WO2012088914A1 - 连接处理方法及系统 - Google Patents

Abstract

本发明公开了一种连接处理方法及系统，该方法包括：MME和/或S-GW与H(e)NB之间建立安全连接；MME和/或S-GW与H(e)NB之间的连接通过安全连接进行保护。本发明增加了H(e)NB系统数据传输机制的可靠性和安全性，解决了H(e)NB系统在安全方面的缺陷，提升了H(e)NB系统的安全性能。

Description

连接处理方法及系统 技术领域 本发明涉及通信领域， 具体而言， 涉及一种连接处理方法及系统。 背景技术 家庭基站 （Home NodeB , 简称为 ΗΝΒ ) 用来为处在家庭内的第三代 （3rd

Generation, 简称为 3G) 手机提供 3G的无线覆盖。 它被连接到已经存在的住宅宽带 服务。 它包含了一个标准的 Node B (3G宏无线接入网络的一个元素） 的功能和一个 标准的无线网络控制器 （Radio Network Controller, 简称为 RNC) 的无线资源管理功 能。 图 1是根据相关技术的 HNB系统结构的示意图， 如图 1所示， 第三代合作伙伴 计划 （3rd Generation Partnership Project, 简称为 3GPP) 用户设备和 HNB之间的界面 在全球移动通信系统无线接入网 （Universal Mobile Telecommunication System Radio Access Network, 简称为 UTRAN) 中是回程且相容的空中接口。 HNB通过一个安全 网关 （Security GateWay, 简称为 SeGW) 接入运营商的核心网， 其中 HNB和 SeGW 之间的宽带互联网协议 （Internet Protocol, 简称为 IP) 回程可能是不安全的。 在此回 程中传播的信息要被 HNB和 SeGW之间建立的安全通道保护。 SeGW代表运营商的 核心网和 HNB进行相互认证。 家庭基站网关 （HNB Gateway, 简称为 HNB GW) 和 SeGW是在运营商的核心网内逻辑上分离的实体， 用于非非公开授权用户组 （Closed Subscriber Group, 简称 CSG)的用户设备（User Equipment, 简称为 UE)的接入控制。 H(e)MS需要安全的通信。 图 2 是根据相关技术的 H(e) B 系统结构的示意图。 家庭 （演进） 基站 （Home (Evolved) NodeB, 简称为 H(e) B)和 HNB的区别就是它是连接 3GPP用户设备和 演进的陆地无线接入网 （Evolved UTRAN, 简称为 E-UTRAN) 的空中接口。 H(e)NB 网关（Home eNodeB Gateway, 简称为 H(e)NB GW)为选择性部署。 如果 H(e)NB GW 被部署，则 SeGW与 H(e) B GW可以结合在一起；如果它们未被结合在一起，则 SeGW 与 H(e)NB GW之间的接口可用 NDS/IP进行保护。

H(e) B包括 HNB和 H(e) B， 是 HNB和 H(e) B的统称。 针对 H(e) B的安全， 3GPP TR 33.820定义了 27种威胁。这 27种威胁被归纳为 7 大类。 他们分别是： 对 H(e) B资格证书的危害， 对 H(e) B的物理攻击， 对 H(e) B 的构造的攻击， 对 H(e) B的协议的攻击， 对核心网的攻击（包括基于 H(e) B位置的 攻击）， 对用户的数据和身份隐私的攻击以及对无线资源和管理的攻击。 图 3是根据相关技术的包含 H(e) B GW的 EUTRAN架构的示意图，如图 3所示， 在此架构中， MME禾 P/或 S-GW与 H(e)NBGW之间有 S1口来进行控制面和用户面数 据的传输， MME和 /或 S-GW与 H(e) B之间有 S1口来进行控制面和用户面数据的传 输， H(e) B GW与 H(e) B之间也有 S1来进行控制面和用户面数据的传输。 图 3中，现有安全规范对 MME和 /或 S-GW与 e B之间的 S1口进行了安全保护。 与 eNB不同， H(e) B处在一个更加容易受到攻击的环境， 也更容易被攻击， 但是相 关技术中，其与 MME和 /或 S-GW之间的 S1口并没有得到保护，从而不能保证 H(e) B 数据传输机制的可靠性与安全性。 发明内容 针对相关技术中 H(e) B与 MME和 /或 S-GW之间的 S1口并没有得到保护的问题 而提出本发明， 为此， 本发明的主要目的在于提供一种连接处理方法及系统， 以解决 上述问题。 为了实现上述目的， 根据本发明的一个方面， 提供了一种连接处理方法。 根据本发明的连接处理方法包括： MME和 /或 S-GW与 H(e) B之间建立安全连 接； MME和 /或 S-GW与 H(e)NB之间的连接通过安全连接进行保护。 MME和 /或 S-GW与 H(e) B建立安全连接包括： MME和 /或 S-GW与安全网关

SeGW建立安全连接； SeGW与 H(e)NB建立安全连接。

MME和 /或 S-GW与 SeGW建立安全连接包括： MME和 /或 S-GW与家庭（演进） 基站网关 H(e) B GW建立安全连接； H(e) B GW与 SeGW建立安全连接。

MME禾 P/或 S-GW与 H(e)NB GW建立的安全连接包括以下至少之一： IPsec隧道、 TLS隧道、 DS/IP。

H(e) B GW与 SeGW建立的安全连接包括以下之一： DS/IP、 H(e) B GW与 SeGW的结合。 当 MME和 /或 S-GW与 SeGW建立的安全连接不经过 H(e) B GW时， 上述方法 还包括： MME禾 P/或 S-GW与 H(e)NB GW建立安全连接； H(e)NB GW与 SeGW建立 安全连接。

MME和 /或 S-GW与 SeGW建立的不经过 H(e) B GW的安全连接包括以下至少 之一： IPsec隧道、 TLS隧道、 DS/IP。 在 SeGW与 H(e) B建立安全连接之后，上述方法还包括： SeGW与 H(e)NB进行 认证。 安全连接包括以下至少之一： 数据源认证、 机密性保护、 完整性保护、 防重放保 护。 为了实现上述目的， 根据本发明的另一个方面， 提供了一种连接处理系统。 根据本发明的连接处理系统包括 MME禾口 /或 S-GW与 H(e) B， 其中 MME禾口 /或 S-GW包括： 第一建立模块， 设置为与 H(e) B建立安全连接， 第一连接处理模块， 设 置为通过安全连接对 MME和 /或 S-GW与 H(e) B之间的连接进行保护； H(e) B包括 第二建立模块， 设置为与 MME和 /或 S-GW建立安全连接， 第二连接处理模块， 设置 为通过安全连接对 MME和 /或 S-GW与 H(e) B之间的连接进行保护。 本发明通过 H(e) B与 MME和 /或 S-GW建立安全连接， 并使用该安全连接进行 数据传输，解决了相关技术中 H(e) B与 MME和 /或 S-GW之间的 S1口并没有得到保 护的问题， 从而增加了 H(e) B系统数据传输机制的可靠性和安全性， 解决了 H(e) B 系统在安全方面的缺陷， 提升了 H(e) B系统的安全性能。 附图说明 此处所说明的附图用来提供对本发明的进一步理解， 构成本申请的一部分， 本发 明的示意性实施例及其说明用于解释本发明， 并不构成对本发明的不当限定。 在附图 中： 图 1是根据相关技术的 HNB系统结构的示意图； 图 2是根据相关技术的 H(e) B系统结构的示意图； 图 3是根据相关技术的包含 H(e) B GW的 EUTRAN架构的示意图； 图 4是根据本发明实施例的连接处理方法的流程图； 图 5是根据本发明优选实施例的连接处理方法的流程图； 图 6是根据本发明优选实施例一的连接处理方法的交互流程图； 图 7是根据本发明优选实施例二的连接处理方法的交互流程图； 图 8是根据本发明优选实施例三的连接处理方法的交互流程图； 图 9是根据本发明优选实施例四的连接处理方法的交互流程图； 图 10是根据本发明优选实施例五的连接处理方法的交互流程图； 图 11是根据本发明优选实施例六的连接处理方法的交互流程图； 图 12是根据本发明实施例的连接处理系统的结构框图。 具体实施方式 需要说明的是， 在不冲突的情况下， 本申请中的实施例及实施例中的特征可以相 互组合。 下面将参考附图并结合实施例来详细说明本发明。 本发明实施例提供了一种连接处理方法。 图 4是根据本发明实施例的连接处理方 法的流程图， 如图 4所示， 包括如下的至步骤 S404。 步骤 S402， MME禾口 /或 S-GW与 H(e)NB建立安全连接。 步骤 S404， MME和 /或 S-GW与 H(e)NB之间的连接通过安全连接进行保护。 相关技术中， H(e) B与 MME禾 P/或 S-GW之间的 S1口并没有得到保护， 从而不 能保证 H(e) B数据传输机制的可靠性与安全性。 本发明实施例中， 通过 H(e) B与 MME和 /或 S-GW建立安全连接， 并使用该安全连接进行连接处理， 增加了 H(e) B 系统数据传输机制的可靠性和安全性， 解决了 H(e) B系统在安全方面的缺陷， 提升 了 H(e) B系统的安全性能。 优选地， MME禾口 /或 S-GW与 H(e) B建立安全连接包括： MME禾口 /或 S-GW与 SeGW建立安全连接； SeGW与 H(e)NB建立安全连接。 优选地， MME和 /或 S-GW与 SeGW建立安全连接包括： MME和 /或 S-GW与家 庭（演进）基站网关 H(e)NB GW建立安全连接； H(e) B GW与 SeGW建立安全连接。 优选地， MME和 /或 S-GW与 H(e) B GW建立的安全连接包括以下至少之一 IPsec隧道、 TLS隧道、 DS/IP。 优选地， H(e)NB GW与 SeGW建立的安全连接包括以下之一： DS/IP、H(e) B GW 与 SeGW的结合。 优选地， 当 MME和 /或 S-GW与 SeGW建立的安全连接不经过 H(e) B GW时， 上述方法还包括： MME禾 P/或 S-GW与 H(e)NB GW建立安全连接； H(e)NB GW与 SeGW 建立安全连接。 优选地， MME和 /或 S-GW与 SeGW建立的不经过 H(e) B GW的安全连接包括 以下至少之一： IPsec隧道、 TLS隧道、 NDS/IP。 优选地，在 SeGW与 H(e) B建立安全连接之后，上述方法还包括： SeGW与 H(e) B 进行认证。 优选地， 安全连接包括以下至少之一： 数据源认证、 机密性保护、 完整性保护、 防重放保护。 优选地， H(e) B与 MME和 /或 S-GW之间的连接处理通过上述两个和 /或一个安 全连接来进行安全保护。 下面将结合实例对本发明实施例的实现过程进行详细描述。 图 5是根据本发明优选实施例的连接处理方法的流程图， 如图 5所示， 包括如下 的步骤 S502至步骤 S514。 步骤 S502， MME和 /或 S-GW与 He B GW之间建立 IPsec隧道和 /或 TLS隧道。 步骤 S504， HeNB GW与 SeGW之间建立安全连接， 此安全连接可为 DS/IP或

H(e) B GW与 SeGW结合。 步骤 S506，MME和 /或 S-GW与 SeGW之间建立安全连接，此安全连接可由 MME 和 /或 S-GW与 H(e) B GW之间的安全连接和 H(e) B GW与 SeGW之间的安全连接 组成， 或为另外一条 IPsec隧道和 /或 TLS隧道。 步骤 S508， HeNB与 SeGW之间进行相互认证并建立安全连接。 步骤 S510，判断 HeNB与 MME和 /或 S-GW之间的数据传输是否通过两个安全连 接来进行安全保护， 如果是， 则进行步骤 S512, 否则进行步骤 S514。 步骤 S512， HeNB与 MME和 /或 S-GW之间的数据传输分开保护， 即， 通过两个 安全连接来进行安全保护。 步骤 S514， HeNB与 MME和 /或 S-GW之间的数据传输经同一安全连接保护，即， 通过一个安全连接来进行安全保护。 需要说明的是，步骤 S512和步骤 S514中的安全保护可以为数据源认证和 /或机密 性保护和 /或完整性保护和 /或防重放保护， 并可以用于保护 H(e) B 与 MME 和 /或 S-GW之间的数据传输的安全连接均可为 IPsec隧道和 /或 TLS隧道。 图 6是根据本发明优选实施例一的连接处理方法的交互流程图， 如图 6所示， 包 括如下的步骤 S602至步骤 S612。 步骤 S602，MME和 /或 S-GW与 H(e)NB GW之间建立 IPsec隧道和 /或 TLS隧道。 步骤 S604， H(e) B GW与 SeGW之间建立安全连接， 此安全连接可为 DS/IP 或 ΗΟ)ΝΒ GW与 SeGW结合。 步骤 S606， MME和 /或 S-GW与 SeGW之间建立安全连接， 此安全连接为另外一 条 IPsec隧道和 /或 TLS隧道， 此安全连接不经过 H(e) B GW。 步骤 S608， H(e) B与 SeGW之间进行相互认证并建立安全连接。 步骤 S610， H(e) B与 MME禾 P/或 S-GW之间的控制面数据传输通过经由 H(e)NB

GW的安全连接进行保护。 步骤 S612， H(e) B 与 MME 和 /或 S-GW 之间的用户面数据传输通过不经过

H(e) B GW的安全连接进行保护。 需要说明的是，步骤 S610和步骤 S612中的安全保护可为数据源认证和 /或机密性 保护和 /或完整性保护和 /或防重放保护。用于保护 H(e) B与 MME和 /或 S-GW之间的 数据传输的安全连接可为 IPsec隧道和 /或 TLS隧道。 图 7是根据本发明优选实施例二的连接处理方法的交互流程图， 如图 7所示， 包 括如下的步骤 S702至步骤 S712。 步骤 S702，MME和 /或 S-GW与 H(e)NB GW之间建立 IPsec隧道和 /或 TLS隧道。 步骤 S704， H(e) B GW与 SeGW之间建立安全连接， 此安全连接可为 DS/IP 或 ΗΟ)ΝΒ GW与 SeGW结合。 步骤 S706， MME和 /或 S-GW与 SeGW之间建立安全连接， 此安全连接为另外一 条 IPsec隧道和 /或 TLS隧道， 此安全连接不经过 H(e) B GW。 步骤 S708， H(e) B与 SeGW之间进行相互认证并建立安全连接。 步骤 S710， H(e) B与 MME禾 P/或 S-GW之间的控制面数据传输通过经由 H(e)NB

GW的安全连接进行保护。 步骤 S712， H(e) B与 MME和 /或 S-GW之间的控制面数据和用户面数据传输通 过不经过 H(e) B GW的安全连接进行保护。 需要说明的是，步骤 S710和步骤 S712中的安全保护可为数据源认证和 /或机密性 保护和 /或完整性保护和 /或防重放保护。用于保护 H(e) B与 MME和 /或 S-GW之间的 数据传输的安全连接可为 IPsec隧道和 /或 TLS隧道。 图 8是根据本发明优选实施例三的连接处理方法的交互流程图， 如图 8所示， 包 括如下的步骤 S802至步骤 S812。 步骤 S802，MME和 /或 S-GW与 H(e)NB GW之间建立 IPsec隧道和 /或 TLS隧道。 步骤 S804， H(e) B GW与 SeGW之间建立安全连接， 此安全连接可为 DS/IP 或 ΗΟ)ΝΒ GW与 SeGW结合。 步骤 S806， MME和 /或 S-GW与 SeGW之间建立安全连接， 此安全连接为另外一 条 IPsec隧道和 /或 TLS隧道， 此安全连接不经过 H(e) B GW。 步骤 S808， H(e) B与 SeGW之间进行相互认证并建立安全连接。 步骤 S810， H(e) B与 MME和 /或 S-GW之间的控制面数据和用户面数据传输通 过经由 H(e) B GW的安全连接进行保护。 步骤 S812， H(e) B 与 MME 和 /或 S-GW 之间的用户面数据传输通过不经过 H(e) B GW的安全连接进行保护。 需要说明的是，步骤 S810和步骤 S812中的安全保护可为数据源认证和 /或机密性 保护和 /或完整性保护和 /或防重放保护。用于保护 H(e) B与 MME和 /或 S-GW之间的 数据传输的安全连接可为 IPsec隧道和 /或 TLS隧道。 图 9是根据本发明优选实施例四的连接处理方法的交互流程图， 如图 9所示， 包 括如下的步骤 S902至步骤 S912。 步骤 S902，MME和 /或 S-GW与 H(e)NB GW之间建立 IPsec隧道和 /或 TLS隧道。 步骤 S904， H(e) B GW与 SeGW之间建立安全连接， 此安全连接可为 DS/IP 或 ΗΟ)ΝΒ GW与 SeGW结合。 步骤 S906， MME和 /或 S-GW与 SeGW之间建立安全连接， 此安全连接为另外一 条 IPsec隧道和 /或 TLS隧道， 此安全连接不经过 H(e) B GW。 步骤 S908， H(e) B与 SeGW之间进行相互认证并建立安全连接。 步骤 S910， H(e) B与 MME和 /或 S-GW之间的控制面和用户面数据传输通过经 由 H(e) B GW的安全连接进行保护。 步骤 S912， H(e) B与 MME和 /或 S-GW之间的控制面和用户面数据传输通过不 经过 H(e) B GW的安全连接进行保护。 需要说明的是，步骤 S910和步骤 S912中的安全保护可为数据源认证和 /或机密性 保护和 /或完整性保护和 /或防重放保护。用于保护 H(e) B与 MME和 /或 S-GW之间的 数据传输的安全连接可为 IPsec隧道和 /或 TLS隧道。 图 10是根据本发明优选实施例五的连接处理方法的交互流程图， 如图 10所示， 包括如下的步骤 S1002至步骤 S1010。 步骤 S1002, MME禾 P/或 S-GW与 H(e)NB GW之间建立 IPsec隧道和 /或 TLS隧 道。 步骤 S1004, H(e) B GW与 SeGW之间建立安全连接， 此安全连接可为 DS/IP 或 ΗΟ)ΝΒ GW与 SeGW结合。 步骤 81006，^1£和/或 S-GW与 SeGW之间建立安全连接，此安全连接可由 MME 和 /或 S-GW与 H(e) B GW之间的安全连接和 H(e) B GW与 SeGW之间的安全连接 组成。 步骤 S1008, H(e) B与 SeGW之间进行相互认证并建立安全连接。 步骤 S 1010， H(e) B与 MME和 /或 S-GW之间的用户面和 /或控制面数据传输通 过逐跳的安全连接来进行安全保护。 需要说明的是， 步骤 S1010 中的安全保护可为数据源认证和 /或机密性保护和 /或 完整性保护和 /或防重放保护。用于保护 H(e) B与 MME和 /或 S-GW之间的数据传输 的安全连接均可为 IPsec隧道和 /或 TLS隧道。 图 11是根据本发明优选实施例六的连接处理方法的交互流程图， 如图 11所示， 包括如下的步骤 S1102至步骤 S1112。 步骤 S1102, MME禾 P/或 S-GW与 H(e)NB GW之间建立 IPsec隧道和 /或 TLS隧 道。 步骤 S1104, H(e) B GW与 SeGW之间建立安全连接， 此安全连接可为 DS/IP 或 ΗΟ)ΝΒ GW与 SeGW结合。 步骤 81106，^1£和/或 S-GW与 SeGW之间建立安全连接，此安全连接可由 MME 和 /或 S-GW与 H(e) B GW之间的安全连接和 H(e) B GW与 SeGW之间的安全连接 组成。 步骤 S1108, H(e) B与 SeGW之间进行相互认证并建立安全连接。 步骤 S1110, H(e) B与 MME和 /或 S-GW之间的控制面数据传输通过逐跳的安全 连接来进行安全保护。 步骤 S1112,此安全保护可为数据源认证和 /或机密性保护和 /或完整性保护和 /或防 重放保护。

H(e) B与 MME和 /或 S-GW之间的用户面数据传输通过逐跳的安全连接来进行 安全保护。 此安全保护可为数据源认证和 /或机密性保护和 /或防重放保护。 用于保护 H(e) B与 MME和 /或 S-GW之间的数据传输的安全连接均可为 IPsec隧道和 /或 TLS 隧道。 需要说明的是， 在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的 计算机系统中执行， 并且， 虽然在流程图中示出了逻辑顺序， 但是在某些情况下， 可 以以不同于此处的顺序执行所示出或描述的步骤。 本发明实施例提供了一种连接处理系统， 该连接处理系统可以用于实现上述连接 处理方法。 图 12是根据本发明实施例的连接处理系统的结构框图， 如图 12所示， 包 括 MME和 /或 S-GW 122与 H(e) B 124， 其中 MME和 /或 S-GW 122包括第一建立模 块 1222和第一连接处理模块 1224， H(e) B 124包括第二建立模块 1242和第二连接处 理模块 1244。 下面对其进行详细描述。 第一建立模块 1222，设置为与 H(e) B 124建立安全连接，第一连接处理模块 1224， 连接至第一建立模块 1222， 设置为通过第一建立模块 1222建立的安全连接对 MME 禾口 /或 S-GW 122与 H(e) B 124之间的连接进行保护。 第二建立模块 1242， 设置为与 MME和 /或 S-GW 122建立安全连接， 第二连接处 理模块 1244， 连接至第二建立模块 1242， 设置为通过第二建立模块 1242建立的安全 连接对 MME禾 P/或 S-GW 122与 H(e)NB 124之间的连接进行保护。 具体地， 第二建立模块 1242， 设置为与 MME和 /或 S-GW 122中的第一建立模块 1222建立安全连接， 第二连接处理模块 1244， 连接至第二建立模块 1242， 设置为通 过第二建立模块 1242建立的安全连接对 MME和 /或 S-GW 122中的第一连接处理模块 1224与第二连接处理模块 1244之间的连接进行保护。 需要说明的是， 装置实施例中描述的连接处理系统对应于上述的方法实施例， 其 具体的实现过程在方法实施例中已经进行过详细说明， 在此不再赘述。 综上所述， 根据本发明的上述实施例， 提供了一种连接处理方法及系统。 通过 H(e) B与 MME和 /或 S-GW建立安全连接， 并使用该安全连接进行连接处理， 解决 了相关技术中 H(e)NB与 MME禾 P/或 S-GW之间的 S1口并没有得到保护的问题，从而 增加了 H(e) B系统数据传输机制的可靠性和安全性，解决了 H(e) B系统在安全方面 的缺陷， 提升了 H(e) B系统的安全性能。 显然， 本领域的技术人员应该明白， 上述的本发明的各模块或各步骤可以用通用 的计算装置来实现， 它们可以集中在单个的计算装置上， 或者分布在多个计算装置所 组成的网络上， 可选地， 它们可以用计算装置可执行的程序代码来实现， 从而， 可以 将它们存储在存储装置中由计算装置来执行， 或者将它们分别制作成各个集成电路模 块， 或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。 这样， 本发明 不限制于任何特定的硬件和软件结合。 工业实用性 本发明技术方案具备工业实用性， 通过 H(e)NB与 MME和 /或 S-GW建立安全连 接，并使用该安全连接进行连接处理，解决了相关技术中 H(e) B与 MME和 /或 S-GW 之间的 S1口并没有得到保护的问题， 从而增加了 H(e) B系统数据传输机制的可靠性 和安全性， 解决了 H(e) B系统在安全方面的缺陷， 提升了 H(e) B系统的安全性能。 以上所述仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本领域的技 术人员来说， 本发明可以有各种更改和变化。 凡在本发明的精神和原则之内， 所作的 任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。

Claims

权 利 要 求 书

1. 一种连接处理方法， 包括：

移动性管理实体 MME和 /或服务网关 S-GW与家庭 （演进） 基站 H(e) B 之间建立安全连接；

所述 MME和 /或 S-GW与所述 H(e) B之间的连接通过所述安全连接进行 保护。

2. 根据权利要求 1所述的方法， 其中， 所述 MME和 /或 S-GW与所述 H(e) B建 立安全连接包括：

所述 MME和 /或 S-GW与安全网关 SeGW建立所述安全连接； 所述 SeGW与所述 H(e) B建立所述安全连接。

3. 根据权利要求 2所述的方法， 其中， 所述 MME和 /或 S-GW与所述 SeGW建立 所述安全连接包括：

所述 MME和 /或 S-GW与家庭 （演进） 基站网关 H(e)NB GW建立所述安 全连接；

所述 H(e) B GW与所述 SeGW建立所述安全连接。

4. 根据权利要求 3所述的方法，其中，所述 MME和 /或 S-GW与所述 H(e) B GW 建立的所述安全连接包括以下至少之一：

IPsec隧道、 TLS隧道、 DS/IP。

5. 根据权利要求 3所述的方法， 其中， 所述 H(e) B GW与所述 SeGW建立的所 述安全连接包括以下之一：

NDS/IP、 所述 HCe)NB GW与所述 SeGW的结合。

6. 根据权利要求 2所述的方法， 其中， 当所述 MME和 /或 S-GW与所述 SeGW建 立的所述安全连接不经过所述 H(e) B GW时， 所述方法还包括：

所述 MME和 /或 S-GW与所述 H(e) B GW建立所述安全连接； 所述 H(e) B GW与所述 SeGW建立所述安全连接。 根据权利要求 6所述的方法， 其中， 所述 MME和 /或 S-GW与所述 SeGW建立 的不经过所述 H(e) B GW的所述安全连接包括以下至少之一：

IPsec隧道、 TLS隧道、 DS/IP。 根据权利要求 2所述的方法， 其中， 在所述 SeGW与所述 H(e) B建立所述安 全连接之后， 所述方法还包括：

所述 SeGW与所述 Η(» Β进行认证。 根据权利要求 1至 8中任一项所述的方法， 其中， 所述安全连接包括以下至少 之一：

数据源认证、 机密性保护、 完整性保护、 防重放保护。 一种连接处理系统，包括移动性管理实体 MME和 /或服务网关 S-GW与家庭 (演 进） 基站 H(e) B， 其中

所述 MME和 /或 S-GW包括：

第一建立模块， 设置为与所述 H(e) B建立安全连接，

第一连接处理模块， 设置为通过所述安全连接对所述 MME 和 /或 S-GW与所述 H(e) B之间的连接进行保护；

所述 HCe) B包括：

第二建立模块， 设置为与所述 MME和 /或 S-GW建立安全连接， 第二连接处理模块， 设置为通过所述安全连接对所述 MME 和 /或 S-GW与所述 H(e) B之间的连接进行保护。