专利名称:一种决定不进行用户面加密的方法
技术领域:
本发明涉及移动通讯技术领域,具体地说,是涉及一种决定不进行用户面加密的方法。
背景技术:
如图1所示,3GPP演进的分组系统(EPS,Evolved Packet System)由演进的陆地无线接入网(EUTRAN,Evolved UMTS Terrestrial Radio AccessNetwork,UMTS),EPS核心网(EPC,Evolved Packet Core)由移动管理单元(MME,Mobility Management Entity)、服务网关(S-GW,ServingGateway)、分组数据网网关(PDN GW,Packet Data Network)、归属用户服务器(HSS,Home Subscriber Server),以及其他支撑节点组成。EUTRAN与移动管理单元之间的接口为S1-MME、与服务网关之间的接口为S1-U,移动管理单元与归属用户服务器之间的接口为S6a、与服务网关之间的接口为S11,服务网关与分组数据网网关之间的接口为S5。分组数据网网关到外部网络的接口为SGi。
其中,移动管理单元负责移动性管理,非接入层信令的处理,用户的安全模式管理等控制面相关工作。归属用户服务器主要负责存储用户的签约数据、在网络中的位置,以及网络的配置等。
在演进的UTRAN中,基站设备为演进的基站(eNB,evolved Node-B),主要负责无线通讯,移动性上下文管理和/或用户的安全模式管理。
在归属用户服务器中保存的用户签约数据包括该用户是否签约某个运营商的网络服务,和该用户是否签约某项业务,等等。
当用户设备(UE,User Equipment)附着到某个EPC时,在UE和网络之间成功进行鉴权后,MME向HSS请求更新用户的位置,HSS向MME写入用户签约数据,具体过程如图2所示,包括步骤步骤201,UE向UTRAN中的eNB发出附着请求;步骤202,eNB将附着请求转发给MME;步骤203,UE通过S-GW和PDN GW与演进分组系统选择性地进行鉴权,也即首次接入时就进行鉴权,如果是切换等情况就不需要鉴权;步骤204,鉴权成功后,MME向HSS请求更新UE的位置;步骤205,HSS向MME写入该用户的签约数据,MME建立该UE的上下文;步骤206,MME向HSS回复写入用户签约数据确认;步骤207,HSS向MME回复更新UE位置确认;步骤208-209,MME要求S-GW和PDN GW建立承载;步骤210,MME通知eNB附着接受;步骤211-212,UE和UTRAN建立无线承载;步骤213,UTRAN中的eNB向MME通知附着成功。
在EPS中,UE和MME之间需要进行非接入层(NAS,Non AccessStratum)信令的完整性保护和加密。UE和UTRAN的eNB之间需要进行AS(接入层,Access Stratum)信令的加密和完整性保护。UE和eNB之间还需要进行用户面的加密。UE将UE的安全能力(security capability),即UE支持的算法列表,包括UE支持的用户面加密算法列表发送给演进分组系统,对于用户面的加密,由演进分组系统的eNB或者是MME将UE支持的用户面加密算法列表和eNB所支持的用户面算法列表进行比较,如果支持相同的用户面算法,则演进分组系统的eNB或者是MME选择一个相同的用户面算法发送给UE,具体过程如图3所示,包括步骤步骤301,UE在附着请求消息中,将UE的安全能力通过eNB发送给演进分组系统。
UE的安全能力是指UE支持的完整性和加密的算法列表,包括用户面加密算法列表。如果是MME进行用户面算法选择,则eNB需要在转发附着请求消息的时候,同时向MME发送eNB的安全能力。
步骤302,UE与演进分组系统之间进行鉴权。
步骤303,成功鉴权后,演进分组系统功能实体MME或eNB选择一个UE和演进分组系统都支持的用户面加密算法。
如果是演进分组系统功能实体MME进行用户面算法选择,MME发送演进的无线接入网应用协议(eRANAP,evolved Radio Access NetworkApplication Part)消息给eNB,包含所选的接入层的完整性保护算法和加密算法以及用户面加密算法。如果是演进分组系统功能实体eNB进行用户面算法选择,MME发送eRANAP消息给eNB,包含UE允许的接入层的完整性保护算法列表和加密算法列表以及用户面加密算法列表,再由eNB选择接入层的完整性保护算法和加密算法以及用户面加密算法。
步骤304,eNB发送接入层安全模式命令(SMC,Security ModeCommand)给UE,包含所选择的用户面加密算法。
步骤305,UE向eNB返回安全模式命令完成(SMC complete)消息。
步骤306,收到安全模式命令完成消息后,eNB开始用户面加密。
用户面的加密主要是对用户面的内容进行加密,对于某些用户,仅用移动通讯系统进行普通的通讯,没有牵涉到需要保密的内容,那么就没有必要对用户面的内容进行加密。比如说,某用户只使用终端打电话进行普通的聊天或者联络,那么他的通话内容没有必要进行加密。
对于eNB来说,如果对每一个用户都要进行用户面的加密,那么会给eNB带来较大的处理负载(processing load)。如果能根据特定用户的需求对用户面进行加密,则能大大减少演进分组系统功能实体eNB的处理负载。更进一步地,运营商可以将用户面加密作为一种业务提供给有需要的用户。
发明内容
本发明所要解决的技术问题是在于需要为移动通讯系统提供一种决定不进行用户面加密的方法,以减小演进分组系统的处理负载。
为了解决上述技术问题,本发明提供了一种决定不进行用户面加密的方法,用户设备附着时,在归属用户服务器向移动管理单元发送的用户签约数据中添加不需要对用户面加密的指示信息,根据所述移动管理单元能够识别出所述指示信息的识别能力,以及演进的基站能够不进行所述用户面加密的支持能力,决定不进行用户面加密。
上述方法中,所述不进行用户面加密可以由所述移动管理单元或者所述演进的基站决定。
上述方法可以进一步包括,如果在所述用户签约数据中添加需要对用户面加密的指示信息,则可以决定进行用户面加密;如果所述移动管理单元不具备所述识别能力,则可以决定进行用户面加密;如果所述演进的基站不具备所述支持能力,则也可以决定进行用户面加密。
更进一步地,所述进行用户面加密,可以由所述移动管理单元或者所述演进的基站决定。而且还可以选择用户面加密算法,并发送给所述用户设备。具体地,所述用户面加密算法可以由所述移动管理单元选择,并通过所述演进的基站发送给所述用户设备,或者可以直接由所述演进的基站选择,并发送给所述用户设备。
上述方法可以进一步向所述用户设备发送不进行用户面加密的消息。具体地,所述不进行用户面加密的消息可以由所述移动管理单元通过所述演进的基站发送,或者可以直接由所述演进的基站发送。
与现有技术相比,本发明由于具有以下优点1)可以根据用户的选择而实行对部分用户不进行用户面加密,因此减小了演进分组系统功能实体eNB的处理负载;2)运营商可以将用户面加密作为一种业务提供给有需要的用户,因此丰富了运营商的业务选择。
图1为现有技术中EPS系统架构图。
图2为现有技术中HSS向MME写入用户签约数据的信令流程。
图3为现有技术中用户加密算法协商的信令流程。
图4为本发明方法实施例步骤示意图。
图5为本发明方法第一个应用实施例的流程示意图。
图6为本发明方法第四个应用实施例的流程示意图。
具体实施例方式
以下结合附图和对本发明作进一步的详细说明。其中,给出以下实施例以提供对本发明的全面和透彻理解,而不是对本发明进行任何限制。
本发明的思想是,用户在用户签约数据中,添加是否需要对用户面进行加密的指示信息;根据演进分组系统功能实体MME自身能否识别出是否需要对用户面进行加密的指示信息的识别能力,以及演进分组系统功能实体eNB自身能否支持对所述用户面不进行加密的支持能力,来决定是否对用户面进行加密,也即如果用户不需要进行用户面加密,且MME能够识别出此不需要进行用户面加密的信息,以及eNB支持不进行用户面加密,那么就不进行用户面加密;否则就进行用户面加密。
为此,需要对用户签约数据进行改进,在其中添加是否需要对用户面进行加密的信息。另外,还需要对演进分组系统功能实体MME进行改进,让其具备识别出是否需要对用户面进行加密的识别能力,并让演进分组系统功能实体eNB根据需要支持对用户面不进行加密。当然,如果MME不具备此识别能力,则忽略用户签约数据中所添加的是否需要对用户面进行加密的信息,直接按现有技术对用户面进行加密。或者,虽然MME具备识别上述指示信息的能力,但eNB不支持对用户面不加密,则无论用户是否需要对用户面进行加密,都将对用户面进行加密。
图4示出了本发明方法的步骤,包括步骤401,向HSS所保存的用户签约数据中添加是否需要对用户面进行加密的指示信息;步骤402,UE附着时,HSS向MME发送包含有是否需要对用户面进行加密这一指示信息的用户签约数据;步骤403,MME根据用户签约数据建立UE上下文,如果MME具备识别出是否需要对用户面进行加密这一指示信息的识别能力,则转步骤404,否则转步骤407;步骤404,MME根据以上指示信息判断不需要用户面加密,则转步骤405,否则转步骤407;步骤405,根据演进分组系统的功能实体eNB的支持能力决定不需要进行用户面加密则转步骤406,否则也转步骤407;步骤406,由于决定不进行用户面加密,所以演进分组系统的功能实体MME或者eNB向UE发送不进行用户面加密的消息;步骤407,由于决定进行用户面加密,所以演进分组系统的功能实体MME或者eNB选择用户面加密算法,并将所选择的用户面加密算法发送给UE。
演进分组系统上述步骤407中,如果是MME进行用户面算法选择,则MME发送eRANAP消息给eNB,该消息中包含MME所选择的用户面加密算法,再由eNB将所选择的用户面加密算法发送给UE;如果是eNB进行用户面算法选择,MME则发送eRANAP消息给eNB,包含UE所允许的用户面加密算法列表,由eNB对用户面加密算法进行选择,并将所选择用户面加密算法发送给UE。
下面给出本发明的第一个应用实施例,用户签约数据中标识了用户不需要进行用户面加密,而且演进分组系统功能实体具备根据用户需要来识别用户面是否需要加密的能力,并且具备选择是否对用户面加密的支持能力,如图5所示,由MME决定是否需要对用户面进行加密的信令流程包括步骤501,UE向eNB发送附着请求,即初始层3消息,在该消息中,UE向演进分组系统报告了UE的安全能力,即UE所支持的非接入层完整性保护和加密算法列表,接入层完整性保护和加密算法列表,和用户面加密的算法列表;步骤502,eNB将以上初始层3消息转发给MME,同时eNB向MME报告eNB本身的安全能力,即eNB所支持的接入层的完整性保护和加密算法列表、用户面加密的算法列表,以及eNB是否具备支持对用户面不加密的能力;步骤503,UE和演进分组系统之间选择性地进行鉴权;步骤504,MME向HSS更新UE的位置;步骤505,HSS向MME发送用户的签约数据,该签约数据中有指示该用户不需要进行用户面加密的信息;步骤506,由于演进分组系统功能实体MME具备识别以上信息的能力,就根据该信息,判断出用户不需要进行用户面加密;步骤507,eNB具备支持对用户面不加密的能力,因此MME决定不进行用户面加密的过程,并且MME也不进行用户面算法选择;步骤508,MME向eNB发送eRANAP消息,该消息中包括不需要用户面加密的通知信息;步骤509,eNB向UE发送接入层安全模式命令消息,该命令消息中包含不需要用户面加密的通知信息;步骤510,UE向eNB回复接入层安全模式命令完成消息;步骤511,收到接入层安全模式命令完成后,eNB不启动用户面加密。
在步骤506中,如果运营商对该MME连接的所有eNB都配置为具备支持对用户面不加密的能力,那么MME直接决定不进行用户面加密的过程,步骤507可以忽略。同时,步骤502中,eNB也可以不用向MME报告是否具备支持对用户面不加密的能力。
在本发明的第二个应用实施例当中,演进分组系统功能实体MME不具备识别出用户不需要进行用户面加密的能力,则不能识别用户不需要进行用户面加密的信息,因此MME就忽略该信息,并且进入需要对用户面进行加密的流程。
在本发明的第三个应用实施例当中,演进分组系统功能实体MME具备识别出用户不需要进行用户面加密的能力,但是演进分组系统功能实体eNB本身并不具备支持对用户面不加密的能力,因此MME判断还是需要对用户面进行加密。
下面给出本发明的第四个应用实施例,用户签约数据中标识了用户不需要进行用户面加密,而且演进分组系统功能实体具备根据用户需要来识别用户面是否需要加密的能力,并且具备选择是否对用户面加密的支持能力,如图6所示,由eNB决定是否需要对用户面进行加密的信令流程包括步骤601,UE向eNB发送附着请求,即初始层3消息,在该消息中,UE向演进分组系统报告UE的能力,即UE所支持的接入层完整性保护和加密算法列表,非接入层完整性保护和加密算法列表,和用户面加密的算法列表;步骤602,eNB将以上初始层3消息转发给MME;步骤603,UE和演进分组系统之间选择性地进行鉴权;步骤604,MME向HSS更新UE的位置;步骤605,HSS向MME发送用户的签约数据,该签约数据中有指示该用户不需要进行用户面加密的信息;步骤606,由于演进分组系统功能实体MME具备识别以上信息的能力,就根据该信息,判断出用户不需要进行用户面加密;步骤607,MME向eNB发送eRANAP消息,通知用户不需要进行用户面加密;步骤608,由于eNB允许用户面不加密,因此eNB决定不进行用户面加密,并且eNB不用进行用户面算法选择;步骤609,eNB向UE发送接入层安全模式命令,在这个消息中包含不需要用户面加密的通知信息;步骤610,UE向eNB回复接入层安全模式命令完成消息;步骤611,收到接入层安全模式命令完成后,eNB不启动用户面加密。
在步骤606中,如果运营商对该MME连接的所有eNB都配置为具备支持对用户面不加密的能力,那么步骤608中eNB直接根据MME的通知决定不进行用户面加密,并且不用进行用户面算法选择。
在本发明的第五个应用实施例当中,演进分组系统功能实体MME具备识别出用户不需要进行用户面加密的能力,但是演进分组系统功能实体eNB并不具备支持对用户面不加密的能力,因此eNB判断还是决定需要对用户面进行加密。
在本发明的其他应用实施例当中,用户签约数据中标识了用户需要进行用户面加密,则无论演进分组系统功能实体是否具备识别用户面是否需要加密的能力,以及是否具备根据用户需要来选择是否对用户面加密的支持能力,都需要对用户面进行加密。加密的流程与现有技术相同,此处不再赘述。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域的技术人员来说,本发明可有各种更改和变化,凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种决定不进行用户面加密的方法,其特征在于,用户设备附着时,在归属用户服务器向移动管理单元发送的用户签约数据中添加不需要对用户面加密的指示信息,根据所述移动管理单元能够识别出所述指示信息的识别能力,以及演进的基站能够不进行所述用户面加密的支持能力,决定不进行用户面加密。
2.如权利要求1所述的方法,其特征在于,所述不进行用户面加密由所述移动管理单元或者所述演进的基站决定。
3.如权利要求1所述的方法,其特征在于,进一步包括,如果在所述用户签约数据中添加需要对用户面加密的指示信息,则决定进行用户面加密。
4.如权利要求1所述的方法,其特征在于,进一步包括,如果所述移动管理单元不具备所述识别能力,则决定进行用户面加密。
5.如权利要求1所述的方法,其特征在于,进一步包括,如果所述演进的基站不具备所述支持能力,则决定进行用户面加密。
6.如权利要求3、4或5所述的方法,其特征在于,所述进行用户面加密,由所述移动管理单元或者所述演进的基站决定。
7.如权利要求3、4或5所述的方法,其特征在于,进一步选择用户面加密算法,并发送给所述用户设备。
8.如权利要求7所述的方法,其特征在于,所述用户面加密算法由所述移动管理单元选择,并通过所述演进的基站发送给所述用户设备,或者直接由所述演进的基站选择,并发送给所述用户设备。
9.如权利要求1所述的方法,其特征在于,进一步向所述用户设备发送不进行用户面加密的消息。
10.如权利要求9所述的方法,其特征在于,所述不进行用户面加密的消息由所述移动管理单元通过所述演进的基站发送,或者直接由所述演进的基站发送。
全文摘要
本发明公开了一种决定不进行用户面加密的方法,旨在减小演进分组系统的处理负载,主要在于用户设备附着时,在归属用户服务器向移动管理单元发送的用户签约数据中添加不需要对用户面加密的指示信息,根据所述移动管理单元能够识别出所述指示信息的识别能力,以及演进的基站能够不进行所述用户面加密的支持能力,决定不进行用户面加密。本发明有效减小了演进分组系统中eNB的处理负载。
文档编号H04W12/02GK101094531SQ20071013786
公开日2007年12月26日 申请日期2007年7月24日 优先权日2007年7月24日
发明者甘露 申请人:中兴通讯股份有限公司