一種接入網(wǎng)絡(luò)的方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種接入網(wǎng)絡(luò)的方法及裝置,用以解決現(xiàn)有技術(shù)中在基站接入網(wǎng)絡(luò)時,存在安全網(wǎng)關(guān)負(fù)擔(dān)重,安全認(rèn)證成本高的問題。方法為,當(dāng)AAA服務(wù)器接收基站根據(jù)認(rèn)證請求消息生成的認(rèn)證響應(yīng)消息后,根據(jù)該認(rèn)證響應(yīng)消息中攜帶的接入請求消息判定上述基站為合法基站后,允許該基站接入網(wǎng)絡(luò)。采用本發(fā)明技術(shù)方案,在無線通信系統(tǒng)中添加AAA服務(wù)器,使用AAA服務(wù)器執(zhí)行基站身份驗(yàn)證相關(guān)操作,從而減輕了安全網(wǎng)關(guān)的負(fù)擔(dān),降低了基站身份認(rèn)證成本。
【專利說明】一種接入網(wǎng)絡(luò)的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】,尤其涉及一種接入網(wǎng)絡(luò)的方法及裝置。
【背景技術(shù)】
[0002]在無線通信網(wǎng)絡(luò)中,家庭基站是專為家庭或中小企業(yè)等室內(nèi)環(huán)境設(shè)計的小型基站,其通過公共IP(Internet Protocol ;互聯(lián)網(wǎng)協(xié)議)網(wǎng)絡(luò)連接到運(yùn)營商的核心網(wǎng)設(shè)備,實(shí)現(xiàn)終端與核心網(wǎng)設(shè)備之間的信息交互。
[0003]與傳統(tǒng)的宏站相比,家庭基站可以在實(shí)現(xiàn)網(wǎng)絡(luò)覆蓋的同時,實(shí)現(xiàn)容量覆蓋,從而降低了物業(yè)協(xié)調(diào)、機(jī)房建設(shè)及租賃費(fèi)用,有效降低了運(yùn)營商的投資成本;并且,家庭基站可以支持各種移動終端,降低了對終端的要求,擴(kuò)大了網(wǎng)絡(luò)的覆蓋和容量;此外,家庭基站還可以作為綜合網(wǎng)關(guān)支持多種協(xié)議,為終端提供多種服務(wù)以及智能化的控制。
[0004]目前,家庭基站主要通過IP網(wǎng)絡(luò)中的ADSL (Asymmetric Digital SubscriberLine ;非對稱數(shù)字用戶線路)、GPON(Gigabit-Capable Passive Optical Network;吉比特?zé)o源光網(wǎng)絡(luò))等網(wǎng)絡(luò)連接到運(yùn)營商的核心網(wǎng)設(shè)備,而ADSL、GPON等網(wǎng)絡(luò)的安全保證能力較低,從而增加了核心網(wǎng)設(shè)備的風(fēng)險指數(shù)。此外,家庭基站部署在相對不安全的家庭環(huán)境中,容易受到攻擊者的攻擊,從而導(dǎo)致接入該家庭基站的終端與網(wǎng)絡(luò)之間信息交互的安全性較低。基于上述各種問題,家庭基站的安全問題成為各組織及運(yùn)營商部署家庭基站系統(tǒng)時首要考慮的因素。
[0005]在現(xiàn)有的無線通信網(wǎng)絡(luò)中,通常采用接入認(rèn)證技術(shù)檢驗(yàn)家庭基站的合法性,從而提高家庭基站的安全性,保證終端和核心網(wǎng)設(shè)備之間交互信息的安全性。常用的家庭基站接入認(rèn)證方式有身份驗(yàn)證五元組認(rèn)證(EAP-AKA)及證書認(rèn)證,上述兩種認(rèn)證方式都是在無線通信系統(tǒng)的安全網(wǎng)關(guān)中實(shí)現(xiàn),因此,增加了安全網(wǎng)關(guān)的數(shù)據(jù)處理量,提高了對安全網(wǎng)關(guān)的性能要求。
[0006]由此可見,現(xiàn)有技術(shù)在家庭基站接入網(wǎng)絡(luò)的過程中,存在安全網(wǎng)關(guān)負(fù)擔(dān)重,安全認(rèn)證成本高的問題。
【發(fā)明內(nèi)容】
[0007]本發(fā)明實(shí)施例提供一種接入網(wǎng)絡(luò)的方法及裝置,用以解決現(xiàn)有技術(shù)中在基站接入網(wǎng)絡(luò)的過程中,存在安全網(wǎng)關(guān)負(fù)擔(dān)重,安全認(rèn)證成本高的問題。
[0008]本發(fā)明實(shí)施例提供的具體技術(shù)方案如下:
[0009]一種接入網(wǎng)絡(luò)的方法,應(yīng)用于無線通信系統(tǒng),所述無線通信系統(tǒng)包括基站,安全網(wǎng)關(guān),認(rèn)證、授權(quán)和計費(fèi)AAA服務(wù)器,所述方法包括:
[0010]所述AAA服務(wù)器接收所述安全網(wǎng)關(guān)發(fā)送的接入請求消息;其中,所述接入請求消息為所述安全網(wǎng)關(guān)根據(jù)所述基站發(fā)送的EAP請求消息生成;
[0011]當(dāng)所述AAA服務(wù)器判定所述接入請求消息中攜帶的基站標(biāo)識信息合法時,向安全網(wǎng)關(guān)發(fā)送認(rèn)證請求消息,令所述安全網(wǎng)關(guān)將所述認(rèn)證請求消息發(fā)送至所述基站,以及通知所述基站接收到所述認(rèn)證請求消息后,基于所述基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息;
[0012]所述AAA服務(wù)器根據(jù)所述認(rèn)證響應(yīng)消息中攜帶的基站對應(yīng)的證書信息以及密鑰,驗(yàn)證所述基站對應(yīng)的證書信息以及密鑰是否合法;
[0013]當(dāng)所述AAA服務(wù)器驗(yàn)證所述基站對應(yīng)的證書信息以及所述密鑰合法時,允許所述基站接入網(wǎng)絡(luò)。
[0014]一種接入網(wǎng)絡(luò)的方法,應(yīng)用于無線通信系統(tǒng),所述無線通信系統(tǒng)包括基站,安全網(wǎng)關(guān),認(rèn)證、授權(quán)和計費(fèi)AAA服務(wù)器,所述方法包括:
[0015]所述基站向所述安全網(wǎng)關(guān)發(fā)送EAP請求消息,令所述安全網(wǎng)關(guān)基于所述EAP請求消息生成接入請求消息發(fā)送至所述AAA服務(wù)器,以及通知所述AAA服務(wù)器驗(yàn)證所述接入請求消息中攜帶的基站標(biāo)識信息合法時,生成認(rèn)證請求消息;
[0016]所述基站接收到所述安全網(wǎng)關(guān)發(fā)送的認(rèn)證請求消息后,根據(jù)所述基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息,令所述AAA服務(wù)器驗(yàn)證所述基站對應(yīng)的證書信息以及所述密鑰是否合法;其中,所述認(rèn)證請求消息為所述安全網(wǎng)關(guān)接收自所述AAA服務(wù)器的消息;
[0017]當(dāng)所述基站對應(yīng)的證書信息以及所述密鑰合法時,所述基站通過所述AAA服務(wù)器接入網(wǎng)絡(luò)。
[0018]本發(fā)明實(shí)施例中,提供一種接入網(wǎng)絡(luò)的裝置,應(yīng)用于無線通信系統(tǒng),所述無線通信系統(tǒng)還包括基站,安全網(wǎng)關(guān),該裝置包括接收單元,發(fā)送單元,驗(yàn)證單元,以及接入單元,其中:
[0019]接收單元,用于接收所述安全網(wǎng)關(guān)發(fā)送的接入請求消息;其中,所述接入請求消息為所述安全網(wǎng)關(guān)根據(jù)所述基站發(fā)送的EAP請求消息生成;
[0020]發(fā)送單元,用于當(dāng)判定所述接入請求消息中攜帶的基站標(biāo)識信息合法時,向安全網(wǎng)關(guān)發(fā)送認(rèn)證請求消息,令所述安全網(wǎng)關(guān)將所述認(rèn)證請求消息發(fā)送至所述基站,以及通知所述基站接收到所述認(rèn)證請求消息后,基于所述基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息;
[0021]驗(yàn)證單元,用于根據(jù)所述認(rèn)證響應(yīng)消息中攜帶的基站對應(yīng)的證書信息以及密鑰,驗(yàn)證所述基站對應(yīng)的證書信息以及密鑰是否合法;
[0022]接入單元,用于當(dāng)驗(yàn)證所述基站對應(yīng)的證書信息以及所述密鑰合法時,允許所述基站接入網(wǎng)絡(luò)。
[0023]本發(fā)明實(shí)施例中,提供一種接入網(wǎng)絡(luò)的裝置,應(yīng)用于無線通信系統(tǒng),所述無線通信系統(tǒng)還包括安全網(wǎng)關(guān)以及AAA服務(wù)器,該裝置包括發(fā)送單元,生成單元,以及接入單元,其中:
[0024]發(fā)送單元,用于向所述安全網(wǎng)關(guān)發(fā)送EAP請求消息,令所述安全網(wǎng)關(guān)基于所述EAP請求消息生成接入請求消息發(fā)送至所述AAA服務(wù)器,以及通知所述AAA服務(wù)器驗(yàn)證所述接入請求消息中攜帶的基站標(biāo)識信息合法時,生成認(rèn)證請求消息;
[0025]生成單元,用于接收到所述安全網(wǎng)關(guān)發(fā)送的認(rèn)證請求消息后,根據(jù)本裝置對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息,令所述AAA服務(wù)器驗(yàn)證所述本裝置對應(yīng)的證書信息以及所述密鑰是否合法;其中,所述認(rèn)證請求消息為所述安全網(wǎng)關(guān)接收自所述AAA服務(wù)器的消息;
[0026]接入單元,用于當(dāng)本裝置對應(yīng)的證書信息以及所述密鑰合法時,通過所述AAA服務(wù)器接入網(wǎng)絡(luò)。
[0027]本發(fā)明實(shí)施例中,當(dāng)AAA服務(wù)器接收基站根據(jù)認(rèn)證請求消息生成的認(rèn)證響應(yīng)消息后,根據(jù)該認(rèn)證響應(yīng)消息中攜帶的接入請求消息判定上述基站為合法基站后,允許該基站接入網(wǎng)絡(luò)。采用本發(fā)明技術(shù)方案,在無線通信系統(tǒng)中添加AAA服務(wù)器,使用AAA服務(wù)器執(zhí)行基站身份驗(yàn)證相關(guān)操作,從而減輕了安全網(wǎng)關(guān)的負(fù)擔(dān),降低了基站身份認(rèn)證成本。
【專利附圖】
【附圖說明】
[0028]圖1為本發(fā)明實(shí)施例中無線通信系統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖;
[0029]圖2為本發(fā)明實(shí)施例中通過AAA服務(wù)器使基站接入網(wǎng)絡(luò)流程圖;
[0030]圖3為本發(fā)明實(shí)施例中基站通過AAA服務(wù)器接入網(wǎng)絡(luò)流程圖;
[0031]圖4為本發(fā)明實(shí)施例中具體應(yīng)用場景下基站接入網(wǎng)絡(luò)流程圖;
[0032]圖5為本發(fā)明實(shí)施例中接入網(wǎng)絡(luò)的裝置結(jié)構(gòu)示意圖一;
[0033]圖6為本發(fā)明實(shí)施例中接入網(wǎng)絡(luò)的裝置結(jié)構(gòu)示意圖二。
【具體實(shí)施方式】
[0034]為了解決現(xiàn)有技術(shù)中在基站接入網(wǎng)絡(luò)的過程中,存在安全網(wǎng)關(guān)負(fù)擔(dān)重,安全認(rèn)證成本高的問題。本發(fā)明實(shí)施例中,當(dāng)AAA服務(wù)器接收基站根據(jù)認(rèn)證請求消息生成的認(rèn)證響應(yīng)消息后,根據(jù)該認(rèn)證響應(yīng)消息中攜帶的接入請求消息判定上述基站為合法基站后,允許該基站接入網(wǎng)絡(luò)。采用本發(fā)明技術(shù)方案,在無線通信系統(tǒng)中添加AAA服務(wù)器,使用AAA服務(wù)器執(zhí)行基站身份驗(yàn)證相關(guān)操作,從而減輕了安全網(wǎng)關(guān)的負(fù)擔(dān),降低了基站身份認(rèn)證成本。
[0035]參閱圖1所示,為本發(fā)明實(shí)施例中,無線通信系統(tǒng)架構(gòu)示意圖,該無線通信系統(tǒng)包括基站,安全網(wǎng)關(guān),AAA (Authenticat1n, Authorizat1n and Accounting ;認(rèn)證、授權(quán)和計費(fèi))服務(wù)器,以及核心網(wǎng)設(shè)備;其中,AAA服務(wù)器位于安全網(wǎng)關(guān)和核心網(wǎng)設(shè)備之間,用于對基站的身份進(jìn)行認(rèn)證;AAA服務(wù)器與安全網(wǎng)關(guān)之間通過傳輸級別安全性身份驗(yàn)證(EAP-TLS)接口連接,該EAP-TLS接口支持Radius協(xié)議。
[0036]下面結(jié)合附圖對本發(fā)明優(yōu)選的實(shí)施方式進(jìn)行詳細(xì)說明。
[0037]參閱圖2所示,本發(fā)明實(shí)施例中,AAA服務(wù)器控制基站接入網(wǎng)絡(luò)的過程為:
[0038]步驟200 =AAA服務(wù)器接收安全網(wǎng)關(guān)發(fā)送的接入請求消息。
[0039]本發(fā)明實(shí)施例中,當(dāng)基站需要接入網(wǎng)絡(luò)時,首先需要建立基站與安全網(wǎng)關(guān)之間的互聯(lián)網(wǎng)密鑰交換(IKE_V2)通道,即基站向安全網(wǎng)關(guān)發(fā)送互聯(lián)網(wǎng)密鑰交換安全聯(lián)盟(IKE_SA_INIT)請求消息,用于與安全網(wǎng)關(guān)進(jìn)行加密算法,隨機(jī)數(shù),以及安全網(wǎng)關(guān)與基站之間的Diffie-Hellman交互;安全網(wǎng)關(guān)從本地保存的密碼套件組中選擇一個密碼套件,生成IKE_SA_INIT響應(yīng)消息發(fā)送至基站,用于完成Diffie-Hellman交互,以及與基站進(jìn)行隨機(jī)數(shù)RC的交互。該隨機(jī)數(shù)RC用于對IKEA_SA_INIT消息在傳輸過程進(jìn)行加密。
[0040]可選的,基站在完成上述加密算法協(xié)商以及隨機(jī)數(shù)的交互之后,向安全網(wǎng)關(guān)發(fā)送雙向認(rèn)證過程開始請求消息,開始基站與AAA服務(wù)器的雙向認(rèn)證過程,用以建立基站與安全網(wǎng)關(guān)之間的IPSEC(InternetProtocolSecurity ;Internet協(xié)議安全性)通道;安全網(wǎng)關(guān)基于該雙向認(rèn)證過程開始請求消息,生成雙向認(rèn)證過程開始響應(yīng)消息,令基站提供基站標(biāo)識信息。其中,基站可以將基站標(biāo)識信息通過設(shè)置IDi (Identificat1n Initiator)的負(fù)荷加入到EAP請求消息中。
[0041]可選的,基站基于基站標(biāo)識信息生成EAP請求消息,并發(fā)送至安全網(wǎng)關(guān);由于AAA服務(wù)器接口 EAP-TLS所支持的協(xié)議與基站所支持的協(xié)議不同,因此,當(dāng)安全網(wǎng)關(guān)接收到上述EAP請求消息之后,需要將該EAP請求消息進(jìn)行協(xié)議轉(zhuǎn)換,生成EAP-TLS所支持的協(xié)議格式的接入請求消息,發(fā)送至AAA服務(wù)器,令A(yù)AA服務(wù)器對上述基站進(jìn)行鑒權(quán)操作。
[0042]可選的,在AAA服務(wù)器本地保存有其所管轄的每一個基站的基站標(biāo)識信息。具體的,上述基站標(biāo)識信息為預(yù)先配置在AAA服務(wù)器的信息;或者,在運(yùn)營商系統(tǒng)對應(yīng)的服務(wù)器中為上述基站注冊一個該基站對應(yīng)的賬戶,并將該賬戶對應(yīng)的基站標(biāo)識信息發(fā)送至AAA服務(wù)器,AAA服務(wù)器對上述賬戶進(jìn)行激活,并保存基站標(biāo)識信息,以及將基站標(biāo)識信息發(fā)送至HMS(Home NodeB ManagementSystem ;家庭基站網(wǎng)管系統(tǒng)),HMS將該基站與相應(yīng)的基站標(biāo)識信息進(jìn)行綁定,以便基站注冊后,HMS能夠識別該基站。其中,該基站標(biāo)識信息包括基站基本信息(基站對應(yīng)的設(shè)備證書信息,由認(rèn)證中心簽發(fā)),服務(wù)信息(如黑名單,提供的服務(wù)等),接入準(zhǔn)則(基站所管轄范圍等)。
[0043]步驟210:當(dāng)AAA服務(wù)器判定上述接入請求消息中攜帶的基站標(biāo)識信息合法時,向安全網(wǎng)關(guān)發(fā)送認(rèn)證請求消息,令安全網(wǎng)關(guān)將上述認(rèn)證請求消息發(fā)送至基站,以及通知基站接收到該認(rèn)證請求消息后,基于基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息。
[0044]本發(fā)明實(shí)施例中,AAA服務(wù)器判定接入請求消息中攜帶的基站標(biāo)識信息合法,具體為:基于上述過程,AAA服務(wù)器本地保存有所有基站的基站標(biāo)識信息,因此,當(dāng)AAA服務(wù)器接收到安全網(wǎng)關(guān)發(fā)送的接入請求消息時,即從本地獲取發(fā)送該接入請求消息的基站標(biāo)識信息,并與本地保存的所有基站的基站標(biāo)識信息進(jìn)行逐一匹配;當(dāng)AAA服務(wù)器確定上述接入請求消息中攜帶的基站標(biāo)識信息與本地保存的基站標(biāo)識信息相同時,判定該接入請求消息中攜帶的基站標(biāo)識信息合法。當(dāng)AAA服務(wù)器判定上述基站發(fā)送的基站標(biāo)識信息合法時,即表明該基站與安全網(wǎng)關(guān)之間的IKE_V2通道建立完成。
[0045]可選的,當(dāng)AAA服務(wù)器判定上述接入請求消息中攜帶的基站標(biāo)識信息合法之后,AAA服務(wù)器向安全網(wǎng)關(guān)發(fā)送啟動認(rèn)證過程消息,令安全網(wǎng)關(guān)將該啟動認(rèn)證過程消息進(jìn)行協(xié)議轉(zhuǎn)換后生成EAP-TLS開始消息,發(fā)送至基站,通知該基站接收到該EAP-TLS開始消息后,基于基站本地保存的加密解密算法列表生成啟動認(rèn)證過程響應(yīng)消息;基站將上述啟動認(rèn)證過程響應(yīng)消息發(fā)送至安全網(wǎng)關(guān),令安全網(wǎng)關(guān)將該啟動認(rèn)證過程響應(yīng)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至AAA服務(wù)器;AAA服務(wù)器根據(jù)協(xié)議轉(zhuǎn)換后的上述啟動認(rèn)證響應(yīng)消息中攜帶的加密解密算法列表選擇任意一種加密解密算法,并將選定的加密解密算法以及AAA服務(wù)器對應(yīng)的證書信息發(fā)送至安全網(wǎng)關(guān),令安全網(wǎng)關(guān)將上述選定的加密解密算法以及AAA服務(wù)器對應(yīng)的證書信息發(fā)送至基站,通知該基站根據(jù)AAA服務(wù)器對應(yīng)的證書信息驗(yàn)證AAA服務(wù)器是否合法。
[0046]可選的,上述AAA服務(wù)器接收到的啟動認(rèn)證過程響應(yīng)消息中還包含TLS版本號以及基站生成的隨機(jī)數(shù)。其中,TLS版本號用于AAA服務(wù)器驗(yàn)證基站對應(yīng)的版本號AAA服務(wù)器是否支持。
[0047]可選的,上述AAA服務(wù)器根據(jù)選定的加密解密算法以及AAA服務(wù)器對應(yīng)的證書信息,生成he I 1消息;其中,上述AAA服務(wù)器對應(yīng)的證書信息由認(rèn)證中心簽發(fā),是認(rèn)證中心為AAA服務(wù)器簽發(fā)的服務(wù)器名稱(AS)和公開密鑰(PKAS)之間關(guān)聯(lián)的證書,該hello消息中還包含AAA服務(wù)器生成的隨機(jī)數(shù)RS,以及認(rèn)證中心鏈。AAA服務(wù)器將上述hello消息發(fā)送至安全網(wǎng)關(guān)后,安全網(wǎng)關(guān)對該hello消息進(jìn)行協(xié)議轉(zhuǎn)換后,發(fā)送至基站;基站根據(jù)該協(xié)議轉(zhuǎn)換后的hello消息中攜帶的認(rèn)證中心鏈對AAA服務(wù)器提供的證書信息進(jìn)行驗(yàn)證,以判定服務(wù)器對應(yīng)的證書信息是否合法。
[0048]進(jìn)一步的,當(dāng)基站確定上述AAA服務(wù)器合法后,生成認(rèn)證響應(yīng)消息發(fā)送至安全網(wǎng)關(guān),安全網(wǎng)關(guān)對該認(rèn)證響應(yīng)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至AAA服務(wù)器,該認(rèn)證響應(yīng)消息中攜帶基站對應(yīng)的證書信息以及密鑰;其中,該證書信息是認(rèn)證中心為AAA服務(wù)器簽發(fā)的服務(wù)器名稱(AS)和公開密鑰(PKAS)之間關(guān)聯(lián)的證書,該密鑰為一種密文,其根據(jù)上述公開密鑰和預(yù)主密鑰(PMK)生成。
[0049]進(jìn)一步的,當(dāng)基站確定上述AAA服務(wù)器不合法后,生成拒絕接入網(wǎng)絡(luò)消息發(fā)送至安全網(wǎng)關(guān),由該安全網(wǎng)關(guān)對上述拒絕接入網(wǎng)絡(luò)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至AAA服務(wù)器,此時,基站接入網(wǎng)絡(luò)過程將終止。
[0050]步驟220 =AAA服務(wù)器根據(jù)上述認(rèn)證響應(yīng)消息中攜帶的基站對應(yīng)的證書信息以及密鑰,驗(yàn)證基站對應(yīng)的證書信息以及密鑰是否合法。
[0051]本發(fā)明實(shí)施例中,AAA服務(wù)器接收到基站發(fā)送的認(rèn)證響應(yīng)消息時,驗(yàn)證上述基站對應(yīng)的證書信息以及密鑰是否合法,具體為:AAA服務(wù)器根據(jù)上述選定的加密解密算法,對上述認(rèn)證響應(yīng)消息中攜帶的密鑰進(jìn)行解密,獲取主密鑰;AAA服務(wù)器獲取本地保存的基站對應(yīng)的證書信息;當(dāng)AAA服務(wù)器確定上述認(rèn)證響應(yīng)消息中攜帶的基站對應(yīng)的證書信息與本地保存的基站對應(yīng)的證書信息相同,且上述主密鑰與基站計算的主密鑰相同時,確定基站對應(yīng)的證書信息以及密鑰合法;當(dāng)AAA服務(wù)器確定上述認(rèn)證響應(yīng)消息中攜帶的基站對應(yīng)的證書信息與本地保存的基站對應(yīng)的證書信息不相同,或者上述主密鑰與基站計算的主密鑰不相同時,確定基站對應(yīng)的證書信息以及密鑰不合法,此時,生成拒絕基站接入網(wǎng)絡(luò)消息發(fā)送至安全網(wǎng)關(guān),由該安全網(wǎng)關(guān)對上述拒絕基站接入網(wǎng)絡(luò)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至基站,此時,基站接入網(wǎng)絡(luò)過程將終止。
[0052]可選的,AAA服務(wù)器根據(jù)上述選定的加密解密算法,對上述認(rèn)證響應(yīng)消息中攜帶的密鑰進(jìn)行解密,獲取主密鑰,具體為:AAA服務(wù)器根據(jù)選定的加密解密算法,解密上述認(rèn)證響應(yīng)消息中攜帶的預(yù)主密鑰,用該預(yù)主密鑰、基站生成的隨機(jī)數(shù)和上述隨機(jī)數(shù)RS為隨機(jī)數(shù)種子,生成解密后的主密鑰。
[0053]步驟230:當(dāng)AAA服務(wù)器驗(yàn)證所述基站對應(yīng)的證書信息以及上述密鑰合法時,允許所述基站接入網(wǎng)絡(luò)。
[0054]本發(fā)明實(shí)施例中,當(dāng)AAA服務(wù)器確定上述認(rèn)證響應(yīng)消息中攜帶的基站對應(yīng)的證書信息與本地保存的基站對應(yīng)的證書信息相同,且上述主密鑰與基站計算的主密鑰相同時,允許基站與核心網(wǎng)設(shè)備進(jìn)行信息交互。
[0055]可選的,當(dāng)AAA服務(wù)器允許基站與核心網(wǎng)設(shè)進(jìn)行信息交互時,生成允許接入消息發(fā)送至安全網(wǎng)關(guān),由該安全網(wǎng)關(guān)對該允許接入消息進(jìn)行協(xié)議轉(zhuǎn)換后,發(fā)送至基站。其中,上述允許接入消息中攜帶上述主密鑰,用于基站與核心網(wǎng)設(shè)備之間后續(xù)交互信息的加密。
[0056]可選的,上述AAA服務(wù)器將解密出的主密鑰生成主密鑰驗(yàn)證消息,發(fā)送至安全網(wǎng)關(guān),由安全網(wǎng)關(guān)對上述主密鑰驗(yàn)證消息進(jìn)行轉(zhuǎn)換后發(fā)送至基站;基站核實(shí)服務(wù)器解密出的主密鑰與基站計算的主密鑰是否相同,若相同,則生成主密鑰響應(yīng)消息發(fā)送至安全網(wǎng)關(guān),由該安全網(wǎng)關(guān)對上述主密鑰響應(yīng)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至AAA服務(wù)器;若不相同,則生成拒絕接入網(wǎng)絡(luò)消息發(fā)送至安全網(wǎng)關(guān),由該安全網(wǎng)關(guān)對上述拒絕接入網(wǎng)絡(luò)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至AAA服務(wù)器,此時,基站接入網(wǎng)絡(luò)過程將終止。
[0057]基于上述技術(shù)方案,參閱圖3所示,本發(fā)明實(shí)施例中,基站通過AAA服務(wù)器接入網(wǎng)絡(luò)的過程為:
[0058]步驟300:基站向安全網(wǎng)關(guān)發(fā)送EAP請求消息,令安全網(wǎng)關(guān)基于該EAP請求消息生成接入請求消息發(fā)送至AAA服務(wù)器,以及通知AAA服務(wù)器驗(yàn)證上述接入請求消息中攜帶的基站標(biāo)識信息合法時,生成認(rèn)證請求消息。
[0059]本發(fā)明實(shí)施例中,基站接收安全網(wǎng)關(guān)發(fā)送的經(jīng)過協(xié)議轉(zhuǎn)換的啟動認(rèn)證過程消息后,基于加密解密算法列表生成啟動認(rèn)證過程響應(yīng)消息發(fā)送至安全網(wǎng)關(guān),令安全網(wǎng)關(guān)將上述啟動認(rèn)證過程響應(yīng)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至AAA服務(wù)器,并通知AAA服務(wù)器從協(xié)議轉(zhuǎn)換后的啟動認(rèn)證過程響應(yīng)消息中攜帶的加密解密算法列表中選定加密解密算法后,將選定的加密解密算法以及AAA服務(wù)器對應(yīng)的證書信息發(fā)送至基站;基站保存上述選定的加密解密算法,并驗(yàn)證AAA服務(wù)器對應(yīng)的證書信息是否合法。
[0060]可選的,當(dāng)基站驗(yàn)證AAA服務(wù)器合法時,生成認(rèn)證響應(yīng)消息發(fā)送至安全網(wǎng)關(guān),該認(rèn)證響應(yīng)消息中攜帶基站對應(yīng)的證書信息以及密鑰;當(dāng)基站驗(yàn)證AAA服務(wù)器不合法時,生成拒絕接入網(wǎng)絡(luò)消息發(fā)送至安全網(wǎng)關(guān),由該安全網(wǎng)關(guān)對上述拒絕接入網(wǎng)絡(luò)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至AAA服務(wù)器,此時,基站接入網(wǎng)絡(luò)過程將終止。
[0061]步驟310:基站接收到安全網(wǎng)關(guān)發(fā)送的認(rèn)證請求消息后,根據(jù)基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息,令A(yù)AA服務(wù)器驗(yàn)證基站對應(yīng)的證書信息以及密鑰是否合法。
[0062]本發(fā)明實(shí)施例中,上述認(rèn)證請求消息為安全網(wǎng)關(guān)接收自AAA服務(wù)器的消息。
[0063]可選的,根據(jù)基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息,具體為:基站根據(jù)本地保存的加密解密算法,對主密鑰進(jìn)行加密,生成密鑰;基站根據(jù)對應(yīng)的證書信息以及密鑰,生成認(rèn)證響應(yīng)消息。
[0064]步驟320:當(dāng)基站對應(yīng)的證書信息以及密鑰合法時,基站通過AAA服務(wù)器接入網(wǎng)絡(luò)。
[0065]基于上述技術(shù)方案,參閱圖4所示,下面結(jié)合具體應(yīng)用場景,詳細(xì)描述基站接入網(wǎng)絡(luò)的過程:
[0066]步驟401:運(yùn)營商管理系統(tǒng)對應(yīng)的服務(wù)器在本地創(chuàng)建基站對應(yīng)的用戶,在本地保存基站標(biāo)識信息。
[0067]步驟402:運(yùn)營商管理系統(tǒng)對應(yīng)的服務(wù)器將基站標(biāo)識信息發(fā)送至AAA服務(wù)器。
[0068]步驟403 =AAA服務(wù)器將上述基站標(biāo)識信息發(fā)送至HMS。
[0069]步驟404:基站確定本地啟動完畢后,向安全網(wǎng)關(guān)發(fā)送IKE_SA_INIT請求消息。
[0070]本發(fā)明實(shí)施例中,上述IKE_SA_INIT請求消息用于與安全網(wǎng)關(guān)進(jìn)行加密算法,隨機(jī)數(shù),以及安全網(wǎng)關(guān)與基站之間的Diffie-Hellman交互。
[0071]步驟405:安全網(wǎng)關(guān)從從本地保存的密碼套件組中選擇一個密碼套件,生成IKE_SAJNIT響應(yīng)消息。
[0072]本發(fā)明實(shí)施例中,IKE_SA_INIT響應(yīng)消息用于完成Diffie-Hellman交互,以及與基站進(jìn)行隨機(jī)數(shù)RC的交互。
[0073]步驟406:基站向安全網(wǎng)關(guān)發(fā)送雙向認(rèn)證過程開始請求消息。
[0074]步驟407:安全網(wǎng)關(guān)基于上述雙向認(rèn)證過程開始請求消息,生成雙向認(rèn)證過程開始響應(yīng)消息發(fā)送至基站。
[0075]步驟408:基站接收到上述雙向認(rèn)證過程開始響應(yīng)消息后,根據(jù)本地保存的基站標(biāo)識信息生成EAP請求消息,發(fā)送至安全網(wǎng)關(guān)。
[0076]步驟409:安全網(wǎng)關(guān)對上述EAP請求消息進(jìn)行協(xié)議轉(zhuǎn)換后,生成接入請求消息發(fā)送至AAA服務(wù)器。
[0077]步驟410 =AAA服務(wù)器驗(yàn)證上述基站標(biāo)識信息合法后,向安全網(wǎng)關(guān)發(fā)送啟動認(rèn)證過程消息。
[0078]步驟411:安全網(wǎng)關(guān)將上述啟動認(rèn)證過程消息進(jìn)行協(xié)議轉(zhuǎn)換后,生成EAP-TLS開始消息發(fā)送至基站。
[0079]步驟412:基站接收到上述EAP-TLS開始消息后,根據(jù)本地保存的加密解密算法列表,生成EAP-TLS開始響應(yīng)消息發(fā)送至安全網(wǎng)關(guān)。
[0080]步驟413:安全網(wǎng)關(guān)將上述EAP-TLS開始響應(yīng)消息進(jìn)行協(xié)議轉(zhuǎn)換后,生成啟動認(rèn)證過程響應(yīng)消息發(fā)送至AAA服務(wù)器。
[0081]步驟414 =AAA服務(wù)器根據(jù)上述啟動認(rèn)證過程響應(yīng)消息中攜帶的加密解密算法列表選定任意一加密解密算法,以及根據(jù)AAA服務(wù)器對應(yīng)的證書信息,生成hello消息發(fā)送至安全網(wǎng)關(guān)。
[0082]步驟415:安全網(wǎng)關(guān)將上述hello消息進(jìn)行協(xié)議轉(zhuǎn)換后,生成EAP響應(yīng)消息發(fā)送至基站O
[0083]步驟416:基站根據(jù)該EAP響應(yīng)消息,驗(yàn)證AAA服務(wù)器合法時,根據(jù)基站對應(yīng)的證書信息以及密鑰,生成認(rèn)證響應(yīng)消息發(fā)送至安全網(wǎng)關(guān)。
[0084]步驟417:安全網(wǎng)關(guān)將上述認(rèn)證響應(yīng)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至AAA服務(wù)器。
[0085]步驟418:AAA服務(wù)器根據(jù)上述協(xié)議轉(zhuǎn)換后的認(rèn)證響應(yīng)消息,驗(yàn)證基站合法后,向安全網(wǎng)關(guān)發(fā)送允許接入消息。
[0086]步驟419:安全網(wǎng)關(guān)將上述允許接入消息進(jìn)行協(xié)議轉(zhuǎn)換后,發(fā)送至基站。
[0087]步驟420:AAA服務(wù)器根據(jù)上述協(xié)議轉(zhuǎn)換后的認(rèn)證響應(yīng)消息,驗(yàn)證基站不合法后,向安全網(wǎng)關(guān)發(fā)送拒絕接入消息。
[0088]步驟421:安全網(wǎng)關(guān)將上述拒絕接入消息進(jìn)行協(xié)議轉(zhuǎn)換后,發(fā)送至基站,通知鑒權(quán)失敗。
[0089]基于上述技術(shù)方案,參閱圖5所示,本發(fā)明實(shí)施例中,還提供一種接入網(wǎng)絡(luò)的裝置,應(yīng)用于無線通信系統(tǒng),所述無線通信系統(tǒng)還包括基站,安全網(wǎng)關(guān),該裝置包括接收單元50,發(fā)送單元51,驗(yàn)證單元52,以及接入單元53,其中:
[0090]接收單元50,用于接收所述安全網(wǎng)關(guān)發(fā)送的接入請求消息;其中,所述接入請求消息為所述安全網(wǎng)關(guān)根據(jù)所述基站發(fā)送的EAP請求消息生成;
[0091]發(fā)送單元51,用于當(dāng)判定所述接入請求消息中攜帶的基站標(biāo)識信息合法時,向安全網(wǎng)關(guān)發(fā)送認(rèn)證請求消息,令所述安全網(wǎng)關(guān)將所述認(rèn)證請求消息發(fā)送至所述基站,以及通知所述基站接收到所述認(rèn)證請求消息后,基于所述基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息;
[0092]驗(yàn)證單元52,用于根據(jù)所述認(rèn)證響應(yīng)消息中攜帶的基站對應(yīng)的證書信息以及密鑰,驗(yàn)證所述基站對應(yīng)的證書信息以及密鑰是否合法;
[0093]接入單元53,用于當(dāng)驗(yàn)證所述基站對應(yīng)的證書信息以及所述密鑰合法時,允許所述基站接入網(wǎng)絡(luò)。
[0094]其中,上述裝置還包括處理單元54,用于:當(dāng)判定所述接入請求消息中攜帶的基站標(biāo)識信息合法之后,向安全網(wǎng)關(guān)發(fā)送認(rèn)證請求消息之前,向所述安全網(wǎng)關(guān)發(fā)送啟動認(rèn)證過程消息,令所述安全網(wǎng)關(guān)將所述啟動認(rèn)證過程消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至所述基站,通知所述基站接收到協(xié)議轉(zhuǎn)換后的所述啟動認(rèn)證過程消息后,基于加密解密算法列表生成啟動認(rèn)證過程響應(yīng)消息;根據(jù)所述認(rèn)證響應(yīng)消息中攜帶的加密解密算法列表選擇任意一種加密解密算法,并根據(jù)選定的加密解密算法以及本裝置對應(yīng)的證書信息發(fā)送至所述安全網(wǎng)關(guān),令所述安全網(wǎng)關(guān)將所述加密解密算法以及本裝置對應(yīng)的證書信息發(fā)送至所述基站,通知所述基站根據(jù)本裝置對應(yīng)的證書信息驗(yàn)證本裝置是否合法。
[0095]基于上述技術(shù)方案,參閱圖6所示,本發(fā)明實(shí)施例中,還提供一種接入網(wǎng)絡(luò)的裝置,應(yīng)用于無線通信系統(tǒng),所述無線通信系統(tǒng)還包括安全網(wǎng)關(guān)以及AAA服務(wù)器,該裝置包括發(fā)送單元60,生成單元61,以及接入單元62,其中:
[0096]發(fā)送單元60,用于向所述安全網(wǎng)關(guān)發(fā)送EAP請求消息,令所述安全網(wǎng)絡(luò)基于所述EAP請求消息生成接入請求消息發(fā)送至所述AAA服務(wù)器,以及通知所述AAA服務(wù)器驗(yàn)證所述接入請求消息中攜帶的基站標(biāo)識信息合法時,生成認(rèn)證請求消息;
[0097]生成單元61,用于接收到所述安全網(wǎng)關(guān)發(fā)送的認(rèn)證請求消息后,根據(jù)本裝置對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息,令所述AAA服務(wù)器驗(yàn)證所述本裝置對應(yīng)的證書信息以及所述密鑰是否合法;其中,所述認(rèn)證請求消息為所述安全網(wǎng)關(guān)接收自所述AAA服務(wù)器的消息;
[0098]接入單元62,用于當(dāng)本裝置對應(yīng)的證書信息以及所述密鑰合法時,通過所述AAA服務(wù)器接入網(wǎng)絡(luò)。
[0099]其中,上述裝置還包括處理單元63,用于:當(dāng)所述基站標(biāo)識信息合法之后,接收到所述認(rèn)證請求消息之前,接收所述安全網(wǎng)關(guān)發(fā)送經(jīng)過協(xié)議轉(zhuǎn)換的啟動認(rèn)證過程消息后,基于加密解密算法列表生成啟動認(rèn)證過程響應(yīng)消息發(fā)送至所述安全網(wǎng)關(guān),令所述安全網(wǎng)關(guān)將所述啟動認(rèn)證過程響應(yīng)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至所述AAA服務(wù)器,并通知所述AAA服務(wù)器從協(xié)議轉(zhuǎn)換后的啟動認(rèn)證過程響應(yīng)消息中攜帶的加密解密算法列表選定加密解密算法后,將選定的加密解密算法以及AAA服務(wù)器對應(yīng)的證書信息發(fā)送至本裝置;其中,所述啟動認(rèn)證過程消息為所述安全網(wǎng)關(guān)接收自所述AAA服務(wù)器的消息;保存所述選定的加密解密算法,并驗(yàn)證所述AAA服務(wù)器對應(yīng)的證書信息是否合法。
[0100]綜上所述,AAA服務(wù)器接收安全網(wǎng)關(guān)發(fā)送的接入請求消息;當(dāng)AAA服務(wù)器判定上述接入請求消息中攜帶的基站標(biāo)識信息合法時,向安全網(wǎng)關(guān)發(fā)送認(rèn)證請求消息,令安全網(wǎng)關(guān)將上述接入請求消息后發(fā)送至基站,以及通知基站接收到該接入請求消息后,基于基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息;AAA服務(wù)器根據(jù)上述認(rèn)證響應(yīng)消息中攜帶的基站對應(yīng)的證書信息以及密鑰,驗(yàn)證基站對應(yīng)的證書信息以及密鑰是否合法;當(dāng)AAA服務(wù)器驗(yàn)證所述基站對應(yīng)的證書信息以及上述密鑰合法時,允許所述基站接入網(wǎng)絡(luò)。采用本發(fā)明技術(shù)方案,在無線通信系統(tǒng)中添加AAA服務(wù)器,使用AAA服務(wù)器執(zhí)行基站身份驗(yàn)證相關(guān)操作,從而減輕了安全網(wǎng)關(guān)的負(fù)擔(dān),降低了基站身份認(rèn)證成本。
[0101]本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本發(fā)明的實(shí)施例可提供為方法、系統(tǒng)、或計算機(jī)程序產(chǎn)品。因此,本發(fā)明可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且,本發(fā)明可采用在一個或多個其中包含有計算機(jī)可用程序代碼的計算機(jī)可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學(xué)存儲器等)上實(shí)施的計算機(jī)程序產(chǎn)品的形式。
[0102]本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計算機(jī)程序指令到通用計算機(jī)、專用計算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機(jī)器,使得通過計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
[0103]這些計算機(jī)程序指令也可存儲在能引導(dǎo)計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機(jī)可讀存儲器中,使得存儲在該計算機(jī)可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實(shí)現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
[0104]這些計算機(jī)程序指令也可裝載到計算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機(jī)實(shí)現(xiàn)的處理,從而在計算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
[0105]盡管已描述了本發(fā)明的優(yōu)選實(shí)施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對這些實(shí)施例作出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本發(fā)明范圍的所有變更和修改。
[0106]顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明實(shí)施例進(jìn)行各種改動和變型而不脫離本發(fā)明實(shí)施例的精神和范圍。這樣,倘若本發(fā)明實(shí)施例的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
【權(quán)利要求】
1.一種接入網(wǎng)絡(luò)的方法,應(yīng)用于無線通信系統(tǒng),其特征在于,所述無線通信系統(tǒng)包括基站,安全網(wǎng)關(guān),認(rèn)證、授權(quán)和計費(fèi)AAA服務(wù)器,所述方法包括: 所述AAA服務(wù)器接收所述安全網(wǎng)關(guān)發(fā)送的接入請求消息;其中,所述接入請求消息為所述安全網(wǎng)關(guān)根據(jù)所述基站發(fā)送的身份驗(yàn)證EAP請求消息生成; 當(dāng)所述AAA服務(wù)器判定所述接入請求消息中攜帶的基站標(biāo)識信息合法時,向安全網(wǎng)關(guān)發(fā)送認(rèn)證請求消息,令所述安全網(wǎng)關(guān)將所述認(rèn)證請求消息發(fā)送至所述基站,以及通知所述基站接收到所述認(rèn)證請求消息后,基于所述基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息; 所述AAA服務(wù)器根據(jù)所述認(rèn)證響應(yīng)消息中攜帶的基站對應(yīng)的證書信息以及密鑰,驗(yàn)證所述基站對應(yīng)的證書信息以及密鑰是否合法; 當(dāng)所述AAA服務(wù)器驗(yàn)證所述基站對應(yīng)的證書信息以及所述密鑰合法時,允許所述基站接入網(wǎng)絡(luò)。
2.如權(quán)利要求1所述的方法,其特征在于,所述AAA服務(wù)器判定所述接入請求消息中攜帶的基站標(biāo)識信息合法,具體包括: 所述AAA服務(wù)器獲取本地保存的所有基站標(biāo)識信息; 所述AAA服務(wù)器將所述接入請求消息中攜帶的基站標(biāo)識信息與本地保存的所有基站標(biāo)識信息逐一進(jìn)行匹配,當(dāng)確定本地保存的所有基站標(biāo)識信息中包含所述接入請求消息中攜帶的基站標(biāo)識信息時,判定所述接入請求消息中攜帶的基站標(biāo)識信息合法。
3.如權(quán)利要求1或2所述的方法,其特征在于,當(dāng)所述AAA服務(wù)器判定所述接入請求消息中攜帶的基站標(biāo)識信息合法之后,向安全網(wǎng)關(guān)發(fā)送認(rèn)證請求消息之前,進(jìn)一步包括: 所述AAA服務(wù)器向所述安全網(wǎng)關(guān)發(fā)送啟動認(rèn)證過程消息,令所述安全網(wǎng)關(guān)將所述啟動認(rèn)證過程消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至所述基站,通知所述基站在接收到協(xié)議轉(zhuǎn)換后的所述啟動認(rèn)證過程消息之后,基于所述基站本地保存的加密解密算法列表生成啟動認(rèn)證過程響應(yīng)消息; 所述AAA服務(wù)器根據(jù)所述啟動認(rèn)證響應(yīng)消息中攜帶的加密解密算法列表選擇任意一種加密解密算法,并將選定的加密解密算法以及所述AAA服務(wù)器對應(yīng)的證書信息發(fā)送至所述安全網(wǎng)關(guān),令所述安全網(wǎng)關(guān)將所述選定的加密解密算法以及所述AAA服務(wù)器對應(yīng)的證書信息發(fā)送至所述基站,通知所述基站根據(jù)所述AAA服務(wù)器對應(yīng)的證書信息驗(yàn)證所述AAA服務(wù)器是否合法。
4.如權(quán)利要求3所述的方法,其特征在于,所述AAA服務(wù)器根據(jù)所述認(rèn)證響應(yīng)消息中攜帶的基站對應(yīng)的證書信息以及密鑰,驗(yàn)證所述基站對應(yīng)的證書信息以及密鑰是否合法,具體包括: 所述AAA服務(wù)器根據(jù)所述選定的加密解密算法,對所述認(rèn)證響應(yīng)消息中攜帶的密鑰進(jìn)行解密,獲取主密鑰; 所述AAA服務(wù)器獲取本地保存的所述基站對應(yīng)的證書信息; 當(dāng)所述AAA服務(wù)器確定所述認(rèn)證響應(yīng)消息中攜帶的所述基站對應(yīng)的證書信息與本地保存的所述基站對應(yīng)的證書信息相同,且所述主密鑰與所述基站計算的主密鑰相同時,確定所述基站對應(yīng)的證書信息以及密鑰合法; 當(dāng)所述AAA服務(wù)器確定所述認(rèn)證響應(yīng)消息中攜帶的所述基站對應(yīng)的證書信息與本地保存的所述基站對應(yīng)的證書信息不相同,或者所述主密鑰與所述基站計算的主密鑰不相同時,確定所述基站對應(yīng)的證書信息以及密鑰不合法。
5.一種接入網(wǎng)絡(luò)的方法,應(yīng)用于無線通信系統(tǒng),其特征在于,所述無線通信系統(tǒng)包括基站,安全網(wǎng)關(guān),認(rèn)證、授權(quán)和計費(fèi)AAA服務(wù)器,所述方法包括: 所述基站向所述安全網(wǎng)關(guān)發(fā)送身份驗(yàn)證EAP請求消息,令所述安全網(wǎng)關(guān)基于所述EAP請求消息生成接入請求消息發(fā)送至所述AAA服務(wù)器,以及通知所述AAA服務(wù)器驗(yàn)證所述接入請求消息中攜帶的基站標(biāo)識信息合法時,生成認(rèn)證請求消息; 所述基站接收到所述安全網(wǎng)關(guān)發(fā)送的認(rèn)證請求消息后,根據(jù)所述基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息,令所述AAA服務(wù)器驗(yàn)證所述基站對應(yīng)的證書信息以及所述密鑰是否合法;其中,所述認(rèn)證請求消息為所述安全網(wǎng)關(guān)接收自所述AAA服務(wù)器的消息; 當(dāng)所述基站對應(yīng)的證書信息以及所述密鑰合法時,所述基站通過所述AAA服務(wù)器接入網(wǎng)絡(luò)。
6.如權(quán)利要求5所述的方法,其特征在于,當(dāng)所述基站標(biāo)識信息合法之后,所述基站接收到所述認(rèn)證請求消息之前,進(jìn)一步包括: 所述基站接收所述安全網(wǎng)關(guān)發(fā)送的經(jīng)過協(xié)議轉(zhuǎn)換的啟動認(rèn)證過程消息后,基于本地保存的加密解密算法列表生成啟動認(rèn)證過程響應(yīng)消息發(fā)送至所述安全網(wǎng)關(guān),令所述安全網(wǎng)關(guān)將所述啟動認(rèn)證過程響應(yīng)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至所述AAA服務(wù)器,并通知所述AAA服務(wù)器從協(xié)議轉(zhuǎn)換后的啟動認(rèn)證過程響應(yīng)消息中攜帶的加密解密算法列表中選定加密解密算法后,將選定的加密解密算法以及AAA服務(wù)器對應(yīng)的證書信息發(fā)送至所述基站;其中,所述啟動認(rèn)證過程消息為所述安全網(wǎng)關(guān)接收自所述AAA服務(wù)器的消息; 所述基站保存所述選定的加密解密算法,并驗(yàn)證所述AAA服務(wù)器對應(yīng)的證書信息是否合法。
7.如權(quán)利要求6所述的方法,其特征在于,所述基站根據(jù)所述基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息,具體包括: 所述基站根據(jù)本地保存的加密解密算法,對所述主密鑰進(jìn)行加密,生成密鑰; 所述基站根據(jù)所述基站對應(yīng)的證書信息以及所述密鑰,生成認(rèn)證響應(yīng)消息。
8.一種接入網(wǎng)絡(luò)的裝置,應(yīng)用于無線通信系統(tǒng),其特征在于,所述無線通信系統(tǒng)還包括基站,安全網(wǎng)關(guān),所述裝置包括: 接收單元,用于接收所述安全網(wǎng)關(guān)發(fā)送的接入請求消息;其中,所述接入請求消息為所述安全網(wǎng)關(guān)根據(jù)所述基站發(fā)送的身份驗(yàn)證EAP請求消息生成; 發(fā)送單元,用于當(dāng)判定所述接入請求消息中攜帶的基站標(biāo)識信息合法時,向安全網(wǎng)關(guān)發(fā)送認(rèn)證請求消息,令所述安全網(wǎng)關(guān)將所述認(rèn)證請求消息發(fā)送至所述基站,以及通知所述基站接收到所述認(rèn)證請求消息后,基于所述基站對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息; 驗(yàn)證單元,用于根據(jù)所述認(rèn)證響應(yīng)消息中攜帶的基站對應(yīng)的證書信息以及密鑰,驗(yàn)證所述基站對應(yīng)的證書信息以及密鑰是否合法; 接入單元,用于當(dāng)驗(yàn)證所述基站對應(yīng)的證書信息以及所述密鑰合法時,允許所述基站接入網(wǎng)絡(luò)。
9.如權(quán)利要求8所述的裝置,其特征在于,所述發(fā)送單元,具體用于: 獲取本地保存的所有基站標(biāo)識信息;將所述接入請求消息中攜帶的基站標(biāo)識信息與本地保存的所有基站標(biāo)識信息逐一進(jìn)行匹配,當(dāng)確定本地保存的所有基站標(biāo)識信息中包含所述接入請求消息中攜帶的基站標(biāo)識信息時,判定所述接入請求消息中攜帶的基站標(biāo)識信息合法。
10.如權(quán)利要求8或9所述的裝置,其特征在于,還包括處理單元,用于: 當(dāng)判定所述接入請求消息中攜帶的基站標(biāo)識信息合法之后,向安全網(wǎng)關(guān)發(fā)送認(rèn)證請求消息之前,向所述安全網(wǎng)關(guān)發(fā)送啟動認(rèn)證過程消息,令所述安全網(wǎng)關(guān)將所述啟動認(rèn)證過程消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至所述基站,通知所述基站在接收到協(xié)議轉(zhuǎn)換后的所述啟動認(rèn)證過程消息之后,基于所述基站本地保存的加密解密算法列表生成啟動認(rèn)證過程響應(yīng)消息;根據(jù)所述啟動認(rèn)證響應(yīng)消息中攜帶的加密解密算法列表選擇任意一種加密解密算法,并將選定的加密解密算法以及本裝置對應(yīng)的證書信息發(fā)送至所述安全網(wǎng)關(guān),令所述安全網(wǎng)關(guān)將所述選定的加密解密算法以及本裝置對應(yīng)的證書信息發(fā)送至所述基站,通知所述基站根據(jù)本裝置對應(yīng)的證書信息驗(yàn)證本裝置是否合法。
11.如權(quán)利要求10所述的裝置,其特征在于,所述驗(yàn)證單元,具體用于: 根據(jù)所述選定的加密解密算法,對所述認(rèn)證響應(yīng)消息中攜帶的密鑰進(jìn)行解密,獲取主密鑰;獲取本地保存的所述基站對應(yīng)的證書信息;當(dāng)確定所述認(rèn)證響應(yīng)消息中攜帶的所述基站對應(yīng)的證書信息與本地保存的所述基站對應(yīng)的證書信息相同,且所述主密鑰與所述基站計算的主密鑰相同時,確定所述基站對應(yīng)的證書信息以及密鑰合法;當(dāng)確定所述認(rèn)證響應(yīng)消息中攜帶的所述基站對應(yīng)的證書信息與本地保存的所述基站對應(yīng)的證書信息不相同,或者所述主密鑰與所述基站計算的主密鑰不相同時,確定所述基站對應(yīng)的證書信息以及密鑰不合法。
12.—種接入網(wǎng)絡(luò)的裝置,應(yīng)用于無線通信系統(tǒng),其特征在于,所述無線通信系統(tǒng)包括還包括安全網(wǎng)關(guān),認(rèn)證、授權(quán)和計費(fèi)AAA服務(wù)器,所述裝置包括: 發(fā)送單元,用于向所述安全網(wǎng)關(guān)發(fā)送身份驗(yàn)證EAP請求消息,令所述安全網(wǎng)絡(luò)基于所述EAP請求消息生成接入請求消息發(fā)送至所述AAA服務(wù)器,以及通知所述AAA服務(wù)器驗(yàn)證所述接入請求消息中攜帶的基站標(biāo)識信息合法時,生成認(rèn)證請求消息; 生成單元,用于接收到所述安全網(wǎng)關(guān)發(fā)送的認(rèn)證請求消息后,根據(jù)本裝置對應(yīng)的證書信息以及密鑰生成認(rèn)證響應(yīng)消息,令所述AAA服務(wù)器驗(yàn)證所述本裝置對應(yīng)的證書信息以及所述密鑰是否合法;其中,所述認(rèn)證請求消息為所述安全網(wǎng)關(guān)接收自所述AAA服務(wù)器的消息; 接入單元,用于當(dāng)本裝置對應(yīng)的證書信息以及所述密鑰合法時,通過所述AAA服務(wù)器接入網(wǎng)絡(luò)。
13.如權(quán)利要求12所述的裝置,其特征在于,還包括處理單元,用于: 當(dāng)所述基站標(biāo)識信息合法之后,接收到所述認(rèn)證請求消息之前,接收所述安全網(wǎng)關(guān)發(fā)送的經(jīng)過協(xié)議轉(zhuǎn)換的啟動認(rèn)證過程消息后,基于本地保存的加密解密算法列表生成啟動認(rèn)證過程響應(yīng)消息發(fā)送至所述安全網(wǎng)關(guān),令所述安全網(wǎng)關(guān)將所述啟動認(rèn)證過程響應(yīng)消息進(jìn)行協(xié)議轉(zhuǎn)換后發(fā)送至所述AAA服務(wù)器,并通知所述AAA服務(wù)器從協(xié)議轉(zhuǎn)換后的啟動認(rèn)證過程響應(yīng)消息中攜帶的加密解密算法列表中選定加密解密算法后,將選定的加密解密算法以及AAA服務(wù)器對應(yīng)的證書信息發(fā)送至本裝置;其中,所述啟動認(rèn)證過程消息為所述安全網(wǎng)關(guān)接收自所述AAA服務(wù)器的消息;保存所述選定的加密解密算法,并驗(yàn)證所述AAA服務(wù)器對應(yīng)的證書/[目息是否合法。
14.如權(quán)利要求13所述的裝置,其特征在于,所述生成單元,具體用于: 根據(jù)本地保存的加密解密算法,對所述主密鑰進(jìn)行加密,生成密鑰;根據(jù)本裝置對應(yīng)的證書信息以及所述密鑰,生成認(rèn)證響應(yīng)消息。
【文檔編號】H04W12/06GK104168566SQ201410409714
【公開日】2014年11月26日 申請日期:2014年8月19日 優(yōu)先權(quán)日:2014年8月19日
【發(fā)明者】于吉濤, 潘雷, 吳偉杰 申請人:京信通信系統(tǒng)(中國)有限公司