接入控制方法、装置、接口及安全网关制造方法及图纸

本发明专利技术公开了一种接入控制方法、装置、接口及安全网关，安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息；H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证，并向安全网关发送接入认证答复消息；安全网关接收H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。与现有技术相比，本发明专利技术完善了现有的H(e)NB系统的安全架构，提供了H(e)NB-GW相关的高效的安全解决方案，解决了H(e)NB系统中由于H(e)NB身份假冒带来的各种安全威胁，增加了H(e)NB系统的安全性。

【技术实现步骤摘要】

本专利技术涉及无线蜂窝通信
，尤其涉及ー种接入控制方法、装置、接ロ及安全网关。
技术介绍
HNB (Home No·de-B,家庭基站)用来为处在家庭内的3G (第三代移动通信系统)手机提供3G的无线覆盖。它被连接到已经存在的住宅宽带服务。它包含了一个标准的NodeB(3G宏无线接入网络的一个元素)的功能和一个标准的RNC(Radio Network Controller,无线网络控制器)的无线资源管理功能。图 I 描述了 HNB 的系统结构。其中 3GPP(3rd Generation Partnership Project,第三代合作企业项目)用户设备和HNB之间的界面在UTRAN (Universal TerrestrialRadio Access Network,全球陆地无线接入网)中是回程且相容的空中接ロ。HNB通过一个SeGW (security gateway,安全网关)接入运营商的核心网，其中HNB和SeGW之间的宽带IP(Internet Protocol,英特网协议)回程可能是不安全的。在此回程中传播的信息要被HNB和SeGW之间建立的安全通道保护。SeGW代表运营商的核心网和HNB进行相互认证。HNB-GW(HNB Gateway)和SeGW是在运营商的核心网内逻辑上分离的实体，用于非CSG(Closed Subscriber Group)的 UE(User Equipment)的接入控制。H(e)MS 需要安全的通信。图2描述了 HeNB的系统结构。HeNB和HNB的区别就是它是连接3GPP用户设备和 EUTRAN(Evolved Universal Terrestrial Radio Access Network)的空中接 ロ。HeNB-Gff (Home eNodeB Gateway，HeNB 网关)为选择性部署。如果 HeNB-GW 被部署，则 SeGW与HeNB-GW可以结合在一起；如果它们未被结合在一起，则SeGW与HeNB-GW之间的接ロ可用NDS/IP进行保护。H(e)NB (Home (Evolved)NodeB,家庭(演进)基站)包括 HNB 和 HeNB,是 HNB 和HeNB的统称。针对H(e)NB的安全，3GPP TR 33. 820定义了 27种威胁。这27种威胁被归纳为7大类。他们分别是对H(e)NB资格证书的危害，对H(e)NB的物理攻击，对H(e)NB的构造的攻击，对H(e)NB的协议的攻击，对核心网的攻击(包括基于H(e)NB位置的攻击)，对用户的数据和身份隐私的攻击以及对无线资源和管理的攻击。在HNB的注册过程中，HNB会发送ー个HNB REGISTER REQUEST消息给HNB-GW，这个消息包含了 =HNB位置信息，HNB身份，HNB管理參数，可选的HNB管理模式，HNB自身的IP地址。HNB-GW可以使用HNBREGISTER REQUEST消息中的信息来检查HNB注册是否能被接受，这包括检查ー个HNB是否被允许在ー个给定的位置运行等。在实际应用中，如果ー个攻击者冒充ー个H(e)NB的身份注册到H(e) NB-GW,则ACL(Access Control List，接入控制列表)检查就能被通过。因为H(e)NB_GW中保存的着此UE能够接入的H(e)NB列表，而被冒充的H(e)NB身份就包含在此列表中，这样的话H(e)NB进行接入控制时会允许UE接入到这个冒充的H(e)NB上来。这意味着这个攻击者可以假冒另一个用户的H(e) NB井能够获取来自这个用户的ACL列表的呼叫。因此，只要攻击者可以发现对应H(e)NB的身份,这个攻击者可以潜在的偷听或者冒充任何属于这个ACL的用户。这种攻击场景在攻击者冒充ー个开放的(no CSG) H(e) NB的时候会变的非常严重，因为其可以接入到不计其数的附属的UE上。综上所述，现有技术存在如下技术问题目前的H(e)NB的安全规范TS33. 320中没有任何涉及此类威胁的解决方案的描述。冒充的H(e) NB可以使得UE通过H(e) NB-Gff的接入控制，而H(e)NB-GW目前的功能并不能防止此类威胁的发生
技术实现思路
本专利技术解决的技术问题是提供ー种接入控制方法、装置、接ロ及安全网关，解决H(e)NB系统身份冒充带来的安全威胁。为解决上述技术问题，本专利技术提供了ー种接入控制方法，安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息；所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。进ー步地,所述接入请求消息中包含所述H (e) NB的身份和/或H (e) NB接入參数。进ー步地，所述安全网关发送的所述接入请求消息为RADIUS消息、或Diameter消息。进ー步地，所述安全网关通过与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接ロ发送所述接入请求消息。进ー步地，所述网络侧接入控制相关网元，包括移动管理实体(MME)/服务网关(S-Gff)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访位置寄存器(VLR)。进ー步地，其中，所述H (e) NB接入參数，包括H (e) NB位置信息、和/或H (e) NB管理參数、和/或H(e) NB运作状态、和/或H(e) NB的IP地址；所述H(e)NB位置信息包括H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。本专利技术还提供了ー种接入控制方法，H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证，并向所述安全网关发送接入认证答复消息。进ー步地，所述接入认证答复消息中包含所述H(e)NB的身份、和/或所述H(e)NB接入參数。进ー步地,所述方法还包括所述H(e)NB网关和/或所述网络侧接入控制相关网元中保存H(e)NB的身份与H(e) NB接入參数的绑定信息；所述H(e)NB网关和/或所述网络侧接入控制相关网元根据所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份和/或H(e)NB接入參数进行认证。进ー步地,所述方法还包括所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元建有接ロ。进ー步地，所述H(e)NB网关和/或网络侧接入控制相关网元对所述接入请求消息进行认证，是指所述H(e)NB网关和/或网络侧接入控制相关网元根据保存的所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入參数进行认证；或者，所述H(e)NB网关和/或网络侧接入控制相关网元根据从其他存储有所述绑定信息的网络侧接入控制相关网元中获取到的所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入參数进行认证；或者，所述H(e)NB网关和/或网络侧接入控制相关网元将收到的所述接入请求消息转发给其他存储有所述绑定信息的网络侧接入控制相关网元，由所述其他网络侧接入控制本文档来自技高网...

【技术保护点】
一种接入控制方法，其特征在于，安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息；所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。

【技术特征摘要】
1.ー种接入控制方法，其特征在干， 安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息； 所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。2.如权利要求I所述的方法，其特征在干， 所述接入请求消息中包含所述H(e)NB的身份和/或H(e)NB接入參数。3.如权利要求I所述的方法，其特征在干， 所述安全网关发送的所述接入请求消息为=RADIUS消息、或Diameter消息。4.如权利要求1、2或3所述的方法，其特征在干， 所述安全网关通过与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接ロ发送所述接入请求消息。5.如权利要求I所述的方法，其特征在干， 所述网络侧接入控制相关网元，包括移动管理实体(MME)/服务网关(S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访位置寄存器(VLR)。6.如权利要求2所述的方法，其特征在干， 其中，所述H (e) NB接入參数，包括H (e) NB位置信息、和/或H (e) NB管理參数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址； 所述H(e)NB位置信息包括H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。7.ー种接入控制方法，其特征在干， H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证，并向所述安全网关发送接入认证答复消息。8.如权利要求7所述的方法，其特征在干， 所述接入认证答复消息中包含所述H(e)NB的身份、和/或所述H(e)NB接入參数。9.如权利要求7所述的方法，其特征在于，所述方法还包括 所述H (e) NB网关和/或所述网络侧接入控制相关网元中保存H (e) NB的身份与H (e) NB接入參数的绑定信息； 所述H(e)NB网关和/或所述网络侧接入控制相关网元根据所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份和/或H(e)NB接入參数进行认证。10.如权利要求7、8或9所述的方法，其特征在于，所述方法还包括 所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元建有接ロ。11.如权利要求9所述的方法，其特征在干， 所述H(e)NB网关和/或网络侧接入控制相关网元对所述接入请求消息进行认证，是指 所述H(e)NB网关和/或网络侧接入控制相关网元根据保存的所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入參数进行认证； 或者，所述H(e)NB网关和/或网络侧接入控制相关网元根据从其他存储有所述绑定信息的网络侧接入控制相关网元中获取到的所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入參数进行认证； 或者，所述H(e)NB网关和/或网络侧接入控制相关网元将收到的所述接入请求消息转发给其他存储有所述绑定信息的网络侧接入控制相关网元，由所述其他网络侧接入控制相关网元进行认证并将认证结果报告给所述H(e)NB网关和/或网络侧接入控制相关网元。12.如权利要求7所述的方法，其特征在干， 所述网络侧接入控制相关网元，包括移动管理实体(MME)/服务网关(S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访位置寄存器(VLR)。13.如权利要求7、8或9所述的方法，其特征在于， 所述H(e)NB接入參数，包括H(e)NB位置信息、和/或H(e)NB管理參数、和/或H(e)N...

【专利技术属性】
技术研发人员：朱李，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：