CN107635225A - 安全管理系统 - Google Patents
安全管理系统 Download PDFInfo
- Publication number
- CN107635225A CN107635225A CN201610552757.0A CN201610552757A CN107635225A CN 107635225 A CN107635225 A CN 107635225A CN 201610552757 A CN201610552757 A CN 201610552757A CN 107635225 A CN107635225 A CN 107635225A
- Authority
- CN
- China
- Prior art keywords
- entity
- management
- nas
- functional entity
- connection management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
Abstract
本发明提供了一种安全管理系统,该系统包括:连接管理功能实体,分别与RAN和移动性管理实体连接,用于对非接入层NAS消息进行安全管理,其中,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体和会话管理功能SMF的逻辑实体。通过该系统,至少解决了相关技术中会话管理的NAS消息都需要经过移动性管理功能,导致会话管理功能实体和移动性管理功能实体的耦合性过于紧密、灵活性较差的问题。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种安全管理系统。
背景技术
移动通信目前已经发展到4G阶段。4G的网络架构和前几代相比,主要特点是基于全IP传输。图1是相关技术中4G网络架构的示意图。如图1所示,该网络架构中各网元的功能如下:
终端(User Equipment,简称为UE):主要通过无线空口接入4G网络并获得服务,终端通过空口和基站交互信息,通过非接入层信令NAS(全称为Non-access stratum)和核心网的移动性管理实体交互信息;
基站(Radio Access Network,RAN):负责终端接入网络的空口资源调度和空口的连接管理;
移动性管理实体:核心网控制面实体,主要负责对用户的鉴权、授权以及签约检查,以保证用户是合法用户;完成对NAS消息的完整性保护和加密;用户移动性管理,包括用户注册,位置更新和临时标识分配;连接管理,维护IDLE和CONNECT状态以及状态迁移;在CONNECT状态下的切换;会话管理,包括公用数据网(Public Data Network,简称PDN)连接以及承载的维护,包括创建、修改和删除等;用户IDLE状态下触发寻呼等功能;
服务网关(即Serving GateWay):核心网用户面功能实体,主要负责漫游情况下和PDN GW的交互;用户IDLE状态下收到下行数据包进行缓存并通知MME寻呼用户;跨基站的用户面锚点以及跨2G/3G/4G移动性的用户面锚点等功能;
分组数据网关(即PDN GateWay):核心网用户面功能实体,是终端接入PDN网络的接入点,负责分配用户IP地址,网络触发的承载建立、修改和删除,还具有服务质量(Quality of Service,简称QoS)控制计费等功能,是用户在3GPP系统内以及非3GPP系统之间切换的锚点,从而保证IP地址不变,保证业务连续性。
因为4G主要为人和人服务,到了5G时代,随着对物和物之间通讯的支持,对移动网络的需求更加多样。特别是随着虚拟化技术的应用,一种网络功能可以很方便地部署到虚拟机上,对原有网络功能进行重新拆分,然后组合为新的逻辑实体,使各种功能可以更方便地独立部署,是网络演进的一个方向。
但是目前,由于安全功能处理通常在移动性管理功能实体中实现,而所有的会话管理的NAS消息都需要加解密和完整性保护处理,因此所有会话管理的消息都需要经过移动性管理功能,这导致会话管理功能实体和移动性管理功能实体的耦合性过于紧密、灵活性较差。
针对相关技术中会话管理的NAS消息都需要经过移动性管理功能,导致会话管理功能实体和移动性管理功能实体的耦合性过于紧密、灵活性较差的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种安全管理系统,以至少解决相关技术中会话管理的NAS消息都需要经过移动性管理功能,导致会话管理功能实体和移动性管理功能实体的耦合性过于紧密、灵活性较差的问题。
根据本发明的一个实施例,提供了一种安全管理系统,包括:连接管理功能实体,分别与RAN和移动性管理实体连接,用于对非接入层NAS消息进行安全管理,其中,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体和会话管理功能SMF的逻辑实体。
可选地,连接管理功能实体还用于维护用户设备UE的连接状态,其中,连接状态包括以下至少之一:空闲IDLE状态;连接CONNECT状态;状态迁移。
可选地,在连接状态为IDLE状态的情况下,连接管理功能实体用于维护UE的安全管理上下文;和/或在连接状态为CONNECT状态的情况下,连接管理功能实体用于维护UE的连接管理上下文和UE的安全管理上下文。
可选地,安全管理上下文包括以下至少之一:加密秘钥、解密秘钥、完整性保护秘钥、加解密算法、完整性保护算法;和/或连接管理上下文包括以下至少之一:RAN的ID;连接管理功能实体和RAN之间进行信令交互时UE的标识;MMF的逻辑实体的ID;连接管理功能实体和MMF的逻辑实体之间进行信令交互时UE的标识;SMF的逻辑实体的ID;连接管理功能实体和SMF的逻辑实体之间进行信令交互时UE的标识。
可选地,连接管理功能实体用于对UE发送的用于移动性管理的NAS消息进行解密处理和/或完整性保护处理,并将经过解密处理和/或完整性保护处理之后的用于移动性管理的NAS消息投递至MMF的逻辑实体;和/或连接管理功能实体用于对UE发送的用于会话管理的NAS消息进行解密处理和/或完整性保护处理,并将经过解密处理和/或完整性保护处理之后的用于会话管理的NAS消息投递至SMF的逻辑实体;和/或连接管理功能实体用于对MMF的逻辑实体或者SMF的逻辑实体发送的NAS消息进行加密处理和/或完整性保护处理,并将经过加密处理和/或完整性保护处理之后的NAS消息经RAN投递至UE。
根据本发明的另一个实施例,提供了一种用户设备的注册方法,包括:连接管理功能实体对与用户设备UE注册相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;连接管理功能实体基于安全管理对UE进行注册。
可选地,连接管理功能实体对与用户设备UE注册相关的非接入层NAS消息执行安全管理包括:连接管理功能实体接收MMF的逻辑实体发送的NAS安全模式请求消息,并将NAS安全模式请求消息发送至UE;连接管理功能实体接收UE发送的NAS安全模式响应消息,并对NAS安全模式响应消息进行解密处理和完整性保护处理。
可选地,还包括:连接管理功能实体创建UE的安全管理上下文。
可选地,在对NAS安全模式响应消息进行解密和完整性保护处理之后,还包括:连接管理功能实体发送经过解密处理和完整性保护处理的NAS安全模式响应消息至MMF的逻辑实体;连接管理功能实体接收MMF的逻辑实体发送的NAS注册接受消息,并对NAS注册接受消息进行加密处理和完整性保护处理;连接管理功能实体将经过加密处理和完整性保护处理之后的NAS注册接受消息发送至UE。
可选地,在连接管理功能实体接收MMF的逻辑实体发送的NAS安全模式请求消息之前,还包括:连接管理功能实体接收MMF的逻辑实体发送的NAS鉴权请求消息,并将鉴权请求消息发送至UE;连接管理功能实体接收UE发送的NAS鉴权响应消息,并将NAS鉴权响应消息发送至MMF的逻辑实体。
可选地,在连接管理功能实体接收MMF的逻辑实体发送的NAS鉴权请求消息之前,还包括:连接管理功能实体接收RAN发送的用于UE请求注册的NAS注册请求消息;连接管理功能实体根据UE的标识确定MMF的逻辑实体,并将NAS注册请求消息发送至MMF的逻辑实体。
根据本发明的另一个实施例,提供了一种用户设备的位置更新方法,包括:连接管理功能实体对与用户设备UE位置更新相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;连接管理功能实体基于安全管理对UE进行位置更新。
可选地,连接管理功能实体对与用户设备UE位置更新相关的非接入层NAS消息执行安全管理包括:连接管理功能实体接收RAN发送的用于请求UE位置更新的NAS位置更新请求;连接管理功能实体对NAS位置更新请求进行完整性保护处理,并将经过完整性保护处理的NAS位置更新请求发送至MMF的逻辑实体;连接管理功能实体接收MMF的逻辑实体发送的NAS位置更新接受消息,并对NAS位置更新接受消息进行加密处理和完整性保护处理;连接管理功能实体将经过加密处理和完整性保护处理的NAS位置更新接受消息发送至UE。
可选地,还包括:连接管理功能实体创建UE的安全管理上下文。
可选地,在将经过完整性保护处理的NAS位置更新请求发送至MMF的逻辑实体之前,还包括:连接管理功能实体根据UE的标识确定MMF的逻辑实体。
根据本发明的另一个实施例,提供了一种用户设备的注销方法,包括:连接管理功能实体对与用户设备UE注销相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体、会话管理功能SMF的逻辑实体;连接管理功能实体基于安全管理对UE进行注销。
可选地,连接管理功能实体对与用户设备UE注销相关的非接入层NAS消息执行安全管理包括:连接管理功能实体接收RAN发送的NAS注销请求消息;连接管理功能实体根据UE的安全管理上下文对NAS注销请求消息进行完整性保护处理,并将经过完整性保护处理的NAS注销请求消息发送至SMF的逻辑实体;连接管理功能实体接收SMF的逻辑实体发送的NAS注销接受消息,并对NAS注销接受消息进行加密处理和完整性保护处理;连接管理功能实体将经过加密处理和完整性保护处理的NAS注销接受消息发送至UE。
可选地,该方法还包括:连接管理功能实体删除UE的安全管理上下文。
可选地,将经过完整性保护处理的NAS注销请求消息发送至SMF的逻辑实体包括:连接管理功能实体经MMF的逻辑实体将经过完整性保护处理的NAS注销请求消息发送至SMF的逻辑实体。
可选地,该方法还包括以下至少之一:连接管理功能实体接收MMF的逻辑实体发送的连接释放命令消息;连接管理功能实体向RAN发送连接释放命令消息,并接收RAN发送的连接释放完成消息;连接管理功能实体删除UE的连接管理上下文;连接管理功能实体发送连接释放完成消息至MMF的逻辑实体。
可选地,在连接管理功能实体经MMF的逻辑实体将经过完整性保护处理的NAS注销请求消息发送至SMF的逻辑实体之前,还包括:连接管理功能实体根据UE的标识确定MMF的逻辑实体。
根据本发明的另一个实施例,提供了一种用户设备的会话建立方法,包括:连接管理功能实体对与用户设备UE建立会话相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:会话管理功能SMF的逻辑实体;连接管理功能实体基于安全管理为UE建立会话。
可选地,连接管理功能实体对与用户设备UE建立会话相关的非接入层NAS消息执行安全管理包括:连接管理功能实体接收RAN发送的NAS会话建立请求消息,连接管理功能实体根据UE的安全管理上下文对NAS会话建立请求消息进行解密处理和完整性保护处理;连接管理功能实体将经过解密处理和完整性保护处理的NAS会话建立请求消息发送至SMF的逻辑实体。
可选地,在连接管理功能实体将经过解密处理和完整性保护处理的NAS会话建立请求消息发送至SMF的逻辑实体之后,还包括:连接管理功能实体接收SMF的逻辑实体发送的无线承载资源建立请求消息,其中,无线承载资源建立请求消息携带有NAS激活默认承载请求信息;连接管理功能实体对NAS激活默认承载请求信息进行加密处理和完整性保护处理,并将经过加密处理和完整性保护处理的NAS激活默认承载请求信息发送至RAN;连接管理功能实体接收RAN发送的无线承载资源建立响应消息,并向SMF的逻辑实体发送无线承载资源建立响应消息。
可选地,在将经过加密处理和完整性保护处理的NAS激活默认承载请求信息发送至RAN之后,还包括:连接管理功能实体接收RAN发送的激活默认承载接受消息;连接管理功能实体根据UE的安全管理上下文对激活默认承载接受消息进行解密处理和完整性保护处理,并将经过解密处理和完整性保护处理的激活默认承载接受消息发送至SMF的逻辑实体。
根据本发明的另一个实施例,提供了一种功能实体,分别与RAN和移动性管理实体连接,用于对非接入层NAS消息进行安全管理,其中,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体和会话管理功能SMF的逻辑实体。
根据本发明的另一个实施例,提供了一种用户设备的注册装置,包括:安全管理模块,用于对与用户设备UE注册相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;注册模块,用于基于安全管理对UE进行注册。
根据本发明的另一个实施例,提供了一种用户设备的位置更新装置,包括:安全管理模块,用于对与用户设备UE位置更新相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;位置更新模块,用于基于安全管理对UE进行位置更新。
根据本发明的另一个实施例,提供了一种用户设备的注销装置,包括:安全管理模块,用于对与用户设备UE注销相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体、会话管理功能SMF的逻辑实体;注销模块,用于基于安全管理对UE进行注销。
根据本发明的另一个实施例,提供了一种用户设备的会话建立装置,包括:安全管理模块,用于对与用户设备UE建立会话相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:会话管理功能SMF的逻辑实体;会话建立模块,用于基于安全管理为UE建立会话。
根据本发明的又一个实施例,还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码:连接管理功能实体对与用户设备UE注册相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;连接管理功能实体基于安全管理对UE进行注册。
根据本发明的又一个实施例,还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码:连接管理功能实体对与用户设备UE位置更新相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;连接管理功能实体基于安全管理对UE进行位置更新。
根据本发明的又一个实施例,还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码:连接管理功能实体对与用户设备UE注销相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体、会话管理功能SMF的逻辑实体;连接管理功能实体基于安全管理对UE进行注销。
根据本发明的又一个实施例,还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码:连接管理功能实体对与用户设备UE建立会话相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:会话管理功能SMF的逻辑实体;连接管理功能实体基于安全管理为UE建立会话。
通过本发明,由于将加、解密和完整性保护的处理放到连接管理功能实体,使得会话管理功能的消息可以不经过移动性管理功能的逻辑实体,从而使移动性管理功能的逻辑实体和会话管理功能的逻辑实体的耦合性降低,进而提高了系统部署的灵活性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是相关技术中4G网络架构的示意图;
图2提供了根据本发明实施例的安全管理系统的框架图;
图3是根据本发明实施例的一种安全管理系统的示意图;
图4是根据本发明实施例的用户设备的注册方法的流程图;
图5是根据本发明实施例的用户设备的位置更新方法的流程图;
图6是根据本发明实施例的用户设备的注销方法的流程图;
图7是根据本发明实施例的用户设备的会话建立方法的流程图;
图8是根据本发明实施例的用户设备的注册方法的示意图;
图9是根据本发明实施例的用户设备的位置更新方法的示意图;
图10是根据本发明实施例的用户设备的注销方法的示意图;
图11是根据本发明实施例的用户设备的会话连接建立方法的示意图;
图12是根据本发明实施例的用户设备的注册装置的结构框图;
图13是根据本发明实施例的用户设备的位置更新装置的结构框图;
图14是根据本发明实施例的用户设备的注销装置的结构框图;
图15是根据本发明实施例的用户设备的会话建立装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
由于移动性管理功能(Mobile Management,简称MM)和会话管理功能(Session Management,简称SM)被拆分为两个独立的逻辑实体。由于安全功能处理通常在移动性管理功能实体中实现,而所有的会话管理的NAS消息都需要加解密和完整性保护处理,因此所有会话管理的消息都需要经过移动性管理功能,这导致会话管理功能实体和移动性管理功能实体的耦合性过于紧密、灵活性较差。为了克服上述问题,本申请提供了一种安全管理系统。
图2提供了根据本发明实施例的安全管理系统的框架图。如图2所示,该系统包括:用户设备UE;基站RAN;连接管理功能实体(简称为CMF,用于用户连接状态维护、加解密和完整性保护处理等);移动性管理功能实体(简称为MMF);会话管理功能实体(简称为SMF);以及鉴权数据和签约数据管理功能实体。
在该实施例中,连接管理功能实体可以作为一个独立的逻辑实体,用于完成对NAS信令的加解密和完整性保护。
另外,连接管理功能实体还可以用于维护RAN和核心网功能之间UE的连接状态,其中,连接状态包括IDLE状态、CONNECT状态和状态迁移等。
其中,UE处于IDLE态时,连接管理功能实体可保存该UE的安全管理上下文信息,其中,安全管理上下文包括该UE的加解密秘钥和完整性保护秘钥,加解密算法和完整性保护算法等信息。
UE处于CONNECT状态时,连接管理功能实体可保存UE的连接管理上下文和安全管理上下文,连接管理上下文包括该UE目前服务的RAN的ID,连接管理功能实体和RAN侧对该UE的信令交互时的用户相关标识,该UE目前服务的移动性管理功能的ID,连接管理功能实体和移动性管理功能的逻辑实体对该UE的信令交互时的用户相关标识,该UE目前服务的会话管理功能的逻辑实体的ID,连接管理功能实体和会话管理功能的逻辑实体对该UE的信令交互时的用户相关标识等信息。
另外,对于UE发送的NAS消息中的移动性管理消息,连接管理功能实体统一进行解密和完整性保护处理之后再投递至移动性管理功能的逻辑实体。对于UE发送的NAS消息中的会话管理消息,连接管理功能实体统一进行解密和完整性保护处理之后再投递至会话管理功能的逻辑实体。对于移动性管理功能的逻辑实体和会话管理功能的逻辑实体发送的NAS消息,连接管理功能实体统一进行加密和完整性保护处理之后再经过RAN投递至UE。
需要说明的是,该系统包括但不仅限于上述的功能实体。
通过上述实施例,由于将加解密和完整性保护的处理放到连接管理功能实体(Connection Management Function,简称为CMF),使得会话管理功能(Session Management Function,简称为SMF)逻辑实体的消息可以不经过移动性管理功能(Mobility Management Function,简称为MMF)逻辑实体,从而使移动性管理功能的逻辑实体和会话管理功能的逻辑实体的耦合性降低,从而提高系统部署的灵活性,特别是能够提升系统在虚拟化技术下部署的灵活性。
在本实施例中提供了一种安全管理系统,图3是根据本发明实施例的一种安全管理系统的示意图,如图3所示,该系统包括:
连接管理功能实体32,分别与RAN 30和移动性管理实体34连接,用于对非接入层NAS消息进行安全管理,其中,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体和会话管理功能SMF的逻辑实体。
通过该实施例,由于将加、解密和完整性保护的处理放到连接管理功能实体32,使得会话管理功能的消息(或者其他功能实体或者模块的消息)可以不经过移动性管理功能的逻辑实体,从而使移动性管理功能的逻辑实体和会话管理功能的逻辑实体的耦合性降低,进而提高了系统部署的灵活性。
在上述实施例中,可选地,连接管理功能实体还用于维护用户设备UE的连接状态,其中,连接状态包括以下至少之一:空闲IDLE状态;连接CONNECT状态;状态迁移。
在上述实施例中,可选地,在连接状态为IDLE状态的情况下,连接管理功能实体用于维护UE的安全管理上下文;和/或在连接状态为CONNECT状态的情况下,连接管理功能实体用于维护UE的连接管理上下文和UE的安全管理上下文。上述的维护包括创建、删除、查找、更新等操作。
在上述实施例中,可选地,安全管理上下文包括以下至少之一:加密秘钥、解密秘钥、完整性保护秘钥、加解密算法、完整性保护算法;和/或连接管理上下文包括以下至少之一:RAN的ID;连接管理功能实体和RAN之间进行信令交互时UE的标识;MMF的逻辑实体的ID;连接管理功能实体和MMF的逻辑实体之间进行信令交互时UE的标识;SMF的逻辑实体的ID;连接管理功能实体和SMF的逻辑实体之间进行信令交互时UE的标识。
在上述实施例中,可选地,连接管理功能实体用于对UE发送的用于移动性管理的NAS消息进行解密处理和/或完整性保护处理,并将经过解密处理和/或完整性保护处理之后的用于移动性管理的NAS消息投递至MMF的逻辑实体;和/或连接管理功能实体用于对UE发送的用于会话管理的NAS消息进行解密处理和/或完整性保护处理,并将经过解密处理和/或完整性保护处理之后的用于会话管理的NAS消息投递至SMF的逻辑实体;和/或连接管理功能实体用于对MMF的逻辑实体或者SMF的逻辑实体发送的NAS消息进行加密处理和/或完整性保护处理,并将经过加密处理和/或完整性保护处理之后的NAS消息经RAN投递至UE。
根据本发明的另一个实施例,还提供了一种用户设备的注册方法,如图4所示,该方法包括:
步骤S402,连接管理功能实体对与用户设备UE注册相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;
步骤S404,连接管理功能实体基于安全管理对UE进行注册。
通过该实施例,由于将加、解密和完整性保护的处理放到连接管理功能实体,从而在UE的注册过程中,解密和完整性保护的处理过程无需经过移动性管理功能的逻辑实体,提高了移动性管理功能的逻辑实体部署的灵活性。
在上述实施例中,可选地,连接管理功能实体对与用户设备UE注册相关的非接入层NAS消息执行安全管理包括:连接管理功能实体接收MMF的逻辑实体发送的NAS安全模式请求消息,并将NAS安全模式请求消息发送至UE;连接管理功能实体接收UE发送的NAS安全模式响应消息,并对NAS安全模式响应消息进行解密处理和完整性保护处理。
在上述实施例中,可选地,还可以包括:连接管理功能实体创建UE的安全管理上下文。
在上述实施例中,可选地,在对NAS安全模式响应消息进行解密和完整性保护处理之后,还可以包括:连接管理功能实体发送经过解密处理和完整性保护处理的NAS安全模式响应消息至MMF的逻辑实体;连接管理功能实体接收MMF的逻辑实体发送的NAS注册接受消息,并对NAS注册接受消息进行加密处理和完整性保护处理;连接管理功能实体将经过加密处理和完整性保护处理之后的NAS注册接受消息发送至UE。
在上述实施例中,可选地,在连接管理功能实体接收MMF的逻辑实体发送的NAS安全模式请求消息之前,还可以包括:连接管理功能实体接收MMF的逻辑实体发送的NAS鉴权请求消息,并将鉴权请求消息发送至UE;连接管理功能实体接收UE发送的NAS鉴权响应消息,并将NAS鉴权响应消息发送至MMF的逻辑实体。
在上述实施例中,可选地,在连接管理功能实体接收MMF的逻辑实体发送的NAS鉴权请求消息之前,还可以包括:连接管理功能实体接收RAN发送的用于UE请求注册的NAS注册请求消息;连接管理功能实体根据UE的标识确定MMF的逻辑实体,并将NAS注册请求消息发送至MMF的逻辑实体。
根据本发明的另一个实施例,还提供了一种用户设备的位置更新方法,如图5所示,该方法包括:
步骤S502,连接管理功能实体对与用户设备UE位置更新相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;
步骤S504,连接管理功能实体基于安全管理对UE进行位置更新。
通过该实施例,由于将加、解密和完整性保护的处理放到连接管理功能实体,从而在UE的位置更新过程中,解密和完整性保护的处理过程无需经过移动性管理功能的逻辑实体,提高了移动性管理功能的逻辑实体部署的灵活性。
在上述实施例中,可选地,连接管理功能实体对与用户设备UE位置更新相关的非接入层NAS消息执行安全管理包括:连接管理功能实体接收RAN发送的用于请求UE位置更新的NAS位置更新请求;连接管理功能实体对NAS位置更新请求进行完整性保护处理,并将经过完整性保护处理的NAS位置更新请求发送至MMF的逻辑实体;连接管理功能实体接收MMF的逻辑实体发送的NAS位置更新接受消息,并对NAS位置更新接受消息进行加密处理和完整性保护处理;连接管理功能实体将经过加密处理和完整性保护处理的NAS位置更新接受消息发送至UE。
在上述实施例中,可选地,还包括:连接管理功能实体创建UE的安全管理上下文。
在上述实施例中,可选地,在将经过完整性保护处理的NAS位置更新请求发送至MMF的逻辑实体之前,还包括:连接管理功能实体根据UE的标识确定MMF的逻辑实体。
根据本发明的另一个实施例,还提供了一种用户设备的注销方法,如图6所示,该方法包括:
步骤S602,连接管理功能实体对与用户设备UE注销相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体、会话管理功能SMF的逻辑实体;
步骤S604,连接管理功能实体基于安全管理对UE进行注销。
通过该实施例,由于将加、解密和完整性保护的处理放到连接管理功能实体,从而在UE的注销过程中,解密和完整性保护的处理过程无需经过移动性管理功能的逻辑实体,从而使移动性管理功能的逻辑实体和会话管理功能的逻辑实体的耦合性降低,进而提高了系统部署的灵活性。
在上述实施例中,可选地,连接管理功能实体对与用户设备UE注销相关的非接入层NAS消息执行安全管理包括:连接管理功能实体接收RAN发送的NAS注销请求消息;连接管理功能实体根据UE的安全管理上下文对NAS注销请求消息进行完整性保护处理,并将经过完整性保护处理的NAS注销请求消息发送至SMF的逻辑实体;连接管理功能实体接收SMF的逻辑实体发送的NAS注销接受消息,并对NAS注销接受消息进行加密处理和完整性保护处理;连接管理功能实体将经过加密处理和完整性保护处理的NAS注销接受消息发送至UE。
在上述实施例中,可选地,还包括:连接管理功能实体删除UE的安全管理上下文。
在上述实施例中,可选地,将经过完整性保护处理的NAS注销请求消息发送至SMF的逻辑实体包括:连接管理功能实体经MMF的逻辑实体将经过完整性保护处理的NAS注销请求消息发送至SMF的逻辑实体。
在上述实施例中,可选地,还包括以下至少之一:连接管理功能实体接收MMF的逻辑实体发送的连接释放命令消息;连接管理功能实体向RAN发送连接释放命令消息,并接收RAN发送的连接释放完成消息;连接管理功能实体删除UE的连接管理上下文;连接管理功能实体发送连接释放完成消息至MMF的逻辑实体。
在上述实施例中,可选地,在连接管理功能实体经MMF的逻辑实体将经过完整性保护处理的NAS注销请求消息发送至SMF的逻辑实体之前,还包括:连接管理功能实体根据UE的标识确定MMF的逻辑实体。
根据本发明的另一个实施例,还提供了一种用户设备的会话建立方法,如图7所示,该方法包括:
步骤S702,连接管理功能实体对与用户设备UE建立会话相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:会话管理功能SMF的逻辑实体;
步骤S704,连接管理功能实体基于安全管理为UE建立会话。
通过该实施例,由于将加、解密和完整性保护的处理放到连接管理功能实体,从而在UE的会话建立过程中,解密和完整性保护的处理过程无需经过移动性管理功能的逻辑实体,从而使移动性管理功能的逻辑实体和会话管理功能的逻辑实体的耦合性降低,进而提高了系统部署的灵活性。
在上述实施例中,可选地,连接管理功能实体对与用户设备UE建立会话相关的非接入层NAS消息执行安全管理包括:连接管理功能实体接收RAN发送的NAS会话建立请求消息,连接管理功能实体根据UE的安全管理上下文对NAS会话建立请求消息进行解密处理和完整性保护处理;连接管理功能实体将经过解密处理和完整性保护处理的NAS会话建立请求消息发送至SMF的逻辑实体。
在上述实施例中,可选地,在连接管理功能实体将经过解密处理和完整性保护处理的NAS会话建立请求消息发送至SMF的逻辑实体之后,还包括:连接管理功能实体接收SMF的逻辑实体发送的无线承载资源建立请求消息,其中,无线承载资源建立请求消息携带有NAS激活默认承载请求信息;连接管理功能实体对NAS激活默认承载请求信息进行加密处理和完整性保护处理,并将经过加密处理和完整性保护处理的NAS激活默认承载请求信息发送至RAN;连接管理功能实体接收RAN发送的无线承载资源建立响应消息,并向SMF的逻辑实体发送无线承载资源建立响应消息。
在上述实施例中,可选地,在将经过加密处理和完整性保护处理的NAS激活默认承载请求信息发送至RAN之后,还包括:连接管理功能实体接收RAN发送的激活默认承载接受消息;连接管理功能实体根据UE的安全管理上下文对激活默认承载接受消息进行解密处理和完整性保护处理,并将经过解密处理和完整性保护处理的激活默认承载接受消息发送至SMF的逻辑实体。
下面通过具体的实施方式来说明基于本发明的安全管理系统的各个方法。
实施例一
图8是根据本发明实施例的用户设备的注册方法的示意图。如图8所示,该方法包括:
步骤S801,UE向RAN发送RRC建立请求消息,并在该请求消息中携带注册请求。
步骤S802,RAN向连接管理功能实体发送NAS传输消息,并在该消息中携带注册请求。
步骤S803,连接管理功能实体创建该UE的连接管理上下文。
步骤S804,连接管理功能实体根据用户标识,选择移动性管理功能的逻辑实体(也即移动性管理功能节点),并将NAS注册请求消息发送至该移动性管理功能的逻辑实体。
步骤S805,移动性管理功能的逻辑实体发送鉴权向量请求消息至鉴权数据和签约数据管理功能的逻辑实体(也即鉴权数据和签约数据管理功能节点)。
步骤S806,鉴权数据和签约数据管理功能的逻辑实体发送鉴权向量确认消息至移动性管理管理功能的逻辑实体。
步骤S807,移动性管理功能的逻辑实体发送NAS鉴权请求消息至连接管理功能实体。
步骤S808,连接管理功能实体发送NAS鉴权请求消息至RAN。
步骤S809,RAN发送NAS消息鉴权请求消息至UE。
步骤S810,UE发送NAS鉴权响应消息至RAN。
步骤S811,RAN发送NAS鉴权响应消息至连接管理功能实体。
步骤S812,连接管理功能实体发送NAS鉴权响应消息至移动性管理功能的逻辑实体。
步骤S813,移动性管理功能的逻辑实体发送NAS安全模式请求消息至连接管理功能实体。
步骤S814,连接管理功能实体创建该UE的安全管理上下文。
步骤S815,连接管理功能实体发送NAS安全模式请求消息至RAN。
步骤S816,RAN发送NAS安全模式请求消息至UE。
步骤S817,UE发送NAS安全模式响应消息至RAN。
步骤S818,RAN发送NAS安全模式响应消息至连接管理功能实体。
步骤S819,连接管理功能实体对NAS安全模式响应消息进行解密和完整性检查之后,发送NAS安全模式响应消息至移动性管理功能的逻辑实体。
步骤S820,移动性管理功能的逻辑实体发送NAS注册接受消息至连接管理功能实体。
步骤S821,连接管理功能实体对注册接受消息进行加密和完整性检查处理之后,发送NAS注册接受消息至RAN。
步骤S822,RAN转发注册接受消息给UE。
实施例二
图9是根据本发明实施例的用户设备的位置更新方法的示意图。如图9所示,该方法包括:
步骤S901,UE向RAN发送RRC建立请求消息,并在该请求消息中携带位置更新请求。
步骤S902,RAN向连接管理功能实体发送NAS传输消息,并在该消息中携带位置更新请求。
步骤S903,连接管理功能实体根据该UE的安全管理上下文,对位置更新请求消息进行完整性检查之后,连接管理功能实体创建该UE的连接管理上下文。
步骤S904,连接管理功能实体根据用户标识,选择移动性管理功能的逻辑实体,并将NAS位置更新请求消息发送至移动性管理功能的逻辑实体。
步骤S905,移动性管理功能的逻辑实体发送NAS位置更新接受消息至连接管理功能实体。
步骤S906,连接管理功能实体对位置更新接受消息进行加密和完整性检查处理之后,连接管理功能实体发送NAS消息位置更新接受消息至RAN。
步骤S907,RAN转发位置更新接受消息给UE。
实施例三
图10是根据本发明实施例的用户设备的注销方法的示意图。如图10所示,该方法包括:
步骤S1001,UE向RAN发送RRC建立请求消息,并在该请求消息中携带注销请求。
步骤S1002,RAN向连接管理功能实体发送NAS传输消息,并在该消息中携带注销请求。
步骤S1003,连接管理功能实体根据该UE的安全管理上下文,对注销请求消息进行完整性检查之后,连接管理功能实体根据用户标识,选择移动性管理功能的逻辑实体,并将NAS注销请求消息发送至移动性管理功能的逻辑实体。
步骤S1004,移动性管理功能的逻辑实体发送注销请求消息至会话管理功能的逻辑实体。
步骤S1005,会话管理功能的逻辑实体删除会话资源。
步骤S1006,会话管理功能的逻辑实体向移动性管理功能的逻辑实体发送注销接受消息至移动性管理功能的逻辑实体。
步骤S1007,移动性管理功能的逻辑实体发送NAS注销接受消息至连接管理功能实体。
步骤S1008,连接管理功能实体对注销接受消息进行加密和完整性检查处理之后,连接管理功能实体发送NAS注销接受消息至RAN。
步骤S1009,连接管理功能实体删除该UE的安全管理上下文。
步骤S1010,RAN转发注销接受消息给UE。
步骤S1011,移动性管理功能的逻辑实体发送连接释放命令消息至连接管理功能实体。
步骤S1012,连接管理功能实体发送连接释放命令消息至RAN。
步骤S1013,RAN发送连接释放完成消息至连接管理功能实体。
步骤S1014,连接管理功能实体删除UE的连接管理上下文。
步骤S1015,连接管理功能实体发送连接释放完成消息至移动性管理功能的逻辑实体。
实施例四
图11是根据本发明实施例的用户设备的会话连接建立方法的示意图。如图11所示,该方法包括:
步骤S1101,UE向RAN发送会话建立请求消息。
步骤S1102,RAN向连接管理功能实体发送会话建立请求消息。
步骤S1103,连接管理功能实体根据该UE的安全管理上下文,对会话建立请求消息进行解密和完整性检查。
步骤S1104,连接管理功能实体发送NAS会话建立请求消息至会话管理功能实体。
步骤S1105,会话管理功能的逻辑实体发送无线承载资源建立请求消息至连接管理功能实体,携带NAS消息激活默认承载请求消息。
步骤S1106,连接管理功能实体对NAS激活默认承载请求消息进行加密和完整性保护处理。
步骤S1107,连接管理功能实体发送无线承载资源建立请求消息至RAN,携带NAS激活默认承载请求消息。
步骤S1108,无线承载资源建立和NAS消息投递。
步骤S1109,RAN给连接管理功能实体发送无线承载资源建立响应消息。
步骤S1110,连接管理功能实体给会话管理功能的逻辑实体发送无线承载资源建立响应消息。
步骤S1111,UE向RAN发送激活默认承载接受消息。
步骤S1112,RAN向连接管理功能实体发送激活默认承载接受消息。
步骤S1113,连接管理功能实体根据该UE的安全管理上下文,对激活默认承载接受消息进行解密和完整性检查。
步骤S1114,连接管理功能实体发送激活默认承载接受消息至会话管理功能的逻辑实体。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种用户设备的注册装置,该装置用于实现上述实施例,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图12是根据本发明实施例的用户设备的注册装置的结构框图,如图12所示,该装置包括:
安全管理模块1202,用于指示连接管理功能实体对与用户设备UE注册相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;
注册模块1204,用于基于安全管理对UE进行注册。
通过该实施例,由于将加、解密和完整性保护的处理放到连接管理功能实体,从而在UE的注册过程中,解密和完整性保护的处理过程无需经过移动性管理功能的逻辑实体,提高了移动性管理功能的逻辑实体部署的灵活性。
根据本发明的另一个实施例,还提供了一种用户设备的位置更新装置,如图13所示,该装置包括:
安全管理模块1302,用于指示连接管理功能实体对与用户设备UE位置更新相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;
位置更新模块1304,用于基于安全管理对UE进行位置更新。
通过该实施例,由于将加、解密和完整性保护的处理放到连接管理功能实体,从而在UE的位置更新过程中,解密和完整性保护的处理过程无需经过移动性管理功能的逻辑实体,提高了移动性管理功能的逻辑实体部署的灵活性。
根据本发明的另一个实施例,提供了一种用户设备的注销装置,如图14所示,该装置包括:
安全管理模块1402,用于指示连接管理功能实体对与用户设备UE注销相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体、会话管理功能SMF的逻辑实体;
注销模块1404,用于基于安全管理对UE进行注销。
通过该实施例,由于将加、解密和完整性保护的处理放到连接管理功能实体,从而在UE的注销过程中,解密和完整性保护的处理过程无需经过移动性管理功能的逻辑实体,从而使移动性管理功能的逻辑实体和会话管理功能的逻辑实体的耦合性降低,进而提高了系统部署的灵活性。
根据本发明的另一个实施例,提供了一种用户设备的会话建立装置,如图15所示,该装置包括:
安全管理模块1502,用于指示连接管理功能实体对与用户设备UE建立会话相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:会话管理功能SMF的逻辑实体;
会话建立模块1504,用于基于安全管理为UE建立会话。
通过该实施例,由于将加、解密和完整性保护的处理放到连接管理功能实体,从而在UE的会话建立过程中,解密和完整性保护的处理过程无需经过移动性管理功能的逻辑实体,从而使移动性管理功能的逻辑实体和会话管理功能的逻辑实体的耦合性降低,进而提高了系统部署的灵活性。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
另外,根据本发明的另一个实施例,还提供了一种功能实体,该功能实体分别与RAN和移动性管理实体连接,用于对非接入层NAS消息进行安全管理,其中,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体和会话管理功能SMF的逻辑实体。
通过该实施例,由于将加、解密和完整性保护的处理放到新的功能实体,使得会话管理功能的消息可以不经过移动性管理功能的逻辑实体,从而使移动性管理功能的逻辑实体和会话管理功能的逻辑实体的耦合性降低,进而提高了系统部署的灵活性。
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,连接管理功能实体对与用户设备UE注册相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;
S2,连接管理功能实体基于安全管理对UE进行注册。
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S3,连接管理功能实体对与用户设备UE位置更新相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括:移动性管理功能MMF的逻辑实体;
S4,连接管理功能实体基于安全管理对UE进行位置更新。
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S5,连接管理功能实体对与用户设备UE注销相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、完整性保护,移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体、会话管理功能SMF的逻辑实体;
S6,连接管理功能实体基于安全管理对UE进行注销。
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S7,连接管理功能实体对与用户设备UE建立会话相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,安全管理包括以下至少之一:加密、解密、完整性保护,移动性管理实体包括:会话管理功能SMF的逻辑实体;
S8,连接管理功能实体基于安全管理为UE建立会话。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (30)
1.一种安全管理系统,其特征在于,包括:
连接管理功能实体,分别与RAN和移动性管理实体连接,用于对非接入层NAS消息进行安全管理,其中,所述安全管理包括以下至少之一:加密、解密、完整性保护,所述移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体和会话管理功能SMF的逻辑实体。
2.根据权利要求1所述的系统,其特征在于,所述连接管理功能实体还用于维护用户设备UE的连接状态,其中,所述连接状态包括以下至少之一:空闲IDLE状态;连接CONNECT状态;状态迁移。
3.根据权利要求2所述的系统,其特征在于,
在所述连接状态为所述IDLE状态的情况下,所述连接管理功能实体用于维护所述UE的安全管理上下文;和/或
在所述连接状态为所述CONNECT状态的情况下,所述连接管理功能实体用于维护所述UE的连接管理上下文和所述UE的安全管理上下文。
4.根据权利要求3所述的系统,其特征在于,
所述安全管理上下文包括以下至少之一:加密秘钥、解密秘钥、完整性保护秘钥、加解密算法、完整性保护算法;和/或
所述连接管理上下文包括以下至少之一:所述RAN的ID;所述连接管理功能实体和所述RAN之间进行信令交互时所述UE的标识;所述MMF的逻辑实体的ID;所述连接管理功能实体和所述MMF的逻辑实体之间进行信令交互时所述UE的标识;所述SMF的逻辑实体的ID;所述连接管理功能实体和所述SMF的逻辑实体之间进行信令交互时所述UE的标识。
5.根据权利要求1-4中任一项所述的系统,其特征在于,
所述连接管理功能实体用于对UE发送的用于移动性管理的NAS消息进行解密处理和/或完整性保护处理,并将经过所述解密处理和/或所述完整性保护处理之后的用于移动性管理的NAS消息投递至所述MMF的逻辑实体;和/或
所述连接管理功能实体用于对UE发送的用于会话管理的NAS消息进行解密处理和/或完整性保护处理,并将经过所述解密处理和/或所述完整性保护处理之后的用于会话管理的NAS消息投递至所述SMF的逻辑实体;和/或
所述连接管理功能实体用于对所述MMF的逻辑实体或者所述SMF的逻辑实体发送的NAS消息进行加密处理和/或完整性保护处理,并将经过所述加密处理和/或所述完整性保护处理之后的NAS消息经所述RAN投递至UE。
6.一种用户设备的注册方法,其特征在于,包括:
连接管理功能实体对与用户设备UE注册相关的非接入层NAS消息执行安全管理,其中,所述连接管理功能实体分别与RAN和移动性管理实体连接,所述安全管理包括以下至少之一:加密、解密、完整性保护,所述移动性管理实体包括:移动性管理功能MMF的逻辑实体;
所述连接管理功能实体基于所述安全管理对所述UE进行注册。
7.根据权利要求6所述的方法,其特征在于,所述连接管理功能实体对与用户设备UE注册相关的非接入层NAS消息执行安全管理包括:
所述连接管理功能实体接收所述MMF的逻辑实体发送的NAS安全模式请求消息,并将所述NAS安全模式请求消息发送至UE;
所述连接管理功能实体接收所述UE发送的NAS安全模式响应消息,并对所述NAS安全模式响应消息进行解密处理和完整性保护处理。
8.根据权利要求7所述的方法,其特征在于,还包括:
所述连接管理功能实体创建所述UE的安全管理上下文。
9.根据权利要求7所述的方法,其特征在于,在对所述NAS安全模式响应消息进行解密和完整性保护处理之后,还包括:
所述连接管理功能实体发送经过所述解密处理和所述完整性保护处理的NAS安全模式响应消息至所述MMF的逻辑实体;
所述连接管理功能实体接收所述MMF的逻辑实体发送的NAS注册接受消息,并对所述NAS注册接受消息进行加密处理和完整性保护处理;
所述连接管理功能实体将经过所述加密处理和完整性保护处理之后的NAS注册接受消息发送至所述UE。
10.根据权利要求7所述的方法,其特征在于,在所述连接管理功能实体接收所述MMF的逻辑实体发送的NAS安全模式请求消息之前,还包括:
所述连接管理功能实体接收所述MMF的逻辑实体发送的NAS鉴权请求消息,并将所述鉴权请求消息发送至UE;
所述连接管理功能实体接收所述UE发送的NAS鉴权响应消息,并将所述NAS鉴权响应消息发送至所述MMF的逻辑实体。
11.根据权利要求10所述的方法,其特征在于,在所述连接管理功能实体接收所述MMF的逻辑实体发送的NAS鉴权请求消息之前,还包括:
所述连接管理功能实体接收所述RAN发送的用于所述UE请求注册的NAS注册请求消息;
所述连接管理功能实体根据所述UE的标识确定所述MMF的逻辑实体,并将所述NAS注册请求消息发送至所述MMF的逻辑实体。
12.一种用户设备的位置更新方法,其特征在于,包括:
连接管理功能实体对与用户设备UE位置更新相关的非接入层NAS消息执行安全管理,其中,所述连接管理功能实体分别与RAN和移动性管理实体连接,所述安全管理包括以下至少之一:加密、完整性保护,所述移动性管理实体包括:移动性管理功能MMF的逻辑实体;
所述连接管理功能实体基于所述安全管理对所述UE进行位置更新。
13.根据权利要求12所述的方法,其特征在于,所述连接管理功能实体对与用户设备UE位置更新相关的非接入层NAS消息执行安全管理包括:
所述连接管理功能实体接收所述RAN发送的用于请求所述UE位置更新的NAS位置更新请求;
所述连接管理功能实体对所述NAS位置更新请求进行完整性保护处理,并将经过所述完整性保护处理的NAS位置更新请求发送至所述MMF的逻辑实体;
所述连接管理功能实体接收所述MMF的逻辑实体发送的NAS位置更新接受消息,并对所述NAS位置更新接受消息进行加密处理和完整性保护处理;
所述连接管理功能实体将经过所述加密处理和完整性保护处理的NAS位置更新接受消息发送至所述UE。
14.根据权利要求13所述的方法,其特征在于,还包括:
所述连接管理功能实体创建所述UE的安全管理上下文。
15.根据权利要求13所述的方法,其特征在于,在将经过所述完整性保护处理的NAS位置更新请求发送至所述MMF的逻辑实体之前,还包括:
所述连接管理功能实体根据所述UE的标识确定所述MMF的逻辑实体。
16.一种用户设备的注销方法,其特征在于,包括:
连接管理功能实体对与用户设备UE注销相关的非接入层NAS消息执行安全管理,其中,所述连接管理功能实体分别与RAN和移动性管理实体连接,所述安全管理包括以下至少之一:加密、完整性保护,所述移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体、会话管理功能SMF的逻辑实体;
所述连接管理功能实体基于所述安全管理对所述UE进行注销。
17.根据权利要求16所述的方法,其特征在于,所述连接管理功能实体对与用户设备UE注销相关的非接入层NAS消息执行安全管理包括:
所述连接管理功能实体接收所述RAN发送的NAS注销请求消息;
所述连接管理功能实体根据所述UE的安全管理上下文对所述NAS注销请求消息进行完整性保护处理,并将经过所述完整性保护处理的NAS注销请求消息发送至所述SMF的逻辑实体;
所述连接管理功能实体接收所述SMF的逻辑实体发送的NAS注销接受消息,并对所述NAS注销接受消息进行加密处理和完整性保护处理;
所述连接管理功能实体将经过所述加密处理和完整性保护处理的NAS注销接受消息发送至所述UE。
18.根据权利要求17所述的方法,其特征在于,还包括:
所述连接管理功能实体删除所述UE的安全管理上下文。
19.根据权利要求17所述的方法,其特征在于,将经过所述完整性保护处理的NAS注销请求消息发送至所述SMF的逻辑实体包括:
所述连接管理功能实体经所述MMF的逻辑实体将经过所述完整性保护处理的NAS注销请求消息发送至所述SMF的逻辑实体。
20.根据权利要求19所述的方法,其特征在于,还包括以下至少之一:
所述连接管理功能实体接收所述MMF的逻辑实体发送的连接释放命令消息;
所述连接管理功能实体向所述RAN发送连接释放命令消息,并接收所述RAN发送的连接释放完成消息;
所述连接管理功能实体删除所述UE的连接管理上下文;
所述连接管理功能实体发送连接释放完成消息至所述MMF的逻辑实体。
21.根据权利要求19所述的方法,其特征在于,在所述连接管理功能实体经所述MMF的逻辑实体将经过所述完整性保护处理的NAS注销请求消息发送至所述SMF的逻辑实体之前,还包括:
所述连接管理功能实体根据所述UE的标识确定所述MMF的逻辑实体。
22.一种用户设备的会话建立方法,其特征在于,包括:
连接管理功能实体对与用户设备UE建立会话相关的非接入层NAS消息执行安全管理,其中,所述连接管理功能实体分别与RAN和移动性管理实体连接,所述安全管理包括以下至少之一:加密、解密、完整性保护,所述移动性管理实体包括:会话管理功能SMF的逻辑实体;
所述连接管理功能实体基于所述安全管理为所述UE建立会话。
23.根据权利要求22所述的方法,其特征在于,所述连接管理功能实体对与用户设备UE建立会话相关的非接入层NAS消息执行安全管理包括:
所述连接管理功能实体接收所述RAN发送的NAS会话建立请求消息,所述连接管理功能实体根据所述UE的安全管理上下文对所述NAS会话建立请求消息进行解密处理和完整性保护处理;
所述连接管理功能实体将经过所述解密处理和完整性保护处理的NAS会话建立请求消息发送至所述SMF的逻辑实体。
24.根据权利要求23所述的方法,其特征在于,在所述连接管理功能实体将经过所述解密处理和完整性保护处理的NAS会话建立请求消息发送至所述SMF的逻辑实体之后,还包括:
所述连接管理功能实体接收所述SMF的逻辑实体发送的无线承载资源建立请求消息,其中,所述无线承载资源建立请求消息携带有NAS激活默认承载请求信息;
所述连接管理功能实体对所述NAS激活默认承载请求信息进行加密处理和完整性保护处理,并将经过所述加密处理和完整性保护处理的NAS激活默认承载请求信息发送至所述RAN;
所述连接管理功能实体接收所述RAN发送的无线承载资源建立响应消息,并向所述SMF的逻辑实体发送无线承载资源建立响应消息。
25.根据权利要求24所述的方法,其特征在于,在将经过所述加密处理和完整性保护处理的NAS激活默认承载请求信息发送至所述RAN之后,还包括:
所述连接管理功能实体接收所述RAN发送的激活默认承载接受消息;
所述连接管理功能实体根据所述UE的安全管理上下文对所述激活默认承载接受消息进行解密处理和完整性保护处理,并将经过所述解密处理和完整性保护处理的激活默认承载接受消息发送至所述SMF的逻辑实体。
26.一种功能实体,其特征在于,分别与RAN和移动性管理实体连接,用于对非接入层NAS消息进行安全管理,其中,所述安全管理包括以下至少之一:加密、解密、完整性保护,所述移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体和会话管理功能SMF的逻辑实体。
27.一种用户设备的注册装置,其特征在于,包括:
安全管理模块,用于对与用户设备UE注册相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,所述安全管理包括以下至少之一:加密、解密、完整性保护,所述移动性管理实体包括:移动性管理功能MMF的逻辑实体;
注册模块,用于基于所述安全管理对所述UE进行注册。
28.一种用户设备的位置更新装置,其特征在于,包括:
安全管理模块,用于对与用户设备UE位置更新相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,所述安全管理包括以下至少之一:加密、完整性保护,所述移动性管理实体包括:移动性管理功能MMF的逻辑实体;
位置更新模块,用于基于所述安全管理对所述UE进行位置更新。
29.一种用户设备的注销装置,其特征在于,包括:
安全管理模块,用于对与用户设备UE注销相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,所述安全管理包括以下至少之一:加密、完整性保护,所述移动性管理实体包括以下逻辑实体至少之一:移动性管理功能MMF的逻辑实体、会话管理功能SMF的逻辑实体;
注销模块,用于基于所述安全管理对所述UE进行注销。
30.一种用户设备的会话建立装置,其特征在于,包括:
安全管理模块,用于对与用户设备UE建立会话相关的非接入层NAS消息执行安全管理,其中,连接管理功能实体分别与RAN和移动性管理实体连接,所述安全管理包括以下至少之一:加密、解密、完整性保护,所述移动性管理实体包括:会话管理功能SMF的逻辑实体;
会话建立模块,用于基于所述安全管理为所述UE建立会话。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610552757.0A CN107635225B (zh) | 2016-07-13 | 2016-07-13 | 安全管理系统 |
| PCT/CN2017/091286 WO2018010554A1 (zh) | 2016-07-13 | 2017-06-30 | 安全管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610552757.0A CN107635225B (zh) | 2016-07-13 | 2016-07-13 | 安全管理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107635225A true CN107635225A (zh) | 2018-01-26 |
| CN107635225B CN107635225B (zh) | 2020-10-23 |
Family
ID=60952803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610552757.0A Active CN107635225B (zh) | 2016-07-13 | 2016-07-13 | 安全管理系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN107635225B (zh) |
| WO (1) | WO2018010554A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314856A (zh) * | 2020-02-13 | 2020-06-19 | 广州爱浦路网络技术有限公司 | 一种5g用户位置信息服务的分级审查与跟踪装置和方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101772969A (zh) * | 2007-06-08 | 2010-07-07 | 艾利森电话股份有限公司 | 一种用于在长期演进无线电接入上执行gsm/wcdma电路交换服务的技术 |
| US8380135B2 (en) * | 2009-05-04 | 2013-02-19 | Lg Electronics Inc. | Method of transmitting control information in wireless communication system |
| CN103229546A (zh) * | 2010-09-28 | 2013-07-31 | 捷讯研究有限公司 | 用于在ue移出住宅/企业网络覆盖时释放与本地gw的连接的方法和装置 |
| CN103428636A (zh) * | 2012-05-17 | 2013-12-04 | 大唐移动通信设备有限公司 | 一种组呼建立方法 |
| CN105122678A (zh) * | 2013-04-12 | 2015-12-02 | Lg电子株式会社 | 在无线通信系统中应用用于业务导向的协助信息的方法和设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101867931B (zh) * | 2010-05-28 | 2013-03-13 | 中国科学院计算技术研究所 | 实现lte系统中的非接入层的装置和方法 |
-
2016
- 2016-07-13 CN CN201610552757.0A patent/CN107635225B/zh active Active
-
2017
- 2017-06-30 WO PCT/CN2017/091286 patent/WO2018010554A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101772969A (zh) * | 2007-06-08 | 2010-07-07 | 艾利森电话股份有限公司 | 一种用于在长期演进无线电接入上执行gsm/wcdma电路交换服务的技术 |
| US8380135B2 (en) * | 2009-05-04 | 2013-02-19 | Lg Electronics Inc. | Method of transmitting control information in wireless communication system |
| CN103229546A (zh) * | 2010-09-28 | 2013-07-31 | 捷讯研究有限公司 | 用于在ue移出住宅/企业网络覆盖时释放与本地gw的连接的方法和装置 |
| CN103428636A (zh) * | 2012-05-17 | 2013-12-04 | 大唐移动通信设备有限公司 | 一种组呼建立方法 |
| CN105122678A (zh) * | 2013-04-12 | 2015-12-02 | Lg电子株式会社 | 在无线通信系统中应用用于业务导向的协助信息的方法和设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314856A (zh) * | 2020-02-13 | 2020-06-19 | 广州爱浦路网络技术有限公司 | 一种5g用户位置信息服务的分级审查与跟踪装置和方法 |
| CN111314856B (zh) * | 2020-02-13 | 2020-12-15 | 广州爱浦路网络技术有限公司 | 一种5g用户位置信息服务的分级审查与跟踪装置和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018010554A1 (zh) | 2018-01-18 |
| CN107635225B (zh) | 2020-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105874766B (zh) | 在用户设备之间提供受控证书的方法和设备 | |
| CN101242629B (zh) | 选择用户面算法的方法、系统和设备 | |
| CN107852601A (zh) | 具有经加密客户端设备上下文的网络架构和安全性 | |
| JP5648762B2 (ja) | 移動通信システム、基地局、ゲートウェイ装置、コアネットワーク装置、通信方法 | |
| CN103986723B (zh) | 一种保密通信控制、保密通信方法及装置 | |
| WO2018176425A1 (zh) | 一种通信方法及设备 | |
| EP2396942A2 (en) | Un-ciphered network operation solution | |
| CN107295499A (zh) | 移动通讯系统及寻呼方法 | |
| CN104427496B (zh) | Td-lte集群通信系统加密传输方法、装置和系统 | |
| CN107566324A (zh) | 加密方法、解密方法及装置 | |
| CN107318158A (zh) | 一种消息发送、识别及移动性、会话管理的方法及节点 | |
| CN108123783A (zh) | 数据传输方法、装置及系统 | |
| CN107295507A (zh) | 一种专网接入方法、装置及系统 | |
| CN102244859B (zh) | 分流连接中本地地址的处理方法、装置及系统 | |
| CN107623906A (zh) | 网络系统 | |
| US20020056001A1 (en) | Communication security system | |
| KR20210043095A (ko) | 네트워크 단일 등록 단말의 smsf 등록 해제 및 재등록 방법 및 시스템 | |
| EP3163919B1 (en) | D2d service authorizing method and device and home near field communication server | |
| CN107635225A (zh) | 安全管理系统 | |
| CN109428852A (zh) | 通信隧道端点地址分离方法、终端、ePDG及存储介质 | |
| KR102209289B1 (ko) | 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 | |
| JP6511542B2 (ja) | 通信ネットワークにおける非アクセス層接続を確立するための通信ネットワーク及び方法 | |
| CN101094531A (zh) | 一种决定不进行用户面加密的方法 | |
| CN110536301A (zh) | 一种拒绝消息处理方法及装置 | |
| CN113382410B (zh) | 通信方法和相关装置及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200903 Address after: 210012 Nanjing, Yuhuatai District, South Street, Bauhinia Road, No. 68 Applicant after: Nanjing Zhongxing Software Co.,Ltd. Address before: 518057 Nanshan District science and technology, Guangdong Province, South Road, No. 55, No. Applicant before: ZTE Corp. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |