安全隧道建立方法和基站的制作方法

文档序号:7596947阅读:296来源:国知局
专利名称:安全隧道建立方法和基站的制作方法
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种安全隧道建立方法和基站。
背景技术
对于企业网和校园网等多家庭基站(Home NodeB/Home evolvedNodeB ;以下简称H(e)NB)部署的场景,H(e)NB之间的切换将会频繁发生。为了保证业务的连续性,提高H(e)NB之间切换的成功率和减少切换时延,现有技术在H(e)NB之间建立直接接口来支持H(e)NB之间的移动性增强,而不通过安全网关(Security Gateway ;以下简称SeGW)。在现有的宏网络中,对于基站(evolved NodeB ;以下简称eNB)之间的直接接口,eNB之间可以通过证书认证的方式建立IPSec隧道来保证eNB之间直接接口的安全性。

但是,对于H(e)NB之间的直接接口,或者eNB与H(e) NB之间的接口,无法采用上述方式保证接口的安全性。

发明内容
本发明实施例提供一种安全隧道建立方法和基站,以实现家庭基站与家庭基站之间,或者家庭基站与宏基站之间通过共享密钥或证书方式建立因特网协议安全(InternetProtocol Security ;以下简称IPSeC)隧道,保证家庭基站与家庭基站之间,或者家庭基站与宏基站之间接口的安全性。本发明实施例提供一种安全隧道建立方法,包括第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共孚密钥;所述第一基站为家庭基站时,所述第~■基站为家庭基站或宏基站;或者,所述第一基站为宏基站时,所述第二基站为家庭基站;所述第一基站通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道,以保证所述第一基站与所述第二基站之间接口的安全性。本发明实施例还提供一种第一基站,包括获得模块,用于获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥;建立模块,用于通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道,以保证所述第一基站与所述第二基站之间接口的安全性。通过本发明实施例,第一基站可以获得用于验证第二基站证书的根证书或第二基站与第一基站之间的共享密钥,这样,第一基站就可以通过上述共享密钥或者上述用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I为本发明安全隧道建立方法一个实施例的流程图;图2为本发明安全隧道建立方法另一个实施例的流程图;图3为本发明安全隧道建立方法另一个实施例的流程图;图4为本发明安全隧道建立方法另一个实施例的流程图; 图5为本发明共享密钥更新方法一个实施例的流程图;图6为本发明共享密钥更新方法另一个实施例的流程图;图7为本发明安全隧道建立方法另一个实施例的流程图;图8为本发明安全隧道建立方法另一个实施例的流程图;图9为本发明第一基站一个实施例的结构示意图;图10为本发明第一基站另一个实施例的结构示意图;图11为本发明第一基站另一个实施例的结构示意图;图12为本发明第一基站另一个实施例的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
图I为本发明安全隧道建立方法一个实施例的流程图,如图I所示,该安全隧道建立方法可以包括步骤101,第一基站获得用于验证第二基站证书的根证书(RootCertificate)或者第二基站与该第一基站之间的共享密钥(Shared Key)。本实施例中,当第一基站为家庭基站时,第_■基站可以为家庭基站或宏基站;或者,当第一基站为宏基站时,第_■基站可以为家庭基站;也就是说,第一基站和第_■基站中至少有一个为家庭基站即可。其中,宏基站可以为eNB或其他类型的宏基站;家庭基站可以为HeNB或HNB,本实施例对此不作限定。步骤102,第一基站通过上述共享密钥或者上述用于验证第二基站证书的根证书与第二基站建立IPsec隧道,以保证第一基站与第二基站之间接口的安全性。本实施例的一种实现方式中,第一基站获得用于验证第二基站证书的根证书或者第二基站与该第一基站之间的共享密钥可以为第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网设备为第二基站与第一基站生成的共享密钥。本实现方式中,在核心网设备设置的共享密钥周期到期之后,第一基站可以接收核心网设备发送的该核心网设备为第二基站与第一基站生成的更新后的共享密钥;或者,在第一基站设置的共享密钥周期到期之后,第一基站可以向核心网设备请求更新共享密钥,然后接收核心网设备发送的该核心网设备根据第一基站的请求生成的更新后的共享密钥;或者,第一基站向第二基站发起因特网密钥交换(Internet Key Exchange ;以下简称IKE)协商时,如果发现第一基站或第二基站没有可用的共享密钥,则第一基站可以向核心网设备请求更新共享密钥,然后接收核心网设备发送的该核心网设备根据第一基站的请求生成的更新后的共享密钥。本实现方式中,当核心网设备为移动性管理实体(Mobility ManagementEntity ;以下简称MME)或家庭演进基站网关(HeNB Gateway ;以下简称HeNB Gff)时,第一基站可以接收MME或HeNB Gff发送的MME或HeNBGW为第二基站与第一基站生成的共享密钥;或者,在第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网 设备为第二基站与第一基站生成的共享密钥之前,第一基站还可以向MME或HeNB GW发送基站配置转发消息;这样,第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网设备为第二基站与第一基站生成的共享密钥可以为第一基站接收MME或HeNB GW发送的移动性管理实体配置转发消息,该移动性管理实体配置转发消息中携带上述用于验证第二基站证书的根证书,或者MME或HeNB Gff为第一基站和第二基站生成的共享密钥;该移动性管理实体配置转发消息是MME或HeNB GW接收到上述基站配置转发消息之后,根据该基站配置转发消息中的源节点标识和目的节点标识确定该基站配置转发消息的源节点和/或目标节点为家庭演进基站之后,将用于验证第一基站证书的根证书,或者MME或HeNB Gff为第一基站和第二基站生成的共享密钥发送给第二基站,在接收到第二基站发送的基站配置转发消息之后发送给第一基站的。本实现方式中,当核心网设备为家庭基站网关(HNB Gateway ;以下简称HNB Gff)时,第一基站可以接收HNB GW发送的该HNB GW为第二基站与第一基站生成的共享密钥;或者,第一基站接收核心网设备发送的该核心网设备为第二基站与第一基站生成的共享密钥之前,第一基站注册到HNB GW之后,如果检测到第二基站注册到该HNB GW,则第一基站可以向HNB GW请求第二基站的因特网协议(Internet Protocol ;以下简称IP)地址;这时,第一基站接收核心网设备发送的该核心网设备为第二基站与第一基站生成的共享密钥可以为第一基站接收HNB GW发送的响应消息,该响应消息携带第二基站的IP地址和该HNBGW预先为第一基站与第二基站生成的共享密钥。另外,第一基站接收核心网设备发送的核心网设备为第二基站与第一基站生成的共享密钥之前,第一基站可以注册到上述HNBGW,并向该HNB Gff发送第一基站检测到的邻区家庭基站的信息,该第一基站的邻区家庭基站包括第二基站;这样,第一基站接收核心网设备发送的核心网设备为第二基站与第一基站生成的共享密钥可以为第一基站接收HNB GW发送的该HNB GW上可用的邻区家庭基站的信息,以及该HN Gff为第一基站与第一基站的邻区家庭基站生成的共享密钥。本实现方式中,在HNB GW发现该HN GW控制的邻区家庭基站的信息没有更新到第一基站,且该HNB Gff上没有第一基站与更新后的邻区家庭基站的共享密钥之后,第一基站可以接收HNB GW通过家庭基站配置转发流程发送的更新后的邻区家庭基站的信息,以及该HNB Gff为第一基站与更新后的邻区家庭基站生成的共享密钥。本实现方式中,当核心网设备为HNB Gff时,第一基站接收核心网设备发送的用于验证第二基站证书的根证书之前,第一基站可以向HNB Gff发送家庭基站注册请求消息,这样,第一基站接收核心网设备发送的用于验证第二基站证书的根证书可以为第一基站接收HNB GW发送的家庭基站注册接受消息,该家庭基站注册接受消息携带上述用于验证第二基站证书的根证书。本实现方式中,当核心网设备为家庭基站管理系统(H(e)NB ManagementSystem ;以下简称H(e)MS)时,第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网设备为第二基站与第一基站生成的共享密钥之前,第一基站可以先与安全网关之间建立IPsec隧道;这样,第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网设备为第二基站与第一基站生成的共享密钥可以为在H(e)MS对第一基站的位置验证成功之后,第一基站接收H(e)MS通过家庭基站供应流程发送的上述用于验 证第二基站证书的根证书或者H(e)MS为第一基站与第一基站的邻区家庭基站生成的共享密钥;其中,该第一基站的邻区家庭基站包括第二基站。本实施例的另一种实现方式中,第一基站获得第二基站与第一基站之间的共享密钥之前,第一基站可以向MME或HeNB Gff发送基站配置转发消息,该基站配置转发消息携带第一基站的迪非-赫尔曼(Diffie-Hellman ;以下简称DH)组号和DH值,以便MME或HeNBGW将第一基站的DH组号和DH值携带在第一移动性管理实体配置转发消息中发送给第二基站;然后,第一基站可以接收MME或HeNB GW发送的第二移动性管理实体配置转发消息,该第二移动性管理实体配置转发消息携带第二基站选择的DH组号和DH值,该第二移动性管理实体配置转发消息是MME或HeNB Gff接收到第二基站发送的携带第二基站选择的DH组号和DH值的基站配置转发消息之后发送给第一基站的;这样,第一基站获得第二基站与第一基站之间的共享密钥可以为第一基站根据上述第二基站选择的DH组号和DH值生成上述共享密钥。 上述实施例中,第一基站可以获得用于验证第二基站证书的根证书或第二基站与第一基站之间的共享密钥,这样,第一基站就可以通过上述共享密钥或者用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。图2为本发明安全隧道建立方法另一个实施例的流程图,本实施例以第一基站为HeNBl,第二基站为HeNB2,核心网设备为MME或HeNB GW为例进行说明。本实施例中,MME或HeNB GW需具有共享密钥生成和分发功能,MME或HeNB GW可以通过配置转发(Configuration Transfer)功能来完成共享密钥的分发。配置转发功能是一个通过核心网在两个基站之间请求和传送配置信息(例如IP地址等)的功能。MME或HeNB GW可以通过移动性管理实体配置转发(MME Configuration Transfer)消息向建立直接接口的HeNBl与HeNB2分发共享密钥。如图2所示,该安全隧道建立方法可以包括步骤201,HeNBl希望与HeNB2建立直接接口时,HeNBl向MME或HeNB Gff发送基站配置转发(eNB Configuration Transfer)消息,以请求对端HeNB2的IP地址。步骤202,MME或HeNB Gff确定该基站配置转发消息的源节点和/或目标节点是HeNB之后,MME或HeNB Gff为HeNBl和HeNB2生成共享密钥。具体地,MME或HeNB GW可以通过基站配置转发消息中的源节点标识和目的节点标识来确定该基站配置转发消息的源节点和/或目标节点是HeNB。本实施例中,该基站配置转发消息的源节点为HeNBl,目标节点为HeNB2,因此该基站配置转发消息的源节点和目标节点均为HeNB。步骤203,MME或HeNB Gff向HeNB2发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带MME或HeNB Gff为HeNBl和HeNB2生成的共享密钥。步骤204,HeNB2向MME或HeNB Gff发送基站配置转发消息,该基站配置转发消息中携带HeNB2的IP地址。步骤205,MME或HeNB Gff向HeNBl发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带MME或HeNB Gff为HeNBl和HeNB2生成的共享密钥,以及HeNB2的IP地址。 步骤206,HeNBl与HeNB2通过上述共享密钥进行IKE协商,在HeNBl与HeNB2之间建立IPSec隧道,以保证HeNBl与HeNB2之间直接接口的安全性。本实施例中,在以下情况下需要更新共享密钥(I)MME或HeNB Gff设置共享密钥周期,在MME或HeNB Gff设置的共享密钥周期到期之后,MME或HeNB Gff生成新的共享密钥,并通过专用消息或移动性管理实体配置转发消息将更新后的共享密钥发送给HeNBl和HeNB2 ;(2) HeNBl或HeNB2上设置共享密钥周期,在HeNBl或HeNB2设置的共享密钥周期到期之后,HeNBl或HeNB2可以通过专用消息或基站配置转发消息向MME或HeNB Gff请求更新共享密钥,MME或HeNB Gff生成新的共享密钥之后,可以通过专用消息或移动性管理实体配置转发消息将更新后的共享密钥发送给HeNBl和HeNB2 ;(3) HeNBl向HeNB2发起IKE协商时,如果发现HeNBl或HeNB2没有可用的共享密钥,则HeNBl可以通过专用消息或基站配置转发消息向MME或HeNB GW请求更新共享密钥,MME或HeNB Gff生成新的共享密钥之后,可以通过专用消息或移动性管理实体配置转发消息将更新后的共享密钥发送给HeNBl和HeNB2。上述实施例中,HeNBl可以获得MME或HeNB Gff为HeNBl与HeNB2生成的共享密钥,进而HeNBl可以通过上述共享密钥与HeNB2建立IPsec隧道,从而可以保证HeNBl与HeNB2之间直接接口的安全性。图3为本发明安全隧道建立方法另一个实施例的流程图,本实施例以第一基站为HNBl,第二基站为HNB2,核心网设备为HNB GW为例进行说明。本实施例中,HNB GW需具有共享密钥生成和分发功能,HNB GW可以通过家庭基站配置转发(HNB ConfigurationTransfer)功能来完成共享密钥的分发。家庭基站配置转发功能提供了 HNB获取邻区HNB的IP地址的方法,HNB可以利用HNB Gff发送的IP地址与邻区HNB建立直接接口。进而HNB可以利用HNB GW发送给HNB的家庭基站应用协议注册接受(HNBApplication ProtocolRegistration Accept ;以下简称HNBAP RegistrationAccept)消息、家庭基站配置转发响应(HNB Configuration Transfer Response)消息或者家庭基站配置转发请求(HNBConfiguration Transfer Request)消息等将HNB GW生成的共享密钥分发给相应的邻区HNB。如图3所示,该安全隧道建立方法可以包括步骤301,HNBl进入运行模式,已经在HNB Gff注册。
步骤302,HNB2进入运行模式,并对邻区进行检测,获得HNB2的邻区HNB。其中,该HNB2的邻区HNB包括HNBI。步骤303,HNB2向HNB Gff注册,并将HNB2的IP地址,以及该HNB2检测到的邻区HNB的信息发送给HNB GW。
步骤304,HNB Gff保存HNB2的IP地址以及HNB2检测到的邻区HNB的信息,然后HNB Gff为HNB2以及该HNB2的邻区HNB生成共享密钥。步骤305,HNB Gff向HNB2发送该HNB Gff上可用的邻区HNB的信息,同时将HNB Gff为HNB2以及该HNB2的邻区HNB生成的共享密钥发给HNB2。步骤306,HNBI 检测到 HNB2。步骤307,HNBl向HNB Gff发送家庭基站配置转发请求消息来请求HNB2的IP地址。步骤308,HNB Gff向HNBl发送家庭基站配置转发响应消息,该家庭基站配置转发响应消息携带HNB2的IP地址,以及HNB Gff预先为HNBl和HNB2生成的共享密钥。具体地,如果在发送家庭基站配置转发响应消息之前,HNB GW上已有HNB GW为HNBl和HNB2生成的共享密钥,则HNB GW可以直接将该共享密钥携带在家庭基站配置转发响应消息中发送给HNBl ;如果在发送家庭基站配置转发响应消息之前,HNB GW上还没有为HNBl和HNB2生成共享密钥,则HNB Gff需要在发送家庭基站配置转发响应消息之前,先为HNBl和HNB2生成共享密钥,再将该共享密钥携带在家庭基站配置转发响应消息中发送给HNBl0步骤309,HNB Gff在某个时间点发现该HNB Gff控制的邻区HNB的信息没有更新到HNB1,并且HNB Gff上没有HNBl和更新后的邻区HNB的共享密钥,则HNB Gff为HNBl和更新后的邻区HNB生成共享密钥。步骤310,HNB-GW发起家庭基站配置转发流程向HNBl提供更新后的邻区HNB的信息,同时将HNB Gff为HNBl和更新后的邻区HNB生成的共享密钥发送给HNB1。步骤311,可选地,HNBI可以向HNB Gff提供更新的邻区HNB的信息。本实施例中,HNBl与HNB2后续可以通过HNB Gff分发的共享密钥来建立IPSec隧道,以保证HNBl与HNB2之间直接接口的安全性。需要说明的是,对于一个HNB来说,上述步骤301 步骤312可以不全部执行,只执行部分步骤也可,例如可以只执行步骤302、步骤303、步骤304、步骤305、步骤309、步骤310和步骤311,或者,可以只执行步骤301、步骤306、步骤307、步骤308、步骤309、步骤310和步骤311。但是不论执行全部步骤,还是部分步骤,均可以使两个相邻的HNB获得共
享密钥。本实施例中,在以下情况下需要更新共享密钥(I)HNB GW设置共享密钥周期,在HNB GW设置的共享密钥周期到期之后,HNB Gff生成新的共享密钥,并通过专用消息或家庭基站配置转发请求消息将更新后的共享密钥发送给HNBl和HNB2 ;⑵HNBl或HNB2上设置共享密钥周期,在HNBl或HNB2设置的共享密钥周期到期之后,HNBl或HNB2可以通过专用消息或家庭基站配置转发请求消息向HNB GW请求更新共享密钥,HNB GW生成新的共享密钥之后,可以通过专用消息或家庭基站配置转发响应消息将更新后的共享密钥发送给HNBl和HNB2 ;(3)HNBl向HNB2发起IKE协商时,如果发现HNBl或HNB2没有可用的共享密钥,则HNBl可以通过专用消息或家庭基站配置转发请求消息向HNB GW请求更新共享密钥,HNBGff生成新的共享密钥之后,可以通过专用消息或家庭基站配置转发响应消息将更新后的共享密钥发送给HNBl和HNB2。上述实施例中,HNBl可以获得HNB Gff为HNBl与HNB2生成的共享密钥,进而HNBl可以通过上述共享密钥与HNB2建立IPsec隧道,从而可以保证HNBl与HNB2之间直接接口的安全性。图4为本发明安全隧道建立方法另一个实施例的流程图,本实施例以基站为H(e)NB,核心网设备为H(e)MS为例进行说明。本实施例中,H(e)MS具有共享密钥生成和分发功能,H(e)MS可以在家庭基站供应(H(e)NBProvision)流程中,H(e)MS可以为H(e)NB与该H(e)NB的邻区H(e)NB生成共享密钥,然后将共享密钥与邻区列表一起提供给H(e) NB。如图4所示,该安全隧道建立方法可以包括步骤401,H (e) NB和安全网关之间建立IPSec隧道。步骤402,H(e)MS对H(e)NB进行位置验证,位置验证成功之后,H(e)MS通过家庭基站供应流程向H(e)NB发送配置参数,该配置参数中包括H(e) NB的邻区H(e)NB的信息,以及H (e) MS预先为H(e)NB与该H(e)NB的邻区H(e)NB生成的共享密钥。具体地,如果在发送配置参数之前,H(e)MS上已有H(e)MS为H(e) NB生成的共享密钥,则H (e) MS可以直接将该共享密钥携带在配置参数中发送给H (e) NB ;如果在发送配置参数之前,H(e)MS上还没有为H(e)NB生成共享密钥,则H(e)MS需要在发送配置参数之前,先为H(e)NB生成共享密钥,再将该共享密钥携带在配置参数中发送给H(e)NB。本实施例中,在H (e) NB设置的共享密钥周期到期或者H (e) NB的邻区更新之后,或者H(e)NB向邻区H(e)NB发起IKE协商,发现该H(e)NB或邻区H(e)NB没有可用的共享密钥之后,H (e) NB可以通过专用消息向H (e) MS请求更新共享密钥;或者,在H (e) MS设置的共享密钥周期到期或者该H (e) MS发现H (e) NB的邻区更新之后,该H (e) MS可以主动通过家庭基站供应流程或者专用消息向H(e)NB发送更新后的共享密钥。图5为本发明共享密钥更新方法一个实施例的流程图,如图5所示,该共享密钥更新方法可以包括步骤501,H(e)NB发现该H(e) NB设置的共享密钥周期到期或者H(e)NB的邻区进行了更新,或者H(e)NB向该H(e)NB的邻区H(e)NB发起IKE协商,发现该H(e)NB或邻区H (e) NB没有可用的共享密钥。步骤502,H (e) NB向H (e) MS请求更新共享密钥。步骤503,H(e)MS为H(e)NB与该H(e)NB的邻区H(e)NB生成更新后的共享密钥。步骤504,H(e)MS通过家庭基站供应流程或者专用消息向H(e) NB发送更新后的共享密钥。图6为本发明共享密钥更新方法另一个实施例的流程图,如图6所示,该共享密钥 更新方法可以包括步骤601,H(e)MS发现该H(e)MS设置的共享密钥周期到期或者该H(e)MS发现H (e) NB的邻区进行了更新。
步骤602,H(e)MS为H(e)NB与该H(e)NB的邻区H(e)NB生成更新后的共享密钥。步骤603,H (e) MS通过家庭基站供应流程或者专用消息向H (e) NB发送更新后的共享密钥。上述实施例中,H (e) NB可以获得H (e) MS为H (e) NB与该H (e) NB的邻区H (e) NB生成的共享密钥,进而H(e)NB可以通过上述共享密钥与该H (e) NB的邻区H(e)NB建立IPsec隧道,从而可以保证H(e) NB与该H(e) NB的邻区H(e) NB之间直接接口的安全性。图7为本发明安全隧道建立方法另一个实施例的流程图,本实施例以第一基站为HeNBl,第二基站为HeNB2,核心网设备为MME或HeNB Gff为例进行说明。步骤701,HeNBl希望与HeNB2建立直接接口时,HeNBl向MME或HeNB Gff发送基站配置转发消息,以请求对端HeNB2的IP地址。 本实施例中,为了在HeNBl与HeNB2之间协商一个共享密钥,HeNBl还可以在基站配置转发消息中携带DH组号和DH值。步骤702,MME或HeNB Gff向HeNB2发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带HeNBl发送的DH组号和DH值。步骤703,HeNB2向MME或HeNB Gff发送基站配置转发消息,该基站配置转发消息中携带HeNB2的IP地址,以及HeNB2选择的DH组号和DH值。步骤704,MME或HeNB Gff向HeNBl发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带HeNB2选择的DH组号和DH值,以及HeNB2的IP地址。步骤705,HeNBl与HeNB2根据HeNB2选择的DH组号和DH值生成共享密钥,通过该共享密钥建立IPSec隧道,以保证HNBl与HNB2之间直接接口的安全性。上述实施例中,HeNBl与HeNB2可以根据选择的DH组号和DH值生成共享密钥,进而可以通过该共享密钥建立IPSec隧道,从而可以保证HeNBl与HeNB2之间直接接口的安全性。图8为本发明安全隧道建立方法另一个实施例的流程图,本实施例以第一基站为HeNBl,第二基站为HeNB2,核心网设备为MME或HeNB Gff为例进行说明。步骤801,HeNBl希望与HeNB2建立直接接口时,HeNBl向MME或HeNB Gff发送基站配置转发消息,以请求对端HeNB2的IP地址。步骤802,MME或HeNB Gff确定该基站配置转发消息的源节点和/或目标节点是HeNB之后,MME或HeNB Gff向HeNB2发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带可用于验证HeNBl的证书的根证书。具体地,MME或HeNB GW可以通过基站配置转发消息中的源节点标识和目的节点标识来确定该基站配置转发消息的源节点和/或目标节点是HeNB。本实施例中,该基站配置转发消息的源节点为HeNBl,目标节点为HeNB2,因此该基站配置转发消息的源节点和目标节点均为HeNB。步骤803,HeNB2向MME或HeNB Gff发送基站配置转发消息,该基站配置转发消息中携带HeNB2的IP地址。步骤804,MME或HeNB Gff向HeNBl发送移动性管理实体配置转发消息,该移动性管理实体配置转发消息携带可用于验证HeNB2证书的根证书,以及HeNB2的IP地址。步骤805,HeNBl与HeNB2通过证书认证方式建立IPSec隧道,以保证HeNBl与HeNB2之间直接接口的安全性。上述实施例中,HeNBl与HeNB2可以获得MME或HeNB Gff发送的可用于验证对端证书的根证书,这样,HeNBl与HeNB2就可以通过证书认证方式建立IPsec隧道,从而可以保证HeNBl与HeNB2之间直接接口的安全性。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。图9为本发明第一基站一个实施例的结构示意图,本实施例中的第一基站可以实现本发明图I所示实施例的流程。如图9所示,该第一基站可以包括获得模块901,用于获得用于验证第二基站证书的根证书或者第二基站与第一基站之间的共享密钥;具体地,获得模块901可以接收核心网设备发送的用于验证第二基站 证书的根证书或者该核心网设备为第二基站与第一基站生成的共享密钥。建立模块902,用于通过上述共享密钥或者上述用于验证第二基站证书的根证书与第二基站建立IPsec隧道,以保证第一基站与第二基站之间直接接口的安全性。本实施例中,当第一基站为家庭基站时,第_■基站可以为家庭基站或宏基站;或者,当第一基站为宏基站时,第_■基站可以为家庭基站;也就是说,第一基站和第_■基站中至少有一个为家庭基站即可。其中,宏基站可以为eNB或其他类型的宏基站;家庭基站可以为HeNB或HNB,本实施例对此不作限定。上述实施例中,获得模块901可以获得用于验证第二基站证书的根证书或第二基站与第一基站之间的共享密钥,这样,建立模块902就可以通过上述共享密钥或者上述用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。图10为本发明第一基站另一个实施例的结构示意图,本实施例中的第一基站可以实现本发明图I和图4所示实施例的流程,与图9所示的第一基站相比,不同之处在于,图10所示的第一基站还可以包括接收模块903 ;或者,接收模块903和请求模块904 ;或者,协商模块905、请求模块904和接收模块903。其中,接收模块903,用于在核心网设备设置的共享密钥周期到期之后,接收该核心网设备发送的该核心网设备为第二基站与第一基站生成的更新后的共享密钥。请求模块904,用于在第一基站设置的共享密钥周期到期之后,向核心网设备请求更新共享密钥;这时,接收模块903还可以接收核心网设备发送的该核心网设备根据第一基站的请求生成的更新后的共享密钥。协商模块905,用于向第二基站发起IKE协商;这时,请求模块904还可以在协商模块905在发起因特网密钥交换协商时,如果协商模块905发现第一基站或第二基站没有可用的共享密钥,则向核心网设备请求更新共享密钥;接收模块903还可以接收核心网设备发送的该核心网设备根据第一基站的请求生成的更新后的共享密钥。上述第一基站可以通过上述共享密钥或者用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。图11为本发明第一基站另一个实施例的结构示意图,本实施例中的第一基站可以实现本发明图I、图2、图7和图8所示实施例的流程。与图10所示的第一基站相比,不同之处在于,图11所示的第一基站还可以包括发送模块906,用于向移动性管理实体或家庭演进基站网关发送基站配置转发消息;本实施例中,获得模块901可以接收移动性管理实体或家庭演进基站网关发送的移动性管理实体配置转发消息,该移动性管理实体配置转发消息中携带上述用于验证第二基站证书的根证书,或者移动性管理实体或家庭演进基站网关为第一基站和第二基站生成的共享密钥。其中,该移动性管理实体配置转发消息是移动性管理实体或家庭演进基站网关接收到基站配置转发消息之后,根据该基站配置转发消息中的源节点标识和目的节点标识确定上述基站配置转发消息的源节点和/或目标节点为家庭演进基站之后,将用于验证第一基站证书的根证书,或者移动性管理实体或家庭演进基站网关为第一基站和第二基站生成 的共享密钥发送给第二基站,在接收到第二基站发送的基站配置转发消息之后发送给第一基站的。本实施例中,发送模块906还可以向移动性管理实体或家庭演进基站网关发送基站配置转发消息,该基站配置转发消息携带第一基站的DH组号和DH值,以便移动性管理实体或家庭演进基站网关将第一基站的DH组号和DH值携带在第一移动性管理实体配置转发消息中发送给第二基站;这时,接收模块903还可以接收移动性管理实体或家庭演进基站网关发送的第二移动性管理实体配置转发消息,该第二移动性管理实体配置转发消息携带第二基站选择的DH组号和DH值,该第二移动性管理实体配置转发消息是移动性管理实体或家庭演进基站网关接收到第二基站发送的携带第二基站选择的DH组号和DH值的基站配置转发消息之后发送给第一基站的。本实施例中,获得模块901可以根据第二基站选择的DH组号和DH值生成共享密钥。上述第一基站可以通过共享密钥或者用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。图12为本发明第一基站另一个实施例的结构示意图,本实施例中的第一基站可以作为HNB,或者HNB的一部分实现本发明图I和图3所示实施例的流程。与图11所示的第一基站相比,不同之处在于,本发明图12所示实施例的一种实现方式中,第一基站还可以包括注册模块907,用于注册到家庭基站网关;检测模块908,用于在注册模块907注册到家庭基站网关之后,检测到第二基站注册到上述家庭基站网关;这时,请求模块904还可以向家庭基站网关请求第二基站的IP地址;获得模块901可以接收家庭基站网关发送的响应消息,该响应消息携带第二基站的IP地址和家庭基站网关预先为第一基站与第二基站生成的共享密钥。本实施例的另一种实现方式中,发送模块906还可以向家庭基站网关发送第一基站检测到的邻区家庭基站的信息,该第一基站的邻区家庭基站包括第~■基站;这时,获得丰吴块901可以接收家庭基站网关发送的该家庭基站网关上可用的邻区家庭基站的彳目息,以及该家庭基站网关为第一基站与第一基站的邻区家庭基站生成的共孚密钥上述第一基站可以通过共享密钥或者用于验证第二基站证书的根证书与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1.ー种安全隧道建立方法,其特征在于,包括 第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共孚密钥;所述第一基站为家庭基站时,所述第~■基站为家庭基站或宏基站;或者,所述第一基站为宏基站时,所述第~■基站为家庭基站; 所述第一基站通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第ニ基站建立因特网协议安全隧道,以保证所述第一基站与所述第二基站之间接ロ的安全性。
2.根据权利要求I所述的方法,其特征在于,所述第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥包括 所述第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者所述核心网设备为所述第二基站与所述第一基站生成的共享密钥。
3.根据权利要求2所述的方法,其特征在于,所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之后,还包括 在所述核心网设备设置的共享密钥周期到期之后,所述第一基站接收所述核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的更新后的共享密钥。
4.根据权利要求2所述的方法,其特征在于,所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之后,还包括 在所述第一基站设置的共享密钥周期到期之后,所述第一基站向所述核心网设备请求更新共享密钥,接收所述核心网设备发送的所述核心网设备根据所述第一基站的请求生成的更新后的共享密钥;或者, 所述第一基站向所述第二基站发起因特网密钥交换协商时,如果发现所述第一基站或所述第二基站没有可用的共享密钥,则所述第一基站向所述核心网设备请求更新共享密钥,接收所述核心网设备发送的所述核心网设备根据所述第一基站的请求生成的更新后的共享密钥。
5.根据权利要求2或4所述的方法,其特征在于,所述核心网设备包括移动性管理实体或家庭演进基站网关; 所述第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之前,还包括 所述第一基站向所述移动性管理实体或家庭演进基站网关发送基站配置转发消息; 所述第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括 所述第一基站接收所述移动性管理实体或所述家庭演进基站网关发送的移动性管理实体配置转发消息,所述移动性管理实体配置转发消息中携帯所述用于验证第二基站证书的根证书,或者所述移动性管理实体或所述家庭演进基站网关为所述第一基站和所述第二基站生成的共享密钥; 所述移动性管理实体配置转发消息是所述移动性管理实体或所述家庭演进基站网关接收到所述基站配置转发消息之后,根据所述基站配置转发消息中的源节点标识和目的节点标识确定所述基站配置转发消息的源节点和/或目标节点为家庭演进基站之后,将用于验证第一基站证书的根证书,或者所述移动性管理实体或所述家庭演进基站网关为所述第一基站和所述第二基站生成的共享密钥发送给所述第二基站,在接收到所述第二基站发送的基站配置转发消息之后发送给所述第一基站的。
6.根据权利要求2或4所述的方法,其特征在于,所述核心网设备包括家庭基站网关;所述第一基站接收核心网设备发送 的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之前,还包括 所述第一基站注册到所述家庭基站网关之后,检测到所述第二基站注册到所述家庭基站网关; 所述第一基站向所述家庭基站网关请求所述第二基站的因特网协议地址; 所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括 所述第一基站接收所述家庭基站网关发送的响应消息,所述响应消息携帯所述第二基站的因特网协议地址和所述家庭基站网关为所述第一基站与所述第二基站生成的共享密钥。
7.根据权利要求2或4所述的方法,其特征在于,所述核心网设备包括家庭基站网关; 所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之前,还包括 所述第一基站注册到所述家庭基站网关,并向所述家庭基站网关发送所述第一基站检测到的邻区家庭基站的信息,所述第一基站的邻区家庭基站包括所述第二基站; 所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括 所述第一基站接收所述家庭基站网关发送的所述家庭基站网关上可用的邻区家庭基站的信息,以及所述家庭基站网关为所述第一基站与所述第一基站的邻区家庭基站生成的共享密钥。
8.根据权利要求2或4所述的方法,其特征在于,所述核心网设备包括家庭基站网关; 所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括 在所述家庭基站网关发现所述家庭基站网关控制的邻区家庭基站的信息没有更新到所述第一基站,且所述家庭基站网关上没有所述第一基站与更新后的邻区家庭基站的共享密钥之后,所述第一基站接收所述家庭基站网关通过家庭基站配置转发流程发送的更新后的邻区家庭基站的信息,以及所述家庭基站网关为所述第一基站与所述更新后的邻区家庭基站生成的共享密钥。
9.根据权利要求I所述的方法,其特征在于,所述第一基站获得第二基站与所述第一基站之间的共享密钥之前,还包括 所述第一基站向移动性管理实体或家庭演进基站网关发送基站配置转发消息,所述基站配置转发消息携帯所述第一基站的迪非-赫尔曼(DH)组号和DH值,以便所述移动性管理实体或家庭演进基站网关将所述第一基站的DH组号和DH值携带在第一移动性管理实体配置转发消息中发送给所述第二基站;所述第一基站接收所述移动性管理实体或所述家庭演进基站网关发送的第二移动性管理实体配置转发消息,所述第二移动性管理实体配置转发消息携帯所述第二基站选择的DH组号和DH值,所述第二移动性管理实体配置转发消息是所述移动性管理实体或所述家庭演进基站网关接收到所述第二基站发送的携带所述第二基站选择的DH组号和DH值的基站配置转发消息之后发送给所述第一基站的; 所述第一基站获得第二基站与所述第一基站之间的共享密钥包括 所述第一基站根据所述第二家庭演进基站选择的DH组号和DH值生成所述共享密钥。
10.一种第一基站,其特征在于,包括 获得模块,用于获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥; 建立模块,用于通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道,以保证所述第一基站与所述第二基站之间接口的安全性。
11.根据权利要求10所述的基站,其特征在于,所述获得模块具体用于接收核心网设备发送的用于验证第二基站证书的根证书或者所述核心网设备为所述第二基站与所述第一基站生成的共享密钥。
12.根据权利要求11所述的基站,其特征在于,还包括 接收模块,用于在所述核心网设备设置的共享密钥周期到期之后,接收所述核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的更新后的共享密钥。
13.根据权利要求12所述的基站,其特征在于,还包括 请求模块,用于在所述第一基站设置的共享密钥周期到期之后,向所述核心网设备请求更新共享密钥; 所述接收模块,还用于接收所述核心网设备发送的所述核心网设备根据所述第一基站的请求生成的更新后的共享密钥。
14.根据权利要求13所述的基站,其特征在于,还包括 协商模块,用于向所述第二基站发起因特网密钥交换协商; 所述请求模块,还用于在所述协商模块在发起因特网密钥交换协商时,如果所述协商模块发现所述第一基站或所述第二基站没有可用的共享密钥,则向所述核心网设备请求更新共享密钥。
15.根据权利要求14所述的基站,其特征在于,还包括发送模块,用于向移动性管理实体或家庭演进基站网关发送基站配置转发消息;所述获得模块,具体用于接收所述移动性管理实体或所述家庭演进基站网关发送的移动性管理实体配置转发消息,所述移动性管理实体配置转发消息中携带所述用于验证第二基站证书的根证书,或者所述移动性管理实体或所述家庭演进基站网关为所述第一基站和所述第二基站生成的共享密钥。
16.根据权利要求15所述的基站,其特征在于,还包括 注册模块,用于注册到家庭基站网关; 检测模块,用于在所述注册模块注册到所述家庭基站网关之后,检测到所述第二基站注册到所述家庭基站网关;所述请求模块,还用于向所述家庭基站网关请求所述第二基站的因特网协议地址;所述获得模块,具体用于接收所述家庭基站网关发送的响应消息,所述响应消息携带所述第二基站的因特网协议地址和所述家庭基站网关预先为所述第一基站与所述第二基站生成的共享密钥。
17.根据权利要求15所述的基站,其特征在于, 所述发送模块,还用于向所述家庭基站网关发送所述第一基站检测到的邻区家庭基站的信息,所述第一基站的邻区家庭基站包括所述第二基站; 所述获得模块,具体用于接收所述家庭基站网关发送的所述家庭基站网关上可用的邻区家庭基站的信息,以及所述家庭基站网关为所述第一基站与所述第一基站的邻区家庭基站生成的共享密钥。
18.根据权利要求15所述的基站,其特征在于, 所述发送模块,还用于向移动性管理实体或家庭演进基站网关发送基站配置转发消息,所述基站配置转发消息携带所述第一基站的迪非-赫尔曼(DH)组号和DH值,以便所述移动性管理实体或家庭演进基站网关将所述第一基站的DH组号和DH值携带在第一移动性 管理实体配置转发消息中发送给所述第二基站; 所述接收模块,还用于接收所述移动性管理实体或所述家庭演进基站网关发送的第二移动性管理实体配置转发消息,所述第二移动性管理实体配置转发消息携带所述第二基站选择的DH组号和DH值,所述第二移动性管理实体配置转发消息是所述移动性管理实体或所述家庭演进基站网关接收到所述第二基站发送的携带所述第二基站选择的DH组号和DH值的基站配置转发消息之后发送给所述第一基站的; 所述获得模块,具体用于根据所述第二基站选择的DH组号和DH值生成所述共享密钥。
全文摘要
本发明实施例提供一种安全隧道建立方法和基站,该安全隧道建立方法包括第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥;所述第一基站为家庭基站时,所述第二基站为家庭基站或宏基站;或者,所述第一基站为宏基站时,所述第二基站为家庭基站;所述第一基站通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道,以保证所述第一基站与所述第二基站之间接口的安全性。本发明实施例中,第一基站可以通过获得的用于验证第二基站证书的根证书或第二基站与第一基站之间的共享密钥与第二基站建立IPsec隧道,从而可以保证第一基站与第二基站之间接口的安全性。
文档编号H04W12/02GK102655641SQ20111004958
公开日2012年9月5日 申请日期2011年3月1日 优先权日2011年3月1日
发明者刘晓寒, 周铮, 陈璟 申请人:华为技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1