CN101827361A - 身份认证方法、可信任环境单元及家庭基站 - Google Patents
身份认证方法、可信任环境单元及家庭基站 Download PDFInfo
- Publication number
- CN101827361A CN101827361A CN200810175958A CN200810175958A CN101827361A CN 101827361 A CN101827361 A CN 101827361A CN 200810175958 A CN200810175958 A CN 200810175958A CN 200810175958 A CN200810175958 A CN 200810175958A CN 101827361 A CN101827361 A CN 101827361A
- Authority
- CN
- China
- Prior art keywords
- authentication
- home enodeb
- dependable environment
- hnb
- carried out
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 89
- 230000004044 response Effects 0.000 claims description 21
- 238000013475 authorization Methods 0.000 claims description 9
- 238000004846 x-ray emission Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 28
- 230000006870 function Effects 0.000 description 14
- 230000011664 signaling Effects 0.000 description 14
- 238000012795 verification Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 2
- 230000004807 localization Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开一种基于家庭基站可信任环境的身份认证方法、可信任环境单元及家庭基站。其中,该方法包括:对HNB进行设备身份认证;对设置在所述HNB上的TrE进行身份认证;对所述HNB和所述TrE的身份绑定关系进行认证;对所述HNB进行非身份认证;获取并存储所述HNB的非身份认证数据于所述TrE中。本发明实施例充分利用了TrE的特性,将首次对HNB认证后的非身份认证数据存储于TrE,当HNB重新启动时,可以通过TrE执行相关的非身份认证,从而减轻了网络侧对HNB认证的负担。
Description
技术领域
本发明实施例涉及无线通信技术领域,尤其涉及一种基于家庭基站可信任环境的身份认证方法、可信任环境单元及家庭基站。
背景技术
家庭基站(Home NodeB;以下简称:HNB)又称超微蜂窝基站,是相对于3G蜂窝移动通信系统所采用的宏基站而提出的。HNB的发射功率仅+15db,室内覆盖范围50公尺。它的作用类似于WiFi的AP,使得用户可以通过以太网连接家庭宽带网络。移动运营商发展HNB,首先是为了改善室内覆盖,提高室内宽带接入速度,满足用户各种多媒体业务的需求;再有是为了缓解宏基站的压力,使宏基站主要服务于室外用户;另外还可以应对无线运营商和移动虚拟网络运营商的压力。
使用者身份模块(Hosting Party Module;以下简称:HPM)是一个物理实体,与HNB的物理设备是相分离的,其上包含有用于向移动网络运营商证明和认证使用者(以下称为:Hosting Party)身份的信任状。使用者类似于手机用户,而Module类似于手机SIM卡。HPM是由移动网络运营商提供给使用者的。HPM可以从HNB上移除,也就是说在更换HNB时可以不用更换HPM。HPM使得HNB可以具备基于使用者的用户身份,而不需影响HNB的生产者。HPM存在的最大意义在于,当HNB的设备生产商和HNB业务提供者分离时,有效地对申请业务的用户进行认证。
可信任环境(Trusted Enviroment;以下简称:TrE)是一个部署在HNB上的逻辑上或物理上独立的实体,特指HNB上一个安全的存储环境,用来存储HNB上的一些敏感数据,例如代表HNB设备身份的信任状等。
在实现本发明实施例过程中,发明人发现现有技术中至少存在如下问题:
现有技术中,HNB的每次重新启动均需要与核心网执行全部的并且是重复的认证过程,这无疑增加了网络侧服务器的负担。
发明内容
本发明实施例提供一种基于家庭基站可信任环境的身份认证方法、可信任环境单元及家庭基站,以减少网络侧对HNB认证的负担。
本发明实施例提供了一种基于家庭基站可信任环境的身份认证方法,包括:
对HNB进行设备身份认证;
对设置在所述HNB上的TrE进行身份认证;
对所述HNB和所述TrE的身份绑定关系进行认证;
对所述HNB进行非身份认证;
获取并存储所述HNB的非身份认证数据于所述TrE中。
本发明实施例提供了另一种基于家庭基站可信任环境的身份认证方法,包括:
对HNB进行设备身份认证;
对TrE进行身份认证;
对所述HNB和所述TrE的身份绑定关系进行认证;
通过所述TrE对所述HNB进行非身份认证。
本发明实施例提供了再一种基于家庭基站可信任环境的身份认证方法,包括:
TrE接收UE发送的UE身份认证请求;
通过所述TrE对UE进行身份认证。
本发明实施例提供了一种可信任环境单元,包括:
认证数据存储模块,用于存储HNB的非身份认证数据;
认证模块,用于根据所述认证数据存储模块存储的HNB的非身份认证数据,执行HNB的非身份认证。
本发明实施例还提供了一种家庭基站,包括一TrE单元,在所述TrE单元上设置有:认证数据存储模块,用于存储HNB的非身份认证数据;
认证模块,用于根据所述认证数据存储模块存储的HNB的非身份认证数据,执行HNB的非身份认证。
本发明实施例充分利用了TrE的特性,将首次对HNB认证后的非身份认证数据存储于TrE,当HNB重新启动时,可以通过TrE执行相关的非身份认证,从而减轻了网络侧对HNB认证的负担。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于家庭基站可信任环境的身份认证方法实施例一的流程图;
图2为本发明基于家庭基站可信任环境的身份认证方法实施例二的信令流程图;
图3为本发明基于家庭基站可信任环境的身份认证方法实施例三的信令流程图;
图4为本发明基于家庭基站可信任环境的身份认证方法实施例四的信令流程图;
图5为本发明基于家庭基站可信任环境的身份认证方法实施例五的信令流程图;
图6为本发明基于家庭基站可信任环境的身份认证方法实施例六的流程图;
图7为本发明基于家庭基站可信任环境的身份认证方法实施例七的信令流程图;
图8为本发明基于家庭基站可信任环境的身份认证方法实施例八的信令流程图;
图9为本发明基于家庭基站可信任环境的身份认证方法实施例九的信令流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明实施例的目的、技术方案和优点更加清楚,以下本发明实施例的网络类型可以为:GSM网络、CDMA网络、WCDMA网络、Wimax网络、TD-SCDMA网络或LTE网络等。无线接入设备的类型可以为:家庭基站、微型基站Pico、UMTS AP,WiMAX Femto基站或WiMAX宏基站等。以下本发明实施例的用户设备类型可以为:手机、笔记本电脑或PDA等移动终端。
由于HNB一方面属于用户设备部署在用户家中,一方面属于运营商的设备,和宏基站一样用于完成对用户的接入功能,这样的双重角色使得运营商对HNB的安全性要求很高。因此当家庭基站加电运行并与运营商建立物理连接后,运营商需要对HNB执行相关认证。现有技术对HNB的非身份的认证是基于非信任环境的,安全存储能力较低,没有充分利用TrE的功能,一定程度上减小了TrE的应用空间;而且由于TrE具备独立的身份信息,且该身份信息可以与HNB和HPM相关联。当HNB在加载TrE后,网络侧对HNB的认证便要涉及TrE的认证以及TrE与HNB关联的认证,本发明各实施例是如何实现网络侧对配置有TrE的HNB的认证流程,以及基于具有较高安全存储性能的TrE如何实现HNB相关认证的本地化。
实施例一
图1为本发明基于家庭基站可信任环境的身份认证方法实施例一的流程图,如图1所示,本实施例所描述的是在HNB在初次启动时的认证流程,包括如下步骤:
步骤11、对HNB进行设备身份认证。
网络侧首先需要对HNB设备本身的身份进行认证,对HNB的身份认证主要是基于身份信任状的认证,HNB的身份信任状有两种呈现方式,一种是基于证书,另一种是基于AKA信任状。认证过程主要是网络侧的安全网关向和AAA服务器与HNB进行认证流程的交互。
步骤12、对设置在HNB上的TrE进行身份认证。
对于TrE的认证同样可以采用基于证书的认证方式,认证过程主要是网络侧的安全网关向和AAA服务器(验证、授权和记账服务器)与HNB上的TrE进行认证流程的交互。
步骤13、对HNB和TrE的身份绑定关系进行认证。
绑定关系的认证主要是通过AAA服务器来完成,AAA服务器根据TrE的身份标识,查询其事先存储的绑定关系,再通过HNB发送的HNB身份标识相比较,从而验证绑定关系。
步骤14、对HNB进行非身份认证;其中,对HNB进行的非身份验证可以包括:对HNB上的HPM进行的身份认证、对HNB进行的位置认证以及对UE进行的身份验证。
步骤15、获取并存储HNB的非身份认证数据于TrE中。与上述的非身份验证类型相对应,非身份认证数据可以包括:HPM的认证数据、HNB的位置认证数据以及UE认证数据。
当非身份认证成功后,将网络侧维护的一部分认证数据(主要是有关非身份认证的相关认证数据)下载到HNB本地的TrE中。当HNB重启动或重认证时,非身份认证过程就可以在HNB本地的TrE中进行了,这样充分发挥了TrE的功能,并且也使得重启动或重认证过程不需要核心网的参与,减少了网络侧的负担。
实施例二
图2为本发明基于家庭基站可信任环境的身份认证方法实施例二的信令流程图,如图2所示,本实施例将详细描述HNB在初次启动时的认证流程,具体包括如下步骤:
步骤101、HNB与安全网关(SGW)之间建立IKE_SA_INIT(IKE认证初始化)连接。
步骤102、HNB向SGW发送IKE_AUTH_REQ(IKE鉴权请求)认证请求,该请求中携带HNB和TrE的身份标识。这里需要说明的是HNB的身份信任状有两种呈现方式,一种是基于证书,另一种是基于AKA信任状。本实施例描述的是基于AKA信任状的情况。如果采用基于证书的认证机制,则在HNB和SGW之间需要进行证书校验过程。
步骤103、SGW对TrE的身份进行验证。对于TrE的认证是采用基于证书的认证方式。
步骤104、SGW向AAA服务器发送Authentication Request/Identity(鉴权请求)请求,该请求中携带HNB和TrE的身份标识。
步骤105、AAA服务器执行对HNB身份认证;具体的身份认证过程可以类似如下过程:AAA服务器发起AKA(认证和密钥协商协议)身份认证挑战请求,并获取AV(鉴权向量),运行aAKA算法,接受HNB的身份认证挑战响应,从而实现HNB和网络侧之间的双向认证。
步骤106、AAA服务器对HNB与TrE的绑定关系进行认证;具体的绑定关认证过程可以类似如下过程:AAA从相关数据库网元(如HLR)获取HNB和TrE的绑定关系,AAA服务器根据HNB传来的TrE的身份标识,查询其事先存储的绑定关系,与接收到的HNB身份标识相比较,从而验证其绑定关系。
步骤107、AAA服务器向SGW发送TrE身份认证成功和绑定关系认证成功响应(Authentication Response/success)。
步骤108、SGW通过IKE_AUTH_RES(IKE鉴权响应)消息通知HNB认证成功。
步骤109、HNB接到认证成功消息后触发HNB的平台完整性认证。
步骤110、HNB和完整性认证服务器之间进行HNB平台完整性的认证。完整性认证需要网络侧存储HNB完整性的参考度量值,该数据存储在现有的网元上,例如可以在现有的网元上新增存储功能,比如HLR,也可以存储在新增的网元上。在完整性认证结束后,HNB和SGW之间便会建立相应的安全通道。
步骤111、HNB和网络侧进行后续的相关非身份认证,比如HNB的位置认证,HPM的认证,UE的身份认证等过程。同时AAA服务器需要向认证数据库获取用于进行非身份认证的相关数据。
步骤112、当非身份认证成功后,将AAA服务器维护的一部分认证数据(主要是用于非身份认证的数据)下载到HNB本地的TrE中。这样,当HNB重启动或重认证时,认证过程就在HNB本地的TrE中进行。
需要说明的是,在本实施例以及以下的实施例中,在网络侧对HNB的认证过程中,以AAA服务器和SGW服务器等网元进行了具体说明,但本发明实施例中对HNB的认证过程不限于上述网元,本领域技术人员可以知道,也可以采用与上述网元相类似的其他网元来执行相应的认证过程。
本实施例在HNB首次启动后,通过与网络侧的SGW和AAA服务器的交互,完成了HNB设备的身份认证、TrE身份认证、两者绑定关系以及平台完整性认证后,又进行了相关的非身份认证,非身份认证成功后,便将网络侧维护的一部分认证数据(主要是有关非身份认证的相关认证数据)下载到HNB本地的TrE中。当HNB重启动或重认证时,非身份认证过程就可以在HNB本地的TrE中进行了,这样充分发挥了TrE的功能,并且也使得重启动或重认证过程不需要再与SGW和AAA服务器等网络侧服务器的交互,减少了网络侧的负担。
实施例三
图3为本发明基于家庭基站可信任环境的身份认证方法实施例三的信令流程图,如图3所示,本实施例着重描述在HNB在初次启动时,网络侧对HPM的身份认证过程,是对上述实施例二中的步骤111至步骤112的进一步详细的举例说明。
HPM认证是指移动网络运营商对HNB的使用者的认证。通常有两个场景:
场景A、HPM与HNB设备相绑定场景
在该场景中,HNB设备认证完成,即完成HPM的认证。不需要额外的认证的步骤,EAP-AKA(可扩展认证协议-密钥协商协议)和证书认证,都可以用作HPM的认证,该方案适用于HPM不可移动的场景。
场景B、HPM与HNB设备相分离的认证场景,该场景下目前存在两个解决方案
B1、基于证书的HNB设备认证和基于EAP-AKA的HPM认证
该方案首先在HNB和SGW之间利用各自证书进行设备认证,之后再进行EAP-AKA的HPM认证。
B2、HPM ID和HNB设备ID的绑定
HNB是一个嵌入了HPM的设备。而每个设备有一个EI(设备号码)用来表示自己身份。HNB-EI由生产商在出厂时设置在HNB中。网络侧的HLR会存储和每个HPM-ID对应的HNB-EI记录,这个记录代表这HNB-EI和HPM-ID的绑定关系。AAA服务器会基于这个记录执行绑定关系的认证。
在本实施例基于HPM认证与HNB设备认证相分离的认证场景,可以不需要对HPM与HNB设备的绑定关系进行认证。本实施例中,对HPM的身份认证过程包括如下步骤:
步骤1110、TrE获取HNB的HPM的身份标识,该过程可以通过HNB和TrE的接口来实现。
步骤1111、HNB向SGW发送IKE_AUTH_REQ(IKE鉴权请求)认证请求,该请求中携带HPM和TrE的身份标识。
步骤1112、SGW向AAA服务器发送Authentication Request/Identity(鉴权请求),将通过发送Authentication Request/Identity请求,其中携带HPM和TrE的身份标识。
步骤1113、AAA服务器向HLR获取多个AV(鉴权向量)向量。
步骤1114、AAA服务器向SGW发起EAP Request/AKA(SIM)challenge请求(EAP请求/AKA挑战)。
步骤1115、SGW通过IKE_AUTH_RES(IKE鉴权响应)消息将EAPRequest/AKA(SIM)challenge请求发送给HNB。
步骤1116、HNB通过IKE_AUTH_REQ(IKE鉴权请求)消息返回EAPReponse/AKA(SIM)challenge(EAP响应/AKA挑战)给SGW。
步骤1117、SGW将EAP Reponse/AKA(SIM)challenge返回给AAA服务器。
在步骤1114-步骤1117中,AAA服务器和HNB之间执行EAP-AKA认证流程,从而完成对HPM进行认证。
步骤1118、AAA服务器进行HPM和TrE绑定关系验证。AAA服务器基于HPM的身份标识查询预先存储的绑定关系来验证TrE的身份标识。
步骤1119、AAA服务器向SGW发送Authentication Response/EAP-AKA(SIM)success(HPM身份认证成功和绑定关系认证成功响应)。
步骤1120、SGW通过IKE_AUTH_RES消息将HPM身份认证成功和绑定关系认证成功响应发送给HNB.
步骤1121、HNB向AHR(AP归属注册服务器)发起HNB的Boot request(初始启动请求)
步骤1122、AHR通过retrieving authentication data(获取认证数据)消息向AAA索取HPM的认证向量,索取的认证向量可以是多个,用于保证每次本地认证都是新鲜的。
步骤1123、AAA服务器响应该请求,将其存储的未使用的AV向量(认证向量中包含的参数XRES(期望的响应值),RAND(随机数),AUTN(认证令牌))返回给AHR。
步骤1124、AHR向HNB发送Boot响应,携带HPM的认证数据;
步骤1125、TrE安全存储HPM的认证数据,从而实现认证数据的本地化。
本实施例在HNB首次启动后,通过与网络侧的SGW和AAA服务器的交互,完成了非身份认证中的对HPM的身份认证,认证成功后将网络侧维护的一HPM认证数据下载到HNB本地的TrE中。当HNB重启动或重认证时,HPM的身份认证过程就可以在HNB本地的TrE中进行了,不需要再与SGW和AAA服务器等网络侧服务器的交互,这样充分发挥了TrE的功能,减少了网络侧的负担。
实施例四
图4为本发明基于家庭基站可信任环境的身份认证方法实施例四的信令流程图,如图4所示,本实施例着重描述在HNB在初次启动时,网络侧对HNB的位置认证的流程。同样是对上述实施例二中的步骤111至步骤112的进一步详细的举例说明。具体包括如下步骤:
步骤2110、HNB向AHR发起Boot请求,并携带HNB的当前位置信息。
步骤2111、AHR执行位置认证。
步骤2112、AHR向HNB发送Boot响应,并携带加密过的通过认证的位置信息。
步骤2113、HNB在收到该位置信息后会将其传送给TrE。
步骤2114、TrE验证信息来源,如果通过校验,就将该位置信息作为当前用户(对应于当前的HPM)的位置信息的参考值,并进行安全存储。
本实施例在HNB首次启动后,通过与网络侧的SGW和AAA服务器的交互,完成了非身份认证中的HNB的位置认证,认证成功后将网络侧维护的一HNB的位置认证数据下载到HNB本地的TrE中。当HNB重启动或重认证时,HNB的位置认证过程就可以在HNB本地的TrE中进行了,不需要再与SGW、AAA服务器以及AHR等网络侧服务器的交互,这样充分发挥了TrE的功能,减少了网络侧的负担。
实施例五
图5为本发明基于家庭基站可信任环境的身份认证方法实施例五的信令流程图,如图5所示,本实施例着重描述在HNB在初次启动后,在UE初次发起认证的时的处理流程。同样是对上述实施例二中的步骤111至步骤112的进一步详细的举例说明。具体包括如下步骤:
步骤3110、UE通过HNB发起身份认证请求,在该请求中携带身份标识信息,该请求被发送至AAA服务器。
步骤3111、AAA服务器可以运行AKA算法对UE执行身份认证。
步骤3112、AAA服务器通过认证响应将经过加密的UE认证数据(可以为AAA中存储的AV中的RAND、AUTN、XRES等参数,可以是多组)发送给HNB。
步骤3113、HNB向UE发送认证成功的响应消息。
步骤3114、HNB将加密的UE认证数据发送给TrE。
步骤3115、TrE解密该认证数据,并安全存储UE认证数据。
本实施例在HNB首次启动后,UE和HNB通过与网络侧的SGW和AAA服务器的交互,完成了非身份认证中的UE的身份认证,认证成功后将网络侧维护的一UE的身份认证数据下载到HNB本地的TrE中。当HNB重启动或重认证时或者当UE需要重新认证时,UE的身份认证过程就可以在HNB本地的TrE中进行了,进需要UE与HNB之间进行交互,不需要再与SGW、AAA服务器以及AHR等网络侧服务器的交互,这样充分发挥了TrE的功能,减少了网络侧的负担。
实施例六
图6为本发明基于家庭基站可信任环境的身份认证方法实施例六的流程图,如图6所示,本实施例着重描述在HNB重启动或重认证的认证流程,,通过上述实施例一至五可知,在HNB在初次启动后,经过了网络侧对HNB的认证后,将网络侧维护的一部分认证数据(主要是有关非身份认证的相关认证数据)下载到HNB本地的TrE中。这样在HNB重启动或重认证时,相关的非身份认证,便可以直接在本地进行,而不需要与网络侧的参与。本实施例具体包括如下步骤:
步骤21、对HNB进行身份认证;
步骤22、对TrE进行身份认证;
步骤23、对HNB和TrE的身份绑定关系进行认证;
步骤21至步骤23具体可以采用实施例二中的步骤101至步骤110中的流程,在此不再赘述。
步骤24、通过TrE对HNB进行非身份认证。非身份认证可以包括:对HPM的认证、对HNB的位置认证数据以及对UE的认证。
在本实施例中,TrE中存储了在HNB初次启动时的认证流程中,获取的非身份认证数据。当HNB重启动或重认证时,可以基于本地TrE中存储的非身份认证数据执行相关的非身份认证。不需要再与SGW、AAA服务器以及AHR等网络侧服务器的交互,这样充分发挥了TrE的功能,减少了网络侧的负担。
实施例七
图7为本发明基于家庭基站可信任环境的身份认证方法实施例七的信令流程图,如图7所示,本实施例着重描述在HNB重启动或重认证时对HPM的身份认证流程,本实施例所描述的认证流程是对实施例六中的步骤24的具体的示例性描述,HNB再次启动时同样也要经历实施例六中的步骤21至步骤23。本实施例包括如下步骤:
步骤4110、HPM向TrE发起身份认证请求,可以通过HNB和TrE之间的接口完成。
步骤4111、TrE查询其没有使用过的认证向量(AV)。
步骤4112、TrE向HPM发起认证挑战请求,该请求中携带有AV(其中,AV中包含vRAND和AUTN参数)。
步骤4113、HPM根据接收的RAND和AUTN参数和其存储的密钥计算RES(根据密钥及AUTN和RAND计算得来的响应值)。
步骤4114、HPM返回认证挑战响应,在该响应中携带上述RES。
步骤4115、TrE执行HPM身份认证。TrE对比接收到的RES和其存储的XRES(在HNB初次启动时,完成认证过程后下载到TrE中的参数)的值,如果一致,则TrE对HPM认证成功,并生成认证成功的认证结果,否则,生成认证失败的认证结果。
步骤4116、TrE将认证结果返回给HPM。
步骤4117、TrE将认证结果通知网络侧的AAA服务器。
在本实施例中,TrE中存储了在HNB初次启动时的认证流程中,获取的HPM的身份认证数据。当HNB重启动或重认证时,可以基于本地TrE中存储的HPM的身份认证数据执行相关的HPM的身份认证。不需要再与SGW、AAA服务器以及AHR等网络侧服务器的交互,这样充分发挥了TrE的功能,减少了网络侧的负担。
实施例八
图8为本发明基于家庭基站可信任环境的身份认证方法实施例八的信令流程图,如图8所示,本实施例着重描述在HNB重启动或重认证时对HNB的位置认证流程,本实施例所描述的认证流程同样是对实施例六中的步骤24的具体的示例性描述,HNB重启动或重认证时同样也要经历实施例六中的步骤21至步骤23。本实施例包括如下步骤:
步骤5110、HNB向TrE发送位置认证请求,该位置认证请求中携带有HNB的当前位置信息;
步骤5111、TrE执行位置认证。TrE将当前位置信息与TrE中存储的位置信息进行比较,如果一致,则生成认证成功的位置认证结果,否则生成认证失败的位置认证结果;
步骤5112、TrE将位置认证结果通知HNB。
步骤5113、TrE将位置认证结果通知网络侧的AHR.
在本实施例中,TrE中存储了在HNB初次启动时的认证流程中,获取的HNB的位置认证数据。当HNB重启动或重认证时,可以基于本地TrE中存储的HNB的位置认证数据执行相关的HNB的位置认证。不需要再与SGW、AAA服务器以及AHR等网络侧服务器的交互,这样充分发挥了TrE的功能,减少了网络侧的负担。
实施例九
图9为本发明基于家庭基站可信任环境的身份认证方法实施例九的信令流程图,如图9所示,本实施例着重描述在当UE初次通过网络侧的身份认证后,UE再次进行认证时的认证流程。在HNB的初次启动后,如果某一UE已经进行了与网络侧的身份认证,则与该UE相关的UE认证数据已经存储在了本地的TrE中,这样当HNB再次接到同一UE的身份认证请求时,便可以通过TrE直接完成认证。UE进行的再次身份认证可以是在HNB初次启动后,也可以是HNB重启动或重认证时。本实施例的认证流程如下:
步骤6110、TrE接收UE发送的UE身份认证请求,该请求中携带有UE的身份标识。
步骤6111、TrE将UE身份认证请求中携带的UE的身份标识与TrE中存储的UE的身份标识进行比较,如果一致,则生成认证成功的UE身份认证结果,否则生成认证失败的UE身份认证结果。
步骤6112、TrE将UE身份认证结果通知UE。
步骤6113、TrE将UE身份认证结果通知网络侧的AAA服务器。
在本实施例中,TrE中存储了在HNB初次启动时的认证流程中,获取的HNB的UE身份认证数据。当HNB重启动或重认证时,可以基于本地TrE中存储的UE身份认证数据执行相关的UE身份认证。不需要再与SGW、AAA服务器以及AHR等网络侧服务器的交互,这样充分发挥了TrE的功能,减少了网络侧的负担。
实施例十
本实施例为TrE单元的实施例,该TrE单元包括认证数据存储模块和认证模块。认证数据存储模块,用于存储HNB的非身份认证数据;认证模块,用于根据认证数据存储模块存储的HNB的非身份认证数据,执行HNB的非身份认证。
其中,认证数据存储模块可以包括:HPM认证数据存储模块和/或UE认证数据存储模块和/或HNB位置认证数据存储模块。认证模块包括:HPM身份认证模块和/或HNB位置认证模块和/或UE身份认证模块。其中,HPM身份认证模块执行对HPM的身份认证时,需要调用HPM认证数据存储模块中存储的数据,同样,HNB位置认证模块和HNB位置认证数据存储模块,UE身份认证模块与UE认证数据存储模块也具有相应的对应关系。
实施例十一
本发明实施例还提供了一种家庭基站,该家庭基站包括一如实施例十中所示的TrE单元,在此不再赘述。
通过上述实施例可以看出,本发明实施例充分利用了TrE的特性,将首次对HNB认证后的非身份认证数据存储于TrE,当HNB重新启动时,可以通过TrE执行相关的非身份认证,从而减轻了网络侧对HNB认证的负担,同时也不需要利用HPM-ID和HNB-ID来实现设备和用户身份的捆绑,避免了运营商要额外建立数据库的负担。
需要说明的是:本发明实施例中的非身份认证是指:除了HNB的设备身份认证和TrE身份认证之外的,与HNB相关的一些认证,如HNB位置认证,HPM认证及接入HNB的UE的认证。
结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或任意其它形式的存储介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (20)
1.一种基于家庭基站可信任环境的身份认证方法,其特征在于,包括:
对家庭基站进行设备身份认证;
对设置在所述家庭基站上的可信任环境进行身份认证;
对所述家庭基站和所述可信任环境的身份绑定关系进行认证;
对所述家庭基站进行非身份认证;
获取并存储所述家庭基站的非身份认证数据于所述可信任环境中。
2.根据权利要求1所述的方法,其特征在于,对所述家庭基站进行非身份验证,获取并存储所述家庭基站的非身份认证数据于所述可信任环境中具体为:对所述家庭基站上的使用者身份模块进行身份认证,获取并存储所述使用者身份模块的认证数据于所述可信任环境中。
3.根据权利要求2所述的方法,其特征在于,对所述家庭基站上的使用者身份模块进行身份认证,获取并存储所述使用者身份模块的认证数据于所述可信任环境中具体为:
通过所述可信任环境获取所述使用者身份模块的身份标识;
发送使用者身份模块身份认证请求至验证、授权和记账服务器,该请求中携带有所述使用者身份模块和所述可信任环境的身份标识;
通过所述验证、授权和记账服务器执行对所述使用者身份模块的身份认证以及对所述使用者身份模块与所述可信任环境的绑定关系认证;
从AP归属注册服务器获取使用者身份模块认证数据,并存储于所述可信任环境中。
4.根据权利要求1所述的方法,其特征在于,对所述家庭基站进行非身份验证,获取并存储所述家庭基站的非身份认证数据于所述可信任环境中具体为:对所述家庭基站进行位置认证,获取并存储所述家庭基站的位置认证数据于所述可信任环境中。
5.根据权利要求4所述的方法,其特征在于,对所述家庭基站进行位置认证,获取并存储所述家庭基站的位置认证数据于所述可信任环境中具体为:
向AP归属注册服务器发起初始启动请求,所述初始启动请求中携带有家庭基站的当前位置信息;
通过所述AP归属注册服务器执行对所述家庭基站的位置认证;
接收AP归属注册服务器返回的初始启动响应,所述初始启动响应中携带有经过认证后的位置信息;
将所述认证后的位置信息存储在所述可信任环境中。
6.根据权利要求1所述的方法,其特征在于,对所述家庭基站进行非身份验证,获取并存储所述家庭基站的非身份认证数据于所述可信任环境中具体为:对UE进行身份验证,获取并存储所述UE的认证数据于所述可信任环境中。
7.根据权利要求6所述的方法,其特征在于,对UE进行身份验证,获取并存储所述UE的认证数据于所述可信任环境中具体为:
接收所述UE发起UE认证请求,并转发至验证、授权和记账服务器,所述UE认证请求中携带有所述UE的身份标识信息;
通过所述验证、授权和记账服务器对所述UE进行身份认证;
接收所述验证、授权和记账服务器返回的UE认证数据;
将所述UE认证数据存储在所述可信任环境中。
8.根据权利要求1所述的方法,其特征在于,在对所述家庭基站和所述可信任环境的身份绑定关系进行认证后,还包括:对家庭基站的平台完整性进行认证。
9.一种基于家庭基站可信任环境的身份认证方法,其特征在于,包括:
对家庭基站进行设备身份认证;
对可信任环境进行身份认证;
对所述家庭基站和所述可信任环境的身份绑定关系进行认证;
通过所述可信任环境对所述家庭基站进行非身份认证。
10.根据权利要求9所述的方法,其特征在于,通过所述可信任环境对所述家庭基站进行非身份认证具体为:
通过所述可信任环境对所述家庭基站上的使用者身份模块进行身份认证。
11.根据权利要求10所述的方法,其特征在于,通过所述可信任环境对所述家庭基站上的使用者身份模块进行身份认证具体为:
所述使用者身份模块向所述可信任环境发起认证请求;
所述可信任环境向所述使用者身份模块发起认证挑战请求,该请求中携带有RAND和AUTN参数;
所述使用者身份模块根据其存储的密钥计算RES;
所述使用者身份模块发起认证挑战响应,该响应中携带RES参数;
所述可信任环境判断所述RES和XRES的值是否一致,如果一致,则生成认证成功的使用者身份模块身份认证结果,否则生成认证失败的使用者身份模块身份认证结果;
所述可信任环境将所述使用者身份模块身份认证结果返回给所述使用者身份模块;
所述可信任环境将所述使用者身份模块身份认证结果通知验证、授权和记账服务器。
12.根据权利要求9所述的方法,其特征在于,通过所述可信任环境对所述家庭基站进行非身份认证具体为:通过所述可信任环境对所述家庭基站进行位置认证。
13.根据权利要求12所述的方法,其特征在于,通过所述可信任环境对所述家庭基站进行位置认证具体为:
所述家庭基站向所述可信任环境发送位置认证请求,该位置认证请求中携带有所述家庭基站的当前位置信息;
所述可信任环境将所述当前位置信息与所述可信任环境中存储的位置信息进行比较,如果一致,则生成认证成功的位置认证结果,否则生成认证失败的位置认证结果;
所述可信任环境将所述位置认证结果通知AP归属注册服务器。
14.根据权利要求9所述的方法,其特征在于,通过所述可信任环境对所述家庭基站进行非身份认证具体为:
通过所述可信任环境对UE进行身份认证。
15.一种基于家庭基站可信任环境的身份认证方法,其特征在于,包括:
可信任环境接收UE发送的UE身份认证请求;
通过所述可信任环境对UE进行身份认证。
16.根据权利要求15所述的方法,其特征在于,所述UE身份认证请求中携带有UE的身份标识,所述通过所述可信任环境对UE进行身份认证具体为:
所述可信任环境将所述UE身份认证请求中携带的UE的身份标识与所述可信任环境中存储的UE的身份标识进行比较,
如果一致,则生成认证成功的UE身份认证结果,否则生成认证失败的UE身份认证结果;
所述可信任环境将所述UE身份认证结果通知验证、授权和记账服务器。
17.一种可信任环境单元,其特征在于,包括:
认证数据存储模块,用于存储家庭基站的非身份认证数据;
认证模块,用于根据所述认证数据存储模块存储的家庭基站的非身份认证数据,执行家庭基站的非身份认证。
18.根据权利要求17所述的可信任环境单元,其特征在于,所述认证数据存储模块包括:使用者身份模块认证数据存储模块和/或UE认证数据存储模块和/或家庭基站位置认证数据存储模块。
19.根据权利要求17所述的可信任环境单元,其特征在于,认证模块包括:使用者身份模块身份认证模块和/或家庭基站位置认证模块和/或UE身份认证模块。
20.一种家庭基站,其特征在于,包括一可信任环境单元,在所述可信任环境单元上设置有:认证数据存储模块,用于存储家庭基站的非身份认证数据;
认证模块,用于根据所述认证数据存储模块存储的家庭基站的非身份认证数据,执行家庭基站的非身份认证。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810175958A CN101827361B (zh) | 2008-11-03 | 2008-11-03 | 身份认证方法、可信任环境单元及家庭基站 |
| CN2009800001105A CN101822083B (zh) | 2008-11-03 | 2009-06-03 | 认证方法、可信任环境单元及家庭基站 |
| PCT/CN2009/072108 WO2010060296A1 (zh) | 2008-11-03 | 2009-06-03 | 认证方法、可信任环境单元及家庭基站 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810175958A CN101827361B (zh) | 2008-11-03 | 2008-11-03 | 身份认证方法、可信任环境单元及家庭基站 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101827361A true CN101827361A (zh) | 2010-09-08 |
| CN101827361B CN101827361B (zh) | 2012-10-17 |
Family
ID=42225224
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810175958A Active CN101827361B (zh) | 2008-11-03 | 2008-11-03 | 身份认证方法、可信任环境单元及家庭基站 |
| CN2009800001105A Expired - Fee Related CN101822083B (zh) | 2008-11-03 | 2009-06-03 | 认证方法、可信任环境单元及家庭基站 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009800001105A Expired - Fee Related CN101822083B (zh) | 2008-11-03 | 2009-06-03 | 认证方法、可信任环境单元及家庭基站 |
Country Status (2)
| Country | Link |
|---|---|
| CN (2) | CN101827361B (zh) |
| WO (1) | WO2010060296A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019017835A1 (zh) * | 2017-07-20 | 2019-01-24 | 华为国际有限公司 | 网络验证方法、相关设备及系统 |
| US11157605B2 (en) | 2018-04-12 | 2021-10-26 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Security control method and device of application, and electronic device |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865592A (zh) * | 2020-09-21 | 2020-10-30 | 四川科锐得电力通信技术有限公司 | 物联网设备快速接入方法、装置、物联网平台及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100770928B1 (ko) * | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| CN1933657B (zh) * | 2005-09-15 | 2010-10-06 | 华为技术有限公司 | 一种在rsa认证过程中抵抗冒充合法移动台实施攻击的方法 |
| WO2008137417A2 (en) * | 2007-04-30 | 2008-11-13 | Interdigital Technology Corporation | A HOME (e)NODE-B WITH NEW FUNCTIONALITY |
-
2008
- 2008-11-03 CN CN200810175958A patent/CN101827361B/zh active Active
-
2009
- 2009-06-03 CN CN2009800001105A patent/CN101822083B/zh not_active Expired - Fee Related
- 2009-06-03 WO PCT/CN2009/072108 patent/WO2010060296A1/zh active Application Filing
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019017835A1 (zh) * | 2017-07-20 | 2019-01-24 | 华为国际有限公司 | 网络验证方法、相关设备及系统 |
| WO2019017840A1 (zh) * | 2017-07-20 | 2019-01-24 | 华为国际有限公司 | 网络验证方法、相关设备及系统 |
| US11157605B2 (en) | 2018-04-12 | 2021-10-26 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Security control method and device of application, and electronic device |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101822083A (zh) | 2010-09-01 |
| WO2010060296A1 (zh) | 2010-06-03 |
| CN101822083B (zh) | 2012-10-17 |
| CN101827361B (zh) | 2012-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102428262B1 (ko) | 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치 | |
| JP5992554B2 (ja) | 第1のクライアントステーションのクレデンシャルを使用して第2のクライアントステーションを認証するシステム及び方法 | |
| US8923813B2 (en) | System and method for securing a base station using SIM cards | |
| JP7443541B2 (ja) | 鍵取得方法および装置 | |
| US10462667B2 (en) | Method of providing mobile communication provider information and device for performing the same | |
| US9270672B2 (en) | Performing a group authentication and key agreement procedure | |
| US11129014B2 (en) | Methods and apparatus to manage inactive electronic subscriber identity modules | |
| WO2017219673A1 (zh) | VoWiFi网络接入方法和系统、终端 | |
| KR20130089651A (ko) | 로밍 네트워크 내의 액세스 단말 아이덴티티의 인증 | |
| EP2873266B1 (en) | Method of accessing a wlan access point | |
| CN102318386A (zh) | 向网络的基于服务的认证 | |
| CN107835204A (zh) | 配置文件策略规则的安全控制 | |
| EP1992185A2 (en) | Fast re-authentication method in umts | |
| CN101867928A (zh) | 移动用户通过家庭基站接入核心网的认证方法 | |
| CN101945390A (zh) | 一种准入控制方法及装置 | |
| CN101827361B (zh) | 身份认证方法、可信任环境单元及家庭基站 | |
| CN113115300B (zh) | 电子用户身份模块转移资格检查 | |
| CN107005528B (zh) | 用于无线频谱使用的无线设备硬件安全系统 | |
| Lin et al. | Authentication schemes based on the EAP-SIM mechanism in GSM-WLAN heterogeneous mobile networks | |
| KR20110108680A (ko) | 인증 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170825 Address after: 519031, Guangdong, Zhuhai province Hengqin financial industry service base building No. 5 2-I Patentee after: The International Intellectual Property Trading Center Co. Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20171225 Address after: 401120 Chongqing city Yubei District Shuangfeng Bridge Street, Airport Road No. 7 Building 3 buildings Patentee after: Chongqing Beijing Great Automotive Components Company Limited Address before: 519031, Guangdong, Zhuhai province Hengqin financial industry service base building No. 5 2-I Patentee before: The International Intellectual Property Trading Center Co. Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180314 Address after: 519031 Guangdong city of Zhuhai province Hengqin financial service base No. 5 2-I Patentee after: The International Intellectual Property Trading Center Co. Ltd. Address before: 401120 Chongqing city Yubei District Shuangfeng Bridge Street, Airport Road No. 7 Building 3 buildings Patentee before: Chongqing Beijing Great Automotive Components Company Limited |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20181128 Address after: 057750 No. 01, No. 173 Qianluotou Village, Chaibu Town, Guantao County, Handan City, Hebei Province Patentee after: Xue Pilin Address before: 519031 2-I, building 5, Hengqin financial service base, Zhuhai, Guangdong Patentee before: The International Intellectual Property Trading Center Co. Ltd. |
|
| TR01 | Transfer of patent right |