CN101631309B - 基于家庭基站网络的对终端进行鉴权的方法、设备及系统 - Google Patents
基于家庭基站网络的对终端进行鉴权的方法、设备及系统 Download PDFInfo
- Publication number
- CN101631309B CN101631309B CN200810040806.8A CN200810040806A CN101631309B CN 101631309 B CN101631309 B CN 101631309B CN 200810040806 A CN200810040806 A CN 200810040806A CN 101631309 B CN101631309 B CN 101631309B
- Authority
- CN
- China
- Prior art keywords
- random number
- access point
- base station
- home base
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了基于家庭基站网络的对终端进行鉴权的方法、设备及系统,包括:生成随机数;通过家庭基站接入点将所述随机数发送至终端;接收所述终端发送的携带鉴权响应参数和所述随机数的请求;检查所述请求携带的随机数与上述发送至所述终端的所述随机数是否相同,如果是,发送鉴权请求消息至所述位置寄存器或认证中心,启动所述终端鉴权流程及相应的设备和系统。本发明中终端鉴权所需要的随机数由安全上有保证的网络侧实体生成,避免了攻击者利用家庭基站接入点实施对鉴权的攻击,从而避免了攻击者获得相应的通信内容。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及基于家庭基站网络的对终端进行鉴权的方法、设备及系统。
背景技术
家庭基站是小型蜂窝基站,又称为Femto Cell或Home NodeB,是3G领域的前沿技术。所述Femto Cell让住宅中的移动用户通过有线宽带网连接到3G网络,获得增强的移动语音、视频和数据服务,可以与运营商的原有宏蜂窝基站(Macrocell)无缝连接,可以充分使用户已有的宽带接入资源,最终为用户提供了移动和固网融合(FMC,Fixed Mobile Convergence)业务。通过3G家庭基站,大量的移动业务被室内Femto Cell所吸收,可以大大降低运营商宏蜂窝的数量,为运营商节约大量的设备投资费用和维护费用,也可以改善室内覆盖,提高室内宽带接入速率,减少时延,满足用户各种多媒体应用体验。
参见图1,Femto Cell网络的结构图,包括移动台/接入终端(MS,MobileStation/AT,Access Terminal)、接入点、安全网关、宏网络、宏网络基站控制器(BSC,Base Station Controller)以及宏基站。Femto Cell接入点和Femto Cell安全网关为网络实体,Femto Cell完成了原来宏网络中基站、BSC等功能。FemtoCell通过非对称数字用户线路(ADSL,Asymmetric Digital Subscriber Line)或电缆调制解调器(CM,Cable Modem)等有线网络接入宏网络的核心网,由于数据和信令需要通过不安全的网络,例如普通的IP网,为了保证安全性增加了所述Femto Cell安全网关这个实体,在所述Femto Cell接入点和所述Femto Cell安全网关之间建立安全的隧道,保证数据和信令的安全。Femto Cell接入点可以支持不同类型终端的接入,如3G网络的终端以及传统的无线终端,为了能保证码分多址(CDMA,Code Division Multiple Access)20001x的MS的接入,所述Femto Cell接入点需要完成各种所述CDMA20001x网络的功能,包括接入鉴权。
参见图2,现有技术中CDMA2000 1x电路域的鉴权流程图。包括以下步骤:
1、BSC在接入控制信道将所生成的随机数(RAND,Random Variable)广播给MS。
2、MS根据共享的密钥、所述RAND以及其它参数计算鉴权响应参数(AUTHR,Authentication Response),发送起呼消息至所述BSC。
3、所述BSC发送业务请求消息给移动交换中心(MSC,Mobile SwitchingCenter),消息中携带了所述RAND和所述AUTHR。
4、所述MSC发现消息中包含了所述RAND和所述AUTHR,因此向归属位置寄存器或认证中心(HLR/AC,Home Location Register/Authentication Center)发送鉴权请求消息,消息中包含了所述RAND和所述AUTHR。
5、所述HLR/AC根据得到的所述RAND,利用所述MS计算所述AUTHR的相同方法计算AUTHR,如果计算结果与从所述MSC收到的AUTHR相同,则鉴权成功,表示所述MS拥有合法的共享密钥。所述HLR/AC回送鉴权成功消息给所述MSC,消息中携带了空口信令和话音的加密密钥,即信令消息加密密钥(SENKEY,Signaling Message Encrypting Key)和专用长码掩码(PLCM,PrivateLong Code Mask)。
6、所述MSC收到所述鉴权成功消息,因此向所述BSC发送空口资源指派消息,该消息中携带了所述SENKEY和PLCM。
7、所述BSC保存所述SENKEY和PLCM,并向所述MS发送信道指派消息,即分配空口资源,所述MS和BSC建立空口连接,后续的信令使用所述SENKEY进行保护,话音使用所述PLCM进行保护。
对于所述Femto Cell网络,由于Femto Cell接入点承担CDMA20001x BSC的功能,因此需要生成所述随机数RAND并下发给所述MS,以便MS执行后续的鉴权过程。但在进行本发明创造过程中,发明人发现现有技术中至少存在如下问题:Femto Cell接入点生成RAND存在一定的安全隐患,因为Femto Cell接入点位于家庭或办公室,容易遭受攻击,或者被恶意的用户所利用。例如,如果攻击者记录了某个MS原来鉴权过程中的所述RAND和AUTHR,并且保存了MS与网络通信的数据包;之后攻击者通过修改Femto Cell接入点的程序或者入侵到Femto Cell接入点内部,让Femto Cell接入点发送鉴权消息,而所述鉴权消息中携带了之前记录的RAND和AUTHR,则网络侧通过验证,发现AUTHR值是正确的,因此生成对应的信令和话音密钥,并发送给Femto Cell接入点。由于所述信令和话音密钥与之前的值相同,因此Femto Cell接入点利用得到的所述密钥对之前保存的通信数据包进行解密,从而获知之前的通信内容。如果MS通信的内容是机密或非常敏感的事件,这对于用户和通信对方都十分不利。
发明内容
本发明实施例提供基于家庭基站网络的对终端进行鉴权的方法、设备及系统,避免了攻击者利用Femto Cell接入点实施对鉴权的攻击,从而避免了攻击者获得相应的通信内容。
本发明实施例提供基于家庭基站网络的对终端进行鉴权的方法,包括:生成随机数;通过家庭基站接入点将所述随机数发送至终端;接收所述终端发送的携带鉴权响应参数和所述随机数的请求;当检查所述请求携带的随机数与上述发送至所述终端的所述随机数一致时,发送鉴权请求消息至位置寄存器或认证中心,计算所述鉴权响应参数,比较与收到的所述鉴权请求消息携带的鉴权响应参数相同时,鉴权成功。
本发明实施例还提供一种家庭基站网络设备,包括:生成单元,用于生成随机数;第一发送单元,用于通过家庭基站接入点将所述随机数发送至终端;接收单元,接收所述终端发送的携带鉴权响应参数和所述随机数的请求;检查单元,用于检查所述请求携带的随机数与上述发送至家庭基站接入点的所述随机数相同时,通知第二发送单元;第二发送单元,用于发送鉴权请求至所述位置寄存器或认证中心。
本发明实施例还提供基于家庭基站网络的对终端进行鉴权的系统,包括:生成随机数的实体、终端、家庭基站接入点、归属位置寄存器或认证中心;所述生成随机数的实体,用于生成所述随机数,发送所述随机数至家庭基站接入点;所述家庭基站接入点,用于广播所述随机数至所述终端;所述终端,用于发送携带鉴权响应参数和所述随机数的请求;所述生成随机数的实体,接收所述请求;检查所述请求携带的随机数与上述发送至家庭基站接入点的所述随机数是否相同,如果是,则发送鉴权请求至所述位置寄存器或认证中心;所述位置寄存器或认证中心,用于用于计算所述鉴权响应参数,比较与收到的所述鉴权请求消息携带的鉴权响应参数相同时,鉴权成功。
以上技术方案,终端鉴权所需要的随机数由安全上有保证的网络侧实体生成,所述网络侧实体发送所述随机数至Femto Cell接入点,网络侧实体检查业务请求信息携带的随机数与发送的随机数是否相同,相同则启动终端接入流程。由于所述随机数不是由Femto Cell接入点生成,在安全上有了保证,避免了攻击者利用Femto Cell接入点实施对鉴权的攻击,从而避免了攻击者获得相应的通信内容。
附图说明
图1是Femto Cell网络的结构图;
图2是现有技术中CDMA2000 1x电路域的鉴权流程图;
图3是基于本发明第一实施例方法流程图;
图4是基于本发明第二实施例方法流程图;
图5是基于本发明第三实施例方法流程图;
图6是基于本发明第四实施例方法流程图;
图7是基于本发明第五实施例方法流程图;
图8a、图8b是基于本发明实施例鉴权接入设备示意图;
图9是本发明实施例网络终端鉴权接入系统结构图;
图10是基于本发明系统第一实施例结构图;
图11是基于本发明系统第二实施例结构图;
图12是基于本发明系统第三实施例结构图;
图13是基于本发明系统第四实施例结构图。
具体实施方式
首先对本发明实施例实现基于家庭基站网络的对终端进行鉴权的方法进行说明,包括:
生成随机数;通过家庭基站接入点将所述随机数发送至终端;接收所述终端发送的携带鉴权响应参数和所述随机数的请求;当检查所述请求携带的随机数与上述发送至所述终端的所述随机数一致时,发送鉴权请求消息至位置寄存器或认证中心,计算所述鉴权响应参数,比较与收到的所述鉴权请求消息携带的鉴权响应参数相同时,鉴权成功。
下面结合附图,对本发明的实施例进行详细描述。
实施例一:
参见图3,基于本发明第一实施例方法流程图。
本实施例的网络结构中Femto Cell接入点对外的接口为BSC与MSC接口,即A1/A1p接口,终端为MS。本实施例中,所述随机数RAND由Femto Cell安全网关生成,该方法需要对因特网密钥交换消息(IKE,Intemet KeyExchange)进行扩展。
101、为了保证Femto Cell接入点和Femto Cell安全网关所传递的Femto网络的信令和用户数据的安全性,Femto Cell接入点首先与Femto Cell安全网关通过IKE协议协商IPsec安全关联(SA,Security Association),并使用所述SA对信令和用户数据进行保护。
102、Femto Cell接入点通过IKE消息向Femto Cell安全网关请求随机数RAND。
103、Femto Cell安全网关生成RAND,并通过IKE消息将所述RAND,以及所述RAND的生命期发送至所述Femto Cell接入点。
104、Femto Cell接入点广播所述RAND至所述MS。
105、所述MS发送CDMA2000 1x电路域的起呼消息至所述Femto Cell接入点,所述起呼消息包含所述RAND,以及根据所述RAND、MS的设备标识、身份标识计算出的所述AUTHR。
106、Femto Cell接入点收到所述起呼消息,向MSC发起业务请求消息,所述业务请求消息中携带所述RAND和AUTHR;所述业务请求消息在FemtoCell接入点和Femto Cell安全网关所建立的IPsec安全隧道内传递。
107、Femto Cell安全网关接收所述业务请求消息,检查该消息中携带的所述RAND与步骤103中发送给所述Femto Cell接入点的RAND是否相同,如果是,进入步骤108,否则丢弃该业务请求消息。
108、Femto Cell安全网关发送所述业务请求消息至所述MSC。
109、所述MSC检查所述业务请求消息中是否含有所述RAND和AUTHR,如果含有,则发送鉴权请求消息至HLR/AC。
110、所述HLR/AC根据得到的鉴权请求,查询对应MS的共享密钥,计算网络侧的AUTHR,判断与收到的AUTHR是否相同,如果相同,则鉴权通过,继续计算空口所需的密钥,即SMEKEY和PLCM,发送含有所述密钥的鉴权应答消息至MSC。
111、所述MSC收到所述鉴权应答消息后,发送含有所述SMEKEY和PLCM的指派消息至接入点,其间通过Femto Cell安全网关转发,指示所述Femto Cell接入点为MS分配空口资源。
112、所述Femto Cell安全网关转发所述指派消息至所述Femto Cell接入点。
113、所述Femto Cell接入点保存所述指派消息中的SMEKEY和PLCM,发送所述指派消息至所述MS,为所述MS分配空口资源。
本实施例中的所述IKE消息优选IKE的信息交换消息,当然也可以选择其他类型的IKE消息来实现本方法。
本实施例中步骤103中Femto Cell安全网关发送RAND的生命期至所述Femto Cell接入点,可以改为Femto Cell安全网关周期性发送RAND至所述Femto Cell接入点,两者效果是一样的,即RAND具有时效性,仅在一定时间段内有效。这样有效保证了终端接入的安全性,避免了恶意攻击者中间窃取RAND,鉴权通过接入网络。
实施例二:
参见图4,基于本发明第二实施例方法流程图。
实施例二是实施例一中的步骤107检查所述RAND不相同时的处理流程,其中步骤201-206与实施例一中步骤101-106相同,在此不再赘述,仅叙述后续处理流程,如下:
207、所述Femto Cell安全网关通过所述IKE消息发送更新后的RAND至所述Femto Cell接入点。
208、所述Femto Cell接入点收到所述RAND后,广播给所述MS。MS可以重新发送起呼消息,使用更新后的所述RAND。其工作流程与实施例一的流程相同。
本实施例中的所述IKE消息优选IKE的信息交换消息,当然也可以选择其他类型的IKE消息来实现本方法。
实施例三:
参见图5,基于本发明第三实施例方法流程图。
与实施例一相同,本实施例的网络结构中Femto Cell接入点对外的接口为BSC与MSC接口,即A1/A1p接口,终端为所述MS。与实施例一不同的是,本实施例中,所述随机数RAND由MSC生成,该方法需要对A1/A1p进行扩展。
步骤301与实施例一的步骤101相同,在此不再赘述。
302、Femto Cell接入点通过A1/A1p消息向MSC请求随机数RAND,所述A1/A1p消息中携带了Femto Cell接入点的标识符(FAP ID,Femto Access PointIdentifier)。
303、所述MSC生成RAND,并通过A1/A1p消息将所述RAND,以及该RAND的生命期发送给所述Femto Cell接入点。
步骤304-305与实施例一的步骤104-105相同,在此不再赘述。
306、Femto Cell接入点收到所述起呼消息,向MSC发起业务请求消息,所述业务请求消息中携带所述RAND、AUTHR和FAP ID;所述业务请求消息在Femto Cell接入点和Femto Cell安全网关所建立的IPsec安全隧道内传递。
307、Femto Cell安全网关发送所述业务请求消息至所述MSC。
308、MSC收到业务请求消息,发现消息中包含有RAND、AUHTR,FAPID,因此检查所述RAND与与步骤103中向该Femto Cell接入点发送的RAND是否相同,如果是,则继续执行,否则丢弃该该业务请求消息。
309、MSC向HLR/AC发送认证请求消息。
步骤310-313与实施例一的步骤110-113相同,在此不再赘述。
本实施例中所述A1/A1p消息中可以不携带所述FAP ID,添加了所述FAPID,能使MSC更有效识别接入点,因为所述MSC为每个接入点生成的随机数不同。
实施例四:
参见图6,基于本发明第四实施例方法流程图。
与实施例一不同,本实施例的网络结构中Femto Cell接入点作为IP多媒体子系统(IMS,IP Multimedia Subsystem)网络的一个客户端,对外的接口使用会话初始协议(SIP,Session Initiation Protocol)信令,网络中增加了信令转换实体,完成所述CDMA20001x的移动应用部分(MAP,Mobile Application Part)信令和SIP信令的转换。与实施例一相同的是,本实施例中,终端为所述MS;所述随机数RAND由Femto Cell安全网关生成。
步骤401与实施例一的步骤101相同,在此不再赘述。
402、Femto Cell接入点作为IMS客户端接入IMS网络,即IMS注册过程。Femto Cell接入点注册到服务呼叫会话控制功能(S-CSCF,Serving Call SessionControl Function)。
403、Femto Cell接入点通过IKE消息向Femto Cell安全网关请求随机数RAND。
404、Femto Cell安全网关生成RAND,并通过IKE消息将所述RAND,以及所述RAND的生命期发送至所述Femto Cell接入点。
405、Femto Cell接入点广播所述RAND至所述MS。
406、所述MS发送CDMA2000 1x电路域的起呼消息至所述Femto Cell接入点,所述起呼消息包含所述RAND,以及根据所述RAND、MS的设备标识、身份标识计算出的所述AUTHR。
407、Femto Cell接入点将所述起呼消息转换成SIP消息,发送所述SIP消息至IMS网络,所述SIP消息在Femto Cell接入点和Femto Cell安全网关所建立的IPsec安全隧道内传递。
408、Femto Cell安全网关解密收到的SIP消息,检查所述SIP消息的RAND与步骤4中发送至Femto Cell接入点的RAND是否相同,如果是,则执行步骤409,否则丢弃该消息。
409、Femto Cell安全网关转发所述SIP消息,被路由到所述信令转换实体。
410、所述信令转换实体将接收的SIP消息转换为CDMA2000 1x的MAP信令,所述信令中包含RAND和AUTHR,信令转换实体发送鉴权请求消息至所述HLR/AC。
411、所述HLR/AC根据得到的鉴权请求消息,查询对应MS的共享密钥,计算网络侧的AUTHR,判断与收到的AUTHR是否相同,如果相同,则鉴权通过,继续计算空口所需的密钥,即SMEKEY和PLCM,发送含有所述密钥的鉴权应答消息至所述信令转换实体。
412、所述信令转换实体收到所述鉴权应答消息后,发送含有所述SMEKEY和PLCM的SIP消息至接入点,其间由安全网关转发,指示所述Femto Cell接入点为MS分配空口资源。
413、所述Femto Cell安全网关转发所述SIP信令至所述Femto Cell。
414、Femto Cell接入点保存所述SIP信令中的SMEKEY和PLCM,发送所述SIP信令至所述MS,为所述MS分配空口资源。
本实施例中的所述IKE消息优选IKE的信息交换消息,当然也可以选择其他类型的IKE消息来实现本方法。
实施例五:
参见图7,基于本发明第五实施例方法流程图。
本实施例与实施例四具有相同的网络结构,即Femto Cell接入点作为IMS网络的一个客户端,对外的接口使用SIP信令,网络中增加了信令转换实体,完成所述CDMA2000 1x的MAP信令和SIP信令的转换;终端为所述MS。与实施例四不同的是,本实施例中,所述随机数RAND由所述信令转换实体生成。
步骤501-502与实施例四的步骤401-402相同,在此不再赘述。
503、所述Femto Cell接入点通过SIP消息向信令转换实体请求随机数RAND。
504、所述信令转换实体生成RAND,并通过SIP信息将所述RAND,以及所述RAND的生命期发送至所述Femto Cell接入点。
步骤505-507与实施例四的405-407相同,在此不再赘述。
508、Femto Cell安全网关解密收到的SIP消息,转发所述SIP消息,所述SIP消息被路由到信令转换实体。
509、所述信令转换实体检查所述SIP信息中的RAND是否是步骤4中发送至Femto Cell接入点的RAND是否相同,如果是,则执行步骤510,否则丢弃该信息。
步骤510-514与实施例四中的步骤410-414相同,在此不再赘述。
需要说明的是,实施例三至实施例五所述的方法,当鉴权失败时,与实施例二的后续处理流程类似,即发送更新后的RAND,终端根据新的RAND重新发送起呼消息。
需要说明的是,实施例一至实施例五,发送随机数的生命期至所述FemtoCell接入点,即随机数具有时效性,仅在一段时间内有效,这样保证了终端接入的安全性;也可以周期性发送RAND至所述Femto Cell接入点,两者效果是一样的,即RAND具有时效性,仅在一定时间段内有效。这样有效保证了终端接入的安全性,避免了恶意攻击者中间窃取RAND,鉴权通过接入网络。生成随机数的实体发送所述随机数可以为所述Femto Cell接入点先请求再发送,所述Femto Cell接入点的请求中还可以包含FAP ID;也可以为主动发送至所述Femto Cell接入点。
本发明实施例提供一种Femto Cell网络终端接入设备,参见图8a,本发明实施例鉴权接入设备示意图。
生成单元801,用于生成终端鉴权所需要的具有时效性的RAND;
第一发送单元802,发送所述RAND及所述RAND的生命期至Femto Cell接入点,所述Femto Cell接入点广播所述RAND至所述终端;所述终端可以为移动台,也可以为接入终端。所述Femto Cell接入点首先向所述第一发送单元802请求所述RAND。
接收单元803,接收所述终端发送的携带鉴权响应参数和所述RAND的业务请求信息;
检查单元804,检查所述业务请求信息携带的RAND与上述发送至FemtoCell接入点的所述RAND是否相同,如果是,则鉴权通过;
第二发送单元805,发送所述业务请求信息至所述位置寄存器或认证中心。
当所述检查单元804检查所述业务请求信息携带的RAND与上述发送至Femto Cell接入点的所述RAND不同时,所述设备还包括图8b中的丢弃单元806,用于丢弃所述业务请求信息。这样就避免了攻击者接入Femto Cell网络,窃取通信内容。
本发明还提供了一种Femto网络终端接入系统。参见图9,本发明实施例网络终端接入系统结构图。包括生成随机数的实体901、归属位置寄存器/认证中心HLR/AC902、Femto Cell接入点903、终端904。
Femto Cell接入点903,向生成RAND的实体901请求RAND;
所述生成随机数的实体901,生成所述RAND,发送所述RAND及所述RAND的生命期至Femto Cell接入点903;
所述Femto Cell接入点903,广播所述RAND至所述终端904;
所述终端904,发送携带鉴权响应参数和所述RAND的业务请求信息至所述生成随机数的实体901;
所述生成随机数的实体901,检查所述业务请求信息携带的RAND与上述发送至Femto Cell接入点的所述RAND是否相同;如果是,则鉴权通过,发送所述业务请求信息至所述位置寄存器或认证中心902;
所述位置寄存器或认证中心902,启动所述终端接入流程。
本发明提供一种Femto网络终端接入系统,根据生成随机数的实体不同分为三个实施例,即所述RAND由Femto Cell安全网关生成、MSC生成或信令转换实体生成。
系统第一实施例:
Femto Cell安全网关生成所述RAND,系统还包括MSC。参见图10,基于本发明系统第一实施例结构图。包括Femto Cell安全网关1001、MS1002、Femto Cell接入点1003、HLR/AC1004、MSC1005。
Femto Cell接入点1003,向Femto Cell安全网关1001请求RAND;
所述Femto Cell安全网关1001,生成所述RAND,发送所述RAND及所述RAND的生命期至Femto Cell接入点1003;
所述Femto Cell接入点1003,广播所述RAND至所述MS 1002;
所述MS1002,发送携带鉴权响应参数和所述RAND的业务请求信息至Femto Cell安全网关1001;
所述安全网关1001,检查所述业务请求信息携带的RAND与上述发送至Femto Cell接入点1003的所述RAND是否相同;如果是,则鉴权通过,发送所述业务请求信息至所述HLR/AC1004;
所述HLR/AC1004,启动所述终端接入流程。
上述系统中,所述Femto Cell接入点对外接口为BSC与MSC接口。
系统第二实施例:
与系统第一实施例不同的是,MSC生成所述随机数。参见图11,基于本发明系统第二实施例结构图。包括Femto Cell安全网关1101、MS 1102、FemtoCell接入点1103、HLR/AC1104、MSC1105。
与系统实施例一的各部分功能相同,在此不再赘述;不同的是由MSC生成所述随机数,所以最后由MSC来检查RAND是否与原来发送出去的相同。
系统第三实施例:
本实施例中,Femto Cell接入点作为IMS网络的一个客户端,Femto Cell安全网关生成随机数。参见图12,基于本发明系统第三实施例结构图。包括Femto Cell安全网关1201、MS 1202、Femto Cell接入点1203、信令转换实体1204、HLR/AC1205、S-CSCF1206。
Femto Cell接入点1203作为IMS的客户端,接入IMS网络,首先要注册到S-CSCF1206。
Femto Cell接入点1203,向Femto Cell安全网关1201请求RAND。
所述Femto Cell安全网关1201,生成所述RAND,发送所述RAND及所述RAND的生命期至Femto Cell接入点1203。
Femto Cell接入点1203发送所述RAND至所述MS 1202。
所述MS1202发送寻呼响应至所述Femto Cell接入点1203,所述Femto Cell接入点1203转换所述寻呼响应为SIP消息,发送至Femto Cell安全网关1201。
所述Femto Cell安全网关1201检查所述SIP消息中携带的RAND是否与发送至Femto Cell接入点1203的相同,如果是,Femto Cell安全网关1201转发所述SIP消息,所述SIP消息被路由到所述信令转换实体1204。
所述信令转换实体1204向所述HLR/AC1205发送鉴权请求消息。
所述HLR/AC1205检查所述鉴权请求消息中携带的鉴权响应参数是否正确,如果是,则发送鉴权应答消息至所述信令转换实体1204。
所述信令转换实体1204通过所述Femto Cell安全网关1201向所述FemtoCell接入点1203发送SIP消息,指示Femto Cell接入点1203为MS分配空口资源。所述信令转换实体可以与所述归属位置寄存器集成在一起。
系统第四实施例:
本实施例与系统实施例三不同的是由信令转换实体生成随机数。参见图13,基于本发明系统第四实施例结构图。包括Femto Cell安全网关1301、MS
1302、Femto Cell接入点1303、信令转换实体1304、HLR/AC1305、S-CSCF1306。
本实施例中由信令转换实体1304生成所述随机数,所以由所述信令转换实体1304来检查SIP消息中的随机数与发送至Femto Cell接入点1303的随机数是否相同,其他各部分与实施例三相同,在此不再赘述。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,该程序在执行时,可以包括前述的通信方法各个实施方式的内容。这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
综上所述,本发明实施例所提供的基于家庭基站网络的对终端进行鉴权的方法,终端鉴权所需要的随机数由安全上有保证的网络侧实体生成,所述网络侧实体发送所述随机数至Femto Cell接入点,网络侧实体检查业务请求信息携带的随机数与发送的随机数是否相同,相同则启动终端接入流程。由于所述随机数不是由Femto Cell接入点生成,从而安全上有了保证,避免了攻击者利用Femto Cell接入点实施对鉴权的攻击,从而避免了攻击者获得相应的通信内容。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤:生成随机数;通过家庭基站接入点将所述随机数发送至终端;接收所述终端发送的携带鉴权响应参数和所述随机数的请求;当检查所述请求携带的随机数与上述发送至所述终端的所述随机数一致时,发送鉴权请求消息至位置寄存器或认证中心,计算所述鉴权响应参数,比较与收到的所述鉴权请求消息携带的鉴权响应参数相同时,鉴权成功。
Claims (11)
1.基于家庭基站网络的对终端进行鉴权的方法,其特征在于,包括:
生成随机数;
通过家庭基站接入点将所述随机数发送至终端;
接收所述终端发送的携带鉴权响应参数和所述随机数的请求;
当检查所述请求携带的随机数与上述发送至所述终端的所述随机数一致时,发送鉴权请求消息至位置寄存器或认证中心,计算所述鉴权响应参数,比较与收到的所述鉴权请求消息携带的鉴权响应参数相同时,鉴权成功;
生成所述随机数的实体为移动交换中心,所述随机数通过互操作规范A1或A1p接口消息发送至所述家庭基站接入点;
或者,生成所述随机数的实体为家庭基站网络安全网关,所述随机数通过因特网密钥交换消息发送至所述家庭基站接入点;
或者,生成所述随机数的实体为信令转换实体,所述随机数通过会话初始协议消息发送至所述家庭基站接入点。
2.根据权利要求1所述的方法,其特征在于,所述计算所述鉴权响应参数,比较与收到的所述鉴权请求消息携带的鉴权响应参数相同时,是由所述位置寄存器或认证中心完成的。
3.根据权利要求1所述的方法,其特征在于,进一步包括:当检查所述请求携带的随机数与上述发送至所述终端的所述随机数不相同时,丢弃所述请求,重新发送所述随机数至家庭基站接入点。
4.根据权利要求1所述的方法,其特征在于,所述家庭基站接入点对外的接口为基站控制器与移动交换中心的接口。
5.根据权利要求1所述的方法,其特征在于,所述家庭基站接入点作为IP多媒体子系统网络的一个客户端,对外接口使用会话初始协议消息。
6.根据权利要求1所述的方法,其特征在于,还包括发送所述随机数的生命期至所述家庭基站接入点。
7.根据权利要求1所述的方法,其特征在于,还包括发送所述随机数至所述家庭基站接入点或者在收到家庭基站接入点请求后发送所述随机数。
8.根据权利要求7所述的方法,其特征在于,所述家庭基站接入点发送的随机数请求包含所述家庭基站接入点的身份标识。
9.一种家庭基站网络设备,其特征在于,该设备位于所述家庭基站网络安全网关、移动交换中心或信令转换实体;包括:
生成单元,用于生成随机数;
第一发送单元,用于通过家庭基站接入点将所述随机数发送至终端;
接收单元,接收所述终端发送的携带鉴权响应参数和所述随机数的请求;
检查单元,用于检查所述请求携带的随机数与上述发送至家庭基站接入点的所述随机数相同时,通知第二发送单元;
第二发送单元,用于发送鉴权请求至所述位置寄存器或认证中心。
10.根据权利要求9所述的设备,其特征在于,还包括丢弃单元,当检查所述请求携带的随机数与上述发送至家庭基站接入点的所述随机数不同时,丢弃所述业务请求信息。
11.基于家庭基站网络的对终端进行鉴权的系统,其特征在于,包括:生成随机数的实体、终端、家庭基站接入点、归属位置寄存器或认证中心;
所述生成随机数的实体,用于生成所述随机数,发送所述随机数至家庭基站接入点;
所述家庭基站接入点,用于广播所述随机数至所述终端;
所述终端,用于发送携带鉴权响应参数和所述随机数的请求;
所述生成随机数的实体,接收所述请求;检查所述请求携带的随机数与上述发送至家庭基站接入点的所述随机数是否相同,如果是,则发送鉴权请求至所述位置寄存器或认证中心;
所述位置寄存器或认证中心,用于计算所述鉴权响应参数,比较与收到的所述鉴权请求消息携带的鉴权响应参数相同时,鉴权成功;
当所述生成随机数的实体为家庭基站网络安全网关时,所述系统还包括移动交换中心,用于在所述终端接入流程中指示所述接入点为终端分配空口资源;
或者,当所述生成随机数的实体为移动交换中心时,所述系统还包括家庭基站网络安全网关,用于转发所述业务请求消息至所述移动交换中心;
或者,当所述生成随机数的实体为信令交换实体时,还包括提供终端注册的实体,用于为终端提供注册到网络的服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810040806.8A CN101631309B (zh) | 2008-07-17 | 2008-07-17 | 基于家庭基站网络的对终端进行鉴权的方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810040806.8A CN101631309B (zh) | 2008-07-17 | 2008-07-17 | 基于家庭基站网络的对终端进行鉴权的方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101631309A CN101631309A (zh) | 2010-01-20 |
| CN101631309B true CN101631309B (zh) | 2013-03-20 |
Family
ID=41576206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810040806.8A Expired - Fee Related CN101631309B (zh) | 2008-07-17 | 2008-07-17 | 基于家庭基站网络的对终端进行鉴权的方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101631309B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8813195B2 (en) | 2010-03-09 | 2014-08-19 | Alcatel Lucent | Method and apparatus for authenticating a user equipment |
| CN101854629B (zh) * | 2010-05-21 | 2013-02-27 | 西安电子科技大学 | 家庭基站系统中用户终端接入认证及重认证的方法 |
| CN102546540B (zh) * | 2010-12-17 | 2015-02-11 | 北京中创智信科技有限公司 | 数据处理方法 |
| CN102571337A (zh) * | 2010-12-17 | 2012-07-11 | 北京中创智信科技有限公司 | 数据处理方法 |
| CN102612078A (zh) * | 2011-01-25 | 2012-07-25 | 电信科学技术研究院 | 一种无线接入系统、装置及数据传输方法 |
| CN103096398B (zh) | 2011-11-08 | 2016-08-03 | 华为技术有限公司 | 一种网络切换的方法和装置 |
| CN103945383B (zh) * | 2014-04-22 | 2018-03-23 | 福建三元达网络技术有限公司 | 一种家庭基站管理用户设备接入的方法 |
| CN104468314A (zh) * | 2014-12-09 | 2015-03-25 | 北京歌华有线数字媒体有限公司 | 一种4g基站网络系统 |
| WO2019000171A1 (en) * | 2017-06-26 | 2019-01-03 | Zte Corporation | METHODS AND COMPUTER DEVICE FOR AUTHENTICATING USER EQUIPMENT VIA HOME NETWORK |
| CN110048988B (zh) * | 2018-01-15 | 2021-03-23 | 华为技术有限公司 | 消息的发送方法和装置 |
| CN118714521A (zh) * | 2023-03-27 | 2024-09-27 | 华为技术有限公司 | 消息处理的方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1561136A (zh) * | 2004-02-18 | 2005-01-05 | Ut˹�ͨѶ����˾ | Phs手机网络鉴权方法 |
| CN1568037A (zh) * | 2003-06-10 | 2005-01-19 | 华为技术有限公司 | 全球移动通信系统用户漫游到码分多址网络的鉴权方法 |
| CN1835626A (zh) * | 2005-03-15 | 2006-09-20 | 北京信威通信技术股份有限公司 | 一种scdma通信系统的鉴权系统和鉴权方法 |
| CN101026889A (zh) * | 2007-04-05 | 2007-08-29 | 华为技术有限公司 | 一种锁定非法复制的移动终端的方法、系统及基站 |
-
2008
- 2008-07-17 CN CN200810040806.8A patent/CN101631309B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1568037A (zh) * | 2003-06-10 | 2005-01-19 | 华为技术有限公司 | 全球移动通信系统用户漫游到码分多址网络的鉴权方法 |
| CN1561136A (zh) * | 2004-02-18 | 2005-01-05 | Ut˹�ͨѶ����˾ | Phs手机网络鉴权方法 |
| CN1835626A (zh) * | 2005-03-15 | 2006-09-20 | 北京信威通信技术股份有限公司 | 一种scdma通信系统的鉴权系统和鉴权方法 |
| CN101026889A (zh) * | 2007-04-05 | 2007-08-29 | 华为技术有限公司 | 一种锁定非法复制的移动终端的方法、系统及基站 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101631309A (zh) | 2010-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101631309B (zh) | 基于家庭基站网络的对终端进行鉴权的方法、设备及系统 | |
| US10694376B2 (en) | Network authentication method, network device, terminal device, and storage medium | |
| CN104285422B (zh) | 用于利用邻近服务的计算设备的安全通信 | |
| CN111885602B (zh) | 一种面向异构网络的批量切换认证及密钥协商方法 | |
| Cao et al. | A survey on security aspects for LTE and LTE-A networks | |
| US8249554B2 (en) | Methods for provisioning mobile stations and wireless communications with mobile stations located within femtocells | |
| CN101816199B (zh) | 附连至与例如ims的安全核心网络通信的毫微微小区的移动单元的认证方法 | |
| CN102036230B (zh) | 本地路由业务的实现方法、基站及系统 | |
| JP2014161027A (ja) | 安全なパケット伝送のための暗号化方法 | |
| WO2020248624A1 (zh) | 一种通信方法、网络设备、用户设备和接入网设备 | |
| WO2008131689A1 (en) | Method and system for realizing an emergency communication service and corresponding apparatuses thereof | |
| KR20180026457A (ko) | 다수의 플레인들을 통한 식별자 관리를 위한 방법 및 시스템 | |
| CN102547701A (zh) | 认证方法、无线接入点和认证服务器 | |
| WO2017197596A1 (zh) | 通信方法、网络侧设备和用户设备 | |
| WO2010127539A1 (zh) | 一种流媒体业务的接入认证方法及系统 | |
| Fang et al. | Security requirement and standards for 4G and 5G wireless systems | |
| CN101483870A (zh) | 跨平台的移动通信安全体系的实现方法 | |
| WO2012024905A1 (zh) | 一种移动通讯网中数据加解密方法、终端和ggsn | |
| CN108235300A (zh) | 移动通信网络用户数据安全保护方法及系统 | |
| CN100527875C (zh) | 实现媒体流安全的方法及通信系统 | |
| US20140093080A1 (en) | Method and system to differentiate and assigning ip addresses to wireless femto cells h(e)nb (home (evolved) nodeb) and lgw (local gateway) by using ikev2 (internet key exchange version 2 protocol) procedure | |
| CN101877852A (zh) | 用户接入控制方法和系统 | |
| KR20130009836A (ko) | 무선 원격통신 네트워크, 및 메시지를 인증하는 방법 | |
| CN102595403A (zh) | 绑定中继节点的认证方法及装置 | |
| CN108282775B (zh) | 面向移动专用网络的动态附加认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130320 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |