專利名稱:一種用戶面加密的啟動(dòng)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�,尤其涉及一種應(yīng)用于演進(jìn)網(wǎng)絡(luò)中MME和UPE物理分離時(shí)的用戶面加密的啟動(dòng)方法�����。
背景技術(shù):
第三代移動(dòng)通信系統(tǒng)中����,演進(jìn)的移動(dòng)通信網(wǎng)絡(luò)系統(tǒng)架構(gòu)正處于發(fā)展階段。為了保證10年以至更久的時(shí)間內(nèi)第三代合作項(xiàng)目(3rd Generation PartnershipProject����,3GPP)系統(tǒng)的競(jìng)爭(zhēng)力���,接入技術(shù)演進(jìn)的工作正在3GPP組織內(nèi)部進(jìn)行。
特別是為了加強(qiáng)3GPP系統(tǒng)處理快速增長(zhǎng)的IP數(shù)據(jù)業(yè)務(wù)的能力�,在3GPP系統(tǒng)內(nèi)分組技術(shù)的使用需要進(jìn)一步增強(qiáng)。這類技術(shù)演進(jìn)中最重要的幾個(gè)部分包括減少時(shí)延和反應(yīng)時(shí)間�,實(shí)現(xiàn)更高速的用戶數(shù)據(jù)速率,增強(qiáng)系統(tǒng)容量和覆蓋范圍�,以及降低運(yùn)營(yíng)商整體成本。并且���,演進(jìn)的網(wǎng)絡(luò)結(jié)構(gòu)對(duì)于現(xiàn)有網(wǎng)絡(luò)的后向兼容性也是一個(gè)重要的指標(biāo)���,其中在安全方面,要求演進(jìn)網(wǎng)絡(luò)中的用戶安全流程必須確保提供至少和目前2G和3G系統(tǒng)相同級(jí)別的安全機(jī)制�。
移動(dòng)通信系統(tǒng)存在特有的空中接口部分(以下簡(jiǎn)稱為空口)。用戶的數(shù)據(jù)和信令在整個(gè)傳輸路徑中�,有一段是承載于無(wú)線接入部分,直接暴露于空口��,可能被不法分子監(jiān)聽(tīng)�����,存在相當(dāng)大的安全隱患�����。為此�,移動(dòng)通信系統(tǒng)中,一直明確有對(duì)空口上傳輸?shù)男帕詈蛿?shù)據(jù)進(jìn)行加密的需求����。此外,因?yàn)榭湛趥鬏數(shù)南鄬?duì)不可靠性��,必須有機(jī)制確保其承載傳輸?shù)臄?shù)據(jù)負(fù)荷的完整性�����,這就是完整性保護(hù)��。簡(jiǎn)而言之��,移動(dòng)通信系統(tǒng)通過(guò)對(duì)用戶的數(shù)據(jù)和信令進(jìn)行加密�,保證用戶數(shù)據(jù)的安全,通過(guò)對(duì)信令和數(shù)據(jù)進(jìn)行完整性保護(hù)����,確保用戶數(shù)據(jù)在傳輸過(guò)程中��,不會(huì)被中途破壞和失真���,比如被插入多余的數(shù)據(jù)。
為保證加密和完整性保護(hù)功能的正確執(zhí)行���,需要在執(zhí)行加密和完整性保護(hù)的對(duì)等實(shí)體間�,確保使用相同的加密和完整性算法���,以及使用相同的加密密鑰(Cipher Key�����,CK)和完整性密鑰(Integrity Key�����,IK)����。
除了確保移動(dòng)終端和網(wǎng)絡(luò)側(cè)加密與完整性保護(hù)執(zhí)行實(shí)體之間使用相同的加密密鑰和完整性保護(hù)密鑰外�,在啟動(dòng)加密和完整性保護(hù)之前,執(zhí)行加密和完整性保護(hù)的雙方實(shí)體需要協(xié)商一些信息,包括初始參數(shù)��、完整性保護(hù)和加密的激活時(shí)間等�����,只有執(zhí)行完整性保護(hù)和加密的雙方協(xié)商了一致的初始參數(shù)��,加密和完整性保護(hù)才能成功啟動(dòng)�����。
在演進(jìn)網(wǎng)絡(luò)之前的2G和3G移動(dòng)通信系統(tǒng)中��,執(zhí)行信令面和用戶面的加密/完整性保護(hù)的網(wǎng)絡(luò)實(shí)體是同一個(gè)���,比如2G系統(tǒng)中的服務(wù)通用分組無(wú)線業(yè)務(wù)支持節(jié)點(diǎn)(Serving GPRS Support Node,SGSN)����,3G系統(tǒng)中的無(wú)線網(wǎng)絡(luò)控制器(Radio Network Controller,RNC)��。而演進(jìn)網(wǎng)絡(luò)的架構(gòu)與2G和3G移動(dòng)通信系統(tǒng)架構(gòu)有所不同�����,因此,信令面和用戶面的加密/完整性保護(hù)也有所不同����。
參見(jiàn)圖1,為現(xiàn)有無(wú)線演進(jìn)網(wǎng)絡(luò)結(jié)構(gòu)示意圖���。
如圖1所示�,無(wú)線演進(jìn)網(wǎng)絡(luò)的核心網(wǎng)(Evolved Packet Core)主要包含移動(dòng)管理實(shí)體(Mobility Management Entity����,MME)、用戶面實(shí)體(User PlaneEntity��,UPE)���、接入系統(tǒng)間錨點(diǎn)(Inter AS System Anchor�����,IASA)三個(gè)邏輯功能實(shí)體�。其中�,MME負(fù)責(zé)控制面的移動(dòng)性管理,包括用戶上下文和移動(dòng)狀態(tài)管理�����,分配用戶臨時(shí)身份標(biāo)識(shí)����、安全功能等���,它對(duì)應(yīng)于當(dāng)前通用無(wú)線通信系統(tǒng)(Universal Mobile Telecommunication System�,UMTS)內(nèi)部SGSN的控制平面部分�����;UPE負(fù)責(zé)空閑狀態(tài)下為下行數(shù)據(jù)發(fā)起尋呼���,管理保存IP承載參數(shù)和網(wǎng)絡(luò)內(nèi)路由信息等���,它對(duì)應(yīng)于當(dāng)前UMTS系統(tǒng)內(nèi)部SGSN的數(shù)據(jù)平面部分;InterAS System Anchor則充當(dāng)不同接入系統(tǒng)間的用戶面錨點(diǎn)�。圖1中的各個(gè)接口的功能和是否存在仍然沒(méi)有最終確定,網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(Gateway GPRSSupport Node���,GGSN)的數(shù)據(jù)平面部分可能位于UPE內(nèi)�����,也可能位于Inter ASSystem Anchor內(nèi)���。
在演進(jìn)網(wǎng)絡(luò)中�����,由于RNC不復(fù)存在�����,將用戶非接入層(Non Access Stratum����,NAS)信令的加密和完整性保護(hù)功能上移到核心網(wǎng)的邏輯功能實(shí)體MME上���,同時(shí)把用戶面數(shù)據(jù)的加密放到邏輯功能實(shí)體UPE上完成�����。當(dāng)MME和UPE存在于同一物理實(shí)體中時(shí)�,控制面和用戶面進(jìn)行加密和完整性保護(hù)的算法、加密密鑰和完整性密鑰都是共用的�,加密和完整性保護(hù)的啟動(dòng)時(shí)機(jī)也是同步的,因此可以依靠統(tǒng)一的安全相關(guān)的信令流程來(lái)完成協(xié)商和控制��。當(dāng)MME和UPE分離�����,即MME和UPE不位于同一個(gè)物理實(shí)體內(nèi)時(shí)���,控制面和用戶面的加密和完整性保護(hù)需要分開(kāi)控制。
考慮到控制面和用戶面的安全上下文建立和保存在不同的實(shí)體上�,因此控制面和用戶面的加密初始參數(shù)需要各自協(xié)商,同時(shí)考慮到用戶面和控制面的安全上下文啟動(dòng)加密的時(shí)機(jī)不相同����,而且用戶面實(shí)體可能允許多個(gè),用戶面的加密啟動(dòng)時(shí)機(jī)必須能由用戶面實(shí)體自己控制��。目前演進(jìn)網(wǎng)絡(luò)的規(guī)范中沒(méi)有明確給出MME和UPE實(shí)體物理分離時(shí)用戶面加密啟動(dòng)的解決方法����。
發(fā)明內(nèi)容
本發(fā)明提供一種用戶面加密的啟動(dòng)方法,用以解決演進(jìn)網(wǎng)絡(luò)中MME和UPE物理分離時(shí)的用戶面加密啟動(dòng)的問(wèn)題�。
本發(fā)明方法應(yīng)用于演進(jìn)網(wǎng)絡(luò)中移動(dòng)管理實(shí)體MME和用戶面實(shí)體UPE物理分離時(shí)的用戶面加密啟動(dòng)過(guò)程����,包括A�����、UPE通過(guò)MME向用戶終端發(fā)送需要與其協(xié)商的加密初始參數(shù)���;B�、用戶終端接受所述加密初始參數(shù)����,通過(guò)MME向UPE發(fā)送確認(rèn)信息,并采用接受的加密初始參數(shù)對(duì)發(fā)往UPE的上行數(shù)據(jù)進(jìn)行加密�;C、UPE確認(rèn)加密啟動(dòng)成功��,并采用所述加密初始參數(shù)對(duì)發(fā)往用戶終端的下行數(shù)據(jù)進(jìn)行加密�。
根據(jù)本發(fā)明的上述方法,所述步驟A包括A1�、UPE向MME發(fā)送安全模式請(qǐng)求消息,攜帶所述加密初始參數(shù)和用戶標(biāo)識(shí)�;
A2、MME向用戶標(biāo)識(shí)對(duì)應(yīng)的用戶終端發(fā)送安全模式命令消息�����,攜帶所述加密初始參數(shù);所述步驟B包括B1�����、用戶終端向MME發(fā)送安全模式完成消息�����,攜帶確認(rèn)信息�����;B2�、MME向UPE發(fā)送安全模式響應(yīng)消息���,攜帶所述確認(rèn)信息和MME根據(jù)其接收的所述安全模式完成消息的信令連接所確定的用戶標(biāo)識(shí)�。
所述步驟B1中����,用戶終端發(fā)送的安全模式完成消息中,還攜帶由該用戶終端指定的需要與UPE進(jìn)行協(xié)商的加密初始參數(shù)��;所述步驟B2中,MME將該加密初始參數(shù)攜帶在所述安全模式響應(yīng)消息中發(fā)送給UPE���。
上述方法中�,當(dāng)演進(jìn)網(wǎng)絡(luò)允許同一個(gè)用戶終端可以通過(guò)多個(gè)UPE建立IP承載時(shí)�,所述步驟A1中,所述安全模式請(qǐng)求消息中還攜帶所述UPE的標(biāo)識(shí)�;所述步驟A2中,MME將該UPE標(biāo)識(shí)攜帶在所述安全模式命令消息中發(fā)送給用戶終端����;所述步驟B1中,所述安全模式完成消息中還攜帶該UPE標(biāo)識(shí)��;所述步驟B2中�����,MME向該UPE標(biāo)識(shí)對(duì)應(yīng)的UPE發(fā)送所述安全模式響應(yīng)消息���。
根據(jù)本發(fā)明的上述方法����,所述步驟A包括a1�、UPE向MME發(fā)送信令發(fā)送請(qǐng)求消息�,攜帶包含所述加密初始參數(shù)的安全模式命令消息和用戶標(biāo)識(shí)��;a2�����、MME將所述安全模式命令消息按照MME與用戶終端之間交互透?jìng)餍帕畹母袷竭M(jìn)行封裝����,并發(fā)送給所述用戶標(biāo)識(shí)對(duì)應(yīng)的用戶終端;所述步驟B包括b1�、用戶終端將其構(gòu)造的包含確認(rèn)信息的安全模式完成消息,按照用戶終端與MME之間交互透?jìng)餍帕畹母袷竭M(jìn)行封裝���,并發(fā)送給MME����;b2���、MME將所述安全模式完成消息按照MME與UPE之間交互透?jìng)餍帕畹母袷竭M(jìn)行封裝,并發(fā)送給UPE��。
所述步驟b1中���,用戶終端構(gòu)造的安全模式完成消息中攜帶由該用戶終端指定的需要與UPE進(jìn)行協(xié)商的加密初始參數(shù)���;所述步驟b2中����,MME將攜帶所述加密初始參數(shù)的安全模式完成消息發(fā)送給UPE�。
上述方法中,當(dāng)演進(jìn)網(wǎng)絡(luò)允許同一個(gè)用戶終端可以通過(guò)多個(gè)UPE建立IP承載時(shí)�����,所述步驟a1中���,所述安全模式命令消息中還攜帶UPE標(biāo)識(shí)��;所述步驟a2中��,MME將攜帶該UPE標(biāo)識(shí)的安全模式命令消息發(fā)送給用戶終端�����;所述步驟b1中���,用戶終端將UPE標(biāo)識(shí)和所述安全模式完成消息進(jìn)行封裝�����;所述步驟b2中�����,MME向該UPE標(biāo)識(shí)對(duì)應(yīng)的UPE發(fā)送所述安全模式完成消息��。
上述方法中���,通過(guò)擴(kuò)展分組數(shù)據(jù)收斂協(xié)議PDCP協(xié)議棧,增加UPE和用戶終端之間的交互信令消息����,攜帶所述加密初始參數(shù)以完成協(xié)商;或通過(guò)增加一協(xié)議棧����,支持UPE和用戶終端之間的交互信令消息,攜帶所述加密初始參數(shù)以完成協(xié)商����。
根據(jù)本發(fā)明的上述方法,MME為UPE和用戶終端之間的信令交互提供信令完整性保護(hù)�。
本發(fā)明的有益效果如下(1)本發(fā)明針對(duì)演進(jìn)移動(dòng)通信網(wǎng)絡(luò)中MME和UPE物理分離的架構(gòu),通過(guò)MME中轉(zhuǎn)UPE和移動(dòng)終端的信令交互��,使得UPE能獨(dú)立進(jìn)行加密初始參數(shù)的協(xié)商�����,控制用戶面加密的啟動(dòng)����,同時(shí)還能夠有效借助MME提供的對(duì)NAS信令的完整性保護(hù)功能保護(hù)UPE和終端之間的信令交互。
(2)本發(fā)明通過(guò)MME中轉(zhuǎn)UPE和移動(dòng)終端的信令交互�,避免了移動(dòng)終端和UPE之間存在交互信令的需求,也即不必要在UPE和移動(dòng)終端之間改動(dòng)或增加協(xié)議棧支持用于協(xié)商加密初始參數(shù)的信令交互����。
(3)本發(fā)明通過(guò)擴(kuò)展PDCP協(xié)議棧或增加新的協(xié)議棧�,以支持用于協(xié)商加密初始參數(shù)的信令交互,使UPE和移動(dòng)終端能夠通過(guò)MME透?jìng)餍帕钸M(jìn)行交互����,實(shí)現(xiàn)UPE控制用戶面加密的啟動(dòng),以便于以后擴(kuò)展UPE和用戶終端的交互時(shí)���,不會(huì)對(duì)MME造成影響�����。
圖1為現(xiàn)有無(wú)線演進(jìn)網(wǎng)絡(luò)結(jié)構(gòu)示意圖�����;圖2為本發(fā)明中演進(jìn)網(wǎng)絡(luò)可能采用的用戶面協(xié)議棧示意圖��;圖3為本發(fā)明實(shí)施例一的用戶面加密初始化參數(shù)協(xié)商的流程示意圖����;圖4為本發(fā)明實(shí)施例二的用戶面加密初始化參數(shù)協(xié)商的流程示意圖。
具體實(shí)施例方式
本發(fā)明針對(duì)演進(jìn)移動(dòng)通信網(wǎng)絡(luò)中MME和UPE物理分離的情況����,提供一種用戶面加密初始參數(shù)的協(xié)商方法,即在用戶面和移動(dòng)終端完成了算法協(xié)商和密鑰同步的前提下�����,如何進(jìn)行加密算法的初始參數(shù)協(xié)商���,并控制用戶面加密啟動(dòng)的方法����。
參見(jiàn)圖2,為本發(fā)明中演進(jìn)網(wǎng)絡(luò)可能采用的用戶面協(xié)議棧示意圖�����。演進(jìn)網(wǎng)絡(luò)中用戶面采用分組數(shù)據(jù)收斂協(xié)議(Packet Data Convergence Protocol����,PDCP)棧作為移動(dòng)終端到核心網(wǎng)用戶面實(shí)體UPE之間數(shù)據(jù)傳輸?shù)某休d協(xié)議����。圖2中的XXX協(xié)議棧和YYY協(xié)議棧為待定的協(xié)議棧(XXX和YYY為新增協(xié)議棧的代號(hào),并不代表最終的協(xié)議棧名稱)��,也可能不需要存在�����。目前PDCP并不支持加密需要的控制信令���,因此必須對(duì)其進(jìn)行擴(kuò)展增強(qiáng)或者依靠PDCP層外的信令支持加密和完整性相關(guān)的控制�����。
本發(fā)明通過(guò)移動(dòng)管理實(shí)體MME中轉(zhuǎn)或者透?jìng)饔脩裘鎸?shí)體UPE和移動(dòng)終端的信令交互����,達(dá)到控制用戶面加密啟動(dòng)的目的。
下面通過(guò)兩個(gè)實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述�����。
實(shí)施例一通過(guò)MME中轉(zhuǎn)UPE和用戶終端之間的交互信令�����,實(shí)現(xiàn)UPE控制用戶面加密啟動(dòng)�。
參見(jiàn)圖3,為本發(fā)明實(shí)施例一的用戶面加密初始化參數(shù)協(xié)商的流程示意圖����。
移動(dòng)用戶注冊(cè)網(wǎng)絡(luò)后,成功建立了IP連接承載���,相應(yīng)的用戶面的上下文已經(jīng)建立在相應(yīng)的UPE上����,此時(shí)用戶終端和UPE已經(jīng)協(xié)商好了加密算法�����,以及用于用戶面加密的密鑰。當(dāng)UPE決定啟動(dòng)用戶面加密的時(shí)機(jī)�����,比如用戶面上下文新建立并準(zhǔn)備進(jìn)行數(shù)據(jù)傳輸前�����,或者用戶面需要切換使用新的密鑰時(shí)�����,其用戶面加密啟動(dòng)的過(guò)程為1��、UPE向MME發(fā)送安全模式請(qǐng)求消息�。
UPE向MME發(fā)送的安全模式請(qǐng)求消息中攜帶啟動(dòng)用戶面加密時(shí)需要和用戶終端協(xié)商的初始參數(shù)�,例如下行加密激活的時(shí)間,加密算法的初始參數(shù)等�。此外,安全模式請(qǐng)求消息中還攜帶用戶標(biāo)識(shí)�����,以使MME明確該請(qǐng)求消息發(fā)送到哪個(gè)用戶終端。安全模式請(qǐng)求消息中還可攜帶UPE自身的標(biāo)識(shí)��,便于在多個(gè)UPE的情況下����,使用戶終端識(shí)別該請(qǐng)求消息是哪一個(gè)UPE下發(fā)的。
2�、MME向指定的用戶終端發(fā)送安全模式命令消息。
MME接收到UPE發(fā)送的安全模式請(qǐng)求消息后����,從中提取啟動(dòng)用戶面加密時(shí)需要和用戶終端協(xié)商的初始參數(shù)、UPE標(biāo)識(shí)和用戶標(biāo)識(shí)�,構(gòu)造安全模式命令消息,并將提取到的加密初始參數(shù)和UPE標(biāo)識(shí)攜帶于安全模式命令消息�,發(fā)送到用戶標(biāo)識(shí)對(duì)應(yīng)的用戶終端。
3��、用戶終端執(zhí)行安全模式命令����,并向MME發(fā)送安全模式完成消息。
用戶終端收到MME發(fā)送的安全模式命令消息后���,接受UPE指定的加密初始參數(shù)���,并發(fā)送安全模式完成消息表示確認(rèn)��。安全模式完成消息中攜帶UPE標(biāo)識(shí)�����,以使MME將該安全模式完成消息轉(zhuǎn)發(fā)到對(duì)應(yīng)的UPE�����。此外,安全模式完成消息中還可攜帶由用戶終端指定的加密初始參數(shù)�����,例如上行加密啟動(dòng)的時(shí)間��。與此同時(shí)��,用戶終端開(kāi)始采用當(dāng)前協(xié)商好的加密初始參數(shù)(部分是用戶終端指定的���,比如上行加密啟動(dòng)的時(shí)間����,部分是UPE指定的初始參數(shù)),啟動(dòng)對(duì)發(fā)往UPE的上行數(shù)據(jù)的加密����。
4、MME向UPE標(biāo)識(shí)對(duì)應(yīng)的UPE發(fā)送安全模式響應(yīng)消息�。
MME收到用戶終端發(fā)送的安全模式完成消息后,從中提取用戶終端上報(bào)的加密初始參數(shù)和UPE標(biāo)識(shí)�����,根據(jù)收到的安全模式完成消息的信令連接確定用戶標(biāo)識(shí)�,然后構(gòu)造安全模式響應(yīng)消息,攜帶提取到的加密初始參數(shù)和加密啟動(dòng)確認(rèn)信息��,以及用戶標(biāo)識(shí)��,發(fā)送到UPE標(biāo)識(shí)對(duì)應(yīng)的UPE��。
UPE收到安全模式響應(yīng)消息后��,確認(rèn)啟動(dòng)加密成功��,并采用當(dāng)前協(xié)商好的加密初始參數(shù)(即由該UPE指定的加密初始參數(shù))對(duì)發(fā)往該用戶的下行數(shù)據(jù)進(jìn)行加密���。
本實(shí)施例中��,通過(guò)MME中轉(zhuǎn)UPE和用戶終端之間的交互信令��,達(dá)到UPE控制用戶面加密啟動(dòng)的目的����。上述方法中,UPE和用戶終端之間沒(méi)有直接的端到端信令交互�����,因此不需要擴(kuò)展PDCP協(xié)議棧�,或者增加相應(yīng)的協(xié)議棧(如YYY協(xié)議棧)來(lái)支持用于協(xié)商加密初始參數(shù)的信令交互。此外���,因?yàn)镸ME本身具有NAS信令完整性保護(hù)功能���,通過(guò)MME中轉(zhuǎn)的UPE和用戶終端之間的交互信令的可靠性能得到保證����,不需要UPE額外支持完整性保護(hù)功能。
需要說(shuō)明的是����,如果演進(jìn)網(wǎng)絡(luò)確定每個(gè)用戶只有一個(gè)UPE提供服務(wù)�,則本實(shí)施例中UPE發(fā)向MME的安全模式請(qǐng)求消息����、MME發(fā)向用戶終端的安全模式命令消息和用戶終端發(fā)向MME的安全模式完成消息中可以不用攜帶UPE標(biāo)識(shí)。
實(shí)施例二通過(guò)移動(dòng)管理實(shí)體MME透?jìng)饔脩裘鎸?shí)體UPE和用戶終端之間的交互信令��,實(shí)現(xiàn)UPE控制用戶面加密啟動(dòng)���。
參見(jiàn)圖4��,為本發(fā)明實(shí)施例二的用戶面加密初始化參數(shù)協(xié)商的流程示意圖���。
移動(dòng)用戶注冊(cè)網(wǎng)絡(luò)后,成功建立了IP連接承載��,相應(yīng)的用戶面的上下文已經(jīng)建立在相應(yīng)的UPE上����,此時(shí)用戶終端和UPE已經(jīng)協(xié)商好了加密算法,以及用于用戶面加密的密鑰�。當(dāng)UPE決定啟動(dòng)用戶面加密的時(shí)機(jī),比如用戶面上下文新建立并準(zhǔn)備進(jìn)行數(shù)據(jù)傳輸前����,或者用戶面需要切換使用新的密鑰時(shí)����,其用戶面加密啟動(dòng)的過(guò)程為1�����、UPE向MME發(fā)送信令發(fā)送請(qǐng)求消息�,請(qǐng)求發(fā)送安全模式命令消息。
UPE向MME發(fā)送請(qǐng)求消息���,請(qǐng)求發(fā)送下行信令��。請(qǐng)求消息中攜帶目標(biāo)用戶標(biāo)識(shí)和發(fā)往該目標(biāo)用戶的下行信令����,即安全模式命令消息�。安全模式命令消息中攜帶啟動(dòng)用戶面加密時(shí)需要和用戶終端協(xié)商的初始參數(shù),例如下行加密激活的時(shí)間���,加密算法的初始參數(shù)等;安全模式命令消息中還可以攜帶UPE標(biāo)識(shí)����,以使用戶終端明確安全模式命令來(lái)自于哪一個(gè)UPE����。
2�、MME向用戶終端透明傳輸U(kuò)PE發(fā)送的安全模式命令消息。
MME收到UPE發(fā)送的請(qǐng)求消息后�,從中提取安全模式命令消息,不經(jīng)任何分析����,直接按照MME和用戶終端之間的交互透?jìng)餍帕畹母袷竭M(jìn)行封裝,并根據(jù)UPE指定的用戶標(biāo)識(shí)��,將封裝后的安全模式命令消息發(fā)送到對(duì)應(yīng)的用戶終端�。
3、用戶終端執(zhí)行安全模式命令����,并向MME發(fā)送安全模式完成消息。
用戶終端收到MME透?jìng)鞯男帕詈?��,從中解析出UPE下發(fā)的安全模式命令�����,接受UPE指定的加密初始參數(shù)�����,構(gòu)造安全模式完成消息表示確認(rèn)�����,并按照和MME之間交互透?jìng)餍帕畹母袷椒庋b�����,發(fā)送到MME��。構(gòu)造的安全模式完成消息中攜帶確認(rèn)信息����,還可攜帶由用戶終端指定的加密初始參數(shù),例如上行加密啟動(dòng)時(shí)間����。用于封裝安全模式完成消息的透?jìng)餍帕钕㈩^中指示目標(biāo)UPE標(biāo)識(shí)。與此同時(shí)��,用戶終端開(kāi)始采用當(dāng)前協(xié)商好的加密初始參數(shù)���,啟動(dòng)對(duì)發(fā)往該UPE的上行數(shù)據(jù)的加密�����。
4��、MME向UPE標(biāo)識(shí)對(duì)應(yīng)的UPE透明傳輸用戶終端發(fā)送的安全模式完成消息����。
MME收到用戶終端發(fā)送的包含安全模式完成消息的透?jìng)餍帕钕⒑?���,從中提取完整的需要透明傳輸給UPE的安全模式完成消息,根據(jù)收到的用戶終端包含安全模式完成消息的透?jìng)餍帕钕⒌男帕钸B接確定用戶標(biāo)識(shí)��,并按照MME和UPE之間的透?jìng)鹘换ジ袷綄?duì)安全模式完成消息進(jìn)行封裝��,添加上用戶標(biāo)識(shí)��,發(fā)送給UPE標(biāo)識(shí)對(duì)應(yīng)的UPE�。
UPE收到MME透?jìng)鞯陌踩J酵瓿上⒑螅馕龀鲇脩艚K端上報(bào)的加密初始參數(shù)和加密啟動(dòng)確認(rèn)信息���,確認(rèn)啟動(dòng)加密成功�����,并采用當(dāng)前協(xié)商好的加密初始參數(shù)對(duì)發(fā)往該用戶的下行數(shù)據(jù)進(jìn)行加密����。
本實(shí)施例中,通過(guò)MME透明傳輸U(kuò)PE和用戶終端之間的交互信令��,達(dá)到UPE控制用戶面加密啟動(dòng)的目的�����。采用本實(shí)施例所述的方法�,MME不需要理解和解析UPE和用戶終端之間交互消息的含義,UPE和用戶終端需要解析對(duì)方發(fā)送的信令����,即UPE和用戶終端之間需要端到端信令交互,為此需要擴(kuò)展PDCP協(xié)議棧��,或者增加相應(yīng)的協(xié)議棧來(lái)支持用于協(xié)商加密初始參數(shù)的信令交互���。例如����,在PDCP協(xié)議棧中增加用于控制加密初始參數(shù)協(xié)商和啟動(dòng)控制的交互信令消息;或增加YYY協(xié)議棧���,在其中定義支持UPE和用戶終端之間的用以完成加密初始參數(shù)協(xié)商的交互信令消息���。雖然UPE和用戶終端之間存在端到端的信令交互�����,但由于UPE和用戶終端的交互信令是通過(guò)MME透明傳輸��,可以利用MME提供的NAS信令完整性保護(hù)功能��,因此UPE仍然不需要額外支持完整性保護(hù)功能���。
需要說(shuō)明的是�����,如果演進(jìn)網(wǎng)絡(luò)確定每個(gè)用戶只有一個(gè)UPE提供服務(wù)����,則本實(shí)施例中���,UPE�、MME和用戶終端之間交互的信令中可以不用攜帶UPE標(biāo)識(shí)。
接入系統(tǒng)間錨點(diǎn)Inter AS Anchor的網(wǎng)絡(luò)位置不影響本發(fā)明的適用性����,比如不排除Inter AS Anchor和用戶面實(shí)體UPE共存于同一網(wǎng)絡(luò)節(jié)點(diǎn)的可能。
通過(guò)以上描述可知���,本發(fā)明針對(duì)演進(jìn)移動(dòng)通信網(wǎng)絡(luò)中MME和UPE物理分離的架構(gòu)��,通過(guò)MME中轉(zhuǎn)或者透明傳輸U(kuò)PE和移動(dòng)終端的信令交互�,有效借助MME提供的對(duì)NAS信令的完整性保護(hù)功能保護(hù)UPE和終端之間的信令交互�,使得UPE能獨(dú)立進(jìn)行加密初始參數(shù)的協(xié)商,控制用戶面加密的啟動(dòng)�����。
顯然��,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍�。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)����,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)���。
權(quán)利要求
1.一種用戶面加密的啟動(dòng)方法,應(yīng)用于演進(jìn)網(wǎng)絡(luò)中移動(dòng)管理實(shí)體MME和用戶面實(shí)體UPE物理分離時(shí)的用戶面加密啟動(dòng)過(guò)程�����,其特征在于���,包括A、UPE通過(guò)MME向用戶終端發(fā)送需要與其協(xié)商的加密初始參數(shù)��;B�、用戶終端接受所述加密初始參數(shù),通過(guò)MME向UPE發(fā)送確認(rèn)信息��,并采用接受的加密初始參數(shù)對(duì)發(fā)往UPE的上行數(shù)據(jù)進(jìn)行加密�;C、UPE確認(rèn)加密啟動(dòng)成功���,并采用所述加密初始參數(shù)對(duì)發(fā)往用戶終端的下行數(shù)據(jù)進(jìn)行加密�����。
2.如權(quán)利要求1所述的方法����,其特征在于,所述步驟A包括A1����、UPE向MME發(fā)送安全模式請(qǐng)求消息,攜帶所述加密初始參數(shù)和用戶標(biāo)識(shí)�����;A2���、MME向用戶標(biāo)識(shí)對(duì)應(yīng)的用戶終端發(fā)送安全模式命令消息���,攜帶所述加密初始參數(shù);所述步驟B包括B1���、用戶終端向MME發(fā)送安全模式完成消息�,攜帶確認(rèn)信息�����;B2、MME向UPE發(fā)送安全模式響應(yīng)消息��,攜帶所述確認(rèn)信息和MME根據(jù)其接收的所述安全模式完成消息的信令連接所確定的用戶標(biāo)識(shí)��。
3.如權(quán)利要求2所述的方法��,其特征在于����,所述步驟B1中,用戶終端發(fā)送的安全模式完成消息中���,還攜帶由該用戶終端指定的需要與UPE進(jìn)行協(xié)商的加密初始參數(shù)�����;所述步驟B2中,MME將該加密初始參數(shù)攜帶在所述安全模式響應(yīng)消息中發(fā)送給UPE���。
4.如權(quán)利要求2或3所述的方法�����,其特征在于����,當(dāng)演進(jìn)網(wǎng)絡(luò)允許同一個(gè)用戶終端可以通過(guò)多個(gè)UPE建立IP承載時(shí),所述步驟A1中����,所述安全模式請(qǐng)求消息中還攜帶所述UPE的標(biāo)識(shí);所述步驟A2中���,MME將該UPE標(biāo)識(shí)攜帶在所述安全模式命令消息中發(fā)送給用戶終端�;所述步驟B1中��,所述安全模式完成消息中還攜帶該UPE標(biāo)識(shí)��;所述步驟B2中���,MME向該UPE標(biāo)識(shí)對(duì)應(yīng)的UPE發(fā)送所述安全模式響應(yīng)消息�����。
5.如權(quán)利要求1所述的方法�����,其特征在于����,所述步驟A包括a1、UPE向MME發(fā)送信令發(fā)送請(qǐng)求消息���,攜帶包含所述加密初始參數(shù)的安全模式命令消息和用戶標(biāo)識(shí)�����;a2�����、MME將所述安全模式命令消息按照MME與用戶終端之間交互透?jìng)餍帕畹母袷竭M(jìn)行封裝����,并發(fā)送給所述用戶標(biāo)識(shí)對(duì)應(yīng)的用戶終端�;所述步驟B包括b1、用戶終端將其構(gòu)造的包含確認(rèn)信息的安全模式完成消息����,按照用戶終端與MME之間交互透?jìng)餍帕畹母袷竭M(jìn)行封裝��,并發(fā)送給MME���;b2�、MME將所述安全模式完成消息按照MME與UPE之間交互透?jìng)餍帕畹母袷竭M(jìn)行封裝,并發(fā)送給UPE��。
6.如權(quán)利要求5所述的方法����,其特征在于,所述步驟b1中����,用戶終端構(gòu)造的安全模式完成消息中攜帶由該用戶終端指定的需要與UPE進(jìn)行協(xié)商的加密初始參數(shù);所述步驟b2中����,MME將攜帶所述加密初始參數(shù)的安全模式完成消息發(fā)送給UPE。
7.如權(quán)利要求5或6所述的方法�,其特征在于,當(dāng)演進(jìn)網(wǎng)絡(luò)允許同一個(gè)用戶終端可以通過(guò)多個(gè)UPE建立IP承載時(shí)����,所述步驟a1中,所述安全模式命令消息中還攜帶UPE標(biāo)識(shí)��;所述步驟a2中���,MM將攜帶該UPE標(biāo)識(shí)的安全模式命令消息發(fā)送給用戶終端�;所述步驟b1中,用戶終端將UPE標(biāo)識(shí)和所述安全模式完成消息進(jìn)行封裝�;所述步驟b2中,MME向該UPE標(biāo)識(shí)對(duì)應(yīng)的UPE發(fā)送所述安全模式完成消息����。
8.如權(quán)利要求5所述的方法,其特征在于�����,通過(guò)擴(kuò)展分組數(shù)據(jù)收斂協(xié)議PDCP協(xié)議棧��,增加UPE和用戶終端之間的交互信令消息�,攜帶所述加密初始參數(shù)以完成協(xié)商;或通過(guò)增加一協(xié)議棧����,支持UPE和用戶終端之間的交互信令消息,攜帶所述加密初始參數(shù)以完成協(xié)商�。
9.如權(quán)利要求1所述的方法,其特征在于�����,MME為UPE和用戶終端之間的信令交互提供信令完整性保護(hù)���。
全文摘要
本發(fā)明公開(kāi)了一種用戶面加密的啟動(dòng)方法���,應(yīng)用于演進(jìn)網(wǎng)絡(luò)中移動(dòng)管理實(shí)體MME和用戶面實(shí)體UPE物理分離時(shí)的用戶面加密啟動(dòng)過(guò)程,包括UPE通過(guò)MME向用戶終端發(fā)送需要與其協(xié)商的加密初始參數(shù)��;用戶終端接受所述加密初始參數(shù)���,并通過(guò)MME向UPE發(fā)送確認(rèn)信息��,并采用接受的加密初始參數(shù)對(duì)發(fā)往UPE的上行數(shù)據(jù)進(jìn)行加密�����;UPE確認(rèn)加密啟動(dòng)成功����,并采用所述加密初始參數(shù)對(duì)發(fā)往用戶終端的下行數(shù)據(jù)進(jìn)行加密����。采用本發(fā)明方法,UPE能獨(dú)立進(jìn)行加密初始參數(shù)的協(xié)商,控制用戶面加密的啟動(dòng)�,同時(shí)還能借助MME提供的對(duì)NAS信令的完整性保護(hù)功能保護(hù)UPE和終端之間的信令交互。
文檔編號(hào)H04L29/06GK101075865SQ20061008131
公開(kāi)日2007年11月21日 申請(qǐng)日期2006年5月16日 優(yōu)先權(quán)日2006年5月16日
發(fā)明者胡偉華 申請(qǐng)人:華為技術(shù)有限公司