安全隧道建立方法和基站技术

本发明专利技术实施例提供一种安全隧道建立方法和基站，该安全隧道建立方法包括：第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥；所述第一基站为家庭基站时，所述第二基站为家庭基站或宏基站；或者，所述第一基站为宏基站时，所述第二基站为家庭基站；所述第一基站通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道，以保证所述第一基站与所述第二基站之间接口的安全性。本发明专利技术实施例中，第一基站可以通过获得的用于验证第二基站证书的根证书或第二基站与第一基站之间的共享密钥与第二基站建立IPsec隧道，从而可以保证第一基站与第二基站之间接口的安全性。

【技术实现步骤摘要】

本专利技术实施例涉及通信
，尤其涉及一种安全隧道建立方法和基站。
技术介绍
对于企业网和校园网等多家庭基站(Home NodeB/Home evolvedNodeB ;以下简称H(e)NB)部署的场景，H(e)NB之间的切换将会频繁发生。为了保证业务的连续性，提高H(e)NB之间切换的成功率和减少切换时延，现有技术在H(e)NB之间建立直接接口来支持H(e)NB之间的移动性增强,而不通过安全网关(Security Gateway ;以下简称SeGW)。在现有的宏网络中，对于基站(evolved NodeB ;以下简称eNB)之间的直接接口，eNB之间可以通过证书认证的方式建立IPSec隧道来保证eNB之间直接接口的安全性。 但是，对于H(e)NB之间的直接接口，或者eNB与H(e) NB之间的接口，无法采用上述方式保证接口的安全性。
技术实现思路
本专利技术实施例提供一种安全隧道建立方法和基站，以实现家庭基站与家庭基站之间，或者家庭基站与宏基站之间通过共享密钥或证书方式建立因特网协议安全(InternetProtocol Security ;以下简称IPSeC)隧道，保证家庭基站与家庭基站之间，或者家庭基站与宏基站之间接口的安全性。本专利技术实施例提供一种安全隧道建立方法，包括第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共孚密钥；所述第一基站为家庭基站时，所述第~■基站为家庭基站或宏基站；或者，所述第一基站为宏基站时，所述第二基站为家庭基站；所述第一基站通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道，以保证所述第一基站与所述第二基站之间接口的安全性。本专利技术实施例还提供一种第一基站，包括获得模块，用于获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥；建立模块，用于通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第二基站建立因特网协议安全隧道，以保证所述第一基站与所述第二基站之间接口的安全性。通过本专利技术实施例，第一基站可以获得用于验证第二基站证书的根证书或第二基站与第一基站之间的共享密钥，这样，第一基站就可以通过上述共享密钥或者上述用于验证第二基站证书的根证书与第二基站建立IPsec隧道，从而可以保证第一基站与第二基站之间接口的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图I为本专利技术安全隧道建立方法一个实施例的流程图；图2为本专利技术安全隧道建立方法另一个实施例的流程图；图3为本专利技术安全隧道建立方法另一个实施例的流程图；图4为本专利技术安全隧道建立方法另一个实施例的流程图； 图5为本专利技术共享密钥更新方法一个实施例的流程图；图6为本专利技术共享密钥更新方法另一个实施例的流程图；图7为本专利技术安全隧道建立方法另一个实施例的流程图；图8为本专利技术安全隧道建立方法另一个实施例的流程图；图9为本专利技术第一基站一个实施例的结构示意图；图10为本专利技术第一基站另一个实施例的结构示意图；图11为本专利技术第一基站另一个实施例的结构示意图；图12为本专利技术第一基站另一个实施例的结构示意图。具体实施例方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图I为本专利技术安全隧道建立方法一个实施例的流程图，如图I所示，该安全隧道建立方法可以包括步骤101,第一基站获得用于验证第二基站证书的根证书(RootCertificate)或者第二基站与该第一基站之间的共享密钥(Shared Key)。本实施例中，当第一基站为家庭基站时，第_■基站可以为家庭基站或宏基站；或者，当第一基站为宏基站时，第_■基站可以为家庭基站；也就是说，第一基站和第_■基站中至少有一个为家庭基站即可。其中，宏基站可以为eNB或其他类型的宏基站；家庭基站可以为HeNB或HNB，本实施例对此不作限定。步骤102，第一基站通过上述共享密钥或者上述用于验证第二基站证书的根证书与第二基站建立IPsec隧道，以保证第一基站与第二基站之间接口的安全性。本实施例的一种实现方式中，第一基站获得用于验证第二基站证书的根证书或者第二基站与该第一基站之间的共享密钥可以为第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网设备为第二基站与第一基站生成的共享密钥。本实现方式中，在核心网设备设置的共享密钥周期到期之后，第一基站可以接收核心网设备发送的该核心网设备为第二基站与第一基站生成的更新后的共享密钥；或者，在第一基站设置的共享密钥周期到期之后，第一基站可以向核心网设备请求更新共享密钥，然后接收核心网设备发送的该核心网设备根据第一基站的请求生成的更新后的共享密钥；或者，第一基站向第二基站发起因特网密钥交换(Internet Key Exchange ;以下简称IKE)协商时，如果发现第一基站或第二基站没有可用的共享密钥，则第一基站可以向核心网设备请求更新共享密钥，然后接收核心网设备发送的该核心网设备根据第一基站的请求生成的更新后的共享密钥。本实现方式中，当核心网设备为移动性管理实体(Mobility ManagementEntity ；以下简称MME)或家庭演进基站网关(HeNB Gateway ;以下简称HeNB Gff)时，第一基站可以接收MME或HeNB Gff发送的MME或HeNBGW为第二基站与第一基站生成的共享密钥；或者，在第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网 设备为第二基站与第一基站生成的共享密钥之前，第一基站还可以向MME或HeNB GW发送基站配置转发消息；这样，第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者核心网设备为第二基站与第一基站生成的共享密钥可以为第一基站接收MME或HeNB GW发送的移动性管理实体配置转发消息，该移动性管理实体配置转发消息中携带上述用于验证第二基站证书的根证书，或者MME或HeNB Gff为第一基站和第二基站生成的共享密钥；该移动性管理实体配置转发消息是MME或HeNB GW接收到上述基站配置转发消息之后，根据该基站配置转发消息中的源节点标识和目的节点标识确定该基站配置转发消息的源节点和/或目标节点为家庭演进基站之后，将用于验证第一基站证书的根证书，或者MME或HeNB Gff为第一基站和第二基站生成的共享密钥发送给第二基站，在接收到第二基站发送的基站配置转发消息之后发送给第一基站的。本实现方式中，当核心网设备为家庭基站网关(HNB Gateway ;以下简称HNB Gff)时，第一基站可以接收HNB GW发送的该HNB GW为第二基站与第一基站生成的共享密钥；或者，第一基站接收核心网设备发送的该核心网设备为第二基站与第一基站生成本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.ー种安全隧道建立方法，其特征在于，包括 第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共孚密钥；所述第一基站为家庭基站时，所述第~■基站为家庭基站或宏基站；或者，所述第一基站为宏基站时，所述第~■基站为家庭基站； 所述第一基站通过所述共享密钥或者所述用于验证第二基站证书的根证书与所述第ニ基站建立因特网协议安全隧道，以保证所述第一基站与所述第二基站之间接ロ的安全性。2.根据权利要求I所述的方法，其特征在于，所述第一基站获得用于验证第二基站证书的根证书或者第二基站与所述第一基站之间的共享密钥包括 所述第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者所述核心网设备为所述第二基站与所述第一基站生成的共享密钥。3.根据权利要求2所述的方法，其特征在于，所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之后，还包括 在所述核心网设备设置的共享密钥周期到期之后，所述第一基站接收所述核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的更新后的共享密钥。4.根据权利要求2所述的方法，其特征在于，所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之后，还包括 在所述第一基站设置的共享密钥周期到期之后，所述第一基站向所述核心网设备请求更新共享密钥，接收所述核心网设备发送的所述核心网设备根据所述第一基站的请求生成的更新后的共享密钥；或者， 所述第一基站向所述第二基站发起因特网密钥交换协商时，如果发现所述第一基站或所述第二基站没有可用的共享密钥，则所述第一基站向所述核心网设备请求更新共享密钥，接收所述核心网设备发送的所述核心网设备根据所述第一基站的请求生成的更新后的共享密钥。5.根据权利要求2或4所述的方法，其特征在于，所述核心网设备包括移动性管理实体或家庭演进基站网关； 所述第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之前，还包括 所述第一基站向所述移动性管理实体或家庭演进基站网关发送基站配置转发消息； 所述第一基站接收核心网设备发送的用于验证第二基站证书的根证书或者所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括 所述第一基站接收所述移动性管理实体或所述家庭演进基站网关发送的移动性管理实体配置转发消息，所述移动性管理实体配置转发消息中携帯所述用于验证第二基站证书的根证书，或者所述移动性管理实体或所述家庭演进基站网关为所述第一基站和所述第二基站生成的共享密钥； 所述移动性管理实体配置转发消息是所述移动性管理实体或所述家庭演进基站网关接收到所述基站配置转发消息之后，根据所述基站配置转发消息中的源节点标识和目的节点标识确定所述基站配置转发消息的源节点和/或目标节点为家庭演进基站之后，将用于验证第一基站证书的根证书，或者所述移动性管理实体或所述家庭演进基站网关为所述第一基站和所述第二基站生成的共享密钥发送给所述第二基站，在接收到所述第二基站发送的基站配置转发消息之后发送给所述第一基站的。6.根据权利要求2或4所述的方法，其特征在于，所述核心网设备包括家庭基站网关；所述第一基站接收核心网设备发送 的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之前，还包括 所述第一基站注册到所述家庭基站网关之后，检测到所述第二基站注册到所述家庭基站网关； 所述第一基站向所述家庭基站网关请求所述第二基站的因特网协议地址； 所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括 所述第一基站接收所述家庭基站网关发送的响应消息，所述响应消息携帯所述第二基站的因特网协议地址和所述家庭基站网关为所述第一基站与所述第二基站生成的共享密钥。7.根据权利要求2或4所述的方法，其特征在于，所述核心网设备包括家庭基站网关； 所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥之前，还包括 所述第一基站注册到所述家庭基站网关，并向所述家庭基站网关发送所述第一基站检测到的邻区家庭基站的信息，所述第一基站的邻区家庭基站包括所述第二基站； 所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括 所述第一基站接收所述家庭基站网关发送的所述家庭基站网关上可用的邻区家庭基站的信息，以及所述家庭基站网关为所述第一基站与所述第一基站的邻区家庭基站生成的共享密钥。8.根据权利要求2或4所述的方法，其特征在于，所述核心网设备包括家庭基站网关； 所述第一基站接收核心网设备发送的所述核心网设备为所述第二基站与所述第一基站生成的共享密钥包括 在所述家庭基站网关发现所述家庭基站网关控制的邻区家庭基站的信息没有更新到所述第一基站，且所述家庭基站网关上没有所述第一基站与更新后的邻区家庭基站的共享密钥之后，所述第一...

【专利技术属性】
技术研发人员：刘晓寒，陈璟，周铮，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：