专利名称:中继节点有效性验证方法、验证实体及系统的制作方法
技术领域:
本发明涉及通信行业无线技术领域,尤其涉及中继节点有效性验证方法、验证实 体及系统。
背景技术:
第三代合作伙伴计划(3rdGeneration Partnership Project,简称 3GPP)在 2004 年12月启动了无线接入网长期演进研究项目(LongTerm Evolution,简称LTE),演进的接 入技术(如Evolved-UTRA,简称E-UTRA)和接入网络(如Evolved-UTRAN,简称E-UTRAN),以 及面向全IP的分组域核心网的演进项目(如System ArchitectureEvolution,简称SAE), 希望通过从无线接口到核心网络的持续演进和增强,保持自己在移动通信领域的技术先发 优势,以保证在今后10年甚至更长的时间里,为运营商和用户不断增长的需求提供满意的 支持。3GPP LTE 主要由演进型 Node B(Evolved Node B,简称 eNB)和接入网关(Access Gateway,简称aGW)两部分构成。aGW是一个边界节点,若将其视为核心网的一部分,则接 入网主要由eNB—层构成。与传统的3GPP接入网相比,LTE减少了无线网络控制器(Radio Network Controller,简称RNC)。这种由eNB构成的单层结构,有利于简化网络和减小延 迟,实现低时延、低复杂度和低成本的要求。其中,eNB除具有原来Node B的功能外,还承担 了以前RNC的大部分功能。aGW可包含3个功能实体移动管理实体(MobilityManagement Entity,简称MME)、服务网关(Serving Gateway,简称S-GW)和分组数据网网关(PDN Gateway,简称P-GW)。这3个功能实体根据具体应用场景进行分合部署。3GPP标准化过程中,针对LTE系统及LTE-Advanced系统中的中继技术的讨论主要 集中在中继的作用、功能划分以及兼容性等方面,但上述讨论全部是基于中继节点(Relay Node,简称RN)由运营商布设,可靠且有效的前提进行的。但是在实际网络中,由于中继节 点的价格低廉,部署灵活,开关随意的特性,可能会有个别部门甚至个人由于工作和生活原 因,部署面向区域用户的中继节点。现有LTE方案中,用户设备(User Equipment,简称UE)采用验证和密钥协商机制 (Authentication and Key Agreement,简称AKA)进行UE的有效性验证。图1为现有技术 UE接入LTE系统的有效性验证的流程图。如图1所示,其具体流程为S01 :UE向MME发送验证起始消息;S02 :MME生成随机的验证向量,并将验证向量发送至UE ;S03 :UE根据验证向量进行本地校验,并向MME反馈本地校验结果;S04 :MME对UE的本地校验结果进行审核;S05 当审核通过时,MME允许UE接入网络,并向UE发送相关信息;当审核失败时, MME不允许UE接入网络,并向UE发送相关信息。在实现本发明过程中,发明人发现现有LTE系统及LTE-Advanced系统中的中继技 术中存在如下问题不能对接入网络的中继节点进行有效性验证,存在非法中继节点入侵
4网络,影响正常通信业务的安全漏洞。
发明内容
本发明的目的是解决现有LTE系统及LTE-Advanced系统不能对接入网络的中继 节点进行有效性验证,存在非法中继节点入侵网络,影响正常通信业务的安全漏洞的缺陷, 提出一种中继节点有效性验证方法、验证实体及系统,以解决LTE系统及LTE-Advanced系 统中,中继节点的有效性验证问题。为实现上述目的,根据本发明的一个方面,提供了一种中继节点有效性验证方法, 应用于LTE系统或LTE-Advanced系统中,包括中继节点有效性验证由高级验证实体和本 地验证实体进行,其中,高级验证实体进行中继节点首次网络接入的有效性验证;本地验证 实体负责后续的中继节点网络接入的有效性验证。本技术方案中,高级验证实体进行中继节点首次网络接入的有效性验证的步骤具 体包括高级验证实体接收中继节点的验证起始消息,验证起始消息包括中继节点的ID ; 向中继节点发送验证向量,并接收中继节点根据验证向量反馈的本地校验结果;当本地校 验结果正确时,允许中继节点进行网络接入,并将中继节点的ID发送至本地验证实体,由 本地验证实体负责后续的中继节点的有效性验证;当本地校验结果错误时,拒绝中继节点 进行网络接入。优选的,本技术方案中,验证起始消息还可以包括下列至少之一中继节点的移动 性信息、中继节点的级别信息。由本地验证实体负责后续的中继节点的有效性验证的步骤 之前还包括高级验证实体根据中继节点的移动性信息,和/或中继节点的级别信息,计算 中继节点的验证有效期;由本地验证实体负责后续的中继节点的有效性验证的步骤具体包 括并将验证有效期发送至本地验证实体,在后续的验证有效期内,本地验证实体负责中继 节点的有效性验证。本技术方案中,在后续的验证有效期内,本地验证实体负责中继节点的有效性验 证的步骤具体包括中继节点再次发起网络接入请求时,根据中继节点的ID,本地验证实 体判断中继节点是否已通过高级验证实体的有效性验证且在验证有效期内,如是,则允许 中继节点进行网络接入;否则,由高级验证实体对中继节点的有效性进行验证。为实现上述目的,根据本发明的另一个方面,提供了一种高级验证实体,应用于 LTE系统或LTE-Advanced系统中,包括起始单元,用于接收中继节点的验证起始消息,验 证起始消息包括中继节点的ID;校验单元,用于向中继节点发送验证向量,并接收中继节 点根据验证向量反馈的本地校验结果;处理单元,用于当本地校验结果正确时,允许中继节 点进行网络接入,并将中继节点的ID发送至本地验证实体;当本地校验结果错误时,拒绝 中继节点进行网络接入。优选的,本技术方案中,验证起始消息中包括下列至少之一中继节点的移动性信 息、中继节点的级别信息;验证实体还包括有效期单元,用于当本地校验结果正确时,根 据中继节点的移动性信息,和/或中继节点的级别信息,计算中继节点的验证有效期,并将 验证有效期发送至本地验证实体,在后续的验证有效期内,当中继节点再次发出网络接入 请求时,由本地验证实体进行中继节点的有效性验证。本技术方案中,高级验证实体位于MME或eNB ;或作为单独的物理实体。
5
为实现上述目的,根据本发明的另一个方面,提供了一种本地验证实体,应用于 LTE系统或LTE-Advanced系统中,包括接收单元,用于接收通过高级验证实体首次有效性 验证的中继节点的ID及验证有效期;存储单元,用于存储中继节点的ID及验证有效期,并 且当验证有效期到期后,删除中继节点的ID及验证有效期;处理单元,用于根据中继节点 的ID及验证有效期,对中继节点进行有效性验证。为实现上述目的,根据本发明的另一个方面,提供了一种中继节点有效性验证系 统,应用于LTE系统或LTE-Advanced系统中,包括中继节点、高级验证实体、本地验证实体, 其中中继节点,用于发送验证起始消息,验证起始消息包括中继节点的ID ;并根据高级验 证实体发送的验证向量,反馈本地校验结果;高级验证实体,用于接收中继节点的验证起始 消息,向中继节点发送验证向量,接收本地校验结果,当本地校验结果正确时,允许中继节 点进行网络接入,并将中继节点的ID发送至本地验证实体,当本地校验结果错误时,拒绝 中继节点进行网络接入;本地验证实体,用于当中继节点再次发出网络接入请求时,根据中 继节点的ID,进行中继节点的有效性验证。本发明各实施例的中继节点有效性验证方法、验证实体及系统通过两级验证实体 对中继节点进行有效性验证,防范了非法中继节点入侵网络,影响正常通信业务的安全漏 洞。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变 得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、以及附图中所特别指出的结构来实现和获得。下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实 施例共同用于解释本发明,并不构成对本发明的限制。在附图中图1为现有技术UE接入LTE系统的有效性验证的流程图;图2为本发明实施例二中继节点有效性验证方法的流程图;图3为本发明实施例三中继节点有效性验证方法的流程图;图4为本发明实施例四高级验证实体的示意图;图5为本发明实施例六中继节点有效性验证系统的网络拓扑图。结合附图在其上 标记以下附图标记 402-起始单元;404-处理单元;406-校验单元;408-有效期单元。
具体实施例方式以下结合附图对本发明的实施例进行说明,应当理解,此处所描述的实施例仅用 于说明和解释本发明,并不用于限定本发明。实施例一本实施例的中继节点有效性验证方法,应用于LTE系统或LTE-Advanced系统中, 包括中继节点有效性验证由高级验证实体和本地验证实体进行,其中,高级验证实体进行中继节点首次网络接入的有效性验证;本地验证实体负责后续的中继节点网络接入的有效 性验证。本实施例中,可以预设或由中继节点的特性计算验证有效期,在验证有效期内,高 级验证实体进行中继节点首次网络接入的有效性验证;本地验证实体负责后续的中继节点 网络接入的有效性验证。当开始下一个验证有效期后,由高级验证实施重新进行中继节点 首次网络接入的有效性验证;本地验证实体负责后续的验证有效期内的中继节点网络接入 的有效性验证。本实施例设立了高级验证节点和本地验证节点,分别负责首次和后续的中继节点 网络接入的有效性验证,从而防范了非法中继节点入侵网络,影响正常通信业务的安全漏 洞。实施例二图2为本发明实施例二中继节点有效性验证方法的流程图。如图2所示,本实施 例包括步骤S102 高级验证实体接收中继节点的验证起始消息,验证起始消息包括中继 节点的ID ;步骤S104 向中继节点发送验证向量,并接收中继节点根据验证向量反馈的本地 校验结果;步骤S106 判断本地校验结果是否正确,如果是,执行步骤S108,否则,执行步骤 S110 ;步骤S108 允许中继节点进行网络接入,并将中继节点的ID发送至本地验证实 体,由本地验证实体负责后续的所述中继节点的有效性验证,流程结束;步骤S110 拒绝中继节点进行网络接入,流程结束。本实施例中,中继节点的ID可以为中继节点的设备号、IP地址、网络识别号或其 他可以识别该设备的信息。本实施例的方法可以应用于LTE系统或LTE-Advanced系统中,由相应的中继节点 有效性验证实体实现。本实施例通过采用与现有技术UE接入LTE系统的有效性验证类似 的方法对中继节点进行有效性验证,防范了非法中继节点入侵网络,影响正常通信业务的 安全漏洞。实施例三图3为本发明实施例三中继节点有效性验证方法的流程图。如图3所示,本实施 例包括步骤S202 当中继节点首次网络接入时,向高级验证实体发送验证起始消息,验 证起始消息包括中继节点ID,还包括中继节点的移动性信息和/或级别信息;步骤S204 高级验证实体生成随机的验证向量,并将验证向量发送至中继节点;步骤S206 中继节点根据验证向量进行本地校验,生成本地校验结果,将本地校 验结果发送至高级验证实体;步骤S208 高级验证实体对本地校验结果进行审核,当审核通过时,允许中继节 点进行网络接入,执行步骤S210;当审核不通过时,不允许中继节点进行网络接入,流程结 束;
步骤S210 高级验证实体根据中继节点的移动性信息,和/或中继节点的级别信 息,计算中继节点的验证有效期;步骤S212 将中继节点ID及验证有效期发送至本地验证实体;步骤S214:在后续的验证有效期内,当中继节点再次发起网络接入请求时,根据 中继节点的ID,由本地验证实体进行中继节点的有效性验证,流程结束;步骤S216 当超过验证有效期后,由高级验证实体重新对中继节点的有效性进行 验证,流程结束。本实施例中,设置了两级中继节点有效性验证实体,当中继节点首次网络接入时, 由高级验证实体对其进行处理,并生成该中继节点的验证有效期,在验证有效期内,当中继 节点再次发起网络接入请求时,由本地验证实体对中继节点的网络接入请求进行处理。例 如,假设LTE系统中,中继节点有移动与固定两种移动性模式,并且分为两个级别,即高级 与中级两种,则1.当高级固定中继节点接入网络,完成验证后,则在本地验证实体中建立相应的 档案,并设置验证有效期为一个月;2.当中级固定中继节点接入网络,完成验证后,则在本地验证实体中建立相应的 档案,并设置验证有效期为15天;3.当高级移动中继节点接入网络,完成验证后,则在本地验证实体中建立相应的 档案,并设置验证有效期为10天;4.当中级移动中继节点接入网络,完成验证后,则在本地验证实体中建立相应的 档案,并设置验证有效期为1天;本实施例中,高级验证实体完成对中继节点的首次有效性验证后,将中继节点ID 及验证有效期发送本地验证实体,由其进行后续的验证有效期内的中继节点网络接入的有 效性验证。当本地验证实体中的验证有效期超时,则在本地验证实体中删除该中继节点相 关信息。中继节点需要网络接入时,重新在高级验证实体进行验证。由于未来的LTE系统或LTE-Advance系统中,中继节点的数量可能会较多。中继节 点的有效性验证完全由高级验证实体来进行,会使高级验证实体负担过重,造成中继节点 网络接入速度下降,而且当高级验证节点出现故障时,会影响到整个网络的中继节点接入, 不利于系统防灾。因此,本实施例提出了验证有效期的概念,本地验证实体负责在验证有效期内的 中继节点网络接入请求进行处理,验证的流程与高级有效性验证实体的验证流程相比,可 以相同,也可以适当简化,甚至完全忽略,从而达到在保证安全性的前提下,提高中继节点 网络接入速度的目的。本实施例提出的方法在进行中继节点有效性验证时,在实施例二的基础上,提出 了验证有效期的概念。本实施例具有实施例一和实施例二的全部有益效果,此外,本实施例 还可以在保证网络安全的前提下,减轻系统负担,提高中继节点网络接入的速度和整个系 统的防灾性能。实施例四图4为本发明实施例四高级验证实体的示意图。如图4所示,本实施例包括起始 单元402,用于接收中继节点的验证起始消息,验证起始消息包括中继节点的ID ;校验单元
8406,用于向中继节点发送验证向量,并接收中继节点根据验证向量反馈的本地校验结果;处理单元404,用于当本地校验结果正确时,允许中继节点进行网络接入,并将中继节点的 ID发送至本地验证实体;当本地校验结果错误时,拒绝中继节点进行网络接入。此外,验证起始消息中可以包括中继节点的移动性信息,和/或中继节点的级别 信息;中继节点有效性高级验证实体还可以包括有效期单元408,用于当本地校验结果正 确时,根据中继节点的移动性信息,和/或中继节点的级别信息,计算中继节点的验证有效 期,并将验证有效期发送至本地验证实体。本实施例中,在后续的验证有效期内,当中继节 点再次发起网络接入请求时,由低级别的中继节点有效性验证实体进行中继节点的有效性 验证。当超出验证有效期后,由本实施例高级验证实体重新对中继节点的有效性进行验证。本实施例提出的高级验证实体可以应用于LTE系统或LTE-Advanced系统中,可以 位于MME或eNB,或作为单独的物理实体存在。本实施例高级验证实体实现的方法可参照实 施例二和实施例三的相关说明,并具有实施例二的全部有益效果,此处不再重述。实施例五本实施例提供了一种本地验证实体,应用于LTE系统或LTE-Advanced系统中,包 括接收单元,用于接收通过高级验证实体首次有效性验证的中继节点的ID及验证有效 期;存储单元,用于存储中继节点的ID及验证有效期,并且当验证有效期到期后,删除中继 节点的ID及验证有效期;处理单元,用于根据中继节点的ID及验证有效期,对中继节点进 行有效性验证。本实施例提出的本地验证实体可以应用于LTE系统或LTE-Advanced系统中,作为 一种低级别的验证实体,可以位于MME或eNB,或作为单独的物理实体存在。本实施例本地 验证实体实现的方法可参照实施例二和实施例三的相关说明,并具有实施例二和实施例三 的全部有益效果,此处不再重述。实施例六图5为本发明实施例六中继节点有效性验证系统的网络拓扑图。如图5所示,本 实施例包括中继节点、高级验证实体、本地验证实体,其中中继节点,用于发送验证起始消息,验证起始消息中包括中继节点的ID ;并根据 高级验证实体发送的验证向量,反馈本地校验结果;高级验证实体,用于接收中继节点的验证起始消息,向中继节点发送验证向量;接 收中继节点的本地校验结果,当本地校验结果正确时,允许中继节点进行网络接入,并将中 继节点的ID发送至本地验证实体;当本地校验结果错误时,拒绝中继节点进行网络接入;本地验证实体,用于当中继节点再次发出网络接入请求时,根据中继节点的ID,进 行中继节点的有效性验证本实施例中,高级验证实体可以为实施例四的高级验证实体,本地验证实体可以 为实施例五的本地验证实体。本实施例提出的系统可以应用于LTE系统或LTE-Advanced 系统。本实施例中继节点有效性验证系统实现的方法可参照实施例二和实施例三的相关说 明,并具有实施例二和实施例三的全部有益效果,此处不再重述。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于可读取存储介质中,该程序在执行时, 执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟、光盘、网络节点、调度器等各种可以存储程序代码的介质。 最后应说明的是以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可 以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。 凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的 保护范围之内。
权利要求
一种中继节点有效性验证方法,应用于LTE系统或LTE-Advanced系统中,其特征在于所述中继节点有效性验证由高级验证实体和本地验证实体进行,其中,所述高级验证实体进行所述中继节点首次网络接入的有效性验证;所述本地验证实体负责后续的所述中继节点网络接入的有效性验证。
2.根据权利要求1所述的方法,其特征在于,所述高级验证实体进行中继节点首次网 络接入的有效性验证的步骤具体包括所述高级验证实体接收中继节点的验证起始消息,所述验证起始消息包括中继节点的ID ;向所述中继节点发送验证向量,并接收中继节点根据所述验证向量反馈的本地校验结果;当所述本地校验结果正确时,允许所述中继节点进行网络接入,并将所述中继节点的 ID发送至本地验证实体,由所述本地验证实体负责后续的所述中继节点的有效性验证;当 所述本地校验结果错误时,拒绝所述中继节点进行网络接入。
3.根据权利要求2所述的方法,其特征在于,所述验证起始消息还包括下列至少之一 中继节点的移动性信息、中继节点的级别信息。
4.根据权利要求3所述的方法,其特征在于,所述由本地验证实体负责后续的中继节 点的有效性验证的步骤之前还包括所述高级验证实体根据所述中继节点的移动性信息,和/或中继节点的级别信息,计 算所述中继节点的验证有效期,并将所述验证有效期发送至本地验证实体;所述由本地验证实体负责后续的中继节点的有效性验证的步骤具体包括在后续的所 述验证有效期内,所述本地验证实体负责所述中继节点的有效性验证。
5.根据权利要求4所述的方法,其特征在于,所述在后续的验证有效期内,本地验证实 体负责中继节点的有效性验证的步骤具体包括中继节点再次发起网络接入请求时,根据所述中继节点的ID,本地验证实体判断所述 中继节点是否已通过高级验证实体的有效性验证且在所述验证有效期内,如是,则允许所 述中继节点进行网络接入;否则,由高级验证实体对所述中继节点的有效性进行验证。
6.一种高级验证实体,其特征在于,应用于LTE系统或LTE-Advanced系统中,包括 起始单元,用于接收中继节点的验证起始消息,所述验证起始消息包括中继节点的ID ;校验单元,用于向所述中继节点发送验证向量,并接收中继节点根据所述验证向量反 馈的本地校验结果;处理单元,用于当所述本地校验结果正确时,允许所述中继节点进行网络接入,并将所 述中继节点的ID发送至本地验证实体;当所述本地校验结果错误时,拒绝所述中继节点进 行网络接入。
7.根据权利要求6所述的高级验证实体,其特征在于,所述验证起始消息中还包括下 列至少之一中继节点的移动性信息、中继节点的级别信息;所述验证实体还包括有效期单元,用于当所述本地校验结果正确时,根据所述中继节 点的移动性信息,和/或中继节点的级别信息,计算所述中继节点的验证有效期,并将所述验证有效期发送至所述本地验证实体,在后续的所述验证有效期内,当所述中继节点再次 发出网络接入请求时,由本地验证实体进行所述中继节点的有效性验证。
8 根据权利要求6或7所述所述的高级验证实体,其特征在于,所述实体位于MME或 eNB ;或作为单独的物理实体。
9.一种本地验证实体,其特征在于,应用于LTE系统或LTE-Advanced系统中,包括 接收单元,用于接收通过高级验证实体首次有效性验证的中继节点的ID及验证有效期;存储单元,用于存储所述中继节点的ID及验证有效期,并且当所述验证有效期到期 后,删除所述中继节点的ID及验证有效期;处理单元,用于根据所述中继节点的ID及验证有效期,对中继节点进行有效性验证。
10.一种中继节点有效性验证系统,其特征在于,应用于LTE系统或LTE-Advanced系统 中,包括中继节点、高级验证实体、本地验证实体,其中所述中继节点,用于发送验证起始消息,所述验证起始消息包括所述中继节点的ID ; 并根据所述高级验证实体发送的验证向量,反馈本地校验结果;所述高级验证实体,用于接收中继节点的所述验证起始消息,向所述中继节点发送验 证向量;接收所述本地校验结果,当所述本地校验结果正确时,允许所述中继节点进行网络 接入,并将所述中继节点的ID发送至本地验证实体;当所述本地校验结果错误时,拒绝所 述中继节点进行网络接入;所述本地验证实体,用于当所述中继节点再次网络接入时,根据中继节点的ID,进行所 述中继节点的有效性验证。
11.根据权利要求10所述的系统,其特征在于,所述高级验证实体包括起始单元,用于接收中继节点的验证起始消息,所述验证起始消息包括中继节点的ID ;校验单元,用于向所述中继节点发送验证向量,并接收中继节点根据所述验证向量反 馈的本地校验结果;处理单元,用于当所述本地校验结果正确时,允许所述中继节点进行网络接入,并将所 述中继节点的ID发送至本地验证实体;当所述本地校验结果错误时,拒绝所述中继节点进 行网络接入。
12.根据权利要求11所述的系统,其特征在于,所述验证起始消息中还包括下列至少 之一中继节点的移动性信息、中继节点的级别信息;所述高级验证实体还包括有效期单元,用于当所述本地校验结果正确时,根据所述中 继节点的移动性信息,和/或中继节点的级别信息,计算所述中继节点的验证有效期;并将 所述验证有效期发送至本地验证实体,在后续的所述验证有效期内,当所述中继节点再次 发出网络接入请求时,由本地验证实体进行所述中继节点的有效性验证。
全文摘要
本发明公开了一种中继节点有效性验证方法、验证实体及系统。该方法应用于LTE系统或LTE-Advanced系统中,包括中继节点有效性验证由高级验证实体和本地验证实体进行;高级验证实体进行中继节点首次网络接入的有效性验证;本地验证实体负责后续的中继节点网络接入的有效性验证。本发明通过对中继节点进行有效性验证,防范了非法中继节点入侵网络,影响正常通信业务的安全漏洞。
文档编号H04L12/06GK101826971SQ20091007933
公开日2010年9月8日 申请日期2009年3月6日 优先权日2009年3月6日
发明者刘光毅, 刘磊, 杨宁, 沈晓冬 申请人:中国移动通信集团公司