CN102075938B - 基于地址锁机制的快速重认证方法 - Google Patents
基于地址锁机制的快速重认证方法 Download PDFInfo
- Publication number
- CN102075938B CN102075938B CN201110046059.0A CN201110046059A CN102075938B CN 102075938 B CN102075938 B CN 102075938B CN 201110046059 A CN201110046059 A CN 201110046059A CN 102075938 B CN102075938 B CN 102075938B
- Authority
- CN
- China
- Prior art keywords
- authentication
- quick
- mme
- switching
- cell
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种基于地址锁机制的快速重认证方法。该基于快速重认证系统,所述系统包括:H(e)NB(家庭基站)、切换中一直不断移动的UE(用户设备)以及核心网的控制设备MME(移动管理实体);当UE移动出家庭基站微小区的范围时,该方法设置UE和核心网侧保存的安全上下文的时限,并在H(e)NB中预先配置一张邻接宏小区的信息表,H(e)NB定时扫频获取邻小区信息并通过安全网关向核心网侧汇报。通过上述手段,本发明在一定时限内,对于UE已经建立的安全上下文进行重用,优化了切换流程,降低切换时延,提高了整个系统效率。
Description
技术领域
本发明涉及信息安全与移动通信领域,尤其涉及一种基于地址锁机制的快速重认证方法。
背景技术
家庭基站H(e)NB是基于UTRA技术的HNB家庭基站和基于E-UTRA技术的HeNB家庭基站的合称,是UMTS系统和LTE/SAE系统中的实体,字面意思是家庭节点B/家庭增强节点B,习惯称为家庭基站。运营商将其部署在办公室,个人家庭,企业内部等无线信号不好的地方,是解决无线网络室内覆盖问题的有效手段。
H(e)NB与现行移动通信网络中的基站工作模式有所区别,用户终端是通过无线接口Uu接入到H(e)NB,H(e)NB再通过ADSL等固定宽带接入链路,经由不可靠的IP网络进入移动运营商的核心网,而传统宏基站和运营商的核心网之间的连接通常使用专用链路,被认为是可以信任的。H(e)NB的引入使得核心网侧与开放互联网直接的连接面临更多风险和安全威胁。
H(e)NB自启动流程分为两个阶段,配置阶段和服务阶段。在配置阶段H(e)NB和H(e)NB管理系统H(e)MS交互获得H(e)NB提供服务所需的配置信息,在交互过程中H(e)MS需要和核心网侧交互获得H(e)NB的签约信息。在服务阶段,H(e)NB根据在配置阶段中获得的配置信息和运营商核心网络中相应网元建立连接,从而为用户终端(UE)提供服务。
在H(e)NB自启动过程中,最关键的一步就是H(e)NB和安全网关SeGW之间进行的交互认证。交互认证之后,H(e)NB和安全网关之间应建立安全隧道以保护H(e)NB和安全网关之间交互信息的安全。
H(e)NB的使用有效范围很小,通常只限于几十米的范围之类,那么移动终端可能会随着用户频繁地进出家庭基站微小区,在此我们考虑家庭基站为HeNB的情况,空口接入技术为LTE,当UE移动出家庭基站微小区的范围时,可能进入一个UMTS或者GSM的宏小区,那么要保持业务的连续性会发生小区切换,而且可能是异构网络之间的切换。这种频繁的切换如果每次都需要进行重新认证的话,那么会对系统资源造成很大浪费,也会大大增加手机的耗电量。
发明内容
为了解决上述问题,本发明提出了一种基于地址锁机制的快速重认证方法。该方法基于H(e)NB(家庭基站)、UE(用户设备)以及核心网唯一的控制设备MME(移动管理实体)。在一定时限内,对于UE已经建立的安全上下文进行重用,以优化切换流程,降低切换时延提高整个系统效率。
本发明公开了一种基于地址锁机制的快速重认证方法,所述方法基于快速重认证系统,所述系统包括:H(e)NB(家庭基站)、切换中一直不断移动的UE(用户设备)以及核心网的控制设备MME(移动管理实体)、位于移动运营商核心网侧边沿的SeGW(安全网关),存储着用户数据和H(e)NB的认证信息的数据库(HSS),基于HSS中的认证消息来执行的AAA(认证、授权和计费)服务器;其中,所述H(e)NB包括基于UTRA(通用陆地无线接入)技术的HNB家庭基站,以及基于E-UTRA(演进的通用陆地无线接入)技术的HeNB家庭基站;所述MME是3GPP协议LTE接入网络的关键控制节点;并且,从H(e)NB小区到E-UTRAN(演进的通用陆地无线接入网)的切换时,包括如下步骤:
步骤1),H(e)NB上电执行自启动流程,UE(用户设备)附着在H(e)NB小区并通过AAA和HSS与SeGW(安全网关)执行EAP-AKA(扩展认证协议-认证和密钥协商)相互认证,NAS(NonAccess Stratum,非接入层)安全上下文和AS(Access Stratum,接入层)安全上下文保存在ME(移动设备)和MME(移动管理实体)中,启动计时器。
步骤2),当UE移动到H(e)NB小区边缘,检测邻接宏小区的广播控制信道电平值是否超过切换门限。
步骤3),若是,UE向H(e)NB发起切换请求,同时上报目标切换小区的广播信息。
步骤4),H(e)NB维护一张允许快速重认证的可信邻接小区列表,通过判断UE上报目标切换小区的信息是否在所述可信邻接小区列表中决定是否执行快速重认证。
步骤5),若确定执行快速重认证,则源MME将保存的UE安全上下文同步给待切换目标新MME;若不执行快速重认证,则不需要同步UE安全上下文,UE切换附着后通过AAA和HSS重新执行EAP-AKA认证过程。
步骤6),源MME向UE返回切换请求响应消息,并告知是否执行安全上下文重用和快速重认证。
步骤7),在切换目标小区的eNB(增强基站)、MME间执行快速重认证过程。
上述快速重认证方法,优选所述步骤3)中,所述广播信息包括小区识别号、位置区域识别号以及使用频率列表。
上述快速重认证方法,优选所述步骤4)中,所述周期由运营商策略决定。
上述快速重认证方法,优选所述步骤4)中,所述位置校验为:H(e)NB扫描相邻宏小区信息并向所述MME上报。
上述快速重认证方法,优选所述步骤4)中,所述位置校验通过向H(e)NB和核心网之间的IP网络的DNS(域名服务器)获取自身IP地址完成。
相对于现有技术而言,本发明的有益效果如下:
第一,本发明在一定时限内,对于UE已经建立的安全上下文进行重用,可以优化切换流程,降低切换时延提高整个系统效率。
第二,核心网侧可以精确定位H(e)NB地理位置信息,减小非法使用威胁;此外,可以随时根据白名单限制可以使用快速重认证的小区范围。
第三,本发明不需要在现有网络中增加新的实体,密钥推演转换可以通过用户侧和网络侧的软件更新来实现,实现容易。另外,H(e)NB的地址校验不需要每次都执行,只需要设定一个周期(在安全性和网络负担取得一个平衡点)。
附图说明
图1为本发明基于地址锁机制的快速重认证方法优选实施例的步骤流程图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本实施例基于地址锁机制的快速重认证方法中,当UE移动出家庭基站微小区的范围时,UE和核心网侧保存的安全上下文有一定时限,对于UE周边的宏小区,在大部分时候是固定不变的(运营商允许的范围内使用),可以在H(e)NB中预先配置一张邻接宏小区的信息表,内容包含Cell_ID等小区信息,H(e)NB定时扫频获取邻小区信息并通过SeGW向核心网侧汇报(根据运营商策略可以有不同实施方案)。这样做有两个好处,一是核心网侧可以精确定位H(e)NB地理位置信息,减小非法使用威胁;二是可以随时根据白名单限制可以使用快速重认证的小区范围。因为H(e)NB小区的范围较小,宏小区的范围很大,只有在H(e)NB和邻接宏小区之间进行切换时,快速重认证的方法才最有必要使用。
参照图1,从H(e)NB小区到E-UTRAN的切换时的快速重认证方法包括如下步骤:
步骤1,H(e)NB上电执行自启动流程,UE(用户设备)附着在H(e)NB小区并通过AAA(认证、授权和计费服务器)和HSS(用户信息数据库)与SeGW(安全网关)执行EAP-AKA(扩展认证协议-认证和密钥协商)相互认证,NAS(Non Access Stratum,非接入层)安全上下文和AS(Access Stratum,接入层)安全上下文保存在ME(移动设备)和MME(移动管理实体)中,启动计时器。
步骤2当UE移动到H(e)NB小区边缘,检测邻接宏小区的广播控制信道BCCH电平值是否超过切换门限。
步骤3若是,UE向H(e)NB发起切换请求,同时上报目标切换小区的广播信息,如小区识别号Cell_ID,位置区域识别号LAI,使用频率列表等。
步骤4 H(e)NB维护着一张允许快速重认证的可信邻接小区列表,H(e)NB对比UE上报目标切换小区的信息是否在可信列表中来决定能否执行快速重认证。同时H(e)NB周期性地向源MME进行位置校验(周期由运营商策略决定)。
4a 以上提到的H(e)NB位置校验主要有两种手段,一是自己扫描周围宏小区信息向MME上报,此方法适合在城市内宏小区分布密集的区域;
4b 如果H(e)NB布置在宏小区较少的地区,位置校验可以通过向H(e)NB和核心网之间的IP网络的DNS(域名服务器)获取自身IP地址的手段完成。显然这种需要和其它运营商实现约定好策略,会增加额外的成本,而且不一定能够达到定位精度,在此仅作为可选方案。另有方案在H(e)NB内部署GPS系统实现精确定位,虽然效果最好但显然成本最高,只适用于少数场景。
步骤5 MME基于运营商策略对H(e)NB位置信息进行校验。若H(e)NB附带信息同意执行快速重认证,则源MME将自己保存的UE安全上下文同步给待切换目标新MME;若不执行快速重认证,则不需要同步UE安全上下文,UE切换附着后通过AAA和HSS重新执行EAP-AKA认证过程。
步骤6 源MME向UE返回切换请求响应消息,并告知是否执行安全上下文重用和快速重认证。
步骤7 H(e)NB小区和E-UTRAN小区使用同一套密钥系统,因此安全上下文可以直接使用(计时器未过期的条件下),不需要进行密钥的推演和转换。UE和切换目标小区的增强基站eNB,新MME执行快速重认证过程。
步骤8 快速重认证过程执行完毕,UE和新小区网络侧可以使用以前的密钥对NAS(非接入层)信令和RRC(无线资源控制)信令进行保护,继续执行切换流程。
以上对本发明所提供的一种基于地址锁机制的快速重认证方法进行详细介绍,本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (5)
1.一种基于地址锁机制的快速重认证方法,其特征在于,
所述方法基于快速重认证系统,所述系统包括:H(e)NB(家庭基站)、切换中一直不断移动的UE(用户设备)以及核心网的控制设备MME(移动管理实体)、位于移动运营商核心网侧边沿的SeGW(安全网关),存储着用户数据和H(e)NB的认证信息的数据库(HSS),基于HSS中的认证消息来执行的AAA(认证、授权和计费)服务器;其中,所述H(e)NB包括基于UTRA(通用陆地无线接入)技术的HNB家庭基站,以及基于E-UTRA(演进的通用陆地无线接入)技术的HeNB家庭基站;所述MME是3GPP协议LTE(长期演进)接入网络的关键控制节点;并且
从H(e)NB小区到E-UTRAN(演进的通用陆地无线接入网)的切换时,包括如下步骤:
步骤1),H(e)NB上电执行自启动流程,UE(用户设备)附着在H(e)NB小区并通过AAA和HSS与SeGW(安全网关)执行EAP-AKA(扩展认证协议-认证和密钥协商)相互认证,NAS(Non Access Stratum,非接入层)安全上下文和AS(Access Stratum,接入层)安全上下文保存在ME(移动设备)和MME(移动管理实体)中,启动计时器;
步骤2),当UE移动到H(e)NB小区边缘,检测邻接宏小区的广播控制信道电平值是否超过切换门限;
步骤3),若是,UE向H(e)NB发起切换请求,同时上报目标切换小区的广播信息;
步骤4),H(e)NB维护一张允许快速重认证的可信邻接小区列表,通过判断UE上报目标切换小区的信息是否在所述可信邻接小区列表中决定是否执行快速重认证;
步骤5),若确定执行快速重认证,则源MME将保存的UE安全上下文同步给待切换目标新MME;若不执行快速重认证,则不需要同步UE安全上下文,UE切换附着后通过AAA和HSS重新执行EAP-AKA认证过程;
步骤6),源MME向UE返回切换请求响应消息,并告知是否执行安全上下文重用和快速重认证;
步骤7),在切换目标小区的eNB(增强基站)、MME间执行快速重认证过程。
2.根据权利要求1所述的基于地址锁机制的快速重认证方法,其特征在于,所述步骤3)中,所述广播信息包括小区识别号、位置区域识别号以及使用频率列表。
3.根据权利要求2所述的基于地址锁机制的快速重认证方法,其特征在于,所述步骤4)中,H(e)NB周期性地向源MME进行位置校验,周期由运营商策略决定。
4.根据权利要求3所述的基于地址锁机制的快速重认证方法,其特征在于,所述步骤4)中,所述的位置校验为:H(e)NB扫描相邻宏小区信息并向所述MME上报。
5.根据权利要求3所述的基于地址锁机制的快速重认证方法,其特征在于,所述步骤4)中,所述的位置校验通过向H(e)NB和核心网之间的IP网络的DNS(域名服务器)获取自身IP地址完成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110046059.0A CN102075938B (zh) | 2011-02-25 | 2011-02-25 | 基于地址锁机制的快速重认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110046059.0A CN102075938B (zh) | 2011-02-25 | 2011-02-25 | 基于地址锁机制的快速重认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102075938A CN102075938A (zh) | 2011-05-25 |
| CN102075938B true CN102075938B (zh) | 2013-05-15 |
Family
ID=44034251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110046059.0A Expired - Fee Related CN102075938B (zh) | 2011-02-25 | 2011-02-25 | 基于地址锁机制的快速重认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102075938B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223651B (zh) * | 2011-06-01 | 2013-06-19 | 大唐移动通信设备有限公司 | 一种协助基站自启动的方法及rnc/dhcp服务器 |
| CN102869050A (zh) * | 2011-07-06 | 2013-01-09 | 中兴通讯股份有限公司 | 小区选择的方法及终端 |
| CN102685730B (zh) * | 2012-05-29 | 2015-02-04 | 大唐移动通信设备有限公司 | 一种ue上下文信息发送方法及mme |
| CN103200172B (zh) | 2013-02-19 | 2018-06-26 | 中兴通讯股份有限公司 | 一种802.1x接入会话保活的方法及系统 |
| KR101961301B1 (ko) | 2015-06-05 | 2019-03-25 | 콘비다 와이어리스, 엘엘씨 | 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 |
| CN104967985B (zh) * | 2015-06-12 | 2019-04-09 | 大唐移动通信设备有限公司 | 一种基站自启动方法和设备 |
| US10917789B2 (en) * | 2017-04-21 | 2021-02-09 | Nokia Technologies Oy | Radio link recovery for user equipment |
| EP3611967A4 (en) * | 2017-09-27 | 2020-04-01 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | ACCESS CONNECTION MANAGEMENT METHOD, DEVICE, STORAGE MEDIUM, AND SYSTEM |
| CN111757279B (zh) * | 2020-06-24 | 2022-06-24 | 海能达通信股份有限公司 | Lte宽带集群系统减小切换时延的方法、系统及相关设备 |
| WO2022067815A1 (zh) * | 2020-09-30 | 2022-04-07 | 华为技术有限公司 | 一种通信方法、装置及设备 |
| WO2022174398A1 (en) * | 2021-02-19 | 2022-08-25 | Apple Inc. | Authentication indication for edge data network relocation |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7860486B2 (en) * | 2004-10-22 | 2010-12-28 | Broadcom Corporation | Key revocation in a mobile device |
| CN1984436A (zh) * | 2005-12-15 | 2007-06-20 | 上海原动力通信科技有限公司 | 不同接入系统之间移动性管理系统及管理方法 |
| CN101702802B (zh) * | 2009-11-03 | 2012-10-17 | 中兴通讯股份有限公司 | 移动终端越区切换的方法 |
-
2011
- 2011-02-25 CN CN201110046059.0A patent/CN102075938B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN102075938A (zh) | 2011-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102075938B (zh) | 基于地址锁机制的快速重认证方法 | |
| KR101124900B1 (ko) | 새로운 기능성을 갖춘 홈 (e)노드-B | |
| EP2810464B1 (en) | Methods and apparatuses for authentication of a mobile entity for white space operation | |
| CN101998542B (zh) | 向封闭用户组小区切换失败时的处理方法及系统 | |
| CN102123394B (zh) | 向封闭用户组小区切换的处理方法及装置 | |
| CN113711565B (zh) | 系统信息安全容器 | |
| EP2958370B1 (en) | System and method for providing handover to an ambiguous small cell access point in a network environment | |
| CN104041098A (zh) | 用于ieee 802.11网络的sta和接入点之间的加速的链路设置的方法和装置 | |
| EP2345277A1 (en) | Verifying neighbor cell | |
| CN103988567A (zh) | 用于控制交叉链路建立的方法和设备 | |
| US20240114337A1 (en) | Method and user equipment for determining whether base station is genuine or rouge in wireless network | |
| US20110111757A1 (en) | Cell reselection mechanism for a base station with closed subscriber group | |
| US9699696B2 (en) | System and method for providing handover to an ambiguous small cell access point in a network environment | |
| US20220272539A1 (en) | Methods, UE and Access Node for Handling System Information Signatures | |
| US20220173911A1 (en) | Method and nodes for handling system information | |
| US20220086636A1 (en) | Access point authentication based on a digital certificate | |
| CN101977378B (zh) | 信息传输方法、网络侧及中继节点 | |
| KR101689605B1 (ko) | 팸토 시스템에서 네트워크 초기 접속 방법 및 장치 | |
| US20220167169A1 (en) | Methods, UE and Nodes for Handling System Information Protection | |
| US20220256337A1 (en) | Methods, UE and Network Node for Handling System Information | |
| CN101540993B (zh) | 一种邻区消息的下发方法及微波存取全球互通系统 | |
| Ali-Yahiya et al. | LTE and Femtocell | |
| Houngninou | Femtocell: indoor cellular communication redefined | |
| CHRISTOS | PR OJECT SE MESTER | |
| WO2011031504A2 (en) | Techniques and systems for implementing macro and femto idle and paging support in wireless networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130515 Termination date: 20140225 |