用户装备移动期间的LTE网络呼叫关联 |
|||||||
| 申请号 | CN201110432560.0 | 申请日 | 2011-12-21 | 公开(公告)号 | CN102724664A | 公开(公告)日 | 2012-10-10 |
| 申请人 | 特克特朗尼克公司; | 发明人 | A.博瓦; V.贾纳基拉曼; | ||||
| 摘要 | 本 发明 涉及用户装备移动期间的LTE网络呼叫关联。一种网络监视系统使用被动探测器从LTE/SAE网络 接口 捕捉数据分组。该监视系统在S1-MME接口上识别与第一用户相关联的上下文数据。针对第一用户装备推导下一跳参数,诸如下一跳密钥和/或下一跳链式计数器。监视系统创建由下一跳参数构成的第一用户的第一上下文条目。监视系统还在第二S1-MME接口上识别与第二用户相关联的第二上下文数据。也针对第二上下文数据识别下一跳参数。第二上下文下一跳参数与第一上下文下一跳参数进行比较。如果它们匹配,则即使在移动的情况下也可以 跟踪 用户,绑定它在两个支路上的活动并检索待用于解密的安全参数。 | ||||||
| 权利要求 | 1. 一种方法,包括: |
||||||
| 说明书全文 | 用户装备移动期间的LTE网络呼叫关联技术领域[0001] 实施例一般地涉及监视LTE网络上的数据分组,且更具体地讲,涉及在用户装备移交(handover)期间解密(decipher)捕捉的数据分组。 背景技术[0002] 在长期演进(LTE)网络中,用户装备(UE)与增强节点B(eNodeB)网络实体通信。eNodeB由移动性管理实体(MME)控制。当UE附接到LTE网络时,UE和关联的MME经历认证和密钥协商(Authentication and Key Agreement,AKA)过程,该过程使UE和网络彼此认证。AKA过程还产生用于对UE和网络之间的业务加密的密钥(key)。当AKA过程完成时,UE和网络之间交换的多数消息业务在传输之前被加密。加密的业务不能被读取,除非接收方具有发送方用于对消息加密的密钥。 [0003] 当在eNodeB之间发生UE移交时,出现另外的问题。当UE移交到另一eNodeB时,能够使用解密附接到第一eNodeB的UE的消息所需的密钥。然而,当发生基于S1或基于X2的移交时,网络监视装备不能看见UE移交的新AKA过程。因此,监视系统必须识别移交的UE的正确的安全上下文(context)以通过新eNodeB解密业务。由于技术的不同,在LTE/SAE网络上不能使用3G网络上为了监视目的可用于密钥的关联的算法。LTE网络结构完全不同于3G网络,包括不同接口和不同类型的数据。因此,已经适当用于其它网络的算法不能用于解决跟踪用于移交的密钥的问题。发明内容 [0004] 网络运营商可使用从网络接口捕捉分组数据单元(PDU)并分析之的监视装备监视LTE网络。这些PDU可以关联以在每个用户的基础上创建会话记录。然而,如果PDU被加密,则它们不能被容易地关联。监视装备必须具有正确密钥以解密PDU。UE附接到网络并与网络建立加密密钥。监视系统必须在UE附接时捕捉加密密钥或用于产生加密密钥的信息,否则它将会无法解密与UE关联的消息。 [0005] 对于UE从一个eNodeB移交到另一eNodeB的UE移动,MME具有UE的加密密钥并知道哪个eNodeB将会是移交的目标。网络监视系统能够最初从朝着源eNodeB的S1-MME接口上的AKA过程获得解密业务所需的密钥。然而,在移交期间,MME将会把移交请求消息发送给目标eNodeB,但这个消息不具体识别UE或者提供用于链接不同eNodeB之间的呼叫支路(leg)的明显机制。监视系统能够观测到移交已发生,但不能确定涉及哪个UE。在移交之后,UE将会使用已有安全上下文与新eNodeB通信。当UE附接到目标eNodeB时,通常它不会启动新的AKA过程,因此监视装备将会无法捕捉移交之后解密业务所需的密钥。 [0006] 为了链接移交前后的呼叫支路,监视装备能够使用在移交请求消息中发送的下一跳(NH)密钥参数。这个密钥在网络中具有“前向安全性(forward security)”的作用,并且由具有链式推导(chaining derivation)的MME从KASME和KeNB密钥开始推导这个密钥。监视装备具有移交之前的UE的KASME(密钥访问安全性管理条目)和KeNB(eNodeB密钥)。使用这些密钥,它能够计算下一跳链式计数器(NCC)以及NH值。监视系统能够存储NH和NCC值并且将会使用它们针对不同eNodeB把呼叫支路链接在一起。 附图说明 [0007] 在这样对本发明进行了概括描述之后,现在将参考附图,其中:图1是表示LTE(长期演进)和SAE(系统架构演进)网络架构的方框图; 图2表示下一跳(NH)密钥推导机制; 图3表示MME内移动,其中UE从源eNodeB移交到将基于S1的信令用于同一MME的目标eNodeB; 图4表示上下文跟踪表,其包括由监视系统检测的多个当前安全上下文的UE上下文信息;以及 图5表示针对基于X2的移交在X2和S1接口上交换的消息。 具体实施方式[0008] 现在将在下文中参考附图对本发明进行更为全面的描述。然而,本发明可以以许多不同的形式来实现,并且不应当被理解为局限于这里所给出的实施例。相反,提供这些实施例以使得本公开将是全面和完整的,并且将完全向本领域技术人员表达了本发明的范围。本领域技术人员能够使用本发明的各个实施例。 [0009] 图1是图示LTE(长期演进)/SAE(系统架构演进)网络架构的框图。LTE/SAE网络技术表示用于提供高速率的基于IP的服务的移动网络演进。负责规定被称作第三代合作伙伴计划(3GPP)的移动标准的标准化实体已经定义了移动电信系统的标准,包括无线电接入和核心网络演进。该标准被命名为演进分组系统(EPS),并且其规定了UTRAN接入网络的演进-演进UTRAN(eUTRAN)101-以及核心网络的同时演进-演进分组核心(EPC)102。LTE和SAE分别是eUTRAN 101和EPC 102的常用同义词。 [0010] 所述网络包括多种不同类型的网络节点和接口。所述节点例如包括增强型NodeB(eNodeB或eNb)103、移动性管理实体(MME)104、归属订户服务(HSS)105、服务网关(S-GW)106和分组数据网络网关(PDN-GW)107。EPC域中的节点之间的接口通常被命名为“S#”。 (eNodeB之间的)“X2”接口和“Uu”接口(eNodeB 103和用户设备108之间的空中接口)处于eUTRAN域中。 [0011] EPS技术的目标是明显提升用户可用的带宽,并且同时改进无线电连接的服务质量(QoS)。 [0012] 以下节点在eUTRAN域中运行。用户装备(UE)108是端到端服务的订户端点。UE108通过Uu接口与无线电路径上的eNodeB 103进行通信。eNodeB(103)管理到UE 108的无线电路径并且主控物理无线电建立、无线电链路控制和介质访问控制功能。eNodeB 103还对针对无线电路径的数据进行加密和解密,并且处理无线电资源接纳和管理。 [0013] 以下节点在EPC域中运行。MME 104是负责管理往来于UE 108的非接入层(NAS)控制面消息的节点。此外,MME 104在为用户面业务选择S-GW 106、协调LTE/SAE中的移交并且建立到HSS 105的用于认证和安全过程的必要连接中起作用。MME 104还协调到UE108的承载分配。HSS 105具有与3G HLR(归属位置寄存器)类似的作用。HSS 105保存订户简档和签约数据、订户标识符(例如,国际移动用户标识(IMSI)和移动用户综合服务数字网络号(MSISDN)),以及订户认证和安全数据。HSS 105是来自MME 104的UE 108位置更新过程的端点。S-GW 106是来自eNodeB节点103的用户面连接的端点。在eNodeB 103之间的UE移交的情况下S-GW 106是用户面连接的锚点。PDN-GW(107)是在EPC与诸如互联网115的外部PDN网络之间提供接口的网络节点。 [0014] LTE/SAE网络经常与已有3G网络(诸如,UTRAN(通用地面无线电接入网络)和GERAN(GSM EDGE无线电接入网络)网络109)的节点对接。服务GPRS支持节点(SGSN) 110在S-GW或MME选择中起作用,并在URTAN/GERAN 109和eUTRAN 101之间的RAT(无线电接入技术)间移交的情况下与MME 104协调以执行移交协调。无线电网络控制器(RNC) 111也提供到3G UTRAN网络109的接口。在移交到UTRAN 109/从UTRAN 109移交和“直接隧道”架构的情况下,RNC 111可以是通向/来自S-GW 106的数据连接的端点。 [0015] 在诸如LTE/SAE网络的复杂系统中,测量网络性能、定位网络运营故障和控制网络服务行为的任务对于网络运营商会变得非常困难。诸如新网络技术的引入和部署的网络演进在网络测量、故障定位和控制中导致了额外的不稳定性和进一步的问题。为了执行这些任务,网络运营商通常使用外部监视系统。典型地,这些监视系统以非侵入式模式连接到网络,这允许它们嗅探来自网络接口的数据,处理所述数据并且提供帮助网络运营商管理其网络的测量和报告。典型地,所述监视系统需要对UE的活动进行跟踪以便提供订户所使用服务的详细分析并且处于故障定位和优化的目的收集与网络行为相关的信息。 [0016] 监视系统112可以耦合到LTE/SAE网络中的链接以被动(passively)监视和收集来自网络中一个或多个接口的信令数据。监视系统112可从EPC和eUTRAN接口(包括例如具有MME 104作为端点的S1-MME、S6a、s10和s11接口以及具有eNodeB 103作为端点的S1-MME和X2接口)收集用户平面和控制平面数据。将要理解的是,网络中的一些或全部其它接口或链接也可以被监视系统112所监视。在一个实施例中,监视系统112可以包括运行一个或多个软件应用的一个或多个处理器,所述软件应用收集、关联和分析来自eUTRAN101和EPC 102的数据分组和协议数据单元(PDU)。 [0017] 监视系统112可以结合协议分析器、会话分析器和/或业务分析器功能,其通过经由网络上的链接、节点、应用和服务器表征IP业务来提供OSI(开放系统互连)第2层至第7层的故障定位。这样的功能例如由来自Tektronix Incorporated的GeoProbe G10平台(包括Iris Analyzer Toolset应用和SpIprobes)所提供。虽然在图1中图示了单个监视系统探测器,但是将要理解的是,这是出于简明的缘故并且任意数量的互连的监视系统探测器可以耦合到LTE/SAE网络内的一个或多个接口。单个监视探测器可以捕捉来自特定接口的数据,或者两个或更多探测器可以耦合到一个接口。 [0018] 监视系统112可以经由分组捕捉设备耦合到网络接口,所述分组捕捉设备诸如被优化以处理高带宽IP业务的高速、高密度的探测器。监视系统112被动捕捉来自接口的消息业务而并不中断网络的运营。服务提供商或网络运营商可以经由用户接口站点113访问来自监视系统112的数据。监视系统112可以进一步包括内部或外部存储器112以用于存储所捕捉的数据分组、用户会话数据、呼叫记录配置信息和软件应用指令。监视系统112可以捕捉并关联与网络接口上的特定数据会话相关联的分组。在一个实施例中,相关分组可以使用5元(tuple)关联机制进行关联。该5元关联过程使用由5个部分所组成的IP关联密钥,该5个部分即服务器IP地址、客户端IP地址、源端口、目的地端口和第4层协议(TCP或UDP或SCTP)。相关分组可以被结合到网络上的特定流、会话或呼叫的记录中。 [0019] 在可替换实施例中,监视系统112例如可以是活动(active)组件,诸如存在于EPC节点上(诸如MME 104上)的软件代理,并且其捕捉进出节点的数据分组。 [0020] 监视移动网络的基本问题之一是跟踪移动期间的用户活动。具体地讲,在LTE/SAE网络中,需要遵循两种不同的移交情况。第一,监视系统必须检测基于S1的移交,其中UE在MME的协调下从源eNodeB移动到目标eNodeB。第二,监视系统必须检测基于X2的移交,其中直接由eNodeB对(源节点和目标节点)执行移动,该eNodeB对仅向MME通知移交过程的成功完成。 [0021] 通常使用特定安全密钥和安全材料对UE和MME之间的NAS业务加密。由于作为嗅探业务的“中间人”布置的非侵入式监视系统112的性质,在移交期间能够关联正确的安全密钥和材料并非不重要的任务。监视系统112的实施例在基于S1或基于X2的移交的情况下关联并检索正确的安全材料。这种关联允许监视系统在特定移交方案期间正确地绑定连接的源和目标路径。例如,当特定UE附接到第一eNodeB(第一支路)时,监视系统将会产生该UE的第一呼叫记录。如果该UE随后移交到新eNodeB,则监视系统必须识别第二新eNodeB上的UE的新呼叫记录并把新呼叫记录(第二支路)与第一呼叫记录组合。因为第一和第二支路上的业务被加密,所以这可能很困难,且监视系统必须在没有受益于捕捉新AKA过程中的密钥的情况下确定使用哪些密钥解密第二支路上的业务。 [0022] 通过监视S1-MME接口(eNodeB和MME之间)和S6a接口(MME和HSS之间),本文公开的监视系统允许跟踪待在非接入层(NAS)或分组数据汇聚协议(PDCP)上应用的安全密钥。换句话说,仅需要监视S1-MME和S6a接口以便在基于S1和基于X2的移交中关联安全密钥。因此,对于这项功能而言监视S10、S3或X2接口不是强制性的,这简化了监视探测器的部署但仍然允许UE移动期间的呼叫关联功能。 [0023] 移交UE的监视中所涉及的基本原理在于在移交的源侧(第一支路)识别为下一跳(NH)密钥的安全密钥的预计算。使用KeNB密钥计算NH密钥,并且当在目标侧看见NH时把NH密钥与移交的目标侧(第二支路)关联。监视系统还能够在称为“移交链”的方案中跟踪UE,在“移交链”中,目标侧执行至另一eNodeB等等的第二移交。 [0024] LTE安全且具体地讲NAS安全的一般概念(诸如,原始或映射安全上下文)对于本领域普通技术人员而言是已知的。例如,在由第三代合作伙伴计划(3GPP)提出的技术规范中阐述了安全架构(包括安全特征和安全机制)以及在EPC和eUTRAN内执行的安全过程。感兴趣的一个技术规范命名为“Digital cellular telecommunications system (Phase 2+); Universal Mobile Telecommunications System (UMTS); LTE; 3GPP System Architecture Evolution (SAE); Security architecture (3GPP TS 33.401 version9.5.0 Release 9)”,日期为2010年10月(以下,称为“TS 33.401”),其全部内容包含于此以资参考。 [0025] 图2表示下一跳(NH)密钥推导机制。MME从基本KASME密钥201推导KeNB密钥。KeNB密钥随后用于Uu接口上的CP/UP的安全。用于推导KeNB的算法在TS 33.401中描述于附录A.1和A.3。从KeNB或者在链式推导中从先前推导的NH密钥(例如,204a)获得NH密钥204,如TS 33.401的附录A.4中所述。NH密钥204用于确保“前向安全性”。结果,eNodeB不能预测在UE移交之后将会由另一eNodeB使用的密钥。当存在移交时,通过当前KeNB或者通过NH密钥204a能够获得UE和新eNodeB之间使用的KeNB* 203。 [0026] 如图2中所示,从KASME 201推导KeNB (initial)密钥202。能够从先前KeNB推导随后的KeNB* 密钥203。这称为“水平密钥推导”并在eNodeB内移交期间使用。利用关联的下一跳链式计数器(NCC)值=1(205)在第一阶段从KASME 密钥201和KeNB (initial) 202推导NH密钥204。在随后的迭代中,再次从KASME 密钥201和先前可用NH密钥204推导NH密钥204a。 每个NH密钥具有关联的NCC值206。 [0027] NCC(下一跳链式计数器)值=0(207)对应于与KeNB initial密钥202关联的“虚拟”NH密钥。当从NH值204a推导KeNBactive 密钥208时,该过程称为“垂直密钥推导”。根据NH值的KeNB*密钥推导能够根据NCC=2或更大值而执行。因此,针对NCC=1(205)的NH 204从不用于KeNB推导。此“垂直密钥推导”过程由监视系统用于在eNodeB间移交(基于S1或基于X2的移交)期间链接不同的呼叫支路。 [0028] NH密钥能够计算为:(如TS 33.401的附录A.4中所述)其中HMAC-SHA-256是密钥散列(keyed-hash)消息认证码算法,KASME密钥为256位长,并且S参数是如下定义的位串: 且其中: FC = 0x12; PO = SYNCH-input,其根据NCC值为KeNB或先前推导的NH密钥; LO = SYNCH-input的长度(即,0x00 0x20);并且 || = 位级联运算符。 [0029] 图3表示MME内移动,其中UE从源eNodeB 31移交到将基于S1的信令用于同一MME 33的目标eNodeB 32。当例如在源eNodeB 31和目标eNodeB 32之间没有X2接口时,源eNodeB 31决定触发基于S1的移交。源eNodeB 31经S1-MME接口发送需要移交(Handover Required)消息(301)。 [0030] 在图3中表示的移交过程之前,UE(未示出)已附接到源eNodeB 31。经eNodeB31的UE和MME 33之间的业务被使用认证和密钥协商(AKA)过程期间获得的密钥加密。网络监视系统从AKA过程获得与UE关联的KASME。监视系统还从S1-AP初始上下文建立(S1-AP Initial Context Setup)请求或S1-AP UE上下文修改过程获得与UE关联的KeNB密钥。一旦获得KeNB密钥,监视系统预先计算针对NCC=2的NH并使用NH值对UE的所有安全上下文信息编索引(编索引)。监视系统保持已在网络中使用的UE上下文的库。UE上下文库存储使用的每个UE上下文的KASME、NCC和NH参数。 [0031] MME 33与目标eNodeB 32交换移交请求(Handover Request) (302)和移交请求确认(Handover Request Ack) (303)消息以为新eNodeB提供UE的安全上下文信息。移交请求消息(302)包括包含安全相关信息(诸如NCC和NH值)的安全上下文参数。NCC和NH值由监视系统使用以查询UE上下文库从而获取已由UE使用的KASME。因此,NH密钥由监视系统使用以在S1移交期间绑定源和目标S1-MME路径(第一和第二支路)。 [0032] 目标eNodeB可决定把UE移交到另一(第三) eNodeB。对于这种移交链,监视系统能够把多个支路链接在一起。监视系统预先计算与将会用于安全上下文的下一NCC对应的下一NH值,且然后使用新NH值对安全上下文编索引。当目标侧eNodeB决定把UE移交到另一eNodeB时,新NH值将会在新的(第三) eNodeB 移交请求消息中被检测到并且能够用于链接不同eNodeB之间的支路。当存在至第四、第五eNodeB等等的随后移交时,这个过程能够随后继续进行。 [0033] 表1列出了用于为UE以及为UE的移交建立安全上下文的消息。 [0034] 表1。 [0035] NH参数是32字节值并且应该在MME之间提供强唯一性以用作监视系统的索引。两个不同UE之间的NH值冲突的可能性很小。然而,如果两个NH值碰巧冲突,则这将会导致不同移交呼叫支路的错误关联。 [0036] MME 33把移交命令(Handover Command)消息(304)发送给源eNodeB 31以向它通知已在目标侧准备移交的所需资源。监视系统在S1-MME接口上捕捉消息304并使用S1 AP标识符把它关联到UE。当UE附接到目标eNodeB 32时,目标eNodeB 32发送移交通知(Handover Notify)消息(305)。监视系统在到目标eNodeB的S1-MME接口上捕捉消息305并使用S1 AP标识符把它关联到UE。在移交完成并且目标eNodeB 具有解密来自UE的业务所需的所有需要的安全信息之后,源eNodeB 31和MME 33完成UE上下文释放过程306。 [0037] 监视系统能够使用“目标 MME UE S1AP ID”和“目标 eNB UE S1 AP ID”参数识别将会在目标eNodeB和MME之间使用的UE上下文。参照图4,呼叫支路1(407)上的当前安全上下文包括与已知安全信息(诸如,KASME(403)和推导的KeNB(404)、NCC(405)和NH(406)值)关联的源“eNB UE S1 AP ID”(401)和“MME UE S1 AP ID”(402)参数。且呼叫支路2(408)包括由监视系统检测的安全上下文的UE上下文信息。从移交请求消息302捕捉“目标 MME UE S1 AP ID”(409)参数。从移交请求消息302中的安全上下文参数捕捉NCC和NH值(410-411)。该信息(409-411)应用于呼叫支路2(408)上的当前安全上下文。从移交请求确认消息303捕捉目标 eNB UE S1 AP ID (412)数据。 [0038] 因为支路1(407)和支路2(408)的NH密钥和NCC值不匹配,所以监视系统知道这些支路不应用于相同的安全上下文,且因此,它们可能不对应于同一UE。因此,监视系统将不会链接支路1(407)和支路2(408)。监视系统将会从诸如支路3(413)中显示的其它需要移交(301)消息捕捉另外的UE上下文信息。支路3(413)的NCC值和NH密钥不与UE上下文表400中的其它条目匹配,且因此监视系统将不会链接这些条目。 [0039] 最后,监视系统将会从其它移交请求和移交请求确认消息捕捉支路4(414)的数据。在示出的例子中,支路4(414)包括与支路1(407)的条目匹配的NCC和NH密钥值。监视系统将会认识到这种匹配并且将会知道链接支路1(407)和支路4(414)的呼叫记录和安全上下文信息。另外,监视系统现在知道支路1(407)的KASME(403)和推导的KeNB(404)应该用于解密与支路4(414)关联的业务。以这种方法,当UE在不同eNodeB之间移交时,监视系统可使用NH密钥和NCC参数链接UE的不同支路。 [0040] 在源eNodeB和目标eNodeB由不同MME服务的MME间移动的情况下,如果监视系统除S1-MME接口之外还在监视MME之间的S10接口(图1),则监视系统仍将能够捕捉NH和NCC值。对于以与从S1-MME接口捕捉消息所用的方式相同的方式在S10接口上捕捉的消息,监视系统可把条目添加到UE上下文跟踪表(诸如,表400)。然而,如果源eNodeB和目标eNodeB都由同一监视系统监视,则不需要监视S10接口。 [0041] 在本发明的其它实施例中,监视系统还能够在eNodeB间移动的情况下在X2接口上检测源eNodeB和目标eNodeB之间协调的移交。图5表示针对X2移交在X2和S1接口上交换的消息。 [0042] X2移交过程用于把UE的已有eUTRAN无线电接入承载(E-RAB)切换到新的目标eNodeB。这个移动方案称为“基于X2的移动”,因为在建立移交时涉及到X2接口。源eNodeB51经X2接口把移交请求消息501发送给目标eNodeB 52。目标eNodeB 52在移交请求确认消息502中确认移交请求。 [0043] 目标eNodeB 52随后把具有需要切换到目标eNodeB 52的每个E-RAB的列表的路径切换请求(Path Switch Request)消息503发送给MME 53。路径切换请求消息503包括用于已有安全上下文的“源 MME UE S1 AP ID”的值。MME 53把路径切换请求确认(Path Switch Request Acknowledge)消息504发送回给目标eNodeB 52。当接收到消息504时,目标eNodeB 52具有用于在移交之后继续解密UE的业务的所有需要的安全信息,且它把UE上下文释放(UE Context Release)消息505发送给源eNodeB 51。 [0044] 路径切换请求确认消息504包括表2中列出的参数。主要参数 目的 eNBUES1APID 用于S1信令连接的在目标eNodeB侧的信令连接标识符 MMEUES1APID 在MME侧的信令连接标识符 安全上下文 新的NH密钥和NCC值 [0045] 表2。 [0046] 路径切换请求确认消息(504)中的NH密钥和NCC参数能够用于链接目标eNodeB上的新支路与源eNodeB上的对应已有UE安全上下文。消息504中的“eNB UE S1 AP ID”和“MME UE S1 AP ID”能够用于为UE安全上下文信息识别新支路上的消息。 [0047] 监视系统应用如上述MME内/基于S1的移交中所使用的类似密钥跟踪机制。在移交之前,监视系统从AKA过程获得KASME并且从S1-AP初始上下文建立请求/S1-AP UE上下文修改过程获得KeNB。一旦获得KeNB,监视系统预先计算针对NCC=2的NH并使用NH对所有安全上下文信息编索引。 [0048] 从S1-MME路径切换请求确认消息504获得NH密钥,并且NH密钥由监视系统使用以在X2移交期间绑定源和目标S1-MME路径。为了处理移交链,监视系统预先计算与下一NCC对应的下一NH值并使用这个新NH值对安全上下文编索引。当目标eNodeB 52决定移交到新eNodeB时,这个新NH值将会由监视系统使用并检测。监视系统将会随后能够使用NH值链接另外的呼叫支路的记录。 [0049] 在监视UE的同时,监视系统将会考虑EPS移动性管理(EMM)和EPS连接管理(ECM)状态。存在两种EMM状态(EMM-注册(EMM-Registered)和EMM-注销(EMM-Deregistered))和两种ECM状态(ECM-空闲(ECM-IDLE)和ECM-连接(ECM-Connected))。EMM状态描述由移动性管理过程导致的UE状态。ECM状态描述UE是空闲还是连接。在EMM-注销状态下,MME中的EMM上下文未保存UE的有效位置或路由信息。UE通过对到eUTRAN的附接过程的成功注册而进入EMM-注册状态。在EMM-注册状态下,UE能够接收需要在EPS中注册的服务。在EMM-注册状态下,UE具有至少一个有效PDN连接并建立EPS安全上下文。 [0050] 当在UE和网络之间不存在NAS信令连接时,UE处于ECM-空闲状态。在ECM-空闲状态下在UE的eUTRAN中不存在UE上下文,因此不存在这个UE的S1-MME连接。在ECM-连接状态下,根据服务eNodeB的准确性,UE位置在MME中是已知的。对于处于ECM-连接状态的UE,在UE和MME之间存在信令连接。这里提到的信令连接由两部分构成:RRC连接和S1-MME连接。 [0051] 当UE转变为各种状态时,监视系统采取下面的动作。 [0052] 转变为EMM-注销状态EPS NAS Detach(EPS NAS分离)过程引起这种转变。删除映射安全上下文并且也删除NH/NCC。 [0053] 从ECM-连接转变为ECM-空闲删除NH/NCC。当从ECM-空闲转变回至ECM-连接时,则产生新的初始KeNb。 [0054] 从ECM-空闲转变为ECM-连接UE将会使用存储在USIM上的原始EPS NAS安全上下文。与这个原始安全上下文对应的eKSI索引将会由网络监视系统在S1-AP 初始 UE消息中监视。如果该上下文不是“当前”上下文,则MME将会触发NAS SMC过程以使它变为当前上下文。或者MME可决定执行新的NAS AKA和NAS SMC过程以改变它。 [0055] 在基于S1的移交MME间方案中,当源MME已成功执行NAS安全模式命令(SMC)过程(使用新的KASME)但还未成功执行UE上下文修改过程(使用从新的KASME推导的KeNb)时,MME既包括具有对应eKSI、NH和NCC的旧KASME又包括基于S10 转发重定位(FORWARD RELOCATION)消息中的新KASME的完全EPS NAS安全上下文。因此,源侧的网络监视系统必须在UE上下文修改过程中推导基于新KeNb的新NH值,并且删除旧NH密钥。在S10转发重定位消息中,如果设置了UE MM上下文中的OSCI位,则旧NH用于绑定到源S1侧。新KASME和eKSI存储为新EPS安全上下文并且将会用于解密NAS有效载荷。 [0056] 在以上方案中,将会存在载送初始KeNB的目标侧上的UE上下文修改过程。这与新KASME一起推导针对NCC=1的NH。然后,推导针对NCC=2的NH,并且删除旧NH。 [0057] 本领域技术人员将会想到本发明与之相关的、具有之前描述和相关附图所给出的教导的益处的本发明的许多修改和其它实施例。因此,所要理解的是,本发明并不局限于所公开的特定实施例。虽然这里采用了特定术语,但是他们仅以一般和描述的含义来使用而并非出于限制的目的。 |
||||||
QQ群二维码
意见反馈
意见反馈