CN101909368A - 无线网络安全解决方法和设备 - Google Patents
无线网络安全解决方法和设备 Download PDFInfo
- Publication number
- CN101909368A CN101909368A CN2009100526514A CN200910052651A CN101909368A CN 101909368 A CN101909368 A CN 101909368A CN 2009100526514 A CN2009100526514 A CN 2009100526514A CN 200910052651 A CN200910052651 A CN 200910052651A CN 101909368 A CN101909368 A CN 101909368A
- Authority
- CN
- China
- Prior art keywords
- network
- request message
- message
- response
- mobile switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施方式提供了无线网络安全解决方法和设备。本发明从归属域EPS网络的安全上下文推导出拜访域2G网络的安全上下文,然后使用推导出的2G网络安全上下文在2G网络里进行认证和加密。在从归属域EPS网络的安全上下文推导出拜访域2G网络的安全上下文并用于2G网络的接入认证时,重用了EPS网络和2G网络的一些消息,并且对一些参数做改动。使得本发明能实现让一个EPS用户能在2G网络里安全地触发语音呼叫,并对现有设备的影响减至最少。
Description
技术领域
本发明涉及通信技术,尤其涉及无线网络安全解决方法、装置和设备。
背景技术
3GPP(the 3rd Generation Partnership Project,第三代伙伴计划)标准技术规范TS 33.401里规定了EPS(Evolved Packet System,演进分组系统)用户在使用LTE(Long Term Evolution,长期演进)网络时突然切换到CS(Circuit Switched,电路交换)域的2G(GSM)网络如何继续安全使用CS域业务即拨打语音电话SRVCC(Single Radio Voice CallContinuity,双模单待话音呼叫连续),以确保其语音呼叫的连续性。
但是,目前规范里并没有规定一个安全解决方案让一个EPS用户能在2G网络里安全地触发拨打语音电话,EPS用户访问2G业务的一个可能的场景如下:
一个EPS用户漫游到了一个只有2G网络的地方,该EPS用户他/她的终端是双模的(既能访问EPS网络也能访问2G网络的双模终端)。很有可能该EPS用户的归属网络和漫游网络都没有部署3G网络,即归属网络运营商是直接从2G网络演进到EPS网络,拜访网络目前只部署了2G网络。在此情况下,该EPS用户漫游到了2G网络后仍然希望能使用其双模终端和USIM卡(Universal Subscriber Identity Module,通用用户身份模块)通过2G网络来播打语音电话。该场景下EPS用户使用USIM卡和2G终端来访问2G业务。但目前标准并没有解决LTE/SAE(System Architecture Evolution,系统架构演进)网络的EPS用户(使用USIM卡)如何使用2G终端来安全访问2G网络业务。
发明内容
为解决现有技术中的上述缺点,本发明提出了新的无线网络安全解决方法、装置和设备。
根据本发明,从归属域(Home Network)EPS网络的安全上下文推导出拜访域2G网络的安全上下文,然后使用推导出的2G网络安全上下文在2G网络里进行认证和加密。在从归属域EPS网络的安全上下文推导出拜访域(Visited Network)2G网络的安全上下文并用于2G网络的接入认证时,重用了EPS网络和2G网络的一些消息,并且对一些参数做改动。使得本发明能实现让一个EPS用户能在2G网络里安全地触发拨打语音电话,并对现有设备的影响减至最少。
具体地,根据本发明的一个实施方式,提供一种增强型移动交换设备,包括
接收装置,用于接收来自拜访域的移动交换设备的安全相关的信息请求消息,其中拜访域为2G网络;
消息产生装置,用于根据安全相关的信息请求消息,产生认证数据请求消息,所述认证数据请求消息中包含一个“标识”,以标识演进分组系统用户访问的是2G网络;
发送装置,用于发送认证数据请求消息给移动性管理实体;
进一步的,接收装置还用于接收来自移动性管理实体的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置,用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置,用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
进一步的,消息产生装置还用于产生2G网络安全上下文的安全相关信息的应答消息;
进一步的,发送装置还用于发送2G的安全上下文的安全相关信息的应答消息给2G网络的移动交换设备。
根据本发明的一个实施方式,提供一种增强型移动交换设备,包括
接收装置,用于接收来自拜访域的移动交换设备的安全相关的信息请求消息,其中拜访域为2G网络;
消息产生装置,用于根据安全相关的信息请求消息,产生认证数据请求消息;
发送装置,用于发送认证数据请求消息给归属用户服务器;
进一步的,接收装置还用于接收来自归属用户服务器的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置,用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置,用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
进一步的,消息产生装置还用于产生2G网络安全上下文的安全相关信息的应答消息;
进一步的,发送装置还用于发送2G的安全上下文的安全相关信息的应答消息给2G网络的移动交换设备。
根据本发明的一个实施方式,提供一种增强型移动交换设备,包括
接收装置,用于接收来自拜访域的基站子系统的位置更新请求消息,其中拜访域为2G网络;
消息产生装置,用于根据位置更新请求消息,产生认证数据请求消息,所述认证数据请求消息中包含一个“标识”,以标识演进分组系统用户访问的是2G网络;
发送装置,用于发送认证数据请求消息给移动性管理实体;
进一步的,接收装置还用于接收来自移动性管理实体的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置,用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置,用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
进一步的,存储装置还用于存储2G网络安全上下文;
进一步的,消息产生装置还用于产生认证请求消息;
进一步的,发送装置还用于发送认证请求消息给拜访域的基站子系统;
进一步的,接收装置还用于接收来自拜访域的基站子系统的认证应答消息;
比较装置,用于比较响应值RES和期望的响应值XRES是否一致;
如果响应值RES和期望的响应值XRES是一致的,消息产生装置进一步还用于产生位置更新应答消息;
并且,发送装置还进一步用于发送位置更新应答消息。
根据本发明的一个实施方式,提供一种增强型移动交换设备,包括
接收装置,用于接收来自拜访域的基站子系统的位置更新请求消息,其中拜访域为2G网络;
消息产生装置,用于根据位置更新请求消息,产生认证数据请求消息;
发送装置,用于发送认证数据请求消息给归属用户服务器;
进一步的,接收装置还用于接收来自归属用户服务器的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置,用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置,用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
进一步的,存储装置还用于存储2G网络安全上下文;
进一步的,消息产生装置还用于产生认证请求消息;
进一步的,发送装置还用于发送认证请求消息给拜访域的基站子系统;
进一步的,接收装置还用于接收来自拜访域的基站子系统的认证应答消息;
比较装置,用于比较响应值RES和期望的响应值XRES是否一致;
如果响应值RES和期望的响应值XRES是一致的,消息产生装置进一步还用于产生位置更新应答消息;
并且,发送装置还进一步用于发送位置更新应答消息。
根据本发明的一个实施方式,提供一种移动性管理实体设备,包括
接收装置,用于接收来自增强型移动交换设备的认证数据请求消息,所述认证数据请求消息中包含一个“标识”,以标识演进分组系统用户访问的是2G网络;
消息识别装置,用于根据标识“标识”,识别出是EPS用户2G业务;
设置装置,用于根据识别出EPS用户2G业务,将认证数据请求消息的参数服务网络标识和网络类型设置为空“NULL”;
发送装置,用于将经设置后的认证数据请求消息发送给归属用户服务器;
进一步的,接收装置还用于接收来自归属用户服务器的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置,用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置,用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
消息产生装置,用于产生2G网络安全上下文的认证数据应答消息;
进一步的,发送装置还用于将2G网络安全上下文的认证数据应答消息发送给增强型移动交换设备。
根据本发明的一个实施方式,提供一种无线网络安全解决方法,包括:
步骤一:用户设备发送位置更新请求消息“Location UpdateRequest(IMSI)”给基站子系统;
步骤二:基站子系统转发位置更新请求消息“Location UpdateRequest(IMSI)”给移动交换设备;
步骤三:移动交换设备识别出是漫游用户并发送安全相关信息的请求消息“Security related information Request(IMSI)”给增强的移动交换设备;
步骤四:增强型移动交换设备发送认证数据请求消息“Authentication Data Request(IMSI)”给MME,同时标识”flag”该用户是EPS用户2G网络业务;
步骤五:移动性管理实体通过标识”flag”识别出是EPS用户2G网络业务,于是转发认证数据请求消息“Authentication Data Request(IMSI,SN ID,Network Type)”给归属用户服务器,同时将参数“SNID”和“Network Type”设为NULL;
步骤六:归属用户服务器根据3GPP TS33.401和3GPP TS33.102产生EPS AVs(RAND,AUTN,KASME,XRES)并发送认证数据应答消息“Authentication Data Response(EPS AVs)”给移动性管理实体;
步骤七:移动性管理实体存储EPS AVs(RAND,AUTN,KASME,XRES)消息并根据3GPP TS 33.401从KASME导出CK和IK;
步骤八:移动性管理实体发送认证数据应答消息“AuthenticationData Response(RAND,AUTN,CK,IK,XRES)”给增强型移动交换设备;
步骤九:增强型移动交换设备存储(RAND,AUTN,CK,IK,XRES)并根据3GPP TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤十:增强型移动交换设备发送安全相关信息的应答消息“Security Related Information Response(RAND,Kc,XRES)”给移动交换设备;
步骤十一:移动交换设备存储(RAND,Kc,XRES);
步骤十二:移动交换设备发送认证请求消息“AuthenticationRequest(RAND,Kc)”给基站子系统;
步骤十三:基站子系统存储Kc;
步骤十四:基站子系统发送认证请求消息“AuthenticationRequest(RAND)”给用户设备.
步骤十五:用户设备根据接收到的RAND以与网络侧归属用户服务器相同的方法产生KASME和RES,并根据3GPP标准规范TS33.401从KASME导出CK和IK,然后又根据3GPP标准规范TS33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤十六:用户设备发送认证应答消息“Authentication Response(RES)”给基站子系统;
步骤十七:基站子系统发送认证应答消息“AuthenticationResponse(RES)”给移动交换设备;
步骤十八:移动交换设备检查来自用户设备的响应值RES是否与原来存储的期望的响应值XRES一致,如果一致则认证成功;
步骤十九:移动交换设备发送位置更新应答消息“LocationUpdate Response(200OK)”给基站子系统;
步骤二十:基站子系统发送位置更新应答消息“LocationUpdate Response(200OK)”给用户设备。
根据本发明的一个实施方式,提供一种无线网络安全解决方法,包括:
步骤一:用户设备发送位置更新请求消息“Location UpdateRequest(IMSI)”给基站子系统;
步骤二:基站子系统转发位置更新请求消息“Location UpdateRequest(IMSI)”给移动交换设备;
步骤三:移动交换设备识别出是漫游用户并发送安全相关信息的请求消息“Security related information Request(IMSI)”给增强型移动交换设备;
步骤四:增强型移动交换设备发送认证数据请求消息“Authentication Data Request(IMSI)”给归属用户服务器;
步骤五:归属用户服务器根据3GPP TS33.401和3GPP TS33.102产生(RAND,AUTN,CK,IK,XRES),然后发送认证数据应答消息“Authentication Data Response(RAND,AUTN,CK,IK,XRES)”给增强型移动交换设备;
步骤六:增强型移动交换设备存储(RAND,AUTN,CK,IK,XRES)并根据3GPP TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤七:增强型移动交换设备发送安全相关信息的应答消息“Security Related Information Response(RAND,Kc,XRES)”给移动交换设备;
步骤八:移动交换设备存储(RAND,Kc,XRES);
步骤九:移动交换设备发送认证请求消息“AuthenticationRequest(RAND,Kc)”给基站子系统;
步骤十:基站子系统存储Kc;
步骤十一:基站子系统发送认证请求消息“AuthenticationRequest(RAND)”给用户设备.
步骤十二:用户设备根据接收到的RAND以与网络侧归属用户服务器相同的方法产生CK和IK,然后又根据3GPP标准规范TS33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤十三:用户设备发送认证应答消息“Authentication Response(RES)”给基站子系统;
步骤十四:基站子系统发送认证应答消息“AuthenticationResponse(RES)”给移动交换设备;
步骤十五:移动交换设备检查来自用户设备的响应值RES是否与原来存储的期望的响应值XRES一致,如果一致则认证成功;
步骤十六:移动交换设备发送位置更新应答消息“LocationUpdate Response(200OK)”给基站子系统;
步骤十七:基站子系统发送位置更新应答消息“LocationUpdate Response(200OK)”给用户设备。
根据本发明的一个实施方式,提供一种无线网络安全解决方法,包括:
步骤一:用户设备发送位置更新请求消息“Location UpdateRequest(IMSI)”给基站子系统;
步骤二:基站子系统转发位置更新请求消息“Location UpdateRequest(IMSI)”给增强型移动交换设备;
步骤三:增强型移动交换设备发送认证数据请求消息“Authentication Data Request(IMSI)”给移动性管理实体,同时标识”flag”该用户是EPS用户2G网络业务;
步骤四:移动性管理实体通过标识”flag”识别出是EPS用户2G网络业务,于是转发认证数据请求消息“Authentication Data Request(IMSI,SN ID,Network Type)”给归属用户服务器,同时将参数“SNID”和“Network Type”设为空NULL;
步骤五:归属用户服务器根据3GPP TS33.401和3GPP TS33.102产生EPS AVs(RAND,AUTN,KASME,XRES)并发送认证数据应答消息“Authentication Data Response(EPS AVs)”给移动性管理实体;
步骤六:移动性管理实体存储EPS AVs(RAND,AUTN,KASME,XRES)消息并根据3GPP TS 33.401从KASME导出CK和IK;
步骤七:移动性管理实体发送认证数据应答消息“AuthenticationData Response(RAND,AUTN,CK,IK,XRES)”给增强型移动交换设备;
步骤八:增强型移动交换设备存储(RAND,AUTN,CK,IK,XRES)并根据3GPP TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤九:增强型移动交换设备存储(RAND,Kc,XRES);
步骤十:增强型移动交换设备发送认证请求消息“AuthenticationRequest(RAND,Kc)”给基站子系统;
步骤十一:基站子系统发送认证请求消息“AuthenticationRequest(RAND)”给用户设备.
步骤十二:用户设备根据接收到的RAND以与网络侧归属用户服务器相同的方法产生KASME和RES,并根据3GPP标准规范TS33.401从KASME导出CK和IK,然后又根据3GPP标准规范TS33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤十三:用户设备发送认证应答消息“Authentication Response(RES)”给基站子系统;
步骤十四:基站子系统发送认证应答消息“AuthenticationResponse(RES)”给增强型移动交换设备;
步骤十五:增强型移动交换设备检查来自用户设备的响应值RES是否与原来存储的期望的响应值XRES一致,如果一致则认证成功;
步骤十六:增强型移动交换设备发送位置更新应答消息“Location Update Response(200OK)”给基站子系统;
步骤十七:基站子系统发送位置更新应答消息“LocationUpdate Response(200OK)”给用户设备。
根据本发明的一个实施方式,提供一种无线网络安全解决方法,包括:
步骤一:用户设备发送位置更新请求消息“Location UpdateRequest(IMSI)”给基站子系统;
步骤二:基站子系统转发位置更新请求消息“Location UpdateRequest(IMSI)”给增强型移动交换设备;
步骤三:增强型移动交换设备发送认证数据请求消息“Authentication Data Request(IMSI)”给归属用户服务器;
步骤四:归属用户服务器根据3GPP TS33.401和3GPP TS33.102产生(RAND,AUTN,CK,IK,XRES),然后发送认证数据应答消息“Authentication Data Response(RAND,AUTN,CK,IK,XRES)”给增强型移动交换设备;
步骤五:增强型移动交换设备存储(RAND,AUTN,CK,IK,XRES)并根据3GPP TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤六:增强型移动交换设备存储(RAND,Kc,XRES);
步骤七:增强型移动交换设备发送认证请求消息“AuthenticationRequest(RAND,Kc)”给基站子系统;
步骤八:基站子系统发送认证请求消息“Authentication Request(RAND)”给用户设备.
步骤九:用户设备根据接收到的RAND以与网络侧归属用户服务器相同的方法产生CK和IK,然后又根据3GPP标准规范TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤十:用户设备发送认证应答消息“Authentication Response(RES)”给基站子系统;
步骤十一:基站子系统发送认证应答消息“AuthenticationResponse(RES)”给增强型移动交换设备;
步骤十二:增强型移动交换设备检查来自用户设备的RES是否与原来存储的XRES一致,如果一致则认证成功;
步骤十三:增强型移动交换设备发送位置更新应答消息“Location Update Response(200OK)”给基站子系统;
步骤十四:基站子系统发送位置更新应答消息“LocationUpdate Response(200OK)”给用户设备。
利用本发明的安全解决方案,能确保EPS用户安全地访问2G业务,当EPS用户在只有2G网络的情况下也能提供连续性服务。
附图说明
通过以下结合附图的说明,并且随着对本发明的更全面了解,本发明的其他目的和效果将变得更加清楚和易于理解,其中:
图1表示根据本发明的一个实施方式的EPS用户访问拜访域2G网络的网络架构示意图。
图2a,2b,2c,2d表示根据本发明的实施方式的认证和密钥协商过程示意图。
图3a,3b表示根据本发明的实施方式的增强型移动交换设备结构示意图。
图4表示根据本发明的实施方式的移动性管理实体设备结构示意图。
在所有的上述附图中,相同的标号表示具有相同、相似或相应的特征或功能。
具体实施方式
以下结合附图具体描述本发明的实施方式。
本发明的实施方式基于3GPP标准规范实现,因为3GPP标准在业界被广泛应用,本发明中多处涉及3GPP标准规范及其相关术语、缩略语,在本文最后统一做缩略语说明。
根据本发明的EPS用户访问拜访域2G网络的网络架构如图1所示。图1给除了实现本发明实施方式所相关的设备、接口和协议。其中,接口Sv部分已在3GPP TS 23.216中有定义,为了能让EPS用户安全地访问2G网络业务,接口Sv需做增强,其他接口参考原来2G网络里的规范和EPS网络里的规范;同时,归属域的设备需要做相应的增强,而拜访域的2G设备无需做修改。
根据本发明有多种实施方式,图1的BSS和E-MSC之间,E-MSC和HSS之间用虚线标示,是用来说明,BSS能直接与E-MSC进行通信,也可以通过MSC与E-MSC进行通信;E-MSC可以与HSS直接进行通信,也可以通过MME与HSS进行通信。
另外,E-MSC也可以位于拜访域。
对应于图1中不同的网络架构,图2a,2b,2c,2d分别给出根据本发明的实施方式的认证和密钥协商过程示意图。现有的认证和密钥协商过程已在3GPP标准规范中有详细规定,在本文不进行赘述。
其中,图2a的流程图中对应的网络架构是BSS通过MSC与E-MSC进行通信;E-MSC通过MME与HSS进行通信。涉及的网络设备有UE、BSS、MSC、增强型MSC、MME和HSS。其中,UE和BSS之间的接口是Uu接口,协议是LAPDm;BSS和MSC之间的接口是A接口,协议是SS7+BSSAP;MSC和增强型MSC之间的接口是E接口,协议是SS7+MAP;增强型MSC和MME之间的接口是Sv接口,协议是GTP协议;MME和HSS之间的接口是S6a接口,协议是DIAMETER协议。
具体的,在步骤1)处,UE发送位置更新请求消息“LocationUpdate Request(IMSI)”给BSS;
在步骤2)处,BSS转发位置更新请求消息“Location UpdateRequest(IMSI)”给MSC;
在步骤3)处,MSC识别出是漫游用户并发送安全相关信息的请求消息“Security related information Request(IMSI)”给E-MSC;
在步骤4):E-MSC发送认证数据请求消息“Authentication DataRequest(IMSI)”给MME,同时标识”flag”该用户是EPS用户2G网络业务;
在步骤5)处:MME通过标识”flag”识别出是EPS用户2G网络业务,于是转发认证数据请求消息“Authentication Data Request(IMSI,SN ID,Network Type)”给HSS,同时将参数“SN ID”和“Network Type”设为NULL;
在步骤6)处:HSS根据3GPP TS33.401和3GPP TS33.102产生EPS AVs(RAND,AUTN,KASME,XRES)并发送认证数据应答消息“Authentication Data Response(EPS AVs)”给MME;
在步骤7)处:MME存储EPS AVs(RAND,AUTN,KASME,XRES)消息并根据3GPP TS 33.401从KASME导出CK和IK;
在步骤8)处:MME发送认证数据应答消息“Authentication DataResponse(RAND,AUTN,CK,IK,XRES)”给E-MSC;
在步骤9)处:E-MSC存储(RAND,AUTN,CK,IK,XRES)并根据3GPP TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
在步骤10)处:E-MSC发送安全相关信息的应答消息“SecurityRelated Information Response(RAND,Kc,XRES)”给MSC;
在步骤11)处:MSC存储(RAND,Kc,XRES);
在步骤12)处:MSC发送认证请求消息“Authentication Request(RAND,Kc)”给BSS;
在步骤13)处:BSS存储Kc;
在步骤14)处:BSS发送认证请求消息“Authentication Request(RAND)”给UE;
在步骤15)处:UE根据接收到的RAND以与网络侧归属用户服务器相同的方法产生KASME和RES,并根据3GPP标准规范TS33.401从KASME导出CK和IK,然后又根据3GPP标准规范TS33.102从CK和IK导出Kc,并将KSI赋给CKSN;
在步骤16)处:UE发送认证应答消息“Authentication Response(RES)”给BSS;
在步骤17)处:BSS发送认证应答消息“Authentication Response(RES)”给MSC;
在步骤18)处:MSC检查来自UE的RES是否与原来存储的XRES一致,如果一致则认证成功;
在步骤19)处:MSC发送位置更新应答消息“Location UpdateResponse(200OK)”给BSS;
在步骤20)处:BSS发送位置更新应答消息“Location UpdateResponse(200OK)”给UE。
之后,EPS用户能使用Kc来加密通信访问2G网络业务,当然级别是2G网络的安全标准。
图2b的流程图中对应的网络架构是BSS通过MSC与E-MSC进行通信;E-MSC直接与HSS进行通信。涉及的网络设备有UE、BSS、MSC、增强型MSC和HSS。其中,UE和BSS之间的接口是Uu接口,协议是LAPDm;BSS和MSC之间的接口是A接口,协议是SS7+BSSAP;MSC和增强型MSC之间的接口是E接口,协议是SS7+MAP;增强型MSC和HSS之间的接口是Gr接口,协议是MAP协议。
具体的,在步骤1)处:UE发送位置更新请求消息“LocationUpdate Request(IMSI)”给BSS;
在步骤2)处:BSS转发位置更新请求消息“Location UpdateRequest(IMSI)”给MSC;
在步骤3)处:MSC识别出是漫游用户并发送安全相关信息的请求消息“Security related information Request(IMSI)”给E-MSC;
在步骤4)处:E-MSC发送认证数据请求消息“AuthenticationData Request(IMSI)”给HSS;
在步骤5)处:HSS根据3GPP TS33.401和3GPP TS33.102产生(RAND,AUTN,CK,IK,XRES),然后发送认证数据应答消息“Authentication Data Response(RAND,AUTN,CK,IK,XRES)”给E-MSC;
在步骤6)处:E-MSC存储(RAND,AUTN,CK,IK,XRES)并根据3GPP标准规范TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
在步骤7)处:E-MSC发送安全相关信息的应答消息“SecurityRelated Information Response(RAND,Kc,XRES)”给MSC;
在步骤8)处:MSC存储(RAND,Kc,XRES);
在步骤9)处:MSC发送认证请求消息“Authentication Request(RAND,Kc)”给BSS;
在步骤10)处:BSS存储Kc;
在步骤11)处:BSS发送认证请求消息“Authentication Request(RAND)”给UE.
在步骤12)处:UE根据接收到的RAND以与网络侧归属用户服务器相同的方法产生CK和IK,然后又根据3GPP标准规范TS33.102从CK和IK导出Kc,并将KSI赋给CKSN;
在步骤13)处:UE发送认证应答消息“Authentication Response(RES)”给BSS;
在步骤14)处:BSS发送认证应答消息“Authentication Response(RES)”给MSC;
在步骤15)处:MSC检查来自UE的RES是否与原来存储的XRES一致,如果一致则认证成功;
在步骤16)处:MSC发送位置更新应答消息“Location UpdateResponse(200OK)”给BSS;
在步骤17)处:BSS发送位置更新应答消息“Location UpdateResponse(200OK)”给UE。
之后,EPS用户能使用Kc来加密通信访问2G网络业务,当然级别是2G网络的安全标准。
图2c的流程图中对应的网络架构是BSS直接与E-MSC进行通信;E-MSC通过MME与HSS进行通信。涉及的网络设备有UE、BSS、增强型MSC、MME和HSS。其中,UE和BSS之间的接口是Uu接口,协议是LAPDm;BSS和增强型MSC之间的接口是A接口,协议是SS7+BSSAP;增强型MSC和MME之间的接口是Sv接口,协议是GTP协议;MME和HSS之间的接口是S6a接口,协议是DIAMETER协议。
具体的,在步骤1)处:UE发送位置更新请求消息“LocationUpdate Request(IMSI)”给BSS;
在步骤2)处:BSS转发位置更新请求消息“Location UpdateRequest(IMSI)”给E-MSC;
在步骤3)处:E-MSC发送认证数据请求消息“AuthenticationData Request(IMSI)”给MME,同时标识”flag”该用户是EPS用户2G网络业务;
在步骤4)处:MME通过标识”flag”识别出是EPS用户2G网络业务,于是转发认证数据请求消息“Authentication Data Request(IMSI,SN ID,Network Type)”给HSS,同时将参数“SN ID”和“Network Type”设为NULL;
在步骤5)处:HSS根据3GPP TS33.401和3GPP TS33.102产生EPS AVs(RAND,AUTN,KASME,XRES)并发送认证数据应答消息“Authentication Data Response(EPS AVs)”给MME;
在步骤6)处:MME存储EPS AVs(RAND,AUTN,KASME,XRES)消息并根据3GPP TS 33.401从KASME导出CK和IK;
在步骤7)处:MME发送认证数据应答消息“Authentication DataResponse(RAND,AUTN,CK,IK,XRES)”给E-MSC;
在步骤8)处:E-MSC存储(RAND,AUTN,CK,IK,XRES)并根据3GPP TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
在步骤9)处:E-MSC存储(RAND,Kc,XRES);
在步骤10)处:E-MSC发送认证请求消息“AuthenticationRequest(RAND,Kc)”给BSS;
在步骤11)处:BSS发送认证请求消息“Authentication Request(RAND)”给UE.
在步骤12)处:UE根据接收到的RAND以与网络侧归属用户服务器相同的方法产生KASME和RES,并根据3GPP标准规范TS33.401从KASME导出CK和IK,然后又根据3GPP标准规范TS33.102从CK和IK导出Kc,并将KSI赋给CKSN;
在步骤13)处:UE发送认证应答消息“Authentication Response(RES)”给BSS;
在步骤14)处:BSS发送认证应答消息“Authentication Response(RES)”给E-MSC;
在步骤15)处:E-MSC检查来自UE的RES是否与原来存储的XRES一致,如果一致则认证成功;
在步骤16)处:E-MSC发送位置更新应答消息“Location UpdateResponse(200OK)”给BSS;
在步骤17)处:BSS发送位置更新应答消息“Location UpdateResponse(200OK)”给UE。
之后,EPS用户能使用Kc来加密通信访问2G网络业务,当然级别是2G网络的安全标准。
图2d的流程图中对应的网络架构是BSS直接与E-MSC进行通信;E-MSC直接与HSS进行通信。涉及的网络设备有UE、BSS、增强型MSC和HSS。其中,UE和BSS之间的接口是Uu接口,协议是LAPDm;BSS和增强型MSC之间的接口是A接口,协议是SS7+BSSAP;增强型MSC和HSS之间的接口是Gr接口,协议是MAP协议。
具体的,在步骤1)处:UE发送位置更新请求消息“LocationUpdate Request(IMSI)”给BSS;
在步骤2)处:BSS转发位置更新请求消息“Location UpdateRequest(IMSI)”给E-MSC;
在步骤3)处:E-MSC发送认证数据请求消息“AuthenticationData Request(IMSI)”给HSS;
在步骤4)处:HSS根据3GPP TS33.401和3GPP TS33.102产生(RAND,AUTN,CK,IK,XRES),然后发送认证数据应答消息“Authentication Data Response(RAND,AUTN,CK,IK,XRES)”给E-MSC;
在步骤5)处:E-MSC存储(RAND,AUTN,CK,IK,XRES)并根据3GPP TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
在步骤6)处:E-MSC存储(RAND,Kc,XRES);
在步骤7)处:E-MSC发送认证请求消息“Authentication Request(RAND,Kc)”给BSS;
在步骤8)处:BSS发送认证请求消息“Authentication Request(RAND)”给UE.
在步骤9)处:UE根据接收到的RAND以与网络侧归属用户服务器相同的方法产生CK和IK,然后又根据3GPP标准规范TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
在步骤10)处:UE发送认证应答消息“Authentication Response(RES)”给BSS;
在步骤11)处:BSS发送认证应答消息“Authentication Response(RES)”给E-MSC;
在步骤12)处:E-MSC检查来自UE的RES是否与原来存储的XRES一致,如果一致则认证成功;
在步骤13)处:E-MSC发送位置更新应答消息“Location UpdateResponse(200OK)”给BSS;
在步骤14)处:BSS发送位置更新应答消息“Location UpdateResponse(200OK)”给UE。
之后,EPS用户能使用Kc来加密通信访问2G网络业务,当然级别是2G网络的安全标准。
图3a,3b给出了根据本发明的实施方式的增强型移动交换设备结构示意图。
本发明的实施方式中,增强型MSC设备300在现有设备基础上,需作如下增强:
A:接收来自拜访域MSC的安全相关的信息请求消息“SecurityRelated Information Request”,解释该消息;或者接收来自BSS的位置更新请求消息“Location Update Request”;并将相应的认证数据请求消息“Authentication Data Request”发送给MME或HSS,如果增强型MSC是通过MME与HSS相连,则还应在该消息中增加一个”flag”,以标识为EPS用户访问的是2G网络,并且修改接口Sv。
B:接收来自HSS或MME的UMTS网络安全上下文的认证数据应答消息“Authentication Data Response”,并从接收到的UMTS网络安全上下文推导出2G网络安全上下文.
C:将2G的安全上下文发送给2G网络的MSC或者2G网络的BSS.
D:如果增强型MSC与BSS直接进行通信,则需比较来自UE的RES和原来存储的XRES是否一致,如果一致,则认证成功。
图3a的强型MSC设备用于如下的网络架构:强型MSC设备通过MSC与BSS进行通信,与HSS直接通信或者通过MME与HSS进行通信。即与图2a,2b中的强型MSC设备对应。
具体的,增强型MSC设备300包括接收装置301,存储装置302,消息产生装置303,网络安全上下文推导装置304,发送装置305。
接收装置301,被配置为用于接收来自拜访域的移动交换设备的安全相关的信息请求消息,其中拜访域为2G网络;
消息产生装置303,被配置为用于根据安全相关的信息请求消息,产生认证数据请求消息,如果增强型MSC是通过MME与HSS相连,则还应在该消息中增加一个”flag”,以标识为EPS用户访问的是2G网络;
发送装置305,被配置为用于发送认证数据请求消息给移动性管理实体或者归属用户服务器;
进一步的,接收装置301还被配置为用于接收来自移动性管理实体或者归属用户服务器的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置302,被配置为用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置304,被配置为用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
进一步的,消息产生装置303还被配置为用于产生2G网络安全上下文的安全相关信息的应答消息;
进一步的,发送装置305还被配置为用于发送2G的安全上下文的安全相关信息的应答消息给2G网络的移动交换设备。
图3b的强型MSC设备用于如下的网络架构:强型MSC设备直接与BSS进行通信,与HSS直接通信或者通过MME与HSS进行通信。即与图2c,2d中的增强型MSC设备对应。
具体的,增强型MSC设备300包括接收装置301,存储装置302,消息产生装置303,网络安全上下文推导装置304,发送装置305。进一步的,增强型MSC设备300还包括比较装置306。
接收装置301,被配置为用于接收来自拜访域的基站子系统的位置更新请求消息,其中拜访域为2G网络;
消息产生装置303,被配置为用于根据位置更新请求消息,产生认证数据请求消息,所述认证数据请求消息中包含一个“标示”,以标识演进分组系统用户访问的是2G网络,如果增强型MSC是通过MME与HSS相连,则还应在该消息中增加一个”flag”,以标识为EPS用户访问的是2G网络;
发送装置305,被配置为用于发送认证数据请求消息给移动性管理实体或者HSS;
进一步的,接收装置301还被配置为用于接收来自移动性管理实体或者HSS的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置302,被配置为用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置304,被配置为用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
进一步的,存储装置302还被配置为用于存储2G网络安全上下文;
进一步的,消息产生装置303还被配置为用于产生认证请求消息;
进一步的,发送装置305还被配置为用于发送认证请求消息给拜访域的基站子系统;
进一步的,接收装置301还被配置为用于接收来自拜访域的基站子系统的认证应答消息;
比较装置306,被配置为用于比较RES和XRES是否一致;
如果RES和XRES是一致的,消息产生装置303进一步还被配置为用于产生位置更新应答消息;
并且,发送装置305还进一步被配置为用于发送位置更新应答消息给BSS。
图4给出了根据本发明的实施方式的移动性管理实体设备结构示意图,本发明的移动性管理实体设备在现有设备的基础上需作增强,适用于E-MSC通过MME和HSS进行通信的网络架构,和图3a,3c的移动性管理实体设备对应。如果E-MSC直接通过Gr接口与HSS进行通信,则现有MME不需要做任何改动。
MME增强部分主要为:
A:接收来自E-MSC的认证数据请求消息“Authentication DataRequest”,并能识别其”flag”字段;
B:MME发送认证数据请求消息“Authentication Data Request”给HSS,并将其中的参数(SN ID,Network Type)设为空(NULL);
C:MME接收来自HSS的EPS网络安全上下文的认证数据应答消息“Authentication Data Response”,从EPS网络安全上下文推导出UMTS网络安全上下文,具体细节可参考3GPP标准规范TS 33.401。
具体的,移动性管理实体设备400包括接收装置401,存储装置402,消息产生装置403,网络安全上下文推导装置404,发送装置405,消息识别装置406,设置装置407。
接收装置401,被配置为用于接收来自增强型移动交换设备的认证数据请求消息,所述认证数据请求消息中包含一个“标示”,以标识演进分组系统用户访问的是2G网络;
消息识别装置,被配置为用于根据标识“标示”,识别出是EPS用户2G业务;
设置装置407,被配置为用于根据识别出EPS用户2G业务,将认证数据请求消息的参数服务网络标识和网络类型设置为“NULL”;
发送装置405,被配置为将经设置后的认证数据请求消息发送给归属用户服务器;
进一步的,接收装置401还被配置为用于接收来自归属用户服务器的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置402被配置为用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置404,被配置为用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
消息产生装置403,被配置为用于产生2G网络安全上下文的认证数据应答消息;
进一步的,发送装置405还被配置为用于将2G网络安全上下文的认证数据应答消息发送给增强型移动交换设备。
从上述说明也可知道,如果E-MSC通过MME与HSS进行通信,则E-MSC和MME之间的接口Sv也需作相应增强,接口定义见3GPPTS 23.216,但只定义了MME到E-MSC的接口消息,本发明还需要增加一条认证数据应答消息“Authentication Data Response”,该消息是原来已有的,但不应用在该接口上;本发明还需要定义该接口从E-MSC到MME的消息,消息结构是重用原来已有的,具体是认证数据请求消息“Authentication Data Request”。具体该Sv接口的消息流程可见图2a,2c。
应用于本发明的UE包括USIM卡和终端(双模终端,既能访问EPS网络也能访问2G网络)必须能支持下述功能:
A:从EPS网络安全上下文推导出UMTS网络安全上下文,具体细节可参考3GPP标准规范TS 33.401;
B:从UMTS网络安全上下文推导出2G网络安全上下文,具体细节可参考3GPP标准规范TS 33.102。
另外,根据本发明的实施方式,参数AUTN在本发明中不派用场,在GSM网络(2G网络)中,UE不通过检查AUTN来认证网络,但为了和3GPP标准规范TS 33.102 and TS 33.401保持一致性,本发明在相关消息中保留参数AUTN。
本发明通过上述网络设备的增强,重用现有的消息,只对消息中部分字段做少许改动一个EPS用户能在2G网络里安全地触发拨打语音电话,并对现有设备的影响减至最少。
本发明可以以硬件、软件、固件以及它们的组合来实现。本领域技术人员应该认识到,也可以在供任何合适数据处理系统使用的信号承载介质上所设置的计算机程序产品中体现本发明。这种信号承载介质可以是传输介质或用于机器可读信息的可记录介质,包括磁介质、光介质或其他合适介质。可记录介质的示例包括:硬盘驱动器中的磁盘或软盘、用于光驱的光盘、磁带,以及本领域技术人员所能想到的其他介质。本领域技术人员应该认识到,具有合适编程装置的任何通信设备都将能够执行如程序产品中体现的本发明方法的在步骤。
从上述描述应该理解,在不脱离本发明精神的情况下,可以对本发明各实施方式进行修改和变更。本说明书中的描述仅仅是用于说明性的,而不应被认为是限制性的。本发明的范围仅受权利要求书的限制。
本发明的实施方式基于3GPP标准规范实现,因为3GPP标准在业界被广泛应用,本发明中多处涉及3GPP标准规范及其相关术语、缩略语,为方便理解,在此给出缩略语并简单解释。
2G网络:GSM网络
EPS:Evolved Packet System,演进分组系统,即为LTE+EPC
SIM:Subscriber Identity Module,用户身份模块
3GPP:The 3rd Generation Partnership Project,第三代伙伴计划
TS:Technical Specification,技术规范
LTE:Long Term Evolution,长期演进
TR:Technical Report,技术报告
CS:Circuit Switched,电路交换
USIM:Universal Subscriber Identity Module,通用用户身份模块
SAE:System Architecture Evolution,系统架构演进
SRVCC:Single Radio Voice Call Continuity,双模单待话音呼叫连续,确保其语音呼叫的连续性
UE:User Equipment,用户设备
UMTS:Universal Mobile Telecommunications System,通用移动通信系统
MSC:Mobile Switching Centre,移动交换中心
E-MSC:Enhanced Mobile Switching Centre,增强型移动交换中心
MME:Mobility Management Entity,移动性管理实体
HSS:Home Subscriber Server,归属用户服务器
BSS:Base Station Subsystem,基站子系统
IMSI:International Mobile SubscriberIdentity,国际移动用户标识
SN ID:Serving Network IDentity,服务网络标识
IK:Integrity key,完整性密钥
CK:Cipher Key,加密密钥
RAND:RANDom number,随机数
AUTN:Authentication token,认证码
AV:Authentication Vector,认证向量
KSI:Key Set Identifier密钥集标识
CKSN:Ciphering Key Sequence Number,加密密钥序列号
XRES:Expected Response期望的响应值
RES:Response响应值。
Claims (9)
1.一种增强型移动交换设备,包括
接收装置,用于接收来自拜访域的移动交换设备的安全相关的信息请求消息,其中拜访域为2G网络;
消息产生装置,用于根据安全相关的信息请求消息,产生认证数据请求消息,所述认证数据请求消息中包含一个“标识”,以标识演进分组系统用户访问的是2G网络;
发送装置,用于发送认证数据请求消息给移动性管理实体;
进一步的,接收装置还用于接收来自移动性管理实体的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置,用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置,用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
进一步的,消息产生装置还用于产生2G网络安全上下文的安全相关信息的应答消息;
进一步的,发送装置还用于发送2G的安全上下文的安全相关信息的应答消息给2G网络的移动交换设备。
2.一种增强型移动交换设备,包括
接收装置,用于接收来自拜访域的移动交换设备的安全相关的信息请求消息,其中拜访域为2G网络;
消息产生装置,用于根据安全相关的信息请求消息,产生认证数据请求消息;
发送装置,用于发送认证数据请求消息给归属用户服务器;
进一步的,接收装置还用于接收来自归属用户服务器的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置,用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置,用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
进一步的,消息产生装置还用于产生2G网络安全上下文的安全相关信息的应答消息;
进一步的,发送装置还用于发送2G的安全上下文的安全相关信息的应答消息给2G网络的移动交换设备。
3.一种增强型移动交换设备,包括
接收装置,用于接收来自拜访域的基站子系统的位置更新请求消息,其中拜访域为2G网络;
消息产生装置,用于根据位置更新请求消息,产生认证数据请求消息,所述认证数据请求消息中包含一个“标识”,以标识演进分组系统用户访问的是2G网络;
发送装置,用于发送认证数据请求消息给移动性管理实体;
进一步的,接收装置还用于接收来自移动性管理实体的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置,用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置,用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
进一步的,存储装置还用于存储2G网络安全上下文;
进一步的,消息产生装置还用于产生认证请求消息;
进一步的,发送装置还用于发送认证请求消息给拜访域的基站子系统;
进一步的,接收装置还用于接收来自拜访域的基站子系统的认证应答消息;
比较装置,用于比较RES和XRES是否一致;
如果RES和XRES是一致的,消息产生装置进一步还用于产生位置更新应答消息;
并且,发送装置还进一步用于发送位置更新应答消息。
4.一种增强型移动交换设备,包括
接收装置,用于接收来自拜访域的基站子系统的位置更新请求消息,其中拜访域为2G网络;
消息产生装置,用于根据位置更新请求消息,产生认证数据请求消息;
发送装置,用于发送认证数据请求消息给归属用户服务器;
进一步的,接收装置还用于接收来自归属用户服务器的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置,用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置,用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
进一步的,存储装置还用于存储2G网络安全上下文;
进一步的,消息产生装置还用于产生认证请求消息;
进一步的,发送装置还用于发送认证请求消息给拜访域的基站子系统;
进一步的,接收装置还用于接收来自拜访域的基站子系统的认证应答消息;
比较装置,用于比较RES和XRES是否一致;
如果RES和XRES是一致的,消息产生装置进一步还用于产生位置更新应答消息;
并且,发送装置还进一步用于发送位置更新应答消息。
5.一种移动性管理实体设备,包括
接收装置,用于接收来自增强型移动交换设备的认证数据请求消息,所述认证数据请求消息中包含一个“标识”,以标识演进分组系统用户访问的是2G网络;
消息识别装置,用于根据标识“标识”,识别出是EPS用户2G业务;
设置装置,用于根据识别出EPS用户2G业务,将认证数据请求消息的参数服务网络标识和网络类型设置为“NULL”;
发送装置,用于将经设置后的认证数据请求消息发送给归属用户服务器;
进一步的,接收装置还用于接收来自归属用户服务器的通用移动通信系统网络安全上下文的认证数据应答消息;
存储装置,用于存储通用移动通信系统网络安全上下文;
网络安全上下文推导装置,用于从接收到的通用移动通信系统网络安全上下文推导出2G网络安全上下文;
消息产生装置,用于产生2G网络安全上下文的认证数据应答消息;
进一步的,发送装置还用于将2G网络安全上下文的认证数据应答消息发送给增强型移动交换设备。
6.一种无线网络安全解决方法,包括:
步骤一:用户设备发送位置更新请求消息“Location UpdateRequest(IMSI)”给基站子系统;
步骤二:基站子系统转发位置更新请求消息“Location UpdateRequest(IMSI)”给移动交换设备;
步骤三:移动交换设备识别出是漫游用户并发送安全相关信息的请求消息“Security related information Request(IMSI)”给增强型移动交换设备;
步骤四:增强型移动交换设备发送认证数据请求消息“Authentication Data Request(IMSI)”给移动性管理实体,同时标识”flag”该用户是EPS用户2G网络业务;
步骤五:移动性管理实体通过标识”flag”识别出是EPS用户2G网络业务,于是转发认证数据请求消息“Authentication Data Request(IMSI,SN ID,Network Type)”给归属用户服务器,同时将参数“SNID”和“Network Type”设为NULL;
步骤六:归属用户服务器根据3GPP TS33.401和3GPP TS33.102产生EPS AVs(RAND,AUTN,KASME,XRES)并发送认证数据应答消息“Authentication Data Response(EPS AVs)”给移动性管理实体;
步骤七:移动性管理实体存储EPS AVs(RAND,AUTN,KASME,XRES)消息并根据3GPP TS 33.401从KASME导出CK和IK;
步骤八:移动性管理实体发送认证数据应答消息“AuthenticationData Response(RAND,AUTN,CK,IK,XRES)”给增强型移动交换设备;
步骤九:增强型移动交换设备存储(RAND,AUTN,CK,IK,XRES)并根据3GPP TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤十:增强型移动交换设备发送安全相关信息的应答消息“Security Related Information Response(RAND,Kc,XRES)”给移动交换设备;
步骤十一:移动交换设备存储(RAND,Kc,XRES);
步骤十二:移动交换设备发送认证请求消息“AuthenticationRequest(RAND,Kc)”给基站子系统;
步骤十三:基站子系统存储Kc;
步骤十四:基站子系统发送认证请求消息“AuthenticationRequest(RAND)”给用户设备.
步骤十五:用户设备根据接收到的RAND以与网络侧归属用户服务器相同的方法产生KASME和RES,并根据3GPP标准规范TS33.401从KASME导出CK和IK,然后又根据3GPP标准规范TS33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤十六:用户设备发送认证应答消息“Authentication Response(RES)”给基站子系统;
步骤十七:基站子系统发送认证应答消息“AuthenticationResponse(RES)”给移动交换设备;
步骤十八:移动交换设备检查来自用户设备的响应值RES是否与原来存储的期望的响应值XRES一致,如果一致则认证成功;
步骤十九:移动交换设备发送位置更新应答消息“LocationUpdate Response(200OK)”给基站子系统;
步骤二十:基站子系统发送位置更新应答消息“LocationUpdate Response(200OK)”给用户设备。
7.一种无线网络安全解决方法,包括:
步骤一:用户设备发送位置更新请求消息“Location UpdateRequest(IMSI)”给基站子系统;
步骤二:基站子系统转发位置更新请求消息“Location UpdateRequest(IMSI)”给移动交换设备;
步骤三:移动交换设备识别出是漫游用户并发送安全相关信息的请求消息“Security related information Request(IMSI)”给增强型移动交换设备;
步骤四:增强型移动交换设备发送认证数据请求消息“Authentication Data Request(IMSI)”给归属用户服务器;
步骤五:归属用户服务器根据3GPP TS33.401和3GPP TS33.102产生(RAND,AUTN,CK,IK,XRES),然后发送认证数据应答消息“Authentication Data Response(RAND,AUTN,CK,IK,XRES)”给增强型移动交换设备;
步骤六:增强型移动交换设备存储(RAND,AUTN,CK,IK,XRES)并根据3GPP TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤七:增强型移动交换设备发送安全相关信息的应答消息“Security Related Information Response(RAND,Kc,XRES)”给移动交换设备;
步骤八:移动交换设备存储(RAND,Kc,XRES);
步骤九:移动交换设备发送认证请求消息“AuthenticationRequest(RAND,Kc)”给基站子系统;
步骤十:基站子系统存储Kc;
步骤十一:基站子系统发送认证请求消息“AuthenticationRequest(RAND)”给用户设备.
步骤十二:用户设备根据接收到的RAND以与网络侧归属用户服务器相同的方法产生CK和IK,然后又根据3GPP标准规范TS33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤十三:用户设备发送认证应答消息“Authentication Response(RES)”给基站子系统;
步骤十四:基站子系统发送认证应答消息“AuthenticationResponse(RES)”给移动交换设备;
步骤十五:移动交换设备检查来自用户设备的响应值RES是否与原来存储的期望的响应值XRES一致,如果一致则认证成功;
步骤十六:移动交换设备发送位置更新应答消息“LocationUpdate Response(200OK)”给基站子系统;
步骤十七:基站子系统发送位置更新应答消息“LocationUpdate Response(200OK)”给用户设备。
8.一种无线网络安全解决方法,包括:
步骤一:用户设备发送位置更新请求消息“Location UpdateRequest(IMSI)”给基站子系统;
步骤二:基站子系统转发位置更新请求消息“Location UpdateRequest(IMSI)”给增强型移动交换设备;
步骤三:增强型移动交换设备发送认证数据请求消息“Authentication Data Request(IMSI)”给移动性管理实体,同时标识”flag”该用户是EPS用户2G网络业务;
步骤四:移动性管理实体通过标识”flag”识别出是EPS用户2G网络业务,于是转发认证数据请求消息“Authentication Data Request(IMSI,SN ID,Network Type)”给归属用户服务器,同时将参数“SNID”和“Network Type”设为NULL;
步骤五:归属用户服务器根据3GPP TS33.401和3GPP TS33.102产生EPS AVs(RAND,AUTN,KASME,XRES)并发送认证数据应答消息“Authentication Data Response(EPS AVs)”给移动性管理实体;
步骤六:移动性管理实体存储EPS AVs(RAND,AUTN,KASME,XRES)消息并根据3GPP TS 33.401从KASME导出CK和IK;
步骤七:移动性管理实体发送认证数据应答消息“AuthenticationData Response(RAND,AUTN,CK,IK,XRES)”给增强型移动交换设备;
步骤八:增强型移动交换设备存储(RAND,AUTN,CK,IK,XRES)并根据3GPP TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤九:增强型移动交换设备存储(RAND,Kc,XRES);
步骤十:增强型移动交换设备发送认证请求消息“AuthenticationRequest(RAND,Kc)”给基站子系统;
步骤十一:基站子系统发送认证请求消息“AuthenticationRequest(RAND)”给用户设备.
步骤十二:用户设备根据接收到的RAND以与网络侧归属用户服务器相同的方法产生KASME和RES,并根据3GPP标准规范TS33.401从KASME导出CK和IK,然后又根据3GPP标准规范TS33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤十三:用户设备发送认证应答消息“Authentication Response(RES)”给基站子系统;
步骤十四:基站子系统发送认证应答消息“AuthenticationResponse(RES)”给增强型移动交换设备;
步骤十五:增强型移动交换设备检查来自用户设备的响应值RES是否与原来存储的期望的响应值XRES一致,如果一致则认证成功;
步骤十六:增强型移动交换设备发送位置更新应答消息“Location Update Response(200OK)”给基站子系统;
步骤十七:基站子系统发送位置更新应答消息“LocationUpdate Response(200OK)”给用户设备。
9.一种无线网络安全解决方法,包括:
步骤一:用户设备发送位置更新请求消息“Location UpdateRequest(IMSI)”给基站子系统;
步骤二:基站子系统转发位置更新请求消息“Location UpdateRequest(IMSI)”给增强型移动交换设备;
步骤三:增强型移动交换设备发送认证数据请求消息“Authentication Data Request(IMSI)”给归属用户服务器;
步骤四:归属用户服务器根据3GPP TS33.401和3GPP TS33.102产生(RAND,AUTN,CK,IK,XRES),然后发送认证数据应答消息“Authentication Data Response(RAND,AUTN,CK,IK,XRES)”给增强型移动交换设备;
步骤五:增强型移动交换设备存储(RAND,AUTN,CK,IK,XRES)并根据3GPP TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤六:增强型移动交换设备存储(RAND,Kc,XRES);
步骤七:增强型移动交换设备发送认证请求消息“AuthenticationRequest(RAND,Kc)”给基站子系统;
步骤八:基站子系统发送认证请求消息“Authentication Request(RAND)”给用户设备.
步骤九:用户设备根据接收到的RAND以与网络侧归属用户服务器相同的方法产生CK和IK,然后又根据3GPP标准规范TS 33.102从CK和IK导出Kc,并将KSI赋给CKSN;
步骤十:用户设备发送认证应答消息“Authentication Response(RES)”给基站子系统;
步骤十一:基站子系统发送认证应答消息“AuthenticationResponse(RES)”给增强型移动交换设备;
步骤十二:增强型移动交换设备检查来自用户设备的响应值RES是否与原来存储的期望的响应值XRES一致,如果一致则认证成功;
步骤十三:增强型移动交换设备发送位置更新应答消息“Location Update Response(200OK)”给基站子系统;
步骤十四:基站子系统发送位置更新应答消息“LocationUpdate Response(200OK)”给用户设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100526514A CN101909368B (zh) | 2009-06-08 | 2009-06-08 | 无线网络安全解决方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100526514A CN101909368B (zh) | 2009-06-08 | 2009-06-08 | 无线网络安全解决方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101909368A true CN101909368A (zh) | 2010-12-08 |
CN101909368B CN101909368B (zh) | 2012-06-27 |
Family
ID=43264648
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100526514A Active CN101909368B (zh) | 2009-06-08 | 2009-06-08 | 无线网络安全解决方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101909368B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694778A (zh) * | 2011-03-24 | 2012-09-26 | 中兴通讯股份有限公司 | 一种实现单接入系统语音连续性的方法及系统 |
WO2014113922A1 (zh) * | 2013-01-22 | 2014-07-31 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
CN104937990A (zh) * | 2013-01-22 | 2015-09-23 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101330740A (zh) * | 2007-06-22 | 2008-12-24 | 中兴通讯股份有限公司 | 一种无线网络中的网关选择方法 |
CN101388828B (zh) * | 2007-09-10 | 2011-07-13 | 电信科学技术研究院 | 演进分组交换系统承载激活的方法及装置 |
-
2009
- 2009-06-08 CN CN2009100526514A patent/CN101909368B/zh active Active
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694778A (zh) * | 2011-03-24 | 2012-09-26 | 中兴通讯股份有限公司 | 一种实现单接入系统语音连续性的方法及系统 |
WO2014113922A1 (zh) * | 2013-01-22 | 2014-07-31 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
CN104937965A (zh) * | 2013-01-22 | 2015-09-23 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
CN104937990A (zh) * | 2013-01-22 | 2015-09-23 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
CN104937990B (zh) * | 2013-01-22 | 2019-06-21 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
CN104937965B (zh) * | 2013-01-22 | 2019-09-03 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
Also Published As
Publication number | Publication date |
---|---|
CN101909368B (zh) | 2012-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9729523B2 (en) | Method, network element, and mobile station for negotiating encryption algorithms | |
CN107409133B (zh) | 一种具有完全前向保密的认证与密钥协商的方法以及设备 | |
CN109587688B (zh) | 系统间移动性中的安全性 | |
US10003965B2 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
US8638936B2 (en) | Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system | |
CN100583767C (zh) | 一种密钥更新方法及装置 | |
CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
CN101232731B (zh) | 用于ue从utran切换到eutran的密钥生成方法和系统 | |
CN101083839B (zh) | 在不同移动接入系统中切换时的密钥处理方法 | |
US9668139B2 (en) | Secure negotiation of authentication capabilities | |
CN102158855B (zh) | 处理单一无线语音通话连续性交递安全的方法及通讯装置 | |
CN108464027B (zh) | 对于未认证用户通过wlan接入3gpp演进分组核心支持紧急服务 | |
CN102668609B (zh) | 用于处理移动台中加密密钥的方法 | |
CN101772021A (zh) | 无线通讯系统处理保密设定的方法及其相关通讯装置 | |
CN109906624B (zh) | 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 | |
EP2716093A1 (en) | Performing a group authentication and key agreement procedure | |
CN103096311A (zh) | 家庭基站安全接入的方法及系统 | |
CN101102600A (zh) | 在不同移动接入系统中切换时的密钥处理方法 | |
EP3146741A1 (en) | Cellular network authentication control | |
WO2018103655A1 (zh) | 接入网络设备的方法及其终端设备、网络设备 | |
CN101909368B (zh) | 无线网络安全解决方法和设备 | |
CN102970678B (zh) | 加密算法协商方法、网元及移动台 | |
CN101516121B (zh) | 一种发送基站切换信息的方法、系统和设备 | |
CN101772019A (zh) | 处理跨系统交递保密的方法及其相关通讯装置 | |
KR101385846B1 (ko) | 통신 방법 및 통신 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee after: Shanghai NOKIA Baer Limited by Share Ltd Address before: 201206 Pudong Jinqiao Export Processing Zone, Nanjing Road, No. 388, Shanghai Patentee before: Shanghai Alcatel-Lucent Co., Ltd. |