CN101841807B - 一种安全过程的执行方法和系统 - Google Patents
一种安全过程的执行方法和系统 Download PDFInfo
- Publication number
- CN101841807B CN101841807B CN200910080338.1A CN200910080338A CN101841807B CN 101841807 B CN101841807 B CN 101841807B CN 200910080338 A CN200910080338 A CN 200910080338A CN 101841807 B CN101841807 B CN 101841807B
- Authority
- CN
- China
- Prior art keywords
- mme
- request
- security
- base station
- security process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 91
- 230000008569 process Effects 0.000 title claims abstract description 74
- 230000005540 biological transmission Effects 0.000 claims description 12
- 230000011664 signaling Effects 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000007420 reactivation Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种安全过程的执行方法和系统,其中,方法包括:移动管理实体(MME)接收到用户终端(UE)发送的紧急附着请求后,如果没有激活非接入层(NAS)安全过程,则MME向基站发送不包含UE安全能力信息的初始上下文建立请求。由于在MME没有激活NAS安全过程时不产生用于接入层(AS)安全的密钥,基站对UE的AS安全过程也不会成功,因此,本发明在初始上下文建立请求中不携带多余的UE安全能力信息,减小了MME和基站之间的S1接口的信令负担。
Description
技术领域
本发明涉及移动通信技术领域,特别涉及一种安全过程的执行方法和系统。
背景技术
随着对长期演进(LTE)系统的不断发展和重视,对LTE系统的安全功能也不断得到完善、扩展和加强。LTE系统的安全主要包括:接入层(AS)的安全和非接入层(NAS)的安全,其中,AS的安全为用户终端(UE)与基站(eNB)之间的安全,NAS的安全为UE与移动管理实体(MME)之间的安全。
现有技术中的安全过程可以如图1所示,UE向MME发起附着(Attach)请求,该Attach请求中包含了UE的安全能力信息;MME接收到Attach请求后,利用UE的安全能力信息进行鉴权和NAS安全过程,在NAS安全过程中MME生成用于AS安全的密钥,并将该用于AS安全的密钥作为该UE的安全上下文信息携带在初始上下文建立请求中发送给eNB,eNB接收到该UE的安全上下文信息后激活AS的安全过程。
当UE向MME发起紧急附着(Emergency Attach)请求时,对于没有鉴权通过的UE,MME可以跳过NAS安全过程,直接执行紧急承载(Emergency Bearer)建立过程;或者UE向MME发起Emergency Attach请求时,MME直接跳过鉴权和NAS安全过程,直接执行Emergency Bearer建立过程。由于没有执行NAS安全过程,因此MME没有生成用于AS安全的密钥,但仍会将UE的安全能力信息发送给eNB。但是,由于eNB不能获取到用于AS安全的密钥,因此,激活的AS安全过程不能够成功执行,因此,现有技术中MME发送给eNB的UE的安全能力信息是没有必要的,这对于MME和eNB之间的S1接口是一种信令负担。
发明内容
有鉴于此,本发明提供了一种安全过程的执行方法和系统,以便于减小MME和eNB之间的S1接口的信令负担。
一种安全过程的执行方法,该方法包括:
MME接收到UE发送的紧急附着请求后,如果没有激活NAS安全过程,则向基站发送不包含UE安全能力信息的初始上下文建立请求;
所述基站接收到不包含UE安全能力信息的初始上下文建立请求后,不激活接入层AS安全过程。
一种安全过程的执行系统,该系统包括:MME和基站;
所述MME,用于接收到UE发送的紧急附着请求后,如果没有激活NAS安全过程,则向所述基站发送不包含UE安全能力信息的初始上下文建立请求;
所述基站,用于接收到所述不包含UE安全能力信息的初始上下文建立请求后,不激活接入层AS安全过程。
由以上技术方案可以看出,在本发明所提供的方法和系统中,MME接收到UE发送的紧急附着请求后,如果没有激活NAS安全过程,则由于MME不会生成用于AS安全的密钥,基站进行的AS安全过程也相应不会成功,因此MME向基站发送UE的安全能力信息也是多余的,所以,本发明在MME没有激活NAS安全过程时,向基站发送不包含UE安全能力信息的初始上下文建立请求,从而减小MME和基站之间的S1接口的信令负担。
附图说明
图1为现有技术中的安全过程示意图;
图2为本发明实施例提供的方法流程图;
图3为本发明实施例提供的系统结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
本发明所提供的方法主要包括:MME接收UE发送的Emergency Attach请求后,如果没有激活NAS安全过程,则向eNB发送不包含UE安全能力信息的初始上下文建立请求。
下面举具体的实施例对上述方法进行详细描述。图2为本发明实施例提供的方法流程图,如图2所示,该方法可以包括以下步骤:
步骤201:MME接收到UE发起的Attach请求后,判断该Attach请求是Emergency Attach请求还是常规附着(Normal Attach)请求,如果是NormalAttach请求,则按照现有技术的方式执行后续流程;如果是Emergency Attach请求,则继续执行步骤202。
通常在Attach请求中会包含一个类型信元(Type IE)用于指示Attach请求的类型,通过该Type IE便可以确定UE发起的是Emergency Attach请求还是Normal Attach请求。
如果UE发起Normal Attach请求,即发起初始Attach请求或者切换附着(Handover Attach)请求,则按照现有技术方式执行,即MME会执行鉴权和NAS安全过程,并将产生的用于AS安全的密钥和UE的安全能力信息携带在初始上下文建立请求中发送给eNB。
步骤202:MME利用Emergency Attach请求对该UE进行鉴权,如果鉴权失败,则不激活NAS安全过程;或者直接跳过鉴权和NAS安全过程。
MME接收到Emergency Attach请求后,不激活NAS安全过程主要可能由两种情况引起:一种是MME对UE进行鉴权,但是鉴权失败,就不再激活NAS安全过程;另一种是MME确定接收到的是Emergency Attach请求后,直接跳过鉴权和NAS安全过程。
步骤203:MME向eNB发送的初始上下文建立请求中不携带UE的安全能力信息,也不携带用于AS安全的密钥。
由于步骤202中没有激活NAS安全过程,因此,MME不会生成用于AS安全的密钥,在初始上下文建立请求中自然不会携带AS安全的密钥。并且,由于没有用于AS安全的密钥,eNB不可能成功进行AS安全过程,那么UE的安全能力信息也是多余的,所以,MME在向eNB发送的初始上下文建立请求中也不携带UE的安全能力信息。
本步骤中,可以将初始上下文建立请求中的安全能力字段和密钥字段设置为空,也可以在初始上下文建立请求中不包含安全能力字段和密钥字段。
步骤204:eNB接收到初始上下文建立请求后,不激活AS安全过程。
eNB接收到不携带UE安全能力信息和用于AS安全的密钥后,不激活AS安全过程,直接执行空口承载建立等后续流程。
另外,在UE与eNB的连接建立后,可能会发生以下两种切换,即X2接口的切换或S1接口的切换,其中,X2接口为eNB之间的接口,S1接口为MME与eNB之间的接口。
发生X2接口的切换时,如果源eNB没有对UE进行AS安全过程,则向目标eNB发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求;目标eNB接收到不携带UE安全能力信息和用于AS安全的密钥信息后,不会激活AS的安全过程,执行没有安全保护的信令交互和数据传输。其中,可以将源eNB发送的切换请求中的安全能力字段和密钥字段设置为空,也可以在源eNB发送的切换请求中不包含安全能力字段和密钥字段。
发生S1接口的切换时,如果源MME之前对UE没有进行NAS安全过程,则源MME向目标MME发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求,目标MME接收到该切换请求时,不激活NAS安全过程,并向目标eNB发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求,目标eNB不激活AS安全过程,执行没有安全保护的信令交互和数据传输。另外,为了最大程度的适应现有协议,在发生S1接口的切换时,如果源eNB需要向源MME发送切换请求,则该切换请求中也同样不携带UE安全能力信息和用于AS安全的密钥信息。其中,可以将上述所有切换请求的安全能力字段和密钥字段设置为空,也可以在源eNB发送的切换请求中不包含安全能力字段和密钥字段。另外,在发生S1接口切换时,源eNB发送给目标eNB的无线资源控制(RRC)上下文中也可以不包含源侧的安全上下文信息。
以上是对本发明所提供的方法进行的描述,下面对本发明所提供的系统进行描述。如图3所示,该系统可以包括:MME 301和eNB 302。
MME 301,用于接收到UE发送的Emergency Attach请求后,如果没有激活NAS安全过程,则向eNB 302发送不包含UE安全能力信息的初始上下文建立请求。
eNB 302,用于接收不包含UE安全能力信息的初始上下文建立请求。
更进一步地,上述eNB 302在接收到不包含UE安全能力信息的初始上下文建立请求后,不激活AS安全过程。
由于MME301没有激活NAS安全过程,因此上述初始上下文建立请求中也不包含用于AS的密钥信息。具体可以将初始上下文建立请求中的安全能力字段和密钥字段设置为空,也可以在初始上下文建立请求中不包含安全能力字段和密钥字段。
MME 301接收到UE发送的Emergency Attach请求后,可以直接跳过对UE的鉴权并不激活NAS安全过程,或者在对UE鉴权失败后不激活NAS安全过程。
更进一步地,该系统还可以包括:UE发生eNB与eNB之间的X2接口的切换时要切换到的目标eNB 303。
UE当前所在的eNB302,即源eNB,向目标eNB303发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求。
目标eNB 303,用于接收到不携带UE安全能力信息和用于AS安全的密钥信息的切换请求后,不激活AS的安全过程。
另外,该系统还可以包括:UE发生MME与eNB之间的S1接口切换时要切换到的目标MME 304和目标eNB 305。
UE当前所在的MME 301,即源MME,向目标MME 304发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求。
目标MME 304,用于接收到不携带UE安全能力信息和用于AS安全的密钥信息的切换请求后,不激活NAS安全过程,并向目标eNB 305发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求。
目标eNB 305,用于接收到不携带UE安全能力信息和用于AS安全的密钥信息的切换请求后,不激活AS安全过程。
具体可以将上述切换请求中的安全能力字段和密钥字段设置为空,也可以在上述切换请求中不包含安全能力字段和密钥字段。
由以上描述可以看出,在本发明所提供的方法和系统中,MME接收到UE发送的Emergency Attach请求后,如果没有激活NAS安全过程,则由于MME不会生成用于AS安全的密钥,eNB进行的AS安全过程也相应不会成功,因此MME向eNB发送UE的安全能力信息也是多余的,所以,本发明在MME没有激活NAS安全过程时,向eNB发送不包含UE安全能力信息的初始上下文建立请求,从而减小MME和eNB之间的S1接口的信令负担。
在基站接收到不携带UE安全能力信息的初始上下文建立请求时,不激活AS安全过程,从而减轻了基站的处理负担,也减少了基站与UE之间的信令交互。
另外,在此基础上本发明也提供了在进行S1和X2接口切换时,在切换请求中不携带UE安全能力信息和用于AS安全的密钥,更进一步减轻S1接口和X2接口的信令负担。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种安全过程的执行方法,其特征在于,该方法包括:
移动管理实体MME接收到用户终端UE发送的紧急附着请求后,如果没有激活非接入层NAS安全过程,则向基站发送不包含UE安全能力信息的初始上下文建立请求;
所述基站接收到不包含UE安全能力信息的初始上下文建立请求后,不激活接入层AS安全过程。
2.根据权利要求1所述的方法,其特征在于,所述初始上下文建立请求中不包含用于AS安全的密钥信息。
3.根据权利要求1所述的方法,其特征在于,所述MME接收到UE发送的紧急附着请求后,直接跳过对所述UE的鉴权并不激活NAS安全过程,或者在对所述UE鉴权失败后不激活NAS安全过程。
4.根据权利要求1所述的方法,其特征在于,当发生基站与基站之间的X2接口的切换时,所述基站向要切换到的目标基站发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求;所述目标基站接收到该切换请求后,不激活AS的安全过程。
5.根据权利要求1所述的方法,其特征在于,当发生MME与基站之间的S1接口的切换时,所述MME向要切换到的目标MME发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求;所述目标MME接收到该切换请求后,不激活NAS安全过程,并向目标基站发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求;所述目标基站接收到该切换请求后,不激活AS安全过程。
6.一种安全过程的执行系统,其特征在于,该系统包括:MME和基站;
所述MME,用于接收到UE发送的紧急附着请求后,如果没有激活NAS安全过程,则向所述基站发送不包含UE安全能力信息的初始上下文建立请求;
所述基站,用于接收到所述不包含UE安全能力信息的初始上下文建立请求后,不激活接入层AS安全过程。
7.根据权利要求6所述的系统,其特征在于,所述MME接收到所述UE发送的紧急附着请求后,直接跳过对所述UE的鉴权并不激活NAS安全过程,或者在对所述UE鉴权失败后不激活NAS安全过程。
8.根据权利要求6所述的系统,其特征在于,该系统还包括:发生基站与基站之间的X2接口的切换时要切换到的目标基站;
UE当前所在的所述基站,向所述目标基站发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求;
所述目标基站,用于接收到所述不携带UE安全能力信息和用于AS安全的密钥信息的切换请求后,不激活AS的安全过程。
9.根据权利要求6所述的系统,其特征在于,该系统还包括:发生MME与基站之间的S1接口切换时要切换到的目标MME和目标基站;
UE当前所在的所述MME,向所述目标MME发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求;
所述目标MME,用于接收到所述不携带UE安全能力信息和用于AS安全的密钥信息的切换请求后,不激活NAS安全过程,并向所述目标基站发送不携带UE安全能力信息和用于AS安全的密钥信息的切换请求;
所述目标基站,用于接收到不携带UE安全能力信息和用于AS安全的密钥信息的切换请求后,不激活AS安全过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910080338.1A CN101841807B (zh) | 2009-03-19 | 2009-03-19 | 一种安全过程的执行方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910080338.1A CN101841807B (zh) | 2009-03-19 | 2009-03-19 | 一种安全过程的执行方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101841807A CN101841807A (zh) | 2010-09-22 |
| CN101841807B true CN101841807B (zh) | 2013-01-23 |
Family
ID=42744851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910080338.1A Active CN101841807B (zh) | 2009-03-19 | 2009-03-19 | 一种安全过程的执行方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101841807B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102790957A (zh) * | 2011-05-18 | 2012-11-21 | 中兴通讯股份有限公司 | Ue处于非连接状态时触发csfb流程的方法及系统 |
| CN105792189A (zh) * | 2014-12-26 | 2016-07-20 | 中兴通讯股份有限公司 | 一种切换流程中安全信息的处理方法、接入网关及基站 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005696A (zh) * | 2006-01-18 | 2007-07-25 | 展讯通信(上海)有限公司 | 一种快速呼叫建立中空中接口消息传送方法 |
| CN101242630A (zh) * | 2007-02-05 | 2008-08-13 | 华为技术有限公司 | 安全算法协商的方法、装置及网络系统 |
-
2009
- 2009-03-19 CN CN200910080338.1A patent/CN101841807B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101005696A (zh) * | 2006-01-18 | 2007-07-25 | 展讯通信(上海)有限公司 | 一种快速呼叫建立中空中接口消息传送方法 |
| CN101242630A (zh) * | 2007-02-05 | 2008-08-13 | 华为技术有限公司 | 安全算法协商的方法、装置及网络系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101841807A (zh) | 2010-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1968534B (zh) | 用于在移动通信系统中连接重建的方法 | |
| AU2018449171B2 (en) | Apparatus, method and computer program for connection management | |
| EP2930998B1 (en) | User equipment and paging method and system using an extended paging period | |
| US9681339B2 (en) | Security processing method and system in network handover process | |
| KR102264618B1 (ko) | 통신 방법, 액세스 네트워크 장치, 및 단말기 | |
| EP3496477B1 (en) | Paging method, device and system, and related computer-readable medium | |
| KR101992278B1 (ko) | 무선 통신 시스템 및 그 무선 통신 시스템에서 과부하 제어를 위한 rrc 연결 방법 | |
| WO2018127030A1 (zh) | Ran通知范围信息的通知方法及装置 | |
| WO2011137686A1 (zh) | 小区休眠的处理方法及系统 | |
| CN114342435B (zh) | 无线通信方法和装置 | |
| CN101540981B (zh) | 一种在紧急呼叫中进行安全能力协商的方法及系统 | |
| JP2012191353A (ja) | 移動局 | |
| CN102172090B (zh) | 终端间的通信方法和设备 | |
| EP2451199B1 (en) | Warning message transmission method and apparatus | |
| CN101925050A (zh) | 一种安全上下文的生成方法及装置 | |
| CN101873584B (zh) | 一种小区内切换失败时重新生成密钥的方法及系统 | |
| CN107371238B (zh) | 一种寻呼方法及装置 | |
| US20230140726A1 (en) | Method and apparatus for providing emergency service in a network | |
| CN101841807B (zh) | 一种安全过程的执行方法和系统 | |
| EP3579655B1 (en) | Connection release method and system, and computer readable storage medium | |
| JP7013474B2 (ja) | コンテキスト解放方法、機器及びシステム | |
| US20220217616A1 (en) | Applying Access Control in a Communication Device | |
| EP2858414B1 (en) | Method and apparatus for implementing voice service fallback | |
| WO2012149788A1 (zh) | 业务建立方法、系统、无线网络控制器及用户终端 | |
| CN103118415A (zh) | 一种业务请求的处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: INST OF TELECOMMUNICATION SCIENCE AND TECHNOLGOY Free format text: FORMER OWNER: DATANG MOBILE COMMUNICATION EQUIPMENT CO., LTD. Effective date: 20110713 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100083 NO. 29, XUEYUAN ROAD, HAIDIAN DISTRICT, BEIJING TO: 100191 NO. 40, XUEYUAN ROAD, HAIDIAN DISTRICT, BEIJING |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20110713 Address after: 100191 Haidian District, Xueyuan Road, No. 40, Applicant after: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY Address before: 100083 Haidian District, Xueyuan Road, No. 29, Applicant before: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20100922 Assignee: TENTH INSTITUTE OF TELECOMMUNICATIONS TECHNOLOGY Assignor: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY Contract record no.: 2015990000346 Denomination of invention: Execution method and system of security process Granted publication date: 20130123 License type: Exclusive License Record date: 20150520 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee after: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210610 Address after: 100085 1st floor, building 1, yard 5, Shangdi East Road, Haidian District, Beijing Patentee after: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd. Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |