家庭基站網絡安全接入方法、設備和系統的製作方法

2023-06-05 00:26:01 1

專利名稱：家庭基站網絡安全接入方法、設備和系統的製作方法
技術領域：
本發明涉及網絡通信技術領域，特別是涉及一種家庭基站網絡安全接入方法、設備和系統。
背景技術：
家庭基站是小型蜂窩基站，又稱為Femtocell或Home NodeB，是3G和4G領域的前沿技術。家庭基站讓住宅中的移動用戶通過有線寬帶網連接到3G/4G網絡，獲得增強的移動語音、視頻和數據服務，可以與運營商的原有宏蜂窩基站無縫連接，可以充分使用戶已有的寬帶接入資源，最終為用戶提供了移動和固網融合業務。通過家庭基站，大量的移動業務被室內家庭基站接入點所吸收，可以大大降低運營商宏蜂窩的數量，為運營商節約大量的設備投資費用和維護費用，也可以改善室內覆蓋，提高室內寬帶接入效率，減少時延，滿足 用戶各種多媒體應用體驗。然而，家庭基站接入點在接入網關時存在一定的安全隱患，這是由於家庭基站接入點布設在各個家庭或企業中，在地理位置上屬於家庭或企業所有，並不歸屬於運營商，容易遭受攻擊，或者被非法入侵者所利用。

發明內容
本發明的目的在於提供一種家庭基站網絡安全接入方法、設備和系統，從而避免了非法入侵者利用接聽基站接入點實施對家庭基站網絡接入的攻擊，從而避免了非法入侵者獲得並使用相應的通信內容。本發明的目的通過如下技術方案實現一種家庭基站網絡安全接入方法，包括如下步驟通過家庭基站網關將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識；驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書;當對接入點證書和網關證書的驗證均通過後，通過所述家庭基站網關向家庭基站接入點分發用於與該接入點家庭基站建立安全隧道的安全隧道密鑰。一種家庭基站網絡安全接入設備，包括發送單元，用於通過家庭基站網關將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識；驗證單元，用於驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書；分發單元，用於當對接入點證書和網關證書的驗證均通過後，通過所述家庭基站網關向家庭基站接入點分發用於與該接入點家庭基站建立安全隧道的安全隧道密鑰。—種豕庭基站網絡安全接入系統，包括豕庭基站網關、鑑權伺服器、豕庭基站接入點；所述家庭基站網關用於將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識，還用於向所述家庭基站接入點發送用幹與所述接入點家庭基站建立安全隧道的安全隧道密鑰；所述鑑權伺服器用於驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書；所述接入點家庭基站用於接收所述安全隧道密鑰。依據上述本發明的方案，接入點身份標識、網關身份標識被發送到鑑權伺服器後，驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書，當對接入點證書和網關證書的驗證均通過後，通過所述家庭基站網關向家庭基站接入點分發用於與該接入點家庭基站建立安全隧道的安全隧道密鑰。由於驗證了接入點證書和網關證書，在安全上有了保證，避免了非法入侵者利用接聽基站接入點實施對家庭基站網絡接入的攻 擊，從而避免了非法入侵者獲得並使用相應的通信內容；同時，通過家庭基站網關傳送的是接入點身份標識、網關身份標識，數據傳輸量小，在保證安全的同時，又提高了接入效率。


圖1為本發明的家庭基站網絡安全接入方法實施例的流程示意圖；圖2為基於本發明實施例一的方法流程示意圖；圖3為基於本發明實施例ニ的方法流程示意圖；圖4為基於本發明實施例三的方法流程示意圖；圖5為基於本發明實施例四的方法流程示意圖；圖6為本發明的家庭基站網絡安全接入設備實施例的結構示意圖；圖7為本發明的家庭基站網絡安全接入系統實施例的結構示意圖。
具體實施例方式為了使本發明的目的、技術方案和有益效果更加清楚明白，下面結合實施例及附圖對本發明作進ー步闡述。在此，本發明的示意性實施例及其說明用於理解本發明，但並不作為對本發明的限定。在下述說明中，首先針對本發明的家庭基站網絡安全接入方法的實例進行說明，接著對家庭基站網絡安全接入設備的實施例進行說明，再針對本發明的家庭基站網絡安全接入系統的實施例進行說明。圖1中示出了本發明的家庭基站網絡安全接入方法實施例的流程示意圖。如圖1所示，本實施例中的家庭基站網絡安全接入方法包括步驟步驟SlOl :通過家庭基站網關將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識，其中，接入點身份標識可以是運營商網絡設備號或者其他可以描述家庭基站接入點身份唯一性的信息，網關身份標識可以是運營商網絡設備號或者其他可以描述家庭基站網關身份唯一性的信息；步驟S102 :驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書，例如，驗證對應證書是否有效(如無法獲取對應證書，則也可以認為對應證書無效)，驗證對應證書的有效期，或者驗證對應的證書是否有吊銷信息；
步驟S103 :當對接入點證書和網關證書的驗證均通過後，通過所述家庭基站網關向家庭基站接入點分發用於與該接入點家庭基站建立安全隧道的安全隧道密鑰，在在成功分發安全隧道密鑰後，家庭基站網關成功安全的接入家庭基站網關，其中，分發安全隧道密鑰可以採用現有的方式，在此不予贅述。據此，根據上述實施例的方案，在家庭基站接入點和家庭基站網關對應的證書均通過驗證後，通過所述家庭基站網關向家庭基站接入點分發用於與該接入點家庭基站建立安全隧道的安全隧道密鑰，一方面，通過對家庭基站接入點和家庭基站網關對應的證書的驗證，保證了只有合法的家庭基站接入點才能接入網絡，同時，接收到的是接入點身份標識和網關身份標識，而非接入點證書和網關證書，數據傳輸量小，可大大提高家庭基站接入點接入網絡的效率，另ー方面，可通過安全隧道密鑰建立安全隧道，即可在此安全隧道中進行 業務數據的保密傳輸，避免了網絡非法入侵者截獲數據，本發明在家庭基站接入點和家庭基站網關進行業務數據前，解決了安全接入問題。其中，如前所述，鑑權伺服器需要對家庭基站接入點和家庭基站網關的身份進行驗證，如判斷所述家庭基站接入點和家庭基站網關對應的證書是有有效，是否在有效期內，是否已被吊銷等，為此，在步驟SlOl之前還可以包括註冊和頒發數字證書步驟，該註冊和頒發數字證書具體包括步驟步驟SlOO :通過鑑權伺服器向家庭基站網關、家庭基站接入點頒發證書和私鑰，並分別將對應的證書和私鑰與對應的身份標識綁定，即將家庭基站接入點證書、接入點私鑰與接入點身份標識綁定，將家庭基站網關證書、網關私鑰與網關身份標識綁定，並將這些綁定關係存儲在在鑑權伺服器以供在接收到接入點身份標識、網關身份標識時能順利查找到對應的證書。依據上述本發明方案，由於實現了對家庭基站接入點和家庭基站網關身份的驗證，且實現了安全隧道密鑰的分發，可以有效防止非法家庭基站接入點的接入和惡意攻擊等，根據實際需要，也可以對家庭基站接入網絡的安全性做進ー步改善。以下就本發明的幾個實施例進行詳細說明。實施例一參見圖2所示，為基於本發明第一實施例的方法流程圖。步驟S201 :家庭基站接入點首次接入網絡時(如剛上電或重新啟動等)，通過家庭基站接入點向家庭基站網關發送接入詢問消息，該接入詢問消息包括接入點身份標識、接入點相關信息；步驟S202 :檢驗接入點相關信息的有效性；步驟S203 :在步驟S202的驗證通過時，在家庭基站網關保存接入點身份標識，並通過家庭基站網關將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識；步驟S204 :通過鑑權伺服器對所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書進行驗證；步驟S205 :在步驟S204的驗證均通過時，通過鑑權伺服器向家庭基站發送身份驗證消息，該身份驗證消息包括步驟S204的身份驗證結果，還包括網關身份標識、接入點身份標識；
