CN101437223B - 一种家庭基站接入的方法、系统和装置 - Google Patents
一种家庭基站接入的方法、系统和装置 Download PDFInfo
- Publication number
- CN101437223B CN101437223B CN2007101872394A CN200710187239A CN101437223B CN 101437223 B CN101437223 B CN 101437223B CN 2007101872394 A CN2007101872394 A CN 2007101872394A CN 200710187239 A CN200710187239 A CN 200710187239A CN 101437223 B CN101437223 B CN 101437223B
- Authority
- CN
- China
- Prior art keywords
- security
- base station
- home base
- tunnel
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000004891 communication Methods 0.000 claims abstract description 62
- 230000002452 interceptive effect Effects 0.000 claims description 14
- 238000012423 maintenance Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 abstract description 6
- 239000000463 material Substances 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 101000995861 Arabidopsis thaliana Regulatory protein NPR1 Proteins 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种家庭基站接入的方法,包括以下步骤:家庭基站与安全网关进行交互认证;所述家庭基站与所述安全网关建立安全隧道,以保护所述家庭基站与公众陆地移动网PLMN网络的通信安全。通过本发明实施例,家庭基站与PLMN网络的安全网关进行交互认证,并建立安全隧道,从而提供了一种为家庭基站和PLMN的OAM域和Service域之间的通信提供安全保护的机制,确保了家庭基站和PLMN网络的通信安全。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种家庭基站接入的方法、系统和装置。
背景技术
在目前的移动通信网络中,对于网络节点的布置,一般来说,都是由运营商事先规划好,根据规划的内容来完成网络的布置。在网络中,在同一位置区域中的所有用户共享小区的资源,当高速率或高带宽的业务接入之后,有可能会对其他用户的接入造成影响。
随着Internet的发展以及各种无线业务的广泛应用,用户对于无线网络提出了高速、便捷、低成本等方面的需求。另一方面,从运营商的角度来看,需要充分地利用现有网络的资源,扩大容量,减少成本,更好地为用户提供服务。
HB(Home Base-station,家庭基站)的提出,充分的满足了上面的需求和网络的发展需求。家庭基站是一种家用的微型基站,移动用户可以在家庭、办公场所等热点覆盖区域布置这种基站,通过Internet接入移动通信网络,来获得无线通信服务。家庭基站的引入,解决了无线数据业务中空口资源的瓶颈问题,使得用户可以享用到高速率、高带宽的网络服务。另一方面,家庭基站通过Internet接入,节省了移动运营商的传输费用,提高了移动网络的容量。而且,家庭基站主要应用在家庭个人使用,办公场所等热点区域,以及边远地区的盲点覆盖,提高了移动网络的覆盖率,优化了网络的质量。家庭基站需要和PLMN(Public Land Mobile Network,公众陆地移动网)网络的OAM(Operation And Maintenance,运行和维护)域和Service(服务)域进行通信。家庭基站通过Internet等不可信的网络和这两个域进行通信,无法确保家庭基站和PLMN网络的通信安全,因此需要有一种机制为家庭基站和PLMN的这两个域之间的通信提供安全保护。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:没有为家庭基站和PLMN的OAM域和Service域之间的通信提供安全保护的机制,无法保证家庭基站和PLMN网络的通信安全。
发明内容
本发明实施例提供一种家庭基站接入的方法、系统和装置,以实现保护家庭基站和PLMN网络之间的通信安全。
为达到上述目的,本发明实施例一方面提供一种家庭基站接入的方法,包括以下步骤:家庭基站与安全网关进行交互认证;所述家庭基站与所述安全网关建立安全隧道,以保护所述家庭基站与公众陆地移动网PLMN的通信 安全;
所述安全网关包括:运行和维护OAM域的安全网关,所述家庭基站与所述安全网关建立安全隧道具体包括:所述家庭基站与所述OAM域的安全网关进行安全关联协商建立安全隧道,以保护所述家庭基站与所述OAM域的通信安全;所述家庭基站与所述OAM域的安全网关进行安全关联协商建立安全隧道之后还包括所述家庭基站与所述OAM域的安全网关共享密钥;所述安全网关还包括服务域的安全网关,所述家庭基站与所述安全网关建立安全隧道还包括:所述家庭基站与所述服务域的安全网关根据所述共享密钥建立安全隧道,以保护所述家庭基站与所述服务域的通信安全。
另一方面,本发明实施例还提供一种家庭基站接入的系统,包括安全网关,还包括:家庭基站,用于与所述安全网关进行交互认证,建立安全隧道,以保护所述家庭基站与PLMN的通信安全;所述安全网关包括运行和维护OAM域的安全网关,所述家庭基站与所述安全网关建立安全隧道具体包括:所述家庭基站与OAM域的安全网关进行安全关联协商建立安全隧道,以保护所述家庭基站与所述OAM域的通信安全;所述家庭基站与所述OAM域的安全网关进行安全关联协商建立安全隧道之后还包括所述家庭基站与所述OAM域的安全网关共享密钥;所述安全网关还包括服务域的安全网关,所述家庭基站与所述安全网关建立安全隧道还包括:所述家庭基站与所述服务域的安全网关根据所述共享密钥建立安全隧道,以保护所述家庭基站与所述服务域的通信安全。
再一方面,本发明实施例还提供一种家庭基站,包括:认证模块,用于与安全网关进行交互认证;建立模块,与所述认证模块连接,用于在所述认证模块认证后,建立安全隧道,以保护所述家庭基站与PLMN的通信安全;
所述建立模块还包括:运行和维护OAM域建立子模块,用于所述家庭基站与所述OAM域的安全网关进行安全关联协商建立安全隧道,以保护所述家庭基站与所述OAM域的通信安全;
服务域建立子模块,用于在所述OAM域建立子模块与所述OAM域的安全网关建立安全隧道之后,根据所述家庭基站与所述OAM域的安全网关共享的秘密信息与所述服务域的安全网关建立安全隧道;或者,与所述服务域的安全网关进行安全关联协商建立安全隧道,以保护所述家庭基站与所述服务域的通信安全。
与现有技术相比,本发明实施例具有以下优点:通过在家庭基站和PLMN的安全网关之间建立安全隧道,为家庭基站和PLMN网络之间的通信提供了安全保护。
附图说明
图1为本发明实施例家庭基站接入的方法的流程图;
图2为本发明家庭基站接入的方法实施例一的流程图;
图3为本发明家庭基站接入的方法实施例三的流程图;
图4为本发明家庭基站接入的方法实施例四的流程图;
图5为本发明实施例家庭基站接入的系统的结构图。
具体实施方式
本发明实施例提供了一种家庭基站接入的方法,通过在家庭基站和PLMN网络之间建立的安全隧道来保护家庭基站和PLMN网络之间的通信安全。家庭基站和PLMN之间建立的安全隧道可以是一条或者多条,这些安全隧道可能在一个安全网关上建立,也可能在多个安全网关上建立。
如图1所示,为本发明实施例家庭基站接入的方法的流程图,具体包括以下步骤:
步骤S101,家庭基站与安全网关进行交互认证。家庭基站和安全网关之间可以采用基于EAP(Extensible Authentication Protocol,可扩展认证协议)的方式、基于预共享密钥的方式、基于证书的方式等完成家庭基站和安全网关之间的交互认证。
步骤S102,家庭基站与安全网关建立安全隧道,以保护所述家庭基站与公众陆地移动网PLMN的通信安全。家庭基站和PLMN之间可以建立一条或者多条安全隧道。该安全隧道可以是IPsec(Internet Protocol security,因特网协议安全)安全隧道,也可以是TLS(Transport Layer Security,传输层安全)安全隧道。当PLMN网络的OAM域的安全网关和Service(服务)域的安全网关为不同的安全网关时,家庭基站可以与OAM域的安全网关和Service域的安全网关分别建立安全隧道,以保护家庭基站与OAM域和Service域的通信安全。当PLMN网络的OAM域的安全网关和Service域的安全网关为相同的安全网关时,家庭基站可以与该安全网关建立一条安全隧道,以同时保护家庭基站与OAM域和Service域的通信安全;或者,家庭基站与该安全网关分别建立两条安全隧道,以分别保护家庭基站与OAM域的通信安全和家庭基站与Service域的通信安全。
优选地,在家庭基站与安全网关建立安全隧道之后,家庭基站在建立的安全隧道上和PLMN网络再次进行交互认证。
上述家庭基站接入的方法中,家庭基站与PLMN网络的安全网关进行交互认证,并建立安全隧道,从而提供了一种为家庭基站和PLMN的OAM域和Service域之间的通信提供安全保护的机制,确保了家庭基站和PLMN网络的通信安全。
如图2所示,为本发明家庭基站接入的方法实施例一的流程图,本发明家庭基站接入的方法实施例一描述的场景为:家庭基站与PLMN网络的OAM域的安全网关SGo(Security Gateway,安全网关)和PLMN网络的Service域的安全网关SGs之间分别建立安全隧道,并利用这些安全隧道来保护家庭基站和PLMN网络之间的通信。具体包括以下步骤:
步骤S201,HB获取OAM域的安全网关SGo的IP地址;
步骤S202,HB和OAM域的安全网关进行IKE_SA_INIT交换。HB发送其支持的安全关联信息(Sai1)、DH交换值(KEi)和nonce(随机数)(Ni)给SGo。
步骤S203,SGo选择IKE(Internet Key Exchange,因特网密钥交换)SA(Security Association,安全关联)的安全关联,将选择结果发送给HB。并将DH交换值(KEr)、nonce(Nr)也一起发送给HB。这一步结束后,SGo和HB协商完成IKE SA。
步骤S204,HB和SGo开始进行IPsec安全关联的协商。在安全关联协商的过程中,HB和SGo利用EAP(Extensible Authentication Protocol,可扩展认证协议)AKA(Authentication and Key Agreement,认证和密钥协商)/SIM(Subscriber Identity Modular,客户身份模块)进行交互认证。HB发送HB的身份,即ID(Identifier,标识)of HB,该HB的身份是根据HB中插入的USIM(Universal Mobile Telecommunications System Subscriber IdentificationModule,通用移动通信系统)卡中的IMSI(International Mobile SubscriberIdentification number,国际移动用户识别码)推导出来的NAI(Network AccessIdentifier,网络接入标识符)格式的身份、证书请求(请求SG的证书)、内网IP地址请求CP(Configuration Payload,配置负载),HB支持的安全关联信息(SAi2)和策略选择符(TSi,TSr)。其中,CP用于请求SG给该HB分配的 OAM域的内网IP地址,是可选参数。这条消息中不携带AUTH(Authentication,鉴权)字段以指示SGo需要执行EAP认证。
步骤S205,SGo将HB的身份发送给AAA(Authentication AuthorizationAccounting,认证、授权、计费)服务器。
步骤S206,AAA服务器和存储HB相关信息的存储服务器交互以获得HB的认证向量。HB的profile(签约信息)可能也同时发送给AAA服务器。
步骤S207,AAA服务器发送EAP AKA/SIM Challenge给SGo。
步骤S208,SGo将EAP AKA/SIM Challenge发送给HB。SGo的身份IDr、SG的证书和SG利用证书计算的AUTH载荷也一起发送给HB。
步骤S209,HB生成相应的EAP响应消息,发送给SGo。
步骤S210,SGo将EAP响应消息转发给AAA服务器。
步骤S211,AAA服务器对EAP响应消息进行验证。验证成功后,发送EHBsuccess消息。并将相应的密钥素材发送给SGo。
步骤S212,SGo将HB的身份等信息发送给AAA服务器,AAA服务器根据HB的profile进行授权检查。
步骤S213,SGo转发EAP success消息给HB。这一步结束后,SGo和HB共享了密钥素材key material,完成了SG和HB之间的交互认证。
步骤S214,HB发送IKE消息,其中携带AUTH载荷。AUTH载荷使用共享密钥计算。
步骤S215,SGo发送IKE消息,其中携带AUTH载荷(使用共享密钥计算)、选择的IPsec SA(SAr2)、选择的策略选择符(TSi和TSr)。如果HB请求了内网IP地址,则SG回应CP载荷,其中CP载荷中携带HB的内网IP地址。
步骤S216,SGo与HB进行交互,删除SGo和HB间共享的旧的IKE SA。后续如果HB和SGo之间需要建立更多的安全隧道,则HB和SGo之间利用CREATE CHILD SA交换来建立更多的IPsec安全隧道以保护有不同安全需求的信息。
步骤S217,HB和OAM域的设备之间可能执行应用层的安全机制。
步骤S218,HB和EMS(Element Management System,网元管理系统)通 信,从EMS中获取配置数据等信息。HB获得其在Service域的IP地址和Service域的安全网关的地址。
步骤S219,HB和服务域的安全网关SGs进行IKE交换。HB发送其支持的安全关联信息(SAi1)、DH交换值(KEi)和nonce(Ni)给SGs。
步骤S220,SGs选择IKE SA的安全关联,将选择结果发送给HB。DH交换值(KEr)、nonce(Nr)也一起发送给HB。这一步结束后,SGs和HB协商完成IKE SA。
步骤S221,HB开始进行IKE第二阶段的协商。HB发送其身份给SGs。这个身份有特殊的身份格式,SGs根据这个身份的特殊格式,可以寻址到位于OAM域的AAA服务器,并可以根据这个特殊的身份,获得和HB相同的密钥。这个身份格式可以是RANDHBServiceDomainAUTH.operator.com。HB利用在OAM域认证时生成的CK(Cryptographic Key,加密密钥)/IK(Integrality Key,完整性密钥)计算出密钥K=(CK‖IK,IP of SGs,...),然后利用密钥K计算AUTH。
步骤S222,SGs根据ID的特殊格式,寻址到对应的AAA服务器,并向AAA服务器请求密钥K。AAA服务器利用和HB相同的方法计算出密钥K=(CK‖IK,IP of SGs,...)。并将密钥K发送给SGs。其中,SGs可能需要将HB计算K时的SGs的IP地址告诉AAA。
步骤S223,SGs利用密钥K验证AUTH的正确性,并完成IPsec SA的协商。回复消息中的AUTH也使用密钥K计算。如果需要更多的安全隧道来保护不同的信息,如对信令和数据采用不同的安全保护,那么SGs可以和HB进行CREATE CHILD SA交换来建立更多的IPsec安全隧道。
在本实施例中,家庭基站和SGo之间的安全关联建立采用了EAP-AKA的方式进行认证,但是,家庭基站和SGo之间的安全关联建立也可以采用其他的方式建立,如EAP-SIM的方式、基于预共享密钥的方式、基于证书的方式等。
本发明家庭基站接入的方法实施例二描述的场景为:家庭基站与PLMN网络的OAM域的安全网关SGo和PLMN网络的Service域的安全网关SGs之间分别建立安全隧道,并利用这些安全隧道来保护家庭基站和PLMN网络之间的 通信。下面以建立IPsec隧道为例介绍,介绍本发明实施例二。
实施例二的步骤1~17与实施例一的步骤S201~步骤S217相同;
步骤18,家庭基站和Service域的安全网关SGs重新执行步骤S201~步骤S216中描述的步骤以建立家庭基站和SGs之间的IPsec隧道。如果家庭基站和Service域的安全网关之间需要更多的安全隧道来保护不同的信息,如对信令和数据采用不同的安全保护,那么SGs可以和AP进行CREATE CHILD SA交换,以建立更多的IPsec安全隧道。
在本发明实施例中,家庭基站和SGo/SGs之间的安全关联建立采用了EAP-AKA的方式进行认证,但是,家庭基站和SGo/SGs之间的安全关联建立也可以采用其他的方式建立,如EAP-SIM的方式、基于预共享密钥的方式、基于证书的方式等。并且家庭基站和SGo之间建立安全关联的方式可以和家庭基站与SGs之间建立安全关联的方式不同。
如图3所示,为本发明家庭基站接入的方法实施例三的流程图,本发明家庭基站接入的方法实施例三描述的场景为:PLMN网络的OAM域的安全网关和PLMN网络的Service域的安全网关是同一个安全网关SG。家庭基站和这个安全网关建立安全隧道,并利用这些安全隧道来保护家庭基站和PLMN网络之间的通信。具体包括以下步骤:
步骤S301,HB获取SG的IP地址;
步骤S302,HB和SG进行IKE_SA_INIT交换。HB发送其支持的安全关联信息(SAi1)、DH交换值(KEi)和nonce(Ni)给SG。
步骤S303,SG选择IKE SA的安全关联,将选择结果发送给HB。并将DH交换值(KEr)、nonce(Nr)也一起发送给HB。这一步结束后,SG和HB协商完成IKE SA。
步骤S304,HB和SG开始进行IPsec安全关联的协商。在安全关联的协商过程中,HB和SG利用EAP AKA/SIM进行交互认证。HB发送HB的身份,即ID ofHB,根据HB中插入的USIM卡中的IMSI推导出来NAI格式的身份、证书请求(CERT REQUEST,用于请求SG的证书)、内网IP地址请求(CP,用于请求SG给该HB分配OAM域的内网IP地址,可选)、HB支持的安全关联信息(SAi2) 和策略选择符(TSi,TSr)。这条消息中不携带AUTH字段以指示SG需要进行EAP认证。
步骤S305,SG将HB的身份发送给AAA服务器。
步骤S306,AAA服务器和存储HB相关信息的存储服务器交互以获得HB的认证向量。HB的profile可能也发送给AAA服务器。
步骤S307,AAA服务器发送EAP AKA/SIM Challenge给SG。
步骤S308,SG将EAP AKA/SIM Challenge发送给HB。SG的身份IDr、SG的证书和SG利用证书计算的AUTH载荷也一起发送给HB。
步骤S309,HB生成相应的EAP响应消息,发送给SG。
步骤S310,SG将EAP响应消息转发给AAA服务器。
步骤S311,AAA服务器对EAP响应消息进行验证。在验证成功后,发送EAP success消息。并将相应的密钥素材发送给SG。
步骤S312,SG将HB的身份等信息发送给AAA服务器,AAA服务器根据HB的profile进行授权检查。
步骤S313,SG转发EAP success消息给HB。这一步结束后,SG和HB共享了密钥素材key material,完成了SG和HB之间的交互认证。
步骤S314,HB发送IKE消息,其中携带AUTH载荷。AUTH载荷使用共享密钥计算。
步骤S315,SG发送IKE消息,其中携带AUTH载荷(使用共享密钥计算)、选择的IPsec SA(SAr2)、选择的策略选择符(TSi和TSr)。如果HB请求了内网IP地址,则SG回应CP载荷,其中CP载荷中携带HB的内网IP地址。
步骤S316,SG和HB进行交互,删除SG和HB间共享的旧的IKE SA。后续如果HB和SG需要更多的安全关联以保护HB和OAM间不同性质的通信,HB和SG可以通过CREATE CHILD SA交换建立多条IPsec安全隧道。
步骤S317,HB和EMS通信,从EMS中获取配置数据等信息。HB获得该HB在Service域的IP地址,若HB在Service域和OAM域的IP地址相同,则HB不需要再次获得IP地址。
步骤S318,HB和Service域进行通信。这时HB可能需要建立一个新的IPsec 安全关联用于Service域。HB和SG之间执行CREATE CHILD SA交换,HB发送IKE消息请求生成一个IPsec SA。HB也可以在这条消息中携带CP载荷请求获得HB在Service域的IP地址。若HB在Service域和OAM域的IP地址相同,则HB不需要再次获得IP地址。
步骤S319,SG完成IPsec SA的协商,并发送相应IKE消息通知HB该SG选定的IPsec SA。HB可能需要在安全网关之间建立多条IPsec关联以保护不同性质的通信,这时,HB和SG之间可以通过CREATE CHILD SA交换建立多条IPsec关联。
在本实施例中,家庭基站和SG之间的安全关联建立采用了EAP-AKA的方式进行认证,但是,家庭基站和SGo之间的安全关联建立也可以采用其他的方式建立,如EHB-SIM的方式、基于预共享密钥的方式、基于证书的方式等。
如图4所示,为本发明家庭基站接入的方法实施例四的流程图,本发明家庭基站接入的方法实施例四描述的场景为:PLMN网络的OAM域的安全网关和PLMN网络的Service域的安全网关是同一个安全网关SG。家庭基站和这个安全网关建立安全隧道,并利用这些安全隧道来保护家庭基站和PLMN网络之间的通信。具体包括以下步骤:
步骤S401,HB和安全网关建立安全隧道。HB和安全网关间利用IKEv2承载EAP的方式进行交互认证,交互认证后,HB和安全网关间建立好一条IPsec安全隧道。
步骤S402,将建立的IPsec安全隧道与HB的IP地址进行绑定。在协商安全关联时,HB利用IKEv2协议中的CP载荷请求两个IP地址:HB在OAM域的IP地址和HB在Service域的IP地址。HB和安全网关间建立的IPsec安全隧道和这两个IP地址绑定;或者,
在协商安全关联时,HB利用IKEv2协议中的CP载荷请求该HB在OAM域的IP地址。HB和安全网关间建立的IPsec安全隧道与该HB在OAM域的IP地址绑定。然后HB请求该HB在Service域的IP地址,将HB和安全网关间建立的IPsec安全隧道与该HB在Service域的IP地址进行绑定;或者,
HB在OAM域和Service域使用相同的IP地址,这样HB仅需要利用IKEv2 中的CP载荷请求该相同的IP地址,并将HB和安全网关间建立的IPsec安全隧道与该IP地址绑定即可。上述为在HB与安全网关进行安全关联协商的过程中,即在IPsec安全隧道的建立过程中,HB获取该HB在OAM域和服务域的IP地址,也可以在IPsec安全隧道建立之后,HB再获取该HB在OAM域和服务域的IP地址,然后将该IP地址与建立的IPsec安全隧道进行绑定。
步骤S403,通过建立的IPsec安全隧道保护HB与OAM域的通信和HB与Service域的通信。
上述实施例一~四中描述的方案大都采用了EAP-AKA的方式作为建立安全隧道时,HB和安全网关交互认证的方法。在这种情况下,HB和PLMN网络在建立安全隧道的过程中就完成了HB和PLMN网络的交互认证。但是,在某些情况下,HB和PLMN网络可能还需要再做进一步的认证,即HB首先和PLMN网络进行交互认证,建立安全隧道,然后HB和PLMN网络再次进行交互认证。在这种场景下,AP和安全网关之间可以采用实施例一到实施例四的方法,以基于EAP的方式、基于预共享密钥的方式、基于证书的方式完成HB和安全网关间的交互认证,并完成安全隧道的建立。然后HB再在建立的安全隧道上和PLMN网络执行交互认证。
如图5所示,为本发明实施例家庭基站接入的系统的结构图,包括安全网关1,还包括:家庭基站2,用于与安全网关1进行交互认证,建立安全隧道,以保护家庭基站2与PLMN的通信安全。
其中,家庭基站2包括:认证模块21,用于与安全网关1进行交互认证;
建立模块22,与认证模块21连接,用于在认证模块21认证后,建立安全隧道,以保护家庭基站2与PLMN的通信安全。
其中,建立模块22包括:OAM域建立子模块221,用于与OAM域的安全网关进行安全关联协商建立安全隧道,以保护家庭基站2与OAM域的通信安全。
其中,建立模块22还包括:服务域建立子模块222,用于在OAM域建立子模块221与OAM域的安全网关建立安全隧道之后,根据家庭基站2与AAA服务器共享的秘密信息与服务域的安全网关建立安全隧道;或者,与服务域的安全网关进行安全关联协商建立安全隧道,以保护家庭基站2与服务域的通信安全。
其中,家庭基站2还包括:IP地址获取模块23,与建立模块22连接,用于在建立模块22建立IPsec安全隧道之后,获取家庭基站2在OAM域和服务域的IP地址中的一种或两种;
绑定模块24,与IP地址获取模块23连接,用于将IPsec安全隧道与IP地址获取模块23获取的IP地址进行绑定,以保护家庭基站与OAM域和服务域的通信安全。
其中,绑定模块24将IPsec安全隧道与IP地址获取模块23获取的IP地址进行绑定具体为:将IPsec安全隧道与IP地址获取模块23获取的家庭基站2在OAM域和服务域的IP地址进行绑定;或者,
将所述IPsec安全隧道与IP地址获取模块23获取的家庭基站2在OAM域的IP地址进行绑定,再将IPsec安全隧道与IP地址获取模块23获取的家庭基站2在服务域的IP地址进行绑定。
其中,建立模块22还包括:隧道新建子模块223,用于在绑定模块24将IPsec安全隧道与家庭基站2在OAM域的IP地址进行绑定之后,根据IP地址获取模块23获取的家庭基站2在服务域的IP地址与安全网关1进行安全关联协商建立另一IPsec隧道,以保护家庭基站2与服务域的通信安全。
上述家庭基站接入的系统,家庭基站2与PLMN网络的安全网关1进行交互认证,并建立安全隧道,从而提供了一种为家庭基站2和PLMN的OAM域和Service域之间的通信提供安全保护的机制,确保了家庭基站2和PLMN网络的通信安全。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算 机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (15)
1.一种家庭基站接入的方法,其特征在于,包括以下步骤:
家庭基站与安全网关进行交互认证;
所述家庭基站与所述安全网关建立安全隧道,以保护所述家庭基站与公众陆地移动网PLMN网络的通信安全;
所述安全网关包括:运行和维护OAM域的安全网关,所述家庭基站与所述安全网关建立安全隧道具体包括:所述家庭基站与所述OAM域的安全网关进行安全关联协商建立安全隧道,以保护所述家庭基站与所述OAM域的通信安全;
所述家庭基站与所述OAM域的安全网关进行安全关联协商建立安全隧道之后还包括所述家庭基站与所述OAM域的安全网关共享密钥;
所述安全网关还包括服务域的安全网关,所述家庭基站与所述安全网关建立安全隧道还包括:所述家庭基站与所述服务域的安全网关根据所述共享密钥建立安全隧道,以保护所述家庭基站与所述服务域的通信安全。
2.如权利要求1所述家庭基站接入的方法,其特征在于,在所述家庭基站与所述服务域的安全网关根据所述共享密钥建立安全隧道之前,还包括:
所述家庭基站将所述共享密钥的标识符发送给所述服务域的安全网关;
所述服务域的安全网关根据所述标识符获取所述共享密钥。
3.如权利要求1至2任意一项所述家庭基站接入的方法,其特征在于,所述安全隧道为:因特网协议安全IPsec隧道或安全传输层TLS隧道。
4.如权利要求1所述家庭基站接入的方法,其特征在于,所述安全隧道为IPsec安全隧道,
在所述家庭基站与所述安全网关建立安全隧道的过程中,还包括:
所述家庭基站获取所述家庭基站在OAM域和服务域的IP地址;
所述家庭基站和安全网关将所述IPsec安全隧道与所述OAM域和服务域的IP地址进行绑定,以保护所述家庭基站与所述OAM域和所述服务域的通信安全。
5.如权利要求1所述家庭基站接入的方法,其特征在于,所述安全隧道包括IPsec安全隧道,
在所述家庭基站与所述安全网关建立安全隧道的过程中或之后,还包括:
所述家庭基站获取所述家庭基站在所述OAM域的IP地址;
所述家庭基站和安全网关将所述IPsec安全隧道与所述OAM域的IP地址进行绑定,以保护所述家庭基站与所述OAM的通信安全。
6.如权利要求5所述家庭基站接入的方法,其特征在于,在所述家庭基站和安全网关将所述IPsec安全隧道与所述OAM域的IP地址进行绑定之后,还包括:
所述家庭基站获取所述家庭基站在服务域的IP地址;
所述家庭基站和安全网关将所述IPsec安全隧道与所述服务域的IP地址进行绑定,以保护所述家庭基站与所述服务域的通信安全。
7.如权利要求6所述家庭基站接入的方法,其特征在于,在所述家庭基站获取所述家庭基站在服务域的IP地址之后,还包括:所述家庭基站和所述安全网关根据所述服务域的IP地址进行安全关联协商建立另一IPsec隧道,以保护所述家庭基站与所述服务域的通信安全。
8.如权利要求6所述家庭基站接入的方法,其特征在于,在所述家庭基站和安全网关将所述IPsec安全隧道与所述OAM域的IP地址进行绑定之后,还包括:
如果所述家庭基站在所述服务域的IP地址与在所述OAM域的IP地址相同,则所述家庭基站和安全网关将所述IPsec安全隧道与所述OAM域的IP地址进行绑定,以保护所述家庭基站与所述服务域的通信安全;或者,
所述家庭基站和所述安全网关根据所述OAM域的IP地址进行安全关联协商建立另一IPsec隧道,以保护所述家庭基站与所述服务域的通信安全。
9.如权利要求1所述家庭基站接入的方法,其特征在于,在所述家庭基站与所述安全网关建立安全隧道之后,还包括:所述家庭基站在所述安全隧道上与所述PLMN网络进行交互认证。
10.一种家庭基站接入的系统,包括安全网关,其特征在于,还包括:家庭基站,用于与所述安全网关进行交互认证,建立安全隧道,以保护所述家庭基站与PLMN的通信安全;
所述安全网关包括运行和维护OAM域的安全网关,所述家庭基站与所述安全网关建立安全隧道具体包括:所述家庭基站与OAM域的安全网关进行安全关联协商建立安全隧道,以保护所述家庭基站与所述OAM域的通信安全;所述家庭基站与所述OAM域的安全网关进行安全关联协商建立安全隧道之后还包括所述家庭基站与所述OAM域的安全网关共享密钥;
所述安全网关还包括服务域的安全网关,所述家庭基站与所述安全网关建立安全隧道还包括:所述家庭基站与所述服务域的安全网关根据所述共享密钥建立安全隧道,以保护所述家庭基站与所述服务域的通信安全。
11.如权利要求10所述家庭基站接入的系统,其特征在于,所述家庭基站包括:
认证模块,用于与所述安全网关进行交互认证;
建立模块,与所述认证模块连接,用于在所述认证模块认证后,建立安全隧道,以保护所述家庭基站与PLMN的通信安全。
12.一种家庭基站,其特征在于,包括:
认证模块,用于与安全网关进行交互认证;
建立模块,与所述认证模块连接,用于在所述认证模块认证后,建立安全隧道,以保护所述家庭基站与PLMN的通信安全;
所述建立模块还包括:运行和维护OAM域建立子模块,用于所述家庭基站与所述OAM域的安全网关进行安全关联协商建立安全隧道,以保护所述家庭基站与所述OAM域的通信安全;
服务域建立子模块,用于在所述OAM域建立子模块与所述OAM域的安全网关建立安全隧道之后,根据所述家庭基站与所述OAM域的安全网关共享的秘密信息与所述服务域的安全网关建立安全隧道;或者,与所述服务域的安全网关进行安全关联协商建立安全隧道,以保护所述家庭基站与所述服务域的通信安全。
13.如权利要求12所述家庭基站,其特征在于,还包括:
IP地址获取模块,与所述建立模块连接,用于在所述建立模块建立IPsec安全隧道时或建立IPsec安全隧道之后,获取所述家庭基站在OAM域和服务域的IP地址中的一种或两种;
绑定模块,与所述IP地址获取模块连接,用于将所述IPsec安全隧道与所述IP地址获取模块获取的IP地址进行绑定,以保护所述家庭基站与所述OAM域和所述服务域的通信安全。
14.如权利要求13所述家庭基站,其特征在于,所述绑定模块将所述IPsec安全隧道与所述IP地址获取模块获取的IP地址进行绑定具体为:
将所述IPsec安全隧道与所述IP地址获取模块获取的所述家庭基站在OAM域和服务域的IP地址进行绑定;或者,
将所述IPsec安全隧道与所述IP地址获取模块获取的所述家庭基站在OAM域的IP地址进行绑定,再将所述IPsec安全隧道与所述IP地址获取模块获取的所述家庭基站在服务域的IP地址进行绑定。
15.如权利要求14所述家庭基站,其特征在于,所述建立模块还包括:隧道新建子模块,用于在所述绑定模块将所述IPsec安全隧道与所述家庭基站在OAM域的IP地址进行绑定之后,根据所述IP地址获取模块获取的所述家庭基站在服务域的IP地址与所述安全网关进行安全关联协商建立另一IPsec隧道,以保护所述家庭基站与所述服务域的通信安全。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101872394A CN101437223B (zh) | 2007-11-16 | 2007-11-16 | 一种家庭基站接入的方法、系统和装置 |
| PCT/CN2008/073065 WO2009065347A1 (fr) | 2007-11-16 | 2008-11-14 | Procédé, système et appareil de communication de sécurité pour une station de base domestique |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101872394A CN101437223B (zh) | 2007-11-16 | 2007-11-16 | 一种家庭基站接入的方法、系统和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101437223A CN101437223A (zh) | 2009-05-20 |
| CN101437223B true CN101437223B (zh) | 2011-11-02 |
Family
ID=40667129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101872394A Active CN101437223B (zh) | 2007-11-16 | 2007-11-16 | 一种家庭基站接入的方法、系统和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101437223B (zh) |
| WO (1) | WO2009065347A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101932121B (zh) * | 2009-06-19 | 2014-12-10 | 中兴通讯股份有限公司 | 移动终端通过家庭基站系统访问本地网络的方法及系统 |
| CN101945390B (zh) * | 2009-07-08 | 2013-12-04 | 华为技术有限公司 | 一种准入控制方法及装置 |
| CN101990218A (zh) * | 2009-08-05 | 2011-03-23 | 中兴通讯股份有限公司 | 用于家用基站的接入方法、装置、系统及aaa服务器 |
| CN102036415B (zh) * | 2009-09-27 | 2013-09-11 | 中兴通讯股份有限公司 | 一种家庭基站的共享方法和家庭基站系统 |
| CN102036342B (zh) * | 2009-09-27 | 2013-09-11 | 中兴通讯股份有限公司 | 一种家庭基站的共享方法和家庭基站系统 |
| CN102056164B (zh) | 2009-11-10 | 2015-04-01 | 中兴通讯股份有限公司 | 一种家庭基站接入网络的方法、家庭基站管理服务器 |
| CN101730189B (zh) * | 2009-11-11 | 2014-12-10 | 中兴通讯股份有限公司 | 一种家庭基站位置锁定的方法和系统 |
| CN101841886A (zh) * | 2010-04-15 | 2010-09-22 | 中兴通讯股份有限公司 | 一种lipa数据流的传输方法及系统 |
| CN101867928A (zh) * | 2010-05-21 | 2010-10-20 | 西安电子科技大学 | 移动用户通过家庭基站接入核心网的认证方法 |
| CN102316494B (zh) * | 2010-07-07 | 2015-09-16 | 中兴通讯股份有限公司 | 资源授权方法和系统 |
| CN102316529B (zh) * | 2010-07-09 | 2015-06-03 | 中兴通讯股份有限公司 | 一种控制业务接纳的方法及系统 |
| EP2521388A4 (en) * | 2010-08-20 | 2014-01-15 | Zte Corp | NETWORK ACCESS DEVICE AND METHOD FOR COMMON AUTHENTICATION |
| CN102655641B (zh) * | 2011-03-01 | 2015-09-30 | 华为技术有限公司 | 安全隧道建立方法和基站 |
| CN102724665B (zh) * | 2011-03-31 | 2015-07-22 | 中国联合网络通信集团有限公司 | 飞蜂窝型基站的安全认证方法及飞蜂窝型无线通信系统 |
| CN102801545B (zh) * | 2011-05-25 | 2015-12-09 | 华为技术有限公司 | 配置信息的获取方法和设备 |
| CN102833359A (zh) * | 2011-06-14 | 2012-12-19 | 中兴通讯股份有限公司 | 隧道信息获取方法、安全网关及演进家庭基站/家庭基站 |
| CN103096398B (zh) | 2011-11-08 | 2016-08-03 | 华为技术有限公司 | 一种网络切换的方法和装置 |
| CN103024742B (zh) * | 2012-12-04 | 2015-09-02 | 广州杰赛科技股份有限公司 | 家庭基站网络安全接入方法、设备和系统 |
| CN103716863B (zh) * | 2013-12-27 | 2017-05-10 | 福建三元达网络技术有限公司 | LTE Femto网关控制基站接入的方法及系统 |
| CN108616877B (zh) * | 2016-12-27 | 2020-10-30 | 大唐移动通信设备有限公司 | 一种小型基站的通信方法、系统及设备 |
| CN114244614A (zh) * | 2021-12-20 | 2022-03-25 | 武汉华莘教育科技有限公司 | 一种基于usim卡的eap-aka认证方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905452A (zh) * | 2006-08-15 | 2007-01-31 | 中国电信股份有限公司 | 家庭网关中IPSec安全策略的自动配置系统和方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100550903C (zh) * | 2005-06-06 | 2009-10-14 | 华为技术有限公司 | 一种微波接入全球互通接入网系统 |
| ES2349049T3 (es) * | 2005-11-15 | 2010-12-22 | Alcatel Lucent | Acceso a red, pasarela y servidor de gestión para un sistema celular de comunicación inalambrica. |
-
2007
- 2007-11-16 CN CN2007101872394A patent/CN101437223B/zh active Active
-
2008
- 2008-11-14 WO PCT/CN2008/073065 patent/WO2009065347A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905452A (zh) * | 2006-08-15 | 2007-01-31 | 中国电信股份有限公司 | 家庭网关中IPSec安全策略的自动配置系统和方法 |
Non-Patent Citations (3)
| Title |
|---|
| C. Kaufman, Ed..Internet Key Exchange (IKEv2) Protocol.IETF RFC4306.2005,5,31. |
| C. Kaufman, Ed..Internet Key Exchange (IKEv2) Protocol.IETF RFC4306.2005,5,31. * |
| US 2006/0005025 A1,全文. |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009065347A1 (fr) | 2009-05-28 |
| CN101437223A (zh) | 2009-05-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101437223B (zh) | 一种家庭基站接入的方法、系统和装置 | |
| CN101610241B (zh) | 一种绑定认证的方法、系统和装置 | |
| EP2445143B1 (en) | Method and system for accessing a 3rd generation network | |
| Koien et al. | Security aspects of 3G-WLAN interworking | |
| CN101983517B (zh) | 演进分组系统的非3gpp接入的安全性 | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| JP4369513B2 (ja) | 免許不要移動体接続信号通知のための改善された加入者認証 | |
| KR100762644B1 (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
| EP1842319B1 (en) | User authentication and authorisation in a communications system | |
| KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| US20110058670A1 (en) | Arranging data ciphering in a wireless telecommunication system | |
| CN101442402B (zh) | 认证接入点设备的方法、系统和装置 | |
| US20110093919A1 (en) | Method and Apparatus for Determining an Authentication Procedure | |
| US20060019635A1 (en) | Enhanced use of a network access identifier in wlan | |
| EP1770940B1 (en) | Method and apparatus for establishing a communication between a mobile device and a network | |
| CN102215487A (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
| CN101785343B (zh) | 用于快速转换资源协商的方法、系统和装置 | |
| KR20130040210A (ko) | 모바일 스테이션을 통신 네트워크에 연결시키는 방법 | |
| CN104168566A (zh) | 一种接入网络的方法及装置 | |
| Chen et al. | Transparent end-user authentication across heterogeneous wireless networks | |
| WO2008148348A1 (fr) | Procédé de communication, système et station de base domestique | |
| CN111526008B (zh) | 移动边缘计算架构下认证方法及无线通信系统 | |
| CN113543131A (zh) | 网络连接管理方法、装置、计算机可读介质及电子设备 | |
| McCann et al. | Novel WLAN hotspot authentication | |
| Wang et al. | Security mechanisms and security analysis: hotspot WLANs and inter-operator roaming |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |