CN101808321A - 一种安全认证方法 - Google Patents
一种安全认证方法 Download PDFInfo
- Publication number
- CN101808321A CN101808321A CN200910009065A CN200910009065A CN101808321A CN 101808321 A CN101808321 A CN 101808321A CN 200910009065 A CN200910009065 A CN 200910009065A CN 200910009065 A CN200910009065 A CN 200910009065A CN 101808321 A CN101808321 A CN 101808321A
- Authority
- CN
- China
- Prior art keywords
- iwf
- authentication
- mme
- safety certification
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种安全认证方法,包括:互联网元(IWF)接收来自用户终端(UE)的注册请求;IWF根据鉴权网元中对UE进行安全认证的鉴权参数或安全认证状态,对UE进行安全认证。本发明能够降低实现IWF对UE进行安全认证的复杂性,并提高IWF处理信令的效率。
Description
技术领域
本发明涉及第三代移动通信系统中的安全认证技术,尤其涉及一种在演进的分组域系统(EPS)接入下实现电路交换(CS)域业务的安全认证方法。
背景技术
为了保持第三代移动通信系统标准化项目(3GPP,3rd GenerationPartnership Project)在移动通信领域的竞争力,3GPP目前正致力于研究对分组交换核心网(PS Core,Packet Switched Core)和全球移动通信系统无线接入网(UTRAN,Universal Mobile Telecommunication System Radio Access Network)的演进。目的是使得演进的分组交换核心网(EPC,Evolved PS Core)可以提供更高的传输速率和更短的传输延时,并支持演进的UTRAN(E-UTRAN,Evolved UTRAN)、GSM EDGE无线接入网(GERAN,GSM EDGE Radio AccessNetwork)、UTRAN、无线局域网(WLAN,Wireless Local Area Network)及其他非3GPP的接入网络之间的移动性管理。其中,(GSM,Global System forMobile communications)是指全球移动通信系统,(EDGE,Enhanced Data Rate forGSM Evolution)是指增强型数据速率GSM演进技术。这个演进的移动通信系统称为演进的分组域系统(EPS,Evolved Packet System)。
图1所示为现有技术的用户终端(UE,User Equipment)在EPS网络接入下实现电路交换(CS,Circuit Switched)业务的网络架构图。其中,E-UTRAN可以提供更高的上下行速率,更低的传输延迟和更加可靠的无线传输;E-UTRAN中包含的网元是演进的基站(eNodeB,evolved NodeB),用以为UE的接入提供无线资源。服务网关(S-GW,Serving Gateway)是一个用户面实体,负责用户面数据的路由处理。分组数据网网关(P-GW,Packet Data NetworkGateway)负责UE接入分组数据网(PDN,Packet Data Network)的网关功能。P-GW和S-GW可以合设在一个物理实体中。移动性管理实体(MME,MobilityManagement Entity)是一个控制面实体,临时存储用户数据,负责管理和存储UE上下文,为用户分配临时标识,对用户进行鉴权等。GERAN/UTRAN为GSM/通用移动通信系统(UMTS,Universal Mobile Telecommunications System)网络的无线接入网,包括基站和基站控制器部分。移动交换中心(MSC,MobileSwitching Center)/拜访位置寄存器(VLR,Visitor Location Register)属于CS域网元。
当UE在GSM/UMTS网络接入时,用户的基本语音业务以及基于语音业务的补充业务等是通过CS域提供的。EPS系统本身并不能提供和控制语音呼叫等CS业务,只能提供互联网协议(IP,Internet Protocol)数据的承载。现有技术中实现UE在EPS接入下的语音等CS业务,其是由CS域来控制实现的,当UE接入EPS网络后,通过承载在EPS网络上的IP信令通道传递UE与MSC/VLR之间的交互信令进行位置更新和呼叫信令等交互过程,通过承载在EPS网络上的IP用户面通道来传递语音媒体流。
图1所示的网络架构可以用来实现UE在EPS网络接入下通过CS域控制来执行语音等CS业务,该网络架构称为CS业务建立在PS承载上(CSoPS,CS over PS)。在这种网络架构中,为了避免对MSC/VLR的修改和影响,新引入互联网元(IWF,Interworking Function)来完成相关修改。一方面,IWF提供与MSC/VLR之间的A/IU-CS接口,完成将从UE接收到的IP信令消息转化为A/IU-CS接口消息发送给MSC/VLR,以及反向的转化和发送操作;另一方面,EPS将IWF当作一个应用功能点(AF,Application Function),执行基于IP层上的应用服务功能。
当UE接入EPS网络后,通过承载在EPS网络上的IP信令通道与IWF以及MSC/VLR之间交互进行注册、位置更新和语音呼叫等交互过程,从而完成承载和呼叫建立的建立过程。当UE需要从EPS网络切换到UMTS/GSM网络,MME接收到切换请求时,对于语音业务,MME需要给UE当前的IWF发送切换请求消息,从而由该IWF对切换请求消息转换并给当前控制呼叫的MSC/VLR发送切换请求消息,所以UE当前所在的MME需要能够获知UE当前所在的IWF。
现有技术中UE通过EPS网络接入到CS域的过程,包括三个主要部分:一、UE接入到EPS网络,并创建用于CSoPS的承载;二、UE向IWF发起注册;三、UE向MSC发起CS域的注册。由此可以看出,UE通过EPS接入网络,并注册到CS域的过程中,网络需要对UE执行三次安全认证,包括:
1)UE接入到EPS网络时的接入认证:由MME主导执行,通过非接入层(NAS,Non Access Stratum)接入控制对UE进行身份认证;
2)UE向IWF注册前的IP安全认证:UE和IWF之间使用IPSec协议建立安全的IP连接,以保证UE和IWF之间的相互信任;
3)UE向CS域注册时的身份认证:由MSC主导执行,通过CS鉴权机制对UE进行身份认证。
其中,UE接入到EPS网络时的接入认证、UE向CS域注册时的身份认证均已经是确定的成熟机制。这些机制具有一个相似的思路:UE和网络共同持有一个长期性的密钥,归属网中的归属位置寄存器(HLR,Home Location Register)/归属用户服务器(HSS,Home Subscriber Server)保存对UE进行鉴权的重要参数,并将这些参数下发给网络中的鉴权网元,由鉴权网元对UE计算鉴权挑战,而UE根据鉴权挑战反向计算鉴权响应,鉴权网元验证鉴权响应的正确性即实现对UE的鉴权。
而UE和IWF之间的安全认证机制,采用的是基于IPSec的隧道加密机制,IWF所使用的用以建立IPSec隧道的鉴权和加密参数,来自于认证授权统计(AAA,Authentication Authorization Accounting)服务器。如图2所示,IWF向拜访网的AAA服务器(V-AAA)查询鉴权和加密参数,V-AAA向归属网的AAA服务器(H-AAA)查询鉴权和加密参数,而H-AAA则从归属网的HSS获取鉴权和加密参数。
UE和IWF之间的IPSec机制,能够保证IWF对UE的安全认证,但是在实际应用中,存在如下缺陷:
a、采用IPSec隧道加密机制,对于UE和IWF之间频繁的信令通信而言,大大增加了IWF处理信令的复杂度,降低了信令处理的效率;而且对于UE也大大增加了通信程序的复杂性。
b、采用IPSec隧道加密机制,使得IWF需要和AAA服务器建立接口,以便获得针对每个UE的长期密钥等参数。因此目前IWF和AAA之间的接口仅用来执行鉴权参数的传递,然而却需要部署一整套的直径(Diameter)协议站,从而大大增大了IWF的复杂性。
c、通常的AAA服务器是用于为非3GPP所定义的移动通信技术和3GPP定义的移动通信技术实现互通,UE和IWF之间IPSec机制的使用,使得CSoPS架构必须引入AAA服务器,从而增加了整体架构的复杂性。
发明内容
有鉴于此,本发明的主要目的在于提供一种安全认证方法,以降低实现IWF对UE进行安全认证的复杂性,并提高IWF处理信令的效率。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种安全认证方法,该方法包括:
互联网元IWF接收来自用户终端UE的注册请求;
所述IWF根据鉴权网元中对UE进行安全认证的鉴权参数或安全认证状态,对所述UE进行安全认证。
所述鉴权网元为分组域系统EPS网络中的移动性管理实体MME,所述IWF从MME获取对UE进行安全认证的鉴权参数,并根据所述鉴权参数对UE进行安全认证。
所述IWF从MME获得鉴权参数,进一步包括:
所述IWF从UE的注册请求中获得所述MME的地址;
所述IWF向MME请求所述鉴权参数;
所述MME将从归属用户服务器HSS获得的鉴权参数发送给所述IWF。
所述IWF从MME获得鉴权参数,进一步包括:
所述MME从HSS获得所述鉴权参数后,将所述鉴权参数主动发送给所述IWF。
所述对UE进行安全认证的鉴权参数为:所述EPS网络对UE进行接入认证的鉴权参数,和/或CS业务建立在分组交换PS承载上CSoPS业务对UE的鉴权参数。
所述鉴权网元为EPS网络中的MME,所述IWF根据MME对UE的安全认证状态对UE进行安全认证,具体包括:
所述IWF根据UE的注册请求中的MME信息获得所述MME的地址;
所述IWF向MME请求查询所述UE接入EPS网络时的认证状态;
所述MME向IWF返回UE接入EPS网络时的认证状态;
所述IWF根据所述UE接入EPS网络时的认证状态验证所述UE是否通过安全认证,并向所述UE返回安全认证结果。
所述鉴权网元为EPS网络中的MME,所述IWF根据MME对UE的安全认证状态对UE进行安全认证,具体包括:
在所述UE成功附着到EPS网络,EPS网络为UE建立了承载,且MME为UE分配了IWF之后,所述MME将所述UE接入EPS网络时的认证状态主动发送给所述IWF;
所述IWF根据所述UE接入EPS网络时的认证状态验证所述UE是否通过安全认证,并向所述UE返回安全认证结果。
所述UE接入EPS网络时的认证状态包括以下状态中的至少一种:EPS网络对UE进行非接入层NAS鉴权的安全认证状态、EPS网络允许UE接入的状态、EPS网络为UE建立承载并分配互联网协议IP地址的状态。
所述鉴权网元为电路交换CS域中的移动交换中心MSC,所述IWF根据MSC对UE的安全认证状态对UE进行安全认证,具体包括:
所述IWF接收到UE的注册请求时,根据所述注册请求中用以指示向CS域发起注册的标识信息,代替所述UE向所述MSC发起CS域的注册流程;
所述IWF根据所述UE向CS域发起注册时的安全认证状态,验证所述UE是否通过安全认证,并向所述UE返回安全认证结果。
所述鉴权网元为CS域中的MSC,所述IWF根据MSC对UE的安全认证状态对UE进行安全认证,具体包括:
所述IWF接收到UE的注册请求,且注册请求中没有用以指示向CS域发起注册的标识信息时,根据网络的策略配置,代替所述UE向所述MSC发起CS域的注册流程;
所述IWF根据所述UE向CS域发起注册时的安全认证状态,验证所述UE是否通过安全认证,并向所述UE返回安全认证结果。
所述UE向IWF发送的注册请求中用以指示向CS域发起注册的标识信息,是UE向CS域发起位置更新过程的指示。
所述鉴权网元为CS域中的MSC,所述IWF根据MSC对UE的安全认证状态对UE进行安全认证,具体包括:
所述IWF接收到UE的注册请求后,预先默认UE注册成功,并根据UE请求注册到CS域时MSC对UE的安全认证状态,确定是否取消UE在IWF上的注册。
本发明所提供的安全认证方法,由IWF在接收到来自UE的注册请求时,根据归属网络中存储的鉴权参数,并利用与UE接入EPS网络或UE向CS域注册时所采用的类似鉴权算法对UE进行安全认证;或者直接根据UE接入EPS网络或向CS域注册时的安全认证状态,对UE进行安全认证。本发明减少了UE与IWF之间频繁的信令通信,降低了IWF和UE处理信令的复杂度,提高了IWF处理信令的效率;另外,本发明的架构中不再需要AAA服务器,从而降低了整体架构的复杂性,最终也降低了实现IWF对UE进行安全认证的复杂性。
附图说明
图1为现有技术中UE在EPS网络接入下实现CS业务的网络架构图;
图2为现有技术中IWF从AAA服务器获取鉴权和加密参数的流程图;
图3为本发明一种安全认证方法的流程图;
图4为本发明实施例一的安全认证方法的流程图;
图5为本发明实施例二的安全认证方法的流程图;
图6为本发明实施例三的安全认证方法的流程图;
图7为本发明实施例四的安全认证方法的流程图。
具体实施方式
下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。
本发明所提供的一种安全认证方法,应用于在EPS接入下实现CS域业务时IWF对UE的安全认证,如图3所示,该方法主要包括以下步骤:
步骤301,IWF接收来自UE的注册请求。
UE在注册到IWF之前,会向IWF发送注册请求。
步骤302,IWF根据鉴权网元对UE进行安全认证的鉴权参数或安全认证状态,对UE进行安全认证。
本发明中的鉴权网元包括:EPS网络中的MME和CS域中的MSC等等。当然,本发明的鉴权网元并不仅仅局限于上述列举的MME和MSC。IWF可以从MME获取对UE进行安全认证的鉴权参数,该鉴权参数可以是以下两种鉴权参数中的至少一种:
A、MME自身用于对UE进行NAS接入认证的鉴权参数;
B、HSS下发到MME的专用于IWF对UE进行鉴权的CSoPS的鉴权参数。
IWF也可以根据MME对UE的安全认证状态对UE进行安全认证;还可以根据MSC对UE的安全认证状态对UE进行安全认证。
其中,IWF从MME获取对UE进行安全认证的鉴权参数,对UE进行安全认证的实施例,如图4所示,主要包括以下步骤:
步骤401,UE请求附着到EPS网络,并请求EPS网络为其建立IP承载,该请求经过E-UTRAN发送到MME。
UE可以使用一个特定的用于CSoPS的接入点名称(APN,Access PointName)来要求EPS网络为其建立专门用于CSoPS的承载。
步骤402,MME从HSS获取对UE进行安全认证的鉴权参数,并利用鉴权参数对UE进行鉴权操作。
由于UE是初始接入到EPS网络,因此EPS网络需要对UE进行鉴权,且EPS网络采用NAS鉴权机制对UE进行鉴权。鉴权通过后,MME上将保存对UE进行NAS鉴权的安全认证状态的相关信息。
需要指出的是,通常情况下NAS鉴权是必须的,但是对于某些特殊用户和特殊应用(如紧急呼叫),NAS鉴权过程不一定是必须的。
步骤403,由于UE是初始接入到EPS网络,MME上并没有UE的业务配置数据,因此MME向HSS发送位置更新请求,并请求下载该UE的业务配置数据。
步骤404,HSS向MME返回位置更新响应,并在响应中携带UE的业务配置数据,以及对UE进行安全认证的鉴权参数。
本发明中HSS向MME下载的鉴权参数,必须包括用于EPS网络对UE进行接入认证的鉴权参数,另外,还可以进一步包括专门用于CSoPS业务下IWF对UE进行安全认证的鉴权参数。如果归属网支持CSoPS,且UE具有CSoPS能力,则在HSS中配置专门用于CSoPS的鉴权参数。
步骤405,MME接收到HSS的位置更新响应后,存储UE的业务配置数据和对UE进行安全认证的鉴权参数,并根据网络情况和业务数据配置的指示分配S-GW/P-GW,向分配的S-GW/P-GW发送承载建立请求。
步骤406,S-GW/P-GW为UE建立相应的CSoPS的承载,并在建立完毕后向MME返回承载建立响应,其中包括为UE分配的IP地址。
步骤407,MME向UE发送附着响应,并将为UE分配的IP地址返回给MME。
当UE附着到EPS网络时,EPS网络根据UE所提供的用于CSoPS的APN,为UE分配一个拜访网的IWF,并在附着响应中将分配的IWF返回给UE。该IWF可以是一个具体的IWF地址,也可以是一个用于发现IWF的全域名(FQDN,Full Qualified Domain Name)。
步骤408,UE从EPS网络中获取拜访网的IWF地址。
需要指出的是,如果UE获得的是一个IWF的FQDN,那么UE可以在附着到EPS网络后,发起域名系统(DNS,Domain Name System)查询以获得合适的IWF地址。
另一种UE获得拜访网IWF地址的过程,可以是UE配置了归属网的IWF,并通过向归属网的IWF发起请求,由归属网的IWF根据UE所接入的拜访网,为UE提供合适的拜访网IWF。如果UE所获得的是拜访网的IWF的域名,UE可以通过DNS查询机制获得该IWF的IP地址。
当UE获得了拜访网的IWF地址后,可以向对应的IWF发起注册,注册的目的是使得该IWF能模拟UE接入到由IWF虚拟的基站,并使得IWF获得UE在EPS网络中的位置信息和其他必要的信息。
步骤409,UE获得拜访网的IWF地址后,向IWF发起注册请求,该请求中携带的信息主要包括:UE的国际移动用户识别码(IMSI,International MobileSubscriber Identity)、UE的IP地址、UE接入到EPS网络的位置区域信息(TAI,Tracking Area Identity)、UE接入到的MME的地址或标识信息。
步骤410,IWF根据UE的注册请求,获得UE当前附着的MME的地址。
UE在向IWF注册的时候,携带UE在附着到EPS网络时或获得的MME的标识信息,IWF可以通过查表或者通过DNS域名机制获得MME的具体地址。
步骤411,IWF向MME发起Sv接口的建立请求,并向MME查询UE的鉴权参数。
Sv接口用于建立EPS网络(以MME为主要控制核心)和CS网络(以IWF模拟的基站为接入端)的联系,以便传输网间互联所必要的信息和控制信令。
步骤412,MME建立和IWF之间的Sv接口,并在建立完成后向IWF返回建立成功响应,响应中携带UE的鉴权参数。
需要指出的是,如果在前述步骤404中,MME仅从HSS获得了用于EPS网络对UE进行接入认证的鉴权参数,则MME仅返回用于EPS网络对UE进行接入认证的鉴权参数;如果在前述步骤404中,MME还获得了CSoPS业务对UE的鉴权参数,则MME可以选择返回上述两种鉴权参数中的至少一种,也可以根据IWF的指示选择要返回的鉴权参数。
步骤413,IWF根据从MME获得的鉴权参数,利用鉴权算法计算鉴权挑战。
步骤414,IWF向UE发起鉴权挑战请求。
步骤415,UE根据鉴权挑战,并利用鉴权算法反向计算鉴权响应。
步骤416,UE将计算得到的鉴权响应返回给IWF。
步骤417,IWF验证鉴权响应是否正确,并在验证鉴权响应正确后向UE发送注册成功响应。
针对图4所示的流程,在步骤409~步骤412中,是由IWF从UE的注册请求中获得MME地址,主动和MME建立Sv接口,并向MME查询鉴权参数的。而本发明针对图4流程的另一实施例还提供了一种可行的方法,即在图4所示的UE附着到EPS网络的过程中,在UE成功附着到EPS网络,EPS网络为UE建立了用于CSoPS的承载,且MME为UE分配了IWF(即步骤407)之后,MME可以主动建立和IWF的Sv接口,并通过该接口将步骤404中获得的鉴权参数发送给IWF。之后,当UE向IWF发起注册时,IWF无需再次向MME请求建立Sv接口并请求查询鉴权参数,可以直接利用先前MME发送给IWF的鉴权参数来对UE进行安全认证。
IWF根据MME对UE的安全认证状态对UE进行安全认证的实施例,如图5所示,主要包括以下步骤:
步骤501,UE附着到EPS网络,通过NAS鉴权认证,EPS网络为UE建立承载,UE获得分配的IP地址。
该步骤的操作与图4所示流程中步骤401~407的操作类似,此处不再赘述。
步骤502,UE从EPS网络中获取拜访网的IWF地址。
步骤503,UE向IWF发起注册请求,该请求中携带的信息主要包括:UE的IMSI、UE的IP地址、UE接入到EPS网络的TAI、UE接入到的MME的地址或标识信息。
步骤504,IWF获得UE接入到的MME的地址。
由于UE从未在该IWF上注册,因此IWF从UE的注册请求中获得了IMSI、IP地址等信息后,需要验证UE是否合法。IWF可以从MME的UE状态信息中检验该UE是否被EPS网络认证通过。
步骤505,IWF向MME发起Sv接口的建立请求,并向MME查询UE的认证状态。
IWF通过向MME提供UE的IMSI、IP地址等信息,来要求MME验证UE的认证状态。
步骤506,MME建立和IWF之间的Sv接口,并在建立完成后向IWF返回建立成功响应,响应中携带UE的认证状态。
如果UE在MME上认证成功,则MME上存储有UE的完整的上下文数据,其中记录了UE的IMSI、IP地址等信息,MME根据IWF提供的IMSI、IP地址等信息,查询自身存储的上下文数据中是否有对应的IMSI、IP地址等信息,如果有,则认为UE已经通过了EPS网络的接入认证,并向IWF返回UE的认证状态,即通过信息标识UE已经通过了EPS网络的接入认证。相反,如果MME上没有对应UE的IMSI、IP地址等参数,则认为UE没有通过EPS的接入认证,MME通过信息标识UE没有通过EPS网络的接入认证。
需要指出的是,UE接入到EPS网络时的认证状态包括以下状态中的至少一种:
a、EPS网络对UE进行NAS鉴权的安全认证状态(如果EPS网络对UE执行了NAS鉴权过程);
b、EPS网络允许UE接入的状态;
c、EPS网络为UE建立承载并分配互联网协议IP地址的状态。
步骤507,IWF从MME获得了UE接入到EPS网络的认证状态后,如果确认UE已通过了EPS网络的接入认证,则向UE发送注册成功响应,否则拒绝UE的注册。
图5所示的流程,是由IWF主动建立与MME之间的Sv接口并通过该接口向MME查询UE的认证状态。而本发明针对图5流程的另一实施例还提供了一种可行的方法,即在UE成功附着到EPS网络,EPS网络为UE建立了用于CSoPS的承载,且MME为UE分配了IWF之后,MME可以主动建立和IWF之间的Sv接口,并通过该接口将UE的认证状态发送给IWF。之后,当UE向IWF发起注册时,IWF无需在此向MME请求建立Sv接口和查询UE的认证状态,可以直接利用先前MME发送给IWF的认证状态来判定UE是否已经通过了EPS网络的接入认证。
IWF根据MSC对UE的安全认证状态对UE进行安全认证的实施例,如图6所示,主要包括以下步骤:
步骤601,UE附着到EPS网络,通过NAS鉴权认证,EPS网络为UE建立承载,UE获得分配的IP地址。
该步骤的操作与图4所示流程中步骤401~407的操作类似,此处不再赘述。
步骤602,UE从EPS网络中获取拜访网的IWF地址。
步骤603,UE向IWF发起注册请求,该请求中携带的信息主要包括:UE的IMSI、UE的IP地址、UE接入到EPS网络的TAI、UE接入到的MME的地址或标识信息。
UE可以在该注册请求中,携带一个用以指示向CS域发起注册的标识信息,指明UE希望实现注册到CS网络的目的。其中,用以指示向CS域发起注册的标识信息可以是向CS域发起位置更新过程的标识信息,指明UE希望通过CS域位置更新过程实现注册到CS网络的目的。这样,UE所发起的同时向IWF、CS域的注册请求,即构成了一个联合注册请求。
步骤604,IWF接收到UE的注册请求后,从请求中获得UE的IMSI、UE的IP地址、UE接入到EPS网络的TAI、UE接入到的MME的地址或标识等信息,并根据注册请求中用以指示向CS域发起注册的标识信息,判断UE需要向CS域发起注册流程。
需要指出的是,如果UE在注册请求中携带EPS网络的TAI,则IWF可以将TAI通过一定的映射规则,转换成CS域的位置信息(LAI,Location AreaIdentity);如果UE在联合注册请求中携带了LAI,则IWF可以直接利用该LAI。
步骤605,IWF代替UE向MSC发起CS域的位置更新请求,请求中携带LAI。
步骤606,MSC向HLR发起位置更新请求,并请求下载UE的业务配置数据。
由于UE没有在该MSC上注册,因此MSC需要从HLR获取鉴权参数对UE进行鉴权认证。
步骤607,HLR接收到MSC发送的位置更新请求后,向MSC返回位置更新响应,在响应中携带UE的业务配置数据和对UE进行安全认证的鉴权参数。
步骤608,MSC根据HLR所返回的鉴权参数,利用鉴权算法计算鉴权挑战。
步骤609,MSC通过IWF向UE发送鉴权挑战请求。
步骤610,UE根据自身所存储的长期密钥,利用鉴权算法计算鉴权响应。
UE中存储的长期密钥与HLR/HSS中存储的长期密钥是一致的。
步骤611,UE通过IWF向MSC返回鉴权响应。
步骤612,MSC接收到鉴权响应后,验证鉴权响应是否正确,以判断UE是否为合法的用户,并在判断合法后向IWF发送位置更新响应。该位置更新响应即为UE向CS域注册时的安全认证状态。
步骤613,IWF接收到MSC发送的位置更新响应后,向UE发送注册成功响应。
由于IWF是代替UE发起CS与的位置更新,因此在接收到MSC的位置更新响应后,需要向UE发送注册成功响应。
另外,在图6所示的流程中,IWF收到UE的注册请求,并根据注册请求中用以指示向CS域发起注册的标识信息,代替UE向CS域发起位置更新,以便UE向CS域注册。而本发明针对图6流程的另一实施例还提供了一种可行的方法,即如果UE发起的注册请求中不携带用以指示向CS域发起注册的标识信息,则IWF在收到注册请求后,可以根据网络的策略配置,主动代替UE向MSC发起CS域的位置更新请求,并利用MSC对UE的CS鉴权过程,来完成MSC对UE的安全认证,从而使得IWF认为UE对IWF是安全可信的,并据此,IWF通过UE向IWF的注册请求。在此过程中,IWF同样会需要将EPS网络的TAI映射成CS域的LAI。
此外,作为本发明实施例三的另一种实现方式,本发明实施例四的安全认证方法如图7所示,其与实施例三的区别在于,IWF在接收到UE的注册请求后,可以预先默认UE注册成功,并通过UE的注册,如步骤703、704所示;然后UE向CS域发起位置更新请求,MSC将对UE进行CS域的鉴权认证,在该过程中,如果鉴权失败(即UE没有通过鉴权),则IWF在步骤712中将截获鉴权失败响应,并且IWF将主动发起步骤713,来取消UE在IWF上的注册。另一方面,如果UE通过了CS域的鉴权,则IWF可以在步骤712中截获鉴权成功响应,从而知道UE通过了安全认证,因而也不会主动取消UE在IWF上的注册。
综上所述,本发明实现了UE通过接入到EPS网络来实现CS域业务时,IWF对UE的安全认证,有利于提高IWF对UE的认证效率,提高IWF处理信令的能力。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (12)
1.一种安全认证方法,其特征在于,该方法包括:
互联网元IWF接收来自用户终端UE的注册请求;
所述IWF根据鉴权网元中对UE进行安全认证的鉴权参数或安全认证状态,对所述UE进行安全认证。
2.根据权利要求1所述安全认证方法,其特征在于,所述鉴权网元为分组域系统EPS网络中的移动性管理实体MME,所述IWF从MME获取对UE进行安全认证的鉴权参数,并根据所述鉴权参数对UE进行安全认证。
3.根据权利要求2所述安全认证方法,其特征在于,所述IWF从MME获得鉴权参数,进一步包括:
所述IWF从UE的注册请求中获得所述MME的地址;
所述IWF向MME请求所述鉴权参数;
所述MME将从归属用户服务器HSS获得的鉴权参数发送给所述IWF。
4.根据权利要求2所述安全认证方法,其特征在于,所述IWF从MME获得鉴权参数,进一步包括:
所述MME从HSS获得所述鉴权参数后,将所述鉴权参数主动发送给所述IWF。
5.根据权利要求1、或2、或3、或4所述安全认证方法,其特征在于,所述对UE进行安全认证的鉴权参数为:所述EPS网络对UE进行接入认证的鉴权参数,和/或CS业务建立在分组交换PS承载上CSoPS业务对UE的鉴权参数。
6.根据权利要求1所述安全认证方法,其特征在于,所述鉴权网元为EPS网络中的MME,所述IWF根据MME对UE的安全认证状态对UE进行安全认证,具体包括:
所述IWF根据UE的注册请求中的MME信息获得所述MME的地址;
所述IWF向MME请求查询所述UE接入EPS网络时的认证状态;
所述MME向IWF返回UE接入EPS网络时的认证状态;
所述IWF根据所述UE接入EPS网络时的认证状态验证所述UE是否通过安全认证,并向所述UE返回安全认证结果。
7.根据权利要求1所述安全认证方法,其特征在于,所述鉴权网元为EPS网络中的MME,所述IWF根据MME对UE的安全认证状态对UE进行安全认证,具体包括:
在所述UE成功附着到EPS网络,EPS网络为UE建立了承载,且MME为UE分配了IWF之后,所述MME将所述UE接入EPS网络时的认证状态主动发送给所述IWF;
所述IWF根据所述UE接入EPS网络时的认证状态验证所述UE是否通过安全认证,并向所述UE返回安全认证结果。
8.根据权利要求6或7所述安全认证方法,其特征在于,所述UE接入EPS网络时的认证状态包括以下状态中的至少一种:EPS网络对UE进行非接入层NAS鉴权的安全认证状态、EPS网络允许UE接入的状态、EPS网络为UE建立承载并分配互联网协议IP地址的状态。
9.根据权利要求1所述安全认证方法,其特征在于,所述鉴权网元为电路交换CS域中的移动交换中心MSC,所述IWF根据MSC对UE的安全认证状态对UE进行安全认证,具体包括:
所述IWF接收到UE的注册请求时,根据所述注册请求中用以指示向CS域发起注册的标识信息,代替所述UE向所述MSC发起CS域的注册流程;
所述IWF根据所述UE向CS域发起注册时的安全认证状态,验证所述UE是否通过安全认证,并向所述UE返回安全认证结果。
10.根据权利要求1所述安全认证方法,其特征在于,所述鉴权网元为CS域中的MSC,所述IWF根据MSC对UE的安全认证状态对UE进行安全认证,具体包括:
所述IWF接收到UE的注册请求,且注册请求中没有用以指示向CS域发起注册的标识信息时,根据网络的策略配置,代替所述UE向所述MSC发起CS域的注册流程;
所述IWF根据所述UE向CS域发起注册时的安全认证状态,验证所述UE是否通过安全认证,并向所述UE返回安全认证结果。
11.根据权利要求9或10所述安全认证方法,其特征在于,所述UE向IWF发送的注册请求中用以指示向CS域发起注册的标识信息,是UE向CS域发起位置更新过程的指示。
12.根据权利要求1所述安全认证方法,其特征在于,所述鉴权网元为CS域中的MSC,所述IWF根据MSC对UE的安全认证状态对UE进行安全认证,具体包括:
所述IWF接收到UE的注册请求后,预先默认UE注册成功,并根据UE请求注册到CS域时MSC对UE的安全认证状态,确定是否取消UE在IWF上的注册。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910009065.1A CN101808321B (zh) | 2009-02-16 | 2009-02-16 | 一种安全认证方法 |
| PCT/CN2009/075968 WO2010091589A1 (zh) | 2009-02-16 | 2009-12-24 | 一种安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910009065.1A CN101808321B (zh) | 2009-02-16 | 2009-02-16 | 一种安全认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101808321A true CN101808321A (zh) | 2010-08-18 |
| CN101808321B CN101808321B (zh) | 2014-03-12 |
Family
ID=42561390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910009065.1A Expired - Fee Related CN101808321B (zh) | 2009-02-16 | 2009-02-16 | 一种安全认证方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101808321B (zh) |
| WO (1) | WO2010091589A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102572756A (zh) * | 2010-12-30 | 2012-07-11 | 中兴通讯股份有限公司 | 语音呼叫回退的处理方法、装置及系统 |
| WO2015196415A1 (zh) * | 2014-06-26 | 2015-12-30 | 华为技术有限公司 | 数据的安全传输方法和设备 |
| CN107770770A (zh) * | 2016-08-16 | 2018-03-06 | 电信科学技术研究院 | 一种接入认证方法、ue和接入设备 |
| CN109756896A (zh) * | 2017-11-02 | 2019-05-14 | 中国移动通信有限公司研究院 | 一种信息处理方法、网络设备及计算机可读存储介质 |
| CN110278556A (zh) * | 2018-03-13 | 2019-09-24 | 中兴通讯股份有限公司 | 一种安全认证策略确定方法、设备和计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6606491B1 (en) * | 1998-06-26 | 2003-08-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Subscriber validation method in cellular communication system |
| CN1672368A (zh) * | 2002-06-20 | 2005-09-21 | 高通股份有限公司 | 通信系统的互通功能 |
| WO2008038949A1 (en) * | 2006-09-28 | 2008-04-03 | Samsung Electronics Co., Ltd. | A system and method of providing user equipment initiated and assisted backward handover in heterogeneous wireless networks |
| CN101227677A (zh) * | 2008-02-05 | 2008-07-23 | 中兴通讯股份有限公司 | 一种单无线信道语音业务连续性的域切换方法 |
| EP2009866A1 (en) * | 2007-06-26 | 2008-12-31 | France Télécom | Apparatuses and method for communicating a request for an internet protocol address to the visited serving gateway |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101217809B (zh) * | 2008-01-18 | 2012-06-13 | 中兴通讯股份有限公司 | 不同网络协议间实现用户注册的方法 |
| CN101222768B (zh) * | 2008-01-31 | 2012-01-11 | 中兴通讯股份有限公司 | 一种用户设备获得接入点名称的方法和分组域系统 |
-
2009
- 2009-02-16 CN CN200910009065.1A patent/CN101808321B/zh not_active Expired - Fee Related
- 2009-12-24 WO PCT/CN2009/075968 patent/WO2010091589A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6606491B1 (en) * | 1998-06-26 | 2003-08-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Subscriber validation method in cellular communication system |
| CN1672368A (zh) * | 2002-06-20 | 2005-09-21 | 高通股份有限公司 | 通信系统的互通功能 |
| WO2008038949A1 (en) * | 2006-09-28 | 2008-04-03 | Samsung Electronics Co., Ltd. | A system and method of providing user equipment initiated and assisted backward handover in heterogeneous wireless networks |
| EP2009866A1 (en) * | 2007-06-26 | 2008-12-31 | France Télécom | Apparatuses and method for communicating a request for an internet protocol address to the visited serving gateway |
| CN101227677A (zh) * | 2008-02-05 | 2008-07-23 | 中兴通讯股份有限公司 | 一种单无线信道语音业务连续性的域切换方法 |
Non-Patent Citations (3)
| Title |
|---|
| A.JØSANG 等: "Enabling Factors for in Service Provider Access", 《IFIP ADVANCE IN INFORMATION AND COMMUNICATION TECHNOLOGY》 * |
| ALCATEL-LUCENT: "《3GPP TSG SA WG2 Meeting #69,TD S2-087575,Addition of an alternative to CS over PS》", 21 November 2008 * |
| T-MOBILE 等: "《3GPP TSG SA WG2 Meeting #70,TD S2-090817,Cleanup of Section 5.2.2 in TR 23.879》", 16 January 2009 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102572756A (zh) * | 2010-12-30 | 2012-07-11 | 中兴通讯股份有限公司 | 语音呼叫回退的处理方法、装置及系统 |
| CN102572756B (zh) * | 2010-12-30 | 2016-04-13 | 中兴通讯股份有限公司 | 语音呼叫回退的处理方法、装置及系统 |
| WO2015196415A1 (zh) * | 2014-06-26 | 2015-12-30 | 华为技术有限公司 | 数据的安全传输方法和设备 |
| CN105393567A (zh) * | 2014-06-26 | 2016-03-09 | 华为技术有限公司 | 数据的安全传输方法和设备 |
| CN105393567B (zh) * | 2014-06-26 | 2020-07-21 | 华为技术有限公司 | 数据的安全传输方法和设备 |
| CN107770770A (zh) * | 2016-08-16 | 2018-03-06 | 电信科学技术研究院 | 一种接入认证方法、ue和接入设备 |
| CN109756896A (zh) * | 2017-11-02 | 2019-05-14 | 中国移动通信有限公司研究院 | 一种信息处理方法、网络设备及计算机可读存储介质 |
| CN109756896B (zh) * | 2017-11-02 | 2022-04-29 | 中国移动通信有限公司研究院 | 一种信息处理方法、网络设备及计算机可读存储介质 |
| CN110278556A (zh) * | 2018-03-13 | 2019-09-24 | 中兴通讯股份有限公司 | 一种安全认证策略确定方法、设备和计算机可读存储介质 |
| CN110278556B (zh) * | 2018-03-13 | 2021-11-12 | 中兴通讯股份有限公司 | 一种安全认证策略确定方法、设备和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101808321B (zh) | 2014-03-12 |
| WO2010091589A1 (zh) | 2010-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8769626B2 (en) | Web authentication support for proxy mobile IP | |
| CN101150782B (zh) | 一种策略计费控制服务器的选择方法 | |
| CN101019460B (zh) | 用于异构网络中互连的方法,分组数据网关和验证服务器 | |
| CN101784035B (zh) | 一种业务网元与mme建立关联的方法、系统及用户设备 | |
| EP2858418B1 (en) | Method for updating identity information about packet gateway, aaa server and packet gateway | |
| CN102695236B (zh) | 一种数据路由方法及系统 | |
| WO2014056445A1 (zh) | 一种路由转发的方法、系统及控制器 | |
| CN101754305A (zh) | 实现数据网关切换的方法、装置和系统 | |
| CN102893669B (zh) | 接入移动网络的方法、装置及系统 | |
| CN101867987A (zh) | 一种能使终端在3gpp和wlan切换的网络以及切换方法 | |
| JP4613926B2 (ja) | 移動体通信網と公衆網間でのハンドオーバー方法および通信システム | |
| CN103313239A (zh) | 一种用户设备接入融合核心网的方法及系统 | |
| CN107005843A (zh) | 一种无线通信网络中的接入方法、相关装置及系统 | |
| KR101659986B1 (ko) | 메시지 송신 방법 및 범용 무선 패킷 서비스 지원 노드 | |
| WO2010133107A1 (zh) | 家用基站网关转发消息至家用基站的方法及系统 | |
| CN101808321B (zh) | 一种安全认证方法 | |
| CN101272618A (zh) | 一种通过联合节点实现网络互通的方法及系统 | |
| JP5382479B2 (ja) | アクセスネットワークとコアネットワークとの間の通信技術 | |
| CN101730073B (zh) | 一种获取用户签约数据的方法及系统 | |
| CN103428800A (zh) | 路由选择方法及功能网元 | |
| CN102917355A (zh) | 一种接入方法、系统及移动智能接入点 | |
| CN101990312B (zh) | 一种移动网络连接的建立方法及系统 | |
| CN105453617A (zh) | 用于获得验证信息的方法和设备 | |
| CN106470397B (zh) | WiFi网络中获取终端位置的方法、终端、LTE通信设备及系统 | |
| EP3169120A1 (en) | Support of wlan location change reporting or retrieval for untrusted wlan access to a 3gpp packet core network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140312 Termination date: 20180216 |