專利名稱:基于家庭基站網(wǎng)絡(luò)的對(duì)終端進(jìn)行鑒權(quán)的方法��、設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�����,特別涉及基于家庭基站網(wǎng)絡(luò)的對(duì)終端進(jìn)行 鑒權(quán)的方法���、設(shè)備及系統(tǒng)。
背景技術(shù):
家庭基站是小型蜂窩基站���,又稱為Femto Cell或Home NodeB,是3G領(lǐng)域 的前沿技術(shù)�。所述Femto Cell讓住宅中的移動(dòng)用戶通過有線寬帶網(wǎng)連接到3G網(wǎng) 絡(luò)��,獲得增強(qiáng)的移動(dòng)語音、視頻和數(shù)據(jù)服務(wù)��,可以與運(yùn)營(yíng)商的原有宏蜂窩基站 (Macrocell)無縫連接�,可以充分使用戶已有的寬帶接入資源,最終為用戶提 供了移動(dòng)和固網(wǎng)融合(FMC, Fixed Mobile Convergence)業(yè)務(wù)�����。通過3G家庭 基站����,大量的移動(dòng)業(yè)務(wù)被室內(nèi)Femto Cell所吸收,可以大大降低運(yùn)營(yíng)商宏蜂窩 的數(shù)量�,為運(yùn)營(yíng)商節(jié)約大量的設(shè)備投資費(fèi)用和維護(hù)費(fèi)用,也可以改善室內(nèi)覆蓋����, 提高室內(nèi)寬帶接入速率,減少時(shí)延����,滿足用戶各種多媒體應(yīng)用體驗(yàn)。
參見圖l, Femto Cell網(wǎng)絡(luò)的結(jié)構(gòu)圖���,包括移動(dòng)臺(tái)/接入終端(MS, Mobile Station/AT, Access Terminal)���、接入點(diǎn)����、安全網(wǎng)關(guān)�、宏網(wǎng)絡(luò)、宏網(wǎng)絡(luò)基站控制 器(BSC, Base Station Controller)以及宏基站��。Femto Cell接入點(diǎn)和Femto Cell 安全網(wǎng)關(guān)為網(wǎng)絡(luò)實(shí)體����,F(xiàn)emto Cell完成了原來宏網(wǎng)絡(luò)中基站、BSC等功能�����。Femto Cell通過非對(duì)稱凄t字用戶線^各(ADSL, Asymmetric Digital Subscriber Line )或 電纜調(diào)制解調(diào)器(CM, Cable Modem )等有線網(wǎng)絡(luò)接入宏網(wǎng)絡(luò)的核心網(wǎng)����,由于 數(shù)據(jù)和信令需要通過不安全的網(wǎng)絡(luò)�����,例如普通的IP網(wǎng)����,為了保證安全性增加了 所述Femto Cell安全網(wǎng)關(guān)這個(gè)實(shí)體�,在所述Femto Cell接入點(diǎn)和所述Femto Cell 安全網(wǎng)關(guān)之間建立安全的隧道���,保證數(shù)據(jù)和信令的安全��。Femto Cell接入點(diǎn)可 以支持不同類型終端的接入�����,如3G網(wǎng)絡(luò)的終端以及傳統(tǒng)的無線終端�,為了能 保證碼分多址(CDMA��, Code Division Multiple Access ) 2000 lx的MS的接入����, 所述FemtoCell接入點(diǎn)需要完成各種所述CDMA2000 lx網(wǎng)絡(luò)的功能,包括接入 鑒權(quán)�。
參見圖2,現(xiàn)有技術(shù)中CDMA2000 lx電路域的鑒權(quán)流程圖�����。包括以下步驟
51�、 BSC在接入控制信道將所生成的隨機(jī)數(shù)(RAND���,Random Variable )廣 播給MS。
2����、 MS根據(jù)共享的密鑰、所述RAND以及其它參數(shù)計(jì)算鑒權(quán)響應(yīng)參數(shù) (AUTHR��,Authentication Response )�,發(fā)送起呼消息至所述BSC。
3�����、 所述BSC發(fā)送業(yè)務(wù)請(qǐng)求消息給移動(dòng)交換中心(MSC, Mobile Switching Center),消息中攜帶了所述RAND和所述AUTHR�。
4、 所述MSC發(fā)現(xiàn)消息中包含了所述RAND和所述AUTHR,因此向歸屬位 置寄存器或認(rèn)證中心(HLR/AC,Home Location Register/Authentication Center)發(fā) 送鑒權(quán)請(qǐng)求消息�,消息中包含了所述RAND和所述AUTHR。
5����、 所述HLR/AC根據(jù)得到的所述RAND,利用所述MS計(jì)算所述AUTHR的 相同方法計(jì)算AUTHR,如果計(jì)算結(jié)果與從所述MSC收到的AUTHR相同����,則鑒 權(quán)成功�,表示所述MS擁有合法的共享密鑰����。所述HLR/AC回送鑒權(quán)成功消息給 所述MSC,消息中攜帶了空口信令和話音的加密密鑰��,即信令消息加密密鑰 (SENKEY�����,Signaling Message Encrypting Key)和專用長(zhǎng)碼掩碼(PLCM���,Private Long Code Mask)�。
6����、 所述MSC收到所述鑒權(quán)成功消息,因此向所述BSC發(fā)送空口資源指派 消息�����,該消息中攜帶了所述SENKEY和PLCM�����。
7、 所述BSC保存所述SENKEY和PLCM,并向所述MS發(fā)送信道指派消息���, 即分配空口資源�����,所述MS和BSC建立空口連接����,后續(xù)的信令使用所述SENKEY 進(jìn)行保護(hù)��,話音使用所述PLCM進(jìn)行保護(hù)���。
對(duì)于所述Femto Cell網(wǎng)絡(luò)��,由于Femto Cell接入點(diǎn)承擔(dān)CDMA2000 lx BSC 的功能����,因此需要生成所述隨機(jī)數(shù)RAND并下發(fā)給所述MS���,以便MS執(zhí)行后續(xù) 的鑒權(quán)過程。但在進(jìn)行本發(fā)明創(chuàng)造過程中����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如 下問題Femto Cell接入點(diǎn)生成RAND存在一定的安全隱患���,因?yàn)镕emto Cell 接入點(diǎn)位于家庭或辦公室,容易遭受攻擊��,或者被惡意的用戶所利用�。例如, 如果攻擊者記錄了某個(gè)MS原來鑒權(quán)過程中的所述RAND和AUTHR��,并且保存 了MS與網(wǎng)絡(luò)通信的數(shù)據(jù)包�����;之后攻擊者通過修改Femto Cell接入點(diǎn)的程序或者 入侵到FemtoCell接入點(diǎn)內(nèi)部����,讓Femto Cell接入點(diǎn)發(fā)送鑒權(quán)消息,而所述鑒權(quán) 消息中攜帶了之前記錄的RAND和AUTHR,則網(wǎng)絡(luò)側(cè)通過驗(yàn)證�,發(fā)現(xiàn)AUTHR值是正確的,因此生成對(duì)應(yīng)的信令和話音密鑰��,并發(fā)送給Femto Cell接入點(diǎn)�。 由于所述信令和話音密鑰與之前的值相同,因此Femto Cell接入點(diǎn)利用得到的 所述密鑰對(duì)之前保存的通信數(shù)據(jù)包進(jìn)行解密,從而獲知之前的通信內(nèi)容�。如果 MS通信的內(nèi)容是機(jī)密或非常敏感的事件,這對(duì)于用戶和通信對(duì)方都十分不利����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供基于家庭基站網(wǎng)絡(luò)的對(duì)終端進(jìn)行鑒權(quán)的方法、設(shè)備及系 統(tǒng)�,避免了攻擊者利用FemtoCell接入點(diǎn)實(shí)施對(duì)鑒權(quán)的攻擊,從而避免了攻擊 者獲得相應(yīng)的通信內(nèi)容�。
本發(fā)明實(shí)施例提供基于家庭基站網(wǎng)絡(luò)的對(duì)終端進(jìn)行鑒權(quán)的方法,包括生 成隨機(jī)數(shù)���;通過家庭基站接入點(diǎn)將所述隨機(jī)數(shù)發(fā)送至終端�����;接收所述終端發(fā)送 的攜帶鑒權(quán)響應(yīng)參數(shù)和所述隨機(jī)數(shù)的請(qǐng)求����;當(dāng)檢查所述請(qǐng)求攜帶的隨機(jī)數(shù)與上 述發(fā)送至所述終端的所述隨機(jī)數(shù)一致時(shí)�,發(fā)送鑒權(quán)請(qǐng)求消息至位置寄存器或認(rèn) 證中心,計(jì)算所述鑒權(quán)響應(yīng)參數(shù)��,比較與收到的所述鑒權(quán)請(qǐng)求消息攜帶的鑒權(quán) 響應(yīng)參數(shù)相同時(shí)�,鑒權(quán)成功����。
本發(fā)明實(shí)施例還提供一種家庭基站網(wǎng)絡(luò)設(shè)備��,包括生成單元��,用于生成 隨機(jī)數(shù)�����;第一發(fā)送單元�����,用于通過家庭基站接入點(diǎn)將所述隨機(jī)數(shù)發(fā)送至終端�����; 接收單元����,接收所述終端發(fā)送的攜帶鑒權(quán)響應(yīng)參數(shù)和所述隨機(jī)數(shù)的請(qǐng)求����;檢查 單元����,用于檢查所述請(qǐng)求攜帶的隨機(jī)數(shù)與上述發(fā)送至家庭基站接入點(diǎn)的所述隨 機(jī)數(shù)相同時(shí)�,通知第二發(fā)送單元;第二發(fā)送單元����,用于發(fā)送鑒權(quán)請(qǐng)求至所述位 置寄存器或認(rèn)證中心。
本發(fā)明實(shí)施例還提供基于家庭基站網(wǎng)絡(luò)的對(duì)終端進(jìn)行鑒權(quán)的系統(tǒng)�,包括 生成隨機(jī)數(shù)的實(shí)體、終端�����、家庭基站接入點(diǎn)����、歸屬位置寄存器或認(rèn)證中心;所 述生成隨機(jī)數(shù)的實(shí)體�,用于生成所述隨機(jī)數(shù),發(fā)送所述隨機(jī)數(shù)至家庭基站接入 點(diǎn)�;所述家庭基站接入點(diǎn),用于廣播所述隨機(jī)數(shù)至所述終端����;所述終端�,用于 發(fā)送攜帶鑒權(quán)響應(yīng)參數(shù)和所述隨機(jī)數(shù)的請(qǐng)求��;所述生成隨機(jī)數(shù)的實(shí)體�����,接收所 述請(qǐng)求���;檢查所述請(qǐng)求攜帶的隨機(jī)數(shù)與上述發(fā)送至家庭基站接入點(diǎn)的所述隨機(jī) 數(shù)是否相同,如果是��,則發(fā)送鑒權(quán)請(qǐng)求至所述位置寄存器或認(rèn)證中心�;所述位 置寄存器或認(rèn)證中心,用于用于計(jì)算所述鑒權(quán)響應(yīng)參數(shù)��,比較與收到的所述鑒 權(quán)請(qǐng)求消息攜帶的鑒權(quán)響應(yīng)參數(shù)相同時(shí)�,鑒權(quán)成功。
7以上技術(shù)方案���,終端鑒權(quán)所需要的隨機(jī)數(shù)由安全上有保證的網(wǎng)絡(luò)側(cè)實(shí)體生
成�����,所述網(wǎng)絡(luò)側(cè)實(shí)體發(fā)送所述隨機(jī)數(shù)至FemtoCell接入點(diǎn)��,網(wǎng)絡(luò)側(cè)實(shí)體檢查業(yè) 務(wù)請(qǐng)求信息攜帶的隨機(jī)數(shù)與發(fā)送的隨機(jī)數(shù)是否相同�����,相同則啟動(dòng)終端接入流 程�。由于所述隨機(jī)數(shù)不是由FemtoCell接入點(diǎn)生成,在安全上有了保證����,避免 了攻擊者利用Femto Cell接入點(diǎn)實(shí)施對(duì)鑒權(quán)的攻擊,從而避免了攻擊者獲得相 應(yīng)的通信內(nèi)容�。
圖1是Femto Cell網(wǎng)絡(luò)的結(jié)構(gòu)圖2是現(xiàn)有技術(shù)中CDMA2000 lx電路域的鑒權(quán)流程圖; 圖3是基于本發(fā)明第一實(shí)施例方法流程圖�; 圖4是基于本發(fā)明第二實(shí)施例方法流程圖��; 圖5是基于本發(fā)明第三實(shí)施例方法流程圖�����; 圖6是基于本發(fā)明第四實(shí)施例方法流程圖�����; 圖7是基于本發(fā)明第五實(shí)施例方法流程圖�; 圖8a�����、圖8b是基于本發(fā)明實(shí)施例鑒權(quán)接入設(shè)備示意圖; 圖9是本發(fā)明實(shí)施例網(wǎng)絡(luò)終端鑒權(quán)接入系統(tǒng)結(jié)構(gòu)圖����; 圖IO是基于本發(fā)明系統(tǒng)第一實(shí)施例結(jié)構(gòu)圖; 圖ll是基于本發(fā)明系統(tǒng)第二實(shí)施例結(jié)構(gòu)圖�; 圖12是基于本發(fā)明系統(tǒng)第三實(shí)施例結(jié)構(gòu)圖; 圖13是基于本發(fā)明系統(tǒng)第四實(shí)施例結(jié)構(gòu)圖��。
具體實(shí)施例方式
首先對(duì)本發(fā)明實(shí)施例實(shí)現(xiàn)基于家庭基站網(wǎng)絡(luò)的對(duì)終端進(jìn)行鑒權(quán)的方法進(jìn) 4亍說明�����,包括
生成隨機(jī)數(shù)����;通過家庭基站接入點(diǎn)將所述隨機(jī)數(shù)發(fā)送至終端�;接收所述終 端發(fā)送的攜帶鑒權(quán)響應(yīng)參數(shù)和所述隨機(jī)數(shù)的請(qǐng)求;當(dāng)4企查所述請(qǐng)求攜帶的隨機(jī) 數(shù)與上述發(fā)送至所述終端的所述隨機(jī)數(shù)一致時(shí)�����,發(fā)送鑒權(quán)請(qǐng)求消息至位置寄存 器或認(rèn)證中心��,計(jì)算所述鑒權(quán)響應(yīng)參數(shù),比較與收到的所述鑒權(quán)請(qǐng)求消息攜帶 的鑒4又響應(yīng)參H相同時(shí)���,鑒^又成功�。
8下面結(jié)合附圖��,對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)描述����。
實(shí)施例一
參見圖3,基于本發(fā)明第一實(shí)施例方法流程圖�。
本實(shí)施例的網(wǎng)絡(luò)結(jié)構(gòu)中Femto Cell接入點(diǎn)對(duì)外的接口為BSC與MSC接口 , 即Al/Alp接口 �����,終端為MS�����。本實(shí)施例中���,所述隨機(jī)數(shù)RAND由Femto Cell 安全網(wǎng)關(guān)生成�,該方法需要對(duì)因特網(wǎng)密鑰交換消息(IKE,Internet Key Exchange)進(jìn)行擴(kuò)展���。
101���、 為了保證Femto Cell接入點(diǎn)和Femto Cell安全網(wǎng)關(guān)所傳遞的Femto網(wǎng) 絡(luò)的信令和用戶數(shù)據(jù)的安全性,F(xiàn)emto Cell接入點(diǎn)首先與Femto Cell安全網(wǎng)關(guān) 通過IKE協(xié)議協(xié)商IPsec安全關(guān)聯(lián)(SA���, Security Association)��,并使用所述 SA對(duì)信令和用戶數(shù)據(jù)進(jìn)行保護(hù)���。
102、 Femto Cell接入點(diǎn)通過IKE消息向Femto Cell安全網(wǎng)關(guān)請(qǐng)求隨機(jī)數(shù) RAND���。
103、 Femto Cell安全網(wǎng)關(guān)生成RAND,并通過IKE消息將所述RAND, 以及所述RAND的生命期發(fā)送至所述Femto Cell接入點(diǎn)�����。
104�、 Femto Cell接入點(diǎn)廣播所述RAND至所述MS。
105�����、 所述MS發(fā)送CDMA2000 lx電路域的起呼消息至所述Femto Cell 接入點(diǎn),所述起呼消息包含所述RAND�����,以及根據(jù)所述RAND����、 MS的設(shè)備標(biāo) 識(shí)、身份標(biāo)識(shí)計(jì)算出的所述AUTHR���。
106 ��、 Femto Cell接入點(diǎn)收到所述起呼消息�����,向MSC發(fā)起業(yè)務(wù)請(qǐng)求消息����, 所述業(yè)務(wù)請(qǐng)求消息中攜帶所述RAND和AUTHR;所述業(yè)務(wù)請(qǐng)求消息在Femto Cell 4妄入點(diǎn)和Femto Cell安全網(wǎng)關(guān)所建立的IPsec安全隧道內(nèi)傳遞�。
107、 Femto Cell安全網(wǎng)關(guān)接收所述業(yè)務(wù)請(qǐng)求消息�����,檢查該消息中攜帶的所 述RAND與步驟103中發(fā)送給所述Femto Cell接入點(diǎn)的RAND是否相同,如 果是��,進(jìn)入步驟108,否則丟棄該業(yè)務(wù)請(qǐng)求消息�。
108、 Femto Cell安全網(wǎng)關(guān)發(fā)送所述業(yè)務(wù)請(qǐng)求消息至所述MSC��。
109 ����、所述MSC檢查所述業(yè)務(wù)請(qǐng)求消息中是否含有所述RAND和AUTHR, 如果含有,則發(fā)送鑒權(quán)請(qǐng)求消息至HLR/AC��。
110����、所述HLR/AC根據(jù)得到的鑒權(quán)請(qǐng)求,查詢對(duì)應(yīng)MS的共享密鑰�����,計(jì)算網(wǎng)絡(luò)側(cè)的AUTHR,判斷與收到的AUTHR是否相同����,如果相同,則鑒權(quán)通過�����, 繼續(xù)計(jì)算空口所需的密鑰����,即SMEKEY和PLCM,發(fā)送含有所述密鑰的鑒權(quán) 應(yīng)答消息至MSC。
111�����、 所述MSC收到所述鑒權(quán)應(yīng)答消息后�����,發(fā)送含有所述SMEKEY和 PLCM的指派消息至接入點(diǎn)����,其間通過Femto Cell安全網(wǎng)關(guān)轉(zhuǎn)發(fā),指示所述 Femto Cell接入點(diǎn)為MS分配空口資源�����。
112���、 所述Femto Cell安全網(wǎng)關(guān)轉(zhuǎn)發(fā)所述指派消息至所述Femto Cell接入點(diǎn)���。
113����、 所述Femto Cell接入點(diǎn)保存所述指派消息中的SMEKEY和PLCM, 發(fā)送所述指派消息至所述MS,為所述MS分配空口資源�����。
本實(shí)施例中的所述IKE消息優(yōu)選IKE的信息交換消息����,當(dāng)然也可以選擇 其他類型的IKE消息來實(shí)現(xiàn)本方法。
本實(shí)施例中步驟103中Femto Cell安全網(wǎng)關(guān)發(fā)送RAND的生命期至所述 Femto Cell接入點(diǎn)�����,可以改為Femto Cell安全網(wǎng)關(guān)周期性發(fā)送RAND至所述 FemtoCell接入點(diǎn)�,兩者效果是一樣的,即RAND具有時(shí)效性���,僅在一定時(shí)間 段內(nèi)有效��。這樣有效保證了終端接入的安全性�����,避免了惡意攻擊者中間竊取 RAND,鑒權(quán)通過接入網(wǎng)絡(luò)���。
實(shí)施例二
參見圖4,基于本發(fā)明第二實(shí)施例方法流程圖��。
實(shí)施例二是實(shí)施例一中的步驟107檢查所述RAND不相同時(shí)的處理流程�, 其中步驟201 -206與實(shí)施例一中步驟101-106相同,在此不再贅述�����,^又?jǐn)⑹?后續(xù)處理流程���,如下
207���、 所述Femto Cell安全網(wǎng)關(guān)通過所述IKE消息發(fā)送更新后的RAND至 所述Femto Cell接入點(diǎn)。
208���、 所述Femto Cell接入點(diǎn)收到所述RAND后��,廣播給所述MS�。 MS 可以重新發(fā)送起呼消息,使用更新后的所述RAND�。其工作流程與實(shí)施例一的 流程相同。
本實(shí)施例中的所述IKE消息優(yōu)選IKE的信息交換消息��,當(dāng)然也可以選擇 其他類型的IKE消息來實(shí)現(xiàn)本方法����。實(shí)施例三
參見圖5,基于本發(fā)明第三實(shí)施例方法流程圖。
與實(shí)施例一相同�����,本實(shí)施例的網(wǎng)絡(luò)結(jié)構(gòu)中FemtoCell接入點(diǎn)對(duì)外的接口為 BSC與MSC接口��,即A1/Alp接口��,終端為所述MS���。與實(shí)施例一不同的是�, 本實(shí)施例中�����,所述隨機(jī)數(shù)RAND由MSC生成���,該方法需要對(duì)Al/Alp進(jìn)行擴(kuò) 展�����。
步驟301與實(shí)施例一的步驟101相同�����,在此不再贅述�����。
302�、 Femto Cell接入點(diǎn)通過Al/Alp消息向MSC請(qǐng)求隨機(jī)數(shù)RAND,所述 Al/Alp消息中攜帶了Femto Cell接入點(diǎn)的標(biāo)識(shí)符(FAP ID�����,F(xiàn)emto Access Point Identifier)����。
303、 所述MSC生成RAND,并通過A1/Alp消息將所述RAND,以及該 RAND的生命期發(fā)送給所述Femto Cell接入點(diǎn)�。
步驟304-305與實(shí)施例一的步驟104- 105相同,在此不再贅述��。
306、 FemtoCell接入點(diǎn)收到所述起呼消息���,向MSC發(fā)起業(yè)務(wù)請(qǐng)求消息�,所 述業(yè)務(wù)請(qǐng)求消息中攜帶所述RAND����、 AUTHR和FAP ID;所述業(yè)務(wù)請(qǐng)求消息在 Femto Cell接入點(diǎn)和Femto Cell安全網(wǎng)關(guān)所建立的IPsec安全隧道內(nèi)傳遞。
307�����、 Femto Cell安全網(wǎng)關(guān)發(fā)送所述業(yè)務(wù)請(qǐng)求消息至所述MSC���。
308�、 MSC收到業(yè)務(wù)請(qǐng)求消息�����,發(fā)現(xiàn)消息中包含有RAND��、 AUHTR���, FAP ID,因此檢查所述RAND與與步驟103中向該Femto Cell接入點(diǎn)發(fā)送的RAND是 否相同���,如果是����,則繼續(xù)執(zhí)行����,否則丟棄該該業(yè)務(wù)請(qǐng)求消息���。
309����、 MSC向HLR/AC發(fā)送認(rèn)證請(qǐng)求消息���。
步驟310-313與實(shí)施例一的步驟110- 113相同�����,在此不再贅述�。 本實(shí)施例中所述Al/Alp消息中可以不攜帶所述FAP ID�����,添加了所述FAP
ID,能使MSC更有效識(shí)別接入點(diǎn),因?yàn)樗鯩SC為每個(gè)接入點(diǎn)生成的隨機(jī)
數(shù)不同�。
實(shí)施例四
參見圖6,基于本發(fā)明第四實(shí)施例方法流程圖。
與實(shí)施例一不同��,本實(shí)施例的網(wǎng)絡(luò)結(jié)構(gòu)中Femto Cell接入點(diǎn)作為IP多媒 體子系統(tǒng)(IMS,IP Multimedia Subsystem)網(wǎng)絡(luò)的一個(gè)客戶端��,對(duì)外的接口使用會(huì)
l話初始協(xié)議(SIP,Session Initiation Protocol)信令�����,網(wǎng)絡(luò)中增加了信令轉(zhuǎn)換實(shí) 體��,完成所述CDMA2000 lx的移動(dòng)應(yīng)用部分(MAP, Mobile Application Part) 信令和SIP信令的轉(zhuǎn)換����。與實(shí)施例一相同的是,本實(shí)施例中����,終端為所述MS; 所述隨機(jī)數(shù)RAND由Femto Cell安全網(wǎng)關(guān)生成。
步驟401與實(shí)施例一的步驟101相同�����,在此不再贅述。
402��、 Femto Cell接入點(diǎn)作為IMS客戶端接入IMS網(wǎng)絡(luò)��,即IMS注冊(cè)過程�����。 Femto Cell接入點(diǎn)注冊(cè)到服務(wù)呼叫會(huì)話控制功能(S-CSCF,Serving Call Session Control Function)��。
403����、 Femto Cell接入點(diǎn)通過IKE消息向Femto Cell安全網(wǎng)關(guān)請(qǐng)求隨機(jī)數(shù) RAND��。
404���、 Femto Cell安全網(wǎng)關(guān)生成RAND,并通過IKE消息將所述RAND,以 及所述RAND的生命期發(fā)送至所述Femto Cell接入點(diǎn)��。
405 ��、 Femto Cel討妄入點(diǎn)廣^番所述RAND至所述MS���。
406、 所述MS發(fā)送CDMA2000 lx電路域的起呼消息至所述Femto Cell接入 點(diǎn),所述起呼消息包含所述RAND,以及根據(jù)所述RAND��、 MS的設(shè)備標(biāo)識(shí)��、身 份標(biāo)識(shí)計(jì)算出的所述AUTHR����。
407、 Femto Cell接入點(diǎn)將所述起呼消息轉(zhuǎn)換成SIP消息����,發(fā)送所述SIP消息 至IMS網(wǎng)絡(luò),所述SIP消息在Femto Cell接入點(diǎn)和Femto Cell安全網(wǎng)關(guān)所建立的 IPsec安全隧道內(nèi)傳遞���。
408����、 FemtoCell安全網(wǎng)關(guān)解密收到的SIP消息���,檢查所述SIP消息的RAND 與步驟4中發(fā)送至Femto Cell接入點(diǎn)的RAND是否相同���,如果是,則執(zhí)行步驟 409��,否則丟棄該消息。
409����、 Femto Cell安全網(wǎng)關(guān)轉(zhuǎn)發(fā)所述SIP消息,被路由到所述信令轉(zhuǎn)換實(shí)體�。
410、 所述信令轉(zhuǎn)換實(shí)體將接收的SIP消息轉(zhuǎn)換為CDMA2000 lx的MAP信 令���,所述信令中包含RAND和AUTHR��,信令轉(zhuǎn)換實(shí)體發(fā)送鑒權(quán)請(qǐng)求消息至所 述HLR/AC����。
411����、 所述HLR/AC根據(jù)得到的鑒權(quán)請(qǐng)求消息��,查詢對(duì)應(yīng)MS的共享密鑰�, 計(jì)算網(wǎng)絡(luò)側(cè)的AUTHR,判斷與收到的AUTHR是否相同�����,如果相同,則鑒權(quán)通 過�����,繼續(xù)計(jì)算空口所需的密鑰��,即SMEKEY和PLCM,發(fā)送含有所述密鑰的鑒權(quán)應(yīng)答消息至所述信令轉(zhuǎn)換實(shí)體����。
412、 所述信令轉(zhuǎn)換實(shí)體收到所述鑒權(quán)應(yīng)答消息后����,發(fā)送含有所述SMEKEY 和PLCM的SIP消息至接入點(diǎn),其間由安全網(wǎng)關(guān)轉(zhuǎn)發(fā)�,指示所述FemtoCell接入 點(diǎn)為MS分配空口資源。
413����、 所述Femto Cell安全網(wǎng)關(guān)轉(zhuǎn)發(fā)所述SIP信令至所述Femto Cell。
414��、 Femto Cell接入點(diǎn)保存所述SIP信令中的SMEKEY和PLCM,發(fā)送所 述SIP信令至所述MS�����,為所述MS分配空口資源。
本實(shí)施例中的所述IKE消息優(yōu)選IKE的信息交換消息����,當(dāng)然也可以選擇 其他類型的IKE消息來實(shí)現(xiàn)本方法。 實(shí)施例五
參見圖7,基于本發(fā)明第五實(shí)施例方法流程圖�����。
本實(shí)施例與實(shí)施例四具有相同的網(wǎng)絡(luò)結(jié)構(gòu)���,即Femto Cell接入點(diǎn)作為IMS 網(wǎng)絡(luò)的一個(gè)客戶端�,對(duì)外的接口使用SIP信令�,網(wǎng)絡(luò)中增加了信令轉(zhuǎn)換實(shí)體, 完成所述CDMA2000 lx的MAP信令和SIP信令的轉(zhuǎn)換���;終端為所述MS����。與 實(shí)施例四不同的是�,本實(shí)施例中����,所述隨機(jī)數(shù)RAND由所述信令轉(zhuǎn)換實(shí)體生 成����。
步驟501 - 502與實(shí)施例四的步驟401 _ 402相同��,在此不再贅述�����。
503���、 所述Femto Cell接入點(diǎn)通過SIP消息向信令轉(zhuǎn)換實(shí)體請(qǐng)求隨機(jī)數(shù) RAND�。
504��、 所述信令轉(zhuǎn)換實(shí)體生成RAND�����,并通過SIP信息將所述RAND,以 及所述RAND的生命期發(fā)送至所述Femto Cell接入點(diǎn)���。
步驟505 - 507與實(shí)施例四的405 - 407相同�����,在此不再贅述��。
508��、 Femto Cell安全網(wǎng)關(guān)解密收到的SIP消息����,轉(zhuǎn)發(fā)所述SIP消息,所述SIP 消息被;洛由到信令轉(zhuǎn)換實(shí)體���。
509�、 所述信令轉(zhuǎn)換實(shí)體檢查所述SIP信息中的RAND是否是步驟4中發(fā)送 至FemtoCell接入點(diǎn)的RAND是否相同����,如果是,則執(zhí)行步驟510,否則丟棄該
^f呂息��。
步驟510 - 514與實(shí)施例四中的步驟410 - 414相同��,在此不再贅述��。 需要說明的是����,實(shí)施例三至實(shí)施例五所述的方法,當(dāng)鑒權(quán)失敗時(shí),與實(shí)施
13例二的后續(xù)處理流程類似�,即發(fā)送更新后的RAND�,終端根據(jù)新的RAND重 新發(fā)送起呼消息。
需要說明的是�,實(shí)施例一至實(shí)施例五,發(fā)送隨機(jī)數(shù)的生命期至所述Femto Cell接入點(diǎn)���,即隨機(jī)數(shù)具有時(shí)效性���,僅在一段時(shí)間內(nèi)有效,這樣保證了終端 接入的安全性�;也可以周期性發(fā)送RAND至所述FemtoCell接入點(diǎn),兩者效 果是一樣的�,即RAND具有時(shí)效性,僅在一定時(shí)間段內(nèi)有效��。這樣有效保證 了終端接入的安全性���,避免了惡意攻擊者中間竊取RAND,鑒權(quán)通過接入網(wǎng) 絡(luò)�。生成隨機(jī)數(shù)的實(shí)體發(fā)送所述隨機(jī)數(shù)可以為所述Femto Cell接入點(diǎn)先請(qǐng)求 再發(fā)送�,所述Femto Cell接入點(diǎn)的請(qǐng)求中還可以包含F(xiàn)AP ID;也可以為主動(dòng) 發(fā)送至所述Femto Cell接入點(diǎn)。
本發(fā)明實(shí)施例提供一種Femto Cell網(wǎng)絡(luò)終端接入設(shè)備�����,參見圖8a,本發(fā)明 實(shí)施例鑒權(quán)接入設(shè)備示意圖���。
生成單元801�����,用于生成終端鑒權(quán)所需要的具有時(shí)效性的RAND; 第一發(fā)送單元802,發(fā)送所述RAND及所述RAND的生命期至Femto Cell 接入點(diǎn)���,所述Femto Cell接入點(diǎn)廣播所述RAND至所述終端;所述終端可以 為移動(dòng)臺(tái)�����,也可以為接入終端�����。所述Femto Cell接入點(diǎn)首先向所述第一發(fā)送單 元802請(qǐng)求所述RAND�。
接收單元803 ,接收所述終端發(fā)送的攜帶鑒權(quán)響應(yīng)參數(shù)和所述RAND的 業(yè)務(wù)請(qǐng)求信息�;
檢查單元804,檢查所述業(yè)務(wù)請(qǐng)求信息攜帶的RAND與上述發(fā)送至Femto Cell接入點(diǎn)的所述RAND是否相同����,如果是���,則鑒權(quán)通過;
第二發(fā)送單元805,發(fā)送所述業(yè)務(wù)請(qǐng)求信息至所述位置寄存器或認(rèn)證中心�。
當(dāng)所述檢查單元804檢查所述業(yè)務(wù)請(qǐng)求信息攜帶的RAND與上述發(fā)送至 Femto Cell接入點(diǎn)的所述RAND不同時(shí)�,所述設(shè)備還包括圖8b中的丟棄單元 806,用于丟棄所述業(yè)務(wù)請(qǐng)求信息。這樣就避免了攻擊者接入Femto Cell網(wǎng)絡(luò)����, 竊耳又通信內(nèi)容。
本發(fā)明還提供了一種Femto網(wǎng)絡(luò)終端接入系統(tǒng)�。參見圖9,本發(fā)明實(shí)施 例網(wǎng)絡(luò)終端接入系統(tǒng)結(jié)構(gòu)圖��。包括生成隨機(jī)數(shù)的實(shí)體901���、歸屬位置寄存器/
14認(rèn)證中心HLR/AC902�、 Femto Cell接入點(diǎn)903 ����、終端904。
Femto Cell接入點(diǎn)903,向生成RAND的實(shí)體901請(qǐng)求RAND;
所述生成隨機(jī)數(shù)的實(shí)體901,生成所述RAND,發(fā)送所述RAND及所述 RAND的生命期至Femto Cell接入點(diǎn)903;
所述Femto Cell接入點(diǎn)903 ��,廣播所述RAND至所述終端904;
所述終端904,發(fā)送攜帶鑒權(quán)響應(yīng)參數(shù)和所述RAND的業(yè)務(wù)請(qǐng)求信息至 所述生成隨機(jī)數(shù)的實(shí)體901;
所述生成隨機(jī)數(shù)的實(shí)體901,檢查所述業(yè)務(wù)請(qǐng)求信息攜帶的RAND與上 述發(fā)送至Femto Cell接入點(diǎn)的所述RAND是否相同�����;如果是���,則鑒權(quán)通過�����, 發(fā)送所述業(yè)務(wù)請(qǐng)求信息至所述位置寄存器或認(rèn)證中心902;
所述位置寄存器或認(rèn)證中心902���,啟動(dòng)所述終端接入流程。
本發(fā)明提供一種Femto網(wǎng)絡(luò)終端接入系統(tǒng)���,根據(jù)生成隨機(jī)數(shù)的實(shí)體不同 分為三個(gè)實(shí)施例�,即所述RAND由Femto Cell安全網(wǎng)關(guān)生成����、MSC生成或信 令轉(zhuǎn)換實(shí)體生成。
系統(tǒng)第一實(shí)施例
Femto Cell安全網(wǎng)關(guān)生成所述RAND,系統(tǒng)還包括MSC�。參見圖10,基 于本發(fā)明系統(tǒng)第一實(shí)施例結(jié)構(gòu)圖。包括Femto Cell安全網(wǎng)關(guān)1001�����、 MS1002、 Femto Cell接入點(diǎn)1003�、 HLR/AC1004、 MSC 1005���。
Femto Cell接入點(diǎn)1003,向Femto Cell安全網(wǎng)關(guān)1001請(qǐng)求RAND;
所述Femto Cell安全網(wǎng)關(guān)1001,生成所述RAND,發(fā)送所述RAND及所 述RAND的生命期至Femto Cell接入點(diǎn)1003;
所述Femto Cell接入點(diǎn)1003,廣播所述RAND至所述MS 1002;
所述MS1002,發(fā)送攜帶鑒權(quán)響應(yīng)參數(shù)和所述RAND的業(yè)務(wù)請(qǐng)求信息至 Femto Cell安全網(wǎng)關(guān)1001;
所述安全網(wǎng)關(guān)1001,檢查所述業(yè)務(wù)請(qǐng)求信息攜帶的RAND與上述發(fā)送至 Femto Cell接入點(diǎn)1003的所述RAND是否相同����;如果是�����,則鑒權(quán)通過���,發(fā)送 所述業(yè)務(wù)請(qǐng)求信息至所述HLR/AC1004;
所述HLR/AC1004,啟動(dòng)所述終端接入流程。
上述系統(tǒng)中�,所述Femto Cell接入點(diǎn)對(duì)外接口為BSC與MSC接口 。系統(tǒng)第二實(shí)施例
與系統(tǒng)第一實(shí)施例不同的是���,MSC生成所述隨機(jī)數(shù)����。參見圖11,基于本 發(fā)明系統(tǒng)第二實(shí)施例結(jié)構(gòu)圖���。包括Femto Cell安全網(wǎng)關(guān)1101 �、 MS 1102�、 Femto Cell接入點(diǎn)1103、 HLR/AC1104�����、 MSC1105�����。
與系統(tǒng)實(shí)施例一的各部分功能相同��,在此不再贅述��;不同的是由MSC生 成所述隨機(jī)數(shù)����,所以最后由MSC來檢查RAND是否與原來發(fā)送出去的相同。
系統(tǒng)第三實(shí)施例
本實(shí)施例中���,F(xiàn)emto Cell々妾入點(diǎn)作為IMS網(wǎng)絡(luò)的一個(gè)客戶端��,F(xiàn)emto Cell 安全網(wǎng)關(guān)生成隨機(jī)數(shù)��。參見圖12,基于本發(fā)明系統(tǒng)第三實(shí)施例結(jié)構(gòu)圖�。包括 Femto Cell安全網(wǎng)關(guān)1201、 MS 1202�、 Femto Cell接入點(diǎn)1203、信令轉(zhuǎn)換實(shí)體 1204�����、 HLR/AC1205�����、 S-CSCF1206��。
Femto Cell接入點(diǎn)1203作為IMS的客戶端���,接入IMS網(wǎng)絡(luò),首先要注冊(cè) 到S-CSCF1206����。
Femto Cell接入點(diǎn)1203 ,向Femto Cell安全網(wǎng)關(guān)1201請(qǐng)求RAND����。 所述Femto Cell安全網(wǎng)關(guān)1201,生成所述RAND,發(fā)送所述RAND及所 述RAND的生命期至Femto Cell接入點(diǎn)1203��。
Femto Cell接入點(diǎn)1203發(fā)送所述RAND至所述MS1202�����。
所述MS1202發(fā)送尋呼響應(yīng)至所述Femto Cell接入點(diǎn)1203�����,所述Femto Cell 才妄入點(diǎn)1203轉(zhuǎn)換所述尋呼響應(yīng)為SIP消息����,發(fā)送至Femto Cell安全網(wǎng)關(guān)1201�����。
所述Femto Cell安全網(wǎng)關(guān)1201檢查所述SIP消息中攜帶的RAND是否與 發(fā)送至Femto Cell接入點(diǎn)1203的相同��,如果是�����,F(xiàn)emto Cell安全網(wǎng)關(guān)1201 轉(zhuǎn)發(fā)所述SIP消息,所述SIP消息被路由到所述信令轉(zhuǎn)換實(shí)體1204���。
所述信令轉(zhuǎn)換實(shí)體1204向所述HLR/AC1205發(fā)送鑒權(quán)請(qǐng)求消息����。
所述HLR/AC1205檢查所述鑒權(quán)請(qǐng)求消息中攜帶的鑒權(quán)響應(yīng)參數(shù)是否正 確��,如果是�,則發(fā)送鑒權(quán)應(yīng)答消息至所述信令轉(zhuǎn)換實(shí)體1204。
所述信令轉(zhuǎn)換實(shí)體1204通過所述Femto Cell安全網(wǎng)關(guān)1201向所述Femto Cell接入點(diǎn)1203發(fā)送SIP消息��,指示Femto Cell接入點(diǎn)1203為MS分配空 口資源��。所述信令轉(zhuǎn)換實(shí)體可以與所述歸屬位置寄存器集成在一起����。
系統(tǒng)第四實(shí)施例
16本實(shí)施例與系統(tǒng)實(shí)施例三不同的是由信令轉(zhuǎn)換實(shí)體生成隨機(jī)數(shù)。參見圖
13,基于本發(fā)明系統(tǒng)第四實(shí)施例結(jié)構(gòu)圖�����。包括Femto Cell安全網(wǎng)關(guān)1301�����、 MS 1302����、 Femto Cell接入點(diǎn)1303 、信令轉(zhuǎn)換實(shí)體1304�����、 HLR/AC1305 ����、 S-CSCF1306。
本實(shí)施例中由信令轉(zhuǎn)換實(shí)體1304生成所述隨機(jī)數(shù)����,所以由所述信令轉(zhuǎn)換 實(shí)體1304來檢查SIP消息中的隨機(jī)數(shù)與發(fā)送至Femto Cell接入點(diǎn)1303的隨 機(jī)數(shù)是否相同,其他各部分與實(shí)施例三相同����,在此不再贅述。
驟是可以通過程序來指令相關(guān)的硬件來完成����,所述的程序可以存儲(chǔ)于計(jì)算機(jī) 可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí)���,可以包括前述的通信方法各個(gè)實(shí)施方 式的內(nèi)容�。這里所稱得的存儲(chǔ)介質(zhì),如ROM/RAM��、磁碟���、光盤等��。
綜上所述��,本發(fā)明實(shí)施例所提供的基于家庭基站網(wǎng)絡(luò)的對(duì)終端進(jìn)行鑒權(quán)的 方法���,終端鑒權(quán)所需要的隨機(jī)數(shù)由安全上有保證的網(wǎng)絡(luò)側(cè)實(shí)體生成,所述網(wǎng)絡(luò) 側(cè)實(shí)體發(fā)送所述隨機(jī)數(shù)至Femto Cell接入點(diǎn)���,網(wǎng)絡(luò)側(cè)實(shí)體檢查業(yè)務(wù)請(qǐng)求信息攜 帶的隨機(jī)數(shù)與發(fā)送的隨機(jī)數(shù)是否相同��,相同則啟動(dòng)終端接入流程����。由于所述隨 才幾數(shù)不是由Femto Cell接入點(diǎn)生成����,從而安全上有了保證,避免了攻擊者利用 Femto Cell接入點(diǎn)實(shí)施對(duì)鑒權(quán)的攻擊���,從而避免了攻擊者獲得相應(yīng)的通信內(nèi)容����。 本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟 是可以通過程序來指令相關(guān)的硬件來完成�,所述的程序可以存儲(chǔ)于一計(jì)算機(jī)可 讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí)�,包括如下步驟生成隨機(jī)數(shù);通過家庭基 站接入點(diǎn)將所述隨機(jī)數(shù)發(fā)送至終端��;接收所述終端發(fā)送的攜帶鑒權(quán)響應(yīng)參數(shù)和 所述隨機(jī)數(shù)的請(qǐng)求�����;當(dāng)檢查所述請(qǐng)求攜帶的隨機(jī)數(shù)與上述發(fā)送至所述終端的所 述隨機(jī)數(shù)一致時(shí)��,發(fā)送鑒權(quán)請(qǐng)求消息至位置寄存器或認(rèn)證中心����,計(jì)算所述鑒權(quán) 響應(yīng)參數(shù),比較與收到的所述鑒權(quán)請(qǐng)求消息攜帶的鑒權(quán)響應(yīng)參數(shù)相同時(shí)�,鑒權(quán) 成功。
1權(quán)利要求
1�����、基于家庭基站網(wǎng)絡(luò)的對(duì)終端進(jìn)行鑒權(quán)的方法,其特征在于���,包括生成隨機(jī)數(shù)�;通過家庭基站接入點(diǎn)將所述隨機(jī)數(shù)發(fā)送至終端�����;接收所述終端發(fā)送的攜帶鑒權(quán)響應(yīng)參數(shù)和所述隨機(jī)數(shù)的請(qǐng)求�����;當(dāng)檢查所述請(qǐng)求攜帶的隨機(jī)數(shù)與上述發(fā)送至所述終端的所述隨機(jī)數(shù)一致時(shí)��,發(fā)送鑒權(quán)請(qǐng)求消息至位置寄存器或認(rèn)證中心�����,計(jì)算所述鑒權(quán)響應(yīng)參數(shù)�,比較與收到的所述鑒權(quán)請(qǐng)求消息攜帶的鑒權(quán)響應(yīng)參數(shù)相同時(shí),鑒權(quán)成功�。
2、 根據(jù)權(quán)利要求1所述的方法�����,其特征在于�����,所述計(jì)算所述鑒權(quán)響應(yīng)參 數(shù)����,比較與收到的所述鑒權(quán)請(qǐng)求消息攜帶的鑒權(quán)響應(yīng)參數(shù)相同時(shí),是由所述位 置寄存器或認(rèn)證中心完成的�����。
3���、 根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,進(jìn)一步包括當(dāng)檢查所述 請(qǐng)求攜帶的隨機(jī)數(shù)與上述發(fā)送至所述終端的所述隨機(jī)數(shù)不相同時(shí)��,丟棄所述請(qǐng) 求��,重新發(fā)送所述隨機(jī)數(shù)至家庭基站接入點(diǎn)�����。
4�、 根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述家庭基站接入點(diǎn)對(duì)外 的接口為基站控制器與移動(dòng)交換中心的接口 ���。
5、 根據(jù)權(quán)利要求4所述的方法�����,其特征在于��,生成所述隨機(jī)數(shù)的實(shí)體為 移動(dòng)交換中心���,所述隨機(jī)數(shù)通過互操作規(guī)范Al或Alp接口消息發(fā)送至所述家 庭基站接入點(diǎn)����。
6�����、 根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述家庭基站接入點(diǎn)作為 IP多媒體子系統(tǒng)網(wǎng)絡(luò)的 一個(gè)客戶端����,對(duì)外接口使用會(huì)話初始協(xié)議消息�����。
7���、 根據(jù)權(quán)利要求4或6所述的方法����,其特征在于��,生成所述隨機(jī)數(shù)的實(shí) 體為家庭基站網(wǎng)絡(luò)安全網(wǎng)關(guān)�,所述隨機(jī)數(shù)通過因特網(wǎng)密鑰交換消息發(fā)送至所述 家庭基站接入點(diǎn)。
8�����、 根據(jù)權(quán)利要求6所述的方法,其特征在于�����,生成所述隨機(jī)數(shù)的實(shí)體為 信令轉(zhuǎn)換實(shí)體���,所述隨機(jī)數(shù)通過會(huì)話初始協(xié)議消息發(fā)送至所述家庭基站接入點(diǎn)��。
9�����、 根據(jù)權(quán)利要求1所述的方法���,其特征在于,還包括發(fā)送所述隨機(jī)數(shù)的 生命期至所述家庭基站接入點(diǎn)�。
10、 根據(jù)權(quán)利要求1所述的方法���,其特征在于����,還包括發(fā)送所述隨機(jī)數(shù)至所述家庭基站接入點(diǎn)或者在收到家庭基站接入點(diǎn)請(qǐng)求后發(fā)送所述隨機(jī)數(shù)。
11��、 根據(jù)權(quán)利要求10所述的方法�,其特征在于,所述家庭基站接入點(diǎn)發(fā) 送的隨機(jī)數(shù)請(qǐng)求包含所述家庭基站接入點(diǎn)的身份標(biāo)識(shí)��。
12�、 一種家庭基站網(wǎng)絡(luò)設(shè)備,其特征在于����,包括 生成單元,用于生成隨機(jī)數(shù)����;第一發(fā)送單元�����,用于通過家庭基站接入點(diǎn)將所述隨機(jī)數(shù)發(fā)送至終端���; 接收單元�,接收所述終端發(fā)送的攜帶鑒權(quán)響應(yīng)參數(shù)和所述隨機(jī)數(shù)的請(qǐng)求�; 檢查單元,用于檢查所述請(qǐng)求攜帶的隨機(jī)數(shù)與上述發(fā)送至家庭基站接入點(diǎn) 的所述隨機(jī)數(shù)相同時(shí),通知第二發(fā)送單元��;第二發(fā)送單元�����,用于發(fā)送鑒權(quán)請(qǐng)求至所述位置寄存器或認(rèn)證中心����。
13、 根據(jù)權(quán)利要求12所述的設(shè)備���,其特征在于�,所述設(shè)備位于所述家庭 基站網(wǎng)絡(luò)安全網(wǎng)關(guān)�、移動(dòng)交換中心或信令轉(zhuǎn)換實(shí)體。
14����、 根據(jù)權(quán)利要求12所述的設(shè)備,其特征在于����,還包括丟棄單元,當(dāng)檢 查所述請(qǐng)求攜帶的隨機(jī)數(shù)與上述發(fā)送至家庭基站接入點(diǎn)的所述隨機(jī)數(shù)不同時(shí)���, 丟棄所述業(yè)務(wù)請(qǐng)求信息�。
15、 基于家庭基站網(wǎng)絡(luò)的對(duì)終端進(jìn)行鑒權(quán)的系統(tǒng)�����,其特征在于����,包括生 成隨機(jī)數(shù)的實(shí)體、終端���、家庭基站接入點(diǎn)����、歸屬位置寄存器或認(rèn)證中心�;所述生成隨機(jī)數(shù)的實(shí)體����,用于生成所述隨機(jī)數(shù),發(fā)送所述隨機(jī)數(shù)至家庭基 站4妄入點(diǎn)����;所述家庭基站接入點(diǎn),用于廣播所述隨機(jī)數(shù)至所述終端; 所述終端����,用于發(fā)送攜帶鑒權(quán)響應(yīng)參數(shù)和所述隨機(jī)數(shù)的請(qǐng)求; 所述生成隨機(jī)數(shù)的實(shí)體�����,接收所述請(qǐng)求�;檢查所述請(qǐng)求攜帶的隨機(jī)數(shù)與上述發(fā)送至家庭基站接入點(diǎn)的所述隨機(jī)數(shù)是否相同,如果是���,則發(fā)送鑒權(quán)請(qǐng)求至所述位置寄存器或認(rèn)證中心�;所述位置寄存器或認(rèn)證中心�����,用于計(jì)算所述鑒權(quán)響應(yīng)參數(shù)�����,比較與收到的所述鑒權(quán)請(qǐng)求消息攜帶的鑒權(quán)響應(yīng)參數(shù)相同時(shí)��,鑒權(quán)成功��。
16、 根據(jù)權(quán)利要求15所述的系統(tǒng)�����,其特征在于����,當(dāng)所述生成隨機(jī)數(shù)的實(shí) 體為家庭基站網(wǎng)絡(luò)安全網(wǎng)關(guān)時(shí),所述系統(tǒng)還包括移動(dòng)交換中心����,用于在所述終 端接入流程中指示所述接入點(diǎn)為終端分配空口資源。
17����、 根據(jù)權(quán)利要求15所述的系統(tǒng),其特征在于��,當(dāng)所述生成隨機(jī)數(shù)的實(shí)體為移動(dòng)交換中心時(shí)����,所述系統(tǒng)還包括家庭基站網(wǎng)絡(luò)安全網(wǎng)關(guān)�����,用于轉(zhuǎn)發(fā)所述 業(yè)務(wù)請(qǐng)求消息至所述移動(dòng)交換中心。
18���、 根據(jù)權(quán)利要求15所述的系統(tǒng)�,其特征在于�,當(dāng)所述生成隨機(jī)數(shù)的實(shí) 體為信令交換實(shí)體時(shí),還包括提供終端注冊(cè)的實(shí)體����,用于為終端提供注冊(cè)到網(wǎng) 絡(luò)的服務(wù)。
全文摘要
本發(fā)明公開了基于家庭基站網(wǎng)絡(luò)的對(duì)終端進(jìn)行鑒權(quán)的方法��、設(shè)備及系統(tǒng)�,包括生成隨機(jī)數(shù);通過家庭基站接入點(diǎn)將所述隨機(jī)數(shù)發(fā)送至終端�����;接收所述終端發(fā)送的攜帶鑒權(quán)響應(yīng)參數(shù)和所述隨機(jī)數(shù)的請(qǐng)求����;檢查所述請(qǐng)求攜帶的隨機(jī)數(shù)與上述發(fā)送至所述終端的所述隨機(jī)數(shù)是否相同,如果是���,發(fā)送鑒權(quán)請(qǐng)求消息至所述位置寄存器或認(rèn)證中心����,啟動(dòng)所述終端鑒權(quán)流程及相應(yīng)的設(shè)備和系統(tǒng)。本發(fā)明中終端鑒權(quán)所需要的隨機(jī)數(shù)由安全上有保證的網(wǎng)絡(luò)側(cè)實(shí)體生成�����,避免了攻擊者利用家庭基站接入點(diǎn)實(shí)施對(duì)鑒權(quán)的攻擊�����,從而避免了攻擊者獲得相應(yīng)的通信內(nèi)容���。
文檔編號(hào)H04W12/06GK101631309SQ20081004080
公開日2010年1月20日 申請(qǐng)日期2008年7月17日 優(yōu)先權(quán)日2008年7月17日
發(fā)明者潔 趙 申請(qǐng)人:上海華為技術(shù)有限公司