CN101072092B - 一种实现控制面和用户面密钥同步的方法 - Google Patents
一种实现控制面和用户面密钥同步的方法 Download PDFInfo
- Publication number
- CN101072092B CN101072092B CN 200610060692 CN200610060692A CN101072092B CN 101072092 B CN101072092 B CN 101072092B CN 200610060692 CN200610060692 CN 200610060692 CN 200610060692 A CN200610060692 A CN 200610060692A CN 101072092 B CN101072092 B CN 101072092B
- Authority
- CN
- China
- Prior art keywords
- user
- chain
- command
- face
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明适用于移动通信领域,提供了一种实现控制面和用户面密钥同步的方法,所述方法包括:控制面实体与用户设备协商同步控制面和用户面密钥;在建立用户面承载时,控制面实体向用户面实体通知与用户设备协商同步的用户面密钥。本发明通过用户面密钥和控制面密钥的同步切换,保证了演进移动通信网络中控制面和用户面实体物理分离架构下控制面和用户面加密密钥和完整性密钥的一致性。
Description
技术领域
本发明属于移动通信领域,尤其涉及控制面实体和用户面实体分离时的安全处理方法。
背景技术
为了保证10年以至更久的时间内第三代伙伴项目(Third GenerationPartnership Project,3GPP)系统的竞争力,一个接入技术演进的工作正在3GPP组织内部进行。特别是为了加强3GPP系统处理快速增长的网际协议(InternetProtocol,IP)数据业务的能力,在3GPP系统内使用分组技术需要进一步加强。这类技术演进中最重要包括减少时延和反应时间,提高用户数据速率,增强系统容量和覆盖范围以及降低运营商整体成本等几个部分。演进的网络结构对于现有网络的后向兼容性也是一个重要的指标,其中在安全方面,要求演进网络中的用户安全流程必须确保提供至少和目前第二代(Second Generation,2G)和第三代(Third Generation,3G)系统相同级别的安全机制。
如图1所示,无线演进网络的核心网主要包含移动管理实体(MobilityManagement Entity,MME)、用户面实体(User Plane Entity,UPE)、不同接入系统间的用户面锚点(Inter Access System Anchor,Inter AS Anchor)三个逻辑功能体。其中,MME是控制面实体,负责控制面的移动性管理,包括用户上下文和移动状态管理,分配用户临时身份标识、安全功能等,对应于当前通用移动通信系统(Universal Mobile Telecommunications System,UMTS)内部服务GPRS支持节点(Serving GPRS Supporting Node,SGSN)的控制面部分;UPE是用户面实体,负责空闲状态下为下行数据发起寻呼,管理保存IP承载参数和网络内部路由信息等,对应于当前UMTS系统内部SGSN的数据面部分; Inter AS Anchor则充当不同接入系统间的用户面锚点。图中各个接口的功能以及是否存在尚没有最终确定。网关GPRS支持节点(Gateway GPRS SupportingNode,GGSN)的数据平面部分可能位于UPE内,也可能位于Inter AS Anchor内。归属用户服务器(Home Subscriber Server,HSS)用于存储用户签约信息。
移动通信系统存在特有的空中接口部分(简称空口)。用户的数据和信令在整个传输路径中,有一段是承载于无线接入部分,直接暴露于空口,可能被不法分子监听,存在相当大的安全隐患。为此,在移动通信系统中,需要对空口上传输的信令和数据进行加密。此外,因为空口传输的相对不可靠性,必须有机制确保其承载传输的数据负荷的完整性,即完整性保护。简而言之,移动通信系统通过对用户的数据和信令进行加密,保证用户数据的安全,通过对信令和数据进行完整性保护,确保用户数据在传输过程中,不会被中途破坏和失真,例如被插入多余的数据。
为实现加密和完整性保护功能,需要在执行加密和完整性保护的对等实体间确保使用相同的加密和完整性算法,以及使用相同的加密密钥(Cipher Key,CK)和完整性密钥(Integrity,IK)。
当控制面实体和用户面实体存在于同一物理实体中时,控制面和用户面进行加密和完整性保护的算法、加密密钥和完整性密钥都是共用的,依靠统一的安全相关的信令流程来完成协商和控制,如图2所示:
1.核心网(Core Network,CN)发送鉴权信息(Send Authentication Info)到归属位置寄存器(Home Location Register,HLR),HLR的鉴权中心(Authentication Centre,AUC)根据核心网的要求产生新的鉴权参数集合,且返回给核心网(Send Authentication Info Ack);
2.核心网使用从HLR的鉴权中心收到的鉴权参数集合,向移动台(MobileStation,MS)发送鉴权和加密请求消息(Authentication and Ciphering Request),消息中携带鉴权挑战随机数(Rand)和标识当前使用的鉴权参数集合的序列号;
