專利名稱:無線網(wǎng)絡(luò)安全解決方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)�����,尤其涉及無線網(wǎng)絡(luò)安全解決方法�����、裝置和設(shè)備。
背景技術(shù):
XPP (the 3rd Generation Partnership Project�,第三代伙伴計(jì)劃)標(biāo)準(zhǔn)技術(shù)規(guī) 范TS 33. 401里規(guī)定了 EPS (Evolved Packet System,演進(jìn)分組系統(tǒng))用戶在使用LTE (Long Term Evolution��,長期演進(jìn))網(wǎng)絡(luò)時(shí)突然切換到CS (Circuit Switched�,電路交換)域的 2G(GSM)網(wǎng)絡(luò)如何繼續(xù)安全使用CS域業(yè)務(wù)即撥打語音電話SRVCC(Single Radio Voice CallContinuity,雙模單待話音呼叫連續(xù))�����,以確保其語音呼叫的連續(xù)性����。但是,目前規(guī)范里并沒有規(guī)定一個(gè)安全解決方案讓一個(gè)EPS用戶能在2G網(wǎng)絡(luò)里安 全地觸發(fā)撥打語音電話����,EPS用戶訪問2G業(yè)務(wù)的一個(gè)可能的場景如下一個(gè)EPS用戶漫游到了一個(gè)只有2G網(wǎng)絡(luò)的地方,該EPS用戶他/她的終端是雙模 的(既能訪問EPS網(wǎng)絡(luò)也能訪問2G網(wǎng)絡(luò)的雙模終端)�。很有可能該EPS用戶的歸屬網(wǎng)絡(luò)和 漫游網(wǎng)絡(luò)都沒有部署3G網(wǎng)絡(luò),即歸屬網(wǎng)絡(luò)運(yùn)營商是直接從2G網(wǎng)絡(luò)演進(jìn)到EPS網(wǎng)絡(luò)�����,拜訪網(wǎng) 絡(luò)目前只部署了 2G網(wǎng)絡(luò)�����。在此情況下,該EPS用戶漫游到了 2G網(wǎng)絡(luò)后仍然希望能使用其 雙模終端和USIM卡(Universal Subscriber Identity Module���,通用用戶身份模塊)通過 2G網(wǎng)絡(luò)來播打語音電話��。該場景下EPS用戶使用USIM卡和2G終端來訪問2G業(yè)務(wù)����。但目 前標(biāo)準(zhǔn)并沒有解決LTE/SAE (System Architecture Evolution����,系統(tǒng)架構(gòu)演進(jìn))網(wǎng)絡(luò)的EPS 用戶(使用USIM卡)如何使用2G終端來安全訪問2G網(wǎng)絡(luò)業(yè)務(wù)�����。
發(fā)明內(nèi)容
為解決現(xiàn)有技術(shù)中的上述缺點(diǎn)�����,本發(fā)明提出了新的無線網(wǎng)絡(luò)安全解決方法�、裝置 和設(shè)備。根據(jù)本發(fā)明�����,從歸屬域(Home Network) EPS網(wǎng)絡(luò)的安全上下文推導(dǎo)出拜訪域2G網(wǎng) 絡(luò)的安全上下文,然后使用推導(dǎo)出的2G網(wǎng)絡(luò)安全上下文在2G網(wǎng)絡(luò)里進(jìn)行認(rèn)證和加密���。在從 歸屬域EPS網(wǎng)絡(luò)的安全上下文推導(dǎo)出拜訪域(Visited Network) 2G網(wǎng)絡(luò)的安全上下文并用 于2G網(wǎng)絡(luò)的接入認(rèn)證時(shí)���,重用了 EPS網(wǎng)絡(luò)和2G網(wǎng)絡(luò)的一些消息,并且對(duì)一些參數(shù)做改動(dòng)��。 使得本發(fā)明能實(shí)現(xiàn)讓一個(gè)EPS用戶能在2G網(wǎng)絡(luò)里安全地觸發(fā)撥打語音電話�,并對(duì)現(xiàn)有設(shè)備 的影響減至最少。具體地���,根據(jù)本發(fā)明的一個(gè)實(shí)施方式�,提供一種增強(qiáng)型移動(dòng)交換設(shè)備�����,包括接收裝置�����,用于接收來自拜訪域的移動(dòng)交換設(shè)備的安全相關(guān)的信息請(qǐng)求消息����,其 中拜訪域?yàn)?G網(wǎng)絡(luò)����;消息產(chǎn)生裝置�����,用于根據(jù)安全相關(guān)的信息請(qǐng)求消息�����,產(chǎn)生認(rèn)證數(shù)據(jù)請(qǐng)求消息����,所述 認(rèn)證數(shù)據(jù)請(qǐng)求消息中包含一個(gè)“標(biāo)識(shí)”�,以標(biāo)識(shí)演進(jìn)分組系統(tǒng)用戶訪問的是2G網(wǎng)絡(luò);發(fā)送裝置�,用于發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息給移動(dòng)性管理實(shí)體;進(jìn)一步的�,接收裝置還用于接收來自移動(dòng)性管理實(shí)體的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息;存儲(chǔ)裝置�,用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置�,用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文推 導(dǎo)出2G網(wǎng)絡(luò)安全上下文���;進(jìn)一步的,消息產(chǎn)生裝置還用于產(chǎn)生2G網(wǎng)絡(luò)安全上下文的安全相關(guān)信息的應(yīng)答 消息���;進(jìn)一步的��,發(fā)送裝置還用于發(fā)送2G的安全上下文的安全相關(guān)信息的應(yīng)答消息給 2G網(wǎng)絡(luò)的移動(dòng)交換設(shè)備����。根據(jù)本發(fā)明的一個(gè)實(shí)施方式�,提供一種增強(qiáng)型移動(dòng)交換設(shè)備,包括接收裝置�,用于接收來自拜訪域的移動(dòng)交換設(shè)備的安全相關(guān)的信息請(qǐng)求消息,其 中拜訪域?yàn)?G網(wǎng)絡(luò)���;消息產(chǎn)生裝置����,用于根據(jù)安全相關(guān)的信息請(qǐng)求消息���,產(chǎn)生認(rèn)證數(shù)據(jù)請(qǐng)求消息�;發(fā)送裝置���,用于發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息給歸屬用戶服務(wù)器�;進(jìn)一步的,接收裝置還用于接收來自歸屬用戶服務(wù)器的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安 全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息��;存儲(chǔ)裝置�,用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置�����,用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文推 導(dǎo)出2G網(wǎng)絡(luò)安全上下文����;進(jìn)一步的,消息產(chǎn)生裝置還用于產(chǎn)生2G網(wǎng)絡(luò)安全上下文的安全相關(guān)信息的應(yīng)答 消息��;進(jìn)一步的��,發(fā)送裝置還用于發(fā)送2G的安全上下文的安全相關(guān)信息的應(yīng)答消息給 2G網(wǎng)絡(luò)的移動(dòng)交換設(shè)備。根據(jù)本發(fā)明的一個(gè)實(shí)施方式�����,提供一種增強(qiáng)型移動(dòng)交換設(shè)備�����,包括接收裝置,用于接收來自拜訪域的基站子系統(tǒng)的位置更新請(qǐng)求消息���,其中拜訪域 為2G網(wǎng)絡(luò);消息產(chǎn)生裝置,用于根據(jù)位置更新請(qǐng)求消息�,產(chǎn)生認(rèn)證數(shù)據(jù)請(qǐng)求消息,所述認(rèn)證數(shù) 據(jù)請(qǐng)求消息中包含一個(gè)“標(biāo)識(shí)”��,以標(biāo)識(shí)演進(jìn)分組系統(tǒng)用戶訪問的是2G網(wǎng)絡(luò)�;發(fā)送裝置,用于發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息給移動(dòng)性管理實(shí)體���;進(jìn)一步的,接收裝置還用于接收來自移動(dòng)性管理實(shí)體的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安 全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息�����;存儲(chǔ)裝置,用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文����;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置,用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文推 導(dǎo)出2G網(wǎng)絡(luò)安全上下文���;進(jìn)一步的���,存儲(chǔ)裝置還用于存儲(chǔ)2G網(wǎng)絡(luò)安全上下文;進(jìn)一步的���,消息產(chǎn)生裝置還用于產(chǎn)生認(rèn)證請(qǐng)求消息���;進(jìn)一步的,發(fā)送裝置還用于發(fā)送認(rèn)證請(qǐng)求消息給拜訪域的基站子系統(tǒng)����;進(jìn)一步的,接收裝置還用于接收來自拜訪域的基站子系統(tǒng)的認(rèn)證應(yīng)答消息����;比較裝置,用于比較響應(yīng)值RES和期望的響應(yīng)值XRES是否一致�;如果響應(yīng)值RES和期望的響應(yīng)值XRES是一致的,消息產(chǎn)生裝置進(jìn)一步還用于產(chǎn)生位置更新應(yīng)答消息����;并且,發(fā)送裝置還進(jìn)一步用于發(fā)送位置更新應(yīng)答消息��。根據(jù)本發(fā)明的一個(gè)實(shí)施方式�,提供一種增強(qiáng)型移動(dòng)交換設(shè)備,包括接收裝置��,用于接收來自拜訪域的基站子系統(tǒng)的位置更新請(qǐng)求消息����,其中拜訪域 為2G網(wǎng)絡(luò);消息產(chǎn)生裝置�,用于根據(jù)位置更新請(qǐng)求消息,產(chǎn)生認(rèn)證數(shù)據(jù)請(qǐng)求消息����;發(fā)送裝置,用于發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息給歸屬用戶服務(wù)器���;進(jìn)一步的�,接收裝置還用于接收來自歸屬用戶服務(wù)器的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安 全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息���;存儲(chǔ)裝置���,用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文�;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置����,用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文推 導(dǎo)出2G網(wǎng)絡(luò)安全上下文;進(jìn)一步的���,存儲(chǔ)裝置還用于存儲(chǔ)2G網(wǎng)絡(luò)安全上下文����;進(jìn)一步的�����,消息產(chǎn)生裝置還用于產(chǎn)生認(rèn)證請(qǐng)求消息����;進(jìn)一步的,發(fā)送裝置還用于發(fā)送認(rèn)證請(qǐng)求消息給拜訪域的基站子系統(tǒng)���;進(jìn)一步的����,接收裝置還用于接收來自拜訪域的基站子系統(tǒng)的認(rèn)證應(yīng)答消息��;比較裝置��,用于比較響應(yīng)值RES和期望的響應(yīng)值XRES是否一致���;如果響應(yīng)值RES和期望的響應(yīng)值XRES是一致的�����,消息產(chǎn)生裝置進(jìn)一步還用于產(chǎn)生 位置更新應(yīng)答消息�����;并且�,發(fā)送裝置還進(jìn)一步用于發(fā)送位置更新應(yīng)答消息��。根據(jù)本發(fā)明的一個(gè)實(shí)施方式���,提供一種移動(dòng)性管理實(shí)體設(shè)備�����,包括接收裝置�,用于接收來自增強(qiáng)型移動(dòng)交換設(shè)備的認(rèn)證數(shù)據(jù)請(qǐng)求消息,所述認(rèn)證數(shù) 據(jù)請(qǐng)求消息中包含一個(gè)“標(biāo)識(shí)”���,以標(biāo)識(shí)演進(jìn)分組系統(tǒng)用戶訪問的是2G網(wǎng)絡(luò)��;消息識(shí)別裝置��,用于根據(jù)標(biāo)識(shí)“標(biāo)識(shí)”���,識(shí)別出是EPS用戶2G業(yè)務(wù);設(shè)置裝置����,用于根據(jù)識(shí)別出EPS用戶2G業(yè)務(wù),將認(rèn)證數(shù)據(jù)請(qǐng)求消息的參數(shù)服務(wù)網(wǎng) 絡(luò)標(biāo)識(shí)和網(wǎng)絡(luò)類型設(shè)置為空“NULL” ����;發(fā)送裝置,用于將經(jīng)設(shè)置后的認(rèn)證數(shù)據(jù)請(qǐng)求消息發(fā)送給歸屬用戶服務(wù)器�����;進(jìn)一步的�����,接收裝置還用于接收來自歸屬用戶服務(wù)器的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安 全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息;存儲(chǔ)裝置�����,用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文�����;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置�,用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文推 導(dǎo)出2G網(wǎng)絡(luò)安全上下文��;消息產(chǎn)生裝置��,用于產(chǎn)生2G網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息���;進(jìn)一步的����,發(fā)送裝置還用于將2G網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息發(fā)送給增 強(qiáng)型移動(dòng)交換設(shè)備�。根據(jù)本發(fā)明的一個(gè)實(shí)施方式,提供一種無線網(wǎng)絡(luò)安全解決方法��,包括步驟一用戶設(shè)備發(fā)送位置更新請(qǐng)求消息“Location UpdateRequest (IMSI) ”給基 站子系統(tǒng);步驟二 基站子系統(tǒng)轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest (IMSI)����,,給
10移動(dòng)交換設(shè)備����;步驟三移動(dòng)交換設(shè)備識(shí)別出是漫游用戶并發(fā)送安全相關(guān)信息的請(qǐng)求消息 "Security related information Request (IMSI) ” 給增強(qiáng)的移動(dòng)交換設(shè)備;步驟四增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication Data Request (IMSI) ”給MME��,同時(shí)標(biāo)識(shí)” flag”該用戶是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù)��;步驟五移動(dòng)性管理實(shí)體通過標(biāo)識(shí)”flag”識(shí)別出是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù)�,于是轉(zhuǎn) 發(fā)認(rèn)證數(shù)據(jù)請(qǐng)求消息 “Authentication Data Request (IMSI, SN ID, Network Type)”給歸 屬用戶服務(wù)器,同時(shí)將參數(shù)“SNID”和“Network Type”設(shè)為NULL �;步驟六歸屬用戶服務(wù)器根據(jù)3GPP TS33. 401和3GPP TS33. 102產(chǎn)生 EPS AVs (RAND, AUTN, Kasme, XRES)并發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息 “Authentication Data Response (EPS AVs) ”給移動(dòng)性管理實(shí)體;步驟七移動(dòng)性管理實(shí)體存儲(chǔ)EPS AVs (RAND, AUTN, Kasme, XRES)消息并根據(jù)3GPP TS 33. 401 從 KASME 導(dǎo)出 CK 和 IK ���; 步驟八移動(dòng)性管理實(shí)體發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息“AuthenticationData Response (RAND, AUTN, CK, IK, XRES) ”給增強(qiáng)型移動(dòng)交換設(shè)備���;步驟九增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND,AUTN, CK, IK, XRES)并根據(jù)3GPP TS 33. 102從CK和IK導(dǎo)出Kc��,并將KSI賦給CKSN ���;步驟十增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送安全相關(guān)信息的應(yīng)答消息“Security Related Information Response (RAND, Kc, XRES) ”給移動(dòng)交換設(shè)備�;步驟^^一 移動(dòng)交換設(shè)備存儲(chǔ)(RAND,Kc, XRES)���;步驟十二移動(dòng)交換設(shè)備發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND, Kc) ”給基站子系統(tǒng)�����;步驟十三基站子系統(tǒng)存儲(chǔ)Kc ����;步驟十四基站子系統(tǒng)發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND)���,,給用 戶設(shè)備.步驟十五用戶設(shè)備根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法 產(chǎn)生Kasme和RES��,并根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS33. 401從Kasme導(dǎo)出CK和IK���,然后又根據(jù)3GPP標(biāo) 準(zhǔn)規(guī)范TS33. 102從CK和IK導(dǎo)出Kc��,并將KSI賦給CKSN �����;步驟十六用戶設(shè)備發(fā)送認(rèn)證應(yīng)答消息“Authentication Response (RES) ”給基站 子系統(tǒng)�����;步驟十七基站子系統(tǒng)發(fā)送認(rèn)證應(yīng)答消息“AuthenticationResponse (RES)��,��,給移 動(dòng)交換設(shè)備�����;步驟十八移動(dòng)交換設(shè)備檢查來自用戶設(shè)備的響應(yīng)值RES是否與原來存儲(chǔ)的期望 的響應(yīng)值XRES —致����,如果一致則認(rèn)證成功;步驟十九移動(dòng)交換設(shè)備發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K) ”給基站子系統(tǒng)����;步驟二十基站子系統(tǒng)發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K) ” 給用戶設(shè)備。根據(jù)本發(fā)明的一個(gè)實(shí)施方式���,提供一種無線網(wǎng)絡(luò)安全解決方法�����,包括
步驟一用戶設(shè)備發(fā)送位置更新請(qǐng)求消息“Location UpdateRequest (IMSI) ”給基 站子系統(tǒng)��;步驟二 基站子系統(tǒng)轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest (IMSI)��,����,給 移動(dòng)交換設(shè)備;步驟三移動(dòng)交換設(shè)備識(shí)別出是漫游用戶并發(fā)送安全相關(guān)信息的請(qǐng)求消息 "Security related information Request (IMSI) ” 給增強(qiáng)型移動(dòng)交換設(shè)備��;步驟四增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication Data Request (IMSI) ”給歸屬用戶服務(wù)器���;步驟五歸屬用戶服務(wù)器根據(jù)3GPP TS33. 401和3GPP TS33. 102產(chǎn)生(RAND���,AUTN����, CK, IK, XRES),然后發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息 “Authentication Data Response (RAND, AUTN, CK, IK, XRES) ”給增強(qiáng)型移動(dòng)交換設(shè)備��;步驟六增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND����,AUTN�����,CK, IK, XRES)并根據(jù)3GPP TS 33. 102從CK和IK導(dǎo)出Kc��,并將KSI賦給CKSN ���;步驟七增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送安全相關(guān)信息的應(yīng)答消息“Security Related Information Response (RAND, Kc, XRES) ” 給移動(dòng)交換設(shè)備;步驟八移動(dòng)交換設(shè)備存儲(chǔ)(RAND�����,Kc, XRES)����;步驟九移動(dòng)交換設(shè)備發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest(RAND,Kc)���,����,
給基站子系統(tǒng)���;步驟十基站子系統(tǒng)存儲(chǔ)Kc �;步驟^^一 基站子系統(tǒng)發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND),�����,給用 戶設(shè)備.步驟十二 用戶設(shè)備根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法 產(chǎn)生CK和IK��,然后又根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS33. 102從CK和IK導(dǎo)出Kc���,并將KSI賦給CKSN ����;步驟十三用戶設(shè)備發(fā)送認(rèn)證應(yīng)答消息“Authentication Response (RES) ”給基站 子系統(tǒng)���;步驟十四基站子系統(tǒng)發(fā)送認(rèn)證應(yīng)答消息“AuthenticationResponse (RES)����,�����,給移 動(dòng)交換設(shè)備����;步驟十五移動(dòng)交換設(shè)備檢查來自用戶設(shè)備的響應(yīng)值RES是否與原來存儲(chǔ)的期望 的響應(yīng)值XRES —致,如果一致則認(rèn)證成功��;步驟十六移動(dòng)交換設(shè)備發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K) ”給基站子系統(tǒng)�����;步驟十七基站子系統(tǒng)發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K) ” 給用戶設(shè)備�����。根據(jù)本發(fā)明的一個(gè)實(shí)施方式���,提供一種無線網(wǎng)絡(luò)安全解決方法��,包括步驟一用戶設(shè)備發(fā)送位置更新請(qǐng)求消息“Location UpdateRequest (IMSI) ”給基 站子系統(tǒng)��;步驟二 基站子系統(tǒng)轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest (IMSI)����,��,給 增強(qiáng)型移動(dòng)交換設(shè)備���;步驟三增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication Data
12Request (IMSI)�,,給移動(dòng)性管理實(shí)體��,同時(shí)標(biāo)識(shí)” flag”該用戶是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù)��;步驟四移動(dòng)性管理實(shí)體通過標(biāo)識(shí)”flag”識(shí)別出是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù)��,于是轉(zhuǎn) 發(fā)認(rèn)證數(shù)據(jù)請(qǐng)求消息 “Authentication Data Request (IMSI, SN ID, Network Type)”給歸 屬用戶服務(wù)器�,同時(shí)將參數(shù)“SNID”和“Network Type”設(shè)為空NULL ;步驟五歸屬用戶服務(wù)器根據(jù)3GPP TS33. 401和3GPP TS33. 102產(chǎn)生 EPS AVs (RAND, AUTN, Kasme, XRES)并發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息 “Authentication Data Response (EPS AVs) ”給移動(dòng)性管理實(shí)體�����;步驟六移動(dòng)性管理實(shí)體存儲(chǔ)EPS AVs (RAND, AUTN, Kasme, XRES)消息并根據(jù)3GPP TS 33. 401 從 KASME 導(dǎo)出 CK 和 IK ��;步驟七移動(dòng)性管理實(shí)體發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息“AuthenticationData Response (RAND, AUTN, CK, IK, XRES) ”給增強(qiáng)型移動(dòng)交換設(shè)備�����;步驟八增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND, AUTN, CK, IK, XRES)并根據(jù)3GPP TS 33. 102從CK和IK導(dǎo)出Kc��,并將KSI賦給CKSN �;步驟九增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND,Kc, XRES)�����;步驟十增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND, Kc)”給基站子系統(tǒng)����;步驟^^一 基站子系統(tǒng)發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND),����,給用 戶設(shè)備.步驟十二 用戶設(shè)備根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法 產(chǎn)生Kasme和RES,并根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS33. 401從Kasme導(dǎo)出CK和IK����,然后又根據(jù)3GPP標(biāo) 準(zhǔn)規(guī)范TS33. 102從CK和IK導(dǎo)出Kc,并將KSI賦給CKSN ����;步驟十三用戶設(shè)備發(fā)送認(rèn)證應(yīng)答消息“Authentication Response (RES) ”給基站 子系統(tǒng);步驟十四基站子系統(tǒng)發(fā)送認(rèn)證應(yīng)答消息“AuthenticationResponse (RES) ”給增 強(qiáng)型移動(dòng)交換設(shè)備�����;步驟十五增強(qiáng)型移動(dòng)交換設(shè)備檢查來自用戶設(shè)備的響應(yīng)值RES是否與原來存儲(chǔ) 的期望的響應(yīng)值XRES —致���,如果一致則認(rèn)證成功����;步驟十六增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送位置更新應(yīng)答消息“Location Update Response (2000K) ”給基站子系統(tǒng);步驟十七基站子系統(tǒng)發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K) ” 給用戶設(shè)備���。根據(jù)本發(fā)明的一個(gè)實(shí)施方式���,提供一種無線網(wǎng)絡(luò)安全解決方法,包括步驟一用戶設(shè)備發(fā)送位置更新請(qǐng)求消息“Location UpdateRequest(IMSI) ”給基 站子系統(tǒng)��;步驟二 基站子系統(tǒng)轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest (IMSI)�����,����,給 增強(qiáng)型移動(dòng)交換設(shè)備;步驟三增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication Data Request (IMSI) ”給歸屬用戶服務(wù)器�����;步驟四歸屬用戶服務(wù)器根據(jù)3GPP TS33. 401和3GPP TS33. 102產(chǎn)生(RAND�����,AUTN,CK, IK, XRES)���,然后發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息 “Authentication Data Response (RAND, AUTN, CK, IK, XRES) ”給增強(qiáng)型移動(dòng)交換設(shè)備;步驟五增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND���,AUTN��,CK, IK, XRES)并根據(jù)3GPP TS 33. 102從CK和IK導(dǎo)出Kc��,并將KSI賦給CKSN �����;步驟六增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND���,Kc, XRES);步驟七增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND, Kc) ”給基站子系統(tǒng)�;步驟八基站子系統(tǒng)發(fā)送認(rèn)證請(qǐng)求消息“Authentication Request (RAND) ”給用戶 設(shè)備.步驟九用戶設(shè)備根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法產(chǎn) 生CK和IK,然后又根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS 33. 102從CK和IK導(dǎo)出Kc,并將KSI賦給CKSN ����;步驟十用戶設(shè)備發(fā)送認(rèn)證應(yīng)答消息“Authentication Response (RES) ”給基站子 系統(tǒng);步驟^^一 基站子系統(tǒng)發(fā)送認(rèn)證應(yīng)答消息“AuthenticationResponse (RES)�����,,給增 強(qiáng)型移動(dòng)交換設(shè)備��;步驟十二 增強(qiáng)型移動(dòng)交換設(shè)備檢查來自用戶設(shè)備的RES是否與原來存儲(chǔ)的XRES 一致�,如果一致則認(rèn)證成功;步驟十三增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送位置更新應(yīng)答消息“Location Update Response (2000K) ”給基站子系統(tǒng)�����;步驟十四基站子系統(tǒng)發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K) ” 給用戶設(shè)備�����。利用本發(fā)明的安全解決方案�,能確保EPS用戶安全地訪問2G業(yè)務(wù),當(dāng)EPS用戶在 只有2G網(wǎng)絡(luò)的情況下也能提供連續(xù)性服務(wù)�����。
通過以下結(jié)合附圖的說明����,并且隨著對(duì)本發(fā)明的更全面了解,本發(fā)明的其他目的 和效果將變得更加清楚和易于理解,其中圖1表示根據(jù)本發(fā)明的一個(gè)實(shí)施方式的EPS用戶訪問拜訪域2G網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu) 示意圖�����。圖2a���,2b�,2c����,2d表示根據(jù)本發(fā)明的實(shí)施方式的認(rèn)證和密鑰協(xié)商過程示意圖�。圖3a,3b表示根據(jù)本發(fā)明的實(shí)施方式的增強(qiáng)型移動(dòng)交換設(shè)備結(jié)構(gòu)示意圖�����。圖4表示根據(jù)本發(fā)明的實(shí)施方式的移動(dòng)性管理實(shí)體設(shè)備結(jié)構(gòu)示意圖���。在所有的上述附圖中�,相同的標(biāo)號(hào)表示具有相同��、相似或相應(yīng)的特征或功能�。
具體實(shí)施例方式以下結(jié)合附圖具體描述本發(fā)明的實(shí)施方式。本發(fā)明的實(shí)施方式基于3GPP標(biāo)準(zhǔn)規(guī)范實(shí)現(xiàn),因?yàn)?GPP標(biāo)準(zhǔn)在業(yè)界被廣泛應(yīng)用����,本 發(fā)明中多處涉及3GPP標(biāo)準(zhǔn)規(guī)范及其相關(guān)術(shù)語、縮略語��,在本文最后統(tǒng)一做縮略語說明���。根據(jù)本發(fā)明的EPS用戶訪問拜訪域2G網(wǎng)絡(luò)的網(wǎng)絡(luò)架構(gòu)如圖1所示����。圖1給除了實(shí)現(xiàn)本發(fā)明實(shí)施方式所相關(guān)的設(shè)備����、接口和協(xié)議。其中�����,接口 Sv部分已在3GPP TS 23.216 中有定義��,為了能讓EPS用戶安全地訪問2G網(wǎng)絡(luò)業(yè)務(wù)���,接口 Sv需做增強(qiáng)��,其他接口參考原 來2G網(wǎng)絡(luò)里的規(guī)范和EPS網(wǎng)絡(luò)里的規(guī)范��;同時(shí)�,歸屬域的設(shè)備需要做相應(yīng)的增強(qiáng),而拜訪域 的2G設(shè)備無需做修改���。根據(jù)本發(fā)明有多種實(shí)施方式�����,圖1的BSS和E-MSC之間����,E-MSC和HSS之間用虛線 標(biāo)示�,是用來說明����,BSS能直接與E-MSC進(jìn)行通信,也可以通過MSC與E-MSC進(jìn)行通信�����;E-MSC 可以與HSS直接進(jìn)行通信�,也可以通過MME與HSS進(jìn)行通信���。另外,E-MSC也可以位于拜訪域�����。對(duì)應(yīng)于圖1中不同的網(wǎng)絡(luò)架構(gòu)�����,圖2a����,2b,2c�,2d分別給出根據(jù)本發(fā)明的實(shí)施方式 的認(rèn)證和密鑰協(xié)商過程示意圖。現(xiàn)有的認(rèn)證和密鑰協(xié)商過程已在3GPP標(biāo)準(zhǔn)規(guī)范中有詳細(xì) 規(guī)定��,在本文不進(jìn)行贅述�����。其中��,圖2a的流程圖中對(duì)應(yīng)的網(wǎng)絡(luò)架構(gòu)是BSS通過MSC與E-MSC進(jìn)行通信�;E-MSC 通過MME與HSS進(jìn)行通信�。涉及的網(wǎng)絡(luò)設(shè)備有UE�、BSS、MSC�����、增強(qiáng)型MSC�、MME和HSS。其中�����, UE和BSS之間的接口是Uu接口�,協(xié)議是LAPDm ;BSS和MSC之間的接口是A接口�����,協(xié)議是 SS7+BSSAP ����;MSC和增強(qiáng)型MSC之間的接口是E接口��,協(xié)議是SS7+MAP �;增強(qiáng)型MSC和MME之 間的接口是Sv接口����,協(xié)議是GTP協(xié)議��;MME和HSS之間的接口是S6a接口����,協(xié)議是DIAMETER 協(xié)議。具體的�,在步驟1)處,UE發(fā)送位置更新請(qǐng)求消息“LocationUpdate Request(IMSI) ”給 BSS �����;在步驟2)處�,BSS轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest (IMSI),�,給 MSC ;在步驟3)處����,MSC識(shí)別出是漫游用戶并發(fā)送安全相關(guān)信息的請(qǐng)求消息“Security related information Request (IMSI)"^ E-MSC ;在步驟4) =E-MSC 發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication DataRequest (IMSI) ” 給MME�����,同時(shí)標(biāo)識(shí)” flag”該用戶是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù);在步驟5)處MME通過標(biāo)識(shí)” flag”識(shí)別出是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù)�,于是轉(zhuǎn)發(fā)認(rèn) 證數(shù)據(jù)請(qǐng)求消息"Authentication Data Request (IMSI, SN ID, Network Type)”給 HSS,同 時(shí)將參數(shù)"SN ID” 和"Network Type” 設(shè)為 NULL �;在步驟6)處HSS 根據(jù) 3GPP TS33. 401 和 3GPP TS33. 102 產(chǎn)生 EPS AVs (RAND, AUTN, Kasme,XRES)并發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息"Authentication Data Response (EPS AVs) ” 給 MME �����;在步驟7)處=MME 存儲(chǔ) EPS AVs (RAND, AUTN, Kasme, XRES)消息并根據(jù) 3GPP TS 33. 401 從 Kassie 導(dǎo)出 CK 和 IK ����;在步驟8)處MME 發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息“Authentication DataResponse (RAND, AUTN, CK, IK, XRES),����,給 E-MSC ;在步驟9)處=E-MSC 存儲(chǔ)(RAND, AUTN, CK, IK, XRES)并根據(jù) 3GPP TS 33. 102 從 CK和IK導(dǎo)出Kc��,并將KSI賦給CKSN �;在步驟10)處E-MSC發(fā)送安全相關(guān)信息的應(yīng)答消息“SecurityRelated Information Response (RAND, Kc, XRES) ” 給 MSC ;
15
在步驟11)處=MSC 存儲(chǔ)(RAND, Kc, XRES)�����;在步驟12)處MSC 發(fā)送認(rèn)證請(qǐng)求消息 “Authentication Request (RAND, Kc) ”給 BSS ����;在步驟13)處BSS存儲(chǔ)Kc ;在步驟14)處BSS 發(fā)送認(rèn)證請(qǐng)求消息 “Authentication Request (RAND) ” 給 UE ����;在步驟15)處UE根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法產(chǎn) 生Kasme和RES,并根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS33. 401從Kasme導(dǎo)出CK和IK,然后又根據(jù)3GPP標(biāo) 準(zhǔn)規(guī)范TS33. 102從CK和IK導(dǎo)出Kc,并將KSI賦給CKSN �;在步驟16)處:UE 發(fā)送認(rèn)證應(yīng)答消息 “Authentication Response (RES),��,給 BSS ����;在步驟17)處BSS 發(fā)送認(rèn)證應(yīng)答消息“Authentication Response (RES) ”給 MSC ;在步驟18)處MSC檢查來自UE的RES是否與原來存儲(chǔ)的XRES —致����,如果一致則 認(rèn)證成功;在步驟19)處MSC 發(fā)送位置更新應(yīng)答消息 “Location UpdateResponse (2000K)���,��, 給 BSS ��;在步驟20)處BSS 發(fā)送位置更新應(yīng)答消息 “Location UpdateResponse (2000K)�����,�, 給UE。之后����,EPS用戶能使用Kc來加密通信訪問2G網(wǎng)絡(luò)業(yè)務(wù),當(dāng)然級(jí)別是2G網(wǎng)絡(luò)的安 全標(biāo)準(zhǔn)�。圖2b的流程圖中對(duì)應(yīng)的網(wǎng)絡(luò)架構(gòu)是BSS通過MSC與E-MSC進(jìn)行通信;E-MSC直接 與HSS進(jìn)行通信����。涉及的網(wǎng)絡(luò)設(shè)備有冊(cè)、855�、1^(、增強(qiáng)型1^(和把5����。其中,UE和BSS之 間的接口是Uu接口���,協(xié)議是LAPDm ����;BSS和MSC之間的接口是A接口�����,協(xié)議是SS7+BSSAP ����;MSC 和增強(qiáng)型MSC之間的接口是E接口,協(xié)議是SS7+MAP ��;增強(qiáng)型MSC和HSS之間的接口是Gr接 口��,協(xié)議是MAP協(xié)議�����。具體的����,在步驟1)處UE發(fā)送位置更新請(qǐng)求消息“LocationUpdate Request (IMSI)” 給 BSS ;在步驟2)處BSS轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest(IMSI) ”給 MSC ����;在步驟3)處MSC識(shí)別出是漫游用戶并發(fā)送安全相關(guān)信息的請(qǐng)求消息“Security related information Request (IMSI)"^E-MSC ;在步驟4)處E-MSC發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“AuthenticationData Request(IMSI) ”給 HSS ;在步驟5)處=HSS 根據(jù) 3GPP TS33. 401 和 3GPP TS33. 102 產(chǎn)生(RAND, AUTN, CK, IK, XRES)�,然后發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息 “Authentication Data Response (RAND, AUTN, CK, IK, XRES) ” 給 E-MSC ;在步驟6)處=E-MSC 存儲(chǔ)(RAND, AUTN, CK, IK, XRES)并根據(jù) 3GPP 標(biāo)準(zhǔn)規(guī)范 TS 33. 102從CK和IK導(dǎo)出Kc��,并將KSI賦給CKSN �����;在步驟7)處E-MSC發(fā)送安全相關(guān)信息的應(yīng)答消息“SecurityRelated Information Response (RAND, Kc, XRES) ” 給 MSC ����;在步驟8)處=MSC 存儲(chǔ)(RAND, Kc, XRES);
在步驟9)處MSC 發(fā)送認(rèn)證請(qǐng)求消息 “Authentication Request (RAND, Kc)�����,�,給 BSS ;在步驟10)處=BSS存儲(chǔ)Kc ���;在步驟11)處BSS 發(fā)送認(rèn)證請(qǐng)求消息 “Authentication Request (RAND) ”給 UE.在步驟12)處UE根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法產(chǎn) 生CK和IK,然后又根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS33. 102從CK和IK導(dǎo)出Kc��,并將KSI賦給CKSN �;在步驟13)處:UE 發(fā)送認(rèn)證應(yīng)答消息 “Authentication Response (RES) ”給 BSS �;在步驟14)處BSS 發(fā)送認(rèn)證應(yīng)答消息“Authentication Response (RES) ”給 MSC ����;在步驟15)處MSC檢查來自UE的RES是否與原來存儲(chǔ)的XRES —致��,如果一致則 認(rèn)證成功�;在步驟16)處MSC 發(fā)送位置更新應(yīng)答消息 “Location UpdateResponse (2000K)���,�, 給 BSS �����;在步驟17)處BSS 發(fā)送位置更新應(yīng)答消息 “Location UpdateResponse (2000K)���,�, 給UE�。之后,EPS用戶能使用Kc來加密通信訪問2G網(wǎng)絡(luò)業(yè)務(wù)����,當(dāng)然級(jí)別是2G網(wǎng)絡(luò)的安 全標(biāo)準(zhǔn)。圖2c的流程圖中對(duì)應(yīng)的網(wǎng)絡(luò)架構(gòu)是BSS直接與E-MSC進(jìn)行通信���;E-MSC通過MME 與HSS進(jìn)行通信��。涉及的網(wǎng)絡(luò)設(shè)備有UE�����、BSS��、增強(qiáng)型MSC�、MME和HSS。其中��,UE和BSS之間的 接口是Uu接口��,協(xié)議是LAPDm �����;BSS和增強(qiáng)型MSC之間的接口是A接口���,協(xié)議是SS7+BSSAP ��; 增強(qiáng)型MSC和MME之間的接口是Sv接口���,協(xié)議是GTP協(xié)議�����;MME和HSS之間的接口是S6a接 口�����,協(xié)議是DIAMETER協(xié)議���。具體的���,在步驟1)處UE發(fā)送位置更新請(qǐng)求消息“LocationUpdate Request (IMSI)” 給 BSS ����;在步驟2)處BSS轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest(IMSI) ”給 E-MSC ����;在步驟3)處E-MSC發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“AuthenticationData Request (IMSI) ”給MME,同時(shí)標(biāo)識(shí)” flag”該用戶是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù)����;在步驟4)處MME通過標(biāo)識(shí)” flag”識(shí)別出是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù),于是轉(zhuǎn)發(fā)認(rèn) 證數(shù)據(jù)請(qǐng)求消息"Authentication Data Request (IMSI, SN ID, Network Type)”給 HSS����,同 時(shí)將參數(shù)"SN ID” 和"Network Type” 設(shè)為 NULL �;在步驟5)處HSS 根據(jù) 3GPP TS33. 401 和 3GPP TS33. 102 產(chǎn)生 EPS AVs (RAND, AUTN, Kasme�,XRES)并發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息"Authentication Data Response (EPS AVs) ” 給 MME ;在步驟6)處=MME 存儲(chǔ) EPS AVs (RAND, AUTN, Kasme, XRES)消息并根據(jù) 3GPP TS 33. 401 從 KASME 導(dǎo)出 CK 和 IK ���;在步驟7)處MME 發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息“Authentication DataResponse (RAND, AUTN, CK, IK, XRES)��,��,給 E-MSC ���;在步驟8)處E-MSC 存儲(chǔ)(RAND, AUTN, CK, IK, XRES)并根據(jù) 3GPP TS 33. 102 從 CK和IK導(dǎo)出Kc,并將KSI賦給CKSN ����;
在步驟9)處=E-MSC 存儲(chǔ)(RAND, Kc, XRES);在步驟10)處E_MSC 發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND�,Kc) ”給 BSS ;在步驟11)處BSS 發(fā)送認(rèn)證請(qǐng)求消息 “Authentication Request (RAND) ” 給 UE.在步驟12)處UE根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法產(chǎn) 生Kasme和RES,并根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS33. 401從Kasme導(dǎo)出CK和IK,然后又根據(jù)3GPP標(biāo) 準(zhǔn)規(guī)范TS33. 102從CK和IK導(dǎo)出Kc�����,并將KSI賦給CKSN �����;在步驟13)處:UE 發(fā)送認(rèn)證應(yīng)答消息 “Authentication Response (RES),�����,給 BSS �����;在步驟14)處BSS 發(fā)送認(rèn)證應(yīng)答消息 “Authentication Response (RES)�����,����,給 E-MSC ��;在步驟15)處E-MSC檢查來自UE的RES是否與原來存儲(chǔ)的XRES —致��,如果一致 則認(rèn)證成功��;在步驟16)處E-MSC發(fā)送位置更新應(yīng)答消息“Location UpdateResponse(2000K)” 給 BSS �;在步驟17)處BSS 發(fā)送位置更新應(yīng)答消息 “Location UpdateResponse (2000K)�����,����, 給UE��。之后�����,EPS用戶能使用Kc來加密通信訪問2G網(wǎng)絡(luò)業(yè)務(wù)���,當(dāng)然級(jí)別是2G網(wǎng)絡(luò)的安 全標(biāo)準(zhǔn)�。圖2d的流程圖中對(duì)應(yīng)的網(wǎng)絡(luò)架構(gòu)是BSS直接與E-MSC進(jìn)行通信����;E-MSC直接與HSS 進(jìn)行通信。涉及的網(wǎng)絡(luò)設(shè)備有UE�、BSS、增強(qiáng)型MSC和HSS���。其中����,UE和BSS之間的接口是 Uu接口,協(xié)議是LAPDm ��;BSS和增強(qiáng)型MSC之間的接口是A接口����,協(xié)議是SS7+BSSAP ;增強(qiáng)型 MSC和HSS之間的接口是Gr接口����,協(xié)議是MAP協(xié)議。具體的���,在步驟1)處UE發(fā)送位置更新請(qǐng)求消息“LocationUpdate Request (IMSI)” 給 BSS ����;在步驟2)處BSS轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest (IMSI)����,���,給 E-MSC ����;在步驟3)處E-MSC發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“AuthenticationData Request(IMSI) ”給 HSS ;在步驟4)處=HSS 根據(jù) 3GPP TS33. 401 和 3GPP TS33. 102 產(chǎn)生(RAND, AUTN, CK, IK, XRES)�����,然后發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息 “Authentication Data Response (RAND, AUTN, CK, IK, XRES) ” 給 E-MSC ���;在步驟5)處=E-MSC 存儲(chǔ)(RAND, AUTN, CK, IK, XRES)并根據(jù) 3GPP TS 33. 102 從 CK和IK導(dǎo)出Kc�,并將KSI賦給CKSN ���;在步驟6)處=E-MSC 存儲(chǔ)(RAND, Kc, XRES)����;在步驟7)處E_MSC 發(fā)送認(rèn)證請(qǐng)求消息“Authentication Request (RAND, Kc) ”給 BSS ���;在步驟8)處BSS 發(fā)送認(rèn)證請(qǐng)求消息 “Authentication Request (RAND) ” 給 UE.在步驟9)處UE根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法產(chǎn)生 CK和IK�����,然后又根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS 33. 102從CK和IK導(dǎo)出Kc�,并將KSI賦給CKSN ;
18
在步驟10)處UE 發(fā)送認(rèn)證應(yīng)答消息 “Authentication Response (RES) ” 給 BSS ��;在步驟11)處BSS 發(fā)送認(rèn)證應(yīng)答消息“Authentication Response (RES) ” 給 E-MSC ����;在步驟12)處E-MSC檢查來自UE的RES是否與原來存儲(chǔ)的XRES —致,如果一致 則認(rèn)證成功����;在步驟13)處E-MSC發(fā)送位置更新應(yīng)答消息“Location UpdateResponse(2000K)” 給 BSS ;在步驟14)處BSS 發(fā)送位置更新應(yīng)答消息 “Location UpdateResponse (2000K)��,����, 給UE。之后�����,EPS用戶能使用Kc來加密通信訪問2G網(wǎng)絡(luò)業(yè)務(wù)���,當(dāng)然級(jí)別是2G網(wǎng)絡(luò)的安 全標(biāo)準(zhǔn)���。圖3a,3b給出了根據(jù)本發(fā)明的實(shí)施方式的增強(qiáng)型移動(dòng)交換設(shè)備結(jié)構(gòu)示意圖�。本發(fā)明的實(shí)施方式中,增強(qiáng)型MSC設(shè)備300在現(xiàn)有設(shè)備基礎(chǔ)上�����,需作如下增強(qiáng)A 接收來自拜訪域MSC的安全相關(guān)的信息請(qǐng)求消息“SecurityRelated Information Request”�����,解釋該消息�;或者接收來自BSS的位置更新請(qǐng)求消息“Location Update Request”;并將相應(yīng)的認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication Data Request”發(fā)送給 MME或HSS,如果增強(qiáng)型MSC是通過MME與HSS相連�����,則還應(yīng)在該消息中增加一個(gè)”flag”�,以 標(biāo)識(shí)為EPS用戶訪問的是2G網(wǎng)絡(luò),并且修改接口 Sv���。B 接收來自HSS或MME的UMTS網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息 "Authentication Data Response”����,并從接收到的UMTS網(wǎng)絡(luò)安全上下文推導(dǎo)出2G網(wǎng)絡(luò)安 全上下文.C 將2G的安全上下文發(fā)送給2G網(wǎng)絡(luò)的MSC或者2G網(wǎng)絡(luò)的BSS.D 如果增強(qiáng)型MSC與BSS直接進(jìn)行通信��,則需比較來自UE的RES和原來存儲(chǔ)的 XRES是否一致,如果一致�����,則認(rèn)證成功�。圖3a的強(qiáng)型MSC設(shè)備用于如下的網(wǎng)絡(luò)架構(gòu)強(qiáng)型MSC設(shè)備通過MSC與BSS進(jìn)行通 信,與HSS直接通信或者通過MME與HSS進(jìn)行通信����。即與圖2a,2b中的強(qiáng)型MSC設(shè)備對(duì)應(yīng)����。具體的,增強(qiáng)型MSC設(shè)備300包括接收裝置301�����,存儲(chǔ)裝置302����,消息產(chǎn)生裝置303, 網(wǎng)絡(luò)安全上下文推導(dǎo)裝置304��,發(fā)送裝置305�����。接收裝置301��,被配置為用于接收來自拜訪域的移動(dòng)交換設(shè)備的安全相關(guān)的信息 請(qǐng)求消息�����,其中拜訪域?yàn)?G網(wǎng)絡(luò)�;消息產(chǎn)生裝置303,被配置為用于根據(jù)安全相關(guān)的信息請(qǐng)求消息�����,產(chǎn)生認(rèn)證數(shù)據(jù)請(qǐng) 求消息�����,如果增強(qiáng)型MSC是通過MME與HSS相連�,則還應(yīng)在該消息中增加一個(gè)” flag”,以標(biāo) 識(shí)為EPS用戶訪問的是2G網(wǎng)絡(luò)�;發(fā)送裝置305,被配置為用于發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息給移動(dòng)性管理實(shí)體或者歸屬 用戶服務(wù)器���;進(jìn)一步的��,接收裝置301還被配置為用于接收來自移動(dòng)性管理實(shí)體或者歸屬用戶 服務(wù)器的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息�����;存儲(chǔ)裝置302�,被配置為用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置304����,被配置為用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文推導(dǎo)出2G網(wǎng)絡(luò)安全上下文;進(jìn)一步的���,消息產(chǎn)生裝置303還被配置為用于產(chǎn)生2G網(wǎng)絡(luò)安全上下文的安全相關(guān) 信息的應(yīng)答消息�����;進(jìn)一步的�,發(fā)送裝置305還被配置為用于發(fā)送2G的安全上下文的安全相關(guān)信息的 應(yīng)答消息給2G網(wǎng)絡(luò)的移動(dòng)交換設(shè)備。圖3b的強(qiáng)型MSC設(shè)備用于如下的網(wǎng)絡(luò)架構(gòu)強(qiáng)型MSC設(shè)備直接與BSS進(jìn)行通信��, 與HSS直接通信或者通過MME與HSS進(jìn)行通信�����。即與圖2c�,2d中的增強(qiáng)型MSC設(shè)備對(duì)應(yīng)���。具體的���,增強(qiáng)型MSC設(shè)備300包括接收裝置301�,存儲(chǔ)裝置302�,消息產(chǎn)生裝置303, 網(wǎng)絡(luò)安全上下文推導(dǎo)裝置304����,發(fā)送裝置305����。進(jìn)一步的�����,增強(qiáng)型MSC設(shè)備300還包括比較 裝置306。接收裝置301��,被配置為用于接收來自拜訪域的基站子系統(tǒng)的位置更新請(qǐng)求消息, 其中拜訪域?yàn)?G網(wǎng)絡(luò);消息產(chǎn)生裝置303���,被配置為用于根據(jù)位置更新請(qǐng)求消息����,產(chǎn)生認(rèn)證數(shù)據(jù)請(qǐng)求消 息���,所述認(rèn)證數(shù)據(jù)請(qǐng)求消息中包含一個(gè)“標(biāo)示”�����,以標(biāo)識(shí)演進(jìn)分組系統(tǒng)用戶訪問的是2G網(wǎng) 絡(luò)�,如果增強(qiáng)型MSC是通過MME與HSS相連����,則還應(yīng)在該消息中增加一個(gè)” flag”�,以標(biāo)識(shí)為 EPS用戶訪問的是2G網(wǎng)絡(luò);發(fā)送裝置305�,被配置為用于發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息給移動(dòng)性管理實(shí)體或者HSS ;進(jìn)一步的�����,接收裝置301還被配置為用于接收來自移動(dòng)性管理實(shí)體或者HSS的通 用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息;存儲(chǔ)裝置302���,被配置為用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文��;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置304�,被配置為用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò) 安全上下文推導(dǎo)出2G網(wǎng)絡(luò)安全上下文�;進(jìn)一步的�����,存儲(chǔ)裝置302還被配置為用于存儲(chǔ)2G網(wǎng)絡(luò)安全上下文�����;進(jìn)一步的��,消息產(chǎn)生裝置303還被配置為用于產(chǎn)生認(rèn)證請(qǐng)求消息�����;進(jìn)一步的�����,發(fā)送裝置305還被配置為用于發(fā)送認(rèn)證請(qǐng)求消息給拜訪域的基站子系 統(tǒng)�;進(jìn)一步的�����,接收裝置301還被配置為用于接收來自拜訪域的基站子系統(tǒng)的認(rèn)證應(yīng) 答消息�����;比較裝置306,被配置為用于比較RES和XRES是否一致���;如果RES和XRES是一致的��,消息產(chǎn)生裝置303進(jìn)一步還被配置為用于產(chǎn)生位置更 新應(yīng)答消息��;并且,發(fā)送裝置305還進(jìn)一步被配置為用于發(fā)送位置更新應(yīng)答消息給BSS��。圖4給出了根據(jù)本發(fā)明的實(shí)施方式的移動(dòng)性管理實(shí)體設(shè)備結(jié)構(gòu)示意圖��,本發(fā)明的 移動(dòng)性管理實(shí)體設(shè)備在現(xiàn)有設(shè)備的基礎(chǔ)上需作增強(qiáng)����,適用于E-MSC通過MME和HSS進(jìn)行通 信的網(wǎng)絡(luò)架構(gòu)����,和圖3a��,3c的移動(dòng)性管理實(shí)體設(shè)備對(duì)應(yīng)����。如果E-MSC直接通過Gr接口與 HSS進(jìn)行通信���,則現(xiàn)有MME不需要做任何改動(dòng)。MME增強(qiáng)部分主要為A 接 收來自E-MSC的認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication DataRequest",并能識(shí) 別其” flag”字段�;
B =MME發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication Data Request”給HSS,并將其中 的參數(shù)(SN ID, Network Type)設(shè)為空(NULL);C :MME接收來自HSS的EPS網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息 "Authentication Data Response”,從EPS網(wǎng)絡(luò)安全上下文推導(dǎo)出UMTS網(wǎng)絡(luò)安全上下文����, 具體細(xì)節(jié)可參考3GPP標(biāo)準(zhǔn)規(guī)范TS 33. 401。具體的����,移動(dòng)性管理實(shí)體設(shè)備400包括接收裝置401,存儲(chǔ)裝置402���,消息產(chǎn)生裝置 403���,網(wǎng)絡(luò)安全上下文推導(dǎo)裝置404,發(fā)送裝置405��,消息識(shí)別裝置406��,設(shè)置裝置407�����。接收裝置401����,被配置為用于接收來自增強(qiáng)型移動(dòng)交換設(shè)備的認(rèn)證數(shù)據(jù)請(qǐng)求消息�����, 所述認(rèn)證數(shù)據(jù)請(qǐng)求消息中包含一個(gè)“標(biāo)示”����,以標(biāo)識(shí)演進(jìn)分組系統(tǒng)用戶訪問的是2G網(wǎng)絡(luò)�����;消息識(shí)別裝置�����,被配置為用于根據(jù)標(biāo)識(shí)“標(biāo)示”����,識(shí)別出是EPS用戶2G業(yè)務(wù)���;設(shè)置裝置407�,被配置為用于根據(jù)識(shí)別出EPS用戶2G業(yè)務(wù)�����,將認(rèn)證數(shù)據(jù)請(qǐng)求消息的 參數(shù)服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)和網(wǎng)絡(luò)類型設(shè)置為“NULL” ;發(fā)送裝置405�����,被配置為將經(jīng)設(shè)置后的認(rèn)證數(shù)據(jù)請(qǐng)求消息發(fā)送給歸屬用戶服務(wù) 器�����;進(jìn)一步的����,接收裝置401還被配置為用于接收來自歸屬用戶服務(wù)器的通用移動(dòng)通 信系統(tǒng)網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息;存儲(chǔ)裝置402被配置為用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文����;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置404,被配置為用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò) 安全上下文推導(dǎo)出2G網(wǎng)絡(luò)安全上下文��;消息產(chǎn)生裝置403����,被配置為用于產(chǎn)生2G網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息;進(jìn)一步的����,發(fā)送裝置405還被配置為用于將2G網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消 息發(fā)送給增強(qiáng)型移動(dòng)交換設(shè)備�。從上述說明也可知道��,如果E-MSC通過MME與HSS進(jìn)行通信��,則E-MSC和MME之間 的接口 Sv也需作相應(yīng)增強(qiáng)�����,接口定義見3GPPTS 23. 216�����,但只定義了 MME到E-MSC的接口 消息��,本發(fā)明還需要增加一條認(rèn)證數(shù)據(jù)應(yīng)答消息“Authentication Data Response”��,該消 息是原來已有的�����,但不應(yīng)用在該接口上�����;本發(fā)明還需要定義該接口從E-MSC到MME的消息�����, 消息結(jié)構(gòu)是重用原來已有的�����,具體是認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication Data Request”�����。 具體該Sv接口的消息流程可見圖2a����,2c。應(yīng)用于本發(fā)明的UE包括USIM卡和終端(雙模終端�����,既能訪問EPS網(wǎng)絡(luò)也能訪問 2G網(wǎng)絡(luò))必須能支持下述功能A 從EPS網(wǎng)絡(luò)安全上下文推導(dǎo)出UMTS網(wǎng)絡(luò)安全上下文����,具體細(xì)節(jié)可參考3GPP標(biāo) 準(zhǔn)規(guī)范TS 33.401 ;B 從UMTS網(wǎng)絡(luò)安全上下文推導(dǎo)出2G網(wǎng)絡(luò)安全上下文�,具體細(xì)節(jié)可參考3GPP標(biāo)準(zhǔn) 規(guī)范 TS 33. 102�。另外��,根據(jù)本發(fā)明的實(shí)施方式�,參數(shù)AUTN在本發(fā)明中不派用場,在GSM網(wǎng)絡(luò)(2G 網(wǎng)絡(luò))中��,UE不通過檢查AUTN來認(rèn)證網(wǎng)絡(luò)�,但為了和3GPP標(biāo)準(zhǔn)規(guī)范TS 33.102 and TS 33. 401保持一致性,本發(fā)明在相關(guān)消息中保留參數(shù)AUTN0本發(fā)明通過上述網(wǎng)絡(luò)設(shè)備的增強(qiáng)�,重用現(xiàn)有的消息,只對(duì)消息中部分字段做少許 改動(dòng)一個(gè)EPS用戶能在2G網(wǎng)絡(luò)里安全地觸發(fā)撥打語音電話��,并對(duì)現(xiàn)有設(shè)備的影響減至最
21少�����。本發(fā)明可以以硬件�����、軟件��、固件以及它們的組合來實(shí)現(xiàn)����。本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí) 到,也可以在供任何合適數(shù)據(jù)處理系統(tǒng)使用的信號(hào)承載介質(zhì)上所設(shè)置的計(jì)算機(jī)程序產(chǎn)品中 體現(xiàn)本發(fā)明�。這種信號(hào)承載介質(zhì)可以是傳輸介質(zhì)或用于機(jī)器可讀信息的可記錄介質(zhì),包括 磁介質(zhì)��、光介質(zhì)或其他合適介質(zhì)����。可記錄介質(zhì)的示例包括硬盤驅(qū)動(dòng)器中的磁盤或軟盤�����、用 于光驅(qū)的光盤��、磁帶���,以及本領(lǐng)域技術(shù)人員所能想到的其他介質(zhì)�。本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí) 到�����,具有合適編程裝置的任何通信設(shè)備都將能夠執(zhí)行如程序產(chǎn)品中體現(xiàn)的本發(fā)明方法的在 步驟�。從上述描述應(yīng)該理解,在不脫離本發(fā)明精神的情況下,可以對(duì)本發(fā)明各實(shí)施方式 進(jìn)行修改和變更��。本說明書中的描述僅僅是用于說明性的����,而不應(yīng)被認(rèn)為是限制性的。本 發(fā)明的范圍僅受權(quán)利要求書的限制�����。本發(fā)明的實(shí)施方式基于3GPP標(biāo)準(zhǔn)規(guī)范實(shí)現(xiàn)���,因?yàn)?GPP標(biāo)準(zhǔn)在業(yè)界被廣泛應(yīng)用�����,本 發(fā)明中多處涉及3GPP標(biāo)準(zhǔn)規(guī)范及其相關(guān)術(shù)語�、縮略語��,為方便理解����,在此給出縮略語并簡 單解釋��。2G網(wǎng)絡(luò)=GSM網(wǎng)絡(luò)EPS =Evolved Packet System,演進(jìn)分組系統(tǒng)�,即為 LTE+EPCSIM =Subscriber Identity Module,用戶身份模塊3GPP =The 3rd Generation Partnership Project��,第三代伙伴計(jì)劃TS =Technical Specification���,技術(shù)規(guī)范LTE Long Term Evolution�,長期演進(jìn)TR =Technical R印ort����,技術(shù) 艮告CS =Circuit Switched,電路交換USIM =Universal Subscriber Identity Module,通用用戶身份模塊SAE :System Architecture Evolution, MM^^'MMSRVCC =Single Radio Voice Call Continuity�����,雙模單待話音呼叫連續(xù)�����,確保其語 音呼叫的連續(xù)性UE :User Equipment�,用戶設(shè)備UMTS Universal Mobile Telecommunications System,^^MSC :Mobile Switching Centre,移動(dòng)交換中心E-MSC =Enhanced Mobile Switching Centre,增強(qiáng)型移動(dòng)交換中心MME =Mobility Management Entity����,移動(dòng)性管理實(shí)體HSS Home Subscriber Server,歸屬用戶服務(wù)器BSS :Base Station Subsystem,基站子系統(tǒng)IMSI Jnternational Mobile Subscriberldentity, HI^^^M^feiKSN ID =Serving Network IDentity���,服務(wù)網(wǎng)絡(luò)標(biāo)識(shí)IK :Integrity key�����,完整性密鑰CK :Cipher Key����,加密密鑰RAND :RANDom number��,隨機(jī)數(shù)AUTN Authentication token, iAiffl
AV Authentication Vector,認(rèn)證向量KSI =Key Set Identifier 密鑰集標(biāo)識(shí)CKSN =Ciphering Key Sequence Number����,加密密鑰序列號(hào)XRES =Expected Response 期望的響應(yīng)值RES =Response 響應(yīng)值。
權(quán)利要求
一種增強(qiáng)型移動(dòng)交換設(shè)備����,包括接收裝置,用于接收來自拜訪域的移動(dòng)交換設(shè)備的安全相關(guān)的信息請(qǐng)求消息����,其中拜訪域?yàn)?G網(wǎng)絡(luò);消息產(chǎn)生裝置����,用于根據(jù)安全相關(guān)的信息請(qǐng)求消息,產(chǎn)生認(rèn)證數(shù)據(jù)請(qǐng)求消息��,所述認(rèn)證數(shù)據(jù)請(qǐng)求消息中包含一個(gè)“標(biāo)識(shí)”����,以標(biāo)識(shí)演進(jìn)分組系統(tǒng)用戶訪問的是2G網(wǎng)絡(luò);發(fā)送裝置��,用于發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息給移動(dòng)性管理實(shí)體�����;進(jìn)一步的�,接收裝置還用于接收來自移動(dòng)性管理實(shí)體的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息;存儲(chǔ)裝置��,用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文��;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置�����,用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文推導(dǎo)出2G網(wǎng)絡(luò)安全上下文��;進(jìn)一步的,消息產(chǎn)生裝置還用于產(chǎn)生2G網(wǎng)絡(luò)安全上下文的安全相關(guān)信息的應(yīng)答消息����;進(jìn)一步的,發(fā)送裝置還用于發(fā)送2G的安全上下文的安全相關(guān)信息的應(yīng)答消息給2G網(wǎng)絡(luò)的移動(dòng)交換設(shè)備���。
2.一種增強(qiáng)型移動(dòng)交換設(shè)備�����,包括接收裝置���,用于接收來自拜訪域的移動(dòng)交換設(shè)備的安全相關(guān)的信息請(qǐng)求消息,其中拜 訪域?yàn)?G網(wǎng)絡(luò)����;消息產(chǎn)生裝置,用于根據(jù)安全相關(guān)的信息請(qǐng)求消息��,產(chǎn)生認(rèn)證數(shù)據(jù)請(qǐng)求消息��; 發(fā)送裝置���,用于發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息給歸屬用戶服務(wù)器����;進(jìn)一步的,接收裝置還用于接收來自歸屬用戶服務(wù)器的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上 下文的認(rèn)證數(shù)據(jù)應(yīng)答消息�;存儲(chǔ)裝置,用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文�;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置�����,用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文推導(dǎo)出 2G網(wǎng)絡(luò)安全上下文��;進(jìn)一步的���,消息產(chǎn)生裝置還用于產(chǎn)生2G網(wǎng)絡(luò)安全上下文的安全相關(guān)信息的應(yīng)答消息����; 進(jìn)一步的��,發(fā)送裝置還用于發(fā)送2G的安全上下文的安全相關(guān)信息的應(yīng)答消息給2G網(wǎng) 絡(luò)的移動(dòng)交換設(shè)備���。
3.一種增強(qiáng)型移動(dòng)交換設(shè)備��,包括接收裝置����,用于接收來自拜訪域的基站子系統(tǒng)的位置更新請(qǐng)求消息,其中拜訪域?yàn)?G 網(wǎng)絡(luò)��;消息產(chǎn)生裝置��,用于根據(jù)位置更新請(qǐng)求消息�,產(chǎn)生認(rèn)證數(shù)據(jù)請(qǐng)求消息,所述認(rèn)證數(shù)據(jù)請(qǐng) 求消息中包含一個(gè)“標(biāo)識(shí)”����,以標(biāo)識(shí)演進(jìn)分組系統(tǒng)用戶訪問的是2G網(wǎng)絡(luò); 發(fā)送裝置�,用于發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息給移動(dòng)性管理實(shí)體;進(jìn)一步的����,接收裝置還用于接收來自移動(dòng)性管理實(shí)體的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上 下文的認(rèn)證數(shù)據(jù)應(yīng)答消息;存儲(chǔ)裝置���,用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文�����;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置��,用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文推導(dǎo)出 2G網(wǎng)絡(luò)安全上下文���;進(jìn)一步的���,存儲(chǔ)裝置還用于存儲(chǔ)2G網(wǎng)絡(luò)安全上下文;進(jìn)一步的�����,消息產(chǎn)生裝置還用于產(chǎn)生認(rèn)證請(qǐng)求消息���; 進(jìn)一步的,發(fā)送裝置還用于發(fā)送認(rèn)證請(qǐng)求消息給拜訪域的基站子系統(tǒng)��; 進(jìn)一步的�,接收裝置還用于接收來自拜訪域的基站子系統(tǒng)的認(rèn)證應(yīng)答消息; 比較裝置����,用于比較RES和XRES是否一致;如果RES和XRES是一致的��,消息產(chǎn)生裝置進(jìn)一步還用于產(chǎn)生位置更新應(yīng)答消息���; 并且���,發(fā)送裝置還進(jìn)一步用于發(fā)送位置更新應(yīng)答消息���。
4.一種增強(qiáng)型移動(dòng)交換設(shè)備,包括接收裝置��,用于接收來自拜訪域的基站子系統(tǒng)的位置更新請(qǐng)求消息���,其中拜訪域?yàn)?G 網(wǎng)絡(luò)�����;消息產(chǎn)生裝置��,用于根據(jù)位置更新請(qǐng)求消息��,產(chǎn)生認(rèn)證數(shù)據(jù)請(qǐng)求消息���; 發(fā)送裝置,用于發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息給歸屬用戶服務(wù)器���;進(jìn)一步的�����,接收裝置還用于接收來自歸屬用戶服務(wù)器的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上 下文的認(rèn)證數(shù)據(jù)應(yīng)答消息���;存儲(chǔ)裝置�,用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文��;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置��,用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文推導(dǎo)出 2G網(wǎng)絡(luò)安全上下文��;進(jìn)一步的���,存儲(chǔ)裝置還用于存儲(chǔ)2G網(wǎng)絡(luò)安全上下文;進(jìn)一步的�,消息產(chǎn)生裝置還用于產(chǎn)生認(rèn)證請(qǐng)求消息;進(jìn)一步的��,發(fā)送裝置還用于發(fā)送認(rèn)證請(qǐng)求消息給拜訪域的基站子系統(tǒng)���;進(jìn)一步的��,接收裝置還用于接收來自拜訪域的基站子系統(tǒng)的認(rèn)證應(yīng)答消息���;比較裝置�����,用于比較RES和XRES是否一致���;如果RES和XRES是一致的,消息產(chǎn)生裝置進(jìn)一步還用于產(chǎn)生位置更新應(yīng)答消息���; 并且�����,發(fā)送裝置還進(jìn)一步用于發(fā)送位置更新應(yīng)答消息���。
5.一種移動(dòng)性管理實(shí)體設(shè)備,包括接收裝置�,用于接收來自增強(qiáng)型移動(dòng)交換設(shè)備的認(rèn)證數(shù)據(jù)請(qǐng)求消息,所述認(rèn)證數(shù)據(jù)請(qǐng) 求消息中包含一個(gè)“標(biāo)識(shí)”��,以標(biāo)識(shí)演進(jìn)分組系統(tǒng)用戶訪問的是2G網(wǎng)絡(luò)��; 消息識(shí)別裝置,用于根據(jù)標(biāo)識(shí)“標(biāo)識(shí)”�����,識(shí)別出是EPS用戶2G業(yè)務(wù)�; 設(shè)置裝置,用于根據(jù)識(shí)別出EPS用戶2G業(yè)務(wù)�,將認(rèn)證數(shù)據(jù)請(qǐng)求消息的參數(shù)服務(wù)網(wǎng)絡(luò)標(biāo) 識(shí)和網(wǎng)絡(luò)類型設(shè)置為“NULL” ;發(fā)送裝置���,用于將經(jīng)設(shè)置后的認(rèn)證數(shù)據(jù)請(qǐng)求消息發(fā)送給歸屬用戶服務(wù)器�����; 進(jìn)一步的����,接收裝置還用于接收來自歸屬用戶服務(wù)器的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上 下文的認(rèn)證數(shù)據(jù)應(yīng)答消息�;存儲(chǔ)裝置���,用于存儲(chǔ)通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文��;網(wǎng)絡(luò)安全上下文推導(dǎo)裝置�,用于從接收到的通用移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)安全上下文推導(dǎo)出 2G網(wǎng)絡(luò)安全上下文;消息產(chǎn)生裝置�����,用于產(chǎn)生2G網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息��; 進(jìn)一步的����,發(fā)送裝置還用于將2G網(wǎng)絡(luò)安全上下文的認(rèn)證數(shù)據(jù)應(yīng)答消息發(fā)送給增強(qiáng)型 移動(dòng)交換設(shè)備。
6.一種無線網(wǎng)絡(luò)安全解決方法����,包括步驟一用戶設(shè)備發(fā)送位置更新請(qǐng)求消息“Location UpdateRequest(IMSI) ”給基站子 系統(tǒng);步驟二 基站子系統(tǒng)轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest(IMSI) ”給移動(dòng) 交換設(shè)備����;步驟三移動(dòng)交換設(shè)備識(shí)別出是漫游用戶并發(fā)送安全相關(guān)信息的請(qǐng)求消息“Security related information Request (IMSI) ” 給增強(qiáng)型移動(dòng)交換設(shè)備;步驟四增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication Data Request (IMSI) ”給移動(dòng)性管理實(shí)體�,同時(shí)標(biāo)識(shí)” flag”該用戶是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù);步驟五移動(dòng)性管理實(shí)體通過標(biāo)識(shí)”flag”識(shí)別出是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù)�����,于是轉(zhuǎn)發(fā)認(rèn) 證數(shù)據(jù)請(qǐng)求消息 “Authentication Data Request (IMSI, SN ID, Network Type)”給歸屬用 戶服務(wù)器��,同時(shí)將參數(shù)“SNID”和“Network Type”設(shè)為NULL ;步驟六歸屬用戶服務(wù)器根據(jù)3GPP TS33. 401和3GPP TS33. 102產(chǎn)生EPS AVs (RAND, AUTN, Kasme��,XRES)并發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息"Authentication Data Response (EPS AVs) ” 給移動(dòng)性管理實(shí)體���;步驟七移動(dòng)性管理實(shí)體存儲(chǔ)EPS AVs (RAND, AUTN, Kasme, XRES)消息并根據(jù)3GPP TS 33. 401 從 KASME 導(dǎo)出 CK 和 IK ����;步驟八移動(dòng)性管理實(shí)體發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息“AuthenticationData Response (RAND, AUTN, CK, IK, XRES)��,��,給增強(qiáng)型移動(dòng)交換設(shè)備��;步驟九增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND�����,AUTN�����,CK, IK, XRES)并根據(jù)3GPP TS 33. 102 從CK和IK導(dǎo)出Kc����,并將KSI賦給CKSN ;步驟十增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送安全相關(guān)信息的應(yīng)答消息“Security Related Information Response (RAND, Kc, XRES) ” 給移動(dòng)交換設(shè)備�; 步驟i^一 移動(dòng)交換設(shè)備存儲(chǔ)(RAND,Kc, XRES)���;步驟十二 移動(dòng)交換設(shè)備發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequestO^AND�,Kc) ”給 基站子系統(tǒng)�;步驟十三基站子系統(tǒng)存儲(chǔ)Kc ;步驟十四基站子系統(tǒng)發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND)�����,�����,給用戶設(shè)備·步驟十五用戶設(shè)備根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法產(chǎn)生 Kasme和RES���,并根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS33. 401從Kasme導(dǎo)出CK和IK�,然后又根據(jù)3GPP標(biāo)準(zhǔn)規(guī) 范TS33. 102從CK和IK導(dǎo)出Kc�����,并將KSI賦給CKSN �;步驟十六用戶設(shè)備發(fā)送認(rèn)證應(yīng)答消息“Authentication Response (RES) ”給基站子系統(tǒng)���;步驟十七基站子系統(tǒng)發(fā)送認(rèn)證應(yīng)答消息“AuthenticationResponse (RES),�,給移動(dòng)交 換設(shè)備;步驟十八移動(dòng)交換設(shè)備檢查來自用戶設(shè)備的響應(yīng)值RES是否與原來存儲(chǔ)的期望的響 應(yīng)值XRES —致���,如果一致則認(rèn)證成功�;步驟十九移動(dòng)交換設(shè)備發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K)�,, 給基站子系統(tǒng)�;步驟二十基站子系統(tǒng)發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K) ”給 用戶設(shè)備。
7.一種無線網(wǎng)絡(luò)安全解決方法���,包括步驟一用戶設(shè)備發(fā)送位置更新請(qǐng)求消息“Location UpdateRequest(IMSI) ”給基站子 系統(tǒng)�;步驟二 基站子系統(tǒng)轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest(IMSI) ”給移動(dòng) 交換設(shè)備�����;步驟三移動(dòng)交換設(shè)備識(shí)別出是漫游用戶并發(fā)送安全相關(guān)信息的請(qǐng)求消息“Security related information Request (IMSI) ” 給增強(qiáng)型移動(dòng)交換設(shè)備���;步驟四增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication Data Request (IMSI) ”給歸屬用戶服務(wù)器��;步驟五歸屬用戶服務(wù)器根據(jù)3GPP TS33. 401和3GPP TS33. 102產(chǎn)生(RAND, AUTN, CK, IK, XRES)����,然后發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息 “Authentication Data Response (RAND, AUTN, CK, IK, XRES) ”給增強(qiáng)型移動(dòng)交換設(shè)備�����;步驟六增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND����,AUTN, CK, IK, XRES)并根據(jù)3GPP TS 33. 102 從CK和IK導(dǎo)出Kc,并將KSI賦給CKSN ����;步驟七增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送安全相關(guān)信息的應(yīng)答消息“Security Related Information Response (RAND, Kc, XRES) ”給移動(dòng)交換設(shè)備; 步驟八移動(dòng)交換設(shè)備存儲(chǔ)(RAND����,Kc, XRES);步驟九移動(dòng)交換設(shè)備發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequestO^AND����,Kc) ”給基 站子系統(tǒng);步驟十基站子系統(tǒng)存儲(chǔ)Kc ��;步驟i^一 基站子系統(tǒng)發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND)����,�����,給用戶設(shè)備·步驟十二 用戶設(shè)備根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法產(chǎn)生 CK和IK�����,然后又根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS33. 102從CK和IK導(dǎo)出Kc����,并將KSI賦給CKSN �����; 步驟十三用戶設(shè)備發(fā)送認(rèn)證應(yīng)答消息“Authentication Response (RES) ”給基站子系統(tǒng)���;步驟十四基站子系統(tǒng)發(fā)送認(rèn)證應(yīng)答消息“AuthenticationResponse (RES)����,����,給移動(dòng)交 換設(shè)備���;步驟十五移動(dòng)交換設(shè)備檢查來自用戶設(shè)備的響應(yīng)值RES是否與原來存儲(chǔ)的期望的響 應(yīng)值XRES —致,如果一致則認(rèn)證成功�;步驟十六移動(dòng)交換設(shè)備發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K),�, 給基站子系統(tǒng)���;步驟十七基站子系統(tǒng)發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K)��,����,給 用戶設(shè)備����。
8.一種無線網(wǎng)絡(luò)安全解決方法,包括步驟一用戶設(shè)備發(fā)送位置更新請(qǐng)求消息“Location UpdateRequest(IMSI) ”給基站子 系統(tǒng)��;步驟二 基站子系統(tǒng)轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest(IMSI) ”給增強(qiáng) 型移動(dòng)交換設(shè)備�����;步驟三增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication Data Request (IMSI) ”給移動(dòng)性管理實(shí)體,同時(shí)標(biāo)識(shí)” flag”該用戶是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù)��;步驟四移動(dòng)性管理實(shí)體通過標(biāo)識(shí)”flag”識(shí)別出是EPS用戶2G網(wǎng)絡(luò)業(yè)務(wù)����,于是轉(zhuǎn)發(fā)認(rèn) 證數(shù)據(jù)請(qǐng)求消息 “Authentication Data Request (IMSI, SN ID, Network Type)”給歸屬用 戶服務(wù)器,同時(shí)將參數(shù)“SNID”和“Network Type”設(shè)為NULL �;步驟五歸屬用戶服務(wù)器根據(jù)3GPP TS33. 401和3GPP TS33. 102產(chǎn)生EPS AVs (RAND, AUTN, Kasme, XRES)并發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息 “Authentication Data Response (EPS AVs) ” 給移動(dòng)性管理實(shí)體;步驟六移動(dòng)性管理實(shí)體存儲(chǔ)EPS AVs (RAND, AUTN, Kasme, XRES)消息并根據(jù)3GPP TS 33. 401 從 KASME 導(dǎo)出 CK 和 IK ��;步驟七移動(dòng)性管理實(shí)體發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息“AuthenticationData Response (RAND, AUTN, CK, IK, XRES)��,�����,給增強(qiáng)型移動(dòng)交換設(shè)備��;步驟八增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND���,AUTN��,CK, IK, XRES)并根據(jù)3GPP TS 33. 102 從CK和IK導(dǎo)出Kc���,并將KSI賦給CKSN ����;步驟九增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND����,Kc,XRES)��;步驟十增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND, Kc)”給基站子系統(tǒng)��;步驟i^一 基站子系統(tǒng)發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND)���,,給用戶設(shè)備·步驟十二 用戶設(shè)備根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法產(chǎn)生 Kasme和RES�����,并根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS33. 401從Kasme導(dǎo)出CK和IK�����,然后又根據(jù)3GPP標(biāo)準(zhǔn)規(guī) 范TS33. 102從CK和IK導(dǎo)出Kc����,并將KSI賦給CKSN ��;步驟十三用戶設(shè)備發(fā)送認(rèn)證應(yīng)答消息“Authentication Response (RES) ”給基站子系統(tǒng)�����;步驟十四基站子系統(tǒng)發(fā)送認(rèn)證應(yīng)答消息“AuthenticationResponse (RES)����,����,給增強(qiáng)型 移動(dòng)交換設(shè)備;步驟十五增強(qiáng)型移動(dòng)交換設(shè)備檢查來自用戶設(shè)備的響應(yīng)值RES是否與原來存儲(chǔ)的期 望的響應(yīng)值XRES —致��,如果一致則認(rèn)證成功�;步驟十六增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送位置更新應(yīng)答消息“Location Update Response (2000K) ”給基站子系統(tǒng);步驟十七基站子系統(tǒng)發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K)��,�,給 用戶設(shè)備。
9. 一種無線網(wǎng)絡(luò)安全解決方法��,包括步驟一用戶設(shè)備發(fā)送位置更新請(qǐng)求消息“Location UpdateRequest(IMSI) ”給基站子 系統(tǒng)����;步驟二 基站子系統(tǒng)轉(zhuǎn)發(fā)位置更新請(qǐng)求消息“Location UpdateRequest(IMSI) ”給增強(qiáng) 型移動(dòng)交換設(shè)備���;步驟三增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求消息“Authentication Data Request (IMSI) ”給歸屬用戶服務(wù)器;步驟四歸屬用戶服務(wù)器根據(jù)3GPP TS33. 401和3GPP TS33. 102產(chǎn)生(RAND���,AUTN�����,CK�����, IK, XRES)�����,然后發(fā)送認(rèn)證數(shù)據(jù)應(yīng)答消息 “Authentication Data Response (RAND, AUTN, CK, IK, XRES),�,給增強(qiáng)型移動(dòng)交換設(shè)備;步驟五增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND����,AUTN, CK, IK, XRES)并根據(jù)3GPP TS 33. 102 從CK和IK導(dǎo)出Kc,并將KSI賦給CKSN �;步驟六增強(qiáng)型移動(dòng)交換設(shè)備存儲(chǔ)(RAND���,Kc, XRES);步驟七增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送認(rèn)證請(qǐng)求消息“AuthenticationRequest (RAND, Kc) ”給基站子系統(tǒng)�;步驟八基站子系統(tǒng)發(fā)送認(rèn)證請(qǐng)求消息“Authentication Request (RAND) ”給用戶設(shè)備·步驟九用戶設(shè)備根據(jù)接收到的RAND以與網(wǎng)絡(luò)側(cè)歸屬用戶服務(wù)器相同的方法產(chǎn)生CK 和IK,然后又根據(jù)3GPP標(biāo)準(zhǔn)規(guī)范TS 33. 102從CK和IK導(dǎo)出Kc�,并將KSI賦給CKSN ; 步驟十用戶設(shè)備發(fā)送認(rèn)證應(yīng)答消息“Authentication Response (RES)��,����,給基站子系統(tǒng);步驟i^一 基站子系統(tǒng)發(fā)送認(rèn)證應(yīng)答消息“AuthenticationResponse (RES)�,,給增強(qiáng)型 移動(dòng)交換設(shè)備�;步驟十二 增強(qiáng)型移動(dòng)交換設(shè)備檢查來自用戶設(shè)備的響應(yīng)值RES是否與原來存儲(chǔ)的期 望的響應(yīng)值XRES —致,如果一致則認(rèn)證成功�����;步驟十三增強(qiáng)型移動(dòng)交換設(shè)備發(fā)送位置更新應(yīng)答消息“Location Update Response (2000K) ”給基站子系統(tǒng)��;步驟十四基站子系統(tǒng)發(fā)送位置更新應(yīng)答消息“LocationUpdate Response (2000K)�,,給 用戶設(shè)備���。
全文摘要
本發(fā)明的實(shí)施方式提供了無線網(wǎng)絡(luò)安全解決方法和設(shè)備���。本發(fā)明從歸屬域EPS網(wǎng)絡(luò)的安全上下文推導(dǎo)出拜訪域2G網(wǎng)絡(luò)的安全上下文�,然后使用推導(dǎo)出的2G網(wǎng)絡(luò)安全上下文在2G網(wǎng)絡(luò)里進(jìn)行認(rèn)證和加密��。在從歸屬域EPS網(wǎng)絡(luò)的安全上下文推導(dǎo)出拜訪域2G網(wǎng)絡(luò)的安全上下文并用于2G網(wǎng)絡(luò)的接入認(rèn)證時(shí)�����,重用了EPS網(wǎng)絡(luò)和2G網(wǎng)絡(luò)的一些消息�����,并且對(duì)一些參數(shù)做改動(dòng)����。使得本發(fā)明能實(shí)現(xiàn)讓一個(gè)EPS用戶能在2G網(wǎng)絡(luò)里安全地觸發(fā)語音呼叫,并對(duì)現(xiàn)有設(shè)備的影響減至最少���。
文檔編號(hào)H04W88/08GK101909368SQ20091005265
公開日2010年12月8日 申請(qǐng)日期2009年6月8日 優(yōu)先權(quán)日2009年6月8日
發(fā)明者萬永根, 胡志遠(yuǎn), 雷正雄, 駱志剛 申請(qǐng)人:上海貝爾股份有限公司