CN106797560B - 用于配置安全参数的方法、服务器、基站和通信系统 - Google Patents
用于配置安全参数的方法、服务器、基站和通信系统 Download PDFInfo
- Publication number
- CN106797560B CN106797560B CN201580054831.XA CN201580054831A CN106797560B CN 106797560 B CN106797560 B CN 106797560B CN 201580054831 A CN201580054831 A CN 201580054831A CN 106797560 B CN106797560 B CN 106797560B
- Authority
- CN
- China
- Prior art keywords
- server
- base station
- base stations
- security parameter
- updated security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种配置安全参数的方法、服务器、基站和通信系统。本发明实施例提供一种在网络中配置安全参数的方法,所述网络包括至少一个基站和提供业务给所述至少一个基站的服务器,所述方法包括:所述服务器更新所述至少一个基站的安全参数;所述服务器向所述至少一个基站发送所述更新的安全参数,使得所述至少一个基站根据所述更新的安全参数在彼此之间传输数据。通过设置服务器配置更新的安全参数给一组基站,不需要基站之间的密钥协商,使得性能消耗可以降低。
Description
技术领域
本发明涉及通信领域,尤其涉及一种用于配置安全参数的方法、服务器、基站和通信系统。
背景技术
在LTE(长期演进)网络中,X2是一种新型接口,它以端到端的方式连接相邻eNodeB以帮助切换并且提供一种方式用于无线资源的快速协调。
LTE通过经由X2接口在进行切换的相邻eNodeB之间的直连基站间连接引入了新的传输网络选择。因此,部分网状网的部署是有益的,因为流量不必流经集线器站点。E-UTRAN(演进型通用陆地无线接入网)内切换用于在MME没有改变时使用X2将UE(用户设备)从源eNodeB切换到目标eNodeB。
图1为E-UTRAN内切换如何工作的流程图,如图1所示,在此处描述的场景中,服务网关同样没有改变。假设服务GW和源eNodeB之间以及服务网关和目标eNodeB之间存在IP连接。目标eNodeB和服务网关之间的S1-U接口上的用户平面数据不安全,而且如果传输网络没有得到物理上保护,这些数据可能会被公开。
在许多情况下,运营商拥有他们自己的传输网络,所以不需要额外的安全防护。然而,如果用户流泪将要遍历第三方非信任网络,那么用户流量应该受到保护。在此类情况下,3GPP(第三代合作伙伴计划)规定了应该使用隧道模式下的IPSec(因特网协议安全协议)封装安全载荷协议(ESP)。但是这给用户数据增加了更多的开销。NGMN(下一代移动网络)回程组假设IPSec ESP(封装安全载荷协议)在传输协议开销(总共25%)之上增加了额外的14%。
图2为LTE信任模型的拓扑图。众所周知,用户平面、控制平面和管理平面都必须由IPSec保护。对IPSec隧道和密钥管理的要求在讨论三层安全和认证框架的3GPP文档TS33.210[2]和TS 33.31中定义。这些文档要求IPSec ESP遵从RFC 4303(“IP封装安全载荷协议(ESP),RFC 4303”)以支持完整性和重放保护,并且要求由IKEv2(“因特网密钥交换(IKEv2)协议”,RFC 4306)进行证书认证。安全防护的原因包括:eNodeB接入网应进行认证,从而保护订户特定会话,并且经过未授权的第三方网络;S1-U和X2-U上的用户数据应被完整、保密地传输。IPSec要求包括:根据3GPP,eNodeB应该支持IPSec隧道模式,而IPSec传输模式是可选的。此外,如果S1&X2传输是可信任的,例如物理保护,则不需要IPSec/IKEv2。
图3为下一代移动网络(NGMN)的拓扑图。根据NGMN,建议每个eNodeB最多支持16个S1接口,每个eNodeB最多支持32个X2接口。在人口高度密集的地区,部署需要eNodeB支持最多32个X2接口。
现在,由MME管理的eNodeB的数量逐渐增加,而且应该动态更新用于eNodeB的密钥。因此,性能消耗在eNodeB之间的密钥协商期间增加。
发明内容
本发明实施例涉及一种用于配置安全参数的方法、服务器、基站和通信系统。本发明的目的是为了确保数据传输的安全性并且降低性能消耗。
根据本发明实施例的第一方面,提供了一种在网络中配置安全参数的方法,所述网络包括至少一个基站和提供业务给所述至少一个基站的服务器,所述方法包括:
所述服务器更新所述至少一个基站的安全参数;
所述服务器向所述至少一个基站发送所述更新的安全参数,使得所述至少一个基站根据所述更新的安全参数在其它基站之间传输数据。
根据本发明实施例的第二方面,提供了一种在网络中配置安全参数的方法,所述网络包括至少一个基站和提供业务给所述至少一个基站的服务器,所述方法包括:
所述至少一个基站从所述服务器接收更新的安全参数,
所述至少一个基站根据所述更新的安全参数传输数据。
根据本发明实施例的第三方面,提供了一种网络中的服务器,所述网络包括至少一个基站,所述服务器提供业务给所述至少一个基站,所述服务器包括:
更新单元,用于更新所述至少一个基站的安全参数;
发送单元,用于向所述至少一个基站发送所述更新的安全参数,使得所述至少一个基站根据所述更新的安全参数传输数据。
根据本发明实施例的第四方面,提供了一种网络中的基站,所述网络包括所述基站和提供业务给所述基站的服务器,所述基站包括:
接收单元,用于从所述服务器接收更新的安全参数,
传输单元,用于根据所述更新的安全参数传输数据。
根据本发明实施例的第五方面,提供了一种通信系统,包括:
根据本发明实施例的所述第三方面的所述服务器,以及
根据本发明实施例的所述第四方面的所述基站。
本发明的优点存在于:不需要基站之间的密钥协商,使得性能消耗可以降低。
参照下面的描述和附图,将清楚本发明的这些和其它方面。在这些描述和附图中,详细地公开了本发明的特定实施例,来表示实施本发明的原理的一些方式,但是应当理解,本发明的范围不受此限制。相反,本发明包括落入所附权利要求书的范围内的所有变化、修改和等效物。
针对一项实施例描述和/或例示的特征,可以在一个或多个其它实施例中以相同方式或以类似方式使用,和/或与其它实施例的特征相结合或代替其它实施例的特征使用。
应当强调,术语“包括”在本说明书中使用时,用来指所述特征、要件、步骤或部件的存在;但是不排除存在或附加有一个或多个其它特征、要件、步骤、部件或它们的组。
参照以下附图,将更好地理解本发明的许多方面。附图中的组成部分不一定按照比例绘制,重点在于清楚地例示本发明的原理。为了便于例示和描述本发明的一部分,可以将附图中的对应部分在尺寸上放大,例如,放大得相对于其它部分比在根据本发明实际制成的示例性设备中的要大。在本发明的一个图或实施例中示出的元件和特征可以与一个或多个其它附图或实施例中示出的部件和特征相结合。此外,在附图中,相同的标号在全部附图中都标示对应的部分,并且可以用来标示一个以上实施例中的相同和类似部分。
附图说明
附图被包括在内以提供对本发明的进一步理解,附图构成本说明书的一部分,例示本发明的优选实施例,并且与描述内容一起用于阐明本发明的原理。附图中相同的参考编号始终表示相同的元件。
图1为E-UTRAN内切换如何工作的流程图;
图2为LTE信任模型的拓扑图;
图3为下一代移动网络(NGMN)的拓扑图;
图4为现有技术1的拓扑图;
图5为现有技术2的拓扑图;
图6为根据本发明实施例的配置安全参数的方法的流程图;
图7为根据本发明实施例的配置安全参数的方法的流程图;
图8为根据本发明实施例的配置安全参数的方法的流程图;
图9为根据本发明实施例的交换DHCP消息的方法的流程图;
图10为根据本发明实施例的在密钥服务器和基站之间交换信息的方法的流程图;
图11为根据本发明实施例的服务器的示意图;
图12为根据本发明实施例的基站的示意图。
具体实施方式
各实施例的许多特征和优点在详细说明书中显而易见,因此,所附权利要求书意图涵盖属于其范围内的实施例的所有此类特征和优点。此外,由于所属领域的技术人员将容易想到多种修改和变化,因而并不希望将发明性实施例限于所说明并描述的确切构造和操作,因此,可以采取的所有适当修改和等效物均属于相应范围内。
目前,存在一些与保护数据流量有关的现有技术。
图4为现有技术1的拓扑图,如图4所示,使用点对点隧道保护X2/S1信令和数据流量。在X2接口的情况下,需要约64^2个IPSec隧道来创建网状拓扑。
然而,申请人发现:现有技术1加大了管理IPSec隧道的复杂性,增加了管理大量IPSec隧道的运营成本和IPSec密钥协商延迟,而且还消耗了大量的系统处理资源。现有技术1需要大约60MB的内存来创建针对X2的网状(约64^2个)IPSec隧道,在CPU利用率为100%的情况下需要40至50秒来以创建全网。在密钥超期后,重新申请密钥同样需要上面所述的开销。此外,现有技术1导致X2接口的带宽消耗和低的IPSec数据吞吐量。而且,现有技术1需要硬件加速器来减少全网的DH(Diffie-Hellman)密钥计算处理开销。
图5为现有技术2的拓扑图,如图5所示,通常导致运营商不愿意在eNodeB之间创建SAs(安全关联,Security Associations),而是通过高级平台的网关路由流量。而在安全网关处,在去除IPSec开销之后,将业务流量调度到其对应的核心网节点。这简化了IPSec的使用,并且只需要来自每个eNodeB的一对SA。
然而,申请人发现:这种方法会带来额外的延迟,因为当加密的流量遍历服务网关进行eNodeB到eNodeB通信时发生了两次加密/解密。发生两次加密和解密导致约20ms的额外延迟,这显著影响了延迟敏感应用的服务质量。
本发明实施例涉及一种配置安全参数的方法、服务器、基站和通信系统。通过设置服务器配置更新的安全参数给一组基站,不需要基站之间的密钥协商,使得性能消耗可以降低。
本发明优选实施例参考附图描述如下。
实施例1
本发明的本实施例提供一种在网络中配置安全参数的方法。所述网络包括至少一个基站和提供业务给至少一个基站的服务器。
图6为根据本发明以实施例的配置安全参数的方法的流程图。如图6所示,所述方法包括:
步骤601,服务器更新至少一个基站的安全参数;
步骤602,服务器向至少一个基站发送更新的安全参数,使得至少一个基站根据更新的安全参数在彼此之间传输数据。
可以从上述实施例理解到:通过设置服务器配置更新的安全参数给一组基站,不需要基站之间的密钥协商,使得性能消耗可以降低。
在本实施例中,服务器可以是服务网关(S-GW)。
在本实施例中,可以分组基站,而分组的方法可以是现有方法中的任何一种。例如,不同的ID可以配置给不同的组。所以相同组中的基站具有相同的ID。因此,可以实现分组管理。
在本实施例中,安全参数可以包括但不限于,加密策略和加密密钥,例如TEK(流量加密密钥)和KEK(密钥加密密钥),其中TKE用于加密数据通信,而KEK用于加密TEK。所以可以确保数据传输的安全性。当配置包括TEK和KEK的相关参数时,可以使用现有通信协议中的任何一种。例如,组解释域(GDOI)(“组解释域”,RFC3547)可以用于网络侧服务器与基站之间的基站分组管理。在本申请中,本发明实施例主要在GDOI的上下文中进行描述。然而,应认识到本发明不限于GDOI。
在本实施例中,所述方法还可以包括:
步骤603,服务器根据在动态主机配置协议(DHCP)服务器和至少一个基站中的每个基站之间拦截地址分配消息来获取至少一个基站的地址信息;
步骤604,服务器向每个基站发送至少一个基站的地址信息;
步骤605,服务器根据地址信息和更新的安全参数在至少一个基站之间建立IPSec隧道。
因此,基站可以获取其它基站的地址信息,而且基站可以根据地址信息在彼此之间传输数据。
而且,只需要建立一个IPSec隧道,所以系统的复杂性可以降低。
在本实施例中,服务器可以通过使用组播密钥更新方法更新安全参数。
可以从上述实施例理解到:通过设置服务器配置更新的安全参数给一组基站,不需要基站之间的密钥协商,使得性能消耗可以降低。
实施例2
本发明实施例提供一种用于在网络中配置安全参数的方法,所述网络包括至少一个基站和提供业务给所述至少一个基站的服务器。
图7为根据本发明一实施例的配置安全参数的方法的流程图。如图7所示,所述方法包括:
步骤701,至少一个基站从服务器接收更新的安全参数;
步骤702,至少一个基站从服务器接收至少一个基站的地址信息;
步骤703,至少一个基站根据地址信息和更新的安全参数传输数据。
可以从上述实施例理解到:通过设置服务器配置更新的安全参数给一组基站,不需要基站之间的密钥协商,使得性能消耗可以降低。
实施例3
下文是在网络侧服务器与基站之间配置安全参数的示例。
图8为根据本发明一实施例的配置安全参数的方法的流程图,其中eNodeB1和eNodeB2可以是相同组中的任何两个基站,S-GW是网络侧的密钥服务器,以及P-GW是网络侧的DHCP服务器。如图8所示,所述方法包括:
步骤801,在eNodeB1或eNodeB2和DHCP服务器之间交换信息;
步骤802,S-GW根据在动态主机配置协议(DHCP)服务器和分组的基站之间拦截地址分配来获取接入控制列表策略;
步骤803,在eNodeB1或eNodeB2和S-GW之间交换信息,所以包括TEK、KEK和接入控制列表策略的相关参数可以配置给eNodeB1和eNodeB2;
步骤804,基于eNodeB1和eNodeB2之间的相关参数传输数据。
可以从上述实施例理解到:通过将基站划分为组,以及配置相同参数给相同组中的基站,可以确保数据传输的安全性,而且可以降低数据量和运营成本。
另外,基站可以获取相同组中的其它基站的接入控制列表,因此基站可以确定感兴趣的数据传输。
在本实施例的步骤801中,在eNodeB1或eNodeB2和DHCP服务器之间交换信息的方法可以使用现有方法中的任何一种。例如,图9为根据本发明一实施例的交换DHCP消息的方法的流程图,其中PDN网关是DHCP服务器。如图8所示,所述方法包括:
步骤901,eNodeB发送DHCP发现消息以获取有效IPv4地址配置;
步骤902,PDN网关接收DHCP发现消息并且向eNodeB发回DHCP提供消息;
步骤903,eNodeB从DHCP提供消息中选择IPv4地址配置并且发送DHCP请求消息;
步骤904,PDN网关将IPv4地址配置分配给eNodeB并且向eNodeB发送DHCP确认消息。
在上述交换过程中,确认消息包括地址分配的信息。
因此,基站可以获取相同组中的其它基站的接入控制列表,并且基站可以确定感兴趣的数据传输。
在本实施例的步骤803中,GDOI可以用于基站的分组管理。图10为根据本发明一实施例的在密钥服务器和基站之间交换信息的方法的流程图。如图10所示,所述方法包括:
步骤1001,作为一个组员,eNodeB启动和联系密钥服务器。
在本步骤中,GM配置有组标识符和可接受阶段1策略。一旦完成阶段1,发起者移动到GDOI协议。
步骤1002,eNodeB向密钥服务器发送第一GDOI消息。
在本步骤中,eNodeB通过选择Ni(发起者的Nonce值)建立NONCE载荷,使用组标识符建立ID载荷,以及生成HASH(1)。第一GDOI消息还被称为请求消息。
步骤1003,密钥服务器向eNodeB发送第二GDOI消息。
在本步骤中,密钥服务器(响应者)处理NONCE和ID载荷。密钥服务器验证到它的数据库包含组ID的组信息。密钥服务器构建第二GDOI消息,为NONCE载荷选择Nr(响应者的Nonce值),即ID载荷中的组策略,其中ID载荷后面是流量SA的SA TEK载荷以及SA KEK载荷,以及生成HASH(2)。第二GDOI消息还被称为下发消息。
步骤1004,eNodeB向密钥服务器发送第三GDOI消息。
在本步骤中,eNodeB验证HASH(2)并且处理NONCE和SA载荷。如果组策略使用证书进行授权,则GM生成具有Ni和Nr的哈希并进行签名。这就变成了POP载荷。CERT载荷拥有公共密钥。GM使用POP和CERT载荷创建第三GDOI消息,并生成HASH(3)。第三GDOI消息还被称为ACK消息。
步骤1005,密钥服务器向eNodeB发送第四GDOI消息。
在本步骤中,密钥服务器验证该哈希。密钥服务器构建第四GDOI消息,该消息包括含有序列号的SEQ载荷、含有密钥的KD载荷,这些密钥对应于先前在SA TEK和KEK中发送的策略,以及POP和CERT载荷(若需要),并且生成HASH(4)。第四消息还被称为密钥下载消息。
步骤1006,密钥服务器向eNodeB发送第二组密钥下发(GROUP KEY PUSH)消息。
在本步骤中,组密钥下发消息替换密钥更新SA和/或数据安全SA,而且可以使用单播或组播下发该消息。该消息只是由密钥服务器生成的单个消息。当密钥生存期将要过期时,该消息包括新的密钥,动态接入列表策略将要标识感兴趣的流量。这种ACL策略将从这种密钥服务器被下载到所有eNodeB。
可以从上述实施例理解到:通过设置服务器配置更新的安全参数给一组基站,不需要基站之间的密钥协商,使得性能消耗可以降低。
实施例4
本发明的本实施例还提供一种网络中的服务器,所述网络包括至少一个基站和提供业务给至少一个基站的服务器。本实施例对应于上述实施例1的方法,因此相同内容将不再描述。
图11为根据本发明一实施例的服务器的示意图。如图11所示,服务器1100包括:
更新单元1101,用于更新至少一个基站的安全参数;以及
发送单元1102,用于向至少一个基站发送更新的安全参数,使得至少一个基站根据更新的安全参数传输数据。
在本实施例中,发送单元1102还用于向每个基站发送至少一个基站的地址信息。在本实施例中,网络装置还可以包括:
第一建立单元1103,用于根据地址信息和更新的安全参数在至少一个基站之间建立IPSec隧道。在本实施例中,所述服务器还可以包括:
获取单元1104,根据在动态主机配置协议(DHCP)服务器和至少一个基站中的每个基站之间拦截地址分配消息来获取至少一个基站的地址信息。
在本实施例中,所述服务器还可以包括:
第二建立单元1105,用于通过GDOI协议在服务器和至少一个基站中的每个基站之间建立IKE隧道,以及
发送单元通过IKE隧道向至少一个基站发送更新的安全参数。
可以从上述实施例理解到:通过设置服务器配置更新的安全参数给一组基站,不需要基站之间的密钥协商,使得性能消耗可以降低。
实施例5
本发明的本实施例还提供一种网络中的基站,所述网络包括至少一个基站和提供业务给至少一个基站的服务器。本实施例对应于上述实施例2的方法,因此相同内容将不再描述。
图12为根据本发明一实施例的网络装置的示意图。如图12所示,基站1200包括:
接收单元1201,用于从所述服务器接收更新的安全参数;
传输单元1202,用于根据更新的安全参数传输数据。
在本实施例中,接收单元1201还用于从服务器接收至少一个基站的地址信息;
以及传输单元1202根据地址信息和更新的安全参数传输数据。
可以从上述实施例理解到:通过设置服务器配置更新的安全参数给一组基站,不需要基站之间的密钥协商,使得性能消耗可以降低。
实施例6
本发明的本实施例还提供一种通信系统。所述通信系统包括根据本发明的实施例4的服务器和根据本发明的实施例5的基站,相同内容将不再描述。
流程图中的描述或块或者采用其他形式的任何进程或方法应被理解成表明包括一个或多个模块、片段或部分,以用于实现特定逻辑功能或进程中步骤的可执行指令的代码,而且本发明的优选实施例的范围包括其他实施方案,其中这些功能可以采用与所示或所述那些不同的方式来执行,包括根据相关功能以基本上同步的方式或以相反的顺序来执行这些功能,本发明相关领域的技术人员应理解上述内容。
例如,流程图中图示或本文以其他方式描述的逻辑和/或步骤应被理解为用于实现逻辑功能的可执行指令的顺序表,它可以在任何计算机可读媒体中实施,以供指令执行系统、装置或设备(例如,包括计算机的系统、包括处理器的系统,或能够从指令执行系统、装置或设备中提取指令并执行这些指令的其他系统)使用,或者与指令执行系统、装置或设备结合使用。
上述文字描述和附图示出了本发明的各种特征。应理解,所属领域的技术人员可以准备合适的计算机代码,以执行上文所述且附图所示的每个步骤和进程。还应理解,所有的终端、计算机、服务器以及网络可以是任何类型的,并且可以根据本发明来准备计算机代码,以通过使用相应设备来实施本发明。
本文中揭示了本发明的特定实施例。所属领域的技术人员将容易认识到,本发明可以应用于其他环境。实际上,存在许多实施例和实施方案。所附权利要求书并非意图将本发明的范围限于上述特定实施例。此外,任何对“用于……的设备”的引用都是在解释设备加功能,以描述元件和权利要求,而且并不希望将任何未引用“用于……的设备”的元件理解为设备加功能的元件,即使权利要求中包括词语“设备”也是如此。
虽然已经示出了一项或多项特定的优选实施例并且已经描述了本发明,但很明显,所属领域的技术人员在阅读并理解上述描述和附图后可以想到等效修改和变型。特别是对于由上述元件(部分、组件、设备以及组成等等)执行的各种功能而言,除非另有规定,否则希望描述这些元件的术语(包括对“设备”的引用)对应于执行这些元件的特定功能的任何元件(即,功能等效物),即使该元件不同于执行本发明就相关结构所说明的一项或多项示例性实施例的功能的元件。此外,尽管仅参考所述实施例中的一项或多项来描述本发明的特定特征,但是此类特征可以根据需要并鉴于任何给定或特定应用的有利方面而与其他实施例的一个或多个其他特征相结合。
Claims (17)
1.一种在网络中配置安全参数的方法,所述网络包括多个基站和提供业务给所述多个基站的服务器,其特征在于,所述方法包括:
所述服务器更新所述多个基站的至少一个安全参数,以得到至少一个更新的安全参数,所述多个基站属于同一个分组;
所述服务器向所述多个基站发送所述至少一个更新的安全参数,使得所述多个基站中的至少一个基站根据所述至少一个更新的安全参数传输数据,其中所述数据在所述至少一个基站和所述多个基站中的至少一个其它基站之间传输。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述服务器向所述至少一个其它基站发送所述至少一个基站的地址信息;
所述服务器根据所述地址信息和所述至少一个更新的安全参数在所述至少一个基站和所述至少一个其它基站之间建立IPSec隧道。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述服务器通过在动态主机配置协议(DHCP)服务器和所述多个基站中的每个基站之间拦截地址分配消息来获取所述至少一个基站的所述地址信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述服务器通过GDOI协议在所述服务器和所述多个基站中的每个基站之间建立IKE隧道,以及所述服务器通过所述IKE隧道向所述至少一个基站发送所述至少一个更新的安全参数。
5.根据权利要求1所述的方法,其特征在于,所述至少一个安全参数至少包括加密策略和加密密钥中的至少一个。
6.根据权利要求1所述的方法,其特征在于,所述服务器通过使用组播密钥更新方法更新所述至少一个安全参数。
7.一种在网络中配置安全参数的方法,所述网络包括多个基站和提供业务给所述多个基站的服务器,其特征在于,所述方法包括:
所述多个基站中的至少一个基站从所述服务器接收至少一个更新的安全参数,所述多个基站属于同一个分组;
所述多个基站中的所述至少一个基站根据所述至少一个更新的安全参数传输数据,其中所述数据在所述至少一个基站和所述多个基站中的至少一个其它基站之间传输,所述至少一个更新的安全参数也被所述至少一个其它基站从所述服务器接收。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述至少一个基站从所述服务器接收至少一个其它基站的地址信息;以及
根据所述地址信息和所述至少一个更新的安全参数在所述至少一个基站和所述至少一个其它基站之间传输数据。
9.一种网络中的服务器,所述网络包括多个基站和提供业务给所述多个基站的服务器,其特征在于,所述服务器包括:
