X2安全通道建立方法与系统、以及基站技术方案

一种X2安全通道建立方法与系统、以及基站，在一用户终端从基站覆盖的小区向另一基站覆盖的小区切换时，在基站向另一基站发送通知消息时，同时发送安全参数集供另一基站选择其所支持的安全参数值，从而无需多次协商，减少了因协商带来的延时或安全通道无法建立等问题，使得X2安全通道在通信切换所能容忍的时间内建立。所述方法包括：基站向对端基站发送一通知消息，所述通知消息包括一安全参数集；接收对端基站发送的回复消息，所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值；根据所述回复消息，建立X2安全通道。

【技术实现步骤摘要】

本专利技术涉及通信
，特别是涉及一种X2安全通道建立方法与系统、以及基站。
技术介绍
长期演进/系统架构演进(Long Term Evolution/System Architecture Evolution,LTE/SAE)网络系统项目，是近年来第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)启动的最大新技术研发项目。这种以正交频分复用/频分多址(OFDM/FDMA)为核心的技术由于已经具有某些“4G”特征，被视作从3G向4G演进的主流技术。请参考图1，其为现有技术LTE/SAE网络系统的架构图。该LTE/SAE网络系统包括演进型基站(eNB,eNodeB)和管理这些基站的移动管理实体/服务网关(MME/SGW,Mobility Management Entity/Serving Gateway)。其中，MME/SGW与eNB之间通过S1接口建立S1链路，eNB之间通过X2接口建立X2链路。具体，S1链路提供访问无线接入网中的无线资源的功能，包括控制平面功能和用户平面功能；S1链路的控制面接口(S1-MME)提供eNB与MME之间的应用协议以及用于传输应用协议消息的信令承载功能，S1链路的用户面接口(S1-U)提供eNB与SGW之间的用户面数据传输功能。X2链路的存在主要为了支持终端的移动性管理功能。例如，在漏配小区、新增基站等场景下，运营商希望当终端从源eNB小区切换到目的eNB小区时，eNB间的X2链路能够自动建立，用于传输切换控制与数据信息。具体，通过eNB与MME/SGW之间的S1信令，源eNB与目的eNB可以获取对端的用户面与信令面传输信息，自动建立X2链路。目前，在X2链路自动建立过程中，用户面与信令面等传输信息往往都以明文方式进行传输，即未进行加密保护，这显然不符合当前对于通信安全的要求。因此，在3GPP LTE的S1应用协议，即36.413协议中(网址http://www.3gpp.org/ftp/Specs/latest/Rel-8/36_series/)，在X2传输网络层自配置消息中，增加了对端基站IP-Sec传输层地址信息(即在X2 TNL Configuration Info消息中可以携带IP-Sec Transport Layer Address)。但是在实际应用中，eNB之间仅依靠此参数建立安全通道，存在许多问题，往往导致安全通道建立失败，而直接进行明文传输。因此，亟需一种X2安全通道建立技术，以解决X2链路建立过程中的数据安全问题。
技术实现思路
有鉴于此，以下提供一种X2安全通道建立方法与系统、以及基站，来解决现有X2链路自动建立过程中的数据安全问题。一方面，提供一种X2安全通道建立方法，包括：基站向对端基站发送一通知消息，所述通知消息包括一安全参数集；接收对端基站发送的回复消息，所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值；根据所述回复消息，建立X2安全通道。另一方面，提供一种X2安全通道建立方法，包括：基站接收对端基站发送的一通知消息，所述通知消息包括一安全参数集；从所述安全参数集选择所述基站所支持的安全参数值；向对端基站发送包括所选择的安全参数值的回复消息。另一方面，提供一种基站，包括：存储模块，存储一安全参数集；接口模块，向对端基站发送一通知消息，所述通知消息包括所述安全参数集；且所述接口模块接收对端基站发送的回复消息，所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值；通道建立模块，根据所述回复消息，建立X2安全通道。另一方面，提供一种基站，包括：接口模块、存储单元及控制单元，其中所述存储单元存储一安全参数集和一程序代码，所述控制单元加载所述程序代码，执行以下操作：产生一通知消息，所述通知消息包括所述安全参数集；通过接口模块，向对端基站发送所述通知消息；通过接口模块，接收对端基站发送的回复消息，所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值；根据所述回复消息，建立X2安全通道。另一方面，提供一种基站，包括：存储模块，存储该基站所支持的安全参数值；接口模块，接收对端基站发送的一通知消息，所述通知消息包括一安全参数集；选择模块，从所述安全参数集中选择该基站所支持的安全参数值；所述接口模块，向对端基站发送包括所选择的安全参数值的回复消息。另一方面，提供一种基站，包括：接口模块、存储单元及控制单元，存储单元存储一程序代码及该基站所支持的安全参数值，所述控制单元加载所述程序代码，执行以下操作：通过所述接口模块，接收对端基站发送的一通知消息，所述通知消息包括一安全参数集；从所述安全参数集中选择与该基站所支持安全参数值；产生一回复消息，所述回复消息包括所选择的安全参数值；通过所述接口模块向对端基站发送所述回复消息。另一方面，提供一种X2安全通道建立系统，包括：第一基站、第二基站以及管理第一基站与第二基站的管理端，其中第一基站的结构同以上前两种基站之一，第二基站的结构同以上后两种基站之一。可见，在一用户终端从基站覆盖的小区向另一基站覆盖的小区切换时，在基站向另一基站发送通知消息时，同时发送安全参数集供另一基站选择其所支持的安全参数值，从而无需多次协商，减少了因协商带来的延时或安全通道无法建立等问题，使得X2安全通道在通信切换所能容忍的时间内建立。附图说明图1为一种现有LTE/SAE网络系统的架构图；图2为本专利技术实施例一所提供的X2安全通道建立方法的流程图；图3为本专利技术实施例一所提供的X2安全通道建立方法的流程图；图4为本专利技术实施例二所提供基站的一种实现方块图；图5为本专利技术实施例二所提供基站的另一种实现方块图；图6为本专利技术实施例三所提供基站的一种实现方块图；图7为本专利技术实施例三所提供基站的另一种实现方块图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。从
技术介绍
可以知道，目前的36.413协议中，虽然给出了一种基于英特网安全协议(IP-Sec)的安全机制，但研究发现这种机制的给出还不完整，...

【技术保护点】
一种X2安全通道建立方法，其特征是，包括：基站向对端基站发送通知消息，所述通知消息包括安全参数集；接收对端基站发送的回复消息，所述回复消息包括所述对端基站从所述安全参数集选择的安全参数值；根据所述回复消息，建立X2安全通道。

【技术特征摘要】
1.一种X2安全通道建立方法，其特征是，包括：
基站向对端基站发送通知消息，所述通知消息包括安全参数集；
接收对端基站发送的回复消息，所述回复消息包括所述对端基站从所
述安全参数集选择的安全参数值；
根据所述回复消息，建立X2安全通道。
2.根据权利要求1所述的方法，其特征是，所述安全参数集包括需要
协商的参数的所有可能选择。
3.根据权利要求1所述的方法，其特征是，所述安全参数集包括IP-Sec
参数集和IKE参数集。
4.根据权利要求3所述的方法，其特征是，所述IP-Sec参数集和IKE
参数集的确立保证以最小参数集最大限度的支持一次协商成功的原则。
5.根据权利要求3所述的方法，其特征是，所述IKE参数集包括以下
参数及每个参数所有支持的取值：
IKE协议版本IKE protocol version；IKE协商模式IKE exchange 
modeIKE；IKE验证方式IKE authentication mode；IKE加密算法IKE 
encryption algorithm；IKE验证算法IKE authentication algorithm；IKE的
Diffie-Hellman组Diffie-Hellman group of the IKE；和IKEv2版本使用的伪
随机函数算法Pseudo-random Function algorithm used in IKEv2；
且所述IP-Sec参数集包括以下参数及每个参数所有支持的取值：
IP-Sec协商的完善前向安全性的值IPSec negotiation perfect forward 

\tsecrecy；IP-Sec封装模式Encapsulation mode of an IPSec；IP-Sec转换集IPSec 
transform；AH认证算法AH Authentication Algorithm；ESP认证协议使用的
算法ESP Authentication Algorithm；和ESP加密协议使用的算法ESP 
Encryption Algorithm。
6.一种X2安全通道建立方法，其特征是，包括：
基站接收对端基站发送的通知消息，所述通知消息包括安全参数集；
从所述安全参数集选择所述基站所支持的安全参数值；
向对端基站发送包括所选择的安全参数值的回复消息。
7.根据权利要求6所述的方法，其特征是，所述安全参数集包括需要
协商的参数的所有可能选择。
8.根据权利要求6所述的方法，其特征是，所述安全参数集包括IP-Sec
参数集和IKE参数集。
9.根据权利要求8所述的方法，其特征是，所述IP-Sec参数集和IKE
参数集的确立保证以最小参数集最大限度的支持一次协商成功的原则。
10.根据权利要求8所述的方法，其特征是，所述IKE参数集包括以
下参数及每个参数所有支持的取值：
IKE protocol version；IKE exchange modeIKE；IKE authentication mode；
IKE encryption algorithm；IKE authentication algorithm；Diffie-Hellman group 
of the IKE；和Pseudo-random Function algorithm used in IKEv2；
且所述IP-Sec参数集包括以下参数及每个参数所有支持的取值：
IPSec negotiation perfect forward secrecy；Encapsulation mode of an 
IPSec；IPSec transform；AH Authentication Algorithm；ESP Authentication 

\tAlgorithm；和ESP Encryption Algorithm。
11.一种基站，其特征是，包括：
存储模块，用于存储安全参数集；
接口模块，用于向对端基站发送通知消息，所述通知消息包括所述安
全参数集；且所述接口模块用于接收对端基站发送的回复消息，所述回复
消息包括所述对端基站从所述安全参数集选择的安全参数值；
通道建立模块，用于根据所述回复消息，建立X2安全通道。
12....

【专利技术属性】
技术研发人员：宋卓，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44