CN101686233A - Ue与网络安全算法不匹配的处理方法、系统及装置 - Google Patents
Ue与网络安全算法不匹配的处理方法、系统及装置 Download PDFInfo
- Publication number
- CN101686233A CN101686233A CN 200810222879 CN200810222879A CN101686233A CN 101686233 A CN101686233 A CN 101686233A CN 200810222879 CN200810222879 CN 200810222879 CN 200810222879 A CN200810222879 A CN 200810222879A CN 101686233 A CN101686233 A CN 101686233A
- Authority
- CN
- China
- Prior art keywords
- nas
- indication
- algorithm
- match
- mme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000012545 processing Methods 0.000 title abstract description 7
- 238000012795 verification Methods 0.000 claims abstract description 33
- 230000004044 response Effects 0.000 claims abstract description 20
- 238000003672 processing method Methods 0.000 claims description 28
- 230000008569 process Effects 0.000 claims description 26
- 230000000977 initiatory effect Effects 0.000 claims description 13
- 238000004321 preservation Methods 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种UE与网络安全算法不匹配的处理方法,包括以下步骤:网络侧接收用户设备UE的安全能力信息;所述网络侧判断所述UE的安全能力信息是否与验证实体所支持的安全能力信息所匹配;如果判断所述UE的安全能力信息与所述验证实体所支持的安全能力信息不匹配,则给所述UE返回响应消息,所述响应消息中携带有不匹配指示,所述UE根据所述不匹配指示返回EMM去注册状态或UE重新发起安全验证。本发明在UE与网络侧安全算法不匹配时,可为该UE切换新的MME重新进行注册,从而提高了UE的接入概率。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种UE与网络安全算法不匹配的处理方法、系统及装置。
背景技术
为了确保在更长的时间内保持较高竞争能力,3GPP(Third GenerationPartnership Project,第三代伙伴计划)启动了3G无线接口技术的LTE(LongTerm Evolution,长期演进)研究项目。
LTE系统的安全过程分为NAS(Non Access Stratum,非接入层)层安全过程和AS(Access Stratum,接入层)层安全过程,NAS信令加密和完整性保护在MME(Mobile Management Entity,移动管理实体)实现,AS层信令的加密和完整性保护以及用户平面的加密过程在eNB(演进基站)实现。在LTE系统中完整性保护是必选项,加密是可选项。
如图1所示,为现有技术中附着过程示意图。UE向MME发送附着(attach)请求,UE网络能力信息包含在附着请求的NAS消息中传递到MME,其中,UE对算法的支持能力包含在UE网络能力信息中。在LTE中UE对NAS安全算法的支持能力与AS算法的支持能力是相同的,当MME发起的S1初始上下文建立过程要求eNB建立UE上下文时会将UE的算法支持能力一起传递给eNB。鉴权完成后,MME和eNB会分别触发NAS层(即NAS消息)和AS层(即RRC消息)的安全管理过程激活加密和完整性保护。需要说明的是,图1反应的是与鉴权和加密相关的步骤,其他过程与标准协议相同,本文将不再赘述。
在LTE系统中,只有AS层的安全保护功能,没有NAS层的消息安全保护功能,AS层的安全保护功能在RNC中完成,UE能力信息包含UE所有支持的算法能力。在RRC连接建立过程中,UE将UE能力信息上报给服务RNC并保存。这一过程在附着请求或者RAU(Routing Area Update,路由区更新)请求过程之前完成。
RNC(Radio Network Controller,无线网络控制器)会比较UE与自身的完整性保护算法支持能力以及从Iu口上收到的完整性保护算法信息及优先级,并根据以下原则进行处理。一方面如果UE与RNC以及从SGSN(Serving GSN,服务GSN)传来的完整性保护算法信息中没有相同的完整性保护算法,则释放RRC(Radio Resource Control,无线资源控制)连接。另一方面如果UE与RNC以及从SGSN传来的完整性保护算法信息中至少有一个相同的完整性包含算法,则网络选择一个均支持的完整性保护算法用于这个RRC连接。
RNC也会比较UE与自身的加密算法支持能力,以及从Iu口上收到的加密算法信息以及算法优先级,并根据以下原则进行处理。一方面如果UE与RNC以及从SGSN传来的加密算法信息没有相同的加密算法,并且RNC不准备使用非加密的连接,则释放RRC连接;如果RNC允许使用非加密的连接,则建立非加密的RRC连接。另一方面如果UE与RNC以及从SGSN传来的加密算法信息至少有一个相同的加密算法,则网络选择一个相互认可的加密算法用于这个RRC连接。
同样当UE发生切换后,若新的RNC与UE支持的安全算法不匹配,则会返回切换失败消息,并在切换失败的cause IE中指示为完整性保护或加密算法不匹配。
从上述描述中可以看出,对于UE与网络安全算法不匹配的异常处理仅是释放RRC连接,协议中并没有进一步的规定。然而对于UE来说,如果为其选择新的MME或eNB,则其安全算法有可能与网络安全算法匹配,从而顺利接入网络。因此现有技术存在的缺点是协议已有方案不完整,需要进一步的优化。并且在3G系统中安全验证在RNC做,因此涉及的全部都是RRC过程,但是在LTE中,网络的安全分别由MME和eNB来完成,然而在现有协议标准中,对于UE与网络安全算法不匹配时的NAS过程的处理没有描述。
发明内容
本发明的目的旨在至少解决上述技术缺陷之一,特别是解决现有技术中无法处理UE与网络安全算法不匹配的情况。
为达到上述目的,本发明一方面提出一种UE与网络安全算法不匹配的处理方法,包括以下步骤:网络侧接收用户设备UE的安全能力信息;所述网络侧判断所述UE的安全能力信息是否与验证实体所支持的安全能力信息所匹配;如果判断所述UE的安全能力信息与所述验证实体所支持的安全能力信息不匹配,则给所述UE返回响应消息,所述响应消息中携带有不匹配指示,所述UE根据所述不匹配指示返回EMM去注册状态或UE重新发起安全验证。
作为本发明的一个实施例,所述安全验证为附着过程的安全验证,所述网络侧接收UE的安全能力信息具体为:所述UE向移动管理实体MME发送附着请求消息,所述附着请求消息中携带有所述UE的安全能力信息。
在上述实施例中,所述安全验证为非接入层NAS安全验证,所述UE的安全能力信息包括UE支持的NAS完整性保护算法和NAS加密算法,所述验证实体为MME,所述给UE返回响应消息,所述响应消息中携带有不匹配指示具体为:所述MME向所述UE返回附着拒绝消息,所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示。
在上述实施例中,所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示具体为:所述附着拒绝消息中的EMM cause IE中指示NAS完整性保护算法和/或NAS加密算法不匹配;或在所述附着拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS加密算法不匹配。
在上述实施例中,在所述MME向所述UE返回附着拒绝消息,且所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示之后,还包括:所述UE启动尝试计数器,重新发起附着请求,并指示演进基站eNB为所述UE重新选择其他MME进行NAS安全验证。
在上述实施例中,还包括:如果所述UE在所述尝试计数器达到预定阈值后,所述UE返回EMM去注册状态。
在上述实施例中,所述尝试计数器的预定阈值为5。
作为本发明的一个实施例,在所述MME向所述UE返回附着拒绝消息,且所述附着拒绝消息中携带有NAS加密算法不匹配的指示之前,还包括:所述MME判断是否允许使用非加密的NAS连接;如果允许使用非加密的NAS连接,则向所述UE返回附着接受消息,在所述附着接受消息中携带非加密指示,建立非加密连接。
在上述实施例中,所述在附着接受消息中携带非加密指示具体为:在所述附着接受消息中的security header type IE中携带所述非加密指示;或在所述附着接受消息中增加新的IE携带所述非加密指示。
在上述实施例中,所述安全验证为非接入层AS安全验证,所述UE的安全能力信息包括UE支持的AS完整性保护算法和AS加密算法,所述验证实体为eNB,所述UE的安全能力信息由所述MME发送给所述eNB,所述给UE返回响应消息,所述响应消息中携带有不匹配指示具体包括:所述eNB向所述MME返回初始上下文建立失败消息,所述初始上下文建立失败消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示;所述MME向所述UE返回附着拒绝消息,所述附着拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示。
在上述实施例中,在所述MME向所述UE返回附着拒绝消息,且所述附着拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示之后,还包括:所述UE返回EMM去注册状态。
在上述实施例中,还包括:判断是否允许使用非加密的NAS连接;如果允许使用非加密的NAS连接,则向所述UE返回附着接受消息,在所述附着接受消息中携带非加密指示,建立非加密连接。
在上述实施例中,所述在附着接受消息中携带非加密指示具体为:在所述附着接受消息中的security header type IE中携带所述非加密指示;或在所述附着接受消息中增加新的IE携带所述非加密指示。
在上述实施例中,所述安全验证为TAU过程的安全验证,所述网络侧接收UE的安全能力信息具体为:源MME将所述UE的安全能力信息发送给所述目标MME。
在上述实施例中,所述安全验证为非接入层NAS安全验证,所述UE的安全能力信息包括UE支持的NAS完整性保护算法和NAS加密算法,所述验证实体为目标MME,所述给UE返回响应消息,所述响应消息中携带有不匹配指示具体为:所述目标MME向所述UE返回TAU拒绝消息,所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示。
在上述实施例中,所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示具体为:所述TAU拒绝消息中的cause IE中指示NAS完整性保护算法和/或NAS加密算法不匹配;或在所述TAU拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS加密算法不匹配。
在上述实施例中,在所述目标MME向所述UE返回TAU拒绝消息,且所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示之后,还包括:所述UE启动尝试计数器,重新发起TAU请求,并指示源MME为所述UE重新选择其他MME进行NAS安全验证。
在上述实施例中,还包括:如果所述UE在所述尝试计数器达到预定阈值后,所述UE返回EMM去注册状态。
在上述实施例中,所述尝试计数器的预定阈值为5。
在上述实施例中,还包括:判断是否允许使用非加密的NAS连接;如果允许使用非加密的NAS连接,则向所述UE返回附着接受消息,在所述附着接受消息中携带非加密指示,建立非加密连接。
在上述实施例中,所述在附着接受消息中携带非加密指示具体为:在所述附着接受消息中的security header type IE中携带所述非加密指示;或在所述附着接受消息中增加新的IE携带所述非加密指示。
在上述实施例中,在所述目标MME向所述UE返回TAU拒绝消息,且所述TAU拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示之后,还包括:所述UE返回EMM去注册状态。
本发明另一方面还提出一种UE,包括消息接收模块、计数器模块、发起模块和状态切换模块,所述消息接收模块,用于接收所述UE注册的MME返回的附着拒绝消息或TAU拒绝消息;所述计数器模块,用于在所述附着拒绝消息或TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示时启动,并通知所述发起模块重新发起附着请求和TAU请求,并指示为所述UE重新选择其他MME进行NAS安全验证;所述发起模块,用于发起附着请求和TAU请求;所述状态切换模块,用于在所述附着拒绝消息或TAU拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示时,或在所述计数器模块达到预定阈值后,返回EMM去注册状态。
本发明再一方面还提出一种eNB,包括上下文接收模块、AS层判断模块和上下文消息返回模块,所述上下文接收模块,用于接收MME发送的初始上下文建立消息,所述初始上下文消息中携带有所述UE的AS完整性保护算法和AS加密算法;所述AS层判断模块,用于判断所述UE的AS完整性保护算法和AS加密算法与所述eNB支持的AS完整性保护算法和AS加密算法是否一致;所述上下文消息返回模块,用于当所述判断模块判断UE的AS完整性保护算法或AS加密算法与所述eNB支持的AS完整性保护算法或AS加密算法不匹配时,向所述MME返回初始上下文建立失败消息,所述初始上下文建立失败消息携带有AS完整性保护算法不匹配和/或AS加密算法不匹配的指示。
在上述实施例中,还包括重新选择模块,用于根据UE的指示为其重新选择新的MME。
本发明还提出一种MME,包括UE信息接收模块,NAS层判断模块和消息返回模块,所述UE信息接收模块,用于接收UE的安全能力信息,所述UE的安全能力信息由UE通过附着请求发送给所述MME,或由所述UE的源MME发送给所述MME,所述UE的安全能力信息包括所述UE的NAS完整性保护算法和NAS加密算法;所述NAS层判断模块,用于判断所述UE的NAS完整性保护算法和NAS加密算法与所述MME支持的NAS完整性保护算法和NAS加密算法是否一致;所述消息返回模块,用于在所述NAS层判断模块判断所述UE的NAS完整性保护算法或NAS加密算法与所述MME支持的NAS完整性保护算法或NAS加密算法不匹配时,返回附着拒绝消息或TAU拒绝消息,所述附着拒绝消息或TAU拒绝消息携带有NAS完整性保护算法不匹配和/或NAS加密算法不匹配的指示。
在上述实施例中,还包括转发模块,用于将所述UE信息接收模块接收的UE的安全能力信息中的AS完整性保护算法和AS加密算法转发给eNB。
本发明在UE与网络侧安全算法不匹配时,可为该UE切换新的MME重新进行注册,从而提高了UE的接入概率。并且通过本发明提出的技术方案完善了目前协议未规定的UE与网络安全算法不匹配的后续处理方法。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为现有技术中附着过程示意图;
图2为本发明实施例附着过程中UE与网络安全算法不匹配的处理方法的流程图;
图3为本发明一实施例UE与网络安全算法不匹配的处理系统的结构图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本发明主要在于通过向UE返回安全算法不匹配的指示,使UE能够进一步选择新的MME进行接入,从而提高了UE的接入概率。并且通过本发明提出的技术方案也完善了目前协议未规定的UE与网络安全算法不匹配的后续处理方法。具体地判断UE的安全能力信息是否与验证实体所支持的安全能力信息所匹配;如果判断所述UE的安全能力信息与所述验证实体所支持的安全能力信息不匹配,则给所述UE返回响应消息,所述响应消息中携带有不匹配指示,UE根据不匹配指示返回EMM去注册状态(EMM-DEREGISTERED(Evolved Mobility Management-deregistered,移动性管理去注册))或UE重新发起安全验证。
为了能够更完整的理解本发明的上述思想,以下将分别以附着过程和TAU过程举例来说明本发明。
如图2所示,为本发明实施例附着过程中UE与网络安全算法不匹配的处理方法的流程图,包括以下步骤:
步骤S201,UE向MME发送附着请求消息,所述附着请求消息中携带有UE的安全能力信息,所述UE的安全能力信息不仅包括UE支持的NAS完整性保护算法和NAS加密算法,还包括UE支持的AS完整性保护算法和AS加密算法。
步骤S202,所述MME判断UE支持的NAS完整性保护算法和NAS加密算法与该MME支持的NAS完整性保护算法和NAS加密算法进行比较。
若此MME与UE支持的NAS完整性保护算法不匹配时,MME向UE返回附着拒绝(attach reject)消息,并在携带的EMM cause IE中指示NAS完整性保护算法不匹配,同样也可新增一个IE携带该不匹配指示。
若此MME与UE支持的NAS加密算法不匹配时,如果网络允许使用非加密的NAS连接,则返回附着接受消息(attach accept),并在附着接受消息的security header type IE(安全头类型)中指示非加密,建立非加密连接,当然也可以新增一个IE专门携带该非加密指示。
若此MME与UE支持的NAS加密算法不匹配,并且网络不允许使用非加密的NAS连接,则返回附着拒绝消息,并在该附着拒绝消息携带的EMM cause IE中指示NAS加密算法不匹配。
步骤S203,如果MME与UE有匹配的NAS算法能力时会启动NAS层的SMC过程,并在初始上下文建立过程中将UE的算法能力信息传给eNB。因此MME还需要将所述UE的安全能力信息中UE支持的AS完整性保护算法和AS加密算法转发给eNB。具体地,MME通过初始上下文建立请求消息将UE支持的AS完整性保护算法和AS加密算法转发给eNB。
步骤S204,eNB接收MME发送的UE支持的AS完整性保护算法和AS加密算法,并判断接收的UE支持的AS完整性保护算法和AS加密算法与该eNB支持的AS完整性保护算法和AS加密算法是否匹配。
步骤S205,如果eNB判断UE支持的AS完整性保护算法与该eNB支持的AS完整性保护算法不匹配,则向MME返回上下文建立失败消息,所述初始上下文建立失败消息中携带有AS完整性保护算法不匹配指示。
如果eNB判断UE支持的AS完整性保护算法与该eNB支持的AS完整性保护算法不匹配,则eNB向MME返回初始上下文建立失败消息,并在消息的cause IE中指示AS层完整性保护算法不匹配。MME触发附着拒绝消息发送给UE,并在EMM cause IE中指示AS层完整性保护算法不匹配。
当eNB与UE支持的AS加密算法(包括RRC信令加密算法和数据面加密算法)不匹配时,若网络允许使用非加密的RRC连接,则建立非加密的RRC连接。
当eNB与UE支持的AS加密算法(包括RRC信令加密算法和数据面加密算法)不匹配,并且网络不允许使用非加密的RRC连接,则eNB向MME返回初始上下文建立失败消息,并在消息的cause IE中指示AS层安全算法不匹配。MME触发附着拒绝消息发送给UE,并在EMM cause IE中指示AS层安全算法不匹配。
步骤S206,UE根据不匹配指示返回EMM去注册状态(EMM-DEREGISTERED)或UE重新发起安全验证。
如果UE接收到的附着拒绝消息中携带有NAS完整性保护算法不匹配指示或NAS加密算法不匹配指示时,UE启动一个尝试计数器,重新发起附着请求消息,并指示由eNB为UE选择另一个MME。优选地,尝试计数器的取值可以参考协议规范去为5次,当然也可以设为不同的值。如果在尝试计数器内UE成功附着到了一个MME,则按照正常的驻留过程执行后续操作。如果在尝试计数器到达最大值之后UE还没有成功附着到网络,UE删除掉保存的GUTI,最后一次注册的TAI,KSI等参数并回到EMM-DEREGISTERED状态。
如果UE接收到的附着拒绝消息中携带有AS完整性保护算法不匹配指示或AS加密算法不匹配指示时,UE删除掉保存的GUTI,最后一次注册的TAI,KSI等参数并回到EMM-DEREGISTERED状态。
上述实施例示出了UE发起附着过程中UE与网络安全算法不匹配的处理方法,同样本发明也可应用在TAU(Tracking Area Update,跟踪区更新)的场景中。例如,当UE在非周期TAU过程中驻留到一个新的eNB或者注册到了一个新的MME时,作为UE context的一部分,新的MME会从旧的MME中获得UE的安全能力信息并传给新的eNB。如果新的MME与UE支持的NAS加密算法不匹配,则返回TAU拒绝消息,并在cause IE中指示为NAS完整性保护算法不匹配,或者NAS加密算法不匹配。UE收到后启动一个尝试计数器尝试有限次的重发,若达到最大重发次数UE仍然不能驻留到一个MME,UE则删除掉保存的GUTI,最后一次注册的TAI,KSI等参数并回到EMM-DEREGISTERED状态。如果新的eNB与UE支持的AS安全算法不匹配,则返回初始上下文失败消息给MME,其中携带cause值指示AS层完整性保护算法不匹配或者加密算法不匹配。MME在发送的TAU拒绝消息的cause中指示AS层完整性保护算法不匹配或者加密算法不匹配。UE收到后删除掉保存的GUTI,最后一次注册的TAI,KSI等参数并回到EMM-DEREGISTERED状态。
如图3所示,为本发明一实施例UE与网络安全算法不匹配的处理系统的结构图。该系统包括UE 100、eNB 200和MME 300。
作为本发明的一个实施例,UE 100包括消息接收模块110、计数器模块120、发起模块130和状态切换模块140。消息接收模块110用于接收UE 100注册的MME 300返回的附着拒绝消息或TAU拒绝消息。计数器模块120用于在附着拒绝消息或TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示时启动,并通知发起模块130重新发起附着请求和TAU请求,并指示eNB 200为所述UE 100重新选择其他MME进行NAS安全验证。发起模块130用于发起附着请求和TAU请求。状态切换模块140用于在附着拒绝消息或TAU拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示时,或在计数器模块120达到预定阈值后,返回EMM去注册状态。
其中,作为本发明的一个实施例,eNB 200包括上下文接收模块210、AS层判断模块220和上下文消息返回模块230。上下文接收模块210用于接收MME 300发送的初始上下文建立消息,初始上下文消息中携带有UE的AS完整性保护算法和AS加密算法。AS层判断模块220用于判断UE100的AS完整性保护算法和AS加密算法与所述eNB 200支持的AS完整性保护算法和AS加密算法是否一致。上下文消息返回模块230用于当AS层判断模块220判断UE100的AS完整性保护算法或AS加密算法与eNB200支持的AS完整性保护算法或AS加密算法不匹配时,向MME300返回初始上下文建立失败消息,所述初始上下文建立失败消息携带有AS完整性保护算法不匹配和/或AS加密算法不匹配的指示。在上述实施例中,还包括重新选择模块240用于根据UE 100的指示为其重新选择新的MME。
其中,作为本发明的一个实施例,MME300包括UE信息接收模块310,NAS层判断模块320和消息返回模块330。UE信息接收模块310用于接收UE100的安全能力信息,UE100的安全能力信息由UE100通过附着请求发送给MME300,或由UE100的源MME发送给MME300,UE100的安全能力信息包括UE100的NAS完整性保护算法和NAS加密算法。NAS层判断模块320用于判断UE100的NAS完整性保护算法和NAS加密算法与MME300支持的NAS完整性保护算法和NAS加密算法是否一致。消息返回模块330用于在NAS层判断模块320判断UE100的NAS完整性保护算法或NAS加密算法与MME300支持的NAS完整性保护算法或NAS加密算法不匹配时,返回附着拒绝消息或TAU拒绝消息,所述附着拒绝消息或TAU拒绝消息携带有NAS完整性保护算法不匹配和/或NAS加密算法不匹配的指示。其中在上述实施例中,还包括转发模块340,用于将UE信息接收模块310接收的UE的安全能力信息中的AS完整性保护算法和AS加密算法转发给eNB200。
本发明在UE与网络侧安全算法不匹配时,可为该UE切换新的MME重新进行注册,从而提高了UE的接入概率。并且通过本发明提出的技术方案完善了目前协议未规定的UE与网络安全算法不匹配的后续处理方法。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
Claims (27)
1、一种UE与网络安全算法不匹配的处理方法,其特征在于,包括以下步骤:
网络侧接收用户设备UE的安全能力信息;
所述网络侧判断所述UE的安全能力信息是否与验证实体所支持的安全能力信息所匹配;
如果判断所述UE的安全能力信息与所述验证实体所支持的安全能力信息不匹配,则给所述UE返回响应消息,所述响应消息中携带有不匹配指示,所述UE根据所述不匹配指示返回移动性管理EMM去注册状态或UE重新发起安全验证。
2、如权利要求1所述UE与网络安全算法不匹配的处理方法,其特征在于,所述安全验证为附着过程的安全验证,所述网络侧接收UE的安全能力信息具体为:
所述UE向移动管理实体MME发送附着请求消息,所述附着请求消息中携带有所述UE的安全能力信息。
3、如权利要求2所述UE与网络安全算法不匹配的处理方法,其特征在于,所述安全验证为非接入层NAS安全验证,所述UE的安全能力信息包括UE支持的NAS完整性保护算法和NAS加密算法,所述验证实体为MME,
所述给UE返回响应消息,所述响应消息中携带有不匹配指示具体为:
所述MME向所述UE返回附着拒绝消息,所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示。
4、如权利要求3所述UE与网络安全算法不匹配的处理方法,其特征在于,所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示具体为:
所述附着拒绝消息中的EMM cause IE中指示NAS完整性保护算法和/或NAS加密算法不匹配;
或在所述附着拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS加密算法不匹配。
5、如权利要求3所述UE与网络安全算法不匹配的处理方法,其特征在于,在所述MME向所述UE返回附着拒绝消息,且所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示之后,还包括:
所述UE启动尝试计数器,重新发起附着请求,并指示演进基站eNB为所述UE重新选择其他MME进行NAS安全验证。
6、如权利要求5所述UE与网络安全算法不匹配的处理方法,其特征在于,还包括:
如果所述UE在所述尝试计数器达到预定阈值后,所述UE返回EMM去注册状态。
7、如权利要求6所述UE与网络安全算法不匹配的处理方法,其特征在于,所述尝试计数器的预定阈值为5。
8、如权利要求3所述UE与网络安全算法不匹配的处理方法,其特征在于,在所述MME向所述UE返回附着拒绝消息,且所述附着拒绝消息中携带有NAS加密算法不匹配的指示之前,还包括:
所述MME判断是否允许使用非加密的NAS连接;
如果允许使用非加密的NAS连接,则向所述UE返回附着接受消息,在所述附着接受消息中携带非加密指示,建立非加密连接。
9、如权利要求8所述UE与网络安全算法不匹配的处理方法,其特征在于,所述在附着接受消息中携带非加密指示具体为:
在所述附着接受消息中的security header type IE中携带所述非加密指示;
或在所述附着接受消息中增加新的IE携带所述非加密指示。
10、如权利要求2所述UE与网络安全算法不匹配的处理方法,其特征在于,所述安全验证为非接入层AS安全验证,所述UE的安全能力信息包括UE支持的AS完整性保护算法和AS加密算法,所述验证实体为eNB,所述UE的安全能力信息由所述MME发送给所述eNB,
所述给UE返回响应消息,所述响应消息中携带有不匹配指示具体包括:
所述eNB向所述MME返回初始上下文建立失败消息,所述初始上下文建立失败消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示;
所述MME向所述UE返回附着拒绝消息,所述附着拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示。
11、如权利要求10所述UE与网络安全算法不匹配的处理方法,其特征在于,在所述MME向所述UE返回附着拒绝消息,且所述附着拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示之后,还包括:
所述UE返回EMM去注册状态。
12、如权利要求10所述UE与网络安全算法不匹配的处理方法,其特征在于,还包括:
判断是否允许使用非加密的NAS连接;
如果允许使用非加密的NAS连接,则向所述UE返回附着接受消息,在所述附着接受消息中携带非加密指示,建立非加密连接。
13、如权利要求12所述UE与网络安全算法不匹配的处理方法,其特征在于,所述在附着接受消息中携带非加密指示具体为:
在所述附着接受消息中的security header type IE中携带所述非加密指示;
或在所述附着接受消息中增加新的IE携带所述非加密指示。
14、如权利要求1所述UE与网络安全算法不匹配的处理方法,其特征在于,所述安全验证为跟踪区更新TAU过程的安全验证,所述网络侧接收UE的安全能力信息具体为:
源MME将所述UE的安全能力信息发送给所述目标MME。
15、如权利要求14所述UE与网络安全算法不匹配的处理方法,其特征在于,所述安全验证为非接入层NAS安全验证,所述UE的安全能力信息包括UE支持的NAS完整性保护算法和NAS加密算法,所述验证实体为目标MME,
所述给UE返回响应消息,所述响应消息中携带有不匹配指示具体为:
所述目标MME向所述UE返回TAU拒绝消息,所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示。
16、如权利要求15所述UE与网络安全算法不匹配的处理方法,其特征在于,所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示具体为:
所述TAU拒绝消息中的cause IE中指示NAS完整性保护算法和/或NAS加密算法不匹配;
或在所述TAU拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS加密算法不匹配。
17、如权利要求15所述UE与网络安全算法不匹配的处理方法,其特征在于,在所述目标MME向所述UE返回TAU拒绝消息,且所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示之后,还包括:
所述UE启动尝试计数器,重新发起TAU请求,并指示源MME为所述UE重新选择其他MME进行NAS安全验证。
18、如权利要求17所述UE与网络安全算法不匹配的处理方法,其特征在于,还包括:
如果所述UE在所述尝试计数器达到预定阈值后,所述UE返回EMM去注册状态。
19、如权利要求18所述UE与网络安全算法不匹配的处理方法,其特征在于,所述尝试计数器的预定阈值为5。
20、如权利要求17所述UE与网络安全算法不匹配的处理方法,其特征在于,还包括:
判断是否允许使用非加密的NAS连接;
如果允许使用非加密的NAS连接,则向所述UE返回附着接受消息,在所述附着接受消息中携带非加密指示,建立非加密连接。
21、如权利要求20所述UE与网络安全算法不匹配的处理方法,其特征在于,所述在附着接受消息中携带非加密指示具体为:
在所述附着接受消息中的security header type IE中携带所述非加密指示;
或在所述附着接受消息中增加新的IE携带所述非加密指示。
22、如权利要求15所述UE与网络安全算法不匹配的处理方法,其特征在于,在所述目标MME向所述UE返回TAU拒绝消息,且所述TAU拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示之后,还包括:
所述UE返回EMM去注册状态。
23、一种UE,其特征在于,包括消息接收模块、计数器模块、发起模块和状态切换模块,
所述消息接收模块,用于接收所述UE注册的MME返回的附着拒绝消息或TAU拒绝消息;
所述计数器模块,用于在所述附着拒绝消息或TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示时启动,并通知所述发起模块重新发起附着请求和TAU请求,并指示为所述UE重新选择其他MME进行NAS安全验证;
所述发起模块,用于发起附着请求和TAU请求;
所述状态切换模块,用于在所述附着拒绝消息或TAU拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示时,或在所述计数器模块达到预定阈值后,返回EMM去注册状态。
24、一种eNB,其特征在于,包括上下文接收模块、AS层判断模块和上下文消息返回模块,
所述上下文接收模块,用于接收MME发送的初始上下文建立消息,所述初始上下文消息中携带有所述UE的AS完整性保护算法和AS加密算法;
所述AS层判断模块,用于判断所述UE的AS完整性保护算法和AS加密算法与所述eNB支持的AS完整性保护算法和AS加密算法是否一致;
所述上下文消息返回模块,用于当所述AS层判断模块判断UE的AS完整性保护算法或AS加密算法与所述eNB支持的AS完整性保护算法或AS加密算法不匹配时,向所述MME返回初始上下文建立失败消息,所述初始上下文建立失败消息携带有AS完整性保护算法不匹配和/或AS加密算法不匹配的指示。
25、如权利要求24所述eNB,其特征在于,还包括重新选择模块,用于根据UE的指示为其重新选择新的MME。
26、一种MME,其特征在于,包括UE信息接收模块,NAS层判断模块和消息返回模块,
所述UE信息接收模块,用于接收UE的安全能力信息,所述UE的安全能力信息由UE通过附着请求发送给所述MME,或由所述UE的源MME发送给所述MME,所述UE的安全能力信息包括所述UE的NAS完整性保护算法和NAS加密算法;
所述NAS层判断模块,用于判断所述UE的NAS完整性保护算法和NAS加密算法与所述MME支持的NAS完整性保护算法和NAS加密算法是否一致;
所述消息返回模块,用于在所述NAS层判断模块判断所述UE的NAS完整性保护算法或NAS加密算法与所述MME支持的NAS完整性保护算法或NAS加密算法不匹配时,返回附着拒绝消息或TAU拒绝消息,所述附着拒绝消息或TAU拒绝消息携带有NAS完整性保护算法不匹配和/或NAS加密算法不匹配的指示。
27、如权利要求26所述MME,其特征在于,还包括转发模块,用于将所述UE信息接收模块接收的UE的安全能力信息中的AS完整性保护算法和AS加密算法转发给eNB。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810222879 CN101686233B (zh) | 2008-09-24 | 2008-09-24 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810222879 CN101686233B (zh) | 2008-09-24 | 2008-09-24 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101686233A true CN101686233A (zh) | 2010-03-31 |
| CN101686233B CN101686233B (zh) | 2013-04-03 |
Family
ID=42049205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810222879 Active CN101686233B (zh) | 2008-09-24 | 2008-09-24 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101686233B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827345A (zh) * | 2010-05-14 | 2010-09-08 | 中兴通讯股份有限公司 | 紧急eps业务的实现方法、系统和终端 |
| CN104219655A (zh) * | 2013-06-04 | 2014-12-17 | 中兴通讯股份有限公司 | 一种无线通信系统中空口安全算法的选择方法及mme |
| CN106412948A (zh) * | 2015-07-31 | 2017-02-15 | 联芯科技有限公司 | 一种涉及nas信令消息的传输方法及其传输终端 |
| CN106817715A (zh) * | 2015-11-27 | 2017-06-09 | 中国联合网络通信集团有限公司 | 控制终端进行失败处理的方法及装置 |
| WO2017133021A1 (zh) * | 2016-02-06 | 2017-08-10 | 华为技术有限公司 | 一种安全处理方法及相关设备 |
| CN107872770A (zh) * | 2016-09-22 | 2018-04-03 | 联发科技(新加坡)私人有限公司 | 消息处理方法及其用户设备 |
| CN107948972A (zh) * | 2017-12-27 | 2018-04-20 | 广东欧珀移动通信有限公司 | 数据业务的恢复方法及相关产品 |
| CN109076079A (zh) * | 2016-04-27 | 2018-12-21 | 高通股份有限公司 | 增强的非接入层安全 |
| CN110651504A (zh) * | 2017-03-17 | 2020-01-03 | 日本电气株式会社 | 通信终端、网络装置、通信方法及非暂时性计算机可读介质 |
| WO2020052416A1 (zh) * | 2018-09-15 | 2020-03-19 | 华为技术有限公司 | 一种安全保护方法、设备及系统 |
| CN111465007A (zh) * | 2019-01-18 | 2020-07-28 | 华为技术有限公司 | 一种认证方法、装置和系统 |
| CN113271595A (zh) * | 2016-01-05 | 2021-08-17 | 华为技术有限公司 | 移动通信方法、装置及设备 |
| CN113424506A (zh) * | 2019-02-15 | 2021-09-21 | 诺基亚技术有限公司 | 通信系统中的用户设备安全能力的管理 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001252A (zh) * | 2006-06-25 | 2007-07-18 | 华为技术有限公司 | 一种注册方法和一种用户面安全算法的协商方法及装置 |
| CN102869007B (zh) * | 2007-02-05 | 2015-12-09 | 华为技术有限公司 | 安全算法协商的方法、装置及网络系统 |
-
2008
- 2008-09-24 CN CN 200810222879 patent/CN101686233B/zh active Active
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827345A (zh) * | 2010-05-14 | 2010-09-08 | 中兴通讯股份有限公司 | 紧急eps业务的实现方法、系统和终端 |
| CN104219655A (zh) * | 2013-06-04 | 2014-12-17 | 中兴通讯股份有限公司 | 一种无线通信系统中空口安全算法的选择方法及mme |
| CN106412948B (zh) * | 2015-07-31 | 2019-09-20 | 联芯科技有限公司 | 一种涉及nas信令消息的传输方法及其传输终端 |
| CN106412948A (zh) * | 2015-07-31 | 2017-02-15 | 联芯科技有限公司 | 一种涉及nas信令消息的传输方法及其传输终端 |
| CN106817715A (zh) * | 2015-11-27 | 2017-06-09 | 中国联合网络通信集团有限公司 | 控制终端进行失败处理的方法及装置 |
| CN113271595B (zh) * | 2016-01-05 | 2022-03-08 | 华为技术有限公司 | 移动通信方法、装置及设备 |
| CN113271595A (zh) * | 2016-01-05 | 2021-08-17 | 华为技术有限公司 | 移动通信方法、装置及设备 |
| US11310266B2 (en) | 2016-01-05 | 2022-04-19 | Huawei Technologies Co., Ltd. | Mobile communication method, apparatus, and device |
| US11736519B2 (en) | 2016-01-05 | 2023-08-22 | Huawei Technologies Co., Ltd. | Mobile communication method, apparatus, and device |
| WO2017133021A1 (zh) * | 2016-02-06 | 2017-08-10 | 华为技术有限公司 | 一种安全处理方法及相关设备 |
| CN108605225B (zh) * | 2016-02-06 | 2021-02-12 | 华为技术有限公司 | 一种安全处理方法及相关设备 |
| CN108605225A (zh) * | 2016-02-06 | 2018-09-28 | 华为技术有限公司 | 一种安全处理方法及相关设备 |
| US11140546B2 (en) | 2016-02-06 | 2021-10-05 | Huawei Technologies Co., Ltd. | Security processing method and related device |
| CN109076079A (zh) * | 2016-04-27 | 2018-12-21 | 高通股份有限公司 | 增强的非接入层安全 |
| CN109076079B (zh) * | 2016-04-27 | 2021-10-08 | 高通股份有限公司 | 用于增强的非接入层安全的方法、装置和计算机可读介质 |
| CN107872770A (zh) * | 2016-09-22 | 2018-04-03 | 联发科技(新加坡)私人有限公司 | 消息处理方法及其用户设备 |
| CN110651504A (zh) * | 2017-03-17 | 2020-01-03 | 日本电气株式会社 | 通信终端、网络装置、通信方法及非暂时性计算机可读介质 |
| US11956636B2 (en) | 2017-03-17 | 2024-04-09 | Nec Corporation | Communication terminal, network device, communication method, and non-transitory computer readable medium |
| US11553345B2 (en) | 2017-03-17 | 2023-01-10 | Nec Corporation | Communication terminal, network device, communication method, and non-transitory computer readable medium |
| CN107948972A (zh) * | 2017-12-27 | 2018-04-20 | 广东欧珀移动通信有限公司 | 数据业务的恢复方法及相关产品 |
| CN110912854B (zh) * | 2018-09-15 | 2021-03-23 | 华为技术有限公司 | 一种安全保护方法、设备及系统 |
| US11647391B2 (en) | 2018-09-15 | 2023-05-09 | Huawei Technologies Co., Ltd. | Security protection method, device, and system |
| CN110912854A (zh) * | 2018-09-15 | 2020-03-24 | 华为技术有限公司 | 一种安全保护方法、设备及系统 |
| WO2020052416A1 (zh) * | 2018-09-15 | 2020-03-19 | 华为技术有限公司 | 一种安全保护方法、设备及系统 |
| CN111465007A (zh) * | 2019-01-18 | 2020-07-28 | 华为技术有限公司 | 一种认证方法、装置和系统 |
| CN113424506A (zh) * | 2019-02-15 | 2021-09-21 | 诺基亚技术有限公司 | 通信系统中的用户设备安全能力的管理 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101686233B (zh) | 2013-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101686233B (zh) | Ue与网络安全算法不匹配的处理方法、系统及装置 | |
| CN110419205B (zh) | 针对用户平面数据的完整性保护的方法 | |
| US10999065B2 (en) | Method and apparatus for updating a key in an active state | |
| US11477726B2 (en) | Apparatus, system and method for dedicated core network | |
| CN108632815B (zh) | 通信方法与设备 | |
| JP4863530B2 (ja) | リンク障害復旧のためのハンドオーバー方法とこの方法を具現するための無線機器及び基地局 | |
| US8798667B2 (en) | Mobile communication method, mobile station and radio base station | |
| EP2584834B1 (en) | Communication system, network handover processing method and apparatus | |
| CN101309500B (zh) | 不同无线接入技术间切换时安全协商的方法和装置 | |
| JP6072690B2 (ja) | 移動通信システムで非アクセス層プロトコルを用いた通信支援方法及び装置 | |
| US9713001B2 (en) | Method and system for generating an identifier of a key | |
| CN101610506B (zh) | 防止网络安全失步的方法和装置 | |
| US9113331B2 (en) | Validating user identity by cooperation between core network and access controller | |
| CN114827995A (zh) | 多rat接入层安全性 | |
| CN101431797A (zh) | 一种注册处理方法、系统及装置 | |
| CN102577507B (zh) | 电信系统中的方法和设备 | |
| US9161221B2 (en) | Method, apparatus and computer program for operating a user equipment | |
| US20150023252A1 (en) | Method to use existing nas signaling connection for pending uplink signaling/ data after tau accept | |
| CN103458499A (zh) | 一种脱网处理方法和设备 | |
| US8732799B2 (en) | Method and system for processing authenticator relocation request | |
| CN102595397B (zh) | 防止网络安全失步的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: INST OF TELECOMMUNICATION SCIENCE AND TECHNOLGOY Free format text: FORMER OWNER: DATANG MOBILE COMMUNICATION EQUIPMENT CO., LTD. Effective date: 20110407 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100083 NO. 29, XUEYUAN ROAD, HAIDIAN DISTRICT, BEIJING TO: 100191 NO. 40, XUEYUAN ROAD, HAIDIAN DISTRICT, BEIJING |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20110407 Address after: 100191 Haidian District, Xueyuan Road, No. 40, Applicant after: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY Address before: 100083 Haidian District, Xueyuan Road, No. 29, Applicant before: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee after: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20210602 Address after: 100085 1st floor, building 1, yard 5, Shangdi East Road, Haidian District, Beijing Patentee after: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd. Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Patentee before: CHINA ACADEMY OF TELECOMMUNICATIONS TECHNOLOGY |
|
| TR01 | Transfer of patent right |