CN102655641B - 安全隧道建立方法和基站 - Google Patents
安全隧道建立方法和基站 Download PDFInfo
- Publication number
- CN102655641B CN102655641B CN201110049584.8A CN201110049584A CN102655641B CN 102655641 B CN102655641 B CN 102655641B CN 201110049584 A CN201110049584 A CN 201110049584A CN 102655641 B CN102655641 B CN 102655641B
- Authority
- CN
- China
- Prior art keywords
- base station
- shared key
- core network
- equipment
- mobility management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种安全隧道建立方法和基站,该安全隧道建立方法包括:第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥;所述第一基站为家庭基站时,所述第二基站为家庭基站或宏基站;或者,所述第一基站为宏基站时,所述第二基站为家庭基站;所述第一基站通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道,以保证所述第一基站与所述第二基站之间接口的安全性。本发明实施例中,第一基站可以通过获得的用于验证第二基站证书的根证书或第二基站与第一基站之间的共享密钥与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种安全隧道建立方法和基站。
背景技术
对于企业网和校园网等多家庭基站(Home NodeB/Home evolvedNodeB;以下简称:H(e)NB)部署的场景,H(e)NB之间的切换将会频繁发生。为了保证业务的连续性,提高H(e)NB之间切换的成功率和减少切换时延,现有技术在H(e)NB之间建立直接接口来支持H(e)NB之间的移动性增强,而不通过安全网关(Security Gateway;以下简称:SeGW)。
在现有的宏网络中,对于基站(evolved NodeB;以下简称:eNB)之间的直接接口,eNB之间可以通过证书认证的方式建立IPSec隧道来保证eNB之间直接接口的安全性。
但是,对于H(e)NB之间的直接接口,或者eNB与H(e)NB之间的接口,无法采用上述方式保证接口的安全性。
发明内容
本发明实施例提供一种安全隧道建立方法和基站,以实现家庭基站与家庭基站之间,或者家庭基站与宏基站之间通过共享密钥或证书方式建立因特网协议安全(Internet Protocol Security;以下简称:IPsec)隧道,保证家庭基站与家庭基站之间,或者家庭基站与宏基站之间接口的安全性。
本发明实施例提供一种安全隧道建立方法,包括:
第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥;所述第一基站为家庭基站时,所述第二基站为家庭基站或宏基站;或者,所述第一基站为宏基站时,所述第二基站为家庭基站;
所述第一基站通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道,以保证所述第一基站与所述第二基站之间接口的安全性。
本发明实施例还提供一种第一基站,包括:
获得模块,用于获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥;
建立模块,用于通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道,以保证所述第一基站与所述第二基站之间接口的安全性。
通过本发明实施例,第一基站可以获得用于验证第二基站证书的根证书或第二基站与第一基站之间的共享密钥,这样,第一基站就可以通过上述共享密钥或者上述用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明安全隧道建立方法一个实施例的流程图;
图2为本发明安全隧道建立方法另一个实施例的流程图;
图3为本发明安全隧道建立方法另一个实施例的流程图;
图4为本发明安全隧道建立方法另一个实施例的流程图;
图5为本发明共享密钥更新方法一个实施例的流程图;
图6为本发明共享密钥更新方法另一个实施例的流程图;
图7为本发明安全隧道建立方法另一个实施例的流程图;
图8为本发明安全隧道建立方法另一个实施例的流程图;
图9为本发明第一基站一个实施例的结构示意图;
图10为本发明第一基站另一个实施例的结构示意图;
图11为本发明第一基站另一个实施例的结构示意图;
图12为本发明第一基站另一个实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明安全隧道建立方法一个实施例的流程图,如图1所示,该安全隧道建立方法可以包括:
步骤101,第一基站获得用于验证第二基站证书的根证书(RootCertificate)或者第二基站与该第一基站之间的共享密钥(Shared Key)。
本实施例中,当第一基站为家庭基站时,第二基站可以为家庭基站或宏基站;或者,当第一基站为宏基站时,第二基站可以为家庭基站;也就是说,第一基站和第二基站中至少有一个为家庭基站即可。其中,宏基站可以为eNB或其他类型的宏基站;家庭基站可以为HeNB或HNB,本实施例对此不作限定。
步骤102,第一基站通过上述共享密钥或者上述用于验证第二基站证书的根证书与第二基站建立IPsec隧道,以保证第一基站与第二基站之间接口的安全性。
本实施例的一种实现方式中,第一基站获得用于验证第二基站证书的根证书或者第二基站与该第一基站之间的共享密钥可以为:第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网设备为第二基站与第一基站生成的共享密钥。
本实现方式中,在核心网设备设置的共享密钥周期到期之后,第一基站可以接收核心网设备发送的该核心网设备为第二基站与第一基站生成的更新后的共享密钥;或者,在第一基站设置的共享密钥周期到期之后,第一基站可以向核心网设备请求更新共享密钥,然后接收核心网设备发送的该核心网设备根据第一基站的请求生成的更新后的共享密钥;或者,第一基站向第二基站发起因特网密钥交换(Internet Key Exchange;以下简称:IKE)协商时,如果发现第一基站或第二基站没有可用的共享密钥,则第一基站可以向核心网设备请求更新共享密钥,然后接收核心网设备发送的该核心网设备根据第一基站的请求生成的更新后的共享密钥。
本实现方式中,当核心网设备为移动性管理实体(Mobility ManagementEntity;以下简称:MME)或家庭演进基站网关(HeNB Gateway;以下简称:HeNB GW)时,第一基站可以接收MME或HeNB GW发送的MME或HeNBGW为第二基站与第一基站生成的共享密钥;或者,
在第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网设备为第二基站与第一基站生成的共享密钥之前,第一基站还可以向MME或HeNB GW发送基站配置转发消息;这样,第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网设备为第二基站与第一基站生成的共享密钥可以为:第一基站接收MME或HeNB GW发送的移动性管理实体配置转发消息,该移动性管理实体配置转发消息中携带上述用于验证第二基站证书的根证书,或者MME或HeNB GW为第一基站和第二基站生成的共享密钥;该移动性管理实体配置转发消息是MME或HeNB GW接收到上述基站配置转发消息之后,根据该基站配置转发消息中的源节点标识和目的节点标识确定该基站配置转发消息的源节点和/或目标节点为家庭演进基站之后,将用于验证第一基站证书的根证书,或者MME或HeNB GW为第一基站和第二基站生成的共享密钥发送给第二基站,在接收到第二基站发送的基站配置转发消息之后发送给第一基站的。
本实现方式中,当核心网设备为家庭基站网关(HNB Gateway;以下简称:HNB GW)时,第一基站可以接收HNB GW发送的该HNB GW为第二基站与第一基站生成的共享密钥;或者,
第一基站接收核心网设备发送的该核心网设备为第二基站与第一基站生成的共享密钥之前,第一基站注册到HNB GW之后,如果检测到第二基站注册到该HNB GW,则第一基站可以向HNB GW请求第二基站的因特网协议(Internet Protocol;以下简称:IP)地址;这时,第一基站接收核心网设备发送的该核心网设备为第二基站与第一基站生成的共享密钥可以为:第一基站接收HNB GW发送的响应消息,该响应消息携带第二基站的IP地址和该HNBGW预先为第一基站与第二基站生成的共享密钥。另外,第一基站接收核心网设备发送的核心网设备为第二基站与第一基站生成的共享密钥之前,第一基站可以注册到上述HNB GW,并向该HNB GW发送第一基站检测到的邻区家庭基站的信息,该第一基站的邻区家庭基站包括第二基站;这样,第一基站接收核心网设备发送的核心网设备为第二基站与第一基站生成的共享密钥可以为:第一基站接收HNB GW发送的该HNB GW上可用的邻区家庭基站的信息,以及该HN GW为第一基站与第一基站的邻区家庭基站生成的共享密钥。
本实现方式中,在HNB GW发现该HN GW控制的邻区家庭基站的信息没有更新到第一基站,且该HNB GW上没有第一基站与更新后的邻区家庭基站的共享密钥之后,第一基站可以接收HNB GW通过家庭基站配置转发流程发送的更新后的邻区家庭基站的信息,以及该HNB GW为第一基站与更新后的邻区家庭基站生成的共享密钥。
本实现方式中,当核心网设备为HNB GW时,第一基站接收核心网设备发送的用于验证第二基站证书的根证书之前,第一基站可以向HNB GW发送家庭基站注册请求消息,这样,第一基站接收核心网设备发送的用于验证第二基站证书的根证书可以为:第一基站接收HNB GW发送的家庭基站注册接受消息,该家庭基站注册接受消息携带上述用于验证第二基站证书的根证书。
本实现方式中,当核心网设备为家庭基站管理系统(H(e)NB ManagementSystem;以下简称:H(e)MS)时,第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网设备为第二基站与第一基站生成的共享密钥之前,第一基站可以先与安全网关之间建立IPsec隧道;这样,第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网设备为第二基站与第一基站生成的共享密钥可以为:在H(e)MS对第一基站的位置验证成功之后,第一基站接收H(e)MS通过家庭基站供应流程发送的上述用于验证第二基站证书的根证书或者H(e)MS为第一基站与第一基站的邻区家庭基站生成的共享密钥;其中,该第一基站的邻区家庭基站包括第二基站。
本实施例的另一种实现方式中,第一基站获得第二基站与第一基站之间的共享密钥之前,第一基站可以向MME或HeNB GW发送基站配置转发消息,该基站配置转发消息携带第一基站的迪非-赫尔曼(Diffie-Hellman;以下简称:DH)组号和DH值,以便MME或HeNB GW将第一基站的DH组号和DH值携带在第一移动性管理实体配置转发消息中发送给第二基站;然后,第一基站可以接收MME或HeNB GW发送的第二移动性管理实体配置转发消息,该第二移动性管理实体配置转发消息携带第二基站选择的DH组号和DH值,该第二移动性管理实体配置转发消息是MME或HeNB GW接收到第二基站发送的携带第二基站选择的DH组号和DH值的基站配置转发消息之后发送给第一基站的;这样,第一基站获得第二基站与第一基站之间的共享密钥可以为:第一基站根据上述第二基站选择的DH组号和DH值生成上述共享密钥。
上述实施例中,第一基站可以获得用于验证第二基站证书的根证书或第二基站与第一基站之间的共享密钥,这样,第一基站就可以通过上述共享密钥或者用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。
图2为本发明安全隧道建立方法另一个实施例的流程图,本实施例以第一基站为HeNB1,第二基站为HeNB2,核心网设备为MME或HeNB GW为例进行说明。本实施例中,MME或HeNB GW需具有共享密钥生成和分发功能,MME或HeNB GW可以通过配置转发(Configuration Transfer)功能来完成共享密钥的分发。配置转发功能是一个通过核心网在两个基站之间请求和传送配置信息(例如:IP地址等)的功能。MME或HeNB GW可以通过移动性管理实体配置转发(MME Configuration Transfer)消息向建立直接接口的HeNB1与HeNB2分发共享密钥。
如图2所示,该安全隧道建立方法可以包括:
步骤201,HeNB1希望与HeNB2建立直接接口时,HeNB1向MME或HeNB GW发送基站配置转发(eNB Configuration Transfer)消息,以请求对端HeNB2的IP地址。
