CN115348583B - 一种高速移动场景下的通信方法及*** - Google Patents
一种高速移动场景下的通信方法及*** Download PDFInfo
- Publication number
- CN115348583B CN115348583B CN202211274147.0A CN202211274147A CN115348583B CN 115348583 B CN115348583 B CN 115348583B CN 202211274147 A CN202211274147 A CN 202211274147A CN 115348583 B CN115348583 B CN 115348583B
- Authority
- CN
- China
- Prior art keywords
- authentication
- relay node
- access node
- node
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 230000006854 communication Effects 0.000 title claims abstract description 40
- 238000004891 communication Methods 0.000 title claims abstract description 37
- 230000004044 response Effects 0.000 claims description 82
- 238000012790 confirmation Methods 0.000 claims description 5
- 230000002457 bidirectional effect Effects 0.000 abstract description 7
- 230000008569 process Effects 0.000 abstract description 6
- 238000004846 x-ray emission Methods 0.000 description 8
- 238000005538 encapsulation Methods 0.000 description 5
- 230000007774 longterm Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000010949 in-process test method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 229910052739 hydrogen Inorganic materials 0.000 description 1
- 239000001257 hydrogen Substances 0.000 description 1
- 125000004435 hydrogen atom Chemical class [H]* 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例公开了一种高速移动场景下的通信方法,应用于通信安全领域,在该方法中,用户设备与认证服务器进行双向认证;用户设备对中继节点进行认证;中继节点与认证服务器进行双向认证;在完成认证的过程中,中继节点和用户设备协商出第一会话密钥,中继节点和第一接入节点协商出第二会话密钥,通过第一会话密钥和第二会话密钥进行通信,从而保障了中继节点与第一接入节点之间,中继节点与用户设备之间的通信安全。
Description
技术领域
本申请涉及通信安全领域,尤其涉及一种高速移动场景下的通信方法及***。
背景技术
高速移动场景下的通信方法中进行切换认证具有频繁且短时间内需要大量并行执行的特点。
对于高速移动场景,现有技术中提出了基于轨迹预测的组到路由切换认证方案、组预切换认证方案等,这些方案在面对重放攻击、可关联性攻击等攻击时难以保障通信过程中的安全。
发明内容
本申请实施例提供了一种高速移动场景下的通信方法及***,可以保障通信过程中的安全。
本申请第一方面提供了一种高速移动场景下的通信方法,包括:
用户设备通过中继节点和第一接入节点接收认证服务器发送的第一认证向量,并根据所述第一认证向量对所述认证服务器进行认证;
所述认证服务器通过所述中继节点和所述第一接入节点接收所述用户设备发送的第一认证响应,并根据所述第一认证响应对所述用户设备进行认证;
所述中继节点通过所述第一接入节点接收所述认证服务器发送的第二认证向量,并根据所述第二认证向量对所述认证服务器进行认证;
所述认证服务器通过所述第一接入节点接收所述中继节点发送的第二认证响应,并根据所述第二认证响应对所述中继节点进行认证;
所述用户设备接收所述中继节点发送的消息认证码,并根据所述消息认证码对所述中继节点进行认证;
当所述用户设备对所述中继节点认证通过后,所述用户设备计算所述用户设备与所述中继节点的第一会话密钥;当所述认证服务器对所述用户设备和所述中继节点认证通过后,所述中继节点计算所述中继节点与所述用户设备的第一会话密钥,其中,所述第一会话密钥用于所述用户设备与所述中继节点进行通信;
当所述中继节点对所述认证服务器认证通过后,所述中继节点计算所述中继节点与所述第一接入节点的第二会话密钥,当所述认证服务器对所述用户设备和所述中继节点认证通过后,所述认证服务器计算所述中继节点与所述第一接入节点的第二会话密钥,并向所述第一接入节点发送所述第二会话密钥,其中,所述第二会话密钥用于所述中继节点与所述第一接入节点进行通信。
可选的,所述方法,还包括:
所述中继节点通过所述第一接入节点接收所述认证服务器发送的切换请求响应,并根据所述切换请求响应计算所述中继节点与第二接入节点的第三会话密钥,所述第三会话密钥用于当所述用户设备从所述第一接入节点的服务区域切换到所述第二接入节点的服务区域时,所述中继节点与所述第二接入节点进行通信。
可选的,所述用户设备通过中继节点和第一接入节点接收认证服务器发送的第一认证向量,并根据所述第一认证向量对所述认证服务器进行认证,包括:
所述用户设备通过所述中继节点和所述第一接入节点向所述认证服务器发送第一用户隐藏标识符和所述认证服务器的第一标识符;
所述认证服务器计算第一认证向量,并向所述第一接入节点发送所述第一认证向量;
所述第一接入节点通过所述中继节点向所述用户设备发送第一加密随机数和第一认证令牌;所述用户设备根据所述第一加密随机数和所述第一认证令牌对所述认证服务器进行认证。
可选的,所述中继节点通过所述第一接入节点接收所述认证服务器发送的第二认证向量,并根据所述第二认证向量对所述认证服务器进行认证,包括:
所述中继节点向所述第一接入节点发送第二用户隐藏标识符和所述认证服务器的第一标识符;
所述第一接入节点根据所述第一标识符向所述认证服务器发送认证请求;
所述认证服务器计算第二认证向量,并向所述第一接入节点发送所述第二认证向量;
所述第一接入节点向所述中继节点发送第二加密随机数和第二认证令牌;
所述中继节点根据所述第二加密随机数和所述第二认证令牌对所述认证服务器进行认证。
可选的,所述方法,还包括:
当所述第一接入节点接收到所述第一认证响应时,所述第一接入节点根据所述第一认证响应对所述用户设备进行认证;
若所述第一接入节点对所述用户设备认证通过,则所述第一接入节点向所述认证服务器发送所述第一认证响应;
当所述第一接入节点接收到所述第二认证响应时,所述第一接入节点根据所述第二认证响应对所述中继节点进行认证;
若所述第一接入节点对所述中继节点认证通过,则所述第一接入节点向所述认证服务器发送所述第二认证响应。
可选的,所述方法,还包括:
所述认证服务器对所述用户设备和所述中继节点认证通过后,则计算所述第一接入节点与所述中继节点之间的第二会话密钥,并向所述第一接入节点发送所述第二会话密钥和预存的所述中继节点的用户永久标识符;
所述第一接入节点根据所述第二会话密钥生成认证成功消息,并将所述认证成功消息发送给所述中继节点;
所述中继节点接收到所述认证成功消息后,则计算所述中继节点与所述用户设备的第一会话密钥。
可选的,所述中继节点通过所述第一接入节点接收所述认证服务器发送切换请求响应,并根据所述切换请求响应计算所述中继节点与第二接入节点第二接入节点的第三会话密钥,包括:
所述中继节点向所述第一接入节点发送切换请求消息,所述切换请求消息包括所述中继节点的用户永久标识符、临时标识符和所述认证服务器的第一标识符;
所述第一接入节点根据所述第一接入节点的第二标识符更新所述切换请求消息,并将更新后的切换请求消息发送给所述认证服务器,其中,所述更新后的切换请求消息包括所述用户永久标识符、所述临时标识符、所述第一标识符和所述第二标识符;
所述认证服务器根据所述切换请求消息选择所述第二接入节点,并计算所述中继节点和所述第二接入节点之间的第三会话密钥。
可选的,所述方法,还包括:
所述认证服务器根据所述切换请求消息对所述中继节点进行认证;
若所述认证服务器对所述中继节点完成认证,则所述认证服务器生成全球唯一临时标识;
所述认证服务器将所述全球唯一临时标识和所述第三会话密钥发送给所述第二接入节点;
所述第二接入节点将所述全球唯一临时标识和所述第三会话密钥进行存储,并向所述认证服务器发送密钥确认消息。
可选的,所述方法,还包括:
所述认证服务器通过所述第一接入节点向所述中继节点发送切换请求响应;
所述中继节点根据所述切换请求响应计算所述第三会话密钥;
当所述用户设备从所述第一接入节点的服务区域切换到所述第二接入节点的服务区域时,所述中继节点通过所述 第三会话密钥与所述第二接入节点进行通信。
本申请第二方面提供了一种高速移动场景下的通信***,所述***包括:用户设备、中继节点、第一接入节点和认证服务器;
所述用户设备,用于通过中继节点和第一接入节点接收认证服务器发送的第一认证向量,并根据所述第一认证向量对所述认证服务器进行认证;接收所述中继节点发送的消息认证码,并根据所述消息认证码对所述中继节点进行认证;当所述用户设备对所述中继节点认证通过后,所述用户设备计算所述用户设备与所述中继节点的第一会话密钥,所述第一会话密钥用于所述用户设备与所述中继节点进行通信;
所述中继节点,用于通过所述第一接入节点接收所述认证服务器发送的第二认证向量,并根据所述第二认证向量对所述认证服务器进行认证;当所述认证服务器对所述用户设备和所述中继节点认证通过后,计算所述中继节点与所述用户设备的第一会话密钥;当对所述认证服务器认证通过后,所述中继节点计算所述中继节点与所述第一接入节点的第二会话密钥,其中,所述第二会话密钥用于所述中继节点与所述第一接入节点进行通信;
所述认证服务器,用于通过所述中继节点和所述第一接入节点接收所述用户设备发送的第一认证响应,并根据所述第一认证响应对所述用户设备进行认证;通过所述第一接入节点接收所述中继节点发送的第二认证响应,并根据所述第二认证响应对所述中继节点进行认证;当所述用户设备和所述中继节点认证通过后,计算所述中继节点与所述第一接入节点的第二会话密钥,并向所述第一接入节点发送所述第二会话密钥。
本申请实施例记载了一种高速移动场景下的通信方法,在该方法中,用户设备与认证服务器进行双向认证;用户设备对中继节点进行认证;中继节点与认证服务器进行双向认证;当用户设备对中继节点认证通过后,用户设备计算用户设备与中继节点的第一会话密钥;当认证服务器对用户设备和中继节点认证通过后,中继节点计算所述中继节点与用户设备的第一会话密钥;当中继节点对认证服务器认证通过后,中继节点计算中继节点与第一接入节点的第二会话密钥,当认证服务器对用户设备和中继节点认证通过后,中继节点计算中继节点与第一接入节点的第二会话密钥,并向第一接入节点发送第二会话密钥。由此,本申请实施例在认证与密钥协商阶段,用户设备和中继节点分别与认证服务器实现双向认证,用户设备对中继节点进行认证。进而,中继节点和第一接入节点协商出第二会话密钥,中继节点和用户设备协商出第一会话密钥,第二会话密钥用于保证中继节点和第一接入节点之间的通信安全,第一会话密钥用于保证中继节点和用户设备之间的通信安全。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种示例性应用场景示意图;
图2为本申请实施例提供的一种高速移动场景下的通信方法的流程示意图;
图3为本申请实施例提供的一种高速移动场景下的切换方法的流程示意图;
图4为本申请实施例提供的一种高速移动场景下的通信***的结构示意图。
具体实施方式
本申请实施例提供了一种高速移动场景下的通信方法及***,可以保障通信过程中的安全。
可结合图1进行理解,图1为本申请实施例提供的一种示例性应用场景示意图。
如图1所示,用户设备(User Equipment,UE)是在高速移动场景下的如高速列车或飞机上有网络接入需求的用户设备,中继节点(Relay Node,RN)固定在火车或飞机上,帮助用户设备连接到地面网络,接入节点AP(Access Point,AP)是用户设备连接到核心网络的接入点,可以是地面基站或者卫星,认证服务器(Authentication Server,AS)是核心网络中的服务器,负责对用户设备进行认证。当高速移动场景下的用户设备UE从AP1的服务区域切换到AP2的服务区域时,需要在短时间内进行大量并行执行,并且高速移动带来的穿透损耗和多普勒频移也会导致网络链路质量恶化,进而导致切换时计算开销较大,对此,目前也提出了许多减少计算开销的方案,然而,这些方案在面对重放攻击、可关联性攻击时存在安全问题,难以在安全保障和低计算开销之间取得平衡。
参见图2,该图为本申请实施例提供的一种高速移动场景下的通信方法的流程示意图。
在本申请实施例中,用户设备UE通过中继节点RN和第一接入节点AP1接收认证服务器AS发送的第一认证向量,并根据第一认证向量对AS进行认证;AS通过RN和AP1接收UE发送的第一认证响应,并根据第一认证响应对UE进行认证;RN通过AP1接收AS发送的第二认证向量,并根据第二认证向量对AS进行认证;AS通过AP1接收RN发送的第二认证响应,并根据第二认证响应对RN进行认证。
具体的,UE通过RN和AP1向AS发送第一用户隐藏标识符SUCIUE和AS的第一标识符
IDAS;AS计算第一认证向量,并向AP1发送第一认证向量;AP1通过RN向UE发送第一加密随机
数RANDUE和第一认证令牌AUTNUE;UE根据RAND UE和AUTNUE对AS进行认证;
RN向AP1发送第二用户隐藏标识符SUCIRN、和AS的第一标识符IDAS;AP1根据IDAS向
AS发送认证请求;AS计算第二认证向量,并向AP1发送第二认证向量;AP1向RN发送第二加密
随机数RAND RN和第二认证令牌AUTNRN;RN根据RAND RN和AUTNRN对AS进行认证。
具体步骤如下:
S201:UE向RN发送UE的临时标识符GUTI和AS的第一标识符IDAS。
在本申请实施例中,UE采用公钥PKAS作为输入,使用密钥封装机制生成UE与AS之间的共享密钥kUE和第一密文参数C0,公式如下:
UE使用数据封装机制加密UE的第一用户永久标识符SUPIUE来获取第一用户隐藏标识符SUCIUE,其中,SUCIUE用于AS对UE进行认证,公式如下:
UE采用公钥PKRN作为输入,使用密钥封装机制生成UE与RN之间的共享密钥ks和第二密文参数C1,公式如下:
UE使用数据封装机制获取UE的临时标识符GUTI,公式如下:
其中,C1为第二密文参数UE,rs为由UE生成的随机数,SUCIUE为第一用户隐藏标识符;
UE将GUTI和AS的IDAS发送至RN。
S202:RN向AP1发送认证请求,该认证请求包括:第二用户隐藏标识符SUCIRN、第一用户隐藏标识符SUCIUE和IDAS。
在本申请实施例中,RN采用公钥PKAS作为输入,生成RN与AS之间的共享密钥kRN和第三密文参数CRN,公式如下:
RN使用数据封装机制加密RN的第二用户永久标识符SUPIRN来获取第二用户隐藏标识符SUCIRN,其中,SUCIRN用于AS对RN进行认证,公式如下:
对C1进行解密从而获取RN与UE之间的共享密钥ks,具体公式如下:
其中,skRN为RN的私钥。
其中,ks为RN与UE之间的共享密钥。
RN随后将SUCIRN、SUCIUE和IDAS发送给AP1。
S203:AP1向AS发送更新后的认证请求。
在本申请实施例中,AP1接收到RN发送的认证请求后,根据认证请求中的IDAS选择与UE对应的AS。AP1根据标识符IDAP1对认证请求进行更新,得到更新后的认证请求,并将该更新后的认证请求发送给AS,更新后的认证请求包括SUCIRN、SUCIUE、IDAS和IDAP1。
S204:AS计算第一认证向量AVUE和第二认证向量AVRN,并向AP1发送AVUE和AVRN。
在本申请实施例中,AS采用私钥skAS对接收到的SUCIRN和SUCIUE进行解密,分别获取AS与UE的共享密钥kUE,和AS与RN的共享密钥kRN,并根据获取的kUE和kRN进行解密,得到SUPIUE和SUPIRN。公式如下:
AS根据密钥推导函数f5分别生成第一匿名密钥AK1和第二匿名密钥AK2,公式如下:
AS根据消息认证函数f2分别生成第一预期响应XRESUE和第二预期响应XRESRN;根据消息认证函数f1分别生成第一消息验证码MACUE和第二消息验证码MACRN,公式如下:
AS采用共享密钥kUE和kRN分别对加密RANDUE以和RANDRN进行加密,得到加密后的和,并根据和XRESUE获取第一哈希预期响应HXRESUE,根据和XRESRN获取第二哈希预期响应HXRESRN,根据1、MACUE和生成AUTNUE;
根据2、MACRN和生成AUTNRN;公式如下:
AS将生成的AVUE和AVRN发送给AP1。
在本申请实施例中,RN首先基于共享密钥ks计算第三消息认证码MACUE-RN,公式如下:
然后检查MACRN是否满足如下等式:
随后,当RN对AS认证通过后,RN基于如下等式生成第二认证响应RESRN:
RN基于如下等式计算与AP1的第二会话密钥KAP1:
S207:UE对RN和AS进行身份认证,并向RN发送第一认证响应RESUE。
然后检查MACUE是否满足如下等式:
随后,当UE对AS认证通过后,UE基于如下等式生成第一认证响应RESUE:
UE向RN发送认证响应消息,认证响应消息包括RESUE。
在本申请实施例中,UE通过检查MACUE-RN是否满足如下等式来认证RN:
若MACUE-RN满足等式,则判断UE对RN认证通过,UE根据如下等式来计算与RN的会话密钥KS-RN:
S208:RN根据RESRN对接收到的认证响应消息更新,并将更新后的认证响应消息发送给AP1,更新后的认证响应消息包括RESUE和RESRN。
S209:AP1对UE和RN进行认证,并将更新后的认证响应消息发送给AS。
AP1将HRESUE和HERSRN分别与预先存储的HXRESUE与HXRESRN进行对比,若HRESUE和HXRESUE一致,HERSRN和HXRESRN一致,则AP对UE和RN认证通过。然后,AP1将更新后的认证响应消息发送至AS以供进一步认证。
S210:AS对UE和RN进行认证,生成AP1与RN之间的第二会话密钥KAP1,并将KAP1和SUPIRN发送给AP1。
在本申请实施例中,AS将从AP1收到的RESUE和RESRN与先前生成的XRESUE与XRESRN进行对比。若RESUE和XRESUE,RESRN和XRESRN一致,则AS对UE和RN认证通过。
在本申请实施例中,AS基于如下等式生成AP与RN之间的会话密钥KAP1:
AS将KAP1和预先存储的SUPIRN一起发送给AP1。
S211:AP通过KAP1生成一个认证成功消息,并将该认证成功消息发送给RN。其中,KAP1作为AP1与RN通信的会话密钥。
S212:RN收到AP1发来的UE认证成功消息之后,根据如下等式生成与UE的会话密钥KS-RN:
本申请实施例记载了一种高速移动场景下的通信方法,在该方法中,在认证与密钥协商阶段,UE和RN分别与AS实现双向认证,UE与RN通过AS实现双向认证,进而,RN和AP1通过协商建立一个会话密钥KAP1,RN和UE通过协商建立一个会话密钥KS-RN,会话密钥KAP1用于保证RN和AP1之间的通信安全,会话密钥KS-RN用于保证RN和UE之间的通信信道的安全性。
参见图3,该图为本申请实施例提供的一种高速移动场景下的切换方法的流程示意图。
在本申请实施例中,RN通过AP1接收AS发送的切换请求响应,并根据切换请求响应计算RN与第二接入节点AP2的第三会话密钥KAP2,第三会话密钥KAP2用于当UE从AP1的服务区域切换到AP2的服务区域时,RN与AP2进行通信。
具体的,RN向AP1发送切换请求消息,切换请求消息包括RN的用户永久标识符
SUPIRN、临时标识符SUCI*和AS的第一标识符;所述AP1根据所述AP1的第二标识符更新所述切换请求消息,并将更新后的切换请求消息发送给所述AS,其中,所述更新
后的切换请求消息包括SUPIRN、SUCI*、和;AS根据切换请求消息选择AP2,并计算
RN和AP2之间的第三会话密钥KAP2。
具体的,AS根据切换请求消息对RN进行认证;若AS对RN完成认证,则AS生成全球唯一临时标识GUTI*;AS将GUTI*和KAP2发送给AP2;AP2将GUTI*和KAP2进行存储,并向AS发送密钥确认消息。AS通过AP1向RN发送切换请求响应;RN根据切换请求响应计算KAP2;当UE从AP1的服务区域切换到AP2的服务区域时,RN通过KAP2与AP2进行通信。
具体步骤如下:
S301:RN向AP1发送切换请求消息。
RN根据在认证阶段与AS建立的共享密钥kRN生成临时标识符SUCI*,公式如下:
RN通过函数f1生成消息认证码MAC,公式如下:
其中,k为RN与AS的长期共享密钥;SQNRN为RN预先生成的序列号。
RN使用密钥推导函数f5计算匿名密钥AK,并生成认证令牌AUTN,公式如下:
RN将切换请求消息发送给AP1,其中切换请求消息包括SUCI*、AUTN和IDAS。
S303:AS确定接入节点AP2,将GUTI*和KAP2发送给AP2。
在本申请实施例中,AS通过与RN的共享密钥kRN对SUCI*进行解密,得到SUPIRN和随机数rh,并基于随机数rh和与RN长期共享的密钥k生成AK,利用AK解析AUTN以获取SQNRN和MAC,公式如下:
AS对得到的SQNAS和MAC进行检查,判断MAC是否满足如下等式:
若MAC满足如下等式,且SQNRN新鲜,则判断AS对RN认证通过,则AS根据如下等式为RN生成一个新的临时标识符GUTI*:
AS选择一个新的接入点AP2,并根据如下等式计算出RN和AP2之间的会话密钥KAP2:
然后,AS将GUTI*和KAP2发送给AP2。
S304:AP2存储收到的GUTI*和KAP2,并向AS发送密钥确认信息。
S305:AS向AP1发送切换响应。
AS根据如下等式生成一个消息认证码MAC*:
其中,IDAP2为AP2的标识符。
AS根据如下公式建立AUNT*:
AS向AP1发送切换请求响应,其中,切换请求响应包括AUTN*和IDAP2。
S306:AP1将接收到的切换请求响应发送给RN。
S307:RN对接收到的AUTN*解析,得到SQNAS和MAC*,公式如下:
RN对得到的SQNAS和MAC*进行检查,判断MAC*是否满足如下等式:
若MAC满足如下等式,且SQNRN新鲜,则RN根据如下等式生成临时标识符GUTI*:
本申请实施例提供了一种高速移动场景下的切换方法,高速移动场景下,当UE在AP1的服务范围内,即将离开AP1的服务范围进入AP2的服务范围之前,RN在AP1和AS的帮助下提前与AP2协商出会话密钥。在认证与密钥协商阶段,UE已经与RN建立了会话密钥,RN作为UE与AP之间的中继节点,对于UE而言,RN承担了AP的角色,为UE提供网络服务。因此在切换阶段,在切换阶段可以将用户设备与接入节点解耦,实现用户设备的无缝切换在实现UE的无缝切换的同时,还极大地提高了切换效率。
基于以上实施例提供的方法,本申请实施例还提供了一种高速移动场景下的通信******,以下结合附图介绍该***。
参见图4,该图为本申请实施例提供的一种高速移动场景下的通信******的结构示意图。
本申请实施例高速移动场景下的通信******,包括:用户设备401、中继节点402、第一接入节点403、和认证服务器404。
用户设备401,用于通过中继节点RN和第一接入节点AP1接收认证服务器AS发送的第一认证向量,并根据第一认证向量对AS进行认证;接收RN发送的消息认证码,并根据消息认证码对RN进行认证;当UE对RN认证通过后,UE计算UE与RN的第一会话密钥,第一会话密钥用于UE与RN进行通信;
中继节点402,用于通过AP1接收AS发送的第二认证向量,并根据第二认证向量对AS进行认证;当AS对UE和所述RN认证通过后,计算RN与UE的第一会话密钥;当对AS认证通过后,RN计算RN与AP1的第二会话密钥,其中,第二会话密钥用于RN与AP1进行通信;
认证服务器404,用于通过RN和AP1接收UE发送的第一认证响应,并根据第一认证响应对UE进行认证;通过AP1接收RN发送的第二认证响应,并根据第二认证响应对RN进行认证;当UE和RN认证通过后,计算RN与AP1的第二会话密钥,并向AP1发送第二会话密钥。
在一种可能的实现方式中,中继节点403,具体用于:
通过AP1接收AS发送的切换请求响应,并根据切换请求响应计算RN与第二接入节点AP2的第三会话密钥,第三会话密钥用于当所UE从AP1的服务区域切换到AP2的服务区域时,RN与AP2进行通信。
在一种可能的实现方式中,
用户设备,具体用于通过RN和AP1向AS发送第一用户隐藏标识符SUCIUE和AS的第一标识符IDAS;
认证服务器404,具体用于计算第一认证向量,并向AP1发送第一认证向量;
在一种可能的实现方式中,
中继节点402,具体用于向AP1发送第二用户隐藏标识符SUCIRN和AS的第一标识符IDAS;
第一接入节点403,具体用于根据IDAS向AS发送认证请求;
认证服务器404,具体用于计算第二认证向量,并向AP1发送第二认证向量;
在一种可能的实现方式中,
第一接入节点403,具体用于当AP1接收到第一认证响应时,根据第一认证响应对UE进行认证;
若AP1对UE认证通过,则AP1向AS发送第一认证响应;
当AP1接收到第二认证响应时,AP1根据第二认证响应对RN进行认证;
若AP1对RN认证通过,则AP1向AS发送第二认证响应。
在一种可能的实现方式中,
认证服务器404,具体用于对UE和RN认证通过后,则计算AP1与RN之间的第二会话密钥,并向AP1发送第二会话密钥和预存的RN的用户永久标识符SUPIRN;
第一接入节点403,具体用于根据第二会话密钥生成认证成功消息,并将认证成功消息发送给RN;
中继节点402,具体用于接收到认证成功消息后,则计算RN与UE的第一会话密钥。
在一种可能的实现方式中,
认证服务器404,具体用于根据切换请求消息选择AP2,并计算RN和AP2之间的第三会话密钥。
在一种可能的实现方式中,
在一种可能的实现方式中,
认证服务器404,具体用于通过AP1向RN发送切换请求响应;
中继节点402,具体用于根据切换请求响应计算第三会话密钥;当UE从AP1的服务区域切换到AP2的服务区域时,RN通过第三会话密钥与AP2进行通信。
由于所述***是与以上方法实施例提供的一种高速移动场景下的通信方法对应的装置,所述***的各个单元的具体实现,均与以上方法实施例为同一构思,因此,关于所述***的各个单元的具体实现,可以参考以上方法实施例关于高速移动场景下的通信方法的描述部分,此处不再赘述。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,一些特征可以忽略,或不执行。
以上的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本发明的具体实施方式而已。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种高速移动场景下的通信方法,其特征在于,所述方法包括:
用户设备通过中继节点和第一接入节点接收认证服务器发送的第一认证向量,并根据所述第一认证向量对所述认证服务器进行认证;
所述认证服务器通过所述中继节点和所述第一接入节点接收所述用户设备发送的第一认证响应,并根据所述第一认证响应对所述用户设备进行认证;
所述中继节点通过所述第一接入节点接收所述认证服务器发送的第二认证向量,并根据所述第二认证向量对所述认证服务器进行认证;
所述认证服务器通过所述第一接入节点接收所述中继节点发送的第二认证响应,并根据所述第二认证响应对所述中继节点进行认证;
所述用户设备接收所述中继节点发送的消息认证码,并根据所述消息认证码对所述中继节点进行认证;
当所述用户设备对所述中继节点认证通过后,所述用户设备计算所述用户设备与所述中继节点的第一会话密钥;当所述认证服务器对所述用户设备和所述中继节点认证通过后,所述中继节点计算所述中继节点与所述用户设备的第一会话密钥,其中,所述第一会话密钥用于所述用户设备与所述中继节点进行通信;
当所述中继节点对所述认证服务器认证通过后,所述中继节点计算所述中继节点与所述第一接入节点的第二会话密钥,当所述认证服务器对所述用户设备和所述中继节点认证通过后,所述认证服务器计算所述中继节点与所述第一接入节点的第二会话密钥,并向所述第一接入节点发送所述第二会话密钥,其中,所述第二会话密钥用于所述中继节点与所述第一接入节点进行通信。
2.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
所述中继节点通过所述第一接入节点接收所述认证服务器发送的切换请求响应,并根据所述切换请求响应计算所述中继节点与第二接入节点的第三会话密钥,所述第三会话密钥用于当所述用户设备从所述第一接入节点的服务区域切换到所述第二接入节点的服务区域时,所述中继节点与所述第二接入节点进行通信。
3.根据权利要求1所述的方法,其特征在于,所述用户设备通过中继节点和第一接入节点接收认证服务器发送的第一认证向量,并根据所述第一认证向量对所述认证服务器进行认证,包括:
所述用户设备通过所述中继节点和所述第一接入节点向所述认证服务器发送第一用户隐藏标识符和所述认证服务器的第一标识符;
所述认证服务器计算第一认证向量,并向所述第一接入节点发送所述第一认证向量;
所述第一接入节点通过所述中继节点向所述用户设备发送第一加密随机数和第一认证令牌;所述用户设备根据所述第一加密随机数和所述第一认证令牌对所述认证服务器进行认证。
4.根据权利要求1所述的方法,其特征在于,所述中继节点通过所述第一接入节点接收所述认证服务器发送的第二认证向量,并根据所述第二认证向量对所述认证服务器进行认证,包括:
所述中继节点向所述第一接入节点发送第二用户隐藏标识符和所述认证服务器的第一标识符;
所述第一接入节点根据所述第一标识符向所述认证服务器发送认证请求;
所述认证服务器计算第二认证向量,并向所述第一接入节点发送所述第二认证向量;
所述第一接入节点向所述中继节点发送第二加密随机数和第二认证令牌;
所述中继节点根据所述第二加密随机数和所述第二认证令牌对所述认证服务器进行认证。
5.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
当所述第一接入节点接收到所述第一认证响应时,所述第一接入节点根据所述第一认证响应对所述用户设备进行认证;
若所述第一接入节点对所述用户设备认证通过,则所述第一接入节点向所述认证服务器发送所述第一认证响应;
当所述第一接入节点接收到所述第二认证响应时,所述第一接入节点根据所述第二认证响应对所述中继节点进行认证;
若所述第一接入节点对所述中继节点认证通过,则所述第一接入节点向所述认证服务器发送所述第二认证响应。
6.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
所述认证服务器对所述用户设备和所述中继节点认证通过后,则计算所述第一接入节点与所述中继节点之间的第二会话密钥,并向所述第一接入节点发送所述第二会话密钥和预存的所述中继节点的用户永久标识符;
所述第一接入节点根据所述第二会话密钥生成认证成功消息,并将所述认证成功消息发送给所述中继节点;
所述中继节点接收到所述认证成功消息后,则计算所述中继节点与所述用户设备的第一会话密钥。
7.根据权利要求2所述的方法,其特征在于,所述中继节点通过所述第一接入节点接收所述认证服务器发送切换请求响应,并根据所述切换请求响应计算所述中继节点与第二接入节点第二接入节点的第三会话密钥,包括:
所述中继节点向所述第一接入节点发送切换请求消息,所述切换请求消息包括所述中继节点的用户永久标识符、临时标识符和所述认证服务器的第一标识符;
所述第一接入节点根据所述第一接入节点的第二标识符更新所述切换请求消息,并将更新后的切换请求消息发送给所述认证服务器,其中,所述更新后的切换请求消息包括所述用户永久标识符、所述临时标识符、所述第一标识符和所述第二标识符;
所述认证服务器根据所述切换请求消息选择所述第二接入节点,并计算所述中继节点和所述第二接入节点之间的第三会话密钥。
8.根据权利要求7所述的方法,其特征在于,所述方法,还包括:
所述认证服务器根据所述切换请求消息对所述中继节点进行认证;
若所述认证服务器对所述中继节点完成认证,则所述认证服务器生成全球唯一临时标识;
所述认证服务器将所述全球唯一临时标识和所述第三会话密钥发送给所述第二接入节点;
所述第二接入节点将所述全球唯一临时标识和所述第三会话密钥进行存储,并向所述认证服务器发送密钥确认消息。
9.根据权利要求8所述的方法,其特征在于,所述方法,还包括:
所述认证服务器通过所述第一接入节点向所述中继节点发送切换请求响应;
所述中继节点根据所述切换请求响应计算所述第三会话密钥;
当所述用户设备从所述第一接入节点的服务区域切换到所述第二接入节点的服务区域时,所述中继节点通过所述第三会话密钥 与所述第二接入节点进行通信。
10.一种高速移动场景下的通信***,其特征在于,所述***包括:用户设备、中继节点、第一接入节点和认证服务器;
所述用户设备,用于通过中继节点和第一接入节点接收认证服务器发送的第一认证向量,并根据所述第一认证向量对所述认证服务器进行认证;接收所述中继节点发送的消息认证码,并根据所述消息认证码对所述中继节点进行认证;当所述用户设备对所述中继节点认证通过后,所述用户设备计算所述用户设备与所述中继节点的第一会话密钥,所述第一会话密钥用于所述用户设备与所述中继节点进行通信;
所述中继节点,用于通过所述第一接入节点接收所述认证服务器发送的第二认证向量,并根据所述第二认证向量对所述认证服务器进行认证;当所述认证服务器对所述用户设备和所述中继节点认证通过后,计算所述中继节点与所述用户设备的第一会话密钥;当对所述认证服务器认证通过后,所述中继节点计算所述中继节点与所述第一接入节点的第二会话密钥,其中,所述第二会话密钥用于所述中继节点与所述第一接入节点进行通信;
所述认证服务器,用于通过所述中继节点和所述第一接入节点接收所述用户设备发送的第一认证响应,并根据所述第一认证响应对所述用户设备进行认证;通过所述第一接入节点接收所述中继节点发送的第二认证响应,并根据所述第二认证响应对所述中继节点进行认证;当所述用户设备和所述中继节点认证通过后,计算所述中继节点与所述第一接入节点的第二会话密钥,并向所述第一接入节点发送所述第二会话密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211274147.0A CN115348583B (zh) | 2022-10-18 | 2022-10-18 | 一种高速移动场景下的通信方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211274147.0A CN115348583B (zh) | 2022-10-18 | 2022-10-18 | 一种高速移动场景下的通信方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115348583A CN115348583A (zh) | 2022-11-15 |
CN115348583B true CN115348583B (zh) | 2023-01-03 |
Family
ID=83957457
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211274147.0A Active CN115348583B (zh) | 2022-10-18 | 2022-10-18 | 一种高速移动场景下的通信方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115348583B (zh) |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040213237A1 (en) * | 2000-06-29 | 2004-10-28 | Toshikazu Yasue | Network authentication apparatus and network authentication system |
EP2448170A4 (en) * | 2009-06-23 | 2015-06-24 | Panasonic Ip Man Co Ltd | CLEF-CRYPTOGRAM DISTRIBUTION SYSTEM |
US8904167B2 (en) * | 2010-01-22 | 2014-12-02 | Qualcomm Incorporated | Method and apparatus for securing wireless relay nodes |
CN102143489A (zh) * | 2010-02-01 | 2011-08-03 | 华为技术有限公司 | 中继节点的认证方法、装置及*** |
CN102158860B (zh) * | 2010-02-12 | 2014-05-21 | 华为技术有限公司 | 无线节点入网方法、***及中继节点 |
ES2509816T3 (es) * | 2011-08-05 | 2014-10-20 | Selex Es S.P.A. | Sistema para la distribución de claves criptográficas |
JP5944184B2 (ja) * | 2012-02-29 | 2016-07-05 | 株式会社東芝 | 情報通知装置、方法、プログラム及びシステム |
JP6545966B2 (ja) * | 2015-01-27 | 2019-07-17 | ルネサスエレクトロニクス株式会社 | 中継装置、端末装置および通信方法 |
CN107579826B (zh) * | 2016-07-04 | 2022-07-22 | 华为技术有限公司 | 一种网络认证方法、中转节点及相关*** |
CN106961682B (zh) * | 2017-03-28 | 2019-10-22 | 西安电子科技大学 | 一种基于移动中继的群到路径移动切换认证方法 |
CN109068325B (zh) * | 2018-10-29 | 2021-04-16 | 南京邮电大学 | 一种基于无线传感器网络的密钥管理和身份认证方法 |
CN111447616B (zh) * | 2020-03-26 | 2021-04-13 | 西南交通大学 | 一种面向lte-r移动中继的组认证及密钥协商方法 |
-
2022
- 2022-10-18 CN CN202211274147.0A patent/CN115348583B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN115348583A (zh) | 2022-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107800539B (zh) | 认证方法、认证装置和认证*** | |
CN101232376B (zh) | 用于无线移动网络认证的***和方法 | |
KR100896365B1 (ko) | 모바일 디바이스 인증 방법 및 장치 | |
RU2444861C2 (ru) | Защищенная беспроводная связь | |
CN101500229B (zh) | 建立安全关联的方法和通信网络*** | |
JP4712094B2 (ja) | リレーステーションの保安提供方法 | |
JP5225459B2 (ja) | トラフィック暗号化キーの派生方法 | |
JP5597676B2 (ja) | 鍵マテリアルの交換 | |
US8533461B2 (en) | Wireless local area network terminal pre-authentication method and wireless local area network system | |
US8423772B2 (en) | Multi-hop wireless network system and authentication method thereof | |
CN101610241B (zh) | 一种绑定认证的方法、***和装置 | |
US20040236939A1 (en) | Wireless network handoff key | |
US20080046732A1 (en) | Ad-hoc network key management | |
CN107196920B (zh) | 一种面向无线通信***的密钥产生分配方法 | |
KR20070034060A (ko) | 통신 핸드오버 방법과 통신 메시지 처리 방법, 및 통신제어 방법 | |
CN104982053B (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
CN101500230A (zh) | 建立安全关联的方法和通信网络 | |
CN112235792B (zh) | 一种多类型终端接入与切换认证方法、***、设备及应用 | |
CN104683343B (zh) | 一种终端快速登录WiFi热点的方法 | |
CN103313242A (zh) | 密钥的验证方法及装置 | |
CN106714152A (zh) | 密钥分发和接收方法、第一密钥管理中心和第一网元 | |
CN101951590A (zh) | 认证方法、装置及*** | |
JP2000115161A (ja) | 移動体匿名性を保護する方法 | |
CN115348583B (zh) | 一种高速移动场景下的通信方法及*** | |
CN111526008B (zh) | 移动边缘计算架构下认证方法及无线通信*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |