一种验证消息的无线通信网络及方法.pdf

摘要
申请专利号：	CN201180019217.1	申请日：	2011.03.08
公开号：	CN102845087A	公开日：	2012.12.26
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04W 12/12申请日:20110308\|\|\|公开
IPC分类号：	H04W12/12; H04W12/06; H04L29/06	主分类号：	H04W12/12
申请人：	阿尔卡特朗讯
发明人：	托尼·普特曼; 格雷汉姆·布兰德
地址：	法国巴黎市
优先权：	2010.04.13 EP 10290201.2
专利代理机构：	北京汉昊知识产权代理事务所(普通合伙) 11370	代理人：	罗朋;周建华
PDF下载：	PDF下载

内容摘要

提供一种验证来自无线通信网络中飞小区基站的消息的方法，其中，所述无线通信网络包括安全网关和飞小区基站网关，该方法包括步骤：由所述安全网关检查来自所述飞小区基站的消息中的源IP地址，是否与预期来自该飞小区基站的相符合；及由所述飞小区基站网关，通过检查将飞小区基站标识符与源IP地址数据相关联的数据库，检查所述消息中的源IP地址是否与预期来自该飞小区基站的相符合。

权利要求书

1.一种验证来自无线通信网络中飞小区基站的消息的方法，其中，所述无线通信网络包括安全网关和飞小区基站网关，该方法包括步骤：由所述安全网关检查来自所述飞小区基站的消息中的源IP地址，是否与预期来自该飞小区基站的相符合；及还由所述飞小区基站网关，通过检查将飞小区基站标识符与源IP地址数据相关联的数据库，检查所述消息中的源IP地址是否与预期来自该飞小区基站的相符合。2.根据权利要求1所述的方法，其中，所述飞小区基站经由所述安全网关被连接至所述飞小区基站网关。3.根据权利要求1或2所述的方法，其中，所述源IP地址被所述飞小区基站网关分配给经由IP隧道与所述飞小区基站的连接，并被作为与飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库中。4.根据权利要求1或2所述的方法，其中，所述源IP地址被动态主机配置协议(DHCP)服务器分配给所述飞小区基站网关与所述飞小区基站之间的、经IP隧道的连接，并被作为与飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库。5.根据权利要求3或4所述的方法，其中，所述源IP地址，通过为所述经IP隧道与所述飞小区基站的连接分配IP地址范围，并在该范围内选择一个源IP地址以包含于所述消息，来被分配，并且所述源IP地址数据被记录于包含所述源IP地址范围的所述数据库。6.根据任一在先权利要求所述的方法，其中，所述消息包括注册请求消息，并且一旦两检查均通过，所述飞小区基站被所述飞小区基站网关注册。7.一种无线通信网络，包括安全网关和飞小区基站网关，及至少一个飞小区基站，所述安全网关被配置以验证从飞小区基站所接收的消息，所述安全网关包括检查处理装置，所述检查处理装置被配置以检查来自所述飞小区基站的所述消息中的源IP地址是否与预期来自该飞小区基站的相符合；及所述飞小区基站网关包括进一步处理装置，所述进一步处理装置被配置以通过检查使飞小区基站标识符与源IP地址数据相关联的数据库，来检查在所述消息中的所述源IP地址是否与预期来自该飞小区基站的相符合。8.根据权利要求7所述的网络，其中，所述至少一个飞小区基站经由所述安全网关被连接至所述飞小区基站网关。9.根据权利要求7或8所述的网络，其中，所述消息包括注册请求消息，并且所述飞小区基站网关被配置以当被发现符合时注册所述飞小区基站。10.根据权利要求7至9中任一项所述的网络，其中，所述飞小区基站网关包括所述数据库。11.根据权利要求7至10中任一项所述的网络，其中，所述源IP地址被所述飞小区基站网关分配给经IP隧道与所述飞小区基站的连接，并被作为与用于检查的飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库。12.根据权利要求7至9中任一项所述的网络，其中，所述源IP地址被单立网元被分配给在所述飞小区基站网关与所述飞小区基站之间的、经IP隧道的连接，并被作为与飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库。13.根据权利要求12所述的网络，其中，所述单立网元包括所述数据库。14.根据权利要求12或13所述的网络，其中，所述单立网元包括动态主机配置协议服务器。15.根据权利要求7至14中任一项所述的网络，其中，在使用中，所述源IP地址，通过为所述经IP隧道与所述飞小区基站的连接分配IP地址范围，并且所述飞小区基站在该范围内选择一个源IP地址以包含于所述消息，来被分配，并且被记录于所述数据库的所述源IP地址数据包括所述源IP地址范围。

说明书

一种验证消息的无线通信网络及方法

技术领域

本发明涉及通信领域，特别涉及无线通信。

背景技术

无线通信系统是众所周知的。许多此类系统为蜂窝式，因为无线覆
盖是通过一束被称为小区的无线覆盖区域来提供的。提供无线覆盖的基
站位于每一小区中。传统基站在相对大的地理区域提供覆盖，对应的小
区通常被称为宏小区。

在宏小区中建立较小规模的小区是可能的。小于宏小区的小区有时
被称为小小区(small cell)、微小区(microcell)、微微小区(picocell)
或飞小区(femtocell)，但是，我们将术语飞小区一般地用于小于宏小区
的小区。建立飞小区的一种方式包括提供运行于宏小区覆盖区域内相对
有限范围的飞小区基站。运用飞小区基站的一个示例包括在建筑物内提
供无线通信覆盖。飞小区基站(femtocell base stations)有时被称为毫微
微基站(femto)。

飞小区基站具有相对低的发射功率，因而，每一飞小区具有比宏小
区小的覆盖区域。典型的覆盖范围为几十米。飞小区基站具有自动配置
和自优化功能，以便支持非优化的部署，即由用户实现的即插即用式部
署，以便自动地将它们集成于现有的宏小区网络中。

飞小区基站主要用于特定家庭及办公室内的用户。飞小区基站可为
私有接入(“封闭”)或公共接入(“开放”)。在私有接入的飞小区基站
中，接入仅限于注册用户，例如家庭成员或特定雇员群体。在公共接入
的飞小区基站，其他用户也可使用飞小区基站，服从于某些限制以保护
注册用户所接收到的服务质量。

一种已知类型的飞小区基站利用宽带互联网协议连接作为“回程”
(backhaul)，即用于至核心网络的连接。一种宽带互联网协议连接包括
数字用户线路(DSL)。DSL将飞小区基站的DSL发射装置-接收装置(“收
发装置”)连接至核心网络。DSL允许经由所支持的飞小区基站提供的
语音通话和其他服务。飞小区基站还包括被连接至用于无线通信的天线
的无线射频(RF)收发装置。

为了与宏小区网络相集成，飞小区基站需要与(第二代/2.5代(2.5G)
/第三代)宏小区网络中的各种网元交换信令消息。该信令符合相关的第
三代合作伙伴项目(3GPP)标准，以使飞小区表现为一个或多个3GPP
兼容的节点。为实现此，飞小区基站被分组为簇，每一簇经由称为飞小
区基站网关的网关被连接至宏小区网络。

飞小区基站网关终止在宏小区网络中的核心网元与飞小区簇之间
的信令，从而，使飞小区的整个簇能够表现为单个虚拟的无线网络控制
装置(RNC)，如3GPP标准所要求。

飞小区基站网关可支持在簇中的数千个飞小区。通过用户的很少或
无参与，每一飞小区基站连接并注册至该飞小区基站网关。飞小区基站
有时被称为毫微微基站(femto)。这是基本原则——每一飞小区基站，
即便被入侵，不应干扰另一个飞小区基站的运行。相应地，来自飞小区
基站的注册信息必须验证为可信的。

如图1所示(现有技术)，在一个已知的方法中，安全网关1在飞
小区基站3和飞小区基站网关5之间的被提供。飞小区基站3向安全网
关1验证其自身，并建立至安全网关1的安全的互联网协议隧道。该验
证对建立该飞小区基站的信任证书是足够的。

发明内容

读者可参见所附加的独立权利要求。一些优选特征在从属权利要求
中被列出。

本发明的一个示例包括一种验证来自无线通信网络中飞小区基站
的消息的方法，其中，所述无线通信网络包括安全网关和飞小区基站网
关，该方法包括步骤：

在所述安全网关中检查来自所述飞小区基站的消息中的源IP地址，
是否与预期来自该飞小区基站的相符合；及

在所述飞小区基站网关中，通过检查将飞小区基站标识符与源IP
地址数据相关联的数据库，检查所述消息中的源IP地址是否与预期来自
该飞小区基站的相符合。

一些优选实施例提供一种确定飞小区基站已经被验证的方法。符合
标准的安全网关验证经由IP安全隧道所接收的分组的源IP地址是否匹
配被分配给该飞小区基站的地址或地址范围。此外，该源IP地址作为注
册消息的部分被发送至该飞小区基站网关，因此，该飞小区基站网关能
够将该飞小区基站的身份与该源IP地址相关联，因而验证该消息的真实
性。

在优选实施例中，源IP地址数据包括源IP地址或源IP地址范围—
—这可包括虚拟专用网络VPN IP地址或VPN IP地址范围——并且，在
隧道被建立时被分配并在该隧道的期间未被改变。

在优选实施例中，IP地址或IP地址范围通过飞小区基站网关，或
该飞小区基站网关可查询的其它网元，来被分配，以获取所存储的、在
飞小区基站标识符与源IP地址或地址范围之间的映射。随后，当飞小区
基站网关接收包括源IP地址的注册请求消息时，该飞小区基站网关运用
所存储的映射来确定该消息真正地来自于发送的飞小区基站。

本发明可被用于具有通用移动通信系统(UMTS)飞小区基站的网
络，以及涉及利用与飞小区基站网关相分离的安全网关的飞小区基站的
其他网络。

优选实施例有利地防止受入侵的飞小区基站获得网络访问，支持安
全网关和飞小区基站网关功能相分离。

附图说明

通过举例并参照附图，本发明的实施例现在将被描述，其中：

图1为示出飞小区基站验证/授权(现有技术)的已知方式的示意图；

图2为示出飞小区验证/授权的替代方式(备选方案)的示意图；

图3为示出根据本发明第一实施例的无线通信网络的示意图；

图4为示出在图1所示的一个宏小区中示例飞小区基站部署的示意
图；

图5为更详细示出图3和4中所示飞小区基站、安全网关和飞小区
基站网关的示意图；

图6为示出运用图5所示装置的飞小区基站授权方案的消息序列示
意图；

图7为示出根据本发明的第二实施例的飞小区基站、安全网关、飞
小区基站网关和动态主机配置协议(DHCP)服务器的示意图；及

图8为示出运用图7所示装置的飞小区基站授权方案的消息序列示
意图。

具体实施方式

发明人意识到，在图1(现有技术)所示已知方法中，自飞小区基
站3的通信被发往在安全网关1后面的网元，诸如飞小区基站网关5，
该通信不包括加密或验证信息，因为这被安全网关1移除。因此，被入
侵的飞小区基站最初用其正确的身份向安全网关验证，随后可运用不同
的身份连接至飞小区基站网关5并向其注册。安全网关1没有将该注册
消息检测为无效，因为该安全网关不验证负载信息。按照这种方式伪装
注册消息，使飞小区基站所有者危害安全成为可能，例如，通过变更飞
小区基站配置以使该飞小区基站变为开放接入，从而使第三方用户终端
通过该飞小区拔打电话成为可能。这允许该所有者然后窃听通过该飞小
区基站拔打的通话，包括名人电话，因此危及隐私。

发明人意识到，备选方案(既非现有技术，也非本发明的实施例)
将安全网关和飞小区基站网关组合为一个单一的设备。这如图2所示(备
选方案)，并为当前3GPP通用移动通讯系统(UMTS)标准的版本9所
允许的解决方案。这使在该设备中的飞小区基站网关功能能够利用该设
备上的安全网关验证功能来验证注册消息的源。然而，发明人意识到，
这样的结合并非总是很实用。例如，飞小区基站网关通常由飞小区基站
制造商提供给网络运营商，而安全网关通常从一组有限的非飞小区基站
技术领域专家的供应商被购进。

因此，发明人意识到，该等网关的分离是更可取的，因此为解决安
全问题，在经该安全网关成功验证之后，互联网协议源地址从该安全网
关被发送至该飞小区基站网关，在此它相对由该飞小区基站网关初始所
分配给该飞小区基站的被再次检查。

我们现在描述包括飞小区基站的网络，然后更详细地查看飞小区基
站授权过程。

网络

如图1和图2所示，用于无线通信的网络10，用户终端34可在其
中漫游，该网络包括两种类型的基站，即宏小区基站和飞小区基站(后
者有时被称为“毫微微基站(femto)”)。为简单起见，在图3和图4中
示出一个宏小区基站22。每一宏小区基站具有无线覆盖区域24，该无
线覆盖区域通常被称为宏小区。宏小区24的地理范围依赖于宏小区基
站22的能力及周围地形。

在宏小区24中，每一飞小区基站30提供在相应飞小区32中的无
线通信。飞小区包括无线覆盖区域。飞小区32的无线覆盖区域比宏小
区24的无线覆盖区域小的多。例如，飞小区32，在规模大小上，对应
于用户的办公室或家庭。

如图3所示，网络10被无线网络控制装置RNC 170所管理。无线
网络控制装置RNC 170控制运行，例如通过经由回程通信链路160与宏
小区基站22进行通信。无线网络控制装置170维护邻居列表，该邻居
列表包括关于基站所支持小区之间的地理关系的信息。此外，无线网络
控制装置170维护位置信息，该位置信息提供关于用户设备在无线通信
系统10中的位置的信息。无线网络控制装置170可用于经由电路交换
网络和分组交换网络对业务进行路由。对于电路交换业务，移动交换中
心250被提供，无线网络控制装置170可与其进行通信。移动交换中心
250与电路交换网络，诸如公共交换电话网(PSTN)210，进行通信。
对于分组交换业务。网络控制装置170与通用分组无线业务服务支持节
点(SGSN)220及通用分组无线业务网关支持节点(GGSN)180进行
通信。该GGSN然后与分组交换核心网190，诸如，例如，互联网190，
进行通信。

MSC 250、SGSN 220、GGSN 180及运营商IP网络215组成所谓的
核心网络253。SGSN 220与GGSN 180通过运营商IP网络215被连接
至飞小区控制装置/网关230。

飞小区控制装置/网关230经由安全网关231和互联网190被连接至
飞小区基站32。这些至安全网关231的连接为宽带互联网协议连接(“回
程”连接)。

运营商IP网络215也被连接至互联网协议多媒体系统(IMS)核心
网络217。

在图4中，为简单起见，三个飞小区基站30及相应的飞小区32被
示出。

对于在宏小区24中的移动终端34，按照已知的方式与宏小区基站
22进行通信是可能的。当移动终端34进入飞小区32，该移动终端被注
册以与该飞小区的飞小区基站30进行通信时，将与该移动终端的连接
从该宏小区切换至该飞小区是可取的。在图4所示的示例中，移动终端
34的用户为飞小区32中最近的32’的优选用户。

如图4所示，飞小区基站30经由宽带互联网协议连接(“回程”)
36被连接至核心网络(在图4中未示出)，及因而被连接至通信“世界”
的其余部分(在图4中未示出)。“回程”连接36允许该等飞小区基站
30之间、通过该核心网络(未示出)的通信。该宏小区基站也被连接至
该核心网络(在图4中未示出)。

如前所述，飞小区基站具有相对低的发射功率，因而，每一飞小区
相比宏小区具有较小的覆盖区域。典型的覆盖范围为数十米。飞小区基
站具有自动配置和自优化功能，以便支持非优化的部署，即由用户进行
的即插即用式部署，以便将其自身自动集成入现有的宏小区网络。

如前所述，为了与宏小区网络相集成，飞小区基站需要与(第二代
/2.5代(2.5G)/第三代)宏小区网络中的各种网元交换信令消息。该信
令符合第三代合作伙伴项目(3GPP)标准(版本8)，以使飞小区表现
为一个或多个3GPP兼容的节点。特别地，为实现此，飞小区基站被分
组为簇，每一簇经由被称为飞小区基站网关的网关被连接至该宏小区网
络。该飞小区基站网关终止在该宏小区网络中的核心网元与该飞小区簇
之间的信令，从而，使飞小区的整个簇能够表现为单个虚拟的无线网络
控制装置(RNC)，该RNC符合3GPP标准(版本8)。

安全网关与飞小区基站网关

如图5所示，飞小区基站30被连接至安全网关231，该安全网关被
连接至飞小区基站网关230。该安全网关和该飞小区基站网关是分离的。

安全网关231包括数据库40、配置控制装置42及验证装置44。数
据库40将飞小区基站识别符(飞小区基站ID)与源IP地址及密钥相关
联。

飞小区基站网关230包括验证装置45、飞小区基站注册模块
(registration stage)46、将飞小区基站ID与该飞小区基站的源IP地址
相关联的数据库48，及IP地址分配装置50，IP地址分配装置50将IP
地址分配给该飞小区基站以供该飞小区将其用作它自身的IP地址。

在使用中，安全网关231请求由飞小区基站网关230对所有飞小区
基站的第二次授权，该等飞小区基站寻求建立至该飞小区基站网关的IP
隧道。

操作将被更详细解释如下。

飞小区基站授权过程

如图6所示，在该基于通用移动通信系统(UMTS)的示例中，飞
小区基站30发送(步骤a)包括飞小区基站识别符(飞小区基站ID)
及验证信息的授权请求。该安全网关通过检查(步骤a1)该飞小区基站
ID是否是自其接收消息的飞小区基站的，执行首要授权。若是，该安全
网关然后向该飞小区基站网关发送(步骤b)相应的访问请求，该访问
请求包括获授权的飞小区基站ID。该飞小区基站网关然后(步骤c)也
授权该飞小区基站，将该飞小区基站ID存储于该飞小区基站网关的数
据库48中，并为该飞小区基站分配IP地址。该IP地址被存储于数据库
48，并被映射到该飞小区基站ID。

该飞小区基站网关然后将包括该IP地址的访问接受消息返回(步骤
d)至该安全网关。该安全网关的配置控制装置42然后在授权响应消息
中将该IP地址传递(步骤e)至该飞小区基站。然后，在飞小区基站30
和该安全网关之间的安全隧道被建立。

该飞小区基站然后通过该隧道将包括该IP地址的消息发送(步骤g)
至该安全网关。

该安全网关运用其知晓的、被分配给该IP地址的密钥，以便(步骤
h)解密及验证消息并检测该消息包含的IP地址是否与该飞小区基站ID
相符合。这防止了该飞小区基站运用伪造的源IP地址。

假设该验证成功，该安全网关将包含该源IP地址及注册请求的解密
消息发送(步骤i)至该飞小区基站网关。

一旦接收到该消息，飞小区基站网关230的验证装置45检查该源
IP地址及在该消息的注册请求部分所指示的飞小区基站ID。若所接收的
源IP地址与该飞小区基站网关的数据库48中所存储的、被分配给该飞
小区基站ID的一个相对应，该身份则被认为是可信的，该飞小区基站
网关的飞小区基站注册模块46注册该飞小区基站。

在该实施例中，在所存储(步骤c)的飞小区基站标识符与所接收
(步骤i)的飞小区基站标识符之间的关联被建立，以使来自该飞小区
基站的后续消息被自动地认为是获授权的。在一些其他实施例中，如此
授权而是在每一个后续消息(即时地(on-the-fly))上被执行的。

另一示例

如图7中所示，在第二个示例中，飞小区基站30’被连接至安全网
关231’，该安全网关231’被连接至飞小区基站网关230’。

安全网关231’包括数据库40’、配置控制装置42’及验证装置44’。
数据库40’将飞小区基站标识符(飞小区基站ID)与源IP地址及密钥
相关联。

飞小区基站网关230’包括飞小区基站注册模块46’及数据库查询
处理装置72。

安全网关231’与飞小区基站网关230’直接互相连接，并且还经
由包括数据库48’及IP地址分配装置50’的动态主机配置协议(DHCP)
服务器70互相连接。数据库48’将飞小区基站ID与该飞小区基站的源
IP地址相关联。IP地址分配装置50’将IP地址分配给该飞小区基站以
供该飞小区将其用作它自身的IP地址。

在使用中，该安全网关请求由该飞小区基站网关对所有飞小区基站
的第二次授权，该等飞小区基站寻求建立至该飞小区基站网关的IP隧
道。飞小区基站网关230’查询DHCP服务器70以实现该请求。操作将
被更详细解释如下。

如图8所示，在该第二实施例，其同为基于通用移动通信系统
(UMTS)的示例中，该安全网关被配置以从独立服务器中获取IP地址，
即该示例中的动态主机配置协议(DHCP)服务器70。

如图8所示，飞小区基站30’将包括飞小区基站识别符(飞小区基
站ID)与验证信息的授权请求发送(步骤a)至该安全网关，作为建立
安全隧道的第一个步骤。安全网关231’接收该请求，并通过检查(步
骤b’)该飞小区基站ID是否是自其接收消息的飞小区基站的，执行首
要授权。若是，该安全网关然后向DHCP服务器70发送(步骤c’)相
应的访问请求，该访问请求包括获授权的飞小区基站ID，以便为该飞小
区基站请求IP地址。该请求包括作为DHCP客户端硬件地址(chaddr)
的、经验证的飞小区基站身份。

DHCP服务器然后(步骤d’)将该飞小区基站ID存储于数据库48
中，并为该飞小区基站分配IP地址。该IP地址被存储于数据库48’，
并被映射到该客户端硬件地址，即该飞小区基站ID。

DHCP服务器然后将包括该IP地址的访问接受消息返回(步骤e’)
至该安全网关。该安全网关的配置控制装置42’然后在授权响应消息中
将该IP地址传递(步骤f’)至飞小区基站30’。然后在飞小区基站30’
与安全网关231’之间的安全隧道被建立(步骤g’)。

在隧道建立之后，飞小区基站然后通过该隧道，将包括IP地址的消
息发送(步骤h’)至安全网关。

该安全网关运用其知晓的、被分配给该IP地址的密钥，以便(步骤
i’)解密及验证消息并检测该消息包含的IP地址是否与该飞小区基站ID
相符合。这防止了该飞小区基站运用伪造的源IP地址。

假设该验证成功，该安全网关将包含该源IP地址及包括该飞小区基
站ID的注册请求的解密消息，发送(步骤j’)至该飞小区基站网关。

一旦接收到该消息，该飞小区基站网关的数据库查询处理装置72
将请求发送(步骤k’)至动态主机配置协议(DHCP)服务器，来请求
被分配给该飞小区基站ID身份的IP地址。DHCP服务器从其内部的数
据库48’获取(步骤l’)相应的IP地址，并以所分配的IP地址响应(步
骤m’)该飞小区基站网关。飞小区基站网关230’的验证装置45’检
查，从DHCP服务器接收到的该IP地址是否与包含该消息注册请求部
分的分组的源IP地址相匹配。若是，该身份则被认为是可信的，该飞小
区基站网关的飞小区基站注册模块46’注册该飞小区基站。

一些变体

在关于图5至8所描述的示例中，各种消息中的飞小区基站的标识
符是完全相同的。然而，该等标识符不必如此。在一些实施例中，具有
可靠机制，例如在飞小区基站网关中，以将一种身份格式转变为另一种
身份格式，是足够的。例如，在参考图5和6所描述的示例，在至飞小
区基站网关的两个消息中所使用的标识，参见前文b和i所表示的步骤，
对于飞小区基站是相同的，即飞小区基站ID。在一些其它实施例中，它
们是不同的，但随后，飞小区基站网关知晓在这两个不同但有效的、飞
小区基站的标识符之间的映射，因而可检查它们是否关联。例如，这两
个不同的标识符可以采用不同的格式，例如，互联网密钥交换版本2
(Internet Key Exchange version 2，IKEv2)与家庭基站应用部分(Home
NodeB Application Part，HNBAP)。

同样，在参考图7和8所描述的实施例的变形中，DHCP服务器已
将多个IP地址分配给相同的飞小区基站，例如，在建立多个IP隧道中。
在该情况下，所分配的多个地址中的任一个匹配包括注册请求的分组的
源IP地址，是足够的。

在一些进一步的实施例中，DHCP服务器的使用允许多个设备(服
务器、网关、应用设备等)验证来自飞小区基站的注册消息。例如，若
该飞小区基站也向呈现服务器(presence server)注册，则该呈现服务器
也可利用相似的消息交换，请求来自DHCP服务器的所关联的IP地址。

本发明可以其他特殊形式被实现，并不背离本发明的本质特征。所
描述的实施例应被认为在所有方面仅为说明性的而不是限制性的。因
此，本发明的范围通过附加的权利要求而非通过前述描述，被示出。在
该等权利要求等同的含义及范围之内的所有变化，将包含于该等权利要
求的范围。

本领域技术人员将容易地认识到各种上述方法的步骤可通过编程
计算机被执行。一些实施例涉及程序存储设备，如数字数据存储介质，
其为机器或计算机可读并对机器可执行或计算机可执行的程序指令进
行编码，在此，所述指令执行所述上述方法的部分或全部步骤。程序存
储设备可包括，例如，数字存储器；磁存储介质，诸如磁盘及磁带；硬
盘驱动器；或光可读数字数据存储介质。一些实施例涉及经编程以执行
上述方法的所述步骤的计算机。

资源描述

《一种验证消息的无线通信网络及方法.pdf》由会员分享，可在线阅读，更多相关《一种验证消息的无线通信网络及方法.pdf（17页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102845087 A (43)申请公布日 2012.12.26 C N 1 0 2 8 4 5 0 8 7 A *CN102845087A* (21)申请号 201180019217.1 (22)申请日 2011.03.08 10290201.2 2010.04.13 EP H04W 12/12(2006.01) H04W 12/06(2006.01) H04L 29/06(2006.01) (71)申请人阿尔卡特朗讯地址法国巴黎市 (72)发明人托尼普特曼格雷汉姆布兰德 (74)专利代理机构北京汉昊知识产权代理事务所(普通合伙) 11370 代理人罗朋周建。

2、华 (54) 发明名称一种验证消息的无线通信网络及方法 (57) 摘要提供一种验证来自无线通信网络中飞小区基站的消息的方法，其中，所述无线通信网络包括安全网关和飞小区基站网关，该方法包括步骤：由所述安全网关检查来自所述飞小区基站的消息中的源IP地址，是否与预期来自该飞小区基站的相符合；及由所述飞小区基站网关，通过检查将飞小区基站标识符与源IP地址数据相关联的数据库，检查所述消息中的源IP地址是否与预期来自该飞小区基站的相符合。 (30)优先权数据 (85)PCT申请进入国家阶段日 2012.10.15 (86)PCT申请的申请数据 PCT/EP2011/001132 201。

3、1.03.08 (87)PCT申请的公布数据 WO2011/128014 EN 2011.10.20 (51)Int.Cl. 权利要求书2页说明书7页附图7页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 7 页附图 7 页 1/2页 2 1.一种验证来自无线通信网络中飞小区基站的消息的方法，其中，所述无线通信网络包括安全网关和飞小区基站网关，该方法包括步骤：由所述安全网关检查来自所述飞小区基站的消息中的源IP地址，是否与预期来自该飞小区基站的相符合；及还由所述飞小区基站网关，通过检查将飞小区基站标识符与源IP地址数据相关联的数据库，检。

4、查所述消息中的源IP地址是否与预期来自该飞小区基站的相符合。 2.根据权利要求1所述的方法，其中，所述飞小区基站经由所述安全网关被连接至所述飞小区基站网关。 3.根据权利要求1或2所述的方法，其中，所述源IP地址被所述飞小区基站网关分配给经由IP隧道与所述飞小区基站的连接，并被作为与飞小区基站标识符相关联的所述源 IP地址数据记录于所述数据库中。 4.根据权利要求1或2所述的方法，其中，所述源IP地址被动态主机配置协议(DHCP) 服务器分配给所述飞小区基站网关与所述飞小区基站之间的、经IP隧道的连接，并被作为与飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库。 5.根据权利要。

5、求3或4所述的方法，其中，所述源IP地址，通过为所述经IP隧道与所述飞小区基站的连接分配IP地址范围，并在该范围内选择一个源IP地址以包含于所述消息，来被分配，并且所述源IP地址数据被记录于包含所述源IP地址范围的所述数据库。 6.根据任一在先权利要求所述的方法，其中，所述消息包括注册请求消息，并且一旦两检查均通过，所述飞小区基站被所述飞小区基站网关注册。 7.一种无线通信网络，包括安全网关和飞小区基站网关，及至少一个飞小区基站，所述安全网关被配置以验证从飞小区基站所接收的消息，所述安全网关包括检查处理装置，所述检查处理装置被配置以检查来自所述飞小区基站的所述消息中的源IP地址是否。

6、与预期来自该飞小区基站的相符合；及所述飞小区基站网关包括进一步处理装置，所述进一步处理装置被配置以通过检查使飞小区基站标识符与源IP地址数据相关联的数据库，来检查在所述消息中的所述源IP地址是否与预期来自该飞小区基站的相符合。 8.根据权利要求7所述的网络，其中，所述至少一个飞小区基站经由所述安全网关被连接至所述飞小区基站网关。 9.根据权利要求7或8所述的网络，其中，所述消息包括注册请求消息，并且所述飞小区基站网关被配置以当被发现符合时注册所述飞小区基站。 10.根据权利要求7至9中任一项所述的网络，其中，所述飞小区基站网关包括所述数据库。 11.根据权利要求7至10中任一项所述。

7、的网络，其中，所述源IP地址被所述飞小区基站网关分配给经IP隧道与所述飞小区基站的连接，并被作为与用于检查的飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库。 12.根据权利要求7至9中任一项所述的网络，其中，所述源IP地址被单立网元被分配给在所述飞小区基站网关与所述飞小区基站之间的、经IP隧道的连接，并被作为与飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库。 13.根据权利要求12所述的网络，其中，所述单立网元包括所述数据库。权利要求书CN 102845087 A 2/2页 3 14.根据权利要求12或13所述的网络，其中，所述单立网元包括动态主机配置。

8、协议服务器。 15.根据权利要求7至14中任一项所述的网络，其中，在使用中，所述源IP地址，通过为所述经IP隧道与所述飞小区基站的连接分配IP地址范围，并且所述飞小区基站在该范围内选择一个源IP地址以包含于所述消息，来被分配，并且被记录于所述数据库的所述源 IP地址数据包括所述源IP地址范围。权利要求书CN 102845087 A 1/7页 4 一种验证消息的无线通信网络及方法技术领域 0001 本发明涉及通信领域，特别涉及无线通信。背景技术 0002 无线通信系统是众所周知的。许多此类系统为蜂窝式，因为无线覆盖是通过一束被称为小区的无线覆盖区域来提供的。提供无线覆盖的基。

9、站位于每一小区中。传统基站在相对大的地理区域提供覆盖，对应的小区通常被称为宏小区。 0003 在宏小区中建立较小规模的小区是可能的。小于宏小区的小区有时被称为小小区 (small cell)、微小区(microcell)、微微小区(picocell)或飞小区(femtocell)，但是，我们将术语飞小区一般地用于小于宏小区的小区。建立飞小区的一种方式包括提供运行于宏小区覆盖区域内相对有限范围的飞小区基站。运用飞小区基站的一个示例包括在建筑物内提供无线通信覆盖。飞小区基站(femtocell base stations)有时被称为毫微微基站 (femto)。 0004 飞小区基站具有相对。

10、低的发射功率，因而，每一飞小区具有比宏小区小的覆盖区域。典型的覆盖范围为几十米。飞小区基站具有自动配置和自优化功能，以便支持非优化的部署，即由用户实现的即插即用式部署，以便自动地将它们集成于现有的宏小区网络中。 0005 飞小区基站主要用于特定家庭及办公室内的用户。飞小区基站可为私有接入(“封闭” )或公共接入(“开放” )。在私有接入的飞小区基站中，接入仅限于注册用户，例如家庭成员或特定雇员群体。在公共接入的飞小区基站，其他用户也可使用飞小区基站，服从于某些限制以保护注册用户所接收到的服务质量。 0006 一种已知类型的飞小区基站利用宽带互联网协议连接作为“回程”(backhaul。

11、)，即用于至核心网络的连接。一种宽带互联网协议连接包括数字用户线路(DSL)。DSL将飞小区基站的DSL发射装置-接收装置(“收发装置”)连接至核心网络。DSL允许经由所支持的飞小区基站提供的语音通话和其他服务。飞小区基站还包括被连接至用于无线通信的天线的无线射频(RF)收发装置。 0007 为了与宏小区网络相集成，飞小区基站需要与(第二代/2.5代(2.5G)/第三代) 宏小区网络中的各种网元交换信令消息。该信令符合相关的第三代合作伙伴项目(3GPP) 标准，以使飞小区表现为一个或多个3GPP兼容的节点。为实现此，飞小区基站被分组为簇，每一簇经由称为飞小区基站网关的网关被连接至宏小。

12、区网络。 0008 飞小区基站网关终止在宏小区网络中的核心网元与飞小区簇之间的信令，从而，使飞小区的整个簇能够表现为单个虚拟的无线网络控制装置(RNC)，如3GPP标准所要求。 0009 飞小区基站网关可支持在簇中的数千个飞小区。通过用户的很少或无参与，每一飞小区基站连接并注册至该飞小区基站网关。飞小区基站有时被称为毫微微基站(femto)。这是基本原则每一飞小区基站，即便被入侵，不应干扰另一个飞小区基站的运行。相应地，来自飞小区基站的注册信息必须验证为可信的。 0010 如图1所示(现有技术)，在一个已知的方法中，安全网关1在飞小区基站3和飞说明书CN 102845087 A 。

13、2/7页 5 小区基站网关5之间的被提供。飞小区基站3向安全网关1验证其自身，并建立至安全网关1的安全的互联网协议隧道。该验证对建立该飞小区基站的信任证书是足够的。发明内容 0011 读者可参见所附加的独立权利要求。一些优选特征在从属权利要求中被列出。 0012 本发明的一个示例包括一种验证来自无线通信网络中飞小区基站的消息的方法，其中，所述无线通信网络包括安全网关和飞小区基站网关，该方法包括步骤： 0013 在所述安全网关中检查来自所述飞小区基站的消息中的源IP地址，是否与预期来自该飞小区基站的相符合；及 0014 在所述飞小区基站网关中，通过检查将飞小区基站标识符与源IP地址数据相。

14、关联的数据库，检查所述消息中的源IP地址是否与预期来自该飞小区基站的相符合。 0015 一些优选实施例提供一种确定飞小区基站已经被验证的方法。符合标准的安全网关验证经由IP安全隧道所接收的分组的源IP地址是否匹配被分配给该飞小区基站的地址或地址范围。此外，该源IP地址作为注册消息的部分被发送至该飞小区基站网关，因此，该飞小区基站网关能够将该飞小区基站的身份与该源IP地址相关联，因而验证该消息的真实性。 0016 在优选实施例中，源IP地址数据包括源IP地址或源IP地址范围这可包括虚拟专用网络VPN IP地址或VPN IP地址范围并且，在隧道被建立时被分配并在该隧道的期间未被改变。。

15、 0017 在优选实施例中，IP地址或IP地址范围通过飞小区基站网关，或该飞小区基站网关可查询的其它网元，来被分配，以获取所存储的、在飞小区基站标识符与源IP地址或地址范围之间的映射。随后，当飞小区基站网关接收包括源IP地址的注册请求消息时，该飞小区基站网关运用所存储的映射来确定该消息真正地来自于发送的飞小区基站。 0018 本发明可被用于具有通用移动通信系统(UMTS)飞小区基站的网络，以及涉及利用与飞小区基站网关相分离的安全网关的飞小区基站的其他网络。 0019 优选实施例有利地防止受入侵的飞小区基站获得网络访问，支持安全网关和飞小区基站网关功能相分离。附图说明 0020 通过。

16、举例并参照附图，本发明的实施例现在将被描述，其中： 0021 图1为示出飞小区基站验证/授权(现有技术)的已知方式的示意图； 0022 图2为示出飞小区验证/授权的替代方式(备选方案)的示意图； 0023 图3为示出根据本发明第一实施例的无线通信网络的示意图； 0024 图4为示出在图1所示的一个宏小区中示例飞小区基站部署的示意图； 0025 图5为更详细示出图3和4中所示飞小区基站、安全网关和飞小区基站网关的示意图； 0026 图6为示出运用图5所示装置的飞小区基站授权方案的消息序列示意图； 0027 图7为示出根据本发明的第二实施例的飞小区基站、安全网关、飞小区基站网关和动态主机配置协。

17、议(DHCP)服务器的示意图；及说明书CN 102845087 A 3/7页 6 0028 图8为示出运用图7所示装置的飞小区基站授权方案的消息序列示意图。具体实施方式 0029 发明人意识到，在图1(现有技术)所示已知方法中，自飞小区基站3的通信被发往在安全网关1后面的网元，诸如飞小区基站网关5，该通信不包括加密或验证信息，因为这被安全网关1移除。因此，被入侵的飞小区基站最初用其正确的身份向安全网关验证，随后可运用不同的身份连接至飞小区基站网关5并向其注册。安全网关1没有将该注册消息检测为无效，因为该安全网关不验证负载信息。按照这种方式伪装注册消息，使飞小区基站所有者危害安。

18、全成为可能，例如，通过变更飞小区基站配置以使该飞小区基站变为开放接入，从而使第三方用户终端通过该飞小区拔打电话成为可能。这允许该所有者然后窃听通过该飞小区基站拔打的通话，包括名人电话，因此危及隐私。 0030 发明人意识到，备选方案(既非现有技术，也非本发明的实施例)将安全网关和飞小区基站网关组合为一个单一的设备。这如图2所示(备选方案)，并为当前3GPP通用移动通讯系统(UMTS)标准的版本9所允许的解决方案。这使在该设备中的飞小区基站网关功能能够利用该设备上的安全网关验证功能来验证注册消息的源。然而，发明人意识到，这样的结合并非总是很实用。例如，飞小区基站网关通常由飞小区基站制。

19、造商提供给网络运营商，而安全网关通常从一组有限的非飞小区基站技术领域专家的供应商被购进。 0031 因此，发明人意识到，该等网关的分离是更可取的，因此为解决安全问题，在经该安全网关成功验证之后，互联网协议源地址从该安全网关被发送至该飞小区基站网关，在此它相对由该飞小区基站网关初始所分配给该飞小区基站的被再次检查。 0032 我们现在描述包括飞小区基站的网络，然后更详细地查看飞小区基站授权过程。 0033 网络 0034 如图1和图2所示，用于无线通信的网络10，用户终端34可在其中漫游，该网络包括两种类型的基站，即宏小区基站和飞小区基站(后者有时被称为“毫微微基站 (femto)”)。。

20、为简单起见，在图3和图4中示出一个宏小区基站22。每一宏小区基站具有无线覆盖区域24，该无线覆盖区域通常被称为宏小区。宏小区24的地理范围依赖于宏小区基站22的能力及周围地形。 0035 在宏小区24中，每一飞小区基站30提供在相应飞小区32中的无线通信。飞小区包括无线覆盖区域。飞小区32的无线覆盖区域比宏小区24的无线覆盖区域小的多。例如，飞小区32，在规模大小上，对应于用户的办公室或家庭。 0036 如图3所示，网络10被无线网络控制装置RNC 170所管理。无线网络控制装置RNC 170控制运行，例如通过经由回程通信链路160与宏小区基站22进行通信。无线网络控制装置170维护。

21、邻居列表，该邻居列表包括关于基站所支持小区之间的地理关系的信息。此外，无线网络控制装置170维护位置信息，该位置信息提供关于用户设备在无线通信系统10中的位置的信息。无线网络控制装置170可用于经由电路交换网络和分组交换网络对业务进行路由。对于电路交换业务，移动交换中心250被提供，无线网络控制装置170可与其进行通信。移动交换中心250与电路交换网络，诸如公共交换电话网(PSTN)210，进行通信。对于分组交换业务。网络控制装置170与通用分组无线业务服务支持节点(SGSN)220及通用分组无线业务网关支持节点(GGSN)180进行通信。该GGSN然后与分组交换核心网190，诸。

22、说明书CN 102845087 A 4/7页 7 如，例如，互联网190，进行通信。 0037 MSC 250、SGSN 220、GGSN 180及运营商IP网络215组成所谓的核心网络253。 SGSN 220与GGSN 180通过运营商IP网络215被连接至飞小区控制装置/网关230。 0038 飞小区控制装置/网关230经由安全网关231和互联网190被连接至飞小区基站 32。这些至安全网关231的连接为宽带互联网协议连接(“回程”连接)。 0039 运营商IP网络215也被连接至互联网协议多媒体系统(IMS)核心网络217。 0040 在图4中，为简单起见，三个飞小区基站30及相应。

23、的飞小区32被示出。 0041 对于在宏小区24中的移动终端34，按照已知的方式与宏小区基站22进行通信是可能的。当移动终端34进入飞小区32，该移动终端被注册以与该飞小区的飞小区基站30 进行通信时，将与该移动终端的连接从该宏小区切换至该飞小区是可取的。在图4所示的示例中，移动终端34的用户为飞小区32中最近的32的优选用户。 0042 如图4所示，飞小区基站30经由宽带互联网协议连接(“回程” )36被连接至核心网络(在图4中未示出)，及因而被连接至通信“世界”的其余部分(在图4中未示出)。 “回程”连接36允许该等飞小区基站30之间、通过该核心网络(未示出)的通信。该宏小区基站也。

24、被连接至该核心网络(在图4中未示出)。 0043 如前所述，飞小区基站具有相对低的发射功率，因而，每一飞小区相比宏小区具有较小的覆盖区域。典型的覆盖范围为数十米。飞小区基站具有自动配置和自优化功能，以便支持非优化的部署，即由用户进行的即插即用式部署，以便将其自身自动集成入现有的宏小区网络。 0044 如前所述，为了与宏小区网络相集成，飞小区基站需要与(第二代/2.5代(2.5G)/ 第三代)宏小区网络中的各种网元交换信令消息。该信令符合第三代合作伙伴项目(3GPP) 标准(版本8)，以使飞小区表现为一个或多个3GPP兼容的节点。特别地，为实现此，飞小区基站被分组为簇，每一簇经由被称为飞。

25、小区基站网关的网关被连接至该宏小区网络。该飞小区基站网关终止在该宏小区网络中的核心网元与该飞小区簇之间的信令，从而，使飞小区的整个簇能够表现为单个虚拟的无线网络控制装置(RNC)，该RNC符合3GPP标准(版本 8)。 0045 安全网关与飞小区基站网关 0046 如图5所示，飞小区基站30被连接至安全网关231，该安全网关被连接至飞小区基站网关230。该安全网关和该飞小区基站网关是分离的。 0047 安全网关231包括数据库40、配置控制装置42及验证装置44。数据库40将飞小区基站识别符(飞小区基站ID)与源IP地址及密钥相关联。 0048 飞小区基站网关230包括验证装置45、飞。

26、小区基站注册模块(registration stage)46、将飞小区基站ID与该飞小区基站的源IP地址相关联的数据库48，及IP地址分配装置50，IP地址分配装置50将IP地址分配给该飞小区基站以供该飞小区将其用作它自身的IP地址。 0049 在使用中，安全网关231请求由飞小区基站网关230对所有飞小区基站的第二次授权，该等飞小区基站寻求建立至该飞小区基站网关的IP隧道。 0050 操作将被更详细解释如下。 0051 飞小区基站授权过程说明书CN 102845087 A 5/7页 8 0052 如图6所示，在该基于通用移动通信系统(UMTS)的示例中，飞小区基站30发送 (步骤。

27、a)包括飞小区基站识别符(飞小区基站ID)及验证信息的授权请求。该安全网关通过检查(步骤a1)该飞小区基站ID是否是自其接收消息的飞小区基站的，执行首要授权。若是，该安全网关然后向该飞小区基站网关发送(步骤b)相应的访问请求，该访问请求包括获授权的飞小区基站ID。该飞小区基站网关然后(步骤c)也授权该飞小区基站，将该飞小区基站ID存储于该飞小区基站网关的数据库48中，并为该飞小区基站分配IP地址。该 IP地址被存储于数据库48，并被映射到该飞小区基站ID。 0053 该飞小区基站网关然后将包括该IP地址的访问接受消息返回(步骤d)至该安全网关。该安全网关的配置控制装置42然后在授权响。

28、应消息中将该IP地址传递(步骤e) 至该飞小区基站。然后，在飞小区基站30和该安全网关之间的安全隧道被建立。 0054 该飞小区基站然后通过该隧道将包括该IP地址的消息发送(步骤g)至该安全网关。 0055 该安全网关运用其知晓的、被分配给该IP地址的密钥，以便(步骤h)解密及验证消息并检测该消息包含的IP地址是否与该飞小区基站ID相符合。这防止了该飞小区基站运用伪造的源IP地址。 0056 假设该验证成功，该安全网关将包含该源IP地址及注册请求的解密消息发送(步骤i)至该飞小区基站网关。 0057 一旦接收到该消息，飞小区基站网关230的验证装置45检查该源IP地址及在该消息的注册。

29、请求部分所指示的飞小区基站ID。若所接收的源IP地址与该飞小区基站网关的数据库48中所存储的、被分配给该飞小区基站ID的一个相对应，该身份则被认为是可信的，该飞小区基站网关的飞小区基站注册模块46注册该飞小区基站。 0058 在该实施例中，在所存储(步骤c)的飞小区基站标识符与所接收(步骤i)的飞小区基站标识符之间的关联被建立，以使来自该飞小区基站的后续消息被自动地认为是获授权的。在一些其他实施例中，如此授权而是在每一个后续消息(即时地(on-the-fly) 上被执行的。 0059 另一示例 0060 如图7中所示，在第二个示例中，飞小区基站30被连接至安全网关231，该安全网关2。

30、31被连接至飞小区基站网关230。 0061 安全网关231包括数据库40、配置控制装置42及验证装置44。数据库40 将飞小区基站标识符(飞小区基站ID)与源IP地址及密钥相关联。 0062 飞小区基站网关230包括飞小区基站注册模块46及数据库查询处理装置72。 0063 安全网关231与飞小区基站网关230直接互相连接，并且还经由包括数据库48 及IP地址分配装置50的动态主机配置协议(DHCP)服务器70互相连接。数据库48将飞小区基站ID与该飞小区基站的源IP地址相关联。I P地址分配装置50将IP地址分配给该飞小区基站以供该飞小区将其用作它自身的IP地址。 0064 在使用中，。

31、该安全网关请求由该飞小区基站网关对所有飞小区基站的第二次授权，该等飞小区基站寻求建立至该飞小区基站网关的IP隧道。飞小区基站网关230查询 DHCP服务器70以实现该请求。操作将被更详细解释如下。 0065 如图8所示，在该第二实施例，其同为基于通用移动通信系统(UMTS)的示例中，该说明书CN 102845087 A 6/7页 9 安全网关被配置以从独立服务器中获取IP地址，即该示例中的动态主机配置协议(DHCP) 服务器70。 0066 如图8所示，飞小区基站30将包括飞小区基站识别符(飞小区基站ID)与验证信息的授权请求发送(步骤a)至该安全网关，作为建立安全隧道的第一个步骤。。

32、安全网关 231接收该请求，并通过检查(步骤b)该飞小区基站ID是否是自其接收消息的飞小区基站的，执行首要授权。若是，该安全网关然后向DHCP服务器70发送(步骤c)相应的访问请求，该访问请求包括获授权的飞小区基站ID，以便为该飞小区基站请求IP地址。该请求包括作为DHCP客户端硬件地址(chaddr)的、经验证的飞小区基站身份。 0067 DHCP服务器然后(步骤d)将该飞小区基站ID存储于数据库48中，并为该飞小区基站分配IP地址。该IP地址被存储于数据库48，并被映射到该客户端硬件地址，即该飞小区基站ID。 0068 DHCP服务器然后将包括该IP地址的访问接受消息返回(步骤e。

33、)至该安全网关。该安全网关的配置控制装置42然后在授权响应消息中将该IP地址传递(步骤f) 至飞小区基站30。然后在飞小区基站30与安全网关231之间的安全隧道被建立(步骤 g)。 0069 在隧道建立之后，飞小区基站然后通过该隧道，将包括IP地址的消息发送(步骤 h)至安全网关。 0070 该安全网关运用其知晓的、被分配给该IP地址的密钥，以便(步骤i)解密及验证消息并检测该消息包含的IP地址是否与该飞小区基站ID相符合。这防止了该飞小区基站运用伪造的源IP地址。 0071 假设该验证成功，该安全网关将包含该源IP地址及包括该飞小区基站ID的注册请求的解密消息，发送(步骤j)至该飞小。

34、区基站网关。 0072 一旦接收到该消息，该飞小区基站网关的数据库查询处理装置72将请求发送(步骤k)至动态主机配置协议(DHCP)服务器，来请求被分配给该飞小区基站ID身份的IP地址。DHCP服务器从其内部的数据库48获取(步骤l)相应的IP地址，并以所分配的IP 地址响应(步骤m)该飞小区基站网关。飞小区基站网关230的验证装置45检查，从 DHCP服务器接收到的该IP地址是否与包含该消息注册请求部分的分组的源IP地址相匹配。若是，该身份则被认为是可信的，该飞小区基站网关的飞小区基站注册模块46注册该飞小区基站。 0073 一些变体 0074 在关于图5至8所描述的示例中，各种消息。

35、中的飞小区基站的标识符是完全相同的。然而，该等标识符不必如此。在一些实施例中，具有可靠机制，例如在飞小区基站网关中，以将一种身份格式转变为另一种身份格式，是足够的。例如，在参考图5和6所描述的示例，在至飞小区基站网关的两个消息中所使用的标识，参见前文b和i所表示的步骤，对于飞小区基站是相同的，即飞小区基站ID。在一些其它实施例中，它们是不同的，但随后，飞小区基站网关知晓在这两个不同但有效的、飞小区基站的标识符之间的映射，因而可检查它们是否关联。例如，这两个不同的标识符可以采用不同的格式，例如，互联网密钥交换版本2(Internet Key Exchange version 2，I。

36、KEv2)与家庭基站应用部分(HomeNodeB Application Part，HNBAP)。说明书CN 102845087 A 7/7页 10 0075 同样，在参考图7和8所描述的实施例的变形中，DHCP服务器已将多个IP地址分配给相同的飞小区基站，例如，在建立多个IP隧道中。在该情况下，所分配的多个地址中的任一个匹配包括注册请求的分组的源IP地址，是足够的。 0076 在一些进一步的实施例中，DHCP服务器的使用允许多个设备(服务器、网关、应用设备等)验证来自飞小区基站的注册消息。例如，若该飞小区基站也向呈现服务器 (presence server)注册，则该呈现服务器也。

37、可利用相似的消息交换，请求来自DHCP服务器的所关联的IP地址。 0077 本发明可以其他特殊形式被实现，并不背离本发明的本质特征。所描述的实施例应被认为在所有方面仅为说明性的而不是限制性的。因此，本发明的范围通过附加的权利要求而非通过前述描述，被示出。在该等权利要求等同的含义及范围之内的所有变化，将包含于该等权利要求的范围。 0078 本领域技术人员将容易地认识到各种上述方法的步骤可通过编程计算机被执行。一些实施例涉及程序存储设备，如数字数据存储介质，其为机器或计算机可读并对机器可执行或计算机可执行的程序指令进行编码，在此，所述指令执行所述上述方法的部分或全部步骤。程序存储设备。

38、可包括，例如，数字存储器；磁存储介质，诸如磁盘及磁带；硬盘驱动器；或光可读数字数据存储介质。一些实施例涉及经编程以执行上述方法的所述步骤的计算机。说明书CN 102845087 A 10 1/7页 11 图1 图2 说明书附图CN 102845087 A 11 2/7页 12 图3 说明书附图CN 102845087 A 12 3/7页 13 图4 说明书附图CN 102845087 A 13 4/7页 14 图5 说明书附图CN 102845087 A 14 5/7页 15 图6 说明书附图CN 102845087 A 15 6/7页 16 图7 说明书附图CN 102845087 A 16 7/7页 17 图8 说明书附图CN 102845087 A 17 。

展开阅读全文