CN106507348A - 一种lte系统中ue接入核心网epc的方法和装置 - Google Patents
一种lte系统中ue接入核心网epc的方法和装置 Download PDFInfo
- Publication number
- CN106507348A CN106507348A CN201510563746.8A CN201510563746A CN106507348A CN 106507348 A CN106507348 A CN 106507348A CN 201510563746 A CN201510563746 A CN 201510563746A CN 106507348 A CN106507348 A CN 106507348A
- Authority
- CN
- China
- Prior art keywords
- mobility management
- management entity
- entity mme
- user equipment
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供了一种长期演进LTE系统中用户设备UE接入核心网EPC的方法,包括:移动性管理实体MME接收用户设备UE发送的非接入层NAS服务请求消息,并对消息进行完整性保护校验;当完整性保护校验失败时,移动性管理实体MME对用户设备UE进行鉴权;鉴权通过后,移动性管理实体MME向基站ENB发送安全上下文建立请求;接收到基站ENB针对安全上下文建立请求返回的安全上下文建立响应时,移动性管理实体MME向服务网关SGW发送修改承载请求;移动性管理实体MME接收服务网关SGW在修改承载后返回的修改承载响应;用户设备UE依据所述修改承载响应接入核心网EPC。本申请通过将发送了完整性保护失败的NAS服务请求消息的UE与MME重新建立上下文的方法,使得UE能够再次接入网。
Description
技术领域
本申请涉及移动通信技术领域,特别是涉及一种LTE系统中UE接入核心网EPC的方法和一种LTE系统中UE接入核心网EPC的装置。
背景技术
参照图1是3GPP接入的非漫游接入框架,在LTE(Long TermEvolvement,长期演进)网络架构下,无线通信系统由无线接入网和核心网组成。无线接入网由ENB(Evolved NodeB,演进的NodeB基站)来实现,核心网由EPC实现。EPC(Evolved Packet Core,分组核心演进)由MME(Mobility Management Entity,移动性管理实体设备)、SGW(ServingGateWay,服务网关设备)、PGW(PDN GateWay,PDN网关设备)来实现。MME设备作为核心网的移动性管理实体,起着非常重要的作用。
在LTE架构下,移动用户UE(User Equipment)开机通过ENB发起附着,请求附着到EPC网络。在附着过程中,UE和网络会进行双向鉴权AKA(Authentication and Key Agreement procedure,鉴权和密钥协商过程)认证过程,在UE侧和网络侧都会建立EPS(Evolved Packet System,演进的分组系统)的安全上下文。UE附着成功后,便可以进行上网或者进行http下载业务。
当UE不上网或者不进行http下载业务一段时间后,ENB检测到该UE较长一段时间没有数据业务,就针对该UE向MME(Mobility ManagementEntity,移动性管理实体)发起S1UE CTX RLS(S1应用协议用户上下文释放)请求,MME收到ENB的该消息后,执行核心网侧的承载释放过程,该过程完成后,ENB把该UE的上下文就释放了。此后,UE要再进行上网或者进行http下载业务,就要向MME发NAS的服务请求Service Request消息,由于在之前的附着过程中,UE和网络已经建立的安全上下文,因此该NAS的Service Request消息需要在UE侧进行完整性保护。
MME侧收到该消息后,对该消息进行完整性保护校验,由于ENB将UE的上下文释放了,导致校验失败。一般情况下MME会向UE回复NAS(Non Access Stratum,非接入层)的Service Reject消息。在LTE建网的大规模试验中,UE收到MME回复的Service Reject消息后,又立刻给MME发Service Request消息,MME收到后对该消息完整性校验失败,又给UE回复Service Reject消息,UE收到该拒绝消息后,又立刻发起Service Request请求消息,这样来回往复,导致UE始终无法接入。
发明内容
鉴于上述问题,提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种LTE系统中UE接入核心网EPC的方法和相应的一种LTE系统中UE接入核心网EPC的装置。
为了解决上述问题,本申请实施例公开了一种长期演进LTE系统中用户设备UE接入核心网EPC的方法,所述EPC包括:移动性管理实体MME和服务网关SGW,所述方法包括:
所述移动性管理实体MME接收所述用户设备UE发送的非接入层NAS服务请求消息,并对所述消息进行完整性保护校验;
当所述完整性保护校验失败时,所述移动性管理实体MME对所述用户设备UE进行鉴权;
当鉴权通过后,所述移动性管理实体MME向基站ENB发送安全上下文建立请求;
当接收到所述基站ENB针对所述安全上下文建立请求返回的安全上下文建立响应时,所述移动性管理实体MME向所述服务网关SGW发送修改承载请求;所述服务网关SGW用于依据修改承载请求修改承载;
所述移动性管理实体MME接收所述服务网关SGW在修改承载后返回的修改承载响应;所述用户设备UE用于依据所述修改承载响应接入核心网EPC。
优选的,还包括:
当校验失败时,所述移动性管理实体MME停止向所述用户设备UE回复服务请求拒绝消息。
优选的,所述移动性管理实体MME接收所述用户设备UE发送的非接入层NAS服务请求消息,并对所述消息进行完整性保护校验的步骤包括:
所述移动性管理实体MME接收所述用户设备UE发送的非接入层NAS服务请求消息;
所述移动性管理实体MME采用预先获得的移动性管理实体MME安全上下文对所述非接入层NAS服务请求消息进行完整性保护校验;其中,所述非接入层NAS服务请求消息为通过预先获得的用户设备UE安全上下文进行完整性加密生成;当所述移动性管理实体MME安全上下文与所述用户设备UE安全上下文不匹配时,判定所述完整性保护校验失败。
优选的,所述移动性管理实体MME对用户设备UE进行鉴权的步骤包括:
所述移动性管理实体MME向归属签约用户服务器HSS发送鉴权数据请求AIR;
所述移动性管理实体MME接收所述归属签约用户服务器HHS针对所述鉴权数据请求AIR返回的包括鉴权向量的鉴权数据请求响应AIA;
所述移动性管理实体MME向所述用户设备UE发送用户鉴权请求AUTH Req;
所述移动性管理实体MME接收所述用户设备UE针对所述用户鉴权请求AUTH Req返回的用户鉴权响应AUTH Rsp;
所述移动性管理实体MME向所述用户设备UE发送带有非接入层NAS安全算法的安全模式命令消息SMC CMD;
所述移动性管理实体MME接收所述用户设备UE针对所述安全模式命令消息SMC CMD返回的安全模式命令完成消息SMC complete。
优选的,所述安全上下文包括:基站ENB的标识ID、鉴权信息、协商的加密算法、协商的完整性算法、承载信息。
同时,本申请还公开了一种长期演进LTE系统中用户设备UE接入核心网EPC的装置,所述EPC包括:移动性管理实体MME和服务网关SGW,所述装置包括:
位于所述移动性管理实体MME的接收校验模块,用于接收所述用户设备UE发送的非接入层NAS服务请求消息,并对所述消息进行完整性保护校验;
位于所述移动性管理实体MME的鉴权模块,用于当所述完整性保护校验失败时,对所述用户设备UE进行鉴权;
位于所述移动性管理实体MME的上下文请求发送模块,用于当鉴权通过后,向基站ENB发送安全上下文建立请求;
位于所述移动性管理实体MME的修改请求发送模块,用于当接收到所述基站ENB针对所述安全上下文建立请求返回的安全上下文建立响应时,向所述服务网关SGW发送修改承载请求;所述服务网关SGW用于依据修改承载请求修改承载;
位于所述移动性管理实体MME的修改响应接收模块,用于接收所述服务网关SGW在修改承载后返回的修改承载响应;所述用户设备UE用于依据所述修改承载响应接入核心网EPC。
优选的,还包括:
位于所述移动性管理实体MME的停止模块,用于当校验失败时,停止向所述用户设备UE回复服务请求拒绝消息。
优选的,所述接收校验模块包括:
服务请求接收子模块,用于接收所述用户设备UE发送的非接入层NAS服务请求消息;
上下文校验子模块,用于采用预先获得的移动性管理实体MME安全上下文对所述非接入层NAS服务请求消息进行完整性保护校验;其中,所述非接入层NAS服务请求消息为通过预先获得的用户设备UE安全上下文进行完整性加密生成;当所述移动性管理实体MME安全上下文与所述用户设备UE安全上下文不匹配时,判定所述完整性保护校验失败。
优选的,所述鉴权模块包括:
鉴权数据请求发送子模块,用于向归属签约用户服务器HSS发送鉴权数据请求AIR;
鉴权数据响应接收子模块,用于接收所述归属签约用户服务器HHS针对所述鉴权数据请求AIR返回的包括鉴权向量的鉴权数据请求响应AIA;
用户鉴权请求发送子模块,用于向所述用户设备UE发送用户鉴权请求AUTH Req;
用户鉴权响应接收子模块,用于接收所述用户设备UE针对所述用户鉴权请求AUTH Req返回的用户鉴权响应AUTH Rsp;
安全模式命令发送子模块,用于向所述用户设备UE发送带有非接入层NAS安全算法的安全模式命令消息SMC CMD;
安全模式命令接收子模块,用于接收所述用户设备UE针对所述安全模式命令消息SMC CMD返回的安全模式命令完成消息SMC complete。
优选的,所述安全上下文包括:基站ENB的标识ID、鉴权信息、协商的加密算法、协商的完整性算法、承载信息。
本申请实施例包括以下优点:
本申请通过将发送了完整性保护失败的NAS服务请求消息的UE与MME重新建立上下文的方法,使得UE能够再次接入网,提升了用户感知。
采用本申请的方法,使得MME与UE之间不会产生大量突发消息,避免造成网络瘫痪。
附图说明
图1是3GPP接入的非漫游接入框架;
图2是MME向HSS获取用户鉴权数据消息交互的示意图;
图3是EPS用户鉴权流程消息交互过程的示意图;
图4是NAS安全模式控制过程示意图;
图5是NAS消息校验失败造成UE和MME之间消息交互的示意图;
图6是本申请的一种长期演进LTE系统中用户设备UE接入核心网EPC的方法实施例的步骤流程图;
图7是本申请实施例中MME触发鉴权流程的消息流程图;
图8是本申请的长期演进LTE系统中用户设备UE接入核心网EPC的装置实施例的结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
在长期演进LTE网络内,MME和UE之间的NAS消息传输需要完整性保护和安全保护。MME可以根据UE上报的网络能力和MME配置的安全算法能力以及优先级来决定使用哪种安全算法。当MME把安全算法确定,并且跟UE把安全上下文建立成功之后,后续UE跟MME之间交互的所有NAS消息都要用该算法进行完整性保护和加密。
在UE发起初次附着流程中,MME向UE发起鉴权安全流程,以建立UE和网络之间的EPS(Evolved Packet System,演进分组系统)的NAS安全上下文。
参照图2是MME向HSS获取用户鉴权数据消息交互的示意图。首先MME需要跟HSS(Home Subscriber Server,归属地签约数据服务器)交互,MME向HSS发送AIR(authentication information request,鉴权向量请求)请求消息,请求HSS为该IMSI用户返回一个或者若干个EPS的鉴权向量AV(authentication vector),AIR请求消息包括:IMSI(International MobileSubscriber Identity,国际移动签约标识)、SN ID(server network identity,服务网标识)和Network Type(服务网类型)。HSS收到请求该消息后,检查该IMSI用户是否在HSS注册,如果有注册,那么获取出该IMSI的若干个EPS的鉴权向量发给MME。
MME收到HSS的AIA(authentication information answer,鉴权向量响应)的成功响应消息后,取出该消息中的所有的鉴权向量保存在MME本地。
参照图3是EPS用户鉴权流程消息交互过程的示意图,MME选择一组鉴权向量向UE发送用户鉴权请求AUTH Req(User authentication request)消息,图中,用户设备UE为带有USIM(Universal Subscriber Identity Module,全球用户识别卡)的ME(Mobile Equipment,移动设备),User authenticationrequest中包括:AUTN(鉴权参数)、RAND(随机序列)、KSI(KSIasme),KSI为MME为该组鉴权向量分配的唯一KEY的标识。
UE收到用户鉴权请求User authentication request后,向MME返回用户鉴权响应消息AUTH RSP(User authentication response)或用户鉴权拒接消息User authentication reject,用户鉴权拒接消息中包括有拒接的原因(CAUSE)。
MME收到UE的用户鉴权响应消息User authentication response后,用户鉴权EPSAKA流程成功执行。这时UE跟MME之间有了共同的安全上下文KASME,该KASME由唯一的标识KSI标示,但该安全上下文还处于未激活状态。MME需要激活该安全上下文。
这时MME需要根据算法集合中选择出优先级排列最高的NAS安全算法,并通过发起安全模式控制过程。参照图4是NAS安全模式控制过程示意图。MME将选择的算法以及UE支持的安全能力通过SMC(Security ModeCommand,安全模式命令)消息发送给终端设备(UE)。该SMC消息使用KSI标示的安全上下文来完整性保护,由于UE跟MME之间的安全上下文还没有激活,因此该SMC消息仅仅完整性保护,而不加密。MME发出SMC消息后,进行本地下行非接入层统计NAS COUNT的管理。
UE收到该带有完整性保护头的NAS消息,使用本地保存的KSI标示的安全上下文来解完整性保护,如果解完整性保护成功,并且UE又支持MME在该消息中选择的NAS的完保和加密算法,那么UE给MME回复安全模式命令完成SMC Complete消息。该SMC Complete消息要使用KSI标示的安全上下文完保和加密。UE发出该SMC Complete消息后,同样也要进行上行非接入层统计NAS COUNT的管理。
MME收到该既加密又完保的NAS消息后,使用本地当前的安全上下文,即ksi对应的安全上下文进行解完保和解密,判断出是SMC Complete消息。到此,UE跟MME之间的安全上下文成功建立并且已经激活。后续UE跟MME交互的任何NAS消息都要进行MME选择的NAS算法的完保和加密。
UE附着成功后,进行上网业务。结束上网一段时间后,ENB给MME发S1UE CTX RLS REQ消息,MME执行相应的S1释放流程,S1接口是ENB与EPC之间的通信接口。该S1释放过程完成后,UE想要再次进行上网业务,那UE就需要给MME发NAS的服务请求Service Request消息,并且按照上面描述的,该NAS消息必须进行增加完保头的完整性保护。MME收到该消息后,根据附着过程中SMC消息选择的NAS完整性保护算法对该消息进行完整性保护校验,若校验失败,则MME给UE回复服务请求拒绝消息。参照图5是NAS消息校验失败造成UE和MME之间消息交互的示意图,UE收到该服务请求拒绝消息后,又向MME发起带完整性保护头的NAS服务请求消息,MME再次完整性保护校验失败,给UE回复服务请求拒绝消息,UE收到该NAS的拒绝消息后,又向MME发起带完整性保护头的NAS服务请求消息,这样循环往复,导致UE始终不能再次接入核心网。
UE和MME之间形成了来回往复的消息环,UE和网络之间的消息来回交互,造成了UE和核心网网元MME之间消息往复死循环,始终无法停止。大量NAS消息通过ENB的空口资源进行传送,这对LTE-Uu口空口的资源造成了极大的浪费。消息的大量突发,还会造成网络瘫痪。其次,用户始终接入不了网络,不能再次进行上网等其他业务,降低了用户感知。
本申请实施例的核心构思之一在于,MME对接收到UE发送的NAS服务请求消息进行完整性保护校验,当校验失败时,MME对UE发起重新鉴权流程,鉴权完成后,MME向UE发起建立安全上下文流程,安全上下文建立后,MME向SGW发送承载修改流程,SGW修改承载后,UE重新接入核心网。
参照图6,示出了本申请的一种长期演进LTE系统中用户设备UE接入核心网EPC的方法实施例的步骤流程图,其中,所述EPC包括:移动性管理实体MME和服务网关SGW,所述方法具体可以包括如下步骤:
步骤601,所述移动性管理实体MME接收所述用户设备UE发送的非接入层NAS服务请求消息,并对所述消息进行完整性保护校验;
步骤602,当所述完整性保护校验失败时,所述移动性管理实体MME对所述用户设备UE进行鉴权;
步骤603,当鉴权通过后,所述移动性管理实体MME向基站ENB发送安全上下文建立请求;
步骤604,当接收到所述基站ENB针对所述安全上下文建立请求返回的安全上下文建立响应时,所述移动性管理实体MME向所述服务网关SGW发送修改承载请求;所述服务网关SGW用于依据修改承载请求修改承载;
步骤605,所述移动性管理实体MME接收所述服务网关SGW在修改承载后返回的修改承载响应;所述用户设备UE用于依据所述修改承载响应接入核心网EPC。
EPS中的核心网EPC由移动性管理实体MME、服务网关SGW、用于存储用户签约信息的归属用户服务器HSS等组成。
作为本申请实施例的一种优选示例,所述方法还包括:
当校验失败时,所述移动性管理实体MME停止向所述用户设备UE回复服务请求拒绝消息。
在本申请实施例中,MME接收UE发送的NAS服务请求消息,并对其进行完整性保护校验,当完整性保护校验失败时,为了阻止UE反复的向服务器发送请求消息,MME停止向UE回复服务请求拒绝消息。
MME对UE发起鉴权流程,当鉴权通过后,MME向ENB发送安全上下文建立请求,当MME接收到ENB针对安全上下文建立请求返回的安全上下文建立相应时,MME向SGW发送修改承载请求。在3GPP接入的非漫游接入框架,ENB通过S1-U接口与SGW建立承载。在申请实施例中,MME与ENB之间通过新的承载建立上下文,而SGW中存储的仍然是初始附着过程中建立的承载,因而需要在SGW将旧的承载修改为新的承载之后,SGW才能与ENB通信。
作为本申请实施例的一种优选示例,所述步骤601可以包括:
子步骤S11,所述移动性管理实体MME接收所述用户设备UE发送的非接入层NAS服务请求消息;
子步骤S12,所述移动性管理实体MME采用预先获得的移动性管理实体MME安全上下文对所述非接入层NAS服务请求消息进行完整性保护校验;其中,所述非接入层NAS服务请求消息为通过预先获得的用户设备UE安全上下文进行完整性加密生成;当所述移动性管理实体MME安全上下文与所述用户设备UE安全上下文不匹配时,判定所述完整性保护校验失败。
在本实施例中,MME接收UE发送的NAS服务请求消息,之后,MME采用初次附着时建立的安全上下文对NAS服务请求消息进行完整性保护校验。UE发送的NAS消息由UE通过初次附着时建立的安全上下文进行完整性保护。安全上下文是通过KSI来唯一标识的,MME需要使用本地存储的KSI对NAS服务请求进行完整性保护校验。只有当UE侧的KSI与MME侧的KSI相同,安全上下文才匹配。当MME侧的KSI与UE侧的KSI不相同时,完整性保护校验失败。引起MME侧的KSI与UE侧的KSI不相同的情况包括:ENB主动释放了MME侧的安全上下文或者其他原因引起的MME或UE侧的安全上下文丢失。
在申请实施例中,安全上下文具体包括:基站ENB的标识ID、鉴权信息、协商的加密算法、协商的完整性算法、承载信息。
参照图7,是本申请实施例中MME触发鉴权流程的消息流程图,在完整性保护校验失败后,MME向UE发起鉴权。所述移动性管理实体MME对用户设备UE进行鉴权的步骤包括:
子步骤S21,所述移动性管理实体MME向归属签约用户服务器HSS发送鉴权数据请求AIR;
子步骤S22,所述移动性管理实体MME接收所述归属签约用户服务器HHS针对所述鉴权数据请求AIR返回的包括鉴权向量的鉴权数据请求响应AIA;
子步骤S23,所述移动性管理实体MME向所述用户设备UE发送用户鉴权请求AUTH Req;
子步骤S24,所述移动性管理实体MME接收所述用户设备UE针对所述用户鉴权请求AUTH Req返回的用户鉴权响应AUTH Rsp;
子步骤S25,所述移动性管理实体MME向所述用户设备UE发送带有非接入层NAS安全算法的安全模式命令消息SMC CMD;
子步骤S26,所述移动性管理实体MME接收所述用户设备UE针对所述安全模式命令消息SMC CMD返回的安全模式命令完成消息SMCcomplete。
为了使本领域技术人员能够更好地理解本申请实施例,下面通过一个例子对本发明实施例加以说明:
MME接收UE发送的带安全头的NAS服务请求消息,该消息经UE采用初次附着过程中建立的安全上下文中的KSI标识进行完整性保护。当完整性保护校验失败时,为了阻止UE反复的发送服务请求消息,MME不立即给UE回复服务请求拒绝消息。而是对UE发起AKA鉴权流程,即MME向HSS发送所要鉴权向量的鉴权数据请求AIR。HSS在接收到AIR后,向MME回复带有鉴权向量的鉴权数据请求响应AIA。
MME获得鉴权向量后,向UE发送用户鉴权请求AUTH Req。UE在接收到用户鉴权请求AUTH Req后,向MME回复用户鉴权响应AUTH Rsp。然后,MME向UE发送发送带有非接入层NAS安全算法的安全模式命令消息SMC CMD。UE在接收到安全模式命令消息SMC CMD后,向MME回复安全模式命令完成消息SMC complete。然后,MME向ENB发送初始上下文建立请求,UE在收到初始上下文建立请求向MME回复初始上下文建立响应。最后MME想SGW发送修改承载请求,SGW收到修改承载请求后向MME回复修改承载响应,到此服务请求流程处理成功,UE重新接入核心网,UE可以继续上网、下载等其他网络提供的数据业务。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请实施例所必须的。
参照图8,示出了本申请的长期演进LTE系统中用户设备UE接入核心网EPC的装置实施例的结构框图,具体可以包括如下模块:
位于所述移动性管理实体MME的接收校验模块801,用于接收所述用户设备UE发送的非接入层NAS服务请求消息,并对所述消息进行完整性保护校验;
位于所述移动性管理实体MME的鉴权模块802,用于当所述完整性保护校验失败时,对所述用户设备UE进行鉴权;
位于所述移动性管理实体MME的上下文请求发送模块803,用于当鉴权通过后,向基站ENB发送安全上下文建立请求;
位于所述移动性管理实体MME的修改请求发送模块804,用于当接收到所述基站ENB针对所述安全上下文建立请求返回的安全上下文建立响应时,向所述服务网关SGW发送修改承载请求;所述服务网关SGW用于依据修改承载请求修改承载;
位于所述移动性管理实体MME的修改响应接收模块805,用于接收所述服务网关SGW在修改承载后返回的修改承载响应;所述用户设备UE用于依据所述修改承载响应接入核心网EPC。
作为本申请实施例的一种优选示例,还包括:
位于所述移动性管理实体MME的停止模块,用于当校验失败时,停止向所述用户设备UE回复服务请求拒绝消息。
在本申请实施例中,所述接收校验模块801可以包括:
服务请求接收子模块,用于接收所述用户设备UE发送的非接入层NAS服务请求消息;
上下文校验子模块,用于采用预先获得的移动性管理实体MME安全上下文对所述非接入层NAS服务请求消息进行完整性保护校验;其中,所述非接入层NAS服务请求消息为通过预先获得的用户设备UE安全上下文进行完整性加密生成;当所述移动性管理实体MME安全上下文与所述用户设备UE安全上下文不匹配时,判定所述完整性保护校验失败。
在本申请实施例中,所述鉴权模块802包括:
鉴权数据请求发送子模块,用于向归属签约用户服务器HSS发送鉴权数据请求AIR;
鉴权数据响应接收子模块,用于接收所述归属签约用户服务器HHS针对所述鉴权数据请求AIR返回的包括鉴权向量的鉴权数据请求响应AIA;
用户鉴权请求发送子模块,用于向所述用户设备UE发送用户鉴权请求AUTH Req;
用户鉴权响应接收子模块,用于接收所述用户设备UE针对所述用户鉴权请求AUTH Req返回的用户鉴权响应AUTH Rsp;
安全模式命令发送子模块,用于向所述用户设备UE发送带有非接入层NAS安全算法的安全模式命令消息SMC CMD;
安全模式命令接收子模块,用于接收所述用户设备UE针对所述安全模式命令消息SMC CMD返回的安全模式命令完成消息SMC complete。
在本申请实施例中,所述安全上下文包括:基站ENB的标识ID、鉴权信息、协商的加密算法、协商的完整性算法、承载信息。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本申请所提供的一种长期演进LTE系统中用户设备UE接入核心网EPC的方法和一种长期演进LTE系统中用户设备UE接入核心网EPC的装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种长期演进LTE系统中用户设备UE接入核心网EPC的方法,其特征在于,所述EPC包括:移动性管理实体MME和服务网关SGW,所述方法包括:
所述移动性管理实体MME接收所述用户设备UE发送的非接入层NAS服务请求消息,并对所述消息进行完整性保护校验;
当所述完整性保护校验失败时,所述移动性管理实体MME对所述用户设备UE进行鉴权;
当鉴权通过后,所述移动性管理实体MME向基站ENB发送安全上下文建立请求;
当接收到所述基站ENB针对所述安全上下文建立请求返回的安全上下文建立响应时,所述移动性管理实体MME向所述服务网关SGW发送修改承载请求;所述服务网关SGW用于依据修改承载请求修改承载;
所述移动性管理实体MME接收所述服务网关SGW在修改承载后返回的修改承载响应;所述用户设备UE用于依据所述修改承载响应接入核心网EPC。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当校验失败时,所述移动性管理实体MME停止向所述用户设备UE回复服务请求拒绝消息。
3.根据权利要求1所述的方法,其特征在于,所述移动性管理实体MME接收所述用户设备UE发送的非接入层NAS服务请求消息,并对所述消息进行完整性保护校验的步骤包括:
所述移动性管理实体MME接收所述用户设备UE发送的非接入层NAS服务请求消息;
所述移动性管理实体MME采用预先获得的移动性管理实体MME安全上下文对所述非接入层NAS服务请求消息进行完整性保护校验;其中,所述非接入层NAS服务请求消息为通过预先获得的用户设备UE安全上下文进行完整性加密生成;当所述移动性管理实体MME安全上下文与所述用户设备UE安全上下文不匹配时,判定所述完整性保护校验失败。
4.根据权利要求1或2或3所述的方法,其特征在于,所述移动性管理实体MME对用户设备UE进行鉴权的步骤包括:
所述移动性管理实体MME向归属签约用户服务器HSS发送鉴权数据请求AIR;
所述移动性管理实体MME接收所述归属签约用户服务器HHS针对所述鉴权数据请求AIR返回的包括鉴权向量的鉴权数据请求响应AIA;
所述移动性管理实体MME向所述用户设备UE发送用户鉴权请求AUTH Req;
所述移动性管理实体MME接收所述用户设备UE针对所述用户鉴权请求AUTH Req返回的用户鉴权响应AUTH Rsp;
所述移动性管理实体MME向所述用户设备UE发送带有非接入层NAS安全算法的安全模式命令消息SMC CMD;
所述移动性管理实体MME接收所述用户设备UE针对所述安全模式命令消息SMC CMD返回的安全模式命令完成消息SMC complete。
5.根据权利要求1或2或3所述的方法,其特征在于,所述安全上下文包括:基站ENB的标识ID、鉴权信息、协商的加密算法、协商的完整性算法、承载信息。
6.一种长期演进LTE系统中用户设备UE接入核心网EPC的装置,其特征在于,所述EPC包括:移动性管理实体MME和服务网关SGW,所述装置包括:
位于所述移动性管理实体MME的接收校验模块,用于接收所述用户设备UE发送的非接入层NAS服务请求消息,并对所述消息进行完整性保护校验;
位于所述移动性管理实体MME的鉴权模块,用于当所述完整性保护校验失败时,对所述用户设备UE进行鉴权;
位于所述移动性管理实体MME的上下文请求发送模块,用于当鉴权通过后,向基站ENB发送安全上下文建立请求;
位于所述移动性管理实体MME的修改请求发送模块,用于当接收到所述基站ENB针对所述安全上下文建立请求返回的安全上下文建立响应时,向所述服务网关SGW发送修改承载请求;所述服务网关SGW用于依据修改承载请求修改承载;
位于所述移动性管理实体MME的修改响应接收模块,用于接收所述服务网关SGW在修改承载后返回的修改承载响应;所述用户设备UE用于依据所述修改承载响应接入核心网EPC。
7.根据权利要求1所述的装置,其特征在于,所述装置还包括:
位于所述移动性管理实体MME的停止模块,用于当校验失败时,停止向所述用户设备UE回复服务请求拒绝消息。
8.根据权利要求1所述的装置,其特征在于,所述接收校验模块包括:
服务请求接收子模块,用于接收所述用户设备UE发送的非接入层NAS服务请求消息;
上下文校验子模块,用于采用预先获得的移动性管理实体MME安全上下文对所述非接入层NAS服务请求消息进行完整性保护校验;其中,所述非接入层NAS服务请求消息为通过预先获得的用户设备UE安全上下文进行完整性加密生成;当所述移动性管理实体MME安全上下文与所述用户设备UE安全上下文不匹配时,判定所述完整性保护校验失败。
9.根据权利要求1或2或3所述的装置,其特征在于,所述鉴权模块包括:
鉴权数据请求发送子模块,用于向归属签约用户服务器HSS发送鉴权数据请求AIR;
鉴权数据响应接收子模块,用于接收所述归属签约用户服务器HHS针对所述鉴权数据请求AIR返回的包括鉴权向量的鉴权数据请求响应AIA;
用户鉴权请求发送子模块,用于向所述用户设备UE发送用户鉴权请求AUTH Req;
用户鉴权响应接收子模块,用于接收所述用户设备UE针对所述用户鉴权请求AUTH Req返回的用户鉴权响应AUTH Rsp;
安全模式命令发送子模块,用于向所述用户设备UE发送带有非接入层NAS安全算法的安全模式命令消息SMC CMD;
安全模式命令接收子模块,用于接收所述用户设备UE针对所述安全模式命令消息SMC CMD返回的安全模式命令完成消息SMC complete。
10.根据权利要求1或2或3所述的装置,其特征在于,所述安全上下文包括:基站ENB的标识ID、鉴权信息、协商的加密算法、协商的完整性算法、承载信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510563746.8A CN106507348B (zh) | 2015-09-07 | 2015-09-07 | 一种lte系统中ue接入核心网epc的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510563746.8A CN106507348B (zh) | 2015-09-07 | 2015-09-07 | 一种lte系统中ue接入核心网epc的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106507348A true CN106507348A (zh) | 2017-03-15 |
| CN106507348B CN106507348B (zh) | 2019-11-22 |
Family
ID=58287038
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510563746.8A Active CN106507348B (zh) | 2015-09-07 | 2015-09-07 | 一种lte系统中ue接入核心网epc的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106507348B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018196705A1 (zh) * | 2017-04-25 | 2018-11-01 | 华为技术有限公司 | 网络安全保护方法、设备及系统 |
| CN109429236A (zh) * | 2017-07-05 | 2019-03-05 | 普天信息技术有限公司 | 一种核心网的资源管理方法及装置 |
| WO2019090711A1 (zh) * | 2017-11-10 | 2019-05-16 | Oppo广东移动通信有限公司 | 传输信息的方法、网络设备和终端设备 |
| WO2019191974A1 (en) * | 2018-04-04 | 2019-10-10 | Zte Corporation | Techniques to manage integrity protection |
| CN110831007A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 用户面完整性保护方法、装置及设备 |
| CN110891271A (zh) * | 2018-09-10 | 2020-03-17 | 大唐移动通信设备有限公司 | 一种鉴权方法及装置 |
| CN111417117A (zh) * | 2019-04-29 | 2020-07-14 | 华为技术有限公司 | 切换的处理方法和装置 |
| CN113141608A (zh) * | 2017-03-31 | 2021-07-20 | 华为技术有限公司 | 一种通信方法及设备 |
| CN115065998A (zh) * | 2021-12-22 | 2022-09-16 | 荣耀终端有限公司 | 通话处理方法及装置 |
| CN116033541A (zh) * | 2020-12-30 | 2023-04-28 | 展讯通信(上海)有限公司 | 一种网络注册方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100002026A (ko) * | 2008-06-27 | 2010-01-06 | 한국건설기술연구원 | 센서 네트워크에서의 게이트웨이 장애 관리 및 센서노드 부하 분산 방법 |
| CN102281591A (zh) * | 2010-06-13 | 2011-12-14 | 中兴通讯股份有限公司 | 一种数据缓存的方法和系统 |
| CN102333386A (zh) * | 2011-10-20 | 2012-01-25 | 大唐移动通信设备有限公司 | 终端附着方法和设备 |
| CN102448186A (zh) * | 2010-10-14 | 2012-05-09 | 中兴通讯股份有限公司 | 一种中继节点启动的方法及其实现系统 |
| CN102711218A (zh) * | 2011-03-28 | 2012-10-03 | 中兴通讯股份有限公司 | 接入网网元、接入网络系统及接入方法 |
| CN102833741A (zh) * | 2011-06-13 | 2012-12-19 | 中兴通讯股份有限公司 | 一种安全参数修改方法及基站 |
| US20130051338A1 (en) * | 2011-08-24 | 2013-02-28 | Ki Seon Ryu | Method and apparatus for transmitting uplink data associated with mtc device trigger function |
| FR3011654A1 (fr) * | 2013-10-08 | 2015-04-10 | Commissariat Energie Atomique | Procede et dispositif d'authentification et d'execution securisee de programmes |
-
2015
- 2015-09-07 CN CN201510563746.8A patent/CN106507348B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100002026A (ko) * | 2008-06-27 | 2010-01-06 | 한국건설기술연구원 | 센서 네트워크에서의 게이트웨이 장애 관리 및 센서노드 부하 분산 방법 |
| CN102281591A (zh) * | 2010-06-13 | 2011-12-14 | 中兴通讯股份有限公司 | 一种数据缓存的方法和系统 |
| CN102448186A (zh) * | 2010-10-14 | 2012-05-09 | 中兴通讯股份有限公司 | 一种中继节点启动的方法及其实现系统 |
| CN102711218A (zh) * | 2011-03-28 | 2012-10-03 | 中兴通讯股份有限公司 | 接入网网元、接入网络系统及接入方法 |
| CN102833741A (zh) * | 2011-06-13 | 2012-12-19 | 中兴通讯股份有限公司 | 一种安全参数修改方法及基站 |
| US20130051338A1 (en) * | 2011-08-24 | 2013-02-28 | Ki Seon Ryu | Method and apparatus for transmitting uplink data associated with mtc device trigger function |
| CN102333386A (zh) * | 2011-10-20 | 2012-01-25 | 大唐移动通信设备有限公司 | 终端附着方法和设备 |
| FR3011654A1 (fr) * | 2013-10-08 | 2015-04-10 | Commissariat Energie Atomique | Procede et dispositif d'authentification et d'execution securisee de programmes |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113141608A (zh) * | 2017-03-31 | 2021-07-20 | 华为技术有限公司 | 一种通信方法及设备 |
| US11259185B2 (en) | 2017-03-31 | 2022-02-22 | Huawei Technologies Co., Ltd. | Communication method and device |
| CN108738015A (zh) * | 2017-04-25 | 2018-11-02 | 华为技术有限公司 | 网络安全保护方法、设备及系统 |
| WO2018196705A1 (zh) * | 2017-04-25 | 2018-11-01 | 华为技术有限公司 | 网络安全保护方法、设备及系统 |
| CN108738015B (zh) * | 2017-04-25 | 2021-04-09 | 华为技术有限公司 | 网络安全保护方法、设备及系统 |
| CN109429236A (zh) * | 2017-07-05 | 2019-03-05 | 普天信息技术有限公司 | 一种核心网的资源管理方法及装置 |
| WO2019090711A1 (zh) * | 2017-11-10 | 2019-05-16 | Oppo广东移动通信有限公司 | 传输信息的方法、网络设备和终端设备 |
| US11553344B2 (en) | 2017-11-10 | 2023-01-10 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Information transmission method, network device and terminal device |
| WO2019191974A1 (en) * | 2018-04-04 | 2019-10-10 | Zte Corporation | Techniques to manage integrity protection |
| US11770467B2 (en) | 2018-04-04 | 2023-09-26 | Zte Corporation | Techniques to manage integrity protection |
| US11711455B2 (en) | 2018-04-04 | 2023-07-25 | Zte Corporation | Techniques to manage integrity protection |
| CN110831007A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 用户面完整性保护方法、装置及设备 |
| CN114071466A (zh) * | 2018-08-10 | 2022-02-18 | 华为技术有限公司 | 用户面完整性保护方法、装置及设备 |
| CN110891271B (zh) * | 2018-09-10 | 2021-06-11 | 大唐移动通信设备有限公司 | 一种鉴权方法及装置 |
| CN110891271A (zh) * | 2018-09-10 | 2020-03-17 | 大唐移动通信设备有限公司 | 一种鉴权方法及装置 |
| CN111417117B (zh) * | 2019-04-29 | 2021-03-02 | 华为技术有限公司 | 切换的处理方法和装置 |
| US11576092B2 (en) | 2019-04-29 | 2023-02-07 | Huawei Technologies Co., Ltd. | Handover handling method and apparatus |
| CN111417117A (zh) * | 2019-04-29 | 2020-07-14 | 华为技术有限公司 | 切换的处理方法和装置 |
| CN116033541A (zh) * | 2020-12-30 | 2023-04-28 | 展讯通信(上海)有限公司 | 一种网络注册方法及装置 |
| CN115065998A (zh) * | 2021-12-22 | 2022-09-16 | 荣耀终端有限公司 | 通话处理方法及装置 |
| CN115065998B (zh) * | 2021-12-22 | 2023-04-11 | 荣耀终端有限公司 | 通话处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106507348B (zh) | 2019-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106507348A (zh) | 一种lte系统中ue接入核心网epc的方法和装置 | |
| US11178584B2 (en) | Access method, device and system for user equipment (UE) | |
| US8929865B2 (en) | Optimizing user device context for mobility management entity (MME) resiliency | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| CN102318386B (zh) | 向网络的基于服务的认证 | |
| US9270672B2 (en) | Performing a group authentication and key agreement procedure | |
| CN113225176B (zh) | 密钥获取方法及装置 | |
| CN103313239B (zh) | 一种用户设备接入融合核心网的方法及系统 | |
| US20180034635A1 (en) | GPRS System Key Enhancement Method, SGSN Device, UE, HLR/HSS, and GPRS System | |
| JP2017520203A (ja) | 無線アクセス・ネットワークからセキュリティを提供する方法およびシステム。 | |
| CN101951590B (zh) | 认证方法、装置及系统 | |
| CN109560919A (zh) | 一种密钥衍生算法的协商方法及装置 | |
| EP3550780B1 (en) | Verification method and apparatus for key requester | |
| CN107104932A (zh) | 密钥更新方法、装置及系统 | |
| US10897707B2 (en) | Methods and apparatus for direct communication key establishment | |
| KR20230101818A (ko) | 검증된 디지털 아이덴티티를 사용한 가입 온보딩 | |
| KR101892882B1 (ko) | Lte 네트워크에 접속하는 방법, 전자 기기 및 컴퓨터 저장 매체 | |
| WO2023213301A1 (zh) | 鉴权方法、通信装置和计算机可读存储介质 | |
| CN115428495A (zh) | 在eap过程中的通知 | |
| CN110087338A (zh) | 一种窄带物联网进行鉴权的方法及设备 | |
| CN110226319A (zh) | 用于紧急接入期间的参数交换的方法和设备 | |
| EP4203392A1 (en) | Authentication support for an electronic device to connect to a telecommunications network | |
| CN106487940B (zh) | 家庭基站及ip配置的方法 | |
| CN109688581A (zh) | 一种数据的安全传输方法及装置 | |
| CN116528234B (zh) | 一种虚拟机的安全可信验证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |