WO2009097749A1

WO2009097749A1 - 防止家庭基站欺骗用户的方法、系统及设备

Info

Publication number: WO2009097749A1
Application number: PCT/CN2009/070020
Authority: WO
Inventors: Yanmei Yang; Zheng Zhou; Xijun Xue
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2008-01-31
Filing date: 2009-01-05
Publication date: 2009-08-13
Also published as: CN101499899A; CN101499899B

Description

防止家庭基站欺骗用户的方法、系统及设备

本申请要求于 2008 年 01 月 31 日提交中国专利局、申请号为 200810006806.6, 发明名称为"防止家庭基站欺骗用户的方法、系统及相关设备"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信领域，尤其涉及一种防止家庭基站欺骗用户的方法、系统及设备。

背景技术

随着因特网的发展以及各种无线业务的广泛应用 ,用户对于无线通信提出了高速、便捷、低成本等方面的需求。家庭基站（Home NodeB, HNB ) 的提出，充分满足了上述用户需求。

HNB 是一种家用微型基站，其通过 IP、非对称数字用户线路（ADSL, Asymmetric Digital Subscriber Line )、因特网等方式接入运营商提供的移动通信网络，以获得无线通信服务。通常情况下， HNB 由用户购买，并布置在家庭，办公场所等热点覆盖区域，与传统运营商的基站不同， HNB 更容易被一般用户接触，并且， HNB的所有权也不再属于运营商，因而， HNB的安全性不如传统基站。

而用户出于安全及隐私考虑，有可能只愿意接入某些 HNB (如信誉良好的集团的 HNB, 或者，用户自己布置的 HNB等），但一些恶意的 HNB为了经济利益，会假冒其他 HNB的身份吸引用户设备 ( User Equipment, UE )接入，比如，恶意的 HNB假冒用户自己设置的 HNB的身份吸引用户设备接入，以获取该用户设备的业务流，然后，利用该业务流给自己的用户提供无偿服务。

为了维护用户利益，防止用户被 HNB欺骗，现有技术提供了一种防止 HNB 欺骗用户的方法。

众所周知， UE 在接入通用移动通信系统（ UMTS , Universal Mobile

Telecommunications System )或全球移动通讯系统 ( GSM, Global System for Mobile Communications )网络之前， UE和核心网（ CN )之间需要进行密钥协商与认证（AKA )流程，在协商过程中，核心网会生成一对加密密钥（CK ) 和完整性密钥（IK )，之后， UE与核心网将基于这对 CK和 ΙΚ进行通信。为了防止 HNB欺骗用户，现有技术中，核心网在将 IK发给 HNB之前，需要完成一次密钥绑定运算 IK，=KDF ( IK, HNB— ID )，即核心网将 IK与 HNB 的真实身份标识（HNB— ID )绑定，然后，核心网将 IK，发送给 HNB, 并且， UE亦会采用与核心网相同的密钥绑定算法，将 ΗΝΒ通过广播方式发送的身份标识与所述 ΙΚ绑定 , 生成一个 ΙΚ， , 只有 ΗΝΒ的 ΙΚ，和 UE的 ΙΚ，一致时 , UE才会接入该 ΗΝΒ , 若 ΗΝΒ假冒其他 ΗΝΒ身份，则该 ΗΝΒ广播给 UE的身份标识与其真实的身份标识将不一致，从而， ΗΝΒ的 ΙΚ，与 UE的 ΙΚ，也会不一致，此时，用户设备将会拒绝接入该 ΗΝΒ , 达到了防止用户设备被 ΗΝΒ 欺骗的目的。

由前文叙述可知，现有技术值只适用于具有密钥绑定运算功能的 UE, 而无法兼容不具备密钥绑定运算功能的传统 UE, 即若使用现有的防止 ΗΝΒ欺骗用户的方法，则会使传统 UE出错，导致该 UE无法与任何的 ΗΝΒ建立连接。

为了使现有技术能够兼容传统 UE, 即不影响传统 UE与 ΗΝΒ建立连接，要求 UE在接入时上报其版本信息，若核心网根据 UE的版本信息判断得到该 UE为传统 UE, 则核心网不启动密钥绑定运算，即不启动防止 ΗΝΒ欺骗用户的机制，而是将 IK, CK直接发送给 ΗΝΒ , 之后， UE与 ΗΝΒ基于所述 ΙΚ, CK进行通信。

在对现有技术的研究和实践过程中 , 发明人发现现有技术存在以下问题：现有技术中， UE上报版本信息是在核心网启动空口完整性保护之前进行，则 UE的版本信息很可能会被恶意 ΗΝΒ篡改，比如， ΗΝΒ将新版 UE的版本信息篡改为传统 UE的版本信息，则核心网将不会启动防止 ΗΝΒ欺骗用户的机制，使得新版 UE无法对 ΗΝΒ身份验证， ΗΝΒ成功骗过 UE。由此可见，现有技术存在 HNB成功骗过 UE的风险，其无法有效的防止 UE被 HNB欺骗。

发明内容

本发明实施例所要解决的技术问题是提供一种防止家庭基站欺骗用户的方法、系统及设备，能够有效的防止 UE被 HNB欺骗。

为解决上述技术问题 , 本发明实施例所提供以下技术方案：

本发明实施例提供了一种防止家庭基站欺骗用户的方法，其特征在于，包括：

接收核心网发送的安全模式命令；

发送携带家庭基站身份信息的安全模式启动命令；

将所述安全模式启动命令经由所述家庭基站转发至用户设备。

本发明实施例提供了一种家庭基站网关，包括：安全模式命令接收单元，启动命令创建^^送单元；

所述安全模式命令接收单元，用于接收核心网发送的安全模式命令；所述安全模式启动命令创建及发送单元，用于创建并发送携带家庭基站身份信息的安全模式启动命令，所述安全模式启动命令经由家庭基站转发至用户设备。

本发明实施例提供了一种家庭基站，包括：

安全模式启动命令接收单元，用于接收所述家庭基站网关发送的携带家庭基站身份信息的安全模式启动命令；

安全模式启动命令转发单元 ,用于将所述安全模式启动命令转发至用户设备。

本发明实施例提供了一种用户设备，包括：

安全模式启动命令接收单元，用于接收所述家庭基站发送来的安全模式启动命令；

身份信息验证单元，用于验证所述安全模式启动命令携带的家庭基站身份信息与所述家庭基站预先广播的身份信息是否一致，若不一致，则拒绝接入所述家庭基站。

本发明实施例还提供了一种防止家庭基站欺骗用户的系统，包括：家庭基站，家庭基站网关；

其中，所述家庭基站网关包括：安全模式命令接收单元，安全模式启动命令创建及发送单元；

所述安全模式命令接收单元，用于接收核心网发送的安全模式命令；所述安全模式启动命令创建及发送单元，用于创建并发送携带家庭基站身份信息的安全模式启动命令，所述安全模式启动命令经由家庭基站转发至用户设备；所述家庭基站包括：安全模式启动命令接收单元，安全模式启动命令转发单元；

所述安全模式启动命令接收单元，用于接收所述家庭基站网关发送的携带家庭基站身份信息的安全模式启动命令；

所述安全模式启动命令转发单元，用于将所述安全模式启动命令转发至用户设备。

上述技术方案具有如下有益效果：

在本发明实施例中，通过一个不能被篡改的安全模式启动命令将 HNB的真实身份信息发送给了 HNB, 因此，任何恶意 HNB都无法欺骗 HNB, 有效的防止了 HNB欺骗用户。

附图说明

图 1为本发明实施例提供的防止 HNB欺骗用户的方法流程图；图 2为本发明第一实施例提供的防止 HNB欺骗用户的方法流程图；图 3为本发明第二实施例提供的防止 HNB欺骗用户的方法流程图；图 4为本发明第三实施例提供的防止 HNB欺骗用户的方法流程图；图 5为本发明实施例提供的协议栈；

图 6为本发明第四实施例提供的防止 HNB欺骗用户的方法流程图；图 7为本发明实施例提供的防止 HNB欺骗用户的系统组成示意图；图 8为本发明实施例提供的 UE组成示意图。

具体实施方式

为使本发明实施例的目的、技术方案、及优点更加清楚明白，以下参照附图对本发明实施例提供的技术方案进行详细说明。

在本发明实施例中，如无特别说明 UE均指新版 UE, 在 UE与核心网完成互认证后，若 UE想接入某个 HNB, 为了防止 UE被该 HNB欺骗，本发明实施例提供了一种防止 HNB欺骗用户的方法，请参见图 1，该方法包括：步骤 101 : HNB-GW接收核心网发送的安全模式命令；

步骤 102:所述 HNB-GW发送携带 HNB身份信息的安全模式启动命令至 HNB;

步骤 103: 所述 HNB将所述安全模式启动命令转发至 UE; 步骤 104: 所述 UE验证所述安全模式启动命令携带的 HNB身份信息与所述 HNB预先广播的身份信息是否一致，若不一致，则所述 UE拒绝接入所述 HNB。

以上为本发明实施例提供的防止 HNB 欺骗用户的方法，在该方法中 HNB-GW通过一个不能被 HNB篡改的安全模式启动命令将 HNB的真实身份发送给了 HNB, 因此，任何恶意 HNB都无法欺骗 HNB, 有效的防止了 HNB 欺骗用户。

进一步，若在传统 UE与 HNB建立连接过程中，核心网启动本发明实施例提供的防止 HNB欺骗用户的机制，并不会影响传统 UE与 HNB建立连接，因为传统 UE不认识安全模式启动命令中携带 HNB身份信息的 IE,而传统 UE 对于不认识的 IE的处理就是直接忽略不计，所以，传统 UE在接收到安全模式启动命令后，直接创建经由 HNB转发至 HNB-GW的安全模式启动命令响应， HNB-GW收到响应后将已存的 IK, CK发送给 HNB, UE和 HNB基于所述 IK, CK进行通信。由此可见，本发明实施例提供的方法并不会影响传统 UE与任何的 HNB建立连接，即本发明实施例提供的方法兼容传统 UE。

在本发明其他实施例中，亦可由其他知道 HNB真实身份信息的设备发送携带 HNB真实身份信息的安全模式启动命令至 UE, 并不影响本发明实施例的实现。

以上介绍了本发明实施例提供的防止 HNB欺骗用户的方法，以下结合附图对本发明实施例提供方法的具体实现过程进行详细介绍。

请参见图 2，为本发明第一实施例提供的防止 HNB欺骗用户的方法，包括：

步骤 201 : UE接收 HNB通过广播方式发送来的 HNB身份信息，该身份信息可以是 HNB 自身的身份信息，或者，是 HNB 所在闭用户组（Closed Subscriber Group, CSG ) 的信息；

若用户根据 UE接收到的 HNB身份信息，决定接入该 HNB, 则 UE执行步骤 202。

步骤 202: UE向 HNB发送 RRC连接建立请求，并与 HNB建立 RRC连接；步骤 203: UE向 HNB发送初始直传消息；

在具体实现时，所述初始直传消息可以是附着请求（attach ), (路由区更新消息) RAU, 服务请求 ( service request ), 或者, 寻呼响应 ( paging response ) 等消息；

步骤 204 : HNB 将所述初始直传消息转发至家庭基站网关（Home

NodeB-GateWay, HNB-GW );

其中， HNB在转发所述初始直传消息时，可以在所述初始直传消息中加入空口加密启动时间；

步骤 205: HNB-GW将所述初始直传消息转发给核心网的通用分组无线业务（ GPRS, General Packet Radio Service ) 支持节点（Serving GPRS Support Node, SGSN ), 或，移动交换中心（ Mobile Switching Center, MSC )，或，拜访位置寄存器（ Visited Location Register， VLR );

其中，若用户业务在分组（Packet Switch, PS )域，则 HNB-GW将初始直传消息发送给 SGSN,若用户业务在电路（ Circuit Switch, CS )域，则 HNB-GW 将初始直传消息发送给 MSC或者 VLR。

在具体实现时， HNB-GW与 SGSN/MSC/VLR之间采用传统的 Iu接口， HNB-GW收到初始直传消息后，通过 Iu接口向核心网 SGSN/MSC/VLR发送信令连接控制协议（ Skinny Client Control Protocol, SCCP )连接请求消息（ CR )，消息数据为 UE发送的初始直传消息。

步骤 206: 核心网 SGSN/MSC/VLR根据预置的运营商策略，判断是否需要执行一次新的密钥协商与认证流程，如果是，则发起 AKA流程，如果否，则进入步骤 207;

其中，所述预置的运营商策略可以是 CK, IK是否过期，或者， CK, IK 安全等级是否符合业务需要等。

步骤 207:核心网 SGSN/MSC/VLR向 HNB-GW发送安全模式命令，该命令携带允许采用的空口加密算法 /完整性算法，以及 CK, IK;

步骤 208: HNB-GW保存所述 CK及 IK,并创建 RRC安全模式启动命令，该安全模式启动命令携带 UE当前所在 HNB的真实身份信息（如 HNB小区标识， HNB所在 CSG的身份标识，或者， HNB 自身的公共身份标识或私有身份标识）， HNB-GW采用所述 IK对该安全模式启动命令进行完整性保护，该启动命令经由 HNB发送给 UE;

其中，由于 HNB接入网络时，是由 HNB-GW进行认证 , 所以， HNB-GW 知道 HNB的真实身份。

另夕卜， HNB-GW发给 HNB 的安全模式命令启动命令与 HNB-GW发给

HNB的其他消息不同，是需要 HNB原封不动的作为 RRC消息转发给 UE, 因此， HNB-GW和 HNB接口可能还需要有相关指示功能，比如， HNB-GW将所述安全模式启动命令放到一个特殊类型的 IE里发给 HNB (这个 IE里的信息需要 HNB原封不动的作为 RRC消息发给 UE )，或者，在消息头加一个特殊指示标志，告知 HNB要对该消息里安全模式命令作为 RRC消息原封不动发给 UE。

在具体实现时，本领域技术人员知道需要在发送给 UE的安全模式启动命令中携带空口加密 /完整性算法，以及要对安全模式启动命令进行完整性保护。并且， HNB-GW创建的 RRC安全模式启动命令类似于 RNC创建并向 UE发送的安全模式启动命令，不同之处在于， HNB-GW创建的 RRC安全模式启动命令中增加了一个携带 UE当前所在 HNB的真实身份信息的 IE。

并且，为了保证所述安全模式启动命令携带的空口加密算法 /完整性算法是 UE及 HNB支持的算法， HNB-GW可以根据 HNB的安全能力以及 UE上报的安全能力，从所述允许使用的空口加密算法 /完整性算法中，选择一个合理的算法放入所述 RRC安全模式启动命令，并且，使用 IK及选择出的算法对 RRC安全模式启动命令进行完整性保护。或者， HNB根据自身安全能力以及 UE在 RRC连接过程中上报的安全能力，选择一组安全算法，上报给 HNB-GW, HNB-GW将这组算法放入所述 RRC安全模式启动命令。

进一步，如果 HNB上报了空口加密启动时间，则 HNB-GW将 HNB上报的空口加密启动时间添加到所述 RRC安全模式启动命令中，否则，由 HNB-GW 选择一个空口加密启动时间，并添加到 RRC安全模式启动命令中。

步骤 209: UE收到所述 RRC安全模式启动命令后，验证该命令的完整性，若该命令完整，则验证该命令携带的 HNB身份信息是否与 HNB通过广播方式发送来的身份信息一致，如果一致，则进入步骤 210, 如果否，则释放与 HNB的 RRC连接，拒绝与该 HNB建立连接。

步骤 210: UE创建安全模式启动命令响应，并采用 IK对该响应进行完整性保护，该响应经由 HNB转发至 HNB-GW;

步骤 211 : HNB-GW验证安全模式启动命令响应的完整性，若该响应完整，则发送密钥下发命令至 HNB, 该命令携带所述已存的 CK和 IK;

进一步，由于新版 UE支持密钥绑定算法，为了更好的防止恶意 HNB攻击 UE, 在本发明其他实施例中， UE 可以安全模式启动命令响应中携带版本信息（或者能力信息），那么， HNB-GW对安全模式启动命令响应完整性验证通过后， HNB-GW可以进一步根据 UE版本信息（或者能力信息），选择发送 CK, IK的方式，比如，对于传统 UE和新版 UE, HNB-GW均可采用直接将 CK和 IK发送给 HNB的方式，而对于新版 UE, HNB-GW还可以启动密钥绑定算法，即将 CK, IK与 HNB身份标识绑定后的新密钥发送给 HNB, 同时， UE也需要采用相同的密钥绑定算法衍生新密钥，后续流程中， UE与 HNB采用新密钥进行通信。

步骤 212: HNB保存所述 IK和 CK, 并向 HNB-GW返回密钥接收响应。以上为本发明第一实施例提供的防止 HNB欺骗用户的方法，在该方法中 HNB-GW通过一个不能被 HNB篡改的安全模式启动命令将 HNB的真实身份发送给了 UE, 因此，任何恶意 HNB都无法欺骗 UE, 有效的防止了 HNB欺骗用户。

请参见图 3，为本发明第二实施例提供的防止 HNB欺骗用户的方法流程图，第二实施例中的步骤 301 ~步骤 307与第一实施例中的步骤 201 ~步骤 207 相同，在此不再赞述。

步骤 308: HNB-GW保存所述 CK及 IK,并创建 RRC安全模式启动命令，该安全模式启动命令携带 UE当前所在 HNB的真实身份信息（如 HNB小区标识， HNB所在 CSG的身份标识，或者， HNB 自身的公共身份标识或私有身份标识）， HNB-GW采用所述 IK对该安全模式启动命令进行完整性保护，该启动命令经由 HNB发送给 UE;

其中，由于 HNB接入网络时，是由 HNB-GW进行认证 , 所以， HNB-GW 知道 HNB的真实身份。另夕卜， HNB-GW发给 HNB 的安全模式命令启动命令与 HNB-GW发给 HNB的其他消息不同，是需要 HNB原封不动的作为 RRC消息转发给 UE, 因此， HNB-GW和 HNB接口可能还需要有相关指示功能，比如， HNB-GW将所述安全模式启动命令放到一个特殊类型的 IE里发给 HNB (这个 IE里的信息需要 HNB原封不动的作为 RRC消息发给 UE )，或者，在消息头加一个特殊指示标志，告知 HNB要对该消息里安全模式命令作为 RRC消息原封不动发给 UE。

值得指出的是，此安全模式启动命令里携带的空口加密 /完整性算法可以是 HNB-GW根据 UE安全能力以及允许的算法，所选定的算法。

进一步 , 如果 HNB上报了加密启动时间，则 HNB-GW将 HNB上报的加密启动时间添加到所述 RRC安全模式启动命令中，否则，由 HNB-GW选择一个加密启动时间，并添加到 RRC安全模式启动命令中。

第二实施例中的步骤 309〜步骤 312与第一实施例中的步骤 209〜步骤 212 相同，在此不再赞述。

步骤 313: HNB选择 HNB和 UE都能支持的新的空口加密 /完整性算法，并将新算法通知给 UE;

在具体实现时，步骤 313中选择出的算法可以通过以下任意一个消息发送给 UE:

( 1 )物理信道重配置消息 PHYSICAL CHANNEL

RECONFIGURATION;

( 2 ) RNTI重分配消息；

( 3 ) ( UT ) RAN移动信息消息（ UT ) RAN mobility information;

( 4 )传输信道重配置消息 TRANSPORT CHANNEL

RECONFIGURATION; ( 5 ) RB建立消息 RADIO BEARER SETUP , 或者， RB释放消息 RADIO BEARER RELEASE。

值得指出的是，步骤 313以及后续步骤的实施可能是必选的，也可能是可选的。所谓可选的，也就是只有当 HNB发现 HNB-GW所选算法不是其所能支持的算法时才执行步骤 313以及后续步骤。

步骤 314: UE切换到本小区，并且采用新算法与 HNB进行空口通信。值得指出的是，以上步骤 313和 314通过由 HNB向 UE发送切换命令的方式，达到了通知 UE新算法的目的。

当然，也不排除由 HNB-GW向 UE发送切换命令的方式，由 HNB进行转发的方式。

以上为本发明第二实施例提供的防止 HNB欺骗用户的方法，在该方法中 HNB-GW通过一个不能被 HNB篡改的安全模式启动命令将 HNB的真实身份发送给了 UE, 因此，任何恶意 HNB都无法欺骗 UE, 有效的防止了 HNB欺骗用户。

以下介绍本发明第三实施例提供的防止 HNB欺骗用户的方法，该方法与第一实施例提供方法的主要区别在于， UE不与 HNB建立 RRC连接，而是与 HNB-GW建立 RRC连接，因此，若 HNB通过验证，则 UE需要切换到 HNB。请参见图 4，为本发明第三实施例提供的防止 HNB欺骗用户的方法，包括：步骤 401 : UE接收 HNB通过广播方式发送来的 HNB身份信息；若用户根据 UE接收到的 HNB身份信息，决定接入该 HNB , 则 UE执行步骤 402。

步骤 402: UE向 HNB发送 RRC连接建立请求， HNB将所述 RRC连接建立请求转发至 HNB-GW, 并且， UE与 HNB-GW建立 RRC连接；

因为步骤 402中 HNB仅起到转发 RRC连接建立请求的作用，所以， HNB 既可以相当于 NodeB ,也可以相当于漂移无线网络控制器（ Drift Radio Network Control , D-RNC )。那么，在具体实现时， HNB和 HNB-GW可以采用以下通信协议：

若把 HNB相当于 NodeB, 则 HNB与 HNB-GW通过类似于 Iub的接口进行通信。若把 HNB相当于 D-RNC,则 HNB与 HNB-GW通过类似于 Iur的接口进行通信，如 HNB可以采用 Uplink Signalling Transfer procedure消息发送 UE发送给 HNB-GW的上行消息 , 采用 Downlink Signalling Transfer procedure消息发送 HNB-GW发送给 UE的下行消息。

此外， HNB和 HNB-GW还可以采用扩展后的 Iu接口（ RANAP协议 )进行通信。

步骤 403： UE向 HNB发送初始直传消息；

步骤 404： HNB向 HNB-GW转发此初始直传消息；

步骤 405: HNB-GW将所述初始直传消息转发给核心网 SGSN/MSC/VLR; 步骤 406: 核心网 SGSN/MSC/VLR根据预置的运营商策略，判断是否需要执行一次新的密钥协商与认证流程，如果是，则发起 AKA流程，如果否，则进入步骤 407;

步骤 407:核心网 SGSN/MSC/VLR向 HNB-GW发送安全模式命令，该命令携带允许采用的空口加密 /完整性算法，以及 CK, IK;

步骤 408: HNB-GW创建 RRC安全模式启动命令，该安全模式命令携带

UE当前所在 HNB的真实身份信息， HNB-GW采用所述 IK对该安全模式命令进行完整性保护，并且，该启动命令经由 HNB发送给 UE;

步骤 409: UE收到所述 RRC安全模式启动命令后，验证该命令的完整性，若该命令完整，则验证该命令携带的 HNB身份信息是否与 HNB通过广播方式发送来的信息一致，如果一致，则进入步骤 410, 如果否，则 UE释放与 HNB-GW的 RRC连接，拒绝接入该 HNB;

步骤 410: UE创建安全模式命令启动命令响应，并采用 IK对该响应进行完整性保护，该响应经由 HNB发送给 HNB-GW;

步骤 411 : HNB-GW收到 UE发来的安全模式启动命令响应后，验证其完整性，并在验证通过后，将所述安全模式命令中携带的 UE上下文，以及 CK 和 IK发送给 HNB;

在具体实现时， HNB-GW可以采用类似于 S-RNC relocation中， S-RNC 向 D-RNC发送的 RELOCATION COMMIT消息，下发 UE上下文及 CK和 IK，也可以采用其他类型的消息 , 如扩展后的 RANAP消息。步骤 412: HNB保存所述 CK及 IK, 并向 UE发送切换消息；在具体实现时，所述切换消息可以是 RAN mobility information消息或者

RNTI重分配消息，并且， HNB可以根据 UE安全能力，以及允许采用的算法择新的空口加密 /完整性算法，并通过 RAN mobility information消息将该算法携带给 UE; 当然也不排除 HNB会利用传输信道重配置，物理信道重配置，

RB配置 /重配置， RB释放硬切换的命令。

步骤 413: UE接收到所述切换消息后，切换到 HNB上；

进一步，若所述切换消息携带了新算法，则 UE采用新算法与 HNB进行通信。

在本发明上述实施例中，步骤 411至步骤 413是为了实现将 UE切换到

HNB, 在本发明其他实施例中， HNB-GW在收到 UE返回的安全模式启动命令响应后，可以执行一个类似于有 UE参与的服务无线网络控制器（Server Radio Network Control , S-RNC ) 切换方式，将 UE切换到 HNB上，在 UE看来是执行一个硬切换过程，该过程具体包括：

HNB-GW在收到 UE返回的安全模式启动命令响应后，向 HNB发送一个切换命令，该切换命令可以携带 UE安全能力，允许的空口加密 /完整性算法， CK及 IK;

HNB-GW在接收到 HNB返回切换命令响应后，向 UE发送切换相关命令，该命令可以携带 HNB-GW新选择的空口加密 /及完整性算法及空口加密启动时间；

其中，所述切换相关命令包括：

( 1 )物理信道重配置消息 PHYSICAL CHANNEL

RECONFIGURATION;

( 2 )传输信道重配置消息 TRANSPORT CHANNEL

RECONFIGURATION;

( 3 ) RB建立消息 RADIO BEAR SETUP;

( 4 ) RB释放消息 RADIO BEAR RELEASE;

( 5 ) RB重配置消息 RADIO BEAR RECONFIGURATION

UE在收到所述切换相关命令后，向 HNB发送切换完成消息，并切换到 HNB。

以上为本发明第三实施例提供的防止 HNB欺骗用户的方法，在该方法中 HNB-GW通过一个不能被 HNB篡改的安全模式启动命令将 HNB的真实身份发送给了 UE, 因此，任何恶意 HNB都无法欺骗 UE, 有效的防止了 HNB欺骗用户。

请参见图 6, 为本发明第四实施例提供的防止 HNB欺骗用户的方法流程图，该方法适用于图 5所示的协议栈，其中， UE501中实现物理层至 RRC层， RRC层放入 HNB-GW503实现， RLC层以下放到 HNB502实现，其中，第四实施例中的步骤 601，以及步骤 603 ~步骤 607与第一实施例相同在此不再赞述，第四实施例与第一实施例的区别在于：

步骤 602: HNB将 UE的 RRC连接建立请求转发至 HNB-GW, 并且， UE 与 HNB-GW建立 RRC连接；

步骤 608: HNB-GW向 HNB发送的 RRC安全模式启动命令，并且，将 CK发送给 HNB , HNB在接收到所述安全模式启动命令后 , 保存所述 CK, 并将所述 RRC安全模式启动命令转发给 UE;

在本实施例中，由于 RRC在 HNB-GW中实现，那么， IK可以不发送给 HNB。

值得注意的是，在本发明第四实施例中， HNB-GW在向 HNB发送 RRC 安全模式启动命令时，可以不将 CK发送给 HNB, 而是在 HNB-GW收到安全模式启动命令响应后，再将 CK发送给 HNB。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成 ,所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括如下步骤：

接收核心网发送的安全模式命令；

发送携带家庭基站身份信息的安全模式启动命令，所述安全模式启动命令经由家庭基站转发至用户设备。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上为本发明第四实施例提供的防止 HNB欺骗用户的方法，在该方法中 HNB-GW通过一个不能被 HNB篡改的安全模式启动命令将 HNB的真实身份发送给了 UE, 因此，任何恶意 HNB都无法欺骗 UE, 有效的防止了 HNB欺骗用户。

若 UE想接入某个 HNB, 为了防止 UE被该 HNB欺骗，本发明实施例还提供了一种防止 HNB欺骗用户的系统，请参见图 7, 包括： HNB-GW701 , HNB702;

其中， HNB-GW701包括：安全模式命令接收单元 7011 , 启动命令创建及发送单元 7012;

所述安全模式命令接收单元 7011 , 用于接收核心网发送的安全模式命令；在具体实现时，所述安全模式命令会携带 CK和 IK, 因此，所述安全模式命令接收单元 7011在接收到所述安全模式命令后，会保存所述 CK和 IK。

所述安全模式启动命令创建及发送单元 7012, 用于创建并发送携带 ΗΝΒ 身份信息的安全模式启动命令，所述安全模式启动命令经由 ΗΝΒ转发至 UE; 其中， ΗΝΒ702包括：

安全模式启动命令接收单元 7021，用于接收所述 HNB-GW发送的携带 ΗΝΒ身份信息的安全模式启动命令；

安全模式启动命令转发单元 7022，用于将所述安全模式启动命令转发至

UE。

以上为本发明实施例提供防止 HNB欺骗用户的系统，由于 UE需要借助 HNB及 HNB-GW与核心网进行互认证，并且，在 HNB通过用户验证， UE 还需要进行连接流程，因此，在上述 HNB702及 HNB-GW701还需要包括以下单元：

其中， HNB702进一步包括：

直传消息接收及转发单元，用于接收 UE发送的初始直传消息，并将所述消息转发至 HNB-GW;

安全模式启动命令响应接收及转发单元，用于接收 UE发送的安全模式启动响应命令，并将所述响应命令转发至 HNB-GW。

HNB-GW701中进一步包括：

直传消息转发单元，用于将 UE经由 HNB转发来的初始直传消息转发给核心网；安全模式启动命令响应接收单元，用于接收经由 HNB转发来的 UE的安全模式启动响应命令。

在具体实现时，若 UE在接入网络时，与 HNB建立 RRC连接，则 HNB 中需要进一步包括：

连接建立单元，用于接收 UE发送的 RRC连接建立请求，并与 UE建立 RRC连接；

并且， HNB-GW701中还需要进一步包括：

第一密钥发送单元，用于在安全模式启动命令响应接收单元接收到所述响应命令后，将所述安全模式命令中携带的 CK, IK发送给 HNB;

HNB702中进一步包括：第一密钥保存单元；

第一密钥保存单元，用于保存 HNB-GW发送来的 CK, IK。

若 UE在接入网络时，与 HNB-GW建立 RRC连接，则 ΗΝΒ702中进一步包括：

连接转发单元，用于将 UE发送来的 RRC连接请求转发至 HNB-GW; 所述 HNB-GW701中进一步包括：

RRC连接建立单元，用于接收经由所述 HNB转发来的 UE发送的 RRC 连接建立请求，并与 UE建立 RRC连接；

由于 UE与 HNB-GW建立了 RRC连接，则需要将 UE切换至 HNB, 本发明实施例提供了两种将 UE切换至 HNB的方式：

第一种方式中，在 HNB-GW701中还可以进一步包括：

UE上下文发送单元，用于在安全模式启动命令响应接收单元接收到所述响应命令后，将所述安全模式启动命令携带的 UE上下文，及所述安全模式命令中携带的 CK和 IK发送给 HNB;

HNB702中还可以进一步包括：

UE上下文接收单元，用于接收 HNB-GW发送来的所述安全模式启动命令携带的 UE上下文；

切换消息发送单元，用于在所述 UE上下文接收单元接收到所述 UE上下文后，向 UE发送切换消息。

第二种方式中， HNB-GW701还可以进一步包括：切换命令发送单元 ,在安全模式启动命令响应接收单元接收到所述响应命令后，将所述安全模式命令中携带的 CK和 IK通过切换命令中发送给 HNB; 切换相关命令发送单元 ,用于在接收到所述 HNB返回的切换响应消息后 , 向所述 UE发送切换相关命令；

HNB702中还可以进一步包括：

切换命令接收单元，用于接收 HNB-GW发送的携带 CK和 IK的切换命令；切换响应发送单元，用于在所述切换命令接收单元接收到所述切换命令后，向 HNB-GW发送切换响应消息。

进一步，若采用图 5所示的协议栈，即在所述 HNB-GW701中实现 RRC 层，在所述 HNB中实现 RLC以下层，则 HNB-GW701中可以进一步包括：第二密钥发送单元，用于将所述安全模式命令携带的 CK发送给 HNB; 其中，第二密钥发送单元，可以在 HNB-GW接收到安全模式命令后，将已保存的 CK发送给 HNB ,也可以在 HNB-GW收到安全模式启动命令响应后，将 CK发送给 HNB;

在 HNB702中还可以进一步包括：

第二密钥保存单元，用于保存 HNB-GW发送来的 CK。

以上对本发明实施例提供的系统以及 HNB, HNB-GW进行了详细介绍 , 本发明实施例提供的系统通过一个不能被 HNB 篡改的安全模式启动命令将 HNB的真实身份发送给了 UE, 因此，任何恶意 HNB都无法欺骗 UE, 有效的防止了 HNB欺骗用户。

以下参照附图对本发明实施例提供的 UE进行介绍。请参见图 8，为本发明实施例提供的 UE组成示意图，该 UE包括：

安全模式启动命令接收单元 801 , 用于接收所述 HNB发送来的安全模式启动命令；

身份信息验证单元 802，用于验证所述安全模式启动命令携带的 HNB身份信息与所述 HNB预先广播的身份信息是否一致，若不一致，则拒绝接入所述 HNB。

若 HNB通过 UE验证 , 则上述 UE还可以进一步包括：

第一连接请求建立单元，用于经由所述 HNB向 HNG-GW发送 RRC连接建立请求，并与 HNB-GW建立 RRC连接；

第一直传消息发送单元 , 用于向所述 HNB发送初始直传消息；

由于 UE是与 HNB-GW建立 RRC连接 , 则为了将 UE切换到 HNB , UE 中还可以包括：

第一切换单元，用于接收 HNB发送来的切换消息，并切换到所述 HNB; 或者，第二切换单元，用于接收所述 HNB-GW发送的切换相关命令，并切换到所述 HNB。

值得指出的是，以上本发明中所描述的 HNB-GW相关功能可能在一个单独的网络实体上实现（在核心网 SGSN/MSC与 HNB之间存在的另外一个实体），也可以与 SGSN放在一个实体上实现。

本发明实施例提供的 UE通过一个不能被 HNB篡改的安全模式启动命令获得所在 HNB的真实身份，验证所述 HNB身份信息与所述 HNB预先广播的身份信息是否一致，若不一致，则拒绝接入所述 HNB, 从而可以有效的防止 HNB欺骗用户。

以上对本发明所提供的一种防止 HNB欺骗用户的方法、系统及设备进行了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种防止家庭基站欺骗用户的方法，其特征在于，包括：

接收核心网发送的安全模式命令；

发送携带家庭基站身份信息的安全模式启动命令；

2、如权利要求 1所述的方法，其特征在于，还包括：

所述用户设备验证所述安全模式启动命令携带的所述家庭基站身份信息与所述家庭基站预先广播的身份信息是否一致，若不一致，则所述用户设备拒绝接入所述家庭基站。

3、如权利要求 2所述的方法，其特征在于，所述安全模式命令携带加密密钥及完整性密钥，若所述安全模式启动命令携带的所述家庭基站身份信息与所述家庭基站预先广播的身份信息一致，还包括：

接收所述用户设备发送的安全模式启动命令响应；

将所述安全模式命令携带的加密密钥和完整性密钥发送给所述家庭基站保存。

4、如权利要求 3所述的方法，其特征在于，所述接收到安全模式启动命令响应之后，还包括：

将所述安全模式启动命令携带的用户设备上下文发送给所述家庭基站；所述家庭基站收到所述用户设备上下文后，向用户设备发送切换消息；所述用户设备收到所述切换消息后，切换到所述家庭基站。

5、如权利要求 3所述的方法，其特征在于，若通过切换命令将所述加密密钥和完整性密钥发送给所述家庭基站，还包括：

接收所述家庭基站返回的切换响应消息；

向所述用户设备发送切换相关命令；

所述用户设备收到所述切换相关命令后，切换到所述家庭基站。

6、如权利要求 2所述的方法，其特征在于，若所述安全模式命令携带加密密钥及完整性密钥，则在接收到所述安全模式命令之后，还包括：

保存所述加密密钥和完整性密钥 , 将加密密钥发送至所述家庭基站保存。

7、如权利要求 1至 3所述的任一方法，其特征在于，所述接收核心网发送的安全模式命令之前，还包括：

用户设备接收所述家庭基站通过广播方式发送的身份信息，若用户决定接入所述家庭基站，则所述用户设备发送 RRC连接建立请求至所述家庭基站，所述家庭基站与用户设备建立 RRC连接；

所述用户设备发送初始直传消息至核心网。

8、如权利要求 1或 2或 4或 5或 6所述的方法，其特征在于，若所述家庭基站网关接收所述安全模式命令，则在核心网发送安全模式命令之前进一步包括：

用户设备接收家庭基站通过广播方式发送来的身份信息，若用户决定接入所述家庭基站，则所述用户设备发送 RRC连接建立请求，所述请求经由所述家庭基站转发至所述家庭基站网关，所述家庭基站网关与用户设备建立 RRC 连接；

所述用户设备发送初始直传消息至核心网。

9、如权利要求 3至 6所述的任一方法，其特征在于，若所述安全模式启动命令响应中进一步携带用户设备版本信息，则在收到所述安全模式启动命令响应之后，还包括：

根据所述用户设备版本信息，判断是否启动密钥绑定算法，若所述用户设备为新版用户设备，则启动密钥绑定算法，并将绑定算法得到完整性密钥及加密密钥发送给用户设备，若所述用户设备为传统用户设备，或者新版用户设备，则家将所述完整性密钥，加密密钥发送给用户设备。

10、如权利要求 2至 6所述的任一方法，其特征在于，若所述安全模式命令进一步携带空口加密 /完整性算法，则在发送安全模式启动命令之前，还包括：

从接收的安全模式命令携带的允许空口加密 /完整性算法中 , 选择家庭基站与用户设备支持的算法，并将选择出的算法添加至所述安全模式启动命令中，并对所述安全模式启动命令进行完整性保护；

在所述用户设备验证所述安全模式启动命令携带的所述家庭基站身份信息与所述家庭基站预先广播的身份信息是否一致之前，还包括：

所述用户设备验证所述安全模式启动命令的完整性。

11、一种家庭基站网关，其特征在于，包括：安全模式命令接收单元，启动命令创建及发送单元；

12、如权利要求 11所述的装置，其特征在于，进一步包括：

直传消息转发单元，用于将用户设备经由家庭基站转发来的初始直传消息转发给核心网；

安全模式启动命令响应接收单元，用于接收经由家庭基站转发来的用户设备的安全模式启动响应命令。

13、如权利要求 11或 12所述的装置，其特征在于，若所述安全模式命令携带加密密钥和完整性密钥，则所述装置进一步包括：第一密钥发送单元；第一密钥发送单元，用于将所述加密密钥，完整性密钥发送给家庭基站保存。

14、如权利要求 11或 12所述的装置，其特征在于，进一步包括：

RRC连接建立单元，用于接收经由所述家庭基站转发来的用户设备发送的 RRC连接建立请求，并与用户设备建立 RRC连接。

15、如权利要求 14所述的装置，其特征在于，若所述安全模式命令携带加密密钥和完整性密钥，则所述装置进一步包括：

用户设备上下文发送单元，用于将所述安全模式启动命令携带的用户设备上下文，及所述加密密钥和完整性密钥发送给家庭基站保存。

16、如权利要求 14所述的装置，其特征在于，若所述安全模式命令携带加密密钥和完整性密钥，则所述装置进一步包括：

切换命令发送单元，用于将所述加密密钥和完整性密钥携带在切换命令中发送给家庭基站保存；

切换相关命令发送单元 ,用于在接收到所述家庭基站返回的切换响应消息后，向所述用户设备发送切换相关命令。

17、如权利要求 14所述的装置，其特征在于，若所述安全模式命令携带加密密钥和完整性密钥，并且，在所述家庭基站网关中实现 RRC层，则所述装置进一步包括：

第二密钥发送单元，用于将所述加密密钥发送给家庭基站保存。

18、一种家庭基站，其特征在于，包括：

19、如权利要求 18所述的装置，其特征在于，所述装置进一步包括：直传消息接收及转发单元，用于接收用户设备发送的初始直传消息，并将所述消息转发至家庭基站网关；

安全模式启动命令响应接收及转发单元，用于接收用户设备发送的安全模式启动响应命令，并将所述响应命令转发至家庭基站网关。

20、如权利要求 19所述的装置，其特征在于，所述装置进一步包括：连接转发单元，用于将用户设备发送来的 RRC连接请求转发至家庭基站网关。

21、如权利要求 20所述的装置，其特征在于，所述装置进一步包括：用户设备上下文接收单元，用于接收家庭基站网关发送来的所述安全模式启动命令携带的用户设备上下文；

切换消息发送单元，用于在所述用户设备上下文接收单元接收到所述用户设备上下文后，向用户设备发送切换消息。

22、如权利要求 20所述的装置，其特征在于，所述装置进一步包括：切换命令接收单元，用于接收家庭基站网关发送的切换命令；

切换响应发送单元，用于在所述切换命令接收单元接收到所述切换命令后，向家庭基站网关发送切换响应消息。

23、一种用户设备，其特征在于，包括：

24、如权利要求 23所述的装置，其特征在于，所述装置进一步包括：第一连接请求建立单元，用于经由所述家庭基站向 HNG 网关发送 RRC 连接建立请求，并与家庭基站网关建立 RRC连接；

第一直传消息发送单元，用于向所述家庭基站发送初始直传消息。

25、如权利要求 24所述的装置，其特征在于，所述装置进一步包括：第一切换单元，用于接收家庭基站发送来的切换消息，并切换到所述家庭基站。

26、如权利要求 24所述的装置，其特征在于，所述装置进一步包括：第二切换单元，用于接收所述家庭基站网关发送的切换相关命令，并切换到所述家庭基站。

27、一种防止家庭基站欺骗用户的系统，其特征在于，包括：家庭基站，家庭基站网关；

其中，所述家庭基站网关包括：安全模式命令接收单元，安全模式启动命令创建^送单元；

所述安全模式命令接收单元，用于接收核心网发送的安全模式命令；所述安全模式启动命令创建及发送单元，用于创建并发送携带家庭基站身份信息的安全模式启动命令，所述安全模式启动命令经由家庭基站转发至用户设备；

所述家庭基站包括：安全模式启动命令接收单元，安全模式启动命令转发单元；

所述安全模式启动命令接收单元 ,用于接收所述家庭基站网关发送的携带家庭基站身份信息的安全模式启动命令；