家庭基站安全接入的方法及系统技术方案

本发明专利技术公开了一种家庭基站安全接入的方法及系统，其中，所述方法包括：SeGW在对H(e)NB进行身份认证时对所述H(e)NB的身份信息进行数字签名，并将所述数字签名发送给所述H(e)NB；所述H(e)NB在H(e)NB注册时或在用户设备UE通过H(e)NB注册时，将所述H(e)NB的身份信息和数字签名发送给核心网网元；所述核心网网元对所述H(e)NB的身份信息和数字签名进行正确性验证，验证通过后对所述UE进行接入控制。本发明专利技术避免了非法H(e)NB直接到核心网网元注册并实现对UE的业务接入，维护了网络安全。

【技术实现步骤摘要】

本专利技术涉及家庭基站安全接入技术，尤其涉及一种家庭基站安全接入的方法及系统。
技术介绍
第三代合作伙伴计划(3GPP,3rdGeneration Partnership Project)提出的演进的分组系统(EPS, Evolved Packet System),由演进的通用移动通信系统陆地无线接入网(E-UTRAN, Evolved Universal Terrestrial Radio Access Network)、移动管理单兀(MME, Mobility Management Entity)、服务网关(S-GW, Serving Gateway)、分组数据网络网关(P-GW 或者 F1DN Gff, Packet Data Network Gateway)、归属用户服务器(HSS, HomeSubscriber Server)和 3GPP 的认证授权计费(AAA, Authentication、Authorization andAccounting)服务器组成。家庭基站在接入演进的核心网(EPC，Evolved Packet Core)时，为了保证安全，在演进的核心网中引入了安全网关(SeGW, Security Gateway),家庭基站在与核心网设备通信前首先与安全网关间建立IPSec隧道。家庭基站与核心网设备间的控制面通信数据以及用户面数据均经过该IPSec隧道的加密。图1为H(e)NB接入核心网的系统架构的示意图，如图1所示，该架构同时支持传统的GERAN/UTRAN和(LTE，Long Term Evolution)接入，其中 HNB (Home NodeB)是支持 GERAN/UTRAN 的家庭基站，HeNB (Home eNodeB)是支持 LTE 的家庭基站。当采用HNB接入时，家庭基站网关(HNB Gff, Home NodeB Gateway)是必选的。在HNB上电时，HNB需到HNB GW注册。当采用HeNB接入时，演进的家庭基站网关(HeNB Gff,Home eNodeB Gateway)是可选的。在 HeNB GW 部署时，HeNB 注册到 HeNB GW，当 HeNB GW 不部署时，HeNB注册到MME。根据3GPP协议，当UE从H(e) NB (即HNB或HeNB)接入时，MME或GPRS服务支持节点(SGSN，Serving GPRS SUPPORT N0DESGSN)或 HNBGW 对 UE 进行接入控制。当 UE 通过H(e)NB附着时，若UE和网络支持闭合用户组(CSG, Closed Subscribe Group)，该H(e)NB将自身所支持的CSG ID (CSG identity)通知给SGSN或MME。SGSN或MME根据从HSS中获得的用户签约数据判断是否允许该用户从该H(e)NB接入。当UE通过HNB附着时，若UE或网络不支持CSG，HNB Gff根据本地配置的该HNB所允许的UEMSI列表判断是否允许该UE从该HNB接入。在上述UE通过H (e) NB接入过程中，所有相关消息均经过了 H(e)NB和SeGW间的安全隧道进行保护。H(e)NB在上电时与SeGW建立安全隧道，并且互相认证，因此，从SeGW的角度看，H (e) NB是可信的。但是，现有协议无法保证H (e) NB发送给MME/SGSN/HNB Gff的身份与其在与SeGW互认证时的身份一致，事实上，在很多场景中Gff中使用了不同于其与SeGW互认证时的身份。根据目前协议，SeGff不负责H(e) NB在MME/SGSN/HNB GW中所使用身份的认证。因此，根据现有协议，H(e)NB可以在后续与MME/SGSN/H(e)NB GW通信时冒用别人的身份。比如，HeNBl先使用真实身份(该身份基于证书或基于托管方单元(HPM))与SeGW建立IPSec隧道并互认证，当UE从HeNBl接入时，HeNBl将HeNB2的HeNB ID和HeNB2所支持的CSG ID发送给MME。根据该HeNB2的CSG ID, UE的接入是允许的，但若根据HeNBl所支持的CSG ID，UE的接入是不被允许的。在上述例子中，HeNBl冒用别人身份，从而使得本来不允许接入的用户可以接入网络，从而破坏了网络的安全性。针对该问题，有人提出了一种在SeGW和MME/H(e)NB GW之间增加新接口，并由SeGW将H(e)NB ID和H(e)NB内部IP地址的关联关系发送给MME/H(e)NB GW的方法，以对H(e)NB在核心网中的身份(亦即在MME/H(e)NB GW中所用身份)进行认证。然而，该方法存在很多缺陷，具体的:H(e)NB ID和H(e)NB内部IP地址的关联关系只能在H(e)NB上电时由IPSec消息触发发送给MME//H(e)NB Gff, SeGW需选择合适的MME//H(e)NB GW发送该关联关系，并且需要保证当H(e)NB注册时，H(e)NB选择了相同的MME、H(e)NB Gff,因此，具体实施时需要保证H(e) NB选择相同的MME或H(e)NB GW，这无疑会增加实现的难度，并且，如果H(e) NB未选择初始上电时发送自身身份的MME或H(e) NB GW，该方法就会失效。根据现有协议，H(e)NB是根据H(e)MS的配置信息选择MME或H(e)NB Gff的，然而SeGW与H(e)MS并无接口，因此很难保证SeGW选择的MME、H (e) NB GW与H (e) NB所选择的H (e) NB Gff和MME相同。并且，该方案假设MME、H(e)NB GW是H(e)NB的认证服务器，然而，根据现有协议，基于HPM模块的认证是可选的，因此，H(e)NB的认证可能不需要用到AAA服务器，这使得该方案不能适用于所有场景。
技术实现思路
有鉴于此，本专利技术的主要目的在于提供一种家庭基站安全接入的方法及系统，能防止非法家庭基站冒充合法家庭基站接入核心网并为用户设备提供业务服务。为达到上述目的，本专利技术的技术方案是这样实现的:一种家庭基站安全接入的方法，包括:安全网关SeGW对H (e) NB的身份信息进行数字签名，并将所述H (e) NB数字签名发送给所述H (e) NB ；所述H(e)NB将所述H(e)NB的身份信息和数字签名发送给核心网网元；所述核心网网元对所述H(e) NB的身份信息和数字签名进行正确性验证。优选地，所述SeGW对H(e)NB的身份信息进行数字签名为:所述SeGW在对所述H(e) NB进行身份认证时获取所述H(e) NB的身份信息，并对所述H (e) NB的身份信息进行数字签名。优选地，所述H(e)NB将所述H(e)NB的身份信息发送给核心网网元为:所述H(e) NB在所述H(e) NB注册时将所述H(e) NB的身份信息和数字签名发送给所述核心网网元。优选地，所述H(e)NB将所述H(e)NB的身份信息和数字签名发送给核心网网元为:所述H(e)NB在用户设备UE通过所述H(e)NB注册时，将所述H(e)NB的身份信息和数字签名发送给所述核心网网元。优选地，所述安全网关SeGW采用所述安全网关的私钥对所述H(e)NB的身份信息进行数字签名；对应地，所述核心网网本文档来自技高网...

【技术保护点】
一种家庭基站安全接入的方法，其特征在于，所述方法包括：安全网关SeGW对H(e)NB的身份信息进行数字签名，并将所述数字签名发送给所述H(e)NB；所述H(e)NB将所述H(e)NB的身份信息和所述数字签名发送给核心网网元；所述核心网网元对所述H(e)NB的身份信息和所述数字签名进行正确性验证。

【技术特征摘要】
2011.10.31 CN 201110337762.71.一种家庭基站安全接入的方法，其特征在于，所述方法包括: 安全网关SeGW对H(e)NB的身份信息进行数字签名，并将所述数字签名发送给所述H(e)NB ； 所述H(e)NB将所述H(e)NB的身份信息和所述数字签名发送给核心网网元； 所述核心网网元对所述H(e)NB的身份信息和所述数字签名进行正确性验证。2.根据权利要求1所述的方法，其特征在于，所述SeGW对H(e) NB的身份信息进行数字签名为: 所述SeGW在对所述H(e)NB进行身份认证时获取所述H(e)NB的身份信息，并对所述H (e) NB的身份信息进行数字签名。3.根据权利要求1所述的方法，其特征在于，所述H(e)NB将所述H(e) NB的身份信息和所述数字签名发送给核心网网元为: 所述H(e) NB在所述H(e) NB注册时将所述H(e) NB的身份信息和所述数字签名发送给所述核心网网元。4.根据权利要求1所述的方法，其特征在于，所述H(e)NB将所述H(e) NB的身份信息和所述数字签名发送给核心网网元为: 所述H (e) NB在用户设备UE通过所述H (e) NB注册时，将所述H (e) NB的身份信息和所述数字签名发送给所述核心网网元。5.根据权利要求1所述的方法，其特征在于: 所述安全网关SeGW采用所述安全网关的私钥对所述H(e)NB的身份信息进行数字签名； 对应地，所述核心网网元通过所述安全网关的公钥对所述H(e)NB的身份信息和所述数字签名进行正确性验证。6.根据权利要求1所述的方法，其特征在于:所述SeGW采用动态会话密钥对所述H(e)NB的身份信息进行数字签名； 所述方法还包括:所述SeGW将所述动态会话密钥通知归属用户服务器HSS/认证授权计费AAA服务器，所述HSS/AAA服务器存储所述动态会话密钥。7.根据权利要求6所述的方法，其特征在于，所述核心网网元对所述H(e)NB的身份信息和所述数字签名进行正确性验证为: 所述核心网网元从所述AAA/HSS获取对所述H (e) NB的身份信息签名的所述临时会话密钥，利用所述临时会话密钥对所述H(e)NB的身份信息进行验证。8.根据权利要求1至7任一项所述的方法，其特征在于，所述H(e)NB的身份信息为家庭基站标识H (e) NB ID和H (e) NB的内部IP地址，或闭合用户组标识CSG ID和H (e) NB的内部IP地址，或H(e)NB ID、CSG ID和H(e)NB内部IP地址。9.根据权利要求1所述的方法，其特征在于，所述方法还包括: 所述核心网网元在验证所述H(e)NB信息和所述数字签名成功后，所述核心网网元保存所述H (e) NB信息。10.根据权利要求3所述的方法，其特征在于，所述核心网网元为H(e)NBGW或MME。11.根据权利要求4所述的方法，其特征在于，所述核心网网元为MME或SGSN或MSC。12.根据权利要求3或10所述 的方法，其特征在于，当UE通过所述H(e)NB接入时:所述核心网网元验证所述H (e) NB的身份信息正确后将所述H (e) NB的身份信息发送给MME或SGSN或MSC，由MME、SGSN或MSC获取所述H(e) NB所支持的CSG ID信息，并根据所述CSG ID信息对所述UE进行接入控制；其中，所述MME、SGSN或MSC从所述H (e) NB信息中获取所述CSG ID信息，或从所述HSS/AAA服务器获取所述CSG ID信息。13.根据权利要求4或11所述的方法，其特征在于，当UE通过所述H(e)NB接入时: 所述核心...

【专利技术属性】
技术研发人员：宗在峰，周晓云，朱李，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：