转发设备的认证方法、系统及设备与流程

本公开属于通信，具体涉及一种转发设备的认证方法、系统及设备。

背景技术：

1、随着通信技术的发展，为了提高通信质量，可以在通信系统中增加覆盖扩展的设备。

2、在5g标准的rel-18(版本18)中，将引入一个新无线转发设备，即smart repeater(智能直放站)。相比于传统的直放站，smart repeater需要支持对覆盖区域的终端进行波束赋形、支持接收宏站的控制信息、支持安全性。相比于5g的iab(integrated access andbackhaul，接入回传一体化)设备和4g中的relay(中继)设备，smart repeater本质上是层1(接入层)的转发设备，不能支持数据的缓存，不能存在复杂的协议栈设计。

3、而目前的3gpp rel-17(版本17)中的协议无法满足smart repeater的设计需求，若采用iab设备或relay设备的方案，需要smart repeater支持nas和用户面协议，需要较高的成本且复杂度较高，由于smart repeater为层1的中继设备，本身不需要建立承载和在核心网获取ip地址，以ue身份进行核心网认证，将会引发移动性关系问题，而目前尚未讨论smart repeater的接入问题，因此亟需一种认证方式，以保障smart repeater接入进行增强功能。

技术实现思路

1、本公开实施例的目的是提供一种转发设备的认证方法、系统及设备，能够解决智能直放站无法安全接入的问题。

2、为了解决上述技术问题，本公开是这样实现的：

3、第一方面，本公开实施例提供了一种转发设备的认证方法，该方法包括：转发设备根据预配置随机接入资源，向基站发送随机接入请求；若接收到所述随机接入请求，则所述基站向所述转发设备发送调度配置；在接收到所述调度配置之后，所述转发设备以明文形式向所述基站发送包括所述转发设备的第一身份标识的第一rrc(radio resourcecontrol，无线资源控制)消息；所述基站向所述认证服务设备发送所述第一身份标识；在基于所述第一身份标识认证所述转发设备为合法设备的情况下，所述认证服务设备向所述基站发送认证结果和信令所使用的第一根密钥和第一安全算法；所述基站以明文形式向所述转发设备发送所述认证结果、所述第一根密钥和所述第一安全算法；所述转发设备通过srb1(signaling radio bearer，无线信令承载)向所述基站发送小区配置信息；所述基站通过srb 1向所述转发设备发送配置的第一资源配置信息和信令配置信息。

4、可选地，所述转发设备根据预配置随机接入资源，向基站发送随机接入请求之前，所述转发设备处于空闲态；其中，在所述转发设备处于空闲态的情况下，所述转发设备确定不向基站或终端转发信号，基站侧分配所述转发设备的接入链路资源。

5、可选地，所述转发设备根据预配置随机接入资源，向基站发送随机接入请求之前，该方法还包括：所述转发设备从网管设备或者从所述基站的广播消息中，获取所述预配置随机接入资源；所述预配置随机接入资源用于转发设备发起随机接入过程；其中，所述预配置随机接入资源包括以下至少一项：preamble码的范围，所述preamble码的范围包括至少一个preamble码序号或者preamble码序号范围，每个序号采用整数值，序号的范围为0-63；preamble码格式；preamble码使用的时域资源，所述时域资源包括preamble码可发送的时隙位置和帧位置；preamble码使用的频域资源，所述频域资源包括preamble码可发送的频域位置。

6、可选地，所述转发设备根据预配置随机接入资源，向基站发送随机接入请求，包括：所述转发设备从所述预配置随机接入资源中选择第一preamble码，确定所述第一preamble码的第一preamble码格式和发送的第一时频资源，并采用所述第一时频资源向所述基站发送所述第一preamble码格式的所述第一preamble码。

7、可选地，所述基站向所述转发设备发送调度配置之前，该方法还包括：在所述基站在所述第一时频资源接收到所述第一preamble码之后，所述基站确定发送所述第一preamble码的设备为转发设备，并为所述转发设备配置调度配置；其中，所述调度配置包括用于调度的用户调度标识和所述转发设备后续传输rrc信令的调度资源。

8、可选地，所述转发设备以明文形式向所述基站发送包括所述转发设备的第一身份标识的第一rrc消息之前，该方法还包括：所述转发设备向管理系统请求所述转发设备的用户动态标识和所述转发设备归属的运营商网号；所述转发设备根据请求得到的第一用户动态标识、第一运营商网号和所述转发设备的连接状态，生成所述第一rrc消息；所述第一用户动态标识为所述第一身份标识；所述转发设备以明文形式向所述基站发送包括所述转发设备的第一身份标识的第一rrc消息，包括：所述转发设备通过srb 0向所述基站发送所述第一rrc消息；其中，所述第一rrc消息包括以下至少一项：所述第一用户动态标识，所述第一用户动态标识包括的用户标识信息和校验信息；第一运营商网号，所述第一运营商网号标识运营商mnc(mobile network codes，移动网络号码)；建立原因，所述建立原因为设备建立或设备恢复连接；预留比特位，所述预留比特位的长度为1比特。

9、可选地，该方法还包括：在接收到所述第一rrc消息之后，所述基站根据所述运营商网号、所述转发设备的移动设备国家代码，生成plnm(public land mobile network，公共陆地移动网络)标识；所述基站向所述认证服务设备发送所述第一身份标识，包括：所述基站向所述plnm标识对应的认证服务设备发送所述第一身份标识；其中，所述认证服务设备为以下任意一项：核心网网元、网管设备和其他认证服务设备。

10、可选地，所述认证服务设备为核心网网元，所述核心网网元为核心网控制面实体；所述基站向所述plnm标识对应的认证服务设备发送所述第一身份标识，包括：所述基站根据所述plnm标识选择对应的第一核心网控制面实体，并通过ng接口(一种逻辑接口)，向所第一核心网控制面实体发送认证请求；其中，所述认证请求包括以下至少一项：基站侧为所述转发设备分配的标识，用于标识ng接口基站侧配置的用户唯一编号；所述第一用户动态标识；所述plmn标识指示的plmn。

11、所述基站向所述plnm标识对应的认证服务设备发送所述第一身份标识之后，该方法还包括：所述认证服务设备根据所述第一身份标识，认证所述转发设备，并向所述基站发送认证结果。

12、可选地，所述基站根据所述plnm标识选择对应的第一核心网控制面实体，并通过ng接口，向所第一核心网控制面实体发送认证请求之后，该方法还包括：所述第一核心网控制面实体向udm(unified data management，统一数据管理)网元，发送所述第一身份标识，并接收所述udm网元返回的认证结果。

13、可选地，所述认证服务设备根据所述第一身份标识，认证所述转发设备，并向所述基站发送认证结果，包括：若所述第一身份标识满足预设条件，则确定所述转发设备为合法设备，所述认证服务设备向所述基站发送认证响应消息；或者，若所述第一身份标识不满足所述预设条件，则确定所述转发设备为非法设备，所述认证服务设备向所述基站发送认证失败消息；其中，所述预设条件为所述认证服务设备的数据库中存在所述第一用户动态标识中的用户标识信息，且所述第一用户动态标识中的校验信息为所述认证服务设备第一次收到的校验信息。

14、可选地，所述认证服务设备为所述第一核心网控制面实体；所述认证服务设备向所述基站发送认证响应消息，包括：所述第一核心网控制面实体确定不为所述转发设备分配ip地址(internet protocol address，互联网协议地址)和默认承载，保留所述转发设备在核心网侧的上下文信息，并通过ng接口向所述基站发送所述认证响应消息；其中，所述认证响应消息包括以下至少一项：基站侧为所述转发设备分配的标识，用于标识在ng接口基站侧配置的用户唯一编号；核心网侧为转发设备分配的标识，用于标识在ng接口基站侧配置的用户唯一编号；认证结果；所述第一安全算法；所述第一根密钥。

15、可选地，所述认证服务设备为所述第一核心网控制面实体；所述认证服务设备向所述基站发送认证失败消息，包括：所述第一核心网控制面实体删除所述转发设备在核心网侧的上下文信息，并通过ng接口向所述基站发送所述认证失败消息；其中，所述认证失败消息包括以下至少一项：核心网侧为所述转发设备分配的标识；失败原因。

16、可选地，所述认证服务设备向所述基站发送认证失败消息之后，所述包括：在认证失败的情况下，所述基站删除所述转发设备在基站侧的rrc上下文、预留的物理层资源和用户调度标识，并通过srb 0向所述转发设备发送第二rrc消息；其中，所述第二rrc消息用于通知所述转发设备连接建立失败，所述第二rrc消息包括以下至少一项：拒绝原因，所述拒绝原因包括认证失败；等待时间。

17、可选地，该方法还包括：在接收到所述第二rrc消息之后，所述转发设备保持空闲态，启动第一定时器，删除物理层配置信息和高层配置信息，并向所述网管设备发送所述拒绝原因；其中，所述第一定时器的时长为所述等待时间，所述转发设备在所述第一定时器超时之前不再尝试向所述基站发送preamble码。

18、可选地，所述认证服务设备向所述基站发送认证响应消息之后，该方法还包括：若建立原因为设备建立，则所述基站为所述转发设备配置连接状态，并为所述转发设备的接入链路配置物理层资源；或者，若建立原因为设备恢复连接，则所述基站为所述转发设备配置连接状态，并更新所述转发设备的链路配置的物理层资源；其中，所述基站确定认证结果合法的情况下，所述基站确定不为所述转发设备配置drb(data radio bearer，数据承载)和用户面操作，不触发所述转发设备进入空闲态或非激活态，不接收所述转发设备的srb 2的相关信息。

19、可选地，所述认证服务设备向所述基站发送认证响应消息之后，该方法还包括：所述基站向所述转发设备发送第三rrc消息，所述第三rrc消息指示所述转发设备连接建立成功，所述第三rrc消息用于配置所述转发设备的物理层资源、信令和管理资源中的至少一项；其中，所述第三rrc消息包括以下至少一项：物理层资源配置；用于srb的mac(mediaaccess control，媒体接入控制)层配置；用于srb的rlc(radio link control，无线链路控制)层配置；所述第一安全算法。

20、可选地，该方法还包括：在接收到所述第三rrc消息之后，所述转发设备将空闲态切换为连接状态，且控制面连接，确定没有drb配置，保存所述第三rrc消息指示的资源，根据所述第一安全算法加密所述转发设备对应的srb 1的内容。

21、可选地，所述根据所述第一安全算法加密所述转发设备对应的srb1的内容，包括：所述转发设备根据第二根密钥、所述第一安全算法、所述转发设备连接的服务小区的频点和pci(physical cell identifier，物理小区标识)，确定转发设备的第一安全加密密钥，并采用所述第一安全加密密钥加密所述转发设备对应的srb 1的内容；其中，所述第二根密钥为网管设备配置的或预定义的，所述第一安全加密密钥包括加密根密钥和完整性根密钥中的至少一项。

22、可选地，该方法还包括：在接收到第三rrc消息之后，在所述转发设备支持多个频段同时工作的情况下，所述转发设备通过srb 1向所述基站发送第四rrc消息；其中，所述第四rrc消息包括转发设备支持的第一频段列表，所述第一频段列表包括除转发设备的服务小区之外的至少一个小区的频点信息；所述至少一个小区中的每个小区的频点信息包括小区编号和小区频段中的至少一个。

23、可选地，所述转发设备向所述基站发送第四rrc消息之后，该方法还包括：在接收到所述第四rrc消息之后，所述基站根据所述基站同时支持的频点信息和所述第一频段列表，确定第一频点和所述第一频点对应的配置信息；所述第一频点是所述基站为所述转发设备确定的可以同时工作的频点；根据所述配置信息，针对所述第一频点中每个频点，为所述转发设备配置接入链路；其中，在所述转发设备配置了至少两个接入链路的情况下，所述转发设备rrc消息的传输小区为服务小区。

24、可选地，该方法还包括：所述基站根据所述第一根密钥、所述转发设备连接的服务小区频点和pci确定的第二安全性密钥，加密第五rrc消息，并向所述转发设备发送所述第五rrc消息；其中，所述第五rrc消息包括物理层资源配置和载波配置中的至少一个，所述载波配置包括第一载波的物理层配置信息；所述第一载波为所述第一频点对应的载波；所述物理层配置信息包括以下至少一项：载波标识、物理层资源配置、所述转发设备的调度标识。

25、可选地，该方法还包括：在接收到所述第五rrc消息的情况下，所述转发设备基于所述第一根密钥，解码所述第五rrc消息，保存所述第五rrc消息携带的第一载波配置信息，并为第一频点配置接入链路；其中，在所述转发设备配置了至少两个接入链路的情况下，所述转发设备rrc消息的传输小区为服务小区。

26、第二方面，本公开实施例提供了一种认证系统，该认证系统包括：转发设备、基站和认证服务设备；所述转发设备，用于根据预配置随机接入资源，向基站发送随机接入请求；所述基站，用于若接收到所述随机接入请求，则向所述转发设备发送调度配置；所述转发设备，用于在接收到所述调度配置之后，以明文形式向所述基站发送包括所述转发设备的第一身份标识的第一无线资源控制rrc消息；所述基站，用于向所述认证服务设备发送所述第一身份标识；所述认证服务设备，用于在基于所述第一身份标识认证所述转发设备为合法设备的情况下，向所述基站发送认证结果和信令所使用的第一根密钥和第一安全算法；所述基站，用于以明文形式向所述转发设备发送所述认证结果和所述第一安全算法；所述转发设备，用于通过无线信令承载srb1向所述基站发送小区配置信息；所述基站，用于通过srb1向所述转发设备发送配置的第一资源配置信息和信令配置信息。

27、第三方面，本公开实施例提供了一种转发设备，包括处理器，存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的转发设备的认证方法中转发设备的步骤。

28、第四方面，本公开实施例提供了一种基站，包括处理器，存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的转发设备的认证方法中基站的步骤。

29、第五方面，本公开实施例提供了一种认证服务设备，包括处理器，存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的转发设备的认证方法中认证服务设备的步骤。

30、在本公开实施例中，转发设备可以通过预配置随机接入资源向基站发起随机接入请求，并指示设备类型，基站在预配置随机接入资源上接收到随机接入请求之后，可以确定发送该随机接入请求的设备为转发设备，之后，基站便可以针对该转发设备发送调度配置，转发设备在接收到调度配置之后，可以向基站通过明文形式发送携带转发设备的身份标识的第一rrc消息，基站向认证服务设备转发转发设备的身份标识，以在认证服务设备中认证转发设备的合法性，在转发设备为合法设备的情况下，认证服务设备可以向基站发送认证结果、信令使用的根密钥和安全算法，基站可以向转发设备转发认证结果、信令使用的根密钥和安全算法，之后，转发设备可以通过srb1向基站发送小区配置信息，基站再根据接收到的小区配置信息为转发设备配置资源和信令配置，从而使得网络设备可以在认证服务设备中认证并接入网络，比如使得智能直放站可以在网络中认证，使得合法的智能直放站可以安全接入网络，避免非法的智能直放站的接入。