中继节点的认证方法、装置及系统的制作方法

文档序号:7741094阅读:158来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:中继节点的认证方法、装置及系统的制作方法
技术领域
本发明涉及通信领域,尤其涉及一种中继节点的认证方法、装置及系统。
背景技术
对于网络设备来说,其与网络中其他网元或安全网关之间需要建立IKE (Internet Key Exchange,因特网密钥交换)连接以及ESP(EncapsuledSecurity Protocol,封装安全 协议)安全关联后才能与上述其他网元建立接口。不同安全域的网元之间需要经过各自安 全域的安全网关,逐跳建立安全关联,之后才能与其他网元建立接口。RN(Relay Node,中继节点)是 LTE-Advanced 的技术特征之一。RN 既有 UE (User Equipment,用户设备)特性,可以像UE —样无线接入网络,又有eNB特性,可以为RN下的 UE提供无线连接以及对这些UE进行无线资源控制和管理。作为新引入的网络节点,RN的安全直接影响到整个网络的安全。目前没有针对RN 所在网络安全的解决方案。

发明内容
本发明的实施例提供一种中继节点的认证方法、装置及系统,实现了网络侧节点 与中继节点之间的相互认证,并相应的建立了安全关联,保证了中继节点所在网络的安全 性。为达到上述目的,本发明的实施例采用如下技术方案一种中继节点的认证方法,包括中继节点向对端节点发送认证请求消息,所述认证请求消息中包含所述中继节点 的证书,以使得所述对端节点根据所述中继节点的证书实现对所述中继节点的认证,其中, 所述对端节点为网络侧节点或者所述网络侧节点所处安全域的安全网关;所述中继节点接收所述对端节点发送的认证响应消息,所述认证响应消息中包含 所述对端节点的证书,并根据所述对端节点的证书实现对所述对端节点的认证。一种中继节点的认证方法,包括在中继节点附着过程中或者之后,所述中继节点的移动性管理实体向所述中继节 点发送认证请求消息,以使得所述中继节点根据所述认证请求消息实现对所述中继节点的 移动性管理实体的认证;所述中继节点的移动性管理实体接收所述中继节点发送的认证响应消息,根据所 述认证响应消息实现对所述中继节点的认证。一种中继节点,包括发送单元,用于向对端节点发送认证请求消息,所述认证请求消息中包含所述中 继节点的证书,以使得所述对端节点根据所述中继节点的证书实现对所述中继节点的认 证,其中,所述对端节点为网络侧节点或者所述网络侧节点所处安全域的安全网关;接收单元,用于接收所述对端节点发送的针对所述发送单元发送的认证请求消息
5的认证响应消息,所述认证响应消息中包含所述对端节点的证书;认证单元,用于根据所述接收单元接收到的所述对端节点的证书实现对所述对端 节点的认证。一种中继节点的移动性管理实体,包括第一发送单元,用于在中继节点附着过程中或者之后,向所述中继节点发送认证 请求消息,以使得所述中继节点根据所述认证请求消息实现对所述中继节点的移动性管理 实体的认证;第一接收单元,用于接收所述中继节点发送的针对所述第一发送单元发送的认证 请求消息的认证响应消息;认证单元,用于根据所述接收单元接收到的所述认证响应消息实现对所述中继节 点的认证。一种中继节点的认证系统,包括中继节点,用于向对端节点发送认证请求消息,所述认证请求消息中包含所述中 继节点的证书,以使得所述对端节点根据所述中继节点的证书实现对所述中继节点的认 证,其中,所述对端节点为网络侧节点或者所述网络侧节点所处安全域的安全网关;对端节点,用于接收所述中继节点发送的认证请求消息,所述认证请求消息中包 含所述中继节点的证书;根据所述中继节点的证书实现对所述中继节点的认证;向所述中 继节点发送认证响应消息,所述认证响应消息中包含所述对端节点的证书;所中继节点还用于,接收所述对端节点发送的认证响应消息,所述认证响应消息 中包含所述对端节点的证书,根据所述对端节点的证书实现对所述对端节点的认证。采用本发明技术方案后,当网络中存在中继节点时,中继节点会向对端节点发送 认证请求消息,该消息中包括所述中继节点的证书,请求对端节点对其进行认证;并且所述 网络侧节点在对所述中继节点进行认证的同时,也会将自身的证书通过认证响应消息发送 给所述中继节点,由所述中继节点完成对所述对端节点认证,使中继节点完成了入网的必 要安全认证,保证了中继节点所在网络的安全性。


图1为本发明实施例1中继节点侧中继节点的认证方法流程图;图2为本发明实施例1网络侧节点侧中继节点的认证方法流程图;图3为本发明实施例2中继节点构架1和构架3的控制面接口分布图;图4为本发明实施例2中继节点构架1和构架3的用户面数据传输过程图;图5为本发明实施例2中继节点的认证方法的认证过程图;图6为本发明实施例2中基于IP协议的网络安全结构示意图;图7为本发明实施例3中继节点构架2和构架4的控制面接口分布图;图8为本发明实施例3中继节点构架2和构架4的用户面数据传输过程图;图9为本发明实施例3中继节点的认证方法的认证过程图; 图10为本发明实施例4 一种中继节点的组成框图;图11为本发明实施例4另一种中继节点的组成框图;图12为本发明实施例4 一种网络侧节点的组成框图13为本发明实施例4另一种网络侧节点的组成框图;图14为本发明实施例4 一种中继节点的移动性管理实体的组成框图;图15为本发明实施例4另一种中继节点的移动性管理实体的组成框图;图16为本发明实施例4另一种中继节点的移动性管理实体的组成框图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。实施例1本发明实施例提供一种中继节点认证的方法,如图1所示,该方法包括101、中继节点向对端节点发送认证请求消息,所述认证请求消息中包含所述中继 节点的证书,以使得所述对端节点根据所述中继节点的证书实现对所述中继节点的认证, 其中,所述对端节点为网络侧节点或者所述网络侧节点所处安全域的安全网关。由于所述中继节点加入到网络中后,需要和很多网络节点进行通信,为了保证所 述中继节点和各网络节点之间通信的安全性,需要在所述中继节点和所述各网络节点进行 数据传输之前进行相互认证;在认证的过程中所述中继节点和各个网络节点端对端的通 信,因此在进行所述中继节点和各网络节点的相互认证的过程中,可以将各网络节点统称 为所述中继节点的对端节点。其中,所述网络侧节点可以为所述中继节点所属基站、用户设备服务网关以及用 户设备的移动性管理实体;所述中继节点向所述网络侧节点发送认证请求消息包括在所述中继节点与所述基站无线资源控制连接建立的过程中;或者在所述中继节 点与所述基站建立无线资源控制连接之后,并且在所述中继节点建立用户面IP连接前;或 者所述中继节点建立用户面IP连接之后,所述中继节点向所述中继节点所属基站发送认 证请求消息;在所述中继节点建立用户面IP连接后,并且在所述中继节点与用户设备网关以 及用户设备的移动性管理实体之间建立Sl连接前,所述中继节点向所述用户设备网关以 及用户设备的移动性管理实体发送认证请求消息。102、所述中继节点接收所述对端节点发送的认证响应消息,所述认证响应消息中 包含所述对端节点的证书,并根据所述对端节点的证书实现对所述对端节点的认证。本发明实施例还提供一种中继节点的认证方法,如图2所示,该方法包括201、在中继节点附着过程中或者之后,所述中继节点的移动性管理实体向所述中 继节点发送认证请求消息,以使得所述中继节点根据所述认证请求消息实现对所述中继节 点的移动性管理实体的认证。所述中继节点的移动性管理实体在发送认证请求以前,所述中继节点的移动性管 理实体到本地环境或认证中心处获取认证向量,包括随机数(RAND),期望响应值(XRES), 密钥(KASME),认证码(AUTN)。然后向RN发送认证请求消息,所述认证请求消息中包括随 机数(RAND)、密钥集标识(KSI)以及认证码(AUTN),所述中继节点收到该消息后,首先检查消息的序列号(SQN)是否正确(消息序列号不小于本地消息计数值时认为SQN正确), 然后在本地计算出认证码(AUTN),并比较本地计算出的认证码(AUTN)和接收到的认证码 (AUTN)是否相同,如果相同则检验通过,则RN对RN MME(Relay Node Mobility Management Entity,中继节点的移动性管理实体)的认证通过。202、所述中继节点的移动性管理实体接收所述中继节点发送的认证响应消息,根 据所述认证响应消息实现对所述中继节点的认证。其中,所述认证响应消息中包含认证应答响应值(REQ ;在所述中继节点的移动 性管理实体通过所述中继节点的认证后,所述中继节在本地根据收到的随机数(RAND),以 及自己的共享密钥K计算出响应值RES,并将计算出的响应值RES放在认证响应消息里发送 给RN MME,RN MME比较收到的RES和本地保存的XRES是否相同,如果相同,则RN匪E通过 对所述RN的认证。本发明实施例中,当网络中存在中继节点时,中继节点会向对端点发送认证请求 消息,该消息中包括所述中继节点的证书,请求所述对端节点对其进行认证;并且所述对端 节点在对所述中继节点进行认证的同时,也会将自身的证书通过认证响应消息发送给所述 中继节点,由所述中继节点完成对所述对端节点认证,使中继节点完成了入网的必要安全 认证,保证了中继节点所在网络的安全性。当中继节点和所述中继节点的移动性管理实体 进行相互认证时,由所述中继节点的移动性管理实体首先向所述中继节点发送认证请求消 息。由所述中继节点根据所述认证请求消息实现对所述中继节点的移动性管理实体的认 证,并有所述中继节点的移动性管理实体根据所述中继节点发送的认证响应消息实现对所 述中继节点的认证,从而使中继节点完成了入网的必要安全认证,保证了中继节点所在网 络的安全性。实施例2本发明实施例提供一种RN(Relay Node,中继节点)的认证方法,其中,有RN加入 的网络中存在4中RN架构,其中RN的构架1和构架3用户平面和控制平面接口的分布相 同,用户面数据传输的过程也基本相同;RN的构架2和构架4用户平面和控制平面接口的 分布相同,用户面数据传输的过程也基本相同;本发明实施例具体以RN的构架1和构架3 为例,具体阐述对处于该构架下的RN的认证。本发明实施例具体结合图3和图4阐述RN的构架1和构架3用户平面和控制平 面接口的分布,以及用户面数据传输的过程用户平面和控制平面接口的分布如图3所示,RN的Sl接口位于所属eNB和RN的 MME (Mobility Management Entity,移动性管理实体)上,RN下UE的Sl接口终结在RN禾口 UE的MME上,RN所属的eNB透传用户设备的Sl消息。用户面数据传输的过程,以用户设备下行数据包传输的过程为例,如图4所示, 包括数据包到达 UE SGff/PGff (Serving Gateway/Packet Data NetworkGateway,服务网 关/分组数据网网关)后,被映射到该UE的GTP (General PacketRadio Service Tunnel I^otocol,通用分组无线服务技术隧道协议)隧道上传输,到达RN的SGW/PGW以后,由RN 的SGW/PGW根据UE所属的RN,将该UE的数据包都映射到对应RN的GTP隧道上传输,到达 DeNB (Donor eNB,RN 所属 eNB)以后,由 DeNB 再根据 QCI ^joS Classific Indicator, QoS 等级指示)映射到对应的RN无线承载上去,RN收到来自所属eNB的数据包后,再映射到该UE的无线承载上去,发送给UE。根据图3和图4可知,第一,由于RN的Sl数据都会经过DeNB,因此RN需要和 DeNB认证,否则DeNB可能为不合法的RN设备提供服务;第二 RN的Sl接口从DeNB到RN MME(Sl-C) (Mobility Management Entity,移动性管理实体)或 RN PGW/SGW(S1_U),需要 在 DeNB 和 RN MME 或者 RN PGW/SGW 之间建立 SA (SecurityAssociation,安全关联),用于 保护RN的Sl数据,所以DeNB需要与RN MME,RNPGW/SGW进行认证;第三,UE的Sl接口从 RN到UE MME或UE PGW/SGW,需要在DeNB和UE MME或UE PGW/SGW之间建立端到端SA,用 于对UE的Sl数据进行保护。本发明实施例具体以各网络节点入网的顺序,进行各网络节点和所述中继节点之 间,以及所述各网络节点之间的相互认证,并相应建立各网络节点之间,以及所述各网络节 点和所述中继节点之间的安全关联,该安全关联可以为节点之间建立的安全连接通道,也 可以是节点之间的安全信任关系;如图5所示,该RN的认证方法包括301、实现DeNB与RN MME之间的相互认证,并创建所述DeNB与所述RN MME之间 的SA。其中,所述实现DeNB与RN MME之间的相互认证包括在所述DeNB建立用户面的 IP连接后,所述DeNB分别向所述RN MME发送基站的认证请求消息,所述基站的认证请求消 息中包含所述基站的证书;所述RN MME接收到所述基站的认证请求消息后,根据所述基站 的认证请求消息中包含所述基站的证书实现对所述基站的认证;并且在实现对所述基站的 认证后,所述RN MME向所述基站发送认证响应消息,所述认证响应消息中包含所述RN MME 的证书;所述基站根据所述RN MME的证书实现对所述RN MME的认证。若所述基站与所述 RN MME相互认证成功,则创建所述基站和所述RN MME之间的SA。302、实现DeNB与RN SGW/PGW之间的相互认证,并创建所述DeNB与所述RN SGff/ PGW之间的SA。其中,所述实现DeNB与RN SGW/PGW之间的相互认证包括在所述DeNB建立用户 面的IP连接后,所述DeNB分别向所述RN SGW/PGW发送基站的认证请求消息,所述基站的认 证请求消息中包含所述基站的证书;所述RN SGW/PGW接收到所述基站的认证请求消息后, 根据所述基站的认证请求消息中包含所述基站的证书实现对所述基站的认证;并且在实现 对所述基站的认证后,所述RNSGW/PGW向所述基站发送认证响应消息,所述认证响应消息 中包含所述RNSGW/PGW的证书;所述基站根据所述RN SGW/PGW的证书实现对所述RN SGff/ PGff的认证。若所述基站与所述RN SGW/PGW相互认证成功,则创建所述基站和所述RN SGff/ PGW之间的SA。303、实现DeNB与UE MME, UE SGW/PGW之间的相互认证,并创建所述DeNB与所述 UE MME、UE SGW/PGW 之间的 SA。其中,所述实现DeNB与UE MME,UE SGW/PGW之间的相互认证包括在所述DeNB建 立用户面的IP连接后,所述DeNB向所述UE MME,UE SGW/PGW发送基站的认证请求消息,所 述基站的认证请求消息中包含所述基站的证书;所述UE MME, UE SGW/PGW接收到所述基站 的认证请求消息后,根据所述基站的认证请求消息中包含所述基站的证书实现对所述基站 的认证;并且在实现对所述基站的认证后,所述UE MME、UE SGW/PGW分别向所述基站发送认 证响应消息,所述认证响应消息中包含所述UE MME、UE SGW/PGW自身的证书;所述基站根据
9所述UE MME的证书实现对所述UE MME的认证,所述基站根据所述UE SGW/PGW的证书实现 对所述UE SGW/PGW的认证。若所述基站分别与所述UE MME、UESGW/PGW相互认证成功,则 创建所述基站和所述UE MME, UE SGW/PGW之间的SA。 304、1^与06他建立1 (0^乜0 Resource Control,无线资源控制)连接,并可以 在所述RN与DeNB建立RRC连接的过程中,实现所述RN与所述DeNB的相互认证。
其中,所述在所述RN与DeNB建立RRC连接的过程中,实现所述RN与所述DeNB的 相互认证包括所述RN将所述认证请求消息携带在RRC消息中发送给所述DeNB,所述认证请 求消息中包括所述中继节点的证书和签名信息,以使得所述DeNB根据所述中继节点的证 书和签名信息,实现对所述RN的认证;在所述DeNB实现对所述RN认证后,所述DeNB将认 证响应消息携带在所述RRC消息中发送给所述RN,所述认证响应消息中包括所述DeNB的证 书和签名信息;以使得所述RN接收到所述DeNB发送的RRC消息后,根据所述DeNB的证书 和签名信息实现对所述DeNB的认证。若所述RN和所述DeNB相互认证成功,则创建所述RN和所述DeNB之间的SA,若所 述RN认证不成功,则执行步骤307。305,RN执行附着过程,并且可以在附着过程中实现所述RN和所述RN MME的相互 认证。其中,所述在附着过程中实现所述RN和所述RN MME的相互认证包括所述RN向所述RN MME发送附着请求,所述附着请求中包括所述中继节点的标识, 由所述RN MME根据所述中继节点的标识确定所述RN是否存在附着记录,若确定所述RN不 存在附着记录,则向所述RN发送认证请求消息,以使得所述RN根据所述认证请求消息实现 对所述RN MME的认证;在所述RN对所述RNMME认证成功时,所述RN向所述RN MME发送认 证响应消息,以使得所述RN MME根据所述认证响应消息实现对所述RN的认证;所述RN MME 接收所述RN发送的认证响应消息,并根据所述认证响应消息实现对所述RN的认证。其中, 所述RN根据所述认证请求消息实现对所述RN MME的认证的具体过程,可以参考图2中的 步骤201中的描述,所述RN MME根据所述认证响应消息实现对所述RN的认证的具体过程 可参考图2中的步骤202,此处将不再赘述。进一步,在所述RN MME判定所述RN不存在附着记录后,还可以通过检查该RN是否 在不安全节点列表(即黑名单)中确定所述RN节点是否为合法的节点,所述黑名单是各网 络侧节点认证不成功的RN节点的集合,即不安全的RN节点的集合;若所述RN在所述黑名 单中,则说明所述RN是不安全的节点,不能同意所述RN节点的附着请求,并且不用再向所 述RN发送对所述RN的认证请求消息;若所述RN不存在附着记录并且不在所述黑名单中, 则说明所述RN为首次请求附着,所以所述RN MME向所述RN发送针对所述RN的认证请求 消息,以便实现所述RN和所述RN MME之间的相互认证。进一步,若所述RN和所述RN MME相互认证成功,则创建所述RN和所述RNMME之 间的安全关联。若所述RN MME对所述RN的认证不成功,则所述RN MME将所述RN的标识 对应的本地标识放入黑名单中,并发起去附着过程,将RN释放。306、RN与RN SGW/PGW建立用户面IP连接。其中,所述RN与RN SGW/PGW建立用 户面IP连接可以采用现有技术中的方案,本发明实施例将不再赘述。其中,当所述RN和所述DeNB没有在步骤304中实现两方的相互认证时,则可以在所述中继节点与所述DeNB建立无线资源控制连接之后,并且在所述中继节点建立用户面 IP连接前;或者在所述中继节点建立用户面IP连接后,将认证请求消息携带在新增的RRC 消息中发送所述DeNB,所述认证请求消息中包括所述中继节点的证书和签名信息,以使得 所述DeNB根据所述中继节点的证书和签名信息实现对所述RN的认证;若所述DeNB对所述 RN认证成功,则向所述RN发送认证响应消息,所述认证响应消息中包括所述DeNB的证书 和签名信息,以使得所述RN根据所述DeNB的证书和签名信息实现对所述DeNB的认证;若 所述RN和所述DeNB之间的相互认证成功,则创建所述RN和所述DeNB之间的SA,若所述 DeNB对所述RN的认证失败,则执行步骤307 ; 也可以在所述RN与RN SGW/PGW建立用户面IP连接后,通过所述RN SGW/PGW转 发所述RN和所述DeNB的认证请求/响应消息,其中,所述认证请求消息中包括所述中继节 点的证书信息,实现所述RN和所述DeNB之间的相互认证,若所述RN和所述DeNB之间的相 互认证成功,则创建所述RN和所述DeNB之间的SA,若所述DeNB对所述RN的认证失败,则 执行步骤307。 通过所述RN SGW/PGW转发包含所述RN和所述DeNB的认证消息,实现所述RN和 所述DeNB之间的相互认证包括将所述RN认证请求消息发送给所述RNSGW/PGW,由所述RN SGW/PGW将所述中继节点认证请求消息转发给所述DeNB,所述认证请求消息中包含所述RN 的证书,由所述DeNB根据所述RN的证书实现对所述RN的认证;并将自身的证书携带在所 述认证响应消息中通过所述RNSGW/PGW转发给所述RN,由所述RN根据所述DeNB的证书实 现对所述DeNB的认证。307、所述DeNB将所述RN认证失败消息传递给所述RN MME,所述认证失败消息中 包括所述RN认证失败的结果和所述RN的标识。308、所述RN MME收到所述DeNB发送的认证失败消息后,将所述RN的标识对应的 本地标识放入黑名单中,并发起去附着过程,将RN释放。309、所述RN与0&M进行相互认证,并建立安全关联;由于所述RN与0&M进行的 相互认证是在传输层进行,所述安全关联可以为TLSCTransport LayerSecurity,传输层安 全)连接。其中,所述RN与0&M(Operation and Management,运行和管理)系统进行相互认 证包括在0&M对所述RN进行本地配置之前,所述RN在传输层向所述0&M系统发送中继 节点认证请求消息,从而实现所述中继节点与0&M系统之间的相互认证;若所述RN和所述 0&M系统之间的相互认证成功,则创建所述RN和所述0&M系统之间的TLS连接。其中,实现所述RN和所述0&M之间的相互认证,只要在所述0&M对所述RN进行本 地配置之前即可,为了描述的方便本发明实施将所述RN和所述0&M之间的相互认证写在步 骤309中,本发明实施对此不进行限制。3010、RN从0&M下载配置参数,并完成本地RN配置。3011、RN分别与UE MME,UE SGW/PGW进行相互认证,并分别创建所述RN与所述UE MME之间的SA,用于后续保护S1-C,以及所述RN与所述UE SGW/PGW之间的SA,用于后续保 护Sl-U数据。若所述RN分别与UE MME,UE SGW/PGW进行相互认证成功,则执行步骤3012。其中,所述RN分别与UE MME,UE SGW/PGW进行相互认证可参考步骤303中的描述, 与步骤303不同的是,当所述网络侧节点为用户设备网关以及用户设备的移动性管理实体时,在所述中继节点建立用户面IP连接后并且在所述中继节点与用户设备网关以及用户 设备的移动性管理实体之间建立Sl连接前,由所述RN分别向所述UE MME, UE SGW/PGW发 送中继节点的认证请求消息,所述中继节点的认证请求消息包括所述RN的证书;由所述UE MME,UE SGW/PGW根据所述RN的证书,实现对所述RN的认证。本发明实施例在此将不再赘 述。3012、建立所述RN和所述UE MME,UE SGW/PGW之间的S1连接。进一步,如图6所示,对于网络设备来说,其与网络中其他网元或安全网关之间 需要建立IKE(Internet Key Exchange,因特网密钥交换)连接以及ESP (Encapsuled Security Protocol,封装安全协议)安全关联后才能与上述网元建立接口。不同安全域的 网元之间需要经过各自安全域的安全网关,逐跳建立安全关联。因此中继节点在向网络侧 节点发送中继节点认证请求消息之前,该方法还包括判断所述中继节点所处安全域与所述网络侧节点所处安全域是否处于同一安全 域;若所述中继节点所处安全域与所述网络侧节点所处安全域没有处于同一安全域,则所 述中继节点向所述网络侧节点所处安全域的安全网关发送认证请求消息。进一步,RN的alt3与RNWaltl RN在架构上以及工作方式上都很相似,所以认证 方法也比较相似。alt3的RN认证过程参照图5,本发明实施例在此将不再赘述;其中alt3 和altl RN认证过程的区别在于第一,alt3中DeNB和RN SGW/PGW在同一个实体上,所以RN和DeNB相互认证的同 时也完成了和RN SGW/PGW的相互认证。第二,alt3 RN与DeNB之间有对等IP层,图5第 306步中在RN与DeNB之间的相互认证可以在IP层完成。本发明实施例中,当网络中存在中继节点时,中继节点会向对端节点发送认证请 求消息,该消息中包括所述中继节点的证书,请求所述对端节点对其进行认证;并且所述对 端节点在对所述中继节点进行认证的同时,也会将自身的证书通过认证响应消息发送给所 述中继节点,由所述中继节点完成对所述对端节点认证,使中继节点完成了入网的必要安 全认证;并且在所述中继节点和所述网络侧节点相互认证成功后,在所述中继节点和所述 网络侧节点之间建立安全关联,保证了中继节点通信通道的安全性,保证了中继节点所在 网络的安全性。当中继节点和所述中继节点的移动性管理实体进行相互认证时,由所述中 继节点的移动性管理实体首先向所述中继节点发送认证请求消息。由所述中继节点根据所 述认证请求消息实现对所述中继节点的移动性管理实体的认证,并有所述中继节点的移动 性管理实体根据所述中继节点发送的认证响应消息实现对所述中继节点的认证,从而使中 继节点完成了入网的必要安全认证,保证了中继节点所在网络的安全性。并且,在RN附着的过程中,若所述RN为初次接入,则通过AKA过程实现对所述RN 的认证,使在实现所述RN与网络侧节点认证的过程中,同时兼顾了 RN的卡和设备的安全, 使RN尽早完成了必要的认证,保证了 RN在网络中的安全性。进一步,当RN及其必须进行认证的节点间没有对等的传输层IP层时,通过RRC消 息完成证书认证,或者RN通过其他实体中转与DeNB间的证书认证消息,完成认证过程;从 而完成了所述RN与其必须进行认证的网络节点的认证,保证了中继节点所在网络的安全性。更进一步,当所述中继节点对端任一节点对RN认证失败后,都将失败信息通知给RN MME。RN MME可以将该RN的永久标识存入黑名单,当该RN再次入网需要认证时,可以 判断所述RN是否才此黑名单中,若在此黑名单中,则就可以直接判定所述RN为不合法的节 点,执行将所述RN去附着便可,相对减少了为认证所述RN是否为合法节点的信令交互,进 而节省了网络资源。实施例3本发明实施例提供一种RN(Relay Node,中继节点)认证的方法,本发明实施例具 体以RN的构架2和构架4为例,具体阐述对处于该构架下的RN的认证方法。本发明实施例具体结合图7和图8阐述RN的构架1和构架3用户平面和控制平 面接口的分布,以及用户面数据传输的过程用户平面和控制平面接口的分布如图7所示,RN的Sl接口位于所属eNB和RN的 MME上,RN下UE的Sl接口终结在RN和UE的MME上,RN所属的eNB需要解析UE的Sl消 息并对数据包头进行修改。用户面数据传输的过程,以用户设备下行数据包传输的过程为例,如图8所示,包 括UE的数据包到达UE SGW/PGW后,会映射到UE的GTP隧道上去,RN所属的eNB将收到 的数据包映射到RN无线承载上去,再由RN映射到UE的无线承载上去,发送给UE。Alt2中 eNB与RN之间的Un 口上,所有UE相同QCI的业务数据会映射在一个承载上,而Alt4中,Un 口上各个UE的各个业务可以分别映射到不同的承载上,也可以将相同QCI的业务都映射到 一个承载上。根据图7和图8可知,第一,由于alt2的所有控制面信令或用户面数据都要经过 DeNB,因此RN与DeNB进行认证第二,RN的Sl链路需要DeNB与RN MME之间建立SA进行 保护;UE的Sl-U需要DeNB与UE SGW/PGW之间建立SA进行保护;RN与RN MME之间不需要 建立接口,不需要认证;DeNB需要修改UE Sl-C消息,不能建立UE Sl-C直达通道。第三, UE Sl数据都要经过DeNB处理后才转给上/下一节点,DeNB与UE MME, DeNB与RN分别进 行认证。本发明实施例具体以各网络节点入网的顺序,进行各网络节点和所述中继节点之 间,以及所述各网络节点之间的相互认证,并相应建立各网络节点之间,以及所述各网络节 点和所述中继节点之间的安全关联,该安全关联可以为节点之间建立的安全连接通道,也 可以是节点之间的安全信任关系;如图9所示,该RN的认证方法包括401、实现DeNB与RN MME之间的相互认证,并创建所述DeNB与所述RN MME之间 的SA。其中,所述实现DeNB与RN MME之间的相互认证可以参考图5中的步骤301中的 描述,本发明实施例此处将不再赘述。402、实现DeNB与UE MME, UE SGW/PGW之间的相互认证,并创建所述DeNB与所述 UE MME、UE SGW/PGW 之间的 SA。其中,所述实现DeNB与UE MME,UE SGW/PGW之间的相互认证可以参考图5中的步 骤303中的描述,本发明实施例此处将不再赘述。403、RN 与 DeNB 建立 RRC(Radio Resource Control,无线资源控制)连接,并可以 在所述RN与DeNB建立RRC连接的过程中,实现所述RN与所述DeNB的相互认证。其中,所述在所述RN与DeNB建立RRC连接的过程中,实现所述RN与所述DeNB的
13相互认证可以参考图5中的步骤304中的描述,本发明实施例此处将不再赘述。若所述RN和所述DeNB相互认证成功,则创建所述RN和所述DeNB之间的SA,若所 述RN认证不成功,则执行步骤406。404、RN执行附着过程,在附着过程中可以实现所述RN和所述RN MME的相互认证。其中,所述在附着过程中实现所述RN和所述RN MME的相互认证可以参考图5中 的步骤305中的描述,本发明实施例此处将不再赘述。405、RN与Home eNB GW(本地基站网关)建立用户面IP连接。其中,所述RN与 Home eNB GW建立用户面IP连接可以采用现有技术中的方案,本发明实施例将不再赘述。其中,当所述RN和所述DeNB没有在步骤403中实现两方的相互认证时,则可以在 所述中继节点与所述DeNB建立无线资源控制连接之后,或者在所述中继节点与Home eNB GW建立用户面IP连接后,或者所述中继节点与Home eNB GW建立用户面IP连接之前,通过 在所述RN和所述DeNB建立RRC消息,传输所述RN和所述DeNB的认证请求/响应消息,实 现所述RN和所述DeNB之间的相互认证,若所述RN和所述DeNB之间的相互认证成功,则创 建所述RN和所述DeNB之间的SA,若所述DeNB对所述RN的认证失败,则执行步骤406 ;或 者所述在所述RN与Home eNB Gff建立用户面IP连接后,通过所述Home eNB Gff转发所述 RN和所述DeNB的证书和签名信息,实现所述RN和所述DeNB之间的相互认证,若所述RN和 所述DeNB之间的相互认证成功,则创建所述RN和所述DeNB之间的SA,若所述DeNB对所述 RN的认证失败,则执行步骤406。406、所述DeNB将所述RN认证失败消息传递给所述RN MME,所述认证失败消息中 包括所述RN认证失败的结果和所述RN的标识。407、所述RN MME收到所述DeNB发送的认证失败消息后,可以将所述RN的标识对 应的本地标识放入黑名单中,并发起去附着过程,将RN释放。408、所述RN与0&M进行相互认证,并建立安全关联;由于所述RN与0&M进行的 相互认证是在传输层进行,所述安全关联可以为TLSCTransport LayerSecurity,传输层安 全)连接。其中,所述RN与0&M(Operation and Management,运行和管理)系统进行相互认 证可以参考图5中的步骤309,此处将不再赘述。409、RN从0&M下载配置参数,并完成本地RN配置。4010、RN分别与UE MME,UE PGW进行相互认证,并分别创建所述RN与所述UE MME 之间的SA,用于后续保护S1-C,以及所述RN与所述UE PGff之间的SA,用于后续保护Sl-U 数据。若所述RN分别与UE MME, UE SGW/PGW进行相互认证成功,则执行步骤4011。其中,所述RN分别与UE MME,UE SGW/PGW进行相互认证可参考图5中的步骤3011 中的描述,此处将不再赘述。3011、建立所述RN和所述UE MME,UE SGW/PGW之间的S1连接。进一步,RN的alt4和RN的alt2在架构上以及工作方式上都很相似,所以认证方 法也比较相似。Alt4的RN认证过程参照图9,本发明实施例在此将不再赘述;其中alt2和 alt4 RN认证过程的区别在于Alt4 RN上没有传输层IP,但是RN有UE特性,所以有应用 层IP,该IP层对等层在RN PGW上,可以利用该IP层完成RN的证书认证。另外也可以利用 RN PGff上的应用层IP中转证书认证消息到DeNB,使得DeNB和RN相互认证。所述利用RNPGW上的应用层IP进行证书认证可以采用以下三种方法,包括第一种,RN与RN MME进行 AKA, RN与RN PGff进行证书认证,证书认证建立的II3Sec不用;第二种,RN与RN MME进行 AKA, RN与RN PGff进行证书认证,证书认证过程中不建立IPsec ;第三种,RN与RN MME进行 AKA, RN与DeNB进行证书认证,RN通过其他实体中转认证消息。本发明实施例中,当网络中存在中继节点时,中继节点会向对端节点发送认证请 求消息,该消息中包括所述中继节点的证书,请求所述对端节点对其进行认证;并且所述对 端节点在对所述中继节点进行认证的同时,也会将自身的证书通过认证响应消息发送给所 述中继节点,由所述中继节点完成对所述对端节点认证,使中继节点完成了入网的必要安 全认证;并且在所述中继节点和所述网络侧节点相互认证成功后,在所述中继节点和所述 网络侧节点之间建立安全关联,保证了中继节点通信通道的安全性,保证了中继节点所在 网络的安全性。当中继节点和所述中继节点的移动性管理实体进行相互认证时,由所述中 继节点的移动性管理实体首先向所述中继节点发送认证请求消息。由所述中继节点根据所 述认证请求消息实现对所述中继节点的移动性管理实体的认证,并有所述中继节点的移动 性管理实体根据所述中继节点发送的认证响应消息实现对所述中继节点的认证,从而使中 继节点完成了入网的必要安全认证,保证了中继节点所在网络的安全性。并且,在RN附着的过程中,若所述RN为初次接入,则通过AKA过程实现对所述RN 的认证,使在实现所述RN与网络侧节点认证的过程中,同时兼顾了 RN的卡和设备的安全, 使RN尽早完成了必要的认证,保证了 RN在网络中的安全性。进一步,当RN及其必须进行认证的节点间没有对等的传输层IP层时,通过RRC消 息完成证书认证,同时不建立不必要的SA以及不生成不必要的共享密钥;或者RN通过其他 实体中转与DeNB间的证书认证消息,完成认证过程;从而完成了所述RN与其必须进行认证 的网络节点的认证,保证了中继节点所在网络的安全性。更进一步,当所述中继节点对端任一节点对RN认证失败后,都将失败信息通知给 RN MME。RN MME可以将该RN的永久标识存入黑名单,当该RN再次入网需要认证时,可以 判断所述RN是否才此黑名单中,若在此黑名单中,则就可以直接判定所述RN为不合法的节 点,执行将所述RN去附着便可,相对减少了为认证所述RN是否为合法节点的信令交互,进 而节省了网络资源。实施例4本发明实施例提供一种中继节点,如图10所示,该中继节点包括发送单元51、接 收单元52和认证单元53。发送单元51,用于向对端节点发送认证请求消息,所述认证请求消息中包含所述 中继节点的证书,以使得所述对端节点根据所述中继节点的证书实现对所述中继节点的认 证,其中,所述对端节点为网络侧节点或者所述网络侧节点所处安全域的安全网关。由于所 述中继节点加入到网络中后,需要和很多网络节点进行通信,为了保证所述中继节点和各 网络节点之间通信的安全性,需要在所述中继节点和所述各网络节点进行数据传输之前进 行相互认证;在认证的过程中所述中继节点和各个网络节点端对端的通信,因此在进行所 述中继节点和各网络节点的相互认证的过程中,可以将各网络节点统称为所述中继节点的 对端节点。其中,所述网络侧节点包括所述中继节点所属基站、用户设备服务网关以及用 户设备的移动性管理实体。
接收单元52,用于接收所述对端节点发送的针对所述发送单元发送的认证请求消 息的认证响应消息,所述认证响应消息中包含所述对端节点的证书;认证单元53,用于根 据所述接收单元52接收到的所述对端节点的证书实现对所述对端节点的认证。其中,所述发送单元51在所述中继节点与所述基站无线资源控制连接建立的过 程中;或者在所述中继节点与所述基站建立无线资源控制连接之后,并且在所述中继节点 建立用户面IP连接前;或者所述中继节点建立用户面IP连接之后,向所述中继节点所属基 站发送认证请求消息。所述发送单元51在所述中继节点与所述基站建立无线资源控制连接的过程中, 所述中继节点向所述中继节点所属基站发送认证请求消息时,将所述认证请求消息携带在 无线资源控制消息中,并发送给所述基站,其中,所述认证请求消息中包括所述中继节点的 证书和签名信息。所述发送单元51在所述中继节点与所述基站建立无线资源控制连接之后,并且 在所述中继节点建立用户面IP连接前;或者在所述中继节点建立用户面IP连接后,向所述 中继节点所属基站发送认证请求消息时,在所述中继节点与所述基站建立无线资源控制连 接之后,并且在所述中继节点建立用户面IP连接前,所述中继节点将所述认证请求消息携 带在新增的无线资源控制消息中发送给所述基站,其中,所述认证请求消息中包括所述中 继节点的证书和签名信息。所述发送单元51在所述中继节点建立用户面IP连接后,所述中继节点向所述中 继节点所属基站发送认证请求消息时,在所述中继节点建立用户面IP连接后,所述中继节 点将所述认证请求消息发送给所述中继站的服务网关,并由所述中继站的服务网关将所述 认证请求消息转发给所述中继节点所属基站,其中,所述认证请求消息中包括所述中继节 点的证书信息。所述发送单元51在所述中继节点建立用户面IP连接后,并且在所述中继节点与 用户设备网关以及用户设备的移动性管理实体之间建立Si连接前,向所述用户设备网关 以及用户设备的移动性管理实体发送认证请求消息。进一步的,所述发送单元51还用于,在运行管理系统对所述中继节点进行本地配 置之前,在传输层向所述运行管理系统发送中继节点认证请求消息,从而实现所述中继节 点与运行管理系统之间的相互认证。进一步,在所述中继节点和所述对端节点的相互认证成功时,创建所述中继节点 和所述对端节点之间的安全关联,所述该安全关联可以为节点之间建立的安全连接通道, 也可以是节点之间的安全信任关系,本发明实施例对此不进行具体限制,在所述中继节点 根据具体的对端节点进行相互认证时,具体确定是创建所述中继节点和所述对端节点之间 安全连接通道,还是安全信任关系。如图11所示,所述中继节点还包括确定单元M。所述确定单元M,用于在所述发送单元向所述网络侧节点所处安全域的安全网关 发送认证请求消息之前,确定所述中继节点所处安全域和所述网络侧节点所处安全域是否 在同一安全域;在所述确定单元M所述中继节点所处安全域和所述网络侧节点所处安全 域不在同一安全域时,调用所述发送单元51向所述网络侧节点所处安全域的安全网关发 送认证请求消息,以便实现所述中继节点和所述网络侧节点所处安全域的安全网关之间的相互认证。本发明实施例还提供一种网络侧节点装置,如图12所示,该网络侧节点装置可以 为所述中继节点所属基站、所述中继节点的移动性管理实体、所述中继节点的服务网关、用 户设备服务网关以及用户设备的移动性管理实体,该装置包括第一接收单元61、认证单 元62和第一发送单元63。第一接收单元61,用于接收中继节点发送的认证请求消息,所述点认证请求消息 中包含所述中继节点的证书;认证单元62,用于根据所述第一接收单元61接收到的所述中 继节点的证书实现对所述中继节点的认证;第一发送单元63,用于向所述中继节点发送认 证响应消息,所述认证响应消息中包含所述网络侧节点的证书。如图13所示,所述网络侧节点装置,还包括第二发送单元64、第二接收单元65 和创建单元66。第二发送单元64,用于在所述基站建立用户面IP连接后,向网络侧节点发送中基 站认证请求消息,所述基站认证请求消息中包含所述基站的证书,由所述网络侧节点根据 所述基站的证书实现对所述网络侧节点的认证;其中,所述网络侧节点包括所述中继节 点的移动性管理实体、所述中继节点的服务网关、用户设备服务网关以及用户设备的移动 性管理实体。第二接收单元65,用于接收所述网络侧节点发送的认证响应消息,所述认证响应 消息中包含所述网络侧节点的证书;所述认证单元62还用于,根据所述第二接收单元65接 收到的所述网络侧节点的证书实现对所述网络侧节点的认证;创建单元66,用于在所述基 站和所述网络侧节点互相认证成功时,建立所述网络侧节点和所述基站之间的安全关联。本发明实施例提供一种中继节点的移动性管理实体,如图14所示,包括第一发 送单元71、第一接收单元72和认证单元73。第一发送单元71,用于在中继节点附着过程中或者之后,向所述中继节点发送认 证请求消息,以使得所述中继节点根据所述认证请求消息实现对所述中继节点的移动性管 理实体的认证。第一接收单元72,用于接收所述中继节点发送的针对所述第一发送单元71发送 的认证请求消息的认证响应消息。认证单元73,用于根据所述接收单元72接收到的所述认证响应消息实现对所述 中继节点的认证。进一步,所述的中继节点的移动性管理实体,如图15所示,还包括第二接收单元 74和第一确定单元75。第二接收单元73,用于在所述第一发送单元71向所述中继节点发送认证请求消 息之前,接收所述中继节点发送的附着请求,所述附着请求中包括所述中继节点的标识;第 一确定单元75,用于根据所述第二接收单元74接收到的所述中继节点的标识确定所述中 继节点是否存在附着记录;在所述第一确定单元75确定所述中继节点的标识确定所述中 继节点不存在附着记录时,调用所述第一发送单元71向所述中继节点发送认证请求消息。可选的所述中继节点的移动性管理实体,如图16所示,还包括第二确定单元76, 用于在所述第一确定单元75确定所述中继节点不存在附着记录之后,并且在所述第一发 送单元71向所述中继节点发送认证请求消息之前,据所述中继节点的标识确定所述中继节点是否在所述中继节点的移动性管理实体记录的不安全节点列表中;若所述第二确定 单元76确定所述中继节点不在所述中继节点的移动性管理实体记录的不安全节点列表中 时,调用所述第一发送单元71向所述中继节点发送认证请求消息,以便实现所述中继节点 的移动性管理实体和所述中继节点的相互认证。本发明实施例还提供一种中继节点的认证系统,包括中继节点和对端节点。中继节点,用于向所述对端节点发送认证请求消息,所述中继节点认证请求消息 中包含所述中继节点的证书,以使得所述对端节点根据所述中继节点的证书实现对所述中 继节点的认证,其中,所述对端节点为网络侧节点或者所述网络侧节点所处安全域的安全 网关。对端节点,用于接收所述中继节点发送的认证请求消息,所述中继节点认证请求 消息中包含所述中继节点的证书;根据所述中继节点的证书实现对所述中继节点的认证; 向所述中继节点发送认证响应消息,所述认证响应消息中包含所述对端节点的证书。所中继节点还用于,接收所述对端节点发送的认证响应消息,所述认证响应消息 中包含所述对端节点的证书,根据所述对端节点的证书实现对所述对端节点的认证。本发明实施例中,当网络中存在中继节点时,中继节点会向对端节点发送认证请 求消息,该消息中包括所述中继节点的证书,请求所述对端节点对其进行认证;并且所述对 端节点在对所述中继节点进行认证的同时,也会将自身的证书通过认证响应消息发送给所 述中继节点,由所述中继节点完成对所述对端节点认证,使中继节点完成了入网的必要安 全认证;并且在所述中继节点和所述网络侧节点相互认证成功后,在所述中继节点和所述 网络侧节点之间建立安全关联,保证了中继节点通信通道的安全性,保证了中继节点所在 网络的安全性。当中继节点和所述中继节点的移动性管理实体进行相互认证时,由所述中 继节点的移动性管理实体首先向所述中继节点发送认证请求消息。由所述中继节点根据所 述认证请求消息实现对所述中继节点的移动性管理实体的认证,并有所述中继节点的移动 性管理实体根据所述中继节点发送的认证响应消息实现对所述中继节点的认证,从而使中 继节点完成了入网的必要安全认证,保证了中继节点所在网络的安全性。并且,在RN附着的过程中,若所述RN为初次接入,则通过AKA过程实现对所述RN 的认证,使在实现所述RN与网络侧节点认证的过程中,同时兼顾了 RN的卡和设备的安全, 使RN尽早完成了必要的认证,保证了 RN在网络中的安全性。进一步,当RN及其必须进行认证的节点间没有对等的传输层IP层时,通过RRC消 息完成证书认证,或者RN通过其他实体中转与DeNB间的证书认证消息,完成认证过程;从 而完成了所述RN与其必须进行认证的网络节点的认证,保证了中继节点所在网络的安全性。更进一步,当所述中继节点对端任一节点对RN认证失败后,都将失败信息通知给 RN MME。RN MME可以将该RN的永久标识存入黑名单,当该RN再次入网需要认证时,可以 判断所述RN是否才此黑名单中,若在此黑名单中,则就可以直接判定所述RN为不合法的节 点,执行将所述RN去附着便可,相对减少了为认证所述RN是否为合法节点的信令交互,进 而节省了网络资源。本发明不局限于上述应用领域,也适用于其他存在中继的系统中。通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳 的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部 分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计 算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机, 服务器,或者网络设备等)执行本发明各个实施例所述的方法。 以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何 熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵 盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
权利要求
1.一种中继节点的认证方法,其特征在于,包括中继节点向对端节点发送认证请求消息,所述认证请求消息中包含所述中继节点的证 书,以使得所述对端节点根据所述中继节点的证书实现对所述中继节点的认证,其中,所述 对端节点为网络侧节点或者所述网络侧节点所处安全域的安全网关;所述中继节点接收所述对端节点发送的认证响应消息,所述认证响应消息中包含所述 对端节点的证书,并根据所述对端节点的证书实现对所述对端节点的认证。
2.根据权利要求1所述的方法,其特征在于,所述网络侧节点包括所述中继节点所属 基站、用户设备服务网关以及用户设备的移动性管理实体;所述中继节点向所述网络侧节点发送认证请求消息包括在所述中继节点与所述基站无线资源控制连接建立的过程中;或者在所述中继节点与 所述基站建立无线资源控制连接之后,并且在所述中继节点建立用户面IP连接前;或者所 述中继节点建立用户面IP连接之后,所述中继节点向所述中继节点所属基站发送认证请 求消息;在所述中继节点建立用户面IP连接后,并且在所述中继节点与用户设备网关以及用 户设备的移动性管理实体之间建立Sl连接前,所述中继节点向所述用户设备网关以及用 户设备的移动性管理实体发送认证请求消息。
3.根据权利要求2所述的方法,其特征在于,所述在所述中继节点与所述基站建立无 线资源控制连接的过程中,所述中继节点向所述中继节点所属基站发送认证请求消息,包 括所述中继节点将所述认证请求消息携带在无线资源控制消息中,并发送给所述基站, 其中,所述认证请求消息中包括所述中继节点的证书和签名信息。
4.根据权利要求2所述的方法,其特征在于,所述在所述中继节点与所述基站建立无 线资源控制连接之后,并且在所述中继节点建立用户面IP连接前;或者在所述中继节点建 立用户面IP连接后,所述中继节点向所述中继节点所属基站发送认证请求消息包括在所述中继节点与所述基站建立无线资源控制连接之后,并且在所述中继节点建立用 户面IP连接前,所述中继节点将所述认证请求消息携带在新增的无线资源控制消息中发 送给所述基站,其中,所述认证请求消息中包括所述中继节点的证书和签名信息。
5.根据权利要求2所述的方法,其特征在于,在所述中继节点建立用户面IP连接后,所 述中继节点向所述中继节点所属基站发送认证请求消息包括在所述中继节点建立用户面IP连接后,所述中继节点将所述认证请求消息发送给所 述中继站的服务网关,并由所述中继站的服务网关将所述认证请求消息转发给所述中继节 点所属基站,其中,所述认证请求消息中包括所述中继节点的证书信息。
6.根据权利要求1所述的方法,其特征在于,该方法还包括若所述对端节点对所述中继节点认证失败,则由所述对端节点将所述中继节点认证失 败的结果及所述中继节点的标识发送给所述中继节点的移动性管理实体,以使得所述中继 节点的移动性管理实体将所述中继节点的附着去除。
7.根据权利要求1所述的方法,其特征在于,该方法还包括若所述对端节点对所述中继节点认证失败,则由所述对端节点将所述中继节点认证失 败的结果及所述中继节点的标识发送给所述中继节点的移动性管理实体,以使得所述中继节点的移动性管理实体将所述中继节点加入不安全节点列表中。
8.根据权利要求1所述的方法,其特征在于,在所述中继节点向所述网络侧节点所处 安全域的安全网关发送认证请求消息之前,该方法还包括确定所述中继节点所处安全域和所述网络侧节点所处安全域是否在同一安全域;若确定所述中继节点所处安全域和所述网络侧节点所处安全域不在同一安全域,则执 行所述中继节点向所述网络侧节点所处安全域的安全网关发送认证请求消息的步骤。
9.根据权利要求1所述的方法,其特征在于,所述方法进一步包括在运行管理系统对所述中继节点进行本地配置之前,所述中继节点在传输层向所述运 行管理系统发送认证请求消息,从而实现所述中继节点与所述运行管理系统之间的相互认 证。
10.一种中继节点的认证方法,其特征在于,包括在中继节点附着过程中或者之后,所述中继节点的移动性管理实体向所述中继节点发 送认证请求消息,以使得所述中继节点根据所述认证请求消息实现对所述中继节点的移动 性管理实体的认证;所述中继节点的移动性管理实体接收所述中继节点发送的认证响应消息,根据所述认 证响应消息实现对所述中继节点的认证。
11.根据权利要求10所述的方法,其特征在于,所述中继节点的移动性管理实体向所 述中继节点发送认证请求消息之前,还包括所述中继节点的移动性管理实体接收所述中继节点发送的附着请求,所述附着请求中 包括所述中继节点的标识;若所述中继节点的移动性管理实体根据所述中继节点的标识确定所述中继节点不存 在附着记录,则执行所述中继节点的移动性管理实体向所述中继节点发送认证请求消息的 步骤。
12.根据权利要求11所述的方法,其特征在于,所述中继节点的移动性管理实体根据 所述中继节点的标识确定所述中继节点不存在附着记录之后,在向所述中继节点发送认证 请求消息之前,进一步包括所述中继节点的移动性管理实体根据所述中继节点的标识确定所述中继节点不在所 述中继节点的移动性管理实体记录的不安全节点列表中。
13.—种中继节点,其特征在于,包括发送单元,用于向对端节点发送认证请求消息,所述认证请求消息中包含所述中继节 点的证书,以使得所述对端节点根据所述中继节点的证书实现对所述中继节点的认证,其 中,所述对端节点为网络侧节点或者所述网络侧节点所处安全域的安全网关;接收单元,用于接收所述对端节点发送的针对所述发送单元发送的认证请求消息的认 证响应消息,所述认证响应消息中包含所述对端节点的证书;认证单元,用于根据所述接收单元接收到的所述对端节点的证书实现对所述对端节点 的认证。
14.根据权利要求13所述的中继节点,其特征在于,还包括确定单元,用于在所述发送单元向所述网络侧节点所处安全域的安全网关发送认证请 求消息之前,确定所述中继节点所处安全域和所述网络侧节点所处安全域是否在同一安全域;在所述确定单元所述中继节点所处安全域和所述网络侧节点所处安全域不在同一安 全域时,调用所述发送单元向所述网络侧节点所处安全域的安全网关发送认证请求消息。
15.根据权利要求13或14所述的中继节点,其特征在于,所述发送单元还用于,在运行管理系统对所述中继节点进行本地配置之前,在传输层 向所述运行管理系统发送中继节点认证请求消息,从而实现所述中继节点与运行管理系统 之间的相互认证。
16.一种中继节点的移动性管理实体,其特征在于,包括第一发送单元,用于在中继节点附着过程中或者之后,向所述中继节点发送认证请求 消息,以使得所述中继节点根据所述认证请求消息实现对所述中继节点的移动性管理实体 的认证;第一接收单元,用于接收所述中继节点发送的针对所述第一发送单元发送的认证请求 消息的认证响应消息;认证单元,用于根据所述接收单元接收到的所述认证响应消息实现对所述中继节点的 认证。
17.根据权利要求16所述的中继节点的移动性管理实体,其特征在于,还包括第二接收单元,用于在所述第一发送单元向所述中继节点发送认证请求消息之前,接 收所述中继节点发送的附着请求,所述附着请求中包括所述中继节点的标识;第一确定单元,用于根据所述第二接收单元接收到的所述中继节点的标识确定所述中 继节点是否存在附着记录;在所述第一确定单元确定所述中继节点的标识确定所述中继节 点不存在附着记录时,调用所述第一发送单元向所述中继节点发送认证请求消息。
18.根据权利要求17所述的中继节点的移动性管理实体,其特征在于,还包括第二确定单元,用于在所述第一确定单元确定所述中继节点不存在附着记录之后,并 且在所述第一发送单元向所述中继节点发送认证请求消息之前,据所述中继节点的标识确 定所述中继节点是否在所述中继节点的移动性管理实体记录的不安全节点列表中;若所述第二确定单元确定所述中继节点不在所述中继节点的移动性管理实体记录的 不安全节点列表中时,调用所述第一发送单元向所述中继节点发送认证请求消息。
19.一种中继节点的认证系统,其特征在于,包括中继节点,用于向对端节点发送认证请求消息,所述认证请求消息中包含所述中继节 点的证书,以使得所述对端节点根据所述中继节点的证书实现对所述中继节点的认证,其 中,所述对端节点为网络侧节点或者所述网络侧节点所处安全域的安全网关;对端节点,用于接收所述中继节点发送的认证请求消息,所述认证请求消息中包含所 述中继节点的证书;根据所述中继节点的证书实现对所述中继节点的认证;向所述中继节 点发送认证响应消息,所述认证响应消息中包含所述对端节点的证书;所中继节点还用于,接收所述对端节点发送的认证响应消息,所述认证响应消息中包 含所述对端节点的证书,根据所述对端节点的证书实现对所述对端节点的认证。
全文摘要
本发明实施例公开了一种中继节点的认证方法、装置及系统,涉及通信领域,实现了网络侧节点与中继节点之间的相互认证,并相应的建立了安全关联,保证了中继节点所在网络的安全性。其中,本发明实施例提供的方法包括中继节点向对端节点发送认证请求消息,所述认证请求消息中包含所述中继节点的证书,以使得所述对端节点根据所述中继节点的证书实现对所述中继节点的认证,其中,所述对端节点为网络侧节点或者所述网络侧节点所处安全域的安全网关;所述中继节点接收所述对端节点发送的认证响应消息,所述认证响应消息中包含所述对端节点的证书,并根据所述对端节点的证书实现对所述对端节点的认证。
文档编号H04W88/04GK102143489SQ20101010351
公开日2011年8月3日 申请日期2010年2月1日 优先权日2010年2月1日
发明者刘菁, 张冬梅, 张爱琴, 毕晓宇 申请人:华为技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:张冬梅;张爱琴;毕晓宇;刘菁
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
中继节点相关技术
csgo中继节点相关技术
钢网架节点检验装置相关技术
ieee30节点系统图相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2