认证协商方法及系统、安全网关、家庭无线接入点技术方案

本发明专利技术实施例涉及一种认证协商方法及系统、安全网关、家庭无线接入点。本发明专利技术实施例的认证协商方法包括：接收Ｈ（ｅ）ＮＢ发送的ＩＫＥ＿ＳＡ＿ＩＮＩＴ请求；发送ＩＫＥ＿ＳＡ＿ＩＮＩＴ响应至Ｈ（ｅ）ＮＢ；接收Ｈ（ｅ）ＮＢ发送的第一ＩＫＥ＿ＡＵＴＨ请求；根据ＩＫＥ＿ＳＡ＿ＩＮＩＴ响应和第一ＩＫＥ＿ＡＵＴＨ请求中是否携带有支持对Ｈ（ｅ）ＮＢ执行设备认证和宿主认证的第一标识，执行对Ｈ（ｅ）ＮＢ的认证。本发明专利技术实施例还提供了一种安全网关、家庭无线接入点以及认证协商系统。本发明专利技术实施例实现Ｈ（ｅ）ＮＢ和ＳｅＧＷ之间的简单准确的认证协商机制，还可以减少现有技术中的版本繁多的Ｈ（ｅ）ＮＢ和ＳｅＧＷ设备。

【技术实现步骤摘要】

本专利技术涉及移动通信
，特别涉及一种认证协商方法及系统、安全网关、家庭无线接入点。
技术介绍
目前3GPP和non-3GPP标准组织正在研究一种新的接入模式家庭接入模式，用户 设备(User Equipment, UE)通过家庭无线接入点(Home Node B， HNB)，使用许可的频谱，通 过通用的IP公共接入网络连接到运营商的移动网络。由于从HNB的设备到运营商的移动 网络中的HNB的安全网关(SecurityGateway， SeGW)网元之间经过的是IP公共接入网络， 这样就可能弓I入IP公共网络中常见的网络攻击，因此需要核心网元，这里是HNB的SeGW对 HNB的设备进行认证。其中该认证包括设备认证和宿主认证(Host PartyModule，HPM，宿主 模块，通常用HPM表示宿主认证)。设备认证是指对HNB的设备本身的认证；宿主认证则是 对与运营商签约的，该HNB的设备的宿主的认证。 最新的3GPP H(e)NB(包括HNB禾PHeNB(Home Evolved Node B))安全规范33. 820 VI. 2. 0(文档号S3-081585)定义了如下的认证原则 ①H(e)NB必须支持设备认证机制中的证书认证或者可扩展的认证协议_认证与 密钥协商(Extensible Authentication Protocol-Authentication and KeyAgreement， EAP-AKA)认证中的一种； ②H (e) NB，可选地支持EAP-AKA宿主认证机制； ③对H(e)NB的SeGW的要求和上述对H(e)NB的两条要求①和②一样，另外SeGW 还可以根据运营商的安全策略，决定采用哪种安全机制； ④具体采用上述哪一种认证机制还取决于网络部署。 上述H (e) NB和SeGW之间主要是根据RFC4306定义的Internet密钥交换版 本2(Internet Key Exchange V2， IKE V2)协议进行认证机制的协商的。该IKE V2协 议的主要思想是，首先进行Internet密钥交换-安全联盟_初始化请求(IKE-Security Association-INITial request, IKE_SA_INIT request)/IKE_SA_INIT响应(IKE_SA_ INIT response)消息对的交互，以便协商加密算法，交换随机数，并进行蒂夫_赫尔曼 (Diffie-Hellman)交换；然后进行Internet密钥交换_认证请求(IKE_Authentication request, IKE_AUTH request)/IKE_AUTH响应(IKE_AUTH response)消息对的交互，以便认 证上述IKE_SA_INIT消息，交换身份标识和证书，建立第一个子安全联盟。此后还可能有多 个IKE-AUTH请求/响应消息对的交互，以进行后续认证的相关处理。 下面具体说明现有的认证机制的协商方案 协商方案一、如果SeGW在IKE_SA_INIT响应消息中同时携带了消息类型为多认证 支持(MULTIPLE_AUTH_SUPP0RT)的通知(NOTIFY)头域和证书请求(CERTREQ)头域；H(e)NB 在随后的IKE—AUTH请求消息中同时携带了认证(AUTH)头域，消息类型为MULTIPLE_AUTH_ SUPPORT的NOTIFY头域，以及消息类型为接着是下一个认证(AN0THEILAUTILF0LL0WS)的5NOTIFY头域，则协商结果是采用基于证书认证的设备认证以及EAP-AKA宿主认证。 协商方案二、如果SeGW在IKE_SA_INIT响应消息中携带了消息类型为MULTIPLE— AUTH_SUPPORT的NOTIFY头域，但没有携带CERTREQ头域；H(e)NB在随后的IKE_AUTH请求 消息中没有携带AUTH头域，但同时携带了消息类型为MULTIPLE_AUTH_SUPPORT的NOTIFY 头域以及消息类型为ANOTHER_AUTH_FOLLOWS的NOTIFY头域，则协商结果是采用EAP-AKA 设备认证以及EAP-AKA宿主认证。 协商方案三、如果SeGW在IKE_SA_INIT响应消息中没有携带消息类型为 MULTIPLE_AUTH_SUPPORT的NOTIFY头域，但携带了 CERTREQ头域；H(e)NB在随后的IKE_ AUTH请求消息中携带了 AUTH头域，但没有携带消息类型为MULTIPLE_AUTH_SUPPORT的 NOTIFY头域和消息类型为ANOTHER_AUTH_FOLLOWS的NOTIFY头域，则协商结果是采用基于 证书认证的设备认证，但没有EAP-AKA宿主认证。 协商方案四、如果SeGW在IKE_SA_INIT响应消息中没有携带消息类型为 MULTIPLE_AUTH_SUPPORT的NOTIFY头域和CERTREQ头域；H(e)NB在随后的IKE_AUTH请求 消息中也没有携带AUTH头域、消息类型为MULTIPLE_AUTH_SUPPORT的NOTIFY头域、消息类 型为ANOTHER_AUTH_FOLLOWS的NOTIFY头域，则协商结果是采用EAP-AKA设备认证，但没有 EAP-AKA宿主认证。 除了上述四种协商方案外的其他情况属于异常情况，需要SeGW根据运营商的安 全策略进行进一步的判断和处理。 专利技术人在实现本专利技术的过程中，发现现有技术中的认证机制采用的H(e)NB和 SeGW以及它们之间的协商方案至少存在以下缺点 在网络部署上，针对不同的运营商的不同的认证需求，设备商至少需要提供如下 不同版本的H(e)NB和SeGW :仅支持基于证书的设备认证的设备、仅支持EAP-AKA设备认证 的设备、同时支持基于证书的设备认证和EAP-AKA宿主认证的设备、同时支持EAP-AKA设备 认证和EAP-AKA宿主认证的设备、以及还可能提供同时支持基于证书的设备认证、EAP-AKA 设备认证和EAP-AKA宿主认证的设备。而对于运营商来说，由于设备版本繁多，运营商从不 同的设备商处购买的H(e)NB和SeGW可能支持不同的认证方式，导致认证协商时可能进入 各种异常情况，甚至不能完成对H(e)NB的认证。从而不能真正满足运营商的认证需求。
技术实现思路
本专利技术实施例在于提供一种认证协商方法及系统、安全网关、家庭无线接入点，以 减少现有技术中的版本繁多的H(e)NB和SeGW设备，并提供一种更加简单、准确的认证机 制。 根据本专利技术实施例的一方面，提供了一种认证协商方法，包括 接收家庭无线接入点H (e) NB发送的因特网密钥交换_安全联盟_初始化IKE_SA_INIT i青求; 发送IKE_SA_INIT响应至所述H (e) NB ; 接收所述H(e)NB发送的第一因特网密钥交换_认证IKE_AUTH请求； 根据所述IKE_SA_INIT响应和第一 IKE_AUTH请求中是否携带有支持对所述H(e)NB执行设备认证和宿主认证的第一标识，执行对所述H(e)NB的认证。 根据本专利技术实施例的另一方面，提供了一种安全网关，包括 接收模块，用于接收家庭无线接入点H(e)NB发送的因特本文档来自技高网...

【技术保护点】
一种认证协商方法，其特征在于，包括：接收家庭无线接入点Ｈ（ｅ）ＮＢ发送的因特网密钥交换－安全联盟－初始化ＩＫＥ＿ＳＡ＿ＩＮＩＴ请求；发送ＩＫＥ＿ＳＡ＿ＩＮＩＴ响应至所述Ｈ（ｅ）ＮＢ；接收所述Ｈ（ｅ）ＮＢ发送的第一因特网密钥交换－认证ＩＫＥ＿ＡＵＴＨ请求；根据所述ＩＫＥ＿ＳＡ＿ＩＮＩＴ响应和第一ＩＫＥ＿ＡＵＴＨ请求中是否携带有支持对所述Ｈ（ｅ）ＮＢ执行设备认证和宿主认证的第一标识，执行对所述Ｈ（ｅ）ＮＢ的认证。

【技术特征摘要】
一种认证协商方法，其特征在于，包括接收家庭无线接入点H(e)NB发送的因特网密钥交换-安全联盟-初始化IKE_SA_INIT请求；发送IKE_SA_INIT响应至所述H(e)NB；接收所述H(e)NB发送的第一因特网密钥交换-认证IKE_AUTH请求；根据所述IKE_SA_INIT响应和第一IKE_AUTH请求中是否携带有支持对所述H(e)NB执行设备认证和宿主认证的第一标识，执行对所述H(e)NB的认证。2. 根据权利要求1所述的认证协商方法，其特征在于，所述第一标识为消息类型为多 认证支持的通知头域。3. 根据权利要求2所述的认证协商方法，其特征在于，所述根据所述IKE_SA_INIT响应 和第一 IKE—AUTH请求中是否携带所述第一标识，执行对所述H(e)NB的认证具体包括当所述IKE_SA_INIT响应和第一 IKE—AUTH请求中没有携带所述第一标识时，支持对所 述H(e)NB执行设备认证。4. 根据权利要求3所述的认证协商方法，其特征在于，所述IKE_SA_INIT响应中携带有 第二标识，用于请求对所述H (e) NB执行基于证书的设备认证或可扩展的认证协议_认证与 密钥协商EAP-AKA设备认证。5. 根据权利要求4所述的认证协商方法，其特征在于，所述支持对所述H(e)NB执行设 备认证具体包括若所述IKE_SA_INIT响应中携带请求对所述H(e)NB执行基于证书的设备认证的第二 标识，则支持对所述H(e)NB执行基于证书的设备认证；或者若所述IKE_SA_INIT响应中携带请求对所述H(e)NB执行EAP-AKA设备认证的第二标 识，则支持对所述H (e) NB执行EAP-AKA设备认证。6. 根据权利要求4所述的认证协商方法，其特征在于，所述第一 IKE—AUTH请求中携带 有第三标识，用于请求对所述H(e)NB执行基于证书的设备认证或EAP-AKA设备认证。7. 根据权利要求6所述的认证协商方法，其特征在于，所述支持对所述H(e)NB执行设 备认证具体包括若所述第二标识和所述第三标识均为请求对所述H(e)NB执行基于证书的设备认证的 标识，则支持对所述H(e)NB执行基于证书的设备认证；或者若所述第二标识和所述第三标识均为请求对所述H(e)NB执行EAP-AKA设备认证的标 识，则支持对所述H(e)NB执行EAP-AKA设备认证；或者若所述第二标识和所述第三标识分别为请求对所述H(e)NB执行不同的设备认证的标 识，则拒绝对所述H(e)NB执行设备认证，或者按照所述第三标识请求执行的设备认证支持 对所述H(e)NB执行设备认证。8. 根据权利要求2所述的认证协商方法，其特征在于，所述根据所述IKE_SA_INIT响应 和第一 IKE—AUTH请求中是否携带所述第一标识，执行对所述H(e)NB的认证具体包括当所述IKE_SA_INIT响应和第一 IKE—AUTH请求中携带有所述第一标识时，支持对所述 H (e) NB执行设备认证和宿主认证。9. 根据权利要求8所述的认证协商方法，其特征在于，所述IKE—SAJNIT响应中还携带 有第二标识，用于请求对所述H(e)NB执行基于证书的设备认证或EAP-AKA设备认证。10. 根据权利要求9所述的认证协商方法，其特征在于，所述支持对所述H(e)NB执行设 备认证和宿主认证具体包括若所述IKE_SA_INIT响应中携带请求对所述H(e)NB执行基于证书的设备认证的第二 标识，则支持对所述H(e)NB执行基于证书的设备认证和宿主认证；或者所述IKE_SA_INIT响应中携带请求对所述H(e)NB执行EAP-AKA设备认证的第二标识， 则支持对所述H(e)NB执行EAP-AKA设备认证和宿主认证。11. 根据权利要求9所述的认证协商方法，其特征在于，所述第一IKE—AUTH请求中还携 带有第三标识，用于请求对所述H(e)NB执行基于证书的设备认证或EAP-AKA设备认证。12. 根据权利要求11所述的认证协商方法，其特征在于，所述支持对所述H(e)NB执行 设备认证和宿主认证具体包括若所述第二标识和所述第三标识均为请求对所述H(e)NB执行基于证书的设备认证的 标识，则支持对所述...

【专利技术属性】
技术研发人员：何承东，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]