国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      Lte中鑒權(quán)和加密的方法

      文檔序號:7621098閱讀:674來源:國知局
      專利名稱:Lte中鑒權(quán)和加密的方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種在第三代伙伴計劃(以下簡稱3GPP)提出的移動通信系統(tǒng)長期演進(jìn)(以下簡稱LTE)系統(tǒng)結(jié)構(gòu)中,對用戶進(jìn)行鑒權(quán)和加密的方法。
      背景技術(shù)
      在WCDMA(Wide Code Division Multiple Access)系統(tǒng)中,可以提供大容量的包數(shù)據(jù)業(yè)務(wù),比如上網(wǎng)業(yè)務(wù),也可以提供電路域的業(yè)務(wù),比如語音業(yè)務(wù)。
      圖1是第三代伙伴計劃(以下簡稱3GPP)的傳輸包數(shù)據(jù)業(yè)務(wù)的系統(tǒng)結(jié)構(gòu)的描述。
      圖1中101 E-PDN(Extern Packet Data Network)是外部的公共數(shù)據(jù)網(wǎng),提供各種類型的包數(shù)據(jù)。包數(shù)據(jù)由外部網(wǎng)絡(luò)通過預(yù)定的接口102傳輸?shù)?03網(wǎng)關(guān)通用分組無線業(yè)務(wù)(以下簡稱通用分組無線業(yè)務(wù)為GPRS)支持節(jié)點(diǎn)(以下簡稱網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)為GGSN)。接口102是外部網(wǎng)絡(luò)和GGSN之間的接口。GGSN收到數(shù)據(jù)后,把數(shù)據(jù)通過接口104發(fā)送到105服務(wù)GPRS支持節(jié)點(diǎn)(以下簡稱SGSN)。GGSN和SGSN之間是通過隧道連接的,接口104符合Gn接口的協(xié)議,在TS25.413中有此接口的規(guī)范。SGSN收到數(shù)據(jù)后,需要把數(shù)據(jù)發(fā)送到107服務(wù)無線網(wǎng)絡(luò)控制器(以下簡稱SRNC)。在WCDMA中,SGSN和RNC之間是通過隧道連接,如果還沒有建立數(shù)據(jù)傳輸?shù)乃淼?,SGSN通過預(yù)定的接口106發(fā)送消息建立和SRNC之間的數(shù)據(jù)承載,如果已經(jīng)建立了隧道,SGSN把數(shù)據(jù)通過106接口發(fā)送給SRNC。接口106符合Iu接口的協(xié)議,Iu接口的規(guī)范包括控制平面的協(xié)議協(xié)議(以下稱RNSAP協(xié)議),和數(shù)據(jù)平面的協(xié)議。RNSAP協(xié)議包括建立數(shù)據(jù)平面的信令流程,數(shù)據(jù)平面規(guī)定了在Iu接口傳輸?shù)臄?shù)據(jù)的格式。107的SRNC收到數(shù)據(jù)后,需要把數(shù)據(jù)發(fā)送給109基站(以下稱Node B)。如果SRNC和Node B之間的數(shù)據(jù)傳輸承載還沒有建立,SRNC通過預(yù)定的接口108發(fā)送消息建立和基站之間的數(shù)據(jù)承載,并且發(fā)送消息給UE建立基站和UE間的無線鏈路。建立好數(shù)據(jù)承載后,SRNC負(fù)責(zé)把數(shù)據(jù)打包成預(yù)定的格式,通過108接口發(fā)送給基站109,108接口是Iub接口,Iub接口的規(guī)范包括控制平面的協(xié)議協(xié)議(以下稱NBAP協(xié)議),和數(shù)據(jù)平面的協(xié)議。NBAP協(xié)議包括了建立Iub接口數(shù)據(jù)承載的信令流程,數(shù)據(jù)平面的協(xié)議規(guī)定了Iub接口傳輸?shù)臄?shù)據(jù)的格式。109基站把數(shù)據(jù)通過空中接口的無線鏈路發(fā)送給110UE。一般的,把RNC和Node B一起,稱做RAN(Radio AccessNetwork),SGSN和GGSN稱做CN(Core Network)。
      在3GPP中,網(wǎng)絡(luò)需要對用戶進(jìn)行鑒權(quán),用戶也需要對網(wǎng)絡(luò)進(jìn)行鑒權(quán)。鑒權(quán)的過程包含兩個,一個是鑒權(quán)和密匙協(xié)商的AKA過程,AKA過程是SGSN和UE直接進(jìn)行鑒權(quán)信息和加密密匙的傳輸。另一個是本地的鑒權(quán)過程,是SRNC和UE之間進(jìn)行跟安全有關(guān)的參數(shù)的傳輸。在上面兩個步驟成功后,信令可以啟動完整性保護(hù)(Integrityprotection)。SRNC還啟動了對數(shù)據(jù)和信令的加密保護(hù)(Cipheringprotection)。
      圖2是完整性保護(hù)算法的示意圖。完整性保護(hù)是UE和SRNC對RRC模塊產(chǎn)生的RRC消息進(jìn)行的。具體的加密過程可以參考3GPP的協(xié)議。加密算法的輸入的參數(shù)包括COUNT-I、FRESH、IK等。
      -COUNT-I是一個32比特的參數(shù),在WCDMA中,根據(jù)無線承載上傳輸?shù)男盘柕牟糠?,把無線承載分為信令承載(Signaling RadioBearer,簡稱SRB)和數(shù)據(jù)承載(Rdaio Bearer,簡稱RB)。對于每個信令承載,分別有一個上行信令承載的COUNT-I和一個下行信令承載的COUNT-I。COUNT-I由兩部分組成一個短的序列號和一個長的序列號。短序列號占據(jù)COUNT-I的低比特,長序列號占據(jù)高比特。短序列號是4比特的無線資源控制(簡稱RRC)的序列號,每發(fā)送一個RRC PDU,RRC的序列號增加1。長序列號是一個28比特的RRC的超幀號(RRC HFN),當(dāng)短序列號每次達(dá)到最大值,HFN就增加1,短序列號又從0開始記數(shù),進(jìn)行下一輪的循環(huán)。
      RRC HFN被一個稱做START的值初始化,終端和RNC把RRCHFN的高20比特初始化成START的值,RRC HFN其它的值被初始化成0。
      COUNT-I的高28比特被稱作RRC超幀號(HFN),當(dāng)UE初始化HFN時,高20比特初始化成START值。START值保存在終端和USIM上的參數(shù),終端和USIM保存一個用于CS域的START值和一個PS域的START值。START的長度是20比特,當(dāng)終端開機(jī)后,并且USIM已經(jīng)插入,ME從USIM得到START值,并保存它。當(dāng)終端關(guān)機(jī),或者拔掉了USIM卡,終端刪除START值。在空閑狀態(tài),ME和USIM中保存的START值是一樣的。當(dāng)建立無線連接的時候,終端通過“RRC建立完成”消息把START值發(fā)送給RNC。
      -FRESH是SRNC產(chǎn)生的一個隨機(jī)數(shù),SRNC需要把此隨機(jī)數(shù)發(fā)送給UE。
      -IK(Integrity Key)是UE根據(jù)SGSN發(fā)送的參數(shù)RAND,AUTN根據(jù)默認(rèn)的算法計算出來的。SGSN需要把IK發(fā)送給SRNC。
      -DIRECTION,如果消息從UE發(fā)送給SRNC,將DIRECTION設(shè)為0,如果消息從SRNC發(fā)送給UE,將其設(shè)為1。
      -MESSAGE就是要進(jìn)行完整性保護(hù)的RRC消息。
      圖3是加密保護(hù)算法的示意圖。加密是在UE和SRNC的無線鏈路控制層(以下稱為RLC層)或者媒體接入層(以下稱MAC層)進(jìn)行的。RLC可以有三種模式,AM模式支持?jǐn)?shù)據(jù)的重傳;UM模式可以對數(shù)據(jù)進(jìn)行分段;TM模式是透明傳輸。對于AM和UM模式,加密是在RLC層進(jìn)行的,對于TM模式,加密是在MAC層進(jìn)行的。具體的加密過程可以參考3GPP的協(xié)議。加密算法的輸入的參數(shù)包括COUNT-C、FRESH、CK等。
      -COUNT-C是一個32比特的參數(shù),對每個使用RLC AM模式或者RLC UM模式的無線承載,通常包括信令承載和數(shù)據(jù)承載,分別有一個上行承載的COUNT-C和一個下行承載的COUNT-C。對同一個域內(nèi)所有使用RLC-TM模式的無線承載,只有一個COUNT-C,用于上行和下行。COUNT-C由兩部分組成一個短的序列號和一個長的序列號。短序列號占據(jù)低比特,長序列號占據(jù)高比特。COUNT-C的更新取決于傳輸?shù)哪J健?br> 對于專用信道上的RLC TM,短的序列號是8比特的連接幀號(以下稱CFN),長序列號是24比特的專用MAC層超幀號(以下稱MAC-d HFN),對于每個CFN的循環(huán),長序列號增加1。
      對于RLC-UM,短的序列號是7比特的RLC序列號(RLC SN),長序列號是25比特的RLC UM HFN,對于每個RLC SN的循環(huán),長序列號增加1。
      對于RLC-AM,短的序列號是12比特的RLC序列號(RLC SN),長序列號是20比特的RLC UM HFN,每個RLC SN的循環(huán),長序列號增加1。
      當(dāng)UE初始化HFN時,高20比特初始化成START值,HFN其它的值被初始化成0。
      -FRESH是SRNC產(chǎn)生的一個隨機(jī)數(shù),SRNC需要把此隨機(jī)數(shù)發(fā)送給UE。
      -CK(Ciphering Key)是UE根據(jù)SGSN發(fā)送的參數(shù)RAND,AUTN根據(jù)預(yù)定的算法計算出來的。SGSN需要把CK發(fā)送給SRNC。
      -BEARER是無線承載的標(biāo)識。
      -DIRECTION,如果消息從UE發(fā)送給SRNC,將DIRECTION設(shè)為0,如果消息從RNC發(fā)送給UE,將其設(shè)為1。
      -LENGTH是KEYSTREAN BLOCK的長度。
      -PLANTTEXTBLOCK是要加密的數(shù)據(jù)包。
      UE在開機(jī)后,首先發(fā)起向網(wǎng)絡(luò)的注冊過程,圖4是UE開機(jī)后的流程圖。
      401步驟UE110開機(jī)后,首先與SRNC105建立RRC連接。
      UE發(fā)送消息“RRC連接請求”消息給SRNC,消息包含UE的標(biāo)識和建立RRC連接的原因。SRNC發(fā)送消息“RRC連接建立”消息給UE,消息包含SRNC給UE分配的臨時標(biāo)識,例如C-RNTI、U-RNTI,和信令承載的信息。然后UE發(fā)送“RRC連接建立完成”消息給SRNC。在此消息中,UE把無線接入能力信息和START值報告給SRNC。無線接入能力信息包含UE的PDCP能力、RLC能力、加密能力等。其中,加密能力包括UE支持的加密算法和UE支持的完整性算法。SRNC105收到401步驟的消息,保存UE的加密能力和START值。
      402步驟UE 110發(fā)送“注冊請求”消息給SGSN 105。
      “注冊請求(ATTACH REQUEST)”消息包含信息IMSI、注冊類型、移動終端的網(wǎng)絡(luò)能力、移動終端的無線接入能力、舊的RAI、DRX參數(shù)。IMSI是用戶的永久性標(biāo)識;注冊類型指出是GPRS注冊,還是GPRS/IMSI聯(lián)合注冊。GPRS注冊是把UE的信息注冊到SGSN上,GPRS/IMSI聯(lián)合注冊是把UE信息注冊到SGSN和MSC上;移動終端的網(wǎng)絡(luò)能力是指移動終端的特點(diǎn),比如,終端是否具備通過專用信道或者GPRS信息進(jìn)行session管理的能力、移動終端是否具備GPRS加密算法GEA/1、移動終端是否支持WCDMA版本99及以后版本的規(guī)范等等;移動終端的無線接入能力是指出終端無線接入方面的信息,比如,多時隙能力、功率等級等信息;舊的RAI是UE保存的路由區(qū)域的指示;DRX參數(shù)是指出UE是否使用非連續(xù)接收,如果支持,并且指出非連續(xù)接收的循環(huán)的長度。
      “注冊請求”是非接入層的消息,對RNC是透明傳輸?shù)?,RNC是處理接入層的消息,接入層的消息是通常是指RRC消息,RNC收到UE發(fā)送的RRC消息,由RNC的RRC模塊來拆包并且處理,非接入層的消息通過特殊的RRC消息—“初始直接傳輸(Initial DirectTransfer)”或者“直接傳輸(Direct Transfer)”來發(fā)送的,非接入層的消息包含在RRC消息中,RNC收到“初始直接傳輸”或者“直接傳輸”,加上小區(qū)的標(biāo)識,通過Iu接口106發(fā)送消息“直接傳輸”給SGSN105。
      SGSN105收到“注冊請求”消息,如果SGSN沒有保存UE的信息,并且“注冊請求”消息中也沒有包含舊的P-TMSI,則SGSN要發(fā)起對用戶的鑒權(quán)和密匙協(xié)商(AKA)過程,圖4中403步驟是對UE的鑒權(quán)和密匙協(xié)商過程,詳細(xì)的AKA過程在圖5有詳細(xì)的描述。通過AKA過程,UE可以計算出IK,CK。如果SGSN要給用戶分配一個P-TMSI,SGSN在AKA過程后還需要把加密信息發(fā)送給SRNC,使SRNC發(fā)起本地加密過程。
      404步驟網(wǎng)絡(luò)可以決定在網(wǎng)絡(luò)中的用戶應(yīng)該使用的加密算法的組合UEAs,和完整性保護(hù)算法的組合UIAs,這個組合可以預(yù)先配置,跟單個用戶的能力沒有關(guān)系,所有用戶都應(yīng)該使用這個組合范圍內(nèi)的某種加密算法和完整性保護(hù)算法。
      405步驟SGSN發(fā)送消息“安全模式命令”給SRNC,消息包含IK,CK,UIAs,UEAs。
      406步驟SRNC收到405步驟中的消息,SRNC已經(jīng)保存了UE的加密能力,知道UE能支持的加密算法和完整性算法,從上一步驟,SRNC知道網(wǎng)絡(luò)決定的用戶可以使用的加密算法和完整性算法組合,根據(jù)UE的能力,和可以使用的算法組合,選擇UE使用的加密算法和完整性算法。比如,網(wǎng)絡(luò)決定的可以使用的加密算法組合UEAs是{UEA1,UEA2,UEA3,UEA4},用戶的能力支持加密算法{UEA1,UEA2},SRNC可以決定使用UEA1作為用戶的加密算法。并且SRNC要產(chǎn)生加密算法和完整性算法的一個輸入?yún)?shù)-FRESH。SRNC可以對之后的RRC消息啟用完整性保護(hù)。
      407步驟SRNC發(fā)送“安全模式命令”給UE,消息包含F(xiàn)RESH,UE加密能力,SRNC決定的UE使用的加密算法UEA和完整性保護(hù)算法UIA,MAC-I。MAC-I是完整性信息,MAC-I是根據(jù)圖2所示的方法計算得到的。
      408步驟,UE根據(jù)收到的RAND,AUTN計算出IK和CK,UE根據(jù)保存的START值算出COUNT-I。然后UE按照圖2所示的方法計算出一個參數(shù),被稱作XMAC-I,比較自己計算的XMAC-I和SRNC發(fā)送的MAC-I,如果相同,則認(rèn)為此RRC消息是合法的,UE保存407步驟中消息的內(nèi)容,并且可以對之后的RRC消息啟用完整性保護(hù)。
      409步驟UE發(fā)送“安全模式完成”給SRNC,其中包含此RRC信息的完整性信息MAC-I。
      410步驟SRNC驗(yàn)證完整性信息MAC-I,通過比較自己計算的XMAC-I和MAC-I,如果相同,認(rèn)為此RRC消息是合法的。
      411步驟SRNC發(fā)送“安全模式完成”給SGSN,包含SRNC決定的UE使用的加密算法UEA和完整性保護(hù)算法UIA。在211步驟后的數(shù)據(jù)可以開始被加密。
      412步驟SGSN發(fā)送“位置更新”消息給HLR,這條消息包含SGSN號,SGSN的地址,IMSI。
      413步驟HLR保存位置更新的信息,然后發(fā)送“位置更新確認(rèn)”消息給SGSN。
      414步驟SGSN發(fā)送“注冊接受”消息給UE。消息中包含SGSN給用戶分配的臨時標(biāo)識P-TMSI,其中包含P-TMSI的簽名。P-TMSI的簽名是SGSN給用戶的上下文信息的一個標(biāo)識,它比P-TMSI的長度要短。可以在以后的非接入層消息中使用P-TMSI的簽名,這樣比在消息中使用P-TMSI的消息長度要短。
      415步驟因?yàn)镾GSN給用戶分配了新的臨時標(biāo)識P-TMSI,UE需要發(fā)送響應(yīng)消息給SGSN。
      圖5描述了SGSN對UE進(jìn)行鑒權(quán)的信號流程。如果SGSN沒有保存UE的鑒權(quán)信息,SGSN在501步驟中發(fā)送消息“發(fā)送鑒權(quán)信息”給HLR,此消息中包含UE的IMSI;
      502步驟HLR收到這條消息后,鑒權(quán)模塊發(fā)送“發(fā)送鑒權(quán)信息確認(rèn)”消息給SGSN,消息包含一個有順序的鑒權(quán)向量的隊(duì)列,每個向量是一組跟鑒權(quán)有關(guān)系的參數(shù),包含RAND、XRES、AUTN、CK和IK。其中RAND是一個隨機(jī)數(shù);XRES是用來跟UE發(fā)送來的RES參數(shù)進(jìn)行比較,從而判斷用戶是否是合法用戶;鑒權(quán)記號AUTN,是USIM判斷網(wǎng)絡(luò)是否合法的參數(shù);CK是加密算法的一個輸入?yún)?shù),IK是完整性保護(hù)算法的一個輸入?yún)?shù)。
      每個向量用在SGSN和USIM之間的一次鑒權(quán)和密匙協(xié)商過程。
      503步驟加密向量的使用順序遵循先入先出的原則,SGSN按順序選擇下一個應(yīng)該使用的向量,并且把向量中包含的RAND和AUTN通過非接入層消息“鑒權(quán)和加密請求”消息給UE,除此之外,此消息還包含加密使用的算法和KSI。KSI(Key Set Identifier)是SGSN分配的一個密匙組的指示,用來區(qū)分不同域的密匙組。
      504步驟收到503的消息,移動終端里面的USIM通過預(yù)定的算法分析AUTN,判斷AUTN是否合法,如果AUTN在合理的范圍內(nèi),USIM就認(rèn)為網(wǎng)絡(luò)是合法的,USIM根據(jù)預(yù)定算法計算出加密用的密匙CK,還有一個完整性保護(hù)用的密匙IK,并且計算出一個參數(shù)RES。具體的算法在TS33.102里面有詳細(xì)的介紹。這些參數(shù)和KSI一起保存。然后終端發(fā)送消息“鑒權(quán)和加密響應(yīng)”給SGSN。消息里面包含RES參數(shù)。SGSN從503步驟中選擇的矩陣中得到XRES,比較此XRES和UE發(fā)過來的RES,如果相同,認(rèn)為UE通過了鑒權(quán)。SGSN選擇503步驟中選擇的矩陣中的IK和CK,作為UE當(dāng)前使用的IK和CK。并且把IK、CK和KSI保存在UE的上下文中。
      當(dāng)UE移動到一個新的路由區(qū)域(Routing Area)內(nèi),UE要發(fā)起路由區(qū)域更新的過程。路由區(qū)域是SGSN定義的一組小區(qū)的組合,SGSN給這一組小區(qū)分配一個路由標(biāo)識RAI,通過廣播信道,UE知道目前小區(qū)所處的RA,如果和舊的小區(qū)不在同一個RA,UE要發(fā)起路由區(qū)域更新的過程。在此過程中,SGSN會進(jìn)行加密過程。圖6描述了在現(xiàn)有的系統(tǒng)結(jié)構(gòu)中,UE改變路由區(qū)域的過程。
      601步驟空閑模式的用戶移動到一個新的路由區(qū)域下,用戶發(fā)送RA更新請求消息給新的SGSN。在RA更新請求消息中,包含舊的路由區(qū)域的指示RAI,舊的P-TMSI的署名signature,還有用戶終端的網(wǎng)絡(luò)能力。這條消息是包含在RRC消息中發(fā)送的。
      602步驟新的SGSN給舊的SGSN發(fā)送消息,要求得到舊的SGSN保存的UE的上下文信息。SGSN保存的UE的上下文信息包含移動管理(MM)上下文和包數(shù)據(jù)協(xié)議(PDP)上下文、MM上下文包含UE的標(biāo)識、加密所用的信息、終端的無線能力、終端的網(wǎng)絡(luò)能力等,PDP上下文包含PDP的類型、地址信息、APN信息、隧道信息和Qos信息等。
      603步驟舊的SGSN發(fā)送UE的上下文信息給新的SGSN。
      604步驟新的SGSN可能發(fā)起安全過程,這個過程可以包含對UE的鑒權(quán)和204到211步驟。
      605步驟新的SGSN給GGSN發(fā)送消息“更新PDP上下文請求”,更新GGSN上保存的UE的PDP上下文信息,這條消息包含新的SGSN的地址,分配的隧道標(biāo)識,還有Qos的信息。
      606步驟GGSN發(fā)送“更新PDP上下文響應(yīng)”消息。
      607步驟新的SGSN發(fā)送“位置更新”消息給HLR,HLR是保存用戶位置信息的節(jié)點(diǎn)。此消息中包含新的SGSN的IP地址和UE的標(biāo)識IMSI。
      608步驟HLR給舊的SGSN發(fā)送消息“刪除位置記錄”,舊的SGSN刪除保存的UE的信息。舊的SGSN發(fā)送響應(yīng)消息“刪除位置記錄確認(rèn)”給HLR609步驟HLR發(fā)送消息“Insert subscriber data”給新的SGSN,SGSN根據(jù)subscriber data判斷UE是否有權(quán)利接收某種服務(wù),然后發(fā)送響應(yīng)消息給HLR。
      610步驟HLR發(fā)送響應(yīng)消息“位置更新確認(rèn)”給新的SGSN。
      611步驟新的SGSN發(fā)送“位置更新確認(rèn)”消息給UE,此消息包含新的P-TMSI。
      如上所述,在現(xiàn)有的系統(tǒng)中,AKA過程和本地加密過程是分開的,這樣的好處是網(wǎng)絡(luò)可以根據(jù)需要,只進(jìn)行本地加密過程,但是,從減少信令延遲的目的來說,可以把AKA過程和本地加密過程聯(lián)合起來。聯(lián)合起來可以減少信令的交互,如果在建立平面前網(wǎng)絡(luò)需要進(jìn)行AKA過程和本地加密過程,就可以減少用戶平面的建立,并且,沒有降低現(xiàn)有的AKA過程和本地加密過程的安全性。

      發(fā)明內(nèi)容
      本發(fā)明的目的是提供一種在LTE中使用的鑒權(quán)和加密方法。
      本發(fā)明的另一個目的是提供一種在LTE中,尤其是當(dāng)UE切換路由區(qū)域的過程中使用的鑒權(quán)和加密的方法。
      根據(jù)本發(fā)明的一方面,提供了一種在LTE中,合并AKA過程和本地加密過程進(jìn)行鑒權(quán)和加密的方法,包含步驟1)ECN發(fā)送與鑒權(quán)和安全相關(guān)的信息給ERAN;以及2)ERAN保存相應(yīng)的信息,產(chǎn)生隨機(jī)數(shù),然后根據(jù)接收到的信息產(chǎn)生第一消息并發(fā)送到UE,以便UE鑒權(quán)網(wǎng)絡(luò)。
      ECN發(fā)送給ERAN的消息中,包含鑒權(quán)UE和完整性算法用到的參數(shù),IK,UIAs,AUTN,RAND,CK,UEAs。ERAN保存IK,CK,并且產(chǎn)生隨機(jī)數(shù)FRESH,發(fā)送消息給UE,消息包含AUTN,RAND,UIA,UEA,F(xiàn)RESH,完整性保護(hù)信息(MAC-I)。UE收到消息,可以利用消息中的信息來鑒權(quán)網(wǎng)絡(luò),UE鑒權(quán)網(wǎng)絡(luò),方法可以利用目前3G使用的方法,通過AUTN來鑒權(quán)網(wǎng)絡(luò),然后檢查完整性信息,如果都正確,UE發(fā)送消息給ERAN,包含一個參數(shù)叫RES,ECN可以使用RES來判斷用戶是否是合法用戶。如果UE鑒權(quán)網(wǎng)絡(luò)不合法,UE可以不發(fā)送響應(yīng)消息給網(wǎng)絡(luò)。如果UE檢查完整性信息不正確,UE可以不發(fā)送響應(yīng)消息給網(wǎng)絡(luò)。ERAN檢查消息是否完整后,把ERAN決定的UE使用的完整性保護(hù)算法和加密算法包含在消息中,把消息發(fā)送給ECN,消息中包含RES,UIA,UEA。ECN收到消息后,保存信息,通過RES來鑒權(quán)用戶。
      根據(jù)本發(fā)明的另一方面,提供了一種在LTE中,尤其是當(dāng)UE移動到一個新的路由區(qū)域時,合并AKA過程、本地加密過程和路由更新過程進(jìn)行更新和加密的方法,包含步驟1)UE發(fā)送路由區(qū)域更新請求消息給ECN;2)ECN發(fā)送路由區(qū)域更新確認(rèn)消息給ERAN;3)ERAN保存相應(yīng)的信息,產(chǎn)生隨機(jī)數(shù),然后根據(jù)接收到的消息產(chǎn)生消息并發(fā)送給UE;4)UE根據(jù)接收到的消息,產(chǎn)生并發(fā)送消息給ERAN;以及5)ERAN根據(jù)接收到的消息,產(chǎn)生并發(fā)送消息給ECN,以便鑒權(quán)用戶。
      ECN發(fā)送的“路由區(qū)域更新確認(rèn)”消息中包含完整性保護(hù)信息IK,UIAs,如果ECN需要發(fā)起鑒權(quán)過程,消息里面包含鑒權(quán)信息AUTN,RAND,如果ERAN需要對RRC信令進(jìn)行加密處理,或者數(shù)據(jù)的加密處理在ERAN上實(shí)現(xiàn),消息中還包含加密的參數(shù),CK,UEAs。ERAN保存消息里面的IK,CK,并且產(chǎn)生一個隨機(jī)數(shù)FRESH,發(fā)送“路由區(qū)域更新確認(rèn)”消息給UE,消息包含ECN分配的標(biāo)識,UIA,UEA,F(xiàn)RESH,AUTN(可選),RAND(可選),完整性保護(hù)信息(MAC-I)。UE收到消息后,如果包含AUTN,UE對網(wǎng)絡(luò)進(jìn)行鑒權(quán),如果網(wǎng)絡(luò)是合法的,UE檢查完整性保護(hù)信息,如果都正確,UE發(fā)送響應(yīng)消息“路由區(qū)域更新完成”消息給ERAN。ERAN檢查消息的完整性正確后,把ERAN決定的UE使用的完整性保護(hù)算法和加密算法包含在消息中,把消息發(fā)送給ECN,消息中包含RES,UIA,UEA。ECN收到消息后,通過RES來鑒權(quán)用戶。
      利用本發(fā)明的方法,減少了信令平面的交互,如果在建立平面前,網(wǎng)絡(luò)需要進(jìn)行AKA過程和本地加密過程,就可以減少用戶平面的建立,并且,沒有降低現(xiàn)有的AKA過程和本地加密過程的安全性。


      圖1現(xiàn)有的3GPP系統(tǒng)結(jié)構(gòu);圖2現(xiàn)有的完整性算法;圖3現(xiàn)有的加密算法;圖4現(xiàn)有的UE開機(jī)后的鑒權(quán)和加密過程;圖5現(xiàn)有的鑒權(quán)和密匙協(xié)商(AKA)過程;圖6現(xiàn)有系統(tǒng)下,尤其是區(qū)域更新過程中的鑒權(quán)加密過程;圖7LTE的結(jié)構(gòu);圖8LTE中,UE開機(jī)后的鑒權(quán)和加密過程;圖9實(shí)施例1中ECN的動作說明;圖10實(shí)施例1中ERAN的動作說明;圖11實(shí)施例1中UE的動作說明;圖12LTE中,尤其是區(qū)域更新過程中的鑒權(quán)加密過程;圖13實(shí)施例2中ECN的動作說明;圖14實(shí)施例2中ERAN的動作說明;以及圖15實(shí)施例2中UE的動作說明。
      具體實(shí)施例方式
      圖7是發(fā)明LTE的系統(tǒng)結(jié)構(gòu)。
      現(xiàn)有的3GPP的系統(tǒng)結(jié)構(gòu)由Node B、RNC、SGSN、GGSN組成,LTE中對系統(tǒng)結(jié)構(gòu)進(jìn)行了簡化,LTE的系統(tǒng)結(jié)構(gòu)由ERAN(EvolvedRAN),ECN(Evolved CN)和UE組成,ERAN可以包含Node B和RAN控制器,ERAN支持與無線接入有關(guān)的協(xié)議,比如無線資源控制層(RRC)協(xié)議。ERAN與ECN之間通過IP互連。ECN對外部網(wǎng)絡(luò)來說,相當(dāng)于一個網(wǎng)關(guān),外部網(wǎng)絡(luò)與LTE網(wǎng)絡(luò)下的用戶的數(shù)據(jù),都需要通過ECN來轉(zhuǎn)發(fā)。對ERAN來說,ECN實(shí)現(xiàn)了原來SGSN的功能。
      圖8是第一個實(shí)施例的流程圖。
      801UE110開機(jī)后,首先跟ERAN建立無線連接。UE發(fā)送消息給ERAN,把UE的無線接入能力和START值報告給ERAN,無線接入能力信息包含UE的加密能力。加密能力包括UE支持的加密算法和UE支持的完整性算法。START值是UE保存在USIM卡和終端上的一個值,是超幀號HFN的高20位。ERAN保存UE的加密能力和START值,給UE分配無線資源,發(fā)送消息給UE,消息包含給UE分配的一個ERAN范圍的臨時標(biāo)識,ERAN還會給UE分配一個DRX參數(shù),也包含在ERAN發(fā)送給UE的消息中??臻e模式的UE保存DRX參數(shù),UE計算尋呼間隙(Paging Occasion)的時候,要使用DRX參數(shù)。尋呼時隙是UE收聽尋呼信息的時刻,在那個時刻UE才接收尋呼信息,其它時刻,UE是不接收信號的。
      802UE110發(fā)送“注冊請求”消息給ECN?!白哉埱?ATTACHREQUEST)”消息包含信息IMSI,舊的RAI,DRX參數(shù)。IMSI是用戶的永久性標(biāo)識;舊的RAI是UE保存的路由區(qū)域的指示;DRX參數(shù)是指出UE是否使用非連續(xù)接收,如果支持,并且指出非連續(xù)接收的循環(huán)的長度。
      803ECN收到“注冊請求”消息,如果ECN沒有保存UE的信息,并且“注冊請求”消息中也沒有包含舊的P-TMSI,則ECN發(fā)送消息“發(fā)送鑒權(quán)信息”給HLR,此消息中包含UE的IMSI。HLR是保存UE的加密信息的實(shí)體。
      804HLR收到這條消息后,發(fā)送“鑒權(quán)信息確認(rèn)”消息給ECN,消息包含一個有順序的加密向量的矩陣,每個加密向量是一組跟鑒權(quán)和安全有關(guān)系的參數(shù),包含RAND、XRES、AUTN、CK和IK。其中RAND是一個隨機(jī)數(shù),XRES是判斷用戶是否合法的參數(shù),ECN收到UE發(fā)送的消息,消息中包含一個參數(shù),被稱作RES。如果RES跟XRES相同,則SGSN認(rèn)為用戶是否是合法用戶,AKA過程成功,如果RES跟XRES不同,SGSN認(rèn)為用戶是非法用戶,AKA過程失敗。AUTN是網(wǎng)絡(luò)鑒權(quán)記號,USIM用來判斷網(wǎng)絡(luò)是否是合法的,CK是加密算法的一個輸入?yún)?shù),IK是完整性保護(hù)算法的一個輸入?yún)?shù)。
      805加密向量的使用順序遵循先入先出的原則,第一次的加密過程使用矩陣中第一個向量,當(dāng)ECN第二次對UE進(jìn)行鑒權(quán)和密匙協(xié)商(AKA)的過程,使用加密矩陣中第二個向量。ECN按順序選擇下一個應(yīng)該使用的矩陣。網(wǎng)絡(luò)可以決定在網(wǎng)絡(luò)下的用戶應(yīng)該使用的加密算法的組合UEAs,和完整性保護(hù)算法的組合UIAs,這個組合可以預(yù)先配置,跟單個用戶的能力沒有關(guān)系,所有用戶都應(yīng)該使用這個組合范圍內(nèi)的某種加密算法和完整性保護(hù)算法。
      806如果信令完整性保護(hù)在ERAN實(shí)現(xiàn),ECN發(fā)送消息“鑒權(quán)和安全模式請求”消息給ERAN,消息包含用戶可以使用的完整性保護(hù)算法的組合UIAs,UEAs,AUTN,RAND,IK,CK。用戶可以使用的完整性保護(hù)算法的組合UIAs和加密算法的組合UEAs是在805步驟中確定的。
      ECN給ERAN發(fā)送的消息包含的信息-AUTN-RAND-UIAs-UEAs-IK-CK807在801步驟中,ERAN已經(jīng)得到UE的能力,ERAN知道UE的能支持的加密算法和完整性算法。在806步驟中,ERAN知道網(wǎng)絡(luò)決定的用戶可以使用的加密算法和完整性算法組合,ERAN根據(jù)UE的能力,和可以使用的算法組合,選擇UE使用的加密算法和完整性算法。比如,網(wǎng)絡(luò)決定的可以使用的加密算法組合UEAs是{UEA1,UEA2,UEA3,UEA4},用戶的能力支持加密算法{UEA1,UEA2},ERAN可以決定使用UEA1作為用戶的加密算法。同時ERAN產(chǎn)生一個隨機(jī)數(shù)FRESH,隨機(jī)數(shù)在本地加密的過程中使用。ERAN可以對807步驟之后的RRC消息啟用完整性保護(hù)。ERAN保存信息UIA,IK,如果非接入層信令也需要加密保護(hù),或者數(shù)據(jù)的加密在ERAN上實(shí)現(xiàn),ERAN還需要保存加密信息UEA,和CK。
      808ERAN發(fā)送消息“鑒權(quán)和安全模式請求”給UE,消息包含F(xiàn)RESH,UE加密能力,ERAN決定的UE使用的加密算法UEA和完整性保護(hù)算法UIA,MAC-I。MAC-I是完整性信息,在809步驟,UE根據(jù)收到的RAND,AUTN計算出IK,CK,然后UE根據(jù)保存的START值算出COUNT-I,按照圖2所示的方法,利用IK、FRESH、COUNT-I等輸入?yún)?shù),計算出一個值,被稱作XMAC-I,并把自己計算的XMAC-I和ERAN發(fā)送的MAC-I比較,如果相同,認(rèn)為此RRC消息是完整的。UE可以對之后的RRC消息啟用完整性保護(hù)。
      ERAN給UE發(fā)送的消息包含的信息-AUTN-RAND-UIA-UEA-FRESH-MAC-I810UE發(fā)送“鑒權(quán)和安全模式完成”給ERAN,因?yàn)閁E已經(jīng)得到了跟安全有關(guān)的參數(shù),從這一步驟開始,UE發(fā)送的RRC消息可以開始使用完整性保護(hù),UE也從這步驟開始,可以對數(shù)據(jù)和信令進(jìn)行加密?!拌b權(quán)和安全模式完成”消息包含UE根據(jù)AUTN,RAND計算出來的一個參數(shù),被稱作RES,還包含根據(jù)IK和FRESH計算出完整性信息MAC-I。
      811ERAN驗(yàn)證完整性信息MAC-I,ERAN同樣根據(jù)圖2所示的方法,利用IK,F(xiàn)RESH,COUNT-I等輸入?yún)?shù),計算出一個值,被稱作XMAC-I,然后比較自己計算的XMAC-I和UE發(fā)送過來的MAC-I,如果相同,認(rèn)為此RRC消息是完整的。
      UE給ERAN發(fā)送的消息包含的信息-UE的標(biāo)識-RES-MAC-I812ERAN發(fā)送“鑒權(quán)和安全模式完成”給ECN,包含ERAN決定的UE使用的加密算法UEA和完整性保護(hù)算法UIA,還包含UE發(fā)送的RES。在812步驟后的數(shù)據(jù)可以開始被加密。
      ERAN給ECN發(fā)送的消息包含的信息-UE的標(biāo)識-UIA-UEA-RES813如果ECN沒有在HLR注冊這個UE的位置,ECN發(fā)送“位置更新”消息給HLR,這條消息包含ECN號,ECN的地址,UE的標(biāo)識IMSI。
      814HLR保存位置更新的信息,然后發(fā)送“位置更新確認(rèn)”消息給ECN。
      815ECN發(fā)送“注冊接受”消息給UE。消息中包含ECN給用戶分配的臨時標(biāo)識。
      816因?yàn)镋CN給用戶分配了新的臨時標(biāo)識P-TMSI,UE需要發(fā)送響應(yīng)消息給ECN。
      圖9是ECN在實(shí)施例1中的動作流程。
      在901,ECN接收消息,如果消息是UE發(fā)送的“注冊請求”,進(jìn)行903步驟,如果ECN已經(jīng)保存的UE的加密信息,則進(jìn)行905步驟,一般情況下,ECN收到UE發(fā)送的“注冊請求”消息的時候,沒有保存UE的信息,ECN需要進(jìn)行904步驟,從HLR得到加密向量的矩陣。然后在905步驟ECN發(fā)送“鑒權(quán)和安全模式命令”消息給ERAN。這條消息包含下面的信息AUTN,RAND,IK,CK,UEAs,UIAs。然后,ECN繼續(xù)接收消息,期望收到“鑒權(quán)和安全模式完成”消息,如果在一段時間內(nèi),比如設(shè)置一個時鐘,當(dāng)時鐘超時,ECN還沒有收到“鑒權(quán)和安全模式完成”消息,就重發(fā)“鑒權(quán)和安全模式命令”,或者進(jìn)行錯誤處理過程。
      ECN收到“鑒權(quán)和安全模式完成”消息,消息中包含一個參數(shù)是RES,ECN比較RES和加密向量中的XRES,在910步驟中,如果XRES和RES相等,ECN認(rèn)為UE是合法的用戶。在912步驟,ECN發(fā)送“注冊接受”消息給UE。然后等待UE發(fā)送的響應(yīng)消息。ECN在914步驟收到了UE發(fā)送的響應(yīng)消息“注冊請求完成”消息,注冊過程就結(jié)束了。
      圖10是ERAN在實(shí)施例1中的動作流程。
      在1001,ERAN接收消息,如果消息是從UE發(fā)送過來的“RRC連接請求”消息,保存消息中包含的信息,比如,START值,UE的能力等。ERAN要給UE分配無線資源,比如在ERAN范圍的標(biāo)識,信道資源,然后發(fā)送“RRC連接建立”消息給UE,包含ERAN給UE分配的資源。然后ERAN繼續(xù)接收消息,在1004步驟收到從ECN發(fā)送過來的消息“鑒權(quán)和安全命令”,ERAN保存消息中的加密信息,比如IK,CK,UEAs,UIAs。根據(jù)UE的能力,ERAN選擇UE使用的UEA和UIA,并且,ERAN產(chǎn)生一個隨機(jī)數(shù)FRESH,然后發(fā)送消息“鑒權(quán)和安全命令”給UE,消息包含AUTN,RAND,F(xiàn)RESH,UIA,UEA。并且,這個消息包含完整性檢查信息MAC-I。
      在1007,ERAN收到UE發(fā)送的“鑒權(quán)和安全完成”消息,ERAN驗(yàn)證消息中包含的完整性檢查信息,如果正確,就把此消息發(fā)送給ECN。過程結(jié)束。
      圖11是UE在實(shí)施例1中的動作流程。
      1101,UE接收消息,如果收到從ERAN發(fā)送的“RRC連接建立”消息,UE在1103步驟建立信道,發(fā)送“注冊請求”消息給ECN,然后繼續(xù)接收消息。在1104,UE收到從ERAN發(fā)送的“鑒權(quán)和安全命令”消息,在1105步驟,UE鑒權(quán)網(wǎng)絡(luò)的合法性,保存加密信息,根據(jù)需要,可以啟動完整性保護(hù)和加密保護(hù),UE發(fā)送“鑒權(quán)和安全完成”給ECN。然后繼續(xù)接收消息,在1106,UE收到從ECN發(fā)送來的“注冊接受”消息,UE在1107發(fā)送消息“注冊接受完成”消息給ECN,注冊過程結(jié)束。
      作為實(shí)施例2,圖12是在LTE中,尤其是空閑模式的UE移動到新的路由區(qū)域,發(fā)起路由區(qū)域更新的過程。
      1201UE移動到一個新的小區(qū),收聽廣播信息,廣播信息有路由區(qū)域的指示,如果UE保存的路由區(qū)域的指示跟新小區(qū)廣播信道廣播的路由區(qū)域指示不一樣,UE進(jìn)入了一個新的路由區(qū)域,UE要發(fā)起路由區(qū)域更新的過程。UE首先跟ERAN建立連接。UE在建立跟ERAN的連接的過程中,把UE的無線接入能力和START值報告給ERAN,無線接入能力信息包含UE的加密能力。其中,加密能力包括UE支持的加密算法,和UE支持的完整性算法。START值是UE保存在SIM卡上的一個值,是超幀號HFN的高20位。ERAN保存UE的加密能力和START值。并且ERAN給UE分配一個ERAN范圍的臨時標(biāo)識,ERAN還會給UE分配一個DRX參數(shù),空閑模式的UE可以使用DRX參數(shù)來計算收聽尋呼信息的時刻,并且在那個時刻來接收尋呼信息。
      1202UE 110發(fā)送“路由區(qū)域更新請求”消息給ECN。消息包含信息IMSI,舊的路由區(qū)域的標(biāo)識,DRX參數(shù),舊的路由區(qū)域內(nèi)UE的標(biāo)識。IMSI是用戶的永久性標(biāo)識;舊的RAI是UE保存的路由區(qū)域的指示;DRX參數(shù)是指出UE是否使用非連續(xù)接收,如果支持,并且指出非連續(xù)接收的循環(huán)的長度;舊的路由區(qū)域內(nèi)UE的標(biāo)識是原來的路由區(qū)域內(nèi)的ECN給UE分配的標(biāo)識,可能是IP地址。從這個標(biāo)識或者從舊的路由區(qū)域的標(biāo)識,可以找到原來的ECN。
      1203ECN收到“路由區(qū)域更新請求”消息,如果ECN沒有保存UE的信息,ECN找到舊的ECN,新的ECN發(fā)送消息“鑒權(quán)信息請求”給舊的ECN,此消息中包含UE的IMSI;這條消息可以跟其他的消息合并。
      1204舊的ECN收到這條消息后,發(fā)送“鑒權(quán)信息響應(yīng)”消息給SGSN,這條消息可以跟其他的消息合并。消息中把加密向量的矩陣從舊的ECN傳到新的ECN上。
      1205加密向量的使用順序遵循先入先出的原則,第一次的加密過程使用矩陣中第一個向量,當(dāng)ECN第二次對UE進(jìn)行鑒權(quán)和密匙協(xié)商(AKA)的過程,使用加密矩陣中第二個向量。ECN按順序選擇下一個應(yīng)該使用的矩陣。網(wǎng)絡(luò)可以決定在網(wǎng)絡(luò)下的用戶應(yīng)該使用的加密算法的組合UEAs和完整性保護(hù)算法的組合UIAs,這個組合可以預(yù)先配置,跟單個用戶的能力沒有關(guān)系,所有用戶都應(yīng)該使用這個組合范圍內(nèi)的某種加密算法和完整性保護(hù)算法。
      1206ECN發(fā)送消息“路由區(qū)域更新確認(rèn)”消息給ERAN,消息包含UE可以使用的加密算法的組合,和完整性保護(hù)算法的組合,AUTN,RAND,IK,CK等信息。
      ECN給ERAN發(fā)送的“路由區(qū)域更新確認(rèn)”包含的信息-ECN給UE分配的標(biāo)識-AUTN(可選)-RAND(可選)-UIAs-UEAs-IK-CK1207ERAN根據(jù)UE的能支持的加密算法和完整性算法和網(wǎng)絡(luò)決定的UE可以使用的加密算法和完整性算法,選擇UE使用的加密算法和完整性算法。比如,網(wǎng)絡(luò)決定的可以使用的加密算法組合UEAs是{UEA1,UEA2,UEA3,UEA4},用戶的能力支持加密算法{UEA1,UEA2},ERAN可以決定使用UEA1作為用戶的加密算法。并且ERAN產(chǎn)生一個隨機(jī)數(shù)FRESH,ERAN可以對之后的RRC消息啟用完整性保護(hù)。
      1208ERAN發(fā)送消息“路由區(qū)域更新確認(rèn)”給UE,消息包含F(xiàn)RESH,UE加密能力,SRNC決定的UE使用的加密算法UEA和完整性保護(hù)算法UIA,MAC-I,MAC-I是完整性信息。
      ERAN給UE發(fā)送的“路由區(qū)域更新確認(rèn)”包含的信息-ECN給UE分配的標(biāo)識-AUTN(可選)-RAND(可選)-UIA-UEA-FRESH-MAC-I在1209步驟,UE根據(jù)收到的RAND,AUTN計算出IK,CK,然后UE根據(jù)保存的START值算出COUNT-I,按照圖2所示的方法,利用IK,F(xiàn)RESH,COUNT-I等輸入?yún)?shù),計算出一個值,被稱作XMAC-I,并把自己計算的XMAC-I和ERAN發(fā)送的MAC-I比較,如果相同,認(rèn)為此RRC消息是完整的。UE可以對之后的RRC消息啟用完整性保護(hù),并且可以啟用加密保護(hù)。
      1210UE發(fā)送“路由區(qū)域更新完成”給ERAN,如果1208的消息中包含AUTN,RAND,則“路由區(qū)域更新完成”消息包含UE根據(jù)AUTN,RAND計算出來的RES,“路由區(qū)域更新完成”消息中還包含UE根據(jù)IK,F(xiàn)RESH等參數(shù)計算出的完整性信息MAC-I1211ERAN根據(jù)圖2所示的方法,利用IK,F(xiàn)RESH,COUNT-I等輸入?yún)?shù),計算出一個值,被稱作XMAC-I,然后比較自己計算的XMAC-I和MAC-I,如果相同,認(rèn)為此RRC消息是完整的。
      1212ERAN發(fā)送“路由區(qū)域更新完成”給ECN,包含ERAN決定的UE使用的加密算法UEA和完整性保護(hù)算法UIA,還可能包含UE發(fā)送的RES。在1212步驟后的數(shù)據(jù)可以開始被加密。ERAN給ECN發(fā)送的“路由區(qū)域更新完成”包含的信息-ECN給UE分配的標(biāo)識-UIA-UEARES(可選)在1212步驟后,新的ECN可以發(fā)送位置更新過程,把新的ECN和UE的對應(yīng)關(guān)系注冊到網(wǎng)絡(luò)的HLR上。
      圖13是ECN在實(shí)施例2中的動作流程。
      在1301,ECN接收消息,1302判斷消息類型,如果消息是UE發(fā)送的“路由區(qū)域更新請求”,進(jìn)行1303步驟,ECN如果已經(jīng)保存的UE的加密信息,則進(jìn)行1305步驟,如果ECN沒有保存UE的信息,ECN需要進(jìn)行1304步驟,從舊的ECN得到加密向量的矩陣。然后在1305步驟,ECN發(fā)送“路由區(qū)域更新確認(rèn)”消息給ERAN。這條消息包含下面的全部或者部分信息UE標(biāo)識,AUTN,RAND,IK,CK,UEAs,UIAs。如果ECN不需要進(jìn)行AKA過程,則AUTN和RAND不需要包含在消息中。如果加密算法沒有改變,或者加密不需要在ERAN上進(jìn)行,UE已經(jīng)保存了加密的信息,這時,消息中不需要包含CK,UEAs。發(fā)送過消息后,ECN繼續(xù)接收消息,期望收到“路由區(qū)域更新完成”消息,如果在一段時間內(nèi),比如在1306設(shè)置一個時鐘,當(dāng)時鐘超時還沒有收到“路由區(qū)域更新完成”消息,就重發(fā)“路由區(qū)域更新確認(rèn)”,或者進(jìn)行1307錯誤處理過程。在1308步驟,ECN收到“路由區(qū)域更新完成”消息,如果“路由區(qū)域更新確認(rèn)”消息中包含鑒權(quán)信息,則UE發(fā)送“路由區(qū)域更新完成”消息中包含一個參數(shù),被稱作RES。ECN比較RES和加密向量中的XRES,如果RES和XRES相等,ECN認(rèn)為UE是合法的用戶。ECN在收到了UE發(fā)送的響應(yīng)消息“路由區(qū)域更新完成”消息,路由更新過程結(jié)束。
      圖14是ERAN在實(shí)施例2中的動作流程。
      在1401,ERAN接收消息,如果消息是從UE發(fā)送過來的“RRC連接請求”消息,保存消息中包含的信息,比如,START值,UE的能力等。ERAN要給UE分配無線資源,比如在ERAN范圍的標(biāo)識,信道資源,然后發(fā)送“RRC連接建立”消息給UE,包含ERAN給UE分配的資源。然后ERAN繼續(xù)接收消息,在1404步驟收到從ECN發(fā)送過來的消息“路由區(qū)域更新確認(rèn)”,ERAN保存消息的中加密信息,比如IK,CK,UEAs,UIAs。根據(jù)UE的能力,ERAN選擇UE使用的UEA和UIA,并且,ERAN產(chǎn)生一個隨機(jī)數(shù)FRESH,然后發(fā)送消息“鑒權(quán)和安全命令”給UE,消息包含AUTN(可選),RAND(可選),F(xiàn)RESH,UIA(可選),UEA(可選)。并且,這個消息包含完整性檢查信息MAC-I。
      在1407,ERAN收到UE發(fā)送的“路由區(qū)域更新完成”消息,ERAN驗(yàn)證消息中包含的完整性檢查信息,如果正確,就把ERAN決定的UE使用的UIA和UEA包含在消息中,然后把消息發(fā)送給ECN。過程結(jié)束。
      圖15是UE在實(shí)施例2中的動作流程。
      1501,UE接收消息,如果收到從ERAN發(fā)送的“RRC連接建立”消息,UE在1503步驟建立信道,發(fā)送“路由區(qū)域更新請求”消息給ECN,然后繼續(xù)接收消息。在1104UE收到從ERAN發(fā)送的“路由區(qū)域更新確認(rèn)”消息,如果消息包含AUTN,RAND,在1505步驟,UE鑒權(quán)網(wǎng)絡(luò)的合法性。UE保存加密信息,比如FRESH。如果消息中包含UIA,UE采用新的完整性保護(hù)算法,如果消息中包含UEA,UE采用新的加密算法,否則,UE使用舊的算法。根據(jù)需要,可以啟動完整性保護(hù)和加密保護(hù),UE發(fā)送“路由區(qū)域更新完成”給ECN。過程結(jié)束。
      權(quán)利要求
      1.一種在LTE中,合并AKA過程和本地加密過程進(jìn)行鑒權(quán)和加密的方法,包含步驟1)ECN發(fā)送與鑒權(quán)和安全相關(guān)的信息(806)給ERAN;以及2)ERAN保存相應(yīng)的信息,產(chǎn)生隨機(jī)數(shù),根據(jù)接收到的信息產(chǎn)生第一消息(808)并發(fā)送到UE,以便UE鑒權(quán)網(wǎng)絡(luò)。
      2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述與鑒權(quán)和安全相關(guān)的信息中,包含用于鑒權(quán)UE和完整性算法的參數(shù)。
      3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述參數(shù)包含IK、CK、UIAs、UEAs、AUTN以及RAND。
      4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述相應(yīng)的信息包含IK和CK。
      5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述第一消息中包含F(xiàn)RESH。
      6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述第一消息中還包含完整性保護(hù)信息。
      7.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包含步驟3)UE根據(jù)接收到的消息,鑒權(quán)網(wǎng)絡(luò),產(chǎn)生并發(fā)送第二消息(810)給ERAN;以及4)ERAN根據(jù)接收到的第二消息產(chǎn)生第三消息(812)并發(fā)送給ECN,以便鑒權(quán)用戶。
      8.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述第二消息中包含RES。
      9.根據(jù)權(quán)利要求7所述的方法,其特征在于,所述第三消息中包含UIA和UEA。
      10.一種在LTE中,當(dāng)UE移動到一個新的路由區(qū)域時,合并AKA過程、本地加密過程和路由更新過程進(jìn)行更新和加密的方法,包含步驟1)UE發(fā)送路由區(qū)域更新請求(1202)消息給ECN;2)ECN發(fā)送路由區(qū)域更新確認(rèn)消息(1206)給ERAN;3)ERAN保存相應(yīng)的信息,產(chǎn)生隨機(jī)數(shù),根據(jù)接收到的消息產(chǎn)生消息(1208)并發(fā)送給UE;4)UE根據(jù)接收到的消息(1208),產(chǎn)生并發(fā)送消息(1210)給ERAN;以及5)ERAN根據(jù)接收到的消息(1210),產(chǎn)生并發(fā)送消息(1212)給ECN,以便鑒權(quán)用戶。
      11.根據(jù)權(quán)利要求10所述的方法,其特征在于,步驟4)還包含步驟UE對網(wǎng)絡(luò)進(jìn)行鑒權(quán)。
      12.根據(jù)權(quán)利要求10所述的方法,其特征在于,所述路由區(qū)域更新確認(rèn)消息(1206)中包含完整性保護(hù)信息。
      13.根據(jù)權(quán)利要求12所述的方法,其特征在于,所述路由區(qū)域更新確認(rèn)消息(1206)中還包含加密的參數(shù)。
      14.根據(jù)權(quán)利要求10所述的方法,其特征在于,所述消息(1208)中包含F(xiàn)RESH。
      15.根據(jù)權(quán)利要求10所述的方法,其特征在于,所述消息(1210)包含RES。
      16.根據(jù)權(quán)利要求13所述的方法,其特征在于,所述路由區(qū)域更新確認(rèn)消息(1206)中還包含鑒權(quán)信息。
      17.根據(jù)權(quán)利要求14所述的方法,其特征在于,所述消息(1208)中還包含AUTN和RAND。
      18.根據(jù)權(quán)利要求14所述的方法,其特征在于,所述消息(1208)中還包含MAC-I。
      19.根據(jù)權(quán)利要求10所述的方法,其特征在于,所述消息(1212)中包含UIA和UEA。
      全文摘要
      提出了一種在LTE中,合并AKA過程和本地加密過程進(jìn)行鑒權(quán)和加密的方法,包含步驟1)ECN發(fā)送與鑒權(quán)和安全相關(guān)的信息給ERAN;以及2)ERAN保存相應(yīng)的信息,產(chǎn)生隨機(jī)數(shù),根據(jù)接收到的信息產(chǎn)生第一消息并發(fā)送到UE,以便UE鑒權(quán)網(wǎng)絡(luò)。利用本發(fā)明的方法,減少了信令平面的交互,如果在建立平面前,網(wǎng)絡(luò)需要進(jìn)行AKA過程和本地加密過程,就可以減少用戶平面的建立,并且,沒有降低現(xiàn)有的AKA過程和本地加密過程的安全性。
      文檔編號H04L9/32GK1937487SQ20051008649
      公開日2007年3月28日 申請日期2005年9月22日 優(yōu)先權(quán)日2005年9月22日
      發(fā)明者王弘, 劉美麗, 李小強(qiáng), 胡威亞, 羅威, 崔成豪 申請人:北京三星通信技術(shù)研究有限公司, 三星電子株式會社
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1