CN104683981A - 一种验证安全能力的方法、设备及系统 - Google Patents

一种验证安全能力的方法、设备及系统 Download PDF

Info

Publication number
CN104683981A
CN104683981A CN201310635001.9A CN201310635001A CN104683981A CN 104683981 A CN104683981 A CN 104683981A CN 201310635001 A CN201310635001 A CN 201310635001A CN 104683981 A CN104683981 A CN 104683981A
Authority
CN
China
Prior art keywords
security capabilities
network equipment
equipment
network
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201310635001.9A
Other languages
English (en)
Other versions
CN104683981B (zh
Inventor
吴义壮
陈璟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310635001.9A priority Critical patent/CN104683981B/zh
Priority to PCT/CN2014/091258 priority patent/WO2015081784A1/zh
Publication of CN104683981A publication Critical patent/CN104683981A/zh
Application granted granted Critical
Publication of CN104683981B publication Critical patent/CN104683981B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例公开了一种验证安全能力的方法、设备及系统,涉及通信领域,解决了信息传输不安全的问题。具体方案为:用户设备向第二网络设备发送用户设备的第一安全能力,接收第二网络设备发送的第二安全能力,并且验证第二安全能力与第一安全能力是否一致。本发明用于安全能力的验证。

Description

一种验证安全能力的方法、设备及系统
技术领域
本发明涉及通信领域,尤其涉及一种验证安全能力的方法、设备及系统。
背景技术
SGSN(Serving GPRS Support Node,GPRS服务支持节点)作为GPRS(General Packet Radio Service,通用分组无线服务技术)/TD-SCDMA(Time Division Synchronization Code Division MultipleAccess,时分双工同步码分多址)(WCDMA(Wideband Code DivisionMultiple Access,宽带码分多址)核心网分组域设备的重要组成部分,主要完成分组数据包的路由转发、移动性管理、会话管理、逻辑链路管理、鉴权和加密、话单产生和输出等功能。
RNC(Radio Network Controller,无线网络控制器)是3G(3rdGeneration,第三代移动通信技术)网络的一个关键网元。它是接入网的组成部分,用于提供移动性管理、呼叫处理、链接管理和切换机制,在无线网络系统中,当用户端需要与网络进行通信时,首先要与RNC建立RRC(Radio Resource Control,无线资源控制协议)连接,在与RNC建立RRC连接之后,与SGSN建立连接。
在实现上述用户端与网络侧建立连接的过程中,用户端向RNC和SGSN发送的消息有可能被攻击者获取并篡改,这些信息的传输没有安全保障。
发明内容
本发明的实施例提供一种验证安全能力的方法、设备及系统,涉及通信领域,能够验证信息传输是否安全,提高了信息传输的安全。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,一种验证安全能力的方法,包括:
用户设备向第二网络设备发送所述用户设备的第一安全能力;
所述用户设备接收所述第二网络设备发送的第二安全能力,所述第二安全能力由第一网络设备转发至所述用户设备;
所述用户设备验证所述第二安全能力与所述第一安全能力是否一致。
结合第一方面,在第一种可能的实现方式中,
所述第一网络设备为服务网络控制器SRNC或者网络控制器RNC,所述第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR;
所述方法还包括:
所述用户设备将所述第一安全能力发送至所述第一网络设备;
所述用户设备接收所述第一网络设备发送的第三安全能力;
所述用户设备验证所述第三安全能力与所述第一安全能力是否一致。
结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述方法还包括:
如果所述第三安全能力与所述第一安全能力一致,则所述用户设备根据所述第一网络设备的完整性保护算法开启安全保护。
结合第一方面的第二种可能的实现方式,在第三种可能的实现方式中,所述用户设备根据所述第一网络设备发送的完整性保护算法开启安全保护之后,还包括:
如果所述第二安全能力与所述第一安全能力不一致,则所述用户设备生成安全建立完成消息并将所述安全建立完成消息发送至所述第一网络设备,以便于所述第一网络设备根据所述安全建立完成消息向所述第二网络设备发送所述第一安全能力。
结合第一方面,在第四种可能的实现方式中,
所述第一网络设备为演进型节点eNB,所述第二网络设备为移动管理实体MME;
所述用户设备向第二网络设备发送所述用户设备的第一安全能力,包括:
所述用户设备将所述第一安全能力发送至第三网络设备,以便所述第三网络设备获取所述第二安全能力,并将所述第二安全能力发送至所述第二网络设备,其中,所述第三网络设备为SGSN或VLR。
结合第一方面的第四种可能的实现方式,在第五种可能的实现方式中,所述方法还包括:
如果所述第二安全能力与所述第一安全能力不一致,则所述用户设备将所述第一安全能力发送至所述第一网络设备和所述第二网络设备,以便于所述第二网络设备与所述第一网络设备根据所述第一安全能力更新安全能力。
结合第一方面的第五种可能的实现方式,在第六种可能的实现方式中,所述方法进一步包括:
如果所述第一网络设备或所述第二网络设备接收的所述第一安全能力中包含优先级更高的算法,则所述用户设备接收所述第一网络设备或所述第二网络设备发送的所述优先级更高的算法,并更新自身的算法。
第二方面,一种验证安全能力的方法,包括:
第一网络设备接收用户设备发送的第一安全能力和第二网络设备发送的第二安全能力;
所述第一网络设备验证所述第一安全能力与所述第二安全能力是否一致。
结合第二方面,在第一种可能的实现方式中,
所述第一网络设备为服务网络控制器SRNC或者网络控制器RNC,所述第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR;
所述方法还包括:
如果所述第二安全能力与所述第一安全能力一致,则所述第一网络设备开启安全保护。
结合第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述第一网络设备开启安全保护之后,还包括:
所述第一网络设备将第三安全能力发送至所述用户设备,以便所述用户设备验证所述第三安全能力与所述第一安全能力一致后,开启安全保护。
结合第二方面,在第三种可能的实现方式中,
所述第一网络设备为演进型节点eNB,所述第二网络设备为移动管理实体MME;
所述方法还包括:
如果所述第二安全能力与所述第一安全能力不一致,则所述第一网络设备根据所述第一安全能力更新安全能力。
结合第二方面的第三种可能的实现方式,在第四种可能的实现方式中,所述方法进一步包括:
如果所述第一网络设备接收的所述第一安全能力中包含优先级更高的算法,则所述第一网络设备将自身的算法更新为所述优先级更高的算法,并将所述优先级更高的算法发送至所述用户设备,以便于所述用户设备更新算法。
第三方面,一种验证安全能力的方法,包括:
移动管理实体MME接收用户设备发送的第一安全能力和业务支撑节点SGSN或者拜访地位置寄存器VLR发送的第二安全能力,其中,所述第一安全能力由演进型节点eNB转发至所述MME;
所述MME验证所述第一安全能力与所述第二安全能力是否一致。
结合第三方面,在第一种可能的实现方式中,所述方法还包括:
如果所述第一安全能力与所述第二安全能力不一致,则所述MME根据所述第一安全能力更新安全能力。
结合第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述方法进一步包括:
如果所述MME接收的所述第一安全能力中包含优先级更高的算法,则所述第一网络设备将自身的算法更新为所述优先级更高的算法,并将所述优先级更高的算法发送至所述用户设备,以便于所述用户设备更新算法。
第四方面,一种用户设备,包括:
发送单元,用于向第二网络设备发送所述用户设备的第一安全能力;
接收单元,用于接收所述第二网络设备发送的第二安全能力,所述第二安全能力由第一网络设备转发至所述用户设备;
验证单元,用于验证所述第二安全能力与所述第一安全能力是否一致。
结合第四方面,在第一种可能的实现方式中,
所述第一网络设备为服务网络控制器SRNC或者网络控制器RNC,所述第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR;
所述发送单元,还用于将所述第一安全能力发送至所述第一网络设备;
所述接收单元,还用于接收所述第一网络设备发送的第三安全能力;
所述验证单元,还用于验证所述第三安全能力与所述第一安全能力是否一致。
结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述用户设备还包括保护单元,用于当所述第三安全能力与所述第一安全能力一致时,根据所述第一网络设备的完整性保护算法开启安全保护。
结合第四方面的第二种可能的实现方式,在第三种可能的实现方式中,
所述验证单元,还用于当所述第二安全能力与所述第一安全能力不一致时,生成安全建立完成消息;
所述发送单元,还用于将所述验证单元生成的所述安全建立完成消息发送至所述第一网络设备,以便于所述第一网络设备根据所述安全建立完成消息向所述第二网络设备发送所述第一安全能力。
结合第四方面,在第四种可能的实现方式中,
所述第一网络设备为演进型节点eNB,所述第二网络设备为移动管理实体MME;
所述发送单元,还具体用于将所述第一安全能力发送至第三网络设备,以便所述第三网络设备获取所述第二安全能力,并将所述第二安全能力发送至所述第二网络设备,其中,所述第三网络设备为SGSN或VLR。
结合第四方面的第四种可能的实现方式,在第五种可能的实现方式中,
所述发送单元,还用于当所述第二安全能力与所述第一安全能力不一致时,将所述第一安全能力发送至所述第一网络设备和所述第二网络设备,以便于所述第二网络设备与所述第一网络设备根据所述第一安全能力更新安全能力。
结合第四方面的第五种可能的实现方式,在第六种可能的实现方式中,
所述接收单元,还用于当所述第一网络设备或所述第二网络设备接收的所述第一安全能力中包含优先级更高的算法时,接收所述第一网络设备或所述第二网络设备发送的所述优先级更高的算法;
所述用户设备还包括保护单元,用于根据所述接收单元接收的所述优先级更高的算法更新自身的算法。
第五方面,一种第一网络设备,包括:
接收单元,用于接收用户设备发送的第一安全能力和第二网络设备发送的第二安全能力;
验证单元,用于验证所述第一安全能力与所述第二安全能力是否一致。
结合第五方面,在第一种可能的实现方式中,
所述第一网络设备为服务网络控制器SRNC或者网络控制器RNC,所述第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR;
所述第一网络设备还包括保护单元,用于当所述第二安全能力与所述第一安全能力一致时,开启安全保护。
结合第五方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述第一网络设备还包括发送单元,用于将第三安全能力发送至所述用户设备,以便所述用户设备验证所述第三安全能力与所述第一安全能力一致后,开启安全保护。
结合第七方面,在第三种可能的实现方式中,
所述第一网络设备为演进型节点eNB,所述第二网络设备为移动管理实体MME;
所述第一网络设备还包括保护单元,用于当所述第二安全能力与所述第一安全能力不一致时,根据所述第一安全能力更新安全能力。
结合第七方面的第三种可能的实现方式,在第四种可能的实现方式中,
所述保护单元,还用于当所述接收单元接收的所述第一安全能力中包含优先级更高的算法时,将自身的算法更新为所述优先级更高的算法;
所述发送单元,还用于将所述优先级更高的算法发送至所述用户设备,以便于所述用户设备更新算法。
第六方面,一种移动管理实体MME,包括:
接收单元,用于接收用户设备发送的第一安全能力和业务支撑节点SGSN或者拜访地位置寄存器VLR发送的第二安全能力,其中,所述第一安全能力由演进型节点eNB转发至所述MME;
验证单元,用于验证所述第一安全能力与所述第二安全能力是否一致。
结合第六方面,在第一种可能的实现方式中,
所述MME还包括保护单元,用于当所述第一安全能力与所述第二安全能力不一致时,根据所述第一安全能力更新安全能力。
结合第六方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述保护单元,还用于当所述接收单元接收的所述第一安全能力中包含优先级更高的算法时,将自身的算法更新为所述优先级更高的算法;
所述MME还包括发送单元,还用于将所述优先级更高的算法发送至所述用户设备,以便于所述用户设备更新算法。
本发明实施例提供的一种验证安全能力的方法、设备及系统,通过用户设备向第二网络设备发送用户设备的第一安全能力,接收第二网络设备发送的第二安全能力,并且验证第二安全能力与第一安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍。
图1为本发明的实施例提供的一种验证安全能力方法的流程示意图;
图2为本发明的实施例提供的另一种验证安全能力方法的指令交互示意图;
图3为本发明的实施例提供的又一种验证安全能力方法的指令交互示意图;
图4为本发明的另一实施例提供的一种验证安全能力方法的流程示意图;
图5为本发明的另一实施例提供的另一种验证安全能力方法的指令交互示意图;
图6为本发明的另一实施例提供的又一种验证安全能力方法的指令交互示意图;
图7为本发明的又一实施例提供的一种验证安全能力方法的流程示意图;
图8为本发明的又一实施例提供的另一种验证安全能力方法的指令交互示意图;
图9为本发明的实施例提供的一种用户设备结构示意图;
图10为本发明的实施例提供的一种第一网络设备结构示意图;
图11为本发明的实施例提供的一种MME结构示意图;
图12为本发明的另一实施例提供的一种用户设备结构示意图;
图13为本发明的另一实施例提供的一种第一网络设备结构示意图;
图14为本发明的另一实施例提供的一种MME结构示意图;
图15为本发明的实施例提供的一种无线网络系统结构示意图;
图16为本发明的另一实施例提供的一种无线网络系统结构示意图;
图17为本发明的又一实施例提供的一种无线网络系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
本发明的实施例提供的一种验证安全能力的方法、装置及系统可以应用于GSM(Global System of Mobile communication,全球移动通讯系统)、GERAN(GSM EDGE(Enhanced Data Rate for GSM Evolution,增强型数据速率的GSM演进)Radio Access Network,GSM/EDGN无线接入网)系统、UMTS(Universal Mobile Telecommunications System,通用移动通信系统)、LTE(Long Term Evolution,长期演进)系统、EPS(Evolved Packet System,演进分组系统),当然,本发明也可以应用于其他网络系统,只不过在现有的通信领域内,上述五种网络系统应用较为广泛,因此,本发明的实施例以这五种网络系统为主进行详尽说明,但本发明不仅限于这五种网络系统,在其他的网络系统中,本发明也可以实现。
参照图1所示,本发明的实施例提供一种验证安全能力的方法,该方法包括以下步骤:
101、用户设备向第二网络设备发送用户设备的第一安全能力。
其中,该第一安全能力可以包括UMTS安全能力、GERAN安全能力、GSM安全能力、EPS安全能力中的一个或者多个。该用户设备在接入网络时,首先要向第二网络设备发送该用户设备的第一安全能力。
102、用户设备接收第二网络设备发送的第二安全能力。
其中,可选的,第二安全能力可以包括UMTS安全能力、GERAN安全能力、GSM安全能力、EPS安全能力中的一个或多个,具体包括的安全能力与步骤101中第一安全能力包括的安全能力相对应。也可以说,第一安全能力包含哪些网络的安全能力,第二安全能力也就包含哪些网络的安全能力。
103、用户设备验证第二安全能力与第一安全能力是否一致。
为了保证在用户设备接入网络的过程中所发送的信息是安全的,所以用户设备验证第二网络设备发送的第二安全能力与该用户设备的第一安全能力是否一致,如果不一致就代表安全能力被篡改,可以停止接入网络,如果一致就代表安全能力没有被篡改,可以接入网络。此处,用户设备验证了其自身与第二网络设备之间的信息传输是否安全。其中,用户设备的第一安全能力只是用户的安全能力中进行验证的安全能力,用户设备也可以向第二网络设备发送暂时不需要验证的安全能力,可选的,用户设备的安全能力包括该用户支持的所有加密算法列表和完整性算法列表。
这样,通过用户设备验证第一安全能力和第二安全能力是否一致,降低了在没有安全保障的情况下传输数据的可能,提高了信息传输的安全。
本实施例提供的验证安全能力的方法,通过用户设备验证第二网络设备发送的第二安全能力与该用户设备的第一安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的实施例提供另一种验证安全能力的方法,应用于UMTS系统,在UMTS系统中,用户设备可以是UE(User Equipment,用户设备),其中,UE包括MS(Mobile Station,移动台),第一网络设备可以是RNC或SRNC(Serving Radio Network Controller,服务无线网络控制器),第二网络设备可以是SGSN或VLR(Visitor LocationRegister,拜访地位置寄存器)当然,本实施例用UE、SRNC、SGSN为例来描述本发明的技术,并不代表本发明的技术只能通过这些设备来实现,也可以通过其他设备达到相同的效果。
参照图2所示,该方法包括:
201、用户设备向第二网络设备发送用户设备的第一安全能力。
可选的,该第一安全能力包括该用户设备支持的加密算法列表和完整性算法列表,此处的第一安全能力可以包含在初始L3(Layer3,层3)消息中发送至第二网络设备,此处该L3消息还可以包括第一安全能力中没有包含的安全能力,因为第一安全能力代表进行验证的安全能力,但用户设备在发送的时候可以选择将其他暂时不用验证的安全能力也一起发送出去。因为用户设备发出去的第一安全能力,在发送至第二网络设备的过程中有可能被篡改,所以第二网络设备接收到的安全能力称为第二安全能力。如果第一安全能力和第二安全能力一致,则证明第一安全能力没有被篡改,信息传输是安全的。
202、用户设备接收第二网络设备发送的第二安全能力。
其中,第二安全能力由第一网络设备转发至用户设备,可选的,第二安全能力包含在SMC(Security Mode Command,安全模式命令)消息中发送至第一网络设备,并由第一网络设备将该第二安全能力包含在SMC消息中转发至用户设备。
第二安全能力可以包括UMTS安全能力、GERAN安全能力、GSM安全能力、EPS安全能力中的一个或多个,具体包括的内容与用户设备的第一安全能力所包含的内容相对应。此处,SMC消息也可以包含第二安全能力没有包含的安全能力,第二安全能力只代表进行验证的安全能力,但SMC消息中也可以包括暂时不需要验证的安全能力。
203、用户设备验证第二安全能力与第一安全能力是否一致。
步骤201-203,用户设备验证了其自身与第二网络设备之间的信息传输是否安全。
该方法还包括步骤204,且步骤204分别与步骤201、步骤202及步骤203无先后顺序关系,即步骤204可以与步骤201、步骤202及步骤203中的任一步骤同时进行或者在某一步骤之前或者之后进行。
204、用户设备将第一安全能力发送至第一网络设备。
可选的,向第一网络设备发送的第一安全能力是在RRC连接建立中发送的。
205、用户设备接收第一网络设备发送的第三安全能力。
此处,第三安全能力可以包括UMTS安全能力、GERAN安全能力、GSM安全能力、EPS安全能力中的一个或者多个,具体包括的安全能力与上述步骤中第一安全能力和第二安全能力所包含的内容相对应。
可选的,第三安全能力包含在SMC消息中发送至用户设备。
206、用户设备验证第一网络设备发送的第三安全能力与该用户设备的第一安全能力是否一致。
通过上述步骤204-206,用户设备验证了其自身与第一网络设备之间的信息传输是否安全。
可选的,该方法还包括步骤207,且步骤207与步骤201-206之间的任一步骤无先后顺序关系。
207、第一网络设备接收第二网络设备发送的完整性保护算法优先级列表。
可选的,该完整性保护算法优先级列表包含在SMC消息中发送至第一网络设备,此处的SMC消息还可以包括加密算法优先级列表、加密密钥和完整性保护密钥中的一个或者多个,以便于第一网络设备对传输数据进行加密和完整性保护。
208、第一网络设备根据接收的完整性保护算法优先级列表及第一安全能力选择完整性保护算法,并根据选择的完整性保护算法开启安全保护。
具体的,在实际情况中,第一网络设备还接收加密算法优先级列表,并根据加密算法优先级列表选择加密算法,根据选择的加密算法和完整性保护算法开启安全保护,在之后的数据传输中,第一网络设备会用所选择的加密算法和完整性保护算法对数据进行加密和完整性保护,用户设备接收数据时也会用相同的算法解加密,发送数据时也用相同的算法进行加密,从而保证了之后的数据传输的安全性。
209、第一网络设备将选择的完整性保护算法发送至用户设备。
可选的,第一网络设备将选择的完整性保护算法包含在SMC消息中发送至用户设备,该SMC消息还可以包括第一网络设备选择的加密算法。
对于步骤206,如果第一网络设备发送的第三安全能力与用户设备的第一安全能力一致,则在步骤209之后,还包括:
210、用户设备根据完整性保护算法开启安全保护。
211、用户设备生成安全建立完成消息,并将安全建立完成消息发送至第一网络设备。
212、第一网络设备将安全建立完成消息发送至第二网络设备。
具体可选的,如果第二网络设备发送的第二安全能力与该用户设备的第一安全能力不一致,则第一网络设备将第一安全能力携带在安全建立完成消息中发送至第二网络设备,以便于第二网络设备根据第一安全能力更新安全能力。
其中,可选的,该安全建立完成消息还可以包括第一网络设备选择的加密算法和完整性保护算法。
这样用户设备验证第一安全能力与第二网络设备发送的第二安全能力是否一致,然后验证第一网络设备发送的第三安全能力与用户设备的第一安全能力是否一致。而且,如果第一网络设备发送的第三安全能力与用户设备的第一安全能力一致,用户设备就会开启安全保护,保证了开启安全保护后数据传输的安全,这样通过验证第一网络设备、第二网络设备与用户设备自身三者存储的安全能力是否一致,有没有被篡改,降低了在没有安全保障的情况下传输数据的可能,从而提高信息传输的安全。
本实施例提供的验证安全能力的方法,通过用户设备验证第二网络设备发送的第二安全能力与该用户设备的第一安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的实施例提供又一种验证安全能力的方法,应用于LTE系统中,在LTE系统中,网络设备包括SRNC、eNB(Envolved Node B,演进节点B)、SGSN及MME(Mobility Management Entity,移动管理实体),其中,eNB为第一网络设备,MME为第二网络设备,SGSN为第三网络设备。当然,此处,本实施例以MME、eNB、SGSN为例来描述本发明的技术,并不代表本发明的技术只能通过这些设备来实现,也可以通过其他设备达到相同的效果。具体的,本发明的实施例应用于用户设备由UMTS系统切换至LTE系统场景下,参照图3所示,该方法包括:
301、SRNC向SGSN发送重定位请求消息。
SRNC发送重定位请求消息给SGSN,发起系统切换。
302、SGSN向MME发送重定位请求消息。
因为在接入UMTS网络中已经向SGSN发送过用户设备安全能力,所以SGSN可以将第二安全能力发送给MME。其中,第二安全能力包含在重定位请求消息中发送给MME。此处,重定位请求消息中包括的第二安全能力的具体内容本发明不做限制。
对照图2对应的实施例,步骤301-302完成了用户设备向第二网络设备发送第一安全能力,以便第二网络设备获取第二安全能力,具体的,用户设备向第三网络设备发送第一安全能力,以便第三网络设备获取第二安全能力并将第二安全能力发送至第二网络设备。
303、MME向eNB发送切换请求消息。
具体的,MME接收到切换请求消息后,检测该切换请求消息是否包含第二安全能力,当该切换请求消息包含第二安全能力时,MME将第二安全能力包含在NAS(Non Access Stratum,非接入层)安全透明容器的IE(Information Element,信息元素)中,将NAS安全透明容器的IE包含在切换请求中发送给eNB;
或者,可选的,MME接收到重定位请求消息后,检测该重定位请求消息的第一安全能力是否包含第二安全能力,当该切换请求消息包含第二安全能力时,MME将第二安全能力和安全能力指示包含在切换请求消息中发送给eNB。
因为在用户设备尚未接入LTE网络中时,用户设备不能与eNB直接进行通信,所以必须通过SGSN与MME转发,才能向eNB发送安全能力。
304、eNB向MME发送切换确认消息。
具体的,eNB接收到MME发送的第二安全能力后,创建RRC连接重配信元,以便和用户设备建立直接连接,并向MME发送切换请求确认消息,其中,对照步骤303,该切换请求确认消息中可以包括NAS安全透明容器的IE,该NAS安全透明容器的IE包含第二安全能力;
或者,eNB根据安全能力指示,将第二安全能力包含在RRC连接重配信元中,将RRC连接重配信元包含在切换请求确认消息中发送至MME。
305、MME向SGSN发送重定向响应消息。
306、SGSN向SRNC发送重定向命令消息。
307、SRNC向用户设备发送切换命令消息。
步骤305-307中,MME向SGSN发送重定向响应消息,SGSN将此消息转发至用户设备,其中,对照步骤303和步骤304,该重定向响应消息包括第二安全能力。
对照图2所对应的实施例,步骤303-307完成了用户设备接收第二网络设备发送的第二安全能力,第二安全能力由第一网络设备转发至用户设备,具体的,第二网络设备将第二安全能力发送至第一网络设备,第一网络设备将第二安全能力返回给第二网络设备并通过第三网络设备发送至用户设备。
308、用户设备验证eNB发送的第二安全能力与该用户设备的第一安全能力是否一致。
309、用户设备向eNB发送切换完成消息。
如果eNB发送的安全能力与该用户设备的第一安全能力不一致,则该切换完成消息还包括第一安全能力,eNB可以根据第一安全能力更新安全能力和算法。
310、eNB向MME发送切换通知消息。
如果eNB发送的第二安全能力与该用户设备的第一安全能力不一致,则该切换消息还可以包括第一安全能力,MME根据第一安全能力更新的安全能力和算法。
具体的,当第一安全能力中包含优先级更高的NAS(Non AccessStratum,非接入层)算法时,MME将改变NAS算法,NAS算法用于在MME和用户设备之间传输数据时对数据进行加密和完整性保护。同时,如果第一安全能力中包含优先级更高的AS(Access Stratum,接入层)算法时,eNB也会改变AS算法,AS算法用于用户设备与eNB之间传输数据时对数据进行加密和完整性保护,相应的,也会触发用户设备更改自身的算法。
311、MME向SGSN发送重定位完成消息。
可选的,当SGSN发送的安全能力与该用户设备的第一安全能力不一致时,该重定位完成消息包括第一安全能力,以便SGSN更新自己保存的用户设备安全能力。
312、SGSN向MME发送重定位完成确认消息。
这样,通过用户设备验证第一安全能力和第二安全能力是否一致,降低了在没有安全保障的情况下传输数据的可能,提高了信息传输的安全。
本实施例提供的验证安全能力的方法,通过用户设备验证第二网络设备发送的第二安全能力与该用户设备的第一安全能力是否一致,验证了了信息传输是否安全,提高了信息传输的安全。
本发明的另一实施例提供一种验证安全能力的方法,参照图4所示,该方法包括:
401、第一网络设备接收第二网络设备发送的第二安全能力。
其中,该第二安全能力可以包括UMTS安全能力、GERAN安全能力、GSM安全能力、EPS安全能力中的一个或者多个。
402、第一网络设备接收用户设备发送的第一安全能力。
该用户设备可以是UE,其中,UE包括MS。该第一安全能力可以包括UMTS安全能力、GERAN安全能力、GSM安全能力、EPS安全能力中的一个或者多个。
403、第一网络设备验证第一安全能力与第二安全能力是否一致。
本实施例提供的验证安全能力的方法,通过第一网络设备验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的另一实施例提供另一种验证安全能力的方法,应用于UMTS网络,在UMTS系统中,用户设备可以是UE,其中,UE包括MS,第一网络设备可以是RNC或SRNC,第二网络设备可以是SGSN或VLR。当然,本实施例用UE、SRNC、SGSN为例来描述本发明的技术,并不代表本发明的技术只能通过这些设备来实现,也可以通过其他设备达到相同的效果。参照图5所示,该方法包括:
501、用户设备向第一网络设备发送第一安全能力。
可选的,此处第一安全能力是在RRC建立连接中发送至第一网络设备的。
其中,在本实施例中,第一安全能力包括UMTS安全能力,还可以包括GERAN安全能力、GSM安全能力、EPS安全能力中的一个或者多个。
502、用户设备向第二网络设备发送第一安全能力。
可选的,此处第一安全能力包含在初始L3消息中发送至第二网络设备的。因为用户发出去的第一安全能力在发送至第二网络设备的过程中有可能被篡改,所以第二网络设备接收到的安全能力称为第二安全能力,如果第一安全能力和第二安全能力一致,则证明安全能力没有被篡改,信息传输是安全的。
步骤501与步骤502无先后顺序关系。
503、第一网络设备接收第二网络设备发送的第二安全能力。
可选的,该第二安全能力包含在SMC消息中发送至第一网络设备。
504、第一网络设备验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致。
该方法还包括步骤505,且步骤505与步骤501-504中的任一步骤无先后顺序关系。
505、第一网络设备接收第二网络设备发送的完整性保护算法优先级列表。
可选的,该完整性保护算法优先级列表包含在SMC消息中发送至第一网络设备,此处的SMC消息还可以包含加密算法优先级列表、加密密钥、完整性保护密钥中的一个或者多个,以便于第一网络设备对传输数据进行安全保护。
步骤504和505之后,如果用户设备发送的第一安全能力与第二网络设备发送的第二安全能力一致,则该方法还包括:
506、第一网络设备根据接收的完整性保护算法优先级列表及第一安全能力选择完整性保护算法,并根据选择的完整性保护算法开启安全保护。
具体的,第一网络设备也可以接收加密算法并选择加密算法,根据选择的加密算法开启加密保护。
可选的,第二网络设备发送的第二安全能力和完整性保护算法优先级列表可以同时包含在SMC消息中发送,即步骤503-506也可以合并成以下三个步骤:
a、第一网络设备接收第二网络设备发送的第二安全能力和完整性保护算法优先级列表。
可选的,该第二安全能力和完整性保护算法优先级列表包含在SMC消息中发送至网络控制器,此处的SMC消息还可以包含加密算法优先级列表、加密密钥、完整性保护密钥中的一个或者多个,以便于第一网络设备对传输数据进行安全保护。
b、第一网络设备验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致。
如果用户设备发送的第一安全能力与第二网络设备发送的第二安全能力一致,则该方法还包括:
c、第一网络设备根据接收的完整性保护算法优先级列表及第一安全能力选择完整性保护算法,并根据选择的完整性保护算法开启安全保护。
具体的,第一网络设备也可以接收加密算法并选择加密算法,根据选择的加密算法开启加密保护。
507、第一网络设备将第三安全能力发送至用户设备。
可选的,该第三安全能力是包含在SMC消息中发送至用户设备的。
508、用户设备验证第一网络设备发送的第三安全能力与用户设备的第一安全能力是否一致。
如果发送的第三安全能力与用户设备的第一安全能力一致,则该方法还包括:
509、第一网络设备将选择的完整性保护算法发送至用户设备。
可选的,第一网络设备将选择的加密算法及完整性保护算法包含在SMC消息中发送至用户设备。
510、用户设备根据第一网络设备发送的完整性保护算法开启安全保护。
可选的,用户设备如果接收了加密算法,则根据加密算法和完整性保护算法开启安全保护。
511、用户设备生成安全建立完成消息,并将安全建立完成消息发送至第一网络设备。
512、第一网络设备将安全建立完成消息发送至第二网络设备。
如果第二网络设备发送的第二安全能力与用户设备发送的第一安全能力不一致,则第一网络设备将第一安全能力携带在安全建立完成消息中发送至第二网络设备,以便于第二网络设备更新安全能力。
第一网络设备验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,然后将第三安全能力发送至用户设备,以便用户设备验证来自于第一网络设备的第三安全能力与用户设备的第一安全能力是否一致。而且,如果第一网络设备验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力一致,第一网络设备会开启安全保护,保证了第一网络设备验证之后的用户设备安全能力向用户设备发送时不会被篡改,这样就能验证第一网络设备、第二网络设备与用户设备自身三者存储的安全能力是否一致,有没有被篡改,降低了在没有安全保障的情况下传输数据的可能,从而提高信息传输的安全。
本实施例提供的验证安全能力的方法,通过第一网络设备验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的另一实施例提供又一种验证安全能力的方法,应用于LTE系统,具体可选的,在本实施例的LTE系统中,网络设备包括SRNC、eNB、SGSN及MME,其中,eNB为第一网络设备,MME为第二网络设备,SGSN为第三网络设备。当然,此处,本实施例以MME、eNB、SGSN为例来描述本发明的技术,并不代表本发明的技术只能通过这些设备来实现,也可以通过其他设备达到相同的效果。
此处以用户设备从UMTS系统切换至LTE系统为例,参照图6所示,该方法包括:
601、SRNC向SGSN发送重定位请求消息。
SRNC发送重定位请求消息给SGSN,发起系统切换。
602、SGSN向MME发送重定位请求消息。
因为在接入UMTS网络中已经向SGSN发送过用户设备安全能力,所以SGSN可以将第二安全能力发送给MME。其中,第二安全能力包含在重定位请求消息中发送给MME。此处,重定位请求消息中包括的第二安全能力的具体内容本发明不做限制。
603、MME向eNB发送切换请求消息。
对照图5对应的实施例,步骤601-603完成了第一网络设备接收第二网络设备发送的第二安全能力。具体可选的,用户设备向第三网络设备发送第一安全能力,第三网络设备获取第二安全能力并向第二网络设备发送第二安全能力,由第二网络设备将第二安全能力发送至第一网络设备。
604、eNB向MME发送切换确认消息。
605、MME向SGSN发送重定向响应消息。
606、SGSN向SRNC发送重定向命令消息。
607、SRNC向用户设备发送切换命令消息。
608、用户设备向eNB发送切换完成消息。
此处,该切换完成消息包括第一安全能力。
步骤608完成了第一网络设备接收用户设备发送的第一安全能力。
609、eNB验证第二安全能力与第一安全能力是否一致。
如果第一安全能力与第二安全能力一致,则继续完成切换,如果第一安全能力与第二安全能力不一致,当第一安全能力中包含优先级更高的AS算法时,eNB改变AS算法,在第一安全能力中选择优先级高的AS算法,AS算法用于用户设备与eNB之间传输数据时对数据进行加密,同时也触发用户设备更新算法。
610、eNB向MME发送切换通知消息。
此处,该切换通知消息包括第一安全能力。具体的,当第一安全能力中包含更高级别的NAS算法时,MME将改变NAS算法,在第一安全能力中选择优先级高的NAS算法,NAS算法用于在MME和用户设备之间传输数据时对数据进行加密,同时也触发用户设备更新算法。
611、MME向SGSN发送重定位完成消息。
可选的,当来自SGSN的第二安全能力与该用户设备的第一安全能力不一致时,该重定位完成消息包括第一安全能力,以便SGSN更新自己保存的用户设备安全能力。
612、SGSN向MME发送重定位完成确认消息。
本实施例提供的验证安全能力的方法,通过第一网络设备验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的又一实施例提供一种验证安全能力的方法,应用于LTE系统,可选的,在LTE系统中,网络设备包括eNB、SGSN/VLR及MME,此处,本实施例以MME、eNB、SGSN/VLR为例来描述本发明的技术,并不代表本发明的技术只能通过这些设备来实现,也可以通过其他设备达到相同的效果,参照图7所示,该方法包括:
701、MME接收SGSN或者VLR发送的第二安全能力。
其中,该第二安全能力可以包括UMTS安全能力、GERAN安全能力、GSM安全能力、EPS安全能力中的一个或者多个。
702、MME接收用户设备发送的第一安全能力。
其中,该第一安全能力由eNB转发至MME,该第二安全能力可以包括UMTS安全能力、GERAN安全能力、GSM安全能力、EPS安全能力中的一个或者多个。
703、MME验证第一安全能力与第二安全能力是否一致。
这样,通过MME验证第一安全能力和第二安全能力是否一致,降低了在没有安全保障的情况下传输数据的可能,提高了信息传输的安全。
本实施例提供的验证安全能力的方法,通过MME验证用户设备发送的第一安全能力与SGSN或VLR发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的又一实施例提供另一种验证安全能力的方法,应用于LTE系统,具体可选的,在LTE系统中,网络设备包括SRNC、eNB、SGSN及MME。当然,此处,本实施例以MME、eNB、SRNC、SGSN为例来描述本发明的技术,并不代表本发明的技术只能通过这些设备来实现,也可以通过其他设备达到相同的效果。
此处以用户设备从UMTS系统切换至LTE系统为例,参照图8所示,该方法包括:
801、SRNC向SGSN发送重定位请求消息。
SRNC发送重定位请求消息给SGSN,发起跨系统切换。
802、SGSN向MME发送重定位请求消息。
因为在接入UMTS网络中已经向SGSN发送过用户设备安全能力,所以SGSN可以将第二安全能力发送给MME。其中,第二安全能力包含在重定位请求消息中发送给MME,即MME接收SGSN或VLR发送的第二安全能力,此处,重定位请求消息中包括的第二安全能力的具体内容本发明不做限制。
803、MME向eNB发送切换请求消息。
804、eNB向MME发送切换确认消息。
805、MME向SGSN发送重定向响应消息。
806、SGSN向SRNC发送重定向命令消息。
807、SRNC向用户设备发送切换命令消息。
808、用户设备向eNB发送切换完成消息。
此处,该切换完成消息包括第一安全能力。
809、eNB向MME发送切换通知消息。
此处,该切换通知消息包括第一安全能力。即MME接收用户设备发送的第一安全能力。
810、MME验证第二安全能力与第一安全能力是否一致。
具体的,如果第一安全能力与第二安全能力一致,则继续完成切换,如果第一安全能力与第二安全能力不一致,MME更新安全能力,且当第一安全能力中包含优先级更高的NAS算法时,MME将改变NAS算法,NAS算法用于在MME和用户设备之间传输数据时对数据进行加密和完整性保护,同时触发用户设备更改算法。同时,MME向eNB发送包含正确安全能力的S1上下文修改请求,如果安全能力中包含更高优先级的AS算法,eNB也会改变AS算法,AS算法用于用户设备与eNB之间传输数据时对数据进行加密和完整性保护。
811、MME向SGSN发送重定位完成消息。
可选的,当用户发送的第一安全能力与第二网络设备的第二安全能力不一致时,该重定位完成消息包括第一安全能力,以便SGSN更新自己保存的用户设备安全能力。
812、SGSN向MME发送重定位完成确认消息。
本实施例提供的验证安全能力的方法,通过MME验证用户设备发送的第一安全能力与SGSN或VLR发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的实施例提供一种用户设备,用于执行图1、图2或图3对应的实施例中所描述的用户设备执行的方法,其结构参照图9所示,该用户设备90包括:发送单元901、接收单元902和验证单元903。
其中,发送单元901,用于向第二网络设备发送用户设备90的第一安全能力。
接收单元902,用于接收第二网络设备发送的第二安全能力,第二安全能力由第一网络设备转发至用户设备90。
验证单元903,用于验证第二安全能力与第一安全能力是否一致。
本实施例提供的用户设备,通过验证第二网络设备发送的第二安全能力与该用户设备的第一安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
可选的,在一种应用场景中,第一网络设备为服务网络控制器SRNC或者网络控制器RNC,第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR。则:
发送单元901,还用于将第一安全能力发送至第一网络设备。
接收单元902,还用于接收第一网络设备发送的第三安全能力。
验证单元903,还用于验证第三安全能力与第一安全能力是否一致。
可选的,该用户设备90还可以包括保护单元904,
保护单元904,用于当第三安全能力与第一安全能力一致时,根据第一网络设备的完整性保护算法开启安全保护。
进一步可选的,验证单元903,还用于当第二安全能力与第一安全能力不一致时,生成安全建立完成消息。
发送单元901,还用于将验证单元903生成的安全建立完成消息发送至第一网络设备,以便于第一网络设备根据安全建立完成消息向第二网络设备发送第一安全能力。
可选的,在另一种应用场景中,第一网络设备为演进型节点eNB,第二网络设备为移动管理实体MME。则:
发送单元901,还具体用于将第一安全能力发送至第三网络设备,以便第三网络设备获取第二安全能力,并将第二安全能力发送至第二网络设备,其中,第三网络设备为SGSN或VLR。
可选的,发送单元901,还用于当第二安全能力与第一安全能力不一致时,将第一安全能力发送至第一网络设备和第二网络设备,以便于第二网络设备与第一网络设备根据第一安全能力更新安全能力。
可选的,接收单元902,还用于当第一网络设备或第二网络设备接收的第一安全能力中包含优先级更高的算法时,接收第一网络设备或第二网络设备发送的优先级更高的算法。
保护单元904,用于根据接收单元902接收的优先级更高的算法更新自身的算法。
通过本实施例,用户设备验证第一安全能力与第二网络设备发送的第二安全能力是否一致,然后验证第一网络设备发送的第三安全能力与用户设备的第一安全能力是否一致。而且,如果第一网络设备发送的第三安全能力与用户设备的第一安全能力一致,用户设备就会开启安全保护,保证了开启安全保护后数据传输的安全,这样通过验证第一网络设备、第二网络设备与用户设备自身三者存储的安全能力是否一致,有没有被篡改,降低了在没有安全保障的情况下传输数据的可能,从而提高信息传输的安全。
本实施例提供的用户设备,通过验证第二网络设备发送的第二安全能力与该用户设备的第一安全能力是否一致,验证了信息传输是否安全的问题,提高了信息传输的安全。
本发明的实施例提供一种第一网络设备,用于执行图4、图5或图6对应的实施例中所描述的第一网络设备执行的方法,其结构参照图10所示,该第一网络设备100包括:接收单元1001和验证单元1002。
其中,接收单元1001,用于接收用户设备发送的第一安全能力和第二网络设备发送的第二安全能力。
验证单元1002,用于验证第一安全能力与第二安全能力是否一致。
本实施例提供的第一网络设备,通过验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
可选的,在一种应用场景中,第一网络设备100为服务网络控制器SRNC或者网络控制器RNC,第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR。则:
第一网络设备100还包括保护单元1003和发送单元1004。
保护单元1003,用于当第二安全能力与第一安全能力一致时,开启安全保护。
发送单元1004,用于将第三安全能力发送至用户设备,以便用户设备验证第三安全能力与第一安全能力一致后,开启安全保护。
可选的,在另一种应用场景中,第一网络设备为演进型节点eNB,第二网络设备为移动管理实体MME,则:
保护单元1003,用于当第二安全能力与第一安全能力不一致时,根据第一安全能力更新安全能力。
进一步可选的,保护单元1003,还用于当接收单元1001接收的第一安全能力中包含优先级更高的算法时,将自身的算法更新为优先级更高的算法。
发送单元1004,还用于将优先级更高的算法发送至用户设备,以便于用户设备更新算法。
这样,通过第一网络设备验证第一安全能力和第二安全能力是否一致,降低了在没有安全保障的情况下传输数据的可能,提高了信息传输的安全。
第一网络设备验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,然后将用户设备的第三安全能力发送至用户设备,以便用户设备验证来自于第一网络设备的第三安全能力与用户设备的第一安全能力是否一致。而且,如果第一网络设备验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力一致,第一网络设备会开启安全保护,保证了第一网络设备验证之后的用户设备安全能力向用户设备发送时不会被篡改,这样就能验证第一网络设备、第二网络设备与用户设备自身三者存储的用户设备安全能力是否一致,有没有被篡改,降低了在没有安全保障的情况下传输数据的可能,从而提高信息传输的安全。
本实施例提供的第一网络设备,通过验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的实施例提供一种移动管理实体MME,用于执行图7或图8对应的实施例中所描述的MME执行的方法,参照图11所示,该MME110包括接收单元1101和验证单元1102。
接收单元1101,用于接收用户设备发送的第一安全能力和业务支撑节点SGSN或者拜访地位置寄存器VLR发送的第二安全能力,其中,第一安全能力由演进型节点eNB转发至MME。
验证单元1102,用于验证第一安全能力与第二安全能力是否一致。
这样,通过MME验证第一安全能力和第二安全能力是否一致,降低了在没有安全保障的情况下传输数据的可能,提高了信息传输的安全。
本实施例提供的MME,通过验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
可选的,该MME110还包括保护单元1103和发送单元1104。
保护单元1103,用于当第一安全能力与第二安全能力不一致时,根据第一安全能力更新安全能力。
进一步可选的,保护单元1103,还用于当接收单元接收的第一安全能力中包含优先级更高的算法时,将自身的算法更新为优先级更高的算法。
发送单元1104,还用于将优先级更高的算法发送至用户设备,以便于用户设备更新算法。
本实施例提供的MME,通过验证用户设备发送的第一安全能力与SGSN或VLR发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的另一实施例提供一种用户设备,用于执行图1、图2或图3对应的实施例中所描述的用户设备执行的方法,参照图12所示,该设备可以嵌入或本身就是微处理计算机,比如:通用计算机、客户定制机、手机终端或平板机等便携设备,该用户设备1201包括:至少一个处理器1211、存储器1212和总线1213,该至少一个处理器1211和存储器1212通过总线1213连接并完成相互间的通信。
该总线1213可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(Peripheral Component,外部设备互连)总线或EISA(Extended Industry Standard Architecture,扩展工业标准体系结构)总线等。该总线1213可以分为地址总线、数据总线、控制总线等。为便于表示,图12中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。其中:
存储器1212用于执行本发明方案的应用程序代码,执行本发明方案的应用程序代码保存在存储器中,并由处理器1211来控制执行。
该存储器可以是只读存储器ROM或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器EEPROM、只读光盘CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。这些存储器通过总线与处理器相连接。
处理器1211可能是一个中央处理器1211(Central ProcessingUnit,简称为CPU),或者是特定集成电路(Application SpecificIntegrated Circuit,简称为ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
处理器1211,用于调用存储器1212中的程序代码,在一种可能的实施方式中,当上述应用程序被所述处理器1211执行时,实现如下功能。
处理器1211,用于向第二网络设备发送用户设备的第一安全能力。
处理器1211,还用于接收第二网络设备发送的第二安全能力,第二安全能力由第一网络设备转发至用户设备。
处理器1211,还用于验证第二安全能力与第一安全能力是否一致。
本实施例提供的用户设备,通过验证第二网络设备发送的第二安全能力与该用户设备的第一安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
可选的,在一种应用场景中,第一网络设备为服务网络控制器SRNC或者网络控制器RNC,第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR。则:
处理器1211,还用于将第一安全能力发送至第一网络设备。
处理器1211,还用于接收第一网络设备发送的第三安全能力。
处理器1211,还用于验证第三安全能力与第一安全能力是否一致。
可选的,处理器1211,还用于当第三安全能力与第一安全能力一致时,根据第一网络设备的完整性保护算法开启安全保护。
进一步可选的,处理器1211,还用于当第二安全能力与第一安全能力不一致时,生成安全建立完成消息。
处理器1211,还用于将安全建立完成消息发送至第一网络设备,以便于第一网络设备根据安全建立完成消息向第二网络设备发送第一安全能力。
可选的,在另一种应用场景中,第一网络设备为演进型节点eNB,第二网络设备为移动管理实体MME。则:
处理器1211,还具体用于将第一安全能力发送至第三网络设备,以便第三网络设备获取第二安全能力,并将第二安全能力发送至第二网络设备,其中,第三网络设备为SGSN或VLR。
可选的,处理器1211,还用于当第二安全能力与第一安全能力不一致时,将第一安全能力发送至第一网络设备和第二网络设备,以便于第二网络设备与第一网络设备根据第一安全能力更新安全能力。
可选的,处理器1211,还用于当第一网络设备或第二网络设备接收的第一安全能力中包含优先级更高的算法时,接收第一网络设备或第二网络设备发送的优先级更高的算法,并更新自身的算法。
这样用户设备验证第一安全能力与第二网络设备发送的第二安全能力是否一致,然后验证第一网络设备发送的第三安全能力与用户设备的第一安全能力是否一致。而且,如果第一网络设备发送的第三安全能力与用户设备的第一安全能力一致,用户设备就会开启安全保护,保证了开启安全保护后数据传输的安全,这样通过验证第一网络设备、第二网络设备与用户设备自身三者存储的安全能力是否一致,有没有被篡改,降低了在没有安全保障的情况下传输数据的可能,从而提高信息传输的安全。
本实施例提供的用户设备,通过验证第二网络设备发送的第二安全能力与该用户设备的第一安全能力是否一致,验证了信息传输是否安全的问题,提高了信息传输的安全。
本发明的另一实施例提供一种第一网络设备,用于执行图4、图5或图6对应的实施例中所描述的第一网络设备执行的方法,参照图13所示,该设备可以嵌入或本身就是微处理计算机,比如:通用计算机、客户定制机、手机终端或平板机等便携设备,该第一网络设备1301包括:至少一个处理器1311、存储器1312和总线1313,该至少一个处理器1311和存储器1312通过总线1313连接并完成相互间的通信。
该总线1313可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(Peripheral Component,外部设备互连)总线或EISA(Extended Industry Standard Architecture,扩展工业标准体系结构)总线等。该总线1313可以分为地址总线、数据总线、控制总线等。为便于表示,图13中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。其中:
存储器1313用于执行本发明方案的应用程序代码,执行本发明方案的应用程序代码保存在存储器中,并由处理器1311来控制执行。
该存储器可以是只读存储器ROM或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器EEPROM、只读光盘CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。这些存储器通过总线与处理器相连接。
处理器1311可能是一个中央处理器1311(Central ProcessingUnit,简称为CPU),或者是特定集成电路(Application SpecificIntegrated Circuit,简称为ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
处理器1311,用于调用存储器1313中的程序代码,在一种可能的实施方式中,当上述应用程序被所述处理器1311执行时,实现如下功能。
处理器1311,用于接收用户设备发送的第一安全能力和第二网络设备发送的第二安全能力。
处理器1311,还用于验证第一安全能力与第二安全能力是否一致。
本实施例提供的第一网络设备,通过验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
可选的,在一种应用场景中,第一网络设备为服务网络控制器SRNC或者网络控制器RNC,第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR。则:
处理器1311,还用于当第二安全能力与第一安全能力一致时,开启安全保护。
处理器1311,还用于将第三安全能力发送至用户设备,以便用户设备验证第三安全能力与第一安全能力一致后,开启安全保护。
可选的,在另一种应用场景中,第一网络设备为演进型节点eNB,第二网络设备为移动管理实体MME,则:
处理器1311,还用于当第二安全能力与第一安全能力不一致时,根据第一安全能力更新安全能力。
进一步可选的,处理器1311,还用于当接收的第一安全能力中包含优先级更高的算法时,将自身的算法更新为优先级更高的算法。
处理器1311,还用于将优先级更高的算法发送至用户设备,以便于用户设备更新算法。
第一网络设备验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,然后将第三安全能力发送至用户设备,以便用户设备验证来自于第一网络设备的第三安全能力与用户设备的第一安全能力是否一致。而且,如果第一网络设备验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力一致,第一网络设备会开启安全保护,保证了第一网络设备验证之后的用户设备安全能力向用户设备发送时不会被篡改,这样就能验证第一网络设备、第二网络设备与用户设备自身三者存储的安全能力是否一致,有没有被篡改,降低了在没有安全保障的情况下传输数据的可能,从而提高信息传输的安全。
本实施例提供的第一网络设备,通过验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的另一实施例提供一种移动管理实体MME,用于执行图7或图8对应的实施例中所描述的MME执行的方法,参照图14所示,该设备可以嵌入或本身就是微处理计算机,比如:通用计算机、客户定制机、手机终端或平板机等便携设备,该MME1401包括:至少一个处理器1411、存储器1412和总线1413,该至少一个处理器1411和存储器1412通过总线1413连接并完成相互间的通信。
该总线1413可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(Peripheral Component,外部设备互连)总线或EISA(Extended Industry Standard Architecture,扩展工业标准体系结构)总线等。该总线1413可以分为地址总线、数据总线、控制总线等。为便于表示,图14中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。其中:
存储器1414用于执行本发明方案的应用程序代码,执行本发明方案的应用程序代码保存在存储器中,并由处理器1411来控制执行。
该存储器可以是只读存储器ROM或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器EEPROM、只读光盘CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。这些存储器通过总线与处理器相连接。
处理器1411可能是一个中央处理器1411(Central ProcessingUnit,简称为CPU),或者是特定集成电路(Application SpecificIntegrated Circuit,简称为ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
处理器1411,用于调用存储器1414中的程序代码,在一种可能的实施方式中,当上述应用程序被所述处理器1411执行时,实现如下功能。
处理器1411,用于接收用户设备发送的第一安全能力和业务支撑节点SGSN或者拜访地位置寄存器VLR发送的第二安全能力,其中,第一安全能力由演进型节点eNB转发至MME。
处理器1411,还用于验证第一安全能力与第二安全能力是否一致。
本实施例提供的MME,通过验证用户设备发送的第一安全能力与第二网络设备发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
可选的,处理器1411,还用于当第一安全能力与第二安全能力不一致时,根据第一安全能力更新安全能力。
进一步可选的,处理器1411,还用于当接收单元接收的第一安全能力中包含优先级更高的算法时,将自身的算法更新为优先级更高的算法。
处理器1411,还用于将优先级更高的算法发送至用户设备,以便于用户设备更新算法。
这样,通过MME验证第一安全能力和第二安全能力是否一致,降低了在没有安全保障的情况下传输数据的可能,提高了信息传输的安全。
本实施例提供的MME,通过验证用户设备发送的第一安全能力与SGSN或VLR发送的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的实施例提供一种无线网络系统,其结构参照图15所示,该无线网络系统151包括:第一网络设备1501和第二网络设备1502。
可选的,该无线网络系统151还可以包括:第三网络设备1503和用户设备1504。
其中,用户设备1504为图9对应的实施例中所描述的用户设备。
或者用户设备1504为图12对应的实施例中所描述的用户设备。
在UMTS系统中,第一网络设备为SRNC或RNC,第二网络设备为SGSN或VLR,用户设备为UE,此时,用户设备1504可以直接和第二网络设备1502进行通信。在LTE系统中,网络设备包括eNB、SGSN及MME,其中,eNB为第一网络设备,MME为第二网络设备,SGSN为第三网络设备,此时,用户设备1504需要通过第三网络设备1503、及第一网络设备1501才能与第二网络设备1502进行通信。
本实施例提供的无线网络系统,通过用户设备验证第二网络设备发送的用户设备的第二安全能力与用户设备的用户设备的第一安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的另一实施例提供一种无线网络系统,其结构参照图16所示,该无线网络系统161包括:第一网络设备1601和第二网络设备1602。
其中,第一网络设备1601为图10对应的实施例中所描述的第一网络设备。
或者,第一网络设备1601为图13对应的实施例中所描述的第一网络设备。
可选的,该无线网络系统161还可以包括:第三网络设备1603和用户设备1604。
在UMTS系统中,第一网络设备为SRNC或RNC,第二网络设备为SGSN或VLR,用户设备为UE,此时,用户设备1604可以直接和第二网络设备1602进行通信。在LTE系统中,eNB为第一网络设备,MME为第二网络设备,SGSN为第三网络设备,此时,用户设备1604需要通过第三网络设备1603、及第一网络设备1601才能与第二网络设备1602进行通信。
本实施例提供的无线网络系统,通过第一网络设备验证用户设备发送的用户设备的第一安全能力与第二网络设备发送的用户设备的第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
本发明的又一实施例提供一种无线网络系统,其结构参照图17所示,该无线网络系统171包括:MME1701、SGSN/VLR1702。
其中,MME1701为图11对应的实施例中所描述的MME。
或者,MME1701为图14对应的实施例中所描述的MME。
可选的,该无线网络系统171还可以包括:eNB1703、用户设备1704。
本发明的实施例提供的无线网络系统,通过MME验证用户设备发送的第一安全能力与SGSN或VLR发送第二安全能力是否一致,验证了信息传输是否安全,提高了信息传输的安全。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可以用硬件实现,或固件实现,或它们的组合方式来实现。当使用软件实现时,可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以包括RAM(Random Access Memory,随机存储器)、ROM(Read OnlyMemory,只读内存)、EEPROM(Electrically Erasable Programmable ReadOnly Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,即只读光盘)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、DSL(Digital Subscriber Line,数字用户专线)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的,那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本发明所使用的,盘和碟包括CD(Compact Disc,压缩光碟)、激光碟、光碟、DVD碟(Digital Versatile Disc,数字通用光)、软盘和蓝光光碟,其中盘通常磁性的复制数据,而碟则用激光来光学的复制数据。上面的组合也应当包括在计算机可读介质的保护范围之内。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (30)

1.一种验证安全能力的方法,其特征在于,包括:
用户设备向第二网络设备发送所述用户设备的第一安全能力;
所述用户设备接收所述第二网络设备发送的第二安全能力,所述第二安全能力由第一网络设备转发至所述用户设备;
所述用户设备验证所述第二安全能力与所述第一安全能力是否一致。
2.根据权利要求1所述的方法,其特征在于,
所述第一网络设备为服务网络控制器SRNC或者网络控制器RNC,所述第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR;
所述方法还包括:
所述用户设备将所述第一安全能力发送至所述第一网络设备;
所述用户设备接收所述第一网络设备发送的第三安全能力;
所述用户设备验证所述第三安全能力与所述第一安全能力是否一致。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
如果所述第三安全能力与所述第一安全能力一致,则所述用户设备根据所述第一网络设备的完整性保护算法开启安全保护。
4.根据权利要求3所述的方法,其特征在于,所述用户设备根据所述第一网络设备发送的完整性保护算法开启安全保护之后,还包括:
如果所述第二安全能力与所述第一安全能力不一致,则所述用户设备生成安全建立完成消息并将所述安全建立完成消息发送至所述第一网络设备,以便于所述第一网络设备根据所述安全建立完成消息向所述第二网络设备发送所述第一安全能力。
5.根据权利要求1所述的方法,其特征在于,
所述第一网络设备为演进型节点eNB,所述第二网络设备为移动管理实体MME;
所述用户设备向第二网络设备发送所述用户设备的第一安全能力,包括:
所述用户设备将所述第一安全能力发送至第三网络设备,以便所述第三网络设备获取所述第二安全能力,并将所述第二安全能力发送至所述第二网络设备,其中,所述第三网络设备为SGSN或VLR。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
如果所述第二安全能力与所述第一安全能力不一致,则所述用户设备将所述第一安全能力发送至所述第一网络设备和所述第二网络设备,以便于所述第二网络设备与所述第一网络设备根据所述第一安全能力更新安全能力。
7.根据权利要求6所述的方法,其特征在于,所述方法进一步包括:
如果所述第一网络设备或所述第二网络设备接收的所述第一安全能力中包含优先级更高的算法,则所述用户设备接收所述第一网络设备或所述第二网络设备发送的所述优先级更高的算法,并更新自身的算法。
8.一种验证安全能力的方法,其特征在于,包括:
第一网络设备接收用户设备发送的第一安全能力和第二网络设备发送的第二安全能力;
所述第一网络设备验证所述第一安全能力与所述第二安全能力是否一致。
9.根据权利要求8所述的方法,其特征在于,
所述第一网络设备为服务网络控制器SRNC或者网络控制器RNC,所述第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR;
所述方法还包括:
如果所述第二安全能力与所述第一安全能力一致,则所述第一网络设备开启安全保护。
10.根据权利要求9所述的方法,其特征在于,所述第一网络设备开启安全保护之后,还包括:
所述第一网络设备将第三安全能力发送至所述用户设备,以便所述用户设备验证所述第三安全能力与所述第一安全能力一致后,开启安全保护。
11.根据权利要求8所述的方法,其特征在于,
所述第一网络设备为演进型节点eNB,所述第二网络设备为移动管理实体MME;
所述方法还包括:
如果所述第二安全能力与所述第一安全能力不一致,则所述第一网络设备根据所述第一安全能力更新安全能力。
12.根据权利要求11所述的方法,其特征在于,所述方法进一步包括:
如果所述第一网络设备接收的所述第一安全能力中包含优先级更高的算法,则所述第一网络设备将自身的算法更新为所述优先级更高的算法,并将所述优先级更高的算法发送至所述用户设备,以便于所述用户设备更新算法。
13.一种验证安全能力的方法,其特征在于,包括:
移动管理实体MME接收用户设备发送的第一安全能力和业务支撑节点SGSN或者拜访地位置寄存器VLR发送的第二安全能力,其中,所述第一安全能力由演进型节点eNB转发至所述MME;
所述MME验证所述第一安全能力与所述第二安全能力是否一致。
14.根据权利要求13所述的方法,其特征在于,所述方法还包括:
如果所述第一安全能力与所述第二安全能力不一致,则所述MME根据所述第一安全能力更新安全能力。
15.根据权利要求14所述的方法,其特征在于,所述方法进一步包括:
如果所述MME接收的所述第一安全能力中包含优先级更高的算法,则所述第一网络设备将自身的算法更新为所述优先级更高的算法,并将所述优先级更高的算法发送至所述用户设备,以便于所述用户设备更新算法。
16.一种用户设备,其特征在于,包括:
发送单元,用于向第二网络设备发送所述用户设备的第一安全能力;
接收单元,用于接收所述第二网络设备发送的第二安全能力,所述第二安全能力由第一网络设备转发至所述用户设备;
验证单元,用于验证所述第二安全能力与所述第一安全能力是否一致。
17.根据权利要求16所述的用户设备,其特征在于,
所述第一网络设备为服务网络控制器SRNC或者网络控制器RNC,所述第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR;
所述发送单元,还用于将所述第一安全能力发送至所述第一网络设备;
所述接收单元,还用于接收所述第一网络设备发送的第三安全能力;
所述验证单元,还用于验证所述第三安全能力与所述第一安全能力是否一致。
18.根据权利要求17所述的用户设备,其特征在于,
所述用户设备还包括保护单元,用于当所述第三安全能力与所述第一安全能力一致时,根据所述第一网络设备的完整性保护算法开启安全保护。
19.根据权利要求18所述的用户设备,其特征在于,
所述验证单元,还用于当所述第二安全能力与所述第一安全能力不一致时,生成安全建立完成消息;
所述发送单元,还用于将所述验证单元生成的所述安全建立完成消息发送至所述第一网络设备,以便于所述第一网络设备根据所述安全建立完成消息向所述第二网络设备发送所述第一安全能力。
20.根据权利要求16所述的用户设备,其特征在于,
所述第一网络设备为演进型节点eNB,所述第二网络设备为移动管理实体MME;
所述发送单元,具体用于将所述第一安全能力发送至第三网络设备,以便所述第三网络设备获取所述第二安全能力,并将所述第二安全能力发送至所述第二网络设备,其中,所述第三网络设备为SGSN或VLR。
21.根据权利要求20所述的用户设备,其特征在于,
所述发送单元,还用于当所述第二安全能力与所述第一安全能力不一致时,将所述第一安全能力发送至所述第一网络设备和所述第二网络设备,以便于所述第二网络设备与所述第一网络设备根据所述第一安全能力更新安全能力。
22.根据权利要求21所述的用户设备,其特征在于,
所述接收单元,还用于当所述第一网络设备或所述第二网络设备接收的所述第一安全能力中包含优先级更高的算法时,接收所述第一网络设备或所述第二网络设备发送的所述优先级更高的算法;
所述用户设备还包括保护单元,用于根据所述接收单元接收的所述优先级更高的算法更新自身的算法。
23.一种第一网络设备,其特征在于,包括:
接收单元,用于接收用户设备发送的第一安全能力和第二网络设备发送的第二安全能力;
验证单元,用于验证所述第一安全能力与所述第二安全能力是否一致。
24.根据权利要求23所述设备,其特征在于,
所述第一网络设备为服务网络控制器SRNC或者网络控制器RNC,所述第二网络设备为业务支撑节点SGSN或者拜访地位置寄存器VLR;
所述第一网络设备还包括保护单元,用于当所述第二安全能力与所述第一安全能力一致时,开启安全保护。
25.根据权利要求24所述的设备,其特征在于,
所述第一网络设备还包括发送单元,用于将第三安全能力发送至所述用户设备,以便所述用户设备验证所述第三安全能力与所述第一安全能力一致后,开启安全保护。
26.根据权利要求23所述的设备,其特征在于,
所述第一网络设备为演进型节点eNB,所述第二网络设备为移动管理实体MME;
所述第一网络设备还包括保护单元,用于当所述第二安全能力与所述第一安全能力不一致时,根据所述第一安全能力更新安全能力。
27.根据权利要求26所述的设备,其特征在于,
所述保护单元,还用于当所述接收单元接收的所述第一安全能力中包含优先级更高的算法时,将自身的算法更新为所述优先级更高的算法;
所述发送单元,还用于将所述优先级更高的算法发送至所述用户设备,以便于所述用户设备更新算法。
28.一种移动管理实体MME,其特征在于,包括:
接收单元,用于接收用户设备发送的第一安全能力和业务支撑节点SGSN或者拜访地位置寄存器VLR发送的第二安全能力,其中,所述第一安全能力由演进型节点eNB转发至所述MME;
验证单元,用于验证所述第一安全能力与所述第二安全能力是否一致。
29.根据权利要求28所述的设备,其特征在于,
所述MME还包括保护单元,用于当所述第一安全能力与所述第二安全能力不一致时,根据所述第一安全能力更新安全能力。
30.根据权利要求29所述的设备,其特征在于,
所述保护单元,还用于当所述接收单元接收的所述第一安全能力中包含优先级更高的算法时,将自身的算法更新为所述优先级更高的算法;
所述MME还包括发送单元,用于将所述优先级更高的算法发送至所述用户设备,以便于所述用户设备更新算法。
CN201310635001.9A 2013-12-02 2013-12-02 一种验证安全能力的方法、设备及系统 Active CN104683981B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201310635001.9A CN104683981B (zh) 2013-12-02 2013-12-02 一种验证安全能力的方法、设备及系统
PCT/CN2014/091258 WO2015081784A1 (zh) 2013-12-02 2014-11-17 一种验证安全能力的方法、设备及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310635001.9A CN104683981B (zh) 2013-12-02 2013-12-02 一种验证安全能力的方法、设备及系统

Publications (2)

Publication Number Publication Date
CN104683981A true CN104683981A (zh) 2015-06-03
CN104683981B CN104683981B (zh) 2019-01-25

Family

ID=53272862

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310635001.9A Active CN104683981B (zh) 2013-12-02 2013-12-02 一种验证安全能力的方法、设备及系统

Country Status (2)

Country Link
CN (1) CN104683981B (zh)
WO (1) WO2015081784A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017211569A1 (de) * 2016-06-10 2017-12-14 Endress+Hauser Process Solutions Ag Verfahren zum verhindern eines unerlaubten zugriffs auf softwareanwendungen in feldgeräten
CN108668281A (zh) * 2017-03-31 2018-10-16 华为技术有限公司 一种通信方法、相关设备及系统
CN109819492A (zh) * 2017-11-20 2019-05-28 华为技术有限公司 一种确定安全能力的方法和装置
WO2020052416A1 (zh) * 2018-09-15 2020-03-19 华为技术有限公司 一种安全保护方法、设备及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101378591A (zh) * 2007-08-31 2009-03-04 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN101383702A (zh) * 2008-10-06 2009-03-11 中兴通讯股份有限公司 在更新跟踪区过程中保护密钥生成参数的方法及系统
WO2009030164A1 (fr) * 2007-09-03 2009-03-12 Huawei Technologies Co., Ltd. Procédé, système et dispositif pour empêcher l'attaque par dégradation pendant qu'un terminal se déplace
CN101552982A (zh) * 2008-04-01 2009-10-07 华为技术有限公司 检测降质攻击的方法及用户设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101039314B (zh) * 2006-03-16 2012-02-22 华为技术有限公司 一种在演进接入网络中实现安全性保证的方法
CN101651949B (zh) * 2009-08-17 2011-10-26 中兴通讯股份有限公司 一种安全模式建立的方法及无线网络控制器

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101378591A (zh) * 2007-08-31 2009-03-04 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
WO2009030164A1 (fr) * 2007-09-03 2009-03-12 Huawei Technologies Co., Ltd. Procédé, système et dispositif pour empêcher l'attaque par dégradation pendant qu'un terminal se déplace
CN101552982A (zh) * 2008-04-01 2009-10-07 华为技术有限公司 检测降质攻击的方法及用户设备
CN101383702A (zh) * 2008-10-06 2009-03-11 中兴通讯股份有限公司 在更新跟踪区过程中保护密钥生成参数的方法及系统

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017211569A1 (de) * 2016-06-10 2017-12-14 Endress+Hauser Process Solutions Ag Verfahren zum verhindern eines unerlaubten zugriffs auf softwareanwendungen in feldgeräten
US11481516B2 (en) 2016-06-10 2022-10-25 Endress+Hauser Process Solutions Ag Method for preventing impermissible access to software applications in field devices
CN108668281A (zh) * 2017-03-31 2018-10-16 华为技术有限公司 一种通信方法、相关设备及系统
US11051171B2 (en) 2017-03-31 2021-06-29 Huawei Technologies Co., Ltd. Communication method, related device, and system
CN109819492A (zh) * 2017-11-20 2019-05-28 华为技术有限公司 一种确定安全能力的方法和装置
CN109819492B (zh) * 2017-11-20 2021-02-12 华为技术有限公司 一种确定安全能力的方法和装置
WO2020052416A1 (zh) * 2018-09-15 2020-03-19 华为技术有限公司 一种安全保护方法、设备及系统
CN110912854A (zh) * 2018-09-15 2020-03-24 华为技术有限公司 一种安全保护方法、设备及系统
CN110912854B (zh) * 2018-09-15 2021-03-23 华为技术有限公司 一种安全保护方法、设备及系统
US11647391B2 (en) 2018-09-15 2023-05-09 Huawei Technologies Co., Ltd. Security protection method, device, and system

Also Published As

Publication number Publication date
WO2015081784A1 (zh) 2015-06-11
CN104683981B (zh) 2019-01-25

Similar Documents

Publication Publication Date Title
CN109587688B (zh) 系统间移动性中的安全性
JP6812421B2 (ja) モビリティ管理エンティティ再配置を伴うモビリティ手順のための装置および方法
CN101772021B (zh) 无线通讯系统处理保密设定的方法及其相关通讯装置
RU2440688C2 (ru) Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи
CN101843126B (zh) 用于认证上下文转移的系统和方法
CN1157982C (zh) 通用移动电话业务的安全进程
US20100172500A1 (en) Method of handling inter-system handover security in wireless communications system and related communication device
CN109729524B (zh) 一种rrc连接恢复方法及装置
KR20170132184A (ko) 완전 순방향 비밀성을 통한 인증 및 키 합의
EP2290875B1 (en) Generating method and system for key identity identifier at the time when user device transfers
US9445265B2 (en) Method and device for processing SRVCC switching, and terminal
CN102668609B (zh) 用于处理移动台中加密密钥的方法
EP3479613B1 (en) Re-establishing a radio resource control connection
EP3952378A1 (en) Registration method and apparatus
CN104885518A (zh) 在无线电局域网中用于区分安全配置的方法和装置
CN111328112A (zh) 一种安全上下文隔离的方法、装置及系统
EP4135377A1 (en) Key management method, device and system
CN104683981A (zh) 一种验证安全能力的方法、设备及系统
EP3783939A1 (en) Methods, apparatuses and computer programs for re-establishing a radio resource control (rrc) connection
CN114786179B (zh) 非蜂窝终端鉴权方法、装置、设备及介质
CN111770488B (zh) Ehplmn更新方法、相关设备及存储介质
CN106537960A (zh) 用于密码算法协商的方法、网络元素、移动终端、系统和计算机程序产品
CN106888447B (zh) 副usim应用信息的处理方法及系统
CN112400335B (zh) 用于执行数据完整性保护的方法和计算设备
CN115438353A (zh) 一种用户数据管理方法以及相关设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant