《一種NAS算法的傳輸方法及裝置》是大唐移動通信設備有限公司於2012年2月29日申請的專利,該專利的申請號為2012100508819,公布號為CN102595369A,授權公布日為2012年7月18日,發明人是吳鵬程。
《一種NAS算法的傳輸方法及裝置》用以實現由HSS確定NAS算法並下發該NAS算法給MME的過程,使得運營商可以根據BOSS端對HSS的簽約信息進行修改,針對不同資質的用戶對NAS算法進行靈活配置。該發明提供的一種NAS算法的通知方法包括:歸屬簽約用戶伺服器HSS確定NAS算法列表,其中包括NAS加密保護算法列表和NAS完整性保護算法列表;HSS將所述NAS算法列表傳送給移動性管理實體MME。
2016年12月7日,《一種NAS算法的傳輸方法及裝置》獲得第十八屆中國專利優秀獎。
(概述圖為《一種NAS算法的傳輸方法及裝置》摘要附圖)
基本介紹
- 中文名:一種NAS算法的傳輸方法及裝置
- 公布號:CN102595369A
- 授權日:2012年7月18日
- 申請號:2012100508819
- 申請日:2012年2月29日
- 申請人:大唐移動通信設備有限公司
- 地址:北京市海淀區學院路29號
- 發明人:吳鵬程
- Int.Cl.:H04W8/02(2009.01)I;H04W12/04(2009.01)I;H04W12/10(2009.01)I
- 代理機構:北京同達信恆智慧財產權代理有限公司
- 代理人:劉松
- 類別:發明專利
專利背景,發明內容,專利目的,技術方案,改善效果,附圖說明,技術領域,權利要求,實施方式,榮譽表彰,
專利背景
在長期演進(Long Term Evolution,LTE)網路內,移動性管理實體(Mobility Management Entity,MME)和用戶設備(User Equipment,UE)之間的非接入層(Non-AccessStratum,NAS)訊息傳輸是被完整性保護和安全保護的。MME可以根據UE上報的網路能力和MME配置的安全算法能力以及優先權來決定使用哪種安全算法。
2012年2月前在MME上配置算法能力和優先權的方法,在配置數據固定的情況下不能輕易地對算法集合以及優先權做出改變。另外,在2012年2月前使用的算法中,包括演進的分組系統(Evolved Packet System,EPS)加密算法1~EPS加密算法7(EEA0~EEA7)以及EPS完整性保護算法1~EPS完整性保護算法7(EIA0~EIA7),每一種算法的安全保護程度以及運行效率都是不一樣的,2012年2月前配置NAS層算法列表的方法無法滿足用戶對NAS安全算法多樣性的需要。
現在LTE網路中,MME選擇加密保護算法和完整性保護算法主要依據UE上報的UE安全能力(UE Security Capability)和MME上配置的算法集合以及優先權。
在3GPPTS33.401V9.4.0協定7.2.4.3章節中,MME需要能夠通過配置算法列表配置加密保護算法列表和完整性保護算法列表。在建立NAS安全上下文的時候,MME根據算法集合中選擇出優先權排列最高的NAS安全算法。並通過發起安全模式控制過程,將選擇的算法以及UE支持的安全能力通過安全模式命令(Security Mode Command)訊息傳送給UE。
也就是說,MME選擇算法是根據UE的安全能力以及網路側配置的NAS安全算法集以及算法的優先權來決定的。
UE側的安全能力是根據UE本身所支持的算法,可以根據UE自身的安全能力決定。而網路側配置的NAS安全算法集以及算法的優先權通過在MME上預先配置的方法。如果多個UE上報的安全能力一樣的情況下,MME選擇出的算法必然是一樣,不能體現出用戶之間的差異性和多樣性。
另外,加密保護算法EEA0~EEA7以及完整性保護算法EIA0~EIA7之間,每種算法的安全保護程度以及運行效率也都是不同的。對不同的用戶來說,效率和安全程度的要求是不一樣的。
綜上所述,2012年2月前技術在網路側配置NAS安全算法列表的方法使得運營商無法靈活地針對具體用戶來靈活改變NAS層使用的安全算法。
發明內容
專利目的
《一種NAS算法的傳輸方法及裝置》實施例提供了一種NAS算法的傳輸方法及裝置,用以實現由歸屬用戶伺服器(Home Subscriber Server,HSS)確定NAS算法並下發該NAS算法給MME的過程,使得運營商可以根據業務運營支撐系統(Business Operating Support System,BOSS)端對HSS的簽約信息進行修改,針對不同資質的用戶對NAS算法進行靈活配置。
技術方案
《一種NAS算法的傳輸方法及裝置》實施例提供的一種NAS算法的通知方法包括:歸屬簽約用戶伺服器HSS確定NAS算法列表,其中包括NAS加密保護算法列表和NAS完整性保護算法列表;HSS將所述NAS算法列表傳送給移動性管理實體MME。
該發明實施例提供的一種NAS算法的獲取方法包括:移動性管理實體MME接收歸屬簽約用戶伺服器HSS傳送的攜帶有NAS算法列表的訊息,所述NAS算法列表中包括NAS加密保護算法列表和NAS完整性保護算法列表;MME從所述訊息中獲取NAS算法列表。
該發明實施例提供的一種NAS算法的通知裝置包括:NAS算法列表確定單元,用於確定NAS算法列表,其中包括NAS加密保護算法列表和NAS完整性保護算法列表;通知單元,用於將所述NAS算法列表傳送給移動性管理實體MME。
該發明實施例提供的一種NAS算法的獲取裝置包括:訊息接收單元,用於接收歸屬簽約用戶伺服器HSS傳送的攜帶有NAS算法列表的訊息,所述NAS算法列表中包括NAS加密保護算法列表和NAS完整性保護算法列表;獲取單元,用於從所述訊息中獲取NAS算法列表。
改善效果
《一種NAS算法的傳輸方法及裝置》實施例中,歸屬簽約用戶伺服器HSS確定NAS算法列表,其中包括NAS加密保護算法列表和NAS完整性保護算法列表;HSS將所述NAS算法列表傳送給移動性管理實體MME,從而實現了由HSS來配置NAS算法列表的策略,運營商可以通過BOSS系統來修改HSS中的用戶簽約數據,使得NAS安全算法和服務質量(Quality of Service,QoS)等用戶信息進行關聯,針對不同用戶的需求,可以選擇不同特點的算法對NAS訊息進行安全保護。
附圖說明
圖1為《一種NAS算法的傳輸方法及裝置》實施例提供的一種非接入層NAS算法的通知方法的流程示意圖;
圖2為該發明實施例提供的一種非接入層NAS算法的獲取方法的流程示意圖;
圖3為該發明實施例提供的鑒權信息獲取過程示意圖;
圖4為該發明實施例提供的插入簽約數據過程示意圖;
圖5為該發明實施例提供的插入簽約數據成功過程示意圖;
圖6為該發明實施例提供的插入簽約數據失敗過程示意圖;
圖7為該發明實施例提供的一種非接入層NAS算法的通知裝置的結構示意圖;
圖8為該發明實施例提供的一種非接入層NAS算法的獲取裝置的結構示意圖。
技術領域
《一種NAS算法的傳輸方法及裝置》涉及通信技術領域,尤其涉及一種NAS算法的傳輸方法及裝置。
權利要求
1.一種非接入層NAS算法的通知方法,其特徵在於,該方法包括:歸屬簽約用戶伺服器HSS確定NAS算法列表,其中包括NAS加密保護算法列表和NAS完整性保護算法列表;其中,所述NAS算法列表中的算法,按照預設優先權從高到低的順序排列;HSS將所述NAS算法列表傳送給移動性管理實體MME;其中,所述HSS將所述NAS算法列表傳送給MME,包括:當簽約數據更新時,HSS向MME傳送插入簽約數據請求Insert Subscriber Data Requestestestestest訊息,其中攜帶所述NAS算法列表;其中,所述MME用於:獲取NAS算法列表後,MME從所述NAS算法列表中選擇NAS算法,並將選擇的NAS算法通知給用戶設備UE;其中,MME從所述NAS算法列表中選擇NAS算法,將選擇的NAS算法通知給UE,包括:MME確定自身支持的NAS加密保護算法集合A1和NAS完整性保護算法集合A2;MME確定UE支持的NAS加密保護算法集合B1和NAS完整性保護算法集合B2;MME確定所述NAS算法列表中的NAS加密保護算法集合C1和NAS完整性保護算法集合C2;MME確定集合A1、B1和C1的交集D1,以及A2、B2和C2的交集D2;MME將交集D1中的NAS加密保護算法和交集D2中的NAS完整性保護算法集合通知給UE。
2.一種非接入層NAS算法的獲取方法,其特徵在於,該方法包括:移動性管理實體MME接收歸屬簽約用戶伺服器HSS傳送的攜帶有NAS算法列表的訊息,所述NAS算法列表中包括NAS加密保護算法列表和NAS完整性保護算法列表;MME從所述訊息中獲取NAS算法列表;其中,MME通過插入簽約數據過程,接收HSS傳送的攜帶有NAS算法列表的訊息,包括:當簽約數據更新時,MME接收HSS傳送的插入簽約數據請求Insert Subscriber Data Request訊息,其中攜帶所述NAS算法列表;其中,所述NAS算法列表中的算法,按照預設優先權從高到低的順序排列;MME從所述訊息中獲取NAS算法列表後,MME從所述NAS算法列表中選擇NAS算法,並將選擇的NAS算法通知給用戶設備UE;其中,MME從所述NAS算法列表中選擇NAS算法,將選擇的NAS算法通知給UE,包括:MME確定自身支持的NAS加密保護算法集合A1和NAS完整性保護算法集合A2;MME確定UE支持的NAS加密保護算法集合B1和NAS完整性保護算法集合B2;MME確定所述NAS算法列表中的NAS加密保護算法集合C1和NAS完整性保護算法集合C2;MME確定集合A1、B1和C1的交集D1,以及A2、B2和C2的交集D2;MME將交集D1中的NAS加密保護算法和交集D2中的NAS完整性保護算法集合通知給UE。
3.根據權利要求2所述的方法,其特徵在於,該方法還包括:當NAS算法列表更新時,MME從HSS傳送的插入簽約數據請求Insert Subscriber Data Request訊息中獲取更新的NAS算法列表;MME從更新的NAS算法列表中重新選擇NAS算法;當重新選擇的NAS算法,與2012年2月前的NAS算法不一致時,MME向UE傳送安全模式命令Security Mode Command訊息,其中攜帶重新選擇的NAS算法;當重新選擇的NAS算法,與2012年2月前的NAS算法一致時,或者當MME從更新的NAS算法列表中重新選擇NAS算法的操作失敗時,MME向HSS回復插入簽約數據應答Insert Subscriber Data Answer訊息。
4.根據權利要求3所述的方法,其特徵在於,MME向UE傳送安全模式命令Security Mode Command訊息後,該方法還包括:MME接收UE傳送的安全模式完成Security Mode Complete訊息或者安全模式拒絕Security Mode Reject訊息;MME向HSS回復插入簽約數據應答Insert Subscriber Data Answer訊息。
5.一種非接入層NAS算法的通知裝置,其特徵在於,該裝置包括:NAS算法列表確定單元,用於確定NAS算法列表,其中包括NAS加密保護算法列表和NAS完整性保護算法列表;其中,所述NAS算法列表中的算法,按照預設優先權從高到低的順序排列;通知單元,用於將所述NAS算法列表傳送給移動性管理實體MME時,具體用於:當簽約數據更新時,向MME傳送插入簽約數據請求Insert Subscriber Data Request訊息,其中攜帶所述NAS算法列表;其中,所述MME用於:獲取NAS算法列表後,MME從所述NAS算法列表中選擇NAS算法,並將選擇的NAS算法通知給用戶設備UE;其中,MME從所述NAS算法列表中選擇NAS算法,將選擇的NAS算法通知給UE,包括:MME確定自身支持的NAS加密保護算法集合A1和NAS完整性保護算法集合A2;MME確定UE支持的NAS加密保護算法集合B1和NAS完整性保護算法集合B2;MME確定所述NAS算法列表中的NAS加密保護算法集合C1和NAS完整性保護算法集合C2;MME確定集合A1、B1和C1的交集D1,以及A2、B2和C2的交集D2;MME將交集D1中的NAS加密保護算法和交集D2中的NAS完整性保護算法集合通知給UE。
6.一種非接入層NAS算法的獲取裝置,其特徵在於,該裝置包括:訊息接收單元,用於接收歸屬簽約用戶伺服器HSS傳送的攜帶有NAS算法列表的訊息,所述NAS算法列表中包括NAS加密保護算法列表和NAS完整性保護算法列表;其中,所述NAS算法列表中的算法,按照預設優先權從高到低的順序排列;獲取單元,用於從所述訊息中獲取NAS算法列表;選擇處理單元,用於在所述獲取單元從所述訊息中獲取NAS算法列表後,從所述NAS算法列表中選擇NAS算法,並將選擇的NAS算法通知給用戶設備UE;其中,所述訊息接收單元具體用於:當簽約數據更新時,接收HSS傳送的插入簽約數據請求Insert Subscriber Data Request訊息,其中攜帶所述NAS算法列表;其中,所述選擇處理單元,具體用於:確定MME支持的NAS加密保護算法集合A1和NAS完整性保護算法集合A2;確定UE支持的NAS加密保護算法集合B1和NAS完整性保護算法集合B2;確定所述NAS算法列表中的NAS加密保護算法集合C1和NAS完整性保護算法集合C2;確定集合A1、B1和C1的交集D1,以及A2、B2和C2的交集D2;將交集D1中的NAS加密保護算法和交集D2中的NAS完整性保護算法集合通知給UE。
7.根據權利要求6所述的裝置,其特徵在於,所述訊息接收單元,還用於當NAS算法列表更新時,從HSS傳送的插入簽約數據請求Insert Subscriber Data Request訊息中獲取更新的NAS算法列表;所述選擇處理單元,還用於從更新的NAS算法列表中重新選擇NAS算法;當重新選擇的NAS算法,與2012年2月前的NAS算法不一致時,向UE傳送安全模式命令Security Mode Command訊息,其中攜帶重新選擇的NAS算法;當重新選擇的NAS算法,與2012年2月前的NAS算法一致時,或者當從更新的NAS算法列表中重新選擇NAS算法的操作失敗時,向HSS回復插入簽約數據應答Insert Subscriber Data Answer訊息。
8.根據權利要求7所述的裝置,其特徵在於,所述選擇處理單元,向UE傳送安全模式命令Security Mode Command訊息後,還用於:接收UE傳送的安全模式完成Security Mode Complete訊息或者安全模式拒絕SecurityModeReject訊息;向HSS回復插入簽約數據應答Insert Subscriber Data Answer訊息。
實施方式
《一種NAS算法的傳輸方法及裝置》實施例提供了一種NAS算法的傳輸方法及裝置,用以實現由HSS確定NAS算法並下發該NAS算法給MME的過程,使得運營商可以根據BOSS端對HSS的簽約信息進行修改,針對不同資質的用戶對NAS算法進行靈活配置。
該發明實施例將NAS層算法列表由MME配置改變為由HSS下發。運營商可以根據業務運營支撐系統(Business Operating Support System,BOSS)端對HSS的簽約信息進行修改,針對不同資質的用戶對算法列表進行靈活配置。
參見圖1,《一種NAS算法的傳輸方法及裝置》實施例提供的一種非接入層NAS算法的通知方法,包括:
S101、歸屬簽約用戶伺服器HSS確定NAS算法列表,其中包括NAS加密保護算法列表和NAS完整性保護算法列表;
S102、HSS將所述NAS算法列表傳送給移動性管理實體MME。
較佳地,所述HSS將所述NAS算法列表傳送給MME,包括:HSS通過鑒權信息獲取過程或者插入簽約數據過程,將NAS算法列表傳遞給MME。
較佳地,HSS通過鑒權信息獲取過程將NAS算法列表傳遞給MME,包括:HSS接收MME傳送的鑒權信息請求Authentication Information Request訊息;HSS將鑒權信息回響Authentication Information Answer訊息傳送給MME,其中攜帶所述NAS算法列表。
較佳地,HSS通過插入簽約數據過程,將NAS算法列表傳遞給MME,包括:當簽約數據更新時,HSS向MME傳送插入簽約數據請求Insert Subscriber Data Requestestestest訊息,其中攜帶所述NAS算法列表。
較佳地,所述NAS算法列表中的算法,按照預設優先權從高到低的順序排列。
相應地,參見圖2,《一種NAS算法的傳輸方法及裝置》實施例提供的一種非接入層NAS算法的獲取方法,包括:
S201、移動性管理實體MME接收歸屬簽約用戶伺服器HSS傳送的攜帶有NAS算法列表的訊息,所述NAS算法列表中包括NAS加密保護算法列表和NAS完整性保護算法列表;
S202、MME從所述訊息中獲取NAS算法列表。
較佳地,MME通過鑒權信息獲取過程或者插入簽約數據過程,接收HSS傳送的攜帶有NAS算法列表的訊息。
較佳地,MME通過鑒權信息獲取過程接收HSS傳送的攜帶有NAS算法列表的訊息,包括:MME向HSS傳送鑒權信息請求Authentication Information Request訊息;MME接收HSS傳送的鑒權信息回響Authentication Information Answer訊息,其中攜帶所述NAS算法列表。
較佳地,MME通過插入簽約數據過程,接收HSS傳送的攜帶有NAS算法列表的訊息,包括:當簽約數據更新時,MME接收HSS傳送的插入簽約數據請求Insert Subscriber Data Requestestestest訊息,其中攜帶所述NAS算法列表。
較佳地,所述NAS算法列表中的算法,按照預設優先權從高到低的順序排列。
較佳地,MME從所述訊息中獲取NAS算法列表後,該方法還包括:MME從所述NAS算法列表中選擇NAS算法,並將選擇的NAS算法通知給用戶設備UE。
較佳地,MME從所述NAS算法列表中選擇NAS算法,將選擇的NAS算法通知給UE,包括:MME確定自身支持的NAS加密保護算法集合A1和NAS完整性保護算法集合A2;MME確定UE支持的NAS加密保護算法集合B1和NAS完整性保護算法集合B2;MME確定所述NAS算法列表中的NAS加密保護算法集合C1和NAS完整性保護算法集合C2;MME確定集合A1、B1和C1的交集D1,以及A2、B2和C2的交集D2;MME將交集D1中的NAS加密保護算法和交集D2中的NAS完整性保護算法集合通知給UE。
較佳地,該方法還包括:當NAS算法列表更新時,MME從HSS傳送的插入簽約數據請求Insert Subscriber Data Requestestestest訊息中獲取更新的NAS算法列表;MME從更新的NAS算法列表中重新選擇NAS算法;當重新選擇的NAS算法,與2012年2月前的NAS算法不一致時,MME向UE傳送安全模式命令Security Mode Command訊息,其中攜帶重新選擇的NAS算法;當重新選擇的NAS算法,與2012年2月前的NAS算法一致時,或者當MME從更新的NAS算法列表中重新選擇NAS算法的操作失敗時,MME向HSS回復插入簽約數據應答Insert Subscriber Data Answer訊息。
較佳地,MME向UE傳送安全模式命令Security Mode Command訊息後,該方法還包括:MME接收UE傳送的安全模式完成SecurityModeComplete訊息或者安全模式拒絕Security Mode Reject訊息;MME向HSS回復插入簽約數據應答Insert Subscriber Data Answer訊息。
《一種NAS算法的傳輸方法及裝置》實施例中,預先在3GPPTS29.272協定的表7.3.1/1中,增加定義信息元素(Information Elements),如下面的表7.3.1/1所示:
AVPFlagrules(AVP標誌規則) | ||||||||
Attribute Name(特徵名稱) | AVPCode(AVP碼) | Section defined(定義的章節) | Value Type(內容類型) | Must(必須) | May(可能) | Should not(可能不) | Must not(必須不) | May encrypted(可能加密) |
NAS-Algorithms-Lists(NAS算法列表) | 1613 | 7.3.218 | Grouped(聚合) | M,V | No | |||
NAS-ciphering-algorithms-List(NAS加密保護算法列表) | 1614 | 7.3.219 | UTF8String(UTF8字元) | M,V | No | |||
NAS-integrity-algorithms-List(NAS完整性保護算法列表) | 1615 | 7.3.220 | UTF8String(UTF8字元) | M,V | No | |||
表7.3.1/1:S6a/S6d接口和S13/S13接口屬性值定義(S6a/S6dandS13/S13′specific Diameter AVPs)
並且,預先在3GPPTS29.272增加7.3.218章節,描述如下:
NAS-Algorithms-Lists(NAS算法列表)
TheAVPformatshallconformto(屬性值類型應當遵照以下格式):
NAS-Algorithms-Lists(NAS算法列表)::=<AVPheader(屬性值頭):161310415>
{NAS-ciphering-algorithms-List(NAS加密保護算法列表)}
{NAS-integrity-algorithms-List(NAS完整性保護算法列表)}
以及,在3GPP TS 29.272中增加7.3.219章節,描述如下:
NAS-ciphering-algorithms-List(NAS加密保護算法列表)
NAS加密保護算法列表(NAS-ciphering-algorithms-List)由長度不大於8的字元串通用轉換格式編碼(UTF8String)字元串表示,支持的加密保護算法,0~7分別代表EEA0~EEA7,按優先權從高到低排列。
在3GPP TS 29.272增加7.3.219章節,描述如下:
NAS-integrity-algorithms-List(NAS完整性保護算法列表)
NAS完整性保護算法列表(NAS-integrity-algorithms-List)由長度不大於8的UTF8String字元串表示,支持的完整性保護算法,0~7分別代表EIA0~EIA7,按優先權從高到低排列。
具體的NAS算法列表的傳輸方法,可以有兩種:
第一種:在歸屬簽約用戶伺服器(Home Subscriber Server,HSS)和MME之間的鑒權信息獲取過程(Authentication Procedures)中傳遞NAS算法列表(NAS-Algorithms-Lists)。
在2012年2月前鑒權信息回響訊息結構(見表5.2.3.1.1/2)中增加NAS算法列表(NAS-Algorithms-Lists),如下表5.2.3.1.1/2所示:
Information element name(信息元素名稱) | Mapping to Diameter AVP(映射到Diameter協定的AVP) | Cat.(種類) | Description(描述) |
Result(原因)(See7.4) | Result-Code/Experimental-Result(原因值/結果值) | M | This IE shall contain the result of the operation(該信息元素應當包含結果操作碼).This IE shall contain the Result-CodeAVP shall be used to indicate success/errors as defined in the Diameter Base Protocol.(該信息元素應該包含結果碼的屬性值,被用來指示成功或者失敗) The Experimental-Result AVP shall be used for S6a/S6derrors.This is a grouped AVP which shall contain the 3GPP Vendor ID in the Vendor-IdAVP,and the error code in the Experimental-Result-CodeAVP.(結果值被用來表示S6a/S6d接口的錯誤,該屬性值應該包含製造商標識和錯誤碼) The following errors are applicable in this case:(以下的錯誤碼在這種情況下被使用) -User Unknown(未知用戶) -Unknown EPS Subscription(未知EPS簽約) |
Supported Features(支持的特徵)(See 3GPPTS29.229[9]) | Supported-Features(支持的特徵) | O | If present,this information element shall contain the list of features supported by the originhost.(改口果出現,該信息元素需要包含來自源地址的支持的特徵列表) |
Authentication Info(鑒權信息)(See7.3.17) | Authentication-Info(鑒權信息) | C | This IE shall contain the Authentication Vectors.(該信息元素需要包含鑒權向量) |
NAS-Algorithms-Lists(NAS算法列表) | NAS-Algorithms-Lists(NAS算法列表) | C | This IE shall contain the NAS Algorithms Lists。(該信息元素需要包含算法列表) |
表5.2.3.1.1/2:鑒權信息回響(Authentication Information Answer)
HSS通過鑒權信息獲取過程將NAS算法列表傳遞給MME,如圖3所示。
MME向HSS發出鑒權信息請求(Authentication Information Request)訊息,HSS收到該訊息後,將用戶相關的NAS算法列表包含在鑒權信息回響(Authentication Information Answer)訊息中發給MME。NAS算法列表包括NAS層的加密保護算法列表和以及NAS完整性保護算法列表。其中,NAS加密保護算法列表和NAS完整性保護算法列表中,各算法按照優先權從高到低排列。
第二種:在HSS和MME之間的插入簽約數據過程(Insert Subscriber Data Procedure)中傳遞NAS算法列表(NAS-Algorithms-Lists)。
Information element name(信息元素名稱) | Mapping to Diameter AVP(映射到Diameter協定的AVP) | Cat.(種類) | Description(描述) |
IMSK國際移動用戶標識符) | User-Name(用戶名)(SeeIETFRFC3588[4]) | M | This information element shall contain the user IMSI,formatted according to 3GPP TS 23.003[3],clause2.2.(這個信息元素需要包含用戶的國際移動簽約標識,格式參照協定3GPP TS 23.003的2.2章節。) |
Supported Features(支持的特徵)(See 3GPP TS 29.229[9]) | Supported-Features(支持的特徵) | O | If present,this information element shall contain the list of features supported by the originhost(如果出現,該信息元素需要包含來自源地址的支持的特徵列表) |
Subscription Data(簽約數據)(See7.3.2) | Subscription-Data(簽約數據) | M | This Information Element shall contain the part of the subscription profile thateither is to be added to the subscription profile stored in the MME or SGSN or is replacing a part of the subscription profile stored in the MME or SGSN.(該信息元素應該包含部分簽約數據,該簽約數據可以被MME或者SGSN保存,或者更新MME或者SGSN中保存的簽約數據) |
IDR Flags(IDR標誌)(See 7.3.103) | IDR-Flags(IDR標誌) | C | This Information Element shall contain a bit mask.See 7.3.103 for the meaning of the bits.(該信息元素應該包含一個位掩碼,位掩碼參見7.3.103章節) |
NAS-Algorithms-Lists(NAS算法列表) | NAS-Algorithms-Lists(NAS算法列表) | C | This IE shall contain the NAS Algorithms Lists。(該信息元素需要包含算法列表) |
表5.2.2.1.1/1:插入簽約數據請求(Insert Subscriber Data Requestestestest)HSS通過插入簽約數據過程將NAS算法列表傳遞給MME,如圖4所示。
在簽約數據改變的情況下,HSS向MME發出插入簽約數據請求(Insert Subscriber Data Requestestestest)訊息,包含用戶相關的NAS算法列表。NAS算法列表包括NAS層的加密保護算法列表和以及NAS完整性保護算法列表。其中NAS加密保護算法列表和NAS完整性保護算法列表中,算法按照優先權從高到低排列。MME收到插入簽約數據請求後,向HSS回復插入簽約數據應答(Insert Subscriber Data Answer)訊息。
下面介紹一下《一種NAS算法的傳輸方法及裝置》實施例提供的MME從接收到的NAS算法列表中選擇NAS加密保護算法和NAS完整性保護算法的方法。
對於NAS加密保護算法和NAS完整性保護算法,採用相同的處理過程,下面以其中一種算法為例進行說明。
MME需要支持儘可能多的算法集,假如算法集合為A。
UE通過附著請求(ATTACHREQUEST)訊息或者位置區域更新請求(TRACKING AREA UP DATE REQUEST)訊息,攜帶UE網路能力(UE network capability)給MME,即將UE支持的算法結合通知給MME,記為集合B。
運營商可以根據用戶資質,對每個用戶設定不同的算法集和優先權,通過鑒權信息獲取過程(Authentication Procedures)或者插入簽約數據過程(Insert Subscriber Data Procedure)將NAS算法列表(NAS-Algorithms-Lists)傳遞給MME,假設NAS算法列表中的算法集合為C。
首先選擇出算法集合D為A、B、C三者的交集,即D=A∩B∩C。
在根據NAS算法列表(NAS-Algorithms-Lists)表示的優先權對計算出的D進行選擇,選擇出優先權最高的NAS加密保護算法或NAS完整性保護算法。
MME通過安全模式控制(Security Mode Command)訊息將選擇的NAS加密保護算法和NAS完整性保護算法傳送給UE。
下面介紹一下《一種NAS算法的傳輸方法及裝置》實施例提供的在HSS和MME之間的插入簽約數據過程(Insert Subscriber Data Procedure)中傳遞NAS算法列表(NAS-Algorithms-Lists)後的處理流程。
參見圖5,插入簽約數據成功的流程如下:
步驟一,當NAS算法列表改變的時候,HSS向MME傳送插入簽約數據請求(Insert Subscriber Data Requestestestest)訊息給MME,訊息中攜帶NAS算法列表(NAS-Algorithms-Lists)。
步驟二,MME從插入簽約數據請求中獲取到NAS算法列表後,對NAS算法進行再次選擇。
如果發現再次選擇的NAS算法和MME與UE之間當前採用的NAS算法不一致,則MME向UE發生安全模式命令(Security Mode Command)訊息,訊息中攜帶再次選擇的NAS算法。
如果再次選擇的NAS算法和MME與UE之間當前採用的NAS算法一致,MME和UE之間不再發起SMC過程,MME直接向HSS回復插入簽約數據應答(Insert Subscriber Data Answer),則插入簽約數據成功。
步驟三,UE對安全模式命令(Security Mode Command)訊息進行校驗,當校驗成功時,UE向MME傳送一個安全模式完成(SecurityModeComplete)訊息。
步驟四,MME對安全模式完成(SecurityModeComplete)訊息進行完整性保護校驗和解密,成功則NAS算法更新成功。MME向HSS回復插入簽約數據應答(Insert Subscriber Data Answer),則插入簽約數據成功。
參見圖6,插入簽約數據失敗的流程如下:
步驟一,當NAS算法列表改變的時候,HSS向MME傳送插入簽約數據請求(Insert Subscriber Data Requestestestest)訊息給MME,訊息中攜帶更新後的NAS算法列表(NAS-Algorithms-Lists)。
步驟二,MME從插入簽約數據請求中獲取到NAS算法列表後,對NAS算法進行再次選擇。
如果發現再次選擇的NAS算法和MME與UE之間當前採用的NAS算法不一致,則MME向UE發生安全模式命令(Security Mode Command)訊息,訊息中攜帶再次選擇的NAS算法。
如果再次選擇NAS算法的過程失敗,則MME和UE之間不再發起安全模式控制(Security mode control,SMC)過程,MME直接向HSS回復插入簽約數據應答(Insert Subscriber Data Answer),則插入簽約數據失敗。
步驟三,UE對安全模式命令(Security Mode Command)訊息進行校驗,若校驗失敗,則UE向MME傳送一個安全模式拒絕(Security Mode Reject)訊息。
步驟四,MME收到安全模式拒絕(Security Mode Reject)訊息後,向HSS回復插入簽約數據應答(Insert Subscriber Data Answer),則插入簽約數據失敗。
參見圖7,《一種NAS算法的傳輸方法及裝置》實施例提供的一種非接入層NAS算法的通知裝置,包括:
NAS算法列表確定單元11,用於確定NAS算法列表,其中包括NAS加密保護算法列表和NAS完整性保護算法列表;
通知單元12,用於將所述NAS算法列表傳送給移動性管理實體MME。
較佳地,所述通知單元12,具體用於:
通過鑒權信息獲取過程或者插入簽約數據過程,將NAS算法列表傳遞給MME。
較佳地,所述通知單元12通過鑒權信息獲取過程將NAS算法列表傳遞給MME時,具體用於:
接收MME傳送的鑒權信息請求Authentication Information Request訊息;
將鑒權信息回響Authentication Information Answer訊息傳送給MME,其中攜帶所述NAS算法列表。
較佳地,所述通知單元12通過插入簽約數據過程,將NAS算法列表傳遞給MME時,具體用於:
當簽約數據更新時,向MME傳送插入簽約數據請求Insert Subscriber Data Requestestestest訊息,其中攜帶所述NAS算法列表。
較佳地,所述NAS算法列表中的算法,按照預設優先權從高到低的順序排列。
較佳地,《一種NAS算法的傳輸方法及裝置》實施例提供的一種非接入層NAS算法的通知裝置,為HSS。
參見圖8,《一種NAS算法的傳輸方法及裝置》實施例提供的一種非接入層NAS算法的獲取裝置,包括:
訊息接收單元21,用於接收歸屬簽約用戶伺服器HSS傳送的攜帶有NAS算法列表的訊息,所述NAS算法列表中包括NAS加密保護算法列表和NAS完整性保護算法列表;
獲取單元22,用於從所述訊息中獲取NAS算法列表。
較佳地,所述訊息接收單元21,具體用於:通過鑒權信息獲取過程或者插入簽約數據過程,接收HSS傳送的攜帶有NAS算法列表的訊息。
較佳地,所述訊息接收單元21通過鑒權信息獲取過程接收HSS傳送的攜帶有NAS算法列表的訊息時,具體用於:向HSS傳送鑒權信息請求Authentication Information Request訊息;接收HSS傳送的鑒權信息回響Authentication Information Answer訊息,其中攜帶所述NAS算法列表。
較佳地,所述訊息接收單元21通過插入簽約數據取過程,接收HSS傳送的攜帶有NAS算法列表的訊息時,具體用於:當簽約數據更新時,接收HSS傳送的插入簽約數據請求Insert Subscriber Data Requestestestest訊息,其中攜帶所述NAS算法列表。
較佳地,所述NAS算法列表中的算法,按照預設優先權從高到低的順序排列。
較佳地,該裝置還包括:選擇處理單元23,用於在所述獲取單元從所述訊息中獲取NAS算法列表後,從所述NAS算法列表中選擇NAS算法,並將選擇的NAS算法通知給用戶設備UE。
較佳地,所述選擇處理單元23,具體用於:確定MME支持的NAS加密保護算法集合A1和NAS完整性保護算法集合A2;確定UE支持的NAS加密保護算法集合B1和NAS完整性保護算法集合B2;確定所述NAS算法列表中的NAS加密保護算法集合C1和NAS完整性保護算法集合C2;確定集合A1、B1和C1的交集D1,以及A2、B2和C2的交集D2;將交集D1中的NAS加密保護算法和交集D2中的NAS完整性保護算法集合通知給UE。
較佳地:所述訊息接收單元21,還用於當NAS算法列表更新時,從HSS傳送的插入簽約數據請求Insert Subscriber Data Requestestestest訊息中獲取更新的NAS算法列表;所述選擇處理單元23,還用於從更新的NAS算法列表中重新選擇NAS算法;當重新選擇的NAS算法,與2012年2月前的NAS算法不一致時,向UE傳送安全模式命令Security Mode Command訊息,其中攜帶重新選擇的NAS算法;當重新選擇的NAS算法,與2012年2月前的NAS算法一致時,或者當從更新的NAS算法列表中重新選擇NAS算法的操作失敗時,向HSS回復插入簽約數據應答Insert Subscriber Data Answer訊息。
較佳地,所述選擇處理單元23,向UE傳送安全模式命令Security Mode Command訊息後,還用於:接收UE傳送的安全模式完成SecurityModeComplete訊息或者安全模式拒絕SecurityModeReject訊息;向HSS回復插入簽約數據應答Insert Subscriber Data Answer訊息。
較佳地,該發明實施例提供的一種非接入層NAS算法的獲取裝置,為MME。
綜上所述,《一種NAS算法的傳輸方法及裝置》實施例,在3GPPTS29.272協定中增加定義信息元素NAS算法列表(NAS-Algorithms-Lists),在HSS和MME之間的鑒權信息獲取過程(Authentication Procedures)中傳遞NAS算法列表(NAS-Algorithms-Lists)。或者,在HSS和MME之間的插入簽約數據過程(Insert Subscriber Data Procedure)中傳遞NAS算法列表(NAS-Algorithms-Lists)。從而實現了由HSS來配置NAS算法列表的策略,運營商可以通過BOSS系統來修改HSS中的用戶簽約數據,使得NAS安全算法和QOS等用戶信息進行關聯,針對不同用戶的需求,可以選擇不同特點的算法對NAS訊息進行安全保護。
該領域內的技術人員應明白,《一種NAS算法的傳輸方法及裝置》的實施例可提供為方法、系統、或電腦程式產品。因此,該發明可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且,該發明可採用在一個或多個其中包含有計算機可用程式代碼的計算機可用存儲介質(包括但不限於磁碟存儲器和光學存儲器等)上實施的電腦程式產品的形式。
《一種NAS算法的傳輸方法及裝置》是參照根據該發明實施例的方法、設備(系統)、和電腦程式產品的流程圖和/或方框圖來描述的。應理解可由電腦程式指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些電腦程式指令到通用計算機、專用計算機、嵌入式處理機或其他可程式數據處理設備的處理器以產生一個機器,使得通過計算機或其他可程式數據處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
這些電腦程式指令也可存儲在能引導計算機或其他可程式數據處理設備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的製造品,該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些電腦程式指令也可裝載到計算機或其他可程式數據處理設備上,使得在計算機或其他可程式設備上執行一系列操作步驟以產生計算機實現的處理,從而在計算機或其他可程式設備上執行的指令提供用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
榮譽表彰
2016年12月7日,《一種NAS算法的傳輸方法及裝置》獲得第十八屆中國專利優秀獎。
