CN103096311A - 家庭基站安全接入的方法及系统 - Google Patents
家庭基站安全接入的方法及系统 Download PDFInfo
- Publication number
- CN103096311A CN103096311A CN2011103645495A CN201110364549A CN103096311A CN 103096311 A CN103096311 A CN 103096311A CN 2011103645495 A CN2011103645495 A CN 2011103645495A CN 201110364549 A CN201110364549 A CN 201110364549A CN 103096311 A CN103096311 A CN 103096311A
- Authority
- CN
- China
- Prior art keywords
- identity information
- network element
- core network
- digital signature
- segw
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种家庭基站安全接入的方法及系统,其中,所述方法包括:SeGW在对H(e)NB进行身份认证时对所述H(e)NB的身份信息进行数字签名,并将所述数字签名发送给所述H(e)NB;所述H(e)NB在H(e)NB注册时或在用户设备UE通过H(e)NB注册时,将所述H(e)NB的身份信息和数字签名发送给核心网网元;所述核心网网元对所述H(e)NB的身份信息和数字签名进行正确性验证,验证通过后对所述UE进行接入控制。本发明避免了非法H(e)NB直接到核心网网元注册并实现对UE的业务接入,维护了网络安全。
Description
技术领域
本发明涉及家庭基站安全接入技术,尤其涉及一种家庭基站安全接入的方法及系统。
背景技术
第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)提出的演进的分组系统(EPS,Evolved Packet System),由演进的通用移动通信系统陆地无线接入网(E-UTRAN,Evolved Universal Terrestrial Radio Access Network)、移动管理单元(MME,Mobility Management Entity)、服务网关(S-GW,ServingGateway)、分组数据网络网关(P-GW或者PDN GW,Packet Data NetworkGateway)、归属用户服务器(HSS,Home Subscriber Server)和3GPP的认证授权计费(AAA,Authentication、Authorization and Accounting)服务器组成。
家庭基站在接入演进的核心网(EPC,Evolved Packet Core)时,为了保证安全,在演进的核心网中引入了安全网关(SeGW,Security Gateway),家庭基站在与核心网设备通信前首先与安全网关间建立IPSec隧道。家庭基站与核心网设备间的控制面通信数据以及用户面数据均经过该IPSec隧道的加密。图1为H(e)NB接入核心网的系统架构的示意图,如图1所示,该架构同时支持传统的GERAN/UTRAN和(LTE,Long Term Evolution)接入,其中HNB(HomeNodeB)是支持GERAN/UTRAN的家庭基站,HeNB(Home eNodeB)是支持LTE的家庭基站。当采用HNB接入时,家庭基站网关(HNB GW,Home NodeBGateway)是必选的。在HNB上电时,HNB需到HNB GW注册。当采用HeNB接入时,演进的家庭基站网关(HeNB GW,Home eNodeB Gateway)是可选的。在HeNB GW部署时,HeNB注册到HeNB GW,当HeNB GW不部署时,HeNB注册到MME。
根据3GPP协议,当UE从H(e)NB(即HNB或HeNB)接入时,MME或GPRS服务支持节点(SGSN,Serving GPRS SUPPORT NODESGSN)或HNBGW对UE进行接入控制。当UE通过H(e)NB附着时,若UE和网络支持闭合用户组(CSG,Closed Subscribe Group),该H(e)NB将自身所支持的CSGID(CSG identity)通知给SGSN或MME。SGSN或MME根据从HSS中获得的用户签约数据判断是否允许该用户从该H(e)NB接入。当UE通过HNB附着时,若UE或网络不支持CSG,HNB GW根据本地配置的该HNB所允许的UEIMSI列表判断是否允许该UE从该HNB接入。
在上述UE通过H(e)NB接入过程中,所有相关消息均经过了H(e)NB和SeGW间的安全隧道进行保护。H(e)NB在上电时与SeGW建立安全隧道,并且互相认证,因此,从SeGW的角度看,H(e)NB是可信的。但是,现有协议无法保证H(e)NB发送给MME/SGSN/HNB GW的身份与其在与SeGW互认证时的身份一致,事实上,在很多场景中H(e)NB在MME/SGSN/HNB GW中使用了不同于其与SeGW互认证时的身份。根据目前协议,SeGW不负责H(e)NB在MME/SGSN/HNB GW中所使用身份的认证。
因此,根据现有协议,H(e)NB可以在后续与MME/SGSN/H(e)NB GW通信时冒用别人的身份。比如,HeNB1先使用真实身份(该身份基于证书或基于托管方单元(HPM))与SeGW建立IPSec隧道并互认证,当UE从HeNB1接入时,HeNB1将HeNB2的HeNB ID和HeNB2所支持的CSG ID发送给MME。根据该HeNB2的CSG ID,UE的接入是允许的,但若根据HeNB1所支持的CSG ID,UE的接入是不被允许的。在上述例子中,HeNB1冒用别人身份,从而使得本来不允许接入的用户可以接入网络,从而破坏了网络的安全性。
针对该问题,有人提出了一种在SeGW和MME/H(e)NB GW之间增加新接口,并由SeGW将H(e)NB ID和H(e)NB内部IP地址的关联关系发送给MME/H(e)NB GW的方法,以对H(e)NB在核心网中的身份(亦即在MME/H(e)NB GW中所用身份)进行认证。然而,该方法存在很多缺陷,具体的:H(e)NB ID和H(e)NB内部IP地址的关联关系只能在H(e)NB上电时由IPSec消息触发发送给MME//H(e)NB GW,SeGW需选择合适的MME//H(e)NB GW发送该关联关系,并且需要保证当H(e)NB注册时,H(e)NB选择了相同的MME、H(e)NB GW,因此,具体实施时需要保证H(e)NB选择相同的MME或H(e)NB GW,这无疑会增加实现的难度,并且,如果H(e)NB未选择初始上电时发送自身身份的MME或H(e)NB GW,该方法就会失效。根据现有协议,H(e)NB是根据H(e)MS的配置信息选择MME或H(e)NB GW的,然而SeGW与H(e)MS并无接口,因此很难保证SeGW选择的MME、H(e)NB GW与H(e)NB所选择的H(e)NB GW和MME相同。并且,该方案假设MME、H(e)NB GW是H(e)NB的认证服务器,然而,根据现有协议,基于HPM模块的认证是可选的,因此,H(e)NB的认证可能不需要用到AAA服务器,这使得该方案不能适用于所有场景。
发明内容
有鉴于此,本发明的主要目的在于提供一种家庭基站安全接入的方法及系统,能防止非法家庭基站冒充合法家庭基站接入核心网并为用户设备提供业务服务。
为达到上述目的,本发明的技术方案是这样实现的:
一种家庭基站安全接入的方法,包括:
安全网关SeGW对H(e)NB的身份信息进行数字签名,并将所述H(e)NB数字签名发送给所述H(e)NB;
所述H(e)NB将所述H(e)NB的身份信息和数字签名发送给核心网网元;
所述核心网网元对所述H(e)NB的身份信息和数字签名进行正确性验证。
优选地,所述SeGW对H(e)NB的身份信息进行数字签名为:
所述SeGW在对所述H(e)NB进行身份认证时获取所述H(e)NB的身份信息,并对所述H(e)NB的身份信息进行数字签名。
优选地,所述H(e)NB将所述H(e)NB的身份信息发送给核心网网元为:
所述H(e)NB在所述H(e)NB注册时将所述H(e)NB的身份信息和数字签名发送给所述核心网网元。
优选地,所述H(e)NB将所述H(e)NB的身份信息和数字签名发送给核心网网元为:
所述H(e)NB在用户设备UE通过所述H(e)NB注册时,将所述H(e)NB的身份信息和数字签名发送给所述核心网网元。
优选地,所述安全网关SeGW采用所述安全网关的私钥对所述H(e)NB的身份信息进行数字签名;
对应地,所述核心网网元通过所述安全网关的公钥对所述H(e)NB的身份信息和数字签名进行正确性验证。
优选地,所述SeGW采用动态会话密钥对所述H(e)NB的身份信息进行数字签名;
所述方法还包括:所述SeGW将所述动态会话密钥通知归属用户服务器HSS/认证授权计费AAA服务器,所述HSS/AAA服务器存储所述动态会话密钥。
优选地,所述核心网网元对所述H(e)NB的身份信息和数字签名进行正确性验证为:
所述核心网网元从所述AAA/HSS获取对所述H(e)NB的身份信息数字签名的所述临时会话密钥,利用所述临时会话密钥对所解析出的H(e)NB的身份信息进行验证。
优选地,所述H(e)NB的身份信息为家庭基站标识H(e)NB ID和H(e)NB的内部IP地址,或闭合用户组标识CSG ID和H(e)NB的内部IP地址,或H(e)NB ID、CSG ID和H(e)NB内部IP地址。
优选地,所述方法还包括:
所述核心网网元在验证所述H(e)NB信息和数字签名成功后,所述核心网网元保存所述H(e)NB信息。
优选地,所述核心网网元为H(e)NB GW或MME。
优选地,所述核心网网元为MME或SGSN或MSC。
优选地,当UE通过所述H(e)NB接入时:
所述核心网网元验证所述H(e)NB的身份信息正确后将所述H(e)NB的身份信息发送给MME或SGSN或MSC,由MME、SGSN或MSC获取所述H(e)NB所支持的CSG ID信息,并根据所述CSG ID信息对所述UE进行接入控制;其中,所述MME、SGSN或MSC从所述H(e)NB信息中获取所述CSG ID信息,或从所述HSS/AAA服务器获取所述CSG ID信息。
优选地,当UE通过所述H(e)NB接入时:
所述核心网网元验证所述H(e)NB的身份信息正确后获取所述H(e)NB所支持的CSG ID信息,并根据所述CSG ID信息对所述UE进行接入控制;其中,所述核心网网元从所述H(e)NB信息中获取所述CSG ID信息,或从所述HSS/AAA服务器获取所述CSG ID信息。
优选地,所述核心网网元从配置的所述SeGW的证书中获取SeGW的公钥,或者所述核心网网元从H(e)NB发送给所述核心网网元的证书中获取SeGW的公钥。
优选地,所述SeGW通过扩展IKEv2的配置载荷CP将所述数字签名发送给所述H(e)NB。
优选地,所述SeGW还可通过扩展IKEv2的配置载荷CP将H(e)NB身份信息发送给所述H(e)NB。
一种家庭基站安全接入的方法,包括:
H(e)NB向核心网网元注册时,所述核心网网元通过设置于所述核心网网元与SeGW之间的通信接口获取所述H(e)NB的身份信息,并与所述H(e)NB上报的身份信息进行正确性验证,验证通过后接受所述H(e)NB注册。
优选地,所述核心网网元为H(e)NB GW;未设置HeNB GW时,所述核心网网元为MME。
一种家庭基站安全接入的系统,包括SeGW、H(e)NB和核心网网元;其中:
所述SeGW,用于对所述H(e)NB的身份信息进行数字签名,并将所述H(e)NB的身份信息连同数字签名一起发送给所述H(e)NB;
所述H(e)NB,用于在H(e)NB注册时或UE通过所述H(e)NB接入时,将所述H(e)NB的身份信息和数字签名发送给核心网网元;
所述核心网网元,用于对所述H(e)NB的身份信息和数字签名进行正确性验证。
优选地,所述SeGW采用所述SeGW的私钥对所述H(e)NB的身份信息进行数字签名;
对应地,所述核心网网元通过所述SeGW的公钥对所述H(e)NB的身份信息和数字签名进行正确性验证。
优选地,所述SeGW采用动态会话密钥对所述H(e)NB的身份信息进行数字签名;
所述SeGW将所述动态会话密钥通知归属用户服务器HSS/认证授权计费AAA服务器,所述HSS/AAA服务器存储所述动态会话密钥。
优选地,所述核心网网元从所述AAA/HSS获取对所述H(e)NB的身份信息数字签名的所述临时会话密钥,利用所述临时会话密钥验证所述H(e)NB的身份信息。
优选地,所述H(e)NB的身份信息为家庭基站标识H(e)NB ID和H(e)NB的内部IP地址,或闭合用户组标识CSG ID和H(e)NB的内部IP地址,或H(e)NB ID、CSG ID和H(e)NB内部IP地址;
所述核心网网元为移动管理单元MME或GPRS服务支持节点SGSN或家庭基站网关H(e)NB GW。
一种家庭基站安全接入的系统,包括SeGW、H(e)NB和核心网网元;所述SeGW与所述核心网网元之间设置有通信接口,其中:
所述H(e)NB,用于向所述核心网网元进行注册,并上报自身的身份信息;
所述核心网网元,用于通过所述核心网网元与SeGW之间的通信接口获取所述H(e)NB进行身份认证时的身份信息,并与所述H(e)NB上报的身份信息进行正确性验证,验证通过后接受所述H(e)NB注册。
本发明中,在SeGW对H(e)NB进行身份认证时,SeGW会对所述H(e)NB的身份信息进行数字签名,并将所述H(e)NB的身份信息连同数字签名一起发送给所述H(e)NB;H(e)NB在UE附着或跟踪区更新或路由更新时,将自身的身份信息和数字签名发送给核心网网元;核心网网元对H(e)NB的身份信息和数字签名进行正确性验证,验证通过后对UE进行接入控制。或者,在SeGW与核心网网元之间设置通信接口,核心网网元在接收到H(e)NB注册请求时直接从SeGW获取H(e)NB的身份信息,并对请求注册的H(e)NB进行身份认证。本发明避免了非法H(e)NB直接到核心网网元注册并实现对UE的业务接入,维护了网络安全。
附图说明
图1为H(e)NB接入核心网的系统架构的示意图。
图2为本发明实施例一的家庭基站安全接入的方法流程图;
图3为本发明实施例二的家庭基站安全接入的方法流程图;
图4为本发明实施例三的家庭基站安全接入的方法流程图;
图5为本发明实施例四的家庭基站安全接入的方法流程图;
图6为本发明实施例的家庭基站安全接入系统的组成结构示意图;
图7为本发明实施例五的家庭基站安全接入的方法流程图。
具体实施方式
本发明的基本思想为:在SeGW对H(e)NB进行身份认证时,SeGW会对所述H(e)NB的身份信息进行数字签名,并将所述H(e)NB的身份信息连同数字签名一起发送给所述H(e)NB;H(e)NB在UE附着或跟踪区更新或路由更新时,将自身的身份信息和数字签名发送给核心网网元;核心网网元对H(e)NB的身份信息和数字签名进行正确性验证,验证通过后对UE进行接入控制。或者,在SeGW与核心网网元之间设置通信接口,核心网网元在接收到H(e)NB注册请求时直接从SeGW获取H(e)NB的身份信息,并对请求注册的H(e)NB进行身份认证。
为使本发明的目的,技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。
实施例一
图2为本发明实施例一的家庭基站安全接入的方法流程图,由于H(e)NB可能会被攻击,因此核心网不能信任H(e)NB自身提供的身份。考虑到SeGW是可信任的安全实体,因此,本发明考虑由SeGW对H(e)NB身份进行数字签名,并将该数字签名发送给H(e)NB。由H(e)NB将由SeGW数字签名的身份信息发送给核心网网元进行身份验证。如图2所示,本示例的家庭基站安全接入的方法具体包括以下步骤:
步骤201,SeGW对H(e)NB的身份信息进行数字签名。
H(e)NB的身份信息包括H(e)NB ID,和/或CSG ID,和/或其它身份。为了验证数字签名的H(e)NB的身份信息确实是SeGW发送给某个H(e)NB的,SeGW在该H(e)NB身份信息中包括该H(e)NB的内部IP地址。H(e)NB的内部IP地址是在IPSec隧道建立时SeGW分配给H(e)NB的IP地址。H(e)NB采用该内部IP地址与核心网网元进行通信,该内部IP地址包含在IPSec隧道报文内部IP包的包头中。
SeGW可采用SeGW的私密钥对H(e)NB的身份信息进行数字签名,也可采用会话密钥对H(e)NB的身份信息进行数字签名。
步骤202,SeGW将数字签名的H(e)NB身份信息发送给H(e)NB。
步骤203,H(e)NB将上述数字签名和H(e)NB身份信息发送给核心网网元(即H(e)NB GW或MME或SGSN)。H(e)NB可以在注册时发送上述信息或者在UE接入时随同UE相关消息发送上述信息。当在注册时发送上述信息时,该信息将发送给H(e)NB GW,若H(e)NB GW未部署,则发送给MME;当在UE接入时随同UE相关消息发送时,该信息将发送给MME(EUTRAN时)或SGSN(UTRAN或GERAN时)或MSC。
步骤204,核心网网元对该H(e)NB身份信息数字签名进行验证。
当SeGW采用私密钥对H(e)NB的身份信息进行数字签名时,核心网网元(即MME或SGSN或H(e)NB GW)采用SeGW的公开密钥对数字签名进行验证。当SeGW采用会话密钥对H(e)NB的身份信息进行数字签名时,核心网网元需使用相同的会话密钥对数字签名进行验证。
在本发明中,根据验证H(e)NB身份信息的位置不同验证方式有两种,分别为:在H(e)NB注册时对H(e)NB身份信息进行验证;或者,在UE接入时对H(e)NB身份进行验证。
若H(e)NB身份信息进行验证是在H(e)NB注册时验证的,则验证H(e)NB身份的实体将为H(e)NB GW或MME(当H(e)NB GW不部署时)。由于H(e)NB GW与AAA/HSS间无接口,该方案适合使用基于公私钥的数字签名方式。
若H(e)NB身份信息进行验证是在UE接入时验证的,则验证H(e)NB身份的实体是MME(EUTRAN时)或SGSN(GERAN/UTRAN时)。该方案可采用基于公私钥的数字签名方式,或基于动态会话密钥的数字签名方式。
下面将结合具体流程对上述方法作进行进一步描述。
实施例二
图3为本发明实施例二的家庭基站安全接入的方法流程图,本示例是H(e)NB注册时H(e)NB GW或MME对H(e)NB身份信息数字签名进行验证的方法。如图3所示,本示例的家庭基站安全接入的方法具体包括以下步骤:
步骤301,H(e)NB上电。H(e)NB接入到本地网络,并从本地网络获取IP地址配置信息。
步骤302,H(e)NB发起与SeGW的IKEv2协商。该过程包括H(e)NB与SeGW的互认证、安全联盟的协商、SeGW为H(e)NB分配内部IP地址等。
步骤303,SeGW获取H(e)NB用于核心网通信的身份信息,该信息包括H(e)NB ID,和/或CSG ID等。SeGW对H(e)NB的身份信息进行数字签名,具体数字签名算法如下:
X=算法1(H(e)NB身份信息|H(e)NB内部IP地址) [A]
公式[A]中,“I”代表将信息串连。当H(e)NB的身份信息包括多个信息时,SeGW将多个信息串联,也即将多个信息顺序连接。比如,当身份信息是H(e)NB ID和CSG ID时,上述公式中的H(e)NB身份信息即为H(e)NB IDICSG ID。
算法1是一种单向散列算法,本发明不规定具体算法,该算法的目的是将长的字符串转换成适合数字签名算法的长度。作为示例,一种简单的单向散列算法是MD5算法。
数字签名=数字签名算法(X,数字签名密钥) [B]
本发明不规定具体的数字签名算法,数字签名算法可参见现有技术中的任意数字签名算法,如常用的RSA算法可作本发明的数字签名算法。
在本示例中,数字签名密钥是SeGW的私密钥。
步骤304,SeGW将数字签名发送给H(e)NB,可选地,SeGW可将H(e)NB身份信息也一起发送给H(e)NB。若H(e)NB身份信息(如CSG ID、H(e)NB ID)不是通过SeGW发送给H(e)NB的,H(e)NB可以从H(e)MS获取或者在H(e)NB上固定配置。若H(e)NB请求分配IP地址,SeGW亦将H(e)NB内部IP地址发送给H(e)NB。H(e)NB身份信息和数字签名可通过扩展IKEv2协议发送,比如,可扩展IKEv2的配置载荷(CP,Configuration Payload),将H(e)NB身份信息和数字签名放在配置载荷中发送给H(e)NB。
步骤305,IKEv2协商完成。H(e)NB和SeGW间建立了IPSec安全隧道。
步骤306,H(e)NB从H(e)MS中获取配置参数。
步骤307,当网络部署了H(e)NB GW时,H(e)NB给H(e)NB GW发送注册请求消息,该消息中H(e)NB将H(e)NB身份信息和其数字签名发送给H(e)NB GW。
步骤308,H(e)NB GW对H(e)NB的身份信息和数字签名进行认证。验证方法如下:
H(e)NB GW按以下公式对数字签名解密:
Y=解密算法(数字签名,解密密钥)
解密算法与加密算法对应,可参见现有的解密算法,如RSA解密算法等。
上述公式中的数字签名是H(e)NB发送给H(e)NB GW的H(e)NB身份信息的数字签名。在本示例中解密密钥是SeGW的公开密钥。
H(e)NB GW按如下公式计算X’:
X’=算法1(H(e)NB身份信息|H(e)NB IP地址)。 [C]
H(e)NB的身份信息是步骤307中H(e)NB发送给H(e)NB GW的H(e)NB的身份信息;H(e)NB IP地址是步骤307中H(e)NB发送给H(e)NB GW的注册请求消息的源IP地址。
若Y=X’,数字签名验证成功;否则,数字签名验证失败。
H(e)NB GW从配置的SeGW的证书中获取公钥,或者,可选地,在步骤307中,H(e)NB将SeGW的证书发送给H(e)NB GW,H(e)NB GW从接收到的证书中获取SeGW的公钥。