更新单元,用于更新所述多个基站的至少一个安全参数,以得到至少一个更新的安全参数,所述多个基站属于同一个分组;
发送单元,用于向所述多个基站发送所述至少一个更新的安全参数,使得所述多个基站中的至少一个基站根据所述至少一个更新的安全参数传输数据,其中所述数据在所述至少一个基站和所述多个基站中的至少一个其它基站之间传输。
10.根据权利要求9所述的服务器,其特征在于,所述发送单元还用于向至少一个其它基站发送所述至少一个基站的地址信息;
以及所述服务器还包括:
第一建立单元,用于根据所述地址信息和所述至少一个更新的安全参数在所述至少一个基站和所述至少一个其它基站之间建立IPSec隧道。
11.根据权利要求10所述的服务器,其特征在于,所述服务器还包括:
获取单元,用于根据在动态主机配置协议(DHCP)服务器和所述多个基站中的每个基站之间拦截地址分配消息来获取所述至少一个基站的所述地址信息。
12.根据权利要求9所述的服务器,其特征在于,所述服务器还包括:
第二建立单元,用于通过GDOI协议在所述服务器和所述多个基站中的每个基站之间建立IKE隧道,以及
所述发送单元通过所述IKE隧道向所述至少一个基站发送所述至少一个更新的安全参数。
13.根据权利要求9所述的服务器,其特征在于,所述至少一个安全参数包括至少加密策略和加密密钥中的至少一个。
14.根据权利要求9所述的服务器,其特征在于,所述更新单元通过使用组播密钥更新方法更新所述至少一个安全参数。
15.一种网络中的基站,所述网络包括多个基站和提供业务给所述多个基站的服务器,所述多个基站包括所述基站,其特征在于,所述基站包括:
接收单元,用于从所述服务器接收至少一个更新的安全参数,所述多个基站属于同一个分组;
传输单元,用于根据所述至少一个更新的安全参数传输数据,其中所述数据在所述基站和所述多个基站中的至少一个其它基站之间传输,所述至少一个更新的安全参数也被所述至少一个其它基站从所述服务器接收。
16.根据权利要求15所述的基站,其特征在于:
接收单元用于从所述服务器接收所述基站的地址信息;以及
所述传输单元根据接收到的所述地址信息和所述至少一个更新的安全参数传输数据。
17.一种通信系统,其特征在于,包括:
权利要求9至14中的任一权利要求所述的服务器,以及
权利要求15或16所述的基站。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ININ5782/CHE/2014 | 2014-11-17 | ||
| IN5782CH2014 | 2014-11-17 | ||
| PCT/CN2015/079866 WO2016078378A1 (en) | 2014-11-17 | 2015-05-27 | Method, server, base station and communication system for configuring security parameters |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106797560A CN106797560A (zh) | 2017-05-31 |
| CN106797560B true CN106797560B (zh) | 2020-06-16 |
Family
ID=56013216
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580054831.XA Active CN106797560B (zh) | 2014-11-17 | 2015-05-27 | 用于配置安全参数的方法、服务器、基站和通信系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10616761B2 (zh) |
| EP (1) | EP3195643B1 (zh) |
| CN (1) | CN106797560B (zh) |
| WO (1) | WO2016078378A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11190510B2 (en) * | 2017-11-15 | 2021-11-30 | Parallel Wireless, Inc. | Two-factor authentication in a cellular radio access network |
| CN110768954B (zh) * | 2019-09-19 | 2021-08-27 | 西安电子科技大学 | 适用于5g网络设备的轻量级安全接入认证方法及应用 |
| CN113132976B (zh) * | 2021-05-11 | 2022-08-12 | 国网信息通信产业集团有限公司 | 一种分布式无线通信配电网差动保护方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011100892A1 (en) * | 2010-02-22 | 2011-08-25 | Huawei Technologies Co., Ltd. | System and method for communications in communications systems with relay nodes |
| WO2012092858A2 (zh) * | 2012-01-04 | 2012-07-12 | 华为技术有限公司 | X2安全通道建立方法与系统、以及基站 |
| WO2013062906A1 (en) * | 2011-10-25 | 2013-05-02 | Cisco Technology, Inc. | Multicast source move detection for layer-2 interconnect solutions |
| WO2014160763A1 (en) * | 2013-03-26 | 2014-10-02 | Qualcomm Incorporated | Wlan uplink scheduler for lte-wlan aggregation |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007098678A1 (fr) * | 2006-02-28 | 2007-09-07 | Huawei Technologies Co., Ltd. | Serveur d'agents, procédé permettant de créer un agent par l'intermédiaire du serveur d'agents et système et procédé pour système de communication sécurisé |
| TWI599259B (zh) * | 2006-12-27 | 2017-09-11 | 無線創新信號信託公司 | 基地台自行配置方法及裝置 |
| JP4465015B2 (ja) * | 2008-06-20 | 2010-05-19 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法 |
| CN101552984B (zh) * | 2009-05-05 | 2011-05-18 | 广州杰赛科技股份有限公司 | 一种移动通信系统的基站的安全接入方法 |
| CN102655452B (zh) * | 2011-03-04 | 2018-01-05 | 中兴通讯股份有限公司 | 一种组安全联盟的生成方法及装置 |
| CN102711106B (zh) * | 2012-05-21 | 2018-08-10 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
-
2015
- 2015-05-27 WO PCT/CN2015/079866 patent/WO2016078378A1/en active Application Filing
- 2015-05-27 CN CN201580054831.XA patent/CN106797560B/zh active Active
- 2015-05-27 EP EP15860109.6A patent/EP3195643B1/en active Active
-
2017
- 2017-05-16 US US15/596,915 patent/US10616761B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011100892A1 (en) * | 2010-02-22 | 2011-08-25 | Huawei Technologies Co., Ltd. | System and method for communications in communications systems with relay nodes |
| WO2013062906A1 (en) * | 2011-10-25 | 2013-05-02 | Cisco Technology, Inc. | Multicast source move detection for layer-2 interconnect solutions |
| WO2012092858A2 (zh) * | 2012-01-04 | 2012-07-12 | 华为技术有限公司 | X2安全通道建立方法与系统、以及基站 |
| WO2014160763A1 (en) * | 2013-03-26 | 2014-10-02 | Qualcomm Incorporated | Wlan uplink scheduler for lte-wlan aggregation |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106797560A (zh) | 2017-05-31 |
| EP3195643B1 (en) | 2019-08-07 |
| US10616761B2 (en) | 2020-04-07 |
| EP3195643A4 (en) | 2017-10-04 |
| US20170251363A1 (en) | 2017-08-31 |
| EP3195643A1 (en) | 2017-07-26 |
| WO2016078378A1 (en) | 2016-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3557840B1 (en) | Security implementation method, device and system | |
| CN107079023B (zh) | 用于下一代蜂窝网络的用户面安全 | |
| CN112997454B (zh) | 经由移动通信网络连接到家庭局域网 | |
| TWI713614B (zh) | 用於使用支援多個連線性和服務上下文的安全模型的無線通訊的方法和裝置 | |
| US8627064B2 (en) | Flexible system and method to manage digital certificates in a wireless network | |
| CN110891269B (zh) | 一种数据保护方法、设备及系统 | |
| JP2018526869A (ja) | 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ | |
| CN105376737B (zh) | 机器到机器的蜂窝通信安全性 | |
| TW201703556A (zh) | 網路安全架構 | |
| KR20160054483A (ko) | 기지국 상호간 전송을 위한 보안 통신을 가능하게 하는 방법 및 시스템 | |
| WO2019096075A1 (zh) | 一种消息保护的方法及装置 | |
| US20190090132A1 (en) | Communication method, network-side device, and user equipment | |
| KR20170097487A (ko) | 통합 코어 망 서비스 이용방법과 이를 위한 통합 제어장치 및 그 시스템 | |
| Fang et al. | Security requirement and standards for 4G and 5G wireless systems | |
| CN113841443B (zh) | 数据传输方法及装置 | |
| US10616761B2 (en) | Method, server, base station and communication system for configuring security parameters | |
| EP3637815A1 (en) | Data transmission method, and device and system related thereto | |
| EP3135052B1 (en) | Method for communication between femto access points and femto access point | |
| CN101860862B (zh) | 终端移动到增强utran时建立增强密钥的方法及系统 | |
| WO2011095077A1 (zh) | 无线通信系统中管理空口映射密钥的方法、系统和装置 | |
| US20230094458A1 (en) | Ipsec privacy protection | |
| WO2018046109A1 (en) | Attack mitigation in 5g networks | |
| CN113766497B (zh) | 密钥分发方法、装置、计算机可读存储介质及基站 | |
| US20240146702A1 (en) | Traffic management with asymmetric traffic encryption in 5g networks | |
| NZ755869B2 (en) | Security implementation method, device and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |