專利名稱:綁定中繼節(jié)點(diǎn)的認(rèn)證方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及中繼系統(tǒng)中的中繼節(jié)點(diǎn)認(rèn)證技術(shù)��,尤其涉及一種中繼系統(tǒng)中綁定中繼節(jié)點(diǎn)的認(rèn)證方法及裝置���。
背景技術(shù):
圖1為長期演進(jìn)(LTE,Long Term Evolution)網(wǎng)絡(luò)的組成結(jié)構(gòu)示意圖����,如圖1所示,LTE網(wǎng)絡(luò)由演進(jìn)全球陸地?zé)o線接入網(wǎng)(E-UTRAN����,Evolved UniversalTerrestrialRadio Access Network)和演進(jìn)分組交換中心(EPC, Evolved PacketCore)組成,網(wǎng)絡(luò)呈現(xiàn)扁平化����。EUTRAN通過Sl接口與EPC相連。其中,EUTRAN由多個(gè)相互連接的演進(jìn)基站(eNB, Evolved NodeB)組成����,各個(gè)eNB之間通過X2接口連接;EPC由移動(dòng)性管理實(shí)體(MME�����,Mobility Management Entity)���、服務(wù)網(wǎng)關(guān)實(shí)體(S-GW����,Serving Gateway)以及包數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(P-GW���,PacketData Networks Gateway)等網(wǎng)元組成����。另外���,在LTE網(wǎng)絡(luò)架構(gòu)中還有歸屬環(huán)境(HE����,Home Environment),即歸屬用戶服務(wù)器(HSS,Home Subscriber Server)作為用戶數(shù)據(jù)庫�����。其中包含用戶配置文件�,執(zhí)行用戶的身份驗(yàn)證和授權(quán),并可提供有關(guān)用戶物理位置的信息等�。為了滿足日益增長的大帶寬高速移動(dòng)接入的需求,第三代伙伴組織計(jì)劃(3GPP���,Third Generation Partnership Projects) iflHjM^ix !^ (LTE-Advanced, Long-TermEvolution advance)標(biāo)準(zhǔn)��。LTE-Advanced對于LTE系統(tǒng)的演進(jìn)保留了 LTE的核心�,在此基礎(chǔ)上采用一系列技術(shù)對頻域���、空域進(jìn)行擴(kuò)充,以達(dá)到提高頻譜利用率���、增加系統(tǒng)容量等目的�����。無線中繼(Relay)技術(shù)即是LTE-Advanced中的技術(shù)之一�,旨在擴(kuò)展小區(qū)的覆蓋范圍,減少通信中的死角地區(qū)�����,平衡負(fù)載���,轉(zhuǎn)移熱點(diǎn)地區(qū)的業(yè)務(wù)�����,節(jié)省用戶設(shè)備(UE�����,User Equipment)即終端的發(fā)射功率�����。圖2為現(xiàn)有網(wǎng)絡(luò)架構(gòu)中增加中繼節(jié)點(diǎn)(RN����,Relay-Node)后的網(wǎng)絡(luò)組成示意圖����,如圖2所示���,這種新增的RN和施主演進(jìn)基站(Donor-eNB)之間使用無線連接。其中�����,Donor-eNB和RN之間的接口稱為Un 口���,兩者之間的無線鏈路稱為回程鏈路(bacWiaullink) ���;RN和UE之間的接口稱為Uu 口,其間的無線鏈路稱為接入鏈路(access link)���。下行數(shù)據(jù)先到達(dá)Donor-eNB�����,然后傳遞給RN,RN再傳輸至UE,上行數(shù)據(jù)先到達(dá)UE,然后傳遞給RN, RN 再傳輸至 Donor-eNB���。在實(shí)際通信過程中�,RN既可以作為一個(gè)普通的終端設(shè)備����,也可以作為一個(gè)基站�����。當(dāng)RN作為一個(gè)終端設(shè)備時(shí)��,RN可以像普通UE 一樣接入無線網(wǎng)絡(luò)�����。普通UE在接入網(wǎng)絡(luò)時(shí)��,網(wǎng)絡(luò)側(cè)會(huì)對其進(jìn)行用戶的鑒權(quán)認(rèn)證和密鑰協(xié)定(AKA�����,Authentication and Key Agreement)��,在LTE系統(tǒng)中該過程稱為演進(jìn)分組系統(tǒng)認(rèn)證與密鑰協(xié)定(EPS AKA, Evolved Packet System AKA)流程�。需要說明的是����,上述描述中UE是指移動(dòng)設(shè)備(Mobile Equipment)和通用集成電路卡(UICC,Universal Integrated CircuitCard)的總稱��,在UICC中存在通用用戶標(biāo)識模塊(USIM,Universal SubscriberIdentityModule)���,用于多種應(yīng)用以及用戶身份認(rèn)證等目的�����,上述EPS AKA過程實(shí)際是由USIM完成的����,在后續(xù)描述中如不特殊說明��,USIM即UICC��,USIM卡即UICC卡����。因此該過程完成了網(wǎng)絡(luò)對終端的USIM認(rèn)證(或稱簽約認(rèn)證,subscription Authentication)和密鑰協(xié)定���,后續(xù)描述中也稱USIM認(rèn)證為用戶認(rèn)證����。通過用戶認(rèn)證��,UE和網(wǎng)絡(luò)側(cè)會(huì)根據(jù)根密鑰K生成完整性密鑰(IK����,IntegrityKey)和加密密鑰(CK,Cipher Key)而發(fā)送給ME�,ME根據(jù)IK和CK生成中間密鑰Kasme,然后利用這個(gè)中間密鑰Kasme派生其它新的密鑰����,分別對接入層(AS,Acesss stratum)和非接入層(NAS,Non-access stratum)的通信數(shù)據(jù)進(jìn)行保護(hù)�����。其中�,非接入層安全保護(hù)密鑰(比如非接入層加密密鑰Knas■、非接入層完整性密鑰KNASint)分別由Kasme按照約定的算法派生�;接入層安全保護(hù)密鑰(比如無線資源控制加密密鑰KKKm。�����、無線資源控制完整性密鑰Kmiant和用戶面加密密鑰ΚυΡεη�����。)分別由基站密鑰ΚεΝΒ按照不同算法派生而來,而ΚεΝΒ是由中間密鑰Kasme派生來的�,上述的EPS安全密鑰具體的架構(gòu)和派生方法都是已知技術(shù),不再贅述����。與UE類似的,RN作為一個(gè)普通的終端設(shè)備時(shí)����,是中繼節(jié)點(diǎn)(RN platform)和UICC卡的總稱,RN可以按照上述EPS AKA過程完成RN的UICC認(rèn)證��。但是�����,當(dāng)RN作為基站時(shí)����,如果該基站是一個(gè)非法設(shè)備,則可能會(huì)威脅到其服務(wù)的用戶設(shè)備���,因此�����,在該基站服務(wù)UE之前首先需要確保該設(shè)備(即RNplatform)的合法性���。另外,即使是對于一個(gè)分別完成用戶認(rèn)證和設(shè)備的合法性認(rèn)證的RN來說���,還存在如下的安全威脅�,圖3為可能存在的RN被非法攻擊的過程示意圖�,如圖3所示,如果有非法攻擊者(Attacker)將合法的UICC卡插入非法的RN中����,同時(shí)將非法的UICC卡插入合法的RN中,這樣����,在認(rèn)證時(shí)攻擊者分別使用合法的USIM以及合法的RN完成相應(yīng)的用戶認(rèn)證和設(shè)備認(rèn)證。在實(shí)際通信過程中�,非法RN可以獲取到合法UICC卡認(rèn)證產(chǎn)生的接入層安全保護(hù)密鑰,而非法RN與網(wǎng)絡(luò)側(cè)之間的部分通信數(shù)據(jù)采用接入層安全保護(hù)密鑰的保護(hù)�����,攻擊者就可能通過非法RN篡改或竊聽RN與DeNB之間的通信內(nèi)容。因此���,現(xiàn)有對RN的合法性認(rèn)證不能保證合法的UICC卡被插在合法的RN設(shè)備上���,即不能實(shí)現(xiàn)RN的用戶認(rèn)證和設(shè)備的綁定,從而不能保證RN與網(wǎng)絡(luò)側(cè)間的通信數(shù)據(jù)安全����。關(guān)于設(shè)備的認(rèn)證(或稱RN platform authentication),曾有公司提出利用在DeNB和RN之間建立傳輸層安全(TLS�,Transport Layer Security)連接隧道(TLStunnel),用以實(shí)現(xiàn)DeNB對RN的設(shè)備認(rèn)證�,并根據(jù)TLS連接隧道建立過程中協(xié)商生成的主密鑰(master secret)生成一個(gè)偏置密鑰Ko,利用Ko和現(xiàn)有的接入層安全密鑰(即無線資源控制加密密鑰KKKten����。、無線資源控制完整性密鑰Kmiant和用戶面加密密鑰ΚυΡ·)作為輸入分別生成新的與RN設(shè)備(RNplatform)綁定的接入層安全密鑰(即新的KKKen��。�����、新的KKKint和新的ΚυΡ·)����,這樣可以保證本次安全認(rèn)證與之前的用戶認(rèn)證是終結(jié)在同一個(gè)RN節(jié)點(diǎn)的��,從而杜絕圖3中所示的安全威脅��。但是該方案有如下的缺點(diǎn)1)在該認(rèn)證過程中����,建立的所述TLS連接隧道(TLS Tunnel)是多余的���,因?yàn)樵摲桨钢胁⒉粫?huì)用到TLS隧道。2)如果考慮到以后RN的移動(dòng)性問題�����,即RN從一個(gè)DeNB的覆蓋內(nèi)移動(dòng)到了另一個(gè)DeNB的覆蓋下�����,則原來與RN之間的TLS連接則無法維護(hù)���。3)對于非接入層消息所使用的非接入層密鑰沒有做綁定�����,因此NAS消息仍存在安
全隱患 ο
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明的主要目的在于提供一種綁定中繼節(jié)點(diǎn)的認(rèn)證方法及裝置��,能對合法的中繼節(jié)點(diǎn)進(jìn)行密鑰認(rèn)證�,避免了非法中繼節(jié)點(diǎn)接入到通信系統(tǒng)。為達(dá)到上述目的��,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種綁定中繼節(jié)點(diǎn)的認(rèn)證方法���,包括在DeNB和RN之間發(fā)起密鑰協(xié)商認(rèn)證����;根據(jù)協(xié)商認(rèn)證的密鑰建立共享的對稱設(shè)備密鑰����;所述MME以及所述RN分別根據(jù)所述對稱設(shè)備密鑰和系統(tǒng)安全密鑰生成新的系統(tǒng)安全密鑰;利用所述新的系統(tǒng)安全密鑰派生新的接入層和/或非接入層安全保護(hù)密鑰����,對網(wǎng)絡(luò)側(cè)與RN之間的通信業(yè)務(wù)數(shù)據(jù)進(jìn)行加密和完整性保護(hù)。優(yōu)選地���,所述密鑰協(xié)商認(rèn)證通過下述方式實(shí)現(xiàn)因特網(wǎng)密鑰交換IKE協(xié)議流程���,或傳輸層安全TLS握手協(xié)議流程����,或安全套接層SSL協(xié)議流程�����,或可擴(kuò)展認(rèn)證協(xié)議EAP流程���,或EAP-TLS認(rèn)證流程。優(yōu)選地���,所述對稱設(shè)備密鑰由所述DeNB建立���,并發(fā)送給所述MME ;或者�,所述DeNB將密鑰協(xié)商認(rèn)證的密鑰發(fā)送給所述MME,由所述MME建立共享的對稱設(shè)備密鑰���。在所述DeNB以及所述RN之間發(fā)起密鑰協(xié)商認(rèn)證流程中對應(yīng)的消息可以分別通過RN與DeNB之間的用戶面數(shù)據(jù)連接發(fā)送����;也可以通過現(xiàn)有的無線資源控制(RRC)控制面信令傳遞(即作為容器(Container)的形式封裝在控制面信令中)。優(yōu)選地���,所述DeNB通過Sl 口信令將密鑰協(xié)商認(rèn)證的密鑰或所述對稱設(shè)備密鑰發(fā)送給所述MME��。優(yōu)選地�,所述根據(jù)協(xié)商認(rèn)證結(jié)果建立共享的對稱設(shè)備密鑰具體為將密鑰協(xié)商認(rèn)證的密鑰直接作為所述對稱設(shè)備密鑰���;或者���,將由密鑰協(xié)商認(rèn)證的密鑰中的部分密文生成的密鑰作為所述對稱設(shè)備密鑰;或者�,將根據(jù)密鑰協(xié)商認(rèn)證的密鑰,以設(shè)定算法重新派生的密鑰作為所述對稱設(shè)備密鑰��。優(yōu)選地���,所述密鑰協(xié)商認(rèn)證為基于對稱密鑰的密鑰協(xié)商認(rèn)證��;或者�,所述密鑰協(xié)商認(rèn)證為基于公鑰體制的密鑰協(xié)商認(rèn)證��。優(yōu)選地��,所述根據(jù)所述對稱設(shè)備密鑰和系統(tǒng)安全密鑰生成新的系統(tǒng)安全密鑰具體為利用所述對稱設(shè)備密鑰和所述系統(tǒng)安全密鑰作為輸入,按設(shè)定算法重新生成新的密鑰�;其中,所述設(shè)定算法為所述系統(tǒng)安全密鑰生成過程中所使用的密鑰派生函數(shù)KDF���,或?yàn)閭坞S機(jī)函數(shù)�,或?yàn)閱蜗蚝瘮?shù)����。優(yōu)選地,所述系統(tǒng)安全密鑰為以下密鑰的至少一種中間密鑰KASME���,加密密鑰CK和完整性密鑰IK��,基站密鑰KeNB。一種綁定中繼節(jié)點(diǎn)的認(rèn)證裝置��,所述中繼系統(tǒng)中包括MME����、DeNB和RN,所述裝置包括認(rèn)證單元�、建立單元、發(fā)送單元���、生成單元和加密單元���,其中�,認(rèn)證單元���,用于在DeNB和RN之間發(fā)起密鑰協(xié)商認(rèn)證�;
建立單元����,位于DeNB或MME中,用于根據(jù)協(xié)商認(rèn)證的密鑰建立共享的對稱設(shè)備密鑰�;發(fā)送單元,位于DeNB中��,用于將所述對稱設(shè)備密鑰或所述認(rèn)證單元密鑰協(xié)商認(rèn)證的密鑰發(fā)送給MME;生成單元����,位于MME以及RN中,用于根據(jù)所述對稱設(shè)備密鑰和系統(tǒng)安全密鑰生成新的系統(tǒng)安全密鑰����;加密單元,用于利用所述新的系統(tǒng)安全密鑰派生新的接入層和/或非接入層安全保護(hù)密鑰,對網(wǎng)絡(luò)側(cè)與RN之間的通信業(yè)務(wù)數(shù)據(jù)進(jìn)行加密和完整性保護(hù)�。優(yōu)選地,所述認(rèn)證單元進(jìn)行的密鑰協(xié)商認(rèn)證通過下述方式實(shí)現(xiàn)因特網(wǎng)密鑰交換IKE協(xié)議流程��,或傳輸層安全TLS握手協(xié)議流程����,或安全套接層SSL協(xié)議流程,或可擴(kuò)展認(rèn)證協(xié)議EAP流程����,或者EAP-TLS認(rèn)證流程。優(yōu)選地���,所述發(fā)送單元����,用于通過Sl 口信令將所述認(rèn)證單元密鑰協(xié)商認(rèn)證的密鑰或所述對稱設(shè)備密鑰發(fā)送給所述MME���。優(yōu)選地,所述建立單元進(jìn)一步將所述認(rèn)證單元密鑰協(xié)商認(rèn)證的密鑰直接作為所述對稱設(shè)備密鑰���;或者���,將由所述認(rèn)證單元密鑰協(xié)商認(rèn)證的密鑰中的部分密文生成的密鑰作為所述對稱設(shè)備密鑰��;或者�,將根據(jù)所述認(rèn)證單元的密鑰��,以設(shè)定算法重新派生的密鑰作為所述對稱設(shè)備密鑰����。優(yōu)選地,所述認(rèn)證單元所使用的密鑰協(xié)商認(rèn)證為基于對稱密鑰的密鑰協(xié)商認(rèn)證����;或者,所述認(rèn)證單元所使用的密鑰協(xié)商認(rèn)證為基于公鑰體制的密鑰協(xié)商認(rèn)征�����。優(yōu)選地���,所述生成單元進(jìn)一步利用所述對稱設(shè)備密鑰和所述系統(tǒng)安全密鑰作為輸入���,按設(shè)定算法重新生成新的密鑰;其中����,所述設(shè)定算法為所述系統(tǒng)安全密鑰生成過程中所使用的密鑰派生函數(shù)KDF����,或?yàn)閭坞S機(jī)函數(shù)�,或?yàn)閱蜗蚝瘮?shù)。本發(fā)明中�,首先在DeNB和RN之間發(fā)起密鑰協(xié)商認(rèn)證流程,并根據(jù)協(xié)商認(rèn)證結(jié)果建立共享的對稱設(shè)備密鑰��。本發(fā)明中��,協(xié)商認(rèn)證流程與現(xiàn)有的認(rèn)證方式基本相同���,通過該認(rèn)證過程�,實(shí)現(xiàn)對RN的基本認(rèn)證���,杜絕了非法結(jié)構(gòu)的接入��,本發(fā)明還在此認(rèn)證基礎(chǔ)上���,進(jìn)一步建立對稱設(shè)備密鑰;同時(shí)將該對稱設(shè)備密鑰發(fā)送給MME��,由MME以及RN分別根據(jù)所述對稱設(shè)備密鑰和系統(tǒng)安全密鑰生成新的系統(tǒng)安全密鑰����,并使用該新的系統(tǒng)安全密鑰進(jìn)行信息加密的處理。本發(fā)明加強(qiáng)了對RN身份合法性的保護(hù)�����,RN需要通過網(wǎng)絡(luò)側(cè)的合法認(rèn)證����,才能接入到通信系統(tǒng)中參與通信,杜絕了非法RN的接入����,保證了網(wǎng)絡(luò)側(cè)與RN之間通信的安全性。
圖1為LTE網(wǎng)絡(luò)的組成結(jié)構(gòu)示意圖���;圖2為現(xiàn)有網(wǎng)絡(luò)架構(gòu)中增加RN后的網(wǎng)絡(luò)組成示意圖����;圖3為可能存在的RN被非法攻擊的過程示意圖�;圖4為本發(fā)明綁定中繼節(jié)點(diǎn)的認(rèn)證方法實(shí)施例一的流程圖;圖5為本發(fā)明綁定中繼節(jié)點(diǎn)的認(rèn)證方法實(shí)施例二的流程圖���;圖6為本發(fā)明綁定中繼節(jié)點(diǎn)的認(rèn)證方法實(shí)施例三的流程圖�;圖7為本發(fā)明的安全密鑰綁定示意圖;圖8為本發(fā)明綁定中繼節(jié)點(diǎn)的認(rèn)證裝置的組成結(jié)構(gòu)示意圖�。
具體實(shí)施例方式本發(fā)明實(shí)施例的基本思想為,首先在DeNB和RN之間發(fā)起密鑰協(xié)商認(rèn)證流程�����,并根據(jù)協(xié)商認(rèn)證結(jié)果建立共享的對稱設(shè)備密鑰���。進(jìn)一步將該對稱設(shè)備密鑰發(fā)送給MME����,由MME以及RN分別根據(jù)所述對稱設(shè)備密鑰和系統(tǒng)安全密鑰生成新的系統(tǒng)安全密鑰�����,并使用該新的系統(tǒng)安全密鑰進(jìn)行信息加密的處理���。為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白��,以下舉實(shí)施例并參照附圖���,對本發(fā)明進(jìn)一步詳細(xì)說明。以下首先對本發(fā)明技術(shù)方案的整體進(jìn)行描述�����。需要說明的是���,本發(fā)明不僅適用于LTE系統(tǒng)中包含中繼節(jié)點(diǎn)的情形�,也適用于演進(jìn)分組系統(tǒng)中包含中繼節(jié)點(diǎn)的情形����,也就是說,本發(fā)明適用于一切包含中繼節(jié)點(diǎn)的中繼網(wǎng)絡(luò)中��,上述的中繼節(jié)點(diǎn)�,可以是一般的中繼基站,也可以是家庭基站等具有中繼功能的網(wǎng)絡(luò)節(jié)點(diǎn)���。由于在這些系統(tǒng)中對中繼節(jié)點(diǎn)的認(rèn)證過程都是類似的��,本發(fā)明中將不再一一進(jìn)行說明����。本發(fā)明中,在DeNB和RN之間發(fā)起密鑰協(xié)商認(rèn)證流程����,用以實(shí)現(xiàn)DeNB和中繼節(jié)點(diǎn)平臺(RN platform)之間的認(rèn)證并建立共享的對稱設(shè)備密鑰,該流程成功后����,DeNB將對稱設(shè)備密鑰發(fā)送給MME,由MME和RN分別根據(jù)該對稱設(shè)備密鑰和演進(jìn)分組系統(tǒng)安全密鑰進(jìn)行綁定����,生成新的演進(jìn)分組系統(tǒng)安全密鑰,用以保護(hù)RN和網(wǎng)絡(luò)之間的通信安全���。其中�,所述密鑰協(xié)商認(rèn)證流程可以指現(xiàn)有的任何用于通信實(shí)體間進(jìn)行身份認(rèn)證和密鑰協(xié)商的流程��,比如因特網(wǎng)密鑰交換協(xié)議(IKE���,Internet Key Exchange �����;或IKEv2�,IKE版本2~)流程,或者TLS握手協(xié)議(TLS handshake)流程���,或者安全套接層協(xié)議(SSL��,Secure SocketsLayer)流程,或者可擴(kuò)展認(rèn)證協(xié)議(EAP����,Extended Authentication Protocol)流程,或者 EAP-TLS 認(rèn)證流程���。建立對稱設(shè)備密鑰的方法可以是�,直接利用密鑰協(xié)商認(rèn)證流程中協(xié)商的密鑰�,或者對該協(xié)商的密鑰進(jìn)行截?cái)?truncate),或者重新派生生成所述對稱設(shè)備密鑰����。本發(fā)明中,所謂截?cái)嗉词菍⒂伤雒荑€協(xié)商認(rèn)證流程中生成的密鑰中的部分密文生成的密鑰作為所述對稱設(shè)備密鑰��;如密鑰的前10位作為對稱設(shè)備密鑰����,或密鑰的后10位作為對稱設(shè)備密鑰等�����?�;蛘?���,將根據(jù)所述密鑰協(xié)商認(rèn)證流程中生成的密鑰�,以設(shè)定算法重新派生的密鑰作為所述對稱設(shè)備密鑰。所謂重新派生即是根據(jù)相應(yīng)的算法��,按設(shè)定算法對當(dāng)前密鑰協(xié)商認(rèn)證流程中生成的密鑰進(jìn)行計(jì)算����,如對密鑰協(xié)商認(rèn)證流程中生成的密鑰進(jìn)行相應(yīng)的移位,或增設(shè)相應(yīng)的位等��。上述的密鑰協(xié)商認(rèn)證流程可以是基于對稱密鑰的�����,也可以是基于公鑰體制(即證書)的。上述DeNB通知MME對稱設(shè)備密鑰的方法可以是�,DeNB利用Sl 口信令將該密鑰發(fā)送給MME。該Sl 口信令可以是現(xiàn)有的Sl信令��,也可以是新增的Sl信令��。所述對稱設(shè)備密鑰也可以由MME生成��,此時(shí)需要DeNB將密鑰協(xié)商認(rèn)證流程中協(xié)商的密鑰通過Sl 口消息發(fā)送給MME��,由MME采用與前述RN相同的生成方法建立對稱設(shè)備密鑰����。其中�����,MME和RN根據(jù)對稱設(shè)備密鑰和演進(jìn)分組系統(tǒng)(EPS)安全密鑰進(jìn)行綁定生成新密鑰的方法�,可以是指利用對稱設(shè)備密鑰和EPS安全密鑰作為輸入,按照約定算法重新生成新的密鑰�����。其中約定算法可以是現(xiàn)有EPS安全密鑰生成過程中使用的密鑰派生函數(shù)
8(KDF, Key Derivation Function)���,或者其他的偽隨機(jī)函數(shù)(Pseudo-random function)或者單向函數(shù)(One-way function)��。以下通過具體的示例���,進(jìn)一步闡明本發(fā)明技術(shù)方案的實(shí)質(zhì)����。實(shí)施例一圖4為本發(fā)明綁定中繼節(jié)點(diǎn)的認(rèn)證方法實(shí)施例一的流程圖��,如圖4所示���,本示例中��,DeNB和RN之間通過TLS握手協(xié)議實(shí)現(xiàn)互相認(rèn)證以及密鑰協(xié)商����,該流程執(zhí)行成功之后�,利用流程中協(xié)商的密鑰生成新的對稱設(shè)備密鑰Kplatform,并將該密鑰與EPS安全密鑰進(jìn)行綁定��,生成新的EPS安全密鑰��,用以保護(hù)后續(xù)的通信安全�����。本示例的綁定中繼節(jié)點(diǎn)的認(rèn)證方法具體包括以下步驟步驟401,DeNB與RN之間發(fā)起TLS握手��,用于兩者之間的互相認(rèn)證�����,同時(shí)在TLS握手過程中MME和RN分別建立共享的主密鑰(Master kcret)���,根據(jù)該主密鑰建立對稱設(shè)備密鑰Kplatform��。其中Kplatform的生成方法可以是以下方式之一Kplatform = master_secret,艮口 Kplatform 直接使用主密鑰��;或者�����,Kplatform = Truncated(master_secret),艮口 Kplatform 使用截?cái)嗟闹髅荑€����;或者,Kplatform= KDF (master_secret)����,即 Kplatform 由主密鑰按照約定派生算法計(jì)算得來���。有選擇地,該算法還可以有其他輸入?yún)?shù)��。比如Kplatform = PRF(maSter_secret, Χ)�,其中PRF為TLS偽隨機(jī)函數(shù),X為其他可選參數(shù)����,可以為RN和/或MME生成的隨機(jī)數(shù),也可以為其他RN與MME之間共享的參數(shù)��。具體的��,上述的TLS握手協(xié)議流程中對應(yīng)的上行和下行消息可以分別通過RN與DeNB之間的用戶面數(shù)據(jù)連接傳遞���,即作為用戶面數(shù)據(jù)通過數(shù)據(jù)無線承載(DRB���,Data RadioBearer)傳遞;也可以通過現(xiàn)有的控制面上/下行信令傳遞�,即作為容器(Container)的形式封裝在控制面信令中,比如分別使用上行信息傳輸(ULInformationTransfer)和下行信息傳輸(DUnformationTransfer)信息傳輸��,在控制面信令中需要明確指示該消息攜帶的容器中封裝的是TLS握手協(xié)議消息。其中用于承載TLS握手協(xié)議的控制面信令的傳遞方向與TLS握手協(xié)議中的相關(guān)消息的傳遞方向一致���。步驟402����,DeNB將該對稱設(shè)備密鑰Kplatform通過S 1 口消息發(fā)送給MME��。比如通過上行NAS傳輸(Uplink NAS Transport)消息�����,其中攜帶Kplatform�。具體的,DeNB也可以通過其他Sl 口專用信令(或稱UE關(guān)聯(lián)信令�,UE_associatedSignalling)傳遞 Kplatform,比如初始 UE 上下文建立響應(yīng)(InitialUE ContextResponse),或者 NAS 非傳輸指示(NAS NON DEL I VERY INDI CAT 10N)等信令���。DeNB還可以通過在新增加的Sl 口信令中傳輸Kplatform���,比如新增第一 Sl 口消息�����,在所述第一 Sl 口消息中攜帶Kplatform信息,以及RN作為UE身份在Sl 口的標(biāo)識信息�。步驟403,MME利用對稱設(shè)備密鑰Kplatform和在EPS AKA中生成的EPS安全密鑰Kasme進(jìn)行綁定����,生成新的與設(shè)備(即RN platform)綁定的安全密鑰Kamse_platform。KASME_platform的生成方法可以是使用Kasm^P Kplatform作為入?yún)?�,使用約定的密鑰派生算法計(jì)算而來���,圖7為本發(fā)明的安全密鑰綁定示意圖��,如圖7所示KASME_pIatform = KDF (Kasme, Kplatform, XI)其中KDF為約定的密鑰派生算法���,Xl為該算法可選的其他輸入。
通過上述過程�����,MME完成了對RN的用戶認(rèn)證和設(shè)備的合法性認(rèn)證��,同時(shí)也實(shí)現(xiàn)了 EPS安全密鑰和中繼節(jié)點(diǎn)認(rèn)證中生成的對稱設(shè)備密鑰Kplatform的綁定��,消除了在RNplatform和UICC接口之間的安全隱患���。后續(xù)�,MME和RN可以將KASME_pIatform代替原來的Kasme,派生出其他的AS層和NAS層的安全密鑰,用于保護(hù)RN和網(wǎng)絡(luò)側(cè)之間的信令和數(shù)據(jù)安全�����,具體的派生算法和保護(hù)算法與現(xiàn)有LTE中的安全機(jī)制相同���,不再贅述����。根據(jù)具體的實(shí)現(xiàn)方式的不同����,在實(shí)施例一描述的方法中,在MME通過步驟402獲得對稱設(shè)備密鑰KpIatform后��,也可以發(fā)送回復(fù)消息給DeNB�����。所述回復(fù)消息可以是Sl 口的任意消息�����,比如通過下行信息傳輸(DLInformationTransport)���?���;蛘咂渌鸖l 口專用消息��,也可以通過新增的Sl 口消息���。上述MME的回復(fù)消息可以在步驟402后的任意時(shí)間點(diǎn)發(fā)送���。根據(jù)具體的實(shí)現(xiàn)方式的不同,在實(shí)施例一描述的方法中����,步驟401中的TLS握手流程可以由DeNB主動(dòng)發(fā)起,也可以由RN主動(dòng)發(fā)起�。根據(jù)具體的實(shí)現(xiàn)方式的不同,在實(shí)施例一描述的方法中����,步驟402用作綁定的EPS安全密鑰也可以是IK和CK或者使用κεΝΒ。比如KASME_pIatform = KDF (CK, IK, KpIatform, Yl)或KeNB_pIatform = KDF (KeNB, KpIatform, Zl)其中KDF分別為計(jì)算中使用的約定算法���,Yl或Zl分別為計(jì)算中使用的其他可選參數(shù)����。其計(jì)算方法是類似的,但綁定使用的約定派生算法具體形式可以有所不同����。另外根據(jù)上述過程生成的KASME_platf0rm和KeNB_platf0rm也可以分別替代現(xiàn)有的Kasme和KeNB,重新派生新的NAS層和/或AS層安全密鑰��,保護(hù)后續(xù)RN與網(wǎng)絡(luò)的通信安全�����。本發(fā)明中�����,步驟401中的TLS握手過程為已知內(nèi)容���,且根據(jù)具體應(yīng)用中的不同需求可以采用簡單握手(Simple TLS Handshake)或者驗(yàn)證客戶端的TLS握手(Client-authenticated TLS handshake)等形式�����,該認(rèn)證過程可以由RN主動(dòng)發(fā)起���,也可以由DeNB主動(dòng)發(fā)起��。需要說明的是,上述的密鑰協(xié)商認(rèn)證過程也可以采用其他的流程�,比如SSL握手(SSL handshake)過程,或者EAP認(rèn)證�,或者EAP-TLS認(rèn)證流程等。這些密鑰協(xié)商認(rèn)證過程在實(shí)際應(yīng)用中���,也可以根據(jù)具體應(yīng)用需求有所改動(dòng)���,但不影響本發(fā)明的主旨。在步驟403中���,為了保證MME和RN之間實(shí)現(xiàn)密鑰的同步綁定��,MME和可以通過NAS信令流程指示RN進(jìn)行EPS安全密鑰與對稱設(shè)備密鑰的綁定�����。比如����,MME通過NAS安全模式命令(NAS SMC, NAS Security Mode Command)通知RN進(jìn)行綁定,在消息中增加綁定指示��;在RN完成綁定后通過NAS安全模式完成(NAS Security Mode Complete)回復(fù)MME����,指示綁定成功完成。上述對稱設(shè)備密鑰Kplatform的生成也可以在MME執(zhí)行��,即在步驟401中DeNB獲得共享的主密鑰后����,DeNB通過402步驟將主密鑰發(fā)送給MME,由MME根據(jù)主密鑰生成Kplatform�,具體的生成方式與步驟401中方法相同,然后MME再執(zhí)行步驟403中的密鑰綁定過程�����。實(shí)施例二圖5為本發(fā)明綁定中繼節(jié)點(diǎn)的認(rèn)證方法實(shí)施例二的流程圖����,如圖5所示,本示例中����,DeNB和RN之間利用TLS握手協(xié)議實(shí)現(xiàn)對稱設(shè)備密鑰的更新���,更新成功之后,DeNB將更新的密鑰發(fā)送給ΜΜΕ,ΜΜΕ利用該密鑰與EPS安全密鑰進(jìn)行綁定�����,生成新的EPS安全密鑰���,用以保護(hù)后續(xù)的通信安全。本示例的綁定中繼節(jié)點(diǎn)的認(rèn)證方法具體包括以下步驟步驟500�,DeNB與RN之間已經(jīng)實(shí)現(xiàn)了雙向認(rèn)證,并已經(jīng)建立了共享與設(shè)備綁定的EPS安全密鑰��,比如中間密鑰Kasme,或基站密鑰K·等��。步驟501��,為了更新DeNB與RN之間的對稱設(shè)備密鑰��,DeNB與RN之間發(fā)起TLS握手流程�����,如果握手成功,則說明DeNB和RN platform之間認(rèn)證成功����。在握手過程中DeNB和RN重新建立共享的主密鑰(Master kcret),根據(jù)該該主密鑰建立更新的對稱設(shè)備密鑰Kplatform�����。具體方式與實(shí)施例一的方法相同�。具體的,上述的TLS握手流程的消息傳遞方式與實(shí)施例一相同�����。步驟502�,同步驟402。這里不再贅述�。步驟503,同步驟403����。這里不再贅述。通過上述過程�,完成了 MME與RN之間的對稱設(shè)備密鑰的更新,以及綁定的EPS安全密鑰的更新����。后續(xù)的處理過程可以采用與實(shí)施例一相同的方式���,這里不再贅述。實(shí)施例三圖6為本發(fā)明綁定中繼節(jié)點(diǎn)的認(rèn)證方法實(shí)施例二的流程圖���,如圖6所示����,本示例中�,DeNB和RN之間利用IKE協(xié)議實(shí)現(xiàn)協(xié)商認(rèn)證,并建立II^sec隧道���,通過該隧道傳遞共享的對稱設(shè)備密鑰給對端,然后DeNB將該密鑰發(fā)送給MME����,MME利用該密鑰與EPS安全密鑰進(jìn)行綁定,生成新的EPS安全密鑰��,用以保護(hù)后續(xù)的通信安全����。步驟601�����,DeNB向RN發(fā)起IKE流程���,用于實(shí)現(xiàn)DeNB與RN之間的互相認(rèn)證,認(rèn)證成功后建立II3Sec隧道(II^sec Tunnel)��,通過該隧道DeNB將對稱安全密鑰Kplatform發(fā)送給RN�,其中Kplatform是DeNB生成的隨機(jī)數(shù)。 該IKE流程也可以由RN主動(dòng)向DeNB發(fā)起�����。步驟602�����,同步驟402步驟603�,同步驟403通過上述IKE過程,完成了 DeNB與RN之間的互相認(rèn)證以及對稱設(shè)備密鑰的建立�,并在MME和RN完成了設(shè)備密鑰與EPS安全密鑰的綁定。后續(xù)的處理過程可以采用與實(shí)施例一相同的方式��,這里不再贅述���。需要說明的是���,上面的密鑰協(xié)商認(rèn)證過程可以使用TLS握手過程���,或者SSL握手,或者IKE協(xié)商���,或者EAP認(rèn)證等過程��,這些過程中可以是基于預(yù)共享密鑰(I^e-sharedkey��,或稱對稱密鑰Symmetric key)����,也可以是基于公鑰(Publickey)或者是基于證書的(Certificate)�����。因此��,這些密鑰或證書都是要求存在于DeNB和/或RN平臺(RN platform,即存儲(chǔ)于RN中)之中的�,這是本發(fā)明的前提條件���。圖8為本發(fā)明綁定中繼節(jié)點(diǎn)的認(rèn)證裝置的組成結(jié)構(gòu)示意圖�����,如圖8所示����,本發(fā)明綁定中繼節(jié)點(diǎn)的認(rèn)證裝置主要應(yīng)用于中繼系統(tǒng)中,中繼系統(tǒng)包括MME��、DeNB和RN�����,本發(fā)明綁定中繼節(jié)點(diǎn)的認(rèn)證裝置具體包括認(rèn)證單元80����、建立單元81、發(fā)送單元82�、生成單元83和加密單元84,其中�,認(rèn)證單元80,用于在DeNB和RN之間發(fā)起密鑰協(xié)商認(rèn)證�;建立單元81,位于DeNB或MME中,用于根據(jù)協(xié)商認(rèn)證結(jié)果建立共享的對稱設(shè)備密鑰�����;
發(fā)送單元82���,位于DeNB中��,用于將所述對稱設(shè)備密鑰或所述認(rèn)證單元密鑰協(xié)商認(rèn)證的密鑰發(fā)送給MME;生成單元83���,位于MME以及RN中,用于根據(jù)所述對稱設(shè)備密鑰和系統(tǒng)安全密鑰生成新的系統(tǒng)安全密鑰����;加密單元84,用于利用所述新的系統(tǒng)安全密鑰派生新的接入層和/或非接入層安全保護(hù)密鑰��,對網(wǎng)絡(luò)側(cè)與RN之間的通信業(yè)務(wù)數(shù)據(jù)進(jìn)行加密和完整性保護(hù)���。上述認(rèn)證單元80進(jìn)行的密鑰協(xié)商認(rèn)證通過下述方式實(shí)現(xiàn)因特網(wǎng)密鑰交換IKE協(xié)議流程��,或傳輸層安全TLS握手協(xié)議流程�����,或安全套接層SSL協(xié)議流程�,或可擴(kuò)展認(rèn)證協(xié)議EAP流程�����,或者EAP-TLS認(rèn)證流程���。上述發(fā)送單元82����,用于通過Sl 口信令將認(rèn)證單元80密鑰協(xié)商認(rèn)證的密鑰或所述對稱設(shè)備密鑰發(fā)送給所述MME�����。本發(fā)明中����,Sl 口信令可以是現(xiàn)有通信系統(tǒng)中的信令,即對現(xiàn)有的Sl 口信令進(jìn)行擴(kuò)展��,使用現(xiàn)有的Sl 口信令承載本發(fā)明所述密鑰等相關(guān)信息�����。也可以是新增設(shè)的Sl 口信令。在所述DeNB以及所述RN之間發(fā)起密鑰協(xié)商認(rèn)證流程中對應(yīng)的消息可以分別通過RN與DeNB之間的用戶面數(shù)據(jù)連接發(fā)送�����;也可以通過現(xiàn)有的無線資源控制(RRC)控制面信令傳遞(即作為容器(Container)的形式封裝在控制面信令中)��。上述建立單元81進(jìn)一步將認(rèn)證單元80密鑰協(xié)商認(rèn)證的密鑰(即上述的主密鑰)直接作為所述對稱設(shè)備密鑰���;或者����,將由認(rèn)證單元80密鑰協(xié)商認(rèn)證的密鑰中的部分密文生成的密鑰作為所述對稱設(shè)備密鑰��;或者���,將根據(jù)所述認(rèn)證單元密鑰協(xié)商認(rèn)證的密鑰���,以設(shè)定算法重新派生的密鑰作為所述對稱設(shè)備密鑰。上述認(rèn)證單元80所使用的密鑰協(xié)商認(rèn)證為基于對稱密鑰的密鑰協(xié)商認(rèn)證�;或者,所述認(rèn)證單元所使用的密鑰協(xié)商認(rèn)證為基于公鑰體制的密鑰協(xié)商認(rèn)證���。上述生成單元83進(jìn)一步利用所述對稱設(shè)備密鑰和所述系統(tǒng)安全密鑰作為輸入���,按設(shè)定算法重新生成新的密鑰���;其中�����,所述設(shè)定算法為所述系統(tǒng)安全密鑰生成過程中所使用的密鑰派生函數(shù)KDF�,或?yàn)閭坞S機(jī)函數(shù),或?yàn)閱蜗蚝瘮?shù)��。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�����,圖8所示的綁定中繼節(jié)點(diǎn)的認(rèn)證裝置是為實(shí)現(xiàn)前述的綁定中繼節(jié)點(diǎn)的認(rèn)證方法而設(shè)計(jì)的���,圖8所示的綁定中繼節(jié)點(diǎn)的認(rèn)證裝置中各處理單元的功能可參照前述方法的描述而理解���,各處理單元的功能可通過運(yùn)行于處理器上的程序而實(shí)現(xiàn),也可通過具體的邏輯電路而實(shí)現(xiàn)�。以上所述,僅為本發(fā)明的較佳實(shí)施例而已�����,并非用于限定本發(fā)明的保護(hù)范圍。
1權(quán)利要求
1.一種綁定中繼節(jié)點(diǎn)的認(rèn)證方法����,其特征在于,所述方法包括在施主基站DeNB和中繼節(jié)點(diǎn)RN之間發(fā)起密鑰協(xié)商認(rèn)證���;根據(jù)協(xié)商認(rèn)證的密鑰建立共享的對稱設(shè)備密鑰�����;所述MME以及所述RN分別根據(jù)所述對稱設(shè)備密鑰和系統(tǒng)安全密鑰生成新的系統(tǒng)安全密鑰��;利用所述新的系統(tǒng)安全密鑰派生新的接入層和/或非接入層安全保護(hù)密鑰��,對網(wǎng)絡(luò)側(cè)與RN之間的通信業(yè)務(wù)數(shù)據(jù)進(jìn)行加密和完整性保護(hù)���。
2.根據(jù)權(quán)利要求1所述方法,其特征在于��,所述密鑰協(xié)商認(rèn)證通過下述方式實(shí)現(xiàn)因特網(wǎng)密鑰交換IKE協(xié)議流程��,或傳輸層安全TLS握手協(xié)議流程���,或安全套接層SSL協(xié)議流程��,或可擴(kuò)展認(rèn)證協(xié)議EAP流程��,或EAP-TLS認(rèn)證流程�。
3.根據(jù)權(quán)利要求1所述方法�,其特征在于,所述對稱設(shè)備密鑰由所述DeNB建立����,并發(fā)送給所述MME ;或者����,所述DeNB將密鑰協(xié)商認(rèn)證的密鑰發(fā)送給所述MME,由所述MME建立共享的對稱設(shè)備密鑰���。
4.根據(jù)權(quán)利要求1或3所述方法��,其特征在于����,所述DeNB通過Sl口信令將密鑰協(xié)商認(rèn)證的密鑰或所述對稱設(shè)備密鑰發(fā)送給所述MME��。
5.根據(jù)權(quán)利要求1或3所述方法,其特征在于���,所述根據(jù)協(xié)商認(rèn)證結(jié)果建立共享的對稱設(shè)備密鑰具體為將密鑰協(xié)商認(rèn)證的密鑰直接作為所述對稱設(shè)備密鑰��;或者��,將由密鑰協(xié)商認(rèn)證的密鑰中的部分密文生成的密鑰作為所述對稱設(shè)備密鑰����;或者�,將根據(jù)密鑰協(xié)商認(rèn)證的密鑰,以設(shè)定算法重新派生的密鑰作為所述對稱設(shè)備密鑰����。
6.根據(jù)權(quán)利要求2所述方法,其特征在于�,所述密鑰協(xié)商認(rèn)證為基于對稱密鑰的密鑰協(xié)商認(rèn)證;或者����,所述密鑰協(xié)商認(rèn)證為基于公鑰體制的密鑰協(xié)商認(rèn)證。
7.根據(jù)權(quán)利要求1所述方法�,其特征在于,所述根據(jù)所述對稱設(shè)備密鑰和系統(tǒng)安全密鑰生成新的系統(tǒng)安全密鑰具體為利用所述對稱設(shè)備密鑰和所述系統(tǒng)安全密鑰作為輸入�,按設(shè)定算法重新生成新的密鑰����;其中�����,所述設(shè)定算法為所述系統(tǒng)安全密鑰生成過程中所使用的密鑰派生函數(shù)KDF���,或?yàn)閭坞S機(jī)函數(shù)����,或?yàn)閱蜗蚝瘮?shù)���。
8.根據(jù)權(quán)利要求1或7所述方法,其特征在于�,所述系統(tǒng)安全密鑰為以下密鑰的至少一種中間密鑰Kasme,加密密鑰CK和完整性密鑰IK���,基站密鑰ΚεΝΒ���。
9.一種綁定中繼節(jié)點(diǎn)的認(rèn)證裝置,所述中繼系統(tǒng)中包括MME��、DeNB和RN,其特征在于�,所述裝置包括認(rèn)證單元、建立單元�、發(fā)送單元、生成單元和加密單元����,其中,認(rèn)證單元�,用于在DeNB和RN之間發(fā)起密鑰協(xié)商認(rèn)證;建立單元�,位于DeNB或MME中,用于根據(jù)協(xié)商認(rèn)證的密鑰建立共享的對稱設(shè)備密鑰�����;發(fā)送單元����,位于DeNB中,用于將所述對稱設(shè)備密鑰或所述認(rèn)證單元密鑰協(xié)商認(rèn)證的密鑰發(fā)送給MME;生成單元�����,位于MME以及RN中,用于根據(jù)所述對稱設(shè)備密鑰和系統(tǒng)安全密鑰生成新的系統(tǒng)安全密鑰�;加密單元,用于利用所述新的系統(tǒng)安全密鑰派生新的接入層和/或非接入層安全保護(hù)密鑰��,對網(wǎng)絡(luò)側(cè)與RN之間的通信業(yè)務(wù)數(shù)據(jù)進(jìn)行加密和完整性保護(hù)�。
10.根據(jù)權(quán)利要求9所述裝置,其特征在于�����,所述認(rèn)證單元進(jìn)行的密鑰協(xié)商認(rèn)證通過下述方式實(shí)現(xiàn)因特網(wǎng)密鑰交換IKE協(xié)議流程���,或傳輸層安全TLS握手協(xié)議流程�����,或安全套接層SSL協(xié)議流程,或可擴(kuò)展認(rèn)證協(xié)議EAP流程����,或者EAP-TLS認(rèn)證流程。
11.根據(jù)權(quán)利要求9所述裝置���,其特征在于���,所述發(fā)送單元�,用于通過Sl口信令將所述認(rèn)證單元密鑰協(xié)商認(rèn)證的密鑰或所述對稱設(shè)備密鑰發(fā)送給所述MME�。
12.根據(jù)權(quán)利要求1或10所述裝置,其特征在于���,所述建立單元進(jìn)一步將所述認(rèn)證單元密鑰協(xié)商認(rèn)證的密鑰直接作為所述對稱設(shè)備密鑰�;或者��,將由所述認(rèn)證單元密鑰協(xié)商認(rèn)證的密鑰中的部分密文生成的密鑰作為所述對稱設(shè)備密鑰�;或者,將根據(jù)所述認(rèn)證單元的密鑰��,以設(shè)定算法重新派生的密鑰作為所述對稱設(shè)備密鑰�����。
13.根據(jù)權(quán)利要求1或10所述裝置���,其特征在于�,所述認(rèn)證單元所使用的密鑰協(xié)商認(rèn)證為基于對稱密鑰的密鑰協(xié)商認(rèn)證�;或者,所述認(rèn)證單元所使用的密鑰協(xié)商認(rèn)證為基于公鑰體制的密鑰協(xié)商認(rèn)證��。
14.根據(jù)權(quán)利要求1或10所述裝置,其特征在于�,所述生成單元進(jìn)一步利用所述對稱設(shè)備密鑰和所述系統(tǒng)安全密鑰作為輸入,按設(shè)定算法重新生成新的密鑰����;其中,所述設(shè)定算法為所述系統(tǒng)安全密鑰生成過程中所使用的密鑰派生函數(shù)KDF���,或?yàn)閭坞S機(jī)函數(shù)����,或?yàn)閱蜗蚝瘮?shù)�����。
全文摘要
本發(fā)明公開了一種綁定中繼節(jié)點(diǎn)的認(rèn)證方法�,包括在DeNB和RN之間發(fā)起密鑰協(xié)商認(rèn)證;根據(jù)協(xié)商認(rèn)證結(jié)果建立共享的對稱設(shè)備密鑰�;所述MME以及所述RN分別根據(jù)所述對稱設(shè)備密鑰和系統(tǒng)安全密鑰生成新的系統(tǒng)安全密鑰;利用所述新的系統(tǒng)安全密鑰派生新的接入層和/或非接入層安全保護(hù)密鑰�����,對網(wǎng)絡(luò)側(cè)與RN之間的通信業(yè)務(wù)數(shù)據(jù)進(jìn)行加密和完整性保護(hù)��。本發(fā)明同時(shí)公開了一種實(shí)現(xiàn)上述方法的綁定中繼節(jié)點(diǎn)的認(rèn)證裝置�。本發(fā)明加強(qiáng)了對RN身份合法性的保護(hù),RN需要通過網(wǎng)絡(luò)側(cè)的合法認(rèn)證����,才能接入到通信系統(tǒng)中參與通信,杜絕了非法RN的接入���,保證了網(wǎng)絡(luò)側(cè)與RN之間通信的安全性��。
文檔編號H04W88/04GK102595403SQ20111000824
公開日2012年7月18日 申請日期2011年1月14日 優(yōu)先權(quán)日2011年1月14日
發(fā)明者和峰 申請人:中興通訊股份有限公司