CN104394528B - X2安全通道建立方法与系统、以及基站 - Google Patents

X2安全通道建立方法与系统、以及基站 Download PDF

Info

Publication number
CN104394528B
CN104394528B CN201410675919.0A CN201410675919A CN104394528B CN 104394528 B CN104394528 B CN 104394528B CN 201410675919 A CN201410675919 A CN 201410675919A CN 104394528 B CN104394528 B CN 104394528B
Authority
CN
China
Prior art keywords
base station
ike
parameter
message
security parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410675919.0A
Other languages
English (en)
Other versions
CN104394528A (zh
Inventor
宋卓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201410675919.0A priority Critical patent/CN104394528B/zh
Priority claimed from CN201280000321.0A external-priority patent/CN102726082B/zh
Publication of CN104394528A publication Critical patent/CN104394528A/zh
Application granted granted Critical
Publication of CN104394528B publication Critical patent/CN104394528B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Abstract

一种X2安全通道建立方法与系统、以及基站,在一用户终端从基站覆盖的小区向另一基站覆盖的小区切换时,在基站向另一基站发送通知消息时,同时发送安全参数集供另一基站选择其所支持的安全参数值,从而无需多次协商,减少了因协商带来的延时或安全通道无法建立等问题,使得X2安全通道在通信切换所能容忍的时间内建立。所述方法包括:基站向对端基站发送一通知消息,所述通知消息包括一安全参数集;接收对端基站发送的回复消息,所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值;根据所述回复消息,建立X2安全通道。

Description

X2安全通道建立方法与系统、以及基站
技术领域
本发明涉及通信技术领域,特别是涉及一种X2安全通道建立方法与系统、以及基站。
背景技术
长期演进/系统架构演进(Long Term Evolution/System ArchitectureEvolution,LTE/SAE)网络系统项目,是近年来第三代合作伙伴计划(3rd GenerationPartnership Project,3GPP)启动的最大新技术研发项目。这种以正交频分复用/频分多址(OFDM/FDMA)为核心的技术由于已经具有某些“4G”特征,被视作从3G向4G演进的主流技术。
请参考图1,其为现有技术LTE/SAE网络系统的架构图。该LTE/SAE网络系统包括演进型基站(eNB,eNodeB)和管理这些基站的移动管理实体/服务网关(MME/SGW,MobilityManagement Entity/Serving Gateway)。其中,MME/SGW与eNB之间通过S1接口建立S1链路,eNB之间通过X2接口建立X2链路。
具体,S1链路提供访问无线接入网中的无线资源的功能,包括控制平面功能和用户平面功能;S1链路的控制面接口(S1-MME)提供eNB与MME之间的应用协议以及用于传输应用协议消息的信令承载功能,S1链路的用户面接口(S1-U)提供eNB与SGW之间的用户面数据传输功能。
X2链路的存在主要为了支持终端的移动性管理功能。例如,在漏配小区、新增基站等场景下,运营商希望当终端从源eNB小区切换到目的eNB小区时,eNB间的X2链路能够自动建立,用于传输切换控制与数据信息。具体,通过eNB与MME/SGW之间的S1信令,源eNB与目的eNB可以获取对端的用户面与信令面传输信息,自动建立X2链路。
目前,在X2链路自动建立过程中,用户面与信令面等传输信息往往都以明文方式进行传输,即未进行加密保护,这显然不符合当前对于通信安全的要求。因此,在3GPP LTE的S1应用协议,即36.413协议中(网址http://www.3gpp.org/ftp/Specs/latest/Rel-8/36_series/),在X2传输网络层自配置消息中,增加了对端基站IP-Sec传输层地址信息(即在X2 TNL Configuration Info消息中可以携带IP-Sec Transport Layer Address)。但是在实际应用中,eNB之间仅依靠此参数建立安全通道,存在许多问题,往往导致安全通道建立失败,而直接进行明文传输。
因此,亟需一种X2安全通道建立技术,以解决X2链路建立过程中的数据安全问题。
发明内容
有鉴于此,以下提供一种X2安全通道建立方法与系统、以及基站,来解决现有X2链路自动建立过程中的数据安全问题。
一方面,提供一种X2安全通道建立方法,包括:基站向对端基站发送一通知消息,所述通知消息包括一安全参数集;接收对端基站发送的回复消息,所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值;根据所述回复消息,建立X2安全通道。
另一方面,提供一种X2安全通道建立方法,包括:基站接收对端基站发送的一通知消息,所述通知消息包括一安全参数集;从所述安全参数集选择所述基站所支持的安全参数值;向对端基站发送包括所选择的安全参数值的回复消息。
另一方面,提供一种基站,包括:存储模块,存储一安全参数集;接口模块,向对端基站发送一通知消息,所述通知消息包括所述安全参数集;且所述接口模块接收对端基站发送的回复消息,所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值;通道建立模块,根据所述回复消息,建立X2安全通道。
另一方面,提供一种基站,包括:接口模块、存储单元及控制单元,其中所述存储单元存储一安全参数集和一程序代码,所述控制单元加载所述程序代码,执行以下操作:产生一通知消息,所述通知消息包括所述安全参数集;通过接口模块,向对端基站发送所述通知消息;通过接口模块,接收对端基站发送的回复消息,所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值;根据所述回复消息,建立X2安全通道。
另一方面,提供一种基站,包括:存储模块,存储该基站所支持的安全参数值;接口模块,接收对端基站发送的一通知消息,所述通知消息包括一安全参数集;选择模块,从所述安全参数集中选择该基站所支持的安全参数值;所述接口模块,向对端基站发送包括所选择的安全参数值的回复消息。
另一方面,提供一种基站,包括:接口模块、存储单元及控制单元,存储单元存储一程序代码及该基站所支持的安全参数值,所述控制单元加载所述程序代码,执行以下操作:通过所述接口模块,接收对端基站发送的一通知消息,所述通知消息包括一安全参数集;从所述安全参数集中选择与该基站所支持安全参数值;产生一回复消息,所述回复消息包括所选择的安全参数值;通过所述接口模块向对端基站发送所述回复消息。
另一方面,提供一种X2安全通道建立系统,包括:第一基站、第二基站以及管理第一基站与第二基站的管理端,其中第一基站的结构同以上前两种基站之一,第二基站的结构同以上后两种基站之一。
可见,在一用户终端从基站覆盖的小区向另一基站覆盖的小区切换时,在基站向另一基站发送通知消息时,同时发送安全参数集供另一基站选择其所支持的安全参数值,从而无需多次协商,减少了因协商带来的延时或安全通道无法建立等问题,使得X2安全通道在通信切换所能容忍的时间内建立。
附图说明
图1为一种现有LTE/SAE网络系统的架构图;
图2为本发明实施例一所提供的X2安全通道建立方法的流程图;
图3为本发明实施例一所提供的X2安全通道建立方法的流程图;
图4为本发明实施例二所提供基站的一种实现方块图;
图5为本发明实施例二所提供基站的另一种实现方块图;
图6为本发明实施例三所提供基站的一种实现方块图;
图7为本发明实施例三所提供基站的另一种实现方块图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方
案进行清楚、完整地描述,显然,所描述的实施例仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
从背景技术可以知道,目前的36.413协议中,虽然给出了一种基于英特网安全协议(IP-Sec)的安全机制,但研究发现这种机制的给出还不完整,导致在X2链路建立过程中,实际上无法实现IP-Sec的保护。发明人对此进行研究发现,如果仅仅在X2传输网络层自配置消息中增加对端基站IP-Sec传输层地址信息(即在X2 TNL Configuration Info消息中携带IP-Sec Transport Layer Address信息),会存在协商信息不完全的问题。这时,还需要对协商模式、协议版本、认证方式、认证算法、加密算法、加密模式、传输模式等多个参数进行协商尝试,这些参数任意一个协商不一致,都会导致协商失败。即使都协商成功,也会导致非常大的延时,这是因为每一次IP-Sec协商都需要10s左右的时间,这么多参数协商下来,往往需要几分钟甚至更长。而目前对于通信切换要求所能容忍的时间为15s~20s,因此使用参数尝试的方式实际上是不可行的。可见,当前36.413协议所携带的安全信息,不能满足切换时建立安全传输通道的需求,协议36.413功能不完整。
鉴于此,发明人提供了两种解决途径:第一种,按照事先达成的约定配置一最小参数集,且在通信切换时,与可以携带的IP-Sec Transport Layer Address一起,发送给对端,由于事先已就参数达成约定,因而协商一致,无需多次尝试,便可以建立安全通道;第二种,扩展现有36.413协议,将需要协商的参数的所有可能选择建立一最小参数集,且在通信切换时,与可以携带的IP-Sec Transport Layer Address一起,发送给对端,对端便可以根据源端提供的最小参数集,进行选择,从而达成协商,无需多次尝试,便可以建立安全通道。
可见,这两种途径都是建立一个可以促进一次协商成功的参数集,具体结合实施例一和附图描述如下:
实施例一
请参考图2,其为本发明实施例一所提供的X2安全通道建立方法的流程图。如图所示,包括如下步骤:
S210:基站向对端基站发送一通知消息,所述通知消息包括一安全参数集;
S220:接收对端基站发送的回复消息,所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值;
S230:根据所述回复消息,建立X2安全通道。
相应的,以上步骤中的对端基站在接收到通知消息时,对此做出回复,具体回复过程如图3所示,包括如下步骤:
S310:基站接收对端基站发送的一通知消息,所述通知消息包括一安全参数集;
S320:从所述安全参数集选择所述基站所支持的安全参数值;
S330:向对端基站发送包括所选择的安全参数值的回复消息。
需要说明的是,图2与图3中的基站互为对方的对端基站。为了避免以下叙述中的混淆,现设定实施例一以下的描述中的基站与对端基站对端基站与图2相对应。
下面详述以上两种途径下构建的安全参数集:
途径一:安全参数集由至少一默认参数构成。
具体而言,如果对于基站与对端基站的供应商来说,提前可以对于其安全参数的选取与取值达成一致时,可以将达成一致的安全参数值设定为默认参数,有时候,对于不同的对端基站,默认参数可能不同,故可以建立一个安全参数集,将所有达成一致的默认参数放入其中。
这样,当基站向对端基站发送通知消息时,可以将这个安全参数集一起发送给对端基站,这样对端基站便可以根据自己的情况作出选择,从而一次达成协商一致的效果,并根据协商结果在基站之间建立起安全通道。
当然,由于这种方式事先便就安全参数达成一致,故也可以不发送安全参数集,而是将默认的安全参数集配置到基站。真正切换时,按照标准协议携带已有参数,然后直接使用事先在本地配置好的安全参数建立安全通道。
对于同一设备供应商,这种一致很容易达成,这种解决手段非常适用于局点范围内基站间安全通道的建立。然而,当涉及到不同设备供应商时,这个协商往往需要运营商协助或指定安全参数,这将带来许多人力成本的浪费,且不利于扩展,也不适用于广域范围内的应用。为此,以下提出了第二种解决途径。
途径二:扩展36.413协议。
具体而言,在通信切换时的通知消息已有IP-Sec Transport Layer Address参数基础上,补充最少的IKE参数,用于IKE成功建立后,自动生成IP-Sec需要的密钥;并补充IP-Sec所需的最小参数集,以达成在切换发生时,在切换允许的时间延迟内(15~20s),建立IP-Sec保护下的X2安全通道的能力。
可见,在本实施例中,安全参数集包括IP-Sec参数集和IKE参数集。这两个参数集的确立需保证以最小参数集最大限度的支持一次协商成功的原则。而以下确立的IKE参数集和IP-Sec参数集便可以满足此原则,将协商失败的几率降到可以忽略不计的情况。
具体,IKE参数集包括:IKE protocol version;IKE exchange modeIKE;IKEauthentication mode;IKE encryption algorithm;IKE authentication algorithm;Diffie-Hellman group of the IKE;Pseudo-random Function;和algorithm used inIKEv2。IP-Sec参数集包括:IPSec negotiation perfect forward secrecy(PFS);Encapsulation mode of an IPSec;IPSec transform;AH Authentication Algorithm;ESP Authentication Algorithm;和ESP Encryption Algorithm。且在参数集中列出了以上每一个参数所有支持的取值信息。
下面对以上每个参数的含义做出解释:
IKE protocol version,该参数表示IKE协议的版本,目前IKE协议有V1和V2两个版本,且两个版本是不兼容的,比如源基站用V1,目的基站用V2,那么IKE协商就会失败。因此必须提供该参数。V2版本相对V1版本,在支持的认证、协商算法上有提升,流程也有不同。
IKE exchange modeIKE,该参数表示IKE的协商模式,其实也就是协商密钥的一些具体过程,不同的过程,也是不兼容的,因此一定要指定。主模式将密钥交换信息与身份、验证信息相分离,这种分离保护了身份信息,从而提供了更高的安全性。野蛮模式缺少身份认证保护,但可以满足某些特定的网络环境需求。当IKE安全提议的验证方法为预共享密钥时,主模式不支持名字验证,而野蛮模式支持。
IKE authentication mode,该参数表示IKE安全提议选择的验证方式,其实就是协商两端在IKE阶段,怎么认证对方身份的方式,一般为预共享密钥认证方式、数字证书认证方式、或者可扩展身份验证协议(EAP)方式,不同方式均不能兼容。因此也需要指定。其中,预共享密钥的方式是在网络上传递信息,预共享密钥在网上以非加密形式传递,是不合适的,可能被泄露。但是本领域技术人员根据网络的状况,可以选择是否采用选用这种预共享密钥的方式。若果选择这种方式,则涉及另一参数:Pre-shared Key,如果选择预共享密钥方式认证,则需要事先指定预共享密钥,本端,对端必须要一样。可见参数Pre-sharedKey可选择的出现在该参数集内。
IKE encryption algorithm,IKE阶段,通信时使用的加密算法。IKE是为了给IPSEC生成密钥。生成密钥的方式,是通过数学算法,通过本对端交换的生成密钥的材料,本对端各自生成密钥。密钥本身是本对端用材料生成的,绝对不会在网上传送。但是材料本身,也是加密传送的。一般有DES,3DES,AES128,AES192,AES256,不同方式均不能兼容。因此也需要指定。
IKE authentication algorithm,IKE阶段,本、对端识别对方身份时采用的算法。一般有MD5,SHA1,AES_XCBC_96等,各算法不兼容,必须本对端一致才能协商成功。
Diffie-Hellman(DH)group of the IKE,IKE的核心技术就是DH(Diffie-Hellman)交换技术。DH交换基于公开的信息计算私有信息,数学上证明破解DH交换的计算复杂度非常高,目前是不可能破解的。DH技术可以指定不同的加密长度。不同的加密长度不兼容。因此本对端用得DH算法的具体DH组,也必须一致。
Pseudo-random Function(PRF)algorithm used in IKEv2,该参数表示IKEv2的PRF(Pseudo-random Function)算法。PRF算法用于生成IKE认证、加密所需的材料。本对端的算法也必须一致。
IP-Sec negotiation perfect forward secrecy(PFS),该参数表示完善的前向安全性(PFS)的值。PFS使IP-Sec第二阶段的密钥并非是从第一阶段的密钥导出,IP-Sec的两个阶段的密钥相互独立。PFS要求一个密钥只能访问由它所保护的数据;用来产生密钥的元素一次一换,不能再产生其他的密钥;一个密钥被破解,并不影响其他密钥的安全性。IP-Sec在使用此安全策略发起协商时,进行一个PFS交换。如果本端指定了PFS,对端在发起协商时必须是PFS交换,本端和对端指定的DH组必须一致,否则协商会失败,1024-bitDiffie-Hellman组(Dh-Group2)比768-bit Diffie-Hellman组(Dh-Group1)提供更高的安全性,但是需要更长的计算时间。
Encapsulation mode of an IP-Sec,封装模式,可以选择隧道模式和传输模式。传输模式只加密数据部分;对于隧道模式,IP-Sec对整个IP报文进行保护,并在原IP报文的前面增加一个新的IP头,新IP头的源地址和目的地址分别是安全隧道的两个端点的IP地址。传输模式一般用于端到端的IP-Sec保护,隧道模式除了可以应用于端到端的IP-Sec保护,还可以应用于通道中某一个段的保护。
IP-Sec transform,表示IP-Sec协议所使用的认证和加密使用的协议。可以是AH协议,ESP协议,也可以是AH+ESP协议(也就是两种协议可以一起用)。本对端必须一致,否则协商失败。
AH Authentication Algorithm,AH只能用来认证,本对端认证算法必须一致,否则失败。
ESP Authentication Algorithm,ESP认证协议使用的算法,本对端必须一致。
ESP Encryption Algorithm,ESP加密协议使用的算法,本对端必须一致。
根据36.413协议,以上通知消息为第一基站配置传输消息(eNB ConfigurationTransfer message),相应的以上回复消息为第二基站配置传输消息(eNB ConfigurationTransfer message)。且eNB Configuration Transfer message包括X2传输网络层配置消息(X2 TNL Configuration Info),本实施例便将补充的IKE参数和IPSEC参数构成的最小参数集置于X2 TNL Configuration Info内,与已有的IP-Sec Transport Layer Address参数一起在通信切换时发送给对端基站,此时构成的X2 TNL Configuration Info如表1:
需要说明的是,以上通知消息为eNB Configuration Transfer message,且安全参数集位于X2 TNL Configuration Info。然而,本发明对此不做任何限制,该安全参数集也可以独立于eNB Configuration Transfer message或X2 TNL Configuration Info单独发送;另外,仍然可以利用eNB Configuration Transfer message或X2 TNLConfiguration Info发送,只是将安全参数集中的参数分批次进行发送,例如,每发送一次X2 TNL Configuration Info时,带一个、两个或三个……参数,直到协商完成。但是以上这些方式会增加时间延迟,故较佳的,就是将安全参数集增加到X2 TNL Configuration Info消息中,如此,可以达到以下效果:
第一,补充现有标准,扩展必须参数。第二,利用现有的协议标准的过程,来达到参数一致的作用。
另外,所述通知消息内除了安全参数集外,还会携带切换相关的一些无线参数,本发明在此对通知消息内安全参数集以外的消息不做任何限制。
可见,基站在向对端基站发送通知消息时,同时发送安全参数集供对端基站选择其所支持的安全参数值,从而无需多次协商,减少了因协商带来的延时或安全通道无法建立等问题,使得X2安全通道在通信切换所能容忍的时间内建立。
这里所说的通信切换是指一种跨基站的通信切换过程,具体而言,是指一用户终端从基站所覆盖的小区切换至对端基站所覆盖的小区的过程。而以上X2安全通道的建立过程便可以应用到基站与对端基站之间的X2链路未建立的跨基站通信切换过程中,以在其中自动加入一种安全机制,实现对基站的信令面、业务面以及管理面等数据的安全传输。
由于X2链路未建立,故以上通知消息与回复消息显然无法直接在两个基站之间进行传输,因此需要MME进行转送。即基站通过其S1接口发送通知消息与接收回复消息;对端基站也通过其S1接口接收通知消息与发送回复消息。
需要说明的是,在以上步骤S230中,X2通道的建立主要依据基站与对端基站配置信息的交互,即在所述通知消息中,不仅包括所述安全参数集,还包括建立X2链路所必须的多个地址信息,例如X2 Transport Layer Addresses,X2 Extended Transport LayerAddresses,GTP Transport Layer Addresses等。当基站与对端基站获取了对方的这些信息后,便可以根据这些地址信息自动建立起X2通道,由于这是本领域技术人员所熟知的技术,故在此不再详述。同样的,由于以上方案二中在通知消息中增加的IKE和IP-Sec安全参数集,可以在通道建立过程中,启动自动协商与安全参数选取过程,故最终根据选取的安全参数值,实现IP-Sec保护下的数据传输,从而实现安全通道的建立。可见,安全通道的建立过程中,如何基站与对端基站的信息交互便显得尤为重要,下面结合36.413协议来描述这个交互过程,且以下仅为概述,详细过程可参见该协议。
参见36.413协议,其主要由以下两个过程实现:
过程一:基站配置传输,对应于协议的8.15章节,主要用于将无线接入网配置信息(RAN configuration information)从基站传送给移动管理实体(MME)。
过程二:MME配置传输,对应于协议的8.16章节,主要用于将RAN configurationinformation从MME传送给基站。
具体而言,首先在源基站与MME之间进行过程一:源基站向MME发送第一基站配置传输消息(eNB configuration transfer message)。MME接收该第一基站配置传输消息,且将其转换为MME配置传输消息(MME configuration transfer message),并从该消息中得到目的基站地址信息。而后根据目的基站的地址信息在MME与目的基站之间进行过程二:将MME configuration transfer message发送给目的基站。目的基站接收该MMEconfiguration transfer message后,从该消息中得到源基站的地址信息并从第一eNBconfiguration transfer message中得到安全参数集并选取其所支持的安全参数值,与其自身地址信息构建第二基站配置传输消息(eNB configuration transfer message),然后,在目的基站与MME之间进行过程一:目的基站向MME发送第二eNB configurationtransfer message。接下来MME将第二eNB configuration transfer message转换为MMEconfiguration transfer message按照过程二发送给源基站。
实施例二:
请参考图4,其为本发明实施例二所提供基站的一种实现方块图。如图所示,该基站包括存储模块410、接口模块420以及通道建立模块430。其中存储模块410用于存储一安全参数集;接口模块420用于向对端基站发送一通知消息,所述通知消息包括所述安全参数集;且该接口模块420还用于接收对端基站发送的回复消息,所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值;通道建立模块430用于根据所述回复消息建立X2安全通道。
请参考图5,其为本发明实施例二所提供基站的另一种实现方块图。如图所示,该基站包括接口模块510、存储单元520及控制单元530,其中所述存储单元520存储一安全参数集和一程序代码,所述控制单元530加载所述程序代码,执行以下操作:
产生一通知消息,所述通知消息包括所述安全参数集;
通过接口模块510,向对端基站发送所述通知消息;
通过接口模块510,接收对端基站发送的回复消息,所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值;
根据所述回复消息,建立X2安全通道。
本领域技术人员当知,以上程序代码可以存储于一计算机可读取存储介质中,该存储介质例如为ROM/RAM、磁盘、光盘等。
可见,基站在向对端基站发送通知消息时,同时发送安全参数集供对端基站选择其所支持的安全参数值,从而无需多次协商,减少了因协商带来的延时或安全通道无法建立等问题,使得X2安全通道在通信切换所能容忍的时间内建立。
这里所说的通信切换是指一种跨基站的通信切换过程,具体而言,是指一用户终端从基站所覆盖的小区切换至对端基站所覆盖的小区的过程。而以上基站便可以用作X2链路未建立的跨基站通信切换过程中的源基站,以在其中自动加入一种安全机制,实现对基站的信令面、业务面以及管理面等数据的安全传输。
由于X2链路未建立,故以上通知消息与回复消息显然无法直接在两个基站之间进行传输,因此需要MME进行转送。即以上接口模块为S1接口模块。
同实施例一,在一较佳的实施方式中,所述安全参数集可以包括IP-Sec参数集和IKE参数集。具体,IP-Sec参数集包括:IPSec negotiation perfect forward secrecy;Encapsulation mode of an IPSec;IPSec transform;AH Authentication Algorithm;ESP Authentication Algorithm;和ESP Encryption Algorithm及每一个参数所有支持的取值。IKE参数集包括:IKE protocol version;IKE exchange modeIKE;IKEauthentication mode;IKE encryption algorithm;IKE authentication algorithm;Diffie-Hellman group of the IKE;Pseudo-random Function;和algorithm used inIKEv2及每一个参数所有支持的取值。
在另一实施方式中,安全参数集包括至少一默认参数。
与36.413协议相应的,所述通知消息为第一基站配置传输消息。且该第一基站配置传输消息包括X2传输网络层配置消息,所述安全参数集位于该X2传输网络层配置消息内。所述回复消息为第二基站配置传输消息。同实施例一,本发明对此不做任何限制,该安全参数集也可以独立于eNB Configuration Transfer message或X2 TNL ConfigurationInfo单独发送,但是这会增加时间延迟,故较佳的,就是将安全参数集增加到X2 TNLConfiguration Info消息中,如此,可以达到以下效果:第一,补充现有标准,扩展必须参数。第二,利用现有的协议标准的过程,来达到参数一致的作用。
实施例三:
请参考图6,其为本发明实施例三所提供基站的一种实现方块图。如图所示,该基站包括存储模块610、接口模块620以选择模块630。其中存储模块610用于存储该基站所支持的安全参数值;接口模块620用于接收对端基站发送的一通知消息,所述通知消息包括一安全参数集;选择模块630用于从所述安全参数集中选择该基站所支持的安全参数值;接口模块620用于向对端基站发送包括所选择的安全参数值的回复消息。
请参考图7,其为本发明实施例三所提供基站的另一种实现方块图。如图所示,该基站包括接口模块710、存储单元720及控制单元730,存储单元720存储一程序代码及该基站所支持的安全参数值,所述控制单元730加载所述程序代码,执行以下操作:
通过接口模块710,接收对端基站发送的一通知消息,所述通知消息包括一安全参数集;
从所述安全参数集中选择与该基站所支持安全参数值;
产生一回复消息,所述回复消息包括所选择的安全参数值;
通过接口模块710向对端基站发送所述回复消息。
本领域技术人员当知,以上程序代码可以存储于一计算机可读取存储介质中,该存储介质例如为ROM/RAM、磁盘、光盘等。
可见,基站接收对端基站发送通知消息时,同时接收到安全参数集供该基站选择其所支持的安全参数值,从而无需多次协商,减少了因协商带来的延时或安全通道无法建立等问题,使得X2安全通道在通信切换所能容忍的时间内建立。
这里所说的通信切换是指一种跨基站的通信切换过程,具体而言,是指一用户终端从对端基站所覆盖的小区切换至该基站所覆盖的小区的过程。而以上基站便可以用作X2链路未建立的跨基站通信切换的目的基站,以在其中自动加入一种安全机制,实现对基站的信令面、业务面以及管理面等数据的安全传输。
由于X2链路未建立,故以上通知消息与回复消息显然无法直接在两个基站之间进行传输,因此需要MME进行转送。即以上接口模块为S1接口模块。
同实施例一,在一较佳的实施方式中,所述安全参数集可以包括IP-Sec参数集和IKE参数集。具体,IP-Sec参数集包括:IPSec negotiation perfect forward secrecy;Encapsulation mode of an IPSec;IPSec transform;AH Authentication Algorithm;ESP Authentication Algorithm;和ESP Encryption Algorithm及每一个参数所有支持的取值。IKE参数集包括:IKE protocol version;IKE exchange modeIKE;IKEauthentication mode;IKE encryption algorithm;IKE authentication algorithm;Diffie-Hellman group of the IKE;Pseudo-random Function;和algorithm used inIKEv2及每一个参数所有支持的取值。
在另一实施方式中,安全参数集包括至少一默认参数。
与36.413协议相应的,所述通知消息为第一基站配置传输消息。且该第一基站配置传输消息包括X2传输网络层配置消息,所述安全参数集位于该X2传输网络层配置消息内。所述回复消息为第二基站配置传输消息。同实施例一,本发明对此不做任何限制,该安全参数集也可以独立于eNB Configuration Transfer message或X2 TNL ConfigurationInfo单独发送,但是这会增加时间延迟,故较佳的,就是将安全参数集增加到X2 TNLConfiguration Info消息中,如此,可以达到以下效果:第一,补充现有标准,扩展必须参数。第二,利用现有的协议标准的过程,来达到参数一致的作用。
实施例四:
以上实施例二与实施例三中的基站可以分别用作一跨基站的通信切换的源基站与目的基站,当一用户终端从源基站所覆盖的小区切换至目的基站所覆盖的小区的时,源基站向目的基站发送一通知消息时,同时发送安全参数集供目的基站选择其所支持的安全参数值,从而无需多次协商,减少了因协商带来的延时或安全通道无法建立等问题,使得X2安全通道在通信切换所能容忍的时间内建立。如此,便构成了一X2安全通道建立系统。请参考图1,从图中可以看出,该系统还包括管理所述源基站与目的基站的管理端,该管理端通常为MME,且本发明不限制源基站与目的基站是否为同一MME所管理,即源基站与目的基站可以为同一MME内的基站,也可以为跨MME的基站。
综上所述,利用现有的36.413协议目前携带的IP-Sec Transport Layer Address信息进行跨基站通道切换时,往往会因为参数尝试而导致的链路建立超时,切换失败等问题。以上实施例提供了安全参数集,可以是一默认参数集,也可以是对36.413协议进行补充的最小扩展补充参数集。利用安全参数集可以一次完成协商,实现X2安全通道建立,尤其是对36.413协议进行补充后,可以在通道建立过程中,启动自动协商与安全参数选取过程,故最终根据选取的安全参数值,实现IP-Sec保护下的数据传输,从而实现安全通道的建立。
以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
表1 X2 TNL Configuration Info

Claims (14)

1.一种X2安全通道建立方法,其特征是,包括:
基站向对端基站发送通知消息,所述通知消息包括安全参数集,其中所述安全参数集包括IP-Sec参数集和IKE参数集,且所述IP-Sec参数集和IKE参数集的确立保证以最小参数集最大限度的支持一次协商成功的原则;
接收对端基站发送的回复消息,所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值;
根据所述回复消息,建立X2安全通道。
2.根据权利要求1所述的方法,其特征是,所述IKE参数集包括以下参数及每个参数所有支持的取值:
IKE协议版本IKE protocol version;IKE协商模式IKE exchange mode;IKE验证方式IKE authentication mode;IKE加密算法IKE encryption algorithm;IKE验证算法IKEauthentication algorithm;IKE的Diffie-Hellman组Diffie-Hellman group of theIKE;和IKEv2版本使用的伪随机函数算法Pseudo-random Function algorithm used inIKEv2;
且所述IP-Sec参数集包括以下参数及每个参数所有支持的取值:
IP-Sec协商的完善前向安全性的值IPSec negotiation perfect forward secrecy;IP-Sec封装模式Encapsulation mode of an IPSec;IP-Sec转换集IPSec transform;AH认证算法AH Authentication Algorithm;ESP认证协议使用的算法ESP AuthenticationAlgorithm;和ESP加密协议使用的算法ESP Encryption Algorithm。
3.一种X2安全通道建立方法,其特征是,包括:
基站接收对端基站发送的通知消息,所述通知消息包括安全参数集,其中所述安全参数集包括IP-Sec参数集和IKE参数集,且所述IP-Sec参数集和IKE参数集的确立保证以最小参数集最大限度的支持一次协商成功的原则;
从所述安全参数集选择所述基站所支持的安全参数值;
向对端基站发送包括所选择的安全参数值的回复消息。
4.根据权利要求3所述的方法,其特征是,所述IKE参数集包括以下参数及每个参数所有支持的取值:
IKE protocol version;IKE exchange mode;IKE authentication mode;IKEencryption algorithm;IKE authentication algorithm;Diffie-Hellman group of theIKE;和Pseudo-random Function algorithm used in IKEv2;
且所述IP-Sec参数集包括以下参数及每个参数所有支持的取值:
IPSec negotiation perfect forward secrecy;Encapsulation mode of an IPSec;IPSec transform;AH Authentication Algorithm;ESP Authentication Algorithm;和ESP Encryption Algorithm。
5.一种基站,其特征是,包括:
存储模块,用于存储安全参数集;
接口模块,用于向对端基站发送通知消息,所述通知消息包括所述安全参数集;且所述接口模块用于接收对端基站发送的回复消息,所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值;
通道建立模块,用于根据所述回复消息,建立X2安全通道,
其中,所述安全参数集包括IP-Sec参数集和IKE参数集,且所述IP-Sec参数集和IKE参数集的确立保证以最小参数集最大限度的支持一次协商成功的原则。
6.根据权利要求5所述的基站,其特征是,所述IKE参数集包括以下参数及每个参数所有支持的取值:
IKE protocol version;IKE exchange mode;IKE authentication mode;IKEencryption algorithm;IKE authentication algorithm;Diffie-Hellman group of theIKE;和Pseudo-random Function algorithm used in IKEv2;
且所述IP-Sec参数集包括以下参数及每个参数所有支持的取值:
IPSec negotiation perfect forward secrecy;Encapsulation mode of an IPSec;IPSec transform;AH Authentication Algorithm;ESP Authentication Algorithm;和ESP Encryption Algorithm。
7.根据权利要求5所述的基站,其特征是,所述安全参数集包括至少一默认参数。
8.根据权利要求5至7之一所述的基站,其特征是,所述通知消息为第一基站配置传输消息,所述第一基站配置传输消息包括X2传输网络层配置消息,且所述安全参数集位于该X2传输网络层配置消息内。
9.根据权利要求5至7之一所述的基站,其特征是,所述回复消息为第二基站配置传输消息。
10.一种基站,其特征是,包括:
存储模块,用于存储该基站所支持的安全参数值;
接口模块,用于接收对端基站发送的通知消息,所述通知消息包括安全参数集;
选择模块,用于从所述安全参数集中选择该基站所支持的安全参数值;
所述接口模块,用于向对端基站发送包括所选择的安全参数值的回复消息,其中,
所述安全参数集包括IP-Sec参数集和IKE参数集,且所述IP-Sec参数集和IKE参数集的确立保证以最小参数集最大限度的支持一次协商成功的原则。
11.根据权利要求10所述的基站,其特征是,所述IKE参数集包括以下参数及每个参数所有支持的取值:
IKE protocol version;IKE exchange mode;IKE authentication mode;IKEencryption algorithm;IKE authentication algorithm;Diffie-Hellman group of theIKE;和Pseudo-random Function algorithm used in IKEv2;
且所述IP-Sec参数集包括以下参数及每个参数所有支持的取值:
IPSec negotiation perfect forward secrecy;Encapsulation mode of an IPSec;IPSec transform;AH Authentication Algorithm;ESP Authentication Algorithm;和ESP Encryption Algorithm。
12.根据权利要求10所述的基站,其特征是,所述安全参数集包括至少一默认参数。
13.根据权利要求10至12之一所述的基站,其特征是,所述通知消息为第一基站配置传输消息,所述第一基站配置传输消息包括X2传输网络层配置消息,且所述安全参数集位于该X2传输网络层配置消息内。
14.根据权利要求10至12之一所述的基站,其特征是,所述回复消息为第二基站配置传输消息。
CN201410675919.0A 2012-01-04 2012-01-04 X2安全通道建立方法与系统、以及基站 Active CN104394528B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410675919.0A CN104394528B (zh) 2012-01-04 2012-01-04 X2安全通道建立方法与系统、以及基站

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201410675919.0A CN104394528B (zh) 2012-01-04 2012-01-04 X2安全通道建立方法与系统、以及基站
CN201280000321.0A CN102726082B (zh) 2012-01-04 2012-01-04 X2安全通道建立方法与系统、以及基站

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201280000321.0A Division CN102726082B (zh) 2012-01-04 2012-01-04 X2安全通道建立方法与系统、以及基站

Publications (2)

Publication Number Publication Date
CN104394528A CN104394528A (zh) 2015-03-04
CN104394528B true CN104394528B (zh) 2018-03-27

Family

ID=52612352

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410675919.0A Active CN104394528B (zh) 2012-01-04 2012-01-04 X2安全通道建立方法与系统、以及基站

Country Status (1)

Country Link
CN (1) CN104394528B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
CN111462515A (zh) * 2020-03-31 2020-07-28 中国联合网络通信集团有限公司 车路协同管理方法、mec服务器、终端和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101378313A (zh) * 2007-08-31 2009-03-04 上海华为技术有限公司 建立安全关联的方法、用户设备和网络侧设备
CN101686513A (zh) * 2008-09-26 2010-03-31 大唐移动通信设备有限公司 小区切换方法、系统及装置
CN102301788A (zh) * 2011-04-11 2011-12-28 华为技术有限公司 X2链路建立方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI543644B (zh) * 2006-12-27 2016-07-21 無線創新信號信託公司 基地台自行配置方法及裝置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101378313A (zh) * 2007-08-31 2009-03-04 上海华为技术有限公司 建立安全关联的方法、用户设备和网络侧设备
CN101686513A (zh) * 2008-09-26 2010-03-31 大唐移动通信设备有限公司 小区切换方法、系统及装置
CN102301788A (zh) * 2011-04-11 2011-12-28 华为技术有限公司 X2链路建立方法和装置

Also Published As

Publication number Publication date
CN104394528A (zh) 2015-03-04

Similar Documents

Publication Publication Date Title
CN109005540B (zh) 一种密钥推演的方法、装置及计算机可读存储介质
EP2309698B1 (en) Exchange of key material
EP3094127B1 (en) Method and apparatus for base station self-configuration
CN115278659A (zh) 针对用户平面数据的完整性保护的方法
KR102123210B1 (ko) Ue 및 네트워크 양자에서의 키 도출을 위한 mtc 키 관리
CN106134231B (zh) 密钥生成方法、设备及系统
US10687213B2 (en) Secure establishment method, system and device of wireless local area network
CN102869007B (zh) 安全算法协商的方法、装置及网络系统
US9736125B2 (en) Method and device for generating access stratum key in communications system
CN102036230A (zh) 本地路由业务的实现方法、基站及系统
CN108370508A (zh) 在通信网络中使用的节点及操作所述节点的方法
CN104394528B (zh) X2安全通道建立方法与系统、以及基站
CN102726082B (zh) X2安全通道建立方法与系统、以及基站
CN108712742B (zh) 物联网网络安全优化方法、用户终端和网络侧设备
CN103026745B (zh) 一种简化无线局域网认证的方法、装置及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant