一種實現移動設備附著的方法及裝置的制作方法

專利名稱：一種實現移動設備附著的方法及裝置的制作方法
技術領域：
本發明涉及通信技術領域，尤其涉及一種實現移動設備附著的方法及裝置
背景技術：
在原有附著過程中，核心網需要對移動設備(ME)進行檢查。由移動性管理實體(Mobility Management Entity, MME)在附著過程中向移動設備(ME)索要全球移動設備SK(International Mobile Equipment Identity, IMEI)標識，ME 向網絡側的 MME 上報ΙΜΕΙ,ΜΜΕ 將 IMEI 發送給設備標識寄存器(Equipment Identity Register,EIR),由 EIR 對IMEI進行檢查匹配，如果檢查匹配成功，則允許用戶附著。該原有附著過程中對于用戶移動設備(ME)的檢查方法過于簡單，對不法移動終端的檢查僅用于對移動設備的標識αΜΕΙ)的檢查上。用戶可以輕易地使用不法的移動終端(ME)附著到網絡并使用網絡提供的服務。 在3GPP TS 23. 401V10. 5. O的第5. 3. 2章節，對附著流程有詳細描述，參見圖1，具體包括步驟I，移動設備(ME)向演進型基站(eNB)發起附著請求消息(其中包括TMSI、ME能力以及PDN地址等參數)及網絡選擇指示。步驟2, eNB根據系統架構演進的臨時移動簽約用戶標識(SAE-TemporaryMobile Subscriber Identity, S-TMSI)和網絡選擇指不推導確定移動管理實體(MobileManagement Entity, MME)。若eNB無法推導確定MME,將通過“MME選擇功能”選擇MME,并將附著消息前轉至MME。步驟3,如果是無效全球唯一臨時標識(Globally UniqME Temporary Identity,⑶TI)附著，同時在MME中沒有存儲ME上下文信息。MME將向ME發送一個認證請求消息(Identity Request)以請求國際移動用戶識別碼(International Mobile SubscriberIdentity, IMSI)信息。步驟4,ME將向MME發送一個認證請求響應(Identity Response)消息,攜帶IMSI信息。步驟5, MME向歸屬用戶服務器(Home Subscriber Server, HSS)發送鑒權信息請求(Authentication Information Request)消息，索要鑒權向量。步驟6, HSS 向 MME 發送鑒權信息應答(Authentication InformationAnswer)消息，把鑒權向量攜帶給MME。步驟7，MME從獲取的鑒權向量中選擇一組，向終端發送鑒權請求(Authentication Request)。步驟8，終端收到鑒權請求后，在終端側先進行鑒權，成功后向MME回復鑒權響應(Authentication Response)消息。步驟9，MME收到鑒權響應后，比較鑒權響應消息中的期望的用戶響應值(Expected user Response, XRES)參數和本地保存的XRES參數是否一致,一致則鑒權成功。鑒權成功后，MME利用密鑰Kasme生成完整性保護密鑰和加密密鑰，并向ME發送安全模式命令(Security Mode Command)消息來發起安全控制過程。步驟10，ME收到安全模式控制命令后，校驗完整性保護。校驗成功則向MME發送安全模式完成(Security Mode Complete)消息,安全過程建立。步驟11, MME可以通過認證請求(Identity Request)向ME索要國際移動設備標識(International Mobile Equipment Identity, IMEI)信息。本步驟可選。步驟12,如果終端收到認證請求(Identity Request)消息,根據MME索要的標識類型，通過認證響應(Identity Response)消息向MME回復IMEI等消息。本步驟可選。步驟13, MME 和設備標識寄存器(Equipment Identity Register, EIR)之間通過移動設備標識核實(ME Identity Check)過程判斷是否允許終端接入。步驟14,如果ME在附著請求消息中置位演進分組系統會話管理(EPS session management, ESM)信息傳輸標記,則MME發起和ME的會話信息請求過程(ESM InformationRequest Procedure), ME在步驟9和10的安全過程完成后將對應的接入點名(AccessPoint Name, APN)或者協議配置選項(Protocol Configuration Options, PC0)發送給MME。步驟15，由于是初次附著，MME將向HSS發送位置更新消息。步驟16，HSS向MME回復位置更新確認(ACK)消息，若HSS拒絕，則MME也將拒絕本次附著請求。步驟17，MME選擇一個服務網關(Serving Gate-ffay, SGW)，并將創建默認承載請求消息(攜帶有MSI、MME上下文ID、RAT類型、默認承載QoS、PDN地址分配以及AMBR等參數)發送給該SGW。步驟18, SGW在其演進的分組核心網(Evolved Packet Core, EPC)承載列表中創建一個入口，并向PGW轉發創建會話請求消息。本步驟后，SGW將緩存從分組數據網網關(Packet Data Network_GateWay,PGW)所接收到的下行分組數據,直到收到步驟25以后的消息。步驟19，若網絡中使用了策略和計費規則功能(PCRF)，則PGW將會與PCRF進行交互以獲取策略和計費控制(PCC)規則。若建立默認EPS承載，則將在PGW中預定義PCC規則。步驟20，PGff向SGW返回一個創建會話響應消息，該消息包含用戶面PGW地址和隧道終點標識(Tunnel Endpoint Identifier, TEID)、控制面 PGW TEID，分組數據網(PDN)類型、PDN地址、協議配置選項、計費ID、APN限制、原因值以及APN聚合的最大比特速率(APN-AMBR)等參數。步驟21，SGW向MME返回一個創建會話響應消息，消息包含PDN類型、PDN地址、用戶面SGW地址與TEID、控制面SGW TEID、EPS承載標識符、PGff地址等。步驟22，MME向eNB發送一條附著接受消息。如果MME分配了一個新的全球唯一臨時標識(Globally UniqME Temporary Identity,⑶TI),則⑶TI參數也將包含在該消息中，該消息包含在一條SlAP (SI接口應用協議)消息里，這條SlAP消息也包括UE的安全上下文、切換限制列表、承載服務質量(QoS)參數以及AMBR相關的PDN地址信息，以及需要建立承載的QoS信息。步驟23, eNB向ME發送無線資源控制(Radio Resource Control, RRC)連接重配置消息，并且將附著接受消息(S-TMSI、PDN地址、TA列表及PDN地址信息)發送給ME。步驟24，ME向eNB發送RRC連接重配置完成消息。步驟25，eNB向MME發送初始上下文消息，該消息包含eNB的TEID和eNB在ENB和SGW之間的用戶面接口( SI -U接口)的下行傳輸地址。步驟26，ME向eNB發送直傳消息，該消息包含附著完成消息。步驟27，eNB轉發附著完成消息至MME。在Sl-MME參考點上，該消息包含在控制面消息“初始上下文設置完成”之中，同時控制面消息也包含了 eNB的TEID以及eNB地址。在附著接受消息以及ME已經得到一個PDN地址信息以后，ME就可以發送上行數據包給eNB了，隨后eNB通過隧道地址隧道方式將數據包發送給SGW和PGW。
步驟28，MME向SGW發送一條承載更新請求消息。步驟29,如果MME發送給SGW的承載更新請求消息(Modify Bearer Request)中攜帶切換指示(Handover Indication),則SGW需要想PGW發送承載更新消息。否則,直接向MME回復。步驟30, PGW 向 SGW 回復響應消息(Modify Bearer Response)。步驟31，SGff向MME返回一條承載更新響應確認消息，此時，SGW可以發送緩存的下行分組數據。步驟32，在步驟30中MME接收承載更新響應消息后，如果建立了一個EPS承載，MME將向HSS發送一條包含APN與PGW標識的通知請求消息用于用戶的移動性管理。步驟33，HSS存儲APN及PGW標識對，并發送一條通知響應消息至MME，完成整個附著過程。綜上所述，現有技術的附著過程中，MME和EIR之間通過ME Identity Check過程判斷是否允許終端接入，該判斷方法比較簡單而且很容易被攻破。一些手機可以通過復制MEI的方法，使得多部手機同時擁有一個MEI號碼，而網絡側在原有檢查方法中只檢查MEI，并不能真正對合法的ME和不合法的ME進行辨別和限制。

發明內容
本發明實施例提供了一種實現移動設備附著的方法及裝置，用以提高實現移動設備附著時的ME標識鑒權的準確性，從而提高網絡通信的安全性。本發明實施例提供的一種實現移動設備附著的方法包括移動性管理實體MME在收到歸屬簽約服務器HSS發送的鑒權信息應答消息后，向ME發送鑒權請求Authentication Request消息,其中攜帶標識類型Identity type,用于指示ME的標識類型為國際移動用戶識別碼IMSI或者全球移動設備標識IMEI ；當ME對自身標識驗證成功時，MME接收ME返回的鑒權響應AuthenticationResponse消息，從中獲取響應值RES參數；MME比較RES參數和期望的響應值XRES是否一致，如果是，則確定對ME標識驗證成功,否則,確定對ME標識驗證失敗；當確定對ME標識驗證成功時，MME向ME發送安全模式命令以發起安全控制過程。本發明實施例提供的一種移動設備ME附著方法，在ME向網絡側發起附著請求消息之后，該方法還包括
ME接收移動性管理實體MME發送的鑒權請求Authentication Request消息,其中攜帶標識類型Identity type，用于指示ME的標識類型為國際移動用戶識別碼IMSI或者全球移動設備標識頂EI ；當ME對自身標識驗證成功時,ME向MME返回鑒權響應Authentication Response消息，其中攜帶響應值RES參數，用以MME比較RES參數和期望的響應值XRES是否一致，如果是，則MME確定對ME標識驗證成功，否則，MME確定對ME標識驗證失敗；當MME確定對ME標識驗證成功時，ME接收MME發送的安全模式命令。本發明實施例提供的一種實現移動設備附著的裝置包括鑒權請求發送單元，用于在收到歸屬簽約服務器HSS發送的鑒權信息應答消息后，向移動設備ME發送鑒權請求Authentication Request消息，其中攜帶標識類型Identity type,用于指示ME的標識類型為國際移動用戶識別碼IMSI或者全球移動設備標 識 IMEI ；鑒權響應接收單元，用以當ME對自身標識驗證成功時，接收ME返回的鑒權響應Authentication Response消息，從中獲取響應值RES參數；比較單元，用以比較RES參數和期望的響應值XRES是否一致，如果是，則確定對ME標識驗證成功，否則，確定對ME標識驗證失敗；安全模式命令發送單元，用以當確定對ME標識驗證成功時，向ME發送安全模式命令以發起安全控制過程。本發明實施例提供的一種移動設備，包括鑒權請求接收單元，用于接收移動性管理實體MME發送的鑒權請求Authentication Request消息,其中攜帶標識類型Identity type,用于指示ME的標識類型為國際移動用戶識別碼MSI或者全球移動設備標識MEI ；鑒權響應單元，用于當對ME標識驗證成功時，向MME返回鑒權響應Authentication Response消息,其中攜帶響應值RES參數,用以MME比較RES參數和期望的響應值XRES是否一致，如果是，則MME確定對ME標識驗證成功，否則，MME確定對ME標識驗證失敗；安全模式命令接收單元，用于當MME確定對ME標識驗證成功時，接收MME發送的安全模式命令本發明實施例，通過移動性管理實體MME在收到歸屬簽約服務器HSS發送的鑒權信息應答消息后，向ME發送鑒權請求Authentication Request消息,其中攜帶標識類型Identity type,用于指示ME的標識類型為國際移動用戶識別碼IMSI或者全球移動設備標識IMEI ;當ME對自身標識驗證成功時，MME接收ME返回的鑒權響應AuthenticationResponse消息，從中獲取響應值RES參數；MME比較RES參數和期望的響應值XRES是否一致，如果是，則確定對ME標識驗證成功，否則，確定對ME標識驗證失敗；當確定對ME標識驗證成功時，MME向ME發送安全模式命令以發起安全控制過程，從而提高了實現移動設備附著時的ME標識鑒權的準確性，從而提高網絡通信的安全性。


圖I為現有技術中的附著流程(Attach procedure)示意圖2為本發明實施例提供的優化后的附著流程(Attach procedure)示意圖；圖3為本發明實施例提供的ME對網絡鑒權失敗的異常處理流程示意圖；圖4為本發明實施例提供的網絡對ME鑒權失敗的異常處理流程示意圖；圖5為本發明實施例提供的MME側的一種實現移動設備ME附著的方法流程示意圖；圖6為本發明實施例提供的UE側的一種移動設備ME附著方法流程示意圖；圖7為本發明實施例提供的一種移動性管理實體MME裝置的結構示意圖；圖8為本發明實施例提供的一種移動設備的結構示意圖。
具體實施方式
·
本發明實施例提供的一種實現移動設備附著的方法及裝置，用以提高實現移動設備附著時的ME標識鑒權的準確性，從而提高網絡通信的安全性。與圖I所示的現有附著流程相比，本發明實施例提供的附著流程，參見圖2，包括步驟101，ME向eNB發起附著請求消息(包括TMSI、ME能力以及PDN地址等參數)及網絡選擇指示。步驟102，eNB根據S-TMSI和網絡選擇指示推導得到MME。若eNB無法推導MME，將通過“MME選擇功能”選擇MME，并將附著消息前轉至MME。步驟103，如果是無效⑶TI附著，同時在MME中沒有存儲ME上下文信息。MME將向ME發送一個認證請求消息(Identity Request)消息以請求IMSI信息。步驟104, ME將向MME發送一個認證請求響應(Identity Response)消息，攜帶IMSI信息。步驟105,MME 向 HSS 發送 Authentication Information Request 消息，索要鑒權向量。步驟106, HSS 向 MME 發送 Authentication Information Answer 消息，把鑒權向量攜帶給MME。步驟107，MME從獲取的鑒權向量中選擇一組，向終端發送鑒權請求(Authentication Request),其消息格式如下面的表I所示，鑒權請求(AUTHENTICATIONREQUEST)消息中的標識類型(Identity type)表示為IMSI。表I:鑒權請求消息內容(AUTHENTICATION REQUEST message content)
權利要求
1.一種實現移動設備ME附著的方法，其特征在于，該方法包括 移動性管理實體MME在收到歸屬簽約服務器HSS發送的鑒權信息應答消息后，向ME發送鑒權請求Authentication Request消息,其中攜帶標識類型Identity type,用于指示ME的標識類型為國際移動用戶識別碼IMSI或者全球移動設備標識MEI ； 當ME對自身標識驗證成功時,MME接收ME返回的鑒權響應Authentication Response消息，從中獲取響應值RES參數； MME比較RES參數和期望的響應值XRES是否一致，如果是，則確定對ME標識驗證成功，否則，確定對ME標識驗證失敗； 當確定對ME標識驗證成功時，MME向ME發送安全模式命令以發起安全控制過程。
2.根據權利要求I所述的方法，其特征在于，MME向ME發送安全模式命令之后，該方法還包括 MME在收到ME的全球移動設備標識MEI后，向設備標識寄存器EIR發送移動設備標識檢查請求ME Identity Check Request,其中攜帶拜訪公共陸上移動網絡標識Visited-PLMN-ID信息，用于當EIR對ME驗證通過時，EIR生成鑒權向量Authenticationvectors ； MME接收EIR回復的移動設備標識檢查應答ME Identity Check Answer,其中攜帶鑒權信息 Authentication Info 信息，當 EIR 對 ME 驗證通過時，該 Authentication Info 信息中包含所述鑒權向量Authentication vectors。
3.根據權利要求2所述的方法,其特征在于,MME獲取Authenticationvectors后,該方法還包括 MME向ME發送鑒權請求Authentication Request消息,其中攜帶標識類型Identitytype,用于指示ME的標識類型為IMSI或者IMEI ； 當ME利用自身保存的K、0P、AMF和SQN信息對自身標識驗證成功時，MME接收ME返回的鑒權響應Authentication Response消息，從中獲取響應值RES參數； MME比較RES參數和自身保存的期望的響應值XRES是否一致，如果是，則確定對ME標識驗證成功，否則，確定對ME標識驗證失敗。
4.根據權利要求3所述的方法，其特征在于，當MME對ME標識驗證失敗時，MME向ME發送鑒權拒絕Authentication Reject消息。
5.一種移動設備ME附著方法，其特征在于，在ME向網絡側發起附著請求消息之后，該方法還包括 ME接收移動性管理實體MME發送的鑒權請求Authentication Request消息,其中攜帶標識類型Identity type，用于指示ME的標識類型為國際移動用戶識別碼IMSI或者全球移動設備標識IMEI ； 當ME對自身標識驗證成功時，ME向MME返回鑒權響應Authentication Response消息，其中攜帶響應值RES參數，用以MME比較RES參數和期望的響應值XRES是否一致，如果是，則MME確定對ME標識驗證成功，否則，MME確定對ME標識驗證失敗； 當MME確定對ME標識驗證成功時，ME接收MME發送的安全模式命令。
6.一種移動性管理實體MME裝置，其特征在于，該裝置包括 鑒權請求發送單元，用于在收到歸屬簽約服務器HSS發送的鑒權信息應答消息后，向移動設備ME發送鑒權請求Authentication Request消息，其中攜帶標識類型Identitytype，用于指示ME的標識類型為國際移動用戶識別碼IMSI或者全球移動設備標識MEI ；鑒權響應接收單元，用以當ME對自身標識驗證成功時，接收ME返回的鑒權響應Authentication Response消息，從中獲取響應值RES參數； 比較單元，用以比較RES參數和期望的響應值XRES是否一致，如果是，則確定對ME標識驗證成功，否則，確定對ME標識驗證失敗； 安全模式命令發送單元，用以當確定對ME標識驗證成功時，向ME發送安全模式命令以發起安全控制過程。
7.根據權利要求6所述的裝置，其特征在于，該裝置還包括 ME標識檢查請求發送單元，用于向設備標識寄存器EIR發送移動設備標識檢查請求MEIdentity Check Request,其中攜帶拜訪公共陸上移動網絡標識Visited-PLMN-ID信息,用于當EIR對ME驗證通過時，EIR生成鑒權向量Authentication vectors ； ME標識檢查應答接收單元，用于接收EIR回復的移動設備標識檢查應答ME IdentityCheck Answer,其中攜帶鑒權信息Authentication Info信息，當EIR對ME驗證通過時,該Authentication Info 信息中包含所述鑒權向量 Authentication vectors。
8.根據權利要求7所述的裝置，其特征在于，該裝置還包括 鑒權請求發送單元，用于向ME發送鑒權請求Authentication Request消息,其中攜帶標識類型Identity type,用于指示ME的標識類型為IMSI或者IMEI ； 鑒權響應接收單元，用于當ME對自身標識驗證成功時，接收ME返回的鑒權響應Authentication Response 消息，從中獲取 RES 參數； 驗證單元，用于比較RES參數和XRES是否一致,如果是,則確定對ME標識驗證成功,否則，確定對ME標識驗證失敗。
9.根據權利要求8所述的裝置，其特征在于，所述驗證單元還用于 當對ME標識驗證失敗時，向ME發送鑒權拒絕Authentication Reject消息。
10.一種移動設備，其特征在于，包括 鑒權請求接收單元，用于接收移動性管理實體MME發送的鑒權請求AuthenticationRequest消息,其中攜帶標識類型Identity type,用于指示ME的標識類型為國際移動用戶識別碼MSI或者全球移動設備標識MEI ； 鑒權響應單元，用于當對ME標識驗證成功時，向MME返回鑒權響應AuthenticationResponse消息，其中攜帶響應值RES參數，用以MME比較RES參數和自身保存的期望的響應值XRES是否一致，如果是，則MME確定對ME標識驗證成功，否則，MME確定對ME標識驗證失敗； 安全模式命令接收單元，用于當MME確定對ME標識驗證成功時，接收MME發送的安全模式命令。
全文摘要
本發明公開了一種實現移動設備附著的方法及裝置，用以提高實現移動設備附著時的ME標識鑒權的準確性，從而提高網絡通信的安全性。所述方法包括移動性管理實體MME在收到歸屬簽約服務器HSS發送的鑒權信息應答消息后，向ME發送鑒權請求消息，其中攜帶標識類型，用于指示ME的標識類型為IMSI或者IMEI；當ME對自身標識驗證成功時，MME接收ME返回的鑒權響應消息，從中獲取響應值RES參數；MME比較RES參數和期望的響應值XRES是否一致，如果是，則確定對ME標識驗證成功，否則，確定對ME標識驗證失敗；當確定對ME標識驗證成功時，MME向ME發送安全模式命令以發起安全控制過程。
文檔編號H04W8/04GK102917332SQ20121038505
公開日2013年2月6日 申請日期2012年10月11日 優先權日2012年10月11日
發明者吳鵬程 申請人:大唐移動通信設備有限公司