一种在异构网络中实现安全检测的方法、装置和系统的制作方法

一种在异构网络中实现安全检测的方法、装置和系统的制作方法
【专利摘要】本发明公开了在异构网络中实现安全检测的方法、装置和系统，UE与所述异构网络中的接入网中的MeNB以及LPN建有跨基站的双/多连接，所述LPN负责数据分流，该分流以RB为层次；MeNB通过与LPN间的Backhaul接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；MeNB与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入。本发明部署了MeNB与LPN的异构网络，以便为UE提供联合传输服务，并且本发明还提高了上述网络的安全性能，适用于各种Backhaul链路，能够安全、高效地为UE提供良好的联合传输服务。
【专利说明】—种在异构网络中实现安全检测的方法、装置和系统
【技术领域】
[0001]本发明涉及通信领域，尤其涉及一种在异构网络中实现安全检测的方法、装置和系统。
【背景技术】
[0002]随着无线通信技术和协议标准的不断演进，移动分组业务经历了巨大的发展，单个终端的数据吞吐能力不断提升。以长期演进(Long Term Evolution, LTE)系统为例,在20M带宽内可以支持下行最大速率为IOOMbps的数据传输；后续的增强LTE(LTE Advanced,LTE-A)系统中，数据的传输速率将进一步提升，甚至可以达到lGbps。
[0003]终端数据业务量膨胀式的增长，使得移动网络的服务能力和部署策略都面临着巨大的压力与挑战。运营商一方面需要增强现有的网络部署和通讯技术，另一方面希望加快新技术的推广和网络拓展，从而达到快速提升网络性能的目的。而移动通信系统发展至今，仅通过对宏网络(Macro network)进行增强以提供经济、灵活、高能力的服务变得越来越困难，因此，部署低功率节点(Lowpower Node, LPN)以提供小小区(Small cell)覆盖的网络策略成为极具吸引力的解决方案，尤其是在传输量巨大的室内/室外热点地区需要为用户提供良好的用户体验这一方面。
[0004]LPN部署方面的增强已经被第三代伙伴组织计划(Third GenerationPartnership Projects, 3GPP)确认为未来网络发展中最令人感兴趣的课题之一。在宏网络的覆盖范围中部署LPN，其传输、移动、安全和干扰等方面都与传统的宏网络有很大不同，在各基站独立为终端提供服务的过程中既存在诸多问题，又无法满足大数据量及高移动性的业务需求；而因为实际限制和历史因素等原因，LPN后向链路(Backhaul)的选择也是多种多样的，各接口的特性均有所不同，并且与宏网络间的协调交互有限。因此，在部署了 LPN的场景中，如何利用其特点与宏基站(Macro eNB, MeNB)间保持良好的协作机制，从而为用户设备(User Equipment,UE)提供优化的通讯服务，以满足更高带宽、更好性能、更低成本、更安全且适用多种后向链路的需求，是LTE通讯系统未来发展中亟需解决的重要议题，但目前尚未出现具体有效的技术支持。

【发明内容】

[0005]有鉴于此，本发明的主要目的在于提供一种在异构网络中实现安全检测的方法、装置和系统，以便在为UE提供联合传输服务时提高网络的安全性能。
[0006]为达到上述目的，本发明的技术方案是这样实现的:
[0007]一种在异构网络中实现安全检测的方法，UE与所述异构网络中的接入网中的MeNB以及LPN建有跨基站的双/多连接，所述LPN负责数据分流，该分流以RB为层次；MeNB通过与LPN间的Backhaul接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；该方法包括:
[0008]MeNB与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入。
[0009]MeNB接收所述上报消息之前，根据MeNB配置的分流到LPN进行传输的承载，LPN将自身与UE间在数据无线承载DRB上发送/接收的数据量通知给MeNB ；
[0010]所述上报消息中至少携带UE标识UE_ID、MeNB为UE配置的分流到LPN传输的各DRB的标识DRB_ID、以及在各DRB上发送/接收的数据量。
[0011]LPN发送所述上报消息的过程包括:
[0012]在LPN侧的数据量的数量值到达设定值时、或周期时间到达时，LPN向MeNB发送上报消息；或，
[0013]在MeNB决定发起安全检测时，MeNB向LPN发送数据量请求消息，请求LPN上报与UE间发送/接收的数据量；LPN收到数据量请求消息后按照MeNB的指示将相应的统计结果回复给MeNB。
[0014]MeNB与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入的过程包括:
[0015]UE接收来自MeNB的数量校验消息，将该消息中所指示的各DRB发送/接收的数据量与自身在各DRB上接收/发送的数据量进行比较；如果有两个DRB的数据量不一致，则UE将该DRB的标识、该DRB在上下行实际产生的数据量携带在数量校验响应消息中回复给MeNB ;由MeNB自行判断是否有攻击者插入数据包，并进行相应的处理。
[0016]该方法还包括:
[0017]在LPN发送上报消息时、或MeNB收到上报消息时，在该消息对应的具体数据量上附加在消息传递时间内所发生的数据包传输数量；或，
[0018]LPN在发送上报消息时附带时间值，以指示截至该时间值的时亥IJ、LPN与UE间发送/接收的数据量；并且，MeNB收到LPN的上报消息后，向UE发送数量校验Counter Check消息，该消息中携带MeNB与UE间的DRB、LPN与UE间的DRB在上下行方向分别产生的数据量，以及所述时间值。
[0019]一种在异构网络中实现安全检测的装置，该装置为MeNB，UE与所述异构网络中的LPN以及所述MeNB建有跨基站的双/多连接，所述接入网中的LPN负责数据分流，该分流以RB为层次；所述MeNB用于通过与LPN间的Backhaul接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；所述MeNB还用于:与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入。
[0020]所述MeNB用于在决定发起安全检测时，向LPN发送数据量请求消息，请求LPN上报与UE间发送/接收的数据量；并接收LPN按照MeNB的指示所回复的相应统计结果。
[0021]所述MeNB在与UE间通过传输控制面信息，以及检测是否有攻击者的插入时，用于:
[0022]接收来自UE的包含DRB的标识、DRB在上下行实际产生的数据量的数量校验响应消息，据此判断是否有攻击者插入数据包，并进行相应的处理。
[0023]所述MeNB还用于:
[0024]收到上报消息时，在该消息对应的具体数据量上附加在消息传递时间内所发生的数据包传输数量；或，
[0025]在收到LPN的上报消息后，向UE发送Counter Check消息，该消息中携带MeNB与UE间的DRB、LPN与UE间的DRB在上下行方向分别产生的数据量。
[0026]一种在异构网络中实现安全检测的装置，该装置为LPN，UE与所述异构网络中的MeNB以及所述LPN建有跨基站的双/多连接，所述接入网中的所述LPN负责数据分流，该分流以RB为层次；所述LPN用于通过与MeNB间的Backhaul接口发送上报消息，该上报消息中携带LPN与UE间发送/接收的数据量。
[0027]所述LPN用于:根据MeNB配置的分流到LPN以进行传输的承载，将自身与UE间在DRB上发送/接收的数据量通知给MeNB ；
[0028]所述上报消息中至少携带UE标识UE_ID、MeNB为UE配置的分流到LPN传输的各DRB的标识DRB_ID、以及在各DRB上发送/接收的数据量。
[0029]LPN发送所述上报消息时，用于:
[0030]在LPN侧的数据量的数量值到达设定值时、或周期时间到达时，向MeNB发送上报消息；或，
[0031]接收来自MeNB的数据量请求消息，按照MeNB的指示将相应的统计结果回复给MeNB0
[0032]所述LPN还用于:
[0033]在发送上报消息时，在该消息对应的具体数据量上附加在消息传递时间内所发生的数据包传输数量；或，
[0034]在发送上报消息时附带时间值，以指示截至该时间值的时刻、LPN与UE间发送/接收的数据量。
[0035]一种在异构网络中实现安全检测的系统，该系统包括MeNB、LPN, UE与所述异构网络中的所述MeNB以及LPN建有跨基站的双/多连接，所述接入网中的所述LPN负责数据分流，该分流以RB为层次；
[0036]所述MeNB用于通过与LPN间的Backhaul接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；所述MeNB还用于:与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入；
[0037]所述LPN用于通过与MeNB间的Backhaul接口发送上报消息,该上报消息中携带LPN与UE间发送/接收的数据量。
[0038]一种在异构网络中实现安全检测的系统，该系统包括异构网络形式的接入网、UE，UE与所述异构网络中的MeNB以及LPN建有跨基站的双/多连接，所述接入网中的LPN负责数据分流，该分流以RB为层次；其中，
[0039]所述接入网，用于:交互UE与该接入网中的LPN间发送/接收的数据量；还用于与UE间通过传输控制面信息，对比该接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入。
[0040]所述接入网包括MeNB、LPN ;其中，
[0041 ] 所述MeNB用于通过与LPN间的Backhaul接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；所述MeNB还用于:与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入；
[0042]所述LPN用于通过与MeNB间的Backhaul接口发送上报消息,该上报消息中携带LPN与UE间发送/接收的数据量。[0043]所述UE用于接收来自MeNB的数量校验消息，将该消息中所指示的各DRB发送/接收的数据量与自身在各DRB上接收/发送的数据量进行比较；如果有两个DRB的数据量不一致，则UE将该DRB的标识、该DRB在上下行实际产生的数据量携带在数量校验响应消息中回复给MeNB。
[0044]本发明在异构网络中实现安全检测的技术，能够由MeNB通过与LPN间的后向链路接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；MeNB与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入。因此上述由MeNB、LPN组成的异构网络能够为UE提供联合传输服务，并且还提高了网络的安全性能。
【专利附图】

【附图说明】
[0045]图1为本发明实施例的异构网络部署示意图；
[0046]图2为本发明实施例的系统架构示意图；
[0047]图3为本发明实施例的协议栈示意图；
[0048]图4为本发明实施例一的安全检测流程图；
[0049]图5为本发明实施例二的安全检测流程图；
[0050]图6为本发明实施例的安全检测流程简图。
【具体实施方式】
[0051]本发明提出一种部署了宏基站与低功率节点的异构网络，以便为UE提供联合传输服务，并且本发明还提出了提高上述网络的安全性能的方法。本发明适用于各种Backhaul链路，能够安全、高效地为UE提供良好的联合传输服务。
[0052]参见图1，在MeNB的覆盖范围内(如在热点地区)部署有一个或多个LPN，所述LPN可以是低功率微基站(Pico eNB)、中继节点(Relay Node)或家庭基站(HeNB)。相应的，LPN与MeNB间的Backhaul接口可以是有线接口(如光纤接口等)或无线接口(如Un□等)。
[0053]图2是本发明的系统架构示意图，图2所示系统包括核心网(Core Network, CN)、由MeNB和LPN组成的接入网，以及可支持多数据流收发机制的UE。上述核心网、接入网以及UE均可在LTE网络中使用。
[0054]其中，MeNB与核心网、UE间分别存在控制面(Control Plane, CP)、用户面(UserPlane, UP)连接，LPN与UE间存在UP连接，MeNB与LPN间存在可传输控制信令与用户数据的 Backhaul 接 口。
[0055]进一步的，从控制面来讲，MeNB 一方面负责与UE间的全部控制信令，另一方面负责LPN所需的控制面信息，使得LPN可持有必要的UE上下文信息，并且能够配置各协议层、对UE实施有效的调度；从用户面来讲，MeNB根据自身决定的分流策略，将从核心网接收到的用户数据的一部分通过自身与UE间的UP连接发送给UE，将用户数据的另一部分通过Backhaul接口发送给LPN，再由LPN通过空口发送给UE。
[0056]进一步的，MeNB决定的UE数据分流策略可以是以无线承载(Radio Bearer, RB)为分流粒度的，也就是说，对于服务质量(Quality of Service, QoS)不同的业务，MeNB可根据业务的QoS特性决定将业务通过不同的载波链路分别传输给UE。例如，实时业务(如话音)在MeNB与UE间的链路上传输；而数据量大、时延容忍的业务(如视频下载)被分流到LPN，再传输给UE。
[0057] 图3所示为所述分流策略的协议栈形式，包括MeNB将分流数据传输到LPN、再传递给UE的用户面部分(上行数据则反向)；以及MeNB与LPN间接口的控制面部分(LPN与UE间没有控制面)。其中，根据具体接口的有线/无线等特性，MeNB与LPN间的Backhaul接口协议栈形式也可以是其他形式。可以看到，在以RB为分流粒度时，网络侧分别有数据包汇聚协议(Packet Data Convergence Protocol,PDCP)实体及以下各低层协议实体(无线链路控制(Radio Link Control,RLC)子层、媒体接入控制(Medium Access Control,MAC)子层、物理层(Physical layer, PHY))位于 MeNB 和 LPN。
[0058]这样，负荷较重的MeNB可以将部分用户数据分流到LPN进行传输，UE在Smallcell间移动时也不需要执行切换流程，减轻了网络的信令负载；而对UE来说，多载波传输的频带拓宽能够更好地满足大数据量业务的需求，与距离较近的LPN传输也更为省电，因而能很好地提升用户体验。
[0059]在用户应用UE与接入网通过无线接口进行数据传输的过程中，网络侧需要提供、保障足够的安全。接入网需要了解网络侧发送/接收的数据量与UE接收/发送的数据量是否一致，以检测是否有攻击者插入无线链路并向用户发送攻击数据包。因此，本发明的系统架构存在一个安全方面的问题。在网络侧，因为与RB对应的rocp实体分别位于两个不同的节点，因此MeNB不清楚在某一时刻LPN实际向UE发送了多少数据包(上行亦然)?’另一方面，因为LPN与UE间没有控制面信令交互，所以也无法按照现有的检测程序来交互有关信息。因此如果有攻击者插入LPN与UE间的链路并向UE发送攻击数据包，MeNB无法及时获悉这一情况，因此安全性受到了影响。
[0060]为了提高本发明系统架构的安全性，使得网络侧能够尽快发现恶意攻击，本发明提出如下解决方案:
[0061]MeNB通过与LPN间的Backhaul接口接收来自LPN的上报消息，该消息中携带LPN与UE间发送/接收的数据量；
[0062]MeNB与UE间通过传输控制面信息，对比接入网与用户间实际发送/接收的数据量，以检测是否有攻击者的插入。
[0063]在发送上报消息时，根据MeNB配置的分流到LPN进行传输的承载，LPN可以将某一时间段内、自身与UE间在数据无线承载(Data Radio Bearer,DRB)上发送/接收的数据量通知给MeNB。所述消息中至少携带UE标识(UE_ID) ,MeNB为UE配置的分流到LPN传输的各DRB的标识(DRB_ID)、以及在各DRB上发送/接收的数据量O3DCP COUNT)。
[0064]LPN发送所述上报消息的机制可以有多种，比如以下两种:
[0065]1、单向消息:在LPN侧的数据量的数量(COUNT)值到达某一设定值时、或一定的周期时间到达时，LPN向MeNB发送上报消息。具体的设定值以及周期时间可以由MeNB、运营商/OAM进行配置，用于进行配置的信息可以在MeNB请求LPN建立承载时附带。
[0066]2、双向消息:由MeNB根据网络侧(也可辅以UE上报的信息)情况决定是否进行安全检测。在决定发起安全检测时，MeNB首先向LPN发送数据量请求消息，请求LPN上报与某UE间发送/接收的数据量；LPN收到数据量请求消息后即按照MeNB的指示将相应的统计结果回复给MeNB。
[0067]进一步的，LPN向MeNB上报的COUNT值可以只是最重要的前数位而不包含末尾的个位、十位等，即允许一定的误差量。但是，因为MeNB与LPN间的接口延迟可能较大，也就是说，当LPN向MeNB上报的信息到达MeNB时，UE与LPN间的发送/接收数据量早已改变，且改变值也已超出误差量所容许的范围。因此，为了避免误判的发生，网络侧需要作出一定的调整优化。举例来讲，可以有两种形式:
[0068]1、接入网(MeNB或LPN)对Backhaul接口的延迟量及分流承载的数据包的传输量有一定预估，那么在LPN发送上报消息时、或MeNB收到上报消息时，可以在该消息对应的具体数据量上附加一个在消息传递时间内所发生的数据包传输数量。具体执行节点可以由网络侧自行协调决定。
[0069]2、LPN在发送上报消息时附带时间值,如系统子巾贞编号(System Frame Number,SFN)，以指示截至SFN时亥lj、LPN与UE间发送/接收的数据量。
[0070]MeNB收到LPN的上报(也可称为回复)消息后，向UE发送数量校验(CounterCheck)消息，该消息中携带MeNB与UE间的DRB、LPN与UE间的DRB在上下行方向分别产生的数据量，以及所述时间值。这里所说的数据量只包含COUNT值最重要的前数位(如前25位)，即允许末几位的误差。
[0071]进一步的，如果在LPN之前所上报的消息中携带了 SFN标明的时间量，那么MeNB在向UE发送消息时同样可携带该SFN(显然，MeNB指示的COUNT值也是截至该SFN所发生的数据量)，以便UE进行准确的比较。
[0072]UE在收到MeNB的消息后，将该消息中所指示的各DRB发送/接收的数据量与自身在各DRB上接收/发送的数据量进行比较；如果某DRB的COUNT值前数位不一致，则UE将该DRB的标识、该DRB在上下行实际产生的数据量(全部位)携带在数量校验响应(CounterCheck Response)消息中回复给 MeNB。
[0073]最终，由MeNB自行判断是否有攻击者插入数据包，并进行相应的处理。
[0074]通过上述安全检测的实现方法，在本发明的系统架构中，通过异构网络的接入网中两基站间信令的传递，使得负责全部控制信令的宏基站能够全面、精确地与UE进行数据包数量校验，以便及时、准确地发现可能的攻击者，确保了网络的安全性。
[0075]下面结合不同的实施例对本发明进行进一步的说明。
[0076]实施例一:网络中部署有MeNB和LPN，这两种节点组成了本发明系统架构的接入网。在MeNB与LPN为UE提供联合传输的服务过程中，MeNB请求LPN上报LPN与UE间发送/接收的数据量，LPN根据MeNB的请求中包含的指示信息进行相应的回复。具体步骤如图4所示:
[0077]步骤1、UE按照现有的LTE流程接入到MeNB建立的宏小区中，并建立了可传输控制面信息的CP连接和可传输用户数据的UP连接。所述CP连接可以为无线资源控制连接(RRC Connection)。
[0078]步骤2、MeNB根据网络负荷及UE的测量上报等信息，决定将UE的某业务数据流(记为QoS2的RB2)分流到LPN进行传输，其余的业务数据流(记为QoSl的RBl)则仍在MeNB与UE间的无线链路上传输。
[0079]MeNB将必要的UE上下文及RB2参数等信息传递给LPN以请求为UE提供联合传输服务，LPN同意后回复响应消息。MeNB随即通过RRC连接重配置(ConnectionReconfiguration)消息通知UE添加Small cell,UE按照MeNB的指不与LPN间建立DRB2并向MeNB回复完成消息，如RRC连接重配置完成(Connection Reconfiguration Complete)消息。至此，UE与MeNB间仍存在CP和UP连接(如DRB1)，同时与LPN间也存在UP连接(DRB2)。以下行为例，MeNB将从核心网收到QoS2的IP包通过Backhaul接口转发给LPN，由LPN对收到的IP包进行层(L) 2 (如H)CP、RLC,MAC)、LI各协议层处理，最后经由无线接口在DRB2上传输给UE。
[0080]需要说明的是，上述两个步骤以LPN和MeNB实现为UE提供联合传输的流程为例，但也可以是经由其他的程序达到UE与两个/多个基站分别建有传输承载的通讯状态。
[0081]步骤3、在UE与接入网进行数据传输的过程中，网络侧需要提供、保障足够的安全。负责全部控制命令的MeNB需要了解网络侧发送/接收的数据量与UE接收/发送的数据量是否一致，以检测是否有攻击者插入到无线链路中并向用户发送攻击数据包。由此，MeNB需要了解LPN与UE间交互的数据量，即MeNB向LPN发送COUNT上报请求消息，该消息中至少需携带UE ID和DRB标识(此例中为DRB2)，以指明需要统计的具体UE、以及需向MeNB上报LPN在UE的DRB上发送/接收的数据量。可选的，MeNB在COUNT上报请求消息中也可以携带一组UE标识。
[0082]LPN在收到MeNB的COUNT上报请求消息后，按照消息中的指示，统计自身在UE的DRB上发送/接收的数据量，并在COUNT上报响应消息中回复给MeNB (消息中携带UE标识、DRB标识及各DRB上发送/接收的数据量)。按照COUNT上报请求消息中的指示，所述数据量可以只是COUNT值最重要的前数位(如不包括COUNT值的末个位、十位，仅指出前最高的全部位数)，即允许一定的误差量。
[0083]另外，MeNB向LPN发送的COUNT上报请求消息中除上述必选信元外，还可以携带下述信元中的至少一项=COUNT值步长、周期时间、SFN等。
[0084]可选的，MeNB可以通知LPN后续回复响应消息的时刻(即除LPN收到COUNT上报请求消息后随即回复的首条响应消息外)，回复响应消息可以因事件触发或周期上报。事件触发，即MeNB通知LPN —个门限(或称为步长)，LPN在DRB2上发送/接收的数据包COUNT值每增长一个步长时，LPN向MeNB上报一次。周期上报，即MeNB通知LPN —个周期时间量，计时每到达一个周期时间时，LPN向MeNB上报一次。
[0085]可选的，网络侧需要考虑到Backhaul接口时延导致的数据量差值，详细来讲，在LPN的上报消息经由Backhaul接口到达MeNB的过程中，DRB2上的数据包发送/接收仍在继续，即MeNB收到上报消息时，DRB2上发送/接收的数据量早已改变。因此，网络侧在校验时需要对此导致的差值作出一定评估优化，以避免对是否存在攻击者做出误判。这种优化可以是网络侧根据QoS2预估DRB2在接口时延内发生的数据量，由此在接下来向UE发送校验消息时附加所述数据量。或者，LPN在MeNB的请求消息的指示下，在上报消息中携带统计数据量截止的时间值SFN ;尤其是事件触发的上报中，LPN应向MeNB通知数据量到达某一门限时的具体时刻。
[0086]步骤4、MeNB向UE发送Counter Check消息，该消息中携带DRB标识(DRB1、DRB2)及各DRB的C0UNT_Uplink (上行接收数据量)、⑶UNT_Downlink (下行发送数据量)的最重要的前数位(如前25位，即允许末几位的、可能由空口传输时间等造成的误差)。与步骤3相对应，Counter Check消息中还可携带SFN值，即通知UE只需要比对截止到SFN时刻所接收/发送的数据量即可。
[0087]UE将在Counter Check消息中标明的数据量与自身在各DRB上接收/发送的数据量进行对比，如果两个数据量(前数位)不一致,则UE在Counter Check Response消息中标明该DRB标识及在自身该DRB上接收/发送的实际数据量(COUNT值全部位数)并回复给MeNB ;如果两个数据量一致,则UE在Counter Check Response消息中不携带该DRB的任何息。
[0088]MeNB接收到UE的Counter Check Response消息后，根据具体配置进行是否有攻击者的判断及相应的后续处理。
[0089]实施例二:与实施例一的部署场景相同，在MeNB与LPN为UE提供联合传输的服务过程中，LPN主动上报其与UE间发送/接收的数据量(MeNB不需请求和回复)。具体步骤如图5所示:
[0090]步骤1、与实施例一的步骤I类似，UE接入到宏小区并建立CP、UP连接。
[0091]步骤2、与实施例一的步骤2类似，MeNB将UE的某业务数据流(记为QoS2的RB2)分流到LPN进行传输，其余的业务数据流(记为QoSl的RBl)仍在MeNB与UE间的无线链路上传输。MeNB与LPN间建立控制和数据转发隧道;UE按照MeNB的指示与LPN间建立DRB2以传输分流数据，而UE与MeNB间仍存在CP和UP连接(DRBl)。
[0092]步骤3、接入网中的基站与已接入用户间进行点对点传输(发送/接收)的数据量应一致，以确保链路中没有攻击者的插入。但在本发明的系统架构中，LPN与UE间没有控制面链路，所以无法执行现有的Counter Check流程。因此，LPN需要将自身与UE间交互的数据量通知MeNB，即LPN向MeNB发送上报消息，该消息中需携带UE标识、DRB标识(此例中为DRB2)及在各DRB上发送/接收的数据量(这个数据量可以只是COUNT值最重要的前数位，即允许一定的误差量)。可选的，LPN可以在上报消息中携带多个UE的标识、这些UE分别与LPN间传输数据的DRB的标识、以及LPN分别在这些DRB上发送/接收的数据量。
[0093]进一步的，LPN向MeNB发送上报消息可以因事件触发或周期上报。事件触发，即LPN在DRB2上发送/接收的数据包每增长一个设定值时，LPN向MeNB上报一次。周期上报，即计时每到达一个周期时间时，LPN向MeNB上报一次。具体的设定值或周期时间可以由MeNB在与LPN建立承载的传输隧道时即配置给LPN，也可以由运营商/OAM配置给LPN。
[0094]进一步的，网络侧需要考虑到Backhaul接口时延导致的数据量差值。可以由网络侧(MeNB或LPN)根据QoS2预估DRB2在接口时延内发生的数据量，由此MeNB在向UE发送校验消息时附加所述数据量。或者，LPN在上报消息中携带统计数据量截止的时间值SFN;尤其是事件触发的上报中，LPN应向MeNB通知数据量到达某一设定值时的具体时刻。
[0095]步骤4、MeNB收到LPN的上报消息后可向UE发送Counter Check消息(具体发送该消息的时刻可由MeNB自行决定)，该消息中携带DRB标识(DRB1、DRB2)及各DRB的C0UNT_Uplink(上行接收数据量)、C0UNT_Downlink(下行发送数据量)的最重要的前数位(如前25位，即允许末几位的、可能由空口传输时间等造成的误差)。与步骤3相对应，CounterCheck消息中还可携带SFN值，即通知UE只需要比对截止到SFN时刻所接收/发送的数据量即可。
[0096]UE将在Counter Check消息中标明的数据量与自身在各DRB上接收/发送的数据量进行对比，如果两个数据量(前数位)不一致，则UE在Counter Check Response消息中标明该DRB标识及在自身该DRB上接收/发送的实际数据量(COUNT值全部位数)并回复给 MeNB。
[0097]MeNB接收到UE的Counter Check Response消息后,根据具体配置进行是否有攻击者的判断及相应的后续处理。
[0098]结合以上所述可见，本发明在异构网络中实现安全检测的操作思路可以表示如图6所示的流程，该流程包括以下步骤:
[0099]步骤610 =MeNB通过与LPN间的后向链路接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；
[0100]步骤620 =MeNB与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入。
[0101]综上所述可见，无论是方法、装置还是系统，本发明在异构网络中实现安全检测的技术，能够由MeNB通过与LPN间的后向链路接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；MeNB与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入。因此上述由MeNB、LPN组成的异构网络能够为UE提供联合传输服务，并且还提高了网络的安全性能。
[0102]本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
[0103]以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。
【权利要求】
1.一种在异构网络中实现安全检测的方法，用户设备UE与所述异构网络中的接入网中的宏基站MeNB以及低功率节点LPN建有跨基站的双/多连接，所述LPN负责数据分流，该分流以无线承载RB为层次；其特征在于，MeNB通过与LPN间的后向链路Backhaul接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；该方法包括: MeNB与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入。
2.根据权利要求1所述的方法，其特征在于，MeNB接收所述上报消息之前，根据MeNB配置的分流到LPN进行传输的承载，LPN将自身与UE间在数据无线承载DRB上发送/接收的数据量通知给MeNB; 所述上报消息中至少携带UE标识UE_ID、MeNB为UE配置的分流到LPN传输的各DRB的标识DRB_ID、以及在各DRB上发送/接收的数据量。
3.根据权利要求2所述的方法，其特征在于，LPN发送所述上报消息的过程包括: 在LPN侧的数据量的数量值到达设定值时、或周期时间到达时，LPN向MeNB发送上报消息；或， 在MeNB决定发起安全检测时，MeNB向LPN发送数据量请求消息，请求LPN上报与UE间发送/接收的数据量；LPN收到数据量请求消息后按照MeNB的指示将相应的统计结果回复给 MeNB。
4.根据权利要求1至3任一项所述的方法，其特征在于，MeNB与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入的过程包括: UE接收来自MeNB的数量校验消息，将该消息中所指示的各DRB发送/接收的数据量与自身在各DRB上接收/发送的数据量进行比较；如果有两个DRB的数据量不一致，则UE将该DRB的标识、该DRB在上下行实际产生的数据量携带在数量校验响应消息中回复给MeNB;由MeNB自行判断是否有攻击者插入数据包，并进行相应的处理。
5.根据权利要求1所述的方法，其特征在于，该方法还包括: 在LPN发送上报消息时、或 MeNB收到上报消息时，在该消息对应的具体数据量上附加在消息传递时间内所发生的数据包传输数量；或， LPN在发送上报消息时附带时间值，以指示截至该时间值的时刻、LPN与UE间发送/接收的数据量；并且，MeNB收到LPN的上报消息后，向UE发送数量校验Counter Check消息，该消息中携带MeNB与UE间的DRB、LPN与UE间的DRB在上下行方向分别产生的数据量，以及所述时间值。
6.一种在异构网络中实现安全检测的装置，该装置为MeNB，UE与所述异构网络中的LPN以及所述MeNB建有跨基站的双/多连接，所述接入网中的LPN负责数据分流，该分流以RB为层次；其特征在于，所述MeNB用于通过与LPN间的Backhaul接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；所述MeNB还用于:与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入。
7.根据权利要求6所述的装置，其特征在于，所述MeNB用于在决定发起安全检测时，向LPN发送数据量请求消息，请求LPN上报与UE间发送/接收的数据量；并接收LPN按照MeNB的指示所回复的相应统计结果。
8.根据权利要求6或7所述的装置，其特征在于，所述MeNB在与UE间通过传输控制面信息，以及检测是否有攻击者的插入时，用于: 接收来自UE的包含DRB的标识、DRB在上下行实际产生的数据量的数量校验响应消息，据此判断是否有攻击者插入数据包，并进行相应的处理。
9.根据权利要求6所述的装置，其特征在于，所述MeNB还用于: 收到上报消息时，在该消息对应的具体数据量上附加在消息传递时间内所发生的数据包传输数量；或， 在收到LPN的上报消息后，向UE发送Counter Check消息，该消息中携带MeNB与UE间的DRB、LPN与UE间的DRB在上下行方向分别产生的数据量。
10.一种在异构网络中实现安全检测的装置，该装置为LPN，UE与所述异构网络中的MeNB以及所述LPN建有跨基站的双/多连接，所述接入网中的所述LPN负责数据分流，该分流以RB为层次；其特征在于，所述LPN用于通过与MeNB间的Backhaul接口发送上报消息，该上报消息中携带LPN与UE间发送/接收的数据量。
11.根据权利要求10所述的装置，其特征在于，所述LPN用于:根据MeNB配置的分流到LPN以进行传输的承载，将自身与UE间在DRB上发送/接收的数据量通知给MeNB ； 所述上报消息中至少携带UE标识UE_ID、MeNB为UE配置的分流到LPN传输的各DRB的标识DRB_ID、以及在各DRB上发送/接收的数据量。
12.根据权利要求11所述的装置，其特征在于，LPN发送所述上报消息时，用于: 在LPN侧的数据量的数量值到达设定值时、或周期时间到达时，向MeNB发送上报消息；或， 接收来自MeNB的数据量请求消息，按照MeNB的指示将相应的统计结果回复给MeNB。
13.根据权利要求10至12任一项所述的装置，其特征在于，所述LPN还用于: 在发送上报消息时，在该消息对应的具体数据量上附加在消息传递时间内所发生的数据包传输数量；或， 在发送上报消息时附带时间值，以指示截至该时间值的时刻、LPN与UE间发送/接收的数据量。
14.一种在异构网络中实现安全检测的系统，该系统包括MeNB、LPN, UE与所述异构网络中的所述MeNB以及LPN建有跨基站的双/多连接，所述接入网中的所述LPN负责数据分流，该分流以RB为层次；其特征在于， 所述MeNB用于通过与LPN间的Backhaul接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；所述MeNB还用于:与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入； 所述LPN用于通过与MeNB间的Backhaul接口发送上报消息,该上报消息中携带LPN与UE间发送/接收的数据量。
15.一种在异构网络中实现安全检测的系统，该系统包括异构网络形式的接入网、UE，UE与所述异构网络中的MeNB以及LPN建有跨基站的双/多连接，所述接入网中的LPN负责数据分流，该分流以RB为层次；其特征在于，所述接入网，用于:交互UE与该接入网中的LPN间发送/接收的数据量；还用于与UE间通过传输控制面信息，对比该接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入。
16.根据权利要求15所述的系统，其特征在于，所述接入网包括MeNB、LPN;其中， 所述MeNB用于通过与LPN间的Backhaul接口接收来自LPN的上报消息，该上报消息中携带LPN与UE间发送/接收的数据量；所述MeNB还用于:与UE间通过传输控制面信息，对比接入网与UE间实际发送/接收的数据量，以检测是否有攻击者的插入； 所述LPN用于通过与MeNB间的Backhaul接口发送上报消息,该上报消息中携带LPN与UE间发送/接收的数据量。
17.根据权利要求15或16所述的系统，其特征在于， 所述UE用于接收来自MeNB的数量校验消息，将该消息中所指示的各DRB发送/接收的数据量与自身在各DRB上接收/发送的数据量进行比较；如果有两个DRB的数据量不一致，则UE将该DRB的标识、该DRB在上下行实际产生的数据量携带在数量校验响应消息中回复给 MeNB。
【文档编号】H04W12/00GK103974238SQ201310029731
【公开日】2014年8月6日 申请日期:2013年1月25日 优先权日:2013年1月25日
【发明者】王昕 , 和峰 申请人:中兴通讯股份有限公司