CN103024742B - 家庭基站网络安全接入方法、设备和系统 - Google Patents
家庭基站网络安全接入方法、设备和系统 Download PDFInfo
- Publication number
- CN103024742B CN103024742B CN201210514457.5A CN201210514457A CN103024742B CN 103024742 B CN103024742 B CN 103024742B CN 201210514457 A CN201210514457 A CN 201210514457A CN 103024742 B CN103024742 B CN 103024742B
- Authority
- CN
- China
- Prior art keywords
- access point
- gateway
- certificate
- base station
- home base
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种家庭基站网络安全接入方法、设备及系统,其方法包括步骤:通过家庭基站网关将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识;验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书;当对接入点证书和网关证书的验证均通过后,通过所述家庭基站网关向家庭基站接入点分发用于与该接入点家庭基站建立安全隧道的安全隧道密钥。由于验证了接入点证书和网关证书,避免了非法入侵者利用接听基站接入点实施对家庭基站网络接入的攻击,从而避免了非法入侵者获得并使用相应的通信内容;通过家庭基站网关传输的是接入点身份标识、网关身份标识,数据传输量小,提高了接入效率。
Description
技术领域
本发明涉及网络通信技术领域,特别是涉及一种家庭基站网络安全接入方法、设备和系统。
背景技术
家庭基站是小型蜂窝基站,又称为Femtocell或Home NodeB,是3G和4G领域的前沿技术。家庭基站让住宅中的移动用户通过有线宽带网连接到3G/4G网络,获得增强的移动语音、视频和数据服务,可以与运营商的原有宏蜂窝基站无缝连接,可以充分使用户已有的宽带接入资源,最终为用户提供了移动和固网融合业务。通过家庭基站,大量的移动业务被室内家庭基站接入点所吸收,可以大大降低运营商宏蜂窝的数量,为运营商节约大量的设备投资费用和维护费用,也可以改善室内覆盖,提高室内宽带接入效率,减少时延,满足用户各种多媒体应用体验。
然而,家庭基站接入点在接入网关时存在一定的安全隐患,这是由于家庭基站接入点布设在各个家庭或企业中,在地理位置上属于家庭或企业所有,并不归属于运营商,容易遭受攻击,或者被非法入侵者所利用。
发明内容
本发明的目的在于提供一种家庭基站网络安全接入方法、设备和系统,从而避免了非法入侵者利用接听基站接入点实施对家庭基站网络接入的攻击,从而避免了非法入侵者获得并使用相应的通信内容。
本发明的目的通过如下技术方案实现:
一种家庭基站网络安全接入方法,包括如下步骤:
通过家庭基站网关将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识;
验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书;
当对接入点证书和网关证书的验证均通过后,通过所述家庭基站网关向家庭基站接入点分发用于与该接入点家庭基站建立安全隧道的安全隧道密钥。
一种家庭基站网络安全接入设备,包括:
发送单元,用于通过家庭基站网关将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识;
验证单元,用于验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书;
分发单元,用于当对接入点证书和网关证书的验证均通过后,通过所述家庭基站网关向家庭基站接入点分发用于与该接入点家庭基站建立安全隧道的安全隧道密钥。
一种家庭基站网络安全接入系统,包括家庭基站网关、鉴权服务器、家庭基站接入点;
所述家庭基站网关用于将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识,还用于向所述家庭基站接入点发送用于与所述接入点家庭基站建立安全隧道的安全隧道密钥;
所述鉴权服务器用于验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书;
所述接入点家庭基站用于接收所述安全隧道密钥。
依据上述本发明的方案,接入点身份标识、网关身份标识被发送到鉴权服务器后,验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书,当对接入点证书和网关证书的验证均通过后,通过所述家庭基站网关向家庭基站接入点分发用于与该接入点家庭基站建立安全隧道的安全隧道密钥。由于验证了接入点证书和网关证书,在安全上有了保证,避免了非法入侵者利用接听基站接入点实施对家庭基站网络接入的攻击,从而避免了非法入侵者获得并使用相应的通信内容;同时,通过家庭基站网关传送的是接入点身份标识、网关身份标识,数据传输量小,在保证安全的同时,又提高了接入效率。
附图说明
图1为本发明的家庭基站网络安全接入方法实施例的流程示意图;
图2为基于本发明实施例一的方法流程示意图;
图3为基于本发明实施例二的方法流程示意图;
图4为基于本发明实施例三的方法流程示意图;
图5为基于本发明实施例四的方法流程示意图;
图6为本发明的家庭基站网络安全接入设备实施例的结构示意图;
图7为本发明的家庭基站网络安全接入系统实施例的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和有益效果更加清楚明白,下面结合实施例及附图对本发明作进一步阐述。在此,本发明的示意性实施例及其说明用于理解本发明,但并不作为对本发明的限定。在下述说明中,首先针对本发明的家庭基站网络安全接入方法的实例进行说明,接着对家庭基站网络安全接入设备的实施例进行说明,再针对本发明的家庭基站网络安全接入系统的实施例进行说明。
图1中示出了本发明的家庭基站网络安全接入方法实施例的流程示意图。如图1所示,本实施例中的家庭基站网络安全接入方法包括步骤:
步骤S101:通过家庭基站网关将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识,其中,接入点身份标识可以是运营商网络设备号或者其他可以描述家庭基站接入点身份唯一性的信息,网关身份标识可以是运营商网络设备号或者其他可以描述家庭基站网关身份唯一性的信息;
步骤S102:验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书,例如,验证对应证书是否有效(如无法获取对应证书,则也可以认为对应证书无效),验证对应证书的有效期,或者验证对应的证书是否有吊销信息;
步骤S103:当对接入点证书和网关证书的验证均通过后,通过所述家庭基站网关向家庭基站接入点分发用于与该接入点家庭基站建立安全隧道的安全隧道密钥,在在成功分发安全隧道密钥后,家庭基站网关成功安全的接入家庭基站网关,其中,分发安全隧道密钥可以采用现有的方式,在此不予赘述。
据此,根据上述实施例的方案,在家庭基站接入点和家庭基站网关对应的证书均通过验证后,通过所述家庭基站网关向家庭基站接入点分发用于与该接入点家庭基站建立安全隧道的安全隧道密钥,一方面,通过对家庭基站接入点和家庭基站网关对应的证书的验证,保证了只有合法的家庭基站接入点才能接入网络,同时,接收到的是接入点身份标识和网关身份标识,而非接入点证书和网关证书,数据传输量小,可大大提高家庭基站接入点接入网络的效率,另一方面,可通过安全隧道密钥建立安全隧道,即可在此安全隧道中进行业务数据的保密传输,避免了网络非法入侵者截获数据,本发明在家庭基站接入点和家庭基站网关进行业务数据前,解决了安全接入问题。
其中,如前所述,鉴权服务器需要对家庭基站接入点和家庭基站网关的身份进行验证,如判断所述家庭基站接入点和家庭基站网关对应的证书是否有效,是否在有效期内,是否已被吊销等,为此,在步骤S101之前还可以包括注册和颁发数字证书步骤,该注册和颁发数字证书具体包括步骤:
步骤S100:通过鉴权服务器向家庭基站网关、家庭基站接入点颁发证书和私钥,并分别将对应的证书和私钥与对应的身份标识绑定,即将家庭基站接入点证书、接入点私钥与接入点身份标识绑定,将家庭基站网关证书、网关私钥与网关身份标识绑定,并将这些绑定关系存储在在鉴权服务器以供在接收到接入点身份标识、网关身份标识时能顺利查找到对应的证书。
依据上述本发明方案,由于实现了对家庭基站接入点和家庭基站网关身份的验证,且实现了安全隧道密钥的分发,可以有效防止非法家庭基站接入点的接入和恶意攻击等,根据实际需要,也可以对家庭基站接入网络的安全性做进一步改善。以下就本发明的几个实施例进行详细说明。
实施例一
参见图2所示,为基于本发明第一实施例的方法流程图。
步骤S201:家庭基站接入点首次接入网络时(如刚上电或重新启动等),通过家庭基站接入点向家庭基站网关发送接入询问消息,该接入询问消息包括接入点身份标识、接入点相关信息;
步骤S202:检验接入点相关信息的有效性;
步骤S203:在步骤S202的验证通过时,在家庭基站网关保存接入点身份标识,并通过家庭基站网关将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识;
步骤S204:通过鉴权服务器对所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书进行验证;
步骤S205:在步骤S204的验证均通过时,通过鉴权服务器向家庭基站发送身份验证消息,该身份验证消息包括步骤S204的身份验证结果,还包括网关身份标识、接入点身份标识;
步骤S206:在家庭基站网关检验身份验证消息的有效性,检验身份验证消息中的网关身份标识与该家庭基站网关自身的网关身份标识的一致性,检验身份验证消息中的接入点身份标识与该家庭基站网关存储的对应的接入点身份标识的一致性;
步骤S207:在步骤S206的验证均通过时,则在家庭基站网关使用接入点证书公钥对预先生成的身份验证密钥进行加密,通过家庭基站网关向家庭基站接入点发送接入响应消息,所述接入响应消息包括网关身份标识、接入点身份标识、身份验证结果、身份验证密钥密文、身份验证密钥信息,该身份验证密钥信息包括身份验证密钥的索引信息等;
步骤S208:在家庭基站接入点检验身份验证消息的有效性,检验接入响应消息中的网关身份标识与在该家庭基站接入点本地存储的网关身份标识的一致性,检验接入响应消息中的接入点身份标识与该家庭基站接入点自身的接入点身份标识的一致性;
步骤S209:在步骤S208的验证均通过时,使用接入点私钥解密身份验证密钥密文,保存得到的身份验证密钥,并利用该身份验证密钥推导出安全隧道密钥,通过家庭基站接入点向家庭基站网关发送连接建立消息,该连接建立消息包括接入点身份标识、网关身份标识、身份验证密钥信息、消息鉴别码,该消息鉴别码是使用消息身份验证密钥计算得到的;
步骤S210:在家庭基站网关检验家庭基站网关本地计算的消息鉴别码和接收到的消息鉴别码的一致性,检验连接建立消息中的网关身份标识与该家庭基站网关自身的网关身份标识的一致性,检验连接建立消息中的接入点身份标识与该家庭基站网关本地存储的接入点身份标识的一致性,检验连接建立消息中的身份验证密钥信息与该家庭基站网关本地存储的身份验证密钥信息的一致性;
步骤S211:在步骤S210的验证均通过,利用身份验证密钥推导安全隧道密钥,此时,家庭基站接入点成功接入家庭基站网关。
上述步骤中,为步骤S202、步骤S206、步骤S208、步骤S210中对应的验证过程均分别通过的实施流程,若步骤S202中的验证任意一项不通过,或者步骤S206中的验证任意一项不通过,或者步骤S208中的验证任意一项不通过,或者步骤S210中的验证任意一项不通过,接入过程失败,在此不予赘述。
实施例二
参见图3所示,为基于本发明第二实施例的方法流程图。
实施例二是实施例一中的步骤S204中验证接入点证书、网关证书任意一个不通过时的处理流程,其中步骤S301~步骤S304与步骤S201~步骤S204对应相同,在此不予赘述,仅叙述后续处理过程,如下:
步骤S305:丢弃所述身份询问消息,也即接入过程失败。
实施例三
参见图4所示,为基于本发明第三实施例的方法流程图。
为了保证家庭基站接入点、家庭基站网关、鉴权服务器所传递的信息和用户数据的安全性,与实施例一不同的是,在本实施例中在本实施例中通过Internet密钥协商(IKE)协议对信息和用户数据进行保护。具体如下:
步骤S401:家庭基站接入点首次接入网络时(如刚上电或重新启动等),通过家庭基站接入点向家庭基站网关发送采用接入点证书私钥签名的接入询问消息,该接入询问消息包括接入点身份标识、接入点证书公钥(可以从接入点证书中提取)、接入点相关信息;
步骤S402:在家庭基站网关根据接入点证书公钥检验接入询问消息签名的有效性,并在家庭基站网关检验接入点相关信息的有效性;
步骤S403:在步骤S402的验证均通过时,在家庭基站网关保存接入点身份标识,并通过家庭基站网关向鉴权服务器发送利用网关证书私钥签名的身份询问消息,所述身份询问消息包括接入点身份标识、网关身份标识;
步骤S404:在鉴权服务器验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书,提取网关证书公钥,使用该网关证书公钥验证身份询问消息签名的有效性;
步骤S405:在步骤S404中的各验证均通过时,通过鉴权服务器向家庭基站发送身份验证消息,该身份验证消息包括步骤S404的身份验证结果,还包括网关身份标识、接入点身份标识;
步骤S406:在家庭基站网关检验身份验证消息签名的有效性,检验身份验证消息的有效性,检验身份验证消息中的网关身份标识与该家庭基站网关自身的网关身份标识的一致性,检验身份验证消息中的接入点身份标识与该家庭基站网关存储的对应的接入点身份标识的一致性,其中,家庭基站网关通过鉴权服务器证书公钥检验身份验证消息签名的有效性;
步骤S407:在步骤S406的验证均通过时,在家庭基站网关使用接入点证书公钥对预先生成的身份验证密钥进行加密,通过家庭基站网关向家庭基站接入点发送利用接入点证书公钥签名的接入响应消息,所述接入响应消息包括网关身份标识、接入点身份标识、身份验证结果、身份验证密钥密文、身份验证消息、身份验证密钥信息,该身份验证密钥信息包括身份验证密钥的索引信息等;
步骤S408:在家庭基站接入点利用网关证书公钥检验接入响应消息签名的有效性,利用鉴权服务器证书公钥检验身份验证消息的有效性,并在家庭基站接入点检验接入响应消息中的网关身份标识与在该家庭基站接入点本地存储的网关身份标识的一致性,检验接入响应消息中的接入点身份标识与该家庭基站接入点自身的接入点身份标识的一致性;
步骤S409:在步骤S408的验证均通过时,在家庭基站接入点使用接入点私钥解密身份验证密钥密文,保存得到的身份验证密钥,并利用该身份验证密钥推导出安全隧道密钥,通过家庭基站接入点向家庭基站网关发送利用接入点证书私钥签名的连接建立消息,该连接建立消息包括接入点身份标识、网关身份标识、身份验证密钥信息、消息鉴别码,该消息鉴别码是使用消息身份验证密钥计算得到的;
步骤S410:在家庭基站网关利用接入点证书公钥检验连接建立消息签名的有效性,并在家庭基站网关检验家庭基站网关本地计算的消息鉴别码和接收到的消息鉴别码的一致性,检验连接建立消息中的网关身份标识与该家庭基站网关自身的网关身份标识的一致性,检验连接建立消息中的接入点身份标识与该家庭基站网关本地存储的接入点身份标识的一致性,检验连接建立消息中的身份验证密钥信息与该家庭基站网关本地存储的身份验证密钥信息的一致性;
步骤S411:在步骤S410的验证均通过时,利用身份验证密钥推导安全隧道密钥,此时,家庭基站接入点成功接入家庭基站网关。
上述步骤中,为步骤S402、步骤S404、步骤S406、步骤S408、步骤S410中对应的验证过程均分别通过的实施流程,若步骤S402中的验证任意一项不通过,若步骤S404中的验证任意一项不通过,或者步骤S406中的验证任意一项不通过,或者步骤S408中的验证任意一项不通过,或者步骤S410中的验证任意一项不通过,接入过程失败,在此不予赘述。
实施例四
参见图5所示,为基于本发明第四实施例的方法流程图。
为了保证家庭基站接入点、家庭基站网关、鉴权服务器所传递的信息和用户数据的安全性,与实施例一不同的是,在本实施例中所传递的信息(包括接入询问消息、身份询问消息、身份验证消息、接入响应消息、连接建立消息)还响应的包括接入点随机数、网关随机数(但接入询问消息只包括接入点随机数)相应的,还有对接入点随机数、网关随机数的验证步骤。具体如下:
步骤S501:家庭基站接入点首次接入网络时(如刚上电或重新启动等),家庭基站接入点产生一个接入点随机数,通过家庭基站接入点向家庭基站网关发送接入询问消息,该接入询问消息包括接入点身份标识、接入点相关信息、接入点随机数;
步骤S502:检验接入点相关信息的有效性;
步骤S503:在步骤S502的验证通过时,在家庭基站网关保存接入点身份标识、接入点随机数,并产生网关随机数,通过家庭基站网关将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识、接入点随机数、网关随机数;
步骤S504:通过鉴权服务器对所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书进行验证;
步骤S505:在步骤S504的验证均通过时,通过鉴权服务器向家庭基站发送身份验证消息,该身份验证消息包括步骤S204的身份验证结果,还包括网关身份标识、接入点身份标识、接入点随机数、网关随机数;
步骤S506:在家庭基站网关检验身份验证消息的有效性,检验身份验证消息中的网关身份标识与该家庭基站网关自身的网关身份标识的一致性,检验身份验证消息中的接入点身份标识与该家庭基站网关存储的对应的接入点身份标识的一致性,检验身份验证消息中的网关随机数与该家庭基站网关自身产生对应的网关随机数的一致性,检验身份验证消息中的接入点随机数与该家庭基站网关存储的对应的接入点随机数的一致性;
步骤S507:在步骤S506的验证均通过时,则在家庭基站网关使用接入点证书公钥对预先生成的身份验证密钥进行加密,通过家庭基站网关向家庭基站接入点发送接入响应消息,所述接入响应消息包括网关身份标识、接入点身份标识、身份验证结果、身份验证密钥密文、接入点随机数、网关随机数、身份验证密钥信息,该身份验证密钥信息包括身份验证密钥的索引信息等;
步骤S508:在家庭基站接入点检验接入响应消息中的网关身份标识与在该家庭基站接入点本地存储的网关身份标识的一致性,检验接入响应消息中的接入点身份标识与该家庭基站接入点自身的接入点身份标识的一致性,检验接入响应消息中的接入点随机数与该家庭基站接入点本地存储的接入点随机数的一致性;
步骤S509:在步骤S508的验证均通过时,使用接入点私钥解密身份验证密钥密文,保存得到的身份验证密钥,并利用该身份验证密钥推导出安全隧道密钥,通过家庭基站接入点向家庭基站网关发送利用接入点证书私钥进行签名的连接建立消息,该连接建立消息包括接入点身份标识、网关身份标识、身份验证密钥信息、消息鉴别码,该消息鉴别码是使用消息身份验证密钥计算得到的;
步骤S510:在家庭基站网关利检验家庭基站网关本地计算的消息鉴别码和接收到的消息鉴别码的一致性,检验连接建立消息中的网关身份标识与该家庭基站网关自身的网关身份标识的一致性,检验连接建立消息中的接入点身份标识与该家庭基站网关本地存储的接入点身份标识的一致性,检验连接建立消息中的网关随机数与在该家庭基站网关本地存储的网关随机数的一致性,检验连接建立消息中的接入点随机数与该家庭基站网关本地存储的接入点随机数的一致性,检验连接建立消息中的身份验证密钥信息与该家庭基站网关本地存储的身份验证密钥信息的一致性;
步骤S511:在步骤S210的验证均通过,利用身份验证密钥推导安全隧道密钥,此时,家庭基站接入点成功接入家庭基站网关。
需要说明的是,上述步骤中,为步骤S502、步骤S504、步骤S506、步骤S508、步骤S510中对应的验证过程均分别通过的实施流程,若步骤S502中的验证任意一项不通过,若步骤S504中的验证任意一项不通过,或者步骤S506中的验证任意一项不通过,或者步骤S508中的验证任意一项不通过,或者步骤S510中的验证任意一项不通过,接入过程失败,在此不予赘述。
另外,需要说明的是,本实例中,是在实施例一基础上的进一步改进,也可以在实施例三的基础上做进一步改进,在此不予赘述。
根据上述本发明的家庭基站网络安全接入方法,本发明还提供一种家庭基站网络安全接入设备。
参见图6所示,为本发明家庭基站网络安全接入设备实施例的结构示意图。依据不同的考虑因素,在具体实现本发明的家庭基站网络安全接入设备时,可以包含图6中所示的全部,也可以只包含图6中所示的其中一部分,以下就针对其中的几个家庭基站网络安全接入设备的具体实施例进行详细说明。
设备实施例一
在该实施例中,可以是包括图6所示的发送单元601、验证单元602、分发单元603,其中:
发送单元601,用于通过家庭基站网关将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识,其中,接入点身份标识可以是运营商网络设备号或者其他可以描述家庭基站接入点身份唯一性的信息,网关身份标识可以是运营商网络设备号或者其他可以描述家庭基站网关身份唯一性的信息;
验证单元602,用于验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书,例如,验证对应证书是否有效(如无法获取对应证书,则也可以认为对应证书无效),验证对应证书的有效期,或者验证对应的证书是否有吊销信息;
分发单元603,用于当对接入点证书和网关证书的验证均通过后,通过所述家庭基站网关向家庭基站接入点分发用于与该接入点家庭基站建立安全隧道的安全隧道密钥,在在成功分发安全隧道密钥后,家庭基站网关成功安全的接入家庭基站网关,其中,分发安全隧道密钥可以采用现有的方式,在此不予赘述。
据此,根据上述实施例的方案,在验证单元602验证通过了家庭基站接入点和家庭基站网关对应的证书后,分发单元603通过所述家庭基站网关向家庭基站接入点分发用于与该接入点家庭基站建立安全隧道的安全隧道密钥,一方面,通过对家庭基站接入点和家庭基站网关对应的证书的验证,保证了只有合法的家庭基站接入点才能接入网络,同时,接收到的是接入点身份标识和网关身份标识,而非接入点证书和网关证书,数据传输量小,可大大提高家庭基站接入点接入网络的效率,另一方面,可通过安全隧道密钥建立安全隧道,即可在此安全隧道中进行业务数据的保密传输,避免了网络非法入侵者截获数据,本发明在家庭基站接入点和家庭基站网关进行业务数据前,解决了安全接入问题。
设备实施例二
在该实施例中,在上述设备实施例一的基础上,还可以包括有丢弃单元604。
在该丢弃单元604用于当对接入点证书和网关证书的验证有任意一项未通过时,丢弃所述身份询问消息,也即接入过程失败,本实施例是在验证单元602验证接入点证书、网关证书时有任意一个不通过时的情况。
设备实施例三
在该实施例中,在上述设备实施例一的基础上,还可以包括证书颁发单元605,该证书颁发单元605用于通过鉴权服务器端向家庭基站网关、家庭基站接入点颁发证书和私钥,并分别将对应的证书和私钥与对应的身份标识绑定,即将家庭基站接入点证书、接入点私钥与接入点身份标识绑定,将家庭基站网关证书、网关私钥与网关身份标识绑定,并将这些绑定关系存储在在鉴权服务器以供在接收到接入点身份标识、网关身份标识时能顺利查找到对应的证书。
设备实施例四
在该实施例中,所述的基站网络安全接入设备还可以包括签名单元606和签名验证单元607,签名单元606用于利用网关证书私钥对所述身份询问消息进行签名,签名验证单元607用于利用网关证书公钥对所述身份询问消息的签名进行验证,这是为了保证家庭基站接入点、家庭基站网关、鉴权服务器所传递的信息和用户数据的安全性。
此外,所述身份询问消息还可以包括接入点随机数和/或者网关随机数,则相应的需要验证接入点随机数和/或者网关随机数,进一步保证家庭基站接入点、家庭基站网关、鉴权服务器所传递的信息和用户数据的安全性。
依据上述本发明的家庭基站网络安全接入方法或家庭基站网络安全接入设备,本发明还提供一种家庭基站网络安全接入系统。参见图7所示,为本发明的家庭基站网络安全接入系统实施例的结构示意图。包括家庭基站接入点701、家庭基站网关702、鉴权服务器703,鉴权服务器701,可部署在运营商所管理的核心网侧的AAA服务器中或其他核心网设备中,家庭基站网关702,可部署在运营商所管理的核心网侧,家庭基站接入点703,可以通过因特网或其他无线网络和核心网侧的家庭基站网关702相连接,其中:
家庭基站网关702用于将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识,还用于向所述家庭基站接入点分发用于与所述接入点家庭基站建立安全隧道的安全隧道密钥,其中,接入点身份标识可以是运营商网络设备号或者其他可以描述家庭基站接入点身份唯一性的信息,网关身份标识可以是运营商网络设备号或者其他可以描述家庭基站网关身份唯一性的信息,分发安全隧道密钥可以采用现有的方式,在此不予赘述;
鉴权服务器701用于验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书,例如,验证对应证书是否有效(如无法获取对应证书,则也可以认为对应证书无效),验证对应证书的有效期,或者验证对应的证书是否有吊销信息;
接入点家庭基站703用于获取所述安全隧道密钥,其中,获取安全隧道密钥可以采用现有的方式,在此不予赘述。
据此,根据上述实施例的方案,鉴权服务器701验证通过了家庭基站接入点和家庭基站网关对应的证书后,家庭基站网关702通过所述家庭基站网关向家庭基站接入点分发用于与该接入点家庭基站建立安全隧道的安全隧道密钥,一方面,通过对家庭基站接入点和家庭基站网关对应的证书的验证,保证了只有合法的家庭基站接入点才能接入网络,同时,接收到的是接入点身份标识和网关身份标识,而非接入点证书和网关证书,数据传输量小,可大大提高家庭基站接入点接入网络的效率,另一方面,可通过安全隧道密钥建立安全隧道,即可在此安全隧道中进行业务数据的保密传输,避免了网络非法入侵者截获数据,本发明在家庭基站接入点和家庭基站网关进行业务数据前,解决了安全接入问题。
在其中一个实施例中,鉴权服务器701还可以用于当对接入点证书和网关证书的验证有任意一项未通过时,丢弃所述身份询问消息。
在其中一个实施例中,鉴权服务器701还可以用于向家庭基站网关、家庭基站接入点颁发证书和私钥,并分别将对应的证书和私钥与对应的身份标识绑定,即将家庭基站接入点证书、接入点私钥与接入点身份标识绑定,将家庭基站网关证书、网关私钥与网关身份标识绑定,并将这些绑定关系存储在在鉴权服务器以供在接收到接入点身份标识、网关身份标识时能顺利查找到对应的证书。
在其中一个实施例中,家庭基站网关702还可以用于利用网关证书私钥对所述身份询问消息进行签名,鉴权服务器703还用于利用网关证书公钥对所述身份询问消息的签名进行验证,这是为了保证家庭基站接入点、家庭基站网关、鉴权服务器所传递的信息和用户数据的安全性。
另外,为了保证家庭基站接入点、家庭基站网关、鉴权服务器所传递的信息和用户数据的安全性,如前所述身份询问消息还可以包括接入点随机数和/或者网关随机数。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种家庭基站网络安全接入方法,其特征在于,包括如下步骤:
通过鉴权服务器端向家庭基站网关、家庭基站接入点颁发证书,并分别将对应的证书与对应的身份标识绑定;
通过家庭基站网关将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识;
通过所述鉴权服务器验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书;
当对接入点证书和网关证书的验证均通过后,通过所述家庭基站网关向家庭基站接入点分发用于与该接入点家庭基站建立安全隧道的安全隧道密钥。
2.根据权利要求1所述的家庭基站网络安全接入方法,其特征在于:
还包括步骤:当对接入点证书和网关证书的验证有任意一项未通过时,丢弃所述身份询问消息;
或者/和
还包括步骤:通过鉴权服务器端向家庭基站网关、家庭基站接入点颁发私钥,并分别将对应的私钥与对应的身份标识绑定;
还包括步骤:利用网关证书私钥对所述身份询问消息进行签名,利用网关证书公钥对所述身份询问消息的签名进行验证。
3.根据权利要求1或2所述的家庭基站网络安全接入方法,其特征在于:所述身份询问消息还包括接入点随机数和/或者网关随机数。
4.一种家庭基站网络安全接入设备,其特征在于,包括:
包括证书颁发单元,用于通过鉴权服务器端向家庭基站网关、家庭基站接入点颁发证书,并分别将对应的证书与对应的身份标识绑定;
发送单元,用于通过家庭基站网关将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识;
验证单元,用于通过所述鉴权服务器验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书;
分发单元,用于当对接入点证书和网关证书的验证均通过后,通过所述家庭基站网关向家庭基站接入点分发用于与该接入点家庭基站建立安全隧道的安全隧道密钥。
5.根据权利要求4所述的家庭基站网络安全接入设备,其特征在于:
还包括丢弃单元,用于当对接入点证书和网关证书的验证有任意一项未通过时,丢弃所述身份询问消息;
或者/和
所述证书颁发单元还用于通过鉴权服务器端向家庭基站网关、家庭基站接入点颁发私钥,并分别将对应的私钥与对应的身份标识绑定;
或者/和
还包括签名单元和签名验证单元,所述签名单元用于利用网关证书私钥对所述身份询问消息进行签名,所述签名验证单元用于利用网关证书公钥对所述身份询问消息的签名进行验证。
6.根据权利要求4或5所述的家庭基站网络安全接入设备,其特征在于,所述身份询问消息还包括接入点随机数和/或者网关随机数。
7.一种家庭基站网络安全接入系统,其特征在于,包括家庭基站网关、鉴权服务器、家庭基站接入点;
所述家庭基站网关用于将身份询问消息发送至鉴权服务器,所述身份询问消息包括接入点身份标识、网关身份标识,还用于向所述家庭基站接入点分发用于与所述接入点家庭基站建立安全隧道的安全隧道密钥;
所述鉴权服务器用于向家庭基站网关、家庭基站接入点颁发证书,并分别将对应的证书与对应的身份标识绑定,验证所述接入点身份标识对应的接入点证书、所述网关身份标识对应的网关证书;
所述接入点家庭基站用于获取所述安全隧道密钥。
8.根据权利要求7所述的家庭基站网络安全接入系统,其特征在于,所述鉴权服务器还用于当对接入点证书和网关证书的验证有任意一项未通过时,丢弃所述身份询问消息。
9.根据权利要求7所述的家庭基站网络安全接入系统,其特征在于:
所述鉴权服务器还用于向家庭基站网关、家庭基站接入点颁发私钥,并分别将对应的私钥与对应的身份标识绑定。
10.根据权利要求7至9之一所述的家庭基站网络安全接入系统,其特征在于:
所述家庭基站网关还用于利用网关证书私钥对所述身份询问消息进行签名,所述鉴权服务器还用于利用网关证书公钥对所述身份询问消息的签名进行验证;
或者/和
所述身份询问消息还包括接入点随机数和/或者网关随机数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210514457.5A CN103024742B (zh) | 2012-12-04 | 2012-12-04 | 家庭基站网络安全接入方法、设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210514457.5A CN103024742B (zh) | 2012-12-04 | 2012-12-04 | 家庭基站网络安全接入方法、设备和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103024742A CN103024742A (zh) | 2013-04-03 |
| CN103024742B true CN103024742B (zh) | 2015-09-02 |
Family
ID=47972778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210514457.5A Active CN103024742B (zh) | 2012-12-04 | 2012-12-04 | 家庭基站网络安全接入方法、设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103024742B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104581718A (zh) | 2013-10-09 | 2015-04-29 | 中兴通讯股份有限公司 | 一种实现安全接入的方法、系统及无线网关设备 |
| CN106454836B (zh) * | 2015-08-06 | 2021-12-31 | 中兴通讯股份有限公司 | 一种增强设备证书使用安全的方法及装置 |
| CN110832823B (zh) * | 2017-05-11 | 2021-12-14 | 无线通信与技术公司 | 对多个接入点的基于云的wifi网络设置 |
| CN108769007B (zh) * | 2018-05-28 | 2020-08-21 | 上海顺舟智能科技股份有限公司 | 网关安全认证方法、服务器及网关 |
| CN112272379B (zh) * | 2020-10-22 | 2023-06-02 | 中国联合网络通信集团有限公司 | 微基站注册方法、装置和注册服务器 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101437223A (zh) * | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种家庭基站接入的方法、系统和装置 |
| CN101588368A (zh) * | 2009-07-14 | 2009-11-25 | 中国联合网络通信集团有限公司 | 业务认证方法和系统 |
| CN101827066A (zh) * | 2009-03-06 | 2010-09-08 | 华为技术有限公司 | 一种入网认证方法和装置 |
-
2012
- 2012-12-04 CN CN201210514457.5A patent/CN103024742B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101437223A (zh) * | 2007-11-16 | 2009-05-20 | 华为技术有限公司 | 一种家庭基站接入的方法、系统和装置 |
| CN101827066A (zh) * | 2009-03-06 | 2010-09-08 | 华为技术有限公司 | 一种入网认证方法和装置 |
| CN101588368A (zh) * | 2009-07-14 | 2009-11-25 | 中国联合网络通信集团有限公司 | 业务认证方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103024742A (zh) | 2013-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3410758B1 (en) | Wireless network connecting method and apparatus, and storage medium | |
| EP2063567B1 (en) | A network access authentication and authorization method and an authorization key updating method | |
| CN103024742B (zh) | 家庭基站网络安全接入方法、设备和系统 | |
| CN101552986B (zh) | 一种流媒体业务的接入认证方法及系统 | |
| RU2014147182A (ru) | Способ и система для установления туннеля по протоколам для обеспечения защиты данных | |
| CN107920350A (zh) | 一种基于sdn的隐私保护切换认证方法、5g异构网络 | |
| CN101895882A (zh) | 一种WiMAX系统中的数据传输方法、系统及装置 | |
| CN101945386A (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
| CN101931953A (zh) | 生成与设备绑定的安全密钥的方法及系统 | |
| CN111818516B (zh) | 认证方法、装置及设备 | |
| WO2021190273A1 (zh) | 一种通信方法、装置及系统 | |
| CN101631309A (zh) | 基于家庭基站网络的对终端进行鉴权的方法、设备及系统 | |
| CN104010305A (zh) | 基于物理层密钥的终端和接入网的双向认证增强方法 | |
| CN108833113A (zh) | 一种基于雾计算的增强通讯安全的认证方法及系统 | |
| EP3565178B1 (en) | Message protection method, user device and core network device | |
| Han et al. | Building femtocell more secure with improved proxy signature | |
| CN115038084A (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
| CN106789845A (zh) | 一种网络数据安全传输的方法 | |
| CN104883372A (zh) | 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法 | |
| WO2017020530A1 (zh) | 一种增强的wlan证书鉴别方法、装置及系统 | |
| Sari et al. | Addressing security challenges in WiMAX environment | |
| WO2011003352A1 (zh) | 终端私密性的保护方法及装置 | |
| CN102883265B (zh) | 接入用户的位置信息发送和接收方法、设备及系统 | |
| CN101877852A (zh) | 用户接入控制方法和系统 | |
| CN103200191B (zh) | 通信装置和无线通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |