在现有的宏网络中， 对于基站 （evolved NodeB; 以下筒称： eNB )之 间的直接接口， eNB之间可以通过证书认证的方式建立 IPSec隧道来保证 eNB之间直接接口的安全性。

但是，对于 H(e)NB之间的直接接口，或者 eNB与 H(e)NB之间的接口， 无法采用上述方式保证接口的安全性。

发明内容 本发明实施例提供一种安全隧道建立方法和基 站， 以实现家庭基站与 家庭基站之间， 或者家庭基站与宏基站之间通过共享密钥或证 书方式建立 因特网协议安全（ Internet Protocol Security; 以下筒称： IPsec ) 隧道， 保证 家庭基站与家庭基站之间， 或者家庭基站与宏基站之间接口的安全性。 本发明实施例提供一种安全隧道建立方法， 包括：

第一基站获得用于验证第二基站证书的根证书 或者第二基站与所述第 一基站之间的共享密钥； 所述第一基站为家庭基站时， 所述第二基站为家 庭基站或宏基站； 或者， 所述第一基站为宏基站时， 所述第二基站为家庭 基站；

所述第一基站通过所述共享密钥或者所述用于 验证第二基站证书的根 证书与所述第二基站建立因特网协议安全隧道 ， 以保证所述第一基站与所 述第二基站之间接口的安全性。

本发明实施例还提供一种第一基站， 包括：

获得模块， 用于获得用于验证第二基站证书的根证书或者 第二基站与 所述第一基站之间的共享密钥；

建立模块， 用于通过所述共享密钥或者所述用于验证第二 基站证书的 根证书与所述第二基站建立因特网协议安全隧 道， 以保证所述第一基站与 所述第二基站之间接口的安全性。

通过本发明实施例， 第一基站可以获得用于验证第二基站证书的根 证 书或第二基站与第一基站之间的共享密钥， 这样， 第一基站就可以通过上 述共享密钥或者上述用于验证第二基站证书的 根证书与第二基站建立 IPsec 隧道， 从而可以保证第一基站与第二基站之间接口的 安全性。

附图说明

实施例或现有技术描述中所需要使用的附图 作一筒单地介绍， 显而易见地， 下面描述中的附图是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明安全隧道建立方法一个实施例的流� �图； 图 2为本发明安全隧道建立方法另一个实施例的� �程图； 图 3为本发明安全隧道建立方法另一个实施例的� �程图；

图 4为本发明安全隧道建立方法另一个实施例的� �程图；

图 5为本发明共享密钥更新方法一个实施例的流� �图；

图 6为本发明共享密钥更新方法另一个实施例的� �程图；

图 7为本发明安全隧道建立方法另一个实施例的� �程图；

图 8为本发明安全隧道建立方法另一个实施例的� �程图；

图 9为本发明第一基站一个实施例的结构示意图� �

图 10为本发明第一基站另一个实施例的结构示意� ��；

图 11为本发明第一基站另一个实施例的结构示意� ��；

图 12为本发明第一基站另一个实施例的结构示意� ��。

具体实施方式 为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本 发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描 述， 显然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做出创造性劳动的 前 提下所获得的所有其他实施例， 都属于本发明保护的范围。

图 1为本发明安全隧道建立方法一个实施例的流� �图， 如图 1所示， 该安全隧道建立方法可以包括：

步骤 101 , 第一基站获得用于验证第二基站证书的根证书 （Root Certificate )或者第二基站与该第一基站之间的共享密钥 （ Shared Key ) 。

本实施例中， 当第一基站为家庭基站时， 第二基站可以为家庭基站或 宏基站； 或者， 当第一基站为宏基站时， 第二基站可以为家庭基站； 也就 是说， 第一基站和第二基站中至少有一个为家庭基站 即可。 其中， 宏基站 可以为 eNB或其他类型的宏基站； 家庭基站可以为 HeNB或 HNB, 本实施 例对此不作限定。

步骤 102,第一基站通过上述共享密钥或者上述用于� �证第二基站证书 的根证书与第二基站建立 IP _sec 隧道，以保证第一基站与第二基站之间接 口 的安全性。

本实施例的一种实现方式中， 第一基站获得用于验证第二基站证书的 根证书或者第二基站与该第一基站之间的共享 密钥可以为： 第一基站接收 核心网设备发送的用于验证第二基站证书的根 证书或者核心网设备为第二 基站与第一基站生成的共享密钥。

本实现方式中， 在核心网设备设置的共享密钥周期到期之后， 第一基 站可以接收核心网设备发送的该核心网设备为 第二基站与第一基站生成的 更新后的共享密钥； 或者， 在第一基站设置的共享密钥周期到期之后， 第 一基站可以向核心网设备请求更新共享密钥， 然后接收核心网设备发送的 该核心网设备根据第一基站的请求生成的更新 后的共享密钥； 或者， 第一 基站向第二基站发起因特网密钥交换（ Internet Key Exchange; 以下筒称： IKE )协商时， 如果发现第一基站或第二基站没有可用的共享 密钥， 则第一 基站可以向核心网设备请求更新共享密钥， 然后接收核心网设备发送的该 核心网设备根据第一基站的请求生成的更新后 的共享密钥。

本实现方式中， 当核心网设备为移动性管理实体（ Mobility Management Entity; 以下筒称： MME )或家庭演进基站网关 （HeNB Gateway; 以下筒 称： HeNB GW ) 时， 第一基站可以接收 MME或 HeNB GW发送的 MME 或 HeNB GW为第二基站与第一基站生成的共享密钥； 或者，

在第一基站接收核心网设备发送的用于验证第 二基站证书的根证书或 者核心网设备为第二基站与第一基站生成的共 享密钥之前， 第一基站还可 以向 MME或 HeNB GW发送基站配置转发消息； 这样，第一基站接收核心 网设备发送的用于验证第二基站证书的根证书 或者核心网设备为第二基站 与第一基站生成的共享密钥可以为：第一基站 接收 MME或 HeNB GW发送 的移动性管理实体配置转发消息， 该移动性管理实体配置转发消息中携带 上述用于验证第二基站证书的根证书，或者 MME或 HeNB GW为第一基站 和第二基站生成的共享密钥； 该移动性管理实体配置转发消息是 MME或 HeNB GW接收到上述基站配置转发消息之后，根据该� ��站配置转发消息中 的源节点标识和目的节点标识确定该基站配置 转发消息的源节点和 /或目标 节点为家庭演进基站之后， 将用于验证第一基站证书的根证书， 或者 MME 或 HeNB GW为第一基站和第二基站生成的共享密钥发送� ��第二基站， 在 接收到第二基站发送的基站配置转发消息之后 发送给第一基站的。

本实现方式中， 当核心网设备为家庭基站网关 （HNB Gateway; 以下 筒称： HNB GW ) 时， 第一基站可以接收 HNB GW发送的该 HNB GW为 第二基站与第一基站生成的共享密钥； 或者，

第一基站接收核心网设备发送的该核心网设备 为第二基站与第一基站 生成的共享密钥之前， 第一基站注册到 HNB GW之后， 如果检测到第二基 站注册到该 HNB GW,则第一基站可以向 HNB GW请求第二基站的因特网 协议（ Internet Protocol; 以下筒称： IP )地址； 这时， 第一基站接收核心网 设备发送的该核心网设备为第二基站与第一基 站生成的共享密钥可以为： 第一基站接收 HNB GW发送的响应消息， 该响应消息携带第二基站的 IP 地址和该 HNB GW预先为第一基站与第二基站生成的共享密钥� �� 另外， 第 一基站接收核心网设备发送的核心网设备为第 二基站与第一基站生成的共 享密钥之前， 第一基站可以注册到上述 HNB GW, 并向该 HNB GW发送第 一基站检测到的邻区家庭基站的信息， 该第一基站的邻区家庭基站包括第 二基站； 这样， 第一基站接收核心网设备发送的核心网设备为 第二基站与 第一基站生成的共享密钥可以为： 第一基站接收 HNB GW发送的该 HNB GW上可用的邻区家庭基站的信息， 以及该 HNB GW为第一基站与第一基 站的邻区家庭基站生成的共享密钥。 本实现方式中， 在 HNB GW发现该 HNB GW控制的邻区家庭基站的 信息没有更新到第一基站， 且该 HNB GW上没有第一基站与更新后的邻区 家庭基站的共享密钥之后， 第一基站可以接收 HNB GW通过家庭基站配置 转发流程发送的更新后的邻区家庭基站的信息 ， 以及该 HNB GW为第一基 站与更新后的邻区家庭基站生成的共享密钥。

本实现方式中， 当核心网设备为 HNB GW时， 第一基站接收核心网设 备发送的用于验证第二基站证书的根证书之前 ， 第一基站可以向 HNB GW 发送家庭基站注册请求消息， 这样， 第一基站接收核心网设备发送的用于 验证第二基站证书的根证书可以为： 第一基站接收 HNB GW发送的家庭基 站注册接受消息， 该家庭基站注册接受消息携带上述用于验证第 二基站证 书的根证书。

本实现方式中， 当核心网设备为家庭基站管理系统 （ H(e)NB Management System; 以下筒称： H(e)MS )时， 第一基站接收核心网设备发 送的用于验证第二基站证书的根证书或者核心 网设备为第二基站与第一基 站生成的共享密钥之前， 第一基站可以先与安全网关之间建立 IPsec隧道； 这样， 第一基站接收核心网设备发送的用于验证第二 基站证书的根证书或 者核心网设备为第二基站与第一基站生成的共 享密钥可以为：在 H(e)MS对 第一基站的位置验证成功之后，第一基站接收 H(e)MS通过家庭基站供应流 程发送的上述用于验证第二基站证书的根证书 或者 H(e)MS 为第一基站与 第一基站的邻区家庭基站生成的共享密钥； 其中， 该第一基站的邻区家庭 基站包括第二基站。

本实施例的另一种实现方式中， 第一基站获得第二基站与第一基站之 间的共享密钥之前，第一基站可以向 MME或 HeNB GW发送基站配置转发 消息， 该基站配置转发消息携带第一基站的迪非-赫� �曼（ Diffie-Hellman; 以下筒称： DH )组号和 DH值， 以便 MME或 HeNB GW将第一基站的 DH 组号和 DH值携带在第一移动性管理实体配置转发消息� ��发送给第二基站； 然后，第一基站可以接收 MME或 HeNB GW发送的第二移动性管理实体配 置转发消息，该第二移动性管理实体配置转发 消息携带第二基站选择的 DH 组号和 DH值， 该第二移动性管理实体配置转发消息是 MME或 HeNB GW 接收到第二基站发送的携带第二基站选择的 DH组号和 DH值的基站配置转 发消息之后发送给第一基站的； 这样， 第一基站获得第二基站与第一基站 之间的共享密钥可以为： 第一基站根据上述第二基站选择的 DH组号和 DH 值生成上述共享密钥。

上述实施例中， 第一基站可以获得用于验证第二基站证书的根 证书或 第二基站与第一基站之间的共享密钥， 这样， 第一基站就可以通过上述共 享密钥或者用于验证第二基站证书的根证书与 第二基站建立 IPsec隧道，从 而可以保证第一基站与第二基站之间接口的安 全性。

图 2为本发明安全隧道建立方法另一个实施例的� �程图， 本实施例以 第一基站为 HeNB 1 ,第二基站为 HeNB2,核心网设备为 MME或 HeNB GW 为例进行说明。 本实施例中， MME或 HeNB GW需具有共享密钥生成和分 发功能， MME或 HeNB GW可以通过配置转发（ Configuration Transfer )功 能来完成共享密钥的分发。 配置转发功能是一个通过核心网在两个基站之 间请求和传送配置信息（例如： IP地址等）的功能。 MME或 HeNB GW可 以通过移动性管理实体配置转发 ( MME Configuration Transfer )消息向建立 直接接口的 HeNBl与 HeNB2分发共享密钥。

如图 2所示， 该安全隧道建立方法可以包括：

步骤 201 , HeNBl希望与 HeNB2建立直接接口时， HeNBl向 MME或 HeNB GW发送基站配置转发（ eNB Configuration Transfer ) 消息， 以请求 对端 HeNB2的 IP地址。

步骤 202, MME或 HeNB GW确定该基站配置转发消息的源节点和 / 或目标节点是 HeNB之后， MME或 HeNB GW为 HeNBl和 HeNB2生成共 享密钥。 具体地， MME或 HeNB GW可以通过基站配置转发消息中的源节点 标识和目的节点标识来确定该基站配置转发消 息的源节点和 /或目标节点是 HeNB。 本实施例中， 该基站配置转发消息的源节点为 HeNBl , 目标节点为 HeNB2 , 因此该基站配置转发消息的源节点和目标节点 均为 HeNB。

步骤 203, MME或 HeNB GW向 HeNB2发送移动性管理实体配置转 发消息，该移动性管理实体配置转发消息携带 MME或 HeNB GW为 HeNBl 和 HeNB2生成的共享密钥。

步骤 204, HeNB2向 MME或 HeNB GW发送基站配置转发消息， 该 基站配置转发消息中携带 HeNB2的 IP地址。

步骤 205, MME或 HeNB GW向 HeNBl发送移动性管理实体配置转 发消息，该移动性管理实体配置转发消息携带 MME或 HeNB GW为 HeNBl 和 HeNB2生成的共享密钥， 以及 HeNB2的 IP地址。

步骤 206 , HeNB 1与 HeNB2通过上述共享密钥进行 IKE协商，在 HeNB 1 与 HeNB2之间建立 IPSec隧道， 以保证 HeNBl与 HeNB2之间直接接口的 安全性。

本实施例中， 在以下情况下需要更新共享密钥：

( 1 ) MME或 HeNB GW设置共享密钥周期，在 MME或 HeNB GW设 置的共享密钥周期到期之后， MME或 HeNB GW生成新的共享密钥， 并通 过专用消息或移动性管理实体配置转发消息将 更新后的共享密钥发送给 HeNBl和 HeNB2;

( 2 ) HeNBl或 HeNB2上设置共享密钥周期， 在 HeNBl或 HeNB2设 置的共享密钥周期到期之后， HeNB 1或 HeNB2可以通过专用消息或基站配 置转发消息向 MME或 HeNB GW请求更新共享密钥， MME或 HeNB GW 生成新的共享密钥之后， 可以通过专用消息或移动性管理实体配置转发 消 息将更新后的共享密钥发送给 HeNBl和 HeNB2;

( 3 ) HeNBl向 HeNB2发起 IKE协商时， 如果发现 HeNBl或 HeNB2 没有可用的共享密钥， 则 HeNBl可以通过专用消息或基站配置转发消息向 MME或 HeNB GW请求更新共享密钥， MME或 HeNB GW生成新的共享 密钥之后， 可以通过专用消息或移动性管理实体配置转发 消息将更新后的 共享密钥发送给 HeNBl和 HeNB2。

上述实施例中， HeNBl 可以获得 MME或 HeNB GW为 HeNBl 与 HeNB2生成的共享密钥， 进而 HeNBl可以通过上述共享密钥与 HeNB2建 立 IPsec隧道， 从而可以保证 HeNBl与 HeNB2之间直接接口的安全性。

图 3 为本发明安全隧道建立方法另一个实施例的流 程图， 本实施例以 第一基站为 HNB1 , 第二基站为 HNB2, 核心网设备为 HNB GW为例进行 说明。 本实施例中， HNB GW需具有共享密钥生成和分发功能， HNB GW 可以通过家庭基站配置转发（ HNB Configuration Transfer )功能来完成共享 密钥的分发。 家庭基站配置转发功能提供了 HNB获取邻区 HNB的 IP地址 的方法， HNB可以利用 HNB GW发送的 IP地址与邻区 HNB建立直接接口。 进而 HNB可以利用 HNB GW发送给 HNB的家庭基站应用协议注册接受 ( HNB Application Protocol Registration Accept； 以下筒称： HNBAP Registration Accept ) 消息、 家庭基站配置转发响应 （ HNB Configuration Transfer Response ) 消息或者家庭基站配置转发请求 （ HNB Configuration Transfer Request ) 消息等将 HNB GW 生成的共享密钥分发给相应的邻区 HNB。

如图 3所示， 该安全隧道建立方法可以包括：

步骤 301 , HNB 1进入运行模式， 已经在 HNB GW注册。

步骤 302, HNB2进入运行模式， 并对邻区进行检测， 获得 HNB2的邻 区 H鼠

其中， 该 HNB2的邻区 HNB包括 HNB 1。

步骤 303, HNB2向 HNB GW注册， 并将 HNB2的 IP地址， 以及该 HNB2检测到的邻区 HNB的信息发送给 HNB GW。 步骤 304, HNB GW保存 HNB2的 IP地址以及 HNB2检测到的邻区 HNB的信息，然后 HNB GW为 HNB2以及该 HNB2的邻区 HNB生成共享 密钥。

步骤 305, HNB GW向 HNB2发送该 HNB GW上可用的邻区 HNB的 信息， 同时将 HNB GW为 HNB2以及该 HNB2的邻区 HNB生成的共享密 钥发给 HNB2。

步骤 306, HNB1检测到 HNB2。

步骤 307, HNB1向 HNB GW发送家庭基站配置转发请求消息来请求 HNB2的 IP地址。

步骤 308, HNB GW向 HNB1发送家庭基站配置转发响应消息， 该家 庭基站配置转发响应消息携带 HNB2 的 IP地址， 以及 HNB GW预先为 HNB1和 HNB2生成的共享密钥。

具体地， 如果在发送家庭基站配置转发响应消息之前， HNB GW上已 有 HNB GW为 HNB1和 HNB2生成的共享密钥， 则 HNB GW可以直接将 该共享密钥携带在家庭基站配置转发响应消息 中发送给 HNB1;如果在发送 家庭基站配置转发响应消息之前， HNB GW上还没有为 HNB1和 HNB2生 成共享密钥， 则 HNB GW需要在发送家庭基站配置转发响应消息之前� �� 先 为 HNB1和 HNB2生成共享密钥， 再将该共享密钥携带在家庭基站配置转 发响应消息中发送给 HNB 1。

步骤 309, HNB GW在某个时间点发现该 HNB GW控制的邻区 HNB 的信息没有更新到 HNB1 , 并且 HNB GW上没有 HNB1和更新后的邻区 HNB的共享密钥， 则 HNB GW为 HNB1和更新后的邻区 HNB生成共享密 钥。

步骤 310, HNB-GW发起家庭基站配置转发流程向 HNB1提供更新后 的邻区 HNB的信息，同时将 HNB GW为 HNB1和更新后的邻区 HNB生成 的共享密钥发送给 HNB1。 步骤 311 , 可选地， HNB1可以向 HNB GW提供更新的邻区 HNB的信 息。

本实施例中， HNB1与 HNB2后续可以通过 HNB GW分发的共享密钥 来建立 IPSec隧道， 以保证 HNB 1与 HNB2之间直接接口的安全性。

需要说明的是， 对于一个 HNB来说， 上述步骤 301~步骤 312可以不 全部执行， 只执行部分步骤也可， 例如： 可以只执行步骤 302、 步骤 303、 步骤 304、 步骤 305、 步骤 309、 步骤 310和步骤 311 , 或者， 可以只执行 步骤 301、 步骤 306、 步骤 307、 步骤 308、 步骤 309、 步骤 310和步骤 311。 但是不论执行全部步骤， 还是部分步骤， 均可以使两个相邻的 HNB获得共 享密钥。

本实施例中， 在以下情况下需要更新共享密钥：

( 1 ) HNB GW设置共享密钥周期， 在 HNB GW设置的共享密钥周期 到期之后， HNB GW生成新的共享密钥， 并通过专用消息或家庭基站配置 转发请求消息将更新后的共享密钥发送给 HNB1和 HNB2;

( 2 ) HNB1或 HNB2上设置共享密钥周期， 在 HNB1或 HNB2设置的 共享密钥周期到期之后， HNB1或 HNB2可以通过专用消息或家庭基站配 置转发请求消息向 HNB GW请求更新共享密钥， HNB GW生成新的共享密 钥之后， 可以通过专用消息或家庭基站配置转发响应消 息将更新后的共享 密钥发送给 HNB1和 HNB2;

( 3 ) HNB1向 HNB2发起 IKE协商时，如果发现 HNB1或 HNB2没有 可用的共享密钥， 则 HNB1可以通过专用消息或家庭基站配置转发请� �消 息向 HNB GW请求更新共享密钥， HNB GW生成新的共享密钥之后，可以 通过专用消息或家庭基站配置转发响应消息将 更新后的共享密钥发送给 HNB1和 HNB2。

上述实施例中， HNB1可以获得 HNB GW为 HNB1与 HNB2生成的共 享密钥，进而 HNB1可以通过上述共享密钥与 HNB2建立 IPsec隧道，从而 可以保证 HNB1与 HNB2之间直接接口的安全性。

图 4为本发明安全隧道建立方法另一个实施例的� �程图， 本实施例以 基站为 H(e)NB,核心网设备为 H(e)MS为例进行说明。本实施例中， H(e)MS 具有共享密钥生成和分发功能， H(e)MS 可以在家庭基站供应 （H(e)NB Provision )流程中， H(e)MS可以为 H(e)NB与该 H(e)NB的邻区 H(e)NB生 成共享密钥， 然后将共享密钥与邻区列表一起提供给 H(e)NB。

如图 4所示， 该安全隧道建立方法可以包括：

步骤 401 , H(e)NB和安全网关之间建立 IPSec隧道。

步骤 402 , H(e)MS对 H(e)NB进行位置验证，位置验证成功之后， H(e)MS 通过家庭基站供应流程向 H(e)NB发送配置参数，该配置参数中包括 H(e)NB 的邻区 H(e)NB的信息， 以及 H(e)MS预先为 H(e)NB与该 H(e)NB的邻区 H(e)NB生成的共享密钥。

具体地，如果在发送配置参数之前， H(e)MS上已有 H(e)MS为 H(e)NB 生成的共享密钥，则 H(e)MS可以直接将该共享密钥携带在配置参数中 发送 给 H(e)NB; 如果在发送配置参数之前， H(e)MS上还没有为 H(e)NB生成共 享密钥，则 H(e)MS需要在发送配置参数之前，先为 H(e)NB生成共享密钥， 再将该共享密钥携带在配置参数中发送给 H(e)NB。

本实施例中， 在 H(e)NB设置的共享密钥周期到期或者 H(e)NB的邻区 更新之后， 或者 H(e)NB向邻区 H(e)NB发起 IKE协商， 发现该 H(e)NB或 邻区 H(e)NB 没有可用的共享密钥之后， H(e)NB 可以通过专用消息向 H(e)MS请求更新共享密钥； 或者， 在 H(e)MS设置的共享密钥周期到期或 者该 H(e)MS发现 H(e)NB的邻区更新之后， 该 H(e)MS可以主动通过家庭 基站供应流程或者专用消息向 H(e)NB发送更新后的共享密钥。

图 5为本发明共享密钥更新方法一个实施例的流� �图， 如图 5所示， 该共享密钥更新方法可以包括：

步骤 501 , H(e)NB发现该 H(e)NB设置的共享密钥周期到期或者 H(e)NB 的邻区进行了更新， 或者 H(e)NB向该 H(e)NB的邻区 H(e)NB发起 IKE协 商， 发现该 H(e)NB或邻区 H(e)NB没有可用的共享密钥。

步骤 502, H(e)NB向 H(e)MS请求更新共享密钥。

步骤 503, H(e)MS为 H(e)NB与该 H(e)NB的邻区 H(e)NB生成更新后 的共享密钥。

步骤 504, H(e)MS通过家庭基站供应流程或者专用消息向 H(e)NB发 送更新后的共享密钥。

图 6为本发明共享密钥更新方法另一个实施例的� �程图， 如图 6所示， 该共享密钥更新方法可以包括：

步骤 601 , H(e)MS 发现该 H(e)MS 设置的共享密钥周期到期或者该 H(e)MS发现 H(e)NB的邻区进行了更新。

步骤 602, H(e)MS为 H(e)NB与该 H(e)NB的邻区 H(e)NB生成更新后 的共享密钥。

步骤 603, H(e)MS通过家庭基站供应流程或者专用消息向 H(e)NB发 送更新后的共享密钥。

上述实施例中， H(e)NB可以获得 H(e)MS为 H(e)NB与该 H(e)NB的邻 区 H(e)NB 生成的共享密钥， 进而 H(e)NB 可以通过上述共享密钥与该 H(e)NB的邻区 H(e)NB建立 IPsec隧道，从而可以保证 H(e)NB与该 H(e)NB 的邻区 H(e)NB之间直接接口的安全性。

图 7 为本发明安全隧道建立方法另一个实施例的流 程图， 本实施例以 第一基站为 HeNBl ,第二基站为 HeNB2,核心网设备为 MME或 HeNB GW 为例进行说明。

步骤 701 , HeNBl希望与 HeNB2建立直接接口时， HeNBl向 MME或 HeNB GW发送基站配置转发消息， 以请求对端 HeNB2的 IP地址。

本实施例中，为了在 HeNBl与 HeNB2之间协商一个共享密钥， HeNBl 还可以在基站配置转发消息中携带 DH组号和 DH值。 步骤 702, MME或 HeNB GW向 HeNB2发送移动性管理实体配置转 发消息， 该移动性管理实体配置转发消息携带 HeNBl 发送的 DH组号和 DH值。

步骤 703, HeNB2向 MME或 HeNB GW发送基站配置转发消息， 该 基站配置转发消息中携带 HeNB2的 IP地址， 以及 HeNB2选择的 DH组号 和 DH值。

步骤 704, MME或 HeNB GW向 HeNBl发送移动性管理实体配置转 发消息， 该移动性管理实体配置转发消息携带 HeNB2选择的 DH组号和 DH值， 以及 HeNB2的 IP地址。

步骤 705, HeNBl与 HeNB2根据 HeNB2选择的 DH组号和 DH值生 成共享密钥， 通过该共享密钥建立 IPSec隧道， 以保证 HNB1与 HNB2之 间直接接口的安全性。

上述实施例中， HeNBl与 HeNB2可以根据选择的 DH组号和 DH值生 成共享密钥， 进而可以通过该共享密钥建立 IPSec 隧道， 从而可以保证 HeNBl与 HeNB2之间直接接口的安全性。

图 8 为本发明安全隧道建立方法另一个实施例的流 程图， 本实施例以 第一基站为 HeNBl ,第二基站为 HeNB2,核心网设备为 MME或 HeNB GW 为例进行说明。

步骤 801 , HeNBl希望与 HeNB2建立直接接口时， HeNBl向 MME或 HeNB GW发送基站配置转发消息， 以请求对端 HeNB2的 IP地址。

步骤 802, MME或 HeNB GW确定该基站配置转发消息的源节点和 / 或目标节点是 HeNB之后， MME或 HeNB GW向 HeNB2发送移动性管理 实体配置转发消息， 该移动性管理实体配置转发消息携带可用于验 证 HeNB 1的证书的根证书。

具体地， MME或 HeNB GW可以通过基站配置转发消息中的源节点 标识和目的节点标识来确定该基站配置转发消 息的源节点和 /或目标节点是 HeNB。 本实施例中， 该基站配置转发消息的源节点为 HeNBl , 目标节点为 HeNB2 , 因此该基站配置转发消息的源节点和目标节点 均为 HeNB。

步骤 803, HeNB2向 MME或 HeNB GW发送基站配置转发消息， 该 基站配置转发消息中携带 HeNB2的 IP地址。

步骤 804, MME或 HeNB GW向 HeNBl发送移动性管理实体配置转 发消息， 该移动性管理实体配置转发消息携带可用于验 证 HeNB2证书的根 证书， 以及 HeNB2的 IP地址。

步骤 805, HeNBl与 HeNB2通过证书认证方式建立 IPSec隧道， 以保 证 HeNBl与 HeNB2之间直接接口的安全性。

上述实施例中， HeNBl与 HeNB2可以获得 MME或 HeNB GW发送的 可用于验证对端证书的根证书，这样， HeNBl与 HeNB2就可以通过证书认 证方式建立 IPsec隧道，从而可以保证 HeNBl与 HeNB2之间直接接口的安 全性。

本领域普通技术人员可以理解： 实现上述方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机 可读取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序 代码的介质。

图 9为本发明第一基站一个实施例的结构示意图� � 本实施例中的第一 基站可以实现本发明图 1所示实施例的流程。 如图 9所示， 该第一基站可 以包括：

获得模块 901 ,用于获得用于验证第二基站证书的根证书或� �第二基站 与第一基站之间的共享密钥； 具体地， 获得模块 901 可以接收核心网设备 发送的用于验证第二基站证书的根证书或者该 核心网设备为第二基站与第 一基站生成的共享密钥。

建立模块 902,用于通过上述共享密钥或者上述用于验证� �二基站证书 的根证书与第二基站建立 IP _sec 隧道，以保证第一基站与第二基站之间直 接 接口的安全性。

本实施例中， 当第一基站为家庭基站时， 第二基站可以为家庭基站或 宏基站； 或者， 当第一基站为宏基站时， 第二基站可以为家庭基站； 也就 是说， 第一基站和第二基站中至少有一个为家庭基站 即可。 其中， 宏基站 可以为 eNB或其他类型的宏基站； 家庭基站可以为 HeNB或 HNB, 本实施 例对此不作限定。

上述实施例中， 获得模块 901 可以获得用于验证第二基站证书的根证 书或第二基站与第一基站之间的共享密钥， 这样， 建立模块 902就可以通 过上述共享密钥或者上述用于验证第二基站证 书的根证书与第二基站建立 IPsec隧道， 从而可以保证第一基站与第二基站之间接口的 安全性。

图 10为本发明第一基站另一个实施例的结构示意� ��， 本实施例中的第 一基站可以实现本发明图 1和图 4所示实施例的流程， 与图 9所示的第一 基站相比，不同之处在于，图 10所示的第一基站还可以包括：接收模块 903; 或者， 接收模块 903和请求模块 904; 或者， 协商模块 905、 请求模块 904 和接收模块 903。

其中，接收模块 903，用于在核心网设备设置的共享密钥周期到 期之后， 接收该核心网设备发送的该核心网设备为第二 基站与第一基站生成的更新 后的共享密钥。

请求模块 904, 用于在第一基站设置的共享密钥周期到期之后 ， 向核心 网设备请求更新共享密钥； 这时， 接收模块 903还可以接收核心网设备发 送的该核心网设备根据第一基站的请求生成的 更新后的共享密钥。

协商模块 905 , 用于向第二基站发起 IKE协商； 这时， 请求模块 904 还可以在协商模块 905在发起因特网密钥交换协商时， 如果协商模块 905 发现第一基站或第二基站没有可用的共享密钥 ， 则向核心网设备请求更新 共享密钥； 接收模块 903 还可以接收核心网设备发送的该核心网设备根 据 第一基站的请求生成的更新后的共享密钥。

上述第一基站可以通过上述共享密钥或者用于 验证第二基站证书的根 证书与第二基站建立 IP _sec 隧道，从而可以保证第一基站与第二基站 之间接 口的安全生。

图 11为本发明第一基站另一个实施例的结构示意� ��， 本实施例中的第 一基站可以实现本发明图 1、 图 2、 图 7和图 8所示实施例的流程。 与图 10 所示的第一基站相比， 不同之处在于， 图 11所示的第一基站还可以包括： 发送模块 906,用于向移动性管理实体或家庭演进基站网� �发送基站配 置转发消息；

本实施例中， 获得模块 901 可以接收移动性管理实体或家庭演进基站 网关发送的移动性管理实体配置转发消息， 该移动性管理实体配置转发消 息中携带上述用于验证第二基站证书的根证书 ， 或者移动性管理实体或家 庭演进基站网关为第一基站和第二基站生成的 共享密钥。

其中， 该移动性管理实体配置转发消息是移动性管理 实体或家庭演进 基站网关接收到基站配置转发消息之后， 根据该基站配置转发消息中的源 节点标识和目的节点标识确定上述基站配置转 发消息的源节点和 /或目标节 点为家庭演进基站之后， 将用于验证第一基站证书的根证书， 或者移动性 管理实体或家庭演进基站网关为第一基站和第 二基站生成的共享密钥发送 给第二基站， 在接收到第二基站发送的基站配置转发消息之 后发送给第一 基站的。

本实施例中， 发送模块 906还可以向移动性管理实体或家庭演进基站 网关发送基站配置转发消息， 该基站配置转发消息携带第一基站的 DH组 号和 DH值， 以便移动性管理实体或家庭演进基站网关将第 一基站的 DH 组号和 DH值携带在第一移动性管理实体配置转发消息� ��发送给第二基站； 这时， 接收模块 903 还可以接收移动性管理实体或家庭演进基站网 关发送 的第二移动性管理实体配置转发消息， 该第二移动性管理实体配置转发消 息携带第二基站选择的 DH组号和 DH值，该第二移动性管理实体配置转发 消息是移动性管理实体或家庭演进基站网关接 收到第二基站发送的携带第 二基站选择的 DH组号和 DH值的基站配置转发消息之后发送给第一基站 的。

本实施例中， 获得模块 901 可以根据第二基站选择的 DH组号和 DH 值生成共享密钥。

上述第一基站可以通过共享密钥或者用于验证 第二基站证书的根证书 与第二基站建立 IPsec隧道，从而可以保证第一基站与第二基站� ��间接口的 安全性。

图 12为本发明第一基站另一个实施例的结构示意� ��， 本实施例中的第 一基站可以作为 HNB, 或者 HNB的一部分实现本发明图 1和图 3所示实 施例的流程。 与图 11 所示的第一基站相比， 不同之处在于， 本发明图 12 所示实施例的一种实现方式中， 第一基站还可以包括：

注册模块 907, 用于注册到家庭基站网关；

检测模块 908, 用于在注册模块 907注册到家庭基站网关之后，检测到 第二基站注册到上述家庭基站网关；

这时， 请求模块 904还可以向家庭基站网关请求第二基站的 IP地址； 获得模块 901 可以接收家庭基站网关发送的响应消息， 该响应消息携带第 二基站的 IP地址和家庭基站网关预先为第一基站与第二� ��站生成的共享密 钥。

本实施例的另一种实现方式中， 发送模块 906还可以向家庭基站网关 发送第一基站检测到的邻区家庭基站的信息， 该第一基站的邻区家庭基站 包括第二基站； 这时， 获得模块 901 可以接收家庭基站网关发送的该家庭 基站网关上可用的邻区家庭基站的信息， 以及该家庭基站网关为第一基站 与第一基站的邻区家庭基站生成的共享密钥。

上述第一基站可以通过共享密钥或者用于验证 第二基站证书的根证书 与第二基站建立 IPsec隧道，从而可以保证第一基站与第二基站� ��间接口的 安全性。

本领域技术人员可以理解附图只是一个优选实 施例的示意图， 附图中 的模块或流程并不一定是实施本发明所必须的 。

本领域技术人员可以理解实施例中的装置中的 模块可以按照实施例描 述进行分布于实施例的装置中， 也可以进行相应变化位于不同于本实施例 的一个或多个装置中。 上述实施例的模块可以合并为一个模块， 也可以进 一步拆分成多个子模块。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对 其限制； 尽管参照前述实施例对本发明进行了详细的说 明， 本领域的普通 技术人员应当理解： 其依然可以对前述各实施例所记载的技术方案 进行修 改， 或者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不 使相应技术方案的本质脱离本发明各实施例技 术方案的精神和范围。