JP5977834B2 - ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント - Google Patents

ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント Download PDF

Info

Publication number
JP5977834B2
JP5977834B2 JP2014537471A JP2014537471A JP5977834B2 JP 5977834 B2 JP5977834 B2 JP 5977834B2 JP 2014537471 A JP2014537471 A JP 2014537471A JP 2014537471 A JP2014537471 A JP 2014537471A JP 5977834 B2 JP5977834 B2 JP 5977834B2
Authority
JP
Japan
Prior art keywords
identity information
core network
segw
network element
digital signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2014537471A
Other languages
English (en)
Other versions
JP2014535207A (ja
Inventor
在 峰 宗
在 峰 宗
曉 云 周
曉 云 周
李 朱
李 朱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Publication of JP2014535207A publication Critical patent/JP2014535207A/ja
Application granted granted Critical
Publication of JP5977834B2 publication Critical patent/JP5977834B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ホーム基地局のセキュアアクセス技術に関し、特にホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメントに関する。
スリージーピーピー(3GPP、3rd Generation Partnership Project)により提案される進化型パケットシステム(EPS、Evolved Packet System)は、進化型ユニバーサル地上無線アクセスネットワーク(E−UTRAN、Evolved Universal Terrestrial Radio Access Network)、モビリティ管理エンティティ(MME、Mobility Management Entity)、サービングゲートウェイ(S−GW、Serving Gateway)、パケットデータネットワークゲートウェイ(P−GW又はPDN GW、Packet Data Network Gateway)、ホーム加入者サーバ(HSS、Home Subscriber Server)、及び3GPPの認証認可課金(AAA、Authentication、Authorization and Accounting)サーバからなる。
ホーム基地局は、進化型パケットコア(EPC、Evolved Packet Core)にアクセスする際に、セキュリティを確保するために、進化型パケットコアにおいてセキュリティゲートウェイ(SeGW、Security Gateway)を導入している。ホーム基地局は、コアネットワーク装置と通信する前に、まず、セキュリティゲートウェイとの間においてIPSecトンネルを作成する。ホーム基地局とコアネットワーク装置との間の制御プレーン通信データ及びユーザプレーンデータは、いずれも当該IPSecトンネルにより暗号化される。図1は、H(e)NBがコアネットワークにアクセスするシステムアーキテクチャの模式図である。図1に示すように、当該アーキテクチャは、同時に従来のGERAN/UTRANと(LTE、Long Term Evolution)アクセスをサポートする。ここで、HNB(Home NodeB)は、GERAN/UTRANをサポートするホーム基地局で、HeNB(Home eNodeB)は、LTEをサポートするホーム基地局である。HNBを用いてアクセスする場合、ホーム基地局ゲートウェイ(HNB GW、Home NodeB Gateway)は必須である。HNBがパワーオンする時、HNBは、HNB GWにおいて登録する必要がある。HeNBを用いてアクセスする場合、進化型ホーム基地局ゲートウェイ(HeNB GW、Home eNodeB Gateway)はオプションである。HeNB GWが配置される場合、HeNBはHeNB GWに登録し、HeNB GWが配置されていない場合、HeNBはMMEに登録する。
3GPPプロトコルによれば、UEがH(e)NB(すなわち、HNB又はHeNB)からアクセスする場合、MME又はGPRSサービスサポートノード(SGSN、Serving GPRS SUPPORT NODESGSN)又はHNB GWは、UEに対してアクセス制御を行う。UEがH(e)NBによってアタッチする場合、UEとネットワークがクローズドユーザグループ(CSG、Closed Subscribe Group)をサポートすると、当該H(e)NBは、それ自体がサポートするCSG ID(CSG identity)をSGSN又はMMEに通知する。SGSN又はMMEは、HSSから得られたユーザ加入データに基づいて、当該ユーザが当該H(e)NBからアクセスすることを許容するか否かを判断する。UEがHNBによってアタッチする場合、UE又はネットワークがCSGをサポートしないと、HNB GWは、ローカルで設定される当該HNBの許容するUE IMSIリストに基づいて、当該UEが当該HNBからアクセスすることを許容するか否かを判断する。
上記UEがH(e)NBによってアクセスする過程において、すべての関連メッセージは、H(e)NBとSeGWとの間のセキュアトンネルによって保護される。H(e)NBがパワーオンする時、SeGWとセキュアトンネルを作成して相互認証するので、SeGWから見ると、H(e)NBは信頼できる。しかしながら、関連プロトコルは、H(e)NBがMME/SGSN/HNB GWに送信する身元と、そのSeGWと相互認証する時の身元とが一致することを確保できない。実際に、多くの場合に、H(e)NBがMME/SGSN/HNB GWで用いる身元は、それがSeGWと相互認証する時の身元と異なる。従来のプロトコルによれば、SeGWは、H(e)NBがMME/SGSN/HNB GWで用いる身元の認証を実行しない。
そのため、関連プロトコルによれば、H(e)NBは、それ以降MME/SGSN/H(e)NB GWと通信する時に他人の身元を盗用することが可能である。例えば、HeNB1は、まず、本当の身元(当該身元は、証明書又はホスティングプロバイダユニット(HPM)に基づく。)を用いてSeGWとIPSecトンネルを作成して相互認証する。UEがHeNB1からアクセスする場合、HeNB1は、HeNB2のHeNB IDとHeNB2のサポートするCSG IDをMMEに送信する。当該HeNB2のCSG IDによっては、UEのアクセスは許容されるが、HeNB1のサポートするCSG IDによっては、UEのアクセスは許容されない。上記の例において、HeNB1が他人の身元を盗用することによって、元々アクセスを許容されないユーザは、ネットワークにアクセスすることが可能になり、ネットワークのセキュリティを低下させる。
