CN101686463B - 一种保护用户终端能力的方法、装置和系统 - Google Patents
一种保护用户终端能力的方法、装置和系统 Download PDFInfo
- Publication number
- CN101686463B CN101686463B CN200810216626.0A CN200810216626A CN101686463B CN 101686463 B CN101686463 B CN 101686463B CN 200810216626 A CN200810216626 A CN 200810216626A CN 101686463 B CN101686463 B CN 101686463B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- ability
- network side
- ability information
- safe mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及移动通信技术领域,公开了一种保护用户终端能力的方法、装置和系统,其中本发明实施例提供的一种保护用户终端能力的方法包括:网络侧向用户终端请求所述用户终端的能力信息,网络侧收到所述用户终端返回的能力信息后,向所述用户终端发起安全验证过程。使用本发明提供的技术方案,使得网络侧获得的用户终端的能力信息具有安全保护,保证了网络侧存储的用户终端能力的真实可靠性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及网络安全技术。
背景技术
当前,移动通信已经发展十分普及,在移动通信过程中,通用地面无线接入网络(UTRAN,Universal Terrestrial Radio Access Network)包含一个或几个无线网络子系统(RNS,Radio Network Subsystem)。一个RNS由一个无线网络控制器(RNC,Radio Network Controller)和一个或多个基站(NodeB)组成。
演进的UTRAN(EUTRAN,Evolved UTRAN)网络结构,包括eNB(EUTRANNodeB),eNB之间有X2接口实现数据和信令的交互。eNB通过S1接口连接演变成分组核心(EPC,Evolved Packet Core)网络的移动性管理实体(MME,Mobility Management Entity),eNB通过S1接口连接到服务网关(S-GW,theServing Gateway)。
在SAE/LTE系统中,安全保护分为应用服务器层(AS,Application Server)安全保护和非接入层(NAS,Non Access Stratum)安全保护,AS层主要保护用户终端和eNB之间的无线资源控制(RRC,Radio Resource Control)信令和用户平面(UP,User Plane)的用户数据,NAS层主要保护用户终端与MME之间的NAS信令。在SAE/LTE中,安全模式启动包括AS层的安全模式启动和NAS层的安全模式启动,安全模式没有启动之前,数据和信令都没有安全保护,安全模式启动成功后才会启动安全保护。AS层安全模式启动时,eNB是根据eNB上已知的用户终端能力决定选择用户终端与eNB之间的安全保护所要采用的AS算法,并通过安全模式命令通知用户终端。AS层安全模式命令携带密钥标识KSIasme(KSIasme Key Set Indentifier,密钥标识KSIasme)和eNB根据用户终端能力以及eNB自身算法支持能力而选择的RRC加密算法EPSAS层信令加密算法(EAEA,EPS AS Encryption Algorithm)、EPS AS层信令完整性保护算法(EAIA,EPS AS Integrity Algorithm)、EPS用户面加密算法(EUEA,EPS User-plan Encryption Algorithm)以及携带完整性保护的认证码AS-MAC。NAS层安全模式启动时,MME向用户终端发送经过完整性保护的安全模式命令,安全模式命令携带密钥标识KSIasme和携带eNB根据用户终端能力以及MME自身算法支持能力而最终选择的EPS NAS层加密算法(ENEA,EPS NAS Encryption Algorithm)、EPS NAS层完整性保护算法(ENIA,EPS NASIntegrity Algorithm)以及携带完整性保护的认证码AS-MAC。
在SAE/LTE系统中,用户终端的能力可以划分为用户终端空口能力(UERadio Capability)和用户终端网络能力(UE Network Capability),eNB上用户终端能力包括空口安全方面的能力以及其他无线传输方面的能力(如支持的天线参数),其中空口方面的安全能力包括用户终端对于AS安全层所支持的算法;用户终端的网络能力包含了用户终端在NAS层的安全能力,其中用户终端在NAS层的安全能力体现在对于NAS层所支持的NAS安全算法。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:现有技术中,当MME处没有用户终端能力信息时,MME向eNB发送初始上下文请求消息,该上下文请求消息用于获取用户终端的空口能力,eNB收到该初始上下文请求消息后,如果eNB没有用户终端空口能力信息,则eNB无法选择AS安全保护中的AS层算法,此时,eNB需要向用户终端发送能力查询请求消息,以请求得到该用户终端能力信息,用户终端给eNB返回能力信息。在上述过程中,因安全模式启动成功后才会启动安全保护,当eNB向用户终端查询用户终端能力时,AS层的安全模式命还没有启动,所以eNB发送的能力查询请求消息和用户终端返回的能力信息都没有安全保护,可能会导致出现安全隐患,无法保证网络侧存储的用户终端能力信息的真实可靠性。
发明内容
本发明实施方式要解决的主要技术问题是提供一种保护用户终端能力的方法、装置、系统,使得网络侧获得的用户终端的能力信息具有安全保护,保证了网络侧存储的用户终端能力信息的真实可靠性。
为了解决上述技术问题,本发明的实施例提供了一种保护用户终端能力的方法,包括:
网络侧向用户终端请求用户终端的能力信息;
网络侧收到用户终端返回的能力信息后,向用户终端发起安全验证过程;所述网络侧向所述用户终端发起安全验证过程包括:所述网络侧将获得的所述用户终端的能力信息通过完整性保护的安全模式命令发给所述用户终端进行验证;
若验证失败,所述网络侧收到所述用户终端发送的安全模式命令验证失败的消息或没有在预定时间内收到所述用户终端的返馈,所述网络侧判定所述用户终端的能力信息没有通过验证,所述网络侧释放无线资源控制RRC连接或重新发送安全模式命令消息。
本发明实施例提供了一种保护用户终端能力的方法,包括:
用户终端收到网络侧发送的用户终端能力查询请求,向网络侧发送用户终端能力信息;
用户终端收到网络侧发送的安全验证命令后,同网络侧进行安全验证过程;所述用户终端收到所述网络侧发送的安全验证命令后,同所述网络侧进行安全验证过程,具体为:所述用户终端将收到的通过完整性保护的安全模式命令携带的所述用户终端能力信息与所述用户终端自身的能力信息进行验证;
若验证失败,所述用户终端放弃所述用户终端安全模式命令完整性较验,所述用户终端发送安全模式验证失败消息或禁止向网络侧反馈。
本发明实施例提供了一种保护用户终端能力的方法,包括:
接收MME发送的携带NAS安全算法能力信息的请求消息;
将用户终端的NAS安全算法能力信息代替用户终端的AS安全算法能力并发起验证过程;所述将用户终端的NAS安全算法能力信息代替所述用户终端的AS安全算法能力并发起验证过程,具体为:将所述用户终端的NAS安全算法能力信息代替AS安全算法能力,参照NAS安全算法能力选择所述用户终端的AS安全保护算法,通过AS安全模式命令发送给所述用户终端进行验证;
收到所述用户终端发送的安全模式验证失败的消息或在预定时间内没有收到所述用户终端的返馈,网络侧判定验证失败,释放RRC连接或者选择重传安全模式命令。
本发明实施例提供了一种网络侧装置,包括:
发送模块,用于向用户终端请求用户终端的能力信息;
接收模块,用于接收用户终端返回的能力信息;
验证模块,用于接收模块收到用户终端能力信息后,向用户终端发起安全验证过程;所述的验证模块包括:处理模块,用于将获得的所述用户终端的能力信息通过完整性保护的安全模式命令发给所述用户终端进行验证;执行模块,用于所述处理模块发送验证过程后,验证成功,接收安全模式命令完成消息;验证失败,当接收安全模式命令失败的消息或没有在预定时间内收到所述用户终端的返馈,释放RRC连接或选择重传安全模式命令消息。
本发明实施例提供了一种用户终端侧的装置,包括:
接收模块,用于网络侧发送的用户终端能力查询请求;
发送模块,用于接收模块接收到用户终端能力查询请求后,向网络侧发送用户终端能力信息;
验证模块,用于收到网络侧发送的安全验证命令后,同网络侧进行安全验证过程;所述验证模块包括:处理模块:将收到的通过完整性保护的安全模式命令携带的所述用户终端能力信息与所述用户终端自身的能力信息进行验证;执行模块:用于根据所述处理模块的验证结果,向网络侧发送安全模式命令完成消息;或所述用户终端放弃所述用户终端安全模式命令完整性较验后,所述用户终端发送安全模式验证失败消息;或禁止向所述网络侧反馈。
本发明实施例提供了一种用户终端侧的装置,包括:
接收模块,用于接收MME发送的携带NAS安全算法能力信息的请求消息;
验证模块,用于接收模块接收请求消息后,将用户终端的NAS安全算法能力信息代替用户终端的AS安全算法能力并发起验证过程;所述的验证模块包括:处理模块,用于将所述用户终端的NAS安全算法能力信息代替所述AS安全算法能力,参照所述NAS安全算法能力选择用所述户终端的AS安全保护算法,通过AS安全模式命令发送给所述用户终端进行验证;执行模块,用于根据处理模块验证结果,接收所述AS安全模式命令完成消息,启动安全模式;或收到所述用户终端发送的安全模式验证失败的消息;或在预定时间内没有收到所述用户终端的返馈,网络侧判定验证失败,释放RRC连接或者选择重传安全模式命令。
本发明实施例提供了一种保护用户终端能力的系统,包含能够与UE通信的网终侧,包括:
发送模块,用于向用户终端请求所述用户终端的能力信息;
接收模块,用于发送模块发送用户终端能力查询请求后,接收用户终端返回的能力信息;
验证模块,用于接收模块收到用户终端能力信息后,向用户终端发起安全验证过程;所述的验证模块包括:处理模块,用于将获得的所述用户终端的能力信息通过完整性保护的安全模式命令发给所述用户终端进行验证;执行模块,用于所述处理模块发送验证过程后,验证成功,接收安全模式命令完成消息;验证失败,当接收安全模式命令失败的消息或没有在预定时间内收到所述用户终端的返馈,释放RRC连接或选择重传安全模式命令消息。
本发明实施例提供了一种保护用户终端能力的系统,包含能够与网终侧通信的用户终端,包括:
接收模块,用于网络侧发送的用户终端能力查询请求;
发送模块,用于接收模块接收到用户终端能力查询请求后,向网络侧发送用户终端能力信息;
验证模块,用于收到网络侧发送的安全验证命令后,同所述网络侧进行安全验证过程;所述验证模块包括:处理模块:将收到的通过完整性保护的安全模式命令携带的所述用户终端能力信息与所述用户终端自身的能力信息进行验证;执行模块:用于根据所述处理模块的验证结果,向网络侧发送安全模式命令完成消息;或所述用户终端放弃所述用户终端安全模式命令完整性较验后,所述用户终端发送安全模式验证失败消息;或禁止向所述网络侧反馈。
由上述实施例可知,网络侧向用户终端请求所述用户终端的能力信息,网络侧收到所述用户终端返回的能力信息后,向所述用户终端发起安全验证过程,通过安全验证过程对获得的用户终端的能力信息进行保护,保证了网络侧存储的用户终端能力的真实可靠性。
附图说明
图1为本发明实施例中验证用户终端能力方法实施例一的流程图;
图2为本发明实施例中验证用户终端能力方法实施例二的流程图;
图3为本发明实施例中验证用户终端能力方法实施例三的流程图;
图4为本发明实施例中本发明实施例提供的网络侧装置的结构;
图5为本发明实施例中本发明实施例提供的用户终端侧的装置的结构;
图6为本发明实施例中本发明实施例提供的另一网络侧的装置的结构;
图7为本发明实施例中本发明实施例提供的一种保护用户终端能力的系统;
图8为本发明实施例中本发明实施例提供的一种保护用户终端能力的系统。
具体实施方式
为使本发明实施例的目的、技术方案及优点更加清楚明白,以下对本发明实施例作进一步详细说明。
如图1所示,为本发明验证用户终端能力的方法第一实施方式流程示意图,其中该方式为启动AS安全模式命令验证用户终端能力信息的解决方案,包括如下步骤:
1、MME向eNB发送初始上下文请求;
2、当eNB上没有该用户终端能力信息时,eNB向该用户终端发送能力查询请求;
3、该用户终端收到查询请求后,向eNB发送该用户终端能力信息或者该用户终端能力信息摘要;
4a、eNB收到该用户终端发送的该用户终端能力信息或者该用户终端能力信息摘要后,将获得的该用户终端能力信息或者该用户终端能力信息摘要通过完整性保护的AS安全模式命令发送给该用户终端;
4b、该用户终端收到完整性保护的AS安全模式命令,该AS安全模式命令携带该用户终端能力信息或者该用户终端能力信息摘要,该用户终端判断自身能力信息或能力信息摘要与AS安全模式命令消息携带的该用户终端能力信息或者该用户终端能力信息摘要是否一致。
若一致,则该用户终端开始验证AS安全模式命令消息的完整性,当完整性校验成功,则该用户终端向eNB返回AS安全模式命令完成消息。
若不一致,则该用户终端将放弃该用户终端安全模式命令的完整性校验,该用户终端发送安全模式失败消息给eNB,或者该用户终端放弃安全模式命令的完整性较验。
4c、eNB判定用户终端能力是否经过验证。
若收到该用户终端发送的AS安全模式完成命令,则eNB判定该用户终端能力通过验证,eNB向MME传送该用户终端能力。
若收到该用户终端发送的AS安全模式失败的消息或者没有在预定时间内收到该用户终端的反馈,则eNB判定该用户终端能力没有通过验证,eNB释放RRC连接或选择重传安全模式命令消息。
上述,eNB没有在预定时间内收到该用户终端的反馈,具体实现可以为:eNB可以设置定时器,当eNB获得该用户终端能力信息或者该用户终端能力信息摘要,并通过发送完整性保护的AS安全模式命令将该信息发送给该用户终端后,启动该定时器,如果该用户终端判断自身能力信息或者能力信息摘要与AS安全模式命令消息携带的该用户终端能力信息或者该用户终端能力信息摘要不一致时,该用户终端放弃安全模式命令的完整性较验,即eNB没有在预定时间内收到该用户终端的反馈,即定时器超时,eNB释放RRC连接或选择重新发送安全模式命令。
如图2所示,为本发明验证用户终端能力的方法第二实施方式流程示意图,其中该方式为启动NAS安全模式命令携带用户终端能力信息,在用户终端侧验证用户终端能力信息的解决方案,包括如下步骤:
1、MME向eNB发送初始上下文请求;
2、当eNB上没有该用户终端能力信息时,eNB向该用户终端发送能力查询请求;
3、该用户终端收到查询请求后,eNB向该用户终端发送该用户终端能力信息或者该用户终端能力信息的一部分或者该用户终端能力信息摘要;
4、eNB将收到的该用户终端能力信息或者该用户终端能力信息的一部分或者该用户终端能力信息摘要通过上下文响应消息发送给MME。
5a、MME收到eNB发送的该用户终端能力信息或者该用户终端能力信息的一部分或者该用户终端能力信息摘要后,将该信息通过完整性保护的NAS安全模式命令发送给该用户终端。
5b、该用户终端收到完整性保护的NAS安全模式命令,该NAS安全模式命令携带该用户终端能力信息或者该用户终端能力信息的一部分或者该用户终端能力信息摘要,该用户终端判断自身能力信息或者能力信息的一部分或者能力信息摘要与NAS安全模式命令消息携带的该用户终端能力信息或者该用户终端能力的一部分或者该用户终端能力信息摘要是否一致。
若一致,则该用户终端开始验证NAS安全模式消息的完整性,当完整性校验成功,则该用户终端向MME返回一个NAS安全模式命令完成消息。
若不一致,则该用户终端将放弃该用户终端安全模式命令的完整性校验,该用户终端发送一个安全模式失败的消息给MME,或者没有在预定时间内收到该用户终端的反馈,该用户终端放弃安全模式命令的完整性较验。
MME若收到NAS安全模式完成命令,则该用户终端能力通过验证。
MME若收到该用户终端发送的NAS安全模式失败的消息或者没有在预定时间内收到该用户终端的返馈,则MME判定该用户终端能力没有通过验证,MME释放RRC连接或选择重传安全模式命令消息。
上述,MME没有在预定时间内收到该用户终端的返馈,具体实现可以为:MME也可以设置一个定时器,MME获得该用户终端能力信息或者该用户终端能力信息的一部分或者该用户终端能力信息摘要,并通过完整性保护的NAS安全模式命令将该信息发送给该用户终端后,启动该定时器;如果该用户终端判断自身能力信息或者能力信息的一部分或者能力信息摘要与完整性保护的NAS安全模式命令携带该用户终端能力信息或者该用户终端能力信息的一部分或者该用户终端能力信息摘要不一致时,该用户终端放弃安全模式命令的完整性较验,即MME没有在预定时间收到用户终端的返馈,即定时器超时,MME释放RRC连接或选择重新发送安全模式命令。。
如图3所示,为本发明验证用户终端能力的方法第三实施方式流程示意图,其中该方式为eNB没有用户终端的AS层安全模式命令下,参照用户终端NAS算法能力来选择AS层安全保护算法的解决方案,包括以下步骤:
1、eNB收到MME发送的初始化上下文请求消息,该消息携带用户终端NAS安全算法能力信息;
当MME没有保存该用户终端的空口能力信息,MME向eNB发送携带该用户终端NAS安全算法能力信息的初始化上下文请求消息;
2a、eNB收到MME发送的初始化上下文请求消息,获取该消息携带的该用户终端NAS安全算法能力信息,当eNB上没有该用户终端能力信息时,eNB参照该用户终端的NAS安全算法能力信息选择该用户终端的AS安全算法能力信息;
eNB将参照该NAS安全算法能力信息选择AS层安全保护算法,包括选择RRC加密算法EAEA、RRC完整性何护算法EAIA、用户面加密算法EUEA。
2b、eNB向该用户终端发送AS安全模式命令;
eNB将上述a步骤中该的eNB选择的AS层安全保护算法,包括选择RRC加密算法EAEA、RRC完整性何护算法EAIA、用户面加密算法EUEA包含在AS安全保护消息中,发送给该用户终端。
2c、该用户终端根据接收到AS安全模式命令消息的算法指示验证AS安全模式命令消息的完整性;
若该用户终端对AS安全模式命令消息的完整性保护验证成功,则返回AS安全模式命令完成消息,启动AS安全模式;
若该用户终端对AS安全模式命令消息的完整性保护验证失败,则该用户终端将发送一个安全模式失败的消息给eNB,eNB收到安全模式失败的消息后释放RRC连接,或者选择重传安全模式命令消息。
3、eNB向该用户终端发送能力查询请求,此消息已经具有安全保护;
4、该用户终端向eNB发送具有安全保护的该用户终端的能力信息;
5、eNB将具有安全保护的该用户终端能力消息通过上下文响应消息发送给MME。
若该用户终端对AS安全模式命令消息的完整性保护验证失败,则也可以在eNB上设置一个定时器,当eNB将NAS安全算法能力信息包含在AS安全保护消息中,发送给该用户终端后,启动该定时器;当该用户终端对AS安全模式命令消息的完整性保护验证失败,eNB上定时器没有超时之前,eNB可以选择重新发送安全模式命令,当eNB上定时器超时后,eNB释放RRC连接或选择重传安全模式命令。
图4描述了本发明实施例提供的网络侧装置的结构,包括
发送模块401,用于向用户终端请求该用户终端的能力信息,包括请求该该用户终端的能力信息、该用户端的能力信息摘要或该用户终端能力信息的一部份。
接收模块402,用于发送模块发送请求消息后,接收该用户终端返回的能力信息、该用户终端的能力信息摘要或该用户终端能力信息的一部份;
验证模块403,用于该接收模块收到该用户终端能力信息后,向该用户终端发起安全验证过程,具体包括:
处理模块4031,用于将获得的该用户终端的能力信息、该用户端的能力信息摘要或该用户终端能力信息的一部份通过完整性保护的安全模式命令发给该用户终端进行验证;
执行模块4032,用于处理模块发送验证过程后,若网络侧接收安全模式命令完成消息,则验证成功,网络侧获取经过完全验证的该用户终端的能力信息、该用户端的能力信息摘要或该用户终端能力信息的一部份;网络侧收到安全模式命令失败的消息或网络侧没有在预定时间内收到该用户终端的返馈,则验证失败,判定该用户终端的能力信息、该用户端的能力信息摘要或该用户终端能力信息的一部份没有通过验证,释放RRC连接或选择重传安全模式命令消息。
网络侧实体为eNB获取经过安全验证的该用户终端能力信息后,eNB将经过安全验证的该用户终端的能力信息、该用户端的能力信息摘要或该用户终端能力信息的一部份发送给MME。
图5描述了本发明实施例提供的用户终端侧的装置的结构,包括:
接收模块501,用于网络侧发送的用户终端能力查询请求,查询该用户终端的能力信息、该用户端的能力信息摘要或该用户终端能力信息的一部份。
发送模块502,用于该接收模块接收到该用户终端能力查询请求后,向网络侧发送该用户终端能力信息、该用户端的能力信息摘要或该用户终端能力信息的一部份;
验证模块503,用于收到网络侧发送的安全验证命令后,同该网络侧进行安全验证过程,包括:
处理模块5031,用于将收到的通过完整性保护的安全模式命令携带的该用户终端能力信息、该用户端的能力信息摘要或该用户终端能力信息的一部份与该用户终端自身的能力信息、该用户端的能力信息摘要或该用户终端能力信息的一部份进行验证。
执行模块5032,用于根据处理模块的验证结果进行操作,包括:
若验证成功,发送安全模式命令完成消息;
若验证失改,该用户终端放弃用户终端安全模式命令完整性较验后,该用户终端发送安全模式验证失败消息或禁止向网络侧反馈。
图6描述了本发明实施例提供的另一网络侧的装置的结构包括:
接收模块601,用于接收MME发送的携带NAS安全算法能力信息的请求消息;
验证模块602,用于接收模块接收请求消息后,将该用户终端的NAS安全算法能力信息代替该用户终端的AS安全算法能力并发起验证过程,具体为参照该NAS安全算法能力信息选择RRC加密算法EAEA、RRC完整性保护算法EAIA、用户面加密算法EUEA。验证模块包括:
处理模块6021,用于将该用户终端的NAS安全算法能力信息代替AS安全算法能力,参照NAS安全算法能力选择该用户终端的AS安全保护算法,通过AS安全模式命令发送给该用户终端进行验证;
执行模块6022,用于根据处理模块验证结果,接收AS安全模式命令完成消息,启动安全模式。或收到该用户终端发送的安全模式验证失败的消息;或在预定时间内没有收到该用户终端的返馈,网络侧判定验证失败,释放RRC连接或者选择重传安全模式命令。
图7描述了本发明实施例提供的一种保护用户终端能力的系统,包含能够与UE通信的网终侧700,其特征在于,包括:
发送模块701,用于向用户终端请求该用户终端的能力信息;
接收模块702,用于发送模块发送该用户终端能力查询请求后,接收该用户终端返回的能力信息;
验证模块703,用于接收模块收到该用户终端能力信息后,向该用户终端发起安全验证过程。
图8描述了本发明实施例提供的一种保护用户终端能力的系统,包含能够与网终侧通信的用户终端800,其特征在于,包括:
接收模块801,用于网络侧发送的用户终端能力查询请求;
发送模块802,用于接收模块接收到该用户终端能力查询请求后,向网络侧发送该用户终端能力信息;
验证模块803,用于收到网络侧发送的安全验证命令后,同该网络侧进行安全验证过程。
本发明实施例中,网络侧向用户终端请求该用户终端的能力信息,网络侧收到该用户终端返回的能力信息后,向该用户终端发起安全验证过程,通过安全验证过程对获得的该用户终端的能力信息进行保护,保证了网络侧存储的用户终端能力的真实可靠性。
通过以上的各实施例的描述,本领域的技术人员可以清楚地了解到本发明可借助软件及必需的通用硬件平台的方式来实现,当然,也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例该的方法。
虽然通过参照本发明的某些优选实施方式,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (17)
1.一种保护用户终端能力的方法,其特征在于,包括:
网络侧向用户终端请求所述用户终端的能力信息;
所述网络侧收到所述用户终端返回的能力信息后,向所述用户终端发起安全验证过程;所述网络侧向所述用户终端发起安全验证过程包括:所述网络侧将获得的所述用户终端的能力信息通过完整性保护的安全模式命令发给所述用户终端进行验证;
若验证失败,所述网络侧收到所述用户终端发送的安全模式命令验证失败的消息或没有在预定时间内收到所述用户终端的返馈,所述网络侧判定所述用户终端的能力信息没有通过验证,所述网络侧释放无线资源控制RRC连接或重新发送安全模式命令消息。
2.根据权利要求1所述的保护用户终端能力的方法,其特征在于,进一步包括:
若验证成功,所述网络侧收到所述用户终端发送的安全模式命令完成消息,所述网络侧获取经过安全验证的所述用户终端能力信息。
3.根据权利要求1所述的保护用户终端能力的方法,其特征在于,所述的网络侧没有在预定时间内收到所述用户终端的返馈,所述网络侧判定所述用户终端的能力信息没有通过验证,具体为:
所述网络侧设置定时器,将获得的所述用户终端的能力信息通过完整性保护的安全模式命令发给所述用户终端进行验证后,所述网络侧启动该定时器;
所述网络侧若没有在预定时间内收到所述用户终端的返馈,所述网络侧判定所述用户终端的能力信息没有通过验证。
4.根据权利要求1至3中任意一项所述的方法,其特征在于,所述的用户终端的能力信息,具体为:
所述用户终端的能力信息;
或,用户终端能力信息的摘要;
或,用户终端能力信息的一部份。
5.根据权利要求1用户终端能力的方法,其特征在于,所述网络侧获取经过安全验证的所述用户终端能力信息进一步包括:
所述网络侧实体为基站eNB,则eNB获取经过安全验证的所述用户终端能力信息后,eNB将经过安全验证的所述用户终端能力信息发送给所述网络侧移动性管理实体MME。
6.根据权利要求1至3中任一项所述的保护用户终端能力的方法,其特征在于,包括:
如果所述网络侧实体为eNB,所述安全模式命令为应用服务器AS层安全模式命令;
如果所述网络侧实体为MME,所述的安全模式命令为非接入层NAS层安全模式命令。
7.一种保护用户终端能力的方法,其特征在于,包括:
用户终端收到网络侧发送的用户终端能力查询请求,向所述网络侧发送所述用户终端能力信息;
所述用户终端收到所述网络侧发送的安全验证命令后,同所述网络侧进行安全验证过程;所述用户终端收到所述网络侧发送的安全验证命令后,同所述网络侧进行安全验证过程,具体为:所述用户终端将收到的通过完整性保护的安全模式命令携带的所述用户终端能力信息与所述用户终端自身的能力信息进行验证;
若验证失败,所述用户终端放弃所述用户终端安全模式命令完整性较验,所述用户终端发送安全模式验证失败消息或禁止向网络侧反馈。
8.根据权利要求7所述的保护用户终端能力的方法,其特征在于,包括:
若验证成功,所述用户终端发送安全模式命令完成消息。
9.一种保护用户终端能力的方法,其特征在于,包括:
接收MME发送的携带NAS安全算法能力信息的请求消息;
将用户终端的NAS安全算法能力信息代替所述用户终端的AS安全算法能力并发起验证过程;所述将用户终端的NAS安全算法能力信息代替所述用户终端的AS安全算法能力并发起验证过程,具体为:将所述用户终端的NAS安全算法能力信息代替AS安全算法能力,参照NAS安全算法能力选择所述用户终端的AS安全保护算法,通过AS安全模式命令发送给所述用户终端进行验证;
收到所述用户终端发送的安全模式验证失败的消息或在预定时间内没有收到所述用户终端的返馈,网络侧判定验证失败,释放RRC连接或者选择重传安全模式命令。
10.如权利要求9所述的保护用户终端能力的方法,其特征在于,所述验证通过,进一步包括:
对AS安全模式命令消息的完整性保护验证成功,则返回AS安全模式命令完成消息,启动安全模式。
11.根据权利要求9所述的保护用户终端能力的方法,其特征在于,所述参照NAS安全算法能力选择用户终端的AS安全保护算法具体包括:
参照该NAS安全算法能力信息选择AS层加密算法EAEA、AS层完整性保护算法EAIA、AS层用户面加密算法EUEA。
12.根据权利要求9至11中任一项所述的保护用户终端能力的方法,其特征在于,包括:
验证通过,将所述通过安全验证的能力信息发送给所述MME。
13.一种网络侧装置,其特征在于,包括:
发送模块,用于向用户终端请求所述用户终端的能力信息;
接收模块,用于所述发送模块发送请求消息后,接收所述用户终端返回的能力信息;
验证模块,用于所述接收模块收到所述用户终端能力信息后,向所述用户终端发起安全验证过程;所述的验证模块包括:处理模块,用于将获得的所述用户终端的能力信息通过完整性保护的安全模式命令发给所述用户终端进行验证;执行模块,用于所述处理模块发送验证过程后,验证成功,接收安全模式命令完成消息;验证失败,当接收安全模式命令失败的消息或没有在预定时间内收到所述用户终端的返馈,释放RRC连接或选择重传安全模式命令消息。
14.一种用户终端侧的装置,其特征在于,包括:
接收模块,用于接收网络侧发送的所述用户终端能力查询请求;
发送模块,用于接收模块接收到所述用户终端能力查询请求后,向网络侧发送所述用户终端能力信息;
验证模块,用于收到网络侧发送的安全验证命令,所述安全验证命令携带所述发送模块发送的用户终端的能力信息,并进行安全验证过程;所述验证模块包括:处理模块:将收到的通过完整性保护的安全模式命令携带的所述用户终端能力信息与所述用户终端自身的能力信息进行验证;执行模块:用于根据所述处理模块的验证结果,向网络侧发送安全模式命令完成消息;或所述用户终端放弃所述用户终端安全模式命令完整性较验后,所述用户终端发送安全模式验证失败消息;或禁止向所述网络侧反馈。
15.一种网络侧装置,其特征在于,包括:
接收模块,用于接收MME发送的携带NAS安全算法能力信息的请求消息;
验证模块,用于所述接收模块接收请求消息后,将用户终端的NAS安全算法能力信息代替所述用户终端的AS安全算法能力并发起验证过程;所述的验证模块包括:处理模块,用于将所述用户终端的NAS安全算法能力信息代替所述AS安全算法能力,参照所述NAS安全算法能力选择用所述户终端的AS安全保护算法,通过AS安全模式命令发送给所述用户终端进行验证;执行模块,用于根据处理模块验证结果,接收所述AS安全模式命令完成消息,启动安全模式;或收到所述用户终端发送的安全模式验证失败的消息;或在预定时间内没有收到所述用户终端的返馈,网络侧判定验证失败,释放RRC连接或者选择重传安全模式命令。
16.一种保护用户终端能力的系统,包含能够与UE通信的网络侧,其特征在于,包括:
发送模块,用于向用户终端请求所述用户终端的能力信息;
接收模块,用于所述发送模块发送所述用户终端能力查询请求后,接收所述用户终端返回的能力信息;
验证模块,用于所述接收模块收到所述用户终端能力信息后,向所述用户终端发起安全验证过程;所述的验证模块包括:处理模块,用于将获得的所述用户终端的能力信息通过完整性保护的安全模式命令发给所述用户终端进行验证;执行模块,用于所述处理模块发送验证过程后,验证成功,接收安全模式命令完成消息;验证失败,当接收安全模式命令失败的消息或没有在预定时间内收到所述用户终端的返馈,释放RRC连接或选择重传安全模式命令消息。
17.一种保护用户终端能力的系统,包含能够与网终侧通信的用户终端,其特征在于,包括:
接收模块,用于网络侧发送的所述用户终端能力查询请求;
发送模块,用于所述接收模块接收到所述用户终端能力查询请求后,向网络侧发送所述用户终端能力信息;
验证模块,用于收到所述网络侧发送的安全验证命令后,同所述网络侧进行安全验证过程;所述验证模块包括:处理模块:将收到的通过完整性保护的安全模式命令携带的所述用户终端能力信息与所述用户终端自身的能力信息进行验证;执行模块:用于根据所述处理模块的验证结果,向网络侧发送安全模式命令完成消息;或所述用户终端放弃所述用户终端安全模式命令完整性较验后,所述用户终端发送安全模式验证失败消息;或禁止向所述网络侧反馈。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810216626.0A CN101686463B (zh) | 2008-09-28 | 2008-09-28 | 一种保护用户终端能力的方法、装置和系统 |
| PCT/CN2009/073775 WO2010037299A1 (zh) | 2008-09-28 | 2009-09-07 | 一种保护用户终端能力的方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810216626.0A CN101686463B (zh) | 2008-09-28 | 2008-09-28 | 一种保护用户终端能力的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101686463A CN101686463A (zh) | 2010-03-31 |
| CN101686463B true CN101686463B (zh) | 2013-10-09 |
Family
ID=42049367
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810216626.0A Active CN101686463B (zh) | 2008-09-28 | 2008-09-28 | 一种保护用户终端能力的方法、装置和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101686463B (zh) |
| WO (1) | WO2010037299A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102142942B (zh) * | 2011-04-01 | 2017-02-08 | 中兴通讯股份有限公司 | 一种中继节点系统中的数据处理方法及系统 |
| CN103220657A (zh) * | 2012-01-20 | 2013-07-24 | 中兴通讯股份有限公司 | 一种获取终端能力信息的方法、系统及基站 |
| JP5698822B1 (ja) * | 2013-10-25 | 2015-04-08 | 株式会社Nttドコモ | 移動通信方法、移動通信システム及び無線基地局 |
| US9788208B2 (en) * | 2015-12-31 | 2017-10-10 | Mediatek Inc. | Apparatuses and methods for recovering from security mode command failures |
| CN108377494B (zh) * | 2016-11-22 | 2020-10-27 | 深圳市中兴微电子技术有限公司 | 一种终端异常流程保护方法和装置 |
| AU2017397594B9 (en) * | 2017-02-03 | 2021-04-22 | Huawei Technologies Co., Ltd. | Connection release method and apparatus |
| US11924642B2 (en) | 2017-06-23 | 2024-03-05 | Nec Corporation | Privacy considerations for network slice selection |
| CN112672339A (zh) * | 2019-10-15 | 2021-04-16 | 中国移动通信有限公司研究院 | 一种终端能力信息的通知方法、终端及基站 |
| WO2021147053A1 (zh) * | 2020-01-22 | 2021-07-29 | 华为技术有限公司 | 数据传输方法、装置及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1625103A (zh) * | 2003-12-01 | 2005-06-08 | 中国电子科技集团公司第三十研究所 | 一种采用公开密钥密码算法数字签名模式的强鉴别方法 |
| CN1913701A (zh) * | 2005-08-08 | 2007-02-14 | 北京三星通信技术研究有限公司 | 移动通信系统中为不同用户提供不同安全等级业务的方法 |
| CN101242630A (zh) * | 2007-02-05 | 2008-08-13 | 华为技术有限公司 | 安全算法协商的方法、装置及网络系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101213285B1 (ko) * | 2006-01-04 | 2012-12-17 | 삼성전자주식회사 | 이동통신 시스템에서 아이들모드 단말기의 세션 설정 프로토콜 데이터를 전송하는 방법 및 장치 |
-
2008
- 2008-09-28 CN CN200810216626.0A patent/CN101686463B/zh active Active
-
2009
- 2009-09-07 WO PCT/CN2009/073775 patent/WO2010037299A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1625103A (zh) * | 2003-12-01 | 2005-06-08 | 中国电子科技集团公司第三十研究所 | 一种采用公开密钥密码算法数字签名模式的强鉴别方法 |
| CN1913701A (zh) * | 2005-08-08 | 2007-02-14 | 北京三星通信技术研究有限公司 | 移动通信系统中为不同用户提供不同安全等级业务的方法 |
| CN101242630A (zh) * | 2007-02-05 | 2008-08-13 | 华为技术有限公司 | 安全算法协商的方法、装置及网络系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101686463A (zh) | 2010-03-31 |
| WO2010037299A1 (zh) | 2010-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101686463B (zh) | 一种保护用户终端能力的方法、装置和系统 | |
| US10284540B2 (en) | Secure method for MTC device triggering | |
| CN102843682B (zh) | 接入点认证方法、装置及系统 | |
| CN109076079B (zh) | 用于增强的非接入层安全的方法、装置和计算机可读介质 | |
| CN102948208B (zh) | 促成安全性配置的同步的方法和装置 | |
| US8555064B2 (en) | Security system and method for wireless communication system | |
| CN109803259B (zh) | 一种请求恢复连接的方法及装置 | |
| US20100172500A1 (en) | Method of handling inter-system handover security in wireless communications system and related communication device | |
| CN102916808A (zh) | 电信系统中的方法和设备 | |
| US8995664B2 (en) | Security in wireless communication system and device | |
| WO2017113063A1 (zh) | 一种nas消息处理、小区列表更新方法及设备 | |
| US9155120B2 (en) | Call establishment | |
| CN109803456B (zh) | 一种请求恢复连接的方法及装置 | |
| CN101677440A (zh) | 一种接入点认证的方法、系统及安全网关 | |
| WO2016174512A1 (en) | Resource control for wireless device detach | |
| CN101552982A (zh) | 检测降质攻击的方法及用户设备 | |
| CN106888447B (zh) | 副usim应用信息的处理方法及系统 | |
| CN117062071A (zh) | 鉴权方法、通信装置和计算机可读存储介质 | |
| CN116783986A (zh) | 用于数据发射处理的方法及设备 | |
| WO2011120466A2 (zh) | 一种网络接入方法和装置 | |
| CN101472278A (zh) | 开户方法、通信系统以及帐号服务器、鉴权服务器和终端 | |
| CN113904781B (zh) | 切片认证方法及系统 | |
| CN101790164A (zh) | 一种认证方法及通信系统以及相关设备 | |
| CN112672339A (zh) | 一种终端能力信息的通知方法、终端及基站 | |
| WO2016145881A1 (zh) | 无线保真wifi网络的建立方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |