123接收的所述移动管理实体的迪菲-赫尔曼参数计算共享密钥;承载建立模块125,用于基于所述计算模块124计算得到的所述共享密钥,与所述移动管理实体进行非接入层安全模式控制,并与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
本实施例提供的中继节点,具体实现无线节点入网方法详见上述方法实施例,通过在RN和集成有HSS的MME之间交互的消息中携带证书,进行RN和MME之间的认证,并通过RN和MME之间交换的DH参数,计算类似于UE入网时USIM卡中携带的共享密钥,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图13为本发明无线节点入网系统第三实施例的结构示意图。如图13所示,包括:集成有归属用户服务器的移动管理实体131、施主基站132和中继节点133。所述中继节点133如上述中继节点第三实施例中所描述,在此不再赘述。所述集成有归属用户服务器的移动管理实体131,用于接收所述中继节点133发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送移动管理实体的证书和所述移动管理实体的迪菲-赫尔曼参数至所述中继节点133;根据所述中继节点的迪菲-赫尔曼参数和所述移动管理实体的迪菲-赫尔曼参数计算所述共享密钥;根据所述共享密钥计算得到的非接入层密钥,与所述中继节点133进行非接入层安全模式控制;所述施主基站132,用于获取所述集成有归属用户服务器的移动管理实体基于所述共享密钥计算的接入层密钥,根据所述接入层密钥,与所述中继节点133进行接入层安全模式控制。
本实施例提供的无线节点入网系统,具体实现无线节点入网方法详见上述方法实施例,通过在RN和集成有HSS的MME之间交互的消息中携带证书,进行RN和MME之间的认证,并通过RN和MME之间交换的DH参数,计算类似于UE入网时USIM卡中携带的共享密钥,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图14为本发明无线节点入网方法第八实施例的流程示意图。如图14所示,包括如下步骤:
步骤1401、在RN和DeNB之间的RRC连接建立和/或无线承载建立的过程中,向DeNB发送RN的证书和RN的DH参数,以使DeNB根据RN的证书对RN进行认证。
步骤1402、接收DeNB发送的DeNB的证书和DeNB的DH参数,并根据DeNB的证书对DeNB进行认证。
该步骤1401-步骤1402中,RN和DeNB分别将其自身的证书发送至对端,以便实现RN和DeNB之间的证书认证。
步骤1403、若RN和DeNB认证成功,则根据RN的DH参数和DeNB的DH参数计算认证密钥AK。
其中,DeNB根据RN的DH参数和DeNB的DH参数计算该认证密钥AK。
步骤1404、将该认证密钥AK作为RN和DeNB共享的临时密钥KeNB,并基于该临时密钥KeNB,与DeNB进行AS SMC。
本实施例提供的无线节点入网方法,通过在RN和DeNB之间的RRC连接建立和/或无线承载建立的过程中,在RN和DeNB之间交互的消息中携带证书,进行RN和DeNB之间的认证,并通过RN和DeNB之间交换的DH参数,计算类似于UE入网时计算得到的临时密钥KeNB,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图15为本发明无线节点入网方法第九实施例的信令流程图。本实施例中,RN、DeNB无需与HSS进行信令交互以进行基础密钥K的计算,只需要在RN与DeNB之间通过证书认证,并在RN与DeNB之间进行临时密钥KeNB的计算,并利用生成的临时密钥KeNB保护RN与DeNB之间的AS消息。如图15所示,包括如下步骤:
步骤1501、RN向其所属的DeNB发起RRC连接建立请求消息,该RRC连接建立请求消息中携带RN的证书、随机数(nonce)1、RN的DH参数以及AUTH参数等信息,以使DeNB根据RN的证书对RN进行认证。其中随机数是为了使得后续计算得到的共享密钥每一次都不同。
RN的证书也可以考虑用一个位长更短的证书标识来替代,而不是证书本身。当上述步骤1501中RRC连接建立请求消息中携带的是证书标识而不是证书本身,那么,还包括:步骤1501’、RN需要完成和RA/CA的消息交互,来获得证书标识所指示的证书的内容。然后,进行对端的基于证书的内容的认证。
步骤1502、DeNB向RN回复RRC连接建立消息,该RRC连接建立消息中携带DeNB的证书、随机数(nonce)2、DeNB的DH参数以及AUTH参数等信息,以使RN根据DeNB的证书对DeNB进行认证。
DeNB的证书也可以考虑用一个位长更短的证书标识来替代,而不是证书本身。当上述步骤1502中RRC连接建立消息中携带的是证书标识而不是证书本身,那么,还包括:步骤1502’、DeNB需要完成和RA/CA的消息交互,来获得证书标识所指示的证书的内容。然后,进行对端的基于证书的内容的认证。
步骤1503、RN和DeNB根据步骤1501和步骤1502中的两条消息里的RN的DH参数和DeNB的DH参数,分别在本地计算生成认证密钥AK,并以该认证密钥AK作为临时密钥KeNB,计算AS信令的加密密钥和完整性保护密钥等。
其中,AK=KDF(KDH)。
步骤1504、RN向其所属的DeNB发起RRC连接建立完成消息,其中携带NAS附着请求消息。
步骤1505、RN所属的DeNB转发NAS附着请求消息至MME。
步骤1506、MME向DeNB发送该RN的初始上下文建立消息。
步骤1507、RN所属的DeNB和RN之间进行AS SMC过程,完成DeNB与RN之间的AS算法的协商,并激活AS保护。
步骤1508、进行RN与DeNB之间的无线承载建立过程,至此完成RN入网认证。
本实施例只实现RN与其所属的DeNB之间的证书认证以及AS安全保护,并不关注NAS保护方法。
本实施例提供的无线节点入网方法,详细描述了RN和DeNB之间的证书认证的信令流程,与上述无线节点入网方法第八实施例类似,同样可以实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图16为本发明无线节点入网方法第十实施例的信令流程图。如图16所示,包括如下步骤:
步骤1601、RN向其所属的DeNB发送RRC连接建立请求消息。
步骤1602、RN所属的DeNB向RN回复RRC连接建立消息,完成随机接入信道的连接建立过程。
步骤1603、RN向其所属的DeNB发送RRC连接建立完成消息,其中携带NAS附着请求消息。
步骤1604、RN所属的DeNB将该NAS附着请求消息封装在S1-AP消息中传给MME。
步骤1605、MME通过S1-AP消息将服务网关(Serving Gateway,简称S-GW)地址、S1-TEID、承载服务质量(Bear QoS)、安全上下文等消息发给RN所属的DeNB,激活用于所有激活的演进分组系统(EvolvedPacket System,简称EPS)的无线承载和S1承载。
步骤1606、RN所属的DeNB将自己的DeNB的证书通过RRC无线承载建立消息发给RN,由RN对该DeNB进行认证,该RRC无线承载建立消息中还可以携带有随机数(nonce)1、DeNB的DH参数以及AUTH参数。
DeNB的证书也可以考虑用一个位长更短的证书标识来替代,而不是证书本身。当上述步骤1606中RRC无线承载建立消息中携带的是证书标识而不是证书本身,那么,还包括:步骤1606’、DeNB需要完成和RA/CA的消息交互,来获得证书标识所指示的证书的内容。然后,进行对端的基于证书的内容的认证。
步骤1607、RN所属的DeNB接收RN发送的RRC无线承载建立完成消息,该RRC无线承载建立完成消息中包含了RN的证书、随机数(nonce)2、RN的DH参数以及AUTH参数,以使DeNB根据RN的证书对RN进行认证,完成无线承载的建立。
RN的证书也可以考虑用一个位长更短的证书标识来替代,而不是证书本身。当上述步骤1607中RRC无线承载建立完成消息中携带的是证书标识而不是证书本身,那么,还包括:步骤1607’、RN需要完成和RA/CA的消息交互,来获得证书标识所指示的证书的内容。然后,进行对端的基于证书的内容的认证。
步骤1608、RN和DeNB根据步骤1606和步骤1607中的两条消息里的RN的DH参数和DeNB的DH参数,分别在本地计算生成认证密钥AK,并以该认证密钥AK作为临时密钥KeNB,计算AS信令的加密密钥和完整性保护密钥等。
步骤1609、RN所属的DeNB和RN之间进行AS SMC过程,完成DeNB与RN之间的AS算法的协商,并激活AS保护。
本实施例中的无线节点入网方法是在无线承载建立的时候完成的基于证书的认证,需要修改空口协议。另外,证书认证的过程还可以是,在步骤1606中不发送DeNB的证书,该DeNB的证书是在步骤1609的交互消息中DeNB至RN的下行消息中携带,从而实现对DeNB的认证。
在本实施例中,若RN和DeNB认证失败,则触发DeNB发起RRC连接释放过程,或者触发DeNB指示MME发起将RN去附着的过程,从而断开RN和DeNB之间的无线承载连接。
本实施例提供的无线节点入网方法,详细描述了RN和DeNB之间的证书认证的信令流程,与上述无线节点入网方法第八实施例类似,同样可以实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图17为本发明无线节点入网方法第十一实施例的信令流程图。如图17所示,包括如下步骤:
步骤1701、RN向其所属的DeNB发送RRC连接建立请求消息。
步骤1702、RN所属的DeNB向RN回复RRC连接建立消息,完成随机接入信道的连接建立过程。
步骤1703、RN向其所属的DeNB发送RRC连接建立完成消息,该RRC连接建立完成消息中携带了RN的证书,用于RN所属的DeNB对RN的认证。该RRC连接建立完成消息中还携带了随机数(nonce)1、RN的DH参数以及AUTH参数,其中还携带NAS附着请求消息。
RN的证书也可以考虑用一个位长更短的证书标识来替代,而不是证书本身。当上述步骤1703中RRC连接建立完成消息中携带的是证书标识而不是证书本身,那么,还包括:步骤1703’、RN需要完成和RA/CA的消息交互,来获得证书标识所指示的证书的内容。然后,进行对端的基于证书的内容的认证。
步骤1704、RN所属的DeNB将该NAS附着请求消息封装在S1-AP消息中传给MME。
步骤1705、MME通过S1-AP消息将服务网关(Serving Gateway,简称S-GW)地址、S1-TEID、承载服务质量(Bear QoS)、安全上下文等消息发给RN所属的DeNB,激活用于所有激活的演进分组系统(EvolvedPacket System,简称EPS)的无线承载和S1承载。
步骤1706、RN所属的DeNB将自己的DeNB的证书通过RRC无线承载建立消息发给RN,由RN对该DeNB进行认证,该RRC无线承载建立消息中还可以携带有随机数(nonce)2、DeNB的DH参数以及AUTH参数。
DeNB的证书也可以考虑用一个位长更短的证书标识来替代,而不是证书本身。当上述步骤1706中RRC无线承载建立消息中携带的是证书标识而不是证书本身,那么,还包括:步骤1706’、DeNB需要完成和RA/CA的消息交互,来获得证书标识所指示的证书的内容。然后,进行对端的基于证书的内容的认证。
步骤1707、RN和DeNB根据步骤1703和步骤1706中的两条消息里的RN的DH参数和DeNB的DH参数,分别在本地计算生成认证密钥AK,并以该认证密钥AK作为临时密钥KeNB,计算AS信令的加密密钥和完整性保护密钥等。
通过步骤1703和步骤1706中的两条消息的交互,完成RN入网时基于证书的认证。
步骤1708、RN所属的DeNB接收RN发送的RRC无线承载建立完成消息,完成RN和DeNB之间的无线承载的建立。
步骤1709、RN所属的DeNB和RN之间进行AS SMC过程,完成DeNB与RN之间的AS算法的协商,并激活AS保护。
本实施例提供的无线节点入网方法,详细描述了RN和DeNB之间的证书认证的信令流程,与上述无线节点入网方法第八实施例类似,同样可以实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图18为本发明中继节点第四实施例的结构示意图。如图18所示,该中继节点包括:发送模块181、接收认证模块182、计算模块183和承载建立模块184。其中,发送模块181,用于在中继节点与施主基站之间的无线资源控制连接建立和/或无线承载建立的过程中,向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证;接收认证模块182,用于接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,并根据所述施主基站的证书对所述施主基站进行认证;计算模块183,用于若所述中继节点和所述施主基站认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块182接收的所述施主基站的迪菲-赫尔曼参数计算认证密钥AK;承载建立模块184,用于将所述计算模块183计算得到的所述认证密钥AK作为所述中继节点和所述施主基站共享的临时密钥KeNB,并基于所述临时密钥KeNB,与所述施主基站进行接入层安全模式控制。另外,移动管理实体通过施主基站也会与中继节点进行信息交互。
本实施例提供的中继节点,具体实现无线节点入网方法详见上述方法实施例,通过在RN和DeNB之间的RRC连接建立和/或无线承载建立的过程中,在RN和DeNB之间交互的消息中携带证书,进行RN和DeNB之间的认证,并通过RN和DeNB之间交换的DH参数,计算类似于UE入网时计算得到的临时密钥KeNB,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图19为本发明无线节点入网系统第四实施例的结构示意图。如图19所示,包括:移动管理实体191、施主基站192和中继节点193。所述中继节点193如上述中继节点第四实施例中所描述,在此不再赘述。移动管理实体191通过施主基站192与中继节点193进行信息交互。所述施主基站192,用于接收所述中继节点193发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数至所述中继节点193;根据所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算所述认证密钥AK;将所述认证密钥AK作为所述中继节点和所述施主基站共享的临时密钥KeNB,并根据所述临时密钥KeNB,与所述中继节点193进行接入层安全模式控制。
本实施例提供的无线节点入网系统,具体实现无线节点入网方法详见上述方法实施例,通过在RN和DeNB之间的RRC连接建立和/或无线承载建立的过程中,在RN和DeNB之间交互的消息中携带证书,进行RN和DeNB之间的认证,并通过RN和DeNB之间交换的DH参数,计算类似于UE入网时计算得到的临时密钥KeNB,最终完成RN与DeNB之间的无线承载建立,从而实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图20为本发明无线节点入网方法第十二实施例的流程示意图。本实施例的认证过程是基于RN中带有USIM卡的认证,RN类似于附属UE。RN首先根据其中的USIM卡完成无线承载建立的过程,建立用户面/信令面的IP连接,再启动基于IP层的因特网密钥交换协议第二版本(Internet KeyExchange version2,简称IKEv2)的基于证书的认证过程,建立RN和其附属的DeNB的IPSec连接,完成RN入网过程。如图20所示,完成RN入网过程后,还包括如下步骤:
步骤2001、RN发送IKE安全关联初始协商(IKE_SA_INIT)请求消息至DeNB,在该IKE_SA_INIT请求消息中包含了参数{HDR,SAi1,Kei,Ni}。
其中消息头HDR中包括安全参数索引(Security Parameter Indexes简称SPIs)、版本号和所需的标志,SAi1包括发起方建立IKE安全关联所支持的加密算法,Kei是发起方的DH参数,Ni是发起方的随机数载荷。
步骤2002、DeNB回复IKE_SA_INIT响应消息至RN,在该IKE_SA_INIT响应消息中包含了参数{HDR,SAr1,KEr,Nr,[CERTREQ]}。
其中,DeNB把选择的算法放在SAr1中;通过交互IKE_SA_INIT请求/响应消息,发起方和响应方协商了所需要的加密算法、认证算法;通过交换Ni/Nr和Kei/Ker,完成DH交换,从而双方可计算出共享的密钥,这个密钥用来保护后面的数据以及生成IPsec安全关联所需要的密钥;[CERTREQ]是证书请求标识。
步骤2003、RN向其所属的DeNB发送IKE_AUTH请求消息,在该IKE_AUTH请求消息中包含了参数{HDR,SK,AUTH,SAi2,TSi,TSr,CFG_REQUEST}。
其中,所携带的参数的具体含义是:HDR包含SPIs、版本号和所需的标志,SAi包括发起方建立IKE安全关联所支持的加密算法;SK表示报文被保护,AUTH用来证明知道与ID相关的秘密,同时对之前和当前的数据包进行完整性保护;SAi2携带了用于IPsec安全关联的密码算法列表,TSi/TSr表示被IPsec安全关联保护的数据流,CFG_REQUEST用于向RN附属的DeNB请求证书以进行认证。
步骤2004、RN所属的DeNB向RN发送IKE_AUTH响应消息,在该IKE_AUTH响应消息中包含了参数{HDR,SK,AUTH,SAr2,TSi,TSr,[CERT],Config Payload,CFG_REQUEST}。
将RN所属的DeNB的证书发送给RN,以使RN完成对其所属的DeNB的认证,并向RN请求证书以进行认证。
步骤2005、RN向其所属的DeNB发送IKE_AUTH响应消息,在该IKE_AUTH响应消息中包含了参数{HDR,SK,AUTH,SAr2,Tsi,TSr,[CERT],Config Payload},将RN的证书带给RN所属的DeNB,以使RN所属的DeNB完成对RN的认证。
同样,由于消息长度的限制,在步骤2004和步骤2005中,RN的证书、DeNB的证书也可以考虑用一个位长更短的证书标识来替代,而不是证书本身,那么接收消息的实体需要首先完成和RA/CA的交互,来获得证书标识所指示的证书的内容,然后进行对端的基于证书的内容的认证。
需要说明的是,为了克服可移动的USIM卡的安全性低的问题,当RN使用USIM卡完成了入网的认证,建立RN和其附属的DeNB的IPSec连接后,还需要进行证书的认证过程,如上述步骤所述。在证书认证的网络侧节点DeNB/MME上,如果RN的证书认证失败,则需要触发RN和DeNB/MME之间的Un接口的无线连接/IPSec连接应该释放或者MME发起将RN Detach去注册的过程。只有RN的证书认证成功,RN才可以作为一个网络节点,激活Un接口的承载功能,否则任何UE不能通过RN接入网络。
图21为本发明中继节点第五实施例的结构示意图。如图21所示,该中继节点包括:参数交换模块2101、第一发送模块2102、接收认证模块2103和第二发送模块2104。其中,参数交换模块2101,用于在完成中继节点与施主基站之间的无线资源控制连接建立和无线承载建立的过程后,向所述施主基站发送因特网密钥交换安全关联初始协商请求消息,并接收所述施主基站回复的因特网密钥交换安全关联初始协商响应消息,以交换所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数,所述迪菲-赫尔曼参数用于协商所述中继节点与所述施主基站之间的安全保护联盟;第一发送模块2102,用于向所述施主基站发送因特网密钥交换认证请求消息,所述因特网密钥交换认证请求消息中携带请求所述施主基站的证书的信息;接收认证模块2103,用于接收所述施主基站返回的携带所述施主基站的证书的因特网密钥交换认证响应消息,并根据所述施主基站的证书对所述施主基站进行认证,所述因特网密钥交换认证响应消息中还携带请求所述中继节点的证书的信息;第二发送模块2104,用于向所述施主基站发送携带所述中继节点的证书的因特网密钥交换认证响应消息,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证。
本实施例提供的中继节点,具体实现无线节点入网方法所详见上述方法第十二实施例,可以实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
图22为本发明无线节点入网系统第五实施例的结构示意图。如图22所示,该无线节点入网系统包括:施主基站2201和如上述中继节点第五实施例所述的中继节点2202。其中,所述施主基站2201,用于接收所述中继节点2202发送的所述因特网密钥交换安全关联初始协商请求消息,并向所述中继节点2202返回所述因特网密钥交换安全关联初始协商响应消息,以交换所述中继节点2202的迪菲-赫尔曼参数和所述施主基站2201的迪菲-赫尔曼参数,所述迪菲-赫尔曼参数用于协商所述中继节点2202与所述施主基站2201之间的安全保护联盟;接收所述中继节点2202发送的所述因特网密钥交换认证请求消息,所述因特网密钥交换认证请求消息中携带请求所述施主基站2201的证书的信息;并向所述中继节点2202返回携带所述施主基站2201的证书的所述因特网密钥交换认证响应消息,所述因特网密钥交换认证响应消息中还携带请求所述中继节点2202的证书的信息;接收所述中继节点2202发送的携带所述中继节点2202的证书的所述因特网密钥交换认证响应消息,并根据所述中继节点2202的证书对所述中继节点2202进行认证。
本实施例提供的无线节点入网系统,具体实现无线节点入网方法所详见上述方法第十二实施例,可以实现RN入网时基于证书的认证方法,且使得网络侧RN入网更加安全。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可获取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (26)

1.一种无线节点入网方法,其特征在于,包括:
在中继节点与集成有归属用户服务器的施主基站之间的无线资源控制连接建立过程中,向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证;
接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,并根据所述施主基站的证书对所述施主基站进行认证;
若所述中继节点和所述施主基站认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算基础密钥K;
基于所述基础密钥K,与移动管理实体进行认证与密钥协商;与所述移动管理实体进行非接入层安全模式控制,并与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
2.根据权利要求1所述的方法,其特征在于,
若所述施主基站发送的所述施主基站的证书表示为证书的标识信息,则所述在根据所述施主基站的证书对所述施主基站进行认证之前,还包括:根据所述证书的标识信息向证书中心获取所述证书的内容;
所述根据所述施主基站的证书对所述施主基站进行认证,包括:根据从所述证书中心获取的所述证书的内容,对所述施主基站进行认证。
3.一种中继节点,其特征在于,包括:
发送模块,用于在中继节点与集成有归属用户服务器的施主基站之间的无线资源控制连接建立过程中,向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证;
接收认证模块,用于接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,并根据所述施主基站的证书对所述施主基站进行认证;
计算模块,用于若所述中继节点和所述施主基站认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块接收的所述施主基站的迪菲-赫尔曼参数计算基础密钥K;
承载建立模块,用于基于所述计算模块计算得到的所述基础密钥K,与移动管理实体进行认证与密钥协商;并用于与所述移动管理实体进行非接入层安全模式控制,与所述施主基站之间的接入层安全模式控制,建立与所述施主基站之间的无线承载。
4.一种无线节点入网系统,其特征在于,包括:移动管理实体、集成有归属用户服务器的施主基站和如权利要求3所述的中继节点,
所述集成有归属用户服务器的施主基站,用于接收所述中继节点发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数至所述中继节点;根据所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算所述基础密钥K;根据所述基础密钥K计算的接入层密钥,与所述中继节点进行接入层安全模式控制;
所述移动管理实体,用于获取所述集成有归属用户服务器的施主基站基于所述基础密钥K计算的认证矢量,根据所述认证矢量,与所述中继节点进行认证与密钥协商;并用于根据所述基础密钥K计算的非接入层密钥,与所述中继节点进行非接入层安全模式控制。
5.一种无线节点入网方法,其特征在于,包括:
在中继节点与施主基站之间的无线资源控制连接建立过程中,通过所述施主基站向归属用户服务器发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述归属用户服务器根据所述中继节点的证书对所述中继节点进行认证;
通过所述施主基站接收所述归属用户服务器发送的所述归属用户服务器的证书和所述归属用户服务器的迪菲-赫尔曼参数,并根据所述归属用户服务器的证书对所述归属用户服务器进行认证;
若所述中继节点和所述归属用户服务器认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述归属用户服务器的迪菲-赫尔曼参数计算基础密钥K;
基于所述基础密钥K,与移动管理实体进行认证与密钥协商;与所述移动管理实体进行非接入层安全模式控制,并与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
6.根据权利要求5所述的方法,其特征在于,
若归属用户服务器发送的所述归属用户服务器的证书表示为证书的标识信息,则在所述根据所述归属用户服务器的证书对所述归属用户服务器进行认证之前,还包括:根据所述证书的标识信息向证书中心获取所述证书的内容;
所述根据所述归属用户服务器的证书对所述归属用户服务器进行认证,包括:根据从所述证书中心获取的所述证书的内容,对所述归属用户服务器进行认证。
7.一种中继节点,其特征在于,包括:
发送模块,用于在中继节点与施主基站之间的无线资源控制连接建立过程中,通过所述施主基站向归属用户服务器发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述归属用户服务器根据所述中继节点的证书对所述中继节点进行认证;
接收认证模块,用于通过所述施主基站接收所述归属用户服务器发送的所述归属用户服务器的证书和所述归属用户服务器的迪菲-赫尔曼参数,并根据所述归属用户服务器的证书对所述归属用户服务器进行认证;
计算模块,用于若所述中继节点和所述归属用户服务器认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块接收的所述归属用户服务器的迪菲-赫尔曼参数计算基础密钥K;
承载建立模块,用于基于所述计算模块计算得到的所述基础密钥K,与移动管理实体进行认证与密钥协商;并用于与所述移动管理实体进行非接入层安全模式控制,与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
8.一种无线节点入网系统,其特征在于,包括:移动管理实体、归属用户服务器、施主基站和如权利要求7所述的中继节点,
所述归属用户服务器,用于接收所述中继节点发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送所述归属用户服务器的证书和所述归属用户服务器的迪菲-赫尔曼参数至所述中继节点;根据所述中继节点的迪菲-赫尔曼参数和所述归属用户服务器的迪菲-赫尔曼参数计算所述基础密钥K;
所述移动管理实体,用于获取所述归属用户服务器基于所述基础密钥K计算的认证矢量,根据所述认证矢量,与所述中继节点进行认证与密钥协商;并用于根据所述基础密钥K计算的非接入层密钥,与所述中继节点进行非接入层安全模式控制;
所述施主基站,用于获取所述归属用户服务器基于所述基础密钥K计算的接入层密钥,根据所述接入层密钥,与所述中继节点进行接入层安全模式控制。
9.一种无线节点入网方法,其特征在于,包括:
完成中继节点与施主基站之间的无线资源控制连接建立;
发送携带有所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数的附着请求消息至集成有归属用户服务器的移动管理实体,以使所述移动管理实体根据所述中继节点的证书对所述中继节点进行认证;
接收所述移动管理实体发送的携带有移动管理实体的证书和所述移动管理实体的迪菲-赫尔曼参数的非接入层消息,并根据所述移动管理实体的证书对所述移动管理实体进行认证;
若所述中继节点和所述移动管理实体认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述移动管理实体的迪菲-赫尔曼参数计算共享密钥;
基于所述共享密钥,与所述移动管理实体进行非接入层安全模式控制,并与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
10.根据权利要求9所述的方法,其特征在于,所述共享密钥为基础密钥K或根密钥KASME;
当所述共享密钥为基础密钥K时,在所述与所述移动管理实体进行非接入层安全模式控制之前,还包括:基于所述基础密钥K,与移动管理实体进行认证与密钥协商。
11.根据权利要求9所述的方法,其特征在于,
若所述移动管理实体发送的移动管理实体的证书表示为证书的标识信息,则所述根据所述移动管理实体的证书对所述移动管理实体进行认证之前,还包括:根据所述证书的标识信息向证书中心获取所述证书的内容;
所述根据所述移动管理实体的证书对所述移动管理实体进行认证,包括:根据从所述证书中心获取的所述证书的内容,对所述移动管理实体进行认证。
12.一种中继节点,其特征在于,包括:
连接建立模块,用于完成中继节点与施主基站之间的无线资源控制连接建立;
发送模块,用于发送携带有所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数的附着请求消息至集成有归属用户服务器的移动管理实体,以使所述移动管理实体根据所述中继节点的证书对所述中继节点进行认证;
接收认证模块,用于接收所述移动管理实体发送的携带有移动管理实体的证书和所述移动管理实体的迪菲-赫尔曼参数的非接入层消息,并根据所述移动管理实体的证书对所述移动管理实体进行认证;
计算模块,用于若所述中继节点和所述移动管理实体认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块接收的所述移动管理实体的迪菲-赫尔曼参数计算共享密钥;
承载建立模块,用于基于所述计算模块计算得到的所述共享密钥,与所述移动管理实体进行非接入层安全模式控制,并与所述施主基站进行接入层安全模式控制,建立与所述施主基站之间的无线承载。
13.一种无线节点入网系统,其特征在于,包括:集成有归属用户服务器的移动管理实体、施主基站和如权利要求12所述的中继节点,
所述集成有归属用户服务器的移动管理实体,用于接收所述中继节点发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送移动管理实体的证书和所述移动管理实体的迪菲-赫尔曼参数至所述中继节点;根据所述中继节点的迪菲-赫尔曼参数和所述移动管理实体的迪菲-赫尔曼参数计算所述共享密钥;根据所述共享密钥计算得到的非接入层密钥,与所述中继节点进行非接入层安全模式控制;
所述施主基站,用于获取所述集成有归属用户服务器的移动管理实体基于所述共享密钥计算的接入层密钥,根据所述接入层密钥,与所述中继节点进行接入层安全模式控制。
14.一种无线节点入网方法,其特征在于,包括:
在中继节点与施主基站之间的无线资源控制连接建立和/或无线承载建立的过程中,向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证;
接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,并根据所述施主基站的证书对所述施主基站进行认证;
若所述中继节点和所述施主基站认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算认证密钥AK;
将所述认证密钥AK作为所述中继节点和所述施主基站共享的临时密钥KeNB,并基于所述临时密钥KeNB,与所述施主基站进行接入层安全模式控制。
15.根据权利要求14所述的方法,其特征在于,
所述向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,包括:向所述施主基站发送无线资源控制连接建立请求消息,所述无线资源控制连接建立请求消息中包括:所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数;
所述接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,包括:接收所述施主基站返回的无线资源控制连接建立消息,所述无线资源控制连接建立消息中包括:所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数。
16.根据权利要求14所述的方法,其特征在于,
所述接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,包括:接收所述施主基站发送的无线承载建立消息,所述无线承载建立消息中包括:所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数;
所述向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,包括:向所述施主基站返回无线承载建立完成消息,所述无线承载建立完成消息中包括:所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数。
17.根据权利要求16所述的方法,其特征在于,进一步包括:
若所述中继节点和所述施主基站认证失败,则触发所述施主基站发起无线资源控制连接释放过程,或者触发所述施主基站指示移动管理实体发起将所述中继节点去附着的过程。
18.根据权利要求14所述的方法,其特征在于,
所述向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,包括:向所述施主基站发送无线资源控制连接建立完成消息,所述无线资源控制连接建立完成消息中包括:所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数;
所述接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,包括:接收所述施主基站发送的无线承载建立消息,所述无线承载建立消息中包括:所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数。
19.根据权利要求14-18任一所述的方法,其特征在于,
若所述施主基站发送的所述施主基站的证书表示为证书的标识信息,则所述根据所述施主基站的证书对所述施主基站进行认证之前,还包括:根据所述证书的标识信息向证书中心获取所述证书的内容;
所述根据所述施主基站的证书对所述施主基站进行认证,包括:根据从所述证书中心获取的所述证书的内容,对所述施主基站进行认证。
20.一种中继节点,其特征在于,包括:
发送模块,用于在中继节点与施主基站之间的无线资源控制连接建立和/或无线承载建立的过程中,向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证;
接收认证模块,用于接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数,并根据所述施主基站的证书对所述施主基站进行认证;
计算模块,用于若所述中继节点和所述施主基站认证成功,则根据所述中继节点的迪菲-赫尔曼参数和所述接收认证模块接收的所述施主基站的迪菲-赫尔曼参数计算认证密钥AK;
承载建立模块,用于将所述计算模块计算得到的所述认证密钥AK作为所述中继节点和所述施主基站共享的临时密钥KeNB,并基于所述临时密钥KeNB,与所述施主基站进行接入层安全模式控制。
21.一种无线节点入网系统,其特征在于,包括:施主基站和如权利要求20所述的中继节点,
所述施主基站,用于接收所述中继节点发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数,并发送所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数至所述中继节点;根据所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算所述认证密钥AK;将所述认证密钥AK作为所述中继节点和所述施主基站共享的临时密钥KeNB,并根据所述临时密钥KeNB,与所述中继节点进行接入层安全模式控制。
22.一种无线节点入网方法,其特征在于,包括:
在完成中继节点与施主基站之间的无线资源控制连接建立和无线承载建立的过程后,向所述施主基站发送因特网密钥交换安全关联初始协商请求消息,并接收所述施主基站回复的因特网密钥交换安全关联初始协商响应消息,以交换所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数,所述迪菲-赫尔曼参数用于协商所述中继节点与所述施主基站之间的安全保护联盟;
向所述施主基站发送因特网密钥交换认证请求消息,所述因特网密钥交换认证请求消息中携带请求所述施主基站的证书的信息;
接收所述施主基站返回的携带所述施主基站的证书的因特网密钥交换认证响应消息,并根据所述施主基站的证书对所述施主基站进行认证,所述因特网密钥交换认证响应消息中还携带请求所述中继节点的证书的信息;
向所述施主基站发送携带所述中继节点的证书的因特网密钥交换认证响应消息,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证。
23.根据权利要求22所述的方法,其特征在于,进一步包括:
若所述中继节点和所述施主基站认证失败,则触发所述施主基站发起无线资源控制连接释放过程,或者触发所述施主基站指示移动管理实体发起将所述中继节点去附着的过程。
24.一种中继节点,其特征在于,包括:
参数交换模块,用于在完成中继节点与施主基站之间的无线资源控制连接建立和无线承载建立的过程后,向所述施主基站发送因特网密钥交换安全关联初始协商请求消息,并接收所述施主基站回复的因特网密钥交换安全关联初始协商响应消息,以交换所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数,所述迪菲-赫尔曼参数用于协商所述中继节点与所述施主基站之间的安全保护联盟;
第一发送模块,用于向所述施主基站发送因特网密钥交换认证请求消息,所述因特网密钥交换认证请求消息中携带请求所述施主基站的证书的信息;
接收认证模块,用于接收所述施主基站返回的携带所述施主基站的证书的因特网密钥交换认证响应消息,并根据所述施主基站的证书对所述施主基站进行认证,所述因特网密钥交换认证响应消息中还携带请求所述中继节点的证书的信息;
第二发送模块,用于向所述施主基站发送携带所述中继节点的证书的因特网密钥交换认证响应消息,以使所述施主基站根据所述中继节点的证书对所述中继节点进行认证。
25.根据权利要求24所述的中继节点,其特征在于,还包括:检测触发模块,用于若检测到所述中继节点和所述施主基站认证失败,则触发所述施主基站发起无线资源控制连接释放过程,或者触发所述施主基站指示移动管理实体发起将所述中继节点去附着的过程。
26.一种无线节点入网系统,其特征在于,包括:施主基站和如权利要求24或25所述的中继节点,
所述施主基站,用于接收所述中继节点发送的所述因特网密钥交换安全关联初始协商请求消息,并向所述中继节点返回所述因特网密钥交换安全关联初始协商响应消息,以交换所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数,所述迪菲-赫尔曼参数用于协商所述中继节点与所述施主基站之间的安全保护联盟;接收所述中继节点发送的所述因特网密钥交换认证请求消息,所述因特网密钥交换认证请求消息中携带请求所述施主基站的证书的信息;并向所述中继节点返回携带所述施主基站的证书的所述因特网密钥交换认证响应消息,所述因特网密钥交换认证响应消息中还携带请求所述中继节点的证书的信息;接收所述中继节点发送的携带所述中继节点的证书的所述因特网密钥交换认证响应消息,并根据所述中继节点的证书对所述中继节点进行认证。
CN201010111422.8A 2010-02-12 2010-02-12 无线节点入网方法、系统及中继节点 Active CN102158860B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201010111422.8A CN102158860B (zh) 2010-02-12 2010-02-12 无线节点入网方法、系统及中继节点
PCT/CN2011/070948 WO2011098048A1 (zh) 2010-02-12 2011-02-12 无线节点入网方法、系统及中继节点

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010111422.8A CN102158860B (zh) 2010-02-12 2010-02-12 无线节点入网方法、系统及中继节点

Publications (2)

Publication Number Publication Date
CN102158860A CN102158860A (zh) 2011-08-17
CN102158860B true CN102158860B (zh) 2014-05-21

Family

ID=44367290

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010111422.8A Active CN102158860B (zh) 2010-02-12 2010-02-12 无线节点入网方法、系统及中继节点

Country Status (2)

Country Link
CN (1) CN102158860B (zh)
WO (1) WO2011098048A1 (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103167492B (zh) 2011-12-15 2016-03-30 华为技术有限公司 在通信系统中生成接入层密钥的方法及其设备
GB201201915D0 (en) * 2012-02-03 2012-03-21 Nec Corp Mobile communications device and system
CN106792788B (zh) * 2015-11-24 2019-08-23 大唐移动通信设备有限公司 一种终端附着方法及基站
US10588019B2 (en) * 2016-05-05 2020-03-10 Qualcomm Incorporated Secure signaling before performing an authentication and key agreement
CN107809411B (zh) * 2016-09-09 2021-12-03 华为技术有限公司 移动网络的认证方法、终端设备、服务器和网络认证实体
CN110167098A (zh) * 2018-02-14 2019-08-23 维沃移动通信有限公司 一种邻居关系的建立方法、无线中继及网络侧节点
CN108712742B (zh) * 2018-03-22 2019-08-27 创新维度科技(北京)有限公司 物联网网络安全优化方法、用户终端和网络侧设备
CN108768661B (zh) * 2018-05-29 2021-02-02 如般量子科技有限公司 一种基于对称密钥池和跨中继的改进型aka身份认证系统和方法
US11523277B2 (en) * 2019-06-14 2022-12-06 Samsung Electronics Co., Ltd. Method of dynamically provisioning a key for authentication in relay device
CN114499913B (zh) * 2020-10-26 2022-12-06 华为技术有限公司 加密报文的检测方法及防护设备
CN115720149A (zh) * 2020-10-26 2023-02-28 华为技术有限公司 加密报文的检测方法及防护设备
CN112887947B (zh) * 2021-01-14 2021-12-03 南通大学 一种双层区块链的蓝牙Mesh分簇组网方法
US20230231712A1 (en) * 2022-01-14 2023-07-20 Micron Technology, Inc. Embedded tls protocol for lightweight devices
CN115348583B (zh) * 2022-10-18 2023-01-03 中国民航信息网络股份有限公司 一种高速移动场景下的通信方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640886A (zh) * 2008-07-29 2010-02-03 上海华为技术有限公司 鉴权方法、重认证方法和通信装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101137340B1 (ko) * 2005-10-18 2012-04-19 엘지전자 주식회사 릴레이 스테이션의 보안 제공 방법
CN101388707B (zh) * 2007-09-13 2012-11-28 中兴通讯股份有限公司 中继站实现网络接入及初始化的方法
CN101640887B (zh) * 2008-07-29 2012-10-03 上海华为技术有限公司 鉴权方法、通信装置和通信系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640886A (zh) * 2008-07-29 2010-02-03 上海华为技术有限公司 鉴权方法、重认证方法和通信装置

Also Published As

Publication number Publication date
WO2011098048A1 (zh) 2011-08-18
CN102158860A (zh) 2011-08-17

Similar Documents

Publication Publication Date Title
CN102158860B (zh) 无线节点入网方法、系统及中继节点
US10849191B2 (en) Unified authentication for heterogeneous networks
JP6174617B2 (ja) 証明書検証およびチャネル結合
US9385862B2 (en) Method and apparatus for binding subscriber authentication and device authentication in communication systems
US10931445B2 (en) Method and system for session key generation with diffie-hellman procedure
US9407616B2 (en) Authenticating a device in a network
CN101931953B (zh) 生成与设备绑定的安全密钥的方法及系统
CN101931955B (zh) 认证方法、装置及系统
EP2854329B1 (en) Method, system, and device for securely establishing wireless local area network
US10218514B2 (en) Remote verification of attributes in a communication network
WO2012031510A1 (zh) 一种实现安全密钥同步绑定的方法及系统
CN101621434A (zh) 无线网状网络系统以及密钥分配的方法
US10897707B2 (en) Methods and apparatus for direct communication key establishment
WO2012174959A1 (zh) 一种机器到机器通信中组认证的方法、系统及网关
KR102119586B1 (ko) 통신 네트워크를 통해 데이터를 릴레이하는 시스템 및 방법
WO2014041806A1 (en) Key management in machine type communication system
CN102223634A (zh) 一种用户终端接入互联网方式的控制方法及装置
US20200403780A1 (en) Secure Communications Using Network Access Identity
CN106162631A (zh) 一种安全通信的方法、装置和系统
KR101431214B1 (ko) 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템
EP2617223B1 (en) Remote verification of attributes in a communication network
WO2017009714A1 (en) Establishing a temporary subscription with isolated e-utran network

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant