CN108616876A - 一种窄带物联网中as层安全控制方法 - Google Patents
一种窄带物联网中as层安全控制方法 Download PDFInfo
- Publication number
- CN108616876A CN108616876A CN201710024689.5A CN201710024689A CN108616876A CN 108616876 A CN108616876 A CN 108616876A CN 201710024689 A CN201710024689 A CN 201710024689A CN 108616876 A CN108616876 A CN 108616876A
- Authority
- CN
- China
- Prior art keywords
- message
- layers
- enb
- security
- allocated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种窄带物联网中AS层安全控制方法,包括:用户终端UE与网络侧MME建立连接,发送第一条NAS消息CONTROL PLANE SERVICE REQUEST给网络侧;网络侧MME接收所述NAS消息CONTROL PLANE SERVICE REQUEST,分配AS层安全相关参数,并配置给基站eNB和所述UE;所述eNB和UE接收所述AS层安全相关参数,分别衍生AS安全信息,激活AS层安全。本发明通过MME来控制AS层安全的参数和激活,进而使得CP方案可以通过RRC连接重建方式进行移动性增强。
Description
技术领域
本发明涉及移动通信系统,尤其涉及一种窄带物联网中AS层安全控制方法。
背景技术
IoT(Internet of Thing,物联网)是移动通信生态系统中的下一场革命,它将为移动蜂窝网络的进一步发展提供强大的动力。IoT设备可以提供多种多样的应用服务,自动抄表、自动贩卖机、智能交通、安全监测与上报、智能医疗等未来应用必将会大大地便利我们的生活。
窄带物联网NB-IoT是2015年9月在3GPP标准化组织立项提出的一种新的窄带蜂窝通信技术。3GPP NB-IoT工作项目总体上将定义一种对于E-UTRAN非后向兼容、有较大变动的蜂窝物联网无线接入新技术,以解决室内覆盖增强、海量低速率设备接入、低时延敏感、低设备成本、低功耗和网络架构优化等问题。
NB-IOT中面向的业务为小包不频繁数据包的发送和接收。为此标准上定义了CP(control plane,控制面)和UP(user plane,用户面)两种解决方案。CP是通过NAS消息传递小包业务数据,通过对NAS消息加密达到对数据加密的目的。在CP解决方案中,在RRC连接建立过程中建立SRB1bis用于传输空口信令,此时不使用PDCP,没有AS层安全激活。UP方案就是通过DRB传输数据,引入了RRC连接的挂起和恢复过程。
R13中,对于NB-IOT设备来说没有移动性的需求,也没有测量和切换过程。如果当前RRC连接发生RLF,则对于CP方案来说,此时UE进入idle状态,如果还有业务数据要发送,会重新发起RRC连接建立。现有的基于移动的切换过程是测量上报触发的切换过程,需要邻区测量、测量上报、切换命令、RACH等一系列过程,增加UE功率消耗也给NB-IOTUE带来一定的复杂度。所以考虑基于RRC连接重建来优化NB-IOT UE的移动性。如前所述,CP解决方案不支持AS安全,没有AS层安全激活,也没有UL NAS Count,而RRC连接重建过程和用于切换的RRC连接重配都需要AS安全激活。所以如果通过RRC连接重建方式增强CP方案的移动性,就必须要解决CP方案中的AS安全问题。
发明内容
针对上述问题,本发明提出一种窄带物联网中AS层安全控制方法,包括:
用户终端UE与网络侧MME建立连接,发送第一条NAS消息CONTROL PLANE SERVICEREQUEST给网络侧;
网络侧MME接收所述NAS消息CONTROL PLANE SERVICE REQUEST,分配AS层安全相关参数,并配置给基站eNB和所述UE;
所述eNB和UE接收所述AS层安全相关参数,分别衍生AS安全信息,激活AS层安全。
进一步地,所述AS层安全相关参数包括:一个整数Connter值,AS层加密算法和完整性保护算法的算法ID。
进一步地,所述衍生AS安全信息包括:生成KeNB、AS层加密密钥和完整性保护密钥。
进一步地,所述安全信息用于RRC信令传输和/或RRC连接重建时的UE上下行身份识别。
进一步地,所述第一条NAS消息CONTROL PLANE SERVICE REQUEST在空口上通过RRCConnectionSetupComplete消息来承载,在S1接口上通过Initial UE Message消息来承载。
进一步地,所述配置给基站eNB和所述UE包括:通过S1消息配置给所述eNB,同时通过所述S1消息中包含的NAS消息配置给所述UE。
进一步地,所述通过S1消息配置给所述eNB,同时通过所述S1消息中包含的NAS消息配置给所述UE,包括:
如果有下行数据发送,则在DOWNLINK NAS TRANSPORT消息中配置给所述eNB;否则,在Connection Establishment Indication消息中配置给所述eNB;
同时,在DOWNLINK NAS TRANSPORT消息或Connection Establishment Indication消息中包含的NAS消息中给所述UE配置。
进一步地,所述S1消息中包含的NAS消息在空口上由DL Information Transfer-NB消息来承载。
本发明的方法通过MME来控制AS层安全的参数和激活,进而使得CP方案可以通过RRC连接重建方式进行移动性增强。
附图说明
图1为本发明提出的窄带物联网中AS层安全控制方法的基本流程框图;
图2为本发明实施例中的AS层安全控制的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例;需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的一个实施例提出一种窄带物联网中AS层安全控制方法,请参考图1,包括:
用户终端UE与网络侧MME建立连接,发送第一条NAS消息CONTROL PLANE SERVICEREQUEST给网络侧;
网络侧MME接收所述NAS消息CONTROL PLANE SERVICE REQUEST,分配AS层安全相关参数,并配置给基站eNB和所述UE;
所述eNB和UE接收所述AS层安全相关参数,分别衍生AS安全信息,激活AS层安全。
在一个可选实施例中,AS层安全相关参数包括:一个整数Connter值,AS层加密算法和完整性保护算法的算法ID。
在一个可选实施例中,所述衍生AS安全信息包括:生成KeNB、AS层加密密钥和完整性保护密钥。
在一个可选实施例中,所述安全信息用于RRC信令传输和/或RRC连接重建时的UE上下行身份识别。
在一个可选实施例中,第一条NAS消息CONTROL PLANE SERVICE REQUEST在空口上通过RRCConnectionSetupComplete消息来承载,在S1接口上通过Initial UE Message消息来承载。
在一个可选实施例中,配置给基站eNB和所述UE包括:通过S1消息配置给所述eNB,同时通过所述S1消息中包含的NAS消息配置给所述UE。
在一个可选实施例中,通过S1消息配置给所述eNB,同时通过所述S1消息中包含的NAS消息配置给所述UE,包括:如果有下行数据发送,则在DOWNLINK NAS TRANSPORT消息中配置给所述eNB;否则,在Connection Establishment Indication消息中配置给所述eNB;同时,在DOWNLINK NAS TRANSPORT消息或Connection Establishment Indication消息中包含的NAS消息中给所述UE配置。
在一个可选实施例中,S1消息中包含的NAS消息在空口上由DL InformationTransfer-NB消息来承载。
实施例
请参考图2,包括如下步骤:
UE注册到网络并驻留在某小区,处于idle状态;
UE发起随机接入,接入网络;
UE与网络侧建立连接,发送第一条NAS消息为CONTROL PLANE SERVICE REQUEST消息,这个消息表明是一个CP方案传输小包数据的第一条NAS消息。在空口上通过RRCConnectionSetupComplete消息来承载该NAS消息,在S1接口上通过Initial UEMessage消息来承载该NAS消息;
MME收到该NAS消息,分配AS层安全参数并配置给eNB和UE,包括:一个整数数值,即Counter值,以及AS层加密算法和完整性保护算法的算法ID。
如果有下行数据发送,则在DOWNLINK NAS TRANSPORT,否则在ConnectionEstablishment Indication消息中,MME配置给eNB关于AS层安全相关参数;同时MME在DOWNLINK NAS TRANSPORT或者Connection Establishment Indication消息中包含的NAS消息里面给UE配置关于AS层安全相关参数。
其中,AS层安全相关参数完全取决于MME配置,由MME来控制。
eNB将DOWNLINK NAS TRANSPORT或者Connection Establishment Indication消息中包含的NAS消息通过DLInformationTransfer-NB消息发送给UE;
eNB和UE接收到AS层安全相关参数后,分别进行密钥衍生,生成KeNB以及AS层用于RRC信令传输的加密密钥和完整性保护密钥,此时AS层安全激活。
在上述方案中,尽管存在了AS安全信息,但RRC信令传输也可以不进行加密和完整性保护;而仅将AS安全信息用于RRC连接重建时的UE上下行身份识别。
在CP解决方案中,通过MME来控制AS层安全的参数和激活,使得CP方案可以通过RRC连接重建方式进行移动性增强,即通过控制RLF(radio link failure)参数,使得RLF尽快发生,并触发RRC连接重建,继续之前业务,降低业务中断时延。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种窄带物联网中AS层安全控制方法,其特征在于,包括:
用户终端UE与网络侧MME建立连接,发送第一条NAS消息CONTROL PLANE SERVICEREQUEST给网络侧;
网络侧MME接收所述NAS消息CONTROL PLANE SERVICE REQUEST,分配AS层安全相关参数,并配置给基站eNB和所述UE;
所述eNB和UE接收所述AS层安全相关参数,分别衍生AS安全信息,激活AS层安全。
2.根据权利要求1所述的方法,其特征在于,所述AS层安全相关参数包括:一个整数Connter值,AS层加密算法和完整性保护算法的算法ID。
3.根据权利要求2所述的方法,其特征在于,所述衍生AS安全信息包括:生成KeNB、AS层加密密钥和完整性保护密钥。
4.根据权利要求1~3任意一项所述的方法,其特征在于,所述安全信息用于RRC信令传输和/或RRC连接重建时的UE上下行身份识别。
5.根据权利要求1所述的方法,其特征在于,所述第一条NAS消息CONTROL PLANESERVICE REQUEST在空口上通过RRCConnectionSetupComplete消息来承载,在S1接口上通过Initial UE Message消息来承载。
6.根据权利要求1所述的方法,其特征在于,所述配置给基站eNB和所述UE包括:
通过S1消息配置给所述eNB,同时通过所述S1消息中包含的NAS消息配置给所述UE。
7.根据权利要求6所述的方法,其特征在于,所述通过S1消息配置给所述eNB,同时通过所述S1消息中包含的NAS消息配置给所述UE,包括:
如果有下行数据发送,则在DOWNLINK NAS TRANSPORT消息中配置给所述eNB;否则,在Connection Establishment Indication消息中配置给所述eNB;
同时,在DOWNLINK NAS TRANSPORT消息或Connection Establishment Indication消息中包含的NAS消息中给所述UE配置。
8.根据权利要求6或7所述的方法,其特征在于,所述S1消息中包含的NAS消息在空口上由DL Information Transfer-NB消息来承载。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710024689.5A CN108616876A (zh) | 2017-01-13 | 2017-01-13 | 一种窄带物联网中as层安全控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710024689.5A CN108616876A (zh) | 2017-01-13 | 2017-01-13 | 一种窄带物联网中as层安全控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108616876A true CN108616876A (zh) | 2018-10-02 |
Family
ID=63658030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710024689.5A Pending CN108616876A (zh) | 2017-01-13 | 2017-01-13 | 一种窄带物联网中as层安全控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108616876A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020084593A1 (en) * | 2018-10-26 | 2020-04-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Reliable transport of user data via the control plane |
| CN111432410A (zh) * | 2020-03-31 | 2020-07-17 | 周亚琴 | 物联网移动基站的网络安全防护方法及物联网云服务器 |
| WO2020258292A1 (zh) * | 2019-06-28 | 2020-12-30 | Oppo广东移动通信有限公司 | 无线通信的方法、终端设备、接入网设备和核心网设备 |
-
2017
- 2017-01-13 CN CN201710024689.5A patent/CN108616876A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020084593A1 (en) * | 2018-10-26 | 2020-04-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Reliable transport of user data via the control plane |
| EP4243472A2 (en) | 2018-10-26 | 2023-09-13 | Telefonaktiebolaget LM Ericsson (publ) | Reliable transport of user data via the control plane |
| WO2020258292A1 (zh) * | 2019-06-28 | 2020-12-30 | Oppo广东移动通信有限公司 | 无线通信的方法、终端设备、接入网设备和核心网设备 |
| CN111432410A (zh) * | 2020-03-31 | 2020-07-17 | 周亚琴 | 物联网移动基站的网络安全防护方法及物联网云服务器 |
| CN111432410B (zh) * | 2020-03-31 | 2021-05-25 | 福建海峡基石科技集团有限公司 | 物联网移动基站的网络安全防护方法及物联网云服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105813121B (zh) | 处理与多个基站间的通信运作的通信装置及方法 | |
| WO2018014741A1 (zh) | 一种数据发送、接收和传输方法及装置 | |
| CN109479230A (zh) | 用于执行NB-IoT终端的移动性处理的方法及其装置 | |
| CN109803259B (zh) | 一种请求恢复连接的方法及装置 | |
| CN106102105B (zh) | 一种小区内切换的方法及装置 | |
| CN111937424A (zh) | 用于管理完整性保护的技术 | |
| CN103178938B (zh) | 信令优化处理方法、设备和系统 | |
| EP3148245B1 (en) | Radio link monitoring method and ue | |
| CN108353444A (zh) | 用户装置、基站、连接建立方法、以及上下文信息获取方法 | |
| CN104956721A (zh) | 用于配置和使用小数据无线承载的方法和设备 | |
| CN107360562A (zh) | 处理无线资源控制状态改变的装置及方法 | |
| CN109560923A (zh) | 一种双连接模式下的密钥处理方法和设备 | |
| CN104581843A (zh) | 用于无线通信系统的网络端的处理交递方法及其通信装置 | |
| CN108605225B (zh) | 一种安全处理方法及相关设备 | |
| CN106954280B (zh) | 一种数据传输方法、装置及系统 | |
| CN102196496A (zh) | 一种处理回程链路错误的方法和中继节点 | |
| US10530637B2 (en) | Wireless communications system, base station, and terminal | |
| CN107113895A (zh) | 通信方法、网络侧设备和用户设备 | |
| CN102300335B (zh) | 一种处理无线链路错误的方法及装置 | |
| CN106937238A (zh) | 基于非访问层消息的数据传输方法、基站和用户设备 | |
| CN108307389A (zh) | 数据安全保护方法、网络接入设备及终端 | |
| CN102223632B (zh) | 一种接入层安全算法同步方法和系统 | |
| CN108616876A (zh) | 一种窄带物联网中as层安全控制方法 | |
| CN102572816B (zh) | 一种移动切换的方法及装置 | |
| CN104936169B (zh) | 一种安全验证处理方法、装置、终端及基站 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181002 |