收藏
下载资源 加入会员免费下载

连接处理方法及系统.pdf

上传人:a*** 文档编号:1095830 上传时间:2018-03-31 格式:PDF 页数:16 大小:485.19KB
返回 下载 相关 举报
摘要
申请专利号:

CN201010611930.2

 申请日:

2010.12.29
公开号:

CN102026405A

 公开日:

2011.04.20
当前法律状态:

实审

 有效性:

审中
法律详情:

实质审查的生效IPC(主分类):H04W 76/02申请日:20101229|||公开
IPC分类号:

H04W76/02(2009.01)I; H04W92/04(2009.01)I

 主分类号:

H04W76/02
申请人:

中兴通讯股份有限公司
发明人:

朱李
地址:

518057 广东省深圳市南山区科技南路55号
优先权:

专利代理机构:

北京康信知识产权代理有限责任公司 11240

 代理人:

余刚;吴孟秋
PDF下载: PDF下载
内容摘要

本发明公开了一种连接处理方法及系统,该方法包括:MME和/或S-GW与H(e)NB之间建立安全连接;MME和/或S-GW与H(e)NB之间的连接通过安全连接进行保护。本发明增加了H(e)NB系统数据传输机制的可靠性和安全性,解决了H(e)NB系统在安全方面的缺陷,提升了H(e)NB系统的安全性能。

权利要求书

1: 一种连接处理方法,其特征在于,包括 : 移动性管理实体 MME 和 / 或服务网关 S-GW 与家庭 ( 演进 ) 基站 H(e)NB 之间建立 安全连接 ; 所述 MME 和 / 或 S-GW 与所述 H(e)NB 之间的连接通过所述安全连接进行保护。
2: 根据权利要求 1 所述的方法,其特征在于,所述 MME 和 / 或 S-GW 与所述 H(e) NB 建立安全连接包括 : 所述 MME 和 / 或 S-GW 与安全网关 SeGW 建立所述安全连接 ; 所述 SeGW 与所述 H(e)NB 建立所述安全连接。
3: 根据权利要求 2 所述的方法,其特征在于,所述 MME 和 / 或 S-GW 与所述 SeGW 建立所述安全连接包括 : 所述 MME 和 / 或 S-GW 与家庭 ( 演进 ) 基站网关 H(e)NBGW 建立所述安全连接 ; 所述 H(e)NB GW 与所述 SeGW 建立所述安全连接。
4: 根据权利要求 3 所述的方法,其特征在于,所述 MME 和 / 或 S-GW 与所述 H(e) NB GW 建立的所述安全连接包括以下至少之一 : IPsec 隧道、 TLS 隧道、 NDS/IP。
5: 根据权利要求 3 所述的方法,其特征在于,所述 H(e)NB GW 与所述 SeGW 建立的 所述安全连接包括以下之一 : NDS/IP、所述 H(e)NB GW 与所述 SeGW 的结合。
6: 根据权利要求 2 所述的方法,其特征在于,当所述 MME 和 / 或 S-GW 与所述 SeGW 建立的所述安全连接不经过所述 H(e)NB GW 时,所述方法还包括 : 所述 MME 和 / 或 S-GW 与所述 H(e)NB GW 建立所述安全连接 ; 所述 H(e)NB GW 与所述 SeGW 建立所述安全连接。
7: 根据权利要求 6 所述的方法,其特征在于,所述 MME 和 / 或 S-GW 与所述 SeGW 建立的不经过所述 H(e)NB GW 的所述安全连接包括以下至少之一 : IPsec 隧道、 TLS 隧道、 NDS/IP。
8: 根据权利要求 2 所述的方法,其特征在于,在所述 SeGW 与所述 H(e)NB 建立所述 安全连接之后,所述方法还包括 : 所述 SeGW 与所述 H(e)NB 进行认证。
9: 根据权利要求 1 至 8 中任一项所述的方法,其特征在于,所述安全连接包括以下至 少之一 : 数据源认证、机密性保护、完整性保护、防重放保护。
10: 一种连接处理系统,其特征在于,包括移动性管理实体 MME 和 / 或服务网关 S-GW 与家庭 ( 演进 ) 基站 H(e)NB,其中所述 MME 和 / 或 S-GW 包括 : 第一建立模块,用于与所述 H(e)NB 建立安全连接,第一连接处理模块,用于通过 所述安全连接对所述 MME 和 / 或 S-GW 与所述 H(e)NB 之间的连接进行保护 ; 所述 H(e)NB 包括 第二建立模块,用于与所述 MME 和 / 或 S-GW 建立安全连接, 第二连接处理模块,用于通过所述安全连接对所述 MME 和 / 或 S-GW 与所述 H(e) NB 之间的连接进行保护。

说明书


连接处理方法及系统

    【技术领域】
     本发明涉及通信领域,具体而言,涉及一种连接处理方法及系统。背景技术 家 庭 基 站 (Home NodeB, 简 称 为 HNB) 用 来 为 处 在 家 庭 内 的 第 三 代 (3rd Generation,简称为 3G) 手机提供 3G 的无线覆盖。 它被连接到已经存在的住宅宽带服 务。 它包含了一个标准的 Node B(3G 宏无线接入网络的一个元素 ) 的功能和一个标准的 无线网络控制器 (Radio Network Controller,简称为 RNC) 的无线资源管理功能。
     图 1 是根据相关技术的 HNB 系统结构的示意图,如图 1 所示,第三代合作 伙伴计划 (3rd Generation Partnership Project,简称为 3GPP) 用户设备和 HNB 之间的界 面 在 全 球 移 动 通 信 系 统 无 线 接 入 网 (Universal Mobile Telecommunication System Radio Access Network,简称为 UTRAN) 中是回程且相容的空中接口。 HNB 通过一个安全网关 (Security GateWay,简称为 SeGW) 接入运营商的核心网,其中 HNB 和 SeGW 之间的宽带 互联网协议 (Internet Protocol,简称为 IP) 回程可能是不安全的。 在此回程中传播的信息 要被 HNB 和 SeGW 之间建立的安全通道保护。 SeGW 代表运营商的核心网和 HNB 进行 相互认证。 家庭基站网关 (HNB Gateway,简称为 HNB GW) 和 SeGW 是在运营商的核心 网内逻辑上分离的实体,用于非非公开授权用户组 (Closed Subscriber Group,简称 CSG) 的用户设备 (User Equipment,简称为 UE) 的接入控制。 H(e)MS 需要安全的通信。
     图 2 是 根 据 相 关 技 术 的 H(e)NB 系 统 结 构 的 示 意 图。 家 庭 ( 演 进 ) 基 站 (Home(Evolved)NodeB,简称为 H(e)NB) 和 HNB 的区别就是它是连接 3GPP 用户设备和 演进的陆地无线接入网 (Evolved UTRAN,简称为 E-UTRAN) 的空中接口。 H(e)NB 网 关 (Home eNodeB Gateway,简称为 H(e)NB GW) 为选择性部署。 如果 H(e)NB GW 被 部署,则 SeGW 与 H(e)NB GW 可以结合在一起 ;如果它们未被结合在一起,则 SeGW 与 H(e)NB GW 之间的接口可用 NDS/IP 进行保护。
     H(e)NB 包括 HNB 和 H(e)NB,是 HNB 和 H(e)NB 的统称。
     针对 H(e)NB 的安全,3GPP TR 33.820 定义了 27 种威胁。 这 27 种威胁被归纳 为 7 大类。 他们分别是 :对 H(e)NB 资格证书的危害,对 H(e)NB 的物理攻击,对 H(e) NB 的构造的攻击,对 H(e)NB 的协议的攻击,对核心网的攻击 ( 包括基于 H(e)NB 位置 的攻击 ),对用户的数据和身份隐私的攻击以及对无线资源和管理的攻击。
     图 3 是根据相关技术的包含 H(e)NB GW 的 EUTRAN 架构的示意图,如图 3 所 示,在此架构中, MME 和 / 或 S-GW 与 H(e)NB GW 之间有 S1 口来进行控制面和用户 面数据的传输, MME 和 / 或 S-GW 与 H(e)NB 之间有 S1 口来进行控制面和用户面数据 的传输, H(e)NBGW 与 H(e)NB 之间也有 S1 来进行控制面和用户面数据的传输。
     图 3 中,现有安全规范对 MME 和 / 或 S-GW 与 eNB 之间的 S1 口进行了安全保 护。 与 eNB 不同, H(e)NB 处在一个更加容易受到攻击的环境,也更容易被攻击,但是 相关技术中,其与 MME 和 / 或 S-GW 之间的 S1 口并没有得到保护,从而不能保证 H(e)
     NB 数据传输机制的可靠性与安全性。 发明内容 针对相关技术中 H(e)NB 与 MME 和 / 或 S-GW 之间的 S1 口并没有得到保护的 问题而提出本发明,为此,本发明的主要目的在于提供一种连接处理方法及系统,以解 决上述问题。
     为了实现上述目的,根据本发明的一个方面,提供了一种连接处理方法。
     根据本发明的连接处理方法包括 :MME 和 / 或 S-GW 与 H(e)NB 之间建立安全 连接 ;MME 和 / 或 S-GW 与 H(e)NB 之间的连接通过安全连接进行保护。
     进一步地, MME 和 / 或 S-GW 与 H(e)NB 建立安全连接包括 :MME 和 / 或 S-GW 与安全网关 SeGW 建立安全连接 ;SeGW 与 H(e)NB 建立安全连接。
     进一步地,MME 和 / 或 S-GW 与 SeGW 建立安全连接包括 :MME 和 / 或 S-GW 与家庭 ( 演进 ) 基站网关 H(e)NB GW 建立安全连接 ;H(e)NB GW 与 SeGW 建立安全连 接。
     进一步地,MME 和 / 或 S-GW 与 H(e)NB GW 建立的安全连接包括以下至少之 一 :IPsec 隧道、 TLS 隧道、 NDS/IP。
     进一步地, H(e)NB GW 与 SeGW 建立的安全连接包括以下之一 :NDS/IP、 H(e)NB GW 与 SeGW 的结合。
     进一步地,当 MME 和 / 或 S-GW 与 SeGW 建立的安全连接不经过 H(e)NB GW 时,上述方法还包括 :MME 和 / 或 S-GW 与 H(e)NBGW 建立安全连接 ;H(e)NB GW 与 SeGW 建立安全连接。
     进一步地,MME 和 / 或 S-GW 与 SeGW 建立的不经过 H(e)NBGW 的安全连接 包括以下至少之一 :IPsec 隧道、 TLS 隧道、 NDS/IP。
     进一步地,在 SeGW 与 H(e)NB 建立安全连接之后,上述方法还包括 :SeGW 与 H(e)NB 进行认证。
     进一步地,安全连接包括以下至少之一 :数据源认证、机密性保护、完整性保 护、防重放保护。
     为了实现上述目的,根据本发明的另一个方面,提供了一种连接处理系统。
     根据本发明的连接处理系统包括 MME 和 / 或 S-GW 与 H(e)NB,其中 MME 和 / 或 S-GW 包括 :第一建立模块,用于与 H(e)NB 建立安全连接,第一连接处理模块,用 于通过安全连接对 MME 和 / 或 S-GW 与 H(e)NB 之间的连接进行保护 ;H(e)NB 包括第 二建立模块,用于与 MME 和 / 或 S-GW 建立安全连接,第二连接处理模块,用于通过安 全连接对 MME 和 / 或 S-GW 与 H(e)NB 之间的连接进行保护。
     本发明通过 H(e)NB 与 MME 和 / 或 S-GW 建立安全连接,并使用该安全连接进 行数据传输,解决了相关技术中 H(e)NB 与 MME 和 / 或 S-GW 之间的 S1 口并没有得到 保护的问题,从而增加了 H(e)NB 系统数据传输机制的可靠性和安全性,解决了 H(e)NB 系统在安全方面的缺陷,提升了 H(e)NB 系统的安全性能。
     附图说明 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。 在附图中 :
     图 1 是根据相关技术的 HNB 系统结构的示意图 ;
     图 2 是根据相关技术的 H(e)NB 系统结构的示意图 ;
     图 3 是根据相关技术的包含 H(e)NB GW 的 EUTRAN 架构的示意图 ;
     图 4 是根据本发明实施例的连接处理方法的流程图 ;
     图 5 是根据本发明优选实施例的连接处理方法的流程图 ;
     图 6 是根据本发明优选实施例一的连接处理方法的交互流程图 ;
     图 7 是根据本发明优选实施例二的连接处理方法的交互流程图 ;
     图 8 是根据本发明优选实施例三的连接处理方法的交互流程图 ;
     图 9 是根据本发明优选实施例四的连接处理方法的交互流程图 ;
     图 10 是根据本发明优选实施例五的连接处理方法的交互流程图 ;
     图 11 是根据本发明优选实施例六的连接处理方法的交互流程图 ;
     图 12 是根据本发明实施例的连接处理系统的结构框图。
     具体实施方式
     需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以 相互组合。 下面将参考附图并结合实施例来详细说明本发明。
     本发明实施例提供了一种连接处理方法。 图 4 是根据本发明实施例的连接处理 方法的流程图,如图 4 所示,包括如下的至步骤 S404。
     步骤 S402, MME 和 / 或 S-GW 与 H(e)NB 建立安全连接。
     步骤 S404,MME 和 / 或 S-GW 与 H(e)NB 之间的连接通过安全连接进行保护。
     相关技术中, H(e)NB 与 MME 和 / 或 S-GW 之间的 S1 口并没有得到保护,从 而不能保证 H(e)NB 数据传输机制的可靠性与安全性。 本发明实施例中,通过 H(e)NB 与 MME 和 / 或 S-GW 建立安全连接,并使用该安全连接进行连接处理,增加了 H(e)NB 系统数据传输机制的可靠性和安全性,解决了 H(e)NB 系统在安全方面的缺陷,提升了 H(e)NB 系统的安全性能。
     优选地,MME 和 / 或 S-GW 与 H(e)NB 建立安全连接包括 :MME 和 / 或 S-GW 与 SeGW 建立安全连接 ;SeGW 与 H(e)NB 建立安全连接。
     优选地,MME 和 / 或 S-GW 与 SeGW 建立安全连接包括 :MME 和 / 或 S-GW 与家庭 ( 演进 ) 基站网关 H(e)NB GW 建立安全连接 ;H(e)NB GW 与 SeGW 建立安全连 接。
     优选地, MME 和 / 或 S-GW 与 H(e)NB GW 建立的安全连接包括以下至少之 一 :IPsec 隧道、 TLS 隧道、 NDS/IP。
     优选地, H(e)NB GW 与 SeGW 建立的安全连接包括以下之一 :NDS/IP、 H(e) NB GW 与 SeGW 的结合。
     优选地,当 MME 和 / 或 S-GW 与 SeGW 建立的安全连接不经过 H(e)NB GW 时,上述方法还包括 :MME 和 / 或 S-GW 与 H(e)NB GW 建立安全连接 ;H(e)NB GW与 SeGW 建立安全连接。
     优选地,MME 和 / 或 S-GW 与 SeGW 建立的不经过 H(e)NB GW 的安全连接包 括以下至少之一 :IPsec 隧道、 TLS 隧道、 NDS/IP。
     优选地,在 SeGW 与 H(e)NB 建立安全连接之后,上述方法还包括 :SeGW 与 H(e)NB 进行认证。
     优选地,安全连接包括以下至少之一 :数据源认证、机密性保护、完整性保 护、防重放保护。
     优选地,H(e)NB 与 MME 和 / 或 S-GW 之间的连接处理通过上述两个和 / 或一 个安全连接来进行安全保护。
     下面将结合实例对本发明实施例的实现过程进行详细描述。
     图 5 是根据本发明优选实施例的连接处理方法的流程图,如图 5 所示,包括如下 的步骤 S502 至步骤 S514。
     步骤 S502,MME 和 / 或 S-GW 与 HeNB GW 之间建立 IPsec 隧道和 / 或 TLS 隧 道。
     步骤 S504,HeNB GW 与 SeGW 之间建立安全连接,此安全连接可为 NDS/IP 或 H(e)NB GW 与 SeGW 结合。 步骤 S506, MME 和 / 或 S-GW 与 SeGW 之间建立安全连接,此安全连接可由 MME 和 / 或 S-GW 与 H(e)NB GW 之间的安全连接和 H(e)NB GW 与 SeGW 之间的安全 连接组成,或为另外一条 IPsec 隧道和 / 或 TLS 隧道。
     步骤 S508, HeNB 与 SeGW 之间进行相互认证并建立安全连接。
     步骤 S510,判断 HeNB 与 MME 和 / 或 S-GW 之间的数据传输是否通过两个安 全连接来进行安全保护,如果是,则进行步骤 S512,否则进行步骤 S514。
     步骤 S512, HeNB 与 MME 和 / 或 S-GW 之间的数据传输分开保护,即,通过 两个安全连接来进行安全保护。
     步骤 S514,HeNB 与 MME 和 / 或 S-GW 之间的数据传输经同一安全连接保护, 即,通过一个安全连接来进行安全保护。
     需要说明的是,步骤 S512 和步骤 S514 中的安全保护可以为数据源认证和 / 或机 密性保护和 / 或完整性保护和 / 或防重放保护,并可以用于保护 H(e)NB 与 MME 和 / 或 S-GW 之间的数据传输的安全连接均可为 IPsec 隧道和 / 或 TLS 隧道。
     图 6 是根据本发明优选实施例一的连接处理方法的交互流程图,如图 6 所示,包 括如下的步骤 S602 至步骤 S612。
     步骤 S602,MME 和 / 或 S-GW 与 H(e)NB GW 之间建立 IPsec 隧道和 / 或 TLS 隧道。
     步骤 S604,H(e)NB GW 与 SeGW 之间建立安全连接,此安全连接可为 NDS/IP 或 H(e)NB GW 与 SeGW 结合。
     步骤 S606, MME 和 / 或 S-GW 与 SeGW 之间建立安全连接,此安全连接为另 外一条 IPsec 隧道和 / 或 TLS 隧道,此安全连接不经过 H(e)NB GW。
     步骤 S608, H(e)NB 与 SeGW 之间进行相互认证并建立安全连接。
     步骤 S610,H(e)NB 与 MME 和 / 或 S-GW 之间的控制面数据传输通过经由 H(e)
     NB GW 的安全连接进行保护。
     步骤 S612, H(e)NB 与 MME 和 / 或 S-GW 之间的用户面数据传输通过不经过 H(e)NB GW 的安全连接进行保护。
     需要说明的是,步骤 S610 和步骤 S612 中的安全保护可为数据源认证和 / 或机密 性保护和 / 或完整性保护和 / 或防重放保护。 用于保护 H(e)NB 与 MME 和 / 或 S-GW 之间的数据传输的安全连接可为 IPsec 隧道和 / 或 TLS 隧道。
     图 7 是根据本发明优选实施例二的连接处理方法的交互流程图,如图 7 所示,包 括如下的步骤 S702 至步骤 S712。
     步骤 S702,MME 和 / 或 S-GW 与 H(e)NB GW 之间建立 IPsec 隧道和 / 或 TLS 隧道。
     步骤 S704,H(e)NB GW 与 SeGW 之间建立安全连接,此安全连接可为 NDS/IP 或 H(e)NB GW 与 SeGW 结合。
     步骤 S706, MME 和 / 或 S-GW 与 SeGW 之间建立安全连接,此安全连接为另 外一条 IPsec 隧道和 / 或 TLS 隧道,此安全连接不经过 H(e)NB GW。
     步骤 S708, H(e)NB 与 SeGW 之间进行相互认证并建立安全连接。 步骤 S710,H(e)NB 与 MME 和 / 或 S-GW 之间的控制面数据传输通过经由 H(e) NB GW 的安全连接进行保护。
     步骤 S712, H(e)NB 与 MME 和 / 或 S-GW 之间的控制面数据和用户面数据传 输通过不经过 H(e)NB GW 的安全连接进行保护。
     需要说明的是,步骤 S710 和步骤 S712 中的安全保护可为数据源认证和 / 或机密 性保护和 / 或完整性保护和 / 或防重放保护。 用于保护 H(e)NB 与 MME 和 / 或 S-GW 之间的数据传输的安全连接可为 IPsec 隧道和 / 或 TLS 隧道。
     图 8 是根据本发明优选实施例三的连接处理方法的交互流程图,如图 8 所示,包 括如下的步骤 S802 至步骤 S812。
     步骤 S802,MME 和 / 或 S-GW 与 H(e)NB GW 之间建立 IPsec 隧道和 / 或 TLS 隧道。
     步骤 S804,H(e)NB GW 与 SeGW 之间建立安全连接,此安全连接可为 NDS/IP 或 H(e)NB GW 与 SeGW 结合。
     步骤 S806, MME 和 / 或 S-GW 与 SeGW 之间建立安全连接,此安全连接为另 外一条 IPsec 隧道和 / 或 TLS 隧道,此安全连接不经过 H(e)NB GW。
     步骤 S808, H(e)NB 与 SeGW 之间进行相互认证并建立安全连接。
     步骤 S810, H(e)NB 与 MME 和 / 或 S-GW 之间的控制面数据和用户面数据传 输通过经由 H(e)NB GW 的安全连接进行保护。
     步骤 S812, H(e)NB 与 MME 和 / 或 S-GW 之间的用户面数据传输通过不经过 H(e)NB GW 的安全连接进行保护。
     需要说明的是,步骤 S810 和步骤 S812 中的安全保护可为数据源认证和 / 或机密 性保护和 / 或完整性保护和 / 或防重放保护。 用于保护 H(e)NB 与 MME 和 / 或 S-GW 之间的数据传输的安全连接可为 IPsec 隧道和 / 或 TLS 隧道。
     图 9 是根据本发明优选实施例四的连接处理方法的交互流程图,如图 9 所示,包
     括如下的步骤 S902 至步骤 S912。
     步骤 S902,MME 和 / 或 S-GW 与 H(e)NB GW 之间建立 IPsec 隧道和 / 或 TLS 隧道。
     步骤 S904,H(e)NB GW 与 SeGW 之间建立安全连接,此安全连接可为 NDS/IP 或 H(e)NB GW 与 SeGW 结合。
     步骤 S906, MME 和 / 或 S-GW 与 SeGW 之间建立安全连接,此安全连接为另 外一条 IPsec 隧道和 / 或 TLS 隧道,此安全连接不经过 H(e)NB GW。
     步骤 S908, H(e)NB 与 SeGW 之间进行相互认证并建立安全连接。
     步骤 S910, H(e)NB 与 MME 和 / 或 S-GW 之间的控制面和用户面数据传输通 过经由 H(e)NB GW 的安全连接进行保护。
     步骤 S912, H(e)NB 与 MME 和 / 或 S-GW 之间的控制面和用户面数据传输通 过不经过 H(e)NB GW 的安全连接进行保护。
     需要说明的是,步骤 S910 和步骤 S912 中的安全保护可为数据源认证和 / 或机密 性保护和 / 或完整性保护和 / 或防重放保护。 用于保护 H(e)NB 与 MME 和 / 或 S-GW 之间的数据传输的安全连接可为 IPsec 隧道和 / 或 TLS 隧道。 图 10 是根据本发明优选实施例五的连接处理方法的交互流程图,如图 10 所示, 包括如下的步骤 S1002 至步骤 S1010。
     步骤 S1002,MME 和 / 或 S-GW 与 H(e)NB GW 之间建立 IPsec 隧道和 / 或 TLS 隧道。
     步骤 S1004, H(e)NB GW 与 SeGW 之间建立安全连接,此安全连接可为 NDS/ IP 或 H(e)NB GW 与 SeGW 结合。
     步骤 S1006,MME 和 / 或 S-GW 与 SeGW 之间建立安全连接,此安全连接可由 MME 和 / 或 S-GW 与 H(e)NB GW 之间的安全连接和 H(e)NB GW 与 SeGW 之间的安全 连接组成。
     步骤 S 1008, H(e)NB 与 SeGW 之间进行相互认证并建立安全连接。
     步骤 S1010,H(e)NB 与 MME 和 / 或 S-GW 之间的用户面和 / 或控制面数据传 输通过逐跳的安全连接来进行安全保护。
     需要说明的是,步骤 S1010 中的安全保护可为数据源认证和 / 或机密性保护和 / 或完整性保护和 / 或防重放保护。 用于保护 H(e)NB 与 MME 和 / 或 S-GW 之间的数据 传输的安全连接均可为 IPsec 隧道和 / 或 TLS 隧道。
     图 11 是根据本发明优选实施例六的连接处理方法的交互流程图,如图 11 所示, 包括如下的步骤 S1102 至步骤 S1112。
     步骤 S1102,MME 和 / 或 S-GW 与 H(e)NB GW 之间建立 IPsec 隧道和 / 或 TLS 隧道。
     步骤 S1104, H(e)NB GW 与 SeGW 之间建立安全连接,此安全连接可为 NDS/ IP 或 H(e)NB GW 与 SeGW 结合。
     步骤 S1106,MME 和 / 或 S-GW 与 SeGW 之间建立安全连接,此安全连接可由 MME 和 / 或 S-GW 与 H(e)NB GW 之间的安全连接和 H(e)NB GW 与 SeGW 之间的安全 连接组成。
     步骤 S1108, H(e)NB 与 SeGW 之间进行相互认证并建立安全连接。
     步骤 S1110,H(e)NB 与 MME 和 / 或 S-GW 之间的控制面数据传输通过逐跳的 安全连接来进行安全保护。
     步骤 S1112,此安全保护可为数据源认证和 / 或机密性保护和 / 或完整性保护和 / 或防重放保护。
     H(e)NB 与 MME 和 / 或 S-GW 之间的用户面数据传输通过逐跳的安全连接来进 行安全保护。 此安全保护可为数据源认证和 / 或机密性保护和 / 或防重放保护。 用于 保护 H(e)NB 与 MME 和 / 或 S-GW 之间的数据传输的安全连接均可为 IPsec 隧道和 / 或 TLS 隧道。
     需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令 的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可 以以不同于此处的顺序执行所示出或描述的步骤。
     本发明实施例提供了一种连接处理系统,该连接处理系统可以用于实现上述连 接处理方法。 图 12 是根据本发明实施例的连接处理系统的结构框图,如图 12 所示,包 括 MME 和 / 或 S-GW 122 与 H(e)NB 124,其中 MME 和 / 或 S-GW 122 包括第一建立模 块 1222 和第一连接处理模块 1224,H(e)NB 124 包括第二建立模块 1242 和第二连接处理 模块 1244。 下面对其进行详细描述。
     第一建立模块 1222,用于与 H(e)NB 124 建立安全连接,第一连接处理模块 1224,连接至第一建立模块 1222,用于通过第一建立模块 1222 建立的安全连接对 MME 和 / 或 S-GW 122 与 H(e)NB 124 之间的连接进行保护。
     第二建立模块 1242,用于与 MME 和 / 或 S-GW 122 建立安全连接,第二连接处 理模块 1244,连接至第二建立模块 1242,用于通过第二建立模块 1242 建立的安全连接对 MME 和 / 或 S-GW 122 与 H(e)NB 124 之间的连接进行保护。
     具体地,第二建立模块 1242,用于与 MME 和 / 或 S-GW 122 中的第一建立模块 1222 建立安全连接,第二连接处理模块 1244,连接至第二建立模块 1242,用于通过第二 建立模块 1242 建立的安全连接对 MME 和 / 或 S-GW 122 中的第一连接处理模块 1224 与 第二连接处理模块 1244 之间的连接进行保护。
     需要说明的是,装置实施例中描述的连接处理系统对应于上述的方法实施例, 其具体的实现过程在方法实施例中已经进行过详细说明,在此不再赘述。
     综上所述,根据本发明的上述实施例,提供了一种连接处理方法及系统。 通过 H(e)NB 与 MME 和 / 或 S-GW 建立安全连接,并使用该安全连接进行连接处理,解决了 相关技术中 H(e)NB 与 MME 和 / 或 S-GW 之间的 S1 口并没有得到保护的问题,从而增 加了 H(e)NB 系统数据传输机制的可靠性和安全性,解决了 H(e)NB 系统在安全方面的缺 陷,提升了 H(e)NB 系统的安全性能。
     显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通 用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所 组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将 它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块, 或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。 这样,本发明不限制于任何特定的硬件和软件结合。
     以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的 技术人员来说,本发明可以有各种更改和变化。 凡在本发明的精神和原则之内,所作的 任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

连接处理方法及系统.pdf_第1页
第1页 / 共16页
连接处理方法及系统.pdf_第2页
第2页 / 共16页
连接处理方法及系统.pdf_第3页
第3页 / 共16页
点击查看更多>>
资源描述

《连接处理方法及系统.pdf》由会员分享,可在线阅读,更多相关《连接处理方法及系统.pdf(16页珍藏版)》请在专利查询网上搜索。

1、10申请公布号CN102026405A43申请公布日20110420CN102026405ACN102026405A21申请号201010611930222申请日20101229H04W76/02200901H04W92/0420090171申请人中兴通讯股份有限公司地址518057广东省深圳市南山区科技南路55号72发明人朱李74专利代理机构北京康信知识产权代理有限责任公司11240代理人余刚吴孟秋54发明名称连接处理方法及系统57摘要本发明公开了一种连接处理方法及系统,该方法包括MME和/或SGW与HENB之间建立安全连接;MME和/或SGW与HENB之间的连接通过安全连接进行保护。本发明。

2、增加了HENB系统数据传输机制的可靠性和安全性,解决了HENB系统在安全方面的缺陷,提升了HENB系统的安全性能。51INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书8页附图6页CN102026420A1/1页21一种连接处理方法,其特征在于,包括移动性管理实体MME和/或服务网关SGW与家庭演进基站HENB之间建立安全连接;所述MME和/或SGW与所述HENB之间的连接通过所述安全连接进行保护。2根据权利要求1所述的方法,其特征在于,所述MME和/或SGW与所述HENB建立安全连接包括所述MME和/或SGW与安全网关SEGW建立所述安全连接;所述SEGW与所述H。

3、ENB建立所述安全连接。3根据权利要求2所述的方法,其特征在于,所述MME和/或SGW与所述SEGW建立所述安全连接包括所述MME和/或SGW与家庭演进基站网关HENBGW建立所述安全连接;所述HENBGW与所述SEGW建立所述安全连接。4根据权利要求3所述的方法,其特征在于,所述MME和/或SGW与所述HENBGW建立的所述安全连接包括以下至少之一IPSEC隧道、TLS隧道、NDS/IP。5根据权利要求3所述的方法,其特征在于,所述HENBGW与所述SEGW建立的所述安全连接包括以下之一NDS/IP、所述HENBGW与所述SEGW的结合。6根据权利要求2所述的方法,其特征在于,当所述MME和。

4、/或SGW与所述SEGW建立的所述安全连接不经过所述HENBGW时,所述方法还包括所述MME和/或SGW与所述HENBGW建立所述安全连接;所述HENBGW与所述SEGW建立所述安全连接。7根据权利要求6所述的方法,其特征在于,所述MME和/或SGW与所述SEGW建立的不经过所述HENBGW的所述安全连接包括以下至少之一IPSEC隧道、TLS隧道、NDS/IP。8根据权利要求2所述的方法,其特征在于,在所述SEGW与所述HENB建立所述安全连接之后,所述方法还包括所述SEGW与所述HENB进行认证。9根据权利要求1至8中任一项所述的方法,其特征在于,所述安全连接包括以下至少之一数据源认证、机密。

5、性保护、完整性保护、防重放保护。10一种连接处理系统,其特征在于,包括移动性管理实体MME和/或服务网关SGW与家庭演进基站HENB,其中所述MME和/或SGW包括第一建立模块,用于与所述HENB建立安全连接,第一连接处理模块,用于通过所述安全连接对所述MME和/或SGW与所述HENB之间的连接进行保护;所述HENB包括第二建立模块,用于与所述MME和/或SGW建立安全连接,第二连接处理模块,用于通过所述安全连接对所述MME和/或SGW与所述HENB之间的连接进行保护。权利要求书CN102026405ACN102026420A1/8页3连接处理方法及系统技术领域0001本发明涉及通信领域,具体。

6、而言,涉及一种连接处理方法及系统。背景技术0002家庭基站HOMENODEB,简称为HNB用来为处在家庭内的第三代3RDGENERATION,简称为3G手机提供3G的无线覆盖。它被连接到已经存在的住宅宽带服务。它包含了一个标准的NODEB3G宏无线接入网络的一个元素的功能和一个标准的无线网络控制器RADIONETWORKCONTROLLER,简称为RNC的无线资源管理功能。0003图1是根据相关技术的HNB系统结构的示意图,如图1所示,第三代合作伙伴计划3RDGENERATIONPARTNERSHIPPROJECT,简称为3GPP用户设备和HNB之间的界面在全球移动通信系统无线接入网UNIVE。

7、RSALMOBILETELECOMMUNICATIONSYSTEMRADIOACCESSNETWORK,简称为UTRAN中是回程且相容的空中接口。HNB通过一个安全网关SECURITYGATEWAY,简称为SEGW接入运营商的核心网,其中HNB和SEGW之间的宽带互联网协议INTERNETPROTOCOL,简称为IP回程可能是不安全的。在此回程中传播的信息要被HNB和SEGW之间建立的安全通道保护。SEGW代表运营商的核心网和HNB进行相互认证。家庭基站网关HNBGATEWAY,简称为HNBGW和SEGW是在运营商的核心网内逻辑上分离的实体,用于非非公开授权用户组CLOSEDSUBSCRIBE。

8、RGROUP,简称CSG的用户设备USEREQUIPMENT,简称为UE的接入控制。HEMS需要安全的通信。0004图2是根据相关技术的HENB系统结构的示意图。家庭演进基站HOMEEVOLVEDNODEB,简称为HENB和HNB的区别就是它是连接3GPP用户设备和演进的陆地无线接入网EVOLVEDUTRAN,简称为EUTRAN的空中接口。HENB网关HOMEENODEBGATEWAY,简称为HENBGW为选择性部署。如果HENBGW被部署,则SEGW与HENBGW可以结合在一起;如果它们未被结合在一起,则SEGW与HENBGW之间的接口可用NDS/IP进行保护。0005HENB包括HNB和H。

9、ENB,是HNB和HENB的统称。0006针对HENB的安全,3GPPTR33820定义了27种威胁。这27种威胁被归纳为7大类。他们分别是对HENB资格证书的危害,对HENB的物理攻击,对HENB的构造的攻击,对HENB的协议的攻击,对核心网的攻击包括基于HENB位置的攻击,对用户的数据和身份隐私的攻击以及对无线资源和管理的攻击。0007图3是根据相关技术的包含HENBGW的EUTRAN架构的示意图,如图3所示,在此架构中,MME和/或SGW与HENBGW之间有S1口来进行控制面和用户面数据的传输,MME和/或SGW与HENB之间有S1口来进行控制面和用户面数据的传输,HENBGW与HENB。

10、之间也有S1来进行控制面和用户面数据的传输。0008图3中,现有安全规范对MME和/或SGW与ENB之间的S1口进行了安全保护。与ENB不同,HENB处在一个更加容易受到攻击的环境,也更容易被攻击,但是相关技术中,其与MME和/或SGW之间的S1口并没有得到保护,从而不能保证HE说明书CN102026405ACN102026420A2/8页4NB数据传输机制的可靠性与安全性。发明内容0009针对相关技术中HENB与MME和/或SGW之间的S1口并没有得到保护的问题而提出本发明,为此,本发明的主要目的在于提供一种连接处理方法及系统,以解决上述问题。0010为了实现上述目的,根据本发明的一个方面,。

11、提供了一种连接处理方法。0011根据本发明的连接处理方法包括MME和/或SGW与HENB之间建立安全连接;MME和/或SGW与HENB之间的连接通过安全连接进行保护。0012进一步地,MME和/或SGW与HENB建立安全连接包括MME和/或SGW与安全网关SEGW建立安全连接;SEGW与HENB建立安全连接。0013进一步地,MME和/或SGW与SEGW建立安全连接包括MME和/或SGW与家庭演进基站网关HENBGW建立安全连接;HENBGW与SEGW建立安全连接。0014进一步地,MME和/或SGW与HENBGW建立的安全连接包括以下至少之一IPSEC隧道、TLS隧道、NDS/IP。0015。

12、进一步地,HENBGW与SEGW建立的安全连接包括以下之一NDS/IP、HENBGW与SEGW的结合。0016进一步地,当MME和/或SGW与SEGW建立的安全连接不经过HENBGW时,上述方法还包括MME和/或SGW与HENBGW建立安全连接;HENBGW与SEGW建立安全连接。0017进一步地,MME和/或SGW与SEGW建立的不经过HENBGW的安全连接包括以下至少之一IPSEC隧道、TLS隧道、NDS/IP。0018进一步地,在SEGW与HENB建立安全连接之后,上述方法还包括SEGW与HENB进行认证。0019进一步地,安全连接包括以下至少之一数据源认证、机密性保护、完整性保护、防重。

13、放保护。0020为了实现上述目的,根据本发明的另一个方面,提供了一种连接处理系统。0021根据本发明的连接处理系统包括MME和/或SGW与HENB,其中MME和/或SGW包括第一建立模块,用于与HENB建立安全连接,第一连接处理模块,用于通过安全连接对MME和/或SGW与HENB之间的连接进行保护;HENB包括第二建立模块,用于与MME和/或SGW建立安全连接,第二连接处理模块,用于通过安全连接对MME和/或SGW与HENB之间的连接进行保护。0022本发明通过HENB与MME和/或SGW建立安全连接,并使用该安全连接进行数据传输,解决了相关技术中HENB与MME和/或SGW之间的S1口并没有。

14、得到保护的问题,从而增加了HENB系统数据传输机制的可靠性和安全性,解决了HENB系统在安全方面的缺陷,提升了HENB系统的安全性能。说明书CN102026405ACN102026420A3/8页5附图说明0023此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中0024图1是根据相关技术的HNB系统结构的示意图;0025图2是根据相关技术的HENB系统结构的示意图;0026图3是根据相关技术的包含HENBGW的EUTRAN架构的示意图;0027图4是根据本发明实施例的连接处理方法的流程图;0028。

15、图5是根据本发明优选实施例的连接处理方法的流程图;0029图6是根据本发明优选实施例一的连接处理方法的交互流程图;0030图7是根据本发明优选实施例二的连接处理方法的交互流程图;0031图8是根据本发明优选实施例三的连接处理方法的交互流程图;0032图9是根据本发明优选实施例四的连接处理方法的交互流程图;0033图10是根据本发明优选实施例五的连接处理方法的交互流程图;0034图11是根据本发明优选实施例六的连接处理方法的交互流程图;0035图12是根据本发明实施例的连接处理系统的结构框图。具体实施方式0036需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将。

16、参考附图并结合实施例来详细说明本发明。0037本发明实施例提供了一种连接处理方法。图4是根据本发明实施例的连接处理方法的流程图,如图4所示,包括如下的至步骤S404。0038步骤S402,MME和/或SGW与HENB建立安全连接。0039步骤S404,MME和/或SGW与HENB之间的连接通过安全连接进行保护。0040相关技术中,HENB与MME和/或SGW之间的S1口并没有得到保护,从而不能保证HENB数据传输机制的可靠性与安全性。本发明实施例中,通过HENB与MME和/或SGW建立安全连接,并使用该安全连接进行连接处理,增加了HENB系统数据传输机制的可靠性和安全性,解决了HENB系统在安。

17、全方面的缺陷,提升了HENB系统的安全性能。0041优选地,MME和/或SGW与HENB建立安全连接包括MME和/或SGW与SEGW建立安全连接;SEGW与HENB建立安全连接。0042优选地,MME和/或SGW与SEGW建立安全连接包括MME和/或SGW与家庭演进基站网关HENBGW建立安全连接;HENBGW与SEGW建立安全连接。0043优选地,MME和/或SGW与HENBGW建立的安全连接包括以下至少之一IPSEC隧道、TLS隧道、NDS/IP。0044优选地,HENBGW与SEGW建立的安全连接包括以下之一NDS/IP、HENBGW与SEGW的结合。0045优选地,当MME和/或SGW。

18、与SEGW建立的安全连接不经过HENBGW时,上述方法还包括MME和/或SGW与HENBGW建立安全连接;HENBGW说明书CN102026405ACN102026420A4/8页6与SEGW建立安全连接。0046优选地,MME和/或SGW与SEGW建立的不经过HENBGW的安全连接包括以下至少之一IPSEC隧道、TLS隧道、NDS/IP。0047优选地,在SEGW与HENB建立安全连接之后,上述方法还包括SEGW与HENB进行认证。0048优选地,安全连接包括以下至少之一数据源认证、机密性保护、完整性保护、防重放保护。0049优选地,HENB与MME和/或SGW之间的连接处理通过上述两个和/。

19、或一个安全连接来进行安全保护。0050下面将结合实例对本发明实施例的实现过程进行详细描述。0051图5是根据本发明优选实施例的连接处理方法的流程图,如图5所示,包括如下的步骤S502至步骤S514。0052步骤S502,MME和/或SGW与HENBGW之间建立IPSEC隧道和/或TLS隧道。0053步骤S504,HENBGW与SEGW之间建立安全连接,此安全连接可为NDS/IP或HENBGW与SEGW结合。0054步骤S506,MME和/或SGW与SEGW之间建立安全连接,此安全连接可由MME和/或SGW与HENBGW之间的安全连接和HENBGW与SEGW之间的安全连接组成,或为另外一条IPS。

20、EC隧道和/或TLS隧道。0055步骤S508,HENB与SEGW之间进行相互认证并建立安全连接。0056步骤S510,判断HENB与MME和/或SGW之间的数据传输是否通过两个安全连接来进行安全保护,如果是,则进行步骤S512,否则进行步骤S514。0057步骤S512,HENB与MME和/或SGW之间的数据传输分开保护,即,通过两个安全连接来进行安全保护。0058步骤S514,HENB与MME和/或SGW之间的数据传输经同一安全连接保护,即,通过一个安全连接来进行安全保护。0059需要说明的是,步骤S512和步骤S514中的安全保护可以为数据源认证和/或机密性保护和/或完整性保护和/或防重。

21、放保护,并可以用于保护HENB与MME和/或SGW之间的数据传输的安全连接均可为IPSEC隧道和/或TLS隧道。0060图6是根据本发明优选实施例一的连接处理方法的交互流程图,如图6所示,包括如下的步骤S602至步骤S612。0061步骤S602,MME和/或SGW与HENBGW之间建立IPSEC隧道和/或TLS隧道。0062步骤S604,HENBGW与SEGW之间建立安全连接,此安全连接可为NDS/IP或HENBGW与SEGW结合。0063步骤S606,MME和/或SGW与SEGW之间建立安全连接,此安全连接为另外一条IPSEC隧道和/或TLS隧道,此安全连接不经过HENBGW。0064步骤。

22、S608,HENB与SEGW之间进行相互认证并建立安全连接。0065步骤S610,HENB与MME和/或SGW之间的控制面数据传输通过经由HE说明书CN102026405ACN102026420A5/8页7NBGW的安全连接进行保护。0066步骤S612,HENB与MME和/或SGW之间的用户面数据传输通过不经过HENBGW的安全连接进行保护。0067需要说明的是,步骤S610和步骤S612中的安全保护可为数据源认证和/或机密性保护和/或完整性保护和/或防重放保护。用于保护HENB与MME和/或SGW之间的数据传输的安全连接可为IPSEC隧道和/或TLS隧道。0068图7是根据本发明优选实施例。

23、二的连接处理方法的交互流程图,如图7所示,包括如下的步骤S702至步骤S712。0069步骤S702,MME和/或SGW与HENBGW之间建立IPSEC隧道和/或TLS隧道。0070步骤S704,HENBGW与SEGW之间建立安全连接,此安全连接可为NDS/IP或HENBGW与SEGW结合。0071步骤S706,MME和/或SGW与SEGW之间建立安全连接,此安全连接为另外一条IPSEC隧道和/或TLS隧道,此安全连接不经过HENBGW。0072步骤S708,HENB与SEGW之间进行相互认证并建立安全连接。0073步骤S710,HENB与MME和/或SGW之间的控制面数据传输通过经由HENB。

24、GW的安全连接进行保护。0074步骤S712,HENB与MME和/或SGW之间的控制面数据和用户面数据传输通过不经过HENBGW的安全连接进行保护。0075需要说明的是,步骤S710和步骤S712中的安全保护可为数据源认证和/或机密性保护和/或完整性保护和/或防重放保护。用于保护HENB与MME和/或SGW之间的数据传输的安全连接可为IPSEC隧道和/或TLS隧道。0076图8是根据本发明优选实施例三的连接处理方法的交互流程图,如图8所示,包括如下的步骤S802至步骤S812。0077步骤S802,MME和/或SGW与HENBGW之间建立IPSEC隧道和/或TLS隧道。0078步骤S804,H。

25、ENBGW与SEGW之间建立安全连接,此安全连接可为NDS/IP或HENBGW与SEGW结合。0079步骤S806,MME和/或SGW与SEGW之间建立安全连接,此安全连接为另外一条IPSEC隧道和/或TLS隧道,此安全连接不经过HENBGW。0080步骤S808,HENB与SEGW之间进行相互认证并建立安全连接。0081步骤S810,HENB与MME和/或SGW之间的控制面数据和用户面数据传输通过经由HENBGW的安全连接进行保护。0082步骤S812,HENB与MME和/或SGW之间的用户面数据传输通过不经过HENBGW的安全连接进行保护。0083需要说明的是,步骤S810和步骤S812中。

26、的安全保护可为数据源认证和/或机密性保护和/或完整性保护和/或防重放保护。用于保护HENB与MME和/或SGW之间的数据传输的安全连接可为IPSEC隧道和/或TLS隧道。0084图9是根据本发明优选实施例四的连接处理方法的交互流程图,如图9所示,包说明书CN102026405ACN102026420A6/8页8括如下的步骤S902至步骤S912。0085步骤S902,MME和/或SGW与HENBGW之间建立IPSEC隧道和/或TLS隧道。0086步骤S904,HENBGW与SEGW之间建立安全连接,此安全连接可为NDS/IP或HENBGW与SEGW结合。0087步骤S906,MME和/或SGW。

27、与SEGW之间建立安全连接,此安全连接为另外一条IPSEC隧道和/或TLS隧道,此安全连接不经过HENBGW。0088步骤S908,HENB与SEGW之间进行相互认证并建立安全连接。0089步骤S910,HENB与MME和/或SGW之间的控制面和用户面数据传输通过经由HENBGW的安全连接进行保护。0090步骤S912,HENB与MME和/或SGW之间的控制面和用户面数据传输通过不经过HENBGW的安全连接进行保护。0091需要说明的是,步骤S910和步骤S912中的安全保护可为数据源认证和/或机密性保护和/或完整性保护和/或防重放保护。用于保护HENB与MME和/或SGW之间的数据传输的安全。

28、连接可为IPSEC隧道和/或TLS隧道。0092图10是根据本发明优选实施例五的连接处理方法的交互流程图,如图10所示,包括如下的步骤S1002至步骤S1010。0093步骤S1002,MME和/或SGW与HENBGW之间建立IPSEC隧道和/或TLS隧道。0094步骤S1004,HENBGW与SEGW之间建立安全连接,此安全连接可为NDS/IP或HENBGW与SEGW结合。0095步骤S1006,MME和/或SGW与SEGW之间建立安全连接,此安全连接可由MME和/或SGW与HENBGW之间的安全连接和HENBGW与SEGW之间的安全连接组成。0096步骤S1008,HENB与SEGW之间进。

29、行相互认证并建立安全连接。0097步骤S1010,HENB与MME和/或SGW之间的用户面和/或控制面数据传输通过逐跳的安全连接来进行安全保护。0098需要说明的是,步骤S1010中的安全保护可为数据源认证和/或机密性保护和/或完整性保护和/或防重放保护。用于保护HENB与MME和/或SGW之间的数据传输的安全连接均可为IPSEC隧道和/或TLS隧道。0099图11是根据本发明优选实施例六的连接处理方法的交互流程图,如图11所示,包括如下的步骤S1102至步骤S1112。0100步骤S1102,MME和/或SGW与HENBGW之间建立IPSEC隧道和/或TLS隧道。0101步骤S1104,HE。

30、NBGW与SEGW之间建立安全连接,此安全连接可为NDS/IP或HENBGW与SEGW结合。0102步骤S1106,MME和/或SGW与SEGW之间建立安全连接,此安全连接可由MME和/或SGW与HENBGW之间的安全连接和HENBGW与SEGW之间的安全连接组成。说明书CN102026405ACN102026420A7/8页90103步骤S1108,HENB与SEGW之间进行相互认证并建立安全连接。0104步骤S1110,HENB与MME和/或SGW之间的控制面数据传输通过逐跳的安全连接来进行安全保护。0105步骤S1112,此安全保护可为数据源认证和/或机密性保护和/或完整性保护和/或防重。

31、放保护。0106HENB与MME和/或SGW之间的用户面数据传输通过逐跳的安全连接来进行安全保护。此安全保护可为数据源认证和/或机密性保护和/或防重放保护。用于保护HENB与MME和/或SGW之间的数据传输的安全连接均可为IPSEC隧道和/或TLS隧道。0107需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。0108本发明实施例提供了一种连接处理系统,该连接处理系统可以用于实现上述连接处理方法。图12是根据本发明实施例的连接处理系统的结构框图,如图12所示。

32、,包括MME和/或SGW122与HENB124,其中MME和/或SGW122包括第一建立模块1222和第一连接处理模块1224,HENB124包括第二建立模块1242和第二连接处理模块1244。下面对其进行详细描述。0109第一建立模块1222,用于与HENB124建立安全连接,第一连接处理模块1224,连接至第一建立模块1222,用于通过第一建立模块1222建立的安全连接对MME和/或SGW122与HENB124之间的连接进行保护。0110第二建立模块1242,用于与MME和/或SGW122建立安全连接,第二连接处理模块1244,连接至第二建立模块1242,用于通过第二建立模块1242建立的。

33、安全连接对MME和/或SGW122与HENB124之间的连接进行保护。0111具体地,第二建立模块1242,用于与MME和/或SGW122中的第一建立模块1222建立安全连接,第二连接处理模块1244,连接至第二建立模块1242,用于通过第二建立模块1242建立的安全连接对MME和/或SGW122中的第一连接处理模块1224与第二连接处理模块1244之间的连接进行保护。0112需要说明的是,装置实施例中描述的连接处理系统对应于上述的方法实施例,其具体的实现过程在方法实施例中已经进行过详细说明,在此不再赘述。0113综上所述,根据本发明的上述实施例,提供了一种连接处理方法及系统。通过HENB与M。

34、ME和/或SGW建立安全连接,并使用该安全连接进行连接处理,解决了相关技术中HENB与MME和/或SGW之间的S1口并没有得到保护的问题,从而增加了HENB系统数据传输机制的可靠性和安全性,解决了HENB系统在安全方面的缺陷,提升了HENB系统的安全性能。0114显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集。

35、成电路模块来实现。这样,本发明不限制说明书CN102026405ACN102026420A8/8页10于任何特定的硬件和软件结合。0115以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。说明书CN102026405ACN102026420A1/6页11图1图2图3说明书附图CN102026405ACN102026420A2/6页12图4图5说明书附图CN102026405ACN102026420A3/6页13图6图7说明书附图CN102026405ACN102026420A4/6页14图8图9说明书附图CN102026405ACN102026420A5/6页15图10图11说明书附图CN102026405ACN102026420A6/6页16图12说明书附图CN102026405A。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1