用于配置安全参数的方法、服务器、基站和通信系统技术方案

本发明专利技术公开了一种配置安全参数的方法、服务器、基站和通信系统。本发明专利技术实施例提供一种在网络中配置安全参数的方法，所述网络包括至少一个基站和提供业务给所述至少一个基站的服务器，所述方法包括：所述服务器更新所述至少一个基站的安全参数；所述服务器向所述至少一个基站发送所述更新的安全参数，使得所述至少一个基站根据所述更新的安全参数在彼此之间传输数据。通过设置服务器配置更新的安全参数给一组基站，不需要基站之间的密钥协商，使得性能消耗可以降低。

Method, server, base station and communication system for configuring security parameters

The invention discloses a method for configuring security parameters, a server, a base station and a communication system. The embodiment of the invention provides a method for configuring security parameters in the network, the network comprising at least one base station and provide services to the at least one base station server, the method includes: a security parameter of the server updates the at least one base station; the server to the security parameters at least one of the base station sends the update, so that the at least one base station according to the security parameters update between data transmission. By configuring the server to configure the updated security parameters to a set of base stations without requiring a key agreement between base stations, performance savings can be reduced.

【技术实现步骤摘要】
【国外来华专利技术】用于配置安全参数的方法、服务器、基站和通信系统
本专利技术涉及通信领域，尤其涉及一种用于配置安全参数的方法、服务器、基站和通信系统。
技术介绍
在LTE(长期演进)网络中，X2是一种新型接口，它以端到端的方式连接相邻eNodeB以帮助切换并且提供一种方式用于无线资源的快速协调。LTE通过经由X2接口在进行切换的相邻eNodeB之间的直连基站间连接引入了新的传输网络选择。因此，部分网状网的部署是有益的，因为流量不必流经集线器站点。E-UTRAN(演进型通用陆地无线接入网)内切换用于在MME没有改变时使用X2将UE(用户设备)从源eNodeB切换到目标eNodeB。图1为E-UTRAN内切换如何工作的流程图，如图1所示，在此处描述的场景中，服务网关同样没有改变。假设服务GW和源eNodeB之间以及服务网关和目标eNodeB之间存在IP连接。目标eNodeB和服务网关之间的S1-U接口上的用户平面数据不安全，而且如果传输网络没有得到物理上保护，这些数据可能会被公开。在许多情况下，运营商拥有他们自己的传输网络，所以不需要额外的安全防护。然而，如果用户流泪将要遍历第三方非信任网络，那么用户流量应该受到保护。在此类情况下，3GPP(第三代合作伙伴计划)规定了应该使用隧道模式下的IPSec(因特网协议安全协议)封装安全载荷协议(ESP)。但是这给用户数据增加了更多的开销。NGMN(下一代移动网络)回程组假设IPSecESP(封装安全载荷协议)在传输协议开销(总共25％)之上增加了额外的14％。图2为LTE信任模型的拓扑图。众所周知，用户平面、控制平面和管理平面都必须由IPSec保护。对IPSec隧道和密钥管理的要求在讨论三层安全和认证框架的3GPP文档TS33.210[2]和TS33.31中定义。这些文档要求IPSecESP遵从RFC4303(“IP封装安全载荷协议(ESP)，RFC4303”)以支持完整性和重放保护，并且要求由IKEv2(“因特网密钥交换(IKEv2)协议”，RFC4306)进行证书认证。安全防护的原因包括：eNodeB接入网应进行认证，从而保护订户特定会话，并且经过未授权的第三方网络；S1-U和X2-U上的用户数据应被完整、保密地传输。IPSec要求包括：根据3GPP，eNodeB应该支持IPSec隧道模式，而IPSec传输模式是可选的。此外，如果S1&X2传输是可信任的，例如物理保护，则不需要IPSec/IKEv2。图3为下一代移动网络(NGMN)的拓扑图。根据NGMN，建议每个eNodeB最多支持16个S1接口，每个eNodeB最多支持32个X2接口。在人口高度密集的地区，部署需要eNodeB支持最多32个X2接口。现在，由MME管理的eNodeB的数量逐渐增加，而且应该动态更新用于eNodeB的密钥。因此，性能消耗在eNodeB之间的密钥协商期间增加。
技术实现思路
本专利技术实施例涉及一种用于配置安全参数的方法、服务器、基站和通信系统。本专利技术的目的是为了确保数据传输的安全性并且降低性能消耗。根据本专利技术实施例的第一方面，提供了一种在网络中配置安全参数的方法，所述网络包括至少一个基站和提供业务给所述至少一个基站的服务器，所述方法包括：所述服务器更新所述至少一个基站的安全参数；所述服务器向所述至少一个基站发送所述更新的安全参数，使得所述至少一个基站根据所述更新的安全参数在其它基站之间传输数据。根据本专利技术实施例的第二方面，提供了一种在网络中配置安全参数的方法，所述网络包括至少一个基站和提供业务给所述至少一个基站的服务器，所述方法包括：所述至少一个基站从所述服务器接收所述更新的安全参数，所述至少一个基站根据所述更新的安全参数传输数据。根据本专利技术实施例的第三方面，提供了一种网络中的服务器，所述网络包括至少一个基站和提供业务给所述至少一个基站的服务器，所述服务器包括：更新单元，用于更新所述至少一个基站的安全参数；发送单元，用于向所述至少一个基站发送所述更新的安全参数，使得所述至少一个基站根据所述更新的安全参数传输数据。根据本专利技术实施例的第四方面，提供了一种网络中的基站，所述网络包括至少一个基站和提供业务给所述至少一个基站的服务器，所述基站包括：接收单元，用于从所述服务器接收更新的安全参数，传输单元，用于根据所述更新的安全参数传输数据。根据本专利技术实施例的第五方面，提供了一种通信系统，包括：根据本专利技术实施例的所述第三方面的所述服务器，以及根据本专利技术实施例的所述第四方面的所述基站。本专利技术的优点存在于：不需要基站之间的密钥协商，使得性能消耗可以降低。参照下面的描述和附图，将清楚本专利技术的这些和其它方面。在这些描述和附图中，详细地公开了本专利技术的特定实施例，来表示实施本专利技术的原理的一些方式，但是应当理解，本专利技术的范围不受此限制。相反，本专利技术包括落入所附权利要求书的范围内的所有变化、修改和等效物。针对一项实施例描述和/或例示的特征，可以在一个或多个其它实施例中以相同方式或以类似方式使用，和/或与其它实施例的特征相结合或代替其它实施例的特征使用。应当强调，术语“包括”在本说明书中使用时，用来指所述特征、要件、步骤或部件的存在；但是不排除存在或附加有一个或多个其它特征、要件、步骤、部件或它们的组。参照以下附图，将更好地理解本专利技术的许多方面。附图中的组成部分不一定按照比例绘制，重点在于清楚地例示本专利技术的原理。为了便于例示和描述本专利技术的一部分，可以将附图中的对应部分在尺寸上放大，例如，放大得相对于其它部分比在根据本专利技术实际制成的示例性设备中的要大。在本专利技术的一个图或实施例中示出的元件和特征可以与一个或多个其它附图或实施例中示出的部件和特征相结合。此外，在附图中，相同的标号在全部附图中都标示对应的部分，并且可以用来标示一个以上实施例中的相同和类似部分。附图说明附图被包括在内以提供对本专利技术的进一步理解，附图构成本说明书的一部分，例示本专利技术的优选实施例，并且与描述内容一起用于阐明本专利技术的原理。附图中相同的参考编号始终表示相同的元件。图1为E-UTRAN内切换如何工作的流程图；图2为LTE信任模型的拓扑图；图3为下一代移动网络(NGMN)的拓扑图；图4为现有技术1的拓扑图；图5为现有技术2的拓扑图；图6为根据本专利技术实施例的配置安全参数的方法的流程图；图7为根据本专利技术实施例的配置安全参数的方法的流程图；图8为根据本专利技术实施例的配置安全参数的方法的流程图；图9为根据本专利技术实施例的交换DHCP消息的方法的流程图；图10为根据本专利技术实施例的在密钥服务器和基站之间交换信息的方法的流程图；图11为根据本专利技术实施例的服务器的示意图；图12为根据本专利技术实施例的基站的示意图。具体实施方式各实施例的许多特征和优点在详细说明书中显而易见，因此，所附权利要求书意图涵盖属于其范围内的实施例的所有此类特征和优点。此外，由于所属领域的技术人员将容易想到多种修改和变化，因而并不希望将专利技术性实施例限于所说明并描述的确切构造和操作，因此，可以采取的所有适当修改和等效物均属于相应范围内。目前，存在一些与保护数据流量有关的现有技术。图4为现有技术1的拓扑图，如图4所示，使用点对点隧道保护X2/S1信令和数据流量。在X2接口的情况下，需要约64^2个IPSec隧道本文档来自技高网...

【技术保护点】
一种在网络中配置安全参数的方法，所述网络包括一个或多个基站和提供业务给所述至少一个基站的服务器，其特征在于，所述方法包括：所述服务器更新所述一个或多个基站中的所述至少一个基站的至少一个安全参数；所述服务器向所述基站发送所述更新的安全参数，使得所述基站根据所述更新的安全参数传输数据，其中所述数据在所述基站和至少一个其它基站之间传输。

【技术特征摘要】
【国外来华专利技术】2014.11.17 IN IN5782/CHE/20141.一种在网络中配置安全参数的方法，所述网络包括一个或多个基站和提供业务给所述至少一个基站的服务器，其特征在于，所述方法包括：所述服务器更新所述一个或多个基站中的所述至少一个基站的至少一个安全参数；所述服务器向所述基站发送所述更新的安全参数，使得所述基站根据所述更新的安全参数传输数据，其中所述数据在所述基站和至少一个其它基站之间传输。2.根据权利要求1所述的方法，其特征在于，所述方法包括：所述服务器向所述至少一个其它基站发送所述基站的地址信息；所述服务器根据所述地址信息和所述更新的安全参数在所述基站和所述至少一个其它基站之间建立IPSec隧道。3.根据权利要求2所述的方法，其特征在于，所述方法包括：所述服务器通过在动态主机配置协议(DHCP)服务器和所述一个或多个基站中的每个基站之间拦截地址分配消息来获取所述基站的所述地址信息。4.根据权利要求1所述的方法，其特征在于，所述方法包括：所述服务器通过GDOI协议在所述服务器和所述一个或多个基站中的每个基站之间建立IKE隧道，以及所述服务器通过所述IKE隧道向所述基站发送所述更新的安全参数。5.根据权利要求1所述的方法，其特征在于，所述安全参数至少包括加密策略、加密密钥和它们的任何组合。6.根据权利要求1所述的方法，其特征在于，所述服务器通过使用组播密钥更新方法更新所述安全参数。7.一种在网络中配置安全参数的方法，所述网络包括一个或多个基站和提供业务给所述至少一个基站的服务器，其特征在于，所述方法包括：所述一个或多个基站中的所述至少一个基站从所述服务器接收至少一个更新的安全参数，所述至少一个基站根据所述更新的安全参数传输数据。8.根据权利要求7所述的方法，其特征在于，所述方法包括：所述至少一个基站从所述服务器接收所述至少一个其它基站的地址信息；以及所述至少一个基站根据所述地址信息和所述更新的安全参...

【专利技术属性】
技术研发人员：德哈玛南德纳·雷迪·波沙拉，章驰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44