CN102843678A - 接入控制方法、装置、接口及安全网关 - Google Patents
接入控制方法、装置、接口及安全网关 Download PDFInfo
- Publication number
- CN102843678A CN102843678A CN2011101682485A CN201110168248A CN102843678A CN 102843678 A CN102843678 A CN 102843678A CN 2011101682485 A CN2011101682485 A CN 2011101682485A CN 201110168248 A CN201110168248 A CN 201110168248A CN 102843678 A CN102843678 A CN 102843678A
- Authority
- CN
- China
- Prior art keywords
- gateway
- access control
- control related
- network side
- network elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Abstract
本发明公开了一种接入控制方法、装置、接口及安全网关,安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息;H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证,并向安全网关发送接入认证答复消息;安全网关接收H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。与现有技术相比,本发明完善了现有的H(e)NB系统的安全架构,提供了H(e)NB-GW相关的高效的安全解决方案,解决了H(e)NB系统中由于H(e)NB身份假冒带来的各种安全威胁,增加了H(e)NB系统的安全性。
Description
技术领域
本发明涉及无线蜂窝通信技术领域,尤其涉及一种接入控制方法、装置、接口及安全网关。
背景技术
HNB(Home Node-B,家庭基站)用来为处在家庭内的3G(第三代移动通信系统)手机提供3G的无线覆盖。它被连接到已经存在的住宅宽带服务。它包含了一个标准的Node B(3G宏无线接入网络的一个元素)的功能和一个标准的RNC(Radio Network Controller,无线网络控制器)的无线资源管理功能。
图1描述了HNB的系统结构。其中3GPP(3rd Generation PartnershipProject,第三代合作企业项目)用户设备和HNB之间的界面在UTRAN(Universal Terrestrial Radio Access Network,全球陆地无线接入网)中是回程且相容的空中接口。HNB通过一个SeGW(security gateway,安全网关)接入运营商的核心网,其中HNB和SeGW之间的宽带IP(Internet Protocol,英特网协议)回程可能是不安全的。在此回程中传播的信息要被HNB和SeGW之间建立的安全通道保护。SeGW代表运营商的核心网和HNB进行相互认证。HNB-GW(HNB Gateway)和SeGW是在运营商的核心网内逻辑上分离的实体,用于非CSG(Closed Subscriber Group)的UE(UserEquipment)的接入控制。H(e)MS需要安全的通信。
图2描述了HeNB的系统结构。HeNB和HNB的区别就是它是连接3GPP用户设备和EUTRAN(Evolved Universal Terrestrial Radio AccessNetwork)的空中接口。HeNB-GW(Home eNodeB Gateway,HeNB网关)为选择性部署。如果HeNB-GW被部署,则SeGW与HeNB-GW可以结合在一起;如果它们未被结合在一起,则SeGW与HeNB-GW之间的接口可用NDS/IP进行保护。
H(e)NB(Home(Evolved)NodeB,家庭(演进)基站)包括HNB和HeNB,是HNB和HeNB的统称。
针对H(e)NB的安全,3GPP TR 33.820定义了27种威胁。这27种威胁被归纳为7大类。他们分别是:对H(e)NB资格证书的危害,对H(e)NB的物理攻击,对H(e)NB的构造的攻击,对H(e)NB的协议的攻击,对核心网的攻击(包括基于H(e)NB位置的攻击),对用户的数据和身份隐私的攻击以及对无线资源和管理的攻击。
在HNB的注册过程中,HNB会发送一个HNB REGISTER REQUEST消息给HNB-GW,这个消息包含了:HNB位置信息,HNB身份,HNB管理参数,可选的HNB管理模式,HNB自身的IP地址。HNB-GW可以使用HNBREGISTER REQUEST消息中的信息来检查HNB注册是否能被接受,这包括检查一个HNB是否被允许在一个给定的位置运行等。
在实际应用中,如果一个攻击者冒充一个H(e)NB的身份注册到H(e)NB-GW,则ACL(Access Control List,接入控制列表)检查就能被通过。因为H(e)NB-GW中保存的着此UE能够接入的H(e)NB列表,而被冒充的H(e)NB身份就包含在此列表中,这样的话H(e)NB进行接入控制时会允许UE接入到这个冒充的H(e)NB上来。这意味着这个攻击者可以假冒另一个用户的H(e)NB并能够获取来自这个用户的ACL列表的呼叫。因此,只要攻击者可以发现对应H(e)NB的身份,这个攻击者可以潜在的偷听或者冒充任何属于这个ACL的用户。
这种攻击场景在攻击者冒充一个开放的(no CSG)H(e)NB的时候会变的非常严重,因为其可以接入到不计其数的附属的UE上。
综上所述,现有技术存在如下技术问题:目前的H(e)NB的安全规范TS33.320中没有任何涉及此类威胁的解决方案的描述。冒充的H(e)NB可以使得UE通过H(e)NB-GW的接入控制,而H(e)NB-GW目前的功能并不能防止此类威胁的发生。
发明内容
本发明解决的技术问题是提供一种接入控制方法、装置、接口及安全网关,解决H(e)NB系统身份冒充带来的安全威胁。
为解决上述技术问题,本发明提供了一种接入控制方法,安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息;
所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。
进一步地,所述接入请求消息中包含所述H(e)NB的身份和/或H(e)NB接入参数。
进一步地,所述安全网关发送的所述接入请求消息为:RADIUS消息、或Diameter消息。
进一步地,所述安全网关通过与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接口发送所述接入请求消息。
进一步地,所述网络侧接入控制相关网元,包括:移动管理实体(MME)/服务网关(S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访位置寄存器(VLR)。
进一步地,其中,所述H(e)NB接入参数,包括:H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址;
所述H(e)NB位置信息包括:H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。
本发明还提供了一种接入控制方法,H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证,并向所述安全网关发送接入认证答复消息。
进一步地,所述接入认证答复消息中包含所述H(e)NB的身份、和/或所述H(e)NB接入参数。
进一步地,所述方法还包括:
所述H(e)NB网关和/或所述网络侧接入控制相关网元中保存H(e)NB的身份与H(e)NB接入参数的绑定信息;
所述H(e)NB网关和/或所述网络侧接入控制相关网元根据所述绑定信息,对所述接入请求消息中包含的H(e)NB的身份和/或H(e)NB接入参数进行认证。
进一步地,所述方法还包括:
所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元建有接口。
进一步地,所述H(e)NB网关和/或网络侧接入控制相关网元对所述接入请求消息进行认证,是指:
所述H(e)NB网关和/或网络侧接入控制相关网元根据保存的所述绑定信息,对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入参数进行认证;
或者,所述H(e)NB网关和/或网络侧接入控制相关网元根据从其他存储有所述绑定信息的网络侧接入控制相关网元中获取到的所述绑定信息,对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入参数进行认证;
或者,所述H(e)NB网关和/或网络侧接入控制相关网元将收到的所述接入请求消息转发给其他存储有所述绑定信息的网络侧接入控制相关网元,由所述其他网络侧接入控制相关网元进行认证并将认证结果报告给所述H(e)NB网关和/或网络侧接入控制相关网元。
进一步地,所述网络侧接入控制相关网元,包括:移动管理实体(MME)/服务网关(S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访位置寄存器(VLR)。
进一步地,所述H(e)NB接入参数,包括:H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址;
其中,所述H(e)NB位置信息包括:H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。
进一步地,所述方法还包括:
通过NDS/IP和/或IPsec和/或TLS连接对所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间的接口进行保护。
本发明还提供了一种接入控制装置,所述装置应用于H(e)NB网关和/或网络侧接入控制相关网元中,包括绑定信息存储单元,
所述绑定信息存储单元用于,保存H(e)NB的身份与H(e)NB接入参数的绑定信息。
进一步地,所述H(e)NB接入参数,包括:H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址;
其中,所述H(e)NB位置信息包括:H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。
此外,本发明还提供了一种接入控制装置,所述装置应用于H(e)NB网关和/或网络侧接入控制相关网元中,包括接入请求认证单元,
所述接入请求认证单元用于,对接收到的安全网关发送的接入请求消息进行认证,向所述安全网关发送接入认证答复消息,并在所述接入认证答复消息中包含H(e)NB的身份、和/或所述H(e)NB接入参数。
进一步地,所述H(e)NB接入参数,包括:H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址;
其中,所述H(e)NB位置信息包括:H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。
本发明还提供了一种接入控制接口,包括在安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间建立的接口;
所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口用于:
所述安全网关通过所述接口向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息;和/或
所述H(e)NB网关和/或所述网络侧接入控制相关网元通过所述接口向所述安全网关发送接入认证答复消息。
进一步地,还包括在所述H(e)NB网关与所述网络侧接入控制相关网元之间建立的接口;
所述H(e)NB网关与所述网络侧接入控制相关网元之间的接口用于:
所述H(e)NB网关通过该接口从存储有H(e)NB的身份与H(e)NB接入参数的绑定信息的网络侧接入控制相关网元中获取所述绑定信息;
或者,所述H(e)NB网关将收到的所述接入请求消息通过该接口转发给存储有所述绑定信息的网络侧接入控制相关网元,由所述网络侧接入控制相关网元对所述接入请求消息进行认证;所述其他网络侧接入控制相关网元根据存储的所述绑定信息对所述接入请求消息进行认证,并通过该接口将认证结果报告给所述H(e)NB网关。
进一步地,所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口、和/或所述H(e)NB网关与所述网络侧接入控制相关网元之间的接口通过NDS/IP和/或IPsec和/或TLS连接进行保护。
本发明还提供了一种安全网关,所述安全网关包括接入请求发起单元,
所述接入请求发起单元用于,向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息,以及,接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。
进一步地,所述接入请求发起单元用于,通过所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接口,发送所述接入请求消息。
与现有技术相比,本发明完善了现有的H(e)NB的安全架构,提供了H(e)NB-GW相关的高效的安全解决方案,解决了H(e)NB系统中由于H(e)NB身份假冒带来的各种安全威胁,增加了H(e)NB系统的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是HNB的系统结构示意图;
图2是HeNB的系统结构示意图;
图3是包含HeNB GW的EUTRAN的架构示意图;
图4是本发明H(e)NB系统的接入控制方法的总体流程示意图;
图5是本发明实施例一的方法流程示意图;
图6是本发明实施例二的方法流程示意图;
图7是本发明实施例三的方法流程示意图;
图8是本发明实施例四的方法流程示意图;
图9是本发明实施例五的方法流程示意图;
图10是本发明实施例六的方法流程示意图;
图11是本发明实施例七的方法流程示意图;
图12是本发明实施例八的方法流程示意图。
具体实施方式
为解决现有技术中H(e)NB身份冒充安全威胁所导致的巨大安全漏洞和危害,本发明的主要目的在于,在UMTS(Universal Mobile Telephone System,全球无线电话系统)网络和EPS(Evolved Packet System,演进分组系统)网络的安全架构中,提供一种与MME(Mobility Management Entity,移动管理实体)相关的HeNB(Home evolved Node-B,家庭演进基站)系统的安全机制。通过增强H(e)NB-GW的功能,或者通过与其他网络侧网元的交互来实现增强并达到能够防止冒充H(e)NB所带来的威胁的目的。
为解决H(e)NB身份冒充所带来的安全威胁及完善H(e)NB系统的安全架构,本实施方式的接入控制方法,安全网关进行如下处理:
安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息;
所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。
本实施方式的接入控制方法,H(e)NB-GW和/或网络侧接入控制相关网元进行如下处理:
H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证,并向所述安全网关发送接入认证答复消息。
结合图4所示,本实施方式的一种H(e)NB系统的接入控制方法,采用如下技术方案:
步骤一、H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的身份标识(Identity)与H(e)NB接入相关参数的绑定信息。
步骤二、SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建立接口。
步骤三、SeGW发送接入请求消息给H(e)NB-GW和/或网络侧接入控制相关网元。
步骤四、H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息进行认证。
步骤五、H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证答复消息给SeGW,此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。
其中,该接入认证答复消息中包含的H(e)NB的身份和/或H(e)NB接入相关参数,是用于指示哪个H(e)NB被允许通过SeGW接入以及转发相应接入相关参数给H(e)NB。
其中,所述的网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。
进一步地,所述的H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中,H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
进一步地,SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间的接口可以通过NDS/IP和/或IPsec和/或TLS(Transport Layer Security,传输层安全)的保护来实现。
进一步地,在步骤三中,SeGW发送给H(e)NB-GW的接入请求消息可为RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统)消息或Diameter(RADIUS协议的升级版本)消息。
进一步地,在步骤三中,SeGW发送给H(e)NB-GW的接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB接入相关参数,H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
进一步地,在步骤四中,H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息进行认证包括了:H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息进行认证;或者,H(e)NB-GW和/或网络侧接入控制相关网元从其他存储有H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网络侧接入控制网元中获取该绑定信息并进行认证;或者,H(e)NB-GW和/或网络侧接入控制相关网元将此接入请求消息转发给其他存储有H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网络侧接入控制网元,其他网络侧接入控制相关网元对此接入请求消息进行认证并报告H(e)NB-GW和/或网络侧接入控制相关网元。
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
实施例一
结合图5所示,本实施例的H(e)NB系统的接入控制方案具体描述如下:
步骤501,H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址的绑定信息。
其中,网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤502,SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建立NDS/IP和/或IPsec和/或TLS连接。
步骤503,SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW和/或网络侧接入控制相关网元,此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可以是MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤504,H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息进行认证,认证成功。
该步骤中,是根据保存的绑定信息,对该接入请求消息中的H(e)NB的身份和/或H(e)NB接入相关参数进行验证,如果通过验证,则认证成功。
步骤505,H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证成功答复消息给SeGW,此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
实施例二
结合图6所示,本实施例的H(e)NB系统的接入控制方案具体描述如下:
步骤601,H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址的绑定信息。网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic HostConfiguration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤602,SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建立NDS/IP和/或IPsec连接。
步骤603,SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW和/或网络侧接入控制相关网元,此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤604,H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息进行认证,认证失败。
步骤605,H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证失败答复消息给SeGW,此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
实施例三
结合图7所示,本实施例的H(e)NB系统的接入控制方案具体描述如下:
步骤701,H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址的绑定信息。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤702,SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建立NDS/IP和/或IPsec连接。
步骤703,SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW和/或网络侧接入控制相关网元,此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤704,H(e)NB-GW和/或网络侧接入控制相关网元从其他存储有H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网络侧接入控制网元中获取H(e)NB的身份与H(e)NB接入相关参数的绑定信息并进行认证,认证成功。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤705,H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证成功答复消息给SeGW,此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
实施例四
结合图8所示,本实施例的H(e)NB系统的接入控制方案具体描述如下:
步骤801,H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址的绑定信息。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤802,SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建立NDS/IP和/或IPsec连接。
步骤803,SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW和/或网络侧接入控制相关网元,此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤804,H(e)NB-GW和/或网络侧接入控制相关网元从从其他存储有H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网络侧接入控制网元中获取H(e)NB的身份与H(e)NB接入相关参数的绑定信息并进行认证,认证失败。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤805,H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证失败答复消息给SeGW,此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
实施例五
结合图9所示,本实施例的H(e)NB系统的接入控制方案具体描述如下:
步骤901,H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址的绑定信息。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤902,SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建立NDS/IP和/或IPsec连接。
步骤903,SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW和/或网络侧接入控制相关网元,此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤904,H(e)NB-GW和/或网络侧接入控制相关网元将此接入请求消息转发给其他存储有H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网络侧接入控制相关网元,由其他网络侧接入控制相关网元对此接入请求消息进行认证,并报告给H(e)NB-GW和/或网络侧接入控制相关网元,认证成功。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。
步骤905,H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证成功答复消息给SeGW,此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
实施例六
结合图10所示,本实施例的H(e)NB系统的接入控制方案具体描述如下:
步骤1001,H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址的绑定信息。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤1002,SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建立NDS/IP和/或IPsec连接。
步骤1003,SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW和/或网络侧接入控制相关网元,此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤1004,H(e)NB-GW和/或网络侧接入控制相关网元将此接入请求消息转发给其他存储有H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网络侧接入控制相关网元,由其他网络侧接入控制相关网元对此接入请求消息进行认证,并报告给H(e)NB-GW和/或网络侧接入控制相关网元,认证失败。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。
步骤1005,H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证失败答复消息给SeGW,此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
实施例七
结合图11所示,本实施例的H(e)NB系统的接入控制方案具体描述如下:
步骤1101,网络侧接入控制相关网元中存入H(e)NB的身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址的绑定信息。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤1102,SeGW与网络侧接入控制相关网元之间建立NDS/IP和/或IPsec连接。
步骤1103,SeGW发送接入RADIUS或Diameter请求消息给网络侧接入控制相关网元,此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤1104,网络侧接入控制相关网元对此接入请求消息进行认证,认证成功。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。
步骤1105,网络侧接入控制相关网元发送接入认证成功答复消息给SeGW,此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
实施例八
结合图12所示,本实施例的H(e)NB系统的接入控制方案具体描述如下:
步骤1201,网络侧接入控制相关网元中存入H(e)NB的身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址的绑定信息。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤1202,SeGW与网络侧接入控制相关网元之间建立NDS/IP和/或IPsec连接。
步骤1203,SeGW发送接入RADIUS或Diameter请求消息给网络侧接入控制相关网元,此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
步骤1204,网络侧接入控制相关网元对此接入请求消息进行认证,认证失败。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。
步骤1205,网络侧接入控制相关网元发送接入认证失败答复消息给SeGW,此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。
网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol,动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。
此外,本发明实施例中还提供了一种接入控制装置,应用于H(e)NB网关和/或网络侧接入控制相关网元中,该装置包括一绑定信息存储单元,
所述绑定信息存储单元用于,保存H(e)NB的身份与H(e)NB接入参数的绑定信息。
进一步地,所述的H(e)NB接入参数,包括:H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址;
其中,所述H(e)NB位置信息包括:H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。
此外,本发明实施例中还提供了另一种接入控制装置,应用于H(e)NB网关和/或网络侧接入控制相关网元中,该装置包括一接入请求认证单元,
所述的接入请求认证单元用于,对接收到的安全网关发送的接入请求消息进行认证,向安全网关发送接入认证答复消息,并在接入认证答复消息中包含H(e)NB的身份、和/或所述H(e)NB接入参数。
进一步地,所述H(e)NB接入参数,包括:H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址;
其中,所述H(e)NB位置信息包括:H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。
此外,本发明实施例中还提供了一种接入控制接口,包括在安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间建立的接口;
该安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口用于:
安全网关通过所述接口向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息;和/或
H(e)NB网关和/或所述网络侧接入控制相关网元通过所述接口向所述安全网关发送接入认证答复消息。
进一步地,所述的接入控制接口还包括在所述H(e)NB网关与所述网络侧接入控制相关网元之间建立的接口;
该H(e)NB网关与所述网络侧接入控制相关网元之间的接口用于:
H(e)NB网关通过该接口从存储有H(e)NB的身份与H(e)NB接入参数的绑定信息的网络侧接入控制相关网元中获取所述绑定信息;
或者,H(e)NB网关将收到的所述接入请求消息通过该接口转发给存储有所述绑定信息的网络侧接入控制相关网元,由所述网络侧接入控制相关网元对所述接入请求消息进行认证;所述其他网络侧接入控制相关网元根据存储的所述绑定信息对所述接入请求消息进行认证,并通过该接口将认证结果报告给所述H(e)NB网关。
进一步地,安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口、和/或H(e)NB网关与网络侧接入控制相关网元之间的接口通过NDS/IP和/或IPsec和/或TLS连接进行保护。
此外,本发明实施例中还提供了一种安全网关,该安全网关包括接入请求发起单元,
所述的接入请求发起单元用于,向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息,以及,接收H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。
进一步地,所述的接入请求发起单元用于,通过安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间建立的接口,发送所述接入请求消息。
以上仅为本发明的优选实施案例而已,并不用于限制本发明,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
Claims (23)
1.一种接入控制方法,其特征在于,
安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息;
所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。
2.如权利要求1所述的方法,其特征在于,
所述接入请求消息中包含所述H(e)NB的身份和/或H(e)NB接入参数。
3.如权利要求1所述的方法,其特征在于,
所述安全网关发送的所述接入请求消息为:RADIUS消息、或Diameter消息。
4.如权利要求1、2或3所述的方法,其特征在于,
所述安全网关通过与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接口发送所述接入请求消息。
5.如权利要求1所述的方法,其特征在于,
所述网络侧接入控制相关网元,包括:移动管理实体(MME)/服务网关(S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访位置寄存器(VLR)。
6.如权利要求2所述的方法,其特征在于,
其中,所述H(e)NB接入参数,包括:H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址;
所述H(e)NB位置信息包括:H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。
7.一种接入控制方法,其特征在于,
H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证,并向所述安全网关发送接入认证答复消息。
8.如权利要求7所述的方法,其特征在于,
所述接入认证答复消息中包含所述H(e)NB的身份、和/或所述H(e)NB接入参数。
9.如权利要求7所述的方法,其特征在于,所述方法还包括:
所述H(e)NB网关和/或所述网络侧接入控制相关网元中保存H(e)NB的身份与H(e)NB接入参数的绑定信息;
所述H(e)NB网关和/或所述网络侧接入控制相关网元根据所述绑定信息,对所述接入请求消息中包含的H(e)NB的身份和/或H(e)NB接入参数进行认证。
10.如权利要求7、8或9所述的方法,其特征在于,所述方法还包括:
所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元建有接口。
11.如权利要求9所述的方法,其特征在于,
所述H(e)NB网关和/或网络侧接入控制相关网元对所述接入请求消息进行认证,是指:
所述H(e)NB网关和/或网络侧接入控制相关网元根据保存的所述绑定信息,对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入参数进行认证;
或者,所述H(e)NB网关和/或网络侧接入控制相关网元根据从其他存储有所述绑定信息的网络侧接入控制相关网元中获取到的所述绑定信息,对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入参数进行认证;
或者,所述H(e)NB网关和/或网络侧接入控制相关网元将收到的所述接入请求消息转发给其他存储有所述绑定信息的网络侧接入控制相关网元,由所述其他网络侧接入控制相关网元进行认证并将认证结果报告给所述H(e)NB网关和/或网络侧接入控制相关网元。
12.如权利要求7所述的方法,其特征在于,
所述网络侧接入控制相关网元,包括:移动管理实体(MME)/服务网关(S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访位置寄存器(VLR)。
13.如权利要求7、8或9所述的方法,其特征在于,
所述H(e)NB接入参数,包括:H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址;
其中,所述H(e)NB位置信息包括:H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。
14.如权利要求10所述的方法,其特征在于,所述方法还包括:
通过NDS/IP和/或IPsec和/或TLS连接对所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间的接口进行保护。
15.一种接入控制装置,其特征在于,所述装置应用于H(e)NB网关和/或网络侧接入控制相关网元中,包括绑定信息存储单元,
所述绑定信息存储单元用于,保存H(e)NB的身份与H(e)NB接入参数的绑定信息。
16.如权利要求15所述的装置,其特征在于,
所述H(e)NB接入参数,包括:H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址;
其中,所述H(e)NB位置信息包括:H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。
17.一种接入控制装置,其特征在于,所述装置应用于H(e)NB网关和/或网络侧接入控制相关网元中,包括接入请求认证单元,
所述接入请求认证单元用于,对接收到的安全网关发送的接入请求消息进行认证,向所述安全网关发送接入认证答复消息,并在所述接入认证答复消息中包含H(e)NB的身份、和/或所述H(e)NB接入参数。
18.如权利要求17所述的装置,其特征在于,
所述H(e)NB接入参数,包括:H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址;
其中,所述H(e)NB位置信息包括:H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。
19.一种接入控制接口,其特征在于,包括在安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间建立的接口;
所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口用于:
所述安全网关通过所述接口向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息;和/或
所述H(e)NB网关和/或所述网络侧接入控制相关网元通过所述接口向所述安全网关发送接入认证答复消息。
20.如权利要求19所述的接口,其特征在于,还包括在所述H(e)NB网关与所述网络侧接入控制相关网元之间建立的接口;
所述H(e)NB网关与所述网络侧接入控制相关网元之间的接口用于:
所述H(e)NB网关通过该接口从存储有H(e)NB的身份与H(e)NB接入参数的绑定信息的网络侧接入控制相关网元中获取所述绑定信息;
或者,所述H(e)NB网关将收到的所述接入请求消息通过该接口转发给存储有所述绑定信息的网络侧接入控制相关网元,由所述网络侧接入控制相关网元对所述接入请求消息进行认证;所述其他网络侧接入控制相关网元根据存储的所述绑定信息对所述接入请求消息进行认证,并通过该接口将认证结果报告给所述H(e)NB网关。
21.如权利要求19或20所述的接口,其特征在于,
所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口、和/或所述H(e)NB网关与所述网络侧接入控制相关网元之间的接口通过NDS/IP和/或IPsec和/或TLS连接进行保护。
22.一种安全网关,其特征在于,所述安全网关包括接入请求发起单元,
所述接入请求发起单元用于,向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息,以及,接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。
23.如权利要求22所述的安全网关,其特征在于,
所述接入请求发起单元用于,通过所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接口,发送所述接入请求消息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101682485A CN102843678A (zh) | 2011-06-21 | 2011-06-21 | 接入控制方法、装置、接口及安全网关 |
| PCT/CN2012/071710 WO2012174884A1 (zh) | 2011-06-21 | 2012-02-28 | 接入控制方法、装置、接口及安全网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011101682485A CN102843678A (zh) | 2011-06-21 | 2011-06-21 | 接入控制方法、装置、接口及安全网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102843678A true CN102843678A (zh) | 2012-12-26 |
Family
ID=47370680
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011101682485A Pending CN102843678A (zh) | 2011-06-21 | 2011-06-21 | 接入控制方法、装置、接口及安全网关 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102843678A (zh) |
| WO (1) | WO2012174884A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168566A (zh) * | 2014-08-19 | 2014-11-26 | 京信通信系统(中国)有限公司 | 一种接入网络的方法及装置 |
| CN109087412A (zh) * | 2018-06-06 | 2018-12-25 | 咕咚网络(北京)有限公司 | 一种无线联网门锁系统中门锁终端与网关的连接方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2381158A (en) * | 2001-10-16 | 2003-04-23 | Vodafone Ltd | Indoor base station and broadband link |
| CN101686578A (zh) * | 2008-09-28 | 2010-03-31 | 中兴通讯股份有限公司 | 家庭演进基站系统及无线设备的接入方法 |
| CN101754210A (zh) * | 2008-12-05 | 2010-06-23 | 中兴通讯股份有限公司 | 一种对家用基站设备进行鉴权的方法和系统 |
-
2011
- 2011-06-21 CN CN2011101682485A patent/CN102843678A/zh active Pending
-
2012
- 2012-02-28 WO PCT/CN2012/071710 patent/WO2012174884A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2381158A (en) * | 2001-10-16 | 2003-04-23 | Vodafone Ltd | Indoor base station and broadband link |
| CN101686578A (zh) * | 2008-09-28 | 2010-03-31 | 中兴通讯股份有限公司 | 家庭演进基站系统及无线设备的接入方法 |
| CN101754210A (zh) * | 2008-12-05 | 2010-06-23 | 中兴通讯股份有限公司 | 一种对家用基站设备进行鉴权的方法和系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168566A (zh) * | 2014-08-19 | 2014-11-26 | 京信通信系统(中国)有限公司 | 一种接入网络的方法及装置 |
| CN104168566B (zh) * | 2014-08-19 | 2018-11-06 | 京信通信系统(中国)有限公司 | 一种接入网络的方法及装置 |
| CN109087412A (zh) * | 2018-06-06 | 2018-12-25 | 咕咚网络(北京)有限公司 | 一种无线联网门锁系统中门锁终端与网关的连接方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012174884A1 (zh) | 2012-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kim et al. | Touching the untouchables: Dynamic security analysis of the LTE control plane | |
| Jover | LTE security, protocol exploits and location tracking experimentation with low-cost software radio | |
| CN107018676B (zh) | 用户设备与演进分组核心之间的相互认证 | |
| RU2533172C2 (ru) | Способ и устройство для защиты беспроводных узлов ретрансляции | |
| CN105101160B (zh) | 在网络环境中识别订户的系统和方法 | |
| US8811987B2 (en) | Method and arrangement for creation of association between user equipment and an access point | |
| TW201739276A (zh) | 增強的非存取層安全 | |
| WO2016085001A1 (ko) | 스몰셀 환경을 지원하는 무선 접속 시스템에서 위치 비밀성 보호를 지원하는 방법 및 장치 | |
| US8606228B2 (en) | Method, user network equipment and management system thereof for secure data transmission | |
| US10779144B2 (en) | Method and apparatus for transmitting downlink data and uplink data in NB-IoT system | |
| CN102036343B (zh) | 一种家庭基站的共享方法和家庭基站系统 | |
| US9473934B2 (en) | Wireless telecommunications network, and a method of authenticating a message | |
| CN102036415B (zh) | 一种家庭基站的共享方法和家庭基站系统 | |
| CN102843678A (zh) | 接入控制方法、装置、接口及安全网关 | |
| CN101715177B (zh) | 一种网络设备的位置锁定方法及位置锁定系统 | |
| CN101778471A (zh) | 一种家庭基站位置锁定的方法 | |
| WO2013183316A1 (ja) | 通信システム | |
| Wu et al. | uLIPA: A universal local IP access solution for 3GPP mobile networks | |
| KR20180080101A (ko) | NB-IoT 시스템에서 다운링크 데이터와 업링크 데이터를 전송하는 방법 및 장치 | |
| CN101790219A (zh) | 家庭基站系统中非闭合用户组的ue的注册方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121226 |