專利名稱:基站安全信息指示方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,具體地�,涉及基于長期演進(Long-Term Evolution,簡稱為LTE )系統(tǒng)的基站安全信息指示方法。
背景技術(shù):
目前��,LTE網(wǎng)絡(luò)由E-UTRAN ( Evolved UMTS Terrestrial Radio Access Network,演進UMTS陸地?zé)o線4妄入網(wǎng))��、基站(演進的節(jié)點 B ( Evolved Node B,簡稱為eNB ))和演進分組交才奐中心(Evolved Packet Core,簡稱為EPC)iE成,網(wǎng)全各結(jié)構(gòu)扁平4匕����。
其中,E-UTRAN包含和EPC通過S1 ^接口連4姿的eNB的集合���, eNB之間能通過X2接口連接����。S1 �����、 X2是邏輯接口 �����。 一個EPC可 以管理一個或多個eNB��, 一個eNB也可以受控于多個EPC,同時�����, 一個eNB可以管理一個或多個小區(qū)�。
目前�����,在3GPP ( 3rd Generation partnership project, 第三代移動 通訊伙伴計劃)36.413協(xié)議中,當(dāng)基站與移動管理實體(Mobile Management Entity,簡稱為MME )傳輸層建立完成后����,基站會纟會 MME發(fā)起S1 SETUP REQUEST ( S1接口建立請求)消息,該消息 中包含基站全局ID(全局標(biāo)識)�����、基站名稱�����、以及基站所支持的時 間前置量(Time Advance,簡稱為TA)范圍����。但是,在LTE系統(tǒng)中���,家庭基站的使用導(dǎo)致基站的安全問題日 益突出��,用戶在使用特定基站時會包含相關(guān)的安全簽約內(nèi)容�����,比如���, 安全要求級別的高^f氐�����、或者附加的安全^f呆護配置(比如基站后臺可 選的安全算法的使用���,安全算法包括當(dāng)前通信系統(tǒng)中所使用的所有 加密算法)?����;景踩畔⒖梢灶A(yù)先在基站本地屬性中設(shè)置�,也可以
在上層網(wǎng)絡(luò)節(jié)點或者網(wǎng)絡(luò)管理系統(tǒng)中設(shè)置。
目前����,對于基站的安全信息如何在基站和MME之間進行傳遞, 業(yè)內(nèi)尚未^^出解決方案���,而這顯然不利于實現(xiàn)基站管理的靈活性�, 也不能保障基站的使用安全,因此�,需要一種能夠解決上述問題的
方法。
發(fā)明內(nèi)容
考慮到相關(guān)技術(shù)中存在的需要一種在基站和MME之間進行傳 遞基站的安全信息的問題而提出本發(fā)明���,為此,本發(fā)明旨在提供基 站安全信息指示方法����,用以解決上述問題。
為了實現(xiàn)上述目的�����,根據(jù)本發(fā)明的一個方面�����,」提供了一種基站 安全信息指示方法�。
根據(jù)本發(fā)明實施例的基站安全信息指示方法包括基站向移動 管理實體(Mobile Management Entity, MME)發(fā)送SI SETUP REQUEST消息,并在S1 SETUP REQUEST消息中攜帶用于MME 對基站進行安全設(shè)置所需的第一基站安全信息����;MME才艮據(jù)第一基 站安全信息進行安全設(shè)置,向基站返回SI SETUP REQUES消息��, 并在SI SETUP REQUES消息中攜帶與MME進行的安全設(shè)置相關(guān) 的第二基站安全信息。
其中�����,第一基站安全信息中包含鑒權(quán)標(biāo)識信息���,用于指示基站 是否支持鑒權(quán)處理����,其中��,MME根據(jù)鑒權(quán)標(biāo)識信息判決是否發(fā)起鑒^又流程����,并且,在MME判斷發(fā)起判決流考呈的情況下��,第二基站 安全信息中包含鑒權(quán)信息�。
其中,第一基站安全信息中進一步包含安全算法信息和/或基站 安全級別信息�����,其中����,安全算法信息用于指示MME可以釆用或建 議釆用的安全算法��,基站安全級別信息用于指示基站的安全級別��。
MME可以根據(jù)安全算法信息和/或基站安全級別信息為基站選 擇安全算法�����,其中,第二基站安全信息中包含安全算法參數(shù)信息��, 安全算法參數(shù)信息包括安全密鑰�����、安全算法索引�。
根據(jù)本發(fā)明的另 一方面,提供了另 一種基站安全信息指示方法�。
根據(jù)本發(fā)明實施例的基站安全信息指示方法包括基站向 MME發(fā)送S1 SETUP REQUEST消息,其中�,SI SETUP REQUEST 消息中攜帶有基站標(biāo)識信息;MME根據(jù)基站標(biāo)識信息在數(shù)據(jù)庫中 查找基站的第 一基站安全信息����,根據(jù)查找到的第 一基站安全信息進 行安全i殳置���,向基站返回SI SETUP REQUES消息,并在SI SETUP REQUES消息中攜帶與MME進行的安全設(shè)置相關(guān)的第二基站安全 信息�。
其中,第一基站安全信息中包含鑒權(quán)標(biāo)識信息���,用于指示基站 是否支持鑒權(quán)處理�,其中�����,MME根據(jù)鑒權(quán)標(biāo)識信息判決是否發(fā)起 鑒—又流禾呈��,并且在MME判斷發(fā)起判決流禾呈的情況下�����,第二基站安 全信息中包含鑒權(quán)信息�����。
其中���,第一基站安全信息中進一步包含安全算法信息和/或基站 安全級別信息�,其中,安全算法信息用于指示MME可以采用或建 議采用的安全算法�,基站安全級別信息用于指示基站的安全級別。MME根據(jù)安全算法信息和/或基站安全級別信息為基站選擇安 全算法�����,其中�,第二基站安全信息中包含安全算法參數(shù)信息,安全 算法參數(shù)信息包括安全密鑰�����、安全算法索引��。
通過本發(fā)明提供的上述至少一個技術(shù)方案����,通過在Sl建立流 程中設(shè)置基站安全信息�����,解決了相關(guān)技術(shù)中存在的基站的安全信息 在基站和MME間傳遞的問題����,相比于相關(guān)4支術(shù)�,可以保障基站的 4吏用安全���。
本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述�����,并且�����,部 分地從說明書中變得顯而易見����,或者通過實施本發(fā)明而了解���。本發(fā) 明的目的和其他優(yōu)點可通過在所寫的說明書���、權(quán)利要求書、以及附 圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得����。
附圖用來才是供對本發(fā)明的進一步理解,并且構(gòu)成說明書的一部 分,與本發(fā)明的實施例一起用于解釋本發(fā)明�����,并不構(gòu)成對本發(fā)明的 限制��。在附圖中
圖1是4艮據(jù)相關(guān)技術(shù)的Sl建立流程的示意圖2是根據(jù)本發(fā)明第一實施例的基站安全信息指示方法的流程
圖3是圖2所示的方法的信令交互流程圖4是根據(jù)本發(fā)明第二實施例的基站安全信息指示方法的示意
圖5是圖4所示的方法的信令交互流程圖��。
具體實施例方式
以下結(jié)合附圖對本發(fā)明的優(yōu)選實施例進行說明����,應(yīng)當(dāng)理解,此 處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明���,并不用于限定本 發(fā)明�。
首先���,如圖1所示,當(dāng)eNB與MME傳llr層建立完成后�����,eNB 會向MME發(fā)送S1 SETUP REQUEST消息����,該消息中包含基站全局 ID�、基站名稱�����、以及基站所支持的TA范圍��,進一步i也����,MME向 eNB發(fā)送SI SETUP RESPONSE消息。如上所述��,為了實現(xiàn)基站管 理的靈活性�,需要在在基站和MME之間傳遞基站的安全信息。
基于上述內(nèi)容���,在根據(jù)本發(fā)明實施例的基站安全信息指示方法 中���,在目前的Sl建立流程中增加eNB安全信息(信元),本發(fā)明給 出了以下的實施例���。
第一實施例
在才艮據(jù)本發(fā)明實施例的安全信息指示方法中���,eNB的安全信息 存4諸在eNB本地��。
圖2是根據(jù)本發(fā)明實施例的安全信息指示方法的流程圖��,圖3 是根據(jù)本發(fā)明實施例的安全信息指示方法的信令交互流程圖�。如圖 2戶斤示�����,包4舌以下處J里
步驟S202 ��,基站向移動管理實體(Mobile Management Entity, MME )發(fā)送SI SETUP REQUEST消息�,并在SI SETUP REQUEST 消息中攜帶用于MME對基站進行安全設(shè)置所需的第一基站安全信 息;(對應(yīng)于圖3中的301 ����, eNB向MME發(fā)送SI SETUP REQUEST 消息,并且對該消息進行擴展���,增加eNB相關(guān)安全能力信元)步驟S204, MME根據(jù)第一基站安全信息進行安全設(shè)置���,并且 若S14妄口建立成功���,向基站返回SI SETUP REQUES消息���,并在 SI SETUP REQUES消息中攜帶與MME進行的安全設(shè)置相關(guān)的第 二基站安全信息�。(對應(yīng)于圖3中的302�����,MME向eNB發(fā)送Sl SETUP RESPONSE消息��,并且對該消息進行擴展����,增加eNB相關(guān)安全能 力信元)
具體地,在上述步驟S202中��,其中�����,第一基站安全信息可以 包含鑒權(quán)標(biāo)識信息��,用于指示eNB站是否支持鑒權(quán)處理���,在這種情 況下����,在步驟S204中��,MME根據(jù)鑒權(quán)標(biāo)識信息判決是否發(fā)起鑒權(quán) 流程,并且在第二基站安全信息中包含在MME判斷發(fā)起判決流程 的情況下的鑒權(quán)信息�。
另外,在步驟S202中�����,第一基站安全信息還可以包含安全算 法信息和/或基站安全級別信息�����,其中�����,安全算法信息用于指示MME 可以采用或建議采用的安全算法,可以用安全算法索引表示����,基站 安全級別信息用于指示eNB的安全級別���,在這種情況下���,在步驟 S204中,MME可以才艮據(jù)安全算法信息和/或基站安全級別信息為 eNB選擇安全算法�,并且在第二基站安全信息中包含安全算法參數(shù) 信息,安全算法參數(shù)信息包括安全密鑰����、安全算法索引等。
優(yōu)選地���,在eNB在步驟S206中接收到SI SETUP RESPONSE 消息后���,將MME下發(fā)的第二基站安全信息更新存^f諸在本地(如圖 3的303所示)。
第二實施例
在才艮據(jù)本發(fā)明實施例的安全信息指示方法中�����,eNB安全信息存 儲在上層網(wǎng)絡(luò)節(jié)點或者網(wǎng)絡(luò)管理系統(tǒng)(比如MME或者NMS)中。圖4是示出根據(jù)本發(fā)明實施例的方法的流程圖����。如圖4所示, 具體包纟舌以下處理
步驟S402�����,基站(eNB)上電后與MME建立Sl傳輸層連接 后�,基站向MME發(fā)送SI SETUP REQUEST消息,其中�����,SI SETUP REQUEST消息中攜帶有基站標(biāo)識4言息����;(對應(yīng)于圖5中的501, eNB 向MME發(fā)送SI SETUP REQUEST消息)
步驟S404, MME才艮據(jù)基站標(biāo)識信息(例如�����,eNB全局ID�����、 eNB Name信息)在數(shù)據(jù)庫中查找基站的第 一基站安全信息;
步驟S406��, MME根據(jù)查找到的第一基站安全信息進行安全設(shè) 置�,向基站返回SI SETUP REQUES消息,并在SI SETUP REQUES 消息中攜帶與MME進行的安全設(shè)置相關(guān)的第二基站安全信息�����。(步 驟S404和步驟S406對應(yīng)于圖5中的502, MME向eNB發(fā)送SI SETUP RESPONSE消息,并且對該消息進4于擴展�����,增加eNB相關(guān) 安全能力信元)
具體地��,在上述步驟S404中�,查找到的第一基站安全信息可 以包含鑒權(quán)標(biāo)識信息���,用于指示eNB站是否支持鑒權(quán)處理�����,在這種 情況下�����,在步驟S406中��,MME根據(jù)鑒權(quán)標(biāo)識信息判決是否發(fā)起鑒 權(quán)流程����,并且在MME判斷發(fā)起判決流程的情況下,在第二基站安 全信息中包含的鑒權(quán)信息����。
另夕卜,在步驟S404中��,查找到的第一基站安全信息還可以包 含安全算法信息和/或基站安全級別信息�,其中,安全算法信息用于 指示MME可以采用或建議其采用的安全算法�����,可以用安全算法索 引表示,基站安全級別信息用于指示eNB的安全級別���,在這種情況 下�,在步驟S406中����,MME可以才艮據(jù)安全算法信息和/或基站安全級 別信息為eNB選擇安全算法,并且在第二基站安全信息中包含安全算法參數(shù)信息���,其中,安全算法參數(shù)信息包括安全密鑰�、安全算
法索引等。
優(yōu)選地����,在eNB在步驟S408中接收到SI SETUP RESPONSE 消息后,將MME下發(fā)的第二基站安全信息更新存4諸在本地(如圖 5的305所示)��。
如上所述���,借助于本發(fā)明的上述至少一個技術(shù)方案���,通過提供 基站安全信息指示方法��,4吏得在LTE系統(tǒng)中宏基站和家庭基站共存 的情況下��,能夠通過在基站和MME之間的傳遞eNB安全信息和管 理����,能夠?qū)崿F(xiàn)基站安全管理�,使得基站管理更為靈活,為網(wǎng)絡(luò)安全 管理以及基站接入管理提供了有效手段����,例如開局現(xiàn)場、共享網(wǎng)絡(luò) 運行操作維護��,多廠家設(shè)備管理等�����,具有廣泛適用性���。
以上所述^f又為本發(fā)明的優(yōu)選實施例而已�����,并不用于限制本發(fā)明����, 對于本領(lǐng)i或的才支術(shù)人員來i兌,本發(fā)明可以有各種更改和變^f匕�����。凡在 本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改���、等同替換���、改進等���, 均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)���。
權(quán)利要求
1. 一種基站安全信息指示方法,用于在基站和移動管理實體間進行基站安全信息的指示�,其特征在于,包括所述基站向移動管理實體發(fā)送S1接口建立請求消息�����,并在所述S1接口建立請求消息攜帶用于移動管理實體對基站進行安全設(shè)置所需的第一基站安全信息;所述移動管理實體根據(jù)所述第一基站安全信息進行安全設(shè)置���,向所述基站返回S1接口建立響應(yīng)消息��,并在所述S1接口建立響應(yīng)消息中攜帶與所述移動管理實體進行的安全設(shè)置相關(guān)的第二基站安全信息�����。
2. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,所述第一基站安全 信息中包含鑒權(quán)標(biāo)識信息�,用于指示所述基站是否支持鑒權(quán)處理��。
3. 根據(jù)權(quán)利要求2所述的方法����,其特征在于�,所述移動管理實體 根據(jù)所述第 一基站安全信息進行安全設(shè)置的操作具體為所述移動管理實體根據(jù)所述鑒權(quán)標(biāo)識信息判決是否發(fā)起鑒權(quán)流程�����。
4. 4艮據(jù)權(quán)利要求3所述的方法��,其特征在于���,在所述移動管理實 體判斷發(fā)起判決流程的情況下����,所述第二基站安全信息中包含 鑒權(quán)信息��。
5. 才艮據(jù)^L利要求1或2所述的方法��,其特;f正在于�����,所述第一基站 安全信息中包含安全算法信息和/或基站安全級別信息���,其中, 所述安全算法信息用于指示所述移動管理實體可以采用或建議采用的安全算法����,所述基站安全級別信息用于指示所述基站 的安全纟及別���。
6. 根據(jù)權(quán)利要求5所述的方法,其特征在于���,所述移動管理實體 根據(jù)所述第 一基站安全信息進行安全設(shè)置的操作具體為所述移動管理實體根據(jù)所述安全算法信息和/或基站安全 級別信息為所述基站選擇安全算法�����。
7. 根據(jù)權(quán)利要求6所述的方法���,其特征在于,所述第二基站安全 信息中包含安全算法參數(shù)信息�,所述安全算法參數(shù)信息包括 安全密鑰、安全算法索引��。
8. —種基站安全信息指示方法�,用于在基站和移動管理實體間進 行基站安全信息的指示,其特征在于�,包括所述基站向移動管理實體發(fā)送Sl 4妄口建立i青求消息,并 在所述Sl接口建立請求消息中攜帶基站標(biāo)識信息����;所述移動管理實體根據(jù)所述基站標(biāo)識信息在數(shù)據(jù)庫中查 找所述基站的第 一基站安全信息��;所述移動管理實體根據(jù)查找到的所述第 一基站安全信息 進行安全設(shè)置����,向所述基站返回Sl接口建立響應(yīng)消息��,并在 所述Sl接口建立響應(yīng)消息中攜帶與所述移動管理實體進行的 安全設(shè)置相關(guān)的第二基站安全信息�。
9. 根據(jù)權(quán)利要求8所述的方法,其特征在于���,所述第一基站安全 信息中包含鑒權(quán)標(biāo)識信息����,用于指示所述基站是否支持鑒權(quán)處理�����。
10. 根據(jù)權(quán)利要求9所述的方法��,其特征在于����,所述移動管理實體 根據(jù)所述第 一基站安全信息進行安全設(shè)置的操作具體為所述移動管理實體根據(jù)所述鑒權(quán)標(biāo)識信息判決是否發(fā)起 鑒權(quán)流程�����。
11. 根據(jù)權(quán)利要求10所述的方法,其特征在于���,在所述移動管理 實體判斷發(fā)起判決流程的情況下����,所述第二基站安全信息中包 含鑒權(quán)信息���。
12. 根據(jù)權(quán)利要求8或9所述的方法���,其特征在于,所述第一基站 安全信息中包含安全算法信息和/或基站安全級別信息�,其中, 所述安全算法信息用于指示所述移動管理實體可以采用或建 議采用的安全算法���,所述基站安全級別信息用于指示所述基站 的安全纟及別�����。
13. 根據(jù)權(quán)利要求12所述的方法����,其特征在于,所述移動管理實 體根據(jù)所述第 一基站安全信息進行安全設(shè)置的操作具體為所述移動管理實體根據(jù)所述安全算法信息和/或基站安全 級別信息為所述基站選擇安全算法�����。
14. 根據(jù)權(quán)利要求13所述的方法���,其特征在于����,所述第二基站安 全信息中包含安全算法參數(shù)信息����,所述安全算法參數(shù)信息包 括安全密鑰、安全算法索引����。
全文摘要
本發(fā)明提供了一種基站安全信息指示方法,包括基站向移動管理實體發(fā)送S1 SETUP REQUEST消息�,其中,S1 SETUP REQUEST消息中攜帶有用于MME對基站進行安全設(shè)置所需的第一基站安全信息�����;MME根據(jù)第一基站安全信息進行安全設(shè)置,并向基站返回S1 SETUP REQUES消息�,其中,S1 SETUP REQUES消息中攜帶有與MME進行的安全設(shè)置相關(guān)的第二基站安全信息����。通過本發(fā)明���,可以實現(xiàn)基站的安全信息在基站和MME間的傳遞�����。
文檔編號H04W88/08GK101534506SQ20081008339
公開日2009年9月16日 申請日期2008年3月14日 優(yōu)先權(quán)日2008年3月14日
發(fā)明者音 高 申請人:中興通訊股份有限公司