WO2014169878A1

WO2014169878A1 - 移动网络接入方法、ue、安全服务网关、系统和存储介质

Info

Publication number: WO2014169878A1
Application number: PCT/CN2014/078165
Authority: WO
Inventors: 甘露; 谢峰
Original assignee: 中兴通讯股份有限公司
Priority date: 2013-07-31
Filing date: 2014-05-22
Publication date: 2014-10-23
Also published as: CN104349317A

Abstract

本发明公开了一种移动网络接入方法、UE、安全服务网管、系统和存储介质。所述移动网络的接入方法包括用户设备UE从核心网获取自身相关信息，及并根据所述信息选择接入移动网络的类型。

Description

移动网络接入方法、 UE、安全服务网关、系统和存储介质技术领域

本发明涉及移动通信技术领域，尤其涉及一种移动网络接入方法、用户设备（User Equipment, 简称为 UE )、安全服务网关、系统和存储介质。背景技术

在移动通信领域，随着智能终端和移动互联网应用的快速发展，移动网络也随之发展，其中包含无线接入方式。

整个演进分组系统（ Evolved Packet System, 简称为 EPS )分为无线接入网和核心网两部分，无线接入网分为第三代合作伙伴计划（ 3rd Generation Partnership Project, 简称为 3GPP )接入网和非 3GPP接入网。

其中，所述 3GPP接入网由演进基站（ Evolved NodeB，简称为 eNB ) 组成，它主要负责无线信号的收发，通过空中接口和终端联系，管理空中接口的无线资源、资源调度、以及接入控制。

所述核心网，包含了归属用户服务器（Home Subscriber Server, 简称为 HSS )、移动性管理实体（Mobility Management Entity, 简称为 MME )、策略计费规则功能（Policy and Charging Rule Function, 简称为 PCRF ) 实体、服务网关（Serving Gateway, 简称为 S-GW )和分组数据网关（ PDN Gateway, 简称为 P-GW )。如图 1所示，图 1为包括 3GPP接入和非 3GPP 接入的 EPS结构示意图。

如图 1所示， EPS系统支持 3GPP接入。 HSS是用户签约数据的永久存放地点，位于用户签约的归属网； MME负责移动性管理、非接入层信令的处理和用户移动性管理上下文的管理等控制面相关功能； S-GW是与 3GPP接入网相连的接入网关设备，在 3GPP接入和 P-GW之间转发数据，并对数据进行緩存； P-GW是 EPS与分组数据网络（ Packet Data Network, 简称为 PDN )的边界网关，负责 PDN的接入及其在 EPS与 PDN之间转发数据等功能； PCRF是策略和计费规则功能实体，其通过接收接口 Rx和运营商业务网络相连，负责提供计费控制、在线信用控制、门限控制、以及服务质量（Quality of Service, 简称为 QoS )控制。

如图 1所示， EPS系统也支持非 3GPP接入。其中，与非 3GPP接入的互通通过 S2a/S2b/S2c接口实现， P-GW作为 3GPP与非 3GPP接入间的锚点。非 3GPP接入被分为授信非 3GPP接入和非授信非 3GPP接入。其中，所述授信非 3GPP接入可直接通过 S2a接口与 P-GW连接， S2a接口釆用代理移动 IP ( Proxy Mobile IP，简称为 PMIP )协议进行信息交互；所述非授信非 3GPP接入需经过演进的分组数据网关（ evolved Packet Data Gateway, 简称为 ePDG )与 P-GW相连， ePDG与 P-GW间的接口为所述 S2b。所述 S2c接口提供了 UE与 P-GW之间的用户面控制以及移动性支持，其支持的移动性协议为支持双栈的移动 IPv6 ( Mobile IPv6 support for Dual Stack Hosts and Routers，简称为 DSMIPv6 )。

如图 2 所示， EPS 安全密钥架构如下，全球用户识别卡（Universal Subscriber Identity Module , 简称为 USIM ) 和鉴权中心（Authentication Centre, 简称为 AuC )共享密钥 K，在 UE使用 USIM和网络进行成功的认证之后， UE和 HSS共享密钥 CK/IK以及由 CK/IK生成的 K_ASME。 HSS将 K_ASME发送给 MME， UE和 MME根据 K_ASME生成

K_NASenc，用于对 UE和 MME之间的 NAS信令进行完整性保护和加密保护。 UE和 MME 根据 K_ASME生成 K_eNB， MME将 K_eNB发送给基站；然后， UE和基站根据 K_eNB生成 K_UPenc，用于对 UE和基站之间的用户面数据进行加密保护； UE和基站根据 K_ENB生成 KRR_Cmt和 KRRC用于对 UE和基站之间的无线资源控制协议（RadioResourceControl, 简称为 RRC )信令进行完整性保护和加密保护。

不同的无线接入方式是为了满足不同终端和不同应用的需求，但是，随着智能终端和移动互联网应用的快速发展，移动网络也随之发展，当前的无线接入方式需要继续演进，才能满足不同的需求，同时，无线接入的安全技术也需要随着无线接入方式的演进而演进。发明内容

有鉴于此，本发明实施例期望提供一种移动网络接入方法、 UE、安全服务网关、系统和存储介质，从而可满足不同用户设备和不同应用业务的需求。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例第一方面提供一种移动网络的接入方法，该方法包括：用户设备 UE从核心网获取自身相关信息；

根据所述信息选择接入移动网络的类型。

优选地，所述 UE从核心网获取自身相关信息，包括：

UE通过业务定义无线电策略功能 SDRPF层从核心网中的移动性管理实体 MME的 SDRPF层、或从核心网中独立的 SDRPF实体获取自身的相关信息。

优选地，所述信息包括： UE当前的位置、和 /或 UE当前的状态、和 / 或 UE与接入网络类型的对应关系、和 /或 UE当前需要连接的业务。

优选地，所述接入移动网络的类型，包括： UE通过宏基站接入移动网络、 UE通过演进的小基站接入移动网络、 UE通过访问节点 AP接入移动网络。

优选地，

所述接入移动网络的类型为所述 UE通过宏基站接入移动网络时，所述接入移动网络的类型对应传统的安全认证机制的接入网络或提升了安全机制的接入网络；

所述接入移动网络的类型为所述 UE通过演进的小基站接入移动网络时，所述接入移动网络的类型对应传统的安全认证机制的接入网络或提升了安全机制的接入网络；

所述接入移动网络的类型为 UE通过 AP接入移动网络时，所述接入移动网络的类型对应降低了安全认证机制的接入网络。

优选地，该方法还包括：所述 UE用户面的安全被汇聚到安全服务网关，包括：

生成用户面加密密钥 K_UPenc，。

优选地，

所述生成用户面加密密钥 K_UPenc，为：

使用 K_ASME生成所述 K_UPenc，；或者，

使用以下一个或多个参数生成所述 K_UPenc，：算法 ID、随机数、计数器的值、常数。

优选地，该方法还包括：

当所述 UE接入小基站时，使用所述 K_UPenc，保护用户面的安全。

优选地，该方法还包括：

当所述 UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时，生成 K_e願；

所述 K_eNB2用于保护无线资源控制协议 RRC信令的 KRR_Cmt和 KRR_Cenc。优选地，所述生成 K_eNB2还包括：

使用 K_eNBi或者 NH1生成所述 K_eNB2;

或者，使用以下一个或多个参数生成所述 K_eNB2: 小区频点、小区物理标识、随机数、计数器的值、常数。

优选地，该方法还包括：所述 UE在初始接入所述核心网时，从所述核心网获取所述 AP的用户名和密码； UE选择通过所述 AP接入移动网络时，则使用所述 AP的用户名和密码接入 AP。

优选地，所述 UE和 AP的连接建立后，该方法还包括：

如果所述 UE离开所述 AP的覆盖范围，则所述 UE通过所述 SDRPF 层重新进行接入移动网络的类型的选择。

本发明实施例第二方面提供一种 UE，所述 UE包括：

选择接入模块，配置为从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。

优选地，所述选择接入模块从核心网获取自身相关信息，包括：所述选择接入模块通过所述 UE 的 SDRPF 层从核心网中 MME 的 SDRPF层、或从核心网中独立的 SDRPF实体获取 UE的相关信息。

优选地，所述选择接入模块，还配置为生成用户面加密密钥 K_UPenc。优选地，所述选择接入模块，还配置为使用 K_ASME生成所述 K_UPenc，；或者，使用以下一个或多个参数生成所述 K_UPenc: 算法 ID、随机数、计数器的值、常数。

优选地，所述选择接入模块，还配置为所述 UE接入小基站时，使用 K_UPenc，保护 UE用户面的安全。

优选地，所述选择接入模块，还配置为当所述 UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时，生成 K_eNB2;

所述 K_eNB2用于保护无线资源控制协议 RRC信令的 KRR_Cmt和 KRR_Cenc。优选地，所述选择接入模块，还配置为使用 K_eNBi或者 NH1生成所述 K_eNB2; 或者，使用以下一个或多个参数生成所述 K_eNB2: 小区频点、小区物理标识、随机数、计数器的值、常数。

优选地，所述选择接入模块，还配置为 UE在初始接入所述核心网时，从所述核心网获取所述 AP的用户名和密码，并在所述 UE选择通过所述 AP接入移动网络时，使用所述 AP的用户名和密码接入 AP。

优选地，所述 UE和 AP的连接建立后，所述选择接入模块，还配置为确定所述 UE离开所述 AP的覆盖范围时，通过所述 UE的 SDRPF层重新进行接入移动网络的类型的选择。

本发明实施例第三方面提供一种安全服务网关，所述安全服务网关包括：接收模块，配置为接收 MME发送的、由 UE和所述 MME生成的用户面加密密钥 K_UPenc，。

优选地，所述 K_UPenc，由所述 UE和所述 MME使用 K_ASME生成；或者，由 UE和所述 MME使用以下一个或多个参数生成：算法 ID、随机数、计数器的值、常数。

优选地，所述接收模块，还配置为所述 UE接入小基站时，使用所述 K_UPenc，保护用户面的安全。

本发明实施例第四方面提供一种移动网络的接入系统，该系统包括：上述任一项所述的 UE。

本发明实施例中提供的移动网络接入方法、 UE、安全服务网关、系统和存储介质，用户设备（UE )从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。本发明 UE可以根据不同的业务需求选择不同的移动网络的接入方式，可满足不同终端和不同应用业务的需求，使 UE 更方便、高效地获取移动网络的服务。此外，本发明中 UE用户面的安全被汇聚到安全服务网关，相当于将 UE的用户面上移到网络侧，如果 UE在一个安全网络的覆盖范围内移动，跨越了几个宏基站的覆盖范围时，可以继续使用用户面安全，只切换控制面的安全即可。附图说明

图 1为传统的包括 3GPP接入和非 3GPP接入的 EPS结构示意图；图 2为传统 EPS的安全密钥架构图；

图 3为本发明实施例提供的演进的移动网络结构示意图；

图 4为本发明一实施例提供的演进的移动网络安全密钥架构图；图 5为本发明另一实施例提供的演进的移动网络安全密钥架构图。具体实施方式

以下结合附图对本发明的优选实施例进行详细说明，应当理解，以下所说明的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

本发明实施例提供了一种移动网络的接入方法，该方法包括：用户设备 UE从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。

优选的，所述 UE从核心网获取自身相关信息，包括：

UE通过业务定义无线电策略功能（ SDRPF )层从核心网中的移动性管理实体 MME的 SDRPF层、或从核心网中独立的 SDRPF实体获取自身的相关信息。

所述业务定义无线电策略功能是指根据 UE 的业务信息，确定该 UE 相关的无线接入和服务相关的策略。所述业务信息根据时间可分为当前业务信息及历史业务信息；根据使用频率可分为典型业务信息。

其中，所述业务信息包括业务类型、业务类型组合、业务服务质量 ( Quality of Serivice, QoS )、指定时间内业务流量、业务使用区域标识、业务使用概率、业务使用频度、多种业务使用频度排序、在某一区域内的业务使用概率、在某一区域内区域相关的业务使用频度及在某一区域内区域相关的业务使用频度排序的一个或多个。

所述业务类型可如视频、游戏或通话等；所述业务类型组合为多种业务类型的组合关系，具体可如视频与游戏的组合。

所述业务使用区域标识可包括如网络标识 PLMN ID、跟踪区域标识 TAI、小区标识、基站标识、用户设备所在经纬度及用户设备所在高度中的一个或多个。

所述业务定义无线电策略功能还可以将 UE的业务信息与 UE的位置 (当前位置或习惯位置）、状态（当前状态或状态习惯，例如电池电量、耗电状态、移动状态）、能力信息（例如无线接入能力， TCP版本，应用软件、屏幕大小）等结合起来，以确定该 UE相关的无线接入和服务相关的策略。

所述业务定义无线电策略功能可以在已有的核心网逻辑实体，例如 MME, PC F, ANDSF中实现，也可以是单独的一个核心网逻辑实体。

其中，所述信息包括： UE当前的位置、和 /或 UE当前的状态、和 /或 UE与接入网络类型的对应关系、和 /或 UE当前需要连接的业务。

优选的，所述接入移动网络的类型，包括： UE通过宏基站接入移动网络、 UE通过演进的小基站接入移动网络、 UE通过访问节点 AP接入移动网络。

优选的，所述接入移动网络的类型为所述 UE通过宏基站或演进的小基站接入移动网络时，所述接入移动网络的类型对应传统的安全认证机制的接入网络，即对应传统的 UE接入 eNB的情况和提升了安全机制的接入网络，即：在 S-GW进行加解密的接入网络；

即 UE通过宏基站接入移动网络时，所述接入移动网络的类型对应为安全认证机制的接入网络或提升了安全机制的接入网络； UE通过演进的小基站接入移动网络时，所述接入移动网络的类型对应了，安全认证机制的接入网络或提升了安全机制的接入网络。

所述接入移动网络的类型为 UE通过 AP接入移动网络时，所述接入移动网络的类型对应降低了安全认证机制的接入网络，即：通过 AP仅提供 AP与 UE间安全的接入网络， AP可以为代表 WIFI 的 AP，也可以为代表低安全等级的基站。

所述传统的安全认证机制的接入网络、所述提升了安全机制的接入网络及所述降低了安全认证机制的接入网络对安全性能的要求，具体可参见通信协议 3GPP TS33.401。

所述 UE和 MME生成用户面加密密钥 K_UPene，， MME将所述 K_UPenc，发送给安全服务网关；或者，在具体的执行过程中，所述 UE和 MME可各自独立生成所述 K_UPenc，。

当所述 MME和安全服务网关为同一个物理实体时，生成用户面加密密钥 K_UPene，后不再发送。

优选地，该方法还包括：

所述 UE和 MME使用 K_ASME生成所述 K_UPenc，；或者，

所述 UE和 MME使用以下一个或多个参数生成所述 K_UPenc，：算法 ID、随机数、计数器的值、常数。

所述算法 ID可为用于区分不同安全性算法的算法 ID。

所述安全算法可包括加密算法及完整性保护算法。

所述加密算法及完整性加密算均可对应一种或多种安全性算法；不同的安全性算法对应的算法 ID不同；具体如所述加密算法的包括 EEA0 (空的加密算法）， 128-EEAK SNOW 3G based algorithm )， 128-EEA2( AES based algorithm )。所述完整性保护算法可包括 EIAO (空的完整性保护算法）， 128-EIAl ( SNOW 3G based algorithm ), 128-EIA2 ( AES based algorithm )₀ 所述计数器可为通信协议 3GPP TS33.401中规定的 NAS计数器。所述计数器的值可为所述 NAS技术器的值。

所述常数也可以所述 3GPP TS33.401通信协议中所规定的常数。

优选地，该方法还包括：

当所述 UE接入小基站时，所述安全服务网关与所述 UE使用 K_UPenc，保护用户面的安全。通常是所述安全服务网关所述 UE各自独立使用 K_UPenc，保护用户面的安全。

优选地，该方法还包括：

当所述 UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时，所述 UE与所述第一宏基站生成 K_eNB2，第一宏基站把所述 K_eNB2发送给所述第二宏基站，所述第二宏基站和所述 UE生成 KRR_Cmt和 KRR_Cenc，并使用所述 KRR_Cmt和 ¾^ 保护无线资源控制协议 RRC信令。此处生成所述 K_eNB2 可是由所述 UE和第一宏基站各自独立生成。

优选地，该方法还包括：所述 UE与所述第一宏基站使用 K_eNBi或者 NH1生成所述 K_eNB2; 或者，使用以下一个或多个参数生成所述 K_eNB2: 小区频点、小区物理标识、随机数、计数器的值、常数；

所述第二宏基站和所述 UE使用所述 K_eNB2生成所述 KRR_Cmt和 KRR_Cenc; 或者，使用以下一个或多个参数生成所述 KRR_Cmt和 KRR_{Cenc :} 算法 ID、随机数、计数器的值、常数。

所述 NH即为用于生成密钥的参数 next hop;此处优选为存储在所述第一宏基站内的 NH参数。

当所述 UE应用于单服务小区时，所述小区频点及所述小区物理标识中所述的小区为所述 UE驻扎的小区；

当所述 UE为支持载波聚合和 /或双连接的小区，且应用在载波聚合和 / 或双连接的场景下时，所述小区频点及所述小区物理标识中的所述小区优选为主小区；

当所述 UE应用在进行小区切换时，所述小区频点及所述小区物理标识中所述的小区优选为目标小区。

优选地，该方法还包括：

所述 UE在初始接入所述核心网时，从所述核心网获取所述 AP的用户名和密码； UE选择通过所述 AP接入移动网络时，则使用所述 AP的用户名和密码接入 AP。

优选的，所述 UE和 AP的连接建立后，该方法还包括：

本发明实施例还提供了一种 UE，所述 UE包括：选择接入模块，配置为从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。

其中，所述选择接入模块从核心网获取自身相关信息，包括：所述选择接入模块通过所述 UE 的 SDRPF 层从核心网中 MME 的 SDRPF层、或从核心网中独立的 SDRPF实体获取 UE的相关信息。

所述选择接入模块的具体结构可包括通信接口及处理器；所述通信接口具体可为收发天线；如从核心网接收自身相关信息；所述处理器可用于根据接收到的信息选择接入的类型。所述处理器可为微处理器、中央处理器、数字信号处理器或可编程逻辑阵列等具有处理功能。在具体的实现过程中不局限于上述结构。

其中，所述接入移动网络的类型，包括： UE通过宏基站接入移动网络、 UE通过演进的小基站接入移动网络、 UE通过访问节点 AP接入移动网络。优选的，所述选择接入模块，还配置为和所述 MME生成用户面加密密铜 Kypenc =

优选的，所述选择接入模块，还配置为和所述 MME使用 K_ASME生成所述 K_UPenc，；或者，使用以下一个或多个参数生成所述 K_UPenc: 算法 ID、随机数、计数器的值、常数。

优选的，所述选择接入模块，还配置为所述 UE接入小基站时，与安全服务网关使用 K_UPenc，保护 UE用户面的安全。

优选的，所述选择接入模块，还配置为当所述 UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时，与所述第一宏基站生成 K_eNB2，与所述第二宏基站生成 KRR_Cmt和 KRR_Cenc，并使用所述 KRR_Cmt和 KRR_Cenc保护无线资源控制协议 RRC信令。

优选的，所述选择接入模块，还配置为与所述第一宏基站使用 K_eNBl 或者 NH1生成所述 K_eNB2;或者，使用以下一个或多个参数生成所述 K_eNB2: 小区频点、小区物理标识、随机数、计数器的值、常数；

与所述第二宏基站使用所述 K_eNB2生成所述 KRR_Cmt和 KRR_Cenc; 或者，使用以下一个或多个参数生成所述 KRR_Cmt和 KRR_Cenc: 算法 ID、随机数、计数器的值、常数。

优选的，所述选择接入模块，还配置为 UE在初始接入所述核心网时，从所述核心网获取所述 AP的用户名和密码，并在所述 UE选择通过所述 AP接入移动网络时，使用所述 AP的用户名和密码接入 AP。

优选的，所述 UE和 AP的连接建立后，所述选择接入模块，还配置为确定所述 UE离开所述 AP的覆盖范围时，通过所述 UE的 SDRPF层重新进行接入移动网络的类型的选择。

本发明实施例还提供了一种安全服务网关，所述安全服务网关包括：接收模块，配置为接收 MME发送的、由 UE和所述 MME生成的用户面加 ¾" 、铜 ypenc'。

优选的，所述 K_UPenc，由所述 UE和所述 MME使用 K_ASME生成；或者，由 UE和所述 MME使用以下一个或多个参数生成：算法 ID、随机数、计数器的值、常数。

所述接收模块的具体结构可包括接收接口；所述接收接口可为有线接口或无线接口；所述有线接口可包括光纤接口、双绞线接口及同轴电缆接口；所述无线接口可包括接收天线等结构；但是不局限于上述结构。

优选的，所述接收模块，还配置为所述 UE接入小基站时，与所述 UE 使用所述 K_UPenc，保护用户面的安全。

本发明实施例还提供了一种移动网络的接入系统，该系统包括：上文所述的 UE。

下面分别从方法、装置和系统几个方面对本发明所述的技术方案进行展开说明。

实施例一

图 3为本发明实施例演进的移动网络结构示意图，如图 3所示，图中演进的小基站面向 UE的协议栈只有 PHY层， MAC层， RLC层， UE的信令面通过小基站中继到宏基站；图 3中的安全服务网关的作用是将用户面数据的安全汇聚到安全服务网关，所述安全服务网关在公网上或者位于运营商网络与公网的边缘，可支持 UE和安全服务网关间的数据安全， UE和安全服务网关间有安全的上下文，可支持无连接数据传输。所述 UE的用户面通过小基站中继到安全服务网关，这里的小基站和宏基站之间可以通过无线连接。 UE用户面的安全汇聚到所述安全服务网关，所述安全服务网关支持 UE的用户面安全，相当于将 UE的用户面上移到网络侧， UE的控制面安全汇聚到宏基站。

综上所述，本发明实施例可满足不同终端和不同应用业务的需求，使 UE更方便、高效地获取移动网络的服务。

实施例二

基于图 3所示的移动网络结构，本发明还提出一种新的移动网络的接入方法： UE，如：智能手机增加 RRC层上的协议栈，业务定义的无线电策略功能 SDR执行功能（SDRPF ), 所述 SDRPF支持按业务的接入策略功能，与嵌入到 UE RRC层的 SDREF—起构成多 RAT多模式服务。所述 SDRPF类似 ANDSF和 PCRF的结合功能，以进一步支持按照业务的接入策略， SDRPF 是与演进的 MME的功能的重新组合是 5G架构设计中的一个重要问题。核心网演进的 MME也增加相应 SDRPF协议栈。所述 UE的 SDRPF层从核心网的 SDRPF层、或从核心网中独立设置的 SDRPF实体获取自身相应信息，如： UE当前的位置、和 /或 UE当前的状态、和 /或 UE与接入网络类型的对应关系、和 /或 UE当前需要连接的业务等， UE根据这些信息选择接入移动网络的类型，所述接入移动网络的类型，包括： UE通过宏基站接入移动网络、 UE 通过演进的小基站接入移动网络、 UE通过访问节点 AP接入移动网络。例如： UE当前的位置是在演进的小基站覆盖范围内，也在 AP的覆盖范围内，且 UE可以支持演进的小基站的接入方式，也支持 AP的接入技术，当前 UE的状态是 ACTIVE,且 UE当前需要连接的业务是一般网页浏览的业务时， UE 可以选择通过安全等级较低的 AP接入移动网络。

又如： UE当前的位置是在宏基站覆盖范围内，也在 AP的覆盖范围内，且 UE可以支持宏基站的接入方式，也支持 AP的接入技术，当前 UE的状态是 ACTIVE, 并且在高速移动， UE当前需要连接的业务是实时视频通话业务时，那么， UE可以选择对移动性支持较好的宏基站接入移动网络。

再如： UE当前的位置在宏基站覆盖范围内，也在演进的小基站的覆盖范围内， UE可以支持宏基站的接入方式，也支持演进的小基站的接入方式，当前 UE的状态是 IDLE，并且演进的小基站的信号更强，接入方式资费更低，那么， UE可以选择性号更强而且资费更低的演进的小基站的接入移动网络。

其中，所述接入移动网络的类型为所述 UE通过宏基站或演进的小基站接入移动网络时，所述接入移动网络的类型对应传统的安全认证机制的接入网络和提升了安全机制的接入网络；

一种新的 UE接入移动网络的类型就是图 3中所述的访问接入点（Access Point, 简称为 AP )，即： UE通过所述 AP接入移动网络， UE和可信的 AP间执行双向安全交互， UE的认证 /授权通过离线信息支持；所述 AP也可以由一组接入点以总分结构组成，总接入点执行 RRC/PDCP功能，分接入点执行 RLC/MAC/PHY功能。 AP的面向 UE的用户面协议栈包含： PHY层， MAC 层， RLC层， PDCP层和 IP层， AP的用户面不经核心网直接接入 IP网中的应用服务器， AP的控制面和核心网之间没有实时控制面连接。

实施例三

本发明还提出一种新的移动网络安全架构。如图 4所示， UE用户面的安全汇聚到安全服务网关， UE和所述演进的 MME使用 K_ASME生成用户面加密密钥 K_UPene，，演进的 MME将所述 K_UPene，发送给所述安全服务网关；或者，当演进的 MME和所述安全服务网关为一个物理实体时，生成用户面加密密钥 K_UPenc，后不再发送。在 UE接入演进的小基站时，安全服务网关和 UE使用 K_UPenc，保护用户面的安全。这里，所述密钥 K_UPenc，的生成过程中还可以使用其他参数，比如 UE和所述演进的 MME使用以下一个或多个参数生成所述密钥 K_UPene，：算法 ID、随机数、计数器的值、常数等等。安全服务网关和 MME绑定时，覆盖范围相当于跟踪区（ Tracking Area, TA )，其大于宏基站的覆盖范围， UE移动时考虑宏基站覆盖范围即可，因此， UE在一个安全服务网关和一个宏基站覆盖范围内移动时，可以不进行安全密钥的切换。优点是可以提高切换效率，节省无线信令。如果 UE在一个安全网络的覆盖范围内移动，跨越了几个宏基站的覆盖范围时，可以继续使用用户面安全，只切换控制面的安全即可。

当 UE从宏基站 1的覆盖范围移动到宏基站 2的覆盖范围，如图 5所示， UE和宏基站 1使用 K_eNBi或者 NH生成 K_eNB2，所述 NH即为用于生成密钥的参数 next hop，当然，密钥 K_eNB2的生成过程还可以使用其他参数，比如以下一个或多个参数：小区频点、小区物理标识、随机数、计数器的值、常数等等；宏基站 1把 KeNB2发送给宏基站 2，宏基站 2和 UE使用 KeNB2 生成 KRR_CMT和 KRRC这里，密钥 KRR_CMT和 ¾^ 的生成过程中还可以使用其他参数，比如以下一个或多个参数：算法 ID、随机数、计数器的值、常数等等，并使用 KRR_CMT和 KRR_CENC保护 RRC信令，而无需生成 K_UPENC，用户面也无需进行切换。

此外，在图 4中，在 UE接入 AP时， UE接入 AP主要进行网页浏览等一般性咨询获取业务，并且不移动，对安全要求较低， AP和 UE之间的认证以用户数据安全等级较低。同时，在 UE不经过 AP接入核心网时， RRC 控制面不对网络造成威胁，安全等级也可以较低，可釆用用户名口令的认证方式，不对空口数据和信令进行完整性保护。

UE在初始接入核心网时，从核心网获取到所述 AP的用户名和密码，此后如果 UE选择通过 AP接入移动网络， UE使用所述用户名和密码接入 AP。

但是，一旦通过该 AP和核心网的连接建立，即：通过移动网接入到核心网，考虑到核心网的安全性，就需要对到核心网的信令进行加密和完整性保护。此时如果有现有的 EPS安全上下文，就根据现有的 EPS安全上下文，建立起终端和网络之间的安全，否则需要运行完整的 EPS-AKA安全认证，再建立起终端和网络之间的安全。

如果 UE移动，离开 AP的覆盖范围，此时 UE应通过自身的 SSRFP 层重新进行移动接入网络选择，此时可能需要连接到其他小基站或宏基站。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

本发明实施例还提供一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行本发明实施例中任意技术方案所述的方法。所述存储介质可为 U盘、 DVD或磁带等非瞬间存储介质。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡按照本发明原理所作的修改，都应当理解为落入本发明的保护范围。

Claims

权利要求书

1、一种移动网络的接入方法，该方法包括：

用户设备 UE从核心网获取自身相关信息；

根据所述信息选择接入移动网络的类型。

2、根据权利要求 1所述的方法，其中，所述 UE从核心网获取自身相关信息，包括：

3、根据权利要求 1所述的方法，其中，所述信息包括： UE当前的位置、和 /或 UE 当前的状态、和 /或 UE与接入网络类型的对应关系、和 /或 UE当前需要连接的业务。

4、根据权利要求 1、 2或 3所述的方法，其中，所述接入移动网络的类型，包括： UE通过宏基站接入移动网络、 UE通过演进的小基站接入移动网络、 UE通过访问节点 AP接入移动网络。

5、根据权利要求 4所述的方法，其中，

6、根据权利要求 2或 3所述的方法，其中，该方法还包括：所述 UE 用户面的安全被汇聚到安全服务网关，包括：

生成用户面加密密钥 K_UPenc，。

7、根据权利要求 6所述的方法，其中，

所述生成用户面加密密钥 K_UPenc，为：

使用 K_ASME生成所述 K_UPenc，；或者，

8、根据权利要求 6所述的方法，其中，该方法还包括：

9、根据权利要求 2或 3所述的方法，其中，该方法还包括：

所述 K_eNB2用于保护无线资源控制协议 RRC信令的 KRR_Cmt和 KRR_Cenc。

10、根据权利要求 9所述的方法，其中，所述生成 K_eNB2还包括：使用 K_eNBi或者 NH1生成所述 K_eNB2;

11、根据权利要求 4所述的方法，其中，该方法还包括：

12、根据权利要求 11所述的方法，其中，所述 UE和 AP的连接建立后，该方法还包括：

13、一种 UE，所述 UE包括：

14、根据权利要求 13所述的 UE，其中，所述选择接入模块从核心网获取自身相关信息，包括：

所述选择接入模块通过所述 UE 的 SDRPF 层从核心网中 MME 的 SDRPF层、或从核心网中独立的 SDRPF实体获取 UE的相关信息。

15、根据权利要求 13或 14所述的 UE，其中，所述接入移动网络的类型，包括： UE通过宏基站接入移动网络、 UE通过演进的小基站接入移动网络、 UE通过访问节点 AP接入移动网络。

16、根据权利要求 14所述的 UE，其中，所述选择接入模块，还配置为生成用户面加密密钥 K_UPenc。

17、根据权利要求 16所述的 UE，其中，所述选择接入模块，还配置为使用 K_ASME生成所述 K_UPenc，；或者，使用以下一个或多个参数生成所述 K_UPenc: 算法 ID、随机数、计数器的值、常数。

18、根据权利要求 17所述的 UE，其中，所述选择接入模块，还配置为所述 UE接入小基站时，使用 K_UPene，保护 UE用户面的安全。

19、根据权利要求 16所述的 UE，其中，所述选择接入模块，还配置为当所述 UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时，生成 K_e願；

20、根据权利要求 19所述的 UE，其中，所述选择接入模块，还配置为使用 K_eNBi或者 NH1生成所述 K_eNB2; 或者，使用以下一个或多个参数生成所述 K_eNB2: 小区频点、小区物理标识、随机数、计数器的值、常数。

21、根据权利要求 16所述的 UE，其中，所述选择接入模块，还配置为 UE在初始接入所述核心网时，从所述核心网获取所述 AP的用户名和密码，并在所述 UE选择通过所述 AP接入移动网络时，使用所述 AP的用户名和密码接入 AP。

22、根据权利要求 21所述的 UE，其中，所述 UE和 AP的连接建立后，所述选择接入模块，还配置为确定所述 UE离开所述 AP的覆盖范围时，通过所述 UE的 SDRPF层重新进行接入移动网络的类型的选择。

23、一种安全服务网关，所述安全服务网关包括：接收模块，配置为接收 MME发送的、由 UE和所述 MME生成的用户面加密密钥 K_UPenc，。

24、根据权利要求 23所述的安全服务网关，其中，所述 K_UPenc，由所述 UE和所述 MME使用 K_ASME生成；或者，由 UE和所述 MME使用以下一个或多个参数生成：算法 ID、随机数、计数器的值、常数。

25、根据权利要求 23或 24所述的安全服务网关，其中，所述接收模块，还配置为所述 UE接入小基站时，使用所述 K_UP ^，保护用户面的安全。

26、一种移动网络的接入系统，该系统包括：权利要求 13-22 中任一项所述的 UE。

27、一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求 1至 12任一项所述的方法。