基於地址鎖機制的快速重認證方法
2023-10-17 22:45:44 2
專利名稱:基於地址鎖機制的快速重認證方法
技術領域:
本發明涉及信息安全與移動通信領域,尤其涉及一種基於地址鎖機制的快速重認 證方法。
背景技術:
家庭基站H (e) NB是基於UTRA技術的HNB家庭基站和基於E-UTRA技術的HeNB家 庭基站的合稱,是UMTS系統和LTE/SAE系統中的實體,字面意思是家庭節點B/家庭增強節 點B,習慣稱為家庭基站。運營商將其部署在辦公室,個人家庭,企業內部等無線信號不好的 地方,是解決無線網絡室內覆蓋問題的有效手段。H(e)NB與現行移動通信網絡中的基站工作模式有所區別,用戶終端是通過無線接 口 Uu接入到H (e) NB, H (e) NB再通過ADSL等固定寬帶接入鏈路,經由不可靠的IP網絡進入 移動運營商的核心網,而傳統宏基站和運營商的核心網之間的連接通常使用專用鏈路,被 認為是可以信任的。H(e)NB的引入使得核心網側與開放網際網路直接的連接面臨更多風險和 安全威脅。H(e)NB自啟動流程分為兩個階段,配置階段和服務階段。在配置階段H(e)NB和 H (e) NB管理系統H (e) MS交互獲得H (e) NB提供服務所需的配置信息,在交互過程中H (e) MS 需要和核心網側交互獲得H(e)NB的籤約信息。在服務階段,H(e)NB根據在配置階段中獲 得的配置信息和運營商核心網絡中相應網元建立連接,從而為用戶終端(UE)提供服務。在H(e)NB自啟動過程中,最關鍵的一步就是H(e)NB和安全網關kGW之間進行的 交互認證。交互認證之後,H(e)NB和安全網關之間應建立安全隧道以保護H(e)NB和安全 網關之間交互信息的安全。H(e)NB的使用有效範圍很小,通常只限於幾十米的範圍之類,那麼移動終端可能 會隨著用戶頻繁地進出家庭基站微小區,在此我們考慮家庭基站為HeNB的情況,空口接入 技術為LTE,當UE移動出家庭基站微小區的範圍時,可能進入一個UMTS或者GSM的宏小區, 那麼要保持業務的連續性會發生小區切換,而且可能是異構網絡之間的切換。這種頻繁的 切換如果每次都需要進行重新認證的話,那麼會對系統資源造成很大浪費,也會大大增加 手機的耗電量。
發明內容
為了解決上述問題,本發明提出了一種基於地址鎖機制的快速重認證方法。該方 法基於H (e) NB (家庭基站)、UE (用戶設備)以及核心網唯一的控制設備MME (移動管理實 體)。在一定時限內,對於UE已經建立的安全上下文進行重用,以優化切換流程,降低切換 時延提高整個系統效率。本發明公開了一種基於地址鎖機制的快速重認證方法,所述方法基於快速重認證 系統,所述系統包括H(e)NB (家庭基站)、切換中一直不斷移動的UE (用戶設備)以及核 心網的控制設備MME (移動管理實體)、位於移動運營商核心網側邊沿的kGW(安全網關),存儲著用戶數據和H(e)NB的認證信息的資料庫(HSS),基於HSS中的認證消息來執行的 AAA(認證、授權和計費)伺服器;其中,所述H(e)NB包括基於UTRA(通用陸地無線接入)技 術的HNB家庭基站,以及基於E-UTRA(演進的通用陸地無線接入)技術的HeNB家庭基站; 所述MME是3GPP協議LTE接入網絡的關鍵控制節點;並且,從H(e)NB小區到E_UTRAN(演 進的通用陸地無線接入網)的切換時,包括如下步驟步驟1),H(e)NB上電執行自啟動流程,UE(用戶設備)附著在H(e)NB小區並通過 AAA和HSS與安全網關)執行EAP-AKA(擴展認證協議-認證和密鑰協商)相互認 證,NAS (NonAccess Stratum,非接入層)安全上下文和AS (Access Stratum,接入層)安全 上下文保存在ME(行動裝置)和MME(移動管理實體)中,啟動計時器。步驟幻,當UE移動到H(e)NB小區邊緣,檢測鄰接宏小區的廣播控制信道電平值是 否超過切換門限。步驟3),若是,UE向H(e)NB發起切換請求,同時上報目標切換小區的廣播信息。步驟4),H (e) NB維護一張允許快速重認證的可信鄰接小區列表,通過判斷UE上報 目標切換小區的信息是否在所述可信鄰接小區列表中決定是否執行快速重認證。步驟5),若確定執行快速重認證,則源MME將保存的UE安全上下文同步給待切換 目標新MME ;若不執行快速重認證,則不需要同步UE安全上下文,UE切換附著後通過AAA和 HSS重新執行EAP-AKA認證過程。步驟6),源MME向UE返回切換請求響應消息,並告知是否執行安全上下文重用和 快速重認證。步驟7),在切換目標小區的eNB(增強基站)、MME間執行快速重認證過程。上述快速重認證方法,優選所述步驟幻中,所述廣播信息包括小區識別號、位置 區域識別號以及使用頻率列表。上述快速重認證方法,優選所述步驟4)中,所述周期由運營商策略決定。上述快速重認證方法,優選所述步驟4)中,所述位置校驗為H(e)NB掃描相鄰宏 小區信息並向所述MME上報。上述快速重認證方法,優選所述步驟4)中,所述位置校驗通過向H (e) NB和核心網 之間的IP網絡的DNS (域名伺服器)獲取自身IP位址完成。相對於現有技術而言,本發明的有益效果如下第一,本發明在一定時限內,對於UE已經建立的安全上下文進行重用,可以優化 切換流程,降低切換時延提高整個系統效率。第二,核心網側可以精確定位H(e)NB地理位置信息,減小非法使用威脅;此外,可 以隨時根據白名單限制可以使用快速重認證的小區範圍。第三,本發明不需要在現有網絡中增加新的實體,密鑰推演轉換可以通過用戶側 和網絡側的軟體更新來實現,實現容易。另外,H(e)NB的地址校驗不需要每次都執行,只需 要設定一個周期(在安全性和網絡負擔取得一個平衡點)。
圖1為本發明基於地址鎖機制的快速重認證方法優選實施例的步驟流程圖。
具體實施例方式為使本發明的上述目的、特徵和優點能夠更加明顯易懂,下面結合附圖和具體實 施方式對本發明作進一步詳細的說明。本實施例基於地址鎖機制的快速重認證方法中,當UE移動出家庭基站微小區的 範圍時,UE和核心網側保存的安全上下文有一定時限,對於UE周邊的宏小區,在大部分時 候是固定不變的(運營商允許的範圍內使用),可以在H(e)NB中預先配置一張鄰接宏小區 的信息表,內容包含Cell_ID等小區信息,H(e)NB定時掃頻獲取鄰小區信息並通過kGW向 核心網側匯報(根據運營商策略可以有不同實施方案)。這樣做有兩個好處,一是核心網側 可以精確定位H(e)NB地理位置信息,減小非法使用威脅;二是可以隨時根據白名單限制可 以使用快速重認證的小區範圍。因為H(e)NB小區的範圍較小,宏小區的範圍很大,只有在 H(e)NB和鄰接宏小區之間進行切換時,快速重認證的方法才最有必要使用。參照圖1,從H(e) NB小區到E-UTRAN的切換時的快速重認證方法包括如下步驟步驟1,H(e)NB上電執行自啟動流程,UE(用戶設備)附著在H(e)NB小區並通 過AAA(認證、授權和計費伺服器)和HSS(用戶信息資料庫)(安全網關)執行 EAP-AKA(擴展認證協議-認證和密鑰協商)相互認證,NAS(Non Access Stratum,非接 入層)安全上下文和AS (Access Stratum,接入層)安全上下文保存在ME (行動裝置)和 MME(移動管理實體)中,啟動計時器。步驟2當UE移動到H (e) NB小區邊緣,檢測鄰接宏小區的廣播控制信道BCCH電平 值是否超過切換門限。步驟3若是,UE向H(e)NB發起切換請求,同時上報目標切換小區的廣播信息,如 小區識別號Cell_ID,位置區域識別號LAI,使用頻率列表等。步驟4 H(e)NB維護著一張允許快速重認證的可信鄰接小區列表,H(e)NB對比UE 上報目標切換小區的信息是否在可信列表中來決定能否執行快速重認證。同時H(e)NB周 期性地向源MME進行位置校驗(周期由運營商策略決定)。4a以上提到的H(e)NB位置校驗主要有兩種手段,一是自己掃描周圍宏小區信息 向MME上報,此方法適合在城市內宏小區分布密集的區域;4b如果H(e)NB布置在宏小區較少的地區,位置校驗可以通過向H(e)NB和核心網 之間的IP網絡的DNS (域名伺服器)獲取自身IP位址的手段完成。顯然這種需要和其它運 營商實現約定好策略,會增加額外的成本,而且不一定能夠達到定位精度,在此僅作為可選 方案。另有方案在H(e)NB內部署GPS系統實現精確定位,雖然效果最好但顯然成本最高, 只適用於少數場景。步驟5 MME基於運營商策略對H(e)NB位置信息進行校驗。若H(e)NB附帶信息 同意執行快速重認證,則源MME將自己保存的UE安全上下文同步給待切換目標新MME ;若 不執行快速重認證,則不需要同步UE安全上下文,UE切換附著後通過AAA和HSS重新執行 EAP-AKA認證過程。步驟6源MME向UE返回切換請求響應消息,並告知是否執行安全上下文重用和快 速重認證。步驟7 H(e) NB小區和E-UTRAN小區使用同一套密鑰系統,因此安全上下文可以直 接使用(計時器未過期的條件下),不需要進行密鑰的推演和轉換。UE和切換目標小區的增強基站eNB,新MME執行快速重認證過程。步驟8快速重認證過程執行完畢,UE和新小區網絡側可以使用以前的密鑰對 NAS (非接入層)信令和RRC(無線資源控制)信令進行保護,繼續執行切換流程。以上對本發明所提供的一種基於地址鎖機制的快速重認證方法進行詳細介紹,本 文中應用了具體實施例對本發明的原理及實施方式進行了闡述,以上實施例的說明只是用 於幫助理解本發明的方法及其核心思想;同時,對於本領域的一般技術人員,依據本發明的 思想,在具體實施方式
及應用範圍上均會有改變之處。綜上所述,本說明書內容不應理解為 對本發明的限制。
權利要求
1.一種基於地址鎖機制的快速重認證方法,其特徵在於,所述方法基於快速重認證系統,所述系統包括H(e)NB(家庭基站)、切換中一直不斷 移動的UE (用戶設備)以及核心網的控制設備MME (移動管理實體)、位於移動運營商核心 網側邊沿的&GW(安全網關),存儲著用戶數據和H(e)NB的認證信息的資料庫(HSS),基於 HSS中的認證消息來執行的AAA(認證、授權和計費)伺服器;其中,所述H(e)NB包括基於 UTRA (通用陸地無線接入)技術的HNB家庭基站,以及基於E-UTRA (演進的通用陸地無線接 入)技術的HeNB家庭基站;所述MME是3GPP協議LTE (長期演進)接入網絡的關鍵控制節 點;並且從H(e)NB小區到E-UTRAN(演進的通用陸地無線接入網)的切換時,包括如下步驟 步驟1),H(e)NB上電執行自啟動流程,UE (用戶設備)附著在H(e)NB小區並通過AAA 和HSS與安全網關)執行EAP-AKA(擴展認證協議-認證和密鑰協商)相互認證, NAS (Non Access Stratum,非接入層)安全上下文和AS (Access Stratum,接入層)安全上 下文保存在ME(行動裝置)和MME(移動管理實體)中,啟動計時器;步驟幻,當UE移動到H (e) NB小區邊緣,檢測鄰接宏小區的廣播控制信道電平值是否超 過切換門限;步驟3),若是,UE向H(e)NB發起切換請求,同時上報目標切換小區的廣播信息; 步驟4),H (e) NB維護一張允許快速重認證的可信鄰接小區列表,通過判斷UE上報目標 切換小區的信息是否在所述可信鄰接小區列表中決定是否執行快速重認證;步驟5),若確定執行快速重認證,則源MME將保存的UE安全上下文同步給待切換目標 新MME ;若不執行快速重認證,則不需要同步UE安全上下文,UE切換附著後通過AAA和HSS 重新執行EAP-AKA認證過程;步驟6),源MME向UE返回切換請求響應消息,並告知是否執行安全上下文重用和快速 重認證;步驟7),在切換目標小區的eNB (增強基站)、MME間執行快速重認證過程。
2.根據權利要求1所述的基於地址鎖機制的快速重認證方法,其特徵在於,所述步驟3)中,所述廣播信息包括小區識別號、位置區域識別號以及使用頻率列表。
3.根據權利要求2所述的基於地址鎖機制的快速重認證方法,其特徵在於,所述步驟4)中,所述周期由運營商策略決定。
4.根據權利要求3所述的基於地址鎖機制的快速重認證方法,其特徵在於,所述步驟 4)中,所述位置校驗為H(e)NB掃描相鄰宏小區信息並向所述MME上報。
5.根據權利要求3所述的基於地址鎖機制的快速重認證方法,其特徵在於,所述步驟 4)中,所述位置校驗通過向H(e)NB和核心網之間的IP網絡的DNS(域名伺服器)獲取自身 IP位址完成。
全文摘要
本發明公開了一種基於地址鎖機制的快速重認證方法。該基於快速重認證系統,所述系統包括H(e)NB(家庭基站)、切換中一直不斷移動的UE(用戶設備)以及核心網的控制設備MME(移動管理實體);當UE移動出家庭基站微小區的範圍時,該方法設置UE和核心網側保存的安全上下文的時限,並在H(e)NB中預先配置一張鄰接宏小區的信息表,H(e)NB定時掃頻獲取鄰小區信息並通過安全網關向核心網側匯報。通過上述手段,本發明在一定時限內,對於UE已經建立的安全上下文進行重用,優化了切換流程,降低切換時延,提高了整個系統效率。
文檔編號H04W36/08GK102075938SQ201110046059
公開日2011年5月25日 申請日期2011年2月25日 優先權日2011年2月25日
發明者史昊一, 吳昊, 湯恆亮, 溫士雅, 肖鵬 申請人:北京交通大學