專利名稱:一種保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動(dòng)通信技術(shù)領(lǐng)域,更具體地,涉及一種保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的 方法。
背景技術(shù):
在移動(dòng)通信網(wǎng)絡(luò)技術(shù)中,通常需對(duì)在移動(dòng)用戶與網(wǎng)絡(luò)設(shè)備之間傳輸?shù)男帕钸M(jìn)行完 整性保護(hù)。信令完整性保護(hù)即在用戶側(cè)對(duì)所傳輸?shù)男帕钸M(jìn)行計(jì)算得到消息摘要,服務(wù)器接 收到信令后,用相應(yīng)的方法對(duì)信令進(jìn)行計(jì)算得到驗(yàn)證的消息摘要,如果二者相同,就說明信 令消息是完整的。而用戶所在的用戶面數(shù)據(jù)量很大,對(duì)于移動(dòng)用戶與網(wǎng)絡(luò)設(shè)備之間傳輸大 容量的數(shù)據(jù)并不能用類似于保護(hù)信令的方法進(jìn)行保護(hù)。移動(dòng)用戶與網(wǎng)絡(luò)設(shè)備之間傳輸數(shù)據(jù) 很容易被第三方篡改。因此需要對(duì)用戶面數(shù)據(jù)進(jìn)行完整性的保護(hù)。完整性保護(hù)是指保證數(shù) 據(jù)在傳輸過程中沒有被第三方篡改。在實(shí)際應(yīng)用過程中,如果對(duì)所有用戶和網(wǎng)絡(luò)設(shè)備間傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行完整性 保護(hù),對(duì)網(wǎng)絡(luò)帶寬資源和網(wǎng)絡(luò)設(shè)備的消耗很大,且部分用戶是不需要完整性保護(hù)的。對(duì)于安 全性要求比較高的用戶,例如移動(dòng)支付業(yè)務(wù),完整性保護(hù)是很有價(jià)值的。因此有必要針對(duì)不 同的用戶進(jìn)行用戶數(shù)據(jù)完整性保護(hù),以保證用戶面數(shù)據(jù)的正確性和安全性。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提出一種移動(dòng)用戶保護(hù)數(shù)據(jù)完整性的方法,保證移動(dòng)用戶的用戶面 數(shù)據(jù)的正確性和安全性。本發(fā)明實(shí)施例的技術(shù)方案如下一種保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法,該方法包括用戶UE向移動(dòng)管理實(shí)體MME發(fā)送包含有用于反映UE安全能力的用戶面完整性算 法列表的接入請(qǐng)求,該列表中包含用于用戶面完整性保護(hù)的一個(gè)以上的算法和無需進(jìn)行用 戶面完整性保護(hù)的算法;MME根據(jù)接入請(qǐng)求向歸屬用戶服務(wù)器HSS請(qǐng)求UE的簽約信息;MME根據(jù)HSS返回的簽約信息判斷是否需要用戶面完整性保護(hù),并將判斷結(jié)果通 過對(duì)所述用戶面完整性算法列表中算法的設(shè)置發(fā)送至基站節(jié)點(diǎn)eNB ;eNB根據(jù)所述設(shè)置選擇算法,并將所述算法的標(biāo)識(shí)發(fā)送至UE ;UE根據(jù)所述算法對(duì)用戶面數(shù)據(jù)進(jìn)行計(jì)算得到摘要信息,將包含所述摘要信息和所 述用戶面數(shù)據(jù)的用戶面完整性保護(hù)數(shù)據(jù)發(fā)送至eNB。所述UE向MME發(fā)送接入請(qǐng)求后,MME根據(jù)接入請(qǐng)求向HSS請(qǐng)求UE的簽約信息之 前進(jìn)一步包括,UE通過MME與HSS相互鑒權(quán)。所述MME根據(jù)接入請(qǐng)求向歸屬用戶服務(wù)器HSS請(qǐng)求UE的簽約信息進(jìn)一步包括,在 UE位置更新后,MME向HSS更新UE的位置。所述MME根據(jù)HSS返回的簽約信息判斷需要用戶面完整性保護(hù),eNB選擇EIAl或EIA2作為用戶面完整性保護(hù)算法。所述EIAl是高級(jí)加密標(biāo)準(zhǔn)AES算法,所述EIA2是Snow 3G算法。所述MME根據(jù)HSS返回的簽約信息判斷不需要用戶面完整性保護(hù),eNB選擇EIAO算法。所述UE根據(jù)所述算法對(duì)用戶面數(shù)據(jù)進(jìn)行計(jì)算得到用戶面完整性保護(hù)數(shù)據(jù),并將 用戶面完整性保護(hù)數(shù)據(jù)發(fā)送至eNB后進(jìn)一步包括,UE向eNB發(fā)送響應(yīng)消息,eNB啟動(dòng)用戶面 完整性保護(hù)。所述eNB啟動(dòng)用戶面完整性保護(hù)包括,eNB接收到用戶發(fā)送的所述用戶面完整性 保護(hù)數(shù)據(jù),利用所述算法由所述用戶面完整性保護(hù)數(shù)據(jù)得到驗(yàn)證的摘要信息,如果所述驗(yàn) 證的摘要信息與所述用戶面完整性保護(hù)數(shù)據(jù)中的摘要信息相同,則所述用戶面完整性保護(hù) 數(shù)據(jù)中的用戶面數(shù)據(jù)沒有被篡改;否則,丟棄所述用戶面數(shù)據(jù)。所述判斷包括,將所述簽約信息與UE的當(dāng)前業(yè)務(wù)進(jìn)行比較從上述技術(shù)方案中可以看出,在本發(fā)明實(shí)施例中,MME根據(jù)接入請(qǐng)求向HSS請(qǐng)求UE 的簽約信息,MME根據(jù)HSS返回的簽約信息判斷是否需要用戶面完整性保護(hù),并將判斷結(jié)果 發(fā)送至eNB ;MME對(duì)于不同的用戶,針對(duì)不同的情況,由存儲(chǔ)在HSS中的信息確定是否為用戶 提供用戶面完整性保護(hù),使系統(tǒng)資源得到合理利用。eNB由判斷結(jié)果選擇算法,并將所述算 法的標(biāo)識(shí)發(fā)送至UE, UE根據(jù)所述算法對(duì)用戶面數(shù)據(jù)進(jìn)行計(jì)算得到摘要信息,并將包含所述 摘要信息和所述用戶面數(shù)據(jù)的用戶面完整性保護(hù)數(shù)據(jù)發(fā)送至eNB。在eNB中利用用戶面完 整性保護(hù)數(shù)據(jù)計(jì)算得到驗(yàn)證的摘要信息,比較這兩個(gè)摘要信息是否相同,避免了在傳輸過 程中第三方對(duì)用戶面數(shù)據(jù)的篡改,從而確保了用戶面數(shù)據(jù)的正確性和安全性。
圖1為本發(fā)明實(shí)施例保護(hù)移動(dòng)用戶數(shù)據(jù)完整性方法的流程示意圖。
具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)表達(dá)得更加清楚明白,下面結(jié)合附圖及具體 實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說明。在本發(fā)明實(shí)施例中,歸屬用戶服務(wù)器(HSS)保存是否需要用戶面數(shù)據(jù)的完整性保 護(hù)的簽約信息,用戶(UE)向移動(dòng)管理實(shí)體(MME)發(fā)送接入請(qǐng)求消息,MME向HSS發(fā)送請(qǐng)求 簽約消息,HSS通過MME和基站節(jié)點(diǎn)(eNB)將簽約信息對(duì)應(yīng)的用戶面完整性保護(hù)算法的標(biāo) 識(shí)發(fā)送至UE, UE可以根據(jù)用戶面完整性保護(hù)算法對(duì)要傳輸?shù)挠脩裘鏀?shù)據(jù)進(jìn)行計(jì)算得到相 應(yīng)的摘要信息,將包含用戶面數(shù)據(jù)和摘要信息的用戶面完整性保護(hù)數(shù)據(jù)發(fā)送至eNB ;eNB利 用所選擇的用戶面完整性保護(hù)算法由用戶面完整性保護(hù)數(shù)據(jù)得到驗(yàn)證的摘要信息,當(dāng)摘要 信息與驗(yàn)證的摘要信息相同,則該用戶面數(shù)據(jù)沒有被篡改,從而確保了用戶面數(shù)據(jù)的正確 性和安全性。參見圖1是本發(fā)明實(shí)施例保護(hù)移動(dòng)用戶數(shù)據(jù)完整性方法的流程示意圖,具體包括 以下步驟步驟101、UE向MME發(fā)送接入請(qǐng)求,即初始層3消息。在該消息中UE向MME報(bào)告 UE的能力,即用戶面完整性算法列表。
步驟102、UE通過MME與HSS相互鑒權(quán)。以判斷UE是否屬于HSS的服務(wù)范圍之 內(nèi)。鑒權(quán)過程是現(xiàn)有技術(shù),在此就不再贅述。步驟103、MME根據(jù)接入請(qǐng)求向歸屬用戶服務(wù)器HSS請(qǐng)求UE的簽約信息,在UE位 置更新時(shí),向HSS更新UE的位置,更新位置是現(xiàn)有技術(shù),此處不再重復(fù)介紹。步驟104、HSS向MME發(fā)送包括用戶的簽約信息的指示信息,在指示信息中用一個(gè) 比特的信元標(biāo)識(shí)用戶的簽約信息。用戶在運(yùn)營(yíng)商處進(jìn)行簽約時(shí),告知運(yùn)營(yíng)商哪些業(yè)務(wù)需要完整性保護(hù),運(yùn)營(yíng)商就會(huì) 將用戶的簽約信息保存在HSS中。因此,HSS就可以向MME發(fā)送用戶的簽約信息。步驟105、MME根據(jù)收到的指示信息,判斷出用戶的當(dāng)前業(yè)務(wù)是否需要用戶面完整 性保護(hù)。如果MME判斷用戶的當(dāng)前業(yè)務(wù)不需要進(jìn)行用戶面完整性保護(hù),則MME將UE安全能 力中的用戶面完整性算法列表設(shè)置為僅包含EIAO ;如果MME判斷用戶需要進(jìn)行用戶面完整 性保護(hù),則MME將UE安全能力中的用戶面完整性算法列表設(shè)置為包含EIAl或EIA2。步驟106、MME向eNB發(fā)送包含UE安全能力的用戶面完整性算法列表的eRANAP消 息,即將用戶的當(dāng)前業(yè)務(wù)是否需要用戶面完整性保護(hù)的信息告知eNB。步驟107、eNB根據(jù)收到的eRANAP消息進(jìn)行算法的選擇。如果用戶的當(dāng)前業(yè)務(wù)不需要進(jìn)行用戶面完整性保護(hù),eNB將EIAO作為用戶面完整 性保護(hù)算法。EIAO即不需要用相關(guān)算法。如果用戶的當(dāng)前業(yè)務(wù)需要進(jìn)行用戶面完整性保護(hù),eNB選擇EIAl或EIA2作為用 戶面完整性保護(hù)算法。其中,EIAl是指現(xiàn)有技術(shù)當(dāng)中的高級(jí)加密標(biāo)準(zhǔn)(AEQ算法,EIA2是 指現(xiàn)有技術(shù)當(dāng)中的Snow 3G算法。具體如何從EIA1、EIA2中選擇,是根據(jù)運(yùn)營(yíng)商以及國(guó)家 規(guī)定確定,本文就不再贅述。步驟108、eNB向UE發(fā)送接入層安全模式命令,其中包含步驟107中所選擇的用戶 面完整性保護(hù)算法的標(biāo)識(shí),用戶啟動(dòng)用戶面完整性保護(hù)。用戶利用所選擇的用戶面完整性保護(hù)算法的標(biāo)識(shí),從自身存儲(chǔ)的用戶面完整性保 護(hù)算法中獲取該標(biāo)識(shí)對(duì)應(yīng)的用戶面完整性保護(hù)算法。并利用該用戶面完整性保護(hù)算法對(duì)用 戶面數(shù)據(jù)進(jìn)行計(jì)算得到相應(yīng)的摘要信息,將包含用戶面數(shù)據(jù)和摘要信息的用戶面完整性保 護(hù)數(shù)據(jù)發(fā)送至eNB。步驟109、UE向eNB回復(fù)接入層安全模式命令完成消息,從而在eNB側(cè)啟動(dòng)用戶面 完整性保護(hù)。eNB接收到用戶發(fā)送的包含用戶面數(shù)據(jù)和摘要信息的用戶面完整性保護(hù)數(shù)據(jù),利 用所選擇的自身存儲(chǔ)的用戶面完整性保護(hù)算法對(duì)用戶面完整性保護(hù)數(shù)據(jù)計(jì)算得到驗(yàn)證的 摘要信息,如果摘要信息與驗(yàn)證的摘要信息二者相同,則該用戶面數(shù)據(jù)沒有被篡改,從而確 保了用戶面數(shù)據(jù)的正確性和安全性。如何驗(yàn)證摘要信息與驗(yàn)證的摘要信息相同是現(xiàn)有技 術(shù),本文不再贅述。以上所述,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。凡在 本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù) 范圍之內(nèi)。
權(quán)利要求
1.一種保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法,其特征在于,該方法包括用戶UE向移動(dòng)管理實(shí)體MME發(fā)送包含有用于反映UE安全能力的用戶面完整性算法列 表的接入請(qǐng)求,該列表中包含用于用戶面完整性保護(hù)的一個(gè)以上的算法和無需進(jìn)行用戶面 完整性保護(hù)的算法;MME根據(jù)接入請(qǐng)求向歸屬用戶服務(wù)器HSS請(qǐng)求UE的簽約信息;MME根據(jù)HSS返回的簽約信息判斷是否需要用戶面完整性保護(hù),并將判斷結(jié)果通過對(duì) 所述用戶面完整性算法列表中算法的設(shè)置發(fā)送至基站節(jié)點(diǎn)eNB ;eNB根據(jù)所述設(shè)置選擇算法,并將所述算法的標(biāo)識(shí)發(fā)送至UE ;UE根據(jù)所述算法對(duì)用戶面數(shù)據(jù)進(jìn)行計(jì)算得到摘要信息,將包含所述摘要信息和所述用 戶面數(shù)據(jù)的用戶面完整性保護(hù)數(shù)據(jù)發(fā)送至eNB。
2.根據(jù)權(quán)利要求1所述保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法,其特征在于,所述UE向MME 發(fā)送接入請(qǐng)求后,MME根據(jù)接入請(qǐng)求向HSS請(qǐng)求UE的簽約信息之前進(jìn)一步包括,UE通過MME 與HSS相互鑒權(quán)。
3.根據(jù)權(quán)利要求1所述保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法,其特征在于,所述MME根據(jù) 接入請(qǐng)求向歸屬用戶服務(wù)器HSS請(qǐng)求UE的簽約信息進(jìn)一步包括,在UE位置更新后,MME向 HSS更新UE的位置。
4.根據(jù)權(quán)利要求1所述保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法,其特征在于,所述MME根據(jù) HSS返回的簽約信息判斷需要用戶面完整性保護(hù),eNB選擇EIAl或EIA2作為用戶面完整性 保護(hù)算法。
5.根據(jù)權(quán)利要求4所述保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法,其特征在于,所述EIAl是高 級(jí)加密標(biāo)準(zhǔn)AES算法,所述EIA2是Snow 3G算法。
6.根據(jù)權(quán)利要求1所述保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法,其特征在于,所述MME根據(jù) HSS返回的簽約信息判斷不需要用戶面完整性保護(hù),eNB選擇EIAO算法。
7.根據(jù)權(quán)利要求1所述保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法,其特征在于,所述UE根據(jù)所 述算法對(duì)用戶面數(shù)據(jù)進(jìn)行計(jì)算得到用戶面完整性保護(hù)數(shù)據(jù),并將用戶面完整性保護(hù)數(shù)據(jù)發(fā) 送至eNB后進(jìn)一步包括,UE向eNB發(fā)送響應(yīng)消息,eNB啟動(dòng)用戶面完整性保護(hù)。
8.根據(jù)權(quán)利要求7所述保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法,其特征在于,所述eNB啟動(dòng)用 戶面完整性保護(hù)包括,eNB接收到用戶發(fā)送的所述用戶面完整性保護(hù)數(shù)據(jù),利用所述算法由 所述用戶面完整性保護(hù)數(shù)據(jù)得到驗(yàn)證的摘要信息,如果所述驗(yàn)證的摘要信息與所述用戶面 完整性保護(hù)數(shù)據(jù)中的摘要信息相同,則所述用戶面完整性保護(hù)數(shù)據(jù)中的用戶面數(shù)據(jù)沒有被 篡改;否則,丟棄所述用戶面數(shù)據(jù)。
9.根據(jù)權(quán)利要求1所述保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法,其特征在于,所述判斷包括, 將所述簽約信息與UE的當(dāng)前業(yè)務(wù)進(jìn)行比較。
全文摘要
一種保護(hù)移動(dòng)用戶數(shù)據(jù)完整性的方法,該方法包括用戶UE向移動(dòng)管理實(shí)體MME發(fā)送接入請(qǐng)求;MME根據(jù)接入請(qǐng)求向歸屬用戶服務(wù)器HSS請(qǐng)求UE的簽約信息;MME根據(jù)HSS返回的簽約信息判斷是否需要用戶面完整性保護(hù),并將判斷結(jié)果發(fā)送至基站節(jié)點(diǎn)eNB;eNB由判斷結(jié)果選擇算法,并將所述算法的標(biāo)識(shí)發(fā)送至UE;UE根據(jù)所述算法對(duì)用戶面數(shù)據(jù)進(jìn)行計(jì)算得到摘要信息,并將包含所述摘要信息和所述用戶面數(shù)據(jù)的用戶面完整性保護(hù)數(shù)據(jù)發(fā)送至eNB。應(yīng)用本發(fā)明實(shí)施例以后,保證用戶面數(shù)據(jù)的正確性和安全性。
文檔編號(hào)H04W12/06GK102149088SQ20101011067
公開日2011年8月10日 申請(qǐng)日期2010年2月9日 優(yōu)先權(quán)日2010年2月9日
發(fā)明者袁琦 申請(qǐng)人:工業(yè)和信息化部電信傳輸研究所