X2安全通道建立方法與系統(tǒng)、以及基站的制作方法
【專利摘要】一種X2安全通道建立方法與系統(tǒng)、以及基站,在一用戶終端從基站覆蓋的小區(qū)向另一基站覆蓋的小區(qū)切換時,在基站向另一基站發(fā)送通知消息時,同時發(fā)送安全參數(shù)集供另一基站選擇其所支持的安全參數(shù)值,從而無需多次協(xié)商,減少了因協(xié)商帶來的延時或安全通道無法建立等問題,使得X2安全通道在通信切換所能容忍的時間內(nèi)建立。所述方法包括:基站向?qū)Χ嘶景l(fā)送一通知消息,所述通知消息包括一安全參數(shù)集;接收對端基站發(fā)送的回復(fù)消息,所述回復(fù)消息包括所述對端基站從所述安全參數(shù)集選擇的安全參數(shù)值;根據(jù)所述回復(fù)消息,建立X2安全通道。
【專利說明】X2安全通道建立方法與系統(tǒng)、以及基站
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信【技術(shù)領(lǐng)域】,特別是涉及一種X2安全通道建立方法與系統(tǒng)、以及基 站。
【背景技術(shù)】
[0002] 長期演進(jìn)/系統(tǒng)架構(gòu)演進(jìn)(Long Term Evolution/System Architecture Evolution, LTE/SAE)網(wǎng)絡(luò)系統(tǒng)項(xiàng)目,是近年來第三代合作伙伴計(jì)劃(3rd Generation Partnership Project, 3GPP)啟動的最大新技術(shù)研發(fā)項(xiàng)目。這種以正交頻分復(fù)用/頻分多 址(0FDM/FDMA)為核心的技術(shù)由于已經(jīng)具有某些"4G"特征,被視作從3G向4G演進(jìn)的主流 技術(shù)。
[0003] 請參考圖1,其為現(xiàn)有技術(shù)LTE/SAE網(wǎng)絡(luò)系統(tǒng)的架構(gòu)圖。該LTE/SAE網(wǎng)絡(luò)系統(tǒng)包括 演進(jìn)型基站(eNB,eNodeB)和管理這些基站的移動管理實(shí)體/服務(wù)網(wǎng)關(guān)(MME/SGW,Mobility Management Entity/Serving Gateway)。其中,MME/SGW 與 eNB 之間通過 SI 接 口建立 SI 鏈 路,eNB之間通過X2接口建立X2鏈路。
[0004] 具體,Sl鏈路提供訪問無線接入網(wǎng)中的無線資源的功能,包括控制平面功能和用 戶平面功能;Sl鏈路的控制面接口(Sl-MME)提供eNB與MME之間的應(yīng)用協(xié)議以及用于傳 輸應(yīng)用協(xié)議消息的信令承載功能,Sl鏈路的用戶面接口(Sl-U)提供eNB與SGW之間的用 戶面數(shù)據(jù)傳輸功能。
[0005] X2鏈路的存在主要為了支持終端的移動性管理功能。例如,在漏配小區(qū)、新增基 站等場景下,運(yùn)營商希望當(dāng)終端從源eNB小區(qū)切換到目的eNB小區(qū)時,eNB間的X2鏈路能 夠自動建立,用于傳輸切換控制與數(shù)據(jù)信息。具體,通過eNB與MME/SGW之間的Sl信令,源 eNB與目的eNB可以獲取對端的用戶面與信令面?zhèn)鬏斝畔?,自動建立X2鏈路。
[0006] 目前,在X2鏈路自動建立過程中,用戶面與信令面等傳輸信息往往都以明文方 式進(jìn)行傳輸,即未進(jìn)行加密保護(hù),這顯然不符合當(dāng)前對于通信安全的要求。因此,在3GPP LTE 的 Sl 應(yīng)用協(xié)議,即 36. 413 協(xié)議中(網(wǎng)址 http://www. 3gpp. org/ftp/Specs/latest/ Rel_8/36_series/),在X2傳輸網(wǎng)絡(luò)層自配置消息中,增加了對端基站IP-Sec傳輸層地 址信息(即在 X2 TNL Configuration Info 消息中可以攜帶 IP-Sec Transport Layer Address)。但是在實(shí)際應(yīng)用中,eNB之間僅依靠此參數(shù)建立安全通道,存在許多問題,往往 導(dǎo)致安全通道建立失敗,而直接進(jìn)行明文傳輸。
[0007] 因此,亟需一種X2安全通道建立技術(shù),以解決X2鏈路建立過程中的數(shù)據(jù)安全問 題。
【發(fā)明內(nèi)容】
[0008] 有鑒于此,以下提供一種X2安全通道建立方法與系統(tǒng)、以及基站,來解決現(xiàn)有X2 鏈路自動建立過程中的數(shù)據(jù)安全問題。
[0009] 一方面,提供一種X2安全通道建立方法,包括:基站向?qū)Χ嘶景l(fā)送一通知消息, 所述通知消息包括一安全參數(shù)集;接收對端基站發(fā)送的回復(fù)消息,所述回復(fù)消息包括所述 對端基站從所述安全參數(shù)集選擇的安全參數(shù)值;根據(jù)所述回復(fù)消息,建立X2安全通道。
[0010] 另一方面,提供一種X2安全通道建立方法,包括:基站接收對端基站發(fā)送的一通 知消息,所述通知消息包括一安全參數(shù)集;從所述安全參數(shù)集選擇所述基站所支持的安全 參數(shù)值;向?qū)Χ嘶景l(fā)送包括所選擇的安全參數(shù)值的回復(fù)消息。
[0011] 另一方面,提供一種基站,包括:存儲模塊,存儲一安全參數(shù)集;接口模塊,向?qū)Χ?基站發(fā)送一通知消息,所述通知消息包括所述安全參數(shù)集;且所述接口模塊接收對端基站 發(fā)送的回復(fù)消息,所述回復(fù)消息包括所述對端基站從所述安全參數(shù)集選擇的安全參數(shù)值; 通道建立模塊,根據(jù)所述回復(fù)消息,建立X2安全通道。
[0012] 另一方面,提供一種基站,包括:接口模塊、存儲單元及控制單元,其中所述存儲單 元存儲一安全參數(shù)集和一程序代碼,所述控制單元加載所述程序代碼,執(zhí)行以下操作:產(chǎn)生 一通知消息,所述通知消息包括所述安全參數(shù)集;通過接口模塊,向?qū)Χ嘶景l(fā)送所述通知 消息;通過接口模塊,接收對端基站發(fā)送的回復(fù)消息,所述回復(fù)消息包括所述對端基站從所 述安全參數(shù)集選擇的安全參數(shù)值;根據(jù)所述回復(fù)消息,建立X2安全通道。
[0013] 另一方面,提供一種基站,包括:存儲|吳塊,存儲該基站所支持的安全參數(shù)值;接 口模塊,接收對端基站發(fā)送的一通知消息,所述通知消息包括一安全參數(shù)集;選擇模塊,從 所述安全參數(shù)集中選擇該基站所支持的安全參數(shù)值;所述接口模塊,向?qū)Χ嘶景l(fā)送包括 所選擇的安全參數(shù)值的回復(fù)消息。
[0014] 另一方面,提供一種基站,包括:接口模塊、存儲單元及控制單元,存儲單元存儲一 程序代碼及該基站所支持的安全參數(shù)值,所述控制單元加載所述程序代碼,執(zhí)行以下操作: 通過所述接口模塊,接收對端基站發(fā)送的一通知消息,所述通知消息包括一安全參數(shù)集;從 所述安全參數(shù)集中選擇與該基站所支持安全參數(shù)值;產(chǎn)生一回復(fù)消息,所述回復(fù)消息包括 所選擇的安全參數(shù)值;通過所述接口模塊向?qū)Χ嘶景l(fā)送所述回復(fù)消息。
[0015] 另一方面,提供一種X2安全通道建立系統(tǒng),包括:第一基站、第二基站以及管理第 一基站與第-基站的管理端,其中第一基站的結(jié)構(gòu)同以上如兩種基站之一,第-基站的結(jié) 構(gòu)同以上后兩種基站之一。
[0016] 可見,在一用戶終端從基站覆蓋的小區(qū)向另一基站覆蓋的小區(qū)切換時,在基站向 另一基站發(fā)送通知消息時,同時發(fā)送安全參數(shù)集供另一基站選擇其所支持的安全參數(shù)值, 從而無需多次協(xié)商,減少了因協(xié)商帶來的延時或安全通道無法建立等問題,使得X2安全通 道在通信切換所能容忍的時間內(nèi)建立。
【專利附圖】
【附圖說明】
[0017] 圖1為一種現(xiàn)有LTE/SAE網(wǎng)絡(luò)系統(tǒng)的架構(gòu)圖;
[0018] 圖2為本發(fā)明實(shí)施例一所提供的X2安全通道建立方法的流程圖;
[0019] 圖3為本發(fā)明實(shí)施例一所提供的X2安全通道建立方法的流程圖;
[0020] 圖4為本發(fā)明實(shí)施例二所提供基站的一種實(shí)現(xiàn)方塊圖;
[0021] 圖5為本發(fā)明實(shí)施例二所提供基站的另一種實(shí)現(xiàn)方塊圖;
[0022] 圖6為本發(fā)明實(shí)施例三所提供基站的一種實(shí)現(xiàn)方塊圖;
[0023] 圖7為本發(fā)明實(shí)施例三所提供基站的另一種實(shí)現(xiàn)方塊圖。
【具體實(shí)施方式】
[0024] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對本發(fā)明實(shí)施例中的技術(shù)方
[0025] 案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅是本發(fā)明的一部分實(shí)施例,而 不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動 前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
[0026] 從【背景技術(shù)】可以知道,目前的36. 413協(xié)議中,雖然給出了一種基于英特網(wǎng)安全協(xié) 議(IP-Sec)的安全機(jī)制,但研究發(fā)現(xiàn)這種機(jī)制的給出還不完整,導(dǎo)致在X2鏈路建立過程 中,實(shí)際上無法實(shí)現(xiàn)IP-Sec的保護(hù)。發(fā)明人對此進(jìn)行研究發(fā)現(xiàn),如果僅僅在X2傳輸網(wǎng)絡(luò)層 自配置消息中增加對端基站IP-Sec傳輸層地址信息(即在X2 TNL Configuration Info消 息中攜帶IP-Sec Transport Layer Address信息),會存在協(xié)商信息不完全的問題。這時, 還需要對協(xié)商模式、協(xié)議版本、認(rèn)證方式、認(rèn)證算法、加密算法、加密模式、傳輸模式等多個 參數(shù)進(jìn)行協(xié)商嘗試,這些參數(shù)任意一個協(xié)商不一致,都會導(dǎo)致協(xié)商失敗。即使都協(xié)商成功, 也會導(dǎo)致非常大的延時,這是因?yàn)槊恳淮蜪P-Sec協(xié)商都需要IOs左右的時間,這么多參數(shù) 協(xié)商下來,往往需要幾分鐘甚至更長。而目前對于通信切換要求所能容忍的時間為15s? 20s,因此使用參數(shù)嘗試的方式實(shí)際上是不可行的??梢?,當(dāng)前36. 413協(xié)議所攜帶的安全信 息,不能滿足切換時建立安全傳輸通道的需求,協(xié)議36. 413功能不完整。
[0027] 鑒于此,發(fā)明人提供了兩種解決途徑:第一種,按照事先達(dá)成的約定配置一最小參 數(shù)集,且在通信切換時,與可以攜帶的IP-Sec Transport Layer Address-起,發(fā)送給對 端,由于事先已就參數(shù)達(dá)成約定,因而協(xié)商一致,無需多次嘗試,便可以建立安全通道;第二 種,擴(kuò)展現(xiàn)有36. 413協(xié)議,將需要協(xié)商的參數(shù)的所有可能選擇建立一最小參數(shù)集,且在通 信切換時,與可以攜帶的IP-Sec Transport Layer Address-起,發(fā)送給對端,對端便可以 根據(jù)源端提供的最小參數(shù)集,進(jìn)行選擇,從而達(dá)成協(xié)商,無需多次嘗試,便可以建立安全通 道。
[0028] 可見,這兩種途徑都是建立一個可以促進(jìn)一次協(xié)商成功的參數(shù)集,具體結(jié)合實(shí)施 例一和附圖描述如下:
[0029] 實(shí)施例一
[0030] 請參考圖2,其為本發(fā)明實(shí)施例一所提供的X2安全通道建立方法的流程圖。如圖 所示,包括如下步驟:
[0031] S210 :基站向?qū)Χ嘶景l(fā)送一通知消息,所述通知消息包括一安全參數(shù)集;
[0032] S220:接收對端基站發(fā)送的回復(fù)消息,所述回復(fù)消息包括所述對端基站從所述安 全參數(shù)集選擇的安全參數(shù)值;
[0033] S230 :根據(jù)所述回復(fù)消息,建立X2安全通道。
[0034] 相應(yīng)的,以上步驟中的對端基站在接收到通知消息時,對此做出回復(fù),具體回復(fù)過 程如圖3所示,包括如下步驟:
[0035] S310 :基站接收對端基站發(fā)送的一通知消息,所述通知消息包括一安全參數(shù)集;
[0036] S320 :從所述安全參數(shù)集選擇所述基站所支持的安全參數(shù)值;
[0037] S330 :向?qū)Χ嘶景l(fā)送包括所選擇的安全參數(shù)值的回復(fù)消息。
[0038] 需要說明的是,圖2與圖3中的基站互為對方的對端基站。為了避免以下敘述中 的混淆,現(xiàn)設(shè)定實(shí)施例一以下的描述中的基站與對端基站對端基站與圖2相對應(yīng)。
[0039] 下面詳述以上兩種途徑下構(gòu)建的安全參數(shù)集:
[0040] 途徑一:安全參數(shù)集由至少一默認(rèn)參數(shù)構(gòu)成。
[0041] 具體而言,如果對于基站與對端基站的供應(yīng)商來說,提前可以對于其安全參數(shù)的 選取與取值達(dá)成一致時,可以將達(dá)成一致的安全參數(shù)值設(shè)定為默認(rèn)參數(shù),有時候,對于不同 的對端基站,默認(rèn)參數(shù)可能不同,故可以建立一個安全參數(shù)集,將所有達(dá)成一致的默認(rèn)參數(shù) 放入其中。
[0042] 這樣,當(dāng)基站向?qū)Χ嘶景l(fā)送通知消息時,可以將這個安全參數(shù)集一起發(fā)送給對 端基站,這樣對端基站便可以根據(jù)自己的情況作出選擇,從而一次達(dá)成協(xié)商一致的效果,并 根據(jù)協(xié)商結(jié)果在基站之間建立起安全通道。
[0043] 當(dāng)然,由于這種方式事先便就安全參數(shù)達(dá)成一致,故也可以不發(fā)送安全參數(shù)集,而 是將默認(rèn)的安全參數(shù)集配置到基站。真正切換時,按照標(biāo)準(zhǔn)協(xié)議攜帶已有參數(shù),然后直接使 用事先在本地配置好的安全參數(shù)建立安全通道。
[0044] 對于同一設(shè)備供應(yīng)商,這種一致很容易達(dá)成,這種解決手段非常適用于局點(diǎn)范圍 內(nèi)基站間安全通道的建立。然而,當(dāng)涉及到不同設(shè)備供應(yīng)商時,這個協(xié)商往往需要運(yùn)營商協(xié) 助或指定安全參數(shù),這將帶來許多人力成本的浪費(fèi),且不利于擴(kuò)展,也不適用于廣域范圍內(nèi) 的應(yīng)用。為此,以下提出了第二種解決途徑。
[0045] 途徑二:擴(kuò)展36. 413協(xié)議。
[0046] 具體而言,在通信切換時的通知消息已有IP-Sec Transport Layer Address參數(shù) 基礎(chǔ)上,補(bǔ)充最少的IKE參數(shù),用于IKE成功建立后,自動生成IP-Sec需要的密鑰;并補(bǔ)充 IP-Sec所需的最小參數(shù)集,以達(dá)成在切換發(fā)生時,在切換允許的時間延遲內(nèi)(15?20s),建 立IP-Sec保護(hù)下的X2安全通道的能力。
[0047] 可見,在本實(shí)施例中,安全參數(shù)集包括IP-Sec參數(shù)集和IKE參數(shù)集。這兩個參數(shù) 集的確立需保證以最小參數(shù)集最大限度的支持一次協(xié)商成功的原則。而以下確立的IKE參 數(shù)集和IP-Sec參數(shù)集便可以滿足此原則,將協(xié)商失敗的幾率降到可以忽略不計(jì)的情況。
[0048] 具體,IKE 參數(shù)集包括:IKE protocol version ;IKE exchange modeIKE ;IKE authentication mode ;IKE encryption algorithm ;IKE authentication algorithm ; Diffie-Hellman group of the IKE ;Pseud〇-random Function ;和 algorithm used in IKEv2。 IP-Sec 參數(shù)集包括:IPSec negotiation perfect forward secrecy(PFS); Encapsulation mode of an IPSec ;IPSec transform ;AH Authentication Algorithm ;ESP Authentication Algorithm;和 ESP Encryption Algorithm。且在參數(shù)集中列出了 以上每 一個參數(shù)所有支持的取值信息。
[0049] 下面對以上每個參數(shù)的含義做出解釋:
[0050] IKE protocol version,該參數(shù)表示IKE協(xié)議的版本,目前IKE協(xié)議有Vl和V2兩 個版本,且兩個版本是不兼容的,比如源基站用VI,目的基站用V2,那么IKE協(xié)商就會失敗。 因此必須提供該參數(shù)。V2版本相對Vl版本,在支持的認(rèn)證、協(xié)商算法上有提升,流程也有不 同。
[0051] IKE exchange modeIKE,該參數(shù)表示IKE的協(xié)商模式,其實(shí)也就是協(xié)商密鑰的一些 具體過程,不同的過程,也是不兼容的,因此一定要指定。主模式將密鑰交換信息與身份、驗(yàn) 證信息相分離,這種分離保護(hù)了身份信息,從而提供了更高的安全性。野蠻模式缺少身份認(rèn) 證保護(hù),但可以滿足某些特定的網(wǎng)絡(luò)環(huán)境需求。當(dāng)IKE安全提議的驗(yàn)證方法為預(yù)共享密鑰 時,主模式不支持名字驗(yàn)證,而野蠻模式支持。
[0052] IKE authentication mode,該參數(shù)表示IKE安全提議選擇的驗(yàn)證方式,其實(shí)就是 協(xié)商兩端在IKE階段,怎么認(rèn)證對方身份的方式,一般為預(yù)共享密鑰認(rèn)證方式、數(shù)字證書認(rèn) 證方式、或者可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)方式,不同方式均不能兼容。因此也需要指定。其 中,預(yù)共享密鑰的方式是在網(wǎng)絡(luò)上傳遞信息,預(yù)共享密鑰在網(wǎng)上以非加密形式傳遞,是不合 適的,可能被泄露。但是本領(lǐng)域技術(shù)人員根據(jù)網(wǎng)絡(luò)的狀況,可以選擇是否采用選用這種預(yù) 共享密鑰的方式。若果選擇這種方式,則涉及另一參數(shù):Pre-shared Key,如果選擇預(yù)共享 密鑰方式認(rèn)證,則需要事先指定預(yù)共享密鑰,本端,對端必須要一樣??梢妳?shù)Pre-shared Key可選擇的出現(xiàn)在該參數(shù)集內(nèi)。
[0053] IKE encryption algorithm, IKE階段,通信時使用的加密算法。IKE是為了給 IPSEC生成密鑰。生成密鑰的方式,是通過數(shù)學(xué)算法,通過本對端交換的生成密鑰的材料,本 對端各自生成密鑰。密鑰本身是本對端用材料生成的,絕對不會在網(wǎng)上傳送。但是材料本 身,也是加密傳送的。一般有DES,3DES,AES128,AES192,AES256,不同方式均不能兼容。因 此也需要指定。
[0054] IKE authentication algorithm, IKE階段,本、對端識別對方身份時采用的算法。 一般有MD5, SHA1,AES_XCBC_96等,各算法不兼容,必須本對端一致才能協(xié)商成功。
[0055] Diffie-Hellman (DH) group of the IKE,IKE 的核心技術(shù)就是 DH(Diffie-Hellman) 交換技術(shù)。DH交換基于公開的信息計(jì)算私有信息,數(shù)學(xué)上證明破解DH交換的計(jì)算復(fù)雜度非 常高,目前是不可能破解的。DH技術(shù)可以指定不同的加密長度。不同的加密長度不兼容。 因此本對端用得DH算法的具體DH組,也必須一致。
[0056] Pseudo-random Function (PRF) algorithm used in IKEv2,該參數(shù)表不 IKEv2 的 PRF (Pseudo-random Function)算法。PRF算法用于生成IKE認(rèn)證、加密所需的材料。本對 端的算法也必須一致。
[0057] IP-Sec negotiation perfect forward secrecy (PFS),該參數(shù)表不完善的前向安 全性(PFS)的值。PFS使IP-Sec第二階段的密鑰并非是從第一階段的密鑰導(dǎo)出,IP-Sec的 兩個階段的密鑰相互獨(dú)立。PFS要求一個密鑰只能訪問由它所保護(hù)的數(shù)據(jù);用來產(chǎn)生密鑰 的元素一次一換,不能再產(chǎn)生其他的密鑰;一個密鑰被破解,并不影響其他密鑰的安全性。 IP-Sec在使用此安全策略發(fā)起協(xié)商時,進(jìn)行一個PFS交換。如果本端指定了 PFS,對端在 發(fā)起協(xié)商時必須是PFS交換,本端和對端指定的DH組必須一致,否則協(xié)商會失敗,1024-bit Diffie-Hellman 組(Dh_Group2)比 768-bit Diffie-Hellman 組(Dh-Groupl)提供更高的安 全性,但是需要更長的計(jì)算時間。
[0058] Encapsulation mode of an IP-Sec,封裝模式,可以選擇隧道模式和傳輸模式。傳 輸模式只加密數(shù)據(jù)部分;對于隧道模式,IP-Sec對整個IP報(bào)文進(jìn)行保護(hù),并在原IP報(bào)文的 前面增加一個新的IP頭,新IP頭的源地址和目的地址分別是安全隧道的兩個端點(diǎn)的IP地 址。傳輸模式一般用于端到端的IP-Sec保護(hù),隧道模式除了可以應(yīng)用于端到端的IP-Sec 保護(hù),還可以應(yīng)用于通道中某一個段的保護(hù)。
[0059] IP-Sec transform,表示IP-Sec協(xié)議所使用的認(rèn)證和加密使用的協(xié)議??梢允茿H 協(xié)議,ESP協(xié)議,也可以是AH+ESP協(xié)議(也就是兩種協(xié)議可以一起用)。本對端必須一致, 否則協(xié)商失敗。
[0060] AH Authentication Algorithm, AH只能用來認(rèn)證,本對端認(rèn)證算法必須一致,否 則失敗。
[0061] ESP Authentication Algorithm, ESP認(rèn)證協(xié)議使用的算法,本對端必須一致。
[0062] ESP Encryption Algorithm, ESP加密協(xié)議使用的算法,本對端必須一致。
[0063] 根據(jù)36. 413協(xié)議,以上通知消息為第一基站配置傳輸消息(eNB Configuration Transfer message),相應(yīng)的以上回復(fù)消息為第二基站配置傳輸消息(eNB Configuration Transfer message)。且 eNB Configuration Transfer message 包括 X2 傳輸網(wǎng)絡(luò)層配置消 息(X2 TNL Configuration Info),本實(shí)施例便將補(bǔ)充的IKE參數(shù)和IPSEC參數(shù)構(gòu)成的最小 參數(shù)集置于 X2 TNL Configuration Info 內(nèi),與已有的 IP-Sec Transport Layer Address 參數(shù)一起在通信切換時發(fā)送給對端基站,此時構(gòu)成的X2 TNL Configuration Info如表I:
[0064] 需要說明的是,以上通知消息為eNB Configuration Transfer message,且安全參 數(shù)集位于X2 TNL Configuration Info。然而,本發(fā)明對此不做任何限制,該安全參數(shù)集也 可以獨(dú)立于 eNB Configuration Transfer message 或 X2 TNL Configuration Info 單獨(dú)發(fā) 送;另外,仍然可以利用 eNB Configuration Transfer message 或 X2 TNL Configuration Info發(fā)送,只是將安全參數(shù)集中的參數(shù)分批次進(jìn)行發(fā)送,例如,每發(fā)送一次X2 TNL Configuration Info時,帶一個、兩個或三個......參數(shù),直到協(xié)商完成。但是以上這些方式會 增加時間延遲,故較佳的,就是將安全參數(shù)集增加到X2 TNL Configuration Info消息中,如 此,可以達(dá)到以下效果:
[0065] 第一,補(bǔ)充現(xiàn)有標(biāo)準(zhǔn),擴(kuò)展必須參數(shù)。第二,利用現(xiàn)有的協(xié)議標(biāo)準(zhǔn)的過程,來達(dá)到參 數(shù)一致的作用。
[0066] 另外,所述通知消息內(nèi)除了安全參數(shù)集外,還會攜帶切換相關(guān)的一些無線參數(shù),本 發(fā)明在此對通知消息內(nèi)安全參數(shù)集以外的消息不做任何限制。
[0067] 可見,基站在向?qū)Χ嘶景l(fā)送通知消息時,同時發(fā)送安全參數(shù)集供對端基站選擇 其所支持的安全參數(shù)值,從而無需多次協(xié)商,減少了因協(xié)商帶來的延時或安全通道無法建 立等問題,使得X2安全通道在通信切換所能容忍的時間內(nèi)建立。
[0068] 這里所說的通信切換是指一種跨基站的通信切換過程,具體而言,是指一用戶終 端從基站所覆蓋的小區(qū)切換至對端基站所覆蓋的小區(qū)的過程。而以上X2安全通道的建立 過程便可以應(yīng)用到基站與對端基站之間的X2鏈路未建立的跨基站通信切換過程中,以在 其中自動加入一種安全機(jī)制,實(shí)現(xiàn)對基站的信令面、業(yè)務(wù)面以及管理面等數(shù)據(jù)的安全傳輸。 [0069] 由于X2鏈路未建立,故以上通知消息與回復(fù)消息顯然無法直接在兩個基站之間 進(jìn)行傳輸,因此需要MME進(jìn)行轉(zhuǎn)送。即基站通過其Sl接口發(fā)送通知消息與接收回復(fù)消息; 對端基站也通過其Sl接口接收通知消息與發(fā)送回復(fù)消息。
[0070] 需要說明的是,在以上步驟S230中,X2通道的建立主要依據(jù)基站與對端基站配置 信息的交互,即在所述通知消息中,不僅包括所述安全參數(shù)集,還包括建立X2鏈路所必須 的多個地址信息,例如 X2 Transport Layer Addresses,X2 Extended Transport Layer Addresses,GTP Transport Layer Addresses等。當(dāng)基站與對端基站獲取了對方的這些信 息后,便可以根據(jù)這些地址信息自動建立起X2通道,由于這是本領(lǐng)域技術(shù)人員所熟知的技 術(shù),故在此不再詳述。同樣的,由于以上方案二中在通知消息中增加的IKE和IP-Sec安全 參數(shù)集,可以在通道建立過程中,啟動自動協(xié)商與安全參數(shù)選取過程,故最終根據(jù)選取的安 全參數(shù)值,實(shí)現(xiàn)IP-Sec保護(hù)下的數(shù)據(jù)傳輸,從而實(shí)現(xiàn)安全通道的建立??梢姡踩ǖ赖慕?立過程中,如何基站與對端基站的信息交互便顯得尤為重要,下面結(jié)合36. 413協(xié)議來描述 這個交互過程,且以下僅為概述,詳細(xì)過程可參見該協(xié)議。
[0071] 參見36. 413協(xié)議,其主要由以下兩個過程實(shí)現(xiàn):
[0072] 過程一:基站配置傳輸,對應(yīng)于協(xié)議的8. 15章節(jié),主要用于將無線接入網(wǎng)配置信 息(RAN configuration information)從基站傳送給移動管理實(shí)體(MME)。
[0073] 過程二:MME配置傳輸,對應(yīng)于協(xié)議的8. 16章節(jié),主要用于將RAN configuration information從MME傳送給基站。
[0074] 具體而言,首先在源基站與MME之間進(jìn)行過程一:源基站向MME發(fā)送第一基站 配置傳輸消息(eNB configuration transfer message)。MME接收該第一基站配置傳輸 消息,且將其轉(zhuǎn)換為MME配置傳輸消息(MME configuration transfer message),并從該 消息中得到目的基站地址信息。而后根據(jù)目的基站的地址信息在MME與目的基站之間進(jìn) 行過程二:將MME configuration transfer message發(fā)送給目的基站。目的基站接收該 MME configuration transfer message后,從該消息中得到源基站的地址信息并從第一 eNB configuration transfer message中得到安全參數(shù)集并選取其所支持的安全參數(shù)值, 與其自身地址信息構(gòu)建第二基站配置傳輸消息(eNB configuration transfer message), 然后,在目的基站與MME之間進(jìn)行過程一:目的基站向MME發(fā)送第二eNB configuration transfer message〇 接下來 MME 將第二 eNB configuration transfer message 轉(zhuǎn)換為 MME configuration transfer message按照過程二發(fā)送給源基站。
[0075] 實(shí)施例二:
[0076] 請參考圖4,其為本發(fā)明實(shí)施例二所提供基站的一種實(shí)現(xiàn)方塊圖。如圖所示,該基 站包括存儲模塊410、接口模塊420以及通道建立模塊430。其中存儲模塊410用于存儲一 安全參數(shù)集;接口模塊420用于向?qū)Χ嘶景l(fā)送一通知消息,所述通知消息包括所述安全 參數(shù)集;且該接口模塊420還用于接收對端基站發(fā)送的回復(fù)消息,所述回復(fù)消息包括所述 對端基站從所述安全參數(shù)集選擇的安全參數(shù)值;通道建立模塊430用于根據(jù)所述回復(fù)消息 建立X2安全通道。
[0077] 請參考圖5,其為本發(fā)明實(shí)施例二所提供基站的另一種實(shí)現(xiàn)方塊圖。如圖所示,該 基站包括接口模塊510、存儲單元520及控制單元530,其中所述存儲單元520存儲一安全 參數(shù)集和一程序代碼,所述控制單元530加載所述程序代碼,執(zhí)行以下操作:
[0078] 產(chǎn)生一通知消息,所述通知消息包括所述安全參數(shù)集;
[0079] 通過接口模塊510,向?qū)Χ嘶景l(fā)送所述通知消息;
[0080] 通過接口模塊510,接收對端基站發(fā)送的回復(fù)消息,所述回復(fù)消息包括所述對端基 站從所述安全參數(shù)集選擇的安全參數(shù)值;
[0081] 根據(jù)所述回復(fù)消息,建立X2安全通道。
[0082] 本領(lǐng)域技術(shù)人員當(dāng)知,以上程序代碼可以存儲于一計(jì)算機(jī)可讀取存儲介質(zhì)中,該 存儲介質(zhì)例如為R0M/RAM、磁盤、光盤等。
[0083] 可見,基站在向?qū)Χ嘶景l(fā)送通知消息時,同時發(fā)送安全參數(shù)集供對端基站選擇 其所支持的安全參數(shù)值,從而無需多次協(xié)商,減少了因協(xié)商帶來的延時或安全通道無法建 立等問題,使得X2安全通道在通信切換所能容忍的時間內(nèi)建立。
[0084] 這里所說的通信切換是指一種跨基站的通信切換過程,具體而言,是指一用戶終 端從基站所覆蓋的小區(qū)切換至對端基站所覆蓋的小區(qū)的過程。而以上基站便可以用作X2 鏈路未建立的跨基站通信切換過程中的源基站,以在其中自動加入一種安全機(jī)制,實(shí)現(xiàn)對 基站的信令面、業(yè)務(wù)面以及管理面等數(shù)據(jù)的安全傳輸。
[0085] 由于X2鏈路未建立,故以上通知消息與回復(fù)消息顯然無法直接在兩個基站之間 進(jìn)行傳輸,因此需要MME進(jìn)行轉(zhuǎn)送。即以上接口模塊為Sl接口模塊。
[0086] 同實(shí)施例一,在一較佳的實(shí)施方式中,所述安全參數(shù)集可以包括IP-Sec參數(shù)集和 IKE 參數(shù)集。具體,IP-Sec 參數(shù)集包括:IPSec negotiation perfect forward secrecy; Encapsulation mode of an IPSec ;IPSec transform ;AH Authentication Algorithm ;ESP Authentication Algorithm ;和 ESP Encryption Algorithm 及每一個參數(shù)所有支持的取 值。IKE參數(shù)集包括:IKE protocol version ;IKE exchange modeIKE ;IKE authentication mode ;IKE encryption algorithm ;IKE authentication algorithm ;Diffie-Hellman group of the IKE ;Pseudo_random Function ;和 algorithm used in IKEv2及每一個參數(shù) 所有支持的取值。
[0087] 在另一實(shí)施方式中,安全參數(shù)集包括至少一默認(rèn)參數(shù)。
[0088] 與36. 413協(xié)議相應(yīng)的,所述通知消息為第一基站配置傳輸消息。且該第一基站配 置傳輸消息包括X2傳輸網(wǎng)絡(luò)層配置消息,所述安全參數(shù)集位于該X2傳輸網(wǎng)絡(luò)層配置消息 內(nèi)。所述回復(fù)消息為第二基站配置傳輸消息。同實(shí)施例一,本發(fā)明對此不做任何限制,該 安全參數(shù)集也可以獨(dú)立于 eNB Configuration Transfer message 或 X2 TNL Configuration Info單獨(dú)發(fā)送,但是這會增加時間延遲,故較佳的,就是將安全參數(shù)集增加到X2 TNL Configuration Info消息中,如此,可以達(dá)到以下效果:第一,補(bǔ)充現(xiàn)有標(biāo)準(zhǔn),擴(kuò)展必須參數(shù)。 第二,利用現(xiàn)有的協(xié)議標(biāo)準(zhǔn)的過程,來達(dá)到參數(shù)一致的作用。
[0089] 實(shí)施例三:
[0090] 請參考圖6,其為本發(fā)明實(shí)施例三所提供基站的一種實(shí)現(xiàn)方塊圖。如圖所示,該基 站包括存儲模塊610、接口模塊620以選擇模塊630。其中存儲模塊610用于存儲該基站 所支持的安全參數(shù)值;接口模塊620用于接收對端基站發(fā)送的一通知消息,所述通知消息 包括一安全參數(shù)集;選擇模塊630用于從所述安全參數(shù)集中選擇該基站所支持的安全參數(shù) 值;接口模塊620用于向?qū)Χ嘶景l(fā)送包括所選擇的安全參數(shù)值的回復(fù)消息。
[0091] 請參考圖7,其為本發(fā)明實(shí)施例三所提供基站的另一種實(shí)現(xiàn)方塊圖。如圖所示,該 基站包括接口模塊710、存儲單元720及控制單元730,存儲單元720存儲一程序代碼及該 基站所支持的安全參數(shù)值,所述控制單元730加載所述程序代碼,執(zhí)行以下操作:
[0092] 通過接口模塊710,接收對端基站發(fā)送的一通知消息,所述通知消息包括一安全參 數(shù)集;
[0093] 從所述安全參數(shù)集中選擇與該基站所支持安全參數(shù)值;
[0094] 產(chǎn)生一回復(fù)消息,所述回復(fù)消息包括所選擇的安全參數(shù)值;
[0095] 通過接口模塊710向?qū)Χ嘶景l(fā)送所述回復(fù)消息。
[0096] 本領(lǐng)域技術(shù)人員當(dāng)知,以上程序代碼可以存儲于一計(jì)算機(jī)可讀取存儲介質(zhì)中,該 存儲介質(zhì)例如為ROM/RAM、磁盤、光盤等。
[0097] 可見,基站接收對端基站發(fā)送通知消息時,同時接收到安全參數(shù)集供該基站選擇 其所支持的安全參數(shù)值,從而無需多次協(xié)商,減少了因協(xié)商帶來的延時或安全通道無法建 立等問題,使得X2安全通道在通信切換所能容忍的時間內(nèi)建立。
[0098] 這里所說的通信切換是指一種跨基站的通信切換過程,具體而言,是指一用戶終 端從對端基站所覆蓋的小區(qū)切換至該基站所覆蓋的小區(qū)的過程。而以上基站便可以用作X2 鏈路未建立的跨基站通信切換的目的基站,以在其中自動加入一種安全機(jī)制,實(shí)現(xiàn)對基站 的信令面、業(yè)務(wù)面以及管理面等數(shù)據(jù)的安全傳輸。
[0099] 由于X2鏈路未建立,故以上通知消息與回復(fù)消息顯然無法直接在兩個基站之間 進(jìn)行傳輸,因此需要MME進(jìn)行轉(zhuǎn)送。即以上接口模塊為Sl接口模塊。
[0100] 同實(shí)施例一,在一較佳的實(shí)施方式中,所述安全參數(shù)集可以包括IP-Sec參數(shù)集和 IKE 參數(shù)集。具體,IP-Sec 參數(shù)集包括:IPSec negotiation perfect forward secrecy; Encapsulation mode of an IPSec ;IPSec transform ;AH Authentication Algorithm ;ESP Authentication Algorithm ;和 ESP Encryption Algorithm 及每一個參數(shù)所有支持的取 值。IKE參數(shù)集包括:IKE protocol version ;IKE exchange modeIKE ;IKE authentication mode ;IKE encryption algorithm ;IKE authentication algorithm ;Diffie-Hellman group of the IKE ;Pseudo_random Function ;和 algorithm used in IKEv2及每一個參數(shù) 所有支持的取值。
[0101] 在另一實(shí)施方式中,安全參數(shù)集包括至少一默認(rèn)參數(shù)。
[0102] 與36. 413協(xié)議相應(yīng)的,所述通知消息為第一基站配置傳輸消息。且該第一基站配 置傳輸消息包括X2傳輸網(wǎng)絡(luò)層配置消息,所述安全參數(shù)集位于該X2傳輸網(wǎng)絡(luò)層配置消息 內(nèi)。所述回復(fù)消息為第二基站配置傳輸消息。同實(shí)施例一,本發(fā)明對此不做任何限制,該 安全參數(shù)集也可以獨(dú)立于 eNB Configuration Transfer message 或 X2 TNL Configuration Info單獨(dú)發(fā)送,但是這會增加時間延遲,故較佳的,就是將安全參數(shù)集增加到X2 TNL Configuration Info消息中,如此,可以達(dá)到以下效果:第一,補(bǔ)充現(xiàn)有標(biāo)準(zhǔn),擴(kuò)展必須參數(shù)。 第二,利用現(xiàn)有的協(xié)議標(biāo)準(zhǔn)的過程,來達(dá)到參數(shù)一致的作用。
[0103] 實(shí)施例四:
[0104] 以上實(shí)施例二與實(shí)施例三中的基站可以分別用作一跨基站的通信切換的源基站 與目的基站,當(dāng)一用戶終端從源基站所覆蓋的小區(qū)切換至目的基站所覆蓋的小區(qū)的時,源 基站向目的基站發(fā)送一通知消息時,同時發(fā)送安全參數(shù)集供目的基站選擇其所支持的安全 參數(shù)值,從而無需多次協(xié)商,減少了因協(xié)商帶來的延時或安全通道無法建立等問題,使得X2 安全通道在通信切換所能容忍的時間內(nèi)建立。如此,便構(gòu)成了一 X2安全通道建立系統(tǒng)。請 參考圖1,從圖中可以看出,該系統(tǒng)還包括管理所述源基站與目的基站的管理端,該管理端 通常為MME,且本發(fā)明不限制源基站與目的基站是否為同一 MME所管理,即源基站與目的基 站可以為同一 MME內(nèi)的基站,也可以為跨MME的基站。
[0105] 綜上所述,利用現(xiàn)有的36. 413協(xié)議目前攜帶的IP-Sec Transport Layer Address 信息進(jìn)行跨基站通道切換時,往往會因?yàn)閰?shù)嘗試而導(dǎo)致的鏈路建立超時,切換失敗等問 題。以上實(shí)施例提供了安全參數(shù)集,可以是一默認(rèn)參數(shù)集,也可以是對36. 413協(xié)議進(jìn)行補(bǔ) 充的最小擴(kuò)展補(bǔ)充參數(shù)集。利用安全參數(shù)集可以一次完成協(xié)商,實(shí)現(xiàn)X2安全通道建立,尤 其是對36. 413協(xié)議進(jìn)行補(bǔ)充后,可以在通道建立過程中,啟動自動協(xié)商與安全參數(shù)選取過 程,故最終根據(jù)選取的安全參數(shù)值,實(shí)現(xiàn)IP-Sec保護(hù)下的數(shù)據(jù)傳輸,從而實(shí)現(xiàn)安全通道的 建立。
[0106] 以上僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對于本【技術(shù)領(lǐng)域】的普通技術(shù)人員來 說,在不脫離本發(fā)明原理的前提下,還可以作出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也應(yīng)視為 本發(fā)明的保護(hù)范圍。
[0107]表 I X2 TNL Configuration Info
【權(quán)利要求】
1. 一種X2安全通道建立方法,其特征是,包括: 基站向?qū)Χ嘶景l(fā)送通知消息,所述通知消息包括安全參數(shù)集; 接收對端基站發(fā)送的回復(fù)消息,所述回復(fù)消息包括所述對端基站從所述安全參數(shù)集選 擇的安全參數(shù)值; 根據(jù)所述回復(fù)消息,建立X2安全通道。
2. 根據(jù)權(quán)利要求1所述的方法,其特征是,所述安全參數(shù)集包括需要協(xié)商的參數(shù)的所 有可能選擇。
3. 根據(jù)權(quán)利要求1所述的方法,其特征是,所述安全參數(shù)集包括IP-Sec參數(shù)集和IKE 參數(shù)集。
4. 根據(jù)權(quán)利要求3所述的方法,其特征是,所述IP-Sec參數(shù)集和IKE參數(shù)集的確立保 證以最小參數(shù)集最大限度的支持一次協(xié)商成功的原則。
5. 根據(jù)權(quán)利要求3所述的方法,其特征是,所述IKE參數(shù)集包括以下參數(shù)及每個參數(shù)所 有支持的取值: IKE 協(xié)議版本 IKE protocol version; IKE 協(xié)商模式 IKE exchange modelKE; IKE 驗(yàn)證 方式 IKE authentication mode ;IKE 加密算法 IKE encryption algorithm ;IKE 驗(yàn)證算法 IKE authentication algorithm ;IKE 的 Diffie-Hellman 組 Diffie-Hellman group of the IKE;和 IKEv2 版本使用的偽隨機(jī)函數(shù)算法 Pseudo-random Function algorithm used in IKEv2 ; 且所述IP-Sec參數(shù)集包括以下參數(shù)及每個參數(shù)所有支持的取值: IP-Sec 協(xié)商的完善前向安全性的值 IPSec negotiation perfect forward secrecy; IP-Sec 封裝模式 Encapsulation mode of an IPSec;IP-Sec 轉(zhuǎn)換集 IPSec transform ;AH 認(rèn)證算法 AH Authentication Algorithm ;ESP 認(rèn)證協(xié)議使用的算法 ESP Authentication Algorithm ;和 ESP 加密協(xié)議使用的算法 ESP Encryption Algorithm。
6. -種X2安全通道建立方法,其特征是,包括: 基站接收對端基站發(fā)送的通知消息,所述通知消息包括安全參數(shù)集; 從所述安全參數(shù)集選擇所述基站所支持的安全參數(shù)值; 向?qū)Χ嘶景l(fā)送包括所選擇的安全參數(shù)值的回復(fù)消息。
7. 根據(jù)權(quán)利要求6所述的方法,其特征是,所述安全參數(shù)集包括需要協(xié)商的參數(shù)的所 有可能選擇。
8. 根據(jù)權(quán)利要求6所述的方法,其特征是,所述安全參數(shù)集包括IP-Sec參數(shù)集和IKE 參數(shù)集。
9. 根據(jù)權(quán)利要求8所述的方法,其特征是,所述IP-Sec參數(shù)集和IKE參數(shù)集的確立保 證以最小參數(shù)集最大限度的支持一次協(xié)商成功的原則。
10. 根據(jù)權(quán)利要求8所述的方法,其特征是,所述IKE參數(shù)集包括以下參數(shù)及每個參數(shù) 所有支持的取值: IKE protocol version ;IKE exchange modelKE ;IKE authentication mode ;IKE encryption algorithm ;IKE authentication algorithm ;Diffie_Hellman group of the IKE ;和 Pseudo-random Function algorithm used in IKEv2 ; 且所述IP-Sec參數(shù)集包括以下參數(shù)及每個參數(shù)所有支持的取值: IPSec negotiation perfect forward secrecy Encapsulation mode of an IPSec ; IPSec transform ;AH Authentication Algorithm ;ESP Authentication Algorithm;和 ESP Encryption Algorithm。
11. 一種基站,其特征是,包括: 存儲模塊,用于存儲安全參數(shù)集; 接口模塊,用于向?qū)Χ嘶景l(fā)送通知消息,所述通知消息包括所述安全參數(shù)集;且所述 接口模塊用于接收對端基站發(fā)送的回復(fù)消息,所述回復(fù)消息包括所述對端基站從所述安全 參數(shù)集選擇的安全參數(shù)值; 通道建立模塊,用于根據(jù)所述回復(fù)消息,建立X2安全通道。
12. 根據(jù)權(quán)利要求11所述的基站,其特征是,所述安全參數(shù)集包括需要協(xié)商的參數(shù)的 所有可能選擇。
13. 根據(jù)權(quán)利要求11所述的基站,其特征是,所述安全參數(shù)集包括IP-Sec參數(shù)集和 IKE參數(shù)集。
14. 根據(jù)權(quán)利要求13所述的基站,其特征是,所述IP-Sec參數(shù)集和IKE參數(shù)集的確立 保證以最小參數(shù)集最大限度的支持一次協(xié)商成功的原則。
15. 根據(jù)權(quán)利要求13所述的基站,其特征是,所述IKE參數(shù)集包括以下參數(shù)及每個參數(shù) 所有支持的取值: IKE protocol version ;IKE exchange modelKE ;IKE authentication mode ;IKE encryption algorithm ;IKE authentication algorithm ;Diffie_Hellman group of the IKE ;和 Pseudo-random Function algorithm used in IKEv2 ; 且所述IP-Sec參數(shù)集包括以下參數(shù)及每個參數(shù)所有支持的取值: IPSec negotiation perfect forward secrecy Encapsulation mode of an IPSec ; IPSec transform ;AH Authentication Algorithm ;ESP Authentication Algorithm;和 ESP Encryption Algorithm。
16. 根據(jù)權(quán)利要求11所述的基站,其特征是,所述安全參數(shù)集包括至少一默認(rèn)參數(shù)。
17. 根據(jù)權(quán)利要求11至16之一所述的基站,其特征是,所述通知消息為第一基站配置 傳輸消息,所述第一基站配置傳輸消息包括X2傳輸網(wǎng)絡(luò)層配置消息,且所述安全參數(shù)集位 于該X2傳輸網(wǎng)絡(luò)層配置消息內(nèi)。
18. 根據(jù)權(quán)利要求11至17之一所述的基站,其特征是,所述回復(fù)消息為第二基站配置 傳輸消息。
19. 一種基站,其特征是,包括: 存儲模塊,用于存儲該基站所支持的安全參數(shù)值; 接口模塊,用于接收對端基站發(fā)送的通知消息,所述通知消息包括安全參數(shù)集; 選擇模塊,用于從所述安全參數(shù)集中選擇該基站所支持的安全參數(shù)值; 所述接口模塊,用于向?qū)Χ嘶景l(fā)送包括所選擇的安全參數(shù)值的回復(fù)消息。
20. 根據(jù)權(quán)利要求19所述的基站,其特征是,所述安全參數(shù)集包括需要協(xié)商的參數(shù)的 所有可能選擇。
21. 根據(jù)權(quán)利要求19所述的基站,其特征是,所述安全參數(shù)集包括IP-Sec參數(shù)集和 IKE參數(shù)集。
22. 根據(jù)權(quán)利要求21所述的基站,其特征是,所述IP-Sec參數(shù)集和IKE參數(shù)集的確立 保證以最小參數(shù)集最大限度的支持一次協(xié)商成功的原則。
23. 根據(jù)權(quán)利要求21所述的基站,其特征是,所述IKE參數(shù)集包括以下參數(shù)及每個參數(shù) 所有支持的取值: IKE protocol version ;IKE exchange modelKE ;IKE authentication mode ;IKE encryption algorithm ;IKE authentication algorithm ;Diffie_Hellman group of the IKE ;和 Pseudo-random Function algorithm used in IKEv2 ; 且所述IP-Sec參數(shù)集包括以下參數(shù)及每個參數(shù)所有支持的取值: IPSec negotiation perfect forward secrecy Encapsulation mode of an IPSec ; IPSec transform ;AH Authentication Algorithm ;ESP Authentication Algorithm;和 ESP Encryption Algorithm。
24. 根據(jù)權(quán)利要求19所述的基站,其特征是,所述安全參數(shù)集包括至少一默認(rèn)參數(shù)。
25. 根據(jù)權(quán)利要求19至24之一所述的基站,其特征是,所述通知消息為第一基站配置 傳輸消息,所述第一基站配置傳輸消息包括X2傳輸網(wǎng)絡(luò)層配置消息,且所述安全參數(shù)集位 于該X2傳輸網(wǎng)絡(luò)層配置消息內(nèi)。
26. 根據(jù)權(quán)利要求19至24之一所述的基站,其特征是,所述回復(fù)消息為第二基站配置 傳輸消息。
【文檔編號】H04W12/02GK104394528SQ201410675919
【公開日】2015年3月4日 申請日期:2012年1月4日 優(yōu)先權(quán)日:2012年1月4日
【發(fā)明者】宋卓 申請人:華為技術(shù)有限公司