接入控制方法、装置、接口及安全网关.pdf

摘要
申请专利号：	CN201110168248.5	申请日：	2011.06.21
公开号：	CN102843678A	公开日：	2012.12.26
当前法律状态：	驳回	有效性：	无权
法律详情：	发明专利申请公布后的驳回IPC(主分类):H04W 12/06申请公布日:20121226\|\|\|实质审查的生效IPC(主分类):H04W 12/06申请日:20110621\|\|\|公开
IPC分类号：	H04W12/06(2009.01)I; H04W12/08(2009.01)I; H04W92/24(2009.01)I	主分类号：	H04W12/06
申请人：	中兴通讯股份有限公司
发明人：	朱李
地址：	518057 广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法务部
优先权：
专利代理机构：	北京安信方达知识产权代理有限公司 11262	代理人：	吴艳;龙洪
PDF下载：	PDF下载

内容摘要

本发明公开了一种接入控制方法、装置、接口及安全网关，安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息；H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证，并向安全网关发送接入认证答复消息；安全网关接收H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。与现有技术相比，本发明完善了现有的H(e)NB系统的安全架构，提供了H(e)NB-GW相关的高效的安全解决方案，解决了H(e)NB系统中由于H(e)NB身份假冒带来的各种安全威胁，增加了H(e)NB系统的安全性。

权利要求书

1.一种接入控制方法，其特征在于，安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息；所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。2.如权利要求1所述的方法，其特征在于，所述接入请求消息中包含所述H(e)NB的身份和/或H(e)NB接入参数。3.如权利要求1所述的方法，其特征在于，所述安全网关发送的所述接入请求消息为：RADIUS消息、或Diameter消息。4.如权利要求1、2或3所述的方法，其特征在于，所述安全网关通过与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接口发送所述接入请求消息。5.如权利要求1所述的方法，其特征在于，所述网络侧接入控制相关网元，包括：移动管理实体(MME)/服务网关(S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访位置寄存器(VLR)。6.如权利要求2所述的方法，其特征在于，其中，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址；所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。7.一种接入控制方法，其特征在于，H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证，并向所述安全网关发送接入认证答复消息。8.如权利要求7所述的方法，其特征在于，所述接入认证答复消息中包含所述H(e)NB的身份、和/或所述H(e)NB接入参数。9.如权利要求7所述的方法，其特征在于，所述方法还包括：所述H(e)NB网关和/或所述网络侧接入控制相关网元中保存H(e)NB的身份与H(e)NB接入参数的绑定信息；所述H(e)NB网关和/或所述网络侧接入控制相关网元根据所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份和/或H(e)NB接入参数进行认证。10.如权利要求7、8或9所述的方法，其特征在于，所述方法还包括：所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元建有接口。11.如权利要求9所述的方法，其特征在于，所述H(e)NB网关和/或网络侧接入控制相关网元对所述接入请求消息进行认证，是指：所述H(e)NB网关和/或网络侧接入控制相关网元根据保存的所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入参数进行认证；或者，所述H(e)NB网关和/或网络侧接入控制相关网元根据从其他存储有所述绑定信息的网络侧接入控制相关网元中获取到的所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入参数进行认证；或者，所述H(e)NB网关和/或网络侧接入控制相关网元将收到的所述接入请求消息转发给其他存储有所述绑定信息的网络侧接入控制相关网元，由所述其他网络侧接入控制相关网元进行认证并将认证结果报告给所述H(e)NB网关和/或网络侧接入控制相关网元。12.如权利要求7所述的方法，其特征在于，所述网络侧接入控制相关网元，包括：移动管理实体(MME)/服务网关(S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访位置寄存器(VLR)。13.如权利要求7、8或9所述的方法，其特征在于，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址；其中，所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。14.如权利要求10所述的方法，其特征在于，所述方法还包括：通过NDS/IP和/或IPsec和/或TLS连接对所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间的接口进行保护。15.一种接入控制装置，其特征在于，所述装置应用于H(e)NB网关和/或网络侧接入控制相关网元中，包括绑定信息存储单元，所述绑定信息存储单元用于，保存H(e)NB的身份与H(e)NB接入参数的绑定信息。16.如权利要求15所述的装置，其特征在于，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址；其中，所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。17.一种接入控制装置，其特征在于，所述装置应用于H(e)NB网关和/或网络侧接入控制相关网元中，包括接入请求认证单元，所述接入请求认证单元用于，对接收到的安全网关发送的接入请求消息进行认证，向所述安全网关发送接入认证答复消息，并在所述接入认证答复消息中包含H(e)NB的身份、和/或所述H(e)NB接入参数。18.如权利要求17所述的装置，其特征在于，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址；其中，所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。19.一种接入控制接口，其特征在于，包括在安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间建立的接口；所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口用于：所述安全网关通过所述接口向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息；和/或所述H(e)NB网关和/或所述网络侧接入控制相关网元通过所述接口向所述安全网关发送接入认证答复消息。20.如权利要求19所述的接口，其特征在于，还包括在所述H(e)NB网关与所述网络侧接入控制相关网元之间建立的接口；所述H(e)NB网关与所述网络侧接入控制相关网元之间的接口用于：所述H(e)NB网关通过该接口从存储有H(e)NB的身份与H(e)NB接入参数的绑定信息的网络侧接入控制相关网元中获取所述绑定信息；或者，所述H(e)NB网关将收到的所述接入请求消息通过该接口转发给存储有所述绑定信息的网络侧接入控制相关网元，由所述网络侧接入控制相关网元对所述接入请求消息进行认证；所述其他网络侧接入控制相关网元根据存储的所述绑定信息对所述接入请求消息进行认证，并通过该接口将认证结果报告给所述H(e)NB网关。21.如权利要求19或20所述的接口，其特征在于，所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口、和/或所述H(e)NB网关与所述网络侧接入控制相关网元之间的接口通过NDS/IP和/或IPsec和/或TLS连接进行保护。22.一种安全网关，其特征在于，所述安全网关包括接入请求发起单元，所述接入请求发起单元用于，向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息，以及，接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。23.如权利要求22所述的安全网关，其特征在于，所述接入请求发起单元用于，通过所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接口，发送所述接入请求消息。

说明书

接入控制方法、装置、接口及安全网关

技术领域

本发明涉及无线蜂窝通信技术领域，尤其涉及一种接入控制方法、装置、
接口及安全网关。

背景技术

HNB(Home Node-B，家庭基站)用来为处在家庭内的3G(第三代移
动通信系统)手机提供3G的无线覆盖。它被连接到已经存在的住宅宽带服务。
它包含了一个标准的Node B(3G宏无线接入网络的一个元素)的功能和一
个标准的RNC(Radio Network Controller，无线网络控制器)的无线资源管
理功能。

图1描述了HNB的系统结构。其中3GPP(3rd Generation Partnership
Project，第三代合作企业项目)用户设备和HNB之间的界面在UTRAN
(Universal Terrestrial Radio Access Network，全球陆地无线接入网)中是回程
且相容的空中接口。HNB通过一个SeGW(security gateway，安全网关)接
入运营商的核心网，其中HNB和SeGW之间的宽带IP(Internet Protocol，
英特网协议)回程可能是不安全的。在此回程中传播的信息要被HNB和
SeGW之间建立的安全通道保护。SeGW代表运营商的核心网和HNB进
行相互认证。HNB-GW(HNB Gateway)和SeGW是在运营商的核心网内逻
辑上分离的实体，用于非CSG(Closed Subscriber Group)的UE(User
Equipment)的接入控制。H(e)MS需要安全的通信。

图2描述了HeNB的系统结构。HeNB和HNB的区别就是它是连接
3GPP用户设备和EUTRAN(Evolved Universal Terrestrial Radio Access
Network)的空中接口。HeNB-GW(Home eNodeB Gateway，HeNB网关)
为选择性部署。如果HeNB-GW被部署，则SeGW与HeNB-GW可以结合在
一起；如果它们未被结合在一起，则SeGW与HeNB-GW之间的接口可用
NDS/IP进行保护。

H(e)NB(Home(Evolved)NodeB，家庭(演进)基站)包括HNB和HeNB，
是HNB和HeNB的统称。

针对H(e)NB的安全，3GPP TR 33.820定义了27种威胁。这27种威胁
被归纳为7大类。他们分别是：对H(e)NB资格证书的危害，对H(e)NB的
物理攻击，对H(e)NB的构造的攻击，对H(e)NB的协议的攻击，对核心网
的攻击(包括基于H(e)NB位置的攻击)，对用户的数据和身份隐私的攻击
以及对无线资源和管理的攻击。

在HNB的注册过程中，HNB会发送一个HNB REGISTER REQUEST消
息给HNB-GW，这个消息包含了：HNB位置信息，HNB身份，HNB管理参
数，可选的HNB管理模式，HNB自身的IP地址。HNB-GW可以使用HNB
REGISTER REQUEST消息中的信息来检查HNB注册是否能被接受，这包括
检查一个HNB是否被允许在一个给定的位置运行等。

在实际应用中，如果一个攻击者冒充一个H(e)NB的身份注册到
H(e)NB-GW，则ACL(Access Control List，接入控制列表)检查就能被通过。
因为H(e)NB-GW中保存的着此UE能够接入的H(e)NB列表，而被冒充的
H(e)NB身份就包含在此列表中，这样的话H(e)NB进行接入控制时会允许
UE接入到这个冒充的H(e)NB上来。这意味着这个攻击者可以假冒另一个用
户的H(e)NB并能够获取来自这个用户的ACL列表的呼叫。因此，只要攻击
者可以发现对应H(e)NB的身份，这个攻击者可以潜在的偷听或者冒充任何
属于这个ACL的用户。

这种攻击场景在攻击者冒充一个开放的(no CSG)H(e)NB的时候会变
的非常严重，因为其可以接入到不计其数的附属的UE上。

综上所述，现有技术存在如下技术问题：目前的H(e)NB的安全规范
TS33.320中没有任何涉及此类威胁的解决方案的描述。冒充的H(e)NB可以
使得UE通过H(e)NB-GW的接入控制，而H(e)NB-GW目前的功能并不能防
止此类威胁的发生。

发明内容

本发明解决的技术问题是提供一种接入控制方法、装置、接口及安全网
关，解决H(e)NB系统身份冒充带来的安全威胁。

为解决上述技术问题，本发明提供了一种接入控制方法，安全网关向
H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息；

所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送
的接入认证答复消息。

进一步地，所述接入请求消息中包含所述H(e)NB的身份和/或H(e)NB
接入参数。

进一步地，所述安全网关发送的所述接入请求消息为：RADIUS消息、
或Diameter消息。

进一步地，所述安全网关通过与所述H(e)NB网关和/或所述网络侧接入
控制相关网元之间建立的接口发送所述接入请求消息。

进一步地，所述网络侧接入控制相关网元，包括：移动管理实体(MME)
/服务网关(S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)
/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS
服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访
位置寄存器(VLR)。

进一步地，其中，所述H(e)NB接入参数，包括：H(e)NB位置信息、和
/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址；

所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、
和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/
或地理坐标。

本发明还提供了一种接入控制方法，H(e)NB网关和/或网络侧接入控制
相关网元对安全网关发送的接入请求消息进行认证，并向所述安全网关发送
接入认证答复消息。

进一步地，所述接入认证答复消息中包含所述H(e)NB的身份、和/或所
述H(e)NB接入参数。

进一步地，所述方法还包括：

所述H(e)NB网关和/或所述网络侧接入控制相关网元中保存H(e)NB的
身份与H(e)NB接入参数的绑定信息；

所述H(e)NB网关和/或所述网络侧接入控制相关网元根据所述绑定信
息，对所述接入请求消息中包含的H(e)NB的身份和/或H(e)NB接入参数进
行认证。

进一步地，所述方法还包括：

所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元建
有接口。

进一步地，所述H(e)NB网关和/或网络侧接入控制相关网元对所述接入
请求消息进行认证，是指：

所述H(e)NB网关和/或网络侧接入控制相关网元根据保存的所述绑定信
息，对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入参数
进行认证；

或者，所述H(e)NB网关和/或网络侧接入控制相关网元根据从其他存储
有所述绑定信息的网络侧接入控制相关网元中获取到的所述绑定信息，对所
述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入参数进行认证；

或者，所述H(e)NB网关和/或网络侧接入控制相关网元将收到的所述接
入请求消息转发给其他存储有所述绑定信息的网络侧接入控制相关网元，由
所述其他网络侧接入控制相关网元进行认证并将认证结果报告给所述
H(e)NB网关和/或网络侧接入控制相关网元。

进一步地，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB
管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址；

其中，所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP
地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区
信息和/或地理坐标。

进一步地，所述方法还包括：

通过NDS/IP和/或IPsec和/或TLS连接对所述安全网关与所述H(e)NB
网关和/或所述网络侧接入控制相关网元之间的接口进行保护。

本发明还提供了一种接入控制装置，所述装置应用于H(e)NB网关和/或
网络侧接入控制相关网元中，包括绑定信息存储单元，

所述绑定信息存储单元用于，保存H(e)NB的身份与H(e)NB接入参数的
绑定信息。

进一步地，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB
管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址；

此外，本发明还提供了一种接入控制装置，所述装置应用于H(e)NB网
关和/或网络侧接入控制相关网元中，包括接入请求认证单元，

所述接入请求认证单元用于，对接收到的安全网关发送的接入请求消息
进行认证，向所述安全网关发送接入认证答复消息，并在所述接入认证答复
消息中包含H(e)NB的身份、和/或所述H(e)NB接入参数。

进一步地，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB
管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址；

本发明还提供了一种接入控制接口，包括在安全网关与H(e)NB网关和/
或网络侧接入控制相关网元之间建立的接口；

所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口
用于：

所述安全网关通过所述接口向H(e)NB网关和/或网络侧接入控制相关网
元发送接入请求消息；和/或

所述H(e)NB网关和/或所述网络侧接入控制相关网元通过所述接口向所
述安全网关发送接入认证答复消息。

进一步地，还包括在所述H(e)NB网关与所述网络侧接入控制相关网元
之间建立的接口；

所述H(e)NB网关与所述网络侧接入控制相关网元之间的接口用于：

所述H(e)NB网关通过该接口从存储有H(e)NB的身份与H(e)NB接入参
数的绑定信息的网络侧接入控制相关网元中获取所述绑定信息；

或者，所述H(e)NB网关将收到的所述接入请求消息通过该接口转发给
存储有所述绑定信息的网络侧接入控制相关网元，由所述网络侧接入控制相
关网元对所述接入请求消息进行认证；所述其他网络侧接入控制相关网元根
据存储的所述绑定信息对所述接入请求消息进行认证，并通过该接口将认证
结果报告给所述H(e)NB网关。

进一步地，所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元
之间的接口、和/或所述H(e)NB网关与所述网络侧接入控制相关网元之间的
接口通过NDS/IP和/或IPsec和/或TLS连接进行保护。

本发明还提供了一种安全网关，所述安全网关包括接入请求发起单元，

所述接入请求发起单元用于，向H(e)NB网关和/或网络侧接入控制相关
网元发送接入请求消息，以及，接收所述H(e)NB网关和/或网络侧接入控制
相关网元发送的接入认证答复消息。

进一步地，所述接入请求发起单元用于，通过所述安全网关与所述
H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接口，发送所述
接入请求消息。

与现有技术相比，本发明完善了现有的H(e)NB的安全架构，提供了
H(e)NB-GW相关的高效的安全解决方案，解决了H(e)NB系统中由于H(e)NB
身份假冒带来的各种安全威胁，增加了H(e)NB系统的安全性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部
分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的
不当限定。在附图中：

图1是HNB的系统结构示意图；

图2是HeNB的系统结构示意图；

图3是包含HeNB GW的EUTRAN的架构示意图；

图4是本发明H(e)NB系统的接入控制方法的总体流程示意图；

图5是本发明实施例一的方法流程示意图；

图6是本发明实施例二的方法流程示意图；

图7是本发明实施例三的方法流程示意图；

图8是本发明实施例四的方法流程示意图；

图9是本发明实施例五的方法流程示意图；

图10是本发明实施例六的方法流程示意图；

图11是本发明实施例七的方法流程示意图；

图12是本发明实施例八的方法流程示意图。

具体实施方式

为解决现有技术中H(e)NB身份冒充安全威胁所导致的巨大安全漏洞和
危害，本发明的主要目的在于，在UMTS(Universal Mobile Telephone System，
全球无线电话系统)网络和EPS(Evolved Packet System，演进分组系统)网络
的安全架构中，提供一种与MME(Mobility Management Entity，移动管理实
体)相关的HeNB(Home evolved Node-B，家庭演进基站)系统的安全机制。
通过增强H(e)NB-GW的功能，或者通过与其他网络侧网元的交互来实现增
强并达到能够防止冒充H(e)NB所带来的威胁的目的。

为解决H(e)NB身份冒充所带来的安全威胁及完善H(e)NB系统的安全架
构，本实施方式的接入控制方法，安全网关进行如下处理：

安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消
息；

所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送
的接入认证答复消息。

本实施方式的接入控制方法，H(e)NB-GW和/或网络侧接入控制相关网
元进行如下处理：

H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求
消息进行认证，并向所述安全网关发送接入认证答复消息。

结合图4所示，本实施方式的一种H(e)NB系统的接入控制方法，采用
如下技术方案：

步骤一、H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的身
份标识(Identity)与H(e)NB接入相关参数的绑定信息。

步骤二、SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建立
接口。

步骤三、SeGW发送接入请求消息给H(e)NB-GW和/或网络侧接入控制
相关网元。

步骤四、H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息
进行认证。

步骤五、H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证答复
消息给SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。

其中，该接入认证答复消息中包含的H(e)NB的身份和/或H(e)NB接入
相关参数，是用于指示哪个H(e)NB被允许通过SeGW接入以及转发相应接
入相关参数给H(e)NB。

其中，所述的网络侧接入控制相关网元可为MME/S-GW和/或SGSN和
/或HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol，动态
主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务
器和/或MSC/VLR。

进一步地，所述的H(e)NB接入相关参数包括了H(e)NB位置信息和/或
H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中，
H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址
和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。

进一步地，SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间的
接口可以通过NDS/IP和/或IPsec和/或TLS(Transport Layer Security，传输
层安全)的保护来实现。

进一步地，在步骤三中，SeGW发送给H(e)NB-GW的接入请求消息可
为RADIUS(Remote Authentication Dial In User Service，远程用户拨号认证
系统)消息或Diameter(RADIUS协议的升级版本)消息。

进一步地，在步骤三中，SeGW发送给H(e)NB-GW的接入请求消息中
至少包含了H(e)NB的身份和/或H(e)NB接入相关参数，H(e)NB接入相关参
数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/
或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接
入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围
的宏小区信息和/或地理坐标。

进一步地，在步骤四中，H(e)NB-GW和/或网络侧接入控制相关网元对
此接入请求消息进行认证包括了：H(e)NB-GW和/或网络侧接入控制相关网
元对此接入请求消息进行认证；或者，H(e)NB-GW和/或网络侧接入控制相
关网元从其他存储有H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网
络侧接入控制网元中获取该绑定信息并进行认证；或者，H(e)NB-GW和/或
网络侧接入控制相关网元将此接入请求消息转发给其他存储有H(e)NB的身
份与H(e)NB接入相关参数的绑定信息的网络侧接入控制网元，其他网络侧
接入控制相关网元对此接入请求消息进行认证并报告H(e)NB-GW和/或网络
侧接入控制相关网元。

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图
对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申
请中的实施例及实施例中的特征可以相互任意组合。

实施例一

结合图5所示，本实施例的H(e)NB系统的接入控制方案具体描述如下：

步骤501，H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的
身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或
H(e)NB自己的IP地址的绑定信息。

其中，网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或
HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol，动态主
机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器
和/或MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP
地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/
或地理坐标。

步骤502，SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建
立NDS/IP和/或IPsec和/或TLS连接。

步骤503，SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW
和/或网络侧接入控制相关网元，此接入请求消息中至少包含了H(e)NB的身
份和/或H(e)NB接入相关参数。

网络侧接入控制相关网元可以是MME/S-GW和/或SGSN和/或
HLR/HSS和/或DHCP服务器(Dynamic Host Configuration Protocol，动态主
机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器
和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB
管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB
位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接
入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。

步骤504，H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息
进行认证，认证成功。

该步骤中，是根据保存的绑定信息，对该接入请求消息中的H(e)NB的
身份和/或H(e)NB接入相关参数进行验证，如果通过验证，则认证成功。

步骤505，H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证成功
答复消息给SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关参
数。

网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS
和/或DHCP服务器(Dynamic Host Configuration Protocol，动态主机配置协
议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或
MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管
理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位
置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入
线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。

实施例二

结合图6所示，本实施例的H(e)NB系统的接入控制方案具体描述如下：

步骤601，H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的
身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或
H(e)NB自己的IP地址的绑定信息。网络侧接入控制相关网元可为
MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP服务器(Dynamic Host
Configuration Protocol，动态主机配置协议)和/或RADIUS服务器和/或
Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB位置信息包括了
H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识
和/或H(e)NB周围的宏小区信息和/或地理坐标。

步骤602，SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建
立NDS/IP和/或IPsec连接。

步骤603，SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW
和/或网络侧接入控制相关网元，此接入请求消息中至少包含了H(e)NB的身
份和/或H(e)NB接入相关参数。

步骤604，H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息
进行认证，认证失败。

步骤605，H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证失败
答复消息给SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关参
数。

实施例三

结合图7所示，本实施例的H(e)NB系统的接入控制方案具体描述如下：

步骤701，H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的
身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或
H(e)NB自己的IP地址的绑定信息。

网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS
和/或DHCP服务器(Dynamic Host Configuration Protocol，动态主机配置协
议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或
MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址
和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地
理坐标。

步骤702，SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建
立NDS/IP和/或IPsec连接。

步骤703，SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW
和/或网络侧接入控制相关网元，此接入请求消息中至少包含了H(e)NB的身
份和/或H(e)NB接入相关参数。

步骤704，H(e)NB-GW和/或网络侧接入控制相关网元从其他存储有
H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网络侧接入控制网元中
获取H(e)NB的身份与H(e)NB接入相关参数的绑定信息并进行认证，认证成
功。

步骤705，H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证成功
答复消息给SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关参
数。

实施例四

结合图8所示，本实施例的H(e)NB系统的接入控制方案具体描述如下：

步骤801，H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的
身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或
H(e)NB自己的IP地址的绑定信息。

步骤802，SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建
立NDS/IP和/或IPsec连接。

步骤803，SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW
和/或网络侧接入控制相关网元，此接入请求消息中至少包含了H(e)NB的身
份和/或H(e)NB接入相关参数。

步骤804，H(e)NB-GW和/或网络侧接入控制相关网元从从其他存储有
H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网络侧接入控制网元中
获取H(e)NB的身份与H(e)NB接入相关参数的绑定信息并进行认证，认证失
败。

步骤805，H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证失败
答复消息给SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关参
数。

实施例五

结合图9所示，本实施例的H(e)NB系统的接入控制方案具体描述如下：

步骤901，H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的
身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或
H(e)NB自己的IP地址的绑定信息。

步骤902，SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建
立NDS/IP和/或IPsec连接。

步骤903，SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW
和/或网络侧接入控制相关网元，此接入请求消息中至少包含了H(e)NB的身
份和/或H(e)NB接入相关参数。

步骤904，H(e)NB-GW和/或网络侧接入控制相关网元将此接入请求消息
转发给其他存储有H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网络
侧接入控制相关网元，由其他网络侧接入控制相关网元对此接入请求消息进
行认证，并报告给H(e)NB-GW和/或网络侧接入控制相关网元，认证成功。

网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS
和/或DHCP服务器(Dynamic Host Configuration Protocol，动态主机配置协
议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或
MSC/VLR。

步骤905，H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证成功
答复消息给SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关参
数。

实施例六

结合图10所示，本实施例的H(e)NB系统的接入控制方案具体描述如下：

步骤1001，H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB
的身份与H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/
或H(e)NB自己的IP地址的绑定信息。

步骤1002，SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建
立NDS/IP和/或IPsec连接。

步骤1003，SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW
和/或网络侧接入控制相关网元，此接入请求消息中至少包含了H(e)NB的身
份和/或H(e)NB接入相关参数。

步骤1004，H(e)NB-GW和/或网络侧接入控制相关网元将此接入请求消
息转发给其他存储有H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网
络侧接入控制相关网元，由其他网络侧接入控制相关网元对此接入请求消息
进行认证，并报告给H(e)NB-GW和/或网络侧接入控制相关网元，认证失败。

步骤1005，H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证失
败答复消息给SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关
参数。

实施例七

结合图11所示，本实施例的H(e)NB系统的接入控制方案具体描述如下：

步骤1101，网络侧接入控制相关网元中存入H(e)NB的身份与H(e)NB
位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的
IP地址的绑定信息。

步骤1102，SeGW与网络侧接入控制相关网元之间建立NDS/IP和/或
IPsec连接。

步骤1103，SeGW发送接入RADIUS或Diameter请求消息给网络侧接
入控制相关网元，此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB
接入相关参数。

步骤1104，网络侧接入控制相关网元对此接入请求消息进行认证，认证
成功。

步骤1105，网络侧接入控制相关网元发送接入认证成功答复消息给
SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。

实施例八

结合图12所示，本实施例的H(e)NB系统的接入控制方案具体描述如下：

步骤1201，网络侧接入控制相关网元中存入H(e)NB的身份与H(e)NB
位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的
IP地址的绑定信息。

步骤1202，SeGW与网络侧接入控制相关网元之间建立NDS/IP和/或
IPsec连接。

步骤1203，SeGW发送接入RADIUS或Diameter请求消息给网络侧接
入控制相关网元，此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB
接入相关参数。

步骤1204，网络侧接入控制相关网元对此接入请求消息进行认证，认证
失败。

步骤1205，网络侧接入控制相关网元发送接入认证失败答复消息给
SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。

此外，本发明实施例中还提供了一种接入控制装置，应用于H(e)NB网
关和/或网络侧接入控制相关网元中，该装置包括一绑定信息存储单元，

所述绑定信息存储单元用于，保存H(e)NB的身份与H(e)NB接入参数的
绑定信息。

进一步地，所述的H(e)NB接入参数，包括：H(e)NB位置信息、和/或
H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址；

此外，本发明实施例中还提供了另一种接入控制装置，应用于H(e)NB
网关和/或网络侧接入控制相关网元中，该装置包括一接入请求认证单元，

所述的接入请求认证单元用于，对接收到的安全网关发送的接入请求消
息进行认证，向安全网关发送接入认证答复消息，并在接入认证答复消息中
包含H(e)NB的身份、和/或所述H(e)NB接入参数。

进一步地，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB
管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址；

此外，本发明实施例中还提供了一种接入控制接口，包括在安全网关与
H(e)NB网关和/或网络侧接入控制相关网元之间建立的接口；

该安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口用
于：

安全网关通过所述接口向H(e)NB网关和/或网络侧接入控制相关网元发
送接入请求消息；和/或

H(e)NB网关和/或所述网络侧接入控制相关网元通过所述接口向所述安
全网关发送接入认证答复消息。

进一步地，所述的接入控制接口还包括在所述H(e)NB网关与所述网络
侧接入控制相关网元之间建立的接口；

该H(e)NB网关与所述网络侧接入控制相关网元之间的接口用于：

H(e)NB网关通过该接口从存储有H(e)NB的身份与H(e)NB接入参数的
绑定信息的网络侧接入控制相关网元中获取所述绑定信息；

或者，H(e)NB网关将收到的所述接入请求消息通过该接口转发给存储有
所述绑定信息的网络侧接入控制相关网元，由所述网络侧接入控制相关网元
对所述接入请求消息进行认证；所述其他网络侧接入控制相关网元根据存储
的所述绑定信息对所述接入请求消息进行认证，并通过该接口将认证结果报
告给所述H(e)NB网关。

进一步地，安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间
的接口、和/或H(e)NB网关与网络侧接入控制相关网元之间的接口通过
NDS/IP和/或IPsec和/或TLS连接进行保护。

此外，本发明实施例中还提供了一种安全网关，该安全网关包括接入请
求发起单元，

所述的接入请求发起单元用于，向H(e)NB网关和/或网络侧接入控制相
关网元发送接入请求消息，以及，接收H(e)NB网关和/或网络侧接入控制相
关网元发送的接入认证答复消息。

进一步地，所述的接入请求发起单元用于，通过安全网关与H(e)NB网
关和/或网络侧接入控制相关网元之间建立的接口，发送所述接入请求消息。

以上仅为本发明的优选实施案例而已，并不用于限制本发明，本发明还
可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域
的技术人员可根据本发明做出各种相应的改变和变形，但这些相应的改变和
变形都应属于本发明所附的权利要求的保护范围。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可
以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布
在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程
序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并
且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者
将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作
成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件
结合。

资源描述

《接入控制方法、装置、接口及安全网关.pdf》由会员分享，可在线阅读，更多相关《接入控制方法、装置、接口及安全网关.pdf（24页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102843678 A (43)申请公布日 2012.12.26 C N 1 0 2 8 4 3 6 7 8 A *CN102843678A* (21)申请号 201110168248.5 (22)申请日 2011.06.21 H04W 12/06(2009.01) H04W 12/08(2009.01) H04W 92/24(2009.01) (71)申请人中兴通讯股份有限公司地址 518057 广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法务部 (72)发明人朱李 (74)专利代理机构北京安信方达知识产权代理有限公司 11262 代理人吴艳龙洪 (。

2、54) 发明名称接入控制方法、装置、接口及安全网关 (57) 摘要本发明公开了一种接入控制方法、装置、接口及安全网关，安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息；H(e)NB 网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证，并向安全网关发送接入认证答复消息；安全网关接收H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。与现有技术相比，本发明完善了现有的 H(e)NB系统的安全架构，提供了H(e)NB-GW相关的高效的安全解决方案，解决了H(e)NB系统中由于H(e)NB身份假冒带来的各种安全威胁，增加了 H。

3、(e)NB系统的安全性。 (51)Int.Cl. 权利要求书3页说明书14页附图6页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 3 页说明书 14 页附图 6 页 1/3页 2 1.一种接入控制方法，其特征在于，安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息；所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。 2.如权利要求1所述的方法，其特征在于，所述接入请求消息中包含所述H(e)NB的身份和/或H(e)NB接入参数。 3.如权利要求1所述的方法，其特征在于，所述安全网关发送的所述接。

4、入请求消息为：RADIUS消息、或Diameter消息。 4.如权利要求1、2或3所述的方法，其特征在于，所述安全网关通过与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接口发送所述接入请求消息。 5.如权利要求1所述的方法，其特征在于，所述网络侧接入控制相关网元，包括：移动管理实体(MME)/服务网关(S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议 (DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/ 拜访位置寄存器(VLR)。 6.如权利要求2。

5、所述的方法，其特征在于，其中，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB管理参数、和/或 H(e)NB运作状态、和/或H(e)NB的IP地址；所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。 7.一种接入控制方法，其特征在于， H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证，并向所述安全网关发送接入认证答复消息。 8.如权利要求7所述的方法，其特征在于，所述接入认证答复消息中包含所述H(e)NB的身份、和/或。

6、所述H(e)NB接入参数。 9.如权利要求7所述的方法，其特征在于，所述方法还包括：所述H(e)NB网关和/或所述网络侧接入控制相关网元中保存H(e)NB的身份与H(e)NB 接入参数的绑定信息；所述H(e)NB网关和/或所述网络侧接入控制相关网元根据所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份和/或H(e)NB接入参数进行认证。 10.如权利要求7、8或9所述的方法，其特征在于，所述方法还包括：所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元建有接口。 11.如权利要求9所述的方法，其特征在于，所述H(e)NB网关和/或网络侧接入控制相关网元对所述接。

7、入请求消息进行认证，是指：所述H(e)NB网关和/或网络侧接入控制相关网元根据保存的所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入参数进行认证；或者，所述H(e)NB网关和/或网络侧接入控制相关网元根据从其他存储有所述绑定权利要求书CN 102843678 A 2/3页 3 信息的网络侧接入控制相关网元中获取到的所述绑定信息，对所述接入请求消息中包含的 H(e)NB的身份、和/或H(e)NB接入参数进行认证；或者，所述H(e)NB网关和/或网络侧接入控制相关网元将收到的所述接入请求消息转发给其他存储有所述绑定信息的网络侧接入控制相关网元。

8、，由所述其他网络侧接入控制相关网元进行认证并将认证结果报告给所述H(e)NB网关和/或网络侧接入控制相关网元。 12.如权利要求7所述的方法，其特征在于，所述网络侧接入控制相关网元，包括：移动管理实体(MME)/服务网关(S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议 (DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/ 拜访位置寄存器(VLR)。 13.如权利要求7、8或9所述的方法，其特征在于，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e。

9、)NB管理参数、和/或H(e) NB运作状态、和/或H(e)NB的IP地址；其中，所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。 14.如权利要求10所述的方法，其特征在于，所述方法还包括：通过NDS/IP和/或IPsec和/或TLS连接对所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间的接口进行保护。 15.一种接入控制装置，其特征在于，所述装置应用于H(e)NB网关和/或网络侧接入控制相关网元中，包括绑定信息存储单元，所述绑定信息存储单元用于。

10、，保存H(e)NB的身份与H(e)NB接入参数的绑定信息。 16.如权利要求15所述的装置，其特征在于，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e) NB运作状态、和/或H(e)NB的IP地址；其中，所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。 17.一种接入控制装置，其特征在于，所述装置应用于H(e)NB网关和/或网络侧接入控制相关网元中，包括接入请求认证单元，所述接入请求认证单元用于，对接收到的安全网关发送的接入。

11、请求消息进行认证，向所述安全网关发送接入认证答复消息，并在所述接入认证答复消息中包含H(e)NB的身份、和/或所述H(e)NB接入参数。 18.如权利要求17所述的装置，其特征在于，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e) NB运作状态、和/或H(e)NB的IP地址；其中，所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。 19.一种接入控制接口，其特征在于，包括在安全网关与H(e)NB网关和/或网络侧接入控制相关网。

12、元之间建立的接口；所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口用于：权利要求书CN 102843678 A 3/3页 4 所述安全网关通过所述接口向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息；和/或所述H(e)NB网关和/或所述网络侧接入控制相关网元通过所述接口向所述安全网关发送接入认证答复消息。 20.如权利要求19所述的接口，其特征在于，还包括在所述H(e)NB网关与所述网络侧接入控制相关网元之间建立的接口；所述H(e)NB网关与所述网络侧接入控制相关网元之间的接口用于：所述H(e)NB网关通过该接口从存储有H(e)NB的身。

13、份与H(e)NB接入参数的绑定信息的网络侧接入控制相关网元中获取所述绑定信息；或者，所述H(e)NB网关将收到的所述接入请求消息通过该接口转发给存储有所述绑定信息的网络侧接入控制相关网元，由所述网络侧接入控制相关网元对所述接入请求消息进行认证；所述其他网络侧接入控制相关网元根据存储的所述绑定信息对所述接入请求消息进行认证，并通过该接口将认证结果报告给所述H(e)NB网关。 21.如权利要求19或20所述的接口，其特征在于，所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口、和/或所述 H(e)NB网关与所述网络侧接入控制相关网元之间的接口通过NDS/IP和/或IP。

14、sec和/或 TLS连接进行保护。 22.一种安全网关，其特征在于，所述安全网关包括接入请求发起单元，所述接入请求发起单元用于，向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息，以及，接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。 23.如权利要求22所述的安全网关，其特征在于，所述接入请求发起单元用于，通过所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接口，发送所述接入请求消息。权利要求书CN 102843678 A 1/14页 5 接入控制方法、装置、接口及安全网关技术领域 0001 本发明。

15、涉及无线蜂窝通信技术领域，尤其涉及一种接入控制方法、装置、接口及安全网关。背景技术 0002 HNB(Home Node-B，家庭基站)用来为处在家庭内的3G(第三代移动通信系统)手机提供3G的无线覆盖。它被连接到已经存在的住宅宽带服务。它包含了一个标准的Node B(3G宏无线接入网络的一个元素)的功能和一个标准的RNC(Radio Network Controller，无线网络控制器)的无线资源管理功能。 0003 图1描述了HNB的系统结构。其中3GPP(3rd Generation Partnership Project，第三代合作企业项目)用户设备和HNB之间的界面在UTR。

16、AN (Universal Terrestrial Radio Access Network，全球陆地无线接入网)中是回程且相容的空中接口。HNB通过一个SeGW(security gateway，安全网关)接入运营商的核心网，其中HNB和SeGW之间的宽带IP(Internet Protocol，英特网协议)回程可能是不安全的。在此回程中传播的信息要被HNB和SeGW之间建立的安全通道保护。SeGW代表运营商的核心网和HNB进行相互认证。HNB-GW(HNB Gateway)和SeGW是在运营商的核心网内逻辑上分离的实体，用于非 CSG(Closed Subscriber Group。

17、)的UE(User Equipment)的接入控制。H(e)MS需要安全的通信。 0004 图2描述了HeNB的系统结构。HeNB和HNB的区别就是它是连接3GPP用户设备和EUTRAN(Evolved Universal Terrestrial Radio Access Network)的空中接口。 HeNB-GW(Home eNodeB Gateway，HeNB网关)为选择性部署。如果HeNB-GW被部署，则SeGW 与HeNB-GW可以结合在一起；如果它们未被结合在一起，则SeGW与HeNB-GW之间的接口可用NDS/IP进行保护。 0005 H(e)NB(Home(Evolved。

18、)NodeB，家庭(演进)基站)包括HNB和HeNB，是HNB和 HeNB的统称。 0006 针对H(e)NB的安全，3GPP TR 33.820定义了27种威胁。这27种威胁被归纳为7 大类。他们分别是：对H(e)NB资格证书的危害，对H(e)NB的物理攻击，对H(e)NB的构造的攻击，对H(e)NB的协议的攻击，对核心网的攻击(包括基于H(e)NB位置的攻击)，对用户的数据和身份隐私的攻击以及对无线资源和管理的攻击。 0007 在HNB的注册过程中，HNB会发送一个HNB REGISTER REQUEST消息给HNB-GW，这个消息包含了：HNB位置信息，HNB身份，HNB管理参数，。

19、可选的HNB管理模式，HNB自身的IP 地址。HNB-GW可以使用HNBREGISTER REQUEST消息中的信息来检查HNB注册是否能被接受，这包括检查一个HNB是否被允许在一个给定的位置运行等。 0008 在实际应用中，如果一个攻击者冒充一个H(e)NB的身份注册到H(e)NB-GW，则 ACL(Access Control List，接入控制列表)检查就能被通过。因为H(e)NB-GW中保存的着此UE能够接入的H(e)NB列表，而被冒充的H(e)NB身份就包含在此列表中，这样的话H(e) 说明书CN 102843678 A 2/14页 6 NB进行接入控制时会允许UE接入到这个。

20、冒充的H(e)NB上来。这意味着这个攻击者可以假冒另一个用户的H(e)NB并能够获取来自这个用户的ACL列表的呼叫。因此，只要攻击者可以发现对应H(e)NB的身份，这个攻击者可以潜在的偷听或者冒充任何属于这个ACL的用户。 0009 这种攻击场景在攻击者冒充一个开放的(no CSG)H(e)NB的时候会变的非常严重，因为其可以接入到不计其数的附属的UE上。 0010 综上所述，现有技术存在如下技术问题：目前的H(e)NB的安全规范TS33.320中没有任何涉及此类威胁的解决方案的描述。冒充的H(e)NB可以使得UE通过H(e)NB-GW的接入控制，而H(e)NB-GW目前的功能并不。

21、能防止此类威胁的发生。发明内容 0011 本发明解决的技术问题是提供一种接入控制方法、装置、接口及安全网关，解决 H(e)NB系统身份冒充带来的安全威胁。 0012 为解决上述技术问题，本发明提供了一种接入控制方法，安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息； 0013 所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。 0014 进一步地，所述接入请求消息中包含所述H(e)NB的身份和/或H(e)NB接入参数。 0015 进一步地，所述安全网关发送的所述接入请求消息为：RADIUS消息、或Diameter 消息。 001。

22、6 进一步地，所述安全网关通过与所述H(e)NB网关和/或所述网络侧接入控制相关网元之间建立的接口发送所述接入请求消息。 0017 进一步地，所述网络侧接入控制相关网元，包括：移动管理实体(MME)/服务网关 (S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访位置寄存器(VLR)。 0018 进一步地，其中，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作。

23、状态、和/或H(e)NB的IP地址； 0019 所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。 0020 本发明还提供了一种接入控制方法，H(e)NB网关和/或网络侧接入控制相关网元对安全网关发送的接入请求消息进行认证，并向所述安全网关发送接入认证答复消息。 0021 进一步地，所述接入认证答复消息中包含所述H(e)NB的身份、和/或所述H(e)NB 接入参数。 0022 进一步地，所述方法还包括： 0023 所述H(e)NB网关和/或所述网络侧接入控制相关网元中保存H(e)。

24、NB的身份与 H(e)NB接入参数的绑定信息； 0024 所述H(e)NB网关和/或所述网络侧接入控制相关网元根据所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份和/或H(e)NB接入参数进行认证。说明书CN 102843678 A 3/14页 7 0025 进一步地，所述方法还包括： 0026 所述安全网关与所述H(e)NB网关和/或所述网络侧接入控制相关网元建有接口。 0027 进一步地，所述H(e)NB网关和/或网络侧接入控制相关网元对所述接入请求消息进行认证，是指： 0028 所述H(e)NB网关和/或网络侧接入控制相关网元根据保存的所述绑定信息，对所述接入请求消。

25、息中包含的H(e)NB的身份、和/或H(e)NB接入参数进行认证； 0029 或者，所述H(e)NB网关和/或网络侧接入控制相关网元根据从其他存储有所述绑定信息的网络侧接入控制相关网元中获取到的所述绑定信息，对所述接入请求消息中包含的H(e)NB的身份、和/或H(e)NB接入参数进行认证； 0030 或者，所述H(e)NB网关和/或网络侧接入控制相关网元将收到的所述接入请求消息转发给其他存储有所述绑定信息的网络侧接入控制相关网元，由所述其他网络侧接入控制相关网元进行认证并将认证结果报告给所述H(e)NB网关和/或网络侧接入控制相关网元。 0031 进一步地，所述网络侧接入控制相关网元。

26、，包括：移动管理实体(MME)/服务网关 (S-GW)、GPRS服务支持节点(SGSN)、归属位置寄存器(HLR)/归属用户服务器(HSS)、动态主机配置协议(DHCP)服务器、RADIUS服务器、Diameter服务器、AAA服务器、和/或移动交换中心(MSC)/拜访位置寄存器(VLR)。 0032 进一步地，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址； 0033 其中，所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或 IP地址、和/或接入线路位置标识、和/或H。

27、(e)NB周围的宏小区信息和/或地理坐标。 0034 进一步地，所述方法还包括： 0035 通过NDS/IP和/或IPsec和/或TLS连接对所述安全网关与所述H(e)NB网关和 /或所述网络侧接入控制相关网元之间的接口进行保护。 0036 本发明还提供了一种接入控制装置，所述装置应用于H(e)NB网关和/或网络侧接入控制相关网元中，包括绑定信息存储单元， 0037 所述绑定信息存储单元用于，保存H(e)NB的身份与H(e)NB接入参数的绑定信息。 0038 进一步地，所述H(e)NB接入参数，包括：H(e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e。

28、)NB的IP地址； 0039 其中，所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或 IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。 0040 此外，本发明还提供了一种接入控制装置，所述装置应用于H(e)NB网关和/或网络侧接入控制相关网元中，包括接入请求认证单元， 0041 所述接入请求认证单元用于，对接收到的安全网关发送的接入请求消息进行认证，向所述安全网关发送接入认证答复消息，并在所述接入认证答复消息中包含H(e)NB的身份、和/或所述H(e)NB接入参数。 0042 进一步地，所述H(e)NB接入参数，包括：H(。

29、e)NB位置信息、和/或H(e)NB管理参数、和/或H(e)NB运作状态、和/或H(e)NB的IP地址； 0043 其中，所述H(e)NB位置信息包括：H(e)NB的宽带接入设备的公共IP地址、和/或说明书CN 102843678 A 4/14页 8 IP地址、和/或接入线路位置标识、和/或H(e)NB周围的宏小区信息和/或地理坐标。 0044 本发明还提供了一种接入控制接口，包括在安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间建立的接口； 0045 所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口用于： 0046 所述安全网关通过所述接口向H(e)N。

30、B网关和/或网络侧接入控制相关网元发送接入请求消息；和/或 0047 所述H(e)NB网关和/或所述网络侧接入控制相关网元通过所述接口向所述安全网关发送接入认证答复消息。 0048 进一步地，还包括在所述H(e)NB网关与所述网络侧接入控制相关网元之间建立的接口； 0049 所述H(e)NB网关与所述网络侧接入控制相关网元之间的接口用于： 0050 所述H(e)NB网关通过该接口从存储有H(e)NB的身份与H(e)NB接入参数的绑定信息的网络侧接入控制相关网元中获取所述绑定信息； 0051 或者，所述H(e)NB网关将收到的所述接入请求消息通过该接口转发给存储有所述绑定信息的网络侧接。

31、入控制相关网元，由所述网络侧接入控制相关网元对所述接入请求消息进行认证；所述其他网络侧接入控制相关网元根据存储的所述绑定信息对所述接入请求消息进行认证，并通过该接口将认证结果报告给所述H(e)NB网关。 0052 进一步地，所述安全网关与H(e)NB网关和/或网络侧接入控制相关网元之间的接口、和/或所述H(e)NB网关与所述网络侧接入控制相关网元之间的接口通过NDS/IP和/ 或IPsec和/或TLS连接进行保护。 0053 本发明还提供了一种安全网关，所述安全网关包括接入请求发起单元， 0054 所述接入请求发起单元用于，向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息。

32、，以及，接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。 0055 进一步地，所述接入请求发起单元用于，通过所述安全网关与所述H(e)NB网关和 /或所述网络侧接入控制相关网元之间建立的接口，发送所述接入请求消息。 0056 与现有技术相比，本发明完善了现有的H(e)NB的安全架构，提供了H(e)NB-GW相关的高效的安全解决方案，解决了H(e)NB系统中由于H(e)NB身份假冒带来的各种安全威胁，增加了H(e)NB系统的安全性。附图说明 0057 此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明。

33、，并不构成对本发明的不当限定。在附图中： 0058 图1是HNB的系统结构示意图； 0059 图2是HeNB的系统结构示意图； 0060 图3是包含HeNB GW的EUTRAN的架构示意图； 0061 图4是本发明H(e)NB系统的接入控制方法的总体流程示意图； 0062 图5是本发明实施例一的方法流程示意图； 0063 图6是本发明实施例二的方法流程示意图；说明书CN 102843678 A 5/14页 9 0064 图7是本发明实施例三的方法流程示意图； 0065 图8是本发明实施例四的方法流程示意图； 0066 图9是本发明实施例五的方法流程示意图； 0067 图10是本发明实施例。

34、六的方法流程示意图； 0068 图11是本发明实施例七的方法流程示意图； 0069 图12是本发明实施例八的方法流程示意图。具体实施方式 0070 为解决现有技术中H(e)NB身份冒充安全威胁所导致的巨大安全漏洞和危害，本发明的主要目的在于，在UMTS(Universal Mobile Telephone System，全球无线电话系统)网络和EPS(Evolved Packet System，演进分组系统)网络的安全架构中，提供一种与 MME(Mobility Management Entity，移动管理实体)相关的HeNB(Home evolved Node-B，家庭演进基站)系统。

35、的安全机制。通过增强H(e)NB-GW的功能，或者通过与其他网络侧网元的交互来实现增强并达到能够防止冒充H(e)NB所带来的威胁的目的。 0071 为解决H(e)NB身份冒充所带来的安全威胁及完善H(e)NB系统的安全架构，本实施方式的接入控制方法，安全网关进行如下处理： 0072 安全网关向H(e)NB网关和/或网络侧接入控制相关网元发送接入请求消息； 0073 所述安全网关接收所述H(e)NB网关和/或网络侧接入控制相关网元发送的接入认证答复消息。 0074 本实施方式的接入控制方法，H(e)NB-GW和/或网络侧接入控制相关网元进行如下处理： 0075 H(e)NB网关和/或网络。

36、侧接入控制相关网元对安全网关发送的接入请求消息进行认证，并向所述安全网关发送接入认证答复消息。 0076 结合图4所示，本实施方式的一种H(e)NB系统的接入控制方法，采用如下技术方案： 0077 步骤一、H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的身份标识 (Identity)与H(e)NB接入相关参数的绑定信息。 0078 步骤二、SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建立接口。 0079 步骤三、SeGW发送接入请求消息给H(e)NB-GW和/或网络侧接入控制相关网元。 0080 步骤四、H(e)NB-GW和/或网络侧接入控制相关网元对此接。

37、入请求消息进行认证。 0081 步骤五、H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证答复消息给 SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。 0082 其中，该接入认证答复消息中包含的H(e)NB的身份和/或H(e)NB接入相关参数，是用于指示哪个H(e)NB被允许通过SeGW接入以及转发相应接入相关参数给H(e)NB。 0083 其中，所述的网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS 和/或DHCP服务器(Dynamic Host Configuration Protocol，动态主机配置协议)和/或 RADIUS。

38、服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。 0084 进一步地，所述的H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中，H(e)NB位置信息包括说明书CN 102843678 A 6/14页 10 了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或 H(e)NB周围的宏小区信息和/或地理坐标。 0085 进一步地，SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间的接口可以通过NDS/IP和/或IPsec和/或TLS(。

39、Transport Layer Security，传输层安全)的保护来实现。 0086 进一步地，在步骤三中，SeGW发送给H(e)NB-GW的接入请求消息可为 RADIUS(Remote Authentication Dial In User Service，远程用户拨号认证系统)消息或 Diameter(RADIUS协议的升级版本)消息。 0087 进一步地，在步骤三中，SeGW发送给H(e)NB-GW的接入请求消息中至少包含了 H(e)NB的身份和/或H(e)NB接入相关参数，H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或。

40、H(e)NB自己的IP地址。其中H(e) NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。 0088 进一步地，在步骤四中，H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息进行认证包括了：H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息进行认证；或者，H(e)NB-GW和/或网络侧接入控制相关网元从其他存储有H(e)NB的身份与 H(e)NB接入相关参数的绑定信息的网络侧接入控制网元中获取该绑定信息并进行认证；或者，H(e)NB-GW和/或网络侧接入控制相关网元将。

41、此接入请求消息转发给其他存储有 H(e)NB的身份与H(e)NB接入相关参数的绑定信息的网络侧接入控制网元，其他网络侧接入控制相关网元对此接入请求消息进行认证并报告H(e)NB-GW和/或网络侧接入控制相关网元。 0089 为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。 0090 实施例一 0091 结合图5所示，本实施例的H(e)NB系统的接入控制方案具体描述如下： 0092 步骤501，H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的身份。

42、与 H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP 地址的绑定信息。 0093 其中，网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或 DHCP服务器(Dynamic Host Configuration Protocol，动态主机配置协议)和/或RADIUS 服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或 H(e)NB周围的宏小区信息和/或地理坐标。 0094 步骤50。

43、2，SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建立NDS/IP和 /或IPsec和/或TLS连接。 0095 步骤503，SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW和/或网络侧接入控制相关网元，此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB接入相关参数。说明书CN 102843678 A 10 7/14页 11 0096 网络侧接入控制相关网元可以是MME/S-GW和/或SGSN和/或HLR/HSS和/或 DHCP服务器(Dynamic Host Configuration Protocol，动态主机配置协议)和/或R。

44、ADIUS 服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或 IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。 0097 步骤504，H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息进行认证，认证成功。 0098 该步骤中，是根据保存的绑定信息，对该接入请求消息中的H(e)NB的身份和/或 H(e)NB接入相。

45、关参数进行验证，如果通过验证，则认证成功。 0099 步骤505，H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证成功答复消息给SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。 0100 网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP 服务器(Dynamic Host Configuration Protocol，动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)。

46、NB运作状态和/或H(e)NB自己的 IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。 0101 实施例二 0102 结合图6所示，本实施例的H(e)NB系统的接入控制方案具体描述如下： 0103 步骤601，H(e)NB-GW和/或网络侧接入控制相关网元中存入H(e)NB的身份与 H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的IP 地址的绑定信息。网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和。

47、 /或DHCP服务器(Dynamic Host Configuration Protocol，动态主机配置协议)和/或 RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。 0104 步骤602，SeGW与H(e)NB-GW和/或网络侧接入控制相关网元之间建立NDS/IP和 /或IPsec连接。 0105 步骤603，SeGW发送接入RADIUS或Diameter请求消息给H(e)NB-GW和/或网络侧接。

48、入控制相关网元，此接入请求消息中至少包含了H(e)NB的身份和/或H(e)NB接入相关参数。 0106 网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP 服务器(Dynamic Host Configuration Protocol，动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e)NB位置信息和/或H(e)NB管理参数和/或H(e)NB运作状态和/或H(e)NB自己的 IP地址。其中H(e)NB位置信息包括了H(e)NB的宽带接入设备的公共IP地址。

49、和/或IP地址和/或接入线路位置标识和/或H(e)NB周围的宏小区信息和/或地理坐标。 0107 步骤604，H(e)NB-GW和/或网络侧接入控制相关网元对此接入请求消息进行认说明书CN 102843678 A 11 8/14页 12 证，认证失败。 0108 步骤605，H(e)NB-GW和/或网络侧接入控制相关网元发送接入认证失败答复消息给SeGW，此消息包含了H(e)NB的身份和/或H(e)NB接入相关参数。 0109 网络侧接入控制相关网元可为MME/S-GW和/或SGSN和/或HLR/HSS和/或DHCP 服务器(Dynamic Host Configuration Protocol，动态主机配置协议)和/或RADIUS服务器和/或Diameter服务器和/或AAA服务器和/或MSC/VLR。H(e)NB接入相关参数包括了H(e。

展开阅读全文