Processing

Please wait...

Settings

Settings

Goto Application

1. WO2018132952 - WIRELESS COMMUNICATION METHOD AND APPARATUS

Document

说明书

发明名称 0001   0002   0003   0004   0005   0006   0007   0008   0009   0010   0011   0012   0013   0014   0015   0016   0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087   0088   0089   0090   0091   0092   0093   0094   0095   0096   0097   0098   0099   0100   0101   0102   0103   0104   0105   0106   0107   0108   0109   0110   0111   0112   0113   0114   0115   0116   0117   0118   0119   0120   0121   0122   0123   0124   0125   0126   0127   0128   0129   0130   0131   0132   0133   0134   0135   0136   0137   0138   0139   0140   0141   0142   0143   0144   0145   0146   0147   0148   0149   0150   0151   0152   0153   0154   0155  

权利要求书

1   2   3   4   5   6   7   8   9   10   11   12   13   14   15   16  

附图

0001   0002   0003   0004   0005   0006   0007   0008   0009   0010   0011  

说明书

发明名称 : 无线通信的方法和装置

技术领域

[0001]
本申请涉及通信领域,尤其涉及一种无线通信的方法和装置。

背景技术

[0002]
在无线通信中,终端设备通过归属公共陆地移动网(Home Public Land Mobile Network,HPLMN)的网关设备与企业服务器进行通信,为了确保数据的安全,需要建立终端设备与网关设备之间的端到端(End to End,E2E)安全通信机制。
[0003]
当前,终端设备与网关设备可以确定用于E2E安全通信的密钥,并根据该密钥和预先配置在终端设备中的安全算法进行通信,然而,当预先配置在终端设备中的安全算法出现安全漏洞时,现有技术无法引入新的安全算法,从而导致终端设备与网关设备之间的E2E通信面临较大的风险。
[0004]
发明内容
[0005]
有鉴于此,本申请实施例提供了一种无线通信的方法,可以增强终端设备和网关设备之间通信的安全性能。
[0006]
一方面,提供了一种无线通信的方法,该方法包括:网关设备从终端设备支持的安全算法中确定目标安全算法;所述网关设备向所述终端设备发送第一指示信息,所述第一指示信息用于指示所述目标安全算法;所述网关设备根据所述目标安全算法与所述终端设备进行通信。
[0007]
根据本申请实施例提供的无线通信的方法,网关设备可以根据终端设备的安全能力确定目标安全算法,并根据该目标安全算法与终端设备进行通信,从而增强了终端设备和网关设备之间通信的安全性能。
[0008]
可选地,所述网关设备根据所述目标安全算法与所述终端设备进行通信之前,所述方法还包括:所述网关设备向所述终端设备发送第二指示信息和消息鉴权码MAC,所述第二指示信息用于指示完整性算法,所述完整性算法和所述MAC用于所述终端设备校验承载所述第一指示信息的消息的完整性。
[0009]
本申请实施例提供的无线通信的方法,网关设备指示终端设备对承载第一指示信息的消息进行完整性验证,从而可以防止承载第一指示信息的消息被篡改导致的通信安全性减弱,增强了终端设备和网关设备之间通信的安全性能。
[0010]
可选地,所述网关设备根据所述目标安全算法与所述终端设备进行通信之前,所述方法还包括:所述网关设备向所述终端设备发送安全能力信息,以便于所述终端设备根据所述终端设备的安全能力校验所述安全能力信息是否正确。
[0011]
本申请实施例提供的无线通信的方法,终端设备通过校验网络设备发送的安全能力信息,可以避免网络设备根据错误的终端设备的安全能力确定目标安全算法,从而增强了终端设备和网关设备之间通信的安全性能。
[0012]
可选地,所述方法还包括:所述网关设备从所述终端设备或者核心网设备接收安全能力信息;所述网关设备根据所述安全能力信息确定所述终端设备支持的安全算法。从而可以灵活确定终端设备的安全能力。
[0013]
另一方面,提供了一种无线通信的方法,该方法包括:终端设备从网关设备接收第一指示信息,所述第一指示信息用于指示目标安全算法;所述终端设备根据所述目标安全算法与所述网关设备进行通信。
[0014]
根据本申请实施例提供的无线通信的方法,终端设备根据网关设备指示的目标安全算法与网关设备进行通信,从而增强了终端设备与网关设备之间通信的安全性能。
[0015]
可选地,所述终端设备根据所述目标安全算法与所述网关设备进行通信之前,所述方法还包括:所述终端设备从所述网关设备接收第二指示信息和MAC,所述第二指示信息用于指示完整性算法;所述终端设备根据所述完整性算法和所述MAC校验承载所述第一指示信息的消息的完整性。
[0016]
终端设备对承载第一指示信息的消息进行完整性验证,从而可以防止承载第一指示信息的消息被篡改导致的通信安全性减弱,增强了终端设备和网关设备之间通信的安全性能。
[0017]
可选地,所述终端设备根据所述目标安全算法与所述网关设备进行通信之前,所述方法还包括:所述终端设备从所述网关设备接收安全能力信息;所述终端设备根据所述终端设备的安全能力校验所述安全能力信息是否正确。
[0018]
终端设备通过校验网关设备发送的安全能力信息,可以避免网关设备根据错误的终端设备的安全能力确定目标安全算法,从而增强了终端设备和网关设备之间通信的安全性能。
[0019]
可选地,所述终端设备从网关设备接收第一指示信息之前,所述方法还包括:所述终端设备向所述网关设备发送安全能力信息,所述安全能力信息用于指示所述终端设备支持的安全算法。从而使得网关设备可以灵活确定终端设备的安全能力。
[0020]
再一方面,本申请实施例提供了一种无线通信的装置,该装置可以实现上述方面所涉及方法中网关设备所执行的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的单元或模块。
[0021]
在一种可能的设计中,该装置的结构中包括处理器和通信接口,该处理器被配置为支持该装置执行上述方法中相应的功能。该通信接口用于支持该装置与其它网元之间的通信。该装置还可以包括存储器,该存储器用于与处理器耦合,其保存该装置必要的程序指令和数据。
[0022]
再一方面,本申请实施例提供了一种无线通信的装置,该装置可以实现上述方面所涉及方法中终端设备所执行的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的单元或模块。
[0023]
在一种可能的设计中,该装置的结构中包括处理器和收发器,该处理器被配置为支持该装置执行上述方法中相应的功能。该收发器用于支持该装置与其它网元之间的通信。该装置还可以包括存储器,该存储器用于与处理器耦合,其保存该装置必要的程序指令和数据。
[0024]
再一方面,本申请实施例提供了一种通信系统,该系统包括上述方面所述的网关设备和终端设备。
[0025]
再一方面,本申请实施例提供了一种计算机存储介质,用于储存为上述网关设备所用的计算机软件指令,其包含用于执行上述方面所设计的程序。
[0026]
再一方面,本申请实施例提供了一种计算机存储介质,用于储存为上述终端设备所 用的计算机软件指令,其包含用于执行上述方面所设计的程序。
[0027]
相比于现有技术,根据本申请实施例提供的无线通信的方法和装置,网关设备根据终端设备的安全能力确定终端设备所支持的安全算法,并向终端设备指示网关设备所选取的目标安全算法,从而终端设备和网关设备可以选择合适的安全算法进行通信,增强了终端设备和网关设备之间通信的安全性能。

附图说明

[0028]
图1是适用本申请实施例的通信系统的示意性架构图;
[0029]
图2是本申请实施例提供的一种无线通信的方法的示意性流程图;
[0030]
图3是本申请实施例提供的另一种无线通信的方法的示意性流程图;
[0031]
图4是本申请实施例提供的再一种无线通信的方法的示意性流程图;
[0032]
图5是本申请实施例提供的再一种无线通信的方法的示意性流程图;
[0033]
图6是本申请实施例提供的再一种无线通信的方法的示意性流程图;
[0034]
图7是本申请实施例提供的再一种无线通信的方法的示意性流程图;
[0035]
图8A是本申请实施例提供的一种可能的网关设备的结构示意图;
[0036]
图8B是本申请实施例提供的另一种可能的网关设备的示意结构图;
[0037]
图9A是本申请实施例提供的一种可能的终端设备的结构示意图;
[0038]
图9B是本申请实施例提供的另一种可能的终端设备的结构示意图。

具体实施方式

[0039]
下面将结合附图对本申请实施例进行详细说明。
[0040]
图1是一种适用于本申请实施例的通信系统的示意性架构图。如图1所示,通信系统100包括终端设备120和网关设备110,终端设备120可以直接与网关设备110进行通信,也可以通过其它设备与网关设备110进行通信。
[0041]
在本申请实施例中,终端设备120可以经无线接入网与一个或多个核心网设备进行通信,该终端设备120可称为接入终端、用户设备(User Equipment,UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol,SIP)电话、无线本地环路(Wireless Local Loop,WLL)站、个人数字处理(Personal Digital Assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备以及第五代(5th-Generation,5G)通信系统中的终端设备。
[0042]
网关设备110可以是全球移动通信系统(Global System for Mobile Communication,GSM)中的网关设备,也可以是码分多址(Code Division Multiple Access,CDMA)系统中的网关设备,还可以是长期演进(Long Term Evolution,LTE)系统中的网关设备或者5G通信系统中的网关设备。
[0043]
应理解,上述通信系统100仅是举例说明,适用于本申请实施例的通信系统不限于此,例如,适用于本申请实施例的通信系统还可以包括移动性管理实体(Mobility Management Entity,MME),终端设备通过MME与网关设备进行通信;再例如,适用于本申请实施例的通信系统还可以包括服务GPRS支持节点(Serving GPRS Support Node,SGSN,其中,GPRS是“General Packet Radio Service(通用分组无线服务)”的简称),终端设备通过SGSN与网关设备进行通信。再例如,适用于本申请实施例的通信系统还可以包括访问管理功能(Access Management Function,AMF)和/或会话管理功能(Session Management Function,SMF),终端设备通过AMF和/或SMF与网关设备通信。
[0044]
图2是本申请实施例提供的一种无线通信的方法的示意性流程图。如图2所示,该方法包括:
[0045]
S210,网关设备从终端设备支持的安全算法中确定目标安全算法。
[0046]
终端设备可能支持一种安全算法,也可能支持多种安全算法。当终端设备一种安全算法时,网关设备确定该安全算法为目标安全算法;当终端设备支持多种安全算法时,网关设备从所述多种安全算法中确定目标安全算法,其中,该目标安全算法可以是所述多种安全算法中安全等级最高的安全算法,也可以是该多种安全算法中安全等级较低的安全算法,从而可以根据实际情况灵活确定合适的安全算法。
[0047]
S220,所述网关设备向所述终端设备发送第一指示信息,所述第一指示信息用于指示所述目标安全算法。
[0048]
S230,所述网关设备根据所述目标安全算法与所述终端设备进行通信。
[0049]
网关设备和终端设备协商完毕安全算法后,根据目标安全算法进行通信,从而增强了终端设备和网关设备之间通信的安全性能。
[0050]
可选地,所述网关设备根据所述目标安全算法与所述终端设备进行通信之前,方法200还包括:
[0051]
S201,所述网关设备向所述终端设备发送第二指示信息和消息鉴权码(Message Authentication Code,MAC),所述第二指示信息用于指示完整性算法,所述完整性算法和所述MAC用于所述终端设备校验承载所述第一指示信息的消息的完整性。
[0052]
本申请实施例中,第二指示信息用于指示网关设备选取的完整性算法(其中,终端设备支持该完整性算法),MAC为根据该完整性算法计算得到的正确结果,如果终端设备根据该完整性算法得到的结果与该MAC相同,则说明承载第一指示信息的消息是完整的,未被篡改,终端设备可以根据第一指示信息指示的目标安全算法与网关设备进行通信;如果终端设备根据该完整性算法得到的结果与该MAC不同,则说明承载第一指示信息的消息是不完整的,该消息可能被篡改,终端设备可以放弃使用该第一指示信息指示的目标安全算法。第二指示信息与MAC可以与第一指示信息承载于同一个消息中,也可以与第一指示信息承载于不同的消息中。
[0053]
因此,本申请实施例提供的无线通信的方法,网关设备指示终端设备对承载第一指示信息的消息进行完整性验证,从而可以防止承载第一指示信息的消息被篡改导致的通信安全性减弱,增强了终端设备和网关设备之间通信的安全性能。
[0054]
可选地,所述网关设备根据所述目标安全算法与所述终端设备进行通信之前,方法200还包括:
[0055]
S202,所述网关设备向所述终端设备发送安全能力信息,以便于所述终端设备根据所述终端设备的安全能力校验所述安全能力信息是否正确。
[0056]
例如,该安全能力信息指示安全算法,终端设备接收到该安全能力信息后根据自己支持的安全算法校验该安全能力信息是否正确,如果该安全能力信息指示的安全算法与 终端设备支持的安全算法一致,则终端设备确定该安全能力信息正确,说明网关设备确定的终端设备的安全能力正确,终端设备可以根据第一指示信息指示的目标安全算法与网关设备进行通信;如果该安全能力信息指示的安全算法与终端设备支持的安全算法不一致,则终端设备确定该安全能力信息不正确,说明网关设备确定的终端设备的安全能力不正确,终端设备可以放弃使用第一指示信息指示的目标安全算法。上述实施例仅是举例说明,本申请实施例不限于此,例如,安全信息还可以指示其它的内容。此外,该安全能力信息可以与第一指示信息承载于同一个消息中,也可以与第一指示信息承载于不同的消息中。
[0057]
因此,本申请实施例提供的无线通信的方法,终端设备通过校验网络设备发送的安全能力信息,可以避免网络设备根据错误的终端设备的安全能力确定目标安全算法,从而增强了终端设备和网关设备之间通信的安全性能。
[0058]
可选地,方法200还包括:
[0059]
S203,所述网关设备从所述终端设备或者核心网设备接收安全能力信息。
[0060]
S204,所述网关设备根据所述安全能力信息确定所述终端设备支持的安全算法。
[0061]
网关设备可以从终端设备获取终端设备的安全能力信息,也可以从其它核心网设备(例如,归属用户服务器(Home Subscriber Server,HSS)或者归属位置寄存器(Home Location Register,HLR))获取终端设备的安全能力信息,从而可以灵活确定终端设备的安全能力。
[0062]
图3是本申请实施例提供的另一种无线通信的方法的示意性流程图。如图3所示,该方法包括:
[0063]
S310,终端设备从网关设备接收第一指示信息,所述第一指示信息用于指示目标安全算法。
[0064]
终端设备可能支持一种安全算法,也可能支持多种安全算法。当终端设备一种安全算法时,目标安全算法即该安全算法;当终端设备支持多种安全算法时,目标安全算法可以是所述多种安全算法中安全等级最高的安全算法,也可以是该多种安全算法中安全等级较低的安全算法,从而可以根据实际情况灵活确定合适的安全算法。。
[0065]
S320,所述终端设备根据所述目标安全算法与所述网关设备进行通信。
[0066]
终端设备根据网关设备发送的指示信息确定目标安全算法后,根据该目标安全算法与网关设备进行通信,从而增强了终端设备和网关设备之间通信的安全性能。
[0067]
可选地,所述终端设备根据所述目标安全算法与所述网关设备进行通信之前,所述方法300还包括:
[0068]
S330,所述终端设备从所述网关设备接收第二指示信息和MAC,所述第二指示信息用于指示完整性算法。
[0069]
S340,所述终端设备根据所述完整性算法和所述MAC校验承载所述第一指示信息的消息的完整性。
[0070]
本申请实施例中,第二指示信息用于指示网关设备(即,网关设备)选取的完整性算法(其中,终端设备支持该完整性算法),MAC为根据该完整性算法计算得到的正确结果,如果终端设备根据该完整性算法得到的结果与该MAC相同,则说明承载第一指示信息的消息是完整的,未被篡改,终端设备可以根据第一指示信息指示的目标安全算法与网关设备进行通信;如果终端设备根据该完整性算法得到的结果与该MAC不同, 则说明承载第一指示信息的消息是不完整的,该消息可能被篡改,终端设备可以放弃使用该第一指示信息指示的目标安全算法。第二指示信息与MAC可以与第一指示信息承载于同一个消息中,也可以与第一指示信息承载于不同的消息中。
[0071]
因此,本申请实施例提供的无线通信的方法,终端设备对承载第一指示信息的消息进行完整性验证,从而可以防止承载第一指示信息的消息被篡改导致的通信安全性减弱,增强了终端设备和网关设备之间通信的安全性能。
[0072]
可选地,所述终端设备根据所述目标安全算法与所述网关设备进行通信之前,所述方法300还包括:
[0073]
S350,所述终端设备从所述网关设备接收安全能力信息。
[0074]
S360,所述终端设备根据所述终端设备的安全能力校验所述安全能力信息是否正确。
[0075]
该安全能力信息例如可以指示安全算法,终端设备接收到该安全能力信息后根据自己支持的安全算法校验该安全能力信息是否正确,如果该安全能力信息指示的安全算法与终端设备支持的安全算法一致,则终端设备确定该安全能力信息正确,说明网关设备确定的终端设备的安全能力正确,终端设备可以根据第一指示信息指示的目标安全算法与网关设备进行通信;如果该安全能力信息指示的安全算法与终端设备支持的安全算法不一致,则终端设备确定该安全能力信息不正确,说明网关设备确定的终端设备的安全能力不正确,终端设备可以放弃使用第一指示信息指示的目标安全算法。上述实施例仅是举例说明,本申请实施例不限于此,例如,安全信息还可以指示其它的内容。此外,该安全能力信息可以与第一指示信息承载于同一个消息中,也可以与第一指示信息承载于不同的消息中。
[0076]
因此,本申请实施例提供的无线通信的方法,终端设备通过校验网关设备发送的安全能力信息,可以避免网关设备根据错误的终端设备的安全能力确定目标安全算法,从而增强了终端设备和网关设备之间通信的安全性能。
[0077]
可选地,所述终端设备从网关设备接收第一指示信息之前,所述方法还包括:
[0078]
S370,所述终端设备向所述网关设备发送安全能力信息,所述安全能力信息用于指示所述终端设备支持的安全算法。
[0079]
本申请实施例提供的无线通信的方法,可以使得网关设备可以灵活确定终端设备的安全能力。
[0080]
上述实施例分别从网关设备和终端设备的角度描述了本申请提供的无线通信的方法,下面将基于上面所述的本申请实施例涉及的共性方面,对本申请实施例进一步详细说明。
[0081]
图4是本申请实施例提供的再一种无线通信的方法的通信示意图,如图4所示,该方法400包括:
[0082]
S401,UE向SGSN发送附着请求/跟踪区域更新请求消息,上述请求消息中携带UE的标识。
[0083]
S402,SGSN向HLR/HSS发送认证数据请求消息,请求消息中携带UE的标识。
[0084]
S403,HLR/HSS根据UE的标识生成鉴权向量(Authentication Vectors,AV)并计算E2E安全密钥,该安全密钥包括加密密钥(Ciphering Key,CK)和完整性密钥(Integrity Key,IK)。
[0085]
S404,HLR/HSS将AV发送给SGSN。
[0086]
S405,UE和SGSN根据AV进行认证。
[0087]
S406,认证成功后,如果UE支持E2E安全,计算出E2E安全密钥。
[0088]
S407,HLR/HSS将E2E安全密钥推送给网关GPRS支撑节点(Gateway GPRS Support Node,GGSN)。
[0089]
S408,UE向SGSN发送激活分组数据协议(Packet Data Protocol,PDP)上下文请求消息,请求消息中包括UE的标识、UE的安全能力和E2E安全指示(本实施中,E2E安全指示为可选的信息)。
[0090]
S409,SGSN向GGSN发送建立PDP上下文请求消息,请求消息中包括UE的标识、UE的安全能力和E2E安全指示。
[0091]
S410,GGSN从HLR/HSS获取E2E安全密钥,其中,S410和S407二选一执行。
[0092]
S411,GGSN根据UE的安全能力和GGSN算法优先级列表选择加密算法(即,目标安全算法)和完整性算法。
[0093]
S412,GGSN向SGSN发送建立PDP上下文响应消息,响应消息中包括GGSN选择的加密算法、完整性算法、UE的安全能力和MAC值。
[0094]
S413,SGSN向UE发送激活PDP上下文接受消息,接受消息中包括加密算法、完整性算法、UE的安全能力和MAC值。
[0095]
S414,UE成功验证MAC和UE的安全能力后,UE和GGSN为数据提供E2E机密性和完整性保护。
[0096]
本申请实施例提供的无线通信的方法400,网关设备(即,GGSN)根据终端设备(即,UE)的安全能力确定终端设备所支持的安全算法,并向终端设备指示网关设备所选取的目标安全算法,从而可以选择合适的安全算法进行通信,增强了终端设备和网关设备之间通信的安全性能。
[0097]
图5是本申请实施例提供的再一种无线通信的方法的通信示意图,如图5所示,该方法500包括:
[0098]
S501,UE向MME发送附着请求/跟踪区域更新请求消息,请求消息中携带UE的标识。
[0099]
S502,MME向HLR/HSS发送认证数据请求消息,请求消息中携带UE的标识。
[0100]
S503,HLR/HSS根据UE的标识生成AV并计算E2E安全密钥,该安全密钥包括CK和IK。
[0101]
S504,HLR/HSS将AV和E2E安全指示发送给MME。
[0102]
S505,UE和MME根据AV进行认证。
[0103]
S506,认证成功后,如果UE支持E2E安全,计算出E2E安全密钥。
[0104]
S507,HLR/HSS将E2E安全密钥推送给分组数据网网关(Packet Data Network Gateway,P-GW)。
[0105]
S508,MME向服务网关(Serving Gateway,S-GW)发送建立会话请求消息,如果MME从HLR/HSS收到E2E安全指示,那么请求消息中包括UE的标识,UE的安全能力。
[0106]
S509,S-GW向P-GW发送建立会话请求消息,请求消息中包括UE的标识,UE的安全能力。
[0107]
S510,P-GW从HLR/HSS获取E2E安全密钥,其中,S510和S507二选一执行。
[0108]
S511,P-GW根据UE的安全能力和P-GW算法优先级列表选择加密算法(即,目标安全算法)和完整性算法。
[0109]
S512,P-GW向S-GW发送建立会话响应消息,响应消息中包括P-GW选择的加密算法、完整性算法、UE的安全能力和MAC。
[0110]
S513,S-GW向MME发送建立会话响应消息,响应消息中包括加密算法、完整性算法、UE的安全能力和MAC。
[0111]
S514,MME向UE发送附着接受消息,接受消息中包括加密算法、完整性算法、UE的安全能力和MAC。
[0112]
S515,UE验证MAC和UE的安全能力。
[0113]
S516,UE成功验证MAC以及UE的安全能力后,UE向MME发送附着完成消息。
[0114]
S517,MME向S-GW发送修改承载请求消息。
[0115]
S518,S-GW向P-GW发送修改承载请求消息。
[0116]
S519,UE和P-GW为数据提供E2E机密性和完整性保护。
[0117]
本申请实施例提供的无线通信的方法500,网关设备(即,P-GW)根据终端设备(即,UE)的安全能力确定终端设备所支持的安全算法,并向终端设备指示网关设备所选取的目标安全算法,从而可以选择合适的安全算法进行通信,增强了终端设备和网关设备之间通信的安全性能。
[0118]
图6是本申请实施例提供的再一种无线通信的方法的通信示意图,如图6所示,该方法600包括:
[0119]
S601,HLR/HSS将E2E安全密钥和UE的安全能力推送给GGSN/P-GW,或者GGSN/P-GW从HLR/HSS获取E2E安全密钥和UE的安全能力,其中,HLR/HSS保存的签约数据中预配了UE的安全能力。
[0120]
S602,GGSN根据UE的安全能力和GGSN算法优先级列表选择加密算法和完整性算法,或者,P-GW根据UE的安全能力和P-GW算法优先级列表选择加密算法和完整性算法。
[0121]
S603,GGSN向SGSN发送响应消息,响应消息中包括GGSN选择的加密算法(即,目标安全算法)、完整性算法、UE的安全能力和MAC,或者,P-GW向MME发送响应消息,响应消息中包括P-GW选择的加密算法(即,目标安全算法)、完整性算法、UE的安全能力和MAC。
[0122]
S604,SGSN/MME向UE发送响应消息,响应消息中包括加密算法、完整性算法、UE的安全能力和MAC。
[0123]
S605,UE验证MAC和UE的安全能力。
[0124]
S606,UE成功验证MAC和UE的安全能力后,UE和GGSN/P-GW为数据提供E2E机密性和完整性保护。
[0125]
本申请实施例提供的无线通信的方法600,网关设备(即,P-GW或GGSN)根据终端设备(即,UE)的安全能力确定终端设备所支持的安全算法,并向终端设备指示网关设备所选取的目标安全算法,从而可以选择合适的安全算法进行通信,增强了终端设备和网关设备之间通信的安全性能。
[0126]
图7是本申请实施例提供的再一种无线通信的方法的通信示意图,如图7所示,该方法700包括:
[0127]
S701,HLR/HSS将E2E安全密钥推送给GGSN/P-GW,其中,HLR/HSS保存的签约数据中预配了UE的安全能力。
[0128]
S702,UE向SGSN/MME发送请求消息,消息中包括UE的安全能力。
[0129]
S703,SGSN向GGSN发送请求消息,请求消息中包括UE的安全能力;或者,MME向P-GW发送请求消息,请求消息中包括UE的安全能力。
[0130]
S704,GGSN/P-GW从HLR/HSS获取E2E安全密钥,其中,S701和S704二选一执行;
[0131]
S705,GGSN根据UE的安全能力和GGSN算法优先级列表选择加密算法和完整性算法;或者,P-GW根据UE的安全能力和P-GW算法优先级列表选择加密算法和完整性算法。
[0132]
S706,GGSN向SGSN发送响应消息,响应消息中包括GGSN选择的加密算法(即,目标安全算法)、完整性算法、UE的安全能力和MAC;或者,P-GW向MME发送响应消息,响应消息中包括P-GW选择的加密算法(即,目标安全算法)、完整性算法、UE的安全能力和MAC。
[0133]
S707,SGSN/MME向UE发送响应消息,响应消息中包括加密算法、完整性算法、UE的安全能力和MAC。
[0134]
S708,UE验证MAC和UE的安全能力。
[0135]
S709,UE成功验证MAC和UE的安全能力后,UE和GGSN/P-GW为数据提供E2E机密性和完整性保护。
[0136]
本申请实施例提供的无线通信的方法700,网关设备(即,P-GW或GGSN)根据终端设备(即,UE)的安全能力确定终端设备所支持的安全算法,并向终端设备指示网关设备所选取的目标安全算法,从而可以选择合适的安全算法进行通信,增强了终端设备和网关设备之间通信的安全性能。
[0137]
上面主要从网元之间交互的角度对本申请实施例的方案进行了介绍。可以理解的是,网关设备和终端设备为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
[0138]
本申请实施例可以根据上述方法示例对网关设备、终端设备等进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
[0139]
在采用集成的单元的情况下,图8A示出了上述实施例中所涉及的网关设备的一种可能的结构示意图。网关设备800包括:处理单元802和通信单元803。处理单元802用于对网关设备800的动作进行控制管理,例如,处理单元802用于支持网关设备800执行图2的S210和/或用于本文所描述的技术的其它过程。通信单元803用于支持网关设备800与其它网络实体的通信,例如与图4中示出的UE之间的通信。网关设备800还可以 包括存储单元801,用于存储网关设备800的程序代码和数据。
[0140]
其中,处理单元802可以是处理器或控制器,例如可以是中央处理器(Central Processing Unit,CPU),通用处理器,数字信号处理器(Digital Signal Processor,DSP),专用集成电路(Application-Specific Integrated Circuit,ASIC),现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元803可以是通信接口等。存储单元801可以是存储器。
[0141]
当处理单元802为处理器,通信单元803为通信接口,存储单元801为存储器时,本申请实施例所涉及的网关设备可以为图8B所示的网关设备。
[0142]
参阅图8B所示,该网关设备810包括:处理器812、通信接口813、存储器811。其中,通信接口813、处理器812以及存储器811可以通过内部连接通路相互通信,传递控制和/或数据信号。
[0143]
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0144]
因此,本申请实施例提供的网关设备,根据终端设备的安全能力确定终端设备所支持的安全算法,并向终端设备指示网关设备所选取的目标安全算法,从而可以选择合适的安全算法进行通信,增强了终端设备和网关设备之间通信的安全性能。
[0145]
在采用集成的单元的情况下,图9A示出了上述实施例中所涉及的终端设备的一种可能的结构示意图。终端设备900包括:处理单元902和通信单元903。处理单元902用于对终端设备900的动作进行控制管理,例如,处理单元902用于通过通信单元903支持终端设备900执行图3的S310,和/或用于本文所描述的技术的其它过程。通信单元903用于支持终端设备900与其它网络实体的通信,例如与图4中示出的GGSN之间的通信。终端设备900还可以包括存储单元901,用于存储终端设备900的程序代码和数据。
[0146]
其中,处理单元902可以是处理器或控制器,例如可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元903可以是收发器、收发电路等。存储单元901可以是存储器。
[0147]
当处理单元902为处理器,通信单元903为收发器,存储单元901为存储器时,本申请实施例所涉及的终端设备可以为图9B所示的终端设备。
[0148]
参阅图9B所示,该终端设备910包括:处理器912、收发器913、存储器911。其中,收发器913、处理器912以及存储器911可以通过内部连接通路相互通信,传递控制和/或数据信号。
[0149]
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0150]
因此,本申请实施例提供的终端设备,根据网关设备发送的指示信息确定目标安全算法后,根据该目标安全算法与网关设备进行通信,从而增强了终端设备和网关设备之 间通信的安全性能。
[0151]
在本申请各个实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
[0152]
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0153]
结合本申请实施例公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(Read Only Memory,ROM)、可擦除可编程只读存储器(Erasable Programmable ROM,EPROM)、电可擦可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于网关设备或终端设备中。当然,处理器和存储介质也可以作为分立组件存在于网关设备或终端设备中。
[0154]
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
[0155]
以上所述的具体实施方式,对本申请的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请的具体实施方式而已,并不用于限定本申请的保护范围,凡在本申请的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本申请的保护范围之内。

权利要求书

[权利要求 1]
一种无线通信的方法,其特征在于,包括: 网关设备从终端设备支持的安全算法中确定目标安全算法; 所述网关设备向所述终端设备发送第一指示信息,所述第一指示信息用于指示所述目标安全算法; 所述网关设备根据所述目标安全算法与所述终端设备进行通信。
[权利要求 2]
根据权利要求1所述的方法,其特征在于,所述网关设备根据所述目标安全算法与所述终端设备进行通信之前,所述方法还包括: 所述网关设备向所述终端设备发送第二指示信息和消息鉴权码MAC,所述第二指示信息用于指示完整性算法,所述完整性算法和所述MAC用于所述终端设备校验承载所述第一指示信息的消息的完整性。
[权利要求 3]
根据权利要求1或2所述的方法,其特征在于,所述网关设备根据所述目标安全算法与所述终端设备进行通信之前,所述方法还包括: 所述网关设备向所述终端设备发送安全能力信息,以便于所述终端设备根据所述终端设备的安全能力校验所述安全能力信息是否正确。
[权利要求 4]
根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括: 所述网关设备从所述终端设备或者核心网设备接收安全能力信息; 所述网关设备根据所述安全能力信息确定所述终端设备支持的安全算法。
[权利要求 5]
一种无线通信的方法,其特征在于,包括: 终端设备从网关设备接收第一指示信息,所述第一指示信息用于指示目标安全算法; 所述终端设备根据所述目标安全算法与所述网关设备进行通信。
[权利要求 6]
根据权利要求5所述的方法,其特征在于,所述终端设备根据所述目标安全算法与所述网关设备进行通信之前,所述方法还包括: 所述终端设备从所述网关设备接收第二指示信息和消息鉴权码MAC,所述第二指示信息用于指示完整性算法; 所述终端设备根据所述完整性算法和所述MAC校验承载所述第一指示信息的消息的完整性。
[权利要求 7]
根据权利要求5或6所述的方法,其特征在于,所述终端设备根据所述目标安全算法与所述网关设备进行通信之前,所述方法还包括: 所述终端设备从所述网关设备接收安全能力信息; 所述终端设备根据所述终端设备的安全能力校验所述安全能力信息是否正确。
[权利要求 8]
根据权利要求5至7中任一项所述的方法,其特征在于,所述终端设备从网关设备接收第一指示信息之前,所述方法还包括: 所述终端设备向所述网关设备发送安全能力信息,所述安全能力信息用于指示所述终端设备支持的安全算法。
[权利要求 9]
一种网关设备,其特征在于,包括:处理单元和通信单元, 所述处理单元用于从终端设备支持的安全算法中确定目标安全算法;以及用于通过所述通信单元向所述终端设备发送第一指示信息,所述第一指示信息用于指示所述目标安全算法;以及用于根据所述目标安全算法通过所述通信单元与所述终端设备进行通信。
[权利要求 10]
根据权利要求9所述的网关设备,其特征在于,所述处理单元还用于: 通过所述通信单元向所述终端设备发送第二指示信息和消息鉴权码MAC,所述第二指示信息用于指示完整性算法,所述完整性算法和所述MAC用于所述终端设备校验承载所述第一指示信息的消息的完整性。
[权利要求 11]
根据权利要求9或10所述的网关设备,其特征在于,所述处理单元还用于: 通过所述通信单元向所述终端设备发送安全能力信息,以便于所述终端设备根据所述终端设备的安全能力校验所述安全能力信息是否正确。
[权利要求 12]
根据权利要求9至11中任一项所述的网关设备,其特征在于,所述处理单元还用于: 通过所述通信单元从所述终端设备或者核心网设备接收安全能力信息;以及用于根据所述安全能力信息确定所述终端设备支持的安全算法。
[权利要求 13]
一种无线通信的终端设备,其特征在于,包括:处理单元和通信单元, 所述处理单元用于通过所述通信单元从网关设备接收第一指示信息,所述第一指示信息用于指示目标安全算法;以及用于根据所述目标安全算法通过所述通信单元与所述网关设备进行通信。
[权利要求 14]
根据权利要求13所述的终端设备,其特征在于,所述处理单元还用于: 通过所述通信单元从所述网关设备接收第二指示信息和消息鉴权码MAC,所述第二指示信息用于指示完整性算法;以及用于根据所述完整性算法和所述MAC校验承载所述第一指示信息的消息的完整性。
[权利要求 15]
根据权利要求13或14所述的终端设备,其特征在于,所述处理单元还用于: 通过所述通信单元从所述网关设备接收安全能力信息;根据所述终端设备的安全能力校验所述安全能力信息是否正确。
[权利要求 16]
根据权利要求13至15中任一项所述的终端设备,其特征在于,所述处理单元还用于: 通过所述通信单元向所述网关设备发送安全能力信息,所述安全能力信息用于指示所述终端设备支持的安全算法。

附图

[ 图 0001]  
[ 图 0002]  
[ 图 0003]  
[ 图 0004]  
[ 图 0005]  
[ 图 0006]  
[ 图 0007]  
[ 图 0008]  
[ 图 0009]  
[ 图 0010]  
[ 图 0011]