專利名稱:一種初始非接入層消息的傳輸方法���、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本申請涉及移動(dòng)通信技術(shù)領(lǐng)域���,特別是涉及一種初始非接入層消息的傳輸方法、裝置及系統(tǒng)�。
背景技術(shù):
在長期演進(jìn)(LTE,LongTerm Evolvement)網(wǎng)絡(luò)內(nèi),移動(dòng)管理實(shí)體(MME,MobilityManagement Entity)和用戶終端(UE,User Equipment)之間進(jìn)行的初始過程包括附著過程(Attach procedure)�、位置區(qū)域更新過程(Tracking Area Update procedures)、服務(wù)請求過程(Service Request procedures)��、去附著過程(Detach procedure)���。
在上述過程中都存在UE從空閑狀態(tài)到連接狀態(tài)的轉(zhuǎn)變�,此時(shí)UE向MME發(fā)送的初始非接入層(Non Access Stratum, NAS)消息需要攜帶UE的相關(guān)標(biāo)識(國際移動(dòng)簽約標(biāo)識(IMSI, International Mobile Subscriber Identity)或全球唯一臨時(shí)標(biāo)識(GUTI,Globally Unique Temporary UE Identity))等重要信息�����。這些信息是不加密的,容易被攻擊者截獲�����。攻擊者可以通過很多手段獲取到這些用戶標(biāo)識,比如監(jiān)聽空口信息�,攻擊演進(jìn)基站(ENB,evolved NodeB)等���。攻擊者獲取到UE的相關(guān)標(biāo)識后����,可以跟蹤UE�、或者進(jìn)行強(qiáng)制切換等攻擊���。在LTE系統(tǒng)內(nèi)����,目前對初始NAS消息的保護(hù)措施還比較薄弱�,尚無有效地方法防止初始NAS消息中的信息被截獲。
發(fā)明內(nèi)容
本申請?zhí)峁┮环N初始非接入層消息的傳輸方法��、裝置及系統(tǒng)��,以保護(hù)初始非接入層消息�,防止初始非接入層消息中的信息被截獲。為了解決上述問題����,本申請公開了一種初始非接入層消息的傳輸方法�,包括ENB接收UE發(fā)送的連接請求消息����;ENB向所述UE發(fā)送攜帶MME公鑰的連接建立消息;ENB接收所述UE發(fā)送的連接建立完成消息���,所述連接建立完成消息中攜帶所述MME公鑰加密的初始NAS消息���;ENB將所述MME公鑰加密的初始NAS消息通過初始UE消息發(fā)送給MME。優(yōu)選地�,所述ENB接收UE發(fā)送的連接請求消息之前,還包括ENB向MME發(fā)送建立請求消息����;ENB接收MME發(fā)送的建立響應(yīng)消息,所述建立響應(yīng)消息中攜帶MME公鑰�����,ENB保存所述MME公鑰�。優(yōu)選地,在MME向ENB發(fā)送的建立響應(yīng)消息中攜帶MME公鑰,包括在建立響應(yīng)消息中添加MME公鑰的信息元素����。優(yōu)選地,所述ENB接收UE發(fā)送的連接請求消息之前�,還包括ENB接收MME發(fā)送的配置更新請求消息,所述配置更新請求消息中攜帶新的MME公鑰���;
ENB保存所述新的MME公鑰���,并向MME發(fā)送配置更新應(yīng)答消息。優(yōu)選地��,在MME向ENB發(fā)送的配置更新請求消息中攜帶新的MME公鑰�,包括在配置更新請求消息中添加新的MME公鑰的信息元素���。優(yōu)選地�,其特征在于����,在ENB向UE發(fā)送的連接建立消息中攜帶MME公鑰,包括在連接建立消息中添加MME公鑰的信息元素��。優(yōu)選地,通過以下方式使用MME公鑰加密初始NAS消息在初始NAS消息結(jié)構(gòu)中�,在第I個(gè)字節(jié)中增加安全頭類型;對所述初始NAS消息結(jié)構(gòu)中從第2個(gè)字節(jié)開始的內(nèi)容使用MME公鑰加密����。
優(yōu)選地,所述增加安全頭類型包括當(dāng)所述初始NAS消息為附著請求消息�����,或者為去附著請求消息��,或者為位置區(qū)域更新請求消息時(shí)�����,所述安全頭類型置為“0101” ��;當(dāng)所述初始NAS消息為服務(wù)請求消息時(shí)��,所述安全頭類型置為“0110”��。優(yōu)選地���,所述ENB將MME公鑰加密的初始NAS消息通過初始UE消息發(fā)送給MME之后還包括MME接收所述初始UE消息并使用對應(yīng)的MME私鑰對所述初始UE消息中加密的初始NAS消息進(jìn)行解密���。本申請還公開了一種初始非接入層消息的傳輸裝置�,其特征在于�,包括第一接收模塊,用于接收UE發(fā)送的連接請求消息����;第一發(fā)送模塊,用于向所述UE發(fā)送攜帶MME公鑰的連接建立消息���;第二接收模塊����,用于接收所述UE發(fā)送的連接建立完成消息����,所述連接建立完成消息中攜帶所述MME公鑰加密的初始NAS消息;第二發(fā)送模塊��,用于將所述MME公鑰加密的初始NAS消息通過初始UE消息發(fā)送給MME0優(yōu)選地���,所述裝置還包括第三發(fā)送模塊,用于向MME發(fā)送建立請求消息�;第三接收模塊���,用于接收MME發(fā)送的建立響應(yīng)消息,所述建立響應(yīng)消息中攜帶MME公鑰���;存儲模塊�����,用于保存所述MME公鑰�。優(yōu)選地���,所述裝置還包括第四接收模塊����,用于接收MME發(fā)送的配置更新請求消息��,所述配置更新請求消息中攜帶新的MME公鑰��;第四發(fā)送模塊�,用于向MME發(fā)送配置更新應(yīng)答消息。本申請還公開了一種初始非接入層消息的傳輸系統(tǒng)�����,其特征在于,包括ENB和UE,其中���,所述ENB包括第一接收模塊�����,用于接收UE發(fā)送的連接請求消息�����;第一發(fā)送模塊���,用于向所述UE發(fā)送攜帶MME公鑰的連接建立消息;第二接收模塊���,用于接收所述UE發(fā)送的連接建立完成消息��,所述連接建立完成消息中攜帶所述MME公鑰加密的初始NAS消息����;
第二發(fā)送模塊����,用于將所述MME公鑰加密的初始NAS消息通過初始UE消息發(fā)送給MME ;其中��,所述UE包括第三發(fā)送模塊���,用于向ENB發(fā)送連接請求消息����;第三接收模塊��,用于接收ENB發(fā)送的連接建立消息����,所述連接建立消息中攜帶MME公鑰;第三發(fā)送模塊��,用于向ENB發(fā)送連接建立完成消息�,所述連接建立完成消息中攜帶所述MME公鑰加密的初始NAS消息。優(yōu)選地��,所述系統(tǒng)還包括MME��,
所述MME包括接收模塊����,用于接收所述ENB發(fā)送的建立請求消息����;發(fā)送模塊���,用于向所述ENB發(fā)送建立響應(yīng)消息,所述建立響應(yīng)消息中攜帶MME公鑰�。優(yōu)選地����,所述MME還包括配置更新模塊,用于向ENB發(fā)送配置更新請求消息���,所述配置更新請求消息中攜帶新的MME公鑰���。與現(xiàn)有技術(shù)相比,本申請包括以下優(yōu)點(diǎn)首先�,本申請通過ENB向UE發(fā)送MME公鑰,使得UE可以使用MME的公鑰加密NAS消息�,加密的NAS消息保護(hù)了 UE的相關(guān)標(biāo)識,有效防止了攻擊者對初始NAS消息中的UE相關(guān)標(biāo)識進(jìn)行的截獲���,保證了初始非接入層消息中用戶標(biāo)識等重要信息的安全�����。而且�,當(dāng)上述加密的NAS消息發(fā)送到MME后���,MME可以使用對應(yīng)的私鑰對消息進(jìn)行解密����,這樣傳輸過程中傳輸?shù)氖怯霉€加密的NAS消息��,而解密的時(shí)候使用私鑰���,這樣只公開公鑰的加密方法��,更好的防止了初始NAS消息被截獲而解密的可能性���,因?yàn)榧词钩跏糔AS消息被截獲,由于攻擊者無法獲知私鑰���,仍然無法解密所述的用公鑰加密的NAS消息����。 其次,本申請中當(dāng)MME的公鑰發(fā)生更新時(shí)�����,主動(dòng)向ENB發(fā)送攜帶新的MME公鑰的配置更新請求消息��,主動(dòng)將更新的MME公鑰發(fā)送給ENB���,這樣即使MME的公鑰因?yàn)闀r(shí)間周期等原因需要更新�����,也可以及時(shí)將更新的MME公鑰傳遞給ENB��,使得后續(xù)UE對初始NAS消息進(jìn)行加密時(shí)使用的是最新的MME公鑰����。再次����,本申請規(guī)定了 MME向ENB、UE傳遞基于PKI體系公鑰的方法����,對MME、ENB和UE之間的公鑰的使用做出了規(guī)定。在普通NAS消息結(jié)構(gòu)中��,增加安全頭類型����,當(dāng)MME收到消息后根據(jù)安全頭類型對應(yīng)填寫的內(nèi)容使用MME私鑰進(jìn)行解密?�?傊?��,本申請對LTE網(wǎng)絡(luò)中多個(gè)初始過程的NAS消息進(jìn)行保護(hù),對LTE網(wǎng)絡(luò)安全體系的薄弱環(huán)節(jié)提出了有效的解決辦法�,有利于保證網(wǎng)絡(luò)安全,對于真實(shí)組網(wǎng)有非常重要的意義����。
圖I是本申請實(shí)施例一所述一種初始非接入層消息的傳輸方法的流程圖;圖2是本申請實(shí)施例二所述SI建立過程的流程圖���;圖3是本申請實(shí)施例二所述一種初始非接入層消息的傳輸方法的流程圖4是本申請實(shí)施例三所述MME配置更新過程的示意圖����;圖5是本申請實(shí)施例四所述在初始NAS消息中增加安全頭類型的示意圖���;圖6是本申請實(shí)施例四所述初始NAS消息結(jié)構(gòu)示意圖�;圖7是本申請實(shí)施例五所述一種初始非接入層消息的傳輸裝置的結(jié)構(gòu)框圖;圖8是本申請實(shí)施例六所述一種初始非接入層消息的傳輸系統(tǒng)的結(jié)構(gòu)框圖����。
具體實(shí)施例方式為使本申請的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂�����,下面結(jié)合附圖和具體實(shí)施方式
對本申請作進(jìn)一步詳細(xì)的說明��。本申請?zhí)岢鲆环N初始非接入層消息的傳輸方法�,通過對初始NAS消息使用MME公鑰進(jìn)行加密后傳輸,保證了初始NAS消息的安全傳輸���。實(shí)施例一參照圖1�����,示出了本申請一種初始非接入層消息的傳輸方法的流程圖����,本實(shí)施例具體可以包括以下步驟步驟S101, ENB接收UE發(fā)送的連接請求消息(RRC Connection Request)�;需要說明的是����,UE從空閑狀態(tài)到連接狀態(tài)轉(zhuǎn)變的過程中���,需要向MME發(fā)送攜帶UE標(biāo)識等重要信息�����。在初始NAS消息傳輸之前��,UE和ENB之間會先進(jìn)行連接。步驟S102��,ENB向所述UE發(fā)送攜帶MME公鑰的連接建立消息(RRC ConnectionSetup)�����;需要說明的是��,ENB向所述UE發(fā)送攜帶MME公鑰的連接建立消息之前�,需要選擇合適的MME公鑰,并將選擇的MME公鑰通過連接建立消息發(fā)送給UE���。ENB向UE發(fā)送的連接建立消息(RRC Connection Setup)中攜帶MME公鑰包括
在連接建立消息中添加MME公鑰的信息元素�����,如下所示���。
權(quán)利要求
1.一種初始非接入層消息的傳輸方法�����,其特征在于�,包括 ENB接收UE發(fā)送的連接請求消息�; ENB向所述UE發(fā)送攜帶MME公鑰的連接建立消息; ENB接收所述UE發(fā)送的連接建立完成消息���,所述連接建立完成消息中攜帶所述MME公鑰加密的初始NAS消息�; ENB將所述MME公鑰加密的初始NAS消息通過初始UE消息發(fā)送給MME�����。
2.根據(jù)權(quán)利要求I所述的方法�,其特征在于,所述ENB接收UE發(fā)送的連接請求消息之前����,還包括 ENB向MME發(fā)送建立請求消息�����; ENB接收MME發(fā)送的建立響應(yīng)消息����,所述建立響應(yīng)消息中攜帶MME公鑰�,ENB保存所述MME公鑰。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于����,在MME向ENB發(fā)送的建立響應(yīng)消息中攜帶MME公鑰��,包括 在建立響應(yīng)消息中添加MME公鑰的信息元素�����。
4.根據(jù)權(quán)利要求I所述的方法����,其特征在于�,所述ENB接收UE發(fā)送的連接請求消息之前����,還包括 ENB接收MME發(fā)送的配置更新請求消息��,所述配置更新請求消息中攜帶新的MME公鑰��; ENB保存所述新的MME公鑰�,并向MME發(fā)送配置更新應(yīng)答消息。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于�����,在MME向ENB發(fā)送的配置更新請求消息中攜帶新的MME公鑰�,包括 在配置更新請求消息中添加新的MME公鑰的信息元素。
6.根據(jù)權(quán)利要求I所述的方法��,其特征在于�����,在ENB向UE發(fā)送的連接建立消息中攜帶MME公鑰�����,包括 在連接建立消息中添加MME公鑰的信息元素。
7.根據(jù)權(quán)利要求I所述的方法���,其特征在于��,通過以下方式使用MME公鑰加密初始NAS消息 在初始NAS消息結(jié)構(gòu)中�,在第I個(gè)字節(jié)中增加安全頭類型�����; 對所述初始NAS消息結(jié)構(gòu)中從第2個(gè)字節(jié)開始的內(nèi)容使用MME公鑰加密�。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于�,所述增加安全頭類型包括 當(dāng)所述初始NAS消息為附著請求消息,或者為去附著請求消息�����,或者為位置區(qū)域更新請求消息時(shí)���,所述安全頭類型置為“0101” ; 當(dāng)所述初始NAS消息為服務(wù)請求消息時(shí)�����,所述安全頭類型置為“0110”。
9.根據(jù)權(quán)利要求I所述的方法���,其特征在于����,所述ENB將MME公鑰加密的初始NAS消息通過初始UE消息發(fā)送給MME之后還包括 MME接收所述初始UE消息并使用對應(yīng)的MME私鑰對所述初始UE消息中加密的初始NAS消息進(jìn)行解密����。
10.一種初始非接入層消息的傳輸裝置,其特征在于��,包括 第一接收模塊��,用于接收UE發(fā)送的連接請求消息�; 第一發(fā)送模塊,用于向所述UE發(fā)送攜帶MME公鑰的連接建立消息����;第二接收模塊,用于接收所述UE發(fā)送的連接建立完成消息���,所述連接建立完成消息中攜帶所述MME公鑰加密的初始NAS消息�����; 第二發(fā)送模塊��,用于將所述MME公鑰加密的初始NAS消息通過初始UE消息發(fā)送給MME��。
11.根據(jù)權(quán)利要求10所述的裝置���,其特征在于����,所述裝置還包括 第三發(fā)送模塊��,用于向MME發(fā)送建立請求消息�����; 第三接收模塊���,用于接收MME發(fā)送的建立響應(yīng)消息�����,所述建立響應(yīng)消息中攜帶MME公鑰�����; 存儲模塊�,用于保存所述MME公鑰�����。
12.根據(jù)權(quán)利要求10所述的裝置�����,其特征在于�����,所述裝置還包括 第四接收模塊��,用于接收MME發(fā)送的配置更新請求消息�����,所述配置更新請求消息中攜帶新的MME公鑰�����; 第四發(fā)送模塊,用于向MME發(fā)送配置更新應(yīng)答消息���。
13.一種初始非接入層消息的傳輸系統(tǒng)����,其特征在于�,包括ENB和UE, 其中����,所述ENB包括 第一接收模塊,用于接收UE發(fā)送的連接請求消息��; 第一發(fā)送模塊���,用于向所述UE發(fā)送攜帶MME公鑰的連接建立消息��; 第二接收模塊��,用于接收所述UE發(fā)送的連接建立完成消息����,所述連接建立完成消息中攜帶所述MME公鑰加密的初始NAS消息; 第二發(fā)送模塊��,用于將所述MME公鑰加密的初始NAS消息通過初始UE消息發(fā)送給MME ���; 其中,所述UE包括 第三發(fā)送模塊�,用于向ENB發(fā)送連接請求消息; 第三接收模塊�,用于接收ENB發(fā)送的連接建立消息,所述連接建立消息中攜帶MME公鑰�; 第三發(fā)送模塊,用于向ENB發(fā)送連接建立完成消息���,所述連接建立完成消息中攜帶所述MME公鑰加密的初始NAS消息����。
14.根據(jù)權(quán)利要求13所述的系統(tǒng)���,其特征在于��,還包括:MME���, 所述MME包括 接收模塊�����,用于接收所述ENB發(fā)送的建立請求消息��; 發(fā)送模塊�,用于向所述ENB發(fā)送建立響應(yīng)消息����,所述建立響應(yīng)消息中攜帶MME公鑰。
15.根據(jù)權(quán)利要求14所述的系統(tǒng)����,其特征在于,所述MME還包括 配置更新模塊�����,用于向ENB發(fā)送配置更新請求消息�����,所述配置更新請求消息中攜帶新的MME公鑰�����。
全文摘要
本申請?zhí)峁┝艘环N初始非接入層消息的傳輸方法、裝置及系統(tǒng)��,以保護(hù)初始非接入層消息��,防止初始非接入層消息中的信息被截獲�����。其中���,所述一種初始非接入層消息的傳輸方法包括ENB接收UE發(fā)送的連接請求消息;ENB向所述UE發(fā)送攜帶MME公鑰的連接建立消息��;ENB接收所述UE發(fā)送的連接建立完成消息�����,所述連接建立完成消息中攜帶所述MME公鑰加密的初始NAS消息�����;ENB將所述MME公鑰加密的初始NAS消息通過初始UE消息發(fā)送給MME�。本申請可以對LTE網(wǎng)絡(luò)中多個(gè)初始過程的NAS消息進(jìn)行保護(hù),有利于保證網(wǎng)絡(luò)安全�����,對于真實(shí)組網(wǎng)有非常重要的意義。
文檔編號H04W12/02GK102833739SQ20121030679
公開日2012年12月19日 申請日期2012年8月24日 優(yōu)先權(quán)日2012年8月24日
發(fā)明者吳鵬程 申請人:大唐移動(dòng)通信設(shè)備有限公司