CN109691156B - 基站、移动性管理实体及其操作方法 - Google Patents
基站、移动性管理实体及其操作方法 Download PDFInfo
- Publication number
- CN109691156B CN109691156B CN201680089287.7A CN201680089287A CN109691156B CN 109691156 B CN109691156 B CN 109691156B CN 201680089287 A CN201680089287 A CN 201680089287A CN 109691156 B CN109691156 B CN 109691156B
- Authority
- CN
- China
- Prior art keywords
- group
- ues
- mme
- authentication
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/76—Group identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供用于对无线电信网络中的装置进行群组重新认证的方法和***。根据一个方面,一种无线电信网络中的基站的操作方法包括:从移动性管理实体接收群组认证请求消息,群组认证请求消息包括群组标识符;将至少一个用户设备标识为属于由群组标识符标识的群组;将各个认证请求消息发送给每个标识的UE;从标识的UE中的至少一个UE接收认证响应;聚合接收的至少一个认证响应以便创建群组认证响应消息;以及将群组认证响应消息发送给移动性管理实体。
Description
技术领域
本公开涉及蜂窝通信网络中的移动性管理,且更特别地,涉及对多个装置的群组认证,以便在大量重新认证事件期间减少基站和移动性管理实体之间的网络业务。
背景技术
大规模机器型通信(M-MTC)装置的数量上升在连接大量装置并处置可能在不同情形中生成的繁重信令负载方面对无线电接入网络(RAN)和演进型分组核心(EPC)组件提出新的挑战。对于观察到其中EPC几乎充斥着诸如附着请求、认证请求/响应、服务请求等的相同类型的非接入层(NAS)信号(在M-MTC触发或许多M-MTC装置的寻呼之后)的情形并不少见。通常通过在要处理的事件的频率上配置限制来应对移动性管理实体(MME)必须维持的信号风暴。例如,MME可配置成拒绝给定类型的所有事件(当此类事件的频率超过预先配置的阈值时)。例如,如果启用实现附着请求速率压制的MME功能,那么如果附着请求消息的频率超过配置的阈值,则可开始拒绝附着请求消息。此类特定业务通信模式并不是可能会导致繁重EPC控制平面业务的唯一事物:环境条件和不同运营商配置也可造成信号峰。
对于M-MTC重新认证的特定情形,第三代合作伙伴计划(3GPP)技术规范(TSes)定义了其中重新认证是强制性的明显情形,诸如:(1) 通用订户身份模块(USIM)改变;或(2)用户设备(UE)失去存储的安全性上下文并指示安全密钥无效(由于例如断电)。尽管如此,3GPP TS 33.401 V13.3.0规定,“可通过网络如网络运营商希望地那样经常启动认证和密钥设置”,即,特定实现留给设备供应商判定。
例如,供应商可定义多少特定类型的事件(例如,服务请求)在无需通过网络认证的情况下由UE执行(例如,在10个服务请求--数据传输之后,请求UE重新认证)。在这种场景中,具有相同通信模式(例如,周期性上行链路(UL)传输)的大量类似装置有可能同时变成受制于重新认证。
由MME利用从归属订户服务器(HSS)接收的认证资料(认证向量)启动的NAS认证请求/响应消息每次各自认证一个UE。图1中示出其中的示例。
图1示出在3GPP TS 33.401和24.301中描述的当前UE-MME/HSS重新认证规程。图1示出在基站(BS)10和MME/HSS(下文称为“MME 12”)之间以及在BS 10和一个或多个用户设备(UE)14之间的交互。
在常规3GPP电信网络中,MME 12通过将针对每个UE 14的NAS“认证请求”消息100发送给BS 10(BS 10将消息102转发给UE 14)来请求对有待重新认证的N个UE的集合中的每个UE 14进行认证。消息102包括UE认证(AUTNUE)信息元素(IE),其包含诸如消息认证码(MAC)IE的认证资料,UE 14利用该认证资料来认证网络。这在下文进行更详细地描述。消息102还携带在“RAND”IE中编码的随机值以‘挑战’UE 14。
下表1示出认证信息元素(AUTN IE)编码。AUTN值占用八位组3至18,并由以下成:
(SQN xor AK) || AMF || MAC = 48 +16 +64个位
其中八位组9的位8是AMF字段的“单独位”。
表1 - AUTN IE编码
下表2示出RES IE编码。
表2 - RES IE编码
作为响应,UE 14将利用RAND IE来计算响应(方框104),在NAS“认证响应”消息106内的响应(RES)IE中携带该响应,UE 14将消息106发送给BS 10。BS 10将它作为消息108转发给MME 12。RES IE也属于MAC类型,其供网络(即,MME 12)用于来认证UE 14(方框110)。
图2示出由UE 14执行的一些功能,包括认证网络以及演算UE特定的响应。图2中介绍的步骤可以是图1的演算方框104和104’的一部分。在图2中示出的实施例中,UE 14接收认证请求消息(例如,图1中的消息102),其在RAND IE中包含随机数并在AUTH IE中包含认证参数。UE 14与归属订户服务器(HSS)共享秘密密钥(secret key)(K)。
将RAND和K值输入到功能“f5”中以便产生认证密钥(AK)。AUTN IE包含三个组成:通过对序列号(SQN)和AK执行异或(XOR)操作而产生的值;认证和密钥管理字段(AMF)值;以及MAC的值。将这三个值中的第一个值与由功能f5产生的AK进行异或操作以便产生SQN。接着,UE 14验证SQN的值在正确范围中(方框200)。将K、RAND、SQN和AMF的值输入到功能“f1”中以便产生值XMAC。然后,UE 14验证如此产生的XMAC的值与包含在AUTN IE中的MAC的值匹配(方框202)。如果SQN的值在正确范围中,并且如果XMAC = MAC,那么UE 14成功认证了网络。将K和RAND的值输入到功能“f2”中以便产生UE特定的认证响应(RES)(方框204)。将值RES包含在由UE 14发送给BS 10的认证响应(消息106)中。
如在图1中可见那样,常规3GPP网络各自地认证每个UE 14。图1示出,针对认证的每个UE 14而重复相同交互,即,消息100’、消息102’、方框104’、消息106’、消息108’和认证步骤110’。对于数量为
N的UE 14,存在在BS 10和MME 12之间交换的2×
N个消息。
这对于宽带UE不太有问题,因为存在附着到给定基站的较少数量的宽带UE。但是,这对已知在一些条件下、例如在断电或频繁寻呼之后用高信令负载猛攻(storm)网络的M-MTC装置提出挑战。
但是,当前的3GPP认证方案并未针对大规模M-MTC场景进行完美地调适或优化:BS10和MME 12之间的认证业务的等级很繁重,尤其在其中一次必须重新认证许多装置的场景中更是如此。随着M-MTC的出现,其中大量低功率或低计算功率装置具有蜂窝能力的(有时称为物联网(IoT)的场景),可能需要同时认证的装置的数量可能会非常大,从而潜在地给予BS-MME链路大量重新认证信号消息。
因此,有必要具有在诸如大规模装置重新认证的事件下控制EPC信令负载的解决方案。
发明内容
提供用于对无线电信网络中的装置进行群组认证的方法和***。根据一个方面,一种无线电信网络中的基站(BS)的操作方法包括:接收群组认证请求消息,群组认证请求消息包括群组标识符;将至少一个用户设备(UE)标识为属于由群组标识符标识的群组;将各个认证请求消息发送给每个标识的UE;从标识的UE中的至少一个UE接收认证响应;聚合接收的至少一个认证响应以便创建群组认证响应消息;以及发送群组认证响应消息。
在一个实施例中,从移动性管理实体(MME)接收群组认证请求消息。
在一个实施例中,将群组认证响应消息发送给MME。
在一个实施例中,将至少一个UE标识为属于由群组标识符标识的群组包括使用将群组标识符映射到UE集合的映射信息,每个集合包含至少一个UE。
在一个实施例中,从MME接收映射信息并由BS进行存储。
在一个实施例中,通过BS从在MME和至少一个UE之间交换的消息推断映射信息。
在一个实施例中,将至少一个UE标识为属于一个群组包括通过以下至少其中之一来标识至少一个UE:国际移动订户标识符(IMSI);国际移动设备标识符(IMEI);以及***体系结构演进(SAE)临时移动订户身份(S-TMSI)。
在一个实施例中,聚合步骤包括在指定持续时间执行聚合,在此之后执行发送群组认证响应消息的步骤。
在一个实施例中,在指定持续时间执行聚合包括:在聚合步骤之前开始计时器,并一直等到计时器结束,然后完成聚合并发送群组认证响应消息。
在一个实施例中,执行聚合步骤,直到接收到指定数量的认证响应,在此之后执行发送步骤。
在一个实施例中,聚合步骤包括椭圆曲线加密(ECC)操作。
根据另一个方面,一种无线电信网络中的BS包括:用于与电信网络通信的网络接口;一个或多个处理器;以及用于存储可由所述一个或多个处理器执行的指令的存储器,由此BS可进行操作以便:接收群组认证请求消息,群组认证请求消息包括群组标识符;将至少一个UE标识为属于由群组标识符标识的群组;将各个认证请求消息发送给每个标识的UE;从标识的UE中的至少一个UE接收认证响应;聚合接收的至少一个认证响应以便创建群组认证响应消息;以及发送群组认证响应消息。
在一个实施例中,从MME接收群组认证请求消息。
在一个实施例中,将群组认证响应消息发送给MME。
在一个实施例中,将至少一个UE标识为属于由群组标识符标识的群组包括使用将群组标识符映射到UE集合的映射信息,每个集合包含至少一个UE。
在一个实施例中,从MME接收映射信息并由BS进行存储。
在一个实施例中,通过BS从在MME和至少一个UE之间交换的消息推断映射信息。
在一个实施例中,将至少一个UE标识为属于一个群组包括通过以下至少其中之一来标识至少一个UE:国际移动订户标识符(IMSI);国际移动设备标识符(IMEI);以及S-TMSI。
在一个实施例中,聚合步骤包括在指定持续时间执行聚合,在此之后执行发送群组认证响应消息的步骤。
在一个实施例中,在指定持续时间执行聚合包括:在聚合步骤之前开始计时器,并一直等到计时器结束,然后完成聚合并发送群组认证响应消息。
在一个实施例中,执行聚合步骤,直到接收到指定数量的认证响应,在此之后执行发送(334)认证响应消息的步骤。
在一个实施例中,聚合步骤包括ECC操作。
根据又一个方面,介绍一种在无线电信网络中的BS。该BS适于:接收群组认证请求消息,群组认证请求消息包括群组标识符;将至少一个用户设备UE标识为属于由群组标识符标识的群组;将各个认证请求消息发送给每个标识的UE;从标识的UE中的至少一个UE接收认证响应;聚合接收的至少一个认证响应以便创建群组认证响应消息;以及发送群组认证响应消息。
根据再一个方面,一种在无线电信网络中的BS包括:第一接收模块,其可进行操作以接收群组认证请求消息,群组认证请求消息包括群组标识符;标识模块,其可进行操作以将至少一个UE标识为属于由群组标识符标识的群组;第一发送模块,其可进行操作以将各个认证请求消息发送给每个标识的UE;第二接收模块,其可进行操作以从标识的UE中的至少一个UE接收认证响应;聚合模块,其可进行操作以聚合接收的认证响应以便创建群组认证响应消息;以及第二发送模块,其可进行操作以发送群组认证响应消息。
根据另一个方面,一种无线电信网络中的MME的操作方法包括:向BS发送群组认证请求消息,群组认证请求消息包括群组标识符;从BS接收群组认证响应消息,群组认证响应消息标识UE的集合,并包括聚合响应,所述聚合响应包括从标识的UE接收的响应的聚合;以及验证聚合响应。
在一个实施例中,验证聚合响应包括:确定聚合响应是否有效;以及在确定聚合响应有效时,将标识的UE集合标识为经过认证。
在一个实施例中,该方法包括:在确定聚合响应无效时,对标识的UE集合中的每个UE各自地执行认证。
在一个实施例中,该方法包括在发送群组认证请求消息之前:将UE集合标识为属于具有群组标识符的群组,该集合包含至少一个UE;以及将以下至少其中之一发送给BS:将群组标识符映射到UE集合的信息;或供BS用于从在MME和UE集合之间交换的消息推断映射的信息。
在一个实施例中,使用IMSI、IMEI和S-TMSI中的至少一个来标识UE集合中的每个UE。
在一个实施例中,基于以下至少其中之一来选择UE集合:UE简档,UE位置,UE类型,以及UE能力。
在一个实施例中,验证步骤包括ECC操作。
根据又一个方面,一种在无线电信网络中的MME包括:用于与电信网络通信的网络接口;一个或多个处理器;以及用于存储可由所述一个或多个处理器执行的指令的存储器,由此MME可进行操作以便:向BS发送群组认证请求消息,群组认证请求消息包括群组标识符;从BS接收群组认证响应消息,群组认证响应消息标识UE的集合,并包括聚合响应,所述聚合响应包括从标识的UE集合接收的响应的聚合;以及验证聚合响应。
在一个实施例中,验证聚合响应包括:确定聚合响应是否有效;以及在确定聚合响应有效时,将标识的UE集合标识为经过认证。
在一个实施例中,该方法还包括:在确定聚合响应无效时,对标识的UE集合中的每个UE各自地执行认证。
在一个实施例中,该方法还包括在发送群组认证请求消息之前:将UE集合标识为属于具有群组标识符的群组,该集合包含至少一个UE;以及将以下至少其中之一发送给BS:将群组标识符映射到UE集合的信息;或供BS用于从在MME和UE集合之间交换的消息推断映射的信息。
在一个实施例中,使用IMSI、IMEI和S-TMSI中的至少一个来标识集合中的每个UE集合。
在一个实施例中,基于以下至少其中之一来选择UE集合:UE简档,UE位置,UE类型,以及UE能力。
在一个实施例中,验证步骤包括ECC操作。
根据再一个方面,提供一种在无线电信网络中的MME。该MME适于:向BS发送群组认证请求消息,群组认证请求消息包括群组标识符;从BS接收群组认证响应消息,群组认证响应消息标识UE的集合,并包括聚合响应,所述聚合响应包括从标识的UE集合接收的响应的聚合;以及验证聚合响应。
根据另一个实施例,一种在无线电信网络中的MME包括:发送模块,其可进行操作以向BS发送群组认证请求消息,群组认证请求消息包括群组标识符;接收模块,其可进行操作以从BS接收群组认证响应消息,群组认证响应消息标识UE的集合,并包括聚合响应,所述聚合响应包括从标识的UE集合接收的响应的聚合;以及验证模块,其可进行操作以验证聚合响应。
在结合附图阅读以下对实施例的详细描述之后,本领域技术人员将明白本公开的范围并实现其额外方面。
附图说明
并入在本说明书中并且形成本说明书的一部分的附图图示本公开的若干个方面,并且与本描述一起用于解释本公开的原理。
图1示出在第三代合作伙伴计划(3GPP)技术规范(TS)33.401和24.301中描述的当前用户设备(UE)-移动性管理实体(MME)/归属订户服务器(HSS)重新认证规程。
图2示出由UE执行的一些功能,包括认证网络并演算UE特定的响应。
图3示出根据本文中描述的主题的实施例的群组认证的示例性过程。
图4示出根据本文中描述的主题的实施例的示例性基站(BS)的框图。
图5示出根据本文中描述的主题的另一个实施例的示例性BS的框图。
图6示出根据本文中描述的主题的实施例的示例性MME的框图。
图7示出根据本文中描述的主题的另一个实施例的示例性MME的框图。
图8示出根据本文中描述的主题的实施例的示例性UE的框图。
图9示出根据本文中描述的主题的另一个实施例的示例性UE的框图。
图10示出根据本文中描述的主题的实施例的示例性初始附着规程。
具体实施方式
下文阐述的实施例表示使得本领域技术人员能够实践这些实施例的信息,并说明实践这些实施例的最佳模式。在鉴于附图阅读以下描述之后,本领域技术人员将了解本公开的概念,并将意识到本文中没有特别提及的这些概念的应用。应了解,这些概念和应用落在本公开和随附权利要求的范围内。
提供针对大规模机器型通信(M-MTC)装置的群组启用用户设备(UE)--移动性管理实体(MME)/归属订户服务器(HSS)认证请求/认证响应规程的基站聚合的解决方案。本文中提供的主题等效于在UE-MME/HSS认证规程中针对M-MTC优化MME容量和S1AP链路利用率。本文中提供的主题包括用于通过特定认证请求/认证响应UE-MME/HSS消息的聚合来减少S1AP信令负载的方法和机制。
基于例如存储在HSS中的位置、装置业务模式通信或简档而在运营商网络上形成装置的群组。预期群组中的M-MTC装置几乎同时生成类似的控制平面负载,假定它们在相同环境和/或业务条件下经受触发、附着、认证、分离等。
MME负责触发装置群组(的一部分)的认证。MME通过利用对于群组(的一部分)中的所有UE的共同认证资料发送增强型认证请求来启动认证。增强型认证请求也可称为“群组认证请求”。基本上包含MME/HSS签名的认证资料(不同于遗留认证资料)允许UE认证网络。
UE用增强型认证响应消息做出答复,增强型认证响应消息被构建成使得基站可将它们聚合成单个S1AP消息。该S1AP消息将只包含具有与包含在各个认证响应消息中的原始签名相同的大小的一个聚合签名。
通过接收具有对应于许多UE的一个聚合签名的S1AP消息,MME/HSS可验证聚合签名。因此,网络认证受制于签名聚合的UE。
具有必需的加密能力的UE(例如,支持下文详述的公共-密钥方案的UE)可参与本文中描述的方法。尽管如此,解决方案仍设计成对当前UE具有最小影响。UE和基站之间的UE非接入层(NAS)认证请求/响应消息格式只是略作改变。
图3示出根据本文中描述的主题的实施例的群组认证的示例性过程。作为初步事项,可利用相同过程来认证或重新认证UE的群组(但不是用于在初始附着时认证,初始附着利用遗留认证)。为简单起见,该过程将称为“认证”,但是将了解,该过程也可用于重新认证。
在图3中示出的实施例中,在准备执行本文中描述的群组认证方法时,MME 12定义一个或多个群组,每个群组包含一个或多个UE 14(方框300)。然后,MME 12将该群组信息传达给BS 10。在图3中示出的实施例中,将该信息作为群组映射(消息302)发送,群组映射包括群组标识符(群组ID)以及属于该标识的群组的UE列表。BS 10存储该信息。在图3中示出的实施例中,BS 10存储群组映射(方框304)。在备选实施例中,MME 12向BS 10发送供BS 10用于从在MME 12和一个或多个UE 14之间交换的消息推断映射的信息。
当MME 12想要认证UE的群组时,它发出指示有待认证至少一个群组的群组认证请求(消息306)。在图3中示出的实施例中,消息306包括群组ID。在接收到群组认证请求时,BS10将利用(所述一个或多个)群组ID来查找或以其它方式获得有待认证的UE的列表(方框308)。然后,BS 10将各个认证请求发出给标识为位于所述一个或多个群组中的每个RRC_Connected UE。(不向空闲UE发送请求)。在图3中示出的实施例中,这被示出为是认证请求消息310、312和314。请求消息310前往UE_1,请求消息312前往UE_2,并且请求消息314前往UE_N。
在一个实施例中,BS 10将仅在特定时间量侦听来自UE 14的响应。因此,在图3中示出的实施例中,BS 10开始计时器(方框316)。BS 10将继续侦听响应,直到计时器到期,此时它将处理接收的响应并停止侦听额外响应。在备选实施例中,BS 10可一直侦听响应,直到接收到阈值数量的响应为止,在这种情况下,BS 10可设置计数器,每次接收到响应时,计数器递减,直到计数器达到0为止,此时BS 10将处理接收的响应并停止侦听额外响应。预期有其它方法,包括计时器和计数器的组合以及检测其它触发条件(可使得BS 10终止侦听状态并处理接收的响应(如果有的话))。
图3示出UE不一定按发出请求的相同顺序做出响应的点。例如,在图3中示出的实施例中,UE_N接收认证请求(消息314)、演算响应(方框318)、以及在任何其它UE 14之前首先发送认证响应(消息320)。BS 10从UE_N接收认证响应(消息320),并将UE_N的响应添加到聚合中(方框322)。当其它UE 14做出响应时,以相同方式将它们的响应消息添加到聚合中。在图3中示出的实施例中,UE_1演算它的响应(方框324),并将认证响应(消息326)发送给BS10,BS 10将它添加到聚合响应(方框328)。
这持续直到出现使得BS 10退出侦听状态并完成聚合过程的触发事件为止。在图3中示出的实施例中,该触发事件是计时器到期(方框330),但是如上所述,在其它实施例中,触发事件可能是接收到阈值数量的认证响应、计时器和阈值数量的某种组合或其它触发条件。在终止侦听状态时,BS 10完成聚合(方框332),并将聚合响应发送给MME 12(消息334)。在图3中示出的实施例中,聚合响应(消息334)包括做出响应的UE的列表。在备选实施例中,可在一个或多个单独消息中将做出响应的UE的列表传达给MME 12。
然后,MME 12验证聚合响应(方框336)。在成功验证时,MME 12接着将包含在UE列表中的所有UE视为经过认证。如果验证不成功,在一个实施例中,MME 12则可根据常规方法发出各个认证请求。备选地,MME 12可重新定义群组并再次尝试群组认证。
在图3中示出的实施例中,BS 10按照接收响应的顺序逐个地聚合接收的响应(例如,消息320和326)。在备选实施例中,BS 10可收集接收的响应,并存储或缓冲一些或所有接收的信息,直到计时器耗尽(或其它触发条件被满足),此时同时聚合所有接收的响应。
图4示出根据本文中描述的主题的实施例的示例性BS的框图。在图4中示出的实施例中,BS 10包括用于与电信网络通信的网络接口16、一个或多个处理器18和存储可由所述一个或多个处理器执行的指令的存储器20。BS 10可进行操作以:接收包括群组标识符的群组认证请求消息;将至少一个UE标识为属于由群组标识符标识的群组;将各个认证请求消息发送给每个标识的UE;从标识的UE中的至少一个UE接收认证响应;聚合接收的至少一个认证响应以创建群组认证响应消息;以及发送群组认证响应消息。
在一个实施例中,从MME接收群组认证请求消息。在一个实施例中,将群组认证响应消息发送给MME。在一个实施例中,将至少一个UE标识为属于由群组标识符标识的群组包括利用将群组标识符映射到UE集合的映射信息,每个集合包含至少一个UE。在一个实施例中,从MME接收映射信息并由BS 10进行存储。在一个实施例中,通过BS 10从在MME和至少一个UE之间交换的消息推断映射信息。在一个实施例中,将至少一个UE标识为属于一个群组包括通过以下至少其中之一来标识至少一个UE:国际移动订户标识符(IMSI);国际移动设备标识符(IMEI);以及***体系结构演进(SAE)临时移动订户身份(S-TMSI)。在一个实施例中,聚合步骤包括在指定持续时间执行聚合,在此之后执行发送群组认证响应消息。在一个实施例中,在指定持续时间执行聚合包括:在聚合步骤之前开始计时器,并一直等到计时器结束,然后完成聚合并发送群组认证响应消息。在一个实施例中,执行聚合步骤,直到接收到指定数量的认证响应为止,在此之后执行发送认证响应消息。在一个实施例中,聚合步骤包括椭圆曲线加密(ECC)操作。
图5示出根据本文中描述的主题的另一个实施例的示例性BS的框图。在图5中示出的实施例中,BS 10包括:第一接收模块22,其可进行操作以接收群组认证请求消息,群组认证请求消息包括群组标识符;标识模块24,其可进行操作以将至少一个UE标识为属于由群组标识符标识的群组;第一发送模块26,其可进行操作以将各个认证请求消息发送给每个标识的UE;第二接收模块28,其可进行操作以从标识的UE中的至少一个UE接收认证响应;聚合模块30,其可进行操作以聚合接收的认证响应以创建群组认证响应消息;以及第二发送模块32,其可进行操作以发送群组认证响应消息。
图6示出根据本文中描述的主题的实施例的示例性MME的框图。在图6中示出的实施例中,MME 12包括用于与电信网络通信的网络接口34、一个或多个处理器36以及存储可由所述一个或多个处理器36执行的指令的存储器38。MME 12可进行操作以:向基站BS 10发送群组认证请求消息,群组认证请求消息包括群组标识符;从BS接收群组认证响应消息,群组认证响应消息标识UE的集合,并包括聚合响应,所述聚合响应包括从标识的UE集合接收的响应的聚合;以及验证聚合响应。
在一个实施例中,验证聚合响应包括:确定聚合响应是否有效;以及在确定聚合响应有效时,将标识的UE集合标识为经过认证。在一个实施例中,该方法还包括:在确定聚合响应无效时,对标识的UE集合中的每个UE各自地执行认证。在一个实施例中,该方法还包括在发送群组认证请求消息之前:将UE的集合标识为属于具有群组标识符的群组,该集合包含至少一个UE;以及将以下至少其中之一发送给BS:将群组标识符映射到UE集合的信息;或供BS用于从在MME和UE集合之间交换的消息推断映射的信息。在一个实施例中,使用IMSI、IMEI和S-TMSI中的至少一个来标识集合中的每个UE集合。在一个实施例中,基于以下至少其中之一来选择UE的集合:UE简档,UE位置,UE类型,以及UE能力。在一个实施例中,验证步骤包括ECC操作。
图7示出根据本文中描述的主题的另一个实施例的示例性MME的框图。在图7中示出的实施例中,MME 12包括:发送模块40,其可进行操作以向BS发送群组认证请求消息,群组认证请求消息包括群组标识符;接收模块42,其可进行操作以从BS接收群组认证响应消息,群组认证响应消息标识UE的集合,并包括聚合响应,所述聚合响应包括从标识的UE集合接收的响应的聚合;以及验证模块44,其可进行操作以验证聚合响应。
图8示出根据本文中描述的主题的实施例的示例性UE 14的框图。在图8中示出的实施例中,UE 14包括:用于与电信网络通信的网络接口46:;一个或多个处理器48;以及存储可由所述一个或多个处理器执行的指令的存储器50。UE 14可进行操作以:从BS接收认证请求消息,认证请求消息包括认证信息;利用认证信息认证网络;利用认证信息演算UE-特定的响应;以及将演算的UE-特定的响应发送给BS。在一个实施例中,认证信息包括以下至少其中之一:随机数(RAND);序列号(SQN);消息认证码(MAC);认证和密钥管理字段(AMF);以及密钥集合标识符(KSI)。在一个实施例中,从BS接收的认证信息包括MME-特定的签名(MME_SIG),UE 14利用它来认证网络、BS和/或MME。在一个实施例中,演算UE-特定的响应包括执行ECC操作。在一个实施例中,在对于网络的初始附着操作期间,UE发信号通知参与群组认证操作的能力。在一个实施例中,发信号通知参与群组认证操作的能力包括发信号通知执行ECC操作的能力。
图9示出根据本文中描述的主题的另一个实施例的示例性UE 14的框图。在图9中示出的实施例中,UE 14包括:接收模块52,其可进行操作以从BS接收认证请求消息,认证请求消息包括认证信息;认证模块54,其可进行操作以利用认证信息来认证网络;演算模块56,其可进行操作以利用认证信息来演算UE-特定的响应;以及发送模块58,其可进行操作以将演算的UE-特定的响应发送给BS。
实现细节
本文中描述的方法和***通过运用驻留在通用订户身份模块(USIM)中的秘密(预先共享的秘密密钥K)来保留在第三代合作伙伴计划(3GPP)中定义的相同认证模型,即,两步相互认证(认证请求/认证响应),并使得能够聚合信令消息,这因而等效于优化MME/HSS容量。这些概念可扩展至涉及经过认证的规程的其它规程。设计成加强安全性和/或反击拒绝服务攻击的需要认证的潜在未来规程可得益于本文中描述的概念。下文中,术语“M-MTC装置”和“UE”可互换。
有多种方式可用来聚合消息。例如,可利用诸如对不同消息一起进行异或操作的不同代数构造来聚合消息以创建聚合消息。一种此类方法称为聚合消息认证码或AMAC,其对MAC消息执行XOR。这种方法的优点是,它可运用基于MAC功能的3GPP遗留UE-网络认证方案。但是,假定MAC基于预先共享的秘密密钥(就对称加密而论,每个UE与网络共享不同的
K密钥),MAC聚合方案通过MAC聚合仅仅减少S1AP上行链路(UL)信令(认证响应),而并未减少S1AP下行链路(DL)信令(认证请求)。只减少UL信令比根本不减少任何信令更好,但是如果可能,期望同时减少UL信令和DL信令。出于这个原因,认为AMAC只是部分解决方案。AMAC方法的另一个弱点是,就像使用XOR作为主要数学函数来聚合的任何方法那样,它不是很稳健,即,相同位置中的两个位错误可彼此抵消掉,从而给出假肯定的认证结果。
因此,在开发群组认证算法期间,使用了以下原理,即,允许S1AP UL消息聚合的任何数学构造应当以以下若干个特性为特征:
第一,数学构造对于优化整体认证信令负载有用,即,同时减少UL和DL S1AP信令,而不是只减少一个或另一个。
第二,数学构造可适于由具有诸如处理器功率、存储器容量等的硬件约束的装置实现。
第三,数学构造可抵抗“伪造攻击”。这是任何签名方案的一般目标,但是一些签名方案比其它方案更能抵抗伪造攻击。
鉴于上文列出的特征,开发利用ECC和双线性映射的实现。本文中描述的方法和***由于同时减少UL和DL S1AP信令而满足第一特性,由于已知ECC方案与类似安全性等级的RSA签名相比在计算上没那么高成本(带有更短的签名长度)而满足第二特性,并且由于基于ECC的签名经证实对于伪造攻击具有高度抵抗性而满足第三特性。本文中描述的ECC和双线性映射方法采用携带可由群组中的所有UE验证的网络签名的一个认证请求消息。
但是,注意,本主题不仅仅局限于本文中公开的特定的基于ECC的方法,而是预期有满足上文列出的特性的其它数学构造。
本文中描述的群组认证方法包括用于在大规模重新认证期间减少MME信令的若干个机制。这些机制与常规方法的不同之处在于,对NAS认证请求/响应中的RES IE和认证信息元素(AUTN)的语义进行了修改。
第一机制:允许装置的群组认证网络的机制。在一个实施例中,网络运营商可基于UE简档、位置等来配置UE群组创建。因此,MME依据例如IMSI -- S-TMSI与群组-ID的关联而获知UE的群组。此外,无需利用不同的UE S1AP关联来为每个UE复制“认证请求”消息,MME可发送为给定群组标记的“认证请求”类型的单个S1AP消息。接着,通过基站将该“认证请求”发送给该群组中的活动UE。这些UE具有它们与群组-ID相关联的身份。
第二机制:允许基站将许多“认证响应”聚合成单个S1AP消息的机制。在一个实施例中,在发送NAS认证请求消息之后,基站开始计时器,并收集UE认证响应,直到计时器到期。可能的是,群组中并非所有UE在该时间周期内以“认证响应”做出答复。并且,基站可配置成在一个S1AP消息中聚合多达特定数量的UE认证响应。在一个S1AP消息中聚合的UE认证响应的最大数量是可配置的,例如通过基站-MME链路上的MTU来限制。该聚合不表示将认证响应简单整批并置到一个S1AP消息中。本文中描述的方法确保,用仍然允许MME认证作为聚合的一部分的所有UE的一个新值取代所有UE认证资料(RES值),而无需额外信令。
第三机制:允许MME将群组-ID到UE身份的映射发送给基站并触发UE以使得所有随后的(重新)认证请求利用提出的方案的机制。
现在将详细描述这三个机制。
第一机制
在一个实施例中,第一机制依赖ECC来实现数字签名。MME发送唯一签名的认证请求消息,其可以是例如:MMME = (SQN xor AK) || RAND || KSIasme。给定sig (message,privk),即取要签名的消息和私有privk密钥的ECC公共-密钥签名功能,签名MME_SIG = sig(MMME, privMME_K)(其中privMME_K是MME私有密钥)可由群组内的任何UE验证。
因此,与常规AUTN IE相比,对AUTN IE的修改之处在于,签名MME_SIG取代MAC IE。其它AUTN参数保持不变,并且对于一个群组是唯一的。RAND对于一个群组中的所有UE也相同。
增强型认证请求并未关联到群组中的任何特定UE(即,通过S1AP关联)。S1AP消息经过增强以包括群组-ID字段。图3的消息306中的群组-ID启动/触发BS 10为该群组中的所有相连UE(即,RRC_CONNECTED状态)发送认证请求。在由计时器定义的时间帧内,BS 10收集认证响应消息,并将它们聚合成一个S1AP消息,如第二机制所描述。
第二机制
在一个实施例中,第二机制依赖ECC来实现数字签名。每个UE对认证响应进行签名,并将UE_SIG签名放置在RES IE中。选择特定公共-密钥方案,以使得基站能够执行签名聚合:用使得MME能够认证UE的群组的经过变换的签名UE_TRANSF_SIG取代来自群组UE的所有RES。该机制将UE群组-ID发送给基站,并且只有在UE支持ECC加密时才命令UE利用提出的认证方案。
签名聚合方案要求在不同消息上执行原始签名;否则,聚合签名验证将失败。因此,在一个实施例中,UE针对包括对于MME已知的唯一UE标识符(诸如S-TMSI)的消息生成签名。以下消息是可签名的不同UE消息的示例:
· MUE = S-TMSI || RAND(其中RAND位于在认证请求中接收的消息中)
· UE_SIG = sig (MUE, privUE_K),其中sig (message, privK),即,取要签名的消息和私有privk密钥的公共-密钥签名功能。
因此,与常规RES IE相比,对RES IE的修改之处在于,将签名UE_SIG包含在对BS10的响应中而不是包含在常规RES IE中。UE 14不一定嵌入MUE。例如,BS 10可将认证响应与对应的S-TMSI相关联。
在计时器到期时或通过达到最大消息大小,BS 10将所有UE_SIG聚合成具有与原始UE_SIG相同大小的一个经过变换的UE_TRANSF_SIG签名。取决于实现,可以或者可以不在运行中计算UE_TRANSF_SIG值。BS 10通过还包括对认证请求做出答复的那些UE的标识符来构建S1AP消息。为了减小S1AP消息大小,BS 10可利用M-TMSI(4个八位组)。对于40个八位组(320个位)的给定签名和1500个八位组的MTU,可存在聚合在一个S1AP消息中的多于300个认证响应。对于9000 MTU,可存在多于1800个聚合UE,其中认证响应聚合在一个单个S1AP消息中。因此,与常规S1AP认证响应相比,S1AP认证响应将被修改之处在于,群组认证响应将包括聚合的认证响应。
第三机制
对于Kasme根密钥的认证和计算,常规3GPP重新认证依赖于在USIM/UE和MME/HSS之间存在K预先共享的密钥[见3GPP TS 33.401]。为了减少MME信令,本文中公开的主题包括针对认证规程使用公共-密钥加密,同时保留原始Kasme密钥导出方案。
为了参与本文中公开的方法和***,UE 14需要支持ECC,这提供对于本文中描述的实现所必需的代数构造。在一个实施例中,只有当UE 14支持ECC时,BS 10才可命令UE 14利用群组认证方案。
在一个实施例中,对于UE初始附着时的初始认证,UE 14和MME 12可依赖于3GPP遗留认证。假设,在第一次初始附着之前,UE 14和MME 12不共享任何安全性上下文。在初始附着期间,如果UE 14支持ECC,那么MME 12可将该UE 14关联到群组-ID,在这种情况下,MME12可指导UE 14针对所有随后的认证请求将认证方案从遗留认证方案切换到群组认证方案。在一个实施例中,UE还接收对于验证MME签名和生成RES参数所必需的参数(椭圆曲线、MME公共密钥、UE密钥对等)。
在一个实施例中,BS 10(即,UE签名聚合器)需要一些ECC参数来执行签名聚合。这些可在例如BS 10的设立时间获取。然后,对于附着到网络的具有ECC能力的每个新UE 14,MME 12可在初始附着期间为BS 10提供UE群组-ID。在一个实施例中,BS 10保留群组-ID到UE映射,直到显式地由MME 12移除为止。这可经由诸如为RRC连接暂停/恢复规程提出的S1AP UE取消上下文消息的S1AP消息实行。图10中描绘的流程汇总了在初始附着期间的提出的改变。
图10示出根据本文中描述的主题的实施例的示例性初始附着规程。为简单起见,图10中简化了涉及在UE 14、BS 10和MME 12之间交换的消息的初始附着规程。在图10中示出的实施例中,过程以随机接入规程400开始,跟随有RRC连接建立402以及附着、认证和安全性激活404。当UE 14发出NAS附着请求(消息406)时,该消息与常规NAS附着请求消息的不同之处在于,它包含一个或多个UE的网络能力的列表。在一个实施例中,消息406包含UE的网络能力,包括建立NAS和AS安全信道所必需的支持的加密和完整性算法的列表。如在3GPPTS 24.301 Sec. 9.9.3.34中定义的当前UE网络能力IE具有若干个备用字节。可将对ECC认证的支持编码为例如八位组8内的单个位。经由S1AP初始UE消息(消息408)将该信息传递给MME 12。
相互认证过程410、NAS安全性设立过程412、位置更新过程414和默认无线电承载设立过程416以常规方式操作,并且对应于遗留UE-MME/HSS初始认证。
在一个实施例中,S1AP初始上下文设立请求(消息418)包括在遗留信令中不存在的两个元素:由MME 12将UE 14所指派到的群组的群组ID;以及EMM安全性模式命令。在一个实施例中,EMM安全性模式命令包含对于UE必需的ECC***参数以及MME公共密钥和MME为当前UE生成的一对密钥(pubk, privk)。受保护地发送该消息,因为在完成NAS安全性设立过程412之后,对所有NAS UE-MME交换进行了加密和完整性保护。在完成AS安全性设立过程420之后,BS 10将包含EMM安全性模式命令的RRC连接重新配置消息422发送给UE 14,UE 14用RRC连接重新配置完成消息424做出响应。然后,BS 10将S1AP初始上下文设立响应消息426发送给MME 12。
接着,UE 14将包含EMM安全性模式完成的RRC UL信息传递消息428发送给BS 10。BS 10将该信息作为S1AP UL NAS传输消息430进行转发。在接收到具有安全性模式完成的消息430之后,默认UE-MME/HSS认证方案将已经变成是如本文中所描述的群组认证方案。无论何时必需,都可经由新的EMM安全性模式命令来命令UE改变认证方案。
因此,可利用本文中描述的一些方法和***来修改当前的3GPP重新认证。下表3汇总了这些变化。
表3 - 变化的概要
在上文描述的这三个机制中,具挑战性的方面是涉及签名聚合的第二机制。在一个实施例中,用双线性映射增强的ECC被利用。该实施例特别要求,针对成功聚合的签名验证必须利用不同签名的消息。为了满足该要求,在一个实施例中,在UE签名的消息中包括UEID(例如,S-TMSI)。另外,为BS 10和MME 12(或HSS)提供诸如ECC曲线参数、MME公共密钥等的一些***参数。在一个实施例中,这些参数可对于一个运营商是特定的,并且UE可在遗留3GPP认证之后在初始附着时经由安全NAS信道从MME接收必需的参数。理论上,对要聚合的签名的数量N(即,UE群组的大小)没有限制。在实际实践中,可基于例如S1AP接口上的MTU来限制最大数量N。
本公开通篇使用以下首字母缩写。
·3GPP 第三代合作伙伴计划
·AMF 认证和密钥管理字段
·ASIC 专用集成电路
·AUTN 认证IE
·BS 基站
·CK 机密密钥
·CPU 中央处理单元
·DL 下行链路
·ECC 椭圆曲线加密
·EMM EPS移动性管理
·EPC 演进型分组核心
·EPS 演进型分组***
·FPGA 现场可编程门阵列
·IE 信息元素
·IK 完整性密钥
·IMEI 国际移动设备标识符
·IMSI 国际移动订户标识符
·K 秘密密钥
·KSI 密钥集合标识符
·LTE 长期演进
·M-MTC 大规模机器型通信
·MAC 消息认证码
·MME 移动性管理实体
·NAS 非接入层
·RAN 无线电接入网络
·RAND 随机数IE
·S-TMSI SAE临时移动订户身份
·SAE ***体系结构演进
·SQN 序列号
·UE 用户设备
·UL 上行链路
·USIM 通用订户身份模块
本领域技术人员将意识到对本公开的实施例的改进和修改。所有此类改进和修改被视为在本文中公开的概念和随附权利要求的范围内。
Claims (32)
1.一种无线电信网络中的基站BS(10)的操作方法,所述方法包括:
接收(306)群组认证请求消息,所述群组认证请求消息包括群组标识符;
将用户设备UE集合标识(308)为属于由所述群组标识符标识的群组,所述集合包含至少一个UE,其中标识所述UE集合包括以下至少其中之一:
使用从移动性管理实体MME(12)接收的将所述群组标识符映射到所述UE集合的映射信息,或
使用通过所述BS(10)从在所述MME(12)和所述UE集合之间交换的消息推断的映射信息;
将各个认证请求消息发送(310,312,314)给每个标识的UE;
从所述标识的UE中的至少一个UE接收(320,326)认证响应;
聚合(322,328,332)所接收的至少一个认证响应以创建群组认证响应消息,所述群组认证响应消息是包括对应于至少两个UE的一个聚合签名的单个S1AP消息,其中:
所述聚合步骤包括在指定持续时间执行聚合;或者
执行所述聚合步骤,直到接收到指定数量的认证响应为止;以及
发送(334)所述群组认证响应消息。
2.如权利要求1所述的方法,其中从所述MME(12)接收所述群组认证请求消息。
3.如权利要求1所述的方法,其中将所述群组认证响应消息发送给所述MME(12)。
4.如权利要求1所述的方法,其中将所述UE集合标识(308)为属于所述群组包括:通过以下至少其中之一来标识所述UE集合:
国际移动订户标识符IMSI;
国际移动设备标识符IMEI;以及
***架构演进SAE临时移动订户身份S-TMSI。
5.如权利要求1所述的方法,其中所述聚合步骤包括在指定持续时间执行聚合,在此之后执行所述发送(334)所述群组认证响应消息。
6.如权利要求5所述的方法,其中在所述指定持续时间执行聚合包括:在所述聚合步骤之前开始计时器(316),并一直等到所述计时器结束(330),然后完成所述聚合(332)并发送(334)所述群组认证响应消息。
7.如权利要求1所述的方法,其中执行所述聚合步骤,直到接收到指定数量的认证响应为止,在此之后执行所述发送(334)步骤。
8.如权利要求1所述的方法,其中所述聚合步骤包括椭圆曲线加密ECC操作。
9.一种无线电信网络中的基站BS(10),所述BS包括:
用于与电信网络通信的网络接口(16);
一个或多个处理器(18);以及
存储可由所述一个或多个处理器执行的指令的存储器(20),由此所述BS(10)可进行操作以用于:
接收(306)群组认证请求消息,所述群组认证请求消息包括群组标识符;
将用户设备UE集合标识(308)为属于由所述群组标识符标识的群组,所述集合包含至少一个UE,其中标识所述UE集合包括以下至少其中之一:
使用从移动性管理实体MME(12)接收的将所述群组标识符映射到所述UE集合的映射信息,或
使用通过所述BS(10)从在所述MME(12)和所述UE集合之间交换的消息推断的映射信息;
将各个认证请求消息发送(310,312,314)给每个标识的UE;
从所述标识的UE中的至少一个UE接收(320,326)认证响应;
聚合(322,328,332)所接收的至少一个认证响应以创建群组认证响应消息,所述群组认证响应消息是包括对应于至少两个UE的一个聚合签名的单个S1AP消息,其中:
所述聚合步骤包括在指定持续时间执行聚合;或者
执行所述聚合步骤,直到接收到指定数量的认证响应为止;以及
发送(334)所述群组认证响应消息。
10.如权利要求9所述的BS,其中从所述MME(12)接收所述群组认证请求消息。
11.如权利要求9所述的BS,其中将所述群组认证响应消息发送给所述MME(12)。
12.如权利要求9所述的BS,其中将所述UE集合标识(308)为属于群组包括:通过以下至少其中之一来标识所述UE集合:
国际移动订户标识符IMSI;
国际移动设备标识符IMEI;以及
***架构演进SAE临时移动订户身份S-TMSI。
13.如权利要求9所述的BS,其中所述聚合步骤包括在指定持续时间执行聚合,在此之后执行所述发送(334)所述群组认证响应消息。
14.如权利要求13所述的BS,其中在所述指定持续时间执行聚合包括:在所述聚合步骤之前开始计时器(316),并一直等到所述计时器结束(330),然后完成所述聚合(332)并发送(334)所述群组认证响应消息。
15.如权利要求9所述的BS,其中执行所述聚合步骤,直到接收到指定数量的认证响应为止,在此之后执行所述发送(334)所述认证响应消息。
16.如权利要求9所述的BS,其中所述聚合步骤包括椭圆曲线加密ECC操作。
17.一种无线电信网络中的基站BS(10),所述BS包括处理器(18),所述处理器(18)适配成用于:
接收(306)群组认证请求消息,所述群组认证请求消息包括群组标识符;
将用户设备UE集合标识(308)为属于由所述群组标识符标识的群组,所述集合包含至少一个UE,其中标识所述UE集合包括以下至少其中之一:
使用从移动性管理实体MME(12)接收的将所述群组标识符映射到所述UE集合的映射信息,或
使用通过所述BS(10)从在所述MME(12)和所述UE集合之间交换的消息推断的映射信息;
将各个认证请求消息发送(310,312,314)给每个标识的UE;
从所述标识的UE中的至少一个UE接收(320,326)认证响应;
聚合(322,328,332)所接收的至少一个认证响应以创建群组认证响应消息,所述群组认证响应消息是包括对应于至少两个UE的一个聚合签名的单个S1AP消息,其中:
所述聚合步骤包括在指定持续时间执行聚合;或者
执行所述聚合步骤,直到接收到指定数量的认证响应为止;以及
发送(334)所述群组认证响应消息。
18.一种无线电信网络中的基站BS(10),所述BS包括:
第一接收模块(22),所述第一接收模块(22)可进行操作以接收(306)群组认证请求消息,所述群组认证请求消息包括群组标识符;
标识模块(24),所述标识模块(24)可进行操作以将用户设备UE集合标识(308)为属于由所述群组标识符标识的群组,所述集合包含至少一个UE,其中标识所述UE集合包括以下至少其中之一:
使用从移动性管理实体MME(12)接收的将所述群组标识符映射到所述UE集合的映射信息,或
使用通过所述BS(10)从在所述MME(12)和所述UE集合之间交换的消息推断的映射信息;
第一发送模块(26),所述第一发送模块(26)可进行操作以将各个认证请求消息发送(310,312,314)给每个标识的UE;
第二接收模块(28),所述第二接收模块(28)可进行操作以从所述标识的UE中的至少一个UE接收(320,326)认证响应;
聚合模块(30),所述聚合模块(30)可进行操作以聚合(322,328,332)所述接收的认证响应,从而创建群组认证响应消息,所述群组认证响应消息是包括对应于至少两个UE的一个聚合签名的单个S1AP消息,其中:
所述聚合步骤包括在指定持续时间执行聚合;或者
执行所述聚合步骤,直到接收到指定数量的认证响应为止;以及
第二发送模块(32),所述第二发送模块(32)可进行操作以发送(334)所述群组认证响应消息。
19.一种无线电信网络中的移动性管理实体MME(12)的操作方法,所述方法包括:
将用户设备UE集合标识(300)为属于具有群组标识符的群组,所述集合包含至少一个UE;
向基站BS(10)发送(302)以下至少其中之一:
将所述群组标识符映射到所述UE集合的信息,或
由所述BS用来从在所述MME和所述UE集合之间交换的消息推断映射的信息;
向所述BS(10)发送(306)群组认证请求消息,所述群组认证请求消息包括所述群组标识符;
从所述BS(10)接收(334)群组认证响应消息,所述群组认证响应消息标识用户设备UE(14)的集合,并且包括聚合响应,所述聚合响应包括从所述标识的UE接收的所述响应的聚合,所述群组认证响应消息是包括对应于至少两个UE的一个聚合签名的单个S1AP消息;以及
验证(336)所述聚合响应。
20.如权利要求19所述的方法,其中验证(336)所述聚合响应包括:
确定所述聚合响应是否有效;以及
在确定所述聚合响应有效时,将所述标识的UE集合标识为经过认证。
21.如权利要求20所述的方法,还包括:在确定所述聚合响应无效时,对所述标识的UE集合中的每个UE各自地执行认证。
22.如权利要求19所述的方法,其中使用以下至少其中之一来标识所述UE集合中的每个UE:
国际移动订户标识符IMSI;
国际移动设备标识符IMEI;以及
***架构演进SAE临时移动订户身份S-TMSI。
23.如权利要求19所述的方法,其中基于以下至少其中之一来选择所述UE集合:UE简档,UE位置,UE类型,以及UE能力。
24.如权利要求19所述的方法,其中所述验证(336)步骤包括椭圆曲线加密ECC操作。
25.一种无线电信网络中的移动性管理实体MME(12),所述MME包括:
用于与电信网络通信的网络接口(34);
一个或多个处理器(36);以及
存储可由所述一个或多个处理器执行的指令的存储器(38),由此所述MME(12)可进行操作以用于:
将用户设备UE集合标识(300)为属于具有群组标识符的群组,所述集合包含至少一个UE;
向基站BS(10)发送(302)以下至少其中之一:
将所述群组标识符映射到所述UE集合的信息,或
由所述BS用来从在所述MME和所述UE集合之间交换的消息推断映射的信息;
向所述BS(10)发送(306)群组认证请求消息,所述群组认证请求消息包括所述群组标识符;
从所述BS(10)接收(334)群组认证响应消息,所述群组认证响应消息标识用户设备UE(14)的集合,并包括聚合响应,所述聚合响应包括从所述标识的UE集合接收的所述响应的聚合,所述群组认证响应消息是包括对应于至少两个UE的一个聚合签名的单个S1AP消息;以及
验证(336)所述聚合响应。
26.如权利要求25所述的MME,其中验证(336)所述聚合响应包括:
确定所述聚合响应是否有效;以及
在确定所述聚合响应有效时,将所述标识的UE集合标识为经认证的。
27.如权利要求25所述的MME,还包括:在确定所述聚合响应无效时,对所述标识的UE集合中的每个UE各自地执行认证。
28.如权利要求25所述的MME,其中使用以下至少其中之一来标识所述集合中的每个UE集合:
国际移动订户标识符IMSI;
国际移动设备标识符IMEI;以及
***架构演进SAE临时移动订户身份S-TMSI。
29.如权利要求25所述的MME,其中基于以下至少其中之一来选择所述UE集合:UE简档,UE位置,UE类型,以及UE能力。
30.如权利要求25所述的MME,其中所述验证(336)步骤包括椭圆曲线加密ECC操作。
31.一种无线电信网络中的移动性管理实体MME(12),所述MME包括处理器(36),所述处理器(36)适配成用于:
将用户设备UE集合标识(300)为属于具有群组标识符的群组,所述集合包含至少一个UE;
向基站BS(10)发送(302)以下至少其中之一:
将所述群组标识符映射到所述UE集合的信息,或
由所述BS用来从在所述MME和所述UE集合之间交换的消息推断映射的信息;
向所述BS(10)发送(306)群组认证请求消息,所述群组认证请求消息包括所述群组标识符;
从所述BS(10)接收(334)群组认证响应消息,所述群组认证响应消息标识用户设备UE(14)的集合,并包括聚合响应,所述聚合响应包括从所述标识的UE集合接收的所述响应的聚合,所述群组认证响应消息是包括对应于至少两个UE的一个聚合签名的单个S1AP消息;以及
验证(336)所述聚合响应。
32.一种无线电信网络中的移动性管理实体MME(12),所述MME包括:
可进行操作以将用户设备UE集合标识(300)为属于具有群组标识符的群组的模块,所述集合包含至少一个UE;
发送模块(40),所述发送模块(40)可进行操作以:
向基站BS(10)发送(302)以下至少其中之一:
将所述群组标识符映射到所述UE集合的信息,或
由所述BS用来从在所述MME和所述UE集合之间交换的消息推断映射的信息;以及
向所述BS(10)发送(306)群组认证请求消息,所述群组认证请求消息包括所述群组标识符;
接收模块(42),所述接收模块(42)可进行操作以从所述BS(10)接收(334)群组认证响应消息,所述群组认证响应消息标识用户设备UE(14)的集合,并包括聚合响应,所述聚合响应包括从所述标识的UE集合接收的所述响应的聚合,所述群组认证响应消息是包括对应于至少两个UE的一个聚合签名的单个S1AP消息;以及
验证模块(44),所述验证模块(44)可进行操作以验证(336)所述聚合响应。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2016/054190 WO2018011619A1 (en) | 2016-07-14 | 2016-07-14 | Enhanced aggregated re-authentication for wireless devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109691156A CN109691156A (zh) | 2019-04-26 |
| CN109691156B true CN109691156B (zh) | 2023-04-28 |
Family
ID=56555507
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680089287.7A Active CN109691156B (zh) | 2016-07-14 | 2016-07-14 | 基站、移动性管理实体及其操作方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11343673B2 (zh) |
| EP (1) | EP3485667B1 (zh) |
| CN (1) | CN109691156B (zh) |
| WO (1) | WO2018011619A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107820245B (zh) * | 2016-09-12 | 2021-10-15 | 中兴通讯股份有限公司 | 注册方法 |
| CN108076461B (zh) * | 2016-11-18 | 2020-09-18 | 华为技术有限公司 | 一种鉴权方法、基站、用户设备和核心网网元 |
| KR102549946B1 (ko) | 2017-01-09 | 2023-06-30 | 삼성전자주식회사 | 이동통신 환경에서 단말의 초기 접속 요청 메시지를 라우팅하는 방법 및 관련 파라미터 |
| EP4054113A1 (en) * | 2017-01-25 | 2022-09-07 | Koninklijke KPN N.V. | Guaranteeing authenticity and integrity in signalling exchange between mobile networks |
| JP7115383B2 (ja) * | 2019-03-25 | 2022-08-09 | 株式会社Jvcケンウッド | 管理装置、端末装置、およびプログラム |
| US11553335B2 (en) * | 2019-05-07 | 2023-01-10 | Qualcomm Incorporated | Secure multiparty computation for Internet of Things communications |
| CN111083795B (zh) * | 2019-12-24 | 2023-04-18 | 杭州迪普信息技术有限公司 | 一种报文转发方法及装置 |
| US11337064B2 (en) * | 2020-08-06 | 2022-05-17 | Verizon Patent And Licensing Inc. | Systems and methods for enhanced authentication techniques using network-implemented location determination |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075871A (zh) * | 2009-11-19 | 2011-05-25 | 华为技术有限公司 | 选择服务节点的方法、网络节点和通信*** |
| CN103609147A (zh) * | 2012-10-25 | 2014-02-26 | 华为技术有限公司 | 集群通信***、集群服务器、接入网络以及集群通信方法 |
| CN104754524A (zh) * | 2015-03-31 | 2015-07-01 | 深圳酷派技术有限公司 | 一种群组通信的方法、用户设备、基站设备及*** |
| CN104797007A (zh) * | 2010-08-12 | 2015-07-22 | 华为技术有限公司 | 一种网络连接方法和*** |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19955096B4 (de) * | 1999-11-16 | 2009-10-01 | Siemens Ag | Verfahren zur Authentifikation eines Funk-Kommunikationsnetzes gegenüber einer Mobilstation sowie ein Funk-Kommunikationsnetz und eine Mobilstation |
| EP1860904A1 (en) * | 2006-05-26 | 2007-11-28 | Matsushita Electric Industrial Co., Ltd. | Mobility management in communication networks |
| JP5239849B2 (ja) * | 2008-12-26 | 2013-07-17 | 富士通株式会社 | 電子署名方法、電子署名プログラムおよび電子署名装置 |
| CN102143491B (zh) | 2010-01-29 | 2013-10-09 | 华为技术有限公司 | 对mtc设备的认证方法、mtc网关及相关设备 |
| WO2011152665A2 (en) | 2010-06-01 | 2011-12-08 | Samsung Electronics Co., Ltd. | Method and system of securing group communication in a machine-to-machine communication environment |
| US9450928B2 (en) * | 2010-06-10 | 2016-09-20 | Gemalto Sa | Secure registration of group of clients using single registration procedure |
| CN102316450B (zh) * | 2010-06-29 | 2014-01-22 | 上海贝尔股份有限公司 | M2m通信的基于组的认证方法及其设备 |
| CN103053217B (zh) | 2010-08-05 | 2015-10-14 | 富士通株式会社 | 使用中继节点的移动通信*** |
| US8712459B2 (en) | 2010-09-13 | 2014-04-29 | Electronics And Telecommunications Research Institute | Group control method for machine type communication and mobile communication system using the method |
| CN103314605A (zh) * | 2011-01-17 | 2013-09-18 | 瑞典爱立信有限公司 | 用于认证通信设备的方法和装置 |
| CN102088668B (zh) | 2011-03-10 | 2013-09-25 | 西安电子科技大学 | 基于群组的机器类型通信设备的认证方法 |
| CN103096308B (zh) * | 2011-11-01 | 2016-01-20 | 华为技术有限公司 | 生成组密钥的方法和相关设备 |
| SG11201405282RA (en) * | 2012-04-01 | 2014-09-26 | Authentify Inc | Secure authentication in a multi-party system |
| FR2990094A1 (fr) * | 2012-04-26 | 2013-11-01 | Commissariat Energie Atomique | Methode et systeme d'authentification des noeuds d'un reseau |
| IN2015DN04224A (zh) * | 2012-12-06 | 2015-10-16 | Nec Corp | |
| US20150007280A1 (en) * | 2013-06-26 | 2015-01-01 | Andrew Carlson | Wireless personnel identification solution |
| WO2015070032A1 (en) * | 2013-11-08 | 2015-05-14 | Teamblind Inc. | System and method for authentication |
| KR102088848B1 (ko) * | 2014-01-13 | 2020-03-13 | 삼성전자 주식회사 | 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템 |
| US10397755B2 (en) * | 2014-06-24 | 2019-08-27 | Lg Electronics Inc. | Group messaging cancellation method in wireless communication system and device therefor |
| WO2016117505A1 (ja) * | 2015-01-20 | 2016-07-28 | シャープ株式会社 | 基地局装置、端末装置、及び通信制御方法 |
| US9992240B2 (en) * | 2015-02-13 | 2018-06-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Preserving S1-AP UE contexts on SCTP failover |
| US10285053B2 (en) * | 2015-04-10 | 2019-05-07 | Futurewei Technologies, Inc. | System and method for reducing authentication signaling in a wireless network |
| US10263779B2 (en) * | 2015-09-24 | 2019-04-16 | Jonetix Corporation | Secure communications using loop-based authentication flow |
| US10873464B2 (en) * | 2016-03-10 | 2020-12-22 | Futurewei Technologies, Inc. | Authentication mechanism for 5G technologies |
| CN110050415B (zh) * | 2017-11-15 | 2022-10-14 | 瑞典爱立信有限公司 | 用于上行链路传送的方法和设备 |
| EP3776291A1 (en) * | 2018-03-26 | 2021-02-17 | Sony Corporation | Methods and apparatuses for proximity detection |
| US11290882B2 (en) * | 2019-04-24 | 2022-03-29 | Apple Inc. | Re-authentication procedure for security key (KAUSF) generation and steering of roaming (SOR) data delivery |
-
2016
- 2016-07-14 EP EP16745178.0A patent/EP3485667B1/en active Active
- 2016-07-14 CN CN201680089287.7A patent/CN109691156B/zh active Active
- 2016-07-14 WO PCT/IB2016/054190 patent/WO2018011619A1/en active Search and Examination
- 2016-07-14 US US16/317,420 patent/US11343673B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075871A (zh) * | 2009-11-19 | 2011-05-25 | 华为技术有限公司 | 选择服务节点的方法、网络节点和通信*** |
| CN104797007A (zh) * | 2010-08-12 | 2015-07-22 | 华为技术有限公司 | 一种网络连接方法和*** |
| CN103609147A (zh) * | 2012-10-25 | 2014-02-26 | 华为技术有限公司 | 集群通信***、集群服务器、接入网络以及集群通信方法 |
| CN104754524A (zh) * | 2015-03-31 | 2015-07-01 | 深圳酷派技术有限公司 | 一种群组通信的方法、用户设备、基站设备及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| US11343673B2 (en) | 2022-05-24 |
| CN109691156A (zh) | 2019-04-26 |
| US20190239071A1 (en) | 2019-08-01 |
| EP3485667A1 (en) | 2019-05-22 |
| WO2018011619A1 (en) | 2018-01-18 |
| EP3485667B1 (en) | 2021-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109691156B (zh) | 基站、移动性管理实体及其操作方法 | |
| JP6979420B2 (ja) | 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成 | |
| US11863982B2 (en) | Subscriber identity privacy protection against fake base stations | |
| KR101554396B1 (ko) | 통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치 | |
| EP2529566B1 (en) | Efficient terminal authentication in telecommunication networks | |
| CN110612729B (zh) | 锚密钥生成方法、设备以及*** | |
| CN101405987B (zh) | 无线***的非对称加密 | |
| EP3281434A1 (en) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network | |
| CN109788480B (zh) | 一种通信方法及装置 | |
| CN110583036B (zh) | 网络认证方法、网络设备及核心网设备 | |
| US20210297400A1 (en) | Secured Authenticated Communication between an Initiator and a Responder | |
| US11381973B2 (en) | Data transmission method, related device, and related system | |
| US20200389788A1 (en) | Session Key Establishment | |
| KR102205625B1 (ko) | 사이퍼링 및 무결성 보호의 보안 | |
| US20220038904A1 (en) | Wireless-network attack detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |