CN104349317A - 一种移动网络的接入方法、ue、安全服务网关和系统 - Google Patents
一种移动网络的接入方法、ue、安全服务网关和系统 Download PDFInfo
- Publication number
- CN104349317A CN104349317A CN201310330240.3A CN201310330240A CN104349317A CN 104349317 A CN104349317 A CN 104349317A CN 201310330240 A CN201310330240 A CN 201310330240A CN 104349317 A CN104349317 A CN 104349317A
- Authority
- CN
- China
- Prior art keywords
- access
- base station
- mobile network
- macro base
- generate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种移动网络的接入方法,该方法包括:用户设备(UE)从核心网获取自身相关信息,并根据所述信息选择接入移动网络的类型。本发明还同时公开了一种UE、安全服务网关和系统,运用所述方法、装置和系统可满足不同终端和不同应用业务的需求,使UE更方便、高效地获取移动网络的服务。
Description
技术领域
本发明涉及移动通信技术领域,尤其涉及一种移动网络的接入方法、用户设备(User Equipment,简称为UE)、安全服务网关和系统。
背景技术
在移动通信领域,随着智能终端和移动互联网应用的快速发展,移动网络也随之发展,其中包含无线接入方式。
整个演进分组系统(Evolved Packet System,简称为EPS)分为无线接入网和核心网两部分,无线接入网分为第三代合作伙伴计划(3rd GenerationPartnership Project,简称为3GPP)接入网和非3GPP接入网。
其中,所述3GPP接入网由演进基站(Evolved NodeB,简称为eNB)组成,它主要负责无线信号的收发,通过空中接口和终端联系,管理空中接口的无线资源、资源调度、以及接入控制。
所述核心网,包含了归属用户服务器(Home Subscriber Server,简称为HSS)、移动性管理实体(Mobility Management Entity,简称为MME)、策略计费规则功能(Policy and Charging Rule Function,简称为PCRF)实体、服务网关(Serving Gateway,简称为S-GW)和分组数据网关(PDN Gateway,简称为P-GW)。如图1所示,图1为包括3GPP接入和非3GPP接入的EPS结构示意图。
如图1所示,EPS系统支持3GPP接入。HSS是用户签约数据的永久存放地点,位于用户签约的归属网;MME负责移动性管理、非接入层信令的处理和用户移动性管理上下文的管理等控制面相关功能;S-GW是与3GPP接入网相连的接入网关设备,在3GPP接入和P-GW之间转发数据,并对数据进行缓存;P-GW是EPS与分组数据网络(Packet Data Network,简称为PDN)的边界网关,负责PDN的接入及其在EPS与PDN之间转发数据等功能;PCRF是策略和计费规则功能实体,其通过接收接口Rx和运营商业务网络相连,负责提供计费控制、在线信用控制、门限控制、以及服务质量(Quality of Service,简称为QoS)控制。
如图1所示,EPS系统也支持非3GPP接入。其中,与非3GPP接入的互通通过S2a/S2b/S2c接口实现,P-GW作为3GPP与非3GPP接入间的锚点。非3GPP接入被分为授信非3GPP接入和非授信非3GPP接入。其中,所述授信非3GPP接入可直接通过S2a接口与P-GW连接,S2a接口采用代理移动IP(ProxyMobile IP,简称为PMIP)协议进行信息交互;所述非授信非3GPP接入需经过演进的分组数据网关(evolved Packet Data Gateway,简称为ePDG)与P-GW相连,ePDG与P-GW间的接口为所述S2b。所述S2c接口提供了UE与P-GW之间的用户面控制以及移动性支持,其支持的移动性协议为支持双栈的移动IPv6(Mobile IPv6support for Dual Stack Hosts and Routers,简称为DSMIPv6)。
如图2所示,EPS安全密钥架构如下,全球用户识别卡(Universal SubscriberIdentity Module,简称为USIM)和鉴权中心(Authentication Centre,简称为AuC)共享密钥K,在UE使用USIM和网络进行成功的认证之后,UE和HSS共享密钥CK/IK以及由CK/IK生成的KASME。HSS将KASME发送给MME,UE和MME根据KASME生成KNASint和KNASenc,用于对UE和MME之间的NAS信令进行完整性保护和加密保护。UE和MME根据KASME生成KeNB,MME将KeNB发送给基站;然后,UE和基站根据KeNB生成KUPenc,用于对UE和基站之间的用户面数据进行加密保护;UE和基站根据KeNB生成KRRCint和KRRCenc,用于对UE和基站之间的无线资源控制协议(RadioResourceControl,简称为RRC)信令进行完整性保护和加密保护。
不同的无线接入方式是为了满足不同终端和不同应用的需求,但是,随着智能终端和移动互联网应用的快速发展,移动网络也随之发展,当前的无线接入方式需要继续演进,才能满足不同的需求,同时,无线接入的安全技术也需要随着无线接入方式的演进而演进。
发明内容
有鉴于此,本发明的主要目的在于提供一种移动网络的接入方法、UE、安全服务网关和系统,从而可满足不同终端和不同应用业务的需求。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供了一种移动网络的接入方法,该方法包括:
用户设备UE从核心网获取自身相关信息,并根据所述信息选择接入移动网络的类型。
其中,所述UE从核心网获取自身相关信息,包括:
UE通过业务定义无线电策略功能SDRPF层从核心网中的移动性管理实体MME的SDRPF层、或从核心网中独立的SDRPF实体获取自身的相关信息。
其中,所述信息包括:UE当前的位置、和/或UE当前的状态、和/或UE与接入网络类型的对应关系、和/或UE当前需要连接的业务。
上述方案中,所述接入移动网络的类型,包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
优选的,所述接入移动网络的类型为所述UE通过宏基站或演进的小基站接入移动网络时,所述接入移动网络的类型对应传统的安全认证机制的接入网络和提升了安全机制的接入网络;
所述接入移动网络的类型为UE通过AP接入移动网络时,所述接入移动网络的类型对应降低了安全认证机制的接入网络。
优选的,该方法还包括:所述UE用户面的安全被汇聚到安全服务网关,包括:
所述UE和MME生成用户面加密密钥KUPenc’,MME将所述KUPenc’发送给安全服务网关;或者,
当所述MME和安全服务网关为同一个物理实体时,生成用户面加密密钥KUPenc’后不再发送。
优选的,该方法还包括:
所述UE和MME使用KASME生成所述KUPenc’;或者,
所述UE和MME使用以下一个或多个参数生成所述KUPenc’:算法ID、随机数、计数器的值、常数。
优选的,该方法还包括:
当所述UE接入小基站时,所述安全服务网关与所述UE使用KUPenc’保护用户面的安全。
优选的,该方法还包括:
当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时,所述UE与所述第一宏基站生成KeNB2;第一宏基站把所述KeNB2发送给所述第二宏基站,所述第二宏基站和所述UE生成KRRCint和KRRCenc,并使用所述KRRCint和KRRCenc保护无线资源控制协议RRC信令。
优选的,该方法还包括:
所述UE与所述第一宏基站使用KeNB1或者NH1生成所述KeNB2;或者,使用以下一个或多个参数生成所述KeNB2:小区频点、小区物理标识、随机数、计数器的值、常数;
所述第二宏基站和所述UE使用所述KeNB2生成所述KRRCint和KRRCenc;或者,使用以下一个或多个参数生成所述KRRCint和KRRCenc:算法ID、随机数、计数器的值、常数。
优选的,该方法还包括:
所述UE在初始接入所述核心网时,从所述核心网获取所述AP的用户名和密码;UE选择通过所述AP接入移动网络时,则使用所述AP的用户名和密码接入AP。
优选的,所述UE和AP的连接建立后,该方法还包括:
如果所述UE离开所述AP的覆盖范围,则所述UE通过所述SDRPF层重新进行接入移动网络的类型的选择。
本发明还提供了一种UE,所述UE包括:选择接入模块,用于从核心网获取自身相关信息,并根据所述信息选择接入移动网络的类型。
其中,所述选择接入模块从核心网获取自身相关信息,包括:
所述选择接入模块通过所述UE的SDRPF层从核心网中MME的SDRPF层、或从核心网中独立的SDRPF实体获取UE的相关信息。
其中,所述接入移动网络的类型,包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
优选的,所述选择接入模块,还用于和所述MME生成用户面加密密钥KUPenc。
优选的,所述选择接入模块,还用于和所述MME使用KASME生成所述KUPenc’;或者,使用以下一个或多个参数生成所述KUPenc:算法ID、随机数、计数器的值、常数。
优选的,所述选择接入模块,还用于所述UE接入小基站时,与安全服务网关使用KUPenc’保护UE用户面的安全。
优选的,所述选择接入模块,还用于当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时,与所述第一宏基站生成KeNB2,与所述第二宏基站KRRCint和KRRCenc,并使用所述KRRCint和KRRCenc保护无线资源控制协议RRC信令。
优选的,所述选择接入模块,还用于与所述第一宏基站使用KeNB1或者NH1生成所述KeNB2;或者,使用以下一个或多个参数生成所述KeNB2:小区频点、小区物理标识、随机数、计数器的值、常数;
与所述第二宏基站使用所述KeNB2生成所述KRRCint和KRRCenc;或者,使用以下一个或多个参数生成所述KRRCint和KRRCenc:算法ID、随机数、计数器的值、常数。
优选的,所述选择接入模块,还用于UE在初始接入所述核心网时,从所述核心网获取所述AP的用户名和密码,并在所述UE选择通过所述AP接入移动网络时,使用所述AP的用户名和密码接入AP。
优选的,所述UE和AP的连接建立后,所述选择接入模块,还用于确定所述UE离开所述AP的覆盖范围时,通过所述UE的SDRPF层重新进行接入移动网络的类型的选择。
本发明还提供了一种安全服务网关,所述安全服务网关包括:接收模块,用于接收MME发送的、由UE和所述MME生成的用户面加密密钥KUPenc’。
其中,所述KUPenc’由所述UE和所述MME使用KASME生成;或者,由UE和所述MME使用以下一个或多个参数生成:算法ID、随机数、计数器的值、常数。
优选的,所述接收模块,还用于所述UE接入小基站时,与所述UE使用所述KUPenc’保护用户面的安全。
本发明还提供了一种移动网络的接入系统,该系统包括上文所述的UE。
本发明提供的移动网络的接入方法、UE、安全服务网关和系统,用户设备(UE)从核心网获取自身相关信息,并根据所述信息选择接入移动网络的类型。本发明UE可以根据不同的业务需求选择不同的移动网络的接入方式,可满足不同终端和不同应用业务的需求,使UE更方便、高效地获取移动网络的服务。
此外,本发明中UE用户面的安全被汇聚到安全服务网关,相当于将UE的用户面上移到网络侧,如果UE在一个安全网络的覆盖范围内移动,跨越了几个宏基站的覆盖范围时,可以继续使用用户面安全,只切换控制面的安全即可。
附图说明
图1为传统的包括3GPP接入和非3GPP接入的EPS结构示意图;
图2为传统EPS的安全密钥架构图;
图3为本发明实施例演进的移动网络结构示意图;
图4为本发明一实施例演进的移动网络安全密钥架构图;
图5为本发明另一实施例演进的移动网络安全密钥架构图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细说明。
本发明提供了一种移动网络的接入方法,该方法包括:
用户设备UE从核心网获取自身相关信息,并根据所述信息选择接入移动网络的类型。
优选的,所述UE从核心网获取自身相关信息,包括:
UE通过业务定义无线电策略功能(SDRPF)层从核心网中的移动性管理实体MME的SDRPF层、或从核心网中独立的SDRPF实体获取自身的相关信息。
其中,所述信息包括:UE当前的位置、和/或UE当前的状态、和/或UE与接入网络类型的对应关系、和/或UE当前需要连接的业务。
优选的,所述接入移动网络的类型,包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
优选的,所述接入移动网络的类型为所述UE通过宏基站或演进的小基站接入移动网络时,所述接入移动网络的类型对应传统的安全认证机制的接入网络,即对应传统的UE接入eNB的情况和提升了安全机制的接入网络,即:在S-GW进行加解密的接入网络;
所述接入移动网络的类型为UE通过AP接入移动网络时,所述接入移动网络的类型对应降低了安全认证机制的接入网络,即:通过AP仅提供AP与UE间安全的接入网络,AP可以为代表WIFI的AP,也可以为代表低安全等级的基站。
进一步地,该方法还包括:所述UE用户面的安全被汇聚到安全服务网关,包括:
所述UE和MME生成用户面加密密钥KUPenc’,MME将所述KUPenc’发送给安全服务网关;或者,
当所述MME和安全服务网关为同一个物理实体时,生成用户面加密密钥KUPenc’后不再发送。
进一步地,该方法还包括:
所述UE和MME使用KASME生成所述KUPenc’;或者,
所述UE和MME使用以下一个或多个参数生成所述KUPenc’:算法ID、随机数、计数器的值、常数。
进一步地,该方法还包括:
当所述UE接入小基站时,所述安全服务网关与所述UE使用KUPenc’保护用户面的安全。
进一步地,该方法还包括:
当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时,所述UE与所述第一宏基站生成KeNB2,第一宏基站把所述KeNB2发送给所述第二宏基站,所述第二宏基站和所述UE生成KRRCint和KRRCenc,并使用所述KRRCint和KRRCenc保护无线资源控制协议RRC信令。
进一步地,该方法还包括:所述UE与所述第一宏基站使用KeNB1或者NH1生成所述KeNB2;或者,使用以下一个或多个参数生成所述KeNB2:小区频点、小区物理标识、随机数、计数器的值、常数;
所述第二宏基站和所述UE使用所述KeNB2生成所述KRRCint和KRRCenc;或者,使用以下一个或多个参数生成所述KRRCint和KRRCenc:算法ID、随机数、计数器的值、常数。
进一步地,该方法还包括:
所述UE在初始接入所述核心网时,从所述核心网获取所述AP的用户名和密码;UE选择通过所述AP接入移动网络时,则使用所述AP的用户名和密码接入AP。
优选的,所述UE和AP的连接建立后,该方法还包括:
如果所述UE离开所述AP的覆盖范围,则所述UE通过所述SDRPF层重新进行接入移动网络的类型的选择。
本发明还提供了一种UE,所述UE包括:选择接入模块,用于从核心网获取自身相关信息,并根据所述信息选择接入移动网络的类型。
其中,所述选择接入模块从核心网获取自身相关信息,包括:
所述选择接入模块通过所述UE的SDRPF层从核心网中MME的SDRPF层、或从核心网中独立的SDRPF实体获取UE的相关信息。
其中,所述接入移动网络的类型,包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
优选的,所述选择接入模块,还用于和所述MME生成用户面加密密钥KUPenc。
优选的,所述选择接入模块,还用于和所述MME使用KASME生成所述KUPenc’;或者,使用以下一个或多个参数生成所述KUPenc:算法ID、随机数、计数器的值、常数。
优选的,所述选择接入模块,还用于所述UE接入小基站时,与安全服务网关使用KUPenc’保护UE用户面的安全。
优选的,所述选择接入模块,还用于当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时,与所述第一宏基站生成KeNB2,与所述第二宏基站生成KRRCint和KRRCenc,并使用所述KRRCint和KRRCenc保护无线资源控制协议RRC信令。
优选的,所述选择接入模块,还用于与所述第一宏基站使用KeNB1或者NH1生成所述KeNB2;或者,使用以下一个或多个参数生成所述KeNB2:小区频点、小区物理标识、随机数、计数器的值、常数;
与所述第二宏基站使用所述KeNB2生成所述KRRCint和KRRCenc;或者,使用以下一个或多个参数生成所述KRRCint和KRRCenc:算法ID、随机数、计数器的值、常数。
优选的,所述选择接入模块,还用于UE在初始接入所述核心网时,从所述核心网获取所述AP的用户名和密码,并在所述UE选择通过所述AP接入移动网络时,使用所述AP的用户名和密码接入AP。
优选的,所述UE和AP的连接建立后,所述选择接入模块,还用于确定所述UE离开所述AP的覆盖范围时,通过所述UE的SDRPF层重新进行接入移动网络的类型的选择。
本发明还提供了一种安全服务网关,所述安全服务网关包括:接收模块,用于接收MME发送的、由UE和所述MME生成的用户面加密密钥KUPenc’。
优选的,所述KUPenc’由所述UE和所述MME使用KASME生成;或者,由UE和所述MME使用以下一个或多个参数生成:算法ID、随机数、计数器的值、常数。
优选的,所述接收模块,还用于所述UE接入小基站时,与所述UE使用所述KUPenc’保护用户面的安全。
本发明还提供了一种移动网络的接入系统,该系统包括:上文所述的UE。
下面分别从方法、装置和系统几个方面对本发明所述的技术方案进行展开说明。
实施例一
图3为本发明实施例演进的移动网络结构示意图,如图3所示,图中演进的小基站面向UE的协议栈只有PHY层,MAC层,RLC层,UE的信令面通过小基站中继到宏基站;图3中的安全服务网关的作用是将用户面数据的安全汇聚到安全服务网关,所述安全服务网关在公网上或者位于运营商网络与公网的边缘,可支持UE和安全服务网关间的数据安全,UE和安全服务网关间有安全的上下文,可支持无连接数据传输。所述UE的用户面通过小基站中继到安全服务网关,这里的小基站和宏基站之间可以通过无线连接。UE用户面的安全汇聚到所述安全服务网关,所述安全服务网关支持UE的用户面安全,相当于将UE的用户面上移到网络侧,UE的控制面安全汇聚到宏基站。
综上所述,本发明实施例可满足不同终端和不同应用业务的需求,使UE更方便、高效地获取移动网络的服务。
实施例二
基于图3所示的移动网络结构,本发明还提出一种新的移动网络的接入方法:UE,如:智能手机增加RRC层上的协议栈,业务定义的无线电策略功能SDR执行功能(SDRPF),所述SDRPF支持按业务的接入策略功能,与嵌入到UE RRC层的SDREF一起构成多RAT多模式服务。所述SDRPF类似ANDSF和PCRF的结合功能,以进一步支持按照业务的接入策略,SDRPF是与演进的MME的功能的重新组合是5G架构设计中的一个重要问题。核心网演进的MME也增加相应SDRPF协议栈。所述UE的SDRPF层从核心网的SDRPF层、或从核心网中独立设置的SDRPF实体获取自身相应信息,如:UE当前的位置、和/或UE当前的状态、和/或UE与接入网络类型的对应关系、和/或UE当前需要连接的业务等,UE根据这些信息选择接入移动网络的类型,所述接入移动网络的类型,包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。例如:UE当前的位置是在演进的小基站覆盖范围内,也在AP的覆盖范围内,且UE可以支持演进的小基站的接入方式,也支持AP的接入技术,当前UE的状态是ACTIVE,且UE当前需要连接的业务是一般网页浏览的业务时,UE可以选择通过安全等级较低的AP接入移动网络。
又如:UE当前的位置是在宏基站覆盖范围内,也在AP的覆盖范围内,且UE可以支持宏基站的接入方式,也支持AP的接入技术,当前UE的状态是ACTIVE,并且在高速移动,UE当前需要连接的业务是实时视频通话业务时,那么,UE可以选择对移动性支持较好的宏基站接入移动网络。
再如:UE当前的位置在宏基站覆盖范围内,也在演进的小基站的覆盖范围内,UE可以支持宏基站的接入方式,也支持演进的小基站的接入方式,当前UE的状态是IDLE,并且演进的小基站的信号更强,接入方式资费更低,那么,UE可以选择性号更强而且资费更低的演进的小基站的接入移动网络。
其中,所述接入移动网络的类型为所述UE通过宏基站或演进的小基站接入移动网络时,所述接入移动网络的类型对应传统的安全认证机制的接入网络和提升了安全机制的接入网络;
所述接入移动网络的类型为UE通过AP接入移动网络时,所述接入移动网络的类型对应降低了安全认证机制的接入网络。
一种新的UE接入移动网络的类型就是图3中所述的访问接入点(AccessPoint,简称为AP),即:UE通过所述AP接入移动网络,UE和可信的AP间执行双向安全交互,UE的认证/授权通过离线信息支持;所述AP也可以由一组接入点以总分结构组成,总接入点执行RRC/PDCP功能,分接入点执行RLC/MAC/PHY功能。AP的面向UE的用户面协议栈包含:PHY层,MAC层,RLC层,PDCP层和IP层,AP的用户面不经核心网直接接入IP网中的应用服务器,AP的控制面和核心网之间没有实时控制面连接。
综上所述,本发明实施例可满足不同终端和不同应用业务的需求,使UE更方便、高效地获取移动网络的服务。
实施例三
本发明还提出一种新的移动网络安全架构。如图4所示,UE用户面的安全汇聚到安全服务网关,UE和所述演进的MME使用KASME生成用户面加密密钥KUPenc’,演进的MME将所述KUPenc’发送给所述安全服务网关;或者,当演进的MME和所述安全服务网关为一个物理实体时,生成用户面加密密钥KUPenc’后不再发送。在UE接入演进的小基站时,安全服务网关和UE使用KUPenc’保护用户面的安全。这里,所述密钥KUPenc’的生成过程中还可以使用其他参数,比如UE和所述演进的MME使用以下一个或多个参数生成所述密钥KUPenc’:算法ID、随机数、计数器的值、常数等等。
安全服务网关和MME绑定时,覆盖范围相当于跟踪区(Tracking Area,TA),其大于宏基站的覆盖范围,UE移动时考虑宏基站覆盖范围即可,因此,UE在一个安全服务网关和一个宏基站覆盖范围内移动时,可以不进行安全密钥的切换。优点是可以提高切换效率,节省无线信令。如果UE在一个安全网络的覆盖范围内移动,跨越了几个宏基站的覆盖范围时,可以继续使用用户面安全,只切换控制面的安全即可。
当UE从宏基站1的覆盖范围移动到宏基站2的覆盖范围,如图5所示,UE和宏基站1使用KeNB1或者NH生成KeNB2,所述NH即为用于生成密钥的参数next hop,当然,密钥KeNB2的生成过程还可以使用其他参数,比如以下一个或多个参数:小区频点、小区物理标识、随机数、计数器的值、常数等等;宏基站1把KeNB2发送给宏基站2,宏基站2和UE使用KeNB2生成KRRCint和KRRCenc,这里,密钥KRRCint和KRRCenc的生成过程中还可以使用其他参数,比如以下一个或多个参数:算法ID、随机数、计数器的值、常数等等,并使用KRRCint和KRRCenc保护RRC信令,而无需生成KUPenc,用户面也无需进行切换。
此外,在图4中,在UE接入AP时,UE接入AP主要进行网页浏览等一般性咨询获取业务,并且不移动,对安全要求较低,AP和UE之间的认证以用户数据安全等级较低。同时,在UE不经过AP接入核心网时,RRC控制面不对网络造成威胁,安全等级也可以较低,可采用用户名口令的认证方式,不对空口数据和信令进行完整性保护。
UE在初始接入核心网时,从核心网获取到所述AP的用户名和密码,此后如果UE选择通过AP接入移动网络,UE使用所述用户名和密码接入AP。
但是,一旦通过该AP和核心网的连接建立,即:通过移动网接入到核心网,考虑到核心网的安全性,就需要对到核心网的信令进行加密和完整性保护。此时如果有现有的EPS安全上下文,就根据现有的EPS安全上下文,建立起终端和网络之间的安全,否则需要运行完整的EPS-AKA安全认证,再建立起终端和网络之间的安全。
如果UE移动,离开AP的覆盖范围,此时UE应通过自身的SSRFP层重新进行移动接入网络选择,此时可能需要连接到其他小基站或宏基站。
综上所述,本发明实施例可满足不同终端和不同应用业务的需求,使UE更方便、高效地获取移动网络的服务。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (26)
1.一种移动网络的接入方法,其特征在于,该方法包括:
用户设备UE从核心网获取自身相关信息,并根据所述信息选择接入移动网络的类型。
2.根据权利要求1所述的方法,其特征在于,所述UE从核心网获取自身相关信息,包括:
UE通过业务定义无线电策略功能SDRPF层从核心网中的移动性管理实体MME的SDRPF层、或从核心网中独立的SDRPF实体获取自身的相关信息。
3.根据权利要求1所述的方法,其特征在于,所述信息包括:UE当前的位置、和/或UE当前的状态、和/或UE与接入网络类型的对应关系、和/或UE当前需要连接的业务。
4.根据权利要求1、2或3所述的方法,其特征在于,所述接入移动网络的类型,包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
5.根据权利要求4所述的方法,其特征在于,所述接入移动网络的类型为所述UE通过宏基站或演进的小基站接入移动网络时,所述接入移动网络的类型对应传统的安全认证机制的接入网络和提升了安全机制的接入网络;
所述接入移动网络的类型为UE通过AP接入移动网络时,所述接入移动网络的类型对应降低了安全认证机制的接入网络。
6.根据权利要求2或3所述的方法,其特征在于,该方法还包括:所述UE用户面的安全被汇聚到安全服务网关,包括:
所述UE和MME生成用户面加密密钥KUPenc’,MME将所述KUPenc’发送给安全服务网关;或者,
当所述MME和安全服务网关为同一个物理实体时,生成用户面加密密钥KUPenc’后不再发送。
7.根据权利要求6所述的方法,其特征在于,该方法还包括:
所述UE和MME使用KASME生成所述KUPenc’;或者,
所述UE和MME使用以下一个或多个参数生成所述KUPenc’:算法ID、随机数、计数器的值、常数。
8.根据权利要求6所述的方法,其特征在于,该方法还包括:
当所述UE接入小基站时,所述安全服务网关与所述UE使用KUPenc’保护用户面的安全。
9.根据权利要求2或3所述的方法,其特征在于,该方法还包括:
当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时,所述UE与所述第一宏基站生成KeNB2;第一宏基站把所述KeNB2发送给所述第二宏基站,所述第二宏基站和所述UE生成KRRCint和KRRCenc,并使用所述KRRCint和KRRCenc保护无线资源控制协议RRC信令。
10.根据权利要求9所述的方法,其特征在于,该方法还包括:
所述UE与所述第一宏基站使用KeNB1或者NH1生成所述KeNB2;或者,使用以下一个或多个参数生成所述KeNB2:小区频点、小区物理标识、随机数、计数器的值、常数;
所述第二宏基站和所述UE使用所述KeNB2生成所述KRRCint和KRRCenc;或者,使用以下一个或多个参数生成所述KRRCint和KRRCenc:算法ID、随机数、计数器的值、常数。
11.根据权利要求4所述的方法,其特征在于,该方法还包括:
所述UE在初始接入所述核心网时,从所述核心网获取所述AP的用户名和密码;UE选择通过所述AP接入移动网络时,则使用所述AP的用户名和密码接入AP。
12.根据权利要求11所述的方法,其特征在于,所述UE和AP的连接建立后,该方法还包括:
如果所述UE离开所述AP的覆盖范围,则所述UE通过所述SDRPF层重新进行接入移动网络的类型的选择。
13.一种UE,其特征在于,所述UE包括:选择接入模块,用于从核心网获取自身相关信息,并根据所述信息选择接入移动网络的类型。
14.根据权利要求13所述的UE,其特征在于,所述选择接入模块从核心网获取自身相关信息,包括:
所述选择接入模块通过所述UE的SDRPF层从核心网中MME的SDRPF层、或从核心网中独立的SDRPF实体获取UE的相关信息。
15.根据权利要求13或14所述的UE,其特征在于,所述接入移动网络的类型,包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
16.根据权利要求14所述的UE,其特征在于,所述选择接入模块,还用于和所述MME生成用户面加密密钥KUPenc。
17.根据权利要求16所述的UE,其特征在于,所述选择接入模块,还用于和所述MME使用KASME生成所述KUPenc’;或者,使用以下一个或多个参数生成所述KUPenc:算法ID、随机数、计数器的值、常数。
18.根据权利要求17所述的UE,其特征在于,所述选择接入模块,还用于所述UE接入小基站时,与安全服务网关使用KUPenc’保护UE用户面的安全。
19.根据权利要求16所述的UE,其特征在于,所述选择接入模块,还用于当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时,与所述第一宏基站生成KeNB2,与所述第二宏基站KRRCint和KRRCenc,并使用所述KRRCint和KRRCenc保护无线资源控制协议RRC信令。
20.根据权利要求19所述的UE,其特征在于,所述选择接入模块,还用于与所述第一宏基站使用KeNB1或者NH1生成所述KeNB2;或者,使用以下一个或多个参数生成所述KeNB2:小区频点、小区物理标识、随机数、计数器的值、常数;
与所述第二宏基站使用所述KeNB2生成所述KRRCint和KRRCenc;或者,使用以下一个或多个参数生成所述KRRCint和KRRCenc:算法ID、随机数、计数器的值、常数。
21.根据权利要求16所述的UE,其特征在于,所述选择接入模块,还用于UE在初始接入所述核心网时,从所述核心网获取所述AP的用户名和密码,并在所述UE选择通过所述AP接入移动网络时,使用所述AP的用户名和密码接入AP。
22.根据权利要求21所述的UE,其特征在于,所述UE和AP的连接建立后,所述选择接入模块,还用于确定所述UE离开所述AP的覆盖范围时,通过所述UE的SDRPF层重新进行接入移动网络的类型的选择。
23.一种安全服务网关,其特征在于,所述安全服务网关包括:接收模块,用于接收MME发送的、由UE和所述MME生成的用户面加密密钥KUPenc’。
24.根据权利要求23所述的安全服务网关,其特征在于,所述KUPenc’由所述UE和所述MME使用KASME生成;或者,由UE和所述MME使用以下一个或多个参数生成:算法ID、随机数、计数器的值、常数。
25.根据权利要求23或24所述的安全服务网关,其特征在于,所述接收模块,还用于所述UE接入小基站时,与所述UE使用所述KUPenc’保护用户面的安全。
26.一种移动网络的接入系统,其特征在于,该系统包括:权利要求13-22中任一项所述的UE。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310330240.3A CN104349317A (zh) | 2013-07-31 | 2013-07-31 | 一种移动网络的接入方法、ue、安全服务网关和系统 |
PCT/CN2014/078165 WO2014169878A1 (zh) | 2013-07-31 | 2014-05-22 | 移动网络接入方法、ue、安全服务网关、系统和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310330240.3A CN104349317A (zh) | 2013-07-31 | 2013-07-31 | 一种移动网络的接入方法、ue、安全服务网关和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104349317A true CN104349317A (zh) | 2015-02-11 |
Family
ID=51730837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310330240.3A Withdrawn CN104349317A (zh) | 2013-07-31 | 2013-07-31 | 一种移动网络的接入方法、ue、安全服务网关和系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN104349317A (zh) |
WO (1) | WO2014169878A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107810623A (zh) * | 2015-04-30 | 2018-03-16 | 诺基亚通信公司 | 跨多个网络功能实例的多安全性级别/业务管理 |
WO2019096002A1 (zh) * | 2017-11-17 | 2019-05-23 | 华为技术有限公司 | 一种安全保护的方法及装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10958572B2 (en) | 2017-12-13 | 2021-03-23 | Cisco Technology, Inc. | Directing packets to service chain associated with user plane anchor |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070004405A1 (en) * | 2005-07-01 | 2007-01-04 | Research In Motion Limited | System and method for accelerating network selection by a wireless user equipment (UE) device |
CN101505524A (zh) * | 2008-02-05 | 2009-08-12 | 华为技术有限公司 | 用户设备选择网络的方法及装置 |
CN101674578A (zh) * | 2008-09-12 | 2010-03-17 | 中兴通讯股份有限公司 | 一种家庭基站安全接入网络的方法及系统 |
CN102378169A (zh) * | 2010-08-17 | 2012-03-14 | 中兴通讯股份有限公司 | 多系统无线接入网获知密钥的方法和多系统无线接入网 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101541064A (zh) * | 2008-03-18 | 2009-09-23 | 华为技术有限公司 | 网络发现与选择方法、网络系统及装置 |
-
2013
- 2013-07-31 CN CN201310330240.3A patent/CN104349317A/zh not_active Withdrawn
-
2014
- 2014-05-22 WO PCT/CN2014/078165 patent/WO2014169878A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070004405A1 (en) * | 2005-07-01 | 2007-01-04 | Research In Motion Limited | System and method for accelerating network selection by a wireless user equipment (UE) device |
CN101505524A (zh) * | 2008-02-05 | 2009-08-12 | 华为技术有限公司 | 用户设备选择网络的方法及装置 |
CN101674578A (zh) * | 2008-09-12 | 2010-03-17 | 中兴通讯股份有限公司 | 一种家庭基站安全接入网络的方法及系统 |
CN102378169A (zh) * | 2010-08-17 | 2012-03-14 | 中兴通讯股份有限公司 | 多系统无线接入网获知密钥的方法和多系统无线接入网 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107810623A (zh) * | 2015-04-30 | 2018-03-16 | 诺基亚通信公司 | 跨多个网络功能实例的多安全性级别/业务管理 |
CN107810623B (zh) * | 2015-04-30 | 2021-07-23 | 诺基亚通信公司 | 跨多个网络功能实例的多安全性级别/业务管理 |
WO2019096002A1 (zh) * | 2017-11-17 | 2019-05-23 | 华为技术有限公司 | 一种安全保护的方法及装置 |
US10681551B2 (en) | 2017-11-17 | 2020-06-09 | Huawei Technologies Co., Ltd. | Security protection method and apparatus |
US10904764B2 (en) | 2017-11-17 | 2021-01-26 | Huawei Technologies Co., Ltd. | Security protection method and apparatus |
CN112738804A (zh) * | 2017-11-17 | 2021-04-30 | 华为技术有限公司 | 一种安全保护的方法及装置 |
CN112738804B (zh) * | 2017-11-17 | 2021-12-21 | 华为技术有限公司 | 一种安全保护的方法及装置 |
US11564100B2 (en) | 2017-11-17 | 2023-01-24 | Huawei Technologies Co., Ltd. | Security protection method and apparatus |
Also Published As
Publication number | Publication date |
---|---|
WO2014169878A1 (zh) | 2014-10-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6950141B2 (ja) | 通信方法および通信機器 | |
US10841302B2 (en) | Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system | |
CN104521287B (zh) | 网络切换方法、装置、设备及系统 | |
WO2018145654A1 (zh) | 实现多接入管理的方法、装置及计算机存储介质 | |
JP5523632B2 (ja) | WiFi通信実施方法、ユーザ機器、及び無線ルータ | |
CN104247505B (zh) | 用于利用anqp服务器能力增强andsf的系统和方法 | |
KR102415681B1 (ko) | 통신 방법 및 통신 디바이스 | |
EP3585099B1 (en) | Vowifi call processing method of mobile terminal and mobile terminal | |
US20150029973A1 (en) | Signalling Interfaces in Communications | |
WO2013113202A1 (zh) | 用于ue网络切换的信息处理方法和基站 | |
CN110278619A (zh) | 一种pdu会话建立的方法和装置 | |
CN111869261A (zh) | Lwa 通信中的发现与安全 | |
CN102204306A (zh) | Mtc终端通过网关与网络通信的方法、设备及系统 | |
CN103313239A (zh) | 一种用户设备接入融合核心网的方法及系统 | |
CN103906056A (zh) | 混合组网下统一认证方法及系统 | |
WO2015149232A1 (zh) | 用户设备接入无线保真Wi-Fi的方法及Wi-Fi接入节点 | |
WO2014029271A1 (zh) | 设备到设备通信方法、装置及系统 | |
CN108293259A (zh) | 一种nas消息处理、小区列表更新方法及设备 | |
CN102752725A (zh) | 事件通知方法、终端设备和认证服务器 | |
TW202033016A (zh) | 通訊設備和連接恢復方法 | |
CN103384365A (zh) | 一种网络接入方法、业务处理方法、系统及设备 | |
CN102056141B (zh) | 一种实现本地接入的系统和方法 | |
WO2014075534A1 (zh) | 通信路径的切换方法及装置、切换处理装置及系统 | |
WO2018068496A1 (zh) | 一种网关自动切换方法及装置、计算机存储介质 | |
CN101835155A (zh) | 一种终端接入融合网络的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20150211 |
|
WW01 | Invention patent application withdrawn after publication |