專利名稱:一種保護移動用戶數(shù)據(jù)完整性的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通信技術(shù)領(lǐng)域�,更具體地,涉及一種保護移動用戶數(shù)據(jù)完整性的 方法��。
背景技術(shù):
在移動通信網(wǎng)絡(luò)技術(shù)中��,通常需對在移動用戶與網(wǎng)絡(luò)設(shè)備之間傳輸?shù)男帕钸M行完 整性保護���。信令完整性保護即在用戶側(cè)對所傳輸?shù)男帕钸M行計算得到消息摘要��,服務(wù)器接 收到信令后����,用相應(yīng)的方法對信令進行計算得到驗證的消息摘要���,如果二者相同��,就說明信 令消息是完整的�。而用戶所在的用戶面數(shù)據(jù)量很大,對于移動用戶與網(wǎng)絡(luò)設(shè)備之間傳輸大 容量的數(shù)據(jù)并不能用類似于保護信令的方法進行保護��。移動用戶與網(wǎng)絡(luò)設(shè)備之間傳輸數(shù)據(jù) 很容易被第三方篡改����。因此需要對用戶面數(shù)據(jù)進行完整性的保護。完整性保護是指保證數(shù) 據(jù)在傳輸過程中沒有被第三方篡改��。在實際應(yīng)用過程中����,如果對所有用戶和網(wǎng)絡(luò)設(shè)備間傳輸?shù)挠脩裘鏀?shù)據(jù)進行完整性 保護,對網(wǎng)絡(luò)帶寬資源和網(wǎng)絡(luò)設(shè)備的消耗很大�,且部分用戶是不需要完整性保護的。對于安 全性要求比較高的用戶�����,例如移動支付業(yè)務(wù)���,完整性保護是很有價值的����。因此有必要針對不 同的用戶進行用戶數(shù)據(jù)完整性保護,以保證用戶面數(shù)據(jù)的正確性和安全性���。
發(fā)明內(nèi)容
本發(fā)明實施例提出一種移動用戶保護數(shù)據(jù)完整性的方法�����,保證移動用戶的用戶面 數(shù)據(jù)的正確性和安全性����。本發(fā)明實施例的技術(shù)方案如下一種保護移動用戶數(shù)據(jù)完整性的方法����,該方法包括用戶UE向移動管理實體MME發(fā)送包含有用于反映UE安全能力的用戶面完整性算 法列表的接入請求�����,該列表中包含用于用戶面完整性保護的一個以上的算法和無需進行用 戶面完整性保護的算法��;MME根據(jù)接入請求向歸屬用戶服務(wù)器HSS請求UE的簽約信息�;MME根據(jù)HSS返回的簽約信息判斷是否需要用戶面完整性保護,并將判斷結(jié)果通 過對所述用戶面完整性算法列表中算法的設(shè)置發(fā)送至基站節(jié)點eNB ���;eNB根據(jù)所述設(shè)置選擇算法�����,并將所述算法的標(biāo)識發(fā)送至UE ��;UE根據(jù)所述算法對用戶面數(shù)據(jù)進行計算得到摘要信息�,將包含所述摘要信息和所 述用戶面數(shù)據(jù)的用戶面完整性保護數(shù)據(jù)發(fā)送至eNB。所述UE向MME發(fā)送接入請求后�,MME根據(jù)接入請求向HSS請求UE的簽約信息之 前進一步包括,UE通過MME與HSS相互鑒權(quán)�。所述MME根據(jù)接入請求向歸屬用戶服務(wù)器HSS請求UE的簽約信息進一步包括,在 UE位置更新后����,MME向HSS更新UE的位置。所述MME根據(jù)HSS返回的簽約信息判斷需要用戶面完整性保護���,eNB選擇EIAl或EIA2作為用戶面完整性保護算法��。所述EIAl是高級加密標(biāo)準(zhǔn)AES算法���,所述EIA2是Snow 3G算法。所述MME根據(jù)HSS返回的簽約信息判斷不需要用戶面完整性保護��,eNB選擇EIAO算法�����。所述UE根據(jù)所述算法對用戶面數(shù)據(jù)進行計算得到用戶面完整性保護數(shù)據(jù),并將 用戶面完整性保護數(shù)據(jù)發(fā)送至eNB后進一步包括���,UE向eNB發(fā)送響應(yīng)消息��,eNB啟動用戶面 完整性保護�����。所述eNB啟動用戶面完整性保護包括�����,eNB接收到用戶發(fā)送的所述用戶面完整性 保護數(shù)據(jù),利用所述算法由所述用戶面完整性保護數(shù)據(jù)得到驗證的摘要信息����,如果所述驗 證的摘要信息與所述用戶面完整性保護數(shù)據(jù)中的摘要信息相同,則所述用戶面完整性保護 數(shù)據(jù)中的用戶面數(shù)據(jù)沒有被篡改�;否則,丟棄所述用戶面數(shù)據(jù)��。所述判斷包括�,將所述簽約信息與UE的當(dāng)前業(yè)務(wù)進行比較從上述技術(shù)方案中可以看出�,在本發(fā)明實施例中���,MME根據(jù)接入請求向HSS請求UE 的簽約信息�����,MME根據(jù)HSS返回的簽約信息判斷是否需要用戶面完整性保護����,并將判斷結(jié)果 發(fā)送至eNB ���;MME對于不同的用戶����,針對不同的情況����,由存儲在HSS中的信息確定是否為用戶 提供用戶面完整性保護,使系統(tǒng)資源得到合理利用�����。eNB由判斷結(jié)果選擇算法�,并將所述算 法的標(biāo)識發(fā)送至UE, UE根據(jù)所述算法對用戶面數(shù)據(jù)進行計算得到摘要信息�,并將包含所述 摘要信息和所述用戶面數(shù)據(jù)的用戶面完整性保護數(shù)據(jù)發(fā)送至eNB�����。在eNB中利用用戶面完 整性保護數(shù)據(jù)計算得到驗證的摘要信息�����,比較這兩個摘要信息是否相同���,避免了在傳輸過 程中第三方對用戶面數(shù)據(jù)的篡改��,從而確保了用戶面數(shù)據(jù)的正確性和安全性�。
圖1為本發(fā)明實施例保護移動用戶數(shù)據(jù)完整性方法的流程示意圖�����。
具體實施例方式為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點表達得更加清楚明白,下面結(jié)合附圖及具體 實施例對本發(fā)明再作進一步詳細的說明�。在本發(fā)明實施例中,歸屬用戶服務(wù)器(HSS)保存是否需要用戶面數(shù)據(jù)的完整性保 護的簽約信息�,用戶(UE)向移動管理實體(MME)發(fā)送接入請求消息��,MME向HSS發(fā)送請求 簽約消息���,HSS通過MME和基站節(jié)點(eNB)將簽約信息對應(yīng)的用戶面完整性保護算法的標(biāo) 識發(fā)送至UE, UE可以根據(jù)用戶面完整性保護算法對要傳輸?shù)挠脩裘鏀?shù)據(jù)進行計算得到相 應(yīng)的摘要信息,將包含用戶面數(shù)據(jù)和摘要信息的用戶面完整性保護數(shù)據(jù)發(fā)送至eNB �����;eNB利 用所選擇的用戶面完整性保護算法由用戶面完整性保護數(shù)據(jù)得到驗證的摘要信息����,當(dāng)摘要 信息與驗證的摘要信息相同,則該用戶面數(shù)據(jù)沒有被篡改��,從而確保了用戶面數(shù)據(jù)的正確 性和安全性����。參見圖1是本發(fā)明實施例保護移動用戶數(shù)據(jù)完整性方法的流程示意圖,具體包括 以下步驟步驟101����、UE向MME發(fā)送接入請求,即初始層3消息�。在該消息中UE向MME報告 UE的能力,即用戶面完整性算法列表��。
步驟102、UE通過MME與HSS相互鑒權(quán)����。以判斷UE是否屬于HSS的服務(wù)范圍之 內(nèi)。鑒權(quán)過程是現(xiàn)有技術(shù)���,在此就不再贅述���。步驟103、MME根據(jù)接入請求向歸屬用戶服務(wù)器HSS請求UE的簽約信息��,在UE位 置更新時���,向HSS更新UE的位置�����,更新位置是現(xiàn)有技術(shù)����,此處不再重復(fù)介紹����。步驟104、HSS向MME發(fā)送包括用戶的簽約信息的指示信息��,在指示信息中用一個 比特的信元標(biāo)識用戶的簽約信息���。用戶在運營商處進行簽約時��,告知運營商哪些業(yè)務(wù)需要完整性保護�,運營商就會 將用戶的簽約信息保存在HSS中����。因此,HSS就可以向MME發(fā)送用戶的簽約信息�����。步驟105���、MME根據(jù)收到的指示信息����,判斷出用戶的當(dāng)前業(yè)務(wù)是否需要用戶面完整 性保護����。如果MME判斷用戶的當(dāng)前業(yè)務(wù)不需要進行用戶面完整性保護�����,則MME將UE安全能 力中的用戶面完整性算法列表設(shè)置為僅包含EIAO ��;如果MME判斷用戶需要進行用戶面完整 性保護�,則MME將UE安全能力中的用戶面完整性算法列表設(shè)置為包含EIAl或EIA2����。步驟106、MME向eNB發(fā)送包含UE安全能力的用戶面完整性算法列表的eRANAP消 息����,即將用戶的當(dāng)前業(yè)務(wù)是否需要用戶面完整性保護的信息告知eNB。步驟107���、eNB根據(jù)收到的eRANAP消息進行算法的選擇����。如果用戶的當(dāng)前業(yè)務(wù)不需要進行用戶面完整性保護�����,eNB將EIAO作為用戶面完整 性保護算法���。EIAO即不需要用相關(guān)算法����。如果用戶的當(dāng)前業(yè)務(wù)需要進行用戶面完整性保護�,eNB選擇EIAl或EIA2作為用 戶面完整性保護算法。其中�����,EIAl是指現(xiàn)有技術(shù)當(dāng)中的高級加密標(biāo)準(zhǔn)(AEQ算法����,EIA2是 指現(xiàn)有技術(shù)當(dāng)中的Snow 3G算法。具體如何從EIA1���、EIA2中選擇�����,是根據(jù)運營商以及國家 規(guī)定確定��,本文就不再贅述����。步驟108、eNB向UE發(fā)送接入層安全模式命令��,其中包含步驟107中所選擇的用戶 面完整性保護算法的標(biāo)識���,用戶啟動用戶面完整性保護����。用戶利用所選擇的用戶面完整性保護算法的標(biāo)識�����,從自身存儲的用戶面完整性保 護算法中獲取該標(biāo)識對應(yīng)的用戶面完整性保護算法����。并利用該用戶面完整性保護算法對用 戶面數(shù)據(jù)進行計算得到相應(yīng)的摘要信息,將包含用戶面數(shù)據(jù)和摘要信息的用戶面完整性保 護數(shù)據(jù)發(fā)送至eNB�����。步驟109�、UE向eNB回復(fù)接入層安全模式命令完成消息,從而在eNB側(cè)啟動用戶面 完整性保護�。eNB接收到用戶發(fā)送的包含用戶面數(shù)據(jù)和摘要信息的用戶面完整性保護數(shù)據(jù)�,利 用所選擇的自身存儲的用戶面完整性保護算法對用戶面完整性保護數(shù)據(jù)計算得到驗證的 摘要信息�,如果摘要信息與驗證的摘要信息二者相同,則該用戶面數(shù)據(jù)沒有被篡改���,從而確 保了用戶面數(shù)據(jù)的正確性和安全性。如何驗證摘要信息與驗證的摘要信息相同是現(xiàn)有技 術(shù)����,本文不再贅述。以上所述��,僅為本發(fā)明的較佳實施例而已�����,并非用于限定本發(fā)明的保護范圍�����。凡在 本發(fā)明的精神和原則之內(nèi)���,所作的任何修改�、等同替換��、改進等,均應(yīng)包含在本發(fā)明的保護 范圍之內(nèi)����。
權(quán)利要求
1.一種保護移動用戶數(shù)據(jù)完整性的方法,其特征在于��,該方法包括用戶UE向移動管理實體MME發(fā)送包含有用于反映UE安全能力的用戶面完整性算法列 表的接入請求��,該列表中包含用于用戶面完整性保護的一個以上的算法和無需進行用戶面 完整性保護的算法���;MME根據(jù)接入請求向歸屬用戶服務(wù)器HSS請求UE的簽約信息���;MME根據(jù)HSS返回的簽約信息判斷是否需要用戶面完整性保護,并將判斷結(jié)果通過對 所述用戶面完整性算法列表中算法的設(shè)置發(fā)送至基站節(jié)點eNB �;eNB根據(jù)所述設(shè)置選擇算法,并將所述算法的標(biāo)識發(fā)送至UE ���;UE根據(jù)所述算法對用戶面數(shù)據(jù)進行計算得到摘要信息�,將包含所述摘要信息和所述用 戶面數(shù)據(jù)的用戶面完整性保護數(shù)據(jù)發(fā)送至eNB����。
2.根據(jù)權(quán)利要求1所述保護移動用戶數(shù)據(jù)完整性的方法,其特征在于��,所述UE向MME 發(fā)送接入請求后,MME根據(jù)接入請求向HSS請求UE的簽約信息之前進一步包括��,UE通過MME 與HSS相互鑒權(quán)�。
3.根據(jù)權(quán)利要求1所述保護移動用戶數(shù)據(jù)完整性的方法,其特征在于����,所述MME根據(jù) 接入請求向歸屬用戶服務(wù)器HSS請求UE的簽約信息進一步包括,在UE位置更新后���,MME向 HSS更新UE的位置。
4.根據(jù)權(quán)利要求1所述保護移動用戶數(shù)據(jù)完整性的方法����,其特征在于,所述MME根據(jù) HSS返回的簽約信息判斷需要用戶面完整性保護�����,eNB選擇EIAl或EIA2作為用戶面完整性 保護算法��。
5.根據(jù)權(quán)利要求4所述保護移動用戶數(shù)據(jù)完整性的方法��,其特征在于���,所述EIAl是高 級加密標(biāo)準(zhǔn)AES算法���,所述EIA2是Snow 3G算法��。
6.根據(jù)權(quán)利要求1所述保護移動用戶數(shù)據(jù)完整性的方法��,其特征在于����,所述MME根據(jù) HSS返回的簽約信息判斷不需要用戶面完整性保護��,eNB選擇EIAO算法����。
7.根據(jù)權(quán)利要求1所述保護移動用戶數(shù)據(jù)完整性的方法,其特征在于���,所述UE根據(jù)所 述算法對用戶面數(shù)據(jù)進行計算得到用戶面完整性保護數(shù)據(jù)��,并將用戶面完整性保護數(shù)據(jù)發(fā) 送至eNB后進一步包括�,UE向eNB發(fā)送響應(yīng)消息���,eNB啟動用戶面完整性保護����。
8.根據(jù)權(quán)利要求7所述保護移動用戶數(shù)據(jù)完整性的方法,其特征在于�����,所述eNB啟動用 戶面完整性保護包括��,eNB接收到用戶發(fā)送的所述用戶面完整性保護數(shù)據(jù)����,利用所述算法由 所述用戶面完整性保護數(shù)據(jù)得到驗證的摘要信息,如果所述驗證的摘要信息與所述用戶面 完整性保護數(shù)據(jù)中的摘要信息相同��,則所述用戶面完整性保護數(shù)據(jù)中的用戶面數(shù)據(jù)沒有被 篡改���;否則,丟棄所述用戶面數(shù)據(jù)���。
9.根據(jù)權(quán)利要求1所述保護移動用戶數(shù)據(jù)完整性的方法��,其特征在于��,所述判斷包括���, 將所述簽約信息與UE的當(dāng)前業(yè)務(wù)進行比較�。
全文摘要
一種保護移動用戶數(shù)據(jù)完整性的方法��,該方法包括用戶UE向移動管理實體MME發(fā)送接入請求�;MME根據(jù)接入請求向歸屬用戶服務(wù)器HSS請求UE的簽約信息;MME根據(jù)HSS返回的簽約信息判斷是否需要用戶面完整性保護�,并將判斷結(jié)果發(fā)送至基站節(jié)點eNB;eNB由判斷結(jié)果選擇算法���,并將所述算法的標(biāo)識發(fā)送至UE���;UE根據(jù)所述算法對用戶面數(shù)據(jù)進行計算得到摘要信息,并將包含所述摘要信息和所述用戶面數(shù)據(jù)的用戶面完整性保護數(shù)據(jù)發(fā)送至eNB���。應(yīng)用本發(fā)明實施例以后����,保證用戶面數(shù)據(jù)的正確性和安全性�。
文檔編號H04W12/06GK102149088SQ20101011067
公開日2011年8月10日 申請日期2010年2月9日 優(yōu)先權(quán)日2010年2月9日
發(fā)明者袁琦 申請人:工業(yè)和信息化部電信傳輸研究所