特許第5977834号(P5977834)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 中興通訊股▲ふん▼有限公司

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 中興通訊股▲ふん▼有限公司の特許一覧

特許5977834ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント
<>
  • 特許5977834-ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント 図000002
  • 特許5977834-ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント 図000003
  • 特許5977834-ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント 図000004
  • 特許5977834-ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント 図000005
  • 特許5977834-ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント 図000006
  • 特許5977834-ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント 図000007
  • 特許5977834-ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント 図000008
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5977834
(24)【登録日】2016年7月29日
(45)【発行日】2016年8月24日
(54)【発明の名称】ホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメント
(51)【国際特許分類】
   H04W 12/06 20090101AFI20160817BHJP
   H04W 12/04 20090101ALI20160817BHJP
   H04W 92/12 20090101ALI20160817BHJP
   H04W 84/10 20090101ALI20160817BHJP
   H04L 9/32 20060101ALI20160817BHJP
【FI】
   H04W12/06
   H04W12/04
   H04W92/12
   H04W84/10
   H04L9/00 675B
   H04L9/00 675A
【請求項の数】22
【全頁数】20
(21)【出願番号】特願2014-537471(P2014-537471)
(86)(22)【出願日】2012年10月8日
(65)【公表番号】特表2014-535207(P2014-535207A)
(43)【公表日】2014年12月25日
(86)【国際出願番号】CN2012082555
(87)【国際公開番号】WO2013064002
(87)【国際公開日】20130510
【審査請求日】2014年5月14日
(31)【優先権主張番号】201110337762.7
(32)【優先日】2011年10月31日
(33)【優先権主張国】CN
(31)【優先権主張番号】201110364549.5
(32)【優先日】2011年11月4日
(33)【優先権主張国】CN
(73)【特許権者】
【識別番号】511151662
【氏名又は名称】中興通訊股▲ふん▼有限公司
【氏名又は名称原語表記】ZTE CORPORATION
(74)【代理人】
【識別番号】110000671
【氏名又は名称】八田国際特許業務法人
(72)【発明者】
【氏名】宗 在 峰
(72)【発明者】
【氏名】周 曉 云
(72)【発明者】
【氏名】朱 李
【審査官】 齋藤 浩兵
(56)【参考文献】
【文献】 中国特許出願公開第101795451(CN,A)
【文献】 特開2010−206702(JP,A)
【文献】 国際公開第2010/062983(WO,A2)
【文献】 米国特許出願公開第2010/0095368(US,A1)
【文献】 国際公開第2010/102222(WO,A2)
【文献】 Alcatel-Lucent,"Binding of HNB identities for CSG Verification",3GPP TSG SA WG3 (Security) meeting #64 S3-110685,2011年 7月15日,URL,http://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_64_Mainz/Docs/S3-110685.zip
【文献】 ZTE,"Introducting identities binding requirements for UE access control enforcement"[online],3GPP TSG-SA WG3#65 S3-111054,2011年10月31日,URL:http://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_65_San_Diego/Docs/S3-111054.zip
【文献】 ZTE,"A solution to solve the Security gap for H(e)NB",3GPP TSG SA WG3 (Security) meeting #65 S3-111053,2011年11月 7日,URL,http://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_65_San_Diego/Docs/S3-111053.zip
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24− 7/26
H04W 4/00−99/00
H04L 9/32
3GPP TSG RAN WG1−4
SA WG1−2
CT WG1
(57)【特許請求の範囲】
【請求項1】
セキュリティゲートウェイSeGWがホーム基地局H(e)NBの身元情報に対してデジタル署名をし、前記デジタル署名を前記H(e)NBに送信するステップと、
前記H(e)NBが前記H(e)NBの身元情報及び前記デジタル署名をコアネットワークエレメントに送信するステップと、
前記コアネットワークエレメントが前記H(e)NBの身元情報及び前記デジタル署名に対して正しさの検証を行うステップと、を含み、
前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスである、ホーム基地局のセキュアアクセス方法。
【請求項2】
前記SeGWがH(e)NBの身元情報に対してデジタル署名をするステップは、
前記SeGWが前記H(e)NBに対して身元認証する時に、前記H(e)NBの身元情報を取得し、且つ前記H(e)NBの身元情報に対してデジタル署名をするステップを含む請求項1に記載の方法。
【請求項3】
前記H(e)NBが前記H(e)NBの身元情報及び前記デジタル署名をコアネットワークエレメントに送信するステップは、
前記H(e)NBが、前記H(e)NBの登録時に、前記H(e)NBの身元情報及び前記デジタル署名を前記コアネットワークエレメントに送信するステップを含む請求項1に記載の方法。
【請求項4】
前記H(e)NBが前記H(e)NBの身元情報及び前記デジタル署名をコアネットワークエレメントに送信するステップは、
前記H(e)NBが、ユーザ装置UEが前記H(e)NBによって登録する時に、前記H(e)NBの身元情報及び前記デジタル署名を前記コアネットワークエレメントに送信するステップを含む請求項1に記載の方法。
【請求項5】
前記セキュリティゲートウェイSeGWは、前記セキュリティゲートウェイの秘密鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をし、
それに対応して、前記コアネットワークエレメントは、前記セキュリティゲートウェイの公開鍵を用いて前記H(e)NBの身元情報及び前記デジタル署名に対して正しさの検証を行う請求項1に記載の方法。
【請求項6】
前記SeGWは、動的セッション鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をし、
前記方法は、前記SeGWが前記動的セッション鍵をホーム加入者サーバHSS/認証認可課金AAAサーバに通知し、前記HSS/AAAサーバが前記動的セッション鍵を記憶するステップをさらに含む請求項1に記載の方法。
【請求項7】
前記コアネットワークエレメントが前記H(e)NBの身元情報及び前記デジタル署名に対して正しさの検証を行うステップは、
前記コアネットワークエレメントが前記AAA/HSSから前記H(e)NBの身元情報に対して署名をする前記動的セッション鍵を取得し、前記動的セッション鍵を用いて前記H(e)NBの身元情報を検証するステップを含む請求項6に記載の方法。
【請求項8】
前記コアネットワークエレメントが前記H(e)NB情報及び前記デジタル署名を検証することに成功した後、前記コアネットワークエレメントが前記H(e)NB情報を保存するステップをさらに含む請求項1に記載の方法。
【請求項9】
前記コアネットワークエレメントは、ホーム基地局ゲートウェイH(e)NB GW又はモビリティ管理エンティティMMEである請求項3に記載の方法。
【請求項10】
前記コアネットワークエレメントは、MME又は汎用パケット無線業務サービスサポートノードSGSN又はモバイルスイッチングセンターMSCである請求項4に記載の方法。
【請求項11】
UEが前記H(e)NBによってアクセスする場合、
前記コアネットワークエレメントは、前記H(e)NBの身元情報が正しいであると検証した後、前記H(e)NBの身元情報をMME又はSGSN又はMSCに送信し、MME、SGSN又はMSCにより前記H(e)NBのサポートするCSG ID情報を取得し、前記CSG ID情報に基づいて前記UEに対してアクセス制御を行い、
前記MME、SGSN又はMSCは、前記H(e)NB情報から前記CSG ID情報を取得し、或いは前記HSS/AAAサーバから前記CSG ID情報を取得する請求項3又は9に記載の方法。
【請求項12】
UEが前記H(e)NBによってアクセスする場合、
前記コアネットワークエレメントは、前記H(e)NBの身元情報が正しいであると検証した後、前記H(e)NBのサポートするCSG ID情報を取得し、前記CSG ID情報に基づいて前記UEに対してアクセス制御を行い、前記コアネットワークエレメントは、前記H(e)NB情報から前記CSG ID情報を取得し、或いは前記HSS/AAAサーバから前記CSG ID情報を取得する請求項4又は10に記載の方法。
【請求項13】
前記コアネットワークエレメントは、設定された前記SeGWの証明書からSeGWの公開鍵を取得し、或いは前記コアネットワークエレメントは、前記H(e)NBが前記コアネットワークエレメントに送信する証明書からSeGWの公開鍵を取得する請求項5に記載の方法。
【請求項14】
前記SeGWは、IKEv2の設定ペイロードCPを拡張することによって前記デジタル署名を前記H(e)NBに送信する請求項1に記載の方法。
【請求項15】
前記SeGWがH(e)NB身元情報を前記H(e)NBに送信するステップをさらに含む請求項14に記載の方法。
【請求項16】
H(e)NBの身元情報に対してデジタル署名をし、前記H(e)NBのデジタル署名を前記H(e)NBに送信するように設置されるセキュリティゲートウェイSeGWと、
前記H(e)NBの送信する身元情報及びデジタル署名を受信し、前記身元情報及び前記デジタル署名に対して正しさの検証を行うように設置されるコアネットワークエレメントと、を備え、
前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスである、ホーム基地局のセキュアアクセスシステム。
【請求項17】
前記SeGWは、前記SeGWの秘密鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をするように設置され、
それに対応して、前記コアネットワークエレメントは、前記SeGWの公開鍵を用いて前記H(e)NBの身元情報及び前記デジタル署名に対して正しさの検証を行うように設置される請求項16に記載のシステム。
【請求項18】
前記SeGWは、
動的セッション鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をし、
前記動的セッション鍵をホーム加入者サーバHSS/認証認可課金AAAサーバに通知するように設置される請求項16に記載のシステム。
【請求項19】
前記コアネットワークエレメントは、前記AAA/HSSから前記H(e)NBの身元情報に対してデジタル署名をする前記動的セッション鍵を取得し、前記動的セッション鍵を用いて前記H(e)NBの身元情報を検証するように設置される請求項18に記載のシステム。
【請求項20】
前記コアネットワークエレメントは、モビリティ管理エンティティMME又はGPRSサービスサポートノードSGSN又はホーム基地局ゲートウェイH(e)NB GWである請求項16〜19のいずれかに記載のシステム。
【請求項21】
前記SeGWはさらに、前記H(e)NBの身元情報を前記H(e)NBに送信するように設置される請求項16に記載のシステム。
【請求項22】
ホームH(e)NBの送信する身元情報及びセキュリティゲートウェイSeGWによる前記身元情報へのデジタル署名を受信し、前記身元情報及び前記デジタル署名に対して正しさの検証を行うように設置され、
前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスであるコアネットワークエレメント。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ホーム基地局のセキュアアクセス技術に関し、特にホーム基地局のセキュアアクセス方法、システム及びコアネットワークエレメントに関する。
【背景技術】
【0002】
スリージーピーピー(3GPP、3rd Generation Partnership Project)により提案される進化型パケットシステム(EPS、Evolved Packet System)は、進化型ユニバーサル地上無線アクセスネットワーク(E−UTRAN、Evolved Universal Terrestrial Radio Access Network)、モビリティ管理エンティティ(MME、Mobility Management Entity)、サービングゲートウェイ(S−GW、Serving Gateway)、パケットデータネットワークゲートウェイ(P−GW又はPDN GW、Packet Data Network Gateway)、ホーム加入者サーバ(HSS、Home Subscriber Server)、及び3GPPの認証認可課金(AAA、Authentication、Authorization and Accounting)サーバからなる。
【0003】
ホーム基地局は、進化型パケットコア(EPC、Evolved Packet Core)にアクセスする際に、セキュリティを確保するために、進化型パケットコアにおいてセキュリティゲートウェイ(SeGW、Security Gateway)を導入している。ホーム基地局は、コアネットワーク装置と通信する前に、まず、セキュリティゲートウェイとの間においてIPSecトンネルを作成する。ホーム基地局とコアネットワーク装置との間の制御プレーン通信データ及びユーザプレーンデータは、いずれも当該IPSecトンネルにより暗号化される。図1は、H(e)NBがコアネットワークにアクセスするシステムアーキテクチャの模式図である。図1に示すように、当該アーキテクチャは、同時に従来のGERAN/UTRANと(LTE、Long Term Evolution)アクセスをサポートする。ここで、HNB(Home NodeB)は、GERAN/UTRANをサポートするホーム基地局で、HeNB(Home eNodeB)は、LTEをサポートするホーム基地局である。HNBを用いてアクセスする場合、ホーム基地局ゲートウェイ(HNB GW、Home NodeB Gateway)は必須である。HNBがパワーオンする時、HNBは、HNB GWにおいて登録する必要がある。HeNBを用いてアクセスする場合、進化型ホーム基地局ゲートウェイ(HeNB GW、Home eNodeB Gateway)はオプションである。HeNB GWが配置される場合、HeNBはHeNB GWに登録し、HeNB GWが配置されていない場合、HeNBはMMEに登録する。
【0004】
3GPPプロトコルによれば、UEがH(e)NB(すなわち、HNB又はHeNB)からアクセスする場合、MME又はGPRSサービスサポートノード(SGSN、Serving GPRS SUPPORT NODESGSN)又はHNB GWは、UEに対してアクセス制御を行う。UEがH(e)NBによってアタッチする場合、UEとネットワークがクローズドユーザグループ(CSG、Closed Subscribe Group)をサポートすると、当該H(e)NBは、それ自体がサポートするCSG ID(CSG identity)をSGSN又はMMEに通知する。SGSN又はMMEは、HSSから得られたユーザ加入データに基づいて、当該ユーザが当該H(e)NBからアクセスすることを許容するか否かを判断する。UEがHNBによってアタッチする場合、UE又はネットワークがCSGをサポートしないと、HNB GWは、ローカルで設定される当該HNBの許容するUE IMSIリストに基づいて、当該UEが当該HNBからアクセスすることを許容するか否かを判断する。
【0005】
上記UEがH(e)NBによってアクセスする過程において、すべての関連メッセージは、H(e)NBとSeGWとの間のセキュアトンネルによって保護される。H(e)NBがパワーオンする時、SeGWとセキュアトンネルを作成して相互認証するので、SeGWから見ると、H(e)NBは信頼できる。しかしながら、関連プロトコルは、H(e)NBがMME/SGSN/HNB GWに送信する身元と、そのSeGWと相互認証する時の身元とが一致することを確保できない。実際に、多くの場合に、H(e)NBがMME/SGSN/HNB GWで用いる身元は、それがSeGWと相互認証する時の身元と異なる。従来のプロトコルによれば、SeGWは、H(e)NBがMME/SGSN/HNB GWで用いる身元の認証を実行しない。
【0006】
そのため、関連プロトコルによれば、H(e)NBは、それ以降MME/SGSN/H(e)NB GWと通信する時に他人の身元を盗用することが可能である。例えば、HeNB1は、まず、本当の身元(当該身元は、証明書又はホスティングプロバイダユニット(HPM)に基づく。)を用いてSeGWとIPSecトンネルを作成して相互認証する。UEがHeNB1からアクセスする場合、HeNB1は、HeNB2のHeNB IDとHeNB2のサポートするCSG IDをMMEに送信する。当該HeNB2のCSG IDによっては、UEのアクセスは許容されるが、HeNB1のサポートするCSG IDによっては、UEのアクセスは許容されない。上記の例において、HeNB1が他人の身元を盗用することによって、元々アクセスを許容されないユーザは、ネットワークにアクセスすることが可能になり、ネットワークのセキュリティを低下させる。
【0007】
この問題に対して、H(e)NBのコアネットワークにおける身元(すなわち、MME/H(e)NB GWで用いられる身元)を認証するために、SeGWとMME/H(e)NB GWとの間に新たなインターフェースを追加し、且つSeGWによりH(e)NB IDとH(e)NBの内部IPアドレスとの相関関係をMME/H(e)NB GWに送信する方法が提案されている。しかしながら、当該方法には多くの欠陥が存在する。具体的には、H(e)NB IDとH(e)NBの内部IPアドレスとの相関関係は、H(e)NBがパワーオンする時のみにIPSecメッセージによりトリガリングされてMME//H(e)NB GWに送信される。SeGWは、適切なMME//H(e)NB GWを選択して当該相関関係を送信する必要があり、且つH(e)NBが登録時に同一のMME、H(e)NB GWを選択することを確保しなければならない。このため、具体的に実施する際に、H(e)NBが同一のMME又はH(e)NB GWを選択することを確保しなければならず、それは必ず達成の難しさの増加を招く。また、H(e)NBが初期パワーオン時にそれ自体の身元を送信するMME又はH(e)NB GWを選択していないと、当該方法は無効になる。関連プロトコルによれば、H(e)NBは、H(e)MSの設定情報に基づいて、MME又はH(e)NB GWを選択する。しかしながら、SeGWとH(e)MSにインターフェースがないので、SeGWの選択するMME、H(e)NB GWがH(e)NBの選択するH(e)NB GW及びMMEと同一であることを確保することは極めて難しい。また、当該方案では、MME、H(e)NB GWをH(e)NBの認証サーバと仮定している。しかしながら、関連プロトコルによれば、HPMモジュールに基づく認証がオプションであるので、H(e)NBの認証には、AAAサーバが用いられない可能性がある。このため、当該方案は、すべての状況には適用できない。
【発明の概要】
【発明が解決しようとする課題】
【0008】
上記の事情を鑑みて、本発明の実施例は、不法のホーム基地局が合法のホーム基地局にスプーフィングしてコアネットワークにアクセスしてユーザ装置のために業務サービスを提供することを防止することができるホーム基地局のセキュアアクセス方法及びシステムを提供することを主な目的とする。
【課題を解決するための手段】
【0009】
前記目的を達成するために、本発明の実施例の技術案は以下のように達成される。
【0010】
セキュリティゲートウェイSeGWがホーム基地局H(e)NBの身元情報に対してデジタル署名をし、前記デジタル署名を前記H(e)NBに送信するステップと、前記H(e)NBが前記H(e)NBの身元情報及び前記デジタル署名をコアネットワークエレメントに送信するステップと、前記コアネットワークエレメントが前記H(e)NBの身元情報及び前記デジタル署名に対して正しさの検証を行うステップと、を含み、
前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスである、ホーム基地局のセキュアアクセス方法である。
【0011】
好ましくは、前記SeGWがH(e)NBの身元情報に対してデジタル署名をするステップにおいて、前記SeGWが前記H(e)NBに対して身元認証する時に、前記H(e)NBの身元情報を取得し、且つ前記H(e)NBの身元情報に対してデジタル署名をする。
【0012】
好ましくは、前記H(e)NBが前記H(e)NBの身元情報をコアネットワークエレメントに送信するステップにおいて、前記H(e)NBが、前記H(e)NBの登録時に、前記H(e)NBの身元情報及びデジタル署名を前記コアネットワーク要素に送信する。
【0013】
好ましくは、前記H(e)NBが前記H(e)NBの身元情報及びデジタル署名をコアネットワークエレメントに送信するステップにおいて、前記H(e)NBが、ユーザ装置UEが前記H(e)NBによって登録する時に、前記H(e)NBの身元情報及びデジタル署名を前記コアネットワーク要素に送信する。
【0014】
好ましくは、前記セキュリティゲートウェイSeGWは、前記セキュリティゲートウェイの秘密鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をし、それに対応して、前記コアネットワークエレメントは、前記セキュリティゲートウェイの公開鍵を用いて前記H(e)NBの身元情報及びデジタル署名に対して正しさを検証する。
【0015】
好ましくは、前記SeGWは、動的セッション鍵を用いて前記H(e)NBの身元情報にデジタル署名をし、前記方法は、前記SeGWが前記動的セッション鍵をホーム加入者サーバHSS/認証認可課金AAAサーバに通知し、前記HSS/AAAサーバが前記動的セッション鍵を記憶するステップをさらに含む。
【0016】
好ましくは、前記コアネットワークエレメントが前記H(e)NBの身元情報及びデジタル署名に対して正しさを検証するステップにおいて、前記コアネットワークエレメントが前記AAA/HSSから前記H(e)NBの身元情報に対してデジタル署名をする前記動的セッション鍵を取得し、前記動的セッション鍵を用いて解析したH(e)NBの身元情報を検証する。
【0018】
好ましくは、前記方法は、前記コアネットワークエレメントが前記H(e)NB情報及びデジタル署名を検証することに成功した後、前記コアネットワークエレメントが前記H(e)NB情報を保存するステップをさらに含む。
【0019】
好ましくは、前記コアネットワークエレメントは、H(e)NB GW又はMMEである。
【0020】
好ましくは、前記コアネットワークエレメントは、MME又はSGSN又はMSCである。
【0021】
好ましくは、UEが前記H(e)NBによってアクセスする場合、前記コアネットワークエレメントは、前記H(e)NBの身元情報が正しいであると検証した後、前記H(e)NBの身元情報をMME又はSGSN又はMSCに送信し、MME、SGSN又はMSCにより前記H(e)NBのサポートするCSG ID情報を取得し、前記CSG ID情報に基づいて前記UEに対してアクセス制御を行い、前記MME、SGSN又はMSCは、前記H(e)NB情報から前記CSG ID情報を取得し、或いは前記HSS/AAAサーバから前記CSG ID情報を取得する。
【0022】
好ましくは、UEが前記H(e)NBによってアクセスする場合、前記コアネットワークエレメントは、前記H(e)NBの身元情報が正しいであると検証した後、前記H(e)NBのサポートするCSG ID情報を取得し、前記CSG ID情報に基づいて前記UEに対してアクセス制御を行い、前記コアネットワークエレメントは、前記H(e)NB情報から前記CSG ID情報を取得し、或いは前記HSS/AAAサーバから前記CSG ID情報を取得する。
【0023】
好ましくは、前記コアネットワークエレメントは、設定された前記SeGWの証明書からSeGWの公開鍵を取得し、或いは前記コアネットワークエレメントは、H(e)NBが前記コアネットワークエレメントに送信する証明書からSeGWの公開鍵を取得する。
【0024】
好ましくは、前記SeGWは、IKEv2の設定ペイロードCPを拡張することによって前記デジタル署名を前記H(e)NBに送信する。
【0025】
好ましくは、前記SeGWはさらに、IKEv2の設定ペイロードCPを拡張することによってH(e)NB身元情報を前記H(e)NBに送信することができる。
【0028】
H(e)NBの身元情報に対してデジタル署名をし、前記H(e)NBのデジタル署名を前記H(e)NBに送信するように設置されるセキュリティゲートウェイSeGWと、
前記H(e)NBの送信する身元情報及びデジタル署名を受信し、前記身元情報及び前記デジタル署名に対して正しさの検証を行うように設置されるコアネットワークエレメントと、を備え、前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスである、ホーム基地局のセキュアアクセスシステムである。
【0029】
好ましくは、前記SeGWは、前記SeGWの秘密鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をするように設置され、それに対応して、前記コアネットワークエレメントは、前記SeGWの公開鍵を用いて前記H(e)NBの身元情報及びデジタル署名に対して正しさを検証するように設置される。
【0030】
好ましくは、前記SeGWは、動的セッション鍵を用いて前記H(e)NBの身元情報に対してデジタル署名をし、前記動的セッション鍵をホーム加入者サーバHSS/認証認可課金AAAサーバに通知するように設置される。
【0031】
好ましくは、前記コアネットワークエレメントは、前記AAA/HSSから前記H(e)NBの身元情報に対してデジタル署名をする前記動的セッション鍵を取得し、前記動的セッション鍵を用いて前記H(e)NBの身元情報を検証するように設置される。
【0032】
好ましくは、記コアネットワークエレメントは、モビリティ管理エンティティMME又はGPRSサービスサポートノードSGSN又はホーム基地局ゲートウェイH(e)NB GWである。
【0033】
好ましくは、前記SeGWはさらに、前記H(e)NBの身元情報を前記H(e)NBに送信するように設置される。
【0034】
ホームH(e)NBの送信する身元情報及びセキュリティゲートウェイSeGWによる前記身元情報へのデジタル署名を受信し、前記身元情報及び前記デジタル署名に対して正しさの検証を行うように設置され、前記H(e)NBの身元情報は、クローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NBの内部IPアドレスであるコアネットワークエレメントである。
【発明の効果】
【0036】
本発明の実施例の方案によれば、不法のH(e)NBがコアネットワークエレメントに直接に登録してUEへの業務アクセスを達成することを回避でき、ネットワークのセキュリティを守ることができる。
【図面の簡単な説明】
【0037】
図1】H(e)NBがコアネットワークにアクセスするシステムアーキテクチャの模式図である。
図2】本発明の実施例1に係るホーム基地局のセキュアアクセス方法のフローチャートである。
図3】本発明の実施例2に係るホーム基地局のセキュアアクセス方法のフローチャートである。
図4】本発明の実施例3に係るホーム基地局のセキュアアクセス方法のフローチャートである。
図5】本発明の実施例4に係るホーム基地局のセキュアアクセス方法のフローチャートである。
図6】本発明の実施例に係るホーム基地局のセキュアアクセスシステムの構成模式図である。
図7】本発明の実施例5に係るホーム基地局のセキュアアクセス方法のフローチャートである。
【発明を実施するための形態】
【0038】
本発明の実施例において、SeGWがH(e)NBに対して身元を認証する時、SeGWは、H(e)NBの身元情報に対してデジタル署名をし、デジタル署名をH(e)NBに送信する。H(e)NBは、UEがアタッチ又はトラッキングエリアアップデート又はルーティングアップデートする時、それ自体の身元情報及びデジタル署名をコアネットワークエレメントに送信する。コアネットワークエレメントは、H(e)NBの身元情報及びデジタル署名の正しさを検証し、検証をクリアした後、UEに対してアクセス制御を行う。或いは、SeGWとコアネットワークエレメントとの間に通信インターフェースを設置し、コアネットワークエレメントは、H(e)NBからの登録要求を受信する時、直接にSeGWからH(e)NBの身元情報を取得し、且つ登録を要求するH(e)NBに対して身元を認証する。
【0039】
<実施例1>
図2は、本発明の実施例1に係るホーム基地局のセキュアアクセス方法のフローチャートである。H(e)NBが攻撃されるおそれがあるので、コアネットワークは、H(e)NB自体が提供する身元を信頼できない。SeGWが信頼できるセキュリティエンティティであることを考慮して、本発明では、SeGWによりH(e)NBの身元に対してデジタル署名をし、当該デジタル署名をH(e)NBに送信することを考える。H(e)NBは、SeGWによるデジタル署名及び身元情報をコアネットワークエレメントに送信して身元を検証する。図2に示すように、本例示に係るホーム基地局のセキュアアクセス方法は、以下のステップを含む。
【0040】
(ステップ201)
SeGWは、H(e)NBの身元情報に対してデジタル署名をする。
【0041】
H(e)NBの身元情報は、H(e)NB ID、及び/又はCSG ID、及び/又はその他の身元を含む。デジタル署名をしたH(e)NBの身元情報が確かにSeGWによりあるH(e)NBに送信したものであることを検証するために、SeGWは、当該H(e)NBの身元情報に当該H(e)NBの内部IPアドレスを含ませる。H(e)NBの内部IPアドレスは、IPSecトンネルの作成時、SeGWによりH(e)NBに割り当てられるIPアドレスである。H(e)NBは、当該内部IPアドレスを用いてコアネットワークエレメントと通信する。当該内部IPアドレスは、IPSecトンネルメッセージの内部IPパケットのパケットヘッダーに含まれている。
【0042】
SeGWは、SeGWの秘密鍵を用いてH(e)NBの身元情報に対してデジタル署名をしてもよく、セッション鍵を用いてH(e)NBの身元情報に対してデジタル署名をしてもよい。
【0043】
(ステップ202)
SeGWは、デジタル署名をH(e)NBに送信し、さらに身元情報をH(e)NBに送信してもよい。
【0044】
(ステップ203)
H(e)NBは、上記デジタル署名及びH(e)NB身元情報をコアネットワークエレメント(すなわち、H(e)NB GW又はMME又はSGSN)に送信する。H(e)NBは、登録時に上記情報を送信してもよく、UEがアクセスする時にUE関連メッセージとともに上記情報を送信してもよい。登録時に上記情報を送信する場合、当該情報は、H(e)NB GWに送信され、H(e)NB GWが配置されていないと、MMEに送信される。UEがアクセスする時にUE関連メッセージとともに送信する場合、当該情報は、MME(EUTRANの場合)又はSGSN(UTRAN又はGERANの場合)又はMSCに送信される。
【0045】
(ステップ204)
コアネットワークエレメントは、当該H(e)NBの身元情報、デジタル署名を検証する。
【0046】
SeGWが秘密鍵を用いてH(e)NBの身元情報にデジタル署名をする場合、コアネットワークエレメント(すなわち、MME又はSGSN又はH(e)NB GW)は、SeGWの公開鍵を用いてデジタル署名を検証する。SeGWがセッション鍵を用いてH(e)NBの身元情報にデジタル署名をする場合、コアネットワークエレメントは、同一のセッション鍵を用いてデジタル署名を検証する必要がある。
【0047】
本実施例において、H(e)NBの身元情報を検証する位置によって、検証方式は、2種類ある。すなわち、H(e)NBの登録時にH(e)NBの身元情報を検証する方式、又はUEがアクセスする時にH(e)NBの身元を検証する方式がある。
【0048】
H(e)NBの身元情報の検証がH(e)NBの登録時に行われると、H(e)NBの身元を検証するエンティティは、H(e)NB GW又はMME(H(e)NB GWが配置されていない場合)である。H(e)NB GWとAAA/HSSとの間にインターフェースがないので、当該方案は、公開秘密鍵に基づくデジタル署名方式を採用することが好ましい。
【0049】
H(e)NBの身元情報の検証がUEのアクセスする時に行われると、H(e)NBの身元を検証するエンティティは、MME(EUTRANの場合)又はSGSN(GERAN/UTRANの場合)である。当該方案は、公開秘密鍵に基づくデジタル署名方式、又は動的セッション鍵に基づくデジタル署名方式を採用することができる。
【0050】
以下、具体的な流れを参照しながら上記方法をさらに詳細に説明する。
【0051】
<実施例2>
図3は、本発明の実施例2に係るホーム基地局のセキュアアクセス方法のフローチャートである。本例示は、H(e)NBの登録時に、H(e)NB GW又はMMEがH(e)NBの身元情報、デジタル署名を検証する方法である。図3に示すように、本例示に係るホーム基地局のセキュアアクセス方法は、具体的には以下のステップを含む。
【0052】
(ステップ301)
H(e)NBは、パワーオンする。H(e)NBは、ローカルネットワークにアクセスし、ローカルネットワークからIPアドレス設定情報を取得する。
【0053】
(ステップ302)
H(e)NBは、SeGWとのIKEv2協議を確立する。当該過程は、H(e)NBとSeGWとの相互認証、セキュリティアソシエーションの協議、SeGWによるH(e)NBへの内部IPアドレスの割当などを含む。
【0054】
(ステップ303)
SeGWは、H(e)NBがコアネットワークと通信するための身元情報を取得する。当該情報は、H(e)NB ID、及び/又はCSG IDなどを含む。SeGWは、H(e)NBの身元情報に対してデジタル署名をする。具体的なデジタル署名アルゴリズムは、以下の通りである。
【0055】
X=アルゴリズム1(H(e)NB身元情報|H(e)NB内部IPアドレス) [A]
公式[A]において、「|」は情報を直列に接続することを表す。H(e)NBの身元情報が複数の情報を含む場合、SeGWは、複数の情報を直列に接続し、つまり複数の情報を順次に接続する。例えば、身元情報がH(e)NB ID及びCSG IDである場合、上記公式におけるH(e)NB身元情報は、H(e)NB ID|CSG IDである。
【0056】
アルゴリズム1は、一方向性ハッシュアルゴリズムである。本発明は、具体的なアルゴリズムを規定せず、当該アルゴリズムは、長い文字列をデジタル署名アルゴリズムに適する長さに変換することを目的とする。例示として、MD5アルゴリズムは、簡単な一方向性ハッシュアルゴリズムである。
【0057】
デジタル署名=デジタル署名アルゴリズム(X、デジタル署名鍵) [B]
本発明は、具体的なデジタル署名アルゴリズムを規定せず、デジタル署名アルゴリズムは、関連技術の任意のデジタル署名アルゴリズムを参照することができる。例えば、一般的なRSAアルゴリズムを本発明のデジタル署名アルゴリズムとすることができる。
【0058】
本例示において、デジタル署名鍵は、SeGWの秘密鍵である。
【0059】
(ステップ304)
SeGWは、デジタル署名をH(e)NBに送信する。なお、SeGWは、H(e)NBの身元情報をデジタル署名とともにH(e)NBに送信してもよい。H(e)NBの身元情報(例えば、CSG ID、H(e)NB ID)は、SeGWによってH(e)NBに送信されるものではなく、H(e)NBがH(e)MSから取得してもよく、H(e)NBにおいて固定設定してもよい。H(e)NBがIPアドレスの割当を要求すると、SeGWは、さらにH(e)NBの内部IPアドレスをH(e)NBに送信する。H(e)NBの身元情報及びデジタル署名は、IKEv2プロトコルを拡張することによって送信されることができる。例えば、IKEv2の設定ペイロード(CP、Configuration Payload)を拡張し、H(e)NBの身元情報及びデジタル署名を設定ペイロードに入れてH(e)NBに送信することができる。
【0060】
(ステップ305)
IKEv2協議が終了される。H(e)NBとSeGWとの間に、IPSecセキュアトンネルが作成される。
【0061】
(ステップ306)
H(e)NBは、H(e)MSから設定パラメータを取得する。
【0062】
(ステップ307)
ネットワークにH(e)NB GWが配置される場合、H(e)NBは、H(e)NB GWに登録要求メッセージを送信する。当該メッセージにおいて、H(e)NBは、H(e)NBの身元情報及びそのデジタル署名をH(e)NB GWに送信する。
【0063】
(ステップ308)
H(e)NB GWは、H(e)NBの身元情報及びデジタル署名を認証する。検証方法は、下記通りである。
【0064】
H(e)NB GWは、公式Y=復号化アルゴリズム(デジタル署名、復号化鍵)によってデジタル署名を復号化する。
【0065】
復号化アルゴリズムは、暗号化アルゴリズムに対応し、従来の復号化アルゴリズム、例えばRSA復号化アルゴリズムなどを参照することができる。
【0066】
上記公式におけるデジタル署名は、H(e)NBがH(e)NB GWに送信するH(e)NBの身元情報のデジタル署名である。本例示において、復号化鍵は、SeGWの公開鍵である。
【0067】
H(e)NB GWは公式[C]によってX’を算出する。
【0068】
X’=アルゴリズム1(H(e)NB身元情報|H(e)NB IPアドレス)[C]
H(e)NBの身元情報は、ステップ307においてH(e)NBがH(e)NB GWに送信したH(e)NBの身元情報である。H(e)NB IPアドレスは、ステップ307においてH(e)NBがH(e)NB GWに送信する登録要求メッセージのソースIPアドレスである。
【0069】
Y=X’であると、デジタル署名の検証は成功であれ、さもなければ、デジタル署名の検証は失敗である。
【0070】
H(e)NB GWは、設定されたSeGWの証明書から公開鍵を取得する。或いは、ステップ307において、H(e)NBがSeGWの証明書をH(e)NB GWに送信し、H(e)NB GWは、受信した証明書からSeGWの公開鍵を取得してもよい。
【0071】
(ステップ309)
ステップ308におけるデジタル署名の検証が成功すると、H(e)NB GWは、H(e)NBの残りの登録フローを完成させ、且つそれにコンテキストを作成する。そして、H(e)NB GWは、H(e)NBに登録応答メッセージを送信する。一方、ステップ308におけるデジタル署名の検証が失敗すると、H(e)NB GWは、H(e)NBに登録失敗メッセージを送信する。
【0072】
(ステップ310)
ネットワークにHeNB GWが配置されていない場合、HeNBは、MMEにおいて登録する。HeNBは、MMEに登録要求メッセージを送信する。メッセージには、HeNBの身元情報及びそのデジタル署名が含まれる。
【0073】
(ステップ311)
MMEは、ステップ308と同様の方法によりHeNBの身元情報及びそのデジタル署名を認証する。
【0074】
(ステップ312)
ステップ311におけるデジタル署名の検証が成功すると、MMEは、H(e)NBの残りの登録フローを完成させ、且つそれにコンテキストを作成する。なお、MMEは、H(e)NBに登録応答メッセージを送信する。一方、ステップ308におけるデジタル署名の検証が失敗すると、MMEは、H(e)NBに登録失敗メッセージを送信する。
【0075】
<実施例3>
図4は、本発明の実施例3に係るホーム基地局のセキュアアクセス方法のフローチャートである。本例示は、UEの登録時に、MME又はSGSNがH(e)NBの身元情報、デジタル署名を検証する方法である。図4に示すように、本例示に係るホーム基地局のセキュアアクセス方法は、具体的には以下のステップを含む。
【0076】
(ステップ401)
H(e)NBは、パワーオンする。H(e)NBは、ローカルネットワークにアクセスし、ローカルネットワークからIPアドレス設定情報を取得する。
【0077】
(ステップ402)
H(e)NBは、SeGWとのIKEv2協議を確立する。当該過程は、H(e)NBとSeGWとの相互認証、セキュリティアソシエーションの協議、SeGWによるH(e)NBへの内部IPアドレスの割当などを含む。
【0078】
(ステップ403)
SeGWは、H(e)NBがコアネットワークと通信するための身元情報を取得する。当該情報は、H(e)NB ID、及び/又はCSG IDなどを含む。SeGWは、H(e)NBの身元情報に対してデジタル署名をする。SeGWの秘密鍵を用いてデジタル署名する場合、デジタル署名アルゴリズムは、ステップ303に示されるアルゴリズムを参照する。動的セッション鍵を用いてデジタル署名する場合、以下のアルゴリズムを用いることができる。
【0079】
a)ステップ303における公式[A]によってXを算出する
b)デジタル署名=デジタル署名アルゴリズム(X、動的セッション鍵)
ここで、動的セッション鍵は、SeGWにより動的に生成され、例えば、一連の乱数であり、或いはその他の方法により生成される。
【0080】
本発明は、具体的なデジタル署名アルゴリズムを規定せず、デジタル署名アルゴリズムは、従来のデジタル署名アルゴリズムを参照することができる。例として、デジタル署名アルゴリズムは、鍵を有するHASHアルゴリズムであってもよい。
【0081】
(ステップ404a)
SeGWは、デジタル署名をH(e)NBに送信する。なお、SeGWは、H(e)NBの身元情報をデジタル署名とともにH(e)NBに送信してもよい。H(e)NBの身元情報(例えば、CSG ID、H(e)NB ID)は、SeGWによってH(e)NBに送信されるものではなく、H(e)NBがH(e)MSから取得してもよく、H(e)NBにおいて固定設定してもよい。H(e)NBがIPアドレスの割当を要求すると、SeGWは、さらにH(e)NBの内部IPアドレスをH(e)NBに送信する。H(e)NBの身元情報及びデジタル署名は、IKEv2プロトコルを拡張することによって送信されることができる。例えば、IKEv2の設定ペイロードCPを拡張し、H(e)NBの身元情報及びデジタル署名を設定ペイロードに入れてH(e)NBに送信することができる。
【0082】
(ステップ404b)
SeGWは、H(e)NBのデジタル署名を算出するための動的セッション鍵をHSS/AAAに保存する。
【0083】
(ステップ405)
IKEv2協議が終了される。H(e)NBとSeGWとの間に、IPSecセキュアトンネルが作成される。
【0084】
(ステップ406)
H(e)NBは、H(e)MSから設定パラメータを取得する。
【0085】
(ステップ407)
ネットワークにH(e)NB GWが配置される場合、H(e)NBは、H(e)NB GWに登録要求メッセージを送信する。当該メッセージにおいて、H(e)NBは、H(e)NBの身元情報及びそのデジタル署名をH(e)NB GWに送信する。H(e)NB GWは、H(e)NBの身元情報、デジタル署名、及びH(e)NB IPアドレスを保存する。H(e)NB GWは、H(e)NBの登録フローを完成し、H(e)NBに登録応答を送信する。
【0086】
(ステップ408)
ネットワークにHeNB GWが配置されていない場合、HeNBは、MMEにおいて登録する。HeNBは、MMEに登録要求メッセージを送信する。メッセージには、HeNBの身元情報及びそのデジタル署名が含まれる。MMEは、HeNBの身元情報、デジタル署名、及びHeNB IPアドレスを保存する。MMEは、H(e)NBの登録フローを完成し、H(e)NBに登録応答を送信する。
【0087】
<実施例4>
図5は、本発明の実施例4に係るホーム基地局のセキュアアクセス方法のフローチャートである。本実施例は、UEの登録時に、MME又はSGSNがH(e)NBの身元情報、デジタル署名を検証する方法である。本実施例は、UEがH(e)NBによってアタッチ又はルーティング、トラッキングエリアアップデートを行うフローチャートである。図5に示すように、本例示に係るホーム基地局のセキュアアクセス方法は、以下のステップを含む。
【0088】
(ステップ501)
UEがH(e)NBにおいて起動する、或いはUEが新たなルーティングエリア又はトラッキングエリアに位置するH(e)NBに移動する場合、UEは、H(e)NBにアタッチ要求メッセージ又はルーティングエリア/トラッキングエリアアップデート要求メッセージを送信する。
【0089】
(ステップ502)
H(e)NBは、S1インターフェースによって上記UE登録要求メッセージを転送する。HeNB GWが配置される場合、当該メッセージは、H(e)NB GWに送信される。一方、HeNB GWが配置されていない場合、当該メッセージは、直接にMMEに送信される。H(e)NB GWは、H(e)NB IPアドレスがそのコンテキストに保存されるH(e)NB IPアドレスと一致するか否かを判断する。一致しないと、H(e)NB GWは、H(e)NBにエラーを返す。
【0090】
(ステップ503)
H(e)NB GWが配置される場合、H(e)NB GWは、ステップ502におけるメッセージを転送し、且つそのコンテキストからH(e)NBの身元情報を取得する。H(e)NB GWは、H(e)NB IPアドレス及び/又はデジタル署名を選択的に取得し、これらの情報をステップ502においてH(e)NBがH(e)NB GWに送信したS1メッセージとともにSGSN(GERAN又はUTRANの場合)又はMME(EUTRANの場合)に送信する。H(e)NB GWは、ステップ407において上記情報を保存する。
【0091】
(ステップ504)
MME/SGSNは、ステップ503において受信したH(e)NBの身元情報(例えばH(e)NB ID)に基づいて、HSS/AAAからデジタル署名セッション鍵を取得し、且つHSS/AAAから当該H(e)NBのその他の情報、例えば、当該H(e)NBのサポートするCSG IDリストを取得する。なお、HSS/AAAは、デジタル署名の鍵をMME/SGSNに送信してもよい。
【0092】
(ステップ505)
ステップ503においてH(e)NB GWがデジタル署名をMME/SGSNに送信したならば、MME/SGSNは、H(e)NBのデジタル署名を検証する。
【0093】
公開秘密鍵を用いてH(e)NBの身元情報に対してデジタル署名をする場合、検証アルゴリズムは、ステップ308を参照する。ここで、H(e)NBの身元情報、H(e)NB IPアドレス、デジタル署名は、ステップ503においてH(e)NB GWによりMME/SGSNに送信される。
【0094】
セッション鍵を用いてH(e)NBの身元情報に対してデジタル署名をする場合、検証アルゴリズムは、以下のとおりである。
【0095】
a)ステップ308における公式[C]によってX’を算出する
b)Y=デジタル署名アルゴリズム(X’、セッション鍵)
Yがステップ502おいて受信したデジタル署名と同一であると、検証成功を表し、さもなければ、検証失敗を表す。
【0096】
(ステップ506)
SGSN/MMEは、トリガリングして後続のUEのアタッチ又はルーティングエリア/トラッキングエリアアップデートのフローを完成させる。SGSN/MMEは、H(e)NBのサポートするCSGリスト及びUEの加入するCSGリストに基づいて、当該UEが当該H(e)NBにアクセスするなどの操作を許容するか否かを判断する。
【0097】
ステップ505においてデジタル署名の検証が失敗すると、UEのアタッチフロー又はルーティングエリア/トラッキングエリアアップデートフローは、失敗して終了される。
【0098】
図6は、本発明の実施例に係るホーム基地局のセキュアアクセスシステムの構成模式図である。本例示は、H(e)NBの身元検証を達成する他の一つのホーム基地局のセキュアアクセスシステムである。具体的には、SeGWと、MME又はSGSN又はH(e)NB GWとの間の通信インターフェースを追加する。MME又はH(e)NB GWがH(e)NBからの身元情報を受信した後、MME/SGSN/H(e)NB GWは、当該新規インターフェースによりSeGWに身元検証要求メッセージを送信することによって、SeGWにより当該H(e)NBの身元が確実であるか否かを検証する。図6に示すように、SxとSyインターフェースは、新規インターフェースである。Sxインターフェースは、MMEとSeGWとの間に位置され、MMEがH(e)NBの身元を認証することに用いられる。当該インターフェースは、H(e)NB GWが配置されていない場合のみに用いられる。Syインターフェースは、H(e)NB GWとSeGWとの間に位置され、H(e)NB GWがH(e)NBの身元を認証することに用いられる。以下、フローチャートを参照しながら本方案を詳細に説明する。
【0099】
<実施例5>
図7は、本発明の実施例5に係るホーム基地局のセキュアアクセス方法のフローチャートである。本実施例は、H(e)NBがパワーオンされて登録するフローチャートである。図7に示すように、本例示に係るホーム基地局のセキュアアクセス方法は、具体的には以下のステップを含む。
【0100】
(ステップ701)
H(e)NBは、パワーオンする。H(e)NBは、ローカルネットワークにアクセスし、ローカルネットワークからIPアドレス設定情報を取得する。
【0101】
(ステップ702)
H(e)NBは、SeGWとのIKEv2協議を確立する。当該過程は、H(e)NBとSeGWとの相互認証、セキュリティアソシエーションの協議、SeGWによるH(e)NBへの内部IPアドレスの割当などを含む。
【0102】
(ステップ703)
H(e)NBは、H(e)MSから設定パラメータを取得する。
【0103】
(ステップ704)
ネットワークにH(e)NB GWが配置される場合、H(e)NBは、H(e)NB GWに登録要求メッセージを送信する。当該メッセージにおいて、H(e)NBは、H(e)NBの身元情報をH(e)NB GWに送信する。
【0104】
(ステップ705)
H(e)NBの身元を検証するために、H(e)NB GWは、SeGWにH(e)NB身元要求メッセージを送信する。当該メッセージには、H(e)NBのIPアドレス(すなわち、SeGWがH(e)NBに割り当てるIPアドレス)が含まれる。
【0105】
(ステップ706)
SeGWは、H(e)NB IPアドレスに基づいて、H(e)NBの身元情報を問い合わせてH(e)NB GWに返す。
【0106】
(ステップ707)
H(e)NB GWは、H(e)NBの身元情報を保存し、H(e)NBの残りの登録フローを完成させ、且つそれにコンテキストを作成する。なお、H(e)NB GWは、H(e)NBに登録応答メッセージを送信する。
【0107】
(ステップ708)
ネットワークにH(e)NB GWが配置されていない場合、H(e)NBは、MMEに登録要求メッセージを送信する。当該メッセージにおいて、H(e)NBは、H(e)NBの身元情報をMMEに送信する。
【0108】
(ステップ709)
H(e)NBの身元を検証するために、MMEは、SeGWにH(e)NB身元要求メッセージを送信する。当該メッセージには、H(e)NBのIPアドレス(すなわち、SeGWがH(e)NBに割り当てるIPアドレス)が含まれる。
【0109】
(ステップ710)
SeGWは、H(e)NB IPアドレスに基づいて、H(e)NBの身元情報を問い合わせてMMEに返す。
【0110】
(ステップ711)
MMEは、H(e)NBの身元情報を保存し、H(e)NBの残りの登録フローを完成させ、且つそれにコンテキストを作成する。なお、MMEは、H(e)NBに登録応答メッセージを送信する。
【0111】
本発明の実施例は、さらに他の一つのホーム基地局のセキュアアクセスシステムを記載しており、SeGW、H(e)NB、及びコアネットワークエレメントを備える。
【0112】
SeGWは、H(e)NBの身元情報に対してデジタル署名をし、デジタル署名をH(e)NBに送信するように設置される。
【0113】
H(e)NBは、H(e)NBが登録する時又はUEのアタッチ又はトラッキングエリアアップデート又はルーティングアップデートがH(e)NBによってアクセスする時、H(e)NBの身元情報及びデジタル署名をコアネットワークエレメントに送信するように設置される。
【0114】
コアネットワークエレメントは、H(e)NBの身元情報及びデジタル署名の正しさを検証するように設置される。
【0115】
ここで、SeGWは、SeGWの秘密鍵を用いてH(e)NBの身元情報に対してデジタル署名をしてもよく、それに対応して、コアネットワークエレメントは、SeGWの公開鍵を用いてH(e)NBの身元情報及びデジタル署名の正しさを検証してもよい。
【0116】
ここで、SeGWは、動的セッション鍵を用いてH(e)NBの身元情報に対してデジタル署名をしてもよい。
【0117】
SeGWは、動的セッション鍵をホーム加入者サーバHSS/認証認可課金AAAサーバに通知してもよい。HSS/ AAAサーバは、動的セッション鍵を記憶する。
【0118】
コアネットワークエレメントは、AAA/HSSからH(e)NBの身元情報にデジタル署名をする動的セッション鍵を取得し、動的セッション鍵を用いてH(e)NBの身元情報を検証してもよい。
【0119】
H(e)NBの身元情報は、ホーム基地局識別子H(e)NB ID及びH(e)NBの内部IPアドレス、又はクローズドユーザグループ識別子CSG ID及びH(e)NBの内部IPアドレス、又はH(e)NB ID、CSG ID及びH(e)NB内部IPアドレスであってもよい。
【0120】
コアネットワークエレメントは、MME又はSGSN又はHNB GWであってもよい。
【0121】
本発明の実施例に係るコアネットワークエレメントは、ホームH(e)NBの送信する身元情報及びセキュリティゲートウェイSeGWによる身元情報へのデジタル署名を受信し、身元情報及びデジタル署名の正しさを検証するように設置される。
【0122】
本発明の実施例に係る他の一つのコアネットワークエレメントは、コアネットワークエレメントとセキュリティゲートウェイSeGWとの間の通信インターフェースによってホーム基地局H(e)NBが身元認証する時の身元情報を取得し、且つH(e)NBの報告する身元情報と正しさを検証し、検証をクリアした後、H(e)NBの登録を受け付けるように設置される。
【0123】
当業者は、本例示に係るホーム基地局のセキュアアクセスシステム及びコアネットワークエレメントは、上記実施例1〜4における関連記述を参照して理解することができると理解すべきである。
【0124】
当業者は、上記方法におけるすべて又は一部のステップがプログラムで関連のハードウェアに対して命令を出して完成させることができ、上記プログラムはコンピューターの可読記憶媒体、例えば読み出し専用メモリ、磁気ディスク又は光ディスクなどに記憶できると理解可能である。上記実施例のすべて又は一部のステップは、1つ又は複数の集積回路を用いて達成されてもよい。それに対して、上記実施例における各モジュール/ユニットは、ハードウェアの形態によって達成されてもよく、ソフトウェア機能モジュールの形態によって達成されてもよい。本発明は、なんらかの特定の形態のハードウェア及びソフトウェアの組合せに限定されない。
【0125】
上記は本発明の好ましい実施例に過ぎず、本発明を制限するものではなく、当業者にとって、本発明はさまざまな修正及び変化を行うことができる。本発明の趣旨及び原則を逸脱せずに行われるすべての修正、等価置換、改良などは、本発明の保護範囲に含まれるべきである。
【産業上の利用可能性】
【0126】
本発明の実施例の方案によれば、不法のH(e)NBがコアネットワークエレメントに直接に登録してUEへの業務アクセスを達成することを回避でき、ネットワークのセキュリティを守ることができる。
図1
図2
図3
図4
図5
図6
図7
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.