CN102905265B - 一种实现移动设备附着的方法及装置 - Google Patents
一种实现移动设备附着的方法及装置 Download PDFInfo
- Publication number
- CN102905265B CN102905265B CN201210385151.4A CN201210385151A CN102905265B CN 102905265 B CN102905265 B CN 102905265B CN 201210385151 A CN201210385151 A CN 201210385151A CN 102905265 B CN102905265 B CN 102905265B
- Authority
- CN
- China
- Prior art keywords
- message
- mme
- authentication
- imsi
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种实现移动设备附着的方法及装置,用以提高网络通信的安全性。所述方法在移动性管理实体MME向ME发送认证请求Identity?Request消息之前,包括:MME接收来自ME的附着请求消息,其中包括ME的IMSI;MME利用从HSS获取的一组鉴权向量,向ME发送鉴权请求消息,其中携带标识类型Identity?type为IMSI;当ME对自身标识验证成功时,MME接收ME返回的鉴权响应消息,从中获取XRES参数;MME比较所述XRES参数和本地保存的XRES是否一致,如果是,则确定对ME标识验证成功,向ME发起安全控制过程;否则,确定对ME标识验证失败,终止附着过程。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种实现移动设备附着的方法及装置
背景技术
在现有附着过程中,核心网需要对移动设备(ME)进行检查。由移动性管理实体(MobilityManagementEntity,MME)在附着过程中向移动设备(ME)索要全球移动设备标识(InternationalMobileEquipmentIdentity,IMEI)标识,ME向网络侧的MME上报IMEI,MME将IMEI发送给设备标识寄存器(EquipmentIdentityRegister,EIR),由EIR对IMEI进行检查匹配,如果检查匹配成功,则允许用户附着。
该原有附着过程中对于用户移动设备(ME)的检查方法过于简单,对不法移动终端的检查仅用于对移动设备的标识(IMEI)的检查上。用户可以轻易地使用不法的移动终端(ME)附着到网络并使用网络提供的服务。
在3GPPTS23.401V10.5.0的第5.3.2章节,对附着流程有详细描述,参见图1,具体包括:
步骤1,移动设备(ME)向演进型基站(eNB)发起附着请求消息(其中包括TMSI、ME能力以及PDN地址等参数)及网络选择指示。
步骤2,eNB根据系统架构演进的临时移动签约用户标识(SAE-TemporaryMobileSubscriberIdentity,S-TMSI)和网络选择指示推导确定移动管理实体(MobileManagementEntity,MME)。若eNB无法推导确定MME,将通过“MME选择功能”选择MME,并将附着消息前转至MME。
步骤3,如果是无效全球唯一临时标识(GloballyUniqMETemporaryIdentity,GUTI)附着,同时在MME中没有存储ME上下文信息。MME将向ME发送一个认证请求消息(IdentityRequest)以请求国际移动用户识别码(InternationalMobileSubscriberIdentity,IMSI)信息。
步骤4,ME将向MME发送一个认证请求响应(IdentityResponse)消息,携带IMSI信息。
步骤5,MME向归属用户服务器(HomeSubscriberServer,HSS)发送鉴权信息请求(AuthenticationInformationRequest)消息,索要鉴权向量。
步骤6,HSS向MME发送鉴权信息应答(AuthenticationInformationAnswer)消息,把鉴权向量携带给MME。
步骤7,MME从获取的鉴权向量中选择一组,向终端发送鉴权请求(AuthenticationRequest)。
步骤8,终端收到鉴权请求后,在终端侧先进行鉴权,成功后向MME回复鉴权响应(AuthenticationResponse)消息。
步骤9,MME收到鉴权响应后,比较鉴权响应消息中的期望的用户响应值(ExpecteduserResponse,XRES)参数和本地保存的XRES参数是否一致,一致则鉴权成功。鉴权成功后,MME利用密钥Kasme生成完整性保护密钥和加密密钥,并向ME发送安全模式命令(SecurityModeCommand)消息来发起安全控制过程。
步骤10,ME收到安全模式控制命令后,校验完整性保护。校验成功则向MME发送安全模式完成(SecurityModeComplete)消息,安全过程建立。
步骤11,MME可以通过认证请求(IdentityRequest)向ME索要国际移动设备标识(InternationalMobileEquipmentIdentity,IMEI)信息。本步骤可选。
步骤12,如果终端收到认证请求(IdentityRequest)消息,根据MME索要的标识类型,通过认证响应(IdentityResponse)消息向MME回复IMEI等消息。本步骤可选。
步骤13,MME和设备标识寄存器(EquipmentIdentityRegister,EIR)之间通过移动设备标识核实(MEIdentityCheck)过程判断是否允许终端接入。
步骤14,如果ME在附着请求消息中置位演进分组系统会话管理(EPSsessionmanagement,ESM)信息传输标记,则MME发起和ME的会话信息请求过程(ESMInformationRequestProcedure),ME在步骤9和10的安全过程完成后将对应的接入点名(AccessPointName,APN)或者协议配置选项(ProtocolConfigurationOptions,PCO)发送给MME。
步骤15,由于是初次附着,MME将向HSS发送位置更新消息。
步骤16,HSS向MME回复位置更新确认(ACK)消息,若HSS拒绝,则MME也将拒绝本次附着请求。
步骤17,MME选择一个服务网关(ServingGate-Way,SGW),并将创建默认承载请求消息(携带有IMSI、MME上下文ID、RAT类型、默认承载QoS、PDN地址分配以及AMBR等参数)发送给该SGW。
步骤18,SGW在其演进的分组核心网(EvolvedPacketCore,EPC)承载列表中创建一个入口,并向PGW转发创建会话请求消息。本步骤后,SGW将缓存从分组数据网网关(PacketDataNetwork-GateWay,PGW)所接收到的下行分组数据,直到收到步骤25以后的消息。
步骤19,若网络中使用了策略和计费规则功能(PCRF),则PGW将会与PCRF进行交互以获取策略和计费控制(PCC)规则。若建立默认EPS承载,
则将在PGW中预定义PCC规则。
步骤20,PGW向SGW返回一个创建会话响应消息,该消息包含用户面PGW地址和隧道终点标识(TunnelEndpointIdentifier,TEID)、控制面PGWTEID,分组数据网(PDN)类型、PDN地址、协议配置选项、计费ID、APN限制、原因值以及APN聚合的最大比特速率(APN-AMBR)等参数。
步骤21,SGW向MME返回一个创建会话响应消息,消息包含PDN类型、PDN地址、用户面SGW地址与TEID、控制面SGWTEID、EPS承载标识符、PGW地址等。
步骤22,MME向eNB发送一条附着接受消息。如果MME分配了一个新的全球唯一临时标识(GloballyUniqMETemporaryIdentity,GUTI),则GUTI参数也将包含在该消息中,该消息包含在一条S1AP(S1接口应用协议)消息里,这条S1AP消息也包括UE的安全上下文、切换限制列表、承载服务质量(QoS)参数以及AMBR相关的PDN地址信息,以及需要建立承载的QoS信息。
步骤23,eNB向ME发送无线资源控制(RadioResourceControl,RRC)连接重配置消息,并且将附着接受消息(S-TMSI、PDN地址、TA列表及PDN地址信息)发送给ME。
步骤24,ME向eNB发送RRC连接重配置完成消息。
步骤25,eNB向MME发送初始上下文消息,该消息包含eNB的TEID和eNB在ENB和SGW之间的用户面接口(S1-U接口)的下行传输地址。
步骤26,ME向eNB发送直传消息,该消息包含附着完成消息。
步骤27,eNB转发附着完成消息至MME。在S1-MME参考点上,该消息包含在控制面消息“初始上下文设置完成”之中,同时控制面消息也包含了eNB的TEID以及eNB地址。在附着接受消息以及ME已经得到一个PDN地址信息以后,ME就可以发送上行数据包给eNB了,随后eNB通过隧道地址隧道方式将数据包发送给SGW和PGW。
步骤28,MME向SGW发送一条承载更新请求消息。
步骤29,如果MME发送给SGW的承载更新请求消息(ModifyBearerRequest)中携带切换指示(HandoverIndication),则SGW需要想PGW发送承载更新消息。否则,直接向MME回复。
步骤30,PGW向SGW回复响应消息(ModifyBearerResponse)。
步骤31,SGW向MME返回一条承载更新响应确认消息,此时,SGW可以发送缓存的下行分组数据。
步骤32,在步骤30中MME接收承载更新响应消息后,如果建立了一个EPS承载,MME将向HSS发送一条包含APN与PGW标识的通知请求消息用于用户的移动性管理。
步骤33,HSS存储APN及PGW标识对,并发送一条通知响应消息至MME,完成整个附着过程。
综上所述,现有技术的附着过程中,附着消息中的GUTI或者IMSI都是不加密传输的。这样容易造成用户身份信息的不安全。攻击者可以很容易地截获IMSI,并将IMSI与用户身份进行关联;另外,通过获取用户标识,攻击者可以对UE进行跟踪。
发明内容
本发明实施例提供了一种实现移动设备附着的方法及装置,用以提高实现移动设备附着时的ME标识鉴权的准确性,从而提高网络通信的安全性。
本发明实施例提供的一种实现移动设备附着的方法,在移动性管理实体MME向ME发送认证请求IdentityRequest消息之前,该方法包括:
MME接收来自ME的附着请求消息,其中包括ME的IMSI;
MME利用从HSS获取的一组鉴权向量,向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
当ME利用自身保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息对自身标识验证成功时,MME接收ME返回的鉴权响应AuthenticationResponse消息,从中获取期望的响应值XRES参数;
MME比较所述XRES参数和本地保存的XRES是否一致,如果是,则确定对ME标识验证成功,向ME发起安全控制过程;否则,确定对ME标识验证失败,终止附着过程。
本发明实施例提供的一种移动设备ME附着方法,在ME接收到移动性管理实体MME发送的认证请求IdentityRequest消息之前,该方法包括:
ME向MME发送附着请求消息,其中包括ME的IMSI;
ME接收MME发送的鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
当ME对利用自身保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息自身标识验证成功时,ME向MME返回鉴权响应AuthenticationResponse消息,其中携带期望的响应值XRES参数。
本发明实施例提供的一种移动性管理实体MME装置包括:
附着请求消息接收单元,用于在移动性管理实体MME向ME发送认证请求IdentityRequest消息之前,接收来自ME的附着请求消息,其中包括ME的IMSI;
鉴权请求发送单元,用于利用从HSS获取的一组鉴权向量,向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
鉴权结果接收单元,用于当ME利用自身保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息对自身标识验证成功时,接收ME返回的鉴权响应AuthenticationResponse消息,从中获取期望的响应值XRES参数;
比较单元,用于比较所述XRES参数和本地保存的XRES是否一致,如果是,则确定对ME标识验证成功,向ME发起安全控制过程;否则,确定对ME标识验证失败,终止附着过程。
本发明实施例提供的一种移动设备,包括:
附着请求发送单元,用于在ME接收到移动性管理实体MME发送的认证请求IdentityRequest消息之前,向MME发送附着请求消息,其中包括ME的IMSI;
鉴权请求接收单元,用于接收MME发送的鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
鉴权响应发送单元,用于当利用该移动设备保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息对ME标识验证成功时,向MME返回鉴权响应AuthenticationResponse消息,其中携带期望的响应值XRES参数。
本发明实施例,在移动性管理实体MME向ME发送认证请求IdentityRequest消息之前,MME接收来自ME的附着请求消息,其中包括ME的IMSI;MME利用从HSS获取的一组鉴权向量,向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;当ME对自身标识验证成功时,MME接收ME返回的鉴权响应AuthenticationResponse消息,从中获取XRES参数;MME比较所述XRES参数和本地保存的XRES是否一致,如果是,则确定对ME标识验证成功,向ME发起安全控制过程;否则,确定对ME标识验证失败,终止附着过程,从而提高了实现移动设备附着时的ME标识鉴权的准确性,从而提高网络通信的安全性。
附图说明
图1为现有技术中的附着流程(Attachprocedure)示意图;
图2为本发明实施例提供的优化后的附着流程(Attachprocedure)示意图;
图3为本发明实施例提供的HSS和USIM卡之间的安全过程建立失败、EIR和ME之间的安全过程建立成功的流程示意图;
图4为本发明实施例提供的HSS和USIM卡之间的安全过程建立失败、EIR和ME之间的安全过程建立失败的流程示意图;
图5为本发明实施例提供的HSS和USIM卡之间的安全过程建立成功、EIR和ME之间的安全过程建立失败的流程示意图;
图6为本发明实施例提供的一种MME侧的实现移动设备ME附着的方法流程示意图。
具体实施方式
本发明实施例提供的一种实现移动设备附着的方法及装置,用以提高实现移动设备附着时的ME标识鉴权的准确性,从而提高网络通信的安全性。
本发明实施例对附着流程进行改进,使得MME可以在基于IMSI的安全上下文以及基于IMEI的安全上下文之间进行选择和替换,是对NAS层安全密钥推衍的数据来源的多样性的极大补充。完善了LTE安全体系,增强了NAS安全保护的强度。
与图1所示的现有附着流程相比,本发明实施例提供的附着流程,参见图2,包括:
步骤101,UE向eNB发起附着请求消息(包括IMSI、UE能力以及PDN地址等参数)及网络选择指示。在附着请求消息的EPC移动标识(EPSmobileidentity)中,携带IMSI。
步骤102,eNB选择MME,并将附着请求消息前转至MME。
步骤103,MME获得IMSI后,向HSS发送AuthenticationInformationRequest消息,索要对应于IMSI的鉴权向量。
步骤104,HSS向MME发送AuthenticationInformationAnswer消息,把鉴权向量携带给MME。
步骤105,MME从获取的鉴权向量中选择一组,向终端发送鉴权请求(AuthenticationRequest)。消息格式如下面的表1所示,鉴权请求(AUTHENTICATIONREQUEST)消息中的标识类型(Identitytype)表示为IMSI。
表1:鉴权请求消息内容(AUTHENTICATIONREQUESTmessagecontent)
步骤106,终端收到鉴权请求后,判断标识类型(Identitytype)表示为IMSI,则从USIM卡中取出对应的K、OP、AMF、SQN等信息进行鉴权计算,成功后向MME回复鉴权响应消息(AuthenticationResponse)。鉴权响应(AUTHENTICATIONRESPONSE)消息中的标识类型(Identitytype)表示为IMSI。消息格式如下面的表2所示。
表2:鉴权响应消息内容(AUTHENTICATIONRESPONSEmessagecontent)
如果终端对网络鉴权失败,则向MME回复鉴权失败(AuthenticationFailure)消息。消息中携带标识类型(Identitytype)表示为IMSI,消息格式如下面的表3所示。MME收到后终止附着流程。
表3:AUTHENTICATIONFAILUREmessagecontent(鉴权失败消息内容)
MME收到鉴权响应后,比较鉴权响应消息中的XRES参数和本地保存的XRES参数是否一致,一致则鉴权成功。不一致则MME向UE回复鉴权拒绝(AuthenticationReject)消息,附着流程终止。鉴权拒绝(AuthenticationReject)消息格式如下面的表4所示。
表4:AUTHENTICATIONREJECTmessagecontent(鉴权拒绝消息内容)
步骤107,鉴权成功后,MME利用HSS发送的鉴权向量中的密钥Kasme生成完整性保护密钥和加密密钥,并向UE发送安全模式命令(SecurityModeCommand)消息来发起安全控制过程。消息中携带标识类型(Identitytype)表示为IMSI,格式如下面的表5所示。安全模式命令(SecurityModeCommand)消息受到完整性保护,不加密。
表5:改进后的安全模式控制消息内容(SECURITYMODECOMMANDmessagecontent)
步骤108,UE收到安全模式命令(SecurityModeCommand)消息后,校验完整性保护。校验成功则向MME发送安全模式完成(SecurityModeComplete)消息,消息中携带标识类型(Identitytype)表示为IMSI,格式如表6所示。基于IMSI的安全上下文建立。之后的NAS消息交互都将受到安全保护。
表6:安全模式完成消息内容(SECURITYMODECOMPLETEmessagecontent)
完整性保护校验不通过,则向MME发送安全模式拒绝(SecurityModeReject)消息。消息中携带标识类型(Identitytype)为IMSI。安全模式拒绝(SecurityModeReject)消息的消息格式如表7所示。
表7:SECURITYMODEREJECTmessagecontent(安全模式拒绝消息内容)
MME收到安全模式拒绝消息后,判断标识类型为IMSI,可以终止流程。也可以删除基于IMSI的安全上下文,继续发起后续109,1010,1011,1012,1013,1014,1015,1016步骤,以建立基于IMEI的安全上下文对NAS消息进行安全保护。异常流程如图3所示;
以下步骤109,1010,1011,1012,1013,1014,1015,1016为可选过程。MME可以通过这8个步骤建立基于IMEI的安全上下文。
步骤109,MME可以通过步骤107向UE索要IMEI,如果MME在步骤107中索要IMEI,则UE需要在步骤108中回复IMEI给MME。
如果MME没有在步骤107中索要IMEI,或者UE没有再步骤108中向MME回复IMEI。MME也可以在安全模式控制(SecurityModeControl)过程之后发起认证过程向UE索要IMEI。
MME向UE发送认证请求(IdentityRequest)消息,索要IMEI。如果步骤107、108中基于IMSI的安全过程建立成功,则该消息被基于IMSI的安全上下文进行完整性保护和加密保护。
步骤1010,UE将IMEI,通过认证响应(IdentityResponse)消息携带给MME。如果步骤107、108中基于IMSI的安全过程建立成功,则该消息被基于IMSI的安全上下文进行完整性保护和加密保护。
步骤1011,MME从附着请求消息中获取到IMEI后,向EIR发送设备标识检查请求(MEIdentityCheckRequest)消息。消息中携带IMEI和拜访PLMN标识(Visited-PLMN-ID),消息格式见下面的表8。
表8:改进后的移动设备标识检查请求(MEIdentityCheckRequest)消息
步骤1012,在EIR中,保存有对应IMEI的K,OP,AMF等计算鉴权的信息,EIR用Visited-PLMN-ID对终端进行验证。如果验证通过,EIR将会使用收到的参数生成一组AV,它包括参数RAND(随机数)、AUTN(authenticationtoken,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME。EIR在移动设备标识检查应答(MEIdentityCheckAnswer)消息中携带AV给MME。移动设备标识检查应答(MEIdentityCheckAnswer)消息如表9所示。
表9:改进后的移动设备标识检查应答(MEIdentityCheckAnswer)消息
如果验证失败,则在移动设备标识检查应答(MEIdentityCheckAnswer)消息中携带对应失败的原因值。
步骤1013,MME保存对应的AV,并向UE发送鉴权请求(AuthenticationRequest)消息。在鉴权请求(AuthenticationRequest)消息中,携带NAS密钥组标识(NASkeysetidentifierASME),以及标识类型(Identitytype),对应的鉴权随机值参数(AuthenticationparameterRAND)、鉴权标识参数(AuthenticationparameterAUTN)。鉴权请求(AuthenticationRequest)消息格式如表1所示。如果步骤107、108中基于IMSI的安全过程建立成功,则该消息被基于IMSI的安全上下文进行完整性保护和加密保护。
步骤1014,UE对鉴权请求(AuthenticationRequest)消息中的标识类型(Identitytype)进行判断,如果判断标识类型为IMEI,则从ME中获取对应的K,OP,AMF等计算鉴权的参数进行鉴权计算,计算成功,则UE向MME返回鉴权响应(AuthenticationResponse)消息。携带RES参数。并在标识类型(Identitytype)表示为IMEI。如果步骤107、108中基于IMSI的安全过程建立成功,则该消息被基于IMSI的安全上下文进行完整性保护和加密保护。鉴权响应(AuthenticationResponse)消息格式如表2所示。
计算失败,则向MME返回对应的鉴权失败(AuthenticationFailure)消息。消息中携带标识类型(Identitytype)为IMEI。消息格式如表3所示。MME向UE返回附着拒绝(AttachReject)消息。附着流程终止。
MME收到标识类型(Identitytype)表示为IMEI的鉴权响应(AuthenticationResponse)消息。通过比对鉴权响应(AuthenticationResponse)消息中的RES与从EIR获取的鉴权向量中的XRES进行比对,一致则鉴权成功。
不一致则鉴权失败,并向UE返回鉴权拒绝(AuthenticationReject)消息,标识类型(Identitytype)表示为IMEI。消息格式如表4所示。MME终止附着流程。UE收到鉴权拒绝消息后,判断标识类型(Identitytype)为IMEI,对终端设备(ME)做相应的处理。
步骤1015,MME使用EIR传递的鉴权向量中的Kasme,计算完整性保护密钥和加密密钥,向UE发送安全模式命令(SecurityModeCommand)消息。消息中携带标识类型(Identitytype)表示为IMEI。消息格式如表5所示。
步骤1016,UE收到安全模式命令(SecurityModeCommand)消息后,判断标识类型(Identitytype)表示为IMEI。则利用ME中的鉴权参数进行计算,并对安全模式命令(SecurityModeCommand)消息进行完整性检查,成功,则返回安全模式完成(SecurityModeComplete)消息;
分以下两种情况:
如果在步骤108中,基于IMSI的安全模式控制(SecurityModeControl)过程失败,UE给MME回复标识类型为IMSI的安全模式拒绝(SecurityModeReject)消息,则UE和MME直接用该步骤生成的基于IMEI的安全上下文进行保护。UE向MME回复安全模式命令(SecurityModeCommand)消息。异常流程如图4所示。
如果在步骤108中,基于IMSI的安全模式控制(SecurityModeControl)过程成功,则MME和UE用在该步骤生成的基于IMEI的安全上下文替换步骤108生成的基于IMSI的安全上下文对NAS消息进行安全保护。
UE收到安全模式命令(SecurityModeCommand)消息后,判断标识类型(Identitytype)表示为IMEI。则利用ME中的鉴权参数进行计算,并对安全模式命令(SecurityModeCommand)消息进行完整性检查,失败,则返回安全模式拒绝(SecurityModeReject)消息;消息中携带标识类型(Identitytype)表示为IMEI。消息格式入表7所示。
分以下两种情况:
如果步骤108中,UE给MME回复了标识类型为IMSI的安全模式拒绝(SecurityModeReject)消息。则MME在该步骤中终止附着流程。异常流程如图5所示。
如果步骤108中,UE给MME回复了标识类型为IMSI的安全模式接受(SecurityModeComplete)消息,则MME和UE之间可以继续使用在步骤107、108中建立的基于IMSI的安全上下文对NAS消息进行安全保护,也可以选择使用步骤1015、1016中建立的基于IMEI的安全上下文对NAS消息进行安全保护。
步骤1017,如果UE在附着请求消息中置位ESM信息传输标记,则MME发起和UE的会话信息请求过程(ESMInformationRequestProcedure),UE在安全过程建立后将对应的APN或者PCO发送给MME。
步骤1018,由于是初次附着,MME将向HSS发送位置更新(UpdateLocationRequest)消息。
步骤1019,HSS向MME回复位置更新应答(UpdateLocationAnswer)消息,若HSS拒绝,则MME也将拒绝本次附着请求。
步骤1020,MME选择一个SGW,并将创建会话请求(CreateSessionRequest)消息(携带有IMSI、MME上下文ID、RAT类型、默认承载QoS、PDN地址分配以及AMBR等参数)发送给该SGW。
步骤1021,SGW在其EPC承载列表中创建一个入口,并向PGW转发创建会话请求(CreateSessionRequest)消息。本步骤后,SGW将缓存从PGW所接收到的下行分组数据,直到收到步骤1028以后的消息。
步骤1022,若网络中使用了PCRF,则PGW将会与PCRF进行交互以获取PCC规则。若建立默认EPS承载,则将在PGW中预定义PCC规则。
步骤1023,PGW向SGW返回一个创建会话响应(CreateSessionResponse)消息,该消息包含用户面PGW地址和TEID、控制面PGWTEID,PDN类型、PDN地址、协议配置选项、计费ID、APN限制、原因值以及APN-AMBR等参数。
步骤1024,SGW向MME返回一个创建会话响应(CreateSessionResponse)消息,消息包含PDN类型、PDN地址、用户面SGW地址与TEID、控制面SGWTEID、EPS承载标识符、PGW地址等。
步骤1025,MME向UE发送一条附着接受(AttachAccept)消息。如果MME分配了一个新的GUTI,则GUTI参数也将包含在该消息中。该附着接受(AttachAccept)消息将被包含在一条初始上下文请求(InitialContextSetupRequest)消息中携带给ENB,这条初始上下文请求(InitialContextSetupRequest)消息也包括UE的安全上下文、切换限制列表、承载QoS参数以及AMBR相关的PDN地址信息,以及需要建立承载的QoS信息。
步骤1026,eNB向UE发送RRC连接重配置消息,并且将附着接受(AttachAccept)消息(S-TMSI、PDN地址、TA列表及PDN地址信息)发送给UE。
步骤1027,UE向eNB发送RRC连接重配置完成消息。
步骤1028,eNB向MME发送初始上下文响应(InitialContextSetupResponse)消息,该消息包含eNB的TEID和eNB在S1-U接口的下行传输地址。
步骤1029,UE向eNB发送直传消息,该消息包含附着完成(AttachComplete)消息。
步骤1030,eNB转发附着完成(AttachComplete)消息至MME。该消息包含在控制面消息“初始上下文设置完成”之中,同时控制面消息也包含了eNB的TEID以及eNB地址。在附着接受消息以及UE已经得到一个PDN地址信息以后,UE就可以发送上行数据包给eNB了,随后eNB通过隧道地址隧道方式将数据包发送给SGW和PGW。
步骤1031,MME向SGW发送一条承载更新请求(ModifyBearerRequest)消息。
步骤1032,如果MME发送给SGW的承载更新请求(ModifyBearerRequest)消息中携带切换指示(HandoverIndication),则SGW需要想PGW发送承载更新消息。否则,直接向MME回复。
步骤1033,PGW向SGW回复承载更新响应(ModifyBearerResponse)消息。
步骤1034,SGW向MME返回一条承载更新响应(ModifyBearerResponse)消息,此时,SGW可以发送缓存的下行分组数据。
步骤1035,MME可能向HSS发送一条包含APN与PGW标识的通知请求(NotifyRequest)消息用于用户的移动性管理。
步骤1036,HSS存储APN及PGW标识对,并发送一条通知响应(NotifyResponse)消息至MME,完成整个附着过程。
其中,图3所示的流程包括:
步骤201,UE向eNB发起附着请求消息(包括IMSI、UE能力以及PDN地址等参数)及网络选择指示。在附着请求消息的EPC移动标识(EPSmobileidentity)中,携带IMSI。
步骤202,eNB选择MME,并将附着请求消息前转至MME。
步骤203,MME获得IMSI后,向HSS发送AuthenticationInformationRequest消息,索要对应于IMSI的鉴权向量。
步骤204,HSS向MME发送AuthenticationInformationAnswer消息,把鉴权向量携带给MME。
步骤205,MME从获取的鉴权向量中选择一组,向终端发送鉴权请求(AuthenticationRequest)。消息格式如下面的表1所示,鉴权请求(AUTHENTICATIONREQUEST)消息中的标识类型(Identitytype)表示为IMSI。
步骤206,终端收到鉴权请求后,判断标识类型(Identitytype)表示为IMSI,则从USIM卡中取出对应的K、OP、AMF、SQN等信息进行鉴权计算,成功后向MME回复鉴权响应消息(AuthenticationResponse)。鉴权响应(AUTHENTICATIONRESPONSE)消息中的标识类型(Identitytype)表示为IMSI。消息格式如下面的表2所示。
MME收到鉴权响应后,比较鉴权响应消息中的XRES参数和本地保存的XRES参数是否一致,一致则鉴权成功。
步骤207,鉴权成功后,MME利用HSS发送的鉴权向量中的密钥Kasme生成完整性保护密钥和加密密钥,并向UE发送安全模式命令(SecurityModeCommand)消息来发起安全控制过程。消息中携带标识类型(Identitytpe)表示为IMSI,格式如下面的表5所示。安全模式命令(SecurityModeCommand)消息受到完整性保护,不加密。
步骤208,UE收到安全模式命令(SecurityModeCommand)消息后,校验完整性保护。
完整性保护校验不通过,则向MME发送安全模式拒绝(SecurityModeReject)消息。消息中携带标识类型(Identitytpe)为IMSI。安全模式拒绝(SecurityModeReject)消息的消息格式如表7所示。
MME收到安全模式拒绝消息后,判断标识类型为IMSI,继续发起后续209,2010,2011,2012,2013,2014,2015,2016步骤,以建立基于IMEI的安全上下文对NAS消息进行安全保护。
步骤209,MME向UE发送认证请求(IdentityRequest)消息,索要IMEI。
步骤2010,UE将IMEI,通过认证响应(IdentityResponse)消息携带给MME。
步骤2011,MME从认证响应消息中获取到IMEI后,向EIR发送设备标识检查请求(MEIdentityCheckRequest)消息。消息中携带IMEI和拜访PLMN标识(Visited-PLMN-ID),消息格式见下面的表8。
步骤2012,在EIR中,保存有对应IMEI的K,OP,AMF等计算鉴权的信息,EIR用Visited-PLMN-ID对终端进行验证。如果验证通过,EIR将会使用收到的参数生成一组AV,它包括参数RAND(随机数)、AUTN(authenticationtoken,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME。EIR在移动设备标识检查应答(MEIdentityCheckAnswer)消息中携带AV给MME。移动设备标识检查应答(MEIdentityCheckAnswer)消息如表9所示。
如果验证失败,则在移动设备标识检查应答(MEIdentityCheckAnswer)消息中携带对应失败的原因值,附着流程终止。
步骤2013,MME保存对应的AV,并向UE发送鉴权请求(AuthenticationRequest)消息。在鉴权请求(AuthenticationRequest)消息中,携带NAS密钥组标识(NASkeysetidentifierASME),以及标识类型(Identitytype),对应的鉴权随机值参数(AuthenticationparameterRAND)、鉴权标识参数(AuthenticationparameterAUTN)。鉴权请求(AuthenticationRequest)消息格式如表1所示。
步骤2014,UE对鉴权请求(AuthenticationRequest)消息中的标识类型(Identitytype)进行判断,如果判断标识类型为IMEI,则从ME中获取对应的K,OP,AMF等计算鉴权的参数进行鉴权计算,计算成功,则UE向MME返回鉴权响应(AuthenticationResponse)消息。携带RES参数。并在标识类型(Identitytype)表示为IMEI。鉴权响应(AuthenticationResponse)消息格式如表2所示。
计算失败,则向MME返回对应的鉴权失败(AuthenticationFailure)消息。消息中携带标识类型(Identitytype)为IMEI。消息格式如表3所示。MME向UE返回附着拒绝(AttachReject)消息。附着流程终止。
MME收到标识类型(Identitytype)表示为IMEI的鉴权响应(AuthenticationResponse)消息。通过比对鉴权响应(AuthenticationResponse)消息中的RES与从EIR获取的鉴权向量中的XRES进行比对,一致则鉴权成功。
不一致则鉴权失败,并向UE返回鉴权拒绝(AuthenticationReject)消息,标识类型(Identitytype)表示为IMEI。消息格式如表4所示。MME终止附着流程。UE收到鉴权拒绝消息后,判断标识类型(Identitytype)为IMEI,对终端设备(ME)做相应的处理。
步骤2015,MME使用EIR传递的鉴权向量中的Kasme,计算完整性保护密钥和加密密钥,向UE发送安全模式命令(SecurityModeCommand)消息。消息中携带标识类型(Identitytype)表示为IMEI。消息格式如表5所示。
步骤2016,UE收到安全模式命令(SecurityModeCommand)消息后,判断标识类型(Identitytype)表示为IMEI。则利用ME中的鉴权参数进行计算,并对安全模式命令(SecurityModeCommand)消息进行完整性检查,成功,则返回安全模式完成(SecurityModeComplete)消息;基于IMEI的安全过程建立完成,后续NAS消息将受到该安全上下文的保护。
步骤2017,如果UE在附着请求消息中置位ESM信息传输标记,则MME发起和UE的会话信息请求过程(ESMInformationRequestProcedure),UE在基于IMEI的安全过程建立后将对应的APN或者PCO发送给MME。
步骤2018,由于是初次附着,MME将向HSS发送位置更新(UpdateLocationRequest)消息。
步骤2019,HSS向MME回复位置更新应答(UpdateLocationAnswer)消息,若HSS拒绝,则MME也将拒绝本次附着请求。
步骤2020,MME选择一个SGW,并将创建会话请求(CreateSessionRequest)消息(携带有IMSI、MME上下文ID、RAT类型、默认承载QoS、PDN地址分配以及AMBR等参数)发送给该SGW。
步骤2021,SGW在其EPC承载列表中创建一个入口,并向PGW转发创建会话请求(CreateSessionRequest)消息。本步骤后,SGW将缓存从PGW所接收到的下行分组数据,直到收到步骤1028以后的消息。
步骤2022,若网络中使用了PCRF,则PGW将会与PCRF进行交互以获取PCC规则。若建立默认EPS承载,则将在PGW中预定义PCC规则。
步骤2023,PGW向SGW返回一个创建会话响应(CreateSessionResponse)消息,该消息包含用户面PGW地址和TEID、控制面PGWTEID,PDN类型、PDN地址、协议配置选项、计费ID、APN限制、原因值以及APN-AMBR等参数。
步骤2024,SGW向MME返回一个创建会话响应(CreateSessionResponse)消息,消息包含PDN类型、PDN地址、用户面SGW地址与TEID、控制面SGWTEID、EPS承载标识符、PGW地址等。
步骤2025,MME向UE发送一条附着接受(AttachAccept)消息。如果MME分配了一个新的GUTI,则GUTI参数也将包含在该消息中。该附着接受(AttachAccept)消息将被包含在一条初始上下文请求(InitialContextSetupRequest)消息中携带给ENB,这条初始上下文请求(InitialContextSetupRequest)消息也包括UE的安全上下文、切换限制列表、承载QoS参数以及AMBR相关的PDN地址信息,以及需要建立承载的QoS信息。
步骤2026,eNB向UE发送RRC连接重配置消息,并且将附着接受(AttachAccept)消息(S-TMSI、PDN地址、TA列表及PDN地址信息)发送给UE。
步骤2027,UE向eNB发送RRC连接重配置完成消息。
步骤2028,eNB向MME发送初始上下文响应(InitialContextSetupResponse)消息,该消息包含eNB的TEID和eNB在S1-U接口的下行传输地址。
步骤2029,UE向eNB发送直传消息,该消息包含附着完成(AttachComplete)消息。
步骤2030,eNB转发附着完成(AttachComplete)消息至MME。该消息包含在控制面消息“初始上下文设置完成”之中,同时控制面消息也包含了eNB的TEID以及eNB地址。在附着接受消息以及UE已经得到一个PDN地址信息以后,UE就可以发送上行数据包给eNB了,随后eNB通过隧道地址隧道方式将数据包发送给SGW和PGW。
步骤2031,MME向SGW发送一条承载更新请求(ModifyBearerRequest)消息。
步骤2032,如果MME发送给SGW的承载更新请求(ModifyBearerRequest)消息中携带切换指示(HandoverIndication),则SGW需要想PGW发送承载更新消息。否则,直接向MME回复。
步骤2033,PGW向SGW回复承载更新响应(ModifyBearerResponse)消息。
步骤2034,SGW向MME返回一条承载更新响应(ModifyBearerResponse)消息,此时,SGW可以发送缓存的下行分组数据。
步骤2035,MME可能向HSS发送一条包含APN与PGW标识的通知请求(NotifyRequest)消息用于用户的移动性管理。
步骤2036,HSS存储APN及PGW标识对,并发送一条通知响应(NotifyResponse)消息至MME,完成整个附着过程。
其中,图4所示的流程包括:
步骤301,UE向eNB发起附着请求消息(包括IMSI、UE能力以及PDN地址等参数)及网络选择指示。在附着请求消息的EPC移动标识(EPSmobileidentity)中,携带IMSI。
步骤302,eNB选择MME,并将附着请求消息前转至MME。
步骤303,MME获得IMSI后,向HSS发送AuthenticationInformationRequest消息,索要对应于IMSI的鉴权向量。
步骤304,HSS向MME发送AuthenticationInformationAnswer消息,把鉴权向量携带给MME。
步骤305,MME从获取的鉴权向量中选择一组,向终端发送鉴权请求(AuthenticationRequest)。消息格式如下面的表1所示,鉴权请求(AUTHENTICATIONREQUEST)消息中的标识类型(Identitytype)表示为IMSI。
步骤306,终端收到鉴权请求后,判断标识类型(Identitytype)表示为IMSI,则从USIM卡中取出对应的K、OP、AMF、SQN等信息进行鉴权计算,成功后向MME回复鉴权响应消息(AuthenticationResponse)。鉴权响应(AUTHENTICATIONRESPONSE)消息中的标识类型(Identitytype)表示为IMSI。消息格式如下面的表2所示。
如果终端对网络鉴权失败,则向MME回复鉴权失败(AuthenticationFailure)消息。消息中携带标识类型(Identitytype)表示为IMSI,消息格式如下面的表3所示。MME收到后终止附着流程。
MME收到鉴权响应后,比较鉴权响应消息中的XRES参数和本地保存的XRES参数是否一致,一致则鉴权成功。不一致则MME向UE回复鉴权拒绝(AuthenticationReject)消息,附着流程终止。鉴权拒绝(AuthenticationReject)消息格式如下面的表4所示。
步骤307,鉴权成功后,MME利用HSS发送的鉴权向量中的密钥Kasme生成完整性保护密钥和加密密钥,并向UE发送安全模式命令(SecurityModeCommand)消息来发起安全控制过程。消息中携带标识类型(Identitytype)表示为IMSI,格式如下面的表5所示。安全模式命令(SecurityModeCommand)消息受到完整性保护,不加密。
步骤308,UE收到安全模式命令(SecurityModeCommand)消息后,校验完整性保护。
完整性保护校验不通过,则向MME发送安全模式拒绝(SecurityModeReject)消息。消息中携带标识类型(Identitytype)为IMSI。安全模式拒绝(SecurityModeReject)消息的消息格式如表7所示。
MME收到安全模式拒绝消息后,判断标识类型为IMSI,继续发起后续309,3010,3011,3012,3013,3014,3015,3016步骤,以建立基于IMEI的安全上下文对NAS消息进行安全保护。
步骤309,MME向UE发送认证请求(IdentityRequest)消息,索要IMEI。
步骤3010,UE将IMEI,通过认证响应(IdentityResponse)消息携带给MME。
步骤3011,MME从认证响应消息中获取到IMEI后,向EIR发送设备标识检查请求(MEIdentityCheckRequest)消息。消息中携带IMEI和拜访PLMN标识(Visited-PLMN-ID),消息格式见下面的表8。
步骤3012,在EIR中,保存有对应IMEI的K,OP,AMF等计算鉴权的信息,EIR用Visited-PLMN-ID对终端进行验证。如果验证通过,EIR将会使用收到的参数生成一组AV,它包括参数RAND(随机数)、AUTN(authenticationtoken,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME。EIR在移动设备标识检查应答(MEIdentityCheckAnswer)消息中携带AV给MME。移动设备标识检查应答(MEIdentityCheckAnswer)消息如表9所示。
如果验证失败,则在移动设备标识检查应答(MEIdentityCheckAnswer)消息中携带对应失败的原因值,附着流程终止。
步骤3013,MME保存对应的AV,并向UE发送鉴权请求(AuthenticationRequest)消息。在鉴权请求(AuthenticationRequest)消息中,携带NAS密钥组标识(NASkeysetidentifierASME),以及标识类型(Identitytype),对应的鉴权随机值参数(AuthenticationparameterRAND)、鉴权标识参数(AuthenticationparameterAUTN)。鉴权请求(AuthenticationRequest)消息格式如表1所示。
步骤3014,UE对鉴权请求(AuthenticationRequest)消息中的标识类型(Identitytype)进行判断,如果判断标识类型为IMEI,则从ME中获取对应的K,OP,AMF等计算鉴权的参数进行鉴权计算,计算成功,则UE向MME返回鉴权响应(AuthenticationResponse)消息。携带RES参数。并在标识类型(Identitytype)表示为IMEI。鉴权响应(AuthenticationResponse)消息格式如表2所示。
计算失败,则向MME返回对应的鉴权失败(AuthenticationFailure)消息。消息中携带标识类型(Identitytype)为IMEI。消息格式如表3所示。MME向UE返回附着拒绝(AttachReject)消息。附着流程终止。
MME收到标识类型(Identitytype)表示为IMEI的鉴权响应(AuthenticationResponse)消息。通过比对鉴权响应(AuthenticationResponse)消息中的RES与从EIR获取的鉴权向量中的XRES进行比对,一致则鉴权成功。
不一致则鉴权失败,并向UE返回鉴权拒绝(AuthenticationReject)消息,标识类型(Identitytype)表示为IMEI。消息格式如表4所示。MME终止附着流程。UE收到鉴权拒绝消息后,判断标识类型(Identitytype)为IMEI,对终端设备(ME)做相应的处理。
步骤3015,MME使用EIR传递的鉴权向量中的Kasme,计算完整性保护密钥和加密密钥,向UE发送安全模式命令(SecurityModeCommand)消息。消息中携带标识类型(Identitytype)表示为IMEI。消息格式如表5所示。
步骤3016,UE收到安全模式命令(SecurityModeCommand)消息后,判断标识类型(Identitytype)表示为IMEI。则利用ME中的鉴权参数进行计算,并对安全模式命令(SecurityModeCommand)消息进行完整性检查,失败,则返回安全模式拒绝(SecurityModeReject)消息,消息中携带标识类型(Identitytype)表示为IMEI;
步骤3017,MME判断步骤307、308的基于IMSI的安全模式控制过程失败以及步骤3015、3016的基于IMSI的安全模式控制过程失败。则MME向UE发送附着拒绝(AttachReject)消息,附着流程终止。
其中,图5所示流程包括:
步骤401,UE向eNB发起附着请求消息(包括IMSI、UE能力以及PDN地址等参数)及网络选择指示。在附着请求消息的EPC移动标识(EPSmobileidentity)中,携带IMSI。
步骤402,eNB选择MME,并将附着请求消息前转至MME。
步骤403,MME获得IMSI后,向HSS发送AuthenticationInformationRequest消息,索要对应于IMSI的鉴权向量。
步骤404,HSS向MME发送AuthenticationInformationAnswer消息,把鉴权向量携带给MME。
步骤405,MME从获取的鉴权向量中选择一组,向终端发送鉴权请求(AuthenticationRequest)。消息格式如下面的表1所示,鉴权请求(AUTHENTICATIONREQUEST)消息中的标识类型(Identitytype)表示为IMSI。
步骤406,终端收到鉴权请求后,判断标识类型(Identitytype)表示为IMSI,则从USIM卡中取出对应的K、OP、AMF、SQN等信息进行鉴权计算,成功后向MME回复鉴权响应消息(AuthenticationResponse)。鉴权响应(AUTHENTICATIONRESPONSE)消息中的标识类型(Identitytype)表示为IMSI。消息格式如下面的表2所示。
如果终端对网络鉴权失败,则向MME回复鉴权失败(AuthenticationFailure)消息。消息中携带标识类型(Identitytype)表示为IMSI,消息格式如下面的表3所示。MME收到后终止附着流程。
MME收到鉴权响应后,比较鉴权响应消息中的XRES参数和本地保存的XRES参数是否一致,一致则鉴权成功。不一致则MME向UE回复鉴权拒绝(AuthenticationReject)消息,附着流程终止。鉴权拒绝(AuthenticationReject)消息格式如下面的表4所示。
步骤407,鉴权成功后,MME利用HSS发送的鉴权向量中的密钥Kasme生成完整性保护密钥和加密密钥,并向UE发送安全模式命令(SecurityModeCommand)消息来发起安全控制过程。消息中携带标识类型(Identitytype)表示为IMSI,格式如下面的表5所示。安全模式命令(SecurityModeCommand)消息受到完整性保护,不加密。
步骤408,UE收到安全模式命令(SecurityModeCommand)消息后,校验完整性保护。校验成功则向MME发送安全模式完成(SecurityModeComplete)消息,消息中携带标识类型(Identitytype)表示为IMSI,格式如表6所示。基于IMSI的安全上下文建立。之后的NAS消息交互将受到安全保护。
MME收到安全模式拒绝消息后,判断标识类型为IMSI,可以删除基于IMSI的安全上下文,后续可继续发起409,4010,4011,4012,4013,4014,4015,4016步骤,用于建立基于IMEI的安全上下文。
步骤409,MME向UE发送认证请求(IdentityRequest)消息,索要IMEI。
步骤4010,UE将IMEI,通过认证响应(IdentityResponse)消息携带给MME。
步骤4011,MME从认证响应消息中获取到IMEI后,向EIR发送设备标识检查请求(MEIdentityCheckRequest)消息。消息中携带IMEI和拜访PLMN标识(Visited-PLMN-ID),消息格式见下面的表8。
步骤4012,在EIR中,保存有对应IMEI的K,OP,AMF等计算鉴权的信息,EIR用Visited-PLMN-ID对终端进行验证。如果验证通过,EIR将会使用收到的参数生成一组AV,它包括参数RAND(随机数)、AUTN(authenticationtoken,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME。EIR在移动设备标识检查应答(MEIdentityCheckAnswer)消息中携带AV给MME。移动设备标识检查应答(MEIdentityCheckAnswer)消息如表9所示。
如果验证失败,则在移动设备标识检查应答(MEIdentityCheckAnswer)消息中携带对应失败的原因值,附着流程终止。
步骤4013,MME保存对应的AV,并向UE发送鉴权请求(AuthenticationRequest)消息。在鉴权请求(AuthenticationRequest)消息中,携带NAS密钥组标识(NASkeysetidentifierASME),以及标识类型(Identitytype),对应的鉴权随机值参数(AuthenticationparameterRAND)、鉴权标识参数(AuthenticationparameterAUTN)。鉴权请求(AuthenticationRequest)消息格式如表1所示。
步骤4014,UE对鉴权请求(AuthenticationRequest)消息中的标识类型(Identitytype)进行判断,如果判断标识类型为IMEI,则从ME中获取对应的K,OP,AMF等计算鉴权的参数进行鉴权计算,计算成功,则UE向MME返回鉴权响应(AuthenticationResponse)消息。携带RES参数。并在标识类型(Identitytype)表示为IMEI。鉴权响应(AuthenticationResponse)消息格式如表2所示。
计算失败,则向MME返回对应的鉴权失败(AuthenticationFailure)消息。消息中携带标识类型(Identitytpe)为IMEI。消息格式如表3所示。MME向UE返回附着拒绝(AttachReject)消息。附着流程终止。
MME收到标识类型(Identitytype)表示为IMEI的鉴权响应(AuthenticationResponse)消息。通过比对鉴权响应(AuthenticationResponse)消息中的RES与从EIR获取的鉴权向量中的XRES进行比对,一致则鉴权成功。
不一致则鉴权失败,并向UE返回鉴权拒绝(AuthenticationReject)消息,标识类型(Identitytype)表示为IMEI。消息格式如表4所示。MME终止附着流程。UE收到鉴权拒绝消息后,判断标识类型(Identitytype)为IMEI,对终端设备(ME)做相应的处理。
步骤4015,MME使用EIR传递的鉴权向量中的Kasme,计算完整性保护密钥和加密密钥,向UE发送安全模式命令(SecurityModeCommand)消息。消息中携带标识类型(Identitytype)表示为IMEI。消息格式如表5所示。
步骤4016,UE收到安全模式命令(SecurityModeCommand)消息后,判断标识类型(Identitytype)表示为IMEI。则利用ME中的鉴权参数进行计算,并对安全模式命令(SecurityModeCommand)消息进行完整性检查,如果失败,则返回安全模式拒绝(SecurityModeReject)消息;基于IMEI的安全过程建立失败,后续继续使用步骤407、408中建立的基于IMSI的安全上下文对NAS消息进行保护。
步骤4017,如果UE在附着请求消息中置位ESM信息传输标记,则MME发起和UE的会话信息请求过程(ESMInformationRequestProcedure),UE在基于IMEI的安全过程建立后将对应的APN或者PCO发送给MME。
步骤4018,如果是初次附着,MME将向HSS发送位置更新(UpdateLocationRequest)消息。
步骤4019,HSS向MME回复位置更新应答(UpdateLocationAnswer)消息,若HSS拒绝,则MME也将拒绝本次附着请求。
步骤4020,MME选择一个SGW,并将创建会话请求(CreateSessionRequest)消息(携带有IMSI、MME上下文ID、RAT类型、默认承载QoS、PDN地址分配以及AMBR等参数)发送给该SGW。
步骤4021,SGW在其EPC承载列表中创建一个入口,并向PGW转发创建会话请求(CreateSessionRequest)消息。本步骤后,SGW将缓存从PGW所接收到的下行分组数据,直到收到步骤1028以后的消息。
步骤4022,若网络中使用了PCRF,则PGW将会与PCRF进行交互以获取PCC规则。若建立默认EPS承载,则将在PGW中预定义PCC规则。
步骤4023,PGW向SGW返回一个创建会话响应(CreateSessionResponse)消息,该消息包含用户面PGW地址和TEID、控制面PGWTEID,PDN类型、PDN地址、协议配置选项、计费ID、APN限制、原因值以及APN-AMBR等参数。
步骤4024,SGW向MME返回一个创建会话响应(CreateSessionResponse)消息,消息包含PDN类型、PDN地址、用户面SGW地址与TEID、控制面SGWTEID、EPS承载标识符、PGW地址等。
步骤4025,MME向UE发送一条附着接受(AttachAccept)消息。如果MME分配了一个新的GUTI,则GUTI参数也将包含在该消息中。该附着接受(AttachAccept)消息将被包含在一条初始上下文请求(InitialContextSetupRequest)消息中携带给ENB,这条初始上下文请求(InitialContextSetupRequest)消息也包括UE的安全上下文、切换限制列表、承载QoS参数以及AMBR相关的PDN地址信息,以及需要建立承载的QoS信息。
步骤4026,eNB向UE发送RRC连接重配置消息,并且将附着接受(AttachAccept)消息(S-TMSI、PDN地址、TA列表及PDN地址信息)发送给UE。
步骤4027,UE向eNB发送RRC连接重配置完成消息。
步骤4028,eNB向MME发送初始上下文响应(InitialContextSetupResponse)消息,该消息包含eNB的TEID和eNB在S1-U接口的下行传输地址。
步骤4029,UE向eNB发送直传消息,该消息包含附着完成(AttachComplete)消息。
步骤4030,eNB转发附着完成(AttachComplete)消息至MME。该消息包含在控制面消息“初始上下文设置完成”之中,同时控制面消息也包含了eNB的TEID以及eNB地址。在附着接受消息以及UE已经得到一个PDN地址信息以后,UE就可以发送上行数据包给eNB了,随后eNB通过隧道地址隧道方式将数据包发送给SGW和PGW。
步骤4031,MME向SGW发送一条承载更新请求(ModifyBearerRequest)消息。
步骤4032,如果MME发送给SGW的承载更新请求(ModifyBearerRequest)消息中携带切换指示(HandoverIndication),则SGW需要想PGW发送承载更新消息。否则,直接向MME回复。
步骤4033,PGW向SGW回复承载更新响应(ModifyBearerResponse)消息。
步骤4034,SGW向MME返回一条承载更新响应(ModifyBearerResponse)消息,此时,SGW可以发送缓存的下行分组数据。
步骤4035,MME可能向HSS发送一条包含APN与PGW标识的通知请求(NotifyRequest)消息用于用户的移动性管理。
步骤4036,HSS存储APN及PGW标识对,并发送一条通知响应(NotifyResponse)消息至MME,完成整个附着过程。
由此可见,参见图6,本发明实施例提供的一种实现移动设备ME附着的方法,在移动性管理实体MME向ME发送认证请求IdentityRequest消息之前,该方法包括:
S101、MME接收来自ME的附着请求消息,其中包括ME的IMSI;
S102、MME利用从HSS获取的一组鉴权向量,向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
S103、当ME对自身标识验证成功时,MME接收ME返回的鉴权响应AuthenticationResponse消息,从中获取XRES参数;
S104、MME比较所述XRES参数和本地保存的XRES是否一致,如果是,则确定对ME标识验证成功,向ME发起安全控制过程;否则,确定对ME标识验证失败,终止附着过程。
较佳地,MME向ME发起安全控制过程包括:
MME向ME发送安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMSI;
当ME对SecurityModeCommand消息进行的完整性检查成功时,MME接收ME返回的安全模式完成SecurityModeComplete消息,其中携带的标识类型表示为IMSI。
较佳地,该方法还包括:
当ME对SecurityModeCommand消息进行的完整性检查失败时,MME接收ME返回的安全模式拒绝SecurityModeReject消息,其中携带的标识类型表示为IMSI。
较佳地,该方法还包括:
当ME对自身标识验证失败时,MME接收ME回复的鉴权失败AuthenticationFailure消息,其中携带的标识类型Identitytype表示为IMSI,然后MME终止附着过程。
较佳地,在移动性管理实体MME接收到ME发送的认证响应IdentityResponse消息之后,该方法还包括:
MME向设备标识寄存器EIR发送移动设备标识检查请求MEIdentityCheckRequest,其中携带所述IMEI和拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authenticationvectors;
MME接收EIR回复的移动设备标识检查应答MEIdentityCheckAnswer,其中携带鉴权信息AuthenticationInfo信息,当EIR对ME验证通过时,该AuthenticationInfo信息中包含所述鉴权向量Authenticationvectors。
较佳地,MME获取Authenticationvectors后,该方法还包括:
MME向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype,用于指示ME的标识类型为IMSI或者IMEI;
当ME对自身标识验证成功时,MME接收ME返回的鉴权响应AuthenticationResponse消息,从中获取RES参数;
MME比较所述RES参数和所述Authenticationvectors中包含的XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败。
较佳地,当MME对ME标识验证失败时,MME向ME发送鉴权拒绝AuthenticationReject消息,其中的标识类型Identitytype表示为IMEI,并且MME终止附着过程。
较佳地,MME收到ME返回的鉴权响应AuthenticationResponse消息之后,该方法还包括:
MME向ME发送安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMEI;
当ME对SecurityModeCommand消息进行的完整性检查成功时,MME接收ME返回的安全模式完成SecurityModeComplete消息。
相应地,在终端侧,本发明实施例提供的一种移动设备ME附着方法,在ME接收到移动性管理实体MME发送的认证请求IdentityRequest消息之前,该方法包括:
ME向MME发送附着请求消息,其中包括ME的IMSI;
ME接收MME发送的鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
当ME对自身标识验证成功时,ME向MME返回鉴权响应AuthenticationResponse消息,其中携带XRES参数。
较佳地,该方法还包括:
ME接收MME发送的安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMSI;
当ME对SecurityModeCommand消息进行的完整性检查成功时,ME向MME返回安全模式完成SecurityModeComplete消息,其中携带的标识类型表示为IMSI。
较佳地,该方法还包括:
当ME对SecurityModeCommand消息进行的完整性检查失败时,ME向MME返回安全模式拒绝SecurityModeReject消息,其中携带的标识类型表示为IMSI。
较佳地,该方法还包括:
当ME对自身标识验证失败时,ME向MME回复鉴权失败AuthenticationFailure消息,其中携带的标识类型Identitytype表示为IMSI,然后MME终止附着过程。
较佳地,ME向MME返回认证响应IdentityResponse消息后,该方法还包括:
ME接收MME发送的鉴权请求AuthenticationRequest消息;
当ME对自身标识验证成功时,ME向MME返回鉴权响应AuthenticationResponse消息其中携带RES参数。
较佳地,该当MME对ME标识验证失败时,ME接收MME发送的鉴权拒绝AuthenticationReject消息,其中的标识类型Identitytype表示为IMEI。
较佳地,ME向MME返回鉴权响应AuthenticationResponse消息之后,该方法还包括:
ME向MME发送安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMEI;
当ME对SecurityModeCommand消息进行的完整性检查成功时,ME接收MME返回的安全模式完成SecurityModeComplete消息。
相应地,本发明提供的一种移动性管理实体MME装置,该装置包括:
附着请求消息接收单元,用于在移动性管理实体MME向ME发送认证请求IdentityRequest消息之前,接收来自ME的附着请求消息,其中包括ME的IMSI;
鉴权请求发送单元,用于利用从HSS获取的一组鉴权向量,向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
鉴权结果接收单元,用于当ME对自身标识验证成功时,接收ME返回的鉴权响应AuthenticationResponse消息,从中获取XRES参数;
比较单元,用于比较所述XRES参数和本地保存的XRES是否一致,如果是,则确定对ME标识验证成功,向ME发起安全控制过程;否则,确定对ME标识验证失败,终止附着过程。
较佳地,所述比较单元向ME发起安全控制过程具体包括:
向ME发送安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMSI;
当ME对SecurityModeCommand消息进行的完整性检查成功时,接收ME返回的安全模式完成SecurityModeComplete消息,其中携带的标识类型表示为IMSI。
较佳地,所述比较单元还用于:
当ME对SecurityModeCommand消息进行的完整性检查失败时,接收ME返回的安全模式拒绝SecurityModeReject消息,其中携带的标识类型表示为IMSI。
较佳地,所述鉴权结果接收单元还用于:
当ME对自身标识验证失败时,接收ME回复的鉴权失败AuthenticationFailure消息,其中携带的标识类型Identitytype表示为IMSI,然后终止附着过程。
较佳地,该装置还包括:
ME标识检查请求发送单元,用于在移动性管理实体MME接收到ME发送的认证响应IdentityResponse消息之后,向设备标识寄存器EIR发送移动设备标识检查请求MEIdentityCheckRequest,其中携带所述IMEI和拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authenticationvectors;
ME标识检查应答接收单元,用于接收EIR回复的移动设备标识检查应答MEIdentityCheckAnswer,其中携带鉴权信息AuthenticationInfo信息,当EIR对ME验证通过时,该AuthenticationInfo信息中包含所述鉴权向量Authenticationvectors。
较佳地,
所述鉴权请求发送单元,还用于在MME获取Authenticationvectors后,向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype,用于指示ME的标识类型为IMSI或者IMEI;
所述比较单元,还用于比较所述RES参数和所述Authenticationvectors中包含的XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败。
较佳地,所述比较单元还用于在收到ME返回的鉴权响应AuthenticationResponse消息之后,向ME发送安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMEI;当ME对SecurityModeCommand消息进行的完整性检查成功时,接收ME返回的安全模式完成SecurityModeComplete消息。
相应地,本发明提供的一种移动设备,该设备包括:
附着请求发送单元,用于在ME接收到移动性管理实体MME发送的认证请求IdentityRequest消息之前,向MME发送附着请求消息,其中包括ME的IMSI;
鉴权请求接收单元,用于接收MME发送的鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
鉴权响应发送单元,用于当对ME标识验证成功时,向MME返回鉴权响应AuthenticationResponse消息,其中携带XRES参数。
较佳地,该设备还包括:
安全模式命令接收单元,用于接收MME发送的安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMSI;
安全模式完成消息发送单元,用于当对SecurityModeCommand消息进行的完整性检查成功时,向MME返回安全模式完成SecurityModeComplete消息,其中携带的标识类型表示为IMSI。
较佳地,该装置还包括:
安全模式拒绝消息发送单元,用于当对SecurityModeCommand消息进行的完整性检查失败时,向MME返回安全模式拒绝SecurityModeReject消息,
其中携带的标识类型表示为IMSI。
较佳地,该装置还包括:
鉴权失败回复单元,用于当对ME标识验证失败时,向MME回复鉴权失败AuthenticationFailure消息,其中携带的标识类型Identitytype表示为IMSI,然后MME终止附着过程。
较佳地,所述鉴权请求接收单元,还用于在ME向MME返回认证响应IdentityResponse消息后,接收MME发送的鉴权请求AuthenticationRequest消息。
综上所述,本发明实施例,在移动性管理实体MME向ME发送认证请求IdentityRequest消息之前,MME接收来自ME的附着请求消息,其中包括ME的IMSI;MME利用从HSS获取的一组鉴权向量,向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;当ME对自身标识验证成功时,MME接收ME返回的鉴权响应AuthenticationResponse消息,从中获取XRES参数;MME比较所述XRES参数和本地保存的XRES是否一致,如果是,则确定对ME标识验证成功,向ME发起安全控制过程;否则,确定对ME标识验证失败,终止附着过程,从而提高了实现移动设备附着时的ME标识鉴权的准确性,从而提高网络通信的安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (27)
1.一种实现移动设备ME附着的方法,其特征在于,在移动性管理实体MME向ME发送认证请求IdentityRequest消息之前,该方法包括:
MME接收来自ME的附着请求消息,其中包括ME的国际移动用户识别码IMSI;
MME利用从归属用户服务器HSS获取的一组鉴权向量,向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
当ME利用自身保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息对自身标识验证成功时,MME接收ME返回的鉴权响应AuthenticationResponse消息,从中获取期望的响应值XRES参数;
MME比较所述XRES参数和本地保存的XRES是否一致,如果是,则确定对ME标识验证成功,向ME发起安全控制过程;否则,确定对ME标识验证失败,终止附着过程。
2.根据权利要求1所述的方法,其特征在于,MME向ME发起安全控制过程包括:
MME向ME发送安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMSI;
当ME对SecurityModeCommand消息进行的完整性检查成功时,MME接收ME返回的安全模式完成SecurityModeComplete消息,其中携带的标识类型表示为IMSI。
3.根据权利要求2所述的方法,其特征在于,该方法还包括:
当ME对SecurityModeCommand消息进行的完整性检查失败时,MME接收ME返回的安全模式拒绝SecurityModeReject消息,其中携带的标识类型表示为IMSI。
4.根据权利要求1所述的方法,其特征在于,该方法还包括:
当ME利用自身保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息对自身标识验证失败时,MME接收ME回复的鉴权失败AuthenticationFailure消息,其中携带的标识类型Identitytype表示为IMSI,然后MME终止附着过程。
5.根据权利要求1所述的方法,其特征在于,在移动性管理实体MME接收到ME发送的认证响应IdentityResponse消息之后,该方法还包括:
MME向设备标识寄存器EIR发送移动设备标识检查请求MEIdentityCheckRequest,其中携带国际移动设备标识IMEI和拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authenticationvectors;
MME接收EIR回复的移动设备标识检查应答MEIdentityCheckAnswer,其中携带鉴权信息AuthenticationInfo信息,当EIR对ME验证通过时,该AuthenticationInfo信息中包含所述鉴权向量Authenticationvectors。
6.根据权利要求5所述的方法,其特征在于,MME获取Authenticationvectors后,该方法还包括:
MME向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype,用于指示ME的标识类型为IMSI或者IMEI;
当ME对利用自身保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息自身标识验证成功时,MME接收ME返回的鉴权响应AuthenticationResponse消息,从中获取响应值RES参数;
MME比较所述RES参数和所述Authenticationvectors中包含的XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败。
7.根据权利要求6所述的方法,其特征在于,当MME对ME标识验证失败时,MME向ME发送鉴权拒绝AuthenticationReject消息,其中的标识类型Identitytype表示为IMEI,并且MME终止附着过程。
8.根据权利要求6所述的方法,其特征在于,MME收到ME返回的鉴权响应AuthenticationResponse消息之后,该方法还包括:
MME向ME发送安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMEI;
当ME对SecurityModeCommand消息进行的完整性检查成功时,MME接收ME返回的安全模式完成SecurityModeComplete消息。
9.一种移动设备ME附着方法,其特征在于,在ME接收到移动性管理实体MME发送的认证请求IdentityRequest消息之前,该方法包括:
ME向MME发送附着请求消息,其中包括ME的国际移动用户识别码IMSI;
ME接收MME发送的鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
当ME对利用自身保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息自身标识验证成功时,ME向MME返回鉴权响应AuthenticationResponse消息,其中携带期望的响应值XRES参数。
10.根据权利要求9所述的方法,其特征在于,该方法还包括:
ME接收MME发送的安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMSI;
当ME对SecurityModeCommand消息进行的完整性检查成功时,ME向MME返回安全模式完成SecurityModeComplete消息,其中携带的标识类型表示为IMSI。
11.根据权利要求10所述的方法,其特征在于,该方法还包括:
当ME对SecurityModeCommand消息进行的完整性检查失败时,ME向MME返回安全模式拒绝SecurityModeReject消息,其中携带的标识类型表示为IMSI。
12.根据权利要求9所述的方法,其特征在于,该方法还包括:
当ME利用自身保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息对自身标识验证失败时,ME向MME回复鉴权失败AuthenticationFailure消息,其中携带的标识类型Identitytype表示为IMSI,然后MME终止附着过程。
13.根据权利要求12所述的方法,其特征在于,ME向MME返回认证响应IdentityResponse消息后,该方法还包括:
ME接收MME发送的鉴权请求AuthenticationRequest消息;
当ME利用自身保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息对自身标识验证成功时,ME向MME返回鉴权响应AuthenticationResponse消息其中携带RES参数。
14.根据权利要求13所述的方法,其特征在于,该当MME对ME标识验证失败时,ME接收MME发送的鉴权拒绝AuthenticationReject消息,其中的标识类型Identitytype表示为国际移动设备标识IMEI。
15.根据权利要求13所述的方法,其特征在于,ME向MME返回鉴权响应AuthenticationResponse消息之后,该方法还包括:
ME向MME发送安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMEI;
当ME对SecurityModeCommand消息进行的完整性检查成功时,ME接收MME返回的安全模式完成SecurityModeComplete消息。
16.一种移动性管理实体MME装置,其特征在于,该装置包括:
附着请求消息接收单元,用于在移动性管理实体MME向ME发送认证请求IdentityRequest消息之前,接收来自ME的附着请求消息,其中包括ME的国际移动用户识别码IMSI;
鉴权请求发送单元,用于利用从归属用户服务器HSS获取的一组鉴权向量,向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
鉴权结果接收单元,用于当ME利用自身保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息对自身标识验证成功时,接收ME返回的鉴权响应AuthenticationResponse消息,从中获取期望的响应值XRES参数;
比较单元,用于比较所述XRES参数和本地保存的XRES是否一致,如果是,则确定对ME标识验证成功,向ME发起安全控制过程;否则,确定对ME标识验证失败,终止附着过程。
17.根据权利要求16所述的装置,其特征在于,所述比较单元向ME发起安全控制过程具体包括:
向ME发送安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMSI;
当ME对SecurityModeCommand消息进行的完整性检查成功时,接收ME返回的安全模式完成SecurityModeComplete消息,其中携带的标识类型表示为IMSI。
18.根据权利要求17所述的装置,其特征在于,所述比较单元还用于:
当ME对SecurityModeCommand消息进行的完整性检查失败时,接收ME返回的安全模式拒绝SecurityModeReject消息,其中携带的标识类型表示为IMSI。
19.根据权利要求16所述的装置,其特征在于,所述鉴权结果接收单元还用于:
当ME利用自身保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息对自身标识验证失败时,接收ME回复的鉴权失败AuthenticationFailure消息,其中携带的标识类型Identitytype表示为IMSI,然后终止附着过程。
20.根据权利要求16所述的装置,其特征在于,该装置还包括:
ME标识检查请求发送单元,用于在移动性管理实体MME接收到ME发送的认证响应IdentityResponse消息之后,向设备标识寄存器EIR发送移动设备标识检查请求MEIdentityCheckRequest,其中携带国际移动设备标识IMEI和拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authenticationvectors;
ME标识检查应答接收单元,用于接收EIR回复的移动设备标识检查应答MEIdentityCheckAnswer,其中携带鉴权信息AuthenticationInfo信息,当EIR对ME验证通过时,该AuthenticationInfo信息中包含所述鉴权向量Authenticationvectors。
21.根据权利要求20所述的装置,其特征在于,
所述鉴权请求发送单元,还用于在MME获取Authenticationvectors后,向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype,用于指示ME的标识类型为IMSI或者IMEI;
所述比较单元,还用于比较所述RES参数和所述Authenticationvectors中包含的XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败。
22.根据权利要求21所述的装置,其特征在于,所述比较单元还用于在收到ME返回的鉴权响应AuthenticationResponse消息之后,向ME发送安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMEI;当ME对SecurityModeCommand消息进行的完整性检查成功时,接收ME返回的安全模式完成SecurityModeComplete消息。
23.一种移动设备,其特征在于,该设备包括:
附着请求发送单元,用于在ME接收到移动性管理实体MME发送的认证请求IdentityRequest消息之前,向MME发送附着请求消息,其中包括ME的国际移动用户识别码IMSI;
鉴权请求接收单元,用于接收MME发送的鉴权请求AuthenticationRequest消息,其中携带标识类型Identitytype为IMSI;
鉴权响应发送单元,用于当利用该移动设备保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息对ME标识验证成功时,向MME返回鉴权响应AuthenticationResponse消息,其中携带期望的响应值XRES参数。
24.根据权利要求23所述的移动设备,其特征在于,该设备还包括:
安全模式命令接收单元,用于接收MME发送的安全模式命令SecurityModeCommand消息,其中携带的标识类型表示为IMSI;
安全模式完成消息发送单元,用于当对SecurityModeCommand消息进行的完整性检查成功时,向MME返回安全模式完成SecurityModeComplete消息,其中携带的标识类型表示为IMSI。
25.根据权利要求24所述的移动设备,其特征在于,该设备还包括:
安全模式拒绝消息发送单元,用于当对SecurityModeCommand消息进行的完整性检查失败时,向MME返回安全模式拒绝SecurityModeReject消息,其中携带的标识类型表示为IMSI。
26.根据权利要求23所述的移动设备,其特征在于,该设备还包括:
鉴权失败回复单元,用于当利用该移动设备保存的密钥K、运营商密钥OP、鉴权管理值AMF和序列数SQN信息对ME标识验证失败时,向MME回复鉴权失败AuthenticationFailure消息,其中携带的标识类型Identitytype表示为IMSI,然后MME终止附着过程。
27.根据权利要求26所述的移动设备,其特征在于,所述鉴权请求接收单元,还用于在ME向MME返回认证响应IdentityResponse消息后,接收MME发送的鉴权请求AuthenticationRequest消息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210385151.4A CN102905265B (zh) | 2012-10-11 | 2012-10-11 | 一种实现移动设备附着的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210385151.4A CN102905265B (zh) | 2012-10-11 | 2012-10-11 | 一种实现移动设备附着的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102905265A CN102905265A (zh) | 2013-01-30 |
CN102905265B true CN102905265B (zh) | 2016-02-10 |
Family
ID=47577258
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210385151.4A Active CN102905265B (zh) | 2012-10-11 | 2012-10-11 | 一种实现移动设备附着的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102905265B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2733828C1 (ru) * | 2017-04-11 | 2020-10-07 | Хуавей Текнолоджиз Ко., Лтд. | Способ, устройство и система для сетевой аутентификации |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016011588A1 (zh) * | 2014-07-21 | 2016-01-28 | 宇龙计算机通信科技(深圳)有限公司 | 移动管理实体、归属服务器、终端、身份认证系统和方法 |
US10237729B2 (en) * | 2015-03-05 | 2019-03-19 | Qualcomm Incorporated | Identity privacy in wireless networks |
CN106412948B (zh) * | 2015-07-31 | 2019-09-20 | 联芯科技有限公司 | 一种涉及nas信令消息的传输方法及其传输终端 |
JP2019009480A (ja) * | 2015-11-10 | 2019-01-17 | シャープ株式会社 | 端末装置、c−sgnおよび通信制御方法 |
CN106911468B (zh) * | 2015-12-23 | 2019-09-13 | 大唐半导体设计有限公司 | 一种实现密钥协商的方法和装置 |
CN113271595B (zh) * | 2016-01-05 | 2022-03-08 | 华为技术有限公司 | 移动通信方法、装置及设备 |
WO2018000319A1 (zh) * | 2016-06-30 | 2018-01-04 | 华为技术有限公司 | 一种用户终端的附着方法及设备 |
CN106888092B (zh) * | 2016-09-12 | 2019-06-25 | 中国移动通信有限公司研究院 | 信息处理方法及装置 |
CN108112012A (zh) * | 2016-11-24 | 2018-06-01 | 中国移动通信有限公司研究院 | 一种群组终端的网络认证方法及装置 |
CN113141608A (zh) | 2017-03-31 | 2021-07-20 | 华为技术有限公司 | 一种通信方法及设备 |
CN108811019B (zh) * | 2017-05-03 | 2020-12-29 | 中国移动通信有限公司研究院 | 一种进行互操作的方法及互操作控制网元 |
CN108882364A (zh) * | 2017-05-08 | 2018-11-23 | 电信科学技术研究院 | 一种ue空闲态amf改变的处理方法及装置 |
CN109982319B (zh) * | 2017-12-27 | 2022-05-13 | 中移(杭州)信息技术有限公司 | 用户认证方法、装置、系统、节点、服务器及存储介质 |
CN108781363B (zh) * | 2018-06-14 | 2022-09-30 | 北京小米移动软件有限公司 | 信息传输方法、装置、系统及存储介质 |
CN110662213B (zh) * | 2018-06-29 | 2022-03-25 | 中兴通讯股份有限公司 | 移动性管理方法、融合amf、基站、新空口和存储介质 |
CN109104719B (zh) * | 2018-08-23 | 2021-10-29 | 南京佰联信息技术有限公司 | 获取移动设备标识信息的方法、装置和系统 |
CN113411803B (zh) * | 2020-10-16 | 2024-04-09 | 南京熊猫电子股份有限公司 | 一种切换终端的身份识别及鉴权方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101166296A (zh) * | 2006-10-17 | 2008-04-23 | 华为技术有限公司 | 一种重附着方法、系统及用户设备 |
CN101179561A (zh) * | 2006-11-06 | 2008-05-14 | 华为技术有限公司 | 用户设备附着网络的方法及其系统 |
CN101925175A (zh) * | 2008-03-18 | 2010-12-22 | 大唐移动通信设备有限公司 | 在附着过程中获取用户标识的方法及装置、及其用户设备 |
CN102395130A (zh) * | 2011-11-01 | 2012-03-28 | 重庆邮电大学 | 一种lte中鉴权的方法 |
CN102438330A (zh) * | 2011-12-06 | 2012-05-02 | 大唐移动通信设备有限公司 | 一种附着到e-tran的方法及移动性管理实体 |
CN102905266A (zh) * | 2012-10-11 | 2013-01-30 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
CN102917332A (zh) * | 2012-10-11 | 2013-02-06 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
-
2012
- 2012-10-11 CN CN201210385151.4A patent/CN102905265B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101166296A (zh) * | 2006-10-17 | 2008-04-23 | 华为技术有限公司 | 一种重附着方法、系统及用户设备 |
CN101179561A (zh) * | 2006-11-06 | 2008-05-14 | 华为技术有限公司 | 用户设备附着网络的方法及其系统 |
CN101925175A (zh) * | 2008-03-18 | 2010-12-22 | 大唐移动通信设备有限公司 | 在附着过程中获取用户标识的方法及装置、及其用户设备 |
CN102395130A (zh) * | 2011-11-01 | 2012-03-28 | 重庆邮电大学 | 一种lte中鉴权的方法 |
CN102438330A (zh) * | 2011-12-06 | 2012-05-02 | 大唐移动通信设备有限公司 | 一种附着到e-tran的方法及移动性管理实体 |
CN102905266A (zh) * | 2012-10-11 | 2013-01-30 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
CN102917332A (zh) * | 2012-10-11 | 2013-02-06 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2733828C1 (ru) * | 2017-04-11 | 2020-10-07 | Хуавей Текнолоджиз Ко., Лтд. | Способ, устройство и система для сетевой аутентификации |
Also Published As
Publication number | Publication date |
---|---|
CN102905265A (zh) | 2013-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102905265B (zh) | 一种实现移动设备附着的方法及装置 | |
CN102905266B (zh) | 一种实现移动设备附着的方法及装置 | |
CN102917332B (zh) | 一种实现移动设备附着的方法及装置 | |
US11025597B2 (en) | Security implementation method, device, and system | |
KR101961301B1 (ko) | 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 | |
US10911948B2 (en) | Method and system for performing network access authentication based on non-3GPP network, and related device | |
EP2790454B1 (en) | Method for attaching e-utran and mobility management entity | |
KR101167781B1 (ko) | 콘텍스트 전달을 인증하는 시스템 및 방법 | |
US8145195B2 (en) | Mobility related control signalling authentication in mobile communications system | |
US10320754B2 (en) | Data transmission method and apparatus | |
KR101737425B1 (ko) | 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템 | |
EP3735012B1 (en) | Method and system for providing security from a radio access network | |
CN102917354B (zh) | 一种接入方法、系统及移动智能接入点 | |
US11627458B2 (en) | Key derivation algorithm negotiation method and apparatus | |
CN103096311B (zh) | 家庭基站安全接入的方法及系统 | |
US20150121490A1 (en) | Key derivation method and apparatus for local access under control of a cellular network | |
CN110583036B (zh) | 网络认证方法、网络设备及核心网设备 | |
CN105376737A (zh) | 机器到机器的蜂窝通信安全性 | |
KR20080086127A (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
CN103313239A (zh) | 一种用户设备接入融合核心网的方法及系统 | |
CN111226452B (zh) | 一种业务策略创建方法及装置 | |
US10492056B2 (en) | Enhanced mobile subscriber privacy in telecommunications networks | |
CN114642014B (zh) | 一种通信方法、装置及设备 | |
WO2023004683A1 (zh) | 一种通信方法、装置及设备 | |
CN108093473A (zh) | 一种注册方法及mme |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |