專利名稱:一種驗(yàn)證消息的無線通信網(wǎng)絡(luò)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,特別涉及無線通信。
背景技術(shù):
無線通信系統(tǒng)是眾所周知的。許多此類系統(tǒng)為蜂窩式,因?yàn)闊o線覆蓋是通過一束被稱為小區(qū)的無線覆蓋區(qū)域來提供的。提供無線覆蓋的基站位于每一小區(qū)中。傳統(tǒng)基站在相對(duì)大的地理區(qū)域提供覆蓋,對(duì)應(yīng)的小區(qū)通常被稱為宏小區(qū)。在宏小區(qū)中建立較小規(guī)模的小區(qū)是可能的。小于宏小區(qū)的小區(qū)有時(shí)被稱為小小區(qū)(small cell)、微小區(qū)(microcell)、微微小區(qū)(picocell)或飛小區(qū)(f emtocell),但是,我們將術(shù)語飛小區(qū)一般地用于小于宏小區(qū)的小區(qū)。建立飛小區(qū)的一種方式包括提供運(yùn)行于宏小區(qū)覆蓋區(qū)域內(nèi)相對(duì)有限范圍的飛小區(qū)基站。運(yùn)用飛小區(qū)基站的一個(gè)示例包括在建筑物內(nèi)提供無線通信覆蓋。飛小區(qū)基站(femtocell base stations)有時(shí)被稱為毫微微基站(femto)。飛小區(qū)基站具有相對(duì)低的發(fā)射功率,因而,每一飛小區(qū)具有比宏小區(qū)小的覆蓋區(qū)域。典型的覆蓋范圍為幾十米。飛小區(qū)基站具有自動(dòng)配置和自優(yōu)化功能,以便支持非優(yōu)化的部署,即由用戶實(shí)現(xiàn)的即插即用式部署,以便自動(dòng)地將它們集成于現(xiàn)有的宏小區(qū)網(wǎng)絡(luò)中。飛小區(qū)基站主要用于特定家庭及辦公室內(nèi)的用戶。飛小區(qū)基站可為私有接入(“封閉”)或公共接入(“開放”)。在私有接入的飛小區(qū)基站中,接入僅限于注冊(cè)用戶,例如家庭成員或特定雇員群體。在公共接入的飛小區(qū)基站,其他用戶也可使用飛小區(qū)基站,服從于某些限制以保護(hù)注冊(cè)用戶所接收到的服務(wù)質(zhì)量。一種已知類型的飛小區(qū)基站利用寬帶互聯(lián)網(wǎng)協(xié)議連接作為“回程”(backhaul),即用于至核心網(wǎng)絡(luò)的連接。一種寬帶互聯(lián)網(wǎng)協(xié)議連接包括數(shù)字用戶線路(DSL)。DSL將飛小區(qū)基站的DSL發(fā)射裝置-接收裝置(“收發(fā)裝置”)連接至核心網(wǎng)絡(luò)。DSL允許經(jīng)由所支持的飛小區(qū)基站提供的語音通話和其他服務(wù)。飛小區(qū)基站還包括被連接至用于無線通信的天線的無線射頻(RF)收發(fā)裝置。為了與宏小區(qū)網(wǎng)絡(luò)相集成,飛小區(qū)基站需要與(第二代/2.5代(2.5G)/第三代)宏小區(qū)網(wǎng)絡(luò)中的各種網(wǎng)元交換信令消息。該信令符合相關(guān)的第三代合作伙伴項(xiàng)目(3GPP)標(biāo)準(zhǔn),以使飛小區(qū)表現(xiàn)為一個(gè)或多個(gè)3GPP兼容的節(jié)點(diǎn)。為實(shí)現(xiàn)此,飛小區(qū)基站被分組為簇,每一簇經(jīng)由稱為飛小區(qū)基站網(wǎng)關(guān)的網(wǎng)關(guān)被連接至宏小區(qū)網(wǎng)絡(luò)。飛小區(qū)基站網(wǎng)關(guān)終止在宏小區(qū)網(wǎng)絡(luò)中的核心網(wǎng)元與飛小區(qū)簇之間的信令,從而,使飛小區(qū)的整個(gè)簇能夠表現(xiàn)為單個(gè)虛擬的無線網(wǎng)絡(luò)控制裝置(RNC),如3GPP標(biāo)準(zhǔn)所要求。飛小區(qū)基站網(wǎng)關(guān)可支持在簇中的數(shù)千個(gè)飛小區(qū)。通過用戶的很少或無參與,每一飛小區(qū)基站連接并注冊(cè)至該飛小區(qū)基站網(wǎng)關(guān)。飛小區(qū)基站有時(shí)被稱為毫微微基站(femto)。這是基本原則一每一飛小區(qū)基站,即便被入侵,不應(yīng)干擾另一個(gè)飛小區(qū)基站的運(yùn)行。相應(yīng)地,來自飛小區(qū)基站的注冊(cè)信息必須驗(yàn)證為可信的。如圖I所示(現(xiàn)有技術(shù)),在一個(gè)已知的方法中,安全網(wǎng)關(guān)I在飛小區(qū)基站3和飛小區(qū)基站網(wǎng)關(guān)5之間的被提供。飛小區(qū)基站3向安全網(wǎng)關(guān)I驗(yàn)證其自身,并建立至安全網(wǎng)關(guān)I的安全的互聯(lián)網(wǎng)協(xié)議隧道。該驗(yàn)證對(duì)建立該飛小區(qū)基站的信任證書是足夠的。
發(fā)明內(nèi)容
讀者可參見所附加的獨(dú)立權(quán)利要求。一些優(yōu)選特征在從屬權(quán)利要求中被列出。本發(fā)明的一個(gè)示例包括一種驗(yàn)證來自無線通信網(wǎng)絡(luò)中飛小區(qū)基站的消息的方法,其中,所述無線通信網(wǎng)絡(luò)包括安全網(wǎng)關(guān)和飛小區(qū)基站網(wǎng)關(guān),該方法包括步驟在所述安全網(wǎng)關(guān)中檢查來自所述飛小區(qū)基站的消息中的源IP地址,是否與預(yù)期來自該飛小區(qū)基站的相符合;及在所述飛小區(qū)基站網(wǎng)關(guān)中,通過檢查將飛小區(qū)基站標(biāo)識(shí)符與源IP地址數(shù)據(jù)相關(guān)聯(lián)的數(shù)據(jù)庫,檢查所述消息中的源IP地址是否與預(yù)期來自該飛小區(qū)基站的相符合。一些優(yōu)選實(shí)施例提供一種確定飛小區(qū)基站已經(jīng)被驗(yàn)證的方法。符合標(biāo)準(zhǔn)的安全網(wǎng)關(guān)驗(yàn)證經(jīng)由IP安全隧道所接收的分組的源IP地址是否匹配被分配給該飛小區(qū)基站的地址或地址范圍。此外,該源IP地址作為注冊(cè)消息的部分被發(fā)送至該飛小區(qū)基站網(wǎng)關(guān),因此,該飛小區(qū)基站網(wǎng)關(guān)能夠?qū)⒃擄w小區(qū)基站的身份與該源IP地址相關(guān)聯(lián),因而驗(yàn)證該消息的真實(shí)性。在優(yōu)選實(shí)施例中,源IP地址數(shù)據(jù)包括源IP地址或源IP地址范圍-這可包括虛
擬專用網(wǎng)絡(luò)VPN IP地址或VPN IP地址范圍——并且,在隧道被建立時(shí)被分配并在該隧道的期間未被改變。在優(yōu)選實(shí)施例中,IP地址或IP地址范圍通過飛小區(qū)基站網(wǎng)關(guān),或該飛小區(qū)基站網(wǎng)關(guān)可查詢的其它網(wǎng)元,來被分配,以獲取所存儲(chǔ)的、在飛小區(qū)基站標(biāo)識(shí)符與源IP地址或地址范圍之間的映射。隨后,當(dāng)飛小區(qū)基站網(wǎng)關(guān)接收包括源IP地址的注冊(cè)請(qǐng)求消息時(shí),該飛小區(qū)基站網(wǎng)關(guān)運(yùn)用所存儲(chǔ)的映射來確定該消息真正地來自于發(fā)送的飛小區(qū)基站。本發(fā)明可被用于具有通用移動(dòng)通信系統(tǒng)(UMTS)飛小區(qū)基站的網(wǎng)絡(luò),以及涉及利用與飛小區(qū)基站網(wǎng)關(guān)相分離的安全網(wǎng)關(guān)的飛小區(qū)基站的其他網(wǎng)絡(luò)。優(yōu)選實(shí)施例有利地防止受入侵的飛小區(qū)基站獲得網(wǎng)絡(luò)訪問,支持安全網(wǎng)關(guān)和飛小區(qū)基站網(wǎng)關(guān)功能相分離。
通過舉例并參照附圖,本發(fā)明的實(shí)施例現(xiàn)在將被描述,其中圖I為示出飛小區(qū)基站驗(yàn)證/授權(quán)(現(xiàn)有技術(shù))的已知方式的示意圖;圖2為示出飛小區(qū)驗(yàn)證/授權(quán)的替代方式(備選方案)的示意圖;圖3為示出根據(jù)本發(fā)明第一實(shí)施例的無線通信網(wǎng)絡(luò)的示意圖;圖4為示出在圖I所示的一個(gè)宏小區(qū)中示例飛小區(qū)基站部署的示意圖;圖5為更詳細(xì)不出圖3和4中所不飛小區(qū)基站、安全網(wǎng)關(guān)和飛小區(qū)基站網(wǎng)關(guān)的不意圖;圖6為不出運(yùn)用圖5所不裝置的飛小區(qū)基站授權(quán)方案的消息序列不意圖;圖7為示出根據(jù)本發(fā)明的第二實(shí)施例的飛小區(qū)基站、安全網(wǎng)關(guān)、飛小區(qū)基站網(wǎng)關(guān)和動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器的示意圖;及
圖8為不出運(yùn)用圖7所不裝置的飛小區(qū)基站授權(quán)方案的消息序列不意圖。
具體實(shí)施例方式發(fā)明人意識(shí)到,在圖1(現(xiàn)有技術(shù))所示已知方法中,自飛小區(qū)基站3的通信被發(fā)往在安全網(wǎng)關(guān)I后面的網(wǎng)元,諸如飛小區(qū)基站網(wǎng)關(guān)5,該通信不包括加密或驗(yàn)證信息,因?yàn)檫@被安全網(wǎng)關(guān)I移除。因此,被入侵的飛小區(qū)基站最初用其正確的身份向安全網(wǎng)關(guān)驗(yàn)證,隨后可運(yùn)用不同的身份連接至飛小區(qū)基站網(wǎng)關(guān)5并向其注冊(cè)。安全網(wǎng)關(guān)I沒有將該注冊(cè)消息檢測(cè)為無效,因?yàn)樵摪踩W(wǎng)關(guān)不驗(yàn)證負(fù)載信息。按照這種方式偽裝注冊(cè)消息,使飛小區(qū)基站所有者危害安全成為可能,例如,通過變更飛小區(qū)基站配置以使該飛小區(qū)基站變?yōu)殚_放接入,從而使第三方用戶終端通過該飛小區(qū)拔打電話成為可能。這允許該所有者然后竊聽通過該飛小區(qū)基站拔打的通話,包括名人電話,因此危及隱私。發(fā)明人意識(shí)到,備選方案(既非現(xiàn)有技術(shù),也非本發(fā)明的實(shí)施例)將安全網(wǎng)關(guān)和飛小區(qū)基站網(wǎng)關(guān)組合為一個(gè)單一的設(shè)備。這如圖2所示(備選方案),并為當(dāng)前3GPP通用移 動(dòng)通訊系統(tǒng)(UMTS)標(biāo)準(zhǔn)的版本9所允許的解決方案。這使在該設(shè)備中的飛小區(qū)基站網(wǎng)關(guān)功能能夠利用該設(shè)備上的安全網(wǎng)關(guān)驗(yàn)證功能來驗(yàn)證注冊(cè)消息的源。然而,發(fā)明人意識(shí)到,這樣的結(jié)合并非總是很實(shí)用。例如,飛小區(qū)基站網(wǎng)關(guān)通常由飛小區(qū)基站制造商提供給網(wǎng)絡(luò)運(yùn)營(yíng)商,而安全網(wǎng)關(guān)通常從一組有限的非飛小區(qū)基站技術(shù)領(lǐng)域?qū)<业墓?yīng)商被購進(jìn)。因此,發(fā)明人意識(shí)到,該等網(wǎng)關(guān)的分離是更可取的,因此為解決安全問題,在經(jīng)該安全網(wǎng)關(guān)成功驗(yàn)證之后,互聯(lián)網(wǎng)協(xié)議源地址從該安全網(wǎng)關(guān)被發(fā)送至該飛小區(qū)基站網(wǎng)關(guān),在此它相對(duì)由該飛小區(qū)基站網(wǎng)關(guān)初始所分配給該飛小區(qū)基站的被再次檢查。我們現(xiàn)在描述包括飛小區(qū)基站的網(wǎng)絡(luò),然后更詳細(xì)地查看飛小區(qū)基站授權(quán)過程。網(wǎng)絡(luò)如圖I和圖2所示,用于無線通信的網(wǎng)絡(luò)10,用戶終端34可在其中漫游,該網(wǎng)絡(luò)包括兩種類型的基站,即宏小區(qū)基站和飛小區(qū)基站(后者有時(shí)被稱為“毫微微基站(femto)”)。為簡(jiǎn)單起見,在圖3和圖4中示出一個(gè)宏小區(qū)基站22。每一宏小區(qū)基站具有無線覆蓋區(qū)域24,該無線覆蓋區(qū)域通常被稱為宏小區(qū)。宏小區(qū)24的地理范圍依賴于宏小區(qū)基站22的能力及周圍地形。在宏小區(qū)24中,每一飛小區(qū)基站30提供在相應(yīng)飛小區(qū)32中的無線通信。飛小區(qū)包括無線覆蓋區(qū)域。飛小區(qū)32的無線覆蓋區(qū)域比宏小區(qū)24的無線覆蓋區(qū)域小的多。例如,飛小區(qū)32,在規(guī)模大小上,對(duì)應(yīng)于用戶的辦公室或家庭。如圖3所示,網(wǎng)絡(luò)10被無線網(wǎng)絡(luò)控制裝置RNC 170所管理。無線網(wǎng)絡(luò)控制裝置RNC170控制運(yùn)行,例如通過經(jīng)由回程通信鏈路160與宏小區(qū)基站22進(jìn)行通信。無線網(wǎng)絡(luò)控制裝置170維護(hù)鄰居列表,該鄰居列表包括關(guān)于基站所支持小區(qū)之間的地理關(guān)系的信息。此外,無線網(wǎng)絡(luò)控制裝置170維護(hù)位置信息,該位置信息提供關(guān)于用戶設(shè)備在無線通信系統(tǒng)10中的位置的信息。無線網(wǎng)絡(luò)控制裝置170可用于經(jīng)由電路交換網(wǎng)絡(luò)和分組交換網(wǎng)絡(luò)對(duì)業(yè)務(wù)進(jìn)行路由。對(duì)于電路交換業(yè)務(wù),移動(dòng)交換中心250被提供,無線網(wǎng)絡(luò)控制裝置170可與其進(jìn)行通信。移動(dòng)交換中心250與電路交換網(wǎng)絡(luò),諸如公共交換電話網(wǎng)(PSTN) 210,進(jìn)行通信。對(duì)于分組交換業(yè)務(wù)。網(wǎng)絡(luò)控制裝置170與通用分組無線業(yè)務(wù)服務(wù)支持節(jié)點(diǎn)(SGSN) 220及通用分組無線業(yè)務(wù)網(wǎng)關(guān)支持節(jié)點(diǎn)(GGSN) 180進(jìn)行通信。該GGSN然后與分組交換核心網(wǎng)190,諸如,例如,互聯(lián)網(wǎng)190,進(jìn)行通信。MSC 250、SGSN 220、GGSN 180及運(yùn)營(yíng)商IP網(wǎng)絡(luò)215組成所謂的核心網(wǎng)絡(luò)253。SGSN 220與GGSN 180通過運(yùn)營(yíng)商IP網(wǎng)絡(luò)215被連接至飛小區(qū)控制裝置/網(wǎng)關(guān)230。飛小區(qū)控制裝置/網(wǎng)關(guān)230經(jīng)由安全網(wǎng)關(guān)231和互聯(lián)網(wǎng)190被連接至飛小區(qū)基站32。這些至安全網(wǎng)關(guān)231的連接為寬帶互聯(lián)網(wǎng)協(xié)議連接(“回程”連接)。運(yùn)營(yíng)商IP網(wǎng)絡(luò)215也被連接至互聯(lián)網(wǎng)協(xié)議多媒體系統(tǒng)(MS)核心網(wǎng)絡(luò)217。在圖4中,為簡(jiǎn)單起見,三個(gè)飛小區(qū)基站30及相應(yīng)的飛小區(qū)32被示出。對(duì)于在宏小區(qū)24中的移動(dòng)終端34,按照已知的方式與宏小區(qū)基站22進(jìn)行通信是可能的。當(dāng)移動(dòng)終端34進(jìn)入飛小區(qū)32,該移動(dòng)終端被注冊(cè)以與該飛小區(qū)的飛小區(qū)基站30進(jìn)行通信時(shí),將與該移動(dòng)終端的連接從該宏小區(qū)切換至該飛小區(qū)是可取的。在圖4所示的 示例中,移動(dòng)終端34的用戶為飛小區(qū)32中最近的32’的優(yōu)選用戶。如圖4所示,飛小區(qū)基站30經(jīng)由寬帶互聯(lián)網(wǎng)協(xié)議連接(“回程”)36被連接至核心網(wǎng)絡(luò)(在圖4中未示出),及因而被連接至通信“世界”的其余部分(在圖4中未示出)。“回程”連接36允許該等飛小區(qū)基站30之間、通過該核心網(wǎng)絡(luò)(未示出)的通信。該宏小區(qū)基站也被連接至該核心網(wǎng)絡(luò)(在圖4中未示出)。如前所述,飛小區(qū)基站具有相對(duì)低的發(fā)射功率,因而,每一飛小區(qū)相比宏小區(qū)具有較小的覆蓋區(qū)域。典型的覆蓋范圍為數(shù)十米。飛小區(qū)基站具有自動(dòng)配置和自優(yōu)化功能,以便支持非優(yōu)化的部署,即由用戶進(jìn)行的即插即用式部署,以便將其自身自動(dòng)集成入現(xiàn)有的宏小區(qū)網(wǎng)絡(luò)。如前所述,為了與宏小區(qū)網(wǎng)絡(luò)相集成,飛小區(qū)基站需要與(第二代/2. 5代(2. 5G)/第三代)宏小區(qū)網(wǎng)絡(luò)中的各種網(wǎng)元交換信令消息。該信令符合第三代合作伙伴項(xiàng)目(3GPP)標(biāo)準(zhǔn)(版本8),以使飛小區(qū)表現(xiàn)為一個(gè)或多個(gè)3GPP兼容的節(jié)點(diǎn)。特別地,為實(shí)現(xiàn)此,飛小區(qū)基站被分組為簇,每一簇經(jīng)由被稱為飛小區(qū)基站網(wǎng)關(guān)的網(wǎng)關(guān)被連接至該宏小區(qū)網(wǎng)絡(luò)。該飛小區(qū)基站網(wǎng)關(guān)終止在該宏小區(qū)網(wǎng)絡(luò)中的核心網(wǎng)元與該飛小區(qū)簇之間的信令,從而,使飛小區(qū)的整個(gè)簇能夠表現(xiàn)為單個(gè)虛擬的無線網(wǎng)絡(luò)控制裝置(RNC),該RNC符合3GPP標(biāo)準(zhǔn)(版本8)。安全網(wǎng)關(guān)與飛小區(qū)基站網(wǎng)關(guān)如圖5所示,飛小區(qū)基站30被連接至安全網(wǎng)關(guān)231,該安全網(wǎng)關(guān)被連接至飛小區(qū)基站網(wǎng)關(guān)230。該安全網(wǎng)關(guān)和該飛小區(qū)基站網(wǎng)關(guān)是分離的。安全網(wǎng)關(guān)231包括數(shù)據(jù)庫40、配置控制裝置42及驗(yàn)證裝置44。數(shù)據(jù)庫40將飛小區(qū)基站識(shí)別符(飛小區(qū)基站ID)與源IP地址及密鑰相關(guān)聯(lián)。飛小區(qū)基站網(wǎng)關(guān)230包括驗(yàn)證裝置45、飛小區(qū)基站注冊(cè)模塊(registrationstage) 46、將飛小區(qū)基站ID與該飛小區(qū)基站的源IP地址相關(guān)聯(lián)的數(shù)據(jù)庫48,及IP地址分配裝置50,IP地址分配裝置50將IP地址分配給該飛小區(qū)基站以供該飛小區(qū)將其用作它自身的IP地址。在使用中,安全網(wǎng)關(guān)231請(qǐng)求由飛小區(qū)基站網(wǎng)關(guān)230對(duì)所有飛小區(qū)基站的第二次授權(quán),該等飛小區(qū)基站尋求建立至該飛小區(qū)基站網(wǎng)關(guān)的IP隧道。操作將被更詳細(xì)解釋如下。飛小區(qū)基站授權(quán)過稈
如圖6所示,在該基于通用移動(dòng)通信系統(tǒng)(UMTS)的示例中,飛小區(qū)基站30發(fā)送(步驟a)包括飛小區(qū)基站識(shí)別符(飛小區(qū)基站ID)及驗(yàn)證信息的授權(quán)請(qǐng)求。該安全網(wǎng)關(guān)通過檢查(步驟al)該飛小區(qū)基站ID是否是自其接收消息的飛小區(qū)基站的,執(zhí)行首要授權(quán)。若是,該安全網(wǎng)關(guān)然后向該飛小區(qū)基站網(wǎng)關(guān)發(fā)送(步驟b)相應(yīng)的訪問請(qǐng)求,該訪問請(qǐng)求包括獲授權(quán)的飛小區(qū)基站ID。該飛小區(qū)基站網(wǎng)關(guān)然后(步驟c)也授權(quán)該飛小區(qū)基站,將該飛小區(qū)基站ID存儲(chǔ)于該飛小區(qū)基站網(wǎng)關(guān)的數(shù)據(jù)庫48中,并為該飛小區(qū)基站分配IP地址。該IP地址被存儲(chǔ)于數(shù)據(jù)庫48,并被映射到該飛小區(qū)基站ID。該飛小區(qū)基站網(wǎng)關(guān)然后將包括該IP地址的訪問接受消息返回(步驟d)至該安全網(wǎng)關(guān)。該安全網(wǎng)關(guān)的配置控制裝置42然后在授權(quán)響應(yīng)消息中將該IP地址傳遞(步驟e)至該飛小區(qū)基站。然后,在飛小區(qū)基站30和該安全網(wǎng)關(guān)之間的安全隧道被建立。該飛小區(qū)基站然后通過該隧道將包括該IP地址的消息發(fā)送(步驟g)至該安全網(wǎng) 關(guān)。該安全網(wǎng)關(guān)運(yùn)用其知曉的、被分配給該IP地址的密鑰,以便(步驟h)解密及驗(yàn)證消息并檢測(cè)該消息包含的IP地址是否與該飛小區(qū)基站ID相符合。這防止了該飛小區(qū)基站運(yùn)用偽造的源IP地址。假設(shè)該驗(yàn)證成功,該安全網(wǎng)關(guān)將包含該源IP地址及注冊(cè)請(qǐng)求的解密消息發(fā)送(步驟i)至該飛小區(qū)基站網(wǎng)關(guān)。一旦接收到該消息,飛小區(qū)基站網(wǎng)關(guān)230的驗(yàn)證裝置45檢查該源IP地址及在該消息的注冊(cè)請(qǐng)求部分所指示的飛小區(qū)基站ID。若所接收的源IP地址與該飛小區(qū)基站網(wǎng)關(guān)的數(shù)據(jù)庫48中所存儲(chǔ)的、被分配給該飛小區(qū)基站ID的一個(gè)相對(duì)應(yīng),該身份則被認(rèn)為是可信的,該飛小區(qū)基站網(wǎng)關(guān)的飛小區(qū)基站注冊(cè)模塊46注冊(cè)該飛小區(qū)基站。在該實(shí)施例中,在所存儲(chǔ)(步驟c)的飛小區(qū)基站標(biāo)識(shí)符與所接收(步驟i)的飛小區(qū)基站標(biāo)識(shí)符之間的關(guān)聯(lián)被建立,以使來自該飛小區(qū)基站的后續(xù)消息被自動(dòng)地認(rèn)為是獲授權(quán)的。在一些其他實(shí)施例中,如此授權(quán)而是在每一個(gè)后續(xù)消息(即時(shí)地(on-the-fly))上被執(zhí)行的。另一示例如圖7中所示,在第二個(gè)示例中,飛小區(qū)基站30’被連接至安全網(wǎng)關(guān)231’,該安全網(wǎng)關(guān)231’被連接至飛小區(qū)基站網(wǎng)關(guān)230’。安全網(wǎng)關(guān)231’包括數(shù)據(jù)庫40’、配置控制裝置42’及驗(yàn)證裝置44’。數(shù)據(jù)庫40’將飛小區(qū)基站標(biāo)識(shí)符(飛小區(qū)基站ID)與源IP地址及密鑰相關(guān)聯(lián)。飛小區(qū)基站網(wǎng)關(guān)230’包括飛小區(qū)基站注冊(cè)模塊46’及數(shù)據(jù)庫查詢處理裝置72。安全網(wǎng)關(guān)231’與飛小區(qū)基站網(wǎng)關(guān)230’直接互相連接,并且還經(jīng)由包括數(shù)據(jù)庫48’及IP地址分配裝置50’的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器70互相連接。數(shù)據(jù)庫48’將飛小區(qū)基站ID與該飛小區(qū)基站的源IP地址相關(guān)聯(lián)。IP地址分配裝置50’將IP地址分配給該飛小區(qū)基站以供該飛小區(qū)將其用作它自身的IP地址。在使用中,該安全網(wǎng)關(guān)請(qǐng)求由該飛小區(qū)基站網(wǎng)關(guān)對(duì)所有飛小區(qū)基站的第二次授權(quán),該等飛小區(qū)基站尋求建立至該飛小區(qū)基站網(wǎng)關(guān)的IP隧道。飛小區(qū)基站網(wǎng)關(guān)230’查詢DHCP服務(wù)器70以實(shí)現(xiàn)該請(qǐng)求。操作將被更詳細(xì)解釋如下。如圖8所示,在該第二實(shí)施例,其同為基于通用移動(dòng)通信系統(tǒng)(UMTS)的示例中,該安全網(wǎng)關(guān)被配置以從獨(dú)立服務(wù)器中獲取IP地址,即該示例中的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器70。如圖8所示,飛小區(qū)基站30’將包括飛小區(qū)基站識(shí)別符(飛小區(qū)基站ID)與驗(yàn)證信息的授權(quán)請(qǐng)求發(fā)送(步驟a)至該安全網(wǎng)關(guān),作為建立安全隧道的第一個(gè)步驟。安全網(wǎng)關(guān)231’接收該請(qǐng)求,并通過檢查(步驟b’ )該飛小區(qū)基站ID是否是自其接收消息的飛小區(qū)基站的,執(zhí)行首要授權(quán)。若是,該安全網(wǎng)關(guān)然后向DHCP服務(wù)器70發(fā)送(步驟c’)相應(yīng)的訪問請(qǐng)求,該訪問請(qǐng)求包括獲授權(quán)的飛小區(qū)基站ID,以便為該飛小區(qū)基站請(qǐng)求IP地址。該請(qǐng)求包括作為DHCP客戶端硬件地址(chaddr)的、經(jīng)驗(yàn)證的飛小區(qū)基站身份。DHCP服務(wù)器然后(步驟d’)將該飛小區(qū)基站ID存儲(chǔ)于數(shù)據(jù)庫48中,并為該飛小區(qū)基站分配IP地址。該IP地址被存儲(chǔ)于數(shù)據(jù)庫48’,并被映射到該客戶端硬件地址,即該飛小區(qū)基站ID。DHCP服務(wù)器然后將包括該IP地址的訪問接受消息返回(步驟e’ )至該安全網(wǎng) 關(guān)。該安全網(wǎng)關(guān)的配置控制裝置42’然后在授權(quán)響應(yīng)消息中將該IP地址傳遞(步驟f ’ )至飛小區(qū)基站30’。然后在飛小區(qū)基站30’與安全網(wǎng)關(guān)231’之間的安全隧道被建立(步驟g’ )。在隧道建立之后,飛小區(qū)基站然后通過該隧道,將包括IP地址的消息發(fā)送(步驟h’ )至安全網(wǎng)關(guān)。該安全網(wǎng)關(guān)運(yùn)用其知曉的、被分配給該IP地址的密鑰,以便(步驟i’)解密及驗(yàn)證消息并檢測(cè)該消息包含的IP地址是否與該飛小區(qū)基站ID相符合。這防止了該飛小區(qū)基站運(yùn)用偽造的源IP地址。假設(shè)該驗(yàn)證成功,該安全網(wǎng)關(guān)將包含該源IP地址及包括該飛小區(qū)基站ID的注冊(cè)請(qǐng)求的解密消息,發(fā)送(步驟j’ )至該飛小區(qū)基站網(wǎng)關(guān)?!┙邮盏皆撓?,該飛小區(qū)基站網(wǎng)關(guān)的數(shù)據(jù)庫查詢處理裝置72將請(qǐng)求發(fā)送(步驟k’)至動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器,來請(qǐng)求被分配給該飛小區(qū)基站ID身份的IP地址。DHCP服務(wù)器從其內(nèi)部的數(shù)據(jù)庫48’獲取(步驟I’ )相應(yīng)的IP地址,并以所分配的IP地址響應(yīng)(步驟m’ )該飛小區(qū)基站網(wǎng)關(guān)。飛小區(qū)基站網(wǎng)關(guān)230’的驗(yàn)證裝置45’檢查,從DHCP服務(wù)器接收到的該IP地址是否與包含該消息注冊(cè)請(qǐng)求部分的分組的源IP地址相匹配。若是,該身份則被認(rèn)為是可信的,該飛小區(qū)基站網(wǎng)關(guān)的飛小區(qū)基站注冊(cè)模塊46’注冊(cè)該飛小區(qū)基站?!?jiǎng)僮凅w在關(guān)于圖5至8所描述的示例中,各種消息中的飛小區(qū)基站的標(biāo)識(shí)符是完全相同的。然而,該等標(biāo)識(shí)符不必如此。在一些實(shí)施例中,具有可靠機(jī)制,例如在飛小區(qū)基站網(wǎng)關(guān)中,以將一種身份格式轉(zhuǎn)變?yōu)榱硪环N身份格式,是足夠的。例如,在參考圖5和6所描述的示例,在至飛小區(qū)基站網(wǎng)關(guān)的兩個(gè)消息中所使用的標(biāo)識(shí),參見前文b和i所表示的步驟,對(duì)于飛小區(qū)基站是相同的,即飛小區(qū)基站ID。在一些其它實(shí)施例中,它們是不同的,但隨后,飛小區(qū)基站網(wǎng)關(guān)知曉在這兩個(gè)不同但有效的、飛小區(qū)基站的標(biāo)識(shí)符之間的映射,因而可檢查它們是否關(guān)聯(lián)。例如,這兩個(gè)不同的標(biāo)識(shí)符可以采用不同的格式,例如,互聯(lián)網(wǎng)密鑰交換版本 2 (Internet Key Exchange version 2, IKEv2)與家庭基站應(yīng)用部分(HomeNodeBApplication Part, HNBAP)。
同樣,在參考圖7和8所描述的實(shí)施例的變形中,DHCP服務(wù)器已將多個(gè)IP地址分配給相同的飛小區(qū)基站,例如,在建立多個(gè)IP隧道中。在該情況下,所分配的多個(gè)地址中的任一個(gè)匹配包括注冊(cè)請(qǐng)求的分組的源IP地址,是足夠的。在一些進(jìn)一步的實(shí)施例中,DHCP服務(wù)器的使用允許多個(gè)設(shè)備(服務(wù)器、網(wǎng)關(guān)、應(yīng)用設(shè)備等)驗(yàn)證來自飛小區(qū)基站的注冊(cè)消息。例如,若該飛小區(qū)基站也向呈現(xiàn)服務(wù)器(presence server)注冊(cè),則該呈現(xiàn)服務(wù)器也可利用相似的消息交換,請(qǐng)求來自DHCP服務(wù)器的所關(guān)聯(lián)的IP地址。本發(fā)明可以其他特殊形式被實(shí)現(xiàn),并不背離本發(fā)明的本質(zhì)特征。所描述的實(shí)施例應(yīng)被認(rèn)為在所有方面僅為說明性的而不是 限制性的。因此,本發(fā)明的范圍通過附加的權(quán)利要求而非通過前述描述,被示出。在該等權(quán)利要求等同的含義及范圍之內(nèi)的所有變化,將包含于該等權(quán)利要求的范圍。本領(lǐng)域技術(shù)人員將容易地認(rèn)識(shí)到各種上述方法的步驟可通過編程計(jì)算機(jī)被執(zhí)行。一些實(shí)施例涉及程序存儲(chǔ)設(shè)備,如數(shù)字?jǐn)?shù)據(jù)存儲(chǔ)介質(zhì),其為機(jī)器或計(jì)算機(jī)可讀并對(duì)機(jī)器可執(zhí)行或計(jì)算機(jī)可執(zhí)行的程序指令進(jìn)行編碼,在此,所述指令執(zhí)行所述上述方法的部分或全部步驟。程序存儲(chǔ)設(shè)備可包括,例如,數(shù)字存儲(chǔ)器;磁存儲(chǔ)介質(zhì),諸如磁盤及磁帶;硬盤驅(qū)動(dòng)器;或光可讀數(shù)字?jǐn)?shù)據(jù)存儲(chǔ)介質(zhì)。一些實(shí)施例涉及經(jīng)編程以執(zhí)行上述方法的所述步驟的計(jì)算機(jī)。
權(quán)利要求
1.一種驗(yàn)證來自無線通信網(wǎng)絡(luò)中飛小區(qū)基站的消息的方法,其中,所述無線通信網(wǎng)絡(luò)包括安全網(wǎng)關(guān)和飛小區(qū)基站網(wǎng)關(guān),該方法包括步驟 由所述安全網(wǎng)關(guān)檢查來自所述飛小區(qū)基站的消息中的源IP地址,是否與預(yù)期來自該飛小區(qū)基站的相符合 '及 還由所述飛小區(qū)基站網(wǎng)關(guān),通過檢查將飛小區(qū)基站標(biāo)識(shí)符與源IP地址數(shù)據(jù)相關(guān)聯(lián)的數(shù)據(jù)庫,檢查所述消息中的源IP地址是否與預(yù)期來自該飛小區(qū)基站的相符合。
2.根據(jù)權(quán)利要求I所述的方法,其中,所述飛小區(qū)基站經(jīng)由所述安全網(wǎng)關(guān)被連接至所述飛小區(qū)基站網(wǎng)關(guān)。
3.根據(jù)權(quán)利要求I或2所述的方法,其中,所述源IP地址被所述飛小區(qū)基站網(wǎng)關(guān)分配給經(jīng)由IP隧道與所述飛小區(qū)基站的連接,并被作為與飛小區(qū)基站標(biāo)識(shí)符相關(guān)聯(lián)的所述源IP地址數(shù)據(jù)記錄于所述數(shù)據(jù)庫中。
4.根據(jù)權(quán)利要求I或2所述的方法,其中,所述源IP地址被動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器分配給所述飛小區(qū)基站網(wǎng)關(guān)與所述飛小區(qū)基站之間的、經(jīng)IP隧道的連接,并被作為與飛小區(qū)基站標(biāo)識(shí)符相關(guān)聯(lián)的所述源IP地址數(shù)據(jù)記錄于所述數(shù)據(jù)庫。
5.根據(jù)權(quán)利要求3或4所述的方法,其中,所述源IP地址,通過為所述經(jīng)IP隧道與所述飛小區(qū)基站的連接分配IP地址范圍,并在該范圍內(nèi)選擇一個(gè)源IP地址以包含于所述消息,來被分配,并且所述源IP地址數(shù)據(jù)被記錄于包含所述源IP地址范圍的所述數(shù)據(jù)庫。
6.根據(jù)任一在先權(quán)利要求所述的方法,其中,所述消息包括注冊(cè)請(qǐng)求消息,并且一旦兩檢查均通過,所述飛小區(qū)基站被所述飛小區(qū)基站網(wǎng)關(guān)注冊(cè)。
7.一種無線通信網(wǎng)絡(luò),包括安全網(wǎng)關(guān)和飛小區(qū)基站網(wǎng)關(guān),及至少一個(gè)飛小區(qū)基站, 所述安全網(wǎng)關(guān)被配置以驗(yàn)證從飛小區(qū)基站所接收的消息,所述安全網(wǎng)關(guān)包括檢查處理裝置,所述檢查處理裝置被配置以檢查來自所述飛小區(qū)基站的所述消息中的源IP地址是否與預(yù)期來自該飛小區(qū)基站的相符合;及 所述飛小區(qū)基站網(wǎng)關(guān)包括進(jìn)一步處理裝置,所述進(jìn)一步處理裝置被配置以通過檢查使飛小區(qū)基站標(biāo)識(shí)符與源IP地址數(shù)據(jù)相關(guān)聯(lián)的數(shù)據(jù)庫,來檢查在所述消息中的所述源IP地址是否與預(yù)期來自該飛小區(qū)基站的相符合。
8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò),其中,所述至少一個(gè)飛小區(qū)基站經(jīng)由所述安全網(wǎng)關(guān)被連接至所述飛小區(qū)基站網(wǎng)關(guān)。
9.根據(jù)權(quán)利要求7或8所述的網(wǎng)絡(luò),其中,所述消息包括注冊(cè)請(qǐng)求消息,并且所述飛小區(qū)基站網(wǎng)關(guān)被配置以當(dāng)被發(fā)現(xiàn)符合時(shí)注冊(cè)所述飛小區(qū)基站。
10.根據(jù)權(quán)利要求7至9中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述飛小區(qū)基站網(wǎng)關(guān)包括所述數(shù)據(jù)庫。
11.根據(jù)權(quán)利要求7至10中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述源IP地址被所述飛小區(qū)基站網(wǎng)關(guān)分配給經(jīng)IP隧道與所述飛小區(qū)基站的連接,并被作為與用于檢查的飛小區(qū)基站標(biāo)識(shí)符相關(guān)聯(lián)的所述源IP地址數(shù)據(jù)記錄于所述數(shù)據(jù)庫。
12.根據(jù)權(quán)利要求7至9中任一項(xiàng)所述的網(wǎng)絡(luò),其中,所述源IP地址被單立網(wǎng)元被分配給在所述飛小區(qū)基站網(wǎng)關(guān)與所述飛小區(qū)基站之間的、經(jīng)IP隧道的連接,并被作為與飛小區(qū)基站標(biāo)識(shí)符相關(guān)聯(lián)的所述源IP地址數(shù)據(jù)記錄于所述數(shù)據(jù)庫。
13.根據(jù)權(quán)利要求12所述的網(wǎng)絡(luò),其中,所述單立網(wǎng)元包括所述數(shù)據(jù)庫。
14.根據(jù)權(quán)利要求12或13所述的網(wǎng)絡(luò),其中,所述單立網(wǎng)元包括動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器。
15.根據(jù)權(quán)利要求7至14中任一項(xiàng)所述的網(wǎng)絡(luò),其中,在使用中,所述源IP地址,通過為所述經(jīng)IP隧道與所述飛小區(qū)基站的連接分配IP地址范圍,并且所述飛小區(qū)基站在該范圍內(nèi)選擇一個(gè)源IP地址以包含于所述消息,來被分配,并且被記錄于所述數(shù)據(jù)庫的所述源IP地址數(shù)據(jù)包括所述源IP地址范圍。
全文摘要
提供一種驗(yàn)證來自無線通信網(wǎng)絡(luò)中飛小區(qū)基站的消息的方法,其中,所述無線通信網(wǎng)絡(luò)包括安全網(wǎng)關(guān)和飛小區(qū)基站網(wǎng)關(guān),該方法包括步驟由所述安全網(wǎng)關(guān)檢查來自所述飛小區(qū)基站的消息中的源IP地址,是否與預(yù)期來自該飛小區(qū)基站的相符合;及由所述飛小區(qū)基站網(wǎng)關(guān),通過檢查將飛小區(qū)基站標(biāo)識(shí)符與源IP地址數(shù)據(jù)相關(guān)聯(lián)的數(shù)據(jù)庫,檢查所述消息中的源IP地址是否與預(yù)期來自該飛小區(qū)基站的相符合。
文檔編號(hào)H04W12/06GK102845087SQ201180019217
公開日2012年12月26日 申請(qǐng)日期2011年3月8日 優(yōu)先權(quán)日2010年4月13日
發(fā)明者托尼·普特曼, 格雷漢姆·布蘭德 申請(qǐng)人:阿爾卡特朗訊