3.MS根据鉴权挑战随机数Rand,计算得出加密密钥和完整性保护密钥,以及鉴权响应签名参数(Res),向核心网返回鉴权和加密响应消息(Authentication and Ciphering Response),携带鉴权响应签名参数,核心网比对收到的鉴权响应消息中的鉴权响应签名参数,判断用户是否合法。
通过上述流程,UE和网络之间确保使用了相同的加密密钥和完整性密钥。此后,网络中执行加密和完整性保护的实体(2G系统的SGSN和3G系统中的无线网络控制器(Radio Network Controller,RNC))就可以采用上述的加密密钥和完整性算法密钥统一对控制面和用户面启动加密和完整性保护。当然,目前系统中完整性保护主要针对信令,用户面的数据不要求进行完整性保护。
在演进网络之前的2G和3G移动通信系统中,执行信令面和用户面的加密和完整性保护的网络实体是同一个,例如2G系统中的SGSN、3G系统中的RNC。根据目前的演进网络研究进展,由于RNC不复存在,将用户非接入层(Non-Access Stadium,NAS)信令的加密和完整性保护功能上移到核心网的逻辑功能实体MME上,同时把用户面数据的加密放到逻辑功能实体UPE上完成。考虑到MME和UPE未必会存在于同一个物理实体中,需要协调控制面和用户面的加密和完整性保护,其中包括控制面实体和用户面实体分离时,同步控制面和用户面使用的加密密钥和完整性保护密钥。
发明内容
本发明的目的在于提供一种实现控制面和用户面密钥同步的方法,旨在解决现有控制面实体和用户面实体分离时,同步控制面和用户面使用的加密密钥和完整性保护密钥的问题。
本发明是这样实现的,一种实现控制面和用户面密钥同步的方法,所述方法包括:
当控制面实体没有可用的鉴权参数集合时,控制面实体向归属用户服务器发送鉴权信息,获取归属用户服务器鉴权中心产生的鉴权参数集合;
控制面实体根据所述鉴权参数集合,向用户设备发送鉴权和加密请求消息, 消息中携带鉴权挑战随机数和标识当前使用的鉴权参数集合的序列号;
用户设备根据所述鉴权挑战随机数,计算获取控制面密钥和用户面密钥,以及鉴权响应签名参数,向控制面实体返回鉴权和加密响应消息,携带鉴权响应签名参数;
控制面实体根据所述鉴权响应消息中的鉴权响应签名参数,判断用户是否合法;
在建立用户面承载时,控制面实体向用户面实体通知与用户设备协商同步的用户面密钥。
控制面实体在创建用户面上下文时或者在向用户面实体返回接入网的连接承载配置结果时,向用户面实体通知与用户设备协商同步的用户面密钥。
当控制面实体与用户设备之间更新所述控制面和用户面密钥时,所述方法进一步包括控制面实体向当前存在用户面上下文的用户面实体通知更新后的用户面密钥的步骤。
所述控制面密钥为加密密钥或者完整性保护密钥。
所述用户面密钥为加密密钥或者完整性保护密钥。
本发明通过用户面密钥和控制面密钥的同步切换,保证了演进移动通信网络中控制面和用户面实体物理分离架构下控制面和用户面加密密钥和完整性密钥的一致性。
附图说明
图1是现有技术中演进的分组核心网络的网络架构图;
图2是现有协议中规定的鉴权和加密协商的实现流程图;
图3是本发明提供的一个实施例中用户附着的实现流程图;
图4是本发明提供的一个实施例中用户激活的实现流程图;
图5是本发明提供的控制面和用户面同步切换密钥的实现流程图;
图6是本发明提供的另一个实施例中用户附着的实现流程图;
图7是本发明提供的另一个实施例中用户激活的实现流程图;
图8是本发明提供的演进网络中鉴权和加密协商的实现流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明利用建立IP连接承载过程中MME和UPE之间必须的信令交互,将用户面加密和完整性保护(如果用户面需要完整性保护)使用的密钥同步给新建立IP承载涉及的UPE。
在移动通信系统中,鉴权和加密是紧密相关的,鉴权使用的随机数和加密密钥、完整性密钥参数都是用户的鉴权参数集合中的一部分参数。在UPE和MME分离的情况下,控制面和用户面可以分别建立安全上下文,即控制面和用户面使用不同的加密密钥和完整性算法密钥,或者控制面和用户面共用相同的加密密钥和完整性密钥。但即使是前一种情况,控制面和用户面使用的密钥应该彼此存在关联性,即控制面和用户面同时使用的密钥,都对应于用户归属的鉴权中心产生的同一组鉴权参数集合,以方便控制面和用户面密钥的同步改变。
对应于控制面和用户面密钥共用的情况,一组完整的鉴权参数集合参数可以如表1所示:
| 鉴权随机挑战参数 | Rand |
| 加密密钥 | CK |
| 完整性保护密钥 | IK |
| 鉴权响应签名 | Res |
| 其他参数A | A |
| ... | ... |
表1
对应于控制面和用户面密钥不共用的情况,则一组完整的鉴权参数集合参数可以如表2或者表3所示:
| 鉴权随机挑战参数 | Rand |
| 控制面加密密钥 | CKc |
| 控制面完整性保护密钥 | Ikc |
| 用户面加密密钥 | Cku |
| 用户面完整性保护密钥 | Iku |
| 鉴权响应签名 | Res |
| 其他参数A | A |
| ... | ... |
表2
| 控制面鉴权随机挑战参数 | Randc |
| 控制面加密密钥 | CKc |
| 控制面完整性保护密钥 | Ikc |
| 控制面鉴权响应签名 | Resc |
| 用户面鉴权随机挑战参数 | Randu |
| 用户面加密密钥 | Cku |
| 用户面完整性保护密钥 | Iku |
