CN102265659A - 通信系统、毫微微小区基站、认证设备、通信方法及记录介质 - Google Patents
通信系统、毫微微小区基站、认证设备、通信方法及记录介质 Download PDFInfo
- Publication number
- CN102265659A CN102265659A CN2009801529236A CN200980152923A CN102265659A CN 102265659 A CN102265659 A CN 102265659A CN 2009801529236 A CN2009801529236 A CN 2009801529236A CN 200980152923 A CN200980152923 A CN 200980152923A CN 102265659 A CN102265659 A CN 102265659A
- Authority
- CN
- China
- Prior art keywords
- base station
- cell base
- hidden
- key
- femto cell
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1023—Media gateways
- H04L65/1026—Media gateways at the edge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
- H04W84/045—Public Land Mobile systems, e.g. cellular systems using private Base Stations, e.g. femto Base Stations, home Node B
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Multimedia (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
提供了用于解决不能在毫微微小区基站和UE之间的通信中保证安全通信的安全性的问题的通信系统。所述通信系统包括在IMS(IP多媒体子系统)网络中使用的UE(用户设备)和HLR(归属位置寄存器)以及构建预定通信区域的毫微微小区基站(毫微微AP)。所述毫微微小区基站存在于UE和HLR之间,在UE的认证期间从HLR获取与UE相对应的隐蔽密钥,并基于隐蔽密钥来执行用于隐蔽UE的身份的隐蔽处理。
Description
技术领域
本发明涉及用于通过毫微微小区基站来通信的通信系统、毫微微小区基站、认证设备、通信方法及记录介质。
背景技术
近年来,已开发了使用毫微微小区(femtocell)基站的通信系统来改善通信质量。
毫微微小区基站是覆盖半径约几十米的窄通信区域的小无线基站,并且毫微微小区基站在室内(例如在住宅或在办公室中)的安装可以改善室内的通信质量。因此,毫微微小区基站的安装允许在现有的宏小区(macrocell)基站无法通信的区域中的通信。此外,由于新安装宏小区基站不必要,因此,安装宏小区基站的费用可以降低。
目前,“现有3G网络”——一种用于通过现有宏小区基站来通信的通信网络被用作连接用户和通信提供者的通信网络(通信系统)。如果为了安装毫微微小区基站而安装与在现有3G网络中使用的通信基础结构不同的通信基础结构,则诸如高费用之类的各种负担被施加在用户和通信提供者身上。因此,优选的是使用在现有3G网络中使用的通信基础结构来开发可以使用毫微微小区基站的通信系统。
现有3G网络的技术示例包括与非专利文献1中描述的3GPP标准化有关的技术。
与非专利文献1中描述的3GPP标准化有关的技术例示了包括WLANUE和宏小区基站的通信系统。然而,在非专利文献1中,安装有毫微微小区基站的通信系统未被考虑。因此,即使毫微微小区基站被用作WLANUE,毫微微小区基站和在毫微微小区基站控制下的UE之间的通信也无法使用与3GPP标准化有关的技术来执行。
因此,在毫微微小区基站和UE之间的通信中,在与3GPP标准化有关的技术中被保证的安全通信无法被保证。
关于保证通信安全的相关技术的示例包括用于连接包括SIP功能的非IMS/MMD相容的终端与IMS/MMD网络的技术(参见专利文献1)。
还存在用于允许公共移动终端在使用IPsec保护SIP消息的同时使用公共移动通信服务和分机服务(extension service)二者的技术。
此外,存在与网络安全的认证系统有关的3GPP标准化的技术(参见非专利文献2)。
现有技术文件
专利文献
专利文献1:日本专利早期公开No.2008-219436
专利文献2:日本专利早期公开No.2008-228250
非专利文献
非专利文献1:3GPP TS 33.234 V8.0.0(2007-12)
非专利文献2:3GPP TS 33.102 V8.0.0(2008-06)
发明内容
<发明解决的问题>
然而,在文献中,没有与安装了毫微微小区基站的通信系统有关的描述,并且没有关于毫微微小区基站和UE之间的通信安全的保证的描述。此外,在文献中,也没有关于保证毫微微小区基站和UE之间的通信安全的必要性的建议或描述。
因此,在文献中,存在毫微微小区基站和UE之间的安全通信无法被保证的问题。
本发明的一个目的是提供用于解决在毫微微小区基站和UE之间的通信中无法保证通信安全的问题的通信系统、毫微微小区基站、认证设备、通信方法及程序。
<解决问题的手段>
根据本发明的通信系统包括在IMS(IP多媒体子系统)网络中使用的UE(用户设备)和HLR(归属位置寄存器)和构建预定通信区域的毫微微小区基站。所述毫微微小区基站存在于UE和HLR之间并且使用在UE的认证期间从HLR获取的与UE相对应的隐蔽密钥来执行用于隐蔽UE的身份的隐蔽处理。
根据本发明的毫微微小区基站构建预定的通信区域,其中所述毫微微小区基站使用在UE(用户设备)的认证期间从HLR(归属位置寄存器)获取的与UE相对应的隐蔽密钥并且执行用于隐蔽UE的身份的隐蔽处理。
根据本发明的认证设备认证UE,其中所述认证设备在UE的认证期间从HLR(归属位置寄存器)获取与UE相对应的隐蔽密钥并向毫微微小区基站发送包含所获取的隐蔽密钥的消息。
根据本发明的第一通信方法是由如下通信系统进行的通信方法,所述通信系统包括在IMS(IP多媒体子系统)网络中使用的UE(用户设备)和HLR(归属位置寄存器);以及构建预定通信区域的毫微微小区基站,所述毫微微小区基站存在于UE和HLR之间,其中所述毫微微小区基站在UE的认证期间从HLR获取与UE相对应的隐蔽密钥,并基于该隐蔽密钥来执行用于隐蔽UE的身份的隐蔽处理。
根据本发明的第二通信方法是由构建预定的通信区域的毫微微小区基站进行的通信方法,其中与UE相对应的隐蔽密钥在UE的认证期间从HLR被获取,并且用于隐蔽UE的身份的隐蔽处理基于该隐蔽密钥被执行。
根据本发明的第三通信方法是由认证UE的认证设备进行的通信方法,其中与UE相对应的隐蔽密钥在UE的认证期间从HLR(归属位置寄存器)被获取,并且包含所获取的隐蔽密钥的消息被发送到毫微微小区基站。
根据本发明的第一记录介质令构建预定的通信区域的毫微微小区基站执行以下处理:在UE的认证期间从HLR获取与UE相对应的隐蔽密钥并基于该隐蔽密钥来执行用于隐蔽UE的身份的隐蔽处理。
根据本发明的第二记录介质令认证UE的认证设备执行以下处理:在UE的认证期间从HLR(归属位置寄存器)获取与UE相对应的隐蔽密钥并执行向毫微微小区基站发送包含所获取的隐蔽密钥的消息的处理。
<发明的优点>
根据本发明,毫微微小区基站和UE之间的通信安全可以被保证。
附图说明
图1A是示出示例性实施例的通信系统的框图;
图1B是示出毫微微AP的配置示例的框图;
图1C是示出AAA的配置示例的框图;
图2是用于说明毫微微AP认证的操作的序列图;
图3是用于说明UE认证的操作的序列图;
图4是用于说明在WLAN UE和PDG之间构建IPsec隧道的方法的说明图;
图5是用于说明当毫微微AP被安装时的问题的说明图;
图6A是用于说明图2中说明的操作示例的说明图;并且
图6B是用于说明图3中说明的操作示例的说明图。
具体实施方式
以下,将参考附图来描述示例性实施例。
<通信系统的概要>
首先,将描述示例性实施例的通信系统的概要。
示例性实施例中的通信系统包括在IMS(IP多媒体子系统)网络中使用的UE(用户设备)和HLR(归属位置寄存器)以及构建预定通信区域的毫微微小区基站(毫微微AP)。毫微微小区基站(毫微微AP)存在于UE和HLR之间。
示例性实施例的毫微微小区基站(毫微微AP)的特征在于在UE的认证期间从HLR获取与UE相对应的隐蔽密钥(concealment key)并基于该隐蔽密钥来执行用于隐蔽UE的身份的隐蔽处理。这可以保证毫微微小区基站(毫微微AP)和UE之间的安全通信。
<通信系统的系统配置示例>
图1A是示出示例性实施例的通信系统的配置的框图。在图1A中,示例性实施例的通信系统包括UE(用户设备)1、毫微微AP(接入点)2、PDG(分组数据网关)3、AAA(认证授权计费)4、HSS(归属用户服务器)5、VLR(访问位置寄存器)6和HLR/AuC(归属位置寄存器/认证中心)7。
UE 1是诸如移动电话之类的通信终端设备。
毫微微AP 2也称为毫微微小区基站。毫微微AP 2是覆盖半径约几十米的窄通信区域的小无线基站。
图1B是示出毫微微AP 2的配置示例的框图。在图1B中,毫微微AP2包括第一通信器21和管理器22。
第一通信器21发送包含作为在毫微微AP 2的控制下的UE 1的身份的IMSI(UE_IMSI)和作为毫微微AP 2的身份的IMSI(Femto_IMSI)在内的请求以获取用于隐蔽UE 1的身份的隐蔽密钥。该请求是获取隐蔽密钥的请求并且是第一消息的示例。
管理器22基于隐蔽密钥来执行用于隐蔽UE 1的身份的隐蔽处理。
将再次描述图1A。PDG 3也称为中继设备。PDG 3在毫微微AP 2和AAA 4之间中继通信。PDG 3包括第二通信器31。
当从毫微微AP 2接收到请求时,第二通信器31向AAA 4发送请求。当包含与UE的IMSI相对应的隐蔽密钥的响应被从AAA 4接收到时,第二通信器31向毫微微AP 2发送响应。
AAA 4也称为认证设备。AAA 4在UE 1和网络之间执行认证处理。
图1C是示出AAA 4的配置示例的框图。AAA 4包括控制器40。当请求被从PDG 3接收到时,控制器40从HLR/Auc 7获取与请求中的UE 1的IMSI相对应的隐蔽密钥并向PDG 3发送包含所获取的隐蔽密钥的响应。更具体地,控制器40发送包含作为属性的、与请求中的UE 1的IMSI相对应的隐蔽密钥在内的响应。
控制器40包括获取器41、第一发生器42、第二发生器43、第三发生器44、第三通信器45和加密单元46。
获取器41从HLR/AUC 7获取与UE 1的IMSI相对应的RAND(随机挑战(Random challenge))、AUTN(认证令牌)、XRES(期待响应)、IK(完整性密钥)和CK(密码密钥)作为隐蔽密钥。
第一发生器42基于获取器41获取的IK和CK以及请求中的UE 1的IMSI来生成MK(主密钥)。
第二发生器43基于第一发生器42生成的MK来生成MSK(主会话密钥)、EMSK(扩展的主会话密钥)、K_encr和K_aut。
第三发生器44基于第二发生器43生成的K_aut来生成MAC(消息认证码)。
第三通信器45发送包含由第三发生器44生成的MAC、由获取器41获取的RAND和AUTN、以及由第一发生器42生成的IK和CK在内的响应作为隐蔽密钥。
加密单元46使用在毫微微AP 2的认证期间生成的与毫微微AP 2相对应的K_encr来加密CK和IK。第三通信器45发送包含在加密单元46中加密的CK和IK在内的响应。
将再次描述图1A。HSS 5是管理在IMS中使用的UE 1的订户信息的设备。
VLR 6是存储UE 1的订户信息的设备。HSS 5从HLR/AuC 7获取UE的订户信息并将所获取的UE 1的订户信息存储在VLR 6中以管理该信息。
HLR/AuC 7是管理UE 1的订户信息的设备。
<通信系统的操作>
接下来,将参考图2和图3来详细描述示例性实施例的通信系统的操作。图2是说明用于在毫微微AP 2和PDG 3之间构建IPsec隧道的操作(毫微微AP认证)的序列图,并且图3是说明用于执行在毫微微AP 2和UE 1之间隐蔽身份的3G隐蔽处理的操作(UE认证)的序列图。
<毫微微AP认证>
首先,将参考图2来描述毫微微AP认证的操作。
毫微微AP 2的第一通信器21向PDG 3发送包含毫微微AP 2的IMSI(Femto_IMSI)在内的IKE_AUTH请求(步骤S1)。例如,第一通信器21发送包含0<Femto_IMSI>realmname的NAI(网络接入标识符)在内的IKE_AUTH请求。NAI是用于标识网络的接入的信息。“<Femto_IMSI>”是用于标识毫微微AP的信息。
当IKE_AUTH请求被从毫微微AP 2接收到时,PDG 3的第二通信器31向AAA 4发送包含0<Femto_IMSI>realmname的NAI在内的请求(Diameter)(步骤S2)。该请求(Diameter)在被称为Diameter的协议中发送。
当请求(Diameter)被从PDG 3接收到时,AAA 4的获取器41从AAA 4获取与请求(Diameter)中的NAI中包含的Femto_IMSI相对应的认证向量值(RAND、AUTN、XRES、IK和CK)并在AAA 4中管理所获取的认证向量值(步骤S3)。AAA 4事先为每个Femto_IMSI保存指示与Femto_IMSI相对应的认证向量值的信息,并且获取器41从该信息中获取与NAI中包含的Femto_IMSI相对应的认证向量值。
认证向量值RAND、AUTN、XRES、IK和CK是符合3GPP的信息。更具体地,RAND表示随机挑战,AUTN表示认证令牌,XRES表示期待响应,IK表示完整性密钥,并且CK表示密码密钥。
AAA 4的第一发生器42基于由获取器41获取的IK和CK以及NAI中包含的身份(Femto_IMSI)来生成MK(主密钥)(步骤S4)。MK例如是通过符合RFC 4187的方法生成的。
AAA 4的第二发生器43基于由第一发生器42生成的MK来生成MSK(主会话密钥)、EMSK(扩展的主会话密钥)、K_encr和K_aut(步骤S5)。更具体地,第二发生器43将MK输入到PRF(伪随机数函数)以生成MSK、EMSK、K_encr和K_aut。
K_encr在加密期间使用,并且K_aut在认证期间使用。MSK、EMSK、K_encr和K_aut是利用符合RFC 4187的方法生成的。
AAA 4的第三发生器44基于由第二发生器43生成的毫微微AP 2的K_aut来生成MAC(消息认证码)。
AAA 4的第三通信器45发送由第三发生器44生成的MAC和包含由获取器41获取的RAND和AUTN在内的响应(Diameter)(步骤S6)。第三通信器45向响应(Diameter)的EAP净荷添加由获取器41获取的RAND和AUTN作为属性然后发送该响应(Diameter)。
当响应(Diameter)被从AAA 4接收到时,PDG 3的第二通信器31向毫微微AP 2发送包含响应(Diameter)中的MAC、RAND和AUTN在内的IKE_AUTH响应(步骤S7)。毫微微AP 2的第一通信器21接收IKE_AUTH响应。结果,毫微微AP 2可以获取与毫微微AP相对应的隐蔽密钥(MAC、RAND和AUTN)。
PDG 3的管理器22基于由第一通信器21接收的IKE_AUTH响应中的隐蔽密钥来与毫微微AP建立IPsec隧道(步骤S8)。IPsec隧道是通过符合3GPP的方法建立的。
以这种方式,在示例性实施例的通信系统中,毫微微AP 2向AAA 4发送毫微微AP 2的IMSI(Femto_IMSI)。AAA 4获取与Femto_IMSI相对应的认证向量值(RAND、AUTN、XRES、IK和CK)并基于认证向量值(RAND、AUTN、XRES、IK和CK)来生成与Femto_IMSI相对应的隐蔽密钥(MAC、RAND和AUTN)。AAA 4随后向毫微微AP 2发送与生成的Femto_IMSI相对应的隐蔽密钥(MAC、RAND和AUTN)。结果,IPsec隧道可以在毫微微AP 2和PDG 3之间建立。
<UE认证>
接下来,将参考图3来描述UE认证的操作。为了登记请求CS(电路交换)服务的位置,UE 1向毫微微AP 2发送位置更新请求(LocationUpdate Request)作为对认证的请求。
为了登记PS(分组交换)服务的位置,UE 1向毫微微AP 2发送RA更新请求(附加请求)作为对认证的请求。为了执行PDP激活,UE 1向毫微微AP 2发送激活PDP上下文请求(Activate PDP Context Request)作为对认证的请求。在以下处理操作中,UE 1向毫微微AP 2发送位置更新请求的情况将被描述。当UE 1发送RA更新请求(附加请求)或激活PDP上下文请求时,与以下操作相同的操作可被执行。
首先,UE 1向毫微微AP 2发送包含UE 1的IMSI(UE_IMSI)在内的位置更新请求(步骤A1)。
当位置更新请求被从UE 1接收到时,毫微微AP 2的第一通信器21向PDG 3发送包含位置更新请求中的UE_IMSI和毫微微AP 2的IMSI(Femto_IMSI)在内的IKE_AUTH请求(步骤A2)。由于第一通信器21已接收到位置更新请求,因此包含0CS0<UE_IMSI>/<Femto_IMSI>realmname的NAI在内的IKE_AUTH请求作为IKE_AUTH请求被发送。“0CS0”是表示CS服务的位置登记的信息。“<UE_IMSI>”是用于标识UE的信息。“<Femto_IMSI>”是用于标识毫微微AP的信息。
当激活PDP上下文请求被接收时,毫微微AP 2的第一通信器21发送包含0PDP0<UE_IMSI>/<Femto_IMSI>realmname的NAI在内的IKE_AUTH请求。“0PDP0”是指示PDP激活的信息。
当IKE_AUTH请求被接收时,PDG 3的第二通信器31向AAA 4发送包含0CS0<UE_IMSI>/<Femto_IMSI>realmname的NAI在内的请求(Diameter)(步骤A3)。
当请求(Diameter)被接收时,AAA 4的获取器41从HLR/AuC获取与请求(Diameter)中的NAI中包含的UE_IMSI相对应的认证向量值(RAND、AUTN、XRES、IK和CK)并管理所获取的认证向量值(步骤A4)。
AAA 4的第一发生器42基于与由获取器41获取的请求(Diameter)中的UE_IMSI和身份(UE_IMSI)相对应的IK和CK来生成MK(主密钥)(步骤A5)。MK可以使用符合RFC 4187的方法来生成。
AAA 4的第二发生器43基于由第一发生器42生成的MK来生成MSK(主会话密钥)、EMSK(扩展的主会话密钥)、K_encr和K_aut(步骤A6)。更具体地,第二发生器43将MK输入到PRF(伪随机数函数)以生成MSK(主会话密钥)、EMSK(扩展的主会话密钥)、K_encr和K_aut(步骤A6)。
MSK、EMSK、K_encr和K_aut例如是使用符合RFC 4187的方法来生成的。
AAA 4的加密单元46对由获取器41获取的IK和CK进行加密(步骤A7)。毫微微AP 2的K_encr被用于加密。这是因为UE 1的K_encr仅能辨认AAA 4和UE1,如果UE 1的K_encr被用于加密,则毫微微AP 2无法解密与UE相对应的隐蔽密钥。因此,加密单元46使用毫微微AP 2的K_encr来加密IK和CK以便毫微微AP 2能够解密UE 1的隐蔽密钥。
AAA 4的第三发生器44基于由第二发生器43生成的UE 1的K_aut来生成MAC(消息认证码)。AAA 4的第三通信器45向响应(Diameter)的EAP净荷添加由获取器41获取的RAND和AUTN、由加密单元46加密的IK和CK、以及由第二发生器43生成的MAC。第三发生器45向PDG 3发送响应(Diameter)(步骤A8)。这允许AAA 4将包含作为属性的MAC、RAND、AUTN、IK和CK在内的请求(Diameter)分发到毫微微AP 2。
当响应(Diameter)被接收时,PDG 3的第二通信器31向毫微微AP2发送包含响应(Diameter)中的MAC、RAND、AUTN、IK和CK在内的IKE_AUTH响应(步骤A9)。毫微微AP 2的第一通信器21接收IKE_AUTH响应。结果,毫微微AP 2获取与UE 1相对应的隐蔽密钥(MAC、RAND、AUTN、IK和CK)。
毫微微AP 2的管理器22随后执行UE 1与毫微微AP 2之间的对UE 1的隐蔽处理(步骤A10)。UE 1的隐蔽处理是通过符合3GPP的方法来执行的。
以这种方式,在示例性实施例的通信系统中,UE 1向毫微微AP 2发送UE 1的IMSI(UE_IMSI)。毫微微AP 2向AAA 4发送UE 1的IMSI(UE_IMSI)和毫微微AP 2的IMSI(Femto_IMSI)。AAA 4获取与UE_IMSI相对应的认证向量值(RAND、AUTN、XRES、IK和CK)并使用认证向量值(RAND、AUTN、XRES、IK和CK)来生成与UE_IMSI相对应的MSK、EMSK、K_encr、K_aut、IK和CK。AAA 4还使用与UE_IMSI相对应的K_aut来生成与UE_IMSI相对应的MAC。AAA 4随后向毫微微AP 2发送与UE_IMSI相对应的隐蔽密钥(MAC、RAND、AUTN、IK和CK)。
这允许毫微微AP 2保存与UE相对应的加密密钥,并且UE 1的隐蔽处理可以在毫微微AP 2和UE1之间执行。
非专利文献1公开了在WLAN UE和PDG之间构建IPsec隧道的方法。在该方法中,如图4所示,PDG保存与WLAN UE相对应的加密密钥并且能够使用该加密密钥来在UE和PDG之间构建IPsec隧道。
假设毫微微AP 2是非专利文献1中公开的WLAN UE(参见图4)并且与非专利文献中公开的3GPP标准化有关的技术被使用,则PDG 3如图5所示保存与毫微微AP 2相对应的加密密钥并且能够使用该加密密钥来在毫微微AP 2和PDG 3之间构建IPsec隧道。
这种情况下,如图5所示,用于隐蔽UE 1的身份的3G隐蔽处理是必要的,因为UE 1存在于毫微微AP 2之下。然而,在WLAN系统中,由于不需要执行3G隐蔽处理,所以3G隐蔽处理的加密密钥的传送不被考虑。
因此,作为对解决该问题的修改和深入研究的各种尝试的结果,本发明人已开发了在示例性实施例中描述的技术。
具体地,毫微微AP 2和PDG 3之间的安全通信的安全性被参考图2来描述的毫微微AP认证确保。更具体地,如图6A所示,PDG 3保存与毫微微AP 2相对应的加密密钥并使用该加密密钥来在毫微微AP和PDG之间构建IPsec隧道。这可以保证毫微微AP和PDG之间的安全通信。
毫微微AP和UE之间的安全通信被参考图3来描述的UE认证确保。更具体地,与UE相对应的加密密钥被从AAA 4分发到毫微微AP 2,并且如图6B所示,毫微微AP 2保存与UE相对应的加密密钥并使用该加密密钥来在UE 1和毫微微AP 2之间执行UE隐蔽处理。这可以保证毫微微AP 2和UE 1之间的安全通信。
以这种方式,图1所示的安装有毫微微AP 2的通信系统还可保证毫微微AP 2和UE 1之间的通信安全。
示例性实施例是本发明的优选实施例。本发明不限于仅仅示例性实施例,而是可以以应用了不脱离本发明范围的各种改变的形式来执行。
例如,本说明书中给出的非专利文献1和2是示例,并且示例性实施例中的通信系统不依赖于非专利文献1和2中描述的3GPP的版本。
包含示例性实施例中的通信系统的设备的功能可通过硬件、软件或硬件和软件的组合结构来实现。
为了使用软件来实现设备的功能,用于实现功能的程序可被记录在计算机可读记录介质上,并且计算机可读出并运行记录在记录介质中的程序。
计算机可读记录介质表示诸如软盘、磁光盘和CD-ROM之类的记录介质,或者诸如计算机系统中包含的硬盘设备之类的记录设备。计算机可读记录介质还包括例如当程序通过互联网被发送时、短时间动态地保存程序的事物(传输介质或传输波),以及当程序通过互联网被发送时、保存程序某个时间段的东西(如用作服务器的计算机中的易失性存储器)。
示例性实施例中的通信系统不仅可按根据示例性实施例中描述的操作的顺序来执行处理,而且该设备还可根据运行处理的设备的处理能力或者按照需要基于运行处理的设备来并列地或单独地执行处理。
虽然已参考示例性实施例描述了本发明,但是本发明不限于示例性实施例。可在本发明的范围内对本发明的配置和细节做出本领域技术人员可理解的各种改变。
工业适用性
本发明可应用于使用毫微微小区基站的服务。
本申请要求2008年12月26日递交的日本专利申请No.2008-333622的优先权,该日本专利申请的全部内容通过引用结合于此。
Claims (14)
1.一种通信系统,包括:在IMS(IP多媒体子系统)网络中使用的UE(用户设备)和HLR(归属位置寄存器);以及构建预定通信区域的毫微微小区基站,其中
所述毫微微小区基站存在于所述UE和所述HLR之间,在所述UE的认证期间从所述HLR获取与所述UE相对应的隐蔽密钥,并且基于所述隐蔽密钥来执行用于隐蔽所述UE的身份的隐蔽处理。
2.根据权利要求1所述的通信系统,还包括:
认证设备,所述认证设备认证所述UE;以及
中继设备,所述中继设备在所述认证设备和所述毫微微小区基站之间中继通信,其中
所述毫微微小区基站包括第一通信装置,所述第一通信装置用于向所述中继设备发送包含所述UE的IMSI和所述毫微微小区基站的IMSI在内的第一消息,
所述中继设备包括第二通信装置,所述第二通信装置用于在所述第一消息被从所述毫微微小区基站接收到时向所述认证设备发送所述第一消息并且在包含与所述UE的IMSI相对应的隐蔽密钥在内的第二消息被从所述认证设备接收到时向所述毫微微小区基站发送所述第二消息,并且
所述认证设备包括控制装置,所述控制装置用于在所述第一消息被从所述中继设备接收到时从所述HLR获取与所述第一消息中的所述UE的所述IMSI相对应的隐蔽密钥并将包含所获取的隐蔽密钥在内的第二消息发送到所述中继设备。
3.根据权利要求2所述的通信系统,其中
所述控制装置向所述中继设备发送包含作为属性的、与所述UE的所述IMSI相对应的隐蔽密钥在内的第二消息。
4.根据权利要求2或3所述的通信系统,其中
所述控制装置包括:
获取装置,所述获取装置用于从所述HLR获取与所述UE的IMSI相对应的RAND(随机挑战)、AUTN(认证令牌)、XRES(期待响应)、IK(完整性密钥)和CK(密码密钥)作为隐蔽密钥;
第一发生装置,所述第一发生装置用于基于由所述获取装置获取的IK和CK和所述第一消息中的所述UE的IMSI来生成MK(主密钥);
第二发生装置,所述第二发生装置用于基于由所述第一发生装置生成的MK来生成MSK(主会话密钥)、EMSK(扩展的主会话密钥)、K_encr和K_aut;
第三发生装置,所述第三发生装置用于基于所述第二发生装置生成的K_aut来生成MAC(消息认证码);以及
第三通信装置,所述第三通信装置用于发送包含由所述第三发生装置生成的MAC、由所述获取装置获取的RAND和AUTN、以及由所述第一发生装置生成的IK和CK在内的第二消息作为隐蔽密钥。
5.根据权利要求4所述的通信系统,其中
所述第三通信装置发送包含作为属性的MAC、RAND、AUTN、CK和IK在内的第二消息。
6.根据权利要求2至5中任一个所述的通信系统,其中
所述控制装置使用在所述毫微微小区基站的认证期间生成的加密密钥来加密所述隐蔽密钥并将包含加密后的隐蔽密钥在内的第二消息发送到所述中继设备。
7.根据权利要求5或6所述的通信系统,其中
所述控制装置还包括加密装置,所述加密装置用于使用在所述毫微微小区基站的认证期间生成的与所述毫微微小区基站相对应的K_encr来加密CK和IK,并且
所述第三通信装置发送包含由所述加密装置加密的CK和IK在内的第二消息。
8.一种构建预定的通信区域的毫微微小区基站,其中
所述毫微微小区基站在UE(用户设备)的认证期间从HLR(归属位置寄存器)获取与所述UE相对应的隐蔽密钥,并基于所述隐蔽密钥来执行用于隐蔽所述UE的身份的隐蔽处理。
9.一种认证UE(用户设备)的认证设备,其中
所述认证设备在所述UE的认证期间从HLR(归属位置寄存器)获取与所述UE相对应的隐蔽密钥并向毫微微小区基站发送包含所获取的隐蔽密钥的消息。
10.一种由通信系统进行的通信方法,所述通信系统包括:在IMS(IP多媒体子系统)网络中使用的UE(用户设备)和HLR(归属位置寄存器);以及构建预定通信区域的毫微微小区基站,所述毫微微小区基站存在于所述UE和所述HLR之间,其中
所述毫微微小区基站在所述UE的认证期间从所述HLR获取与所述UE相对应的隐蔽密钥,并基于所述隐蔽密钥来执行用于隐蔽所述UE的身份的隐蔽处理。
11.一种由构建预定的通信区域的毫微微小区基站进行的通信方法,其中
与UE相对应的隐蔽密钥在所述UE的认证期间从HLR被获取,并且
用于隐蔽所述UE的身份的隐蔽处理基于所述隐蔽密钥被执行。
12.一种由认证UE的认证设备进行的通信方法,其中
与所述UE相对应的隐蔽密钥在所述UE的认证期间从HLR(归属位置寄存器)被获取,并且
包含所获取的隐蔽密钥的消息被发送到毫微微小区基站。
13.一种计算机可读记录介质,所述计算机可读记录介质记录供计算机在UE的认证期间从HLR获取与所述UE相对应的隐蔽密钥并基于所述隐蔽密钥来执行用于隐蔽所述UE的身份的隐蔽处理的程序。
14.一种计算机可读记录介质,所述计算机可读记录介质记录供计算机在UE的认证期间从HLR(归属位置寄存器)获取与所述UE相对应的隐蔽密钥并执行向毫微微小区基站发送包含所获取的隐蔽密钥的消息的处理的程序。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008333622A JP2010157807A (ja) | 2008-12-26 | 2008-12-26 | 通信システム、フェムトセル用基地局、認証装置、通信方法及び通信プログラム |
| JP2008-333622 | 2008-12-26 | ||
| PCT/JP2009/071394 WO2010074122A1 (ja) | 2008-12-26 | 2009-12-24 | 通信システム、フェムトセル用基地局、認証装置、通信方法および記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102265659A true CN102265659A (zh) | 2011-11-30 |
| CN102265659B CN102265659B (zh) | 2015-06-24 |
Family
ID=42287729
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980152923.6A Expired - Fee Related CN102265659B (zh) | 2008-12-26 | 2009-12-24 | 通信系统、毫微微小区基站、认证设备及通信方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9055437B2 (zh) |
| EP (1) | EP2384039A4 (zh) |
| JP (1) | JP2010157807A (zh) |
| CN (1) | CN102265659B (zh) |
| WO (1) | WO2010074122A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102892170A (zh) * | 2012-09-19 | 2013-01-23 | 邦讯技术股份有限公司 | 一种终端获取核心网ip的方法及系统 |
| CN103957023A (zh) * | 2014-05-16 | 2014-07-30 | 江苏新瑞峰信息科技有限公司 | 3g信号的收发设备和方法 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013247447A (ja) * | 2012-05-24 | 2013-12-09 | Nec Corp | サービス制御装置、中継装置、フェムトセル用基地局、通信システム、制御方法、および、プログラム |
| WO2014109602A1 (en) | 2013-01-11 | 2014-07-17 | Lg Electronics Inc. | Method and apparatus for applying security information in wireless communication system |
| ES2598378T3 (es) * | 2013-01-30 | 2017-01-27 | Telefonaktiebolaget L M Ericsson (Publ) | Generación de claves de seguridad para conectividad dual |
| EP3135052B1 (en) * | 2014-06-19 | 2023-05-31 | Huawei Technologies Co., Ltd. | Method for communication between femto access points and femto access point |
| US10382206B2 (en) * | 2016-03-10 | 2019-08-13 | Futurewei Technologies, Inc. | Authentication mechanism for 5G technologies |
| US10873464B2 (en) | 2016-03-10 | 2020-12-22 | Futurewei Technologies, Inc. | Authentication mechanism for 5G technologies |
| US10887295B2 (en) * | 2016-10-26 | 2021-01-05 | Futurewei Technologies, Inc. | System and method for massive IoT group authentication |
| US11540125B2 (en) * | 2017-03-17 | 2022-12-27 | Nec Corporation | Authentication device, network device, communication system, authentication method, and non-transitory computer readable medium |
| FR3076149B1 (fr) * | 2017-12-27 | 2019-11-15 | Atos Integration | Procede de securisation de bout en bout d'une communication |
| JP7064984B2 (ja) * | 2018-07-17 | 2022-05-11 | シャープ株式会社 | 通信システム及びアクセス方法 |
| CN112188612B (zh) * | 2020-10-22 | 2022-07-22 | 中国联合网络通信集团有限公司 | 微基站注册方法、服务器及微基站 |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100421501C (zh) | 2004-06-09 | 2008-09-24 | 华为技术有限公司 | 防止无线公话的可移动的用户识别模块卡用于手机的方法 |
| JP4499526B2 (ja) * | 2004-10-19 | 2010-07-07 | 富士通株式会社 | 携帯電話端末間のデータ伝送路確立システム |
| US20090067417A1 (en) * | 2007-07-14 | 2009-03-12 | Tatara Systems, Inc. | Method and apparatus for supporting SIP/IMS-based femtocells |
| US8670493B2 (en) * | 2005-06-22 | 2014-03-11 | Eices Research, Inc. | Systems and/or methods of increased privacy wireless communications |
| EP1911311B1 (en) | 2005-08-01 | 2017-06-28 | Ubiquisys Limited | Automatic base station configuration |
| JP2007228383A (ja) | 2006-02-24 | 2007-09-06 | Teruhiro Nakao | 公衆無線インターネットアクセスサービス事業を支援する無線通信システム |
| CN101064606A (zh) | 2006-04-29 | 2007-10-31 | 华为技术有限公司 | 一种用于鉴权的系统、装置及方法 |
| EP1865656A1 (en) * | 2006-06-08 | 2007-12-12 | BRITISH TELECOMMUNICATIONS public limited company | Provision of secure communications connection using third party authentication |
| US20080076425A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for resource management |
| US20080076392A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for securing a wireless air interface |
| US8036664B2 (en) * | 2006-09-22 | 2011-10-11 | Kineto Wireless, Inc. | Method and apparatus for determining rove-out |
| US7995994B2 (en) * | 2006-09-22 | 2011-08-09 | Kineto Wireless, Inc. | Method and apparatus for preventing theft of service in a communication system |
| US8073428B2 (en) * | 2006-09-22 | 2011-12-06 | Kineto Wireless, Inc. | Method and apparatus for securing communication between an access point and a network controller |
| US8204502B2 (en) * | 2006-09-22 | 2012-06-19 | Kineto Wireless, Inc. | Method and apparatus for user equipment registration |
| JP4697895B2 (ja) | 2007-03-03 | 2011-06-08 | Kddi株式会社 | Ims/mmdネットワークへの代理接続方法、アダプタ及びプログラム |
| JP4941027B2 (ja) | 2007-03-16 | 2012-05-30 | 株式会社日立製作所 | 公衆移動網と連携した屋内呼制御装置 |
| US8230035B2 (en) * | 2007-10-04 | 2012-07-24 | Alcatel Lucent | Method for authenticating mobile units attached to a femtocell that operates according to code division multiple access |
| US8428554B2 (en) * | 2007-10-04 | 2013-04-23 | Alcatel Lucent | Method for authenticating a mobile unit attached to a femtocell that operates according to code division multiple access |
| TW200931913A (en) | 2007-10-04 | 2009-07-16 | Lucent Technologies Inc | Method for authenticating a mobile unit attached to a femtocell that operates according to code division multiple access |
| JP5167759B2 (ja) * | 2007-10-24 | 2013-03-21 | 日本電気株式会社 | 通信システム、通信方法、認証情報管理サーバおよび小型基地局 |
| JP4592769B2 (ja) * | 2008-02-27 | 2010-12-08 | 京セラ株式会社 | 基地局および移動機 |
| JP5277712B2 (ja) * | 2008-05-12 | 2013-08-28 | 富士通株式会社 | 無線端末および無線端末における接続方法 |
| US8522312B2 (en) * | 2008-05-13 | 2013-08-27 | At&T Mobility Ii Llc | Access control lists and profiles to manage femto cell coverage |
| JP5245692B2 (ja) * | 2008-09-29 | 2013-07-24 | 富士通株式会社 | 通信装置および接続方法 |
| KR20100048846A (ko) * | 2008-10-30 | 2010-05-11 | 엘지전자 주식회사 | 무선 통신 시스템에서 초기 접속 방법 |
| JP2010118752A (ja) * | 2008-11-11 | 2010-05-27 | Hitachi Ltd | ネットワークシステム、dhcpサーバ装置、及びdhcpクライアント装置 |
| US8509166B2 (en) * | 2010-01-28 | 2013-08-13 | Tti Inventions D Llc | System and method for resource allocation of a LTE network integrated with femtocells |
| CN102340773A (zh) * | 2010-07-28 | 2012-02-01 | 国基电子(上海)有限公司 | Femto存取点及利用其减少用户在IMS网络中认证时间的方法 |
| US8750098B2 (en) * | 2010-07-28 | 2014-06-10 | At&T Intellectual Property I, L.P. | Femtocell service through a secondary connection |
| ES2524543T3 (es) * | 2010-08-09 | 2014-12-10 | Nec Europe Ltd. | Aparato y procedimiento para gestión de movilidad local en una red de femtocélulas agrupadas |
| CN103139833B (zh) * | 2011-11-23 | 2015-12-02 | 中磊电子(苏州)有限公司 | 毫微微基站的拥塞控制方法 |
-
2008
- 2008-12-26 JP JP2008333622A patent/JP2010157807A/ja active Pending
-
2009
- 2009-12-24 EP EP09834920.2A patent/EP2384039A4/en not_active Withdrawn
- 2009-12-24 WO PCT/JP2009/071394 patent/WO2010074122A1/ja active Application Filing
- 2009-12-24 CN CN200980152923.6A patent/CN102265659B/zh not_active Expired - Fee Related
- 2009-12-24 US US13/124,679 patent/US9055437B2/en not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102892170A (zh) * | 2012-09-19 | 2013-01-23 | 邦讯技术股份有限公司 | 一种终端获取核心网ip的方法及系统 |
| CN103957023A (zh) * | 2014-05-16 | 2014-07-30 | 江苏新瑞峰信息科技有限公司 | 3g信号的收发设备和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110268277A1 (en) | 2011-11-03 |
| JP2010157807A (ja) | 2010-07-15 |
| CN102265659B (zh) | 2015-06-24 |
| WO2010074122A1 (ja) | 2010-07-01 |
| EP2384039A4 (en) | 2013-11-06 |
| EP2384039A1 (en) | 2011-11-02 |
| US9055437B2 (en) | 2015-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102265659B (zh) | 通信系统、毫微微小区基站、认证设备及通信方法 | |
| CN107079023B (zh) | 用于下一代蜂窝网络的用户面安全 | |
| KR102315881B1 (ko) | 사용자 단말과 진화된 패킷 코어 간의 상호 인증 | |
| US10931644B2 (en) | Methods, network nodes, mobile entity, computer programs and computer program products for protecting privacy of a mobile entity | |
| JP5390619B2 (ja) | Homenode−b装置およびセキュリティプロトコル | |
| CN101455053B (zh) | 对应用进行认证 | |
| EP2039199B1 (en) | User equipment credential system | |
| CN108880813B (zh) | 一种附着流程的实现方法及装置 | |
| KR100879982B1 (ko) | 모바일 와이맥스 네트워크 시스템에서의 보안 시스템 및방법 | |
| US20130114463A1 (en) | System and Method for Domain Name Resolution for Fast Link Setup | |
| KR20060067263A (ko) | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 | |
| CN108012266B (zh) | 一种数据传输方法及相关设备 | |
| WO2020088026A1 (zh) | 一种基于通用引导架构gba的认证方法及相关设备 | |
| WO2018010150A1 (zh) | 一种认证方法和认证系统 | |
| Agarwal et al. | Operator-based over-the-air M2M wireless sensor network security | |
| WO2013152740A1 (zh) | 用户设备的认证方法、装置及系统 | |
| US20120254615A1 (en) | Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network | |
| US20170078288A1 (en) | Method for accessing communications network by terminal, apparatus, and communications system | |
| Abdrabou | Robust pre-authentication protocol for wireless network | |
| KR101272576B1 (ko) | I-wlan에 접속할 수 있는 안드로이드 단말,및 안드로이드 단말의 i-wlan 접속 방법 | |
| Vargic et al. | Provisioning of VoIP services for mobile subscribers using WiFi access network | |
| KR101338486B1 (ko) | I-wlan의 게이트웨이 및 그의 호 추적 방법 | |
| Gu et al. | Improved one-pass IP Multimedia Subsystem authentication for UMTS | |
| Dinckan et al. | Authentication and ciphering in GPRS Network | |
| Niemi | Issues with applying cryptography in Wireless systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150624 Termination date: 20181224 |