CN101064921B - 一种用户设备与网络侧实现加密协商的方法 - Google Patents
一种用户设备与网络侧实现加密协商的方法 Download PDFInfo
- Publication number
- CN101064921B CN101064921B CN 200610060555 CN200610060555A CN101064921B CN 101064921 B CN101064921 B CN 101064921B CN 200610060555 CN200610060555 CN 200610060555 CN 200610060555 A CN200610060555 A CN 200610060555A CN 101064921 B CN101064921 B CN 101064921B
- Authority
- CN
- China
- Prior art keywords
- network side
- network
- subscriber equipment
- user
- mme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明适用于移动通信领域,提供了一种用户设备与网络侧实现加密协商的方法,当用户设备注册到网络时,用户设备与网络侧协商信令面加密算法,当用户设备和网络侧建立承载时,用户设备与网络侧协商数据面加密算法。在本发明中,数据面和信令面的加密协商分开处理,能够保证MME/UPE分离后UE和核心网之间的加密能够正常处理,易于操作和实施。
Description
技术领域
本发明属于移动通信领域,尤其涉及用户设备与网络侧实现数据加密的方法。
背景技术
第三代伙伴组织计划(Third Generation Partnership Projects,3GPP)为了增强未来网络的竞争能力,正在研究一种全新的演进网络架构,包括系统架构演进(System Architecture Evolution,SAE)和接入网的长期演进(Long TermEvolution,LTE),演进的接入网称为E-UTRAN(Evolved Universal TerrestrilRadio Access Network)。图1示出了演进的分组核心网络的一种网络架构,包括移动性管理实体(Mobility Management Entity,MME)、用户面实体(User PlaneEntity,UPE)以及不同接入系统之间的用户面锚点(Inter Access System Anchor,Inter AS Anchor)三个逻辑功能实体。其中,MME负责控制面的移动性管理,包括用户上下文和移动状态管理,分配用户临时身份标识等,对应于当前通用分组无线业务(General Packet Radio Service,GPRS)/通用移动通信系统(Universal Mobile Telecommunications System,UMTS)内部服务GPRS支持节点(Serving GPRS Supporting Node,SGSN)的控制平面部分;UPE负责空闲状态下为下行数据发起寻呼,管理保存网络协议(Internet Protocol,IP)承载参数和网络内路由信息等,对应于当前GPRS/UMTS系统内部SGSN以及网关GPRS支持节点(Gateway GPRS Supporting Node,GGSN)的数据平面部分;Inter AS Anchor则充当不同接入系统间的用户面锚点。策略和计费规则功能实体(Policy and Charging Rule Function,PCRF)用于策略控制决定和流计费控制功能。归属用户服务器(Home Subscriber Server,HSS)用于存储用户签约信息。各网络实体之间通过相应的接口连接。
当用户接入网络时,用户设备(User Equipment,UE)通过附着接入到MME,MME为其建立移动性管理(Mobility Management,MM)上下文,然后用户通过激活请求,在用户与UPE/Inter AS Anchor之间建立数据承载,从而进行数据业务。
图2示出了现有协议中规定的用户附着的实现流程,详述如下:
1.UE选择接入系统和网络(Network Discovery and Access SystemSelection);
2.UE发送附着请求消息(Attach Request)到MME;
3.如果附着请求消息中携带旧侧MME的注册信息,则MME发送原注册信息消息(Send old registration information)到旧侧MME获取用户的信息;
4.旧侧MME向MME发送用户信息(Send user information);
5.MME对UE进行鉴权(Authentication);
6.MME注册到HSS中(Register MME/UPE);
7.旧侧MME删除用户的信息(Delete UE registration information);
8.HSS证实MME的注册(Confirm Registration);
9.MME选择一个UPE/Inter AS Anchor(Selection ofIntersystem MobilityAnchor GW);
10.UPE/Inter AS Anchor使用UE的分配IP地址进行IP层配置,UE和InterAS Anchor间的用户平面被建立,缺省的计费和策略规则被使用(User PlaneRoute Configuration);
11.MME和演进的无线接入网络(Evolved Radio Access Network,EvolvedRAN)之间配置缺省的IP接入承载所使用的业务质量(Quality of Service,QoS)(Configure IP Bearer QoS);
12.MME向UE发送附着接受消息(Attach Accept),并分配UE的临时标识;
13.UE确认附着成功(Attach Confirm)。
图3示出了现有协议中规定的用户激活的实现流程,详述如下:
1.UE发送激活请求消息到MME;
2.MME选择一个UPE/Inter AS Anchor(Selection of UPE/IntersystemMobility Anchor GW);
3.UPE/Inter AS Anchor使用UE的分配IP地址进行IP层配置,UE和UPE/Inter AS Anchor间的用户平面被建立(User Plane Route Configuration);
4.MME和Evolved RAN之间配置IP接入承载所使用的QoS(Configure IPBearer QoS);
5.MME向UE发送激活接受的消息。
为了保证空口数据的安全,在UE和网络侧之间传输的消息需进行加密处理。目前,在GPRS系统中消息的加密处理在UE和SGSN之间进行,在UMTS系统中消息的加密处理在UE和无线网络控制器(Radio Network Controller,RNC)之间进行。对GPRS和UMTS系统,信令加密和数据加密处理都在网络侧的同一个实体上。对于演进网络,现有协议中规定网络接入服务器(NetworkAccess Server,NAS)信令的加密处理在UE和逻辑功能实体MME中进行,数据面的加密处理在UE和逻辑功能实体UPE之间进行。通过将信令面和数据面加密在演进分组核心网中的不同逻辑功能实体上进行处理,可以解决MME和UPE网元中加密不一致的问题。现有演进网络中只是规定了演进网络中加密处理的原则,没有规定信令面和数据面加密分开处理后的加密处理机制的详细实现方案,缺乏可实施性和可操作性。
发明内容
本发明的目的在于提供一种用户设备与网络侧实现加密协商的方法,旨在解决现有技术中信令面和数据面加密分开处理时缺乏可实施性和可操作性的问题。
本发明是这样实现的,一种用户设备与网络侧实现加密协商的方法,当用户设备注册到网络时,用户设备与网络侧第一网元移动性管理实体MME协商信令面加密算法,当用户设备和网络侧建立承载时,用户设备与网络侧第二网元用户面实体UPE协商数据面加密算法;
所述用户设备与网络侧协商信令面加密算法的步骤包括:
S1.用户设备发起注册,在发给所述网络侧第一网元MME的附着请求消息携带用户的加密信息;
S2.所述网络侧第一网元MME根据所述用户的加密信息协商信令面加密算法,并将所述信令面加密算法下发给用户设备;
所述用户设备与网络侧协商数据面加密算法的步骤包括:
T1.所述网络侧第一网元MME在发给所述网络侧第二网元UPE的承载建立请求消息携带用户的加密信息;
T2.所述网络侧第二网元UPE根据所述用户的加密信息协商数据面加密算法,并将所述数据面加密算法下发给用户设备。
在本发明中,数据面和信令面的加密协商分开处理,能够保证MME/UPE分离后UE和核心网之间的加密能够正常处理,易于操作和实施。
附图说明
图1是现有技术中演进的分组核心网络的网络架构图;
图2是现有协议中规定的用户附着的实现流程图;
图3是现有协议中规定的用户激活的实现流程图;
图4是本发明提供的用户附着的实现流程图;
图5是本发明提供的用户激活的实现流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明中,信令面加密协商和数据面加密协商分开处理,在用户注册到网络侧时,UE和网络侧第一网元,如演进网络的MME之间进行信令面加密协商,在UE和网络侧之间建立承载时,UE与网络侧第二网元,如演进网络的UPE之间进行数据面加密协商。
图4示出了本发明提供的用户附着的实现流程,为了便于描述,仅示出了与本发明相关的部分:
1.UE选择接入系统和网络(Network Discovery and Access SystemSelection);
2.UE发送附着请求消息(Attach Request)到MME,请求消息中携带用户的加密信息,如UE支持的加密算法,以用户的加密信息携带在附着请求消息的MS network capability信元中为例,其示例结构如下所示:
3.如果附着请求消息中携带旧侧MME的注册信息,则MME发送原注册信息消息(Send old registration information)到旧侧MME获取用户的信息;
4.旧侧MME向MME发送用户信息(Send user information);
5.MME对UE进行鉴权(Authentication),在鉴权过程中,UE和MME之间协商信令面加密算法,用于后续UE和MME之间的信令加密:
(1)MME向UE发送鉴权请求,鉴权请求中携带有MME根据用户的加密信息所协商的信令面加密算法,携带信令面加密算法的鉴权请求消息的示例结构如下所示:
(2)UE保存鉴权请求中携带的MME协商的加密算法,向MME返回鉴权响应。
6.MME注册到HSS中(Register MME/UPE);
7.旧侧MME删除用户的信息(Delete UE registration information);
8.HSS证实MME的注册(Confirm Registration);
9.MME选择一个UPE/Inter AS Anchor(Selection of Intersystem MobilityAnchor GW);
10.UPE/Inter AS Anchor使用UE的分配IP地址进行IP层配置,UE和InterAS Anchor间的用户平面被建立,缺省的计费和策略规则被使用(User PlaneRoute Configuration),包括:
(1)MME发送承载建立请求消息到UPE/Inter AS Anchor,消息中携带用户的加密信息,如UE支持的加密算法。以用户的加密信息携带在承载建立请求消息的MS network capability信元中为例,其示例结构如下所示:
B、UPE向UE发送鉴权请求,鉴权请求中携带有UPE根据用户的加密信息所协商的数据面加密算法,携带数据面加密算法的鉴权请求消息的示例结构如下所示:
C、UE保存鉴权请求中携带的UPE协商的数据面加密算法,向UPE返回鉴权响应。
11.MME和演进的RAN网络之间配置缺省的IP接入承载所使用的QoS(Configure IP Bearer QoS);
12.MME向UE发送附着接受消息(Attach Accept),并分配UE的临时标识;
13.UE确认附着成功(Attach Confirm)。
图5示出了本发明提供的用户激活的实现流程,为了便于描述,仅示出了与本发明相关的部分:
1.UE发送激活请求消息到MME;
2.MME选择一个UPE/Inter AS Anchor(Selection of UPE/IntersystemMobility Anchor GW);
3.UPE/Inter AS Anchor使用UE的分配IP地址进行IP层配置,UE和UPE/Inter AS Anchor间的用户平面被建立(User Plane Route Configuration):
(1)MME发送承载建立请求消息到UPE/Inter AS Anchor,消息中携带用户的加密信息,如UE支持的加密算法。以用户的加密信息携带在承载建立请求消息的MS network capability信元中为例,其示例结构如下所示:
(2)UPE向UE发送鉴权请求,鉴权请求中携带有UPE根据UE支持的加密算法所协商的信令面加密算法,携带信令面加密算法的鉴权请求消息的示例结构如下所示:
(3)UE保存UPE协商的数据面加密算法,向UPE返回鉴权响应,后续UE和UPE之间的数据加密就使用该协商的加密算法。
4.MME和演进的RAN网络之间配置IP接入承载所使用的QoS(ConfigureIP Bearer QoS);
5.MME向UE发送激活接受的消息。
需要说明的是,本发明提供上述的流程与实际采用的流程可能会有差别,这种差别不应视为是对本发明的限制。另外,本发明以演进网络为例对数据面和信令面的加密协商分开处理的具体实现进行了描述,当然也可以应用到其他网络。同时,为了更清楚的描述本发明,本发明在演进网络架构中假定MME为一个实体,UPE和Inter AS Anchor为一个实体,但不限制其它的网络架构,例如MME/UPE/Inter AS Anchor可以都为独立的实体。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种用户设备与网络侧实现加密协商的方法,其特征在于,当用户设备注册到网络时,用户设备与网络侧第一网元移动性管理实体MME协商信令面加密算法,当用户设备和网络侧建立承载时,用户设备与网络侧第二网元用户面实体UPE协商数据面加密算法;
所述用户设备与网络侧协商信令面加密算法的步骤包括:
S1.用户设备发起注册,在发给所述网络侧第一网元MME的附着请求消息携带用户的加密信息;
S2.所述网络侧第一网元MME根据所述用户的加密信息协商信令面加密算法,并将所述信令面加密算法下发给用户设备;
所述用户设备与网络侧协商数据面加密算法的步骤包括:
T1.所述网络侧第一网元MME在发给所述网络侧第二网元UPE的承载建立请求消息携带用户的加密信息;
T2.所述网络侧第二网元UPE根据所述用户的加密信息协商数据面加密算法,并将所述数据面加密算法下发给用户设备。
2.如权利要求1所述的方法,其特征在于,所述信令面加密算法信息携带在所述网络侧第一网元MME向用户设备发送的鉴权请求消息中。
3.如权利要求2所述的方法,其特征在于,所述数据面加密算法信息携带在所述网络侧第二网元UPE向用户设备发送的鉴权请求消息中。
4.如权利要求1所述的方法,其特征在于,所述用户的加密信息包括用户设备支持的加密算法信息。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200610060555 CN101064921B (zh) | 2006-04-30 | 2006-04-30 | 一种用户设备与网络侧实现加密协商的方法 |
PCT/CN2007/001254 WO2007124671A1 (fr) | 2006-04-30 | 2007-04-17 | Procédé, dispositif et système de négociation de l'algorithme de chiffrement entre l'équipement d'utilisateur et le réseau |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200610060555 CN101064921B (zh) | 2006-04-30 | 2006-04-30 | 一种用户设备与网络侧实现加密协商的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101064921A CN101064921A (zh) | 2007-10-31 |
CN101064921B true CN101064921B (zh) | 2011-12-21 |
Family
ID=38655063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200610060555 Expired - Fee Related CN101064921B (zh) | 2006-04-30 | 2006-04-30 | 一种用户设备与网络侧实现加密协商的方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101064921B (zh) |
WO (1) | WO2007124671A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101494538B (zh) * | 2008-01-23 | 2014-04-02 | 华为技术有限公司 | 一种数据传输控制方法及通讯系统以及加密控制网元 |
CN102780558A (zh) * | 2012-04-28 | 2012-11-14 | 华为终端有限公司 | 数据加密、传输方法、算法分配方法、设备和系统 |
WO2018201506A1 (zh) | 2017-05-05 | 2018-11-08 | 华为技术有限公司 | 一种通信方法及相关装置 |
CN109699049B (zh) * | 2017-10-24 | 2022-03-08 | 成都鼎桥通信技术有限公司 | 用户面协议栈类型的确定方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1491002A (zh) * | 2002-10-15 | 2004-04-21 | 宽联(上海)通信软件有限公司 | Ip视频终端设备与信令网的交互 |
US6975729B1 (en) * | 2000-08-15 | 2005-12-13 | Sun Microsystems, Inc. | Method and apparatus for facilitating use of a pre-shared secret key with identity hiding |
CN1722689A (zh) * | 2005-06-21 | 2006-01-18 | 中兴通讯股份有限公司 | 一种ip多媒体子系统接入安全的保护方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1191696C (zh) * | 2002-11-06 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 一种无线局域网移动设备安全接入及数据保密通信的方法 |
US7546357B2 (en) * | 2004-01-07 | 2009-06-09 | Microsoft Corporation | Configuring network settings using portable storage media |
US7591012B2 (en) * | 2004-03-02 | 2009-09-15 | Microsoft Corporation | Dynamic negotiation of encryption protocols |
-
2006
- 2006-04-30 CN CN 200610060555 patent/CN101064921B/zh not_active Expired - Fee Related
-
2007
- 2007-04-17 WO PCT/CN2007/001254 patent/WO2007124671A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6975729B1 (en) * | 2000-08-15 | 2005-12-13 | Sun Microsystems, Inc. | Method and apparatus for facilitating use of a pre-shared secret key with identity hiding |
CN1491002A (zh) * | 2002-10-15 | 2004-04-21 | 宽联(上海)通信软件有限公司 | Ip视频终端设备与信令网的交互 |
CN1722689A (zh) * | 2005-06-21 | 2006-01-18 | 中兴通讯股份有限公司 | 一种ip多媒体子系统接入安全的保护方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2007124671A1 (fr) | 2007-11-08 |
CN101064921A (zh) | 2007-10-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11956856B2 (en) | Network slice isolation information for session management function discovery | |
US11102828B2 (en) | User plane function selection for isolated network slice | |
US10660016B2 (en) | Location based coexistence rules for network slices in a telecommunication network | |
US11832341B2 (en) | Group communication service request | |
US11690130B2 (en) | Network initiated release assistance information | |
US10834668B2 (en) | AMF selection for isolated network slice | |
US20240040664A1 (en) | Group Communication Session Inactivity Notification | |
CN101090559B (zh) | 一种网络侧用户面实体选择方法 | |
US20230379830A1 (en) | Base station handling of transitioning wireless device to inactive state | |
CN101072092B (zh) | 一种实现控制面和用户面密钥同步的方法 | |
WO2008101392A1 (fr) | Procédé de transmission de qualité de service lors de transfert entre systèmes et système de réseau et réseau de destination correspondants | |
WO2018099291A1 (zh) | 数据传输方法、装置及系统、存储介质 | |
WO2021247725A1 (en) | Network slice specific authentication and authorization | |
CN101730073B (zh) | 一种获取用户签约数据的方法及系统 | |
CN101730193B (zh) | 一种选择网关节点的方法及系统 | |
CN101577970B (zh) | 一种无线资源释放的方法 | |
WO2013104248A1 (zh) | 一种本地访问连接的处理方法和装置 | |
CN101064921B (zh) | 一种用户设备与网络侧实现加密协商的方法 | |
EP3729907A1 (en) | Tunnel filtering system and method | |
CN102378399B (zh) | 用户设备接入方法、装置及系统 | |
CN101729383B (zh) | 跨接入网关切换时建立业务流映射的控制方法、目标接入网关 | |
CN101296171A (zh) | 一种建立承载的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111221 Termination date: 20120430 |