CN104168566A - 一种接入网络的方法及装置 - Google Patents
一种接入网络的方法及装置 Download PDFInfo
- Publication number
- CN104168566A CN104168566A CN201410409714.8A CN201410409714A CN104168566A CN 104168566 A CN104168566 A CN 104168566A CN 201410409714 A CN201410409714 A CN 201410409714A CN 104168566 A CN104168566 A CN 104168566A
- Authority
- CN
- China
- Prior art keywords
- base station
- aaa server
- security gateway
- request message
- certificate information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种接入网络的方法及装置,用以解决现有技术中在基站接入网络时,存在安全网关负担重,安全认证成本高的问题。方法为,当AAA服务器接收基站根据认证请求消息生成的认证响应消息后,根据该认证响应消息中携带的接入请求消息判定上述基站为合法基站后,允许该基站接入网络。采用本发明技术方案,在无线通信系统中添加AAA服务器,使用AAA服务器执行基站身份验证相关操作,从而减轻了安全网关的负担,降低了基站身份认证成本。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种接入网络的方法及装置。
背景技术
在无线通信网络中,家庭基站是专为家庭或中小企业等室内环境设计的小型基站,其通过公共IP(Internet Protocol;互联网协议)网络连接到运营商的核心网设备,实现终端与核心网设备之间的信息交互。
与传统的宏站相比,家庭基站可以在实现网络覆盖的同时,实现容量覆盖,从而降低了物业协调、机房建设及租赁费用,有效降低了运营商的投资成本;并且,家庭基站可以支持各种移动终端,降低了对终端的要求,扩大了网络的覆盖和容量;此外,家庭基站还可以作为综合网关支持多种协议,为终端提供多种服务以及智能化的控制。
目前,家庭基站主要通过IP网络中的ADSL(Asymmetric Digital SubscriberLine;非对称数字用户线路)、GPON(Gigabit-Capable Passive Optical Network;吉比特无源光网络)等网络连接到运营商的核心网设备,而ADSL、GPON等网络的安全保证能力较低,从而增加了核心网设备的风险指数。此外,家庭基站部署在相对不安全的家庭环境中,容易受到攻击者的攻击,从而导致接入该家庭基站的终端与网络之间信息交互的安全性较低。基于上述各种问题,家庭基站的安全问题成为各组织及运营商部署家庭基站系统时首要考虑的因素。
在现有的无线通信网络中,通常采用接入认证技术检验家庭基站的合法性,从而提高家庭基站的安全性,保证终端和核心网设备之间交互信息的安全性。常用的家庭基站接入认证方式有身份验证五元组认证(EAP-AKA)及证书认证,上述两种认证方式都是在无线通信系统的安全网关中实现,因此,增加了安全网关的数据处理量,提高了对安全网关的性能要求。
由此可见,现有技术在家庭基站接入网络的过程中,存在安全网关负担重,安全认证成本高的问题。
发明内容
本发明实施例提供一种接入网络的方法及装置,用以解决现有技术中在基站接入网络的过程中,存在安全网关负担重,安全认证成本高的问题。
本发明实施例提供的具体技术方案如下:
一种接入网络的方法,应用于无线通信系统,所述无线通信系统包括基站,安全网关,认证、授权和计费AAA服务器,所述方法包括:
所述AAA服务器接收所述安全网关发送的接入请求消息;其中,所述接入请求消息为所述安全网关根据所述基站发送的EAP请求消息生成;
当所述AAA服务器判定所述接入请求消息中携带的基站标识信息合法时,向安全网关发送认证请求消息,令所述安全网关将所述认证请求消息发送至所述基站,以及通知所述基站接收到所述认证请求消息后,基于所述基站对应的证书信息以及密钥生成认证响应消息;
所述AAA服务器根据所述认证响应消息中携带的基站对应的证书信息以及密钥,验证所述基站对应的证书信息以及密钥是否合法;
当所述AAA服务器验证所述基站对应的证书信息以及所述密钥合法时,允许所述基站接入网络。
一种接入网络的方法,应用于无线通信系统,所述无线通信系统包括基站,安全网关,认证、授权和计费AAA服务器,所述方法包括:
所述基站向所述安全网关发送EAP请求消息,令所述安全网关基于所述EAP请求消息生成接入请求消息发送至所述AAA服务器,以及通知所述AAA服务器验证所述接入请求消息中携带的基站标识信息合法时,生成认证请求消息;
所述基站接收到所述安全网关发送的认证请求消息后,根据所述基站对应的证书信息以及密钥生成认证响应消息,令所述AAA服务器验证所述基站对应的证书信息以及所述密钥是否合法;其中,所述认证请求消息为所述安全网关接收自所述AAA服务器的消息;
当所述基站对应的证书信息以及所述密钥合法时,所述基站通过所述AAA服务器接入网络。
本发明实施例中,提供一种接入网络的装置,应用于无线通信系统,所述无线通信系统还包括基站,安全网关,该装置包括接收单元,发送单元,验证单元,以及接入单元,其中:
接收单元,用于接收所述安全网关发送的接入请求消息;其中,所述接入请求消息为所述安全网关根据所述基站发送的EAP请求消息生成;
发送单元,用于当判定所述接入请求消息中携带的基站标识信息合法时,向安全网关发送认证请求消息,令所述安全网关将所述认证请求消息发送至所述基站,以及通知所述基站接收到所述认证请求消息后,基于所述基站对应的证书信息以及密钥生成认证响应消息;
验证单元,用于根据所述认证响应消息中携带的基站对应的证书信息以及密钥,验证所述基站对应的证书信息以及密钥是否合法;
接入单元,用于当验证所述基站对应的证书信息以及所述密钥合法时,允许所述基站接入网络。
本发明实施例中,提供一种接入网络的装置,应用于无线通信系统,所述无线通信系统还包括安全网关以及AAA服务器,该装置包括发送单元,生成单元,以及接入单元,其中:
发送单元,用于向所述安全网关发送EAP请求消息,令所述安全网关基于所述EAP请求消息生成接入请求消息发送至所述AAA服务器,以及通知所述AAA服务器验证所述接入请求消息中携带的基站标识信息合法时,生成认证请求消息;
生成单元,用于接收到所述安全网关发送的认证请求消息后,根据本装置对应的证书信息以及密钥生成认证响应消息,令所述AAA服务器验证所述本装置对应的证书信息以及所述密钥是否合法;其中,所述认证请求消息为所述安全网关接收自所述AAA服务器的消息;
接入单元,用于当本装置对应的证书信息以及所述密钥合法时,通过所述AAA服务器接入网络。
本发明实施例中,当AAA服务器接收基站根据认证请求消息生成的认证响应消息后,根据该认证响应消息中携带的接入请求消息判定上述基站为合法基站后,允许该基站接入网络。采用本发明技术方案,在无线通信系统中添加AAA服务器,使用AAA服务器执行基站身份验证相关操作,从而减轻了安全网关的负担,降低了基站身份认证成本。
附图说明
图1为本发明实施例中无线通信系统网络架构示意图;
图2为本发明实施例中通过AAA服务器使基站接入网络流程图;
图3为本发明实施例中基站通过AAA服务器接入网络流程图;
图4为本发明实施例中具体应用场景下基站接入网络流程图;
图5为本发明实施例中接入网络的装置结构示意图一;
图6为本发明实施例中接入网络的装置结构示意图二。
具体实施方式
为了解决现有技术中在基站接入网络的过程中,存在安全网关负担重,安全认证成本高的问题。本发明实施例中,当AAA服务器接收基站根据认证请求消息生成的认证响应消息后,根据该认证响应消息中携带的接入请求消息判定上述基站为合法基站后,允许该基站接入网络。采用本发明技术方案,在无线通信系统中添加AAA服务器,使用AAA服务器执行基站身份验证相关操作,从而减轻了安全网关的负担,降低了基站身份认证成本。
参阅图1所示,为本发明实施例中,无线通信系统架构示意图,该无线通信系统包括基站,安全网关,AAA(Authentication,Authorization and Accounting;认证、授权和计费)服务器,以及核心网设备;其中,AAA服务器位于安全网关和核心网设备之间,用于对基站的身份进行认证;AAA服务器与安全网关之间通过传输级别安全性身份验证(EAP-TLS)接口连接,该EAP-TLS接口支持Radius协议。
下面结合附图对本发明优选的实施方式进行详细说明。
参阅图2所示,本发明实施例中,AAA服务器控制基站接入网络的过程为:
步骤200:AAA服务器接收安全网关发送的接入请求消息。
本发明实施例中,当基站需要接入网络时,首先需要建立基站与安全网关之间的互联网密钥交换(IKE_V2)通道,即基站向安全网关发送互联网密钥交换安全联盟(IKE_SA_INIT)请求消息,用于与安全网关进行加密算法,随机数,以及安全网关与基站之间的Diffie-Hellman交互;安全网关从本地保存的密码套件组中选择一个密码套件,生成IKE_SA_INIT响应消息发送至基站,用于完成Diffie-Hellman交互,以及与基站进行随机数RC的交互。该随机数RC用于对IKEA_SA_INIT消息在传输过程进行加密。
可选的,基站在完成上述加密算法协商以及随机数的交互之后,向安全网关发送双向认证过程开始请求消息,开始基站与AAA服务器的双向认证过程,用以建立基站与安全网关之间的IPSEC(InternetProtocolSecurity;Internet协议安全性)通道;安全网关基于该双向认证过程开始请求消息,生成双向认证过程开始响应消息,令基站提供基站标识信息。其中,基站可以将基站标识信息通过设置IDi(Identification Initiator)的负荷加入到EAP请求消息中。
可选的,基站基于基站标识信息生成EAP请求消息,并发送至安全网关;由于AAA服务器接口EAP-TLS所支持的协议与基站所支持的协议不同,因此,当安全网关接收到上述EAP请求消息之后,需要将该EAP请求消息进行协议转换,生成EAP-TLS所支持的协议格式的接入请求消息,发送至AAA服务器,令AAA服务器对上述基站进行鉴权操作。
可选的,在AAA服务器本地保存有其所管辖的每一个基站的基站标识信息。具体的,上述基站标识信息为预先配置在AAA服务器的信息;或者,在运营商系统对应的服务器中为上述基站注册一个该基站对应的账户,并将该账户对应的基站标识信息发送至AAA服务器,AAA服务器对上述账户进行激活,并保存基站标识信息,以及将基站标识信息发送至HMS(Home NodeBManagementSystem;家庭基站网管系统),HMS将该基站与相应的基站标识信息进行绑定,以便基站注册后,HMS能够识别该基站。其中,该基站标识信息包括基站基本信息(基站对应的设备证书信息,由认证中心签发),服务信息(如黑名单,提供的服务等),接入准则(基站所管辖范围等)。
步骤210:当AAA服务器判定上述接入请求消息中携带的基站标识信息合法时,向安全网关发送认证请求消息,令安全网关将上述认证请求消息发送至基站,以及通知基站接收到该认证请求消息后,基于基站对应的证书信息以及密钥生成认证响应消息。
本发明实施例中,AAA服务器判定接入请求消息中携带的基站标识信息合法,具体为:基于上述过程,AAA服务器本地保存有所有基站的基站标识信息,因此,当AAA服务器接收到安全网关发送的接入请求消息时,即从本地获取发送该接入请求消息的基站标识信息,并与本地保存的所有基站的基站标识信息进行逐一匹配;当AAA服务器确定上述接入请求消息中携带的基站标识信息与本地保存的基站标识信息相同时,判定该接入请求消息中携带的基站标识信息合法。当AAA服务器判定上述基站发送的基站标识信息合法时,即表明该基站与安全网关之间的IKE_V2通道建立完成。
可选的,当AAA服务器判定上述接入请求消息中携带的基站标识信息合法之后,AAA服务器向安全网关发送启动认证过程消息,令安全网关将该启动认证过程消息进行协议转换后生成EAP-TLS开始消息,发送至基站,通知该基站接收到该EAP-TLS开始消息后,基于基站本地保存的加密解密算法列表生成启动认证过程响应消息;基站将上述启动认证过程响应消息发送至安全网关,令安全网关将该启动认证过程响应消息进行协议转换后发送至AAA服务器;AAA服务器根据协议转换后的上述启动认证响应消息中携带的加密解密算法列表选择任意一种加密解密算法,并将选定的加密解密算法以及AAA服务器对应的证书信息发送至安全网关,令安全网关将上述选定的加密解密算法以及AAA服务器对应的证书信息发送至基站,通知该基站根据AAA服务器对应的证书信息验证AAA服务器是否合法。
可选的,上述AAA服务器接收到的启动认证过程响应消息中还包含TLS版本号以及基站生成的随机数。其中,TLS版本号用于AAA服务器验证基站对应的版本号AAA服务器是否支持。
可选的,上述AAA服务器根据选定的加密解密算法以及AAA服务器对应的证书信息,生成hello消息;其中,上述AAA服务器对应的证书信息由认证中心签发,是认证中心为AAA服务器签发的服务器名称(AS)和公开密钥(PKAS)之间关联的证书,该hello消息中还包含AAA服务器生成的随机数RS,以及认证中心链。AAA服务器将上述hello消息发送至安全网关后,安全网关对该hello消息进行协议转换后,发送至基站;基站根据该协议转换后的hello消息中携带的认证中心链对AAA服务器提供的证书信息进行验证,以判定服务器对应的证书信息是否合法。
进一步的,当基站确定上述AAA服务器合法后,生成认证响应消息发送至安全网关,安全网关对该认证响应消息进行协议转换后发送至AAA服务器,该认证响应消息中携带基站对应的证书信息以及密钥;其中,该证书信息是认证中心为AAA服务器签发的服务器名称(AS)和公开密钥(PKAS)之间关联的证书,该密钥为一种密文,其根据上述公开密钥和预主密钥(PMK)生成。
进一步的,当基站确定上述AAA服务器不合法后,生成拒绝接入网络消息发送至安全网关,由该安全网关对上述拒绝接入网络消息进行协议转换后发送至AAA服务器,此时,基站接入网络过程将终止。
步骤220:AAA服务器根据上述认证响应消息中携带的基站对应的证书信息以及密钥,验证基站对应的证书信息以及密钥是否合法。
本发明实施例中,AAA服务器接收到基站发送的认证响应消息时,验证上述基站对应的证书信息以及密钥是否合法,具体为:AAA服务器根据上述选定的加密解密算法,对上述认证响应消息中携带的密钥进行解密,获取主密钥;AAA服务器获取本地保存的基站对应的证书信息;当AAA服务器确定上述认证响应消息中携带的基站对应的证书信息与本地保存的基站对应的证书信息相同,且上述主密钥与基站计算的主密钥相同时,确定基站对应的证书信息以及密钥合法;当AAA服务器确定上述认证响应消息中携带的基站对应的证书信息与本地保存的基站对应的证书信息不相同,或者上述主密钥与基站计算的主密钥不相同时,确定基站对应的证书信息以及密钥不合法,此时,生成拒绝基站接入网络消息发送至安全网关,由该安全网关对上述拒绝基站接入网络消息进行协议转换后发送至基站,此时,基站接入网络过程将终止。
可选的,AAA服务器根据上述选定的加密解密算法,对上述认证响应消息中携带的密钥进行解密,获取主密钥,具体为:AAA服务器根据选定的加密解密算法,解密上述认证响应消息中携带的预主密钥,用该预主密钥、基站生成的随机数和上述随机数RS为随机数种子,生成解密后的主密钥。
步骤230:当AAA服务器验证所述基站对应的证书信息以及上述密钥合法时,允许所述基站接入网络。
本发明实施例中,当AAA服务器确定上述认证响应消息中携带的基站对应的证书信息与本地保存的基站对应的证书信息相同,且上述主密钥与基站计算的主密钥相同时,允许基站与核心网设备进行信息交互。
可选的,当AAA服务器允许基站与核心网设进行信息交互时,生成允许接入消息发送至安全网关,由该安全网关对该允许接入消息进行协议转换后,发送至基站。其中,上述允许接入消息中携带上述主密钥,用于基站与核心网设备之间后续交互信息的加密。
可选的,上述AAA服务器将解密出的主密钥生成主密钥验证消息,发送至安全网关,由安全网关对上述主密钥验证消息进行转换后发送至基站;基站核实服务器解密出的主密钥与基站计算的主密钥是否相同,若相同,则生成主密钥响应消息发送至安全网关,由该安全网关对上述主密钥响应消息进行协议转换后发送至AAA服务器;若不相同,则生成拒绝接入网络消息发送至安全网关,由该安全网关对上述拒绝接入网络消息进行协议转换后发送至AAA服务器,此时,基站接入网络过程将终止。
基于上述技术方案,参阅图3所示,本发明实施例中,基站通过AAA服务器接入网络的过程为:
步骤300:基站向安全网关发送EAP请求消息,令安全网关基于该EAP请求消息生成接入请求消息发送至AAA服务器,以及通知AAA服务器验证上述接入请求消息中携带的基站标识信息合法时,生成认证请求消息。
本发明实施例中,基站接收安全网关发送的经过协议转换的启动认证过程消息后,基于加密解密算法列表生成启动认证过程响应消息发送至安全网关,令安全网关将上述启动认证过程响应消息进行协议转换后发送至AAA服务器,并通知AAA服务器从协议转换后的启动认证过程响应消息中携带的加密解密算法列表中选定加密解密算法后,将选定的加密解密算法以及AAA服务器对应的证书信息发送至基站;基站保存上述选定的加密解密算法,并验证AAA服务器对应的证书信息是否合法。
可选的,当基站验证AAA服务器合法时,生成认证响应消息发送至安全网关,该认证响应消息中携带基站对应的证书信息以及密钥;当基站验证AAA服务器不合法时,生成拒绝接入网络消息发送至安全网关,由该安全网关对上述拒绝接入网络消息进行协议转换后发送至AAA服务器,此时,基站接入网络过程将终止。
步骤310:基站接收到安全网关发送的认证请求消息后,根据基站对应的证书信息以及密钥生成认证响应消息,令AAA服务器验证基站对应的证书信息以及密钥是否合法。
本发明实施例中,上述认证请求消息为安全网关接收自AAA服务器的消息。
可选的,根据基站对应的证书信息以及密钥生成认证响应消息,具体为:基站根据本地保存的加密解密算法,对主密钥进行加密,生成密钥;基站根据对应的证书信息以及密钥,生成认证响应消息。
步骤320:当基站对应的证书信息以及密钥合法时,基站通过AAA服务器接入网络。
基于上述技术方案,参阅图4所示,下面结合具体应用场景,详细描述基站接入网络的过程:
步骤401:运营商管理系统对应的服务器在本地创建基站对应的用户,在本地保存基站标识信息。
步骤402:运营商管理系统对应的服务器将基站标识信息发送至AAA服务器。
步骤403:AAA服务器将上述基站标识信息发送至HMS。
步骤404:基站确定本地启动完毕后,向安全网关发送IKE_SA_INIT请求消息。
本发明实施例中,上述IKE_SA_INIT请求消息用于与安全网关进行加密算法,随机数,以及安全网关与基站之间的Diffie-Hellman交互。
步骤405:安全网关从从本地保存的密码套件组中选择一个密码套件,生成IKE_SA_INIT响应消息。
本发明实施例中,IKE_SA_INIT响应消息用于完成Diffie-Hellman交互,以及与基站进行随机数RC的交互。
步骤406:基站向安全网关发送双向认证过程开始请求消息。
步骤407:安全网关基于上述双向认证过程开始请求消息,生成双向认证过程开始响应消息发送至基站。
步骤408:基站接收到上述双向认证过程开始响应消息后,根据本地保存的基站标识信息生成EAP请求消息,发送至安全网关。
步骤409:安全网关对上述EAP请求消息进行协议转换后,生成接入请求消息发送至AAA服务器。
步骤410:AAA服务器验证上述基站标识信息合法后,向安全网关发送启动认证过程消息。
步骤411:安全网关将上述启动认证过程消息进行协议转换后,生成EAP-TLS开始消息发送至基站。
步骤412:基站接收到上述EAP-TLS开始消息后,根据本地保存的加密解密算法列表,生成EAP-TLS开始响应消息发送至安全网关。
步骤413:安全网关将上述EAP-TLS开始响应消息进行协议转换后,生成启动认证过程响应消息发送至AAA服务器。
步骤414:AAA服务器根据上述启动认证过程响应消息中携带的加密解密算法列表选定任意一加密解密算法,以及根据AAA服务器对应的证书信息,生成hello消息发送至安全网关。
步骤415:安全网关将上述hello消息进行协议转换后,生成EAP响应消息发送至基站。
步骤416:基站根据该EAP响应消息,验证AAA服务器合法时,根据基站对应的证书信息以及密钥,生成认证响应消息发送至安全网关。
步骤417:安全网关将上述认证响应消息进行协议转换后发送至AAA服务器。
步骤418:AAA服务器根据上述协议转换后的认证响应消息,验证基站合法后,向安全网关发送允许接入消息。
步骤419:安全网关将上述允许接入消息进行协议转换后,发送至基站。
步骤420:AAA服务器根据上述协议转换后的认证响应消息,验证基站不合法后,向安全网关发送拒绝接入消息。
步骤421:安全网关将上述拒绝接入消息进行协议转换后,发送至基站,通知鉴权失败。
基于上述技术方案,参阅图5所示,本发明实施例中,还提供一种接入网络的装置,应用于无线通信系统,所述无线通信系统还包括基站,安全网关,该装置包括接收单元50,发送单元51,验证单元52,以及接入单元53,其中:
接收单元50,用于接收所述安全网关发送的接入请求消息;其中,所述接入请求消息为所述安全网关根据所述基站发送的EAP请求消息生成;
发送单元51,用于当判定所述接入请求消息中携带的基站标识信息合法时,向安全网关发送认证请求消息,令所述安全网关将所述认证请求消息发送至所述基站,以及通知所述基站接收到所述认证请求消息后,基于所述基站对应的证书信息以及密钥生成认证响应消息;
验证单元52,用于根据所述认证响应消息中携带的基站对应的证书信息以及密钥,验证所述基站对应的证书信息以及密钥是否合法;
接入单元53,用于当验证所述基站对应的证书信息以及所述密钥合法时,允许所述基站接入网络。
其中,上述装置还包括处理单元54,用于:当判定所述接入请求消息中携带的基站标识信息合法之后,向安全网关发送认证请求消息之前,向所述安全网关发送启动认证过程消息,令所述安全网关将所述启动认证过程消息进行协议转换后发送至所述基站,通知所述基站接收到协议转换后的所述启动认证过程消息后,基于加密解密算法列表生成启动认证过程响应消息;根据所述认证响应消息中携带的加密解密算法列表选择任意一种加密解密算法,并根据选定的加密解密算法以及本装置对应的证书信息发送至所述安全网关,令所述安全网关将所述加密解密算法以及本装置对应的证书信息发送至所述基站,通知所述基站根据本装置对应的证书信息验证本装置是否合法。
基于上述技术方案,参阅图6所示,本发明实施例中,还提供一种接入网络的装置,应用于无线通信系统,所述无线通信系统还包括安全网关以及AAA服务器,该装置包括发送单元60,生成单元61,以及接入单元62,其中:
发送单元60,用于向所述安全网关发送EAP请求消息,令所述安全网络基于所述EAP请求消息生成接入请求消息发送至所述AAA服务器,以及通知所述AAA服务器验证所述接入请求消息中携带的基站标识信息合法时,生成认证请求消息;
生成单元61,用于接收到所述安全网关发送的认证请求消息后,根据本装置对应的证书信息以及密钥生成认证响应消息,令所述AAA服务器验证所述本装置对应的证书信息以及所述密钥是否合法;其中,所述认证请求消息为所述安全网关接收自所述AAA服务器的消息;
接入单元62,用于当本装置对应的证书信息以及所述密钥合法时,通过所述AAA服务器接入网络。
其中,上述装置还包括处理单元63,用于:当所述基站标识信息合法之后,接收到所述认证请求消息之前,接收所述安全网关发送经过协议转换的启动认证过程消息后,基于加密解密算法列表生成启动认证过程响应消息发送至所述安全网关,令所述安全网关将所述启动认证过程响应消息进行协议转换后发送至所述AAA服务器,并通知所述AAA服务器从协议转换后的启动认证过程响应消息中携带的加密解密算法列表选定加密解密算法后,将选定的加密解密算法以及AAA服务器对应的证书信息发送至本装置;其中,所述启动认证过程消息为所述安全网关接收自所述AAA服务器的消息;保存所述选定的加密解密算法,并验证所述AAA服务器对应的证书信息是否合法。
综上所述,AAA服务器接收安全网关发送的接入请求消息;当AAA服务器判定上述接入请求消息中携带的基站标识信息合法时,向安全网关发送认证请求消息,令安全网关将上述接入请求消息后发送至基站,以及通知基站接收到该接入请求消息后,基于基站对应的证书信息以及密钥生成认证响应消息;AAA服务器根据上述认证响应消息中携带的基站对应的证书信息以及密钥,验证基站对应的证书信息以及密钥是否合法;当AAA服务器验证所述基站对应的证书信息以及上述密钥合法时,允许所述基站接入网络。采用本发明技术方案,在无线通信系统中添加AAA服务器,使用AAA服务器执行基站身份验证相关操作,从而减轻了安全网关的负担,降低了基站身份认证成本。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种接入网络的方法,应用于无线通信系统,其特征在于,所述无线通信系统包括基站,安全网关,认证、授权和计费AAA服务器,所述方法包括:
所述AAA服务器接收所述安全网关发送的接入请求消息;其中,所述接入请求消息为所述安全网关根据所述基站发送的身份验证EAP请求消息生成;
当所述AAA服务器判定所述接入请求消息中携带的基站标识信息合法时,向安全网关发送认证请求消息,令所述安全网关将所述认证请求消息发送至所述基站,以及通知所述基站接收到所述认证请求消息后,基于所述基站对应的证书信息以及密钥生成认证响应消息;
所述AAA服务器根据所述认证响应消息中携带的基站对应的证书信息以及密钥,验证所述基站对应的证书信息以及密钥是否合法;
当所述AAA服务器验证所述基站对应的证书信息以及所述密钥合法时,允许所述基站接入网络。
2.如权利要求1所述的方法,其特征在于,所述AAA服务器判定所述接入请求消息中携带的基站标识信息合法,具体包括:
所述AAA服务器获取本地保存的所有基站标识信息;
所述AAA服务器将所述接入请求消息中携带的基站标识信息与本地保存的所有基站标识信息逐一进行匹配,当确定本地保存的所有基站标识信息中包含所述接入请求消息中携带的基站标识信息时,判定所述接入请求消息中携带的基站标识信息合法。
3.如权利要求1或2所述的方法,其特征在于,当所述AAA服务器判定所述接入请求消息中携带的基站标识信息合法之后,向安全网关发送认证请求消息之前,进一步包括:
所述AAA服务器向所述安全网关发送启动认证过程消息,令所述安全网关将所述启动认证过程消息进行协议转换后发送至所述基站,通知所述基站在接收到协议转换后的所述启动认证过程消息之后,基于所述基站本地保存的加密解密算法列表生成启动认证过程响应消息;
所述AAA服务器根据所述启动认证响应消息中携带的加密解密算法列表选择任意一种加密解密算法,并将选定的加密解密算法以及所述AAA服务器对应的证书信息发送至所述安全网关,令所述安全网关将所述选定的加密解密算法以及所述AAA服务器对应的证书信息发送至所述基站,通知所述基站根据所述AAA服务器对应的证书信息验证所述AAA服务器是否合法。
4.如权利要求3所述的方法,其特征在于,所述AAA服务器根据所述认证响应消息中携带的基站对应的证书信息以及密钥,验证所述基站对应的证书信息以及密钥是否合法,具体包括:
所述AAA服务器根据所述选定的加密解密算法,对所述认证响应消息中携带的密钥进行解密,获取主密钥;
所述AAA服务器获取本地保存的所述基站对应的证书信息;
当所述AAA服务器确定所述认证响应消息中携带的所述基站对应的证书信息与本地保存的所述基站对应的证书信息相同,且所述主密钥与所述基站计算的主密钥相同时,确定所述基站对应的证书信息以及密钥合法;
当所述AAA服务器确定所述认证响应消息中携带的所述基站对应的证书信息与本地保存的所述基站对应的证书信息不相同,或者所述主密钥与所述基站计算的主密钥不相同时,确定所述基站对应的证书信息以及密钥不合法。
5.一种接入网络的方法,应用于无线通信系统,其特征在于,所述无线通信系统包括基站,安全网关,认证、授权和计费AAA服务器,所述方法包括:
所述基站向所述安全网关发送身份验证EAP请求消息,令所述安全网关基于所述EAP请求消息生成接入请求消息发送至所述AAA服务器,以及通知所述AAA服务器验证所述接入请求消息中携带的基站标识信息合法时,生成认证请求消息;
所述基站接收到所述安全网关发送的认证请求消息后,根据所述基站对应的证书信息以及密钥生成认证响应消息,令所述AAA服务器验证所述基站对应的证书信息以及所述密钥是否合法;其中,所述认证请求消息为所述安全网关接收自所述AAA服务器的消息;
当所述基站对应的证书信息以及所述密钥合法时,所述基站通过所述AAA服务器接入网络。
6.如权利要求5所述的方法,其特征在于,当所述基站标识信息合法之后,所述基站接收到所述认证请求消息之前,进一步包括:
所述基站接收所述安全网关发送的经过协议转换的启动认证过程消息后,基于本地保存的加密解密算法列表生成启动认证过程响应消息发送至所述安全网关,令所述安全网关将所述启动认证过程响应消息进行协议转换后发送至所述AAA服务器,并通知所述AAA服务器从协议转换后的启动认证过程响应消息中携带的加密解密算法列表中选定加密解密算法后,将选定的加密解密算法以及AAA服务器对应的证书信息发送至所述基站;其中,所述启动认证过程消息为所述安全网关接收自所述AAA服务器的消息;
所述基站保存所述选定的加密解密算法,并验证所述AAA服务器对应的证书信息是否合法。
7.如权利要求6所述的方法,其特征在于,所述基站根据所述基站对应的证书信息以及密钥生成认证响应消息,具体包括:
所述基站根据本地保存的加密解密算法,对所述主密钥进行加密,生成密钥;
所述基站根据所述基站对应的证书信息以及所述密钥,生成认证响应消息。
8.一种接入网络的装置,应用于无线通信系统,其特征在于,所述无线通信系统还包括基站,安全网关,所述装置包括:
接收单元,用于接收所述安全网关发送的接入请求消息;其中,所述接入请求消息为所述安全网关根据所述基站发送的身份验证EAP请求消息生成;
发送单元,用于当判定所述接入请求消息中携带的基站标识信息合法时,向安全网关发送认证请求消息,令所述安全网关将所述认证请求消息发送至所述基站,以及通知所述基站接收到所述认证请求消息后,基于所述基站对应的证书信息以及密钥生成认证响应消息;
验证单元,用于根据所述认证响应消息中携带的基站对应的证书信息以及密钥,验证所述基站对应的证书信息以及密钥是否合法;
接入单元,用于当验证所述基站对应的证书信息以及所述密钥合法时,允许所述基站接入网络。
9.如权利要求8所述的装置,其特征在于,所述发送单元,具体用于:
获取本地保存的所有基站标识信息;将所述接入请求消息中携带的基站标识信息与本地保存的所有基站标识信息逐一进行匹配,当确定本地保存的所有基站标识信息中包含所述接入请求消息中携带的基站标识信息时,判定所述接入请求消息中携带的基站标识信息合法。
10.如权利要求8或9所述的装置,其特征在于,还包括处理单元,用于:
当判定所述接入请求消息中携带的基站标识信息合法之后,向安全网关发送认证请求消息之前,向所述安全网关发送启动认证过程消息,令所述安全网关将所述启动认证过程消息进行协议转换后发送至所述基站,通知所述基站在接收到协议转换后的所述启动认证过程消息之后,基于所述基站本地保存的加密解密算法列表生成启动认证过程响应消息;根据所述启动认证响应消息中携带的加密解密算法列表选择任意一种加密解密算法,并将选定的加密解密算法以及本装置对应的证书信息发送至所述安全网关,令所述安全网关将所述选定的加密解密算法以及本装置对应的证书信息发送至所述基站,通知所述基站根据本装置对应的证书信息验证本装置是否合法。
11.如权利要求10所述的装置,其特征在于,所述验证单元,具体用于:
根据所述选定的加密解密算法,对所述认证响应消息中携带的密钥进行解密,获取主密钥;获取本地保存的所述基站对应的证书信息;当确定所述认证响应消息中携带的所述基站对应的证书信息与本地保存的所述基站对应的证书信息相同,且所述主密钥与所述基站计算的主密钥相同时,确定所述基站对应的证书信息以及密钥合法;当确定所述认证响应消息中携带的所述基站对应的证书信息与本地保存的所述基站对应的证书信息不相同,或者所述主密钥与所述基站计算的主密钥不相同时,确定所述基站对应的证书信息以及密钥不合法。
12.一种接入网络的装置,应用于无线通信系统,其特征在于,所述无线通信系统包括还包括安全网关,认证、授权和计费AAA服务器,所述装置包括:
发送单元,用于向所述安全网关发送身份验证EAP请求消息,令所述安全网络基于所述EAP请求消息生成接入请求消息发送至所述AAA服务器,以及通知所述AAA服务器验证所述接入请求消息中携带的基站标识信息合法时,生成认证请求消息;
生成单元,用于接收到所述安全网关发送的认证请求消息后,根据本装置对应的证书信息以及密钥生成认证响应消息,令所述AAA服务器验证所述本装置对应的证书信息以及所述密钥是否合法;其中,所述认证请求消息为所述安全网关接收自所述AAA服务器的消息;
接入单元,用于当本装置对应的证书信息以及所述密钥合法时,通过所述AAA服务器接入网络。
13.如权利要求12所述的装置,其特征在于,还包括处理单元,用于:
当所述基站标识信息合法之后,接收到所述认证请求消息之前,接收所述安全网关发送的经过协议转换的启动认证过程消息后,基于本地保存的加密解密算法列表生成启动认证过程响应消息发送至所述安全网关,令所述安全网关将所述启动认证过程响应消息进行协议转换后发送至所述AAA服务器,并通知所述AAA服务器从协议转换后的启动认证过程响应消息中携带的加密解密算法列表中选定加密解密算法后,将选定的加密解密算法以及AAA服务器对应的证书信息发送至本装置;其中,所述启动认证过程消息为所述安全网关接收自所述AAA服务器的消息;保存所述选定的加密解密算法,并验证所述AAA服务器对应的证书信息是否合法。
14.如权利要求13所述的装置,其特征在于,所述生成单元,具体用于:
根据本地保存的加密解密算法,对所述主密钥进行加密,生成密钥;根据本装置对应的证书信息以及所述密钥,生成认证响应消息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410409714.8A CN104168566B (zh) | 2014-08-19 | 2014-08-19 | 一种接入网络的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410409714.8A CN104168566B (zh) | 2014-08-19 | 2014-08-19 | 一种接入网络的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104168566A true CN104168566A (zh) | 2014-11-26 |
CN104168566B CN104168566B (zh) | 2018-11-06 |
Family
ID=51912158
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410409714.8A Active CN104168566B (zh) | 2014-08-19 | 2014-08-19 | 一种接入网络的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104168566B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104918214A (zh) * | 2015-04-16 | 2015-09-16 | 南京工业大学 | 一种位置服务中隐私保护量化分析方法 |
CN105959303A (zh) * | 2016-03-23 | 2016-09-21 | 四川长虹电器股份有限公司 | 一种信息安全系统和信息安全方法 |
CN107667554A (zh) * | 2015-06-05 | 2018-02-06 | 高通股份有限公司 | 分散式配置器实体 |
CN116321158A (zh) * | 2021-12-20 | 2023-06-23 | 诺基亚技术有限公司 | 基于证书的本地ue认证 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008271140A (ja) * | 2007-04-19 | 2008-11-06 | Nec Corp | 移動体通信網と公衆網間でのハンドオーバー方法および通信システム |
CN101442402A (zh) * | 2007-11-20 | 2009-05-27 | 华为技术有限公司 | 认证接入点设备的方法、系统和装置 |
CN101990218A (zh) * | 2009-08-05 | 2011-03-23 | 中兴通讯股份有限公司 | 用于家用基站的接入方法、装置、系统及aaa服务器 |
CN102843678A (zh) * | 2011-06-21 | 2012-12-26 | 中兴通讯股份有限公司 | 接入控制方法、装置、接口及安全网关 |
-
2014
- 2014-08-19 CN CN201410409714.8A patent/CN104168566B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008271140A (ja) * | 2007-04-19 | 2008-11-06 | Nec Corp | 移動体通信網と公衆網間でのハンドオーバー方法および通信システム |
CN101442402A (zh) * | 2007-11-20 | 2009-05-27 | 华为技术有限公司 | 认证接入点设备的方法、系统和装置 |
CN101990218A (zh) * | 2009-08-05 | 2011-03-23 | 中兴通讯股份有限公司 | 用于家用基站的接入方法、装置、系统及aaa服务器 |
CN102843678A (zh) * | 2011-06-21 | 2012-12-26 | 中兴通讯股份有限公司 | 接入控制方法、装置、接口及安全网关 |
Non-Patent Citations (1)
Title |
---|
ALCATEL-LUCENT等: "《3GPP TSG RAN WG3 Meeting #75bis R3-120758 》", 30 March 2012 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104918214A (zh) * | 2015-04-16 | 2015-09-16 | 南京工业大学 | 一种位置服务中隐私保护量化分析方法 |
CN104918214B (zh) * | 2015-04-16 | 2018-05-25 | 南京工业大学 | 一种位置服务中隐私保护量化分析方法 |
CN107667554A (zh) * | 2015-06-05 | 2018-02-06 | 高通股份有限公司 | 分散式配置器实体 |
CN105959303A (zh) * | 2016-03-23 | 2016-09-21 | 四川长虹电器股份有限公司 | 一种信息安全系统和信息安全方法 |
CN105959303B (zh) * | 2016-03-23 | 2019-03-12 | 四川长虹电器股份有限公司 | 一种信息安全系统和信息安全方法 |
CN116321158A (zh) * | 2021-12-20 | 2023-06-23 | 诺基亚技术有限公司 | 基于证书的本地ue认证 |
Also Published As
Publication number | Publication date |
---|---|
CN104168566B (zh) | 2018-11-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3657835B1 (en) | Access method of user equipment, user equipment and computer-readable storage medium | |
CN101500229B (zh) | 建立安全关联的方法和通信网络系统 | |
CN102215487B (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
JP6732095B2 (ja) | 異種ネットワークのための統一認証 | |
KR101648158B1 (ko) | 동시적 재인증 및 접속 셋업을 이용하는 무선 통신 | |
RU2708951C2 (ru) | Способ и устройство для связывания аутентификации абонента и аутентификации устройства в системах связи | |
US8249553B2 (en) | System and method for securing a base station using SIM cards | |
EP3057351B1 (en) | Access method, system, and device of terminal, and computer storage medium | |
CN100550725C (zh) | 一种用户与应用服务器协商共享密钥的方法 | |
CN101500230B (zh) | 建立安全关联的方法和通信网络 | |
EP2296392A1 (en) | Authentication method, re-certification method and communication device | |
CN101442402B (zh) | 认证接入点设备的方法、系统和装置 | |
CN101552986B (zh) | 一种流媒体业务的接入认证方法及系统 | |
CN101562814A (zh) | 一种第三代网络的接入方法及系统 | |
WO2009065347A1 (fr) | Procédé, système et appareil de communication de sécurité pour une station de base domestique | |
CN104125567B (zh) | 家庭基站接入网络侧的鉴权方法、装置及家庭基站 | |
WO2009152749A1 (zh) | 一种绑定认证的方法、系统和装置 | |
CN110192381A (zh) | 密钥的传输方法及设备 | |
CN104168566A (zh) | 一种接入网络的方法及装置 | |
WO2019007476A1 (en) | SECURE COMMUNICATIONS USING NETWORK ACCESS IDENTITY | |
KR101509079B1 (ko) | 스마트카드 및 동적 id 기반 전기 자동차 사용자 인증 기법 | |
CN103096317A (zh) | 一种基于共享加密数据的双向鉴权方法及系统 | |
CN105828330A (zh) | 一种接入方法及装置 | |
WO2012068801A1 (zh) | 移动终端的认证方法及移动终端 | |
CN106487940B (zh) | 家庭基站及ip配置的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: 510663 No. 10 Shenzhou Road, Science City, Luogang District, Guangzhou City, Guangdong Province Patentee after: Jingxin Network System Co.,Ltd. Address before: 510663 No. 10 Shenzhou Road, Science City, Luogang District, Guangzhou City, Guangdong Province Patentee before: Comba Telecom System (China) Ltd. |