技術(shù)領(lǐng)域

本發(fā)明主要涉及移動通信領(lǐng)域，特別涉及一種移動回程網(wǎng)證書分發(fā)方法及系統(tǒng)。

背景技術(shù)

移動回程網(wǎng)的安全保障機(jī)制脆弱，安全問題復(fù)雜。一方面，用戶面加密在基站(Node?B)終止。另一方面，移動回程網(wǎng)網(wǎng)元得不到應(yīng)有的安全保障，位于非完全可信區(qū)域。因此，如何保證移動回程網(wǎng)的安全是亟待解決問題，引起了產(chǎn)業(yè)界和學(xué)術(shù)界的廣泛關(guān)注。

3GPP?LTE(Long?Term?Evolution，長期演進(jìn))/SAE(System?Architecture?Evolution，系統(tǒng)架構(gòu)演進(jìn))安全框架規(guī)范TS?33.401中，建議利用IPSec(Internet?Protocol?Security，IP層協(xié)議安全)保護(hù)移動回程網(wǎng)連接安全。其中IPSec證書的管理依據(jù)網(wǎng)絡(luò)域安全認(rèn)證框架TS?33.310實(shí)施。由于TS33.310是為核心網(wǎng)網(wǎng)元之間的認(rèn)證需求而制定，并沒有考慮移動回程網(wǎng)的特點(diǎn)，因此需要對TS?33.310進(jìn)行增強(qiáng)，使其可以用于LTE移動回程網(wǎng)證書管理。

LTE移動回程網(wǎng)關(guān)于證書管理增強(qiáng)的需求主要包括以下幾點(diǎn)：

(1)首先要保證證書注冊過程的安全

TS?33.310中并沒有闡述如何保證證書注冊過程的安全，而移動回程網(wǎng)網(wǎng)元的所有權(quán)不僅屬于運(yùn)營商，也可能是用戶或者設(shè)備商等，證書注冊的安全問題同網(wǎng)絡(luò)域的情況有很大區(qū)別，網(wǎng)元間關(guān)系復(fù)雜，因此需要保證證書注冊過程的安全。

(2)其次要保證證書注冊方案同SON(Self-Organized?Network，自組織網(wǎng)絡(luò))、H(e)NB(Home?Evolved?Node?B，家庭演進(jìn)型Node?B)和RS(RelayStation，中繼站)等兼容

SON是新加入的eNB自配置、自優(yōu)化過程，目的是最小化人工參與，通過自組織達(dá)到節(jié)約運(yùn)營成本的目的。在SON過程中，eNB節(jié)點(diǎn)首先要基于DHCP(Dynamic?Host?Configuration?Protocol，動態(tài)主機(jī)配置協(xié)議))進(jìn)行IP地址、網(wǎng)關(guān)和DNS(Domain?Name?Server，域名服務(wù)器)配置，并進(jìn)行OAM(Operation、Administration、Maintenance，操作、管理、維護(hù))服務(wù)器的檢測。然后對eNB節(jié)點(diǎn)進(jìn)行鑒權(quán)，建立與EPC(Evolved?Packet?Core?Network，演進(jìn)型分組核心網(wǎng))的關(guān)聯(lián)，完成eNB軟件下載及運(yùn)行參數(shù)配置。如果在IP地址配置階段完成證書注冊分發(fā)，將最大化證書的使用價值，為接下來的鑒權(quán)、參數(shù)配置、IPSec?SA(Security?Association，安全關(guān)聯(lián))協(xié)商等應(yīng)用提供安全憑證。

H(e)NB情況下，由于H(e)NB為用戶所有，這種所有權(quán)的變化，可能對運(yùn)營商帶來影響，尤其是證書注冊過程將會受到影響。因此在設(shè)計(jì)證書管理方案的時候應(yīng)該考慮到這種影響，并兼容這種場景。

在實(shí)際移動回程網(wǎng)網(wǎng)絡(luò)應(yīng)用中，可能存在這樣的場景。eNB和SeGW(安全網(wǎng)關(guān))之間存在共享的秘密，如PKI(Public?Key?Infrastructure，公鑰基礎(chǔ)設(shè)施)或者預(yù)共享密鑰，SeGW和RA(Register?Authority，證書注冊審核機(jī)構(gòu))或者CA(Certificate?Authority，數(shù)字證書認(rèn)證中心)之間有安全連接。如何實(shí)現(xiàn)對eNB的認(rèn)證，并安全地頒發(fā)運(yùn)營商的證書給eNB是需要解決的問題。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是，提供一種移動回程網(wǎng)證書分發(fā)方法及系統(tǒng)，實(shí)現(xiàn)eNB和SeGW之間的安全認(rèn)證以及證書分發(fā)。

為了解決上述問題，本發(fā)明公開了一種移動回程網(wǎng)證書分發(fā)方法，包括：

基站與安全網(wǎng)關(guān)基于IKE協(xié)議進(jìn)行認(rèn)證，并基于IKE?SA創(chuàng)建IPSec隧道；

當(dāng)所述安全網(wǎng)關(guān)通過所創(chuàng)建的IPSec隧道接收到所述基站發(fā)送的證書注冊請求時，將該證書注冊請求轉(zhuǎn)發(fā)給RA或者CA，所述RA或者CA對所述證書注冊請求進(jìn)行驗(yàn)證，驗(yàn)證通過后，生成基站證書，并將所生成的基站證書發(fā)送給安全網(wǎng)關(guān)，所述安全網(wǎng)關(guān)通過所創(chuàng)建的IPSec隧道將基站證書發(fā)送給所述基站。

進(jìn)一步地，上述方法中，所述基站與所述安全網(wǎng)關(guān)之間具有事先配置的預(yù)共享密鑰時，所述基站與安全網(wǎng)關(guān)基于IKE協(xié)議進(jìn)行認(rèn)證的過程如下：

所述基站與安全網(wǎng)關(guān)進(jìn)行IKE協(xié)議初始化后，所述基站向安全網(wǎng)關(guān)發(fā)起認(rèn)證請求，所述認(rèn)證請求包括所述基站的認(rèn)證載荷；

所述安全網(wǎng)關(guān)接收所述認(rèn)證請求，根據(jù)事先配置的預(yù)共享密鑰以及所述認(rèn)證請求中基站的認(rèn)證載荷對所述基站進(jìn)行認(rèn)證；