CN102917332B - 一种实现移动设备附着的方法及装置 - Google Patents
一种实现移动设备附着的方法及装置 Download PDFInfo
- Publication number
- CN102917332B CN102917332B CN201210385053.0A CN201210385053A CN102917332B CN 102917332 B CN102917332 B CN 102917332B CN 201210385053 A CN201210385053 A CN 201210385053A CN 102917332 B CN102917332 B CN 102917332B
- Authority
- CN
- China
- Prior art keywords
- authentication
- identity
- mme
- message
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种实现移动设备附着的方法及装置,用以提高实现移动设备附着时的ME标识鉴权的准确性,从而提高网络通信的安全性。所述方法包括:移动性管理实体MME在收到归属签约服务器HSS发送的鉴权信息应答消息后,向ME发送鉴权请求消息,其中携带标识类型,用于指示ME的标识类型为IMSI或者IMEI;当ME对自身标识验证成功时,MME接收ME返回的鉴权响应消息,从中获取响应值RES参数;MME比较RES参数和期望的响应值XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败;当确定对ME标识验证成功时,MME向ME发送安全模式命令以发起安全控制过程。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种实现移动设备附着的方法及装置
背景技术
在原有附着过程中,核心网需要对移动设备(ME)进行检查。由移动性管理实体(Mobility Management Entity,MME)在附着过程中向移动设备(ME)索要全球移动设备标识(International Mobile Equipment Identity,IMEI)标识,ME向网络侧的MME上报IMEI,MME将IMEI发送给设备标识寄存器(Equipment Identity Register,EIR),由EIR对IMEI进行检查匹配,如果检查匹配成功,则允许用户附着。
该原有附着过程中对于用户移动设备(ME)的检查方法过于简单,对不法移动终端的检查仅用于对移动设备的标识(IMEI)的检查上。用户可以轻易地使用不法的移动终端(ME)附着到网络并使用网络提供的服务。
在3GPP TS 23.401V10.5.0的第5.3.2章节,对附着流程有详细描述,参见图1,具体包括:
步骤1,移动设备(ME)向演进型基站(eNB)发起附着请求消息(其中包括TMSI、ME能力以及PDN地址等参数)及网络选择指示。
步骤2,eNB根据系统架构演进的临时移动签约用户标识(SAE-TemporaryMobile Subscriber Identity,S-TMSI)和网络选择指示推导确定移动管理实体(Mobile Management Entity,MME)。若eNB无法推导确定MME,将通过“MME选择功能”选择MME,并将附着消息前转至MME。
步骤3,如果是无效全球唯一临时标识(Globally UniqME TemporaryIdentity,GUTI)附着,同时在MME中没有存储ME上下文信息。MME将向ME发送一个认证请求消息(Identity Request)以请求国际移动用户识别码(International Mobile Subscriber Identity,IMSI)信息。
步骤4,ME将向MME发送一个认证请求响应(Identity Response)消息,携带IMSI信息。
步骤5,MME向归属用户服务器(Home Subscriber Server,HSS)发送鉴权信息请求(Authentication Information Request)消息,索要鉴权向量。
步骤6,HSS向MME发送鉴权信息应答(Authentication InformationAnswer)消息,把鉴权向量携带给MME。
步骤7,MME从获取的鉴权向量中选择一组,向终端发送鉴权请求(Authentication Request)。
步骤8,终端收到鉴权请求后,在终端侧先进行鉴权,成功后向MME回复鉴权响应(Authentication Response)消息。
步骤9,MME收到鉴权响应后,比较鉴权响应消息中的期望的用户响应值(Expected user Response,XRES)参数和本地保存的XRES参数是否一致,一致则鉴权成功。鉴权成功后,MME利用密钥Kasme生成完整性保护密钥和加密密钥,并向ME发送安全模式命令(Security Mode Command)消息来发起安全控制过程。
步骤10,ME收到安全模式控制命令后,校验完整性保护。校验成功则向MME发送安全模式完成(Security Mode Complete)消息,安全过程建立。
步骤11,MME可以通过认证请求(Identity Request)向ME索要国际移动设备标识(International Mobile Equipment Identity,IMEI)信息。本步骤可选。
步骤12,如果终端收到认证请求(Identity Request)消息,根据MME索要的标识类型,通过认证响应(Identity Response)消息向MME回复IMEI等消息。本步骤可选。
步骤13,MME和设备标识寄存器(Equipment Identity Register,EIR)之间通过移动设备标识核实(ME Identity Check)过程判断是否允许终端接入。
步骤14,如果ME在附着请求消息中置位演进分组系统会话管理(EPSsession management,ESM)信息传输标记,则MME发起和ME的会话信息请求过程(ESM Information Request Procedure),ME在步骤9和10的安全过程完成后将对应的接入点名(Access Point Name,APN)或者协议配置选项(Protocol Configuration Options,PCO)发送给MME。
步骤15,由于是初次附着,MME将向HSS发送位置更新消息。
步骤16,HSS向MME回复位置更新确认(ACK)消息,若HSS拒绝,则MME也将拒绝本次附着请求。
步骤17,MME选择一个服务网关(Serving Gate-Way,SGW),并将创建默认承载请求消息(携带有IMSI、MME上下文ID、RAT类型、默认承载QoS、PDN地址分配以及AMBR等参数)发送给该SGW。
步骤18,SGW在其演进的分组核心网(Evolved Packet Core,EPC)承载列表中创建一个入口,并向PGW转发创建会话请求消息。本步骤后,SGW将缓存从分组数据网网关(Packet Data Network-GateWay,PGW)所接收到的下行分组数据,直到收到步骤25以后的消息。
步骤19,若网络中使用了策略和计费规则功能(PCRF),则PGW将会与PCRF进行交互以获取策略和计费控制(PCC)规则。若建立默认EPS承载,则将在PGW中预定义PCC规则。
步骤20,PGW向SGW返回一个创建会话响应消息,该消息包含用户面PGW地址和隧道终点标识(Tunnel Endpoint Identifier,TEID)、控制面PGWTEID,分组数据网(PDN)类型、PDN地址、协议配置选项、计费ID、APN限制、原因值以及APN聚合的最大比特速率(APN-AMBR)等参数。
步骤21,SGW向MME返回一个创建会话响应消息,消息包含PDN类型、PDN地址、用户面SGW地址与TEID、控制面SGW TEID、EPS承载标识符、PGW地址等。
步骤22,MME向eNB发送一条附着接受消息。如果MME分配了一个新的全球唯一临时标识(Globally UniqME Temporary Identity,GUTI),则GUTI参数也将包含在该消息中,该消息包含在一条S1AP(S1接口应用协议)消息里,这条S1AP消息也包括UE的安全上下文、切换限制列表、承载服务质量(QoS)参数以及AMBR相关的PDN地址信息,以及需要建立承载的QoS信息。
步骤23,eNB向ME发送无线资源控制(Radio Resource Control,RRC)连接重配置消息,并且将附着接受消息(S-TMSI、PDN地址、TA列表及PDN地址信息)发送给ME。
步骤24,ME向eNB发送RRC连接重配置完成消息。
步骤25,eNB向MME发送初始上下文消息,该消息包含eNB的TEID和eNB在ENB和SGW之间的用户面接口(S1-U接口)的下行传输地址。
步骤26,ME向eNB发送直传消息,该消息包含附着完成消息。
步骤27,eNB转发附着完成消息至MME。在S1-MME参考点上,该消息包含在控制面消息“初始上下文设置完成”之中,同时控制面消息也包含了eNB的TEID以及eNB地址。在附着接受消息以及ME已经得到一个PDN地址信息以后,ME就可以发送上行数据包给eNB了,随后eNB通过隧道地址隧道方式将数据包发送给SGW和PGW。
步骤28,MME向SGW发送一条承载更新请求消息。
步骤29,如果MME发送给SGW的承载更新请求消息(Modify BearerRequest)中携带切换指示(Handover Indication),则SGW需要想PGW发送承载更新消息。否则,直接向MME回复。
步骤30,PGW向SGW回复响应消息(Modify Bearer Response)。
步骤31,SGW向MME返回一条承载更新响应确认消息,此时,SGW可以发送缓存的下行分组数据。
步骤32,在步骤30中MME接收承载更新响应消息后,如果建立了一个EPS承载,MME将向HSS发送一条包含APN与PGW标识的通知请求消息用于用户的移动性管理。
步骤33,HSS存储APN及PGW标识对,并发送一条通知响应消息至MME,完成整个附着过程。
综上所述,现有技术的附着过程中,MME和EIR之间通过ME IdentityCheck过程判断是否允许终端接入,该判断方法比较简单而且很容易被攻破。一些手机可以通过复制IMEI的方法,使得多部手机同时拥有一个IMEI号码,而网络侧在原有检查方法中只检查IMEI,并不能真正对合法的ME和不合法的ME进行辨别和限制。
发明内容
本发明实施例提供了一种实现移动设备附着的方法及装置,用以提高实现移动设备附着时的ME标识鉴权的准确性,从而提高网络通信的安全性。
本发明实施例提供的一种实现移动设备附着的方法包括:
移动性管理实体MME在收到归属签约服务器HSS发送的鉴权信息应答消息后,向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为国际移动用户识别码IMSI或者全球移动设备标识IMEI;
当ME对自身标识验证成功时,MME接收ME返回的鉴权响应Authentication Response消息,从中获取响应值RES参数;
MME比较RES参数和期望的响应值XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败;
当确定对ME标识验证成功时,MME向ME发送安全模式命令以发起安全控制过程。
本发明实施例提供的一种移动设备ME附着方法,在ME向网络侧发起附着请求消息之后,该方法还包括:
ME接收移动性管理实体MME发送的鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为国际移动用户识别码IMSI或者全球移动设备标识IMEI;
当ME对自身标识验证成功时,ME向MME返回鉴权响应AuthenticationResponse消息,其中携带响应值RES参数,用以MME比较RES参数和期望的响应值XRES是否一致,如果是,则MME确定对ME标识验证成功,否则,MME确定对ME标识验证失败;
当MME确定对ME标识验证成功时,ME接收MME发送的安全模式命令。
本发明实施例提供的一种实现移动设备附着的装置包括:
鉴权请求发送单元,用于在收到归属签约服务器HSS发送的鉴权信息应答消息后,向移动设备ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为国际移动用户识别码IMSI或者全球移动设备标识IMEI;
鉴权响应接收单元,用以当ME对自身标识验证成功时,接收ME返回的鉴权响应Authentication Response消息,从中获取响应值RES参数;
比较单元,用以比较RES参数和期望的响应值XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败;
安全模式命令发送单元,用以当确定对ME标识验证成功时,向ME发送安全模式命令以发起安全控制过程。
本发明实施例提供的一种移动设备,包括:
鉴权请求接收单元,用于接收移动性管理实体MME发送的鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为国际移动用户识别码IMSI或者全球移动设备标识IMEI;
鉴权响应单元,用于当对ME标识验证成功时,向MME返回鉴权响应Authentication Response消息,其中携带响应值RES参数,用以MME比较RES参数和期望的响应值XRES是否一致,如果是,则MME确定对ME标识验证成功,否则,MME确定对ME标识验证失败;
安全模式命令接收单元,用于当MME确定对ME标识验证成功时,接收MME发送的安全模式命令
本发明实施例,通过移动性管理实体MME在收到归属签约服务器HSS发送的鉴权信息应答消息后,向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为国际移动用户识别码IMSI或者全球移动设备标识IMEI;当ME对自身标识验证成功时,MME接收ME返回的鉴权响应Authentication Response消息,从中获取响应值RES参数;MME比较RES参数和期望的响应值XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败;当确定对ME标识验证成功时,MME向ME发送安全模式命令以发起安全控制过程,从而提高了实现移动设备附着时的ME标识鉴权的准确性,从而提高网络通信的安全性。
附图说明
图1为现有技术中的附着流程(Attach procedure)示意图;
图2为本发明实施例提供的优化后的附着流程(Attach procedure)示意图;
图3为本发明实施例提供的ME对网络鉴权失败的异常处理流程示意图;
图4为本发明实施例提供的网络对ME鉴权失败的异常处理流程示意图;
图5为本发明实施例提供的MME侧的一种实现移动设备ME附着的方法流程示意图;
图6为本发明实施例提供的UE侧的一种移动设备ME附着方法流程示意图;
图7为本发明实施例提供的一种移动性管理实体MME装置的结构示意图;
图8为本发明实施例提供的一种移动设备的结构示意图。
具体实施方式
本发明实施例提供的一种实现移动设备附着的方法及装置,用以提高实现移动设备附着时的ME标识鉴权的准确性,从而提高网络通信的安全性。
与图1所示的现有附着流程相比,本发明实施例提供的附着流程,参见图2,包括:
步骤101,ME向eNB发起附着请求消息(包括TMSI、ME能力以及PDN地址等参数)及网络选择指示。
步骤102,eNB根据S-TMSI和网络选择指示推导得到MME。若eNB无法推导MME,将通过“MME选择功能”选择MME,并将附着消息前转至MME。
步骤103,如果是无效GUTI附着,同时在MME中没有存储ME上下文信息。MME将向ME发送一个认证请求消息(Identity Request)消息以请求IMSI信息。
步骤104,ME将向MME发送一个认证请求响应(Identity Response)消息,携带IMSI信息。
步骤105,MME向HSS发送Authentication Information Request消息,索要鉴权向量。
步骤106,HSS向MME发送Authentication Information Answer消息,把鉴权向量携带给MME。
步骤107,MME从获取的鉴权向量中选择一组,向终端发送鉴权请求(Authentication Request),其消息格式如下面的表1所示,鉴权请求(AUTHENTICATION REQUEST)消息中的标识类型(Identity type)表示为IMSI。
表1:鉴权请求消息内容(AUTHENTICATION REQUEST message content)
步骤108,终端收到鉴权请求后,判断标识类型(Identity type)表示为IMSI,则从USIM卡中取出对应的K、OP、AMF、SQN等信息进行鉴权计算,成功后向MME回复鉴权响应消息(Authentication Response),其消息结构如下面的表2所示。鉴权响应(AUTHENTICATION RESPONSE)消息中的标识类型(Identity type)表示为IMSI。
表2:鉴权响应消息内容(AUTHENTICATION RESPONSE messagecontent)
在ME中,要求保存有对应的K、OP、AMF、SQN等计算鉴权的参数。
MME从EIR接收到鉴权向量AV后,MME存储AV,并通过鉴权请求(authentication request)消息将参数AUTN、RAND和KSIASME传给终端。KSIASME是用来标识KASMEKASME,目的是为了终端能获得和网络端一样的KASME。
步骤109,MME收到鉴权响应后,比较鉴权响应消息中的RES参数和本地保存的XRES参数是否一致,一致则鉴权成功。鉴权成功后,MME利用密钥Kasme生成完整性保护密钥和加密密钥,并向ME发送消息Security ModeCommand来发起安全控制过程。
步骤1010,ME收到安全模式控制命令后,校验完整性保护。校验成功则向MME发送安全模式完成消息(Security Mode Complete),安全过程建立。
步骤1011,MME可以通过认证请求(Identity Request)向ME索要IMEI信息。本步骤可选。
步骤1012,如果终端收到认证请求消息(Identity Request),根据MME索要的标识类型,通过消息(Identity Response)向MME回复IMEI等消息。
步骤1013,MME在获得IMEI后,向EIR发送移动设备标识检查请求(MEIdentity Check Request)消息,其消息格式见下面的表3,消息中携带IMEI和拜访PLMN标识(Visited-PLMN-ID)。
表3:改进后的移动设备标识检查请求(ME Identity Check Request)消息
步骤1014,在EIR中,保存有对应IMEI的K、OP、AMF等计算鉴权的信息,EIR用Visited-PLMN-ID对终端进行验证。如果验证通过,EIR将会使用收到的参数生成一组AV,它包括参数RAND(随机数)、AUTN(authenticationtoken,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME。EIR在移动设备标识检查应答(ME Identity Check Answer)消息中携带AV给MME。
如果验证失败,则在移动设备标识检查应答(ME Identity Check Answer)消息中携带对应失败的原因值。
步骤1015,MME保存对应的AV,并向ME发送鉴权请求(AuthenticationRequest)消息。在鉴权请求(Authentication Request)消息中,携带NAS密钥组标识(NAS key set identifier ASME),以及标识类型(Identity type),标识类型标识为IMEI。以及对应的鉴权随机值参数(Authentication parameter RAND)、鉴权标识参数(Authentication parameter AUTN)。
步骤1016,ME对鉴权请求(Authentication Request)消息中的标识类型(Identity type)进行判断,如果判断类型为IMEI,则从ME中获取对应的K,OP,AMF等计算鉴权的参数进行鉴权计算,计算成功,则ME向MME返回鉴权响应(Authentication Response)消息。携带RES参数。并在标识类型(Identitytype)表示为IMEI。
计算失败,则向MME返回对应的鉴权失败(Authentication Failure)消息,其具体流程如图3所示。
MME收到标识类型(Identity type)表示为IMEI的鉴权响应(AuthenticationResponse)消息。将鉴权响应(Authentication Response)消息中的RES与从EIR获取的鉴权向量中的XRES进行比对,一致则鉴权成功。不一致则鉴权失败,并向ME返回鉴权拒绝(Authentication Reject)消息,其具体流程如图4所示。
步骤1017,如果ME在附着请求消息中置位ESM信息传输标记,则MME发起和ME的会话信息请求过程(ESM Information Request Procedure),ME在安全过程建立后将对应的APN或者PCO发送给MME。
步骤1018,由于是初次附着,MME将向HSS发送位置更新消息。
步骤1019,HSS向MME回复位置更新应答消息,若HSS拒绝,则MME也将拒绝本次附着请求。
步骤1020,MME选择一个SGW,并将创建默认承载请求消息(携带有IMSI、MME上下文ID、RAT类型、默认承载QoS、PDN地址分配以及AMBR等参数)发送给该SGW。
步骤1021,SGW在其EPC承载列表中创建一个入口,并向PGW转发创建会话请求消息。本步骤后,SGW将缓存从PGW所接收到的下行分组数据,直到收到步骤1025以后的消息。
步骤1022,若网络中使用了PCRF,则PGW将会与PCRF进行交互以获取PCC规则。若建立默认EPS承载,则将在PGW中预定义PCC规则。
步骤1023,PGW向SGW返回一个创建会话响应消息,该消息包含用户面PGW地址和TEID、控制面PGW TEID,PDN类型、PDN地址、协议配置选项、计费ID、APN限制、原因值以及APN-AMBR等参数。
步骤1024,SGW向MME返回一个创建会话响应消息,消息包含PDN类型、PDN地址、用户面SGW地址与TEID、控制面SGW TEID、EPS承载标识符、PGW地址等。
步骤1025,MME向ENB发送一条附着接受消息。如果MME分配了一个新的GUTI,则GUTI参数也将包含在该消息中,该消息包含在一条S1-MME消息里,这条S1控制消息也包括ME的安全上下文、切换限制列表、承载QoS参数以及AMBR相关的PDN地址信息,以及需要建立承载的QoS信息。
步骤1026,eNB向ME发送RRC连接重配置消息,并且将附着接受消息(S-TMSI、PDN地址、TA列表及PDN地址信息)发送给ME。
步骤1027,ME向eNB发送RRC连接重配置完成消息。
步骤1028,eNB向MME发送初始上下文消息,该消息包含eNB的TEID和eNB在S1-U接口的下行传输地址。
步骤1029,ME向eNB发送直传消息,该消息包含附着完成消息。
步骤1030,eNB转发附着完成消息至MME。在S1-MME参考点上,该消息包含在控制面消息“初始上下文设置完成”之中,同时控制面消息也包含了eNB的TEID以及eNB地址。在附着接受消息以及ME已经得到一个PDN地址信息以后,ME就可以发送上行数据包给eNB了,随后eNB通过隧道地址隧道方式将数据包发送给SGW和PGW。
步骤1031,MME向SGW发送一条承载更新请求消息。
步骤1032,如果MME发送给SGW的承载更新请求消息(Modify BearerRequest)中携带切换指示(Handover Indication),则SGW需要想PGW发送承载更新消息。否则,直接向MME回复。
步骤1033,PGW向SGW回复响应消息(Modify Bearer Response)。
步骤1034,SGW向MME返回一条承载更新响应确认消息,此时,SGW可以发送缓存的下行分组数据。
步骤1035,在步骤30中MME接收承载更新响应消息后,如果建立了一个EPS承载,MME将向HSS发送一条包含APN与PGW标识的通知请求消息用于用户的移动性管理。
步骤1036,HSS存储APN及PGW标识对,并发送一条通知响应消息至MME,完成整个附着过程。
其中,图3所示流程包括的具体步骤如下:
步骤201,ME向eNB发起附着请求消息(包括TMSI、ME能力以及PDN地址等参数)及网络选择指示。
步骤202,eNB根据S-TMSI和网络选择指示推导得到MME。若eNB无法推导MME,将通过“MME选择功能”选择MME,并将附着消息前转至MME。
步骤203,如果是无效GUTI附着,同时在MME中没有存储ME上下文信息。MME将向ME发送一个认证请求消息(Identity Request)消息以请求IMSI信息。
步骤204,ME将向MME发送一个认证请求响应(Identity Response)消息,携带IMSI信息。
步骤205,MME向HSS发送Authentication Information Request消息,索要鉴权向量。
步骤206,HSS向MME发送Authentication Information Answer消息,把鉴权向量携带给MME。
步骤207,MME从获取的鉴权向量中选择一组,向终端发送鉴权请求(Authentication Request),其消息格式如表1所示,鉴权请求(AUTHENTICATION REQUEST)消息中的标识类型(Identity type)表示为IMSI。
步骤208,终端收到鉴权请求后,判断标识类型(Identity type)表示为IMSI,则从USIM卡中取出对应的K、OP、AMF、SQN等信息进行鉴权计算,成功后向MME回复鉴权响应消息(Authentication Response),其消息结构如表2所示。鉴权响应(AUTHENTICATION RESPONSE)消息中的标识类型(Identitytype)表示为IMSI。
在ME中,要求保存有对应的K、OP、AMF、SQN等计算鉴权的参数。
MME从EIR接收到鉴权向量AV后,MME存储AV,并通过鉴权请求(authentication request)消息将参数AUTN、RAND和KSIASME传给终端。KSIASME是用来标识KASMEKASME,目的是为了终端能获得和网络端一样的KASME。
步骤209,MME收到鉴权响应后,比较鉴权响应消息中的RES参数和本地保存的XRES参数是否一致,一致则鉴权成功。鉴权成功后,MME利用密钥Kasme生成完整性保护密钥和加密密钥,并向ME发送消息Security ModeCommand来发起安全控制过程。
步骤2010,ME收到安全模式控制命令后,校验完整性保护。校验成功则向MME发送安全模式完成消息(Security Mode Complete),安全过程建立。
步骤2011,MME可以通过认证请求(Identity Request)向ME索要IMEI信息。本步骤可选。
步骤2012,如果终端收到认证请求消息(Identity Request),根据MME索要的标识类型,通过消息(Identity Response)向MME回复IMEI等消息。
步骤2013,MME在获得IMEI后,向EIR发送移动设备标识检查请求(MEIdentity Check Request)消息,其消息格式见表3,消息中携带IMEI和拜访PLMN标识(Visited-PLMN-ID)。
步骤2014,在EIR中,保存有对应IMEI的K、OP、AMF等计算鉴权的信息,EIR用Visited-PLMN-ID对终端进行验证。如果验证通过,EIR将会使用收到的参数生成一组AV,它包括参数RAND(随机数)、AUTN(authenticationtoken,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME。EIR在移动设备标识检查应答(ME Identity Check Answer)消息中携带AV给MME。
如果验证失败,则在移动设备标识检查应答(ME Identity Check Answer)消息中携带对应失败的原因值。
步骤2015,MME保存对应的AV,并向ME发送鉴权请求(AuthenticationRequest)消息。在鉴权请求(Authentication Request)消息中,携带NAS密钥组标识(NAS key set identifier ASME),以及标识类型(Identity type),标识类型标识为IMEI。以及对应的鉴权随机值参数(Authentication parameter RAND)、鉴权标识参数(Authentication parameter AUTN)。
步骤2016,ME对鉴权请求(Authentication Request)消息中的标识类型(Identity type)进行判断,如果判断类型为IMEI,则从ME中获取对应的K,OP,AMF等计算鉴权的参数进行鉴权计算,计算成功,则ME向MME返回鉴权响应(Authentication Response)消息。携带RES参数。并在标识类型(Identitytype)表示为IMEI。
计算失败,则向MME返回对应的鉴权失败(Authentication Failure)消息。
步骤2017,MME收到鉴权失败(Authentication Failure)消息后。由MME向UE返回附着拒绝(Attach Reject)消息。流程结束。
图4所示流程的具体步骤如下:
步骤301,ME向eNB发起附着请求消息(包括TMSI、ME能力以及PDN地址等参数)及网络选择指示。
步骤302,eNB根据S-TMSI和网络选择指示推导得到MME。若eNB无法推导MME,将通过“MME选择功能”选择MME,并将附着消息前转至MME。
步骤303,如果是无效GUTI附着,同时在MME中没有存储ME上下文信息。MME将向ME发送一个认证请求消息(Identity Request)消息以请求IMSI信息。
步骤304,ME将向MME发送一个认证请求响应(Identity Response)消息,携带IMSI信息。
步骤305,MME向HSS发送Authentication Information Request消息,索要鉴权向量。
步骤306,HSS向MME发送Authentication Information Answer消息,把鉴权向量携带给MME。
步骤307,MME从获取的鉴权向量中选择一组,向终端发送鉴权请求(Authentication Request),其消息格式如表1所示,鉴权请求(AUTHENTICATION REQUEST)消息中的标识类型(Identity type)表示为IMSI。
步骤308,终端收到鉴权请求后,判断标识类型(Identity type)表示为IMSI,则从USIM卡中取出对应的K、OP、AMF、SQN等信息进行鉴权计算,成功后向MME回复鉴权响应消息(Authentication Response),其消息结构如表2所示。鉴权响应(AUTHENTICATION RESPONSE)消息中的标识类型(Identitytype)表示为IMSI。
在ME中,要求保存有对应的K、OP、AMF、SQN等计算鉴权的参数。
MME从EIR接收到鉴权向量AV后,MME存储AV,并通过鉴权请求(authentication request)消息将参数AUTN、RAND和KSIASME传给终端。KSIASME是用来标识KASMEKASME,目的是为了终端能获得和网络端一样的KASME。
步骤309,MME收到鉴权响应后,比较鉴权响应消息中的RES参数和本地保存的XRES参数是否一致,一致则鉴权成功。鉴权成功后,MME利用密钥Kasme生成完整性保护密钥和加密密钥,并向ME发送消息Security ModeCommand来发起安全控制过程。
步骤3010,ME收到安全模式控制命令后,校验完整性保护。校验成功则向MME发送安全模式完成消息(Security Mode Complete),安全过程建立。
步骤3011,MME可以通过认证请求(Identity Request)向ME索要IMEI信息。本步骤可选。
步骤3012,如果终端收到认证请求消息(Identity Request),根据MME索要的标识类型,通过消息(Identity Response)向MME回复IMEI等消息。
步骤3013,MME在获得IMEI后,向EIR发送移动设备标识检查请求(MEIdentity Check Request)消息,其消息格式见表3,消息中携带IMEI和拜访PLMN标识(Visited-PLMN-ID)。
步骤3014,在EIR中,保存有对应IMEI的K、OP、AMF等计算鉴权的信息,EIR用Visited-PLMN-ID对终端进行验证。如果验证通过,EIR将会使用收到的参数生成一组AV,它包括参数RAND(随机数)、AUTN(authenticationtoken,鉴证令牌)、XRES(通过和用户返回的RES比较来达成密钥协商的目的)和密钥KASME。EIR在移动设备标识检查应答(ME Identity Check Answer)消息中携带AV给MME。
如果验证失败,则在移动设备标识检查应答(ME Identity Check Answer)消息中携带对应失败的原因值。
步骤3015,MME保存对应的AV,并向ME发送鉴权请求(AuthenticationRequest)消息。在鉴权请求(Authentication Request)消息中,携带NAS密钥组标识(NAS key set identifier ASME),以及标识类型(Identity type),标识类型标识为IMEI。以及对应的鉴权随机值参数(Authentication parameter RAND)、鉴权标识参数(Authentication parameter AUTN)。
步骤3016,ME对鉴权请求(Authentication Request)消息中的标识类型(Identity type)进行判断,如果判断类型为IMEI,则从ME中获取对应的K,OP,AMF等计算鉴权的参数进行鉴权计算,计算成功,则ME向MME返回鉴权响应(Authentication Response)消息。携带RES参数。并在标识类型(Identitytype)表示为IMEI。
步骤3017,MME收到标识类型(Identity type)表示为IMEI的鉴权响应(Authentication Response)消息。通过比对鉴权响应(Authentication Response)消息中的RES与从EIR获取的鉴权向量中的XRES进行比对,一致则鉴权成功。
如果不一致,MME并向UE返回鉴权拒绝(Authentication Reject)消息。流程结束。
由此可见,在MME侧,参见图5,本发明实施例提供的一种实现移动设备ME附着的方法,包括步骤:
S401、移动性管理实体MME在收到归属签约服务器HSS发送的鉴权信息应答消息后,向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为国际移动用户识别码IMSI或者全球移动设备标识IMEI;
S402、当ME对自身标识验证成功时,MME接收ME返回的鉴权响应Authentication Response消息,从中获取响应值RES参数;
S403、MME比较RES参数和期望的响应值XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败;
S404、当确定对ME标识验证成功时,MME向ME发送安全模式命令以发起安全控制过程。
较佳地,MME向ME发送安全模式命令之后,该方法还包括:
MME向设备标识寄存器EIR发送移动设备标识检查请求ME IdentityCheck Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;
MME接收EIR回复的移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。
较佳地,MME获取Authentication vectors后,该方法还包括:
MME向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为IMSI或者IMEI;
当ME对自身标识验证成功时,MME接收ME返回的鉴权响应Authentication Response消息,从中获取RES参数;
MME比较RES参数和XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败。
较佳地,当MME对ME标识验证失败时,MME向ME发送鉴权拒绝Authentication Reject消息。
相应地,在终端侧,参见图6,本发明实施例提供的一种移动设备ME附着方法,在ME向网络侧发起附着请求消息之后,该方法还包括:
S501、ME接收移动性管理实体MME发送的鉴权请求AuthenticationRequest消息,其中携带标识类型Identity type,用于指示ME的标识类型为国际移动用户识别码IMSI或者全球移动设备标识IMEI;
S502、当ME对自身标识验证成功时,ME向MME返回鉴权响应Authentication Response消息,其中携带响应值RES参数,用以MME比较RES参数和期望的响应值XRES是否一致,如果是,则MME确定对ME标识验证成功,否则,MME确定对ME标识验证失败;
S503、当MME确定对ME标识验证成功时,ME接收MME发送的安全模式命令。
参见图7,本发明实施例提供的一种移动性管理实体MME装置,包括:
鉴权请求发送单元61,用于在收到归属签约服务器HSS发送的鉴权信息应答消息后,向移动设备ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为国际移动用户识别码IMSI或者全球移动设备标识IMEI;
鉴权响应接收单元62,用以当ME对自身标识验证成功时,接收ME返回的鉴权响应Authentication Response消息,从中获取响应值RES参数;
比较单元63,用以比较RES参数和期望的响应值XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败;
安全模式命令发送单元64,用以当确定对ME标识验证成功时,向ME发送安全模式命令以发起安全控制过程。
较佳地,该装置还包括:
ME标识检查请求发送单元65,用于向设备标识寄存器EIR发送移动设备标识检查请求ME Identity Check Request,其中携带拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;
ME标识检查应答接收单元66,用于接收EIR回复的移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors。
较佳地,该装置还包括:
鉴权请求发送单元67,用于向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为IMSI或者IMEI;
鉴权响应接收单元68,用于当ME对自身标识验证成功时,接收ME返回的鉴权响应Authentication Response消息,从中获取RES参数;
验证单元69,用于比较RES参数和XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败。
较佳地,所述验证单元69还用于:
当对ME标识验证失败时,向ME发送鉴权拒绝Authentication Reject消息。
参见图8,本发明实施例提供的一种移动设备,包括:
鉴权请求接收单元71,用于接收移动性管理实体MME发送的鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为国际移动用户识别码IMSI或者全球移动设备标识IMEI;
鉴权响应单元72,用于当对ME标识验证成功时,向MME返回鉴权响应Authentication Response消息,其中携带响应值RES参数,用以MME比较RES参数和期望的响应值XRES是否一致,如果是,则MME确定对ME标识验证成功,否则,MME确定对ME标识验证失败;
安全模式命令接收单元73,用于当MME确定对ME标识验证成功时,接收MME发送的安全模式命令。
综上所述,本发明实施例,通过移动性管理实体MME在收到归属签约服务器HSS发送的鉴权信息应答消息后,向ME发送鉴权请求AuthenticationRequest消息,其中携带标识类型Identity type,用于指示ME的标识类型为国际移动用户识别码IMSI或者全球移动设备标识IMEI;当ME对自身标识验证成功时,MME接收ME返回的鉴权响应Authentication Response消息,从中获取响应值RES参数;MME比较RES参数和期望的响应值XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败;当确定对ME标识验证成功时,MME向ME发送安全模式命令以发起安全控制过程,从而提高了实现移动设备附着时的ME标识鉴权的准确性,从而提高网络通信的安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (4)
1.一种实现移动设备ME附着的方法,其特征在于,该方法包括:
移动性管理实体MME在收到归属签约服务器HSS发送的鉴权信息应答消息后,向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type表示为国际移动用户识别码IMSI;
当ME对自身标识验证成功时,MME接收ME返回的鉴权响应Authentication Response消息,从中获取响应值RES参数,其中,鉴权响应消息中携带标识类型Identity type表示为IMSI;
MME比较RES参数和期望的响应值XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败;
当确定对ME标识验证成功时,MME向ME发送安全模式命令以发起安全控制过程;
其中,MME向ME发送安全模式命令之后,该方法还包括:
MME向设备标识寄存器EIR发送移动设备标识检查请求ME IdentityCheck Request,其中携带标识类型Identity type为全球移动设备标识IMEI和拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;
MME接收EIR回复的移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors;
其中,MME获取Authentication vectors后,该方法还包括:
MME向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为IMSI或者IMEI;
当ME对自身标识验证成功时,MME接收ME返回的鉴权响应Authentication Response消息,从中获取RES参数;
MME比较RES参数和XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败;
当确定对ME标识验证成功时,MME向ME发送安全模式命令以发起安全控制过程。
2.根据权利要求1所述的方法,其特征在于,当MME对ME标识验证失败时,MME向ME发送鉴权拒绝Authentication Reject消息。
3.一种移动性管理实体MME装置,其特征在于,该装置包括:
第一鉴权请求发送单元,用于在收到归属签约服务器HSS发送的鉴权信息应答消息后,向移动设备ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type表示为国际移动用户识别码IMSI;
第一鉴权响应接收单元,用以当ME对自身标识验证成功时,接收ME返回的鉴权响应Authentication Response消息,从中获取响应值RES参数,其中,鉴权响应消息中携带标识类型Identity type表示为IMSI;
比较单元,用以比较RES参数和期望的响应值XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败;
第一安全模式命令发送单元,用以当确定对ME标识验证成功时,向ME发送安全模式命令以发起安全控制过程;
其中,该装置还包括:
ME标识检查请求发送单元,用于向设备标识寄存器EIR发送移动设备标识检查请求ME Identity Check Request,其中携带标识类型Identity type为全球移动设备标识IMEI和拜访公共陆上移动网络标识Visited-PLMN-ID信息,用于当EIR对ME验证通过时,EIR生成鉴权向量Authentication vectors;
ME标识检查应答接收单元,用于接收EIR回复的移动设备标识检查应答ME Identity Check Answer,其中携带鉴权信息Authentication Info信息,当EIR对ME验证通过时,该Authentication Info信息中包含所述鉴权向量Authentication vectors;
第二鉴权请求发送单元,用于向ME发送鉴权请求Authentication Request消息,其中携带标识类型Identity type,用于指示ME的标识类型为IMSI或者IMEI;
第二鉴权响应接收单元,用于当ME对自身标识验证成功时,接收ME返回的鉴权响应Authentication Response消息,从中获取RES参数;
验证单元,用于比较RES参数和XRES是否一致,如果是,则确定对ME标识验证成功,否则,确定对ME标识验证失败;
第二安全模式命令发送单元,用以当确定对ME标识验证成功时,向ME发送安全模式命令以发起安全控制过程。
4.根据权利要求3所述的装置,其特征在于,所述验证单元还用于:
当对ME标识验证失败时,向ME发送鉴权拒绝Authentication Reject消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210385053.0A CN102917332B (zh) | 2012-10-11 | 2012-10-11 | 一种实现移动设备附着的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210385053.0A CN102917332B (zh) | 2012-10-11 | 2012-10-11 | 一种实现移动设备附着的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102917332A CN102917332A (zh) | 2013-02-06 |
| CN102917332B true CN102917332B (zh) | 2015-06-03 |
Family
ID=47615529
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210385053.0A Active CN102917332B (zh) | 2012-10-11 | 2012-10-11 | 一种实现移动设备附着的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102917332B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102905265B (zh) * | 2012-10-11 | 2016-02-10 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
| TWI516151B (zh) * | 2013-04-26 | 2016-01-01 | 緯創資通股份有限公司 | 通訊方法與通訊系統 |
| RU2706173C1 (ru) | 2016-01-05 | 2019-11-14 | Хуавей Текнолоджиз Ко., Лтд. | Способ, аппаратура и устройство мобильной связи |
| CN107801162A (zh) * | 2016-09-06 | 2018-03-13 | 中兴通讯股份有限公司 | 集群用户上行链路抢占方法,终端、服务器及系统 |
| CN114143781B (zh) * | 2016-09-12 | 2024-09-10 | 中兴通讯股份有限公司 | 入网认证处理方法及装置 |
| CN107820244B (zh) | 2016-09-12 | 2021-10-26 | 中兴通讯股份有限公司 | 入网认证方法及装置 |
| CN108513289A (zh) * | 2017-02-27 | 2018-09-07 | 中兴通讯股份有限公司 | 一种终端标识的处理方法、装置及相关设备 |
| CN109982319B (zh) * | 2017-12-27 | 2022-05-13 | 中移(杭州)信息技术有限公司 | 用户认证方法、装置、系统、节点、服务器及存储介质 |
| CN109104719B (zh) * | 2018-08-23 | 2021-10-29 | 南京佰联信息技术有限公司 | 获取移动设备标识信息的方法、装置和系统 |
| CN112469043B (zh) * | 2019-09-09 | 2022-10-28 | 华为技术有限公司 | 一种鉴权的方法及装置 |
| CN116828460B (zh) * | 2023-06-29 | 2024-04-19 | 广州爱浦路网络技术有限公司 | 基于附着流程的信息交互系统、方法、装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1947435A (zh) * | 2004-02-27 | 2007-04-11 | 北方电讯网络有限公司 | 快速呼叫建立方法 |
| WO2011110101A1 (zh) * | 2010-03-11 | 2011-09-15 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| CN102395130A (zh) * | 2011-11-01 | 2012-03-28 | 重庆邮电大学 | 一种lte中鉴权的方法 |
| CN102438330A (zh) * | 2011-12-06 | 2012-05-02 | 大唐移动通信设备有限公司 | 一种附着到e-tran的方法及移动性管理实体 |
-
2012
- 2012-10-11 CN CN201210385053.0A patent/CN102917332B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1947435A (zh) * | 2004-02-27 | 2007-04-11 | 北方电讯网络有限公司 | 快速呼叫建立方法 |
| WO2011110101A1 (zh) * | 2010-03-11 | 2011-09-15 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| CN102395130A (zh) * | 2011-11-01 | 2012-03-28 | 重庆邮电大学 | 一种lte中鉴权的方法 |
| CN102438330A (zh) * | 2011-12-06 | 2012-05-02 | 大唐移动通信设备有限公司 | 一种附着到e-tran的方法及移动性管理实体 |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP.3GPP TS 23.401 V10.5.0.《3GPP TS 23.401 V10.5.0》.2011, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102917332A (zh) | 2013-02-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102917332B (zh) | 一种实现移动设备附着的方法及装置 | |
| US11979778B2 (en) | Release of a second session of a wireless device by an access and mobility management function | |
| CN102905265B (zh) | 一种实现移动设备附着的方法及装置 | |
| US11606727B2 (en) | Handover of a wireless device in a network | |
| CN102905266B (zh) | 一种实现移动设备附着的方法及装置 | |
| US12035303B2 (en) | Delaying sending of user plane connection activation for a downlink data packet | |
| US10841302B2 (en) | Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system | |
| EP2790454B1 (en) | Method for attaching e-utran and mobility management entity | |
| KR101167781B1 (ko) | 콘텍스트 전달을 인증하는 시스템 및 방법 | |
| JP2015503291A5 (zh) | ||
| CN102333386B (zh) | 终端附着方法和设备 | |
| EP3487215B1 (en) | Policy control method and network element | |
| CN102595373A (zh) | 一种对mtc终端进行移动性管理的方法和系统 | |
| KR20200111761A (ko) | 다중 액세스에 걸쳐 트래픽을 분할하기 위한 방법 및 컴퓨팅 디바이스 | |
| CN112911658B (zh) | 一种通信方法及装置 | |
| JP2018518113A (ja) | モバイル通信ネットワークのハンドオーバ機能を発見するための方法、モバイル通信ネットワークのハンドオーバ機能を発見するためのシステム、ユーザ装置、プログラム及びコンピュータプログラム製品 | |
| CN110890967B (zh) | 一种计费处理方法、网元及网络系统 | |
| CN108093473B (zh) | 一种注册方法及mme | |
| CN104796941A (zh) | 通过twan接入核心网时的拥塞控制方法及装置 | |
| CN108702619A (zh) | 获取、发送用户设备标识的方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |