專利名稱:家庭基站安全接入的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及家庭基站安全接入技術(shù)��,尤其涉及一種家庭基站安全接入的方法及系統(tǒng)��。
背景技術(shù):
第三代合作伙伴計劃(3GPP,3rdGeneration Partnership Project)提出的演進(jìn)的分組系統(tǒng)(EPS, Evolved Packet System),由演進(jìn)的通用移動通信系統(tǒng)陸地?zé)o線接入網(wǎng)(E-UTRAN, Evolved Universal Terrestrial Radio Access Network)��、移動管理單兀(MME, Mobility Management Entity)����、服務(wù)網(wǎng)關(guān)(S-GW, Serving Gateway)、分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(P-GW 或者 F1DN Gff, Packet Data Network Gateway)�、歸屬用戶服務(wù)器(HSS, HomeSubscriber Server)和 3GPP 的認(rèn)證授權(quán)計費(fèi)(AAA, Authentication、Authorization andAccounting)服務(wù)器組成�����。家庭基站在接入演進(jìn)的核心網(wǎng)(EPC��,Evolved Packet Core)時�����,為了保證安全�,在演進(jìn)的核心網(wǎng)中引入了安全網(wǎng)關(guān)(SeGW, Security Gateway),家庭基站在與核心網(wǎng)設(shè)備通信前首先與安全網(wǎng)關(guān)間建立IPSec隧道�����。家庭基站與核心網(wǎng)設(shè)備間的控制面通信數(shù)據(jù)以及用戶面數(shù)據(jù)均經(jīng)過該IPSec隧道的加密�����。圖1為H(e)NB接入核心網(wǎng)的系統(tǒng)架構(gòu)的示意圖����,如圖1所示��,該架構(gòu)同時支持傳統(tǒng)的GERAN/UTRAN和(LTE����,Long Term Evolution)接入,其中 HNB (Home NodeB)是支持 GERAN/UTRAN 的家庭基站����,HeNB (Home eNodeB)是支持 LTE 的家庭基站。當(dāng)采用HNB接入時���,家庭基站網(wǎng)關(guān)(HNB Gff, Home NodeB Gateway)是必選的����。在HNB上電時,HNB需到HNB GW注冊��。當(dāng)采用HeNB接入時����,演進(jìn)的家庭基站網(wǎng)關(guān)(HeNB Gff,Home eNodeB Gateway)是可選的�����。在 HeNB GW 部署時����,HeNB 注冊到 HeNB GW,當(dāng) HeNB GW 不部署時���,HeNB注冊到MME�����。根據(jù)3GPP協(xié)議�,當(dāng)UE從H(e) NB (即HNB或HeNB)接入時����,MME或GPRS服務(wù)支持節(jié)點(diǎn)(SGSN�����,Serving GPRS SUPPORT N0DESGSN)或 HNBGW 對 UE 進(jìn)行接入控制����。當(dāng) UE 通過H(e)NB附著時����,若UE和網(wǎng)絡(luò)支持閉合用戶組(CSG, Closed Subscribe Group),該H(e)NB將自身所支持的CSG ID (CSG identity)通知給SGSN或MME�����。SGSN或MME根據(jù)從HSS中獲得的用戶簽約數(shù)據(jù)判斷是否允許該用戶從該H(e)NB接入���。當(dāng)UE通過HNB附著時���,若UE或網(wǎng)絡(luò)不支持CSG,HNB Gff根據(jù)本地配置的該HNB所允許的UEMSI列表判斷是否允許該UE從該HNB接入�����。在上述UE通過H (e) NB接入過程中,所有相關(guān)消息均經(jīng)過了 H(e)NB和SeGW間的安全隧道進(jìn)行保護(hù)�����。H(e)NB在上電時與SeGW建立安全隧道�,并且互相認(rèn)證,因此��,從SeGW的角度看�����,H (e) NB是可信的�。但是���,現(xiàn)有協(xié)議無法保證H (e) NB發(fā)送給MME/SGSN/HNB Gff的身份與其在與SeGW互認(rèn)證時的身份一致�����,事實(shí)上����,在很多場景中
Gff中使用了不同于其與SeGW互認(rèn)證時的身份���。根據(jù)目前協(xié)議�����,SeGff不負(fù)責(zé)H(e) NB在MME/SGSN/HNB GW中所使用身份的認(rèn)證�����。因此��,根據(jù)現(xiàn)有協(xié)議��,H(e)NB可以在后續(xù)與MME/SGSN/H(e)NB GW通信時冒用別人的身份�����。比如����,HeNBl先使用真實(shí)身份(該身份基于證書或基于托管方單元(HPM))與SeGW建立IPSec隧道并互認(rèn)證,當(dāng)UE從HeNBl接入時�,HeNBl將HeNB2的HeNB ID和HeNB2所支持的CSG ID發(fā)送給MME。根據(jù)該HeNB2的CSG ID, UE的接入是允許的����,但若根據(jù)HeNBl所支持的CSG ID,UE的接入是不被允許的。在上述例子中���,HeNBl冒用別人身份���,從而使得本來不允許接入的用戶可以接入網(wǎng)絡(luò),從而破壞了網(wǎng)絡(luò)的安全性���。針對該問題�,有人提出了一種在SeGW和MME/H(e)NB GW之間增加新接口�����,并由SeGW將H(e)NB ID和H(e)NB內(nèi)部IP地址的關(guān)聯(lián)關(guān)系發(fā)送給MME/H(e)NB GW的方法�,以對H(e)NB在核心網(wǎng)中的身份(亦即在MME/H(e)NB GW中所用身份)進(jìn)行認(rèn)證�。然而,該方法存在很多缺陷�,具體的:H(e)NB ID和H(e)NB內(nèi)部IP地址的關(guān)聯(lián)關(guān)系只能在H(e)NB上電時由IPSec消息觸發(fā)發(fā)送給MME//H(e)NB Gff, SeGW需選擇合適的MME//H(e)NB GW發(fā)送該關(guān)聯(lián)關(guān)系,并且需要保證當(dāng)H(e)NB注冊時�����,H(e)NB選擇了相同的MME���、H(e)NB Gff,因此����,具體實(shí)施時需要保證H(e) NB選擇相同的MME或H(e)NB GW,這無疑會增加實(shí)現(xiàn)的難度����,并且,如果H(e) NB未選擇初始上電時發(fā)送自身身份的MME或H(e) NB GW�����,該方法就會失效����。根據(jù)現(xiàn)有協(xié)議,H(e)NB是根據(jù)H(e)MS的配置信息選擇MME或H(e)NB Gff的���,然而SeGW與H(e)MS并無接口��,因此很難保證SeGW選擇的MME�、H (e) NB GW與H (e) NB所選擇的H (e) NB Gff和MME相同����。并且��,該方案假設(shè)MME�����、H(e)NB GW是H(e)NB的認(rèn)證服務(wù)器�,然而�����,根據(jù)現(xiàn)有協(xié)議�����,基于HPM模塊的認(rèn)證是可選的�����,因此�,H(e)NB的認(rèn)證可能不需要用到AAA服務(wù)器�����,這使得該方案不能適用于所有場景��。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種家庭基站安全接入的方法及系統(tǒng)��,能防止非法家庭基站冒充合法家庭基站接入核心網(wǎng)并為用戶設(shè)備提供業(yè)務(wù)服務(wù)�。為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:一種家庭基站安全接入的方法��,包括:安全網(wǎng)關(guān)SeGW對H (e) NB的身份信息進(jìn)行數(shù)字簽名���,并將所述H (e) NB數(shù)字簽名發(fā)送給所述H (e) NB ��;所述H(e)NB將所述H(e)NB的身份信息和數(shù)字簽名發(fā)送給核心網(wǎng)網(wǎng)元���;所述核心網(wǎng)網(wǎng)元對所述H(e) NB的身份信息和數(shù)字簽名進(jìn)行正確性驗(yàn)證。優(yōu)選地��,所述SeGW對H(e)NB的身份信息進(jìn)行數(shù)字簽名為:所述SeGW在對所述H(e) NB進(jìn)行身份認(rèn)證時獲取所述H(e) NB的身份信息���,并對所述H (e) NB的身份信息進(jìn)行數(shù)字簽名��。優(yōu)選地���,所述H(e)NB將所述H(e)NB的身份信息發(fā)送給核心網(wǎng)網(wǎng)元為:所述H(e) NB在所述H(e) NB注冊時將所述H(e) NB的身份信息和數(shù)字簽名發(fā)送給所述核心網(wǎng)網(wǎng)元。優(yōu)選地�,所述H(e)NB將所述H(e)NB的身份信息和數(shù)字簽名發(fā)送給核心網(wǎng)網(wǎng)元為:所述H(e)NB在用戶設(shè)備UE通過所述H(e)NB注冊時����,將所述H(e)NB的身份信息和數(shù)字簽名發(fā)送給所述核心網(wǎng)網(wǎng)元�。優(yōu)選地,所述安全網(wǎng)關(guān)SeGW采用所述安全網(wǎng)關(guān)的私鑰對所述H(e)NB的身份信息進(jìn)行數(shù)字簽名����;對應(yīng)地,所述核心網(wǎng)網(wǎng)元通過所述安全網(wǎng)關(guān)的公鑰對所述H(e)NB的身份信息和數(shù)字簽名進(jìn)行正確性驗(yàn)證�����。優(yōu)選地����,所述SeGW采用動態(tài)會話密鑰對所述H (e) NB的身份信息進(jìn)行數(shù)字簽名;所述方法還包括:所述SeGW將所述動態(tài)會話密鑰通知?dú)w屬用戶服務(wù)器HSS/認(rèn)證授權(quán)計費(fèi)AAA服務(wù)器����,所述HSS/AAA服務(wù)器存儲所述動態(tài)會話密鑰。優(yōu)選地�,所述核心網(wǎng)網(wǎng)元對所述H(e)NB的身份信息和數(shù)字簽名進(jìn)行正確性驗(yàn)證為:所述核心網(wǎng)網(wǎng)元從所述AAA/HSS獲取對所述H(e)NB的身份信息數(shù)字簽名的所述臨時會話密鑰���,利用所述臨時會話密鑰對所解析出的H(e)NB的身份信息進(jìn)行驗(yàn)證�。優(yōu)選地,所述H (e) NB的身份信息為家庭基站標(biāo)識H (e) NB ID和H (e) NB的內(nèi)部IP地址�,或閉合用戶組標(biāo)識CSG ID和H(e)NB的內(nèi)部IP地址,或H(e)NB ID�����、CSG ID和H(e)NB內(nèi)部IP地址��。優(yōu)選地����,所述方法還包括:所述核心網(wǎng)網(wǎng)元在驗(yàn)證所述H(e)NB信息和數(shù)字簽名成功后,所述核心網(wǎng)網(wǎng)元保存所述H (e) NB信息��。優(yōu)選地����,所述核心網(wǎng)網(wǎng)元為H (e) NB GW或MME。優(yōu)選地���,所述核心網(wǎng)網(wǎng)元為MME或SGSN或MSC��。優(yōu)選地�,當(dāng)UE通過所述H (e) NB接入時:所述核心網(wǎng)網(wǎng)元驗(yàn)證所述H(e) NB的身份信息正確后將所述H(e) NB的身份信息發(fā)送給MME或SGSN或MSC�����,由MME、SGSN或MSC獲取所述H(e)NB所支持的CSG ID信息��,并根據(jù)所述CSG ID信息對所述UE進(jìn)行接入控制�����;其中���,所述MME��、SGSN或MSC從所述H (e) NB信息中獲取所述CSG ID信息����,或從所述HSS/AAA服務(wù)器獲取所述CSG ID信息���。優(yōu)選地��,當(dāng)UE通過所述H (e) NB接入時:所述核心網(wǎng)網(wǎng)元驗(yàn)證所述H(e)NB的身份信息正確后獲取所述H(e)NB所支持的CSG ID信息�,并根據(jù)所述CSG ID信息對所述UE進(jìn)行接入控制���;其中�����,所述核心網(wǎng)網(wǎng)元從所述H(e)NB信息中獲取所述CSG ID信息��,或從所述HSS/AAA服務(wù)器獲取所述CSG ID信息�����。優(yōu)選地�,所述核心網(wǎng)網(wǎng)元從配置的所述SeGW的證書中獲取SeGW的公鑰��,或者所述核心網(wǎng)網(wǎng)元從H(e)NB發(fā)送給所述核心網(wǎng)網(wǎng)元的證書中獲取SeGW的公鑰�。優(yōu)選地,所述SeGW通過擴(kuò)展IKEv2的配置載荷CP將所述數(shù)字簽名發(fā)送給所述H(e)NB���。優(yōu)選地���,所述SeGW還可通過擴(kuò)展IKEv2的配置載荷CP將H (e) NB身份信息發(fā)送給所述 H(e) NB。一種家庭基站安全接入的方法���,包括:H(e)NB向核心網(wǎng)網(wǎng)元注冊時�����,所述核心網(wǎng)網(wǎng)元通過設(shè)置于所述核心網(wǎng)網(wǎng)元與SeGW之間的通信接口獲取所述H(e)NB的身份信息���,并與所述H(e)NB上報的身份信息進(jìn)行正確性驗(yàn)證�,驗(yàn)證通過后接受所述H (e) NB注冊�����。優(yōu)選地�,所述核心網(wǎng)網(wǎng)元為H(e) NB GW;未設(shè)置HeNB GW時,所述核心網(wǎng)網(wǎng)元為MME0
一種家庭基站安全接入的系統(tǒng)�,包括SeGW、H(e)NB和核心網(wǎng)網(wǎng)元�;其中:所述SeGW,用于對所述H (e) NB的身份信息進(jìn)行數(shù)字簽名���,并將所述H (e) NB的身份信息連同數(shù)字簽名一起發(fā)送給所述H(e)NB ���;所述H (e) NB,用于在H (e) NB注冊時或UE通過所述H (e) NB接入時,將所述H (e) NB的身份信息和數(shù)字簽名發(fā)送給核心網(wǎng)網(wǎng)元�;所述核心網(wǎng)網(wǎng)元,用于對所述H(e)NB的身份信息和數(shù)字簽名進(jìn)行正確性驗(yàn)證���。優(yōu)選地����,所述SeGW采用所述SeGW的私鑰對所述H(e)NB的身份信息進(jìn)行數(shù)字簽名;對應(yīng)地�,所述核心網(wǎng)網(wǎng)元通過所述SeGW的公鑰對所述H(e)NB的身份信息和數(shù)字簽名進(jìn)行正確性驗(yàn)證�����。優(yōu)選地��,所述SeGW采用動態(tài)會話密鑰對所述H (e) NB的身份信息進(jìn)行數(shù)字簽名�;所述SeGW將所述動態(tài)會話密鑰通知?dú)w屬用戶服務(wù)器HSS/認(rèn)證授權(quán)計費(fèi)AAA服務(wù)器,所述HSS/AAA服務(wù)器存儲所述動態(tài)會話密鑰����。優(yōu)選地,所述核心網(wǎng)網(wǎng)元從所述AAA/HSS獲取對所述H (e) NB的身份信息數(shù)字簽名的所述臨時會話密鑰�,利用所述臨時會話密鑰驗(yàn)證所述H(e)NB的身份信息。優(yōu)選地�,所述H (e) NB的身份信息為家庭基站標(biāo)識H (e) NB ID和H (e) NB的內(nèi)部IP地址,或閉合用戶組標(biāo)識CSG ID和H(e)NB的內(nèi)部IP地址��,或H(e)NB ID���、CSG ID和H(e)NB內(nèi)部IP地址����;所述核心網(wǎng)網(wǎng)元為移動管理單元MME或GPRS服務(wù)支持節(jié)點(diǎn)SGSN或家庭基站網(wǎng)關(guān)H(e)NB Gff0一種家庭基站安全接入的系統(tǒng),包括SeGW�、H(e)NB和核心網(wǎng)網(wǎng)元;所述SeGW與所述核心網(wǎng)網(wǎng)元之間設(shè)置有通信接口��,其中:所述H(e)NB���,用于向所述核心網(wǎng)網(wǎng)元進(jìn)行注冊�����,并上報自身的身份信息�����;所述核心網(wǎng)網(wǎng)元�,用于通過所述核心網(wǎng)網(wǎng)元與SeGW之間的通信接口獲取所述H(e)NB進(jìn)行身份認(rèn)證時的身份信息�����,并與所述H(e)NB上報的身份信息進(jìn)行正確性驗(yàn)證����,驗(yàn)證通過后接受所述H (e) NB注冊�����。本發(fā)明中�,在SeGW對H (e) NB進(jìn)行身份認(rèn)證時����,SeGff會對所述H (e) NB的身份信息進(jìn)行數(shù)字簽名����,并將所述H(e)NB的身份信息連同數(shù)字簽名一起發(fā)送給所述H(e)NB ;H(e)NB在UE附著或跟蹤區(qū)更新或路由更新時���,將自身的身份信息和數(shù)字簽名發(fā)送給核心網(wǎng)網(wǎng)元�;核心網(wǎng)網(wǎng)元對H(e)NB的身份信息和數(shù)字簽名進(jìn)行正確性驗(yàn)證����,驗(yàn)證通過后對UE進(jìn)行接入控制?���;蛘?,在SeGW與核心網(wǎng)網(wǎng)元之間設(shè)置通信接口�,核心網(wǎng)網(wǎng)元在接收到H(e)NB注冊請求時直接從SeGW獲取H(e) NB的身份信息,并對請求注冊的H(e) NB進(jìn)行身份認(rèn)證����。本發(fā)明避免了非法H(e)NB直接到核心網(wǎng)網(wǎng)元注冊并實(shí)現(xiàn)對UE的業(yè)務(wù)接入,維護(hù)了網(wǎng)絡(luò)安全���。
圖1為H(e)NB接入核心網(wǎng)的系統(tǒng)架構(gòu)的示意圖�����。圖2為本發(fā)明實(shí)施例一的家庭基站安全接入的方法流程圖�����;圖3為本發(fā)明實(shí)施例二的家庭基站安全接入的方法流程圖����;圖4為本發(fā)明實(shí)施例三的家庭基站安全接入的方法流程圖5為本發(fā)明實(shí)施例四的家庭基站安全接入的方法流程圖�;圖6為本發(fā)明實(shí)施例的家庭基站安全接入系統(tǒng)的組成結(jié)構(gòu)不意圖;圖7為本發(fā)明實(shí)施例五的家庭基站安全接入的方法流程圖���。
具體實(shí)施例方式本發(fā)明的基本思想為:在SeGW對H(e)NB進(jìn)行身份認(rèn)證時��,SeGff會對所述H(e)NB的身份信息進(jìn)行數(shù)字簽名���,并將所述H(e)NB的身份信息連同數(shù)字簽名一起發(fā)送給所述H(e)NB ;H(e)NB在UE附著或跟蹤區(qū)更新或路由更新時���,將自身的身份信息和數(shù)字簽名發(fā)送給核心網(wǎng)網(wǎng)元;核心網(wǎng)網(wǎng)元對H(e)NB的身份信息和數(shù)字簽名進(jìn)行正確性驗(yàn)證�����,驗(yàn)證通過后對UE進(jìn)行接入控制�����?�;蛘?���,在SeGW與核心網(wǎng)網(wǎng)元之間設(shè)置通信接口�����,核心網(wǎng)網(wǎng)元在接收到H (e) NB注冊請求時直接從SeGW獲取H (e) NB的身份信息�����,并對請求注冊的H (e) NB進(jìn)行身份認(rèn)證。為使本發(fā)明的目的����,技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,以下舉實(shí)施例并參照附圖���,對本發(fā)明進(jìn)一步詳細(xì)說明��。實(shí)施例一圖2為本發(fā)明實(shí)施例一的家庭基站安全接入的方法流程圖����,由于H(e)NB可能會被攻擊�����,因此核心網(wǎng)不能信任H(e)NB自身提供的身份��?�?紤]到SeGW是可信任的安全實(shí)體��,因此��,本發(fā)明考慮由SeGW對H(e)NB身份進(jìn)行數(shù)字簽名,并將該數(shù)字簽名發(fā)送給H(e) NB����。由H(e)NB將由SeGW數(shù)字簽名的身份信息發(fā)送給核心網(wǎng)網(wǎng)元進(jìn)行身份驗(yàn)證。如圖2所示����,本示例的家庭基站安全接入的方法具體包括以下步驟:步驟201,SeGff對H(e)NB的身份信息進(jìn)行數(shù)字簽名����。H(e) NB的身份信息包括H(e) NB ID,和/或CSG ID����,和/或其它身份。為了驗(yàn)證數(shù)字簽名的H (e) NB的身份信息確實(shí)是SeGW發(fā)送給某個H (e) NB的����,SeGW在該H (e) NB身份信息中包括該H(e)NB的內(nèi)部IP地址��。H(e)NB的內(nèi)部IP地址是在IPSec隧道建立時SeGW分配給H(e) NB的IP地址�����。H(e) NB采用該內(nèi)部IP地址與核心網(wǎng)網(wǎng)元進(jìn)行通信,該內(nèi)部IP地址包含在IPSec隧道報文內(nèi)部IP包的包頭中����。SeGW可采用SeGW的私密鑰對H (e) NB的身份信息進(jìn)行數(shù)字簽名,也可采用會話密鑰對H (e) NB的身份信息進(jìn)行數(shù)字簽名���。步驟202���,SeGW將數(shù)字簽名的H(e)NB身份信息發(fā)送給H(e) NB。 步驟203�,H (e) NB將上述數(shù)字簽名和H (e) NB身份信息發(fā)送給核心網(wǎng)網(wǎng)元(即H (e)NB GW或MME或SGSN)。H (e) NB可以在注冊時發(fā)送上述信息或者在UE接入時隨同UE相關(guān)消息發(fā)送上述信息��。當(dāng)在注冊時發(fā)送上述信息時��,該信息將發(fā)送給H(e)NB GW��,若H(e)NB GW未部署��,則發(fā)送給MME ;當(dāng)在UE接入時隨同UE相關(guān)消息發(fā)送時�����,該信息將發(fā)送給MME (EUTRAN時)或 SGSN(UTRAN 或 GERAN 時)或 MSC。步驟204�,核心網(wǎng)網(wǎng)元對該H(e)NB身份信息數(shù)字簽名進(jìn)行驗(yàn)證。當(dāng)SeGW采用私密鑰對H(e)NB的身份信息進(jìn)行數(shù)字簽名時�����,核心網(wǎng)網(wǎng)元(即MME或SGSN或H(e)NB Gff)采用SeGW的公開密鑰對數(shù)字簽名進(jìn)行驗(yàn)證�����。當(dāng)SeGW采用會話密鑰對H(e)NB的身份信息進(jìn)行數(shù)字簽名時���,核心網(wǎng)網(wǎng)元需使用相同的會話密鑰對數(shù)字簽名進(jìn)行驗(yàn)證��。
在本發(fā)明中��,根據(jù)驗(yàn)證H(e)NB身份信息的位置不同驗(yàn)證方式有兩種����,分別為:在H(e)NB注冊時對H (e) NB身份信息進(jìn)行驗(yàn)證���;或者��,在UE接入時對H (e) NB身份進(jìn)行驗(yàn)證。若H (e) NB身份信息進(jìn)行驗(yàn)證是在H (e) NB注冊時驗(yàn)證的,則驗(yàn)證H (e) NB身份的實(shí)體將為H(e)NB GW或MME (當(dāng)H(e)NB GW不部署時)�。由于H(e)NB GW與AAA/HSS間無接口,該方案適合使用基于公私鑰的數(shù)字簽名方式���。若H(e)NB身份信息進(jìn)行驗(yàn)證是在UE接入時驗(yàn)證的�����,則驗(yàn)證H (e) NB身份的實(shí)體是MME (EUTRAN時)或SGSN (GERAN/UTRAN時)����。該方案可采用基于公私鑰的數(shù)字簽名方式���,或基于動態(tài)會話密鑰的數(shù)字簽名方式��。下面將結(jié)合具體流程對上述方法作進(jìn)行進(jìn)一步描述����。實(shí)施例二圖3為本發(fā)明實(shí)施例二的家庭基站安全接入的方法流程圖�����,本示例是H(e)NB注冊時H(e) NB Gff或MME對H(e) NB身份信息數(shù)字簽名進(jìn)行驗(yàn)證的方法����。如圖3所示�����,本示例的家庭基站安全接入的方法具體包括以下步驟:步驟301��,H(e)NB上電��。H(e)NB接入到本地網(wǎng)絡(luò)�,并從本地網(wǎng)絡(luò)獲取IP地址配置信息����。 步驟302,H (e) NB發(fā)起與SeGW的IKEv2協(xié)商�����。該過程包括H (e) NB與SeGW的互認(rèn)證�����、安全聯(lián)盟的協(xié)商�����、SeGff為H(e)NB分配內(nèi)部IP地址等。步驟303����,SeGff獲取H (e) NB用于核心網(wǎng)通信的身份信息�����,該信息包括H (e) NB ID,和/或CSG ID等�����。SeGW對H(e)NB的身份信息進(jìn)行數(shù)字簽名�,具體數(shù)字簽名算法如下:
X =算法I (H(e)NB身份信息|H(e)NB內(nèi)部IP地址) [A]公式[A]中,“I”代表將信息串連��。當(dāng)H(e)NB的身份信息包括多個信息時�����,SeGff將多個信息串聯(lián)���,也即將多個信息順序連接��。比如�,當(dāng)身份信息是H(e)NB ID和CSG ID時,上述公式中的H(e)NB身份信息即為H(e)NB IDICSG ID���。算法I是一種單向散列算法���,本發(fā)明不規(guī)定具體算法,該算法的目的是將長的字符串轉(zhuǎn)換成適合數(shù)字簽名算法的長度��。作為示例���,一種簡單的單向散列算法是MD5算法�。數(shù)字簽名=數(shù)字簽名算法(X���,數(shù)字簽名密鑰)[B]本發(fā)明不規(guī)定具體的數(shù)字簽名算法��,數(shù)字簽名算法可參見現(xiàn)有技術(shù)中的任意數(shù)字簽名算法�,如常用的RSA算法可作本發(fā)明的數(shù)字簽名算法����。在本示例中,數(shù)字簽名密鑰是SeGW的私密鑰�����。步驟304,SeGW將數(shù)字簽名發(fā)送給H (e) NB���,可選地���,SeGW可將H(e)NB身份信息也一起發(fā)送給H(e)NB�。若H(e)NB身份信息(如CSG ID、H(e)NB ID)不是通過SeGW發(fā)送給H (e) NB的���,H (e) NB可以從H (e) MS獲取或者在H (e) NB上固定配置���。若H (e) NB請求分配IP地址,SeGW亦將H(e) NB內(nèi)部IP地址發(fā)送給H(e) NB�。H(e) NB身份信息和數(shù)字簽名可通過擴(kuò)展IKEv2協(xié)議發(fā)送,比如��,可擴(kuò)展IKEv2的配置載荷(CP, Configuration Payload),將H(e)NB身份信息和數(shù)字簽名放在配置載荷中發(fā)送給H(e) NB�����。步驟305���,IKEv2協(xié)商完成����。H(e)NB和SeGW間建立了 IPSec安全隧道。步驟306�����,H (e) NB從H (e) MS中獲取配置參數(shù)��。步驟307�����,當(dāng)網(wǎng)絡(luò)部署了 H(e)NB GW時���,H (e) NB給H (e) NB GW發(fā)送注冊請求消息�,該消息中H(e)NB將H(e)NB身份信息和其數(shù)字簽名發(fā)送給H(e)NB Gl
步驟308�,H(e)NB GW對H(e)NB的身份信息和數(shù)字簽名進(jìn)行認(rèn)證。驗(yàn)證方法如下:H(e) NB GW按以下公式對數(shù)字簽名解密:Y =解密算法(數(shù)字簽名��,解密密鑰)解密算法與加密算法對應(yīng)����,可參見現(xiàn)有的解密算法,如RSA解密算法等。上述公式中的數(shù)字簽名是H (e) NB發(fā)送給H (e) NB GW的H (e) NB身份信息的數(shù)字簽名����。在本示例中解密密鑰是SeGW的公開密鑰。H(e)NB Gff按如下公式計算V:V =算法 I (H(e)NB 身份信息 |H(e)NB IP 地址)����。 [C]H(e)NB的身份信息是步驟307中H(e)NB發(fā)送給H(e)NB Gff的H(e)NB的身份信息;H(e)NB IP地址是步驟307中H(e)NB發(fā)送給H (e) NB Gff的注冊請求消息的源IP地址��。若Y = X’���,數(shù)字簽名驗(yàn)證成功;否則����,數(shù)字簽名驗(yàn)證失敗。H(e)NB GW從配置的SeGW的證書中獲取公鑰��,或者�,可選地,在步驟307中��,H(e)NB將SeGW的證書發(fā)送給H(e)NB Gff, H(e)NB Gff從接收到的證書中獲取SeGW的公鑰����。步驟309����,若步驟308中的數(shù)字簽名驗(yàn)證成功�,H(e)NB GW完成H(e)NB剩余注冊流程,并為其建立上下文��,H(e) NB Gff向H(e)NB發(fā)送注冊響應(yīng)消息����;若步驟308中的數(shù)字簽名驗(yàn)證失敗,H(e)NB Gff向H(e)NB發(fā)送注冊失敗消息����。步驟310,當(dāng)網(wǎng)絡(luò)中未部署HeNB Gff時����,HeNB到MME中進(jìn)行注冊。HeNB向MME發(fā)送注冊請求消息���,消息中包含HeNB身份信息及其數(shù)字簽名����。步驟311,MME采用與步驟308中相同的方法對HeNB身份信息及其數(shù)字簽名進(jìn)行認(rèn)證����。步驟312,若步驟311中數(shù)字簽名驗(yàn)證成功���,MME完成H(e)NB剩余注冊流程����,并為其建立上下文�����,MME向H(e)NB發(fā)送注冊響應(yīng)消息���;若步驟308中數(shù)字簽名驗(yàn)證失敗,MME向H(e)NB發(fā)送注冊失敗消息�����。實(shí)施例三圖4為本發(fā)明實(shí)施例三的家庭基站安全接入的方法流程圖���,本示例是UE注冊時MME或SGSN對H(e) NB身份信息數(shù)字簽名進(jìn)行驗(yàn)證的方法��。如圖4所示���,本示例的家庭基站安全接入的方法具體包括以下步驟:步驟401����,H(e)NB上電���。H(e)NB接入到本地網(wǎng)絡(luò)��,并從本地網(wǎng)絡(luò)獲取IP地址配置信息����。步驟402��,H (e) NB發(fā)起與SeGW的IKEv2協(xié)商�。該過程包括H (e) NB與SeGW的互認(rèn)證、安全聯(lián)盟的協(xié)商�����、SeGff為H(e)NB分配內(nèi)部IP地址等��。步驟403��,SeGW獲取H (e) NB用于核心網(wǎng)通信的身份信息,該信息包括H (e) NB ID,和/或CSG ID等���。SeGW對H (e) NB的身份信息進(jìn)行數(shù)字簽名�����。當(dāng)采用SeGW的私鑰數(shù)字簽名時����,數(shù)字簽名算法參見步驟303所示的算法����。當(dāng)采用動態(tài)會話密鑰數(shù)字簽名時,可采用如下算法數(shù)字簽名:a)按步驟303中的公式[A]計算X ��;b)數(shù)字簽名=數(shù)字簽名算法(X�,動態(tài)會話密鑰)其中,動態(tài)會話密鑰是由SeGW動態(tài)生成的����,比如���,一串隨機(jī)數(shù)�����,或者采用其他方法生成���。
本發(fā)明不規(guī)定具體的數(shù)字簽名算法���,數(shù)字簽名算法可參見現(xiàn)有的數(shù)字?jǐn)?shù)字簽名算法。作為例子�����,數(shù)字簽名算法可以是有密鑰的HASH算法�����。步驟404a���,SeGW將數(shù)字簽名發(fā)送給H(e)NB��,可選地��,SeGW可將H(e)NB身份信息也一起發(fā)送給H(e)NB���。若H(e)NB身份信息(如CSG ID����、H(e)NB ID)不是通過SeGW發(fā)送給H (e) NB的�,H (e) NB可以從H (e) MS獲取或者在H (e) NB上固定配置。若H (e) NB請求分配IP地址�,SeGW亦將H(e)NB內(nèi)部IP地址發(fā)送給H(e)NB。H(e)NB身份信息和數(shù)字簽名可通過擴(kuò)展IKEv2協(xié)議發(fā)送�����,比如����,可擴(kuò)展IKEv2的配置載荷CP,將H (e) NB身份信息和數(shù)字簽名放在配置載荷中發(fā)送給H (e) NB�。步驟404b,SeGW將用于計算H(e)NB數(shù)字簽名的動態(tài)會話密鑰保存到HSS/AAA�。步驟405,IKEv2協(xié)商完成�����。H(e)NB和SeGW間建立了 IPSec安全隧道�。步驟406,H (e) NB從H (e) MS中獲取配置參數(shù)��。步驟407��,當(dāng)網(wǎng)絡(luò)部署了 H(e) NB GW時��,H(e) NB給H(e) NB GW發(fā)送注冊請求消息�����,該消息中H(e)NB將H(e)NB身份信息和其數(shù)字簽名發(fā)送給H(e)NB GW�。H(e)NB GW保存H(e)NB身份信息、數(shù)字簽名�����、及H(e)NB IP地址�����。H(e)NB GW完成H(e)NB的注冊過程�,并給H(e)NB發(fā)送注冊響應(yīng)。步驟408�����,當(dāng)網(wǎng)絡(luò)中未部署HeNB Gff時����,HeNB到MME中注冊����。HeNB向MME發(fā)送注冊請求消息���,消息中包含HeNB身份信息及其數(shù)字簽名�����。MME保存HeNB身份信息��、數(shù)字簽名����、及HeNB IP地址���。MME完成H(e)NB的注冊過程����,并給H(e)NB發(fā)送注冊響應(yīng)���。實(shí)施例四圖5為本發(fā)明實(shí)施例四的家庭基站安全接入的方法流程圖�����,本實(shí)施例是UE注冊時MME或SGSN對H(e)NB身份信息數(shù)字簽名進(jìn)行驗(yàn)證的方法����。本實(shí)施例是UE通過H(e) NB進(jìn)行附著或路由��、跟蹤區(qū)更新的流程圖��,如圖5所示���,本示例的家庭基站安全接入的方法具體包括以下步驟:步驟501�,當(dāng)UE在H(e)NB下開機(jī)或者UE移動到一個位于新的路由區(qū)或跟蹤區(qū)的H(e)NB時����,UE給H(e)NB發(fā)送附著請求消息或路由區(qū)/跟蹤區(qū)更新請求消息。步驟502��,H(e)NB通過SI接口轉(zhuǎn)發(fā)上述UE注冊請求消息���。當(dāng)HeNB GW部署時��,該消息發(fā)送給H(e)NB GW����,當(dāng)HeNB GW不部署時,該消息直接發(fā)送給MME�����。H(e)NB GW判斷H(e)NB IP地址是否和其上下文中保存到H(e)NB IP地址一致��。若不一致�,H(e)NB GW給H(e)NB返回錯誤。步驟503��,當(dāng)H(e)NB GW部署時��,H(e)NB GW轉(zhuǎn)發(fā)502步消息��,并從其上下文中獲取H(e)NB身份信息����,可選地,H (e) NB IP地址和/或數(shù)字?jǐn)?shù)字簽名��,并將這些信息與502步H (e) NB 發(fā)給 H (e) NB GW 的 SI 消息一起發(fā)送給 SGSN (GERAN 或 UTRAN 時)或MME (EUTRAN 時)��。H (e) NBGff是在步驟407中保存上述信息的。步驟504�����,MME/SGSN根據(jù)步驟503接收到的H(e)NB身份信息(如H(e)NB ID)從HSS/AAA中獲取數(shù)字?jǐn)?shù)字簽名會話密鑰����,并從HSS/AAA中獲取該H(e)NB的其他信息,比如�,該H(e)NB支持的CSG ID列表�,可選地,HSS/AAA將數(shù)字?jǐn)?shù)字簽名的密鑰發(fā)送給MME/SGSN����。步驟505,若步驟503H(e)NB GW將數(shù)字?jǐn)?shù)字簽名發(fā)給了 MME/SGSN�����,MME/SGSN對H(e)NB的數(shù)字?jǐn)?shù)字簽名進(jìn)行驗(yàn)證����。當(dāng)采用公私鑰對H(e)NB身份信息進(jìn)行數(shù)字簽名時,驗(yàn)證算法參見步驟308�����。其中的H (e) NB身份信息、H (e) NB IP地址�、數(shù)字簽名是步驟503 H(e)NB GW發(fā)送給MME/SGSN的。當(dāng)采用會話密鑰對H(e) NB身份信息進(jìn)行數(shù)字簽名時�,驗(yàn)證算法如下:a)按步驟308的公式[C]計算Vb)Y =數(shù)字簽名算法(X’,會話密鑰)若Y與步驟502中接收到的數(shù)字簽名相同�,則表示驗(yàn)證成功,否則驗(yàn)證失敗���。步驟506�,SGSN/MME觸發(fā)完成后續(xù)的UE附著或路由區(qū)/跟蹤區(qū)更新流程�。其中包括SGSN/MME根據(jù)H (e) NB所支持的CSG列表以及UE簽約的CSG列表判斷是否允許該UE接入該H (e) NB等操作。若步驟505數(shù)字簽名驗(yàn)證失敗��,UE的附著流程或路由區(qū)/跟蹤區(qū)更新流程失敗結(jié)束�。圖6為本發(fā)明實(shí)施例的家庭基站安全接入系統(tǒng)的組成結(jié)構(gòu)示意圖,本示例記載了另外一種實(shí)現(xiàn)H(e)NB的身份驗(yàn)證的家庭基站安全接入系統(tǒng)�����。具體的���,增加了 SeGW與MME或SGSN或H(e)NB GW之間的通信接口�����,當(dāng)MME或H(e)NB GW收到H(e)NB發(fā)來的身份信息后�,MME/SGSN/H(e)NB GW通過該新增接口向SeGW發(fā)送身份驗(yàn)證請求消息,從而由SeGW驗(yàn)證該H(e)NB的身份是否屬實(shí)�����。如圖6所示�����,Sx和Sy接口是新增接口��。Sx接口位于MME和SeGW之間��,用于MME對H (e) NB身份進(jìn)行認(rèn)證�����,該接口僅用于H (e) NB GW未部署場景�����。Sy接口位于H(e)NB GW和SeGW之間����,用于H(e) NB GW對H(e) NB身份進(jìn)行認(rèn)證。下面結(jié)合流程圖對本方案進(jìn)行詳細(xì)說明��。實(shí)施例五圖7為本發(fā)明實(shí)施例五的家庭基站安全接入的方法流程圖��,本實(shí)施例是H(e)NB上電注冊流程圖�����,如圖7所示����,本示例的家庭基站安全接入的方法具體包括以下步驟:步驟701,H(e)NB上電����。H(e)NB接入到本地網(wǎng)絡(luò),并從本地網(wǎng)絡(luò)獲取IP地址配置信息�。步驟702,H (e) NB發(fā)起與SeGW的IKEv2協(xié)商��。該過程包括H (e) NB與SeGW的互認(rèn)證��、安全聯(lián)盟的協(xié)商�、SeGff為H(e)NB分配內(nèi)部IP地址等�。步驟703���,H (e) NB從H (e) MS中獲取配置參數(shù)��。步驟704��,當(dāng)網(wǎng)絡(luò)部署了 H(e)NB GW時���,H (e) NB給H (e) NB GW發(fā)送注冊請求消息,該消息中H(e) NB將H(e) NB身份信息發(fā)送給H(e) NB GW����。步驟705,為了驗(yàn)證H(e)NB的身份�,H(e)NB Gff向SeGW發(fā)送H(e)NB身份請求消息,該消息中包含了 H(e)NB的IP地址(即由SeGW分配給H(e)NB的IP地址)����。步驟706���,SeGW根據(jù)H(e)NB IP地址查詢H(e)NB的IP地址查詢H(e)NB的身份信息��,并將該身份信息返回給H(e)NB GW����。步驟707,H (e) NB Gff保存H (e) NB身份信息���,完成H (e) NB剩余注冊流程�,并為其建立上下文��,H(e)NB Gff向H(e)NB發(fā)送注冊響應(yīng)消息�����。步驟708�����,當(dāng)網(wǎng)絡(luò)未部署H (e) NB GW時��,H (e) NB給MME發(fā)送注冊請求消息��,該消息中H (e) NB將H (e) NB身份信息發(fā)送給MME�����。步驟709���,為了驗(yàn)證H(e)NB的身份�����,MME向SeGW發(fā)送H(e)NB身份請求消息���,該消息中包含了 H(e)NB的IP地址(即由SeGW分配給H (e) NB的IP地址)����。步驟710�����,SeGff根據(jù)H(e)NB IP地址查詢H(e)NB的IP地址查詢H
(e)NB的身份信息���,并將該身份信息返回給MME�。步驟711���,MME保存H (e) NB身份信息,完成H (e) NB剩余注冊流程����,并為其建立上下文�����,MME向H(e)NB發(fā)送注冊響應(yīng)消息����。本發(fā)明還記載了另外一種家庭基站安全接入的系統(tǒng)�,包括SeGW、H(e)NB和核心網(wǎng)網(wǎng)元�����;其中:所述SeGW��,用于對所述H (e) NB的身份信息進(jìn)行數(shù)字簽名���,并將所述H (e) NB的身份信息連同數(shù)字簽名一起發(fā)送給所述H(e)NB ����;所述H (e) NB�����,用于在H (e) NB注冊時或UE附著或跟蹤區(qū)更新或路由更新通過所述H(e)NB接入時,將所述H(e)NB的身份信息和數(shù)字簽名發(fā)送給核心網(wǎng)網(wǎng)元���;所述核心網(wǎng)網(wǎng)元����,用于對所述H(e)NB的身份信息和數(shù)字簽名進(jìn)行正確性驗(yàn)證�����。其中����,所述SeGW采用所述SeGW的私鑰對所述H(e) NB的身份信息進(jìn)行數(shù)字簽名;對應(yīng)地����,所述核心網(wǎng)網(wǎng)元通過所述SeGW的公鑰對所述H(e)NB的身份信息和數(shù)字簽名進(jìn)行正確性驗(yàn)證。其中���,所述SeGW采用動態(tài)會話密鑰對所述H(e)NB的身份信息進(jìn)行數(shù)字簽名�����;所述SeGW將所述動態(tài)會話密鑰通知?dú)w屬用戶服務(wù)器HSS/認(rèn)證授權(quán)計費(fèi)AAA服務(wù)器�,所述HSS/AAA服務(wù)器存儲所述動態(tài)會話密鑰。其中��,所述核心網(wǎng)網(wǎng)元從所述AAA/HSS獲取對所述H (e) NB的身份信息數(shù)字簽名的所述臨時會話密鑰�,利用所述臨時會話密鑰驗(yàn)證所述H(e)NB的身份信息����。其中,所述H(e)NB的身份信息為家庭基站標(biāo)識H(e)NB ID和H(e)NB的內(nèi)部IP地址�,或閉合用戶組標(biāo)識CSG ID和H(e)NB的內(nèi)部IP地址,或H(e)NB ID�����、CSG ID和H(e)NB內(nèi)部IP地址���;所述核心網(wǎng)網(wǎng)元為MME或SGSN或HNB GW���。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,本示例中的家庭基站安全接入的系統(tǒng)�,可參見前述實(shí)施例一至四中的相關(guān)描述而理解。以上所述���,僅為本發(fā)明的較佳實(shí)施例而已�,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種家庭基站安全接入的方法���,其特征在于����,所述方法包括: 安全網(wǎng)關(guān)SeGW對H(e)NB的身份信息進(jìn)行數(shù)字簽名�����,并將所述數(shù)字簽名發(fā)送給所述H(e)NB ��; 所述H(e)NB將所述H(e)NB的身份信息和所述數(shù)字簽名發(fā)送給核心網(wǎng)網(wǎng)元���; 所述核心網(wǎng)網(wǎng)元對所述H(e)NB的身份信息和所述數(shù)字簽名進(jìn)行正確性驗(yàn)證���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述SeGW對H(e) NB的身份信息進(jìn)行數(shù)字簽名為: 所述SeGW在對所述H(e)NB進(jìn)行身份認(rèn)證時獲取所述H(e)NB的身份信息,并對所述H (e) NB的身份信息進(jìn)行數(shù)字簽名�。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述H(e)NB將所述H(e) NB的身份信息和所述數(shù)字簽名發(fā)送給核心網(wǎng)網(wǎng)元為: 所述H(e) NB在所述H(e) NB注冊時將所述H(e) NB的身份信息和所述數(shù)字簽名發(fā)送給所述核心網(wǎng)網(wǎng)元����。
4.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述H(e)NB將所述H(e) NB的身份信息和所述數(shù)字簽名發(fā)送給核心網(wǎng)網(wǎng)元為: 所述H (e) NB在用戶設(shè)備UE通過所述H (e) NB注冊時��,將所述H (e) NB的身份信息和所述數(shù)字簽名發(fā)送給所述核心網(wǎng)網(wǎng)元�����。
5.根據(jù)權(quán)利要求1所述的方法�,其特征在于: 所述安全網(wǎng)關(guān)SeGW采用所述安全網(wǎng)關(guān)的私鑰對所述H(e)NB的身份信息進(jìn)行數(shù)字簽名�����; 對應(yīng)地��,所述核心網(wǎng)網(wǎng)元通過所述安全網(wǎng)關(guān)的公鑰對所述H(e)NB的身份信息和所述數(shù)字簽名進(jìn)行正確性驗(yàn)證����。
6.根據(jù)權(quán)利要求1所述的方法,其特征在于:所述SeGW采用動態(tài)會話密鑰對所述H(e)NB的身份信息進(jìn)行數(shù)字簽名����; 所述方法還包括:所述SeGW將所述動態(tài)會話密鑰通知?dú)w屬用戶服務(wù)器HSS/認(rèn)證授權(quán)計費(fèi)AAA服務(wù)器���,所述HSS/AAA服務(wù)器存儲所述動態(tài)會話密鑰。
7.根據(jù)權(quán)利要求6所述的方法�,其特征在于,所述核心網(wǎng)網(wǎng)元對所述H(e)NB的身份信息和所述數(shù)字簽名進(jìn)行正確性驗(yàn)證為: 所述核心網(wǎng)網(wǎng)元從所述AAA/HSS獲取對所述H (e) NB的身份信息簽名的所述臨時會話密鑰�����,利用所述臨時會話密鑰對所述H(e)NB的身份信息進(jìn)行驗(yàn)證����。
8.根據(jù)權(quán)利要求1至7任一項(xiàng)所述的方法,其特征在于����,所述H(e)NB的身份信息為家庭基站標(biāo)識H (e) NB ID和H (e) NB的內(nèi)部IP地址,或閉合用戶組標(biāo)識CSG ID和H (e) NB的內(nèi)部IP地址�,或H(e)NB ID、CSG ID和H(e)NB內(nèi)部IP地址��。
9.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,所述方法還包括: 所述核心網(wǎng)網(wǎng)元在驗(yàn)證所述H(e)NB信息和所述數(shù)字簽名成功后��,所述核心網(wǎng)網(wǎng)元保存所述H (e) NB信息����。
10.根據(jù)權(quán)利要求3所述的方法����,其特征在于,所述核心網(wǎng)網(wǎng)元為H(e)NBGW或MME�����。
11.根據(jù)權(quán)利要求4所述的方法����,其特征在于�,所述核心網(wǎng)網(wǎng)元為MME或SGSN或MSC。
12.根據(jù)權(quán)利要求3或10所述 的方法����,其特征在于,當(dāng)UE通過所述H(e)NB接入時:所述核心網(wǎng)網(wǎng)元驗(yàn)證所述H (e) NB的身份信息正確后將所述H (e) NB的身份信息發(fā)送給MME或SGSN或MSC����,由MME����、SGSN或MSC獲取所述H(e) NB所支持的CSG ID信息�,并根據(jù)所述CSG ID信息對所述UE進(jìn)行接入控制;其中���,所述MME�、SGSN或MSC從所述H (e) NB信息中獲取所述CSG ID信息�����,或從所述HSS/AAA服務(wù)器獲取所述CSG ID信息�����。
13.根據(jù)權(quán)利要求4或11所述的方法�,其特征在于,當(dāng)UE通過所述H(e)NB接入時: 所述核心網(wǎng)網(wǎng)元驗(yàn)證所述H (e) NB的身份信息正確后獲取所述H (e) NB所支持的CSG ID信息����,并根據(jù)所述CSG ID信息對所述UE進(jìn)行接入控制;其中��,所述核心網(wǎng)網(wǎng)元從所述H(e)NB信息中獲取所述CSG ID信息,或從所述HSS/AAA服務(wù)器獲取所述CSG ID信息��。
14.根據(jù)權(quán)利要求5所述的方法�����,其特征在于���,所述核心網(wǎng)網(wǎng)元從配置的所述SeGW的證書中獲取SeGW的公鑰��,或者所述核心網(wǎng)網(wǎng)元從所述H(e)NB發(fā)送給所述核心網(wǎng)網(wǎng)元的證書中獲取SeGW的公鑰����。
15.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,所述SeGW通過擴(kuò)展IKEv2的配置載荷CP將所述數(shù)字簽名發(fā)送給所述H (e) NB�����。
16.根據(jù)權(quán)利要求15所述的方法�����,其特征在與�����,可選地�,所述SeGW還可通過擴(kuò)展IKEv2的配置載荷CP將H(e)NB身份信息發(fā)送給所述H(e) NB。
17.一種家庭基站安全接入的方法���,其特征在于�����,所述方法包括: H(e) NB向核心網(wǎng)網(wǎng)元注冊時,所述核心網(wǎng)網(wǎng)元通過設(shè)置于所述核心網(wǎng)網(wǎng)元與SeGW之間的通信接口獲取所述H(e)NB的身份信息�,并與所述H(e)NB上報的身份信息進(jìn)行正確性驗(yàn)證��,驗(yàn)證通過后接受所述H (e) NB注冊���。
18.根據(jù)權(quán)利要求17所述的方法���,其特征在于,所述核心網(wǎng)網(wǎng)元為H(e)NBGW ;未設(shè)置HeNB Gff時,所述核心網(wǎng)網(wǎng)元為MME��。
19.一種家庭基站安全接入的系統(tǒng)���,包括SeGW����、H(e)NB和核心網(wǎng)網(wǎng)元����;其特征在于: 所述SeGW,用于對所述H (e) NB的身份信息進(jìn)行數(shù)字簽名����,并將所述H (e) NB的數(shù)字簽名發(fā)送給所述H (e) NB; 所述H (e) NB,用于在H (e) NB注冊時或UE通過所述H (e) NB接入時�����,將所述H (e) NB的身份信息和所述數(shù)字簽名發(fā)送給核心網(wǎng)網(wǎng)元�����; 所述核心網(wǎng)網(wǎng)元��,用于對所述H(e)NB的身份信息和所述數(shù)字簽名進(jìn)行正確性驗(yàn)證�����。
20.根據(jù)權(quán)利要求19所述的系統(tǒng)�,其特征在于: 所述SeGW采用所述SeGW的私鑰對所述H (e) NB的身份信息進(jìn)行數(shù)字簽名; 對應(yīng)地��,所述核心網(wǎng)網(wǎng)元通過所述SeGW的公鑰對所述H(e)NB的身份信息和所述數(shù)字簽名進(jìn)行正確性驗(yàn)證�。
21.根據(jù)權(quán)利要求19所述的系統(tǒng),其特征在于���,所述SeGW采用動態(tài)會話密鑰對所述H(e)NB的身份信息進(jìn)行數(shù)字簽名���; 所述SeGW將所述動態(tài)會話密鑰通知?dú)w屬用戶服務(wù)器HSS/認(rèn)證授權(quán)計費(fèi)AAA服務(wù)器,所述HSS/AAA服務(wù)器存儲所述動態(tài)會話密鑰���。
22.根據(jù)權(quán)利要求21所述的系統(tǒng)�����,其特征在于: 所述核心網(wǎng)網(wǎng)元從所述AAA/HSS獲取對所述H(e)NB的身份信息數(shù)字簽名的所述臨時會話密鑰���,利用所述臨時會話密鑰驗(yàn)證所述H(e)NB的身份信息���。
23.根據(jù)權(quán)利要求19至22任一項(xiàng)所述的系統(tǒng),其特征在于��,所述H(e)NB的身份信息為家庭基站標(biāo)識H (e) NB ID和H (e) NB的內(nèi)部IP地址���,或閉合用戶組標(biāo)識CSG ID和H (e) NB的內(nèi)部IP地址�,或H(e)NB ID���、CSGID和H(e)NB內(nèi)部IP地址����; 所述核心網(wǎng)網(wǎng)元為移動管理單元MME或GPRS服務(wù)支持節(jié)點(diǎn)SGSN或家庭基站網(wǎng)關(guān)H (e)NB Gff0
24.一種家庭基站安全接入的系統(tǒng)����,包括SeGW、H(e)NB和核心網(wǎng)網(wǎng)元����;其特征在于,所述SeGW與所述核心網(wǎng)網(wǎng)元之間設(shè)置有通信接口����,其中: 所述H(e)NB,用于向所述核心網(wǎng)網(wǎng)元進(jìn)行注冊���,并上報自身的身份信息���; 所述核心網(wǎng)網(wǎng)元, 用于通過所述核心網(wǎng)網(wǎng)元與SeGW之間的通信接口獲取所述H (e) NB進(jìn)行身份認(rèn)證時的身份信息���,并與所述H(e) NB上報的身份信息進(jìn)行正確性驗(yàn)證�����,驗(yàn)證通過后接受所述H (e) NB注冊���。
全文摘要
本發(fā)明公開了一種家庭基站安全接入的方法及系統(tǒng),其中�,所述方法包括SeGW在對H(e)NB進(jìn)行身份認(rèn)證時對所述H(e)NB的身份信息進(jìn)行數(shù)字簽名,并將所述數(shù)字簽名發(fā)送給所述H(e)NB�����;所述H(e)NB在H(e)NB注冊時或在用戶設(shè)備UE通過H(e)NB注冊時�,將所述H(e)NB的身份信息和數(shù)字簽名發(fā)送給核心網(wǎng)網(wǎng)元;所述核心網(wǎng)網(wǎng)元對所述H(e)NB的身份信息和數(shù)字簽名進(jìn)行正確性驗(yàn)證����,驗(yàn)證通過后對所述UE進(jìn)行接入控制�。本發(fā)明避免了非法H(e)NB直接到核心網(wǎng)網(wǎng)元注冊并實(shí)現(xiàn)對UE的業(yè)務(wù)接入���,維護(hù)了網(wǎng)絡(luò)安全�����。
文檔編號H04W12/04GK103096311SQ201110364549
公開日2013年5月8日 申請日期2011年11月4日 優(yōu)先權(quán)日2011年10月31日
發(fā)明者宗在峰, 周曉云, 朱李 申請人:中興通訊股份有限公司