[发明专利]用于保护无线中继节点安全以及进行认证的方法和装置

说明书

背景

根据35U.S.C.§119的优先权要求

本专利申请要求于2010年1月22日提交且被转让给本申请受让人并因而被明确援引纳入于此的题为“Methods and Apparatus for a Securing Wireless Relays(用于保护无线中继安全的方法和装置)”的美国临时申请No.61/297649的优先权。

领域

一个或更多个特征涉及通信设备的安全性，尤其涉及用于使用户装备无线地接口到通信网络的中继节点的安全性。

背景

第三代合作伙伴项目3GPP是已加入此项目的电信协会群组间的协作，其目的是定义基于演进全球移动通信系统(GSM)规范并且涵盖无线电、核心网络和服务架构的全球适用的第三代(3G)移动电话系统规范(例如，在国际电信联盟(ITU)的国际移动电信-2000项目的范围内)。在3GPP内的若干其他标准当中，长期演进(LTE)是移动网络技术领域内的标准。

在LTE顺应性网络的演进中，中继节点正在被部署以帮助扩展对用户装备的网络覆盖并增大蜂窝小区边缘带宽。不同于诸如演进B节点(eNB))、移动性管理实体(MME)等之类在运营商控制的物理位置的控制下工作的其他网络设备，中继节点趋向于更靠近用户装备地放置在物理上更易访问或受攻击的位置并且更独立地工作。因此，中继节点易于受到不存在于诸如eNB或MME之类的其他网络设备中的某些新的安全性威胁和攻击(例如，中间人攻击、中继节点假冒攻击等)。

概述

提供了一种在中继节点中操作的方法。中继节点可配置为通过在第一接入节点与第一移动节点之间中继话务来在第一接入节点与第一移动节点之间操作。中继节点的第一通信接口可适配成与第一接入节点通信，此中继节点对第一接入节点表现为第二移动节点。中继节点的第二通信接口可适配成与第一移动节点通信，此中继节点对第一移动节点表现为第二接入节点。中继节点可发送设备认证消息以使得能对此中继节点进行设备认证。类似地，中继节点可发送订户认证消息以使得能对此中继节点进行订户认证，其中设备认证被绑定到订户认证以确定此中继节点是否能在通信网络上获得通信服务。一旦订户认证和设备认证成功，中继节点即可获得对通信网络的接入。例如，一旦订户认证和设备认证成功，中继节点即可接收到准予接入通信网络的服务准予消息。替换地，一旦订户认证或设备认证不成功，中继节点即可接收到拒绝接入通信网络的服务拒绝消息。设备认证消息和订户认证消息可作为单个认证消息被并发地发送。第一通信接口可实现与第二通信接口不同的越空(over-the-air)通信协议。可使用设备标识符或设备密钥中的至少一者来执行设备认证，此设备标识符或设备密钥对于中继节点是唯一性的并存储于该中继节点内安全的、不可移除的存储设备中。设备标识符可以是用于中继节点、中继节点内的接入节点模块、或中继节点内的移动节点模块的国际移动设备身份(IMEI)中的至少一者。第一通信接口可以是适配成作为长期演进顺应性网络的增强型B节点来操作的移动接入模块的部分。第一通信接口可以是中继节点的移动节点模块的部分，而第二通信接口是中继节点的接入节点模块的部分。订户认证可随后较设备认证更频繁地重复。订户认证中使用的订户标识符或密钥可与设备类型预先关联，并且仅当设备认证标识出相同的设备类型时订户认证才成功。

另外，中继节点可配置为将第一通信接口上接收的第一分组类型的话务转译为第二分组类型以供在第二通信接口上传输。类似地，中继节点可配置为将第二通信接口上接收的第二分组类型的话务转译为第一分组类型以供在第一通信接口上传输。即，中继节点可配置为将第一通信接口与第二通信接口之间的数据话务传输从第一信号类型转译到第二信号类型。

还提供了一种在网络认证实体中操作的方法。可由该认证实体接收设备认证消息，此设备认证消息由在第一移动节点与第一接入节点间操作的中继节点始发。然后该认证实体可基于与中继节点、中继节点的接入节点模块、或中继节点的移动节点模块相关联的一个或更多个设备标识符或密钥来执行设备认证。订户认证消息也可在认证实体处被接收，该订户认证消息由中继节点始发。然后认证实体可基于与中继节点相关联的一个或更多个订户标识符或密钥来执行订户认证。一旦订户认证和设备认证成功，则即可发送准予中继节点接入通信网络的消息。替换地，一旦订户认证或设备认证不成功，则可发送拒绝中继节点接入通信网络的消息。订户认证中使用的订户标识符或密钥可与设备类型预先关联，并且仅当设备认证标识出相同的设备类型时订户认证才成功。设备认证消息和订户认证消息可作为单个认证消息被并发地接收。