专利名称::将用户的签约信息传递到拜访网络的方法及启用方法
技术领域:
:本发明涉及一种无线通信系统的数据传输技术,具体说,涉及一种将用户的签约信息传递到拜访网络的方法及启用方法。
背景技术:
:自从蜂窝通信系统发明以来,无线传输技术取得了长足地发展,已经从第一代的模拟无线技术发展到了第二代的数字无线技术移动通信系统GSM(GlobalsystemforMobilecommunications),以及第三^CUMTS(UniversalMobileTelecommunicationSystem)。无线通讯系统中由于空中接口具有容易丟包和被窃听的风险,需要有相应的机制来解决该问题。通用移动通4言系统(UMTS,UniversalMobileTelecommunicationSystem)是ITUIMT-2000的重要组成部分。UMTS除支持现有的一些固定和移动业务外,还提供全新的交互式多媒体业务。UMTS使用ITU分配的、用于陆地和卫星无线通信的频带,它可通过移动或固定、公用或专用网络接入,与GSM和IP兼容。在UMTS中,采用加密和完整性来保护空中接口的数据传输。完整性保证空中接口数据不被修改和丢失,是UMTS信令面必备的功能;加密保证空中接口数据不被窃听,在UMTS中是可选的功能。是否对空中接口进行加密和完整性保护,是由核心网的网络实体来决定的,在CS域由VLR决定,再PS域由SGSN决定。如图l所示,UMTS系统启动加密和完整性的具体流程如下步骤101:终端(UE)首先建立和无线网络控制器(RNC,RadioNetworkController)的空中链路。这个过程中,UE将自己支持的加密和完整性算法告诉RNC,RNC保存这些信息。步骤102:终端在已经建立的空中链路上发起初始层三消息,RNC将该初始层三消息转发到拜访网络实体(VLR或者SGSN),请求建立业务。步骤103:拜访网络实体(VLR或者SGSN)根据运营商策略,决定发起对该用户的鉴权请求。在鉴权过程中,网络将随机数发送给终端,终端根据随机数和用户保存于终端中的密钥,通过固定的算法计算出完整性密钥(IK)和加密密钥(CK),并保存在终端中。该步骤是可选的,在允许的期限范围内,终端可以使用上一次鉴权产生的IK和CK。步骤104:用户筌权成功之后,VLR/SGSN根据运营商策略,决定发起安全过程,于是向RNC发送安全模式命令消息。该安全模式命令消息带有完整性信息单元和加密信息单元。完整性信息单元包括可供选择的完整性算法列表、完整性密钥和密钥的状态;加密信息单元包括可供选择的加密算法列表、加密密钥和密钥状态。完整性信息单元是必选的,加密信息单元是根据运营商策略决定的,是可选的。如果不存在加密信息单元,或者加密信息单元中的允许加密算法列表的第一个算法为noencryption(值为O),RNC只启动完整性保护,不启动加密。步骤105:RNC收到安全模式命令之后,根据UE支持的完整性和加密算法,以及网络允许的完整性和加密算法列表,选择合适的完整性和加密算法,利用收到的IK对下行数据启动完整性保护,然后向UE发送安全模式命令,告诉UE该RNC所使用的完整性和加密算法。如果RNC不启动加密,则无需选择加密算法。步骤106:UE收到安全模式命令之后,对收到消息进行完整性检查,如果通过,则利用收到的完整性算法和UE中保存的IK,开启对上行数据的完整性保护,并返回RNC安全模式完成消息。步骤107:SRNC收到安全模式完成消息之后,对收到安全模式完成消息进行完整性检查,如果通过,则返回VLR/SGSN安全模式完成消息,该安全模式完成消息携带所选择的完整性和加密算法。步骤108:如果在步骤105中RNC需要加密,则RNC和UE在安全模式命令过程中,协商加密的启动时间和一些必须的参数,比如RLC序列号等,之后启动上下行数据的加密过程。如上所述,完整性保护可以保证信息在空口传输的时候不会丢失和被修改,为了提高系统的可靠性,完整性保护是UMTS系统中的信令面的必备功能。加密是一个可选的功能,目前的情况是VLR/SGSN中只能按局来配置是否加密,无法根据用户签约来决定是否加密。也就是说只要VLR/SGSN决定需要进行加密,则位于该VLR/SGSN中的所有用户的业务,都需要启动加密。然而对于大多数普通用户来说,并不关心空口的数据是否被窃听;而对于某些高端客户来说,则非常需要该加密功能。另外一方面,加密/解密的过程增加了RNC的负担,如果对于大多数人不启动加密过程,则可以大大减少对RNC的资源占用,因此基于用户签约来启动加密就非常有意义了。在UMTS中用户的签约信息是永久保存在归属用户数据服务器(HSS)中的。当用户从拜访地开机或者位置更新的时候,如果拜访网络实体(VLR或者SGSN)中没有用户数据,或者用户数据不可靠,则会向HSS发起位置更新过程,以获取用户最新的签约信息。如图2所示,如果VLR或者SGSN中已经有可靠的用户数据,则在登记和位置更新中无需发起该过程。步骤201,VLR/SGSN向HSS发送位置更新请求,携带VLR/SGSN的地址信息。步骤202,HSS向VLR/SGSN发起插入用户数据请求,其中携带有用户所有的签约信息。步骤203,VLR/SGSN保存这些签约信息到用户数据库中,并返回插入用户^t据响应。步骤204,HSS保存当前的VLR/SGSN的地址,并放回VLR/SGSN位置更新响应消息。目前在UMTS中尚不支持基于用户签约的启动加密过程。
发明内容本发明所解决的技术问题是提供一种将用户是否进行加密的签约信息传递到拜访网络的方法,能够依据用户的签约和运营商的策略来决定是否启用加密保护,减少了RNC的资源占用。技术方案如下将用户是否进行加密的签约信息传递到拜访网络的方法,当用户在拜访网络登记时,归属用户数据服务器向拜访用户数据服务器发起插入用户数据请求,所述插入用户数据请求消息中携带有用户是否进行加密的签约信息。进一步,通过新增参数或者使用运营商内部的补充业务来传递用户是否进行加密的签约信息到拜访地用户数据服务器中。进一步包括当用户在拜访网络登记时,拜访网络实体向归属用户数据服务器发起位置更新请求,用于请求用户签约数据并更新用户在归属用户数据服器中的位置信息。进一步包括拜访地网络实体如果支持基于用户签约的启动加密功能,则在拜访用户数据服务器中保存所述的用户是否进行加密的签约信息。进一步包括拜访地网络实体如果不支持基于用户签约的启动加密功能,则拜访网络实体忽略所述的用户是否进行加密的签约信息。进一步包括拜访网络实体向归属用户数据服务器返回插入用户数据响应消息,归属网络用户数据服务器返回拜访网络实体位置更新响应消息。进一步包括归属网络用户数据服务器保存用户的位置信息,并返回拜访网络实体位置更新响应消息。进一步,拜访地网络实体和拜访地用户数据服务器是合一的实体。本发明所解决的另一个技术问题是提供一种基于用户签约的启动加密的方法,能够判别是否启动加密过程,进而减少对RNC的资源占用。4支术方案如下基于用户签约的启动加密的方法,拜访地网络实体根据用户是否签约空口加密信息或者拜访地运营商的加密许可来决定是否启用加密。进一步,如果用户签约了加密,或者拜访地运营商强制所有用户的空口数据都必须加密,则拜访地网络实体必须启动加密过程;如果用户签约了不加密,而且拜访地运营商允许空口数据不加密,则拜访地网络实体不启动加密过程。进一步,具体步骤如下A、拜访地网络实体判断运营商是否要求加密;当运营商要求必须进行加密时,拜访地网络实体启动加密过程;B、当运营商没有配置必须加密时,拜访地网络实体判断用户是否签约加密;当用户签约了加密时,拜访地网络实体启动加密过程;当用户没有签约加密时,拜访地网络实体不启动加密过程。进一步,拜访地网络实体从拜访地用户数据服务器中获取用户是否进行空口加密的签约信息。进一步,所述拜访地网络实体和拜访地用户数据服务器是同一个实体。本发明技术方案使得核心网能够依据用户的签约来决定是否启用加密,这样可以提高用户满意度,同时使得大部分用户的信令都不进行加密处理,减少了RNC的资源占用。图1是现有技术中UMTS启动安全的流程图;图2是现有技术中拜访地实体VLR/SGSN向HSS进行位置更新的流程图;图3是本发明中拜访用户数据库获知用户是否需要加密签约的流程图;图4是本发明VLR7SGSN判断是否启动加密的逻辑图。具体实施方式下面结合附图,对本发明的优选实施例作详细描述。参照图3所示,拜访用户数据库获知用户是否需要加密签约的过程作详细描述。步骤301:用户鉴权成功之后,VLR/SGSN向归属用户数据服务器(HSS)发起位置更新请求,请求用户数据并更新用户在归属用户数据服器(HSS)中的位置信息。如果在VLR/SGSN中已经有用户数据,则该过程是可选的。步骤302:归属用户数据服务器(HSS)向拜访网络实体(VLR/SGSN)发起插入用户数据请求,将用户的签约信息告诉拜访网络实体(VLR/SGSN)。该签约信息中携带有用户是否进行空口加密的信息。步骤303:VLR/SGSN将插入用户数据响应返回归属用户服务器(HSS)。步骤304..归属用户服务器(HSS)保存VLR/SGSN的地址信息,并返回4立置更新响应。如果用户签约了加密,或者拜访地运营商强制所有用户的空口数据都必须加密,则拜访地网络实体必须启动加密过程,如果用户签约了不加密,而且拜访地运营商允许空口数据不加密,则拜访地网络实体不启动加密过程。拜访用户数据服务器和归属用户数据服务器之间消息参数的修改可以通过以下两种方法实现。方法一增加相关参数来传递用户是否需要空口加密的签约信息。如表1所示,如果拜访用户数据服务器和归属用户数据服务器之间通过MAP协议相连,则MAP-INSERT-SUBSCRIBER-DATA业务原语增加参数的示例如下表1<table>tableseeoriginaldocumentpage9</column></row><table>SubscriberStatusCc(=)BearerserviceListCce)cc(=)TeleserviceListCce)cc(=)ForwardinginformationListCc(=)CallbarringinformationListCc(—CUGinformationListCc(=)SS-DataListCc(=)eMLPPSubscriptionDataCc(=)MC-SubscriptionDataCc(=)OperatorDeterminedBarringGeneralCc(=)cc(=)dataOperatorDeterminedBarringHPLMNCCHdataRoamingRestrictionDueToCc(=)UnsupportedFeatureRegionalSubscriptionDataCc(=)VLRCAMELSubscriptionInfoCc(=)VoiceBroadcastDatacc(=)VoiceGroupCallDatacc(=)Networkaccessmodecc(=)PRSSubscriptionDatacc(=)RoamingRestrictedInSGSNDueTocc(=)UnsupportedFeatureNorthAmericanEqualAccesspreferreduc(=)CarrierIdListSGSNCAMELSubscriptionInfocc(=)LSAInformationcc(=)1STAlertTimercc(=)SS-CodeListcc(=)LMUIdentifiercc(=)LCSInformationcCHCSAllocation/Retentionprioritycc(=)<table>tableseeoriginaldocumentpage11</column></row><table>其中参数EncryptionIndication指示用户是否签约空口加密,或者,通过该参数表示用户是否需要空口的安全性保护。方法二通过内部运营商指定的补充业务来实现传递用户是否需要空口加密的签约信息。运营商使用一个指定的补充业务码,在SS-DataList中带给拜访地用户服务器,拜访地用户服务器收到该补充业务码之后,就知道用户签约了空口加密,或者需要空口的安全性保护,没有收到该补充业务码,就知道用户没有签约空口加密,或者不需要空口的安全性保护。这种方法可以同时使用于CS和PS,只要CS的VLR和PS的SGSN都能够识别该补充业务码。因为各个运营商指定的补充业务码不一致,因此这种方法只能在运营商内部的网络使用。当然拜访用户数据服务器和归属用户数据服务器之间也可能通过其他协议相连,通过采用上面类似的字段或方法来通知拜访用户数据服务器。如果VLR/SGSN支持基于用户签约的启动加密的功能,则在VLR/SGSN用户数据库中保存该参数,如果不支持该功能,则忽略该参数。参照图4所示,当VLR/SGSN获知用户是否需要空口加密的时候,判断是否启用加密的过程如下。在拜访网络实体(VLR/SGSN)成功获得包含加密签约信息的用户数据后,VLR/SGSN进一步判断本地运营商是否要求必须进行加密,是则启动加密。如果本地运营商没有配置必须加密,再判断用户是否签约了必须加密,是则启动力口密,否则不启动力口密。具体步骤如下步骤S401:VLR/SGSN判断是否加密过程开始。步骤S402:判断运营商是否要求必须加密。如果运营商要求必须加密,执行步骤S404;否则,执行步骤S403。步骤S403:当运营商不要求必须加密时,继续判断用户是否签约了加密。如果用户签约了加密,执行步骤S404;否则,执行步骤S405。步骤S404:启动加密过程。如果用户签约了加密,或者拜访地运营商强制所有用户的空口数据都必须加密,则拜访地网络实体必须启动加密过程。步骤S405:不启动加密功能。如果用户签约了不加密,而且拜访地运营商允许空口数据不加密,则拜访地网络实体不启动加密过程。在UMTS中该过程中,启动完整性是必须的。以上所述仅为本发明的优选实施例而已,并不用于限制本发明。该发明可以照样适用于其它通讯系统,比如CDMA(CodeDivisionMultipleAccess)系统和SAE(SystemArchitectureEvolution)系统。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求1.一种将用户是否进行加密的签约信息传递到拜访网络的方法,当用户在拜访网络登记时,归属用户数据服务器向拜访用户数据服务器发起插入用户数据请求,其特征在于,所述插入用户数据请求消息中携带有用户是否进行加密的签约信息。2、根据权利要求1所述的将用户是否进行加密的签约信息传递到拜访网络的方法,其特征在于,通过新增参数或者使用运营商内部的补充业务来传递用户是否进行加密的签约信息到拜访地用户数据服务器中。3、根据权利要求1所述的将用户是否进行加密的签约信息传递到拜访网络的方法,其特征在于,进一步包括当用户在拜访网络登记时,拜访网络实体向归属用户数据服务器发起位置更新请求,用于请求用户签约数据并更新用户在归属用户数据服器中的位置信息。4、根据权利要求1所述的将用户是否进行加密的签约信息传递到拜访网络的方法,其特征在于,进一步包括拜访地网络实体如果支持基于用户签约的启动加密功能,则在拜访用户数据服务器中保存所述的用户是否进行加密的签约信息。5、根据权利要求1所述的将用户是否进行加密的签约信息传递到拜访网络的方法,其特征在于,进一步包括拜访地网络实体如果不支持基于用户签约的启动加密功能,则拜访网络实体忽略所述的用户是否进行加密的签约信息。6、根据权利要求1所述的将用户是否进行加密的签约信息传递到拜访网络的方法,其特征在于,进一步包括拜访网络实体向归属用户数据服务器返回插入用户数据响应消息,归属网络用户数据服务器返回拜访网络实体位置更新响应消息。7、根据权利要求1所述的将用户是否进行加密的签约信息传递到拜访网络的方法,其特征在于,进一步包括归属网络用户数据服务器保存用户的位置信息,并返回拜访网络实体位置更新响应消息。8、根据权利要求1所述将用户是否进行加密的签约信息传递到拜访网络的方法,其特征在子,拜访地网络实体和拜访地用户数据服务器是合一的实体。9、一种基于用户签约的启动加密的方法,其特征在于,拜访地网络实体根据用户是否签约空口加密信息或者拜访地运营商的加密许可来决定是否启用加密。10、根据权利要求9所述的基于用户签约的启动加密的方法,其特征在于,如果用户签约了加密,或者拜访地运营商强制所有用户的空口数据都必须加密,则拜访地网络实体必须启动加密过程;如果用户签约了不加密,而且拜访地运营商允许空口数据不加密,则拜访地网络实体不启动加密过程。11、根据权利要求IO所述的基于用户签约的启动加密的方法,其特征在于,具体步骤如下A、拜访地网络实体判断运营商是否要求加密;当运营商要求必须进行加密时,拜访地网络实体启动加密过程;B、当运营商没有配置必须加密时,拜访地网络实体判断用户是否签约加密;当用户签约了加密时,拜访地网络实体启动加密过程;当用户没有签约加密时,拜访地网络实体不启动加密过程。12、根据权利要求9所述的基于用户签约的启动加密方法,其特征在的签约信息。^、、J、、、13、根据权利要求U所述的基于用户签约的启动加密方法,其特征在于,所述拜访地网络实体和拜访地用户数据服务器是同一个实体。全文摘要本发明公开了一种将用户是否进行加密的签约信息传递到拜访网络的方法,当用户在拜访网络登记时,归属用户数据服务器向拜访用户数据服务器发起插入用户数据请求,所述插入用户数据请求消息中携带有用户是否进行加密的签约信息。本发明还公开了一种基于用户签约的启动加密的方法。本发明技术方案使得核心网能够依据用户的签约来决定是否启用加密,这样可以提高用户满意度,同时使得大部分用户的信令都不进行加密处理,减少了RNC的资源占用。文档编号H04L9/32GK101222749SQ20071000023公开日2008年7月16日申请日期2007年1月11日优先权日2007年1月11日发明者朱进国申请人:中兴通讯股份有限公司