| 用户面鉴权响应签名 | Resu |
| 其他参数A | A |
| ... | ... |
表3
无论上述哪种情况,控制面和用户面使用的加密密钥和完整性密钥都来自同一组鉴权参数集合,并且都是通过MME从用户归属的鉴权中心获取,因此可以通过控制面实体进行统一同步控制。
需要说明的是,上述的表1~3中用户面的完整性保护密钥IKu只有当用 户面存在完整性保护需求的情况下才存在。
当用户接入网络时,用户设备(User Equipment,UE)通过附着接入到MME,MME为其建立移动性管理(MM)上下文,然后用户通过激活请求,在用户与UPE/Inter AS Anchor之间建立数据承载,从而进行数据业务。
在本发明中,控制面和用户面的密钥通过MME从用户归属的鉴权中心获取,MME通过鉴权和加密协商的信令交互,确保UE和网络之间使用相同的鉴权参数集合中的密钥参数。
当用户面上下文建立时,MME通过为建立用户面承载和UPE之间必须的信令交互,通知新建用户面上下文涉及的UPE应该使用的加密密钥和完整性保护算法密钥(如果用户面需要进行完整性保护)。当控制面通过鉴权和加密协商的信令交互,与UE之间切换使用新的鉴权参数集合中的控制面加密密钥和完整性保护算法密钥时,由控制面通知当前存在用户面上下文的UPE实体新的用户面加密密钥和完整性保护算法密钥,使得用户面可以同步切换用户面的加密密钥和完整性保护算法密钥(如果用户面需要进行完整性保护)。
图3示出了本发明提供的用户附着的实现流程,详述如下:
1.UE发现了系统架构演进(System Architecture Evolution,SAE)或者长期演进(Long-Term Evolution,LTE)接入系统,随后进行接入系统和网络选择(Network Discovery and Access system selection);
2.UE向MME发起附着请求(Attach Request),请求消息中包含用户以前注册的信息,例如临时身份标识,如果UE没有上报用户以前的注册信息,则请求消息中包含用户的永久身份标识。附着请求可以包括基本IP接入承载的信息,例如用户选择的IP地址或者接入点名(Access Point Name,APN);
3a.如果用户以前的注册信息被UE上报,则MME会通过用户以前的注册信息导出用户上次注册的原MME的地址,并发送用户的注册信息给原MME以请求获取用户的信息(Send old registration information);
3b.原MME发送用户的上下文给MME(Send user information),包含用 户的永久身份标识、安全上下文参数等;
4.可选的,MME根据系统配置,对移动用户和终端设备进行安全认证(Security Functions),如果系统配置需要对用户接入进行鉴权,或者需要进行加密和完整性保护,MME执行鉴权和加密协商流程。如果没有可用的鉴权参数集合,MME先从HSS取得并保存用户的鉴权参数集合,并且通过鉴权和加密协商流程的交互,UE和核心网同步了将要用来加密和完整性保护的密钥,确保UE和核心网使用相同的密钥执行控制面的加密和完整性保护,以及使用相同的密钥执行用户面的加密和完整性保护;
5.MME向HSS发起注册更新(Register MME),注册成为当前服务UE的MME;
6.HSS指示原MME删除UE上下文,删除UE的注册信息(Delete UEregistration information);
7.HSS确认MME的注册(Confirm Registration),基本IP接入承载的签约信息、相关的服务质量(Quality of Service,QoS)策略和计费控制信息也被传送至MME;
8.MME选择一个UPE,向UPE发送创建会话上下文请求(Create SessionContext Request),携带基本IP承载要求的QoS信息、用户的标识等。MME可以选择此时通知UPE用户面应该使用的加密密钥和完整性保护密钥(如果用户面需要完整性保护);
9.UPE根据收到的MME的创建会话上下文请求创建用户的会话上下文,分配用户面资源,向MME返回创建会话上下文响应消息(Create Session ContextResponse),响应消息中包含了为用户基本IP连接承载分配的、供演进网络接入网(Evolved Radio Access Network,Evolved RAN)上行发送数据和Inter ASAnchor下行发送数据需要的用户面路径参数,例如通用分组无线业务(GeneralPacket Radio Service,GPRS)隧道协议(GPRS Tunneling Protocol,GTP)使用的隧道端IP地址、端口、隧道终点标识符(Tunnel End pointIdentifier,TEID);
10.MME向Inter AS Anchor发起用户面路由配置过程(User Plane RouteConfiguration),通知Inter AS Anchor下行发送数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID。Inter AS Anchor为用户分配基本IP承载的IP地址,为UE的基本IP连接承载完成用户面路由配置,分配供UPE发送上行数据需要的用户面路径参数并返回给MME,例如GTP隧道使用的隧道端IP地址、端口、TEID;
11.MME保存用户基本IP连接承载的IP地址,以及从用户面UPE和InterAS Anchor交互得到的用户面信息,然后向演进接入网发起基本IP连接承载的配置过程,通知演进接入网为移动用户建立的基本IP连接承载需要的QoS信息、UPE为接入网分配的上行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID。演进接入网为用户基本IP连接承载分配资源(IP Bearer Configuration),向MME返回UPE向演进接入网发送下行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID;
12.MME将演进接入网返回的配置结果通知UPE(Update Session Context),包括演进接入网分配的UPE发送下行数据需要和InterASAnchor分配的UPE发送上行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID。如果在上述步骤8中MME还未通知UPE用户面应该使用的加密密钥和完整性保护密钥(如果用户面需要进行完整性保护),则可以此时通知;
13.MME向UE发送附着接受消息(Attach Accept),并且为UE分配临时标识,用户IP地址也发送至UE。在漫游场景下,漫游限制会被检查,如果违反附着将被拒绝;
14.UE确认附着成功(Attach Confirm)。
通过上述流程,用户成功注册网络,并且在建立基本IP连接承载的同时,MME把用户面应该使用的加密密钥和完整性保护密钥(如果用户面需要进行完整性保护)成功同步到了UPE。
除了UE注册网络过程建立的基本IP连接承载,UE可能需要建立其他的 IP连接承载,图4示出了通过激活流程建立其他的IP连接承载的过程,详述如下:
1.UE向MME发送激活会话上下文请求(Activate Session Context Request),要求建立新的IP连接承载;
2.MME选择一个UPE,可以是与用户基本IP连接承载相同的UPE,也可能是新的UPE。MME向UPE发送创建会话上下文请求(Create Session ContextRequest),携带要求的QoS信息、用户的标识等,MME此时通知UPE用户面应该使用的加密密钥和完整性保护密钥(如果用户面需要进行完整性保护)。
3.UPE根据收到的MME的创建会话上下文请求创建用户的会话上下文,分配用户面资源,向MME返回创建会话上下文响应消息(Create Session ContextResponse),响应消息中包含了为用户新建IP连接承载分配的、供演进网络接入网上行发送数据和Inter AS Anchor下行发送数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID;
4.MME向Inter AS Anchor发起用户面路由配置过程(User Plane RouteConfiguration),通知Inter AS Anchor下行发送数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID。InterASAnchor为用户的新建IP连接承载完成用户面路由配置,分配供UPE发送上行数据需要的用户面路径参数并返回给MME,例如GTP隧道使用的隧道端IP地址、端口、TEID。
5.MME保存从UPE和Inter AS Anchor交互得到的用户面信息,然后向演进接入网发起新建IP连接承载的配置过程(IP Bearer Configuration),通知演进接入网为UE新建立的IP连接承载需要的QoS信息、UPE为演进接入网分配的上行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID。演进接入网为用户新建立的IP连接承载分配资源,向MME返回UPE向演进接入网发送下行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID;
6.MME将演进接入网返回的配置结果通知UPE(Update Session Context), 包括演进接入网分配的UPE发送下行数据需要和InterASAnchor分配的UPE发送上行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID。如果上述步骤2中,MME还未通知UPE用户面应该使用的加密密钥和完整性保护密钥(如果用户面需要进行完整性保护),则可以此时通知;
7.MME向UE发送激活会话上下文接受消息(Activate Session ContextAccept)。
通过上述流程,用户附着网络后新建的IP连接承载如果涉及到新的UPE,MME也能通过建立IP连接承载时与UPE的交互过程,将用户面应该使用的加密密钥和完整性保护密钥同步给相关UPE。
在UE首次附着网络成功后,长时间注册于网络的过程中,MME可能会根据系统的安全配置重新对UE进行鉴权,并需要切换当前使用的加密密钥和完整性保护密钥。由于鉴权和加密协商的信令流程的执行者是MME,所以控制面的加密密钥和完整性保护密钥切换没有问题,但需要控制面通知当前存在用户面上下文的UPE新的用户面加密密钥和完整性保护算法密钥,使得UPE可以同步切换用户面的加密密钥和完整性算法密钥,如图5所示:
1.根据系统的安全配置,MME对已经成功附着的UE发送新的鉴权和加密协商请求(Authentication and Ciphering Request);
2.UE向MME返回鉴权和加密协商响应(Authentication and CipheringResponse),UE和MME都切换使用新鉴权参数集合中的加密密钥和完整性保护密钥;
3.MME根据用户面上下文中记录的用户会话上下文信息,给当前用户所有会话上下文涉及的UPE通知新的用户面加密密钥和完整性保护密钥(如果用户面需要进行完整性保护)(Update Session Context[CK,IK])。
通过上述更新流程保证了控制面切换加密和完整性保护密钥时,能及时同步进行用户面加密和完整性保护密钥的切换,以避免用户面加密密钥和完整性保护密钥在终端和网络侧出现不一致。
需要说明的是,为描述方便,上述的流程仅涉及了一种具体的建立IP承载的信令交互流程,不排除其他可能的建立IP承载的信令交互流程。
图6示出了本发明另一实施例中用户附着的实现流程,详述如下:
1.UE发现了SAE或者LTE接入系统,随后进行接入系统和网络选择(Network Discovery and Access System Selection);
2.UE向MME发起附着请求(Attach Request),请求消息中包含用户以前注册的信息,例如临时身份标识,如果UE没有上报用户以前的注册信息,则请求消息中包含用户的永久身份标识。附着请求可以包括基本IP接入承载的信息,例如用户选择的IP地址或者APN;
3a.如果用户以前的注册信息被UE上报,则MME会通过用户以前的注册信息导出用户上次注册的原MME的地址,并发送用户的注册信息给原MME以请求获取用户的信息(Send old registration information);
3b.原MME发送用户的上下文给MME(Send user information),包含用户的永久身份标识、安全上下文参数等;
4.可选的,MME根据系统配置,对移动用户或终端设备进行安全认证(Security Functions),如果系统配置需要对用户接入进行鉴权,或者需要进行加密和完整性保护,MME执行鉴权和加密协商流程。如果没有可用的鉴权参数集合,MME先从HSS取得并保存用户的鉴权参数集合,并且通过鉴权和加密协商流程的交互,UE和核心网同步了将要用来加密和完整性保护的密钥,确保UE和核心网使用相同的密钥执行控制面的加密和完整性保护,以及使用相同的密钥执行用户面的加密和完整性保护;
5.MME向HSS发起注册更新(Register MME),注册成为当前服务UE的MME;
6.HSS指示原MME删除UE上下文,删除UE的注册信息(Delete UEregistration information);
7.HSS确认MME的注册(Confirm Registration),基本IP接入承载的签 约信息、相关的QoS策略和计费控制信息也被传送至MME;
8.MME选择一个UPE,向UPE发送创建会话上下文请求(Create SessionContext Request),携带基本IP承载要求的QoS信息、用户的标识等。MME可以选择此时通知UPE用户面应该使用的加密密钥和完整性保护密钥(如果用户面需要完整性保护);
9.UPE根据收到的MME的创建会话上下文请求创建用户的会话上下文,分配用户面资源,然后向Inter AS Anchor发起用户面路由配置过程(User PlaneRoute Configuration)。在配置过程中,Inter AS Anchor为用户的基本IP连接承载分配IP地址.,通知UPE保存,并和UPE协商建立两个实体间的用户面路径和路由;
10.UPE向MME返回创建会话上下文响应消息(Create Session ContextResponse),通知控制面实体为UE的基本IP连接承载分配的IP地址以及UPE分配的为演进接入网络发送上行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID;
11.MME保存用户基本IP连接承载的IP地址,以及从用户面UPE和InterAS Anchor交互得到的用户面信息,然后向演进接入网发起基本IP连接承载需要的QoS信息、UPE为演进接入网分配的上行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID。演进接入网为用户基本IP连接承载分配资源(IP Bearer Configuration),向MME返回UPE向演进接入网发送下行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID;
12.MME将演进接入网返回的配置结果通知UPE(Update Session Context),包括UPE发送下行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID。如果上述步骤8中,MME还未通知UPE用户面应该使用的加密密钥和完整性保护密钥(如果用户面需要进行完整性保护),则可以此时通知;
13.MME向UE发送附着接受消息(Attach Accept),并且为UE分配临时标识,用户IP地址也发送至UE。在漫游场景下,漫游限制会被检查,如果违反则附着将被拒绝;
14.UE确认附着成功(Attach Confirm)。
通过上述流程,用户成功注册网络,并且在建立基本IP连接承载的同时,MME把用户面应该使用的加密密钥和完整性保护密钥(如果用户面需要进行完整性保护)成功同步到了UPE。
图7示出了本发明另一实施例中提供的通过激活流程建立其他的IP连接承载的过程,详述如下:
1.UE向MME发送激活会话上下文请求(Activate Session Context Request),要求建立新的IP连接承载;
2.MME选择一个UPE,可以是和用户基本IP连接承载相同的UPE,也可能是新的UPE,MME向UPE发送创建会话上下文请求(Create Session ContextRequest),携带要求的QoS信息、用户的标识等,MME此时通知UPE用户面应该使用的加密密钥和完整性保护密钥(如果用户面需要进行完整性保护)。
3.UPE根据收到的MME的创建会话上下文请求创建用户的会话上下文,分配用户面资源,然后向Inter AS Anchor发起用户面路由配置过程(User PlaneRoute Configuration),为新建的IP连接承载协商建立两个实体间的用户面路径和路由;
4.UPE向MME返回创建会话上下文响应消息(Create Session ContextResponse),将UPE分配的为演进接入网络发送上行数据需要的用户面路径参数通知控制面实体,例如GTP隧道使用的隧道端IP地址、端口、TEID;
5.MME保存从UPE和Inter AS Anchor交互得到的用户面信息,然后向演进接入网发起新建IP连接承载的配置过程(IP Bearer Configuration),通知演进接入网为UE新建立的IP连接承载需要的QoS信息、UPE为接入网分配的上行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、 TEID。演进接入网为用户新建立的IP连接承载分配资源,向MME返回UPE向演进接入网发送下行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID;
6.MME将演进接入网返回的配置结果通知UPE(Update Session Context),包括UPE发送下行数据需要的用户面路径参数,例如GTP隧道使用的隧道端IP地址、端口、TEID,如果上述步骤2中,MME还未通知UPE用户面应该使用的加密密钥和完整性保护密钥(如果用户面需要进行完整性保护),则可以此时通知;
7.MME向UE发送激活会话上下文接受消息(Activate Session ContextAccept)。
通过上述流程,用户附着网络后新建的IP连接承载如果涉及到新的UPE,MME也能通过建立IP连接承载时和用户面的交互过程,将用户面应该使用的加密密钥和完整性保护密钥同步给相关UPE。
图8示出了演进网络中的MME执行鉴权和加密协商的实现流程,详述如下:
1.MME发送鉴权信息(Send Authentication Info)到HSS,HSS内置的鉴权中心根据MME的要求产生新的鉴权参数集合,并返回给MME(SendAuthentication Info Ack);
2.MME使用从HSS的鉴权中心收到的鉴权参数集合,向UE发送鉴权和加密请求消息(Authentication and Ciphering Request),消息中携带鉴权挑战随机数(Rand)和标识当前使用的鉴权参数集合的序列号;
3.UE根据鉴权挑战随机数Rand,计算得出加密密钥和完整性保护密钥,以及鉴权响应签名参数(Res),向MME返回鉴权和加密响应消息(Authentication and Ciphering Response),携带鉴权响应签名参数,MME比对收到的鉴权响应消息中的鉴权响应签名参数,判断用户是否合法。
通过上述流程,UE和网络之间确保使用了相同的加密密钥和完整性密钥。 此后,网络中执行加密和完整性保护的实体,就可以采用上述的加密密钥和完整性算法密钥统一对控制面和用户面启动加密和完整性保护。当然,目前系统中完整性保护主要针对信令,用户面的数据不要求进行完整性保护。
在本发明中,Inter AS Anchor的网络位置不影响本发明的适用性,例如InterAS Anchor和UPE可以共存于一个网络节点。此时,在上述实施例中,UPE和Inter AS Anchor的交互不再可见,相应的附着流程中的步骤8~10可以压缩为一对MME和UPE/Inter AS Anchor的往复交互就可以完成,激活流程中的步骤2~4可以压缩为一对MME和UPE/Inter AS Anchor的往复交互就可以完成。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种实现控制面和用户面密钥同步的方法,其特征在于,所述方法包括:
当控制面实体没有可用的鉴权参数集合时,控制面实体向归属用户服务器发送鉴权信息,获取归属用户服务器鉴权中心产生的鉴权参数集合;
控制面实体根据所述鉴权参数集合,向用户设备发送鉴权和加密请求消息,消息中携带鉴权挑战随机数和标识当前使用的鉴权参数集合的序列号;
用户设备根据所述鉴权挑战随机数,计算获取控制面密钥和用户面密钥,以及鉴权响应签名参数,向控制面实体返回鉴权和加密响应消息,携带鉴权响应签名参数;
控制面实体根据所述鉴权响应消息中的鉴权响应签名参数,判断用户是否合法;
在建立用户面承载时,控制面实体向用户面实体通知与用户设备协商同步的用户面密钥。
2.如权利要求1所述的实现控制面和用户面密钥同步的方法,其特征在于,控制面实体在创建用户面上下文时或者在向用户面实体返回接入网的连接承载配置结果时,向用户面实体通知与用户设备协商同步的用户面密钥。
3.如权利要求1所述的实现控制面和用户面密钥同步的方法,其特征在于,当控制面实体与用户设备之间更新所述控制面和用户面密钥时,所述方法进一步包括控制面实体向当前存在用户面上下文的用户面实体通知更新后的用户面密钥的步骤。
4.如权利要求1至3任一权利要求所述的实现控制面和用户面密钥同步的方法,其特征在于,所述控制面密钥为加密密钥或者完整性保护密钥。
5.如权利要求1至3任一权利要求所述的实现控制面和用户面密钥同步的方法,其特征在于,所述用户面密钥为加密密钥或者完整性保护密钥。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610060692 CN101072092B (zh) | 2006-05-11 | 2006-05-11 | 一种实现控制面和用户面密钥同步的方法 |
| PCT/CN2007/070002 WO2007131455A1 (fr) | 2006-05-11 | 2007-05-08 | Procédé, système et appareil de synchronisation de clés entre la commande et l'utilisateur |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610060692 CN101072092B (zh) | 2006-05-11 | 2006-05-11 | 一种实现控制面和用户面密钥同步的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101072092A CN101072092A (zh) | 2007-11-14 |
| CN101072092B true CN101072092B (zh) | 2010-12-08 |
Family
ID=38693554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610060692 Expired - Fee Related CN101072092B (zh) | 2006-05-11 | 2006-05-11 | 一种实现控制面和用户面密钥同步的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101072092B (zh) |
| WO (1) | WO2007131455A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12127049B2 (en) | 2017-09-30 | 2024-10-22 | Huawei Technologies Co., Ltd. | Security protection method, apparatus, and system |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2421292B1 (en) | 2009-04-30 | 2015-04-15 | Huawei Technologies Co., Ltd. | Method and device for establishing security mechanism of air interface link |
| WO2011120235A1 (zh) * | 2010-04-02 | 2011-10-06 | 华为技术有限公司 | Sae架构下实现业务数据流旁路的方法、装置及系统 |
| CN101938744B (zh) * | 2010-07-01 | 2016-06-15 | 中兴通讯股份有限公司 | 一种保证srnc和核心网节点密钥一致性的方法及系统 |
| WO2017197589A1 (zh) | 2016-05-17 | 2017-11-23 | 华为技术有限公司 | 一种用户面资源管理方法、用户面网元及控制面网元 |
| CN107567018B (zh) * | 2016-07-01 | 2022-10-11 | 中兴通讯股份有限公司 | 消息处理方法及装置、终端、消息处理系统 |
| CN108347416B (zh) | 2017-01-24 | 2021-06-29 | 华为技术有限公司 | 一种安全保护协商方法及网元 |
| US11558745B2 (en) | 2017-01-30 | 2023-01-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods for integrity protection of user plane data |
| EP4228301A1 (en) | 2017-03-17 | 2023-08-16 | Telefonaktiebolaget LM Ericsson (publ) | Security solution for switching on and off security for up data between ue and ran in 5g |
| CN109600803B (zh) | 2017-09-30 | 2024-01-30 | 华为技术有限公司 | 一种安全保护的方法、装置和系统 |
| WO2019158117A1 (en) * | 2018-02-15 | 2019-08-22 | Huawei Technologies Co., Ltd. | System and method for providing security in a wireless communications system with user plane separation |
| WO2020142884A1 (zh) * | 2019-01-07 | 2020-07-16 | 华为技术有限公司 | 切换传输路径的方法及装置 |
| CN111148102B (zh) * | 2019-12-31 | 2024-01-30 | 京信网络系统股份有限公司 | 网络鉴权方法、装置、计算机设备和存储介质 |
| US11310661B2 (en) * | 2020-02-14 | 2022-04-19 | Mediatek Inc. | Security key synchronization method and associated communications apparatus |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1545295A (zh) * | 2003-11-17 | 2004-11-10 | 中国科学院计算技术研究所 | 一种面向用户的网络文件系统远程访问控制方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3448042B2 (ja) * | 2001-10-10 | 2003-09-16 | コナミ株式会社 | ゲーム画面表示プログラム、ゲーム画面表示方法及びビデオゲーム装置 |
-
2006
- 2006-05-11 CN CN 200610060692 patent/CN101072092B/zh not_active Expired - Fee Related
-
2007
- 2007-05-08 WO PCT/CN2007/070002 patent/WO2007131455A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1545295A (zh) * | 2003-11-17 | 2004-11-10 | 中国科学院计算技术研究所 | 一种面向用户的网络文件系统远程访问控制方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12127049B2 (en) | 2017-09-30 | 2024-10-22 | Huawei Technologies Co., Ltd. | Security protection method, apparatus, and system |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101072092A (zh) | 2007-11-14 |
| WO2007131455A1 (fr) | 2007-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101072092B (zh) | 一种实现控制面和用户面密钥同步的方法 | |
| JP4608830B2 (ja) | 移動通信システム及び通信制御方法並びにこれに用いる移動端末及びその制御方法 | |
| CA2352233C (en) | A method for controlling connections to a mobile station | |
| CN101039507B (zh) | 演进网络架构中隧道建立、释放方法及装置 | |
| CN101409951B (zh) | 承载建立方法及相关装置 | |
| CN110730454B (zh) | 一种移动通信系统中利用nh、ncc对解决安全问题的方法 | |
| CN101102600B (zh) | 在不同移动接入系统中切换时的密钥处理方法 | |
| CN101400153A (zh) | 用户设备通过hnb接入系统直接通信的方法 | |
| WO2013185735A2 (zh) | 一种加密实现方法及系统 | |
| CN103428787B (zh) | 一种基站切换方法及装置 | |
| CN1997208B (zh) | 移动通信系统中用户设备开机附着接入的方法 | |
| CN101009907A (zh) | 演进网络架构中隧道建立、释放方法及装置 | |
| WO2008128452A1 (fr) | Procédé, système et nœud cn pour transfert de charge dans la zone commune | |
| CN101115292A (zh) | 寻呼并连接终端的方法及快速激活数据传输的终端和系统 | |
| CN101336000B (zh) | 协议配置选项传输方法及系统、用户终端 | |
| CN1937487A (zh) | Lte中鉴权和加密的方法 | |
| CN101272604B (zh) | 信令跟踪方法及设备 | |
| CN101730073B (zh) | 一种获取用户签约数据的方法及系统 | |
| CN101094096A (zh) | 一种演进网络架构下的移动性管理方法 | |
| CN101247634A (zh) | 移动通信系统选择服务节点的方法 | |
| CN101166296A (zh) | 一种重附着方法、系统及用户设备 | |
| CN101795442A (zh) | 移动通信系统中承载建立的方法 | |
| CN101610447B (zh) | 隧道标识信息的获取方法、发送方法、设备及系统 | |
| CN101374160B (zh) | 分组网络中分配用户地址的方法、装置及系统 | |
| CN100486347C (zh) | 移动通信网络安全增值业务提供方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 Termination date: 20130511 |