专利名称:身份认证方法、可信任环境单元及家庭基站的制作方法
技术领域:
本发明实施例涉及无线通信技术领域,尤其涉及一种基于家庭基站可信任环境的 身份认证方法、可信任环境单元及家庭基站。
背景技术:
家庭基站(Home NodeB ;以下简称HNB)又称超微蜂窝基站,是相对于3G蜂窝移动 通信系统所采用的宏基站而提出的。HNB的发射功率仅+15db,室内覆盖范围50公尺。它 的作用类似于WiFi的AP,使得用户可以通过以太网连接家庭宽带网络。移动运营商发展 HNB,首先是为了改善室内覆盖,提高室内宽带接入速度,满足用户各种多媒体业务的需求; 再有是为了缓解宏基站的压力,使宏基站主要服务于室外用户;另外还可以应对无线运营 商和移动虚拟网络运营商的压力。使用者身份模块(Hosting Party Module ;以下简称HPM)是一个物理实体,与 HNB的物理设备是相分离的,其上包含有用于向移动网络运营商证明和认证使用者(以下 称为=Hosting Party)身份的信任状。使用者类似于手机用户,而Module类似于手机SIM 卡。HPM是由移动网络运营商提供给使用者的。HPM可以从HNB上移除,也就是说在更换 HNB时可以不用更换HPM。HPM使得HNB可以具备基于使用者的用户身份,而不需影响HNB 的生产者。HPM存在的最大意义在于,当HNB的设备生产商和HNB业务提供者分离时,有效 地对申请业务的用户进行认证。可信任环境(Trusted Enviroment ;以下简称TrE)是一个部署在HNB上的逻辑上 或物理上独立的实体,特指HNB上一个安全的存储环境,用来存储HNB上的一些敏感数据, 例如代表HNB设备身份的信任状等。在实现本发明实施例过程中,发明人发现现有技术中至少存在如下问题现有技术中,HNB的每次重新启动均需要与核心网执行全部的并且是重复的认证 过程,这无疑增加了网络侧服务器的负担。
发明内容
本发明实施例提供一种基于家庭基站可信任环境的身份认证方法、可信任环境单 元及家庭基站,以减少网络侧对HNB认证的负担。本发明实施例提供了一种基于家庭基站可信任环境的身份认证方法,包括对HNB进行设备身份认证;对设置在所述HNB上的TrE进行身份认证; 对所述HNB和所述TrE的身份绑定关系进行认证;对所述HNB进行非身份认证;获取并存储所述HNB的非身份认证数据于所述TrE中。本发明实施例提供了另一种基于家庭基站可信任环境的身份认证方法,包括对HNB进行设备身份认证;
对TrE进行身份认证;对所述HNB和所述TrE的身份绑定关系进行认证;通过所述TrE对所述HNB进行非身份认证。本发明实施例提供了再一种基于家庭基站可信任环境的身份认证方法,包括TrE接收UE发送的UE身份认证请求;
通过所述TrE对UE进行身份认证。本发明实施例提供了一种可信任环境单元,包括认证数据存储模块,用于存储HNB的非身份认证数据;认证模块,用于根据所述认证数据存储模块存储的HNB的非身份认证数据,执行 HNB的非身份认证。本发明实施例还提供了一种家庭基站,包括一 TrE单元,在所述TrE单元上设置 有认证数据存储模块,用于存储HNB的非身份认证数据;认证模块,用于根据所述认证数据存储模块存储的HNB的非身份认证数据,执行 HNB的非身份认证。本发明实施例充分利用了 TrE的特性,将首次对HNB认证后的非身份认证数据存 储于TrE,当HNB重新启动时,可以通过TrE执行相关的非身份认证,从而减轻了网络侧对 HNB认证的负担。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以 根据这些附图获得其他的附图。图1为本发明基于家庭基站可信任环境的身份认证方法实施例一的流程图;图2为本发明基于家庭基站可信任环境的身份认证方法实施例二的信令流程图;图3为本发明基于家庭基站可信任环境的身份认证方法实施例三的信令流程图;图4为本发明基于家庭基站可信任环境的身份认证方法实施例四的信令流程图;图5为本发明基于家庭基站可信任环境的身份认证方法实施例五的信令流程图;图6为本发明基于家庭基站可信任环境的身份认证方法实施例六的流程图;图7为本发明基于家庭基站可信任环境的身份认证方法实施例七的信令流程图;图8为本发明基于家庭基站可信任环境的身份认证方法实施例八的信令流程图;图9为本发明基于家庭基站可信任环境的身份认证方法实施例九的信令流程图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本 发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实 施例,都属于本发明保护的范围。为使本发明实施例的目的、技术方案和优点更加清楚,以下本发明实施例的网络类型可以为GSM网络、CDMA网络、WCDMA网络、Wimax网络、TD-SCDMA网络或LTE网络等。无线接入设备的类型可以为家庭基站、微型基站Pico、UMTS AP, WiMAX Femto基站或WiMAX 宏基站等。以下本发明实施例的用户设备类型可以为手机、笔记本电脑或PDA等移动终端。由于HNB —方面属于用户设备部署在用户家中,一方面属于运营商的设备,和宏 基站一样用于完成对用户的接入功能,这样的双重角色使得运营商对HNB的安全性要求很 高。因此当家庭基站加电运行并与运营商建立物理连接后,运营商需要对HNB执行相关认 证。现有技术对HNB的非身份的认证是基于非信任环境的,安全存储能力较低,没有充分利 用TrE的功能,一定程度上减小了 TrE的应用空间;而且由于TrE具备独立的身份信息,且 该身份信息可以与HNB和HPM相关联。当HNB在加载TrE后,网络侧对HNB的认证便要涉 及TrE的认证以及TrE与HNB关联的认证,本发明各实施例是如何实现网络侧对配置有TrE 的HNB的认证流程,以及基于具有较高安全存储性能的TrE如何实现HNB相关认证的本地 化。实施例一图1为本发明基于家庭基站可信任环境的身份认证方法实施例一的流程图,如图 1所示,本实施例所描述的是在HNB在初次启动时的认证流程,包括如下步骤步骤11、对HNB进行设备身份认证。网络侧首先需要对HNB设备本身的身份进行认证,对HNB的身份认证主要是基 于身份信任状的认证,HNB的身份信任状有两种呈现方式,一种是基于证书,另一种是基于 AKA信任状。认证过程主要是网络侧的安全网关向和AAA服务器与HNB进行认证流程的交互。步骤12、对设置在HNB上的TrE进行身份认证。对于TrE的认证同样可以采用基于证书的认证方式,认证过程主要是网络侧的安 全网关向和AAA服务器(验证、授权和记账服务器)与HNB上的TrE进行认证流程的交互。步骤13、对HNB和TrE的身份绑定关系进行认证。绑定关系的认证主要是通过AAA服务器来完成,AAA服务器根据TrE的身份标识, 查询其事先存储的绑定关系,再通过HNB发送的HNB身份标识相比较,从而验证绑定关系。步骤14、对HNB进行非身份认证;其中,对HNB进行的非身份验证可以包括对HNB 上的HPM进行的身份认证、对HNB进行的位置认证以及对UE进行的身份验证。步骤15、获取并存储HNB的非身份认证数据于TrE中。与上述的非身份验证类型 相对应,非身份认证数据可以包括HPM的认证数据、HNB的位置认证数据以及UE认证数据。当非身份认证成功后,将网络侧维护的一部分认证数据(主要是有关非身份认证 的相关认证数据)下载到HNB本地的TrE中。当HNB重启动或重认证时,非身份认证过程 就可以在HNB本地的TrE中进行了,这样充分发挥了 TrE的功能,并且也使得重启动或重认 证过程不需要核心网的参与,减少了网络侧的负担。实施例二图2为本发明基于家庭基站可信任环境的身份认证方法实施例二的信令流程图, 如图2所示,本实施例将详细描述HNB在初次启动时的认证流程,具体包括如下步骤步骤101、HNB与安全网关(SGW)之间建立IKE_SA_INIT (IKE认证初始化)连接。
步骤102、HNB向SGW发送IKE_AUTH_REQ (IKE鉴权请求)认证请求,该请求中携带 HNB和TrE的身份标识。这里需要说明的是HNB的身份信任状有两种呈现方式,一种是基于 证书,另一种是基于AKA信任状。本实施例描述的是基于AKA信任状的情况。如果采用基 于证书的认证机制,则在HNB和SGW之间需要进行证书校验过程。步骤103、SGW对TrE的身份进行验证。对于TrE的认证是采用基于证书的认证方式。步骤104、SGW 向 AAA 服务器发送 Authentication Request/Identity (鉴权请求) 请求,该请求中携带HNB和TrE的身份标识。步骤105、AAA服务器执行对HNB身份认证;具体的身份认证过程可以类似如下过 程AAA服务器发起AKA(认证和密钥协商协议)身份认证挑战请求,并获取AV(鉴权向量), 运行aAKA算法,接受HNB的身份认证挑战响应,从而实现HNB和网络侧之间的双向认证。
步骤106、AAA服务器对HNB与TrE的绑定关系进行认证;具体的绑定关认证过程 可以类似如下过程AAA从相关数据库网元(如HLR)获取HNB和TrE的绑定关系,AAA服务 器根据HNB传来的TrE的身份标识,查询其事先存储的绑定关系,与接收到的HNB身份标识 相比较,从而验证其绑定关系。步骤107、AAA服务器向SGW发送TrE身份认证成功和绑定关系认证成功响应 (Authentication Response/success)。 步骤108、SGff通过IKE_AUTH_RES (IKE鉴权响应)消息通知HNB认证成功。步骤109、HNB接到认证成功消息后触发HNB的平台完整性认证。步骤110、HNB和完整性认证服务器之间进行HNB平台完整性的认证。完整性认证 需要网络侧存储HNB完整性的参考度量值,该数据存储在现有的网元上,例如可以在现有 的网元上新增存储功能,比如HLR,也可以存储在新增的网元上。在完整性认证结束后,HNB 和SGW之间便会建立相应的安全通道。步骤111、HNB和网络侧进行后续的相关非身份认证,比如HNB的位置认证,HPM的 认证,UE的身份认证等过程。同时AAA服务器需要向认证数据库获取用于进行非身份认证 的相关数据。步骤112、当非身份认证成功后,将AAA服务器维护的一部分认证数据(主要是用 于非身份认证的数据)下载到HNB本地的TrE中。这样,当HNB重启动或重认证时,认证过 程就在HNB本地的TrE中进行。需要说明的是,在本实施例以及以下的实施例中,在网络侧对HNB的认证过程中, 以AAA服务器和SGW服务器等网元进行了具体说明,但本发明实施例中对HNB的认证过程 不限于上述网元,本领域技术人员可以知道,也可以采用与上述网元相类似的其他网元来 执行相应的认证过程。本实施例在HNB首次启动后,通过与网络侧的SGW和AAA服务器的交互,完成了 HNB设备的身份认证、TrE身份认证、两者绑定关系以及平台完整性认证后,又进行了相关 的非身份认证,非身份认证成功后,便将网络侧维护的一部分认证数据(主要是有关非身 份认证的相关认证数据)下载到HNB本地的TrE中。当HNB重启动或重认证时,非身份认 证过程就可以在HNB本地的TrE中进行了,这样充分发挥了 TrE的功能,并且也使得重启动 或重认证过程不需要再与SGW和AAA服务器等网络侧服务器的交互,减少了网络侧的负担。
实施例三图3为本发明基于家庭基站可信任环境的身份认证方法实施例三的信令流程图,如图3所示,本实施例着重描述在HNB在初次启动时,网络侧对HPM的身份认证过程,是对 上述实施例二中的步骤111至步骤112的进一步详细的举例说明。HPM认证是指移动网络运营商对HNB的使用者的认证。通常有两个场景
场景A、HPM与HNB设备相绑定场景在该场景中,HNB设备认证完成,即完成HPM的认证。不需要额外的认证的步骤, EAP-AKA (可扩展认证协议-密钥协商协议)和证书认证,都可以用作HPM的认证,该方案适 用于HPM不可移动的场景。场景B、HPM与HNB设备相分离的认证场景,该场景下目前存在两个解决方案Bi、基于证书的HNB设备认证和基于EAP-AKA的HPM认证该方案首先在HNB和SGW之间利用各自证书进行设备认证,之后再进行EAP-AKA 的HPM认证。B2、HPM ID 和 HNB 设备 ID 的绑定HNB是一个嵌入了 HPM的设备。而每个设备有一个EI (设备号码)用来表示自己 身份。HNB-EI由生产商在出厂时设置在HNB中。网络侧的HLR会存储和每个HPM-ID对应 的HNB-EI记录,这个记录代表这HNB-EI和HPM-ID的绑定关系。AAA服务器会基于这个记 录执行绑定关系的认证。在本实施例基于HPM认证与HNB设备认证相分离的认证场景,可以不需要对HPM 与HNB设备的绑定关系进行认证。本实施例中,对HPM的身份认证过程包括如下步骤步骤1110、TrE获取HNB的HPM的身份标识,该过程可以通过HNB和TrE的接口来 实现。步骤1111、HNB向SGW发送IKE_AUTH_REQ (IKE鉴权请求)认证请求,该请求中携 带HPM和TrE的身份标识。步骤1112, SGff 向 AAA 服务器发送 Authentication Request/Identity (鉴权请 求),将通过发送Authentication Request/Identity请求,其中携带HPM和TrE的身份标 识。步骤1113、AAA服务器向HLR获取多个AV (鉴权向量)向量。步骤1114、AAA 服务器向 SGff 发起 EAP Request/AKA (SIM) challenge 请求(ΕΑΡ 请 求/AKA挑战)。步骤1115、SGW 通过 IKE_AUTH_RES (IKE 鉴权响应)消息将 EAPRequest/AKA (SIM) challenge请求发送给HNB。步骤1116、HNB 通过 IKE_AUTH_REQ (IKE 鉴权请求)消息返回 EAPIteponse/ AKA (SIM) challenge (ΕΑΡ 响应 /AKA 挑战)给 SGW。步骤1117、SGff 将 EAP R印onse/AKA (SIM) challenge 返回给 AAA 服务器。在步骤1114-步骤1117中,AAA服务器和HNB之间执行EAP-AKA认证流程,从而 完成对HPM进行认证。步骤1118、AAA服务器进行HPM和TrE绑定关系验证。AAA服务器基于HPM的身 份标识查询预先存储的绑定关系来验证TrE的身份标识。
步骤1119、AAA 服务器向 SGW 发送 Authentication Response/EAP-AKA (SIM) success (HPM身份认证成功和绑定关系认证成功响应)。步骤1120、SGW通过IKE_AUTH_RES消息将HPM身份认证成功和绑定关系认证成功 响应发送给HNB.步骤1121、HNB向AHR(AP归属注册服务器)发起HNB的Boot request (初始启动 请求)步骤1122、AHR 通过 retrieving authentication data (获取认证数据)消息向 AAA索取HPM的认证向量,索取的认证向量可以是多个,用于保证每次本地认证都是新鲜 的。步骤1123、AAA服务器响应该请求,将其存储的未使用的AV向量(认证向量中包 含的参数XRES (期望的响应值),RAND (随机数),AUTN(认证令牌))返回给AHR。步骤1124、AHR向HNB发送Boot响应,携带HPM的认证数据;步骤1125、TrE安全存储HPM的认证数据,从而实现认证数据的本地化。本实施例在HNB首次启动后,通过与网络侧的SGW和AAA服务器的交互,完成了非 身份认证中的对HPM的身份认证,认证成功后将网络侧维护的一 HPM认证数据下载到HNB 本地的TrE中。当HNB重启动或重认证时,HPM的身份认证过程就可以在HNB本地的TrE 中进行了,不需要再与SGW和AAA服务器等网络侧服务器的交互,这样充分发挥了 TrE的功 能,减少了网络侧的负担。实施例四图4为本发明基于家庭基站可信任环境的身份认证方法实施例四的信令流程图, 如图4所示,本实施例着重描述在HNB在初次启动时,网络侧对HNB的位置认证的流程。同 样是对上述实施例二中的步骤111至步骤112的进一步详细的举例说明。具体包括如下步 骤步骤2110、HNB向AHR发起Boot请求,并携带HNB的当前位置信息。步骤2111、AHR执行位置认证。步骤2112、AHR向HNB发送Boot响应,并携带加密过的通过认证的位置信息。步骤2113、HNB在收到该位置信息后会将其传送给TrE。步骤2114、TrE验证信息来源,如果通过校验,就将该位置信息作为当前用户(对 应于当前的HPM)的位置信息的参考值,并进行安全存储。本实施例在HNB首次启动后,通过与网络侧的SGW和AAA服务器的交互,完成了非 身份认证中的HNB的位置认证,认证成功后将网络侧维护的一 HNB的位置认证数据下载到 HNB本地的TrE中。当HNB重启动或重认证时,HNB的位置认证过程就可以在HNB本地的 TrE中进行了,不需要再与SGW、AAA服务器以及AHR等网络侧服务器的交互,这样充分发挥 了 TrE的功能,减少了网络侧的负担。实施例五图5为本发明基于家庭基站可信任环境的身份认证方法实施例五的信令流程图, 如图5所示,本实施例着重描述在HNB在初次启动后,在UE初次发起认证的时的处理流程。 同样是对上述实施例二中的步骤111至步骤112的进一步详细的举例说明。具体包括如下 步骤
步骤3110、UE通过HNB发起身份认证请求,在该请求中携带身份标识信息,该请求 被发送至AAA服务器。步骤3111、AAA服务器可以运行AKA算法对UE执行身份认证。步骤3112、AAA服务器通过认证响应将经过加密的UE认证数据(可以为AAA中存 储的AV中的RAND、AUTN、XRES等参数,可以是多组)发送给HNB。步骤3113、HNB向UE发送认证成功的响应消息。步骤3114、HNB将加密的UE认证数据发送给TrE。步骤3115、TrE解密该认证数据,并安全存储UE认证数据。本实施例在HNB首次启动后,UE和HNB通过与网络侧的SGW和AAA服务器的交互, 完成了非身份认证中的UE的身份认证,认证成功后将网络侧维护的一 UE的身份认证数据 下载到HNB本地的TrE中。当HNB重启动或重认证时或者当UE需要重新认证时,UE的身 份认证过程就可以在HNB本地的TrE中进行了,进需要UE与HNB之间进行交互,不需要再 与SGW、AAA服务器以及AHR等网络侧服务器的交互,这样充分发挥了 TrE的功能,减少了网 络侧的负担。实施例六图6为本发明基于家庭基站可信任环境的身份认证方法实施例六的流程图,如图 6所示,本实施例着重描述在HNB重启动或重认证的认证流程,,通过上述实施例一至五可 知,在HNB在初次启动后,经过了网络侧对HNB的认证后,将网络侧维护的一部分认证数据 (主要是有关非身份认证的相关认证数据)下载到HNB本地的TrE中。这样在HNB重启动 或重认证时,相关的非身份认证,便可以直接在本地进行,而不需要与网络侧的参与。本实 施例具体包括如下步骤步骤21、对HNB进行身份认证;步骤22、对TrE进行身份认证;步骤23、对HNB和TrE的身份绑定关系进行认证;步骤21至步骤23具体可以采用实施例二中的步骤101至步骤110中的流程,在 此不再赘述。步骤24、通过TrE对HNB进行非身份认证。非身份认证可以包括对HPM的认证、 对HNB的位置认证数据以及对UE的认证。在本实施例中,TrE中存储了在HNB初次启动时的认证流程中,获取的非身份认证 数据。当HNB重启动或重认证时,可以基于本地TrE中存储的非身份认证数据执行相关的 非身份认证。不需要再与SGW、AAA服务器以及AHR等网络侧服务器的交互,这样充分发挥 了 TrE的功能,减少了网络侧的负担。实施例七图7为本发明基于家庭基站可信任环境的身份认证方法实施例七的信令流程图, 如图7所示,本实施例着重描述在HNB重启动或重认证时对HPM的身份认证流程,本实施例 所描述的认证流程是对实施例六中的步骤24的具体的示例性描述,HNB再次启动时同样也 要经历实施例六中的步骤21至步骤23。本实施例包括如下步骤步骤4110、HPM向TrE发起身份认证请求,可以通过HNB和TrE之间的接口完成。步骤4111、TrE查询其没有使用过的认证向量(AV)。
11
步骤4112、TrE向HPM发起认证挑战请求,该请求中携带有AV(其中,AV中包含 vRAND 和 AUTN 参数)。步骤4113、HPM根据接收的RAND和AUTN参数和其存储的密钥计算RES (根据密钥 及AUTN和RAND计算得来的响应值)。步骤4114、HPM返回认证挑战响应,在该响应中携带上述RES。步骤4115、TrE执行HPM身份认证。TrE对比接收到的RES和其存储的XRES(在 HNB初次启动时,完成认证过程后下载到TrE中的参数)的值,如果一致,则TrE对HPM认证 成功,并生成认证成功的认证结果,否则,生成认证失败的认证结果。步骤4116、TrE将认证结果返回给HPM。步骤4117、TrE将认证结果通知网络侧的AAA服务器。在本实施例中,TrE中存储了在HNB初次启动时的认证流程中,获取的HPM的身份 认证数据。当HNB重启动或重认证时,可以基于本地TrE中存储的HPM的身份认证数据执 行相关的HPM的身份认证。不需要再与SGW、AAA服务器以及AHR等网络侧服务器的交互, 这样充分发挥了 TrE的功能,减少了网络侧的负担。实施例八图8为本发明基于家庭基站可信任环境的身份认证方法实施例八的信令流程图, 如图8所示,本实施例着重描述在HNB重启动或重认证时对HNB的位置认证流程,本实施例 所描述的认证流程同样是对实施例六中的步骤24的具体的示例性描述,HNB重启动或重认 证时同样也要经历实施例六中的步骤21至步骤23。本实施例包括如下步骤步骤5110、HNB向TrE发送位置认证请求,该位置认证请求中携带有HNB的当前位
直{曰息;步骤5111、TrE执行位置认证。TrE将当前位置信息与TrE中存储的位置信息进 行比较,如果一致,则生成认证成功的位置认证结果,否则生成认证失败的位置认证结果;步骤5112、TrE将位置认证结果通知HNB。步骤5113、TrE将位置认证结果通知网络侧的AHR.在本实施例中,TrE中存储了在HNB初次启动时的认证流程中,获取的HNB的位置 认证数据。当HNB重启动或重认证时,可以基于本地TrE中存储的HNB的位置认证数据执 行相关的HNB的位置认证。不需要再与SGW、AAA服务器以及AHR等网络侧服务器的交互, 这样充分发挥了 TrE的功能,减少了网络侧的负担。实施例九图9为本发明基于家庭基站可信任环境的身份认证方法实施例九的信令流程图, 如图9所示,本实施例着重描述在当UE初次通过网络侧的身份认证后,UE再次进行认证时 的认证流程。在HNB的初次启动后,如果某一 UE已经进行了与网络侧的身份认证,则与该 UE相关的UE认证数据已经存储在了本地的TrE中,这样当HNB再次接到同一 UE的身份认 证请求时,便可以通过TrE直接完成认证。UE进行的再次身份认证可以是在HNB初次启动 后,也可以是HNB重启动或重认证时。本实施例的认证流程如下步骤6110、TrE接收UE发送的UE身份认证请求,该请求中携带有UE的身份标识。步骤6111、TrE将UE身份认证请求中携带的UE的身份标识与TrE中存储的UE的 身份标识进行比较,如果一致,则生成认证成功的UE身份认证结果,否则生成认证失败的UE身份认证结果。步骤6112、TrE将UE身份认证结果通知UE。步骤6113、TrE将UE身份认证结果通知网络侧的AAA服务器。在本实施例中,TrE中存储了在HNB初次启动时的认证流程中,获取的HNB的UE身 份认证数据。当HNB重启动或重认证时,可以基于本地TrE中存储的UE身份认证数据执行 相关的UE身份认证。不需要再与SGW、AAA服务器以及AHR等网络侧服务器的交互,这样充 分发挥了 TrE的功能,减少了网络侧的负担。实施例十本实施例为TrE单元的实施例,该TrE单元包括认证数据存储模块和认证模块。认 证数据存储模块,用于存储HNB的非身份认证数据;认证模块,用于根据认证数据存储模块 存储的HNB的非身份认证数据,执行HNB的非身份认证。其中,认证数据存储模块可以包括HPM认证数据存储模块和/或UE认证数据存 储模块和/或HNB位置认证数据存储模块。认证模块包括HPM身份认证模块和/或HNB位 置认证模块和/或UE身份认证模块。其中,HPM身份认证模块执行对HPM的身份认证时, 需要调用HPM认证数据存储模块中存储的数据,同样,HNB位置认证模块和HNB位置认证数 据存储模块,UE身份认证模块与UE认证数据存储模块也具有相应的对应关系。实施例i^一本发明实施例还提供了一种家庭基站,该家庭基站包括一如实施例十中所示的 TrE单元,在此不再赘述。通过上述实施例可以看出,本发明实施例充分利用了 TrE的特性,将首次对HNB认 证后的非身份认证数据存储于TrE,当HNB重新启动时,可以通过TrE执行相关的非身份认 证,从而减轻了网络侧对HNB认证的负担,同时也不需要利用HPM-ID和HNB-ID来实现设备 和用户身份的捆绑,避免了运营商要额外建立数据库的负担。需要说明的是本发明实施例中的非身份认证是指除了 HNB的设备身份认证和 TrE身份认证之外的,与HNB相关的一些认证,如HNB位置认证,HPM认证及接入HNB的UE 的认证。结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、 计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明 中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式 来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应 用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的 软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器 (ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或任意其它 形式的存储介质中。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管 参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以 对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这 些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
一种基于家庭基站可信任环境的身份认证方法,其特征在于,包括对家庭基站进行设备身份认证;对设置在所述家庭基站上的可信任环境进行身份认证;对所述家庭基站和所述可信任环境的身份绑定关系进行认证;对所述家庭基站进行非身份认证;获取并存储所述家庭基站的非身份认证数据于所述可信任环境中。
2.根据权利要求1所述的方法,其特征在于,对所述家庭基站进行非身份验证,获取并 存储所述家庭基站的非身份认证数据于所述可信任环境中具体为对所述家庭基站上的使 用者身份模块进行身份认证,获取并存储所述使用者身份模块的认证数据于所述可信任环 境中。
3.根据权利要求2所述的方法,其特征在于,对所述家庭基站上的使用者身份模块进 行身份认证,获取并存储所述使用者身份模块的认证数据于所述可信任环境中具体为通过所述可信任环境获取所述使用者身份模块的身份标识;发送使用者身份模块身份认证请求至验证、授权和记账服务器,该请求中携带有所述 使用者身份模块和所述可信任环境的身份标识;通过所述验证、授权和记账服务器执行对所述使用者身份模块的身份认证以及对所述 使用者身份模块与所述可信任环境的绑定关系认证;从AP归属注册服务器获取使用者身份模块认证数据,并存储于所述可信任环境中。
4.根据权利要求1所述的方法,其特征在于,对所述家庭基站进行非身份验证,获取并 存储所述家庭基站的非身份认证数据于所述可信任环境中具体为对所述家庭基站进行位 置认证,获取并存储所述家庭基站的位置认证数据于所述可信任环境中。
5.根据权利要求4所述的方法,其特征在于,对所述家庭基站进行位置认证,获取并存 储所述家庭基站的位置认证数据于所述可信任环境中具体为向AP归属注册服务器发起初始启动请求,所述初始启动请求中携带有家庭基站的当 前位置信息;通过所述AP归属注册服务器执行对所述家庭基站的位置认证; 接收AP归属注册服务器返回的初始启动响应,所述初始启动响应中携带有经过认证 后的位置信息;将所述认证后的位置信息存储在所述可信任环境中。
6.根据权利要求1所述的方法,其特征在于,对所述家庭基站进行非身份验证,获取并 存储所述家庭基站的非身份认证数据于所述可信任环境中具体为对UE进行身份验证,获 取并存储所述UE的认证数据于所述可信任环境中。
7.根据权利要求6所述的方法,其特征在于,对UE进行身份验证,获取并存储所述UE 的认证数据于所述可信任环境中具体为接收所述UE发起UE认证请求,并转发至验证、授权和记账服务器,所述UE认证请求中 携带有所述UE的身份标识信息;通过所述验证、授权和记账服务器对所述UE进行身份认证; 接收所述验证、授权和记账服务器返回的UE认证数据; 将所述UE认证数据存储在所述可信任环境中。
8.根据权利要求1所述的方法,其特征在于,在对所述家庭基站和所述可信任环境的 身份绑定关系进行认证后,还包括对家庭基站的平台完整性进行认证。
9.一种基于家庭基站可信任环境的身份认证方法,其特征在于,包括 对家庭基站进行设备身份认证;对可信任环境进行身份认证;对所述家庭基站和所述可信任环境的身份绑定关系进行认证; 通过所述可信任环境对所述家庭基站进行非身份认证。
10.根据权利要求9所述的方法,其特征在于,通过所述可信任环境对所述家庭基站进 行非身份认证具体为通过所述可信任环境对所述家庭基站上的使用者身份模块进行身份认证。
11.根据权利要求10所述的方法,其特征在于,通过所述可信任环境对所述家庭基站 上的使用者身份模块进行身份认证具体为所述使用者身份模块向所述可信任环境发起认证请求;所述可信任环境向所述使用者身份模块发起认证挑战请求,该请求中携带有RAND和 AUTN参数;所述使用者身份模块根据其存储的密钥计算RES ; 所述使用者身份模块发起认证挑战响应,该响应中携带RES参数; 所述可信任环境判断所述RES和XRES的值是否一致,如果一致,则生成认证成功的使 用者身份模块身份认证结果,否则生成认证失败的使用者身份模块身份认证结果;所述可信任环境将所述使用者身份模块身份认证结果返回给所述使用者身份模块; 所述可信任环境将所述使用者身份模块身份认证结果通知验证、授权和记账服务器。
12.根据权利要求9所述的方法,其特征在于,通过所述可信任环境对所述家庭基站进 行非身份认证具体为通过所述可信任环境对所述家庭基站进行位置认证。
13.根据权利要求12所述的方法,其特征在于,通过所述可信任环境对所述家庭基站 进行位置认证具体为所述家庭基站向所述可信任环境发送位置认证请求,该位置认证请求中携带有所述家 庭基站的当前位置信息;所述可信任环境将所述当前位置信息与所述可信任环境中存储的位置信息进行比较, 如果一致,则生成认证成功的位置认证结果,否则生成认证失败的位置认证结果; 所述可信任环境将所述位置认证结果通知AP归属注册服务器。
14.根据权利要求9所述的方法,其特征在于,通过所述可信任环境对所述家庭基站进 行非身份认证具体为通过所述可信任环境对UE进行身份认证。
15.一种基于家庭基站可信任环境的身份认证方法,其特征在于,包括 可信任环境接收UE发送的UE身份认证请求;通过所述可信任环境对UE进行身份认证。
16.根据权利要求15所述的方法,其特征在于,所述UE身份认证请求中携带有UE的身 份标识,所述通过所述可信任环境对UE进行身份认证具体为所述可信任环境将所述UE身份认证请求中携带的UE的身份标识与所述可信任环境中存储的UE的身份标识进行比较,如果一致,则生成认证成功的UE身份认证结果,否则生成认证失败的UE身份认证结果;所述可信任环境将所述UE身份认证结果通知验证、授权和记账服务器。
17.一种可信任环境单元,其特征在于,包括认证数据存储模块,用于存储家庭基站的非身份认证数据;认证模块,用于根据所述认证数据存储模块存储的家庭基站的非身份认证数据,执行 家庭基站的非身份认证。
18.根据权利要求17所述的可信任环境单元,其特征在于,所述认证数据存储模块包 括使用者身份模块认证数据存储模块和/或UE认证数据存储模块和/或家庭基站位置认 证数据存储模块。
19.根据权利要求17所述的可信任环境单元,其特征在于,认证模块包括使用者身份 模块身份认证模块和/或家庭基站位置认证模块和/或UE身份认证模块。
20.一种家庭基站,其特征在于,包括一可信任环境单元,在所述可信任环境单元上设 置有认证数据存储模块,用于存储家庭基站的非身份认证数据;认证模块,用于根据所述认证数据存储模块存储的家庭基站的非身份认证数据,执行 家庭基站的非身份认证。
全文摘要
本发明实施例公开一种基于家庭基站可信任环境的身份认证方法、可信任环境单元及家庭基站。其中,该方法包括对HNB进行设备身份认证;对设置在所述HNB上的TrE进行身份认证;对所述HNB和所述TrE的身份绑定关系进行认证;对所述HNB进行非身份认证;获取并存储所述HNB的非身份认证数据于所述TrE中。本发明实施例充分利用了TrE的特性,将首次对HNB认证后的非身份认证数据存储于TrE,当HNB重新启动时,可以通过TrE执行相关的非身份认证,从而减轻了网络侧对HNB认证的负担。
文档编号H04W12/06GK101827361SQ200810175958
公开日2010年9月8日 申请日期2008年11月3日 优先权日2008年11月3日
发明者丁小燕, 张宁, 李茜, 王绍斌 申请人:华为技术有限公司