步骤309,若步骤308中的数字签名验证成功,H(e)NB GW完成H(e)NB剩余注册流程,并为其建立上下文,H(e)NB GW向H(e)NB发送注册响应消息;若步骤308中的数字签名验证失败,H(e)NB GW向H(e)NB发送注册失败消息。
步骤310,当网络中未部署HeNB GW时,HeNB到MME中进行注册。HeNB向MME发送注册请求消息,消息中包含HeNB身份信息及其数字签名。
步骤311,MME采用与步骤308中相同的方法对HeNB身份信息及其数字签名进行认证。
步骤312,若步骤311中数字签名验证成功,MME完成H(e)NB剩余注册流程,并为其建立上下文,MME向H(e)NB发送注册响应消息;若步骤308中数字签名验证失败,MME向H(e)NB发送注册失败消息。
实施例三
图4为本发明实施例三的家庭基站安全接入的方法流程图,本示例是UE注册时MME或SGSN对H(e)NB身份信息数字签名进行验证的方法。如图4所示,本示例的家庭基站安全接入的方法具体包括以下步骤:
步骤401,H(e)NB上电。H(e)NB接入到本地网络,并从本地网络获取IP地址配置信息。
步骤402,H(e)NB发起与SeGW的IKEv2协商。该过程包括H(e)NB与SeGW的互认证、安全联盟的协商、SeGW为H(e)NB分配内部IP地址等。
步骤403,SeGW获取H(e)NB用于核心网通信的身份信息,该信息包括H(e)NB ID,和/或CSG ID等。SeGW对H(e)NB的身份信息进行数字签名。当采用SeGW的私钥数字签名时,数字签名算法参见步骤303所示的算法。当采用动态会话密钥数字签名时,可采用如下算法数字签名:
a)按步骤303中的公式[A]计算X;
b)数字签名=数字签名算法(X,动态会话密钥)
其中,动态会话密钥是由SeGW动态生成的,比如,一串随机数,或者采用其他方法生成。
本发明不规定具体的数字签名算法,数字签名算法可参见现有的数字数字签名算法。作为例子,数字签名算法可以是有密钥的HASH算法。
步骤404a,SeGW将数字签名发送给H(e)NB,可选地,SeGW可将H(e)NB身份信息也一起发送给H(e)NB。若H(e)NB身份信息(如CSG ID、H(e)NB ID)不是通过SeGW发送给H(e)NB的,H(e)NB可以从H(e)MS获取或者在H(e)NB上固定配置。若H(e)NB请求分配IP地址,SeGW亦将H(e)NB内部IP地址发送给H(e)NB。H(e)NB身份信息和数字签名可通过扩展IKEv2协议发送,比如,可扩展IKEv2的配置载荷CP,将H(e)NB身份信息和数字签名放在配置载荷中发送给H(e)NB。
步骤404b,SeGW将用于计算H(e)NB数字签名的动态会话密钥保存到HSS/AAA。
步骤405,IKEv2协商完成。H(e)NB和SeGW间建立了IPSec安全隧道。
步骤406,H(e)NB从H(e)MS中获取配置参数。
步骤407,当网络部署了H(e)NB GW时,H(e)NB给H(e)NB GW发送注册请求消息,该消息中H(e)NB将H(e)NB身份信息和其数字签名发送给H(e)NB GW。H(e)NB GW保存H(e)NB身份信息、数字签名、及H(e)NB IP地址。H(e)NB GW完成H(e)NB的注册过程,并给H(e)NB发送注册响应。
步骤408,当网络中未部署HeNB GW时,HeNB到MME中注册。HeNB向MME发送注册请求消息,消息中包含HeNB身份信息及其数字签名。MME保存HeNB身份信息、数字签名、及HeNB IP地址。MME完成H(e)NB的注册过程,并给H(e)NB发送注册响应。
实施例四
图5为本发明实施例四的家庭基站安全接入的方法流程图,本实施例是UE注册时MME或SGSN对H(e)NB身份信息数字签名进行验证的方法。本实施例是UE通过H(e)NB进行附着或路由、跟踪区更新的流程图,如图5所示,本示例的家庭基站安全接入的方法具体包括以下步骤:
步骤501,当UE在H(e)NB下开机或者UE移动到一个位于新的路由区或跟踪区的H(e)NB时,UE给H(e)NB发送附着请求消息或路由区/跟踪区更新请求消息。
步骤502,H(e)NB通过S1接口转发上述UE注册请求消息。当HeNB GW部署时,该消息发送给H(e)NB GW,当HeNB GW不部署时,该消息直接发送给MME。H(e)NB GW判断H(e)NB IP地址是否和其上下文中保存到H(e)NB IP地址一致。若不一致,H(e)NB GW给H(e)NB返回错误。
步骤503,当H(e)NB GW部署时,H(e)NB GW转发502步消息,并从其上下文中获取H(e)NB身份信息,可选地,H(e)NB IP地址和/或数字数字签名,并将这些信息与502步H(e)NB发给H(e)NB GW的S1消息一起发送给SGSN(GERAN或UTRAN时)或MME(EUTRAN时)。H(e)NBGW是在步骤407中保存上述信息的。
步骤504,MME/SGSN根据步骤503接收到的H(e)NB身份信息(如H(e)NB ID)从HSS/AAA中获取数字数字签名会话密钥,并从HSS/AAA中获取该H(e)NB的其他信息,比如,该H(e)NB支持的CSG ID列表,可选地,HSS/AAA将数字数字签名的密钥发送给MME/SGSN。
步骤505,若步骤503H(e)NB GW将数字数字签名发给了MME/SGSN,MME/SGSN对H(e)NB的数字数字签名进行验证。
当采用公私钥对H(e)NB身份信息进行数字签名时,验证算法参见步骤308。其中的H(e)NB身份信息、H(e)NB IP地址、数字签名是步骤503 H(e)NB GW发送给MME/SGSN的。
当采用会话密钥对H(e)NB身份信息进行数字签名时,验证算法如下:
a)按步骤308的公式[C]计算X’
b)Y=数字签名算法(X’,会话密钥)
若Y与步骤502中接收到的数字签名相同,则表示验证成功,否则验证失败。
步骤506,SGSN/MME触发完成后续的UE附着或路由区/跟踪区更新流程。其中包括SGSN/MME根据H(e)NB所支持的CSG列表以及UE签约的CSG列表判断是否允许该UE接入该H(e)NB等操作。
若步骤505数字签名验证失败,UE的附着流程或路由区/跟踪区更新流程失败结束。
图6为本发明实施例的家庭基站安全接入系统的组成结构示意图,本示例记载了另外一种实现H(e)NB的身份验证的家庭基站安全接入系统。具体的,增加了SeGW与MME或SGSN或H(e)NB GW之间的通信接口,当MME或H(e)NB GW收到H(e)NB发来的身份信息后,MME/SGSN/H(e)NB GW通过该新增接口向SeGW发送身份验证请求消息,从而由SeGW验证该H(e)NB的身份是否属实。如图6所示,Sx和Sy接口是新增接口。Sx接口位于MME和SeGW之间,用于MME对H(e)NB身份进行认证,该接口仅用于H(e)NB GW未部署场景。Sy接口位于H(e)NB GW和SeGW之间,用于H(e)NB GW对H(e)NB身份进行认证。下面结合流程图对本方案进行详细说明。
实施例五
图7为本发明实施例五的家庭基站安全接入的方法流程图,本实施例是H(e)NB上电注册流程图,如图7所示,本示例的家庭基站安全接入的方法具体包括以下步骤:
步骤701,H(e)NB上电。H(e)NB接入到本地网络,并从本地网络获取IP地址配置信息。
步骤702,H(e)NB发起与SeGW的IKEv2协商。该过程包括H(e)NB与SeGW的互认证、安全联盟的协商、SeGW为H(e)NB分配内部IP地址等。
步骤703,H(e)NB从H(e)MS中获取配置参数。
步骤704,当网络部署了H(e)NB GW时,H(e)NB给H(e)NB GW发送注册请求消息,该消息中H(e)NB将H(e)NB身份信息发送给H(e)NB GW。
步骤705,为了验证H(e)NB的身份,H(e)NB GW向SeGW发送H(e)NB身份请求消息,该消息中包含了H(e)NB的IP地址(即由SeGW分配给H(e)NB的IP地址)。
步骤706,SeGW根据H(e)NB IP地址查询H(e)NB的IP地址查询H(e)NB的身份信息,并将该身份信息返回给H(e)NB GW。
步骤707,H(e)NB GW保存H(e)NB身份信息,完成H(e)NB剩余注册流程,并为其建立上下文,H(e)NB GW向H(e)NB发送注册响应消息。
步骤708,当网络未部署H(e)NB GW时,H(e)NB给MME发送注册请求消息,该消息中H(e)NB将H(e)NB身份信息发送给MME。
步骤709,为了验证H(e)NB的身份,MME向SeGW发送H(e)NB身份请求消息,该消息中包含了H(e)NB的IP地址(即由SeGW分配给H(e)NB的IP地址)。
步骤710,SeGW根据H(e)NB IP地址查询H(e)NB的IP地址查询H
(e)NB的身份信息,并将该身份信息返回给MME。
步骤711,MME保存H(e)NB身份信息,完成H(e)NB剩余注册流程,并为其建立上下文,MME向H(e)NB发送注册响应消息。
本发明还记载了另外一种家庭基站安全接入的系统,包括SeGW、H(e)NB和核心网网元;其中:
所述SeGW,用于对所述H(e)NB的身份信息进行数字签名,并将所述H(e)NB的身份信息连同数字签名一起发送给所述H(e)NB;
所述H(e)NB,用于在H(e)NB注册时或UE附着或跟踪区更新或路由更新通过所述H(e)NB接入时,将所述H(e)NB的身份信息和数字签名发送给核心网网元;
所述核心网网元,用于对所述H(e)NB的身份信息和数字签名进行正确性验证。
其中,所述SeGW采用所述SeGW的私钥对所述H(e)NB的身份信息进行数字签名;
对应地,所述核心网网元通过所述SeGW的公钥对所述H(e)NB的身份信息和数字签名进行正确性验证。
其中,所述SeGW采用动态会话密钥对所述H(e)NB的身份信息进行数字签名;
所述SeGW将所述动态会话密钥通知归属用户服务器HSS/认证授权计费AAA服务器,所述HSS/AAA服务器存储所述动态会话密钥。
其中,所述核心网网元从所述AAA/HSS获取对所述H(e)NB的身份信息数字签名的所述临时会话密钥,利用所述临时会话密钥验证所述H(e)NB的身份信息。
其中,所述H(e)NB的身份信息为家庭基站标识H(e)NB ID和H(e)NB的内部IP地址,或闭合用户组标识CSG ID和H(e)NB的内部IP地址,或H(e)NB ID、CSG ID和H(e)NB内部IP地址;
所述核心网网元为MME或SGSN或HNB GW。
本领域技术人员应当理解,本示例中的家庭基站安全接入的系统,可参见前述实施例一至四中的相关描述而理解。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (24)
1.一种家庭基站安全接入的方法,其特征在于,所述方法包括:
安全网关SeGW对H(e)NB的身份信息进行数字签名,并将所述数字签名发送给所述H(e)NB;
所述H(e)NB将所述H(e)NB的身份信息和所述数字签名发送给核心网网元;
所述核心网网元对所述H(e)NB的身份信息和所述数字签名进行正确性验证。
2.根据权利要求1所述的方法,其特征在于,所述SeGW对H(e)NB的身份信息进行数字签名为:
所述SeGW在对所述H(e)NB进行身份认证时获取所述H(e)NB的身份信息,并对所述H(e)NB的身份信息进行数字签名。
3.根据权利要求1所述的方法,其特征在于,所述H(e)NB将所述H(e)NB的身份信息和所述数字签名发送给核心网网元为:
所述H(e)NB在所述H(e)NB注册时将所述H(e)NB的身份信息和所述数字签名发送给所述核心网网元。
4.根据权利要求1所述的方法,其特征在于,所述H(e)NB将所述H(e)NB的身份信息和所述数字签名发送给核心网网元为:
所述H(e)NB在用户设备UE通过所述H(e)NB注册时,将所述H(e)NB的身份信息和所述数字签名发送给所述核心网网元。
5.根据权利要求1所述的方法,其特征在于:
所述安全网关SeGW采用所述安全网关的私钥对所述H(e)NB的身份信息进行数字签名;
对应地,所述核心网网元通过所述安全网关的公钥对所述H(e)NB的身份信息和所述数字签名进行正确性验证。
6.根据权利要求1所述的方法,其特征在于:所述SeGW采用动态会话密钥对所述H(e)NB的身份信息进行数字签名;
所述方法还包括:所述SeGW将所述动态会话密钥通知归属用户服务器HSS/认证授权计费AAA服务器,所述HSS/AAA服务器存储所述动态会话密钥。
7.根据权利要求6所述的方法,其特征在于,所述核心网网元对所述H(e)NB的身份信息和所述数字签名进行正确性验证为:
所述核心网网元从所述AAA/HSS获取对所述H(e)NB的身份信息签名的所述临时会话密钥,利用所述临时会话密钥对所述H(e)NB的身份信息进行验证。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述H(e)NB的身份信息为家庭基站标识H(e)NB ID和H(e)NB的内部IP地址,或闭合用户组标识CSG ID和H(e)NB的内部IP地址,或H(e)NB ID、CSG ID和H(e)NB内部IP地址。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述核心网网元在验证所述H(e)NB信息和所述数字签名成功后,所述核心网网元保存所述H(e)NB信息。
10.根据权利要求3所述的方法,其特征在于,所述核心网网元为H(e)NB GW或MME。
11.根据权利要求4所述的方法,其特征在于,所述核心网网元为MME或SGSN或MSC。
12.根据权利要求3或10所述的方法,其特征在于,当UE通过所述H(e)NB接入时:
所述核心网网元验证所述H(e)NB的身份信息正确后将所述H(e)NB的身份信息发送给MME或SGSN或MSC,由MME、SGSN或MSC获取所述H(e)NB所支持的CSG ID信息,并根据所述CSG ID信息对所述UE进行接入控制;其中,所述MME、SGSN或MSC从所述H(e)NB信息中获取所述CSG ID信息,或从所述HSS/AAA服务器获取所述CSG ID信息。
13.根据权利要求4或11所述的方法,其特征在于,当UE通过所述H(e)NB接入时:
所述核心网网元验证所述H(e)NB的身份信息正确后获取所述H(e)NB所支持的CSG ID信息,并根据所述CSG ID信息对所述UE进行接入控制;其中,所述核心网网元从所述H(e)NB信息中获取所述CSG ID信息,或从所述HSS/AAA服务器获取所述CSG ID信息。
14.根据权利要求5所述的方法,其特征在于,所述核心网网元从配置的所述SeGW的证书中获取SeGW的公钥,或者所述核心网网元从所述H(e)NB发送给所述核心网网元的证书中获取SeGW的公钥。
15.根据权利要求1所述的方法,其特征在于,所述SeGW通过扩展IKEv2的配置载荷CP将所述数字签名发送给所述H(e)NB。
16.根据权利要求15所述的方法,其特征在与,可选地,所述SeGW还可通过扩展IKEv2的配置载荷CP将H(e)NB身份信息发送给所述H(e)NB。
17.一种家庭基站安全接入的方法,其特征在于,所述方法包括:
H(e)NB向核心网网元注册时,所述核心网网元通过设置于所述核心网网元与SeGW之间的通信接口获取所述H(e)NB的身份信息,并与所述H(e)NB上报的身份信息进行正确性验证,验证通过后接受所述H(e)NB注册。
18.根据权利要求17所述的方法,其特征在于,所述核心网网元为H(e)NB GW;未设置HeNB GW时,所述核心网网元为MME。
19.一种家庭基站安全接入的系统,包括SeGW、H(e)NB和核心网网元;其特征在于:
所述SeGW,用于对所述H(e)NB的身份信息进行数字签名,并将所述H(e)NB的数字签名发送给所述H(e)NB;
所述H(e)NB,用于在H(e)NB注册时或UE通过所述H(e)NB接入时,将所述H(e)NB的身份信息和所述数字签名发送给核心网网元;
所述核心网网元,用于对所述H(e)NB的身份信息和所述数字签名进行正确性验证。
20.根据权利要求19所述的系统,其特征在于:
所述SeGW采用所述SeGW的私钥对所述H(e)NB的身份信息进行数字签名;
对应地,所述核心网网元通过所述SeGW的公钥对所述H(e)NB的身份信息和所述数字签名进行正确性验证。
21.根据权利要求19所述的系统,其特征在于,所述SeGW采用动态会话密钥对所述H(e)NB的身份信息进行数字签名;
所述SeGW将所述动态会话密钥通知归属用户服务器HSS/认证授权计费AAA服务器,所述HSS/AAA服务器存储所述动态会话密钥。
22.根据权利要求21所述的系统,其特征在于:
所述核心网网元从所述AAA/HSS获取对所述H(e)NB的身份信息数字签名的所述临时会话密钥,利用所述临时会话密钥验证所述H(e)NB的身份信息。
23.根据权利要求19至22任一项所述的系统,其特征在于,所述H(e)NB的身份信息为家庭基站标识H(e)NB ID和H(e)NB的内部IP地址,或闭合用户组标识CSG ID和H(e)NB的内部IP地址,或H(e)NB ID、CSGID和H(e)NB内部IP地址;
所述核心网网元为移动管理单元MME或GPRS服务支持节点SGSN或家庭基站网关H(e)NB GW。
24.一种家庭基站安全接入的系统,包括SeGW、H(e)NB和核心网网元;其特征在于,所述SeGW与所述核心网网元之间设置有通信接口,其中:
所述H(e)NB,用于向所述核心网网元进行注册,并上报自身的身份信息;
所述核心网网元,用于通过所述核心网网元与SeGW之间的通信接口获取所述H(e)NB进行身份认证时的身份信息,并与所述H(e)NB上报的身份信息进行正确性验证,验证通过后接受所述H(e)NB注册。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110364549.5A CN103096311B (zh) | 2011-10-31 | 2011-11-04 | 家庭基站安全接入的方法及系统 |
| EP12844878.4A EP2790429B1 (en) | 2011-10-31 | 2012-10-08 | Hnb or henb security access method and system, and core network element |
| IN3216CHN2014 IN2014CN03216A (zh) | 2011-10-31 | 2012-10-08 | |
| US14/355,299 US9467295B2 (en) | 2011-10-31 | 2012-10-08 | HNB or HeNB security access method and system, and core network element |
| JP2014537471A JP5977834B2 (ja) | 2011-10-31 | 2012-10-08 | ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント |
| RU2014118758/08A RU2580399C2 (ru) | 2011-10-31 | 2012-10-08 | СПОСОБ И СИСТЕМА ЗАЩИЩЕННОГО ДОСТУПА К HNB ИЛИ HeNB И ЭЛЕМЕНТ БАЗОВОЙ СЕТИ |
| PCT/CN2012/082555 WO2013064002A1 (zh) | 2011-10-31 | 2012-10-08 | 家庭基站安全接入的方法、系统及核心网网元 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110337762 | 2011-10-31 | ||
| CN2011103377627 | 2011-10-31 | ||
| CN201110337762.7 | 2011-10-31 | ||
| CN201110364549.5A CN103096311B (zh) | 2011-10-31 | 2011-11-04 | 家庭基站安全接入的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103096311A true CN103096311A (zh) | 2013-05-08 |
| CN103096311B CN103096311B (zh) | 2018-11-09 |
Family
ID=48191294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110364549.5A Expired - Fee Related CN103096311B (zh) | 2011-10-31 | 2011-11-04 | 家庭基站安全接入的方法及系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9467295B2 (zh) |
| EP (1) | EP2790429B1 (zh) |
| JP (1) | JP5977834B2 (zh) |
| CN (1) | CN103096311B (zh) |
| IN (1) | IN2014CN03216A (zh) |
| RU (1) | RU2580399C2 (zh) |
| WO (1) | WO2013064002A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015154555A1 (zh) * | 2014-09-09 | 2015-10-15 | 中兴通讯股份有限公司 | 一种数字证书的状态处理方法、装置及系统 |
| WO2017000446A1 (zh) * | 2015-06-30 | 2017-01-05 | 中兴通讯股份有限公司 | 基站维护端口的连接认证方法、基站及系统、存储介质 |
| CN107360573A (zh) * | 2016-05-10 | 2017-11-17 | 上海中兴软件有限责任公司 | 一种终端接入方法和装置 |
| CN109257212A (zh) * | 2018-09-10 | 2019-01-22 | 武汉虹信通信技术有限责任公司 | 一种iab基站接入的方法 |
| CN109587687A (zh) * | 2018-12-04 | 2019-04-05 | 西安佰才邦网络技术有限公司 | 基站侧设备及其组网方法 |
| WO2019183858A1 (zh) * | 2018-03-28 | 2019-10-03 | 华为技术有限公司 | 一种无人机身份识别方法及设备 |
| CN110474875A (zh) * | 2017-08-31 | 2019-11-19 | 华为技术有限公司 | 基于服务化架构的发现方法及装置 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6088570B2 (ja) * | 2015-03-23 | 2017-03-01 | ソフトバンク株式会社 | 移動体通信システムおよび移動体通信方法 |
| CN106454836B (zh) * | 2015-08-06 | 2021-12-31 | 中兴通讯股份有限公司 | 一种增强设备证书使用安全的方法及装置 |
| CN108616956B (zh) * | 2017-01-16 | 2020-10-20 | 普天信息技术有限公司 | 一种电力无线专网中业务隔离的方法 |
| CN109511115B (zh) * | 2017-09-14 | 2020-09-29 | 华为技术有限公司 | 一种授权方法和网元 |
| CN112291785B (zh) * | 2020-10-22 | 2022-07-22 | 中国联合网络通信集团有限公司 | 一种奖励方法及装置 |
| CN112272376B (zh) * | 2020-10-22 | 2022-07-29 | 中国联合网络通信集团有限公司 | 一种奖励方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442402A (zh) * | 2007-11-20 | 2009-05-27 | 华为技术有限公司 | 认证接入点设备的方法、系统和装置 |
| CN101715177A (zh) * | 2009-11-05 | 2010-05-26 | 中兴通讯股份有限公司 | 一种网络设备的位置锁定方法及位置锁定系统 |
| CN101784051A (zh) * | 2009-01-21 | 2010-07-21 | 华为技术有限公司 | 一种平台完整性验证的方法、网络设备和网络系统 |
| CN101795451A (zh) * | 2009-02-03 | 2010-08-04 | 中兴通讯股份有限公司 | 一种家庭基站实现注册的方法及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101335984B (zh) * | 2007-06-25 | 2011-11-16 | 华为技术有限公司 | 家用微型基站接入控制方法及系统 |
| US20090182618A1 (en) * | 2008-01-16 | 2009-07-16 | Yahoo! Inc. | System and Method for Word-of-Mouth Advertising |
| US8886164B2 (en) * | 2008-11-26 | 2014-11-11 | Qualcomm Incorporated | Method and apparatus to perform secure registration of femto access points |
| JP5112363B2 (ja) * | 2009-03-05 | 2013-01-09 | 日本電信電話株式会社 | ライフログデータの管理システム、管理方法及びプログラム |
| CN102342141A (zh) * | 2009-03-05 | 2012-02-01 | 交互数字专利控股公司 | 用于H(e)NB完整性验证和确认的方法和装置 |
| KR20120120955A (ko) * | 2010-02-09 | 2012-11-02 | 인터디지탈 패튼 홀딩스, 인크 | 신뢰적인 연합 아이덴티티를 위한 방법 및 장치 |
| WO2012040198A1 (en) * | 2010-09-20 | 2012-03-29 | Interdigital Patent Holdings, Inc. | Identity management on a wireless device |
| KR101556046B1 (ko) * | 2010-12-30 | 2015-09-30 | 인터디지탈 패튼 홀딩스, 인크 | 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정 |
-
2011
- 2011-11-04 CN CN201110364549.5A patent/CN103096311B/zh not_active Expired - Fee Related
-
2012
- 2012-10-08 RU RU2014118758/08A patent/RU2580399C2/ru not_active IP Right Cessation
- 2012-10-08 WO PCT/CN2012/082555 patent/WO2013064002A1/zh active Application Filing
- 2012-10-08 JP JP2014537471A patent/JP5977834B2/ja not_active Expired - Fee Related
- 2012-10-08 EP EP12844878.4A patent/EP2790429B1/en not_active Not-in-force
- 2012-10-08 US US14/355,299 patent/US9467295B2/en not_active Expired - Fee Related
- 2012-10-08 IN IN3216CHN2014 patent/IN2014CN03216A/en unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442402A (zh) * | 2007-11-20 | 2009-05-27 | 华为技术有限公司 | 认证接入点设备的方法、系统和装置 |
| CN101784051A (zh) * | 2009-01-21 | 2010-07-21 | 华为技术有限公司 | 一种平台完整性验证的方法、网络设备和网络系统 |
| CN101795451A (zh) * | 2009-02-03 | 2010-08-04 | 中兴通讯股份有限公司 | 一种家庭基站实现注册的方法及系统 |
| CN101715177A (zh) * | 2009-11-05 | 2010-05-26 | 中兴通讯股份有限公司 | 一种网络设备的位置锁定方法及位置锁定系统 |
Non-Patent Citations (3)
| Title |
|---|
| 3GPP: "Security of Home Node B (HNB) / Home evolved Node B (HeNB)", 《3GPP TS 33.320 V11.3.0 (2011-09)》 * |
| ALCATEL-LUCENT, ALCATEL-LUCENT SHANGHAI BELL, VODAFONE, AT&T: "Binding of HNB identities for CSG Verification", 《3GPP TSG SA WG3 (SECURITY) MEETING #64 S3-110685》 * |
| ALCATEL-LUCENT: "Reply to SA3 LS on CSG security for H(e)NB", 《3GPP TSG RAN WG3 MEETING #72 R3-111291》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015154555A1 (zh) * | 2014-09-09 | 2015-10-15 | 中兴通讯股份有限公司 | 一种数字证书的状态处理方法、装置及系统 |
| CN105472604A (zh) * | 2014-09-09 | 2016-04-06 | 中兴通讯股份有限公司 | 一种数字证书的状态处理方法、装置及系统 |
| WO2017000446A1 (zh) * | 2015-06-30 | 2017-01-05 | 中兴通讯股份有限公司 | 基站维护端口的连接认证方法、基站及系统、存储介质 |
| CN107360573A (zh) * | 2016-05-10 | 2017-11-17 | 上海中兴软件有限责任公司 | 一种终端接入方法和装置 |
| CN107360573B (zh) * | 2016-05-10 | 2020-11-27 | 中兴通讯股份有限公司 | 一种终端接入方法和装置 |
| CN110474875A (zh) * | 2017-08-31 | 2019-11-19 | 华为技术有限公司 | 基于服务化架构的发现方法及装置 |
| US11296877B2 (en) | 2017-08-31 | 2022-04-05 | Huawei Technologies Co., Ltd. | Discovery method and apparatus based on service-based architecture |
| US11824981B2 (en) | 2017-08-31 | 2023-11-21 | Huawei Technologies Co., Ltd. | Discovery method and apparatus based on service-based architecture |
| WO2019183858A1 (zh) * | 2018-03-28 | 2019-10-03 | 华为技术有限公司 | 一种无人机身份识别方法及设备 |
| CN109257212A (zh) * | 2018-09-10 | 2019-01-22 | 武汉虹信通信技术有限责任公司 | 一种iab基站接入的方法 |
| CN109587687A (zh) * | 2018-12-04 | 2019-04-05 | 西安佰才邦网络技术有限公司 | 基站侧设备及其组网方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014535207A (ja) | 2014-12-25 |
| JP5977834B2 (ja) | 2016-08-24 |
| EP2790429B1 (en) | 2018-12-05 |
| EP2790429A4 (en) | 2015-04-15 |
| RU2580399C2 (ru) | 2016-04-10 |
| US20140310529A1 (en) | 2014-10-16 |
| RU2014118758A (ru) | 2015-12-10 |
| WO2013064002A1 (zh) | 2013-05-10 |
| IN2014CN03216A (zh) | 2015-07-03 |
| EP2790429A1 (en) | 2014-10-15 |
| CN103096311B (zh) | 2018-11-09 |
| US9467295B2 (en) | 2016-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103096311B (zh) | 家庭基站安全接入的方法及系统 | |
| US11863982B2 (en) | Subscriber identity privacy protection against fake base stations | |
| US8145195B2 (en) | Mobility related control signalling authentication in mobile communications system | |
| CN101411115B (zh) | 用于在接入系统间切换期间优化验证过程的系统和方法 | |
| TWI489839B (zh) | 用以鑑別從行動性管理實體到傳統第三代行動通訊合作計劃系統的上下文傳送動作之系統及方法 | |
| KR101048560B1 (ko) | 차세대 이동 네트워크에서의 보호용 키를 생성하는 방법, 네트워크 디바이스, 사용자 장비 및 컴퓨터 판독가능 매체 | |
| CN103781069B (zh) | 一种双向认证的方法、设备及系统 | |
| KR102390380B1 (ko) | 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원 | |
| CN110583036B (zh) | 网络认证方法、网络设备及核心网设备 | |
| US9398459B2 (en) | Prevention of eavesdropping type of attack in hybrid communication system | |
| CN101102600A (zh) | 在不同移动接入系统中切换时的密钥处理方法 | |
| CN101405987A (zh) | 无线系统的非对称加密 | |
| US10582378B2 (en) | Message protection method, user equipment, and core network device | |
| KR101835076B1 (ko) | 보안강화 eps-aka 프로토콜을 이용한 이동통신 가입자 인증 방법 | |
| CN101610507A (zh) | 一种接入3g-wlan互联网络的方法 | |
| KR101445459B1 (ko) | 인증 방법 및 제 1 인증 엔티티로부터 제 2 인증 엔티티로 사용자에 대한 인증 관계를 전송하기 위한 방법 | |
| CN1964259B (zh) | 一种切换过程中的密钥管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20181109 Termination date: 20191104 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |