CN102256234A - 一种对用户鉴权过程进行处理的方法及设备 - Google Patents
一种对用户鉴权过程进行处理的方法及设备 Download PDFInfo
- Publication number
- CN102256234A CN102256234A CN2010101827920A CN201010182792A CN102256234A CN 102256234 A CN102256234 A CN 102256234A CN 2010101827920 A CN2010101827920 A CN 2010101827920A CN 201010182792 A CN201010182792 A CN 201010182792A CN 102256234 A CN102256234 A CN 102256234A
- Authority
- CN
- China
- Prior art keywords
- algorithm
- deriving
- tenability
- hss
- mme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种对用户鉴权过程进行处理的方法及设备,包括:用户设备在初始非接入层消息中携带对推衍算法的支持能力后向移动性管理实体发送初始非接入层消息;移动性管理实体初始非接入层消息获取用户设备对推衍算法的支持能力后,在向归属用户服务器请求数据的过程中,将用户设备对推衍算法的支持能力发送给归属用户服务器;归属用户服务器接收移动性管理实体发送的用户设备对推衍算法的支持能力后,根据用户设备对推衍算法的支持能力确定用户设备使用的推衍算法。本发明使归属用户服务器能够获得用户设备的密钥算法支持能力,从而能够灵活的选择密钥推衍算法,满足了运营商对密钥推衍算法选择灵活性的要求。
Description
技术领域
本发明涉及无线通信技术,特别涉及一种对用户鉴权过程进行处理的方法及设备。
背景技术
TS23.401中描述了UE(User Equipment,用户设备)附着到网络的过程,在初始NAS(NonAccess Stratum,非接入层)消息中携带了UE的网络能力(UEnetwork capability),TS24.301中的9.9.3.3.4.1部分给出了UE的网络能力结构,从中可以看出,UE的网络能力包含EPS(Evolved Packet System,演进分组***)的安全算法能力、UMTS(Universal Mobile Telecommunications System,通用移动通信***)的安全算法能力、UCS2(Universal Character Set 2,通用特性集2)能力以及1xSRVCC(1x Single Radio Voice Call Continuity,单无线连接的话音连续性,1x指CDMA2000的版本)能力,该网络能力存储在MME(Mobility Management Entity,移动性管理实体)中。
Figure 9.9.3.34.1:UE network capability information element(UE网络能力信息单元):
其中,表中的各英文为:
EEA:EPS Encryption Algorithm,EPS加密算法;
EIA:EPS Integrity Algorithm,EPS完整性算法;
UEA:UMTS Encryption Algorithm,UMTS加密算法;
UCS:Universal Character Set,通用特性集;
UIA:UMTS Integrity Algorithm,UMTS完整性算法;
Spare:保留位。
图1为Distribution of authentication data from HSS to MME(HSS向MME分配认证数据)示意图,UE发起初始NAS消息,包含UE的安全能力,MME收到初始NAS消息后,决定执行AKA(Authentication and Key Agreement,认证及密钥协商)过程,如图所示,首先MME向HSS(Home Subscriber Server,归属用户服务器)发送Authentication data Request(认证数据请求)消息,请求认证数据,HSS根据密钥推衍算法推衍出密钥和各认证向量,在Authentication data Response(认证数据响应)消息中传递给MME。具体可以参见TS33.401中6.1.2-1部分给出的认证数据请求过程。
在TS29.272部分的表5.2.3.1.1/1中给出了请求消息的内容如下:
Table 5.2.3.1.1/1:Authentication Information Request(认证信息请求)
Information elementname(信息单元) | MappingtoDiameterAVP | Cat | Description(描述) |
IMSI | User-Name(SeeIETF RFC3588[4]) | M(必选) | This information element shall contain the userIMSI,formatted according to 3GPP TS 23.003[3],clause 2.2.(该信息单元包含用户的IMSI,格式依照3GPP TS 23.003[3]的条款) |
SupportedFeatures(See3GPP TS29.229[9]) | Supported-Features | O(可选) | If present,this information element shallcontain the list of features supported by theorigin host.(如果出现,该信息单元包含源主机支持的特征列表) |
RequestedE-UTRANAuthentication Info(See7.3.11) | Requested-EUTRAN-Authentication-Info | C(条件可选) | This information element shall contain theinformation related to authentication requestsfor E-UTRAN.(该信息单元包含向E-UTRAN请求认证有关的信息) |
RequestedUTRAN/GERANAuthentication Info(See7.3.12) | Requested-UTRAN-GERANAuthentication-Info | C | This information element shall contain theinformation related to authentication requestsfor UTRAN or GERAN.(该信息单元包含向UTRAN或GERAN请求认证有关的信息) |
VisitedPLMN ID(See7.3.9) | Visited-PLMN-ID | M | This IE shall contain the MCC and the MNC ofthe visited PLMN,see 3GPP TS 23.003[3].(该信息单元包含访问PLMN的MCC与MNC,参见3GPP TS 23.003[3]) |
其中,IMSI:International Mobile Subscriber Identity,国际移动用户标识码;
E-UTRAN:Evolution-Universal Terrestrial Radio Access Network,演进的全球地面无线接入网;
GERAN:GSM EDGE Radio Access Network,GSM EDGE无线接入网;
PLMN:Public Land Mobile Network,公共陆上移动网络;
MCC:Mobile Country Code,移动国家代码;
MNC:Mobile Network Code,移动网络代码;
AVP:(Attribute Value Pair,属性值对)。
图2为EPS user authentication(EPS AKA)(EPS用户认证)示意图,如图所示,MME收到HSS的认证数据后,发起AKA过程,实现UE和网络之间的互认证过程。具体可以参见33.401中6.1.1-1部分给出的认证过程。
现有技术的不足在于:HSS不知道UE是否支持运营商自定义的密钥推衍算法,使得HSS无法灵活的选择密钥推衍算法。
发明内容
本发明所解决的技术问题在于提供了一种对用户鉴权过程进行处理的方法及设备,用以解决现有技术中HSS不能根据UE对推衍算法的支持能力确定UE使用的推衍算法的问题。
本发明实施例中提供了一种对用户鉴权过程进行处理的方法,包括如下步骤:
UE确定UE对推衍算法的支持能力;
UE在初始NAS消息中携带对推衍算法的支持能力;
UE向MME发送初始NAS消息。
本发明实施例中提供了一种对用户鉴权过程进行处理的方法,包括如下步骤:
MME从UE发送的初始NAS消息获取UE对推衍算法的支持能力;
MME在向HSS请求数据的过程中,将UE对推衍算法的支持能力发送给HSS。
本发明实施例中提供了一种对用户鉴权过程进行处理的方法,包括如下步骤:
HSS接收MME在向HSS请求数据的过程中发送的UE对推衍算法的支持能力;
HSS根据UE对推衍算法的支持能力以及运营商的配置确定UE使用的推衍算法。
本发明实施例中提供了一种用户设备,包括:
能力确定模块,用于确定UE对推衍算法的支持能力;
参数携带模块,用于在初始NAS消息中携带对推衍算法的支持能力;
发送模块,用于向MME发送初始NAS消息。
本发明实施例中提供了一种移动性管理实体设备,包括:
获取模块,用于从UE发送的初始NAS消息获取UE对推衍算法的支持能力;
发送模块,用于在向HSS请求数据的过程中,将UE对推衍算法的支持能力发送给HSS。
本发明实施例中提供了一种归属用户服务器,包括:
接收模块,用于接收MME在向HSS请求数据的过程中发送的UE对推衍算法的支持能力;
算法确定模块,用于根据UE对推衍算法的支持能力以及运营商的配置确定UE使用的推衍算法。
本发明有益效果如下:
本发明在实施过程中,UE在初始NAS消息中携带对推衍算法的支持能力后向MME发送初始NAS消息;MME从UE发送的初始NAS消息获取UE对推衍算法的支持能力后,在向HSS请求数据的过程中,将UE对推衍算法的支持能力发送给HSS;HSS接收MME在向HSS请求数据的过程中发送的UE对推衍算法的支持能力后,根据UE对推衍算法的支持能力以及运营商的配置确定UE使用的推衍算法。由于将UE的推衍算法可选能力指示经MME上报HSS,使得HSS能够获得UE的密钥算法支持能力,HSS从而能够灵活的选择密钥推衍算法,满足了运营商对密钥推衍算法选择灵活性的要求。
附图说明
图1为背景技术中Distribution of authentication data from HE to MME示意图;
图2为背景技术中EPS user authentication(EPS AKA)示意图;
图3为本发明实施例中UE侧对用户鉴权过程进行处理的方法实施流程示意图;
图4为本发明实施例中MME侧对用户鉴权过程进行处理的方法实施流程示意图;
图5为本发明实施例中HSS侧对用户鉴权过程进行处理的方法实施流程示意图;
图6为本发明实施例中UE对推衍算法的支持能力传递流程示意图;
图7为本发明实施例中用户设备结构示意图;
图8为本发明实施例中移动性管理实体设备结构示意图;
图9为本发明实施例中归属用户服务器结构示意图。
具体实施方式
发明人在发明过程中注意到:
在初始NAS消息中,包含UE的网络能力,但是UE的网络能力中不包含UE对密钥推衍算法的支持能力,而这将导致MME无法得到UE所支持的密钥推衍算法。
进一步的,在MME发起的认证数据请求过程中,在Authentication dataRequest消息中没有包含UE的密钥推衍算法的支持能力,HSS同样也无法获得UE的密钥算法支持能力。
在用户鉴权过程中,需要HSS根据UE的网络能力以及运营商的配置选择一种密钥推衍算法,根据此推衍算法由K(key,密钥)推衍出CK/IK(CipherKey/Integrity key,加密密钥/完整性密钥)。
由于运营商有使用自己定制的密钥推衍算法的需求,需要支持推衍算法的灵活选择,所以,UE对推衍算法的支持能力的指示影响着HSS对推衍算法的可选择范围,即如果UE经由MME向HSS指示了对于运营商自定义推衍算法提供支持且运营商配置使用自定义推衍算法,则HSS会选用运营商自定义推衍算法并指示UE同样应用。但是现有协议中UE的安全能力不包含UE对密钥推衍算法支持的能力,所以HSS不知道UE是否支持运营商自定义的密钥推衍算法,这就使得HSS无法灵活的选择密钥推衍算法,从而影响密钥推衍的灵活性,并且不能满足运营商的需求。
基于此,本发明实施例中提出了密钥推衍算法可选能力指示的方案。下面结合附图对本发明的具体实施方式进行说明。
在说明过程中,将分别从UE、MME、HSS的实施方式进行说明,然后对三者的协调使用过程进行说明。
一、UE侧的实施。
图3为UE侧对用户鉴权过程进行处理的方法实施流程示意图,如图所示,可以包括如下步骤:
步骤301、UE确定UE对推衍算法的支持能力;
步骤302、UE在初始NAS消息中携带对推衍算法的支持能力;
步骤303、UE向MME发送初始NAS消息。
实施中,UE在初始NAS消息中携带对推衍算法的支持能力,可以是在初始NAS消息中的UE network capability IE中添加UE对推衍算法的支持能力。
具体的,在UE network capability IE中添加UE对推衍算法的支持能力,可以是在UE network capability IE的保留位添加UE对推衍算法的支持能力。
具体实施中,在UE的网络能力中承载UE对推衍算法的支持能力可以按如下方式实施:
UE在发起初始NAS消息时,将UE的网络能力发给MME,该过程中,在UE的网络能力中新增UE推衍算法的支持能力项。如下表所示:
如上表所示,UE的网络能力信元包含EPS下UE的安全能力、UMTS下UE的安全能力、UCS2能力以及1xSRVCC能力,以及一些保留位(见表中以加粗加大字体部分显示的信息位)。实施中可以利用这些保留位来承载UE对推衍算法支持的能力的指示,在UE的网络能力中添加UE对推衍算法支持的能力。
二、MME侧的实施。
图4为MME侧对用户鉴权过程进行处理的方法实施流程示意图,如图所示,可以包括如下步骤:
步骤401、MME从UE发送的初始NAS消息获取UE对推衍算法的支持能力;
步骤402、MME在向HSS请求数据的过程中,将UE对推衍算法的支持能力发送给HSS。
实施中,MME向HSS请求数据的过程,可以是MME决定执行AKA过程后向HSS发起的请求认证数据的过程。
实施中,MME向HSS的认证数据请求消息中增加UE对推衍算法的支持能力的实施过程中,在MME获得UE的安全能力后,MME决定发起AKA过程,向HSS请求认证数据,便可以在请求消息中包含UE的推衍算法的支持能力。则MME上报UE对推衍算法的支持能力的方式按在不同接入方式下UE对推衍算法的支持能力是否一致来划分的话,可以有以下两种方式:
方式1、
MME在Authentication Information Request消息中的Supported-Key-Derive-Capability AVP(支持密钥推衍能力AVP)中携带UE对推衍算法的支持能力后,向HSS发送Authentication Information Request消息。
该方式下,各接入方式下上报统一的UE对推衍算法的支持能力。在不同的接入方式下,包括GERAN、UTRAN、E-UTRAN等,UE对推衍算法的支持能力可能是一致的,所以实施中可以在请求消息Authentication InformationRequest(认证信息请求)中增加UE对推衍算法支持的能力。具体的,可以如下:
<Authentication-Information-Request>::=<Diameter Header:318,REQ,
PXY,16777251>
<Session-Id>
[Vendor-Specific-Application-Id]
{Auth-Session-State}
{Origin-Host}
{Origin-Realm}
[Destination-Host]
{Destination-Realm}
{User-Name}
*[Supported-Features]
[Requested-EUTRAN-Authentication-Info]
[Requested-UTRAN-GERAN-Authentication
-Info]
[Supported-Key-Derive-Capability]
{Visited-PLMN-Id}
*[AVP]
*[Proxy-Info]
*[Route-Record]
可以在加粗加大字体的Supported-Key-Derive-Capability AVP中包含了UE对推衍算法的支持能力,这样在HSS收到后便可以根据UE提供的推衍算法的支持能力和运营商的配置,从本地的算法列表中灵活的选择出推衍算法。
方式2、
在E-UTRAN接入方式下,MME在请求消息中的Requested E-UTRANAuthentication Info AVP(请求E-UTRAN认证信息AVP)中携带UE对推衍算法的支持能力后,向HSS发送请求消息;
在非E-UTRAN接入方式下,MME在请求消息中的请求认证向量的AVP中携带UE对推衍算法的支持能力后,向HSS发送请求消息。
该方式下,各接入方式下采用分别的UE对推衍算法的支持能力。UE在不同的接入方式下,包括GERAN、UTRAN、E-UTRAN等,UE的密钥推衍算法的支持能力有可能是不同的,所以实施中可以针对不同的接入方式,在请求消息中分别上报UE的推衍算法的支持能力。在E-UTRAN接入方式下,在请求消息的Requested E-UTRAN Authentication Info AVP中增加UE对推衍算法支持的能力;对于其他的接入方式,在请求认证向量的AVP中增加UE的推衍算法的支持能力。
以Requested E-UTRAN Authentication Info AVP的增加为例,可以增加内容如下:
Requested-EUTRAN-Authentication-Info::=<AVP header:1408
10415>
[Number-Of-Requested-Vectors]
[Immediate-Response-Preferred]
[Re-synchronization-Info]
[UE-Key-Derive-Capability]
*[AVP]
具体实施时,可以在Requested E-UTRAN Authentication Info AVP中增加加粗加大字体部分所示的UE-Key-Derive-Capability AVP(UE密钥推衍能力AVP),这样在HSS收到后便可以根据该UE的能力和运营商的配置选择出密钥推衍算法。
上面描述了MME将UE对推衍算法的支持能力发送给HSS的实施,下面对MME获取UE对推衍算法的支持能力的实施进行说明。
由于UE对推衍算法的支持能力是来自UE,因此,参考UE侧的实施,MME可以相应的按如下方式实施。
实施中,MME从UE发送的初始NAS消息获取UE对推衍算法的支持能力,可以是从初始NAS消息中的UE network capability IE中获取UE对推衍算法的支持能力。
实施中,从UE network capability IE中获取UE对推衍算法的支持能力,可以是在UE network capability IE的保留位获取UE对推衍算法的支持能力。
三、HSS侧的实施。
图5为HSS侧对用户鉴权过程进行处理的方法实施流程示意图,如图所示,可以包括如下步骤:
步骤501、HSS接收MME在向HSS请求数据的过程中发送的UE对推衍算法的支持能力;
步骤502、HSS根据UE对推衍算法的支持能力以及运营商的配置确定UE使用的推衍算法。
对于HSS而言,由于UE对推衍算法的支持能力是来自MME,因此,参考MME侧的实施,HSS可以相应的按如下方式实施。
实施中,MME向HSS请求数据的过程,可以是MME决定执行AKA过程后向HSS发起的请求认证数据的过程。
实施中,HSS接收MME发送的UE对推衍算法的支持能力,可以包括:
HSS从Authentication Information Request消息中的Supported-Key-Derive-Capability AVP中接收UE对推衍算法的支持能力。
实施中,HSS接收MME发送的UE对推衍算法的支持能力,可以包括:
HSS从请求消息中的Requested E-UTRAN Authentication Info AVP中接收UE对推衍算法的支持能力;
或,HSS从请求消息中的请求认证向量的AVP中接收UE对推衍算法的支持能力。
在上面的说明过程中,分别从UE、MME、HSS的实施进行了说明,为了更好的理解三者之间的配合实施,下面统一进行说明,但这并不意味着三者必须配合实施,实际上,当UE、MME、HSS分开实施时,其也各自解决UE侧、MME侧、HSS侧的问题,只是三者结合使用时,会获得更好的技术效果。
图6为UE对推衍算法的支持能力传递流程示意图,在消息中上报UE对推衍算法的支持能力的实施可以如图所示,包括:
步骤601、UE向MME发送UE Initiated NAS message(UE初始NAS消息);
消息中携带UE对推衍算法的支持能力。
步骤602、MME向HSS发送Authentication data Request消息;
消息中携带UE对推衍算法的支持能力。
步骤603、HSS根据UE对推衍算法的支持能力和运营商的配置从列表中选择密钥推衍算法。
步骤604、HSS向MME反馈Authentication data Response;
消息中携带HSS推衍算法选择的结果信息。
具体的,在UE发起初始NAS消息时,将UE的对推衍算法的支持能力通过初始NAS消息传递给MME,MME向HSS请求数据的过程中,将UE对推衍算法支持的能力中继给HSS。HSS收到该推衍算法的支持能力的指示后,根据UE的安全能力以及运营商的相关配置从可选算法列表中依据一定的选取准则来选择一种密钥推衍算法,并推衍密钥。然后HSS在认证数据回应消息中将推衍算法选择的结果信息传递给MME。最终在AKA流程中,MME将HSS所选择的密钥推衍算法传递给UE,UE则从自己的算法候选列表中选取HSS指定的算法进行密钥的推衍。
基于同一发明构思,本发明实施例中还提供了一种UE、MME、HSS,由于这些设备解决问题的原理与UE侧、MME侧、HSS侧对用户鉴权过程进行处理的方法相似,因此这些设备的实施可以参见方法的实施,重复之处不再赘述。
图7为用户设备结构示意图,如图所示,UE中可以包括:
能力确定模块701,用于确定UE对推衍算法的支持能力;
参数携带模块702,用于在初始NAS消息中携带对推衍算法的支持能力;
发送模块703,用于向MME发送初始NAS消息。
实施中,参数携带模块还可以进一步用于在初始NAS消息中的UEnetwork capability IE中添加UE对推衍算法的支持能力。
实施中,参数携带模块还可以进一步用于在UE network capability IE中添加UE对推衍算法的支持能力时,在UE network capability IE的保留位添加UE对推衍算法的支持能力。
图8为移动性管理实体设备结构示意图,如图所示,MME中可以包括:
获取模块801,用于从UE发送的初始NAS消息获取UE对推衍算法的支持能力;
发送模块802,用于在向HSS请求数据的过程中,将UE对推衍算法的支持能力发送给HSS。
实施中,发送模块还可以进一步用于在决定执行AKA过程后向HSS发起的请求认证数据的过程中,将UE对推衍算法的支持能力发送给HSS。
实施中,发送模块还可以进一步用于在将UE对推衍算法的支持能力发送给HSS时,在Authentication Information Request消息中的Supported-Key-Derive-Capability AVP中携带UE对推衍算法的支持能力后,向HSS发送Authentication Information Request消息。
实施中,发送模块还可以进一步用于在将UE对推衍算法的支持能力发送给HSS时,在E-UTRAN接入方式下,在请求消息中的Requested E-UTRANAuthentication Info AVP中携带UE对推衍算法的支持能力后,向HSS发送请求消息;在非E-UTRAN接入方式下,在请求消息中的请求认证向量的AVP中携带UE对推衍算法的支持能力后,向HSS发送请求消息。
实施中,获取模块还可以进一步用于从初始NAS消息中的UE networkcapability IE中获取UE对推衍算法的支持能力。
实施中,获取模块还可以进一步用于在从UE network capability IE中获取UE对推衍算法的支持能力时,从UE network capability IE的保留位获取UE对推衍算法的支持能力。
图9为归属用户服务器结构示意图,如图所示,HSS中可以包括:
接收模块901,用于接收MME在向HSS请求数据的过程中发送的UE对推衍算法的支持能力;
算法确定模块902,用于根据UE对推衍算法的支持能力以及运营商的配置确定UE使用的推衍算法。
实施中,接收模块还可以进一步用于接收MME决定执行AKA过程后向HSS发起的请求认证数据的过程中发送的UE对推衍算法的支持能力。
实施中,接收模块还可以进一步用于从Authentication Information Request消息中的Supported-Key-Derive-Capability AVP中接收UE对推衍算法的支持能力。
实施中,接收模块还可以进一步用于从请求消息中的RequestedE-UTRAN Authentication Info AVP中接收UE对推衍算法的支持能力;或,从请求消息中的请求认证向量的AVP中接收UE对推衍算法的支持能力。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
由上述实施例可见,在本发明实施例的技术方案中,提出了将UE的推衍算法可选能力指示上报,满足了密钥推衍算法可选性的要求,满足了运营商对密钥推衍算法选择灵活性的要求。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (26)
1.一种对用户鉴权过程进行处理的方法,其特征在于,包括如下步骤:
用户设备UE确定UE对推衍算法的支持能力;
UE在初始非接入层NAS消息中携带对推衍算法的支持能力;
UE向移动性管理实体MME发送初始NAS消息。
2.如权利要求1所述的方法,其特征在于,UE在初始NAS消息中携带对推衍算法的支持能力,是在初始NAS消息中的用户设备网络能力信息单元UE network capability IE中添加UE对推衍算法的支持能力。
3.如权利要求2所述的方法,其特征在于,在UE network capability IE中添加UE对推衍算法的支持能力,是在UE network capability IE的保留位添加UE对推衍算法的支持能力。
4.一种对用户鉴权过程进行处理的方法,其特征在于,包括如下步骤:
MME从UE发送的初始NAS消息获取UE对推衍算法的支持能力;
MME在向归属用户服务器HSS请求数据的过程中,将UE对推衍算法的支持能力发送给HSS。
5.如权利要求4所述的方法,其特征在于,MME向HSS请求数据的过程,是MME决定执行认证及密钥协商AKA过程后向HSS发起的请求认证数据的过程。
6.如权利要求5所述的方法,其特征在于,将UE对推衍算法的支持能力发送给HSS,包括:
MME在认证信息请求Authentication Information Request消息中的支持密钥推衍能力属性值对Supported-Key-Derive-Capability AVP中携带UE对推衍算法的支持能力后,向HSS发送Authentication Information Request消息。
7.如权利要求5所述的方法,其特征在于,将UE对推衍算法的支持能力发送给HSS,包括:
在演进的全球地面无线接入网E-UTRAN接入方式下,MME在请求消息中的请求E-UTRAN认证信息属性值对Requested E-UTRAN Authentication InfoAVP中携带UE对推衍算法的支持能力后,向HSS发送请求消息;
在非E-UTRAN接入方式下,MME在请求消息中的请求认证向量的属性值对AVP中携带UE对推衍算法的支持能力后,向HSS发送请求消息。
8.如权利要求4所述的方法,其特征在于,MME从UE发送的初始NAS消息获取UE对推衍算法的支持能力,是从初始NAS消息中的UE networkcapability IE中获取UE对推衍算法的支持能力。
9.如权利要求8所述的方法,其特征在于,从UE network capability IE中获取UE对推衍算法的支持能力,是在UE network capability IE的保留位获取UE对推衍算法的支持能力。
10.一种对用户鉴权过程进行处理的方法,其特征在于,包括如下步骤:
HSS接收MME在向HSS请求数据的过程中发送的UE对推衍算法的支持能力;
HSS根据UE对推衍算法的支持能力以及运营商的配置确定UE使用的推衍算法。
11.如权利要求10所述的方法,其特征在于,MME向HSS请求数据的过程,是MME决定执行AKA过程后向HSS发起的请求认证数据的过程。
12.如权利要求10所述的方法,其特征在于,HSS接收MME发送的UE对推衍算法的支持能力,包括:
HSS从Authentication Information Request消息中的Supported-Key-Derive-CapabilityAVP中接收UE对推衍算法的支持能力。
13.如权利要求10所述的方法,其特征在于,HSS接收MME发送的UE对推衍算法的支持能力,包括:
HSS从请求消息中的Requested E-UTRAN Authentication Info AVP中接收UE对推衍算法的支持能力;
或,HSS从请求消息中的请求认证向量的AVP中接收UE对推衍算法的支持能力。
14.一种用户设备,其特征在于,包括:
能力确定模块,用于确定UE对推衍算法的支持能力;
参数携带模块,用于在初始NAS消息中携带对推衍算法的支持能力;
发送模块,用于向MME发送初始NAS消息。
15.如权利要求14所述的用户设备,其特征在于,参数携带模块进一步用于在初始NAS消息中的UE network capability IE中添加UE对推衍算法的支持能力。
16.如权利要求15所述的用户设备,其特征在于,参数携带模块进一步用于在UE network capability IE中添加UE对推衍算法的支持能力时,在UEnetwork capability IE的保留位添加UE对推衍算法的支持能力。
17.一种移动性管理实体设备,其特征在于,包括:
获取模块,用于从UE发送的初始NAS消息获取UE对推衍算法的支持能力;
发送模块,用于在向HSS请求数据的过程中,将UE对推衍算法的支持能力发送给HSS。
18.如权利要求17所述的设备,其特征在于,发送模块进一步用于在决定执行AKA过程后向HSS发起的请求认证数据的过程中,将UE对推衍算法的支持能力发送给HSS。
19.如权利要求18所述的设备,其特征在于,发送模块进一步用于在将UE对推衍算法的支持能力发送给HSS时,在Authentication InformationRequest消息中的Supported-Key-Derive-Capability AVP中携带UE对推衍算法的支持能力后,向HSS发送Authentication Information Request消息。
20.如权利要求18所述的设备,其特征在于,发送模块进一步用于在将UE对推衍算法的支持能力发送给HSS时,在E-UTRAN接入方式下,在请求消息中的Requested E-UTRAN Authentication Info AVP中携带UE对推衍算法的支持能力后,向HSS发送请求消息;在非E-UTRAN接入方式下,在请求消息中的请求认证向量的AVP中携带UE对推衍算法的支持能力后,向HSS发送请求消息。
21.如权利要求17所述的设备,其特征在于,获取模块进一步用于从初始NAS消息中的UE network capability IE中获取UE对推衍算法的支持能力。
22.如权利要求21所述的设备,其特征在于,获取模块进一步用于在从UE network capability IE中获取UE对推衍算法的支持能力时,从UE networkcapability IE的保留位获取UE对推衍算法的支持能力。
23.一种归属用户服务器,其特征在于,包括:
接收模块,用于接收MME在向HSS请求数据的过程中发送的UE对推衍算法的支持能力;
算法确定模块,用于根据UE对推衍算法的支持能力以及运营商的配置确定UE使用的推衍算法。
24.如权利要求23所述的归属用户服务器,其特征在于,接收模块进一步用于接收MME决定执行AKA过程后向HSS发起的请求认证数据的过程中发送的UE对推衍算法的支持能力。
25.如权利要求23所述的归属用户服务器,其特征在于,接收模块进一步用于从Authentication Information Request消息中的Supported-Key-Derive-Capability AVP中接收UE对推衍算法的支持能力。
26.如权利要求23所述的归属用户服务器,其特征在于,接收模块进一步用于从请求消息中的Requested E-UTRAN Authentication Info AVP中接收UE对推衍算法的支持能力;或,从请求消息中的请求认证向量的AVP中接收UE对推衍算法的支持能力。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101827920A CN102256234A (zh) | 2010-05-19 | 2010-05-19 | 一种对用户鉴权过程进行处理的方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101827920A CN102256234A (zh) | 2010-05-19 | 2010-05-19 | 一种对用户鉴权过程进行处理的方法及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102256234A true CN102256234A (zh) | 2011-11-23 |
Family
ID=44983165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010101827920A Pending CN102256234A (zh) | 2010-05-19 | 2010-05-19 | 一种对用户鉴权过程进行处理的方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102256234A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102595369A (zh) * | 2012-02-29 | 2012-07-18 | 大唐移动通信设备有限公司 | 一种nas算法的传输方法及装置 |
WO2013091543A1 (zh) * | 2011-12-22 | 2013-06-27 | 华为技术有限公司 | 一种低成本终端的安全通信方法、装置及*** |
CN103260156A (zh) * | 2012-02-15 | 2013-08-21 | ***通信集团公司 | 密钥流生成装置及方法、机密性保护装置及方法 |
CN104754577A (zh) * | 2013-12-31 | 2015-07-01 | 华为技术有限公司 | 一种选择认证算法的方法、装置及*** |
CN105376214A (zh) * | 2014-08-12 | 2016-03-02 | 沃达方Ip许可有限公司 | 机器到机器的蜂窝通信安全性 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1889710A (zh) * | 2005-06-27 | 2007-01-03 | 华为技术有限公司 | 一种使用基于网际协议的消息传输协议传送消息的方法 |
CN1893427A (zh) * | 2005-07-07 | 2007-01-10 | 华为技术有限公司 | 一种进行业务支持能力协商的方法 |
CN101420763A (zh) * | 2007-10-23 | 2009-04-29 | 华为技术有限公司 | 一种获取ue实际接入能力信息的方法、***和装置 |
CN101605321A (zh) * | 2008-06-11 | 2009-12-16 | 中兴通讯股份有限公司 | 一种频带资源分配方法 |
CN101626601A (zh) * | 2008-07-08 | 2010-01-13 | 中兴通讯股份有限公司 | 小区能力信息指示方法、基站、无线网络控制器 |
CN101651950A (zh) * | 2009-09-09 | 2010-02-17 | 新邮通信设备有限公司 | 一种长期演进网络中的业务实现方法、设备及*** |
WO2010032845A1 (ja) * | 2008-09-22 | 2010-03-25 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法 |
CN101702818A (zh) * | 2009-11-02 | 2010-05-05 | 上海华为技术有限公司 | 无线链路控制连接重建立中的算法协商方法、***及设备 |
-
2010
- 2010-05-19 CN CN2010101827920A patent/CN102256234A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1889710A (zh) * | 2005-06-27 | 2007-01-03 | 华为技术有限公司 | 一种使用基于网际协议的消息传输协议传送消息的方法 |
CN1893427A (zh) * | 2005-07-07 | 2007-01-10 | 华为技术有限公司 | 一种进行业务支持能力协商的方法 |
CN101420763A (zh) * | 2007-10-23 | 2009-04-29 | 华为技术有限公司 | 一种获取ue实际接入能力信息的方法、***和装置 |
CN101605321A (zh) * | 2008-06-11 | 2009-12-16 | 中兴通讯股份有限公司 | 一种频带资源分配方法 |
CN101626601A (zh) * | 2008-07-08 | 2010-01-13 | 中兴通讯股份有限公司 | 小区能力信息指示方法、基站、无线网络控制器 |
WO2010032845A1 (ja) * | 2008-09-22 | 2010-03-25 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法 |
CN101651950A (zh) * | 2009-09-09 | 2010-02-17 | 新邮通信设备有限公司 | 一种长期演进网络中的业务实现方法、设备及*** |
CN101702818A (zh) * | 2009-11-02 | 2010-05-05 | 上海华为技术有限公司 | 无线链路控制连接重建立中的算法协商方法、***及设备 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013091543A1 (zh) * | 2011-12-22 | 2013-06-27 | 华为技术有限公司 | 一种低成本终端的安全通信方法、装置及*** |
CN103260156A (zh) * | 2012-02-15 | 2013-08-21 | ***通信集团公司 | 密钥流生成装置及方法、机密性保护装置及方法 |
CN103260156B (zh) * | 2012-02-15 | 2015-12-02 | ***通信集团公司 | 密钥流生成装置及方法、机密性保护装置及方法 |
CN102595369A (zh) * | 2012-02-29 | 2012-07-18 | 大唐移动通信设备有限公司 | 一种nas算法的传输方法及装置 |
WO2013127190A1 (zh) * | 2012-02-29 | 2013-09-06 | 大唐移动通信设备有限公司 | 一种nas算法的传输方法及装置 |
CN102595369B (zh) * | 2012-02-29 | 2015-02-25 | 大唐移动通信设备有限公司 | 一种nas算法的传输方法及装置 |
US9220009B2 (en) | 2012-02-29 | 2015-12-22 | Datang Mobile Communications Equipment Co., Ltd | NAS algorithm transmission method and device |
CN104754577A (zh) * | 2013-12-31 | 2015-07-01 | 华为技术有限公司 | 一种选择认证算法的方法、装置及*** |
WO2015100975A1 (zh) * | 2013-12-31 | 2015-07-09 | 华为技术有限公司 | 一种选择认证算法的方法、装置及*** |
EP3079392A4 (en) * | 2013-12-31 | 2016-10-12 | Huawei Tech Co Ltd | METHOD, DEVICE AND SYSTEM FOR SELECTION OF AN AUTHENTICATION ALGORITHM |
CN105376214A (zh) * | 2014-08-12 | 2016-03-02 | 沃达方Ip许可有限公司 | 机器到机器的蜂窝通信安全性 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11829774B2 (en) | Machine-to-machine bootstrapping | |
CN106851632B (zh) | 一种智能设备接入无线局域网的方法及装置 | |
CN109889509B (zh) | 用于机器对机器通信的网络辅助引导自举 | |
US10034215B2 (en) | Offloading method, user equipment, base station, and access point | |
US10904750B2 (en) | Key obtaining method and device, and communications system | |
CN103609154B (zh) | 一种无线局域网接入鉴权方法、设备及*** | |
CN106134231B (zh) | 密钥生成方法、设备及*** | |
CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
WO2020029729A1 (zh) | 一种通信方法和装置 | |
KR102094216B1 (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
US20100064135A1 (en) | Secure Negotiation of Authentication Capabilities | |
EP2744250B1 (en) | Method and apparatus for binding universal integrated circuit card and machine type communication device | |
CN108683690A (zh) | 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质 | |
WO2018206636A1 (en) | Selection of ip version | |
CN108616805B (zh) | 一种紧急号码的配置、获取方法及装置 | |
CN105636017A (zh) | 启用数据业务的装置和方法 | |
EP2648437B1 (en) | Method, apparatus and system for key generation | |
CN102256234A (zh) | 一种对用户鉴权过程进行处理的方法及设备 | |
US20220303767A1 (en) | User Equipment Authentication and Authorization Procedure for Edge Data Network | |
US20150026787A1 (en) | Authentication method, device and system for user equipment | |
CN113498057A (zh) | 通信***、方法及装置 | |
CN106797559B (zh) | 一种接入认证方法及装置 | |
US20240089728A1 (en) | Communication method and apparatus | |
EP2887731B1 (en) | Acquiring neighbour cell information | |
WO2020090743A1 (en) | Procedure to update the parameters related to unified access control |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20111123 |