WO2011098048A1 - 无线节点入网方法、系统及中继节点 - Google Patents

Description

无线节点入网方法、 系统及中继节点 本申请要求于 2010 年 2 月 12 日提交中国专利局、 申请号为 201010111422.8、 发明名称为 "无线节点入网方法、 系统及中继节点" 的中国 专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及通信技术领域， 特别涉及一种无线节点入网方法、 系统及中 继节点。 发明背景

长期演进的后续演进（ Long Term Evolution - Advanced , 简称 LTE- A )中 引入了中继节点（Relay Node, 简称 RN ), RN是为了提高通信小区边缘的吞 吐量、 方便运营商或用户的临时网络部署的需求、 以及支持群移动功能而设 置的。 RN可以部署在乡村、 城市、 室内等的热点区域或者盲点区域。

在现有的无线接入网 （Radio Access Network, 简称 RAN ) 中， 在 RN入 网时， RN类似一个附加用户设备 ( User Equipment, 简称 UE )。 因此， RN入 网时， 并不能实现基于证书的认证方法。 发明内容

本发明实施例的目的在于提供一种无线节点入网方法、 系统及中继节点， 以实现 RN入网时基于证书的认证方法。

本发明实施例提供了一种无线节点入网方法， 包括：

在中继节点与集成有归属用户服务器的施主基站之间的无线资源控制连 接建立过程中， 向所述施主基站发送所述中继节点的证书和所述中继节点的 迪菲-赫尔曼参数， 以使所述施主基站根据所述中继节点的证书对所述中继节 点进行认证；

接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫 尔曼参数， 并根据所述施主基站的证书对所述施主基站进行认证；

若所述中继节点和所述施主基站认证成功， 则根据所述中继节点的迪菲 - 赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算基础密钥 K;

基于所述基础密钥 K, 与移动管理实体进行认证与密钥协商； 与所述移 动管理实体进行非接入层安全模式控制， 并与所述施主基站进行接入层安全 模式控制， 建立与所述施主基站之间的无线承载。

本发明实施例还提供了一种中继节点， 包括：

发送模块， 用于在中继节点与集成有归属用户服务器的施主基站之间的 无线资源控制连接建立过程中， 向所述施主基站发送所述中继节点的证书和 所述中继节点的迪菲 -赫尔曼参数， 以使所述施主基站根据所述中继节点的证 书对所述中继节点进行认证；

接收认证模块， 用于接收所述施主基站发送的所述施主基站的证书和所 述施主基站的迪菲-赫尔曼参数， 并根据所述施主基站的证书对所述施主基站 进行认证；

计算模块， 用于若所述中继节点和所述施主基站认证成功， 则根据所述 中继节点的迪菲 -赫尔曼参数和所述接收模块接收的所述施主基站的迪菲-赫 尔曼参数计算基础密钥 K;

承载建立模块， 用于基于所述计算模块计算得到的所述基础密钥 K, 与 移动管理实体进行认证与密钥协商； 并用于与所述移动管理实体进行非接入 层安全模式控制 , 与所述施主基站之间的接入层安全模式控制 , 建立与所述 施主基站之间的无线 7 载。

本发明实施例还提供了一种无线节点入网系统， 包括： 移动管理实体、 集成有归属用户服务器的施主基站和如上所述的中继节点，

所述集成有归属用户服务器的施主基站， 用于接收所述中继节点发送的 所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数， 并发送所述施主基 站的证书和所述施主基站的迪菲 -赫尔曼参数至所述中继节点； 根据所述中继 节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算所述基础密 钥 K; 根据所述基础密钥 K计算的接入层密钥， 与所述中继节点进行接入层 安全模式控制；

所述移动管理实体， 用于获取所述集成有归属用户服务器的施主基站基 于所述基础密钥 K计算的认证矢量， 根据所述认证矢量， 与所述中继节点进 行认证与密钥协商； 并用于根据所述基础密钥 K计算的非接入层密钥， 与所 述中继节点进行非接入层安全模式控制。

本发明实施例还提供了一种无线节点入网方法， 包括：

在中继节点与施主基站之间的无线资源控制连接建立过程中， 通过所述 施主基站向归属用户服务器发送所述中继节点的证书和所述中继节点的迪菲- 赫尔曼参数， 以使所述归属用户服务器根据所述中继节点的证书对所述中继 节点进行认证；

通过所述施主基站接收所述归属用户服务器发送的所述归属用户服务器 的证书和所述归属用户服务器的迪菲-赫尔曼参数， 并根据所述归属用户服务 器的证书对所述归属用户服务器进行认证；

若所述中继节点和所述归属用户服务器认证成功， 则根据所述中继节点 的迪菲-赫尔曼参数和所述归属用户服务器的迪菲-赫尔曼参数计算基础密钥

K;

基于所述基础密钥 K, 与移动管理实体进行认证与密钥协商； 与所述移 动管理实体进行非接入层安全模式控制， 并与所述施主基站进行接入层安全 模式控制， 建立与所述施主基站之间的无线承载。

本发明实施例还提供了一种中继节点， 包括：

发送模块， 用于在中继节点与施主基站之间的无线资源控制连接建立过 程中， 通过所述施主基站向归属用户服务器发送所述中继节点的证书和所述 中继节点的迪菲-赫尔曼参数， 以使所述归属用户服务器根据所述中继节点的 证书对所述中继节点进行认证；

接收认证模块， 用于通过所述施主基站接收所述归属用户服务器发送的 所述归属用户服务器的证书和所述归属用户服务器的迪菲-赫尔曼参数， 并根 据所述归属用户服务器的证书对所述归属用户服务器进行认证；

计算模块， 用于若所述中继节点和所述归属用户服务器认证成功， 则根 据所述中继节点的迪菲-赫尔曼参数和所述接收模块接收的所述归属用户服务 器的迪菲 -赫尔曼参数计算基础密钥 K;

承载建立模块， 用于基于所述计算模块计算得到的所述基础密钥 K, 与 移动管理实体进行认证与密钥协商； 并用于与所述移动管理实体进行非接入 层安全模式控制， 与所述施主基站进行接入层安全模式控制， 建立与所述施 主基站之间的无线承载。

本发明实施例还提供了一种无线节点入网系统， 包括： 移动管理实体、 归属用户服务器、 施主基站和如上所述的中继节点，

所述归属用户服务器， 用于接收所述中继节点发送的所述中继节点的证 书和所述中继节点的迪菲-赫尔曼参数， 并发送所述归属用户服务器的证书和 所述归属用户服务器的迪菲-赫尔曼参数至所述中继节点； 根据所述中继节点 的迪菲-赫尔曼参数和所述归属用户服务器的迪菲-赫尔曼参数计算所述基础 密钥 K;

所述移动管理实体， 用于获取所述归属用户服务器基于所述基础密钥 K 计算的认证矢量， 根据所述认证矢量， 与所述中继节点进行认证与密钥协商； 并用于根据所述基础密钥 K计算的非接入层密钥， 与所述中继节点进行非接 入层安全模式控制；

所述施主基站， 用于获取所述归属用户服务器基于所述基础密钥 K计算 的接入层密钥， 根据所述接入层密钥， 与所述中继节点进行接入层安全模式 控制。 本发明实施例还提供了一种无线节点入网方法， 包括：

完成中继节点与施主基站之间的无线资源控制连接建立；

发送携带有所述中继节点的证书和所述中继节点的迪菲 -赫尔曼参数的附 着请求消息至集成有归属用户服务器的移动管理实体， 以使所述移动管理实 体根据所述中继节点的证书对所述中继节点进行认证；

接收所述移动管理实体发送的携带有移动管理实体的证书和所述移动管 理实体的迪菲-赫尔曼参数的非接入层消息， 并根据所述移动管理实体的证书 对所述移动管理实体进行认证；

若所述中继节点和所述移动管理实体认证成功， 则根据所述中继节点的 迪菲-赫尔曼参数和所述移动管理实体的迪菲-赫尔曼参数计算共享密钥；

基于所述共享密钥， 与所述移动管理实体进行非接入层安全模式控制， 并与所述施主基站进行接入层安全模式控制， 建立与所述施主基站之间的无 线承载。

本发明实施例还提供了一种中继节点， 包括：

连接建立模块， 用于完成中继节点与施主基站之间的无线资源控制连接 建立；

发送模块， 用于发送携带有所述中继节点的证书和所述中继节点的迪菲 - 赫尔曼参数的附着请求消息至集成有归属用户服务器的移动管理实体， 以使 所述移动管理实体根据所述中继节点的证书对所述中继节点进行认证；

接收认证模块， 用于接收所述移动管理实体发送的携带有移动管理实体 的证书和所述移动管理实体的迪菲-赫尔曼参数的非接入层消息， 并根据所述 移动管理实体的证书对所述移动管理实体进行认证；

计算模块， 用于若所述中继节点和所述移动管理实体认证成功， 则根据 所述中继节点的迪菲-赫尔曼参数和所述接收模块接收的所述移动管理实体的 迪菲-赫尔曼参数计算共享密钥；

承载建立模块， 用于基于所述计算模块计算得到的所述共享密钥， 与所 述移动管理实体进行非接入层安全模式控制， 并与所述施主基站进行接入层 安全模式控制， 建立与所述施主基站之间的无线承载。

本发明实施例还提供了一种无线节点入网系统， 包括： 集成有归属用户 服务器的移动管理实体、 施主基站和如上所述的中继节点，

所述集成有归属用户服务器的移动管理实体， 用于接收所述中继节点发 送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数， 并发送移动管 理实体的证书和所述移动管理实体的迪菲-赫尔曼参数至所述中继节点； 根据 所述中继节点的迪菲-赫尔曼参数和所述移动管理实体的迪菲-赫尔曼参数计 算所述共享密钥； 根据所述共享密钥计算得到的非接入层密钥， 与所述中继 节点进行非接入层安全模式控制；

所述施主基站， 用于获取所述集成有归属用户服务器的移动管理实体基 于所述共享密钥计算的接入层密钥， 根据所述接入层密钥， 与所述中继节点 进行接入层安全模式控制。

本发明实施例还提供了一种无线节点入网方法， 包括：

在中继节点与施主基站之间的无线资源控制连接建立和 /或无线承载建立 的过程中， 向所述施主基站发送所述中继节点的证书和所述中继节点的迪菲 - 赫尔曼参数， 以使所述施主基站根据所述中继节点的证书对所述中继节点进 行认证；

接收所述施主基站发送的所述施主基站的证书和所述施主基站的迪菲-赫 尔曼参数， 并根据所述施主基站的证书对所述施主基站进行认证；

若所述中继节点和所述施主基站认证成功， 则根据所述中继节点的迪菲 - 赫尔曼参数和所述施主基站的迪菲-赫尔曼参数计算认证密钥 AK;

将所述认证密钥 AK作为所述中继节点和所述施主基站共享的临时密钥 KeNB, 并基于所述临时密钥 KeNB, 与所述施主基站进行接入层安全模式控 制。

本发明实施例还提供了一种中继节点， 包括： 发送模块， 用于在中继节点与施主基站之间的无线资源控制连接建立和 / 或无线承载建立的过程中， 向所述施主基站发送所述中继节点的证书和所述 中继节点的迪菲 -赫尔曼参数， 以使所述施主基站根据所述中继节点的证书对 所述中继节点进行认证；

接收认证模块， 用于接收所述施主基站发送的所述施主基站的证书和所 述施主基站的迪菲-赫尔曼参数， 并根据所述施主基站的证书对所述施主基站 进行认证；

计算模块， 用于若所述中继节点和所述施主基站认证成功， 则根据所述 中继节点的迪菲 -赫尔曼参数和所述接收模块接收的所述施主基站的迪菲-赫 尔曼参数计算认证密钥 AK;

承载建立模块， 用于将所述计算模块计算得到的所述认证密钥 AK作为 所述中继节点和所述施主基站共享的临时密钥 KeNB, 并基于所述临时密钥 KeNB, 与所述施主基站进行接入层安全模式控制。

本发明实施例还提供了一种无线节点入网系统， 包括： 施主基站和如上 所述的中继节点，

所述施主基站， 用于接收所述中继节点发送的所述中继节点的证书和所 述中继节点的迪菲-赫尔曼参数， 并发送所述施主基站的证书和所述施主基站 的迪菲 -赫尔曼参数至所述中继节点；根据所述中继节点的迪菲 -赫尔曼参数和 所述施主基站的迪菲-赫尔曼参数计算所述认证密钥 AK;将所述认证密钥 AK 作为所述中继节点和所述施主基站共享的临时密钥 KeNB,并根据所述临时密 钥 KeNB, 与所述中继节点进行接入层安全模式控制。

本发明实施例还提供了一种无线节点入网方法， 包括：

在完成中继节点与施主基站之间的无线资源控制连接建立和无线承载建 立的过程后， 向所述施主基站发送因特网密钥交换安全关联初始协商请求消 息， 并接收所述施主基站回复的因特网密钥交换安全关联初始协商响应消息， 以交换所述中继节点的迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数， 所述迪菲-赫尔曼参数用于协商所述中继节点与所述施主基站之间的安全保护 联盟；

向所述施主基站发送因特网密钥交换认证请求消息， 所述因特网密钥交 换认证请求消息中携带请求所述施主基站的证书的信息；

接收所述施主基站返回的携带所述施主基站的证书的因特网密钥交换认 证响应消息， 并根据所述施主基站的证书对所述施主基站进行认证， 所述因 特网密钥交换认证响应消息中还携带请求所述中继节点的证书的信息；

向所述施主基站发送携带所述中继节点的证书的因特网密钥交换认证响 应消息， 以使所述施主基站根据所述中继节点的证书对所述中继节点进行认 证。

本发明实施例还提供了一种中继节点， 包括：

参数交换模块， 用于在完成中继节点与施主基站之间的无线资源控制连 接建立和无线承载建立的过程后， 向所述施主基站发送因特网密钥交换安全 关联初始协商请求消息， 并接收所述施主基站回复的因特网密钥交换安全关 联初始协商响应消息， 以交换所述中继节点的迪菲-赫尔曼参数和所述施主基 站的迪菲-赫尔曼参数，所述迪菲-赫尔曼参数用于协商所述中继节点与所述施 主基站之间的安全保护联盟；

第一发送模块， 用于向所述施主基站发送因特网密钥交换认证请求消息， 所述因特网密钥交换认证请求消息中携带请求所述施主基站的证书的信息； 接收认证模块， 用于接收所述施主基站返回的携带所述施主基站的证书 的因特网密钥交换认证响应消息， 并根据所述施主基站的证书对所述施主基 站进行认证， 所述因特网密钥交换认证响应消息中还携带请求所述中继节点 的证书的信息；

第二发送模块， 用于向所述施主基站发送携带所述中继节点的证书的因 特网密钥交换认证响应消息， 以使所述施主基站根据所述中继节点的证书对 所述中继节点进行认证。 本发明实施例还提供了一种无线节点入网系统， 包括： 施主基站和如上 所述的中继节点，

所述施主基站， 用于接收所述中继节点发送的所述因特网密钥交换安全 关联初始协商请求消息， 并向所述中继节点返回所述因特网密钥交换安全关 联初始协商响应消息， 以交换所述中继节点的迪菲-赫尔曼参数和所述施主基 站的迪菲-赫尔曼参数，所述迪菲-赫尔曼参数用于协商所述中继节点与所述施 主基站之间的安全保护联盟； 接收所述中继节点发送的所述因特网密钥交换 认证请求消息， 所述因特网密钥交换认证请求消息中携带请求所述施主基站 的证书的信息； 并向所述中继节点返回携带所述施主基站的证书的所述因特 网密钥交换认证响应消息， 所述因特网密钥交换认证响应消息中还携带请求 所述中继节点的证书的信息； 接收所述中继节点发送的携带所述中继节点的 证书的所述因特网密钥交换认证响应消息， 并根据所述中继节点的证书对所 述中继节点进行认证。

由以上技术方案可知， 本发明实施例的无线节点入网方法、 系统及中继 节点， 通过在中继节点和施主基站或归属用户服务器或移动管理实体之间交 互的消息中携带证书， 进行中继节点与施主基站或归属用户服务器或移动管 理实体之间的认证， 并通过中继节点和施主基站或归属用户服务器或移动管 理实体之间交换的 DH参数， 计算类似于用户设备入网时的共享密钥， 最终 完成中继节点与施主基站之间的无线承载建立， 从而实现中继节点入网时基 于证书的认证方法， 且使得网络侧中继节点入网更加安全。 附图简要说明

图 1为本发明无线节点入网方法第一实施例的流程示意图

图 2为本发明无线节点入网方法第二实施例的信令流程图

图 3为本发明无线节点入网方法第三实施例的信令流程图

图 4为本发明中继节点第一实施例的结构示意图； 图 5为本发明无线节点入网系统第一实施例的结构示意图； 图 6为本发明无线节点入网方法第四实施例的流程示意图；

图 7为本发明无线节点入网方法第五实施例的信令流程图；

图 8为本发明中继节点第二实施例的结构示意图；

图 9为本发明无线节点入网系统第二实施例的结构示意图；

图 10为本发明无线节点入网方法第六实施例的流程示意图；

图 11为本发明无线节点入网方法第七实施例的信令流程图；

图 12为本发明中继节点第三实施例的结构示意图；

图 13为本发明无线节点入网系统第三实施例的结构示意图；

图 14为本发明无线节点入网方法第八实施例的流程示意图；

图 15为本发明无线节点入网方法第九实施例的信令流程图；

图 16为本发明无线节点入网方法第十实施例的信令流程图；

图 17为本发明无线节点入网方法第十一实施例的信令流程图；

图 18为本发明中继节点第四实施例的结构示意图；

图 19为本发明无线节点入网系统第四实施例的结构示意图；

图 20为本发明无线节点入网方法第十二实施例的流程示意图；

图 21为本发明中继节点第五实施例的结构示意图；

图 22为本发明无线节点入网系统第五实施例的结构示意图。 实施本发明的方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而 不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例 , 都属于本发明保护的范围。

图 1为本发明无线节点入网方法第一实施例的流程示意图。 如图 1所示， 包括如下步骤： 步骤 101、 在中继节点 （Relay Node, 简称 RN )与集成有归属用户服务 器（Home Subscriber Server, 简称 HSS ) 的施主基站（施主增强型节点 B, Dorner Node B , 简称 DeNB )之间的无线资源控制 （ Radio Resource Control , 简称 RRC )连接建立过程中 , 向 DeNB发送 RN的证书和 RN的迪菲-赫尔曼 ( Diffie Hell-man, 简称 DH )参数， 以使 DeNB根据 RN的证书对 RN进行 认证。

步骤 102、 RN接收 DeNB发送的 DeNB的证书和 DeNB的 DH参数， 并 根据 DeNB的证书对 DeNB进行认证。

上述步骤 101和步骤 102中， RN和 DeNB分别将其自身的证书发送至对 端 , 以便实现 RN和 DeNB之间基于证书的认证。

步骤 103、 若 RN和 DeNB认证成功， 则根据 RN的 DH参数和 DeNB的 DH参数计算基础密钥 K。

该基础密钥 Κ 类似于 UE入网传统 LTE 时， UE 的全球用户识别卡 ( Universal Subscriber Identity Module , 简称 USIM )中携带的基础密钥 Κ。 本 步骤 103中， K=KDF(K_DH); 另夕卜， DeNB也会根据 RN的 DH参数和 DeNB 的 DH参数计算该基础密钥 K, 即在 DeNB侧也釆用同样的算法生成该基础 密钥 K。

步骤 104、 基于该基础密钥 Κ, 与移动管理实体（Mobile Management Entity, 简称 MME )进行认证与密钥协商（ Authentication and Key Agreement, 简称 AKA ), 与 MME进行非接入层（ Non-Access Stratum, 简称 NAS )安全 模式控制（ Security Mode Control,简称 SMC ),并与 DeNB进行接入层（ Access Stratum, 简称 AS ) SMC, 建立 RN与 DeNB之间的无线承载。

在该步骤 104中， 由于 RN侧和集成有 HSS的 DeNB侧均产生了基础密 钥 K, 后续根据基础密钥 K计算得到的认证矢量， 进行 RN与 MME之间的 AKA过程，根据基础密钥 K计算得到的非接入层密钥，进行 NAS SMC过程， 并根据基础密钥 K计算得到的接入层密钥，进行 RN与 DeNB之间的 AS SMC 的过程， 上述过程类似于 UE入网传统 LTE的过程， RN类似传统 LTE中的 UE完成了 RN入网认证和安全模式建立的过程， 在此不再赘述。

本实施例提供的无线节点入网方法， 通过在 RRC 连接建立过程中， 在 RN和集成有 HSS功能的 DeNB之间交互的消息中携带证书，进行 RN和 DeNB 之间的认证， 并通过 RN和 DeNB之间交换的 DH参数， 计算类似于 UE入网 时 USIM卡中携带的基础密钥 K, 最终完成了 RN与 DeNB之间的无线承载 建立，从而实现 RN入网时基于证书的认证方法，且使得网络侧 RN入网更加 安全。

图 2为本发明无线节点入网方法第二实施例的信令流程图。 本实施例中， DeNB和 HSS集成在同一实体上， RN在建立 RRC连接过程中， 利用空口消 息携带证书及密钥协商参数， 在 RN和 DeNB/HSS之间协商出基础密钥 K, 然后 RN基于此基础密钥 K釆用 AKA方式与 MME进行相互认证，后续 SMC 流程完全和现有的 UE入网传统 LTE的 SMC流程一致。 如图 2所示， 该无线 节点入网方法包括如下步骤：

步骤 201、 RN向集成有 HSS功能的 DeNB发送 RRC连接建立请求消息， 该 RRC连接建立请求消息中携带 RN的证书和 RN的 DH参数等信息， 以使 DeNB根据 RN的证书对 RN进行认证。

在该 RRC连接建立请求消息中还可以携带认证 ( AUTH )参数，该 AUTH 参数用来证明知道与实体本身 ID相关的秘密， 同时对之前和当前的数据包进 行完整性保护。

步骤 202、 DeNB收到 RRC连接建立请求消息后， 会向发送该消息的 RN 发送 RRC连接建立消息，该 RRC连接建立消息中携带 DeNB的证书和 DeNB 的 DH参数等信息， 以根据 DeNB的证书对 DeNB进行认证。

在该 RRC连接建立消息中还可以携带 AUTH参数， 该 AUTH参数用来 证明知道与实体本身 ID相关的秘密， 同时对之前和当前的数据包进行完整性 保护。 在该步骤 202中， 集成在 DeNB上的 HSS还可以为 RN分配一个国际 移动用户识别码 ( International Mobile Subscriber Identity, 简称 IMSI ), 如果 分配了， IMSI也会携带在前述 RRC连接建立消息一起发送给 RN, 用来唯一 标识该 RN。

步骤 203、 RN和 DeNB根据上面步骤 201和步骤 202中的两条消息里的 RN的 DH参数和 DeNB的 DH参数， 分别在本地计算生成基础密钥 K。

该基础密钥 Κ类似于 UE入网传统 LTE时，UE的 USIM卡中携带的基础 密钥 K。

步骤 204、 RN向 DeNB发送 RRC连接建立完成消息 , 该 RRC连接建立 完成消息中携带有 NAS附着请求消息。

步骤 205、 DeNB向 MME转发 RN的 NAS附着请求消息。

步骤 206、 MME发现附着的是 RN, 启动 AKA认证过程， 首先向 HSS 发出认证数据请求消息。

步骤 207、 HSS 会将其根据该基础密钥 K计算得到的认证向量发送至 MME, 该认证向量可以包括 {RAND, XRES, KASME, AUTN}。

步骤 208、 MME获取到认证向量后， 向 RN发送认证请求， 携带认证用 的 AUTN、 XRES以及计算密钥需要的 RAND。

步骤 209、 MME接收 RN计算后返回的携带 RES的认证响应 , 验证该认 证响应中的 RES, 从而完成 RN和 MME之间的 AKA认证。

步骤 210、 通过 SMC进行 RN和 MME之间的 NAS加密算法的协商， 该 SMC过程和现有技术中 UE入网传统 LTE时的 SMC过程相同。

步骤 211、 MME向 DeNB发送 RN的初始上下文建立消息， 该初始上下 文建立消息中携带有 RN和 MME之间 AKA认证过程中计算得到的 AS密钥。

步骤 212、 通过 SMC进行 DeNB与 RN之间的 AS机密算法的协商， 该 SMC过程和现有技术中 UE入网传统 LTE时的 SMC过程相同。

步骤 213、 进行 RN与 DeNB之间的无线承载建立过程， 至此完成 RN入 网认证。 由于 RRC连接建立请求消息或 RRC连接建立消息的长度受限， 所以， 在步骤 201、 步骤 202中， RN的证书和 /或 DeNB的证书也可以考虑用一个位 长更短的证书标识来替代， 而不是证书本身。 当上述的认证过程中 RRC连接 建立请求消息或 RRC连接建立消息中携带的是证书标识而不是证书本身， 那 接收消息的实体需要首先完成和注册中心（ Registration Association,简称 RA ) /证书中心 （Certificate Association, 简称 CA ) 的交互， 来获得证书标识所指 示的证书的内容， 然后进行对端的基于证书的内容的认证。

本实施例提供的无线节点入网方法， 详细描述了 RN和集成有 HSS 的 DeNB之间的证书认证的信令流程，通过在 RRC连接建立请求消息中携带 RN 的证书， 在 RRC连接建立消息中携带 DeNB的证书， 进行 RN和 DeNB之间 的基于证书的认证，并通过 RN和 DeNB之间 RRC连接建立请求消息和 RRC 连接建立消息交互交换 DH参数，计算类似于 UE入网时 USIM卡中携带的基 础密钥 K, 最终完成 RN与 DeNB之间的无线承载建立 ,从而实现 RN入网时 基于证书的认证方法， 且使得网络侧 RN入网更加安全。

图 3为本发明无线节点入网方法第三实施例的信令流程图。 本实施例中， DeNB和 HSS集成在同一实体上， RN在 RRC连接建立请求消息里携带密钥 协商所需的信息， RN对 DeNB的 AUTH参数放在 RRC连接建立完成消息里 携带， 以验证之前发送的 RRC连接建立请求消息。 如图 3所示， 包括如下步 骤：

步骤 301、 RN在向集成有 HSS功能的 DeNB发送的 RRC连接建立请求 消息里携带 RN的证书和 RN的 DH参数等信息。

步骤 302、 DeNB根据收到的 RN的 DH参数以及本地的 DeNB的 DH参 数， 计算获得基础密钥 K, 并根据 K计算出 AUTH参数， 向 RN发送 RRC连 接建立消息， 该 RRC连接建立消息中携带 DeNB的证书、 DeNB的 DH参数 以及 AUTH参数， 以根据 DeNB的证书对 DeNB进行认证。

在该步骤 302中， 集成在 DeNB上的 HSS还可以为 RN分配一个 IMSI, 如果分配了， IMSI也会携带在前述 RRC连接建立消息一起发送给 RN, 用来 唯一标识该 RN。 该基础密钥 K类似于 UE入网传统 LTE时， UE的 USIM卡 中携带的基础密钥 K, K=KDF(K_DH)。

步骤 303、 RN发送 RRC连接建立完成消息至 DeNB, 在该 RRC连接建 立完成消息里携带 RN对 DeNB的 AUTH参数， 以使 DeNB根据此值完成对 RN之前发送的 RRC连接建立请求消息的认证， 并在认证成功后， 根据 RN 的证书对 RN进行认证。 在该 RRC连接建立完成消息里还携带有 RN的 NAS 附着请求消息。

步骤 304、 RN根据上面步骤 301-步骤 303中的消息里的 RN的 DH参数 和 DeNB的 DH参数， 在本地计算生成基础密钥 K。

该基础密钥 Κ类似于 UE入网传统 LTE时，UE的 USIM卡中携带的基础 密钥 K,

步骤 305、 DeNB向 MME转发 RN的 NAS附着请求消息。

步骤 306、 MME发现附着的是 RN, 启动 AKA认证过程， 首先向 HSS 发出认证数据请求消息。

步骤 307、 HSS 会将其根据该基础密钥 K计算得到的认证向量发送至 MME, 该认证向量可以包括 {RAND, XRES, KASME, AUTN}。

步骤 308、 MME获取到认证向量后， 向 RN发送认证请求， 携带认证用 的 AUTN、 XRES以及计算密钥需要的 RAND。

步骤 309、 MME接收 RN计算后返回的携带 RES的认证响应 , 验证该认 证响应中的 RES , 以完成 RN和 MME之间的 AKA认证。

步骤 310、 通过 SMC进行 RN和 MME之间的 NAS加密算法的协商， 该 SMC过程和现有技术中 UE入网传统 LTE时的 SMC过程相同。

步骤 311、 MME向 DeNB发送 RN的初始上下文建立消息， 该初始上下 文建立消息中携带有 RN和 MME之间 AKA认证过程中计算得到的 AS密钥。

步骤 312、 通过 SMC进行 DeNB与 RN之间的 AS机密算法的协商， 该 SMC过程和现有技术中 UE入网传统 LTE时的 SMC过程相同。

步骤 313、 进行 RN与 DeNB之间的无线承载建立过程， 至此完成 RN入 网认证。

由于 RRC连接建立请求消息或 RRC连接建立消息的长度受限， 所以， 在步骤 301、 步骤 302中， RN证书和 /或 DeNB证书也可以考虑用一个位长更 短的证书标识来替代， 而不是证书本身。 当上述的认证过程中 RRC连接建立 请求消息或 RRC链接建立消息中携带的是证书标识而不是证书本身， 那接收 消息的实体需要首先完成和 RA/CA的交互， 来获得证书标识所指示的证书， 然后进行对端的基于证书的认证。

本实施例提供的无线节点入网方法， 详细描述了 RN和集成有 HSS 的 DeNB之间的证书认证的信令流程，本实施例获得了与无线节点入网方法第二 实施例大致相同的有益效果， 实现了 RN入网时基于证书的认证方法，使得网 络侧 RN入网更加安全。

图 4为本发明中继节点第一实施例的结构示意图。 如图 4所示， 该中继 节点包括： 发送模块 41、接收认证模块 42、 计算模块 43和承载建立模块 44。 其中， 发送模块 41 , 用于在中继节点与集成有归属用户服务器的施主基站的 无线资源控制连接建立过程中， 向所述施主基站发送所述中继节点的证书和 所述中继节点的迪菲 -赫尔曼参数， 以使所述施主基站根据所述中继节点的证 书对所述中继节点进行认证； 接收认证模块 42, 用于接收所述施主基站发送 的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数， 并根据所述施主 基站的证书对所述施主基站进行认证； 计算模块 43 , 用于若所述中继节点和 所述施主基站认证成功， 则根据所述中继节点的迪菲-赫尔曼参数和所述接收 模块 42接收的所述施主基站的迪菲 -赫尔曼参数计算基础密钥 K;承载建立模 块 44, 用于基于所述计算模块 43计算得到的所述基础密钥 K, 与移动管理实 体进行认证与密钥协商； 并用于与所述移动管理实体进行非接入层安全模式 控制， 与所述施主基站进行接入层安全模式控制， 建立与所述施主基站之间 的无线承载。

本实施例提供的中继节点， 具体实现无线节点入网方法详见上述方法实 施例，通过在 RRC连接建立过程中，在 RN和集成有 HSS功能的 DeNB之间 交互的消息中携带证书， 进行 RN和 DeNB之间的认证， 并通过 RN和 DeNB 之间交换的 DH参数， 计算类似于 UE入网时 USIM卡中携带的基础密钥 K, 最终完成 RN与 DeNB之间的无线承载建立，从而实现 RN入网时基于证书的 认证方法 , 且使得网络侧 RN入网更加安全。

图 5为本发明无线节点入网系统第一实施例的结构示意图。 如图 5所示， 包括： 移动管理实体 51、 集成有归属用户服务器的施主基站 52和中继节点 53。 所述中继节点 53如上述中继节点第一实施例中所描述， 在此不再赘述。 所述集成有归属用户服务器的施主基站 52,用于接收所述中继节点 53发送的 所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数， 并发送所述施主基 站的证书和所述施主基站的迪菲-赫尔曼参数至所述中继节点 53; 根据所述中 继节点的迪菲-赫尔曼参数和所述施主基站的迪菲 -赫尔曼参数计算所述基础 密钥 K; 根据所述基础密钥 K计算的接入层密钥， 与所述中继节点 53进行接 入层安全模式控制。 所述移动管理实体 51 , 用于获取所述集成有归属用户服 务器的施主基站 52基于所述基础密钥 K计算的认证矢量，根据所述认证矢量， 与所述中继节点 53进行认证与密钥协商；并用于根据所述基础密钥 K计算的 非接入层密钥， 与所述中继节点 53进行非接入层安全模式控制。

本实施例提供的无线节点入网系统， 具体实现无线节点入网方法详见上 述方法实施例， 通过在 RRC连接建立过程中， 在 RN和集成有 HSS功能的 DeNB之间交互的消息中携带证书， 进行 RN和 DeNB之间的认证， 并通过 RN和 DeNB之间交换的 DH参数， 计算类似于 UE入网时 USIM卡中携带的 基础密钥 K, 最终完成 RN与 DeNB之间的无线承载建立，从而实现 RN入网 时基于证书的认证方法 , 且使得网络侧 RN入网更加安全。

图 6为本发明无线节点入网方法第四实施例的流程示意图。 如图 6所示， 包括如下步骤：

步骤 601、 在 RN与 DeNB之间的 RRC连接建立过程中 , 通过 DeNB向 HSS发送 RN的证书和 RN的 DH参数， 以使 HSS根据 RN的证书对 RN进 行认证。

步骤 602、 RN通过 DeNB接收 HSS发送的 HSS的证书和 HSS的 DH参 数， 并根据 HSS的证书对 HSS进行认证。

上述步骤 601和步骤 602中， RN和 HSS分别将其自身的证书发送至对 端， 以便实现 RN和 HSS之间基于证书的认证。

步骤 603、若 RN和 HSS认证成功， 则根据 RN的 DH参数和 HSS的 DH 参数计算基础密钥 K。

该基础密钥 Κ 类似于 UE入网传统 LTE 时， UE 的全球用户识别卡 ( Universal Subscriber Identity Module , 简称 USIM )中携带的基础密钥 Κ。 本 步骤 603中， K=KDF(K_DH); 另外， HSS也会根据 RN的 DH参数和 HSS的 DH参数计算该基础密钥 K,即在 DeNB侧也釆用同样的算法生成该基础密钥 K。

步骤 604、 基于该基础密钥 Κ, 与 ΜΜΕ进行 ΑΚΑ; 与 ΜΜΕ进行 NAS SMC, 并与 DeNB进行 AS SMC, 建立 RN与 DeNB之间的无线承载。

在该步骤 604中， 由于 RN侧产生了基础密钥 K, 后续根据基础密钥 K 计算得到的认证矢量， 进行 RN与 MME之间的 AKA过程， 根据基础密钥 K 计算得到的非接入层密钥， 进行 NAS SMC过程， 并根据基础密钥 K计算得 到的接入层密钥， 进行 RN与 DeNB之间的 AS SMC的过程， 上述过程类似 于 UE入网传统 LTE的过程， RN类似传统 LTE中的 UE完成了 RN入网认证 和安全模式建立的过程， 在此不再赘述。

本实施例提供的无线节点入网方法， 通过在 RRC 连接建立过程中， 在 RN和 HSS之间交互的消息中携带证书， 进行 RN和 HSS之间的认证， 并通 过 RN和 HSS之间交换的 DH参数， 计算类似于 UE入网时 USIM卡中携带 的基础密钥 K, 最终完成 RN与 DeNB之间的无线承载建立，从而实现 RN入 网时基于证书的认证方法， 且使得网络侧 RN入网更加安全。

图 7为本发明无线节点入网方法第五实施例的信令流程图。 本实施例中， HSS是独立的物理实体， 而不是位于 DeNB上的， RN和 HSS仍然通过证书 认证， 并协商出基础密钥 K, DeNB在 RN和 HSS的中间转发相应的消息。 如图 7所示， 该无线节点入网方法包括如下步骤：

步骤 701、 RN向 DeNB发送 RRC连接建立请求消息 , 该 RRC连接建立 请求消息中携带 RN的证书、 RN的 DH参数以及 AUTH参数等信息。

步骤 702、 DeNB将接收到的该 RRC连接建立请求消息中的 RN的证书、 RN的 DH参数以及 AUTH参数等信息转发给 HSS, 以使 HSS根据 RN的证 书对 RN进行认证。

步骤 703、 HSS将携带有 HSS的证书、 HSS的 DH参数以及 AUTH参数 的消息发送给 DeNB。

步骤 704、 DeNB收到 HSS的证书、 HSS的 DH参数以及 AUTH参数后， 会向 RN发送 RRC连接建立消息，该 RRC连接建立消息中携带 HSS的证书、 HSS的 DH参数以及 AUTH参数， 以根据 HSS的证书对 HSS进行认证。

在该步骤中， HSS可以为 RN分配一个 IMSI, 如果分配了， DeNB将该 IMSI也放在 RRC连接建立消息中发送给 RN, 用来唯一标识该 RN。

步骤 705、 RN和 HSS才艮据上面步骤 501-步骤 504中的消息里的 RN的 DH参数和 HSS的 DH参数， 分别在本地计算生成基础密钥 K。

该基础密钥 Κ类似于 UE入网传统 LTE时，UE的 USIM卡中携带的基础 密钥 K。

步骤 706、 RN向 DeNB发送 RRC连接建立完成消息 , 该 RRC连接建立 完成消息中携带有 NAS附着请求消息。

步骤 707、 DeNB向 MME转发 RN的 NAS附着请求消息。

步骤 708、 MME发现附着的是 RN, 启动 AKA认证过程， 首先向 HSS 发出认证数据请求消息。

步骤 709、 HSS 会将其根据该基础密钥 K计算得到的认证向量发送至 MME, 该认证向量可以包括 {RAND, XRES, KASME, AUTN}。

步骤 710、 MME获取到认证向量后， 向 RN发送认证请求， 携带认证用 的 AUTN、 XRES以及计算密钥需要的 RAND。

步骤 711、 MME接收 RN计算后返回的携带 RES的认证响应 , 验证该认 证响应中的 RES , 以完成 RN和 MME之间的 AKA认证。

步骤 712、 通过 SMC进行 RN和 MME之间的 NAS加密算法的协商， 该 SMC过程和现有技术中 UE入网传统 LTE时的 SMC过程相同。

步骤 713、 MME向 DeNB发送 RN的初始上下文建立消息， 该初始上下 文建立消息中携带有 RN和 MME之间 AKA认证过程中计算得到的 AS密钥。

步骤 714、 通过 SMC进行 DeNB与 RN之间的 AS机密算法的协商， 该 SMC过程和现有技术中 UE入网传统 LTE时的 SMC过程相同。

步骤 715、 进行 RN与 DeNB之间的无线承载建立过程， 至此完成 RN入 网认证。

由于 RRC连接建立请求消息或 RRC连接建立消息的长度受限， 所以， 在步骤 701-步骤 704中， RN的证书和 /或 HSS的证书也可以考虑用一个位长 更短的证书标识来替代， 而不是证书本身。 当上述的认证过程中 RRC连接建 立请求消息或 RRC链接建立消息中携带的是证书标识而不是证书本身， 那接 收消息的实体需要首先完成和 RA/CA的交互，来获得证书标识所指示的证书， 然后进行对端的基于证书的认证。

本实施例提供的无线节点入网方法， DeNB和 HSS为两个分立的实体， 本实施例详细描述了 RN和 HSS之间的证书认证的信令流程，通过在 RRC连 接建立请求消息中携带 RN的证书，在 RRC连接建立消息中携带 HSS的证书， 进行 RN和 HSS之间的基于证书的认证， 并通过 RN和 HSS之间 RRC连接 建立请求消息和 RRC连接建立消息的交互交换 DH参数， 计算类似于 UE入 网时 USIM卡中携带的基础密钥 K, 最终完成 RN与 DeNB之间的无线承载 建立，从而实现 RN入网时基于证书的认证方法，且使得网络侧 RN入网更加 安全。

图 8为本发明中继节点第二实施例的结构示意图。 如图 8所示， 该中继 节点包括： 发送模块 81、接收认证模块 82、 计算模块 83和承载建立模块 84。 其中， 发送模块 81 , 用于在中继节点与施主基站之间的无线资源控制连接建 立过程中， 通过所述施主基站向归属用户服务器发送所述中继节点的证书和 所述中继节点的迪菲-赫尔曼参数， 以使所述归属用户服务器根据所述中继节 点的证书对所述中继节点进行认证； 接收认证模块 82, 用于通过所述施主基 站接收所述归属用户服务器发送的所述归属用户服务器的证书和所述归属用 户服务器的迪菲-赫尔曼参数， 并根据所述归属用户服务器的证书对所述归属 用户服务器进行认证； 计算模块 83 , 用于若所述中继节点和所述归属用户服 务器认证成功， 则根据所述中继节点的迪菲-赫尔曼参数和所述接收模块 82 接收的所述归属用户服务器的迪菲 -赫尔曼参数计算基础密钥 K; 承载建立模 块 84, 用于基于所述计算模块 83计算得到的所述基础密钥 K, 与移动管理实 体进行认证与密钥协商； 并用于与所述移动管理实体进行非接入层安全模式 控制， 与所述施主基站进行接入层安全模式控制， 建立与所述施主基站之间 的无线承载。

本实施例提供的中继节点， 具体实现无线节点入网方法详见上述方法实 施例， 通过在 RRC连接建立过程中， 在 RN和 HSS之间交互的消息中携带证 书， 进行 RN和 HSS之间的认证， 并通过 RN和 HSS之间交换的 DH参数， 计算类似于 UE入网时 USIM卡中携带的基础密钥 K, 最终完成 RN与 DeNB 之间的无线承载建立，从而实现 RN入网时基于证书的认证方法，且使得网络 侧 RN入网更加安全。

图 9为本发明无线节点入网系统第二实施例的结构示意图。 如图 9所示， 包括： 移动管理实体 91、 归属用户服务器 92、 施主基站 93和中继节点 94。 所述中继节点 94如上述中继节点第二实施例中所描述， 在此不再赘述。 所述 归属用户服务器 92 ,用于接收所述中继节点 94发送的所述中继节点的证书和 所述中继节点的迪菲-赫尔曼参数， 并发送所述归属用户服务器的证书和所述 归属用户服务器的迪菲-赫尔曼参数至所述中继节点 94; 根据所述中继节点的 迪菲-赫尔曼参数和所述归属用户服务器的迪菲-赫尔曼参数计算所述基础密 钥 K; 所述移动管理实体 91 , 用于获取所述归属用户服务器 92基于所述基础 密钥 K计算的认证矢量， 根据所述认证矢量， 与所述中继节点 94进行认证与 密钥协商； 并用于根据所述基础密钥 K计算的非接入层密钥， 与所述中继节 点 94进行非接入层安全模式控制； 所述施主基站 93 , 用于获取所述归属用户 服务器 92基于所述基础密钥 K计算的接入层密钥， 根据所述接入层密钥， 与 所述中继节点 94进行接入层安全模式控制。

本实施例提供的无线节点入网系统， 具体实现无线节点入网方法详见上 述方法实施例， 通过在 RRC连接建立过程中， 在 RN和 HSS之间交互的消息 中携带证书， 进行 RN和 HSS之间的认证， 并通过 RN和 HSS之间交换的 DH参数， 计算类似于 UE入网时 USIM卡中携带的基础密钥 K, 最终完成 RN与 DeNB之间的无线承载建立，从而实现 RN入网时基于证书的认证方法， 且使得网络侧 RN入网更加安全。

图 10为本发明无线节点入网方法第六实施例的流程示意图。 本实施例中 HSS与 MME集成在同一实体上。 如图 10所示， 包括如下步骤：

步骤 1001、 完成 RN与 DeNB之间的 RRC连接建立。

步骤 1002、 RN发送携带有 RN的证书和 RN的 DH参数的附着请求消息 至集成有 HSS的 MME, 以使 MME根据 RN的证书对 RN进行认证。

步骤 1003、 RN接收 MME发送的携带有 MME的证书和 MME的 DH参 数的非接入层消息 , 并根据 MME的证书对 MME进行认证。

步骤 1004、若 RN和 MME认证成功 , 则根据 RN的 DH参数和 MME的 DH计算共享密钥。 其中， MME根据 RN的 DH参数和 MME的 DH参数计算所述共享密钥。 步骤 1005、 基于共享密钥， RN与 MME进行 NAS SMC, 并与 DeNB进 行 AS SMC , 建立 RN与 DeNB之间的无线承载。

根据共享密钥计算得到的非接入层密钥，进行 NAS SMC过程，并根据共 享密钥计算得到的接入层密钥， 进行 RN与 DeNB之间的 AS SMC的过程， 上述过程类似于 UE入网传统 LTE的过程， RN类似传统 LTE中的 UE完成了 RN入网认证和安全模式建立的过程， 在此不再赘述。

本实施例提供的无线节点入网方法， 通过在 RN和集成有 HSS的 MME 之间交互的消息中携带证书， 进行 RN和 MME之间的认证， 并通过 RN和 MME之间交换的 DH参数， 计算类似于 UE入网时 USIM卡中携带的共享密 钥 , 最终完成 RN与 DeNB之间的无线承载建立 ,从而实现 RN入网时基于证 书的认证方法， 且使得网络侧 RN入网更加安全。

图 11为本发明无线节点入网方法第七实施例的信令流程图。 本实施例是 上述第六实施例的具体信令流程， HSS与 MME集成在同一实体上。 如图 11 所示， 包括如下步骤：

步骤 1101、 RN向 DeNB发起 RRC连接建立请求消息。

步骤 1102、 DeNB向 RN发送 RRC连接建立消息。

步骤 1103、 RN向 DeNB回复 RRC连接建立完成消息。

步骤 1104、 RN向集成有 HSS的 MME发送 NAS附着请求消息，该 NAS 附着请求消息中携带 RN的证书和 RN的 DH参数。

步骤 1105、 MME向 RN发送 IMSI请求消息， 该 IMSI请求消息中携带 MME的证书、 MME的 DH参数以及用于认证的 AUTH参数。

在该步骤 1105中， 集成在 MME上的 HSS还可以为 RN分配一个 IMSI, 如果分配了， IMSI也会携带在前述 IMSI请求消息中一起发送给 RN, 用来唯 一标识该 RN。

步骤 1106、 RN收到 MME的证书后完成对 MME的认证， 然后在 IMSI 响应消息中携带用于认证的 AUTN参数发送至 MME, 以使 MME根据步骤 1104中发送的 RN的证书对 RN进行证书认证。

步骤 1107、认证双方 RN和 MME分别在本地根据 RN的 DH参数和 MME 的 DH参数， 计算出共享密钥 Kl , K1=KDF(K_DH)。

RN和 MME之间基于该共享密钥 K1完成后续的安全过程， 具体可以包 括有两种方案：

A )将共享密钥 K1作为 AKA认证时的基础密钥 K:

步骤 1108a、 集成有 HSS功能的 MME会根据该基础密钥 K计算得到认 证向量 , 该认证向量可以包括 {RAND, XRES, KASME, AUTN}。

B )将共享密钥 Kl作为根密钥 KASME:

步骤 1108b、集成有 HSS功能的 MME从 HSS得到包括该根密钥 KASME 的认证向量 , 该认证向量可以包括 {RAND, XRES, KASME, AUTN}。

步骤 1109、 MME获取到认证向量后， 向 RN发送认证请求， 携带认证用 的 AUTN、 XRES以及计算密钥需要的 RAND。

步骤 1110、 MME接收 RN计算后返回的携带 RES的认证响应， 验证该 认证响应中的 RES , 以完成 RN和 MME之间的 AKA认证。

步骤 1111、 通过 SMC进行 RN和 MME之间的 NAS加密算法的协商， 该 SMC过程和现有技术中 UE入网传统 LTE时的 SMC过程相同。

步骤 1112、 MME向 DeNB发送 RN的初始上下文建立消息， 该初始上下 文建立消息中携带有 RN和 MME之间 AKA认证过程中计算得到的 AS密钥。

步骤 1113、 通过 SMC进行 DeNB与 RN之间的 AS机密算法的协商， 该 SMC过程和现有技术中 UE入网传统 LTE时的 SMC过程相同。

步骤 1114、 进行 RN与 DeNB之间的无线承载建立过程， 至此完成 RN 入网认证。

由于附着请求消息或 IMSI请求消息的长度受限， 所以， 在步骤 1104-步 骤 1105中， RN的证书和 /或 MME的证书也可以考虑用一个位长更短的证书 标识来替代， 而不是证书本身， 那么接收消息的实体需要首先完成和 RA/CA 的交互， 来获得证书标识所指示的证书的内容， 然后进行对端的基于证书的 内容的认证。

本实施例提供的无线节点入网方法，详细描述了 RN和集成有 HSS的 MME 之间的证书认证的信令流程， 与上述无线节点入网方法第六实施例类似， 同 样可以实现 RN入网时基于证书的认证方法 ,且使得网络侧 RN入网更加安全。

图 12为本发明中继节点第三实施例的结构示意图。 如图 12所示， 该中 继节点包括： 连接建立模块 121、 发送模块 122、 接收认证模块 123、 计算模 块 124和承载建立模块 125。 其中， 连接建立模块 121 , 用于完成中继节点与 施主基站的无线资源控制连接建立； 发送模块 122, 用于发送携带有所述中继 节点的证书和所述中继节点的迪菲-赫尔曼参数的附着请求消息至集成有归属 用户服务器的移动管理实体， 以使所述移动管理实体根据所述中继节点的证 书对所述中继节点进行认证； 接收认证模块 123 , 用于接收所述移动管理实体 发送的携带有移动管理实体的证书和所述移动管理实体的迪菲-赫尔曼参数的 非接入层消息， 并根据所述移动管理实体的证书对所述移动管理实体进行认 证； 计算模块 124, 用于若所述中继节点和所述移动管理实体认证成功， 则根 据所述中继节点的迪菲-赫尔曼参数和所述接收模块 123接收的所述移动管理 实体的迪菲-赫尔曼参数计算共享密钥； 承载建立模块 125, 用于基于所述计 算模块 124计算得到的所述共享密钥， 与所述移动管理实体进行非接入层安 全模式控制， 并与所述施主基站进行接入层安全模式控制， 建立与所述施主 基站之间的无线承载。

本实施例提供的中继节点， 具体实现无线节点入网方法详见上述方法实 施例， 通过在 RN和集成有 HSS的 MME之间交互的消息中携带证书， 进行 RN和 MME之间的认证 , 并通过 RN和 MME之间交换的 DH参数 , 计算类 似于 UE入网时 USIM卡中携带的共享密钥，最终完成 RN与 DeNB之间的无 线承载建立，从而实现 RN入网时基于证书的认证方法，且使得网络侧 RN入 网更加安全。

图 13为本发明无线节点入网系统第三实施例的结构示意图。 如图 13所 示， 包括： 集成有归属用户服务器的移动管理实体 131、 施主基站 132和中继 节点 133。 所述中继节点 133如上述中继节点第三实施例中所描述， 在此不再 赘述。 所述集成有归属用户服务器的移动管理实体 131 , 用于接收所述中继节 点 133发送的所述中继节点的证书和所述中继节点的迪菲-赫尔曼参数， 并发 送移动管理实体的证书和所述移动管理实体的迪菲 -赫尔曼参数至所述中继节 点 133; 根据所述中继节点的迪菲-赫尔曼参数和所述移动管理实体的迪菲-赫 尔曼参数计算所述共享密钥； 根据所述共享密钥计算得到的非接入层密钥， 与所述中继节点 133进行非接入层安全模式控制； 所述施主基站 132, 用于获 取所述集成有归属用户服务器的移动管理实体基于所述共享密钥计算的接入 层密钥， 根据所述接入层密钥， 与所述中继节点 133 进行接入层安全模式控 制。

本实施例提供的无线节点入网系统， 具体实现无线节点入网方法详见上 述方法实施例， 通过在 RN和集成有 HSS的 MME之间交互的消息中携带证 书 ,进行 RN和 MME之间的认证，并通过 RN和 MME之间交换的 DH参数， 计算类似于 UE入网时 USIM卡中携带的共享密钥，最终完成 RN与 DeNB之 间的无线承载建立，从而实现 RN入网时基于证书的认证方法，且使得网络侧 RN入网更加安全。

图 14为本发明无线节点入网方法第八实施例的流程示意图。 如图 14所 示， 包括如下步骤：

步骤 1401、 在 RN和 DeNB之间的 RRC连接建立和 /或无线承载建立的 过程中， 向 DeNB发送 RN的证书和 RN的 DH参数， 以使 DeNB根据 RN的 证书对 RN进行认证。

步骤 1402、 接收 DeNB发送的 DeNB的证书和 DeNB的 DH参数， 并根 据 DeNB的证书对 DeNB进行认证。 该步骤 1401-步骤 1402中， RN和 DeNB分别将其自身的证书发送至对端， 以便实现 RN和 DeNB之间的证书认证。

步骤 1403、 若 RN和 DeNB认证成功， 则根据 RN的 DH参数和 DeNB 的 DH参数计算认证密钥 AK。

其中， DeNB根据 RN的 DH参数和 DeNB的 DH参数计算该认证密钥

AK。

步骤 1404、 将该认证密钥 AK作为 RN和 DeNB共享的临时密钥 KeNB, 并基于该临时密钥 KeNB , 与 DeNB进行 AS SMC。

本实施例提供的无线节点入网方法， 通过在 RN和 DeNB之间的 RRC连 接建立和 /或无线承载建立的过程中， 在 RN和 DeNB之间交互的消息中携带 证书，进行 RN和 DeNB之间的认证， 并通过 RN和 DeNB之间交换的 DH参 数，计算类似于 UE入网时计算得到的临时密钥 KeNB,最终完成 RN与 DeNB 之间的无线承载建立，从而实现 RN入网时基于证书的认证方法，且使得网络 侧 RN入网更加安全。

图 15为本发明无线节点入网方法第九实施例的信令流程图。本实施例中， RN、 DeNB无需与 HSS进行信令交互以进行基础密钥 K的计算， 只需要在 RN与 DeNB之间通过证书认证， 并在 RN与 DeNB之间进行临时密钥 KeNB 的计算， 并利用生成的临时密钥 KeNB保护 RN与 DeNB之间的 AS消息。如 图 15所示， 包括如下步骤：

步骤 1501、 RN向其所属的 DeNB发起 RRC连接建立请求消息， 该 RRC 连接建立请求消息中携带 RN的证书、 随机数 ( nonce ) 1、 RN的 DH参数以 及 AUTH参数等信息， 以使 DeNB根据 RN的证书对 RN进行认证。 其中随 机数是为了使得后续计算得到的共享密钥每一次都不同。

RN的证书也可以考虑用一个位长更短的证书标识来替代， 而不是证书本 身。 当上述步骤 1501 中 RRC连接建立请求消息中携带的是证书标识而不是 证书本身， 那么， 还包括： 步骤 1501，、 RN需要完成和 RA/CA的消息交互， 来获得证书标识所指示的证书的内容。 然后， 进行对端的基于证书的内容的 认证。

步骤 1502、 DeNB向 RN回复 RRC连接建立消息， 该 RRC连接建立消 息中携带 DeNB的证书、 随机数（nonce ) 2、 DeNB的 DH参数以及 AUTH 参数等信息， 以使 RN根据 DeNB的证书对 DeNB进行认证。

DeNB的证书也可以考虑用一个位长更短的证书标识来替代，而不是证书 本身。 当上述步骤 1502中 RRC连接建立消息中携带的是证书标识而不是证 书本身， 那么， 还包括： 步骤 1502，、 DeNB需要完成和 RA/CA的消息交互， 来获得证书标识所指示的证书的内容。 然后， 进行对端的基于证书的内容的 认证。

步骤 1503、 RN和 DeNB根据步骤 1501和步骤 1502中的两条消息里的 RN的 DH参数和 DeNB的 DH参数， 分别在本地计算生成认证密钥 AK, 并 以该认证密钥 AK作为临时密钥 KeNB, 计算 AS信令的加密密钥和完整性保 护密钥等。

其中， AK=KDF(K_DH)。

步骤 1504、 RN向其所属的 DeNB发起 RRC连接建立完成消息， 其中携 带 NAS附着请求消息。

步骤 1505、 RN所属的 DeNB转发 NAS附着请求消息至 MME。

步骤 1506、 MME向 DeNB发送该 RN的初始上下文建立消息。

步骤 1507、 RN所属的 DeNB和 RN之间进行 AS SMC过程， 完成 DeNB 与 RN之间的 AS算法的协商， 并激活 AS保护。

步骤 1508、 进行 RN与 DeNB之间的无线承载建立过程， 至此完成 RN 入网认证。

本实施例只实现 RN与其所属的 DeNB之间的证书认证以及 AS安全保 护， 并不关注 NAS保护方法。

本实施例提供的无线节点入网方法， 详细描述了 RN和 DeNB之间的证 书认证的信令流程， 与上述无线节点入网方法第八实施例类似， 同样可以实 现 RN入网时基于证书的认证方法 , 且使得网络侧 RN入网更加安全。

图 16为本发明无线节点入网方法第十实施例的信令流程图。 如图 16所 示， 包括如下步骤：

步骤 1601、 RN向其所属的 DeNB发送 RRC连接建立请求消息。

步骤 1602、 RN所属的 DeNB向 RN回复 RRC连接建立消息， 完成随机 接入信道的连接建立过程。

步骤 1603、 RN向其所属的 DeNB发送 RRC 连接建立完成消息， 其中携 带 NAS附着请求消息。

步骤 1604、 RN所属的 DeNB将该 NAS附着请求消息封装在 S1-AP消息 中传给 MME。

步骤 1605、 MME通过 S1-AP消息将服务网关 （Serving Gateway, 简称 S-GW )地址、 S1-TEID、 承载服务质量（Bear QoS )、 安全上下文等消息发给 RN所属的 DeNB，激活用于所有激活的演进分组系统（ Evolved Packet System , 简称 EPS ) 的无线承载和 SI承载。

步骤 1606、 RN所属的 DeNB将自己的 DeNB的证书通过 RRC无线承载 建立消息发给 RN, 由 RN对该 DeNB进行认证， 该 RRC无线承载建立消息 中还可以携带有随机数 ( nonce ) 1、 DeNB的 DH参数以及 AUTH参数。

DeNB的证书也可以考虑用一个位长更短的证书标识来替代，而不是证书 本身。 当上述步骤 1606中 RRC无线承载建立消息中携带的是证书标识而不 是证书本身， 那么， 还包括： 步骤 1606'、 DeNB需要完成和 RA/CA的消息 交互， 来获得证书标识所指示的证书的内容。 然后， 进行对端的基于证书的 内容的认证。

步骤 1607、 RN所属的 DeNB接收 RN发送的 RRC 无线承载建立完成消 息， 该 RRC 无线承载建立完成消息中包含了 RN的证书、 随机数（nonce ) 2、 RN的 DH参数以及 AUTH参数，以使 DeNB根据 RN的证书对 RN进行认证， 完成无线 7 载的建立。

RN的证书也可以考虑用一个位长更短的证书标识来替代， 而不是证书本 身。 当上述步骤 1607中 RRC 无线承载建立完成消息中携带的是证书标识而 不是证书本身， 那么， 还包括： 步骤 1607，、 RN需要完成和 RA/CA的消息交 互， 来获得证书标识所指示的证书的内容。 然后， 进行对端的基于证书的内 容的认证。

步骤 1608、 RN和 DeNB根据步骤 1606和步骤 1607中的两条消息里的 RN的 DH参数和 DeNB的 DH参数， 分别在本地计算生成认证密钥 AK, 并 以该认证密钥 AK作为临时密钥 KeNB, 计算 AS信令的加密密钥和完整性保 护密钥等。

步骤 1609、 RN所属的 DeNB和 RN之间进行 AS SMC过程， 完成 DeNB 与 RN之间的 AS算法的协商， 并激活 AS保护。

本实施例中的无线节点入网方法是在无线承载建立的时候完成的基于证 书的认证， 需要修改空口协议。 另夕卜，证书认证的过程还可以是，在步骤 1606 中不发送 DeNB的证书， 该 DeNB的证书是在步骤 1609的交互消息中 DeNB 至 RN的下行消息中携带， 从而实现对 DeNB的认证。

在本实施例中， 若 RN和 DeNB认证失败， 则触发 DeNB发起 RRC连接 释放过程， 或者触发 DeNB指示 MME发起将 RN去附着的过程， 从而断开 RN和 DeNB之间的无线承载连接。

本实施例提供的无线节点入网方法， 详细描述了 RN和 DeNB之间的证 书认证的信令流程， 与上述无线节点入网方法第八实施例类似， 同样可以实 现 RN入网时基于证书的认证方法 , 且使得网络侧 RN入网更加安全。

图 17 为本发明无线节点入网方法第十一实施例的信令流程图。 如图 17 所示， 包括如下步骤：

步骤 1701、 RN向其所属的 DeNB发送 RRC连接建立请求消息。

步骤 1702、 RN所属的 DeNB向 RN回复 RRC连接建立消息， 完成随机 接入信道的连接建立过程。

步骤 1703、 RN向其所属的 DeNB发送 RRC 连接建立完成消息，该 RRC 连接建立完成消息中携带了 RN的证书，用于 RN所属的 DeNB对 RN的认证。 该 RRC 连接建立完成消息中还携带了随机数（nonce ) 1、 RN的 DH参数以 及 AUTH参数， 其中还携带 NAS附着请求消息。

RN的证书也可以考虑用一个位长更短的证书标识来替代， 而不是证书本 身。 当上述步骤 1703中 RRC 连接建立完成消息中携带的是证书标识而不是 证书本身， 那么， 还包括： 步骤 1703，、 RN需要完成和 RA/CA的消息交互， 来获得证书标识所指示的证书的内容。 然后， 进行对端的基于证书的内容的 认证。

步骤 1704、 RN所属的 DeNB将该 NAS附着请求消息封装在 S1-AP消息 中传给 MME。

步骤 1705、 MME通过 S1-AP消息将服务网关 （Serving Gateway, 简称 S-GW )地址、 S1-TEID、 承载服务质量（Bear QoS )、 安全上下文等消息发给 RN所属的 DeNB，激活用于所有激活的演进分组系统（ Evolved Packet System , 简称 EPS ) 的无线承载和 SI承载。

步骤 1706、 RN所属的 DeNB将自己的 DeNB的证书通过 RRC无线承载 建立消息发给 RN, 由 RN对该 DeNB进行认证， 该 RRC无线承载建立消息 中还可以携带有随机数 ( nonce ) 2、 DeNB的 DH参数以及 AUTH参数。

DeNB的证书也可以考虑用一个位长更短的证书标识来替代，而不是证书 本身。 当上述步骤 1706中 RRC无线承载建立消息中携带的是证书标识而不 是证书本身， 那么， 还包括： 步骤 1706，、 DeNB需要完成和 RA/CA的消息 交互， 来获得证书标识所指示的证书的内容。 然后， 进行对端的基于证书的 内容的认证。

步骤 1707、 RN和 DeNB根据步骤 1703和步骤 1706中的两条消息里的 RN的 DH参数和 DeNB的 DH参数， 分别在本地计算生成认证密钥 AK, 并 以该认证密钥 AK作为临时密钥 KeNB, 计算 AS信令的加密密钥和完整性保 护密钥等。

通过步骤 1703和步骤 1706中的两条消息的交互，完成 RN入网时基于证 书的认证。

步骤 1708、 RN所属的 DeNB接收 RN发送的 RRC 无线承载建立完成消 息， 完成 RN和 DeNB之间的无线 载的建立。

步骤 1709、 RN所属的 DeNB和 RN之间进行 AS SMC过程， 完成 DeNB 与 RN之间的 AS算法的协商， 并激活 AS保护。

本实施例提供的无线节点入网方法， 详细描述了 RN和 DeNB之间的证 书认证的信令流程， 与上述无线节点入网方法第八实施例类似， 同样可以实 现 RN入网时基于证书的认证方法 , 且使得网络侧 RN入网更加安全。

图 18为本发明中继节点第四实施例的结构示意图。 如图 18所示， 该中 继节点包括： 发送模块 181、 接收认证模块 182、 计算模块 183和承载建立模 块 184。 其中， 发送模块 181 , 用于在中继节点与施主基站之间的无线资源控 制连接建立和 /或无线承载建立的过程中， 向所述施主基站发送所述中继节点 的证书和所述中继节点的迪菲-赫尔曼参数， 以使所述施主基站根据所述中继 节点的证书对所述中继节点进行认证； 接收认证模块 182, 用于接收所述施主 基站发送的所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数， 并根据 所述施主基站的证书对所述施主基站进行认证； 计算模块 183 , 用于若所述中 继节点和所述施主基站认证成功， 则根据所述中继节点的迪菲-赫尔曼参数和 所述接收模块 182接收的所述施主基站的迪菲 -赫尔曼参数计算认证密钥 AK; 承载建立模块 184,用于将所述计算模块 183计算得到的所述认证密钥 AK作 为所述中继节点和所述施主基站共享的临时密钥 KeNB,并基于所述临时密钥 KeNB, 与所述施主基站进行接入层安全模式控制。 另外， 移动管理实体通过 施主基站也会与中继节点进行信息交互。

本实施例提供的中继节点， 具体实现无线节点入网方法详见上述方法实 施例 ,通过在 RN和 DeNB之间的 RRC连接建立和 /或无线承载建立的过程中 , 在 RN和 DeNB之间交互的消息中携带证书， 进行 RN和 DeNB之间的认证 , 并通过 RN和 DeNB之间交换的 DH参数，计算类似于 UE入网时计算得到的 临时密钥 KeNB, 最终完成 RN与 DeNB之间的无线承载建立 , 从而实现 RN 入网时基于证书的认证方法， 且使得网络侧 RN入网更加安全。

图 19为本发明无线节点入网系统第四实施例的结构示意图。 如图 19所 示， 包括： 移动管理实体 191、 施主基站 192和中继节点 193。 所述中继节点 193如上述中继节点第四实施例中所描述， 在此不再赘述。 移动管理实体 191 通过施主基站 192与中继节点 193进行信息交互。 所述施主基站 192, 用于接 收所述中继节点 193发送的所述中继节点的证书和所述中继节点的迪菲 -赫尔 曼参数， 并发送所述施主基站的证书和所述施主基站的迪菲-赫尔曼参数至所 述中继节点 193; 根据所述中继节点的迪菲 -赫尔曼参数和所述施主基站的迪 菲-赫尔曼参数计算所述认证密钥 AK; 将所述认证密钥 AK作为所述中继节 点和所述施主基站共享的临时密钥 KeNB, 并根据所述临时密钥 KeNB, 与所 述中继节点 193进行接入层安全模式控制。

本实施例提供的无线节点入网系统， 具体实现无线节点入网方法详见上 述方法实施例 ,通过在 RN和 DeNB之间的 RRC连接建立和 /或无线承载建立 的过程中， 在 RN和 DeNB之间交互的消息中携带证书 , 进行 RN和 DeNB 之间的认证， 并通过 RN和 DeNB之间交换的 DH参数， 计算类似于 UE入网 时计算得到的临时密钥 KeNB, 最终完成 RN与 DeNB之间的无线承载建立， 从而实现 RN入网时基于证书的认证方法， 且使得网络侧 RN入网更加安全。

图 20为本发明无线节点入网方法第十二实施例的流程示意图。 本实施例 的认证过程是基于 RN中带有 USIM卡的认证， RN类似于附属 UE。 RN首先 根据其中的 USIM卡完成无线承载建立的过程，建立用户面 /信令面的 IP连接， 再启动基于 IP 层的因特网密钥交换协议第二版本（Internet Key Exchange version 2, 简称 IKEv2 ) 的基于证书的认证过程， 建立 RN和其附属的 DeNB 的 IPSec连接， 完成 RN入网过程。 如图 20所示， 完成 RN入网过程后， 还 包括如下步骤：

步骤 2001、 RN发送 IKE安全关联初始协商 （ IKE— SA— INIT )请求消息 至 DeNB , 在该 IKE SA INIT请求消息中包含了参数 {HDR, SAil, Kei, Ni}。

其中消息头 HDR中包括安全参数索引 ( Security Parameter Indexes简称 SPIs )、版本号和所需的标志， SAil包括发起方建立 IKE安全关联所支持的加 密算法， Kei是发起方的 DH参数， Ni是发起方的随机数载荷。

步骤 2002、 DeNB回复 IKE— SA— INIT响应消息至 RN,在该 IKE— SA— INIT 响应消息中包含了参数 {HDR, SArl, KEr, Nr, [CERTREQ] }。

其中， DeNB把选择的算法放在 SArl 中； 通过交互 IKE— SA— INIT请求 / 响应消息， 发起方和响应方协商了所需要的加密算法、 认证算法； 通过交换 Ni/Nr和 Kei/Ker, 完成 DH交换， 从而双方可计算出共享的密钥， 这个密钥 用来保护后面的数据以及生成 IPsec安全关联所需要的密钥； [CERTREQ]是证 书请求标识。

步骤 2003、 RN 向其所属的 DeNB 发送 IKE— AUTH请求消息， 在该 IKE AUTH 请求消息中包含了参数 {HDR, SK, AUTH, SAi2, TSi, TSr, CFG— REQUEST}。

其中， 所携带的参数的具体含义是： HDR包含 SPIs、 版本号和所需的标 志， SAi包括发起方建立 IKE安全关联所支持的加密算法； SK表示报文被保 护， AUTH用来证明知道与 ID相关的秘密， 同时对之前和当前的数据包进行 完整性保护； SAi2携带了用于 IPsec安全关联的密码算法列表， TSi/TSr表示 被 IPsec安全关联保护的数据流， CFG— REQUEST用于向 RN附属的 DeNB请 求证书以进行认证。

步骤 2004、 RN所属的 DeNB向 RN发送 IKE— AUTH响应消息， 在该 IKE AUTH响应消息中包含了参数 {HDR, SK, AUTH, SAr2, TSi, TSr, [CERT], Config Payload, CFG— REQUEST}。 将 RN所属的 DeNB的证书发送给 RN , 以使 RN完成对其所属的 DeNB 的认证 , 并向 RN请求证书以进行认证。

步骤 2005、 RN 向其所属的 DeNB 发送 IKE— AUTH 响应消息， 在该 IKE AUTH响应消息中包含了参数 {HDR, SK, AUTH, SAr2, Tsi, TSr, [CERT], Config Payload} ,将 RN的证书带给 RN所属的 DeNB, 以使 RN所属的 DeNB 完成对 RN的认证。

同样， 由于消息长度的限制， 在步骤 2004和步骤 2005中， RN的证书、 DeNB 的证书也可以考虑用一个位长更短的证书标识来替代， 而不是证书本 身， 那么接收消息的实体需要首先完成和 RA/CA的交互， 来获得证书标识所 指示的证书的内容， 然后进行对端的基于证书的内容的认证。

需要说明的是，为了克服可移动的 USIM卡的安全性低的问题， 当 RN使 用 USIM卡完成了入网的认证， 建立 RN和其附属的 DeNB的 IPSec连接后， 还需要进行证书的认证过程， 如上述步骤所述。 在证书认证的网络侧节点 DeNB/MME上， 如果 RN的证书认证失败， 则需要触发 RN和 DeNB/MME 之间的 Un接口的无线连接 /IPSec连接应该释放或者 MME发起将 RN Detach 去注册的过程。 只有 RN的证书认证成功， RN才可以作为一个网络节点， 激 活 Un接口的承载功能， 否则任何 UE不能通过 RN接入网络。

图 21为本发明中继节点第五实施例的结构示意图。 如图 21所示， 该中 继节点包括： 参数交换模块 2101、 第一发送模块 2102、 接收认证模块 2103 和第二发送模块 2104。 其中， 参数交换模块 2101 , 用于在完成中继节点与施 主基站之间的无线资源控制连接建立和无线承载建立的过程后， 向所述施主 基站发送因特网密钥交换安全关联初始协商请求消息， 并接收所述施主基站 回复的因特网密钥交换安全关联初始协商响应消息， 以交换所述中继节点的 迪菲-赫尔曼参数和所述施主基站的迪菲-赫尔曼参数， 所述迪菲-赫尔曼参数 用于协商所述中继节点与所述施主基站之间的安全保护联盟； 第一发送模块 2102, 用于向所述施主基站发送因特网密钥交换认证请求消息， 所述因特网 密钥交换认证请求消息中携带请求所述施主基站的证书的信息； 接收认证模 块 2103 , 用于接收所述施主基站返回的携带所述施主基站的证书的因特网密 钥交换认证响应消息， 并根据所述施主基站的证书对所述施主基站进行认证， 所述因特网密钥交换认证响应消息中还携带请求所述中继节点的证书的信 息； 第二发送模块 2104, 用于向所述施主基站发送携带所述中继节点的证书 的因特网密钥交换认证响应消息， 以使所述施主基站根据所述中继节点的证 书对所述中继节点进行认证。

本实施例提供的中继节点， 具体实现无线节点入网方法所详见上述方法 第十二实施例， 可以实现 RN入网时基于证书的认证方法 , 且使得网络侧 RN 入网更加安全。

图 22为本发明无线节点入网系统第五实施例的结构示意图。 如图 22所 示， 该无线节点入网系统包括： 施主基站 2201和如上述中继节点第五实施例 所述的中继节点 2202。其中 ,所述施主基站 2201 ,用于接收所述中继节点 2202 发送的所述因特网密钥交换安全关联初始协商请求消息， 并向所述中继节点 2202返回所述因特网密钥交换安全关联初始协商响应消息， 以交换所述中继 节点 2202的迪菲-赫尔曼参数和所述施主基站 2201的迪菲-赫尔曼参数，所述 迪菲-赫尔曼参数用于协商所述中继节点 2202与所述施主基站 2201之间的安 全保护联盟； 接收所述中继节点 2202发送的所述因特网密钥交换认证请求消 息， 所述因特网密钥交换认证请求消息中携带请求所述施主基站 2201的证书 的信息； 并向所述中继节点 2202返回携带所述施主基站 2201 的证书的所述 因特网密钥交换认证响应消息， 所述因特网密钥交换认证响应消息中还携带 请求所述中继节点 2202的证书的信息； 接收所述中继节点 2202发送的携带 所述中继节点 2202的证书的所述因特网密钥交换认证响应消息， 并根据所述 中继节点 2202的证书对所述中继节点 2202进行认证。

本实施例提供的无线节点入网系统， 具体实现无线节点入网方法所详见 上述方法第十二实施例，可以实现 RN入网时基于证书的认证方法，且使得网 络侧 RN入网更加安全。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流 程， 是可以通过计算机程序来指令相关的硬件来完成， 所述的程序可存储于 一计算机可获取存储介质中， 该程序在执行时， 可包括如上述各方法的实施 例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（ Read-Only Memory, ROM )或随机存 己忆体 ( Random Access Memory, RAM )等。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对其 限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通技术 人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修改， 或 者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求

1、 一种无线节点入网方法， 其特征在于， 包括：

在中继节点与集成有归属用户服务器的施主基站之间的无线资源控制连 接建立过程中， 所述中继节点向所述施主基站发送所述中继节点的证书和所 述中继节点的参数， 以使所述施主基站根据所述中继节点的证书对所述中继 节点进行认证；

所述中继节点接收所述施主基站发送的所述施主基站的证书和所述施主 基站的参数， 并根据所述施主基站的证书对所述施主基站进行认证。

2、 根据权利要求 1所述的方法， 其特征在于，

若所述施主基站发送的所述施主基站的证书为证书的标识信息， 则所述 在根据所述施主基站的证书对所述施主基站进行认证之前， 还包括： 根据所 述证书的标识信息向证书中心获取所述证书的内容；

所述根据所述施主基站的证书对所述施主基站进行认证， 包括： 根据从 所述证书中心获取的所述证书的内容， 对所述施主基站进行认证。

3、 根据权利要求 1或 2所述的方法， 其特征在于， 所述参数为迪菲-赫 尔曼参数。

4、 根据权利要求 1或 2所述的方法， 其特征在于， 所述方法还包括： 若所述中继节点和所述施主基站认证成功， 则根据所述中继节点的参数 和所述施主基站的参数计算基础密钥 K;

基于所述基础密钥 K, 与移动管理实体进行认证与密钥协商； 与所述移 动管理实体进行非接入层安全模式控制， 并与所述施主基站进行接入层安全 模式控制， 建立与所述施主基站之间的无线承载。

5、 一种中继节点， 其特征在于， 包括：

发送模块， 用于在中继节点与集成有归属用户服务器的施主基站之间的 无线资源控制连接建立过程中， 向所述施主基站发送所述中继节点的证书和 所述中继节点的参数， 以使所述施主基站根据所述中继节点的证书对所述中 继节点进行认证；

接收认证模块， 用于接收所述施主基站发送的所述施主基站的证书和所 述施主基站的参数， 并根据所述施主基站的证书对所述施主基站进行认证； 计算模块， 用于若所述中继节点和所述施主基站认证成功， 则根据所述 中继节点的参数和所述接收模块接收的所述施主基站的参数计算基础密钥 K; 承载建立模块， 用于基于所述计算模块计算得到的所述基础密钥 K, 与 移动管理实体进行认证与密钥协商； 并用于与所述移动管理实体进行非接入 层安全模式控制 , 与所述施主基站之间的接入层安全模式控制 , 建立与所述 施主基站之间的无线 7 载。

6、 根据权利要求 5所述的节点， 其特征在于， 所述参数为迪菲-赫尔曼 参数。

7、 一种无线节点入网系统， 其特征在于， 包括： 移动管理实体、 集成有 归属用户服务器的施主基站和如权利要求 3所述的中继节点，

所述集成有归属用户服务器的施主基站， 用于接收所述中继节点发送的 所述中继节点的证书和所述中继节点的参数， 并发送所述施主基站的证书和 所述施主基站的参数至所述中继节点； 根据所述中继节点的参数和所述施主 基站的参数计算所述基础密钥 K; 根据所述基础密钥 K计算的接入层密钥， 与所述中继节点进行接入层安全模式控制；

所述移动管理实体， 用于获取所述集成有归属用户服务器的施主基站基 于所述基础密钥 K计算的认证矢量， 根据所述认证矢量， 与所述中继节点进 行认证与密钥协商； 并用于根据所述基础密钥 K计算的非接入层密钥， 与所 述中继节点进行非接入层安全模式控制。

8、 根据权利要求 7所述的系统， 其特征在于， 所述参数为迪菲-赫尔曼 参数。

9、 一种无线节点入网方法， 其特征在于， 包括: 中继节点完成所述中继节点与施主基站之间的无线资源控制连接建立； 所述中继节点发送携带有所述中继节点的证书和所述中继节点的参数的 附着请求消息至集成有归属用户服务器的移动管理实体， 以使所述移动管理 实体根据所述中继节点的证书对所述中继节点进行认证；

所述中继节点接收所述移动管理实体发送的携带有移动管理实体的证书 和所述移动管理实体的参数的非接入层消息， 并根据所述移动管理实体的证 书对所述移动管理实体进行认证；

若所述中继节点和所述移动管理实体认证成功， 则根据所述中继节点的 参数和所述移动管理实体的参数计算共享密钥；

基于所述共享密钥， 与所述移动管理实体进行非接入层安全模式控制， 并与所述施主基站进行接入层安全模式控制， 建立与所述施主基站之间的无 线承载。

10、 根据权利要求 9所述的方法， 其特征在于， 所述共享密钥为基础密 钥 K或 4艮密钥 KASME;

当所述共享密钥为基础密钥 K时， 在所述与所述移动管理实体进行非接 入层安全模式控制之前， 还包括： 基于所述基础密钥 K, 与移动管理实体进 行认证与密钥协商。

11、 根据权利要求 9所述的方法， 其特征在于，

若所述移动管理实体发送的移动管理实体的证书为证书的标识信息， 则 所述根据所述移动管理实体的证书对所述移动管理实体进行认证之前， 还包 括： 根据所述证书的标识信息向证书中心获取所述证书的内容；

所述根据所述移动管理实体的证书对所述移动管理实体进行认证， 包括： 根据从所述证书中心获取的所述证书的内容， 对所述移动管理实体进行认证。

12、 根据权利要求 9、 10或 11所述的方法， 其特征在于， 所述参数为迪 菲-赫尔曼参数。

13、 一种中继节点， 其特征在于， 包括： 连接建立模块， 用于完成中继节点与施主基站之间的无线资源控制连接 建立；

发送模块， 用于发送携带有所述中继节点的证书和所述中继节点的参数 的附着请求消息至集成有归属用户服务器的移动管理实体， 以使所述移动管 理实体根据所述中继节点的证书对所述中继节点进行认证；

接收认证模块， 用于接收所述移动管理实体发送的携带有移动管理实体 的证书和所述移动管理实体的参数的非接入层消息， 并根据所述移动管理实 体的证书对所述移动管理实体进行认证；

计算模块， 用于若所述中继节点和所述移动管理实体认证成功， 则根据 所述中继节点的参数和所述接收模块接收的所述移动管理实体的参数计算共 享密钥；

承载建立模块， 用于基于所述计算模块计算得到的所述共享密钥， 与所 述移动管理实体进行非接入层安全模式控制， 并与所述施主基站进行接入层 安全模式控制， 建立与所述施主基站之间的无线承载。

14、 根据权利要求 13所述的节点， 其特征在于， 所述参数为迪菲 -赫尔 曼参数。

15、 一种无线节点入网系统， 其特征在于， 包括： 集成有归属用户服务 器的移动管理实体、 施主基站和如权利要求 8所述的中继节点，

所述集成有归属用户服务器的移动管理实体， 用于接收所述中继节点发 送的所述中继节点的证书和所述中继节点的参数， 并发送移动管理实体的证 书和所述移动管理实体的参数至所述中继节点； 根据所述中继节点的参数和 所述移动管理实体的参数计算所述共享密钥； 根据所述共享密钥计算得到的 非接入层密钥， 与所述中继节点进行非接入层安全模式控制；

所述施主基站， 用于获取所述集成有归属用户服务器的移动管理实体基 于所述共享密钥计算的接入层密钥， 根据所述接入层密钥， 与所述中继节点 进行接入层安全模式控制。

16、 根据权利要求 15所述的系统， 其特征在于， 所述参数为迪菲 -赫尔 曼参数。