CN1937487A - Lte中鉴权和加密的方法 - Google Patents
Lte中鉴权和加密的方法 Download PDFInfo
- Publication number
- CN1937487A CN1937487A CN 200510086496 CN200510086496A CN1937487A CN 1937487 A CN1937487 A CN 1937487A CN 200510086496 CN200510086496 CN 200510086496 CN 200510086496 A CN200510086496 A CN 200510086496A CN 1937487 A CN1937487 A CN 1937487A
- Authority
- CN
- China
- Prior art keywords
- message
- eran
- sends
- ecn
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
提出了一种在LTE中,合并AKA过程和本地加密过程进行鉴权和加密的方法,包含步骤:1)ECN发送与鉴权和安全相关的信息给ERAN;以及2)ERAN保存相应的信息,产生随机数,根据接收到的信息产生第一消息并发送到UE,以便UE鉴权网络。利用本发明的方法,减少了信令平面的交互,如果在建立平面前,网络需要进行AKA过程和本地加密过程,就可以减少用户平面的建立,并且,没有降低现有的AKA过程和本地加密过程的安全性。
Description
技术领域
本发明涉及一种在第三代伙伴计划(以下简称3GPP)提出的移动通信系统长期演进(以下简称LTE)系统结构中,对用户进行鉴权和加密的方法。
背景技术
在WCDMA(Wide Code Division Multiple Access)系统中,可以提供大容量的包数据业务,比如上网业务,也可以提供电路域的业务,比如语音业务。
图1是第三代伙伴计划(以下简称3GPP)的传输包数据业务的系统结构的描述。
图1中101 E-PDN(Extern Packet Data Network)是外部的公共数据网,提供各种类型的包数据。包数据由外部网络通过预定的接口102传输到103网关通用分组无线业务(以下简称通用分组无线业务为GPRS)支持节点(以下简称网关GPRS支持节点为GGSN)。接口102是外部网络和GGSN之间的接口。GGSN收到数据后,把数据通过接口104发送到105服务GPRS支持节点(以下简称SGSN)。GGSN和SGSN之间是通过隧道连接的,接口104符合Gn接口的协议,在TS25.413中有此接口的规范。SGSN收到数据后,需要把数据发送到107服务无线网络控制器(以下简称SRNC)。在WCDMA中,SGSN和RNC之间是通过隧道连接,如果还没有建立数据传输的隧道,SGSN通过预定的接口106发送消息建立和SRNC之间的数据承载,如果已经建立了隧道,SGSN把数据通过106接口发送给SRNC。接口106符合Iu接口的协议,Iu接口的规范包括控制平面的协议协议(以下称RNSAP协议),和数据平面的协议。RNSAP协议包括建立数据平面的信令流程,数据平面规定了在Iu接口传输的数据的格式。107的SRNC收到数据后,需要把数据发送给109基站(以下称Node B)。如果SRNC和Node B之间的数据传输承载还没有建立,SRNC通过预定的接口108发送消息建立和基站之间的数据承载,并且发送消息给UE建立基站和UE间的无线链路。建立好数据承载后,SRNC负责把数据打包成预定的格式,通过108接口发送给基站109,108接口是Iub接口,Iub接口的规范包括控制平面的协议协议(以下称NBAP协议),和数据平面的协议。NBAP协议包括了建立Iub接口数据承载的信令流程,数据平面的协议规定了Iub接口传输的数据的格式。109基站把数据通过空中接口的无线链路发送给110UE。一般的,把RNC和Node B一起,称做RAN(Radio AccessNetwork),SGSN和GGSN称做CN(Core Network)。
在3GPP中,网络需要对用户进行鉴权,用户也需要对网络进行鉴权。鉴权的过程包含两个,一个是鉴权和密匙协商的AKA过程,AKA过程是SGSN和UE直接进行鉴权信息和加密密匙的传输。另一个是本地的鉴权过程,是SRNC和UE之间进行跟安全有关的参数的传输。在上面两个步骤成功后,信令可以启动完整性保护(Integrityprotection)。SRNC还启动了对数据和信令的加密保护(Cipheringprotection)。
图2是完整性保护算法的示意图。完整性保护是UE和SRNC对RRC模块产生的RRC消息进行的。具体的加密过程可以参考3GPP的协议。加密算法的输入的参数包括COUNT-I、FRESH、IK等。
-COUNT-I是一个32比特的参数,在WCDMA中,根据无线承载上传输的信号的部分,把无线承载分为信令承载(Signaling RadioBearer,简称SRB)和数据承载(Rdaio Bearer,简称RB)。对于每个信令承载,分别有一个上行信令承载的COUNT-I和一个下行信令承载的COUNT-I。COUNT-I由两部分组成:一个短的序列号和一个长的序列号。短序列号占据COUNT-I的低比特,长序列号占据高比特。短序列号是4比特的无线资源控制(简称RRC)的序列号,每发送一个RRC PDU,RRC的序列号增加1。长序列号是一个28比特的RRC的超帧号(RRC HFN),当短序列号每次达到最大值,HFN就增加1,短序列号又从0开始记数,进行下一轮的循环。
RRC HFN被一个称做START的值初始化,终端和RNC把RRCHFN的高20比特初始化成START的值,RRC HFN其它的值被初始化成0。
COUNT-I的高28比特被称作RRC超帧号(HFN),当UE初始化HFN时,高20比特初始化成START值。START值保存在终端和USIM上的参数,终端和USIM保存一个用于CS域的START值和一个PS域的START值。START的长度是20比特,当终端开机后,并且USIM已经插入,ME从USIM得到START值,并保存它。当终端关机,或者拔掉了USIM卡,终端删除START值。在空闲状态,ME和USIM中保存的START值是一样的。当建立无线连接的时候,终端通过“RRC建立完成”消息把START值发送给RNC。
-FRESH是SRNC产生的一个随机数,SRNC需要把此随机数发送给UE。
-IK(Integrity Key)是UE根据SGSN发送的参数RAND,AUTN根据默认的算法计算出来的。SGSN需要把IK发送给SRNC。
-DIRECTION,如果消息从UE发送给SRNC,将DIRECTION设为0,如果消息从SRNC发送给UE,将其设为1。
-MESSAGE就是要进行完整性保护的RRC消息。
图3是加密保护算法的示意图。加密是在UE和SRNC的无线链路控制层(以下称为RLC层)或者媒体接入层(以下称MAC层)进行的。RLC可以有三种模式,AM模式支持数据的重传;UM模式可以对数据进行分段;TM模式是透明传输。对于AM和UM模式,加密是在RLC层进行的,对于TM模式,加密是在MAC层进行的。具体的加密过程可以参考3GPP的协议。加密算法的输入的参数包括COUNT-C、FRESH、CK等。
-COUNT-C是一个32比特的参数,对每个使用RLC AM模式或者RLC UM模式的无线承载,通常包括信令承载和数据承载,分别有一个上行承载的COUNT-C和一个下行承载的COUNT-C。对同一个域内所有使用RLC-TM模式的无线承载,只有一个COUNT-C,用于上行和下行。COUNT-C由两部分组成:一个短的序列号和一个长的序列号。短序列号占据低比特,长序列号占据高比特。COUNT-C的更新取决于传输的模式。
对于专用信道上的RLC TM,短的序列号是8比特的连接帧号(以下称CFN),长序列号是24比特的专用MAC层超帧号(以下称MAC-d HFN),对于每个CFN的循环,长序列号增加1。
对于RLC-UM,短的序列号是7比特的RLC序列号(RLC SN),长序列号是25比特的RLC UM HFN,对于每个RLC SN的循环,长序列号增加1。
对于RLC-AM,短的序列号是12比特的RLC序列号(RLC SN),长序列号是20比特的RLC UM HFN,每个RLC SN的循环,长序列号增加1。
当UE初始化HFN时,高20比特初始化成START值,HFN其它的值被初始化成0。
-FRESH是SRNC产生的一个随机数,SRNC需要把此随机数发送给UE。
-CK(Ciphering Key)是UE根据SGSN发送的参数RAND,AUTN根据预定的算法计算出来的。SGSN需要把CK发送给SRNC。
-BEARER是无线承载的标识。
-DIRECTION,如果消息从UE发送给SRNC,将DIRECTION设为0,如果消息从RNC发送给UE,将其设为1。
-LENGTH是KEYSTREAN BLOCK的长度。
-PLANTTEXTBLOCK是要加密的数据包。
UE在开机后,首先发起向网络的注册过程,图4是UE开机后的流程图。
401步骤:UE110开机后,首先与SRNC105建立RRC连接。
UE发送消息“RRC连接请求”消息给SRNC,消息包含UE的标识和建立RRC连接的原因。SRNC发送消息“RRC连接建立”消息给UE,消息包含SRNC给UE分配的临时标识,例如C-RNTI、U-RNTI,和信令承载的信息。然后UE发送“RRC连接建立完成”消息给SRNC。在此消息中,UE把无线接入能力信息和START值报告给SRNC。无线接入能力信息包含UE的PDCP能力、RLC能力、加密能力等。其中,加密能力包括UE支持的加密算法和UE支持的完整性算法。SRNC105收到401步骤的消息,保存UE的加密能力和START值。
402步骤:UE 110发送“注册请求”消息给SGSN 105。
“注册请求(ATTACH REQUEST)”消息包含信息IMSI、注册类型、移动终端的网络能力、移动终端的无线接入能力、旧的RAI、DRX参数。IMSI是用户的永久性标识;注册类型指出是GPRS注册,还是GPRS/IMSI联合注册。GPRS注册是把UE的信息注册到SGSN上,GPRS/IMSI联合注册是把UE信息注册到SGSN和MSC上;移动终端的网络能力是指移动终端的特点,比如,终端是否具备通过专用信道或者GPRS信息进行session管理的能力、移动终端是否具备GPRS加密算法GEA/1、移动终端是否支持WCDMA版本99及以后版本的规范等等;移动终端的无线接入能力是指出终端无线接入方面的信息,比如,多时隙能力、功率等级等信息;旧的RAI是UE保存的路由区域的指示;DRX参数是指出UE是否使用非连续接收,如果支持,并且指出非连续接收的循环的长度。
“注册请求”是非接入层的消息,对RNC是透明传输的,RNC是处理接入层的消息,接入层的消息是通常是指RRC消息,RNC收到UE发送的RRC消息,由RNC的RRC模块来拆包并且处理,非接入层的消息通过特殊的RRC消息—“初始直接传输(Initial DirectTransfer)”或者“直接传输(Direct Transfer)”来发送的,非接入层的消息包含在RRC消息中,RNC收到“初始直接传输”或者“直接传输”,加上小区的标识,通过Iu接口106发送消息“直接传输”给SGSN105。
SGSN105收到“注册请求”消息,如果SGSN没有保存UE的信息,并且“注册请求”消息中也没有包含旧的P-TMSI,则SGSN要发起对用户的鉴权和密匙协商(AKA)过程,图4中403步骤是对UE的鉴权和密匙协商过程,详细的AKA过程在图5有详细的描述。通过AKA过程,UE可以计算出IK,CK。如果SGSN要给用户分配一个P-TMSI,SGSN在AKA过程后还需要把加密信息发送给SRNC,使SRNC发起本地加密过程。
404步骤:网络可以决定在网络中的用户应该使用的加密算法的组合UEAs,和完整性保护算法的组合UIAs,这个组合可以预先配置,跟单个用户的能力没有关系,所有用户都应该使用这个组合范围内的某种加密算法和完整性保护算法。
405步骤:SGSN发送消息“安全模式命令”给SRNC,消息包含IK,CK,UIAs,UEAs。
406步骤:SRNC收到405步骤中的消息,SRNC已经保存了UE的加密能力,知道UE能支持的加密算法和完整性算法,从上一步骤,SRNC知道网络决定的用户可以使用的加密算法和完整性算法组合,根据UE的能力,和可以使用的算法组合,选择UE使用的加密算法和完整性算法。比如,网络决定的可以使用的加密算法组合UEAs是{UEA1,UEA2,UEA3,UEA4},用户的能力支持加密算法{UEA1,UEA2},SRNC可以决定使用UEA1作为用户的加密算法。并且SRNC要产生加密算法和完整性算法的一个输入参数-FRESH。SRNC可以对之后的RRC消息启用完整性保护。
407步骤:SRNC发送“安全模式命令”给UE,消息包含FRESH,UE加密能力,SRNC决定的UE使用的加密算法UEA和完整性保护算法UIA,MAC-I。MAC-I是完整性信息,MAC-I是根据图2所示的方法计算得到的。
408步骤,UE根据收到的RAND,AUTN计算出IK和CK,UE根据保存的START值算出COUNT-I。然后UE按照图2所示的方法计算出一个参数,被称作XMAC-I,比较自己计算的XMAC-I和SRNC发送的MAC-I,如果相同,则认为此RRC消息是合法的,UE保存407步骤中消息的内容,并且可以对之后的RRC消息启用完整性保护。
409步骤:UE发送“安全模式完成”给SRNC,其中包含此RRC信息的完整性信息MAC-I。
410步骤:SRNC验证完整性信息MAC-I,通过比较自己计算的XMAC-I和MAC-I,如果相同,认为此RRC消息是合法的。
411步骤:SRNC发送“安全模式完成”给SGSN,包含SRNC决定的UE使用的加密算法UEA和完整性保护算法UIA。在211步骤后的数据可以开始被加密。
412步骤:SGSN发送“位置更新”消息给HLR,这条消息包含SGSN号,SGSN的地址,IMSI。
413步骤:HLR保存位置更新的信息,然后发送“位置更新确认”消息给SGSN。
414步骤:SGSN发送“注册接受”消息给UE。消息中包含SGSN给用户分配的临时标识P-TMSI,其中包含P-TMSI的签名。P-TMSI的签名是SGSN给用户的上下文信息的一个标识,它比P-TMSI的长度要短。可以在以后的非接入层消息中使用P-TMSI的签名,这样比在消息中使用P-TMSI的消息长度要短。
415步骤:因为SGSN给用户分配了新的临时标识P-TMSI,UE需要发送响应消息给SGSN。
图5描述了SGSN对UE进行鉴权的信号流程。如果SGSN没有保存UE的鉴权信息,SGSN在501步骤中发送消息“发送鉴权信息”给HLR,此消息中包含UE的IMSI;
502步骤:HLR收到这条消息后,鉴权模块发送“发送鉴权信息确认”消息给SGSN,消息包含一个有顺序的鉴权向量的队列,每个向量是一组跟鉴权有关系的参数,包含RAND、XRES、AUTN、CK和IK。其中RAND是一个随机数;XRES是用来跟UE发送来的RES参数进行比较,从而判断用户是否是合法用户;鉴权记号AUTN,是USIM判断网络是否合法的参数;CK是加密算法的一个输入参数,IK是完整性保护算法的一个输入参数。
每个向量用在SGSN和USIM之间的一次鉴权和密匙协商过程。
503步骤:加密向量的使用顺序遵循先入先出的原则,SGSN按顺序选择下一个应该使用的向量,并且把向量中包含的RAND和AUTN通过非接入层消息“鉴权和加密请求”消息给UE,除此之外,此消息还包含加密使用的算法和KSI。KSI(Key Set Identifier)是SGSN分配的一个密匙组的指示,用来区分不同域的密匙组。
504步骤:收到503的消息,移动终端里面的USIM通过预定的算法分析AUTN,判断AUTN是否合法,如果AUTN在合理的范围内,USIM就认为网络是合法的,USIM根据预定算法计算出加密用的密匙CK,还有一个完整性保护用的密匙IK,并且计算出一个参数RES。具体的算法在TS33.102里面有详细的介绍。这些参数和KSI一起保存。然后终端发送消息“鉴权和加密响应”给SGSN。消息里面包含RES参数。SGSN从503步骤中选择的矩阵中得到XRES,比较此XRES和UE发过来的RES,如果相同,认为UE通过了鉴权。SGSN选择503步骤中选择的矩阵中的IK和CK,作为UE当前使用的IK和CK。并且把IK、CK和KSI保存在UE的上下文中。
当UE移动到一个新的路由区域(Routing Area)内,UE要发起路由区域更新的过程。路由区域是SGSN定义的一组小区的组合,SGSN给这一组小区分配一个路由标识RAI,通过广播信道,UE知道目前小区所处的RA,如果和旧的小区不在同一个RA,UE要发起路由区域更新的过程。在此过程中,SGSN会进行加密过程。图6描述了在现有的系统结构中,UE改变路由区域的过程。
601步骤:空闲模式的用户移动到一个新的路由区域下,用户发送RA更新请求消息给新的SGSN。在RA更新请求消息中,包含旧的路由区域的指示RAI,旧的P-TMSI的署名signature,还有用户终端的网络能力。这条消息是包含在RRC消息中发送的。
602步骤:新的SGSN给旧的SGSN发送消息,要求得到旧的SGSN保存的UE的上下文信息。SGSN保存的UE的上下文信息包含移动管理(MM)上下文和包数据协议(PDP)上下文、MM上下文包含UE的标识、加密所用的信息、终端的无线能力、终端的网络能力等,PDP上下文包含PDP的类型、地址信息、APN信息、隧道信息和Qos信息等。
603步骤:旧的SGSN发送UE的上下文信息给新的SGSN。
604步骤:新的SGSN可能发起安全过程,这个过程可以包含对UE的鉴权和204到211步骤。
605步骤:新的SGSN给GGSN发送消息“更新PDP上下文请求”,更新GGSN上保存的UE的PDP上下文信息,这条消息包含新的SGSN的地址,分配的隧道标识,还有Qos的信息。
606步骤:GGSN发送“更新PDP上下文响应”消息。
607步骤:新的SGSN发送“位置更新”消息给HLR,HLR是保存用户位置信息的节点。此消息中包含新的SGSN的IP地址和UE的标识IMSI。
608步骤:HLR给旧的SGSN发送消息“删除位置记录”,旧的SGSN删除保存的UE的信息。旧的SGSN发送响应消息“删除位置记录确认”给HLR
609步骤:HLR发送消息“Insert subscriber data”给新的SGSN,SGSN根据subscriber data判断UE是否有权利接收某种服务,然后发送响应消息给HLR。
610步骤:HLR发送响应消息“位置更新确认”给新的SGSN。
611步骤:新的SGSN发送“位置更新确认”消息给UE,此消息包含新的P-TMSI。
如上所述,在现有的系统中,AKA过程和本地加密过程是分开的,这样的好处是网络可以根据需要,只进行本地加密过程,但是,从减少信令延迟的目的来说,可以把AKA过程和本地加密过程联合起来。联合起来可以减少信令的交互,如果在建立平面前网络需要进行AKA过程和本地加密过程,就可以减少用户平面的建立,并且,没有降低现有的AKA过程和本地加密过程的安全性。
发明内容
本发明的目的是提供一种在LTE中使用的鉴权和加密方法。
本发明的另一个目的是提供一种在LTE中,尤其是当UE切换路由区域的过程中使用的鉴权和加密的方法。
根据本发明的一方面,提供了一种在LTE中,合并AKA过程和本地加密过程进行鉴权和加密的方法,包含步骤:
1)ECN发送与鉴权和安全相关的信息给ERAN;以及
2)ERAN保存相应的信息,产生随机数,然后根据接收到的信息产生第一消息并发送到UE,以便UE鉴权网络。
ECN发送给ERAN的消息中,包含鉴权UE和完整性算法用到的参数,IK,UIAs,AUTN,RAND,CK,UEAs。ERAN保存IK,CK,并且产生随机数FRESH,发送消息给UE,消息包含AUTN,RAND,UIA,UEA,FRESH,完整性保护信息(MAC-I)。UE收到消息,可以利用消息中的信息来鉴权网络,UE鉴权网络,方法可以利用目前3G使用的方法,通过AUTN来鉴权网络,然后检查完整性信息,如果都正确,UE发送消息给ERAN,包含一个参数叫RES,ECN可以使用RES来判断用户是否是合法用户。如果UE鉴权网络不合法,UE可以不发送响应消息给网络。如果UE检查完整性信息不正确,UE可以不发送响应消息给网络。ERAN检查消息是否完整后,把ERAN决定的UE使用的完整性保护算法和加密算法包含在消息中,把消息发送给ECN,消息中包含RES,UIA,UEA。ECN收到消息后,保存信息,通过RES来鉴权用户。
根据本发明的另一方面,提供了一种在LTE中,尤其是当UE移动到一个新的路由区域时,合并AKA过程、本地加密过程和路由更新过程进行更新和加密的方法,包含步骤:
1)UE发送路由区域更新请求消息给ECN;
2)ECN发送路由区域更新确认消息给ERAN;
3)ERAN保存相应的信息,产生随机数,然后根据接收到的消息产生消息并发送给UE;
4)UE根据接收到的消息,产生并发送消息给ERAN;以及
5)ERAN根据接收到的消息,产生并发送消息给ECN,以便鉴权用户。
ECN发送的“路由区域更新确认”消息中包含完整性保护信息:IK,UIAs,如果ECN需要发起鉴权过程,消息里面包含鉴权信息:AUTN,RAND,如果ERAN需要对RRC信令进行加密处理,或者数据的加密处理在ERAN上实现,消息中还包含加密的参数,CK,UEAs。ERAN保存消息里面的IK,CK,并且产生一个随机数FRESH,发送“路由区域更新确认”消息给UE,消息包含ECN分配的标识,UIA,UEA,FRESH,AUTN(可选),RAND(可选),完整性保护信息(MAC-I)。UE收到消息后,如果包含AUTN,UE对网络进行鉴权,如果网络是合法的,UE检查完整性保护信息,如果都正确,UE发送响应消息“路由区域更新完成”消息给ERAN。ERAN检查消息的完整性正确后,把ERAN决定的UE使用的完整性保护算法和加密算法包含在消息中,把消息发送给ECN,消息中包含RES,UIA,UEA。ECN收到消息后,通过RES来鉴权用户。
利用本发明的方法,减少了信令平面的交互,如果在建立平面前,网络需要进行AKA过程和本地加密过程,就可以减少用户平面的建立,并且,没有降低现有的AKA过程和本地加密过程的安全性。
附图说明
图1现有的3GPP系统结构;
图2现有的完整性算法;
图3现有的加密算法;
图4现有的UE开机后的鉴权和加密过程;
图5现有的鉴权和密匙协商(AKA)过程;
图6现有系统下,尤其是区域更新过程中的鉴权加密过程;
图7LTE的结构;
图8LTE中,UE开机后的鉴权和加密过程;
图9实施例1中ECN的动作说明;
图10实施例1中ERAN的动作说明;
图11实施例1中UE的动作说明;
图12LTE中,尤其是区域更新过程中的鉴权加密过程;
图13实施例2中ECN的动作说明;
图14实施例2中ERAN的动作说明;以及
图15实施例2中UE的动作说明。
具体实施方式
图7是发明LTE的系统结构。
现有的3GPP的系统结构由Node B、RNC、SGSN、GGSN组成,LTE中对系统结构进行了简化,LTE的系统结构由ERAN(EvolvedRAN),ECN(Evolved CN)和UE组成,ERAN可以包含Node B和RAN控制器,ERAN支持与无线接入有关的协议,比如无线资源控制层(RRC)协议。ERAN与ECN之间通过IP互连。ECN对外部网络来说,相当于一个网关,外部网络与LTE网络下的用户的数据,都需要通过ECN来转发。对ERAN来说,ECN实现了原来SGSN的功能。
图8是第一个实施例的流程图。
801:UE110开机后,首先跟ERAN建立无线连接。UE发送消息给ERAN,把UE的无线接入能力和START值报告给ERAN,无线接入能力信息包含UE的加密能力。加密能力包括UE支持的加密算法和UE支持的完整性算法。START值是UE保存在USIM卡和终端上的一个值,是超帧号HFN的高20位。ERAN保存UE的加密能力和START值,给UE分配无线资源,发送消息给UE,消息包含给UE分配的一个ERAN范围的临时标识,ERAN还会给UE分配一个DRX参数,也包含在ERAN发送给UE的消息中。空闲模式的UE保存DRX参数,UE计算寻呼间隙(Paging Occasion)的时候,要使用DRX参数。寻呼时隙是UE收听寻呼信息的时刻,在那个时刻UE才接收寻呼信息,其它时刻,UE是不接收信号的。
802:UE110发送“注册请求”消息给ECN。“注册请求(ATTACHREQUEST)”消息包含信息IMSI,旧的RAI,DRX参数。IMSI是用户的永久性标识;旧的RAI是UE保存的路由区域的指示;DRX参数是指出UE是否使用非连续接收,如果支持,并且指出非连续接收的循环的长度。
803:ECN收到“注册请求”消息,如果ECN没有保存UE的信息,并且“注册请求”消息中也没有包含旧的P-TMSI,则ECN发送消息“发送鉴权信息”给HLR,此消息中包含UE的IMSI。HLR是保存UE的加密信息的实体。
804:HLR收到这条消息后,发送“鉴权信息确认”消息给ECN,消息包含一个有顺序的加密向量的矩阵,每个加密向量是一组跟鉴权和安全有关系的参数,包含RAND、XRES、AUTN、CK和IK。其中RAND是一个随机数,XRES是判断用户是否合法的参数,ECN收到UE发送的消息,消息中包含一个参数,被称作RES。如果RES跟XRES相同,则SGSN认为用户是否是合法用户,AKA过程成功,如果RES跟XRES不同,SGSN认为用户是非法用户,AKA过程失败。AUTN是网络鉴权记号,USIM用来判断网络是否是合法的,CK是加密算法的一个输入参数,IK是完整性保护算法的一个输入参数。
805:加密向量的使用顺序遵循先入先出的原则,第一次的加密过程使用矩阵中第一个向量,当ECN第二次对UE进行鉴权和密匙协商(AKA)的过程,使用加密矩阵中第二个向量。ECN按顺序选择下一个应该使用的矩阵。网络可以决定在网络下的用户应该使用的加密算法的组合UEAs,和完整性保护算法的组合UIAs,这个组合可以预先配置,跟单个用户的能力没有关系,所有用户都应该使用这个组合范围内的某种加密算法和完整性保护算法。
806:如果信令完整性保护在ERAN实现,ECN发送消息“鉴权和安全模式请求”消息给ERAN,消息包含用户可以使用的完整性保护算法的组合UIAs,UEAs,AUTN,RAND,IK,CK。用户可以使用的完整性保护算法的组合UIAs和加密算法的组合UEAs是在805步骤中确定的。
ECN给ERAN发送的消息包含的信息:
-AUTN
-RAND
-UIAs
-UEAs
-IK
-CK
807:在801步骤中,ERAN已经得到UE的能力,ERAN知道UE的能支持的加密算法和完整性算法。在806步骤中,ERAN知道网络决定的用户可以使用的加密算法和完整性算法组合,ERAN根据UE的能力,和可以使用的算法组合,选择UE使用的加密算法和完整性算法。比如,网络决定的可以使用的加密算法组合UEAs是{UEA1,UEA2,UEA3,UEA4},用户的能力支持加密算法{UEA1,UEA2},ERAN可以决定使用UEA1作为用户的加密算法。同时ERAN产生一个随机数FRESH,随机数在本地加密的过程中使用。ERAN可以对807步骤之后的RRC消息启用完整性保护。ERAN保存信息UIA,IK,如果非接入层信令也需要加密保护,或者数据的加密在ERAN上实现,ERAN还需要保存加密信息UEA,和CK。
808:ERAN发送消息“鉴权和安全模式请求”给UE,消息包含FRESH,UE加密能力,ERAN决定的UE使用的加密算法UEA和完整性保护算法UIA,MAC-I。MAC-I是完整性信息,在809步骤,UE根据收到的RAND,AUTN计算出IK,CK,然后UE根据保存的START值算出COUNT-I,按照图2所示的方法,利用IK、FRESH、COUNT-I等输入参数,计算出一个值,被称作XMAC-I,并把自己计算的XMAC-I和ERAN发送的MAC-I比较,如果相同,认为此RRC消息是完整的。UE可以对之后的RRC消息启用完整性保护。
ERAN给UE发送的消息包含的信息:
-AUTN
-RAND
-UIA
-UEA
-FRESH
-MAC-I
810:UE发送“鉴权和安全模式完成”给ERAN,因为UE已经得到了跟安全有关的参数,从这一步骤开始,UE发送的RRC消息可以开始使用完整性保护,UE也从这步骤开始,可以对数据和信令进行加密。“鉴权和安全模式完成”消息包含UE根据AUTN,RAND计算出来的一个参数,被称作RES,还包含根据IK和FRESH计算出完整性信息MAC-I。
811:ERAN验证完整性信息MAC-I,ERAN同样根据图2所示的方法,利用IK,FRESH,COUNT-I等输入参数,计算出一个值,被称作XMAC-I,然后比较自己计算的XMAC-I和UE发送过来的MAC-I,如果相同,认为此RRC消息是完整的。
UE给ERAN发送的消息包含的信息:
-UE的标识
-RES
-MAC-I
812:ERAN发送“鉴权和安全模式完成”给ECN,包含ERAN决定的UE使用的加密算法UEA和完整性保护算法UIA,还包含UE发送的RES。在812步骤后的数据可以开始被加密。
ERAN给ECN发送的消息包含的信息:
-UE的标识
-UIA
-UEA
-RES
813:如果ECN没有在HLR注册这个UE的位置,ECN发送“位置更新”消息给HLR,这条消息包含ECN号,ECN的地址,UE的标识IMSI。
814:HLR保存位置更新的信息,然后发送“位置更新确认”消息给ECN。
815:ECN发送“注册接受”消息给UE。消息中包含ECN给用户分配的临时标识。
816:因为ECN给用户分配了新的临时标识P-TMSI,UE需要发送响应消息给ECN。
图9是ECN在实施例1中的动作流程。
在901,ECN接收消息,如果消息是UE发送的“注册请求”,进行903步骤,如果ECN已经保存的UE的加密信息,则进行905步骤,一般情况下,ECN收到UE发送的“注册请求”消息的时候,没有保存UE的信息,ECN需要进行904步骤,从HLR得到加密向量的矩阵。然后在905步骤ECN发送“鉴权和安全模式命令”消息给ERAN。这条消息包含下面的信息:AUTN,RAND,IK,CK,UEAs,UIAs。然后,ECN继续接收消息,期望收到“鉴权和安全模式完成”消息,如果在一段时间内,比如设置一个时钟,当时钟超时,ECN还没有收到“鉴权和安全模式完成”消息,就重发“鉴权和安全模式命令”,或者进行错误处理过程。
ECN收到“鉴权和安全模式完成”消息,消息中包含一个参数是RES,ECN比较RES和加密向量中的XRES,在910步骤中,如果XRES和RES相等,ECN认为UE是合法的用户。在912步骤,ECN发送“注册接受”消息给UE。然后等待UE发送的响应消息。ECN在914步骤收到了UE发送的响应消息“注册请求完成”消息,注册过程就结束了。
图10是ERAN在实施例1中的动作流程。
在1001,ERAN接收消息,如果消息是从UE发送过来的“RRC连接请求”消息,保存消息中包含的信息,比如,START值,UE的能力等。ERAN要给UE分配无线资源,比如在ERAN范围的标识,信道资源,然后发送“RRC连接建立”消息给UE,包含ERAN给UE分配的资源。然后ERAN继续接收消息,在1004步骤收到从ECN发送过来的消息“鉴权和安全命令”,ERAN保存消息中的加密信息,比如IK,CK,UEAs,UIAs。根据UE的能力,ERAN选择UE使用的UEA和UIA,并且,ERAN产生一个随机数FRESH,然后发送消息“鉴权和安全命令”给UE,消息包含AUTN,RAND,FRESH,UIA,UEA。并且,这个消息包含完整性检查信息MAC-I。
在1007,ERAN收到UE发送的“鉴权和安全完成”消息,ERAN验证消息中包含的完整性检查信息,如果正确,就把此消息发送给ECN。过程结束。
图11是UE在实施例1中的动作流程。
1101,UE接收消息,如果收到从ERAN发送的“RRC连接建立”消息,UE在1103步骤建立信道,发送“注册请求”消息给ECN,然后继续接收消息。在1104,UE收到从ERAN发送的“鉴权和安全命令”消息,在1105步骤,UE鉴权网络的合法性,保存加密信息,根据需要,可以启动完整性保护和加密保护,UE发送“鉴权和安全完成”给ECN。然后继续接收消息,在1106,UE收到从ECN发送来的“注册接受”消息,UE在1107发送消息“注册接受完成”消息给ECN,注册过程结束。
作为实施例2,图12是在LTE中,尤其是空闲模式的UE移动到新的路由区域,发起路由区域更新的过程。
1201:UE移动到一个新的小区,收听广播信息,广播信息有路由区域的指示,如果UE保存的路由区域的指示跟新小区广播信道广播的路由区域指示不一样,UE进入了一个新的路由区域,UE要发起路由区域更新的过程。UE首先跟ERAN建立连接。UE在建立跟ERAN的连接的过程中,把UE的无线接入能力和START值报告给ERAN,无线接入能力信息包含UE的加密能力。其中,加密能力包括UE支持的加密算法,和UE支持的完整性算法。START值是UE保存在SIM卡上的一个值,是超帧号HFN的高20位。ERAN保存UE的加密能力和START值。并且ERAN给UE分配一个ERAN范围的临时标识,ERAN还会给UE分配一个DRX参数,空闲模式的UE可以使用DRX参数来计算收听寻呼信息的时刻,并且在那个时刻来接收寻呼信息。
1202:UE 110发送“路由区域更新请求”消息给ECN。消息包含信息IMSI,旧的路由区域的标识,DRX参数,旧的路由区域内UE的标识。IMSI是用户的永久性标识;旧的RAI是UE保存的路由区域的指示;DRX参数是指出UE是否使用非连续接收,如果支持,并且指出非连续接收的循环的长度;旧的路由区域内UE的标识是原来的路由区域内的ECN给UE分配的标识,可能是IP地址。从这个标识或者从旧的路由区域的标识,可以找到原来的ECN。
1203:ECN收到“路由区域更新请求”消息,如果ECN没有保存UE的信息,ECN找到旧的ECN,新的ECN发送消息“鉴权信息请求”给旧的ECN,此消息中包含UE的IMSI;这条消息可以跟其他的消息合并。
1204:旧的ECN收到这条消息后,发送“鉴权信息响应”消息给SGSN,这条消息可以跟其他的消息合并。消息中把加密向量的矩阵从旧的ECN传到新的ECN上。
1205:加密向量的使用顺序遵循先入先出的原则,第一次的加密过程使用矩阵中第一个向量,当ECN第二次对UE进行鉴权和密匙协商(AKA)的过程,使用加密矩阵中第二个向量。ECN按顺序选择下一个应该使用的矩阵。网络可以决定在网络下的用户应该使用的加密算法的组合UEAs和完整性保护算法的组合UIAs,这个组合可以预先配置,跟单个用户的能力没有关系,所有用户都应该使用这个组合范围内的某种加密算法和完整性保护算法。
1206:ECN发送消息“路由区域更新确认”消息给ERAN,消息包含UE可以使用的加密算法的组合,和完整性保护算法的组合,AUTN,RAND,IK,CK等信息。
ECN给ERAN发送的“路由区域更新确认”包含的信息:
-ECN给UE分配的标识
-AUTN(可选)
-RAND(可选)
-UIAs
-UEAs
-IK
-CK
1207:ERAN根据UE的能支持的加密算法和完整性算法和网络决定的UE可以使用的加密算法和完整性算法,选择UE使用的加密算法和完整性算法。比如,网络决定的可以使用的加密算法组合UEAs是{UEA1,UEA2,UEA3,UEA4},用户的能力支持加密算法{UEA1,UEA2},ERAN可以决定使用UEA1作为用户的加密算法。并且ERAN产生一个随机数FRESH,ERAN可以对之后的RRC消息启用完整性保护。
1208:ERAN发送消息“路由区域更新确认”给UE,消息包含FRESH,UE加密能力,SRNC决定的UE使用的加密算法UEA和完整性保护算法UIA,MAC-I,MAC-I是完整性信息。
ERAN给UE发送的“路由区域更新确认”包含的信息:
-ECN给UE分配的标识
-AUTN(可选)
-RAND(可选)
-UIA
-UEA
-FRESH
-MAC-I
在1209步骤,UE根据收到的RAND,AUTN计算出IK,CK,然后UE根据保存的START值算出COUNT-I,按照图2所示的方法,利用IK,FRESH,COUNT-I等输入参数,计算出一个值,被称作XMAC-I,并把自己计算的XMAC-I和ERAN发送的MAC-I比较,如果相同,认为此RRC消息是完整的。UE可以对之后的RRC消息启用完整性保护,并且可以启用加密保护。
1210:UE发送“路由区域更新完成”给ERAN,如果1208的消息中包含AUTN,RAND,则“路由区域更新完成”消息包含UE根据AUTN,RAND计算出来的RES,“路由区域更新完成”消息中还包含UE根据IK,FRESH等参数计算出的完整性信息MAC-I
1211:ERAN根据图2所示的方法,利用IK,FRESH,COUNT-I等输入参数,计算出一个值,被称作XMAC-I,然后比较自己计算的XMAC-I和MAC-I,如果相同,认为此RRC消息是完整的。
1212:ERAN发送“路由区域更新完成”给ECN,包含ERAN决定的UE使用的加密算法UEA和完整性保护算法UIA,还可能包含UE发送的RES。在1212步骤后的数据可以开始被加密。ERAN给ECN发送的“路由区域更新完成”包含的信息:
-ECN给UE分配的标识
-UIA
-UEA
RES(可选)
在1212步骤后,新的ECN可以发送位置更新过程,把新的ECN和UE的对应关系注册到网络的HLR上。
图13是ECN在实施例2中的动作流程。
在1301,ECN接收消息,1302判断消息类型,如果消息是UE发送的“路由区域更新请求”,进行1303步骤,ECN如果已经保存的UE的加密信息,则进行1305步骤,如果ECN没有保存UE的信息,ECN需要进行1304步骤,从旧的ECN得到加密向量的矩阵。然后在1305步骤,ECN发送“路由区域更新确认”消息给ERAN。这条消息包含下面的全部或者部分信息:UE标识,AUTN,RAND,IK,CK,UEAs,UIAs。如果ECN不需要进行AKA过程,则AUTN和RAND不需要包含在消息中。如果加密算法没有改变,或者加密不需要在ERAN上进行,UE已经保存了加密的信息,这时,消息中不需要包含CK,UEAs。发送过消息后,ECN继续接收消息,期望收到“路由区域更新完成”消息,如果在一段时间内,比如在1306设置一个时钟,当时钟超时还没有收到“路由区域更新完成”消息,就重发“路由区域更新确认”,或者进行1307错误处理过程。在1308步骤,ECN收到“路由区域更新完成”消息,如果“路由区域更新确认”消息中包含鉴权信息,则UE发送“路由区域更新完成”消息中包含一个参数,被称作RES。ECN比较RES和加密向量中的XRES,如果RES和XRES相等,ECN认为UE是合法的用户。ECN在收到了UE发送的响应消息“路由区域更新完成”消息,路由更新过程结束。
图14是ERAN在实施例2中的动作流程。
在1401,ERAN接收消息,如果消息是从UE发送过来的“RRC连接请求”消息,保存消息中包含的信息,比如,START值,UE的能力等。ERAN要给UE分配无线资源,比如在ERAN范围的标识,信道资源,然后发送“RRC连接建立”消息给UE,包含ERAN给UE分配的资源。然后ERAN继续接收消息,在1404步骤收到从ECN发送过来的消息“路由区域更新确认”,ERAN保存消息的中加密信息,比如IK,CK,UEAs,UIAs。根据UE的能力,ERAN选择UE使用的UEA和UIA,并且,ERAN产生一个随机数FRESH,然后发送消息“鉴权和安全命令”给UE,消息包含AUTN(可选),RAND(可选),FRESH,UIA(可选),UEA(可选)。并且,这个消息包含完整性检查信息MAC-I。
在1407,ERAN收到UE发送的“路由区域更新完成”消息,ERAN验证消息中包含的完整性检查信息,如果正确,就把ERAN决定的UE使用的UIA和UEA包含在消息中,然后把消息发送给ECN。过程结束。
图15是UE在实施例2中的动作流程。
1501,UE接收消息,如果收到从ERAN发送的“RRC连接建立”消息,UE在1503步骤建立信道,发送“路由区域更新请求”消息给ECN,然后继续接收消息。在1104UE收到从ERAN发送的“路由区域更新确认”消息,如果消息包含AUTN,RAND,在1505步骤,UE鉴权网络的合法性。UE保存加密信息,比如FRESH。如果消息中包含UIA,UE采用新的完整性保护算法,如果消息中包含UEA,UE采用新的加密算法,否则,UE使用旧的算法。根据需要,可以启动完整性保护和加密保护,UE发送“路由区域更新完成”给ECN。过程结束。
Claims (19)
1.一种在LTE中,合并AKA过程和本地加密过程进行鉴权和加密的方法,包含步骤:
1)ECN发送与鉴权和安全相关的信息(806)给ERAN;以及
2)ERAN保存相应的信息,产生随机数,根据接收到的信息产生第一消息(808)并发送到UE,以便UE鉴权网络。
2.根据权利要求1所述的方法,其特征在于,所述与鉴权和安全相关的信息中,包含用于鉴权UE和完整性算法的参数。
3.根据权利要求2所述的方法,其特征在于,所述参数包含IK、CK、UIAs、UEAs、AUTN以及RAND。
4.根据权利要求1所述的方法,其特征在于,所述相应的信息包含IK和CK。
5.根据权利要求1所述的方法,其特征在于,所述第一消息中包含FRESH。
6.根据权利要求5所述的方法,其特征在于,所述第一消息中还包含完整性保护信息。
7.根据权利要求1所述的方法,其特征在于,还包含步骤:
3)UE根据接收到的消息,鉴权网络,产生并发送第二消息(810)给ERAN;以及
4)ERAN根据接收到的第二消息产生第三消息(812)并发送给ECN,以便鉴权用户。
8.根据权利要求7所述的方法,其特征在于,所述第二消息中包含RES。
9.根据权利要求7所述的方法,其特征在于,所述第三消息中包含UIA和UEA。
10.一种在LTE中,当UE移动到一个新的路由区域时,合并AKA过程、本地加密过程和路由更新过程进行更新和加密的方法,包含步骤:
1)UE发送路由区域更新请求(1202)消息给ECN;
2)ECN发送路由区域更新确认消息(1206)给ERAN;
3)ERAN保存相应的信息,产生随机数,根据接收到的消息产生消息(1208)并发送给UE;
4)UE根据接收到的消息(1208),产生并发送消息(1210)给ERAN;以及
5)ERAN根据接收到的消息(1210),产生并发送消息(1212)给ECN,以便鉴权用户。
11.根据权利要求10所述的方法,其特征在于,步骤4)还包含步骤:UE对网络进行鉴权。
12.根据权利要求10所述的方法,其特征在于,所述路由区域更新确认消息(1206)中包含完整性保护信息。
13.根据权利要求12所述的方法,其特征在于,所述路由区域更新确认消息(1206)中还包含加密的参数。
14.根据权利要求10所述的方法,其特征在于,所述消息(1208)中包含FRESH。
15.根据权利要求10所述的方法,其特征在于,所述消息(1210)包含RES。
16.根据权利要求13所述的方法,其特征在于,所述路由区域更新确认消息(1206)中还包含鉴权信息。
17.根据权利要求14所述的方法,其特征在于,所述消息(1208)中还包含AUTN和RAND。
18.根据权利要求14所述的方法,其特征在于,所述消息(1208)中还包含MAC-I。
19.根据权利要求10所述的方法,其特征在于,所述消息(1212)中包含UIA和UEA。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510086496 CN1937487A (zh) | 2005-09-22 | 2005-09-22 | Lte中鉴权和加密的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510086496 CN1937487A (zh) | 2005-09-22 | 2005-09-22 | Lte中鉴权和加密的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1937487A true CN1937487A (zh) | 2007-03-28 |
Family
ID=37954781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200510086496 Pending CN1937487A (zh) | 2005-09-22 | 2005-09-22 | Lte中鉴权和加密的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1937487A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010012201A1 (zh) * | 2008-07-29 | 2010-02-04 | 深圳华为通信技术有限公司 | 鉴权方法、通信装置和通信系统 |
| CN102790965A (zh) * | 2011-05-18 | 2012-11-21 | 华为技术有限公司 | 切换方法、基站、用户设备和移动管理实体 |
| CN101355809B (zh) * | 2008-09-12 | 2013-03-20 | 中兴通讯股份有限公司 | 一种协商启用安全上下文的方法和系统 |
| WO2014113918A1 (zh) * | 2013-01-22 | 2014-07-31 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
| US8908863B2 (en) | 2009-09-08 | 2014-12-09 | Huawei Technologies Co., Ltd. | Method, network element, and mobile station for negotiating encryption algorithms |
| US9497625B2 (en) | 2007-08-31 | 2016-11-15 | Huawei Technologies Co., Ltd. | Method for negotiating security capability when terminal moves |
| CN102970678B (zh) * | 2009-09-08 | 2016-12-07 | 华为技术有限公司 | 加密算法协商方法、网元及移动台 |
| US9572027B2 (en) | 2007-09-29 | 2017-02-14 | Huawei Technologies Co., Ltd. | Method, system and apparatus for negotiating security capabilities during movement of UE |
| WO2017128727A1 (zh) * | 2016-01-27 | 2017-08-03 | 中兴通讯股份有限公司 | 边缘计算节点的交互方法及装置 |
| CN107948972A (zh) * | 2017-12-27 | 2018-04-20 | 广东欧珀移动通信有限公司 | 数据业务的恢复方法及相关产品 |
| CN108243144A (zh) * | 2016-12-23 | 2018-07-03 | 大唐移动通信设备有限公司 | 一种lte系统中as安全模式过程优化方法 |
-
2005
- 2005-09-22 CN CN 200510086496 patent/CN1937487A/zh active Pending
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10015669B2 (en) | 2007-08-31 | 2018-07-03 | Huawei Technologies Co., Ltd. | Communication method and device |
| US10595198B2 (en) | 2007-08-31 | 2020-03-17 | Huawei Technologies Co., Ltd. | Communication method and device |
| US9497625B2 (en) | 2007-08-31 | 2016-11-15 | Huawei Technologies Co., Ltd. | Method for negotiating security capability when terminal moves |
| US9538373B2 (en) | 2007-08-31 | 2017-01-03 | Huawei Technologies Co., Ltd. | Method and device for negotiating security capability when terminal moves |
| US9572027B2 (en) | 2007-09-29 | 2017-02-14 | Huawei Technologies Co., Ltd. | Method, system and apparatus for negotiating security capabilities during movement of UE |
| US10548012B2 (en) | 2007-09-29 | 2020-01-28 | Huawei Technologies Co., Ltd. | Method, system and apparatus for negotiating security capabilities during movement of UE |
| WO2010012201A1 (zh) * | 2008-07-29 | 2010-02-04 | 深圳华为通信技术有限公司 | 鉴权方法、通信装置和通信系统 |
| CN101355809B (zh) * | 2008-09-12 | 2013-03-20 | 中兴通讯股份有限公司 | 一种协商启用安全上下文的方法和系统 |
| US9729523B2 (en) | 2009-09-08 | 2017-08-08 | Huawei Technologies Co., Ltd. | Method, network element, and mobile station for negotiating encryption algorithms |
| CN102970678B (zh) * | 2009-09-08 | 2016-12-07 | 华为技术有限公司 | 加密算法协商方法、网元及移动台 |
| US8908863B2 (en) | 2009-09-08 | 2014-12-09 | Huawei Technologies Co., Ltd. | Method, network element, and mobile station for negotiating encryption algorithms |
| CN102790965A (zh) * | 2011-05-18 | 2012-11-21 | 华为技术有限公司 | 切换方法、基站、用户设备和移动管理实体 |
| CN102790965B (zh) * | 2011-05-18 | 2016-09-14 | 华为技术有限公司 | 切换方法、基站、用户设备和移动管理实体 |
| US9398510B2 (en) | 2011-05-18 | 2016-07-19 | Huawei Technologies Co., Ltd. | Handover method, base station, user equipment, and mobility management entity |
| WO2012155862A1 (zh) * | 2011-05-18 | 2012-11-22 | 华为技术有限公司 | 切换方法、基站、用户设备和移动管理实体 |
| WO2014113918A1 (zh) * | 2013-01-22 | 2014-07-31 | 华为技术有限公司 | 移动通信系统的安全认证的方法和网络设备 |
| WO2017128727A1 (zh) * | 2016-01-27 | 2017-08-03 | 中兴通讯股份有限公司 | 边缘计算节点的交互方法及装置 |
| CN108243144A (zh) * | 2016-12-23 | 2018-07-03 | 大唐移动通信设备有限公司 | 一种lte系统中as安全模式过程优化方法 |
| CN108243144B (zh) * | 2016-12-23 | 2020-07-28 | 大唐移动通信设备有限公司 | 一种lte系统中as安全模式过程优化方法 |
| CN107948972A (zh) * | 2017-12-27 | 2018-04-20 | 广东欧珀移动通信有限公司 | 数据业务的恢复方法及相关产品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11856402B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
| KR100956823B1 (ko) | 이동 통신 시스템에서 보안 설정 메시지를 처리하는 방법 | |
| US11799650B2 (en) | Operator-assisted key establishment | |
| CN1947453B (zh) | 未经许可的移动接入信令的改进的用户认证 | |
| US8583929B2 (en) | Encryption method for secure packet transmission | |
| KR101395204B1 (ko) | Lte 모바일 유닛에서의 비접속 계층(nas) 보안을 가능하게 하는 방법 및 장치 | |
| EP2309698B1 (en) | Exchange of key material | |
| US8565433B2 (en) | Method and system for managing air interface key | |
| CN101180828A (zh) | 用于在综合网络中加密和传输数据的装置与方法 | |
| JP2003524353A (ja) | 通信システムにおける完全性のチェック | |
| WO2013185735A2 (zh) | 一种加密实现方法及系统 | |
| EP1121822B1 (en) | Authentication in a mobile communications system | |
| CN101406024A (zh) | Umts的lte的安全考量 | |
| CN1937487A (zh) | Lte中鉴权和加密的方法 | |
| CN101877852B (zh) | 用户接入控制方法和系统 | |
| US7200750B1 (en) | Method for distributing encryption keys for an overlay data network | |
| CN101162955B (zh) | 一种手机电视业务系统获取注册密钥的方法 | |
| EP1238554A1 (en) | Communication method | |
| US20100304713A1 (en) | Technique for restricting access to a wireless communication service | |
| WO2007075068A1 (en) | Method for authentication between ue and network in wireless communication system | |
| CN1650580B (zh) | 保证链路安全的方法及实现该方法的数据终端 | |
| EP1359778A1 (en) | System, method and station for use in secure communication | |
| KR101094057B1 (ko) | 이동 통신시스템의 초기 시그널링 메시지 처리 방법 및장치 | |
| Bluszcz | UMTS Security UMTS Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |