專利名稱:一種實現(xiàn)控制面和用戶面密鑰同步的方法
技術領域:
本發(fā)明屬于移動通信領域����,尤其涉及控制面實體和用戶面實體分離時的安全處理方法�����。
背景技術:
為了保證10年以至更久的時間內(nèi)第三代伙伴項目(Third GenerationPartnership Project���,3GPP)系統(tǒng)的競爭力�����,一個接入技術演進的工作正在3GPP組織內(nèi)部進行��。特別是為了加強3GPP系統(tǒng)處理快速增長的網(wǎng)際協(xié)議(InternetProtocol����,IP)數(shù)據(jù)業(yè)務的能力��,在3GPP系統(tǒng)內(nèi)使用分組技術需要進一步加強���。這類技術演進中最重要包括減少時延和反應時間��,提高用戶數(shù)據(jù)速率���,增強系統(tǒng)容量和覆蓋范圍以及降低運營商整體成本等幾個部分����。演進的網(wǎng)絡結構對于現(xiàn)有網(wǎng)絡的后向兼容性也是一個重要的指標����,其中在安全方面,要求演進網(wǎng)絡中的用戶安全流程必須確保提供至少和目前第二代(Second Generation�����,2G)和第三代(Third Generation����,3G)系統(tǒng)相同級別的安全機制�。
如圖1所示,無線演進網(wǎng)絡的核心網(wǎng)主要包含移動管理實體(MobilityManagement Entity�,MME)、用戶面實體(User Plane Entity�,UPE)、不同接入系統(tǒng)間的用戶面錨點(Inter Access System Anchor,Inter AS Anchor)三個邏輯功能體�����。其中���,MME是控制面實體����,負責控制面的移動性管理����,包括用戶上下文和移動狀態(tài)管理,分配用戶臨時身份標識�����、安全功能等����,對應于當前通用移動通信系統(tǒng)(Universal Mobile Telecommunications System,UMTS)內(nèi)部服務GPRS支持節(jié)點(Serving GPRS Supporting Node��,SGSN)的控制面部分���;UPE是用戶面實體�����,負責空閑狀態(tài)下為下行數(shù)據(jù)發(fā)起尋呼����,管理保存IP承載參數(shù)和網(wǎng)絡內(nèi)部路由信息等,對應于當前UMTS系統(tǒng)內(nèi)部SGSN的數(shù)據(jù)面部分�;Inter AS Anchor則充當不同接入系統(tǒng)間的用戶面錨點。圖中各個接口的功能以及是否存在尚沒有最終確定�。網(wǎng)關GPRS支持節(jié)點(Gateway GPRS SupportingNode,GGSN)的數(shù)據(jù)平面部分可能位于UPE內(nèi)�����,也可能位于Inter AS Anchor內(nèi)����。歸屬用戶服務器(Home Subscrier Server�����,HSS)用于存儲用戶簽約信息��。
移動通信系統(tǒng)存在特有的空中接口部分(簡稱空口)。用戶的數(shù)據(jù)和信令在整個傳輸路徑中����,有一段是承載于無線接入部分,直接暴露于空口�����,可能被不法分子監(jiān)聽����,存在相當大的安全隱患。為此�,在移動通信系統(tǒng)中,需要對空口上傳輸?shù)男帕詈蛿?shù)據(jù)進行加密�����。此外��,因為空口傳輸?shù)南鄬Σ豢煽啃?����,必須有機制確保其承載傳輸?shù)臄?shù)據(jù)負荷的完整性�����,即完整性保護。簡而言之���,移動通信系統(tǒng)通過對用戶的數(shù)據(jù)和信令進行加密����,保證用戶數(shù)據(jù)的安全����,通過對信令和數(shù)據(jù)進行完整性保護,確保用戶數(shù)據(jù)在傳輸過程中����,不會被中途破壞和失真,例如被插入多余的數(shù)據(jù)�。
為實現(xiàn)加密和完整性保護功能,需要在執(zhí)行加密和完整性保護的對等實體間確保使用相同的加密和完整性算法���,以及使用相同的加密密鑰(Cipher Key����,CK)和完整性密鑰(Integrity���,IK)�����。
當控制面實體和用戶面實體存在于同一物理實體中時�����,控制面和用戶面進行加密和完整性保護的算法�����、加密密鑰和完整性密鑰都是共用的�,依靠統(tǒng)一的安全相關的信令流程來完成協(xié)商和控制�,如圖2所示1.核心網(wǎng)(Core Network,CN)發(fā)送鑒權信息(Send Authentication Info)到歸屬位置寄存器(Home Location Register�,HLR),HLR的鑒權中心(Authentication Centre��,AUC)根據(jù)核心網(wǎng)的要求產(chǎn)生新的鑒權參數(shù)集合�����,且返回給核心網(wǎng)(Send Authentication Info Ack)��;2.核心網(wǎng)使用從HLR的鑒權中心收到的鑒權參數(shù)集合,向移動臺(MobileStation��,MS)發(fā)送鑒權和加密請求消息(Authentication and Ciphering Request)����,消息中攜帶鑒權挑戰(zhàn)隨機數(shù)(Rand)和標識當前使用的鑒權參數(shù)集合的序列號;3.MS根據(jù)鑒權挑戰(zhàn)隨機數(shù)Rand�����,計算得出加密密鑰和完整性保護密鑰���,以及鑒權響應簽名參數(shù)(Res)��,向核心網(wǎng)返回鑒權和加密響應消息(Authentication and Ciphering Response)���,攜帶鑒權響應簽名參數(shù),核心網(wǎng)比對收到的鑒權響應消息中的鑒權響應簽名參數(shù)���,判斷用戶是否合法�����。
通過上述流程����,UE和網(wǎng)絡之間確保使用了相同的加密密鑰和完整性密鑰�����。此后����,網(wǎng)絡中執(zhí)行加密和完整性保護的實體(2G系統(tǒng)的SGSN和3G系統(tǒng)中的無線網(wǎng)絡控制器(Radio Network Controller,RNC))就可以采用上述的加密密鑰和完整性算法密鑰統(tǒng)一對控制面和用戶面啟動加密和完整性保護��。當然����,目前系統(tǒng)中完整性保護主要針對信令,用戶面的數(shù)據(jù)不要求進行完整性保護���。
在演進網(wǎng)絡之前的2G和3G移動通信系統(tǒng)中���,執(zhí)行信令面和用戶面的加密和完整性保護的網(wǎng)絡實體是同一個,例如2G系統(tǒng)中的SGSN�、3G系統(tǒng)中的RNC。根據(jù)目前的演進網(wǎng)絡研究進展,由于RNC不復存在���,將用戶非接入層(Non-Access Stadium��,NAS)信令的加密和完整性保護功能上移到核心網(wǎng)的邏輯功能實體MME上�,同時把用戶面數(shù)據(jù)的加密放到邏輯功能實體UPE上完成�。考慮到MME和UPE未必會存在于同一個物理實體中���,需要協(xié)調(diào)控制面和用戶面的加密和完整性保護��,其中包括控制面實體和用戶面實體分離時�,同步控制面和用戶面使用的加密密鑰和完整性保護密鑰���。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種實現(xiàn)控制面和用戶面密鑰同步的方法���,旨在解決現(xiàn)有控制面實體和用戶面實體分離時,同步控制面和用戶面使用的加密密鑰和完整性保護密鑰的問題�。
本發(fā)明是這樣實現(xiàn)的,一種實現(xiàn)控制面和用戶面密鑰同步的方法�,所述方法包括控制面實體與用戶設備協(xié)商同步控制面密鑰和用戶面密鑰;在建立用戶面承載時�,控制面實體向用戶面實體通知與用戶設備協(xié)商同步的用戶面密鑰�。
控制面實體在創(chuàng)建用戶面上下文時或者在向用戶面實體返回接入網(wǎng)的連接承載配置結果時�,向用戶面實體通知與用戶設備協(xié)商同步的用戶面密鑰。
當控制面實體與用戶設備之間更新所述控制面和用戶面密鑰時�����,所述方法進一步包括控制面實體向當前存在用戶面上下文的用戶面實體通知更新后的用戶面密鑰的步驟�����。
控制面實體與用戶設備在控制面實體對用戶設備鑒權時協(xié)商同步控制面密鑰和用戶面密鑰�����。
當控制面實體沒有可用的鑒權參數(shù)集合時��,所述控制面實體對用戶設備鑒權時協(xié)商同步控制面密鑰和用戶面密鑰的步驟包括下述步驟S1.控制面實體向歸屬用戶服務器發(fā)送鑒權信息���,獲取歸屬用戶服務器鑒權中心產(chǎn)生的鑒權參數(shù)集合;S2.控制面實體根據(jù)所述鑒權參數(shù)集合���,向用戶設備發(fā)送鑒權和加密請求消息�����,消息中攜帶鑒權挑戰(zhàn)隨機數(shù)和標識當前使用的鑒權參數(shù)集合的序列號�����;S3.用戶設備根據(jù)所述鑒權挑戰(zhàn)隨機數(shù)���,計算獲取控制面密鑰和用戶面密鑰�����,以及鑒權響應簽名參數(shù)�����,向控制面實體返回鑒權和加密響應消息�,攜帶鑒權響應簽名參數(shù)�����;S4.控制面實體根據(jù)所述鑒權響應消息中的鑒權響應簽名參數(shù)���,判斷用戶是否合法�。
所述控制面密鑰為加密密鑰或者完整性保護密鑰����。
所述用戶面密鑰為加密密鑰或者完整性保護密鑰�。
本發(fā)明通過用戶面密鑰和控制面密鑰的同步切換����,保證了演進移動通信網(wǎng)絡中控制面和用戶面實體物理分離架構下控制面和用戶面加密密鑰和完整性密鑰的一致性。
圖1是現(xiàn)有技術中演進的分組核心網(wǎng)絡的網(wǎng)絡架構圖���;
圖2是現(xiàn)有協(xié)議中規(guī)定的鑒權和加密協(xié)商的實現(xiàn)流程圖��;圖3是本發(fā)明提供的一個實施例中用戶附著的實現(xiàn)流程圖;圖4是本發(fā)明提供的一個實施例中用戶激活的實現(xiàn)流程圖��;圖5是本發(fā)明提供的控制面和用戶面同步切換密鑰的實現(xiàn)流程圖����;圖6是本發(fā)明提供的另一個實施例中用戶附著的實現(xiàn)流程圖;圖7是本發(fā)明提供的另一個實施例中用戶激活的實現(xiàn)流程圖����;圖8是本發(fā)明提供的演進網(wǎng)絡中鑒權和加密協(xié)商的實現(xiàn)流程圖。
具體實施例方式
為了使本發(fā)明的目的�����、技術方案及優(yōu)點更加清楚明白,以下結合附圖及實施例�,對本發(fā)明進行進一步詳細說明。應當理解���,此處所描述的具體實施例僅僅用以解釋本發(fā)明�,并不用于限定本發(fā)明��。
本發(fā)明利用建立IP連接承載過程中MME和UPE之間必須的信令交互���,將用戶面加密和完整性保護(如果用戶面需要完整性保護)使用的密鑰同步給新建立IP承載涉及的UPE���。
在移動通信系統(tǒng)中,鑒權和加密是緊密相關的��,鑒權使用的隨機數(shù)和加密密鑰�����、完整性密鑰參數(shù)都是用戶的鑒權參數(shù)集合中的一部分參數(shù)�。在UPE和MME分離的情況下,控制面和用戶面可以分別建立安全上下文����,即控制面和用戶面使用不同的加密密鑰和完整性算法密鑰���,或者控制面和用戶面共用相同的加密密鑰和完整性密鑰。但即使是前一種情況���,控制面和用戶面使用的密鑰應該彼此存在關聯(lián)性�,即控制面和用戶面同時使用的密鑰����,都對應于用戶歸屬的鑒權中心產(chǎn)生的同一組鑒權參數(shù)集合,以方便控制面和用戶面密鑰的同步改變���。
對應于控制面和用戶面密鑰共用的情況�,一組完整的鑒權參數(shù)集合參數(shù)可以如表1所示
表1對應于控制面和用戶面密鑰不共用的情況�����,則一組完整的鑒權參數(shù)集合參數(shù)可以如表2或者表3所示
表2
表3無論上述哪種情況�,控制面和用戶面使用的加密密鑰和完整性密鑰都來自同一組鑒權參數(shù)集合�,并且都是通過MME從用戶歸屬的鑒權中心獲取,因此可以通過控制面實體進行統(tǒng)一同步控制���。
需要說明的是���,上述的表1~3中用戶面的完整性保護密鑰IKu只有當用戶面存在完整性保護需求的情況下才存在���。
當用戶接入網(wǎng)絡時,用戶設備(User Equipment�,UE)通過附著接入到MME,MME為其建立移動性管理(MM)上下文����,然后用戶通過激活請求,在用戶與UPE/Inter AS Anchor之間建立數(shù)據(jù)承載��,從而進行數(shù)據(jù)業(yè)務����。
在本發(fā)明中,控制面和用戶面的密鑰通過MME從用戶歸屬的鑒權中心獲取����,MME通過鑒權和加密協(xié)商的信令交互,確保UE和網(wǎng)絡之間使用相同的鑒權參數(shù)集合中的密鑰參數(shù)��。
當用戶面上下文建立時�����,MME通過為建立用戶面承載和UPE之間必須的信令交互,通知新建用戶面上下文涉及的UPE應該使用的加密密鑰和完整性保護算法密鑰(如果用戶面需要進行完整性保護)����。當控制面通過鑒權和加密協(xié)商的信令交互,與UE之間切換使用新的鑒權參數(shù)集合中的控制面加密密鑰和完整性保護算法密鑰時�����,由控制面通知當前存在用戶面上下文的UPE實體新的用戶面加密密鑰和完整性保護算法密鑰��,使得用戶面可以同步切換用戶面的加密密鑰和完整性保護算法密鑰(如果用戶面需要進行完整性保護)���。
圖3示出了本發(fā)明提供的用戶附著的實現(xiàn)流程�,詳述如下1.UE發(fā)現(xiàn)了系統(tǒng)架構演進(System Architecture Evolution�����,SAE)或者長期演進(Long-Term Evolution��,LTE)接入系統(tǒng)�,隨后進行接入系統(tǒng)和網(wǎng)絡選擇(Network Discovery and Access system selection)����;2.UE向MME發(fā)起附著請求(Attach Request)��,請求消息中包含用戶以前注冊的信息����,例如臨時身份標識����,如果UE沒有上報用戶以前的注冊信息,則請求消息中包含用戶的永久身份標識�����。附著請求可以包括基本IP接入承載的信息�����,例如用戶選擇的IP地址或者接入點名(Access Point Name�����,APN)���;3a.如果用戶以前的注冊信息被UE上報����,則MME會通過用戶以前的注冊信息導出用戶上次注冊的原MME的地址,并發(fā)送用戶的注冊信息給原MME以請求獲取用戶的信息(Send old registration information)�;3b.原MME發(fā)送用戶的上下文給MME(Send user information),包含用戶的永久身份標識�����、安全上下文參數(shù)等���;4.可選的�����,MME根據(jù)系統(tǒng)配置�����,對移動用戶和終端設備進行安全認證(Security Functions)�����,如果系統(tǒng)配置需要對用戶接入進行鑒權��,或者需要進行加密和完整性保護,MME執(zhí)行鑒權和加密協(xié)商流程。如果沒有可用的鑒權參數(shù)集合����,MME先從HSS取得并保存用戶的鑒權參數(shù)集合,并且通過鑒權和加密協(xié)商流程的交互��,UE和核心網(wǎng)同步了將要用來加密和完整性保護的密鑰�,確保UE和核心網(wǎng)使用相同的密鑰執(zhí)行控制面的加密和完整性保護,以及使用相同的密鑰執(zhí)行用戶面的加密和完整性保護��;5.MME向HSS發(fā)起注冊更新(Register MME)��,注冊成為當前服務UE的MME����;6.HSS指示原MME刪除UE上下文,刪除UE的注冊信息(Delete UEregistration information)�;7.HSS確認MME的注冊(Confirm Registration),基本IP接入承載的簽約信息��、相關的服務質(zhì)量(Quality of Service�����,QoS)策略和計費控制信息也被傳送至MME�����;8.MME選擇一個UPE,向UPE發(fā)送創(chuàng)建會話上下文請求(Create SessionContext Request)��,攜帶基本IP承載要求的QoS信息���、用戶的標識等�����。MME可以選擇此時通知UPE用戶面應該使用的加密密鑰和完整性保護密鑰(如果用戶面需要完整性保護)�;9.UPE根據(jù)收到的MME的創(chuàng)建會話上下文請求創(chuàng)建用戶的會話上下文���,分配用戶面資源��,向MME返回創(chuàng)建會話上下文響應消息(Create Session ContextResponse)���,響應消息中包含了為用戶基本IP連接承載分配的、供演進網(wǎng)絡接入網(wǎng)(Evolved Radio Access Network����,Evolved RAN)上行發(fā)送數(shù)據(jù)和Inter ASAnchor下行發(fā)送數(shù)據(jù)需要的用戶面路徑參數(shù),例如通用分組無線業(yè)務(GeneralPacket Radio Service�,GPRS)隧道協(xié)議(GPRS Tunneling Protocol��,GTP)使用的隧道端IP地址����、端口�、隧道終點標識符(Tunnel End pointIdentifier��,TEID)����;
10.MME向Inter AS Anchor發(fā)起用戶面路由配置過程(User Plane RouteConfiguration),通知Inter AS Anchor下行發(fā)送數(shù)據(jù)需要的用戶面路徑參數(shù)�����,例如GTP隧道使用的隧道端IP地址���、端口����、TEID�����。Inter AS Anchor為用戶分配基本IP承載的IP地址,為UE的基本IP連接承載完成用戶面路由配置����,分配供UPE發(fā)送上行數(shù)據(jù)需要的用戶面路徑參數(shù)并返回給MME,例如GTP隧道使用的隧道端IP地址�����、端口����、TEID;11.MME保存用戶基本IP連接承載的IP地址�����,以及從用戶面UPE和InterAS Anchor交互得到的用戶面信息�,然后向演進接入網(wǎng)發(fā)起基本IP連接承載的配置過程,通知演進接入網(wǎng)為移動用戶建立的基本IP連接承載需要的QoS信息���、UPE為接入網(wǎng)分配的上行數(shù)據(jù)需要的用戶面路徑參數(shù)���,例如GTP隧道使用的隧道端IP地址、端口��、TEID。演進接入網(wǎng)為用戶基本IP連接承載分配資源(IP Bearer Configuration)����,向MME返回UPE向演進接入網(wǎng)發(fā)送下行數(shù)據(jù)需要的用戶面路徑參數(shù),例如GTP隧道使用的隧道端IP地址����、端口�����、TEID�;12.MME將演進接入網(wǎng)返回的配置結果通知UPE(Update Session Context),包括演進接入網(wǎng)分配的UPE發(fā)送下行數(shù)據(jù)需要和InterASAnchor分配的UPE發(fā)送上行數(shù)據(jù)需要的用戶面路徑參數(shù)�,例如GTP隧道使用的隧道端IP地址、端口���、TEID����。如果在上述步驟8中MME還未通知UPE用戶面應該使用的加密密鑰和完整性保護密鑰(如果用戶面需要進行完整性保護)�,則可以此時通知;13.MME向UE發(fā)送附著接受消息(Attach Accept)����,并且為UE分配臨時標識�����,用戶IP地址也發(fā)送至UE��。在漫游場景下�����,漫游限制會被檢查��,如果違反附著將被拒絕��;14.UE確認附著成功(Attach Confirm)�。
通過上述流程��,用戶成功注冊網(wǎng)絡�,并且在建立基本IP連接承載的同時,MME把用戶面應該使用的加密密鑰和完整性保護密鑰(如果用戶面需要進行完整性保護)成功同步到了UPE�。
除了UE注冊網(wǎng)絡過程建立的基本IP連接承載,UE可能需要建立其他的IP連接承載�,圖4示出了通過激活流程建立其他的IP連接承載的過程,詳述如下1.UE向MME發(fā)送激活會話上下文請求(Activate Session Context Request),要求建立新的IP連接承載�;2.MME選擇一個UPE,可以是與用戶基本IP連接承載相同的UPE�����,也可能是新的UPE����。MME向UPE發(fā)送創(chuàng)建會話上下文請求(Create Session ContextRequest),攜帶要求的QoS信息��、用戶的標識等����,MME此時通知UPE用戶面應該使用的加密密鑰和完整性保護密鑰(如果用戶面需要進行完整性保護)�����。
3.UPE根據(jù)收到的MME的創(chuàng)建會話上下文請求創(chuàng)建用戶的會話上下文����,分配用戶面資源,向MME返回創(chuàng)建會話上下文響應消息(Create Session ContextResponse)��,響應消息中包含了為用戶新建IP連接承載分配的�����、供演進網(wǎng)絡接入網(wǎng)上行發(fā)送數(shù)據(jù)和Inter AS Anchor下行發(fā)送數(shù)據(jù)需要的用戶面路徑參數(shù),例如GTP隧道使用的隧道端IP地址���、端口����、TEID���;4.MME向Inter AS Anchor發(fā)起用戶面路由配置過程(User Plane RouteConfiguration)����,通知Inter AS Anchor下行發(fā)送數(shù)據(jù)需要的用戶面路徑參數(shù)�����,例如GTP隧道使用的隧道端IP地址��、端口��、TEID�����。InterASAnchor為用戶的新建IP連接承載完成用戶面路由配置,分配供UPE發(fā)送上行數(shù)據(jù)需要的用戶面路徑參數(shù)并返回給MME�����,例如GTP隧道使用的隧道端IP地址�、端口、TEID��。
5.MME保存從UPE和Inter AS Anchor交互得到的用戶面信息�,然后向演進接入網(wǎng)發(fā)起新建IP連接承載的配置過程(IP Bearer Configuration),通知演進接入網(wǎng)為UE新建立的IP連接承載需要的QoS信息����、UPE為演進接入網(wǎng)分配的上行數(shù)據(jù)需要的用戶面路徑參數(shù),例如GTP隧道使用的隧道端IP地址���、端口、TEID��。演進接入網(wǎng)為用戶新建立的IP連接承載分配資源��,向MME返回UPE向演進接入網(wǎng)發(fā)送下行數(shù)據(jù)需要的用戶面路徑參數(shù)���,例如GTP隧道使用的隧道端IP地址��、端口����、TEID;6.MME將演進接入網(wǎng)返回的配置結果通知UPE(Update Session Context)�,包括演進接入網(wǎng)分配的UPE發(fā)送下行數(shù)據(jù)需要和InterASAnchor分配的UPE發(fā)送上行數(shù)據(jù)需要的用戶面路徑參數(shù),例如GTP隧道使用的隧道端IP地址�、端口、TEID�����。如果上述步驟2中�����,MME還未通知UPE用戶面應該使用的加密密鑰和完整性保護密鑰(如果用戶面需要進行完整性保護)����,則可以此時通知;7.MME向UE發(fā)送激活會話上下文接受消息(Activate Session ContextAccept)��。
通過上述流程�����,用戶附著網(wǎng)絡后新建的IP連接承載如果涉及到新的UPE,MME也能通過建立IP連接承載時與UPE的交互過程�,將用戶面應該使用的加密密鑰和完整性保護密鑰同步給相關UPE。
在UE首次附著網(wǎng)絡成功后����,長時間注冊于網(wǎng)絡的過程中,MME可能會根據(jù)系統(tǒng)的安全配置重新對UE進行鑒權����,并需要切換當前使用的加密密鑰和完整性保護密鑰。由于鑒權和加密協(xié)商的信令流程的執(zhí)行者是MME���,所以控制面的加密密鑰和完整性保護密鑰切換沒有問題����,但需要控制面通知當前存在用戶面上下文的UPE新的用戶面加密密鑰和完整性保護算法密鑰���,使得UPE可以同步切換用戶面的加密密鑰和完整性算法密鑰,如圖5所示1.根據(jù)系統(tǒng)的安全配置�,MME對已經(jīng)成功附著的UE發(fā)送新的鑒權和加密協(xié)商請求(Authentication and Ciphering Request);2.UE向MME返回鑒權和加密協(xié)商響應(Authentication and CipheringResponse)��,UE和MME都切換使用新鑒權參數(shù)集合中的加密密鑰和完整性保護密鑰;3.MME根據(jù)用戶面上下文中記錄的用戶會話上下文信息�,給當前用戶所有會話上下文涉及的UPE通知新的用戶面加密密鑰和完整性保護密鑰(如果用戶面需要進行完整性保護)(Update Session Context[CK,IK])����。
通過上述更新流程保證了控制面切換加密和完整性保護密鑰時,能及時同步進行用戶面加密和完整性保護密鑰的切換�,以避免用戶面加密密鑰和完整性保護密鑰在終端和網(wǎng)絡側出現(xiàn)不一致。
需要說明的是���,為描述方便��,上述的流程僅涉及了一種具體的建立IP承載的信令交互流程�����,不排除其他可能的建立IP承載的信令交互流程���。
圖6示出了本發(fā)明另一實施例中用戶附著的實現(xiàn)流程,詳述如下1.UE發(fā)現(xiàn)了SAE或者LTE接入系統(tǒng)��,隨后進行接入系統(tǒng)和網(wǎng)絡選擇(Network Discovery and Access System Selection)���;2.UE向MME發(fā)起附著請求(Attach Request)����,請求消息中包含用戶以前注冊的信息,例如臨時身份標識�,如果UE沒有上報用戶以前的注冊信息,則請求消息中包含用戶的永久身份標識�����。附著請求可以包括基本IP接入承載的信息�,例如用戶選擇的IP地址或者APN;3a.如果用戶以前的注冊信息被UE上報�,則MME會通過用戶以前的注冊信息導出用戶上次注冊的原MME的地址,并發(fā)送用戶的注冊信息給原MME以請求獲取用戶的信息(Send old registration information)�;3b.原MME發(fā)送用戶的上下文給MME(Send user information),包含用戶的永久身份標識�、安全上下文參數(shù)等;4.可選的��,MME根據(jù)系統(tǒng)配置�����,對移動用戶或終端設備進行安全認證(Security Functions)�����,如果系統(tǒng)配置需要對用戶接入進行鑒權��,或者需要進行加密和完整性保護�,MME執(zhí)行鑒權和加密協(xié)商流程。如果沒有可用的鑒權參數(shù)集合��,MME先從HSS取得并保存用戶的鑒權參數(shù)集合����,并且通過鑒權和加密協(xié)商流程的交互,UE和核心網(wǎng)同步了將要用來加密和完整性保護的密鑰����,確保UE和核心網(wǎng)使用相同的密鑰執(zhí)行控制面的加密和完整性保護,以及使用相同的密鑰執(zhí)行用戶面的加密和完整性保護��;5.MME向HSS發(fā)起注冊更新(Register MME)�����,注冊成為當前服務UE的MME���;6.HSS指示原MME刪除UE上下文�����,刪除UE的注冊信息(Delete UEregistration information)����;7.HSS確認MME的注冊(Confirm Registration),基本IP接入承載的簽約信息���、相關的QoS策略和計費控制信息也被傳送至MME�����;8.MME選擇一個UPE��,向UPE發(fā)送創(chuàng)建會話上下文請求(Create SessionContext Request)�,攜帶基本IP承載要求的QoS信息�����、用戶的標識等��。MME可以選擇此時通知UPE用戶面應該使用的加密密鑰和完整性保護密鑰(如果用戶面需要完整性保護)���;9.UPE根據(jù)收到的MME的創(chuàng)建會話上下文請求創(chuàng)建用戶的會話上下文����,分配用戶面資源,然后向Inter AS Anchor發(fā)起用戶面路由配置過程(User PlaneRoute Configuration)��。在配置過程中��,Inter AS Anchor為用戶的基本IP連接承載分配IP地址��,通知UPE保存�,并和UPE協(xié)商建立兩個實體間的用戶面路徑和路由�����;10.UPE向MME返回創(chuàng)建會話上下文響應消息(Create Session ContextResponse)�,通知控制面實體為UE的基本IP連接承載分配的IP地址以及UPE分配的為演進接入網(wǎng)絡發(fā)送上行數(shù)據(jù)需要的用戶面路徑參數(shù),例如GTP隧道使用的隧道端IP地址����、端口、TEID���;11.MME保存用戶基本IP連接承載的IP地址���,以及從用戶面UPE和InterAS Anchor交互得到的用戶面信息,然后向演進接入網(wǎng)發(fā)起基本IP連接承載需要的QoS信息、UPE為演進接入網(wǎng)分配的上行數(shù)據(jù)需要的用戶面路徑參數(shù)����,例如GTP隧道使用的隧道端IP地址、端口���、TEID�。演進接入網(wǎng)為用戶基本IP連接承載分配資源(IP Bearer Configuration)�,向MME返回UPE向演進接入網(wǎng)發(fā)送下行數(shù)據(jù)需要的用戶面路徑參數(shù),例如GTP隧道使用的隧道端IP地址��、端口����、TEID;12.MME將演進接入網(wǎng)返回的配置結果通知UPE(Update Session Context)����,包括UPE發(fā)送下行數(shù)據(jù)需要的用戶面路徑參數(shù),例如GTP隧道使用的隧道端IP地址��、端口����、TEID。如果上述步驟8中,MME還未通知UPE用戶面應該使用的加密密鑰和完整性保護密鑰(如果用戶面需要進行完整性保護)�,則可以此時通知;
13.MME向UE發(fā)送附著接受消息(Attach Accept)��,并且為UE分配臨時標識����,用戶IP地址也發(fā)送至UE。在漫游場景下����,漫游限制會被檢查���,如果違反則附著將被拒絕�;14.UE確認附著成功(Attach Confirm)�。
通過上述流程,用戶成功注冊網(wǎng)絡��,并且在建立基本IP連接承載的同時��,MME把用戶面應該使用的加密密鑰和完整性保護密鑰(如果用戶面需要進行完整性保護)成功同步到了UPE�。
圖7示出了本發(fā)明另一實施例中提供的通過激活流程建立其他的IP連接承載的過程,詳述如下1.UE向MME發(fā)送激活會話上下文請求(Activate Session Context Request)����,要求建立新的IP連接承載���;2.MME選擇一個UPE,可以是和用戶基本IP連接承載相同的UPE�����,也可能是新的UPE��,MME向UPE發(fā)送創(chuàng)建會話上下文請求(Create Session ContextRequest)�����,攜帶要求的QoS信息��、用戶的標識等�,MME此時通知UPE用戶面應該使用的加密密鑰和完整性保護密鑰(如果用戶面需要進行完整性保護)。
3.UPE根據(jù)收到的MME的創(chuàng)建會話上下文請求創(chuàng)建用戶的會話上下文�����,分配用戶面資源��,然后向Inter AS Anchor發(fā)起用戶面路由配置過程(User PlaneRoute Configuration)�,為新建的IP連接承載協(xié)商建立兩個實體間的用戶面路徑和路由�;4.UPE向MME返回創(chuàng)建會話上下文響應消息(Create Session ContextResponse)��,將UPE分配的為演進接入網(wǎng)絡發(fā)送上行數(shù)據(jù)需要的用戶面路徑參數(shù)通知控制面實體��,例如GTP隧道使用的隧道端IP地址��、端口�、TEID;5.MME保存從UPE和Inter AS Anchor交互得到的用戶面信息��,然后向演進接入網(wǎng)發(fā)起新建IP連接承載的配置過程(IP Bearer Configuration)�,通知演進接入網(wǎng)為UE新建立的IP連接承載需要的QoS信息、UPE為接入網(wǎng)分配的上行數(shù)據(jù)需要的用戶面路徑參數(shù)��,例如GTP隧道使用的隧道端IP地址����、端口���、TEID����。演進接入網(wǎng)為用戶新建立的IP連接承載分配資源�����,向MME返回UPE向演進接入網(wǎng)發(fā)送下行數(shù)據(jù)需要的用戶面路徑參數(shù),例如GTP隧道使用的隧道端IP地址��、端口�����、TEID��;6.MME將演進接入網(wǎng)返回的配置結果通知UPE(Update Session Context)�����,包括UPE發(fā)送下行數(shù)據(jù)需要的用戶面路徑參數(shù)����,例如GTP隧道使用的隧道端IP地址、端口��、TEID�,如果上述步驟2中,MME還未通知UPE用戶面應該使用的加密密鑰和完整性保護密鑰(如果用戶面需要進行完整性保護)�����,則可以此時通知;7.MME向UE發(fā)送激活會話上下文接受消息(Activate Session ContextAccept)�。
通過上述流程,用戶附著網(wǎng)絡后新建的IP連接承載如果涉及到新的UPE��,MME也能通過建立IP連接承載時和用戶面的交互過程�,將用戶面應該使用的加密密鑰和完整性保護密鑰同步給相關UPE。
圖8示出了演進網(wǎng)絡中的MME執(zhí)行鑒權和加密協(xié)商的實現(xiàn)流程���,詳述如下1.MME發(fā)送鑒權信息(Send Authentication Info)到HSS��,HSS內(nèi)置的鑒權中心根據(jù)MME的要求產(chǎn)生新的鑒權參數(shù)集合����,并返回給MME(SendAuthentication Info Ack)�;2.MME使用從HSS的鑒權中心收到的鑒權參數(shù)集合,向UE發(fā)送鑒權和加密請求消息(Authentication and Ciphering Request)�����,消息中攜帶鑒權挑戰(zhàn)隨機數(shù)(Rand)和標識當前使用的鑒權參數(shù)集合的序列號���;3.UE根據(jù)鑒權挑戰(zhàn)隨機數(shù)Rand,計算得出加密密鑰和完整性保護密鑰���,以及鑒權響應簽名參數(shù)(Res)����,向MME返回鑒權和加密響應消息(Authentication and Ciphering Response),攜帶鑒權響應簽名參數(shù)����,MME比對收到的鑒權響應消息中的鑒權響應簽名參數(shù),判斷用戶是否合法�����。
通過上述流程����,UE和網(wǎng)絡之間確保使用了相同的加密密鑰和完整性密鑰。此后����,網(wǎng)絡中執(zhí)行加密和完整性保護的實體,就可以采用上述的加密密鑰和完整性算法密鑰統(tǒng)一對控制面和用戶面啟動加密和完整性保護���。當然�,目前系統(tǒng)中完整性保護主要針對信令�����,用戶面的數(shù)據(jù)不要求進行完整性保護。
在本發(fā)明中���,Inter AS Anchor的網(wǎng)絡位置不影響本發(fā)明的適用性�����,例如InterAS Anchor和UPE可以共存于一個網(wǎng)絡節(jié)點���。此時,在上述實施例中�����,UPE和Inter AS Anchor的交互不再可見���,相應的附著流程中的步驟8~10可以壓縮為一對MME和UPE/Inter AS Anchor的往復交互就可以完成���,激活流程中的步驟2~4可以壓縮為一對MME和UPE/Inter AS Anchor的往復交互就可以完成���。
以上所述僅為本發(fā)明的較佳實施例而已�����,并不用以限制本發(fā)明���,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�、等同替換和改進等�,均應包含在本發(fā)明的保護范圍之內(nèi)。
權利要求
1.一種實現(xiàn)控制面和用戶面密鑰同步的方法�,其特征在于,所述方法包括控制面實體與用戶設備協(xié)商同步控制面密鑰和用戶面密鑰���;在建立用戶面承載時�����,控制面實體向用戶面實體通知與用戶設備協(xié)商同步的用戶面密鑰���。
2.如權利要求1所述的實現(xiàn)控制面和用戶面密鑰同步的方法,其特征在于����,控制面實體在創(chuàng)建用戶面上下文時或者在向用戶面實體返回接入網(wǎng)的連接承載配置結果時,向用戶面實體通知與用戶設備協(xié)商同步的用戶面密鑰。
3.如權利要求1所述的實現(xiàn)控制面和用戶面密鑰同步的方法�,其特征在于,當控制面實體與用戶設備之間更新所述控制面和用戶面密鑰時���,所述方法進一步包括控制面實體向當前存在用戶面上下文的用戶面實體通知更新后的用戶面密鑰的步驟�����。
4.如權利要求1所述的實現(xiàn)控制面和用戶面密鑰同步的方法����,其特征在于�,控制面實體與用戶設備在控制面實體對用戶設備鑒權時協(xié)商同步控制面密鑰和用戶面密鑰。
5.如權利要求4所述的實現(xiàn)控制面和用戶面密鑰同步的方法���,其特征在于�����,當控制面實體沒有可用的鑒權參數(shù)集合時��,所述控制面實體對用戶設備鑒權時協(xié)商同步控制面密鑰和用戶面密鑰的步驟包括下述步驟S1.控制面實體向歸屬用戶服務器發(fā)送鑒權信息�,獲取歸屬用戶服務器鑒權中心產(chǎn)生的鑒權參數(shù)集合����;S2.控制面實體根據(jù)所述鑒權參數(shù)集合,向用戶設備發(fā)送鑒權和加密請求消息�����,消息中攜帶鑒權挑戰(zhàn)隨機數(shù)和標識當前使用的鑒權參數(shù)集合的序列號����;S3.用戶設備根據(jù)所述鑒權挑戰(zhàn)隨機數(shù),計算獲取控制面密鑰和用戶面密鑰�����,以及鑒權響應簽名參數(shù)�,向控制面實體返回鑒權和加密響應消息,攜帶鑒權響應簽名參數(shù)���;S4.控制面實體根據(jù)所述鑒權響應消息中的鑒權響應簽名參數(shù)�����,判斷用戶是否合法����。
6.如權利要求1至5任一權利要求所述的實現(xiàn)控制面和用戶面密鑰同步的方法,其特征在于�����,所述控制面密鑰為加密密鑰或者完整性保護密鑰����。
7.如權利要求1至5任一權利要求所述的實現(xiàn)控制面和用戶面密鑰同步的方法,其特征在于��,所述用戶面密鑰為加密密鑰或者完整性保護密鑰����。
全文摘要
本發(fā)明適用于移動通信領域,提供了一種實現(xiàn)控制面和用戶面密鑰同步的方法��,所述方法包括控制面實體與用戶設備協(xié)商同步控制面和用戶面密鑰���;在建立用戶面承載時���,控制面實體向用戶面實體通知與用戶設備協(xié)商同步的用戶面密鑰。本發(fā)明通過用戶面密鑰和控制面密鑰的同步切換����,保證了演進移動通信網(wǎng)絡中控制面和用戶面實體物理分離架構下控制面和用戶面加密密鑰和完整性密鑰的一致性���。
文檔編號H04L12/54GK101072092SQ20061006069
公開日2007年11月14日 申請日期2006年5月11日 優(yōu)先權日2006年5月11日
發(fā)明者胡偉華, 吳問付 申請人:華為技術有限公司