[发明专利]一种移动通信系统的基站的安全接入方法

权利要求书

1.一种移动通信系统的基站的安全接入方法，包括步骤：

第一基站向该第一基站的邻居基站发送安全能力协商请求消息，所述安全能力协商请求消息包括所述第一基站支持的安全能力信息，所述安全能力信息包括安全协议信息、密码学算法套件信息；

所述邻居基站接收所述安全能力协商请求消息，判断该邻居基站支持的安全能力与所述第一基站支持的安全能力是否相匹配，若相匹配，向所述第一基站发送安全能力协商响应消息；

所述第一基站接收所述安全能力协商响应消息，启动接入身份鉴别过程、与所述邻居基站完成接入身份鉴别，协商出安全通道鉴别密钥；

所述第一基站、所述邻居基站分别通过所述安全通道鉴别密钥推导生成通道加密密钥、通道完整性密钥。

2.根据权利要求1所述的移动通信系统的基站的安全接入方法，其特征在于：所述邻居基站判断该邻居基站支持的安全能力是否与所述第一基站支持的安全能力相匹配的方式包括：

判断所述邻居基站支持的安全能力信息与所述第一基站支持的安全能力信息是否有交集，若有，则相匹配，若没有，则不相匹配。

3.根据权利要求1所述的移动通信系统的基站的安全接入方法，其特征在于：所述通过所述安全通道鉴别密钥推导生成通道加密密钥、通道完整性密钥的过程为不可逆操作。

4.根据权利要求1所述的移动通信系统的基站的安全接入方法，其特征在于：

所述第一基站为新接入所述移动通信系统的新基站，所述邻居基站为已接入所述移动通信系统的基站，所述第一基站通过点对点或者多播的方式向所述邻居基站发送所述安全能力协商请求消息；

在所述第一基站向所述邻居基站发送所述安全能力协商请求消息之前，还包括步骤：

所述第一基站查询该第一基站的各所述邻居基站。

5.根据权利要求1至3任意一项所述的移动通信系统的基站的安全接入方法，其特征在于：

所述第一基站为已接入所述移动通信系统的基站，所述邻居基站为新接入所述移动通信系统的新基站，所述第一基站通过点对点的方式向所述邻居基站发送所述安全能力协商请求消息。

6.根据权利要求1至4任意一项所述的移动通信系统的基站的安全接入方法，其特征在于，所述第一基站启动接入身份鉴别过程、与所述邻居基站完成接入身份鉴别的过程具体包括：

第一基站向邻居基站发送接入鉴别激活消息；

邻居基站接收接入鉴别激活消息，产生该邻居基站的第一新鲜性标识并予以储存，并根据该邻居基站的数字证书、该第一新鲜性标识生成接入鉴别请求消息，并附加该邻居基站的消息签名后向第一基站发送；

第一基站接收邻居基站发送的所述接入鉴别请求消息，产生该第一基站的第二新鲜性标识并予以储存，并根据第一基站的数字证书、邻居基站的数字证书、第一新鲜性标识、第二新鲜性标识组成证书鉴别请求消息，并在附加该第一基站的消息签名后向认证服务器发送；

认证服务器接收第一基站发送的上述证书鉴别请求消息，验证该第一基站的消息签名的有效性，验证第一基站的数字证书的有效性、邻居基站的数字证书的有效性，并根据验证结果以及第一新鲜性标识、第二新鲜性标识构建证书鉴别响应消息，并在附加认证服务器的消息签名后向第一基站发送；

第一基站接收认证服务器发送的所述证书鉴别响应消息，验证认证服务器的消息签名的有效性，判断所述证书鉴别响应消息中的第一新鲜性标识、第二新鲜性标识与所存储的第一新鲜性标识、第二新鲜性标识的一致性，根据所述证书鉴别响应消息构造接入鉴别响应消息，并在附加第一基站的消息签名后向邻居基站发送；

邻居基站接收第一基站发送的所述接入鉴别响应消息，验证第一基站的消息签名的有效性，并判断接入鉴别响应消息中的第一新鲜性标识是否与自身所存储的第一新鲜性标识相一致，构建接入鉴别确认消息，并将该接入鉴别确认消息向第一基站发送。

7.根据权利要求1至4任意一项所述的移动通信系统的基站的安全接入方法，其特征在于，所述第一基站启动接入身份鉴别过程、与所述邻居基站完成接入身份鉴别、并协商出安全通道鉴别密钥的方式包括：

采用一种因特网加密和认证体系RSA认证的方式完成所述第一基站与所述邻居基站之间的身份鉴别；认证完成后，所述第一基站与所述邻居基站得到共享的主鉴别密钥；

所述第一基站与所述邻居基站分别采用相同的方式根据所述主密钥推导生成所述安全通道鉴别密钥。