CN101848464B - 实现网络安全的方法、装置及*** - Google Patents
实现网络安全的方法、装置及*** Download PDFInfo
- Publication number
- CN101848464B CN101848464B CN2009101305491A CN200910130549A CN101848464B CN 101848464 B CN101848464 B CN 101848464B CN 2009101305491 A CN2009101305491 A CN 2009101305491A CN 200910130549 A CN200910130549 A CN 200910130549A CN 101848464 B CN101848464 B CN 101848464B
- Authority
- CN
- China
- Prior art keywords
- access network
- general access
- algorithm
- message
- nas
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种实现网络安全的方法、设备及***。本发明实施例的方法包括:接收来自移动管理实体的包括鉴权结果信息的注册响应消息;如果所述鉴权结果信息包括通用接入网络业务完整性密钥和用户设备安全能力信息,所述用户设备安全能力信息包括用户设备支持算法的信息,则根据所述支持算法的信息,确定与用户设备共同支持的算法作为一致性算法;向用户设备发送携带所述一致性算法的标识的注册接受消息,所述注册接受消息通过所述通用接入网络业务完整性密钥和所述一致性算法得到一致性保护。本发明实施例无需引入额外设备,利用MME完成对UE的鉴权,降低了一致性保护的复杂度。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种通用接入实现网络安全的方法、装置及***。
背景技术
长期演进(Long Term Evolution,LTE)***可为用户提供数据业务和语音业务。其中,语音业务是通过通用接入网络控制器(Generic Access NetworkController,GANC)来实现的。
在通过GANC实现语音业务的方案中,采用了一种IP层安全机制(IPSecurity,IPSec)方法来保证用户设备(User Equipment,UE)与GANC之间传递的业务信令的安全性。
该IPSec方法主要包括:在因特网密钥交换第一阶段(Internet Key ExchangePease1,IKE PHASE1)流程中完成UE与GANC之间的因特网密钥交换安全链接(Internet Key Exchange Security Association,IKE SA)的建立,在上述IKEPHASE1流程中需要引入鉴权、授权和计费(Authentication,Authorization,Accounting,AAA)服务器来完成网络对UE的扩展鉴权协议-鉴权和密钥协议(Extensible Authentication Protocol-Authentication and Key Agreement,EAP-AKA)鉴权;还需要在因特网密钥交换第二阶段(IKE PHASE2)流程中完成UE与GANC之间目标协议安全链接的建立。
在实现本发明的过程中,发明人发现现有技术中至少存在如下问题:该EAP-AKA鉴权方法复杂度较高,实现起来较困难,并且还需要在部署网络时引入额外的AAA服务器来完成对UE的鉴权,付出的成本也较高,导致该方法在实施的过程中需要付出很高的代价。
发明内容
本发明的实施例提供一种实现网络安全的方法、装置及***,以降低对业务信令进行一致性保护的复杂度。
为达到上述目的,本发明的实施例采用如下技术方案:
一种实现网络安全的方法,包括:
接收来自移动管理实体发来包括鉴权结果信息的注册响应消息;
如果所述鉴权结果信息包括通用接入网络业务完整性密钥和用户设备安全能力信息,所述用户设备安全能力信息包括用户设备支持算法的信息,则根据所述支持算法的信息,确定与用户设备共同支持的算法作为一致性算法;
向用户设备发送携带所述一致性算法的标识的注册接受消息到用户设备,所述注册接受消息通过所述通用接入网络业务完整性密钥和所述一致性算法得到一致性保护。
一种实现网络安全的方法,包括:
接收来自通用接入网络控制器发来的携带用户非接入层暗号的注册请求消息;
获取网络非接入层暗号;
向通用接入网络控制器发送携带通用接入网络业务完整性密钥和用户设备安全能力信息的注册响应消息到通用接入网络控制器,所述用户设备安全能力信息包括用户设备支持算法的信息。
一种用户设备,包括:
获取模块,用于获取通用接入网络业务完整性密钥;
接收模块,用于接收从通用接入网络控制器发来的被一致性保护的注册接受消息,该注册接受消息中携带一致性算法的标识;
验证模块,用于利用所述通用接入网络业务完整性密钥和所述标识对应的算法对所述注册接受消息进行验证。
一种网络设备,包括:
接收模块,用于接收来自移动管理实体的包括鉴权结果信息的注册响应消息;
确定模块,用于当所述鉴权结果信息包括通用接入网络业务完整性密钥和用户设备安全能力信息时,所述用户设备安全能力信息包括用户设备支持算法的信息,根据所述支持算法的信息,确定与用户设备共同支持的算法作为一致性算法;
