WO2012174884A1 - 接入控制方法、装置、接口及安全网关 - Google Patents

接入控制方法、装置、接口及安全网关 Download PDF

Info

Publication number
WO2012174884A1
WO2012174884A1 PCT/CN2012/071710 CN2012071710W WO2012174884A1 WO 2012174884 A1 WO2012174884 A1 WO 2012174884A1 CN 2012071710 W CN2012071710 W CN 2012071710W WO 2012174884 A1 WO2012174884 A1 WO 2012174884A1
Authority
WO
WIPO (PCT)
Prior art keywords
access control
gateway
access
network element
network side
Prior art date
Application number
PCT/CN2012/071710
Other languages
English (en)
French (fr)
Inventor
朱李
Original Assignee
中兴通讯股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中兴通讯股份有限公司 filed Critical 中兴通讯股份有限公司
Publication of WO2012174884A1 publication Critical patent/WO2012174884A1/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Definitions

  • Access control method device, interface and security gateway
  • the present invention relates to the field of wireless cellular communication technologies, and in particular, to an access control method, apparatus, interface, and security gateway. Background technique
  • HNB Home Node-B, Home Base Station
  • 3G wireless coverage for 3G (3rd Generation Mobile Telecommunications System) handsets in the home. It is connected to existing residential broadband services. It includes the functionality of a standard Node B (an element of a 3G macro radio access network) and a standard RNC (Radio Network Controller) radio resource management function.
  • Node B an element of a 3G macro radio access network
  • RNC Radio Network Controller
  • FIG. 1 depicts the system architecture of HNB.
  • the interface between the 3GPP (3rd Generation Partnership Project) user equipment and the HNB is a backhaul and compatible air interface in the UTRAN (Universal Terrestrial Radio Access Network).
  • the HNB accesses the carrier's core network through a SeGW (security gateway).
  • the broadband IP (Internet Protocol) backhaul between the HNB and the SeGW may be insecure.
  • the information propagated during this backhaul is protected by a secure channel established between HNB and SeGW.
  • SeGW performs mutual authentication on behalf of the carrier's core network and HNB.
  • the HNB-GW (HNB Gateway) and the SeGW are logically separated entities in the core network of the operator, and are used for access control of a UE (User Equipment) that is not a CSG (Closed Subscriber Group). Hf ⁇ MS requires secure communication.
  • FIG 2 depicts the system architecture of the HeNB.
  • the difference between the HeNB and the HNB is that it is an air interface that connects the 3GPP user equipment and the EUTRAN (Evolved Universal Terrestrial Radio Access Network).
  • HeNB-GW Home eNodeB Gateway, HeNB Gateway
  • the SeGW and the HeNB-GW may be combined; if they are not combined, the interface between the SeGW and the HeNB-GW may be protected with NDS/IP.
  • H(e)NB Home (Evolved) NodeB, Home (Evolved) Base Station) includes HNB and HeNB, and is a general term for HNB and HeNB.
  • H(e)NB For the security of H(e)NB, 3GPP TR 33.820 defines 27 threats. These 27 threats are grouped into 7 categories. They are: Hazard to H(e)NB qualification, physical attack on H(e)NB, attack on H(e)NB construction, attack on H(e)NB protocol, on core network Attacks (including H(e)NB-based attacks), attacks on users' data and identity privacy, and attacks on wireless resources and management.
  • the HNB sends an HNB REGISTER REQUEST message to the HNB-GW.
  • the message contains: HNB location information, HNB identity, HNB management parameters, optional HNB management mode, and HNB's own IP address.
  • the HNB-GW can use the information in the HNB REGISTER REQUEST message to check if the HNB registration is acceptable, including checking if an HNB is allowed to run at a given location.
  • the ACL Access Control List
  • the H(e)NB-GW holds the H(e)NB list that the UE can access, and the impersonated H(e)NB identity is included in this list, so that H(e)NB performs The access control will allow the UE to access the impersonated H(e)NB.
  • the attacker can impersonate another user's H(e)NB and be able to get calls from this user's ACL list. Therefore, as long as the attacker can find the identity of the corresponding H(e)NB, the attacker can potentially eavesdrop or impersonate any user belonging to the ACL.
  • This type of attack scenario can become very serious when an attacker impersonates an open (no CSG) H(e)NB because it can access a myriad of affiliated UEs.
  • the prior art has the following technical problems:
  • the current H(e)NB security specification TS33.320 does not have any description of a solution involving such a threat.
  • the impersonated H(e)NB can enable the UE to pass the access control of the H(e)NB-GW, and the current function of the H(e)NB-GW does not prevent such a threat from occurring.
  • Summary of the invention The object of the present invention is to provide an access control method, device, interface and security gateway, which are solved
  • the present invention provides an access control method, including: the security gateway sends an access request message to the H(e)NB gateway and/or the network side access control related network element;
  • the security gateway receives an access authentication reply message sent by the H(e)NB gateway and/or the network side access control related network element.
  • the access request message includes an identity of the H(e)NB and/or an H(e)NB access parameter.
  • the access request message sent by the security gateway is: a RADIUS message, or a Diameter message.
  • the security gateway sends the access request message through an interface established between the H(e)NB gateway and/or the network side access control related network element.
  • the network side access control related network element includes: a mobility management entity (MME) / a serving gateway (S-GW), a GPRS service support node (SGSN), a home location register (HLR) / a home subscriber server (HSS), dynamic Host Configuration Protocol (DHCP) server, RADIUS server, Diameter server, Authentication and Accounting and Accounting (AAA) server, and/or Mobile Switching Center (MSC) / Visit Location Register (VLR).
  • MME mobility management entity
  • S-GW serving gateway
  • SGSN GPRS service support node
  • HLR home location register
  • HSS home subscriber server
  • DHCP dynamic Host Configuration Protocol
  • RADIUS Diameter server
  • AAA Authentication and Accounting and Accounting
  • MSC Mobile Switching Center
  • the H(e)NB access parameters include: H(e)NB location information, and/or H(e)NB management parameters, and/or H(e)NB operational status, and/or H(e)NB IP address;
  • the H(e)NB location information includes: a public IP address of a broadband access device of the H(e)NB, and
  • the present invention further provides another access control method, including:
  • the H(e)NB gateway and/or the network side access control related network element authenticates the access request message sent by the security gateway, and sends an access authentication reply message to the security gateway.
  • the access authentication reply message includes an identity of the H(e)NB and/or an H(e)NB access parameter.
  • the H(e)NB gateway and/or the network side access control related network element stores the body of the H(e)NB Binding information with H(e)NB access parameters.
  • the method further includes: the security gateway establishing an interface with the H(e)NB gateway and/or the network side access control related network element.
  • the step of authenticating the access request message by the H(e)NB gateway and/or the network side access control related network element includes:
  • the H(e)NB gateway and/or the network side access control related network element according to the saved binding information, the identity of the H(e)NB included in the access request message, and/or H (e) NB access parameters for authentication; or, the H(e)NB gateway and/or the network side access control related network element access control related network element according to other network side accessing the binding information
  • the binding information obtained in the access request message, the identity of the H(e)NB included in the access request message, and/or the H(e)NB access parameter is authenticated; or, the H(e)
  • the NB gateway and/or the network side access control related network element forwards the received access request message to other network side access control related network elements storing the binding information, where the other storage has
  • the network side access control related network element of the binding information performs authentication and reports the authentication result to the H(e)NB gateway and/or the network side access control related network element.
  • the network side access control related network element includes: a mobility management entity (MME) / a serving gateway (S-GW), a GPRS service support node (SGSN), a home location register (HLR) / a home subscriber server (HSS), dynamic Host Configuration Protocol (DHCP) server, RADIUS server, Diameter server, Authentication and Accounting and Accounting (AAA) server, and/or Mobile Switching Center (MSC) / Visit Location Register (VLR).
  • MME mobility management entity
  • S-GW serving gateway
  • SGSN GPRS service support node
  • HLR home location register
  • HSS home subscriber server
  • DHCP dynamic Host Configuration Protocol
  • RADIUS Diameter server
  • AAA Authentication and Accounting and Accounting
  • MSC Mobile Switching Center
  • the H(e)NB access parameters include: H(e)NB location information, and/or H(e)NB management parameters, and/or H(e)NB operational status, and/or H(e)NB IP address;
  • the location information of the H(e)NB includes: a public IP address of the broadband access device of the H(e)NB, and/or an IP address, and/or an access line location identifier, and/or H(e) Macro cell information and/or geographic coordinates around the NB.
  • the security gateway is protected from an interface between the H(e)NB gateway and/or the network side access control related network element.
  • the present invention further provides an access control device, where the device is applied to an H(e)NB gateway and/or a network side access control related network element, and includes a binding information storage unit.
  • the binding information storage unit is configured to hold binding information of the identity of the H(e)NB and the H(e)NB access parameter.
  • the H(e)NB access parameters include: H(e)NB location information, and/or H(e)NB management parameters, and/or H(e)NB operational status, and/or H(e)NB IP address;
  • the location information of the H(e)NB includes: a public IP address of the broadband access device of the H(e)NB, and/or an IP address, and/or an access line location identifier, and/or H(e) Macro cell information and/or geographic coordinates around the NB.
  • the present invention also provides another access control device, characterized in that the device is applied to
  • the H(e)NB gateway and/or the network side access control related network element includes an access request authentication unit, where the access request authentication unit is configured to: perform an access request message sent by the received security gateway.
  • the authentication sends an access authentication reply message to the security gateway, and includes an identity of the H(e)NB and/or an H(e)NB access parameter in the access authentication reply message.
  • the H(e)NB access parameters include: H(e)NB location information, and/or H(e)NB management parameters, and/or H(e)NB operational status, and/or H(e)NB IP address;
  • the location information of the H(e)NB includes: a public IP address of the broadband access device of the H(e)NB, and/or an IP address, and/or an access line location identifier, and/or H(e) Macro cell information and/or geographic coordinates around the NB.
  • the present invention also provides an access control interface, including an interface established between a security gateway and an H(e)NB gateway and/or a network side access control related network element;
  • the interface between the security gateway and the H(e)NB gateway and/or the network side access control related network element is set to:
  • the access control interface further includes: the H(e)NB gateway is related to the network side access control An interface established between network elements;
  • the interface between the H(e)NB gateway and the network side access control related network element is set to: enable the H(e)NB gateway to store the identity of the H(e)NB and the H through the interface. (e) acquiring, by the network-side access control related network element of the binding information of the NB access parameter, the binding information;
  • the H(e)NB gateway forwards the received access request message to the network side access control related network element that stores the binding information by using the interface, where the binding is stored.
  • the network side access control related network element of the information authenticates the access request message; and the network side access control related network element storing the binding information stores the connection information according to the stored binding information
  • the authentication result is reported to the H(e)NB gateway through the interface.
  • An interface between the security gateway and the H(e)NB gateway and/or the network side access control related network element, and/or the H(e)NB gateway and the network side access control related network element is protected by NDS/IP and/or IPsec and/or Transport Layer Security (TLS) connections.
  • NDS/IP and/or IPsec and/or Transport Layer Security (TLS) connections are protected by NDS/IP and/or IPsec and/or Transport Layer Security (TLS) connections.
  • TLS Transport Layer Security
  • the present invention further provides a security gateway, including an access request initiating unit, where the access request initiating unit is configured to: send an access request message to an H(e)NB gateway and/or a network side access control related network element, And receiving an access authentication reply message sent by the H(e)NB gateway and/or the network side access control related network element.
  • a security gateway including an access request initiating unit, where the access request initiating unit is configured to: send an access request message to an H(e)NB gateway and/or a network side access control related network element, And receiving an access authentication reply message sent by the H(e)NB gateway and/or the network side access control related network element.
  • the access request initiating unit is configured to send the access request message by using an interface established between the security gateway and the H(e)NB gateway and/or the network side access control related network element.
  • the present invention improves the existing H(e)NB security architecture and provides
  • H(e)NB-GW related high-efficiency security solution solves various security threats caused by H(e)NB identity counterfeiting in H(e)NB system and increases the security of H(e)NB system Sex.
  • Figure 1 is a schematic diagram of the system structure of the HNB; 2 is a schematic structural diagram of a system of a HeNB;
  • FIG. 3 is a schematic diagram of an architecture of an EUTRAN including a HeNB GW;
  • FIG. 4 is a schematic overall flow chart of an access control method of the H(e)NB system of the present invention.
  • FIG. 5 is a schematic flowchart of a method according to Embodiment 1 of the present invention.
  • FIG. 6 is a schematic flow chart of a method according to Embodiment 2 of the present invention.
  • FIG. 7 is a schematic flow chart of a method according to Embodiment 3 of the present invention.
  • FIG. 8 is a schematic flow chart of a method according to Embodiment 4 of the present invention.
  • Embodiment 9 is a schematic flow chart of a method according to Embodiment 5 of the present invention.
  • FIG. 10 is a schematic flow chart of a method according to Embodiment 6 of the present invention.
  • FIG. 11 is a schematic flow chart of a method according to Embodiment 7 of the present invention.
  • FIG. 12 is a schematic flow chart of a method according to Embodiment 8 of the present invention. Preferred embodiment of the invention
  • the main purpose of the present invention is to be in the UMTS (Universal Mobile Telephone System) network and EPS (Evolved Packet).
  • UMTS Universal Mobile Telephone System
  • EPS Evolved Packet
  • a security mechanism of a HeNB (Home evolved Node-B) system related to an MME (Mobility Management Entity) is provided. Enhance the H(e)NB-GW function or interact with other network side network elements to achieve the purpose of preventing the threat of posing as H(e)NB.
  • the access control method in this embodiment performs the following processing:
  • the security gateway sends an access request message to the H(e)NB gateway and/or the network side access control related network element;
  • the security gateway receives an access authentication reply message sent by the H(e)NB gateway and/or the network side access control related network element.
  • H(e)NB-GW Access control method of the present embodiment, H(e)NB-GW and/or network side access control related network
  • the element is processed as follows:
  • the H(e)NB gateway and/or the network side access control related network element authenticates the access request message sent by the security gateway, and sends an access authentication reply message to the security gateway.
  • an access control method for an H(e)NB system of the present embodiment uses the following technical solution:
  • Step 1 The binding information of the identity identifier (Identity) of the H(e)NB and the H(e)NB access related parameter stored in the H(e)NB-GW and/or the network side access control related network element.
  • Step 2 The SeGW establishes an interface with the H(e)NB-GW and/or the network side access control related network element.
  • Step 3 The SeGW sends an access request message to the H(e)NB-GW and/or the network side access control target network element.
  • Step 4 The H(e)NB-GW and/or the network side access control related network element authenticates the access request message.
  • Step 5 The H(e)NB-GW and/or the network side access control related network element sends an access authentication reply message to the SeGW, where the message includes the identity of the H(e)NB and/or the H(e)NB connection. Enter the relevant parameters.
  • the identity of the H(e)NB and/or the H(e)NB access related parameter included in the access authentication reply message is used to indicate which H(e)NB is allowed to access and forward through the SeGW. Access the relevant parameters to the H(e)NB.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS. Server and/or Diameter server and/or AAA (Authentication Authorization and Accounting) server and/or MSC/VLR.
  • MME/S-GW Mobility Management Entity
  • HLR/HSS Home Location Register
  • DHCP Dynamic Host Configuration Protocol
  • RADIUS Remote Authentication Protocol
  • Server and/or Diameter server and/or AAA (Authentication Authorization and Accounting) server and/or MSC/VLR Authentication Authorization and Accounting
  • the H(e)NB access related parameter includes H(e)NB location information and/or H(e)NB management parameter and/or H(e)NB operating state and/or H(e) ) NB's own IP address.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or a macro cell around the H(e)NB Information and/or geographic coordinates.
  • the interface between the SeGW and the H(e)NB-GW and/or the network side access control related network element may be transmitted through NDS/IP and/or IPsec and/or TLS (Transport Layer Security). Layer security) is implemented to protect.
  • the access request message sent by the SeGW to the H(e)NB-GW may be a RADIUS (Remote Authentication Dial In User Service) message or a Diameter (upgraded version of the RADIUS protocol). Message.
  • RADIUS Remote Authentication Dial In User Service
  • Diameter upgraded version of the RADIUS protocol
  • the access request message sent by the SeGW to the H(e)NB-GW includes at least the identity of the H(e)NB and/or the H(e)NB access related parameter, H(e)
  • the NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • the H(e)NB-GW and/or the network side access control related network element authenticates the access request message, including: H(e)NB-GW and/or network side access Controlling the related network element to authenticate the access request message; or, the H(e)NB-GW and/or the network side access control related network element stores the identity of the H(e)NB and the H(e)NB from the other
  • the network side access control network element that accesses the binding information of the relevant parameter obtains the binding information and performs authentication; or, the H(e)NB-GW and/or the network side access control related network element access the network element.
  • the request message is forwarded to other network side access control network elements storing the binding information of the identity of the H(e)NB and the H(e)NB access related parameter, and is connected by other network side access control related network elements.
  • the incoming request message is authenticated and reports the H(e)NB-GW and/or the network side access control related network element.
  • Step 501 H(e)NB-GW and/or network-side access control related network element stores H (e) Binding information of the identity of the NB with H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB's own IP address .
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or Or Diameter server and / or AAA server and / or MSC / VLR.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB and / or geographic coordinates.
  • Step 502 The SeGW establishes an NDS/IP and/or IPsec and/or TLS connection with the H(e)NB-GW and/or the network side access control related network element.
  • Step 503 The SeGW sends an access RADIUS or Diameter request message to the H(e)NB-GW and/or the network side access control related network element, where the access request message includes at least the identity of the H(e)NB and/or Or H(e)NB access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 504 The H(e)NB-GW and/or the network side access control related network element authenticates the access request message, and the authentication succeeds.
  • the identity of the H(e)NB and/or the H(e)NB access related parameter in the access request message are verified according to the saved binding information. If the authentication is successful, the authentication succeeds.
  • Step 505 The H(e)NB-GW and/or the network side access control related network element sends an access authentication success reply message to the SeGW, where the message includes the identity of the H(e)NB and/or the H(e)NB. Access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management Parameters and / or H (e) NB operating status and / or H (e) NB own IP address.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 601 H(e)NB-GW and/or network-side access control related network element stores H (e) Binding information of the identity of the NB to the H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB's own IP address .
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter.
  • DHCP Dynamic Host Configuration Protocol
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB and / or geographic coordinates.
  • Step 602 The SeGW establishes an NDS/IP and/or IPsec connection with the H(e)NB-GW and/or the network side access control related network element.
  • Step 603 The SeGW sends an access RADIUS or Diameter request message to the H(e)NB-GW and/or the network side access control related network element, where the access request message includes at least the identity of the H(e)NB and/or Or H(e)NB access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 604 The H(e)NB-GW and/or the network side access control related network element authenticates the access request message, and the authentication fails.
  • Step 605 The H(e)NB-GW and/or the network side access control related network element fails to send the access authentication.
  • the reply message is sent to the SeGW, which contains the identity of the H(e)NB and/or the H(e)NB access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 701 H(e)NB-GW and/or network-side access control related network element stores H (e) Binding information of the identity of the NB with H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB's own IP address .
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB and / or geographic coordinates.
  • Step 702 The SeGW is established with the H(e)NB-GW and/or the network side access control related network element.
  • Step 703 The SeGW sends an access RADIUS or Diameter request message to the H(e)NB-GW and/or the network side access control related network element, where the access request message includes at least the identity of the H(e)NB and/or Or H(e)NB access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management Parameters and / or H (e) NB operating status and / or H (e) NB own IP address.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 704 The H(e)NB-GW and/or the network side access control related network element are connected from another network that stores the identity of the H(e)NB and the binding information of the H(e)NB access related parameter.
  • the binding information of the identity of the H(e)NB and the related parameters of the H(e)NB access is obtained and authenticated in the control network element, and the authentication succeeds.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 705 The H(e)NB-GW and/or the network side access control related network element sends an access authentication success reply message to the SeGW, where the message includes the identity of the H(e)NB and/or the H(e)NB. Access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 801 H(e)NB-GW and/or network-side access control related network element stores H (e) Binding information of the identity of the NB with H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB's own IP address .
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter.
  • DHCP Dynamic Host Configuration Protocol
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB and / or geographic coordinates.
  • Step 802 The SeGW establishes an NDS/IP and/or IPsec connection with the H(e)NB-GW and/or the network side access control related network element.
  • Step 803 The SeGW sends an access RADIUS or Diameter request message to the H(e)NB-GW and/or the network side access control related network element, where the access request message includes at least the identity of the H(e)NB and/or Or H(e)NB access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 804 the H(e)NB-GW and/or the network side access control related network element from the network side of the binding information from the other H(e)NB stored identity and the H(e)NB access related parameter
  • the access control network element obtains the binding information of the identity of the H(e)NB and the H(e)NB access related parameter, and performs authentication, and the authentication fails.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 805 The H(e)NB-GW and/or the network side access control related network element sends an access authentication failure reply message to the SeGW, where the message includes the identity of the H(e)NB and/or the H(e)NB. Access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 901 H(e)NB-GW and/or network-side access control related network element stores H (e) Binding information of the identity of the NB with H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB's own IP address .
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB and / or geographic coordinates.
  • Step 902 The SeGW establishes an NDS/IP and/or IPsec connection with the H(e)NB-GW and/or the network side access control related network element.
  • Step 903 The SeGW sends an access RADIUS or Diameter request message to the H(e)NB-GW and/or the network side access control related network element, where the access request message includes at least the identity of the H(e)NB and/or Or H(e)NB access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC/VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 904 The H(e)NB-GW and/or the network side access control related network element forwards the access request message to other H(e)NB-stored identity and H(e)NB access related parameters.
  • the network side of the binding information controls the related network element, and the other network side access control related network element authenticates the access request message, and reports to the H(e)NB-GW and/or the network side interface. Into the control network element, the authentication is successful.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • MME/S-GW Mobility Management Entity
  • HLR Home Location Register
  • HCP Dynamic Host Configuration Protocol
  • Step 905 The H(e)NB-GW and/or the network side access control related network element sends an access authentication success reply message to the SeGW, where the message includes the identity of the H(e)NB and/or the H(e)NB. Access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 1001 H(e)NB-GW and/or network-side access control related network element stores H (e) Binding information of the identity of the NB with H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB's own IP address .
  • the network side access control related network element may be MME/S-GW and/or SGSN and/or HLR/HSS. And/or DHCP (Dynamic Host Configuration Protocol) server and/or RADIUS server and/or Diameter server and/or AAA server and/or MSC/VLR.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB and / or geographic coordinates.
  • Step 1002 The SeGW establishes an NDS/IP and/or IPsec connection with the H(e)NB-GW and/or the network side access control related network element.
  • Step 1003 The SeGW sends an access RADIUS or Diameter request message to the H(e)NB-GW and/or the network side access control related network element, where the access request message includes at least the identity of the H(e)NB and/or Or H(e)NB access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 1004 The H(e)NB-GW and/or the network side access control related network element forwards the access request message to other H(e)NB-stored identity and H(e)NB access related parameters.
  • the network side of the binding information controls the related network element, and the other network side access control related network element authenticates the access request message, and reports to the H(e)NB-GW and/or the network side access control.
  • the related NE failed to be authenticated.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • MME/S-GW Mobility Management Entity
  • HLR Home Location Register
  • HCP Dynamic Host Configuration Protocol
  • Step 1005 The H(e)NB-GW and/or the network side access control related network element sends an access authentication failure reply message to the SeGW, where the message includes the identity of the H(e)NB and/or H(e)NB Access related parameters.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 1101 The identity of the H(e)NB and the H(e) are stored in the network element related to the network side access control. Binding information of NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB's own IP address.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB and / or geographic coordinates.
  • Step 1102 The SeGW establishes an NDS/IP and/or IPsec connection with the network side access control related network element.
  • Step 1103 The SeGW sends an access RADIUS or Diameter request message to the network side access control related network element, where the access request message includes at least an identity of the H(e)NB and/or an H(e)NB access related parameter. .
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. . Where H(e)NB is located
  • the information includes the public IP address and/or IP address and/or access line location identity of the broadband access device of the H(e)NB and/or macrocell information and/or geographic coordinates around the H(e)NB.
  • Step 1104 The network side access control related network element authenticates the access request message, and the authentication succeeds.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • MME/S-GW Mobility Management Entity
  • HLR Home Location Register
  • HCP Dynamic Host Configuration Protocol
  • Step 1105 The network side access control related network element sends an access authentication success reply message to the SeGW, where the message includes the identity of the H(e)NB and/or the H(e)NB access related parameter.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 1201 The identity of the H(e)NB and the H(e) are stored in the network element related to the network side access control. Binding information of NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB's own IP address.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB and / or geographic coordinates.
  • Step 1203 The SeGW sends an access RADIUS or Diameter request message to the network side access control related network element, where the access request message includes at least an identity of the H(e)NB and/or an H(e)NB access related parameter. .
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • Step 1204 The network side access control related network element authenticates the access request message, and the authentication fails.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • MME/S-GW Mobility Management Entity
  • HLR Home Location Register
  • HCP Dynamic Host Configuration Protocol
  • Step 1205 The network side access control related network element sends an access authentication failure reply message to the SeGW, where the message includes an identity of the H(e)NB and/or an H(e)NB access related parameter.
  • the network side access control related network element may be an MME/S-GW and/or an SGSN and/or an HLR/HSS and/or a DHCP (Dynamic Host Configuration Protocol) server and/or a RADIUS server and/or a Diameter. Server and / or AAA server and / or MSC / VLR.
  • the H(e)NB access related parameters include H(e)NB location information and/or H(e)NB management parameters and/or H(e)NB operational status and/or H(e)NB own IP address. .
  • the H(e)NB location information includes a public IP address and/or an IP address and/or an access line location identifier of the broadband access device of the H(e)NB and/or macro cell information around the H(e)NB And / or geographic coordinates.
  • the embodiment of the present invention further provides an access control apparatus, which is applied to an H(e)NB gateway and/or a network side access control related network element, where the apparatus includes a binding information storage unit.
  • the binding information storage unit is configured to hold binding information of the identity of the H(e)NB and the H(e)NB access parameter.
  • H(e)NB access parameters include: H(e)NB location information, and/or H(e)NB management parameters, and/or H(e)NB operational status, and/or H (e) the IP address of the NB;
  • the location information of the H(e)NB includes: a public IP address of the broadband access device of the H(e)NB, and/or an IP address, and/or an access line location identifier, and/or H(e) Macro cell information and/or geographic coordinates around the NB.
  • the embodiment of the present invention further provides another access control apparatus, which is applied to an H(e)NB gateway and/or a network side access control related network element, where the apparatus includes an access request authentication unit.
  • the access request authentication unit is configured to authenticate the access request message sent by the received security gateway, send an access authentication reply message to the security gateway, and include the identity of the H(e)NB in the access authentication reply message. And / or H (e) NB access parameters.
  • H(e)NB access parameters include: H(e)NB location information, and/or H(e)NB management parameters, and/or H(e)NB operational status, and/or H( e) the IP address of the NB;
  • the location information of the H(e)NB includes: a public IP address of the broadband access device of the H(e)NB, and/or an IP address, and/or an access line location identifier, and/or H(e) Macro cell information and/or geographic coordinates around the NB.
  • an embodiment of the present invention further provides an access control interface, which includes an interface established between a security gateway and an H(e)NB gateway and/or a network side access control related network element;
  • the interface between the security gateway and the network element associated with the network gateway and/or network side access control is set to:
  • the access control interface further includes an interface established between the H(e)NB gateway and the network side access control related network element;
  • the interface between the H(e)NB gateway and the network side access control related network element is set to: enable the H(e)NB gateway to store the identity of the H(e)NB and the H(e) through the interface. Obtaining the binding information in a network-side access control related network element of the binding information of the NB access parameter;
  • the H(e)NB gateway forwards the received access request message to the network side access control related network element that stores the binding information through the interface, where the network side access control is related.
  • the network element authenticates the access request message; and the network side access control related network element storing the binding information authenticates the access request message according to the stored binding information, and then passes The interface reports the authentication result to the H(e)NB gateway.
  • an interface between the security gateway and the H(e)NB gateway and/or the network side access control related network element, and/or an interface between the H(e)NB gateway and the network side access control related network element Protection is provided by NDS/IP and/or IPsec and/or TLS connections.
  • a security gateway is further provided, where the security gateway includes an access request initiating unit.
  • the access request initiating unit is configured to: send an access request message to the H(e)NB gateway and/or the network side access control related network element, and receive the H(e)NB gateway and/or the network side connection.
  • the access control response message sent by the relevant network element is controlled.
  • the access request initiating unit is configured to send the access request message by using an interface established between the security gateway and the H(e)NB gateway and/or the network side access control related network element.
  • modules or steps of the present invention can be implemented by a general-purpose computing device, which can be concentrated on a single computing device or distributed over a network composed of multiple computing devices. Alternatively, they may be executed by a computing device
  • the program code is implemented so that they can be stored in the storage device by the computing device, and in some cases, the steps shown or described can be performed in a different order than here, or they can be separately produced.
  • the individual integrated circuit modules are implemented, or a plurality of modules or steps thereof are fabricated into a single integrated circuit module.
  • the invention is not limited to any specific combination of hardware and software.
  • the present invention improves the existing H(e)NB security architecture, provides an efficient security solution related to H(e)NB-GW, and solves H(e)NB
  • the security of the H(e)NB system is increased due to various security threats caused by H(e)NB identity spoofing in the system.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种接入控制方法、装置、接口及安全网关,安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息;H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证,并向安全网关发送接入认证答复消息;安全网关接收H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。与现有技术相比,本发明完善了现有的H(e)NB系统的安全架构,提供了H(e)NB-GW相关的高效的安全解决方案,解决了H(e)NB系统中由于H(e)NB身份假冒带来的各种安全威胁,增加了H(e)NB系统的安全性。

Description

接入控制方法、 装置、 接口及安全网关
技术领域
本发明涉及无线蜂窝通信技术领域, 尤其涉及一种接入控制方法、 装置、 接口及安全网关。 背景技术
HNB ( Home Node-B , 家庭基站)用来为处在家庭内的 3G (第三代移动 通信系统)手机提供 3G的无线覆盖。 它被连接到已经存在的住宅宽带服务。 它包含了一个标准的 Node B (3G宏无线接入网络的一个元素) 的功能和一 个标准的 RNC (Radio Network Controller, 无线网络控制器) 的无线资源管理 功能。
图 1描述了 HNB 的系统结构。 其中 3GPP (3rd Generation Partnership Project, 第三代合作企业项目)用户设备和 HNB 之间的界面在 UTRAN (Universal Terrestrial Radio Access Network, 全球陆地无线接入网) 中是回程 且相容的空中接口。 HNB通过一个 SeGW (security gateway,安全网关)接入 运营商的核心网, 其中 HNB 和 SeGW之间的宽带 IP (Internet Protocol, 英 特网协议) 回程可能是不安全的。 在此回程中传播的信息要被 HNB 和 SeGW之间建立的安全通道保护。 SeGW代表运营商的核心网和 HNB 进 行相互认证。 HNB-GW (HNB Gateway) 和 SeGW是在运营商的核心网内逻 辑上分离的实体, 用于非 CSG (Closed Subscriber Group) 的 UE (User Equipment) 的接入控制。 Hf^MS需要安全的通信。
图 2描述了 HeNB 的系统结构。 HeNB 和 HNB 的区别就是它是连接 3GPP 用户设备和 EUTRAN (Evolved Universal Terrestrial Radio Access Network) 的空中接口。 HeNB-GW ( Home eNodeB Gateway, HeNB 网关) 为选择性部署。 如果 HeNB-GW被部署, 则 SeGW与 HeNB-GW可以结合在 一起; 如果它们未被结合在一起, 则 SeGW与 HeNB-GW之间的接口可用 NDS/IP进行保护。 H(e)NB(Home (Evolved) NodeB, 家庭(演进)基站)包括 HNB和 HeNB, 是 HNB和 HeNB的统称。
针对 H(e)NB 的安全, 3GPP TR 33.820定义了 27种威胁。 这 27种威胁 被归纳为 7大类。 他们分别是: 对 H(e)NB 资格证书的危害, 对 H(e)NB 的 物理攻击, 对 H ( e)NB 的构造的攻击, 对 H ( e)NB 的协议的攻击, 对核心网 的攻击 (包括基于 H(e)NB位置的攻击) , 对用户的数据和身份隐私的攻击 以及对无线资源和管理的攻击。
在 HNB的注册过程中, HNB会发送一个 HNB REGISTER REQUEST消 息给 HNB-GW, 这个消息包含了: HNB位置信息, HNB身份, HNB管理参 数, 可选的 HNB管理模式, 以及 HNB 自身的 IP地址。 HNB-GW可以使用 HNB REGISTER REQUEST消息中的信息来检查 HNB注册是否能被接受 ,这 包括检查一个 HNB是否被允许在一个给定的位置运行等。
在实际应用中, 如果一个攻击者冒充一个 H(e)NB 的身份注册到 H(e)NB-GW, 则 ACL ( Access Control List,接入控制列表 )检查就能被通过。 因为 H(e)NB-GW中保存的着此 UE能够接入的 H(e)NB列表, 而被冒充的 H(e)NB身份就包含在此列表中,这样的话 H(e)NB进行接入控制时会允许 UE 接入到这个冒充的 H(e)NB上来。这意味着这个攻击者可以假冒另一个用户的 H(e)NB并能够获取来自这个用户的 ACL列表的呼叫。 因此, 只要攻击者可 以发现对应 H(e)NB的身份,这个攻击者可以潜在的偷听或者冒充任何属于这 个 ACL的用户。
这种攻击场景在攻击者冒充一个开放的(no CSG ) H(e)NB的时候会变的 非常严重, 因为其可以接入到不计其数的附属的 UE上。
综上所述, 现有技术存在如下技术问题: 目前的 H(e)NB 的安全规范 TS33.320中没有任何涉及此类威胁的解决方案的描述。 冒充的 H(e)NB可以 使得 UE通过 H(e)NB-GW的接入控制, 而 H(e)NB-GW目前的功能并不能防 止此类威胁的发生。 发明内容 本发明的目的是提供一种接入控制方法、 装置、 接口及安全网关, 解决
H(e)NB系统身份冒充带来的安全威胁。
为解决上述技术问题, 本发明提供了一种接入控制方法, 包括: 安全网关向 H(e)NB网关和 /或网络侧接入控制相关网元发送接入请求消 息; 以及
所述安全网关接收所述 H(e)NB网关和 /或网络侧接入控制相关网元发送 的接入认证答复消息。
所述接入请求消息中包含 H(e)NB的身份和 /或 H(e)NB接入参数。
所述安全网关发送的所述接入请求消息为: RADIUS消息、 或 Diameter 消息。
所述安全网关通过与所述 H(e)NB网关和 /或所述网络侧接入控制相关网 元之间建立的接口发送所述接入请求消息。
所述网络侧接入控制相关网元包括: 移动管理实体(MME ) /服务网关 ( S-GW ) 、 GPRS服务支持节点 (SGSN ) 、 归属位置寄存器(HLR ) /归属 用户服务器(HSS )、 动态主机配置协议(DHCP )服务器、 RADIUS服务器、 Diameter服务器、认证授权和计费( AAA )服务器、和 /或移动交换中心( MSC ) /拜访位置寄存器(VLR ) 。
所述 H(e)NB接入参数包括: H(e)NB位置信息、和 /或 H(e)NB管理参数、 和 /或 H(e)NB运作状态、 和 /或 H(e)NB的 IP地址;
所述 H(e)NB位置信息包括: H(e)NB的宽带接入设备的公共 IP地址、 和
/或 IP地址、 和 /或接入线路位置标识、 和 /或 H(e)NB周围的宏小区信息和 /或 地理坐标。
为解决上述技术问题, 本发明还提供另一种接入控制方法, 包括:
H(e)NB 网关和 /或网络侧接入控制相关网元对安全网关发送的接入请求 消息进行认证, 并向所述安全网关发送接入认证答复消息。
所述接入认证答复消息中包含 H(e)NB的身份和 /或 H(e)NB接入参数。 所述 H(e)NB网关和 /或所述网络侧接入控制相关网元中保存 H(e)NB的身 份与 H(e)NB接入参数的绑定信息。
该方法还包括: 所述安全网关与所述 H(e)NB网关和 /或所述网络侧接入 控制相关网元建立接口。
所述 H(e)NB网关和 /或网络侧接入控制相关网元对所述接入请求消息进 行认证的步骤包括:
所述 H(e)NB网关和 /或网络侧接入控制相关网元根据保存的所述绑定信 息,对所述接入请求消息中包含的 H(e)NB的身份、和 /或 H(e)NB接入参数进 行认证; 或者, 所述 H(e)NB网关和 /或网络侧接入控制相关网元根据从其他存储 有所述绑定信息的网络侧接入控制相关网元中获取到的所述绑定信息, 对所 述接入请求消息中包含的 H(e)NB的身份、 和 /或 H(e)NB接入参数进行认证; 或者, 所述 H(e)NB网关和 /或网络侧接入控制相关网元将收到的所述接 入请求消息转发给其他存储有所述绑定信息的网络侧接入控制相关网元, 由 所述其他存储有所述绑定信息的网络侧接入控制相关网元进行认证并将认证 结果报告给所述 H(e)NB网关和 /或网络侧接入控制相关网元。
所述网络侧接入控制相关网元包括: 移动管理实体(MME ) /服务网关 ( S-GW ) 、 GPRS服务支持节点 (SGSN ) 、 归属位置寄存器(HLR ) /归属 用户服务器(HSS )、 动态主机配置协议(DHCP )服务器、 RADIUS服务器、 Diameter服务器、认证授权和计费( AAA )服务器、和 /或移动交换中心( MSC ) /拜访位置寄存器(VLR ) 。
所述 H(e)NB接入参数包括: H(e)NB位置信息、和 /或 H(e)NB管理参数、 和 /或 H(e)NB运作状态、 和 /或 H(e)NB的 IP地址;
其中, 所述 H(e)NB位置信息包括: H(e)NB的宽带接入设备的公共 IP地 址、 和 /或 IP地址、 和 /或接入线路位置标识、 和 /或 H(e)NB周围的宏小区信 息和 /或地理坐标。
所述安全网关与所述 H(e)NB网关和 /或所述网络侧接入控制相关网元之间的 接口进行保护。 本发明还提供一种接入控制装置, 其特征在于, 所述装置应用于 H(e)NB 网关和 /或网络侧接入控制相关网元中, 并包括绑定信息存储单元,
所述绑定信息存储单元设置成保存 H(e)NB的身份与 H(e)NB接入参数的 绑定信息。
所述 H(e)NB接入参数包括: H(e)NB位置信息、和 /或 H(e)NB管理参数、 和 /或 H(e)NB运作状态、 和 /或 H(e)NB的 IP地址;
其中, 所述 H(e)NB位置信息包括: H(e)NB的宽带接入设备的公共 IP地 址、 和 /或 IP地址、 和 /或接入线路位置标识、 和 /或 H(e)NB周围的宏小区信 息和 /或地理坐标。
本发明还提供另一种接入控制装置, 其特征在于, 所述装置应用于
H(e)NB网关和 /或网络侧接入控制相关网元中, 并包括接入请求认证单元, 所述接入请求认证单元设置成: 对接收到的安全网关发送的接入请求消 息进行认证, 向所述安全网关发送接入认证答复消息, 并在所述接入认证答 复消息中包含 H(e)NB的身份和 /或 H(e)NB接入参数。
所述 H(e)NB接入参数包括: H(e)NB位置信息、和 /或 H(e)NB管理参数、 和 /或 H(e)NB运作状态、 和 /或 H(e)NB的 IP地址;
其中, 所述 H(e)NB位置信息包括: H(e)NB的宽带接入设备的公共 IP地 址、 和 /或 IP地址、 和 /或接入线路位置标识、 和 /或 H(e)NB周围的宏小区信 息和 /或地理坐标。
本发明还提供一种接入控制接口, 包括在安全网关与 H(e)NB网关和 /或 网络侧接入控制相关网元之间建立的接口; 其中,
所述安全网关与 H(e)NB网关和 /或网络侧接入控制相关网元之间的接口 设置成:
使所述安全网关通过该接口向 H(e)NB网关和 /或网络侧接入控制相关网 元发送接入请求消息; 和 /或
使所述 H(e)NB网关和 /或所述网络侧接入控制相关网元通过该接口向所 述安全网关发送接入认证答复消息。
该接入控制接口还包括在所述 H(e)NB 网关与所述网络侧接入控制相关 网元之间建立的接口; 其中,
所述 H(e)NB网关与所述网络侧接入控制相关网元之间的接口设置成: 使所述 H(e)NB网关通过该接口从存储有 H(e)NB的身份与 H(e)NB接入 参数的绑定信息的网络侧接入控制相关网元中获取所述绑定信息;
或者,使所述 H(e)NB网关将收到的所述接入请求消息通过该接口转发给 存储有所述绑定信息的网络侧接入控制相关网元, 由存储有所述绑定信息的 网络侧接入控制相关网元对所述接入请求消息进行认证; 并使存储有所述绑 定信息的网络侧接入控制相关网元根据存储的所述绑定信息对所述接入请求 消息进行认证后, 通过该接口将认证结果报告给所述 H(e)NB网关。
所述安全网关与 H(e)NB 网关和 /或网络侧接入控制相关网元之间的接 口、 和 /或所述 H(e)NB网关与所述网络侧接入控制相关网元之间的接口通过 NDS/IP和 /或 IPsec和 /或传输层安全( TLS )连接进行保护。
本发明还提供一种安全网关, 包括接入请求发起单元, 所述接入请求发 起单元设置成: 向 H(e)NB网关和 /或网络侧接入控制相关网元发送接入请求 消息, 以及, 接收所述 H(e)NB网关和 /或网络侧接入控制相关网元发送的接 入认证答复消息。
所述接入请求发起单元是设置成通过所述安全网关与所述 H(e)NB 网关 和 /或所述网络侧接入控制相关网元之间建立的接口发送所述接入请求消息。
与现有技术相比, 本发明完善了现有的 H(e)NB 的安全架构, 提供了
H(e)NB-GW相关的高效的安全解决方案,解决了 H(e)NB系统中由于 H(e)NB 身份假冒带来的各种安全威胁, 增加了 H(e)NB系统的安全性。
附图概述
此处所说明的附图用来提供对本发明的进一步理解, 构成本申请的一部 分, 本发明的示意性实施例及其说明用于解释本发明, 并不构成对本发明的 不当限定。 在附图中:
图 1是 HNB 的系统结构示意图; 图 2是 HeNB 的系统结构示意图;
图 3是包含 HeNB GW的 EUTRAN的架构示意图;
图 4是本发明 H(e)NB系统的接入控制方法的总体流程示意图;
图 5是本发明实施例一的方法流程示意图;
图 6是本发明实施例二的方法流程示意图;
图 7是本发明实施例三的方法流程示意图;
图 8是本发明实施例四的方法流程示意图;
图 9是本发明实施例五的方法流程示意图;
图 10是本发明实施例六的方法流程示意图;
图 11是本发明实施例七的方法流程示意图;
图 12是本发明实施例八的方法流程示意图。 本发明的较佳实施方式
为解决现有技术中 H(e)NB 身份冒充安全威胁所导致的巨大安全漏洞和 危害, 本发明的主要目的在于, 在 UMTS (Universal Mobile Telephone System, 全球无线电话系统) 网络和 EPS (Evolved Packet System,演进分组系统)网络 的安全架构中, 提供一种与 MME ( Mobility Management Entity, 移动管理实 体)相关的 HeNB (Home evolved Node-B , 家庭演进基站)系统的安全机制。 通过增强 H(e)NB-GW的功能,或者通过与其他网络侧网元的交互来实现增强 并达到能够防止冒充 H(e)NB所带来的威胁的目的。
为解决 H(e)NB身份冒充所带来的安全威胁及完善 H(e)NB系统的安全架 构, 本实施方式的接入控制方法, 安全网关进行如下处理:
安全网关向 H(e)NB网关和 /或网络侧接入控制相关网元发送接入请求消 息; 以及
所述安全网关接收所述 H(e)NB网关和 /或网络侧接入控制相关网元发送 的接入认证答复消息。
本实施方式的接入控制方法, H(e)NB-GW和 /或网络侧接入控制相关网 元进行如下处理:
H(e)NB 网关和 /或网络侧接入控制相关网元对安全网关发送的接入请求 消息进行认证, 并向所述安全网关发送接入认证答复消息。
结合图 4所示,本实施方式的一种 H(e)NB系统的接入控制方法,釆用如 下技术方案:
步骤一、 H(e)NB-GW和 /或网络侧接入控制相关网元中存入 H(e)NB的身 份标识(Identity )与 H(e)NB接入相关参数的绑定信息。
步骤二、 SeGW与 H(e)NB-GW和 /或网络侧接入控制相关网元之间建立 接口。
步骤三、 SeGW发送接入请求消息给 H(e)NB-GW和 /或网络侧接入控制 目关网元。
步骤四、 H(e)NB-GW和 /或网络侧接入控制相关网元对此接入请求消息 进行认证。
步骤五、 H(e)NB-GW和 /或网络侧接入控制相关网元发送接入认证答复 消息给 SeGW, 此消息包含了 H(e)NB的身份和 /或 H(e)NB接入相关参数。
其中,该接入认证答复消息中包含的 H(e)NB的身份和 /或 H(e)NB接入相 关参数, 是用于指示哪个 H(e)NB被允许通过 SeGW接入以及转发相应接入 相关参数给该 H(e)NB。
其中, 所述的网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 / 或 HLR/HSS和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置 协议 )服务器和 /或 RADIUS服务器和 /或 Diameter服务器和 /或 AAA (认证授 权和计费 )服务器和 /或 MSC/VLR。
进一步地, 所述的 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理参数和 /或 H(e)NB运作状态和 /或 H(e)NB自己的 IP地址。 其中, H(e)NB位置信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址 和 /或接入线路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
进一步地, SeGW与 H(e)NB-GW和 /或网络侧接入控制相关网元之间的 接口可以通过 NDS/IP和 /或 IPsec和 /或 TLS ( Transport Layer Security, 传输 层安全) 的保护来实现。
进一步地,在步骤三中, SeGW发送给 H(e)NB-GW的接入请求消息可为 RADIUS ( Remote Authentication Dial In User Service,远程用户拨号认证系统) 消息或 Diameter ( RADIUS协议的升级版本 ) 消息。
进一步地,在步骤三中, SeGW发送给 H(e)NB-GW的接入请求消息中至 少包含了 H(e)NB的身份和 /或 H(e)NB接入相关参数, H(e)NB接入相关参数 包括了 H(e)NB位置信息和 /或 H(e)NB管理参数和 /或 H(e)NB运作状态和 /或 H(e)NB自己的 IP地址。 其中 H(e)NB位置信息包括了 H(e)NB的宽带接入设 备的公共 IP地址和 /或 IP地址和 /或接入线路位置标识和 /或 H(e)NB周围的宏 小区信息和 /或地理坐标。
进一步地, 在步骤四中, H(e)NB-GW和 /或网络侧接入控制相关网元对 此接入请求消息进行认证包括: H(e)NB-GW和 /或网络侧接入控制相关网元 对此接入请求消息进行认证; 或者, H(e)NB-GW和 /或网络侧接入控制相关 网元从其他存储有 H(e)NB的身份与 H(e)NB接入相关参数的绑定信息的网络 侧接入控制网元中获取该绑定信息并进行认证; 或者, H(e)NB-GW和 /或网 络侧接入控制相关网元将此接入请求消息转发给其他存储有 H(e)NB 的身份 与 H(e)NB接入相关参数的绑定信息的网络侧接入控制网元,由其他网络侧接 入控制相关网元对此接入请求消息进行认证并报告 H(e)NB-GW和 /或网络侧 接入控制相关网元。
为使本发明的目的、 技术方案和优点更加清楚明白, 下文中将结合附图 对本发明的实施例进行详细说明。 需要说明的是, 在不冲突的情况下, 本申 请中的实施例及实施例中的特征可以相互任意组合。
实施例一
结合图 5所示, 本实施例的 H(e)NB系统的接入控制方案具体描述如下: 步骤 501 , H(e)NB-GW和 /或网络侧接入控制相关网元中存入 H(e)NB的 身份与 H(e)NB位置信息和 /或 H(e)NB管理参数和 /或 H(e)NB运作状态和 /或 H(e)NB自己的 IP地址的绑定信息。 其中, 网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协 议)服务器和 /或 RADIUS服务器和 /或 Diameter服务器和 /或 AAA服务器和 / 或 MSC/VLR。 H(e)NB位置信息包括了 H(e)NB的宽带接入设备的公共 IP地 址和 /或 IP地址和 /或接入线路位置标识和 /或 H(e)NB周围的宏小区信息和 /或 地理坐标。
步骤 502, SeGW与 H(e)NB-GW和 /或网络侧接入控制相关网元之间建立 NDS/IP和 /或 IPsec和 /或 TLS连接。
