CN103313239A - 一种用户设备接入融合核心网的方法及系统 - Google Patents
一种用户设备接入融合核心网的方法及系统 Download PDFInfo
- Publication number
- CN103313239A CN103313239A CN2012100571193A CN201210057119A CN103313239A CN 103313239 A CN103313239 A CN 103313239A CN 2012100571193 A CN2012100571193 A CN 2012100571193A CN 201210057119 A CN201210057119 A CN 201210057119A CN 103313239 A CN103313239 A CN 103313239A
- Authority
- CN
- China
- Prior art keywords
- iagw
- authentication
- message
- response
- core network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000004927 fusion Effects 0.000 claims description 30
- 239000000284 extract Substances 0.000 claims description 16
- 238000012795 verification Methods 0.000 claims description 12
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 4
- 238000004134 energy conservation Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 7
- 238000010295 mobile communication Methods 0.000 description 4
- 230000005641 tunneling Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种UE接入融合核心网的方法,在用户设备(UE)与融合核心网之间设置融合的接入网关(iAGW),UE连接到所述iAGW后,所述iAGW将iAGW和UE之间的鉴权消息,转换为iAGW和融合核心网之间的鉴权消息,所述融合核心网完成对UE的鉴权;本发明同时还公开了一种UE接入融合核心网的系统,通过本发明的方案,UE能够安全的接入融合核心网,充分利用网络资源,扩大网络处理容量,并能够保证用户对用户业务在服务质量(QoS)、移动性、安全和节能等方面的要求。
Description
技术领域
本发明涉及移动通信技术,尤其涉及一种用户设备(UE)接入融合核心网的方法及系统。
背景技术
为了保持第三代移动通信系统在通信领域的竞争力,为用户提供速率更快、时延更低、以及更加个性化的移动通信服务,同时,降低运营商的运营成本,第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)标准工作组正致力于演进分组系统(EPS,Evolved Packet System)的研究。图1示出了3GPP接入系统接入EPS的结构示意图,如图1所示,整个EPS系统分为无线接入网和核心网两部分。在核心网中,包含了归属用户服务器(HSS,Home SubscriberServer)、移动性管理实体(MME,Mobility Management Entity)、服务GPRS支持节点(SGSN,Serving GPRS Support Node)、策略计费规则功能(PCRF,Policy and Charging Rule Function)、服务网关(S-GW,Serving Gateway)、分组数据网关(P-GW,PDN Gateway)和OIS(Operator’s IP Services)。下面详细描述各部分功能:
HSS,是用户签约数据的永久存放地点,位于用户签约的归属网。
MME,是用户签约数据在当前网络的存放地点,负责UE到网络的非接入层信令管理、UE的安全验证功能、UE的移动性管理、用户空闲模式下的跟踪和寻呼管理功能和承载管理。
SGSN,是全球移动通讯系统(GSM,Global System for MobileCommunications)增强数据率GSM演进(EDGE,Enhanced Data Rate for GSMEvolution)无线接入网(GERAN,GSM EDGE Radio Access Network)和通用移动通信系统(UMTS,Universal Mobile Telecommunications System)陆地无线接入网(UTRAN,UMTS Terrestrial Radio Access Network)UE接入核心网络的业务支持点,功能上与MME类似,负责UE的位置更新、寻呼管理和承载管理等功能。
S-GW,是核心网到无线系统的网关,负责UE到核心网的用户面承载、UE空闲模式下的数据缓存、网络侧发起业务请求的功能、合法监听和分组数据路由和转发功能;S-GW负责统计UE使用无线网的情况,并产生UE使用无线网的话单,传送给PCRF。
P-GW,是演进系统和该系统外部分组数据网络的网关,P-GW连接到因特网和分组数据网络上,负责UE的互联网协议(IP,Internet Protocol)地址分配、计费功能、分组包过滤、以及策略控制等功能。
PCRF,是演进系统中负责提供计费控制、在线信用控制、门限控制、以及服务质量(QoS,Quality of Service)策略方面规则的服务器。
无线接入网,是由演进基站(eNodeB,Evolved NodeB,简称为)和3G无线网络控制器(RNC,Radio Network Controllor)组成,主要负责无线信号的收发,通过空中接口和UE联系,管理空中接口的无线资源、资源调度、以及接入控制。
上述SGSN是升级过的SGSN,能够支持与S-GW之间的S4接口,并与MME之间采用GPRS隧道协议版本2(GTPv2,GPRS Tunneling Protocol version2)进行互通。而对于支持3G核心网的SGSN来说,分组交换(PS,PacketSwitching)域网络架构与图1有所不同,SGSN与MME采用Gn接口相连,互通采用GPRS隧道协议版本1(GTPv1,GPRS Tunneling Protocol version 1)。SGSN不能与S-GW相连,通过Gn接口连接到网关GPRS支持节点(GGSN,Gateway GPRS Support Node),直接进行分组数据网络访问。
EPS除了支持上述3GPP网络接入外,还支持非3GPP网络接入,如图2所示,其中,与非3GPP网络的互通通过S2a/S2b接口实现,P-GW作为3GPP与非3GPP网络间的锚点。在EPS的系统架构图中,非3GPP网络被分为不可信任非3GPP接入网(U-TNAN,Un-Trusted Non-3GPP IP Access Network)和可信任非3GPP接入网(TNAN,Trusted Non-3GPP IP Access Network);其中,U-TNAN需经过演进的分组数据网关(ePDG,Evolved Packet Data Gateway)与P-GW相连,ePDG与P-GW间的接口为S2b;TNAN可直接通过S2a接口与P-GW连接,S2a接口采用PMIP协议进行信息交互。
无线局域网(WLAN)作为TNAN,用于分流数据流量,逐渐被很多运营商关注,其架构如图2所示,包括本地公用陆地移动网络(HPLMN,Home PublicLand Mobile Network)和非3GPP网络(Non-3GPP Networks),HPLMN包括HSS、PCRF、P-GW、S-GW、3GPP验证授权账户服务器(AAA Server,Authentication,Authorization and Account Server),非3GPP网络(Non-3GPPNetworks)分为TNAN和U-TNAN。
3GPP UE接入EPS系统采用图1所示的架构,非3GPP UE接入EPS系统采用图2所示的架构,这两种接入技术需要两种不同的接入网和核心网。
非3GPP UE接入EPS系统,图1中的长期演进(LTE,Long Term Evolution)网络资源、MME不能为非3GPP接入系统使用,如图2所示,还需要部署3GPPAAA Server,导致网络需要有额外的运营成本来操作和维护。
如何充分利用LTE网络资源,帮助EPS网络的运营商吸引更多的WLANUE接入LTE网络资源,成为必须要解决的问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种UE接入融合核心网的方法及系统,UE能够安全的接入融合核心网,充分利用网络资源,扩大网络处理容量。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供的一种UE接入融合核心网的方法,该方法包括:
在UE与融合核心网之间设置融合的接入网关(iAGW,integrated AccessGateway);
UE连接到所述iAGW后,所述iAGW将iAGW和UE之间的鉴权消息,转换为iAGW和融合核心网之间的鉴权消息,所述融合核心网完成对UE的鉴权。
上述方案中,所述iAGW将iAGW和UE之间的鉴权消息,转换为iAGW和融合核心网之间的鉴权消息,所述融合核心网完成对UE的鉴权,为:
所述iAGW通过接入实体向融合核心网提供所述UE的国际移动用户识别码(IMSI);
所述融合核心网根据所述IMSI获取鉴权向量,并通过接入实体向iAGW发送用户鉴权请求;
所述iAGW触发融合核心网完成对UE的鉴权。
上述方案中,所述iAGW通过接入实体向融合核心网提供所述UE的IMSI,为:
UE连接到iAGW,iAGW通过eNodeB向MME发送附着请求;MME向iAGW发送识别请求;iAGW通过可扩展认证协议(EAP)请求-识别消息,向所述UE请求用户的永久标识;所述UE通过EAP应答-识别消息向iAGW提供用户的永久标识;所述iAGW解析用户的永久标识,提取出IMSI,并通过eNodeB向MME提供IMSI。
上述方案中,所述iAGW触发融合核心网完成对UE的鉴权为:
iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;UE运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传送所述响应和消息认证码;iAGW判定计算出的消息认证码和收到的消息认证码一致时,通过eNodeB向MME回送用户鉴权响应,携带收到的UE的响应;MME判定iAGW发送的用户鉴权响应和HSS的预期响应一致时,确定用户鉴权成功。
上述方案中,该方法还包括:所述MME在确定用户鉴权成功后,向iAGW发送非接入层安全模式命令,所述非接入层安全模式命令包括演进的通用地面无线接入网的密钥集标识、UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码。
上述方案中,该方法还包括:所述iAGW根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥。
上述方案中,该方法还包括:所述iAGW根据生成的非接入层完整性保护密钥,对收到的非接入层安全模式命令消息进行完整性校验。
上述方案中,所述iAGW通过接入实体向融合核心网提供所述UE的IMSI,为:
UE连接到iAGW,iAGW通过UTRAN向SGSN发送附着请求;SGSN通过UTRAN向iAGW发送识别请求;所述iAGW通过EAP请求-识别消息,向UE请求用户的永久标识;所述UE通过EAP应答-识别消息,向iAGW提供用户的永久标识;所述iAGW解析用户的永久标识,提取出IMSI,并通过UTRAN向SGSN提供IMSI。
上述方案中,所述iAGW触发融合核心网完成对UE的鉴权为:
所述iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;UE运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传递所述响应和消息认证码;iAGW判定计算出的消息认证码和收到的消息认证码一致时,通过UTRAN向SGSN回送用户鉴权响应,携带收到的UE的响应;SGSN判定iAGW发送的用户鉴权响应和HSS/归属位置寄存器(HLR,Home Location Register)的预期响应一致时,向iAGW发送鉴权结果指示消息,携带成功指示;iAGW根据鉴权结果指示消息中携带的成功指示,确定安全认证通过,向UE发送EAP-成功消息。
本发明提供的一种UE接入融合核心网的系统,该系统包括:UE、iAGW、融合核心网;其中,
UE,用于连接到iAGW;
iAGW,设置于UE与融合核心网之间,用于将iAGW和UE之间的鉴权消息,转换为iAGW和融合核心网之间的鉴权消息;
融合核心网,用于完成对UE的鉴权。
上述方案中,该系统还包括:接入实体,用于传递iAGW与融合核心网之间的交互信息;
所述iAGW,具体用于通过接入实体向融合核心网提供所述UE的IMSI,并在收到用户鉴权请求后,触发融合核心网完成对UE的鉴权;
所述融合核心网,具体用于根据所述UE的IMSI获取鉴权向量,并通过接入实体向iAGW发送用户鉴权请求,根据iAGW的触发完成对UE的鉴权。
上述方案中,所述融合核心网为LTE接入的融合的EPC时,所述接入实体为eNodeB,该融合核心网包括HSS、MME;其中,
MME,用于通过eNodeB向iAGW发送识别请求,接收iAGW从永久标识中提取的IMSI;并使用获取到的IMSI,向HSS获取鉴权向量;保存HSS发送的鉴权向量,通过eNodeB向iAGW发送用户鉴权请求;接收iAGW发送的用户鉴权响应,判定iAGW发送的用户鉴权响应和HSS发送的预期响应一致时,确定用户鉴权成功;
HSS,用于向MME提供鉴权向量,所述鉴权向量包括随机数、鉴权令牌、预期响应以及接入安全管理实体密钥。
上述方案中,所述iAGW,具体用于通过eNodeB向MME发送附着请求;通过EAP请求-识别消息,向UE请求用户的永久标识;解析用户的永久标识,提取出IMSI,并向MME提供IMSI;从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;判定计算出的消息认证码和UE发送的消息认证码一致时,通过eNodeB向MME回送用户鉴权响应,携带收到的UE的响应;
所述UE,具体用于运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传递所述响应和消息认证码。
上述方案中,所述MME,还用于在确定用户鉴权成功后,通过eNodeB向iAGW发送非接入层安全模式命令,所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码;接收非接入层安全模式完成消息,保存其中的非接入层消息认证码;
所述iAGW,还用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥;根据生成的非接入层完整性保护密钥,对收到的非接入层安全模式命令消息进行完整性校验;判定完整性校验通过后,通过eNodeB向MME响应非接入层安全模式完成消息。
上述方案中,所述融合核心网为UTRAN接入的融合的EPC时,所述接入实体为UTRAN,该融合核心网包括HSS/HLR、SGSN;其中,
SGSN,用于通过UTRAN向iAGW发送识别请求,接收iAGW从永久标识中提取的IMSI;并使用获取到的IMSI,向HSS/HLR获取鉴权信息;保存HSS/HLR发送的鉴权信息响应,通过UTRAN向iAGW发送用户鉴权请求;并接收iAGW发送的用户鉴权响应,在判定iAGW发送的用户鉴权响应和HSS/HLR的预期响应一致时,通过UTRAN向iAGW发送鉴权结果指示消息;
HSS/HLR,用于向SGSN返回鉴权信息响应,所述鉴权信息响应中包括随机数、预期响应、鉴权令牌、加密密钥以及完整性保护密钥。
上述方案中,所述iAGW,具体用于通过UTRAN向SGSN发送附着请求;通过EAP请求-识别消息,向UE请求用户的永久标识;解析用户的永久标识,提取出IMSI,并通过UTRAN向SGSN提供IMSI;从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;判定计算出的消息认证码和UE发送的消息认证码一致时,通过UTRAN向SGSN回送用户鉴权响应;并根据SGSN发送的鉴权结果指示消息中携带的成功指示,确定安全认证通过,向UE发送EAP-成功消息;
所述UE,具体用于运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传递所述响应和消息认证码。
上述方案中,所述SGSN,还用于在发送所述鉴权结果指示消息后,通过UTRAN向iAGW发送非接入层安全模式命令,所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码;接收非接入层安全模式完成消息,保存其中的非接入层消息认证码;
所述iAGW,还用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥;根据生成的非接入层完整性保护密钥,对收到的非接入层安全模式命令消息进行完整性校验;判定完整性校验通过后,通过UTRAN向SGSN响应非接入层安全模式完成消息。
本发明提供了一种UE接入融合核心网的方法及系统,在UE与融合核心网之间设置iAGW,UE连接到所述iAGW后,所述iAGW将iAGW和UE之间的鉴权消息,转换为iAGW和融合核心网之间的鉴权消息,所述融合核心网完成对UE的鉴权;如此,UE能够安全的接入融合核心网,充分利用网络资源,扩大网络处理容量,并能够保证用户对用户业务在QoS、移动性、安全和节能等方面的要求。
附图说明
图1为现有技术中3GPP接入系统接入EPS的结构示意图;
图2为现有技术中非3GPP接入系统接入EPS的结构示意图;
图3为本发明实现UE接入融合核心网的方法的流程示意图;
图4为本发明实现UE通过LTE接入的融合的演进的分组核心网(EPC,Evolved Packet Core)的网络结构示意图;
图5为本发明实现UE通过UTRAN接入融合的EPC的网络结构示意图;
图6为本发明实现UE接入融合核心网的系统的结构示意图;
图7为本发明实施例一实现UE接入融合核心网的方法的流程示意图;
图8为本发明实施例二实现UE接入融合核心网的方法的流程示意图。
具体实施方式
本发明的基本思想是:在UE与融合核心网之间设置iAGW,UE连接到所述iAGW后,所述iAGW将iAGW和UE之间的鉴权消息,转换为iAGW和融合核心网之间的鉴权消息,所述融合核心网完成对UE的鉴权。
此外,虽然背景技术中仅仅提及支持WLAN终端接入,但是iAGW不局限于支持WLAN,如果iAGW能够支持UTRAN/GERAN的空口,或者其他非3GPP定义的空口,例如CDMA、WiMAX等等,则iAGW也可以支持这些接入类型的终端接入网络,并与融合核心网对其实现鉴权授权。这些终端如果支持EAP认证过程,那么与如下描述的WLAN的鉴权认证过程都是类似,这里以WLAN终端接入为例,不再针对不同无线接入技术类型(RAT,Radio AccessTechnology)一一描述。
下面通过附图及具体实施例对本发明做进一步的详细说明。
本发明实现一种UE接入融合核心网的方法,如图3所示,该方法包括以下几个步骤:
步骤101:在UE与融合核心网之间设置iAGW;
具体的,在所述融合核心网为通过LTE接入的EPC时,eNodeB作为接入实体,如图4所示,在UE与eNodeB之间设置iAGW,所述UE和iAGW之间的接口为WLAN无线接口,iAGW和eNodeB之间的接口为LTE-Uu接口,这样,UE就被模拟成一个3GPP UE接入到LTE和EPC;
此时,所述iAGW具备如下功能:
1)iAGW支持UE接入LTE和EPC网络;
2)iAGW实现UE的功能,即eNodeB将iAGW当作普通UE,iAGW按照普通UE的接入流程接入eNodeB,且始终保持开机附着状态。
在所述融合核心网为通过UTRAN接入的融合的EPC时,UTRAN作为接入实体,如图5所示,在UE和UTRAN之间设置iAGW,所述UE和iAGW之间的接口为WLAN无线接口,iAGW和UTRAN之间的接口为Uu接口,这样,UE就被模拟成一个3GPP UE接入到UTRAN和EPC;
此时,所述iAGW具备如下功能:
1)iAGW支持UE接入UTRAN和EPC网络;
2)iAGW实现UE的功能,即UTRAN将iAGW当作普通UE,iAGW按照普通UE的接入流程接入UTRAN,且始终保持开机附着状态。
步骤102:UE连接到所述iAGW后,所述iAGW将iAGW和UE之间的鉴权消息,转换为iAGW和融合核心网之间的鉴权消息,所述融合核心网完成对UE的鉴权;
具体的,UE连接到所述iAGW后,所述iAGW通过接入实体向融合核心网提供所述UE的国际移动用户识别码(IMSI);所述融合核心网根据所述IMSI获取鉴权向量,并通过接入实体向iAGW发送用户鉴权请求;所述iAGW触发融合核心网对UE的鉴权;
所述iAGW通过接入实体向融合核心网提供所述UE的IMSI,具体为:
在所述融合核心网为通过LTE接入的融合的EPC核心网时,所述接入实体为eNodeB,如图4所示,UE连接到iAGW,iAGW通过eNodeB向MME发送附着请求,携带所述WLAN接入的指示;MME根据所述WLAN接入的指示中没有用户的永久标识,向所述iAGW发送识别请求;所述iAGW通过EAP请求-识别消息,向所述UE请求用户的永久标识;所述UE通过EAP应答-识别消息,向iAGW提供用户的永久标识;所述iAGW解析用户的永久标识,提取出IMSI,并向MME提供IMSI。
在所述融合核心网为通过UTRAN接入的融合的EPC时,所述接入实体为UTRAN,如图5所示,UE连接到iAGW,iAGW通过UTRAN向SGSN发送附着请求,携带所述WLAN接入的指示;SGSN根据所述WLAN接入的指示中没有用户的永久标识,向iAGW发送识别请求;所述iAGW通过EAP请求-识别消息,向UE请求用户的永久标识;所述UE通过EAP应答-识别消息,向iAGW提供用户的永久标识;所述iAGW解析用户的永久标识,提取出IMSI,并向SGSN提供IMSI。
所述融合核心网根据所述IMSI获取鉴权向量,并通过接入实体向iAGW发送用户鉴权请求,具体为:
在所述融合核心网为通过LTE接入的融合的EPC时,所述接入实体为eNodeB,如图4所示,所述融合核心网中的MME使用获取到的IMSI,向HSS获取鉴权向量;所述HSS向MME提供鉴权向量,所述鉴权向量包括随机数、鉴权令牌、预期响应以及接入安全管理实体密钥;MME保存所述鉴权向量,通过eNodeB向iAGW发送用户鉴权请求,所述用户鉴权请求包括随机数、鉴权令牌以及接入安全管理实体密钥集标识;
在所述融合核心网为通过UTRAN接入的融合的EPC时,所述接入实体为UTRAN,如图5所示,所述融合核心网中的SGSN使用获取到的IMSI,向HSS/HLR获取鉴权信息;HSS/HLR向SGSN返回鉴权信息响应,所述鉴权信息响应中包括随机数、预期响应、鉴权令牌、加密密钥以及完整性保护密钥;SGSN保存所述鉴权信息响应,通过UTRAN向iAGW发送用户鉴权请求,所述用户鉴权请求包括随机数、鉴权令牌以及接入安全管理实体密钥集标识。
所述iAGW触发融合核心网完成对UE的鉴权,具体为:
在所述融合核心网为通过LTE接入的融合的EPC时,所述接入实体为eNodeB,如图4所示,iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;UE运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传送所述响应和消息认证码;iAGW判定计算出的消息认证码和收到的消息认证码一致时,通过eNodeB向MME回送用户鉴权响应,携带收到的UE的响应;MME判定iAGW发送的用户鉴权响应和HSS发送的预期响应一致时,确定用户鉴权成功;
进一步的,所述MME在确定用户鉴权成功后,通过eNodeB向iAGW发送非接入层安全模式命令,所述非接入层安全模式命令包括演进的通用地面无线接入网的密钥集标识、UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码;
进一步的,iAGW根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥;
具体的,iAGW根据所述非接入层安全模式命令判断UE安全能力和自身发送的UE安全能力是否一致,在一致时,表示UE安全能力未被更改和攻击,可以接受UE的非接入层消息,iAGW使用演进的通用地面无线接入网的密钥集标识和加密算法生成非接入层加密密钥,使用演进的通用地面无线接入网的密钥集标识和完整性保护算法生成非接入层完整性保护密钥;
进一步的,iAGW根据生成的非接入层完整性保护密钥,对收到的非接入层安全模式命令消息进行完整性校验;
进一步的,iAGW判定完整性校验通过后,表示该非接入层安全模式命令可接受,且此安全通道可用,通过eNodeB向MME响应非接入层安全模式完成消息,包含非接入层消息认证码;
进一步的,iAGW通过eNodeB向MME响应非接入层安全模式完成消息后,不向eNodeB发送初始上下文建立请求,向UE发送EAP-成功消息,UE鉴权成功。
在所述融合核心网为通过UTRAN接入的融合的EPC时,所述接入实体为UTRAN,如图5所示,iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;UE运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传递所述响应和消息认证码;iAGW判定计算出的消息认证码和收到的消息认证码一致时,通过UTRAN向SGSN回送用户鉴权响应,携带收到的UE的响应;SGSN判定iAGW发送的用户鉴权响应和HSS/HLR发送的预期响应一致时,表示鉴权成功,向iAGW发送鉴权结果指示消息,所述鉴权结果指示消息携带成功指示;iAGW根据鉴权结果指示消息中携带的成功指示,确定安全认证通过,向UE发送EAP-成功消息,UE鉴权成功;
进一步的,所述SGSN在发送所述鉴权结果指示消息后,通过UTRAN向iAGW发送非接入层安全模式命令,所述非接入层安全模式命令包括演进的通用地面无线接入网的密钥集标识、UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码;
进一步的,iAGW根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥;
具体的,iAGW根据所述非接入层安全模式命令判断UE安全能力和自身发送的UE安全能力是否一致,在一致时,表示UE安全能力未被更改和攻击,可以接受UE的非接入层消息,iAGW使用演进的通用地面无线接入网的密钥集标识和加密算法生成非接入层加密密钥,使用演进的通用地面无线接入网的密钥集标识和完整性保护算法生成非接入层完整性保护密钥;
进一步的,iAGW根据生成的非接入层完整性保护密钥,对收到的非接入层安全模式命令消息进行完整性校验;
进一步的,iAGW判定完整性校验通过后,表示该非接入层安全模式命令可接受,且此安全通道可用,通过UTRAN向SGSN响应非接入层安全模式完成消息,包含非接入层消息认证码;
进一步的,iAGW通过UTRAN向SGSN响应非接入层安全模式完成消息后,不向SGSN发送初始上下文建立请求,向UE发送EAP-成功消息,UE鉴权成功。
在上述过程中,由于融合核心网中的移动管理单元(包括MME/SGSN)还需要记录通过iAGW接入的终端与iAGW的上下文映射关系,能够区分通过基站接入的终端和通过iAGW接入的终端,进行区分处理。这是因为当终端通过iAGW接入网络进行鉴权认证时,移动管理单元不需要对iAGW与基站的空口重新建立安全连接,而是认为iAGW与基站直接的空口安全连接在iAGW接入网络的时候依然有效。
基于上述方法,本发明提供一种UE接入融合核心网的系统,如图6所示,该系统包括:UE、iAGW、融合核心网;其中,
UE,用于连接到iAGW;
iAGW,设置于UE与融合核心网之间,用于将iAGW和UE之间的鉴权消息,转换为iAGW和融合核心网之间的鉴权消息;
融合核心网,用于完成对UE的鉴权;
该系统还包括:接入实体,用于传递iAGW与融合核心网之间的交互信息;
所述iAGW,具体用于通过接入实体向融合核心网提供所述UE的IMSI,并在收到用户鉴权请求后,触发融合核心网对UE的鉴权;
所述融合核心网,具体用于根据所述UE的IMSI获取鉴权向量,并通过接入实体向iAGW发送用户鉴权请求,根据iAGW的触发完成对UE的鉴权;
所述融合核心网为通过LTE接入融合的EPC时,所述接入实体为eNodeB,如图4所示,该融合核心网包括HSS、MME、S-GW、P-GW、PCRF、OIS;其中,
MME,用于根据所述WLAN接入的指示中没有用户的永久标识,通过eNodeB向iAGW发送识别请求,接收iAGW从永久标识中提取的IMSI;并使用获取到的IMSI,向HSS获取鉴权向量;保存HSS发送的鉴权向量,通过eNodeB向iAGW发送用户鉴权请求,所述用户鉴权请求包括随机数、鉴权令牌以及接入安全管理实体密钥集标识;接收iAGW发送的用户鉴权响应,判定iAGW发送的用户鉴权响应和HSS发送的预期响应一致时,确定用户鉴权成功;
HSS,用于向MME提供鉴权向量,所述鉴权向量包括随机数、鉴权令牌、预期响应以及接入安全管理实体密钥;
S-GW、P-GW、PCRF、OIS的功能为现有技术,这里不再赘述;
所述iAGW,具体用于通过eNodeB向MME发送附着请求,携带WLAN接入的指示;通过EAP请求-识别消息,向UE请求用户的永久标识;解析用户的永久标识,提取出IMSI,并向MME提供IMSI;从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;判定计算出的消息认证码和UE发送的消息认证码一致时,向MME回送用户鉴权响应,携带收到的UE的响应;
所述UE,具体用于运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传递所述响应和消息认证码;
所述MME,还用于在确定用户鉴权成功后,通过eNodeB向iAGW发送非接入层安全模式命令,所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码;接收非接入层安全模式完成消息,保存其中的非接入层消息认证码;
所述iAGW,还用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥;根据生成的非接入层完整性保护密钥,对收到的非接入层安全模式命令消息进行完整性校验;判定完整性校验通过后,通过eNodeB向MME响应非接入层安全模式完成消息,包含非接入层消息认证码。
所述融合核心网为通过UTRAN接入融合的EPC时,所述接入实体为UTRAN,如图5所示,该融合核心网包括HSS/HLR、SGSN、S-GW、P-GW、PCRF、OIS;其中,
SGSN,用于根据所述WLAN接入的指示中没有用户的永久标识,向iAGW发送识别请求,接收iAGW从永久标识中提取的IMSI;并使用获取到的IMSI,向HSS/HLR获取鉴权信息;保存HSS/HLR发送的鉴权信息响应,向iAGW发送用户鉴权请求,所述用户鉴权请求包括随机数、鉴权令牌以及接入安全管理实体密钥集标识;并接收iAGW发送的用户鉴权响应,在判定iAGW发送的用户鉴权响应和HSS/HLR发送的预期响应一致时,表示鉴权成功,向iAGW发送鉴权结果指示消息,所述鉴权结果指示消息携带成功指示;
HSS/HLR,用于向SGSN返回鉴权信息响应,所述鉴权信息响应中包括随机数、预期响应、鉴权令牌、加密密钥以及完整性保护密钥;
S-GW、P-GW、PCRF、OIS的功能为现有技术,这里不再赘述;
所述iAGW,具体用于通过UTRAN向SGSN发送附着请求,携带WLAN接入的指示;通过EAP请求-识别消息,向UE请求用户的永久标识;解析用户的永久标识,提取出IMSI,并通过UTRAN向SGSN提供IMSI;从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;判定计算出的消息认证码和UE发送的消息认证码一致时,通过UTRAN向SGSN回送用户鉴权响应,携带收到的UE的响应;并根据SGSN发送的鉴权结果指示消息中携带的成功指示,确定安全认证通过,向UE发送EAP-成功消息;
所述UE,具体用于运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传递所述响应和消息认证码。
所述SGSN,还用于在发送所述鉴权结果指示消息后,通过UTRAN向iAGW发送非接入层安全模式命令,所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码;接收非接入层安全模式完成消息,保存其中的非接入层消息认证码;
所述iAGW,还用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥;根据生成的非接入层完整性保护密钥,对收到的非接入层安全模式命令消息进行完整性校验;判定完整性校验通过后,通过UTRAN向SGSN响应非接入层安全模式完成消息,包含非接入层消息认证码。
下面结合具体实施例详细说明本发明的方法的实现过程和原理。
实施例一
本实施例以WLAN UE通过LTE接入融合的EPC为例,实现UE接入融合核心网的方法,如图7所示,该方法包括以下几个步骤:
步骤201,WLAN UE连接到iAGW,按照接入流程建立连接关系;
步骤202,iAGW向eNodeB发送附着请求,携带WLAN接入的指示;
步骤203,eNodeB向MME发送附着请求,携带WLAN接入的指示;
步骤204,MME向iAGW发送识别请求;
步骤205,iAGW通过EAP请求-识别消息,向WLAN UE请求用户的永久标识;
步骤206,WLAN UE通过EAP应答-识别消息,向iAGW提供用户的永久标识;
步骤207,iAGW解析用户的永久标识,提取出IMSI,并通过身份响应向MME提供IMSI;
步骤208,MME根据IMSI向HSS获取鉴权向量;
步骤209,HSS向MME提供鉴权向量,包含随机数、鉴权令牌、预期响应以及接入安全管理实体密钥;
步骤210,MME保存鉴权向量,向iAGW发起用户鉴权请求,包含随机数、鉴权令牌以及接入安全管理实体密钥集标识;
步骤211,iAGW从鉴权令牌中提取出消息认证码;
步骤212,iAGW通过EAP请求-挑战消息,向WLAN UE传递随机数、鉴权令牌以及消息认证码;
步骤213,WLAN UE运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,WLAN UE通过EAP应答-挑战消息,向iAGW传递响应和消息认证码;
步骤214,iAGW判断计算出的消息认证码和收到的消息认证码一致,向MME回送用户鉴权响应,携带收到的WLAN UE的响应;
步骤215,MME判断收到的响应和从HSS传递来的预期响应一致,表示用户鉴权成功,向iAGW发送非接入层安全模式命令,包含演进的通用地面无线接入网的密钥集标识、UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码;
步骤216,iAGW判断UE安全能力和自身曾发送给网络的UE安全能力是否一致,在一致时,iAGW使用演进的通用地面无线接入网的密钥集标识和加密算法生成非接入层加密密钥,iAGW使用演进的通用地面无线接入网的密钥集标识和完整性保护算法生成非接入层完整性保护密钥,iAGW根据新产生的非接入层完整性保护密钥和算法,对收到的非接入层安全模式命令消息进行完整性校验;
步骤217,iAGW判定完整性校验通过后,向MME响应非接入层安全模式完成消息,包含非接入层消息认证码。此后所有的非接入层信令消息都将被加密和完整性保护。
步骤218,iAGW判断非接入层安全认证通过,不向eNodeB发送初始上下文建立请求,向WLAN UE发送EAP-成功消息,WLAN UE鉴权成功。
实施例二
本实施例以WLAN UE接入UTRAN和EPC为例,实现UE接入融合核心网的方法,如图8所示,该方法包括以下几个步骤:
步骤301,WLAN UE连接到iAGW,按照接入流程建立连接关系。
步骤302,iAGW向UTRAN发送附着请求,携带WLAN接入的指示;
步骤303,UTRAN向SGSN发送附着请求,携带WLAN接入的指示;
步骤304,WLAN UE首次接入的连接信令,可能不提供用户的永久标识,SGSN向iAGW发起识别请求;
步骤305,iAGW通过EAP请求-识别消息,向WLAN UE请求用户的永久标识;
步骤306,WLAN UE通过EAP应答-识别消息,向iAGW提供用户的永久标识;
步骤307,iAGW解析用户的永久标识,提取出IMSI,并通过身份响应向SGSN提供IMSI;
步骤308,SGSN使用获取到的IMSI,向HSS/HLR获取鉴权信息;
步骤309,HSS/HLR向SGSN返回鉴权信息响应,消息中包含随机数、预期响应、鉴权令牌、加密密钥以及完整性保护密钥;
步骤310,SGSN保存鉴权向量,向iAGW发起鉴权和加密请求,包含随机数、鉴权令牌以及密钥集标识;
步骤311,iAGW从鉴权令牌中提取计算出消息认证码;
步骤312,iAGW通过EAP请求-挑战消息,向WLAN UE传递随机数、鉴权令牌以及消息认证码;
步骤313,WLAN UE运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥。WLAN UE通过EAP应答-挑战消息,向iAGW传递响应和消息认证码;
步骤314,iAGW判断计算出的消息认证码和收到的消息认证码一致,向SGSN回送鉴权和加密响应,携带收到的WLAN UE的响应;
步骤315,SGSN判断收到的响应和从HLR传递来的预期响应一致,表示用户鉴权成功,向iAGW发送鉴权结果指示消息;
步骤316,iAGW判断鉴权结果指示消息中携带成功指示,表示安全认证通过,向WLAN UE发送EAP-成功消息,WLAN UE鉴权成功。
此外,对于架构中,接入实体中的基站可以为普通基站或者也可以为家用基站,但是提供的功能都是类似的,因此上述描述都以基站为例。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (17)
1.一种用户设备(UE)接入融合核心网的方法,其特征在于,该方法包括:
在UE与融合核心网之间设置融合的接入网关(iAGW);
UE连接到所述iAGW后,所述iAGW将iAGW和UE之间的鉴权消息,转换为iAGW和融合核心网之间的鉴权消息,所述融合核心网完成对UE的鉴权。
2.根据权利要求1所述的方法,其特征在于,所述iAGW将iAGW和UE之间的鉴权消息,转换为iAGW和融合核心网之间的鉴权消息,所述融合核心网完成对UE的鉴权,为:
所述iAGW通过接入实体向融合核心网提供所述UE的国际移动用户识别码(IMSI);
所述融合核心网根据所述IMSI获取鉴权向量,并通过接入实体向iAGW发送用户鉴权请求;
所述iAGW触发融合核心网完成对UE的鉴权。
3.根据权利要求2所述的方法,其特征在于,所述iAGW通过接入实体向融合核心网提供所述UE的IMSI,为:
UE连接到iAGW,iAGW通过演进基站(eNodeB)向移动性管理实体(MME)发送附着请求;MME向iAGW发送识别请求;iAGW通过可扩展认证协议(EAP)请求-识别消息,向所述UE请求用户的永久标识;所述UE通过EAP应答-识别消息向iAGW提供用户的永久标识;所述iAGW解析用户的永久标识,提取出IMSI,并通过eNodeB向MME提供IMSI。
4.根据权利要求1所述的方法,其特征在于,所述iAGW触发融合核心网完成对UE的鉴权为:
iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;UE运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传送所述响应和消息认证码;iAGW判定计算出的消息认证码和收到的消息认证码一致时,通过eNodeB向MME回送用户鉴权响应,携带收到的UE的响应;MME判定iAGW发送的用户鉴权响应和归属用户服务器(HSS)的预期响应一致时,确定用户鉴权成功。
5.根据权利要求4所述的方法,其特征在于,该方法还包括:所述MME在确定用户鉴权成功后,向iAGW发送非接入层安全模式命令,所述非接入层安全模式命令包括演进的通用地面无线接入网的密钥集标识、UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码。
6.根据权利要求5所述的方法,其特征在于,该方法还包括:所述iAGW根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥。
7.根据权利要求6所述的方法,其特征在于,该方法还包括:所述iAGW根据生成的非接入层完整性保护密钥,对收到的非接入层安全模式命令消息进行完整性校验。
8.根据权利要求2所述的方法,其特征在于,所述iAGW通过接入实体向融合核心网提供所述UE的IMSI,为:
UE连接到iAGW,iAGW通过通用移动通信系统陆地无线接入网(UTRAN)向服务GPRS支持节点(SGSN)发送附着请求;SGSN通过UTRAN向iAGW发送识别请求;所述iAGW通过EAP请求-识别消息,向UE请求用户的永久标识;所述UE通过EAP应答-识别消息,向iAGW提供用户的永久标识;所述iAGW解析用户的永久标识,提取出IMSI,并通过UTRAN向SGSN提供IMSI。
9.根据权利要求8所述的方法,其特征在于,所述iAGW触发融合核心网完成对UE的鉴权为:
所述iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;UE运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传递所述响应和消息认证码;iAGW判定计算出的消息认证码和收到的消息认证码一致时,通过UTRAN向SGSN回送用户鉴权响应,携带收到的UE的响应;SGSN判定iAGW发送的用户鉴权响应和HSS/归属位置寄存器(HLR)的预期响应一致时,向iAGW发送鉴权结果指示消息,携带成功指示;iAGW根据鉴权结果指示消息中携带的成功指示,确定安全认证通过,向UE发送EAP-成功消息。
10.一种UE接入融合核心网的系统,其特征在于,该系统包括:UE、iAGW、融合核心网;其中,
UE,用于连接到iAGW;
iAGW,设置于UE与融合核心网之间,用于将iAGW和UE之间的鉴权消息,转换为iAGW和融合核心网之间的鉴权消息;
融合核心网,用于完成对UE的鉴权。
11.根据权利要求10所述的系统,其特征在于,该系统还包括:接入实体,用于传递iAGW与融合核心网之间的交互信息;
所述iAGW,具体用于通过接入实体向融合核心网提供所述UE的IMSI,并在收到用户鉴权请求后,触发融合核心网完成对UE的鉴权;
所述融合核心网,具体用于根据所述UE的IMSI获取鉴权向量,并通过接入实体向iAGW发送用户鉴权请求,根据iAGW的触发完成对UE的鉴权。
12.根据权利要求11所述的系统,其特征在于,所述融合核心网为LTE接入的融合的EPC时,所述接入实体为eNodeB,该融合核心网包括HSS、MME;其中,
MME,用于通过eNodeB向iAGW发送识别请求,接收iAGW从永久标识中提取的IMSI;并使用获取到的IMSI,向HSS获取鉴权向量;保存HSS发送的鉴权向量,通过eNodeB向iAGW发送用户鉴权请求;接收iAGW发送的用户鉴权响应,判定iAGW发送的用户鉴权响应和HSS发送的预期响应一致时,确定用户鉴权成功;
HSS,用于向MME提供鉴权向量,所述鉴权向量包括随机数、鉴权令牌、预期响应以及接入安全管理实体密钥。
13.根据权利要求12所述的系统,其特征在于,所述iAGW,具体用于通过eNodeB向MME发送附着请求;通过EAP请求-识别消息,向UE请求用户的永久标识;解析用户的永久标识,提取出IMSI,并向MME提供IMSI;从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;判定计算出的消息认证码和UE发送的消息认证码一致时,通过eNodeB向MME回送用户鉴权响应,携带收到的UE的响应;
所述UE,具体用于运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传递所述响应和消息认证码。
14.根据权利要求13所述的系统,其特征在于,所述MME,还用于在确定用户鉴权成功后,通过eNodeB向iAGW发送非接入层安全模式命令,所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码;接收非接入层安全模式完成消息,保存其中的非接入层消息认证码;
所述iAGW,还用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥;根据生成的非接入层完整性保护密钥,对收到的非接入层安全模式命令消息进行完整性校验;判定完整性校验通过后,通过eNodeB向MME响应非接入层安全模式完成消息。
15.根据权利要求11所述的系统,其特征在于,所述融合核心网为UTRAN接入的融合的EPC时,所述接入实体为UTRAN,该融合核心网包括HSS/HLR、SGSN;其中,
SGSN,用于通过UTRAN向iAGW发送识别请求,接收iAGW从永久标识中提取的IMSI;并使用获取到的IMSI,向HSS/HLR获取鉴权信息;保存HSS/HLR发送的鉴权信息响应,通过UTRAN向iAGW发送用户鉴权请求;并接收iAGW发送的用户鉴权响应,在判定iAGW发送的用户鉴权响应和HSS/HLR的预期响应一致时,通过UTRAN向iAGW发送鉴权结果指示消息;
HSS/HLR,用于向SGSN返回鉴权信息响应,所述鉴权信息响应中包括随机数、预期响应、鉴权令牌、加密密钥以及完整性保护密钥。
16.根据权利要求15所述的系统,其特征在于,所述iAGW,具体用于通过UTRAN向SGSN发送附着请求;通过EAP请求-识别消息,向UE请求用户的永久标识;解析用户的永久标识,提取出IMSI,并通过UTRAN向SGSN提供IMSI;从用户鉴权请求的鉴权令牌中提取计算出消息认证码,通过EAP请求-挑战消息,向UE传递随机数、鉴权令牌以及消息认证码;判定计算出的消息认证码和UE发送的消息认证码一致时,通过UTRAN向SGSN回送用户鉴权响应;并根据SGSN发送的鉴权结果指示消息中携带的成功指示,确定安全认证通过,向UE发送EAP-成功消息;
所述UE,具体用于运行鉴权和密钥协商算法,校验鉴权令牌和消息认证码,产生响应和主会话密钥,通过EAP应答-挑战消息,向iAGW传递所述响应和消息认证码。
17.根据权利要求16所述的系统,其特征在于,所述SGSN,还用于在发送所述鉴权结果指示消息后,通过UTRAN向iAGW发送非接入层安全模式命令,所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码;接收非接入层安全模式完成消息,保存其中的非接入层消息认证码;
所述iAGW,还用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥;根据生成的非接入层完整性保护密钥,对收到的非接入层安全模式命令消息进行完整性校验;判定完整性校验通过后,通过UTRAN向SGSN响应非接入层安全模式完成消息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210057119.3A CN103313239B (zh) | 2012-03-06 | 2012-03-06 | 一种用户设备接入融合核心网的方法及系统 |
| PCT/CN2013/072152 WO2013131461A1 (zh) | 2012-03-06 | 2013-03-04 | 一种用户设备接入融合控制网元的实现方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210057119.3A CN103313239B (zh) | 2012-03-06 | 2012-03-06 | 一种用户设备接入融合核心网的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103313239A true CN103313239A (zh) | 2013-09-18 |
| CN103313239B CN103313239B (zh) | 2018-05-11 |
Family
ID=49115943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210057119.3A Expired - Fee Related CN103313239B (zh) | 2012-03-06 | 2012-03-06 | 一种用户设备接入融合核心网的方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103313239B (zh) |
| WO (1) | WO2013131461A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016155012A1 (zh) * | 2015-04-03 | 2016-10-06 | 华为技术有限公司 | 一种无线通信网络中的接入方法、相关装置及系统 |
| CN106535182A (zh) * | 2015-09-10 | 2017-03-22 | 中兴通讯股份有限公司 | 一种无线网络鉴权方法及核心网网元、接入网网元、终端 |
| CN107896370A (zh) * | 2017-12-27 | 2018-04-10 | 海能达通信股份有限公司 | 一种故障弱化模式下接入网络的方法、装置 |
| CN109417439A (zh) * | 2016-07-07 | 2019-03-01 | Idac控股公司 | 用于利用icn的基于动态配置网络编码的多源分组传输的过程 |
| CN109560919A (zh) * | 2017-09-27 | 2019-04-02 | 华为技术有限公司 | 一种密钥衍生算法的协商方法及装置 |
| WO2019101217A1 (en) * | 2017-11-27 | 2019-05-31 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Systemand user equipment |
| CN110881020A (zh) * | 2018-09-06 | 2020-03-13 | 大唐移动通信设备有限公司 | 一种用户签约数据的鉴权方法及数据管理网元 |
| CN112469043A (zh) * | 2019-09-09 | 2021-03-09 | 华为技术有限公司 | 一种鉴权的方法及装置 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516376B (zh) * | 2014-09-24 | 2020-09-08 | 中兴通讯股份有限公司 | 一种移动终端接入家庭网关的控制方法及家庭网关 |
| CN113852949B (zh) * | 2021-09-26 | 2024-02-23 | 中国电子科技集团公司第五十四研究所 | 接入网关及卫星终端通过接入网关接入5g移动网络方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060003765A1 (en) * | 2004-06-02 | 2006-01-05 | Nokia Corporation | Method for roaming between networks |
| CN101204038A (zh) * | 2005-06-16 | 2008-06-18 | 法国电信公司 | 鉴权协议转换方法 |
| CN101656956A (zh) * | 2008-08-22 | 2010-02-24 | 华为技术有限公司 | 一种接入3gpp网络的方法、系统和网关 |
| CN102056321A (zh) * | 2009-10-30 | 2011-05-11 | 中兴通讯股份有限公司 | 一种实现本地接入的方法及系统 |
| CN102098237A (zh) * | 2011-01-27 | 2011-06-15 | 大唐移动通信设备有限公司 | 一种网关设备及使用方法、信息传输方法及设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100536597C (zh) * | 2005-11-01 | 2009-09-02 | 华为技术有限公司 | 演进的移动通信网及3gpp和非3gpp接入网之间移动性管理方法 |
| US8594104B2 (en) * | 2009-11-23 | 2013-11-26 | Cisco Technology, Inc. | Providing proxy mobile IP over a communication network |
-
2012
- 2012-03-06 CN CN201210057119.3A patent/CN103313239B/zh not_active Expired - Fee Related
-
2013
- 2013-03-04 WO PCT/CN2013/072152 patent/WO2013131461A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060003765A1 (en) * | 2004-06-02 | 2006-01-05 | Nokia Corporation | Method for roaming between networks |
| CN101204038A (zh) * | 2005-06-16 | 2008-06-18 | 法国电信公司 | 鉴权协议转换方法 |
| CN101656956A (zh) * | 2008-08-22 | 2010-02-24 | 华为技术有限公司 | 一种接入3gpp网络的方法、系统和网关 |
| CN102056321A (zh) * | 2009-10-30 | 2011-05-11 | 中兴通讯股份有限公司 | 一种实现本地接入的方法及系统 |
| CN102098237A (zh) * | 2011-01-27 | 2011-06-15 | 大唐移动通信设备有限公司 | 一种网关设备及使用方法、信息传输方法及设备 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10419935B2 (en) | 2015-04-03 | 2019-09-17 | Huawei Technologies Co., Ltd. | Access method in wireless communications network, related apparatus, and system |
| CN107005843A (zh) * | 2015-04-03 | 2017-08-01 | 华为技术有限公司 | 一种无线通信网络中的接入方法、相关装置及系统 |
| KR20170132273A (ko) * | 2015-04-03 | 2017-12-01 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 무선 통신 네트워크에서의 액세스 방법, 관련 장치 및 시스템 |
| WO2016155012A1 (zh) * | 2015-04-03 | 2016-10-06 | 华为技术有限公司 | 一种无线通信网络中的接入方法、相关装置及系统 |
| KR101930382B1 (ko) | 2015-04-03 | 2018-12-18 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 무선 통신 네트워크에서의 액세스 방법, 관련 장치 및 시스템 |
| CN107005843B (zh) * | 2015-04-03 | 2020-02-14 | 华为技术有限公司 | 一种无线通信网络中的接入方法、相关装置及系统 |
| CN106535182A (zh) * | 2015-09-10 | 2017-03-22 | 中兴通讯股份有限公司 | 一种无线网络鉴权方法及核心网网元、接入网网元、终端 |
| CN109417439A (zh) * | 2016-07-07 | 2019-03-01 | Idac控股公司 | 用于利用icn的基于动态配置网络编码的多源分组传输的过程 |
| CN109417439B (zh) * | 2016-07-07 | 2021-10-15 | Idac控股公司 | 用于利用icn的基于动态配置网络编码的多源分组传输的过程 |
| CN109560919A (zh) * | 2017-09-27 | 2019-04-02 | 华为技术有限公司 | 一种密钥衍生算法的协商方法及装置 |
| CN109560919B (zh) * | 2017-09-27 | 2021-02-09 | 华为技术有限公司 | 一种密钥衍生算法的协商方法及装置 |
| US11627458B2 (en) | 2017-09-27 | 2023-04-11 | Huawei Technologies Co., Ltd. | Key derivation algorithm negotiation method and apparatus |
| WO2019101217A1 (en) * | 2017-11-27 | 2019-05-31 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Systemand user equipment |
| CN107896370A (zh) * | 2017-12-27 | 2018-04-10 | 海能达通信股份有限公司 | 一种故障弱化模式下接入网络的方法、装置 |
| CN107896370B (zh) * | 2017-12-27 | 2020-12-18 | 海能达通信股份有限公司 | 一种故障弱化模式下接入网络的方法、装置 |
| CN110881020A (zh) * | 2018-09-06 | 2020-03-13 | 大唐移动通信设备有限公司 | 一种用户签约数据的鉴权方法及数据管理网元 |
| CN112469043A (zh) * | 2019-09-09 | 2021-03-09 | 华为技术有限公司 | 一种鉴权的方法及装置 |
| CN112469043B (zh) * | 2019-09-09 | 2022-10-28 | 华为技术有限公司 | 一种鉴权的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013131461A1 (zh) | 2013-09-12 |
| CN103313239B (zh) | 2018-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103313239B (zh) | 一种用户设备接入融合核心网的方法及系统 | |
| US11265226B2 (en) | Service management method and apparatus thereof | |
| CN102905266B (zh) | 一种实现移动设备附着的方法及装置 | |
| KR102390380B1 (ko) | 비인증 사용자에 대한 3gpp 진화된 패킷 코어로의 wlan 액세스를 통한 긴급 서비스의 지원 | |
| EP3515098B1 (en) | Local service authorization method and related device | |
| US9332435B2 (en) | Device, system and method using EAP for external authentication | |
| US9800404B2 (en) | Configuration of liveness check using internet key exchange messages | |
| CN102917354A (zh) | 一种接入方法、系统及移动智能接入点 | |
| EP3509265B1 (en) | Network access authorization method, and related device and system | |
| EP3114865B1 (en) | Using services of a mobile packet core network | |
| CN111226452B (zh) | 一种业务策略创建方法及装置 | |
| EP2717546B1 (en) | Method and device for acquiring destination ip address | |
| CN103841546B (zh) | 一种移动终端使用漫游本地业务的方法、系统及装置 | |
| CN105848249A (zh) | 接入点名称apn的处理方法、装置及系统 | |
| CN110536301A (zh) | 一种拒绝消息处理方法及装置 | |
| EP3085047B1 (en) | Method of improving security in a communication network and authentication entity | |
| KR101954397B1 (ko) | Lte 이동통신 시스템에서 패킷 차단 방법 및 패킷 차단 시스템 | |
| CN104796941A (zh) | 通过twan接入核心网时的拥塞控制方法及装置 | |
| KR20130073728A (ko) | 엘티이(lte) 시스템에서의 인증 장치 및 방법 | |
| CN108702619A (zh) | 获取、发送用户设备标识的方法及设备 | |
| CN110933669A (zh) | 一种跨rat用户的快速注册的方法 | |
| CN106332033A (zh) | 一种生成话单的方法、装置及分组数据网络网关 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180511 Termination date: 20200306 |