X2安全通道建立方法与系统、以及基站的制作方法

X2安全通道建立方法与系统、以及基站的制作方法
【专利摘要】一种X2安全通道建立方法与系统、以及基站，在一用户终端从基站覆盖的小区向另一基站覆盖的小区切换时，在基站向另一基站发送通知消息时，同时发送安全参数集供另一基站选择其所支持的安全参数值，从而无需多次协商，减少了因协商带来的延时或安全通道无法建立等问题，使得X2安全通道在通信切换所能容忍的时间内建立。所述方法包括：基站向对端基站发送一通知消息，所述通知消息包括一安全参数集；接收对端基站发送的回复消息，所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值；根据所述回复消息，建立X2安全通道。
【专利说明】X2安全通道建立方法与系统、以及基站

【技术领域】
[0001] 本发明涉及通信【技术领域】，特别是涉及一种X2安全通道建立方法与系统、以及基 站。

【背景技术】
[0002] 长期演进/系统架构演进（Long Term Evolution/System Architecture Evolution, LTE/SAE)网络系统项目，是近年来第三代合作伙伴计划（3rd Generation Partnership Project, 3GPP)启动的最大新技术研发项目。这种以正交频分复用/频分多 址（0FDM/FDMA)为核心的技术由于已经具有某些"4G"特征，被视作从3G向4G演进的主流 技术。
[0003] 请参考图1，其为现有技术LTE/SAE网络系统的架构图。该LTE/SAE网络系统包括 演进型基站（eNB，eNodeB)和管理这些基站的移动管理实体/服务网关（MME/SGW，Mobility Management Entity/Serving Gateway)。其中，MME/SGW 与 eNB 之间通过 SI 接 口建立 SI 链 路，eNB之间通过X2接口建立X2链路。
[0004] 具体，Sl链路提供访问无线接入网中的无线资源的功能，包括控制平面功能和用 户平面功能；Sl链路的控制面接口（Sl-MME)提供eNB与MME之间的应用协议以及用于传 输应用协议消息的信令承载功能，Sl链路的用户面接口（Sl-U)提供eNB与SGW之间的用 户面数据传输功能。
[0005] X2链路的存在主要为了支持终端的移动性管理功能。例如，在漏配小区、新增基 站等场景下，运营商希望当终端从源eNB小区切换到目的eNB小区时，eNB间的X2链路能 够自动建立，用于传输切换控制与数据信息。具体，通过eNB与MME/SGW之间的Sl信令，源 eNB与目的eNB可以获取对端的用户面与信令面传输信息，自动建立X2链路。
[0006] 目前，在X2链路自动建立过程中，用户面与信令面等传输信息往往都以明文方 式进行传输，即未进行加密保护，这显然不符合当前对于通信安全的要求。因此，在3GPP LTE 的 Sl 应用协议，即 36. 413 协议中（网址 http://www. 3gpp. org/ftp/Specs/latest/ Rel_8/36_series/)，在X2传输网络层自配置消息中，增加了对端基站IP-Sec传输层地 址信息（即在 X2 TNL Configuration Info 消息中可以携带 IP-Sec Transport Layer Address)。但是在实际应用中，eNB之间仅依靠此参数建立安全通道，存在许多问题，往往 导致安全通道建立失败，而直接进行明文传输。
[0007] 因此，亟需一种X2安全通道建立技术，以解决X2链路建立过程中的数据安全问 题。


【发明内容】

[0008] 有鉴于此，以下提供一种X2安全通道建立方法与系统、以及基站，来解决现有X2 链路自动建立过程中的数据安全问题。
[0009] 一方面，提供一种X2安全通道建立方法，包括：基站向对端基站发送一通知消息， 所述通知消息包括一安全参数集；接收对端基站发送的回复消息，所述回复消息包括所述 对端基站从所述安全参数集选择的安全参数值；根据所述回复消息，建立X2安全通道。
[0010] 另一方面，提供一种X2安全通道建立方法，包括：基站接收对端基站发送的一通 知消息，所述通知消息包括一安全参数集；从所述安全参数集选择所述基站所支持的安全 参数值；向对端基站发送包括所选择的安全参数值的回复消息。
[0011] 另一方面，提供一种基站，包括：存储模块，存储一安全参数集；接口模块，向对端 基站发送一通知消息，所述通知消息包括所述安全参数集；且所述接口模块接收对端基站 发送的回复消息，所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值； 通道建立模块，根据所述回复消息，建立X2安全通道。
[0012] 另一方面，提供一种基站，包括：接口模块、存储单元及控制单元，其中所述存储单 元存储一安全参数集和一程序代码，所述控制单元加载所述程序代码，执行以下操作：产生 一通知消息，所述通知消息包括所述安全参数集；通过接口模块，向对端基站发送所述通知 消息；通过接口模块，接收对端基站发送的回复消息，所述回复消息包括所述对端基站从所 述安全参数集选择的安全参数值；根据所述回复消息，建立X2安全通道。
[0013] 另一方面，提供一种基站，包括：存储|吴块，存储该基站所支持的安全参数值；接 口模块，接收对端基站发送的一通知消息，所述通知消息包括一安全参数集；选择模块，从 所述安全参数集中选择该基站所支持的安全参数值；所述接口模块，向对端基站发送包括 所选择的安全参数值的回复消息。
[0014] 另一方面，提供一种基站，包括：接口模块、存储单元及控制单元，存储单元存储一 程序代码及该基站所支持的安全参数值，所述控制单元加载所述程序代码，执行以下操作： 通过所述接口模块，接收对端基站发送的一通知消息，所述通知消息包括一安全参数集；从 所述安全参数集中选择与该基站所支持安全参数值；产生一回复消息，所述回复消息包括 所选择的安全参数值；通过所述接口模块向对端基站发送所述回复消息。
[0015] 另一方面，提供一种X2安全通道建立系统，包括：第一基站、第二基站以及管理第 一基站与第-基站的管理端，其中第一基站的结构同以上如两种基站之一，第-基站的结 构同以上后两种基站之一。
[0016] 可见，在一用户终端从基站覆盖的小区向另一基站覆盖的小区切换时，在基站向 另一基站发送通知消息时，同时发送安全参数集供另一基站选择其所支持的安全参数值， 从而无需多次协商，减少了因协商带来的延时或安全通道无法建立等问题，使得X2安全通 道在通信切换所能容忍的时间内建立。

【专利附图】

【附图说明】
[0017] 图1为一种现有LTE/SAE网络系统的架构图；
[0018] 图2为本发明实施例一所提供的X2安全通道建立方法的流程图；
[0019] 图3为本发明实施例一所提供的X2安全通道建立方法的流程图；
[0020] 图4为本发明实施例二所提供基站的一种实现方块图；
[0021] 图5为本发明实施例二所提供基站的另一种实现方块图；
[0022] 图6为本发明实施例三所提供基站的一种实现方块图；
[0023] 图7为本发明实施例三所提供基站的另一种实现方块图。

【具体实施方式】
[0024] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方
[0025] 案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而 不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动 前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0026] 从【背景技术】可以知道，目前的36. 413协议中，虽然给出了一种基于英特网安全协 议（IP-Sec)的安全机制，但研究发现这种机制的给出还不完整，导致在X2链路建立过程 中，实际上无法实现IP-Sec的保护。发明人对此进行研究发现，如果仅仅在X2传输网络层 自配置消息中增加对端基站IP-Sec传输层地址信息（即在X2 TNL Configuration Info消 息中携带IP-Sec Transport Layer Address信息），会存在协商信息不完全的问题。这时， 还需要对协商模式、协议版本、认证方式、认证算法、加密算法、加密模式、传输模式等多个 参数进行协商尝试，这些参数任意一个协商不一致，都会导致协商失败。即使都协商成功， 也会导致非常大的延时，这是因为每一次IP-Sec协商都需要IOs左右的时间，这么多参数 协商下来，往往需要几分钟甚至更长。而目前对于通信切换要求所能容忍的时间为15s? 20s，因此使用参数尝试的方式实际上是不可行的。可见，当前36. 413协议所携带的安全信 息，不能满足切换时建立安全传输通道的需求，协议36. 413功能不完整。
[0027] 鉴于此，发明人提供了两种解决途径：第一种，按照事先达成的约定配置一最小参 数集，且在通信切换时，与可以携带的IP-Sec Transport Layer Address-起，发送给对 端，由于事先已就参数达成约定，因而协商一致，无需多次尝试，便可以建立安全通道；第二 种，扩展现有36. 413协议，将需要协商的参数的所有可能选择建立一最小参数集，且在通 信切换时，与可以携带的IP-Sec Transport Layer Address-起，发送给对端，对端便可以 根据源端提供的最小参数集，进行选择，从而达成协商，无需多次尝试，便可以建立安全通 道。
[0028] 可见，这两种途径都是建立一个可以促进一次协商成功的参数集，具体结合实施 例一和附图描述如下：
[0029] 实施例一
[0030] 请参考图2,其为本发明实施例一所提供的X2安全通道建立方法的流程图。如图 所示，包括如下步骤：
[0031] S210 :基站向对端基站发送一通知消息，所述通知消息包括一安全参数集；
[0032] S220:接收对端基站发送的回复消息，所述回复消息包括所述对端基站从所述安 全参数集选择的安全参数值；
[0033] S230 :根据所述回复消息，建立X2安全通道。
[0034] 相应的，以上步骤中的对端基站在接收到通知消息时，对此做出回复，具体回复过 程如图3所示，包括如下步骤：
[0035] S310 :基站接收对端基站发送的一通知消息，所述通知消息包括一安全参数集；
[0036] S320 :从所述安全参数集选择所述基站所支持的安全参数值；
[0037] S330 :向对端基站发送包括所选择的安全参数值的回复消息。
[0038] 需要说明的是，图2与图3中的基站互为对方的对端基站。为了避免以下叙述中 的混淆，现设定实施例一以下的描述中的基站与对端基站对端基站与图2相对应。
[0039] 下面详述以上两种途径下构建的安全参数集：
[0040] 途径一：安全参数集由至少一默认参数构成。
[0041] 具体而言，如果对于基站与对端基站的供应商来说，提前可以对于其安全参数的 选取与取值达成一致时，可以将达成一致的安全参数值设定为默认参数，有时候，对于不同 的对端基站，默认参数可能不同，故可以建立一个安全参数集，将所有达成一致的默认参数 放入其中。
[0042] 这样，当基站向对端基站发送通知消息时，可以将这个安全参数集一起发送给对 端基站，这样对端基站便可以根据自己的情况作出选择，从而一次达成协商一致的效果，并 根据协商结果在基站之间建立起安全通道。
[0043] 当然，由于这种方式事先便就安全参数达成一致，故也可以不发送安全参数集，而 是将默认的安全参数集配置到基站。真正切换时，按照标准协议携带已有参数，然后直接使 用事先在本地配置好的安全参数建立安全通道。
[0044] 对于同一设备供应商，这种一致很容易达成，这种解决手段非常适用于局点范围 内基站间安全通道的建立。然而，当涉及到不同设备供应商时，这个协商往往需要运营商协 助或指定安全参数，这将带来许多人力成本的浪费，且不利于扩展，也不适用于广域范围内 的应用。为此，以下提出了第二种解决途径。
[0045] 途径二：扩展36. 413协议。
[0046] 具体而言，在通信切换时的通知消息已有IP-Sec Transport Layer Address参数 基础上，补充最少的IKE参数，用于IKE成功建立后，自动生成IP-Sec需要的密钥；并补充 IP-Sec所需的最小参数集，以达成在切换发生时，在切换允许的时间延迟内（15?20s)，建 立IP-Sec保护下的X2安全通道的能力。
[0047] 可见，在本实施例中，安全参数集包括IP-Sec参数集和IKE参数集。这两个参数 集的确立需保证以最小参数集最大限度的支持一次协商成功的原则。而以下确立的IKE参 数集和IP-Sec参数集便可以满足此原则，将协商失败的几率降到可以忽略不计的情况。
[0048] 具体，IKE 参数集包括：IKE protocol version ;IKE exchange modeIKE ;IKE authentication mode ;IKE encryption algorithm ；IKE authentication algorithm ； Diffie-Hellman group of the IKE ；Pseud〇-random Function ；和 algorithm used in IKEv2。 IP-Sec 参数集包括：IPSec negotiation perfect forward secrecy(PFS); Encapsulation mode of an IPSec ;IPSec transform ；AH Authentication Algorithm ；ESP Authentication Algorithm;和 ESP Encryption Algorithm。且在参数集中列出了 以上每 一个参数所有支持的取值信息。
[0049] 下面对以上每个参数的含义做出解释：
[0050] IKE protocol version,该参数表示IKE协议的版本，目前IKE协议有Vl和V2两 个版本，且两个版本是不兼容的，比如源基站用VI，目的基站用V2,那么IKE协商就会失败。 因此必须提供该参数。V2版本相对Vl版本，在支持的认证、协商算法上有提升，流程也有不 同。
[0051] IKE exchange modeIKE，该参数表示IKE的协商模式，其实也就是协商密钥的一些 具体过程，不同的过程，也是不兼容的，因此一定要指定。主模式将密钥交换信息与身份、验 证信息相分离，这种分离保护了身份信息，从而提供了更高的安全性。野蛮模式缺少身份认 证保护，但可以满足某些特定的网络环境需求。当IKE安全提议的验证方法为预共享密钥 时，主模式不支持名字验证，而野蛮模式支持。
[0052] IKE authentication mode,该参数表示IKE安全提议选择的验证方式，其实就是 协商两端在IKE阶段，怎么认证对方身份的方式，一般为预共享密钥认证方式、数字证书认 证方式、或者可扩展身份验证协议（EAP)方式，不同方式均不能兼容。因此也需要指定。其 中，预共享密钥的方式是在网络上传递信息，预共享密钥在网上以非加密形式传递，是不合 适的，可能被泄露。但是本领域技术人员根据网络的状况，可以选择是否采用选用这种预 共享密钥的方式。若果选择这种方式，则涉及另一参数：Pre-shared Key，如果选择预共享 密钥方式认证，则需要事先指定预共享密钥，本端，对端必须要一样。可见参数Pre-shared Key可选择的出现在该参数集内。
[0053] IKE encryption algorithm, IKE阶段，通信时使用的加密算法。IKE是为了给 IPSEC生成密钥。生成密钥的方式，是通过数学算法，通过本对端交换的生成密钥的材料，本 对端各自生成密钥。密钥本身是本对端用材料生成的，绝对不会在网上传送。但是材料本 身，也是加密传送的。一般有DES，3DES，AES128，AES192，AES256,不同方式均不能兼容。因 此也需要指定。
[0054] IKE authentication algorithm, IKE阶段,本、对端识别对方身份时采用的算法。 一般有MD5, SHA1，AES_XCBC_96等，各算法不兼容，必须本对端一致才能协商成功。
[0055] Diffie-Hellman (DH) group of the IKE，IKE 的核心技术就是 DH(Diffie-Hellman) 交换技术。DH交换基于公开的信息计算私有信息，数学上证明破解DH交换的计算复杂度非 常高，目前是不可能破解的。DH技术可以指定不同的加密长度。不同的加密长度不兼容。 因此本对端用得DH算法的具体DH组，也必须一致。
[0056] Pseudo-random Function (PRF) algorithm used in IKEv2,该参数表不 IKEv2 的 PRF (Pseudo-random Function)算法。PRF算法用于生成IKE认证、加密所需的材料。本对 端的算法也必须一致。
[0057] IP-Sec negotiation perfect forward secrecy (PFS)，该参数表不完善的前向安 全性（PFS)的值。PFS使IP-Sec第二阶段的密钥并非是从第一阶段的密钥导出，IP-Sec的 两个阶段的密钥相互独立。PFS要求一个密钥只能访问由它所保护的数据；用来产生密钥 的元素一次一换，不能再产生其他的密钥；一个密钥被破解，并不影响其他密钥的安全性。 IP-Sec在使用此安全策略发起协商时，进行一个PFS交换。如果本端指定了 PFS，对端在 发起协商时必须是PFS交换，本端和对端指定的DH组必须一致，否则协商会失败，1024-bit Diffie-Hellman 组（Dh_Group2)比 768-bit Diffie-Hellman 组（Dh-Groupl)提供更高的安 全性，但是需要更长的计算时间。
[0058] Encapsulation mode of an IP-Sec，封装模式，可以选择隧道模式和传输模式。传 输模式只加密数据部分；对于隧道模式，IP-Sec对整个IP报文进行保护，并在原IP报文的 前面增加一个新的IP头，新IP头的源地址和目的地址分别是安全隧道的两个端点的IP地 址。传输模式一般用于端到端的IP-Sec保护，隧道模式除了可以应用于端到端的IP-Sec 保护，还可以应用于通道中某一个段的保护。
[0059] IP-Sec transform,表示IP-Sec协议所使用的认证和加密使用的协议。可以是AH 协议，ESP协议，也可以是AH+ESP协议（也就是两种协议可以一起用）。本对端必须一致， 否则协商失败。
[0060] AH Authentication Algorithm, AH只能用来认证，本对端认证算法必须一致，否 则失败。
[0061] ESP Authentication Algorithm, ESP认证协议使用的算法,本对端必须一致。
[0062] ESP Encryption Algorithm, ESP加密协议使用的算法,本对端必须一致。
[0063] 根据36. 413协议，以上通知消息为第一基站配置传输消息（eNB Configuration Transfer message),相应的以上回复消息为第二基站配置传输消息（eNB Configuration Transfer message)。且 eNB Configuration Transfer message 包括 X2 传输网络层配置消 息（X2 TNL Configuration Info)，本实施例便将补充的IKE参数和IPSEC参数构成的最小 参数集置于 X2 TNL Configuration Info 内，与已有的 IP-Sec Transport Layer Address 参数一起在通信切换时发送给对端基站，此时构成的X2 TNL Configuration Info如表I:
[0064] 需要说明的是，以上通知消息为eNB Configuration Transfer message,且安全参 数集位于X2 TNL Configuration Info。然而，本发明对此不做任何限制，该安全参数集也 可以独立于 eNB Configuration Transfer message 或 X2 TNL Configuration Info 单独发 送；另外，仍然可以利用 eNB Configuration Transfer message 或 X2 TNL Configuration Info发送，只是将安全参数集中的参数分批次进行发送，例如，每发送一次X2 TNL Configuration Info时，带一个、两个或三个......参数，直到协商完成。但是以上这些方式会 增加时间延迟，故较佳的，就是将安全参数集增加到X2 TNL Configuration Info消息中，如 此，可以达到以下效果：
[0065] 第一，补充现有标准，扩展必须参数。第二，利用现有的协议标准的过程，来达到参 数一致的作用。
[0066] 另外，所述通知消息内除了安全参数集外，还会携带切换相关的一些无线参数，本 发明在此对通知消息内安全参数集以外的消息不做任何限制。
[0067] 可见，基站在向对端基站发送通知消息时，同时发送安全参数集供对端基站选择 其所支持的安全参数值，从而无需多次协商，减少了因协商带来的延时或安全通道无法建 立等问题，使得X2安全通道在通信切换所能容忍的时间内建立。
[0068] 这里所说的通信切换是指一种跨基站的通信切换过程，具体而言，是指一用户终 端从基站所覆盖的小区切换至对端基站所覆盖的小区的过程。而以上X2安全通道的建立 过程便可以应用到基站与对端基站之间的X2链路未建立的跨基站通信切换过程中，以在 其中自动加入一种安全机制，实现对基站的信令面、业务面以及管理面等数据的安全传输。 [0069] 由于X2链路未建立，故以上通知消息与回复消息显然无法直接在两个基站之间 进行传输，因此需要MME进行转送。即基站通过其Sl接口发送通知消息与接收回复消息； 对端基站也通过其Sl接口接收通知消息与发送回复消息。
[0070] 需要说明的是，在以上步骤S230中，X2通道的建立主要依据基站与对端基站配置 信息的交互，即在所述通知消息中，不仅包括所述安全参数集，还包括建立X2链路所必须 的多个地址信息，例如 X2 Transport Layer Addresses，X2 Extended Transport Layer Addresses,GTP Transport Layer Addresses等。当基站与对端基站获取了对方的这些信 息后，便可以根据这些地址信息自动建立起X2通道，由于这是本领域技术人员所熟知的技 术，故在此不再详述。同样的，由于以上方案二中在通知消息中增加的IKE和IP-Sec安全 参数集，可以在通道建立过程中，启动自动协商与安全参数选取过程，故最终根据选取的安 全参数值，实现IP-Sec保护下的数据传输，从而实现安全通道的建立。可见，安全通道的建 立过程中，如何基站与对端基站的信息交互便显得尤为重要，下面结合36. 413协议来描述 这个交互过程，且以下仅为概述，详细过程可参见该协议。
[0071] 参见36. 413协议，其主要由以下两个过程实现：
[0072] 过程一：基站配置传输，对应于协议的8. 15章节，主要用于将无线接入网配置信 息（RAN configuration information)从基站传送给移动管理实体（MME)。
[0073] 过程二：MME配置传输，对应于协议的8. 16章节，主要用于将RAN configuration information从MME传送给基站。
[0074] 具体而言，首先在源基站与MME之间进行过程一：源基站向MME发送第一基站 配置传输消息（eNB configuration transfer message)。MME接收该第一基站配置传输 消息，且将其转换为MME配置传输消息（MME configuration transfer message),并从该 消息中得到目的基站地址信息。而后根据目的基站的地址信息在MME与目的基站之间进 行过程二：将MME configuration transfer message发送给目的基站。目的基站接收该 MME configuration transfer message后，从该消息中得到源基站的地址信息并从第一 eNB configuration transfer message中得到安全参数集并选取其所支持的安全参数值， 与其自身地址信息构建第二基站配置传输消息（eNB configuration transfer message), 然后，在目的基站与MME之间进行过程一：目的基站向MME发送第二eNB configuration transfer message〇 接下来 MME 将第二 eNB configuration transfer message 转换为 MME configuration transfer message按照过程二发送给源基站。
[0075] 实施例二：
[0076] 请参考图4,其为本发明实施例二所提供基站的一种实现方块图。如图所示，该基 站包括存储模块410、接口模块420以及通道建立模块430。其中存储模块410用于存储一 安全参数集；接口模块420用于向对端基站发送一通知消息，所述通知消息包括所述安全 参数集；且该接口模块420还用于接收对端基站发送的回复消息，所述回复消息包括所述 对端基站从所述安全参数集选择的安全参数值；通道建立模块430用于根据所述回复消息 建立X2安全通道。
[0077] 请参考图5,其为本发明实施例二所提供基站的另一种实现方块图。如图所示，该 基站包括接口模块510、存储单元520及控制单元530,其中所述存储单元520存储一安全 参数集和一程序代码，所述控制单元530加载所述程序代码，执行以下操作：
[0078] 产生一通知消息，所述通知消息包括所述安全参数集；
[0079] 通过接口模块510,向对端基站发送所述通知消息；
[0080] 通过接口模块510,接收对端基站发送的回复消息，所述回复消息包括所述对端基 站从所述安全参数集选择的安全参数值；
[0081] 根据所述回复消息，建立X2安全通道。
[0082] 本领域技术人员当知，以上程序代码可以存储于一计算机可读取存储介质中，该 存储介质例如为R0M/RAM、磁盘、光盘等。
[0083] 可见，基站在向对端基站发送通知消息时，同时发送安全参数集供对端基站选择 其所支持的安全参数值，从而无需多次协商，减少了因协商带来的延时或安全通道无法建 立等问题，使得X2安全通道在通信切换所能容忍的时间内建立。
[0084] 这里所说的通信切换是指一种跨基站的通信切换过程，具体而言，是指一用户终 端从基站所覆盖的小区切换至对端基站所覆盖的小区的过程。而以上基站便可以用作X2 链路未建立的跨基站通信切换过程中的源基站，以在其中自动加入一种安全机制，实现对 基站的信令面、业务面以及管理面等数据的安全传输。
[0085] 由于X2链路未建立，故以上通知消息与回复消息显然无法直接在两个基站之间 进行传输，因此需要MME进行转送。即以上接口模块为Sl接口模块。
[0086] 同实施例一，在一较佳的实施方式中，所述安全参数集可以包括IP-Sec参数集和 IKE 参数集。具体，IP-Sec 参数集包括：IPSec negotiation perfect forward secrecy; Encapsulation mode of an IPSec ；IPSec transform ；AH Authentication Algorithm ；ESP Authentication Algorithm ;和 ESP Encryption Algorithm 及每一个参数所有支持的取 值。IKE参数集包括：IKE protocol version ；IKE exchange modeIKE ;IKE authentication mode ;IKE encryption algorithm ;IKE authentication algorithm ；Diffie-Hellman group of the IKE ;Pseudo_random Function ;和 algorithm used in IKEv2及每一个参数 所有支持的取值。
[0087] 在另一实施方式中，安全参数集包括至少一默认参数。
[0088] 与36. 413协议相应的，所述通知消息为第一基站配置传输消息。且该第一基站配 置传输消息包括X2传输网络层配置消息，所述安全参数集位于该X2传输网络层配置消息 内。所述回复消息为第二基站配置传输消息。同实施例一，本发明对此不做任何限制，该 安全参数集也可以独立于 eNB Configuration Transfer message 或 X2 TNL Configuration Info单独发送，但是这会增加时间延迟，故较佳的，就是将安全参数集增加到X2 TNL Configuration Info消息中，如此，可以达到以下效果：第一，补充现有标准，扩展必须参数。 第二，利用现有的协议标准的过程，来达到参数一致的作用。
[0089] 实施例三：
[0090] 请参考图6,其为本发明实施例三所提供基站的一种实现方块图。如图所示，该基 站包括存储模块610、接口模块620以选择模块630。其中存储模块610用于存储该基站 所支持的安全参数值；接口模块620用于接收对端基站发送的一通知消息，所述通知消息 包括一安全参数集；选择模块630用于从所述安全参数集中选择该基站所支持的安全参数 值；接口模块620用于向对端基站发送包括所选择的安全参数值的回复消息。
[0091] 请参考图7,其为本发明实施例三所提供基站的另一种实现方块图。如图所示，该 基站包括接口模块710、存储单元720及控制单元730,存储单元720存储一程序代码及该 基站所支持的安全参数值，所述控制单元730加载所述程序代码，执行以下操作：
[0092] 通过接口模块710,接收对端基站发送的一通知消息，所述通知消息包括一安全参 数集；
[0093] 从所述安全参数集中选择与该基站所支持安全参数值；
[0094] 产生一回复消息，所述回复消息包括所选择的安全参数值；
[0095] 通过接口模块710向对端基站发送所述回复消息。
[0096] 本领域技术人员当知，以上程序代码可以存储于一计算机可读取存储介质中，该 存储介质例如为ROM/RAM、磁盘、光盘等。
[0097] 可见，基站接收对端基站发送通知消息时，同时接收到安全参数集供该基站选择 其所支持的安全参数值，从而无需多次协商，减少了因协商带来的延时或安全通道无法建 立等问题，使得X2安全通道在通信切换所能容忍的时间内建立。
[0098] 这里所说的通信切换是指一种跨基站的通信切换过程，具体而言，是指一用户终 端从对端基站所覆盖的小区切换至该基站所覆盖的小区的过程。而以上基站便可以用作X2 链路未建立的跨基站通信切换的目的基站，以在其中自动加入一种安全机制，实现对基站 的信令面、业务面以及管理面等数据的安全传输。
[0099] 由于X2链路未建立，故以上通知消息与回复消息显然无法直接在两个基站之间 进行传输，因此需要MME进行转送。即以上接口模块为Sl接口模块。
[0100] 同实施例一，在一较佳的实施方式中，所述安全参数集可以包括IP-Sec参数集和 IKE 参数集。具体，IP-Sec 参数集包括：IPSec negotiation perfect forward secrecy; Encapsulation mode of an IPSec ；IPSec transform ；AH Authentication Algorithm ；ESP Authentication Algorithm ;和 ESP Encryption Algorithm 及每一个参数所有支持的取 值。IKE参数集包括：IKE protocol version ；IKE exchange modeIKE ;IKE authentication mode ;IKE encryption algorithm ；IKE authentication algorithm ；Diffie-Hellman group of the IKE ;Pseudo_random Function ;和 algorithm used in IKEv2及每一个参数 所有支持的取值。
[0101] 在另一实施方式中，安全参数集包括至少一默认参数。
[0102] 与36. 413协议相应的，所述通知消息为第一基站配置传输消息。且该第一基站配 置传输消息包括X2传输网络层配置消息，所述安全参数集位于该X2传输网络层配置消息 内。所述回复消息为第二基站配置传输消息。同实施例一，本发明对此不做任何限制，该 安全参数集也可以独立于 eNB Configuration Transfer message 或 X2 TNL Configuration Info单独发送，但是这会增加时间延迟，故较佳的，就是将安全参数集增加到X2 TNL Configuration Info消息中，如此，可以达到以下效果：第一，补充现有标准，扩展必须参数。 第二，利用现有的协议标准的过程，来达到参数一致的作用。
[0103] 实施例四：
[0104] 以上实施例二与实施例三中的基站可以分别用作一跨基站的通信切换的源基站 与目的基站，当一用户终端从源基站所覆盖的小区切换至目的基站所覆盖的小区的时，源 基站向目的基站发送一通知消息时，同时发送安全参数集供目的基站选择其所支持的安全 参数值，从而无需多次协商，减少了因协商带来的延时或安全通道无法建立等问题，使得X2 安全通道在通信切换所能容忍的时间内建立。如此，便构成了一 X2安全通道建立系统。请 参考图1，从图中可以看出，该系统还包括管理所述源基站与目的基站的管理端，该管理端 通常为MME，且本发明不限制源基站与目的基站是否为同一 MME所管理，即源基站与目的基 站可以为同一 MME内的基站，也可以为跨MME的基站。
[0105] 综上所述，利用现有的36. 413协议目前携带的IP-Sec Transport Layer Address 信息进行跨基站通道切换时，往往会因为参数尝试而导致的链路建立超时，切换失败等问 题。以上实施例提供了安全参数集，可以是一默认参数集，也可以是对36. 413协议进行补 充的最小扩展补充参数集。利用安全参数集可以一次完成协商，实现X2安全通道建立，尤 其是对36. 413协议进行补充后，可以在通道建立过程中，启动自动协商与安全参数选取过 程，故最终根据选取的安全参数值，实现IP-Sec保护下的数据传输，从而实现安全通道的 建立。
[0106] 以上仅是本发明的优选实施方式，应当指出，对于本【技术领域】的普通技术人员来 说，在不脱离本发明原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为 本发明的保护范围。
[0107]表 I X2 TNL Configuration Info

【权利要求】
1. 一种X2安全通道建立方法，其特征是，包括： 基站向对端基站发送通知消息，所述通知消息包括安全参数集； 接收对端基站发送的回复消息，所述回复消息包括所述对端基站从所述安全参数集选 择的安全参数值； 根据所述回复消息，建立X2安全通道。
2. 根据权利要求1所述的方法，其特征是，所述安全参数集包括需要协商的参数的所 有可能选择。
3. 根据权利要求1所述的方法，其特征是，所述安全参数集包括IP-Sec参数集和IKE 参数集。
4. 根据权利要求3所述的方法，其特征是，所述IP-Sec参数集和IKE参数集的确立保 证以最小参数集最大限度的支持一次协商成功的原则。
5. 根据权利要求3所述的方法，其特征是，所述IKE参数集包括以下参数及每个参数所 有支持的取值： IKE 协议版本 IKE protocol version; IKE 协商模式 IKE exchange modelKE; IKE 验证 方式 IKE authentication mode ;IKE 加密算法 IKE encryption algorithm ;IKE 验证算法 IKE authentication algorithm ;IKE 的 Diffie-Hellman 组 Diffie-Hellman group of the IKE;和 IKEv2 版本使用的伪随机函数算法 Pseudo-random Function algorithm used in IKEv2 ； 且所述IP-Sec参数集包括以下参数及每个参数所有支持的取值： IP-Sec 协商的完善前向安全性的值 IPSec negotiation perfect forward secrecy; IP-Sec 封装模式 Encapsulation mode of an IPSec;IP-Sec 转换集 IPSec transform ;AH 认证算法 AH Authentication Algorithm ;ESP 认证协议使用的算法 ESP Authentication Algorithm ;和 ESP 加密协议使用的算法 ESP Encryption Algorithm。
6. -种X2安全通道建立方法，其特征是，包括： 基站接收对端基站发送的通知消息，所述通知消息包括安全参数集； 从所述安全参数集选择所述基站所支持的安全参数值； 向对端基站发送包括所选择的安全参数值的回复消息。
7. 根据权利要求6所述的方法，其特征是，所述安全参数集包括需要协商的参数的所 有可能选择。
8. 根据权利要求6所述的方法，其特征是，所述安全参数集包括IP-Sec参数集和IKE 参数集。
9. 根据权利要求8所述的方法，其特征是，所述IP-Sec参数集和IKE参数集的确立保 证以最小参数集最大限度的支持一次协商成功的原则。
10. 根据权利要求8所述的方法，其特征是，所述IKE参数集包括以下参数及每个参数 所有支持的取值： IKE protocol version ；IKE exchange modelKE ;IKE authentication mode ;IKE encryption algorithm ；IKE authentication algorithm ;Diffie_Hellman group of the IKE ;和 Pseudo-random Function algorithm used in IKEv2 ； 且所述IP-Sec参数集包括以下参数及每个参数所有支持的取值： IPSec negotiation perfect forward secrecy Encapsulation mode of an IPSec ； IPSec transform ；AH Authentication Algorithm ；ESP Authentication Algorithm;和 ESP Encryption Algorithm。
11. 一种基站，其特征是，包括： 存储模块，用于存储安全参数集； 接口模块，用于向对端基站发送通知消息，所述通知消息包括所述安全参数集；且所述 接口模块用于接收对端基站发送的回复消息，所述回复消息包括所述对端基站从所述安全 参数集选择的安全参数值； 通道建立模块，用于根据所述回复消息，建立X2安全通道。
12. 根据权利要求11所述的基站，其特征是，所述安全参数集包括需要协商的参数的 所有可能选择。
13. 根据权利要求11所述的基站，其特征是，所述安全参数集包括IP-Sec参数集和 IKE参数集。
14. 根据权利要求13所述的基站，其特征是，所述IP-Sec参数集和IKE参数集的确立 保证以最小参数集最大限度的支持一次协商成功的原则。
15. 根据权利要求13所述的基站，其特征是，所述IKE参数集包括以下参数及每个参数 所有支持的取值： IKE protocol version ；IKE exchange modelKE ;IKE authentication mode ;IKE encryption algorithm ；IKE authentication algorithm ;Diffie_Hellman group of the IKE ;和 Pseudo-random Function algorithm used in IKEv2 ； 且所述IP-Sec参数集包括以下参数及每个参数所有支持的取值： IPSec negotiation perfect forward secrecy Encapsulation mode of an IPSec ； IPSec transform ；AH Authentication Algorithm ；ESP Authentication Algorithm;和 ESP Encryption Algorithm。
16. 根据权利要求11所述的基站，其特征是，所述安全参数集包括至少一默认参数。
17. 根据权利要求11至16之一所述的基站，其特征是，所述通知消息为第一基站配置 传输消息，所述第一基站配置传输消息包括X2传输网络层配置消息，且所述安全参数集位 于该X2传输网络层配置消息内。
18. 根据权利要求11至17之一所述的基站，其特征是，所述回复消息为第二基站配置 传输消息。
19. 一种基站，其特征是，包括： 存储模块，用于存储该基站所支持的安全参数值； 接口模块，用于接收对端基站发送的通知消息，所述通知消息包括安全参数集； 选择模块，用于从所述安全参数集中选择该基站所支持的安全参数值； 所述接口模块，用于向对端基站发送包括所选择的安全参数值的回复消息。
20. 根据权利要求19所述的基站，其特征是，所述安全参数集包括需要协商的参数的 所有可能选择。
21. 根据权利要求19所述的基站，其特征是，所述安全参数集包括IP-Sec参数集和 IKE参数集。
22. 根据权利要求21所述的基站，其特征是，所述IP-Sec参数集和IKE参数集的确立 保证以最小参数集最大限度的支持一次协商成功的原则。
23. 根据权利要求21所述的基站，其特征是，所述IKE参数集包括以下参数及每个参数 所有支持的取值： IKE protocol version ；IKE exchange modelKE ;IKE authentication mode ;IKE encryption algorithm ；IKE authentication algorithm ;Diffie_Hellman group of the IKE ;和 Pseudo-random Function algorithm used in IKEv2 ； 且所述IP-Sec参数集包括以下参数及每个参数所有支持的取值： IPSec negotiation perfect forward secrecy Encapsulation mode of an IPSec ； IPSec transform ；AH Authentication Algorithm ；ESP Authentication Algorithm;和 ESP Encryption Algorithm。
24. 根据权利要求19所述的基站，其特征是，所述安全参数集包括至少一默认参数。
25. 根据权利要求19至24之一所述的基站，其特征是，所述通知消息为第一基站配置 传输消息，所述第一基站配置传输消息包括X2传输网络层配置消息，且所述安全参数集位 于该X2传输网络层配置消息内。
26. 根据权利要求19至24之一所述的基站，其特征是，所述回复消息为第二基站配置 传输消息。
【文档编号】H04W12/02GK104394528SQ201410675919
【公开日】2015年3月4日 申请日期:2012年1月4日 优先权日:2012年1月4日
【发明者】宋卓 申请人:华为技术有限公司