步骤 503 , SeGW发送接入 RADIUS或 Diameter请求消息给 H(e)NB-GW 和 /或网络侧接入控制相关网元, 此接入请求消息中至少包含了 H(e)NB的身 份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可以是 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
步骤 504 , H(e)NB-GW和 /或网络侧接入控制相关网元对此接入请求消息 进行认证, 认证成功。
该步骤中,是根据保存的绑定信息,对该接入请求消息中的 H(e)NB的身 份和 /或 H(e)NB接入相关参数进行验证, 如果通过验证, 则认证成功。
步骤 505 , H(e)NB-GW和 /或网络侧接入控制相关网元发送接入认证成功 答复消息给 SeGW,此消息包含了 H(e)NB的身份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
实施例二
结合图 6所示, 本实施例的 H(e)NB系统的接入控制方案具体描述如下: 步骤 601 , H(e)NB-GW和 /或网络侧接入控制相关网元中存入 H(e)NB的 身份与 H(e)NB位置信息和 /或 H(e)NB管理参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自 己的 IP 地址的绑定信息。 网络侧接入控制相关网元可为 MME/S-GW 和 /或 SGSN 和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议)服务器和 /或 RADIUS服务器和 / 或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB位置信息包括 了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线路位置标 识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
步骤 602, SeGW与 H(e)NB-GW和 /或网络侧接入控制相关网元之间建立 NDS/IP和 /或 IPsec连接。
步骤 603 , SeGW发送接入 RADIUS或 Diameter请求消息给 H(e)NB-GW 和 /或网络侧接入控制相关网元, 此接入请求消息中至少包含了 H(e)NB的身 份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
步骤 604 , H(e)NB-GW和 /或网络侧接入控制相关网元对此接入请求消息 进行认证, 认证失败。
步骤 605 , H(e)NB-GW和 /或网络侧接入控制相关网元发送接入认证失败 答复消息给 SeGW,此消息包含了 H(e)NB的身份和 /或 H(e)NB接入相关参数。 网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
实施例三
结合图 7所示, 本实施例的 H(e)NB系统的接入控制方案具体描述如下: 步骤 701 , H(e)NB-GW和 /或网络侧接入控制相关网元中存入 H(e)NB的 身份与 H(e)NB位置信息和 /或 H(e)NB管理参数和 /或 H(e)NB运作状态和 /或 H(e)NB自己的 IP地址的绑定信息。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB位置信息包括了 H(e)NB的宽带接入设备的公共 IP地址 和 /或 IP地址和 /或接入线路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地 理坐标。
步骤 702, SeGW与 H(e)NB-GW和 /或网络侧接入控制相关网元之间建立
NDS/IP和 /或 IPsec连接。
步骤 703 , SeGW发送接入 RADIUS或 Diameter请求消息给 H(e)NB-GW 和 /或网络侧接入控制相关网元, 此接入请求消息中至少包含了 H(e)NB的身 份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
步骤 704 , H(e)NB-GW 和 /或网络侧接入控制相关网元从其他存储有 H(e)NB的身份与 H(e)NB接入相关参数的绑定信息的网络侧接入控制网元中 获取 H(e)NB的身份与 H(e)NB接入相关参数的绑定信息并进行认证, 认证成 功。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
步骤 705 , H(e)NB-GW和 /或网络侧接入控制相关网元发送接入认证成功 答复消息给 SeGW,此消息包含了 H(e)NB的身份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
实施例四
结合图 8所示, 本实施例的 H(e)NB系统的接入控制方案具体描述如下: 步骤 801 , H(e)NB-GW和 /或网络侧接入控制相关网元中存入 H(e)NB的 身份与 H(e)NB位置信息和 /或 H(e)NB管理参数和 /或 H(e)NB运作状态和 /或 H(e)NB自己的 IP地址的绑定信息。 网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB位置信息包括了 H(e)NB的宽带接入设备的公共 IP地址 和 /或 IP地址和 /或接入线路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地 理坐标。
步骤 802, SeGW与 H(e)NB-GW和 /或网络侧接入控制相关网元之间建立 NDS/IP和 /或 IPsec连接。
步骤 803 , SeGW发送接入 RADIUS或 Diameter请求消息给 H(e)NB-GW 和 /或网络侧接入控制相关网元, 此接入请求消息中至少包含了 H(e)NB的身 份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
步骤 804, H(e)NB-GW和 /或网络侧接入控制相关网元从从其他存储有 H(e)NB的身份与 H(e)NB接入相关参数的绑定信息的网络侧接入控制网元中 获取 H(e)NB的身份与 H(e)NB接入相关参数的绑定信息并进行认证, 认证失 败。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。 步骤 805 , H(e)NB-GW和 /或网络侧接入控制相关网元发送接入认证失败 答复消息给 SeGW,此消息包含了 H(e)NB的身份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
实施例五
结合图 9所示, 本实施例的 H(e)NB系统的接入控制方案具体描述如下: 步骤 901 , H(e)NB-GW和 /或网络侧接入控制相关网元中存入 H(e)NB的 身份与 H(e)NB位置信息和 /或 H(e)NB管理参数和 /或 H(e)NB运作状态和 /或 H(e)NB自己的 IP地址的绑定信息。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB位置信息包括了 H(e)NB的宽带接入设备的公共 IP地址 和 /或 IP地址和 /或接入线路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地 理坐标。
步骤 902, SeGW与 H(e)NB-GW和 /或网络侧接入控制相关网元之间建立 NDS/IP和 /或 IPsec连接。
步骤 903 , SeGW发送接入 RADIUS或 Diameter请求消息给 H(e)NB-GW 和 /或网络侧接入控制相关网元, 此接入请求消息中至少包含了 H(e)NB的身 份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
步骤 904 , H(e)NB-GW和 /或网络侧接入控制相关网元将此接入请求消息 转发给其他存储有 H(e)NB的身份与 H(e)NB接入相关参数的绑定信息的网络 侧接入控制相关网元, 由其他网络侧接入控制相关网元对此接入请求消息进 行认证, 并 ^艮告给 H(e)NB-GW和 /或网络侧接入控制相关网元, 认证成功。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。
步骤 905 , H(e)NB-GW和 /或网络侧接入控制相关网元发送接入认证成功 答复消息给 SeGW,此消息包含了 H(e)NB的身份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
实施例六
结合图 10所示,本实施例的 H(e)NB系统的接入控制方案具体描述如下: 步骤 1001 , H(e)NB-GW和 /或网络侧接入控制相关网元中存入 H(e)NB的 身份与 H(e)NB位置信息和 /或 H(e)NB管理参数和 /或 H(e)NB运作状态和 /或 H(e)NB自己的 IP地址的绑定信息。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB位置信息包括了 H(e)NB的宽带接入设备的公共 IP地址 和 /或 IP地址和 /或接入线路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地 理坐标。
步骤 1002, SeGW与 H(e)NB-GW和 /或网络侧接入控制相关网元之间建 立 NDS/IP和 /或 IPsec连接。
步骤 1003 , SeGW发送接入 RADIUS或 Diameter请求消息给 H(e)NB-GW 和 /或网络侧接入控制相关网元, 此接入请求消息中至少包含了 H(e)NB的身 份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
步骤 1004, H(e)NB-GW和 /或网络侧接入控制相关网元将此接入请求消 息转发给其他存储有 H(e)NB的身份与 H(e)NB接入相关参数的绑定信息的网 络侧接入控制相关网元, 由其他网络侧接入控制相关网元对此接入请求消息 进行认证, 并报告给 H(e)NB-GW和 /或网络侧接入控制相关网元, 认证失败。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。
步骤 1005, H(e)NB-GW和 /或网络侧接入控制相关网元发送接入认证失 败答复消息给 SeGW,此消息包含了 H(e)NB的身份和 /或 H(e)NB接入相关参 数。 网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
实施例七
结合图 11所示,本实施例的 H(e)NB系统的接入控制方案具体描述如下: 步骤 1101 ,网络侧接入控制相关网元中存入 H(e)NB的身份与 H(e)NB位 置信息和 /或 H(e)NB管理参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP 地址的绑定信息。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB位置信息包括了 H(e)NB的宽带接入设备的公共 IP地址 和 /或 IP地址和 /或接入线路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地 理坐标。
步骤 1102, SeGW与网络侧接入控制相关网元之间建立 NDS/IP和 /或 IPsec连接。
步骤 1103 , SeGW发送接入 RADIUS或 Diameter请求消息给网络侧接入 控制相关网元,此接入请求消息中至少包含了 H(e)NB的身份和 /或 H(e)NB接 入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
步骤 1104, 网络侧接入控制相关网元对此接入请求消息进行认证, 认证 成功。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。
步骤 1105 , 网络侧接入控制相关网元发送接入认证成功答复消息给 SeGW, 此消息包含了 H(e)NB的身份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
实施例八
结合图 12所示,本实施例的 H(e)NB系统的接入控制方案具体描述如下: 步骤 1201 ,网络侧接入控制相关网元中存入 H(e)NB的身份与 H(e)NB位 置信息和 /或 H(e)NB管理参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP 地址的绑定信息。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB位置信息包括了 H(e)NB的宽带接入设备的公共 IP地址 和 /或 IP地址和 /或接入线路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地 理坐标。 步骤 1202, SeGW与网络侧接入控制相关网元之间建立 NDS/IP和 /或 IPsec连接。
步骤 1203 , SeGW发送接入 RADIUS或 Diameter请求消息给网络侧接入 控制相关网元,此接入请求消息中至少包含了 H(e)NB的身份和 /或 H(e)NB接 入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。
步骤 1204, 网络侧接入控制相关网元对此接入请求消息进行认证, 认证 失败。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。
步骤 1205 , 网络侧接入控制相关网元发送接入认证失败答复消息给 SeGW, 此消息包含了 H(e)NB的身份和 /或 H(e)NB接入相关参数。
网络侧接入控制相关网元可为 MME/S-GW和 /或 SGSN和 /或 HLR/HSS 和 /或 DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )服务 器和 /或 RADIUS 服务器和 /或 Diameter服务器和 /或 AAA服务器和 /或 MSC/VLR。 H(e)NB接入相关参数包括了 H(e)NB位置信息和 /或 H(e)NB管理 参数和 /或 H(e)NB运作状态和 /或 H(e)NB 自己的 IP地址。 其中 H(e)NB位置 信息包括了 H(e)NB的宽带接入设备的公共 IP地址和 /或 IP地址和 /或接入线 路位置标识和 /或 H(e)NB周围的宏小区信息和 /或地理坐标。 此外,本发明实施例中还提供了一种接入控制装置,应用于 H(e)NB网关 和 /或网络侧接入控制相关网元中, 该装置包括一绑定信息存储单元,
所述绑定信息存储单元设置成保存 H(e)NB的身份与 H(e)NB接入参数的 绑定信息。
进一步地,所述的 H(e)NB接入参数包括: H(e)NB位置信息、和 /或 H(e)NB 管理参数、 和 /或 H(e)NB运作状态、 和 /或 H(e)NB的 IP地址;
其中, 所述 H(e)NB位置信息包括: H(e)NB的宽带接入设备的公共 IP地 址、 和 /或 IP地址、 和 /或接入线路位置标识、 和 /或 H(e)NB周围的宏小区信 息和 /或地理坐标。
此外, 本发明实施例中还提供了另一种接入控制装置, 应用于 H(e)NB 网关和 /或网络侧接入控制相关网元中, 该装置包括一接入请求认证单元, 所述的接入请求认证单元设置成对接收到的安全网关发送的接入请求消 息进行认证, 向安全网关发送接入认证答复消息, 并在接入认证答复消息中 包含 H(e)NB的身份和 /或 H(e)NB接入参数。
进一步地,所述 H(e)NB接入参数包括: H(e)NB位置信息、和 /或 H(e)NB 管理参数、 和 /或 H(e)NB运作状态、 和 /或 H(e)NB的 IP地址;
其中, 所述 H(e)NB位置信息包括: H(e)NB的宽带接入设备的公共 IP地 址、 和 /或 IP地址、 和 /或接入线路位置标识、 和 /或 H(e)NB周围的宏小区信 息和 /或地理坐标。
此外, 本发明实施例中还提供了一种接入控制接口, 包括在安全网关与 H(e)NB网关和 /或网络侧接入控制相关网元之间建立的接口;
该安全网关与 Η(»ΝΒ网关和 /或网络侧接入控制相关网元之间的接口设 置成:
使安全网关通过所述接口向 H(e)NB网关和 /或网络侧接入控制相关网元 发送接入请求消息; 和 /或
使 H(e)NB网关和 /或所述网络侧接入控制相关网元通过所述接口向所述 安全网关发送接入认证答复消息。 进一步地,所述的接入控制接口还包括在所述 H(e)NB网关与所述网络侧 接入控制相关网元之间建立的接口;
该 H(e)NB网关与所述网络侧接入控制相关网元之间的接口设置成: 使 H(e)NB网关通过该接口从存储有 H(e)NB的身份与 H(e)NB接入参数 的绑定信息的网络侧接入控制相关网元中获取所述绑定信息;
或者,使 H(e)NB网关将收到的所述接入请求消息通过该接口转发给存储 有所述绑定信息的网络侧接入控制相关网元, 由所述网络侧接入控制相关网 元对所述接入请求消息进行认证; 并使存储有所述绑定信息的网络侧接入控 制相关网元根据存储的所述绑定信息对所述接入请求消息进行认证后, 通过 该接口将认证结果报告给所述 H(e)NB网关。
进一步地, 安全网关与 H(e)NB网关和 /或网络侧接入控制相关网元之间 的接口、 和 /或 H ( e)NB 网关与网络侧接入控制相关网元之间的接口通过 NDS/IP和 /或 IPsec和 /或 TLS连接进行保护。
此外, 本发明实施例中还提供了一种安全网关, 该安全网关包括接入请 求发起单元,
所述的接入请求发起单元设置成: 向 H(e)NB网关和 /或网络侧接入控制 相关网元发送接入请求消息, 以及, 接收 H(e)NB网关和 /或网络侧接入控制 相关网元发送的接入认证答复消息。
进一步地, 所述的接入请求发起单元是设置成通过安全网关与 H(e)NB 网关和 /或网络侧接入控制相关网元之间建立的接口发送所述接入请求消息。
以上仅为本发明的优选实施案例而已, 并不用于限制本发明, 本发明还 可有其他多种实施例, 在不背离本发明精神及其实质的情况下, 熟悉本领域 的技术人员可根据本发明做出各种相应的改变和变形, 但这些相应的改变和 变形都应属于本发明所附的权利要求的保护范围。
显然, 本领域的技术人员应该明白, 上述的本发明的各模块或各步骤可 以用通用的计算装置来实现, 它们可以集中在单个的计算装置上, 或者分布 在多个计算装置所组成的网络上, 可选地, 它们可以用计算装置可执行的程 序代码来实现, 从而, 可以将它们存储在存储装置中由计算装置来执行, 并 且在某些情况下, 可以以不同于此处的顺序执行所示出或描述的步骤, 或者 将它们分别制作成各个集成电路模块, 或者将它们中的多个模块或步骤制作 成单个集成电路模块来实现。 这样, 本发明不限制于任何特定的硬件和软件 结合。
工业实用性 与现有技术相比, 本发明完善了现有的 H(e)NB 的安全架构, 提供了 H(e)NB-GW相关的高效的安全解决方案,解决了 H(e)NB系统中由于 H(e)NB 身份假冒带来的各种安全威胁, 增加了 H(e)NB系统的安全性。

Claims

权 利 要 求 书
1、 一种接入控制方法, 包括:
安全网关向 H(e)NB网关和 /或网络侧接入控制相关网元发送接入请求消 息; 以及
所述安全网关接收所述 H(e)NB网关和 /或网络侧接入控制相关网元发送 的接入认证答复消息。
2、 如权利要求 1所述的方法, 其中,
所述接入请求消息中包含 H(e)NB的身份和 /或 H(e)NB接入参数。
3、 如权利要求 1所述的方法, 其中,
所述安全网关发送的所述接入请求消息为: RADIUS消息、 或 Diameter 消息。
4、 如权利要求 1、 2或 3所述的方法, 其中,
所述安全网关通过与所述 H(e)NB网关和 /或所述网络侧接入控制相关网 元之间建立的接口发送所述接入请求消息。
5、 如权利要求 1所述的方法, 其中,
所述网络侧接入控制相关网元包括: 移动管理实体(MME ) /服务网关 ( S-GW ) 、 GPRS服务支持节点 (SGSN ) 、 归属位置寄存器(HLR ) /归属 用户服务器(HSS )、 动态主机配置协议(DHCP )服务器、 RADIUS服务器、 Diameter服务器、认证授权和计费( AAA )服务器、和 /或移动交换中心( MSC ) /拜访位置寄存器(VLR ) 。
6、如权利要求 2所述的方法,其中,所述 H(e)NB接入参数包括: H(e)NB 位置信息、 和 /或 H(e)NB管理参数、 和 /或 H(e)NB运作状态、 和 /或 H(e)NB 的 IP地址;
所述 H(e)NB位置信息包括: H(e)NB的宽带接入设备的公共 IP地址、 和 /或 IP地址、 和 /或接入线路位置标识、 和 /或 H(e)NB周围的宏小区信息和 /或 地理坐标。
7、 一种接入控制方法, 包括: H(e)NB 网关和 /或网络侧接入控制相关网元对安全网关发送的接入请求 消息进行认证, 并向所述安全网关发送接入认证答复消息。
8、 如权利要求 7所述的方法, 其中,
所述接入认证答复消息中包含 H(e)NB的身份和 /或 H(e)NB接入参数。
9、 如权利要求 7所述的方法, 其中,
所述 H(e)NB网关和 /或所述网络侧接入控制相关网元中保存 H(e)NB的身 份与 H(e)NB接入参数的绑定信息。
10、 如权利要求 7、 8或 9所述的方法, 还包括:
所述安全网关与所述 H(e)NB网关和 /或所述网络侧接入控制相关网元建 立接口。
11、 如权利要求 9所述的方法, 其中,
所述 H(e)NB网关和 /或网络侧接入控制相关网元对所述接入请求消息进 行认证的步骤包括:
所述 H(e)NB网关和 /或网络侧接入控制相关网元根据保存的所述绑定信 息,对所述接入请求消息中包含的 H(e)NB的身份、和 /或 H(e)NB接入参数进 行认证;
或者, 所述 H(e)NB网关和 /或网络侧接入控制相关网元根据从其他存储 有所述绑定信息的网络侧接入控制相关网元中获取到的所述绑定信息, 对所 述接入请求消息中包含的 H(e)NB的身份、 和 /或 H(e)NB接入参数进行认证; 或者, 所述 H(e)NB网关和 /或网络侧接入控制相关网元将收到的所述接 入请求消息转发给其他存储有所述绑定信息的网络侧接入控制相关网元, 由 所述其他存储有所述绑定信息的网络侧接入控制相关网元进行认证并将认证 结果报告给所述 H(e)NB网关和 /或网络侧接入控制相关网元。
12、 如权利要求 7所述的方法, 其中,
所述网络侧接入控制相关网元包括: 移动管理实体(MME ) /服务网关
( S-GW ) 、 GPRS服务支持节点 (SGSN ) 、 归属位置寄存器(HLR ) /归属 用户服务器(HSS )、 动态主机配置协议(DHCP )服务器、 RADIUS服务器、 Diameter服务器、认证授权和计费( AAA )服务器、和 /或移动交换中心( MSC ) /拜访位置寄存器(VLR ) 。
13、 如权利要求 8或 9所述的方法, 其中,
所述 H(e)NB接入参数包括: H(e)NB位置信息、和 /或 H(e)NB管理参数、 和 /或 H(e)NB运作状态、 和 /或 H(e)NB的 IP地址;
其中, 所述 H(e)NB位置信息包括: H(e)NB的宽带接入设备的公共 IP地 址、 和 /或 IP地址、 和 /或接入线路位置标识、 和 /或 H(e)NB周围的宏小区信 息和 /或地理坐标。
14、 如权利要求 10所述的方法, 还包括: 所述 H(e)NB网关和 /或所述网络侧接入控制相关网元之间的接口进行保护。
15、 一种接入控制装置, 其特征在于, 所述装置应用于 H(e)NB网关和 / 或网络侧接入控制相关网元中, 并包括绑定信息存储单元,
所述绑定信息存储单元设置成保存 H(e)NB的身份与 H(e)NB接入参数的 绑定信息。
16、 如权利要求 15所述的装置, 其中,
所述 H(e)NB接入参数包括: H(e)NB位置信息、和 /或 H(e)NB管理参数、 和 /或 H(e)NB运作状态、 和 /或 H(e)NB的 IP地址;
其中, 所述 H(e)NB位置信息包括: H(e)NB的宽带接入设备的公共 IP地 址、 和 /或 IP地址、 和 /或接入线路位置标识、 和 /或 H(e)NB周围的宏小区信 息和 /或地理坐标。
17、 一种接入控制装置, 其特征在于, 所述装置应用于 H(e)NB网关和 / 或网络侧接入控制相关网元中, 并包括接入请求认证单元,
所述接入请求认证单元设置成: 对接收到的安全网关发送的接入请求消 息进行认证, 向所述安全网关发送接入认证答复消息, 并在所述接入认证答 复消息中包含 H(e)NB的身份和 /或 H(e)NB接入参数。
18、 如权利要求 17所述的装置, 其中, 所述 H(e)NB接入参数包括: H(e)NB位置信息、和 /或 H(e)NB管理参数、 和 /或 H(e)NB运作状态、 和 /或 H(e)NB的 IP地址;
其中, 所述 H(e)NB位置信息包括: H(e)NB的宽带接入设备的公共 IP地 址、 和 /或 IP地址、 和 /或接入线路位置标识、 和 /或 H(e)NB周围的宏小区信 息和 /或地理坐标。
19、 一种接入控制接口, 包括在安全网关与 H(e)NB网关和 /或网络侧接 入控制相关网元之间建立的接口; 其中,
所述安全网关与 H(e)NB网关和 /或网络侧接入控制相关网元之间的接口 设置成:
使所述安全网关通过该接口向 H(e)NB网关和 /或网络侧接入控制相关网 元发送接入请求消息; 和 /或
使所述 H(e)NB网关和 /或所述网络侧接入控制相关网元通过该接口向所 述安全网关发送接入认证答复消息。
20、 如权利要求 19所述的接入控制接口, 还包括在所述 H(e)NB网关与 所述网络侧接入控制相关网元之间建立的接口; 其中,
所述 H(e)NB网关与所述网络侧接入控制相关网元之间的接口设置成: 使所述 H(e)NB网关通过该接口从存储有 H(e)NB的身份与 H(e)NB接入 参数的绑定信息的网络侧接入控制相关网元中获取所述绑定信息;
或者,使所述 H(e)NB网关将收到的所述接入请求消息通过该接口转发给 存储有所述绑定信息的网络侧接入控制相关网元, 由存储有所述绑定信息的 网络侧接入控制相关网元对所述接入请求消息进行认证; 并使存储有所述绑 定信息的网络侧接入控制相关网元根据存储的所述绑定信息对所述接入请求 消息进行认证后, 通过该接口将认证结果报告给所述 H(e)NB网关。
21、 如权利要求 20所述的接入控制接口, 其中,
所述安全网关与 H(e)NB 网关和 /或网络侧接入控制相关网元之间的接 口、 和 /或所述 H(e)NB网关与所述网络侧接入控制相关网元之间的接口通过 NDS/IP和 /或 IPsec和 /或传输层安全( TLS )连接进行保护。
22、 一种安全网关, 包括接入请求发起单元, 所述接入请求发起单元设置成: 向 H(e)NB网关和 /或网络侧接入控制相 关网元发送接入请求消息, 以及, 接收所述 H(e)NB网关和 /或网络侧接入控 制相关网元发送的接入认证答复消息。
23、 如权利要求 22所述的安全网关, 其中,
所述接入请求发起单元是设置成通过所述安全网关与所述 H(e)NB 网关 和 /或所述网络侧接入控制相关网元之间建立的接口发送所述接入请求消息。
PCT/CN2012/071710 2011-06-21 2012-02-28 接入控制方法、装置、接口及安全网关 WO2012174884A1 (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201110168248.5 2011-06-21
CN2011101682485A CN102843678A (zh) 2011-06-21 2011-06-21 接入控制方法、装置、接口及安全网关

Publications (1)

Publication Number Publication Date
WO2012174884A1 true WO2012174884A1 (zh) 2012-12-27

Family

ID=47370680

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2012/071710 WO2012174884A1 (zh) 2011-06-21 2012-02-28 接入控制方法、装置、接口及安全网关

Country Status (2)

Country Link
CN (1) CN102843678A (zh)
WO (1) WO2012174884A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104168566B (zh) * 2014-08-19 2018-11-06 京信通信系统(中国)有限公司 一种接入网络的方法及装置
CN109087412A (zh) * 2018-06-06 2018-12-25 咕咚网络(北京)有限公司 一种无线联网门锁系统中门锁终端与网关的连接方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2381158A (en) * 2001-10-16 2003-04-23 Vodafone Ltd Indoor base station and broadband link
CN101686578A (zh) * 2008-09-28 2010-03-31 中兴通讯股份有限公司 家庭演进基站系统及无线设备的接入方法
CN101754210A (zh) * 2008-12-05 2010-06-23 中兴通讯股份有限公司 一种对家用基站设备进行鉴权的方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2381158A (en) * 2001-10-16 2003-04-23 Vodafone Ltd Indoor base station and broadband link
CN101686578A (zh) * 2008-09-28 2010-03-31 中兴通讯股份有限公司 家庭演进基站系统及无线设备的接入方法
CN101754210A (zh) * 2008-12-05 2010-06-23 中兴通讯股份有限公司 一种对家用基站设备进行鉴权的方法和系统

Also Published As

Publication number Publication date
CN102843678A (zh) 2012-12-26

Similar Documents

Publication Publication Date Title
US20230353379A1 (en) Authentication Mechanism for 5G Technologies
CN107018676B (zh) 用户设备与演进分组核心之间的相互认证
JP5572720B2 (ja) ワイヤレスリレーノードをセキュアにするための方法および装置
DK2547134T3 (en) IMPROVED SUBSCRIPTION AUTHENTICATION FOR UNAUTHORIZED MOBILE ACCESS SIGNALS
US11178547B2 (en) Identity-based message integrity protection and verification for wireless communication
WO2016085001A1 (ko) 스몰셀 환경을 지원하는 무선 접속 시스템에서 위치 비밀성 보호를 지원하는 방법 및 장치
US8649767B2 (en) Femtocell communication system, apparatus, control method, and program
CN110495199B (zh) 无线网络中的安全小区重定向
KR101539242B1 (ko) 하이브리드 통신 시스템의 도청 타입 공격의 방지 방법
KR20180066142A (ko) 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원
KR20080086127A (ko) 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치
WO2011131052A1 (zh) 机器对机器的通信系统中基于组的认证方法及系统
WO2014029267A1 (zh) 实现ue注册、以及业务呼叫的方法及装置及系统
US9060028B1 (en) Method and apparatus for rejecting untrusted network
EP2378802B1 (en) A wireless telecommunications network, and a method of authenticating a message
WO2020176197A2 (en) Wireless-network attack detection
WO2012174884A1 (zh) 接入控制方法、装置、接口及安全网关
Chen et al. Security implications and considerations for femtocells
CN101715177A (zh) 一种网络设备的位置锁定方法及位置锁定系统
US20130326586A1 (en) Connection Processing Method and System
CN113498055B (zh) 接入控制方法及通信设备
CN101827344A (zh) 一种紧急呼叫的处理方法和装置
WO2010124608A1 (zh) 紧急业务的实现方法及家用基站

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12803336

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12803336

Country of ref document: EP

Kind code of ref document: A1