专利名称:一种验证消息的无线通信网络及方法
技术领域:
本发明涉及通信领域,特别涉及无线通信。
背景技术:
无线通信系统是众所周知的。许多此类系统为蜂窝式,因为无线覆盖是通过一束被称为小区的无线覆盖区域来提供的。提供无线覆盖的基站位于每一小区中。传统基站在相对大的地理区域提供覆盖,对应的小区通常被称为宏小区。在宏小区中建立较小规模的小区是可能的。小于宏小区的小区有时被称为小小区(small cell)、微小区(microcell)、微微小区(picocell)或飞小区(f emtocell),但是,我们将术语飞小区一般地用于小于宏小区的小区。建立飞小区的一种方式包括提供运行于宏小区覆盖区域内相对有限范围的飞小区基站。运用飞小区基站的一个示例包括在建筑物内提供无线通信覆盖。飞小区基站(femtocell base stations)有时被称为毫微微基站(femto)。飞小区基站具有相对低的发射功率,因而,每一飞小区具有比宏小区小的覆盖区域。典型的覆盖范围为几十米。飞小区基站具有自动配置和自优化功能,以便支持非优化的部署,即由用户实现的即插即用式部署,以便自动地将它们集成于现有的宏小区网络中。飞小区基站主要用于特定家庭及办公室内的用户。飞小区基站可为私有接入(“封闭”)或公共接入(“开放”)。在私有接入的飞小区基站中,接入仅限于注册用户,例如家庭成员或特定雇员群体。在公共接入的飞小区基站,其他用户也可使用飞小区基站,服从于某些限制以保护注册用户所接收到的服务质量。一种已知类型的飞小区基站利用宽带互联网协议连接作为“回程”(backhaul),即用于至核心网络的连接。一种宽带互联网协议连接包括数字用户线路(DSL)。DSL将飞小区基站的DSL发射装置-接收装置(“收发装置”)连接至核心网络。DSL允许经由所支持的飞小区基站提供的语音通话和其他服务。飞小区基站还包括被连接至用于无线通信的天线的无线射频(RF)收发装置。为了与宏小区网络相集成,飞小区基站需要与(第二代/2.5代(2.5G)/第三代)宏小区网络中的各种网元交换信令消息。该信令符合相关的第三代合作伙伴项目(3GPP)标准,以使飞小区表现为一个或多个3GPP兼容的节点。为实现此,飞小区基站被分组为簇,每一簇经由称为飞小区基站网关的网关被连接至宏小区网络。飞小区基站网关终止在宏小区网络中的核心网元与飞小区簇之间的信令,从而,使飞小区的整个簇能够表现为单个虚拟的无线网络控制装置(RNC),如3GPP标准所要求。飞小区基站网关可支持在簇中的数千个飞小区。通过用户的很少或无参与,每一飞小区基站连接并注册至该飞小区基站网关。飞小区基站有时被称为毫微微基站(femto)。这是基本原则一每一飞小区基站,即便被入侵,不应干扰另一个飞小区基站的运行。相应地,来自飞小区基站的注册信息必须验证为可信的。如图I所示(现有技术),在一个已知的方法中,安全网关I在飞小区基站3和飞小区基站网关5之间的被提供。飞小区基站3向安全网关I验证其自身,并建立至安全网关I的安全的互联网协议隧道。该验证对建立该飞小区基站的信任证书是足够的。
发明内容
读者可参见所附加的独立权利要求。一些优选特征在从属权利要求中被列出。本发明的一个示例包括一种验证来自无线通信网络中飞小区基站的消息的方法,其中,所述无线通信网络包括安全网关和飞小区基站网关,该方法包括步骤在所述安全网关中检查来自所述飞小区基站的消息中的源IP地址,是否与预期来自该飞小区基站的相符合;及在所述飞小区基站网关中,通过检查将飞小区基站标识符与源IP地址数据相关联的数据库,检查所述消息中的源IP地址是否与预期来自该飞小区基站的相符合。一些优选实施例提供一种确定飞小区基站已经被验证的方法。符合标准的安全网关验证经由IP安全隧道所接收的分组的源IP地址是否匹配被分配给该飞小区基站的地址或地址范围。此外,该源IP地址作为注册消息的部分被发送至该飞小区基站网关,因此,该飞小区基站网关能够将该飞小区基站的身份与该源IP地址相关联,因而验证该消息的真实性。在优选实施例中,源IP地址数据包括源IP地址或源IP地址范围-这可包括虚
拟专用网络VPN IP地址或VPN IP地址范围——并且,在隧道被建立时被分配并在该隧道的期间未被改变。在优选实施例中,IP地址或IP地址范围通过飞小区基站网关,或该飞小区基站网关可查询的其它网元,来被分配,以获取所存储的、在飞小区基站标识符与源IP地址或地址范围之间的映射。随后,当飞小区基站网关接收包括源IP地址的注册请求消息时,该飞小区基站网关运用所存储的映射来确定该消息真正地来自于发送的飞小区基站。本发明可被用于具有通用移动通信系统(UMTS)飞小区基站的网络,以及涉及利用与飞小区基站网关相分离的安全网关的飞小区基站的其他网络。优选实施例有利地防止受入侵的飞小区基站获得网络访问,支持安全网关和飞小区基站网关功能相分离。
通过举例并参照附图,本发明的实施例现在将被描述,其中图I为示出飞小区基站验证/授权(现有技术)的已知方式的示意图;图2为示出飞小区验证/授权的替代方式(备选方案)的示意图;图3为示出根据本发明第一实施例的无线通信网络的示意图;图4为示出在图I所示的一个宏小区中示例飞小区基站部署的示意图;图5为更详细不出图3和4中所不飞小区基站、安全网关和飞小区基站网关的不意图;图6为不出运用图5所不装置的飞小区基站授权方案的消息序列不意图;图7为示出根据本发明的第二实施例的飞小区基站、安全网关、飞小区基站网关和动态主机配置协议(DHCP)服务器的示意图;及
图8为不出运用图7所不装置的飞小区基站授权方案的消息序列不意图。
具体实施例方式发明人意识到,在图1(现有技术)所示已知方法中,自飞小区基站3的通信被发往在安全网关I后面的网元,诸如飞小区基站网关5,该通信不包括加密或验证信息,因为这被安全网关I移除。因此,被入侵的飞小区基站最初用其正确的身份向安全网关验证,随后可运用不同的身份连接至飞小区基站网关5并向其注册。安全网关I没有将该注册消息检测为无效,因为该安全网关不验证负载信息。按照这种方式伪装注册消息,使飞小区基站所有者危害安全成为可能,例如,通过变更飞小区基站配置以使该飞小区基站变为开放接入,从而使第三方用户终端通过该飞小区拔打电话成为可能。这允许该所有者然后窃听通过该飞小区基站拔打的通话,包括名人电话,因此危及隐私。发明人意识到,备选方案(既非现有技术,也非本发明的实施例)将安全网关和飞小区基站网关组合为一个单一的设备。这如图2所示(备选方案),并为当前3GPP通用移 动通讯系统(UMTS)标准的版本9所允许的解决方案。这使在该设备中的飞小区基站网关功能能够利用该设备上的安全网关验证功能来验证注册消息的源。然而,发明人意识到,这样的结合并非总是很实用。例如,飞小区基站网关通常由飞小区基站制造商提供给网络运营商,而安全网关通常从一组有限的非飞小区基站技术领域专家的供应商被购进。因此,发明人意识到,该等网关的分离是更可取的,因此为解决安全问题,在经该安全网关成功验证之后,互联网协议源地址从该安全网关被发送至该飞小区基站网关,在此它相对由该飞小区基站网关初始所分配给该飞小区基站的被再次检查。我们现在描述包括飞小区基站的网络,然后更详细地查看飞小区基站授权过程。网络如图I和图2所示,用于无线通信的网络10,用户终端34可在其中漫游,该网络包括两种类型的基站,即宏小区基站和飞小区基站(后者有时被称为“毫微微基站(femto)”)。为简单起见,在图3和图4中示出一个宏小区基站22。每一宏小区基站具有无线覆盖区域24,该无线覆盖区域通常被称为宏小区。宏小区24的地理范围依赖于宏小区基站22的能力及周围地形。在宏小区24中,每一飞小区基站30提供在相应飞小区32中的无线通信。飞小区包括无线覆盖区域。飞小区32的无线覆盖区域比宏小区24的无线覆盖区域小的多。例如,飞小区32,在规模大小上,对应于用户的办公室或家庭。如图3所示,网络10被无线网络控制装置RNC 170所管理。无线网络控制装置RNC170控制运行,例如通过经由回程通信链路160与宏小区基站22进行通信。无线网络控制装置170维护邻居列表,该邻居列表包括关于基站所支持小区之间的地理关系的信息。此外,无线网络控制装置170维护位置信息,该位置信息提供关于用户设备在无线通信系统10中的位置的信息。无线网络控制装置170可用于经由电路交换网络和分组交换网络对业务进行路由。对于电路交换业务,移动交换中心250被提供,无线网络控制装置170可与其进行通信。移动交换中心250与电路交换网络,诸如公共交换电话网(PSTN) 210,进行通信。对于分组交换业务。网络控制装置170与通用分组无线业务服务支持节点(SGSN) 220及通用分组无线业务网关支持节点(GGSN) 180进行通信。该GGSN然后与分组交换核心网190,诸如,例如,互联网190,进行通信。MSC 250、SGSN 220、GGSN 180及运营商IP网络215组成所谓的核心网络253。SGSN 220与GGSN 180通过运营商IP网络215被连接至飞小区控制装置/网关230。飞小区控制装置/网关230经由安全网关231和互联网190被连接至飞小区基站32。这些至安全网关231的连接为宽带互联网协议连接(“回程”连接)。运营商IP网络215也被连接至互联网协议多媒体系统(MS)核心网络217。在图4中,为简单起见,三个飞小区基站30及相应的飞小区32被示出。对于在宏小区24中的移动终端34,按照已知的方式与宏小区基站22进行通信是可能的。当移动终端34进入飞小区32,该移动终端被注册以与该飞小区的飞小区基站30进行通信时,将与该移动终端的连接从该宏小区切换至该飞小区是可取的。在图4所示的 示例中,移动终端34的用户为飞小区32中最近的32’的优选用户。如图4所示,飞小区基站30经由宽带互联网协议连接(“回程”)36被连接至核心网络(在图4中未示出),及因而被连接至通信“世界”的其余部分(在图4中未示出)。“回程”连接36允许该等飞小区基站30之间、通过该核心网络(未示出)的通信。该宏小区基站也被连接至该核心网络(在图4中未示出)。如前所述,飞小区基站具有相对低的发射功率,因而,每一飞小区相比宏小区具有较小的覆盖区域。典型的覆盖范围为数十米。飞小区基站具有自动配置和自优化功能,以便支持非优化的部署,即由用户进行的即插即用式部署,以便将其自身自动集成入现有的宏小区网络。如前所述,为了与宏小区网络相集成,飞小区基站需要与(第二代/2. 5代(2. 5G)/第三代)宏小区网络中的各种网元交换信令消息。该信令符合第三代合作伙伴项目(3GPP)标准(版本8),以使飞小区表现为一个或多个3GPP兼容的节点。特别地,为实现此,飞小区基站被分组为簇,每一簇经由被称为飞小区基站网关的网关被连接至该宏小区网络。该飞小区基站网关终止在该宏小区网络中的核心网元与该飞小区簇之间的信令,从而,使飞小区的整个簇能够表现为单个虚拟的无线网络控制装置(RNC),该RNC符合3GPP标准(版本8)。安全网关与飞小区基站网关如图5所示,飞小区基站30被连接至安全网关231,该安全网关被连接至飞小区基站网关230。该安全网关和该飞小区基站网关是分离的。安全网关231包括数据库40、配置控制装置42及验证装置44。数据库40将飞小区基站识别符(飞小区基站ID)与源IP地址及密钥相关联。飞小区基站网关230包括验证装置45、飞小区基站注册模块(registrationstage) 46、将飞小区基站ID与该飞小区基站的源IP地址相关联的数据库48,及IP地址分配装置50,IP地址分配装置50将IP地址分配给该飞小区基站以供该飞小区将其用作它自身的IP地址。在使用中,安全网关231请求由飞小区基站网关230对所有飞小区基站的第二次授权,该等飞小区基站寻求建立至该飞小区基站网关的IP隧道。操作将被更详细解释如下。飞小区基站授权过稈
如图6所示,在该基于通用移动通信系统(UMTS)的示例中,飞小区基站30发送(步骤a)包括飞小区基站识别符(飞小区基站ID)及验证信息的授权请求。该安全网关通过检查(步骤al)该飞小区基站ID是否是自其接收消息的飞小区基站的,执行首要授权。若是,该安全网关然后向该飞小区基站网关发送(步骤b)相应的访问请求,该访问请求包括获授权的飞小区基站ID。该飞小区基站网关然后(步骤c)也授权该飞小区基站,将该飞小区基站ID存储于该飞小区基站网关的数据库48中,并为该飞小区基站分配IP地址。该IP地址被存储于数据库48,并被映射到该飞小区基站ID。该飞小区基站网关然后将包括该IP地址的访问接受消息返回(步骤d)至该安全网关。该安全网关的配置控制装置42然后在授权响应消息中将该IP地址传递(步骤e)至该飞小区基站。然后,在飞小区基站30和该安全网关之间的安全隧道被建立。该飞小区基站然后通过该隧道将包括该IP地址的消息发送(步骤g)至该安全网 关。该安全网关运用其知晓的、被分配给该IP地址的密钥,以便(步骤h)解密及验证消息并检测该消息包含的IP地址是否与该飞小区基站ID相符合。这防止了该飞小区基站运用伪造的源IP地址。假设该验证成功,该安全网关将包含该源IP地址及注册请求的解密消息发送(步骤i)至该飞小区基站网关。一旦接收到该消息,飞小区基站网关230的验证装置45检查该源IP地址及在该消息的注册请求部分所指示的飞小区基站ID。若所接收的源IP地址与该飞小区基站网关的数据库48中所存储的、被分配给该飞小区基站ID的一个相对应,该身份则被认为是可信的,该飞小区基站网关的飞小区基站注册模块46注册该飞小区基站。在该实施例中,在所存储(步骤c)的飞小区基站标识符与所接收(步骤i)的飞小区基站标识符之间的关联被建立,以使来自该飞小区基站的后续消息被自动地认为是获授权的。在一些其他实施例中,如此授权而是在每一个后续消息(即时地(on-the-fly))上被执行的。另一示例如图7中所示,在第二个示例中,飞小区基站30’被连接至安全网关231’,该安全网关231’被连接至飞小区基站网关230’。安全网关231’包括数据库40’、配置控制装置42’及验证装置44’。数据库40’将飞小区基站标识符(飞小区基站ID)与源IP地址及密钥相关联。飞小区基站网关230’包括飞小区基站注册模块46’及数据库查询处理装置72。安全网关231’与飞小区基站网关230’直接互相连接,并且还经由包括数据库48’及IP地址分配装置50’的动态主机配置协议(DHCP)服务器70互相连接。数据库48’将飞小区基站ID与该飞小区基站的源IP地址相关联。IP地址分配装置50’将IP地址分配给该飞小区基站以供该飞小区将其用作它自身的IP地址。在使用中,该安全网关请求由该飞小区基站网关对所有飞小区基站的第二次授权,该等飞小区基站寻求建立至该飞小区基站网关的IP隧道。飞小区基站网关230’查询DHCP服务器70以实现该请求。操作将被更详细解释如下。如图8所示,在该第二实施例,其同为基于通用移动通信系统(UMTS)的示例中,该安全网关被配置以从独立服务器中获取IP地址,即该示例中的动态主机配置协议(DHCP)服务器70。如图8所示,飞小区基站30’将包括飞小区基站识别符(飞小区基站ID)与验证信息的授权请求发送(步骤a)至该安全网关,作为建立安全隧道的第一个步骤。安全网关231’接收该请求,并通过检查(步骤b’ )该飞小区基站ID是否是自其接收消息的飞小区基站的,执行首要授权。若是,该安全网关然后向DHCP服务器70发送(步骤c’)相应的访问请求,该访问请求包括获授权的飞小区基站ID,以便为该飞小区基站请求IP地址。该请求包括作为DHCP客户端硬件地址(chaddr)的、经验证的飞小区基站身份。DHCP服务器然后(步骤d’)将该飞小区基站ID存储于数据库48中,并为该飞小区基站分配IP地址。该IP地址被存储于数据库48’,并被映射到该客户端硬件地址,即该飞小区基站ID。DHCP服务器然后将包括该IP地址的访问接受消息返回(步骤e’ )至该安全网 关。该安全网关的配置控制装置42’然后在授权响应消息中将该IP地址传递(步骤f ’ )至飞小区基站30’。然后在飞小区基站30’与安全网关231’之间的安全隧道被建立(步骤g’ )。在隧道建立之后,飞小区基站然后通过该隧道,将包括IP地址的消息发送(步骤h’ )至安全网关。该安全网关运用其知晓的、被分配给该IP地址的密钥,以便(步骤i’)解密及验证消息并检测该消息包含的IP地址是否与该飞小区基站ID相符合。这防止了该飞小区基站运用伪造的源IP地址。假设该验证成功,该安全网关将包含该源IP地址及包括该飞小区基站ID的注册请求的解密消息,发送(步骤j’ )至该飞小区基站网关。—旦接收到该消息,该飞小区基站网关的数据库查询处理装置72将请求发送(步骤k’)至动态主机配置协议(DHCP)服务器,来请求被分配给该飞小区基站ID身份的IP地址。DHCP服务器从其内部的数据库48’获取(步骤I’ )相应的IP地址,并以所分配的IP地址响应(步骤m’ )该飞小区基站网关。飞小区基站网关230’的验证装置45’检查,从DHCP服务器接收到的该IP地址是否与包含该消息注册请求部分的分组的源IP地址相匹配。若是,该身份则被认为是可信的,该飞小区基站网关的飞小区基站注册模块46’注册该飞小区基站。—胜变体在关于图5至8所描述的示例中,各种消息中的飞小区基站的标识符是完全相同的。然而,该等标识符不必如此。在一些实施例中,具有可靠机制,例如在飞小区基站网关中,以将一种身份格式转变为另一种身份格式,是足够的。例如,在参考图5和6所描述的示例,在至飞小区基站网关的两个消息中所使用的标识,参见前文b和i所表示的步骤,对于飞小区基站是相同的,即飞小区基站ID。在一些其它实施例中,它们是不同的,但随后,飞小区基站网关知晓在这两个不同但有效的、飞小区基站的标识符之间的映射,因而可检查它们是否关联。例如,这两个不同的标识符可以采用不同的格式,例如,互联网密钥交换版本 2 (Internet Key Exchange version 2, IKEv2)与家庭基站应用部分(HomeNodeBApplication Part, HNBAP)。
同样,在参考图7和8所描述的实施例的变形中,DHCP服务器已将多个IP地址分配给相同的飞小区基站,例如,在建立多个IP隧道中。在该情况下,所分配的多个地址中的任一个匹配包括注册请求的分组的源IP地址,是足够的。在一些进一步的实施例中,DHCP服务器的使用允许多个设备(服务器、网关、应用设备等)验证来自飞小区基站的注册消息。例如,若该飞小区基站也向呈现服务器(presence server)注册,则该呈现服务器也可利用相似的消息交换,请求来自DHCP服务器的所关联的IP地址。本发明可以其他特殊形式被实现,并不背离本发明的本质特征。所描述的实施例应被认为在所有方面仅为说明性的而不是 限制性的。因此,本发明的范围通过附加的权利要求而非通过前述描述,被示出。在该等权利要求等同的含义及范围之内的所有变化,将包含于该等权利要求的范围。本领域技术人员将容易地认识到各种上述方法的步骤可通过编程计算机被执行。一些实施例涉及程序存储设备,如数字数据存储介质,其为机器或计算机可读并对机器可执行或计算机可执行的程序指令进行编码,在此,所述指令执行所述上述方法的部分或全部步骤。程序存储设备可包括,例如,数字存储器;磁存储介质,诸如磁盘及磁带;硬盘驱动器;或光可读数字数据存储介质。一些实施例涉及经编程以执行上述方法的所述步骤的计算机。
权利要求
1.一种验证来自无线通信网络中飞小区基站的消息的方法,其中,所述无线通信网络包括安全网关和飞小区基站网关,该方法包括步骤 由所述安全网关检查来自所述飞小区基站的消息中的源IP地址,是否与预期来自该飞小区基站的相符合 '及 还由所述飞小区基站网关,通过检查将飞小区基站标识符与源IP地址数据相关联的数据库,检查所述消息中的源IP地址是否与预期来自该飞小区基站的相符合。
2.根据权利要求I所述的方法,其中,所述飞小区基站经由所述安全网关被连接至所述飞小区基站网关。
3.根据权利要求I或2所述的方法,其中,所述源IP地址被所述飞小区基站网关分配给经由IP隧道与所述飞小区基站的连接,并被作为与飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库中。
4.根据权利要求I或2所述的方法,其中,所述源IP地址被动态主机配置协议(DHCP)服务器分配给所述飞小区基站网关与所述飞小区基站之间的、经IP隧道的连接,并被作为与飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库。
5.根据权利要求3或4所述的方法,其中,所述源IP地址,通过为所述经IP隧道与所述飞小区基站的连接分配IP地址范围,并在该范围内选择一个源IP地址以包含于所述消息,来被分配,并且所述源IP地址数据被记录于包含所述源IP地址范围的所述数据库。
6.根据任一在先权利要求所述的方法,其中,所述消息包括注册请求消息,并且一旦两检查均通过,所述飞小区基站被所述飞小区基站网关注册。
7.一种无线通信网络,包括安全网关和飞小区基站网关,及至少一个飞小区基站, 所述安全网关被配置以验证从飞小区基站所接收的消息,所述安全网关包括检查处理装置,所述检查处理装置被配置以检查来自所述飞小区基站的所述消息中的源IP地址是否与预期来自该飞小区基站的相符合;及 所述飞小区基站网关包括进一步处理装置,所述进一步处理装置被配置以通过检查使飞小区基站标识符与源IP地址数据相关联的数据库,来检查在所述消息中的所述源IP地址是否与预期来自该飞小区基站的相符合。
8.根据权利要求7所述的网络,其中,所述至少一个飞小区基站经由所述安全网关被连接至所述飞小区基站网关。
9.根据权利要求7或8所述的网络,其中,所述消息包括注册请求消息,并且所述飞小区基站网关被配置以当被发现符合时注册所述飞小区基站。
10.根据权利要求7至9中任一项所述的网络,其中,所述飞小区基站网关包括所述数据库。
11.根据权利要求7至10中任一项所述的网络,其中,所述源IP地址被所述飞小区基站网关分配给经IP隧道与所述飞小区基站的连接,并被作为与用于检查的飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库。
12.根据权利要求7至9中任一项所述的网络,其中,所述源IP地址被单立网元被分配给在所述飞小区基站网关与所述飞小区基站之间的、经IP隧道的连接,并被作为与飞小区基站标识符相关联的所述源IP地址数据记录于所述数据库。
13.根据权利要求12所述的网络,其中,所述单立网元包括所述数据库。
14.根据权利要求12或13所述的网络,其中,所述单立网元包括动态主机配置协议服务器。
15.根据权利要求7至14中任一项所述的网络,其中,在使用中,所述源IP地址,通过为所述经IP隧道与所述飞小区基站的连接分配IP地址范围,并且所述飞小区基站在该范围内选择一个源IP地址以包含于所述消息,来被分配,并且被记录于所述数据库的所述源IP地址数据包括所述源IP地址范围。
全文摘要
提供一种验证来自无线通信网络中飞小区基站的消息的方法,其中,所述无线通信网络包括安全网关和飞小区基站网关,该方法包括步骤由所述安全网关检查来自所述飞小区基站的消息中的源IP地址,是否与预期来自该飞小区基站的相符合;及由所述飞小区基站网关,通过检查将飞小区基站标识符与源IP地址数据相关联的数据库,检查所述消息中的源IP地址是否与预期来自该飞小区基站的相符合。
文档编号H04W12/06GK102845087SQ201180019217
公开日2012年12月26日 申请日期2011年3月8日 优先权日2010年4月13日
发明者托尼·普特曼, 格雷汉姆·布兰德 申请人:阿尔卡特朗讯