CN102595369A - 一种nas算法的传输方法及装置 - Google Patents
一种nas算法的传输方法及装置 Download PDFInfo
- Publication number
- CN102595369A CN102595369A CN2012100508819A CN201210050881A CN102595369A CN 102595369 A CN102595369 A CN 102595369A CN 2012100508819 A CN2012100508819 A CN 2012100508819A CN 201210050881 A CN201210050881 A CN 201210050881A CN 102595369 A CN102595369 A CN 102595369A
- Authority
- CN
- China
- Prior art keywords
- nas
- algorithm
- mme
- message
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/02—Data link layer protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/005—Data network PoA devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种NAS算法的传输方法及装置,用以实现由HSS确定NAS算法并下发该NAS算法给MME的过程,使得运营商可以根据BOSS端对HSS的签约信息进行修改,针对不同资质的用户对NAS算法进行灵活配置。本发明提供的一种NAS算法的通知方法包括:归属签约用户服务器HSS确定NAS算法列表,其中包括NAS加密保护算法列表和NAS完整性保护算法列表;HSS将所述NAS算法列表发送给移动性管理实体MME。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种NAS算法的传输方法及装置。
背景技术
在长期演进(Long Term Evolution,LTE)网络内,移动性管理实体(MobilityManagement Entity,MME)和用户设备(User Equipment,UE)之间的非接入层(Non-Access Stratum,NAS)消息传输是被完整性保护和安全保护的。MME可以根据UE上报的网络能力和MME配置的安全算法能力以及优先级来决定使用哪种安全算法。
现有在MME上配置算法能力和优先级的方法,在配置数据固定的情况下不能轻易地对算法集合以及优先级做出改变。另外,在目前使用的算法中,包括演进的分组系统(Evolved Packet System,EPS)加密算法1~EPS加密算法7(EEA0~EEA7)以及EPS完整性保护算法1~EPS完整性保护算法7(EIA0~EIA7),每一种算法的安全保护程度以及运行效率都是不一样的,现有配置NAS层算法列表的方法无法满足用户对NAS安全算法多样性的需要。
现在LTE网络中,MME选择加密保护算法和完整性保护算法主要依据UE上报的UE安全能力(UE Security Capability)和MME上配置的算法集合以及优先级。
在3GPP TS 33.401 V9.4.0协议7.2.4.3章节中,MME需要能够通过配置算法列表配置加密保护算法列表和完整性保护算法列表。在建立NAS安全上下文的时候,MME根据算法集合中选择出优先级排列最高的NAS安全算法。并通过发起安全模式控制过程,将选择的算法以及UE支持的安全能力通过安全模式命令(Security Mode Command)消息发送给UE。
也就是说,MME选择算法是根据UE的安全能力以及网络侧配置的NAS安全算法集以及算法的优先级来决定的。
UE侧的安全能力是根据UE本身所支持的算法,可以根据UE自身的安全能力决定。而网络侧配置的NAS安全算法集以及算法的优先级通过在MME上预先配置的方法。如果多个UE上报的安全能力一样的情况下,MME选择出的算法必然是一样,不能体现出用户之间的差异性和多样性。
另外,加密保护算法EEA0~EEA7以及完整性保护算法EIA0~EIA7之间,每种算法的安全保护程度以及运行效率也都是不同的。对不同的用户来说,效率和安全程度的要求是不一样的。
综上所述,现有技术在网络侧配置NAS安全算法列表的方法使得运营商无法灵活地针对具体用户来灵活改变NAS层使用的安全算法。
发明内容
本发明实施例提供了一种NAS算法的传输方法及装置,用以实现由归属用户服务器(Home Subscriber Server,HSS)确定NAS算法并下发该NAS算法给MME的过程,使得运营商可以根据业务运营支撑系统(Business OperatingSupport System,BOSS)端对HSS的签约信息进行修改,针对不同资质的用户对NAS算法进行灵活配置。
本发明实施例提供的一种NAS算法的通知方法包括:
归属签约用户服务器HSS确定NAS算法列表,其中包括NAS加密保护算法列表和NAS完整性保护算法列表;
HSS将所述NAS算法列表发送给移动性管理实体MME。
本发明实施例提供的一种NAS算法的获取方法包括:
移动性管理实体MME接收归属签约用户服务器HSS发送的携带有NAS算法列表的消息,所述NAS算法列表中包括NAS加密保护算法列表和NAS完整性保护算法列表;
MME从所述消息中获取NAS算法列表。
本发明实施例提供的一种NAS算法的通知装置包括:
NAS算法列表确定单元,用于确定NAS算法列表,其中包括NAS加密保护算法列表和NAS完整性保护算法列表;
通知单元,用于将所述NAS算法列表发送给移动性管理实体MME。
本发明实施例提供的一种NAS算法的获取装置包括:
消息接收单元,用于接收归属签约用户服务器HSS发送的携带有NAS算法列表的消息,所述NAS算法列表中包括NAS加密保护算法列表和NAS完整性保护算法列表;
获取单元,用于从所述消息中获取NAS算法列表。
本发明实施例中,归属签约用户服务器HSS确定NAS算法列表,其中包括NAS加密保护算法列表和NAS完整性保护算法列表;HSS将所述NAS算法列表发送给移动性管理实体MME,从而实现了由HSS来配置NAS算法列表的策略,运营商可以通过BOSS系统来修改HSS中的用户签约数据,使得NAS安全算法和服务质量(Quality of Service,QoS)等用户信息进行关联,针对不同用户的需求,可以选择不同特点的算法对NAS消息进行安全保护。
附图说明
图1为本发明实施例提供的一种非接入层NAS算法的通知方法的流程示意图;
图2为本发明实施例提供的一种非接入层NAS算法的获取方法的流程示意图;
图3为本发明实施例提供的鉴权信息获取过程示意图;
图4为本发明实施例提供的插入签约数据过程示意图;
图5为本发明实施例提供的插入签约数据成功过程示意图;
图6为本发明实施例提供的插入签约数据失败过程示意图;
图7为本发明实施例提供的一种非接入层NAS算法的通知装置的结构示意图;
图8为本发明实施例提供的一种非接入层NAS算法的获取装置的结构示意图。
具体实施方式
本发明实施例提供了一种NAS算法的传输方法及装置,用以实现由HSS确定NAS算法并下发该NAS算法给MME的过程,使得运营商可以根据BOSS端对HSS的签约信息进行修改,针对不同资质的用户对NAS算法进行灵活配置。
本发明实施例将NAS层算法列表由MME配置改变为由HSS下发。运营商可以根据业务运营支撑系统(Business Operating Support System,BOSS)端对HSS的签约信息进行修改,针对不同资质的用户对算法列表进行灵活配置。
参见图1,本发明实施例提供的一种非接入层NAS算法的通知方法,包括:
S101、归属签约用户服务器HSS确定NAS算法列表,其中包括NAS加密保护算法列表和NAS完整性保护算法列表;
S102、HSS将所述NAS算法列表发送给移动性管理实体MME。
较佳地,所述HSS将所述NAS算法列表发送给MME,包括:
HSS通过鉴权信息获取过程或者插入签约数据过程,将NAS算法列表传递给MME。
较佳地,HSS通过鉴权信息获取过程将NAS算法列表传递给MME,包括:
HSS接收MME发送的鉴权信息请求Authentication Information Request消息;
HSS将鉴权信息响应Authentication Information Answer消息发送给MME,其中携带所述NAS算法列表。
较佳地,HSS通过插入签约数据过程,将NAS算法列表传递给MME,包括:
当签约数据更新时,HSS向MME发送插入签约数据请求Insert SubscriberData Request消息,其中携带所述NAS算法列表。
较佳地,所述NAS算法列表中的算法,按照预设优先级从高到低的顺序排列。
相应地,参见图2,本发明实施例提供的一种非接入层NAS算法的获取方法,包括:
S201、移动性管理实体MME接收归属签约用户服务器HSS发送的携带有NAS算法列表的消息,所述NAS算法列表中包括NAS加密保护算法列表和NAS完整性保护算法列表;
S202、MME从所述消息中获取NAS算法列表。
较佳地,MME通过鉴权信息获取过程或者插入签约数据过程,接收HSS发送的携带有NAS算法列表的消息。
较佳地,MME通过鉴权信息获取过程接收HSS发送的携带有NAS算法列表的消息,包括:
MME向HSS发送鉴权信息请求Authentication Information Request消息;
MME接收HS S发送的鉴权信息响应Authentication Information Answer消息,其中携带所述NAS算法列表。
较佳地,MME通过插入签约数据过程,接收HSS发送的携带有NAS算法列表的消息,包括:
当签约数据更新时,MME接收HSS发送的插入签约数据请求InsertSubscriber Data Request消息,其中携带所述NAS算法列表。
较佳地,所述NAS算法列表中的算法,按照预设优先级从高到低的顺序排列。
较佳地,MME从所述消息中获取NAS算法列表后,该方法还包括:
MME从所述NAS算法列表中选择NAS算法,并将选择的NAS算法通知给用户设备UE。
较佳地,MME从所述NAS算法列表中选择NAS算法,将选择的NAS算法通知给UE,包括:
MME确定自身支持的NAS加密保护算法集合A1和NAS完整性保护算法集合A2;
MME确定UE支持的NAS加密保护算法集合B1和NAS完整性保护算法集合B2;
MME确定所述NAS算法列表中的NAS加密保护算法集合C1和NAS完整性保护算法集合C2;
MME确定集合A1、B1和C1的交集D1,以及A2、B2和C2的交集D2;
MME将交集D1中的NAS加密保护算法和交集D2中的NAS完整性保护算法集合通知给UE。
较佳地,该方法还包括:
当NAS算法列表更新时,MME从HSS发送的插入签约数据请求InsertSubscriber Data Request消息中获取更新的NAS算法列表;
MME从更新的NAS算法列表中重新选择NAS算法;
当重新选择的NAS算法,与现有的NAS算法不一致时,MME向UE发送安全模式命令Security Mode Command消息,其中携带重新选择的NAS算法;
当重新选择的NAS算法,与现有的NAS算法一致时,或者当MME从更新的NAS算法列表中重新选择NAS算法的操作失败时,MME向HSS回复插入签约数据应答Insert Subscriber Data Answer消息。
较佳地,MME向UE发送安全模式命令Security Mode Command消息后,该方法还包括:
MME接收UE发送的安全模式完成Security Mode Complete消息或者安全模式拒绝Security Mode Reject消息;
MME向HSS回复插入签约数据应答Insert Subscriber Data Answer消息。
本发明实施例中,预先在3GPP TS 29.272协议的表7.3.1/1中,增加定义信息元素(Information Elements),如下面的表7.3.1/1所示:
表7.3.1/1:S6a/S6d接口和S13/S13接口属性值定义(S6a/S6d andS13/S13′specific Diameter AVPs)
并且,预先在3GPP TS 29.272增加7.3.218章节,描述如下:
NAS-Algorithms-Lists(NAS算法列表)
The AVP format shall conform to(属性值类型应当遵照以下格式):
NAS-Algorithms-Lists(NAS算法列表)::=<AVP header(属性值头):1613 10415>
{NAS-ciphering-algorithms-List(NAS加密保护算法列表)}
{NAS-integrity-algorithms-List(NAS完整性保护算法列表)}
以及,在3GPP TS 29.272中增加7.3.219章节,描述如下:
NAS-ciphering-algorithms-List(NAS加密保护算法列表)
NAS加密保护算法列表(NAS-ciphering-algorithms-List)由长度不大于8的字符串通用转换格式编码(UTF8String)字符串表示,支持的加密保护算法,0~7分别代表EEA0~EEA7,按优先级从高到低排列。
在3GPP TS 29.272增加7.3.219章节,描述如下:
NAS-integrity-algorithms-List(NAS完整性保护算法列表)
NAS完整性保护算法列表(NAS-integrity-algorithms-List)由长度不大于8的UTF8String字符串表示,支持的完整性保护算法,0~7分别代表EIA0~EIA7,按优先级从高到低排列。
具体的NAS算法列表的传输方法,可以有两种:
第一种:在归属签约用户服务器(Home Subscriber Server,HSS)和MME之间的鉴权信息获取过程(Authentication Procedures)中传递NAS算法列表(NAS-Algorithms-Lists)。
在现有鉴权信息响应消息结构(见表5.2.3.1.1/2)中增加NAS算法列表(NAS-Algorithms-Lists),如下表5.2.3.1.1/2所示:
表5.2.3.1.1/2:鉴权信息响应(Authentication Information Answer)
HSS通过鉴权信息获取过程将NAS算法列表传递给MME,如图3所示。
MME向HSS发出鉴权信息请求(Authentication Information Request)消息,HSS收到该消息后,将用户相关的NAS算法列表包含在鉴权信息响应(Authentication Information Answer)消息中发给MME。NAS算法列表包括NAS层的加密保护算法列表和以及NAS完整性保护算法列表。其中,NAS加密保护算法列表和NAS完整性保护算法列表中,各算法按照优先级从高到低排列。
第二种:在HSS和MME之间的插入签约数据过程(Insert Subscriber DataProcedure)中传递NAS算法列表(NAS-Algorithms-Lists)。
表5.2.2.1.1/1:插入签约数据请求(Insert Subscriber Data Request)HSS通过插入签约数据过程将NAS算法列表传递给MME,如图4所示。
在签约数据改变的情况下,HSS向MME发出插入签约数据请求(InsertSubscriber Data Request)消息,包含用户相关的NAS算法列表。NAS算法列表包括NAS层的加密保护算法列表和以及NAS完整性保护算法列表。其中NAS加密保护算法列表和NAS完整性保护算法列表中,算法按照优先级从高到低排列。MME收到插入签约数据请求后,向HSS回复插入签约数据应答(Insert Subscriber Data Answer)消息。
下面介绍一下本发明实施例提供的MME从接收到的NAS算法列表中选择NAS加密保护算法和NAS完整性保护算法的方法。
对于NAS加密保护算法和NAS完整性保护算法,采用相同的处理过程,下面以其中一种算法为例进行说明。
MME需要支持尽可能多的算法集,假如算法集合为A。
UE通过附着请求(ATTACH REQUEST)消息或者位置区域更新请求(TRACKING AREA UPDATE REQUEST)消息,携带UE网络能力(UE networkcapability)给MME,即将UE支持的算法结合通知给MME,记为集合B。
运营商可以根据用户资质,对每个用户设置不同的算法集和优先级,通过鉴权信息获取过程(Authentication Procedures)或者插入签约数据过程(InsertSubscriber Data Procedure)将NAS算法列表(NAS-Algorithms-Lists)传递给MME,假设NAS算法列表中的算法集合为C。
首先选择出算法集合D为A、B、C三者的交集,即D=A∩B∩C。
在根据NAS算法列表(NAS-Algorithms-Lists)表示的优先级对计算出的D进行选择,选择出优先级最高的NAS加密保护算法或NAS完整性保护算法。
MME通过安全模式控制(Security Mode Command)消息将选择的NAS加密保护算法和NAS完整性保护算法发送给UE。
下面介绍一下本发明实施例提供的在HSS和MME之间的插入签约数据过程(Insert Subscriber Data Procedure)中传递NAS算法列表(NAS-Algorithms-Lists)后的处理流程。
参见图5,插入签约数据成功的流程如下:
步骤一,当NAS算法列表改变的时候,HSS向MME发送插入签约数据请求(Insert Subscriber Data Request)消息给MME,消息中携带NAS算法列表(NAS-Algorithms-Lists)。
步骤二,MME从插入签约数据请求中获取到NAS算法列表后,对NAS算法进行再次选择。
如果发现再次选择的NAS算法和MME与UE之间当前采用的NAS算法不一致,则MME向UE发生安全模式命令(Security Mode Command)消息,消息中携带再次选择的NAS算法。
如果再次选择的NAS算法和MME与UE之间当前采用的NAS算法一致,MME和UE之间不再发起SMC过程,MME直接向HSS回复插入签约数据应答(Insert Subscriber Data Answer),则插入签约数据成功。
步骤三,UE对安全模式命令(Security Mode Command)消息进行校验,当校验成功时,UE向MME发送一个安全模式完成(Security Mode Complete)消息。
步骤四,MME对安全模式完成(Security Mode Complete)消息进行完整性保护校验和解密,成功则NAS算法更新成功。MME向HSS回复插入签约数据应答(Insert Subscriber Data Answer),则插入签约数据成功。
参见图6,插入签约数据失败的流程如下:
步骤一,当NAS算法列表改变的时候,HSS向MME发送插入签约数据请求(Insert Subscriber Data Request)消息给MME,消息中携带更新后的NAS算法列表(NAS-Algorithms-Lists)。
步骤二,MME从插入签约数据请求中获取到NAS算法列表后,对NAS算法进行再次选择。
如果发现再次选择的NAS算法和MME与UE之间当前采用的NAS算法不一致,则MME向UE发生安全模式命令(Security Mode Command)消息,消息中携带再次选择的NAS算法。
如果再次选择NAS算法的过程失败,则MME和UE之间不再发起安全模式控制(Security mode control,SMC)过程,MME直接向HSS回复插入签约数据应答(Insert Subscriber Data Answer),则插入签约数据失败。
步骤三,UE对安全模式命令(Security Mode Command)消息进行校验,若校验失败,则UE向MME发送一个安全模式拒绝(Security Mode Reject)消息。
步骤四,MME收到安全模式拒绝(Security Mode Reject)消息后,向HSS回复插入签约数据应答(Insert Subscriber DataAnswer),则插入签约数据失败。
参见图7,本发明实施例提供的一种非接入层NAS算法的通知装置,包括:
NAS算法列表确定单元11,用于确定NAS算法列表,其中包括NAS加密保护算法列表和NAS完整性保护算法列表;
通知单元12,用于将所述NAS算法列表发送给移动性管理实体MME。
较佳地,所述通知单元12,具体用于:
通过鉴权信息获取过程或者插入签约数据过程,将NAS算法列表传递给MME。
较佳地,所述通知单元12通过鉴权信息获取过程将NAS算法列表传递给MME时,具体用于:
接收MME发送的鉴权信息请求Authentication Information Request消息;
将鉴权信息响应Authentication Information Answer消息发送给MME,其中携带所述NAS算法列表。
较佳地,所述通知单元12通过插入签约数据过程,将NAS算法列表传递给MME时,具体用于:
当签约数据更新时,向MME发送插入签约数据请求Insert Subscriber DataRequest消息,其中携带所述NAS算法列表。
较佳地,所述NAS算法列表中的算法,按照预设优先级从高到低的顺序排列。
较佳地,本发明实施例提供的一种非接入层NAS算法的通知装置,为HSS。
参见图8,本发明实施例提供的一种非接入层NAS算法的获取装置,包括:
消息接收单元21,用于接收归属签约用户服务器HSS发送的携带有NAS算法列表的消息,所述NAS算法列表中包括NAS加密保护算法列表和NAS完整性保护算法列表;
获取单元22,用于从所述消息中获取NAS算法列表。
较佳地,所述消息接收单元21,具体用于:
通过鉴权信息获取过程或者插入签约数据过程,接收HSS发送的携带有NAS算法列表的消息。
较佳地,所述消息接收单元21通过鉴权信息获取过程接收HSS发送的携带有NAS算法列表的消息时,具体用于:
向HSS发送鉴权信息请求Authentication Information Request消息;
接收HSS发送的鉴权信息响应Authentication Information Answer消息,其中携带所述NAS算法列表。
较佳地,所述消息接收单元21通过插入签约数据取过程,接收HSS发送的携带有NAS算法列表的消息时,具体用于:
当签约数据更新时,接收HSS发送的插入签约数据请求Insert SubscriberData Request消息,其中携带所述NAS算法列表。
较佳地,所述NAS算法列表中的算法,按照预设优先级从高到低的顺序排列。
较佳地,该装置还包括:
选择处理单元23,用于在所述获取单元从所述消息中获取NAS算法列表后,从所述NAS算法列表中选择NAS算法,并将选择的NAS算法通知给用户设备UE。
较佳地,所述选择处理单元23,具体用于:
确定MME支持的NAS加密保护算法集合A1和NAS完整性保护算法集合A2;
确定UE支持的NAS加密保护算法集合B1和NAS完整性保护算法集合B2;
确定所述NAS算法列表中的NAS加密保护算法集合C1和NAS完整性保护算法集合C2;
确定集合A1、B1和C1的交集D1,以及A2、B2和C2的交集D2;
将交集D1中的NAS加密保护算法和交集D2中的NAS完整性保护算法集合通知给UE。
较佳地:
所述消息接收单元21,还用于当NAS算法列表更新时,从HSS发送的插入签约数据请求Insert Subscriber Data Request消息中获取更新的NAS算法列表;
所述选择处理单元23,还用于从更新的NAS算法列表中重新选择NAS算法;当重新选择的NAS算法,与现有的NAS算法不一致时,向UE发送安全模式命令Security Mode Command消息,其中携带重新选择的NAS算法;当重新选择的NAS算法,与现有的NAS算法一致时,或者当从更新的NAS算法列表中重新选择NAS算法的操作失败时,向HSS回复插入签约数据应答Insert Subscriber Data Answer消息。
较佳地,所述选择处理单元23,向UE发送安全模式命令Security ModeCommand消息后,还用于:
接收UE发送的安全模式完成Security Mode Complete消息或者安全模式拒绝Security Mode Reject消息;
向HSS回复插入签约数据应答Insert Subscriber Data Answer消息。
较佳地,本发明实施例提供的一种非接入层NAS算法的获取装置,为MME。
综上所述,本发明实施例,在3GPP TS 29.272协议中增加定义信息元素NAS算法列表(NAS-Algorithms-Lists),在HSS和MME之间的鉴权信息获取过程(Authentication Procedures)中传递NAS算法列表(NAS-Algorithms-Lists)。或者,在HSS和MME之间的插入签约数据过程(Insert Subscriber DataProcedure)中传递NAS算法列表(NAS-Algorithms-Lists)。从而实现了由HSS来配置NAS算法列表的策略,运营商可以通过BOSS系统来修改HSS中的用户签约数据,使得NAS安全算法和QOS等用户信息进行关联,针对不同用户的需求,可以选择不同特点的算法对NAS消息进行安全保护。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (28)
1.一种非接入层NAS算法的通知方法,其特征在于,该方法包括:
归属签约用户服务器HSS确定NAS算法列表,其中包括NAS加密保护算法列表和NAS完整性保护算法列表;
HSS将所述NAS算法列表发送给移动性管理实体MME。
2.根据权利要求1所述的方法,其特征在于,所述HSS将所述NAS算法列表发送给MME,包括:
HSS通过鉴权信息获取过程或者插入签约数据过程,将NAS算法列表传递给MME。
3.根据权利要求2所述的方法,其特征在于,HSS通过鉴权信息获取过程将NAS算法列表传递给MME,包括:
HSS接收MME发送的鉴权信息请求Authentication Information Request消息;
HSS将鉴权信息响应Authentication Information Answer消息发送给MME,其中携带所述NAS算法列表。
4.根据权利要求2所述的方法,其特征在于,HSS通过插入签约数据过程,将NAS算法列表传递给MME,包括:
当签约数据更新时,HSS向MME发送插入签约数据请求Insert SubscriberData Request消息,其中携带所述NAS算法列表。
5.根据权利要求1-4任一权项所述的方法,其特征在于,所述NAS算法列表中的算法,按照预设优先级从高到低的顺序排列。
6.一种非接入层NAS算法的获取方法,其特征在于,该方法包括:
移动性管理实体MME接收归属签约用户服务器HSS发送的携带有NAS算法列表的消息,所述NAS算法列表中包括NAS加密保护算法列表和NAS完整性保护算法列表;
MME从所述消息中获取NAS算法列表。
7.根据权利要求6所述的方法,其特征在于,MME通过鉴权信息获取过程或者插入签约数据过程,接收HSS发送的携带有NAS算法列表的消息。
8.根据权利要求7所述的方法,其特征在于,MME通过鉴权信息获取过程接收HSS发送的携带有NAS算法列表的消息,包括:
MME向HSS发送插入鉴权信息请求Authentication Information Request消息;
MME接收HSS发送的鉴权信息响应Authentication Information Answer消息,其中携带所述NAS算法列表。
9.根据权利要求7所述的方法,其特征在于,MME通过插入签约数据过程,接收HSS发送的携带有NAS算法列表的消息,包括:
当签约数据更新时,MME接收HSS发送的插入签约数据请求InsertSubscriber Data Request消息,其中携带所述NAS算法列表。
10.根据权利要求6-9任一权项所述的方法,其特征在于,所述NAS算法列表中的算法,按照预设优先级从高到低的顺序排列。
11.根据权利要求6-9任一权项所述的方法,其特征在于,MME从所述消息中获取NAS算法列表后,该方法还包括:
MME从所述NAS算法列表中选择NAS算法,并将选择的NAS算法通知给用户设备UE。
12.根据权利要求11所述的方法,其特征在于,MME从所述NAS算法列表中选择NAS算法,将选择的NAS算法通知给UE,包括:
MME确定自身支持的NAS加密保护算法集合A1和NAS完整性保护算法集合A2;
MME确定UE支持的NAS加密保护算法集合B1和NAS完整性保护算法集合B2;
MME确定所述NAS算法列表中的NAS加密保护算法集合C1和NAS完整性保护算法集合C2;
MME确定集合A1、B1和C1的交集D1,以及A2、B2和C2的交集D2;
MME将交集D1中的NAS加密保护算法和交集D2中的NAS完整性保护算法集合通知给UE。
13.根据权利要求12所述的方法,其特征在于,该方法还包括:
当NAS算法列表更新时,MME从HSS发送的插入签约数据请求InsertSubscriber Data Request消息中获取更新的NAS算法列表;
MME从更新的NAS算法列表中重新选择NAS算法;
当重新选择的NAS算法,与现有的NAS算法不一致时,MME向UE发送安全模式命令Security Mode Command消息,其中携带重新选择的NAS算法;
当重新选择的NAS算法,与现有的NAS算法一致时,或者当MME从更新的NAS算法列表中重新选择NAS算法的操作失败时,MME向HSS回复插入签约数据应答Insert Subscriber Data Answer消息。
14.根据权利要求13所述的方法,其特征在于,MME向UE发送安全模式命令Security Mode Command消息后,该方法还包括:
MME接收UE发送的安全模式完成Security Mode Complete消息或者安全模式拒绝Security Mode Reject消息;
MME向HSS回复插入签约数据应答Insert Subscriber Data Answer消息。
15.一种非接入层NAS算法的通知装置,其特征在于,该装置包括:
NAS算法列表确定单元,用于确定NAS算法列表,其中包括NAS加密保护算法列表和NAS完整性保护算法列表;
通知单元,用于将所述NAS算法列表发送给移动性管理实体MME。
16.根据权利要求15所述的装置,其特征在于,所述通知单元,具体用于:
通过鉴权信息获取过程或者插入签约数据过程,将NAS算法列表传递给MME。
17.根据权利要求16所述的装置,其特征在于,所述通知单元通过鉴权信息获取过程将NAS算法列表传递给MME时,具体用于:
接收MME发送的鉴权信息请求Authentication Information Request消息;
将鉴权信息响应Authentication Information Answer消息发送给MME,其中携带所述NAS算法列表。
18.根据权利要求16所述的装置,其特征在于,所述通知单元通过插入签约数据过程,将NAS算法列表传递给MME时,具体用于:
当签约数据更新时,向MME发送插入签约数据请求Insert Subscriber DataRequest消息,其中携带所述NAS算法列表。
19.根据权利要求15-18任一权项所述的装置,其特征在于,所述NAS算法列表中的算法,按照预设优先级从高到低的顺序排列。
20.一种非接入层NAS算法的获取装置,其特征在于,该装置包括:
消息接收单元,用于接收归属签约用户服务器HSS发送的携带有NAS算法列表的消息,所述NAS算法列表中包括NAS加密保护算法列表和NAS完整性保护算法列表;
获取单元,用于从所述消息中获取NAS算法列表。
21.根据权利要求20所述的装置,其特征在于,所述消息接收单元,具体用于:
通过鉴权信息获取过程或者插入签约数据过程,接收HSS发送的携带有NAS算法列表的消息。
22.根据权利要求21所述的装置,其特征在于,所述消息接收单元通过鉴权信息获取过程接收HSS发送的携带有NAS算法列表的消息时,具体用于:
向HSS发送插入鉴权信息请求Authentication Information Request消息;
接收HSS发送的鉴权信息响应Authentication Information Answer消息,其中携带所述NAS算法列表。
23.根据权利要求21所述的装置,其特征在于,所述消息接收单元通过插入签约数据过程,接收HSS发送的携带有NAS算法列表的消息时,具体用于:
当签约数据更新时,接收HSS发送的插入签约数据请求Insert SubscriberData Request消息,其中携带所述NAS算法列表。
24.根据权利要求20-23任一权项所述的装置,其特征在于,所述NAS算法列表中的算法,按照预设优先级从高到低的顺序排列。
25.根据权利要求20-23任一权项所述的装置,其特征在于,该装置还包括:
选择处理单元,用于在所述获取单元从所述消息中获取NAS算法列表后,从所述NAS算法列表中选择NAS算法,并将选择的NAS算法通知给用户设备UE。
26.根据权利要求25所述的装置,其特征在于,所述选择处理单元,具体用于:
确定MME支持的NAS加密保护算法集合A1和NAS完整性保护算法集合A2;
确定UE支持的NAS加密保护算法集合B1和NAS完整性保护算法集合B2;
确定所述NAS算法列表中的NAS加密保护算法集合C1和NAS完整性保护算法集合C2;
确定集合A1、B1和C1的交集D1,以及A2、B2和C2的交集D2;
将交集D1中的NAS加密保护算法和交集D2中的NAS完整性保护算法集合通知给UE。
27.根据权利要求26所述的装置,其特征在于,
所述消息接收单元,还用于当NAS算法列表更新时,从HSS发送的插入签约数据请求Insert Subscriber Data Request消息中获取更新的NAS算法列表;
所述选择处理单元,还用于从更新的NAS算法列表中重新选择NAS算法;当重新选择的NAS算法,与现有的NAS算法不一致时,向UE发送安全模式命令Security Mode Command消息,其中携带重新选择的NAS算法;当重新选择的NAS算法,与现有的NAS算法一致时,或者当从更新的NAS算法列表中重新选择NAS算法的操作失败时,向HSS回复插入签约数据应答InsertSubscriber Data Answer消息。
28.根据权利要求27所述的装置,其特征在于,所述选择处理单元,向UE发送安全模式命令Security Mode Command消息后,还用于:
接收UE发送的安全模式完成Security Mode Complete消息或者安全模式拒绝Security Mode Reject消息;
向HSS回复插入签约数据应答Insert Subscriber Data Answer消息。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210050881.9A CN102595369B (zh) | 2012-02-29 | 2012-02-29 | 一种nas算法的传输方法及装置 |
| PCT/CN2012/084314 WO2013127190A1 (zh) | 2012-02-29 | 2012-11-08 | 一种nas算法的传输方法及装置 |
| EP12870292.5A EP2822309B1 (en) | 2012-02-29 | 2012-11-08 | Nas algorithm transmission method and device |
| US14/381,218 US9220009B2 (en) | 2012-02-29 | 2012-11-08 | NAS algorithm transmission method and device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210050881.9A CN102595369B (zh) | 2012-02-29 | 2012-02-29 | 一种nas算法的传输方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102595369A true CN102595369A (zh) | 2012-07-18 |
| CN102595369B CN102595369B (zh) | 2015-02-25 |
Family
ID=46483485
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210050881.9A Active CN102595369B (zh) | 2012-02-29 | 2012-02-29 | 一种nas算法的传输方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9220009B2 (zh) |
| EP (1) | EP2822309B1 (zh) |
| CN (1) | CN102595369B (zh) |
| WO (1) | WO2013127190A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013127190A1 (zh) * | 2012-02-29 | 2013-09-06 | 大唐移动通信设备有限公司 | 一种nas算法的传输方法及装置 |
| CN107925876A (zh) * | 2015-08-14 | 2018-04-17 | 瑞典爱立信有限公司 | 用于处理无线设备的移动性过程的节点和方法 |
| CN107948972A (zh) * | 2017-12-27 | 2018-04-20 | 广东欧珀移动通信有限公司 | 数据业务的恢复方法及相关产品 |
| WO2022171156A1 (zh) * | 2021-02-10 | 2022-08-18 | 华为技术有限公司 | 配置演进分组系统非接入层安全算法的方法及相关装置 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106465110B (zh) | 2014-05-20 | 2020-05-12 | 诺基亚技术有限公司 | 蜂窝认证中的异常处理 |
| WO2015177397A1 (en) * | 2014-05-20 | 2015-11-26 | Nokia Technologies Oy | Cellular network authentication |
| US10084825B1 (en) * | 2017-05-08 | 2018-09-25 | Fortinet, Inc. | Reducing redundant operations performed by members of a cooperative security fabric |
| US20220338071A1 (en) * | 2019-09-25 | 2022-10-20 | Samsung Electronics Co., Ltd. | Method and device for performing communication in wireless communication system |
| CN111460514B (zh) * | 2020-06-19 | 2021-03-02 | 支付宝(杭州)信息技术有限公司 | 数据匹配方法、装置和电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262337A (zh) * | 2008-02-05 | 2008-09-10 | 中兴通讯股份有限公司 | 安全功能控制方法和系统 |
| CN101605324A (zh) * | 2008-06-13 | 2009-12-16 | 华为技术有限公司 | 算法协商的方法、装置及系统 |
| CN102083064A (zh) * | 2009-11-26 | 2011-06-01 | 大唐移动通信设备有限公司 | 用于增强密钥推衍算法灵活性的方法和系统 |
| CN102256234A (zh) * | 2010-05-19 | 2011-11-23 | 电信科学技术研究院 | 一种对用户鉴权过程进行处理的方法及设备 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1835436B (zh) * | 2005-03-14 | 2010-04-14 | 华为技术有限公司 | 一种通用鉴权网络及一种实现鉴权的方法 |
| CN101304600B (zh) * | 2007-05-08 | 2011-12-07 | 华为技术有限公司 | 安全能力协商的方法及系统 |
| CN101309500B (zh) * | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
| WO2009020789A2 (en) * | 2007-08-03 | 2009-02-12 | Interdigital Patent Holdings, Inc. | Security procedure and apparatus for handover in a 3gpp long term evolution system |
| CN101384079A (zh) * | 2007-09-03 | 2009-03-11 | 华为技术有限公司 | 一种终端移动时防止降质攻击的方法、系统及装置 |
| CN101854625B (zh) * | 2009-04-03 | 2014-12-03 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| CN102025685B (zh) * | 2009-09-21 | 2013-09-11 | 华为技术有限公司 | 认证处理方法及装置 |
| US20110080885A1 (en) | 2009-10-05 | 2011-04-07 | Electronics And Telecommunications Research Institute | Apparatus and method for management of extension carrier in base station |
| CN102595369B (zh) | 2012-02-29 | 2015-02-25 | 大唐移动通信设备有限公司 | 一种nas算法的传输方法及装置 |
-
2012
- 2012-02-29 CN CN201210050881.9A patent/CN102595369B/zh active Active
- 2012-11-08 EP EP12870292.5A patent/EP2822309B1/en active Active
- 2012-11-08 WO PCT/CN2012/084314 patent/WO2013127190A1/zh active Application Filing
- 2012-11-08 US US14/381,218 patent/US9220009B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262337A (zh) * | 2008-02-05 | 2008-09-10 | 中兴通讯股份有限公司 | 安全功能控制方法和系统 |
| CN101605324A (zh) * | 2008-06-13 | 2009-12-16 | 华为技术有限公司 | 算法协商的方法、装置及系统 |
| CN102083064A (zh) * | 2009-11-26 | 2011-06-01 | 大唐移动通信设备有限公司 | 用于增强密钥推衍算法灵活性的方法和系统 |
| CN102256234A (zh) * | 2010-05-19 | 2011-11-23 | 电信科学技术研究院 | 一种对用户鉴权过程进行处理的方法及设备 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013127190A1 (zh) * | 2012-02-29 | 2013-09-06 | 大唐移动通信设备有限公司 | 一种nas算法的传输方法及装置 |
| US9220009B2 (en) | 2012-02-29 | 2015-12-22 | Datang Mobile Communications Equipment Co., Ltd | NAS algorithm transmission method and device |
| CN107925876A (zh) * | 2015-08-14 | 2018-04-17 | 瑞典爱立信有限公司 | 用于处理无线设备的移动性过程的节点和方法 |
| CN107925876B (zh) * | 2015-08-14 | 2021-07-30 | 瑞典爱立信有限公司 | 用于处理无线设备的移动性过程的节点和方法 |
| CN107948972A (zh) * | 2017-12-27 | 2018-04-20 | 广东欧珀移动通信有限公司 | 数据业务的恢复方法及相关产品 |
| WO2022171156A1 (zh) * | 2021-02-10 | 2022-08-18 | 华为技术有限公司 | 配置演进分组系统非接入层安全算法的方法及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013127190A1 (zh) | 2013-09-06 |
| US9220009B2 (en) | 2015-12-22 |
| EP2822309A4 (en) | 2015-11-04 |
| CN102595369B (zh) | 2015-02-25 |
| EP2822309A1 (en) | 2015-01-07 |
| US20150118997A1 (en) | 2015-04-30 |
| EP2822309B1 (en) | 2019-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102595369A (zh) | 一种nas算法的传输方法及装置 | |
| US10623944B2 (en) | Method and apparatus for profile download of group devices | |
| CN111052777B (zh) | 支持无线通信系统中设备间简档转移的方法和装置 | |
| KR102162678B1 (ko) | 통신 방법 및 관련 장치 | |
| CN102577459B (zh) | 移动通信网络中创建安全上下文和管理通信的方法和装置 | |
| KR102245688B1 (ko) | 키 생성 방법, 사용자 장비, 장치, 컴퓨터 판독가능 저장 매체, 및 통신 시스템 | |
| KR20190102068A (ko) | 보안 구현 방법, 기기 및 시스템 | |
| KR20200027555A (ko) | 원격 sim 프로비저닝을 위한 기술 | |
| CN102349319A (zh) | 中继节点的设置和配置 | |
| EP3824594B1 (en) | Apparatus and method for ssp device and server to negotiate digital certificates | |
| EP4207847A1 (en) | Virtual private dial-up network access method, network-side system, system, and storage medium | |
| EP3729845B1 (en) | Adaptive esim delivery | |
| CN105323231A (zh) | 安全算法选择方法、装置及系统 | |
| EP3211931A1 (en) | Method for managing device-to-device (d2d) communication group, device, and storage medium | |
| CN101262337A (zh) | 安全功能控制方法和系统 | |
| CN102611553A (zh) | 实现数字签名的方法、用户设备及核心网节点设备 | |
| EP3079392A1 (en) | Method, apparatus and system for selecting authentication algorithm | |
| CN102547702B (zh) | 用户认证方法、系统及密码处理装置 | |
| CN104618089A (zh) | 安全算法的协商处理方法、控制网元和系统 | |
| KR102462366B1 (ko) | eUICC 버전을 협상하는 방법 및 장치 | |
| CN107852603A (zh) | 终端认证的方法及设备 | |
| JP5327896B2 (ja) | 無線lanアクセスポイントおよび無線端末の接続維持方法 | |
| JP2022525370A (ja) | Sm‐srプラットフォームを介してセキュアエレメントのオペレーティングシステムに透過的にパッチを適用する方法 | |
| WO2017128727A1 (zh) | 边缘计算节点的交互方法及装置 | |
| CN102083063A (zh) | 一种确定as密钥的方法、系统和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |