CN102026160A - 一种移动回程网安全接入的方法和系统 - Google Patents
一种移动回程网安全接入的方法和系统 Download PDFInfo
- Publication number
- CN102026160A CN102026160A CN2009101714934A CN200910171493A CN102026160A CN 102026160 A CN102026160 A CN 102026160A CN 2009101714934 A CN2009101714934 A CN 2009101714934A CN 200910171493 A CN200910171493 A CN 200910171493A CN 102026160 A CN102026160 A CN 102026160A
- Authority
- CN
- China
- Prior art keywords
- enb
- address
- segw
- authentication
- legal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种移动回程网安全接入的方法,包括:演进型基站(eNB)与地址分配服务器进行交互后,所述eNB获取一个仅用于认证的临时IP地址;所述eNB利用所述临时IP地址向安全网关(SeGW)发起认证,所述SeGW对所述eNB认证通过后给所述eNB分发合法IP地址;所述eNB对所述SeGW认证通过后,所述eNB用所述合法IP地址替代所述临时IP地址,所述eNB成功接入网络。相应地,本发明还提供了一种移动回程网安全接入的系统,所述系统包括演进型基站、地址分配服务器和安全网关。本发明的方法和系统保障了安全接入网络,可以有效防止恶意eNB获得合法IP地址给其它eNB或者核心网带来安全威胁。
Description
技术领域
本发明涉及到通信技术领域,特别涉及到一种移动回程网安全接入的方法和系统。
背景技术
移动回程网的安全问题受到越来越多的关注。第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)、宽带论坛(Broadband Forum,BBF)和下一代移动网络(Next Generation Mobile Networks,NGMN)等组织对移动回程网的安全需求进行了较为深入的分析,3GPP TR 33.820中对家庭演进型Node B(Home Evolved Node B,H(e)NB)的接入认证进行了阐述,在3GPP TS 36.300和3GPP TR 32.816文档关于演进型Node B(Evolved Node B,eNB)执行自组织网络(Self-Organizing Network,SON)过程的叙述中可以看到,当eNB进行自配置的时候首先需要获得IP地址,然后进行运营、管理和维护(operation,administration and maintenance,OAM)检测和eNB认证等操作。
但是eNB同H(e)NB存在较大的区别,例如:eNB中不包括归属方模块(Hosting Party Module,HPM),eNB需要在自配置阶段首先获取IP地址等,因此3GPP TR 33.820文档中的接入认证方法并不适用于eNB。因此需要针对eNB的特点,设计新的移动回程网安全接入方案。
发明内容
本发明要解决的技术问题是提供一种移动回程网安全接入的方法和系统,解决了eNB安全接入移动回程网的问题。
为了解决上述问题,本发明提供了一种移动回程网安全接入的方法,包括:
演进型基站(eNB)与地址分配服务器进行交互后,所述eNB获取一个仅用于认证的临时IP地址;
所述eNB利用所述临时IP地址向安全网关(SeGW)发起认证,所述SeGW对所述eNB认证通过后给所述eNB分发合法IP地址;
所述eNB对所述SeGW认证通过后,所述eNB用所述合法IP地址替代所述临时IP地址,所述eNB成功接入网络。
进一步地,上述方法还具有如下特点:
所述SeGW上配置有地址池,所述SeGW对所述eNB认证通过后给所述eNB分发合法IP地址具体为:
所述SeGW对所述eNB认证通过后,所述SeGW从所述地址池中获取分配给所述eNB的合法IP地址后并发送给所述eNB。
进一步地,上述方法还具有如下特点:
所述地址分配服务器为动态主机配制协议(DHCP)服务器,所述SeGW对所述eNB认证通过后给所述eNB分发合法IP地址具体为:
所述SeGW对所述eNB认证通过后,所述SeGW向所述DHCP服务器发送IP地址分配请求消息,为所述eNB申请所述合法IP地址;
所述DHCP服务器向SeGW返回IP地址分配应答消息,其中包含所述合法IP地址;
所述SeGW将所述合法IP地址发送给所述eNB。
进一步地,上述方法还具有如下特点:
所述认证为采用预共享密钥的认证方式或者为基于公钥基础设施(PKI)的认证方式。
进一步地,上述方法还具有如下特点:
所述基于PKI的认证进一步是采用交叉证书的认证。
进一步地,上述方法还具有如下特点:
所述地址分配服务器为动态主机配制协议(DHCP)服务器,所述eNB与DHCP服务器采用DHCP协议进行交互,并获取所述临时IP地址,具体包括如下步骤:
所述eNB发送DHCP发现消息给所述DHCP服务器;
所述DHCP服务器返回DHCP提供消息给所述eNB;
所述eNB发送DHCP请求消息给所述DHCP服务器;
所述DHCP服务器发送DHCP响应消息给所述eNB,所述eNB获得所述临时IP地址后并配置该临时IP地址。
为了解决上述问题,本发明还提供了一种移动回程网安全接入的系统,所述系统包括演进型基站(eNB)、地址分配服务器和安全网关(SeGW),其中:
所述eNB,用于与所述地址分配服务器进行交互,获取一个仅用于认证的临时IP地址;以及利用所述临时IP地址向所述SeGW发起认证,以及对所述SeGW认证通过后,用所述SeGW发送来的合法IP地址代替所述临时IP地址;
所述地址分配服务器,用于与所述eNB进行交互,给所述eNB分配一个仅用于认证的临时IP地址;
所述SeGW,用于对所述eNB认证通过后,向所述eNB分发所述合法IP地址。
进一步地,上述系统还具有如下特点:
所述SeGW上配置有地址池,所述SeGW对所述eNB认证通过后,向所述eNB分发所述合法IP地址具体为:
所述SeGW对所述eNB认证通过后,所述SeGW从所述地址池中获取分配给所述eNB的合法IP地址后并发送给所述eNB。
进一步地,上述系统还具有如下特点:
所述地址分配服务器为动态主机配制协议(DHCP)服务器。
所述SeGW,还用于对所述eNB认证通过后向所述DHCP服务器发送IP地址分配请求消息,为所述eNB申请所述合法IP地址;
所述DHCP服务器,还用于在接收到所述SeGW发送来的所述IP地址分配请求消息后,向所述SeGW返回IP地址分配应答消息,其中包含分配给所述eNB的所述合法IP地址。
进一步地,上述系统还具有如下特点:
所述认证为采用预共享密钥的认证方式或者为基于公钥基础设施(PKI)的认证方式。
上述方法和系统中引入了临时IP地址的机制,保障了安全接入网络,在对eNB进行认证前,先给eNB分配临时IP地址。先分配临时IP可以有效防止恶意eNB获得合法IP地址给其它eNB或者核心网带来安全威胁。通过临时IP分配机制,只为合法的eNB分配IP地址,非法eNB不能获得合法IP地址,不仅符合自配置流程,而且有效阻止了恶意节点接入。
附图说明
图1为本发明实施例移动回程网安全接入示意图
图2为本发明应用示例一的基于地址池的采用预共享密钥认证的移动回程网安全接入示意图;
图3为本发明应用示例二的基于地址池的采用交叉证书认证的移动回程网安全接入示意图;
图4为本发明应用示例三的基于DHCP服务器的采用预共享密钥认证的移动回程网安全接入示意图;
图5为本发明应用示例三基于DHCP服务器的采用交叉证书认证的移动回程网安全接入示意图。
具体实施方式
本发明在深入研究eNB特点的基础上,提出了基于临时IP地址的接入认证机制,设计了一种移动回程网安全接入方案。
下面结合附图详细说明本发明的具体实施方式。
图1所示为本发明实施例一的移动回程网接入安全的整体流程示意图,包括如下步骤:
步骤101:当eNB进行自配置的时候,eNB通过与地址分配服务器进行交互,由地址分配服务器分配一个临时IP地址给eNB,该临时IP地址不可用于对其它eNB的访问或其它目的;
地址分配服务器可以是动态主机配置协议(Dynamic Host ConfigurationProtocol,DHCP)服务器,也可以是其他的地址分配服务器;如果是DCHP服务器,eNB通过DHCP协议与DHCP服务器进行交互,获取临时IP地址;如果是其他地址分配服务器,eNB发送IP地址请求给地址分配服务器,由地址分配服务器返回一个临时IP地址;
分配临时IP地址的目的是:由于Internet密钥交换协议(Internet KeyExchange,IKE)是应用层协议,封装在用户数据报协议(User DatagramProtocol,UDP)协议中,而UDP协议基于IP传输,所以需要IP地址,否则,不能正确实现IKE消息的路由。
步骤102:eNB利用该临时IP地址向安全网关(Security Gateway,SeGW)发起认证,SeGW对eNB进行认证,认证通过后给eNB分发合法IP地址;
步骤103:eNB对SeGW进行认证,认证通过后,eNB用SeGW分配的合法IP地址替代临时IP地址,eNB成功接入网络。
其中,认证所采用的方法可以是预共享密钥的认证方式,也可以是基于公钥基础设施(Public Key Infrastructure,PKI)的认证方式;
基于PKI的认证方式进一步可以是采用交叉证书的认证,也可以是其他的基于PKI的认证方式。
下面结合附图给出详细说明本发明的应用示例,以DHCP服务器作为地址分配服务器为例进行说明。
应用示例一
图2所示为基于地址池的采用预共享密钥的移动回程网安全接入示意图,在此场景中,eNB首先通过DHCP服务器获得临时IP地址,利用临时IP地址同SeGW进行相互认证;
其中,在SeGW中部署有地址池,当eNB通过SeGW的认证后,SeGW从地址池中取出合法IP地址分配给eNB,本应用示例中假设eNB和SeGW之间存在用于相互认证的预共享密钥。具体包括如下步骤:
该应用示例包括两部分:
首先,eNB采用DHCP协议与DHCP服务器进行交互,获取临时IP地址;
本步骤具体包括如下步骤:
步骤201:eNB发送DHCP DISCOVER(发现)消息给DHCP服务器;
步骤202:DHCP服务器返回DHCP OFFER(提供)消息给eNB;
步骤203:eNB发送DHCP REQUEST(请求)消息给DHCP服务器;
步骤204:DHCP服务器发送DHCP ACK(确认)消息给eNB,eNB根据获得临时IP地址,并配置该临时IP地址;
其次,eNB使用临时IP地址,向SeGW发起采用预共享密钥的认证过程,SeGW对eNB认证通过后向eNB返回SeGW从地址池中获取的合法IP地址,eNB利用预共享密钥对SeGW进行认证通过后,用合法IP地址替代临时IP地址;
本步骤具体包括如下步骤:
步骤205:eNB发起Internet密钥交换协议第二版(Internet Key Exchangeversion 2,IKEv2)初始化过程,发送IKE_SA_INIT请求消息给SeGW,消息内容包括HDR,SA,KE和Ni;
其中,HDR表示IKE_SA_INIT请求消息的报头,Ni表示发起方eNB的随机载荷,KE表示发起者的Diffle-Hellman公开值,SA包含了发起者针对IKE-SA的建议,建议包括加密算法、认证算法以及DH组等内容;
步骤206:SeGW接收到IKE_SA_INIT请求消息后返回IKE_SA_INIT应答消息给eNB,应答消息中包括HDR,SA,KE和Nr;
其中,Nr表示应答方SeGW的随机载荷,SA表示应答方从发起者SA中选择的建议;
步骤207:eNB收到IKE_SA_INIT应答消息后,利用IKE_SA_INIT阶段协商的SA和KE,发起认证过程,发送IKE_AUTH请求消息给SeGW,IKE-AUTH请求消息中包括HDR以及一个加密载荷,加密载荷中包括用于请求合法IP地址的CFG_REQUEST选项,用于认证的认证载荷AUTH选项;
步骤208:SeGW接收到eNB发送的IKE_AUTH请求消息后,对加密载荷进行解密,并用预共享密钥检验接收到的认证载荷AUTH对eNB进行认证;
步骤209:SeGW对eNB认证通过后,返回IKE_AUTH应答消息给eNB,IKE_AUTH应答消息中包括CFG_REPLY选项,该CFG_REPLY选项中承载有SeGW从地址池中获得的分配给eNB的合法IP地址;
步骤210:eNB接收到SeGW返回的IKE_AUTH应答消息,基于预共享密钥检验接收到的认证载荷ATUH,对SeGW进行认证;认证通过后,将临时IP地址替换为SeGW发送的合法IP地址。
以上流程中,如果认证没有通过,流程终止;
上述采用预共享密钥的认证过程是在IKEv2协议中规定的,具体可以参考IKEv2协议。
应用示例二
图3所示为本发明应用示例二基于地址池的采用交叉证书认证的移动回程网安全接入示意图;在此场景中,eNB首先通过DHCP服务器获得临时IP地址,利用临时IP地址同SeGW进行相互认证;
其中,SeGW上部署有地址池,SeGW对eNB认证通过后,从地址池中取出合法IP地址分配给eNB,本应用示例中eNB和SeGW之间采用基于PKI的认证方式中的采用交叉证书的认证方法。
该应用示例包括二部分:
首先,eNB与采用DHCP协议DHCP服务器进行交互,获取临时IP地址;
本步骤具体包括如下步骤:
步骤301:eNB发送DHCP DISCOVER消息给DHCP服务器;
步骤302:DHCP服务器返回DHCP OFFER消息给eNB;
步骤303:eNB发送DHCP REQUEST消息给DHCP服务器;
步骤304:DHCP服务器发送DHCPACK给eNB,eNB获得并配置临时IP地址;
其次,eNB使用临时IP地址,向SeGW发起采用交叉证书的认证过程,SeGW对eNB认证通过后向eNB返回SeGW从地址池中获取的合法IP地址,eNB利用交叉证书对SeGW进行认证通过后,用合法IP地址替代临时IP地址;
本步骤具体包括如下步骤:
步骤305:eNB发起IKEv2初始化过程,发送IKE_SA_INIT请求消息给SeGW,消息内容包括HDR,SA,KE和Ni;
步骤306:SeGW接收到eNB发送IKE_SA_INIT请求消息后返回IKE_SA_INIT应答消息给eNB,应答消息中包括HDR,SA,KE,Nr和CERTREQ证书请求选项;;
步骤307:eNB收到IKE_SA_INIT应答消息后,利用IKE_SA_INIT阶段协商的SA和KE,发起认证过程,发送IKE_AUTH请求消息给SeGW,IKE-AUTH请求消息中包括HDR以及一个加密载荷,加密载荷中包括用于请求合法IP地址的CFG_REQUEST选项,CERT证书选项和CERTREQ证书请求选项以及认证载荷AUTH选项;
其中,CERT证书选项中承载有eNB证书;
CERTREQ证书请求选项用于请求SeGW的证书和交叉证书,因为CERTREQ证书请求选项最多可以放4个证书,所以SeGW应答的时候可以将证书和交叉证书都放在CERTREQ证书请求选项发送给eNB;
步骤308:SeGW接收到eNB发送的IKE_AUTH请求消息,对加密载荷解密,取出CERT证书选项中的eNB证书,对eNB发送的认证载荷AUTH进行认证,并利用设备商的根证书对eNB证书的真实性进行认证;
步骤309:SeGW通过查询证书吊销列表(Certificate Revocation List,CRL)验证eNB证书的有效性;
步骤310:SeGW完成对eNB认证后返回IKE_AUTH应答消息给eNB,IKE_AUTH应答消息中包括CFG_REPLY选项,该CFG_REPLY选项中承载有SeGW从地址池中获得的分配给eNB的合法IP地址,并包含有CERT证书选项,该CERT证书选项承载有SeGW的证书和交叉证书;
步骤311:eNB接收到SeGW返回的IKE_AUTH应答消息,利用SeGW的证书对SeGW发送的认证载荷AUTH进行认证,验证认证载荷AUTH的正确性;
步骤312:eNB利用交叉证书对SeGW的证书的真实性进行认证,并通过查询CRL验证SeGW的证书的有效性;
步骤313:eNB利用设备商的根证书验证交叉证书的真实性,并查询CRL验证交叉证书的有效性,认证通过后,eNB将临时IP地址替换为SeGW发送的合法IP地址。
以上流程中,如果认证没有通过,流程终止;
该采用预共享密钥的认证过程是在IKEv2协议中规定的,具体可以参考IKEv2协议。
应用示例三
图4所示为本发明应用示例三基于DHCP服务器的采用预共享密钥认证的移动回程网安全接入示意图。在此场景中,eNB首先通过DHCP服务器获得临时IP地址,利用临时IP地址同SeGW进行相互认证,在eNB通过认证后,SeGW向DHCP服务器请求合法IP地址分配给eNB,本应用示例中假设eNB和SeGW之间存在用于相互认证的预共享密钥。具体包括如下步骤:
该应用示例包括二部分:
首先,eNB与DHCP服务器采用DHCP协议进行协商,获取临时IP地址;
本步骤具体包括如下步骤:
步骤401:eNB发送DHCP DISCOVER消息给DHCP服务器;
步骤402:DHCP服务器返回DHCP OFFER消息给eNB;
步骤403:eNB发送DHCP REQUEST消息给DHCP服务器;
步骤404:DHCP服务器发送DHCP ACK给eNB,eNB获得临时IP地址后,配置临时IP地址;
其次,eNB使用临时IP地址,向SeGW发起采用预共享密钥的认证过程,SeGW对eNB认证通过后,SeGW向DHCP服务器为eNB申请合法IP地址,SeGW从DHCP服务器获取该合法IP地址后,向eNB返回SeGW该合法IP地址,eNB利用预共享密钥对SeGW进行认证通过后,用合法IP地址替代临时IP地址;
本步骤具体包括如下步骤:
步骤405:eNB发起IKEv2初始化过程,发送IKE_SA_INIT请求消息给SeGW,IKE_SA_INIT请求消息中包括HDR,SA,KE和Ni;
步骤406:SeGW接收到IKE_SA_INIT请求消息后返回IKE_SA_INIT应答消息给eNB,该IKE_SA_INIT应答消息中包括HDR,SA,KE和Nr;
步骤407:eNB收到IKE_SA_INIT应答消息后,利用IKE_SA_INIT阶段协商的SA和KE,发起认证过程,发送IKE_AUTH请求消息给SeGW,IKE-AUTH请求消息包括HDR以及一个加密载荷,加密载荷中包括用于请求合法IP地址的CFG_REQUEST选项和用于认证的认证载荷AUTH选项;
步骤408:SeGW接收到eNB发送的IKE_AUTH请求消息,对加密载荷解密,用预共享密钥检验接收到的认证载荷ATUH,对eNB进行认证;
步骤409:SeGW对eNB认证通过后,SeGW向DHCP服务器发送IP地址分配请求消息,为eNB申请合法IP地址;
步骤410:DHCP服务器返回IP地址分配应答消息给SeGW,其中包含DHCP分配给该eNB的合法IP地址;
步骤411:SeGW返回IKE_AUTH应答消息给eNB,该IKE_AUTH应答消息中包括CFG_REPLY选项,该CFG_REPLY选项承载有从DHCP服务器上获得的分配给eNB的合法IP地址;
步骤412:eNB接收到SeGW返回的IKE_AUTH应答消息,基于预共享密钥检验接收到的认证载荷AUTH选项对SeGW进行认证,认证通过后将临时IP地址替换为SeGW发送的合法IP地址。
以上流程中,如果认证没有通过,流程终止;
该采用预共享密钥的认证过程是在IKEv2协议中规定的,具体可以参考IKEv2协议。
应用示例四
图5所示为本发明应用示例四基于DHCP服务器的采用交叉证书的移动回程网安全接入示意图,在此场景中,eNB首先通过DHCP服务器获得临时IP地址,利用临时IP地址同SeGW进行相互认证,在eNB通过认证后,SeGW向DHCP服务器请求合法IP地址分配给eNB。本应用示例中假设eNB和SeGW之间基于PKI进行相互认证。
具体包括如下步骤:
该应用示例包括二部分:
首先,eNB与DHCP服务器采用DHCP协议进行协商,获取临时IP地址;本部分具体包括如下步骤:
步骤501:eNB发送DHCP DISCOVER消息给DHCP服务器;
步骤502:DHCP服务器返回DHCP OFFER消息给eNB;
步骤503:eNB发送DHCP REQUEST消息给DHCP服务器;
步骤504:DHCP服务器发送DHCP ACK给eNB,eNB获得临时IP地址后并配置该临时IP地址;
其次,eNB使用临时IP地址,向SeGW发起采用交叉证书的认证过程,SeGW对eNB认证通过后,SeGW向DHCP服务器为eNB申请合法IP地址,SeGW从DHCP服务器获取该合法IP地址后,向eNB返回该合法IP地址,eNB利用交叉证书对SeGW进行认证通过后,用合法IP地址替代临时IP地址;本部分具体包括如下步骤:
步骤505:eNB发起IKEv2初始化过程,发送IKE_SA_INIT请求消息给SeGW,该IKE_SA_INIT请求消息中包括HDR,SA,KE和Ni;
步骤506:SeGW接收到IKE_SA_INIT请求消息后向eNB返回IKE_SA_INIT应答消息给eNB,IKE_SA_INIT应答消息中包括HDR,SA,KE,Nr和CERTREQ证书请求选项;
步骤507:eNB收到IKE_SA_INIT应答消息后,利用IKE_SA_INIT阶段协商的SA和KE,发起认证过程,发送IKE_AUTH请求消息给SeGW,IKE-AUTH请求消息包括HDR以及一个加密载荷,加密载荷中包括用于请求合法IP地址的CFG_REQUEST选项,CERT证书选项和CERTREQ证书请求选项以及认证载荷AUTH选项;
步骤508:SeGW接收到eNB发送的IKE_AUTH请求消息,取出CERT证书选项中的eNB证书,对eNB发送的认证载荷AUTH进行认证,并利用设备商的根证书对eNB证书的真实性进行认证;
步骤509:SeGW通过查询CRL验证eNB证书的有效性;
步骤510:SeGW向DHCP服务器发送IP地址分配请求消息,为eNB申请合法IP地址;
步骤511:DHCP服务器返回IP地址分配应答消息给SeGW;
步骤512:SeGW完成对eNB认证后向eNB返回IKE_AUTH应答消息给eNB,IKE_AUTH应答消息中包括CFG_REPLY选项,该CFG_REPLY选项承载有从DHCP服务器获得的分配给eNB的合法IP地址,,并包含承载有SeGW的证书和交叉证书的CERT证书选项;
步骤513:eNB接收到SeGW返回的IKE_AUTH应答消息,利用SeGW的证书对SeGW发送的认证载荷AUTH进行认证,验证AUTH的正确性;
步骤514:eNB利用交叉证书对SeGW的证书的真实性进行认证,并通过查询CRL验证SeGW证书的有效性;
步骤515:eNB利用设备商的根证书验证交叉证书的真实性,并查询CRL验证交叉证书的有效性,认证通过后,eNB将临时IP地址替换为SeGW发送的合法IP地址。
以上流程中,如果认证没有通过,流程终止;
该采用预共享密钥的认证过程是在IKEv2协议中规定的,具体可以参考IKEv2协议。
进一步地,本发明还提供了一种实现上述方法的移动回程网安全接入的系统,包括eNB、地址分配服务器和SeGW,其中:
eNB,用于与地址分配服务器进行交互,获取一个仅用于认证的临时IP地址;以及利用临时IP地址向SeGW发起认证,以及对SeGW认证通过后,用SeGW发送来的合法IP地址代替临时IP地址;
地址分配服务器,用于与eNB进行交互,给eNB分配一个仅用于认证的临时IP地址;
所述SeGW,用于对eNB认证通过后,向eNB分发所述合法IP地址。
SeGW上配置有地址池,SeGW对所述eNB认证通过后,向eNB分发所述合法IP地址具体为:
SeGW对eNB认证通过后,SeGW从所述地址池中获取分配给eNB的合法IP地址后并发送给eNB。
或者,地址分配服务器可以为DHCP服务器;
SeGW,还用于对eNB认证通过后向DHCP服务器发送IP地址分配请求消息,为eNB申请合法IP地址;
DHCP服务器,还用于在接收到SeGW发送来的IP地址分配请求消息后,向SeGW返回IP地址分配应答消息,其中包含分配给eNB的合法IP地址。
其中,上述认证为采用预共享密钥的认证方式或者为基于PKI的认证方式,基于PKI的认证进一步是采用交叉证书的认证。
以上所述,仅为本发明的部分实施例,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种移动回程网安全接入的方法,其特征在于:
演进型基站(eNB)与地址分配服务器进行交互后,所述eNB获取一个仅用于认证的临时IP地址;
所述eNB利用所述临时IP地址向安全网关(SeGW)发起认证,所述SeGW对所述eNB认证通过后给所述eNB分发合法IP地址;
所述eNB对所述SeGW认证通过后,所述eNB用所述合法IP地址替代所述临时IP地址,所述eNB成功接入网络。
2.如权利要求1所述的方法,其特征在于:
所述SeGW上配置有地址池,所述SeGW对所述eNB认证通过后给所述eNB分发合法IP地址具体为:
所述SeGW对所述eNB认证通过后,所述SeGW从所述地址池中获取分配给所述eNB的合法IP地址后并发送给所述eNB。
3.如权利要求1所述的方法,其特征在于,
所述地址分配服务器为动态主机配制协议(DHCP)服务器,所述SeGW对所述eNB认证通过后给所述eNB分发合法IP地址具体为:
所述SeGW对所述eNB认证通过后,所述SeGW向所述DHCP服务器发送IP地址分配请求消息,为所述eNB申请所述合法IP地址;
所述DHCP服务器向SeGW返回IP地址分配应答消息,其中包含所述合法IP地址;
所述SeGW将所述合法IP地址发送给所述eNB。
4.如权利要求1或2或3所述的方法,其特征在于,
所述认证为采用预共享密钥的认证方式或者为基于公钥基础设施(PKI)的认证方式。
5.如权利要求4所述的方法,其特征在于,
所述基于PKI的认证进一步是采用交叉证书的认证。
6.如权利要求1或2或3所述的方法,其特征在于,
所述地址分配服务器为动态主机配制协议(DHCP)服务器,所述eNB与DHCP服务器采用DHCP协议进行交互,并获取所述临时IP地址,具体包括如下步骤:
所述eNB发送DHCP发现消息给所述DHCP服务器;
所述DHCP服务器返回DHCP提供消息给所述eNB;
所述eNB发送DHCP请求消息给所述DHCP服务器;
所述DHCP服务器发送DHCP响应消息给所述eNB,所述eNB获得所述临时IP地址后并配置该临时IP地址。
7.一种移动回程网安全接入的系统,其特征在于:
所述系统包括演进型基站(eNB)、地址分配服务器和安全网关(SeGW);其中,
所述eNB,用于与所述地址分配服务器进行交互,获取一个仅用于认证的临时IP地址;以及利用所述临时IP地址向所述SeGW发起认证,以及对所述SeGW认证通过后,用所述SeGW发送来的合法IP地址代替所述临时IP地址;
所述地址分配服务器,用于与所述eNB进行交互,给所述eNB分配一个仅用于认证的临时IP地址;
所述SeGW,用于对所述eNB认证通过后,向所述eNB分发所述合法IP地址。
8.如权利要求7所述的系统,其特征在于:
所述SeGW上配置有地址池,所述SeGW对所述eNB认证通过后,向所述eNB分发所述合法IP地址具体为:
所述SeGW对所述eNB认证通过后,所述SeGW从所述地址池中获取分配给所述eNB的合法IP地址后并发送给所述eNB。
9.如权利要求7所述的系统,其特征在于:
所述地址分配服务器为动态主机配制协议(DHCP)服务器。
所述SeGW,还用于对所述eNB认证通过后向所述DHCP服务器发送IP地址分配请求消息,为所述eNB申请所述合法IP地址;
所述DHCP服务器,还用于在接收到所述SeGW发送来的所述IP地址分配请求消息后,向所述SeGW返回IP地址分配应答消息,其中包含分配给所述eNB的所述合法IP地址。
10.如权利要求7或8或9所述的系统,其特征在于,
所述认证为采用预共享密钥的认证方式或者为基于公钥基础设施(PKI)的认证方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101714934A CN102026160A (zh) | 2009-09-21 | 2009-09-21 | 一种移动回程网安全接入的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101714934A CN102026160A (zh) | 2009-09-21 | 2009-09-21 | 一种移动回程网安全接入的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102026160A true CN102026160A (zh) | 2011-04-20 |
Family
ID=43866884
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101714934A Pending CN102026160A (zh) | 2009-09-21 | 2009-09-21 | 一种移动回程网安全接入的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102026160A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012174977A1 (zh) * | 2011-06-23 | 2012-12-27 | 中兴通讯股份有限公司 | 业务数据流处理方法及装置 |
| CN103856573A (zh) * | 2012-12-04 | 2014-06-11 | 华为技术有限公司 | 一种互联网协议ip地址的配置方法、装置及系统 |
| CN111934870A (zh) * | 2020-09-22 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040107364A1 (en) * | 2002-07-10 | 2004-06-03 | Nec Corporation | User authentication system and user authentication method |
| CN101083528A (zh) * | 2007-06-08 | 2007-12-05 | 中兴通讯股份有限公司南京分公司 | 基于动态主机配置协议的安全接入方法及其系统 |
| CN101340334A (zh) * | 2007-07-02 | 2009-01-07 | 华为技术有限公司 | 一种网络接入方法及系统和装置 |
-
2009
- 2009-09-21 CN CN2009101714934A patent/CN102026160A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040107364A1 (en) * | 2002-07-10 | 2004-06-03 | Nec Corporation | User authentication system and user authentication method |
| CN101083528A (zh) * | 2007-06-08 | 2007-12-05 | 中兴通讯股份有限公司南京分公司 | 基于动态主机配置协议的安全接入方法及其系统 |
| CN101340334A (zh) * | 2007-07-02 | 2009-01-07 | 华为技术有限公司 | 一种网络接入方法及系统和装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012174977A1 (zh) * | 2011-06-23 | 2012-12-27 | 中兴通讯股份有限公司 | 业务数据流处理方法及装置 |
| CN103856573A (zh) * | 2012-12-04 | 2014-06-11 | 华为技术有限公司 | 一种互联网协议ip地址的配置方法、装置及系统 |
| CN103856573B (zh) * | 2012-12-04 | 2017-06-13 | 华为技术有限公司 | 一种互联网协议ip地址的配置方法、装置及系统 |
| CN111934870A (zh) * | 2020-09-22 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
| CN111934870B (zh) * | 2020-09-22 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 区块链网络中的根证书更新方法、装置、设备以及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| CN107277061B (zh) | 基于iot设备的端云安全通信方法 | |
| JP4824813B2 (ja) | アプリケーションの認証 | |
| KR102021213B1 (ko) | 엔드 투 엔드 서비스 계층 인증 | |
| CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
| CN102379114B (zh) | 基于ims的多媒体广播和多播服务(mbms)中的安全密钥管理 | |
| US9515824B2 (en) | Provisioning devices for secure wireless local area networks | |
| CN103067337B (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| CN102547701A (zh) | 认证方法、无线接入点和认证服务器 | |
| CN102404347A (zh) | 一种基于公钥基础设施的移动互联网接入认证方法 | |
| WO2014176997A1 (zh) | 数据收发方法及系统、消息的处理方法及装置 | |
| WO2013040957A1 (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
| CN102231725A (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
| CN101471767B (zh) | 密钥分发方法、设备及系统 | |
| CN102857517B (zh) | 认证方法、宽带远程接入服务器以及认证服务器 | |
| CN100591013C (zh) | 实现认证的方法和认证系统 | |
| Younes | Securing ARP and DHCP for mitigating link layer attacks | |
| CN102026192A (zh) | 一种移动回程网证书分发方法及系统 | |
| CN102413103B (zh) | 一种消息验证方法、系统及设备 | |
| CN101827106A (zh) | 一种dhcp安全通信方法、装置和系统 | |
| CN101471934A (zh) | 动态主机配置协议中双向加密及身份鉴权的方法 | |
| CN104518874A (zh) | 一种网络接入控制方法和系统 | |
| CN102026160A (zh) | 一种移动回程网安全接入的方法和系统 | |
| CN1921682A (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| EP2663049B1 (en) | Authentication method based on dhcp, dhcp server and client |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110420 |