CN102348201B - 获取安全上下文的方法和装置 - Google Patents
获取安全上下文的方法和装置 Download PDFInfo
- Publication number
- CN102348201B CN102348201B CN201010245984.1A CN201010245984A CN102348201B CN 102348201 B CN102348201 B CN 102348201B CN 201010245984 A CN201010245984 A CN 201010245984A CN 102348201 B CN102348201 B CN 102348201B
- Authority
- CN
- China
- Prior art keywords
- safe context
- safe
- service request
- context
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的实施例公开了一种获取安全上下文的方法和装置,涉及通信技术领域,为能够在MTC设备不执行TAU/RAU的情况下,使MTC设备和网络侧能够正常通信而发明。所述获取安全上下文的方法包括:生成服务请求,所述服务请求携带安全上下文的获取指示;向新服务器发送携带所述安全上下文的获取指示的服务请求;接收所述新服务器根据所述安全上下文的获取指示发送的参数调取请求;根据所述参数调取请求调取所述安全上下文的获取参数;向所述新服务器发送所述安全上下文的获取参数。本发明的实施例可用于MTC通信技术中。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种获取安全上下文的方法和装置。
背景技术
机器对机器M2M(Machine to Machine,)通信也称为机器类通信MTC(Machine Type Communication),是一种无线通信和信息技术的整合技术,该技术无需人工干预,机器和机器之间可以直接进行通信,目前在自动仪表、远程监控、支付系统等方面具有广泛的应用。
MTC设备通常具有TAU(Tracking Area Update,跟踪区域的更新)/RAU(Routing Area Update,路由区域的更新)功能,TAU/RAU功能的主要作用是让网络侧获得MTC设备的位置信息,从而网络侧可以利用该位置信息对MTC设备进行寻呼,发起业务。当MTC设备进行空闲状态的移动,移动到其他位置或路由区域时,通过TAU/RAU过程可以使网络侧获得安全上下文。其中,安全上下文是MTC通信中采用的加密密钥和加密规则等的集合。
部分MTC设备具有MO(Mobile originated only,移动台发起通信)这种MTC特性,具备MO特性的MTC设备,只能由MTC设备发起通信,网络侧是不能寻呼MTC设备接入网络的。因此,在这种情况下,为了节省MTC设备的耗电量和网络侧移动性管理信令,可以禁止MTC设备执行TAU/RAU过程。但是,如果禁止MTC设备执行TAU/RAU过程,那么MTC设备移动到其他位置或路由区域时,将造成通信失败。
发明内容
本发明的实施例的主要目的在于,提供一种获取安全上下文的方法和装置,能够在MTC设备不执行TAU/RAU的情况下,使MTC设备和网络侧能够正常通信。
为达到上述目的,本发明的实施例采用如下技术方案:
一种获取安全上下文的方法,包括:
生成服务请求,所述服务请求携带安全上下文的获取指示;
向新服务器发送携带所述安全上下文的获取指示的服务请求;
接收所述新服务器根据所述安全上下文的获取指示发送的参数调取请求;
根据所述参数调取请求调取所述安全上下文的获取参数;
向所述新服务器发送所述安全上下文的获取参数。
一种获取安全上下文的方法,包括:
生成服务请求,所述服务请求携带安全上下文的获取参数;
向新服务器发送所述携带安全上下文的获取参数的服务请求。
一种获取安全上下文的方法,其特征在于,包括:
接收携带安全上下文的获取指示的服务请求;
根据所述服务请求携带的安全上下文的获取指示,向终端发送参数调取请求;
接收所述终端发送的安全上下文的获取参数,所述获取参数为所述终端根据所述参数调取请求获取的;
根据所述安全上下文的获取参数获得安全上下文。
一种获取安全上下文的方法,其特征在于,包括:
接收携带安全上下文的获取参数的服务请求;
根据所述安全上下文的获取参数获得安全上下文。
一种获取安全上下文的装置,其特征在于,包括:
生成单元,用于生成服务请求,所述服务请求携带安全上下文的获取指示;
收发单元,用于向新服务器发送所述生成单元生成的携带所述安全上下文的获取指示的服务请求,或者用于接收所述新服务器根据所述安全上下文的获取指示发送的参数调取请求;
调取单元,用于根据所述收发单元接收的所述参数调取请求调取所述安全上下文的获取参数;
所述收发单元用于向所述新服务器发送所述调取单元调取的所述安全上下文的获取参数。
一种获取安全上下文的装置,包括:
生成单元,用于生成服务请求,所述服务请求携带安全上下文的获取参数;
发送单元,用于向新服务器发送所述生成单元生成的所述携带安全上下文的获取参数的服务请求。
一种获取安全上下文的装置,包括:
收发单元,用于接收携带安全上下文的获取指示的服务请求,或者用于根据所述服务请求携带的安全上下文的获取指示,向终端发送参数调取请求,或者用于接收所述终端发送的安全上下文的获取参数,所述获取参数为所述终端根据所述参数调取请求获取的;
获取单元,用于根据所述收发单元接收的所述安全上下文的获取参数获得安全上下文。
一种获取安全上下文的装置,其特征在于,包括:
接收单元,用于接收携带安全上下文的获取参数的服务请求;
获取单元,用于根据所述接收单元接收的所述安全上下文的获取参数获得安全上下文。
采用上述技术方案后,本发明实施例提供的获取安全上下文的方法和装置,能够在MTC设备不执行TAU/RAU的情况下,当MTC设备发生位置或路由区域移动时,MTC设备同样可以和网络侧进行正常通信。因此可以禁止MTC设备执行TAU/RAU过程,节省MTC设备的耗电量和网络侧移动性管理信令,提高系统运行的稳定性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例获取安全上下文的方法的一种流程图;
图2为本发明实施例获取安全上下文的方法的另一种流程图;
图3为本发明实施例获取安全上下文的方法的另一种流程图;
图4为本发明实施例获取安全上下文的方法的另一种流程图;
图5为本发明实施例获取安全上下文的方法的一种详细流程图;
图6为本发明实施例获取安全上下文的方法的另一种详细流程图;
图7为本发明实施例获取安全上下文的方法的另一种详细流程图;
图8为本发明实施例获取安全上下文的方法的另一种详细流程图;
图9为本发明实施例获取安全上下文的方法的另一种详细流程图;
图10为本发明实施例获取安全上下文的装置的一种结构框图;
图11为图10所示的获取安全上下文的装置的另一种结构框图;
图12为本发明实施例获取安全上下文的装置的一种结构框图;
图13为图12所示的获取安全上下文的装置的另一种结构框图;
图14为本发明实施例获取安全上下文的装置的一种结构框图;
图15为图14所示的获取安全上下文的装置的另一种结构框图;
图16为图14所示的获取安全上下文的装置的另一种结构框图;
图17为图14所示的获取安全上下文的装置的另一种结构框图;
图18为本发明实施例获取安全上下文的装置的一种结构框图;
图19为图18所示的获取安全上下文的装置的另一种结构框图;
图20为图18所示的获取安全上下文的装置的另一种结构框图;
图21为图18所示的获取安全上下文的装置的另一种结构框图;
图22为本发明实施例获取安全上下文的方法的另一种流程图;
图23为本发明实施例获取安全上下文的装置的一种结构框图;
图24为本发明实施例获取安全上下文的方法的另一种流程图;
图25为本发明实施例获取安全上下文的装置的一种结构框图;
图26为图25所示的获取安全上下文的装置的另一种结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供的一种获取安全上下文的方法,基于进行了位置或路由区域的移动,由原服务器转换为新服务器的终端,即MTC设备,包括下述步骤:
S11,生成服务请求(Service Request),所述服务请求携带安全上下文的获取指示;
S12,向新服务器发送携带所述安全上下文的获取指示的服务请求;
S13,接收所述新服务器根据所述安全上下文的获取指示发送的参数调取请求;
S14,根据所述参数调取请求调取所述安全上下文的获取参数;
S15,向所述新服务器发送所述安全上下文的获取参数。
当MTC设备发生了位置或者路由区域的移动时,移动到其他位置或路由区域时,MTC设备所对应的网络侧服务器MME/SGSN(MobilityManagement Entity,移动管理实体)/SGSN(Servicing GPRS SupportNode,GPRS(General Packet Radio Service,通用分组无线业务)服务节点)同时也发生了变化,由原MME/SGSN转换为新MME/SGSN,其中,MME为LTE(long term evolution,长期演进)系统中与MTC设备对应的网络侧服务器,SGSN为UMTS(Universal MobileTelecommunications System,通用移动通信系统)系统中与MTC设备对应的网络侧服务器。
上述本发明实施例提供的获取安全上下文的方法,在MTC设备不执行RAT/TAU过程的情况下,MTC设备发起业务时,将安全上下文的获取参数发送给新MME/SGSN。这样来讲,新MME/SGSN就可以根据安全上下文的获取参数找到MTC设备对应的原MME/SGSN,原MME/SGSN可以根据安全上下文的获取参数找到对应的安全上下文并发送给新MME/SGSN,使在MTC设备不执行RAT/TAU过程的情况下,新MME/SGSN依然能够从原MME/SGSN处获取到安全上下文,使得MTC设备可以和网络侧进行正常通信。因此MTC设备可以禁止执行TAU/RAU过程,节省MTC设备的耗电量和网络侧移动性管理信令,提高系统运行的稳定性。
本实施例提供的获取安全上下文的方法中,MTC设备的服务请求中,增加了安全上下文获取指示,该参数指示接收MTC设备的服务请求的服务器MME/SGSN是否需要获取安全上下文,当MTC设备检测到对应的服务器为新MME/SGSN时,此时,服务请求中的安全上下文获取指示将指示需要获取安全上下文,反之,服务请求中的安全上下文获取指示将指示不需要获取安全上下文。当新MME/SGSN收到服务请求时,可通过服务请求中的安全上下文获取指示得知需要获取安全上下文,将向MTC设备发送参数调取请求,接到请求后,MTC设备将向新MME/SGSN发送安全上下文的获取参数。
其中,安全上下文的获取参数可包括原临时身份标识GUTI(Globally Unique Temporary Identity,全球唯一临时标识)/P-TMSI(Packet Temperate Mobile Subscription Identity,分组临时移动用户识别码)(在LTE系统中称为GUTI,在UMTS中称为P-TMSI),密钥集标识KSI(Key Set Identifier),原路由区域标识RAI(Routing AreaIdentifier)等。其中,新MME/SGSN能够根据原GUTI值找到原MME,根据原P-TMSI和RAI找到原SGSN,而原MME/SGSN能够根据GUTI/P-TMSI和KSI找到对应的安全上下文。另外,安全上下文的获取参数还可包括UE(User Equipment,用户设备)的安全能力,用于验证授权特性的非接入层标记NAS(Non Access Stratum)或P-TMSI签名,用于生成映射上下文的随机数,用来在计算MAC值时作为输入参数的Bearerid等。MTC设备可根据原系统和新系统的实际情况和要求组织安全上下文的获取参数。
另外,为了保证安全性,MTC设备可以对向新服务器发送的携带安全上下文的获取参数的消息进行完整性保护。即在S14步骤后,本实施例的获取安全上下文的方法还包括:
生成携带所述安全上下文的获取参数的消息;
对所述携带安全上下文的获取参数的消息进行完整性保护;
其中,进行完整性保护所利用的安全上下文包括自身存储的安全上下文、根据自身存储的安全上下文生成映射的安全上下文等。MTC设备对要发送的携带安全上下文的获取参数的消息进行完整性保护后,MTC设备将在该消息中添加该消息的完整性保护值MAC(MessageAuthentication Code,消息鉴权码)。
此时,S15步骤中,将向新服务器发送完整性保护后的所述携带安全上下文的获取参数的消息。
如图2所示,本发明实施例提供的一种获取安全上下文的方法,基于进行了位置或路由区域的移动,由原服务器转换为新服务器的终端,即MTC设备,包括下述步骤:
S22,生成服务请求,所述服务请求携带安全上下文的获取参数;
S23,向新服务器发送所述携带安全上下文的获取参数的服务请求。
当MTC设备发生了位置或者路由区域的移动时,由原MME/SGSN转换为新MME/SGSN,在不执行RAT/TAU过程的情况下,MTC设备发起业务时,将安全上下文的获取参数携带于服务请求中发送给新MME/SGSN。这样来讲,新MME/SGSN就可以根据安全上下文的获取参数找到MTC设备对应的原MME/SGSN,原MME/SGSN可以根据安全上下文的获取参数找到对应的安全上下文并发送给新MME/SGSN,即在MTC设备不执行RAT/TAU过程的情况下,新MME/SGSN依然能够从原MME/SGSN处获取到安全上下文,使得MTC设备可以和网络侧进行正常通信。因此MTC设备可以禁止执行TAU/RAU过程,节省MTC设备的耗电量和网络侧移动性管理信令,提高系统运行的稳定性。
另外,为了保证安全性,MTC设备可以对向新服务器发送的服务请求进行完整性保护,即在S21步骤后,本实施例的获取安全上下文的方法还包括:
对所述携带安全上下文的获取参数的服务请求进行完整性保护;具体可为:
根据自身存储的安全上下文生成映射的安全上下文,利用所述映射的安全上下文对所述携带安全上下文的获取参数的服务请求进行完整性保护;
MTC设备对要发送的携带安全上下文的获取参数的服务请求进行完整性保护后,MTC设备将在该消息中添加该消息的完整性保护值MAC。
此时,在S22步骤中,将向所述新服务器发送完整性保护后的所述携带安全上下文的获取参数的服务请求。
图1和图2所示的获取安全上下文的方法,均要求MTC设备对服务请求进行扩展。表一为图2所示的获取安全上下文的方法中,扩展后的LTE系统中MTC设备的服务请求消息的一种信息格式,如表一所示,其中信息类型为“必选”的信息参数为现有的服务请求格式,其他为添加到服务请求中的安全上下文获取参数,由于不同的系统配置下,需要的安全上下文的获取参数不同,因此,安全上下文获取参数的信息类型为“可选”的,可以只将需要的安全上下文的获取参数添加到服务请求消息中。
表一:
信息参数 | 信息类型 |
协议鉴别码 | 必选 |
安全报头类型 | 必选 |
密钥集标识和顺序编号 | 必选 |
GUTI | 可选 |
P-TMSI | 可选 |
RAI | 可选 |
P-TMSI签名 | 可选 |
UE的安全能力 | 可选 |
Fresh | 可选 |
随机数 | 可选 |
MAC | 可选 |
表二为图2所示的获取安全上下文的方法中,扩展后的UMTS系统中MTC设备的服务请求消息的一种信息格式,如表二所示,其中信息类型为“必选”的信息参数为现有的服务请求格式,其他为添加到服务请求中的安全上下文的获取参数,由于不同的系统配置下,需要的安全信息获取信息参数不同,因此,安全上下文获取信息参数类型为“可选”的,可只将需要的安全上下文的获取参数添加到服务请求消息中。
相似的,图1所示的获取上下文的方法中,服务请求消息在现有的格式基础下增加安全上下文获取指示信息,接收到信息参数调取请求后,发送的携带安全上下文获取参数的消息中可包括表一或表二中标注为“可选”的信息参数及其他必要参数。由于不同的系统配置下,需要的安全信息获取的信息参数不同,因此,携带安全上下文获取参数的消息中可只包括需要的安全上下文的获取参数。
表二:
信息参数 | 类型 |
协议鉴别码 | 必选 |
跳跃指示 | 必选 |
服务请求 | 必选 |
计算密钥序列号 | 必选 |
服务类型 | 必选 |
P-TMSI | 必选 |
RAI | 可选 |
GUTI | 可选 |
UE的安全能力 | 可选 |
NAS标记 | 可选 |
Bearer id | 可选 |
MAC | 可选 |
如图3所示,本发明实施例提供的一种获取安全上下文的方法,基于MTC设备进行位置或路由区域移动后所对应的网络侧新服务器MME/SGSN,包括下列步骤:
S31,接收携带安全上下文的获取指示的服务请求;
S32,根据所述服务请求携带的安全上下文的获取指示,向终端发送参数调取请求;
S33,接收所述终端发送的安全上下文的获取参数,所述获取参数为所述终端根据所述参数调取请求获取的;
S34,根据所述安全上下文的获取参数获得安全上下文。
本实施例的获取安全上下文的方法,在MTC设备不执行RAT/TAU过程的情况下,新MME/SGSN依然能够获取到安全上下文,使得MTC设备可以和网络侧进行正常通信。因此MTC设备可以禁止执行TAU/RAU过程,节省MTC设备的耗电量和网络侧移动性管理信令,提高系统运行的稳定性。
其中,安全上下文的获取指示指示新MME/SGSN需要调取安全上下文获取的参数,安全上下文的获取参数可包括原临时身份标识GUTI/P-TMSI,原路由区域标识RAI等。另外,安全上下文的获取参数还可包括MTC的UE的安全能力,用于验证授权特性的非接入层标记NAS(Non Access Stratum)和P-TMSI签名,用于生成映射上下文的随机数,用来在计算MAC值时作为输入参数的Bearer id等。
其中,S34步骤中,新MME/SGSN根据所述安全上下文的获取参数获得安全上下文具体可为:
根据所述安全上下文的获取参数,找到原服务器MME/SGSN;新MME/SGSN能够根据安全上下文的获取参数中的原GUTI值找到原MME,根据原P-TMSI和RAI找到原SGSN;
向所述原服务器发送安全上下文请求,所述安全上下文请求中包括接收到的所述安全上下文的获取参数;原MME/SGSN能够根据安全上下文的获取参数中GUTI/P-TMSI和KSI找到对应的安全上下文,即:原MME/SGSN能够根据所述安全上下文的获取参数获取安全上下文,且,当MTC设备对携带安全上下文的获取参数的消息进行了完整性保护时,原MME/SGSN能够根据获取的安全上下文确认所述安全上下文的获取参数的完整性;
接收所述原服务器发送的、根据所述安全上下文请求获得的安全上下文。
进一步地,为了安全起见,在S34步骤后,新MME/SGSN可以生成随机数,根据所述获得的安全上下文和所述随机数生成新的安全上下文。
进一步地,在S34步骤后,新MME/SGSN获取安全上下文的方法还包括:调用临时身份标识重分配过程为MTC设备分配新的临时身份标识或者通过在服务接受消息中携带新的临时身份标识为MTC设备分配新的临时身份标识。
这是由于,当MTC设备的位置区域/路由区域发生改变时,新的MME/SGSN会通过TAU/RAU过程为MTC设备分配新的GUTI/P-TMSI。但是,如果禁止MTC设备执行TAU/RAU过程,那么临时身份标识GUTI/P-TMSI将无法分配。因此,新MME/SGSN可通过调用临时身份标识重分配过程为MTC设备分配新的GUTI/P-TMSI,或者通过在服务请求接受消息中携带新的临时身份标识为MTC设备分配新的临时身份标识GUTI/P-TMSI。这样,就解决了在MTC设备不执行TAU/RAU情况下,新MME/SGSN不能将临时身份标识分配给MTC设备的问题,使得MTC设备可以和网络侧进行正常通信。
如图4所示,本发明实施例提供的一种获取安全上下文的方法,基于MTC设备进行位置或路由区域移动后所对应的网络侧新服务器MME/SGSN,包括下列步骤:
S41,接收携带安全上下文的获取参数的服务请求;
S42,根据所述安全上下文的获取参数获得安全上下文。
本实施例的获取安全上下文的方法,在MTC设备不执行RAT/TAU过程的情况下,新MME/SGSN依然能够获取到安全上下文,使得MTC设备可以和网络侧进行正常通信。因此MTC设备可以禁止执行TAU/RAU过程,节省MTC设备的耗电量和网络侧移动性管理信令,提高系统运行的稳定性。
其中,安全上下文的获取参数直接携带于MTC设备的服务请求消息中,可包括原临时身份标识GUTI/P-TMSI,原路由区域标识RAI等。另外,安全上下文的获取参数还可包括MTC的UE的安全能力,用于验证授权特性的非接入层标记NAS(Non Access Stratum)和P-TMSI签名,用于生成映射上下文的随机数,用来在计算MAC值时作为输入参数的Bearer id等。
其中,S42步骤中,新MME/SGSN根据所述安全上下文的获取参数获得安全上下文具体可为:
根据所述安全上下文的获取参数,找到原服务器MME/SGSN;新MME/SGSN能够根据安全上下文的获取参数中的原GUTI值找到原MME,根据原P-TMSI和RAI找到原SGSN;
向所述原服务器发送安全上下文请求,所述安全上下文请求中包括接收到的服务请求;原MME/SGSN能够根据安全上下文的获取参数中GUTI/P-TMSI和KSI找到对应的安全上下文,即:原MME/SGSN能够根据所述安全上下文的获取参数获取安全上下文,且,当MTC设备对服务请求进行了完整性保护时,原MME/SGSN能够根据获取的安全上下文确认所述服务请求的完整性;
接收所述原服务器发送的、根据所述安全上下文请求获得的安全上下文。
进一步地,为了安全起见,在S42步骤后,新MME/SGSN可以生成随机数,根据所述获得的安全上下文和所述随机数生成新的安全上下文。
进一步地,在S42步骤后,新MME/SGSN获取安全上下文的方法还包括:调用临时身份标识重分配过程为MTC设备分配新的临时身份标识或者通过在服务接受消息中携带新的临时身份标识为MTC设备分配新的临时身份标识。解决了在MTC设备不执行TAU/RAU情况下,新MME/SGSN不能将临时身份标识分配给MTC设备的问题,使得MTC设备可以和网络侧进行正常通信。
如图5所示,下面具体说明本发明实施例提供的获取安全上下文的方法,本实施例为MTC设备在LTE系统内进行空闲状态的移动时,发起业务时获取安全上下文的方法,此时,MTC设备对应的服务器由原MME转换为新MME,包括:
101,MTC设备生成服务请求,在服务请求中添加原临时身份标识GUTI,UE的安全能力和密钥集指示KSI,并利用当前安全上下文对服务请求进行完整性保护,完整性保护后,MTC设备在服务请求中添加了完整性保护值MAC;
即:MTC设备在服务请求中添加了安全上下文的获取参数。另外,MTC设备也可以不对服务请求进行完整性保护,根据实际情况设置。
102,MTC设备向新MME发送携带GUTI、UE的安全能力、原KSI和MAC的服务请求,新MME接收服务请求;
103,新MME根据服务请求中的GUTI,找到对应的原MME,新MME向原MME发送安全上下文请求,安全上下文请求中包括MTC设备发送给新MME的完整的服务请求消息;
104,原MME接收安全上下文请求,根据安全上下文请求中包括的GUTI和KSI获取对应的安全上下文,并利用获取的安全上下文,进行服务请求的完整性检查,检查服务请求消息中的MAC值;
105,当完整性检查成功后,原MME将对应的IMSI(InternationalMobile Subscriber Identity,国际移动用户身份)和认证数据发送给新MME。
本步骤中,当新MME和原MME在同一网络域时,认证数据包括安全上下文和未使用的认证向量;当新MME和原MME在不同网络域时,认证数据只包括安全上下文。
106,新MME向MTC设备发起非接入层NAS(Non Access Stratum)的安全模式命令,进行安全算法的协商;
107,NAS层算法协商之后,MTC设备和MME之间启动了非接入层的加密和完整性保护,新MME调用GUTI重分配命令,将新的GUTI和TA(Tracking Area。跟踪区域)列表发送给MTC设备。
108,MTC设备收到新的GUTI和TA列表之后进行存储,然后向MME发送一条GUTI重分配完成指示。
如图6所示,下面具体说明本发明实施例提供的获取安全上下文的方法,本实施例为MTC设备在UMTS系统内进行空闲状态的移动,发起业务时获取安全上下文的方法,此时,MTC设备对应的服务器由原SGSN转换为新SGSN。包括:
201,MTC设备生成服务请求,在服务请求中添加了原临时身份标识P-TMSI、UE的安全能力、密钥集指示KSI和原路由区域标识RAI,并利用当前安全上下文对服务请求进行完整性保护,完整性保护后,MTC设备在服务请求中添加了完整性保护值MAC;
即:MTC设备在服务请求中添加了安全上下文的获取参数。另外,MTC设备也可以不对服务请求进行完整性保护,根据实际情况设置。
202,MTC设备向新SGSN发送携带P-TMSI、UE的安全能力、KSI、RAI和MAC的服务请求,新SGSN接收服务请求;
203,新SGSN根据服务请求中的P-TMSI和RAI,找到对应的原SGSN,向原SGSN发送安全上下文请求,安全上下文请求中包括MTC设备发送给新SGSN的完整的服务请求消息;
204,原SGSN接收安全上下文请求,根据安全上下文请求中包括的P-TMSI和KSI获取对应的安全上下文,并根据获取的安全上下文,进行服务请求的完整性检查,检查服务请求消息中的MAC值;
205,当完整性检查成功后,原SGSN将对应的IMSI和安全上下文发送给新SGSN;
206,新SGSN向RNC(Radio Network Controller,无线网络控制器)设备发送UE的安全能力和安全上下文,
207,RNC发起安全模式命令,进行安全算法的协商,在MTC设备和RNC之间启动加密和完整性保护;
208,新SGSN调用P-TMSI重分配命令,将新的P-TMSI和RAI发送给MTC设备。
或者在服务接受消息中携带新的P-TMSI,将P-TMSI分配下去。
209,MTC设备收到新的P-TMSI和RAI之后进行存储,然后向新的SGSN发送一条P-TMSI重分配完成指示。
如图7所示,下面具体说明本发明实施例提供的获取安全上下文的方法,本实施例为MTC设备进行空闲状态的移动,从LTE系统移动到UMTS系统,发起业务时获取安全上下文的方法,此时,MTC设备对应的服务器由原MME转换为新SGSN,包括:
301,MTC设备生成服务请求,在服务请求中添加了原临时身份标识GUTI,UE的安全能力、密钥集指示KSI和NAS标记,利用当前LTE系统的安全上下文生成映射的安全上下文对服务请求进行完整性保护,完整性保护后,MTC设备在服务请求中添加了完整性保护值MAC;
即:MTC设备在服务请求中添加了安全上下文的获取参数。另外,MTC设备也可以不对服务请求进行完整性保护,根据实际情况设置。
302,MTC设备向新SGSN发送携带GUTI,UE的安全能力、KSI、NAS标记和MAC的服务请求,新SGSN接收服务请求;
303,新SGSN根据服务请求中的GUTI,找到对应的原MME,向原MME发送安全上下文请求,安全上下文请求中包括MTC设备发送给新SGSN的完整的服务请求消息;
304,原MME接收安全上下文请求,根据安全上下文请求中包括NAS标记,确认该请求为被授权的,并根据安全上下文请求中包括的GUTI和KSI获取对应的安全上下文,利用获取的安全上下文生成映射的安全上下文后,进行服务请求的完整性检查,检查服务请求消息中的MAC值;
305,当完整性检查成功后,原MME将对应的IMSI和映射的安全上下文发送给新SGSN;
306,新SGSN向RNC(Radio Network Controller,无线网络控制器)设备发送UE的安全能力和安全上下文,
307,RNC发起安全模式命令,进行安全算法的协商,在MTC设备和RNC之间启动加密和完整性保护;
308,新SGSN调用P-TMSI重分配命令,将新的P-TMSI和RAI发送给MTC设备。
或者在服务接受消息中携带新的P-TMSI,将P-TMSI分配下去。
309,MTC设备收到新的P-TMSI和RAI之后进行存储,然后向新的SGSN发送一条P-TMSI重分配完成指示。
如图8所示,下面具体说明本发明实施例提供的获取安全上下文的方法,本实施例为MTC设备进行空闲状态的移动,从LTE系统移动到UMTS系统,发起业务时获取安全上下文的方法,此时,MTC设备对应的服务器由原MME转换为新SGSN,包括:
401,MTC设备生成服务请求,在服务请求中添加了原临时身份标识GUTI,UE的安全能力、密钥集指示KSI和NAS标记,利用当前LTE系统的安全上下文对服务请求进行完整性保护,完整性保护后,MTC设备在服务请求中添加了完整性保护值MAC和用于计算MAC值的输入参数承载标识Bearer id;
即:MTC设备在服务请求中添加了安全上下文的获取参数。另外,MTC设备也可以不对服务请求进行完整性保护,根据实际情况设置。本步骤中MTC设备还可以采用已有的UMTS本地安全上下文进行服务请求的完整性保护。
402,MTC设备向新的RNC发送携带原GUTI,UE的安全能力、KSI、NAS标记,Bearer id和MAC的服务请求;
403,新的RNC向新SGSN转发该服务请求,新SGSN接收服务请求;
404,新SGSN根据服务请求中的GUTI,找到对应的原MME,向原MME发送安全上下文请求,安全上下文请求中包括MTC设备发送给新SGSN的完整的服务请求消息;
405,原MME接收安全上下文请求,根据安全上下文请求中包括NAS标记,确认该请求为被授权的,并根据安全上下文请求中包括的GUTI和KSI获取对应的安全上下文,利用获取的安全上下文和安全上下文请求中的Bearer id,进行服务请求的完整性检查,检查服务请求消息中的MAC值,如果完整性检查成功,根据此安全上下文生成映射的安全上下文;
406,原MME将对应的IMSI和映射的安全上下文发送给新SGSN
407,新SGSN生成随机数Fresh,利用Fresh和映射的安全上下文推衍出新的安全上下文;
这样,能够有效进行安全上下文的隔离,使原MME不知道新SGSN使用的安全上下文,提高信息安全性。
408,新SGSN将UE的安全能力和新的安全上下文发送给RNC。
409,RNC发起安全模式命令,将随机数Fresh发送给MTC设备并进行安全算法的协商;
410,MTC设备利用Fresh生成安全上下文;
算法协商之后,MTC设备和RNC之间启动了的加密和完整性保护,
411,新的SGSN调用P-TMSI重分配命令,将新的P-TMSI和RAI发送给MTC设备。
或者在服务接受消息中携带新的P-TMSI,将P-TMSI分配下去。
412,MTC设备收到新的P-TMSI和RAI之后进行存储,然后向新的SGSN发送一条P-TMSI重分配完成指示。
如图9所示,下面具体说明本发明实施例提供的获取安全上下文的方法,本实施例为MTC设备进行空闲状态的移动,从UMTS系统移动到LTE系统,发起业务时获取安全上下文的方法,此时,MTC设备对应的服务器由原SGSN转换为新MME,包括:
501,MTC设备生成服务请求,在服务请求中添加了原P-TMSI,UE的安全能力、密钥集指示KSI、原RAI、P-TSMI签名和随机数NONCEUE,利用当前UMTS系统的安全上下文对服务请求进行完整性保护,完整性保护后,MTC设备在服务请求中添加了完整性保护值MAC和用于计算MAC值的输入参数新鲜数Fresh;
即:MTC设备在服务请求中添加了安全上下文的获取参数。另外,MTC设备也可以不对服务请求进行完整性保护,根据实际情况设置。
502,MTC设备向新MME发送携带P-TMSI,UE的安全能力、KSI、RAI、P-TSMI签名、NONCEUE,MAC和Fresh服务请求,新MME接收服务请求;
503,新MME根据服务请求中的P-TMSI和RAI,找到对应的原SGSN,向原SGSN发送安全上下文请求,安全上下文请求中包括MTC设备发送给新SGSN的完整的服务请求消息;
504,原SGSN接收安全上下文请求,根据安全上下文请求中包括P-TSMI签名,确认该请求为被授权的,并将服务请求转发给RNC进行完整性检查;
505,RNC根据服务请求中包括的P-TMSI和KSI指示的安全上下文以及Fresh等参数检查服务请求消息中的MAC值;
506,当完整性检查成功后,RNC向原SGSN发送完整性检查成功的指示。
507,原SGSN收到该指示后,将相应的IMSI、CK(Cipher Key,加密密钥)和IK(Integrity Key,完整性密钥)发送给新MME;
508,新MME收到CK、IK后,生成随机数NONCEMME,根据NONCEUE、NONCEMME和CK、IK生成映射的安全上下文;
509,MME向MTC设备发起安全模式命令,命令中携带了随机数NONCEUE、NONCEMME;
510,MTC设备利用收到的NONCEUE、NONCEMME生成映射的安全上下文。
511,NAS层算法协商之后,MTC设备和新MME之间启动了NAS层的加密和完整性保护,新MME调用GUTI重分配命令,将新的GUTI和TA列表发送给MTC设备;
512,MTC设备收到新的GUTI和TA列表之后进行存储,然后向MME发送一条GUTI重分配完成指示。
相应的,本发明实施例还提供了一种获取安全上下文的装置1,可作为MTC设备,如图10所示,包括:
生成单元10,用于生成服务请求,所述服务请求携带安全上下文的获取指示;
收发单元11,用于向新服务器发送所述生成单元生成的携带所述安全上下文的获取指示的服务请求,或者用于接收所述新服务器根据所述安全上下文的获取指示发送的参数调取请求;
调取单元12,用于根据所述收发单元接收的所述参数调取请求调取所述安全上下文的获取参数;
收发单元11还用于向所述新服务器发送所述调取单元调取的所述安全上下文的获取参数。
本发明实施例提供的装置1,当发生了位置或者路由区域的移动时,由所对应的网络侧服务器由原MME/SGSN转换为新MME/SGSN时,在不执行RAU/TAU过程的情况下,发起业务时,新MME/SGSN依然能够从原MME/SGSN处获取到安全上下文,使得装置1可以和网络侧进行正常通信。因此,装置1可以禁止执行TAU/RAU过程,节省耗电量和网络侧移动性管理信令,提高所处通信系统运行的稳定性。
其中,安全上下文的获取参数可包括原临时身份标识GUTI/P-TMSI原路由区域标识RAI等。其中,新MME/SGSN能够根据原GUTI值找到原MME,根据原P-TMSI和RAI找到原SGSN,而原MME/SGSN能够根据GUTI/P-TMSI和KSI找到对应的安全上下文。另外,安全上下文的获取参数还可包括UE的安全能力,用于验证授权特性的非接入层标记NAS标记或P-TMSI签名,用于生成映射安全上下文的随机数,用来在计算MAC值时作为输入参数的Bearer id等。调取单元12可根据原系统和新系统的配置情况和要求调取安全上下文的获取参数。
其中,如图11所示,调取单元12可包括:
生成模块121,用于根据所述收发单元接收的所述参数调取请求调取所述安全上下文的获取参数,生成携带所述安全上下文的获取参数的消息;
保护模块122,用于对所述生成模块生成的所述携带安全上下文的获取参数的消息进行完整性保护;
此时,收发单元11具体用于向新服务器发送所述保护模块进行完整性保护后的携带安全上下文的获取参数的消息。
这样,装置1能够对所发送的携带安全上下文的获取参数的消息进行完整性保护,保证消息的安全性。当保护模块122对携带安全上下文的获取参数的消息进行完整性保护后,将在该消息中添加该消息的完整性保护值MAC。
相应的,如图12所示,本发明实施例提供的一种获取安全上下文的装置2,可作为MTC设备,包括:
生成单元20,用于生成服务请求,所述服务请求携带安全上下文的获取参数;
发送单元21,用于向新服务器发送生成单元20生成的所述携带安全上下文的获取参数的服务请求。
本发明实施例提供的装置2,当发生了位置或者路由区域的移动时,由所对应的网络侧服务器由原MME/SGSN转换为新MME/SGSN时,在不执行RAU/TAU过程的情况下,发起业务时,新MME/SGSN依然能够从原MME/SGSN处获取到安全上下文,使得装置2可以和网络侧进行正常通信。因此,装置2可以禁止执行TAU/RAU过程,节省耗电量和网络侧移动性管理信令,提高所处通信系统运行的稳定性。
其中,安全上下文的获取参数可包括原临时身份标识GUTI/P-TMSI原路由区域标识RAI等。其中,新MME/SGSN能够根据原GUTI值找到原MME,根据原P-TMSI和RAI找到原SGSN,而原MME/SGSN能够根据GUTI/P-TMSI和KSI找到对应的安全上下文。另外,安全上下文的获取参数还可包括UE的安全能力,用于验证授权特性的非接入层标记NAS标记或P-TMSI签名,用于生成映射安全上下文的随机数,用来在计算MAC值时作为输入参数的Bearer id等。生成单元20可根据原系统和新系统的配置情况和要求在服务请求消息中添加需要的安全上下文的获取参数。
进一步地,如图13所示,MTC设备1还可包括保护单元22,用于对所述携带安全上下文的获取参数的服务请求进行完整性保护;
此时,发送单元21具体用于向所述新服务器发送所述保护单元进行完整性保护后的所述携带安全上下文的获取参数的服务请求。
这样,能够有效保证信息的安全性和通信的可靠性。其中,保护单元22进行完整性保护所利用的安全上下文包括自身的安全上下文、通过自身存储的安全上下文映射的安全上下文等,即保护单元22可具体用于根据自身存储的安全上下文生成映射的安全上下文,利用所述映射的安全上下文对所述携带安全上下文的获取参数的服务请求进行完整性保护。当保护单元12对服务请求进行完整性保护后,将服务请求中添加完整性保护值MAC。
相应的,如图14所示,本发明实施例提供的一种获取安全上下文的装置3,包括:
收发单元30,用于接收携带安全上下文的获取指示的服务请求,或者用于根据所述服务请求携带的安全上下文的获取指示,向终端发送参数调取请求,或者用于接收所述终端发送的安全上下文的获取参数,所述获取参数为所述终端根据所述参数调取请求获取的;
获取单元31,用于根据所述收发单元接收的所述安全上下文的获取参数获得安全上下文。
本实施例提供的装置3,可作为MTC设备进行位置或路由区域的移动后的新服务器MME/SGSN。在MTC设备不执行RAT/TAU过程的情况下,装置3能够根据MTC设备的服务请求中的安全上下文的获取指示,调取安全上下文的获取参数,进而可以根据获取参数,从原MME/SGSN处获取到安全上下文,使得MTC设备可以和网络侧进行正常通信。因此,采用装置3可以使MTC设备禁止执行TAU/RAU过程,节省MTC设备的耗电量和网络侧移动性管理信令,提高系统运行的稳定性。
其中,安全上下文的获取参数可包括原临时身份标识GUTI/P-TMSI,原路由区域标识RAI等。另外,安全上下文的获取参数还可包括MTC的UE的安全能力,用于验证授权特性的非接入层标记NAS(Non Access Stratum)和P-TMSI签名,用于生成映射上下文的随机数,用来在计算MAC值时作为输入参数的Bearer id等。
进一步地,如图15所示,获取单元31可包括:
搜索模块311,用于根据所述收发单元接收的所述安全上下文的获取参数,找到原服务器;搜索模块311能够根据原GUTI值找到原MME,根据原P-TMSI和RAI找到原SGSN。
收发模块312,用于向搜索模块311找到的原服务器发送安全上下文请求,所述安全上下文请求中包括接收到的所述安全上下文的获取参数,以使得原服务器根据所述全上下文获取参数获取安全上下文,且能够根据安全上下文确认所述安全上下文的获取参数的完整性,接收原服务器发送的、根据所述安全上下文请求获得的安全上下文。其中,原服务器MME/SGSN能够根据GUTI/P-TMSI和KSI找到对应的安全上下文进而发送给新MME/SGSN。
进一步地,如图16所示,装置3还包括处理单元32,用于生成随机数,根据所述获得的安全上下文和随机数生成新的安全上下文;这样,作为新服务器,能够有效进行安全上下文的隔离,使原服务器不知道新服务器所使用的安全上下文,保证通信的安全性。
进一步地,如图17所示,装置3还包括:
分配单元33,用于调用临时身份标识重分配过程分配新的临时身份标识;或者用于通过在服务接受消息中携带新的临时身份标识分配新的临时身份标识。解决在MTC设备不执行TAU/RAU情况下,新MME/SGSN不能将临时身份标识分配给MTC设备的问题,使得MTC设备可以和网络侧进行正常通信。
相应的,如图18所示,本发明实施例提供的一种获取安全上下文的装置4,包括:
接收单元41,用于接收携带安全上下文的获取参数的服务请求;
获取单元42,用于根据所述接收单元接收的所述安全上下文的获取参数获得安全上下文。
本实施例提供的装置4,可作为MTC设备进行位置或路由区域的移动后的新服务器MME/SGSN。在MTC设备不执行RAT/TAU过程的情况下,装置4能够根据服务请求中的安全上下文的获取参数,从原MME/SGSN处获取到安全上下文,使得MTC设备可以和网络侧进行正常通信。因此,采用装置4可以使MTC设备禁止执行TAU/RAU过程,节省MTC设备的耗电量和网络侧移动性管理信令,提高系统运行的稳定性。
其中,安全上下文的获取参数可包括原临时身份标识GUTI/P-TMSI,原路由区域标识RAI等。另外,安全上下文的获取参数还可包括MTC的UE的安全能力,用于验证授权特性的非接入层标记NAS(Non Access Stratum)和P-TMSI签名,用于生成映射上下文的随机数,用来在计算MAC值时作为输入参数的Bearer id等。
其中,如图19所示,获取单元41可包括:
搜索模块411,用于根据接收单元41接收的所述安全上下文的获取参数,找到原服务器;
发送模块412,用于向所述原服务器发送安全上下文请求,所述安全上下文请求中包括接收到的服务请求,以使得所述原服务器确认所述服务请求的完整性;
接收模块413,用于接收所述原服务器发送的、根据所述安全上下文请求获得的安全上下文。
进一步地,如图20所示,装置4还包括处理单元42,用于生成随机数,根据所述获得的安全上下文和随机数生成新的安全上下文;这样,作为新服务器,能够有效进行安全上下文的隔离,使原服务器不知道新服务器所使用的安全上下文,保证通信的安全性。
进一步地,如图21所示,装置4还包括:
分配单元43,用于调用临时身份标识重分配过程分配新的临时身份标识;或者用于通过在服务接受消息中携带新的临时身份标识分配新的临时身份标识。解决在MTC设备不执行TAU/RAU情况下,新MME/SGSN不能将临时身份标识分配给MTC设备的问题,使得MTC设备可以和网络侧进行正常通信。
另外,本发明的实施例又提供了一种获取安全上下文的方法,基于基于进行了位置或路由区域的移动,由原服务器转换为新服务器的MTC设备,同样可以在MTC设备不执行TAU/RAU的情况下,当MTC设备发生位置或路由区域移动时,使MTC设备对应的新的服务器获取到安全上下文,使得MTC设备可以和网络侧进行正常通信。如图22所示,本方法包括下列步骤:
S51,检测MTC设备的工作状态;
S52,当所述MTC设备结束业务时,使所述MTC设备与网络分离;当所述MTC设备发起业务时,使所述MTC设备接入网络。
本实施例提供的获取安全上下文的方法,通过检测MTC设备的工作状态,当业务结束后,就使MTC设备与网络分离,即取消了MTC设备的空闲状态,再次发起业务时使MTC设备通过初始附着过程,执行AKA后重新接入网络,这样就解决了无法获取安全上下文的安全问题,而且新服务器MME/SGSN可通过在业务请求的接受消息中携带新的临时标识GUTI/P-TMSI的方式为MTC设备分配临时标识分配。
相应的,本发明实施例又提供了一种获取安全上下文的装置5,可作为MTC设备,如图23所示,包括:
检测单元50,用于检测MTC设备的工作状态;
控制单元51,用于当所述MTC设备结束业务时,使所述MTC设备与网络分离,当所述MTC设备发起业务时,使所述MTC设备接入网络。
本实施例提供的MTC设备5,通过检测MTC设备5的工作状态,当检测单元50检测到MTC设备5的业务结束后,直接通知控制单元51使MTC设备5与网络分离,即取消了MTC设备5的空闲状态,当检测单元50检测到MTC设备5再次发起业务时,控制单元51使MTC设备5通过初始附着过程,执行AKA(Authentication and keyagreement,认证和密钥协商)后重新接入网络,这样就解决了无法获取安全上下文的安全问题。
另外,本发明的实施例又提供了一种获取安全上下文的方法,基于基于MTC设备进行位置或路由区域移动后所对应的新的网络侧服务器MME/SGSN,同样可以在MTC设备不执行TAU/RAU的情况下,当MTC设备发生位置或路由区域移动时,使MTC设备对应的新的服务器获取到安全上下文,使得MTC设备可以和网络侧进行正常通信。如图24所示,本方法包括下列步骤:
S61,接收MTC设备的服务请求;
S62,根据服务请求,执行认证和密钥协商,生成新的安全上下文。
本实施例提供的获取安全上下文的方法,当新服务器MME/SGSN接收到服务请求时,进行AKA,生成新的安全上下文解决了网络侧无法获取安全上下文的安全问题。这里注意的是,由于需要根据服务请求,进行AKA生成新的系统密钥,服务请求不能利用原安全上下文进行完整性保护,即新MME/SGSN接收到的服务请求未进行完整性保护。
接下来,本实施还包括:通过调用临时身份标识重分配过程为所述MTC设备分配新的临时身份标识或者通过在服务接收消息中携带新的临时身份标识为所述MTC设备分配新的临时身份标识。这样,就解决了在MTC设备不执行TAU/RAU情况下,新MME/SGSN不能将临时身份标识分配给MTC设备的问题,使得MTC设备可以和网络侧进行正常通信。
相应的,本发明实施例又提供了一种获取安全下文的装置6,可作为MTC设备进行位置或路由区域的移动后的新服务器MME/SGSN。如图25所示,包括:
接收单元60,用于接收MTC设备的服务请求;
生成单元61,用于根据服务请求,执行认证和密钥协商,生成新的安全上下文。
本实施例提供的装置6,当接收到服务请求时,能够进行AKA,生成新的安全上下文,解决了网络侧无法获取安全上下文的安全问题。
进一步地,如图26所示,装置6还包括配置单元62,用于通过调用临时身份标识重分配过程为MTC设备分配新的临时身份标识或者通过在服务接收消息中携带新的临时身份标识为MTC设备分配新的临时身份标识。这样,就解决了在MTC设备不执行TAU/RAU情况下,新MME/SGSN不能将临时身份标识分配给MTC设备的问题,使得MTC设备可以和网络侧进行正常通信。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分流程可以通过计算机程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (26)
1.一种获取安全上下文的方法,其特征在于,包括:
在禁止执行跟踪区域的更新TAU和路由区域的更新RAU的情况下,生成服务请求,所述服务请求携带安全上下文的获取指示;
向新服务器发送携带所述安全上下文的获取指示的服务请求;
接收所述新服务器根据所述安全上下文的获取指示发送的参数调取请求;
根据所述参数调取请求调取所述安全上下文的获取参数;
向所述新服务器发送所述安全上下文的获取参数。
2.根据权利要求1所述的方法,其特征在于,
所述根据所述参数调取请求调取安全上下文的获取参数后,所述方法还包括:
生成携带所述安全上下文的获取参数的消息;
对所述携带安全上下文的获取参数的消息进行完整性保护;
所述向新服务器发送所述安全上下文的参数包括:
向新服务器发送完整性保护后的所述携带安全上下文的获取参数的消息。
3.一种获取安全上下文的方法,其特征在于,包括:
在禁止执行TAU和RAU的情况下,生成服务请求,所述服务请求携带安全上下文的获取参数;
向新服务器发送所述携带安全上下文的获取参数的服务请求。
4.根据权利要求3所述的方法,其特征在于,
所述生成服务请求后,所述方法还包括:
对所述携带安全上下文的获取参数的服务请求进行完整性保护;
所述向新服务器发送所述携带安全上下文的获取参数的服务请求包括:
向所述新服务器发送完整性保护后的所述携带安全上下文的获取参数的服务请求。
5.根据权利要求4所述的方法,其特征在于,
所述对所述携带安全上下文的获取参数的服务请求进行完整性保护包括:
根据自身存储的安全上下文生成映射的安全上下文,利用所述映射的安全上下文对所述携带安全上下文的获取参数的服务请求进行完整性保护。
6.一种获取安全上下文的方法,其特征在于,包括:
在禁止执行TAU和RAU的情况下,接收携带安全上下文的获取指示的服务请求;
根据所述服务请求携带的安全上下文的获取指示,向终端发送参数调取请求;
接收所述终端发送的安全上下文的获取参数,所述获取参数为所述终端根据所述参数调取请求获取的;
根据所述安全上下文的获取参数获得安全上下文。
7.根据权利要求6所述的方法,其特征在于,所述根据所述安全上下文的获取参数获得安全上下文包括:
根据所述安全上下文的获取参数,找到原服务器;
向所述原服务器发送安全上下文请求,所述安全上下文请求中包括接收到的所述安全上下文的获取参数,以使得所述原服务器根据所述安全上下文的获取参数获取安全上下文,根据所述安全上下文确认所述安全上下文的获取参数的完整性;
接收所述原服务器发送的、根据所述安全上下文请求获得的安全上下文。
8.根据权利要求6所述的方法,其特征在于,所述根据所述安全上下文的获取参数获得安全上下文后,还包括:
生成随机数,根据所述获得的安全上下文和所述随机数生成新的安全上下文。
9.根据权利要求6所述的方法,其特征在于,所述根据所述安全上下文的获取参数获得安全上下文后,还包括:
调用临时身份标识重分配过程分配新的临时身份标识;
或者
通过在服务接受消息中携带新的临时身份标识分配新的临时身份标识。
10.一种获取安全上下文的方法,其特征在于,包括:
在禁止执行TAU和RAU的情况下,接收携带安全上下文的获取参数的服务请求;
根据所述安全上下文的获取参数获得安全上下文。
11.根据权利要求10所述的方法,其特征在于,所述根据所述安全上下文的获取参数获得安全上下文包括:
根据所述安全上下文的获取参数,找到原服务器;
向所述原服务器发送安全上下文请求,所述安全上下文请求中包括接收到的所述服务请求,以使得所述原服务器确认所述服务请求的完整性;
接收所述原服务器发送的、根据所述安全上下文请求获得的安全上下文。
12.根据权利要求10所述的方法,其特征在于,所述根据所述安全上下文的获取参数获得安全上下文后,所述方法还包括:
生成随机数,根据所述获得的安全上下文和所述随机数生成新的安全上下文。
13.根据权利要求10所述的方法,其特征在于,所述根据所述安全上下文的获取参数获得安全上下文后,所述方法还包括:
调用临时身份标识重分配过程分配新的临时身份标识;
或者
通过在服务接受消息中携带新的临时身份标识分配新的临时身份标识。
14.一种获取安全上下文的装置,其特征在于,包括:
生成单元,用于在禁止执行TAU和RAU的情况下,生成服务请求,所述服务请求携带安全上下文的获取指示;
收发单元,用于向新服务器发送所述生成单元生成的携带所述安全上下文的获取指示的服务请求,或者用于接收所述新服务器根据所述安全上下文的获取指示发送的参数调取请求;
调取单元,用于根据所述收发单元接收的所述参数调取请求调取所述安全上下文的获取参数;
所述收发单元用于向所述新服务器发送所述调取单元调取的所述安全上下文的获取参数。
15.根据权利要求14所述的装置,其特征在于,
所述调取单元包括:
生成模块,用于根据所述收发单元接收的所述参数调取请求调取所述安全上下文的获取参数,生成携带所述安全上下文的获取参数的消息;
保护模块,用于对所述生成模块生成的所述携带安全上下文的获取参数的消息进行完整性保护;
所述收发单元具体用于向新服务器发送所述保护模块进行完整性保护后的携带安全上下文的获取参数的消息。
16.一种获取安全上下文的装置,其特征在于,包括:
生成单元,用于在禁止执行TAU和RAU的情况下,生成服务请求,所述服务请求携带安全上下文的获取参数;
发送单元,用于向新服务器发送所述生成单元生成的所述携带安全上下文的获取参数的服务请求。
17.根据权利要求16所述的装置,其特征在于,所述装置还包括:
保护单元,用于对所述携带安全上下文的获取参数的服务请求进行完整性保护;
所述发送单元具体用于向所述新服务器发送所述保护单元进行完整性保护后的所述携带安全上下文的获取参数的服务请求。
18.根据权利要求17所述的装置,其特征在于,
所述保护单元具体用于根据自身存储的安全上下文生成映射的安全上下文,利用所述映射的安全上下文对所述携带安全上下文的获取参数的服务请求进行完整性保护。
19.一种获取安全上下文的装置,其特征在于,包括:
收发单元,用于在禁止执行TAU和RAU的情况下,接收携带安全上下文的获取指示的服务请求,或者用于根据所述服务请求携带的安全上下文的获取指示,向终端发送参数调取请求,或者用于接收所述终端发送的安全上下文的获取参数,所述获取参数为所述终端根据所述参数调取请求获取的;
获取单元,用于根据所述收发单元接收的所述安全上下文的获取参数获得安全上下文。
20.根据权利要求19所述的装置,其特征在于,所述获取单元包括:
搜索模块,用于根据所述收发单元接收的所述安全上下文的获取参数,找到原服务器;
收发模块,用于向所述搜索模块找到的所述原服务器发送安全上下文请求,所述安全上下文请求中包括接收到的所述安全上下文的获取参数,以使得所述原服务器根据所述安全上下文获取参数获取安全上下文,根据所述安全上下文确认所述安全上下文的获取参数的完整性,接收所述原服务器发送的、根据所述安全上下文请求获得的安全上下文。
21.根据权利要求19所述的装置,其特征在于,所述装置还包括处理单元,用于生成随机数,根据所述获得的安全上下文和随机数生成新的安全上下文。
22.根据权利要求19所述的装置,其特征在于,所述装置还包括:
分配单元,用于调用临时身份标识重分配过程分配新的临时身份标识;或者用于通过在服务接受消息中携带新的临时身份标识分配新的临时身份标识。
23.一种获取安全上下文的装置,其特征在于,包括:
接收单元,用于在禁止执行TAU和RAU的情况下,接收携带安全上下文的获取参数的服务请求;
获取单元,用于根据所述接收单元接收的所述安全上下文的获取参数获得安全上下文。
24.根据权利要求23所述的装置,其特征在于,所述获取单元包括:
搜索模块,用于根据所述接收单元接收的所述安全上下文的获取参数,找到原服务器;
发送模块,用于向所述搜索模块搜索到的所述原服务器发送安全上下文请求,所述安全上下文请求中包括接收到的服务请求,以使得所述原服务器确认所述服务请求的完整性;
接收模块,用于接收所述原服务器发送的、根据所述发送模块发送的所述安全上下文请求获得的安全上下文。
25.根据权利要求23所述的装置,其特征在于,所述装置还包括:
分配单元,用于调用临时身份标识重分配过程或者通过在服务接受消息中携带新的临时身份标识分配新的临时身份标识。
26.根据权利要求23所述的装置,其特征在于,所述装置还包括:
处理单元,用于生成随机数,根据所述获得的安全上下文和随机数生成新的安全上下文。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010245984.1A CN102348201B (zh) | 2010-08-05 | 2010-08-05 | 获取安全上下文的方法和装置 |
PCT/CN2011/074913 WO2011150808A1 (zh) | 2010-08-05 | 2011-05-30 | 获取安全上下文的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010245984.1A CN102348201B (zh) | 2010-08-05 | 2010-08-05 | 获取安全上下文的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102348201A CN102348201A (zh) | 2012-02-08 |
CN102348201B true CN102348201B (zh) | 2014-02-19 |
Family
ID=45066170
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010245984.1A Active CN102348201B (zh) | 2010-08-05 | 2010-08-05 | 获取安全上下文的方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN102348201B (zh) |
WO (1) | WO2011150808A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105340319B (zh) * | 2013-10-28 | 2021-02-23 | 华为技术有限公司 | 一种安全上下文的提供、获取方法及设备 |
WO2015061951A1 (zh) * | 2013-10-28 | 2015-05-07 | 华为技术有限公司 | 一种安全上下文的提供、获取方法及设备 |
WO2018120352A1 (zh) | 2016-12-30 | 2018-07-05 | 华为技术有限公司 | 链路重建的方法、装置和系统 |
US10893568B2 (en) | 2017-08-18 | 2021-01-12 | Huawei Technologies Co., Ltd. | Location and context management in a RAN INACTIVE mode |
WO2019073876A1 (ja) * | 2017-10-10 | 2019-04-18 | 日本電気株式会社 | ナノカーボン分離装置、ナノカーボンの分離方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610504A (zh) * | 2008-06-18 | 2009-12-23 | 上海华为技术有限公司 | 接入、获取用户设备上下文及用户设备标识的方法和装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050154889A1 (en) * | 2004-01-08 | 2005-07-14 | International Business Machines Corporation | Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol |
US8601598B2 (en) * | 2006-09-29 | 2013-12-03 | Microsoft Corporation | Off-premise encryption of data storage |
CN101166149A (zh) * | 2006-10-17 | 2008-04-23 | 中兴通讯股份有限公司 | 网络获取最新上下文的方法和移动通信系统 |
CN101594608B (zh) * | 2008-05-30 | 2012-08-22 | 华为技术有限公司 | 提供安全上下文的方法、移动性管理网元及移动通信系统 |
CN101355809B (zh) * | 2008-09-12 | 2013-03-20 | 中兴通讯股份有限公司 | 一种协商启用安全上下文的方法和系统 |
US8611306B2 (en) * | 2009-01-12 | 2013-12-17 | Qualcomm Incorporated | Context fetching after inter-system handover |
CN101521873B (zh) * | 2009-03-16 | 2014-12-10 | 中兴通讯股份有限公司 | 启用本地安全上下文的方法 |
-
2010
- 2010-08-05 CN CN201010245984.1A patent/CN102348201B/zh active Active
-
2011
- 2011-05-30 WO PCT/CN2011/074913 patent/WO2011150808A1/zh active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610504A (zh) * | 2008-06-18 | 2009-12-23 | 上海华为技术有限公司 | 接入、获取用户设备上下文及用户设备标识的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2011150808A1 (zh) | 2011-12-08 |
CN102348201A (zh) | 2012-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102215474B (zh) | 对通信设备进行认证的方法和装置 | |
AU2010350963B2 (en) | Method and system for controlling Machine Type Communication equipment to access network | |
US20120157050A1 (en) | Method of controlling machine type communication device and wireless communication system providing machine type communication service | |
US9271148B2 (en) | Authentication in a wireless telecommunications network | |
CN102348201B (zh) | 获取安全上下文的方法和装置 | |
CN102083212A (zh) | 一种标识终端的方法、系统和装置 | |
CN101378596A (zh) | 单用户跟踪方法、系统和设备 | |
EP2555545B1 (en) | Method and system for selecting mobility management entity of terminal group | |
CN103108377B (zh) | 一种mtc终端的通信方法、系统及中心控制节点 | |
EP3086580B1 (en) | Accessibility management method and device for m2m terminal/terminal peripheral | |
CN102143584A (zh) | 一种移动通讯系统中进行寻呼的方法、基站子系统 | |
CN103096433B (zh) | 一种终端组的服务网关选择方法及系统 | |
CN102858026B (zh) | 一种触发特定位置终端的方法、系统和终端 | |
US20170070867A1 (en) | Method and system for triggering terminal group | |
CN103297946A (zh) | 一种监控终端行为异常的方法和系统 | |
CN105376836A (zh) | Ue终端设备的接入控制方法及系统 | |
CN107786937B (zh) | 移动终端本地化漫游的实现方法、移动终端及漫游服务器 | |
CN102833733A (zh) | 一种监控低移动性终端位置移动的方法及系统 | |
KR20110069471A (ko) | 이동성 관리 엔티티의 위치 등록 제어 방법 및 사용자 단말의 위치 등록 방법. | |
CN102356656B (zh) | 干扰监测的方法、装置及系统 | |
CN102754472B (zh) | 机器到机器的数据传输方法、系统及移动性管理网元装置 | |
CN102440014B (zh) | 一种紧急呼叫回呼方法、装置和系统 | |
KR101385846B1 (ko) | 통신 방법 및 통신 시스템 | |
CN101370271B (zh) | 在WiMAX网络中定位移动台MS的方法 | |
CN117501727A (zh) | 一种基于区块链的星地融合网络中的移动性管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |