本申请提供了一种初始非接入层消息的传输方法、装置及系统,以保护初始非接入层消息,防止初始非接入层消息中的信息被截获。其中,所述一种初始非接入层消息的传输方法包括:ENB接收UE发送的连接请求消息;ENB向所述UE发送携带MME公钥的连接建立消息;ENB接收所述UE发送的连接建立完成消息,所述连接建立完成消息中携带所述MME公钥加密的初始NAS消息;ENB将所述MME公钥加密的初始NAS消息通过初始UE消息发送给MME。本申请可以对LTE网络中多个初始过程的NAS消息进行保护,有利于保证网络安全,对于真实组网有非常重要的意义。
【技术实现步骤摘要】
本申请涉及移动通信
,特别是涉及一种初始非接入层消息的传输方法、装置及系统。
技术介绍
在长期演进(LTE,LongTerm Evolvement)网络内,移动管理实体(MME,MobilityManagement Entity)和用户终端(UE,User Equipment)之间进行的初始过程包括附着过程(Attach procedure)、位置区域更新过程(Tracking Area Update procedures)、服务请求过程(Service Request procedures)、去附着过程(Detach procedure)。 在上述过程中都存在UE从空闲状态到连接状态的转变,此时UE向MME发送的初始非接入层(Non Access Stratum, NAS)消息需要携带UE的相关标识(国际移动签约标识(IMSI, International Mobile Subscriber Identity)或全球唯一临时标识(GUTI,Globally Unique Temporary UE Identity))等重要信息。这些信息是不加密的,容易被攻击者截获。攻击者可以通过很多手段获取到这些用户标识,比如监听空口信息,攻击演进基站(ENB,evolved NodeB)等。攻击者获取到UE的相关标识后,可以跟踪UE、或者进行强制切换等攻击。在LTE系统内,目前对初始NAS消息的保护措施还比较薄弱,尚无有效地方法防止初始NAS消息中的信息被截获。
技术实现思路
本申请提供一种初始非接入层消息的传输方法、装置及系统,以保护初始非接入层消息,防止初始非接入层消息中的信息被截获。为了解决上述问题,本申请公开了一种初始非接入层消息的传输方法,包括ENB接收UE发送的连接请求消息;ENB向所述UE发送携带MME公钥的连接建立消息;ENB接收所述UE发送的连接建立完成消息,所述连接建立完成消息中携带所述MME公钥加密的初始NAS消息;ENB将所述MME公钥加密的初始NAS消息通过初始UE消息发送给MME。优选地,所述ENB接收UE发送的连接请求消息之前,还包括ENB向MME发送建立请求消息;ENB接收MME发送的建立响应消息,所述建立响应消息中携带MME公钥,ENB保存所述MME公钥。优选地,在MME向ENB发送的建立响应消息中携带MME公钥,包括在建立响应消息中添加MME公钥的信息元素。优选地,所述ENB接收UE发送的连接请求消息之前,还包括ENB接收MME发送的配置更新请求消息,所述配置更新请求消息中携带新的MME公钥;ENB保存所述新的MME公钥,并向MME发送配置更新应答消息。优选地,在MME向ENB发送的配置更新请求消息中携带新的MME公钥,包括在配置更新请求消息中添加新的MME公钥的信息元素。优选地,其特征在于,在ENB向UE发送的连接建立消息中携带MME公钥,包括在连接建立消息中添加MME公钥的信息元素。优选地,通过以下方式使用MME公钥加密初始NAS消息在初始NAS消息结构中,在第I个字节中增加安全头类型;对所述初始NAS消息结构中从第2个字节开始的内容使用MME公钥加密。 优选地,所述增加安全头类型包括当所述初始NAS消息为附着请求消息,或者为去附着请求消息,或者为位置区域更新请求消息时,所述安全头类型置为“0101” ;当所述初始NAS消息为服务请求消息时,所述安全头类型置为“0110”。优选地,所述ENB将MME公钥加密的初始NAS消息通过初始UE消息发送给MME之后还包括MME接收所述初始UE消息并使用对应的MME私钥对所述初始UE消息中加密的初始NAS消息进行解密。本申请还公开了一种初始非接入层消息的传输装置,其特征在于,包括第一接收模块,用于接收UE发送的连接请求消息;第一发送模块,用于向所述UE发送携带MME公钥的连接建立消息;第二接收模块,用于接收所述UE发送的连接建立完成消息,所述连接建立完成消息中携带所述MME公钥加密的初始NAS消息;第二发送模块,用于将所述MME公钥加密的初始NAS消息通过初始UE消息发送给MME0优选地,所述装置还包括第三发送模块,用于向MME发送建立请求消息;第三接收模块,用于接收MME发送的建立响应消息,所述建立响应消息中携带MME公钥;存储模块,用于保存所述MME公钥。优选地,所述装置还包括第四接收模块,用于接收MME发送的配置更新请求消息,所述配置更新请求消息中携带新的MME公钥;第四发送模块,用于向MME发送配置更新应答消息。本申请还公开了一种初始非接入层消息的传输系统,其特征在于,包括ENB和UE,其中,所述ENB包括第一接收模块,用于接收UE发送的连接请求消息;第一发送模块,用于向所述UE发送携带MME公钥的连接建立消息;第二接收模块,用于接收所述UE发送的连接建立完成消息,所述连接建立完成消息中携带所述MME公钥加密的初始NAS消息;第二发送模块,用于将所述MME公钥加密的初始NAS消息通过初始UE消息发送给MME ;其中,所述UE包括第三发送模块,用于向ENB发送连接请求消息;第三接收模块,用于接收ENB发送的连接建立消息,所述连接建立消息中携带MME公钥;第三发送模块,用于向ENB发送连接建立完成消息,所述连接建立完成消息中携带所述MME公钥加密的初始NAS消息。优选地,所述系统还包括MME, 所述MME包括接收模块,用于接收所述ENB发送的建立请求消息;发送模块,用于向所述ENB发送建立响应消息,所述建立响应消息中携带MME公钥。优选地,所述MME还包括配置更新模块,用于向ENB发送配置更新请求消息,所述配置更新请求消息中携带新的MME公钥。与现有技术相比,本申请包括以下优点首先,本申请通过ENB向UE发送MME公钥,使得UE可以使用MME的公钥加密NAS消息,加密的NAS消息保护了 UE的相关标识,有效防止了攻击者对初始NAS消息中的UE相关标识进行的截获,保证了初始非接入层消息中用户标识等重要信息的安全。而且,当上述加密的NAS消息发送到MME后,MME可以使用对应的私钥对消息进行解密,这样传输过程中传输的是用公钥加密的NAS消息,而解密的时候使用私钥,这样只公开公钥的加密方法,更好的防止了初始NAS消息被截获而解密的可能性,因为即使初始NAS消息被截获,由于攻击者无法获知私钥,仍然无法解密所述的用公钥加密的NAS消息。 其次,本申请中当MME的公钥发生更新时,主动向ENB发送携带新的MME公钥的配置更新请求消息,主动将更新的MME公钥发送给ENB,这样即使MME的公钥因为时间周期等原因需要更新,也可以及时将更新的MME公钥传递给ENB,使得后续UE对初始NAS消息进行加密时使用的是最新的MME公钥。再次,本申请规定了 MME向ENB、UE传递基于PKI体系公钥的方法,对MME、ENB和UE之间的公钥的使用做出了规定。在普通NAS消息结构中,增加安全头类型,当MME收到消息后根据安全头类型对应填写的内容使用MME私钥进行解密。总之,本申请对LTE网络中多个初始过程的NAS消息进行保护,对LTE网络安全体系的薄弱环节提出了有效的解决办法,有利于保证网络安全,对于真实组网有非常重要的意义。附图说明图I是本申请实施本文档来自技高网...
【技术保护点】
一种初始非接入层消息的传输方法,其特征在于,包括:ENB接收UE发送的连接请求消息;ENB向所述UE发送携带MME公钥的连接建立消息;ENB接收所述UE发送的连接建立完成消息,所述连接建立完成消息中携带所述MME公钥加密的初始NAS消息;ENB将所述MME公钥加密的初始NAS消息通过初始UE消息发送给MME。
【技术特征摘要】
1.一种初始非接入层消息的传输方法,其特征在于,包括 ENB接收UE发送的连接请求消息; ENB向所述UE发送携带MME公钥的连接建立消息; ENB接收所述UE发送的连接建立完成消息,所述连接建立完成消息中携带所述MME公钥加密的初始NAS消息; ENB将所述MME公钥加密的初始NAS消息通过初始UE消息发送给MME。2.根据权利要求I所述的方法,其特征在于,所述ENB接收UE发送的连接请求消息之前,还包括 ENB向MME发送建立请求消息; ENB接收MME发送的建立响应消息,所述建立响应消息中携带MME公钥,ENB保存所述MME公钥。3.根据权利要求2所述的方法,其特征在于,在MME向ENB发送的建立响应消息中携带MME公钥,包括 在建立响应消息中添加MME公钥的信息元素。4.根据权利要求I所述的方法,其特征在于,所述ENB接收UE发送的连接请求消息之前,还包括 ENB接收MME发送的配置更新请求消息,所述配置更新请求消息中携带新的MME公钥; ENB保存所述新的MME公钥,并向MME发送配置更新应答消息。5.根据权利要求4所述的方法,其特征在于,在MME向ENB发送的配置更新请求消息中携带新的MME公钥,包括 在配置更新请求消息中添加新的MME公钥的信息元素。6.根据权利要求I所述的方法,其特征在于,在ENB向UE发送的连接建立消息中携带MME公钥,包括 在连接建立消息中添加MME公钥的信息元素。7.根据权利要求I所述的方法,其特征在于,通过以下方式使用MME公钥加密初始NAS消息 在初始NAS消息结构中,在第I个字节中增加安全头类型; 对所述初始NAS消息结构中从第2个字节开始的内容使用MME公钥加密。8.根据权利要求7所述的方法,其特征在于,所述增加安全头类型包括 当所述初始NAS消息为附着请求消息,或者为去附着请求消息,或者为位置区域更新请求消息时,所述安全头类型置为“0101” ; 当所述初始NAS消息为服务请求消息时,所述安全头类型置为“0110”。9.根据权利要求I所述的方法,其特征在于,所述ENB将MME公钥加密的初始NAS消息通过初始UE消息发送给MME之后还包括 MME接收所述初始UE消息并使用对应的MME私钥对所述初始UE...
【专利技术属性】
技术研发人员:吴鹏程,
申请(专利权)人:大唐移动通信设备有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。