专利名称:家庭基站鉴权方法、装置和系统的制作方法
技术领域:
本发明涉及通信领域,具体而言,涉及一种家庭基站鉴权方法、装置和系统。
背景技术:
目前,室内覆盖已成为3G网络建设的重点,合适的室内覆盖方案一方面可以让网 络发挥其最大的作用,为运营商创造更大的价值,另一方面也能节省运营商的建网成本,真 正实现低投入、高回报。目前,越来越多的跨国运营商希望能够提供一种能够提供各种无线 接入功能的无线接入设备,当用户在家庭中使用该设备时,运营商可以提供资费上的优惠, 这也可以理解为一种ALL in One的无线接入方案。目前,提供该功能的一种无线接入设备 是家庭基站(Home NodeB),其把局部热点(例如,家庭)中的固网和移动网两种通信方式结 合起来,充分利用固定和移动的优势来满足用户和运营商的需求。 当前Home NodeB接入的解决方案 一般通过基于传统的有家庭网络控制器 (Domestic Network Controller,简称为DNC)的架构来实现,Home NodeB设备放置在用户 家中实现以家庭为单位的室内覆盖,通过数字用户线路(Digital Subscriber Line,简称 为xDSL)接入网络服务提供商(Internet Service Provider,简称为ISP)网络,并通过标 准的Iub接口连接到DNC,其中,DNC通过标准的电路域/分组域接口连接到CN。
在Home NodeB接入运营商网络时,如果不对其进行鉴权,则可能导致非法设备进 入运营商网络,由此可能带来安全隐患,而目前还没有在Home NodeB接入运营商网络前对 Home NodeB进行鉴权的方案。
发明内容
针对现有技术无法对接入设备进行鉴权,导致非法设备可能进入运营商网络而存 在安全隐患的问题而提出本发明,为此,本发明旨在提供一种家庭基站鉴权方法、装置和系 统,以解决上述问题。 根据本发明的一个方面,提供了 一种家庭基站鉴权方法。 根据本发明的家庭基站鉴权方法,应用于包括认证授权计费服务器、家庭基站、家
庭基站配置服务器的通信系统,上述方法包括响应于来自家庭基站的接入网络请求,认证
授权计费服务器生成随机数,并将随机数发送给家庭基站和家庭基站配置服务器;认证授
权计费服务器接收来自家庭基站的公用加密数据和来自家庭基站配置服务器的鉴别数据;
认证授权计费服务器根据公用加密数据和鉴别数据对家庭基站进行鉴权。 优选地,在认证授权计费服务器接收来自家庭基站的公用加密数据之前,上述方
法还包括家庭基站接收来自认证授权计费服务器的随机数,根据随机数和本地存储的设
备识别号、鉴权密钥、鉴权算法生成公用加密数据,并将公用加密数据发送给认证授权计费
服务器。 优选地,在认证授权计费服务器接收来自家庭基站配置服务器的鉴别数据之前, 上述方法还包括家庭基站配置服务器接收来自认证授权计费服务器的随机数;家庭基站配置服务器获取家庭基站的设备识别号,根据设备识别号生成鉴别数据,并将鉴别数据发 送给认证授权计费服务器。 优选地,家庭基站配置服务器根据设备识别号生成鉴别数据具体包括如果家庭 基站配置服务器在本地存储有与设备识别号对应的鉴权密钥和鉴权算法,则家庭基站配置 服务器根据随机数、设备识别号、鉴权密钥和鉴权算法生成鉴别数据;否则,家庭基站配置 服务器将鉴别数据设置为预定值,其中,预定值用于标识不存在与设备识别号对应的鉴权 密钥和鉴权算法。 优选地,认证授权计费服务器根据公用加密数据和鉴别数据对家庭基站进行鉴权 具体包括认证授权计费服务器判断鉴别数据是否为预定值;在判断结果为是的情况下, 认证授权计费服务器判定家庭基站鉴权不通过;在判断结果为否的情况下,认证授权计费 服务器判断公用加密数据和鉴别数据是否相同,如果二者相同,则判定家庭基站鉴权通过, 否则,判定家庭基站鉴权不通过。 根据本发明的另 一方面,提供了 一种家庭基站鉴权装置。 根据本发明的家庭基站鉴权装置包括生成模块,用于响应于来自家庭基站的接
入网络请求,生成随机数;发送模块,用于将随机数发送给家庭基站和家庭基站配置服务
器;接收模块,用于接收来自家庭基站的公用加密数据和来自家庭基站配置服务器的鉴别
数据;鉴权模块,用于根据公用加密数据和鉴别数据对家庭基站进行鉴权。 优选地,鉴权模块还包括第一判断子模块,用于判断鉴别数据是否为预定值,其
中,预定值用于标识不存在与家庭基站的设备识别号对应的鉴权密钥和鉴权算法;第二判
断子模块,用于判断公用加密数据和鉴别数据是否相同;判决子模块,用于根据第一判断模
块或第二判断模块的判断结果对家庭基站进行鉴权。 根据本发明的另一方面,提供了 一种家庭基站鉴权系统。 根据本发明的家庭基站鉴权系统包括认证授权计费服务器、家庭基站、家庭基站 配置服务器,家庭基站,用于根据授权计费服务器生成的随机数生成公用加密数据;家庭基 站配置服务器,用于根据授权计费服务器生成的随机数生成鉴别数据;认证授权计费服务 器,用于根据家庭基站生成的公用加密数据和家庭基站配置服务器生成的鉴别数据,对家 庭基站进行鉴权。 优选地,认证授权计费服务器包括第一生成模块,用于响应于来自家庭基站的接 入网络请求,生成随机数;第一发送模块,用于将随机数发送给家庭基站和家庭基站配置服 务器;第一接收模块,用于接收来自家庭基站的公用加密数据和来自家庭基站配置服务器 的鉴别数据;鉴权模块,用于根据公用加密数据和/或鉴别数据对家庭基站进行鉴权。
优选地,家庭基站包括第二接收模块,用于接收来自认证授权计费服务器的随机 数;第二生成模块,用于根据随机数和本地存储的设备识别号、鉴权密钥、鉴权算法生成公 用加密数据;第二发送模块,用于将公用加密数据发送给认证授权计费服务器。
优选地,家庭基站配置服务器包括第三接收模块,用于接收来自认证授权计费服 务器的随机数;生成模块,用于生成家庭基站的设备识别号,其中,设备识别号由家庭基站 在发起接入网络的请求时发送给家庭基站配置服务器;第三生成模块,用于根据随机数和 设备识别号生成鉴别数据;第三发送模块,用于将鉴别数据发送给认证授权计费服务器。
通过本发明,采用认证授权计费服务器根据公用加密数据和鉴别数据对家庭基站
5进行鉴权的方法,解决了现有技术无法对接入设备进行鉴权,导致非法设备可能进入运营 商网络而存在安全隐患的问题,消除了由于非法设备进入而带来的安全隐患,提高了系统 的安全性。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发
明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中 图1是用于实施本发明实施例的网络环境的架构图; 图2是根据本发明实施例的Home NodeB鉴权方法的流程图; 图3是根据本发明实施例的Home NodeB鉴权方法的详细处理流程图; 图4是根据本发明实施例的Home NodeB鉴权装置的结构框图; 图5是根据本发明实施例的Home NodeB鉴权装置的优选结构框图; 图6是根据本发明实施例的Home NodeB鉴权系统的结构框图; 图7是根据本发明实施例的Home NodeB鉴权系统的优选结构框图。
具体实施方式
功能概述 本发明实施例提供了一种Home NodeB鉴权方法、装置和系统,其中,在上述方法 中,AAA(Authentication、 Authorization andAccounting,简称为AAA)月艮务器生成随丰几 数(Random Number), Home NodeB生成公用加密数据(cryptogram),家庭基站配置服务器 (Home NodeB Configuration Server,简称为HCS)生成鉴别数据(authenticate) ;AAA根 据公用加密数据和鉴别数据对Home NodeB进行鉴权。 图1是用于实施本发明实施例的网络环境的架构图,如图1所示,Home NodeB通 过网络(Internet)经由HCS的服务网关(ServiceGateway,简称为SGW)与AAA和HCS进行 通信,AAA通过DNC的SGW与DNC进行通信。 其中,HCS负责管理和维护所有Home NodeB和A-key以及鉴权算法的对应关系, HCS提供查询接口 ,根据Home NodeB的设备识别号查询相应的A-key以及鉴权算法,HCS根 据AAA生成的随机数Random N咖ber、 Home NodeB的设备识别号、找到相对应的鉴权密钥 (A-key)以及鉴权算法,生成鉴别数据authenticate ;AAA服务器负责生成随机数和鉴权操 作,鉴权通过允许接入运营商网络,否则拒绝接入;当鉴权通过时,Home NodeB通过SGW接 入运营商网络,否则,SGW网关拒绝该Home NodeB的接入。
下面将参考附图并结合实施例来详细说明本发明。
方法实施例 根据本发明的实施例,提供了一种Home NodeB鉴权方法,应用于如图1所示的包 括AAA服务器、Home NodeB、 HCS的通信系统。图2是根据本发明实施例的Home NodeB鉴 权方法的流程图,如图2所示,该方法包括 步骤S202,响应于来自Home NodeB的接入网络请求,AAA服务器生成随机数,并将 随机数发送给Home NodeB和HCS ; 步骤S204, AAA服务器接收来自Home NodeB的公用加密数据和来自HCS的鉴别数据; 步骤S206, AAA服务器根据公用加密数据和鉴别数据对HomeNodeB进行鉴权。
通过该实施例,采用AAA服务器根据公用加密数据和鉴别数据对Home NodeB进行 鉴权的方法,解决了现有技术无法对接入设备进行鉴权,导致非法设备在进入运营商网络 之前不能被拒绝接入的问题,进而提高了系统的安全性。 图3是根据本发明实施例的Home NodeB鉴权方法的详细流程图,如图3所示,包 括如下步骤 步骤S302, Home NodeB发起接入网络的请求; 步骤S304, AAA生成随机数Random Number (即,上述步骤S202); 步骤S306, AAA将随机数Random Number分别发送给HomeNodeB和HCS (即,上述
步骤S202); 步骤S308 , Home NodeB接收来自AAA服务器的随机数,并根据AAA生成的随 机数Random Number、本地存储的设备识别号、A-key以及鉴权算法生成公用加密数据 cryptogram,然后将公用加密数据cryptogram发送给AAA服务器; 步骤S310, HCS接收来自AAA服务器的随机数和获取的HomeNodeB的设备识别号, 其中,Home NodeB在发起接入网络的请求时将设备识别号发送给HCS ;HCS根据Home NodeB 的设备识别号查找相对应的A-key以及鉴权算法,S卩,判断本地是否存储有与设备识别号 对应的A-key和鉴权算法;在判断结果为是的情况下,进行至步骤S312,在判断结果为否的 情况下,进行至步骤S314; 步骤S312, HCS根据AAA生成的随机数、设备识别号、找到的A_key和鉴权算法生 成鉴别数据authenticate ;然后,HCS将鉴别数据发送给AAA服务器;
步骤S314, HCS将鉴别数据设置为预定值,其中,预定值用于标识不存在与设备识 别号对应的A-key和鉴权算法,例如,可以设置鉴别数据为0,表示没有相应的Home NodeB 的设备识别号信息;然后,HCS将鉴别数据发送给AAA服务器; 步骤S316, AAA服务器接收来自Home NodeB的公用加密数据和来自HCS的鉴别数 据(即,上述步骤S204),以下即为对上述步骤S206的描述,AAA服务器判断鉴别数据是否 为预定值0 ;在判断结果为是的情况下,进行至步骤S318,在判断结果为否的情况下,进行 至步骤S320 ; 步骤S318, AAA服务器判定Home NodeB鉴权不通过; 步骤S320, AAA服务器判断公用加密数据和鉴别数据是否相同;如果公用加密数 据和鉴别数据相同,则AAA服务器判定HomeNodeB鉴权通过,Home NodeB通过SGW接入运 营商网络;否则,AAA服务器判定Home NodeB鉴权不通过,SGW网关拒绝该HomeNodeB的接 入。 通过该实施例,可以提高鉴权的准确性。
装置实施例 根据本发明的实施例,提供了一种Home NodeB鉴权装置(该装置可以通过上述的 AAA服务器来实现)。图4是根据本发明实施例的Home NodeB鉴权装置的结构框图,如图 4所示,该装置包括生成模块40、发送模块42、接收模块44、鉴权模块46,下面对上述结构 进行描述。
7
生成模块40,用于响应于来自Home NodeB的接入网络请求,生成随机数。 发送模块42,连接至用于生成模块40,用于将生成模块40生成的随机数发送给
Home NodeB和HCS。 接收模块44,用于接收来自Home NodeB的公用加密数据和来自HCS的鉴别数据。
鉴权模块46,连接至接收模块44,用于根据接收模块44接收的公用加密数据和鉴 别数据对Home NodeB进行鉴权。 图5是根据本发明实施例的Home NodeB鉴权装置的优选结构框图,如图5所示, 鉴权模块46具体包括 第一判断子模块50,用于判断鉴别数据是否为预定值,其中,预定值用于标识不存 在与Home NodeB的设备识别号对应的A-key和鉴权算法。 第二判断子模块52,连接至第一判断模块50,用于在第一判断模块50的判断结果 为否的情况下,判断公用加密数据和鉴别数据是否相同。 判决子模块54,连接至第一判断子模块50和第二判断子模块52,根据第一判断子 模块50或第二判断子模块52的判断结果对Home NodeB进行鉴权,具体地,在第一判断子模 块50的判断结果为是的情况下,判定鉴权不通过,在第二判断子模块52的判断结果为是的 情况下,判定鉴权通过,在第二判断子模块52的判断结果为否的情况下,判定鉴权不通过。
通过该实施例,提供了采用公用加密数据和鉴别数据对HomeNodeB进行鉴权的装 置,解决了现有技术无法对接入设备进行鉴权,导致非法设备在进入运营商网络之前不能 被拒绝接入的问题,进而提高了系统的安全性。
系统实施例 根据本发明的实施例,提供了一种Home NodeB鉴权系统。图6是根据本发明实施 例的Home NodeB鉴权系统的结构框图,如图6所示,该系统包括AM服务器60、Home NodeB 62、 HCS 64,下面对上述结构进行描述。 Home NodeB 62,用于根据授权计费服务器生成的随机数生成公用加密数据。
HCS 64,用于根据授权计费服务器生成的随机数生成鉴别数据。
AAA服务器60,连接至Home NodeB 62和HCS 64,用于根据Home NodeB生成的公 用加密数据和HCS生成的鉴别数据,对HomeNodeB进行鉴权。 图7是根据本发明实施例的Home NodeB鉴权系统的优选结构框图,如图7所示
其中,AAA服务器60包括第一生成模块602、第一发送模块604、第一接收模块 606、鉴权模块608,下面对上述结构进行描述。 第一生成模块602,用于响应于来自Home NodeB的接入网络请求,生成随机数。
第一发送模块604,连接至第一生成模块602,用于将第一生成模块602生成的随 机数发送给Home NodeB和HCS。 第一接收模块606,用于接收来自Home NodeB的公用加密数据和来自HCS的鉴别 数据。 鉴权模块608,连接至第一接收模块606,用于根据第一接收模块606接收的公用 加密数据和/或鉴别数据对Home NodeB进行鉴权。 其中,Home NodeB 62包括第二 收模块622,第二生成模块624,第二发送模块 626,下面对上述结构进行描述。
第二接收模块622,用于接收来自AAA服务器的随机数。 第二生成模块624,连接至第二接收模块622,用于根据第二接收模块622接收的
随机数和本地存储的设备识别号、A-key、鉴权算法生成公用加密数据。 第二发送模块626,连接至第二生成模块624,用于将第二生成模块624生成的公
用加密数据发送给AAA服务器。 其中,HCS 64包括第三接收模块642、获取模块644、第三生成模块646、第三发送模块648,下面对上述结构进行描述。 第三接收模块642,用于接收来自AAA服务器的随机数。 获取模块644,用于获取Home NodeB的设备识别号,其中,Home NodeB在发起接入网络的请求时将设备识别号发送给HCS。 第三生成模块646,连接至第三接收模块642和获取模块644,用于根据第三接收
模块642接收的随机数和获取模块644接收的设备识别号生成鉴别数据。 第三发送模块648,连接至第三生成模块646,用于将鉴别数据发送给AAA服务器。 通过本发明的上述实施例,采用AAA服务器根据公用加密数据和鉴别数据对家庭
基站进行鉴权的方法,解决了现有技术无法对接入设备进行鉴权,导致非法设备在进入运
营商网络之前不能被拒绝接入的问题,进而提高了系统的安全性。 显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种家庭基站鉴权方法,应用于包括认证授权计费服务器、家庭基站、家庭基站配置服务器的通信系统,其特征在于,所述方法包括响应于来自所述家庭基站的接入网络请求,所述认证授权计费服务器生成随机数,并将所述随机数发送给所述家庭基站和所述家庭基站配置服务器;所述认证授权计费服务器接收来自所述家庭基站的公用加密数据和来自所述家庭基站配置服务器的鉴别数据;所述认证授权计费服务器根据所述公用加密数据和所述鉴别数据对所述家庭基站进行鉴权。
2. 根据权利要求1所述的方法,其特征在于,在所述认证授权计费服务器接收来自所 述家庭基站的公用加密数据之前,所述方法还包括所述家庭基站接收来自所述认证授权计费服务器的所述随机数,根据所述随机数和本 地存储的设备识别号、鉴权密钥、鉴权算法生成所述公用加密数据,并将所述公用加密数据 发送给所述认证授权计费服务器。
3. 根据权利要求1所述的方法,其特征在于,在所述认证授权计费服务器接收来自所 述家庭基站配置服务器的鉴别数据之前,所述方法还包括所述家庭基站配置服务器接收来自所述认证授权计费服务器的所述随机数; 所述家庭基站配置服务器获取所述家庭基站的设备识别号,根据所述设备识别号生成 所述鉴别数据,并将所述鉴别数据发送给所述认证授权计费服务器。
4. 根据权利要求3所述的方法,其特征在于,所述家庭基站配置服务器根据所述设备 识别号生成所述鉴别数据具体包括如果所述家庭基站配置服务器在本地存储有与所述设备识别号对应的鉴权密钥和鉴 权算法,则所述家庭基站配置服务器根据所述随机数、所述设备识别号、所述鉴权密钥和所 述鉴权算法生成所述鉴别数据;否则,所述家庭基站配置服务器将所述鉴别数据设置为预定值,其中,所述预定值用于 标识不存在与所述设备识别号对应的所述鉴权密钥和所述鉴权算法。
5. 根据权利要求4所述的方法,其特征在于,所述认证授权计费服务器根据所述公用 加密数据和所述鉴别数据对所述家庭基站进行鉴权具体包括所述认证授权计费服务器判断所述鉴别数据是否为所述预定值;在判断结果为是的情况下,所述认证授权计费服务器判定所述家庭基站鉴权不通过; 在判断结果为否的情况下,所述认证授权计费服务器判断所述公用加密数据和所述鉴别数据是否相同,如果二者相同,则判定所述家庭基站鉴权通过,否则,判定所述家庭基站鉴权不通过。
6. —种家庭基站鉴权装置,其特征在于,包括生成模块,用于响应于来自家庭基站的接入网络请求,生成随机数; 发送模块,用于将所述随机数发送给所述家庭基站和家庭基站配置服务器; 接收模块,用于接收来自所述家庭基站的公用加密数据和来自所述家庭基站配置服务 器的鉴别数据;鉴权模块,用于根据所述公用加密数据和所述鉴别数据对所述家庭基站进行鉴权。
7. 根据权利要求6所述的装置,其特征在于,所述鉴权模块具体包括第一判断子模块,用于判断所述鉴别数据是否为预定值,其中,所述预定值用于标识不存在与家庭基站的设备识别号对应的鉴权密钥和鉴权算法;第二判断子模块,用于判断所述公用加密数据和所述鉴别数据是否相同; 判决子模块,用于根据所述第一判断模块或所述第二判断模块的判断结果对所述家庭基站进行鉴权。
8. —种家庭基站鉴权系统,包括认证授权计费服务器、家庭基站、家庭基站配置服务 器,其特征在于所述家庭基站,用于根据所述授权计费服务器生成的随机数生成公用加密数据; 所述家庭基站配置服务器,用于根据所述授权计费服务器生成的随机数生成鉴别数据;所述认证授权计费服务器,用于根据所述家庭基站生成的所述公用加密数据和所述家 庭基站配置服务器生成的所述鉴别数据,对所述家庭基站进行鉴权。
9. 根据权利要求8所述的系统,其特征在于,所述认证授权计费服务器包括 第一生成模块,用于响应于来自所述家庭基站的接入网络请求,生成随机数; 第一发送模块,用于将所述随机数发送给所述家庭基站和所述家庭基站配置服务器; 第一接收模块,用于接收来自所述家庭基站的公用加密数据和来自所述家庭基站配置服务器的鉴别数据;鉴权模块,用于根据所述公用加密数据和/或所述鉴别数据对所述家庭基站进行鉴权。
10. 根据权利要求8所述的系统,其特征在于,所述家庭基站包括 第二接收模块,用于接收来自所述认证授权计费服务器的所述随机数; 第二生成模块,用于根据所述随机数和本地存储的设备识别号、鉴权密钥、鉴权算法生成所述公用加密数据;第二发送模块,用于将所述公用加密数据发送给所述认证授权计费服务器。
11. 根据权利要求8所述的系统,其特征在于,所述家庭基站配置服务器包括 第三接收模块,用于接收来自所述认证授权计费服务器的所述随机数;获取模块,用于获取所述家庭基站的设备识别号,其中,所述设备识别号由所述家庭基 站在发起接入网络的请求时发送给所述家庭基站配置服务器;第三生成模块,用于根据所述随机数和所述设备识别号生成所述鉴别数据; 第三发送模块,用于将所述鉴别数据发送给所述认证授权计费服务器。
全文摘要
本发明公开了一种家庭基站鉴权方法、装置和系统,其中,上述方法应用于包括认证授权计费服务器、家庭基站、家庭基站配置服务器的通信系统,上述方法包括响应于来自家庭基站的接入网络请求,认证授权计费服务器生成随机数,并将随机数发送给家庭基站和家庭基站配置服务器;认证授权计费服务器接收来自家庭基站的公用加密数据和来自家庭基站配置服务器的鉴别数据;认证授权计费服务器根据公用加密数据和鉴别数据对家庭基站进行鉴权。本发明提高了系统的安全性。
文档编号H04W88/00GK101730098SQ20081016934
公开日2010年6月9日 申请日期2008年10月10日 优先权日2008年10月10日
发明者尚尔刚, 杨威, 蒋昕 申请人:中兴通讯股份有限公司