專利名稱:通信系統(tǒng)�、毫微微小區(qū)基站、認證設(shè)備���、通信方法及記錄介質(zhì)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于通過毫微微小區(qū)基站來通信的通信系統(tǒng)����、毫微微小區(qū)基站、認證設(shè)備�、通信方法及記錄介質(zhì)。
背景技術(shù):
近年來��,已開發(fā)了使用毫微微小區(qū)(femtocell)基站的通信系統(tǒng)來改善通信質(zhì)量��。毫微微小區(qū)基站是覆蓋半徑約幾十米的窄通信區(qū)域的小無線基站���,并且毫微微小區(qū)基站在室內(nèi)(例如在住宅或在辦公室中)的安裝可以改善室內(nèi)的通信質(zhì)量�����。因此��,毫微微小區(qū)基站的安裝允許在現(xiàn)有的宏小區(qū)(macrocell)基站無法通信的區(qū)域中的通信��。此外��, 由于新安裝宏小區(qū)基站不必要�,因此��,安裝宏小區(qū)基站的費用可以降低���。目前,“現(xiàn)有3G網(wǎng)絡(luò)”——一種用于通過現(xiàn)有宏小區(qū)基站來通信的通信網(wǎng)絡(luò)被用作連接用戶和通信提供者的通信網(wǎng)絡(luò)(通信系統(tǒng))���。如果為了安裝毫微微小區(qū)基站而安裝與在現(xiàn)有3G網(wǎng)絡(luò)中使用的通信基礎(chǔ)結(jié)構(gòu)不同的通信基礎(chǔ)結(jié)構(gòu)����,則諸如高費用之類的各種負擔(dān)被施加在用戶和通信提供者身上。因此���,優(yōu)選的是使用在現(xiàn)有3G網(wǎng)絡(luò)中使用的通信基礎(chǔ)結(jié)構(gòu)來開發(fā)可以使用毫微微小區(qū)基站的通信系統(tǒng)?���,F(xiàn)有3G網(wǎng)絡(luò)的技術(shù)示例包括與非專利文獻1中描述的3GPP標準化有關(guān)的技術(shù)��。與非專利文獻1中描述的3GPP標準化有關(guān)的技術(shù)例示了包括WLANUE和宏小區(qū)基站的通信系統(tǒng)�。然而,在非專利文獻1中����,安裝有毫微微小區(qū)基站的通信系統(tǒng)未被考慮。因此�����,即使毫微微小區(qū)基站被用作WLAN UE����,毫微微小區(qū)基站和在毫微微小區(qū)基站控制下的UE 之間的通信也無法使用與3GPP標準化有關(guān)的技術(shù)來執(zhí)行����。因此�,在毫微微小區(qū)基站和UE之間的通信中,在與3GPP標準化有關(guān)的技術(shù)中被保證的安全通信無法被保證����。關(guān)于保證通信安全的相關(guān)技術(shù)的示例包括用于連接包括SIP功能的非IMS/MMD相容的終端與IMS/MMD網(wǎng)絡(luò)的技術(shù)(參見專利文獻1)。還存在用于允許公共移動終端在使用IPsec保護SIP消息的同時使用公共移動通信服務(wù)和分機服務(wù)(extension service) 二者的技術(shù)����。此外,存在與網(wǎng)絡(luò)安全的認證系統(tǒng)有關(guān)的3GPP標準化的技術(shù)(參見非專利文獻 2)。現(xiàn)有技術(shù)文件專利文獻專利文獻1 日本專利早期公開No. 2008-219436專利文獻2 日本專利早期公開No. 2008-228250非專利文獻非專利文獻1 :3GPP TS 33. 234 V8. 0. 0(2007-12)
非專利文獻2 :3GPP TS 33. 102 V8. 0. 0 (2008-06)
發(fā)明內(nèi)容
〈發(fā)明解決的問題〉然而,在文獻中��,沒有與安裝了毫微微小區(qū)基站的通信系統(tǒng)有關(guān)的描述,并且沒有關(guān)于毫微微小區(qū)基站和UE之間的通信安全的保證的描述�。此外,在文獻中��,也沒有關(guān)于保證毫微微小區(qū)基站和UE之間的通信安全的必要性的建議或描述����。因此���,在文獻中�,存在毫微微小區(qū)基站和UE之間的安全通信無法被保證的問題。本發(fā)明的一個目的是提供用于解決在毫微微小區(qū)基站和UE之間的通信中無法保證通信安全的問題的通信系統(tǒng)��、毫微微小區(qū)基站����、認證設(shè)備、通信方法及程序�����?���!唇鉀Q問題的手段〉根據(jù)本發(fā)明的通信系統(tǒng)包括在IMS(IP多媒體子系統(tǒng))網(wǎng)絡(luò)中使用的UE(用戶設(shè)備)和HLR(歸屬位置寄存器)和構(gòu)建預(yù)定通信區(qū)域的毫微微小區(qū)基站。所述毫微微小區(qū)基站存在于UE和HLR之間并且使用在UE的認證期間從HLR獲取的與UE相對應(yīng)的隱蔽密鑰來執(zhí)行用于隱蔽UE的身份的隱蔽處理����。根據(jù)本發(fā)明的毫微微小區(qū)基站構(gòu)建預(yù)定的通信區(qū)域,其中所述毫微微小區(qū)基站使用在UE (用戶設(shè)備)的認證期間從HLR (歸屬位置寄存器)獲取的與UE相對應(yīng)的隱蔽密鑰并且執(zhí)行用于隱蔽UE的身份的隱蔽處理�����。根據(jù)本發(fā)明的認證設(shè)備認證UE,其中所述認證設(shè)備在UE的認證期間從HLR(歸屬位置寄存器)獲取與UE相對應(yīng)的隱蔽密鑰并向毫微微小區(qū)基站發(fā)送包含所獲取的隱蔽密鑰的消息�����。根據(jù)本發(fā)明的第一通信方法是由如下通信系統(tǒng)進行的通信方法����,所述通信系統(tǒng)包括在IMS(IP多媒體子系統(tǒng))網(wǎng)絡(luò)中使用的UE(用戶設(shè)備)和HLR(歸屬位置寄存器);以及構(gòu)建預(yù)定通信區(qū)域的毫微微小區(qū)基站��,所述毫微微小區(qū)基站存在于UE和HLR之間�����,其中所述毫微微小區(qū)基站在UE的認證期間從HLR獲取與UE相對應(yīng)的隱蔽密鑰�����,并基于該隱蔽密鑰來執(zhí)行用于隱蔽UE的身份的隱蔽處理�����。根據(jù)本發(fā)明的第二通信方法是由構(gòu)建預(yù)定的通信區(qū)域的毫微微小區(qū)基站進行的通信方法�,其中與UE相對應(yīng)的隱蔽密鑰在UE的認證期間從HLR被獲取,并且用于隱蔽UE 的身份的隱蔽處理基于該隱蔽密鑰被執(zhí)行���。根據(jù)本發(fā)明的第三通信方法是由認證UE的認證設(shè)備進行的通信方法��,其中與UE 相對應(yīng)的隱蔽密鑰在UE的認證期間從HLR(歸屬位置寄存器)被獲取�,并且包含所獲取的隱蔽密鑰的消息被發(fā)送到毫微微小區(qū)基站。根據(jù)本發(fā)明的第一記錄介質(zhì)令構(gòu)建預(yù)定的通信區(qū)域的毫微微小區(qū)基站執(zhí)行以下處理在UE的認證期間從HLR獲取與UE相對應(yīng)的隱蔽密鑰并基于該隱蔽密鑰來執(zhí)行用于隱蔽UE的身份的隱蔽處理�����。根據(jù)本發(fā)明的第二記錄介質(zhì)令認證UE的認證設(shè)備執(zhí)行以下處理在UE的認證期間從HLR(歸屬位置寄存器)獲取與UE相對應(yīng)的隱蔽密鑰并執(zhí)行向毫微微小區(qū)基站發(fā)送包含所獲取的隱蔽密鑰的消息的處理���。〈發(fā)明的優(yōu)點〉
根據(jù)本發(fā)明���,毫微微小區(qū)基站和UE之間的通信安全可以被保證�����。
圖IA是示出示例性實施例的通信系統(tǒng)的框圖IB是示出毫微微AP的配置示例的框圖IC是示出AAA的配置示例的框圖2是用于說明毫微微AP認證的操作的序列圖3是用于說明UE認證的操作的序列圖4是用于說明在WLAN UE和PDG之間構(gòu)建IPsec隧道的方法的說明圖
圖5是用于說明當毫微微AP被安裝時的問題的說明圖6A是用于說明圖2中說明的操作示例的說明圖�;并且
圖6B是用于說明圖3中說明的操作示例的說明圖�����。
具體實施例方式以下�,將參考附圖來描述示例性實施例����。<通信系統(tǒng)的概要>首先��,將描述示例性實施例的通信系統(tǒng)的概要����。示例性實施例中的通信系統(tǒng)包括在IMS(IP多媒體子系統(tǒng))網(wǎng)絡(luò)中使用的UE (用戶設(shè)備)和HLR(歸屬位置寄存器)以及構(gòu)建預(yù)定通信區(qū)域的毫微微小區(qū)基站(毫微微AP)。 毫微微小區(qū)基站(毫微微AP)存在于UE和HLR之間����。示例性實施例的毫微微小區(qū)基站(毫微微AP)的特征在于在UE的認證期間從HLR 獲取與UE相對應(yīng)的隱蔽密鑰(concealment key)并基于該隱蔽密鑰來執(zhí)行用于隱蔽UE的身份的隱蔽處理。這可以保證毫微微小區(qū)基站(毫微微AP)和UE之間的安全通信�。<通信系統(tǒng)的系統(tǒng)配置示例>圖IA是示出示例性實施例的通信系統(tǒng)的配置的框圖。在圖IA中�����,示例性實施例的通信系統(tǒng)包括UE(用戶設(shè)備)1�����、毫微微AP(接入點)2�、PDG(分組數(shù)據(jù)網(wǎng)關(guān))3、AAA(認證授權(quán)計費)4��、HSS (歸屬用戶服務(wù)器)5、VLR (訪問位置寄存器)6和HLR/AuC (歸屬位置寄存器/認證中心)7�。UE 1是諸如移動電話之類的通信終端設(shè)備。毫微微AP 2也稱為毫微微小區(qū)基站���。毫微微AP 2是覆蓋半徑約幾十米的窄通信區(qū)域的小無線基站����。圖IB是示出毫微微AP 2的配置示例的框圖�。在圖IB中,毫微微AP 2包括第一通信器21和管理器22���。第一通信器21發(fā)送包含作為在毫微微AP 2的控制下的UE 1的身份的IMSI (UE_ IMSI)和作為毫微微AP 2的身份的IMSI (Femto_IMSI)在內(nèi)的請求以獲取用于隱蔽UE 1的身份的隱蔽密鑰。該請求是獲取隱蔽密鑰的請求并且是第一消息的示例�。管理器22基于隱蔽密鑰來執(zhí)行用于隱蔽UE 1的身份的隱蔽處理。將再次描述圖1A�。PDG 3也稱為中繼設(shè)備。PDG 3在毫微微AP 2和AAA 4之間中繼通信�。PDG 3包括第二通信器31。
當從毫微微AP 2接收到請求時����,第二通信器31向AAA 4發(fā)送請求。當包含與UE 的IMSI相對應(yīng)的隱蔽密鑰的響應(yīng)被從AAA 4接收到時�,第二通信器31向毫微微AP 2發(fā)送響應(yīng)�����。AAA 4也稱為認證設(shè)備���。AAA 4在UE 1和網(wǎng)絡(luò)之間執(zhí)行認證處理。圖IC是示出AAA 4的配置示例的框圖���。AAA 4包括控制器40��。當請求被從PDG 3接收到時����,控制器40從HLR/Auc 7獲取與請求中的UE 1的IMSI相對應(yīng)的隱蔽密鑰并向 PDG 3發(fā)送包含所獲取的隱蔽密鑰的響應(yīng)���。更具體地�����,控制器40發(fā)送包含作為屬性的���、與請求中的UE 1的IMSI相對應(yīng)的隱蔽密鑰在內(nèi)的響應(yīng)。控制器40包括獲取器41��、第一發(fā)生器42���、第二發(fā)生器43�、第三發(fā)生器44��、第三通信器45和加密單元46���。獲取器41從HLR/AUC 7獲取與UE 1的IMSI相對應(yīng)的RAND (隨機挑戰(zhàn)(Random chal lenge)), AUTN (認證令牌)�����、XRES(期待響應(yīng))�、IK(完整性密鑰)和CK(密碼密鑰)作為隱蔽密鑰���。第一發(fā)生器42基于獲取器41獲取的IK和CK以及請求中的UE 1的IMSI來生成 ΜΚ(主密鑰)。 第二發(fā)生器43基于第一發(fā)生器42生成的MK來生成MSK (主會話密鑰)��、EMSK (擴展的主會話密鑰)���、K_encr和K_aut�。第三發(fā)生器44基于第二發(fā)生器43生成的K_aut來生成MAC (消息認證碼)。第三通信器45發(fā)送包含由第三發(fā)生器44生成的MAC�、由獲取器41獲取的RAND和 AUTN、以及由第一發(fā)生器42生成的IK和CK在內(nèi)的響應(yīng)作為隱蔽密鑰�����。加密單元46使用在毫微微AP 2的認證期間生成的與毫微微AP 2相對應(yīng)的1(_ encr來加密CK和IK��。第三通信器45發(fā)送包含在加密單元46中加密的CK和IK在內(nèi)的響應(yīng)��。將再次描述圖1A�����。HSS 5是管理在MS中使用的UE 1的訂戶信息的設(shè)備����。VLR 6是存儲UE 1的訂戶信息的設(shè)備。HSS 5從HLR/AuC 7獲取UE的訂戶信息并將所獲取的UE 1的訂戶信息存儲在VLR 6中以管理該信息��。HLR/AuC 7是管理UE 1的訂戶信息的設(shè)備����。<通信系統(tǒng)的操作>接下來,將參考圖2和圖3來詳細描述示例性實施例的通信系統(tǒng)的操作���。圖2是說明用于在毫微微AP 2和PDG 3之間構(gòu)建IPsec隧道的操作(毫微微AP認證)的序列圖����, 并且圖3是說明用于執(zhí)行在毫微微AP 2和UE 1之間隱蔽身份的3G隱蔽處理的操作(UE 認證)的序列圖。<毫微微AP認證>首先�,將參考圖2來描述毫微微AP認證的操作。毫微微AP 2的第一通信器21向PDG 3發(fā)送包含毫微微AP 2的IMSI (Femto_ IMSI)在內(nèi)的IKE_AUTH請求(步驟Si)���。例如����,第一通信器21發(fā)送包含0<Femto_IMSI>@ realmname的NAI (網(wǎng)絡(luò)接入標識符)在內(nèi)的IKE_AUTH請求�����。NAI是用于標識網(wǎng)絡(luò)的接入的信息����。“<Femto_IMSI>”是用于標識毫微微AP的信息����。當IKE_AUTH請求被從毫微微AP 2接收到時��,PDG 3的第二通信器31向AAA 4發(fā)送包含0<Femto_IMSI>@realmname的NAI在內(nèi)的請求(Diameter)(步驟S2)。該請求 (Diameter)在被稱為Diameter的協(xié)議中發(fā)送���。當請求(Diameter)被從PDG 3接收到時�����,AAA 4的獲取器41從AAA 4獲取與請求(Diameter)中的NAI中包含的Femto_IMSI相對應(yīng)的認證向量值(RAND�����、AUTN���、XRES、IK 和CK)并在AAA 4中管理所獲取的認證向量值(步驟S3)�����。AAA 4事先為每個Femto_IMSI 保存指示與Femto_IMSI相對應(yīng)的認證向量值的信息���,并且獲取器41從該信息中獲取與NAI 中包含的Femto_IMSI相對應(yīng)的認證向量值���。認證向量值RAND、AUTN�、XRES��、IK和CK是符合3GPP的信息�����。更具體地�,RAND表示隨機挑戰(zhàn)���,AUTN表示認證令牌�,XRES表示期待響應(yīng)�����,IK表示完整性密鑰�����,并且CK表示密碼密鑰��。AAA 4的第一發(fā)生器42基于由獲取器41獲取的IK和CK以及NAI中包含的身份 (Femto_IMSI)來生成MK (主密鑰)(步驟S4)����。MK例如是通過符合RFC 4187的方法生成的。AAA 4的第二發(fā)生器43基于由第一發(fā)生器42生成的MK來生成MSK(主會話密鑰)��、EMSK (擴展的主會話密鑰)����、K_encr和K_aut (步驟S5)。更具體地���,第二發(fā)生器43將 MK輸入到PRF (偽隨機數(shù)函數(shù))以生成MSK��、EMSK�、K_encr和K_aut����。K_encr在加密期間使用,并且K_aut在認證期間使用�����。MSK�、EMSK、K_encr和K_aut 是利用符合RFC 4187的方法生成的�����。AAA 4的第三發(fā)生器44基于由第二發(fā)生器43生成的毫微微AP 2的K_aut來生成 MAC (消息認證碼)�����。AAA 4的第三通信器45發(fā)送由第三發(fā)生器44生成的MAC和包含由獲取器41獲取的RAND和AUTN在內(nèi)的響應(yīng)(Diameter)(步驟S6)。第三通信器45向響應(yīng)(Diameter)的 EAP凈荷添加由獲取器41獲取的RAND和AUTN作為屬性然后發(fā)送該響應(yīng)(Diameter)�。當響應(yīng)(Diameter)被從AAA 4接收到時,PDG 3的第二通信器31向毫微微AP 2 發(fā)送包含響應(yīng)(Diameter)中的MAC���、RAND和AUTN在內(nèi)的IKE_AUTH響應(yīng)(步驟S7)����。毫微微AP 2的第一通信器21接收IKE_AUTH響應(yīng)���。結(jié)果��,毫微微AP 2可以獲取與毫微微AP相對應(yīng)的隱蔽密鑰(MAC���、RAND和AUTN)。PDG 3的管理器22基于由第一通信器21接收的IKE_AUTH響應(yīng)中的隱蔽密鑰來與毫微微AP建立IPsec隧道(步驟S8)�����。IPsec隧道是通過符合3GPP的方法建立的�。以這種方式,在示例性實施例的通信系統(tǒng)中��,毫微微AP 2向AAA 4發(fā)送毫微微AP 2 的 IMSI (Femto_IMSI)。AAA 4 獲取與 Femto_IMSI 相對應(yīng)的認證向量值(RAND��、AUTN��、XRES���、 IK和CK)并基于認證向量值(RAND、AUTN���、XRES, IK和CK)來生成與Femto_IMSI相對應(yīng)的隱蔽密鑰(MAC��、RAND和AUTN)�����。AAA 4隨后向毫微微AP 2發(fā)送與生成的Femto_IMSI相對應(yīng)的隱蔽密鑰(MAC�����、RAND和AUTN)�����。結(jié)果�,IPsec隧道可以在毫微微AP 2和PDG 3之間建立。<UE 認證 >接下來�����,將參考圖3來描述UE認證的操作����。為了登記請求CS(電路交換)服務(wù)的位置,UE 1向毫微微AP 2發(fā)送位置更新請求(Location Update Request)作為對認證的請求���。
為了登記PS (分組交換)服務(wù)的位置�����,UE 1向毫微微AP 2發(fā)送RA更新請求(附加請求)作為對認證的請求���。為了執(zhí)行PDP激活,UE 1向毫微微AP 2發(fā)送激活PDP上下文請求(Activate PDP Context Request)作為對認證的請求�����。在以下處理操作中�����,UE 1向毫微微AP 2發(fā)送位置更新請求的情況將被描述。當UE 1發(fā)送RA更新請求(附加請求)或激活PDP上下文請求時�����,與以下操作相同的操作可被執(zhí)行����。首先����,UE 1向毫微微AP 2發(fā)送包含UE 1的IMSI (UE_IMSI)在內(nèi)的位置更新請求 (步驟Al)。當位置更新請求被從UE 1接收到時�����,毫微微AP 2的第一通信器21向PDG 3發(fā)送包含位置更新請求中的UE_IMSI和毫微微AP 2的IMSI (Femto_IMSI)在內(nèi)的IKE_AUTH請求 (步驟A2)�����。由于第一通信器21已接收到位置更新請求��,因此包含0CS0<UE_IMSI>/<FemtO_ IMSDirealmname的NAI在內(nèi)的IKE_AUTH請求作為IKE_AUTH請求被發(fā)送��。“0CS0”是表示 CS服務(wù)的位置登記的信息��?�!?lt;UE_IMSI>”是用于標識UE的信息����。“<Femto_IMSI>”是用于標識毫微微AP的信息��。當激活PDP上下文請求被接收時��,毫微微AP 2的第一通信器21發(fā)送包含 OPDPO<UE_IMSI>/<Femto_IMSI>irealmname 的 NAI 在內(nèi)的 IKE_AUTH 請求����。“0PDP0���,���,是指示 PDP激活的信息。當IKE_AUTH請求被接收時�����,PDG 3的第二通信器31向AAA 4發(fā)送包含0CS0<UE_ IMSI>/<Femto_IMSI>irealmname 的 NAI 在內(nèi)的請求(Diameter)(步驟 A3)。 當請求(Diameter)被接收時���,AAA 4的獲取器41從HLR/AuC獲取與請求 (Diameter)中的NAI中包含的UE_IMSI相對應(yīng)的認證向量值(RAND��、AUTN����、XRES�、IK和CK) 并管理所獲取的認證向量值(步驟A4)。AAA 4的第一發(fā)生器42基于與由獲取器41獲取的請求(Diameter)中的UE_IMSI 和身份(UE_IMSI)相對應(yīng)的IK和CK來生成MK (主密鑰)(步驟A5)�。MK可以使用符合RFC 4187的方法來生成。AAA 4的第二發(fā)生器43基于由第一發(fā)生器42生成的MK來生成MSK(主會話密鑰)�、EMSK (擴展的主會話密鑰)����、K_encr和K_aut (步驟A6)。更具體地�,第二發(fā)生器43將 MK輸入到PRF (偽隨機數(shù)函數(shù))以生成MSK (主會話密鑰)、EMSK (擴展的主會話密鑰)��、K_ encr 和 K_aut (步驟 A6)���。MSK��、EMSK, K_encr和K_aut例如是使用符合RFC 4187的方法來生成的�����。AAA 4的加密單元46對由獲取器41獲取的IK和CK進行加密(步驟A7)�。毫微微AP 2的K_encr被用于加密。這是因為UE 1的K_encr僅能辨認AAA 4和UE1��,如果UE 1的K_encr被用于加密�����,則毫微微AP 2無法解密與UE相對應(yīng)的隱蔽密鑰����。因此,加密單元46使用毫微微AP 2的K_encr來加密IK和CK以便毫微微AP 2能夠解密UE 1的隱蔽密鑰�����。AAA 4的第三發(fā)生器44基于由第二發(fā)生器43生成的UE 1的K_aut來生成MAC (消息認證碼)����。AAA 4的第三通信器45向響應(yīng)(Diameter)的EAP凈荷添加由獲取器41獲取的RAND和AUTN、由加密單元46加密的IK和CK�、以及由第二發(fā)生器43生成的MAC���。第三發(fā)生器45向PDG 3發(fā)送響應(yīng)(Diameter)(步驟A8)。這允許AAA 4將包含作為屬性的MAC���、 RAND��、AUTN����、IK和CK在內(nèi)的請求(Diameter)分發(fā)到毫微微AP 2�。
當響應(yīng)(Diameter)被接收時,PDG 3的第二通信器31向毫微微AP 2發(fā)送包含響應(yīng)(Diameter)中的MAC���、RAND����、AUTN�、IK和CK在內(nèi)的IKE_AUTH響應(yīng)(步驟A9)����。毫微微 AP 2的第一通信器21接收IKE_AUTH響應(yīng)。結(jié)果���,毫微微AP 2獲取與UE 1相對應(yīng)的隱蔽密鑰(MAC���、RAND���、AUTN、IK 和 CK)�。毫微微AP 2的管理器22隨后執(zhí)行UE 1與毫微微AP 2之間的對UE 1的隱蔽處理(步驟A10)。UE 1的隱蔽處理是通過符合3GPP的方法來執(zhí)行的��。以這種方式��,在示例性實施例的通信系統(tǒng)中����,UE 1向毫微微AP 2發(fā)送UE 1的 IMSI (UE_IMSI)。毫微微 AP 2 向 AAA 4 發(fā)送 UE 1 的 IMSI (UE_IMSI)和毫微微 AP 2 的 IMSI (Femto_IMSI)�。AAA 4 獲取與 UE_IMSI 相對應(yīng)的認證向量值(RAND、AUTN����、XRES, IK 和 CK)并使用認證向量值(RAND、AUTN�、XRES、IK和CK)來生成與UE_IMSI相對應(yīng)的MSK����、EMSK�����、 K_encr���、K_aut、IK和CK�����。AAA 4還使用與UE_IMSI相對應(yīng)的K_aut來生成與UE_IMSI相對應(yīng)的MAC����。AAA 4隨后向毫微微AP 2發(fā)送與UE_IMSI相對應(yīng)的隱蔽密鑰(MAC、RAND����、AUTN、 IK 禾口 CK)����。這允許毫微微AP 2保存與UE相對應(yīng)的加密密鑰���,并且UE 1的隱蔽處理可以在毫微微AP 2和UEl之間執(zhí)行�����。非專利文獻1公開了在WLAN UE和PDG之間構(gòu)建IPsec隧道的方法����。在該方法中,如圖4所示�,PDG保存與WLAN UE相對應(yīng)的加密密鑰并且能夠使用該加密密鑰來在UE和 PDG之間構(gòu)建IPsec隧道。假設(shè)毫微微AP 2是非專利文獻1中公開的WLAN UE (參見圖4)并且與非專利文獻中公開的3GPP標準化有關(guān)的技術(shù)被使用�����,則PDG 3如圖5所示保存與毫微微AP 2相對應(yīng)的加密密鑰并且能夠使用該加密密鑰來在毫微微AP 2和PDG 3之間構(gòu)建II^sec隧道���。這種情況下�����,如圖5所示�,用于隱蔽UE 1的身份的3G隱蔽處理是必要的���,因為UE 1存在于毫微微AP 2之下��。然而���,在WLAN系統(tǒng)中����,由于不需要執(zhí)行3G隱蔽處理����,所以3G隱蔽處理的加密密鑰的傳送不被考慮。因此�����,作為對解決該問題的修改和深入研究的各種嘗試的結(jié)果�����,本發(fā)明人已開發(fā)了在示例性實施例中描述的技術(shù)�。具體地,毫微微AP 2和PDG 3之間的安全通信的安全性被參考圖2來描述的毫微微AP認證確保��。更具體地����,如圖6A所示,PDG 3保存與毫微微AP 2相對應(yīng)的加密密鑰并使用該加密密鑰來在毫微微AP和PDG之間構(gòu)建msec隧道����。這可以保證毫微微AP和PDG 之間的安全通信。毫微微AP和UE之間的安全通信被參考圖3來描述的UE認證確保���。更具體地�,與 UE相對應(yīng)的加密密鑰被從AAA 4分發(fā)到毫微微AP 2��,并且如圖6B所示����,毫微微AP 2保存與UE相對應(yīng)的加密密鑰并使用該加密密鑰來在UE 1和毫微微AP 2之間執(zhí)行UE隱蔽處理。 這可以保證毫微微AP 2和UE 1之間的安全通信���。以這種方式��,圖1所示的安裝有毫微微AP 2的通信系統(tǒng)還可保證毫微微AP 2和 UE 1之間的通信安全����。示例性實施例是本發(fā)明的優(yōu)選實施例����。本發(fā)明不限于僅僅示例性實施例����,而是可以以應(yīng)用了不脫離本發(fā)明范圍的各種改變的形式來執(zhí)行��。例如�,本說明書中給出的非專利文獻1和2是示例,并且示例性實施例中的通信系統(tǒng)不依賴于非專利文獻1和2中描述的3GPP的版本���。包含示例性實施例中的通信系統(tǒng)的設(shè)備的功能可通過硬件���、軟件或硬件和軟件的組合結(jié)構(gòu)來實現(xiàn)。為了使用軟件來實現(xiàn)設(shè)備的功能���,用于實現(xiàn)功能的程序可被記錄在計算機可讀記錄介質(zhì)上�,并且計算機可讀出并運行記錄在記錄介質(zhì)中的程序�����。計算機可讀記錄介質(zhì)表示諸如軟盤��、磁光盤和CD-ROM之類的記錄介質(zhì)�����,或者諸如計算機系統(tǒng)中包含的硬盤設(shè)備之類的記錄設(shè)備。計算機可讀記錄介質(zhì)還包括例如當程序通過互聯(lián)網(wǎng)被發(fā)送時����、短時間動態(tài)地保存程序的事物(傳輸介質(zhì)或傳輸波)��,以及當程序通過互聯(lián)網(wǎng)被發(fā)送時�����、保存程序某個時間段的東西(如用作服務(wù)器的計算機中的易失性存儲器)O示例性實施例中的通信系統(tǒng)不僅可按根據(jù)示例性實施例中描述的操作的順序來執(zhí)行處理�����,而且該設(shè)備還可根據(jù)運行處理的設(shè)備的處理能力或者按照需要基于運行處理的設(shè)備來并列地或單獨地執(zhí)行處理����。雖然已參考示例性實施例描述了本發(fā)明,但是本發(fā)明不限于示例性實施例�。可在本發(fā)明的范圍內(nèi)對本發(fā)明的配置和細節(jié)做出本領(lǐng)域技術(shù)人員可理解的各種改變��。工業(yè)適用件本發(fā)明可應(yīng)用于使用毫微微小區(qū)基站的服務(wù)���。本申請要求2008年12月沈日遞交的日本專利申請No. 2008-333622的優(yōu)先權(quán)��, 該日本專利申請的全部內(nèi)容通過引用結(jié)合于此��。
權(quán)利要求
1.一種通信系統(tǒng)����,包括在IMSdP多媒體子系統(tǒng))網(wǎng)絡(luò)中使用的UE(用戶設(shè)備)和 HLR(歸屬位置寄存器);以及構(gòu)建預(yù)定通信區(qū)域的毫微微小區(qū)基站�,其中所述毫微微小區(qū)基站存在于所述UE和所述HLR之間,在所述UE的認證期間從所述HLR 獲取與所述UE相對應(yīng)的隱蔽密鑰��,并且基于所述隱蔽密鑰來執(zhí)行用于隱蔽所述UE的身份的隱蔽處理����。
2.根據(jù)權(quán)利要求1所述的通信系統(tǒng),還包括 認證設(shè)備��,所述認證設(shè)備認證所述UE �����;以及中繼設(shè)備���,所述中繼設(shè)備在所述認證設(shè)備和所述毫微微小區(qū)基站之間中繼通信���,其中所述毫微微小區(qū)基站包括第一通信裝置�����,所述第一通信裝置用于向所述中繼設(shè)備發(fā)送包含所述UE的IMSI和所述毫微微小區(qū)基站的IMSI在內(nèi)的第一消息���,所述中繼設(shè)備包括第二通信裝置,所述第二通信裝置用于在所述第一消息被從所述毫微微小區(qū)基站接收到時向所述認證設(shè)備發(fā)送所述第一消息并且在包含與所述UE的IMSI相對應(yīng)的隱蔽密鑰在內(nèi)的第二消息被從所述認證設(shè)備接收到時向所述毫微微小區(qū)基站發(fā)送所述第二消息�,并且所述認證設(shè)備包括控制裝置��,所述控制裝置用于在所述第一消息被從所述中繼設(shè)備接收到時從所述HLR獲取與所述第一消息中的所述UE的所述IMSI相對應(yīng)的隱蔽密鑰并將包含所獲取的隱蔽密鑰在內(nèi)的第二消息發(fā)送到所述中繼設(shè)備���。
3.根據(jù)權(quán)利要求2所述的通信系統(tǒng)����,其中所述控制裝置向所述中繼設(shè)備發(fā)送包含作為屬性的�、與所述UE的所述IMSI相對應(yīng)的隱蔽密鑰在內(nèi)的第二消息。
4.根據(jù)權(quán)利要求2或3所述的通信系統(tǒng)��,其中所述控制裝置包括獲取裝置��,所述獲取裝置用于從所述HLR獲取與所述UE的IMSI相對應(yīng)的RAND (隨機挑戰(zhàn))�����、AUTN(認證令牌)、XRES(期待響應(yīng))�、IK(完整性密鑰)和CK(密碼密鑰)作為隱蔽密鑰;第一發(fā)生裝置��,所述第一發(fā)生裝置用于基于由所述獲取裝置獲取的IK和CK和所述第一消息中的所述UE的IMSI來生成MK (主密鑰)�����;第二發(fā)生裝置����,所述第二發(fā)生裝置用于基于由所述第一發(fā)生裝置生成的MK來生成 MSK (主會話密鑰)、EMSK (擴展的主會話密鑰)����、K_encr和K_aut ;第三發(fā)生裝置���,所述第三發(fā)生裝置用于基于所述第二發(fā)生裝置生成的K_aut來生成 MAC (消息認證碼)�����;以及第三通信裝置���,所述第三通信裝置用于發(fā)送包含由所述第三發(fā)生裝置生成的MAC����、由所述獲取裝置獲取的RAND和AUTN���、以及由所述第一發(fā)生裝置生成的IK和CK在內(nèi)的第二消息作為隱蔽密鑰�����。
5.根據(jù)權(quán)利要求4所述的通信系統(tǒng)�,其中所述第三通信裝置發(fā)送包含作為屬性的MAC���、RAND、AUTN�、CK和IK在內(nèi)的第二消息。
6.根據(jù)權(quán)利要求2至5中任一個所述的通信系統(tǒng)���,其中所述控制裝置使用在所述毫微微小區(qū)基站的認證期間生成的加密密鑰來加密所述隱蔽密鑰并將包含加密后的隱蔽密鑰在內(nèi)的第二消息發(fā)送到所述中繼設(shè)備�����。
7.根據(jù)權(quán)利要求5或6所述的通信系統(tǒng)�����,其中所述控制裝置還包括加密裝置�,所述加密裝置用于使用在所述毫微微小區(qū)基站的認證期間生成的與所述毫微微小區(qū)基站相對應(yīng)的K_encr來加密CK和IK,并且所述第三通信裝置發(fā)送包含由所述加密裝置加密的CK和IK在內(nèi)的第二消息���。
8.—種構(gòu)建預(yù)定的通信區(qū)域的毫微微小區(qū)基站�,其中所述毫微微小區(qū)基站在UE (用戶設(shè)備)的認證期間從HLR(歸屬位置寄存器)獲取與所述UE相對應(yīng)的隱蔽密鑰���,并基于所述隱蔽密鑰來執(zhí)行用于隱蔽所述UE的身份的隱蔽處理���。
9.一種認證UE (用戶設(shè)備)的認證設(shè)備,其中所述認證設(shè)備在所述UE的認證期間從HLR(歸屬位置寄存器)獲取與所述UE相對應(yīng)的隱蔽密鑰并向毫微微小區(qū)基站發(fā)送包含所獲取的隱蔽密鑰的消息�。
10.一種由通信系統(tǒng)進行的通信方法,所述通信系統(tǒng)包括在IMS(IP多媒體子系統(tǒng)) 網(wǎng)絡(luò)中使用的UE(用戶設(shè)備)和HLR(歸屬位置寄存器)��;以及構(gòu)建預(yù)定通信區(qū)域的毫微微小區(qū)基站�,所述毫微微小區(qū)基站存在于所述UE和所述HLR之間,其中所述毫微微小區(qū)基站在所述UE的認證期間從所述HLR獲取與所述UE相對應(yīng)的隱蔽密鑰��,并基于所述隱蔽密鑰來執(zhí)行用于隱蔽所述UE的身份的隱蔽處理���。
11.一種由構(gòu)建預(yù)定的通信區(qū)域的毫微微小區(qū)基站進行的通信方法�,其中與UE相對應(yīng)的隱蔽密鑰在所述UE的認證期間從HLR被獲取,并且用于隱蔽所述UE的身份的隱蔽處理基于所述隱蔽密鑰被執(zhí)行�����。
12.—種由認證UE的認證設(shè)備進行的通信方法�����,其中與所述UE相對應(yīng)的隱蔽密鑰在所述UE的認證期間從HLR(歸屬位置寄存器)被獲取����,并且包含所獲取的隱蔽密鑰的消息被發(fā)送到毫微微小區(qū)基站。
13.一種計算機可讀記錄介質(zhì)�����,所述計算機可讀記錄介質(zhì)記錄供計算機在UE的認證期間從HLR獲取與所述UE相對應(yīng)的隱蔽密鑰并基于所述隱蔽密鑰來執(zhí)行用于隱蔽所述UE的身份的隱蔽處理的程序���。
14.一種計算機可讀記錄介質(zhì),所述計算機可讀記錄介質(zhì)記錄供計算機在UE的認證期間從HLR(歸屬位置寄存器)獲取與所述UE相對應(yīng)的隱蔽密鑰并執(zhí)行向毫微微小區(qū)基站發(fā)送包含所獲取的隱蔽密鑰的消息的處理的程序��。
全文摘要
提供了用于解決不能在毫微微小區(qū)基站和UE之間的通信中保證安全通信的安全性的問題的通信系統(tǒng)�。所述通信系統(tǒng)包括在IMS(IP多媒體子系統(tǒng))網(wǎng)絡(luò)中使用的UE(用戶設(shè)備)和HLR(歸屬位置寄存器)以及構(gòu)建預(yù)定通信區(qū)域的毫微微小區(qū)基站(毫微微AP)。所述毫微微小區(qū)基站存在于UE和HLR之間,在UE的認證期間從HLR獲取與UE相對應(yīng)的隱蔽密鑰���,并基于隱蔽密鑰來執(zhí)行用于隱蔽UE的身份的隱蔽處理�����。
文檔編號H04W12/06GK102265659SQ20098015292
公開日2011年11月30日 申請日期2009年12月24日 優(yōu)先權(quán)日2008年12月26日
發(fā)明者城戶貴之, 林孝起, 江口和樹, 渡邊康弘, 秋山洋明, 黑川聰, 龜岡雄一郎 申請人:日本電氣株式會社