專利名稱:認(rèn)證方法和認(rèn)證設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù),尤其涉及一種認(rèn)證方法和認(rèn)證設(shè)備����。
背景技術(shù):
長期演進(jìn)(LongTerm Evolution, LTE)系統(tǒng)中���,用戶設(shè)備(UserEquipment, UE) 入網(wǎng)時需要完成簽約認(rèn)證(subscription authentication),即完成全球用戶身份模塊 (Universal Subscriber Identity Module, USIM)認(rèn)證�,該認(rèn)證由 UE 的卡和移動管理實體(Mobile Management Entity, MME)間執(zhí)行認(rèn)證和密鑰協(xié)商(Authentication and Key Agreement, AKA)過程完成�。演進(jìn)基站(evolution NodeB, eNB)啟動時,可以和有接口的網(wǎng)元間進(jìn)行基于證書的密鑰交換(Internet Key Exchange, IKE)認(rèn)證���,即平臺認(rèn)證(platform authentication),并建立IPsec安全隧道����,或者建立傳輸層安全協(xié)議(Transport Layer Security Protocol, TLS)隧道。中繼節(jié)點(Relay Node, RN)是長期演進(jìn)系統(tǒng)的進(jìn)一步增強(qiáng)(Long Term EvolutionAdvanced, LTE-A)中引入的新的接入網(wǎng)節(jié)點�,RN有雙重角色UE 角色和eNB角色。在引入RN后���,對應(yīng)的eNB和MME (mobility managemententity移動性管理實體)分別為錨點基站(DeNB�,Donor eNB)和MME_RN����。RN在入網(wǎng)過程中,和傳統(tǒng)的UE 一樣��,會與MME_RN進(jìn)行AKA過程�����,完成對RN卡(即 USIM)的認(rèn)證����。但是,由于RN設(shè)備與USM之間通道的不安全性���,單純進(jìn)行AKA認(rèn)證很容易被攻擊者攻擊���,不能保證安全性���。
發(fā)明內(nèi)容
本發(fā)明實施例是提供一種認(rèn)證方法和認(rèn)證設(shè)備,提高安全保護(hù)能力��。本發(fā)明實施例提供了一種認(rèn)證方法�,包括獲取簽約認(rèn)證后生成的第一密鑰,并獲取平臺認(rèn)證后生成的第二密鑰��;根據(jù)所述第一密鑰和第二密鑰進(jìn)行密鑰推演��,得到第三密鑰����,根據(jù)所述第三密鑰推演非接入層NAS密鑰以及接入層AS根密鑰,所述NAS密鑰用于保護(hù)NAS消息����,所述AS根密鑰用于推演AS密鑰����,所述AS密鑰用于保護(hù)AS消息和數(shù)據(jù)。本發(fā)明實施例提供一種認(rèn)證設(shè)備��,包括獲取模塊����,用于獲取簽約認(rèn)證后生成的第一密鑰���,并獲取平臺認(rèn)證后生成的第二密鑰;推演模塊���,用于根據(jù)所述獲取模塊獲取的第一密鑰和第二密鑰進(jìn)行密鑰推演�,得到第三密鑰���,根據(jù)所述第三密鑰推演非接入層NAS密鑰以及接入層AS根密鑰���,所述NAS密鑰用于保護(hù)NAS消息,所述AS根密鑰用于推演AS密鑰�,所述AS密鑰用于保護(hù)AS消息和數(shù)據(jù)。本發(fā)明實施例提供了一種認(rèn)證方法��,包括獲取簽約認(rèn)證后生成的第一密鑰���,并與DeNB進(jìn)行平臺認(rèn)證���,生成第二密鑰,所述 DeNB在與中繼節(jié)點RN建立安全隧道后將所述第二密鑰發(fā)送給所述RN ���;
接收所述DeNB發(fā)送的指示消息�����,所述指示消息中包含表明所述設(shè)備認(rèn)證是否成功的信息�,如果所述指示消息包括表明所述設(shè)備認(rèn)證未成功的信息,則釋放與所述RN的連接�����。本發(fā)明實施例提供了一種認(rèn)證設(shè)備�����,包括獲取模塊���,用于獲取簽約認(rèn)證后生成的第一密鑰��,并與錨點基站DeNB進(jìn)行平臺認(rèn)證,生成所述第二密鑰��;釋放模塊�,用于在所述DeNB在與中繼節(jié)點RN建立安全隧道后將所述獲取模塊獲取的第二密鑰發(fā)送給所述RN后,接收所述DeNB發(fā)送的指示消息����,所述指示消息中包含表明所述設(shè)備認(rèn)證是否成功的信息����,如果所述指示消息包括表明所述設(shè)備認(rèn)證未成功的信息�����, 則釋放與所述RN的連接�����。由上述技術(shù)方案可知����,本發(fā)明實施例不僅進(jìn)行卡認(rèn)證,還進(jìn)行設(shè)備認(rèn)證����,通過對卡認(rèn)證生成的第一密鑰和設(shè)備認(rèn)證生成的第二密鑰進(jìn)行密鑰推演得到第三密鑰,采用第三密鑰得到NAS密鑰和AS密鑰并進(jìn)行安全保護(hù)��,可以提高安全保護(hù)能力����。
為了更清楚地說明本發(fā)明實施例中的技術(shù)方案�,下面將對實施例描述中所需要使用的附圖作一簡單地介紹����,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施例����,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下���,還可以根據(jù)這些附圖獲得其他
的附圖�����。
圖I為本發(fā)明第一實施例的方法流程示意圖2為本發(fā)明第二實施例的方法流程示意圖3為本發(fā)明第三實施例的方法流程示意圖4為本發(fā)明第四實施例的方法流程示意圖5為本發(fā)明第五實施例的設(shè)備的結(jié)構(gòu)示意圖6為本發(fā)明第六實施例的方法流程示意圖7為本發(fā)明第七實施例的設(shè)備的結(jié)構(gòu)示意圖����。
具體實施方式
為使本發(fā)明實施例的目的���、技術(shù)方案和優(yōu)點更加清楚�,下面將結(jié)合本發(fā)明實施例
中的附圖�,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚�、完整地描述����,顯然�,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例���?;诒景l(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍���。圖I為本發(fā)明第一實施例的方法流程示意圖�����,包括步驟11 RN的MME (MME_RN)獲取簽約認(rèn)證后生成的第一密鑰�,并獲取平臺認(rèn)證后生成的第二密鑰�����;步驟12 :MME_RN根據(jù)所述第一密鑰和第二密鑰進(jìn)行密鑰推演,得到第三密鑰�, 根據(jù)所述第三密鑰推演非接入層(Non-Access Stratum, NAS)密鑰以及接入層(Access Stratum, AS)根密鑰,所述NAS密鑰用于保護(hù)NAS消息�,所述AS根密鑰用于推演AS密鑰, 所述AS密鑰用于保護(hù)AS消息和數(shù)據(jù)�。
本實施例通過對第一密鑰和第二密鑰進(jìn)行密鑰推演得到第三密鑰,采用第三密鑰推演NAS密鑰和AS根密鑰����,可以避免單純采用第一密鑰造成的不安全問題,提高安全保護(hù)能力��。圖2為本發(fā)明第二實施例的方法流程示意圖��,本實施例以RN與DeNB進(jìn)行平臺認(rèn)證生成第二密鑰為例����。參見圖2,本實施例包括步驟21 :RN與MME_RN進(jìn)行AKA過程����,完成簽約認(rèn)證。其中���,在簽約認(rèn)證完成后��,RN和MME_RN都可以生成第一密鑰Kasme����。步驟22 RN與DeNB進(jìn)行IKA過程����,完成平臺認(rèn)證,并建立IPsec隧道或者TLS隧道����。步驟23 :平臺認(rèn)證完成后,RN和DeNB生成第二密鑰Ko����。具體地,可以是DeNB生成隨機(jī)數(shù)Κο���,通過IPsec隧道或者TLS隧道發(fā)送給RN ;也可以是��,在建立IPsec過程或者TLS過程中通過生成的共享密鑰獲得Κο�。步驟24 =DeNB通過SI消息將第二密鑰Ko發(fā)送給MME_RN����。步驟25 MME_RN根據(jù)第一密鑰Kasme和第二密鑰Ko,得到第三密鑰Kasme ’。其中����,MME_RN可以采用密鑰推演函數(shù)KDF得到新的密鑰,即Kasme ’ = KDF (Ko�����, Kasme)����。密鑰推演函數(shù)是一種現(xiàn)有的用于產(chǎn)生密鑰的算法。步驟26 MME_RN向RN發(fā)送用于啟動RN側(cè)密鑰的消息��。例如�����,上述的啟動RN側(cè)密鑰可以包括啟動RN側(cè)的NAS密鑰�����,和/或��,啟動RN側(cè)的AS層密鑰����。其一�,為了啟動RN側(cè)的NAS密鑰���,可以是MME_RN向RN發(fā)送NAS安全模式命令 (Secure Mode Command, SMC)消息�����。在一個實施例中,該NAS SMC消息用于啟動RN側(cè)的NAS密鑰����,該消息中可以包含如下項中的至少一項安全算法��、安全開啟指示信息以及NAS密鑰標(biāo)識����。另外,該NAS SMC消息可以用NAS密鑰進(jìn)行保護(hù)�����,MME_RN在計算出第三密鑰后�,可以根據(jù)第三密鑰來計算NAS密鑰����,其中具體的計算過程可以參見現(xiàn)有技術(shù)中用第一密鑰計算NAS密鑰的過程���。另外���,該用于啟動RN側(cè)的NAS密鑰的消息也不限于NAS SMC,也可以采用新增的消
肩、O在一個實施例中�,為了啟動RN側(cè)的AS密鑰,可以是MME_RN根據(jù)第三密鑰計算AS根密鑰KeNB��,并將該AS根密鑰KeNB發(fā)送給DeNB �; DeNB根據(jù)該AS根密鑰計算AS密鑰,并向RN發(fā)送AS SMC消息�����,該AS SMC消息可以用計算得到的AS密鑰進(jìn)行保護(hù)���。其中����,由AS根密鑰計算AS密鑰的算法可以采用通常的算法實現(xiàn)�����。該AS SMC消息用于啟動RN側(cè)的AS密鑰,該消息中可以包含如下項中的至少一項 安全算法�����、安全開啟指示信息以及AS密鑰標(biāo)識��。另外�����,該用于啟動RN側(cè)的AS密鑰的消息也不限于AS SMC�����,也可以采用新增的消
肩��、O在一個實施例中��,可以啟動RN側(cè)的NAS密鑰��,并且��,啟動RN側(cè)的AS層密鑰����。步驟27 :RN根據(jù)簽約認(rèn)證生成的第一密鑰及平臺認(rèn)證生成的第二密鑰,推演計算
第三密鑰����。
例如,RN在接收到用于啟動密鑰的消息后���,采用自身保存的Ko�、Kasme推演密鑰�, 得到自身推演后的Kasme’ = KDF(Ko, Kasme),再用該推演后的密鑰Kasme’得到NAS密鑰以及AS根密鑰�,根據(jù)AS根密鑰得到AS密鑰。之后�����,可以采用該NAS密鑰以及AS密鑰進(jìn)行通常的安全相關(guān)過程����。本實施例中,當(dāng)?shù)诙荑€Ko和/或第一密鑰Kasme更新后�����,則會引起第三密鑰更新l)Kasme更新引發(fā)RN與MME_RN保存Ko,當(dāng)新的AKA生成的新的Kasme后�����,用保存的Ko與新的Kasme運(yùn)算,得到更新后的Kasme’ ����;2)Ko的更新引發(fā)當(dāng)IPsec更新時,生成新的Ko’,用新的Ko’與Kasme —起運(yùn)算����, 得到新的Kasme’ ;3) Kasme和Ko同時更新引發(fā)當(dāng)MME_RN收到DeNB發(fā)送過來的新的Ko時���,如果判斷出需要馬上進(jìn)行AKA,MME應(yīng)該先發(fā)起AKA過程��,生成新的Kasme����,然后根據(jù)新的Ko,Kasme 計算新的Kasme’ ��;更新后的RN側(cè)密鑰的啟動I) MME_RN觸發(fā)NAS SMC過程�,啟動新的NAS密鑰��;2) MME_RN根據(jù)更新后的Kasme ’計算AS根密鑰KeNB����,并將該AS根密鑰發(fā)送給 DeNB7DeNB通過AS根密鑰計算得到AS密鑰���,并用AS密鑰保護(hù)AS SMC發(fā)送給RN以啟動新的AS密鑰��,或者����,DeNB在計算出AS密鑰后�����,觸發(fā)小區(qū)內(nèi)切換(intra-cell HO)以啟動RN的新的AS密鑰��。本實施例通過對第一密鑰和第二密鑰進(jìn)行混合�����,可以避免單純采用第一密鑰造成的NAS層不安全問題�,保證NAS層的安全。另外,在平臺認(rèn)證之后將第二密鑰由DeNB發(fā)送給MME_RN��,可以保證DeNB和MME_RN對RN的認(rèn)證結(jié)果一致���。圖3為本發(fā)明第三實施例的方法流程示意圖��,本實施例以RN與MME_RN進(jìn)行平臺認(rèn)證生成第二密鑰為例���,參見圖3,本實施例包括步驟31 :RN與MME_RN進(jìn)行AKA過程����,完成簽約認(rèn)證。其中����,在簽約認(rèn)證完成后,RN和MME_RN都可以生成第一密鑰Kasme�。步驟32 RN與MME_RN進(jìn)行IKA過程,完成平臺認(rèn)證�����,并建立IPsec隧道或者TLS 隧道���。步驟33 :平臺認(rèn)證完成后�,RN和MME_RN生成第二密鑰Ko����。具體地,可以是MME_RN生成隨機(jī)數(shù)Ko��,通過IPsec隧道或者TLS隧道發(fā)送給RN ���; 也可以是�����,在建立IPsec過程或者TLS過程中通過生成的共享密鑰獲得Ko����。步驟34 MME_RN根據(jù)第一密鑰Kasme和第二密鑰Ko��,得到第三密鑰Kasme’����。步驟35 MME_RN向RN發(fā)送用于啟動RN側(cè)密鑰的消息。步驟36 :RN根據(jù)簽約認(rèn)證生成的第一密鑰及平臺認(rèn)證生成的第二密鑰����,推演計算
第三密鑰���。上述的步驟34-36的具體內(nèi)容可以參見步驟25-27。另外���,更新第三密鑰以及更新后的第三密鑰的啟動也可以參見第二實施例的內(nèi)容���。本實施例通過對第一密鑰和第二密鑰進(jìn)行混合,可以避免單純采用第一密鑰造成的NAS層不安全問題�,保證NAS層的安全。另外�����,通過RN與MME進(jìn)行平臺認(rèn)證���,可以避免 DeNB引入新的SI消息發(fā)送第二密鑰�。圖4為本發(fā)明第四實施例的方法流程示意圖�����,本實施例以DeNB和MME_RN進(jìn)行平臺認(rèn)證生成第二密鑰為例���,參見圖4����,本實施例包括步驟41 RN與MME_RN進(jìn)行AKA過程��,完成簽約認(rèn)證���。其中��,在簽約認(rèn)證完成后�,RN和MME_RN都可以生成第一密鑰Kasme���。步驟42 MME_RN與DeNB進(jìn)行IKA過程�,完成平臺認(rèn)證��,并建立IPsec隧道或者TLS 隧道�。步驟43 :平臺認(rèn)證完成后,MME_RN和DeNB生成第二密鑰Ko����。具體地,可以是MME_RN生成隨機(jī)數(shù)Ko��,通過IPsec隧道或者TLS隧道發(fā)送給DeNB ; 也可以是�����,MME_RN和DeNB在建立IPsec過程或者TLS過程中通過生成的共享密鑰獲得Ko��。步驟44 :RN與DeNB建立IPsec隧道或者TLS隧道��,完成平臺認(rèn)證�。步驟45 =DeNB將Ko通過IPsec隧道或者TLS隧道發(fā)送給RN。步驟46 :DeNB向MME_RN發(fā)送指示消息,該指示消息中包含表明平臺認(rèn)證是否成功的信息以及表明已向RN發(fā)送第二密鑰的信息�。步驟47 如果指示消息表明RN與DeNB的平臺認(rèn)證成功,則MME_RN根據(jù)第一密鑰 Kasme和第二密鑰Ko��,得到第三密鑰Kasme’����。如果指示消息表明RN與DeNB的平臺認(rèn)證未成功,則MME_RN可以釋放與RN的連接�。步驟48 MME_RN向RN發(fā)送用于啟動RN側(cè)密鑰的消息。步驟49 :RN根據(jù)簽約認(rèn)證生成的第一密鑰及平臺認(rèn)證生成的第二密鑰��,推演計算
第三密鑰�����。上述的步驟47-49的具體內(nèi)容可以參見步驟25_27。另外����,更新第三密鑰以及更新后的第三密鑰的啟動也可以參見第二實施例的內(nèi)容����。本實施例通過對第一密鑰和第二密鑰進(jìn)行混合,可以避免單純采用第一密鑰造成的NAS層不安全問題�,保證NAS層的安全。另外����,在RN獲取第二密鑰之后通知MME_RN,可以保證DeNB和MME_RN對RN的認(rèn)證結(jié)果一致����。圖5為本發(fā)明第五實施例的設(shè)備的結(jié)構(gòu)示意圖,包括獲取模塊51和推演模塊52 ��; 獲取模塊51用于獲取簽約認(rèn)證后生成的第一密鑰��,并獲取平臺認(rèn)證后生成的第二密鑰����;推演模塊52用于根據(jù)所述第一密鑰和第二密鑰進(jìn)行密鑰推演�����,得到第三密鑰�����,根據(jù)所述第三密鑰推演NAS密鑰以及AS根密鑰��,所述NAS密鑰用于保護(hù)NAS消息�,所述AS根密鑰用于推演AS密鑰���,所述AS密鑰用于保護(hù)AS消息和數(shù)據(jù)��。所述獲取模塊51具體用于接收DeNB發(fā)送的第二密鑰��,所述第二密鑰為所述 DeNB與RN完成平臺認(rèn)證后生成的��;或者�,與RN進(jìn)行平臺認(rèn)證�,生成所述第二密鑰;或者��,與 DeNB進(jìn)行平臺認(rèn)證,生成所述第二密鑰����,所述DeNB用于在與RN建立安全隧道后將所述第二密鑰發(fā)送給所述RN。本實施例還可以包括接收模塊�����,用于接收所述DeNB發(fā)送的指示消息����,所述指示消息中包含表明所述平臺認(rèn)證是否成功的信息���;所述推演模塊具體用于如果所述指示消息包括表明所述設(shè)備認(rèn)證成功的信息�����,進(jìn)行所述根據(jù)所述第一密鑰和第二密鑰進(jìn)行密鑰推演�����, 得到第三密鑰�。本實施例還可以包括發(fā)送模塊����,用于在所述根據(jù)所述第三密鑰推演NAS密鑰之后��,向RN發(fā)送采用所述NAS密鑰保護(hù)的消息以啟動所述RN的NAS密鑰�����,所述消息中至少包含如下項中的至少一項為NAS層選擇的安全算法�����、NAS層安全開啟指示信息以及NAS密鑰標(biāo)識���;和/或,在所述根據(jù)所述第三密鑰計算AS根密鑰之后�,向DeNB發(fā)送所述AS根密鑰, 以便所述DeNB根據(jù)所述AS根密鑰得到AS密鑰����,并向所述RN發(fā)送采用所AS密鑰保護(hù)的消息以啟用所述RN的AS密鑰,所述消息中至少包含如下項中的至少一項:為AS層選擇的安全算法����、AS層安全開啟指示信息以及AS密鑰標(biāo)識。本實施例還可以包括更新模塊�����,用于當(dāng)所述第一密鑰發(fā)生變化,根據(jù)變化后的第一密鑰�����,以及所述第二密鑰����,推演更新后的第三密鑰,并根據(jù)所述更新后的第三密鑰推演更新后的NAS密鑰以及更新后的AS根密鑰�;或者,當(dāng)所述第二密鑰發(fā)生變化�����,根據(jù)變化后的第二密鑰����,以及所述第一密鑰����,推演更新后的第三密鑰,并根據(jù)所述更新后的第三密鑰推演更新后的NAS密鑰以及更新后的AS根密鑰�����;或者,當(dāng)所述第一密鑰發(fā)生變化����,且所述第二密鑰發(fā)生變化,根據(jù)變化后的第一密鑰以及變化后的第二密鑰��,推演更新后的第三密鑰�����,并根據(jù)所述更新后的第三密鑰推演更新后的NAS密鑰以及更新后的AS根密鑰����。本實施例不僅進(jìn)行簽約認(rèn)證,還進(jìn)行平臺認(rèn)證����,通過對簽約認(rèn)證生成的第一密鑰和平臺認(rèn)證生成的第二密鑰進(jìn)行密鑰推演得到第三密鑰,采用第三密鑰得到NAS密鑰和AS 密鑰并進(jìn)行安全保護(hù)��,可以提高安全保護(hù)能力�。圖6為本發(fā)明第六實施例的方法流程示意圖,包括步驟61 MME_RN獲取簽約認(rèn)證后生成的第一密鑰�,并與DeNB進(jìn)行平臺認(rèn)證����,生成所述第二密鑰���,所述DeNB在與RN建立安全隧道后將所述第二密鑰發(fā)送給所述RN �;步驟62 :MME_RN接收所述DeNB發(fā)送的指示消息�,所述指示消息中包含表明所述設(shè)備認(rèn)證是否成功的信息,如果所述指示消息包括表明所述設(shè)備認(rèn)證未成功的信息����,則釋放與所述RN的連接。本實施例在平臺認(rèn)證未成功后釋放連接��,可以提高安全保護(hù)能力����。圖7為本發(fā)明第七實施例的設(shè)備的結(jié)構(gòu)示意圖�,包括獲取模塊71和釋放模塊72 ; 獲取模塊71用于獲取簽約認(rèn)證后生成的第一密鑰���,并與DeNB進(jìn)行平臺認(rèn)證�,生成所述第二密鑰����;釋放模塊72用于在所述DeNB在與RN建立安全隧道后將所述獲取模塊71獲取的第二密鑰發(fā)送給所述RN�����,接收所述DeNB發(fā)送的指示消息����,所述指示消息中包含表明所述設(shè)備認(rèn)證是否成功的信息����,如果所述指示消息包括表明所述設(shè)備認(rèn)證未成功的信息,則釋放與所述RN的連接�����。本實施例在平臺認(rèn)證未成功后釋放連接�,可以提高安全保護(hù)能力??梢岳斫獾氖牵鲜龇椒霸O(shè)備中的相關(guān)特征可以相互參考��。另外��,上述實施例中的“第一”����、“第二”等是用于區(qū)分各實施例��,而并不代表各實施例的優(yōu)劣��。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成���,前述的程序可以存儲于計算機(jī)可讀取存儲介質(zhì)中,該程序在執(zhí)行時���,執(zhí)行包括上述方法實施例的步驟���;而前述的存儲介質(zhì)包括R0M、RAM�����、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)�����。
最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案���,而非對其限制�;盡管參照前述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明��,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改���,或者對其中部分技術(shù)特征進(jìn)行等同替換����;而這些修改或者替換�����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍��。
權(quán)利要求
1.一種認(rèn)證方法�,其特征在于,包括獲取簽約認(rèn)證后生成的第一密鑰�����,并獲取平臺認(rèn)證后生成的第二密鑰���;根據(jù)所述第一密鑰和第二密鑰進(jìn)行密鑰推演��,得到第三密鑰���,根據(jù)所述第三密鑰推演非接入層NAS密鑰以及接入層AS根密鑰�,所述NAS密鑰用于保護(hù)NAS消息��,所述AS根密鑰用于推演AS密鑰���,所述AS密鑰用于保護(hù)AS消息和數(shù)據(jù)���。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于�����,所述獲取平臺認(rèn)證后生成的第二密鑰�����,包括接收錨點基站DeNB發(fā)送的第二密鑰�,所述第二密鑰為所述DeNB與中繼節(jié)點RN完成平臺認(rèn)證后生成的;或者�,與RN進(jìn)行平臺認(rèn)證,生成所述第二密鑰�;或者,與DeNB進(jìn)行平臺認(rèn)證,生成所述第二密鑰�����,所述DeNB在與RN建立安全隧道后將所述第二密鑰發(fā)送給所述RN��。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于����,在所述與DeNB進(jìn)行平臺認(rèn)證�����,生成所述第二密鑰����,所述DeNB在與RN建立安全隧道后將所述第二密鑰發(fā)送給所述RN之后,所述方法還包括接收所述DeNB發(fā)送的指示消息����,所述指示消息中包含表明所述設(shè)備認(rèn)證是否成功的信息,如果所述指示消息包括表明所述設(shè)備認(rèn)證成功的信息,進(jìn)行所述根據(jù)所述第一密鑰和第二密鑰進(jìn)行密鑰推演�����,得到第三密鑰��。
4.根據(jù)權(quán)利要求I所述的方法��,其特征在于��,在所述根據(jù)所述第三密鑰推演NAS密鑰之后�,所述方法還包括向RN發(fā)送采用所述NAS密鑰保護(hù)的消息以啟動所述RN的NAS密鑰,所述消息中至少包含如下項中的至少一項為NAS層選擇的安全算法����、NAS層安全開啟指示信息以及NAS密鑰標(biāo)識;和/或�����,在所述根據(jù)所述第三密鑰推演AS根密鑰之后��,所述方法還包括向DeNB發(fā)送所述AS根密鑰���,以便所述DeNB根據(jù)所述AS根密鑰得到AS密鑰�,并向所述RN發(fā)送采用所AS密鑰保護(hù)的消息以啟用所述RN的AS密鑰,所述消息中至少包含如下項中的至少一項為AS層選擇的安全算法���、AS層安全開啟指示信息以及AS密鑰標(biāo)識�。
5.根據(jù)權(quán)利要求I所述的方法�,其特征在于����,還包括當(dāng)所述第一密鑰發(fā)生變化,根據(jù)變化后的第一密鑰�,以及所述第二密鑰,推演更新后的第三密鑰���,并根據(jù)所述更新后的第三密鑰推演更新后的NAS密鑰以及更新后的AS根密鑰�; 或者��,當(dāng)所述第二密鑰發(fā)生變化�����,根據(jù)變化后的第二密鑰���,以及所述第一密鑰���,推演更新后的第三密鑰�,并根據(jù)所述更新后的第三密鑰推演更新后的NAS密鑰以及更新后的AS根密鑰�����; 或者����,當(dāng)所述第一密鑰發(fā)生變化,且所述第二密鑰發(fā)生變化���,根據(jù)變化后的第一密鑰以及變化后的第二密鑰���,推演更新后的第三密鑰,并根據(jù)所述更新后的第三密鑰推演更新后的NAS密鑰以及更新后的AS根密鑰�����。
6.根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,所述與RN進(jìn)行平臺認(rèn)證�����,生成所述第二密鑰��,包括與RN進(jìn)行平臺認(rèn)證�,將生成的隨機(jī)數(shù)作為所述第二密鑰,或者�,根據(jù)認(rèn)證生成的共享密鑰得到所述第二密鑰�����。
7.—種認(rèn)證設(shè)備��,其特征在于����,包括獲取模塊,用于獲取簽約認(rèn)證后生成的第一密鑰��,并獲取平臺認(rèn)證后生成的第二密鑰����;推演模塊���,用于根據(jù)所述獲取模塊獲取的第一密鑰和第二密鑰進(jìn)行密鑰推演,得到第三密鑰��,根據(jù)所述第三密鑰推演非接入層NAS密鑰以及接入層AS根密鑰��,所述NAS密鑰用于保護(hù)NAS消息����,所述AS根密鑰用于推演AS密鑰,所述AS密鑰用于保護(hù)AS消息和數(shù)據(jù)�����。
8.根據(jù)權(quán)利要求7所述的設(shè)備�,其特征在于,所述獲取模塊����,具體用于接收錨點基站DeNB發(fā)送的第二密鑰,所述第二密鑰為所述 DeNB與中繼節(jié)點RN完成平臺認(rèn)證后生成的�����;或者����,與RN進(jìn)行平臺認(rèn)證��,生成所述第二密鑰��;或者����,與DeNB進(jìn)行平臺認(rèn)證��,生成所述第二密鑰�,所述DeNB用于在與RN建立安全隧道后將所述第二密鑰發(fā)送給所述RN。
9.根據(jù)權(quán)利要求8所述的設(shè)備�,其特征在于,還包括接收模塊���,用于接收所述DeNB發(fā)送的指示消息,所述指示消息中包含表明所述設(shè)備認(rèn)證是否成功的信息�����;所述推演模塊���,具體用于如果所述接收模塊接收的指示消息包括表明所述設(shè)備認(rèn)證成功的信息��,進(jìn)行所述根據(jù)所述第一密鑰和第二密鑰進(jìn)行密鑰推演���,得到第三密鑰���。
10.根據(jù)權(quán)利要求7所述的設(shè)備,其特征在于��,還包括發(fā)送模塊��,用于在所述推演模塊根據(jù)所述第三密鑰推演NAS密鑰之后�����,向RN發(fā)送采用所述NAS密鑰保護(hù)的消息以啟動所述RN的NAS密鑰�,所述消息中至少包含如下項中的至少一項為NAS層選擇的安全算法、NAS層安全開啟指示信息以及NAS密鑰標(biāo)識���;和/或����,在所述根據(jù)所述第三密鑰計算AS根密鑰之后����,向DeNB發(fā)送所述AS根密鑰����,以便所述DeNB根據(jù)所述AS根密鑰得到AS密鑰�����,并向所述RN發(fā)送采用所AS密鑰保護(hù)的消息以啟用所述RN的 AS密鑰�,所述消息中至少包含如下項中的至少一項為AS層選擇的安全算法、AS層安全開啟指示信息以及AS密鑰標(biāo)識����。
11.根據(jù)權(quán)利要求7所述的設(shè)備,其特征在于�����,還包括更新模塊����,用于當(dāng)獲取模塊獲取的所述第一密鑰發(fā)生變化�,根據(jù)變化后的第一密鑰,以及所述獲取模塊獲取的第二密鑰�,推演更新后的第三密鑰,并根據(jù)所述更新后的第三密鑰推演更新后的NAS密鑰以及更新后的AS根密鑰����;或者����,當(dāng)所述第二密鑰發(fā)生變化���,根據(jù)變化后的第二密鑰���,以及所述第一密鑰,推演更新后的第三密鑰�,并根據(jù)所述更新后的第三密鑰推演更新后的NAS密鑰以及更新后的AS根密鑰;或者��,當(dāng)所述第一密鑰發(fā)生變化�����,且所述第二密鑰發(fā)生變化��,根據(jù)變化后的第一密鑰以及變化后的第二密鑰�,推演更新后的第三密鑰,并根據(jù)所述更新后的第三密鑰推演更新后的NAS密鑰以及更新后的AS根密鑰��。
12.—種認(rèn)證方法,其特征在于���,包括獲取簽約認(rèn)證后生成的第一密鑰�,并與DeNB進(jìn)行平臺認(rèn)證�����,生成第二密鑰���,所述DeNB 在與中繼節(jié)點RN建立安全隧道后將所述第二密鑰發(fā)送給所述RN ��;接收所述DeNB發(fā)送的指示消息���,所述指示消息中包含表明所述設(shè)備認(rèn)證是否成功的信息,如果所述指示消息包括表明所述設(shè)備認(rèn)證未成功的信息�����,則釋放與所述RN的連接�。
13.—種認(rèn)證設(shè)備,其特征在于���,包括獲取模塊,用于獲取簽約認(rèn)證后生成的第一密鑰,并與錨點基站DeNB進(jìn)行平臺認(rèn)證�, 生成所述第二密鑰;釋放模塊�,用于在所述DeNB在與中繼節(jié)點RN建立安全隧道后將所述獲取模塊獲取的第二密鑰發(fā)送給所述RN后,接收所述DeNB發(fā)送的指示消息����,所述指示消息中包含表明所述設(shè)備認(rèn)證是否成功的信息,如果所述指示消息包括表明所述設(shè)備認(rèn)證未成功的信息�����,則釋放與所述RN的連接��。
全文摘要
本發(fā)明提供一種認(rèn)證方法和認(rèn)證設(shè)備�����。該方法包括獲取簽約認(rèn)證后生成的第一密鑰��,并獲取平臺認(rèn)證后生成的第二密鑰�����;根據(jù)所述第一密鑰和第二密鑰進(jìn)行密鑰推演�����,得到第三密鑰,根據(jù)所述第三密鑰推演NAS密鑰以及AS根密鑰���,所述NAS密鑰用于保護(hù)NAS消息�,所述AS根密鑰用于推演AS密鑰����,所述AS密鑰用于保護(hù)AS消息和數(shù)據(jù)。本發(fā)明實施例可以提高安全保護(hù)能力�。
文檔編號H04W12/06GK102612029SQ20111002202
公開日2012年7月25日 申請日期2011年1月19日 優(yōu)先權(quán)日2011年1月19日
發(fā)明者張冬梅, 陳璟 申請人:華為技術(shù)有限公司