[发明专利]一种蜂窝移动通信网络的接入方法和系统

权利要求书

1.一种蜂窝移动通信网络的接入方法，其特征在于，该方法包括：

终端与基站完成测距过程后，与基站进行基本能力协商，基本能力协商过程完成后，基站与终端执行无线局域网鉴别与保密基础结构WAPI接入认证过程；接入认证过程完成后，终端执行后续的接入流程，接入到蜂窝移动通信网络；

所述WAPI接入认证过程包括：

终端向基站发送接入鉴别请求分组，该接入鉴别请求分组中包含：终端的证书及终端的签名；

接收到接入鉴别请求分组后，基站对终端的签名进行认证，签名认证成功后，基站将终端的证书包含在证书鉴别请求分组中发送给鉴别服务器进行验证；

终端的证书验证成功后，基站向终端发送接入鉴别响应分组，并与终端协商得到单播会话密钥。

2.如权利要求1所述的方法，其特征在于，

所述证书鉴别请求分组中还包含基站的证书；

鉴别服务器还对所述基站的证书进行验证，并将证书验证结果和鉴别服务器的签名通过基站发送给终端；

终端根据证书验证结果和鉴别服务器的签名判断对基站的证书是否验证成功。

3.如权利要求1所述的方法，其特征在于，

发送所述接入鉴别请求分组前，终端还生成用于椭圆曲线密码体制的戴菲-赫曼ECDH交换的临时公钥px和临时私钥sx，并将所述px包含在所述接入鉴别请求分组中发送给基站；

对所述终端的证书验证成功后，基站还生成用于ECDH交换的临时私钥sy和临时公钥py，使用所述px和sy进行ECDH计算，生成基密钥BK，并将所述py包含在所述接入鉴别响应分组中发送给终端；

终端接收到所述接入鉴别响应分组后，使用所述py和sx进行ECDH计算，生成基密钥BK；

终端和基站使用所述基密钥BK协商得到所述单播会话密钥。

4.如权利要求1所述的方法，其特征在于，

终端和基站采用如下方式进行所述基本能力协商：

终端向基站发送基本能力请求消息，该消息中包含终端是否支持WAPI接入认证的信息；

基站根据基本能力请求消息中包含的所述信息判断是否启动与终端的所述WAPI接入认证过程。

5.如权利要求1所述的方法，其特征在于，

基站与终端采用如下方式协商单播会话密钥：

基站生成随机数N₁和用于ECDH交换的临时私钥sy和临时公钥py，并向终端发送单播密钥协商请求分组，该单播密钥协商请求分组中包含所述N₁和py；

接收到所述单播密钥协商请求分组后，终端生成随机数N₂和用于ECDH交换的临时私钥sx和临时公钥px，对py和sx进行ECDH计算，得到基密钥BK，使用基密钥BK、所述N₁和N₂生成所述单播会话密钥；

终端向基站发送单播密钥协商响应分组，该单播密钥协商响应分组中包含所述N₂和px；

接收到所述单播密钥协商响应分组后，基站对px和sy进行ECDH计算，得到基密钥BK，使用基密钥BK、所述N₁和N₂生成所述单播会话密钥。

6.一种蜂窝移动通信网络的接入系统，该系统包含：终端、基站；其特征在于，该系统中还包含鉴别服务器；其中：

所述基站用于在与所述终端完成测距过程后，与所述终端进行基本能力协商；

基本能力协商过程完成后，所述基站还用于接收所述终端发送的接入鉴别请求分组，该接入鉴别请求分组中包含：终端的证书及终端的签名；

接收到接入鉴别请求分组后，所述基站还用于对所述终端的签名进行认证，签名认证成功后，将终端的证书包含在证书鉴别请求分组中发送给所述鉴别服务器进行验证；

终端的证书验证成功后，所述基站还向终端发送接入鉴别响应分组，并与终端协商得到单播会话密钥；

单播会话密钥协商完成后，所述基站还与终端交互，完成后续的接入流程，使终端接入到蜂窝移动通信网络。

7.如权利要求6所述的系统，其特征在于，

所述证书鉴别请求分组中还包含基站的证书；

所述鉴别服务器还用于对所述基站的证书进行验证，并将证书验证结果和鉴别服务器的签名通过所述基站发送给终端。