发送模块,用于向用户设备发送携带所述一致性算法的标识的注册接受消息到用户设备,所述注册接受消息通过所述通用接入网络业务完整性密钥和所述一致性算法得到一致性保护。
一种网络设备,包括:
密钥获取模块,用于获取通用接入网络业务完整性密钥;
发送模块,用于发送携带通用接入网络业务完整性密钥和用户设备安全能力信息的注册响应消息到通用接入网络控制器,所述用户设备安全能力信息包括用户设备支持算法的信息。
一种实现网络安全的***,包括:
移动管理实体,用于获取通用接入网络业务完整性密钥,并向通用接入网络控制器发送携带通用接入网络业务完整性密钥和用户设备安全能力信息的注册响应消息,所述用户设备安全能力信息包括用户设备支持算法的信息;
通用接入网络控制器,接收来自移动管理实体的包括鉴权结果信息的注册响应消息,当所述鉴权结果信息包括通用接入网络业务完整性密钥和用户设备安全能力信息时,所述用户设备安全能力信息包括用户设备支持算法的信息,根据所述支持算法的信息选出与用户设备共同支持的算法作为一致性算法,并发送携带所述一致性算法的标识的注册接受消息到用户设备,所述注册接受消息通过所述通用接入网络业务完整性密钥和所述一致性算法得到一致性保护;
用户设备,用于获取通用接入网络业务完整性密钥,接收来自通用接入网络控制器的被一致性保护的注册接受消息,该注册接受消息中携带一致性算法的标识,并利用所述通用接入网络业务完整性密钥和所述标识对应的算法对所述注册接受消息进行验证。
本发明实施例提供的实现网络安全的方法、装置及***通过采用利用移动管理实体(Mobility Management Entity,MME)实现网络侧对UE进行鉴权,并对鉴权后的业务信令进行一致性保护的技术方案,克服了现有技术中需要额外引入AAA服务器才能实现网络侧对UE进行的EAP-AKA鉴权,并且鉴权方法复杂度高的技术问题,进而取得了降低对业务信令进行一致性保护的复杂度、实现起来较简单的有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1实现网络安全的方法的流程图;
图2为本发明实施例2实现网络安全的方法的流程图;
图3为本发明实施例3实现网络安全的方法的流程图;
图4为本发明实施例4实现网络安全的方法的流程图;
图5为本发明实施例5实现网络安全的UE设备的框图;
图6为本发明实施例5实现网络安全的GANC设备的框图;
图7为本发明实施例5实现网络安全的MME设备的框图;
图8为本发明实施例6实现网络安全的***的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例应用于长期演进(Long Term Evolution,LTE),但不限于该***,还可以是其他网络***,包括:WIMAX(Worldwide Interoperability forMicrowave Access,全球微波接入互操作性)***,全球移动通信***(GlobalSystem for Mobile Communications,GSM)、宽带码分多址(Wideband-CodeDivision Multiple Access,WCDMA)、时分同步码分多址接入(Time Division-Synchronized Code Division Multiple Access,TD-SCDMA)、码分多址(Code-Division Multiple Access,CDMA)、无线局域网(Wireless Local AreaNetwork,WLAN),或固定网络等。
实施例1
本实施例公开一种实现网络安全的方法,该方法适合部署在UE上,如图1所示,该方法包括:
在UE通过演进包交换***(Evolved Packet System,EPS)完成了接入LTE***的安全认证后,UE与MME可以各拥有一个接入安全管理实体密钥(Key ofAccess Security Management Entity,KASME)并且UE与MME的KASME相同。
11,利用EPS的鉴权结果KASMEUE可获取通用接入网络业务完整性密钥(Integrity Key of Generic Access Network,IKGAN)。
12,UE接收到从GANC发来的被一致性保护的通用接入资源控制层注册接受(GA-RC REGISTER ACCEPT)消息,该GA-RC REGISTER ACCEPT消息中携带一致性算法的标识。
在12中所述的被一致性保护的GA-RC REGISTER ACCEPT消息是指该GA-RC REGISTER ACCEPT消息中附加有用于业务信令完整性保护的消息认证码(MAC-I)
13,UE根据该一致性算法的标识找到UE侧与该标识对应的算法。
14,利用11中的IKGAN和UE找到的算法对接收到的GA-RC REGISTERACCEPT消息进行验证。
在14中的验证具体过程为:UE向该找到的算法(即完整性算法)里输入参数:IKGAN、完整性序列号,被保护的GA-RC REGISTER ACCEPT消息以及方向(上行或者下行,在本实施例中此处为上行),通过完整性算法的计算算出一个验证消息认证码(XMAC-I),并用该XMAC-I与收到的消息里附加的MAC-I进行比较,如果两者一致,则通过一致性验证通过,反之则为未通过一致性验证。
其中,完整性序列号在本实施例中均为早已获知的;完整性算法,IKGAN,被保护的GA-RC REGISTER ACCEPT消息以及方向则为在本实施例中获知的。
本实施例提供的实现网络安全的方法通过采用利用EPS的鉴权结果KASME生成用于一致性保护的密钥的技术方案,解决了现有技术中在通过IPSec方法为业务信令提供一致性保护时,UE需要加入对IPSec特性的支持由此而导致了复杂度较高的技术问题,进而取得了降低对业务信令进行的一致性保护的复杂度的技术效果。
实施例2
本实施例公开一种实现网络安全的方法,该方法适合部署在GANC上,如图2所示,该方法包括:
21,GANC接收到MME发来包括鉴权结果信息的前向注册响应(ForwardRegister Response)消息。
22,如果所述Forward Register Response消息的鉴权结果信息中包括IKGAN和UE安全能力信息,并且该UE安全能力信息含有UE侧所支持的算法的信息,则GANC根据所述支持的算法的信息选出GANC侧与UE共同支持的一种算法作为一致性保护的一致性算法。
23,GANC发送携带所述一致性算法的标识的通用接入资源控制层注册接受(GA-RC REGISTER ACCEPT)消息给UE,所述GA-RC REGISTER ACCEPT消息通过所述IKGAN和所述一致性算法得到一致性保护。
在23中所述的一致性保护具体为:GANC向该一致性算法(即完整性算法)里输入参数:IKGAN、完整性序列号,要保护的GA-RC REGISTER ACCEPT消息以及方向(上行或者下行,在本实施例中此处为下行),并通过完整性算法一个MAC-I,将该MAC-I附加在GA-RC REGISTER ACCEPT消息后。
其中,完整性序列号在本实施例中均为早已获知的;完整性算法,IKGAN,要保护的GA-RC REGISTER ACCEPT消息以及方向则为在本实施例中获知的。
本实施例提供的实现网络安全的方法具有如下有益效果:GANC通过MME获取用于一致性保护的一致性密钥,无需GANC计算;通过MME获取UE侧支持的算法的信息,GANC通过选出GANC侧与UE侧共同支持的算法即可获得作为一致性保护的一致性算法,过程简单,复杂度低。
实施例3
本实施例公开一种实现网络安全的方法,该方法适合部署在MME上,如图3所示,该方法包括:
在UE通过EPS完成了接入LTE***的安全认证后,UE与MME会各拥有KASME,并且UE与MME的KASME相同。
31,利用EPS的鉴权结果KASME,,MME可得到IKGAN。
32,MME发送携带上述IKGAN和UE安全能力信息的前向注册响应(ForwardRegister Response)消息到GANC,所述UE安全能力信息里包括UE侧支持的算法的信息。
本实施例提供的适用于MME上的实现网络安全的方法具有如下有益效果:利用网络架构中的MME对实现对UE的鉴权,与现有技术中需要在网络架构中额外引入AAA服务器相比,减少了运营成本,并且实现起来较容易,降低了实现对业务信令实施一致性保护的复杂度。
实施例4
本实施例具体提供一种实现网络安全的方法,如图4所示,该方法包括:在UE通过EPS完成了接入LTE***的安全认证后,UE与MME会各拥有一个KASME,并且UE与MME的KASME相同。
101,UE在向GANC发起注册请求消息前,向密钥生成函数(Key DerivationFunction,KDF)算法中输入参数FC(0x17),P0(上行非接入层序列号),L0(上行非接入层序列号长度)来计算KASME并得到一个256bit的NAS-token1,同时UE也向KDF算法中输入参数FC(0x1B),P0(下行非接入层序列号),L0(下行非接入层序列号长度)来计算KASME并得到一个128bit的IKGAN和一个128bit的通用接入网络业务加密密钥(Cipher Key of Generic Access Network,CKGAN),UE选择其中的128bit的IKGAN作为业务信令的一致性保护密钥。
在101中,UE可以使用128bit的IKGAN作为业务信令一致性保护的密钥,也可以使用由128bit的IKGAN和128bit的CKGAN组合而成256bit的IKGAN作为业务信令一致性保护的密钥。
102,UE向GANC发送GA-RC REGISTER消息,在该GA-RC REGISTER消息中携带有UE的注册信息、101中计算得到的NAS-token1,以及非接入成序列号(NAS Sequence Number),该NAS Sequence Number取上行非接入层序列号的低8位。
103,GANC接收到上述GA-RC REGISTER消息,并获取该GA-RCREGISTER请求消息中携带的UE的注册信息、NAS-token1及NAS SequenceNumber。GANC通过发送Forward Register Request消息将上述获取的注册信息、NAS-token1及NAS Sequence Number转发给MME。
104,MME接收到上述Forward Register Request消息后,根据收到的NASSequence Number和MME侧的上行非接入层序列号的非接入层溢出序列号计算出非接入层序列号。用与101中UE相同的KDF算法和输入参数(即向KDF算法中输入参数FC(0x17),P0(上行非接入层序列号),L0(上行非接入层序列号长度))计算KASME并得到NAS-token2。MME将自己计算得出的NAS-token2与Forward Register Request消息中携带的NAS-token1进行比较,如果两者一致,则代表UE通过网络侧的鉴权,并同样用与101中UE相同的KDF算法和输入参数(即向KDF算法中输入参数FC(0x1B),P0(下行非接入层序列号),L0(下行非接入层序列号长度))计算KASME,并且同样得到一个128bit的IKGAN和一个128bit的CKGAN,对应于101中的IKGAN,本步骤中MME也选择其中的128bit的IKGAN作为业务信令的一致性保护密钥;如果比较的结果两者不一致,则执行1051。
同样地,在104中,MME可以使用128bit的IKGAN作为业务信令一致性保护的密钥,也可以使用由128bit的IKGAN和128bit的CKGAN组合而成256bit的IKGAN作为业务信令一致性保护的密钥,对应于上述101中选择,如果101中选择了组合而成的256bit的IKGAN,那么104中也对应选择组合而成的256bit的IKGAN。
105,MME回复Forward Register Response消息给GANC,在该ForwardRegister Response消息中携带上述计算得出的IKGAN和UE安全能力信息,该UE安全能力信息里含有UE侧支持的算法信息。
1051 MME回复Forward Register Response消息给GANC,在该ForwardRegister Response消息中携带鉴权失败原因值,并直接执行1071。
106,GANC在接收到上述Forward Register Response消息后,获取该ForwardRegister Response消息中携带的IKGAN和UE支持的算法信息,同时GANC将本地的下行通用接入网络计数器(DOWNLINK GAN COUNT)设置为0,并根据该Forward Register Response消息中携带的UE侧支持的算法信息和GANC自身支持算法信息选择出两端都共同支持的算法作为一致性算法,该一致性算法用于实施UE与GANC间传递的业务信息的一致性保护。
107,GANC回复携带上述一致性算法的标识的GA-RC REGISTER ACCEPT消息给UE,该GA-RC REGISTER ACCEPT消息得到一致性保护。
在107中所述的一致性保护具体为:GANC向一致性算法(即完整性算法)里输入参数:IKGAN、完整性序列号,要保护的GA-RC REGISTER ACCEPT消息以及方向(上行或者下行,在本实施例中此处为下行),并通过完整性算法一个MAC-I,将该MAC-I附加在GA-RC REGISTER ACCEPT消息后。
1071,GANC将通用接入资源控制层注册拒绝(GA-RC REGISTER REJECT)消息发给UE,在该GA-RC REGISTER REJECT消息里携带有拒绝原因值(Register Reject Cause)并直接结束流程。
108,UE接收到上述得到一致性保护的GA-RC REGISTER ACCEPT消息后,选出与该GA-RC REGISTER ACCEPT消息中携带的一致性算法的标识对应的算法作为UE侧的一致性算法,同时将UE侧的UPLINK GAN COUNT设置为0,并对该GA-RC REGISTER ACCEPT消息进行一致性验证。
在108中的一致性验证的具体过程为:UE向一致性算法(即完整性算法)里输入参数:IKGAN、完整性序列号,被保护的GA-RC REGISTER ACCEPT消息以及方向(上行或者下行,在本实施例中此处为上行),通过完整性算法的计算算出一个验证消息认证码(XMAC-I),并用该XMAC-I与收到的消息里附加的MAC-I进行比较,如果两者一致,则通过一致性验证通过,反之则为未通过一致性验证,UE将不执行该GA-RC REGISTER ACCEPT消息的指令并直接结束流程。
109,UE发送通用接入资源控制层注册完成(GA-RC REGISTERCOMPLETE)消息给GANC,该GA-RC REGISTER COMPLETE消息得到一致性保护。
在109中的一致性保护与107中的所提供的一致性保护的具体执行过程是一样的,并且以后UE与GANC之间传递的业务信令都将得到所述一致性保护。
本实施例所提供的实现网络安全的方法至少具有如下有益效果:UE发起GANC业务注册时,利用MME对其进行鉴权,网络侧无需引入AAA服务器,降低实现成本;UE与GANC间无法通过IPSec方法实现一致性保护,降低了业务信令一致性保护的复杂度;充分利用UE与MME共享的密钥KASME导出GANC的一致性密钥IKGAN,用于UEG与ANC在业务上的一致性保护,降低了UE与GANC间实现业务信令一致性保护的实现的复杂程度。
实施例5
本实施例提供一种用户设备UE,如图5所示,该UE包括:获取模块51,接收模块52,验证模块53,暗号获取模块54,发送模块55。
获取模块51用于获取IKGAN;接收模块52用于接收从GANC发来的被一致性保护的GA-RC REGISTER ACCEPT消息,该GA-RC REGISTER ACCEPT消息中携带一致性算法的标识;验证模块53用于利用所述IKGAN和所述标识对应的算法对所述GA-RC REGISTER ACCEPT消息进行验证。
其中,获取模块51用KDF算法对KASME进行计算获取IKGAN,并且获取模块51获取的IKGAN包括:128bit的IKGAN和128bit的CKGAN,相应地,验证模块53在验证过程中利用的IKGAN包括:128bit的IKGAN,或者由128bit的IKGAN和128bit的CKGAN组合而成256bit的IKGAN。
在本实施例中的暗号获取模块54用于用KDF算法对KASME计算获取UE侧的NAS-token;发送模块55用于发送携带所述UE侧的NAS-token的GA-RCREGISTER消息到GANC。
本实施例提供一种GANC,如图6所示,该GANC包括:接收模块61,确定模块62,发送模块63,暗号接收模块64,暗号发送模块65。
接收模块61用于MME发来包括鉴权结果信息的Forward Register Response消息;确定模块62用于当所述鉴权结果信息包括IKGAN和UE安全能力信息时,所述UE安全能力信息里包括UE支持算法的信息,根据所述支持算法的信息选出与UE共同支持的算法作为一致性算法;发送模块63用于发送携带所述一致性算法的标识的GA-RC REGISTER ACCEPT消息到UE,所述GA-RCREGISTER ACCEPT消息通过所述IKGAN和所述一致性算法得到一致性保护。
其中,发送模块63还用于当所述鉴权结果信息包括失败原因值的ForwardRegister Response消息时,发送携带拒绝原因值的GA-RC REGISTER REJECT消息到UE。
在本实施例中的暗号接收模块64用于接收从UE发来的携带UE侧的NAS-token的GA-RC REGISTER消息;暗号发送模块65用于发送携带所述UE侧的NAS-token的Forward Register Request到MME。
本发明实施例的各个单元可以集成于一体,也可以分离部署。上述单元可以合并为一个单元,也可以进一步拆分成多个子单元。
本实施例的用户设备UE可以是手机、或笔记本电脑等。
本实施例提供的方案通过采用根据MME发来的密钥和UE侧支持的算法信息,使得GANC获得用于一致性保护的密钥和算法的技术方案,解决了现有技术中,GANC在获取一致性保护的密钥和算法需要支持IPSec功能的技术问题,进而取得了减少实现一致性保护过程中的复杂度,降低实现一致性保护代价的技术效果。
本实施例提供一种MME,如图7所示,该MME包括:密钥获取模块73,发送模块74。
密钥获取模块73用于获取IKGAN;发送模块74用于发送携带IKGAN和UE安全能力信息的Forward Register Response消息到GANC,所述UE安全能力信息里包括UE支持算法的信息。
进一步,本实施例中的GANC还包括:接收模块71,暗号获取模块72。
接收模块71用于接收从GANC发来的携带UE侧的NAS-token的ForwardRegister Request消息;暗号获取模块72用于获取MME侧的NAS-token。
其中,密钥获取模块73具体是用于当所述UE侧的NAS-token与所述MME侧的NAS-token相同时,获取IKGAN的。相应地,发送模块74还用于当UE侧的NAS-token与MME侧的NAS-token不同时,发送携带失败原因值的ForwardRegister Response消息到GANC。并且暗号获取模块72用KDF算法对KASME进行计算获取UE侧的NAS-token;密钥获取模块73用KDF算法对KASME进行计算获取MME侧的NAS-token。
本发明实施例的各个单元可以集成于一体,也可以分离部署。上述单元可以合并为一个单元,也可以进一步拆分成多个子单元。
本实施例提供的方案,通过采用利用MME对用户进行鉴权的技术方案,解决了现有技术中,需要额外引入AAA服务器对用户进行鉴权,导致实现起来成本高,代价大的技术问题,进而取得了降低对业务信令实施一致性保护实现复杂度的技术效果。
实施例6
本实施例公开一种实现网络安全的***,如图8所示,该***包括:MME81,GANC82,UE83。
MME81用于获取IKGAN,并发送携带IKGAN和UE83安全能力信息的ForwardRegister Response消息到GANC82,所述UE83安全能力信息里包括UE83支持的算法的信息。
GANC82用于接收来自MME81的包括鉴权结果信息的Forward RegisterResponse消息,当所述鉴权结果信息包括IKGAN和UE83安全能力时,所述UE83安全能力里包括UE83支持算法的信息,根据所述支持算法的信息选出与UE83共同支持的算法作为一致性算法,并发送携带所述一致性算法的标识的GA-RCREGISTER ACCEPT消息到UE83,所述GA-RC REGISTER ACCEPT消息通过所述IKGAN和所述一致性算法得到一致性保护。
UE83用于获取IKGAN,接收来自GANC82的被一致性保护的GA-RCREGISTER ACCEPT消息,该GA-RC REGISTER ACCEPT消息中携带一致性算法的标识,并利用所述IKGAN和所述标识对应的算法对所述GA-RC REGISTERACCEPT消息进行验证。
在本实施例中的,UE83还用于用KDF算法对KASME进行计算获取UE83侧的NAS-token,并发送携带UE83侧的NAS-token的GA-RC REGISTER消息到GANC82;相应地,GANC82还用于接收从UE83发来的携带UE83侧的NAS-token的GA-RC REGISTER消息,并发送携带UE83侧的NAS-token的GA-RC REGISTER消息到MME81;相应地,MME81还用于在接收从GANC82发送的携带UE83侧的NAS-token的Forward Register Request消息后,获取MME81侧的NAS-token,并且是当所述UE83侧的NAS-token与所述MME81侧的NAS-token相同时,获取IKGAN的。
本发明实施例***的各个单元可以集成于一个装置,也可以分布于多个装置。上述单元可以合并为一个单元,也可以进一步拆分成多个子单元。
本实施例的用户设备UE可以是手机、或笔记本电脑等。
本实施例提供的技术方案至少具有如下有益效果:通过利用网络构架中的MME现实对UE侧的鉴权,无需在网络构架中引入额外AAA服务器,运营成本低,代价小;通过利用EPS的鉴权结果KASME获取一致性保护的密钥,减少获取一致性保护密钥过程中的运算量,方法简单,降低了一致性保护的复杂度。
本发明实施例主要运用于通信技术领域,为UE与网络侧之间交互的业务信令提供一致性的安全保护。随着网络技术的发展有可能应用到本领域的其它场景,也有可以转用到类似或者相近的技术领域上去。
本发明实施例提供的实现网络安全的方法、装置及***通过采用利用移动管理实体(Mobility Management Entity,MME)实现网络侧对UE进行鉴权,并对鉴权后的业务信令进行一致性保护的技术方案,克服了现有技术中需要额外引入AAA服务器才能实现网络侧对UE进行的EAP-AKA鉴权,并且鉴权方法复杂度高的技术问题,进而取得了降低对业务信令进行一致性保护的复杂度、实现起来较简单的有益效果。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台控制器或者网络设备执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (16)
1.一种实现网络安全的方法,其特征在于,包括:
接收来自移动管理实体的包括鉴权结果信息的注册响应消息;
如果所述鉴权结果信息包括通用接入网络业务完整性密钥和用户设备安全能力信息,所述用户设备安全能力信息包括用户设备支持算法的信息,则根据所述支持算法的信息,确定与用户设备共同支持的算法作为一致性算法;
向用户设备发送携带所述一致性算法的标识的注册接受消息,所述注册接受消息通过所述通用接入网络业务完整性密钥和所述一致性算法得到一致性保护。
2.根据权利要求1所述的实现网络安全的方法,其特征在于,该方法还包括:
如果所述鉴权结果信息包括失败原因值的注册响应消息,则向用户设备发送携带拒绝原因值的注册拒绝消息。
3.根据权利要求1所述的实现网络安全的方法,其特征在于,所述接收来自移动管理实体的包括鉴权结果信息的注册响应消息之前还包括:
接收来自用户设备的携带NAS-token1的注册消息;
向移动性管理实体发送携带所述NAS-token1的注册请求消息。
4.一种实现网络安全的方法,其特征在于,包括:
接收来自通用接入网络控制器的携带NAS-token1的注册请求消息;
获取NAS-token2;
获取通用接入网络业务完整性密钥,所述获取通用接入网络业务完整性密钥包括:如果所述NAS-token1与所述NAS-token2相同,则获取通用接入网络业务完整性密钥;
向通用接入网络控制器发送携带通用接入网络业务完整性密钥和用户设备安全能力信息的注册响应消息,所述用户设备安全能力信息包括用户设备支持算法的信息。
5.根据权利要求4所述的实现网络安全的方法,其特征在于,该方法还包括:
如果所述NAS-token1与所述NAS-token2不同,则向所述通用接入网络控 制器发送携带失败原因值的注册响应消息。
6.根据权利要求4或5所述的实现网络安全的方法,其特征在于,
所述获取NAS-token2包括:利用密钥生成函数算法对接入安全管理实体密钥进行计算,得到NAS-token2;
所述获取通用接入网络业务完整性密钥包括:利用密钥生成函数算法对接入安全管理实体密钥进行计算,得到通用接入网络业务完整性密钥。
7.一种用户设备,其特征在于,包括:
获取模块,用于获取通用接入网络业务完整性密钥;
接收模块,用于接收从通用接入网络控制器发来的被一致性保护的注册接受消息,该注册接受消息中携带一致性算法的标识;
验证模块,用于利用所述通用接入网络业务完整性密钥和所述标识对应的算法,对所述注册接受消息进行验证。
8.根据权利要求7所述的用户设备,其特征在于,该设备还包括:
暗号获取模块,用于利用密钥生成函数算法对接入安全管理实体密钥进行计算,获取NAS-token1;
发送模块,用于向通用接入网络控制器发送携带所述NAS-token1的注册请求消息。
9.根据权利要求7或8所述的用户设备,其特征在于,
所述获取模块获取的通用接入网络业务完整性密钥包括:子通用接入网络业务完整性密钥和通用接入网络业务加密密钥;
则所述验证模块在验证过程中利用的通用接入网络业务完整性密钥包括:子通用接入网络业务完整性密钥,或者通用接入网络业务完整性密钥;所述通用接入网络业务完整性密钥包括子通用接入网络业务完整性密钥和通用接入网络业务加密密钥。
10.一种通用接入网络控制器,其特征在于,包括:
接收模块,用于接收来自移动管理实体的包括鉴权结果信息的注册响应消息;
确定模块,用于当所述鉴权结果信息包括通用接入网络业务完整性密钥和 用户设备安全能力信息时,所述用户设备安全能力信息包括用户设备支持算法的信息,根据所述支持算法的信息,确定与用户设备共同支持的算法作为一致性算法;
发送模块,用于向用户设备发送携带所述一致性算法的标识的注册接受消息到用户设备,所述注册接受消息通过所述通用接入网络业务完整性密钥和所述一致性算法得到一致性保护。
11.根据权利要求10所述的通用接入网络控制器,其特征在于,
所述发送模块还用于当所述鉴权结果信息包括失败原因值的注册响应消息时,向用户设备发送携带拒绝原因值的注册拒绝消息。
12.根据权利要求10或11所述的通用接入网络控制器,其特征在于,该设备还包括:
暗号接收模块,用于接收来自用户设备的携带NAS-token1的注册消息;
暗号发送模块,用于向移动性管理实体发送携带所述NAS-token1的注册请求消息。
13.一种移动管理实体,其特征在于,包括:
接收模块,用于接收来自通用接入网络控制器的携带NAS-token1的注册请求消息;
暗号获取模块,用于获取NAS-token2;
密钥获取模块,用于获取通用接入网络业务完整性密钥,所述密钥获取模块是当所述NAS-token1与所述NAS-token2相同时,获取通用接入网络业务完整性密钥的;
发送模块,用于向通用接入网络控制器发送携带通用接入网络业务完整性密钥和用户设备安全能力信息的注册响应消息,所述用户设备安全能力信息包括用户设备支持算法的信息。
14.根据权利要求13所述的移动管理实体,其特征在于,
所述发送模块还用于当所述NAS-token1与所述NAS-token2不同时,向通用接入网络控制器发送携带失败原因值的注册响应消息。
15.一种实现网络安全的***,其特征在于,包括:
移动管理实体,用于获取通用接入网络业务完整性密钥,并向通用接入网络控制器发送携带通用接入网络业务完整性密钥和用户设备安全能力信息的注册响应消息,所述用户设备安全能力信息包括用户设备支持算法的信息;
通用接入网络控制器,接收来自移动管理实体的包括鉴权结果信息的注册响应消息,当所述鉴权结果信息包括通用接入网络业务完整性密钥和用户设备安全能力信息时,所述用户设备安全能力信息包括用户设备支持算法的信息,根据所述支持算法的信息选出与用户设备共同支持的算法作为一致性算法,发送携带所述一致性算法的标识的注册接受消息到用户设备,所述注册接受消息通过所述通用接入网络业务完整性密钥和所述一致性算法得到一致性保护;
用户设备,用于获取通用接入网络业务完整性密钥,接收来自通用接入网络控制器的被一致性保护的注册接受消息,该注册接受消息中携带一致性算法的标识,利用所述通用接入网络业务完整性密钥和所述标识对应的算法对所述注册接受消息进行验证。
16.根据权利要求15所述的实现网络安全的***,其特征在于,
所述用户设备还用于根据密钥生成函数算法对接入安全管理实体密钥进行计算,获取NAS-token1;向通用接入网络控制器发送携带所述NAS-token1的注册请求消息;
所述通用接入网络控制器还用于接收来自用户设备的携带NAS-token1的注册消息,向移动性管理实体发送携带所述NAS-token1的注册请求消息;
所述移动管理实体还用于在接收来自通用接入网络控制器的所述注册请求消息后,获取NAS-token2;当所述NAS-token1与所述NAS-token2相同时,获取通用接入网络业务完整性密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101305491A CN101848464B (zh) | 2009-03-28 | 2009-03-28 | 实现网络安全的方法、装置及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101305491A CN101848464B (zh) | 2009-03-28 | 2009-03-28 | 实现网络安全的方法、装置及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101848464A CN101848464A (zh) | 2010-09-29 |
| CN101848464B true CN101848464B (zh) | 2012-11-21 |
Family
ID=42772892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101305491A Expired - Fee Related CN101848464B (zh) | 2009-03-28 | 2009-03-28 | 实现网络安全的方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101848464B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102036237B (zh) * | 2010-12-20 | 2012-12-12 | 广州杰赛科技股份有限公司 | 一种无线城域网的安全接入方法 |
| WO2016015347A1 (zh) * | 2014-08-01 | 2016-02-04 | 华为技术有限公司 | 一种数据处理方法、装置及*** |
| CN108702624B (zh) | 2016-01-05 | 2021-02-23 | 华为技术有限公司 | 移动通信方法、装置及设备 |
| CN115280803B (zh) * | 2020-04-24 | 2023-10-13 | Oppo广东移动通信有限公司 | 多媒体广播组播服务认证方法、装置、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101199163A (zh) * | 2005-06-17 | 2008-06-11 | 诺基亚公司 | 第三代移动网络中的未授权移动接入支持 |
| CN101385374A (zh) * | 2006-02-24 | 2009-03-11 | 艾利森电话股份有限公司 | 通用接入网中的计费和位置指示 |
-
2009
- 2009-03-28 CN CN2009101305491A patent/CN101848464B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101199163A (zh) * | 2005-06-17 | 2008-06-11 | 诺基亚公司 | 第三代移动网络中的未授权移动接入支持 |
| CN101385374A (zh) * | 2006-02-24 | 2009-03-11 | 艾利森电话股份有限公司 | 通用接入网中的计费和位置指示 |
Non-Patent Citations (1)
| Title |
|---|
| Huawei.New Architecture Alternative for CS services over EPS.《3GPP TSG SA WG2 Meeting #69 TD S2-087631》.2008, * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101848464A (zh) | 2010-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10178549B2 (en) | Authentication and key agreement with perfect forward secrecy | |
| EP2309698B1 (en) | Exchange of key material | |
| US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
| CN109314861B (zh) | 获取密钥的方法、设备和通信*** | |
| CN112738804B (zh) | 一种安全保护的方法及装置 | |
| CN100407868C (zh) | 一种在移动用户和应用服务器之间建立安全信道的方法 | |
| CN101512537A (zh) | 在自组无线网络中安全处理认证密钥资料的方法和*** | |
| CN101990211B (zh) | 网络接入方法、装置和*** | |
| CN109788474A (zh) | 一种消息保护的方法及装置 | |
| CN109560919A (zh) | 一种密钥衍生算法的协商方法及装置 | |
| CN104604290B (zh) | 用于执行移动终端的切换的方法和***、以及意图用在无线蜂窝通信网络中的移动终端 | |
| CN107396350A (zh) | 基于sdn‑5g网络架构的sdn组件间安全保护方法 | |
| CN101848464B (zh) | 实现网络安全的方法、装置及*** | |
| US8407474B2 (en) | Pre-authentication method, authentication system and authentication apparatus | |
| Singh et al. | A privacy-preserving authentication protocol with secure handovers for the LTE/LTE-A networks | |
| CN103905389B (zh) | 基于中继设备的安全关联、数据传输方法及装置、*** | |
| CN103024735A (zh) | 无卡终端的业务访问方法及设备 | |
| CN101005489A (zh) | 一种保护移动通信***网络安全的方法 | |
| CN102892114A (zh) | 一种设备合法性检验的方法及装置 | |
| CN102318259B (zh) | 用于业务计数密钥管理和密钥计数管理的方法和装置 | |
| EP2389031B1 (en) | Secure handoff method and system | |
| Moroz et al. | Methods for ensuring data security in mobile standards | |
| Liu et al. | The untrusted handover security of the S-PMIPv6 on LTE-A | |
| CN102056155B (zh) | 移动回程网络 | |
| EP4231681A1 (en) | Trusted relay communication method and apparatus, terminal, and network side device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121121 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |