【技术实现步骤摘要】
本专利技术涉及移动通信
,特别涉及一种认证协商方法及系统、安全网关、家庭无线接入点。
技术介绍
目前3GPP和non-3GPP标准组织正在研究一种新的接入模式家庭接入模式,用户 设备(User Equipment, UE)通过家庭无线接入点(Home Node B, HNB),使用许可的频谱,通 过通用的IP公共接入网络连接到运营商的移动网络。由于从HNB的设备到运营商的移动 网络中的HNB的安全网关(SecurityGateway, SeGW)网元之间经过的是IP公共接入网络, 这样就可能弓I入IP公共网络中常见的网络攻击,因此需要核心网元,这里是HNB的SeGW对 HNB的设备进行认证。其中该认证包括设备认证和宿主认证(Host PartyModule,HPM,宿主 模块,通常用HPM表示宿主认证)。设备认证是指对HNB的设备本身的认证;宿主认证则是 对与运营商签约的,该HNB的设备的宿主的认证。 最新的3GPP H(e)NB(包括HNB禾PHeNB(Home Evolved Node B))安全规范33. 820 VI. 2. 0(文档号S3-081585)定义了如下的认证原则 ①H(e)NB必须支持设备认证机制中的证书认证或者可扩展的认证协议_认证与 密钥协商(Extensible Authentication Protocol-Authentication and KeyAgreement, EAP-AKA)认证中的一种; ②H (e) NB,可选地支持EAP-AKA宿主认证机制; ③对H(e)NB的SeGW的要求和上述对H(e)NB的 ...
【技术保护点】
一种认证协商方法,其特征在于,包括:接收家庭无线接入点H(e)NB发送的因特网密钥交换-安全联盟-初始化IKE_SA_INIT请求;发送IKE_SA_INIT响应至所述H(e)NB;接收所述H(e)NB发送的第一因特网密钥交换-认证IKE_AUTH请求;根据所述IKE_SA_INIT响应和第一IKE_AUTH请求中是否携带有支持对所述H(e)NB执行设备认证和宿主认证的第一标识,执行对所述H(e)NB的认证。
【技术特征摘要】
一种认证协商方法,其特征在于,包括接收家庭无线接入点H(e)NB发送的因特网密钥交换-安全联盟-初始化IKE_SA_INIT请求;发送IKE_SA_INIT响应至所述H(e)NB;接收所述H(e)NB发送的第一因特网密钥交换-认证IKE_AUTH请求;根据所述IKE_SA_INIT响应和第一IKE_AUTH请求中是否携带有支持对所述H(e)NB执行设备认证和宿主认证的第一标识,执行对所述H(e)NB的认证。2. 根据权利要求1所述的认证协商方法,其特征在于,所述第一标识为消息类型为多 认证支持的通知头域。3. 根据权利要求2所述的认证协商方法,其特征在于,所述根据所述IKE_SA_INIT响应 和第一 IKE—AUTH请求中是否携带所述第一标识,执行对所述H(e)NB的认证具体包括当所述IKE_SA_INIT响应和第一 IKE—AUTH请求中没有携带所述第一标识时,支持对所 述H(e)NB执行设备认证。4. 根据权利要求3所述的认证协商方法,其特征在于,所述IKE_SA_INIT响应中携带有 第二标识,用于请求对所述H (e) NB执行基于证书的设备认证或可扩展的认证协议_认证与 密钥协商EAP-AKA设备认证。5. 根据权利要求4所述的认证协商方法,其特征在于,所述支持对所述H(e)NB执行设 备认证具体包括若所述IKE_SA_INIT响应中携带请求对所述H(e)NB执行基于证书的设备认证的第二 标识,则支持对所述H(e)NB执行基于证书的设备认证;或者若所述IKE_SA_INIT响应中携带请求对所述H(e)NB执行EAP-AKA设备认证的第二标 识,则支持对所述H (e) NB执行EAP-AKA设备认证。6. 根据权利要求4所述的认证协商方法,其特征在于,所述第一 IKE—AUTH请求中携带 有第三标识,用于请求对所述H(e)NB执行基于证书的设备认证或EAP-AKA设备认证。7. 根据权利要求6所述的认证协商方法,其特征在于,所述支持对所述H(e)NB执行设 备认证具体包括若所述第二标识和所述第三标识均为请求对所述H(e)NB执行基于证书的设备认证的 标识,则支持对所述H(e)NB执行基于证书的设备认证;或者若所述第二标识和所述第三标识均为请求对所述H(e)NB执行EAP-AKA设备认证的标 识,则支持对所述H(e)NB执行EAP-AKA设备认证;或者若所述第二标识和所述第三标识分别为请求对所述H(e)NB执行不同的设备认证的标 识,则拒绝对所述H(e)NB执行设备认证,或者按照所述第三标识请求执行的设备认证支持 对所述H(e)NB执行设备认证。8. 根据权利要求2所述的认证协商方法,其特征在于,所述根据所述IKE_SA_INIT响应 和第一 IKE—AUTH请求中是否携带所述第一标识,执行对所述H(e)NB的认证具体包括当所述IKE_SA_INIT响应和第一 IKE—AUTH请求中携带有所述第一标识时,支持对所述 H (e) NB执行设备认证和宿主认证。9. 根据权利要求8所述的认证协商方法,其特征在于,所述IKE—SAJNIT响应中还携带 有第二标识,用于请求对所述H(e)NB执行基于证书的设备认证或EAP-AKA设备认证。10. 根据权利要求9所述的认证协商方法,其特征在于,所述支持对所述H(e)NB执行设 备认证和宿主认证具体包括若所述IKE_SA_INIT响应中携带请求对所述H(e)NB执行基于证书的设备认证的第二 标识,则支持对所述H(e)NB执行基于证书的设备认证和宿主认证;或者所述IKE_SA_INIT响应中携带请求对所述H(e)NB执行EAP-AKA设备认证的第二标识, 则支持对所述H(e)NB执行EAP-AKA设备认证和宿主认证。11. 根据权利要求9所述的认证协商方法,其特征在于,所述第一IKE—AUTH请求中还携 带有第三标识,用于请求对所述H(e)NB执行基于证书的设备认证或EAP-AKA设备认证。12. 根据权利要求11所述的认证协商方法,其特征在于,所述支持对所述H(e)NB执行 设备认证和宿主认证具体包括若所述第二标识和所述第三标识均为请求对所述H(e)NB执行基于证书的设备认证的 标识,则支持对所述...
【专利技术属性】
技术研发人员:何承东,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。