CN104796887A - 一种安全信息交互的方法和装置 - Google Patents
一种安全信息交互的方法和装置 Download PDFInfo
- Publication number
- CN104796887A CN104796887A CN201510176852.0A CN201510176852A CN104796887A CN 104796887 A CN104796887 A CN 104796887A CN 201510176852 A CN201510176852 A CN 201510176852A CN 104796887 A CN104796887 A CN 104796887A
- Authority
- CN
- China
- Prior art keywords
- pgw
- mme
- terminal
- message
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及通信领域,公开了一种安全信息交互的方法和装置,该方案为:终端触发附着流程,在附着过程中,当接收到MME发送的指定消息时,通过NAS消息经由MME与PGW进行安全交互消息协商,并在确定协商成功后,终端在本地和PGW之间建立安全通道,终端进一步在确定附着成功后,通过安全通道与PGW进行信息交互。这样,通过终端与PGW进行安全信息交互协商后在执行后续的信息交互,不仅可以增强信息传输的安全性,而且可以提高信息在传输过程中的转发效率。
Description
技术领域
本发明涉及通信领域,特别涉及一种安全信息交互的方法和装置。
背景技术
终端在长期演进(Long Term Evolution,LTE)下进行附着,随后终端通过LTE网络进行数据报文的下发,在某些行业的应用中,需要考虑到数据的安全性,在空口以及基站与演进的分组核心网(Evolved Packet Core Network,EPC)之间以及EPC内部进行传输时,需要对数据采用加密传输。但是这种方法在一定程度是有风险的,对于安全级别要求高的场景是不适合的。
具体的,终端开机附着,附着完成后,终端与网络侧之间建立了默认承载,之后所有的业务数据都是通过默认承载来转发,参阅图1所示为承载连接关系图。
其中,在非接入层(Non-Access Stratum,NAS)附着的过程中,网络和终端号之间存在双向鉴权过程,具体流程如下:首先,移动管理实体(MobilityManagement Entity,MME)向归属签约用户服务器(Home Subscriber Server,HSS)发送鉴别数据请求消息,HSS会向MME发送鉴别数据响应消息。然后,MME向终端发起鉴权过程,MME向终端发送用户鉴别数据请求消息,终端向MME发送用户数据鉴别响应消息,此时,认为执行完网络侧和终端侧之间的双向鉴权过程。鉴权通过后,MME开始执行安全模式控制(SecurityModeControl,SMC)过程,具体的,MME向终端发送NAS安全模式启动请求消息,即启动NAS安全,终端向MME发送NAS安全模式完成消息,此时,认为执行完SMC过程。由于终端和网络侧的密钥是在HSS以及全球用户识别卡(Universal Subscriber Identity Module,USIM)中计算的,所以是安全的,参阅图2-4所示。
接入层(Access Stratum,AS)的安全过程是在附着过程中,MME向基站下发基站所使用的密钥,终端侧的密钥是由终端自己计算的,MME向基站下发的密钥是明文传输的,所以是不安全的,具体的,MME向基站发送初始上下文建立请求消息,基站接收到以后,向MME发送初始上下文建立响应消息。然后,基站向终端发送AS安全模式启动请求,即启动AS安全请求,终端向基站发送AS安全模式完成消息。参阅图5和图6所示。
然而,现有技术下,终端与网络之间的报文加密传输需要经过两次加解密过程,首先,终端与基站之间完成空口的加解密过程,然后基站与服务网关(Serving GateWay,SGW)之间完成S1u口的加解密,这就造成一次数据传输需要进行两次加解密过程,影响数据转发效率,其次,终端与网络之间的安全信息协商都是在明文中进行的,所以对于某些行业要求安全级别较高的场景来说,这是存在安全隐患的。例如,首先空口的加密,空口加密所需的根密钥是在附着过程中MME通过初始上下文建立请求(Initial context setup request)消息带给基站的,这个消息是明文传输的,所以空口的数据加密存在一定的安全隐患,其次,基站与核心网之间的传输,协议要求采用IP安全(IP Security,IPsec),IPsec的协商也是在两个设备没有安全通道的情况下进行的,所以该被称为“最后一公里”的链路上,也存在一定的安全隐患。
发明内容
本发明实施例提供一种安全信息交互的方法和装置,用以解决现有技术中存在数据传输不安全以及数据传输效率低的问题。
本发明实施例提供的具体技术方案如下:
一种安全信息交互的方法,包括:
终端触发附着流程,在附着过程中,当接收到移动管理实体MME发送的指定消息时,通过非接入层NAS消息经由MME与分组数据网关PGW进行安全交互消息协商;
在确定协商成功后,所述终端在本地和所述PGW之间建立安全通道;
所述终端进一步在确定附着成功后,通过所述安全通道与所述PGW进行信息交互。
这样,不仅增强了信息交互的安全性,而且提高了数据转发的效率。
较佳的,在附着过程中,当接收到移动管理实体MME发送的指定消息时,通过非接入层NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,包括:
在附着过程中,终端通过基站向MME发送携带标识信息的附着请求消息,当接收到MME基于所述附着请求消息时下发的演进的分组***会话管理ESM消息时,通过NAS消息经由MME与PGW进行安全交互消息协商;或者,
在附着过程中,终端通过基站向MME发送附着请求消息,当接收到MME通过基站下发的附着成功消息,向MME回复附着完成消息时,通过NAS消息经由MME与PGW进行安全交互消息协商。
较佳的,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,包括:
通过NAS消息经由MME与所述PGW协商通信密钥和/或通信算法中的至少一种,所述通信密钥和/或通信算法用于在后续信息交互过程中实现信息的加解密。
较佳的,进一步包括:
终端在发送消息时,基于所述通信密钥和/或通信算法进行加密,当接收到消息时,基于所述通信密钥和/或通信算法进行解密。
较佳的,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,包括:
终端通过所述NAS层中的一般消息容器信元向MME发送安全交互请求消息,通过所述MME将所述安全交互请求消息转发至服务网关SGW,以及由SGW将所述安全交互请求消息转发至PGW。
较佳的,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商之后,确定协商成功之前,进一步包括:
当终端接收到PGW发送的安全交互响应消息时,判定本终端与PGW能够协商成功;其中,安全交互响应消息是由所述PGW发送至SGW,再由SGW转发至MME,最后由MME通过NAS层中的一般消息容器信元发送至终端的。
较佳的,所述安全通道,包括:第一隧道、第二隧道和第三隧道;其中,所述第一隧道位于终端与基站之间,所述第二隧道位于基站与SGW之间,所述第三隧道位于SGW与PGW之间。
较佳的,所述终端进一步在确定附着成功后,通过所述安全通道与所述PGW进行信息交互,包括:
所述终端进一步在确定附着成功后,将第一信息通过所述第一隧道发送至基站,由基站通过所述第二隧道转发至SGW,最后由SGW通过所述第三隧道转发至PGW;
所述终端接收所述PGW发送的第二信息,其中,所述第二消息是所述PGW确定需要发送时,通过所述第三隧道下发至SGW,再由SGW通过所述第二隧道转发至基站,最后由基站通过所述第一隧道转发至终端。
较佳的,终端将第一信息先发送至基站之前,进一步包括:终端对第一信息基于所述通信密钥和/或通信算法进行加密;
接收所述PGW发送的第二信息之前,进一步包括:接收的所述第二信息是所述PGW确定需要发送时,基于所述通信密钥和/或通信算法进行加密。
一种安全信息交互的装置,包括:
协商单元,用于终端触发附着流程,在附着过程中,当接收到移动管理实体MME发送的指定消息时,通过非接入层NAS消息经由MME与分组数据网关PGW进行安全交互消息协商;
建立单元,用于在确定协商成功后,所述终端在本地和所述PGW之间建立安全通道;
通信单元,用于所述终端进一步在确定附着成功后,通过所述安全通道与所述PGW进行信息交互。
这样,不仅增强了信息交互的安全性,而且提高了数据转发的效率。
较佳的,在附着过程中,当接收到移动管理实体MME发送的指定消息时,通过非接入层NAS消息经由MME与分组数据网关PGW进行安全交互消息协商时,所述协商单元用于:
在附着过程中,终端通过基站向MME发送携带标识信息的附着请求消息,当接收到MME基于所述附着请求消息时下发的演进的分组***会话管理ESM消息时,通过NAS消息经由MME与PGW进行安全交互消息协商;或者,
在附着过程中,终端通过基站向MME发送附着请求消息,当接收到MME通过基站下发的附着成功消息,向MME回复附着完成消息时,通过NAS消息经由MME与PGW进行安全交互消息协商。
较佳的,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,所述协商单元用于:
通过NAS消息经由MME与所述PGW协商通信密钥和/或通信算法中的至少一种,所述通信密钥和/或通信算法用于在后续信息交互过程中实现信息的加解密。
较佳的,所述协商单元进一步用于:
终端在发送消息时,基于所述通信密钥和/或通信算法进行加密,当接收到消息时,基于所述通信密钥和/或通信算法进行解密。
较佳的,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,所述协商单元用于:
终端通过所述NAS层中的一般消息容器信元向MME发送安全交互请求消息,通过所述MME将所述安全交互请求消息转发至服务网关SGW,以及由SGW将所述安全交互请求消息转发至PGW。
较佳的,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商之后,确定协商成功之前,所述协商单元进一步用于:
当终端接收到PGW发送的安全交互响应消息时,判定本终端与PGW能够协商成功;其中,安全交互响应消息是由所述PGW发送至SGW,再由SGW转发至MME,最后由MME通过NAS层中的一般消息容器信元发送至终端的。
较佳的,所述安全通道,包括:第一隧道、第二隧道和第三隧道;其中,所述第一隧道位于终端与基站之间,所述第二隧道位于基站与SGW之间,所述第三隧道位于SGW与PGW之间。
较佳的,所述终端进一步在确定附着成功后,通过所述安全通道与所述PGW进行信息交互,所述通信单元用于:
所述终端进一步在确定附着成功后,将第一信息通过所述第一隧道发送至基站,由基站通过所述第二隧道转发至SGW,最后由SGW通过所述第三隧道转发至PGW;
所述终端接收所述PGW发送的第二信息,其中,所述第二消息是所述PGW确定需要发送时,通过所述第三隧道下发至SGW,再由SGW通过所述第二隧道转发至基站,最后由基站通过所述第一隧道转发至终端。
附图说明
图1-6为现有技术下终端与网络侧之间信息交互的流程图;
图7为本发明实施例中安全信息交互的概述流程图;
图8为本发明实施例中安全信息交互的第一具体流程图;
图9为本发明实施例中安全信息交互的第二具体流程图;
图10为本发明实施例中安全信息交互的装置的结构示意图。
具体实施方式
为了避免终端与网络侧信息交互过程中出现的安全隐患问题以及在信息交互过程中由于多次信息加解密造成的数据转发效率低的问题,本发明实施例中,终端触发附着流程,在附着过程中,当接收到MME发送的指定消息时,通过NAS消息经由MME与PGW进行安全交互消息协商,并在确定协商成功后,终端在本地和PGW之间建立安全通道,终端进一步在确定附着成功后,通过安全通道与PGW进行信息交互。
下面结合附图对本发明优选的实施方式进行详细说明。
参阅图7所示,本发明实施例中,信息安全交互的概述流程如下:
步骤700:终端触发附着流程,在附着过程中,当接收到MME发送的指定消息时,通过NAS消息与分组数据网关(PDN GateWay,PGW)进行安全交互消息协商。
本发明实施例中,在通过NAS消息进行安全交互消息协商时,可以采用但不限于以下两种方式:
第一种方式:在附着过程中,终端通过基站向MME发送携带标识信息的附着请求消息,当接收到MME基于附着请求消息时下发的ESM消息时,通过NAS消息经由MME与PGW进行安全交互消息协商。
例如,在附着请求中携带发送标识信息EPS会话管理信息标识(ESMinfermation flag),并通常将其设置为1。
第二种方式:在附着过程中,终端通过基站向MME发送附着请求消息,当接收到MME通过基站下发的附着成功消息时,通过NAS消息经由MME与PGW进行安全交互消息协商。
具体的,终端与PGW进行安全交互信息协商的过程如下:终端通过NAS层中的一般消息容器信元(Generic message container)向MME发送安全交互请求消息,由MME将安全交互请求消息转发至SGW,最后再由SGW将安全交互请求消息转发至PGW。并且,当终端接收到PGW发送安全交互响应消息时,判定本终端与PGW能够协商成功;其中,安全交互响应消息是由PGW发送至SGW,再由SGW转发至MME,最后由MME通过NAS层中的Genericmessage container发送至终端的。
进一步的,通过NAS消息与PGW协商的内容是通信密钥和/或通信算法中的至少一种,其中,通信密钥和/或通信算法用于在后续信息交互过程中实现信息的加解密。
步骤710:在确定协商成功后,终端在本地和PGW之间建立安全通道。
其中,该安全通道包括:第一隧道、第二隧道和第三隧道;其中,第一隧道位于终端与基站之间,第二隧道位于基站与SGW之间,第三隧道位于SGW与PGW之间。
步骤720:终端进一步在确定附着成功后,通过安全通道与PGW进行信息交互。
终端进一步在确定附着成功后,终端将第一信息通过第一隧道发送至基站,再由基站通过第二隧道转发至SGW,最后由SGW通过第三隧道转发至PGW;然后接收PGW返回的第二信息,其中,第二消息是PGW基于接收到的第一消息时通过第三隧道下发至SGW,再由SGW通过第二隧道转发至基站,最后由基站通过第一隧道转发至终端的。
为方便起见,将终端与基站之间的通道称为第一隧道,基站与SGW之间的SIU隧道称为第二隧道,SGW与PGW之间的S58隧道称为第三隧道。
进一步的,在终端与PGW之间进行信息交互的时候,终端对第一信息基于通信密钥和/或通信算法进行加密,然后再进行后续的发送,当发送至PGW时,PGW基于通信密钥和/或通信算法进行解密,PGW确定需要发送第二信息之前,先基于通信密钥和/或通信算法进行加密,然后再进行后续的发送,当发送至终端时,终端基于通信密钥和/或通信算法进行解密。
下面结合两个具体的应用场景对上述实施例做出进一步详细的说明。
参阅图8所示,在附着完成后,终端与PGW进行安全交互消息协商的具体流程如下:
步骤800:终端通过基站向MME发送附着请求。
当终端接收到MME下发的附着成功(已完成NAS层的SMC过程)时,终端通过NAS消息经由MME与PGW进行安全交互消息协商,具体的,通过执行步骤801-807来完成。
步骤801:终端向基站发送安全交互消息。
步骤802:基站向MME转发安全交互消息。
步骤803:MME向SGW转发安全交互消息。
步骤804:SGW向PGW转发安全交互消息。
在执行步骤801-804的过程,MME以及SGW对安全交互消息不进行解析,直接转发,直到发送至PGW,PGW对安全交互消息进行解析。
步骤805:PGW向SGW发送安全交互响应消息。
步骤806:SGW向MME转发发安全交互响应消息。
步骤807:MME向基站转发发安全交互响应消息。
步骤808:基站向终端转发发安全交互响应消息。
在执行步骤805-808的过程,MME以及SGW对安全交互响应消息不进行解析,直接转发,直到发送至终端,终端对安全交互响应消息进行解析。
当终端接收到安全响应消息时,表示协商成功,协商成功后,终端开始发送数据报文,具体的,通过执行步骤809-811来完成。
步骤809:终端向基站发送数据报文。
较佳的,在发送前,终端将数据报文进行加密。
步骤810:基站通过SIU隧道将数据报文转发至SGW。
步骤811:SGW通过S58隧道转发数据报文至PGW。
在执行步骤809-811时,基站与SGW对接收到的数据报文不进行解析,直到发送至PGW,然后执行步骤812。
步骤812:PGW对数据报文进行解密。
步骤813:PGW向SGW发送数据报文。
步骤814:SGW向基站发送数据报文。
步骤815:基站向终端发送数据报文。
在执行步骤813-815时,基站与SGW对接收到的数据报文不进行解析,直到发送至终端,然后执行步骤816。
步骤816:终端对数据报文进行解析。
参阅图9所示,在附着过程中,终端与PGW进行安全交互消息协商的具体流程如下:
步骤900:终端通过基站向MME发送附着请求。
这里,在附着请求中携带发送标识信息,一般的,将“ESM infermation flag”设置为1。
步骤901:终端和MME之间执行鉴权和SMC过程。
步骤902:MME向终端发送ESM请求消息。
步骤903:终端向MME发送携带安全交互消息的ESM响应消息。
步骤904:MME向SGW发送携带携带安全交互消息的创建会话请求消息。
步骤905:SGW向PGW转发携带携带安全交互消息的创建会话请求消息。
在执行步骤903-905的过程,MME以及SGW对接收到的消息不进行解析,直接转发,直到发送至PGW,PGW对接收到的携带安全交互消息的消息进行解析。
步骤906:PGW向SGW发送携带安全交互消息的创建会话响应消息。
步骤907:SGW向MME转发携带安全交互消息的创建会话响应消息。
步骤908:MME向基站发送携带安全交互消息的附着完成消息。
步骤909:基站向终端转发携带安全交互消息的附着消息。
在执行步骤906-909的过程,基站、MME以及SGW对接收到的携带安全交互消息的消息不进行解析,直接转发,直到发送至终端,终端对接收到的携带安全交互响应消息的消息进行解析。
当终端接收到携带安全交互消息的附着消息时,表示终端和PGW的安全交互消息协商成功,并且代表终端附着成功,此时,终端开始发送数据报文,具体的,通过执行步骤910-912来完成。
步骤910:终端向基站发送数据报文。
较佳的,在发送前,终端将数据报文进行加密。
步骤911:基站通过SIU隧道将数据报文转发至SGW。
步骤912:SGW通过S58隧道转发数据报文至PGW。
在执行步骤910-912时,基站与SGW对接收到的数据报文不进行解析,直到发送至PGW,然后执行步骤913。
步骤913:PGW对数据报文进行解密。
步骤914:PGW向SGW发送数据报文。
步骤915:SGW向基站发送数据报文。
步骤916:基站向终端发送数据报文。
在执行步骤913-916时,基站与SGW对接收到的数据报文不进行解析,直到发送至终端,然后执行步骤917。
步骤917:终端对数据报文进行解密。
基于上述实施例,参阅图10所示,本发明实施例中,一种安全信息交互的装置包括:协商单元1000、建立单元1001和通信单元1002
一种安全信息交互的装置,包括:
协商单元1000,用于终端触发附着流程,在附着过程中,当接收到移动管理实体MME发送的指定消息时,通过非接入层NAS消息经由MME与分组数据网关PGW进行安全交互消息协商;
建立单元1001,用于在确定协商成功后,终端在本地和PGW之间建立安全通道;
通信单元1002,用于在终端进一步在确定附着成功后,通过安全通道与PGW进行信息交互。
这样,不仅增强了信息交互的安全性,而且提高了数据转发的效率。
较佳的,在附着过程中,当接收到移动管理实体MME发送的指定消息时,通过非接入层NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,协商单元1000进一步用于:
在附着过程中,终端通过基站向MME发送携带标识信息的附着请求消息,当接收到MME基于附着请求消息时下发的演进的分组***会话管理ESM消息时,通过NAS消息经由MME与PGW进行安全交互消息协商;或者,
在附着过程中,终端通过基站向MME发送附着请求消息,当接收到MME通过基站下发的附着成功消息,向MME回复附着完成消息时,通过NAS消息经由MME与PGW进行安全交互消息协商。
较佳的,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,协商单元1000进一步用于:
通过NAS消息经由MME与PGW协商通信密钥和/或通信算法中的至少一种,通信密钥和/或通信算法用于在后续信息交互过程中实现信息的加解密。
较佳的,所述协商单元1000进一步用于:
终端在发送消息时,基于所述通信密钥和/或通信算法进行加密,当接收到消息时,基于所述通信密钥和/或通信算法进行解密。
较佳的,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,协商单元1000进一步用于:
终端通过NAS层中的一般消息容器信元向MME发送安全交互请求消息,通过MME将安全交互请求消息转发至服务网关SGW,以及由SGW将安全交互请求消息转发至PGW。
较佳的,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商之后,确定协商成功之前,协商单元1000进一步用于:
当终端接收到PGW发送的安全交互响应消息时,判定本终端与PGW能够协商成功;其中,安全交互响应消息是由PGW发送至SGW,再由SGW转发至MME,最后由MME通过NAS层中的一般消息容器信元发送至终端的。
较佳的,安全通道,包括:第一隧道、第二隧道和第三隧道;其中,第一隧道位于终端与基站之间,第二隧道位于基站与SGW之间,第三隧道位于SGW与PGW之间。
较佳的,终端进一步在确定附着成功后,通过安全通道与PGW进行信息交互,通信单元1002进一步用于:
终端进一步在确定附着成功后,将第一信息通过第一隧道发送至基站,由基站通过第二隧道转发至SGW,最后由SGW通过第三隧道转发至PGW;
终端接收PGW发送的第二信息,其中,第二消息是PGW确定需要发送时,通过第三隧道下发至SGW,再由SGW通过第二隧道转发至基站,最后由基站通过第一隧道转发至终端。
较佳的,终端将第一信息先发送至基站之前,通信单元1002进一步用于:终端对第一信息基于通信密钥和/或通信算法进行加密;
接收PGW发送的第二信息之前,通信单元1002进一步用于:接收的第二信息是PGW确定需要发送时,基于通信密钥和/或通信算法进行加密。
综上所述,本发明实施例中,提出了一种安全信息交互的方法和装置,该方案为:终端触发附着流程,在附着过程中,当接收到MME发送的指定消息时,通过NAS消息经由MME与PGW进行安全交互消息协商,并在确定协商成功后,终端在本地和PGW之间建立安全通道,终端进一步在确定附着成功后,通过安全通道与PGW进行信息交互。这样,通过终端与PGW进行安全信息交互协商后在执行后续的信息交互,不仅可以增强信息传输的安全性,而且可以提高信息在传输过程中的转发效率。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (16)
1.一种安全信息交互的方法,其特征在于,所述方法包括:
终端触发附着流程,在附着过程中,当接收到移动管理实体MME发送的指定消息时,通过非接入层NAS消息经由MME与分组数据网关PGW进行安全交互消息协商;
在确定协商成功后,所述终端在本地和所述PGW之间建立安全通道;
所述终端进一步在确定附着成功后,通过所述安全通道与所述PGW进行信息交互。
2.如权利要求1所述的方法,其特征在于,在附着过程中,当接收到移动管理实体MME发送的指定消息时,通过非接入层NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,包括:
在附着过程中,终端通过基站向MME发送携带标识信息的附着请求消息,当接收到MME基于所述附着请求消息时下发的演进的分组***会话管理ESM消息时,通过NAS消息经由MME与PGW进行安全交互消息协商;或者,
在附着过程中,终端通过基站向MME发送附着请求消息,当接收到MME通过基站下发的附着成功消息,向MME回复附着完成消息时,通过NAS消息经由MME与PGW进行安全交互消息协商。
3.如权利要求1所述的方法,其特征在于,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,包括:
通过NAS消息经由MME与所述PGW协商通信密钥和/或通信算法中的至少一种,所述通信密钥和/或通信算法用于在后续信息交互过程中实现信息的加解密。
4.如权利要求3所述的方法,其特征在于,进一步包括:
终端在发送消息时,基于所述通信密钥和/或通信算法进行加密,当接收到消息时,基于所述通信密钥和/或通信算法进行解密。
5.如权利要求1所述的方法,其特征在于,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,包括:
终端通过所述NAS层中的一般消息容器信元向MME发送安全交互请求消息,通过所述MME将所述安全交互请求消息转发至服务网关SGW,以及由SGW将所述安全交互请求消息转发至PGW。
6.如权利要求5所述的方法,其特征在于,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商之后,确定协商成功之前,进一步包括:
当终端接收到PGW发送的安全交互响应消息时,判定本终端与PGW能够协商成功;其中,安全交互响应消息是由所述PGW发送至SGW,再由SGW转发至MME,最后由MME通过NAS层中的一般消息容器信元发送至终端的。
7.如权利要求1-6任一项所述的方法,其特征在于,所述安全通道,包括:第一隧道、第二隧道和第三隧道;其中,所述第一隧道位于终端与基站之间,所述第二隧道位于基站与SGW之间,所述第三隧道位于SGW与PGW之间。
8.如权利要求7所述的方法,其特征在于,所述终端进一步在确定附着成功后,通过所述安全通道与所述PGW进行信息交互,包括:
所述终端进一步在确定附着成功后,将第一信息通过所述第一隧道发送至基站,由基站通过所述第二隧道转发至SGW,最后由SGW通过所述第三隧道转发至PGW;
所述终端接收所述PGW发送的第二信息,其中,所述第二消息是所述PGW确定需要发送时,通过所述第三隧道下发至SGW,再由SGW通过所述第二隧道转发至基站,最后由基站通过所述第一隧道转发至终端。
9.一种安全信息交互的装置,其特征在于,所述装置包括:
协商单元,用于终端触发附着流程,在附着过程中,当接收到移动管理实体MME发送的指定消息时,通过非接入层NAS消息经由MME与分组数据网关PGW进行安全交互消息协商;
建立单元,用于在确定协商成功后,所述终端在本地和所述PGW之间建立安全通道;
通信单元,用于所述终端进一步在确定附着成功后,通过所述安全通道与所述PGW进行信息交互。
10.如权利要求9所述的装置,其特征在于,在附着过程中,当接收到移动管理实体MME发送的指定消息时,通过非接入层NAS消息经由MME与分组数据网关PGW进行安全交互消息协商时,所述协商单元用于:
在附着过程中,终端通过基站向MME发送携带标识信息的附着请求消息,当接收到MME基于所述附着请求消息时下发的演进的分组***会话管理ESM消息时,通过NAS消息经由MME与PGW进行安全交互消息协商;或者,
在附着过程中,终端通过基站向MME发送附着请求消息,当接收到MME通过基站下发的附着成功消息,向MME回复附着完成消息时,通过NAS消息经由MME与PGW进行安全交互消息协商。
11.如权利要求9所述的装置,其特征在于,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,所述协商单元用于:
通过NAS消息经由MME与所述PGW协商通信密钥和/或通信算法中的至少一种,所述通信密钥和/或通信算法用于在后续信息交互过程中实现信息的加解密。
12.如权利要求11所述的装置,其特征在于,所述协商单元进一步用于:
终端在发送消息时,基于所述通信密钥和/或通信算法进行加密,当接收到消息时,基于所述通信密钥和/或通信算法进行解密。
13.如权利要求9所述的装置,其特征在于,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商,所述协商单元用于:
终端通过所述NAS层中的一般消息容器信元向MME发送安全交互请求消息,通过所述MME将所述安全交互请求消息转发至服务网关SGW,以及由SGW将所述安全交互请求消息转发至PGW。
14.如权利要求13所述的装置,其特征在于,终端通过NAS消息经由MME与分组数据网关PGW进行安全交互消息协商之后,确定协商成功之前,所述协商单元进一步用于:
当终端接收到PGW发送的安全交互响应消息时,判定本终端与PGW能够协商成功;其中,安全交互响应消息是由所述PGW发送至SGW,再由SGW转发至MME,最后由MME通过NAS层中的一般消息容器信元发送至终端的。
15.如权利要求9-14任一项所述的装置,其特征在于,所述安全通道,包括:第一隧道、第二隧道和第三隧道;其中,所述第一隧道位于终端与基站之间,所述第二隧道位于基站与SGW之间,所述第三隧道位于SGW与PGW之间。
16.如权利要求15所述的装置,其特征在于,所述终端进一步在确定附着成功后,通过所述安全通道与所述PGW进行信息交互,所述通信单元用于:
所述终端进一步在确定附着成功后,将第一信息通过所述第一隧道发送至基站,由基站通过所述第二隧道转发至SGW,最后由SGW通过所述第三隧道转发至PGW;
所述终端接收所述PGW发送的第二信息,其中,所述第二消息是所述PGW确定需要发送时,并通过所述第三隧道下发至SGW,再由SGW通过所述第二隧道转发至基站,最后由基站通过所述第一隧道转发至终端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510176852.0A CN104796887B (zh) | 2015-04-14 | 2015-04-14 | 一种安全信息交互的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510176852.0A CN104796887B (zh) | 2015-04-14 | 2015-04-14 | 一种安全信息交互的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104796887A true CN104796887A (zh) | 2015-07-22 |
| CN104796887B CN104796887B (zh) | 2018-08-21 |
Family
ID=53561315
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510176852.0A Active CN104796887B (zh) | 2015-04-14 | 2015-04-14 | 一种安全信息交互的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104796887B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017206125A1 (zh) * | 2016-06-01 | 2017-12-07 | 华为技术有限公司 | 网络连接方法、安全节点的确定方法及装置 |
| CN109688581A (zh) * | 2017-10-18 | 2019-04-26 | ***通信集团吉林有限公司 | 一种数据的安全传输方法及装置 |
| US10856141B2 (en) | 2017-01-24 | 2020-12-01 | Huawei Technologies Co., Ltd. | Security protection negotiation method and network element |
| CN112312389A (zh) * | 2019-07-29 | 2021-02-02 | ***通信集团广东有限公司 | 通信信息传输方法、装置及存储介质、电子设备 |
| WO2023077309A1 (zh) * | 2021-11-03 | 2023-05-11 | Oppo广东移动通信有限公司 | 一种连接建立及数据传输方法、装置、通信设备 |
| CN117938984A (zh) * | 2024-01-29 | 2024-04-26 | 数盾信息科技股份有限公司 | 一种基于高速加密算法的网络数据传输方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101772106A (zh) * | 2008-12-30 | 2010-07-07 | 华为技术有限公司 | 数据传输路径的控制方法和***、移动性管理网元和终端 |
| CN102438330A (zh) * | 2011-12-06 | 2012-05-02 | 大唐移动通信设备有限公司 | 一种附着到e-tran的方法及移动性管理实体 |
| US20130017801A1 (en) * | 2011-07-15 | 2013-01-17 | Verizon Patent And Licensing Inc. | Emergency call handoff between heterogeneous networks |
| CN104506406A (zh) * | 2011-11-03 | 2015-04-08 | 华为技术有限公司 | 一种数据安全通道的处理方法及设备 |
-
2015
- 2015-04-14 CN CN201510176852.0A patent/CN104796887B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101772106A (zh) * | 2008-12-30 | 2010-07-07 | 华为技术有限公司 | 数据传输路径的控制方法和***、移动性管理网元和终端 |
| US20130017801A1 (en) * | 2011-07-15 | 2013-01-17 | Verizon Patent And Licensing Inc. | Emergency call handoff between heterogeneous networks |
| CN104506406A (zh) * | 2011-11-03 | 2015-04-08 | 华为技术有限公司 | 一种数据安全通道的处理方法及设备 |
| CN102438330A (zh) * | 2011-12-06 | 2012-05-02 | 大唐移动通信设备有限公司 | 一种附着到e-tran的方法及移动性管理实体 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017206125A1 (zh) * | 2016-06-01 | 2017-12-07 | 华为技术有限公司 | 网络连接方法、安全节点的确定方法及装置 |
| CN109155913A (zh) * | 2016-06-01 | 2019-01-04 | 华为技术有限公司 | 网络连接方法、安全节点的确定方法及装置 |
| US10841792B2 (en) | 2016-06-01 | 2020-11-17 | Huawei Technologies Co., Ltd. | Network connection method, method for determining security node, and apparatus |
| CN109155913B (zh) * | 2016-06-01 | 2021-05-18 | 华为技术有限公司 | 网络连接方法、安全节点的确定方法及装置 |
| US10856141B2 (en) | 2017-01-24 | 2020-12-01 | Huawei Technologies Co., Ltd. | Security protection negotiation method and network element |
| CN109688581A (zh) * | 2017-10-18 | 2019-04-26 | ***通信集团吉林有限公司 | 一种数据的安全传输方法及装置 |
| CN112312389A (zh) * | 2019-07-29 | 2021-02-02 | ***通信集团广东有限公司 | 通信信息传输方法、装置及存储介质、电子设备 |
| CN112312389B (zh) * | 2019-07-29 | 2022-05-06 | ***通信集团广东有限公司 | 通信信息传输方法、装置及存储介质、电子设备 |
| WO2023077309A1 (zh) * | 2021-11-03 | 2023-05-11 | Oppo广东移动通信有限公司 | 一种连接建立及数据传输方法、装置、通信设备 |
| CN117938984A (zh) * | 2024-01-29 | 2024-04-26 | 数盾信息科技股份有限公司 | 一种基于高速加密算法的网络数据传输方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104796887B (zh) | 2018-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101576014B1 (ko) | 시그널링 라디오 베어러를 통한 짧은 패킷 데이터 메시지들의 전송 | |
| CN104796887A (zh) | 一种安全信息交互的方法和装置 | |
| CN109450852B (zh) | 网络通信加密解密方法及电子设备 | |
| US20200260355A1 (en) | Data transmission system, method, and apparatus | |
| TWI652957B (zh) | 基地台以及可在兩基地台間切換的通訊裝置 | |
| US9350711B2 (en) | Data transmission method, system, and apparatus | |
| CN108293223A (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| CN104272671A (zh) | 数据分组的上行链路和下行链路期间的无连接传输的方法和*** | |
| CN102143489A (zh) | 中继节点的认证方法、装置及*** | |
| EP3396981B1 (en) | Security parameter transmission method and related device | |
| WO2016062075A1 (zh) | 一种管理设备间d2d通信分组的方法及设备 | |
| CN103313308A (zh) | 一种数据传输方法和设备 | |
| CN105282803A (zh) | 通讯接口和基于通讯接口的信息传递方法及*** | |
| CN107295507A (zh) | 一种专网接入方法、装置及*** | |
| CN104601541A (zh) | 数据传输的方法、服务器和用户设备 | |
| JP2015526954A (ja) | データ伝送方法、ネットワーク要素デバイスおよび通信システム | |
| CN104301106B (zh) | 无线通信***及其认证方法 | |
| CN106488569B (zh) | 一种无线资源控制消息传输方法及装置 | |
| US11653395B2 (en) | Method for establishing a connection of a mobile terminal to a mobile radio communication network and radio access network component | |
| WO2022134089A1 (zh) | 一种安全上下文生成方法、装置及计算机可读存储介质 | |
| CN107567018B (zh) | 消息处理方法及装置、终端、消息处理*** | |
| CN102868522B (zh) | 一种ike协商异常的处理方法 | |
| CN113572801B (zh) | 会话建立方法、装置、接入网设备及存储介质 | |
| US20140177575A1 (en) | Method for establishing an application session, device and corresponding notification | |
| CN110120907B (zh) | 一种基于提议组的IPSec VPN隧道的通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |