身份认证方法、可信任环境单元及家庭基站技术

本发明专利技术实施例公开一种基于家庭基站可信任环境的身份认证方法、可信任环境单元及家庭基站。其中，该方法包括：对ＨＮＢ进行设备身份认证；对设置在所述ＨＮＢ上的ＴｒＥ进行身份认证；对所述ＨＮＢ和所述ＴｒＥ的身份绑定关系进行认证；对所述ＨＮＢ进行非身份认证；获取并存储所述ＨＮＢ的非身份认证数据于所述ＴｒＥ中。本发明专利技术实施例充分利用了ＴｒＥ的特性，将首次对ＨＮＢ认证后的非身份认证数据存储于ＴｒＥ，当ＨＮＢ重新启动时，可以通过ＴｒＥ执行相关的非身份认证，从而减轻了网络侧对ＨＮＢ认证的负担。

【技术实现步骤摘要】

本专利技术实施例涉及无线通信
，尤其涉及一种基于家庭基站可信任环境的 身份认证方法、可信任环境单元及家庭基站。
技术介绍
家庭基站(Home NodeB ；以下简称HNB)又称超微蜂窝基站，是相对于3G蜂窝移动 通信系统所采用的宏基站而提出的。HNB的发射功率仅+15db，室内覆盖范围50公尺。它 的作用类似于WiFi的AP，使得用户可以通过以太网连接家庭宽带网络。移动运营商发展 HNB，首先是为了改善室内覆盖，提高室内宽带接入速度，满足用户各种多媒体业务的需求； 再有是为了缓解宏基站的压力，使宏基站主要服务于室外用户；另外还可以应对无线运营 商和移动虚拟网络运营商的压力。使用者身份模块(Hosting Party Module ；以下简称HPM)是一个物理实体，与 HNB的物理设备是相分离的，其上包含有用于向移动网络运营商证明和认证使用者(以下 称为=Hosting Party)身份的信任状。使用者类似于手机用户，而Module类似于手机SIM 卡。HPM是由移动网络运营商提供给使用者的。HPM可以从HNB上移除，也就是说在更换 HNB时可以不用更换HPM。HPM使得HNB可以具备基于使用者的用户身份，而不需影响HNB 的生产者。HPM存在的最大意义在于，当HNB的设备生产商和HNB业务提供者分离时，有效 地对申请业务的用户进行认证。可信任环境(Trusted Enviroment ；以下简称TrE)是一个部署在HNB上的逻辑上 或物理上独立的实体，特指HNB上一个安全的存储环境，用来存储HNB上的一些敏感数据， 例如代表HNB设备身份的信任状等。在实现本专利技术实施例过程中，专利技术人发现现有技术中至少存在如下问题现有技术中，HNB的每次重新启动均需要与核心网执行全部的并且是重复的认证 过程，这无疑增加了网络侧服务器的负担。
技术实现思路
本专利技术实施例提供一种基于家庭基站可信任环境的身份认证方法、可信任环境单 元及家庭基站，以减少网络侧对HNB认证的负担。本专利技术实施例提供了一种基于家庭基站可信任环境的身份认证方法，包括对HNB进行设备身份认证；对设置在所述HNB上的TrE进行身份认证； 对所述HNB和所述TrE的身份绑定关系进行认证；对所述HNB进行非身份认证；获取并存储所述HNB的非身份认证数据于所述TrE中。本专利技术实施例提供了另一种基于家庭基站可信任环境的身份认证方法，包括对HNB进行设备身份认证；对TrE进行身份认证；对所述HNB和所述TrE的身份绑定关系进行认证；通过所述TrE对所述HNB进行非身份认证。本专利技术实施例提供了再一种基于家庭基站可信任环境的身份认证方法，包括TrE接收UE发送的UE身份认证请求； 通过所述TrE对UE进行身份认证。本专利技术实施例提供了一种可信任环境单元，包括认证数据存储模块，用于存储HNB的非身份认证数据；认证模块，用于根据所述认证数据存储模块存储的HNB的非身份认证数据，执行 HNB的非身份认证。本专利技术实施例还提供了一种家庭基站，包括一 TrE单元，在所述TrE单元上设置 有认证数据存储模块，用于存储HNB的非身份认证数据；认证模块，用于根据所述认证数据存储模块存储的HNB的非身份认证数据，执行 HNB的非身份认证。本专利技术实施例充分利用了 TrE的特性，将首次对HNB认证后的非身份认证数据存 储于TrE，当HNB重新启动时，可以通过TrE执行相关的非身份认证，从而减轻了网络侧对 HNB认证的负担。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发 明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以 根据这些附图获得其他的附图。图1为本专利技术基于家庭基站可信任环境的身份认证方法实施例一的流程图；图2为本专利技术基于家庭基站可信任环境的身份认证方法实施例二的信令流程图；图3为本专利技术基于家庭基站可信任环境的身份认证方法实施例三的信令流程图；图4为本专利技术基于家庭基站可信任环境的身份认证方法实施例四的信令流程图；图5为本专利技术基于家庭基站可信任环境的身份认证方法实施例五的信令流程图；图6为本专利技术基于家庭基站可信任环境的身份认证方法实施例六的流程图；图7为本专利技术基于家庭基站可信任环境的身份认证方法实施例七的信令流程图；图8为本专利技术基于家庭基站可信任环境的身份认证方法实施例八的信令流程图；图9为本专利技术基于家庭基站可信任环境的身份认证方法实施例九的信令流程图。具体实施例方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例仅是本专利技术一部分实施例，而不是全部的实施例。基于本 专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实 施例，都属于本专利技术保护的范围。为使本专利技术实施例的目的、技术方案和优点更加清楚，以下本专利技术实施例的网络类型可以为GSM网络、CDMA网络、WCDMA网络、Wimax网络、TD-SCDMA网络或LTE网络等。无线接入设备的类型可以为家庭基站、微型基站Pico、UMTS AP, WiMAX Femto基站或WiMAX 宏基站等。以下本专利技术实施例的用户设备类型可以为手机、笔记本电脑或PDA等移动终端。由于HNB —方面属于用户设备部署在用户家中，一方面属于运营商的设备，和宏 基站一样用于完成对用户的接入功能，这样的双重角色使得运营商对HNB的安全性要求很 高。因此当家庭基站加电运行并与运营商建立物理连接后，运营商需要对HNB执行相关认 证。现有技术对HNB的非身份的认证是基于非信任环境的，安全存储能力较低，没有充分利 用TrE的功能，一定程度上减小了 TrE的应用空间；而且由于TrE具备独立的身份信息，且 该身份信息可以与HNB和HPM相关联。当HNB在加载TrE后，网络侧对HNB的认证便要涉 及TrE的认证以及TrE与HNB关联的认证，本专利技术各实施例是如何实现网络侧对配置有TrE 的HNB的认证流程，以及基于具有较高安全存储性能的TrE如何实现HNB相关认证的本地 化。实施例一图1为本专利技术基于家庭基站可信任环境的身份认证方法实施例一的流程图，如图 1所示，本实施例所描述的是在HNB在初次启动时的认证流程，包括如下步骤步骤11、对HNB进行设备身份认证。网络侧首先需要对HNB设备本身的身份进行认证，对HNB的身份认证主要是基 于身份信任状的认证，HNB的身份信任状有两种呈现方式，一种是基于证书，另一种是基于 AKA信任状。认证过程主要是网络侧的安全网关向和AAA服务器与HNB进行认证流程的交互。步骤12、对设置在HNB上的TrE进行身份认证。对于TrE的认证同样可以采用基于证书的认证方式，认证过程主要是网络侧的安 全网关向和AAA服务器(验证、授权和记账服务器)与HNB上的TrE进行认证流程的交互。步骤13、对HNB和TrE的身份绑定关系进行认证。绑定关系的认证主要是通过AAA服务器来完成，AAA服务器根据TrE的身份标识， 查询其事先存储的绑定关系，再通过HNB发送的HNB身份标识相比较，从而验证绑定关系。步骤14、对HNB进行非身份认证；其中，对H本文档来自技高网...

【技术保护点】
一种基于家庭基站可信任环境的身份认证方法，其特征在于，包括：对家庭基站进行设备身份认证；对设置在所述家庭基站上的可信任环境进行身份认证；对所述家庭基站和所述可信任环境的身份绑定关系进行认证；对所述家庭基站进行非身份认证；获取并存储所述家庭基站的非身份认证数据于所述可信任环境中。

【技术特征摘要】
一种基于家庭基站可信任环境的身份认证方法，其特征在于，包括对家庭基站进行设备身份认证；对设置在所述家庭基站上的可信任环境进行身份认证；对所述家庭基站和所述可信任环境的身份绑定关系进行认证；对所述家庭基站进行非身份认证；获取并存储所述家庭基站的非身份认证数据于所述可信任环境中。2.根据权利要求1所述的方法，其特征在于，对所述家庭基站进行非身份验证，获取并 存储所述家庭基站的非身份认证数据于所述可信任环境中具体为对所述家庭基站上的使 用者身份模块进行身份认证，获取并存储所述使用者身份模块的认证数据于所述可信任环 境中。3.根据权利要求2所述的方法，其特征在于，对所述家庭基站上的使用者身份模块进 行身份认证，获取并存储所述使用者身份模块的认证数据于所述可信任环境中具体为通过所述可信任环境获取所述使用者身份模块的身份标识；发送使用者身份模块身份认证请求至验证、授权和记账服务器，该请求中携带有所述 使用者身份模块和所述可信任环境的身份标识；通过所述验证、授权和记账服务器执行对所述使用者身份模块的身份认证以及对所述 使用者身份模块与所述可信任环境的绑定关系认证；从AP归属注册服务器获取使用者身份模块认证数据，并存储于所述可信任环境中。4.根据权利要求1所述的方法，其特征在于，对所述家庭基站进行非身份验证，获取并 存储所述家庭基站的非身份认证数据于所述可信任环境中具体为对所述家庭基站进行位 置认证，获取并存储所述家庭基站的位置认证数据于所述可信任环境中。5.根据权利要求4所述的方法，其特征在于，对所述家庭基站进行位置认证，获取并存 储所述家庭基站的位置认证数据于所述可信任环境中具体为向AP归属注册服务器发起初始启动请求，所述初始启动请求中携带有家庭基站的当 前位置信息；通过所述AP归属注册服务器执行对所述家庭基站的位置认证； 接收AP归属注册服务器返回的初始启动响应，所述初始启动响应中携带有经过认证 后的位置信息；将所述认证后的位置信息存储在所述可信任环境中。6.根据权利要求1所述的方法，其特征在于，对所述家庭基站进行非身份验证，获取并 存储所述家庭基站的非身份认证数据于所述可信任环境中具体为对UE进行身份验证，获 取并存储所述UE的认证数据于所述可信任环境中。7.根据权利要求6所述的方法，其特征在于，对UE进行身份验证，获取并存储所述UE 的认证数据于所述可信任环境中具体为接收所述UE发起UE认证请求，并转发至验证、授权和记账服务器，所述UE认证请求中 携带有所述UE的身份标识信息；通过所述验证、授权和记账服务器对所述UE进行身份认证； 接收所述验证、授权和记账服务器返回的UE认证数据； 将所述UE认证数据存储在所述可信任环境中。8.根据权利要求1所述的方法，其特征在于，在对所述家庭基站和所述可信任环境的 身份绑定关系进行认证后，还包括对家庭基站的平台完整性进行认证。9.一种基于家庭基站可信任环境的身份认证方法，其特征在于，包括 对家庭基站进行设备身份认证；对可信任环境进行身份认证；对所述家庭基站和所述可信任环境的身份绑定关系进行认证； 通过所述可信任环境对所述家庭基站进行非身份认证。10.根据权利要求9所述的方法，其特征在于，通过所述可信任环境对所述家庭基站进 行非身份...

【专利技术属性】
技术研发人员：王绍斌，张宁，丁小燕，李茜，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]