[发明专利]一种无线通信系统中空口安全算法的选择方法及MME

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种无线通信系统中空口安全算法的选择方法及MME(Mobility Management Entity，移动性管理实体)。

背景技术

长期演进(Long Term Evolution，简称LTE)网络，如图1所示，由演进全球陆地无线接入网(Evolved Universal Terrestrial Radio Access Network，简称EUTRAN)和演进分组交换中心(Evolved Packet Core，简称EPC)组成，网络呈现扁平化。EUTRAN通过S1接口与EPC相连。其中，EUTRAN由多个相互连接的演进基站(Evolved NodeB，简称eNB)组成，各个eNB之间通过X2接口连接；EPC由MME和服务网关实体(Serving Gateway，简称S-GW)组成。另外，在系统架构中还有一个归属环境(HomeEnvironment，简称HE)，即归属用户服务器(Home Subscriber Server，简称HSS)或归属位置寄存器(Home Location Register，简称HLR)，作为用户数据库。它包含用户配置文件，执行用户的身份验证及授权，并可提供有关用户物理位置的信息等。

如图1所示，LTE安全架构定义了五个类型的安全特色，每个类型的安全特色满足一定的威胁，完成一定的安全目标。其中：

a)网络接入安全(I)：此安全特色提供用户安全接入业务，尤其是避免遭受来自无线网络上的攻击；

b)网络域安全(II)：此安全特色保证节点间安全交换信令，避免遭受来自有线网络上的攻击；

c)用户安全(III)：此安全特色负责保护移动台安全接入网络；

d)应用层安全(IV)：此安全特色保证用户和业务提供者之间能够安全的交换信息；

e)可视可配置安全(V)：此特色保证无论安全特色是否实施，用户能够知道；业务的使用和配置都应取决于安全特色。

如图2所示，现有LTE系统中算法协商流程包括：

1)UE向MME发送附着请求消息，其中携带UE的安全能力信息；

2)MME收到附着请求消息后，保存该消息中携带的UE的安全能力信息；

3)MME/HSS与UE之间进行AKA(Authentication and Key Agreement，认证与密钥协商协议)鉴权过程，完成相互认证；

4)MME向eNB发送初始上下文建立消息，其中携带附着接受消息、UE的安全能力参数、系统允许的安全算法列表；

5)eNB根据接收到的UE的安全能力参数和系统允许的安全算法列表的交集，从中选取优先级最高的一个算法作为加密算法；

6)eNB向UE发送SMC请求消息，激活空口安全；

7)UE向eNB发送SMC响应，完成空口安全激活过程；

8)eNB向UE发送RRC连接重配置消息，其中至少携带附着接受消息等参数；

9)UE向eNB发送RRC连接重配置完成消息；

10)eNB向MME发送初始上下文建立响应消息；

11)UE向eNB发送上行直传消息，消息中携带附着完成消息；

12)eNB向MME发送附着完成消息，完成正规附着过程。

对消息的安全保护措施主要包括对RRC(Radio Resource Control，无线资源控制)、NAS(Non-access stratum，非接入层)消息的加密完保、对空口用户面的加密和完整性保护等。对UE(User Equipment，用户设备)的追踪是基于小区级别的测量报告、切换信息映射或UE小区身份关联，因此可以通过对RRC信令提供加密保护以阻止对UE进行追踪，而RRC信令是否加密取决于运营商。对NAS信令是否加以机密性保护也取决于运营商。用户面机密保护应在PDCP(Packet Data Convergence Protocol，分组数据汇聚协议)层实现，是否采用取决于运营商。应对NAS和RRC信令进行完整性保护和防重放攻击保护。

网络设备与终端之间的加密和完整性保护所使用的算法，需要双方进行协商。接入层初始化阶段建立安全上下文时的协商过程包括：