CN109792449A - 建立移动终端至移动无线电通信网络的连接的方法和通信网络装置 - Google Patents
建立移动终端至移动无线电通信网络的连接的方法和通信网络装置 Download PDFInfo
- Publication number
- CN109792449A CN109792449A CN201780061882.4A CN201780061882A CN109792449A CN 109792449 A CN109792449 A CN 109792449A CN 201780061882 A CN201780061882 A CN 201780061882A CN 109792449 A CN109792449 A CN 109792449A
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- control plane
- public control
- plane function
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 80
- 238000004891 communication Methods 0.000 title claims abstract description 69
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 description 103
- 230000004044 response Effects 0.000 description 10
- 102100038254 Cyclin-F Human genes 0.000 description 9
- 101000884183 Homo sapiens Cyclin-F Proteins 0.000 description 9
- 238000010295 mobile communication Methods 0.000 description 7
- 230000007774 longterm Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/10—Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
根据一个实施方式,描述了一种用于建立移动终端至移动无线电通信网络的连接的方法,该方法包括:移动无线电通信网络的第一公共控制层面功能接收来自移动终端的连接请求;第一公共控制层面功能认证移动终端,包括生成移动终端的认证上下文;第一公共控制层面功能向移动无线电通信网络的第二公共控制层面功能转发连接请求并发送移动终端的认证上下文;以及第二公共控制层面功能将移动终端连接至移动无线电通信网络。
Description
本公开涉及用于建立移动终端至移动无线电通信网络的连接的方法和通信网络装置。
在移动通信网络中,通常发生UE(用户设备)认证在UE的附着请求从一个公共CP(控制层面)功能(例如,MME,移动性管理实体)重新路由到例如基于UE的订阅(例如,基于UE类型,专用核心网络ID、企业ID、客户ID、租户ID、顾客ID)负责UE的另一公共CP功能之后执行。这将使网络受到攻击,即对默认公共CP功能(例如,默认MME)、负责UE的公共CP功能以及HSS(归属用户服务器)的拒绝服务攻击。
因此,需要阻止这样的攻击的方法。
根据一个实施方式,提供了一种用于建立移动终端至移动无线电通信网络的连接的方法,该方法包括:移动无线电通信网络的第一公共控制层面功能接收来自移动终端的连接请求;第一公共控制层面功能认证移动终端,包括生成移动终端的认证上下文;第一公共控制层面功能向移动无线电通信网络的第二公共控制层面功能转发连接请求并发送移动终端的认证上下文;以及第二公共控制层面功能将移动终端连接至移动无线电通信网络。
根据另一实施方式,提供了根据上述方法的一种通信网络装置。
在附图中,相同的附图标记在不同视图中通常指代相同的部件。附图不一定按比例绘制,而是通常将重点放在说明本发明的原理上。在以下描述中,参照以下附图描述了各个方面,其中:
图1例示了UE(用户设备)的附着请求的重新路由。
图2例示了UE经由RAN对图1的场景中的公共CP功能的拒绝服务(DoS)攻击。
图3示出了LTE(长期演进)通信系统。
图4示出了例示图3的通信系统中的附着过程的消息流程图。
图5示出了5G通信系统。
图6示出了例示图5的通信系统中的附着过程(后面是会话管理过程)的消息流程图。
图7例示了包括在将附着请求重新路由到专用公共CP功能之前执行认证的方法。
图8示出了例示图7的方法在图4的场景中的应用的消息流程图。
图9示出了例示图7的方法在图4的场景中的应用的另一另选消息流程图。
图10示出了例示图7的方法在图6的场景中的应用的消息流程图。
图11示出了例示图7的方法在初始接入过程中的进一步应用的消息流程图。
图12示出了例示用于建立移动终端至移动无线电通信网络的连接的方法的流程图。
图13示出了通信网络装置。
以下详细描述参照附图,附图通过例示的方式示出了可以实践本发明的本公开的具体细节和方面。可以利用其它方面,并且可以在不脱离本发明的范围的情况下进行结构、逻辑、和电气变化。本公开的各个方面不一定是相互排斥的,因为本公开的一些方面可以与本公开的一个或更多个其它方面组合以形成新的方面。
图1例示了UE(用户设备)的附着请求的重新路由。
假设UE 101向移动通信网络发送附着请求,具体地向移动通信网络的无线电接入网络(RAN)102发送附着请求。RAN 102将附着请求转发到例如因为UE的类型、或专用核心网ID、或企业ID、或客户ID、或租户ID、或顾客ID可以不对UE 101负责的默认的公共CP功能(C-CPF,例如,默认MME)103。
UE类型的示例是“机器类型通信(MTC)UE类型”、“智能手机UE类型”等。UE类型通常作为UE的订阅的一部分被存储。
因此,默认公共CP功能103将附着请求重新路由到执行UE认证和NAS(非接入层)安全设置(如第二箭头106所示)的专用公共CP功能(例如,专用MME)104(如第一箭头105所示)。
图2例示了UE 201经由RAN 202对默认公共CP功能203的拒绝服务(DoS)攻击,其经由重新路由扩展到图1的场景中的专用公共CP功能204。
DoS攻击是试图使其预期用户无法使用机器或网络资源,诸如暂时或无限期地中断或暂停连接到互联网的主机的服务。拒绝服务通常通过使用多余请求充斥目标机器或资源来尝试使系统过载并且阻止满足一些或所有合法请求来实现。
在下文中,参照图3和图4,针对LTE(长期演进)通信系统更详细地描述图1的场景。
图3示出了LTE(长期演进)通信系统。
通信系统300包括无线电接入网络301(RAN,即E-UTRAN,根据LTE的演进UMTS(通用移动通信系统)地面无线电接入网络)。无线电接入网络301可以包括基站(收发器)(即,eNodeB,eNB,根据LTE)303。各基站303为无线电接入网络301的一个或更多个移动无线电小区304提供无线电覆盖。
位于移动无线电小区304中的一个(在该示例中为中间无线电小区304)的移动终端(也称为UE,用户设备,或MS,移动站)305可以经由提供移动无线电小区的覆盖(换句话说,操作移动无线电小区)的基站与核心网络302以及其它移动终端305通信。
基于多址方法,控制和用户数据通过空中接口306在基站303与位于由基站303操作的移动无线电小区304中的移动终端305之间传输。
基站303借助于例如X2接口的第一接口307彼此互连。基站303借助于第二接口308(例如,S1接口)还连接至核心网络,该核心网络例如包括MME(移动性管理实体)309、服务网关(SGW)310、分组数据网关(PGW)311和归属订户服务器(HSS)312。例如,MME 309负责控制位于E-UTRAN的覆盖区域中的移动终端的移动性,而S-GW 310负责处理移动终端305与核心网络302之间的用户数据的传输。
图4示出了例示图3的通信系统中的附着过程的消息流程图400。
消息流发生在对应于UE 305的UE 401、对应于服务UE 305的eNB 303的eNB 402、(核心网络302的)默认MME 403和专用MME 404、(核心网络302的)专用SGW或分组数据网关PGW 405以及对应于HSS 312的HSS 406之间。
在407中,UE 401向eNB 402发送附着请求。
在408中,eNB 402将附着请求转发到默认MME 403。
在409中,默认MME 403向HSS 406发送认证信息请求。但是,不执行实际认证,认证信息请求仅用于从HSS 406获得UE的订阅简档(subscription profile)。该简档包括但不限于,例如,UE使用类型(即,如上所述的UE类型)或专用核心网ID、企业ID、客户ID、租户ID、顾客ID。
在410中,HSS将认证信息响应(包括UE使用类型)发送到默认MME 403。
在411中,默认MME 403基于UE使用类型(预先配置或通过域名服务器)执行MME选择,并且在412中向eNB 402发送可以包括NAS附着请求和重新路由参数(例如,标识重新路由目标的MME组标识符MMEGI)的重新路由NAS消息请求。
在413中,eNB 402将初始UE附着请求消息发送到可以包括NAS附着消息和MMEGI的专用MME 404(假设是重新路由的目标)。
在414中,专用MME 404与UE(涉及HSS 406)执行认证和NAS安全设置。NAS安全设置包括协商用于专用MME与UE之间的安全通信的密钥(除了认证密钥之外)。
在415中,专用MME 404存储与认证和NAS安全设置有关的UE上下文并且为UE 401执行GUTI(全局唯一临时标识符)分配。
在416中,专用MME 404向在417中被应答的SGW/PGW 405发送创建会话请求。
在418中,专用MME 404将附着接受消息(包括GUTI)发送到eNB 402并且然后可以遵循附着过程的其它部分,但这里不再描述。
可以看出,由于认证是由专用MME 404执行的,因此对默认MME 403的DoS攻击扩展到专用MME 404。
在下文中,参照图5和图6,针对5G(第五代)通信系统更详细地描述图1的场景。
图5示出了5G通信系统500。
通信系统500包括UE 501,其可以与5G RAN 502通信,该5G RAN 502连接到默认公共CP功能503和专用于第一核心网络实例(CNI,也称为网络切片或网络切片实例)505和第二核心网络实例(CNI)506的公共CP功能504。
第一核心网络实例505例如提供第一服务507并且第二核心网络实例506例如提供UE 501所使用的第二服务508。
核心网络实例506、507包括用户层面功能509和控制层面功能510。
公共CP功能包括认证功能511、移动性管理功能512、公共CP选择功能(CCPSF)513和网络切片选择功能514。
应当注意,另选地,5G通信系统可以不包括各CNI中的专用CP功能510,而是仅包括专用UP功能509(即,CP功能510可以不存在于另选实施方式中)。
图6示出了例示图6的通信系统中的附着过程(后面是会话管理过程)的消息流程图600。
消息流发生在对应于UE 501的UE 601、RAN 502的RAN节点602、对应于默认公共CP功能(C-CPF)503的默认公共CP功能603、特定于核心网络实例505和506(即,专用C-CPF)的公共CP功能604、第一CNI 505的第一CNI CP功能605和第一CNI UF功能606以及第二CNI506的第二CNI CP功能607和第二CNI UF功能608之间。
在609中,UE 601经由RAN节点602向默认C-CPF 603发送对网络连接的请求。
在610中,默认C-CPF 603执行C-CPF选择。
在611中,默认C-CPF 603向RAN节点602发送网络连接响应。
在612中,在RAN节点602中,NAS节点选择功能从专用C-CPF池中选择一个专用C-CPF。
在613中,RAN节点602将UE的网络连接请求发送到(所选择的)专用C-CPF 604。
在614中,专用C-CPF 604执行认证以授权UE连接运营商的网络以及NAS安全设置用于与移动终端的安全通信。
在615中,专用C-CPF 604通知UE 601已经接受UE 601连接到运营商的网络。
这结束了附着过程616,其后可以是包括PDU 601会话请求的交换以及UE 601与负责的CNI控制功能605、607之间的相应响应的会话管理过程617、618。
再次,如可以看到的,由于认证是由专用C-CPF 604执行的,因此对默认C-CPF 603的DoS攻击扩展到专用C-CPF 604。
图7例示了一种包括在将附着请求重新路由到专用公共CP功能之前执行认证的方法。
如在图1中,假设UE 701向移动通信网络发送附着请求,具体地向移动通信网络的无线电接入网络(RAN)702发送附着请求。RAN 702将附着请求转发到默认公共CP功能703,该默认公共CP功能703不对UE 701负责,例如,因为UE的类型、和/或专用和/或核心网络ID、和/或企业ID、和/或客户端ID、和/或租户ID、和/或顾客ID。
但是,默认公共CP 703执行认证(如第一箭头705所示)并且仅在认证之后将附着请求重新路由到执行UE认证和NAS(非接入层)安全设置(如第三箭头707所示)的专用公共CP功能704(如第二箭头706所示)。
此外,重新路由包括信令向专用公共CP 704表明已经执行了UE的认证的认证指示。这样的认证指示可以使用已经执行的UE认证的显式标志或者使用至专用公共CP 704的UE的认证上下文来完成。
图8示出了例示图7的方法在图4的场景中的应用的消息流程图800。
与图4类似,消息流发生在UE 801、eNB 802、默认MME 803、专用MME、专用SGW 805以及HSS 806之间。
在807中,UE 801向eNB 802发送附着请求。
在808中,eNB 802将附着请求转发到默认MME 803。
在809中,默认MME 803执行UE 801的认证(与UE 801和HSS 806交换消息)并且还获得UE的订阅简档(例如,UE使用类型、专用核心网ID、企业ID、客户ID、租户ID、顾客ID)。809的操作不包括NAS安全设置。
在810中,默认MME 803存储与认证相关的UE上下文(即,UE 801的认证上下文)。默认MME 803可以在该阶段为UE 801执行GUTI分配。
在811中,默认MME 803基于UE的订阅简档(例如,UE使用类型、专用核心网ID、企业ID、客户ID、租户ID、顾客ID)执行MME选择。默认MME 803可以是预先配置的或者通过域名服务器确定专用MME。默认MME 803在812中向eNB 802发送重新路由NAS消息请求,其可以包括NAS附着请求、重新路由参数(例如,标识重新路由目标的MME组标识符MMEGI)和向eNB802指示UE认证已经被执行的认证标志。该认证标志使得专用MME 804(即,重新路由的目标)能够知道专用MME不必再次执行UE认证。
另外,GUTI(如果可用)或默认MME的ID(例如,GUMMEI(全球唯一MME身份))也与812中的消息一起发送。该GUTI或默认MME的ID用于启用重新路由目标(即,专用MME 804)以了解哪个重新路由目标的MME应该获取UE的认证上下文,其包括,例如,在809中执行的认证期间在默认MME 803与UE 801之间协商的认证密钥。
在813中,eNB 802将初始UE附着请求消息发送到专用MME 804,该专用MME 804可以包括NAS附着消息和MMEGI认证标志、以及GUTI(如果可用)或默认MME的ID(例如,GUMMEI)。
在814中,专用MME 804对默认MME执行上下文请求以获取UE的认证上下文。在815中,在上下文响应消息中发送该上下文。
在816中,专用MME 804与UE 801执行NAS安全性设置。与图4的过程相反,专用MME804在该阶段不执行UE 801的认证。
在817中,专用MME 804向在818中被应答的SGW/PGW 805发送创建会话请求。
在819中,专用MME为UE 801执行GUTI分配。
在820中,专用MME 804将附着接受消息(包括GUTI)发送到eNB 802并且然后可以遵循附着过程的其它部分,但这里不再描述。
图9示出了例示图7的方法在图4的场景中的应用的另一另选消息流程图900。在该另选方案中,与图9的主要区别在于默认MME将重新路由NAS消息请求中的UE认证上下文发送到eNB 802,而不是认证标志。这样,专用MME不需要从如图8中的流程中执行的默认MME获取UE认证标志。
与图4类似,消息流发生在UE 901、eNB 902、默认MME 903、专用MME、专用SGW 905以及HSS 906之间。
在907中,UE 901向eNB 902发送附着请求。
在908中,eNB 902将附着请求转发到默认MME 903。
在909中,默认MME 903执行UE 901的认证(与UE 901和HSS 906交换消息)并且还获得UE的订阅简档(例如,UE使用类型、专用核心网ID、企业ID、客户ID、租户ID、顾客ID)。这不包括NAS安全设置。
在910中,默认MME 903存储与认证相关的UE上下文(即,UE 901的认证上下文)。
默认MME 903在该阶段不为UE 901执行GUTI分配。
在911中,默认MME 903基于UE的订阅简档(例如,UE使用类型、专用核心网ID、企业ID、客户ID、租户ID、顾客ID)执行MME选择。默认MME 903可以是预先配置的或者通过域名服务器确定专用MME。默认MME 903在912中向eNB 902发送重新路由NAS消息请求,其可以包括NAS附着请求、重新路由参数(例如,标识重新路由目标的MME组标识符MMEGI)以及到eNB902(例如,包括KASME密钥、NAS计数等的UE的特定NAS安全上下文)的UE的认证上下文。认证上下文可以例如包括在认证期间在默认MME 903与UE 901之间协商的认证密钥。尤其是,它可以包括使得专用MME 904(即,重新路由的目标)能够知道它不必再次执行UE认证的认证标志。
在913中,eNB 902将初始UE附着请求消息发送到专用MME 904,专用MME 904可以包括NAS附着消息和MMEGI并且包括UE的认证上下文。
在914中,专用MME 904与UE 901执行NAS安全性设置。与图4的过程相反,专用MME904在该阶段不执行UE 901的认证。
在915中,专用MME 904向在916中被应答的SGW/PGW 905发送创建会话请求。
在917中,专用MME为UE 901执行GUTI分配。
在918中,专用MME 904将附着接受消息(包括GUTI)发送到eNB 902并且然后可以遵循附着过程的其它部分,但这里不再描述。
图10示出了例示图7的方法在图6的场景中的应用的消息流程图1000。
与图6类似,消息流发生在UE 1001和RAN节点1002、默认C-CPF 1003、专用C-CPF1004、(某个运营商的)移动通信网络的第一CNI 505的第一CNI CP功能1005和第一CNI UF功能1006以及第二CNI 506的第二CNI CP功能1007和第二CNI UF功能1008之间。
在1009中,UE 1001经由RAN节点1002向默认C-CPF 1003发送对网络连接的请求。
在1010中,默认C-CPF 1003执行用于连接到运营商网络的认证和授权。这包括获得UE的订阅简档(例如,UE使用类型专用核心网ID、企业ID、客户ID、租户ID、顾客ID)。注意,检索UE的订阅简档未在图10中示出。在该阶段,不在默认C-CPF 1003和UE 1001之间执行NAS安全设置。
在1011中,默认C-CPF 1003执行C-CPF选择。
在1012中,默认C-CPF 1003向RAN节点1002发送网络连接响应。这包括重定向参数(例如,指定专用C-CPF 1004或专用C-CPF池1004)和UE 1001的认证上下文。认证上下文可以例如包括在认证期间在默认C-CPF 1003与UE 1001之间协商的认证密钥。除了具有认证上下文之外,它可以尤其包括认证标志,其使得专用C-CPF 1004(即,重定向的目标)能够知道它不必再次执行UE认证。网络连接响应可以进一步包括默认C-CPF 1003的标识或UE1001的临时标识,例如,UE的GUTI。
GUTI或默认C-CPF 1003的ID用于使重新路由目标(即,专用C-CPF 1004)能够知道哪个重新路由目标的C-CPF应该获取UE的认证上下文,其包括例如在1010中执行的认证期间,在默认C-CPF 1003和UE 1001之间协商的认证密钥。
在1013中,在RAN节点1002中,NAS节点选择功能从专用C-CPF池中选择一个专用C-CPF。
在1014中,RAN节点1002将UE的网络连接请求发送到(所选择的)专用C-CPF 1004。这可以包括重定向参数并且包括UE的认证上下文。这可以进一步包括默认C-CPF 1003的标识或UE 1001的临时标识,例如,UE的GUTI。应当注意,仅当默认C-CPF 1003已经执行了UE的临时标识的分配时,UE 1001的临时标识才可用。
在1014中,专用C-CPF 604执行用于连接运营商网络的认证和授权。
在1015中,专用C-CPF 1005与UE 1001执行NAS安全性设置。专用C-CPF 1005在该阶段不执行UE 1001的认证。
在1016中,专用C-CPF 1004通知UE 1001已经接受UE 1001连接到运营商的网络。
这结束附着过程1017,其后可以是包括PDU 1001会话请求的交换以及UE 1001和负责的CNI控制功能1005、1007之间的相应响应的会话管理过程1018、1019。
图11示出了例示图7的方法在初始接入过程中的进一步应用的消息流程图1100。
消息流发生在UE 1101、RAN 1102、默认公共控制层面功能(这里表示为公共控制网络功能(CCNF))1103以及服务CCNF 1104之间。
在1105中,UE 1101向RAN 1102发送附着请求。这可以包括IMSI(国际移动订户身份)或时间身份以及用于网络切片实例选择的所请求的MDD(多维描述符)。
在1106中,RAN 1102将附着请求转发到默认CCNF 1103。
在1107中,默认CCNF 1103执行包括UE 1101的认证的安全过程。
在1108中,默认CCNF 1103检查UE的订阅并且选择相应的网络切片实例。
在1109中,默认CCNF 1103将附着请求转发到服务CCNF 1104。这包括UE的IMSI、接受的MDD和UE的MM上下文以及1107中的认证的UE的认证上下文的传输。
在1110中,服务CCNF 1104执行网络切片实例选择。
在1111中,服务1104将附着接受(包括临时ID和接受的MDD)发送到在1112中被转发到RAN 1102并且在1113中被转发到UE的默认CCNF 1103。
总之,根据各种实施方式,如图12所示提供了一种用于建立移动终端至移动无线电通信网络的连接的方法。
图12示出了流程图1200。
在1201中,移动无线电通信网络的第一公共控制层面功能接收来自移动终端的连接请求。
在1202中,第一公共控制层面功能认证移动终端,包括生成移动终端的认证上下文。
在1203中,第一公共控制层面功能向移动无线电通信网络的第二公共控制层面功能转发连接请求并且发送移动终端的认证上下文或表明已经由第一公共控制层面功能执行的认证的认证标志。
在1204中,第二公共控制层面功能将移动终端连接至移动无线电通信网络。
根据各种实施方式,换句话说,第一公共控制层面功能执行移动终端的认证并且将移动终端的认证上下文或认证标志转发到处理移动终端的连接请求(例如,附着请求)的第二公共控制层面功能。在第二公共控制层面功能从第一公共控制层面功能接收到认证标志的情况下,第二公共控制层面功能从第一公共控制层面功能获取认证上下文。第二公共控制层面功能例如尤其处理移动终端的NAS安全设置。
换句话说,UE认证和NAS安全设置在不同的公共CP功能(即,在不同的网络节点,例如不同的MME)处执行。
第一公共控制层面功能可以例如借助于参数或认证上下文指示第二公共控制层面功能,不在重定向(即转发连接请求)之后执行移动终端认证。
在第一公共控制层面功能处执行认证使得能够防止安全攻击(例如,拒绝服务攻击)扩散并且防止在网络中引起不必要的CP信令。
认证上下文可以包括各种信息,例如移动终端的标识信息、移动终端的状态信息和模式信息、以及允许UE(再次)与网络进行认证的认证密钥,例如,在切换之后。
第一公共控制层面功能和第二公共控制层面功能可以直接或经由无线电接入网络通信。
根据一个实施方式,第一公共控制层面功能可以仅指示重新路由消息中的认证标志(而不是认证上下文)。一旦第二公共控制层面功能与其它信息(例如,GUTI)一起接收到认证标志,它就从第一公共控制层面功能获取移动终端的认证上下文。重新路由消息中已包括GUTI的原因是使得第二公共控制层面功能能够知道哪个公共控制层面功能是已经认证UE的那一个。在这种情况下,GUTI的可能的另选方案是GUMMEI。仅使用GUMMEI,第二公共控制层面功能查看与重新路由消息一起发送的NAS附着请求中的IMSI。
公共控制层面功能中的术语“公共”可以被理解为表示控制层面功能负责多个核心网络实例(或切片),即对于多个核心网络实例是共同的事实。换句话说,共同控制层面功能中的术语“共同”并不意味着暗示常规的。
图12的方法可以例如由通信网络装置(例如,通信网络组件)执行,如图13所示。
图13示出了通信网络装置1300。
通信网络装置1300被配置为实现移动无线电通信网络的第一公共控制层面功能。
通信网络装置1300包括被配置为接收来自移动终端的连接请求的接收器1301以及被配置为认证移动终端(包括生成移动终端的认证上下文)的认证功能1302。
此外,通信网络装置1300包括被配置为向移动无线电通信网络的第二公共控制层面功能转发连接请求并且发送移动终端的认证上下文的发送器1303。
各个示例如下所述:
如图12所示,示例1是一种用于建立移动终端至移动无线电通信网络的连接的方法。
示例2是示例1的方法,其中,第一公共控制层面功能基于移动终端的订阅简档转发连接请求。
示例3是示例1或示例2的方法,其中,将移动终端连接至移动无线电通信网络包括通知移动终端允许其连接至移动无线电通信网络。
示例4是示例1至示例3中任一示例的方法,其中,将移动终端连接至移动无线电通信网络包括设置与移动终端的安全通信。
示例5是示例1至示例4中任一示例的方法,该方法还包括第二公共控制层面功能,其经由移动无线电通信网络为移动终端设置通信会话。
示例6是示例1至示例5中任一示例的方法,其中,连接请求是附着请求。
示例7是示例1至示例6中任一示例的方法,其中,认证上下文包括认证密钥。
示例8是示例7的方法,其中,认证密钥允许UE在切换之后与网络进行认证。
示例9是示例1至示例8中任一项的方法,其中,认证上下文表明已经执行了UE认证。
示例10是示例1至示例9中任一示例的方法,其中,利用连接请求的转发来传输认证上下文。
示例11是示例1至示例10中任一示例的方法,其中,借助于包括认证上下文的转发附着请求消息将连接请求从第一公共控制层面功能转发到第二公共控制层面功能。
示例12是示例1至示例11中任一示例的方法,其中,第一公共控制层面功能和第二公共控制层面功能各自包括移动终端认证功能、移动性管理功能、公共控制层面功能选择功能和网络切片选择功能中的至少一个。
示例13是示例1至示例12中任一示例的方法,其中,移动无线电通信网络包括无线电接入网络和核心网络,其中,核心网络包括第一公共控制层面功能和第二公共控制层面功能。
示例14是示例1至示例13中任一示例的方法,其中,第一公共控制层面功能被配置为经由无线电接入网络将连接请求转发到第二公共控制层面功能。
示例15是示例1至示例14中任一示例的方法,其中,第一公共控制层面功能向第二公共控制层面功能发送表明其已经认证移动终端的指示,并且第二公共控制层面功能从第二公共控制层面功能请求认证上下文。
示例16是示例15的方法,其中,所述指示是认证标志。
示例17是如图13所示的通信网络装置。
根据另一示例,提供了一种将UE附着请求重定向到专用核心网络或运营商网络(NW)的专用网络切片的方法,该方法包括:
·接收来自UE的附着到运营商的网络的请求
·在确定适合于该UE的专用核心网络或专用NW切片之前,通过第一CP(控制层面)组件(例如,CPF)认证该UE
·通过考虑该UE的订阅简档来确定哪个核心网络或NW切片适合于该UE
·将UE附着请求重新路由到位于专用核心网络或专用NW切片中的第二CP组件(例如,CPF)
·在重新路由的UE附着请求中指示UE的认证上下文
·在接收到重新路由的UE附着请求之后,在UE与第二CP功能之间设置安全上下文
应当注意,在用于建立移动终端至移动无线电通信网络的连接的方法的上下文中描述的示例对于重定向UE附着请求和通信网络装置的方法类似地有效,反之亦然。
通信网络装置的组件(例如,接收器、认证功能和发射器)可以例如由一个或更多个电路实现。“电路”可以被理解为任何类型的逻辑实现实体,其可以是专用电路或执行存储在存储器中的软件、固件或其任何组合的处理器。因此,“电路”可以是硬连线逻辑电路或可编程逻辑电路,诸如可编程处理器,例如微处理器。“电路”也可以是执行软件的处理器,例如,任何类型的计算机程序。将在下面更详细地描述的各个功能的任何其它类型的实现也可以被理解为“电路”。
还应注意,公共控制层面功能不一定必须由例如不同的服务器计算机的不同的物理装置实现,而是可以通过例如相同的计算装置实现。
虽然已经描述了特定方面,但是本领域技术人员应该理解,在不脱离由所附权利要求限定的本公开的方面的精神和范围的情况下,可以在形式和细节上进行各种改变。因此,范围由所附权利要求指示并且因此旨在涵盖落入权利要求的等同物的含义和范围内的所有改变。
Claims (15)
1.一种用于建立移动终端至移动无线电通信网络的连接的方法,该方法包括:
移动无线电通信网络的第一公共控制层面功能接收来自移动终端的连接请求;
所述第一公共控制层面功能认证所述移动终端,包括生成所述移动终端的认证上下文;
所述第一公共控制层面功能向所述移动无线电通信网络的第二公共控制层面功能转发所述连接请求并且发送所述移动终端的所述认证上下文;
所述第二公共控制层面功能将所述移动终端连接至所述移动无线电通信网络。
2.根据权利要求1所述的方法,其中,所述第一公共控制层面功能基于所述移动终端的订阅简档转发所述连接请求。
3.根据权利要求1或2所述的方法,其中,将所述移动终端连接至所述移动无线电通信网络的步骤包括:通知所述移动终端允许其连接至所述移动无线电通信网络。
4.根据权利要求1至3中任一项所述的方法,其中,将所述移动终端连接至所述移动无线电通信网络的步骤包括:建立与所述移动终端的安全通信。
5.根据权利要求1至4中任一项所述的方法,该方法还包括:所述第二公共控制层面功能经由所述移动无线电通信网络为所述移动终端建立通信会话。
6.根据权利要求1至5中任一项所述的方法,其中,所述连接请求是附着请求。
7.根据权利要求1至6中任一项所述的方法,其中,所述认证上下文包括认证密钥。
8.根据权利要求7所述的方法,其中,所述认证密钥使得所述UE能够在切换之后与所述网络进行认证。
9.根据权利要求1至8中任一项所述的方法,其中,所述认证上下文表明已经执行了所述UE认证。
10.根据权利要求1至9中任一项所述的方法,其中,利用所述连接请求的转发来发送所述认证上下文。
11.根据权利要求1至10中任一项所述的方法,其中,借助于包括所述认证上下文的转发的附着请求消息将所述连接请求从所述第一公共控制层面功能转发至所述第二公共控制层面功能。
12.根据权利要求1至11中任一项所述的方法,其中,所述第一公共控制层面功能和所述第二公共控制层面功能各自包括移动终端认证功能、移动性管理功能、公共控制层面功能选择功能和网络切片选择功能中的至少一个。
13.根据权利要求1至12中任一项所述的方法,其中,所述第一公共控制层面功能向所述第二公共控制层面功能发送表明所述第一公共控制层面功能已经认证了所述移动终端的指示,并且所述第二公共控制层面功能从所述第一公共控制层面功能请求所述认证上下文。
14.根据权利要求13所述的方法,其中,所述指示是认证标志。
15.一种通信网络装置,
该通信网络装置被配置为实现移动无线电通信网络的第一公共控制层面功能,并且包括:
接收器,所述接收器被配置为接收来自移动终端的连接请求;
认证功能,所述认证功能被配置为认证所述移动终端,包括生成所述移动终端的认证上下文;
发送器,所述发送器被配置为向所述移动无线电通信网络的第二公共控制层面功能转发所述连接请求并且发送所述移动终端的所述认证上下文。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP16193086.2A EP3306887B1 (en) | 2016-10-10 | 2016-10-10 | Method for establishing a connection of a mobile terminal to a mobile radio communication network and communication network device |
| EP16193086.2 | 2016-10-10 | ||
| PCT/EP2017/074458 WO2018069043A1 (en) | 2016-10-10 | 2017-09-27 | Method for establishing a connection of a mobile terminal to a mobile radio communication network and communication network device |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109792449A true CN109792449A (zh) | 2019-05-21 |
Family
ID=57137854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780061882.4A Pending CN109792449A (zh) | 2016-10-10 | 2017-09-27 | 建立移动终端至移动无线电通信网络的连接的方法和通信网络装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11576232B2 (zh) |
| EP (1) | EP3306887B1 (zh) |
| JP (1) | JP6732794B2 (zh) |
| CN (1) | CN109792449A (zh) |
| DK (1) | DK3306887T3 (zh) |
| WO (1) | WO2018069043A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113114649B (zh) * | 2021-04-02 | 2024-01-05 | 腾讯科技(深圳)有限公司 | 拒绝服务攻击的解决方法、装置、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103858517A (zh) * | 2011-09-30 | 2014-06-11 | 日本电气株式会社 | 通信系统、方法和装置 |
| US20140219178A1 (en) * | 2012-01-20 | 2014-08-07 | Verizon Patent And Licensing Inc. | Optimizing user device context for mobility management entity (mme) resiliency |
| WO2015053602A1 (ko) * | 2013-10-11 | 2015-04-16 | 삼성전자 주식회사 | 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 |
| WO2015182111A1 (en) * | 2014-05-30 | 2015-12-03 | Nec Corporation | Apparatus, system and method for dedicated core network |
| WO2016129238A1 (en) * | 2015-02-13 | 2016-08-18 | Nec Corporation | Apparatus, system and method for security management |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008133481A1 (en) * | 2007-04-30 | 2008-11-06 | Lg Electronics Inc. | Method for performing an authentication of entities during establishment of wireless call connection |
| US9179407B2 (en) * | 2012-12-10 | 2015-11-03 | Broadcom Corporation | Selective notification of DRX parameter |
| KR102324580B1 (ko) | 2014-05-08 | 2021-11-12 | 인터디지탈 패튼 홀딩스, 인크 | Ue를 전용 코어 네트워크 노드에 리디렉트하기 위한 방법들 및 이동성 관리 엔티티(mme) |
| US9820138B2 (en) * | 2014-10-22 | 2017-11-14 | At&T Intellectual Property I, L.P. | Method and apparatus for resource management in a communication system |
| WO2016113083A1 (en) * | 2015-01-13 | 2016-07-21 | Nec Europe Ltd | Communication apparatus, core network node, system, computer program and methods for rerouting nas-messages |
| US9872209B1 (en) * | 2015-10-21 | 2018-01-16 | Sprint Communications Company L.P. | Pre-registration of a wireless communication device in a long term evolution network |
| US10142905B2 (en) * | 2016-08-26 | 2018-11-27 | At&T Intellectual Property I, L.P. | Method and apparatus for dynamic routing of low power wide area wireless communication devices |
-
2016
- 2016-10-10 EP EP16193086.2A patent/EP3306887B1/en active Active
- 2016-10-10 DK DK16193086.2T patent/DK3306887T3/da active
-
2017
- 2017-09-27 WO PCT/EP2017/074458 patent/WO2018069043A1/en active Application Filing
- 2017-09-27 US US16/340,603 patent/US11576232B2/en active Active
- 2017-09-27 CN CN201780061882.4A patent/CN109792449A/zh active Pending
- 2017-09-27 JP JP2017555634A patent/JP6732794B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103858517A (zh) * | 2011-09-30 | 2014-06-11 | 日本电气株式会社 | 通信系统、方法和装置 |
| US20140219178A1 (en) * | 2012-01-20 | 2014-08-07 | Verizon Patent And Licensing Inc. | Optimizing user device context for mobility management entity (mme) resiliency |
| WO2015053602A1 (ko) * | 2013-10-11 | 2015-04-16 | 삼성전자 주식회사 | 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 |
| WO2015182111A1 (en) * | 2014-05-30 | 2015-12-03 | Nec Corporation | Apparatus, system and method for dedicated core network |
| WO2016129238A1 (en) * | 2015-02-13 | 2016-08-18 | Nec Corporation | Apparatus, system and method for security management |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6732794B2 (ja) | 2020-07-29 |
| EP3306887A1 (en) | 2018-04-11 |
| US11576232B2 (en) | 2023-02-07 |
| US20200053564A1 (en) | 2020-02-13 |
| JP2018538706A (ja) | 2018-12-27 |
| EP3306887B1 (en) | 2020-11-25 |
| DK3306887T3 (da) | 2021-01-04 |
| WO2018069043A1 (en) | 2018-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110235423B (zh) | 对用户设备的辅认证 | |
| JP7086082B2 (ja) | 移動通信システムでアクセス及び移動性管理機能を選択するための方法及び装置 | |
| JP5392879B2 (ja) | 通信デバイスを認証するための方法および装置 | |
| TWI717383B (zh) | 用於網路切分的金鑰層級 | |
| US10320754B2 (en) | Data transmission method and apparatus | |
| CN112584371B (zh) | 漫游信令消息发送的方法、相关设备和通信系统 | |
| CN110268690A (zh) | 保护物联网中的设备通信 | |
| KR20200022512A (ko) | 네트워크 보안 관리 방법 및 장치 | |
| CN109964453A (zh) | 统一安全性架构 | |
| US20130042316A1 (en) | Method and apparatus for redirecting data traffic | |
| EP3562204B1 (en) | Method and apparatus for selecting user plane anchor | |
| CN109804706B (zh) | 用于建立移动终端到移动无线电通信网络的连接的方法和无线电接入网络组件 | |
| CN116368833A (zh) | 针对边缘计算服务的安全连接的建立和认证的方法和系统 | |
| KR102282532B1 (ko) | 링크 재설정 방법, 장치, 및 시스템 | |
| WO2014040259A1 (zh) | 一种rrc连接重建方法、设备和网络系统 | |
| CN109792449A (zh) | 建立移动终端至移动无线电通信网络的连接的方法和通信网络装置 | |
| EP3316608B1 (en) | A communication network and a method for establishing non-access stratum connections in a communication network | |
| EP3138256B1 (en) | Residential local break out in a communication system | |
| WO2021026927A1 (zh) | 通信方法和相关设备 | |
| WO2024078313A1 (zh) | 认证授权的方法与通信装置 | |
| CN113904781A (zh) | 切片认证方法及系统 | |
| CN113784351A (zh) | 切片服务验证方法及其装置 | |
| WO2013113185A1 (zh) | 业务签约信息处理方法及装置 | |
| CN107820245A (zh) | 入网认证处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190521 |
|
| RJ01 | Rejection of invention patent application after publication |