专利名称:移动管理单元、演进基站、确定用户面是否加密的方法和系统的制作方法
技术领域:
本发明涉及移动通信领域,具体地-说,涉及移动管理单元、演 进基站、确定用户面是否力口密的方法和系纟充。
背景技术:
图1是现有4支术中的EPS系统的架构图。^口图1戶斤示,3GPP 5寅进的分纟且系纟充(Evolved Packet System, EPS)由演进的陆i也无线4姿入网(Evolved UMTS Terrestrial Radio Access Network, EUTRAN), EPS核心网(Evolved Packet Core, EPC),以及其他支撑节点组成。其中,EPC由移动管理单元(Mobility Management Entity, MME )、月良务网关(Serving Gateway, S-GW )、 分纟且凄史据网网关(Packet Data Network, PDN GW )、归属用户月l务 器(Home Subscriber Server, HSS)组成。EUTRAN与MME之间 的接口为S1-MME, EUTRAN与S-GW之间的接口为Sl-U, MME 与HSS之间的接口为S6a,MME与S-GW之间的接口为Sll,S-GW 与PDNGW之间的接口为S5。 PDNGW到外部网络的接口为SGi。其中,MME负责移动性管理,非4妄入层(Non Access Stratum, NAS)信令的处理,用户的安全模式管理等控制面相关的工作。HSS 主要负责存储用户的签约数据、在网络中的位置,以及网络的配置等。在EUTRAN中,基站i殳备为演进的基站(evolved Node-B, eNB),主要负责无线通信,移动上下文管理和/或用户^T^^模式 管理。在HSS中保存的用户签约数据包括该用户是否签约某个运营 商的网络服务,和该用户是否签约某项业务,等等。在EPS中,UE和MME之间需要进行NAS信令的完整性保护 和加密。UE和UTRAN的eNB之间需要进4亍4妻入层(Access Stratum, AS )信令的加密和完整性保护。UE和eNB之间还需要进行用户面 的力口密。UE将UE的安全能力(security capability ),即UE支持的 算法列表,包括将UE支持的用户面加密算法列表发送给EPS,对 于用户面的力口密,由EPS的eNB或者是MME将UE支持的用户面 加密算法列表和eNB所支持的用户面#法列表进行比较,如果支持 相同的用户面算法,则EPS的eNB或者是MME选4奪一个相同的用 户面算法发送乡会UE。图2是现有技术中MME选4奪用户面加密算法时的加密算法协 商的信令流程图。如图2所示,MME选择用户面算法的具体过程 如下:首先,UE向eNB发送附着请求,即初始层3消息,在该消息 中,UE向EPS报告了 UE的安全能力,即UE所支持的NAS的完 整性保护和加密算法列表,AS的完整性保护和加密算法列表,以及 用户面加密的算法列表。
然后,eNB将以上初始层3消息转发给MME,同时eNB向 MME才艮告eNB本身的安全能力,即eNB所支持的AS的完整性4呆 护和加密算法列表、以及用户面加密的算法列表;接下来,在UE与EPS之间进行鉴权;在成功鉴权后,MME向HSS请求更新UE的位置;在HSS 4妾收到MME向其发送的"i青求更新UE的^f立置的消息后, HSS向MME写入该用户的签约邀:才居,同时MME建立该UE的上 下文;接下来,MME选择一个UE和eNB都支持的用户面加密算法;选定用户面加密算法后,MME发送演进的无线接入网应用协 议(evolved Radio Access Network Application Part, eRANAP )消息 纟合eNB,该消息包含所选的用户面加密算法;eNB在收到上述消息后,其发送AS安全模式命令(Security Mode Command, SMC)给UE,该消息包含所选4奪的用户面加密算法;在收到消息后,UE启动用户面加密;在完成用户面加密之后,UE向eNB返回安全模式命令完成 (SMC complete )消息;以及最后,当eNB收到SMC complete消息后,eNB启动用户面力口用户面的加密主要是对用户面的内容进行加密,对于某些用户, 仅用移动通信系统进行普通的通信,没有涉及到需要保密的内容, 那么就没有必要对用户面的内容进行加密。例如,某用户只-使用终 端打电话进行普通的聊天或者联络,那么他的通话内容就没有必要 进行加密。对于eNB来说,如果对每一个用户都要进行用户面的加密,那 么会给eNB带来较大的处理负载(processing load )。如果能根据特 定用户的需求对用户面进^f亍加密,则能大大地减少EPS的功能实体 eNB的processing load。更进一步i也,运营商也可以将用户面加密 作为一种业务提供给有此需求的用户。同时,作为才是供给某些网络的一种可选的方法,对现有网络的 i殳备配置和流程的影响必须减到最小。不影响不需要该方法的网络 对现有4支术的使用。发明内容为了解决现有技术中的问题,本发明的一个方面提出了 一种移 动管理单元,包括配置模块,用于配置所述移动管理单元是否具有 识别出用户面加密指示信息的识别能力。根据本发明的另一方面,提出了一种演进基站,包括配置模块, 用于配置所述演进基站是否具备支持对用户面不进行加密的能力。冲艮据本发明的又一方面,本发明4是出了 一种确定用户面是否加 密的方法,该方法包括向归属用户服务器所保存的用户签约数据 中添加表示是否对用户面进行加密的指示信息;在用户设备附着时,归属用户服务器向移动管理单元发送包含指示信息的用户签约数据;以及移动管理单元才艮据是否#:配置为能够识别指示信息来确定
是否对用户面进行加密,并将判断结果和加密算法一起发送给演进 基站。其中,演进基站根据是否被配置为具备支持对所述用户面不进 行加密的能力来确定是否对所述用户面进行加密。其中,在移动管理单元被配置为能够识别指示信息的情况下,包括以下步骤根据所述指示信息确定是否需要进行加密;如果确 定为不需要进行加密,所述移动管理单元选择加密算法,并将所述 加密算法和所述不需要加密的信息一起发送给演进基站,所述演进 基站在具备支持不对所述用户面进行加密的能力的情况下不对所述 用户面进行加密,并将不加密的消息发送给用所述用户设备;在不 具备支持不对所述用户面进行加密的能力的情况下对所述用户面进 行加密,将所述加密算法发送给所述用户设备;如果确定为需要进 行加密,所述移动管理单元向所述演进基站发送所选择的用户面加 密算法,对所述用户面进行加密,并将所述加密算法发送给所述用 户设备。另外,在移动管理单元配置为不能够识别指示信息的情况 下,包纟舌以下步-骤,于用户面进4于加密。另外,在演进基站配置为具备支持不对用户面进行加密的能力 的情况下,包括以下步骤演进基站不保存加密算法,并且不对用 户面进4于力口密。以及,在演进基站配置为不具备支持不对用户面进行加密的能 力的情况下,包括以下步骤演进基站保存加密算法,并对用户面 进行加密。最后,在移动管理单元配置为能够识别指示信息,并且 确定所有演进基站都支持不对用户面进行加密的情况下,包括以下 步骤移动管理单元将指示信息发送乡会演进基站;以及演进基站不 对用户面进4亍加密。
本发明还提出了一种确定用户面是否加密的系统,包括添加 单元,用于向归属用户服务器所保存的用户签约数据中添加表示是 否对用户面进行加密的指示信息;归属用户服务器,用于在用户设 备附着时,向移动管理单元发送包含所述指示信息的用户签约数据; 以及移动管理单元,具有用于配置所述移动管理单元是否具有识别 出用户面加密指示信息的识别能力的第一配置单元,所述移动管理 单元用于根据配置单元的配置,确定是否对用户面进行加密,并将 判断结果和加密算法一起发送给演进基站;所述演进基站,用于在 具备支持不对用户面进行加密的能力的情况下,不对所述用户面进 行加密,在不具备支持不对所述用户面进行加密的能力的情况下对 所述用户面进行加密,将所述加密算法发送给所述用户设备。其中,演进基站具有第二配置模块,用于配置演进基站是否具 备支持对所述用户面不进行加密的能力来确定是否对用户面进行加密。因此,采用本发明能够为移动通信系统提供一种决定不进行用 户面加密的方法,以减小EPS的处理负载,并且对现有信令流程的 影响最小。同时,运营商还可以将用户面加密作为一种业务4是供给 有需求的用户,因此丰富了运营商的业务选择。本发明的其它特征和优点将在随后的i兌明书中阐述,并且,部 分地从说明书中变得显而易见,或者通过实施本发明而了解。本发 明的目的和其他优点可通过在所写的说明书、权利要求书、以及附 图中所特别指出的结构来实现和获得。
附图用来^是供对本发明的进一步理解,并且构成i兌明书的一部 分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中图1是现有4支术中的EPS系统的架构图;图2是现有4支术中MME选冲奪用户面加密算法时的加密算法协 商的信令流程图;图3示出了根据本发明的移动管理单元;图4示出了4艮据本发明的演进基站;图5是才艮据本发明的移动管理单元确定用户面是否加密的方法 的流禾呈图;图6是4艮据本发明实施例的移动管理单元确定用户面是否加密 的方法的流程图;图7是根据本发明第一实施例的信令交互图;以及图8是示出了根据本发明的确定用户面是否加密的系统。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此 处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本 发明。
本发明的思想是,用户在用户签约数据中添加是否需要对用户面进行加密的指示信息;并且根据EPS功能实体MME自身能否识 别出是否需要对用户面进行加密的指示信息的识别能力,以及EPS 功能实体eNB自身能否支持对用户面不进行加密的支持能力,来决 定是否对用户面进4亍加密,即如果用户不需要进4亍用户面加密,且 MME能够识别出此不需要进行用户面加密的信息,以及eNB支持 不进行用户面加密,那么就不进4亍用户面加密;否则就进4亍用户面 加密。为此,需要对用户签约数据进行改进,在其中添加是否需要对 用户面进行加密的信息。另外,还需要对EPS的功能实体MME进 行改进,对现有MME增加功能或功能模块,使MME能够被配置 是否具备识别出是用户面加密指示信息的识别能力,对现有eNB增 加功能或功能模块,使eNB能够被配置是否具备支持对所述用户面 不进行加密的支持能力。如果MME没有此功能,或者此功能配置为不能识别所述指示 信息,则忽略用户签约数据中所添加的是否需要对用户面进行加密 的信息,直接按现有才支术对用户面进行加密。或者,虽然MME具备该功能并配置为能够识别所述指示信息, 但eNB没有该功能,或者有该功能,但是此功能配置为不支持,则 都将对用户面进行加密。为了把对现有系统影响减到最小,MME在根据用户签约数据 和自身能力判断不需要进行用户面加密后,将不需要用户面加密的 指示和所选择的用户面加密算法同时发给eNB;如果eNB支持用户 面不加密,就决定不进4亍用户面加密,并且丢弃用户面加密算法。 如果eNB必须执行用户面加密,eNB就根据现有技术继续完成算法 协商流程,在该流程完成后,eNB和UE之间正常才丸4亍用户面力口密。
图3示出了根据本发明的移动管理单元。如图3所示,根据本 发明的移动管理单元具有配置模块,用于配置移动管理单元是否 具有识别出用户面加密指示信息的识别能力;以及现有MME功能 或功能模块。图4示出了才艮据本发明的演进基站。如图4所示,才艮据本发明 的演进基站具有配置模块,用于配置演进基站是否具备支持对用户 面不进行加密的能力;以及现有演进基站功能或功能模块。图5是才艮据本发明的移动管理单元确定用户面是否加密的方法 的流禾呈图。如图5所示,包4舌以下步-骤S502,向归属用户服务器所保存的用户签约数据中添加表示是 否对用户面进行加密的指示信息;S504,在用户设备附着时,归属用户服务器向移动管理单元发 送包含指示信息的用户签约数据;S506,移动管理单元根据是否被配置为能够识别指示信息以及 指示信息来确定是否对用户面进行加密,并将判断结果和加密算法 一起发送给演进基站;以及S508,演进基站才艮据是否被配置为支持用户面不加密来决定是 否对用户面加密,并在决定不加密的情况下,将不加密的决定通知 用户i殳备。其中,在移动管理单元配置为能够识别指示信息的情况下,包 括以下步骤根据所述指示信息确定是否需要进行加密;如果确定 为不需要进行加密,所述移动管理单元选择加密算法,并将所述加 密算法和所述不需要加密的信息一起发送给演进基站,所述演进基 站在具备支持不对所述用户面进行加密的能力的情况下不对所述用
户面进行加密,并将不加密的消息发送给用所述用户i殳备;在不具 备支持不对所述用户面进行加密的能力的情况下对所述用户面进行 加密,将所述加密算法发送给所述用户设备;如果确定为需要进行 加密,所述移动管理单元向所述演进基站发送所选冲奪的用户面加密 算法,演进基站对所述用户面进行加密,并将所述加密算法发送给 所述用户i殳备。同时,在移动管理单元配置为不能够识别指示信息的情况下, 包4舌以下步-骤乂于用户面进4于加密。另夕卜,在演进基站配置为具备支持不对用户面进行加密的能力 的情况下,包括以下步骤演进基站不保存加密算法,并且不对用 户面进4亍力o密。以及,在演进基站配置为不具备支持不对用户面进行加密的能 力的情况下,包4舌以下步骤演进基站保存加密算法,并对用户面 进行加密。最后,在移动管理单元配置为能够识别指示信息,并且确定所 有演进基站都支持不对用户面进行加密的情况下,包括以下步艰《 移动管理单元将指示信息发送给演进基站;以及演进基站不对用户 面进4于加密。图6是才艮据本发明实施例的移动管理单元确定用户面是否加密 的方法的流程图。如图6所示,包4舌以下步骤S602,向HSS所保存的用户签约数据中添加是否需要对用户面 进行加密的指示信息;S604, HSS向MME发送包含有是否需要对用户面进行加密 的用户签约数据; S606, MME选才奪用户面加密算法。如果MME具备被配置是 否具备识别出是否需要对用户面进行加密的指示信息的识别能力, 并且配置为能够识别出是否需要对用户面进行加密这一指示信息, 则转至S608,否则转至S612;S608,若MME 4艮才居以上指示〗言息判断为不需要用户面加密, 则專争至S610,否则转至S612;S610, MME向eNB发送所选择的用户面加密算法,并同时发 送不需要用户面加密的消息,然后转至S614;S612, MME向eNB发送所选l奪的用户面加密算法,然后转 S618;S614, eNB具备被配置是否具备支持不进行用户面加密的能 力,并且被配置为不进行用户面加密,则转至S616,否则也转至 S618;S616,决定不进4亍用户面加密,eNB向UE发送不进4亍用户面 加密的消息;以及S618,决定进行用户面加密,eNB将所选择的用户面加密算法 发送给UE。在上述S610中,因为是MME进4亍用户面算法选4奪,那么MME 发送eRANAP消息给eNB,该消息中包含MME所选4奪的用户面加 密算法和不需要用户面加密的消息。下面给出本发明的第 一个实施例,在用户签约数据中标识了用 户不需要进行用户面加密,而且MME能够被配置是否具备识别出 是用户面加密指示信息的识别能力,并且配置为可以识别该指示信
息,以及eNB能够被配置是否具备支持对所述用户面不进行加密的 支持能力,并且配置为支持不加密。图7是根据本发明第一实施例的信令交互图。如图7所示,由 MME决定是否需要对用户面进行加密的信令流程,具体如下所述首先,UE向eNB发送附着请求,即初始层3消息,在该消息 中,UE向EPS报告了 UE的安全能力,即UE所支持的NAS的完 整性保护和加密算法列表,AS的完整性保护和加密算法列表,以及 用户面加密的算法列表;其次,eNB爿寻以上初始层3消息转发全会MME,同时eNB向 MME报告eNB本身的安全能力,即eNB所支持的AS的完整性保 护和加密算法列表、以及用户面加密的算法列表;接下来,在UE和EPS之间进行选择性地鉴权;在选择性地鉴权之后,MME向HSS更新UE的位置;HSS在收到来自MME的更新UE的位置的消息之后,HSS向 MME发送用户的签约数据,该签约数据中有指示该用户不需要进 行用户面加密的信息;由于EPS功能实体MME具备识别以上信息的能力,就4艮据该 信息,判断出用户不需要进行用户面加密;在MME处理完加密信息后,MME向eNB发送eRANAP消息, 该消息中包4舌不需要用户面加密的通知^f言息,和所选的用户面加密 算法;由于eNB具备支持对用户面不加密的能力,因此eNB在收到 消息后,决定不进行用户面加密的过程,并且不用保存MME所选 才奪的用户面加密算法;接下来,eNB向UE发送接入层安全模式命令消息,该消息中 包含不需要用户面加密的通知信息;然后,UE不启动用户面加密;同时,UE向eNB回复接入层安全模式命令完成消息;以及当eNB收到接入层安全模式命令完成消息后,eNB不启动用户 面力口密。在本发明的第二个实施例中,eNB不能够-故配置是否具备支持 对所述用户面不进行加密的支持能力,或者有该功能,^f旦是此功能 配置为不支持,因此eNB判断还是需要对用户面进行加密,并且保 存MME选择的用户面加密算法。在这之后的需要对用户面加密的 流禾呈同现有才支术。在本发明的第三个实施例中,3口果运营商只于该MME连4妻的所 有eNB都配置为具备支持对用户面不加密的能力,那么当MME向 eNB发送eRANAP消息时,MME不需要向eNB发送所选择的用户 面加密算法。同时,可以忽略eNB确定不进行用户面加密的过程, 以及eNB不用4呆存MME所选才奪的用户面力口密算法。在本发明的第四个实施例中,MME不能够^皮配置是否具备识 别出是否需要对用户面进行加密的指示信息的识别能力,或者能够 配置,^f旦是配置为不能识别该指示信息,则不能识别用户不需要进 行用户面加密的信息,因此MME忽略该信息,并且进入需要对用 户面进4亍加密的流-呈。
在本发明的其他实施例中,当用户签约数据中标识了用户需要进行用户面加密,则无论EPS的功能实体是否具备识别用户面是否 需要加密的能力,以及是否具备根据用户需要来选择是否对用户面 加密的支持能力,都需要对用户面进行加密。加密的流程与现有技 术相同,此处不再赘述。图8是示出了根据本发明的确定用户面是否加密的系统。如图 8所示,确定用户面是否加密的系统800包括添加单元802,用于 向归属用户服务器所保存的用户签约数据中添加表示是否对用户面 进行加密的指示信息;归属用户服务器804,用于在用户设备附着 时,向移动管理单元806发送包含上述指示信息的用户签约数据; 移动管理单元806,具有用于配置移动管理单元是否具有识别出用 户面加密指示^f言息的识别能力的第一配置单元8062,移动管理单元 806用于才艮据第一配置单元8062的配置,以及添加单元802添力口的 指示信息,确定是否对用户面进行加密,并将判断结果和加密算法 一起发送给演进基站808。其中,演进基站808具有第二配置模块8082,用于配置演进基 站808是否具备支持对所述用户面不进行加密的能力来确定是否对 用户面进4于加密。综上所述,采用本发明的方法可以才艮据用户的选4奪而只对部分 用户不进4亍用户面加密的方法,减小了 EPS的功能实体eNB的处 理负载,并且运营商可以将用户面加密作为一种业务4是供菱合有需求 的用户,因此丰富了运营商的业务选择。以上仅为本发明的优选实施例而已,并不用于限制本发明,对 于本领域的才支术人员来i兌,本发明可以有各种更改和变化。凡在本 发明的精神和原则之内,所作的任何修改、等同替换、改进等,均 应包含在本发明的保护范围之内。
权利要求
1.一种移动管理单元,其特征在于,包括配置模块,用于配置所述移动管理单元是否具有识别出用户面加密指示信息的识别能力。
2. —种演进基站,其特征在于,包括配置模块,用于配置所述演进基站是否具备支持对用户面 不进行加密的能力。
3. —种确定用户面是否加密的方法,其特4正在于,包括向归属用户服务器所保存的用户签约数据中添加表示是 否对用户面进行加密的指示信息;在用户设备附着时,所述归属用户服务器向移动管理单元 发送包含所述指示信息的用户签约数据;以及所述移动管理单元根据是否被配置为能够识别所述指示 信息以及所述指示信息来确定是否对所述用户面进行加密,并 将判断结果和加密算法一起发送给演进基站;所述演进基站根据是否被配置为具备支持对所述用户面 不进行加密的能力以及所述判断结果来确定是否对所述用户 面进4亍力o密。
4. 根据权利要求3所述的方法,其特征在于,在所述移动管理单 元被配置为能够识别所述指示信息的情况下,包括以下步骤根据所述指示信息确定是否需要进行加密;如果确定为不需要进行加密,所述移动管理单元选择加密 算法,并将所述加密算法和所述不需要加密的信息一起发送给 演进基站,所述演进基站在具备支持不对所述用户面进行加 密的能力的情况下不对所述用户面进行加密,并将不加密的消息发送给用所述用户设备;在不具备支持不对所述用户面进行 加密的能力的情况下对所述用户面进行加密,将所述加密算法 发送给所述用户设备;如果确定为需要进行加密,所述移动管理单元向所述演进 基站发送所选择的用户面加密算法。
5. 根据权利要求4所述的方法,其特征在于,在所述演进基站配 置为具备支持不对所述用户面进行加密的能力的情况下所述演进基站不保存所述加密算法,并且不对所述用户面 进4亍力口密。
6. 4艮据权利要求4所述的方法,其特4正在于,在所述演进基站配 置为不具备支持不对所述用户面进行加密的能力的情况下,所述演进基站保存所述加密算法,并对所述用户面进行加密。
7. 根据权利要求3所述的方法,其特征在于,在所述移动管理单 元配置为不能够识别所述指示信息的情况下,包括以下步骤对所述用户面进4亍加密。
8. 根据权利要求3所述的方法,其特征在于,在所述移动管理单 元配置为能够识别所述指示信息,并且确定所有演进基站都支 持不对所述用户面进4于加密的情况下,包4舌以下步艰《所述移动管理单元将所述指示信息发送给演进基站;以及 所述演进基站不对所述用户面进4亍加密。
9. 一种确定用户面是否加密的系统,其特;f正在于,包^f舌添加单元,用于向归属用户服务器所保存的用户签约数据 中添加表示是否对用户面进行加密的指示信息;所述归属用户服务器,用于在用户设备附着时,向移动管 理单元发送包含所述指示信息的用户签约数据;以及所述移动管理单元,具有用于配置所述移动管理单元是否 具有识别出用户面加密指示信息的识别能力的第 一 配置单元, 所述移动管理单元用于才艮据所述配置单元的配置,确定是否对 所述用户面进^f亍加密,并将判断结果和加密算法一起发送^^演 进基站。所述演进基站,用于在具备支持不对用户面进行加密的能 力的情况下,不对所述用户面进4亍加密,在不具备支持不对所 述用户面进行加密的能力的情况下对所述用户面进行加密。
10. 根据权利要求9所述的系统,其特征在于所述演进基站具有 第二配置模块,用于配置所述演进基站是否具备支持对所述用 户面不进4亍加密的能力来确定是否对所述用户面进4亍加密。
全文摘要
本发明提供了一种移动管理单元确定用户面是否加密的方法,该方法包括向归属用户服务器所保存的用户签约数据中添加表示是否对用户面进行加密的指示信息;在用户设备附着时,归属用户服务器向移动管理单元发送包含指示信息的用户签约数据;以及移动管理单元根据是否能够识别指示信息来确定是否对用户面进行加密,并将判断结果和加密算法一起发送给演进基站。因此,采用本发明的方法可以根据用户的选择而只对部分用户不进行用户面加密,从而减小了EPS的功能实体eNB的处理负载,并且运营商可以将用户面加密作为一种业务提供给有需求的用户,因此丰富了运营商的业务选择。
文档编号H04W12/00GK101128061SQ20071015459
公开日2008年2月20日 申请日期2007年9月27日 优先权日2007年9月27日
发明者鸿 刘, 焱 张, 露 甘 申请人:中兴通讯股份有限公司;中国移动通信集团公司