一种家庭基站安全接入网络的方法及系统的制作方法

专利名称：一种家庭基站安全接入网络的方法及系统的制作方法
技术领域：
本发明涉及通讯领域，具体而言，本发明涉及一种家庭基站安全 接入网络的方法及系统。
背景技术：
3GPP演进的分组系统(EPS, Evolved Packet System)由演进的 UTRAN ( E-UTRAN, Evolved Universal Terrestrial Radio Access Network,演进的陆地无线接入网)、MME(移动性管理单元，Mobility Management Entity )、 S画GW (月良务网关，Serving Gateway )、 PDN GW(P-GW， Packet Data Network GateWay，数据网络网关)，及其他支 撑节点组成。其中MME负责移动性管理、非接入层信令的处理、用 户的移动管理上下文的管理等控制面相关工作；S-GW是与 E-UTRAN相连的接入网关设备，在E-UTRAN和PDN GW之间转发 数据，并且负责对寻呼等待数据进行緩存。P-GW则是3GPP演进的 分组系统(EPS, Evolved Packet System )与PDN( Packet Data Network) 网络的边界网关，负责PDN的接入、在EPS与PDN间转发凝:据等 功能。
根据安全需要，eNodeB (EvolvedNodeB,演进的节点) 一般放 置在安全的位置，即一般认为eNodeB是可信任的，且不易被攻击的。 但是，为了增加无线覆盖和无线带宽， 一种家庭基站(Home eNodeB) 的概念被提出。这种Home eNodeB可作为热点覆盖，被放置在公共 场所，如商场、机场等地，或作为家庭网关直接放置在居民家中，以 增加用户感受。上述场景中，HomeeNodeB不归属于运营商，Home eNodeB的安全成为问题。为了防止非法Home eNodeB的接入，运营 商需要对之进行认证，并且，为了防止恶意攻击，运营商必须保证从
5Home eNodeB收到的所有数据都安全可靠。值得一提的是，从Home eNodeB到运营商网络的路径也通常认为是不安全的(通常通过 Internet接入到运营商网络)。如何解决Home eNodeB安全接入网络 成为尚待解决的问题。

发明内容
针对现有技术中存在的问题，本发明提供了一种家庭基站安全接 入网络的方法及系统。
本发明提供的 一种家庭基站安全接入网络的方法为
一种家庭基站安全接入网络的方法，应用于由家庭基站网关、演 进的分组系统EPS组成的网络中，该方法包括
家庭基站接入所述网络，家庭基站网关对家庭基站进行接入认 证，在所述认证过程中产生家庭基站密钥信息，并将所述家庭基站密 钥信息发送给移动性管理实体MME;
MME根据所述家庭基站密钥信息生成家庭基站和服务网关间的 用户面安全联盟，并将所述用户面安全联盟发送给家庭基站和服务网
关；
所述家庭基站利用所述用户面安全联盟接入所述服务网关。 进一步地，其中，所述家庭基站网关接入所述网络，家庭基站网
关对所述家庭基站接入认证包括
家庭基站选择家庭基站网关，发起与家庭基站网关之间建立IP 安全隧道，在所述建立IP安全隧道过程中，鉴权认证计费服务器对 家庭基站进行认证。
进一步地，其中，鉴权认证计费服务器对家庭基站进行认证过程 中，生成根密钥，并将所述根密钥发送给家庭基站网关，所述家庭基 站网关根据所述根密钥生成家庭基站密钥信息，所述家庭基站密钥信 息包括用户面根密钥。
进一步地，其中，所述MME根据所述家庭基站密钥信息生成家 庭基站和服务网关间的用户面安全联盟，并将所述用户面安全联盟发 送给家庭基站和服务网关包括MME根据^^'收到的所述用户面根密钥计算生成用户面密钥，并 为家庭基站和服务网关选择生成用户面安全联盟，并将所述用户面安 全联盟发送给服务网关；并且
发送给所述家庭基站。
进一步地，在将所述用户面安全联盟发送给家庭基站和服务网关 之后，进一步包括
服务网关根据用户面安全联盟和用户面资源信息生成安全策略 库和安全联盟库；
家庭基站根据所述用户面安全联盟和所述用户面资源信息生成 用户面安全隧道所需的安全策略库和安全联盟库。
进一步地，若所述MME生成所述用户面安全联盟后更新所述用 户面安全联盟，其特征在于，所述方法包括
所述MME决定更新所述用户面安全联盟，将所述更新后的新用 户面安全联盟发送给家庭基站；家庭基站根据所述新用户面安全联盟 重新生成所述用户面安全隧道所需的安全策略库和安全联盟库；
所述MME将所述新用户面安全联盟发送给服务网关；服务网关 根据所述新用户面安全联盟重新生成所述用户面安全隧道所需的安 全策略库和安全联盟库。
进一步地，所述MME接收到所述家庭基站网关发送的用户面根 密钥更新请求后决定更新所述用户面安全联盟，所述家庭基站向所述 MME发送用户面根密钥更新请求包括
若所述家庭基站与家庭基站网关之间的安全联盟超时，所述家庭 基站网关向所述家庭基站关联的MME发送用户面根密钥更新请求。
进一步地，所述MME接收到所述用户面密钥才艮新.请求后更新所 述用户面安全联盟，所述家庭基站或服务网关请求更新用户面密钥包 括
家庭基站或服务网关通过对用户面安全隧道进行控制，达到预定 控制条件后，家庭基站向MME发送用户面密钥更新请求。本发明还提供了 一种家庭基站安全接入网络的系统，所述系统包
括
认证模块，位于家庭基站网关中，用于对家庭基站进行接入认证， 在所述认证过程中产生家庭基站密钥信息，并将所述家庭基站密钥信 息发送给MME;
用户面安全联盟构造模块，位于MME中，用于根据所述家庭基 站密钥信息生成家庭基站和服务网关间的用户面安全联盟，并将所述 用户面安全联盟发送给家庭基站和服务网关；
上述的系统，其中，所述用户面安全联盟构造模块还用于根据接 收到所述家庭基站网关发送的用户面根密钥更新请求后决定更新所 述用户面安全联盟，或者，所述用户面安全联盟构造模块接收到所述 用户面密钥根新请求后更新所述用户面安全联盟。
应用本发明的方法，保证了 Home eNodeB安全接入了网络，同 时，减少了用户面的跳数，即用户面可从Home eNodeB直接接入 Serving Gateway而不需经过中间节点Home eNodeB Gateway。


图l是本发明所应用的系统架构图2是Home eNodeB认证和注册流程图3是UE初始注册的流程图4是MME更新用户面安全联盟的流程图5是用户面根密钥的更新流程图；；
图6是Home eNodeB或Serving Gateway请求更新用户面密钥流 程图。
具体实施例方式
下面结合附图对发明所述的方法及系统祐支进一步的详细说明。
本发明所应用的系统架构图如图1所示，其主要包括
202 Home eNodeB:不归属于运营商的eNodeB，在接入运营商
8网络前必'须对之进行认证，与核心网交互的信令和H据均须加密保 护。
204 Home eNodeB Gateway (家庭基站网关)提供对Home eNodeB的管理功能，包括对Home eNodeB的认证、控制面信令的加 密、控制面信令转发、用户面安全联盟生成等。当支持Sl接口的负 荷分担时，Home eNodeB Gateway还具有MME的选择功能。
206 SEGW (安全网关模块)位于204逻辑实体中的安全网关模 块，负责对Home eNodeB的认证、控制面信令的加密、用户面安全 联盟的生成。
208 HBS-C ( Home Base Station Controller,家庭基站控制器)位 于204逻辑实体中的Home eNodeB管理才莫块，负责Home eNodeB的 注册、管理，负责MME的选择。
210 MME ( Mobility Management entity,移动性管理实体)其功 能包括对用户的认证、上下文管理、,动性管理、会话管理、承载管 理等功能。除此之外，该实体还负责用户面安全联盟的分发。
212 Serving Gateway (S-GW，月良务网关)其功能包括用户面数 据的转发、承载管理、和Home eNodeB间数据加密等功能。
214 SEGW:位于212中的安全网关模块，负责Home eNodeB和 Serving Gateway间的凄允据力口密。
216HSS(归属用户服务器)用于保持用户签约数据，生成安全 向量等功能。
218 AAA服务器或代理(AAA Server/Proxy):认证服务器，负 责对Home eNodeB和UE进行认证，它/人216中获取认证所需的安 全向量等信息。
备接口描述如下
IuH 4妄口 是Home eNodeB和Home eNodeB Gateway间的4妄口 ， 该接口提供对Home eNodeB的认证功能、Home eNodeB的管理消息、 SI接口消息的传递和加密等功能。
S1 -AP接口 是Home eNodeB和MME间的逻辑接口 ，该接口 用于传递Home eNodeB和MME间的控制信令及非接入层消息(NAS 消息,None Access Stratum )。S1画AP承接口 是Home eNodeB Gateway和MME间的4妄口 ，'该 接口提供用户面安全联盟的分发、S1-AP消息的传递等功能。
S1 -UP接口 是Home eNodeB和Serving Gateway间的用户面接-口，该接口提供用户面数据的加密。
S11 *接口 是MME与Serving Gateway间的接口 ，该接口还提 供用户面安全联盟的分发功能、MME与Serving Gateway间控制信令 的传递等功能。
Wm接口 是位于Home eNodeB Gateway中的安全网关(SEGW) 与AAA服务器/代理之间的接口 ，用于完成对Home eNodeB的授权 认证等功能。
DVGr 1妾口 AAA服务器/代理与HSS间的冲妄口 ，用于认证向量 和签约l史据的下载、更新等。
实施例一
图2是Home eNodeB认证和注册流程图。当Home eNodeB首次 接入网络时，Home eNodeB Gateway对之进行认证，并与之建立IPSec 安全联盟。在完成IPSec安全联盟的建立后，Home eNodeB发起到 Home eNodeB Gateway的注册流程。AAA H务器和HSS间的实现不 影响本发明，因此，在本实施例中将AAA服务器和HSS放置在同一 实体中，本实施例不详细描述AAA服务器和HSS间的接口实现。各 步骤详细描述如下
402 Home eNodeB首次接入网络时(如刚上电或重新起动等)， Home eNodeB根据配置或DNS解析选择适当的Home eNodeB Gateway。 Home eNodeB发起与Home eNodeB Gateway间建立IPSec
(IP Security, IP安全)安全隧道。在建立安全隧道的过程中，Home eNodeB Gateway对Home eNodeB进行认证。若认证协议是EAP
(Extensible Authentication Protocol, 可才广展i人i正十办i义),贝'J乂十Home eNodeB认证的实体为AAA服务器。AAA服务器根据需要从HSS中 获取认证向量、用户签约数据等信息。若Home eNodeB Gateway和 AAA服务器不能直接接口 ，则可通过AAA代理服务器在他们之间转 发消息。在认证完成后，AAA服务器将生成根密钥，并将该根密钥通过AAA协议发生给Home eNodeB Gate由y。 Home eNodeB Gateway 根据该根密钥计算用户面根密钥。
404所有在Home eNodeB和Home eNodeB Gateway间传递的IP 包，包括Sl-AP消息、Home eNodeB管理消息等均需在上述安全隧 道中力口密传递。
406 Home eNodeB发起到Home eNodeB Gateway的注册。
实施例二
图3是UE初始注册的流程图。在UE注册过程中，Home eNodeB Gateway将为该UE选择MME,并且生成用户面安全耳关盟，Home eNodeB Gateway将用户面根密钥发生给MME, MME根据该用户面 根密钥生成用户面安全联盟，并将之分发给Home eNodeB和Serving Gateway 。
该流程图中，用户面安全联盟通过Sl-AP消息捎带给Home eNodeB,通过创建承载请求消息捎带给Serving Gateway。 实施例二详细流程描述如下
602 UE向Home eNodeB发送附着请求消息，该附着请求消息通 过RRC ( Radio Resource Control、无线资源控制)消息传递。
604 Home eNodeB将该附着请求消息通过Sl-AP消息发送给 Home eNodeB Gateway。
606 Home eNodeB Gateway为该UE选择MME。
608若该MME之前未与Home eNodeB Gateway建立连4妄，则 Home eNodeB Gateway根据实施例一 中步骤402认证时产生的根密钥 计算用户面加密所需的用户面4艮密钥。该过程由Home eNodeB Gateway中的安全网关模块和HBS-C模块协作完成。
610 Home eNodeB Gateway将步骤604收到的附着请求消息及 608步生成的用户面根密钥，通过S1-APW肖息发生给所选择的MME。
612 MME收到附着请求消息后对该UE进行认证，在此过程中 MME从HSS获取认证向量和用户签约信息，同时MME向HSS注 册为该UE服务。
614 MME为该UE选4奪合适的Serving Gateway。
ii616 MME根据需要使用步骤610收到的用户面根密钥计算用户 面加密所需的用户面密钥。
根据策略，该用户面安全可以是UE级别的，即每个UE对应一 条Home eNodeB与Serving Gateway间的安全隧道，也可以是网元级 别的，即在一对Home eNodeB和Serving Gateway之间建立一条安全 隧道，为所有由该对Home eNodeB和Serving Gateway服务的UE共 享。若安全隧道是网元级别，则MME判断所选eNodeB和Serving Gateway之间是否已建立安全隧道，若安全隧道不存在，或安全隧道 的密钥过期，则MME根据用户面根密钥重新计算新的用户面密钥； 否则，MME不需计算用户面密钥。若安全隧道是用户级别，则在附 着过程中，MME总是需要计算新的用户面密钥。
MME根据eNodeB和Serving Gateway能力为它们间的安全隧道 选择合适的安全算法、安全模式(如完整性保护、加密、隧道才莫式或 传输模式等)、加密范围(如UE级别或网元级别)等，MME将用户 面密钥、安全算法、安全模式、加密范围等信息组成用户面安全联盟。
MME向所选Serving Gateway发送创建7 义载请求，MME将上述 用户面安全联盟发送给Serving Gateway。
618 Serving Gateway为该UE分配用户面资源。Serving Gateway 保存用户面安全联盟。根据用户面安全联盟和用户面资源信息， Serving Gateway生成安全隧道所需的安全策略库和安全联盟库。 Serving Gateway将相应的用户面资源信息，如GTP隧道的上行TEID、 上行IP地址等信息发送给MME。
620 MME向Home eNodeB发送创建承载请求，在该消息中， MME将用户面安全联盟信息和步骤618中Serving Gateway分配的用 户面资源信息发送给Home eNodeB。 Home eNodeB 4艮据该信息生成 用户面安全隧道所需的安全策略库和安全耳关盟库。Home eNodeB为 该UE分配无线资源和Sl-UP接口资源。
622 Home eNodeB将Sl-UP接口资源信息通过承载更新消息发 生给Serving Gateway 。
Serving Gateway保持Sl-UP接口资源信息，并根据该资源信息 更新本地的用户面安全策略库和安全联盟库。Serving Gateway向Home eNodeB发生7 义载更新确-〖人消息。'
该步骤中的消息均经过MME中转，MME将其中的S1 -UP接口 资源信息记录在本地数据库。
624至此，在Home eNodeB和Serving GW之间创建了用户面， 并建立了用户面安全隧道。
626 MME向UE发生附着确认消息。UE附着流程结束。
实施例三
图4是MME更新用户面安全联盟的流程图。该流程适用于UE 级别的用户面安全和网元级别的用户面安全，流程图详述如下
802MME决定需要更新用户面安全联盟。比如，MME收到来自 Home eNodeB Gateway的用户面才艮密钥更新i貪求。MME根据用户面 根密钥生成新的用户面加密密钥。MME可根据需要决定是否需改变 安全联盟中的其他参数，如安全算法等。MME生成新的用户面安全 联盟。
804 MME将新用户面安全4关盟发生症会Home eNodeB。 806 Home eNodeB才艮据步骤804收到新的用户面安全联盟及现有 的用户面安全4关盟生成新的用户面策略库和用户面安全联盟库。 Home eNodeB同时保存新加密信息和旧加密信息。Home eNodeB仍 然使用旧加密信息对上行数据包加密；Home eNodeB尝试新旧两套 加密信息对下行数据包的解密，哪套成功用哪套。当Home eNodeB 收到使用新加密信息加密的下行数据包后，Home eNodeB启用新加 密信息加密上行数据包，此时，Home eNodeB可以删除旧加密信息。 808 MME向Serving GW发送新用户面安全联盟。 810 Serving GW根据步骤808收到新的用户面安全联盟及现有的 用户面安全联盟生成新的用户面策略库和用户面安全耳关盟库。Serving Gateway同时保存新加密信息和旧加密信息。Serving Gateway使新加 密信息对下行数据包加密；Serving Gateway尝试新旧两套加密信息对 上行数据包的解密。当Serving Gateway收到使用新加密信息加密的 上行数据包后，Serving Gateway删除旧加密信息。
13实施例四
图5是用户面根密钥的更新流程图。当Home eNodeB Gateway 对Home eNodeB重新认证后，Home eNodeB Gateway根据策略决定 是否需向该Home eNodeB所关联的MME更新用户面才艮密钥。该流 程是Home eNodeB Gateway决定要更新用户面才艮密钥的流程。在 Home eNodeB Gateway中需保存Home eNodeB所关耳关的MME的列 表，该列表中的MME为驻留在该HomeeNodeB中的某一UE服务。 实施例四的详细步骤描述如下
1002 Home eNodeB与Home eNodeB Gateway间的安全耳关盟更 新。当安全联盟即将超时，可由Home eNodeB或Home eNodeB Gateway触发该过禾呈。该过禾呈结束后，Home eNodeB Gateway为该 Home eNodeB所关联的每个MME计算新的用户面根密钥。
1004 Home eNodeB Gateway向该Home eNodeB所关联的每个 MME发送用户面根密钥更新消息。
1006 MME在收到来自Home eNodeB Gateway的用户面才艮密钥 更新消息后l吏用实施例三所描述的流禾呈更新Home eNodeB和Serving Gateway中的用户面安全联盟。
实施例五
图6是Home eNodeB或Serving Gateway请求更新用户面密钥流 程图。Home eNodeB或Serving Gateway可才艮据通过该用户面安全隧 道的数据包数决定向MME发起更新用户面密钥的过程。实施例五的 详细步骤描述如下
1202a Home eNodeB对通过用户面安全隧道的每个数据包进行 计数，若计数器超过某一阀值，Home eNodeB向MME发送请求更新 用户面密钥消息。Home eNodeB还可启动定时器，若用户面密钥的 使用寿命超过一定时长时，Home eNodeB也可向MME发送请求更新 用户面密钥消息。
1202b同样，Serving Gateway亦可能发起更新用户面密钥请求。 触发条件类似Home eNodeB的触发条件。
1204 MME收到更新用户面密钥请求消息后发起实施例三所描
14述用户面安全联盟更新流程，对用户面密钥进行更新。
系统实施例
本发明还提供了 一种家庭基站安全接入网络的系统，所述系统包
括
认证模块，位于家庭基站网关中，用于对家庭基站进行接入认证， 在所述认证过程中产生家庭基站密钥信息，并将所述家庭基站密钥信 息发送给MME;
用户面安全联盟构造模块，位于MME中，用于根据所述家庭基 站密钥信息生成家庭基站和服务网关间的用户面安全联盟，并将所述 用户面安全联盟发送给家庭基站和服务网关。
在该系统中，所述用户面安全联盟构造模块还用于根据接收到所 述家庭基站网关发送的用户面根密钥更新请求后决定更新所述用户 面安全联盟，或者，所述用户面安全联盟构造;f莫块接收到所述用户面 密钥根新请求后更新所述用户面安全联盟。
以上所述仅为本发明的优选实施例而已，并不用于限制本发明， 对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本 发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应 包含在本发明的保护范围之内。
权利要求
1、一种家庭基站安全接入网络的方法，应用于由家庭基站网关、演进的分组系统EPS组成的网络中，其特征在于，所述方法包括家庭基站接入所述网络，家庭基站网关对家庭基站进行接入认证，在所述认证过程中产生家庭基站密钥信息，并将所述家庭基站密钥信息发送给移动性管理实体MME；MME根据所述家庭基站密钥信息生成家庭基站和服务网关间的用户面安全联盟，并将所述用户面安全联盟发送给家庭基站和服务网关；所述家庭基站利用所述用户面安全联盟接入所述服务网关。
2、 根据权利要求1所述的方法，其特征在于，所述家庭基站网关接入所述网络，家庭基站网关对所述家庭基站接入认证包括家庭基站选择家庭基站网关，发起与家庭基站网关之间建立IP安全隧道，在所述建立IP安全隧道过程中，鉴权认证计费服务器对家庭基站进行认证。
3、 根据权利要求2所述的方法，其特征在于，鉴权认证计费服务器对家庭基站进行认证过程中，生成根密钥，并将所述根密钥发送给家庭基站网关，所述家庭基站网关根据所述根密钥生成家庭基站密钥信息，所述家庭基站密钥信息包括用户面根密钥。
4、 根据权利要求3所述的方法，其特征在于，所述MME根据所述家庭基站密钥信息生成家庭基站和服务网关间的用户面安全联盟，并将所述用户面安全联盟发送给家庭基站和服务网关包括MME根据接收到的所述用户面根密钥计算生成用户面密钥，并为家庭基站和服务网关选择生成用户面安全联盟，并将所述用户面安全联盟发送给服务网关；并且MME将所述用户面安全联盟和所述服务网关的用户面资源信息发送给所述家庭基站，。
5、 根据权利要求4所述的方法，其特征在于，在将所述用户面安全联盟发送给家庭基站和服务网关之后，进一步包括服务网关根据用户面安全联盟和用户面资源信息生成安全策略库和安全联盟库；家庭基站根据所述用户面安全联盟和所述用户面资源信息生成用户面安全隧道所需的安全策略库和安全联盟库。
6、 根据权利要求4所述的方法，若所述MME生成所述用户面安全联盟后更新所述用户面安全联盟，其特征在于，所述方法包括所述MME决定更新所述用户面安全联盟，将所述更新后的新用户面安全联盟发送给家庭基站；家庭基站根据所述新用户面安全联盟重新生成所述用户面安全隧道所需的安全策略库和安全联盟库；所述MME将所述新用户面安全联盟发送给服务网关；服务网关#4居所述新用户面安全耳关盟重新生成所述用户面安全隧道所需的安全策略库和安全联盟库。
7、 根据权利要求6所述的方法，其特征在于，所述MME接收到所述家庭基站网关发送的用户面根密钥更新请求后决定更新所述用户面安全联盟，所述家庭基站向所述MME发送用户面根密钥更新请求包括若所述家庭基站与家庭基站网关之间的安全联盟超时，所述家庭基站网关向所述家庭基站关联的MME发送用户面根密钥更新请求。
8、 根据权利要求6所述的方法，其特征在于，所述MME接收到所述用户面密钥根新请求后更新所述用户面安全联盟，所述家庭基站或服务网关请求更新用户面密钥包括家庭基站或服务网关通过对用户面安全隧道进行控制，达到预定控制条件后，家庭基站向MME发送用户面密钥更新请求。
9、 一种家庭基站安全接入网络的系统，其特征在于，所述系统包括认证模块，位于家庭基站网关中，用于对家庭基站进行接入认证，在所述认证过程中产生家庭基站密钥信息，并将所述家庭基站密钥信息发送给MME;用户面安全联盟构造模块，位于MME中，用于根据所述家庭基站密钥信息生成家庭基站和服务网关间的用户面安全联盟，并将所述用户面安全联盟发送给家庭基站和服务网关。
10、 根据权利要求9所述的系统，其特征在于，所述用户面安全联盟构造模块还用于根据接收到所述家庭基站网关发送的用户面根密钥更新请求后决定更新所述用户面安全联盟，或者，所述用户面安全联盟构造模块接收到所述用户面密钥根新请求后更新所述用户面安全联盟。
全文摘要
本发明旨在一种家庭基站安全接入网络的方法，应用于由家庭基站网关、演进的分组系统EPS组成的网络中，包括家庭基站接入所述网络，家庭基站网关对家庭基站进行接入认证，在所述认证过程中产生家庭基站密钥信息，并将所述家庭基站密钥信息发送给MME；MME根据所述家庭基站密钥信息生成家庭基站和服务网关间的用户面安全联盟，并将所述用户面安全联盟发送给家庭基站和服务网关；家庭基站利用所述用户面安全联盟接入所述服务网关；本发明还提供了一种家庭基站安全接入网络的系统；应用本发明的方法，保证了家庭基站安全接入了网络，同时，减少了用户面的跳数。
文档编号H04W12/06GK101674578SQ200810216090
公开日2010年3月17日 申请日期2008年9月12日 优先权日2008年9月12日
发明者霖 刘, 宗在峰, 敏 方, 朱进国, 王卫斌 申请人:中兴通讯股份有限公司