專利名稱:一種家庭基站安全接入網(wǎng)絡(luò)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域,具體而言,本發(fā)明涉及一種家庭基站安全 接入網(wǎng)絡(luò)的方法及系統(tǒng)。
背景技術(shù):
3GPP演進(jìn)的分組系統(tǒng)(EPS, Evolved Packet System)由演進(jìn)的 UTRAN ( E-UTRAN, Evolved Universal Terrestrial Radio Access Network,演進(jìn)的陸地?zé)o線接入網(wǎng))、MME(移動(dòng)性管理單元,Mobility Management Entity )、 S畫GW (月良務(wù)網(wǎng)關(guān),Serving Gateway )、 PDN GW(P-GW, Packet Data Network GateWay,數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)),及其他支 撐節(jié)點(diǎn)組成。其中MME負(fù)責(zé)移動(dòng)性管理、非接入層信令的處理、用 戶的移動(dòng)管理上下文的管理等控制面相關(guān)工作;S-GW是與 E-UTRAN相連的接入網(wǎng)關(guān)設(shè)備,在E-UTRAN和PDN GW之間轉(zhuǎn)發(fā) 數(shù)據(jù),并且負(fù)責(zé)對(duì)尋呼等待數(shù)據(jù)進(jìn)行緩存。P-GW則是3GPP演進(jìn)的 分組系統(tǒng)(EPS, Evolved Packet System )與PDN( Packet Data Network) 網(wǎng)絡(luò)的邊界網(wǎng)關(guān),負(fù)責(zé)PDN的接入、在EPS與PDN間轉(zhuǎn)發(fā)凝:據(jù)等 功能。
根據(jù)安全需要,eNodeB (EvolvedNodeB,演進(jìn)的節(jié)點(diǎn)) 一般放 置在安全的位置,即一般認(rèn)為eNodeB是可信任的,且不易被攻擊的。 但是,為了增加無線覆蓋和無線帶寬, 一種家庭基站(Home eNodeB) 的概念被提出。這種Home eNodeB可作為熱點(diǎn)覆蓋,被放置在公共 場所,如商場、機(jī)場等地,或作為家庭網(wǎng)關(guān)直接放置在居民家中,以 增加用戶感受。上述場景中,HomeeNodeB不歸屬于運(yùn)營商,Home eNodeB的安全成為問題。為了防止非法Home eNodeB的接入,運(yùn)營 商需要對(duì)之進(jìn)行認(rèn)證,并且,為了防止惡意攻擊,運(yùn)營商必須保證從
5Home eNodeB收到的所有數(shù)據(jù)都安全可靠。值得一提的是,從Home eNodeB到運(yùn)營商網(wǎng)絡(luò)的路徑也通常認(rèn)為是不安全的(通常通過 Internet接入到運(yùn)營商網(wǎng)絡(luò))。如何解決Home eNodeB安全接入網(wǎng)絡(luò) 成為尚待解決的問題。
發(fā)明內(nèi)容
針對(duì)現(xiàn)有技術(shù)中存在的問題,本發(fā)明提供了一種家庭基站安全接 入網(wǎng)絡(luò)的方法及系統(tǒng)。
本發(fā)明提供的 一種家庭基站安全接入網(wǎng)絡(luò)的方法為
一種家庭基站安全接入網(wǎng)絡(luò)的方法,應(yīng)用于由家庭基站網(wǎng)關(guān)、演 進(jìn)的分組系統(tǒng)EPS組成的網(wǎng)絡(luò)中,該方法包括
家庭基站接入所述網(wǎng)絡(luò),家庭基站網(wǎng)關(guān)對(duì)家庭基站進(jìn)行接入認(rèn) 證,在所述認(rèn)證過程中產(chǎn)生家庭基站密鑰信息,并將所述家庭基站密 鑰信息發(fā)送給移動(dòng)性管理實(shí)體MME;
MME根據(jù)所述家庭基站密鑰信息生成家庭基站和服務(wù)網(wǎng)關(guān)間的 用戶面安全聯(lián)盟,并將所述用戶面安全聯(lián)盟發(fā)送給家庭基站和服務(wù)網(wǎng)
關(guān);
所述家庭基站利用所述用戶面安全聯(lián)盟接入所述服務(wù)網(wǎng)關(guān)。 進(jìn)一步地,其中,所述家庭基站網(wǎng)關(guān)接入所述網(wǎng)絡(luò),家庭基站網(wǎng)
關(guān)對(duì)所述家庭基站接入認(rèn)證包括
家庭基站選擇家庭基站網(wǎng)關(guān),發(fā)起與家庭基站網(wǎng)關(guān)之間建立IP 安全隧道,在所述建立IP安全隧道過程中,鑒權(quán)認(rèn)證計(jì)費(fèi)服務(wù)器對(duì) 家庭基站進(jìn)行認(rèn)證。
進(jìn)一步地,其中,鑒權(quán)認(rèn)證計(jì)費(fèi)服務(wù)器對(duì)家庭基站進(jìn)行認(rèn)證過程 中,生成根密鑰,并將所述根密鑰發(fā)送給家庭基站網(wǎng)關(guān),所述家庭基 站網(wǎng)關(guān)根據(jù)所述根密鑰生成家庭基站密鑰信息,所述家庭基站密鑰信 息包括用戶面根密鑰。
進(jìn)一步地,其中,所述MME根據(jù)所述家庭基站密鑰信息生成家 庭基站和服務(wù)網(wǎng)關(guān)間的用戶面安全聯(lián)盟,并將所述用戶面安全聯(lián)盟發(fā) 送給家庭基站和服務(wù)網(wǎng)關(guān)包括MME根據(jù)^^'收到的所述用戶面根密鑰計(jì)算生成用戶面密鑰,并 為家庭基站和服務(wù)網(wǎng)關(guān)選擇生成用戶面安全聯(lián)盟,并將所述用戶面安 全聯(lián)盟發(fā)送給服務(wù)網(wǎng)關(guān);并且
發(fā)送給所述家庭基站。
進(jìn)一步地,在將所述用戶面安全聯(lián)盟發(fā)送給家庭基站和服務(wù)網(wǎng)關(guān) 之后,進(jìn)一步包括
服務(wù)網(wǎng)關(guān)根據(jù)用戶面安全聯(lián)盟和用戶面資源信息生成安全策略 庫和安全聯(lián)盟庫;
家庭基站根據(jù)所述用戶面安全聯(lián)盟和所述用戶面資源信息生成 用戶面安全隧道所需的安全策略庫和安全聯(lián)盟庫。
進(jìn)一步地,若所述MME生成所述用戶面安全聯(lián)盟后更新所述用 戶面安全聯(lián)盟,其特征在于,所述方法包括
所述MME決定更新所述用戶面安全聯(lián)盟,將所述更新后的新用 戶面安全聯(lián)盟發(fā)送給家庭基站;家庭基站根據(jù)所述新用戶面安全聯(lián)盟 重新生成所述用戶面安全隧道所需的安全策略庫和安全聯(lián)盟庫;
所述MME將所述新用戶面安全聯(lián)盟發(fā)送給服務(wù)網(wǎng)關(guān);服務(wù)網(wǎng)關(guān) 根據(jù)所述新用戶面安全聯(lián)盟重新生成所述用戶面安全隧道所需的安 全策略庫和安全聯(lián)盟庫。
進(jìn)一步地,所述MME接收到所述家庭基站網(wǎng)關(guān)發(fā)送的用戶面根 密鑰更新請(qǐng)求后決定更新所述用戶面安全聯(lián)盟,所述家庭基站向所述 MME發(fā)送用戶面根密鑰更新請(qǐng)求包括
若所述家庭基站與家庭基站網(wǎng)關(guān)之間的安全聯(lián)盟超時(shí),所述家庭 基站網(wǎng)關(guān)向所述家庭基站關(guān)聯(lián)的MME發(fā)送用戶面根密鑰更新請(qǐng)求。
進(jìn)一步地,所述MME接收到所述用戶面密鑰才艮新.請(qǐng)求后更新所 述用戶面安全聯(lián)盟,所述家庭基站或服務(wù)網(wǎng)關(guān)請(qǐng)求更新用戶面密鑰包 括
家庭基站或服務(wù)網(wǎng)關(guān)通過對(duì)用戶面安全隧道進(jìn)行控制,達(dá)到預(yù)定 控制條件后,家庭基站向MME發(fā)送用戶面密鑰更新請(qǐng)求。本發(fā)明還提供了 一種家庭基站安全接入網(wǎng)絡(luò)的系統(tǒng),所述系統(tǒng)包
括
認(rèn)證模塊,位于家庭基站網(wǎng)關(guān)中,用于對(duì)家庭基站進(jìn)行接入認(rèn)證, 在所述認(rèn)證過程中產(chǎn)生家庭基站密鑰信息,并將所述家庭基站密鑰信 息發(fā)送給MME;
用戶面安全聯(lián)盟構(gòu)造模塊,位于MME中,用于根據(jù)所述家庭基 站密鑰信息生成家庭基站和服務(wù)網(wǎng)關(guān)間的用戶面安全聯(lián)盟,并將所述 用戶面安全聯(lián)盟發(fā)送給家庭基站和服務(wù)網(wǎng)關(guān);
上述的系統(tǒng),其中,所述用戶面安全聯(lián)盟構(gòu)造模塊還用于根據(jù)接 收到所述家庭基站網(wǎng)關(guān)發(fā)送的用戶面根密鑰更新請(qǐng)求后決定更新所 述用戶面安全聯(lián)盟,或者,所述用戶面安全聯(lián)盟構(gòu)造模塊接收到所述 用戶面密鑰根新請(qǐng)求后更新所述用戶面安全聯(lián)盟。
應(yīng)用本發(fā)明的方法,保證了 Home eNodeB安全接入了網(wǎng)絡(luò),同 時(shí),減少了用戶面的跳數(shù),即用戶面可從Home eNodeB直接接入 Serving Gateway而不需經(jīng)過中間節(jié)點(diǎn)Home eNodeB Gateway。
圖l是本發(fā)明所應(yīng)用的系統(tǒng)架構(gòu)圖2是Home eNodeB認(rèn)證和注冊(cè)流程圖3是UE初始注冊(cè)的流程圖4是MME更新用戶面安全聯(lián)盟的流程圖5是用戶面根密鑰的更新流程圖;;
圖6是Home eNodeB或Serving Gateway請(qǐng)求更新用戶面密鑰流 程圖。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)發(fā)明所述的方法及系統(tǒng)祐支進(jìn)一步的詳細(xì)說明。
本發(fā)明所應(yīng)用的系統(tǒng)架構(gòu)圖如圖1所示,其主要包括
202 Home eNodeB:不歸屬于運(yùn)營商的eNodeB,在接入運(yùn)營商
8網(wǎng)絡(luò)前必'須對(duì)之進(jìn)行認(rèn)證,與核心網(wǎng)交互的信令和H據(jù)均須加密保 護(hù)。
204 Home eNodeB Gateway (家庭基站網(wǎng)關(guān))提供對(duì)Home eNodeB的管理功能,包括對(duì)Home eNodeB的認(rèn)證、控制面信令的加 密、控制面信令轉(zhuǎn)發(fā)、用戶面安全聯(lián)盟生成等。當(dāng)支持Sl接口的負(fù) 荷分擔(dān)時(shí),Home eNodeB Gateway還具有MME的選擇功能。
206 SEGW (安全網(wǎng)關(guān)模塊)位于204邏輯實(shí)體中的安全網(wǎng)關(guān)模 塊,負(fù)責(zé)對(duì)Home eNodeB的認(rèn)證、控制面信令的加密、用戶面安全 聯(lián)盟的生成。
208 HBS-C ( Home Base Station Controller,家庭基站控制器)位 于204邏輯實(shí)體中的Home eNodeB管理才莫塊,負(fù)責(zé)Home eNodeB的 注冊(cè)、管理,負(fù)責(zé)MME的選擇。
210 MME ( Mobility Management entity,移動(dòng)性管理實(shí)體)其功 能包括對(duì)用戶的認(rèn)證、上下文管理、,動(dòng)性管理、會(huì)話管理、承載管 理等功能。除此之外,該實(shí)體還負(fù)責(zé)用戶面安全聯(lián)盟的分發(fā)。
212 Serving Gateway (S-GW,月良務(wù)網(wǎng)關(guān))其功能包括用戶面數(shù) 據(jù)的轉(zhuǎn)發(fā)、承載管理、和Home eNodeB間數(shù)據(jù)加密等功能。
214 SEGW:位于212中的安全網(wǎng)關(guān)模塊,負(fù)責(zé)Home eNodeB和 Serving Gateway間的凄允據(jù)力口密。
216HSS(歸屬用戶服務(wù)器)用于保持用戶簽約數(shù)據(jù),生成安全 向量等功能。
218 AAA服務(wù)器或代理(AAA Server/Proxy):認(rèn)證服務(wù)器,負(fù) 責(zé)對(duì)Home eNodeB和UE進(jìn)行認(rèn)證,它/人216中獲取認(rèn)證所需的安 全向量等信息。
備接口描述如下
IuH 4妄口 是Home eNodeB和Home eNodeB Gateway間的4妄口 , 該接口提供對(duì)Home eNodeB的認(rèn)證功能、Home eNodeB的管理消息、 SI接口消息的傳遞和加密等功能。
S1 -AP接口 是Home eNodeB和MME間的邏輯接口 ,該接口 用于傳遞Home eNodeB和MME間的控制信令及非接入層消息(NAS 消息,None Access Stratum )。S1畫AP承接口 是Home eNodeB Gateway和MME間的4妄口 ,'該 接口提供用戶面安全聯(lián)盟的分發(fā)、S1-AP消息的傳遞等功能。
S1 -UP接口 是Home eNodeB和Serving Gateway間的用戶面接-口,該接口提供用戶面數(shù)據(jù)的加密。
S11 *接口 是MME與Serving Gateway間的接口 ,該接口還提 供用戶面安全聯(lián)盟的分發(fā)功能、MME與Serving Gateway間控制信令 的傳遞等功能。
Wm接口 是位于Home eNodeB Gateway中的安全網(wǎng)關(guān)(SEGW) 與AAA服務(wù)器/代理之間的接口 ,用于完成對(duì)Home eNodeB的授權(quán) 認(rèn)證等功能。
DVGr 1妾口 AAA服務(wù)器/代理與HSS間的沖妄口 ,用于認(rèn)證向量 和簽約l史據(jù)的下載、更新等。
實(shí)施例一
圖2是Home eNodeB認(rèn)證和注冊(cè)流程圖。當(dāng)Home eNodeB首次 接入網(wǎng)絡(luò)時(shí),Home eNodeB Gateway對(duì)之進(jìn)行認(rèn)證,并與之建立IPSec 安全聯(lián)盟。在完成IPSec安全聯(lián)盟的建立后,Home eNodeB發(fā)起到 Home eNodeB Gateway的注冊(cè)流程。AAA H務(wù)器和HSS間的實(shí)現(xiàn)不 影響本發(fā)明,因此,在本實(shí)施例中將AAA服務(wù)器和HSS放置在同一 實(shí)體中,本實(shí)施例不詳細(xì)描述AAA服務(wù)器和HSS間的接口實(shí)現(xiàn)。各 步驟詳細(xì)描述如下
402 Home eNodeB首次接入網(wǎng)絡(luò)時(shí)(如剛上電或重新起動(dòng)等), Home eNodeB根據(jù)配置或DNS解析選擇適當(dāng)?shù)腍ome eNodeB Gateway。 Home eNodeB發(fā)起與Home eNodeB Gateway間建立IPSec
(IP Security, IP安全)安全隧道。在建立安全隧道的過程中,Home eNodeB Gateway對(duì)Home eNodeB進(jìn)行認(rèn)證。若認(rèn)證協(xié)議是EAP
(Extensible Authentication Protocol, 可才廣展i人i正十辦i義),貝'J乂十Home eNodeB認(rèn)證的實(shí)體為AAA服務(wù)器。AAA服務(wù)器根據(jù)需要從HSS中 獲取認(rèn)證向量、用戶簽約數(shù)據(jù)等信息。若Home eNodeB Gateway和 AAA服務(wù)器不能直接接口 ,則可通過AAA代理服務(wù)器在他們之間轉(zhuǎn) 發(fā)消息。在認(rèn)證完成后,AAA服務(wù)器將生成根密鑰,并將該根密鑰通過AAA協(xié)議發(fā)生給Home eNodeB Gate由y。 Home eNodeB Gateway 根據(jù)該根密鑰計(jì)算用戶面根密鑰。
404所有在Home eNodeB和Home eNodeB Gateway間傳遞的IP 包,包括Sl-AP消息、Home eNodeB管理消息等均需在上述安全隧 道中力口密傳遞。
406 Home eNodeB發(fā)起到Home eNodeB Gateway的注冊(cè)。
實(shí)施例二
圖3是UE初始注冊(cè)的流程圖。在UE注冊(cè)過程中,Home eNodeB Gateway將為該UE選擇MME,并且生成用戶面安全耳關(guān)盟,Home eNodeB Gateway將用戶面根密鑰發(fā)生給MME, MME根據(jù)該用戶面 根密鑰生成用戶面安全聯(lián)盟,并將之分發(fā)給Home eNodeB和Serving Gateway 。
該流程圖中,用戶面安全聯(lián)盟通過Sl-AP消息捎帶給Home eNodeB,通過創(chuàng)建承載請(qǐng)求消息捎帶給Serving Gateway。 實(shí)施例二詳細(xì)流程描述如下
602 UE向Home eNodeB發(fā)送附著請(qǐng)求消息,該附著請(qǐng)求消息通 過RRC ( Radio Resource Control、無線資源控制)消息傳遞。
604 Home eNodeB將該附著請(qǐng)求消息通過Sl-AP消息發(fā)送給 Home eNodeB Gateway。
606 Home eNodeB Gateway為該UE選擇MME。
608若該MME之前未與Home eNodeB Gateway建立連4妄,則 Home eNodeB Gateway根據(jù)實(shí)施例一 中步驟402認(rèn)證時(shí)產(chǎn)生的根密鑰 計(jì)算用戶面加密所需的用戶面4艮密鑰。該過程由Home eNodeB Gateway中的安全網(wǎng)關(guān)模塊和HBS-C模塊協(xié)作完成。
610 Home eNodeB Gateway將步驟604收到的附著請(qǐng)求消息及 608步生成的用戶面根密鑰,通過S1-APW肖息發(fā)生給所選擇的MME。
612 MME收到附著請(qǐng)求消息后對(duì)該UE進(jìn)行認(rèn)證,在此過程中 MME從HSS獲取認(rèn)證向量和用戶簽約信息,同時(shí)MME向HSS注 冊(cè)為該UE服務(wù)。
614 MME為該UE選4奪合適的Serving Gateway。
ii616 MME根據(jù)需要使用步驟610收到的用戶面根密鑰計(jì)算用戶 面加密所需的用戶面密鑰。
根據(jù)策略,該用戶面安全可以是UE級(jí)別的,即每個(gè)UE對(duì)應(yīng)一 條Home eNodeB與Serving Gateway間的安全隧道,也可以是網(wǎng)元級(jí) 別的,即在一對(duì)Home eNodeB和Serving Gateway之間建立一條安全 隧道,為所有由該對(duì)Home eNodeB和Serving Gateway服務(wù)的UE共 享。若安全隧道是網(wǎng)元級(jí)別,則MME判斷所選eNodeB和Serving Gateway之間是否已建立安全隧道,若安全隧道不存在,或安全隧道 的密鑰過期,則MME根據(jù)用戶面根密鑰重新計(jì)算新的用戶面密鑰; 否則,MME不需計(jì)算用戶面密鑰。若安全隧道是用戶級(jí)別,則在附 著過程中,MME總是需要計(jì)算新的用戶面密鑰。
MME根據(jù)eNodeB和Serving Gateway能力為它們間的安全隧道 選擇合適的安全算法、安全模式(如完整性保護(hù)、加密、隧道才莫式或 傳輸模式等)、加密范圍(如UE級(jí)別或網(wǎng)元級(jí)別)等,MME將用戶 面密鑰、安全算法、安全模式、加密范圍等信息組成用戶面安全聯(lián)盟。
MME向所選Serving Gateway發(fā)送創(chuàng)建7 義載請(qǐng)求,MME將上述 用戶面安全聯(lián)盟發(fā)送給Serving Gateway。
618 Serving Gateway為該UE分配用戶面資源。Serving Gateway 保存用戶面安全聯(lián)盟。根據(jù)用戶面安全聯(lián)盟和用戶面資源信息, Serving Gateway生成安全隧道所需的安全策略庫和安全聯(lián)盟庫。 Serving Gateway將相應(yīng)的用戶面資源信息,如GTP隧道的上行TEID、 上行IP地址等信息發(fā)送給MME。
620 MME向Home eNodeB發(fā)送創(chuàng)建承載請(qǐng)求,在該消息中, MME將用戶面安全聯(lián)盟信息和步驟618中Serving Gateway分配的用 戶面資源信息發(fā)送給Home eNodeB。 Home eNodeB 4艮據(jù)該信息生成 用戶面安全隧道所需的安全策略庫和安全耳關(guān)盟庫。Home eNodeB為 該UE分配無線資源和Sl-UP接口資源。
622 Home eNodeB將Sl-UP接口資源信息通過承載更新消息發(fā) 生給Serving Gateway 。
Serving Gateway保持Sl-UP接口資源信息,并根據(jù)該資源信息 更新本地的用戶面安全策略庫和安全聯(lián)盟庫。Serving Gateway向Home eNodeB發(fā)生7 義載更新確-〖人消息。'
該步驟中的消息均經(jīng)過MME中轉(zhuǎn),MME將其中的S1 -UP接口 資源信息記錄在本地?cái)?shù)據(jù)庫。
624至此,在Home eNodeB和Serving GW之間創(chuàng)建了用戶面, 并建立了用戶面安全隧道。
626 MME向UE發(fā)生附著確認(rèn)消息。UE附著流程結(jié)束。
實(shí)施例三
圖4是MME更新用戶面安全聯(lián)盟的流程圖。該流程適用于UE 級(jí)別的用戶面安全和網(wǎng)元級(jí)別的用戶面安全,流程圖詳述如下
802MME決定需要更新用戶面安全聯(lián)盟。比如,MME收到來自 Home eNodeB Gateway的用戶面才艮密鑰更新i貪求。MME根據(jù)用戶面 根密鑰生成新的用戶面加密密鑰。MME可根據(jù)需要決定是否需改變 安全聯(lián)盟中的其他參數(shù),如安全算法等。MME生成新的用戶面安全 聯(lián)盟。
804 MME將新用戶面安全4關(guān)盟發(fā)生癥會(huì)Home eNodeB。 806 Home eNodeB才艮據(jù)步驟804收到新的用戶面安全聯(lián)盟及現(xiàn)有 的用戶面安全4關(guān)盟生成新的用戶面策略庫和用戶面安全聯(lián)盟庫。 Home eNodeB同時(shí)保存新加密信息和舊加密信息。Home eNodeB仍 然使用舊加密信息對(duì)上行數(shù)據(jù)包加密;Home eNodeB嘗試新舊兩套 加密信息對(duì)下行數(shù)據(jù)包的解密,哪套成功用哪套。當(dāng)Home eNodeB 收到使用新加密信息加密的下行數(shù)據(jù)包后,Home eNodeB啟用新加 密信息加密上行數(shù)據(jù)包,此時(shí),Home eNodeB可以刪除舊加密信息。 808 MME向Serving GW發(fā)送新用戶面安全聯(lián)盟。 810 Serving GW根據(jù)步驟808收到新的用戶面安全聯(lián)盟及現(xiàn)有的 用戶面安全聯(lián)盟生成新的用戶面策略庫和用戶面安全耳關(guān)盟庫。Serving Gateway同時(shí)保存新加密信息和舊加密信息。Serving Gateway使新加 密信息對(duì)下行數(shù)據(jù)包加密;Serving Gateway嘗試新舊兩套加密信息對(duì) 上行數(shù)據(jù)包的解密。當(dāng)Serving Gateway收到使用新加密信息加密的 上行數(shù)據(jù)包后,Serving Gateway刪除舊加密信息。
13實(shí)施例四
圖5是用戶面根密鑰的更新流程圖。當(dāng)Home eNodeB Gateway 對(duì)Home eNodeB重新認(rèn)證后,Home eNodeB Gateway根據(jù)策略決定 是否需向該Home eNodeB所關(guān)聯(lián)的MME更新用戶面才艮密鑰。該流 程是Home eNodeB Gateway決定要更新用戶面才艮密鑰的流程。在 Home eNodeB Gateway中需保存Home eNodeB所關(guān)耳關(guān)的MME的列 表,該列表中的MME為駐留在該HomeeNodeB中的某一UE服務(wù)。 實(shí)施例四的詳細(xì)步驟描述如下
1002 Home eNodeB與Home eNodeB Gateway間的安全耳關(guān)盟更 新。當(dāng)安全聯(lián)盟即將超時(shí),可由Home eNodeB或Home eNodeB Gateway觸發(fā)該過禾呈。該過禾呈結(jié)束后,Home eNodeB Gateway為該 Home eNodeB所關(guān)聯(lián)的每個(gè)MME計(jì)算新的用戶面根密鑰。
1004 Home eNodeB Gateway向該Home eNodeB所關(guān)聯(lián)的每個(gè) MME發(fā)送用戶面根密鑰更新消息。
1006 MME在收到來自Home eNodeB Gateway的用戶面才艮密鑰 更新消息后l吏用實(shí)施例三所描述的流禾呈更新Home eNodeB和Serving Gateway中的用戶面安全聯(lián)盟。
實(shí)施例五
圖6是Home eNodeB或Serving Gateway請(qǐng)求更新用戶面密鑰流 程圖。Home eNodeB或Serving Gateway可才艮據(jù)通過該用戶面安全隧 道的數(shù)據(jù)包數(shù)決定向MME發(fā)起更新用戶面密鑰的過程。實(shí)施例五的 詳細(xì)步驟描述如下
1202a Home eNodeB對(duì)通過用戶面安全隧道的每個(gè)數(shù)據(jù)包進(jìn)行 計(jì)數(shù),若計(jì)數(shù)器超過某一閥值,Home eNodeB向MME發(fā)送請(qǐng)求更新 用戶面密鑰消息。Home eNodeB還可啟動(dòng)定時(shí)器,若用戶面密鑰的 使用壽命超過一定時(shí)長時(shí),Home eNodeB也可向MME發(fā)送請(qǐng)求更新 用戶面密鑰消息。
1202b同樣,Serving Gateway亦可能發(fā)起更新用戶面密鑰請(qǐng)求。 觸發(fā)條件類似Home eNodeB的觸發(fā)條件。
1204 MME收到更新用戶面密鑰請(qǐng)求消息后發(fā)起實(shí)施例三所描
14述用戶面安全聯(lián)盟更新流程,對(duì)用戶面密鑰進(jìn)行更新。
系統(tǒng)實(shí)施例
本發(fā)明還提供了 一種家庭基站安全接入網(wǎng)絡(luò)的系統(tǒng),所述系統(tǒng)包
括
認(rèn)證模塊,位于家庭基站網(wǎng)關(guān)中,用于對(duì)家庭基站進(jìn)行接入認(rèn)證, 在所述認(rèn)證過程中產(chǎn)生家庭基站密鑰信息,并將所述家庭基站密鑰信 息發(fā)送給MME;
用戶面安全聯(lián)盟構(gòu)造模塊,位于MME中,用于根據(jù)所述家庭基 站密鑰信息生成家庭基站和服務(wù)網(wǎng)關(guān)間的用戶面安全聯(lián)盟,并將所述 用戶面安全聯(lián)盟發(fā)送給家庭基站和服務(wù)網(wǎng)關(guān)。
在該系統(tǒng)中,所述用戶面安全聯(lián)盟構(gòu)造模塊還用于根據(jù)接收到所 述家庭基站網(wǎng)關(guān)發(fā)送的用戶面根密鑰更新請(qǐng)求后決定更新所述用戶 面安全聯(lián)盟,或者,所述用戶面安全聯(lián)盟構(gòu)造;f莫塊接收到所述用戶面 密鑰根新請(qǐng)求后更新所述用戶面安全聯(lián)盟。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明, 對(duì)于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本 發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng) 包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1、一種家庭基站安全接入網(wǎng)絡(luò)的方法,應(yīng)用于由家庭基站網(wǎng)關(guān)、演進(jìn)的分組系統(tǒng)EPS組成的網(wǎng)絡(luò)中,其特征在于,所述方法包括家庭基站接入所述網(wǎng)絡(luò),家庭基站網(wǎng)關(guān)對(duì)家庭基站進(jìn)行接入認(rèn)證,在所述認(rèn)證過程中產(chǎn)生家庭基站密鑰信息,并將所述家庭基站密鑰信息發(fā)送給移動(dòng)性管理實(shí)體MME;MME根據(jù)所述家庭基站密鑰信息生成家庭基站和服務(wù)網(wǎng)關(guān)間的用戶面安全聯(lián)盟,并將所述用戶面安全聯(lián)盟發(fā)送給家庭基站和服務(wù)網(wǎng)關(guān);所述家庭基站利用所述用戶面安全聯(lián)盟接入所述服務(wù)網(wǎng)關(guān)。
2、 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述家庭基站網(wǎng)關(guān)接入所述網(wǎng)絡(luò),家庭基站網(wǎng)關(guān)對(duì)所述家庭基站接入認(rèn)證包括家庭基站選擇家庭基站網(wǎng)關(guān),發(fā)起與家庭基站網(wǎng)關(guān)之間建立IP安全隧道,在所述建立IP安全隧道過程中,鑒權(quán)認(rèn)證計(jì)費(fèi)服務(wù)器對(duì)家庭基站進(jìn)行認(rèn)證。
3、 根據(jù)權(quán)利要求2所述的方法,其特征在于,鑒權(quán)認(rèn)證計(jì)費(fèi)服務(wù)器對(duì)家庭基站進(jìn)行認(rèn)證過程中,生成根密鑰,并將所述根密鑰發(fā)送給家庭基站網(wǎng)關(guān),所述家庭基站網(wǎng)關(guān)根據(jù)所述根密鑰生成家庭基站密鑰信息,所述家庭基站密鑰信息包括用戶面根密鑰。
4、 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述MME根據(jù)所述家庭基站密鑰信息生成家庭基站和服務(wù)網(wǎng)關(guān)間的用戶面安全聯(lián)盟,并將所述用戶面安全聯(lián)盟發(fā)送給家庭基站和服務(wù)網(wǎng)關(guān)包括MME根據(jù)接收到的所述用戶面根密鑰計(jì)算生成用戶面密鑰,并為家庭基站和服務(wù)網(wǎng)關(guān)選擇生成用戶面安全聯(lián)盟,并將所述用戶面安全聯(lián)盟發(fā)送給服務(wù)網(wǎng)關(guān);并且MME將所述用戶面安全聯(lián)盟和所述服務(wù)網(wǎng)關(guān)的用戶面資源信息發(fā)送給所述家庭基站,。
5、 根據(jù)權(quán)利要求4所述的方法,其特征在于,在將所述用戶面安全聯(lián)盟發(fā)送給家庭基站和服務(wù)網(wǎng)關(guān)之后,進(jìn)一步包括服務(wù)網(wǎng)關(guān)根據(jù)用戶面安全聯(lián)盟和用戶面資源信息生成安全策略庫和安全聯(lián)盟庫;家庭基站根據(jù)所述用戶面安全聯(lián)盟和所述用戶面資源信息生成用戶面安全隧道所需的安全策略庫和安全聯(lián)盟庫。
6、 根據(jù)權(quán)利要求4所述的方法,若所述MME生成所述用戶面安全聯(lián)盟后更新所述用戶面安全聯(lián)盟,其特征在于,所述方法包括所述MME決定更新所述用戶面安全聯(lián)盟,將所述更新后的新用戶面安全聯(lián)盟發(fā)送給家庭基站;家庭基站根據(jù)所述新用戶面安全聯(lián)盟重新生成所述用戶面安全隧道所需的安全策略庫和安全聯(lián)盟庫;所述MME將所述新用戶面安全聯(lián)盟發(fā)送給服務(wù)網(wǎng)關(guān);服務(wù)網(wǎng)關(guān)#4居所述新用戶面安全耳關(guān)盟重新生成所述用戶面安全隧道所需的安全策略庫和安全聯(lián)盟庫。
7、 根據(jù)權(quán)利要求6所述的方法,其特征在于,所述MME接收到所述家庭基站網(wǎng)關(guān)發(fā)送的用戶面根密鑰更新請(qǐng)求后決定更新所述用戶面安全聯(lián)盟,所述家庭基站向所述MME發(fā)送用戶面根密鑰更新請(qǐng)求包括若所述家庭基站與家庭基站網(wǎng)關(guān)之間的安全聯(lián)盟超時(shí),所述家庭基站網(wǎng)關(guān)向所述家庭基站關(guān)聯(lián)的MME發(fā)送用戶面根密鑰更新請(qǐng)求。
8、 根據(jù)權(quán)利要求6所述的方法,其特征在于,所述MME接收到所述用戶面密鑰根新請(qǐng)求后更新所述用戶面安全聯(lián)盟,所述家庭基站或服務(wù)網(wǎng)關(guān)請(qǐng)求更新用戶面密鑰包括家庭基站或服務(wù)網(wǎng)關(guān)通過對(duì)用戶面安全隧道進(jìn)行控制,達(dá)到預(yù)定控制條件后,家庭基站向MME發(fā)送用戶面密鑰更新請(qǐng)求。
9、 一種家庭基站安全接入網(wǎng)絡(luò)的系統(tǒng),其特征在于,所述系統(tǒng)包括認(rèn)證模塊,位于家庭基站網(wǎng)關(guān)中,用于對(duì)家庭基站進(jìn)行接入認(rèn)證,在所述認(rèn)證過程中產(chǎn)生家庭基站密鑰信息,并將所述家庭基站密鑰信息發(fā)送給MME;用戶面安全聯(lián)盟構(gòu)造模塊,位于MME中,用于根據(jù)所述家庭基站密鑰信息生成家庭基站和服務(wù)網(wǎng)關(guān)間的用戶面安全聯(lián)盟,并將所述用戶面安全聯(lián)盟發(fā)送給家庭基站和服務(wù)網(wǎng)關(guān)。
10、 根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述用戶面安全聯(lián)盟構(gòu)造模塊還用于根據(jù)接收到所述家庭基站網(wǎng)關(guān)發(fā)送的用戶面根密鑰更新請(qǐng)求后決定更新所述用戶面安全聯(lián)盟,或者,所述用戶面安全聯(lián)盟構(gòu)造模塊接收到所述用戶面密鑰根新請(qǐng)求后更新所述用戶面安全聯(lián)盟。
全文摘要
本發(fā)明旨在一種家庭基站安全接入網(wǎng)絡(luò)的方法,應(yīng)用于由家庭基站網(wǎng)關(guān)、演進(jìn)的分組系統(tǒng)EPS組成的網(wǎng)絡(luò)中,包括家庭基站接入所述網(wǎng)絡(luò),家庭基站網(wǎng)關(guān)對(duì)家庭基站進(jìn)行接入認(rèn)證,在所述認(rèn)證過程中產(chǎn)生家庭基站密鑰信息,并將所述家庭基站密鑰信息發(fā)送給MME;MME根據(jù)所述家庭基站密鑰信息生成家庭基站和服務(wù)網(wǎng)關(guān)間的用戶面安全聯(lián)盟,并將所述用戶面安全聯(lián)盟發(fā)送給家庭基站和服務(wù)網(wǎng)關(guān);家庭基站利用所述用戶面安全聯(lián)盟接入所述服務(wù)網(wǎng)關(guān);本發(fā)明還提供了一種家庭基站安全接入網(wǎng)絡(luò)的系統(tǒng);應(yīng)用本發(fā)明的方法,保證了家庭基站安全接入了網(wǎng)絡(luò),同時(shí),減少了用戶面的跳數(shù)。
文檔編號(hào)H04W12/06GK101674578SQ200810216090
公開日2010年3月17日 申請(qǐng)日期2008年9月12日 優(yōu)先權(quán)日2008年9月12日
發(fā)明者霖 劉, 宗在峰, 敏 方, 朱進(jìn)國, 王衛(wèi)斌 申請(qǐng)人:中興通訊股份有限公司