家庭基站及IP配置的方法与流程

本发明涉及通讯技术领域，尤其涉及一种家庭基站及IP配置的方法。

背景技术：

第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)和移动宽带化趋势推出的超小型化移动基站Femtocell(也称为家庭基站)，是一种应用于家庭或者办公室网络的微基站产品，采用扁平化的网络架构实现了固定网络与移动网络融合(Fixed Mobile Convergence，FMC)。其具有提高室内覆盖质量、布署方便、用户离网率低及价格低廉等特点，因而受到业界的广泛关注。但家庭基站工作于授权频段，网络设定易与移动运营商核心网络的IP设定相冲突，造成移动用户的服务中断。

技术实现要素：

鉴于以上内容，有必要提出一种家庭基站及家庭基站IP配置的方法，能够通过自动认证取得IP地址，避免与接入的移动运营商的核心网络发生网络冲突。

一种家庭基站，所述家庭基站包括：存储器，存储程序代码；及处理器，执行所述程序代码，所述程序代码使所述处理器：请求并接收本地网络的接入点分配的本地IP地址；当所述家庭基站通过移动运营商的核心网络的授权认证，判断由本地网络分配的本地IP地址与由核心网络分配的IP地址是否相同；及当相同且预先设置了核心网络优先时接收核心网络分配的IP地址。

一种家庭基站IP配置的方法，应用于家庭基站中，所述方法包括：请求并接收本地网络的接入点分配的本地IP地址；当所述家庭基站通过移动运营商的核心网络的授权认证，判断由本地网络分配的本地IP地址与由核心网络 分配的IP地址是否相同；及当相同且预先设置了核心网络优先时接收核心网络分配的IP地址。

相较于现有技术，本发明所述的家庭基站及家庭基站IP配置的方法，通过结合本地IP地址与移动运营商的核心网络的IP地址做相互认证协调出合适的IP地址。

附图说明

图1是现有技术家庭基站较佳实施例的网络架构图。

图2是本发明IP配置系统较佳实施例的功能模块图。

图3是本发明家庭基站IP配置的方法之一较佳实施例的流程图。

图4是本发明家庭基站IP配置的方法之二较佳实施例的流程图。

图5是本发明家庭基站接入核心网的授权认证较佳实施例的数据流图。

图6为现有技术CP载荷的部分属性配置。

图7为本发明所提出的CP载荷的部分属性配置。

主要元件符号说明

家庭基站 10

安全网关 20

AAA服务器 30

HSS服务器 40

核心网络 50

移动用户 2

存储设备 100

处理器 101

IP配置系统 103

开启模块 201

接收模块 202

判断模块 203

认证模块 204

服务模块 205

分配模块 206

如下具体实施方式将结合上述附图进一步说明本发明。

具体实施方式

因本发明涉及到长期演进技术(long term evolution，LTE)中家庭基站概念，所以先解释一下涉及到的相关技术术语。

Femtocell：小型低功率的无线接入点，相当于小型基站，一般放置在家里或者小型办公室，因此又被称为毫微微蜂窝基站或家庭基站。

SeGW：Security Gateway，安全网关。

IPSec：Security Architecture for IP network，IP层协议安全结构。

AAA服务器：AAA是验证、授权和记账(Authentication、Authorization、Accounting)三个英文单词的简称。

HSS：Home Subscriber Server，归属用户服务器，是支持用于处理包含用户配置文件，执行用户的身份验证和授权，并可提供有关用户物理位置的信息。

EAP-AKA：Extensible Authentication Protocol-Authentication and Key Agreement，认证与密钥分配协议。

IKE：Internet Key Exchange，IPSec密钥交换协议。

SIM卡：Subscriber Identity Module，用户识别卡。

IP：Local IP Access，本地IP存取，用户的数据直接链接家里的局域网到因特网，不经过营运商的核心网，因此减轻核心网的负荷和传输成本。

DHCP：dynamic host configuration protocol，动态主机配置协议，是一种使网络管理员能够集中管理和自动分配IP网络地址的通信协议。

请参阅图1，为现有技术家庭基站较佳实施例的网络架构图。

所述家庭基站网络架构包括，但不仅限于，移动用户2、家庭基站10、 安全网关20、AAA服务器30、HSS服务器40及核心网络50。

所述家庭基站10用于移动用户2通过数字用户线路(Digital Subscriber Line，DSL)或者宽带接口建立与核心网络50的连接。所述核心网络50可以是3G网。所述核心网络50还可以是4G网。所述家庭基站10与至少一个移动用户2建立通讯连接。所述移动用户2可以是手机、平板电脑等移动设备，还可以是打印机、传真机等办公设备。

所述家庭基站10内有一个SIM卡，所述SIM卡自带一组身份标识(Identity，ID)信息、设备信息和配置信息。在本实施例中，所述家庭基站10加电后，通过所述SIM卡将ID信息夹带在IKE的封包中，通过安全网关20发送至所述AAA服务器30，以便所述AAA服务器30验证所述家庭基站10是否可接入所述核心网络50。

所述安全网关20用于确保移动用户通过家庭基站10接入移动运营商的核心网络50的安全。

所述AAA服务器30用于接收由家庭基站10传送的IKE封包，以通过验证ID信息判断所述家庭基站10是否能够接入所述核心网络50。当家庭基站10的ID信息通过AAA服务器30的验证时，AAA服务器30将回馈一组验证成功的信息至安全网关20，通过该安全网关20将验证成功的信息回馈至所述家庭基站10。

所述HSS服务器40用以使家庭基站10完成注册，以使家庭基站10接入核心网络50，自动完成IP连接和IP分配，进行远程的自动软件升级、自动网络规划等。

请参阅图2所示，是本发明IP配置系统较佳实施例的功能模块图。

在本实施例中，IP配置系统103安装并运行于所述家庭基站10中。IP配置系统103可以被分割成一个或多个模块，所述一个或者多个模块均被存储于所述家庭基站10的存储设备100中，并由一个或多个处理器(本实施例为一个处理器101)所执行，以完成本发明。例如，所述IP配置系统103包括接收模块开启模块201、接收模块202、判断模块203、认证模块204，服务模块205及分配模块206。本发明所称的模块是指能够完成设置功能的一 系列计算机程序段。以下将结合图3和图4的流程图来描述模块201-206的具体功能。

根据不同的需求，所示图3及图4的流程图中步骤的执行顺序可以改变，某些步骤可以省略。

图3是本发明家庭基站IP配置的方法之一较佳实施例的流程图。

步骤301，用户通过开启模块201开启所述家庭基站10的DHCP服务功能。具体地，用户可以登录所述家庭基站10的管理界面，手动开启DHCP服务功能。

步骤302，判断模块203判断家庭基站10是否设置了核心网络50优先。所述家庭基站10可以事先由用户设置是否核心网络50优先。如果判断模块203判断家庭基站10设置了核心网络50优先，执行步骤303；如果判断模块203判断家庭基站10设置了本地网络优先，执行步骤305。所述本地网络可以是局域网。

步骤303，判断模块203判断所述家庭基站10是否通过了所述核心网络50的授权认证。所述判断模块203判断所述家庭基站10是否通过了所述核心网络50的授权认证是通过判断所述安全网关20返回的配置载荷应答中封装的一条属性值的长度来判断。如果该条属性值长度为8，则表明所述家庭基站10通过了所述核心网络50的授权认证；如果该条属性值长度为0，则表明所述家庭基站10没有通过所述核心网络50的授权认证。需要说明的是，如果所述家庭基站10通过了所述核心网络50的授权认证，则核心网络50通过安全网关20分配一组IP地址给所述家庭基站10。所述安全网关20分配一组IP地址封装在返回给所述家庭基站10的配置载荷应答中。如果所述判断模块203判断所述家庭基站10通过了所述核心网络50的授权认证，执行步骤307；如果所述判断模块203判断所述家庭基站10没有通过所述核心网络50的授权认证，执行步骤304。

步骤304，认证模块204启动所述家庭基站10接入所述核心网络50的授权认证过程。所述家庭基站10接入核心网络50的授权认证过程具体如图5所示。

步骤305，家庭基站10事先由用户设置本地网络优先时，判断模块203判断家庭基站10是否配置了本地IP地址。所述本地IP地址是由DHCP服务器自动获取本地网络的IP地址。所述判断模块203判断家庭基站10配置了本地IP地址是通过判断家庭基站10接入了本地网络。如果家庭基站10通过DHCP服务配置了本地IP地址，执行步骤307；如果家庭基站10没有通过DHCP服务配置本地IP地址，执行步骤306。

步骤306，DHCP服务器通过分配模块206自动为家庭基站10分配IP地址。

步骤307，家庭基站10依据移动用户2的请求为移动用户2分配IP地址。

图4是本发明家庭基站关闭或者没有DHCP服务功能时IP配置的方法较佳实施例的流程图。

步骤401，接收模块202请求本地网络的接入点的DHCP服务器分配IP地址给家庭基站10。

步骤402，判断模块203判断家庭基站10是否通过了所述核心网络50的授权认证。所述判断模块203判断所述家庭基站10是否通过了所述核心网络50的授权认证是通过判断所述安全网关20返回的配置载荷应答中封装的一条属性值的长度来判断。如果该条属性值长度为8，则表明所述家庭基站10通过了所述核心网络50的授权认证；如果该条属性值长度为0，则表明所述家庭基站10没有通过所述核心网络50的授权认证。需要说明的是，如果所述家庭基站10通过了所述核心网络50的授权认证，则核心网络50通过安全网关20分配一组IP地址给所述家庭基站10。所述安全网关20分配一组IP地址封装在返回给所述家庭基站10的配置载荷应答中。如果所述判断模块203判断所述家庭基站10通过了所述核心网络50的授权认证，执行步骤404；如果所述判断模块203判断所述家庭基站10没有通过所述核心网络50的授权认证，执行步骤403。所述步骤403，认证模块204启动所述家庭基站10接入所述核心网络50的授权认证过程。所述家庭基站10接入核心网络50的授权认证过程具体如图5所示。

步骤404，判断模块203判断从本地网络取得的本地IP地址与由移动运 营商的核心网络50分配的IP地址是否相同。如果相同，执行步骤405，将从本地网络取得的本地IP地址反馈给DHCP服务器，请求DHCP服务器重新分配IP地址；如果不相同，执行步骤406。

步骤406，判断模块203判断所述家庭基站10是否设置了核心网络50优先。所述家庭基站10可以事先由用户设置是否核心网络50优先。如果判断模块203判断家庭基站10设置了核心网络50优先，执行步骤407；如果判断模块203判断家庭基站10设置了本地网络优先，执行步骤408。所述本地网络与移动运营商的核心网络50不是同一个网络，本地网络可以是局域网。

步骤407，服务模块205接收核心网络50分配的IP地址。

步骤408，服务模块205维持本地网络分配的本地IP地址。

图5是本发明家庭基站接入核心网的授权认证较佳实施例的数据流图。

每个家庭基站10都有一个全球唯一的ID以及和安全网关20之间相互鉴权的安全证书。

所述家庭基站10和核心网络50之间的授权认证过程中的交互信息都是基于IP协议进行传输，目前3GPP已经采纳国际协议安全(Internet Protocol Security，IPSec)作为网络节点间的通信安全保护技术，即家庭基站10和安全网关20之间执行交互认证后，家庭基站10和安全网关20间建立安全隧道以保护家庭基站10和安全网关20之间交互的信息安全。3GPP中结合证书和基于认证与密钥分配协议(Extensible Authentication Protocol-Authentication and Key Agreement，EAP-AKA)进行身份认证，授权认证的具体过程如下所示。

S501，家庭基站10安全启动，并执行家庭基站10的设备完整性检查。

S502，当设备完整性检查成功之后，家庭基站10发送一个IKE_SA_INIT请求给安全网关20。所述IKE_SA_INIT请求包含了基本的会话密钥(session key，SK)和密钥交换材料。

S503，安全网关20向家庭基站10返回IKE_SA_INIT响应并请求一个证书。所述IKE_SA_INIT响应中指示出了安全网关20将通过认证载荷 (authentication，AUTH)来支持多个认证。

S504，家庭基站10通过IKE_AUTH请求向安全网关20发送一个证书。所述证书包含了家庭基站10的身份标识、AUTH、SK等。

所述SK信息中包含了配置载荷请求(Configuration Payloads request，CP_REQUEST)。所述CP_REQUEST中携带有家庭基站10的IP地址请求信息。CP_REQUEST中的部分属性配置如图6和图7所示，其中图6为现有技术CP_REQUEST的部分属性配置，图7为本发明所提出的CP_REQUEST的部分属性配置。本实施例通过新增一条属性封装在CP_REQUEST中。新增的属性为INTERNAL_IP4_LOCAL_SUBNET，表明家庭基站10请求获取多组IP地址。当家庭基站10没有从DHCP服务器中取得本地IP地址时，CP_REQUEST中新增的INTERNAL_IP4_LOCAL_SUBNET属性长度值定义为0。当家庭基站10从DHCP服务器中已事先取得本地IP地址时，CP_REQUEST中新增的INTERNAL_IP4_LOCAL_SUBNET属性长度值定义为8。

S505，安全网关20检查从家庭基站10得到的AUTH的正确性，并且计算AUTH用来认证下一个IKE_SA_INIT消息，安全网关20还认证从家庭基站10得到的证书。

S506，安全网关20发送一个IKE_AUTH响应给家庭基站10。所述IKE_AUTH响应包含了安全网关20本身的身份标识、AUTH以及安全网关20的证书信息。

其中，S402和S403构成了一个IKE_SA_INIT初始交换，用于协商加密算法。S404和S406构成了一个IKE_AUTH初始交换，可认证IKE_SA_INIT的初始交换信息。所述家庭基站10与安全网关20双方交换信息和证书，同时建立起了一个IKE_SA。

S507，家庭基站10利用已预先存储的根证书认证安全网关20的证书。所述根证书是指所述安全网关20的未被签名的公钥证书或自签名的证书。所述根证书需安全的存储在家庭基站10中。

S508，家庭基站10发送第二次IKE_AUTH请求给安全网关20，表明家 庭基站10想执行可扩展身份验证协议(Extensible Authentication Protocol，EAP)。所述第二次IKE_AUTH请求中包含了家庭基站10的身份标识。

S509，安全网关20向AAA服务器30发送携带空的EAP请求消息。所述EAP请求中包含了在S408中接收到的家庭基站10的身份标识。

S510，AAA服务器30从HSS服务器获取用户信息和认证向量。所述认证向量包括挑战随机数RAND、认证令牌(authentication token，AUTN)、认证挑战SRES、加密密钥(Cipher Key，CK)和完整性秘钥(integrity key，IK)等。

S511，AAA服务器30通过认证与密钥分配协议(Extensible Authentication Protocol-Authentication and Key Agreement，EAP-AKA)请求将将认证挑战发送给安全网关20。所述认证与密钥分配协议请求认证挑战是以EAP-Request/AKA-Challenge消息发送的。

S512，安全网关20向家庭基站10发送IKE_AUTH响应消息。所述IKE_AUTH响应消息中包含了从AAA服务器30接收到的EAP-Request/AKA-Challenge消息。

S513，家庭基站10认证AAA服务器30的认证挑战证书。

S514，家庭基站10通过EAP-Response/AKA-Challenge响应消息将认证挑战消息发送给安全网关20。当家庭基站10需要基于安全网关20的证书来认证安全网关20时，家庭基站10需要检查S512中接收到的AUTH。

S515，安全网关20向AAA服务器30转发EAP-Request/AKA-Challenge消息。

S516，当所有的认证成功时，AAA服务器30向安全网关20返回包含一个EAP成功和密钥材料的认证应答，所述密钥材料应该包含在认证过程中生成的主会话密钥(main session key，MSK)中，为了认证IKE_SA_INIT，安全网关20将会使用MSK生成AUTH。

S517，安全网关20通过密钥材料计算AUTH。

S518，安全网关20将EAP成功消息发送给家庭基站10。

S519，家庭基站10将使用它自己保存的MSK作为输入参数生成认证 AKA消息。

S520，家庭基站10向安全网关20发送LKE_AUTH请求。

S521，安全网关20认证从家庭基站10接收到的AUTH的正确性并且计算认证IKE_SA_INIT消息中的AUTH，最后向家庭基站10发送LKE_AUTH响应。所述LKE_AUTH响应中携带有SK信息。所述SK信息中包含了配置载荷应答(Configuration Payloads replay，CP_REPLY)。当安全网关20从AAA服务器30中接收了一组IP地址，则封装在所述CP_REPLY中的INTERNAL_IP4_LOCAL_SUBNET属性长度值为8。至此家庭基站10与安全网关20完成了交互授权认证的过程，IKE协商结束。

S522，如果安全网关20检测到对于这个家庭基站10已经有一个旧的IKE SA存在了，则安全网关20删除这个IKE SA并且向家庭基站10发送包含一个删除载荷的消息交换以在家庭基站10上删除旧的IKE SA。

应当说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照以上较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。