CN109756900A - 一种提高ue标识安全性的方法及装置、计算机存储介质 - Google Patents
一种提高ue标识安全性的方法及装置、计算机存储介质 Download PDFInfo
- Publication number
- CN109756900A CN109756900A CN201910164081.1A CN201910164081A CN109756900A CN 109756900 A CN109756900 A CN 109756900A CN 201910164081 A CN201910164081 A CN 201910164081A CN 109756900 A CN109756900 A CN 109756900A
- Authority
- CN
- China
- Prior art keywords
- terminal
- base station
- identification information
- information
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Abstract
本发明公开了一种提高UE标识安全性的方法及装置、计算机存储介质,所述方法包括:第一基站接收终端发送的RRC恢复请求消息;所述第一基站确定拒绝所述终端的接入,向第二基站发送第一消息,所述第一消息携带第一指示信息,所述第一指示信息用于向所述第二基站指示所述第一基站确定拒绝所述终端的接入,从而所述第二基站生成所述终端的第二UE标识信息;所述第一基站接收所述第二基站发送的第二消息,所述第二消息携带所述第一计算参数,所述第一基站向所述终端发送RRC拒绝消息,所述RRC拒绝消息携带所述第一计算参数,从而所述终端生成所述终端的第二UE标识信息。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种提高UE标识安全性的方法及装置、计算机存储介质。
背景技术
为了满足人们对业务的速率、延迟、高速移动性、能效的追求,以及未来生活中业务的多样性、复杂性,第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)国际标准组织开始研发第五代(5G,5th Generation)移动通信技术。
5G移动通信技术的主要应用场景为:增强型移动宽带(eMBB,Enhance MobileBroadband)、低时延高可靠通信(URLLC,Ultra Reliable Low Latency Communication)、大规模机器类通信(mMTC,massive Machine Type Communication)。
在5G网络环境中,为了降低空口信令和快速恢复无线连接,快速恢复数据业务的目的,定义一个新的RRC状态,即RRC非激活(RRC_INACTIVE)状态。这种状态有别于RRC空闲(RRC_IDLE)状态和RRC连接(RRC_CONNECTED)状态。
当用户设备(UE,User Equipment)处于RRC_INACTIVE状态时,网络侧会通过专用信令给UE配置无线接入网(RAN,Radio Access Network)的寻呼区域,该RAN寻呼区域可以是一个小区或者多个小区。当UE在该区域内移动时不用通知网络侧,遵循空闲(idle)下移动性行为,即小区选择重选原则。当UE移动出RAN配置的寻呼区域时,会触发UE恢复RRC连接并重新获取RAN配置的寻呼区域。当UE有下行数据到达时,为UE保持RAN和核心网(CN,CoreNetwork)之间连接的基站(如gNB)会触发RAN寻呼区域内的所有小区发送寻呼消息给UE,使得INACTIVCE状态的UE能够恢复RRC连接,进行数据接收。
所以UE从INACTIVE状态进入RRC连接状态,有三种情况:
一是,UE有下行数据到达,网络侧发起RAN侧的寻呼,促使UE进入连接状态;
二是,UE自身发起RAN位置区域更新,例如周期性RAN位置更新或者跨区域位置更新;
三是,UE有上行数据发送需求,促使UE进入连接状态。
当然,网络侧也会在某些情况下,例如负荷拥塞情况,对于UE发送的RRC恢复请求消息(RRC Resume Request)回复RRC拒绝消息(RRC Reject),其中RRC拒绝消息中会携带一个时间信息,即waittimer,UE收到该waittimer就启动定时器,定时器超时前,UE不会在该小区尝试发送RRC恢复请求消息,直到定时器超时。
在相关技术中,RRC Reject消息是在SRB0上传输的,RRC Resume Request消息也是在SRB0上传输的,也就是没有任何安全机制。同时SA3要求任何承载新的I-RNTI的RRC消息需要加密和完整性保护。RRC Resume Request消息中携带UE的I-RNTI标识,而UE接收到RRC Reject消息后,仍然保持原来的I-RNTI配置并维持在INACTIVE状态。所以此时I-RNTI已经暴漏了,如果存在不法UE,可以截获该I-RNTI并加以利用,危害网络。
发明内容
为解决上述技术问题,本发明实施例提供了一种提高UE标识安全性的方法及装置、计算机存储介质。
本发明实施例提供的提高UE标识安全性的方法,包括:
第一基站接收终端发送的RRC恢复请求消息;
所述第一基站确定拒绝所述终端的接入,向第二基站发送第一消息,所述第一消息携带第一指示信息,所述第一指示信息用于向所述第二基站指示所述第一基站确定拒绝所述终端的接入,从而所述第二基站基于第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息;
所述第一基站接收所述第二基站发送的第二消息,所述第二消息携带所述第一计算参数,所述第一基站向所述终端发送RRC拒绝消息,所述RRC拒绝消息携带所述第一计算参数,从而所述终端基于所述第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息。
在一实施方式中,所述第二基站侧的所述第一配置函数通过以下方式配置:
通过操作管理维护设备(OAM,Operation Administration and Maintenance)为至少一个基站配置用于计算所述第二UE标识信息的第一配置函数,所述至少一个基站包括所述第二基站;
其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
在一实施方式中,所述终端侧的所述第一配置函数通过以下方式配置:
所述第二基站释放所述终端到非激活状态时,为所述终端配置用于计算所述第二UE标识信息的第一配置函数;或者,
在所述终端的用户识别模块中配置用于计算所述第二UE标识信息的第一配置函数;
其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
在一实施方式中,所述第一基站接收终端发送的RRC恢复请求消息,包括:
第一基站接收终端发送的RRC恢复请求消息,所述RRC恢复请求消息中携带所述终端的第一UE标识信息以及用于验证所述终端合法性的完整性保护校验码(MAC-I)信息。
在一实施方式中,所述第一基站确定拒绝所述终端的接入,向第二基站发送第一消息,包括:
如果所述第一基站确定拒绝所述终端的接入,则所述第一基站基于所述终端的第一UE标识信息寻址所述第二基站,并向所述第二基站发送第一消息,所述第一消息中携带所述第一指示信息、所述终端的第一UE标识信息、所述MAC-I信息,从而所述第二基站基于所述MAC-I信息对所述终端的合法性进行验证,验证通过则基于所述第一计算参数、所述终端的第一UE标识信息以及所述第一配置函数生成所述终端的第二UE标识信息。
在一实施方式中,所述第一消息还携带所述第一基站的小区标识信息,所述第一基站的小区标识信息包括以下至少之一:全球小区识别码(CGI,Cell GlobalIdentifier)、物理小区标识(PCI,Physical Cell Identifier)、频率信息、射频信道(AFRCN)。
在一实施方式中,所述第二基站基于所述MAC-I信息对所述终端的合法性验证不通过,则向所述第一基站发送第二指示信息,所述第二指示信息用于向所述第一基站指示所述终端的合法性验证不通过。
在一实施方式中,所述第二基站侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中;
所述终端侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中。
在一实施方式中,所述第一基站和所述第二基站为不同的基站;或者,
所述第一基站和所述第二基站为同一个基站,所述第二基站为保存UE上下文信息的基站。
本发明实施例提供的提高UE标识安全性的方法,包括:
终端向第一基站发送RRC恢复请求消息;
所述终端接收到所述第一基站发送的RRC拒绝消息后,释放UE上下文并回到空闲状态。
在一实施方式中,所述RRC恢复请求消息中携带所述终端的第一UE标识信息和用于验证所述终端合法性的MAC-I信息。
在一实施方式中,所述方法还包括:
所述终端通知非接入层(NAS)RRC连接恢复失败。
本发明实施例提供的提高UE标识安全性的装置,包括:
第一接收单元,用于接收终端发送的RRC恢复请求消息;
第一发送单元,用于确定拒绝所述终端的接入,向第二基站发送第一消息,所述第一消息携带第一指示信息,所述第一指示信息用于向所述第二基站指示所述第一基站确定拒绝所述终端的接入,从而所述第二基站基于第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息;
第二接收单元,用于接收所述第二基站发送的第二消息,所述第二消息携带所述第一计算参数;
第二发送单元,用于向所述终端发送RRC拒绝消息,所述RRC拒绝消息携带所述第一计算参数,从而所述终端基于所述第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息。
在一实施方式中,所述第二基站侧的所述第一配置函数通过以下方式配置:
通过OAM为至少一个基站配置用于计算所述第二UE标识信息的第一配置函数,所述至少一个基站包括所述第二基站;
其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
在一实施方式中,所述终端侧的所述第一配置函数通过以下方式配置:
所述第二基站释放所述终端到非激活状态时,为所述终端配置用于计算所述第二UE标识信息的第一配置函数;或者,
在所述终端的用户识别模块中配置用于计算所述第二UE标识信息的第一配置函数;
其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
在一实施方式中,所述第一接收单元,用于接收终端发送的RRC恢复请求消息,所述RRC恢复请求消息中携带所述终端的第一UE标识信息以及用于验证所述终端合法性的MAC-I信息。
在一实施方式中,如果所述第一基站确定拒绝所述终端的接入,则所述第一发送单元基于所述终端的第一UE标识信息寻址所述第二基站,并向所述第二基站发送第一消息,所述第一消息中携带所述第一指示信息、所述终端的第一UE标识信息、所述MAC-I信息,从而所述第二基站基于所述MAC-I信息对所述终端的合法性进行验证,验证通过则基于所述第一计算参数、所述终端的第一UE标识信息以及所述第一配置函数生成所述终端的第二UE标识信息。
在一实施方式中,所述第一消息还携带所述第一基站的小区标识信息,所述第一基站的小区标识信息包括以下至少之一:CGI、PCI、频率信息、AFRCN。
在一实施方式中,所述第二基站基于所述MAC-I信息对所述终端的合法性验证不通过,则向所述第一基站发送第二指示信息,所述第二指示信息用于向所述第一基站指示所述终端的合法性验证不通过。
在一实施方式中,所述第二基站侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中;
所述终端侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中。
在一实施方式中,所述第一基站和所述第二基站为不同的基站;或者,
所述第一基站和所述第二基站为同一个基站,所述第二基站为保存UE上下文信息的基站。
本发明实施例提供的提高UE标识安全性的装置,包括:
发送单元,用于向第一基站发送RRC恢复请求消息;
接收单元,用于接收到所述第一基站发送的RRC拒绝消息;
释放单元,用于释放UE上下文并回到空闲状态。
在一实施方式中,所述RRC恢复请求消息中携带所述终端的第一UE标识信息和用于验证所述终端合法性的MAC-I信息。
在一实施方式中,所述装置还包括:
通知单元,用于通知NAS层RRC连接恢复失败。
本发明实施例提供的计算机存储介质,其上存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现上述的提高UE标识安全性的方法。
本发明实施例的技术方案中,第一基站接收终端发送的RRC恢复请求消息;所述第一基站确定拒绝所述终端的接入,向第二基站发送第一消息,所述第一消息携带第一指示信息,所述第一指示信息用于向所述第二基站指示所述第一基站确定拒绝所述终端的接入,从而所述第二基站基于第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息;所述第一基站接收所述第二基站发送的第二消息,所述第二消息携带所述第一计算参数,所述第一基站向所述终端发送RRC拒绝消息,所述RRC拒绝消息携带所述第一计算参数,从而所述终端基于所述第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息。采用本发明实施例的技术方案,通过预配置函数(也即第一配置函数)实现对终端的UE标识信息(如I-RNTI)的更新,使得处于非激活状态下的UE的I-RNTI信息不被暴漏,保证了网络运营安全。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为RAN范围中UE在gNB小区的示意图;
图2为RRC连接恢复过程的示意图一;
图3为RRC连接恢复过程的示意图二;
图4为本发明实施例的提高UE标识安全性的方法的流程示意图一
图5为本发明实施例的提高UE标识安全性的方法的流程示意图二;
图6为本发明实施例的提高UE标识安全性的方法的流程示意图三;
图7为本发明实施例的提高UE标识安全性的装置的结构组成示意图一;
图8为本发明实施例的提高UE标识安全性的装置的结构组成示意图二;
图9为本发明实施例的计算机设备的结构组成示意图。
具体实施方式
为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明实施例。
本发明实施例的技术方案主要应用于5G移动通信系统,当然,本发明实施例的技术方案并不局限于5G移动通信系统,还可以应用于其他类型的移动通信系统。以下对5G移动通信系统中的主要应用场景进行说明:
1)eMBB场景:eMBB以用户获得多媒体内容、服务和数据为目标,其业务需求增长十分迅速。由于eMBB可能部署在不同的场景中,例如室内、市区、农村等,其业务能力和需求的差别也比较大,所以必须结合具体的部署场景对业务进行分析。
2)URLLC场景:URLLC的典型应用包括:工业自动化、电力自动化、远程医疗操作、交通安全保障等。
3)mMTC场景:URLLC的典型特点包括:高连接密度、小数据量、时延不敏感业务、模块的低成本和长使用寿命等。
以下对5G网络环境中的三种RRC状态进行说明:
1)RRC_IDLE状态:移动性为基于UE的小区选择重选,寻呼由CN发起,寻呼区域由CN配置。基站侧不存在UE AS上下文。不存在RRC连接。
2)RRC_CONNECTED状态:存在RRC连接,基站和UE存在UE AS上下文。网络侧知道UE的位置是具体小区级别的。移动性是网络侧控制的移动性。UE和基站之间可以传输单播数据。
3)RRC_INACTIVE状态:移动性为基于UE的小区选择重选,存在CN和RAN之间的连接,UE AS上下文存在某个基站上,寻呼由RAN触发,基于RAN的寻呼区域由RAN管理,网络侧知道UE的位置是基于RAN的寻呼区域级别的。
图1为RAN范围中UE在gNB小区的示意图,UE处于INACTIVE状态下,想要恢复RRC连接,可以通过以下RRC连接恢复过程来实现。
图2为RRC连接恢复过程的示意图一,如图2所示,RRC连接恢复过程包括以下流程:
步骤201:UE处于INACTIVE状态,要恢复RRC连接。
步骤202:UE向gNB发送前导码(preamble)。
步骤203:gNB向UE发送随机接入响应(RAR,Random Access Response)。
步骤204:UE向gNB发送RRC恢复请求消息(RRC Resume Request)。
步骤205:gNB向锚gNB(anchor gNB)索要UE上下文信息。
步骤206:gNB向UE发送RRC恢复消息(RRC Resume)。
步骤207:UE向gNB发送RRC恢复完成消息(RRC Resume Complete)。
图3为RRC连接恢复过程的示意图二,如图3所示,RRC连接恢复过程包括以下流程:
步骤301:UE处于INACTIVE状态,要恢复RRC连接。
步骤302:UE向gNB发送前导码(preamble)。
步骤303:gNB向UE发送随机接入响应(RAR,Random Access Response)。
步骤304:UE向gNB发送RRC恢复请求消息(RRC Resume Request)。
步骤305:gNB向UE发送RRC拒绝消息(RRC Reject)。
图4为本发明实施例的提高UE标识安全性的方法的流程示意图一,如图4所示,所述提高UE标识安全性的方法包括以下步骤:
步骤401:第一基站接收终端发送的RRC恢复请求消息。
本发明实施例中,第一基站指示服务终端的目标基站,相对而言,第二基站是指服务终端的源基站。这里,所述第一基站和所述第二基站为不同的基站;或者,所述第一基站和所述第二基站为同一个基站,所述第二基站为保存UE上下文信息的基站。
本发明实施例中,终端可以是手机、平板电脑、笔记本电脑等任意能够与网络侧进行通信的设备。进一步,在终端处于非激活状态下,向所述第一基站发送RRC恢复请求消息,这里,所述RRC恢复请求消息中携带所述终端的第一UE标识信息以及用于验证所述终端合法性的MAC-I信息。
步骤402:所述第一基站确定拒绝所述终端的接入,向第二基站发送第一消息,所述第一消息携带第一指示信息,所述第一指示信息用于向所述第二基站指示所述第一基站确定拒绝所述终端的接入,从而所述第二基站基于第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息。
具体地,如果所述第一基站确定拒绝所述终端的接入,则所述第一基站基于所述终端的第一UE标识信息寻址所述第二基站,并向所述第二基站发送第一消息,所述第一消息中携带所述第一指示信息、所述终端的第一UE标识信息、所述MAC-I信息,从而所述第二基站基于所述MAC-I信息对所述终端的合法性进行验证,验证通过则基于所述第一计算参数、所述终端的第一UE标识信息以及所述第一配置函数生成所述终端的第二UE标识信息。进一步,所述第二基站基于所述MAC-I信息对所述终端的合法性验证不通过,则向所述第一基站发送第二指示信息,所述第二指示信息用于向所述第一基站指示所述终端的合法性验证不通过。
在一实施方式中,所述第一消息还携带所述第一基站的小区标识信息,所述第一基站的小区标识信息包括以下至少之一:CGI、PCI、频率信息、AFRCN。
在一实施方式中,所述第二基站侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中。
本发明实施例中,所述第二基站侧的所述第一配置函数通过以下方式配置:
通过OAM为至少一个基站配置用于计算所述第二UE标识信息的第一配置函数,所述至少一个基站包括所述第二基站;其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
步骤403:所述第一基站接收所述第二基站发送的第二消息,所述第二消息携带所述第一计算参数,所述第一基站向所述终端发送RRC拒绝消息,所述RRC拒绝消息携带所述第一计算参数,从而所述终端基于所述第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息。
这里,所述终端侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中。
本发明实施例中,所述终端侧的所述第一配置函数通过以下方式配置:
1)所述第二基站释放所述终端到非激活状态时,为所述终端配置用于计算所述第二UE标识信息的第一配置函数;或者,
2)在所述终端的用户识别模块(如USIM卡)中配置用于计算所述第二UE标识信息的第一配置函数;其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
图5为本发明实施例的提高UE标识安全性的方法的流程示意图二,本实施例中,Anchor-gNB对应第二基站,Target-gNB对应第一基站,如图5所示,所述提高UE标识安全性的方法包括以下步骤:
步骤500:在网络侧负责处理RRC拒绝消息之前,网络侧可以通过如下两种方式配置第一配置函数:
方式一:通过OAM给所有基站配置用于生成新的I-RNTI的函数算法(也即第一配置函数),例如:该函数算法采用的原型可以是function(Counter,I-RNTI)。这里,函数的输入参数不限于Counter(也即第一计算参数)和I-RNTI(也即第一UE标识信息)。另一方面,UE获取可以从USIM中获取该函数算法。
方式二:当原基站释放UE到INACTIVE状态时,给UE配置用于计算新的I-RNTI的函数算法(也即第一配置函数),并将该函数算法作为UE的上下文保存。
步骤501:UE发送RRC Resume Request消息给Target-gNB,其中携带UE的标识(I-RNTI)以及验证UE合法性的ShortMAC-I信息等。
步骤502:Target-gNB决定拒绝该UE,则Target-gNB根据I-RNTI寻址源基站(Anchor-gNB),并在向Anchor-gNB发送的Xn消息中携带一个指示信息、UE的标识I-RNTI以及验证UE合法性的ShortMAC-I信息、目标基站的小区标识信息等。其中,指示信息用于向Anchor-gNB指示Target-gNB要拒绝该UE。
这里,Target-gNB的小区标识信息可以包含目标小区的CGI、PCI以及频率、AFRCN等。
步骤503:Anchor-gNB根据Target-gNB提供的信息,对UE进行合法性验证,验证通过则计算新的I-RNTI并保存在UE上下文中,并将COUNTER携带在Xn消息中发送给Target-gNB。验证不通过,则指示Target-gNB拒绝该UE。
步骤504:Target-gNB将在RRC Reject消息中携带Anchor-gNB发送的COUNTER信息,并发给UE。
这里,RRC Reject消息中还携带时间信息waittimer。
步骤505:UE收到RRC Reject消息后,根据COUNTER信息以及预配置的用于计算新的I-RNTI的函数算法信息计算新的I-RNTI,并丢弃旧的I-RNTI,将新的I-RNTI和UE上下文一起保存。
图6为本发明实施例的提高UE标识安全性的方法的流程示意图三,如图6所示,所述提高UE标识安全性的方法包括以下步骤:
步骤601:终端向第一基站发送RRC恢复请求消息。
这里,所述RRC恢复请求消息中携带所述终端的第一UE标识信息和用于验证所述终端合法性的MAC-I信息。
步骤602:所述终端接收到所述第一基站发送的RRC拒绝消息后,释放UE上下文并回到空闲状态。
本步骤后,所述终端通知NAS层RRC连接恢复失败。
图7为本发明实施例的提高UE标识安全性的装置的结构组成示意图一,如图7所示,所述装置包括:
第一接收单元701,用于接收终端发送的RRC恢复请求消息;
第一发送单元702,用于确定拒绝所述终端的接入,向第二基站发送第一消息,所述第一消息携带第一指示信息,所述第一指示信息用于向所述第二基站指示所述第一基站确定拒绝所述终端的接入,从而所述第二基站基于第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息;
第二接收单元703,用于接收所述第二基站发送的第二消息,所述第二消息携带所述第一计算参数;
第二发送单元704,用于向所述终端发送RRC拒绝消息,所述RRC拒绝消息携带所述第一计算参数,从而所述终端基于所述第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息。
在一实施方式中,所述第二基站侧的所述第一配置函数通过以下方式配置:
通过OAM为至少一个基站配置用于计算所述第二UE标识信息的第一配置函数,所述至少一个基站包括所述第二基站;
其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
在一实施方式中,所述终端侧的所述第一配置函数通过以下方式配置:
所述第二基站释放所述终端到非激活状态时,为所述终端配置用于计算所述第二UE标识信息的第一配置函数;或者,
在所述终端的用户识别模块中配置用于计算所述第二UE标识信息的第一配置函数;
其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
在一实施方式中,所述第一接收单元701,用于接收终端发送的RRC恢复请求消息,所述RRC恢复请求消息中携带所述终端的第一UE标识信息以及用于验证所述终端合法性的MAC-I信息。
在一实施方式中,如果所述第一基站确定拒绝所述终端的接入,则所述第一发送单元702基于所述终端的第一UE标识信息寻址所述第二基站,并向所述第二基站发送第一消息,所述第一消息中携带所述第一指示信息、所述终端的第一UE标识信息、所述MAC-I信息,从而所述第二基站基于所述MAC-I信息对所述终端的合法性进行验证,验证通过则基于所述第一计算参数、所述终端的第一UE标识信息以及所述第一配置函数生成所述终端的第二UE标识信息。
在一实施方式中,所述第一消息还携带所述第一基站的小区标识信息,所述第一基站的小区标识信息包括以下至少之一:CGI、PCI、频率信息、AFRCN。
在一实施方式中,所述第二基站基于所述MAC-I信息对所述终端的合法性验证不通过,则向所述第一基站发送第二指示信息,所述第二指示信息用于向所述第一基站指示所述终端的合法性验证不通过。
在一实施方式中,所述第二基站侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中;
所述终端侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中。
在一实施方式中,所述第一基站和所述第二基站为不同的基站;或者,
所述第一基站和所述第二基站为同一个基站,所述第二基站为保存UE上下文信息的基站。
本领域技术人员应当理解,图7所示的提高UE标识安全性的装置中的各单元的实现功能可参照前述提高UE标识安全性的方法的相关描述而理解。图7所示的提高UE标识安全性的装置中的各单元的功能可通过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现。
图8为本发明实施例的提高UE标识安全性的装置的结构组成示意图二,如图8所示,所述装置包括:
发送单元801,用于向第一基站发送RRC恢复请求消息;
接收单元802,用于接收到所述第一基站发送的RRC拒绝消息;
释放单元803,用于释放UE上下文并回到空闲状态。
在一实施方式中,所述RRC恢复请求消息中携带所述终端的第一UE标识信息和用于验证所述终端合法性的MAC-I信息。
在一实施方式中,所述装置还包括:
通知单元804,用于通知NAS层RRC连接恢复失败。
本领域技术人员应当理解,图8所示的提高UE标识安全性的装置中的各单元的实现功能可参照前述提高UE标识安全性的方法的相关描述而理解。图8所示的提高UE标识安全性的装置中的各单元的功能可通过运行于处理器上的程序而实现,也可通过具体的逻辑电路而实现。
本发明实施例上述提高UE标识安全性的装置如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read OnlyMemory)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本发明实施例不限制于任何特定的硬件和软件结合。
相应地,本发明实施例还提供一种计算机存储介质,其中存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现本发明实施例的上述提高UE标识安全性的方法。
图9为本发明实施例的计算机设备的结构组成示意图,该计算机设备可以是终端。如图9所示,计算机设备100可以包括一个或多个(图中仅示出一个)处理器1002(处理器1002可以包括但不限于微处理器(MCU,Micro Controller Unit)或可编程逻辑器件(FPGA,Field Programmable Gate Array)等的处理装置)、用于存储数据的存储器1004、以及用于通信功能的传输装置1006。本领域普通技术人员可以理解,图9所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机设备100还可包括比图9中所示更多或者更少的组件,或者具有与图9所示不同的配置。
存储器1004可用于存储应用软件的软件程序以及模块,如本发明实施例中的方法对应的程序指令/模块,处理器1002通过运行存储在存储器1004内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器1004可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1004可进一步包括相对于处理器1002远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置1006用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机设备100的通信供应商提供的无线网络。在一个实例中,传输装置1006包括一个网络适配器(NIC,Network Interface Controller),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置1006可以为射频(RF,Radio Frequency)模块,其用于通过无线方式与互联网进行通讯。
本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
在本发明所提供的几个实施例中,应该理解到,所揭露的方法和智能设备,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个第二处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
Claims (25)
1.一种提高UE标识安全性的方法,所述方法包括:
第一基站接收终端发送的RRC恢复请求消息;
所述第一基站确定拒绝所述终端的接入,向第二基站发送第一消息,所述第一消息携带第一指示信息,所述第一指示信息用于向所述第二基站指示所述第一基站确定拒绝所述终端的接入,从而所述第二基站基于第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息;
所述第一基站接收所述第二基站发送的第二消息,所述第二消息携带所述第一计算参数,所述第一基站向所述终端发送RRC拒绝消息,所述RRC拒绝消息携带所述第一计算参数,从而所述终端基于所述第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息。
2.根据权利要求1所述的方法,其中,所述第二基站侧的所述第一配置函数通过以下方式配置:
通过OAM为至少一个基站配置用于计算所述第二UE标识信息的第一配置函数,所述至少一个基站包括所述第二基站;
其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
3.根据权利要求1或2所述的方法,其中,所述终端侧的所述第一配置函数通过以下方式配置:
所述第二基站释放所述终端到非激活状态时,为所述终端配置用于计算所述第二UE标识信息的第一配置函数;或者,
在所述终端的用户识别模块中配置用于计算所述第二UE标识信息的第一配置函数;
其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
4.根据权利要求1至3任一项所述的方法,其中,所述第一基站接收终端发送的RRC恢复请求消息,包括:
第一基站接收终端发送的RRC恢复请求消息,所述RRC恢复请求消息中携带所述终端的第一UE标识信息以及用于验证所述终端合法性的MAC-I信息。
5.根据权利要求4所述的方法,其中,所述第一基站确定拒绝所述终端的接入,向第二基站发送第一消息,包括:
如果所述第一基站确定拒绝所述终端的接入,则所述第一基站基于所述终端的第一UE标识信息寻址所述第二基站,并向所述第二基站发送第一消息,所述第一消息中携带所述第一指示信息、所述终端的第一UE标识信息、所述MAC-I信息,从而所述第二基站基于所述MAC-I信息对所述终端的合法性进行验证,验证通过则基于所述第一计算参数、所述终端的第一UE标识信息以及所述第一配置函数生成所述终端的第二UE标识信息。
6.根据权利要求5所述的方法,其中,所述第一消息还携带所述第一基站的小区标识信息,所述第一基站的小区标识信息包括以下至少之一:CGI、PCI、频率信息、AFRCN。
7.根据权利要求5或6所述的方法,其中,所述第二基站基于所述MAC-I信息对所述终端的合法性验证不通过,则向所述第一基站发送第二指示信息,所述第二指示信息用于向所述第一基站指示所述终端的合法性验证不通过。
8.根据权利要求1至7任一项所述的方法,其中,
所述第二基站侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中;
所述终端侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中。
9.根据权利要求1至7任一项所述的方法,其中,
所述第一基站和所述第二基站为不同的基站;或者,
所述第一基站和所述第二基站为同一个基站,所述第二基站为保存UE上下文信息的基站。
10.一种提高UE标识安全性的方法,所述方法包括:
终端向第一基站发送RRC恢复请求消息;
所述终端接收到所述第一基站发送的RRC拒绝消息后,释放UE上下文并回到空闲状态。
11.根据权利要求10所述的方法,其中,所述RRC恢复请求消息中携带所述终端的第一UE标识信息和用于验证所述终端合法性的MAC-I信息。
12.根据权利要求10或11所述的方法,其中,所述方法还包括:
所述终端通知NAS层RRC连接恢复失败。
13.一种提高UE标识安全性的装置,所述装置包括:
第一接收单元,用于接收终端发送的RRC恢复请求消息;
第一发送单元,用于确定拒绝所述终端的接入,向第二基站发送第一消息,所述第一消息携带第一指示信息,所述第一指示信息用于向所述第二基站指示所述第一基站确定拒绝所述终端的接入,从而所述第二基站基于第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息;
第二接收单元,用于接收所述第二基站发送的第二消息,所述第二消息携带所述第一计算参数;
第二发送单元,用于向所述终端发送RRC拒绝消息,所述RRC拒绝消息携带所述第一计算参数,从而所述终端基于所述第一计算参数、所述终端的第一UE标识信息以及第一配置函数生成所述终端的第二UE标识信息。
14.根据权利要求13所述的装置,其中,所述第二基站侧的所述第一配置函数通过以下方式配置:
通过OAM为至少一个基站配置用于计算所述第二UE标识信息的第一配置函数,所述至少一个基站包括所述第二基站;
其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
15.根据权利要求13所述的装置,其中,所述终端侧的所述第一配置函数通过以下方式配置:
所述第二基站释放所述终端到非激活状态时,为所述终端配置用于计算所述第二UE标识信息的第一配置函数;或者,
在所述终端的用户识别模块中配置用于计算所述第二UE标识信息的第一配置函数;
其中,所述第二UE标识信息相对于所述第一UE标识信息为更新的UE标识信息。
16.根据权利要求13至15任一项所述的装置,其中,所述第一接收单元,用于接收终端发送的RRC恢复请求消息,所述RRC恢复请求消息中携带所述终端的第一UE标识信息以及用于验证所述终端合法性的MAC-I信息。
17.根据权利要求16所述的装置,其中,如果所述第一基站确定拒绝所述终端的接入,则所述第一发送单元基于所述终端的第一UE标识信息寻址所述第二基站,并向所述第二基站发送第一消息,所述第一消息中携带所述第一指示信息、所述终端的第一UE标识信息、所述MAC-I信息,从而所述第二基站基于所述MAC-I信息对所述终端的合法性进行验证,验证通过则基于所述第一计算参数、所述终端的第一UE标识信息以及所述第一配置函数生成所述终端的第二UE标识信息。
18.根据权利要求17所述的装置,其中,所述第一消息还携带所述第一基站的小区标识信息,所述第一基站的小区标识信息包括以下至少之一:CGI、PCI、频率信息、AFRCN。
19.根据权利要求17或18所述的装置,其中,所述第二基站基于所述MAC-I信息对所述终端的合法性验证不通过,则向所述第一基站发送第二指示信息,所述第二指示信息用于向所述第一基站指示所述终端的合法性验证不通过。
20.根据权利要求13至19任一项所述的装置,其中,
所述第二基站侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中;
所述终端侧生成所述终端的第二UE标识信息后,将所述终端的第一UE标识信息更新为所述第二UE标识信息,并保存到所述终端的UE上下文中。
21.根据权利要求13至20任一项所述的装置,其中,
所述第一基站和所述第二基站为不同的基站;或者,
所述第一基站和所述第二基站为同一个基站,所述第二基站为保存UE上下文信息的基站。
22.一种提高UE标识安全性的装置,所述装置包括:
发送单元,用于向第一基站发送RRC恢复请求消息;
接收单元,用于接收到所述第一基站发送的RRC拒绝消息;
释放单元,用于释放UE上下文并回到空闲状态。
23.根据权利要求22所述的装置,其中,所述RRC恢复请求消息中携带所述终端的第一UE标识信息和用于验证所述终端合法性的MAC-I信息。
24.根据权利要求22或23所述的装置,其中,所述装置还包括:
通知单元,用于通知NAS层RRC连接恢复失败。
25.一种计算机存储介质,其上存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至9任一项所述的方法步骤,或者权利要求10至12任一项所述的方法步骤。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810577096 | 2018-06-05 | ||
CN2018105770966 | 2018-06-05 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109756900A true CN109756900A (zh) | 2019-05-14 |
CN109756900B CN109756900B (zh) | 2021-02-23 |
Family
ID=66407974
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910164081.1A Active CN109756900B (zh) | 2018-06-05 | 2019-03-05 | 一种提高ue标识安全性的方法及装置、计算机存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN109756900B (zh) |
WO (1) | WO2019233444A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019233432A1 (zh) * | 2018-06-05 | 2019-12-12 | Oppo广东移动通信有限公司 | 一种验证网络合法性的方法及装置、计算机存储介质 |
WO2019233444A1 (zh) * | 2018-06-05 | 2019-12-12 | Oppo广东移动通信有限公司 | 一种提高ue标识安全性的方法及装置、计算机存储介质 |
WO2021077945A1 (zh) * | 2019-10-22 | 2021-04-29 | 中兴通讯股份有限公司 | 新空口承载语音业务用户识别方法和基站 |
WO2021098389A1 (zh) * | 2019-11-18 | 2021-05-27 | 中兴通讯股份有限公司 | 非激活态终端的重定向方法、电子设备及计算机可读介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018062949A1 (en) * | 2016-09-30 | 2018-04-05 | Samsung Electronics Co., Ltd. | Method and apparatus for establishing dual-connectivity to transmit data in new radio communication architecture |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106961712A (zh) * | 2016-01-12 | 2017-07-18 | 展讯通信(上海)有限公司 | 小区接入方法及基站 |
EP3193557B1 (en) * | 2016-01-12 | 2020-04-22 | HTC Corporation | Device and method of handling radio resource control connection |
KR102207057B1 (ko) * | 2016-08-12 | 2021-01-26 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 무선 디바이스를 위한 라디오 접속을 재개하기 위한 방법들, 디바이스들, 및 노드들 |
CN109803456B (zh) * | 2017-11-16 | 2021-05-11 | 华为技术有限公司 | 一种请求恢复连接的方法及装置 |
CN109756900B (zh) * | 2018-06-05 | 2021-02-23 | Oppo广东移动通信有限公司 | 一种提高ue标识安全性的方法及装置、计算机存储介质 |
-
2019
- 2019-03-05 CN CN201910164081.1A patent/CN109756900B/zh active Active
- 2019-06-05 WO PCT/CN2019/090174 patent/WO2019233444A1/zh active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018062949A1 (en) * | 2016-09-30 | 2018-04-05 | Samsung Electronics Co., Ltd. | Method and apparatus for establishing dual-connectivity to transmit data in new radio communication architecture |
Non-Patent Citations (4)
Title |
---|
HUAWEI,HISILICON: "Discussion on Dos and replay attacks for rejection procedure", 《RAN WG2 MEETING #101 R2-1803266》 * |
OPPO: "The security issue for INACTIVE UE due to the exposed I-RNTI", 《3GPP TSG-RAN2#102 R2-1806948》 * |
SAMSUNG: "Key Handling at transition between RRC-INACTIVE and RRC-CONNECTED", 《3GPP TSG-SA WG3 MEETING #91 S3-181374》 * |
SAMSUNG: "Remaining issues of Security framework for Resume", 《3GPP TSG-RAN WG2#101BIS R2-1805279》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019233432A1 (zh) * | 2018-06-05 | 2019-12-12 | Oppo广东移动通信有限公司 | 一种验证网络合法性的方法及装置、计算机存储介质 |
WO2019233444A1 (zh) * | 2018-06-05 | 2019-12-12 | Oppo广东移动通信有限公司 | 一种提高ue标识安全性的方法及装置、计算机存储介质 |
WO2021077945A1 (zh) * | 2019-10-22 | 2021-04-29 | 中兴通讯股份有限公司 | 新空口承载语音业务用户识别方法和基站 |
WO2021098389A1 (zh) * | 2019-11-18 | 2021-05-27 | 中兴通讯股份有限公司 | 非激活态终端的重定向方法、电子设备及计算机可读介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2019233444A1 (zh) | 2019-12-12 |
CN109756900B (zh) | 2021-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109756900A (zh) | 一种提高ue标识安全性的方法及装置、计算机存储介质 | |
CN102843682B (zh) | 接入点认证方法、装置及系统 | |
CN112154684B (zh) | 一种验证网络合法性的方法及装置、计算机存储介质 | |
CN103841547B (zh) | 一种下行数据传输方法、装置及系统 | |
CN103178938A (zh) | 信令优化处理方法、设备和系统 | |
CN110475249A (zh) | 一种认证方法、相关设备及系统 | |
CN109691159A (zh) | Rrc连接恢复中的pdcp count处理 | |
CN107294723A (zh) | 消息完整性认证信息的生成和验证方法、装置及验证系统 | |
CN104969578A (zh) | 数据传输方法、装置及系统 | |
CN102740297A (zh) | 一种寻呼方法及寻呼装置、寻呼系统 | |
CN110073681B (zh) | 用于物联网设备的方法、装置和计算机可读介质 | |
CN108810835A (zh) | 一号多终端的关联方法、装置、终端和存储介质 | |
CN103813308B (zh) | 一种上行数据传输方法、装置及系统 | |
CN102858026B (zh) | 一种触发特定位置终端的方法、系统和终端 | |
CN110087338B (zh) | 一种窄带物联网进行鉴权的方法及设备 | |
CN109729515B (zh) | 用于实现机卡绑定的方法、用户识别卡和物联网终端 | |
CN111226452B (zh) | 一种业务策略创建方法及装置 | |
CN107666667A (zh) | 一种数据传输方法、第一设备及第二设备 | |
CN104641667B (zh) | 一种网络接入方法、设备及系统 | |
JP2021524690A (ja) | ページングの信頼性を向上させる方法および装置、コンピュータ記憶媒体 | |
CN106856465B (zh) | 用于实现移动认证的方法、装置和系统 | |
WO2020253661A1 (zh) | 一种确定伪基站的方法、装置及系统 | |
CN103582078A (zh) | 一种机器类通信的接入控制方法及装置 | |
CN111865569B (zh) | 一种密钥协商方法及装置 | |
CN109644338A (zh) | 一种获取密钥的方法及装置、计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |