專利名稱:一種用戶設(shè)備與網(wǎng)絡(luò)側(cè)實(shí)現(xiàn)加密協(xié)商的方法
技術(shù)領(lǐng)域:
本發(fā)明屬于移動(dòng)通信領(lǐng)域�����,尤其涉及用戶設(shè)備與網(wǎng)絡(luò)側(cè)實(shí)現(xiàn)數(shù)據(jù)加密的方法。
背景技術(shù):
第三代伙伴組織計(jì)劃(Third Generation Partnership Projects��,3GPP)為了增強(qiáng)未來(lái)網(wǎng)絡(luò)的競(jìng)爭(zhēng)能力�����,正在研究一種全新的演進(jìn)網(wǎng)絡(luò)架構(gòu)����,包括系統(tǒng)架構(gòu)演進(jìn)(System Architecture Evolution�,SAE)和接入網(wǎng)的長(zhǎng)期演進(jìn)(Long TermEvolution�,LTE),演進(jìn)的接入網(wǎng)稱為E-UTRAN(Evolved Universal TerrestrilRadio Access Network)��。圖1示出了演進(jìn)的分組核心網(wǎng)絡(luò)的一種網(wǎng)絡(luò)架構(gòu)����,包括移動(dòng)性管理實(shí)體(Mobility Management Entity,MME)���、用戶面實(shí)體(User PlaneEntity�,UPE)以及不同接入系統(tǒng)之間的用戶面錨點(diǎn)(Inter Access System Anchor��,Inter AS Anchor)三個(gè)邏輯功能實(shí)體�����。其中�,MME負(fù)責(zé)控制面的移動(dòng)性管理,包括用戶上下文和移動(dòng)狀態(tài)管理���,分配用戶臨時(shí)身份標(biāo)識(shí)等��,對(duì)應(yīng)于當(dāng)前通用分組無(wú)線業(yè)務(wù)(General Packet Radio Service���,GPRS)/通用移動(dòng)通信系統(tǒng)(Universal Mobile Telecommunications System��,UMTS)內(nèi)部服務(wù)GPRS支持節(jié)點(diǎn)(Serving GPRS Supporting Node�,SGSN)的控制平面部分����;UPE負(fù)責(zé)空閑狀態(tài)下為下行數(shù)據(jù)發(fā)起尋呼,管理保存網(wǎng)絡(luò)協(xié)議(Internet Protocol�,IP)承載參數(shù)和網(wǎng)絡(luò)內(nèi)路由信息等,對(duì)應(yīng)于當(dāng)前GPRS/UMTS系統(tǒng)內(nèi)部SGSN以及網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(Gateway GPRS Supporting Node����,GGSN)的數(shù)據(jù)平面部分;Inter AS Anchor則充當(dāng)不同接入系統(tǒng)間的用戶面錨點(diǎn)��。策略和計(jì)費(fèi)規(guī)則功能實(shí)體(Policy and Charging Rule Function�����,PCRF)用于策略控制決定和流計(jì)費(fèi)控制功能�����。歸屬用戶服務(wù)器(Home Subscriber Server�,HSS)用于存儲(chǔ)用戶簽約信息。各網(wǎng)絡(luò)實(shí)體之間通過(guò)相應(yīng)的接口連接�。
當(dāng)用戶接入網(wǎng)絡(luò)時(shí),用戶設(shè)備(User Equipment��,UE)通過(guò)附著接入到MME�,MME為其建立移動(dòng)性管理(Mobility Management,MM)上下文�,然后用戶通過(guò)激活請(qǐng)求,在用戶與UPE/Inter AS Anchor之間建立數(shù)據(jù)承載�����,從而進(jìn)行數(shù)據(jù)業(yè)務(wù)�����。
圖2示出了現(xiàn)有協(xié)議中規(guī)定的用戶附著的實(shí)現(xiàn)流程�����,詳述如下1.UE選擇接入系統(tǒng)和網(wǎng)絡(luò)(Network Discovery and Access SystemSelection)��;2.UE發(fā)送附著請(qǐng)求消息(Attach Request)到MME����;3.如果附著請(qǐng)求消息中攜帶舊側(cè)MME的注冊(cè)信息����,則MME發(fā)送原注冊(cè)信息消息(Send old registration information)到舊側(cè)MME獲取用戶的信息�����;4.舊側(cè)MME向MME發(fā)送用戶信息(Send user information)�����;5.MME對(duì)UE進(jìn)行鑒權(quán)(Authentication)��;6.MME注冊(cè)到HSS中(Register MME/UPE)�����;7.舊側(cè)MME刪除用戶的信息(Delete UE registration information)��;8.HSS證實(shí)MME的注冊(cè)(Confirm Registration)�;9.MME選擇一個(gè)UPE/Inter AS Anchor(Selection of Intersystem MobilityAnchor GW);10.UPE/Inter AS Anchor使用UE的分配IP地址進(jìn)行IP層配置���,UE和InterAS Anchor間的用戶平面被建立�,缺省的計(jì)費(fèi)和策略規(guī)則被使用(User PlaneRoute Configuration)���;11.MME和演進(jìn)的無(wú)線接入網(wǎng)絡(luò)(Evolved Radio Access Network�����,EvolvedRAN)之間配置缺省的IP接入承載所使用的業(yè)務(wù)質(zhì)量(Quality ofService���,QoS)(Configure IP Bearer QoS);12.MME向UE發(fā)送附著接受消息(Attach Accept)�,并分配UE的臨時(shí)標(biāo)識(shí);
13.UE確認(rèn)附著成功(Attach Confirm)�。
圖3示出了現(xiàn)有協(xié)議中規(guī)定的用戶激活的實(shí)現(xiàn)流程,詳述如下1.UE發(fā)送激活請(qǐng)求消息到MME���;2.MME選擇一個(gè)UPE/Inter AS Anchor(Selection of UPE/IntersystemMobility Anchor GW)�;3.UPE/Inter AS Anchor使用UE的分配IP地址進(jìn)行IP層配置�,UE和UPE/Inter AS Anchor間的用戶平面被建立(User Plane Route Configuration);4.MME和Evolved RAN之間配置IP接入承載所使用的QoS(Configure IPBearer QoS)���;5.MME向UE發(fā)送激活接受的消息����。
為了保證空口數(shù)據(jù)的安全,在UE和網(wǎng)絡(luò)側(cè)之間傳輸?shù)南⑿柽M(jìn)行加密處理�����。目前�����,在GPRS系統(tǒng)中消息的加密處理在UE和SGSN之間進(jìn)行���,在UMTS系統(tǒng)中消息的加密處理在UE和無(wú)線網(wǎng)絡(luò)控制器(Radio Network Controller�,RNC)之間進(jìn)行�。對(duì)GPRS和UMTS系統(tǒng),信令加密和數(shù)據(jù)加密處理都在網(wǎng)絡(luò)側(cè)的同一個(gè)實(shí)體上����。對(duì)于演進(jìn)網(wǎng)絡(luò),現(xiàn)有協(xié)議中規(guī)定網(wǎng)絡(luò)接入服務(wù)器(NetworkAccess Server��,NAS)信令的加密處理在UE和邏輯功能實(shí)體MME中進(jìn)行�,數(shù)據(jù)面的加密處理在UE和邏輯功能實(shí)體UPE之間進(jìn)行。通過(guò)將信令面和數(shù)據(jù)面加密在演進(jìn)分組核心網(wǎng)中的不同邏輯功能實(shí)體上進(jìn)行處理��,可以解決MME和UPE網(wǎng)元中加密不一致的問(wèn)題。現(xiàn)有演進(jìn)網(wǎng)絡(luò)中只是規(guī)定了演進(jìn)網(wǎng)絡(luò)中加密處理的原則�����,沒(méi)有規(guī)定信令面和數(shù)據(jù)面加密分開(kāi)處理后的加密處理機(jī)制的詳細(xì)實(shí)現(xiàn)方案����,缺乏可實(shí)施性和可操作性�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種用戶設(shè)備與網(wǎng)絡(luò)側(cè)實(shí)現(xiàn)加密協(xié)商的方法,旨在解決現(xiàn)有技術(shù)中信令面和數(shù)據(jù)面加密分開(kāi)處理時(shí)缺乏可實(shí)施性和可操作性的問(wèn)題���。
本發(fā)明是這樣實(shí)現(xiàn)的�����,一種用戶設(shè)備與網(wǎng)絡(luò)側(cè)實(shí)現(xiàn)加密協(xié)商的方法���,當(dāng)用戶設(shè)備注冊(cè)到網(wǎng)絡(luò)時(shí),用戶設(shè)備與網(wǎng)絡(luò)側(cè)協(xié)商信令面加密算法���,當(dāng)用戶設(shè)備和網(wǎng)絡(luò)側(cè)建立承載時(shí)����,用戶設(shè)備與網(wǎng)絡(luò)側(cè)協(xié)商數(shù)據(jù)面加密算法。
所述用戶設(shè)備與網(wǎng)絡(luò)側(cè)協(xié)商信令面加密算法的步驟包括S1.用戶設(shè)備發(fā)起注冊(cè)�,向網(wǎng)絡(luò)側(cè)上報(bào)用戶的加密信息;S2.網(wǎng)絡(luò)側(cè)根據(jù)用戶的加密信息協(xié)商信令面加密算法����,并將所述信令面加密算法下發(fā)給用戶設(shè)備。
所述用戶的加密信息攜帶在用戶設(shè)備向網(wǎng)絡(luò)側(cè)發(fā)送的用戶附著請(qǐng)求消息中�。
所述信令面加密算法信息攜帶在網(wǎng)絡(luò)側(cè)向用戶設(shè)備發(fā)送的鑒權(quán)請(qǐng)求消息中。
所述用戶設(shè)備與網(wǎng)絡(luò)側(cè)協(xié)商數(shù)據(jù)面加密算法的步驟包括T1.網(wǎng)絡(luò)側(cè)第一網(wǎng)元將用戶的加密信息上報(bào)給網(wǎng)絡(luò)側(cè)第二網(wǎng)元�����;T2.網(wǎng)絡(luò)側(cè)第二網(wǎng)元根據(jù)用戶的加密信息協(xié)商數(shù)據(jù)面加密算法���,并將所述數(shù)據(jù)面加密算法下發(fā)給用戶設(shè)備��。
所述用戶的加密信息攜帶在網(wǎng)絡(luò)側(cè)第一網(wǎng)元向網(wǎng)絡(luò)側(cè)第二網(wǎng)元發(fā)送的承載建立請(qǐng)求消息中�����。
所述數(shù)據(jù)面加密算法信息攜帶在網(wǎng)絡(luò)側(cè)第二網(wǎng)元向用戶設(shè)備發(fā)送的鑒權(quán)請(qǐng)求消息中�。
所述用戶的加密信息包括用戶設(shè)備支持的加密算法信息�����。
在演進(jìn)網(wǎng)絡(luò)中,所述第一網(wǎng)元為MME����,所述第二網(wǎng)元為UPE。
在本發(fā)明中���,數(shù)據(jù)面和信令面的加密協(xié)商分開(kāi)處理�,能夠保證MME/UPE分離后UE和核心網(wǎng)之間的加密能夠正常處理���,易于操作和實(shí)施。
圖1是現(xiàn)有技術(shù)中演進(jìn)的分組核心網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)圖����;
圖2是現(xiàn)有協(xié)議中規(guī)定的用戶附著的實(shí)現(xiàn)流程圖;圖3是現(xiàn)有協(xié)議中規(guī)定的用戶激活的實(shí)現(xiàn)流程圖���;圖4是本發(fā)明提供的用戶附著的實(shí)現(xiàn)流程圖����;圖5是本發(fā)明提供的用戶激活的實(shí)現(xiàn)流程圖�。
具體實(shí)施例方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白��,以下結(jié)合附圖及實(shí)施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明��。應(yīng)當(dāng)理解��,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明��,并不用于限定本發(fā)明�。
在本發(fā)明中,信令面加密協(xié)商和數(shù)據(jù)面加密協(xié)商分開(kāi)處理�����,在用戶注冊(cè)到網(wǎng)絡(luò)側(cè)時(shí)�����,UE和網(wǎng)絡(luò)側(cè)第一網(wǎng)元�,如演進(jìn)網(wǎng)絡(luò)的MME之間進(jìn)行信令面加密協(xié)商,在UE和網(wǎng)絡(luò)側(cè)之間建立承載時(shí)�,UE與網(wǎng)絡(luò)側(cè)第二網(wǎng)元,如演進(jìn)網(wǎng)絡(luò)的UPE之間進(jìn)行數(shù)據(jù)面加密協(xié)商�����。
圖4示出了本發(fā)明提供的用戶附著的實(shí)現(xiàn)流程���,為了便于描述,僅示出了與本發(fā)明相關(guān)的部分1.UE選擇接入系統(tǒng)和網(wǎng)絡(luò)(Network Discovery and Access SystemSelection);2.UE發(fā)送附著請(qǐng)求消息(Attach Request)到MME����,請(qǐng)求消息中攜帶用戶的加密信息�,如UE支持的加密算法�,以用戶的加密信息攜帶在附著請(qǐng)求消息的MS network capability信元中為例,其示例結(jié)構(gòu)如下所示
3.如果附著請(qǐng)求消息中攜帶舊側(cè)MME的注冊(cè)信息���,則MME發(fā)送原注冊(cè)信息消息(Send old registration information)到舊側(cè)MME獲取用戶的信息����;4.舊側(cè)MME向MME發(fā)送用戶信息(Send user information)�����;5.MME對(duì)UE進(jìn)行鑒權(quán)(Authentication)���,在鑒權(quán)過(guò)程中,UE和MME之間協(xié)商信令面加密算法���,用于后續(xù)UE和MME之間的信令加密(1)MME向UE發(fā)送鑒權(quán)請(qǐng)求�,鑒權(quán)請(qǐng)求中攜帶有MME根據(jù)用戶的加密信息所協(xié)商的信令面加密算法,攜帶信令面加密算法的鑒權(quán)請(qǐng)求消息的示例結(jié)構(gòu)如下所示
87 6 5 432 1
(2)UE保存鑒權(quán)請(qǐng)求中攜帶的MME協(xié)商的加密算法�,向MME返回鑒權(quán)響應(yīng)。
6.MME注冊(cè)到HSS中(Register MME/UPE)����;7.舊側(cè)MME刪除用戶的信息(Delete UE registration information);8.HSS證實(shí)MME的注冊(cè)(Confirm Registration)�;9.MME選擇一個(gè)UPE/Inter AS Anchor(Selection of Intersystem MobilityAnchor GW);10.UPE/Inter AS Anchor使用UE的分配IP地址進(jìn)行IP層配置���,UE和InterAS Anchor間的用戶平面被建立���,缺省的計(jì)費(fèi)和策略規(guī)則被使用(User PlaneRoute Configuration),包括(1)MME發(fā)送承載建立請(qǐng)求消息到UPE/Inter AS Anchor�,消息中攜帶用戶的加密信息,如UE支持的加密算法�����。以用戶的加密信息攜帶在承載建立請(qǐng)求消息的MS network capability信元中為例��,其示例結(jié)構(gòu)如下所示
B����、UPE向UE發(fā)送鑒權(quán)請(qǐng)求����,鑒權(quán)請(qǐng)求中攜帶有UPE根據(jù)用戶的加密信息所協(xié)商的數(shù)據(jù)面加密算法��,攜帶數(shù)據(jù)面加密算法的鑒權(quán)請(qǐng)求消息的示例結(jié)構(gòu)如下所示8 76 54 3 21
C���、UE保存鑒權(quán)請(qǐng)求中攜帶的UPE協(xié)商的數(shù)據(jù)面加密算法����,向UPE返回鑒權(quán)響應(yīng)���。
11.MME和演進(jìn)的RAN網(wǎng)絡(luò)之間配置缺省的IP接入承載所使用的QoS(Configure IP Bearer QoS)���;12.MME向UE發(fā)送附著接受消息(Attach Accept)��,并分配UE的臨時(shí)標(biāo)識(shí)�����;13.UE確認(rèn)附著成功(Attach Confirm)�。
圖5示出了本發(fā)明提供的用戶激活的實(shí)現(xiàn)流程,為了便于描述��,僅示出了與本發(fā)明相關(guān)的部分1.UE發(fā)送激活請(qǐng)求消息到MME;2.MME選擇一個(gè)UPE/Inter AS Anchor(Selection of UPE/IntersystemMobility Anchor GW)���;3.UPE/Inter AS Anchor使用UE的分配IP地址進(jìn)行IP層配置����,UE和UPE/Inter AS Anchor間的用戶平面被建立(User Plane Route Configuration)(1)MME發(fā)送承載建立請(qǐng)求消息到UPE/Inter AS Anchor��,消息中攜帶用戶的加密信息��,如UE支持的加密算法�����。以用戶的加密信息攜帶在承載建立請(qǐng)求消息的MS network capability信元中為例�����,其示例結(jié)構(gòu)如下所示
(2)UPE向UE發(fā)送鑒權(quán)請(qǐng)求��,鑒權(quán)請(qǐng)求中攜帶有UPE根據(jù)UE支持的加密算法所協(xié)商的信令面加密算法���,攜帶信令面加密算法的鑒權(quán)請(qǐng)求消息的示例結(jié)構(gòu)如下所示
8 76 5 43 2 1
(3)UE保存UPE協(xié)商的數(shù)據(jù)面加密算法�,向UPE返回鑒權(quán)響應(yīng),后續(xù)UE和UPE之間的數(shù)據(jù)加密就使用該協(xié)商的加密算法����。
4.MME和演進(jìn)的RAN網(wǎng)絡(luò)之間配置IP接入承載所使用的QoS(ConfigureIP Bearer QoS);5.MME向UE發(fā)送激活接受的消息�。
需要說(shuō)明的是,本發(fā)明提供上述的流程與實(shí)際采用的流程可能會(huì)有差別����,這種差別不應(yīng)視為是對(duì)本發(fā)明的限制。另外���,本發(fā)明以演進(jìn)網(wǎng)絡(luò)為例對(duì)數(shù)據(jù)面和信令面的加密協(xié)商分開(kāi)處理的具體實(shí)現(xiàn)進(jìn)行了描述��,當(dāng)然也可以應(yīng)用到其他網(wǎng)絡(luò)�����。同時(shí)���,為了更清楚的描述本發(fā)明,本發(fā)明在演進(jìn)網(wǎng)絡(luò)架構(gòu)中假定MME為一個(gè)實(shí)體�,UPE和Inter AS Anchor為一個(gè)實(shí)體����,但不限制其它的網(wǎng)絡(luò)架構(gòu)�����,例如MME/UPE/Inter AS Anchor可以都為獨(dú)立的實(shí)體���。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改��、等同替換和改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1.一種用戶設(shè)備與網(wǎng)絡(luò)側(cè)實(shí)現(xiàn)加密協(xié)商的方法,其特征在于����,當(dāng)用戶設(shè)備注冊(cè)到網(wǎng)絡(luò)時(shí),用戶設(shè)備與網(wǎng)絡(luò)側(cè)協(xié)商信令面加密算法��,當(dāng)用戶設(shè)備和網(wǎng)絡(luò)側(cè)建立承載時(shí),用戶設(shè)備與網(wǎng)絡(luò)側(cè)協(xié)商數(shù)據(jù)面加密算法����。
2.如權(quán)利要求1所述的方法,其特征在于�,所述用戶設(shè)備與網(wǎng)絡(luò)側(cè)協(xié)商信令面加密算法的步驟包括S1.用戶設(shè)備發(fā)起注冊(cè),向網(wǎng)絡(luò)側(cè)上報(bào)用戶的加密信息����;S2.網(wǎng)絡(luò)側(cè)根據(jù)用戶的加密信息協(xié)商信令面加密算法,并將所述信令面加密算法下發(fā)給用戶設(shè)備����。
3.如權(quán)利要求2所述的方法,其特征在于�����,所述用戶的加密信息攜帶在用戶設(shè)備向網(wǎng)絡(luò)側(cè)發(fā)送的用戶附著請(qǐng)求消息中�����。
4.如權(quán)利要求2所述的方法���,其特征在于��,所述信令面加密算法信息攜帶在網(wǎng)絡(luò)側(cè)向用戶設(shè)備發(fā)送的鑒權(quán)請(qǐng)求消息中���。
5.如權(quán)利要求1所述的方法,其特征在于��,所述用戶設(shè)備與網(wǎng)絡(luò)側(cè)協(xié)商數(shù)據(jù)面加密算法的步驟包括T1.網(wǎng)絡(luò)側(cè)第一網(wǎng)元將用戶的加密信息上報(bào)給網(wǎng)絡(luò)側(cè)第二網(wǎng)元����;T2.網(wǎng)絡(luò)側(cè)第二網(wǎng)元根據(jù)用戶的加密信息協(xié)商數(shù)據(jù)面加密算法,并將所述數(shù)據(jù)面加密算法下發(fā)給用戶設(shè)備�。
6.如權(quán)利要求5所述的方法,其特征在于�,所述用戶的加密信息攜帶在網(wǎng)絡(luò)側(cè)第一網(wǎng)元向網(wǎng)絡(luò)側(cè)第二網(wǎng)元發(fā)送的承載建立請(qǐng)求消息中。
7.如權(quán)利要求5所述的方法�����,其特征在于����,所述數(shù)據(jù)面加密算法信息攜帶在網(wǎng)絡(luò)側(cè)第二網(wǎng)元向用戶設(shè)備發(fā)送的鑒權(quán)請(qǐng)求消息中。
8.如權(quán)利要求2����、3��、5或6所述的方法�����,其特征在于��,所述用戶的加密信息包括用戶設(shè)備支持的加密算法信息��。
9.如權(quán)利要求5�����、6或7所述的方法�,其特征在于�����,在演進(jìn)網(wǎng)絡(luò)中�����,所述第一網(wǎng)元為MME��,所述第二網(wǎng)元為UPE�����。信息包括用戶設(shè)備支持的加密算法信息。
11.如權(quán)利要求7��、8或9所述的方法����,其特征在于���,在演進(jìn)網(wǎng)絡(luò)中���,所述第一網(wǎng)元為MME,所述第二網(wǎng)元為UPE���。
12.一種用戶設(shè)備加密處理的方法����,其特征在于�,用戶設(shè)備利用與網(wǎng)絡(luò)側(cè)協(xié)商的信令面加密算法和用戶面加密算法對(duì)信令加密和數(shù)據(jù)加密分別處理。
13.如權(quán)利要求12所述的方法���,其特征在于���,在對(duì)信令加密時(shí)���,用戶設(shè)備使用與網(wǎng)絡(luò)側(cè)協(xié)商的信令面加密算法。
14.如權(quán)利要求12所述的方法����,其特征在于,在對(duì)數(shù)據(jù)加密時(shí)���,用戶設(shè)備使用與網(wǎng)絡(luò)側(cè)協(xié)商的用戶面加密算法��。
全文摘要
本發(fā)明適用于移動(dòng)通信領(lǐng)域���,提供了一種用戶設(shè)備與網(wǎng)絡(luò)側(cè)實(shí)現(xiàn)加密協(xié)商的方法,當(dāng)用戶設(shè)備注冊(cè)到網(wǎng)絡(luò)時(shí)�,用戶設(shè)備與網(wǎng)絡(luò)側(cè)協(xié)商信令面加密算法,當(dāng)用戶設(shè)備和網(wǎng)絡(luò)側(cè)建立承載時(shí)���,用戶設(shè)備與網(wǎng)絡(luò)側(cè)協(xié)商數(shù)據(jù)面加密算法����。在本發(fā)明中����,數(shù)據(jù)面和信令面的加密協(xié)商分開(kāi)處理��,能夠保證MME/UPE分離后UE和核心網(wǎng)之間的加密能夠正常處理��,易于操作和實(shí)施����。
文檔編號(hào)H04L29/06GK101064921SQ20061006055
公開(kāi)日2007年10月31日 申請(qǐng)日期2006年4月30日 優(yōu)先權(quán)日2006年4月30日
發(fā)明者吳問(wèn)付 申請(qǐng)人:華為技術(shù)有限公司