一种加入接入节点组的方法及设备
技术领域
本发明涉及无线通信技术领域,特别涉及一种加入接入节点组的方法及设备。
背景技术
在未来的网络中,传统的大功率宏基站与大量部署的低功率小基站组成了UDN(Ultra Dense Network,超密集组网),这是解决未来无线移动通信数据速率需求问题的一种很有前景的选择。
在UDN场景中,海量的AP(Access Point,接入节点)的数量甚至可能与用户具有相当的密度。为更好的提升用户体验,提出一种UUDN(User-centricUltra Dense Network,以用户为中心的超密集组网)方案。在UUDN场景中,将组织动态变化的APG(Access PointsGroup,接入节点组),跟随用户的移动无感知地为用户提供服务,即UDN/UUDN场景中每一个用户设备对应的一个APG。
现有网络中,各个NE(Network Entity,网络实体)是由运营商规划部署的,位置相对固定,一旦部署实施后,AP加入或离开一个APG的需求较低。但在UDN/UUDN场景中接入网物理安全环境复杂且差异巨大,海量的AP靠近用户侧进行部署,并且每一个用户设备对应一个动态变化的APG。随着用户设备的移动,该用户设备对应的APG成员也不断发生变化。由于为用户设备提供服务的APG成员的动态性,并且一个AP可能归属于多个APG,为了避免非法AP假冒一个合法APG中的AP实施安全攻击的情况,在UDN/UUDN场景中如何使AP安全的接入用户设备对应的APG成为亟待解决的问题。
综上所述,目前针对UDN/UUDN场景,还没有一种AP加入APG的方法。
发明内容
本发明提供一种加入接入节点组的方法及设备,用以解决现有技术中在UDN/UUDN场景中,接入节点无法安全地接入APG的问题。
第一方面,本发明实施例提供的一种加入接入节点组的方法,包括:
接入节点在确定需要加入接入节点组后,与本地服务中心进行网络层双向鉴权;
所述接入节点在接收到所述本地服务中心发送的网络配置消息后,根据所述网络配置消息中的配置信息进行网络配置;其中所述网络配置消息是所述本地服务中心在确定网络层双向鉴权通过后发送的。
可选的,所述接入节点与本地服务中心进行网络层双向鉴权,包括:
所述接入节点根据所述本地服务中心发送的接入节点组对应的节点组标识和网络层鉴权参数,对网络侧进行鉴权;
所述接入节点在对网络侧鉴权通过后向所述本地服务中心返回包含所述节点组标识的网络层鉴权响应消息,以使所述本地服务中心根据所述网络层鉴权响应消息对所述接入节点进行鉴权。
可选的,所述接入节点根据所述本地服务中心发送的接入节点组对应的节点组标识和网络层鉴权参数,对网络侧进行鉴权,包括:
所述接入节点根据所述网络层鉴权参数中的随机数确定第二鉴权标记;
若所述第二鉴权标记与所述网络层鉴权参数中的第一鉴权标记相同,则所述接入节点确定对网络侧鉴权通过。
可选的,所述接入节点在鉴权通过后向所述本地服务中心返回包含所述节点组标识的网络层鉴权响应消息,包括:
所述接入节点在对网络侧鉴权通过后,根据所述网络层鉴权参数中的随机数确定鉴权响应参数;
所述接入节点向所述本地服务中心返回包含所述节点组标识和所述鉴权响应参数的网络层鉴权响应消息,以使所述本地服务中心根据所述节点组标识和所述鉴权响应参数对所述接入节点进行鉴权。
可选的,所述接入节点确定需要加入接入节点组,包括:
所述接入节点在满足加入条件后,确定需要加入接入节点组;
其中,所述加入条件包括下列中的部分或全部:
检测到覆盖范围内新的用户设备;
接收到所述本地服务中心发送的接入指示消息。
可选的,所述加入条件包括检测到覆盖范围内新的用户设备;
所述接入节点确定需要加入接入节点所述接入节点之后,与本地服务中心进行网络层双向鉴权之前,还包括:
所述接入节点向所述本地服务中心发送加入请求消息,以使所述本地服务中心根据所述加入请求消息从网络服务中心获取所述接入节点对应的网络层鉴权参数;
所述接入节点接收包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息。
可选的,所述接入指示消息包含所述接入节点组对应的节点组标识和网络层鉴权参数;其中,所述网络层鉴权参数是所述本地服务中心从网络服务中心获取的。
可选的,该方法还包括:
所述接入节点在确定需要离开接入节点组后,向所述本地服务中心上报离开所述接入节点组;
所述接入节点确定需要离开用户设备对应的接入节点组,包括:
所述接入节点在覆盖范围内无法检测到目标用户设备后,确定需要离开接入节点组;其中,所述目标用户设备为之前在所述接入节点覆盖范围内能够检测到的用户设备;和/或
所述接入节点在需要关机时,确定需要离开接入节点组。
可选的,所述接入节点与本地服务中心进行网络层双向鉴权之后,还包括:
所述接入节点接收所述本地服务中心发送的第一密钥和第二密钥;
所述接入节点根据所述第一密钥,确定出用于与所述用户设备进行加密通信的通信密钥;以及根据所述第二密钥,确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
第二方面、一种加入接入节点组的方法包括:
本地服务中心在确定接入节点需要加入接入节点组后,与所述接入节点进行网络层双向鉴权;
所述本地服务中心在确定网络层双向鉴权通过后,向所述接入节点发送网络配置消息,以使所述接入节点根据所述网络配置消息中的配置信息进行配置。
可选的,所述本地服务中心与所述接入节点进行网络层双向鉴权,包括:
所述本地服务中心根据所述接入节点组对应的节点组标识和网络层鉴权参数,与所述接入节点进行网络层双向鉴权;
其中,所述网络层鉴权参数是所述本地服务中心从网络服务中心获取的。
可选的,所述本地服务中心根据网络层鉴权参数,以及所述接入节点组对应的节点组标识,与所述接入节点进行网络层双向鉴权,包括:
所述本地服务中心向所述接入节点发送所述接入节点组对应的节点组标识和所述网络层鉴权参数,以使所述接入节点根据所述节点组标识和所述网络层鉴权参数对网络侧进行鉴权;
若所述本地服务中心接收到所述接入节点返回的包含所述节点组标识的网络层鉴权响应消息,则根据所述网络层鉴权响应消息,对所述接入节点进行鉴权。
可选的,所述本地服务中心根据所述网络层鉴权响应消息,对所述接入节点进行鉴权,包括:
若所述网络层鉴权响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,所述本地服务中心确定对所述接入节点鉴权通过。
可选的,所述本地服务中心确定接入节点需要加入接入节点组,包括:
所述本地服务中心接收到所述接入节点发送的加入请求消息后,确定所述接入节点需要加入接入节点组;和/或
所述本地服务中心根据调度信息,确定所述接入节点需要加入接入节点组。
可选的,若所述本地服务中心接收到所述接入节点发送的加入请求消息后,确定所述接入节点需要加入接入节点组,则向所述接入节点发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息,以使所述接入节点根据所述网络层鉴权请求消息对网络侧进行鉴权;
若所述本地服务中心根据调度信息,确定所述接入节点需要加入接入节点组,则向所述接入节点组发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的接入指示消息,以使所述接入节点根据所述接入指示消息对网络侧进行鉴权。
可选的,所述网络层鉴权参数中包括临时密钥;
所述本地服务中心确定网络层双向鉴权通过之后,还包括:
所述本地服务中心根据所述临时密钥确定所述接入节点对应的第一密钥和第二密钥,并将所述第一密钥和所述第二密钥发送给所述接入节点,以使所述接入节点根据所述第一密钥确定出用于与所述用户设备进行加密通信的通信密钥,以及根据所述第二密钥确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
可选的,所述本地服务中心根据所述临时密钥确定所述接入节点对应的相对于所述接入节点组中其他接入节点的第一密钥和第二密钥,包括:
所述本地服务中心根据所述临时密钥和所述节点组标识确定出所述接入节点组对应的中间密钥;
所述本地服务中心根据所述中间密钥,以及所述节点组标识,确定出所述接入节点对应的第一密钥和第二密钥。
可选的,所述本地服务中心向所述接入节点发送网络配置消息之后,还包括:
所述本地服务中心接收到所述接入节点上报的离开用户设备对应的接入节点组后,确定所述接入节点离开所述用户设备对应的接入节点组,并删除所述临时密钥、所述中间密钥、所述第一密钥和所述第二密钥。
第三方面、一种接入节点,包括:
第一鉴权模块,用于在确定需要加入接入节点组后,与本地服务中心进行网络层双向鉴权;
配置模块,用于在接收到所述本地服务中心发送的网络配置消息后,根据所述网络配置消息中的配置信息进行网络配置;其中所述网络配置消息是所述本地服务中心在确定网络层双向鉴权通过后发送的。
可选的,所述第一鉴权模块,具体用于:
根据所述本地服务中心发送的接入节点组对应的节点组标识和网络层鉴权参数,对网络侧进行鉴权;在对网络侧鉴权通过后向所述本地服务中心返回包含所述节点组标识的网络层鉴权响应消息,以使所述本地服务中心根据所述网络层鉴权响应消息对所述接入节点进行鉴权。
可选的,所述第一鉴权模块,具体用于:
根据所述网络层鉴权参数中的随机数确定第二鉴权标记;若所述第二鉴权标记与所述网络层鉴权参数中的第一鉴权标记相同,则确定对网络侧鉴权通过。
可选的,所述第一鉴权模块,具体用于:
在对网络侧鉴权通过后,根据所述网络层鉴权参数中的随机数确定鉴权响应参数;向所述本地服务中心返回包含所述节点组标识和所述鉴权响应参数的网络层鉴权响应消息,以使所述本地服务中心根据所述节点组标识和所述鉴权响应参数对所述接入节点进行鉴权。
可选的,所述第一鉴权模块,具体用于:
所述接入节点在满足加入条件后,确定需要加入接入节点组;
其中,所述加入条件包括下列中的部分或全部:
检测到覆盖范围内新的用户设备;
接收到所述本地服务中心发送的接入指示消息。
可选的,所述加入条件包括检测到覆盖范围内新的用户设备;
所述第一鉴权模块,还用于:
确定需要加入接入节点所述接入节点之后,与本地服务中心进行网络层双向鉴权之前,向所述本地服务中心发送加入请求消息,以使所述本地服务中心根据所述加入请求消息从网络服务中心获取所述接入节点对应的网络层鉴权参数;接收包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息。
可选的,所述接入指示消息包含所述接入节点组对应的节点组标识和网络层鉴权参数;其中,所述网络层鉴权参数是所述本地服务中心从网络服务中心获取的。
可选的,所述第一鉴权模块,还用于:
在确定需要离开接入节点组后,向所述本地服务中心上报离开所述接入节点组;
所述第一鉴权模块,具体用于:
在覆盖范围内无法检测到目标用户设备后,确定需要离开接入节点组;其中,所述目标用户设备为之前在所述接入节点覆盖范围内能够检测到的用户设备;和/或
在需要关机时,确定需要离开接入节点组。
可选的,所述第一鉴权模块,还用于:
与本地服务中心进行网络层双向鉴权之后,接收所述本地服务中心发送的第一密钥和第二密钥;根据所述第一密钥,确定出用于与所述用户设备进行加密通信的通信密钥;以及根据所述第二密钥,确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
第四方面、一种本地服务中心,包括:
第二鉴权模块,用于在确定接入节点需要加入接入节点组后,与所述接入节点进行网络层双向鉴权;
发送模块,用于在确定网络层双向鉴权通过后,向所述接入节点发送网络配置消息,以使所述接入节点根据所述网络配置消息中的配置信息进行配置。
可选的,所述第二鉴权模块,具体用于:
根据所述接入节点组对应的节点组标识和网络层鉴权参数,与所述接入节点进行网络层双向鉴权;其中,所述网络层鉴权参数是所述本地服务中心从网络服务中心获取的。
可选的,所述第二鉴权模块,具体用于:
向所述接入节点发送所述接入节点组对应的节点组标识和所述网络层鉴权参数,以使所述接入节点根据所述节点组标识和所述网络层鉴权参数对网络侧进行鉴权;若接收到所述接入节点返回的包含所述节点组标识的网络层鉴权响应消息,则根据所述网络层鉴权响应消息,对所述接入节点进行鉴权。
可选的,所述第二鉴权模块,具体用于:
若所述网络层鉴权响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,确定对所述接入节点鉴权通过。
可选的,所述第二鉴权模块,具体用于:
接收到所述接入节点发送的加入请求消息后,确定所述接入节点需要加入接入节点组;和/或
根据调度信息,确定所述接入节点需要加入接入节点组。
可选的,所述第二鉴权模块,具体用于:
若接收到所述接入节点发送的加入请求消息后,确定所述接入节点需要加入接入节点组,则向所述接入节点发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息,以使所述接入节点根据所述网络层鉴权请求消息对网络侧进行鉴权;
若根据调度信息,确定所述接入节点需要加入接入节点组,则向所述接入节点组发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的接入指示消息,以使所述接入节点根据所述接入指示消息对网络侧进行鉴权。
可选的,所述网络层鉴权参数中包括临时密钥;
所述第二鉴权模块,还用于:
确定网络层双向鉴权通过之后,根据所述临时密钥确定所述接入节点对应的第一密钥和第二密钥,并将所述第一密钥和所述第二密钥发送给所述接入节点,以使所述接入节点根据所述第一密钥确定出用于与所述用户设备进行加密通信的通信密钥,以及根据所述第二密钥确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
可选的,所述第二鉴权模块,具体用于:
根据所述临时密钥和所述节点组标识确定出所述接入节点组对应的中间密钥;根据所述中间密钥,以及所述节点组标识,确定出所述接入节点对应的第一密钥和第二密钥。
可选的,所述发送模块,还用于:
向所述接入节点发送网络配置消息之后,接收到所述接入节点上报的离开用户设备对应的接入节点组后,确定所述接入节点离开所述用户设备对应的接入节点组,并删除所述临时密钥、所述中间密钥、所述第一密钥和所述第二密钥。
本发明实施例接入节点在需要加入接入节点组时,接入节点需要通过与本地服务中心的双向网络层鉴权,在网络层双向鉴权通过后,接入节点能够接入对应的接入节点组,从而在实现用户设备对应的接入节点组跟随所述用户设备移动的同时,保证接入节点安全地加入接入节点组。
附图说明
图1为本发明实施例超密集组网结构示意图;
图2为本发明实施例加入接入节点组的系统结构示意图;
图3为本发明实施例加入接入节点组方法的整体流程图一;
图4为本发明实施例加入接入节点组方法的整体流程图二;
图5为本发明实施例密钥推演的流程图;
图6为本发明实施例第一种接入节点的结构示意图;
图7为本发明实施例第一种本地服务中心的结构示意图;
图8为本发明实施例第二种接入节点的结构示意图;
图9为本发明实施例第二种本地服务中心的结构示意图;
图10为本发明实施例接入节点侧加入接入节点组的方法流程图;
图11为本发明实施例本地服务中心辅助接入节点加入接入节点组的方法流程图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
首先对本发明实施例提供的技术方案的实施环境进行说明。
图1为超密集组网结构示意图,如图所示,网络结构中主要包括:NSC(NetworkService Center,网络服务中心)、LSC(Local Service Center,本地服务中心)、若干个UE(User Equipment,用户设备)、为UE提供服务的若干个APG;其中,每个APG中包括若干个AP,同一个AP可以位于不同的APG中;每个APG对应一个节点组标识ID,每个APG对应一个UE。APG中的AP与UE通过无线连接,各AP与LSC之间通过有线连接,LSC与NSC之间通过IP网络相连。
在下面的说明过程中,先从网络侧和用户设备侧的配合实施进行说明,最后分别从网络侧与用户设备侧的实施进行说明,但这并不意味着二者必须配合实施,实际上,当网络侧与用户设备侧分开实施时,也解决了分别在网络侧、用户设备侧所存在的问题,只是二者结合使用时,会获得更好的技术效果。
如图2所示,本发明实施例加入接入节点组的系统,包括:接入节点10、本地服务中心20。
接入节点10、用于在确定需要加入接入节点组后,与本地服务中心进行网络层双向鉴权;在接收到所述本地服务中心发送的网络配置消息后,根据所述网络配置消息中的配置信息进行网络配置;其中所述网络配置消息是所述本地服务中心在确定网络层双向鉴权通过后发送的。
本地服务中心20、用于在确定接入节点需要加入接入节点组后,与所述接入节点进行网络层双向鉴权;在确定网络层双向鉴权通过后,向所述接入节点发送网络配置消息,以使所述接入节点根据所述网络配置消息中的配置信息进行配置。
本发明实施例接入节点在需要加入接入节点组时,接入节点需要通过与本地服务中心的双向网络层鉴权,在网络层双向鉴权通过后,接入节点能够接入对应的接入节点组,从而在实现用户设备对应的接入节点组跟随所述用户设备移动的同时,保证接入节点安全地加入接入节点组。
本发明实施例包括两部分内容:一、接入节点加入接入节点组的过程;二、接入节点离开接入节点组的过程。下面分别进行说明。
一、接入节点加入接入节点组的过程。
接入节点在满足加入条件后,确定需要加入接入节点组;
其中,所述加入条件包括下列中的部分或全部:
检测到覆盖范围内新的用户设备;
接收到所述本地服务中心发送的接入指示消息。
下面针对不同的加入条件分情况进行说明。
情况一、加入条件为接入节点检测到覆盖范围内新的用户设备。
接入节点周期性检测其覆盖范围内的用户设备并获取用户设备的用户信息。
接入节点在确定检测到新的用户设备后,向所述本地服务中心发送加入请求消息;
本地服务中心接收到所述接入节点发送的加入请求消息后,确定所述接入节点需要加入接入节点组。
其中,接入节点向本地服务中心发送的加入请求消息中包含该新的用户设备的标识信息,以使本地服务中心根据标识信息与接入节点组的绑定关系,确定接入节点需要加入的接入节点组。
可选的,所述接入节点向所述本地服务中心发送加入请求消息,以使所述本地服务中心根据所述加入请求消息从网络服务中心获取所述接入节点对应的网络层鉴权参数。
具体的,本地服务中心向网络服务中心发送请求鉴权参数消息,并且该请求鉴权参数消息中的包含接入节点检测到的新的用户设备的标识信息。
网络服务中心接收到本地服务中心发送的请求鉴权参数消息,根据请求鉴权参数消息中的包含的用户设备的标识信息,生成该用户设备对应的网络层鉴权参数,也即接入节点对应的网络层鉴权参数。
网络层鉴权参数包括:RAND(随机数)、XRES(期望响应参数)、AUTN(鉴权标记)、KLSC(临时密钥);
其中,KLSC是根据网络服务中心存储的该用户设备对应的根密钥k,以及网络层鉴权参数中的RAND确定的;并且,KLSC的作用是使本地服务中心根据该KLSC推演接入节点与用户设备进行通信时的通信密钥,以及推演该接入节点与该节点组中其他节点进行通信时的通信密钥。
网络服务中心将生成该接入节点对应的网络层鉴权参数发送给本地服务中心,本地服务中心在本地保存接收到的该接入节点对应的网络层鉴权参数。
下面详细说明接入节点与本地服务中心的网络层双向鉴权过程。
本地服务中心向所述接入节点发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息。
其中,网络层鉴权请求消息中包含的节点组标识APG_ID,以及网络层鉴权参数包括RAND、AUTN。
节点组标识APG_ID可以作为一个单独的参数添加在网络层鉴权请求消息中;或者,将节点组标识APG_ID与网络层鉴权参数中某个参数进行异或隐藏添加在网络层鉴权请求消息中,例如将APG_ID与AUTN进行异或隐藏。
相应地,若采用将节点组标识APG_ID与网络层鉴权参数中某个参数进行异或隐藏添加在网络层鉴权请求消息中进行传递的方式,接入节点在接收到网络层鉴权请求消息后,会从网络层鉴权参数中将节点组标识APG_ID解析出来。
本地服务中心根据所述接入节点组对应的节点组标识和网络层鉴权参数,与所述接入节点进行网络层双向鉴权。
其中,本地服务中心与接入节点之间的网络层双向鉴权包括:接入节点对本地服务中心进行网络侧鉴权、本地服务中心对接入节点进行鉴权。
1、接入节点对本地服务中心进行网络侧鉴权。
所述接入节点根据所述本地服务中心发送的接入节点组对应的节点组标识和网络层鉴权参数,对网络侧进行鉴权;
具体的,所述接入节点根据所述网络层鉴权参数中的随机数确定第二鉴权标记;若所述第二鉴权标记与所述网络层鉴权参数中的第一鉴权标记相同,则所述接入节点确定对网络侧鉴权通过。
即,接入节点根据网络层鉴权请求消息中的RAND确定AUTN,若接入节点确定的AUTN与网络层鉴权请求消息中的AUTN相同,则接入节点确定对网络侧鉴权通过。
接入节点在鉴权通过后向所述本地服务中心返回包含所述节点组标识的网络层鉴权响应消息,以使所述本地服务中心根据所述网络层鉴权响应消息对所述接入节点进行鉴权。
具体的,所述接入节点在鉴权通过后,根据所述网络层鉴权参数中的随机数确定鉴权响应参数;所述接入节点向所述本地服务中心返回包含所述节点组标识和所述鉴权响应参数的网络层鉴权响应消息,以使所述本地服务中心根据所述节点组标识和所述鉴权响应参数对所述接入节点进行鉴权。
即,接入节点在对网络侧鉴权通过后,根据网络层鉴权参数中的RAND,确定RES(鉴权响应参数),向所述本地服务中心返回包含APG_ID和RES的网络层鉴权响应消息。
节点组标识APG_ID可以作为一个单独的参数添加在网络层鉴权响应消息中;或者,将节点组标识APG_ID与鉴权响应参数进行异或隐藏添加在网络层鉴权响应消息中,例如将APG_ID与RES进行异或隐藏。
相应地,若采用将节点组标识APG_ID与鉴权响应参数进行异或隐藏添加在网络层鉴权响应消息中进行传递的方式,本地服务中心在接收到网络层鉴权响应消息后,会从鉴权响应参数中将节点组标识APG_ID解析出来。
2、本地服务中心对接入节点进行鉴权。
本地服务中心接收到所述接入节点返回的包含所述节点组标识的网络层鉴权响应消息,则根据所述网络层鉴权响应消息,对所述接入节点进行鉴权。
若所述网络层鉴权响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,所述本地服务中心确定对所述接入节点鉴权通过。
具体的,本地服务中心判断网络层鉴权响应消息中的RES,与网络层鉴权参数中的XRES是否相同,若相同,则确定对接入节点鉴权通过。
如图3所示的加入接入节点组的方法。
步骤301、接入节点检测到覆盖范围内新的用户设备。
步骤302、所述接入节点向所述本地服务中心发送加入请求消息。
其中,该加入请求消息中包含检测到的新的用户设备的标识信息。
步骤303、本地服务中心确定所述接入节点需要加入的接入节点组。
步骤304、本地服务中心向网络服务中心发送请求鉴权参数消息;
其中,该请求鉴权参数消息中的包含接入节点检测到的新的用户设备的标识信息;
步骤305、网络服务中心根据请求鉴权参数消息中的包含的用户设备的标识信息,生成接入节点对应的网络层鉴权参数;
步骤306、网络服务中心向本地服务中心返回接入节点对应的网络层鉴权参数;
步骤307、本地服务中心接收并保存从网络服务中心获取的接入节点对应的网络层鉴权参数;
步骤308、本地服务中心向所述接入节点发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息。
步骤309、接入节点根据网络层鉴权请求消息中的RAND确定AUTN。
步骤310、若确定的AUTN与网络层鉴权请求消息中的AUTN相同,接入节点确定对网络侧进行鉴权通过。
步骤311、接入节点根据网络层鉴权请求消息中的RAND确定RES。
步骤312、接入节点向所述本地服务中心返回包含所述节点组标识和RES的网络层鉴权响应消息。
步骤313、本地服务中心在确定网络层鉴权响应消息中的RES与网络层鉴权参数中的XRES相同,确定对接入节点鉴权通过。
步骤314、本地服务中心向接入节点发送的网络配置消息;
步骤315、接入节点根据所述网络配置消息中的配置信息进行网络配置。
情况二、加入条件为接入节点接收到本地服务中心发送的接入指示消息。
本地服务中心根据调度信息,确定所述接入节点需要加入接入节点组。
其中,该调度信息中包含该接入节点需要加入的接入节点组标识APG_ID。
并且,该调度信息为运营商根据实际需要通知给本地服务中心的,用于指示本地服务中心需要将接入节点加入到指定的接入节点组。
例如,运营商在确定用户设备A需要同时与大量其他用户设备进行通信时,为了保证用户设备A的通信正常,与用户设备A对应的APG中需要大量接入节点为用户设备A提供通信服务。假设此时用户设备A对应的APG中包含AP1、AP2、AP3、AP4,运营商向本地服务中心发送调度信息,指示本地服务中心将AP5和AP6加入到用户设备A对应的APG中。
接入节点加入接入节点组之前,该接入节点需要与本地服务中心进行网络层双向鉴权。
在接入节点本地服务中心进行网络层双向鉴权之前,本地服务中心向所述接入节点组发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的接入指示消息,以使所述接入节点根据所述接入指示消息对网络侧进行鉴权。
其中,网络层鉴权参数为本地服务中心从网络服务中心获取的。
本地服务中心采用下列方式从网络服务中心获取网络层鉴权参数:
具体的,本地服务中心在根据调度信息确定接入节点需要加入的接入节点组后,根据用户设备与接入节点组的绑定关系,确定接入节点组绑定的用户设备的标识信息;
本地服务中心向网络服务中心发送请求鉴权参数消息,并且该请求鉴权参数消息中的包含接入节点检测到的新的用户设备的标识信息。
网络服务中心接收到本地服务中心发送的请求鉴权参数消息,根据请求鉴权参数消息中的包含的用户设备的标识信息,生成该用户设备对应的网络层鉴权参数,也即接入节点对应的网络层鉴权参数。
网络层鉴权参数包括:RAND(随机数)、XRES(期望响应参数)、AUTN(鉴权标记)、KLSC(临时密钥);
其中,KLSC是根据网络服务中心存储的该用户设备对应的根密钥k,以及网络层鉴权参数中的RAND确定的;并且,KLSC的作用是使本地服务中心根据该KLSC推演接入节点与用户设备进行通信时的通信密钥,以及推演该接入节点与该节点组中其他节点进行通信时的通信密钥。
网络服务中心将生成该接入节点对应的网络层鉴权参数发送给本地服务中心,本地服务中心在本地保存接收到的该接入节点对应的网络层鉴权参数。
下面详细说明接入节点与本地服务中心的网络层双向鉴权过程。
本地服务中心向所述接入节点组发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的接入指示消息。
其中,接入指示消息中包含的节点组标识APG_ID,以及网络层鉴权参数包括RAND、AUTN。
节点组标识APG_ID可以作为一个单独的参数添加在接入指示消息中;或者,将节点组标识APG_ID与网络层鉴权参数中某个参数进行异或隐藏添加在接入指示消息中,例如将APG_ID与AUTN进行异或隐藏。
相应地,若采用将节点组标识APG_ID与网络层鉴权参数中某个参数进行异或隐藏添加在接入指示消息中进行传递的方式,接入节点在接收到接入指示消息后,会从网络层鉴权参数中将节点组标识APG_ID解析出来。
本地服务中心根据所述接入节点组对应的节点组标识和网络层鉴权参数,与所述接入节点进行网络层双向鉴权。
其中,本地服务中心与接入节点之间的网络层双向鉴权包括:接入节点对本地服务中心进行网络侧鉴权、本地服务中心对接入节点进行鉴权。
1、接入节点对本地服务中心进行网络侧鉴权。
所述接入节点根据所述本地服务中心发送的接入节点组对应的节点组标识和网络层鉴权参数,对网络侧进行鉴权;
具体的,所述接入节点根据所述网络层鉴权参数中的随机数确定第二鉴权标记;若所述第二鉴权标记与所述网络层鉴权参数中的第一鉴权标记相同,则所述接入节点确定对网络侧鉴权通过。
即,接入节点根据网络层鉴权请求消息中的RAND确定AUTN,若接入节点确定的AUTN与网络层鉴权请求消息中的AUTN相同,则接入节点确定对网络侧鉴权通过。
接入节点在鉴权通过后向所述本地服务中心返回包含所述节点组标识的网络层鉴权响应消息,以使所述本地服务中心根据所述网络层鉴权响应消息对所述接入节点进行鉴权。
具体的,所述接入节点在鉴权通过后,根据所述网络层鉴权参数中的随机数确定鉴权响应参数;所述接入节点向所述本地服务中心返回包含所述节点组标识和所述鉴权响应参数的网络层鉴权响应消息,以使所述本地服务中心根据所述节点组标识和所述鉴权响应参数对所述接入节点进行鉴权。
即,接入节点在对网络侧鉴权通过后,根据网络层鉴权参数中的RAND,确定RES(鉴权响应参数),向所述本地服务中心返回包含APG_ID和RES的网络层鉴权响应消息。
节点组标识APG_ID可以作为一个单独的参数添加在网络层鉴权响应消息中;或者,将节点组标识APG_ID与鉴权响应参数进行异或隐藏添加在网络层鉴权响应消息中,例如将APG_ID与RES进行异或隐藏。
相应地,若采用将节点组标识APG_ID与鉴权响应参数进行异或隐藏添加在网络层鉴权响应消息中进行传递的方式,本地服务中心在接收到网络层鉴权响应消息后,会从鉴权响应参数中将节点组标识APG_ID解析出来。
2、本地服务中心对接入节点进行鉴权。
本地服务中心接收到所述接入节点返回的包含所述节点组标识的网络层鉴权响应消息,则根据所述网络层鉴权响应消息,对所述接入节点进行鉴权。
若所述网络层鉴权响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,所述本地服务中心确定对所述接入节点鉴权通过。
具体的,本地服务中心判断网络层鉴权响应消息中的RES,与网络层鉴权参数中的XRES是否相同,若相同,则确定对接入节点鉴权通过。
如图4所示的接入节点加入接入节点组的方法流程图。
步骤401、本地服务中心接收调度信息,并确定接入节点需要加入接入节点组;
步骤402、本地服务中心向网络服务中心发送请求鉴权参数消息;
其中,该请求鉴权参数消息中的包含接入节点组对应的用户设备的标识信息;
步骤403、网络服务中心根据请求鉴权参数消息中的包含的用户设备的标识信息,生成接入节点对应的网络层鉴权参数;
步骤404、网络服务中心向本地服务中心返回接入节点对应的网络层鉴权参数;
步骤405、本地服务中心接收并保存从网络服务中心获取的接入节点对应的网络层鉴权参数;
步骤406、本地服务中心向所述接入节点发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息。
步骤407、接入节点根据网络层鉴权请求消息中的RAND确定AUTN。
步骤408、若确定的AUTN与网络层鉴权请求消息中的AUTN相同,接入节点确定对网络侧进行鉴权通过。
步骤409、接入节点根据网络层鉴权请求消息中的RAND确定RES。
步骤410、接入节点向所述本地服务中心返回包含所述节点组标识和RES的网络层鉴权响应消息。
步骤411、本地服务中心在确定网络层鉴权响应消息中的RES与网络层鉴权参数中的XRES相同,确定对接入节点鉴权通过。
步骤412、本地服务中心向接入节点发送的网络配置消息;
步骤413、接入节点所述网络配置消息中的配置信息进行网络配置。
需要说明的是,本发明实施例的本地服务中心中包括每一个用户设备对应的接入节点组的索引列表,该索引列表中包含接入节点组的所有成员。在本地服务中心确定接入节点加入节点组后,将该接入节点添加至该节点组对应的索引列表中。
二、接入节点离开接入节点组的过程。
接入节点在确定需要离开接入节点组后,向所述本地服务中心上报离开所述接入节点组。
其中,接入节点根据下列方式确定需要离开用户设备对应的接入节点组:
接入节点在覆盖范围内无法检测到目标用户设备后,确定需要离开接入节点组;其中,所述目标用户设备为之前在所述接入节点覆盖范围内能够检测到的用户设备;和/或
所述接入节点在需要关机时,确定需要离开接入节点组。
其中,接入节点向本地服务中心发送离开节点组消息;该离开节点组消息中包含该接入节点离开的接入节点组的节点组标识。
可选的,本发明实施例的本地服务中心在接收到接入节点上报的离开节点组消息后,向该接入节点发送状态查询消息;
若本地服务中心在设定时长内接入节点没有收到接入节点的反馈,则确定接入节点已经离开节点组标识对应的接入节点组。
需要说明的是,在本地服务中心确定接入节点离开节点组后,将该接入节点从该节点组对应的索引列表中删除。
本发明实施例在接入节点加入接入节点组后,还提供了密钥协商的方法。
具体的,本地服务中心从网络服务中心获取的网络鉴权参数中还包括临时密钥KLSC。
其中,KLSC是根据网络服务中心存储的该用户设备对应的根密钥k,以及网络层鉴权参数中的RAND确定的。
由于用户设备对应的根密钥只保存在用户设备侧和网络服务中心中,为了保证根密钥的安全性,网络服务中心并不直接将根密钥发送给本地服务中心。
可选的,所述本地服务中心根据所述临时密钥确定所述接入节点对应的第一密钥和第二密钥,并将所述第一密钥和所述第二密钥发送给所述接入节点,以使所述接入节点根据所述第一密钥确定出用于与所述用户设备进行加密通信的通信密钥,以及根据所述第二密钥确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
具体的,所述本地服务中心根据所述临时密钥和所述节点组标识确定出所述接入节点组对应的中间密钥;所述本地服务中心根据所述中间密钥,以及所述节点组标识,确定出所述接入节点对应的第一密钥和第二密钥。
相应的,所述接入节点接收所述本地服务中心发送的第一密钥和第二密钥;所述接入节点根据所述第一密钥,确定出用于与所述用户设备进行加密通信的通信密钥;以及根据所述第二密钥,确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
为了保证密钥的安全性,在接入节点离开接入节点组后,本地服务中心删除所述接入节点对应的临时密钥、所述中间密钥、所述第一密钥和所述第二密钥。
下面结合图5,具体说明密钥推演的过程。
1、网络服务中心根据根密钥,确定临时密钥KLSC;并将临时密钥KLSC发送给本地服务中心。
2、本地服务中心根据临时密钥KLSC,能够推演得到eNB(evolved Node B,演进型基站)或HeNB(Home evolved Node B,家庭基站)对应的KeNB;以及临时密钥KLSC和节点组标识,推演得到接入节点组对应的KAPG(中间密钥)。
3、本地服务中心将KeNB发送给对应的eNB/HeNB;eNB/HeNB根据KeNB推演出用于与用户设备进行加密通信的通信密钥;
eNB/HeNB根据KeNB推演出的与用户设备进行加密通信的通信密钥包括:
KUPint(用户面数据完整性保护密钥)、KUPenc(用户面数据加密密钥)、KRRCint(无线链路完整性保护密钥)、KRRCenc(无线链路加密密钥)。
4、本地服务中心根据所述中间密钥KAPG,以及所述节点组标识APG_ID,确定出所述接入节点对应的第一密钥KAPG-i和第二密钥KAPG-g。
5、本地服务中心将第一密钥KAPG-i和第二密钥KAPG-g发送给接入节点;接入节点根据第一密钥KAPG-i推演出与用户设备进行加密通信的通信密钥;接入节点根据第二密钥KAPG-g推演出与接入节点组中其他接入节点进行加密通信的通信密钥;
接入节点根据第一密钥KAPG-i推演出的与用户设备进行加密通信的通信密钥包括:
KUPint(用户面数据完整性保护密钥)、KUPenc(用户面数据加密密钥)、KRRCint(无线链路完整性保护密钥)、KRRCenc(无线链路加密密钥);
接入节点根据第二密钥KAPG-g,推演出与接入节点组中其他接入节点间进行加密通信的通信密钥包括:
KAPUPenc(用户面数据加密密钥)、KAPxint(无线链路完整性保护密钥)、KAPxenc(无线链路加密密钥)。
需要说明的是,本发明实施例密钥推演的方法同时兼容了现有4G网络架构中密钥推演方法,实用性更强。
如图6所示,本发明实施例一种接入节点包括:
第一鉴权模块601,用于在确定需要加入接入节点组后,与本地服务中心进行网络层双向鉴权;
配置模块602,用于在接收到所述本地服务中心发送的网络配置消息后,根据所述网络配置消息中的配置信息进行网络配置;其中所述网络配置消息是所述本地服务中心在确定网络层双向鉴权通过后发送的。
可选的,所述第一鉴权模块601,具体用于:
根据所述本地服务中心发送的接入节点组对应的节点组标识和网络层鉴权参数,对网络侧进行鉴权;在对网络侧鉴权通过后向所述本地服务中心返回包含所述节点组标识的网络层鉴权响应消息,以使所述本地服务中心根据所述网络层鉴权响应消息对所述接入节点进行鉴权。
可选的,所述第一鉴权模块601,具体用于:
根据所述网络层鉴权参数中的随机数确定第二鉴权标记;若所述第二鉴权标记与所述网络层鉴权参数中的第一鉴权标记相同,则确定对网络侧鉴权通过。
可选的,所述第一鉴权模块601,具体用于:
在对网络侧鉴权通过后,根据所述网络层鉴权参数中的随机数确定鉴权响应参数;向所述本地服务中心返回包含所述节点组标识和所述鉴权响应参数的网络层鉴权响应消息,以使所述本地服务中心根据所述节点组标识和所述鉴权响应参数对所述接入节点进行鉴权。
可选的,所述第一鉴权模块601,具体用于:
所述接入节点在满足加入条件后,确定需要加入接入节点组;
其中,所述加入条件包括下列中的部分或全部:
检测到覆盖范围内新的用户设备;
接收到所述本地服务中心发送的接入指示消息。
可选的,所述加入条件包括检测到覆盖范围内新的用户设备;
所述第一鉴权模块601,还用于:
确定需要加入接入节点所述接入节点之后,与本地服务中心进行网络层双向鉴权之前,向所述本地服务中心发送加入请求消息,以使所述本地服务中心根据所述加入请求消息从网络服务中心获取所述接入节点对应的网络层鉴权参数;接收包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息。
可选的,所述接入指示消息包含所述接入节点组对应的节点组标识和网络层鉴权参数;其中,所述网络层鉴权参数是所述本地服务中心从网络服务中心获取的。
可选的,所述第一鉴权模块601,还用于:
在确定需要离开接入节点组后,向所述本地服务中心上报离开所述接入节点组;
所述第一鉴权模块601,具体用于:
在覆盖范围内无法检测到目标用户设备后,确定需要离开接入节点组;其中,所述目标用户设备为之前在所述接入节点覆盖范围内能够检测到的用户设备;和/或
在需要关机时,确定需要离开接入节点组。
可选的,所述第一鉴权模块601,还用于:
与本地服务中心进行网络层双向鉴权之后,接收所述本地服务中心发送的第一密钥和第二密钥;根据所述第一密钥,确定出用于与所述用户设备进行加密通信的通信密钥;以及根据所述第二密钥,确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
如图7所示,本发明实施例一种本地服务中心包括:
第二鉴权模块701,用于在确定接入节点需要加入接入节点组后,与所述接入节点进行网络层双向鉴权;
发送模块702,用于在确定网络层双向鉴权通过后,向所述接入节点发送网络配置消息,以使所述接入节点根据所述网络配置消息中的配置信息进行配置。
可选的,所述第二鉴权模块701,具体用于:
根据所述接入节点组对应的节点组标识和网络层鉴权参数,与所述接入节点进行网络层双向鉴权;其中,所述网络层鉴权参数是所述本地服务中心从网络服务中心获取的。
可选的,所述第二鉴权模块701,具体用于:
向所述接入节点发送所述接入节点组对应的节点组标识和所述网络层鉴权参数,以使所述接入节点根据所述节点组标识和所述网络层鉴权参数对网络侧进行鉴权;若接收到所述接入节点返回的包含所述节点组标识的网络层鉴权响应消息,则根据所述网络层鉴权响应消息,对所述接入节点进行鉴权。
可选的,所述第二鉴权模块701,具体用于:
若所述网络层鉴权响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,确定对所述接入节点鉴权通过。
可选的,所述第二鉴权模块701,具体用于:
接收到所述接入节点发送的加入请求消息后,确定所述接入节点需要加入接入节点组;和/或
根据调度信息,确定所述接入节点需要加入接入节点组。
可选的,所述第二鉴权模块701,具体用于:
若接收到所述接入节点发送的加入请求消息后,确定所述接入节点需要加入接入节点组,则向所述接入节点发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息,以使所述接入节点根据所述网络层鉴权请求消息对网络侧进行鉴权;
若根据调度信息,确定所述接入节点需要加入接入节点组,则向所述接入节点组发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的接入指示消息,以使所述接入节点根据所述接入指示消息对网络侧进行鉴权。
可选的,所述网络层鉴权参数中包括临时密钥;
所述第二鉴权模块701,还用于:
确定网络层双向鉴权通过之后,根据所述临时密钥确定所述接入节点对应的第一密钥和第二密钥,并将所述第一密钥和所述第二密钥发送给所述接入节点,以使所述接入节点根据所述第一密钥确定出用于与所述用户设备进行加密通信的通信密钥,以及根据所述第二密钥确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
可选的,所述第二鉴权模块701,具体用于:
根据所述临时密钥和所述节点组标识确定出所述接入节点组对应的中间密钥;根据所述中间密钥,以及所述节点组标识,确定出所述接入节点对应的第一密钥和第二密钥。
可选的,所述发送模块702,还用于:
向所述接入节点发送网络配置消息之后,接收到所述接入节点上报的离开用户设备对应的接入节点组后,确定所述接入节点离开所述用户设备对应的接入节点组,并删除所述临时密钥、所述中间密钥、所述第一密钥和所述第二密钥。
如图8所示,本发明实施例第二种接入节点包括:
处理器801,用于读取存储器804中的程序,执行下列过程:
在确定需要加入接入节点组后,与本地服务中心进行网络层双向鉴权;在通过收发机802接收到所述本地服务中心发送的网络配置消息后,根据所述网络配置消息中的配置信息进行网络配置;其中所述网络配置消息是所述本地服务中心在确定网络层双向鉴权通过后发送的。
收发机802,用于在处理器801的控制下接收和发送数据。
可选的,处理器801,具体用于:
根据所述本地服务中心发送的接入节点组对应的节点组标识和网络层鉴权参数,对网络侧进行鉴权;在对网络侧鉴权通过后,通过收发机802向所述本地服务中心返回包含所述节点组标识的网络层鉴权响应消息,以使所述本地服务中心根据所述网络层鉴权响应消息对所述接入节点进行鉴权。
可选的,处理器801,具体用于:
根据所述网络层鉴权参数中的随机数确定第二鉴权标记;若所述第二鉴权标记与所述网络层鉴权参数中的第一鉴权标记相同,则确定对网络侧鉴权通过。
可选的,处理器801,具体用于:
在对网络侧鉴权通过后,根据所述网络层鉴权参数中的随机数确定鉴权响应参数;通过收发机802向所述本地服务中心返回包含所述节点组标识和所述鉴权响应参数的网络层鉴权响应消息,以使所述本地服务中心根据所述节点组标识和所述鉴权响应参数对所述接入节点进行鉴权。
可选的,处理器801,具体用于:
所述接入节点在满足加入条件后,确定需要加入接入节点组;
其中,所述加入条件包括下列中的部分或全部:
检测到覆盖范围内新的用户设备;
通过收发机802接收到所述本地服务中心发送的接入指示消息。
可选的,所述加入条件包括检测到覆盖范围内新的用户设备;
处理器801,还用于:
确定需要加入接入节点所述接入节点之后,与本地服务中心进行网络层双向鉴权之前,通过收发机802向所述本地服务中心发送加入请求消息,以使所述本地服务中心根据所述加入请求消息从网络服务中心获取所述接入节点对应的网络层鉴权参数;通过收发机802接收包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息。
可选的,所述接入指示消息包含所述接入节点组对应的节点组标识和网络层鉴权参数;其中,所述网络层鉴权参数是所述本地服务中心从网络服务中心获取的。
可选的,处理器801,还用于:
在确定需要离开接入节点组后,通过收发机802向所述本地服务中心上报离开所述接入节点组;
处理器801,具体用于:
在覆盖范围内无法检测到目标用户设备后,确定需要离开接入节点组;其中,所述目标用户设备为之前在所述接入节点覆盖范围内能够检测到的用户设备;和/或
在需要关机时,确定需要离开接入节点组。
可选的,处理器801,还用于:
与本地服务中心进行网络层双向鉴权之后,通过收发机802接收所述本地服务中心发送的第一密钥和第二密钥;根据所述第一密钥,确定出用于与所述用户设备进行加密通信的通信密钥;以及根据所述第二密钥,确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
在实施中,处理器801和本地服务中心、用户设备之间的交互都是通过收发机802实现的,在此不再分别进行描述。
在实施中,处理器801和用户设备之间的交互是通过收发机802实现的,处理器801和本地服务中心之间的交互也可以通过收发机802实现。收发机802有至少两套传输方式,其中一套是与用户设备进行交互使用的方式,比如可以是无线方式;另一套是与本地服务中心进行交互使用的方式,比如无线方式、有线方式等。
其中,本地服务中心和接入节点之间可以通过有线、无线等方式连接。接入节点和用户设备之间通过无线方式连接。
在图8中,总线架构(用总线800来代表),总线800可以包括任意数量的互联的总线和桥,总线800将包括由处理器801代表的一个或多个处理器和存储器804代表的存储器的各种电路链接在一起。总线800还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口803在总线800和收发机802之间提供接口。收发机802可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器801处理的数据通过天线805在无线介质上进行传输,进一步,天线805还接收数据并将数据传送给处理器801。
处理器801负责管理总线800和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器804可以被用于存储处理器801在执行操作时所使用的数据。
可选的,处理器801可以是CPU、ASIC、FPGA或CPLD。
如图9所示,本发明实施例第二种本地服务中心包括:
处理器901,用于读取存储器904中的程序,执行下列过程:
在确定接入节点需要加入接入节点组后,与所述接入节点进行网络层双向鉴权;在确定网络层双向鉴权通过后,通过收发机902向所述接入节点发送网络配置消息,以使所述接入节点根据所述网络配置消息中的配置信息进行配置。
收发机902,用于在处理器901的控制下接收和发送数据。
可选的,处理器901,具体用于:
根据所述接入节点组对应的节点组标识和网络层鉴权参数,与所述接入节点进行网络层双向鉴权;其中,所述网络层鉴权参数是所述本地服务中心从网络服务中心获取的。
可选的,处理器901,具体用于:
通过收发机902向所述接入节点发送所述接入节点组对应的节点组标识和所述网络层鉴权参数,以使所述接入节点根据所述节点组标识和所述网络层鉴权参数对网络侧进行鉴权;若通过收发机902接收到所述接入节点返回的包含所述节点组标识的网络层鉴权响应消息,则根据所述网络层鉴权响应消息,对所述接入节点进行鉴权。
可选的,处理器901,具体用于:
若所述网络层鉴权响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,确定对所述接入节点鉴权通过。
可选的,处理器901,具体用于:
通过收发机902接收到所述接入节点发送的加入请求消息后,确定所述接入节点需要加入接入节点组;和/或
根据调度信息,确定所述接入节点需要加入接入节点组。
可选的,处理器901,具体用于:
若通过收发机902接收到所述接入节点发送的加入请求消息后,确定所述接入节点需要加入接入节点组,则通过收发机902向所述接入节点发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息,以使所述接入节点根据所述网络层鉴权请求消息对网络侧进行鉴权;
若根据调度信息,确定所述接入节点需要加入接入节点组,则通过收发机902向所述接入节点组发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的接入指示消息,以使所述接入节点根据所述接入指示消息对网络侧进行鉴权。
可选的,所述网络层鉴权参数中包括临时密钥;
处理器901,还用于:
确定网络层双向鉴权通过之后,根据所述临时密钥确定所述接入节点对应的第一密钥和第二密钥,并将所述第一密钥和所述第二密钥发送给所述接入节点,以使所述接入节点根据所述第一密钥确定出用于与所述用户设备进行加密通信的通信密钥,以及根据所述第二密钥确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
可选的,处理器901,具体用于:
根据所述临时密钥和所述节点组标识确定出所述接入节点组对应的中间密钥;根据所述中间密钥,以及所述节点组标识,确定出所述接入节点对应的第一密钥和第二密钥。
可选的,所述发送模块702,还用于:
通过收发机902向所述接入节点发送网络配置消息之后,接收到所述接入节点上报的离开用户设备对应的接入节点组后,确定所述接入节点离开所述用户设备对应的接入节点组,并删除所述临时密钥、所述中间密钥、所述第一密钥和所述第二密钥。
在实施中,处理器901和用户设备之间的交互是通过收发机902和接入节点实现的,即处理器901通过收发机902将需要发送给用户设备的信息发送给接入节点,由接入节点发送给用户设备;接入节点在收到来自用户设备的需要发送给本地服务中心的信息后,将该信息发送给本地服务中心,处理器901通过收发机902接收该信息。
其中,本地服务中心和接入节点之间可以通过有线、无线等方式连接。
在图9中,总线架构(用总线900来代表),总线900可以包括任意数量的互联的总线和桥,总线900将包括由处理器901代表的一个或多个处理器和存储器904代表的存储器的各种电路链接在一起。总线900还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口903在总线900和收发机902之间提供接口。收发机902可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器901处理的数据通过天线905在无线介质上进行传输,进一步,天线905还接收数据并将数据传送给处理器901。
处理器901负责管理总线900和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器904可以被用于存储处理器901在执行操作时所使用的数据。
可选的,处理器901可以是CPU、ASIC、FPGA或CPLD。
基于同一发明构思,本发明实施例中还提供了一种加入接入节点组的方法,由于该方法对应的设备是本发明实施例加入接入节点组的系统中的接入节点,并且该方法解决问题的原理与该设备相似,因此该方法的实施可以参见设备的实施,重复之处不再赘述。
如图10所示,本发明实施例加入接入节点组的方法包括:
步骤1001、接入节点在确定需要加入接入节点组后,与本地服务中心进行网络层双向鉴权;
步骤1002、所述接入节点在接收到所述本地服务中心发送的网络配置消息后,根据所述网络配置消息中的配置信息进行网络配置;其中所述网络配置消息是所述本地服务中心在确定网络层双向鉴权通过后发送的。
可选的,所述接入节点与本地服务中心进行网络层双向鉴权,包括:
所述接入节点根据所述本地服务中心发送的接入节点组对应的节点组标识和网络层鉴权参数,对网络侧进行鉴权;
所述接入节点在对网络侧鉴权通过后向所述本地服务中心返回包含所述节点组标识的网络层鉴权响应消息,以使所述本地服务中心根据所述网络层鉴权响应消息对所述接入节点进行鉴权。
可选的,所述接入节点根据所述本地服务中心发送的接入节点组对应的节点组标识和网络层鉴权参数,对网络侧进行鉴权,包括:
所述接入节点根据所述网络层鉴权参数中的随机数确定第二鉴权标记;
若所述第二鉴权标记与所述网络层鉴权参数中的第一鉴权标记相同,则所述接入节点确定对网络侧鉴权通过。
可选的,所述接入节点在鉴权通过后向所述本地服务中心返回包含所述节点组标识的网络层鉴权响应消息,包括:
所述接入节点在对网络侧鉴权通过后,根据所述网络层鉴权参数中的随机数确定鉴权响应参数;
所述接入节点向所述本地服务中心返回包含所述节点组标识和所述鉴权响应参数的网络层鉴权响应消息,以使所述本地服务中心根据所述节点组标识和所述鉴权响应参数对所述接入节点进行鉴权。
可选的,所述接入节点确定需要加入接入节点组,包括:
所述接入节点在满足加入条件后,确定需要加入接入节点组;
其中,所述加入条件包括下列中的部分或全部:
检测到覆盖范围内新的用户设备;
接收到所述本地服务中心发送的接入指示消息。
可选的,所述加入条件包括检测到覆盖范围内新的用户设备;
所述接入节点确定需要加入接入节点所述接入节点之后,与本地服务中心进行网络层双向鉴权之前,还包括:
所述接入节点向所述本地服务中心发送加入请求消息,以使所述本地服务中心根据所述加入请求消息从网络服务中心获取所述接入节点对应的网络层鉴权参数;
所述接入节点接收包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息。
可选的,所述接入指示消息包含所述接入节点组对应的节点组标识和网络层鉴权参数;其中,所述网络层鉴权参数是所述本地服务中心从网络服务中心获取的。
可选的,该方法还包括:
所述接入节点在确定需要离开接入节点组后,向所述本地服务中心上报离开所述接入节点组;
所述接入节点确定需要离开用户设备对应的接入节点组,包括:
所述接入节点在覆盖范围内无法检测到目标用户设备后,确定需要离开接入节点组;其中,所述目标用户设备为之前在所述接入节点覆盖范围内能够检测到的用户设备;和/或
所述接入节点在需要关机时,确定需要离开接入节点组。
可选的,所述接入节点与本地服务中心进行网络层双向鉴权之后,还包括:
所述接入节点接收所述本地服务中心发送的第一密钥和第二密钥;
所述接入节点根据所述第一密钥,确定出用于与所述用户设备进行加密通信的通信密钥;以及根据所述第二密钥,确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
基于同一发明构思,本发明实施例中还提供了一种加入接入节点组的方法,由于该方法对应的设备是本发明实施例加入接入节点组的系统中的本地服务中心,并且该方法解决问题的原理与该设备相似,因此该方法的实施可以参见设备的实施,重复之处不再赘述。
如图11所示,本发明实施例加入接入节点组的方法包括:
步骤1101、本地服务中心在确定接入节点需要加入接入节点组后,与所述接入节点进行网络层双向鉴权;
步骤1102、所述本地服务中心在确定网络层双向鉴权通过后,向所述接入节点发送网络配置消息,以使所述接入节点根据所述网络配置消息中的配置信息进行配置。
可选的,所述本地服务中心与所述接入节点进行网络层双向鉴权,包括:
所述本地服务中心根据所述接入节点组对应的节点组标识和网络层鉴权参数,与所述接入节点进行网络层双向鉴权;
其中,所述网络层鉴权参数是所述本地服务中心从网络服务中心获取的。
可选的,所述本地服务中心根据网络层鉴权参数,以及所述接入节点组对应的节点组标识,与所述接入节点进行网络层双向鉴权,包括:
所述本地服务中心向所述接入节点发送所述接入节点组对应的节点组标识和所述网络层鉴权参数,以使所述接入节点根据所述节点组标识和所述网络层鉴权参数对网络侧进行鉴权;
若所述本地服务中心接收到所述接入节点返回的包含所述节点组标识的网络层鉴权响应消息,则根据所述网络层鉴权响应消息,对所述接入节点进行鉴权。
可选的,所述本地服务中心根据所述网络层鉴权响应消息,对所述接入节点进行鉴权,包括:
若所述网络层鉴权响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,所述本地服务中心确定对所述接入节点鉴权通过。
可选的,所述本地服务中心确定接入节点需要加入接入节点组,包括:
所述本地服务中心接收到所述接入节点发送的加入请求消息后,确定所述接入节点需要加入接入节点组;和/或
所述本地服务中心根据调度信息,确定所述接入节点需要加入接入节点组。
可选的,若所述本地服务中心接收到所述接入节点发送的加入请求消息后,确定所述接入节点需要加入接入节点组,则向所述接入节点发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的网络层鉴权请求消息,以使所述接入节点根据所述网络层鉴权请求消息对网络侧进行鉴权;
若所述本地服务中心根据调度信息,确定所述接入节点需要加入接入节点组,则向所述接入节点组发送包含所述接入节点组对应的节点组标识和网络层鉴权参数的接入指示消息,以使所述接入节点根据所述接入指示消息对网络侧进行鉴权。
可选的,所述网络层鉴权参数中包括临时密钥;
所述本地服务中心确定网络层双向鉴权通过之后,还包括:
所述本地服务中心根据所述临时密钥确定所述接入节点对应的第一密钥和第二密钥,并将所述第一密钥和所述第二密钥发送给所述接入节点,以使所述接入节点根据所述第一密钥确定出用于与所述用户设备进行加密通信的通信密钥,以及根据所述第二密钥确定出用于与所述接入节点组中其他接入节点进行加密通信的通信密钥。
可选的,所述本地服务中心根据所述临时密钥确定所述接入节点对应的相对于所述接入节点组中其他接入节点的第一密钥和第二密钥,包括:
所述本地服务中心根据所述临时密钥和所述节点组标识确定出所述接入节点组对应的中间密钥;
所述本地服务中心根据所述中间密钥,以及所述节点组标识,确定出所述接入节点对应的第一密钥和第二密钥。
可选的,所述本地服务中心向所述接入节点发送网络配置消息之后,还包括:
所述本地服务中心接收到所述接入节点上报的离开用户设备对应的接入节点组后,确定所述接入节点离开所述用户设备对应的接入节点组,并删除所述临时密钥、所述中间密钥、所述第一密钥和所述第二密钥。
以上参照示出根据本申请实施例的方法、装置(系统)和/或计算机程序产品的框图和/或流程图描述本申请。应理解,可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置,以产生机器,使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。
相应地,还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地,本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式,其具有在介质中实现的计算机可使用或计算机可读程序代码,以由指令执行系统来使用或结合指令执行系统而使用。在本申请上下文中,计算机可使用或计算机可读介质可以是任意介质,其可以包含、存储、通信、传输、或传送程序,以由指令执行系统、装置或设备使用,或结合指令执行系统、装置或设备使用。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。