一种无线网络鉴权方法及核心网网元、接入网网元、终端 |
|||||||
| 申请号 | CN201510574963.7 | 申请日 | 2015-09-10 | 公开(公告)号 | CN106535182A | 公开(公告)日 | 2017-03-22 |
| 申请人 | 中兴通讯股份有限公司; | 发明人 | 戴谦; | ||||
| 摘要 | 本 发明 提供一种无线网络鉴权方法及核心网网元、接入网网元、终端,该方法包括:向接入网网元发送鉴权与安全控制信息,指示所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。通过本发明可以有效降低端到端无线通信的时延。 | ||||||
| 权利要求 | 1.一种无线网络鉴权方法,包括: |
||||||
| 说明书全文 | 一种无线网络鉴权方法及核心网网元、接入网网元、终端技术领域[0001] 本发明涉及通信技术领域,特别是涉及一种无线网络鉴权方法及核心网网元、接入网网元、终端。 背景技术[0002] 现有的LTE(Long Term Evolution,长期演进)系统采用EPC(Evolved Packet Core,演进的分组核心)网络架构,UE(用户设备)在和网络侧建立连接的过程需要完成空中接口的连接建立、与核心网的连接建立,其中需要交互的控制面信令非常多,以3GPP(The3rd Generation Partnership Project,第三代合作伙伴计划)LTE的附着流程为例,。 [0003] 现有EPC系统的附着过程包含: [0004] -注册到EPS网络(注册到MME,移动性管理实体) [0005] -建立EPS承载(用于传输用户数据) [0006] 其中注册到EPS网络的过程进一步细分为: [0008] -MME执行鉴权过程,MME从HSS获取所述终端的中间鉴权向量; [0009] -MME将所述中间鉴权向量中的部分鉴权信息发给UE; [0010] -UE根据收到的鉴权信息计算鉴权期望值,并将该期望值发给MME; [0011] -MME根据UE发来的期望值,确定其是否鉴权成功; [0012] -若鉴权成功,MME向UE发NAS安全模式命令,以建立NAS安全; [0014] 整个附着流程过程的耗时通常在一百多毫秒。 [0016] 现有的无线通信业务的种类不断增长,其中产生了很多对端到端时延有严格要求的业务,例如在线游戏,车联网,虚拟现实等,对端到端时延的要求通常在数十毫秒甚至更小,而现有的LTE系统的时延指标还无法很好的支持这些类型的业务。 发明内容[0017] 本发明要解决的技术问题是提供一种无线网络鉴权方法及核心网网元、接入网网元、终端,以降低端到端无线通信的时延。 [0018] 为了解决上述技术问题,本发明提供了一种无线网络鉴权方法,包括: [0019] 向接入网网元发送鉴权与安全控制信息,指示所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。 [0020] 进一步地,上述方法还具有下面特点:所述鉴权与安全控制信息包括下述之一或多项的组合: [0021] 接入网网元可执行对用户设备的鉴权的授权许可; [0022] 接入网网元可执行对用户设备的NAS安全建立的授权许可; [0023] 接入网网元可执行对用户设备的鉴权的授权时间范围; [0024] 接入网网元可执行对用户设备的NAS安全建立的授权时间范围; [0025] 接入网网元可执行鉴权或者NAS安全建立的预选用户设备信息; [0026] 接入网网元用于执行鉴权的预选用户设备所对应的鉴权信息; [0027] 接入网网元用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息。 [0028] 进一步地,上述方法还具有下面特点:所述接入网网元用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息是通过以下方式获取的: [0029] 从归属用户服务器获取所述预选用户设备所对应的NAS安全的中间密钥,或者[0030] 周期地从归属用户服务器获取所述预选用户设备所对应的NAS安全的中间密钥。 [0031] 进一步地,上述方法还具有下面特点: [0032] 所述NAS安全建立信息包括对NAS加密算法和NAS完整性保护算法的选择信息,或者包括授权eNB对NAS加密算法和NAS完整性保护算法进行选择的许可。 [0033] 进一步地,上述方法还具有下面特点: [0034] 所述NAS安全建立信息只包含NAS安全模式命令。 [0035] 进一步地,上述方法还具有下面特点:所述发送鉴权与安全控制信息给接入网网元之前,还包括: [0036] 对各个接入网网元内的用户设备的驻留时间以及用户设备进入各个接入网网元的频率进行统计;或者接收各个接入网网元自行统计自己范围内的用户设备的驻留时间以及进入自己覆盖范围的用户设备的进入频率的统计结果;或者接收各个用户设备统计自己驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率的统计结果; [0037] 根据所述统计结果以至少满足以下一个条件来确定可授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程: [0038] 有用户设备驻留在所述接入网网元范围的时间超过第一预设门限,所述时间为连续的驻留时间或累积的驻留时间; [0039] 同一用户设备进入所述接入网网元范围的频率超过第二预设门限。 [0040] 进一步地,上述方法还具有下面特点:所述发送鉴权与安全控制信息给接入网网元之前,还包括: [0041] 接收到所述接入网网元或用户设备上报的所述接入网网元的标识信息,所述接入网网元满足以下至少一个条件: [0042] 有用户设备驻留在所述接入网网元范围的时间超过第一预设门限,所述时间为连续的驻留时间或累积的驻留时间; [0043] 同一用户设备进入所述接入网网元范围的频率超过第二预设门限。 [0044] 进一步地,上述方法还具有下面特点: [0045] 所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限,所述时间为连续的驻留时间或累积的驻留时间,或者进入所述接入网网元范围的频率超过所述第二预设门限。 [0046] 进一步地,上述方法还具有下面特点: [0047] 所述用户设备属于时延敏感的用户设备,或者 [0048] 所述用户设备运行时延敏感的业务。 [0049] 进一步地,上述方法还具有下面特点:还包括: [0050] 从归属用户服务器获取所述预选用户设备对应的固定鉴权秘钥、永久秘钥或中间鉴权向量,作为鉴权信息。 [0051] 进一步地,上述方法还具有下面特点:还包括: [0052] 接收所述接入网网元完成的鉴权或者NAS安全建立的所述用户设备所对应的鉴权上下文信息或NAS安全建立的上下文信息,所述鉴权上下文信息包括所述用户设备鉴权是否成功的信息和所述用户设备上报的鉴权响应所包含的鉴权值,所述NAS安全建立的上下文信息包括:所述用户设备上报的NAS安全模式完成信息或者NAS安全模式拒绝信息。 [0053] 进一步地,上述方法还具有下面特点:还包括: [0054] 在所述接入网网元完成对用户设备的鉴权或者NAS安全建立过程后,通过NAS消息对已完成鉴权或者NAS安全建立的用户设备进行再次鉴权或再次NAS安全重建。 [0055] 进一步地,上述方法还具有下面特点:还包括: [0056] 确定授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程后,将支持鉴权或者NAS安全建立过程的接入网网元的列表发送给所述预选用户设备。 [0057] 进一步地,上述方法还具有下面特点:还包括: [0058] 周期地从归属用户服务器上获取更新的鉴权与安全控制信息。 [0059] 进一步地,上述方法还具有下面特点:所述鉴权与安全控制信息包括: [0060] 取消接入网网元可执行对用户设备的鉴权许可; [0061] 取消接入网网元可执行用户设备的NAS安全建立的许可。 [0062] 为了解决上述问题,本发明还提供了一种核心网,其中,包括: [0063] 发送模块,用于向接入网网元发送鉴权与安全控制信息,指示所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。 [0064] 进一步地,上述核心网还具有下面特点:所述鉴权与安全控制信息包括下述之一或多项的组合: [0065] 接入网网元可执行对用户设备的鉴权的授权许可; [0066] 接入网网元可执行对用户设备的NAS安全建立的授权许可; [0067] 接入网网元可执行对用户设备的鉴权的授权时间范围; [0068] 接入网网元可执行对用户设备的NAS安全建立的授权时间范围; [0069] 接入网网元可执行鉴权或者NAS安全建立的预选用户设备信息; [0070] 接入网网元用于执行鉴权的预选用户设备所对应的鉴权信息; [0071] 接入网网元用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息,所述NAS安全建立信息包括对NAS加密算法和NAS完整性保护算法的选择信息,或者包括授权eNB对NAS加密算法和NAS完整性保护算法进行选择的许可,或者所述NAS安全建立信息只包含NAS安全模式命令。 [0072] 进一步地,上述核心网还具有下面特点:还包括: [0073] 统计模块,用于对各个接入网网元内的用户设备的驻留时间以及用户设备进入各个接入网网元的频率进行统计;或者接收各个接入网网元自行统计自己范围内的用户设备的驻留时间以及进入自己覆盖范围的用户设备的进入频率的统计结果;或者接收各个用户设备统计自己驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率的统计结果; [0074] 确定模块,用于根据所述统计结果以至少满足以下一个条件来确定可授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程:有用户设备驻留在所述接入网网元范围的时间超过第一预设门限,所述时间为连续的驻留时间或累积的驻留时间;同一用户设备进入所述接入网网元范围的频率超过第二预设门限,所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限,所述时间为连续的驻留时间或累积的驻留时间,或者进入所述接入网网元范围的频率超过所述第二预设门限。 [0075] 进一步地,上述核心网还具有下面特点:还包括: [0076] 接收模块,用于接收到所述接入网网元或用户设备上报的所述接入网网元的标识信息,所述接入网网元满足以下至少一个条件:有用户设备驻留在所述接入网网元范围的时间超过第一预设门限,所述时间为连续的驻留时间或累积的驻留时间;同一用户设备进入所述接入网网元范围的频率超过第二预设门限,所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限,所述时间为连续的驻留时间或累积的驻留时间,或者进入所述接入网网元范围的频率超过所述第二预设门限。 [0077] 进一步地,上述核心网还具有下面特点:还包括: [0078] 获取模块,用于从归属用户服务器获取所述预选用户设备对应的固定鉴权秘钥、永久秘钥或中间鉴权向量,作为鉴权信息。 [0079] 进一步地,上述核心网还具有下面特点:还包括: [0080] 接收模块,用于接收所述接入网网元完成的鉴权或者NAS安全建立的所述用户设备所对应的鉴权上下文信息或NAS安全建立的上下文信息,所述鉴权上下文信息包括所述用户设备鉴权是否成功的信息和所述用户设备上报的鉴权响应所包含的鉴权值,所述NAS安全建立的上下文信息包括:所述用户设备上报的NAS安全模式完成信息或者NAS安全模式拒绝信息。 [0081] 进一步地,上述核心网还具有下面特点:还包括: [0082] 处理模块,用于在所述接入网网元完成对用户设备的鉴权或者NAS安全建立过程后,通过NAS消息对已完成鉴权或者NAS安全建立的用户设备进行再次鉴权或再次NAS安全重建。 [0083] 进一步地,上述核心网还具有下面特点:还包括: [0084] 发送模块,用于确定授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程后,将支持鉴权或者NAS安全建立过程的接入网网元的列表发送给所述预选用户设备。 [0085] 为了解决上述问题,本发明还提供了一种无线网络鉴权方法,包括: [0086] 接入网网元接收鉴权与安全控制信息; [0087] 根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。 [0088] 进一步地,上述方法还具有下面特点:所述鉴权与安全控制信息包括下述之一或多项的组合: [0089] 接入网网元可执行对用户设备的鉴权的授权许可; [0090] 接入网网元可执行对用户设备的NAS安全建立的授权许可; [0091] 接入网网元可执行对用户设备的鉴权的授权时间范围; [0092] 接入网网元可执行对用户设备的NAS安全建立的授权时间范围; [0093] 接入网网元可执行鉴权或者NAS安全建立的预选用户设备信息; [0094] 接入网网元用于执行鉴权的预选用户设备所对应的鉴权信息; [0095] 接入网网元用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息。 [0096] 进一步地,上述方法还具有下面特点:所述鉴权与安全控制信息包括以下的一种或两种: [0097] 取消接入网网元可执行对用户设备的鉴权许可; [0098] 取消接入网网元可执行用户设备的NAS安全建立的许可。 [0099] 进一步地,上述方法还具有下面特点: [0100] 所述鉴权信息为所述预选用户设备对应的固定鉴权秘钥、永久秘钥或中间鉴权向量。 [0101] 进一步地,上述方法还具有下面特点:所述接入网网元接收鉴权与安全控制信息之前,还包括: [0102] 统计本接入网网元范围内的用户设备的驻留时间以及进入本接入网网元覆盖范围的用户设备的进入频率; [0103] 若有用户设备的驻留时间超过第一预设门限,所述驻留时间为连续的驻留时间或累计的驻留时间,和/或,若同一用户设备进入本接入网网元覆盖范围的频率超过第二预设门限,则上报统计结果和/或本接入网网元的标识。 [0104] 进一步地,上述方法还具有下面特点:还包括: [0105] 所述接入网网元通过广播消息或者专用信令将可授权的接入网网元的标识发送给所述预选用户设备。 [0106] 进一步地,上述方法还具有下面特点:所述根据所述鉴权与安全控制信息执行对预选用户设备的鉴权,包括: [0107] 所述接入网网元根据所述鉴权与安全控制信息生成鉴权向量; [0108] 向所述预选用户设备发送鉴权要求,携带所述鉴权向量; [0109] 接收所述预选用户设备反馈的鉴权响应,根据所述鉴权向量和所述鉴权响应进行鉴权。 [0110] 进一步地,上述方法还具有下面特点:所述接收所述预选用户设备反馈的鉴权响应,根据所述鉴权向量和所述鉴权响应进行鉴权之后,还包括: [0111] 上报鉴权上下文信息,所述鉴权上下文信息包括所述用户设备鉴权是否成功的信息和所述用户设备上报的鉴权响应所包含的鉴权值。 [0112] 进一步地,上述方法还具有下面特点:所述接入网网元根据所述鉴权与安全控制信息生成鉴权向量,包括: [0113] 所述接入网网元根据所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的固定密钥或者永久密钥,生成对应的中间鉴权向量;或者, [0114] 所述接入网网元接收所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的中间鉴权向量。 [0115] 进一步地,上述方法还具有下面特点:所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程,包括: [0116] 所述接入网网元选择NAS安全算法和NAS完整性保护算法,并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥;或者, [0117] 所述接入网网元接收NAS安全算法和NAS完整性保护算法,并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥。 [0118] 进一步地,上述方法还具有下面特点:所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程,还包括: [0119] 所述接入网网元根据所述NAS安全密钥和NAS完整性保护密钥构造NAS安全模式命令,发送所述NAS安全模式命令给所述预选用户设备; [0120] 所述接入网网元接收所述预选用户设备反馈的NAS安全模式完成信令。 [0121] 进一步地,上述方法还具有下面特点:所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程之后,包括: [0122] 所述接入网网元上报NAS安全建立的上下文信息,所述NAS安全建立的上下文信息中包含:所述接入网网元生成的NAS安全密钥和NAS完整性保护密钥,所述接入网网元选择的NAS安全算法和NAS完整性保护算法的标识。 [0123] 为了解决上述问题,本发明还提供了一种接入网网元,其中,包括: [0124] 接收模块,用于接入网网元接收鉴权与安全控制信息; [0125] 执行模块,用于根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。 [0126] 进一步地,上述接入网网元还具有下面特点:还包括: [0127] 统计模块,用于统计本接入网网元范围内的用户设备的驻留时间以及进入本接入网网元覆盖范围的用户设备的进入频率,若有用户设备的驻留时间超过第一预设门限,所述驻留时间为连续的驻留时间或累计的驻留时间,和/或,若同一用户设备进入本接入网网元覆盖范围的频率超过第二预设门限,则上报统计结果和/或本接入网网元的标识。 [0128] 进一步地,上述接入网网元还具有下面特点:还包括: [0129] 发送模块,用于通过广播消息或者专用信令将可授权的接入网网元的标识发送给所述预选用户设备。 [0130] 进一步地,上述接入网网元还具有下面特点: [0131] 所述执行模块,根据所述鉴权与安全控制信息执行对预选用户设备的鉴权包括:所述接入网网元根据所述鉴权与安全控制信息生成鉴权向量;向所述预选用户设备发送鉴权要求,携带所述鉴权向量;接收所述预选用户设备反馈的鉴权响应,根据所述鉴权向量和所述鉴权响应进行鉴权。 [0132] 进一步地,上述接入网网元还具有下面特点: [0133] 所述执行模块,根据所述鉴权与安全控制信息生成鉴权向量包括:根据所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的固定密钥或者永久密钥,生成对应的中间鉴权向量;或者接收所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的中间鉴权向量。 [0134] 进一步地,上述接入网网元还具有下面特点: [0135] 所述执行模块,根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程包括:选择NAS安全算法和NAS完整性保护算法,并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥;或者接收NAS安全算法和NAS完整性保护算法,并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥。 [0136] 进一步地,上述接入网网元还具有下面特点: [0137] 所述执行模块,根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程还包括:根据所述NAS安全密钥和NAS完整性保护密钥构造NAS安全模式命令,发送所述NAS安全模式命令给所述预选用户设备;接收所述预选用户设备反馈的NAS安全模式完成信令。 [0138] 进一步地,上述接入网网元还具有下面特点: [0139] 所述执行模块,根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程之后,包括:上报NAS安全建立的上下文信息,所述NAS安全建立的上下文信息中包含:所述接入网网元生成的NAS安全密钥和NAS完整性保护密钥,所述接入网网元选择的NAS安全算法和NAS完整性保护算法的标识。 [0140] 为了解决上述问题,本发明还提供了一种无线网络鉴权方法,包括: [0141] 当用户设备需要和网络侧完成鉴权或NAS建立安全过程时,所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程。 [0142] 进一步地,上述方法还具有下面特点:所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程的过程中,还包括: [0143] 所述用户设备统计其驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率,若发现其驻留在一接入网网元范围的时间超过第一预设门限或者其进入一接入网网元范围的频率超过第二预设门限,则将该接收网网元的标识或对应的统计结果上报给核心网。 [0144] 进一步地,上述方法还具有下面特点:所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程之前,包括: [0145] 所述用户设备接收支持鉴权或者NAS安全建立的接入网网元的列表。 [0146] 进一步地,上述方法还具有下面特点:所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程之后,还包括: [0147] 所述用户设备向接入网网元发送NAS安全模式完成信令,所述NAS安全模式完成信令使用所述用户设备算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护。 [0148] 为了解决上述问题,本发明还提供了一种用户设备,其中,包括: [0149] 处理模块,用于当用户设备需要和网络侧完成鉴权或NAS建立安全过程时,与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程。 [0150] 进一步地,上述用户设备还具有下面特点:还包括: [0151] 统计模块,用于统计其驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率,若发现其驻留在一接入网网元范围的时间超过第一预设门限或者其进入一接入网网元范围的频率超过第二预设门限,则将该接收网网元的标识或对应的统计结果上报给核心网。 [0152] 进一步地,上述用户设备还具有下面特点:还包括: [0153] 接收模块,用于接收支持鉴权或者NAS安全建立的接入网网元的列表。 [0154] 进一步地,上述用户设备还具有下面特点:还包括: [0155] 发送模块,用于向接入网网元发送NAS安全模式完成信令,所述NAS安全模式完成信令使用所述用户设备算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护。 [0158] 图1为本发明实施例1的流程图; [0159] 图2为本发明实施例2的流程图; [0160] 图3为本发明实施例4的流程图; [0161] 图4为本发明实施例的核心网的示意图; [0162] 图5为本发明实施例的接入网网元的示意图; [0163] 图6为本发明实施例的用户设备的示意图。 具体实施方式[0164] 以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。 [0165] 首先,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。 [0166] 实施例1: [0167] 以3GPP EPC架构结合LTE接入网为例,为eNB(演进的基站)加载鉴权向量生成器以及秘钥派生函数KDF,使得eNB具备鉴权向量计算能力以及秘钥生成能力。如图1所示,包括以下步骤: [0168] 步骤201、选择符合授权条件的eNB以及预选UE,可行的选择方法和规则包括: [0169] 有UE驻留在某个eNB范围的时间超过预设门限一,所述时间可以是连续的,也可以是累积的;则该UE可作为预选UE,该eNB可认为符合授权条件; [0170] 同一UE进入某个eNB范围的频率超过预设门限二,则该UE可作为预选UE,该eNB可认为符合授权条件; [0171] 所述用户设备属于时延敏感的UE,或 [0172] 所述用户设备运行时延敏感的业务。 [0173] 实行统计的主体可以是MME、eNB、UE,分别的方法是: [0174] 若统计主体是MME,则MME自行对各个eNB内的UE的驻留时间以及UE进入各个eNB范围的频率进行统计,选择出上述条件之一的eNB,所述预设门限一和预设门限二可由MME预先设定; [0175] 各个eNB自行统计自己范围内的UE的驻留时间以及进入自己覆盖范围的UE的进入频率,当判断自己符合条件后,所述eNB将自己的ID上报给MME,可选的eNB也可将所述统计结果上报给MME;所述预设门限一和预设门限二可由MME预先设定,eNB可从MME获取所述预设门限一和预设门限二; [0176] 各个UE从MME获取所述预设门限一和预设门限二,UE自行统计自己驻留在每个eNB的时间以及进入每个eNB范围的频率,当UE发现自己驻留在某个eNB范围的时间超过预设门限一或者自己进入某个eNB范围的频率超过预设门限二,则UE认为该eNB符合可被授权执行鉴权或NAS安全的条件,UE将所述eNB的ID上报给MME,可选的,UE也可将所述eNB对应的统计结果上报给MME; [0177] MME在确定了可授权鉴权与NAS安全建立的eNB以及预选UE后,将可授权的eNB ID发送给所述预选UE,以便UE知道在这些eNB范围可以向eNB发起鉴权和NAS安全建立; [0178] 或者也可由被授权的接入网网元通过广播消息或者专用信令告知所述预选用户设备。 [0179] 步骤202、MME向HSS(Home Subscriber Server,归属用户服务器)索要符合条件的预选UE对应的HSS内的鉴权信息,具体包括:目标UE对应的永久密钥K;HSS将所述信息发送给MME。 [0180] 步骤203、MME向符合授权条件的eNB发送鉴权与安全控制信息,其中包括: [0181] eNB可以执行对用户设备的鉴权的授权许可; [0182] eNB可以执行对用户设备的NAS安全建立的授权许可; [0183] eNB可以执行对用户设备的鉴权的授权时间范围;该项信息是可选项,用于当MME统计过所述eNB的活跃时间后,可根据其活跃时间来配置授权时间范围; [0184] eNB可以执行对用户设备的NAS安全建立的授权时间范围; [0185] eNB可以执行鉴权或者NAS安全建立的预选用户设备信息;该信息用于eNB识别哪些UE是预选用户设备; [0186] eNB用于执行鉴权的预选用户设备所对应的鉴权信息; [0187] eNB根据上述信息确定自己可对所述UE执行鉴权或NAS安全建立。 [0188] 步骤204、当预选UE在某个被授权的eNB范围内发起附着过程,或者RRC(Radio Resource Control,无线资源控制协议)连接过程;UE根据之前获得的被授权eNB列表可知,在这类eNB范围内可向eNB发起鉴权或NAS安全建立。 [0189] 步骤205、预选UE向eNB发起附着请求,可选的,eNB将该附着请求同时转发给MME,让MME了解到所述UE的附着动作。 [0190] 步骤206、eNB根据鉴权与安全控制信息内容生成鉴权向量,鉴权与安全控制信息内容中的预选用户设备所对应的鉴权信息中包含该UE对应的固定密钥K,eNB自行生成随机数RAND和序列数SQN,基于这些输入参数,eNB使用鉴权向量生成器生成鉴权向量,鉴权向量生成器和鉴权向量的定义仍采用现有LTE协议定义的方法。 [0191] 步骤207、eNB向UE发送鉴权要求,内含鉴权向量。 [0192] 步骤208、UE按照现有协议方式,根据收到的鉴权向量以及自身的固定密钥K,生成鉴权值以及中间密钥。 [0193] 步骤209、UE反馈鉴权响应给eNB,内含鉴权值。 [0194] 步骤210、eNB对比自己生成的鉴权向量和UE反馈的鉴权响应内容,若符合LTE协议规定的鉴权对照关系,则鉴权成功,否则鉴权失败。 [0195] 步骤211、eNB将鉴权结果发送给MME,若鉴权成功,则eNB继续执行NAS安全建立,若鉴权失败,则MME可以拒绝该UE的附着,也可以由MME重新对该UE进行鉴权(即按照现有LTE协议的鉴权方式,不通过授权的eNB)。 [0196] 步骤212、eNB执行和所述UE的NAS安全建立,eNB选择NAS安全算法和NAS完整性保护算法,eNB根据自己之前生成的中间密钥,生成NAS安全密钥和NAS完整性保护密钥。 [0197] 步骤213、eNB将NAS安全模式命令发送给UE,该命令的内容定义和现有LTE协议的NAS安全模式命令相同;同时eNB将NAS安全建立的上下文信息发送给MME,内容包含eNB生成的NAS安全密钥和NAS完整性保护密钥,eNB选择的NAS安全算法和NAS完整性保护算法的ID,以实现后续MME和UE之间的NAS安全对接。 [0198] 步骤214、UE根据eNB发送的NAS安全模式命令计算出NAS安全算法密钥和NAS完整性保护算法密钥,到此NAS安全建立完成。 [0199] UE向eNB发送NAS安全模式完成信令,该信令使用UE算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护;eNB将给信令转发MME。 [0200] 在本实施例中,由于鉴权和NAS安全建立功能被授权给eNB,在UE发起的整个鉴权和NAS安全建立过程中取消了eNB和MME以及MME和HSS之间的信令交互,大大简化了整个鉴权过程,从而大幅的减少了连接建立延迟。 [0201] 实施例2: [0202] 以3GPP EPC架构结合LTE接入网为例,为eNB加载秘钥派生函数KDF,使得eNB具备秘钥生成能力。如图2所示,包括以下步骤: [0203] 步骤301、统计符合授权条件的eNB以及预选UE,可行的统计方法和规则可参考实施例1,这里不再重复。 [0204] 步骤302、MME向HSS索要符合条件的预选UE对应的HSS内的鉴权信息,具体包括:目标UE对应的中间鉴权向量;HSS将所述鉴权信息发送给MME。 [0205] 步骤303、MME向符合授权条件的eNB发送鉴权与安全控制信息,其中包括: [0206] eNB可以执行对用户设备的鉴权的授权许可; [0207] eNB可以执行对用户设备的NAS安全建立的授权许可; [0208] eNB可以执行对用户设备的鉴权的授权时间范围;该项信息是可选项,用于当MME统计过所述eNB的活跃时间后,可根据其活跃时间来配置授权时间范围; [0209] eNB可以执行对用户设备的NAS安全建立的授权时间范围; [0210] eNB可以执行鉴权或者NAS安全建立的预选用户设备信息;该信息用于eNB识别哪些UE是预选用户设备; [0211] eNB用于执行鉴权的预选用户设备所对应的鉴权信息; [0212] eNB用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息; [0213] eNB根据上述信息确定自己可对所述UE执行鉴权或NAS安全建立。 [0214] 其中,鉴权信息包括所述中间鉴权向量,NAS安全建立信息包括MME选择的NAS安全算法和NAS完整性保护算法对应的ID。 [0215] 步骤304、当预选UE在某个被授权的eNB范围内发起附着过程,或者RRC连接过程;UE根据之前MME告知的被授权eNB列表可知,在这类eNB范围内可向eNB发起鉴权或NAS安全建立。 [0216] 步骤305、预选UE向eNB发起附着请求,可选的,eNB将该附着请求同时转发给MME,让MME了解到所述UE的附着动作。 [0217] 步骤306、eNB向UE发送鉴权要求,内含中间鉴权向量。 [0218] 步骤307、UE按照现有协议方式,根据收到的中间鉴权向量生成鉴权值以及中间密钥。 [0219] 步骤308、UE反馈鉴权响应给eNB,内含鉴权值。 [0220] 步骤309、eNB对比中间鉴权向量和UE反馈的鉴权响应内容,若符合LTE协议规定的鉴权对照关系,则鉴权成功,否则鉴权失败。 [0221] 步骤310、eNB将鉴权结果发送给MME,若鉴权成功,则eNB继续执行NAS安全建立,若鉴权失败,则MME可以拒绝该UE的附着,也可以由MME重新对该UE进行鉴权(即按照现有LTE协议的鉴权方式,不通过授权的eNB)。 [0222] 步骤311、eNB执行和所述UE的NAS安全建立,eNB根据MME发送的NAS安全算法和NAS完整性保护算法的ID,以及中间密钥,生成NAS安全密钥和NAS完整性保护密钥。 [0223] MME用生成的NAS安全密钥和NAS完整性保护密钥来构成后续的NAS安全模式命令。 [0224] 步骤312、eNB将NAS安全模式命令发送给UE,该命令的内容定义和现有LTE协议的NAS安全模式命令相同;同时eNB将NAS安全建立的上下文发送给MME,所述NAS安全建立的上下文的内容包含eNB生成的NAS安全密钥和NAS完整性保护密钥,MME选择的NAS安全算法和NAS完整性保护算法的ID,以实现后续MME和UE之间的NAS安全对接。 [0225] 步骤313、UE根据eNB发送的NAS安全模式命令计算出NAS安全算法密钥和NAS完整性保护算法密钥,到此NAS安全建立完成。 [0226] UE向eNB发送NAS安全模式完成信令,该信令使用UE算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护;eNB将给信令转发MME。 [0227] 实施例2描述的是一个流程,进一步的,步骤303中eNB收到的鉴权与安全控制信息中的鉴权信息和NAS安全建立信息一直有效,可以用于多次对对应的预选UE进行鉴权和NAS安全建立,MME可周期性从HSS获取更新的鉴权信息和NAS安全建立信息,以对eNB保存的鉴权信息和NAS安全建立信息进行更新,可进一步提高安全性。 [0228] 实施例3 [0229] 实施例3采用和实施例2相同的流程,其区别之处是: [0230] 实施例2中,步骤303中eNB收到的鉴权与安全控制信息中的鉴权信息和NAS安全建立信息可以一直有效,直到被MME更新或者取消授权。 [0231] 实施例3中,步骤303中eNB收到的鉴权与安全控制信息中的鉴权信息和NAS安全建立信息仅有效一次,在预选UE的下一次鉴权开始前,MME提前从HSS获取该UE的中间鉴权向量,MME更新对NAS加密和完整性保护算法的选择,以构成新的鉴权与NAS安全建立信息发送给eNB;eNB在UE的下一次鉴权中使用该更新过的鉴权信息与NAS安全建立信息对UE鉴权和建立NAS安全。 [0232] 相对于实施例2,实施例3具有相同的延时降低性能,虽然增加了信令开销,但提高了安全性。 [0233] 实施例4. [0234] 以3GPP EPC架构结合LTE接入网为例,与之前实施例不同的是,eNB没有秘钥派生函数KDF,不具备秘钥生成能力。如图3所示,包括以下步骤: [0235] 步骤401、统计符合授权条件的eNB以及预选UE,可行的统计方法和规则可参考实施例1,这里不再重复; [0236] 步骤402、MME向HSS索要符合条件的预选UE对应的HSS内的鉴权信息,具体包括:目标UE对应的中间鉴权向量;HSS将所述鉴权信息发送给MME; [0237] 步骤403、MME提前生成NAS安全密钥和NAS完整性保护密钥,MME用生成的NAS安全密钥和NAS完整性保护密钥来生成NAS安全模式命令,NAS安全模式命令的格式内容与现有LTE协议定义的相同。 [0238] 步骤404、MME向符合授权条件的eNB发送鉴权与安全控制信息,其中包括: [0239] eNB可以执行对用户设备的鉴权的授权许可; [0240] eNB可以执行对用户设备的NAS安全建立的授权许可; [0241] eNB可以执行对用户设备的鉴权的授权时间范围;该项信息是可选项,用于当MME统计过所述eNB的活跃时间后,可根据其活跃时间来配置授权时间范围; [0242] eNB可以执行对用户设备的NAS安全建立的授权时间范围; [0243] eNB可以执行鉴权或者NAS安全建立的预选用户设备信息;该信息用于eNB识别哪些UE是预选用户设备; [0244] eNB用于执行鉴权的预选用户设备所对应的鉴权信息,包括MME获取的预选UE对应的中间鉴权向量AUTN(Authentication Token,鉴权令牌)、RAND(Random Number,鉴权随机数)以及XRES(Expected Response,预期回应); [0245] eNB用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息,所述NAS安全建立信息即MME之前生成的NAS安全模式命令; [0246] eNB根据上述信息确定自己可对所述UE执行鉴权或NAS安全建立。 [0247] 步骤405、当预选UE在某个被授权的eNB范围内发起附着过程,或者RRC连接过程;UE根据之前MME告知的被授权eNB列表可知,在这类eNB范围内可向eNB发起鉴权或NAS安全建立; [0248] 步骤406、预选UE向eNB发起附着请求,可选的,eNB将该附着请求同时转发给MME,让MME了解到所述UE的附着动作 [0249] 步骤407、eNB向UE发送鉴权要求,内含中间鉴权向量; [0250] 步骤408、UE按照现有协议方式,根据收到的中间鉴权向量以及自身的固定密钥,生成鉴权值以及中间密钥; [0251] 步骤409、UE反馈鉴权响应给eNB,内含鉴权值; [0252] 步骤410、eNB对比中间鉴权向量和UE反馈的鉴权响应内容,若符合LTE协议规定的鉴权对照关系,则鉴权成功,否则鉴权失败; [0253] 步骤411、eNB将鉴权结果发送给MME,若鉴权成功,则eNB继续执行NAS安全建立,若鉴权失败,则MME可以拒绝该UE的附着,也可以由MME重新对该UE进行鉴权(即按照现有LTE协议的鉴权方式,不通过授权的eNB); [0254] 步骤412、eNB执行和所述UE的NAS安全建立,eNB将MME发送NAS安全模式命令发送给UE;该命令的内容定义和现有LTE协议的NAS安全模式命令相同; [0255] 步骤413、UE根据eNB发送的NAS安全模式命令计算出NAS安全算法密钥和NAS完整性保护算法密钥,到此NAS安全建立完成。UE向eNB发送NAS安全模式完成信令,该信令使用UE算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护;eNB将给信令转发MME。 [0256] 相对于之前的实施例1,2,3,实施例4取消了eNB的鉴权向量生成能力和密钥生成能力,具有相同的延时降低性能,进一步提高了安全性。 [0257] 以上所有实施例中,MME可通过鉴权与安全控制信息随时更新各个eNB的预选UE名单,也可以随时取消某个eNB的鉴权授权许可或NAS安全建立授权许可;通常这种更新行为和取消授权行为需基于对eNB和预选UE的统计结果的判断。 [0258] 在以上所有实施例中,接入网网元的类型除了eNB之外,也包括smallcell,家庭基站,以及兼容EPC架构的其他接入网网元类型。 [0259] 图4为本发明实施例的核心网的示意图,如图4所示,本实施例的核心网包括: [0260] 发送模块,可用于发送鉴权与安全控制信息给接入网网元,指示所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。 [0261] 其中,所述鉴权与安全控制信息包括下述之一或多项的组合: [0262] 接入网网元可执行对用户设备的鉴权的授权许可; [0263] 接入网网元可执行对用户设备的NAS安全建立的授权许可; [0264] 接入网网元可执行对用户设备的鉴权的授权时间范围; [0265] 接入网网元可执行对用户设备的NAS安全建立的授权时间范围; [0266] 接入网网元可执行鉴权或者NAS安全建立的预选用户设备信息; [0267] 接入网网元用于执行鉴权的预选用户设备所对应的鉴权信息; [0268] 接入网网元用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息,所述NAS安全建立信息包括对NAS加密算法和NAS完整性保护算法的选择信息,或者包括授权eNB对NAS加密算法和NAS完整性保护算法进行选择的许可,或者所述NAS安全建立信息只包含NAS安全模式命令。 [0269] 统计模块,可用于对各个接入网网元内的用户设备的驻留时间以及用户设备进入各个接入网网元的频率进行统计;或者接收各个接入网网元自行统计自己范围内的用户设备的驻留时间以及进入自己覆盖范围的用户设备的进入频率的统计结果;或者接收各个用户设备统计自己驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率的统计结果; [0270] 确定模块,可用于根据所述统计结果以至少满足以下一个条件来确定可授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程:有用户设备驻留在所述接入网网元范围的时间超过第一预设门限,所述时间为连续的驻留时间或累积的驻留时间;同一用户设备进入所述接入网网元范围的频率超过第二预设门限,所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限,所述时间为连续的驻留时间或累积的驻留时间,或者进入所述接入网网元范围的频率超过所述第二预设门限。 [0271] 在一优选实施例中,所述核心网还可以包括: [0272] 接收模块,可用于接收到所述接入网网元或用户设备上报的所述接入网网元的标识信息,所述接入网网元满足以下至少一个条件:有用户设备驻留在所述接入网网元范围的时间超过第一预设门限,所述时间为连续的驻留时间或累积的驻留时间;同一用户设备进入所述接入网网元范围的频率超过第二预设门限,所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限,所述时间为连续的驻留时间或累积的驻留时间,或者进入所述接入网网元范围的频率超过所述第二预设门限。 [0273] 在一优选实施例中,所述核心网还可以包括: [0274] 获取模块,可用于从归属用户服务器获取所述预选用户设备对应的固定鉴权秘钥、永久秘钥或中间鉴权向量,作为鉴权信息。 [0275] 在一优选实施例中,所述核心网还可以包括: [0276] 接收模块,可用于接收所述接入网网元完成的鉴权或者NAS安全建立的所述用户设备所对应的鉴权上下文信息或NAS安全建立的上下文信息,所述鉴权上下文信息包括所述用户设备鉴权是否成功的信息和所述用户设备上报的鉴权响应所包含的鉴权值,所述NAS安全建立的上下文信息包括:所述用户设备上报的NAS安全模式完成信息或者NAS安全模式拒绝信息。 [0277] 在一优选实施例中,所述核心网还可以包括: [0278] 处理模块,可用于在所述接入网网元完成对用户设备的鉴权或者NAS安全建立过程后,通过NAS消息对已完成鉴权或者NAS安全建立的用户设备进行再次鉴权或再次NAS安全重建。 [0279] 在一优选实施例中,所述核心网还可以包括: [0280] 发送模块,可用于确定授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程后,将支持鉴权或者NAS安全建立过程的接入网网元的列表发送给所述预选用户设备。 [0281] 图5为本发明实施例的接入网网元的示意图,如图5所示,本实施例的接入网网元包括: [0282] 接收模块,用于接入网网元接收鉴权与安全控制信息; [0283] 执行模块,用于根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。 [0284] 在一优选实施例中,所述接入网网元还可以包括: [0285] 统计模块,可用于统计本接入网网元范围内的用户设备的驻留时间以及进入本接入网网元覆盖范围的用户设备的进入频率,若有用户设备的驻留时间超过第一预设门限,所述驻留时间为连续的驻留时间或累计的驻留时间,和/或,若同一用户设备进入本接入网网元覆盖范围的频率超过第二预设门限,则上报统计结果和/或本接入网网元的标识。 [0286] 在一优选实施例中,所述接入网网元还可以包括: [0287] 发送模块,可用于通过广播消息或者专用信令将可授权的接入网网元的标识发送给所述预选用户设备。 [0288] 在一优选实施例中,所述执行模块,根据所述鉴权与安全控制信息执行对预选用户设备的鉴权可以包括:所述接入网网元根据所述鉴权与安全控制信息生成鉴权向量;向所述预选用户设备发送鉴权要求,携带所述鉴权向量;接收所述预选用户设备反馈的鉴权响应,根据所述鉴权向量和所述鉴权响应进行鉴权。 [0289] 在一优选实施例中,所述执行模块,根据所述鉴权与安全控制信息生成鉴权向量可以包括:根据所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的固定密钥或者永久密钥,生成对应的中间鉴权向量;或者接收所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的中间鉴权向量。 [0290] 在一优选实施例中,所述执行模块,根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程可以包括:选择NAS安全算法和NAS完整性保护算法,并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥;或者接收NAS安全算法和NAS完整性保护算法,并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥。 [0291] 在一优选实施例中,所述执行模块,根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程还可以包括:根据所述NAS安全密钥和NAS完整性保护密钥构造NAS安全模式命令,发送所述NAS安全模式命令给所述预选用户设备;接收所述预选用户设备反馈的NAS安全模式完成信令。 [0292] 在一优选实施例中,所述执行模块,根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程之后,可以包括:上报NAS安全建立的上下文信息,所述NAS安全建立的上下文信息中包含:所述接入网网元生成的NAS安全密钥和NAS完整性保护密钥,所述接入网网元选择的NAS安全算法和NAS完整性保护算法的标识。 [0293] 图6为本发明实施例的用户设备的示意图,如图6所示,本实施例的用户设备包括: [0294] 处理模块,可用于当用户设备需要和网络侧完成鉴权或NAS建立安全过程时,与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程。 [0295] 在一优选实施例中,所述用户设备还可以包括: [0296] 统计模块,可用于统计其驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率,若发现其驻留在一接入网网元范围的时间超过第一预设门限或者其进入一接入网网元范围的频率超过第二预设门限,则将该接收网网元的标识或对应的统计结果上报给核心网。 [0297] 在一优选实施例中,所述用户设备还可以包括: [0298] 接收模块,可用于接收支持鉴权或者NAS安全建立的接入网网元的列表。 [0299] 在一优选实施例中,所述用户设备还可以包括: [0300] 发送模块,可用于向接入网网元发送NAS安全模式完成信令,所述NAS安全模式完成信令使用所述用户设备算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护。 |
||||||
