DU GAOPENG (CN)
ZHU YONGSHENG (CN)
DU GAOPENG (CN)
CN101141492A | 2008-03-12 | |||
CN101425897A | 2009-05-06 | |||
CN101656725A | 2010-02-24 | |||
CN101043331A | 2007-09-26 |
北京康信知识产权代理有限责任公司 (CN)
权 利 要 求 书 1. 一种演进型节点 B的身份认证方法, 包括: 演进型节点 B在向服务器申请互联网协议地址时, 将身份认证信 息发送给所述服务器; 所述服务器在接收到所述身份认证信息之后, 通过所述身份认证 信息对所述演进型节点 B进行认证, 如果认证通过, 则为所述演进型 节点 B分配互联网十办议地址。 2. 根据权利要求 1所述的方法, 在所述演进型节点 B 将所述身份认证信息发送给所述服务器之 前, 所述服务器将第一随机字符串发送给所述演进型节点 B; 所述演进型节点 B将所述身份认证信息发送给所述服务器包括: 所述演进型节点 B使用演进型节点 B密码通过第一函数对所述第一随 机字符串进行运算获得第一数据; 所述演进型节点 B将所述身份认证 信息发送给所述服务器, 其中, 所述身份认证信息包括: 所述第一数 据、 所述第一函数的标识信息和演进型节点 B标识; 所述服务器通过所述身份认证信息对所述演进型节点 B进行认证 包括: 所述服务器根据所述第一函数的标识信息获得所述第一函数; 所述服务器获取与所述演进型节点 B标识对应的演进型节点 B密码; 所述服务器使用获取的所述演进型节点 B密码通过所述第一函数对本 地存储的所述第一随机字符串进行运算, 将运算结果与所述第一数据 进行比较, 如果匹配, 则认证通过, 否则, 认证不通过。 3. 根据权利要求 2所述的方法, 在所述服务器将所述第一随机字符串发 送给所述演进型节点 B之前, 所述方法还包括: 运营商为所述演进型节点 B分配所述演进型节点 B密码和所述演 进型节点 B标识。 4. 根据权利要求 2所述的方法, 在运营商没有为所述演进型节点 B分配 演进型节点 B密码和演进型节点 B标识的情况下, 所述演进型节点 B使用所述演进型节点 B密码通过所述第一函数 对所述第一随机字符串进行运算获得所述第一数据包括: 所述演进型 节点 B使用伪造的所述演进型节点 B密码通过所述第一函数对所述第 一随机字符串进行运算获得所述第一数据; 所述演进型节点 B标识为伪造的演进型节点 B标识。 根据权利要求 1所述的方法, 在所述服务器对所述演进型节点 B进行 认证之后, 所述方法还包括: 所述服务器向所述演进型节点 B发送认证合法性信息; 所述演进型节点 B根据所述认证合法性信息对所述服务器进行认 证。 根据权利要求 5所述的方法, 在所述服务器向所述演进型节点 B发送认证合法性信息之前, 所 述演进型节点 B将第二随机字符串发送给所述服务器; 所述服务器向所述演进型节点 B发送认证合法性信息包括: 所述 服务器使用演进型节点 B密码通过第二函数对所述第二随机字符串进 行运算获得第二数据; 所述服务器将所述认证合法性信息发送给所述 演进型节点 B, 其中, 所述认证合法性信息包括: 所述第二数据和所 述第二函数的标识信息; 所述演进型节点 B根据所述认证合法性信息对所述服务器进行认 证包括: 所述演进型节点 B根据所述第二函数的标识信息获得所述第 二函数;所述演进型节点 B使用所述演进型节点 B的演进型节点 B密 码通过所述第二函数对本地存储的所述第二随机字符串进行运算, 将 运算结果与所述第二数据进行比较, 如果匹配, 则认证通过, 否则, 认证不通过。 根据权利要求 6所述的方法, 在所述演进型节点 B将第二随机字符串 发送给所述艮务器之前, 所述方法还包括: 运营商为所述演进型节点 B分配所述演进型节点 B密码和所述演 进型节点 B标识。 根据权利要求 6所述的方法, 在所述服务器未获取到运营商为所述演 进型节点 B分配的演进型节点 B密码的情况下, 所述艮务器使用所述演进型节点 B密码通过所述第二函数对所述 第二随机字符串进行运算获得所述第二数据包括: 所述服务器使用伪 造的所述演进型节点 B密码通过所述第二函数对所述第二随机字符串 进行运算获得所述第二数据。 9. 一种演进型节点 B的身份认证系统, 包括: 演进型节点 B和服务器, 其巾, 所述演进型节点 B设置为在向服务器申请互联网协议地址时, 将 身份认证信息发送给所述服务器; 所述服务器设置为在接收到所述身份认证信息之后, 通过所述身 份认证信息对所述演进型节点 B进行认证, 如果认证通过, 则为所述 演进型节点 B分配互联网协议地址。 10. 根据权利要求 9所述的系统, 所述服务器还设置为向所述演进型节点 B发送认证合法性信息; 所述演进型节点 B还设置为根据所述认证合法性信息对所述服务 器进行认证。 |
在表 1中描述的扩展选项中, RANDOM-STRING为 eNB或 DHCP月艮务 器生成的随机字符串, KEY-HASH-STRING 为密钥哈希函数运算结果字符 串, HASH-FUNC-ID标识认证所使用的密钥哈希函数。 图 3是根据本发明实 施例的 DHCP协议报文交互的示意图,本发明实施例就 通过 DHCP协议报 文交互进行身份认证的。 在图 1所示的场景下可能存在以下三种情况:合法 eNB接入网络时的身 份认证、 非法 eNB接入网络时的身份认证以及合法 eNB接入非法网络时的 身份认证。 下面结合实施例对上述三种情况进行说明。 实施例一 合法 eNB接入网络后, 网络侧对 eNB的身份进行认证, 并为其分配 IP 地址, 同时 eNB对网络侧进行认证, 在双向认证成功之后, eNB正常使用运 营商网络提供的服务。图 4是根据本发明实施例的对合法 eNB进行身份认证 的方法的示意图, 如图 4所示, 对合法 eNB进行身份认证的方法的具体实施 过程如下: 步骤 S402, eNB接入网络时, 首先发起 DHCP过程, 为自己申请合法 的 IP地址, 以便和移动性管理实体 ( Mobile Management Entity, 简称 MME ) /S-GW/操作维护中心 ( Operation Management Center , 简称为 OMC )等网元 通信。 eNB向网络发送 DHCP Discover ( DHCP发现) 4艮文。 步 4聚 S404, 网络中的 DHCP Server在接收到 DHCP Discover 4艮文后, 随 机生成一长度为 32 字节的字符 串 random_string_l , 将该字符串 random string l 以 RANDOM-STRING扩展选项的方式封装到 DHCP Offer 4艮文中, 然后发送给 eNB。 步骤 S406, eNB 在接收到 DHCP Offer ( DHCP 提供)报文后, 解析 RANDOM-STRING选项, 在本地计算 hash_string_l , 计算的方式为以 eNB Password为密钥, 对收到的 random_string_l求哈希, 即, hash _ string _ 1 = HASH _ FUNCeNB― password {random _ string _ 1)。 eNB 构造 DHCP Request ( DHCP 请求) 4艮文, 该 4艮文中携带有 hash string l , hash函数标 i只 ( Identity, 简称为 ID )、 eNB Identity ( eNB标 识)的信息以及本地生成的随机字符串 random_string_2, 其中, hash函数 ID 标识了计算 hash_string_l所需的密钥哈希函数, 然后, eNB将构造的 DHCP Request 艮文发送给 DHCP Server, 步骤 S408 , DHCP Server在接收到 DHCP Request报文后, 根据报文中 携带的 eNB Identity索引到对应的 eNB Password, 并才艮据 HASH-FUNC-ID 对应的哈希算法按照步骤 S406中的方法本地计算 hash_string_l ,如果计算出 的 hash_string_l与 DHCP Request 4艮文中携带的一致, 则说明该 eNB是合法 的, DHCP Server为 eNB分配 IP地址。
DHCP Server使用索引到的该 eNB对应的 eNB Password对接收到的 random_string_2进行哈希计算得到 hash_string_2 , 即, hash _ string _2 = HASH _ FUNCCNB― (random _ string _ 2) 步骤 S410 , DHCP Server构造 DHCP ACK 4艮文并将其发送给 eNB , 其 中, DHCP ACK 4艮文包含 eNB的 IP地址以及其它网络侧的信息, hash_string_2 和 HASH函数 ID。 步骤 S412 , eNB在接收到 DHCP ACK 4艮文后, 按照步骤 S408的方式本 地计算 hash_string_2 , 如果计算初的结果和 ACK报文中携带的一致, 则认 为网络侧是合法的。 eNB使用申请到的 IP地址等信息与网路通信。 DHCP Offer, DHCP Request和 DHCP Ack 4艮文使用 DHCP协议的消息 认证选项对 4艮文进行完整性保护, 防止消息在传递过程中被篡改。 实施例二 非法 eNB接入网络时, 网络侧对 eNB的身份认证失败, 然后, 网络侧 会拒绝为 eNB分配 IP地址, 该 eNB将无法使用运营商网络提供的服务。 图 5是根据本发明实施例的对非法 eNB进行身份认证的方法的示意图, 如图 5 所示, 对非法 eNB进行身份认证的方法的具体实施过程如下: 步骤 S502, 非法 eNB接入网络时, 首先发起 DHCP过程, 为自己申请 合法的 IP地址, 以便和 MME/S-GW/OMC等网元通信。 非法 eNB向网络发 送 DHCP Discover报文。 步骤 S504 , 网络中的 DHCP Server在接收到 DHCP Discover 4艮文后, 随 机生成一长度为 32 字节的字符 串 random_string_l , 将该字符串 random string l 以 RANDOM-STRING扩展选项的方式封装到 DHCP Offer 艮文中, 并发送给 eNB。 步骤 S506 , 非法 eNB 在接收到 DHCP Offer 报文后, 解析 random string l ,由于非法 eNB没有运营商分配的合法 eNB Password,因 jt匕, 非法 eNB无法正确计算 hash_string_l。 非法 eNB构造 DHCP Request 4艮文,该 4艮文携带伪造 hash string l、 hash 函数 ID、 eNB Identity的信息以及本地生成的随机字符串 random_string_2 , 其中, hash函数 ID标识了计算 hash_string_l所需的密钥哈希函数, eNB将 DHCP Request报文发送给 DHCP Server。 步骤 S508, DHCP Server在接收到 DHCP Request报文后, 根据报文中 携带的 eNB Identity索引到对应的 eNB Password, 并才艮据 HASH-FUNC-ID 对应的哈希算法本地计算 hash_string_l , 其计算结果与 4艮文中携带的 KEY-HASH-STRING必定不同, eNB身份认证失败。 步骤 S510, DHCP Server响应 DHCP NACK 4艮文, 4巨绝为该 eNB分配
IP地址等网络侧信息。 非法 eNB无法申请到运营商网络提供的合法 IP地址等信息, 其无法使 用运营商网络提供的月艮务。 DHCP Offer、 DHCP Request和 DHCP Ack 4艮文使 用 DHCP协议的消息认证选项对报文进行完整性保 , 防止消息在传递过程 中被篡改。 实施例三 合法 eNB接入非法网络, 非法网络默认 eNB的身份认证通过, 并为其 分配 IP地址, 使合法 eNB接入非法网络, 以盗取用户敏感信息。 图 6是根 据本发明实施例的合法 eNB接入非法网络时进行身份认证的方法的示意 图, 如图 6所示,合法 eNB接入非法网络时进行身份认证的方法的具体 实施过程 如下: 步骤 S602,运营商部署 eNB, 为 eNB分配唯一的 eNB Identity以及与 jt匕 对应的 eNB Password, 步骤 S604, eNB接入网络时, 首先发起 DHCP过程, 为自己申请合法 的 IP地址, 以便和 MME/S-GW/OMC等网元通信。 eNB向网络发送 DHCP Discover ( DHCP发现) 4艮文。 步骤 S606,网络中非法的 DHCP Server在接收到 DHCP Discover 4艮文后, 随机生成一长度为 32 字节的字符串 random_string_l , 将该字符串 random string l 以扩展选项的方式封装到 DHCP Offer 4艮文中, 并发送给 eNB。 步骤 S608 , eNB 在接收到 DHCP Offer 4艮文后, 解析其中的
RANDOM-STRING选项, 本地计算 hash_string_l , 例如, 以实施例一步骤 S406中的方式计算 hash string l。 eNB 构造 DHCP Request 4艮文, 该 4艮文携 带 hash string l , HASH-FUNC-ID、 eNB Identity 的信息以及本地生成的随机字符串 random_string_2,然后, eNB将 DHCP Request 4艮文发送给非法 DHCP Server, 步骤 S610 , 非法 DHCP Server在接收到 DHCP Request报文后, 由于其 不知道 eNB Password信息, 无法认证 eNB的身份, 因此, 非法 DHCP Server 直接向 eNB发送 DHCP ACK报文,该报文中携带非法的 IP地址和网络信息, 以及伪造的 hash_string_2。 步骤 S612, eNB在接收到 DHCP ACK 4艮文后, 本地计算 hash_string_2 , 例如, 以实施例一步骤 S408 中的方式计算 hash_string_2 , 计算出的结果和 ACK报文中携带的必定不同, 从而 eNB检测到网络侧是非法的, 拒绝使用 其分配的 IP地址等信息, 这样避免了用户敏感信息被窃取。
DHCP Offer, DHCP Request和 DHCP Ack 4艮文使用 DHCP协议的消息 认证选项对 4艮文进行完整性保护, 防止消息在传递过程中被篡改。 系统实施例 对应于上述方法实施例, 本发明还提供了一种 eNB的身份认证系统。 图 7是根据本发明实施例的 eNB的身份认证系统的结构框图,该系统包括: eNB 72和服务器 74 , 其中, eNB 72 , 设置为在向服务器申请互联网协议地址时, 将身份认证信息发送给服务器; 服务器 74 , 耦合至 eNB 72 , 设置为在接收 到身份认证信息之后, 通过身份认证信息对 eNB进行认证, 如果认证通过, 则为 eNB分配互联网切、议地址。 优选地, 服务器 74还设置为向 eNB发送认证合法性信息; eNB 72还设 置为根据认证合法性信息对服务器进行认证。 综上所述, 本发明实施例在运营商为 eNB分配 IP地址时对 eNB进行安 全认证, 降低了接入和认证分离处理对网络造成的复杂 性。 同时, 本发明实 施例还对 eNB和网络进行双向认证, 解决了单向认证存在的安全漏洞, 达到 优化接入和认证流程, 提高系统安全性的效果。 显然, 本领域的技术人员应该明白, 上述的本发明的各模块或各步骤可 以用通用的计算装置来实现, 它们可以集中在单个的计算装置上, 或者分布 在多个计算装置所组成的网络上, 可选地, 它们可以用计算装置可执行的程 序代码来实现, 从而, 可以将它们存储在存储装置中由计算装置来执 行, 并 且在某些情况下, 可以以不同于此处的顺序执行所示出或描述的 步骤, 或者 将它们分别制作成各个集成电路模块, 或者将它们中的多个模块或步骤制作 成单个集成电路模块来实现。 这样, 本发明不限制于任何特定的硬件和软件 结合。 以上所述仅为本发明的优选实施例而已, 并不用于限制本发明, 对于本 领域的技术人员来说, 本发明可以有各种更改和变化。 凡在本发明的 ^"神和 原则之内, 所作的任何修改、 等同替换、 改进等, 均应包含在本发明的保护 范围之内。