CN113271595A - 移动通信方法、装置及设备 - Google Patents
移动通信方法、装置及设备 Download PDFInfo
- Publication number
- CN113271595A CN113271595A CN202110217266.1A CN202110217266A CN113271595A CN 113271595 A CN113271595 A CN 113271595A CN 202110217266 A CN202110217266 A CN 202110217266A CN 113271595 A CN113271595 A CN 113271595A
- Authority
- CN
- China
- Prior art keywords
- nas
- mme
- message
- security mode
- mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/125—Protection against power exhaustion attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明涉及移动通信技术,尤其涉及一种移动通信方法、装置及设备。其中,该方法包括:用户设备UE接收来自移动管理实体MME的非接入层NAS安全模式命令消息,所述NAS安全模式命令消息中携带用于对所述MME已经接收到的UE能力信息进行验证的第一验证匹配信息;所述UE根据所述第一验证匹配信息,确定所述MME已经接收到的UE能力信息是否与所述UE发送给所述MME的UE能力信息一致;若一致,则所述UE向所述MME发送NAS安全模式完成消息。本发明实施例的移动通信方法、装置及设备,能够确保MME获取正确的UE能力信息。
Description
技术领域
本发明涉及移动通信技术,尤其涉及一种移动通信方法、装置及设备。
背景技术
移动通信的附着(Attach)流程中,UE(User Equipment,用户设备)通过eNB(Evolved Node B,演化基站)向MME(Mobility ManageUEnt Entity,移动管理实体)发送附着请求(Attach Request)消息,其中在附着请求消息中携带UE能力(UE Capability)信息如网络能力及安全能力等,MME根据接收到的UE的能力向UE提供服务。当附着请求消息没有完整性保护时,比如,UE第一次注册网络的场景下附着请求消息没有完整性保护,此时若攻击者实施中间人攻击,修改了UE发送给MME的UE能力信息,那么MME将会根据被修改之后的UE能力信息向 UE提供服务,由此可能会导致UE无法使用某些业务,如,攻击者将UE能力信息中的语音域优先级和用户使用设置(Voice domain preference and UE‘s usagesetting)去掉,添加仅使用短信服务(Additional update type-SMS only)参数,那么UE只能使用短消息业务,而不能使用语音通话业务。
发明内容
本发明实施例提供了一种移动通信方法、装置及设备,确保MME获取正确的UE能力信息。
第一方面,本发明实施例提供了一种移动通信方法,包括:
用户设备UE接收来自移动管理实体MME的非接入层NAS安全模式命令消息,所述NAS安全模式命令消息中携带用于对所述MME已经接收到的UE能力信息进行验证的第一验证匹配信息;
所述UE根据所述第一验证匹配信息,确定所述MME已经接收到的UE能力信息是否与所述UE 发送给所述MME的UE能力信息一致;
若一致,则所述UE向所述MME发送NAS安全模式完成消息。
可选的,所述第一验证匹配信息为所述MME向所述UE发送所述NAS安全模式命令消息前已经接收到的附着请求消息的第一哈希值,所述NAS安全模式命令消息还包括所述MME对已经接收到的所述附着请求消息进行哈希计算所采用的哈希算法、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第一非接入层消息认证码NAS-MAC;
所述UE计算所述UE接收到的所述NAS安全模式命令消息的第二NAS-MAC;
所述UE确定第二NAS-MAC是否与所述第一NAS-MAC一致;
若一致,所述UE根据哈希算法,计算所述UE发送给所述MME的附着请求消息的第二哈希值;
所述UE确定所述二哈希值是否与所述第一哈希值一致;
若一致,则所述UE向所述MME发送NAS安全模式完成消息。
可选的,所述NAS安全模式命令消息还包括:所述MME回传的UE安全能力;
所述UE确定所述MME回传的UE安全能力是否与所述UE发送给所述MME的UE安全能力一致;
相应的,所述若一致,则所述UE向所述MME发送NAS安全模式完成消息,包括:
若所述第二哈希值与所述第一哈希值一致、所述第二NAS-MAC与所述第一NAS-MAC一致且所述MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致,则所述UE向所述MME 发送NAS安全模式完成消息。
可选的,所述方法还包括:
若所述第二哈希值、所述第二NAS-MAC以及所述MME回传的UE安全能力中的至少一项验证失败,则所述UE向所述MME发送NAS安全模式失败消息;
或者,
若所述第二NAS-MAC与所述第一NAS-MAC一致、所述MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致且所述第二哈希值与所述第一哈希值不一致,则所述UE向所述MME 发送NAS安全模式完成消息,该NAS安全模式完成消息中携带附着请求消息。
可选的,所述第一验证匹配信息为所述MME已经接收到的UE能力信息的第三哈希值,所述 NAS安全模式命令消息还包括所述MME对已经接收到的UE能力信息进行哈希计算所所采用的哈希算法、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第三 NAS-MAC;
所述UE计算所述UE接收到的所述NAS安全模式命令消息的第四NAS-MAC;所述UE确定所述第四NAS-MAC是否与所述第三NAS-MAC一致;
若一致,所述UE根据哈希算法,计算所述UE发送给所述MME的UE能力信息的第四哈希值;
所述UE确定所述二哈希值是否与所述第三哈希值一致;
若一致,则所述UE向所述MME发送NAS安全模式完成消息。
可选的,所述NAS安全模式命令消息中还包括:所述MME回传的UE安全能力;
所述UE确定所述MME回传的UE安全能力是否与所述UE发送给所述MME的UE安全能力一致;
相应的,所述若一致,则所述UE向所述MME发送NAS安全模式完成消息,包括:
若所述第四哈希值与所述第三哈希值一致、所述第四NAS-MAC与所述第三NAS-MAC一致且所述MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致,则所述UE向所述MME 发送NAS安全模式完成消息。
可选的,所述方法还包括:
若所述第四哈希值、所述第四NAS-MAC以及所述MME回传的UE安全能力中的至少一项验证失败,则所述UE向所述MME发送NAS安全模式失败消息;
或者,
若所述第四NAS-MAC与所述第三NAS-MAC一致、所述MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致且所述第四哈希值与所述第三哈希值不一致,则所述UE向所述MME 发送NAS安全模式完成消息,所述NAS安全模式完成消息中携带UE能力信息。
可选的,所述第一验证匹配信息为所述MME已经接收到的UE能力信息,所述NAS安全模式命令消息还包括所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第五NAS-MAC;
所述UE计算所述UE接收到的所述NAS安全模式命令消息的第六NAS-MAC;
所述UE确定所述第六NAS-MAC是否与所述第五NAS-MAC一致;
若一致,所述UE所述MME已经接收到的UE能力信息是否与所述UE发送给所述MME的UE能力信息一致;
若一致,则所述UE向所述MME发送NAS安全模式完成消息。
可选的,所述UE确定所述第六NAS-MAC是否与所述第五NAS-MAC一致,
若一致,所述UE确定所述MME已经接收到的所述UE能力信息中所包括的UE安全能力是否与所述UE发送给所述MME的UE安全能力一致;
若一致,则所述UE确定所述MME接收到的所述UE能力信息中除所述UE安全能力外的其它能力是否分别与所述UE发送给所述MME的一致;
若一致,则所述UE向所述MME发送NAS安全模式完成消息。
可选的,所述方法还包括:
若所述MME已经接收到的所述UE能力信息中除所述UE安全能力外的其它能力与所述UE发送给所述MME的不一致,则所述UE向所述MME发送NAS安全模式完成消息,所述NAS安全模式完成消息中携带UE能力信息。
可选的,所述NAS安全模式命令消息包括:所述MME接收到的UE安全能力、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第七NAS-MAC;
所述UE计算所述UE接收到的所述NAS安全模式命令消息的第八NAS-MAC;
所述UE确定所述第八NAS-MAC是否与所述第七NAS-MAC一致;
若一致,所述UE确定所述MME接收到的UE安全能力是否与所述UE发送给所述MME的UE安全能力一致;
若一致,则所述UE向所述MME发送NAS安全模式完成消息,所述NAS安全模式完成消息中携带第二验证匹配信息以及所述NAS安全模式完成消息的NAS-MAC。
可选的,所述第二验证匹配信息包括:
所述UE已经向所述MME发送的附着请求消息的哈希值;或者,
所述UE已经向所述MME发送的UE能力信息的哈希值。
可选的,所述第二验证匹配信息包括:所述UE的UE能力信息。
可选的,所述UE向所述MME发送NAS安全模式完成消息之后,还包括:
所述UE接收所述MME发送的下行NAS传输消息,所述下行NAS传输消息中携带UE能力信息请求消息或者请求所述UE重新发送附着请求消息的请求消息;
所述UE向所述MME发送上行信息传输消息,所述上行信息传输消息中携带所述UE能力信息或附着请求消息。
可选的,所述UE向所述MME发送NAS安全模式完成消息之后,还包括:
所述UE接收所述MME发送的UE信息请求消息,所述UE信息请求消息携带UE能力信息请求消息或者请求所述UE重新发送附着请求消息的请求消息;
所述UE向所述MME发送UE信息应答消息,所述UE信息应答消息中携带UE能力信息或附着请求消息。
第二方面,本发明实施例提供了一种移动通信方法,包括:
MME向UE发送NAS安全模式命令消息,所述NAS安全模式命令消息中携带第一验证匹配信息,用于所述UE根据所述第一验证匹配信息,确定所述MME已经接收到的UE能力信息是否与所述UE 发送给所述MME的UE能力信息一致;若一致,则所述UE向所述MME发送NAS安全模式完成消息。
可选的,所述第一验证匹配信息为所述MME已经接收到的附着请求消息的第一哈希值,所述NAS安全模式命令消息还包括所述MME对已经接收到的所述附着请求消息进行哈希计算所采用的哈希算法、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第一非接入层消息认证NAS-MAC。
可选的,所述NAS安全模式命令消息还包括:所述MME已经接收到的UE安全能力。
可选的,所述方法还包括:
在所述UE生成的所述NAS安全模式命令消息的第二NAS-MAC与所述第一NAS-MAC一致、所述 MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致且所述UE生成的附着请求消息的第二哈希值与所述第一哈希值不一致时,所述MME接收所述UE发送的NAS安全模式完成消息,其中所述NAS安全模式完成消息中携带附着请求消息。
可选的,所述第一验证匹配信息为所述MME已经接收到的UE能力信息的第三哈希值,所述 NAS安全模式命令消息还包括所述MME对已经接收到的UE能力信息进行哈希计算所所采用的哈希算法、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第三 NAS-MAC。
可选的,所述NAS安全模式命令消息中还包括:所述MME已经接收到的UE安全能力。
可选的,所述方法还包括:
在所述UE生成的所述NAS安全模式命令消息的第四NAS-MAC与所述第三NAS-MAC一致、所述 MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致且所述UE生成的UE能力信息的第四哈希值与所述第三哈希值不一致时,所述MME接收所述UE发送的NAS安全模式完成消息,所述NAS安全模式完成消息中携带UE能力信息。
可选的,所述第一验证匹配信息为所述MME已经接收到的UE能力信息,所述NAS安全模式命令消息还包括所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第五NAS-MAC。
可选的,所述方法还包括:
在所述UE生成的所述NAS安全模式命令消息的第六NAS-MAC与所述第五NAS-MAC一致、所述 MME回传的所述UE能力信息中所包括的UE安全能力与所述UE发送给所述MME的UE安全能力一致且在所述UE确定所述MME已经接收到的所述UE能力信息中除所述UE安全能力外的其它能力与所述UE发送给所述MME的不一致时,所述MME接收所述UE发送的NAS安全模式完成消息,所述NAS 安全模式完成消息中携带UE能力信息。
可选的,所述所述NAS安全模式命令消息包括:所述MME接收到的UE安全能力、所述MME 所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第七NAS-MAC。
可选的,所述方法还包括:
所述MME接收所述UE发送的NAS安全模式完成消息,所述NAS安全模式完成消息中携带第二验证匹配信息以及所述NAS安全模式完成消息的NAS-MAC;
可选的,所述第二验证匹配信息包括:
所述UE已经向所述MME发送的附着请求消息的哈希值;或者,
所述UE已经向所述MME发送的UE能力信息的哈希值。
可选的,所述第二验证匹配信息包括:所述UE的UE能力信息。
可选的,所述方法还包括:
若所述MME确定所述MME已经接收到的所述UE能力信息与所述UE发送的不一致,则所述MME 向所述UE发送下行NAS传输消息,所述下行NAS传输消息中携带UE能力信息请求消息或者请求所述UE重新发送附着请求消息的请求消息;
所述MME接收所述UE发送的上行信息传输消息,所述上行信息传输消息中携带所述UE能力信息或附着请求消息。
可选的,所述方法还包括:
若所述MME确定所述MME已经接收到的所述UE能力信息与所述UE发送的不一致,则所述MME 向所述UE发送UE信息请求消息,所述UE信息请求消息携带UE能力信息请求消息或者请求所述 UE重新发送附着请求消息的请求消息;
所述MME接收所述UE发送的UE信息应答消息,所述UE信息应答消息中携带UE能力信息或附着请求消息。
第三方面,本发明实施例提供了一种移动通信装置,所述装置部署于UE中,包括:
接收模块,用于接收来自移动管理实体MME的非接入层NAS安全模式命令消息,所述NAS 安全模式命令消息中携带用于对所述MME已经接收到的UE能力信息进行验证的第一验证匹配信息;
验证模块,用于根据所述第一验证匹配信息,确定所述MME已经接收到的UE能力信息是否与所述UE发送给所述MME的UE能力信息一致;
第一发送模块,用于MME已经接收到的UE能力信息与所述UE发送给所述MME的UE能力信息一致时,向所述MME发送NAS安全模式完成消息。
可选的,所述第一验证匹配信息为所述MME向所述UE发送所述NAS安全模式命令消息前已经接收到的附着请求消息的第一哈希值,所述NAS安全模式命令消息还包括所述MME对已经接收到的所述附着请求消息进行哈希计算所采用的哈希算法、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第一非接入层消息认证码NAS-MAC;
所述验证模块,具体用于:
计算所述UE接收到的所述NAS安全模式命令消息的第二NAS-MAC;
确定第二NAS-MAC是否与所述第一NAS-MAC一致;
若一致,根据哈希算法,计算所述UE发送给所述MME的附着请求消息的第二哈希值;
确定所述二哈希值是否与所述第一哈希值一致;
所述第一发送模块,具体用于所述二哈希值与所述第一哈希值一致且所述第二NAS-MAC 与所述第一NAS-MAC一致时,向所述MME发送NAS安全模式完成消息。
可选的,所述NAS安全模式命令消息中还包括:所述MME回传的UE安全能力;
所述验证模块,还用于:
确定所述MME回传的UE安全能力是否与所述UE发送给所述MME的UE安全能力一致;
所述第一发送模块,具体用于:
若所述第二哈希值与所述第一哈希值一致、所述第二NAS-MAC与所述第一NAS-MAC一致且所述MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致,则向所述MME发送NAS 安全模式完成消息。
可选的,所述第一发送模块,还用于:
若所述第二哈希值、所述第二NAS-MAC以及所述MME回传的UE安全能力中的至少一项验证失败,则向所述MME发送NAS安全模式失败消息;
或者,
还用于:若所述第二NAS-MAC与所述第一NAS-MAC一致、所述MME回传的UE安全能力与所述 UE发送给所述MME的UE安全能力一致且所述第二哈希值与所述第一哈希值不一致,则向所述 MME发送NAS安全模式完成消息,该NAS安全模式完成消息中携带附着请求消息。
可选的,所述第一验证匹配信息为所述MME已经接收到的UE能力信息的第三哈希值,所述 NAS安全模式命令消息还包括所述MME对已经接收到的UE能力信息进行哈希计算所所采用的哈希算法、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第三 NAS-MAC;
所述验证模块,具体用于:
计算所述UE接收到的所述NAS安全模式命令消息的第四NAS-MAC;
确定所述第四NAS-MAC是否与所述第三NAS-MAC一致;
若一致,根据哈希算法,计算所述UE发送给所述MME的UE能力信息的第四哈希值;
确定所述二哈希值是否与所述第三哈希值一致;
所述第一发送模块,具体用于若一致,则所述UE向所述MME发送NAS安全模式完成消息。
可选的,所述NAS安全模式命令消息中还包括:所述MME回传的UE安全能力;
所述验证模块,还用于:
确定所述MME回传的UE安全能力是否与所述UE发送给所述MME的UE安全能力一致;
所述第一发送模块,具体用于:
若所述第四哈希值与所述第三哈希值一致、所述第四NAS-MAC与所述第三NAS-MAC一致且所述MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致,则向所述MME发送NAS 安全模式完成消息。
可选的,所述第一发送模块,还用于:
若所述第四哈希值、所述第四NAS-MAC以及所述MME回传的UE安全能力中的至少一项验证失败,则所述UE向所述MME发送NAS安全模式失败消息;
或者,
所述第一发送模块,还用于若所述第四NAS-MAC与所述第三NAS-MAC一致、所述MME回传的 UE安全能力与所述UE发送给所述MME的UE安全能力一致且所述第四哈希值与所述第三哈希值不一致,则所述UE向所述MME发送NAS安全模式完成消息,所述NAS安全模式完成消息中携带UE 能力信息。
可选的,所述第一验证匹配信息为所述MME已经接收到的UE能力信息,所述NAS安全模式命令消息还包括所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第五NAS-MAC;
所述验证模块,具体用于:
计算所述UE接收到的所述NAS安全模式命令消息的第六NAS-MAC;
所述UE确定所述第六NAS-MAC是否与所述第五NAS-MAC一致;
确定所述MME已经接收到的UE能力信息是否与所述UE发送给所述MME的UE能力信息一致;
所述第一发送模块,具体用于若一致,则向所述MME发送NAS安全模式完成消息。
可选的,所述验证模块,具体用于:
确定所述第六NAS-MAC是否与所述第五NAS-MAC一致;
若一致,确定所述MME已经接收到的所述UE能力信息中所包括的UE安全能力是否与所述UE 发送给所述MME的UE安全能力一致;
若一致,则所述UE确定所述MME接收到的所述UE能力信息中除所述UE安全能力外的其它能力是否分别与所述UE发送给所述MME的一致;
所述第一发送模块,具体用于若一致,则向所述MME发送NAS安全模式完成消息。
可选的,所述第一发送模块还用于:
若所述MME已经接收到的所述UE能力信息中除所述UE安全能力外的其它能力与所述UE发送给所述MME的不一致,则向所述MME发送NAS安全模式完成消息,所述NAS安全模式完成消息中携带UE能力信息。
可选的,所述NAS安全模式命令消息包括:所述MME接收到的UE安全能力、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第七NAS-MAC;
所述验证模块,具体用于:
计算所述UE接收到的所述NAS安全模式命令消息的第八NAS-MAC;
确定所述第八NAS-MAC是否与所述第七NAS-MAC一致,若一致,确定所述MME接收到的UE 安全能力是否与所述UE发送给所述MME的UE安全能力一致;
所述第一发送模块,具体用于若一致,则向所述MME发送NAS安全模式完成消息,所述NAS 安全模式完成消息中携带第二验证匹配信息以及所述NAS安全模式完成消息的NAS-MAC。
可选的,所述第二验证匹配信息包括:
所述UE已经向所述MME发送的附着请求消息的哈希值;或者,
所述UE已经向所述MME发送的UE能力信息的哈希值。
可选的,所述第二验证匹配信息包括:所述UE的UE能力信息。
可选的,所述接收模块,还用于所述第一发送模块向所述MME发送NAS安全模式完成消息之后,接收所述MME发送的下行NAS传输消息,所述下行NAS传输消息中携带UE能力信息请求消息或者请求所述UE重新发送附着请求消息的请求消息;
所述第一发送模块,还用于向所述MME发送上行信息传输消息,所述上行信息传输消息中携带所述UE能力信息或附着请求消息。
可选的,所述接收模块还用于:
所述第一发送模块向所述MME发送NAS安全模式完成消息之后,接收所述MME发送的UE信息请求消息,所述UE信息请求消息携带UE能力信息请求消息或者请求所述UE重新发送附着请求消息的请求消息;
所述第一发送模块,还用于向所述MME发送UE信息应答消息,所述UE信息应答消息中携带 UE能力信息或附着请求消息。
第四方面,本发明实施例提供了一种移动通信装置,所述装置部署于MME中,包括:
第二发送模块,用于向UE发送NAS安全模式命令消息,所述NAS安全模式命令消息中携带所述第一验证匹配信息,用于所述UE根据所述第一验证匹配信息,确定所述MME已经接收到的 UE能力信息是否与所述UE发送给所述MME的UE能力信息一致;若一致,则所述UE向所述MME发送NAS安全模式完成消息。
可选的,所述第一验证匹配信息为所述MME已经接收到的附着请求消息的第一哈希值,所述NAS安全模式命令消息还包括所述MME对已经接收到的所述附着请求消息进行哈希计算所采用的哈希算法、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第一非接入层消息认证NAS-MAC。
可选的,所述NAS安全模式命令消息中还包括:所述MME已经接收到的UE安全能力。
可选的,所述装置还包括:第一接收模块,用于:
在所述UE生成的所述NAS安全模式命令的第二NAS-MAC与所述第一NAS-MAC一致、所述MME 回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致且所述UE生成的附着请求消息的第二哈希值与所述第一哈希值不一致时,接收所述UE发送的NAS安全模式完成消息,其中所述NAS安全模式完成消息中携带附着请求消息。
可选的,所述第一验证匹配信息为所述MME已经接收到的UE能力信息的第三哈希值,所述 NAS安全模式命令消息还包括所述MME对已经接收到的UE能力信息进行哈希计算所所采用的哈希算法、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第三 NAS-MAC。
可选的,所述NAS安全模式命令消息中还包括:所述MME已经接收到的UE安全能力。
可选的,所述装置还包括:第二接收模块,用于:
在所述UE生成的所述NAS安全模式命令消息的第四NAS-MAC与所述第三NAS-MAC一致、所述MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致且所述UE生成的UE能力信息的第四哈希值与所述第三哈希值不一致时,接收所述UE发送的NAS安全模式完成消息,所述NAS 安全模式完成消息中携带UE能力信息。
可选的,所述第一验证匹配信息为所述MME已经接收到的UE能力信息,所述NAS安全模式命令消息还包括所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第五NAS-MAC。
可选的,所述装置还包括:第三接收模块,用于:
在所述UE生成的所述NAS安全模式命令消息的第六NAS-MAC与所述第五NAS-MAC一致、所述 MME已经接收到的所述UE能力信息中所包括的UE安全能力与所述UE发送给所述MME的UE安全能力一致且在所述UE确定所述MME已经接收到的所述UE能力信息中除所述UE安全能力外的其它能力与所述UE发送给所述MME的不一致时,接收所述UE发送的NAS安全模式完成消息,所述NAS 安全模式完成消息中携带UE能力信息。
可选的,所述所述NAS安全模式命令消息包括:所述MME接收到的UE安全能力、所述MME 所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第七NAS-MAC。
可选的,所述装置还包括:第四接收模块,用于接收所述UE发送的NAS安全模式完成消息,所述NAS安全模式完成消息中携带第二验证匹配信息以及所述NAS安全模式完成消息的 NAS-MAC;
可选的,所述第二验证匹配信息包括:
所述UE已经向所述MME发送的附着请求消息的哈希值;或者,
所述UE已经向所述MME发送的UE能力信息的哈希值。
可选的,所述第二验证匹配信息包括:所述UE的UE能力信息。
可选的,所述第二发送模块,还用于若所述MME已经接收到的所述UE能力信息与所述UE 发送的不一致,则向所述UE发送下行NAS传输消息,所述下行NAS传输消息中携带UE能力信息请求消息或者请求所述UE重新发送附着请求消息的请求消息;
所述第四接收模块,还用于接收所述UE发送的上行信息传输消息,所述上行信息传输消息中携带所述UE能力信息或附着请求消息。
可选的,所述第二发送模块还用于:若所述MME确定所述MME已经接收到的所述UE能力信息与所述UE发送的不一致,则向所述UE发送UE信息请求消息,所述UE信息请求消息携带UE能力信息请求消息或者请求所述UE重新发送附着请求消息的请求消息;
所述第四接收模块,还用于接收所述UE发送的UE信息应答消息,所述UE信息应答消息中携带UE能力信息或附着请求消息。
第五方面,本发明实施例提供了一种移动通信设备,所述设备部署于UE中,包括:
通信接口、存储器、处理器和通信总线,其中,所述通信接口、所述存储器和所述处理器通过所述通信总线通信;
所述存储器用于存放程序,所述处理器用于执行所述存储器存储的程序;当所述移动通信设备运行时,所述处理器运行程序,所述程序包括:
接收来自移动管理实体MME的非接入层NAS安全模式命令消息,所述NAS安全模式命令消息中携带用于对所述MME已经接收到的UE能力信息进行验证的第一验证匹配信息;
根据所述第一验证匹配信息,确定所述MME已经接收到的UE能力信息是否与所述UE发送给所述MME的UE能力信息一致;
若一致,则向所述MME发送NAS安全模式完成消息。
第六方面,本发明实施例提供了一种移动通信设备,所述设备部署于MME中,包括:
通信接口、存储器、处理器和通信总线,其中,所述通信接口、所述存储器和所述处理器通过所述通信总线通信;
所述存储器用于存放程序,所述处理器用于执行所述存储器存储的程序;当所述移动通信设备运行时,所述处理器运行程序,所述程序包括:
向UE发送NAS安全模式命令消息,所述NAS安全模式命令消息中携带第一验证匹配信息,用于所述UE根据所述第一验证匹配信息,确定所述MME已经接收到的UE能力信息是否与所述UE 发送给所述MME的UE能力信息一致;若一致,则所述UE向所述MME发送NAS安全模式完成消息。
本发明实施例方法,UE根据接收到的第一验证匹配消息验证MME已经接收到的UE能力信息是否与UE发送给MME的UE能力信息一致,可见本发明实施例中通过MME回传验证匹配消息,UE 对MME接收到的UE能力信息进行验证的方式,确保MME拥有正确的UE能力信息,解决附着 (Attach)流程中附着请求(Attach Request)消息没有NAS安全上下文保护,攻击者可能修改UE能力信息,MME无法获取正确的UE能力而造成的DoS攻击问题,其中,DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击。
附图说明
图1示出了本发明实施例一移动通信方法的流程图;
图2示出了本发明实施例二移动通信方法的流程图;
图3示出了本发明实施例三移动通信方法的流程图;
图4示出了本发明实施例四移动通信方法的流程图;
图5示出了本发明实施例五移动通信方法的流程图;
图6示出了本发明实施例六移动通信方法的流程图;
图7示出了本发明实施例七移动通信方法的流程图;
图8示出了本发明实施例八移动通信方法的流程图;
图9示出了本发明实施例九移动通信方法的流程图;
图10示出了本发明实施例十移动通信方法的流程图;
图11示出了本发明实施例十一移动通信方法的流程图;
图12示出了本发明实施例十二移动通信方法的流程图;
图13示出了本发明实施例十五移动通信方法的流程图;
图14示出了本发明实施例十六移动通信方法的流程图;
图15示出了本发明实施例一移动通信装置的结构示意图;
图16示出了本发明实施例二移动通信装置的结构示意图;
图17示出了本发明实施例一移动通信设备的结构示意图;
图18示出了本发明实施例二移动通信设备的结构示意图。
具体实施方式
图1示出了本发明实施例一移动通信方法的流程图。如图1所示,本发明实施例一的主要处理步骤包括:
步骤S11:UE接收来自MME的NAS(Non-Access Stratum,非接入层)安全模式命令(NAS Security Mode Command)消息,其中,NAS安全模式命令消息中携带用于对MME已经接收到的 UE能力信息进行验证的第一验证匹配信息。
UE的附着流程中,UE通过eNB向MME发送附着请求(Attach Request)消息,其中在附着请求消息中携带UE能力(UE Capability)信息。
具体的UE能力信息包括:UE网络能力(UE network capability),UE网络能力即为UE 安全能力、移动台网络能力(MS network capability,其中MS的英文全拼为MobileStation,中文名称为移动台)、移动台等级2(Mobile station classmark 2)、移动台等级3(Mobile station classmark 3)、支持的编解码器(Supported Codecs)、附加更新类型(Additional update type)、语音域优先级和用户使用设置(Voice domain preferenceand UE's usage setting)、移动台网络功能支持(MS network feature support)。
由于UE发送给MME的附着请求消息可能没有完整性保护,由此可能会受到中间人攻击,使得MME接收到的附着请求消息中的UE能力信息,与UE发送给MME的不一致,使得MME无法获取到正确的UE能力信息。
为了确保MME能够得到正确的UE能力信息,MME在NAS安全激活过程中通过NAS安全模式命令消息向UE发送第一验证匹配信息,用于UE根据第一验证匹配信息确定MME已经接收到的UE 能力信息是否与UE发送的一致。
步骤S12:UE根据第一验证匹配信息,确定MME已经接收到的UE能力信息是否与UE发送给 MME的UE能力信息一致。
步骤S13:若一致,则UE向MME发送NAS安全模式完成消息。
本发明实施例方法,UE根据接收到的第一验证匹配消息验证MME已经接收到的UE能力信息是否与UE发送给MME的UE能力信息一致,可见本发明实施例中通过MME回传验证匹配消息,UE 对MME接收到的UE能力信息进行验证的方式,确保MME拥有正确的UE能力信息,解决附着 (Attach)流程中附着请求(Attach Request)消息没有NAS安全上下文保护,攻击者可能修改UE能力信息,MME无法获取正确的UE能力而造成的DoS攻击问题,其中,DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击。
本发明实施例一的上述方法中,第一验证匹配信息可以有多种不同的实现方式,以下将结合具体实施例进行说明。
图2示出了本发明实施例二移动通信方法的流程图,本方法中,MME对接收到的附着请求消息进行哈希计算得到附着请求消息的哈希值,并通过NAS安全模式命令消息将附着请求消息的哈希值发送给UE,以通过UE对附着请求消息哈希值的验证,确定MME接收到的UE能力信息是否与UE发送给MME的一致,如图2所示,本方法的主要处理步骤包括:
步骤S21:UE接收来自MME的NAS安全模式命令消息。
其中,NAS安全模式命令消息中携带的第一验证匹配消息为MME对在附着流程中接收到的附着请求消息进行哈希计算得到附着请求消息的第一哈希值,NAS安全模式命令消息还包括MME对已经接收到的附着请求消息进行哈希计算所采用的哈希算法(可选携带)、MME所采用的完整性算法、密钥标识以及NAS安全模式命令消息的第一NAS-MAC(Non-AccessStratum UEssage Authentication Code,非接入层消息认证码),其中,第一NAS-MAC用于对NAS安全模式命令消息的完整性进行保护。
进一步,NAS安全模式命令消息中还可以包括MME及UE均支持的一种加密算法、可选携带可选携带的[IMEI(International Mobile Equipment Identity,国际移动设备标识) 请求]以及可选携带的用于空闲移动安全上下文映射的[NONCEUE、NONCEMME],其中,NONCEUE为UE选择的随机数,NONCEMME指MME选择的的随机数。
步骤S22:UE计算UE接收到的NAS安全模式命令消息的第二NAS-MAC。
本步骤中,UE采用MME对发送的NAS安全模式命令消息进行完整性保护的方式,对UE接收到的NAS安全模式命令消息进行计算,得到第二NAS-MAC。
若NAS安全模式命令消息在发送过程中未受到中间人攻击,则第一NAS-MAC会与第二 NAS-MAC一致。
步骤S23:UE确定第二NAS-MAC是否与第一NAS-MAC一致,若一致,执行步骤S24,若不一致,执行步骤S27。
步骤S24:UE根据哈希算法,计算UE发送给MME的附着请求消息的第二哈希值。
UE采用哈希算法对UE在附着流程中发送给MME的附着请求消息进行哈希计算,若在附着流程中附着请求消息未受到中间人修改,则UE计算得到的第二哈希值会与NAS安全模式命令消息中的第一哈希值一致。
进一步,本发明实施例中在NAS安全模式命令消息中携带附着请求消息的哈希值,可以缩短附着请求消息长度,提高信息发送速率。
步骤S25:UE确定第二哈希值是否与第一哈希值一致,若一致,执行步骤S26,否则执行步骤S27。
步骤S26:UE向MME发送NAS安全模式完成(NAS Security Mode Complete)消息。
其中,在NAS安全模式完成消息中可选携带[IMEI]以及携带对NAS安全模式完成消息进行安全保护的NAS-MAC。
步骤S27:UE向MME发送NAS安全模式失败(NAS Security Mode Reject)消息。
本实施例中,UE对接收到的NAS安全模式命令消息的完整性以及MME接收到的附着请求消息的哈希值进行验证,当上述第二哈希值与第一哈希值一致且第二NAS-MAC与第一NAS-MAC 一致时,UE确定UE接收到的NAS安全模式命令消息未被修改,MME在UE附着流程接收到的附着请求消息与UE发送给MME的一致,从而确保MME接收到的附着请求消息中的UE能力信息与UE发送的UE能力信息一致。
当附着请求消息的哈希值以及NAS-MAC的完整性校验至少有一个失败时,说明MME接收到的附着请求以及NAS安全模式命令消息至少有一个受到攻击被修改,此时UE向MME发送 NAS Security Mode Reject消息。
本实施例中,UE通过对MME的附着请求消息的哈希值的验证实现对MME接收到的UE能力的验证,确保MME接收到的UE能力信息为正确的UE能力信息。
本实施例中,第一验证匹配消息在传输时可以占用现有规范中MME回传UE安全能力的 IE(Information Element,信息单元),也可以使用一个新的IE进行传输。
图3示出了本发明实施例三移动通信方法的流程图,本方法中,MME将接收到的UE安全能力以及附着请求消息的哈希值通过NAS安全模式命令消息发送给UE,以通过UE对附着请求消息哈希值以及UE安全能力的验证,确定MME接收到的UE能力信息是否与UE发送给MME的一致,如图3所示,本方法的主要处理步骤包括:
步骤S31:UE接收来自MME的NAS安全模式命令消息。
其中,NAS安全模式命令消息携带的第一验证匹配消息为MME对在附着流程中接收到的附着请求消息进行哈希计算得到附着请求消息的第一哈希值,NAS安全模式命令消息还包括 MME在附着流程中接收到的UE安全能力、MME对已经接收到的附着请求消息进行哈希计算所采用的哈希算法(可选携带)、MME及UE均支持的一种完整性算法、秘钥标识以及NAS安全模式命令消息的第一NAS-MAC,第一NAS-MAC用于对NAS安全模式命令消息的完整性进行保护。
进一步,在安全模式命令消息中还可以包括MME及UE均支持的一种加密算法、可选携带的还可以包括[IMEI(International Mobile Equipment Identity,国际移动设备标识)请求]以及可选携带的[NONCEUE、NONCEMME],其中,NONCEUE为UE选择的随机数,NONCEMME为MME 选择的随机数。
步骤S32:UE计算UE接收到的NAS安全模式命令消息的第二NAS-MAC。
本步骤中,UE采用MME对发送的NAS安全模式命令消息进行完整性保护的方式,对UE接收到的NAS安全模式命令消息进行计算,得到第二NAS-MAC。
若NAS安全模式命令消息在发送过程中未受到中间人攻击,则第一NAS-MAC会与第二 NAS-MAC一致。
步骤S33:UE确定第二NAS-MAC是否与第一NAS-MAC一致,若一致,执行步骤S34,若不一致,执行步骤S36。
步骤S34:UE根据哈希算法,计算UE发送给MME的附着请求消息的第二哈希值,确定第二哈希值是否与第一哈希值一致、MME回传的UE安全能力是否与UE发送给MME的UE安全能力一致, (哈希值的计算、哈希值的确认、UE安全能力的确认顺序不进行限定),若均一致,执行步骤 S35,否则执行步骤S36。
UE采用哈希算法对UE在附着流程中发送给MME的附着请求消息进行哈希计算,若在附着流程中附着请求消息未受到中间人修改,则UE计算得到的第二哈希值会与NAS安全模式命令消息中的第一哈希值一致。
进一步,本发明实施例中在NAS安全模式命令消息中携带附着请求消息的哈希值,可以缩短附着请求消息长度,提高信息发送速率。
步骤S35:UE向MME发送NAS安全模式完成消息。
其中,在NAS安全模式完成消息中可选携带[IMEI]以及携带对NAS安全模式完成消息进行安全保护的NAS-MAC。
步骤S36:UE向MME发送NAS安全模式失败消息。
本发明实施例中,UE通过对MME收到的附着请求消息的哈希值以及UE安全能力进行验证实现对MME接收到的UE能力的验证,确保MME接收到的UE能力信息为正确的UE能力信息,
本发明实施例中,第一验证匹配消息只能使用一个新的IE进行传输。
图4示出了本发明实施例四移动通信方法的流程图,本方法中,MME将接收到的UE安全能力以及附着请求消息的哈希值通过NAS安全模式命令消息发送给UE,以通过UE对附着请求消息哈希值以及UE安全能力的验证,确定MME接收到的UE能力信息是否与UE发送给MME 的一致,如图4所示,本方法的主要处理步骤包括:
步骤S41:UE接收来自MME的NAS安全模式命令消息。
其中,NAS安全模式命令消息携带的第一验证匹配消息为MME对在附着流程中接收到的附着请求消息进行哈希计算得到附着请求消息的第一哈希值,NAS安全模式命令消息还包括 MME在附着流程中接收到的UE安全能力、MME对已经接收到的附着请求消息进行哈希计算所采用的哈希算法(可选携带)、MME采用的完整性算法、秘钥标识以及NAS安全模式命令消息的第一NAS-MAC,第一NAS-MAC用于对NAS安全模式命令消息的完整性进行保护。
进一步,在安全模式命令消息中还可以包括MME及UE均支持的一种加密算法、可选携带的[IMEI(International Mobile Equipment Identity,国际移动设备标识)请求]以及可选携带的[NONCEUE、NONCEMME],其中,NONCEUE为UE选择的随机数,NONCEMME指MME选择的随机数。
步骤S42:UE计算UE接收到的NAS安全模式命令消息的第二NAS-MAC。
步骤S43:UE确定第二NAS-MAC是否与第一NAS-MAC一致,若一致,执行步骤S44,若不一致,执行步骤S48。
步骤S44:UE确定MME回传的UE安全能力是否与UE发送给MME的UE安全能力一致,若一致,执行步骤S45,否则执行步骤S48。
步骤S45:UE确定第二哈希值是否与第一哈希值一致,若一致,执行步骤S46,若不一致,执行步骤S47。
本发明实施例中,第二哈希值的计算与上述实施例相同,不再赘述。
步骤S46:UE向MME发送NAS安全模式完成消息。
其中,在NAS安全模式完成消息中可选携带[IMEI]以及携带对NAS安全模式完成消息进行安全保护的NAS-MAC。
步骤S47:UE向MME发送NAS安全模式完成消息,该消息中携带附着请求消息或者UE能力。本步骤发送的NAS安全模式完成消息中除携带附着请求消息外还可选携带[IMEI]以及携带对NAS安全模式完成消息进行安全保护的NAS-MAC。
步骤S48:UE向MME发送NAS安全模式失败消息。
本实施例中,当UE安全能力和NAS-MAC的完整性验证成功后,实际上UE和MME之间已经建立NAS安全上下文了,所以当附着请求消息的哈希值的完整性验证失败时,直接在有完整性保护的NAS Security Mode Complete消息中重新上传Attach Request的内容即可,这也是与实施例三不同之处,实施例三采取的方式是:即使UE security capabilities和NAS-MAC的完整性验证成功UE和MME之间已经建立NAS安全上下文了,如果Attach Request消息的哈希值的完整性验证失败,UE也要发送NAS Security Mode Reject消息。
本发明实施例中,第一验证匹配消息只能使用一个新的IE进行传输。
图5示出了本发明实施例五移动通信方法的流程图,本方法中,MME对接收到的UE能力信息进行哈希计算得到UE能力的哈希值,并通过NAS安全模式命令消息将UE能力信息的哈希值发送给UE,以通过UE对UE能力哈希值的验证,确定MME接收到的UE能力信息是否与UE发送给MME的一致,如图5所示,本方法的主要处理步骤包括:
步骤S51:UE接收来自MME的NAS安全模式命令消息。
其中,NAS安全模式命令消息携带的第一验证匹配消息为MME对在附着流程中接收到的 UE能力信息进行哈希计算得到UE能力信息的第三哈希值,NAS安全模式命令消息还包括MME 对已经接收到的UE能力信息进行哈希计算所采用的哈希算法(可选携带)、MME及UE均支持的一种完整性算法、秘钥标识以及NAS安全模式命令消息的第三NAS-MAC(Non-Access Stratum UEssage Authentication Code,非接入层消息认证码),其中,第三NAS-MAC用于对NAS安全模式命令消息的完整性进行保护。
进一步,在安全模式命令消息中还可以包括MME及UE均支持的一种加密算法、可选携带的[IMEI(International Mobile Equipment Identity,国际移动设备标识)请求]以及可选携带的[NONCEUE、NONCEMME],其中,NONCEUE为UE选择的随机数,NONCEMME指MME选择的随机数。
步骤S52:UE计算UE接收到的NAS安全模式命令消息的第四NAS-MAC。
本步骤中,UE采用MME对发送的NAS安全模式命令消息进行完整性保护的方式,对UE接收到的NAS安全模式命令消息进行计算,得到第四NAS-MAC。
若NAS安全模式命令消息在发送过程中未受到中间人攻击,则第三NAS-MAC会与第四NAS-MAC一致。
步骤S53:UE确定第四NAS-MAC是否与第三NAS-MAC一致,若一致,执行步骤S54,否则,执行步骤S57。
步骤S54:UE根据哈希算法,计算UE发送给MME的UE能力信息的第四哈希值。
UE采用哈希算法对UE在附着流程中发送给MME的UE能力信息进行哈希计算,若在附着流程中UE能力信息中的UE能力信息未受到中间人修改,则UE计算得到的第四哈希值会与NAS安全模式命令消息中的第三哈希值一致。
进一步,本发明实施例中在NAS安全模式命令消息中携带UE能力信息的哈希值,可以缩短 UE能力信息长度,提高信息发送速率。
步骤S55:UE确定第四哈希值是否与第三哈希值一致,若一致,执行步骤S56,否则执行步骤S57。
步骤S56:UE向MME发送NAS安全模式完成(NAS Security Mode Complete)消息。
其中,在NAS安全模式完成消息中可选携带[IMEI]以及携带对NAS安全模式完成消息进行安全保护的NAS-MAC。
步骤S57:UE向MME发送NAS安全模式失败(NAS Security Mode Reject)消息。
本实施例中,UE对接收到的NAS安全模式命令消息的完整性以及MME接收到的UE能力信息的哈希值进行验证,当上述第四哈希值与第三哈希值一致且第四NAS-MAC与第三NAS-MAC 一致时,UE确定UE接收到的NAS安全模式命令消息未被修改,MME在UE附着流程接收到的 UE能力信息与UE发送给MME的一致,从而确保MME接收到的UE能力信息中与UE发送的UE 能力信息一致。
当UE能力信息的哈希值以及NAS-MAC的完整性校验至少有一个失败时,说明MME接收到的UE能力信息以及NAS安全模式命令至少有一个受到攻击被修改,此时UE向MME发送NAS Security Mode Reject消息。
本实施例中,UE通过对MME的UE能力信息的哈希值的验证实现对MME接收到的UE能力信息的验证,确保MME接收到的UE能力信息为正确的UE能力信息,
本实施例中,第一验证匹配消息在传输时可以占用现有规范中MME回传UE安全能力的 IE,也可以使用一个新的IE进行传输。
图6示出了本发明实施例六移动通信方法的流程图,本方法中,MME将接收到的UE安全能力以及UE能力信息的哈希值通过NAS安全模式命令消息发送给UE,以通过UE对UE能力信息哈希值以及UE安全能力的验证,确定MME接收到的UE能力信息是否与UE发送给MME的一致,如图6所示,本方法的主要处理步骤包括:
步骤S61:UE接收来自MME的NAS安全模式命令消息。
其中,NAS安全模式命令消息携带的第一验证匹配消息为MME对在附着流程中接收到的 UE能力信息进行哈希计算得到UE能力信息的第三哈希值,NAS安全模式命令消息还包括MME 在附着流程中接收到的UE安全能力、MME对已经接收到的UE能力信息进行哈希计算所采用的哈希算法(可选携带)、MME及UE均支持的一种完整性算法、秘钥标识以及NAS安全模式命令消息的第三NAS-MAC,第三NAS-MAC用于对NAS安全模式命令消息的完整性进行保护。
进一步,在安全模式命令消息中还可以包括MME及UE均支持的一种加密算法、可选携带的[IMEI(International Mobile Equipment Identity,国际移动设备标识)请求]以及可选携带的[NONCEUE、NONCEMME],其中,NONCEUE为UE选择的随机数,NONCEMME指MME选择的随机数。
步骤S62:UE计算UE接收到的NAS安全模式命令消息的第四NAS-MAC。
本步骤中,UE采用MME对发送的NAS安全模式命令消息进行完整性保护的方式,对UE接收到的NAS安全模式命令消息进行计算,得到第四NAS-MAC。
若NAS安全模式命令消息在发送过程中未受到中间人攻击,则第三NAS-MAC会与第四 NAS-MAC一致。
步骤S63:UE确定第四NAS-MAC是否与第三NAS-MAC一致,若一致,执行步骤S64,否则,执行步骤S66。
步骤S64:UE根据哈希算法,计算UE发送给MME的UE能力信息的第四哈希值,确定第四哈希值是否与第三哈希值一致、MME回传的UE安全能力是否与UE发送给MME的UE安全能力一致(哈希值的计算、哈希值的确认、UE安全能力的确认顺序不规定),若均一致,执行步骤S65,否则执行步骤S66。
步骤S65:UE向MME发送NAS安全模式完成消息。
其中,在NAS安全模式完成消息中可选携带[IMEI]以及携带对NAS安全模式完成消息进行安全保护的NAS-MAC。
步骤S66:UE向MME发送NAS安全模式失败消息。
本发明实施例中,UE通过对MME的UE能力信息的哈希值以及UE安全能力进行验证实现对MME接收到的UE能力的验证,确保MME接收到的UE能力信息为正确的UE能力信息本发明实施例中,第一验证匹配消息只能使用一个新的IE进行传输。
图7示出了本发明实施例七移动通信方法的流程图,本方法中,MME将接收到的UE安全能力以及UE能力信息的哈希值通过NAS安全模式命令消息发送给UE,以通过UE对UE能力信息哈希值以及UE安全能力的验证,确定MME接收到的UE能力信息是否与UE发送给MME的一致,如图7所示,本方法的主要处理步骤包括:
步骤S71:UE接收来自MME的NAS安全模式命令消息。
其中,NAS安全模式命令消息携带的第一验证匹配消息为MME对在附着流程中接收到的UE能力信息进行哈希计算得到UE能力信息的第三哈希值,NAS安全模式命令消息还包括MME 在附着流程中接收到的UE安全能力、MME对已经接收到的UE能力信息进行哈希计算所采用的哈希算法(可选携带)、MME及UE均支持的一种完整性算法、秘钥标识以及NAS安全模式命令消息的第三NAS-MAC,第三NAS-MAC用于对NAS安全模式命令消息的完整性进行保护。
进一步,在安全模式命令消息中还可以包括MME及UE均支持的一种加密算法、可选携带的[IMEI(International Mobile Equipment Identity,国际移动设备标识)请求]以及可选携带的[NONCEUE、NONCEMME]。
步骤S72:UE计算UE接收到的NAS安全模式命令消息的第四NAS-MAC。
步骤S73:UE确定第四NAS-MAC是否与第三NAS-MAC一致,若一致,执行步骤S74,否则,执行步骤S78。
步骤S74:UE确定MME回传的UE安全能力是否与UE发送给MME的UE安全能力一致,若一致,执行步骤S75,否则执行步骤S78。
步骤S75:UE确定第四哈希值是否与第三哈希值一致,若一致,执行步骤S76,若不一致,执行步骤S77。
步骤S76:UE向MME发送NAS安全模式完成消息。
其中,在NAS安全模式完成消息中可选携带[IMEI]以及携带对NAS安全模式完成消息进行安全保护的NAS-MAC。
步骤S77:UE向MME发送NAS安全模式完成消息,该消息中携带UE能力信息。
本步骤发送的NAS安全模式完成消息除携带UE能力信息外还可选携带[IMEI]以及携带对NAS安全模式完成消息进行安全保护的NAS-MAC。
步骤S78:UE向MME发送NAS安全模式失败消息。
本发明实施例中,第一验证匹配消息只能使用一个新的IE进行传输。
图8示出了本发明实施例八移动通信方法的流程图,本方法中,MME通过NAS安全模式命令消息将在附着流程中接收到的UE能力信息发送给UE,以通过UE实现对UE能力信息的验证,如图8所示,本方法的主要处理步骤包括:
步骤S81:UE接收来自MME的NAS安全模式命令消息。
其中,NAS安全模式命令消息携带的第一验证匹配消息为MME在附着流程中已经接收到的 UE能力信息,NAS安全模式命令消息还包括MME及UE均支持的一种完整性算法、秘钥标识以及 NAS安全模式命令消息的第五NAS-MAC。
进一步,在安全模式命令消息中还可以包括MME及UE均支持的一种加密算法、可选携带的[IMEI(International Mobile Equipment Identity,国际移动设备标识)请求]以及可选携带的[NONCEUE、NONCEMME],其中,NONCEUE为UE选择的随机数,NONCEMME指MME选择的随机数。
步骤S82:UE计算UE接收到的NAS安全模式命令消息的第六NAS-MAC。
步骤S83:UE确定第六NAS-MAC是否与第五NAS-MAC一致,若一致,执行步骤S84,否则,执行步骤S86。
步骤S84:UE确定MME已经接收到的UE能力信息是否与UE发送给MME的UE能力信息一致。
步骤S85:若一致,则UE向MME发送NAS安全模式完成消息。
其中,在NAS安全模式完成消息中可选携带[IMEI]以及携带对NAS安全模式完成消息进行安全保护的NAS-MAC。
步骤S86:若不一致UE向MME发送NAS安全模式失败(NAS Security Mode Reject)消息。
本实施例中,第一验证匹配消息在传输时可以占用现有规范中MME回传UE安全能力的 IE,也可以使用一个新的IE进行传输,或者第一验证匹配消息中的除了UE安全能力之外的 UE能力使用一个新的IE进行传输。
图9示出了本发明实施例九移动通信方法的流程图,本方法中,MME通过NAS安全模式命令消息将在附着流程中接收到的UE能力信息发送给UE,以通过UE实现UE能力信息的验证,如图9所示,本方法的主要处理步骤包括:
步骤S91:UE接收来自MME的NAS安全模式命令消息。
其中,NAS安全模式命令消息携带的第一验证匹配消息为MME在附着流程中已经接收到的 UE能力信息,NAS安全模式命令消息还包括MME及UE均支持的一种完整性算法、秘钥标识以及 NAS安全模式命令消息的第五NAS-MAC。
进一步,在安全模式命令消息中还可以包括MME及UE均支持的一种加密算法、可选携带的[IMEI(International Mobile Equipment Identity,国际移动设备标识)请求]以及可选携带的[NONCEUE、NONCEMME],其中,NONCEUE为UE选择的随机数,NONCEMME指MME选择的随机数。
步骤S92:UE计算UE接收到的NAS安全模式命令消息的第六NAS-MAC。
步骤S93:UE确定第六NAS-MAC是否与第五NAS-MAC一致,若一致,执行步骤S94,否则执行步骤S98。
步骤S94:UE确定MME回传的UE能力信息中所包括的UE安全能力是否与UE发送给MME的UE 安全能力一致,若一致,执行步骤S95,否则执行步骤S98。
步骤S95:UE确定MME回传的UE能力信息中除UE安全能力外的其它能力是否分别与UE发送给MME的一致,若一致执行步骤S96,否则执行步骤S97。
步骤S96:UE向MME发送NAS安全模式完成消息。
其中,在NAS安全模式完成消息中可选携带[IMEI]以及携带对NAS安全模式完成消息进行安全保护的NAS-MAC。
步骤S97:UE向MME发送NAS安全模式完成消息,NAS安全模式完成消息中携带UE能力。
本步骤发送的NAS安全模式完成消息除携带UE能力信息外还可选携带[IMEI]以及携带对 NAS安全模式完成消息进行安全保护的NAS-MAC
步骤S98:UE向MME发送NAS安全模式失败(NAS Security Mode Reject)消息。
本实施例中,第一验证匹配消息在传输时可以占用现有规范中MME回传UE安全能力的 IE,也可以使用一个新的IE进行传输,或者第一验证匹配消息中的除了UE安全能力之外的 UE能力使用一个新的IE进行传输。
图10示出了本发明实施例十移动通信方法的流程图,本方法中,UE在NAS安全模式完成消息中将第二验证匹配消息发送给MME,如图10所示,本发明实施例十方法的主要处理步骤包括:
步骤S101:MME接收来自UE的NAS(Non-Access Stratum,非接入层)安全模式完成(NAS Security Mode Complete)消息,其中,NAS安全模式完成消息中携带用于对MME已经接收到的UE能力信息进行验证的第二验证匹配信息。
步骤S102:MME根据第二验证匹配信息,确定MME已经接收到的UE能力信息是否与UE发送给MME的UE能力信息一致。
本发明实施例十的上述方法中,第二验证匹配信息可以有多种不同的实现方式,以下将结合具体实施例进行说明。
图11示出了本发明实施例十一移动通信方法的流程图,本方法中,MME通过NAS安全模式命令消息将在附着流程中接收到的UE安全能力信息发送给UE,如图11所示,本发明实施例十一方法的主要处理步骤包括:
步骤S111:UE接收来自MME的NAS安全模式命令消息。
其中,NAS安全模式命令消息中携带MME在附着流程中已经接收到的UE安全能力、MME所采用的完整性算法及可选携带的Hash算法、秘钥标识以及NAS安全模式命令消息的第七NAS-MAC。
进一步,在NAS安全模式命令消息中还可以包括MME及UE均支持的一种加密算法、可选携带的[IMEI请求]以及可选携带的[NONCEUE、NONCEMME],其中,NONCEUE为UE选择的随机数, NONCEMME指MME选择的随机数。
步骤S112:UE计算UE接收到的NAS安全模式命令消息的第八NAS-MAC;
步骤S113:UE确定第八NAS-MAC是否与第七NAS-MAC一致,若一致,执行步骤S114,否则,执行步骤S116。
步骤S114:UE确定MME回传的UE安全能力是否与UE发送给MME的UE安全能力一致;
步骤S115:若一致,则UE向MME发送NAS安全模式完成消息,NAS安全模式完成消息中携带用于MME对已接收到的UE能力信息进行验证的第二验证匹配信息以及NAS安全模式完成消息的 NAS-MAC。
本发明实施例中,当UE安全能力及NAS安全模式命令消息的完整性验证成功时,向MME发送第二验证匹配消息,MME可以利用接收到的第二验证匹配信息对在附着流程中接收到的UE 能力信息进行验证,确保MME获取正确的UE能力信息。
其中,UE向MME发送的第二验证匹配消息还可以为UE在附着流程中已经向MME发送的附着请求消息的哈希值;或者,UE在附着流程中已经向MME发送的UE能力信息的哈希值,除此之外, NAS安全模式完成消息中可选携带UE所采用的哈希算法(可选携带)、[IMEI]以及携带对NAS 安全模式完成消息进行安全保护的NAS-MAC。
MME接收到UE发送的附着请求消息的哈希值或者UE能力信息的哈希值后,利用哈希算法对在附着流程中接收到的附着请求消息或UE能力信息进行哈希计算,并利用计算的结果确定MME 在附着流程中接收到的附着请求消息或UE能力是否与UE发送的一致。
若不一致,则MME在NAS安全激活后,请求UE重新发送UE能力信息或附着请求内容,具体实现方式包括:
方式一:
(1)MME向eNB发送下行NAS传输(Downlink NAS Transport)消息,下行NAS传输消息中包含UE能力请求(UE Capability Request)消息或附着请求内容的请求(AttachRequest Contents Request)消息;
(2)eNB向UE发送下行信息传输(Downlink Information Transfer)消息,下行信息传输消息中包含UE能力请求(UE Capability Request)消息或附着请求消息的内容请求(Attach Request Contents Request)消息;
(3)UE向eNB发送上行信息传输(Uplink Information Transfer)消息,包含UE能力(UE capabilities)或附着请求消息的内容(Attach request contents);
(4)eNB向MME发送上行NAS传输(Uplink NAS Transport)消息,包含UE能力(UEcapabilities)或附着请求内容(Attach request contents);
方式二:
(1)MME向eNB发送UE信息请求(UE InformationRequest)消息,UE信息请求中包含UE能力请求(UE Capability Request)消息或附着请求内容的请求(Attach RequestContents Request)消息;
(2)eNB向UE发送UE信息请求(UE InformationRequest)消息;
(3)UE向eNB发送UE信息响应(UE InformationResponse)消息,UE信息响应消息中携带UE能力(UE capabilities)或附着请求消息携带的内容(Attach request contents);
(4)eNB向MME发送UE信息响应(UE InformationResponse)消息,其中UE信息响应消息中携带UE能力(UE capabilities)或附着请求消息的内容(Attach requestcontents)。
步骤S116:若不一致,UE向MME发送NAS安全模式失败(NAS Security ModeReject) 消息。
图12示出了本发明实施例十二移动通信方法的流程图,本方法中,MME通过NAS安全模式命令消息将在附着流程中接收到的UE安全能力信息发送给UE,如图12所示,本发明实施例十二的主要处理步骤包括:
步骤S121:UE接收来自MME的NAS安全模式命令消息。
其中,NAS安全模式命令消息中携带MME在附着流程中已经接收到的UE安全能力、MME 及UE均支持的一种完整性算法、可选携带的Hash算法、秘钥标识以及NAS安全模式命令消息的第七NAS-MAC。
进一步,在NAS安全模式命令消息中还可以包括MME及UE均支持的一种加密算法、可选携带的[IMEI请求]以及可选携带的[NONCEUE、NONCEMME]。
步骤S122:UE计算UE接收到的NAS安全模式命令消息的第八NAS-MAC;
步骤S123:UE确定第八NAS-MAC是否与第七NAS-MAC一致,若一致则执行步骤S124,否则,执行步骤S126。
步骤S124:UE确定MME回传的UE安全能力是否与UE发送给MME的UE安全能力一致;
步骤S125:若一致,则UE向MME发送NAS安全模式完成消息,NAS安全模式完成消息中携带UE能力信息以及NAS安全模式完成消息的NAS-MAC。
本发明实施例中,当UE安全能力及NAS安全模式命令消息的完整性验证成功时,向MME 发送UE能力信息。
进一步在NAS安全模式完成消息中可选携带[IMEI]以及携带对NAS安全模式完成消息进行安全保护的NAS-MAC,从而可以保证NAS安全模式完成消息中的UE能力信息不被修改,保证MME获取正确的UE能力信息。
步骤S126:若不一致,UE向MME发送NAS安全模式失败(NAS Security ModeReject) 消息。
本实施例中,UE能力信息可以放在第二验证匹配信息IE中传输,但MME直接保存该UE 能力信息,不会再次进行验证该UE能力信息是否与已经收到的附着请求中的UE能力信息相同。
本发明还提供了移动通信方法的实施例十三,该实施例方法的主要处理步骤包括:MME 向UE发送NAS安全模式命令消息,NAS安全模式命令消息中携带第一验证匹配信息,用于UE 根据第一验证匹配信息,确定MME已经接收到的UE能力信息是否与UE发送给MME的UE能力信息一致;若一致,则UE向MME发送NAS安全模式完成消息。
基于上述实施例十三,在其中一种实施方式中,第一验证匹配信息为MME已经接收到的附着请求消息的第一哈希值,NAS安全模式命令消息还包括MME对已经接收到的附着请求消息进行哈希计算所采用的哈希算法(可选携带)、MME所采用的完整性算法、秘钥标识以及NAS 安全模式命令消息的第一非接入层消息认证NAS-MAC。
基于上述实施例十三,在其中一种实施方式中,该方法还包括:
在UE生成的NAS安全模式命令消息的第二NAS-MAC与第一NAS-MAC一致、MME回传的UE 安全能力与UE发送给MME的UE安全能力一致且UE生成的附着请求消息的第二哈希值与第一哈希值不一致时,MME接收UE发送的NAS安全模式完成消息,其中NAS安全模式完成消息中携带附着请求消息或UE能力。
基于上述实施例十三,在其中一种实施方式中,第一验证匹配信息为MME已经接收到的 UE能力信息的第三哈希值,NAS安全模式命令消息还包括MME对已经接收到的UE能力信息进行哈希计算所所采用的哈希算法(可选携带)、MME所采用的完整性算法、秘钥标识以及NAS 安全模式命令消息的第三NAS-MAC。
基于上述实施例十三,在其中一种实施方式中,该方法还包括:
在UE生成的第四NAS-MAC与第三NAS-MAC一致、MME回传的UE安全能力与UE发送给MME 的UE安全能力一致且UE生成的UE能力信息的第四哈希值与第三哈希值不一致时,MME接收 UE发送的NAS安全模式完成消息,NAS安全模式完成消息中携带UE能力信息。
基于上述实施例十三,在其中一种实施方式中,第一验证匹配信息为MME已经接收到的 UE能力信息,NAS安全模式命令消息还包括MME所采用的完整性算法、秘钥标识以及NAS安全模式命令消息的第五NAS-MAC。
基于上述实施例十三,在其中一种实施方式中,该方法还包括:
在UE生成的第六NAS-MAC与第五NAS-MAC一致、MME已经接收到的UE能力信息中的UE 安全能力与UE发送给MME的UE安全能力一致且MME已经接收到的UE能力信息中除UE安全能力外的其它能力与UE发送给MME的不一致时,UE向MME发送NAS安全模式完成消息,NAS 安全模式完成消息中携带UE能力信息。
本发明进一步提供了移动通信方法的实施例十四,该实施例的主要处理步骤包括:
(1)MME接收来自UE的NAS(Non-Access Stratum,非接入层)安全模式完成(NASSecurity Mode Complete)消息,其中,NAS安全模式完成消息中携带用于对MME已经接收到的UE能力信息进行验证的第二验证匹配信息。
(2)MME根据第二验证匹配信息,确定MME已经接收到的UE能力信息是否与UE发送给 MME的UE能力信息一致。
基于上述实施例十四,在其中一种实施方式中,第二验证匹配信息包括:
UE已经向MME发送的附着请求消息的哈希值;或者,
UE已经向MME发送的UE能力信息的哈希值。
基于上述实施例十四,在其中一种实施方式中,第二验证匹配信息包括:UE已经向MME 发送的UE能力信息。
基于上述实施例十四,在其中一种实施方式中,该方法还包括:
若MME在附着流程中接收到的附着请求消息或UE能力与UE发送的不一致,则MME向UE 发送下行NAS传输消息,下行NAS传输消息中携带UE能力信息请求消息或附着请求内容请求消息;
MME接收UE发送的上行信息传输消息,上行信息传输消息中携带UE能力信息或附着请求内容。
基于上述实施例十四,在其中一种实施方式中,该方法还包括:
若MME在附着流程中接收到的附着请求消息或UE能力与UE发送的不一致,则MME向UE 发送UE信息请求消息,UE信息请求消息中携带UE能力信息请求消息或附着请求内容请求消息;
MME接收UE发送的UE信息应答消息,UE信息应答消息包携带UE能力信息或附着请求内容。
图13示出了本发明实施例十五移动通信方法的流程图,该方法中,按照现有方法执行 NAS安全激活过程(对应图13中的步骤7),NAS安全激活后,MME通过下行NAS传输(Downlink NAS Transport)消息请求UE重新上传UE能力(UE capabilities)或者附着请求内容(Attach request contents),UE通过上行NAS传输(Uplink NAS Transport)消息上传UE能力(UE capabilities)或者附着请求内容(Attach request contents),从而使MME获取正确的UE 能力。
如图13所示,本实施例的执行过程包括:
1、处在RRC_IDLE(Radio Resource Control IDLE,无线资源控制空闲)状态的UE进行Attach过程,首先发起随机接入过程,即发送第一随机接入消息MSG1;
2、eNB检测到MSG1消息后,向UE发送随机接入响应消息,即MSG2消息;
3、UE收到随机接入响应后,根据MSG2的TA(Timing Advance,时间提前量)调整上行发送时机,向eNB发送RRC连接请求(RRC Connection Request)消息;
4、eNB向UE发送RRC连接更新(RRC Connection Setup)消息,包含建立SRB1(signalling radio bearer1,第一信令无线承载)和无线资源配置信息;
5、UE完成SRB1承载和无线资源配置后,向eNB发送RRC连接更新完成(RRCConnection Setup Complete)消息,其中,在RRC更新完成消息中包含NAS层的附着请求(Attach request) 消息;
6、eNB选择MME,向MME发送初始UE消息(Initial UE Message),初始UE消息中包含NAS层的附着请求(Attach Request)消息;
7、UE和MME进行AKA以及NAS安全激活过程;
8、MME向eNB发送下行NAS传输(Downlink NAS Transport)消息,下行NAS传输消息中包含UE能力请求(UE Capability Request)消息或附着消息内容的请求(AttachRequest Contents Request)消息;
9、eNB向UE发送下行信息传输(Downlink Information Transfer)消息,下行信息传输消息中包含UE能力请求(UE Capability Request)消息或附着请求消息的内容请求(Attach Request Contents Request)消息;
10、UE向eNB发送上行信息传输(Uplink Information Transfer)消息,包含UE能力 (UE capabilities)或附着请求消息的内容(Attach request contents);
11、eNB向MME发送上行NAS传输(Uplink NAS Transport)消息,包含UE能力(UEcapabilities)或附着请求内容(Attach request contents);
12、MME向eNB发送初始上下文建立请求(Initial Context Setup Request)消息,请求建立默认承载,其中,初始上下文建立请求消息中包含NAS层附着请求(AttachAccept)、 Activate Default EPS Bearer Context Request(激活默认的演进分组核心网承载上下文请求)消息,其中EPS全拼为Evolved Packet Core,中文名称为演进的分组核心网;
13、eNB接收到初始上下文建立请求消息后,如果初始上下文建立请求消息不包含UE能力信息,则eNB向UE发送UE能力查询(UE Capability Enquiry)消息,查询UE能力;
14、UE向eNB发送UE能力信息(UE Capability Information)消息,报告UE能力信息;
15、eNB向MME发送UE能力信息显示(UE Capability Information Indication)消息,更新MME的UE能力信息;
16、eNB根据初始上下文设置请求(Initial Context Setup Request)消息中UE支持的安全信息,向UE发送安全模式命令(Security Mode Command)消息,进行安全激活;
17、UE向eNB发送安全模式完成(Security Mode Complete)消息,表示安全激活完成;
18、eNB根据初始上下文设置请求(Initial Context Setup Request)消息中的ERAB (Evolved Radio Access Bearer,演进的无线接入承载)建立信息,向UE发送RRC连接的重配置(RRC Connection Reconfiguration)消息进行UE资源重配,包括重配SRB1和无线资源配置,建立SRB2、DRB(Data Radio Bearer,数据无线承载)(包括默认承载)等;
19、UE向eNB发送RRC连接重配置完成(RRC Connection ReconfigurationComplete) 消息,表示资源配置完成;
20、eNB向MME发送初始上下文设置响应(Initial Context Setup Response)消息,表明UE上下文建立完成;
21、UE向eNB发送上行信息传输(Uplink Information Transfer)消息,包含NAS层附着完成(Attach Complete)、激活默认的演进分组核心网承载上下文接受(ActivateDefault EPS Bearer Context Accept)消息;
22、eNB向MME发送上行NAS传输(Uplink NAS Transport)消息,包含NAS层附着完成(Attach Complete)、激活默认的演进分组核心网承载上下文接受(Activate DefaultEPS Bearer Context Accept)消息。
本发明实施例中的上述步骤7对应NAS安全激活过程,本发明实施例的改进步骤8~11在 NAS安全激活过程之后执行。
图14示出了本发明实施例十六移动通信方法的流程图,该方法中,按照现有方法执行 NAS安全激活过程(对应图14中的步骤7),在attach流程中,NAS安全激活后,MME通过新定义的UE信息请求(UE Information Request)消息请求UE重新上传UE能力(UEcapabilities)信息或附着请求中的内容(Attach request contents),UE通过UE信息响应(UE Information Response)消息上传UE能力(UE capabilities)或附着请求内容(Attachrequest contents),从而使MME获取正确的UE能力。
如图14所示,本实施例的执行过程包括:
1、处在RRC_IDLE(Radio Resource Control IDLE,无线资源控制空闲)状态的UE进行Attach过程,首先发起随机接入过程,即发送第一随机接入消息MSG1;
2、eNB检测到MSG1消息后,向UE发送随机接入响应消息,即MSG2消息;
3、UE收到随机接入响应后,根据MSG2的TA(Timing Advance,时间提前量)调整上行发送时机,向eNB发送RRC连接请求(RRC Connection Request)消息;
4、eNB向UE发送RRC连接更新(RRC Connection Setup)消息,包含建立SRB1(signalling radio bearer1,第一信令无线承载)和无线资源配置信息;
5、UE完成SRB1承载和无线资源配置后,向eNB发送RRC连接更新完成(RRCConnection Setup Complete)消息,其中,在RRC更新完成消息中包含NAS层的附着请求(Attach request) 消息;
6、eNB选择MME,向MME发送初始UE消息(Initial UE Message),初始UE消息中包含NAS层的附着请求(Attach Request)消息;
7、UE和MME进行AKA以及NAS安全激活过程;
8、MME向eNB发送UE信息请求(UE InformationRequest)消息;
9、eNB向UE发送UE信息请求(UE InformationRequest)消息;
10、UE向eNB发送UE信息响应(UE InformationResponse)消息,UE信息响应消息中携带UE能力(UE capabilities)或附着请求消息携带的内容(Attach request contents);
11、eNB向MME发送UE信息响应(UE InformationResponse)消息,其中UE信息响应消息中携带UE能力(UE capabilities)或附着请求消息携带的内容(Attach requestcontents);
12、MME向eNB发送初始上下文建立请求(Initial Context Setup Request)消息,请求建立默认承载,其中,初始上下文建立请求消息中包含NAS层附着请求(AttachAccept)、 Activate Default EPS Bearer Context Request(激活默认的演进分组核心网承载上下文请求)消息,其中EPS全拼为Evolved Packet Core,中文名称为演进的分组核心网;
13、eNB接收到初始上下文建立请求消息后,如果初始上下文建立请求消息不包含UE能力信息,则eNB向UE发送UE能力查询(UE Capability Enquiry)消息,查询UE能力;
14、UE向eNB发送UE能力信息(UE Capability Information)消息,报告UE能力信息;
15、eNB向MME发送UE能力信息显示(UE Capability Information Indication)消息,更新MME的UE能力信息;
16、eNB根据初始上下文设置请求(Initial Context Setup Request)消息中UE支持的安全信息,向UE发送安全模式命令(Security Mode Command)消息,进行安全激活;
17、UE向eNB发送安全模式完成(Security Mode Complete)消息,表示安全激活完成;
18、eNB根据初始上下文设置请求(Initial Context Setup Request)消息中的ERAB (Evolved Radio Access Bearer,演进的无线接入承载)建立信息,向UE发送RRC连接的重配(RRC Connection Reconfiguration)消息进行UE资源重配,包括重配SRB1和无线资源配置,建立SRB2、DRB(Data Radio Bearer,数据无线承载)(包括默认承载)等;
19、UE向eNB发送RRC连接重配置完成(RRC Connection ReconfigurationComplete) 消息,表示资源配置完成;
20、eNB向MME发送初始上下文设置响应(Initial Context Setup Response)消息,表明UE上下文建立完成;
21、UE向eNB发送上行信息传输(Uplink Information Transfer)消息,包含NAS层附着完成(Attach Complete)、激活默认的演进分组核心网承载上下文接受(ActivateDefault EPS Bearer Context Accept)消息;
22、eNB向MME发送上行NAS传输(Uplink NAS Transport)消息,包含NAS层附着完成(Attach Complete)、激活默认的演进分组核心网承载上下文接受(Activate DefaultEPS Bearer Context Accept)消息。
本发明实施例中的上述步骤7对应NAS激活过程,本发明实施例的改进步骤8~11在NAS 激活过程之后执行。
图15示出了本发明实施例一移动通信装置的结构示意图,该装置部署于UE中,包括:接收模块1201、验证模块1202以及第一发送模块1203,其中:
接收模块1201,用于接收来自移动管理实体MME的非接入层NAS安全模式命令消息,NAS 安全模式命令消息中携带用于对MME已经接收到的UE能力信息进行验证的第一验证匹配信息;
验证模块1202,用于根据第一验证匹配信息,确定MME已经接收到的UE能力信息是否与UE 发送给MME的UE能力信息一致;
第一发送模块1203,用于MME已经接收到的UE能力信息与UE发送给MME的UE能力信息一致时,向MME发送NAS安全模式完成消息。
在上述实施例中,第一验证匹配信息为MME向UE发送NAS安全模式命令消息前已经接收到的附着请求消息的第一哈希值,NAS安全模式命令消息还包括MME对已经接收到的附着请求消息进行哈希计算所采用的哈希算法、MME所采用的完整性算法、秘钥标识以及NAS安全模式命令消息的第一非接入层消息认证码NAS-MAC;
验证模块1202,具体用于:
计算UE接收到的NAS安全模式命令消息的第二NAS-MAC;
确定第二NAS-MAC是否与第一NAS-MAC一致;
若一致,根据哈希算法,计算UE发送给MME的附着请求消息的第二哈希值;
确定二哈希值是否与第一哈希值一致;
第一发送模块1203,具体用于二哈希值与第一哈希值一致且第二NAS-MAC与第一NAS-MAC 一致时,向MME发送NAS安全模式完成消息。
在上述实施例中,NAS安全模式命令消息中还包括:MME回传的UE安全能力;
验证模块1202,还用于:
确定MME回传的UE安全能力是否与UE发送给MME的UE安全能力一致;
第一发送模块1203,具体用于:
若第二哈希值与第一哈希值一致、第二NAS-MAC与第一NAS-MAC一致且MME回传的UE安全能力与UE发送给MME的UE安全能力一致,则向MME发送NAS安全模式完成消息。
在上述实施例中,第一发送模块1203,还用于:
若第二哈希值、第二NAS-MAC以及MME回传的UE安全能力中的至少一项验证失败,则向MME 发送NAS安全模式失败消息;
或者,
还用于:若第二NAS-MAC与第一NAS-MAC一致、MME回传的UE安全能力与UE发送给MME的UE 安全能力一致且第二哈希值与第一哈希值不一致,则向MME发送NAS安全模式完成消息,该NAS 安全模式完成消息中携带附着请求消息。
在上述实施例中,第一验证匹配信息为MME已经接收到的UE能力信息的第三哈希值,NAS 安全模式命令消息还包括MME对已经接收到的UE能力信息进行哈希计算所所采用的哈希算法、 MME所采用的完整性算法、秘钥标识以及NAS安全模式命令消息的第三NAS-MAC;
验证模块1202,具体用于:
计算UE接收到的NAS安全模式命令消息的第四NAS-MAC;
确定第四NAS-MAC是否与第三NAS-MAC一致;
若一致,根据哈希算法,计算UE发送给MME的UE能力信息的第四哈希值;
确定二哈希值是否与第三哈希值一致;
第一发送模块1203,具体用于若一致,则UE向MME发送NAS安全模式完成消息。
在上述实施例中,NAS安全模式命令消息中还包括:MME回传的UE安全能力;
验证模块1202,还用于:
确定MME回传的UE安全能力是否与UE发送给MME的UE安全能力一致;
第一发送模块1203,具体用于:
若第四哈希值与第三哈希值一致、第四NAS-MAC与第三NAS-MAC一致且MME回传的UE安全能力与UE发送给MME的UE安全能力一致,则向MME发送NAS安全模式完成消息。
在上述实施例中,第一发送模块1203,还用于:
若第四哈希值、第四NAS-MAC以及MME回传的UE安全能力中的至少一项验证失败,则UE向 MME发送NAS安全模式失败消息;
或者,
第一发送模块1203,还用于若第四NAS-MAC与第三NAS-MAC一致、MME回传的UE安全能力与 UE发送给MME的UE安全能力一致且第四哈希值与第三哈希值不一致,则UE向MME发送NAS安全模式完成消息,NAS安全模式完成消息中携带UE能力信息。
在上述实施例中,第一验证匹配信息为MME已经接收到的UE能力信息,NAS安全模式命令消息还包括MME所采用的完整性算法、秘钥标识以及NAS安全模式命令消息的第五NAS-MAC;
验证模块1202,具体用于:
计算UE接收到的NAS安全模式命令消息的第六NAS-MAC;
UE确定第六NAS-MAC是否与第五NAS-MAC一致;
确定MME已经接收到的UE能力信息是否与UE发送给MME的UE能力信息一致;
第一发送模块1203,具体用于若一致,则向MME发送NAS安全模式完成消息。
在上述实施例中,验证模块1202,具体用于:
确定第六NAS-MAC是否与第五NAS-MAC一致;
若一致,确定MME已经接收到的UE能力信息中所包括的UE安全能力是否与UE发送给MME的 UE安全能力一致;
若一致,则UE确定MME接收到的UE能力信息中除UE安全能力外的其它能力是否分别与UE 发送给MME的一致;
第一发送模块1203,具体用于若一致,则向MME发送NAS安全模式完成消息。
在上述实施例中,第一发送模块1203还用于:
若MME已经接收到的UE能力信息中除UE安全能力外的其它能力与UE发送给MME的不一致,则向MME发送NAS安全模式完成消息,NAS安全模式完成消息中携带UE能力信息。
在上述实施例中,NAS安全模式命令消息包括:MME接收到的UE安全能力、MME所采用的完整性算法、秘钥标识以及NAS安全模式命令消息的第七NAS-MAC;
验证模块1202,具体用于:
计算UE接收到的NAS安全模式命令消息的第八NAS-MAC;
确定第八NAS-MAC是否与第七NAS-MAC一致,若一致,确定MME接收到的UE安全能力是否与 UE发送给MME的UE安全能力一致;
第一发送模块1203,具体用于若一致,则向MME发送NAS安全模式完成消息,NAS安全模式完成消息中携带第二验证匹配信息以及NAS安全模式完成消息的NAS-MAC。
在上述实施例中,第二验证匹配信息包括:
UE已经向MME发送的附着请求消息的哈希值;或者,
UE已经向MME发送的UE能力信息的哈希值。
在上述实施例中,第二验证匹配信息包括:UE的UE能力信息。
在上述实施例中,接收模块1201,还用于第一发送模块1203向MME发送NAS安全模式完成消息之后,接收MME发送的下行NAS传输消息,下行NAS传输消息中携带UE能力信息请求消息或者请求UE重新发送附着请求消息的请求消息;
第一发送模块1203,还用于向MME发送上行信息传输消息,上行信息传输消息中携带UE 能力信息或附着请求消息。
在上述实施例中,接收模块1201还用于:
第一发送模块1203向MME发送NAS安全模式完成消息之后,接收MME发送的UE信息请求消息, UE信息请求消息携带UE能力信息请求消息或者请求UE重新发送附着请求消息的请求消息;
第一发送模块1203,还用于向MME发送UE信息应答消息,UE信息应答消息中携带UE能力信息或附着请求消息。
图16示出了本发明实施例二移动通信装置的结构示意图,该装置部署于MME中,包括:
第二发送模块1301,用于向UE发送NAS安全模式命令消息,NAS安全模式命令消息中携带第一验证匹配信息,用于UE根据第一验证匹配信息,确定MME已经接收到的UE能力信息是否与 UE发送给MME的UE能力信息一致;若一致,则UE向MME发送NAS安全模式完成消息。
在上述实施例中,第一验证匹配信息为MME已经接收到的附着请求消息的第一哈希值,NAS 安全模式命令消息还包括MME对已经接收到的附着请求消息进行哈希计算所采用的哈希算法、 MME所采用的完整性算法、秘钥标识以及NAS安全模式命令消息的第一非接入层消息认证 NAS-MAC。
在上述实施例中,NAS安全模式命令消息中还包括:MME已经接收到的UE安全能力。
如图16所示,该装置还包括:第一接收模块1302,用于:
在UE生成的NAS安全模式命令的第二NAS-MAC与第一NAS-MAC一致、MME回传的UE安全能力与UE发送给MME的UE安全能力一致且UE生成的附着请求消息的第二哈希值与第一哈希值不一致时,接收UE发送的NAS安全模式完成消息,其中NAS安全模式完成消息中携带附着请求消息。
在上述实施例中,第一验证匹配信息为MME已经接收到的UE能力信息的第三哈希值,NAS 安全模式命令消息还包括MME对已经接收到的UE能力信息进行哈希计算所所采用的哈希算法、 MME所采用的完整性算法、秘钥标识以及NAS安全模式命令消息的第三NAS-MAC。
在上述实施例中,NAS安全模式命令消息中还包括:MME已经接收到的UE安全能力。
如图16所示,该装置还包括:第二接收模块1303,用于:
在UE生成的NAS安全模式命令消息的第四NAS-MAC与第三NAS-MAC一致、MME回传的UE安全能力与UE发送给MME的UE安全能力一致且UE生成的UE能力信息的第四哈希值与第三哈希值不一致时,接收UE发送的NAS安全模式完成消息,NAS安全模式完成消息中携带UE能力信息。
如图16所示,第一验证匹配信息为MME已经接收到的UE能力信息,NAS安全模式命令消息还包括MME所采用的完整性算法、秘钥标识以及NAS安全模式命令消息的第五NAS-MAC。
如图16所示,该装置还包括:第三接收模块1304,用于:
在UE生成的NAS安全模式命令消息的第六NAS-MAC与第五NAS-MAC一致、MME已经接收到的 UE能力信息中所包括的UE安全能力与UE发送给MME的UE安全能力一致且在UE确定MME已经接收到的UE能力信息中除UE安全能力外的其它能力与UE发送给MME的不一致时,接收UE发送的NAS 安全模式完成消息,NAS安全模式完成消息中携带UE能力信息。
在上述实施例中,NAS安全模式命令消息包括:MME接收到的UE安全能力、MME所采用的完整性算法、秘钥标识以及NAS安全模式命令消息的第七NAS-MAC。
在上述实施例中,该装置还包括:第四接收模块1305,用于接收UE发送的NAS安全模式完成消息,NAS安全模式完成消息中携带第二验证匹配信息以及NAS安全模式完成消息的NAS-MAC;
在上述实施例中,第二验证匹配信息包括:
UE已经向MME发送的附着请求消息的哈希值;或者,
UE已经向MME发送的UE能力信息的哈希值。
在上述实施例中,第二验证匹配信息包括:UE的UE能力信息。
在上述实施例中,第二发送模块1301,还用于若MME已经接收到的UE能力信息与UE发送的不一致,则向UE发送下行NAS传输消息,下行NAS传输消息中携带UE能力信息请求消息或者请求UE重新发送附着请求消息的请求消息;
第四接收模块1305,还用于接收UE发送的上行信息传输消息,上行信息传输消息中携带 UE能力信息或附着请求消息。
在上述实施例中,第二发送模块1301还用于:若MME确定MME已经接收到的UE能力信息与 UE发送的不一致,则向UE发送UE信息请求消息,UE信息请求消息携带UE能力信息请求消息或者请求UE重新发送附着请求消息的请求消息;
第四接收模块1305,还用于接收UE发送的UE信息应答消息,UE信息应答消息中携带UE能力信息或附着请求消息。
图17为本发明实施例一移动通信设备的结构示意图,所述移动通信设备1400包括通信接口1401、存储器1403和处理器1402,其中,通信接口1401、处理器1402、存储器1403、通过总线1404相互连接;总线1404可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA) 总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图14中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述通信接口1401用于与发送端通信。存储器1403,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器1403可能包含随机存取存储器 (random access memory,简称RAM),也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
处理器1402执行存储器1403所存放的程序,实现本发明前述方法实施例的方法:
接收来自移动管理实体MME的非接入层NAS安全模式命令消息,所述NAS安全模式命令消息中携带用于对所述MME已经接收到的UE能力信息进行验证的第一验证匹配信息;
根据所述第一验证匹配信息,确定所述MME已经接收到的UE能力信息是否与所述UE发送给所述MME的UE能力信息一致;
若一致,则所述UE向所述MME发送NAS安全模式完成消息。
上述的处理器1402可以是通用处理器,包括中央处理器(Central ProcessingUnit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
图18为本发明实施例二移动通信设备的结构示意图,所述移动通信设备1500包括通信接口1501、存储器1503和处理器1502,其中,通信接口1501、处理器1502、存储器1503、通过总线1504相互连接;总线1504可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA) 总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图15中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述通信接口1501用于与发送端通信。存储器1503,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器1503可能包含随机存取存储器 (random access memory,简称RAM),也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
处理器1502执行存储器1503所存放的程序,实现本发明前述方法实施例的方法:
确定用于UE对所述MME已经接收到的UE安全能力进行验证的第一验证匹配信息;
向所述UE发送NAS安全模式命令消息,所述NAS安全模式命令消息中携带所述第一验证匹配信息,用于所述UE根据所述第一验证匹配信息,确定所述MME已经接收到的UE能力信息是否与所述UE发送给所述MME的UE能力信息一致;若一致,则所述UE向所述MME发送NAS安全模式完成消息。
上述的处理器1502可以是通用处理器,包括中央处理器(Central ProcessingUnit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例的移动通信设备,UE根据接收到的第一验证匹配消息验证MME已经接收到的 UE能力信息是否与UE发送给MME的UE能力信息一致,可见本发明实施例中通过MME回传验证匹配消息,UE对MME接收到的UE能力信息进行验证的方式,确保MME拥有正确的UE能力信息,解决附着(Attach)流程中附着请求(Attach Request)消息没有NAS安全上下文保护,攻击者可能修改UE能力信息,MME无法获取正确的UE能力而造成的DoS攻击问题,其中,DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (16)
1.一种通信方法,其特征在于,包括:
用户设备UE向移动管理实体发送非接入层NAS消息;
所述UE接收来自所述移动管理实体的NAS安全模式命令消息,所述NAS安全模式命令消息包括验证匹配信息、第二UE安全能力、所述移动管理实体所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第一非接入层消息认证码NAS-MAC;
所述UE验证所述第一NAS-MAC以及所述第二UE安全能力;
在所述第一NAS-MAC以及所述第二UE安全能力验证成功的情况下,所述UE根据所述验证匹配信息,向所述移动管理实体发送NAS安全模式完成消息,其中,所述NAS安全模式完成消息包括所述NAS消息。
2.根据权利要求1所述的方法,其特征在于,所述UE验证所述第一NAS-MAC以及所述第二UE安全能力,包括:
所述UE计算所述UE接收到的所述NAS安全模式命令消息的第二NAS-MAC;
所述UE确定第二NAS-MAC是否与所述第一NAS-MAC一致以及第一UE安全能力是否与所述第二UE安全能力一致;其中,所述第一UE安全能力是所述UE发送给所述移动管理实体的。
3.根据权利要求1所述的方法,其特征在于,所述NAS安全模式完成消息还包括所述NAS安全模式完成消息的NAS-MAC。
4.根据权利要求1所述的方法,其特征在于,所述NAS消息是附着请求消息。
5.根据权利要求4所述的方法,其特征在于,所述附着请求消息中还包括UE能力信息。
6.根据权利要求5所述的方法,其特征在于,所述UE能力信息包括如下一个或者多个:
移动台网络能力、移动台等级2、移动台等级3、支持的编解码器、附加更新类型、语音域优先级和用户使用设置或者移动台网络功能支持。
7.根据权利要求1-6任一所述的方法,其特征在于,所述方法还包括:
在所述第一NAS-MAC和/或所述第二UE安全能力验证失败的情况下,所述UE向所述移动管理实体发送NAS安全模式失败消息。
8.一种通信装置,其特征在于,包括:
发送模块,用于向移动管理实体发送非接入层NAS消息;
接收模块,用于接收来自所述移动管理实体的NAS安全模式命令消息,所述NAS安全模式命令消息包括验证匹配信息、第二UE安全能力、所述移动管理实体所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第一非接入层消息认证码NAS-MAC;
验证模块,用于验证所述第一NAS-MAC以及所述第二UE安全能力;
所述发送模块,还用于在所述第一NAS-MAC以及所述第二UE安全能力验证成功的情况下,根据所述验证匹配信息,向所述移动管理实体发送NAS安全模式完成消息,其中,所述NAS安全模式完成消息包括所述NAS消息。
9.根据权利要求8所述的通信装置,其特征在于,所述验证模块,具体用于:
计算接收到的所述NAS安全模式命令消息的第二NAS-MAC;
确定第二NAS-MAC是否与所述第一NAS-MAC一致以及第一UE安全能力是否与所述第二UE安全能力一致;其中,所述第一UE安全能力是所述UE发送给所述移动管理实体的。
10.根据权利要求8所述的通信装置,其特征在于,所述NAS安全模式完成消息还包括所述NAS安全模式完成消息的NAS-MAC。
11.根据权利要求8所述的通信装置,其特征在于,其特征在于,所述NAS消息是附着请求消息。
12.根据权利要求8-11所述的通信装置,其特征在于,所述附着请求消息中还包括UE能力信息。
13.根据权利要求12所述的通信装置,其特征在于,所述UE能力信息包括如下一个或者多个:
移动台网络能力、移动台等级2、移动台等级3、支持的编解码器、附加更新类型、语音域优先级和用户使用设置或者移动台网络功能支持。
14.根据权利要求8-13所述的通信装置,其特征在于,所述发送模块,还用于:
在所述第一NAS-MAC和/或所述第二UE安全能力验证失败的情况下,向所述移动管理实体发送NAS安全模式失败消息。
15.一种通信装置,其特征在于,包括存储器和处理器,其特征在于,
所述存储器用于存放程序,所述处理器用于执行所述存储器存储的程序以实现如权利要求1-7任一所述的方法。
16.一种计算机可读取存储介质,包括指令,当其被处理器执行时实现如权利要求1-7任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110217266.1A CN113271595B (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201680077927.2A CN108702624B (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
| CN202110217266.1A CN113271595B (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
| PCT/CN2016/070182 WO2017117721A1 (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680077927.2A Division CN108702624B (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113271595A true CN113271595A (zh) | 2021-08-17 |
| CN113271595B CN113271595B (zh) | 2022-03-08 |
Family
ID=59273185
Family Applications (5)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110217166.9A Pending CN113271594A (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
| CN201910127640.1A Active CN109729096B (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
| CN202110217137.2A Active CN113055888B (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
| CN202110217266.1A Active CN113271595B (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
| CN201680077927.2A Active CN108702624B (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
Family Applications Before (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110217166.9A Pending CN113271594A (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
| CN201910127640.1A Active CN109729096B (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
| CN202110217137.2A Active CN113055888B (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680077927.2A Active CN108702624B (zh) | 2016-01-05 | 2016-01-05 | 移动通信方法、装置及设备 |
Country Status (8)
| Country | Link |
|---|---|
| US (4) | US10419938B2 (zh) |
| EP (3) | EP3393159B1 (zh) |
| JP (1) | JP6598225B2 (zh) |
| KR (1) | KR102125826B1 (zh) |
| CN (5) | CN113271594A (zh) |
| BR (1) | BR112018013812A2 (zh) |
| RU (1) | RU2706173C1 (zh) |
| WO (1) | WO2017117721A1 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10555177B2 (en) * | 2015-10-05 | 2020-02-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Method of operation of a terminal device in a cellular communications network |
| RU2706173C1 (ru) * | 2016-01-05 | 2019-11-14 | Хуавей Текнолоджиз Ко., Лтд. | Способ, аппаратура и устройство мобильной связи |
| US20180083972A1 (en) * | 2016-09-20 | 2018-03-22 | Lg Electronics Inc. | Method and apparatus for security configuration in wireless communication system |
| CA3051938C (en) | 2017-01-30 | 2023-02-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Wireless communications |
| CN109756451B (zh) * | 2017-11-03 | 2022-04-22 | 华为技术有限公司 | 一种信息交互方法及装置 |
| KR102405412B1 (ko) * | 2018-04-06 | 2022-06-07 | 삼성전자주식회사 | 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법 |
| CN112602343A (zh) * | 2018-08-09 | 2021-04-02 | Oppo广东移动通信有限公司 | 能力上报的方法和设备 |
| US10798745B2 (en) | 2018-09-28 | 2020-10-06 | Verizon Patent And Licensing Inc. | Determining device locations based on random access channel signaling |
| KR102460418B1 (ko) * | 2018-11-21 | 2022-10-31 | 한국전자통신연구원 | 통신 시스템에서 제어 메시지의 송수신 방법 및 장치 |
| KR102582321B1 (ko) * | 2019-01-15 | 2023-09-22 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 무선 장치의 무선 액세스 능력 |
| US11470473B2 (en) * | 2019-01-18 | 2022-10-11 | Qualcomm Incorporated | Medium access control security |
| CN111866884B (zh) * | 2019-04-26 | 2022-05-24 | 华为技术有限公司 | 一种安全保护方法及装置 |
| CN112087747A (zh) * | 2019-06-14 | 2020-12-15 | 苹果公司 | 改善的rrc过程安全性 |
| WO2021051974A1 (zh) * | 2019-09-16 | 2021-03-25 | 华为技术有限公司 | 一种空口信息的安全保护方法及装置 |
| US20210105611A1 (en) * | 2019-10-04 | 2021-04-08 | Qualcomm Incorporated | User equipment radio capability protection |
| US11617077B2 (en) * | 2019-10-07 | 2023-03-28 | Intel Corporation | Secure user equipment capability transfer for user equipment with no access stratum security |
| EP4084516A4 (en) * | 2019-12-27 | 2023-09-20 | Ntt Docomo, Inc. | BASE STATION AND WIRELESS COMMUNICATION METHOD |
| CN114208240B (zh) * | 2020-01-22 | 2024-01-30 | 华为技术有限公司 | 数据传输方法、装置及系统 |
| EP4104080A1 (en) * | 2020-02-14 | 2022-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Protecting capability information transfer in a wireless communication network |
| KR102279293B1 (ko) * | 2020-08-07 | 2021-07-20 | 한국인터넷진흥원 | 비암호화 채널 탐지 방법 및 장치 |
| US11522767B2 (en) | 2020-10-22 | 2022-12-06 | Bank Of America Corporation | System for real-time imitation network generation using artificial intelligence |
| KR20220135792A (ko) * | 2021-03-31 | 2022-10-07 | 삼성전자주식회사 | 데이터 보호를 위한 nas 메시지 이용 방법 및 장치 |
| WO2023180907A1 (en) * | 2022-03-24 | 2023-09-28 | Four Drobotics Corporation | System and method for detection of cybersecurity threats |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101686233A (zh) * | 2008-09-24 | 2010-03-31 | 大唐移动通信设备有限公司 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
| US20100115275A1 (en) * | 2008-11-03 | 2010-05-06 | Samsung Electronics Co. Ltd. | Security system and method for wireless communication system |
| CN101835156A (zh) * | 2010-05-21 | 2010-09-15 | 中兴通讯股份有限公司 | 一种用户接入安全保护的方法及系统 |
| CN101848464A (zh) * | 2009-03-28 | 2010-09-29 | 华为技术有限公司 | 实现网络安全的方法、装置及系统 |
| CN102905265A (zh) * | 2012-10-11 | 2013-01-30 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
Family Cites Families (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101061373B1 (ko) * | 2005-04-11 | 2011-09-02 | 삼성전자주식회사 | 푸쉬투토크 오버 셀룰러 망의 미디어 저장 서비스 수행 방법과 PoC 서버 및 PoC 클라이언트 |
| CN101022330A (zh) * | 2006-02-13 | 2007-08-22 | 华为技术有限公司 | 提高密钥管理授权消息安全性的方法和模块 |
| CN101011330A (zh) | 2006-12-14 | 2007-08-08 | 成都死海盐疗健康馆服务有限公司 | 矿物盐沐浴露 |
| CN101242629B (zh) * | 2007-02-05 | 2012-02-15 | 华为技术有限公司 | 选择用户面算法的方法、系统和设备 |
| CN101378591B (zh) | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN103220674B (zh) * | 2007-09-03 | 2015-09-09 | 华为技术有限公司 | 一种终端移动时防止降质攻击的方法、系统及装置 |
| US9247420B2 (en) * | 2007-12-12 | 2016-01-26 | Lg Electronics Inc. | Method of managing user equipment capabilities |
| US8503460B2 (en) | 2008-03-24 | 2013-08-06 | Qualcomm Incorporated | Dynamic home network assignment |
| US8965338B2 (en) * | 2008-06-09 | 2015-02-24 | Apple Inc | Network access control methods and apparatus |
| US8605904B2 (en) * | 2009-08-14 | 2013-12-10 | Industrial Technology Research Institute | Security method in wireless communication system having relay node |
| CN102025685B (zh) * | 2009-09-21 | 2013-09-11 | 华为技术有限公司 | 认证处理方法及装置 |
| KR101700448B1 (ko) * | 2009-10-27 | 2017-01-26 | 삼성전자주식회사 | 이동 통신 시스템에서 보안 관리 시스템 및 방법 |
| KR101683883B1 (ko) * | 2009-12-31 | 2016-12-08 | 삼성전자주식회사 | 이동 통신 시스템에서 보안을 지원하는 방법 및 시스템 |
| CN101790168B (zh) * | 2010-02-01 | 2015-05-20 | 中兴通讯股份有限公司 | Nas和as初始安全模式命令过程的方法 |
| KR101737425B1 (ko) * | 2010-06-21 | 2017-05-18 | 삼성전자주식회사 | 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템 |
| CN102624759B (zh) * | 2011-01-28 | 2017-03-29 | 中兴通讯股份有限公司 | 一种实现会话中数据迁移的方法和节点 |
| CN102307091B (zh) * | 2011-10-09 | 2014-10-29 | 大唐移动通信设备有限公司 | Nas层信令的保护方法和设备 |
| CN102917332B (zh) * | 2012-10-11 | 2015-06-03 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
| JP2016500977A (ja) * | 2013-01-10 | 2016-01-14 | 日本電気株式会社 | Ue及びネットワーク両者でのキー導出のためのmtcキー管理 |
| CN110087272B (zh) * | 2013-02-22 | 2021-10-08 | 三星电子株式会社 | 在多个e节点b和用户设备间提供同时连接的方法和系统 |
| CN104427584B (zh) * | 2013-08-19 | 2019-08-16 | 南京中兴软件有限责任公司 | 安全上下文处理方法及装置 |
| KR101746193B1 (ko) * | 2013-11-13 | 2017-06-20 | 한국전자통신연구원 | 보안 도우미 서비스 제공장치 및 서비스 제공방법 |
| WO2015157942A1 (zh) * | 2014-04-16 | 2015-10-22 | 华为终端有限公司 | 接入无线网络的装置及方法 |
| US10560846B2 (en) * | 2014-09-08 | 2020-02-11 | Blackberry Limited | Method and apparatus for authenticating a network entity using unlicensed wireless spectrum |
| US10142840B2 (en) * | 2015-01-29 | 2018-11-27 | Motorola Mobility Llc | Method and apparatus for operating a user client wireless communication device on a wireless wide area network |
| US9717003B2 (en) * | 2015-03-06 | 2017-07-25 | Qualcomm Incorporated | Sponsored connectivity to cellular networks using existing credentials |
| US9801055B2 (en) * | 2015-03-30 | 2017-10-24 | Qualcomm Incorporated | Authentication and key agreement with perfect forward secrecy |
| CN104967984B (zh) * | 2015-04-29 | 2019-04-05 | 大唐移动通信设备有限公司 | 一种获取用户设备的信息的方法和系统 |
| EP3304856A1 (en) * | 2015-06-05 | 2018-04-11 | Convida Wireless, LLC | Unified authentication for integrated small cell and wi-fi networks |
| CN104967934A (zh) | 2015-06-12 | 2015-10-07 | 苏州佑克骨传导科技有限公司 | 适用于小功率骨传导耳机的振子 |
| US10567964B2 (en) * | 2015-11-24 | 2020-02-18 | Futurewei Technologies, Inc. | Security for proxied devices |
| EP3384698B1 (en) * | 2015-12-03 | 2022-09-14 | Telefonaktiebolaget LM Ericsson (publ) | Multi-rat access stratum security |
| RU2706173C1 (ru) * | 2016-01-05 | 2019-11-14 | Хуавей Текнолоджиз Ко., Лтд. | Способ, аппаратура и устройство мобильной связи |
-
2016
- 2016-01-05 RU RU2018128207A patent/RU2706173C1/ru active
- 2016-01-05 CN CN202110217166.9A patent/CN113271594A/zh active Pending
- 2016-01-05 CN CN201910127640.1A patent/CN109729096B/zh active Active
- 2016-01-05 CN CN202110217137.2A patent/CN113055888B/zh active Active
- 2016-01-05 WO PCT/CN2016/070182 patent/WO2017117721A1/zh active Application Filing
- 2016-01-05 EP EP16882868.9A patent/EP3393159B1/en active Active
- 2016-01-05 KR KR1020187022094A patent/KR102125826B1/ko active IP Right Grant
- 2016-01-05 EP EP21163083.5A patent/EP3873122A1/en active Pending
- 2016-01-05 BR BR112018013812-6A patent/BR112018013812A2/zh unknown
- 2016-01-05 EP EP20192538.5A patent/EP3800914B1/en active Active
- 2016-01-05 JP JP2018553275A patent/JP6598225B2/ja active Active
- 2016-01-05 CN CN202110217266.1A patent/CN113271595B/zh active Active
- 2016-01-05 CN CN201680077927.2A patent/CN108702624B/zh active Active
-
2018
- 2018-07-03 US US16/026,777 patent/US10419938B2/en active Active
-
2019
- 2019-08-27 US US16/552,530 patent/US10944786B2/en active Active
-
2020
- 2020-12-30 US US17/138,498 patent/US11310266B2/en active Active
-
2022
- 2022-04-18 US US17/723,257 patent/US11736519B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101686233A (zh) * | 2008-09-24 | 2010-03-31 | 大唐移动通信设备有限公司 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
| US20100115275A1 (en) * | 2008-11-03 | 2010-05-06 | Samsung Electronics Co. Ltd. | Security system and method for wireless communication system |
| CN101848464A (zh) * | 2009-03-28 | 2010-09-29 | 华为技术有限公司 | 实现网络安全的方法、装置及系统 |
| CN101835156A (zh) * | 2010-05-21 | 2010-09-15 | 中兴通讯股份有限公司 | 一种用户接入安全保护的方法及系统 |
| CN102905265A (zh) * | 2012-10-11 | 2013-01-30 | 大唐移动通信设备有限公司 | 一种实现移动设备附着的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| NMC CONSULTING GROUP: "LTE Security II: NAS and AS Security", 《HTTP://WWW.NETMANIAS.COM/EN/?M=VIEW&ID=TECHDOCS&NO=5903》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2706173C1 (ru) | 2019-11-14 |
| US11736519B2 (en) | 2023-08-22 |
| CN108702624B (zh) | 2021-02-23 |
| US20210194920A1 (en) | 2021-06-24 |
| BR112018013812A2 (zh) | 2018-12-11 |
| US10419938B2 (en) | 2019-09-17 |
| EP3393159B1 (en) | 2020-09-30 |
| WO2017117721A1 (zh) | 2017-07-13 |
| US20240098112A1 (en) | 2024-03-21 |
| CN109729096B (zh) | 2020-06-16 |
| CN109729096A (zh) | 2019-05-07 |
| EP3393159A4 (en) | 2018-12-19 |
| CN108702624A (zh) | 2018-10-23 |
| JP2019501608A (ja) | 2019-01-17 |
| CN113271595B (zh) | 2022-03-08 |
| EP3873122A1 (en) | 2021-09-01 |
| US20190387404A1 (en) | 2019-12-19 |
| US20180324594A1 (en) | 2018-11-08 |
| EP3800914A1 (en) | 2021-04-07 |
| KR102125826B1 (ko) | 2020-06-23 |
| US10944786B2 (en) | 2021-03-09 |
| US11310266B2 (en) | 2022-04-19 |
| EP3393159A1 (en) | 2018-10-24 |
| EP3800914B1 (en) | 2024-05-01 |
| US20220321599A1 (en) | 2022-10-06 |
| CN113055888A (zh) | 2021-06-29 |
| KR20180100365A (ko) | 2018-09-10 |
| JP6598225B2 (ja) | 2019-10-30 |
| CN113271594A (zh) | 2021-08-17 |
| CN113055888B (zh) | 2022-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113271595B (zh) | 移动通信方法、装置及设备 | |
| KR102371951B1 (ko) | Pdu 세션 관리 | |
| EP3820181B1 (en) | Secure conversation method and device | |
| MX2012014243A (es) | Metodos y aparatos que facilitan la sincronizacion de configuraciones de seguridad. | |
| CN107113608B (zh) | 使用密钥扩展乘数来生成多个共享密钥的方法和装置 | |
| JP2023052294A (ja) | セキュリティコンテキスト取得方法および装置、ならびに通信システム | |
| JP7414796B2 (ja) | 情報送信方法、鍵生成方法、及び機器 | |
| CN112654046A (zh) | 用于注册的方法和装置 | |
| US12003533B2 (en) | Mobile communication method, apparatus, and device | |
| JP2017103536A (ja) | 無線基地局及び無線通信方法 | |
| WO2019213925A1 (zh) | 密钥更新方法、设备和存储介质 | |
| CN115915114A (zh) | 注册方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |