一种移动网络的接入方法、ue、安全服务网关和系统的制作方法

一种移动网络的接入方法、ue、安全服务网关和系统的制作方法
【专利摘要】本发明公开了一种移动网络的接入方法，该方法包括：用户设备（UE）从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。本发明还同时公开了一种UE、安全服务网关和系统，运用所述方法、装置和系统可满足不同终端和不同应用业务的需求，使UE更方便、高效地获取移动网络的服务。
【专利说明】—种移动网络的接入方法、UE、安全服务网关和系统

【技术领域】
[0001]本发明涉及移动通信【技术领域】，尤其涉及一种移动网络的接入方法、用户设备(User Equipment,简称为UE)、安全服务网关和系统。

【背景技术】
[0002]在移动通信领域，随着智能终端和移动互联网应用的快速发展，移动网络也随之发展，其中包含无线接入方式。
[0003]整个演进分组系统(Evolved Packet System,简称为EPS)分为无线接入网和核心网两部分，无线接入网分为第三代合作伙伴计划(3rd Generat1n Partnership Project,简称为3GPP)接入网和非3GPP接入网。
[0004]其中，所述3GPP接入网由演进基站(Evolved NodeB，简称为eNB)组成，它主要负责无线信号的收发，通过空中接口和终端联系，管理空中接口的无线资源、资源调度、以及接入控制。
[0005]所述核心网，包含了归属用户服务器(Home Subscriber Server,简称为HSS)、移动性管理实体(Mobility Management Entity,简称为MME)、策略计费规则功能(Policyand Charging Rule Funct1n,简称为 PCRF)实体、服务网关(Serving Gateway,简称为S-GW)和分组数据网关(PDN Gateway，简称为P_GW)。如图1所示，图1为包括3GPP接入和非3GPP接入的EPS结构示意图。
[0006]如图1所示，EPS系统支持3GPP接入。HSS是用户签约数据的永久存放地点，位于用户签约的归属网；MME负责移动性管理、非接入层信令的处理和用户移动性管理上下文的管理等控制面相关功能；S-GW是与3GPP接入网相连的接入网关设备，在3GPP接入和P-GW之间转发数据，并对数据进行缓存；P_GW是EPS与分组数据网络(Packet DataNetwork,简称为TON)的边界网关，负责TON的接入及其在EPS与PDN之间转发数据等功能；PCRF是策略和计费规则功能实体，其通过接收接口 Rx和运营商业务网络相连，负责提供计费控制、在线信用控制、门限控制、以及服务质量(Quality of Service，简称为QoS)控制。
[0007]如图1所示，EPS系统也支持非3GPP接入。其中，与非3GPP接入的互通通过S2a/S2b/S2c接口实现，P-GW作为3GPP与非3GPP接入间的锚点。非3GPP接入被分为授信非3GPP接入和非授信非3GPP接入。其中，所述授信非3GPP接入可直接通过S2a接口与P-GW连接，S2a接口采用代理移动IP (Proxy Mobile IP，简称为PMIP)协议进行信息交互；所述非授信非3GPP接入需经过演进的分组数据网关(evolved Packet Data Gateway,简称为ePDG)与P-GW相连，ePDG与P_GW间的接口为所述S2b。所述S2c接口提供了 UE与P-GW之间的用户面控制以及移动性支持，其支持的移动性协议为支持双栈的移动IPv6 (MobileIPv6support for Dual Stack Hosts and Routers,简称为 DSMIPv6)。
[0008]如图2所示，EPS安全密钥架构如下，全球用户识别卡(UniversalSubscriber Identity Module,简称为 USIM)和鉴权中心(Authenticat1n Centre,简称为AuC)共享密钥K，在UE使用US頂和网络进行成功的认证之后，UE和HSS共享密钥CK/IK以及由CK/IK生成的KASME。HSS将K臟发送给MME，UE和MME根据KASME生成KNASint和KNASen。，用于对UE和MME之间的NAS信令进行完整性保护和加密保护。UE和MME根据KASME生成KeNB，MME将KeNB发送给基站；然后，UE和基站根据KeNB生成KUPen。，用于对UE和基站之间的用户面数据进行加密保护;UE和基站根据KeNB生成KKKint和Κ.η。，用于对UE和基站之间的无线资源控制协议(Rad1ResourceControl，简称为RRC)信令进行完整性保护和加密保护。
[0009]不同的无线接入方式是为了满足不同终端和不同应用的需求，但是，随着智能终端和移动互联网应用的快速发展，移动网络也随之发展，当前的无线接入方式需要继续演进，才能满足不同的需求，同时，无线接入的安全技术也需要随着无线接入方式的演进而演进。


【发明内容】

[0010]有鉴于此，本发明的主要目的在于提供一种移动网络的接入方法、UE、安全服务网关和系统，从而可满足不同终端和不同应用业务的需求。
[0011]为达到上述目的，本发明的技术方案是这样实现的:
[0012]本发明提供了一种移动网络的接入方法，该方法包括:
[0013]用户设备UE从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。
[0014]其中，所述UE从核心网获取自身相关信息，包括:
[0015]UE通过业务定义无线电策略功能SDRPF层从核心网中的移动性管理实体MME的SDRPF层、或从核心网中独立的SDRPF实体获取自身的相关信息。
[0016]其中，所述信息包括:UE当前的位置、和/或UE当前的状态、和/或UE与接入网络类型的对应关系、和/或UE当前需要连接的业务。
[0017]上述方案中，所述接入移动网络的类型，包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
[0018]优选的，所述接入移动网络的类型为所述UE通过宏基站或演进的小基站接入移动网络时，所述接入移动网络的类型对应传统的安全认证机制的接入网络和提升了安全机制的接入网络；
[0019]所述接入移动网络的类型为UE通过AP接入移动网络时，所述接入移动网络的类型对应降低了安全认证机制的接入网络。
[0020]优选的，该方法还包括:所述UE用户面的安全被汇聚到安全服务网关，包括:
[0021]所述UE和MME生成用户面加密密钥KUPen。’，MME将所述KUPen。’发送给安全服务网关；或者，
[0022]当所述MME和安全服务网关为同一个物理实体时，生成用户面加密密钥KUPm。’后不再发送。
[0023]优选的，该方法还包括:
[0024]所述UE和MME使用KASME生成所述KUPenc ’ ；或者，
[0025]所述UE和MME使用以下一个或多个参数生成所述KUPen。’:算法ID、随机数、计数器的值、常数。
[0026]优选的，该方法还包括:
[0027]当所述UE接入小基站时，所述安全服务网关与所述UE使用KUPen。’保护用户面的安全。
[0028]优选的，该方法还包括:
[0029]当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时，所述UE与所述第一宏基站生成ΚεΝΒ2 ;第一宏基站把所述ΚεΝΒ2发送给所述第二宏基站,所述第二宏基站和所述UE生成KKKint和Κ.η。，并使用所述KKKant和保护无线资源控制协议RRC信令。
[0030]优选的，该方法还包括:
[0031]所述UE与所述第一宏基站使用ΚεΝΒ1或者ΝΗ1生成所述ΚεΝΒ2 ;或者，使用以下一个或多个参数生成所述Κ_2:小区频点、小区物理标识、随机数、计数器的值、常数；
[0032]所述第二宏基站和所述UE使用所述KeNB2生成所述KKKint和Κ.η。；或者，使用以下一个或多个参数生成所述KKKant和:算法ID、随机数、计数器的值、常数。
[0033]优选的，该方法还包括:
[0034]所述UE在初始接入所述核心网时，从所述核心网获取所述AP的用户名和密码；UE选择通过所述AP接入移动网络时，则使用所述AP的用户名和密码接入AP。
[0035]优选的，所述UE和AP的连接建立后，该方法还包括:
[0036]如果所述UE离开所述AP的覆盖范围，则所述UE通过所述SDRPF层重新进行接入移动网络的类型的选择。
[0037]本发明还提供了一种UE，所述UE包括:选择接入模块，用于从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。
[0038]其中，所述选择接入模块从核心网获取自身相关信息，包括:
[0039]所述选择接入模块通过所述UE的SDRPF层从核心网中MME的SDRPF层、或从核心网中独立的SDRPF实体获取UE的相关信息。
[0040]其中，所述接入移动网络的类型，包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
[0041]优选的，所述选择接入模块，还用于和所述MME生成用户面加密密钥KUP.。
[0042]优选的，所述选择接入模块，还用于和所述ΜΜΕ使用KASME生成所述KUPm。’;或者，使用以下一个或多个参数生成所述ΚυΡ.:算法ID、随机数、计数器的值、常数。
[0043]优选的，所述选择接入模块，还用于所述UE接入小基站时，与安全服务网关使用KUPenc>保护UE用户面的安全。
[0044]优选的，所述选择接入模块，还用于当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时，与所述第一宏基站生成κεΝΒ2，与所述第二宏基站KKKint和κ.εη。，并使用所述KKKint和保护无线资源控制协议RRC信令。
[0045]优选的，所述选择接入模块，还用于与所述第一宏基站使用ΚεΝΒ1或者ΝΗ1生成所述KeNB2 ;或者,使用以下一个或多个参数生成所述κ_2:小区频点、小区物理标识、随机数、计数器的值、常数；
[0046]与所述第二宏基站使用所述ΚεΝΒ2生成所述KKKint和Κ.εη。；或者，使用以下一个或多个参数生成所述KKKant和:算法ID、随机数、计数器的值、常数。
[0047]优选的，所述选择接入模块，还用于UE在初始接入所述核心网时，从所述核心网获取所述AP的用户名和密码，并在所述UE选择通过所述AP接入移动网络时，使用所述AP的用户名和密码接入AP。
[0048]优选的，所述UE和AP的连接建立后，所述选择接入模块，还用于确定所述UE离开所述AP的覆盖范围时，通过所述UE的SDRPF层重新进行接入移动网络的类型的选择。
[0049]本发明还提供了一种安全服务网关，所述安全服务网关包括:接收模块，用于接收MME发送的、由UE和所述MME生成的用户面加密密钥ΚυΡεη。’。
[0050]其中，所述KUPen。’由所述UE和所述MME使用KASME生成；或者，由UE和所述MME使用以下一个或多个参数生成:算法ID、随机数、计数器的值、常数。
[0051]优选的，所述接收模块，还用于所述UE接入小基站时，与所述UE使用所述KUPen。’保护用户面的安全。
[0052]本发明还提供了一种移动网络的接入系统，该系统包括上文所述的UE。
[0053]本发明提供的移动网络的接入方法、UE、安全服务网关和系统，用户设备(UE)从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。本发明UE可以根据不同的业务需求选择不同的移动网络的接入方式，可满足不同终端和不同应用业务的需求，使UE更方便、高效地获取移动网络的服务。
[0054]此外，本发明中UE用户面的安全被汇聚到安全服务网关，相当于将UE的用户面上移到网络侧，如果UE在一个安全网络的覆盖范围内移动，跨越了几个宏基站的覆盖范围时，可以继续使用用户面安全，只切换控制面的安全即可。

【专利附图】

【附图说明】
[0055]图1为传统的包括3GPP接入和非3GPP接入的EPS结构示意图；
[0056]图2为传统EPS的安全密钥架构图；
[0057]图3为本发明实施例演进的移动网络结构示意图；
[0058]图4为本发明一实施例演进的移动网络安全密钥架构图；
[0059]图5为本发明另一实施例演进的移动网络安全密钥架构图。

【具体实施方式】
[0060]下面结合附图及具体实施例对本发明作进一步详细说明。
[0061]本发明提供了一种移动网络的接入方法，该方法包括:
[0062]用户设备UE从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。
[0063]优选的，所述UE从核心网获取自身相关信息，包括:
[0064]UE通过业务定义无线电策略功能(SDRPF)层从核心网中的移动性管理实体MME的SDRPF层、或从核心网中独立的SDRPF实体获取自身的相关信息。
[0065]其中，所述信息包括:UE当前的位置、和/或UE当前的状态、和/或UE与接入网络类型的对应关系、和/或UE当前需要连接的业务。
[0066]优选的，所述接入移动网络的类型，包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
[0067]优选的，所述接入移动网络的类型为所述UE通过宏基站或演进的小基站接入移动网络时，所述接入移动网络的类型对应传统的安全认证机制的接入网络，即对应传统的UE接入eNB的情况和提升了安全机制的接入网络，即:在S-GW进行加解密的接入网络；
[0068]所述接入移动网络的类型为UE通过AP接入移动网络时，所述接入移动网络的类型对应降低了安全认证机制的接入网络，即:通过AP仅提供AP与UE间安全的接入网络，AP可以为代表WIFI的AP，也可以为代表低安全等级的基站。
[0069]进一步地，该方法还包括:所述UE用户面的安全被汇聚到安全服务网关，包括:
[0070]所述UE和MME生成用户面加密密钥ΚυΡεη。’，ΜΜΕ将所述ΚυΡεη。’发送给安全服务网关；或者，
[0071]当所述ΜΜΕ和安全服务网关为同一个物理实体时，生成用户面加密密钥KUPm。’后不再发送。
[0072]进一步地，该方法还包括:
[0073]所述UE和MME使用KASME生成所述KUPenc ’ ；或者，
[0074]所述UE和MME使用以下一个或多个参数生成所述KUPen。’:算法ID、随机数、计数器的值、常数。
[0075]进一步地，该方法还包括:
[0076]当所述UE接入小基站时，所述安全服务网关与所述UE使用KUPen。’保护用户面的安全。
[0077]进一步地，该方法还包括:
[0078]当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时，所述UE与所述第一宏基站生成κεΝΒ2，第一宏基站把所述ΚεΝΒ2发送给所述第二宏基站，所述第二宏基站和所述UE生成KKKant和K—，并使用所述KKKint和保护无线资源控制协议RRC信令。
[0079]进一步地，该方法还包括:所述UE与所述第一宏基站使用KeNB1或者NH1生成所述KeNB2 ;或者,使用以下一个或多个参数生成所述κ_2:小区频点、小区物理标识、随机数、计数器的值、常数；
[0080]所述第二宏基站和所述UE使用所述ΚεΝΒ2生成所述KKKint和Κ.η。；或者，使用以下一个或多个参数生成所述KKKant和:算法ID、随机数、计数器的值、常数。
[0081]进一步地，该方法还包括:
[0082]所述UE在初始接入所述核心网时，从所述核心网获取所述AP的用户名和密码；UE选择通过所述AP接入移动网络时，则使用所述AP的用户名和密码接入AP。
[0083]优选的，所述UE和AP的连接建立后，该方法还包括:
[0084]如果所述UE离开所述AP的覆盖范围，则所述UE通过所述SDRPF层重新进行接入移动网络的类型的选择。
[0085]本发明还提供了一种UE，所述UE包括:选择接入模块，用于从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。
[0086]其中，所述选择接入模块从核心网获取自身相关信息，包括:
[0087]所述选择接入模块通过所述UE的SDRPF层从核心网中MME的SDRPF层、或从核心网中独立的SDRPF实体获取UE的相关信息。
[0088]其中，所述接入移动网络的类型，包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
[0089]优选的，所述选择接入模块，还用于和所述MME生成用户面加密密钥KUPm。。
[0090]优选的，所述选择接入模块，还用于和所述MME使用KASME生成所述KUPm。’;或者，使用以下一个或多个参数生成所述ΚυΡ.:算法ID、随机数、计数器的值、常数。
[0091]优选的，所述选择接入模块，还用于所述UE接入小基站时，与安全服务网关使用KUPenc>保护UE用户面的安全。
[0092]优选的，所述选择接入模块，还用于当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时，与所述第一宏基站生成κεΝΒ2，与所述第二宏基站生成KKmnt和KEECenc,并使用所述KKmnt和保护无线资源控制协议RRC信令。
[0093]优选的，所述选择接入模块，还用于与所述第一宏基站使用ΚεΝΒ1或者ΝΗ1生成所述KeNB2 ;或者,使用以下一个或多个参数生成所述κ_2:小区频点、小区物理标识、随机数、计数器的值、常数；
[0094]与所述第二宏基站使用所述ΚεΝΒ2生成所述KKKint和Κ.εη。；或者，使用以下一个或多个参数生成所述KKKant和:算法ID、随机数、计数器的值、常数。
[0095]优选的，所述选择接入模块，还用于UE在初始接入所述核心网时，从所述核心网获取所述AP的用户名和密码，并在所述UE选择通过所述AP接入移动网络时，使用所述AP的用户名和密码接入AP。
[0096]优选的，所述UE和AP的连接建立后，所述选择接入模块，还用于确定所述UE离开所述AP的覆盖范围时，通过所述UE的SDRPF层重新进行接入移动网络的类型的选择。
[0097]本发明还提供了一种安全服务网关，所述安全服务网关包括:接收模块，用于接收MME发送的、由UE和所述MME生成的用户面加密密钥ΚυΡεη。’。
[0098]优选的，所述KUPen。’由所述UE和所述MME使用KASME生成；或者，由UE和所述MME使用以下一个或多个参数生成:算法ID、随机数、计数器的值、常数。
[0099]优选的，所述接收模块，还用于所述UE接入小基站时，与所述UE使用所述KUPen。’保护用户面的安全。
[0100]本发明还提供了一种移动网络的接入系统，该系统包括:上文所述的UE。
[0101]下面分别从方法、装置和系统几个方面对本发明所述的技术方案进行展开说明。
[0102]实施例一
[0103]图3为本发明实施例演进的移动网络结构示意图，如图3所示，图中演进的小基站面向UE的协议栈只有PHY层，MAC层，RLC层，UE的信令面通过小基站中继到宏基站；图3中的安全服务网关的作用是将用户面数据的安全汇聚到安全服务网关，所述安全服务网关在公网上或者位于运营商网络与公网的边缘，可支持UE和安全服务网关间的数据安全，UE和安全服务网关间有安全的上下文，可支持无连接数据传输。所述UE的用户面通过小基站中继到安全服务网关，这里的小基站和宏基站之间可以通过无线连接。UE用户面的安全汇聚到所述安全服务网关，所述安全服务网关支持UE的用户面安全，相当于将UE的用户面上移到网络侧，UE的控制面安全汇聚到宏基站。
[0104]综上所述，本发明实施例可满足不同终端和不同应用业务的需求，使UE更方便、闻效地获取移动网络的服务。
[0105]实施例二
[0106]基于图3所示的移动网络结构，本发明还提出一种新的移动网络的接入方法:UE，如:智能手机增加RRC层上的协议栈，业务定义的无线电策略功能SDR执行功能(SDRPF)，所述SDRPF支持按业务的接入策略功能，与嵌入到UE RRC层的SDREF —起构成多RAT多模式服务。所述SDRPF类似ANDSF和PCRF的结合功能，以进一步支持按照业务的接入策略，SDRPF是与演进的MME的功能的重新组合是5G架构设计中的一个重要问题。核心网演进的MME也增加相应SDRPF协议栈。所述UE的SDRPF层从核心网的SDRPF层、或从核心网中独立设置的SDRPF实体获取自身相应信息，如:UE当前的位置、和/或UE当前的状态、和/或UE与接入网络类型的对应关系、和/或UE当前需要连接的业务等，UE根据这些信息选择接入移动网络的类型，所述接入移动网络的类型，包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。例如:UE当前的位置是在演进的小基站覆盖范围内，也在AP的覆盖范围内，且UE可以支持演进的小基站的接入方式，也支持AP的接入技术，当前UE的状态是ACTIVE，且UE当前需要连接的业务是一般网页浏览的业务时，UE可以选择通过安全等级较低的AP接入移动网络。
[0107]又如:UE当前的位置是在宏基站覆盖范围内，也在AP的覆盖范围内，且UE可以支持宏基站的接入方式，也支持AP的接入技术，当前UE的状态是ACTIVE，并且在高速移动，UE当前需要连接的业务是实时视频通话业务时，那么，UE可以选择对移动性支持较好的宏基站接入移动网络。
[0108]再如:UE当前的位置在宏基站覆盖范围内，也在演进的小基站的覆盖范围内，UE可以支持宏基站的接入方式，也支持演进的小基站的接入方式，当前UE的状态是IDLE，并且演进的小基站的信号更强，接入方式资费更低，那么，UE可以选择性号更强而且资费更低的演进的小基站的接入移动网络。
[0109]其中，所述接入移动网络的类型为所述UE通过宏基站或演进的小基站接入移动网络时，所述接入移动网络的类型对应传统的安全认证机制的接入网络和提升了安全机制的接入网络；
[0110]所述接入移动网络的类型为UE通过AP接入移动网络时，所述接入移动网络的类型对应降低了安全认证机制的接入网络。
[0111]—种新的UE接入移动网络的类型就是图3中所述的访问接入点(AccessPoint,简称为AP)，即:UE通过所述AP接入移动网络，UE和可信的AP间执行双向安全交互，UE的认证/授权通过离线信息支持；所述AP也可以由一组接入点以总分结构组成，总接入点执行RRC/PDCP功能，分接入点执行RLC/MAC/PHY功能。AP的面向UE的用户面协议栈包含:PHY层，MAC层，RLC层，H)CP层和IP层，AP的用户面不经核心网直接接入IP网中的应用服务器，AP的控制面和核心网之间没有实时控制面连接。
[0112]综上所述，本发明实施例可满足不同终端和不同应用业务的需求，使UE更方便、闻效地获取移动网络的服务。
[0113]实施例三
[0114]本发明还提出一种新的移动网络安全架构。如图4所示，UE用户面的安全汇聚到安全服务网关，UE和所述演进的MME使用KASME生成用户面加密密钥KUPm。’，演进的MME将所述KUPm。’发送给所述安全服务网关；或者，当演进的MME和所述安全服务网关为一个物理实体时，生成用户面加密密钥1^611。’后不再发送。在UE接入演进的小基站时，安全服务网关和UE使用ΚυΡεη。’保护用户面的安全。这里，所述密钥ΚυΡεη。’的生成过程中还可以使用其他参数，比如UE和所述演进的MME使用以下一个或多个参数生成所述密钥KUPen。’:算法ID、随机数、计数器的值、常数等等。
[0115]安全服务网关和MME绑定时，覆盖范围相当于跟踪区(Tracking Area，TA)，其大于宏基站的覆盖范围，UE移动时考虑宏基站覆盖范围即可，因此，UE在一个安全服务网关和一个宏基站覆盖范围内移动时，可以不进行安全密钥的切换。优点是可以提高切换效率，节省无线信令。如果UE在一个安全网络的覆盖范围内移动，跨越了几个宏基站的覆盖范围时，可以继续使用用户面安全，只切换控制面的安全即可。
[0116]当UE从宏基站1的覆盖范围移动到宏基站2的覆盖范围，如图5所示，UE和宏基站1使用KeNB1或者NH生成KeNB2，所述NH即为用于生成密钥的参数next hop,当然，密钥KeNB2的生成过程还可以使用其他参数，比如以下一个或多个参数:小区频点、小区物理标识、随机数、计数器的值、常数等等；宏基站1把KeNB2发送给宏基站2，宏基站2和UE使用KeNB2生成KKKant和Κ.εη。，这里，密钥KKKint和Κκκεη。的生成过程中还可以使用其他参数，比如以下一个或多个参数:算法ID、随机数、计数器的值、常数等等，并使用KKKint和保护RRC信令，而无需生成KUPm。，用户面也无需进行切换。
[0117]此外，在图4中，在UE接入AP时，UE接入AP主要进行网页浏览等一般性咨询获取业务，并且不移动，对安全要求较低，AP和UE之间的认证以用户数据安全等级较低。同时，在UE不经过AP接入核心网时，RRC控制面不对网络造成威胁，安全等级也可以较低，可采用用户名口令的认证方式，不对空口数据和信令进行完整性保护。
[0118]UE在初始接入核心网时，从核心网获取到所述AP的用户名和密码，此后如果UE选择通过AP接入移动网络，UE使用所述用户名和密码接入AP。
[0119]但是，一旦通过该AP和核心网的连接建立，S卩:通过移动网接入到核心网，考虑到核心网的安全性，就需要对到核心网的信令进行加密和完整性保护。此时如果有现有的EPS安全上下文，就根据现有的EPS安全上下文，建立起终端和网络之间的安全，否则需要运行完整的EPS-AKA安全认证，再建立起终端和网络之间的安全。
[0120]如果UE移动，离开AP的覆盖范围，此时UE应通过自身的SSRFP层重新进行移动接入网络选择，此时可能需要连接到其他小基站或宏基站。
[0121]综上所述，本发明实施例可满足不同终端和不同应用业务的需求，使UE更方便、闻效地获取移动网络的服务。
[0122]以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。
【权利要求】
1.一种移动网络的接入方法，其特征在于，该方法包括: 用户设备UE从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。
2.根据权利要求1所述的方法，其特征在于，所述UE从核心网获取自身相关信息，包括: UE通过业务定义无线电策略功能SDRPF层从核心网中的移动性管理实体MME的SDRPF层、或从核心网中独立的SDRPF实体获取自身的相关信息。
3.根据权利要求1所述的方法，其特征在于，所述信息包括:UE当前的位置、和/或UE当前的状态、和/或UE与接入网络类型的对应关系、和/或UE当前需要连接的业务。
4.根据权利要求1、2或3所述的方法，其特征在于，所述接入移动网络的类型，包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
5.根据权利要求4所述的方法，其特征在于，所述接入移动网络的类型为所述UE通过宏基站或演进的小基站接入移动网络时，所述接入移动网络的类型对应传统的安全认证机制的接入网络和提升了安全机制的接入网络； 所述接入移动网络的类型为UE通过AP接入移动网络时，所述接入移动网络的类型对应降低了安全认证机制的接入网络。
6.根据权利要求2或3所述的方法，其特征在于，该方法还包括:所述UE用户面的安全被汇聚到安全服务网关，包括: 所述UE和MME生成用户面加密密钥ΚυΡεη。’，MME将所述ΚυΡεη。’发送给安全服务网关；或者， 当所述MME和安全服务网关为同一个物理实体时，生成用户面加密密钥ΚυΡεη。’后不再发送。
7.根据权利要求6所述的方法，其特征在于，该方法还包括: 所述UE和MME使用Kasme生成所述Kupen。’ ；或者， 所述UE和MME使用以下一个或多个参数生成所述KUPm。’:算法ID、随机数、计数器的值、常数。
8.根据权利要求6所述的方法，其特征在于，该方法还包括: 当所述UE接入小基站时，所述安全服务网关与所述UE使用Kupen。’保护用户面的安全。
9.根据权利要求2或3所述的方法，其特征在于，该方法还包括: 当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时，所述UE与所述第一宏基站生成ΚεΝΒ2 ;第一宏基站把所述ΚεΝΒ2发送给所述第二宏基站，所述第二宏基站和所述UE生成KKKint和K—，并使用所述Kraffiint和Κκκ&η。保护无线资源控制协议RRC信令。
10.根据权利要求9所述的方法，其特征在于，该方法还包括: 所述UE与所述第一宏基站使用KeNB1或者NHl生成所述Keffi2 ;或者，使用以下一个或多个参数生成所述Kdffi2:小区频点、小区物理标识、随机数、计数器的值、常数； 所述第二宏基站和所述UE使用所述ΚεΝΒ2生成所述KKKint和Κκκ&η。；或者，使用以下一个或多个参数生成所述Kmiant和K..:算法ID、随机数、计数器的值、常数。
11.根据权利要求4所述的方法，其特征在于，该方法还包括: 所述UE在初始接入所述核心网时，从所述核心网获取所述AP的用户名和密码;UE选择通过所述AP接入移动网络时，则使用所述AP的用户名和密码接入AP。
12.根据权利要求11所述的方法，其特征在于，所述UE和AP的连接建立后，该方法还包括: 如果所述UE离开所述AP的覆盖范围，则所述UE通过所述SDRPF层重新进行接入移动网络的类型的选择。
13.—种UE，其特征在于，所述UE包括:选择接入模块，用于从核心网获取自身相关信息，并根据所述信息选择接入移动网络的类型。
14.根据权利要求13所述的UE，其特征在于，所述选择接入模块从核心网获取自身相关信息，包括: 所述选择接入模块通过所述UE的SDRPF层从核心网中MME的SDRPF层、或从核心网中独立的SDRPF实体获取UE的相关信息。
15.根据权利要求13或14所述的UE，其特征在于，所述接入移动网络的类型，包括:UE通过宏基站接入移动网络、UE通过演进的小基站接入移动网络、UE通过访问节点AP接入移动网络。
16.根据权利要求14所述的UE，其特征在于，所述选择接入模块，还用于和所述MME生成用户面加密密钥KUP.。
17.根据权利要求16所述的UE，其特征在于，所述选择接入模块，还用于和所述MME使用Kasme生成所述Kupm。’;或者，使用以下一个或多个参数生成所述ΚυΡ.:算法ID、随机数、计数器的值、常数。
18.根据权利要求17所述的UE，其特征在于，所述选择接入模块，还用于所述UE接入小基站时，与安全服务网关使用KUPm。’保护UE用户面的安全。
19.根据权利要求16所述的UE，其特征在于，所述选择接入模块，还用于当所述UE从第一宏基站的覆盖范围移动到第二宏基站的覆盖范围时，与所述第一宏基站生成ΚεΝΒ2，与所述第二宏基站KKKint和K—，并使用所述KKKint和K..保护无线资源控制协议RRC信令。
20.根据权利要求19所述的UE，其特征在于，所述选择接入模块，还用于与所述第一宏基站使用Kdffil或者NHl生成所述ΚεΝΒ2 ;或者，使用以下一个或多个参数生成所述ΚεΝΒ2:小区频点、小区物理标识、随机数、计数器的值、常数； 与所述第二宏基站使用所述Kdffi2生成所述Kwant和;或者，使用以下一个或多个参数生成所述Kmcint和K..:算法ID、随机数、计数器的值、常数。
21.根据权利要求16所述的UE，其特征在于，所述选择接入模块，还用于UE在初始接入所述核心网时，从所述核心网获取所述AP的用户名和密码，并在所述UE选择通过所述AP接入移动网络时，使用所述AP的用户名和密码接入AP。
22.根据权利要求21所述的UE，其特征在于，所述UE和AP的连接建立后，所述选择接入模块，还用于确定所述UE离开所述AP的覆盖范围时，通过所述UE的SDRPF层重新进行接入移动网络的类型的选择。
23.一种安全服务网关，其特征在于，所述安全服务网关包括:接收模块，用于接收MME发送的、由UE和所述MME生成的用户面加密密钥Kupm。’。
24.根据权利要求23所述的安全服务网关，其特征在于，所述KUPen。’由所述UE和所述MME使用Kasme生成；或者，由UE和所述MME使用以下一个或多个参数生成:算法ID、随机数、计数器的值、常数。
25.根据权利要求23或24所述的安全服务网关，其特征在于，所述接收模块，还用于所述UE接入小基站时，与所述UE使用所述KUPen。’保护用户面的安全。
26.—种移动网络的接入系统，其特征在于，该系统包括:权利要求13-22中任一项所述的UE。
【文档编号】H04W36/00GK104349317SQ201310330240
【公开日】2015年2月11日 申请日期:2013年7月31日 优先权日:2013年7月31日
【发明者】甘露, 谢峰 申请人:中兴通讯股份有限公司