專利名稱:基于地址鎖機制的快速重認證方法
技術(shù)領域:
本發(fā)明涉及信息安全與移動通信領域,尤其涉及一種基于地址鎖機制的快速重認 證方法����。
背景技術(shù):
家庭基站H (e) NB是基于UTRA技術(shù)的HNB家庭基站和基于E-UTRA技術(shù)的HeNB家 庭基站的合稱�����,是UMTS系統(tǒng)和LTE/SAE系統(tǒng)中的實體�,字面意思是家庭節(jié)點B/家庭增強節(jié) 點B��,習慣稱為家庭基站�。運營商將其部署在辦公室����,個人家庭,企業(yè)內(nèi)部等無線信號不好的 地方����,是解決無線網(wǎng)絡室內(nèi)覆蓋問題的有效手段。H(e)NB與現(xiàn)行移動通信網(wǎng)絡中的基站工作模式有所區(qū)別�,用戶終端是通過無線接 口 Uu接入到H (e) NB, H (e) NB再通過ADSL等固定寬帶接入鏈路,經(jīng)由不可靠的IP網(wǎng)絡進入 移動運營商的核心網(wǎng)���,而傳統(tǒng)宏基站和運營商的核心網(wǎng)之間的連接通常使用專用鏈路��,被 認為是可以信任的����。H(e)NB的引入使得核心網(wǎng)側(cè)與開放互聯(lián)網(wǎng)直接的連接面臨更多風險和 安全威脅。H(e)NB自啟動流程分為兩個階段��,配置階段和服務階段�。在配置階段H(e)NB和 H (e) NB管理系統(tǒng)H (e) MS交互獲得H (e) NB提供服務所需的配置信息,在交互過程中H (e) MS 需要和核心網(wǎng)側(cè)交互獲得H(e)NB的簽約信息�。在服務階段,H(e)NB根據(jù)在配置階段中獲 得的配置信息和運營商核心網(wǎng)絡中相應網(wǎng)元建立連接����,從而為用戶終端(UE)提供服務。在H(e)NB自啟動過程中��,最關鍵的一步就是H(e)NB和安全網(wǎng)關kGW之間進行的 交互認證���。交互認證之后���,H(e)NB和安全網(wǎng)關之間應建立安全隧道以保護H(e)NB和安全 網(wǎng)關之間交互信息的安全。H(e)NB的使用有效范圍很小���,通常只限于幾十米的范圍之類����,那么移動終端可能 會隨著用戶頻繁地進出家庭基站微小區(qū),在此我們考慮家庭基站為HeNB的情況���,空口接入 技術(shù)為LTE�����,當UE移動出家庭基站微小區(qū)的范圍時���,可能進入一個UMTS或者GSM的宏小區(qū), 那么要保持業(yè)務的連續(xù)性會發(fā)生小區(qū)切換��,而且可能是異構(gòu)網(wǎng)絡之間的切換����。這種頻繁的 切換如果每次都需要進行重新認證的話����,那么會對系統(tǒng)資源造成很大浪費,也會大大增加 手機的耗電量��。
發(fā)明內(nèi)容
為了解決上述問題���,本發(fā)明提出了一種基于地址鎖機制的快速重認證方法��。該方 法基于H (e) NB (家庭基站)�����、UE (用戶設備)以及核心網(wǎng)唯一的控制設備MME (移動管理實 體)�。在一定時限內(nèi),對于UE已經(jīng)建立的安全上下文進行重用���,以優(yōu)化切換流程���,降低切換 時延提高整個系統(tǒng)效率。本發(fā)明公開了一種基于地址鎖機制的快速重認證方法����,所述方法基于快速重認證 系統(tǒng),所述系統(tǒng)包括H(e)NB (家庭基站)���、切換中一直不斷移動的UE (用戶設備)以及核 心網(wǎng)的控制設備MME (移動管理實體)��、位于移動運營商核心網(wǎng)側(cè)邊沿的kGW(安全網(wǎng)關)�,存儲著用戶數(shù)據(jù)和H(e)NB的認證信息的數(shù)據(jù)庫(HSS)�����,基于HSS中的認證消息來執(zhí)行的 AAA(認證、授權(quán)和計費)服務器��;其中���,所述H(e)NB包括基于UTRA(通用陸地無線接入)技 術(shù)的HNB家庭基站�,以及基于E-UTRA(演進的通用陸地無線接入)技術(shù)的HeNB家庭基站���; 所述MME是3GPP協(xié)議LTE接入網(wǎng)絡的關鍵控制節(jié)點��;并且����,從H(e)NB小區(qū)到E_UTRAN(演 進的通用陸地無線接入網(wǎng))的切換時��,包括如下步驟步驟1)�,H(e)NB上電執(zhí)行自啟動流程,UE(用戶設備)附著在H(e)NB小區(qū)并通過 AAA和HSS與安全網(wǎng)關)執(zhí)行EAP-AKA(擴展認證協(xié)議-認證和密鑰協(xié)商)相互認 證�,NAS (NonAccess Stratum�,非接入層)安全上下文和AS (Access Stratum,接入層)安全 上下文保存在ME(移動設備)和MME(移動管理實體)中��,啟動計時器���。步驟幻����,當UE移動到H(e)NB小區(qū)邊緣,檢測鄰接宏小區(qū)的廣播控制信道電平值是 否超過切換門限����。步驟3),若是����,UE向H(e)NB發(fā)起切換請求,同時上報目標切換小區(qū)的廣播信息�。步驟4),H (e) NB維護一張允許快速重認證的可信鄰接小區(qū)列表����,通過判斷UE上報 目標切換小區(qū)的信息是否在所述可信鄰接小區(qū)列表中決定是否執(zhí)行快速重認證。步驟5)�,若確定執(zhí)行快速重認證,則源MME將保存的UE安全上下文同步給待切換 目標新MME ��;若不執(zhí)行快速重認證�����,則不需要同步UE安全上下文,UE切換附著后通過AAA和 HSS重新執(zhí)行EAP-AKA認證過程�。步驟6),源MME向UE返回切換請求響應消息�,并告知是否執(zhí)行安全上下文重用和 快速重認證。步驟7)���,在切換目標小區(qū)的eNB(增強基站)����、MME間執(zhí)行快速重認證過程���。上述快速重認證方法�,優(yōu)選所述步驟幻中���,所述廣播信息包括小區(qū)識別號���、位置 區(qū)域識別號以及使用頻率列表。上述快速重認證方法����,優(yōu)選所述步驟4)中�,所述周期由運營商策略決定���。上述快速重認證方法,優(yōu)選所述步驟4)中�,所述位置校驗為H(e)NB掃描相鄰宏 小區(qū)信息并向所述MME上報。上述快速重認證方法�,優(yōu)選所述步驟4)中,所述位置校驗通過向H (e) NB和核心網(wǎng) 之間的IP網(wǎng)絡的DNS (域名服務器)獲取自身IP地址完成�。相對于現(xiàn)有技術(shù)而言,本發(fā)明的有益效果如下第一��,本發(fā)明在一定時限內(nèi)�,對于UE已經(jīng)建立的安全上下文進行重用,可以優(yōu)化 切換流程���,降低切換時延提高整個系統(tǒng)效率�。第二����,核心網(wǎng)側(cè)可以精確定位H(e)NB地理位置信息,減小非法使用威脅����;此外,可 以隨時根據(jù)白名單限制可以使用快速重認證的小區(qū)范圍�。第三�,本發(fā)明不需要在現(xiàn)有網(wǎng)絡中增加新的實體�����,密鑰推演轉(zhuǎn)換可以通過用戶側(cè) 和網(wǎng)絡側(cè)的軟件更新來實現(xiàn)���,實現(xiàn)容易�����。另外����,H(e)NB的地址校驗不需要每次都執(zhí)行����,只需 要設定一個周期(在安全性和網(wǎng)絡負擔取得一個平衡點)。
圖1為本發(fā)明基于地址鎖機制的快速重認證方法優(yōu)選實施例的步驟流程圖����。
具體實施例方式為使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂���,下面結(jié)合附圖和具體實 施方式對本發(fā)明作進一步詳細的說明��。本實施例基于地址鎖機制的快速重認證方法中����,當UE移動出家庭基站微小區(qū)的 范圍時�����,UE和核心網(wǎng)側(cè)保存的安全上下文有一定時限���,對于UE周邊的宏小區(qū)��,在大部分時 候是固定不變的(運營商允許的范圍內(nèi)使用)����,可以在H(e)NB中預先配置一張鄰接宏小區(qū) 的信息表�,內(nèi)容包含Cell_ID等小區(qū)信息,H(e)NB定時掃頻獲取鄰小區(qū)信息并通過kGW向 核心網(wǎng)側(cè)匯報(根據(jù)運營商策略可以有不同實施方案)�����。這樣做有兩個好處����,一是核心網(wǎng)側(cè) 可以精確定位H(e)NB地理位置信息���,減小非法使用威脅;二是可以隨時根據(jù)白名單限制可 以使用快速重認證的小區(qū)范圍�。因為H(e)NB小區(qū)的范圍較小,宏小區(qū)的范圍很大��,只有在 H(e)NB和鄰接宏小區(qū)之間進行切換時��,快速重認證的方法才最有必要使用����。參照圖1,從H(e) NB小區(qū)到E-UTRAN的切換時的快速重認證方法包括如下步驟步驟1�,H(e)NB上電執(zhí)行自啟動流程,UE(用戶設備)附著在H(e)NB小區(qū)并通 過AAA(認證����、授權(quán)和計費服務器)和HSS(用戶信息數(shù)據(jù)庫)(安全網(wǎng)關)執(zhí)行 EAP-AKA(擴展認證協(xié)議-認證和密鑰協(xié)商)相互認證,NAS(Non Access Stratum�����,非接 入層)安全上下文和AS (Access Stratum�����,接入層)安全上下文保存在ME (移動設備)和 MME(移動管理實體)中,啟動計時器�。步驟2當UE移動到H (e) NB小區(qū)邊緣,檢測鄰接宏小區(qū)的廣播控制信道BCCH電平 值是否超過切換門限�。步驟3若是,UE向H(e)NB發(fā)起切換請求����,同時上報目標切換小區(qū)的廣播信息����,如 小區(qū)識別號Cell_ID,位置區(qū)域識別號LAI����,使用頻率列表等。步驟4 H(e)NB維護著一張允許快速重認證的可信鄰接小區(qū)列表���,H(e)NB對比UE 上報目標切換小區(qū)的信息是否在可信列表中來決定能否執(zhí)行快速重認證���。同時H(e)NB周 期性地向源MME進行位置校驗(周期由運營商策略決定)。4a以上提到的H(e)NB位置校驗主要有兩種手段���,一是自己掃描周圍宏小區(qū)信息 向MME上報���,此方法適合在城市內(nèi)宏小區(qū)分布密集的區(qū)域��;4b如果H(e)NB布置在宏小區(qū)較少的地區(qū)���,位置校驗可以通過向H(e)NB和核心網(wǎng) 之間的IP網(wǎng)絡的DNS (域名服務器)獲取自身IP地址的手段完成。顯然這種需要和其它運 營商實現(xiàn)約定好策略���,會增加額外的成本�,而且不一定能夠達到定位精度�,在此僅作為可選 方案。另有方案在H(e)NB內(nèi)部署GPS系統(tǒng)實現(xiàn)精確定位��,雖然效果最好但顯然成本最高����, 只適用于少數(shù)場景。步驟5 MME基于運營商策略對H(e)NB位置信息進行校驗�����。若H(e)NB附帶信息 同意執(zhí)行快速重認證�,則源MME將自己保存的UE安全上下文同步給待切換目標新MME ���;若 不執(zhí)行快速重認證,則不需要同步UE安全上下文�,UE切換附著后通過AAA和HSS重新執(zhí)行 EAP-AKA認證過程。步驟6源MME向UE返回切換請求響應消息���,并告知是否執(zhí)行安全上下文重用和快 速重認證�����。步驟7 H(e) NB小區(qū)和E-UTRAN小區(qū)使用同一套密鑰系統(tǒng),因此安全上下文可以直 接使用(計時器未過期的條件下)�,不需要進行密鑰的推演和轉(zhuǎn)換。UE和切換目標小區(qū)的增強基站eNB��,新MME執(zhí)行快速重認證過程���。步驟8快速重認證過程執(zhí)行完畢�����,UE和新小區(qū)網(wǎng)絡側(cè)可以使用以前的密鑰對 NAS (非接入層)信令和RRC(無線資源控制)信令進行保護���,繼續(xù)執(zhí)行切換流程���。以上對本發(fā)明所提供的一種基于地址鎖機制的快速重認證方法進行詳細介紹,本 文中應用了具體實施例對本發(fā)明的原理及實施方式進行了闡述��,以上實施例的說明只是用 于幫助理解本發(fā)明的方法及其核心思想���;同時�����,對于本領域的一般技術(shù)人員���,依據(jù)本發(fā)明的 思想,在具體實施方式
及應用范圍上均會有改變之處����。綜上所述,本說明書內(nèi)容不應理解為 對本發(fā)明的限制�。
權(quán)利要求
1.一種基于地址鎖機制的快速重認證方法,其特征在于����,所述方法基于快速重認證系統(tǒng),所述系統(tǒng)包括H(e)NB(家庭基站)����、切換中一直不斷 移動的UE (用戶設備)以及核心網(wǎng)的控制設備MME (移動管理實體)���、位于移動運營商核心 網(wǎng)側(cè)邊沿的&GW(安全網(wǎng)關),存儲著用戶數(shù)據(jù)和H(e)NB的認證信息的數(shù)據(jù)庫(HSS)�,基于 HSS中的認證消息來執(zhí)行的AAA(認證、授權(quán)和計費)服務器�;其中,所述H(e)NB包括基于 UTRA (通用陸地無線接入)技術(shù)的HNB家庭基站���,以及基于E-UTRA (演進的通用陸地無線接 入)技術(shù)的HeNB家庭基站��;所述MME是3GPP協(xié)議LTE (長期演進)接入網(wǎng)絡的關鍵控制節(jié) 點����;并且從H(e)NB小區(qū)到E-UTRAN(演進的通用陸地無線接入網(wǎng))的切換時�,包括如下步驟 步驟1)�,H(e)NB上電執(zhí)行自啟動流程,UE (用戶設備)附著在H(e)NB小區(qū)并通過AAA 和HSS與安全網(wǎng)關)執(zhí)行EAP-AKA(擴展認證協(xié)議-認證和密鑰協(xié)商)相互認證�����, NAS (Non Access Stratum�,非接入層)安全上下文和AS (Access Stratum�,接入層)安全上 下文保存在ME(移動設備)和MME(移動管理實體)中��,啟動計時器�;步驟幻,當UE移動到H (e) NB小區(qū)邊緣�,檢測鄰接宏小區(qū)的廣播控制信道電平值是否超 過切換門限;步驟3)��,若是��,UE向H(e)NB發(fā)起切換請求����,同時上報目標切換小區(qū)的廣播信息; 步驟4)�,H (e) NB維護一張允許快速重認證的可信鄰接小區(qū)列表,通過判斷UE上報目標 切換小區(qū)的信息是否在所述可信鄰接小區(qū)列表中決定是否執(zhí)行快速重認證����;步驟5),若確定執(zhí)行快速重認證��,則源MME將保存的UE安全上下文同步給待切換目標 新MME ���;若不執(zhí)行快速重認證�,則不需要同步UE安全上下文,UE切換附著后通過AAA和HSS 重新執(zhí)行EAP-AKA認證過程����;步驟6),源MME向UE返回切換請求響應消息���,并告知是否執(zhí)行安全上下文重用和快速 重認證�;步驟7)�,在切換目標小區(qū)的eNB (增強基站)、MME間執(zhí)行快速重認證過程�����。
2.根據(jù)權(quán)利要求1所述的基于地址鎖機制的快速重認證方法���,其特征在于���,所述步驟3)中�,所述廣播信息包括小區(qū)識別號、位置區(qū)域識別號以及使用頻率列表���。
3.根據(jù)權(quán)利要求2所述的基于地址鎖機制的快速重認證方法�����,其特征在于��,所述步驟4)中�����,所述周期由運營商策略決定��。
4.根據(jù)權(quán)利要求3所述的基于地址鎖機制的快速重認證方法���,其特征在于����,所述步驟 4)中�����,所述位置校驗為H(e)NB掃描相鄰宏小區(qū)信息并向所述MME上報���。
5.根據(jù)權(quán)利要求3所述的基于地址鎖機制的快速重認證方法�����,其特征在于��,所述步驟 4)中�,所述位置校驗通過向H(e)NB和核心網(wǎng)之間的IP網(wǎng)絡的DNS(域名服務器)獲取自身 IP地址完成。
全文摘要
本發(fā)明公開了一種基于地址鎖機制的快速重認證方法�。該基于快速重認證系統(tǒng),所述系統(tǒng)包括H(e)NB(家庭基站)���、切換中一直不斷移動的UE(用戶設備)以及核心網(wǎng)的控制設備MME(移動管理實體)����;當UE移動出家庭基站微小區(qū)的范圍時��,該方法設置UE和核心網(wǎng)側(cè)保存的安全上下文的時限�,并在H(e)NB中預先配置一張鄰接宏小區(qū)的信息表,H(e)NB定時掃頻獲取鄰小區(qū)信息并通過安全網(wǎng)關向核心網(wǎng)側(cè)匯報��。通過上述手段���,本發(fā)明在一定時限內(nèi)��,對于UE已經(jīng)建立的安全上下文進行重用,優(yōu)化了切換流程,降低切換時延�����,提高了整個系統(tǒng)效率�����。
文檔編號H04W36/08GK102075938SQ201110046059
公開日2011年5月25日 申請日期2011年2月25日 優(yōu)先權(quán)日2011年2月25日
發(fā)明者史昊一, 吳昊, 湯恒亮, 溫士雅, 肖鵬 申請人:北京交通大學