基站以及由基站用于自配置的方法
【專利摘要】公開了一種基站以及由基站用于自配置的方法,該基站包括:處理器,被配置成一旦所述基站加電就發(fā)起自配置過(guò)程,其中:在所述自配置過(guò)程期間驗(yàn)證所述基站;所述基站被配置成在所述自配置過(guò)程期間從與所述基站相關(guān)聯(lián)的網(wǎng)絡(luò)接收第一配置參數(shù)集;以及所述基站被配置成在所述自配置過(guò)程期間從另一基站接收第二配置參數(shù)集。
【專利說(shuō)明】基站以及由基站用于自配置的方法
[0001]本申請(qǐng)是申請(qǐng)?zhí)枮?00780048630.4、申請(qǐng)日為2007年12月27日、名稱為“用于基站自配置的方法和設(shè)備”的中國(guó)發(fā)明專利申請(qǐng)的分案申請(qǐng)。
【技術(shù)領(lǐng)域】
[0002]本發(fā)明涉及無(wú)線通信。更特別地,本發(fā)明涉及無(wú)線通信中的基站的自配置和安全特性。
【背景技術(shù)】
[0003]為了提供改善的頻譜效率和更快的用戶體驗(yàn),第三代合作伙伴計(jì)劃(3GPP)已經(jīng)啟動(dòng)了長(zhǎng)期演進(jìn)(LTE)項(xiàng)目以將新的技術(shù)、新的網(wǎng)絡(luò)架構(gòu)、新的配置、新的應(yīng)用和新的服務(wù)引入到無(wú)線蜂窩網(wǎng)絡(luò)中。
[0004]雖然對(duì)更強(qiáng)功能性的需求在繼續(xù),但也同時(shí)需要低維護(hù)LTE系統(tǒng),特別是在網(wǎng)絡(luò)部署和運(yùn)行時(shí)間優(yōu)化方面。
[0005]在LTE、3GPP通用移動(dòng)電信系統(tǒng)(UMTS)系統(tǒng)前使用的UTRAN架構(gòu)如圖1所示。核心網(wǎng)絡(luò)100與包括多個(gè)無(wú)線電網(wǎng)絡(luò)系統(tǒng)(RNS) 120的UTRAN110進(jìn)行通信。每一個(gè)RNS包括無(wú)線電網(wǎng)絡(luò)控制器(RNC) 130和一個(gè)或多個(gè)節(jié)點(diǎn)-B135。所部屬的節(jié)點(diǎn)-B135的配置和運(yùn)行完全由RNC130通過(guò)Iub鏈路140并用顯式命令來(lái)控制。Iubl40是先前已經(jīng)定義的RNC到節(jié)點(diǎn)-B接口。節(jié)點(diǎn)-B的配置和服務(wù)升級(jí)取決于RNC和其它小區(qū)工程和計(jì)劃上的努力。在LTE之前,在UTRAN節(jié)點(diǎn)-B135之間不存在連接,并且不存在自配置和優(yōu)化的需要。不存在節(jié)點(diǎn)-B之間運(yùn)行的自配置的裝置和被定義的過(guò)程。
[0006]在新的LTE網(wǎng)絡(luò)系統(tǒng)中,如圖2所示,E-UTRAN架構(gòu)已經(jīng)被改變。以前的RNC節(jié)點(diǎn)不再存在。演進(jìn)型節(jié)點(diǎn)-B(eNB)200、205執(zhí)行用于E-UTRAN210的無(wú)線電接入網(wǎng)絡(luò)功能,直接與核心網(wǎng)絡(luò)(EPC) 220鏈接,并且在其自身之間被鏈接。在E-UTRAN中,新的eNB200、205承擔(dān)RAN配置、運(yùn)行和管理控制功能以及無(wú)線電接口配置和運(yùn)行。更進(jìn)一步地,每一個(gè)新的eNB,如200,現(xiàn)在通過(guò)SI接口直接與LTE核心網(wǎng)絡(luò)220交互,同時(shí)也通過(guò)X2接口 240和X2連接控制(X2C)接口(未示出)與相鄰eNB205交互,用以代表新的E-UTRAN來(lái)處理無(wú)線發(fā)射/接收單元(WTRU)移動(dòng)性管理任務(wù)。
[0007]當(dāng)新被部屬的eNB200、205加電時(shí),其執(zhí)行自配置任務(wù),包括通過(guò)X2C接口運(yùn)行以與相鄰運(yùn)行的eNB交互。這一初始交互被用于采集信息來(lái)認(rèn)證eNB并當(dāng)eNB自身準(zhǔn)備好進(jìn)入E-UTRAN運(yùn)行模式以服務(wù)在其覆蓋區(qū)域中的WTRU時(shí),啟動(dòng)配置和協(xié)作。
【發(fā)明內(nèi)容】
[0008]本發(fā)明涉及在自配置階段通過(guò)基站之間的連接的運(yùn)行過(guò)程。
[0009]公開了用于自配置基站以及與相連的相鄰基站之間通信的運(yùn)行。新近被部署的基站執(zhí)行自配置以將其自身與其相鄰運(yùn)行的基站或小區(qū)相關(guān)聯(lián)。安全過(guò)程被執(zhí)行以保護(hù)網(wǎng)絡(luò)免受特定的攻擊。
【專利附圖】
【附圖說(shuō)明】
[0010]圖1是現(xiàn)有的無(wú)線通信系統(tǒng)的框圖;
[0011]圖2是現(xiàn)有的LTE架構(gòu)的說(shuō)明;
[0012]圖3是本發(fā)明公開的方法的一種實(shí)施方式的流程圖;
[0013]圖4是本發(fā)明公開的方法的第二種實(shí)施方式的流程圖;
[0014]圖5是本發(fā)明公開的方法的第三種實(shí)施方式的流程圖;
[0015]圖6顯示了安全漏洞的已知類型;
[0016]圖7是本發(fā)明公開的方法的第四種實(shí)施方式的流程圖。
【具體實(shí)施方式】
[0017]下文引用的術(shù)語(yǔ)“無(wú)線發(fā)射/接收單元(WTRU) ”包括但不局限于用戶設(shè)備(UE)、移動(dòng)站、固定或移動(dòng)用戶單元、尋呼機(jī)、蜂窩電話、個(gè)人數(shù)字助理(PDA)、計(jì)算機(jī)或能在無(wú)線環(huán)境中工作的其它任何類型的用戶設(shè)備。下文引用的術(shù)語(yǔ)“基站”包括但不局限于節(jié)點(diǎn)-B、站點(diǎn)控制器、接入點(diǎn)(AP)或是能在無(wú)線環(huán)境中工作的其它任何類型的接口設(shè)備。
[0018]盡管這里描述的實(shí)施方式是以LTE為實(shí)施環(huán)境的,但這些實(shí)施方式應(yīng)該被作為示例,并且不限于這一特定的無(wú)線技術(shù)。
[0019]圖3-6描述了發(fā)生在自配置eNB、連接到該自配置eNB的(也就是“相鄰的”)eNB及接入網(wǎng)關(guān)中的事件的時(shí)間序列。序列按時(shí)間進(jìn)度從最上面向下開始。在相同水平級(jí)別的事件是同時(shí)發(fā)生的。
[0020]參考圖3,當(dāng)自配置eNB加電時(shí),其SI接口優(yōu)選地被首先加電(步驟305)。通用網(wǎng)際協(xié)議(IP)功能或eNB特定IP地址解析功能通過(guò)SI接口獲得用于自配置eNB的唯一的IP地址(步驟300)。然后,自配置eNB將以其主要運(yùn)營(yíng)商的服務(wù)接入網(wǎng)關(guān)(aGW)來(lái)執(zhí)行eNB網(wǎng)絡(luò)驗(yàn)證(步驟310)。
[0021]當(dāng)自配置eNB已經(jīng)成功通過(guò)網(wǎng)絡(luò)驗(yàn)證時(shí),隨后該eNB加電并用其IP地址初始化(步驟320),該IP地址通過(guò)SI接口或X2接口配置或者獲得,其中SI接口或X2接口將自配置eNB與其他相鄰LTE eNB相連接。
[0022]如可選的早期動(dòng)作,eNB隨后獲取其連接X2的相鄰eNB的標(biāo)識(shí)(步驟330),例如,其eNB-1d和/或小區(qū)-1d、公共陸地移動(dòng)網(wǎng)絡(luò)(PLMN)-1d和諸如當(dāng)前運(yùn)行狀態(tài)的其他的非機(jī)密信息。然后eNB可以通知服務(wù)aGW以便eNB獲得與連接X2的相鄰eNB相關(guān)的必要的網(wǎng)絡(luò)指示和/或驗(yàn)證,以用于驗(yàn)證和許可操作,如WTRU切換或eNB測(cè)量和報(bào)告重獲。盡管這一可選的早期動(dòng)作(步驟330)在圖3中以“握手(handshake) ”顯示,其也可以是如圖7中顯示的一對(duì)請(qǐng)求和響應(yīng)消息或任何其他合適的過(guò)程。將為這樣的信息聯(lián)系的相鄰eNB是那些被配置在默認(rèn)相鄰eNB列表中的eNB,例如那些保存在UMTS集成電路卡(UICC)設(shè)備中的 eNB ο
[0023]這一用于早期動(dòng)作的方法使得網(wǎng)絡(luò)在多賣方/多運(yùn)營(yíng)商環(huán)境中通過(guò)E-UTRAN間的操作來(lái)維持特定的輸入或控制。首先,這種處理允許eNB從那些在與預(yù)先配置的相鄰eNB列表比較而作出響應(yīng)的eNB處收集精確的相鄰eNB信息,以便eNB可以通知網(wǎng)絡(luò)/EPC關(guān)于新的eNB和其連接的鄰居以及它們實(shí)際的運(yùn)行狀態(tài)。第二,eNB可以從網(wǎng)絡(luò)獲取關(guān)于與相鄰LTE eNB的X2C接口的策略的運(yùn)行指南,這時(shí)因?yàn)橄噜廵NB可能或不可能屬于相同的網(wǎng)絡(luò)提供商/運(yùn)營(yíng)商。eNB也可以獲取其他重要的運(yùn)行信息。
[0024]通過(guò)自配置eNB的單向可選的關(guān)于其相鄰非機(jī)密信息的收集不包括敏感信息重獲。當(dāng)eNB間的驗(yàn)證和安全鑰匙關(guān)聯(lián)已經(jīng)發(fā)生時(shí),由eNB從其鄰居進(jìn)行的敏感信息的收集發(fā)生在一個(gè)較晚階段。
[0025]在初始數(shù)據(jù)收集后,eNB將隨后通過(guò)SI發(fā)送E-UTRAN參數(shù)請(qǐng)求(步驟340)和其在上面早期X2C步驟公開的信息。可替換地,如果不采取早期的X2C動(dòng)作,eNB將通過(guò)SI發(fā)送請(qǐng)求(Request)。在E-UTRAN參數(shù)響應(yīng)350中,自配置eNB獲取需要的操作參數(shù)以用于E-UTRAN,包括通過(guò)X2C的用于eNB間驗(yàn)證和安全鑰匙協(xié)議過(guò)程,例如通用eNB證書、通用eNB共享密鑰、將使用的eNB間安全算法以及通用eNB安全鑰匙集。
[0026]在X2C上對(duì)驗(yàn)證、完整性和機(jī)密性保護(hù)的需要已經(jīng)在先前被存檔。輕權(quán)重的驗(yàn)證,這里定義為eNB間驗(yàn)證,并且完整性和/或加密鑰匙協(xié)議,在這里被定義為安全鑰匙關(guān)聯(lián)過(guò)程,這些在下面被描述以用于在任何一對(duì)eNB之間的LTE eNB間驗(yàn)證和安全鑰匙關(guān)聯(lián),包括在自配置eNB和其已部署的可運(yùn)行的相鄰eNB之間。
[0027]注意到在eNB自配置中的eNB間驗(yàn)證過(guò)程需要確定在節(jié)點(diǎn)級(jí)別處eNB對(duì)的可靠性。下面執(zhí)行的沒有節(jié)點(diǎn)級(jí)別控制的驗(yàn)證和節(jié)點(diǎn)級(jí)別參數(shù)的參與將不能保證相同級(jí)別的eNB可靠性。
[0028]公開了兩種實(shí)施方式,一種利用有改進(jìn)的基本的網(wǎng)際協(xié)議安全(IPsec),及一種用于在“手動(dòng)”模式下與基本的IPsec在eNB級(jí)別上直接進(jìn)行交互作用。
[0029]第一種實(shí)施方式利用用于LTE的基本的網(wǎng)際協(xié)議安全eNB-eNB通信,并且在標(biāo)準(zhǔn)TCP/IP協(xié)議組周圍被構(gòu)造。對(duì)現(xiàn)有的網(wǎng)際協(xié)議安全和其潛在的弱勢(shì)的理解對(duì)于這一實(shí)施方式的新穎性評(píng)價(jià)有幫助,并且因此這里隨后進(jìn)行了描述。
[0030]在TCP/IP協(xié)議中,IP報(bào)頭信息的域保護(hù)在阻止導(dǎo)致地址欺騙和經(jīng)常引發(fā)會(huì)話劫持的典型攻擊方面是十分重要的。這樣,網(wǎng)絡(luò)層驗(yàn)證和機(jī)密性利用一組因特網(wǎng)工程任務(wù)組(IETF)標(biāo)準(zhǔn)化的過(guò)程被應(yīng)用,該過(guò)程被稱為網(wǎng)際協(xié)議安全(IPSec)。驗(yàn)證,在上下文中意味著數(shù)據(jù)完整性和源地址保護(hù),當(dāng)沒有機(jī)密性(加密)來(lái)說(shuō)時(shí),驗(yàn)證對(duì)于IPSec來(lái)說(shuō)是強(qiáng)制的。
[0031]IPSec的三個(gè)基本組成為驗(yàn)證保護(hù)、機(jī)密保護(hù)和安全關(guān)聯(lián)。驗(yàn)證和機(jī)密保護(hù)機(jī)制經(jīng)由在IP分組中的附加字段被實(shí)施。在IPSec中是強(qiáng)制的用于驗(yàn)證的字段為驗(yàn)證報(bào)頭(AH)。該字段被放置在緊接著IP報(bào)頭。這一字段包括說(shuō)明將使用的加密算法、用于重新阻止的序列號(hào)和提到的作為完整性校驗(yàn)值(ICV)的完整性散列的各種子字段。
[0032]跟著驗(yàn)證字段的機(jī)密性字段是可選的并且被稱為封裝安全有效載荷(ESP)。它包括與AH相似的子字段:唯一加密算法的說(shuō)明,如DES、AES、3DES或BL0WFISH,序列號(hào)子字段,被加密的有效載荷數(shù)據(jù),以及包括用以完整性保護(hù)被加密的數(shù)據(jù)的散列的子字段。用于ESP使用的散列保護(hù)了僅被加密數(shù)據(jù)的完整性,而AH散列保護(hù)整個(gè)IP分組,如為IPSec所指示的,該IP分組總是包括AH字段并有時(shí)包括ESP字段。
[0033]與僅驗(yàn)證相反,確定是否驗(yàn)證和機(jī)密性被使用,安全關(guān)聯(lián)(SA)在IPSec中被設(shè)置。SA包括三部分:安全算法其他參數(shù)的說(shuō)明、IP目的地地址和用于AH或ESP的標(biāo)識(shí)符。SA通過(guò)網(wǎng)際鑰匙交換(IKE)協(xié)議被實(shí)施,如下所述。
[0034]在任何驗(yàn)證/完整性和機(jī)密性可以在IPSec中被使用之前,密碼鑰匙、算法和參數(shù)必須被協(xié)商。IKE協(xié)議包括需要的協(xié)商的許多協(xié)議,并且IKE協(xié)議在多種情形中被使用。IKE協(xié)議簡(jiǎn)化的觀點(diǎn)被描述并且與以下的本發(fā)明所公開的相關(guān)。
[0035]在發(fā)起方和響應(yīng)方之間的初始交換建立了初始的安全關(guān)聯(lián)。這些交換包括兩組請(qǐng)求/響應(yīng)對(duì)或總共的四個(gè)消息。
[0036]第一對(duì)建立了密碼算法的使用并且執(zhí)行棣弗-赫爾曼(Diffie-Hellman)交換以得出種子,從該種子中完整性和機(jī)密性鑰匙被推導(dǎo)出來(lái)。第二對(duì)使用從第一交換中生成的鑰匙來(lái)驗(yàn)證第一組消息,交換標(biāo)識(shí)并認(rèn)證,并且提供用于接下來(lái)的子SA的建立。
[0037]協(xié)議的發(fā)起方(I)發(fā)送以下的有效載荷:
[0038]1.1 R: HDR/, SA/, g.、丨,N/
[0039]響應(yīng)方(R)用以下來(lái)響應(yīng):
[0040]2.R — 1: HDRr,SAi?, g}R, Nr
[0041]這是初始安全關(guān)聯(lián)中的第一對(duì)消息。HDR包括報(bào)頭信息,該報(bào)頭信息主要維持在兩個(gè)實(shí)體之間的通信的狀態(tài)。SA1和SAr是安全算法和參數(shù)協(xié)商機(jī)制,其中發(fā)起方提出一組選擇,從該組選擇中由響應(yīng)方來(lái)選擇。為了處理棣弗-赫爾曼協(xié)議,值g和仏被文換以產(chǎn)生共享的秘密值gxy,該值作為種子來(lái)使用先前協(xié)商的算法生成完整性和機(jī)密性鑰匙。質(zhì)量g是循環(huán)組(階次P-1)的生成元,其中P是非常大的起始號(hào)碼。值P和g是公知的,并且所有的計(jì)算以模P執(zhí)行。最后,現(xiàn)時(shí)Nk和N1被交換以阻止重復(fù)。
[0042]第二對(duì)消息是
[0043]3.1 — RiHDR1, SKdD1, Cert1, AUTH, SA2〗,...,其它字段以創(chuàng)建子 SA}
[0044]4.R — 1: HDRe, SK {IDe, CertE, SigE, AUTH, SA2E,...,其它字段以創(chuàng)建子 SA}
[0045]消息3和4是從在IETF協(xié)議中規(guī)定的稍微簡(jiǎn)化而來(lái)。該第二對(duì)使用從第一消息對(duì)得出的安全鑰匙信息,如上面所陳述的。SK指定在括號(hào)(brace)內(nèi)所顯示的變?cè)系陌踩€匙操作。兩個(gè)安全鑰匙,SK_a(驗(yàn)證,這里意味著完整)和SK_e (加密)從gxy(來(lái)自棣弗-赫爾曼)中被生成。它們分別被用于保護(hù)交換的完整和機(jī)密。發(fā)起方和響應(yīng)方標(biāo)識(shí)(IDJP IDk)和它們的相應(yīng)標(biāo)識(shí)秘密通過(guò)每一實(shí)體證明給其他;AUTH包括用于每一方向的完整校驗(yàn)值。認(rèn)證(Cert1和CertK)提供與SK_a和SK_e分離的鑰匙信息,以雙向檢驗(yàn)AUTH。
[0046]只要沒有消息I和2的偷聽發(fā)生,在發(fā)起方和響應(yīng)方之間建立的SA對(duì)于將要發(fā)生的后來(lái)的子交換是安全的。然而,這一初始消息對(duì)可能易受公知的“中間人攻擊(man-1n-the-middle attack) ”的侵襲,該攻擊者可以強(qiáng)迫每一有效實(shí)體使用它可以采用的鑰匙種子。這里描述的攻擊包括整個(gè)通信過(guò)程,其中攻擊器能夠假冒為每一個(gè)。
[0047]一種典型的在I和R之間的初始IKE交換的中間人攻擊如圖6所示。在步驟I到
4,A從I接收g)和從R接收g】;另外A發(fā)送M (其棣弗-赫爾曼值)到I和R,其中兩者都假設(shè)另外的一個(gè)而不是真正的創(chuàng)始方A是那值的創(chuàng)始方。已知每一方的信息,則很容易顯示A分別與有效的交流者I和R共享棣弗-赫爾曼種子gmx和gmy。當(dāng)I使用gmx并且相似地有R使用gmy時(shí),A現(xiàn)在計(jì)算相同的加密(SK_e)和驗(yàn)證/完整(SK_a)鑰匙。
[0048]在步驟5到8的SK功能不保護(hù)發(fā)送消息的完整或機(jī)密,假定A已經(jīng)通過(guò)擾亂鑰匙的使用欺騙了通信,并且成功假冒了 I和R。任何預(yù)先共享的密鑰信息的缺席阻止在I和R之間的前兩個(gè)交換的保護(hù)。用于阻止這種類型的攻擊的方法和設(shè)備的實(shí)施方式在下面被描述。
[0049]第一種實(shí)施方式如圖7所示,特征600。在節(jié)點(diǎn)級(jí)別eNBi和eNB2 (如自配置eNB和相鄰eNB,如上面所描述的和在圖7種顯示的),eNB共享網(wǎng)絡(luò)分布的密鑰Ks,該密鑰僅由eNBi和eNB2已知。
[0050]有這樣一個(gè)節(jié)點(diǎn)級(jí)別強(qiáng)壯密鑰,在I (發(fā)起方)和R(響應(yīng)方)之間的初始交換可以通過(guò)以下的消息對(duì)600來(lái)保護(hù):
[0051]1.eNB/ — eNBi;: HDR/,SA/, ^1', N/’ !HDR/, SAl g/.N/ IKs
[0052]2.eNBs — eNBi; HDR^3 SA^, , N^, {HDR么 SA么 g2v, JSbigs
[0053]這些符號(hào)對(duì)應(yīng)那些上面所定義的。對(duì)于IPsec消息I和2,括號(hào)符號(hào)標(biāo)識(shí)消息驗(yàn)證碼(MAC)值被增加,每一個(gè)分別代表使用每一消息的所有組件的驗(yàn)證/完整鑰匙即共享秘密Ks的散列。每一個(gè)使用Ks的散列保護(hù)其對(duì)應(yīng)的IPsec消息。如果,接下來(lái)是如圖6所示的攻擊也就是中間人攻擊,攻擊者嘗試發(fā)送或到I,在相應(yīng)消息中的散列(MAC)將不與由消息的接收方計(jì)算的相一致。作為結(jié)果,這樣的嘗試,或者任何欺騙嘗試,將被檢測(cè)和擊敗。圖7說(shuō)明了這一關(guān)于X2C驗(yàn)證和鑰匙關(guān)聯(lián)操作的改進(jìn)的IPsec安全關(guān)聯(lián)。
[0054]在圖7中步驟630指示的和在圖4中詳述的第二種實(shí)施方式,直接eNB驗(yàn)證通過(guò)X2C被完成。為了保護(hù)免收可能的劫持/置換或周圍eNB的其他損害,這里公開了輕量化驗(yàn)證以確保eNB間驗(yàn)證在節(jié)點(diǎn)級(jí)別被保證。這與相鄰eNB都是被保護(hù)的端點(diǎn)相反,如圖4所示,在LTE種任何兩對(duì)eNB之間。
[0055]參考圖4,LTE網(wǎng)絡(luò)為所有LTE eNB準(zhǔn)備通用共享密鑰K和通用共享eNB證書C用于eNB間驗(yàn)證。在eNB被網(wǎng)絡(luò)驗(yàn)證后,在E-UTRAN參數(shù)響應(yīng)420中,自配置eNB通過(guò)SI信道從網(wǎng)絡(luò)獲取所述參數(shù)。LTE也使驗(yàn)證算法Fx和Fy標(biāo)準(zhǔn)化,下面進(jìn)一步描述。
[0056]在步驟400,自配置eNB使用鑰匙K和安全算法Fx來(lái)加密證書C。得到的加密證書C,被在Auth-Req信號(hào)410中被傳送到相鄰eNB并且由相鄰eNB使用以驗(yàn)證自配置eNB。自配置eNB也選擇隨機(jī)數(shù)(RAND)(步驟400)并使用Fx算法來(lái)從RAND中計(jì)算被加密的驗(yàn)證值X-RES。C,和RAND被傳送到相鄰eNB ( 一個(gè)或多個(gè))(步驟410)。
[0057]然后,接收的相鄰eNB ( 一個(gè)或多個(gè))使用共享的密鑰K和Fx來(lái)解碼C’并且將結(jié)果與通用eNB證書C進(jìn)行比較(步驟430),該證書已在存儲(chǔ)器中。同時(shí)使用接收到的RAND來(lái)計(jì)算使用Fy功能430的被解密的驗(yàn)證值RES。然后,RES在Auth-Resp信號(hào)中被往回發(fā)送440到自配置eNB以為其來(lái)驗(yàn)證相鄰eNB (—個(gè)或多個(gè))(步驟450)。
[0058]這一簡(jiǎn)化的輕量化eNB間驗(yàn)證避免了 LTE之前的目前的UMTS UE驗(yàn)證過(guò)程中的在SQN、AK、AMF和MAC上的長(zhǎng)度計(jì)算,以便減少安全計(jì)算計(jì)算符合,同時(shí)通過(guò)X2C來(lái)減少信令消息大小。
[0059]返回到圖7,同時(shí)也有通過(guò)X2C的安全鑰匙關(guān)聯(lián)630。假設(shè)IPsec將被配置以用于LTE X2連接,IPsec的使用和帶有LTE eNB提供的安全鑰匙的在“手動(dòng)”模式的其相關(guān)的IKE-V2,被用僅通過(guò)IPsec的加密公開。這確保了經(jīng)由eNB通過(guò)LTe的X2C安全和鑰匙的控制,確保了高安全門限。
[0060]為了 LTE eNB受控制的安全鑰匙關(guān)聯(lián)(用于完整性保護(hù)和加密),提出了下面的選擇:
[0061]首先,LTE可以標(biāo)準(zhǔn)化所有LTE eNB中的X2C安全保護(hù)算法Fa。算法Fa可以是目前使用的算法,如UMTS f8或允許信息的加密和解密的具有共享密鑰的新的算法,例如X2C-鑰匙。
[0062]第二,LTE可以通過(guò)X2C接口標(biāo)準(zhǔn)化密鑰的通用集(這可以被選擇以用于Fa的最佳安全結(jié)果)以用于eNB之間的安全應(yīng)用(完整保護(hù)和加密),也就是,所有LTE eNB站點(diǎn)已知的一組被索引的N個(gè)鑰匙可以被定義。
[0063]第三,在網(wǎng)絡(luò)驗(yàn)證過(guò)程之后,如在信令交換“E-UTRAN參數(shù)響應(yīng)”350,這一用于LTEX2C安全操作的通用鑰匙集可以從服務(wù)aGW下載到自配置eNB。當(dāng)eNB在預(yù)運(yùn)行模式時(shí),下載到每一個(gè)LTE eNB的安全鑰匙集可以在eNB自配置階段發(fā)生,并且因此能夠提供信令負(fù)荷處理。現(xiàn)有的運(yùn)行的eNB已經(jīng)具有保存的鑰匙集。
[0064]第四,如果存在一個(gè)用于完整保護(hù)并且另一個(gè)用于解密,則一個(gè)或多個(gè)安全鑰匙可以在自配置階段、關(guān)聯(lián)階段或在稍后的用于重新關(guān)聯(lián)的運(yùn)行階段通過(guò)X2C接口被單獨(dú)地選擇或在兩個(gè)eNB對(duì)之間被關(guān)聯(lián)。在關(guān)聯(lián)階段,只有鑰匙索引需要被相互確定來(lái)啟動(dòng)所同一的單一安全鑰匙的使用。這一過(guò)程通過(guò)不在消息交換中發(fā)送安全鑰匙的根值而使被增加的安全門限有利,如現(xiàn)有技術(shù),通過(guò)直接導(dǎo)出安全鑰匙而減少計(jì)算負(fù)荷以及在鑰匙協(xié)議消息交換中減少信令大小。
[0065]第五,在鑰匙協(xié)議步驟中,對(duì)于相同的一組X2C-鑰匙的N個(gè)號(hào)碼,棣弗-赫爾曼鑰匙索引方法可以被用于交互地達(dá)到相同的鑰匙索引I,以便安全鑰匙X2C-鑰匙[i]將被用于意指的完整保護(hù)和/或加密操作。這在圖5中顯示。
[0066]第六,導(dǎo)出的安全鑰匙可以被用于完整保護(hù)和加密兩者??商鎿Q地,對(duì)每一操作期望不同的安全鑰匙。在那種情況下,一種選擇是單獨(dú)地以串行或并行的方式對(duì)其他的鑰匙運(yùn)行相同的鑰匙索引交換過(guò)程??商鎿Q的選擇是將偏移號(hào)碼添加到已經(jīng)獲取的鑰匙索引,并隨后又采取模N操作以達(dá)到新的索引[0,N-1]。偏移可以通過(guò)使用僅兩個(gè)站點(diǎn)已知的號(hào)碼而被獲得,例如自配置eNB-1d之類的標(biāo)識(shí)號(hào)碼。
[0067]所有的選擇(和其他的在本發(fā)明的范圍內(nèi)選擇)也可以周期性地運(yùn)行,即使當(dāng)eNB處于可運(yùn)行模式中時(shí),以便重新選擇(重新關(guān)聯(lián))安全鑰匙。這將減少在長(zhǎng)持續(xù)攻擊嘗試下被破壞的安全的可能性。
[0068]eNB間驗(yàn)證和在自配置eNB和其相鄰eNB之間的安全鑰匙關(guān)聯(lián)可以被一起結(jié)合以達(dá)到eNB間驗(yàn)證和在一次交換中的安全關(guān)聯(lián)兩方面,如圖7所示,該圖說(shuō)明了關(guān)于被連接的相鄰eNB的通過(guò)X2C的總體的自配置eNB操作。
[0069]圖7中的eNB間操作看似是點(diǎn)到點(diǎn)操作,但是,從eNB方面來(lái)看,它是點(diǎn)到多點(diǎn)操作。因此,如果基本的IP層支持這樣的操作,則組播可以由自配置eNB使用。但是每一個(gè)相鄰eNB必須單獨(dú)地響應(yīng)于自配置eNB。
[0070]注意到在圖7中,X2C握手620是可選的,上面關(guān)于圖3的描述。同時(shí),在eNB間的驗(yàn)證和安全鑰匙協(xié)議600中的Alt-1是在上面所描述的,其中前兩個(gè)IPsec_Init_SA消息是被完整性保護(hù)的。剩下的IPsec步驟隨后可以如IPsec正常需要一樣被執(zhí)行。
[0071]如果驗(yàn)證或鑰匙交換失敗,并且失敗決定是基于幾個(gè)連續(xù)失敗的嘗試,自配置eNB應(yīng)該考慮X2C接口無(wú)效并且報(bào)告給網(wǎng)絡(luò)。
[0072]接下來(lái)的E-UTRAN (eNB)參數(shù)可以從相鄰eNB參數(shù)交換操作610獲取:GPS定位信息;eNB運(yùn)行的小區(qū)數(shù)量和小區(qū)-1d ;服務(wù)運(yùn)營(yíng)商的標(biāo)識(shí)或本地PLMN Id ;eNB測(cè)量或測(cè)量組/關(guān)聯(lián)信息;用于小區(qū)的無(wú)線電參數(shù),如頻帶和中心頻率、小區(qū)傳輸帶寬值、功率控制信息、基線小區(qū)公共信道配置、MMO和方向性天線信息、MBMS SFN信息及MBMS資源信息;以及用于小區(qū)的服務(wù)參數(shù),如MBMS信息、LCS信息和在eNB間共享的公共SI信息。
[0073]實(shí)施例
[0074]1.一種用于無(wú)線基站的自配置的方法,該方法包括啟動(dòng)所述基站與另一相鄰基站之間的交互。
[0075]2.根據(jù)實(shí)施例1所述的方法,該方法包括對(duì)所述基站和所述相鄰基站進(jìn)行驗(yàn)證。
[0076]3.根據(jù)實(shí)施例2所述的方法,其中所述驗(yàn)證包括:
[0077]所述基站將參數(shù)請(qǐng)求信號(hào)傳送到接入網(wǎng)關(guān)并接收參數(shù)響應(yīng)信號(hào);
[0078]以鑰匙編碼第一證書以創(chuàng)建第二證書;
[0079]生成隨機(jī)數(shù);
[0080]使用所述隨機(jī)數(shù)來(lái)生成加密的驗(yàn)證值。
[0081 ] 4.根據(jù)實(shí)施例3所述的方法,該方法還包括:
[0082]將授權(quán)請(qǐng)求傳送到所述相鄰基站;
[0083]從所述相鄰基站接收具有解密的驗(yàn)證值的授權(quán)響應(yīng);
[0084]將所述加密的驗(yàn)證值與所述解密的驗(yàn)證值進(jìn)行比較。
[0085]5.根據(jù)實(shí)施例3或4所述的方法,其中所述參數(shù)請(qǐng)求信號(hào)包括與所述相鄰基站有關(guān)的信息。
[0086]6.根據(jù)實(shí)施例3-5中任一項(xiàng)實(shí)施例所述的方法,其中所述參數(shù)響應(yīng)信號(hào)包括第一證書、鑰匙和編碼信息。
[0087]7.根據(jù)實(shí)施例4-6中任一項(xiàng)實(shí)施例所述的方法,其中所述授權(quán)請(qǐng)求信號(hào)包括第二證書和隨機(jī)數(shù)。
[0088]8.根據(jù)實(shí)施例4-7中任一項(xiàng)實(shí)施例所述的方法,該方法還包括第一基站:
[0089]從接入網(wǎng)關(guān)接收IP地址;
[0090]以所述接入網(wǎng)關(guān)執(zhí)行網(wǎng)絡(luò)驗(yàn)證;
[0091]加電并初始化站間接口 ;以及
[0092]從所述相鄰基站接收標(biāo)識(shí)信息。
[0093]9.根據(jù)實(shí)施例4-8中任一項(xiàng)實(shí)施例所述的方法,該方法還包括:
[0094]所述基站傳送和接收與網(wǎng)際協(xié)議安全(IPsec)過(guò)程相適應(yīng)的消息。
[0095]10.根據(jù)實(shí)施例6-9中任一項(xiàng)實(shí)施例所述的方法,其中所述鑰匙是由整個(gè)無(wú)線通信系統(tǒng)使用的共享鑰匙。
[0096]11.根據(jù)實(shí)施例6-10中任一項(xiàng)實(shí)施例所述的方法,其中所述第一證書是在所述整個(gè)無(wú)線通信系統(tǒng)中使用的通用證書。
[0097]12.根據(jù)實(shí)施例9-11中任一項(xiàng)實(shí)施例所述的方法,該方法還包括在IPsec中建立安全關(guān)聯(lián)(SA)。
[0098]13.根據(jù)實(shí)施例12所述的方法,其中所述SA包括安全算法的說(shuō)明、IP目的地地址和用于驗(yàn)證報(bào)頭(AH)或封裝安全有效載荷(ESP)的標(biāo)識(shí)符。
[0099]14.根據(jù)實(shí)施例13所述的方法,其中所述AH或ESP包含散列以保護(hù)數(shù)據(jù)的完整性。
[0100]15.根據(jù)實(shí)施例4-14中任一項(xiàng)實(shí)施例所述的方法,該方法包括使用棣弗-赫爾曼算法來(lái)生成用于驗(yàn)證的第一密鑰和用于加密的第二密鑰。
[0101]16.根據(jù)實(shí)施例4-15中任一項(xiàng)實(shí)施例所述的方法,該方法還包括所述網(wǎng)絡(luò)準(zhǔn)備通用的共享密鑰和用于所有基站的通用的共享基站證書以用于站間驗(yàn)證,其中在相鄰基站被網(wǎng)絡(luò)驗(yàn)證之后,所述第一基站從相鄰基站獲取參數(shù)。
[0102]17.根據(jù)實(shí)施例16所述的方法,其中所述證書由所述基站加密并且被傳送到所述相鄰基站以用于驗(yàn)證所述第一基站。
[0103]18.根據(jù)實(shí)施例17所述的方法,該方法還包括所述相鄰基站解碼所述證書并且將所述證書與通用基站證書進(jìn)行比較。
[0104]19.根據(jù)實(shí)施例4-18中任一項(xiàng)實(shí)施例所述的方法,其中所述基站使用組播信號(hào)來(lái)與所述相鄰基站通信。
[0105]10.一種基站,該基站被配置成執(zhí)行根據(jù)實(shí)施例1-19中任一項(xiàng)實(shí)施例所述的方法。
[0106]21.一種用于驗(yàn)證第一無(wú)線基站與相鄰基站之間的通信的方法,該方法包括:
[0107]從接入網(wǎng)關(guān)接收多個(gè)鑰匙;
[0108]選擇所述多個(gè)鑰匙中的第一個(gè);
[0109]使用所述多個(gè)鑰匙中的第一個(gè)來(lái)計(jì)算第一值;
[0110]將該第一值傳送到所述相鄰基站;
[0111]第二基站使用所述第一值和第二值來(lái)計(jì)算第一鑰匙索引;
[0112]從所述相鄰基站接收鑰匙關(guān)聯(lián)響應(yīng),該鑰匙關(guān)聯(lián)響應(yīng)具有基于所述第一值的第一鑰匙索引和第二鑰匙;以及
[0113]使用所述關(guān)聯(lián)響應(yīng)中的信息來(lái)計(jì)算第二鑰匙索引。
[0114]22.一種用于無(wú)線通信的基站,該基站包括:
[0115]發(fā)射機(jī),用于將參數(shù)請(qǐng)求信號(hào)傳送到接入網(wǎng)關(guān)以及用于將授權(quán)請(qǐng)求傳送到第二基站;
[0116]接收機(jī),用于從所述接入網(wǎng)關(guān)接收參數(shù)響應(yīng)信號(hào)以及從所述第二基站接收授權(quán)響應(yīng);
[0117]編碼器,用于使用鑰匙來(lái)編碼證書;
[0118]隨機(jī)數(shù)生成器,用于生成隨機(jī)數(shù);以及
[0119]比較器,用于將解碼的驗(yàn)證值與編碼的驗(yàn)證值進(jìn)行比較。
[0120]23.根據(jù)實(shí)施例22所述的基站,該基站被配置成使用所述隨機(jī)數(shù)來(lái)生成所述編碼的驗(yàn)證值。
[0121]24.根據(jù)實(shí)施例23或24所述的基站,其中所述驗(yàn)證請(qǐng)求包括編碼的證書和所述隨機(jī)數(shù)。
[0122]25.根據(jù)實(shí)施例22-24中任一項(xiàng)實(shí)施例所述的基站,其中所述驗(yàn)證響應(yīng)包括所述解碼的驗(yàn)證值。
[0123]26.根據(jù)實(shí)施例22-25中任一項(xiàng)實(shí)施例所述的第二基站,該第二基站還包括:
[0124]解碼器,用于使用所述鑰匙來(lái)解碼所述編碼的證書;
[0125]生成器,用于使用所述隨機(jī)數(shù)來(lái)生成所述解碼的驗(yàn)證值;以及
[0126]比較器,用于將所述編碼的證書與所述證書進(jìn)行比較。
[0127]雖然本發(fā)明的特征和元素在優(yōu)選的實(shí)施方式中以特定的結(jié)合進(jìn)行了描述,但每個(gè)特征或元素可以在沒有所述優(yōu)選實(shí)施方式的其他特征和元素的情況下單獨(dú)使用,或在與或不與本發(fā)明的其他特征和元素結(jié)合的各種情況下使用。本發(fā)明提供的方法或流程圖可以在由通用計(jì)算機(jī)或處理器執(zhí)行的計(jì)算機(jī)程序、軟件或固件中實(shí)施,其中所述計(jì)算機(jī)程序、軟件或固件是以有形的方式包含在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中的。關(guān)于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的實(shí)例包括只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM)、寄存器、緩沖存儲(chǔ)器、半導(dǎo)體存儲(chǔ)設(shè)備、內(nèi)部硬盤和可移動(dòng)磁盤之類的磁介質(zhì)、磁光介質(zhì)以及CD-ROM碟片和數(shù)字多功能光盤(DVD)之類的光介質(zhì)。
[0128]舉例來(lái)說(shuō),恰當(dāng)?shù)奶幚砥靼?通用處理器、專用處理器、常規(guī)處理器、數(shù)字信號(hào)處理器(DSP)、多個(gè)微處理器、與DSP核心相關(guān)聯(lián)的一個(gè)或多個(gè)微處理器、控制器、微控制器、專用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門陣列(FPGA)電路、任何一種集成電路(IC)和/或狀態(tài)機(jī)。
[0129]與軟件相關(guān)聯(lián)的處理器可以用于實(shí)現(xiàn)一個(gè)射頻收發(fā)機(jī),以便在無(wú)線發(fā)射接收單元(WTRU)、用戶設(shè)備(UE)、終端、基站、無(wú)線網(wǎng)絡(luò)控制器(RNC)或是任何主機(jī)計(jì)算機(jī)中加以使用。WTRU可以與采用硬件和/或軟件形式實(shí)施的模塊結(jié)合使用,例如相機(jī)、攝像機(jī)模塊、
可視電話、揚(yáng)聲器電話、振動(dòng)設(shè)備、揚(yáng)聲器、麥克風(fēng)、電視收發(fā)機(jī)、免提耳機(jī)、鍵盤、藍(lán)牙⑧模塊、調(diào)頻(FM)無(wú)線單元、液晶顯示器(IXD)顯示單元、有機(jī)發(fā)光二極管(OLED)顯示單元、數(shù)字音樂播放器、媒體播放器、視頻游戲機(jī)模塊、因特網(wǎng)瀏覽器和/或任何無(wú)線局域網(wǎng)(WLAN)模塊。
【權(quán)利要求】
1.一種基站,該基站包括: 處理器,被配置成一旦所述基站加電就發(fā)起自配置過(guò)程,其中: 在所述自配置過(guò)程期間驗(yàn)證所述基站; 所述基站被配置成在所述自配置過(guò)程期間從與所述基站相關(guān)聯(lián)的網(wǎng)絡(luò)接收第一配置參數(shù)集;以及 所述基站被配置成在所述自配置過(guò)程期間從另一基站接收第二配置參數(shù)集。
2.根據(jù)權(quán)利要求1所述的基站,其中: 所述基站被配置成向所述網(wǎng)絡(luò)請(qǐng)求所述第一配置參數(shù)集;以及 所述基站被配置成向所述另一基站請(qǐng)求所述第二配置參數(shù)集。
3.根據(jù)權(quán)利要求1所述的基站,其中所述基站被配置成建立與所述網(wǎng)絡(luò)的接口以請(qǐng)求所述第一配置參數(shù)集以及以接收所述第一配置參數(shù)集。
4.根據(jù)權(quán)利要求3所述的基站,其中所述接口是與所述網(wǎng)絡(luò)的SI接口。
5.根據(jù)權(quán)利要求3所述的基站,其中所述基站被配置成使用網(wǎng)際協(xié)議(IP)地址建立所述接口。
6.根據(jù)權(quán)利要求1所述的基站,其中所述第二配置參數(shù)集包括由所述另一基站操作的小區(qū)的指示。
7.根據(jù)權(quán)利要求1所述的基站,其中所述第二配置參數(shù)集還包括來(lái)自所述另一基站的多媒介廣播多播服務(wù)(MBMS)單頻網(wǎng)絡(luò)(SFN)信息。
8.根據(jù)權(quán)利要求7所述的基站,其中來(lái)自所述另一基站的MBMSSFN信息通過(guò)握手或成對(duì)的請(qǐng)求和響應(yīng)消息的方式被接收。
9.一種由基站用于自配置的方法,該方法包括: 一旦所述基站加電就由所述基站發(fā)起自配置過(guò)程; 在所述自配置過(guò)程期間驗(yàn)證所述基站; 由所述基站在所述自配置過(guò)程期間從與所述基站相關(guān)聯(lián)的網(wǎng)絡(luò)接收第一配置參數(shù)集;以及 由所述基站在所述自配置過(guò)程期間從另一基站接收第二配置參數(shù)集。
10.根據(jù)權(quán)利要求9所述的方法,該方法還包括: 由所述基站向所述網(wǎng)絡(luò)請(qǐng)求所述第一配置參數(shù)集;以及 由所述基站向所述另一基站請(qǐng)求所述第二配置參數(shù)集。
11.根據(jù)權(quán)利要求9所述的方法,該方法還包括: 建立與所述網(wǎng)絡(luò)的接口以請(qǐng)求所述第一配置參數(shù)集以及以接收所述第一配置參數(shù)集。
12.根據(jù)權(quán)利要求11所述的方法,其中所述接口是與所述網(wǎng)絡(luò)的SI接口。
13.根據(jù)權(quán)利要求11所述的方法,其中使用網(wǎng)際協(xié)議(IP)地址建立所述接口。
14.根據(jù)權(quán)利要求9所述的方法,其中所述第二配置參數(shù)集包括由所述另一基站操作的小區(qū)的指示。
15.根據(jù)權(quán)利要求9所述的方法,其中所述第二配置參數(shù)集還包括來(lái)自所述另一基站的多媒介廣播多播服務(wù)(MBMS)單頻網(wǎng)絡(luò)(SFN)信息。
16.根據(jù)權(quán)利要求15所述的方法,其中來(lái)自所述另一基站的MBMSSFN信息通過(guò)握手或成對(duì)的請(qǐng)求和響應(yīng)消息的方式被接收。
【文檔編號(hào)】H04W24/02GK104080082SQ201410287084
【公開日】2014年10月1日 申請(qǐng)日期:2007年12月27日 優(yōu)先權(quán)日:2006年12月27日
【發(fā)明者】P·S·王, L·J·古喬內(nèi), J·M·米勒, U·奧維拉-赫恩安徳茨 申請(qǐng)人:交互數(shù)字技術(shù)公司