步驟S206 :在家庭基站網關檢驗身份驗證消息的有效性，檢驗身份驗證消息中的網關身份標識與該家庭基站網關自身的網關身份標識的一致性，檢驗身份驗證消息中的接入點身份標識與該家庭基站網關存儲的對應的接入點身份標識的一致性；步驟S207 :在步驟S206的驗證均通過時，則在家庭基站網關使用接入點證書公鑰對預先生成的身份驗證密鑰進行加密，通過家庭基站網關向家庭基站接入點發送接入響應消息，所述接入響應消息包括網關身份標識、接入點身份標識、身份驗證結果、身份驗證密鑰密文、身份驗證密鑰信息，該身份驗證密鑰信息包括身份驗證密鑰的索引信息等；步驟S208 :在家庭基站接入點檢驗身份驗證消息的有效性，檢驗接入響應消息中的網關身份標識與在該家庭基站接入點本地存儲的網關身份標識的一致性，檢驗接入響應消息中的接入點身份標識與該家庭基站接入點自身的接入點身份標識的一致性；步驟S209 :在步驟S208的驗證均通過時，使用接入點私鑰解密身份驗證密鑰密文，保存得到的身份驗證密鑰，並利用該身份驗證密鑰推導出安全隧道密鑰，通過家庭基站 接入點向家庭基站網關發送連接建立消息，該連接建立消息包括接入點身份標識、網關身份標識、身份驗證密鑰信息、消息鑑別碼，該消息鑑別碼是使用消息身份驗證密鑰計算得到的；步驟S210 :在家庭基站網關檢驗家庭基站網關本地計算的消息鑑別碼和接收到的消息鑑別碼的一致性，檢驗連接建立消息中的網關身份標識與該家庭基站網關自身的網關身份標識的一致性，檢驗連接建立消息中的接入點身份標識與該家庭基站網關本地存儲的接入點身份標識的一致性，檢驗連接建立消息中的身份驗證密鑰信息與該家庭基站網關本地存儲的身份驗證密鑰信息的一致性；步驟S211 :在步驟S210的驗證均通過，利用身份驗證密鑰推導安全隧道密鑰，此時，家庭基站接入點成功接入家庭基站網關。上述步驟中，為步驟S202、步驟S206、步驟S208、步驟S210中對應的驗證過程均分別通過的實施流程，若步驟S202中的驗證任意ー項不通過，或者步驟S206中的驗證任意一項不通過，或者步驟S208中的驗證任意ー項不通過，或者步驟S210中的驗證任意ー項不通過，接入過程失敗，在此不予贅述。實施例ニ參見圖3所示，為基於本發明第二實施例的方法流程圖。實施例ニ是實施例一中的步驟S204中驗證接入點證書、網關證書任意ー個不通過時的處理流程，其中步驟S301 步驟S304與步驟S201 步驟S204對應相同，在此不予贅述，僅敘述後續處理過程，如下步驟S305 :丟棄所述身份詢問消息，也即接入過程失敗。實施例三參見圖4所示，為基於本發明第三實施例的方法流程圖。為了保證家庭基站接入點、家庭基站網關、鑑權伺服器所傳遞的信息和用戶數據的安全性，與實施例一不同的是，在本實施例中在本實施例中通過Internet密鑰協商(IKE)協議對信息和用戶數據進行保護。具體如下步驟S401 :家庭基站接入點首次接入網絡時(如剛上電或重新啟動等)，通過家庭基站接入點向家庭基站網關發送採用接入點證書私鑰籤名的接入詢問消息，該接入詢問消息包括接入點身份標識、接入點證書公鑰(可以從接入點證書中提取)、接入點相關信息；步驟S402 :在家庭基站網關根據接入點證書公鑰檢驗接入詢問消息籤名的有效性，並在家庭基站網關檢驗接入點相關信息的有效性；步驟S403 :在步驟S402的驗證均通過時，在家庭基站網關保存接入點身份標識，並通過家庭基站網關向鑑權伺服器發送利用網關證書私鑰籤名的身份詢問消息，所述身份詢問消息包括接入點身份標識、網關身份標識；步驟S404 :在鑑權伺服器驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書，提取網關證書公鑰，使用該網關證書公鑰驗證身份詢問消息籤名的有效性；步驟S405 :在步驟S404中的各驗證均通過時，通過鑑權伺服器向家庭基站發送身份驗證消息，該身份驗證消息包括步驟S404的身份驗證結果，還包括網關身份標識、接入點身份標識；
步驟S406 :在家庭基站網關檢驗身份驗證消息籤名的有效性，檢驗身份驗證消息的有效性，檢驗身份驗證消息中的網關身份標識與該家庭基站網關自身的網關身份標識的一致性，檢驗身份驗證消息中的接入點身份標識與該家庭基站網關存儲的對應的接入點身份標識的一致性，其中，家庭基站網關通過鑑權伺服器證書公鑰檢驗身份驗證消息籤名的有效性；步驟S407 :在步驟S406的驗證均通過時，在家庭基站網關使用接入點證書公鑰對預先生成的身份驗證密鑰進行加密，通過家庭基站網關向家庭基站接入點發送利用接入點證書公鑰籤名的接入響應消息，所述接入響應消息包括網關身份標識、接入點身份標識、身份驗證結果、身份驗證密鑰密文、身份驗證消息、身份驗證密鑰信息，該身份驗證密鑰信息包括身份驗證密鑰的索引信息等；步驟S408 :在豕庭基站接入點利用網關證書公陰檢驗接入響應消息籤名的有效性，利用鑑權伺服器證書公鑰檢驗身份驗證消息的有效性，並在家庭基站接入點檢驗接入響應消息中的網關身份標識與在該家庭基站接入點本地存儲的網關身份標識的一致性，檢驗接入響應消息中的接入點身份標識與該家庭基站接入點自身的接入點身份標識的一致性；步驟S409 :在步驟S408的驗證均通過時，在家庭基站接入點使用接入點私鑰解密身份驗證密鑰密文，保存得到的身份驗證密鑰，並利用該身份驗證密鑰推導出安全隧道密鑰，通過家庭基站接入點向家庭基站網關發送利用接入點證書私鑰籤名的連接建立消息，該連接建立消息包括接入點身份標識、網關身份標識、身份驗證密鑰信息、消息鑑別碼，該消息鑑別碼是使用消息身份驗證密鑰計算得到的；步驟S410 :在家庭基站網關利用接入點證書公鑰檢驗連接建立消息籤名的有效性，並在家庭基站網關檢驗家庭基站網關本地計算的消息鑑別碼和接收到的消息鑑別碼的一致性，檢驗連接建立消息中的網關身份標識與該家庭基站網關自身的網關身份標識的一致性，檢驗連接建立消息中的接入點身份標識與該家庭基站網關本地存儲的接入點身份標識的一致性，檢驗連接建立消息中的身份驗證密鑰信息與該家庭基站網關本地存儲的身份驗證密鑰信息的一致性；步驟S411 :在步驟S410的驗證均通過時，利用身份驗證密鑰推導安全隧道密鑰，此時，家庭基站接入點成功接入家庭基站網關。上述步驟中，為步驟S402、步驟S404、步驟S406、步驟S408、步驟S410中對應的驗證過程均分別通過的實施流程，若步驟S402中的驗證任意ー項不通過，若步驟S404中的驗證任意ー項不通過，或者步驟S406中的驗證任意ー項不通過,或者步驟S408中的驗證任意ー項不通過，或者步驟S410中的驗證任意ー項不通過，接入過程失敗，在此不予贅述。實施例四參見圖5所示，為基於本發明第四實施例的方法流程圖。為了保證家庭基站接入點、家庭基站網關、鑑權伺服器所傳遞的信息和用戶數據·的安全性，與實施例一不同的是，在本實施例中所傳遞的信息(包括接入詢問消息、身份詢問消息、身份驗證消息、接入響應消息、連接建立消息)還響應的包括接入點隨機數、網關隨機數(但接入詢問消息只包括接入點隨機數)相應的，還有對接入點隨機數、網關隨機數的驗證步驟。具體如下步驟S501 :家庭基站接入點首次接入網絡時(如剛上電或重新啟動等)，家庭基站接入點產生ー個接入點隨機數，通過家庭基站接入點向家庭基站網關發送接入詢問消息，該接入詢問消息包括接入點身份標識、接入點相關信息、接入點隨機數；步驟S502 :檢驗接入點相關信息的有效性；步驟S503 :在步驟S502的驗證通過時，在家庭基站網關保存接入點身份標識、接入點隨機數，並產生網關隨機數，通過家庭基站網關將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識、接入點隨機數、網關隨機數；步驟S504 :通過鑑權伺服器對所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書進行驗證；步驟S505 :在步驟S504的驗證均通過時，通過鑑權伺服器向家庭基站發送身份驗證消息，該身份驗證消息包括步驟S204的身份驗證結果，還包括網關身份標識、接入點身份標識、接入點隨機數、網關隨機數；步驟S506 :在家庭基站網關檢驗身份驗證消息的有效性，檢驗身份驗證消息中的網關身份標識與該家庭基站網關自身的網關身份標識的一致性，檢驗身份驗證消息中的接入點身份標識與該家庭基站網關存儲的對應的接入點身份標識的一致性，檢驗身份驗證消息中的網關隨機數與該家庭基站網關自身產生對應的網關隨機數的一致性，檢驗身份驗證消息中的接入點隨機數與該家庭基站網關存儲的對應的接入點隨機數的一致性；步驟S507 :在步驟S506的驗證均通過時，則在家庭基站網關使用接入點證書公鑰對預先生成的身份驗證密鑰進行加密，通過家庭基站網關向家庭基站接入點發送接入響應消息，所述接入響應消息包括網關身份標識、接入點身份標識、身份驗證結果、身份驗證密鑰密文、接入點隨機數、網關隨機數、身份驗證密鑰信息，該身份驗證密鑰信息包括身份驗證密鑰的索引信息等；步驟S508 :在家庭基站接入點檢驗接入響應消息中的網關身份標識與在該家庭基站接入點本地存儲的網關身份標識的一致性，檢驗接入響應消息中的接入點身份標識與該家庭基站接入點自身的接入點身份標識的一致性，檢驗接入響應消息中的接入點隨機數與該家庭基站接入點本地存儲的接入點隨機數的一致性；步驟S509 :在步驟S508的驗證均通過時，使用接入點私鑰解密身份驗證密鑰密文，保存得到的身份驗證密鑰，並利用該身份驗證密鑰推導出安全隧道密鑰，通過家庭基站接入點向家庭基站網關發送利用接入點證書私鑰進行籤名的連接建立消息，該連接建立消息包括接入點身份標識、網關身份標識、身份驗證密鑰信息、消息鑑別碼，該消息鑑別碼是使用消息身份驗證密鑰計算得到的；步驟S510 :在豕庭基站網關利檢驗豕庭基站網關本地計算的消息鑑別碼和接收到的消息鑑別碼的一致性，檢驗連接建立消息中的網關身份標識與該家庭基站網關自身的網關身份標識的一致性，檢驗連接建立消息中的接入點身份標識與該家庭基站網關本地存儲的接入點身份標識的一致性，檢驗連接建立消息中的網關隨機數與在該家庭基站網關本地存儲的網關隨機數的一致性，檢驗連接建立消息中的接入點隨機數與該家庭基站網關本地存儲的接入點隨機數的一致性，檢驗連接建立消息中的身份驗證密鑰信息與該家庭基站網關本地存儲的身份驗證密鑰信息的一致性；步驟S511 :在步驟S210的驗證均通過，利用身份驗證密鑰推導安全隧道密鑰，此時，家庭基站接入點成功接入家庭基站網關。 需要說明的是，上述步驟中，為步驟S502、步驟S504、步驟S506、步驟S508、步驟S510中對應的驗證過程均分別通過的實施流程，若步驟S502中的驗證任意ー項不通過，若步驟S504中的驗證任意ー項不通過，或者步驟S506中的驗證任意ー項不通過，或者步驟S508中的驗證任意ー項不通過，或者步驟S510中的驗證任意ー項不通過，接入過程失敗，在此不予贅述。另外，需要說明的是，本實例中，是在實施例一基礎上的進ー步改進，也可以在實施例三的基礎上做進ー步改進，在此不予贅述。根據上述本發明的家庭基站網絡安全接入方法，本發明還提供ー種家庭基站網絡安全接入設備。參見圖6所示，為本發明家庭基站網絡安全接入設備實施例的結構示意圖。依據不同的考慮因素，在具體實現本發明的家庭基站網絡安全接入設備時，可以包含圖6中所示的全部，也可以只包含圖6中所示的其中一部分，以下就針對其中的幾個家庭基站網絡安全接入設備的具體實施例進行詳細說明。設備實施例一在該實施例中，可以是包括圖6所示的發送單元601、驗證單元602、分發單元603，其中發送單元601，用於通過家庭基站網關將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識，其中，接入點身份標識可以是運營商網絡設備號或者其他可以描述家庭基站接入點身份唯一性的信息，網關身份標識可以是運營商網絡設備號或者其他可以描述家庭基站網關身份唯一性的信息；驗證單元602，用於驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書，例如，驗證對應證書是否有效(如無法獲取對應證書，則也可以認為對應證書無效)，驗證對應證書的有效期，或者驗證對應的證書是否有吊銷信息；分發單元603，用於當對接入點證書和網關證書的驗證均通過後，通過所述家庭基站網關向家庭基站接入點分發用於與該接入點家庭基站建立安全隧道的安全隧道密鑰，在在成功分發安全隧道密鑰後，家庭基站網關成功安全的接入家庭基站網關，其中，分發安全隧道密鑰可以採用現有的方式，在此不予贅述。據此，根據上述實施例的方案，在驗證單元602驗證通過了家庭基站接入點和家庭基站網關對應的證書後，分發單元603通過所述家庭基站網關向家庭基站接入點分發用於與該接入點家庭基站建立安全隧道的安全隧道密鑰，一方面，通過對家庭基站接入點和家庭基站網關對應的證書的驗證，保證了只有合法的家庭基站接入點才能接入網絡，同吋，接收到的是接入點身份標識和網關身份標識，而非接入點證書和網關證書，數據傳輸量小，可大大提高家庭基站接入點接入網絡的效率，另ー方面，可通過安全隧道密鑰建立安全隧道，即可在此安全隧道中進行業務數據的保密傳輸，避免了網絡非法入侵者截獲數據，本發明在家庭基站接入點和家庭基站網關進行業務數據前，解決了安全接入問題。設備實施例ニ
在該實施例中，在上述設備實施例一的基礎上，還可以包括有丟棄單元604。在該丟棄単元604用於當對接入點證書和網關證書的驗證有任意一項未通過時，丟棄所述身份詢問消息，也即接入過程失敗，本實施例是在驗證單元602驗證接入點證書、網關證書時有任意ー個不通過時的情況。設備實施例三在該實施例中，在上述設備實施例一的基礎上，還可以包括證書頒發單元605，該證書頒發單元605用於通過鑑權伺服器端向家庭基站網關、家庭基站接入點頒發證書和私鑰，井分別將對應的證書和私鑰與對應的身份標識綁定，即將家庭基站接入點證書、接入點私鑰與接入點身份標識綁定，將家庭基站網關證書、網關私鑰與網關身份標識綁定，並將這些綁定關係存儲在在鑑權伺服器以供在接收到接入點身份標識、網關身份標識時能順利查找到對應的證書。設備實施例四在該實施例中，所述的基站網絡安全接入設備還可以包括籤名單元606和籤名驗證單元607，籤名單元606用於利用網關證書私鑰對所述身份詢問消息進行籤名，籤名驗證単元607用於利用網關證書公鑰對所述身份詢問消息的籤名進行驗證，這是為了保證家庭基站接入點、家庭基站網關、鑑權伺服器所傳遞的信息和用戶數據的安全性。此外，所述身份詢問消息還可以包括接入點隨機數和/或者網關隨機數，則相應的需要驗證接入點隨機數和/或者網關隨機數，進ー步保證家庭基站接入點、家庭基站網關、鑑權伺服器所傳遞的信息和用戶數據的安全性。依據上述本發明的家庭基站網絡安全接入方法或家庭基站網絡安全接入設備，本發明還提供ー種家庭基站網絡安全接入系統。參見圖7所示，為本發明的家庭基站網絡安全接入系統實施例的結構示意圖。包括家庭基站接入點701、家庭基站網關702、鑑權伺服器703，鑑權伺服器701，可部署在運營商所管理的核心網側的AAA伺服器中或其他核心網設備中，家庭基站網關702，可部署在運營商所管理的核心網側，家庭基站接入點703，可以通過網際網路或其他無線網絡和核心網側的家庭基站網關702相連接，其中家庭基站網關702用於將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識，還用於向所述家庭基站接入點分發用於與所述接入點家庭基站建立安全隧道的安全隧道密鑰，其中，接入點身份標識可以是運營商網絡設備號或者其他可以描述家庭基站接入點身份唯一性的信息，網關身份標識可以是運營商網絡設備號或者其他可以描述家庭基站網關身份唯一性的信息，分發安全隧道密鑰可以採用現有的方式，在此不予贅述；鑑權伺服器701用於驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書，例如，驗證對應證書是否有效(如無法獲取對應證書，則也可以認為對應證書無效)，驗證對應證書的有效期，或者驗證對應的證書是否有吊銷信息；接入點家庭基站703用於獲取所述安全隧道密鑰，其中，獲取安全隧道密鑰可以採用現有的方式，在此不予贅述。據此，根據上述實施例的方案，鑑權伺服器701驗證通過了家庭基站接入點和家庭基站網關對應的證書後，豕庭基站網關702 通過所述豕庭基站網關向豕庭基站接入點分發用於與該接入點家庭基站建立安全隧道的安全隧道密鑰，一方面，通過對家庭基站接入點和家庭基站網關對應的證書的驗證，保證了只有合法的家庭基站接入點才能接入網絡，同時，接收到的是接入點身份標識和網關身份標識，而非接入點證書和網關證書，數據傳輸量小，可大大提高家庭基站接入點接入網絡的效率，另ー方面，可通過安全隧道密鑰建立安全隧道，即可在此安全隧道中進行業務數據的保密傳輸，避免了網絡非法入侵者截獲數據，本發明在家庭基站接入點和家庭基站網關進行業務數據前，解決了安全接入問題。在其中一個實施例中，鑑權伺服器701還可以用於當對接入點證書和網關證書的驗證有任意一項未通過時，丟棄所述身份詢問消息。在其中一個實施例中，鑑權伺服器701還可以用於向家庭基站網關、家庭基站接入點頒發證書和私鑰，並分別將對應的證書和私鑰與對應的身份標識綁定，即將家庭基站接入點證書、接入點私鑰與接入點身份標識綁定，將家庭基站網關證書、網關私鑰與網關身份標識綁定，並將這些綁定關係存儲在在鑑權伺服器以供在接收到接入點身份標識、網關身份標識時能順利查找到對應的證書。在其中一個實施例中，家庭基站網關702還可以用於利用網關證書私鑰對所述身份詢問消息進行籤名，鑑權伺服器703還用於利用網關證書公鑰對所述身份詢問消息的籤名進行驗證，這是為了保證家庭基站接入點、家庭基站網關、鑑權伺服器所傳遞的信息和用戶數據的安全性。另外，為了保證家庭基站接入點、家庭基站網關、鑑權伺服器所傳遞的信息和用戶數據的安全性，如前所述身份詢問消息還可以包括接入點隨機數和/或者網關隨機數。以上所述實施例僅表達了本發明的幾種實施方式，其描述較為具體和詳細，但並不能因此而理解為對本發明專利範圍的限制。應當指出的是，對於本領域的普通技術人員來說，在不脫離本發明構思的前提下，還可以做出若干變形和改進，這些都屬於本發明的保護範圍。因此，本發明專利的保護範圍應以所附權利要求為準。
權利要求
1.一種家庭基站網絡安全接入方法，其特徵在於，包括如下步驟 通過家庭基站網關將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識； 驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書； 當對接入點證書和網關證書的驗證均通過後，通過所述家庭基站網關向家庭基站接入點分發用於與該接入點家庭基站建立安全隧道的安全隧道密鑰。
2.根據權利要求1所述的家庭基站網絡安全接入方法，其特徵在於 還包括步驟當對接入點證書和網關證書的驗證有任意一項未通過時，丟棄所述身份詢問消息； 或者/和 還包括步驟通過鑑權伺服器端向家庭基站網關、家庭基站接入點頒發證書和私鑰，並分別將對應的證書和私鑰與對應的身份標識綁定； 還包括步驟利用網關證書私鑰對所述身份詢問消息進行籤名，利用網關證書公鑰對所述身份詢問消息的籤名進行驗證。
3.根據權利要求1或2所述的家庭基站網絡安全接入方法，其特徵在於所述身份詢問消息還包括接入點隨機數和/或者網關隨機數。
4.一種家庭基站網絡安全接入設備，其特徵在於，包括 發送單元，用於通過家庭基站網關將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識； 驗證單元,用於驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書； 分發單元，用於當對接入點證書和網關證書的驗證均通過後，通過所述家庭基站網關向家庭基站接入點分發用於與該接入點家庭基站建立安全隧道的安全隧道密鑰。
5.根據權利要求4所述的家庭基站網絡安全接入設備，其特徵在於 還包括丟棄單元，用於當對接入點證書和網關證書的驗證有任意一項未通過時，丟棄所述身份詢問消息； 或者/和 還包括證書頒發單元，用於通過鑑權伺服器端向家庭基站網關、家庭基站接入點頒發證書和私鑰，並分別將對應的證書和私鑰與對應的身份標識綁定； 或著/和 還包括籤名單元和籤名驗證單元，所述籤名單元用於利用網關證書私鑰對所述身份詢問消息進行籤名，所述籤名驗證單元用於利用網關證書公鑰對所述身份詢問消息的籤名進行驗證。
6.根據權利要求4或5所述的家庭基站網絡安全接入設備，其特徵在於，所述身份詢問消息還包括接入點隨機數和/或者網關隨機數。
7.一種家庭基站網絡安全接入系統，其特徵在於，包括家庭基站網關、鑑權伺服器、家庭基站接入點； 所述家庭基站網關用於將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識，還用於向所述家庭基站接入點分發用於與所述接入點家庭基站建立安全隧道的安全隧道密鑰；所述鑑權伺服器用於驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書；所述接入點家庭基站用於獲取所述安全隧道密鑰。
8.根據權利要求7所述的家庭基站網絡安全接入系統，其特徵在於，所述鑑權伺服器還用於當對接入點證書和網關證書的驗證有任意一項未通過時，丟棄所述身份詢問消息。
9.根據權利要求7所述的家庭基站網絡安全接入系統，其特徵在於所述鑑權伺服器還用於向家庭基站網關、家庭基站接入點頒發證書和私鑰，並分別將對應的證書和私鑰與對應的身份標識綁定。
10.根據權利要求7至9之一所述的家庭基站網絡安全接入方法，其特徵在於所述家庭基站網關還用於利用網關證書私鑰對所述身份詢問消息進行籤名，所述鑑權伺服器還用於利用網關證書公鑰對所述身份詢問消息的籤名進行驗證；或者/和所述身份詢問消息還包括接入點隨機數和/或者網關隨機數。
全文摘要
本發明提供一種家庭基站網絡安全接入方法、設備及系統，其方法包括步驟通過家庭基站網關將身份詢問消息發送至鑑權伺服器，所述身份詢問消息包括接入點身份標識、網關身份標識；驗證所述接入點身份標識對應的接入點證書、所述網關身份標識對應的網關證書；當對接入點證書和網關證書的驗證均通過後，通過所述家庭基站網關向家庭基站接入點分發用於與該接入點家庭基站建立安全隧道的安全隧道密鑰。由於驗證了接入點證書和網關證書，避免了非法入侵者利用接聽基站接入點實施對家庭基站網絡接入的攻擊，從而避免了非法入侵者獲得並使用相應的通信內容；通過家庭基站網關傳輸的是接入點身份標識、網關身份標識，數據傳輸量小，提高了接入效率。
文檔編號H04W12/08GK103024742SQ20121051445
公開日2013年4月3日 申請日期2012年12月4日 優先權日2012年12月4日
發明者林凡, 黃建青, 羅耀榮 申請人:廣州傑賽科技股份有限公司