专利名称:协议配置选项传输方法及系统、用户终端的利记博彩app
技术领域:
本发明涉及移动通讯技术领域,尤其涉及一种协议配置选项传^r方法及系统、用户会冬端。
技术背景系纟充架构演进(System Architecture Evolution,简一尔为SAE ) 为第三代合作伙伴计划(3rd Generation Partnership Project, 简称为 3GPP)的下一4戈移动无线网全各,在SAE系统中,移动管理实体 (Mobility Management Entity,简称为MME)和用户纟冬端(User Equipment,简一尔为UE)之间通过非4妻入层(Non-Access Stratum, 筒称为NAS)消息完成移动性管理、会话管理等功能。为了保证NAS消息的安全传输,增加NAS消息的安全功能, 在SAE系统中增加了 NAS消息的安全功能,即乂寸NAS消息进4亍加 密和完整性保护,其中,加密的目的是防止NAS消息被非法截获, 完整性保护的目的是防止NAS消息被篡改或;皮坏。MME和UE之 间的NAS安全关联是通过NAS安全模式控制过程(NAS Security Mode Command Procedure)建立的,NAS安全控制过禾呈主要包4舌 MME向UE发送NAS安全才莫式命令以及UE向NAS回应NAS安 全才莫式响应消息。协i义配置选项(Protocol Configure Option,简称为PCO )是UE 和外部分组翁:据网络(Packet Data Network ,简称为PDN )之间传递信息的协议配置参数或附加的参数信息,由于PCO中包含的某些 信息是机密性的,比如密码认证协议/握手认证协议(PAP/CHAP) 的用户名和密码信息等,因此带有机密信息的PCO必须进行安全性 保护。在UE接入网络之前,UE必须将PCO信息传输给MME,以 便MME进行鉴权等l喿作,目前,PCO的传递是在UE和MME之 间的NAS安全关耳关建立完成之后进4亍。图1示出了现有冲支术中NAS 安全的建立及PCO的传输过程流程图,如图1所示,包括以下处理步艰《S101 , UE向MME发送初始NAS消息,该NAS消息中 携带有UE的所有安全能力,并且,该消息中还携带了加密的PCO 传输标记以通知MME, PCO需要力卩密传送。步-骤S102, MME^妻收到上述初始NAS消息之后,通过该初始 NAS消息与UE进行鉴权和密钥协商过程。步骤S103, MME向UE发送NAS安全才莫式命令消息,该消息 中携带有选择的NAS安全算法、密钥组标识(Key Set Identifier, 简称为KSI)等信息,并且,该消息已进行完整性保护。MME在接收到UE的初始NAS消息后,选择NAS安全算法, 在后续向UE发送的NAS消息之前,首先对待发送的NAS消息进 行完整性保护,并且,MME在将NAS安全算法和KSI等信息携带 在NAS安全模式命令消息中发送给UE后,后续接收到的来自UE 的NAS消息为经过加密的NAS消息,因此,在发送出NAS安全才莫 式命令消息后,MME开始等待接收加密的NAS消息。步骤S104,UE接受上述NAS安全模式命令消息中携带的NAS 安全算法,并对该NAS安全模式命令消息进行完整性检查成功。UE获取MME发送来的NAS安全算法及KSI等信息后,开始 准备利用该NAS安全算法及KSI,对后续发送的消息进行加密和完 整性保护。步骤SI05, UE利用NAS安全算法和KSI等信息对NAS安全 模式进行加密和完整性保护后,将该NAS安全模式完成消息发送给 MME。步骤S106, MME解密该NAS安全才莫式完成消息,并对该消息 进4亍完整性;险查通过后,向UE发送PCO请求消息,该PCO请求 消息经过加密和完整性-隊护。MME冲妄收到UE发送的NAS安全才莫式完成消息后,知道UE 已经准备好接收加密的NAS消息,因此,开始准备对后续向UE发 送的NAS消息进行加密,因此,在MME向UE发送PCO请求消 息之前,MME先对该PCO请求消息进行加密和完整性保护。步骤S107,UE接收到PCO请求消息,进行解密和完整性检查, 在才企查通过后,向MME返回PCO响应消息,该响应消息中携带有 PCO信息,并且,该响应消息经过了加密和完整性保护。步备聚S108, MME解密该PCO响应消息,并只于该消息进4亍完整 性检查,检查通过后,MME获取PCO信息。步骤S109, MME继续UE接入处理,最后向UE发送经过加 密和完整性保护的NAS 4秦受消息。通过上述的流程可以看出,在现有技术中,由于需要保证PCO 信息的安全性,因而在NAS安全模式控制过程结束后,利用单独的 两条NAS消息——PCO请求消息和PCO请求响应消息,将UE的PCO信息传输到MME,这种方法增加了 UE和MME之间的^f言令 交互,从而造成UE接入网络的延迟,以及网络资源的浪费。发明内容有鉴于此,本发明一是供了一种协i义配置选项传输方法、装置和 系统,以解决现有技术中由于在NAS安全模式控制过程结束以后, 利用单独的两条NAS消息传输PCO ,从而造成UE接入网络的延迟,以及网络资源浪费的问题。才艮据本发明的一方面,才是供一种协i义配置选项传输方法。才艮据本发明的协议配置选项传丰俞方法包4舌用户终端4妻收到移 动管理实体发送的非接入层安全模式命令消息后,向该移动管理实 体发送非接入层安全模式完成消息,其中,该非接入层安全模式完 成消息中携带有协议配置选项;移动管理实体从接收到的4夂接入层 安全才莫式完成消息中获取协议配置选项。才艮据本发明的另一方面,提供一种用户终端,用于发送协议配 置选项。根据本发明的用户终端包括接收才莫块用于接收移动管理实体 发送的非接入层安全模式命令消息;发送模块用于向移动管理实体 发送非接入层安全模式完成消息,其中,该非接入层安全模式完成 消息中携带有协议配置选项。才艮据本发明的又一方面,才是供一种协议配置选项传llr系统。根据本发明的协议配置选项传输系统包括移动管理实体用于 向用户终端发送非接入层安全模式命令消息;用户终端用于在接收到移动管理实体的所述非接入层安全模式命令消息后,向移动管理 实体发送携带有协议配置选项的非接入层安全模式完成消息。通过本发明的上述至少一个方案,通过在UE向MME返回的 安全才莫式完成消息中携带PCO信息,可以减少UE与MME之间的 信令交互,减少了网络资源的浪费。本发明的其它特征和优点将在随后的说明书中阐述,并且,部 分地从说明书中变得显而易见,或者通过实施本发明而了解。本发 明的目的和其他/f尤点可通过在所写的i兌明书、4又利要求书、以及附 图中所特别指出的结构来实现和获得。
附图用来提供对本发明的进一步理解,并且构成说明书的一部 分,与本发明的实施例一起用于解释本发明,并不构成对本发明的 限制。在附图中图1为根据现有技术的NAS安全的建立及PCO的传输过程流 程图;图2为根据现有技术的SAE系统的架构图;图3为根据本发明实施例的PCO传输系统的结构框图;图4为根据本发明实施例的PCO传输方法的流程图;图5为本发明实施例一的实施流禾呈图;图6为本发明实施例二的实施流程图;图7为才艮据本发明实施例的用户终端的结构一匡图。
具体实施方式
功能4既述如上所述,目前,在NAS安全才莫式控制过程结束后,利用单独 的将UE的PCO信息传输到MME,这存在信令交互较多以及网络 资源浪费的问题。本发明针对目前PCO信息传l叙中存在的上述问 题,提出了一种PCO信息传输方案,该方案通过在UE向MME返 回的NAS安全才莫式完成消息中携带PCO信息,将PCO信息传输给 MME,其中,NAS安全才莫式完成消息是经过加密和完整性保护的。以下结合附图对本发明的优选实施例进行说明,应当理解,此 处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本 发明。为了便于理解,在对本发明实施例进行说明之前,首先对本发 明实施例涉及的SAE系统进4亍简要的描述。SAE系统的架构如图2所示,主要包含如下网元无线网络控制器(Radio Network Controller,无线网络控制器), 通过Iu接口与服务通用分组无线业务支撑节点(Serving General packet radio service support node, 简称为SGSN )连接。演进节点(Evolved NodeB,简称为E-NodeB),用于为终端接 入提供无线资源,通过S1-U接口与服务网关(Serving GW)连接, 并通过SI-MME与MME。归属用户月艮务器(Home Subscriber Server,筒称为HSS):用于 永久存储用户签约数据,其通过S6接口与MME连接,并通过Gr 接口与SGSN连接。分组邀:据网(Packet Data Network,简称为PDN ):用于为用户 提供业务,通过Gi接口与PDN GW ( PDN网关)连接,并通过Rx 接口与策略和计费规则功能实体(Policy and Charging Rule Functionality,简称为PCRF )连接,而PCRF通过S7接口与PDN GW连接。其中,网元月l务网关(Serving Gateway,简称为Serving GW或 S-GW)、分组凄史据网网关(Packet Data Network Gateway,简称为 PDN GW或P-GW )、策略和计费规则功能实体(Policy and Charging Rule Functionality,简称为PCRF )和MME构成了演进的分组冲亥'" 网(Evolved Packet Core,简称为E-Packet Core ),其可以减少延迟, 允许更多的无线接入系统接入。下面进一步对上述各网元进行描述。Serving GW是用户面实体,用于处理用户面数据路由、终结处 于空闲状态的UE的下行数据、管理和存储UE的SAE承载(bearer) 上下文,如IP承载业务参数和网络内部路由信息等。Serving GW 为3GPP系统内部用户面的锚点, 一个用户在一个时刻只能有一个 Serving GW,其通过S5接口与PDN GW连接,并通过Sll接口与 MME连接。PDN GW负责UE接入PDN的网关,分配用户IP;也址,同时 是3GPP和非3GPP接入系统的移动性锚点。用户在同一时刻能够 才妄入多个PDNGW。在物理上,Serving GW和PDN GW可能合一。PCRF主要用于根据业务信息和用户签约信息以及运营商的配 置信息,产生控制用户数据传递的服务质量(Quality of Service,简 称为QoS)规则以及计费规则。该功能实体也可以用于控制接入网中7 义载的建立和释》文。MME为控制面功能实体,用于临时存储用户数据的服务器, 负责管理和存储UE上下文(比如UE/用户标识,移动性管理状态, 用户安全参数等),为用户分配临时标识,当UE驻留在其跟踪区域 或者其所属网络时负责对该用户进行鉴4又。其通过S3 4妄口与SGSN 连接,并通过Sll接口与服务网关连接。才艮据本发明实施例,首先I是供了一种PCO传输系统,用于实现 PCO的传输,该系统可以在上述的网络架构下运行。图3为根据本发明实施例的PCO传输系统的结构框图,如图3 所示,才艮据本发明实施例的PCO传输系统包4舌移动管理实体 (MME ) 32以及通过网络与该MME 32连4妄的用户终端(UE ) 34。 以下结合附图进一步描述上述各个实体。MME 32用于向UE 34发送NAS安全才莫式命令消息;其中, 该NAS安全模式命令消息中携带有非接入层(NAS )安全算法及密 钥组标识;UE 34通过网络与MME 32连接,用于在接收到MME 32的 NAS安全模式命令消息后,将PCO携带在NAS安全模式完成消息 发送级MME 32。为了保证PCO的安全性,在本发明实施例中利用NAS安全模 式命令中携带的NAS安全算法及密钥组标识,对NAS安全才莫式完 成消息进行加密和完整性保护,然后再将经过加密和完整性保护的 NAS安全模式完成消息发送给MME 32。其中,NAS安全模式命令消息是用于指示UE 34与MME 32 进行安全关联,UE 34在接收到该消息后,如果该UE 34可以接受 该消息中携带的NAS安全算法,则在后续与MME 32进行交互的 过程中,对发送给MME32的消息进行加密和完整性保护。NAS安全模式完成消息是UE 34对NAS安全模式命令消息的响应,用以 告知MME 32 , UE 34已接收NAS安全算法及KSI等信息,MME 32 可以对后续向UE 34发送的消息进行力口密。利用才艮据本发明实施例的上述PCO传输系统,可以减少PCO 传丰lr时,MME与UE之间的信令交互。根据本发明实施例,还才是供了一种PCO传丰叙方法,该方法可以 使用上述PCO传输系统实现。图4为才艮据本发明实施例的PCO传输方法的流程图,如图4 所示,根据本发明实施例的PCO传输方法主要包括以下处理过程 (步骤S402 -步骤S406 ):步骤S402: UE接收MME发送的NAS安全模式命令消息,其 中,该消息中携带有NAS安全算法及密钥组标识;步骤S404: UE向MME发送NAS安全模式完成消息,其中, 该非接入层安全模式完成消息中携带有PCO;步骤S406: MME从接收到的NAS安全模式完成消息中获取用 户的PCCM言息。以下进一步描述上述各个处理的细节。( 一 )步骤S402对于步骤S402的处理的触发可以通过如下方式来实现UE向 MME发送初始NAS消息,该消息中可以携带加密的PCO传输标 记,也可以不携带PCO传输标记;MME在4妻收到该初始NAS消 息后,向UE发送NAS安全模式命令消息,如果接收到的初始NAS消息中携带有PCO传输标记,则MME在发送给UE的NAS安全 才莫式命令消息中携带PCO请求标记,并且,MME将选4,的NAS 安全算法和KSI等信息也携带在NAS安全模式命令消息发送给 UE,指示UE进行安全关联。UE接收到MME的NAS安全模式命令消息后,从中读取其携 带的信息,确定可以接受NAS安全模式命令消息中携带的NAS安 全算法和KSI等信息。(二)步骤S404在具体实施过程中,UE根据以下两种方式,在NAS安全模式 完成消息中携带PCCM言息UE在接收到来自MME的NAS安全才莫式命令消息后,如果该 消息中携带有PCO请求标记,则UE根据该PCO请求标记,将PCO 携带在响应NAS安全模式命令消息的NAS安全模式完成消息中, 并利用从NAS安全模式命令消息中读取的NAS安全算法及KSI等 信息,对NAS安全才莫式完成消息进行加密和完整性保护,然后再将 该NAS安全模式完成消息发送给MME。如果UE接收到的来自MME的NAS安全才莫式命令消息中携带 没有PCO请求标记,则UE根据预先的设定在NAS安全模式完成 消息中PCO携带。由于MME发送的NAS安全才莫式命令消息中没 有携带有PCO请求标记,为了使UE能在NAS安全模式完成消息 中携带PCO信息,需要预先设置一个启动才几制,使UE将PCO信 息携带在发送给MME的NAS安全模式完成消息之中。对于上述的两种实现方式,在下文中将分别结合实施例一和实 施例二进行描述。(三)步骤S406MME对接收到的NAS安全模式完成消息进行解密,然后进行 完整性才全查,才全查通过后,MME从该消息中获取PCO信息。下面以UE发起附着过程为例对上述方法的具体应用进行说明。实施例一该实施例中,在UE向MME发送的附着请求中携带有加密的 PCO传输标记。该实施例的主要流程如图5所示,主要包括以下处 理步骤S502: UE向MME发起附着请求消息,该消息中包含UE 的所有安全能力,并且,该消息中还携带有加密的PCO传输标记, 该PCO传llT标记用于通知MME, PCO需要加密传送。步骤S504: MME收到UE的附着请求消息后,与UE之间进 行鉴权和密钥协商。步骤S506: MME对NAS安全模式命令消息进行完整性保护后, 向UE发送该NAS安全模式命令消息,该消息中携带有MME选择 的NAS安全算法、KSI以及PCO i青求标记,其中,PCO请求标记 用于指示UE在后续的响应消息中携带PCO信息。步骤S508: UE接收到MME的NAS安全模式命令消息后,利 用MME在NAS安全模式命令消息中携带的NAS安全算法、KSI 等信息建立和MME之间的NAS安全关联。步骤S510: UE根据NAS安全模式命令消息中携带的PCO请 求标记,在给MME发送的NAS安全才莫式完成消息中携带PCO信 息,并利用NAS安全模式命令消息中携带的NAS安全算法、KSI 等信息,对NAS安全模式完成消息进行加密和完整性保护。步骤S512: UE向MME发送经过加密和完整性保护的NAS安 全^t式完成消息,该消息中携带有PCO信息。步骤S514: MME解密该NAS安全模式完成消息,并对该消息 进行完整性检查,4企查通过后,MME获耳又该NAS安全才莫式完成消 息中携带的PCO信息。步骤S516:继续进行附着过程处理。实施例二该实施例中,在UE向MME发送的附着请求中没有携带有加 密的PCO传输标记。该实施例的主要流程如图6所示,主要包括以 下处理步骤S602: UE向MME发起附着请求消息,该消息中包含UE 的所有安全能力。步备聚S604: MME收到UE的附着i青求消息后,与UE之间进 4亍鉴一又和密钥协商。步骤S606: MME向UE发送NAS安全模式命令消息,该消息 中携带有MME选择的NAS安全算法、KSI。步骤S608: UE接收到MME的NAS安全才莫式命令消息后,利 用MME在NAS安全模式命令消息中携带的NAS安全算法、KSI 等信息建立和MME之间的NAS安全关联。步骤S610: UE根据预先的设定,在给MME发送的NAS安全 模式完成消息中携带PCO信息,并利用NAS安全冲莫式命令消息中 携带的NAS安全算法、KSI等信息,对NAS安全模式完成消息进 行加密和完整性保护。由于MME发送的NAS安全才莫式命令消息中,没有携带有PCO 请求标记,为了 ^f吏UE能在NAS安全才莫式完成消息中携带PCO信 息,需要预先设置一个启动机制,在UE发送NAS安全模式完成消 息之前,将PCO信息携带在该NAS安全才莫式完成消息中。步骤S612: UE向MME发送经过加密和完整性保护的NAS安 全才莫式完成消息,该消息中携带有PCO信息。步骤S614: MME解密该NAS安全模式完成消息,并对该消息 进行完整性检查,4全查通过后,MME获耳又该NAS安全模式完成消 息中携带的PCO信息。步-骤S616:继续进4于附着过禾呈处理。才艮据本发明实施例的上述PCO传输方法,将PCO信息在NAS 安全才莫式完成消息中将PCO信息发送MME,可以减少PCO传输过 程中MME与UE之间的信令交互,缩短UE接入网络的时间。才艮据本发明实施例,还冲是供了一种用户终端,用以实现上述 PCO传^T方法。图7为根据本发明实施例的UE的结构框图,如图7所示,根 据本发明实施例的UE包括4妄收才莫块72和发送才莫块74。以下进 一步结合附图对上述各模块进行描述。接收模块72用于接收MME发送的NAS安全模式命令消息, 其中,该NAS安全模式命令消息中携带有NAS安全算法及KSI;发送模块74用于向MME发送NAS安全模式完成消息,其中, 该NAS安全才莫式完成消息中携带有该用户终端的PCO信息。在具体实施过程中,为了保证PCO信息的安全,在发送才莫块 74发送NAS安全模式完成消息之前,先对该消息进行加密和完整 性保护,因此,该用户终端还包括安全模块,与接收模块72连接, 用于在发送模块74发送NAS安全模式完成消息之前,对该NAS 安全模式完成消息进行加密和完整性保护。利用上述UE,可以在没有接收到MME发送的PCO请求消息, 通过将PCO信息携带在NAS安全模式完成消息中,将PCO信息发 送给MME。如上所述,^昔助本发明,通过在UE接收到来自MME的NAS 安全模式命令消息后,将PCO信息携带在NAS安全模式完成消息 中,并对该NAS安全模式完成消息进行加密和完整性保护后,发送 给MME,从而保证了 PCO传输的安全性,并且,可以减少UE与 MME之间的信令交互,从而减少了网络资源的浪费,节约UE^妾入 网络的时间,提高了UE接入网络的。以上所述仅为本发明的优选实施例而已,并不用于限制本发明, 对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1.一种协议配置选项传输方法,其特征在于,包括用户终端接收到移动管理实体发送的非接入层安全模式命令消息后,向所述移动管理实体发送非接入层安全模式完成消息,其中,所述非接入层安全模式完成消息中携带有协议配置选项;所述移动管理实体从接收到的所述非接入层安全模式完成消息中获取所述协议配置选项。
2. 根据权利要求1所述的方法,其特征在于,在用户终端接收移 动管理实体发送的非接入层安全模式命令消息之前,所述方法 还包括所述用户终端向所述移动管理实体发送携带有协议配置 选项传输标记的初始非4妾入层消息;所述移动管理实体获取所述初始非接入层消息携带的所 述协议配置选项传输标记;所述移动管理实体々艮据所述协议配置选项传输标记在所 述安全模式命令消息中携带协议配置选项请求标记。
3. 才艮据;K利要求2所述的方法,其特4正在于,所述用户终端向所 述移动管理实体发送一夂接入层安全才莫式完成消息包括所述用户纟冬端才艮4居所述妨4义配置选项-清求标^己,向所述移 动管理实体发送所述非接入层安全模式完成消息,其中,所述 非接入层安全模式完成消息中携带有所述协议配置选项。
4. 才艮据权利要求1所述的方法,其特;f正在于,所述用户终端向所 述移动管理实体发送非接入层安全冲莫式完成消息包括所述用户终端才艮据预先i殳定的失见则向所述移动管理实体 发送携带有所述协议配置选项的非接入层安全模式完成消息。
5. 根据权利要求1所述的方法,其特征在于,所述非接入层安全模式命令消息中携带有非接入层安全 算法及密钥组标识;在所述用户终端向所述移动管理实体发送非接入层安全 才莫式完成消息之前,所述方法还包4舌所述用户终端利用所述非接入层安全算法及密钥组标识, 对所述非接入层安全模式完成消息进行加密和完整性保护。
6. 根据权利要求5所述的方法,其特征在于,所述移动管理实体 AU妄收到的所述非4妄入层安全才莫式完成消息中获耳又所述协i义 配置选项具体包括所述移动管理实体在接收到所述非接入层安全模式完成 消息后,根据所述非接入层安全算法及密钥组标识对所述非接 入层安全模式完成消息进行解密,获取所述协议配置选项信 自、心o
7. —种用户终端,其特征在于,包括接收模块,用于接收移动管理实体发送的非接入层安全模 式命令消息;发送模块,用于向所述移动管理实体发送非接入层安全模 式完成消息,其中,所述非接入层安全模式完成消息中携带有 十办i义配置选项。
8. 根据权利要求7所述的用户终端,其特征在于,所述用户终端 进一步包括安全模块,用于在所述发送模块发送所述非接入层安全模 式完成消息之前,对所述非4妻入层安全才莫式完成消息进行加密 和完整性保护。
9. 一种协议配置选项传输系统,包括移动管理实体和用户终端, 其特征在于,所述移动管理实体,用于向所述用户终端发送非接入层安 全模式命令消息;用户终端,用于在接收到所述移动管理实体的所述非接入 层安全模式命令消息后,向所述移动管理实体发送携带有协议 配置选项的非4妻入层安全才莫式完成消息。
全文摘要
本发明提供了一种协议配置选项传输方法及系统、用户终端,在上述方法中用户终端接收到移动管理实体发送的非接入层安全模式命令消息后,向移动管理实体发送非接入层安全模式完成消息,其中,该非接入层安全模式完成消息中携带有协议配置选项,移动管理实体从接收到的非接入层安全模式完成消息中获取协议配置选项。通过本发明提供的技术方案,可以减少用户终端和移动管理实体之间的信令交互,减少网络资源的浪费。
文档编号H04L29/06GK101336000SQ200810134300
公开日2008年12月31日 申请日期2008年8月6日 优先权日2008年8月6日
发明者丁燕菁, 奎 任, 叶敏雅, 徐晓波, 涂小勇, 蔡建楠 申请人:中兴通讯股份有限公司