步骤202,MME或HeNB GW确定该基站配置转发消息的源节点和/或目标节点是HeNB之后,MME或HeNB GW为HeNB1和HeNB2生成共享密钥。
具体地,MME或HeNB GW可以通过基站配置转发消息中的源节点标识和目的节点标识来确定该基站配置转发消息的源节点和/或目标节点是HeNB。本实施例中,该基站配置转发消息的源节点为HeNB1,目标节点为HeNB2,因此该基站配置转发消息的源节点和目标节点均为HeNB。
步骤203,MME或HeNB GW向HeNB2发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带MME或HeNB GW为HeNB1和HeNB2生成的共享密钥。
步骤204,HeNB2向MME或HeNB GW发送基站配置转发消息,该基站配置转发消息中携带HeNB2的IP地址。
步骤205,MME或HeNB GW向HeNB1发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带MME或HeNB GW为HeNB1和HeNB2生成的共享密钥,以及HeNB2的IP地址。
步骤206,HeNB1与HeNB2通过上述共享密钥进行IKE协商,在HeNB1与HeNB2之间建立IPSec隧道,以保证HeNB1与HeNB2之间直接接口的安全性。
本实施例中,在以下情况下需要更新共享密钥:
(1)MME或HeNB GW设置共享密钥周期,在MME或HeNB GW设置的共享密钥周期到期之后,MME或HeNB GW生成新的共享密钥,并通过专用消息或移动性管理实体配置转发消息将更新后的共享密钥发送给HeNB1和HeNB2;
(2)HeNB1或HeNB2上设置共享密钥周期,在HeNB1或HeNB2设置的共享密钥周期到期之后,HeNB1或HeNB2可以通过专用消息或基站配置转发消息向MME或HeNB GW请求更新共享密钥,MME或HeNB GW生成新的共享密钥之后,可以通过专用消息或移动性管理实体配置转发消息将更新后的共享密钥发送给HeNB1和HeNB2;
(3)HeNB1向HeNB2发起IKE协商时,如果发现HeNB1或HeNB2没有可用的共享密钥,则HeNB1可以通过专用消息或基站配置转发消息向MME或HeNB GW请求更新共享密钥,MME或HeNB GW生成新的共享密钥之后,可以通过专用消息或移动性管理实体配置转发消息将更新后的共享密钥发送给HeNB1和HeNB2。
上述实施例中,HeNB1可以获得MME或HeNB GW为HeNB1与HeNB2生成的共享密钥,进而HeNB1可以通过上述共享密钥与HeNB2建立IPsec隧道,从而可以保证HeNB1与HeNB2之间直接接口的安全性。
图3为本发明安全隧道建立方法另一个实施例的流程图,本实施例以第一基站为HNB1,第二基站为HNB2,核心网设备为HNB GW为例进行说明。本实施例中,HNB GW需具有共享密钥生成和分发功能,HNB GW可以通过家庭基站配置转发(HNB Configuration Transfer)功能来完成共享密钥的分发。家庭基站配置转发功能提供了HNB获取邻区HNB的IP地址的方法,HNB可以利用HNB GW发送的IP地址与邻区HNB建立直接接口。进而HNB可以利用HNB GW发送给HNB的家庭基站应用协议注册接受(HNBApplication Protocol Registration Accept;以下简称:HNBAP RegistrationAccept)消息、家庭基站配置转发响应(HNB Configuration Transfer Response)消息或者家庭基站配置转发请求(HNB Configuration Transfer Request)消息等将HNB GW生成的共享密钥分发给相应的邻区HNB。
如图3所示,该安全隧道建立方法可以包括:
步骤301,HNB1进入运行模式,已经在HNB GW注册。
步骤302,HNB2进入运行模式,并对邻区进行检测,获得HNB2的邻区HNB。
其中,该HNB2的邻区HNB包括HNB1。
步骤303,HNB2向HNB GW注册,并将HNB2的IP地址,以及该HNB2检测到的邻区HNB的信息发送给HNB GW。
步骤304,HNB GW保存HNB2的IP地址以及HNB2检测到的邻区HNB的信息,然后HNB GW为HNB2以及该HNB2的邻区HNB生成共享密钥。
步骤305,HNB GW向HNB2发送该HNB GW上可用的邻区HNB的信息,同时将HNB GW为HNB2以及该HNB2的邻区HNB生成的共享密钥发给HNB2。
步骤306,HNB1检测到HNB2。
步骤307,HNB1向HNB GW发送家庭基站配置转发请求消息来请求HNB2的IP地址。
步骤308,HNB GW向HNB1发送家庭基站配置转发响应消息,该家庭基站配置转发响应消息携带HNB2的IP地址,以及HNB GW预先为HNB1和HNB2生成的共享密钥。
具体地,如果在发送家庭基站配置转发响应消息之前,HNB GW上已有HNB GW为HNB1和HNB2生成的共享密钥,则HNB GW可以直接将该共享密钥携带在家庭基站配置转发响应消息中发送给HNB1;如果在发送家庭基站配置转发响应消息之前,HNB GW上还没有为HNB1和HNB2生成共享密钥,则HNB GW需要在发送家庭基站配置转发响应消息之前,先为HNB1和HNB2生成共享密钥,再将该共享密钥携带在家庭基站配置转发响应消息中发送给HNB1。
步骤309,HNB GW在某个时间点发现该HNB GW控制的邻区HNB的信息没有更新到HNB1,并且HNB GW上没有HNB1和更新后的邻区HNB的共享密钥,则HNB GW为HNB1和更新后的邻区HNB生成共享密钥。
步骤310,HNB-GW发起家庭基站配置转发流程向HNB1提供更新后的邻区HNB的信息,同时将HNB GW为HNB1和更新后的邻区HNB生成的共享密钥发送给HNB1。
步骤311,可选地,HNB1可以向HNB GW提供更新的邻区HNB的信息。
本实施例中,HNB1与HNB2后续可以通过HNB GW分发的共享密钥来建立IPSec隧道,以保证HNB1与HNB2之间直接接口的安全性。
需要说明的是,对于一个HNB来说,上述步骤301~步骤312可以不全部执行,只执行部分步骤也可,例如:可以只执行步骤302、步骤303、步骤304、步骤305、步骤309、步骤310和步骤311,或者,可以只执行步骤301、步骤306、步骤307、步骤308、步骤309、步骤310和步骤311。但是不论执行全部步骤,还是部分步骤,均可以使两个相邻的HNB获得共享密钥。
本实施例中,在以下情况下需要更新共享密钥:
(1)HNB GW设置共享密钥周期,在HNB GW设置的共享密钥周期到期之后,HNB GW生成新的共享密钥,并通过专用消息或家庭基站配置转发请求消息将更新后的共享密钥发送给HNB1和HNB2;
(2)HNB1或HNB2上设置共享密钥周期,在HNB1或HNB2设置的共享密钥周期到期之后,HNB1或HNB2可以通过专用消息或家庭基站配置转发请求消息向HNB GW请求更新共享密钥,HNB GW生成新的共享密钥之后,可以通过专用消息或家庭基站配置转发响应消息将更新后的共享密钥发送给HNB1和HNB2;
(3)HNB1向HNB2发起IKE协商时,如果发现HNB1或HNB2没有可用的共享密钥,则HNB1可以通过专用消息或家庭基站配置转发请求消息向HNB GW请求更新共享密钥,HNB GW生成新的共享密钥之后,可以通过专用消息或家庭基站配置转发响应消息将更新后的共享密钥发送给HNB1和HNB2。
上述实施例中,HNB1可以获得HNB GW为HNB1与HNB2生成的共享密钥,进而HNB1可以通过上述共享密钥与HNB2建立IPsec隧道,从而可以保证HNB1与HNB2之间直接接口的安全性。
图4为本发明安全隧道建立方法另一个实施例的流程图,本实施例以基站为H(e)NB,核心网设备为H(e)MS为例进行说明。本实施例中,H(e)MS具有共享密钥生成和分发功能,H(e)MS可以在家庭基站供应(H(e)NBProvision)流程中,H(e)MS可以为H(e)NB与该H(e)NB的邻区H(e)NB生成共享密钥,然后将共享密钥与邻区列表一起提供给H(e)NB。
如图4所示,该安全隧道建立方法可以包括:
步骤401,H(e)NB和安全网关之间建立IPSec隧道。
步骤402,H(e)MS对H(e)NB进行位置验证,位置验证成功之后,H(e)MS通过家庭基站供应流程向H(e)NB发送配置参数,该配置参数中包括H(e)NB的邻区H(e)NB的信息,以及H(e)MS预先为H(e)NB与该H(e)NB的邻区H(e)NB生成的共享密钥。
具体地,如果在发送配置参数之前,H(e)MS上已有H(e)MS为H(e)NB生成的共享密钥,则H(e)MS可以直接将该共享密钥携带在配置参数中发送给H(e)NB;如果在发送配置参数之前,H(e)MS上还没有为H(e)NB生成共享密钥,则H(e)MS需要在发送配置参数之前,先为H(e)NB生成共享密钥,再将该共享密钥携带在配置参数中发送给H(e)NB。
本实施例中,在H(e)NB设置的共享密钥周期到期或者H(e)NB的邻区更新之后,或者H(e)NB向邻区H(e)NB发起IKE协商,发现该H(e)NB或邻区H(e)NB没有可用的共享密钥之后,H(e)NB可以通过专用消息向H(e)MS请求更新共享密钥;或者,在H(e)MS设置的共享密钥周期到期或者该H(e)MS发现H(e)NB的邻区更新之后,该H(e)MS可以主动通过家庭基站供应流程或者专用消息向H(e)NB发送更新后的共享密钥。
图5为本发明共享密钥更新方法一个实施例的流程图,如图5所示,该共享密钥更新方法可以包括:
步骤501,H(e)NB发现该H(e)NB设置的共享密钥周期到期或者H(e)NB的邻区进行了更新,或者H(e)NB向该H(e)NB的邻区H(e)NB发起IKE协商,发现该H(e)NB或邻区H(e)NB没有可用的共享密钥。
步骤502,H(e)NB向H(e)MS请求更新共享密钥。
步骤503,H(e)MS为H(e)NB与该H(e)NB的邻区H(e)NB生成更新后的共享密钥。
步骤504,H(e)MS通过家庭基站供应流程或者专用消息向H(e)NB发送更新后的共享密钥。
图6为本发明共享密钥更新方法另一个实施例的流程图,如图6所示,该共享密钥更新方法可以包括:
步骤601,H(e)MS发现该H(e)MS设置的共享密钥周期到期或者该H(e)MS发现H(e)NB的邻区进行了更新。
步骤602,H(e)MS为H(e)NB与该H(e)NB的邻区H(e)NB生成更新后的共享密钥。
步骤603,H(e)MS通过家庭基站供应流程或者专用消息向H(e)NB发送更新后的共享密钥。
上述实施例中,H(e)NB可以获得H(e)MS为H(e)NB与该H(e)NB的邻区H(e)NB生成的共享密钥,进而H(e)NB可以通过上述共享密钥与该H(e)NB的邻区H(e)NB建立IPsec隧道,从而可以保证H(e)NB与该H(e)NB的邻区H(e)NB之间直接接口的安全性。
图7为本发明安全隧道建立方法另一个实施例的流程图,本实施例以第一基站为HeNB1,第二基站为HeNB2,核心网设备为MME或HeNB GW为例进行说明。
步骤701,HeNB1希望与HeNB2建立直接接口时,HeNB1向MME或HeNB GW发送基站配置转发消息,以请求对端HeNB2的IP地址。
本实施例中,为了在HeNB1与HeNB2之间协商一个共享密钥,HeNB1还可以在基站配置转发消息中携带DH组号和DH值。
步骤702,MME或HeNB GW向HeNB2发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带HeNB1发送的DH组号和DH值。
步骤703,HeNB2向MME或HeNB GW发送基站配置转发消息,该基站配置转发消息中携带HeNB2的IP地址,以及HeNB2选择的DH组号和DH值。
步骤704,MME或HeNB GW向HeNB1发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带HeNB2选择的DH组号和DH值,以及HeNB2的IP地址。
步骤705,HeNB1与HeNB2根据HeNB2选择的DH组号和DH值生成共享密钥,通过该共享密钥建立IPSec隧道,以保证HNB1与HNB2之间直接接口的安全性。
上述实施例中,HeNB1与HeNB2可以根据选择的DH组号和DH值生成共享密钥,进而可以通过该共享密钥建立IPSec隧道,从而可以保证HeNB1与HeNB2之间直接接口的安全性。
图8为本发明安全隧道建立方法另一个实施例的流程图,本实施例以第一基站为HeNB1,第二基站为HeNB2,核心网设备为MME或HeNB GW为例进行说明。
步骤801,HeNB1希望与HeNB2建立直接接口时,HeNB1向MME或HeNB GW发送基站配置转发消息,以请求对端HeNB2的IP地址。
步骤802,MME或HeNB GW确定该基站配置转发消息的源节点和/或目标节点是HeNB之后,MME或HeNB GW向HeNB2发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带可用于验证HeNB1的证书的根证书。
具体地,MME或HeNB GW可以通过基站配置转发消息中的源节点标识和目的节点标识来确定该基站配置转发消息的源节点和/或目标节点是HeNB。本实施例中,该基站配置转发消息的源节点为HeNB1,目标节点为HeNB2,因此该基站配置转发消息的源节点和目标节点均为HeNB。
步骤803,HeNB2向MME或HeNB GW发送基站配置转发消息,该基站配置转发消息中携带HeNB2的IP地址。
步骤804,MME或HeNB GW向HeNB1发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带可用于验证HeNB2证书的根证书,以及HeNB2的IP地址。
步骤805,HeNB1与HeNB2通过证书认证方式建立IPSec隧道,以保证HeNB1与HeNB2之间直接接口的安全性。
上述实施例中,HeNB1与HeNB2可以获得MME或HeNB GW发送的可用于验证对端证书的根证书,这样,HeNB1与HeNB2就可以通过证书认证方式建立IPsec隧道,从而可以保证HeNB1与HeNB2之间直接接口的安全性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图9为本发明第一基站一个实施例的结构示意图,本实施例中的第一基站可以实现本发明图1所示实施例的流程。如图9所示,该第一基站可以包括:
获得模块901,用于获得用于验证第二基站证书的根证书或者第二基站与第一基站之间的共享密钥;具体地,获得模块901可以接收核心网设备发送的用于验证第二基站证书的根证书或者该核心网设备为第二基站与第一基站生成的共享密钥。
建立模块902,用于通过上述共享密钥或者上述用于验证第二基站证书的根证书与第二基站建立IPsec隧道,以保证第一基站与第二基站之间直接接口的安全性。
本实施例中,当第一基站为家庭基站时,第二基站可以为家庭基站或宏基站;或者,当第一基站为宏基站时,第二基站可以为家庭基站;也就是说,第一基站和第二基站中至少有一个为家庭基站即可。其中,宏基站可以为eNB或其他类型的宏基站;家庭基站可以为HeNB或HNB,本实施例对此不作限定。
上述实施例中,获得模块901可以获得用于验证第二基站证书的根证书或第二基站与第一基站之间的共享密钥,这样,建立模块902就可以通过上述共享密钥或者上述用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。
图10为本发明第一基站另一个实施例的结构示意图,本实施例中的第一基站可以实现本发明图1和图4所示实施例的流程,与图9所示的第一基站相比,不同之处在于,图10所示的第一基站还可以包括:接收模块903;或者,接收模块903和请求模块904;或者,协商模块905、请求模块904和接收模块903。
其中,接收模块903,用于在核心网设备设置的共享密钥周期到期之后,接收该核心网设备发送的该核心网设备为第二基站与第一基站生成的更新后的共享密钥。
请求模块904,用于在第一基站设置的共享密钥周期到期之后,向核心网设备请求更新共享密钥;这时,接收模块903还可以接收核心网设备发送的该核心网设备根据第一基站的请求生成的更新后的共享密钥。
协商模块905,用于向第二基站发起IKE协商;这时,请求模块904还可以在协商模块905在发起因特网密钥交换协商时,如果协商模块905发现第一基站或第二基站没有可用的共享密钥,则向核心网设备请求更新共享密钥;接收模块903还可以接收核心网设备发送的该核心网设备根据第一基站的请求生成的更新后的共享密钥。
上述第一基站可以通过上述共享密钥或者用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。
图11为本发明第一基站另一个实施例的结构示意图,本实施例中的第一基站可以实现本发明图1、图2、图7和图8所示实施例的流程。与图10所示的第一基站相比,不同之处在于,图11所示的第一基站还可以包括:
发送模块906,用于向移动性管理实体或家庭演进基站网关发送基站配置转发消息;
本实施例中,获得模块901可以接收移动性管理实体或家庭演进基站网关发送的移动性管理实体配置转发消息,该移动性管理实体配置转发消息中携带上述用于验证第二基站证书的根证书,或者移动性管理实体或家庭演进基站网关为第一基站和第二基站生成的共享密钥。
其中,该移动性管理实体配置转发消息是移动性管理实体或家庭演进基站网关接收到基站配置转发消息之后,根据该基站配置转发消息中的源节点标识和目的节点标识确定上述基站配置转发消息的源节点和/或目标节点为家庭演进基站之后,将用于验证第一基站证书的根证书,或者移动性管理实体或家庭演进基站网关为第一基站和第二基站生成的共享密钥发送给第二基站,在接收到第二基站发送的基站配置转发消息之后发送给第一基站的。
本实施例中,发送模块906还可以向移动性管理实体或家庭演进基站网关发送基站配置转发消息,该基站配置转发消息携带第一基站的DH组号和DH值,以便移动性管理实体或家庭演进基站网关将第一基站的DH组号和DH值携带在第一移动性管理实体配置转发消息中发送给第二基站;这时,接收模块903还可以接收移动性管理实体或家庭演进基站网关发送的第二移动性管理实体配置转发消息,该第二移动性管理实体配置转发消息携带第二基站选择的DH组号和DH值,该第二移动性管理实体配置转发消息是移动性管理实体或家庭演进基站网关接收到第二基站发送的携带第二基站选择的DH组号和DH值的基站配置转发消息之后发送给第一基站的。
本实施例中,获得模块901可以根据第二基站选择的DH组号和DH值生成共享密钥。
上述第一基站可以通过共享密钥或者用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。
图12为本发明第一基站另一个实施例的结构示意图,本实施例中的第一基站可以作为HNB,或者HNB的一部分实现本发明图1和图3所示实施例的流程。与图11所示的第一基站相比,不同之处在于,本发明图12所示实施例的一种实现方式中,第一基站还可以包括:
注册模块907,用于注册到家庭基站网关;
检测模块908,用于在注册模块907注册到家庭基站网关之后,检测到第二基站注册到上述家庭基站网关;
这时,请求模块904还可以向家庭基站网关请求第二基站的IP地址;获得模块901可以接收家庭基站网关发送的响应消息,该响应消息携带第二基站的IP地址和家庭基站网关预先为第一基站与第二基站生成的共享密钥。
本实施例的另一种实现方式中,发送模块906还可以向家庭基站网关发送第一基站检测到的邻区家庭基站的信息,该第一基站的邻区家庭基站包括第二基站;这时,获得模块901可以接收家庭基站网关发送的该家庭基站网关上可用的邻区家庭基站的信息,以及该家庭基站网关为第一基站与第一基站的邻区家庭基站生成的共享密钥。
上述第一基站可以通过共享密钥或者用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (16)
1.一种安全隧道建立方法,其特征在于,包括:
第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥;所述第一基站为家庭基站时,所述第二基站为家庭基站或宏基站;或者,所述第一基站为宏基站时,所述第二基站为家庭基站;所述第一基站的根证书与所述第二基站的根证书不同;
所述第一基站通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道,以保证所述第一基站与所述第二基站之间接口的安全性;
其中,所述第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥包括:
所述第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者所述核心网设备为所述第二基站与所述第一基站生成的共享密钥。
2.根据权利要求1所述的方法,其特征在于,所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之后,还包括:
在所述核心网设备设置的共享密钥周期到期之后,所述第一基站接收所述核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的更新后的共享密钥。
3.根据权利要求1所述的方法,其特征在于,所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之后,还包括:
在所述第一基站设置的共享密钥周期到期之后,所述第一基站向所述核心网设备请求更新共享密钥,接收所述核心网设备发送的所述核心网设备根据所述第一基站的请求生成的更新后的共享密钥;或者,
所述第一基站向所述第二基站发起因特网密钥交换协商时,如果发现所述第一基站或所述第二基站没有可用的共享密钥,则所述第一基站向所述核心网设备请求更新共享密钥,接收所述核心网设备发送的所述核心网设备根据所述第一基站的请求生成的更新后的共享密钥。
4.根据权利要求1或3所述的方法,其特征在于,所述核心网设备包括移动性管理实体或家庭演进基站网关;
所述第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之前,还包括:
所述第一基站向所述移动性管理实体或家庭演进基站网关发送基站配置转发消息;
所述第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括:
所述第一基站接收所述移动性管理实体或所述家庭演进基站网关发送的移动性管理实体配置转发消息,所述移动性管理实体配置转发消息中携带所述用于验证第二基站证书的根证书,或者所述移动性管理实体或所述家庭演进基站网关为所述第一基站和所述第二基站生成的共享密钥;
所述移动性管理实体配置转发消息是所述移动性管理实体或所述家庭演进基站网关接收到所述基站配置转发消息之后,根据所述基站配置转发消息中的源节点标识和目的节点标识确定所述基站配置转发消息的源节点和/或目标节点为家庭演进基站之后,将用于验证第一基站证书的根证书,或者所述移动性管理实体或所述家庭演进基站网关为所述第一基站和所述第二基站生成的共享密钥发送给所述第二基站,在接收到所述第二基站发送的基站配置转发消息之后发送给所述第一基站的。
5.根据权利要求1或3所述的方法,其特征在于,所述核心网设备包括家庭基站网关;
所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之前,还包括:
所述第一基站注册到所述家庭基站网关之后,检测到所述第二基站注册到所述家庭基站网关;
所述第一基站向所述家庭基站网关请求所述第二基站的因特网协议地址;
所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括:
所述第一基站接收所述家庭基站网关发送的响应消息,所述响应消息携带所述第二基站的因特网协议地址和所述家庭基站网关为所述第一基站与所述第二基站生成的共享密钥。
6.根据权利要求1或3所述的方法,其特征在于,所述核心网设备包括家庭基站网关;
所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之前,还包括:
所述第一基站注册到所述家庭基站网关,并向所述家庭基站网关发送所述第一基站检测到的邻区家庭基站的信息,所述第一基站的邻区家庭基站包括所述第二基站;
所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括:
所述第一基站接收所述家庭基站网关发送的所述家庭基站网关上可用的邻区家庭基站的信息,以及所述家庭基站网关为所述第一基站与所述第一基站的邻区家庭基站生成的共享密钥。
7.根据权利要求1或3所述的方法,其特征在于,所述核心网设备包括家庭基站网关;
所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括:
在所述家庭基站网关发现所述家庭基站网关控制的邻区家庭基站的信息没有更新到所述第一基站,且所述家庭基站网关上没有所述第一基站与更新后的邻区家庭基站的共享密钥之后,所述第一基站接收所述家庭基站网关通过家庭基站配置转发流程发送的更新后的邻区家庭基站的信息,以及所述家庭基站网关为所述第一基站与所述更新后的邻区家庭基站生成的共享密钥。
8.根据权利要求1所述的方法,其特征在于,所述第一基站获得第二基站与所述第一基站之间的共享密钥之前,还包括:
所述第一基站向移动性管理实体或家庭演进基站网关发送基站配置转发消息,所述基站配置转发消息携带所述第一基站的迪非-赫尔曼(DH)组号和DH值,以便所述移动性管理实体或家庭演进基站网关将所述第一基站的DH组号和DH值携带在第一移动性管理实体配置转发消息中发送给所述第二基站;
所述第一基站接收所述移动性管理实体或所述家庭演进基站网关发送的第二移动性管理实体配置转发消息,所述第二移动性管理实体配置转发消息携带所述第二基站选择的DH组号和DH值,所述第二移动性管理实体配置转发消息是所述移动性管理实体或所述家庭演进基站网关接收到所述第二基站发送的携带所述第二基站选择的DH组号和DH值的基站配置转发消息之后发送给所述第一基站的;
所述第一基站获得第二基站与所述第一基站之间的共享密钥包括:
所述第一基站根据所述第二家庭演进基站选择的DH组号和DH值生成所述共享密钥。
9.一种第一基站,其特征在于,包括:
获得模块,用于获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥;所述第一基站的根证书与所述第二基站的根证书不同;
建立模块,用于通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道,以保证所述第一基站与所述第二基站之间接口的安全性;
其中,所述获得模块具体用于接收核心网设备发送的用于验证第二基站证书的根证书或者所述核心网设备为所述第二基站与所述第一基站生成的共享密钥。
10.根据权利要求9所述的基站,其特征在于,还包括:
接收模块,用于在所述核心网设备设置的共享密钥周期到期之后,接收所述核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的更新后的共享密钥。
11.根据权利要求10所述的基站,其特征在于,还包括:
请求模块,用于在所述第一基站设置的共享密钥周期到期之后,向所述核心网设备请求更新共享密钥;
所述接收模块,还用于接收所述核心网设备发送的所述核心网设备根据所述第一基站的请求生成的更新后的共享密钥。
12.根据权利要求11所述的基站,其特征在于,还包括:
协商模块,用于向所述第二基站发起因特网密钥交换协商;
所述请求模块,还用于在所述协商模块在发起因特网密钥交换协商时,如果所述协商模块发现所述第一基站或所述第二基站没有可用的共享密钥,则向所述核心网设备请求更新共享密钥。
13.根据权利要求12所述的基站,其特征在于,还包括:
发送模块,用于向移动性管理实体或家庭演进基站网关发送基站配置转发消息;
所述获得模块,具体用于接收所述移动性管理实体或所述家庭演进基站网关发送的移动性管理实体配置转发消息,所述移动性管理实体配置转发消息中携带所述用于验证第二基站证书的根证书,或者所述移动性管理实体或所述家庭演进基站网关为所述第一基站和所述第二基站生成的共享密钥。
14.根据权利要求13所述的基站,其特征在于,还包括:
注册模块,用于注册到家庭基站网关;
检测模块,用于在所述注册模块注册到所述家庭基站网关之后,检测到所述第二基站注册到所述家庭基站网关;
所述请求模块,还用于向所述家庭基站网关请求所述第二基站的因特网协议地址;
所述获得模块,具体用于接收所述家庭基站网关发送的响应消息,所述响应消息携带所述第二基站的因特网协议地址和所述家庭基站网关预先为所述第一基站与所述第二基站生成的共享密钥。
15.根据权利要求13所述的基站,其特征在于,
所述发送模块,还用于向所述家庭基站网关发送所述第一基站检测到的邻区家庭基站的信息,所述第一基站的邻区家庭基站包括所述第二基站;
所述获得模块,具体用于接收所述家庭基站网关发送的所述家庭基站网关上可用的邻区家庭基站的信息,以及所述家庭基站网关为所述第一基站与所述第一基站的邻区家庭基站生成的共享密钥。
16.根据权利要求13所述的基站,其特征在于,
所述发送模块,还用于向移动性管理实体或家庭演进基站网关发送基站配置转发消息,所述基站配置转发消息携带所述第一基站的迪非-赫尔曼(DH)组号和DH值,以便所述移动性管理实体或家庭演进基站网关将所述第一基站的DH组号和DH值携带在第一移动性管理实体配置转发消息中发送给所述第二基站;
所述接收模块,还用于接收所述移动性管理实体或所述家庭演进基站网关发送的第二移动性管理实体配置转发消息,所述第二移动性管理实体配置转发消息携带所述第二基站选择的DH组号和DH值,所述第二移动性管理实体配置转发消息是所述移动性管理实体或所述家庭演进基站网关接收到所述第二基站发送的携带所述第二基站选择的DH组号和DH值的基站配置转发消息之后发送给所述第一基站的;
所述获得模块,具体用于根据所述第二基站选择的DH组号和DH值生成所述共享密钥。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110049584.8A CN102655641B (zh) | 2011-03-01 | 2011-03-01 | 安全隧道建立方法和基站 |
| PCT/CN2012/071242 WO2012116599A1 (zh) | 2011-03-01 | 2012-02-17 | 安全隧道建立方法和基站 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110049584.8A CN102655641B (zh) | 2011-03-01 | 2011-03-01 | 安全隧道建立方法和基站 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102655641A CN102655641A (zh) | 2012-09-05 |
| CN102655641B true CN102655641B (zh) | 2015-09-30 |
Family
ID=46731158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110049584.8A Active CN102655641B (zh) | 2011-03-01 | 2011-03-01 | 安全隧道建立方法和基站 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102655641B (zh) |
| WO (1) | WO2012116599A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DK2951975T3 (en) * | 2013-01-30 | 2016-10-24 | ERICSSON TELEFON AB L M (publ) | GENERATION OF SECURITY KEY TO BICONNECTIVITY |
| WO2015003353A1 (zh) * | 2013-07-11 | 2015-01-15 | 华为技术有限公司 | 一种通信方法及装置 |
| US10142323B2 (en) * | 2016-04-11 | 2018-11-27 | Huawei Technologies Co., Ltd. | Activation of mobile devices in enterprise mobile management |
| CN112565302A (zh) * | 2020-12-29 | 2021-03-26 | 北京中电飞华通信有限公司 | 基于安全网关的通信方法、系统及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101437223A (zh) * | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种家庭基站接入的方法、系统和装置 |
| CN101909297A (zh) * | 2010-08-20 | 2010-12-08 | 中兴通讯股份有限公司 | 一种接入网络设备之间的相互认证方法和接入网络设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801705B (zh) * | 2005-01-07 | 2011-01-05 | 华为技术有限公司 | 一种预认证方法 |
| EP1909520A1 (en) * | 2006-10-02 | 2008-04-09 | Matsushita Electric Industrial Co., Ltd. | Transmission and reception of system information upon changing connectivity or point of attachment in a mobile communication system |
| CN101309503A (zh) * | 2007-05-17 | 2008-11-19 | 华为技术有限公司 | 无线切换方法、基站及终端 |
| CN101540999B (zh) * | 2008-03-19 | 2012-04-25 | 华为技术有限公司 | 一种建立安全数据隧道的方法及设备 |
| CN101257723A (zh) * | 2008-04-08 | 2008-09-03 | 中兴通讯股份有限公司 | 密钥生成方法、装置及系统 |
-
2011
- 2011-03-01 CN CN201110049584.8A patent/CN102655641B/zh active Active
-
2012
- 2012-02-17 WO PCT/CN2012/071242 patent/WO2012116599A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101437223A (zh) * | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种家庭基站接入的方法、系统和装置 |
| CN101909297A (zh) * | 2010-08-20 | 2010-12-08 | 中兴通讯股份有限公司 | 一种接入网络设备之间的相互认证方法和接入网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102655641A (zh) | 2012-09-05 |
| WO2012116599A1 (zh) | 2012-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2663107B1 (en) | Key generating method and apparatus | |
| JP6574238B2 (ja) | デバイスを別のデバイスのネットワークサブスクリプションと関係付けること | |
| KR101931601B1 (ko) | 무선 통신 시스템에서 단말과의 통신 인증을 위한 보안키 관리하는 방법 및 장치 | |
| US20190274072A1 (en) | Communication system, security device, communication terminal, and communication method | |
| KR101871090B1 (ko) | Dc (이중 접속성) 를 위한 장치, 시스템 및 방법 | |
| CN101772106B (zh) | 数据传输路径的控制方法和系统、移动性管理网元和终端 | |
| EP2681948B1 (en) | Improved neighbour cell relation | |
| CN102348206B (zh) | 密钥隔离方法和装置 | |
| CN111225427B (zh) | 一种通过网关建立x2的方法 | |
| CN104041098A (zh) | 用于ieee 802.11网络的sta和接入点之间的加速的链路设置的方法和装置 | |
| CN102017686A (zh) | 家用基站连接网络的泛在接入 | |
| WO2015015300A2 (en) | Method of supporting security handling for dual connectivity | |
| CN105228171A (zh) | 异构网络中双连接小基站的自配置方法和系统 | |
| KR20110019715A (ko) | 홈 기지국 간의 관계에 대한 정보를 송수신하는 방법 | |
| US20170164244A1 (en) | Path switching method, mobility anchor, and base station | |
| CN102655641B (zh) | 安全隧道建立方法和基站 | |
| KR20110023893A (ko) | 상이한 기술 유형들의 네트워크들 사이에서 정보를 전송하기 위한 방법 | |
| CN104519594A (zh) | 连接建立方法与装置、系统 | |
| WO2006021236A1 (en) | Method and apparatus for supporting secure handover | |
| CN101645877A (zh) | 密钥衍生函数的协商方法、系统及网络节点 | |
| CN102595532A (zh) | 无线中继系统中切换类型选择方法及系统 | |
| CN105101154A (zh) | 一种设备到设备授权信息配置方法、装置及网元设备 | |
| CN102238669B (zh) | 一种通过家用基站HeNB进行X2切换的方法 | |
| WO2017016450A1 (en) | Ultra dense network security architecture and method | |
| KR20120096703A (ko) | 이동통신 시스템에서 피코 게이트웨이의 연결 관리를 위한 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |