專利名稱:安全通信方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域��,具體而言�,涉及安全通信方法���。 背景技術(shù):
近年來�,隨著通信技術(shù)的不斷進(jìn)步,通信產(chǎn)業(yè)發(fā)展迅速���。無線技術(shù)目前蓬勃發(fā)展����, 頻譜資源非常寶貴�。為了充分利用有限的頻譜資源,國際電聯(lián)專門劃出免許可的頻段(LE Band)�。在不影響其他設(shè)備正常工作的前提下,LE設(shè)備可以任意占用該頻段�����。網(wǎng)絡(luò)中各個(gè)LE設(shè)備����,其位置、占用的資源��、發(fā)射功率等參數(shù)都不是事先規(guī)劃和配置好的�,都是由設(shè)備本身自主地去適應(yīng)所處環(huán)境,自主工作�。LE設(shè)備工作在LE頻段��,需要適應(yīng)所處環(huán)境,即能檢測到干擾和避開干擾��,或與干擾源協(xié)商���。因此LE設(shè)備需要和其他LE設(shè)備協(xié)商如何分享該頻段����,這就牽涉到LE設(shè)備之間的信令通信�。而兩個(gè)LE設(shè)備事先并不知道對方的地址,這需要其中的一方把自己的地址廣播出去����,對方接收到之后即可建議通信。因?yàn)樾枰M(jìn)行資源協(xié)商的兩個(gè)設(shè)備是資源發(fā)生沖突的設(shè)備���,它們的覆蓋范圍存在重疊��。通過共同覆蓋區(qū)域內(nèi)的終端�,兩個(gè)LE設(shè)備可以通過無線的方式進(jìn)行地址廣播�。在獲得對方的地址之后,可以切換到有線的方式進(jìn)行后續(xù)的協(xié)商工作�。這里說的地址,通常就是IP地址����。事實(shí)上��,需要協(xié)商資源的兩個(gè)設(shè)備通常屬于兩個(gè)不同的運(yùn)營商或兩個(gè)沒有信任關(guān)系的網(wǎng)絡(luò)���,并且基站的業(yè)務(wù)IP地址在空口中廣播會帶來很大的潛在危險(xiǎn)。如有惡意設(shè)備截獲到LE基站的IP地址���,就可以假裝需要協(xié)商資源����,或者對LE基站進(jìn)行攻擊使基站癱瘓����。下面以一個(gè)新啟動的基站IBS為例,與另外一個(gè)已正常工作的基站OBS需要協(xié)商空口資源�,另外,某些地區(qū)的部分頻段的使用非排他性的許可權(quán)授權(quán)�����,也就是說你在獲得該頻段的許可權(quán)的同時(shí)�,其他人也可以在你不知情的情況下獲取使用該頻段的權(quán)利。還有一種情況,雖然是某個(gè)企業(yè)或運(yùn)營商獲得了某區(qū)域的某頻段的獨(dú)享權(quán)�,但是其沒有手段或者不愿意利用先規(guī)劃后布點(diǎn)的方式布設(shè)和設(shè)置站點(diǎn),而希望各個(gè)設(shè)備之間靈活根據(jù)所處的空口資源實(shí)際占用情況動態(tài)的協(xié)商資源分配���。為了描述方便,將以上三種情況下的設(shè)備/基站通稱為LE設(shè)備/基站或共存性基站����。網(wǎng)絡(luò)中各個(gè)LE設(shè)備,其位置���、占用的資源�、發(fā)射功率等參數(shù)都不是事先規(guī)劃和配置好的�����,都是由設(shè)備本身自主地去適應(yīng)所處環(huán)境�,在允許范圍內(nèi)自主進(jìn)行資源的選擇和與其他LE設(shè)備的協(xié)商分配工作。在LE網(wǎng)絡(luò)中��,為使得各設(shè)備正常工作或最優(yōu)地工作����,常常需要在設(shè)備之間進(jìn)行資源的協(xié)商。本發(fā)明旨在提供一種安全實(shí)用的LE設(shè)備通信方式����,從而確保LE設(shè)備不受攻擊���, 持續(xù)正常工作。LE基站之間需要通信的一種常見情況是����,IBS啟動后掃描不到空閑的頻段,它需要與OBS鄰站進(jìn)行協(xié)商共享頻譜的利用�。由于沒有可靠的無線方式供需要協(xié)商的基站之間進(jìn)行協(xié)商信息交互,IBS與OBS之間的通信協(xié)商過程主要采用有線方式����,但這必須建立在 IBS或OBS已知對方的有線聯(lián)系方式基礎(chǔ)上的。由于LE設(shè)備的頻譜��、位置�、發(fā)射功率、覆蓋范圍等工作參數(shù)并不是事先規(guī)劃的�����,它們的啟動��、退出都帶有很大的隨機(jī)性。所以正常工作的OBS基站不可能知道周圍會有哪些基站將會啟動�����,新啟動的IBS基站也不知道周圍已經(jīng)存在哪些OBS鄰站�����。通過向空口廣播����, IBS可以在其干擾到的范圍內(nèi)發(fā)送自己的聯(lián)絡(luò)信息���,這樣收到信息的終端就可以向其所屬的OBS基站上報(bào)這些信息�,以供OBS發(fā)起與IBS之間的后續(xù)聯(lián)絡(luò)����。總之����,LE設(shè)備之間需要通過某種方式公開自己且獲得對方的聯(lián)系方法,公開的方法可以是多樣的�����。比如當(dāng)覆蓋范圍存在重疊時(shí)可以通過共同覆蓋區(qū)域內(nèi)的將聯(lián)系信息廣播給對方的終端利用其中轉(zhuǎn)到對方基站的聯(lián)系方法,或者通過周知的區(qū)域服務(wù)器根據(jù)位置等信息查找對方及其聯(lián)系方法等等���。在獲得對方的聯(lián)系方法之后��,可以切換到有線的方式進(jìn)行后續(xù)的協(xié)商工作���。需要共存性協(xié)商的LE基站之間直接通過空口或公用服務(wù)器等手段公開并獲取相關(guān)LE基站的網(wǎng)絡(luò)地址,并利用公開的網(wǎng)絡(luò)地址開始聯(lián)絡(luò)��。這里說的地址���,通常就是網(wǎng)絡(luò)地址(如IP地址)�����。事實(shí)上��,需要協(xié)商資源的設(shè)備往往屬于不同的運(yùn)營商或相互沒有信任關(guān)系的網(wǎng)絡(luò)����,基站的業(yè)務(wù)IP地址的直接公開會帶來很大的潛在危險(xiǎn)��。如果惡意攻擊者獲取了無線基站的業(yè)務(wù)IP地址,就可以對基站的網(wǎng)絡(luò)端口直接發(fā)起各種攻擊��。圖1示出了相關(guān)技術(shù)中LE基站之間獲取網(wǎng)絡(luò)地址并進(jìn)行通信的示意圖���。開始啟動的基站(Initializing Base Station�,縮寫為IBS)在空口中廣播其IP地址����。受干擾的終端則將接收到的IP地址上傳到自己所屬的已正常工作的基站(Operating Base Station, 縮寫為0BS),OBS根據(jù)上報(bào)的IP地址直接從有線網(wǎng)發(fā)起聯(lián)絡(luò)請求�����,在IBS收到請求并反饋消息給OBS后�,后續(xù)的通信機(jī)制就建立起來了���。如上所述���,IBS基站將地址在空口中廣播, 也就是將IBS自己的網(wǎng)絡(luò)地址公開��,容易受到攻擊���。因此��,需要一種能夠保證LE基站之間的通信安全的技術(shù)���。
發(fā)明內(nèi)容
本發(fā)明旨在提供基本上克服了由于現(xiàn)有技術(shù)的局限和缺陷而造成的一個(gè)或多個(gè)問題的安全通信方法�。為了實(shí)現(xiàn)上述目的��,本發(fā)明提供了一種通信方法���,用于實(shí)現(xiàn)至少第一基站和第二基站之間的安全通信�����,所述第一基站包括至少一個(gè)第一代理服務(wù)器���,包括以下步驟S202, 所述第一基站向所述第二基站發(fā)送第一消息�����,所述第一消息包括所述第一代理服務(wù)器的第一網(wǎng)絡(luò)地址和所述第一基站的第一基站標(biāo)識�;以及S204,所述第二基站響應(yīng)于所述第一消息����,根據(jù)所述第一基站標(biāo)識�����,向所述第一基站發(fā)送聯(lián)絡(luò)請求消息���,所述第一基站響應(yīng)于所述聯(lián)絡(luò)請求消息向所述第二基站發(fā)送應(yīng)答消息,從而實(shí)現(xiàn)與所述第二基站的安全通信���。在所述步驟S204���,當(dāng)所述第二基站收到所述第一消息時(shí),進(jìn)行以下步驟S208�,所述第二基站按照所述第一網(wǎng)絡(luò)地址向所述第一代理服務(wù)發(fā)送請求消息����;S210,所述第一代理服務(wù)器將來自所述第二基站的所述請求消息轉(zhuǎn)發(fā)給所述第一基站�����;S212�,所述第一基站響應(yīng)于所述第一代理服務(wù)器轉(zhuǎn)發(fā)的所述請求消息�����,向所述第一代理服務(wù)器發(fā)送應(yīng)答消息�����; 以及S214�,所述第一代理服務(wù)器將所述第一基站發(fā)送的所述應(yīng)答消息轉(zhuǎn)發(fā)給所述第二基
在所述步驟S204�,所述第二基站按照第一條件判斷判斷所述第一基站是否可信, 如果可信��,則進(jìn)行以下步驟S206���,向所述第一基站發(fā)送聯(lián)絡(luò)請求消息����,所述第一基站響應(yīng)于所述聯(lián)絡(luò)請求消息向所述第二基站發(fā)送應(yīng)答消息�,從而實(shí)現(xiàn)與所述第二基站的安全通在所述步驟S204,所述第二基站按照所述第一條件判斷所述第一基站是否可信���, 如果不可信��,則進(jìn)行以下步驟S208���,所述第二基站按照所述第一網(wǎng)絡(luò)地址向所述第一代理服務(wù)發(fā)送請求消息�;S210�����,所述第一代理服務(wù)器將來自所述第二基站的所述請求消息轉(zhuǎn)發(fā)給所述第一基站����;S212,所述第一基站響應(yīng)于所述第一代理服務(wù)器轉(zhuǎn)發(fā)的所述請求消息�����,向所述第一代理服務(wù)器發(fā)送應(yīng)答消息�;以及S214,所述第一代理服務(wù)器將所述第一基站發(fā)送的所述應(yīng)答消息轉(zhuǎn)發(fā)給所述第二基站���。在上述技術(shù)方案中��,所述第二基站包括至少一個(gè)第二代理服務(wù)器,所述第二基站通過所述第二代理服務(wù)器與所述第一基站或所述第一代理服務(wù)器建立通信連接�����。所述第一基站和所述第二基站是無線基站。所述第一網(wǎng)絡(luò)地址是所述第一代理服務(wù)器的IP地址�����。所述基站標(biāo)識是可唯一指示所述第一基站的任何標(biāo)識�,包括以下至少之一基站標(biāo)識符、基站的MAC地址��、以及代理服務(wù)器的端口號�。所述第一條件包括以下至少之一所述第一基站和所述第二基站彼此已知各自的網(wǎng)絡(luò)地址、彼此已知是同一運(yùn)營商的基站�、已知共用同一代理服務(wù)器、已知對方加密公鑰且簽名正確�����、以及手工配置的規(guī)則��。所述第一基站無線廣播所述第一消息��,通過有線連接接收所述聯(lián)絡(luò)請求消息����。在上述方法中,進(jìn)一步包括以下步驟S906,所述第一基站判斷所述聯(lián)絡(luò)請求消息是否直接來自第二基站�,如果是,則進(jìn)行至步驟S908���,如果不是��,則進(jìn)行至步驟S910 ����;S908, 所述第一基站直接向所述第二基站發(fā)送反饋消息�,從而與所述第二基站建立安全連接; S910,判斷所述聯(lián)絡(luò)請求消息是否來自所述第一代理服務(wù)器�����,如果是����,則進(jìn)行至步驟S912, 如果不是���,則進(jìn)行至步驟S914;S912�����,所述第一基站通過所述第一代理服務(wù)器向所述第二基站發(fā)送反饋消息�,從而與所述第二基站建立安全連接�;以及S914,所述第一基站將所述聯(lián)絡(luò)請求消息判斷為非法聯(lián)絡(luò)請求�,并將其丟棄。在上述方法中���,進(jìn)一步包括以下步驟S1002����,所述第二基站接收來自所述第一基站的上報(bào)消息�����;S1004���,所述第二基站提取所述上報(bào)消息中的代理服務(wù)器的網(wǎng)絡(luò)地址和所述第一基站的基站標(biāo)識���;S1006,所述第二基站判斷所述第一基站是否是與所述第二基站相互信任的基站�����,如果是,則進(jìn)行步驟S1008和步驟S1010�����,如果不是����,則進(jìn)行步驟S1012和步驟 S1014;S1008,所述第二基站向所述第一基站的網(wǎng)絡(luò)地址或者所述第一代理服務(wù)器直接發(fā)送聯(lián)絡(luò)請求消息��;S1010���,所述第二基站接收來自所述第一基站或者所述第一代理服務(wù)器的反饋消息���,與所述第一基站取得直接聯(lián)系;S1012�,所述第二基站通過其本身的第二代理服務(wù)器向所述第一基站的第一代理服務(wù)器發(fā)送聯(lián)絡(luò)請求消息;以及S1014��,所述第二基站通過所述第二代理服務(wù)器接收來自所述第一基站的反饋消息���,與所述第一基站取得聯(lián)系��。所述第一消息進(jìn)一步包括實(shí)時(shí)密鑰����。所述實(shí)時(shí)密鑰是所述第一基站實(shí)時(shí)產(chǎn)生的隨機(jī)數(shù)據(jù),具有一定的有效期�。所述聯(lián)絡(luò)請求消息包括所述實(shí)時(shí)密鑰�����,如果所述實(shí)時(shí)密鑰已經(jīng)過期�����,則所述第一基站丟棄所述聯(lián)絡(luò)請求消息����。所述第一基站的網(wǎng)絡(luò)地址與所述第一基站標(biāo)識形成唯一映射關(guān)系,所述第二基站的網(wǎng)絡(luò)地址與所述第二基站標(biāo)識形成唯一映射關(guān)系����。因?yàn)榛疽休d業(yè)務(wù),所以基站的IP地址必須是相對固定的���。而與每個(gè)基站相連的共存性代理只用于代理收發(fā)共存性信令��,所以其IP地址更改配置的影響較小且可以相互備份���。而且共存性代理需要處理的信息并不頻繁����,所需帶寬很小���,受到攻擊后癱瘓的可能性較小�,RTK機(jī)制更進(jìn)一步限制了非法信令的帶寬���。共存性代理功能簡單成本低���,便于采用多個(gè)代理備份以提高可靠性。在本發(fā)明中����,基站的網(wǎng)絡(luò)地址用途僅限制于信任的范圍內(nèi),而不會在空口和整個(gè)網(wǎng)絡(luò)內(nèi)公開���,使其在有線網(wǎng)絡(luò)受到攻擊的可能性大大降低����。通過上述技術(shù)方案��,本發(fā)明實(shí)現(xiàn)了如下技術(shù)效果1.因?yàn)榛咀陨淼木W(wǎng)絡(luò)接口要承載大量的數(shù)據(jù)業(yè)務(wù)和相關(guān)控制,其IP地址的改變會帶來很多不良影響���。而與每個(gè)基站相連的共存性代理只用于代理收發(fā)共存性信令��,所以其網(wǎng)絡(luò)地址更改配置不影響基站的主業(yè)務(wù)����,并且多代理之間可以相互備份��。同時(shí)共存性代理需要處理的信息較少�,所需帶寬不大�,受到攻擊后癱瘓的可能性較小。共存性代理功能簡單成本低�,便于采用多個(gè)代理備份以提高可靠性;2.在本發(fā)明中�,基站的網(wǎng)絡(luò)地址僅限制在信任的范圍內(nèi),不會在公共網(wǎng)絡(luò)內(nèi)公開�����, 使其在有線網(wǎng)絡(luò)受到攻擊的可能性降低�;以及3.在單個(gè)代理收到攻擊癱瘓時(shí),可以通過更改代理IP地址或啟用備份代理的方式繼續(xù)和LE設(shè)備間的聯(lián)系而不對基站自身的業(yè)務(wù)網(wǎng)絡(luò)產(chǎn)生不良影響��。
此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解,構(gòu)成本申請的一部分��,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明���,并不構(gòu)成對本發(fā)明的不當(dāng)限定�。在附圖中圖1示出了相關(guān)技術(shù)中LE基站之間獲取網(wǎng)絡(luò)地址并進(jìn)行通信的消息交互流程圖�;圖2示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的通信方法的流程圖;圖3示出了與圖2所示的通信方法對應(yīng)的消息交互流程圖����;圖4示出了根據(jù)本發(fā)明的另一個(gè)實(shí)施例的通信方法的流程圖;圖5示出了根據(jù)本發(fā)明的再一個(gè)實(shí)施例的通信方法的流程圖�;圖6示出了根據(jù)本發(fā)明的又一實(shí)施例的通信方法的消息交互流程圖;圖7示出了根據(jù)本發(fā)明的再一實(shí)施例的通信方法的消息交互流程圖��;圖8示出了根據(jù)本發(fā)明的再一實(shí)施例的通信方法的消息交互流程圖�;圖9示出了 IBS在上述通信方法中的流程示意圖;以及圖10示出了 OBS在上述通信方法中的流程示意圖����。
具體實(shí)施例方式現(xiàn)在將參考附圖詳細(xì)說明本發(fā)明。在本發(fā)明中���,IBS不廣播基站自身業(yè)務(wù)所用的網(wǎng)絡(luò)地址���,而是廣播其共存性代理的地址和自身的基站標(biāo)識�����。這里的基站標(biāo)識是可以唯一指示到本基站的任何標(biāo)記�,例如可以是固定分配的基站標(biāo)識符���,也可以是基站的MAC地址�����, 甚至是代理的端口號等。
圖2示出了根據(jù)本發(fā)明的一個(gè)實(shí)施例的通信方法的流程圖���。該通信方法���,用于實(shí)現(xiàn)至少第一基站和第二基站之間的安全通信,所述第一基站包括至少一個(gè)第一代理服務(wù)器����,其包括以下步驟S202,所述第一基站向所述第二基站發(fā)送第一消息���,所述第一消息包括所述第一代理服務(wù)器的第一網(wǎng)絡(luò)地址和所述第一基站的第一基站標(biāo)識��;以及S204��,所述第二基站響應(yīng)于所述第一消息���,根據(jù)所述第一基站標(biāo)識�,向所述第一基站發(fā)送聯(lián)絡(luò)請求消息��,所述第一基站響應(yīng)于所述聯(lián)絡(luò)請求消息向所述第二基站發(fā)送應(yīng)答消息���,從而實(shí)現(xiàn)與所述第二基站的安全通信�。圖3示出了與圖2所示的通信方法對應(yīng)的消息交互流程圖��。IBS利用無線空口���,向 OBS發(fā)送IBS的代理服務(wù)器(也稱為代理)Pl的網(wǎng)絡(luò)地址和IBS的基站標(biāo)識����。如果OBS判斷IBS是與OBS相互信任的基站��,則向IBS發(fā)送聯(lián)絡(luò)請求信息。IBS響應(yīng)于聯(lián)絡(luò)請求信息向 OBS發(fā)送應(yīng)答信息��。圖4示出了根據(jù)本發(fā)明的另一個(gè)實(shí)施例的通信方法的流程圖�。該通信方法包括以下步驟S402,所述第一基站向所述第二基站發(fā)送第一消息��,所述第一消息包括所述第一代理服務(wù)器的第一網(wǎng)絡(luò)地址和所述第一基站的第一基站標(biāo)識���;S404�����,當(dāng)所述第二基站收到所述第一消息時(shí)���,所述第二基站按照所述第一網(wǎng)絡(luò)地址向所述第一代理服務(wù)發(fā)送請求消息;S406���,所述第一代理服務(wù)器將來自所述第二基站的所述請求消息轉(zhuǎn)發(fā)給所述第一基站; S408����,所述第一基站響應(yīng)于所述第一代理服務(wù)器轉(zhuǎn)發(fā)的所述請求消息,向所述第一代理服務(wù)器發(fā)送應(yīng)答消息���;以及S410�,所述第一代理服務(wù)器將所述第一基站發(fā)送的所述應(yīng)答消息轉(zhuǎn)發(fā)給所述第二基站。圖5示出了根據(jù)本發(fā)明的再一個(gè)實(shí)施例的通信方法的流程圖�����。該通信方法用于實(shí)現(xiàn)至少第一基站和第二基站之間的安全通信��,第一基站包括至少一個(gè)第一代理服務(wù)器�����,第二基站包括至少一個(gè)第二代理服務(wù)器�����,該方法包括以下步驟S202�����,第一基站向第二基站發(fā)送第一消息���,第一消息包括所述第一代理服務(wù)器的第一網(wǎng)絡(luò)地址和第一基站的第一基站標(biāo)識���;S204,第二基站響應(yīng)于所述第一消息,根據(jù)第一基站標(biāo)識�,按照第一條件判斷所述第一基站是否可信,如果可信����,則進(jìn)行至步驟S206 ;以及S206��,第二基站向第一基站發(fā)送聯(lián)絡(luò)請求消息�,第一基站響應(yīng)于聯(lián)絡(luò)請求消息向第二基站發(fā)送應(yīng)答消息,從而實(shí)現(xiàn)與第二基站的安全通信����。所述第一條件包括以下至少之一所述第一基站和所述第二基站彼此已知各自的網(wǎng)絡(luò)地址、彼此已知是同一運(yùn)營商的基站�、已知共用同一代理服務(wù)器、已知對方加密公鑰且簽名正確�����、以及手工配置的規(guī)則��。所述基站標(biāo)識是可唯一指示所述第一基站的任何標(biāo)識�����,包括以下至少之一基站標(biāo)識符��、基站的MAC地址��、以及代理服務(wù)器的端口號��。根據(jù)另一實(shí)施例���,在步驟S204����,所述第二基站響應(yīng)于所述第一消息�����,根據(jù)所述第一基站標(biāo)識�,按照所述第一條件判斷所述第一基站是否可信,如果不可信����,則進(jìn)行以下步驟S208,所述第二基站按照所述第一網(wǎng)絡(luò)地址向所述第一代理服務(wù)發(fā)送請求消息��;S210��,所述第一代理服務(wù)器將來自所述第二基站的所述請求消息轉(zhuǎn)發(fā)給所述第一基站;S212��,所述第一基站響應(yīng)于所述第一代理服務(wù)器轉(zhuǎn)發(fā)的所述請求消息��,向所述第一代理服務(wù)器發(fā)送應(yīng)答消息���;以及
S214���,所述第一代理服務(wù)器將所述第一基站發(fā)送的所述應(yīng)答消息轉(zhuǎn)發(fā)給所述第二基站。在上述方法中����,第一基站是IBS,第二基站是0BS���。圖6示出了根據(jù)本發(fā)明的又一實(shí)施例的通信方法的消息交互流程圖�����。即相互信任的IBS和OBS可直接進(jìn)行消息交互����。當(dāng)OBS接收到的消息中���,標(biāo)識的基站是本站的信任基站��,并且在本站可查到IBS的網(wǎng)絡(luò)地址���,則OBS將相應(yīng)的請求會話消息直接發(fā)往IBS。由此 IBS和OBS直接進(jìn)行會話聯(lián)絡(luò)�。與圖3示出的消息交互流程圖不同的是,IBS具有代理P1��, IBS利用無線空口���,向OBS發(fā)送IBS的代理Pl的網(wǎng)絡(luò)地址和IBS的基站標(biāo)識�����。如果OBS判斷IBS不是與OBS相互信任的基站�,則向IBS的代理Pl發(fā)送請求信息��,代理Pl將請求消息轉(zhuǎn)發(fā)給IBS�。IBS響應(yīng)于請求消息,向代理Pl發(fā)送應(yīng)答消息��,代理Pl向OBS轉(zhuǎn)發(fā)應(yīng)答消息����。圖7示出了根據(jù)本發(fā)明的再一實(shí)施例的通信方法的消息交互流程圖����。IBS廣播其共存性代理的地址和自身的基站標(biāo)識���。這里的基站標(biāo)識是可以唯一指示到本基站的任何標(biāo)記��,例如可以是固定分配的基站標(biāo)識符����,也可以是基站的MAC地址�����,甚至是代理的端口號等����。而收到該信息的OBS在判斷該IBS為非相互信任的基站時(shí)將只通過自己的代理向 IBS的代理發(fā)起向IBS的通信;(以下可選)當(dāng)OBS判斷發(fā)現(xiàn)IBS為完全信任的基站并在數(shù)據(jù)庫中含有對方基站的網(wǎng)絡(luò)地址時(shí)(同一運(yùn)營商或其他統(tǒng)一配置的情況)�,可選擇由本基站直接和對方基站進(jìn)行通信,或由本基站與對方基站的代理進(jìn)行通信��。相互信任的基站是一組統(tǒng)一管理的基站����,預(yù)先記錄了對方的標(biāo)識和網(wǎng)絡(luò)地址�,例如同一運(yùn)營商下屬的各基站可以相互信任���。OBS通過IBS的基站標(biāo)識識別是否是與本站相互信任并且可查得對方的網(wǎng)絡(luò)地址。該共存性代理信息在IBS空口初始化前完成配置�, 共存性代理和基站本身是相互信任的,在本方案中代理將IBS的基站網(wǎng)絡(luò)地址保密��,對外協(xié)商只以代理的網(wǎng)絡(luò)地址和基站的標(biāo)識出現(xiàn)��,基站標(biāo)識在代理處與基站的網(wǎng)絡(luò)地址唯一映射����。當(dāng)OBS接收到的消息中,標(biāo)識的基站不是本站的信任基站���,或者在本站查不到IBS 的網(wǎng)絡(luò)地址��,則OBS將相應(yīng)的請求會話消息�����,附加自己的基站標(biāo)識��,IBS的標(biāo)識及其代理Pl 的地址���,轉(zhuǎn)發(fā)給自己的代理P2�����。P2根據(jù)代理Pl的地址與Pl進(jìn)行會話轉(zhuǎn)發(fā)���,Pl將從P2接收到的消息根據(jù)IBS的標(biāo)識轉(zhuǎn)發(fā)給IBS。IBS做出響應(yīng)后�����,再由其代理Pl轉(zhuǎn)發(fā)給P2�����,P2再轉(zhuǎn)發(fā)回給0BS�����。依此順序�����,IBS與OBS即可完成所需的會話聯(lián)絡(luò)。當(dāng)OBS判斷出該IBS是本基站可信任的基站��,并且本基站可以根據(jù)基站標(biāo)識查出 IBS的地址����,則上述通信過程可簡化成下圖所示的過程,即不通過代理兩基站直接進(jìn)行聯(lián)圖8示出了根據(jù)本發(fā)明的再一實(shí)施例的通信方法的消息交互流程圖���。這是在上述實(shí)施例的基礎(chǔ)上,增加了 RTK(Real Time Key�����,實(shí)時(shí)密鑰)來判斷消息響應(yīng)的及時(shí)性�。通過廣播代理的地址可以排除惡意設(shè)備偽裝協(xié)商資源。此外�����,如果在空口上廣播的消息發(fā)生泄漏����,IBS的代理Pl還有可能遭受大流量的攻擊。為增強(qiáng)代理的抗攻擊能力, 可以在IBS的無線廣播消息中增加一個(gè)實(shí)時(shí)密鑰RTK�����。RTK是由IBS實(shí)時(shí)產(chǎn)生的隨機(jī)數(shù)據(jù)����, 每個(gè)RTK只有一段時(shí)間的有效期。因?yàn)槠潆S機(jī)性和實(shí)效性��,惡意設(shè)備難以模擬�����,以此來判斷 OBS的響應(yīng)是否非法��。
首先IBS進(jìn)行無線廣播的同時(shí)���,也將該RTK傳遞給其代理Pl����,由Pl維護(hù)其有效性�。 OBS反饋回來的聯(lián)絡(luò)請求也需要把該值透傳回來。如果IBS的代理Pl接收到聯(lián)絡(luò)請求中的 RTK是超時(shí)(過期)的RTK����,則認(rèn)為該請求非法�,進(jìn)行丟棄��。這樣��,IBS與OBS之間通過代理進(jìn)行聯(lián)絡(luò)的初始過程如下圖所示�,要求IBS的代理Pl對從P2轉(zhuǎn)發(fā)過來的請求消息按計(jì)時(shí)進(jìn)行過濾處理,丟棄超時(shí)的聯(lián)絡(luò)請求�����,其他過程同前述�����。圖9示出了 IBS在上述通信方法中的流程示意圖�����。IBS在發(fā)送出廣播消息后�,就在有線網(wǎng)絡(luò)上等待來自O(shè)BS響應(yīng)的聯(lián)絡(luò)請求�����。該聯(lián)絡(luò)請求可能會從已知基站接收到,也可能會從本地代理接收到�,IBS需要將本地響應(yīng)發(fā)往聯(lián)絡(luò)請求的來源處。而來自其他接口或設(shè)備的響應(yīng)被視為非法���,做丟棄處理��。具體流程如圖 9所示��,首先�,IBS通過空口發(fā)送自己的代理地址和基站標(biāo)識(S902)��;然后接收來自O(shè)BS的有線聯(lián)絡(luò)請求(S904)�;接著,判斷有線聯(lián)絡(luò)請求是否來自已知基站(S906)��;如果判斷結(jié)果是有線聯(lián)絡(luò)請求是來自已知基站�,則向該基站直接發(fā)送反饋信息(S908);如果判斷結(jié)果是有線聯(lián)絡(luò)請求不是來自已知基站�,則判斷有線聯(lián)絡(luò)請求是否來自代理(S910);如果判斷結(jié)果是有線聯(lián)絡(luò)請求是來自代理��,則通過代理發(fā)送反饋消息(S912)����;如果判斷結(jié)果是有線聯(lián)絡(luò)請求不是來自代理��,則將該有線聯(lián)絡(luò)請求判斷為非法聯(lián)絡(luò)請求��,并丟棄(S914)�。圖10示出了 OBS在上述通信方法中的流程示意圖���。OBS根據(jù)接收到的消息中所含的基站標(biāo)識是否是信任基站的標(biāo)識����,做不同的處理��。 當(dāng)基站通過其SS接收到轉(zhuǎn)發(fā)上報(bào)的消息之后����,檢測消息中所含的標(biāo)識所指示的基站是否是本基站可信任、且記錄了其網(wǎng)絡(luò)地址的基站���。如果是則本OBS基站直接通過該基站的網(wǎng)絡(luò)地址與該基站通信,或者本OBS基站直接通過消息中的IBS代理來發(fā)送與IBS聯(lián)絡(luò)請求�。 否則,本OBS基站只能借助自己的代理���,向IBS的代理發(fā)送與IBS的聯(lián)絡(luò)請求����。首先,OBS接收上報(bào)信息(S1002)��;然后��,OBS提取上報(bào)消息中的代理網(wǎng)絡(luò)地址和 IBS的基站標(biāo)識(S1004)����;接著,OBS判斷該IBS是否是與OBS相互信任的基站(S1006)���; 如果是�����,則向IBS的網(wǎng)絡(luò)地址或其代理直接發(fā)送聯(lián)絡(luò)請求信息(S1008)�,然后接收IBS直接的反饋信息與IBS取得直接聯(lián)系(S1010)��;如果不是�����,在通過自己的代理向IBS代理發(fā)送聯(lián)絡(luò)請求消息(S1012)����,然后���,通過代理接收IBS經(jīng)過代理的反饋信息與IBS正式取得聯(lián)系 (S1014)。因?yàn)榛疽休d業(yè)務(wù)���,所以基站的IP地址必須是相對固定的����。而與每個(gè)基站相連的共存性代理只用于代理收發(fā)共存性信令�,所以其IP地址更改配置的影響較小且可以相互備份。而且共存性代理需要處理的信息并不頻繁���,所需帶寬很小��,受到攻擊后癱瘓的可能性較小����,RTK機(jī)制更進(jìn)一步限制了非法信令的帶寬���。共存性代理功能簡單成本低����,便于采用多個(gè)代理備份以提高可靠性��。在本發(fā)明中�����,基站的網(wǎng)絡(luò)地址用途僅限制于信任的范圍內(nèi)�����,而不會在空口和整個(gè)網(wǎng)絡(luò)內(nèi)公開��,使其在有線網(wǎng)絡(luò)受到攻擊的可能性大大降低�。通過上述技術(shù)方案,本發(fā)明實(shí)現(xiàn)了如下技術(shù)效果1.因?yàn)榛咀陨淼木W(wǎng)絡(luò)接口要承載大量的數(shù)據(jù)業(yè)務(wù)和相關(guān)控制��,其IP地址的改變會帶來很多不良影響���。而與每個(gè)基站相連的共存性代理只用于代理收發(fā)共存性信令�����,所以其網(wǎng)絡(luò)地址更改配置不影響基站的主業(yè)務(wù)�,并且多代理之間可以相互備份�����。同時(shí)共存性代理需要處理的信息較少,所需帶寬不大�����,受到攻擊后癱瘓的可能性較小��。共存性代理功能簡單成本低����,便于采用多個(gè)代理備份以提高可靠性;2.在本發(fā)明中�����,基站的網(wǎng)絡(luò)地址僅限制在信任的范圍內(nèi)����,不會在公共網(wǎng)絡(luò)內(nèi)公開, 使其在有線網(wǎng)絡(luò)受到攻擊的可能性降低���;以及3.在單個(gè)代理收到攻擊癱瘓時(shí)�����,可以通過更改代理IP地址或啟用備份代理的方式繼續(xù)和LE設(shè)備間的聯(lián)系而不對基站自身的業(yè)務(wù)網(wǎng)絡(luò)產(chǎn)生不良影響����。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已��,并不用于限制本發(fā)明�,對于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化����。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改���、等同替換�����、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種通信方法�����,其特征在于,所述方法用于實(shí)現(xiàn)在免許可頻段的至少第一基站和第二基站之間的安全通信�����,包括所述第二基站接收所述第一基站發(fā)送的第一消息�,所述第一消息包括所述第一基站的第一基站標(biāo)識;所述第二基站向所述第一基站發(fā)送聯(lián)絡(luò)請求消息�,所述聯(lián)絡(luò)請求消息是由所述第二基站響應(yīng)于所述第一消息,根據(jù)所述第一基站標(biāo)識向所述第一基站發(fā)送的�;所述第二基站接收所述第一基站響應(yīng)于所述聯(lián)絡(luò)請求消息發(fā)送的應(yīng)答消息。
2.根據(jù)權(quán)利要求1所述的通信方法��,其特征在于���,所述第二基站包括至少一個(gè)第二代理服務(wù)器����,所述第二基站通過所述第二代理服務(wù)器與所述第一基站建立通信連接����。
3.根據(jù)權(quán)利要求1所述的通信方法,其特征在于����,所述第一消息還包括所述第一基站的至少一個(gè)第一代理服務(wù)器的第一網(wǎng)絡(luò)地址�����;所述第二基站向所述第一基站發(fā)送聯(lián)絡(luò)請求包括所述第二基站按照所述第一網(wǎng)絡(luò)地址向所述第一代理服務(wù)器發(fā)送所述聯(lián)絡(luò)請求消息��;所述聯(lián)絡(luò)請求消息由所述第一代理服務(wù)器轉(zhuǎn)發(fā)給所述第一基站;所述第二基站接收所述第一基站響應(yīng)于所述聯(lián)絡(luò)請求消息發(fā)送的應(yīng)答消息包括所述第二基站接收所述第一代理服務(wù)器發(fā)送的所述應(yīng)答消息���,所述應(yīng)答消息是由所述第一基站響應(yīng)于所述聯(lián)絡(luò)請求消息����,向所述第一代理服務(wù)器發(fā)送的���。
4.根據(jù)權(quán)利要求3所述的通信方法��,其特征在于�,所述第二基站包括至少一個(gè)第二代理服務(wù)器�����,所述第二基站通過所述第二代理服務(wù)器與所述第一代理服務(wù)器建立通信連接�。
5.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的通信方法�����,其特征在于�,所述第一基站和所述第二基站是無線基站�。
6.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的通信方法,其特征在于��,所述基站標(biāo)識是可唯一指示所述第一基站的任何標(biāo)識���,包括以下至少之一基站標(biāo)識符����、基站的MAC地址��、以及代理服務(wù)器的端口號���。
7.一種通信系統(tǒng)����,其特征在于�����,包括在免許可頻段的第一基站和第二基站;所述第一基站用于向所述第二基站發(fā)送第一消息�,所述第一消息包括所述第一基站的第一基站標(biāo)識;接收所述第二基站發(fā)送的聯(lián)絡(luò)請求消息���,以及響應(yīng)于所述聯(lián)絡(luò)請求消息向所述第二基站發(fā)送應(yīng)答消息�;所述第二基站用于接收所述第一基站發(fā)送的第一消息����,并響應(yīng)于所述第一消息,根據(jù)所述第一基站標(biāo)識向所述第一基站發(fā)送所述聯(lián)絡(luò)請求消息����;接收所述第一基站發(fā)送的所述應(yīng)答消息�。
8.根據(jù)權(quán)利要求7所述的通信系統(tǒng),其特征在于�����,所述第二基站包括至少一個(gè)第二代理服務(wù)器���,所述第二代理服務(wù)器用于所述第二基站與所述第一基站建立通信連接�。
9.根據(jù)權(quán)利要求7所述的通信系統(tǒng)��,其特征在于,所述第一消息還包括所述第一基站的至少第一代理服務(wù)器的第一網(wǎng)絡(luò)地址�����;所述第一基站用于接收所述第二基站發(fā)送的聯(lián)絡(luò)請求消息包括所述第一基站用于向所述第一代理服務(wù)器發(fā)送所述聯(lián)絡(luò)請求消息�,所述聯(lián)絡(luò)請求消息由所述第二基站根據(jù)所述第一網(wǎng)絡(luò)地址發(fā)送給所述第一代理服務(wù)器的;所述第二基站用于接收所述第一基站發(fā)送的所述應(yīng)答消息包括所述第二基站用于接收所述第一代理服務(wù)器發(fā)送的所述應(yīng)答消息�,所述應(yīng)答消息是由所述第一基站響應(yīng)于所述聯(lián)絡(luò)請求消息,向所述第一代理服務(wù)器發(fā)送的��。
10.根據(jù)權(quán)利要求9所述的通信系統(tǒng)���,其特征在于�����,所述第二基站包括至少一個(gè)第二代理服務(wù)器��,所述第二代理服務(wù)器用于所述第二基站與所述第一代理服務(wù)器建立通信連接����。
11.根據(jù)權(quán)利要求7-10中任一項(xiàng)所述的通信系統(tǒng)��,其特征在于�,所述第一基站和所述第二基站是無線基站����。
12.根據(jù)權(quán)利要求7至10中任一項(xiàng)所述的通信系統(tǒng)���,其特征在于�,所述基站標(biāo)識是可唯一指示所述第一基站的任何標(biāo)識�,包括以下至少之一基站標(biāo)識符、基站的MAC地址��、以及代理服務(wù)器的端口號��。
13.—種基站�����,其特征在于�,所述基站和第一基站在免許可頻段實(shí)現(xiàn)安全通信��,所述基站包括用于接收所述第一基站發(fā)送的第一消息的單元�,所述第一消息包括所述第一基站的第一基站標(biāo)識�����;用于向所述第一基站發(fā)送聯(lián)絡(luò)請求消息的單元��,所述聯(lián)絡(luò)請求消息是由所述第二基站響應(yīng)于所述第一消息����,根據(jù)所述第一基站標(biāo)識向所述第一基站發(fā)送的��;以及用于接收所述第一基站響應(yīng)于所述聯(lián)絡(luò)請求消息發(fā)送的應(yīng)答消息的單元�。
14.根據(jù)權(quán)利要求13所述的基站,其特征在于�,所述第一消息還包括所述第一基站的至少一個(gè)第一代理服務(wù)器的第一網(wǎng)絡(luò)地址;所述用于向所述第一基站發(fā)送鏈路請求消息的單元進(jìn)一步用于按照所述第一網(wǎng)絡(luò)地址向所述第一代理服務(wù)器發(fā)送所述聯(lián)絡(luò)請求消息���;所述聯(lián)絡(luò)請求消息由所述第一代理服務(wù)器轉(zhuǎn)發(fā)給所述第一基站����;所述用于接收所述第一基站響應(yīng)于所述聯(lián)絡(luò)請求消息發(fā)送的應(yīng)答消息的單元進(jìn)一步用于接收所述第一代理服務(wù)器發(fā)送的所述應(yīng)答消息�����,所述應(yīng)答消息是由所述第一基站響應(yīng)于所述聯(lián)絡(luò)請求消息�����,向所述第一代理服務(wù)器發(fā)送的。
全文摘要
本發(fā)明提供了安全通信方法���,實(shí)現(xiàn)至少第一基站和第二基站之間的安全通信����,第一基站包括至少一個(gè)第一代理服務(wù)器����。該方法包括以下步驟S202,第一基站向第二基站發(fā)送第一消息�,第一消息包括第一代理服務(wù)器的第一網(wǎng)絡(luò)地址和第一基站的第一基站標(biāo)識;S204�����,第二基站響應(yīng)于第一消息�����,根據(jù)第一基站標(biāo)識�,向第一基站發(fā)送聯(lián)絡(luò)請求消息�����,第一基站響應(yīng)于聯(lián)絡(luò)請求消息向第二基站發(fā)送應(yīng)答消息����,實(shí)現(xiàn)與第二基站的安全通信����?;镜木W(wǎng)絡(luò)地址僅限制在信任的范圍內(nèi),不會在公共網(wǎng)絡(luò)內(nèi)公開���,使其在有線網(wǎng)絡(luò)受到攻擊的可能性降低���。在單個(gè)代理收到攻擊癱瘓時(shí),可以通過更改代理IP地址或啟用備份代理的方式繼續(xù)和LE設(shè)備間的聯(lián)系而不對基站自身的業(yè)務(wù)網(wǎng)絡(luò)產(chǎn)生不良影響���。
文檔編號H04L29/06GK102355468SQ20111032378
公開日2012年2月15日 申請日期2006年2月28日 優(yōu)先權(quán)日2006年2月28日
發(fā)明者潘眾, 趙泉波, 鄔旭永 申請人:華為技術(shù)有限公司