JP6167229B2 - 無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法及びmme - Google Patents
無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法及びmme Download PDFInfo
- Publication number
- JP6167229B2 JP6167229B2 JP2016517138A JP2016517138A JP6167229B2 JP 6167229 B2 JP6167229 B2 JP 6167229B2 JP 2016517138 A JP2016517138 A JP 2016517138A JP 2016517138 A JP2016517138 A JP 2016517138A JP 6167229 B2 JP6167229 B2 JP 6167229B2
- Authority
- JP
- Japan
- Prior art keywords
- user equipment
- safety
- algorithm
- security algorithm
- capability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は通信分野に関し、無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法及びMME(Mobility Management Entity、モビリティ管理エンティティ)に関する。
ロングタームエボリューション(Long Term Evolution、LTEと略称)ネットワークは、図1に示すように、発展型ユニバーサル地上無線アクセスネットワーク(Evolved Universal Terrestrial Radio Access Network、EUTRANと略称)と発展型パケットコア(Evolved Packet Core、EPCと略称)からなり、ネットワークがフラット化と現れる。EUTRANはS1インタフェースによってEPCに繋がる。EUTRANは複数の相互に接続される進化基地局(Evolved NodeB、eNBと略称)からなり、各eNBの間はX2インタフェースによって接続され、EPCはMMEとサービングゲートウェイエンティティ(Serving Gateway、S-GWと略称)からなる。また、システムアーキテクチャにおいて1つのホーム環境(Home Environment、HEと略称)、即ちホーム加入者サーバ(Home Subscriber Server、HSSと略称)又はホームロケーションレジスタ(Home Location Register、HLRと略称)があり、ユーザデータベースとする。ユーザープロファイルを含み、ユーザの身元確認及び授権を実行して、且つユーザ物理位置に関する情報等を提供することができる。
図1に示すように、LTE安全アーキテクチャは5つのタイプのセキュリティ機能を定義し、各タイプのセキュリティ機能は一定の脅威を満たし、一定の安全ターゲットを完成する。
a)ネットワークアクセス安全(I)、このセキュリティ機能はユーザのために安全アクセスサービスを提供して、特に無線ネットワークからの攻撃を避け、
b)ネットワークドメイン安全(II)、このセキュリティ機能はノード間に安全にシグナリングを交換することを確保し、有線ネットワークからの攻撃を避け、
c)ユーザ安全 (III)、このセキュリティ機能は移動局がネットワークへの安全アクセスを保護し、
d)アプリケーション層安全(IV)、このセキュリティ機能はユーザとサービスプロバイダーの間に安全に情報を交換することを確保し、
e)視覚的な設定可能なセキュリティ(V)、この機能はセキュリティ機能の実施に関わらず、ユーザは、サービスの使用及び配置の両方がセキュリティ機能によって決められることが分かる。
a)ネットワークアクセス安全(I)、このセキュリティ機能はユーザのために安全アクセスサービスを提供して、特に無線ネットワークからの攻撃を避け、
b)ネットワークドメイン安全(II)、このセキュリティ機能はノード間に安全にシグナリングを交換することを確保し、有線ネットワークからの攻撃を避け、
c)ユーザ安全 (III)、このセキュリティ機能は移動局がネットワークへの安全アクセスを保護し、
d)アプリケーション層安全(IV)、このセキュリティ機能はユーザとサービスプロバイダーの間に安全に情報を交換することを確保し、
e)視覚的な設定可能なセキュリティ(V)、この機能はセキュリティ機能の実施に関わらず、ユーザは、サービスの使用及び配置の両方がセキュリティ機能によって決められることが分かる。
図2に示すように、関連LTEシステムにおいてアルゴリズム交渉過程は以下を含み、
1)UEはMMEに添付要求メッセージを送信し、中にはUEの安全能力情報が含まれ、
2)MMEは添付要求メッセージを受信した後に、該メッセージに含まれたUEの安全能力情報を記憶し、
3)MME/HSSとUEの間にAKA(Authentication and Key Agreement、認証及び鍵共有プロトコル)認証プロセスを行い、相互認証を完成し、
4)MMEはeNBに初期コンテキスト確立メッセージを送信し、中には添付受け入れメッセージ、UEのセキュリティ機能パラメータ、システムが許可されたセキュリティアルゴリズムリストが含まれ、
5)eNBは受信したUEのセキュリティ機能パラメータ及びシステムが許可されたセキュリティアルゴリズムリストの共通集合に基づき、最も高い優先順位のアルゴリズムを暗号化アルゴリズムとして選択し、
6)eNBはUEにSMC要求メッセージを送信して、エアインタフェース安全をアクティブ化し、
7)UEはeNBにSMC応答を送信して、エアインタフェース安全アクティブ化過程を完成し、
8)eNBはUEにRRC接続再設定メッセージを送信し、中には少なくとも添付受け入れメッセージ等のパラメータが含まれ、
9)UEはeNBにRRC接続再設定完成メッセージを送信し、
10)eNBはMMEに初期コンテキスト設定応答メッセージを送信し、
11)UEはeNBに上りリンク直送メッセージを送信し、メッセージに添付完成メッセージが含まれ、
12)eNBはMMEに添付完成メッセージを送信して、正規添付過程を完成する。
1)UEはMMEに添付要求メッセージを送信し、中にはUEの安全能力情報が含まれ、
2)MMEは添付要求メッセージを受信した後に、該メッセージに含まれたUEの安全能力情報を記憶し、
3)MME/HSSとUEの間にAKA(Authentication and Key Agreement、認証及び鍵共有プロトコル)認証プロセスを行い、相互認証を完成し、
4)MMEはeNBに初期コンテキスト確立メッセージを送信し、中には添付受け入れメッセージ、UEのセキュリティ機能パラメータ、システムが許可されたセキュリティアルゴリズムリストが含まれ、
5)eNBは受信したUEのセキュリティ機能パラメータ及びシステムが許可されたセキュリティアルゴリズムリストの共通集合に基づき、最も高い優先順位のアルゴリズムを暗号化アルゴリズムとして選択し、
6)eNBはUEにSMC要求メッセージを送信して、エアインタフェース安全をアクティブ化し、
7)UEはeNBにSMC応答を送信して、エアインタフェース安全アクティブ化過程を完成し、
8)eNBはUEにRRC接続再設定メッセージを送信し、中には少なくとも添付受け入れメッセージ等のパラメータが含まれ、
9)UEはeNBにRRC接続再設定完成メッセージを送信し、
10)eNBはMMEに初期コンテキスト設定応答メッセージを送信し、
11)UEはeNBに上りリンク直送メッセージを送信し、メッセージに添付完成メッセージが含まれ、
12)eNBはMMEに添付完成メッセージを送信して、正規添付過程を完成する。
メッセージへのセキュリティ対策は主にRRC(Radio Resource Control、無線リソース制御)、NAS(Non-access stratum、非アクセス層)メッセージの暗号化完全性保護、エアインタフェースユーザプレーンへの暗号化及び完全性保護等を含む。UE(User Equipment、ユーザ機器)への追跡はセルレベルの測定レポート、切り替え情報マッピング又はUEセルアイデンティティ関連に基づいたものであるため、RRCシグナリングに暗号化保護を提供することによってUEへの追跡を阻止し、RRCシグナリングを暗号化するかどうかはオペレーターによって決められる。NASシグナリングを機密性保護するかどうかもオペレーターによって決められる。ユーザプレーンの機密保護はPDCP(Packet Data Convergence Protocol、パケットデータコンバージェンスプロトコル)層において実現されるべきであり、採用するかどうかはオペレーターによって決められる。NAS及びRRCシグナリングに対して完全性保護及び防再生攻撃保護を行うべきである。
ネットワーク装置と端末の間の暗号化及び完全性保護に使用されたアルゴリズムは、両方でネゴシエーションする必要がある。アクセス層の初期化階段でセキュリティコンテキストを確立する際のネゴシエーション過程は、以下を含み、
ネットワーク管理は各eNB配置システムによって許可されたセキュリティアルゴリズムリストであり、完全性アルゴリズムリストと暗号化アルゴリズムリストを含む。これらのリストにおけるアルゴリズムはオペレーターがカスタムした優先順位に応じてソートすべきである。アクセス層のセキュリティコンテキストをeNBに確立する場合に、MMEはeNBへUEのEPS(Evolved Packet System、発展型パケットシステム)安全能力を送信すべきである。eNBは上記のアルゴリズムリストとUE EPS安全能力リストの共通集合から満足できる最も高い優先順位の暗号化アルゴリズムと完全性アルゴリズムを選択し、且つ選択されたアルゴリズムをAS(Access Stratum、アクセス層) SMC(Security Mode Command、セキュリティモードコマンド)によってUEに知らせる。暗号化アルゴリズムはユーザプレーンとRRC通信を暗号化して、完全性アルゴリズムはRRC通信の完全性を保護することに用いられる。
ネットワーク管理は各eNB配置システムによって許可されたセキュリティアルゴリズムリストであり、完全性アルゴリズムリストと暗号化アルゴリズムリストを含む。これらのリストにおけるアルゴリズムはオペレーターがカスタムした優先順位に応じてソートすべきである。アクセス層のセキュリティコンテキストをeNBに確立する場合に、MMEはeNBへUEのEPS(Evolved Packet System、発展型パケットシステム)安全能力を送信すべきである。eNBは上記のアルゴリズムリストとUE EPS安全能力リストの共通集合から満足できる最も高い優先順位の暗号化アルゴリズムと完全性アルゴリズムを選択し、且つ選択されたアルゴリズムをAS(Access Stratum、アクセス層) SMC(Security Mode Command、セキュリティモードコマンド)によってUEに知らせる。暗号化アルゴリズムはユーザプレーンとRRC通信を暗号化して、完全性アルゴリズムはRRC通信の完全性を保護することに用いられる。
以上のように、関連LTEセキュリティアルゴリズムの選択は、UEの安全能力、現在のサービスネットワーク配置の許可された安全能力リストに基づく。
関連LTEセキュリティアルゴリズムネゴシエーションの元で、新しいアルゴリズム、例えば祖沖之氏のアルゴリズム(即ちZUC)を増加して、且つ該アルゴリズムはある地域での優先順位(例えば中国大陸)が最も高いと、中国大陸のユーザに対してZUCアルゴリズムを優先的に使用すべきである。オペレーターは大陸のユーザに対してZUCアルゴリズムの使用だけをサポートして暗号化すると、ZUCをサポートしない端末に対して、そのセキュリティ機能パラメータとシステムが許可されたセキュリティアルゴリズムリストの共通集合が空ではないと、依然として暗号化されることができない。この場合で、海外ローミングによって中国大陸にアクセスするユーザに対して、使用した端末がZUCアルゴリズムをサポートしないものであり、海外ローミング協定に準じて、それのために暗号化サービスを提供するが、関連LTEシステムが該需要を満たすことができない。
本発明の実施例は、ユーザがローミングを生成する際にある所定のセキュリティアルゴリズムをサポートしないことで暗号化サービスを取得することができない欠陥を克服する無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法及びMMEを提供することを目的とする。
上記の問題を解決するために、本発明の実施例は無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法を提供し、
モビリティ管理エンティティは現在アクセスを要求するユーザ機器の安全能力及び前記ユーザ機器がローミング状態にあるかどうかに基づき、前記ユーザ機器の安全能力を確定して前記ユーザ機器のサービス基地局に送信することを含む。
モビリティ管理エンティティは現在アクセスを要求するユーザ機器の安全能力及び前記ユーザ機器がローミング状態にあるかどうかに基づき、前記ユーザ機器の安全能力を確定して前記ユーザ機器のサービス基地局に送信することを含む。
好ましくは、
前記ユーザ機器の安全能力を確定するのは、
前記モビリティ管理エンティティは前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器が非ローミング状態にあると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを空集合にすることを含む。
前記ユーザ機器の安全能力を確定するのは、
前記モビリティ管理エンティティは前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器が非ローミング状態にあると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを空集合にすることを含む。
好ましくは、
前記ユーザ機器の安全能力を確定するのは、
前記モビリティ管理エンティティは前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器がローミング状態にあると判断した、或いは前記ユーザ機器が前記所定のセキュリティアルゴリズムをサポートすると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを変更しないことを含む。
前記ユーザ機器の安全能力を確定するのは、
前記モビリティ管理エンティティは前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器がローミング状態にあると判断した、或いは前記ユーザ機器が前記所定のセキュリティアルゴリズムをサポートすると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを変更しないことを含む。
好ましくは、
前記ユーザ機器の安全能力を前記ユーザ機器のサービス基地局に送信するのは、
初期コンテキスト確立メッセージによって前記ユーザ機器の安全能力を前記サービス基地局に送信することを含み、
前記初期コンテキスト確立メッセージには添付受け入れメッセージ及びシステムが許可されたセキュリティアルゴリズムリストが更に含まれる。
前記ユーザ機器の安全能力を前記ユーザ機器のサービス基地局に送信するのは、
初期コンテキスト確立メッセージによって前記ユーザ機器の安全能力を前記サービス基地局に送信することを含み、
前記初期コンテキスト確立メッセージには添付受け入れメッセージ及びシステムが許可されたセキュリティアルゴリズムリストが更に含まれる。
好ましくは、
前記所定のセキュリティアルゴリズムはシステムがローカルでサポートされた優先順位が最も高いセキュリティアルゴリズムである。
前記所定のセキュリティアルゴリズムはシステムがローカルでサポートされた優先順位が最も高いセキュリティアルゴリズムである。
好ましくは、
前記所定のセキュリティアルゴリズムは祖沖之氏のアルゴリズム(ZUC)を含む。
前記所定のセキュリティアルゴリズムは祖沖之氏のアルゴリズム(ZUC)を含む。
本発明の実施例はモビリティ管理エンティティを更に提供し、
現在アクセスを要求するユーザ機器の安全能力及び前記ユーザ機器がローミング状態にあるかどうかに基づき、前記ユーザ機器の安全能力を確定するように設定される処理モジュール、及び
前記処理モジュールが確定した前記ユーザ機器の安全能力を前記ユーザ機器のサービス基地局に送信するように設定される送信モジュールを含む。
現在アクセスを要求するユーザ機器の安全能力及び前記ユーザ機器がローミング状態にあるかどうかに基づき、前記ユーザ機器の安全能力を確定するように設定される処理モジュール、及び
前記処理モジュールが確定した前記ユーザ機器の安全能力を前記ユーザ機器のサービス基地局に送信するように設定される送信モジュールを含む。
好ましくは、
前記処理モジュールは、前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器が非ローミング状態にあると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを空集合にするように設定される。
前記処理モジュールは、前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器が非ローミング状態にあると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを空集合にするように設定される。
好ましくは、
前記処理モジュールは、前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器がローミング状態にあると判断した、或いは前記ユーザ機器が前記所定のセキュリティアルゴリズムをサポートすると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを変更しないように設定される。
前記処理モジュールは、前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器がローミング状態にあると判断した、或いは前記ユーザ機器が前記所定のセキュリティアルゴリズムをサポートすると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを変更しないように設定される。
好ましくは、
前記送信モジュールは、前記ユーザ機器の安全能力をサービス基地局に送信するように設定され、
前記送信モジュールは、初期コンテキスト確立メッセージによって前記ユーザ機器の安全能力を前記サービス基地局に送信するように設定されることを含み、
前記初期コンテキスト確立メッセージには添付受け入れメッセージ及びシステムが許可されたセキュリティアルゴリズムリストが更に含まれた。
前記送信モジュールは、前記ユーザ機器の安全能力をサービス基地局に送信するように設定され、
前記送信モジュールは、初期コンテキスト確立メッセージによって前記ユーザ機器の安全能力を前記サービス基地局に送信するように設定されることを含み、
前記初期コンテキスト確立メッセージには添付受け入れメッセージ及びシステムが許可されたセキュリティアルゴリズムリストが更に含まれた。
好ましくは、
前記所定のセキュリティアルゴリズムはシステムがローカルでサポートされた優先順位が最も高いセキュリティアルゴリズムである。
前記所定のセキュリティアルゴリズムはシステムがローカルでサポートされた優先順位が最も高いセキュリティアルゴリズムである。
好ましくは、
前記所定のセキュリティアルゴリズムは祖沖之氏のアルゴリズム(ZUC)を含む。
前記所定のセキュリティアルゴリズムは祖沖之氏のアルゴリズム(ZUC)を含む。
本発明の実施例を採用すれば、端末にローミングを生成する際に、該端末がある所定のセキュリティアルゴリズムをサポートしなくても、該端末と基地局の間に交換するエアインタフェースメッセージを暗号化することもでき、通信の安全性を確保する。
以下、図面を参照して本発明の実施例を詳細的に説明する。競合しない場合には、本出願における実施例及び実施例中の特徴を互いに任意で組み合わせることができる。
無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法であって、図3に示すように、
モビリティ管理エンティティは現在アクセスを要求するユーザ機器の安全能力及び該ユーザ機器がローミング状態にあるかどうかに基づき、該ユーザ機器の安全能力を確定して該ユーザ機器のサービス基地局に送信する。ユーザ機器の安全能力は初期コンテキスト確立メッセージによって送信されることができ、該初期コンテキスト確立メッセージには添付受け入れメッセージ及びシステムが許可されたセキュリティアルゴリズムリストが含まれてもよい。
モビリティ管理エンティティは現在アクセスを要求するユーザ機器の安全能力及び該ユーザ機器がローミング状態にあるかどうかに基づき、該ユーザ機器の安全能力を確定して該ユーザ機器のサービス基地局に送信する。ユーザ機器の安全能力は初期コンテキスト確立メッセージによって送信されることができ、該初期コンテキスト確立メッセージには添付受け入れメッセージ及びシステムが許可されたセキュリティアルゴリズムリストが含まれてもよい。
なお、該ユーザ機器の安全能力の確定は、
モビリティ管理エンティティは該ユーザ機器の安全能力に基づき該ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ該ユーザ機器が現在非ローミング状態にあると判断した際に、該ユーザ機器の安全能力における暗号化アルゴリズムを空集合にする方法、
モビリティ管理エンティティは該ユーザ機器の安全能力に基づき該ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ該ユーザ機器が現在ローミング状態にあると判断した、或いは該ユーザ機器が所定のセキュリティアルゴリズムをサポートすると判断した際に、該ユーザ機器の安全能力における暗号化アルゴリズムを変えない方法の中の1種によって実現することができる。
モビリティ管理エンティティは該ユーザ機器の安全能力に基づき該ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ該ユーザ機器が現在非ローミング状態にあると判断した際に、該ユーザ機器の安全能力における暗号化アルゴリズムを空集合にする方法、
モビリティ管理エンティティは該ユーザ機器の安全能力に基づき該ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ該ユーザ機器が現在ローミング状態にあると判断した、或いは該ユーザ機器が所定のセキュリティアルゴリズムをサポートすると判断した際に、該ユーザ機器の安全能力における暗号化アルゴリズムを変えない方法の中の1種によって実現することができる。
上記所定のセキュリティアルゴリズムはシステムがローカルでサポートされた優先順位が最も高いセキュリティアルゴリズムである。好ましくは、所定のセキュリティアルゴリズムはZUCを含むが、これに制限されない。
図4に示すように、LTEネットワークにおけるエアインタフェースセキュリティアルゴリズム選択の流れである。この流れは主にMMEの処理機能に現れ、シグナリング流れを変更しない。ステップは以下を含み、
1)UEはMMEに添付要求メッセージを送信し、中にはUEの安全能力情報が含まれ、
2)MMEは添付要求メッセージを受信した後に、該メッセージに含まれたUEの安全能力情報を記憶し、
3)MME/HSSとUEの間にAKA認証プロセスを行い、相互認証を完成し、
4)MMEはUEの安全能力を確定する。主にUEそのものの安全能力、ネットワーク側に配置した許可されたアルゴリズムリスト及びUEの帰属地に基づき確定する。ステップは、図5に示すように、以下を含み、
a)MMEは現在UEの安全能力にZUCアルゴリズムを含むかどうかを判断し、含まないと、ステップb)を実行し、そうないと、終了し、
b)UEが現在ローミング状態にあるかどうかを判断し、
c)UEが現在ローミング状態ではない、即ちローカルユーザであると、UEの元の安全能力における暗号化アルゴリズムを空とし、
d)UEが現在ローミング状態にあると、UEの元の安全能力を保留し、
5)MMEはeNBに初期コンテキスト確立メッセージを送信し、中には添付受け入れメッセージ、再確定したUEのセキュリティ機能パラメータ及びシステムが許可されたセキュリティアルゴリズムリストが含まれ、
6)ステップ4)においてUEの安全能力を変更した場合、このステップでは、初期コンテキスト確立メッセージに含まれたのは更新後のUEの安全能力であり、そうでない場合、UEの元の安全能力を含み、eNBは受信したUEのセキュリティ機能パラメータとシステムが許可されたセキュリティアルゴリズムリストの共通集合に基づき、優先順位が最も高いアルゴリズムを暗号化アルゴリズムとして選択し、
7)eNBはUEにSMC要求メッセージを送信して、エアインタフェース安全をアクティブ化し、
8)UEはeNBにSMC応答を送信して、エアインタフェース安全アクティブ化過程を完成し、
9)eNBはUEにRRC接続再設定メッセージを送信して、中には少なくとも添付受け入れメッセージ等のパラメータが含まれ、
10)UEはeNBにRRC接続再設定完成メッセージを送信し、
11)eNBはMMEに初期コンテキスト設定応答メッセージを送信し、
12)UEはeNBに上りリンク直送メッセージを送信し、メッセージに添付完成メッセージが含まれ、
13)eNBはMMEに添付完成メッセージを送信し、正規添付過程を完成する。
1)UEはMMEに添付要求メッセージを送信し、中にはUEの安全能力情報が含まれ、
2)MMEは添付要求メッセージを受信した後に、該メッセージに含まれたUEの安全能力情報を記憶し、
3)MME/HSSとUEの間にAKA認証プロセスを行い、相互認証を完成し、
4)MMEはUEの安全能力を確定する。主にUEそのものの安全能力、ネットワーク側に配置した許可されたアルゴリズムリスト及びUEの帰属地に基づき確定する。ステップは、図5に示すように、以下を含み、
a)MMEは現在UEの安全能力にZUCアルゴリズムを含むかどうかを判断し、含まないと、ステップb)を実行し、そうないと、終了し、
b)UEが現在ローミング状態にあるかどうかを判断し、
c)UEが現在ローミング状態ではない、即ちローカルユーザであると、UEの元の安全能力における暗号化アルゴリズムを空とし、
d)UEが現在ローミング状態にあると、UEの元の安全能力を保留し、
5)MMEはeNBに初期コンテキスト確立メッセージを送信し、中には添付受け入れメッセージ、再確定したUEのセキュリティ機能パラメータ及びシステムが許可されたセキュリティアルゴリズムリストが含まれ、
6)ステップ4)においてUEの安全能力を変更した場合、このステップでは、初期コンテキスト確立メッセージに含まれたのは更新後のUEの安全能力であり、そうでない場合、UEの元の安全能力を含み、eNBは受信したUEのセキュリティ機能パラメータとシステムが許可されたセキュリティアルゴリズムリストの共通集合に基づき、優先順位が最も高いアルゴリズムを暗号化アルゴリズムとして選択し、
7)eNBはUEにSMC要求メッセージを送信して、エアインタフェース安全をアクティブ化し、
8)UEはeNBにSMC応答を送信して、エアインタフェース安全アクティブ化過程を完成し、
9)eNBはUEにRRC接続再設定メッセージを送信して、中には少なくとも添付受け入れメッセージ等のパラメータが含まれ、
10)UEはeNBにRRC接続再設定完成メッセージを送信し、
11)eNBはMMEに初期コンテキスト設定応答メッセージを送信し、
12)UEはeNBに上りリンク直送メッセージを送信し、メッセージに添付完成メッセージが含まれ、
13)eNBはMMEに添付完成メッセージを送信し、正規添付過程を完成する。
なお、本実施例において、モビリティ管理エンティティであって、
現在アクセスを要求するユーザ機器の安全能力及び前記ユーザ機器がローミング状態にあるかどうかに基づき、前記ユーザ機器の安全能力を確定するように設定される処理モジュール、及び
前記処理モジュールが確定した前記ユーザ機器の安全能力を前記ユーザ機器のサービス基地局に送信するように設定される送信モジュールを含む。
現在アクセスを要求するユーザ機器の安全能力及び前記ユーザ機器がローミング状態にあるかどうかに基づき、前記ユーザ機器の安全能力を確定するように設定される処理モジュール、及び
前記処理モジュールが確定した前記ユーザ機器の安全能力を前記ユーザ機器のサービス基地局に送信するように設定される送信モジュールを含む。
好ましくは、
前記処理モジュールは、前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器が非ローミング状態にあると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを空集合にするように設定される。
前記処理モジュールは、前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器が非ローミング状態にあると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを空集合にするように設定される。
好ましくは、
前記処理モジュールは、前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器がローミング状態にあると判断した、或いは前記ユーザ機器が前記所定のセキュリティアルゴリズムをサポートすると判断する際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを変更しないように設定される。
前記処理モジュールは、前記ユーザ機器の安全能力に基づき前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器がローミング状態にあると判断した、或いは前記ユーザ機器が前記所定のセキュリティアルゴリズムをサポートすると判断する際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを変更しないように設定される。
好ましくは、
前記送信モジュールは、前記ユーザ機器の安全能力をサービス基地局に送信するように設定され、
前記送信モジュールは、初期コンテキスト確立メッセージによって前記ユーザ機器の安全能力を前記サービス基地局に送信するように設定されることを含み、
前記初期コンテキスト確立メッセージには添付受け入れメッセージ及びシステムが許可されたセキュリティアルゴリズムリストが更に含まれた。
前記送信モジュールは、前記ユーザ機器の安全能力をサービス基地局に送信するように設定され、
前記送信モジュールは、初期コンテキスト確立メッセージによって前記ユーザ機器の安全能力を前記サービス基地局に送信するように設定されることを含み、
前記初期コンテキスト確立メッセージには添付受け入れメッセージ及びシステムが許可されたセキュリティアルゴリズムリストが更に含まれた。
好ましくは、
前記所定のセキュリティアルゴリズムはシステムがローカルでサポートされた優先順位が最も高いセキュリティアルゴリズムである。
前記所定のセキュリティアルゴリズムはシステムがローカルでサポートされた優先順位が最も高いセキュリティアルゴリズムである。
好ましくは、
前記所定のセキュリティアルゴリズムは祖沖之氏のアルゴリズム(ZUC)を含む。
前記所定のセキュリティアルゴリズムは祖沖之氏のアルゴリズム(ZUC)を含む。
当業者は、上記方法における全部又は一部のステップは、プログラムが関連のハードウェアを指令することにより完成することができ、前記プログラムはコンピュータ可読記憶媒体、例えば読み出し専用メモリ、ディスク又はCDなどに記憶することができることを理解することができる。選択的に、上記実施例の全部又は一部のステップは、1つ又は複数の集積回路を採用して達成することもできる。対応的には、上記実施例における各モジュール/ユニットはハードウェアの形式で達成してよく、ソフトウェア機能モジュールの形式で達成してもよい。本発明の実施例はいずれの特定形式のハードウェアとソフトウェアの組み合わせに限定されたものではない。
以上、前記のものは単に本発明の好ましい実施例であるだけで、本発明の実施例の保護範囲を限定するためのものではない。本発明の発明内容により、更に他の多種の実施例を有することができ、本発明の実施例の精神とその実質から逸脱しない場合には、当業者は、本発明により1種又は多種の相応な変更と変形を行うことができ、本発明の実施例の精神と原則にある限り、行ったいずれの修正、等価置き換え、改善などは、いずれも本発明の実施例の保護範囲に含まれるべきである。
本発明の実施例を採用すれば、端末がローミングをする際に、該端末がある所定のセキュリティアルゴリズムをサポートしなくても、該端末と基地局の間に交換するエアインタフェースメッセージを暗号化することができ、通信の安全性を確保する。
Claims (6)
- 無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法であって、
モビリティ管理エンティティは現在アクセスを要求するユーザ機器の安全能力及び前記ユーザ機器がローミング状態にあるかどうかに基づき、前記ユーザ機器の安全能力を確定して前記ユーザ機器のサービス基地局に送信することを含み、
前記ユーザ機器の安全能力を確定することは、
前記モビリティ管理エンティティは前記ユーザ機器の安全能力に基づき、前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器が非ローミング状態にあると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムリストを空集合にすること、
又は、
前記モビリティ管理エンティティは前記ユーザ機器の安全能力に基づき、前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器がローミング状態にあると判断した際に、或いは前記ユーザ機器が前記所定のセキュリティアルゴリズムをサポートすると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを変更しないことを含み、
前記所定のセキュリティアルゴリズムはシステムがローカルでサポートされた優先順位が最も高いセキュリティアルゴリズムである無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法。 - 前記ユーザ機器の安全能力を前記ユーザ機器のサービス基地局に送信することは、
初期コンテキスト確立メッセージによって前記ユーザ機器の安全能力を前記サービス基地局に送信することを含み、
前記初期コンテキスト確立メッセージには添付受け入れメッセージ及びシステムが許可されたセキュリティアルゴリズムリストが更に含まれた請求項1に記載の方法。 - 前記所定のセキュリティアルゴリズムは祖沖之氏のアルゴリズム(ZUC)を含む請求項1に記載の方法。
- モビリティ管理エンティティであって、
現在アクセスを要求するユーザ機器の安全能力及び前記ユーザ機器がローミング状態にあるかどうかに基づき、前記ユーザ機器の安全能力を確定するように設定される処理モジュール、及び
前記処理モジュールが確定した前記ユーザ機器の安全能力を前記ユーザ機器のサービス基地局に送信するように設定される送信モジュールを含み、
前記処理モジュールは、前記ユーザ機器の安全能力に基づき、前記ユーザ機器が所定のセキュリティアルゴリズムをサポートせず、且つ前記ユーザ機器が非ローミング状態にあると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムリストを空集合にするように設定され、
又は、
前記処理モジュールは、前記ユーザ機器の安全能力に基づき、前記ユーザ機器が所定のセキュリティアルゴリズムをサポートしせず、且つ前記ユーザ機器がローミング状態にあると判断した際に、或いは前記ユーザ機器が前記所定のセキュリティアルゴリズムをサポートすると判断した際に、前記ユーザ機器の安全能力における暗号化アルゴリズムを変更しないように設定され、
前記所定のセキュリティアルゴリズムはシステムがローカルでサポートした優先順位が最も高いセキュリティアルゴリズムであるモビリティ管理エンティティ。 - 前記送信モジュールは、前記ユーザ機器の安全能力をサービス基地局に送信するように設定されることは、
前記送信モジュールが、初期コンテキスト確立メッセージによって前記ユーザ機器の安全能力を前記サービス基地局に送信するように設定されることを含み、
前記初期コンテキスト確立メッセージには添付受け入れメッセージ及びシステムが許可されたセキュリティアルゴリズムリストが更に含まれた請求項4に記載のモビリティ管理エンティティ。 - 前記所定のセキュリティアルゴリズムは祖沖之氏のアルゴリズム(ZUC)を含む請求項4に記載のモビリティ管理エンティティ。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310218914.0 | 2013-06-04 | ||
| CN201310218914.0A CN104219655A (zh) | 2013-06-04 | 2013-06-04 | 一种无线通信系统中空口安全算法的选择方法及mme |
| PCT/CN2014/077047 WO2014194742A1 (zh) | 2013-06-04 | 2014-05-08 | 一种无线通信系统中空口安全算法的选择方法及mme |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016524870A JP2016524870A (ja) | 2016-08-18 |
| JP6167229B2 true JP6167229B2 (ja) | 2017-07-19 |
Family
ID=52007521
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016517138A Expired - Fee Related JP6167229B2 (ja) | 2013-06-04 | 2014-05-08 | 無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法及びmme |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP6167229B2 (ja) |
| CN (1) | CN104219655A (ja) |
| WO (1) | WO2014194742A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786511A (zh) * | 2016-08-27 | 2018-03-09 | 北京信威通信技术股份有限公司 | 集群系统中实现群组通信安全的方法 |
| WO2018076298A1 (zh) * | 2016-10-28 | 2018-05-03 | 华为技术有限公司 | 一种安全能力协商方法及相关设备 |
| CN112449400B (zh) * | 2019-08-15 | 2022-03-29 | 大唐移动通信设备有限公司 | 一种通信方法、装置及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1184833C (zh) * | 2001-12-21 | 2005-01-12 | 华为技术有限公司 | 一种基于移动国家码确定保密通信中加密算法的方法 |
| CN100525156C (zh) * | 2003-09-25 | 2009-08-05 | 华为技术有限公司 | 一种选择安全通信算法的方法 |
| CN1564513A (zh) * | 2004-04-02 | 2005-01-12 | 中兴通讯股份有限公司 | 一种移动通讯系统中选择加密算法的方法 |
| CN1332569C (zh) * | 2004-04-23 | 2007-08-15 | 中兴通讯股份有限公司 | 协商选择空中接口加密算法的方法 |
| CN101128061B (zh) * | 2007-09-27 | 2013-02-27 | 中兴通讯股份有限公司 | 移动管理单元、演进基站、确定用户面是否加密的方法和系统 |
| CN101686233B (zh) * | 2008-09-24 | 2013-04-03 | 电信科学技术研究院 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
| CN101557589A (zh) * | 2009-05-04 | 2009-10-14 | 中兴通讯股份有限公司 | 防止空完整性保护算法用于正常通信的方法和系统 |
| WO2011152665A2 (en) * | 2010-06-01 | 2011-12-08 | Samsung Electronics Co., Ltd. | Method and system of securing group communication in a machine-to-machine communication environment |
-
2013
- 2013-06-04 CN CN201310218914.0A patent/CN104219655A/zh active Pending
-
2014
- 2014-05-08 WO PCT/CN2014/077047 patent/WO2014194742A1/zh active Application Filing
- 2014-05-08 JP JP2016517138A patent/JP6167229B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014194742A1 (zh) | 2014-12-11 |
| CN104219655A (zh) | 2014-12-17 |
| JP2016524870A (ja) | 2016-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110419205B (zh) | 针对用户平面数据的完整性保护的方法 | |
| JP7100115B2 (ja) | セキュリティ実現方法、関連する装置及びシステム | |
| EP2731382B1 (en) | Method for setting terminal in mobile communication system | |
| US20200404494A1 (en) | Key Obtaining Method and Device, and Communications System | |
| US11627458B2 (en) | Key derivation algorithm negotiation method and apparatus | |
| US20170359719A1 (en) | Key generation method, device, and system | |
| US20200228977A1 (en) | Parameter Protection Method And Device, And System | |
| CN102869007B (zh) | 安全算法协商的方法、装置及网络系统 | |
| KR20230160406A (ko) | Nas 메시지의 보안 보호를 위한 시스템 및 방법 | |
| US11617075B2 (en) | Terminal information transfer method and relevant products | |
| CN111149379B (zh) | 无线通信系统中的接入层安全性 | |
| US11871223B2 (en) | Authentication method and apparatus and device | |
| CN108781110B (zh) | 用于通过通信网络中继数据的系统和方法 | |
| WO2018079692A1 (ja) | 通信システム、基地局、制御方法、及びコンピュータ可読媒体 | |
| CN106899562A (zh) | 物联网的安全算法协商方法、网元及物联网终端 | |
| WO2013127190A1 (zh) | 一种nas算法的传输方法及装置 | |
| US20150319618A1 (en) | Communication security processing method, and apparatus | |
| JP6167229B2 (ja) | 無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法及びmme | |
| US11722890B2 (en) | Methods and systems for deriving cu-up security keys for disaggregated gNB architecture | |
| CN107925874B (zh) | 超密集网络安全架构和方法 | |
| CN113557699B (zh) | 通信装置、基础设施设备、核心网络设备和方法 | |
| EP3412015A1 (en) | Controlling bearer security in a telecommunications connection | |
| JP6732794B2 (ja) | モバイル無線通信ネットワーク及び通信ネットワークデバイスへのモバイル端末の接続を確立するための方法 | |
| CN107005410B (zh) | 因特网协议安全性隧道建立方法,用户设备及基站 | |
| CN117812574A (zh) | 通信方法和通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161110 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161206 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170302 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170530 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170626 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6167229 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |