(19)中华人民共和国国家知识产权局*CN102595403A*(12)发明专利申请(10)申请公布号CN102595403A(43)申请公布日2012.07.18(21)申请号201110008247.4(22)申请日2011.01.14(71)申请人中兴通讯股份有限公司地址518057广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法务部(72)发明人和峰(74)专利代理机构北京派特恩知识产权代理事务所(普通合伙)11270代理人王黎延迟姗(51)Int.Cl.H04W12/06(2009.01)H04W88/04(2009.01)权利要求书权利要求书2页2页说明书说明书99页页附图附图33页(54)发明名称绑定中继节点的认证方法及装置(57)摘要本发明公开了一种绑定中继节点的认证方法，包括：在DeNB和RN之间发起密钥协商认证；根据协商认证结果建立共享的对称设备密钥；所述MME以及所述RN分别根据所述对称设备密钥和系统安全密钥生成新的系统安全密钥；利用所述新的系统安全密钥派生新的接入层和/或非接入层安全保护密钥，对网络侧与RN之间的通信业务数据进行加密和完整性保护。本发明同时公开了一种实现上述方法的绑定中继节点的认证装置。本发明加强了对RN身份合法性的保护，RN需要通过网络侧的合法认证，才能接入到通信系统中参与通信，杜绝了非法RN的接入，保证了网络侧与RN之间通信的安全性。CN1025943ACN102595403A权利要求书1/2页1.一种绑定中继节点的认证方法，其特征在于，所述方法包括：在施主基站DeNB和中继节点RN之间发起密钥协商认证；根据协商认证的密钥建立共享的对称设备密钥；所述MME以及所述RN分别根据所述对称设备密钥和系统安全密钥生成新的系统安全密钥；利用所述新的系统安全密钥派生新的接入层和/或非接入层安全保护密钥，对网络侧与RN之间的通信业务数据进行加密和完整性保护。2.根据权利要求1所述方法，其特征在于，所述密钥协商认证通过下述方式实现：因特网密钥交换IKE协议流程，或传输层安全TLS握手协议流程，或安全套接层SSL协议流程，或可扩展认证协议EAP流程，或EAP-TLS认证流程。3.根据权利要求1所述方法，其特征在于，所述对称设备密钥由所述DeNB建立，并发送给所述MME；或者，所述DeNB将密钥协商认证的密钥发送给所述MME，由所述MME建立共享的对称设备密钥。4.根据权利要求1或3所述方法，其特征在于，所述DeNB通过S1口信令将密钥协商认证的密钥或所述对称设备密钥发送给所述MME。5.根据权利要求1或3所述方法，其特征在于，所述根据协商认证结果建立共享的对称设备密钥具体为：将密钥协商认证的密钥直接作为所述对称设备密钥；或者，将由密钥协商认证的密钥中的部分密文生成的密钥作为所述对称设备密钥；或者，将根据密钥协商认证的密钥，以设定算法重新派生的密钥作为所述对称设备密钥。6.根据权利要求2所述方法，其特征在于，所述密钥协商认证为基于对称密钥的密钥协商认证；或者，所述密钥协商认证为基于公钥体制的密钥协商认证。7.根据权利要求1所述方法，其特征在于，所述根据所述对称设备密钥和系统安全密钥生成新的系统安全密钥具体为：利用所述对称设备密钥和所述系统安全密钥作为输入，按设定算法重新生成新的密钥；其中，所述设定算法为所述系统安全密钥生成过程中所使用的密钥派生函数KDF，或为伪随机函数，或为单向函数。8.根据权利要求1或7所述方法，其特征在于，所述系统安全密钥为以下密钥的至少一种：中间密钥KASME，加密密钥CK和完整性密钥IK，基站密钥KeNB。9.一种绑定中继节点的认证装置，所述中继系统中包括MME、DeNB和RN，其特征在于，所述装置包括认证单元、建立单元、发送单元、生成单元和加密单元，其中，认证单元，用于在DeNB和RN之间发起密钥协商认证；建立单元，位于DeNB或MME中，用于根据协商认证的密钥建立共享的对称设备密钥；发送单元，位于DeNB中，用于将所述对称设备密钥或所述认证单元密钥协商认证的密钥发送给MME；生成单元，位于MME以及RN中，用于根据所述对称设备密钥和系统安全密钥生成新的2CN102595403A权利要求书2/2页系统安全密钥；加密单元，用于利用所述新的系统安全密钥派生新的接入层和/或非接入层安全保护密钥，对网络侧与RN之间的通信业务数据进行加密和完整性保护。10.根据权利要求9所述装置，其特征在于，所述认证单元进行的密钥协商认证通过下述方式实现：因特网密钥交换IKE协议流程，或传输层安全TLS握手协议流程，或安全套接层SSL协议流程，或可扩展认证协议EAP流程，或者EAP-TLS认证流程。11.根据权利要求9所述装置，其特征在于，所述发送单元，用于通过S1口信令将所述认证单元密钥协商认