演进型节点 B的身伤人证方法及系统 技术领域 本发明涉及通信领域， 具体而言， 涉及一种演进型节点 B的身份认证方 法及系统。 背景技术 无线通信系统以其开放的网络架构而得到越来 越多的部署和应用， 随着 无线通信系统的普及， 通信系统中的安全问题也逐渐成为用户关注的 焦点。 随着家庭基站等应用模式的出现， 演进型节点 B ( Evolved Node B, 简称为 eNB )可能会处于物理上不信任的区域， 为了防止^ _冒 eNB接入网络对整个 无线通信系统以及用户的敏感信息造成威胁， 对 eNB的合法身份进行认证， 确保只有合法的 eNB才能接入运营商的网络，成为保证无线通信 系统安全的 首要机制。 为了降低运营商对网络的运行和维护成本， eNB在物理上接入运营商网 络时， 上电初始化过程完成后， 通过动态主机配置协议 （ Dynamic Host Configure Protocol , 简称 DHCP ), 运营商为该 eNB分配互联网协议 ( Internet Protocol, 简称为 IP )地址及其它网络信息， 后续 eNB使用该 IP地址与运营 商的核心网以及网管系统进行通信。 在实际应用中，为了对 eNB进行管理，运营商在 eNB接入网络前为 eNB 分配一个全网唯一的身份 ( eNB Identity ) 以及与此身份对应的口令 ( eNB Password )。 其中， eNB Identity公开， eNB Password需要保密存储。 在相关技术中， 对 eNB的身份认证通常是和 eNB的接入过程分离的， 流程较为复杂。 同时， 相关技术只有网络认证 eNB身份的单向认证机制， 安 全性较低。 发明内容 本发明的主要目的在于提供一种演进型节点 B的身份认证方案， 以至少 解决相关技术中对 eNB的身份认证通常是和 eNB的接入过程分离的而造成 流程复杂的问题。 为了实现上述目的， 根据本发明的一个方面， 提供了一种演进型节点 B 的身份认证方法， 该方法包括： 演进型节点 B在向服务器申请互联网协议地 址时， 将身份认证信息发送给服务器； 服务器在接收到身份认证信息之后， 通过身份认证信息对演进型节点 B进行认证， 如果认证通过， 则为演进型节 点 B分配互联网协议地址。 优选地， 在演进型节点 B将身份认证信息发送给服务器之前， 服务器将 第一随机字符串发送给演进型节点 B; 演进型节点 B将身份认证信息发送给 服务器包括：演进型节点 B使用演进型节点 B密码通过第一函数对第一随机 字符串进行运算获得第一数据；演进型节点 B将身份认证信息发送给服务器， 其中， 身份认证信息包括： 第一数据、 第一函数的标识信息和演进型节点 B 标识； 服务器通过身份认证信息对演进型节点 B进行认证包括： 服务器根据 第一函数的标识信息获得第一函数； 服务器获取与演进型节点 B标识对应的 演进型节点 B密码；服务器使用获取的演进型节点 B密码通过第一函数对本 地存储的第一随机字符串进行运算， 将运算结果与第一数据进行比较， 如果 匹配， 则认证通过， 否则， 认证不通过。 优选地， 在服务器将第一随机字符串发送给演进型节点 B之前， 运营商 为演进型节点 B分配演进型节点 B密码和演进型节点 B标识。 优选地，在运营商没有为演进型节点 B分配演进型节点 B密码和演进型 节点 B标识的情况下， 演进型节点 B使用演进型节点 B密码通过第一函数 对第一随机字符串进行运算获得第一数据包括 ： 演进型节点 B使用伪造的演 进型节点 B密码通过第一函数对第一随机字符串进行运� �获得第一数据； 演 进型节点 B标识为伪造的演进型节点 B标识。 优选地， 在服务器对演进型节点 B进行认证之后， 该方法还包括： 服务 器向演进型节点 B发送认证合法性信息；演进型节点 B根据认证合法性信息 对服务器进行认证。 优选地， 在服务器向演进型节点 B发送认证合法性信息之前， 演进型节 点 B将第二随机字符串发送给服务器；服务器向� �进型节点 B发送认证合法 性信息包括： 服务器使用演进型节点 B密码通过第二函数对第二随机字符串 进行运算获得第二数据； 服务器将认证合法性信息发送给演进型节点 B , 其 中， 认证合法性信息包括： 第二数据和第二函数的标识信息； 演进型节点 B 根据认证合法性信息对服务器进行认证包括： 演进型节点 B根据第二函数的 标识信息获得第二函数； 演进型节点 B使用演进型节点 B 的演进型节点 B 密码通过第二函数对本地存储的第二随机字符 串进行运算， 将运算结果与第 二数据进行比较， 如果匹配， 则认证通过， 否则， 认证不通过。 优选地， 在演进型节点 B将第二随机字符串发送给服务器之前， 该方法 还包括： 运营商为演进型节点 B分配演进型节点 B密码和演进型节点 B标 识。 优选地， 在服务器未获取到运营商为演进型节点 B分配的演进型节点 B 密码的情况下， 服务器使用演进型节点 B密码通过第二函数对第二随机字符 串进行运算获得第二数据包括： 服务器使用伪造的演进型节点 B密码通过第 二函数对第二随机字符串进行运算获得第二数 据。 为了实现上述目的， 居本发明的另一个方面， 提供了一种演进型节点 B的身份认证系统， 该系统包括： 演进型节点 B和服务器， 其中， 演进型节 点 B设置为在向服务器申请互联网协议地址时， 将身份认证信息发送给服务 器； 服务器设置为在接收到身份认证信息之后， 通过身份认证信息对演进型 节点 B进行认证， 如果认证通过， 则为演进型节点 B分配互联网协议地址。 优选地， 服务器还设置为向演进型节点 B发送认证合法性信息； 演进型 节点 B还设置为根据认证合法性信息对服务器进行� �证。 通过本发明， 釆用在运营商为 eNB分配 IP地址时对 eNB进行双向安全 认证的方式， 降低了接入和认证分离处理对网络造成的复杂 性。 同时， 本发 明釆用对 eNB和运营商网络进行双向安全认证的方式，避 免了单向认证存在 的安全漏洞。 附图说明 此处所说明的附图用来提供对本发明的进一步 理解， 构成本申请的一部 分， 本发明的示意性实施例及其说明用于解释本发 明， 并不构成对本发明的 不当限定。 在附图中： 图 1是本发明实施例应用的网络架构； 图 2是根据本发明实施例的一种 eNB的身份认证方法的流程图； 图 3是根据本发明实施例的 DHCP协议 4艮文交互的示意图； 图 4是才艮据本发明实施例的对合法 eNB进行身份认证的方法的示意图； 图 5是才艮据本发明实施例的对非法 eNB进行身份认证的方法的示意图； 图 6是根据本发明实施例的合法 eNB接入非法网络时进行身份认证的方 法的示意图； 图 7是根据本发明实施例的 eNB的身份认证系统的结构框图。 具体实施方式 下文中将参考附图并结合实施例来详细说明本 发明。 需要说明的是， 在 不冲突的情况下， 本申请中的实施例及实施例中的特征可以相互 组合。 图 1 是本发明实施例应用的网络架构， 如图所示， 安全网关 （Security Gateway, 简称为 Se GW )之后为运营商的安全网络， DHCP服务器、 网管 服务器以及核心网等网元部署在安全网络中。 根据本发明实施例， 提供了一种 eNB的身份认证方法。 图 2是根据本发 明实施例的一种 eNB的身份认证方法的流程图， 如图 2所示， 该方法包括： 步骤 S202, eNB在向服务器申请 IP地址时， 将身份认证信息发送给服 务器； 步骤 S204 , 服务器在接收到身份认证信息之后， 通过身份认证信息对 eNB进行认证， 如果认证通过， 则为 eNB分配 IP地址。 该实施例釆用在运营商为 eNB分配 IP地址时对 eNB进行安全认证的方 式， 解决了相关技术中对 eNB的身份认证通常是和 eNB的接入过程分离的 而造成流程复杂的问题， 降低了接入和认证分离处理对网络造成的复杂 性。 需要注意的是， 本实施例中的服务器可以是 DHCP服务器， 也可以是集 成了 DHCP功能的安全网关。 优选地， 在 eNB将身份认证信息发送给服务器之前， 服务器将第一随机 字符串发送给 eNB; eNB将身份认证信息发送给月艮务器包括： eNB使用 eNB 密码通过第一函数对第一随机字符串进行运算 获得第一数据； eNB将身份认 证信息发送给服务器， 其中， 身份认证信息包括： 第一数据、 第一函数的标 识信息和 eNB标识； 月艮务器通过身份认证信息对 eNB进行认证包括： 月艮务 器获取与 eNB标识对应的 eNB密码， 其中， 在进行本地认证的情况下， 运 营商在服务器配置 eNB的 eNB标识和 eNB密码，服务器从本地获取 eNB标 识对应的 eNB密码， 在第三方参与认证的情况下， 运营商在第三方存储 eNB 的 eNB标识和 eNB密码， 月艮务器将 eNB标识发送给第三方， 第三方在确定 与该 eNB标识对应的 eNB密码之后， 将对应的 eNB密码发送给月艮务器； 月艮 务器使用获取的 eNB 密码通过第一函数对本地保存的第一随机字符 串进行 运算， 将运算结果与第一数据进行比较， 如果匹配， 则认证通过， 否则， 认 证不通过。 该实施例通过 eNB Password (增强型节点密码）信息， 完成网络 对 eNB的认证， 保证了长期演进 ( Long-Term Evolution, 简称为 LTE )接入 网的安全生。 优选地， 在 艮务器将第一随机字符串发送给 eNB之前， 运营商为 eNB 分配 eNB密码和 eNB标识。 该实施例中，月艮务器和 eNB具有统一的 eNB密 码， 从而保证通过上述认证方式能够认证通过。 优选地，在运营商没有为 eNB分配 eNB密码和 eNB标识的情况下， eNB 使用 eNB密码通过第一函数对第一随机字符串进行运 算获得第一数据包括： eNB使用伪造的 eNB 密码通过第一函数对第一随机字符串进行运算 获得第 一数据； eNB标识为伪造的 eNB标识， 其中， 伪造的 eNB标识获得的方式 包括： 该 eNB窃取合法 eNB的 eNB标识， 将其伪造成自身的 eNB标识， 或 者 eNB直接伪造一个 eNB标识。该实施例中，月艮务器和 eNB没有统一的 eNB 密码， eNB 是非法的， 通过上述认证方式能够认证 eNB 不通过， 避免 i冒 eNB对网络造成的攻击。 优选地， 在服务器对 eNB进行认证之后， 服务器向 eNB发送认证合法 性信息； eNB根据认证合法性信息对服务器进行认证。 该实施例在 eNB接入 网络的过程中，同步实现 eNB对接入网络的合法性认证以及接入网络对 eNB 身份的双向认证， 避免了烦瑣的多步接入认证流程以及单向认证 所存在的弊 端， 可以有效保护用户信息、 eNB信息以及运营商网络的安全， 提高了整个 无线通信系统的安全性。 优选地， 在服务器向 eNB发送认证合法性信息之前， eNB将第二随机字 符串发送给服务器； 服务器向 eNB 发送认证合法性信息包括： 服务器使用 eNB密码通过第二函数对第二随机字符串进行运 算获得第二数据； 服务器将 认证合法性信息发送给 eNB, 其中， 认证合法性信息包括： 第二数据和第二 函数的标识信息； eNB根据认证合法性信息对服务器进行认证包括 ： eNB根 据第二函数的标识信息获得第二函数； eNB使用该 eNB的 eNB密码通过第 二函数对本地保存的第二随机字符串进行运算 ， 将运算结果与第二数据进行 比较， ^口果匹 S己，则认证通过，否则，认证不通过。该实� �例通过 eNB Password 信息， 完成 eNB对所接入网络的认证， 保证了 LTE接入网的安全性。 优选地， 在 eNB 将第二随机字符串发送给服务器之前， 运营商为 eNB 分配 eNB密码和 eNB标识。 该实施例中， 月艮务器和 eNB具有统一的 eNB密 码， 由于服务器知道运营商分配给 eNB的秘密口令信息， 则可以认为该服务 器是合法的， 进而其分配的信息也是合法的， eNB接入的网络是合法的， 保 证了 eNB安全接入网络。 优选地， 在服务器未获取到运营商为 eNB分配的 eNB密码的情况下， 服务器使用 eNB 密码通过第二函数对第二随机字符串进行运算 获得第二数 据包括：服务器使用伪造的 eNB密码通过第二函数对第二随机字符串进行运 算获得第二数据。 该实施例中， 服务器和 eNB没有统一的 eNB密码， 服务 器是非法的， 通过上述认证方式能够认证服务器不通过， 从而 eNB不会接入 非法网络， 保证了接入网络的安全。 下面结合具体实施例和附图对本发明的实现方 式进行详细说明。 在本发明实施例中， 可以在 eNB使用动态主机配置协议申请 IP地址等 网络信息时， 以扩展选项的方式携带身份认证信息， 从而完成 eNB身份和服 务器身份的双向认证。 其中， 使用的 DHCP扩展选项信息如下表所示： 表 1

在表 1中描述的扩展选项中， RANDOM-STRING为 eNB或 DHCP月艮务 器生成的随机字符串， KEY-HASH-STRING 为密钥哈希函数运算结果字符 串， HASH-FUNC-ID标识认证所使用的密钥哈希函数。 图 3是根据本发明实 施例的 DHCP协议报文交互的示意图，本发明实施例就� �通过 DHCP协议报 文交互进行身份认证的。 在图 1所示的场景下可能存在以下三种情况：合法 eNB接入网络时的身 份认证、 非法 eNB接入网络时的身份认证以及合法 eNB接入非法网络时的 身份认证。 下面结合实施例对上述三种情况进行说明。 实施例一 合法 eNB接入网络后， 网络侧对 eNB的身份进行认证， 并为其分配 IP 地址， 同时 eNB对网络侧进行认证， 在双向认证成功之后， eNB正常使用运 营商网络提供的服务。图 4是根据本发明实施例的对合法 eNB进行身份认证 的方法的示意图， 如图 4所示， 对合法 eNB进行身份认证的方法的具体实施 过程如下： 步骤 S402, eNB接入网络时， 首先发起 DHCP过程， 为自己申请合法 的 IP地址， 以便和移动性管理实体 ( Mobile Management Entity, 简称 MME ) /S-GW/操作维护中心 （ Operation Management Center , 简称为 OMC )等网元 通信。 eNB向网络发送 DHCP Discover ( DHCP发现） 4艮文。 步 4聚 S404, 网络中的 DHCP Server在接收到 DHCP Discover 4艮文后， 随 机生成一长度为 32 字节的字符 串 random_string_l , 将该字符串 random string l 以 RANDOM-STRING扩展选项的方式封装到 DHCP Offer 4艮文中， 然后发送给 eNB。 步骤 S406, eNB 在接收到 DHCP Offer ( DHCP 提供）报文后， 解析 RANDOM-STRING选项， 在本地计算 hash_string_l , 计算的方式为以 eNB Password为密钥， 对收到的 random_string_l求哈希， 即， hash _ string _ 1 = HASH _ FUNCeNB― password {random _ string _ 1)。 eNB 构造 DHCP Request ( DHCP 请求） 4艮文， 该 4艮文中携带有 hash string l , hash函数标 i只 ( Identity, 简称为 ID )、 eNB Identity ( eNB标 识）的信息以及本地生成的随机字符串 random_string_2, 其中， hash函数 ID 标识了计算 hash_string_l所需的密钥哈希函数， 然后， eNB将构造的 DHCP Request 艮文发送给 DHCP Server, 步骤 S408 , DHCP Server在接收到 DHCP Request报文后， 根据报文中 携带的 eNB Identity索引到对应的 eNB Password, 并才艮据 HASH-FUNC-ID 对应的哈希算法按照步骤 S406中的方法本地计算 hash_string_l ,如果计算出 的 hash_string_l与 DHCP Request 4艮文中携带的一致， 则说明该 eNB是合法 的， DHCP Server为 eNB分配 IP地址。

DHCP Server使用索引到的该 eNB对应的 eNB Password对接收到的 random_string_2进行哈希计算得到 hash_string_2 , 即， hash _ string _2 = HASH _ FUNCCNB― (random _ string _ 2) 步骤 S410 , DHCP Server构造 DHCP ACK 4艮文并将其发送给 eNB , 其 中， DHCP ACK 4艮文包含 eNB的 IP地址以及其它网络侧的信息， hash_string_2 和 HASH函数 ID。 步骤 S412 , eNB在接收到 DHCP ACK 4艮文后， 按照步骤 S408的方式本 地计算 hash_string_2 , 如果计算初的结果和 ACK报文中携带的一致， 则认 为网络侧是合法的。 eNB使用申请到的 IP地址等信息与网路通信。 DHCP Offer, DHCP Request和 DHCP Ack 4艮文使用 DHCP协议的消息 认证选项对 4艮文进行完整性保护， 防止消息在传递过程中被篡改。 实施例二 非法 eNB接入网络时， 网络侧对 eNB的身份认证失败， 然后， 网络侧 会拒绝为 eNB分配 IP地址， 该 eNB将无法使用运营商网络提供的服务。 图 5是根据本发明实施例的对非法 eNB进行身份认证的方法的示意图， 如图 5 所示， 对非法 eNB进行身份认证的方法的具体实施过程如下： 步骤 S502, 非法 eNB接入网络时， 首先发起 DHCP过程， 为自己申请 合法的 IP地址， 以便和 MME/S-GW/OMC等网元通信。 非法 eNB向网络发 送 DHCP Discover报文。 步骤 S504 , 网络中的 DHCP Server在接收到 DHCP Discover 4艮文后， 随 机生成一长度为 32 字节的字符 串 random_string_l , 将该字符串 random string l 以 RANDOM-STRING扩展选项的方式封装到 DHCP Offer 艮文中， 并发送给 eNB。 步骤 S506 , 非法 eNB 在接收到 DHCP Offer 报文后， 解析 random string l ,由于非法 eNB没有运营商分配的合法 eNB Password,因 jt匕， 非法 eNB无法正确计算 hash_string_l。 非法 eNB构造 DHCP Request 4艮文，该 4艮文携带伪造 hash string l、 hash 函数 ID、 eNB Identity的信息以及本地生成的随机字符串 random_string_2 , 其中， hash函数 ID标识了计算 hash_string_l所需的密钥哈希函数， eNB将 DHCP Request报文发送给 DHCP Server。 步骤 S508, DHCP Server在接收到 DHCP Request报文后， 根据报文中 携带的 eNB Identity索引到对应的 eNB Password, 并才艮据 HASH-FUNC-ID 对应的哈希算法本地计算 hash_string_l , 其计算结果与 4艮文中携带的 KEY-HASH-STRING必定不同， eNB身份认证失败。 步骤 S510, DHCP Server响应 DHCP NACK 4艮文， 4巨绝为该 eNB分配

IP地址等网络侧信息。 非法 eNB无法申请到运营商网络提供的合法 IP地址等信息， 其无法使 用运营商网络提供的月艮务。 DHCP Offer、 DHCP Request和 DHCP Ack 4艮文使 用 DHCP协议的消息认证选项对报文进行完整性保� �， 防止消息在传递过程 中被篡改。 实施例三 合法 eNB接入非法网络， 非法网络默认 eNB的身份认证通过， 并为其 分配 IP地址， 使合法 eNB接入非法网络， 以盗取用户敏感信息。 图 6是根 据本发明实施例的合法 eNB接入非法网络时进行身份认证的方法的示意 图， 如图 6所示，合法 eNB接入非法网络时进行身份认证的方法的具体 实施过程 如下： 步骤 S602,运营商部署 eNB, 为 eNB分配唯一的 eNB Identity以及与 jt匕 对应的 eNB Password, 步骤 S604, eNB接入网络时， 首先发起 DHCP过程， 为自己申请合法 的 IP地址， 以便和 MME/S-GW/OMC等网元通信。 eNB向网络发送 DHCP Discover ( DHCP发现） 4艮文。 步骤 S606，网络中非法的 DHCP Server在接收到 DHCP Discover 4艮文后， 随机生成一长度为 32 字节的字符串 random_string_l , 将该字符串 random string l 以扩展选项的方式封装到 DHCP Offer 4艮文中， 并发送给 eNB。 步骤 S608 , eNB 在接收到 DHCP Offer 4艮文后， 解析其中的

RANDOM-STRING选项， 本地计算 hash_string_l , 例如， 以实施例一步骤 S406中的方式计算 hash string l。 eNB 构造 DHCP Request 4艮文， 该 4艮文携 带 hash string l , HASH-FUNC-ID、 eNB Identity 的信息以及本地生成的随机字符串 random_string_2，然后， eNB将 DHCP Request 4艮文发送给非法 DHCP Server, 步骤 S610 , 非法 DHCP Server在接收到 DHCP Request报文后， 由于其 不知道 eNB Password信息， 无法认证 eNB的身份， 因此， 非法 DHCP Server 直接向 eNB发送 DHCP ACK报文，该报文中携带非法的 IP地址和网络信息， 以及伪造的 hash_string_2。 步骤 S612, eNB在接收到 DHCP ACK 4艮文后， 本地计算 hash_string_2 , 例如， 以实施例一步骤 S408 中的方式计算 hash_string_2 , 计算出的结果和 ACK报文中携带的必定不同， 从而 eNB检测到网络侧是非法的， 拒绝使用 其分配的 IP地址等信息， 这样避免了用户敏感信息被窃取。

DHCP Offer, DHCP Request和 DHCP Ack 4艮文使用 DHCP协议的消息 认证选项对 4艮文进行完整性保护， 防止消息在传递过程中被篡改。 系统实施例 对应于上述方法实施例， 本发明还提供了一种 eNB的身份认证系统。 图 7是根据本发明实施例的 eNB的身份认证系统的结构框图，该系统包括： eNB 72和服务器 74 , 其中， eNB 72 , 设置为在向服务器申请互联网协议地址时， 将身份认证信息发送给服务器； 服务器 74 , 耦合至 eNB 72 , 设置为在接收 到身份认证信息之后， 通过身份认证信息对 eNB进行认证， 如果认证通过， 则为 eNB分配互联网切、议地址。 优选地， 服务器 74还设置为向 eNB发送认证合法性信息； eNB 72还设 置为根据认证合法性信息对服务器进行认证。 综上所述， 本发明实施例在运营商为 eNB分配 IP地址时对 eNB进行安 全认证， 降低了接入和认证分离处理对网络造成的复杂 性。 同时， 本发明实 施例还对 eNB和网络进行双向认证， 解决了单向认证存在的安全漏洞， 达到 优化接入和认证流程， 提高系统安全性的效果。 显然， 本领域的技术人员应该明白， 上述的本发明的各模块或各步骤可 以用通用的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布 在多个计算装置所组成的网络上， 可选地， 它们可以用计算装置可执行的程 序代码来实现， 从而， 可以将它们存储在存储装置中由计算装置来执 行， 并 且在某些情况下， 可以以不同于此处的顺序执行所示出或描述的 步骤， 或者 将它们分别制作成各个集成电路模块， 或者将它们中的多个模块或步骤制作 成单个集成电路模块来实现。 这样， 本发明不限制于任何特定的硬件和软件 结合。 以上所述仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本 领域的技术人员来说， 本发明可以有各种更改和变化。 凡在本发明的 ^"神和 原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护 范围之内。