この問題に対して、H(e)NBのコアネットワークにおける身元(すなわち、MME/H(e)NB GWで用いられる身元)を認証するために、SeGWとMME/H(e)NB GWとの間に新たなインターフェースを追加し、且つSeGWによりH(e)NB IDとH(e)NBの内部IPアドレスとの相関関係をMME/H(e)NB GWに送信する方法が提案されている。しかしながら、当該方法には多くの欠陥が存在する。具体的には、H(e)NB IDとH(e)NBの内部IPアドレスとの相関関係は、H(e)NBがパワーオンする時のみにIPSecメッセージによりトリガリングされてMME//H(e)NB GWに送信される。SeGWは、適切なMME//H(e)NB GWを選択して当該相関関係を送信する必要があり、且つH(e)NBが登録時に同一のMME、H(e)NB GWを選択することを確保しなければならない。このため、具体的に実施する際に、H(e)NBが同一のMME又はH(e)NB GWを選択することを確保しなければならず、それは必ず達成の難しさの増加を招く。また、H(e)NBが初期パワーオン時にそれ自体の身元を送信するMME又はH(e)NB GWを選択していないと、当該方法は無効になる。関連プロトコルによれば、H(e)NBは、H(e)MSの設定情報に基づいて、MME又はH(e)NB GWを選択する。しかしながら、SeGWとH(e)MSにインターフェースがないので、SeGWの選択するMME、H(e)NB GWがH(e)NBの選択するH(e)NB GW及びMMEと同一であることを確保することは極めて難しい。また、当該方案では、MME、H(e)NB GWをH(e)NBの認証サーバと仮定している。しかしながら、関連プロトコルによれば、HPMモジュールに基づく認証がオプションであるので、H(e)NBの認証には、AAAサーバが用いられない可能性がある。このため、当該方案は、すべての状況には適用できない。
上記の事情を鑑みて、本発明の実施例は、不法のホーム基地局が合法のホーム基地局にスプーフィングしてコアネットワークにアクセスしてユーザ装置のために業務サービスを提供することを防止することができるホーム基地局のセキュアアクセス方法及びシステムを提供することを主な目的とする。
前記目的を達成するために、本発明の実施例の技術案は以下のように達成される。
セキュリティゲートウェイSeGWがホーム基地局H(e)NBの身元情報に対してデジタル署名をし、前記デジタル署名を前記H(e)NBに送信するステップと、前記H(e)NBが前記H(e)NBの身元情報及び前記デジタル署名をコアネットワークエレメントに送信するステップと、前記コアネットワークエレメントが前記H(e)NBの身元情報及び前記デジタル署名に対して正しさの検証を行うステップと、を含み、
前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスである、ホーム基地局のセキュアアクセス方法である。
好ましくは、前記SeGWがH(e)NBの身元情報に対してデジタル署名をするステップにおいて、前記SeGWが前記H(e)NBに対して身元認証する時に、前記H(e)NBの身元情報を取得し、且つ前記H(e)NBの身元情報に対してデジタル署名をする。
好ましくは、前記H(e)NBが前記H(e)NBの身元情報をコアネットワークエレメントに送信するステップにおいて、前記H(e)NBが、前記H(e)NBの登録時に、前記H(e)NBの身元情報及びデジタル署名を前記コアネットワーク要素に送信する。
好ましくは、前記H(e)NBが前記H(e)NBの身元情報及びデジタル署名をコアネットワークエレメントに送信するステップにおいて、前記H(e)NBが、ユーザ装置UEが前記H(e)NBによって登録する時に、前記H(e)NBの身元情報及びデジタル署名を前記コアネットワーク要素に送信する。
好ましくは、前記セキュリティゲートウェイSeGWは、前記セキュリティゲートウェイの秘密鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をし、それに対応して、前記コアネットワークエレメントは、前記セキュリティゲートウェイの公開鍵を用いて前記H(e)NBの身元情報及びデジタル署名に対して正しさを検証する。
好ましくは、前記SeGWは、動的セッション鍵を用いて前記H(e)NBの身元情報にデジタル署名をし、前記方法は、前記SeGWが前記動的セッション鍵をホーム加入者サーバHSS/認証認可課金AAAサーバに通知し、前記HSS/AAAサーバが前記動的セッション鍵を記憶するステップをさらに含む。
好ましくは、前記コアネットワークエレメントが前記H(e)NBの身元情報及びデジタル署名に対して正しさを検証するステップにおいて、前記コアネットワークエレメントが前記AAA/HSSから前記H(e)NBの身元情報に対してデジタル署名をする前記動的セッション鍵を取得し、前記動的セッション鍵を用いて解析したH(e)NBの身元情報を検証する。
好ましくは、前記方法は、前記コアネットワークエレメントが前記H(e)NB情報及びデジタル署名を検証することに成功した後、前記コアネットワークエレメントが前記H(e)NB情報を保存するステップをさらに含む。
好ましくは、前記コアネットワークエレメントは、H(e)NB GW又はMMEである。
好ましくは、前記コアネットワークエレメントは、MME又はSGSN又はMSCである。
好ましくは、UEが前記H(e)NBによってアクセスする場合、前記コアネットワークエレメントは、前記H(e)NBの身元情報が正しいであると検証した後、前記H(e)NBの身元情報をMME又はSGSN又はMSCに送信し、MME、SGSN又はMSCにより前記H(e)NBのサポートするCSG ID情報を取得し、前記CSG ID情報に基づいて前記UEに対してアクセス制御を行い、前記MME、SGSN又はMSCは、前記H(e)NB情報から前記CSG ID情報を取得し、或いは前記HSS/AAAサーバから前記CSG ID情報を取得する。
好ましくは、UEが前記H(e)NBによってアクセスする場合、前記コアネットワークエレメントは、前記H(e)NBの身元情報が正しいであると検証した後、前記H(e)NBのサポートするCSG ID情報を取得し、前記CSG ID情報に基づいて前記UEに対してアクセス制御を行い、前記コアネットワークエレメントは、前記H(e)NB情報から前記CSG ID情報を取得し、或いは前記HSS/AAAサーバから前記CSG ID情報を取得する。
好ましくは、前記コアネットワークエレメントは、設定された前記SeGWの証明書からSeGWの公開鍵を取得し、或いは前記コアネットワークエレメントは、H(e)NBが前記コアネットワークエレメントに送信する証明書からSeGWの公開鍵を取得する。
好ましくは、前記SeGWは、IKEv2の設定ペイロードCPを拡張することによって前記デジタル署名を前記H(e)NBに送信する。
好ましくは、前記SeGWはさらに、IKEv2の設定ペイロードCPを拡張することによってH(e)NB身元情報を前記H(e)NBに送信することができる。
H(e)NBの身元情報に対してデジタル署名をし、前記H(e)NBのデジタル署名を前記H(e)NBに送信するように設置されるセキュリティゲートウェイSeGWと、
前記H(e)NBの送信する身元情報及びデジタル署名を受信し、前記身元情報及び前記デジタル署名に対して正しさの検証を行うように設置されるコアネットワークエレメントと、を備え、前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスである、ホーム基地局のセキュアアクセスシステムである。
好ましくは、前記SeGWは、前記SeGWの秘密鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をするように設置され、それに対応して、前記コアネットワークエレメントは、前記SeGWの公開鍵を用いて前記H(e)NBの身元情報及びデジタル署名に対して正しさを検証するように設置される。
好ましくは、前記SeGWは、動的セッション鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をし、前記動的セッション鍵をホーム加入者サーバHSS/認証認可課金AAAサーバに通知するように設置される。
好ましくは、前記コアネットワークエレメントは、前記AAA/HSSから前記H(e)NBの身元情報に対してデジタル署名をする前記動的セッション鍵を取得し、前記動的セッション鍵を用いて前記H(e)NBの身元情報を検証するように設置される。
好ましくは、記コアネットワークエレメントは、モビリティ管理エンティティMME又はGPRSサービスサポートノードSGSN又はホーム基地局ゲートウェイH(e)NB GWである。
好ましくは、前記SeGWはさらに、前記H(e)NBの身元情報を前記H(e)NBに送信するように設置される。
ホームH(e)NBの送信する身元情報及びセキュリティゲートウェイSeGWによる前記身元情報へのデジタル署名を受信し、前記身元情報及び前記デジタル署名に対して正しさの検証を行うように設置され、前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスであるコアネットワークエレメントである。
本発明の実施例の方案によれば、不法のH(e)NBがコアネットワークエレメントに直接に登録してUEへの業務アクセスを達成することを回避でき、ネットワークのセキュリティを守ることができる。
H(e)NBがコアネットワークにアクセスするシステムアーキテクチャの模式図である。 本発明の実施例1に係るホーム基地局のセキュアアクセス方法のフローチャートである。 本発明の実施例2に係るホーム基地局のセキュアアクセス方法のフローチャートである。 本発明の実施例3に係るホーム基地局のセキュアアクセス方法のフローチャートである。 本発明の実施例4に係るホーム基地局のセキュアアクセス方法のフローチャートである。 本発明の実施例に係るホーム基地局のセキュアアクセスシステムの構成模式図である。 本発明の実施例5に係るホーム基地局のセキュアアクセス方法のフローチャートである。
本発明の実施例において、SeGWがH(e)NBに対して身元を認証する時、SeGWは、H(e)NBの身元情報に対してデジタル署名をし、デジタル署名をH(e)NBに送信する。H(e)NBは、UEがアタッチ又はトラッキングエリアアップデート又はルーティングアップデートする時、それ自体の身元情報及びデジタル署名をコアネットワークエレメントに送信する。コアネットワークエレメントは、H(e)NBの身元情報及びデジタル署名の正しさを検証し、検証をクリアした後、UEに対してアクセス制御を行う。或いは、SeGWとコアネットワークエレメントとの間に通信インターフェースを設置し、コアネットワークエレメントは、H(e)NBからの登録要求を受信する時、直接にSeGWからH(e)NBの身元情報を取得し、且つ登録を要求するH(e)NBに対して身元を認証する。
<実施例1>
図2は、本発明の実施例1に係るホーム基地局のセキュアアクセス方法のフローチャートである。H(e)NBが攻撃されるおそれがあるので、コアネットワークは、H(e)NB自体が提供する身元を信頼できない。SeGWが信頼できるセキュリティエンティティであることを考慮して、本発明では、SeGWによりH(e)NBの身元に対してデジタル署名をし、当該デジタル署名をH(e)NBに送信することを考える。H(e)NBは、SeGWによるデジタル署名及び身元情報をコアネットワークエレメントに送信して身元を検証する。図2に示すように、本例示に係るホーム基地局のセキュアアクセス方法は、以下のステップを含む。
(ステップ201)
SeGWは、H(e)NBの身元情報に対してデジタル署名をする。
H(e)NBの身元情報は、H(e)NB ID、及び/又はCSG ID、及び/又はその他の身元を含む。デジタル署名をしたH(e)NBの身元情報が確かにSeGWによりあるH(e)NBに送信したものであることを検証するために、SeGWは、当該H(e)NBの身元情報に当該H(e)NBの内部IPアドレスを含ませる。H(e)NBの内部IPアドレスは、IPSecトンネルの作成時、SeGWによりH(e)NBに割り当てられるIPアドレスである。H(e)NBは、当該内部IPアドレスを用いてコアネットワークエレメントと通信する。当該内部IPアドレスは、IPSecトンネルメッセージの内部IPパケットのパケットヘッダーに含まれている。
SeGWは、SeGWの秘密鍵を用いてH(e)NBの身元情報に対してデジタル署名をしてもよく、セッション鍵を用いてH(e)NBの身元情報に対してデジタル署名をしてもよい。
(ステップ202)
SeGWは、デジタル署名をH(e)NBに送信し、さらに身元情報をH(e)NBに送信してもよい。
(ステップ203)
H(e)NBは、上記デジタル署名及びH(e)NB身元情報をコアネットワークエレメント(すなわち、H(e)NB GW又はMME又はSGSN)に送信する。H(e)NBは、登録時に上記情報を送信してもよく、UEがアクセスする時にUE関連メッセージとともに上記情報を送信してもよい。登録時に上記情報を送信する場合、当該情報は、H(e)NB GWに送信され、H(e)NB GWが配置されていないと、MMEに送信される。UEがアクセスする時にUE関連メッセージとともに送信する場合、当該情報は、MME(EUTRANの場合)又はSGSN(UTRAN又はGERANの場合)又はMSCに送信される。
(ステップ204)
コアネットワークエレメントは、当該H(e)NBの身元情報、デジタル署名を検証する。
SeGWが秘密鍵を用いてH(e)NBの身元情報にデジタル署名をする場合、コアネットワークエレメント(すなわち、MME又はSGSN又はH(e)NB GW)は、SeGWの公開鍵を用いてデジタル署名を検証する。SeGWがセッション鍵を用いてH(e)NBの身元情報にデジタル署名をする場合、コアネットワークエレメントは、同一のセッション鍵を用いてデジタル署名を検証する必要がある。
本実施例において、H(e)NBの身元情報を検証する位置によって、検証方式は、2種類ある。すなわち、H(e)NBの登録時にH(e)NBの身元情報を検証する方式、又はUEがアクセスする時にH(e)NBの身元を検証する方式がある。
H(e)NBの身元情報の検証がH(e)NBの登録時に行われると、H(e)NBの身元を検証するエンティティは、H(e)NB GW又はMME(H(e)NB GWが配置されていない場合)である。H(e)NB GWとAAA/HSSとの間にインターフェースがないので、当該方案は、公開秘密鍵に基づくデジタル署名方式を採用することが好ましい。
H(e)NBの身元情報の検証がUEのアクセスする時に行われると、H(e)NBの身元を検証するエンティティは、MME(EUTRANの場合)又はSGSN(GERAN/UTRANの場合)である。当該方案は、公開秘密鍵に基づくデジタル署名方式、又は動的セッション鍵に基づくデジタル署名方式を採用することができる。
以下、具体的な流れを参照しながら上記方法をさらに詳細に説明する。
<実施例2>
図3は、本発明の実施例2に係るホーム基地局のセキュアアクセス方法のフローチャートである。本例示は、H(e)NBの登録時に、H(e)NB GW又はMMEがH(e)NBの身元情報、デジタル署名を検証する方法である。図3に示すように、本例示に係るホーム基地局のセキュアアクセス方法は、具体的には以下のステップを含む。
(ステップ301)
H(e)NBは、パワーオンする。H(e)NBは、ローカルネットワークにアクセスし、ローカルネットワークからIPアドレス設定情報を取得する。
(ステップ302)
H(e)NBは、SeGWとのIKEv2協議を確立する。当該過程は、H(e)NBとSeGWとの相互認証、セキュリティアソシエーションの協議、SeGWによるH(e)NBへの内部IPアドレスの割当などを含む。
(ステップ303)
SeGWは、H(e)NBがコアネットワークと通信するための身元情報を取得する。当該情報は、H(e)NB ID、及び/又はCSG IDなどを含む。SeGWは、H(e)NBの身元情報に対してデジタル署名をする。具体的なデジタル署名アルゴリズムは、以下の通りである。
X=アルゴリズム1(H(e)NB身元情報|H(e)NB内部IPアドレス) [A]
公式[A]において、「|」は情報を直列に接続することを表す。H(e)NBの身元情報が複数の情報を含む場合、SeGWは、複数の情報を直列に接続し、つまり複数の情報を順次に接続する。例えば、身元情報がH(e)NB ID及びCSG IDである場合、上記公式におけるH(e)NB身元情報は、H(e)NB ID|CSG IDである。
アルゴリズム1は、一方向性ハッシュアルゴリズムである。本発明は、具体的なアルゴリズムを規定せず、当該アルゴリズムは、長い文字列をデジタル署名アルゴリズムに適する長さに変換することを目的とする。例示として、MD5アルゴリズムは、簡単な一方向性ハッシュアルゴリズムである。
デジタル署名=デジタル署名アルゴリズム(X、デジタル署名鍵) [B]
本発明は、具体的なデジタル署名アルゴリズムを規定せず、デジタル署名アルゴリズムは、関連技術の任意のデジタル署名アルゴリズムを参照することができる。例えば、一般的なRSAアルゴリズムを本発明のデジタル署名アルゴリズムとすることができる。
本例示において、デジタル署名鍵は、SeGWの秘密鍵である。
(ステップ304)
SeGWは、デジタル署名をH(e)NBに送信する。なお、SeGWは、H(e)NBの身元情報をデジタル署名とともにH(e)NBに送信してもよい。H(e)NBの身元情報(例えば、CSG ID、H(e)NB ID)は、SeGWによってH(e)NBに送信されるものではなく、H(e)NBがH(e)MSから取得してもよく、H(e)NBにおいて固定設定してもよい。H(e)NBがIPアドレスの割当を要求すると、SeGWは、さらにH(e)NBの内部IPアドレスをH(e)NBに送信する。H(e)NBの身元情報及びデジタル署名は、IKEv2プロトコルを拡張することによって送信されることができる。例えば、IKEv2の設定ペイロード(CP、Configuration Payload)を拡張し、H(e)NBの身元情報及びデジタル署名を設定ペイロードに入れてH(e)NBに送信することができる。
(ステップ305)
IKEv2協議が終了される。H(e)NBとSeGWとの間に、IPSecセキュアトンネルが作成される。
(ステップ306)
H(e)NBは、H(e)MSから設定パラメータを取得する。
(ステップ307)
ネットワークにH(e)NB GWが配置される場合、H(e)NBは、H(e)NB GWに登録要求メッセージを送信する。当該メッセージにおいて、H(e)NBは、H(e)NBの身元情報及びそのデジタル署名をH(e)NB GWに送信する。
(ステップ308)
H(e)NB GWは、H(e)NBの身元情報及びデジタル署名を認証する。検証方法は、下記通りである。
H(e)NB GWは、公式Y=復号化アルゴリズム(デジタル署名、復号化鍵)によってデジタル署名を復号化する。
復号化アルゴリズムは、暗号化アルゴリズムに対応し、従来の復号化アルゴリズム、例えばRSA復号化アルゴリズムなどを参照することができる。
上記公式におけるデジタル署名は、H(e)NBがH(e)NB GWに送信するH(e)NBの身元情報のデジタル署名である。本例示において、復号化鍵は、SeGWの公開鍵である。
H(e)NB GWは公式[C]によってX’を算出する。
X’=アルゴリズム1(H(e)NB身元情報|H(e)NB IPアドレス)[C]
H(e)NBの身元情報は、ステップ307においてH(e)NBがH(e)NB GWに送信したH(e)NBの身元情報である。H(e)NB IPアドレスは、ステップ307においてH(e)NBがH(e)NB GWに送信する登録要求メッセージのソースIPアドレスである。
Y=X’であると、デジタル署名の検証は成功であれ、さもなければ、デジタル署名の検証は失敗である。
H(e)NB GWは、設定されたSeGWの証明書から公開鍵を取得する。或いは、ステップ307において、H(e)NBがSeGWの証明書をH(e)NB GWに送信し、H(e)NB GWは、受信した証明書からSeGWの公開鍵を取得してもよい。
(ステップ309)
ステップ308におけるデジタル署名の検証が成功すると、H(e)NB GWは、H(e)NBの残りの登録フローを完成させ、且つそれにコンテキストを作成する。そして、H(e)NB GWは、H(e)NBに登録応答メッセージを送信する。一方、ステップ308におけるデジタル署名の検証が失敗すると、H(e)NB GWは、H(e)NBに登録失敗メッセージを送信する。
(ステップ310)
ネットワークにHeNB GWが配置されていない場合、HeNBは、MMEにおいて登録する。HeNBは、MMEに登録要求メッセージを送信する。メッセージには、HeNBの身元情報及びそのデジタル署名が含まれる。
(ステップ311)
MMEは、ステップ308と同様の方法によりHeNBの身元情報及びそのデジタル署名を認証する。
(ステップ312)
ステップ311におけるデジタル署名の検証が成功すると、MMEは、H(e)NBの残りの登録フローを完成させ、且つそれにコンテキストを作成する。なお、MMEは、H(e)NBに登録応答メッセージを送信する。一方、ステップ308におけるデジタル署名の検証が失敗すると、MMEは、H(e)NBに登録失敗メッセージを送信する。
<実施例3>
図4は、本発明の実施例3に係るホーム基地局のセキュアアクセス方法のフローチャートである。本例示は、UEの登録時に、MME又はSGSNがH(e)NBの身元情報、デジタル署名を検証する方法である。図4に示すように、本例示に係るホーム基地局のセキュアアクセス方法は、具体的には以下のステップを含む。
(ステップ401)
H(e)NBは、パワーオンする。H(e)NBは、ローカルネットワークにアクセスし、ローカルネットワークからIPアドレス設定情報を取得する。
(ステップ402)
H(e)NBは、SeGWとのIKEv2協議を確立する。当該過程は、H(e)NBとSeGWとの相互認証、セキュリティアソシエーションの協議、SeGWによるH(e)NBへの内部IPアドレスの割当などを含む。
(ステップ403)
SeGWは、H(e)NBがコアネットワークと通信するための身元情報を取得する。当該情報は、H(e)NB ID、及び/又はCSG IDなどを含む。SeGWは、H(e)NBの身元情報に対してデジタル署名をする。SeGWの秘密鍵を用いてデジタル署名する場合、デジタル署名アルゴリズムは、ステップ303に示されるアルゴリズムを参照する。動的セッション鍵を用いてデジタル署名する場合、以下のアルゴリズムを用いることができる。
a)ステップ303における公式[A]によってXを算出する
b)デジタル署名=デジタル署名アルゴリズム(X、動的セッション鍵)
ここで、動的セッション鍵は、SeGWにより動的に生成され、例えば、一連の乱数であり、或いはその他の方法により生成される。
本発明は、具体的なデジタル署名アルゴリズムを規定せず、デジタル署名アルゴリズムは、従来のデジタル署名アルゴリズムを参照することができる。例として、デジタル署名アルゴリズムは、鍵を有するHASHアルゴリズムであってもよい。
(ステップ404a)
SeGWは、デジタル署名をH(e)NBに送信する。なお、SeGWは、H(e)NBの身元情報をデジタル署名とともにH(e)NBに送信してもよい。H(e)NBの身元情報(例えば、CSG ID、H(e)NB ID)は、SeGWによってH(e)NBに送信されるものではなく、H(e)NBがH(e)MSから取得してもよく、H(e)NBにおいて固定設定してもよい。H(e)NBがIPアドレスの割当を要求すると、SeGWは、さらにH(e)NBの内部IPアドレスをH(e)NBに送信する。H(e)NBの身元情報及びデジタル署名は、IKEv2プロトコルを拡張することによって送信されることができる。例えば、IKEv2の設定ペイロードCPを拡張し、H(e)NBの身元情報及びデジタル署名を設定ペイロードに入れてH(e)NBに送信することができる。
(ステップ404b)
SeGWは、H(e)NBのデジタル署名を算出するための動的セッション鍵をHSS/AAAに保存する。
(ステップ405)
IKEv2協議が終了される。H(e)NBとSeGWとの間に、IPSecセキュアトンネルが作成される。
(ステップ406)
H(e)NBは、H(e)MSから設定パラメータを取得する。
(ステップ407)
ネットワークにH(e)NB GWが配置される場合、H(e)NBは、H(e)NB GWに登録要求メッセージを送信する。当該メッセージにおいて、H(e)NBは、H(e)NBの身元情報及びそのデジタル署名をH(e)NB GWに送信する。H(e)NB GWは、H(e)NBの身元情報、デジタル署名、及びH(e)NB IPアドレスを保存する。H(e)NB GWは、H(e)NBの登録フローを完成し、H(e)NBに登録応答を送信する。
(ステップ408)
ネットワークにHeNB GWが配置されていない場合、HeNBは、MMEにおいて登録する。HeNBは、MMEに登録要求メッセージを送信する。メッセージには、HeNBの身元情報及びそのデジタル署名が含まれる。MMEは、HeNBの身元情報、デジタル署名、及びHeNB IPアドレスを保存する。MMEは、H(e)NBの登録フローを完成し、H(e)NBに登録応答を送信する。
<実施例4>
図5は、本発明の実施例4に係るホーム基地局のセキュアアクセス方法のフローチャートである。本実施例は、UEの登録時に、MME又はSGSNがH(e)NBの身元情報、デジタル署名を検証する方法である。本実施例は、UEがH(e)NBによってアタッチ又はルーティング、トラッキングエリアアップデートを行うフローチャートである。図5に示すように、本例示に係るホーム基地局のセキュアアクセス方法は、以下のステップを含む。
(ステップ501)
UEがH(e)NBにおいて起動する、或いはUEが新たなルーティングエリア又はトラッキングエリアに位置するH(e)NBに移動する場合、UEは、H(e)NBにアタッチ要求メッセージ又はルーティングエリア/トラッキングエリアアップデート要求メッセージを送信する。
(ステップ502)
H(e)NBは、S1インターフェースによって上記UE登録要求メッセージを転送する。HeNB GWが配置される場合、当該メッセージは、H(e)NB GWに送信される。一方、HeNB GWが配置されていない場合、当該メッセージは、直接にMMEに送信される。H(e)NB GWは、H(e)NB IPアドレスがそのコンテキストに保存されるH(e)NB IPアドレスと一致するか否かを判断する。一致しないと、H(e)NB GWは、H(e)NBにエラーを返す。
(ステップ503)
H(e)NB GWが配置される場合、H(e)NB GWは、ステップ502におけるメッセージを転送し、且つそのコンテキストからH(e)NBの身元情報を取得する。H(e)NB GWは、H(e)NB IPアドレス及び/又はデジタル署名を選択的に取得し、これらの情報をステップ502においてH(e)NBがH(e)NB GWに送信したS1メッセージとともにSGSN(GERAN又はUTRANの場合)又はMME(EUTRANの場合)に送信する。H(e)NB GWは、ステップ407において上記情報を保存する。
(ステップ504)
MME/SGSNは、ステップ503において受信したH(e)NBの身元情報(例えばH(e)NB ID)に基づいて、HSS/AAAからデジタル署名セッション鍵を取得し、且つHSS/AAAから当該H(e)NBのその他の情報、例えば、当該H(e)NBのサポートするCSG IDリストを取得する。なお、HSS/AAAは、デジタル署名の鍵をMME/SGSNに送信してもよい。
(ステップ505)
ステップ503においてH(e)NB GWがデジタル署名をMME/SGSNに送信したならば、MME/SGSNは、H(e)NBのデジタル署名を検証する。
公開秘密鍵を用いてH(e)NBの身元情報に対してデジタル署名をする場合、検証アルゴリズムは、ステップ308を参照する。ここで、H(e)NBの身元情報、H(e)NB IPアドレス、デジタル署名は、ステップ503においてH(e)NB GWによりMME/SGSNに送信される。
セッション鍵を用いてH(e)NBの身元情報に対してデジタル署名をする場合、検証アルゴリズムは、以下のとおりである。
a)ステップ308における公式[C]によってX’を算出する
b)Y=デジタル署名アルゴリズム(X’、セッション鍵)
Yがステップ502おいて受信したデジタル署名と同一であると、検証成功を表し、さもなければ、検証失敗を表す。
(ステップ506)
SGSN/MMEは、トリガリングして後続のUEのアタッチ又はルーティングエリア/トラッキングエリアアップデートのフローを完成させる。SGSN/MMEは、H(e)NBのサポートするCSGリスト及びUEの加入するCSGリストに基づいて、当該UEが当該H(e)NBにアクセスするなどの操作を許容するか否かを判断する。
ステップ505においてデジタル署名の検証が失敗すると、UEのアタッチフロー又はルーティングエリア/トラッキングエリアアップデートフローは、失敗して終了される。
図6は、本発明の実施例に係るホーム基地局のセキュアアクセスシステムの構成模式図である。本例示は、H(e)NBの身元検証を達成する他の一つのホーム基地局のセキュアアクセスシステムである。具体的には、SeGWと、MME又はSGSN又はH(e)NB GWとの間の通信インターフェースを追加する。MME又はH(e)NB GWがH(e)NBからの身元情報を受信した後、MME/SGSN/H(e)NB GWは、当該新規インターフェースによりSeGWに身元検証要求メッセージを送信することによって、SeGWにより当該H(e)NBの身元が確実であるか否かを検証する。図6に示すように、SxとSyインターフェースは、新規インターフェースである。Sxインターフェースは、MMEとSeGWとの間に位置され、MMEがH(e)NBの身元を認証することに用いられる。当該インターフェースは、H(e)NB GWが配置されていない場合のみに用いられる。Syインターフェースは、H(e)NB GWとSeGWとの間に位置され、H(e)NB GWがH(e)NBの身元を認証することに用いられる。以下、フローチャートを参照しながら本方案を詳細に説明する。
<実施例5>
図7は、本発明の実施例5に係るホーム基地局のセキュアアクセス方法のフローチャートである。本実施例は、H(e)NBがパワーオンされて登録するフローチャートである。図7に示すように、本例示に係るホーム基地局のセキュアアクセス方法は、具体的には以下のステップを含む。
(ステップ701)
H(e)NBは、パワーオンする。H(e)NBは、ローカルネットワークにアクセスし、ローカルネットワークからIPアドレス設定情報を取得する。
(ステップ702)
H(e)NBは、SeGWとのIKEv2協議を確立する。当該過程は、H(e)NBとSeGWとの相互認証、セキュリティアソシエーションの協議、SeGWによるH(e)NBへの内部IPアドレスの割当などを含む。
(ステップ703)
H(e)NBは、H(e)MSから設定パラメータを取得する。
(ステップ704)
ネットワークにH(e)NB GWが配置される場合、H(e)NBは、H(e)NB GWに登録要求メッセージを送信する。当該メッセージにおいて、H(e)NBは、H(e)NBの身元情報をH(e)NB GWに送信する。
(ステップ705)
H(e)NBの身元を検証するために、H(e)NB GWは、SeGWにH(e)NB身元要求メッセージを送信する。当該メッセージには、H(e)NBのIPアドレス(すなわち、SeGWがH(e)NBに割り当てるIPアドレス)が含まれる。
(ステップ706)
SeGWは、H(e)NB IPアドレスに基づいて、H(e)NBの身元情報を問い合わせてH(e)NB GWに返す。
(ステップ707)
H(e)NB GWは、H(e)NBの身元情報を保存し、H(e)NBの残りの登録フローを完成させ、且つそれにコンテキストを作成する。なお、H(e)NB GWは、H(e)NBに登録応答メッセージを送信する。
(ステップ708)
ネットワークにH(e)NB GWが配置されていない場合、H(e)NBは、MMEに登録要求メッセージを送信する。当該メッセージにおいて、H(e)NBは、H(e)NBの身元情報をMMEに送信する。
(ステップ709)
H(e)NBの身元を検証するために、MMEは、SeGWにH(e)NB身元要求メッセージを送信する。当該メッセージには、H(e)NBのIPアドレス(すなわち、SeGWがH(e)NBに割り当てるIPアドレス)が含まれる。
(ステップ710)
SeGWは、H(e)NB IPアドレスに基づいて、H(e)NBの身元情報を問い合わせてMMEに返す。
(ステップ711)
MMEは、H(e)NBの身元情報を保存し、H(e)NBの残りの登録フローを完成させ、且つそれにコンテキストを作成する。なお、MMEは、H(e)NBに登録応答メッセージを送信する。
本発明の実施例は、さらに他の一つのホーム基地局のセキュアアクセスシステムを記載しており、SeGW、H(e)NB、及びコアネットワークエレメントを備える。
SeGWは、H(e)NBの身元情報に対してデジタル署名をし、デジタル署名をH(e)NBに送信するように設置される。
H(e)NBは、H(e)NBが登録する時又はUEのアタッチ又はトラッキングエリアアップデート又はルーティングアップデートがH(e)NBによってアクセスする時、H(e)NBの身元情報及びデジタル署名をコアネットワークエレメントに送信するように設置される。
コアネットワークエレメントは、H(e)NBの身元情報及びデジタル署名の正しさを検証するように設置される。
ここで、SeGWは、SeGWの秘密鍵を用いてH(e)NBの身元情報に対してデジタル署名をしてもよく、それに対応して、コアネットワークエレメントは、SeGWの公開鍵を用いてH(e)NBの身元情報及びデジタル署名の正しさを検証してもよい。
ここで、SeGWは、動的セッション鍵を用いてH(e)NBの身元情報に対してデジタル署名をしてもよい。
SeGWは、動的セッション鍵をホーム加入者サーバHSS/認証認可課金AAAサーバに通知してもよい。HSS/ AAAサーバは、動的セッション鍵を記憶する。
コアネットワークエレメントは、AAA/HSSからH(e)NBの身元情報にデジタル署名をする動的セッション鍵を取得し、動的セッション鍵を用いてH(e)NBの身元情報を検証してもよい。
H(e)NBの身元情報は、ホーム基地局識別子H(e)NB ID及びH(e)NBの内部IPアドレス、又はクローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NB内部IPアドレスであってもよい。
コアネットワークエレメントは、MME又はSGSN又はHNB GWであってもよい。
本発明の実施例に係るコアネットワークエレメントは、ホームH(e)NBの送信する身元情報及びセキュリティゲートウェイSeGWによる身元情報へのデジタル署名を受信し、身元情報及びデジタル署名の正しさを検証するように設置される。
本発明の実施例に係る他の一つのコアネットワークエレメントは、コアネットワークエレメントとセキュリティゲートウェイSeGWとの間の通信インターフェースによってホーム基地局H(e)NBが身元認証する時の身元情報を取得し、且つH(e)NBの報告する身元情報と正しさを検証し、検証をクリアした後、H(e)NBの登録を受け付けるように設置される。
当業者は、本例示に係るホーム基地局のセキュアアクセスシステム及びコアネットワークエレメントは、上記実施例1〜4における関連記述を参照して理解することができると理解すべきである。
当業者は、上記方法におけるすべて又は一部のステップがプログラムで関連のハードウェアに対して命令を出して完成させることができ、上記プログラムはコンピューターの可読記憶媒体、例えば読み出し専用メモリ、磁気ディスク又は光ディスクなどに記憶できると理解可能である。上記実施例のすべて又は一部のステップは、1つ又は複数の集積回路を用いて達成されてもよい。それに対して、上記実施例における各モジュール/ユニットは、ハードウェアの形態によって達成されてもよく、ソフトウェア機能モジュールの形態によって達成されてもよい。本発明は、なんらかの特定の形態のハードウェア及びソフトウェアの組合せに限定されない。
上記は本発明の好ましい実施例に過ぎず、本発明を制限するものではなく、当業者にとって、本発明はさまざまな修正及び変化を行うことができる。本発明の趣旨及び原則を逸脱せずに行われるすべての修正、等価置換、改良などは、本発明の保護範囲に含まれるべきである。
本発明の実施例の方案によれば、不法のH(e)NBがコアネットワークエレメントに直接に登録してUEへの業務アクセスを達成することを回避でき、ネットワークのセキュリティを守ることができる。

Claims (22)

  1. セキュリティゲートウェイSeGWがホーム基地局H(e)NBの身元情報に対してデジタル署名をし、前記デジタル署名を前記H(e)NBに送信するステップと、
    前記H(e)NBが前記H(e)NBの身元情報及び前記デジタル署名をコアネットワークエレメントに送信するステップと、
    前記コアネットワークエレメントが前記H(e)NBの身元情報及び前記デジタル署名に対して正しさの検証を行うステップと、を含み、
    前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスである、ホーム基地局のセキュアアクセス方法。
  2. 前記SeGWがH(e)NBの身元情報に対してデジタル署名をするステップは、
    前記SeGWが前記H(e)NBに対して身元認証する時に、前記H(e)NBの身元情報を取得し、且つ前記H(e)NBの身元情報に対してデジタル署名をするステップを含む請求項1に記載の方法。
  3. 前記H(e)NBが前記H(e)NBの身元情報及び前記デジタル署名をコアネットワークエレメントに送信するステップは、
    前記H(e)NBが、前記H(e)NBの登録時に、前記H(e)NBの身元情報及び前記デジタル署名を前記コアネットワークエレメントに送信するステップを含む請求項1に記載の方法。
  4. 前記H(e)NBが前記H(e)NBの身元情報及び前記デジタル署名をコアネットワークエレメントに送信するステップは、
    前記H(e)NBが、ユーザ装置UEが前記H(e)NBによって登録する時に、前記H(e)NBの身元情報及び前記デジタル署名を前記コアネットワークエレメントに送信するステップを含む請求項1に記載の方法。
  5. 前記セキュリティゲートウェイSeGWは、前記セキュリティゲートウェイの秘密鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をし、
    それに対応して、前記コアネットワークエレメントは、前記セキュリティゲートウェイの公開鍵を用いて前記H(e)NBの身元情報及び前記デジタル署名に対して正しさの検証を行う請求項1に記載の方法。
  6. 前記SeGWは、動的セッション鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をし、
    前記方法は、前記SeGWが前記動的セッション鍵をホーム加入者サーバHSS/認証認可課金AAAサーバに通知し、前記HSS/AAAサーバが前記動的セッション鍵を記憶するステップをさらに含む請求項1に記載の方法。
  7. 前記コアネットワークエレメントが前記H(e)NBの身元情報及び前記デジタル署名に対して正しさの検証を行うステップは、
    前記コアネットワークエレメントが前記AAA/HSSから前記H(e)NBの身元情報に対して署名をする前記動的セッション鍵を取得し、前記動的セッション鍵を用いて前記H(e)NBの身元情報を検証するステップを含む請求項6に記載の方法。
  8. 前記コアネットワークエレメントが前記H(e)NB情報及び前記デジタル署名を検証することに成功した後、前記コアネットワークエレメントが前記H(e)NB情報を保存するステップをさらに含む請求項1に記載の方法。
  9. 前記コアネットワークエレメントは、ホーム基地局ゲートウェイH(e)NB GW又はモビリティ管理エンティティMMEである請求項3に記載の方法。
  10. 前記コアネットワークエレメントは、MME又は汎用パケット無線業務サービスサポートノードSGSN又はモバイルスイッチングセンターMSCである請求項4に記載の方法。
  11. UEが前記H(e)NBによってアクセスする場合、
    前記コアネットワークエレメントは、前記H(e)NBの身元情報が正しいであると検証した後、前記H(e)NBの身元情報をMME又はSGSN又はMSCに送信し、MME、SGSN又はMSCにより前記H(e)NBのサポートするCSG ID情報を取得し、前記CSG ID情報に基づいて前記UEに対してアクセス制御を行い、
    前記MME、SGSN又はMSCは、前記H(e)NB情報から前記CSG ID情報を取得し、或いは前記HSS/AAAサーバから前記CSG ID情報を取得する請求項3又は9に記載の方法。
  12. UEが前記H(e)NBによってアクセスする場合、
    前記コアネットワークエレメントは、前記H(e)NBの身元情報が正しいであると検証した後、前記H(e)NBのサポートするCSG ID情報を取得し、前記CSG ID情報に基づいて前記UEに対してアクセス制御を行い、前記コアネットワークエレメントは、前記H(e)NB情報から前記CSG ID情報を取得し、或いは前記HSS/AAAサーバから前記CSG ID情報を取得する請求項4又は10に記載の方法。
  13. 前記コアネットワークエレメントは、設定された前記SeGWの証明書からSeGWの公開鍵を取得し、或いは前記コアネットワークエレメントは、前記H(e)NBが前記コアネットワークエレメントに送信する証明書からSeGWの公開鍵を取得する請求項5に記載の方法。
  14. 前記SeGWは、IKEv2の設定ペイロードCPを拡張することによって前記デジタル署名を前記H(e)NBに送信する請求項1に記載の方法。
  15. 前記SeGWがH(e)NB身元情報を前記H(e)NBに送信するステップをさらに含む請求項14に記載の方法。
  16. H(e)NBの身元情報に対してデジタル署名をし、前記H(e)NBのデジタル署名を前記H(e)NBに送信するように設置されるセキュリティゲートウェイSeGWと、
    前記H(e)NBの送信する身元情報及びデジタル署名を受信し、前記身元情報及び前記デジタル署名に対して正しさの検証を行うように設置されるコアネットワークエレメントと、を備え、
    前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスである、ホーム基地局のセキュアアクセスシステム。
  17. 前記SeGWは、前記SeGWの秘密鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をするように設置され、
    それに対応して、前記コアネットワークエレメントは、前記SeGWの公開鍵を用いて前記H(e)NBの身元情報及び前記デジタル署名に対して正しさの検証を行うように設置される請求項16に記載のシステム。
  18. 前記SeGWは、
    動的セッション鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をし、
    前記動的セッション鍵をホーム加入者サーバHSS/認証認可課金AAAサーバに通知するように設置される請求項16に記載のシステム。
  19. 前記コアネットワークエレメントは、前記AAA/HSSから前記H(e)NBの身元情報に対してデジタル署名をする前記動的セッション鍵を取得し、前記動的セッション鍵を用いて前記H(e)NBの身元情報を検証するように設置される請求項18に記載のシステム。
  20. 前記コアネットワークエレメントは、モビリティ管理エンティティMME又はGPRSサービスサポートノードSGSN又はホーム基地局ゲートウェイH(e)NB GWである請求項16〜19のいずれかに記載のシステム。
  21. 前記SeGWはさらに、前記H(e)NBの身元情報を前記H(e)NBに送信するように設置される請求項16に記載のシステム。
  22. ホームH(e)NBの送信する身元情報及びセキュリティゲートウェイSeGWによる前記身元情報へのデジタル署名を受信し、前記身元情報及び前記デジタル署名に対して正しさの検証を行うように設置され、
    前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスであるコアネットワークエレメント。
JP2014537471A 2011-10-31 2012-10-08 ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント Expired - Fee Related JP5977834B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
CN201110337762 2011-10-31
CN201110337762.7 2011-10-31
CN201110364549.5 2011-11-04
CN201110364549.5A CN103096311B (zh) 2011-10-31 2011-11-04 家庭基站安全接入的方法及***
PCT/CN2012/082555 WO2013064002A1 (zh) 2011-10-31 2012-10-08 家庭基站安全接入的方法、***及核心网网元

Publications (2)

Publication Number Publication Date
JP2014535207A JP2014535207A (ja) 2014-12-25
JP5977834B2 true JP5977834B2 (ja) 2016-08-24

Family

ID=48191294

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014537471A Expired - Fee Related JP5977834B2 (ja) 2011-10-31 2012-10-08 ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント

Country Status (7)

Country Link
US (1) US9467295B2 (ja)
EP (1) EP2790429B1 (ja)
JP (1) JP5977834B2 (ja)
CN (1) CN103096311B (ja)
IN (1) IN2014CN03216A (ja)
RU (1) RU2580399C2 (ja)
WO (1) WO2013064002A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105472604A (zh) * 2014-09-09 2016-04-06 中兴通讯股份有限公司 一种数字证书的状态处理方法、装置及***
JP6088570B2 (ja) * 2015-03-23 2017-03-01 ソフトバンク株式会社 移動体通信システムおよび移動体通信方法
CN106332079A (zh) * 2015-06-30 2017-01-11 中兴通讯股份有限公司 基站维护端口的连接认证方法、基站及***
CN106454836B (zh) * 2015-08-06 2021-12-31 中兴通讯股份有限公司 一种增强设备证书使用安全的方法及装置
CN107360573B (zh) * 2016-05-10 2020-11-27 中兴通讯股份有限公司 一种终端接入方法和装置
CN108616956B (zh) * 2017-01-16 2020-10-20 普天信息技术有限公司 一种电力无线专网中业务隔离的方法
CN110474875B (zh) 2017-08-31 2020-10-16 华为技术有限公司 基于服务化架构的发现方法及装置
CN109511115B (zh) * 2017-09-14 2020-09-29 华为技术有限公司 一种授权方法和网元
WO2019183858A1 (zh) * 2018-03-28 2019-10-03 华为技术有限公司 一种无人机身份识别方法及设备
CN109257212B (zh) * 2018-09-10 2021-09-03 中信科移动通信技术股份有限公司 一种iab基站接入的方法
CN109587687A (zh) * 2018-12-04 2019-04-05 西安佰才邦网络技术有限公司 基站侧设备及其组网方法
CN112272376B (zh) * 2020-10-22 2022-07-29 中国联合网络通信集团有限公司 一种奖励方法及装置
CN112291785B (zh) * 2020-10-22 2022-07-22 中国联合网络通信集团有限公司 一种奖励方法及装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101335984B (zh) * 2007-06-25 2011-11-16 华为技术有限公司 家用微型基站接入控制方法及***
CN101442402B (zh) * 2007-11-20 2011-08-24 华为技术有限公司 认证接入点设备的方法、***和装置
US20090182618A1 (en) * 2008-01-16 2009-07-16 Yahoo! Inc. System and Method for Word-of-Mouth Advertising
US8886164B2 (en) * 2008-11-26 2014-11-11 Qualcomm Incorporated Method and apparatus to perform secure registration of femto access points
CN101784051B (zh) * 2009-01-21 2012-11-21 华为技术有限公司 一种平台完整性验证的方法、网络设备和网络***
CN101795451B (zh) * 2009-02-03 2014-03-12 中兴通讯股份有限公司 一种家庭基站实现注册的方法及***
JP5112363B2 (ja) 2009-03-05 2013-01-09 日本電信電話株式会社 ライフログデータの管理システム、管理方法及びプログラム
JP5453461B2 (ja) * 2009-03-05 2014-03-26 インターデイジタル パテント ホールディングス インコーポレイテッド H(e)NB完全性検証および妥当性確認のための方法および機器
CN101715177B (zh) * 2009-11-05 2014-03-19 中兴通讯股份有限公司 一种网络设备的位置锁定方法及位置锁定***
US8533803B2 (en) * 2010-02-09 2013-09-10 Interdigital Patent Holdings, Inc. Method and apparatus for trusted federated identity
WO2012040198A1 (en) * 2010-09-20 2012-03-29 Interdigital Patent Holdings, Inc. Identity management on a wireless device
CN106131081A (zh) * 2010-12-30 2016-11-16 交互数字专利控股公司 从应用服务器接入服务的方法及移动装置

Also Published As

Publication number Publication date
US20140310529A1 (en) 2014-10-16
JP2014535207A (ja) 2014-12-25
RU2014118758A (ru) 2015-12-10
IN2014CN03216A (ja) 2015-07-03
RU2580399C2 (ru) 2016-04-10
CN103096311B (zh) 2018-11-09
EP2790429A4 (en) 2015-04-15
EP2790429B1 (en) 2018-12-05
CN103096311A (zh) 2013-05-08
US9467295B2 (en) 2016-10-11
WO2013064002A1 (zh) 2013-05-10
EP2790429A1 (en) 2014-10-15

Similar Documents

Publication Publication Date Title
JP5977834B2 (ja) ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント
EP3545702B1 (en) User identity privacy protection in public wireless local access network, wlan, access
TWI616084B (zh) 使用現有身份碼的到蜂巢網路的受贊助連接
JP6185017B2 (ja) セキュアユーザプレーンロケーション(supl)システムにおける認証
JP5462411B2 (ja) セキュリティ設定の同期を支援する方法および装置
JP4965671B2 (ja) 無線通信ネットワークにおけるユーザ・プロファイル、ポリシー及びpmipキーの配布
ES2393577T3 (es) Seguridad para un acceso no 3GPP a un sistema de paquetes evolucionado
JP5059096B2 (ja) アクセスシステム間のハンドオーバー時の認証手順を最適化するシステム及び方法
KR101044210B1 (ko) 루스 커플링 연동을 위한 인증서 기반 인증 인가 과금 방식
US8428554B2 (en) Method for authenticating a mobile unit attached to a femtocell that operates according to code division multiple access
KR102390380B1 (ko) 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원
ES2381803T3 (es) Procedimiento para autenticar unidades móviles unidas a una femtocélula en comunicación con una red central segura, tal como un IMS
WO2019029531A1 (zh) 触发网络鉴权的方法及相关设备
WO2009152676A1 (zh) Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和***
KR101445459B1 (ko) 인증 방법 및 제 1 인증 엔티티로부터 제 2 인증 엔티티로 사용자에 대한 인증 관계를 전송하기 위한 방법
CN101674578A (zh) 一种家庭基站安全接入网络的方法及***
WO2008014655A1 (fr) Procédé, terminal mobile et serveur destinés à mettre en oeuvre une clé de partage actualisée dans le système de communication mobile
US20170353856A1 (en) Mobile communication system and method
WO2012000313A1 (zh) 一种家庭网关认证方法和***
CN101742507B (zh) 一种WAPI终端访问Web应用站点的***及方法
KR101338487B1 (ko) I-wlan에서 인증 서버 및 그의 접속 인증 방법
WO2023193927A1 (en) Freshness indication of a suci, and verification thereof

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150624

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150630

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160705

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160722

R150 Certificate of patent or registration of utility model

Ref document number: 5977834

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees