提供一种验证来自无线通信网络中飞小区基站的消息的方法,其中,所述无线通信网络包括安全网关和飞小区基站网关,该方法包括步骤:由所述安全网关检查来自所述飞小区基站的消息中的源IP地址,是否与预期来自该飞小区基站的相符合;及由所述飞小区基站网关,通过检查将飞小区基站标识符与源IP地址数据相关联的数据库,检查所述消息中的源IP地址是否与预期来自该飞小区基站的相符合。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及通信领域,特别涉及无线通信。
技术介绍
无线通信系统是众所周知的。许多此类系统为蜂窝式,因为无线覆盖是通过一束被称为小区的无线覆盖区域来提供的。提供无线覆盖的基站位于每一小区中。传统基站在相对大的地理区域提供覆盖,对应的小区通常被称为宏小区。在宏小区中建立较小规模的小区是可能的。小于宏小区的小区有时被称为小小区(small cell)、微小区(microcell)、微微小区(picocell)或飞小区(f emtocell),但是,我们将术语飞小区一般地用于小于宏小区的小区。建立飞小区的一种方式包括提供运行于宏小区覆盖区域内相对有限范围的飞小区基站。运用飞小区基站的一个示例包括在建筑物内提供无线通信覆盖。飞小区基站(femtocell base stations)有时被称为毫微微基站(femto)。飞小区基站具有相对低的发射功率,因而,每一飞小区具有比宏小区小的覆盖区域。典型的覆盖范围为几十米。飞小区基站具有自动配置和自优化功能,以便支持非优化的部署,即由用户实现的即插即用式部署,以便自动地将它们集成于现有的宏小区网络中。飞小区基站主要用于特定家庭及办公室内的用户。飞小区基站可为私有接入(“封闭”)或公共接入(“开放”)。在私有接入的飞小区基站中,接入仅限于注册用户,例如家庭成员或特定雇员群体。在公共接入的飞小区基站,其他用户也可使用飞小区基站,服从于某些限制以保护注册用户所接收到的服务质量。一种已知类型的飞小区基站利用宽带互联网协议连接作为“回程”(backhaul),即用于至核心网络的连接。一种宽带互联网协议连接包括数字用户线路(DSL)。DSL将飞小区基站的DSL发射装置-接收装置(“收发装置”)连接至核心网络。DSL允许经由所支持的飞小区基站提供的语音通话和其他服务。飞小区基站还包括被连接至用于无线通信的天线的无线射频(RF)收发装置。为了与宏小区网络相集成,飞小区基站需要与(第二代/2.5代(2.5G)/第三代)宏小区网络中的各种网元交换信令消息。该信令符合相关的第三代合作伙伴项目(3GPP)标准,以使飞小区表现为一个或多个3GPP兼容的节点。为实现此,飞小区基站被分组为簇,每一簇经由称为飞小区基站网关的网关被连接至宏小区网络。飞小区基站网关终止在宏小区网络中的核心网元与飞小区簇之间的信令,从而,使飞小区的整个簇能够表现为单个虚拟的无线网络控制装置(RNC),如3GPP标准所要求。飞小区基站网关可支持在簇中的数千个飞小区。通过用户的很少或无参与,每一飞小区基站连接并注册至该飞小区基站网关。飞小区基站有时被称为毫微微基站(femto)。这是基本原则一每一飞小区基站,即便被入侵,不应干扰另一个飞小区基站的运行。相应地,来自飞小区基站的注册信息必须验证为可信的。如图I所示(现有技术),在一个已知的方法中,安全网关I在飞小区基站3和飞小区基站网关5之间的被提供。飞小区基站3向安全网关I验证其自身,并建立至安全网关I的安全的互联网协议隧道。该验证对建立该飞小区基站的信任证书是足够的。
技术实现思路
读者可参见所附加的独立权利要求。一些优选特征在从属权利要求中被列出。本专利技术的一个示例包括一种验证来自无线通信网络中飞小区基站的消息的方法,其中,所述无线通信网络包括安全网关和飞小区基站网关,该方法包括步骤在所述安全网关中检查来自所述飞小区基站的消息中的源IP地址,是否与预期来自该飞小区基站的相符合;及在所述飞小区基站网关中,通过检查将飞小区基站标识符与源IP地址数据相关联的数据库,检查所述消息中的源IP地址是否与预期来自该飞小区基站的相符合。一些优选实施例提供一种确定飞小区基站已经被验证的方法。符合标准的安全网关验证经由IP安全隧道所接收的分组的源IP地址是否匹配被分配给该飞小区基站的地址或地址范围。此外,该源IP地址作为注册消息的部分被发送至该飞小区基站网关,因此,该飞小区基站网关能够将该飞小区基站的身份与该源IP地址相关联,因而验证该消息的真实性。在优选实施例中,源IP地址数据包括源IP地址或源IP地址范围-这可包括虚拟专用网络VPN IP地址或VPN IP地址范围——并且,在隧道被建立时被分配并在该隧道的期间未被改变。在优选实施例中,IP地址或IP地址范围通过飞小区基站网关,或该飞小区基站网关可查询的其它网元,来被分配,以获取所存储的、在飞小区基站标识符与源IP地址或地址范围之间的映射。随后,当飞小区基站网关接收包括源IP地址的注册请求消息时,该飞小区基站网关运用所存储的映射来确定该消息真正地来自于发送的飞小区基站。本专利技术可被用于具有通用移动通信系统(UMTS)飞小区基站的网络,以及涉及利用与飞小区基站网关相分离的安全网关的飞小区基站的其他网络。优选实施例有利地防止受入侵的飞小区基站获得网络访问,支持安全网关和飞小区基站网关功能相分离。附图说明通过举例并参照附图,本专利技术的实施例现在将被描述,其中图I为示出飞小区基站验证/授权(现有技术)的已知方式的示意图;图2为示出飞小区验证/授权的替代方式(备选方案)的示意图;图3为示出根据本专利技术第一实施例的无线通信网络的示意图;图4为示出在图I所示的一个宏小区中示例飞小区基站部署的示意图;图5为更详细不出图3和4中所不飞小区基站、安全网关和飞小区基站网关的不意图;图6为不出运用图5所不装置的飞小区基站授权方案的消息序列不意图;图7为示出根据本专利技术的第二实施例的飞小区基站、安全网关、飞小区基站网关和动态主机配置协议(DHCP)服务器的示意图;及图8为不出运用图7所不装置的飞小区基站授权方案的消息序列不意图。具体实施例方式专利技术人意识到,在图1(现有技术)所示已知方法中,自飞小区基站3的通信被发往在安全网关I后面的网元,诸如飞小区基站网关5,该通信不包括加密或验证信息,因为这被安全网关I移除。因此,被入侵的飞小区基站最初用其正确的身份向安全网关验证,随后可运用不同的身份连接至飞小区基站网关5并向其注册。安全网关I没有将该注册消息检测为无效,因为该安全网关不验证负载信息。按照这种方式伪装注册消息,使飞小区基站所有者危害安全成为可能,例如,通过变更飞小区基站配置以使该飞小区基站变为开放接入,从而使第三方用户终端通过该飞小区拔打电话成为可能。这允许该所有者然后窃听通过该飞小区基站拔打的通话,包括名人电话,因此危及隐私。专利技术人意识到,备选方案(既非现有技术,也非本专利技术的实施例)将安全网关和飞小区基站网关组合为一个单一的设备。这如图2所示(备选方案),并为当前3GPP通用移 动通讯系统(UMTS)标准的版本9所允许的解决方案。这使在该设备中的飞小区基站网关功能能够利用该设备上的安全网关验证功能来验证注册消息的源。然而,专利技术人意识到,这样的结合并非总是很实用。例如,飞小区基站网关通常由飞小区基站制造商提供给网络运营商,而安全网关通常从一组有限的非飞小区基站
专家的供应商被购进。因此,专利技术人意识到,该等网关的分离是更可取的,因此为解决安全问题,在经该安全网关成功验证之后,互联网协议源地址从该安全网关被发送至该飞小区基站网关,在此它相对由该飞小区基站网关初始所分配给该飞小区基站的被再次检查。我们现在描述包括飞小区基站的网络,然后更详细地查看飞小区基站授权过程本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】2010.04.13 EP 10290201.21.一种验证来自无线通信网络中飞小区基站的消息的方法,其中,所述无线通信网络包括安全网关和飞小区基站网关,该方法包括步骤 由所述安全网关检查来自所述飞小区基站的消息中的源IP地址,是否与预期来自该飞小区基站的相符合 '及 还由所述飞小区基站网关,通过检查将飞小区基站标识符与源IP地址数据相关联的数据库,检查所述消息中的源IP地址是否与预期来自该飞小区基站的相符合。2.根据权利要求I所述的方法,其中,所述飞小区基站经由所述安全网关被连接至所述飞小区基站网关。3.根据权利要求I或2所述的方法,其中,所述源IP地址被所述飞小区基站网关分配给经由IP隧道与所述飞小区基站的连接,并被作为与飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库中。4.根据权利要求I或2所述的方法,其中,所述源IP地址被动态主机配置协议(DHCP)服务器分配给所述飞小区基站网关与所述飞小区基站之间的、经IP隧道的连接,并被作为与飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库。5.根据权利要求3或4所述的方法,其中,所述源IP地址,通过为所述经IP隧道与所述飞小区基站的连接分配IP地址范围,并在该范围内选择一个源IP地址以包含于所述消息,来被分配,并且所述源IP地址数据被记录于包含所述源IP地址范围的所述数据库。6.根据任一在先权利要求所述的方法,其中,所述消息包括注册请求消息,并且一旦两检查均通过,所述飞小区基站被所述飞小区基站网关注册。7.一种无线通信网络,包括安全网关和飞小区基站网关,及至少一个飞小区基站, 所述安全网关被配置以验证从飞小区基站所接收的消息,所述安全网关包...
【专利技术属性】
技术研发人员:托尼·普特曼,格雷汉姆·布兰德,
申请(专利权)人:阿尔卡特朗讯,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。