专利名称:一种安全上下文的生成方法及装置的利记博彩app
技术领域:
本发明涉及通信技术领域,特别涉及一种安全上下文的生成方法及装置。
背景技术:
第三代移动通信伙伴项目长期演进(Third Generation Partnership ProjectLong Term Evolution, 3GPP LTE)是第三代(Third Generation, 3G)网络演进后 的系统,是基于分组域的移动通信系统。系统包括移动终端(MobileStation,MS),演进了 的基站(Evolved Node B,eNb),演进了的移动性管理实体(Mobility Management Entity, MME),服务网关(Serving GatewaySGW) / 分组数据节点网关(Packet Data Node Gateway, PDNGff)等部分。通过SGW/PDNGW和外部数据网络连接,实现LTE网络与外部数据网的通信。 其中MS为属于终端设备,eNb为无线接入设备,MME和SGW/PDNGW为核心网设备。在LTE系统中,为保证UE和网络侧的通信安全,现有协议规定SERVICEREQ消息必 须进行完整性保护,即,当前UE和MME同时保存了一套对应的安全上下文,该安全上下文包 括完整性保护密钥、加密密钥、加解保护/加解密的算法等。对于SERVICE REQ这样需要 在UE和MME之间发送的消息,则对其进行加保护的密钥和算法,需要使用当前UE和MME保 存的安全上下文。LTE的用户设备的网络能力改变后,网络侧寻呼用户设备的流程如下1、LTE用户设备(User Equipment, UE)侧注册成功后,空闲(IDLE)态下,如果 UE的网络能力被修改,则非接入层演进了的分组系统的移动性管理(Non Access Stratum Evolved Packet System Mobility Management, NASEMM)要执行足艮踪区更新(Tracking Area Update,TAU)流程,把修改的参数通知给网络。UE的网络能力是在网络中用一个信元 标示,用于UE告知核心网该UE支持的加解密、完整性保护的算法,例如在LTE系统中相 对于2G/3G新增的信元,用于UE告知核心网所述UE支持的加解密、完整性保护的算法。由 于当前UE处于空闲态,NAS EMM要请求无线资源管理(RadioResource Control,RRC)建立 空口的RRC连接,请求的建链类型为主叫信令(Mobile Originated SIGNAL,MO SIGNAL); RRC是一个协议模块,在UE和网络实体eNb中都有,可以用软件实现。2、UE侧的RRC收到NAS的MO SIGNAL类型的建链请求后,RRC根据当前小区的系 统消息(基站会在物理信道中广播此系统消息)中的接入禁止信息,判断是否允许此类型 的接入。如果当前禁止此类型的建链接入,则RRC通知NAS EMM建链失败,小区被禁止MO SIGNAL类型的接入;3、网络侧给该终端发送寻呼消息,来定位上述UE的位置,具体可以是MME给eNB 发送寻呼(PAGING)消息,寻呼该UE;4、eNB 在最终用户(Ultimate User Uu) 口寻呼该 UE;5、UE侧RRC收到此寻呼消息后,将寻呼消息发送给NAS EMM ;6、由于E匪处于MO SIGNAL类型的禁止接入状态,NAS E匪收到此寻呼消息后,需 要向网络侧发送响应寻呼(PAGING)的消息,具体地,EMM需要向演进了的移动性管理实体(Mobility Management Entity,MME)发送服务请求(SERVICE REQ)消息,建立用户面承载。由于UE网络能力已经改变,UE已经不支持MME保存的安全上下文的算法,原有 的安全上下文失效,所以UE此时不应使用原来的安全上下文进行保护,此时即使UE对 SERVICE REQ消息用该已失效的安全上下文进行加保护,MME也无法识别此消息,即认为没 有收到寻呼响应,也无法生成新的安全上下文,因此不应触发RRC建链的流程。另外,由于 无法触发RRC建链的流程,网络侧发起的PAGING会失败,导致网络侧无法寻呼到该UE。
发明内容
本发明实施例要解决的技术问题是提供一种安全上下文的生成方法及装置,在UE 网络能力改变时建立安全上下文。为解决上述技术问题,本发明所提供的安全上下文生成的方法实施例可以通过以 下技术方案实现接收携带用户设备的网络能力的第一消息;若所述第一消息携带的用户设备的网络能力与保存的所述用户设备的网络能力 不一致,则根据所述第一消息携带的用户设备的网络能力,生成安全上下文。一种安全上下文生成的方法,包括终端侧设备判断用户设备的网络能力是否改变;若该用户设备的网络能力已经改变,则所述终端侧设备向移动性管理实体MME发 送第一消息,所述第一消息中携带当前用户设备的网络能力,以便于所述MME根据所述当 前用户设备的网络能力生成安全上下文。一种安全上下文生成的装置,包括消息接收单元,用于接收携带用户设备的网络能力的第一消息;上下文生成单元,用于若所述第一消息携带的用户设备的网络能力与保存的所述 用户设备的网络能力不一致,则根据所述第一消息携带的用户设备的网络能力,生成安全 上下文。一种终端侧设备,包括判断单元,用于判断用户设备的网络能力是否改变;消息生成单元,用于若判断单元判断结果为已经改变,则生成第一消息,所述第一 消息中携带当前用户设备的网络能力;发送单元,用于向移动性管理实体MME发送第一消息,以便于所述MME根据所述当 前用户设备的网络能力生成安全上下文。上述技术方案具有如下有益效果在UE网络能力改变后,向网络侧发送携带UE网 络能力的信息,以告知网络侧UE的网络能力已经改变,使网络侧能够获知UE网络能力,并 根据UE改变后的网络能力生成安全上下文,进而能够触发RRC建链的流程,另外,也使得网 络侧发起PAGING成功,从而让网络侧能够寻呼到UE。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用 的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他 的附图。图1为本发明实施例方法流程示意图;图2为本发明实施例方法流程示意图;图3为本发明实施例方法流程示意图;图4为本发明实施例装置结构示意图;图5为本发明实施例装置结构示意图;图6为本发明实施例装置结构示意图;图7为本发明实施例终端侧设备结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。本发明实施例提供了一种安全上下文生成的方法,如图1所示,包括101 接收携带用户设备的网络能力的第一消息;其中,UE的网络能力是在网络中的一个信元标示,用于UE告知核心网UE支持的 加解密、完整性保护的算法。可选的,上述第一消息为服务请求(SERVICE REQ)消息,在上述服务请求消息的可 选信元中携带用户设备的网络能力。另外,还可以在上述服务请求消息的可选信元中携带 用户设备的网络能力并且消息验证代码Messageauthentication code字段为可选,上述消 息验证代码字段用于标识SERVICEREQ消息是否需要完整性保护。当然上述第一消息还可 以是SERVICE REQ以外的其它该消息,即不受MO SIGNAL类型的接入禁止制约的消息,例如 生成的新的消息,对此本发明实施例不予限定。在后续实施例中,将给出通过SERVICE REQ 消息携带用户设备的网络能力的具体格式。102:若上述第一消息携带的用户设备的网络能力与保存的上述用户设备的网络 能力不一致,则根据上述第一消息携带的用户设备的网络能力,生成安全上下文。如果第一消息是SERVICE REQ消息,上述方法102中确定网络能力是否一致的具 体实现可以是判断上述服务请求SERVICE REQ消息是否经过完整性保护;如果上述服务 请求SERVICE REQ消息未经过完整性保护,则判断上述服务请求SERVICE REQ消息中携带 的用户设备的网络能力与保存的上述用户设备的网络能力是否一致。具体地,102中,生成安全上下文的方法可以是分别与非接入层NAS、无线资源管理RRC执行安全模式命令(SE⑶RITYM0DE COMMAND, SMC)生成加解密和/或加解保护算法。进一步地,还可以与用户设备进行互相 鉴权和协商密钥(Authentication and KeyAgreement,AKA)流程生成完整性保护密钥。对 此后续实施例将给出更详细的说明。以上方法实施例的执行主体为网络侧的设备,如MME,以下将给出以UE侧设备为 执行主体的一种安全上下文生成的方法,其中终端侧设备可以是UE也可以是UE_EMM等其它设备,如图2所示,包括201 终端侧设备判断用户设备的网络能力是否改变;202:若该用户设备的网络能力已经改变,则上述终端侧设备向移动性管理实体 MME发送第一消息,上述第一消息中携带当前用户设备的网络能力,以便于上述MME根据上 述当前用户设备的网络能力生成安全上下文。可选地,上述第一消息为服务请求SERVICE REQ消息,在上述服务请求消息的可选 信元中携带用户设备的网络能力;上述服务请求SERVICE REQ消息未经过完整性保护;或 者在上述服务请求消息的可选信元中携带用户设备的网络能力并且消息验证代码Message authentication code字段为可选。当然上述第一消息还可以是SERVICE REQ以外的其 它消息,例如生成的新的消息,对此本发明实施例不予限定。在后续实施例中,将给出通过 SERVICE REQ消息携带用户设备的网络能力的具体格式。在UE网络能力改变后,向网络侧发送携带UE网络能力的信息,以告知网络侧UE 的网络能力已经改变,网络侧可判断当前用户设备的网络能力与网络侧保存的上述用户设 备的网络能力是否一致,使网络侧能够获知当前UE网络能力,并根据UE改变后的网络能力 生成安全上下文,进而能够触发RRC建链的流程,另外,也使得网络侧发起PAGING成功,从 而让网络侧能够寻呼到UE。另外,采用SERVICE REQ消息携带用户设备的网络能力不需要 增加新的消息,保持了 UE侧原有的SERVICE REQ流程。为了更具体的说明安全上下文生成的方法,本发明实施例还提供了 LTE的用户设 备的网络能力改变后,网络侧寻呼用户设备的流程为例进行说明,可以理解的是安全上下 文可以用于通信的其它用途,不仅仅局限于网络侧寻呼UE ;在本实施例中以SERVICE REQ 消息携带用户网络能力的信息以及以UE_EMM执行为例进行说明,如图3所示301 :UE_EMM接收到网络侧发送的响应寻呼(PAGING)的消息后,此时UE_EMM需要 向演进了的移动性管理实体(Mobility Management Entity,MME)发送服务请求(SERVICE REQ)消息,建立用户面承载。由于UE_EMM探测到,修改后的UE网络能力不支持当前已经 存在(即保存在UE侧和网络侧的)的安全上下文,则UE在生成SERVICE REQ消息时,可以 不再填写shortMAC信元,而填写UE网络能力信元。此时,该SERVICE REQ消息不再被完 整性保护;则NAS请求UE_RRC建链时,建链类型为被叫呼叫(MobileTerminated CALL, MT CALL)。具体地,SERVICE REQ消息格式如表1或表2所示表 1 表2 表 1 禾口表 2 中,M =Mandatory 必选;0 =Optional 可选;V =Value 值;TLV :Tag Length Value标签长度值。在表1的格式中,Message authenticationcode保持不变,在表2的格 式中,Message authentication code 设置为可选,但均添力口了 UE network capability 字 段。另外,在SERVICE REQ消息中的可选的信元携带UE网络能力,还可以携带以及其 他需要及时通知网络的信元(Information Element, IE),如不连续接收(Discontinuous Rec印tion,DRX),移动台(Mobile Station, MS)网络能力等。302 :UE_RRC与eNB建链成功,UE_RRC把无保护无加密的SERVICE REQ消息发送给 eNB ;303 :eNB把该无保护无加密的SERVICE REQ消息发送给MME ;MME收到该无保护无 加密的SERVICE REQ消息后,可知该消息没有加保护,则读取可选信元中UE的网络能力,若 读取到UE的网络能力,则意味着UE网络能力发生改变,则UE网络能力可能不支持当前的 安全上下文,则MME可以重新生成算法,或者算法和完整性保护的密钥;其中生成完整性保 护的密钥为304生成算法为305。本步骤中,对应于表1或表2的格式MME读取UE的网络能力可以采用如下方式读 取,对于表1 通过判断发现若有信元UE network capability,并且新的UE网络能力与现 有的安全上下文不匹配,则不再判断信元Messageauthentication code,即不再判断该消 息的完整性保护是否通过。对于表2,通过判断发现SERVICE REQ消息没有加保护,则继续 判断是否有可选信元UE网络能力。 304 =MME根据网络侧需要决定是否执行新的AKA流程;在AKA流程中,MME终端互相鉴权,并生成新的完整性保护密钥,用于后续的加密和完整性保护,本步骤是可选的,直 接执行305也是可以的。305 =MME 执行安全模式命令(SECURITY MODE COMMAND, SMC)流程,以和 UE、eNB 协 商新的算法,然后可以根据新的算法生成新的密钥和完整性保护密钥、中间密钥(KENB*); UE NAS、UE_RRC和eNB、MME都协商好新的密钥、算法后,安全上下文重新建立完成;然后根 据安全上下文建立用户面承载,从而可以响应UE的被叫。在UE网络能力改变后,向网络侧发送携带UE网络能力的信息,以告知网络侧UE 的网络能力已经改变,使网络侧能够获知UE网络能力,并根据UE改变后的网络能力生成安 全上下文,进而能够触发RRC建链的流程,另外,也使得网络侧发起PAGING成功,从而让网 络侧能够寻呼到UE。另外,采用SERVICE REQ消息携带用户设备的网络能力不需要增加新 的消息,保持了 UE侧原有的SERVICE REQ流程。本发明实施例还提供了一种安全上下文生成的装置,如图4所示,包括消息接收单元401,用于接收携带用户设备的网络能力的第一消息;上下文生成单元402,用于若上述第一消息携带的用户设备的网络能力与保存的 上述用户设备的网络能力不一致,则根据上述第一消息携带的用户设备的网络能力,生成 安全上下文。可选地,如图5所示,上述上下文生成单元402包括SMC子单元4021,用于与非接入层NAS和无线资源管理RRC分别执行安全模式命 令SMC,生成加解保护算法和/或加解密算法。如图6所示,上述上下文生成单元402还包括AKA子单元4022,用于与用户设备进行互相鉴权和协商密钥AKA流程生成完整性 保护密钥。本发明实施例还提供了一种终端侧设备,如图7所示,包括判断单元501,用于判断用户设备的网络能力是否改变;消息生成单元502,用于若判断单元501判断结果为已经改变,则生成第一消息, 上述第一消息中携带当前用户设备的网络能力;发送单元503,用于向移动性管理实体MME发送第一消息,以便于上述MME根据上 述当前用户设备的网络能力生成安全上下文。具体地,上述消息生成单元502,用于服务请求SERVICE REQ消息,在上述服务请 求消息的可选信元中携带用户设备的网络能力,上述服务请求SERVICE REQ消息未经过完 整性保护;或者在上述服务请求消息的可选信元中添加用户设备的网络能力并且设置消息 验证代码Message authenticationcode字段为可选。上述实施例,在UE网络能力改变后,终端侧向网络侧发送携带UE网络能力的信 息,以告知网络侧UE的网络能力已经改变,使网络侧能够获知UE网络能力,并根据UE改 变后的网络能力生成安全上下文,进而能够触发RRC建链的流程,另外,也使得网络侧发起 PAGING成功,从而让网络侧能够寻呼到UE。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以 通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到 的存储介质可以是只读存储器,磁盘或光盘等。
以上对本发明实施例所提供的一种安全上下文的生成方法及装置进行了详细介 绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只 是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发 明的思想,在具体实施方式
及应用范围上均会有改变之处,综上,本说明书内容不应理解为 对本发明的限制。
权利要求
一种安全上下文生成的方法,其特征在于,包括接收携带用户设备的网络能力的第一消息;若所述第一消息携带的用户设备的网络能力与保存的所述用户设备的网络能力不一致,则根据所述第一消息携带的用户设备的网络能力,生成安全上下文。
2.根据权利要求1所述方法,其特征在于,所述生成安全上下文包括与非接入层NAS和无线资源管理RRC分别执行安全模式命令SMC,生成加解保护算法和 /或加解密算法。
3.根据权利要求2所述方法,其特征在于,所述生成安全上下文还包括与用户设备进行互相鉴权和协商密钥AKA流程生成完整性保护密钥。
4.根据权利要求1至3任意一项所述方法,其特征在于,所述第一消息为服务请求SERVICE REQ消息,所述服务请求消息的可选信元中携带用 户设备的网络能力。
5.根据权利要求4所述方法,其特征在于,还包括判断所述服务请求SERVICE REQ消息是否经过完整性保护;如果所述服务请求SERVICE REQ消息未经过完整性保护,则判断所述服务请求SERVICE REQ消息中携带的用户设备的网络能力与保存的所述用户设备的网络能力是否一致。
6.一种安全上下文生成的方法,其特征在于,包括终端侧设备判断用户设备的网络能力是否改变;若该用户设备的网络能力已经改变,则所述终端侧设备向移动性管理实体MME发送第 一消息,所述第一消息中携带当前用户设备的网络能力,以便于所述MME根据所述当前用 户设备的网络能力生成安全上下文。
7.根据权利要求6所述方法,其特征在于,所述第一消息为服务请求SERVICEREQ消 息,在所述服务请求消息的可选信元中携带用户设备的网络能力;所述服务请求SERVICE REQ消息未经过完整性保护。
8.一种安全上下文生成的装置,其特征在于,包括消息接收单元,用于接收携带用户设备的网络能力的第一消息;上下文生成单元,用于若所述第一消息携带的用户设备的网络能力与保存的所述用户 设备的网络能力不一致,则根据所述第一消息携带的用户设备的网络能力,生成安全上下 文。
9.根据权利要求8所述装置,其特征在于,所述安全上下文生成单元包括SMC子单元,用于与非接入层NAS和无线资源管理RRC分别执行安全模式命令SMC,生 成加解保护算法和/或加解密算法。
10.根据权利要求9所述装置,其特征在于,所述安全上下文生成单元还包括AKA子单元,用于与用户设备进行互相鉴权和协商密钥AKA流程生成完整性保护密钥。
11.一种终端侧设备,其特征在于,包括判断单元,用于判断用户设备的网络能力是否改变;消息生成单元,用于若判断单元判断结果为已经改变,则生成第一消息,所述第一消息 中携带当前用户设备的网络能力;发送单元,用于向移动性管理实体MME发送第一消息,以便于所述MME根据所述当前用户设备的网络能力生成安全上下文。
12.根据权利要求11所述终端侧设备,其特征在于,所述消息生成单元,用于生成服务 请求SERVICE REQ消息,在所述服务请求消息的可选信元中携带用户设备的网络能力;所 述服务请求SERVICE REQ消息未经过完整性保护。
全文摘要
本发明实施例公开了一种安全上下文的生成方法及装置,其中方法的实现包括接收携带用户设备的网络能力的第一消息;若所述第一消息携带的用户设备的网络能力与保存的所述用户设备的网络能力不一致,则根据所述第一消息携带的用户设备的网络能力,生成安全上下文。在UE网络能力改变后,向网络侧发送携带UE网络能力的信息,以告知网络侧UE的网络能力已经改变,使网络侧能够获知UE网络能力,并根据UE改变后的网络能力生成安全上下文,进而能够触发RRC建链的流程,另外,也使得网络侧发起PAGING成功,从而让网络侧能够寻呼到UE。
文档编号H04W12/04GK101925050SQ20101026077
公开日2010年12月22日 申请日期2010年8月19日 优先权日2010年8月19日
发明者张志勇, 韩鲁峰 申请人:华为技术有限公司