WO2009030155A1

WO2009030155A1 - Method, system and apparatus for negotiating the security ability when a terminal is moving

Info

Publication number: WO2009030155A1
Application number: PCT/CN2008/072165
Authority: WO
Inventors: Chengdong He
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2007-08-31
Filing date: 2008-08-27
Publication date: 2009-03-12
Also published as: US9241261B2; US20100095123A1; US20140120879A1; US20160028703A1; EP2139175B1; CN101378591A; EP2139175B3; RU2435319C2; RU2009146555A; ES2401039T3; US20160088472A1; US9497625B2; US10595198B2; CN101378591B; PL2139175T6; JP4976548B2; US20170094506A1; US9538373B2; EP2549701B1; PL2139175T3

Description

终端移动时安全能力协商的方法、系统及装置技术领域

本发明涉及无线通信技术，具体涉及一种终端移动时安全能力协商的方法、系统及移动管理实体和用户设备。

背景技术

无线网络包括无线接入网和核心网两部分。未来演进的无线网络核心网包括移动管理实体 ( MME, Mobile Management Entity ), 其功能与 2G/3G网络的服务通用分组无线业务（ GPRS, General Packet Radio Service )支持节点 ( SGSN, Service GPRS Support Node )类似，主要完成移动性管理、用户鉴权等。当用户设备（UE, User Equipment )在 2G/3G或未来演进的无线网络中处于空闲态时，需要分别与 SGSN或 MME之间进行非接入信令（NAS, Non- Access Signaling )安全能力的协商，安全能力包括 NAS信令加密算法、对应的 NAS完整性保护密钥 Knas-int、 NAS完整性保护算法及对应的 NAS 机密性保护密钥 Knas-enc, 供 UE与系统传输信令时使用，以保证 UE信令的正常接收及通信系统的安全。

当通过 2G的全球移动通信边缘无线接入网（GERAN, GSM Edge Radio Access Network )或 3G的通用陆地无线接入网（UTRAN, UMTS Terrestrial Radio Access Network )接入网络的 UE在空闲态移动时，可能会移动到未来演进无线接入网（LTE, Long Term Evolution ) 的跟踪区域中，从而可能重新通过 LTE接入网络，此时会发生跟踪区域更新（ TAU , Tracking Area Update ) 过程，即发生了异种网络之间的 TAU过程。由于此过程中，为该 UE执行安全能力协商的实体了发生了变化，例如由 SGSN变为 ΜΜΕ, 而且这些实体的安全能力不一定是一致的，因此需要重新执行安全能力协商过程，以保证后续过程中 UE和网络交互时的安全。注意这里的安全能力协商对 LTE网络来说包括： NAS机密性保护算法和 NAS完整性保护算法、无线资源控制（RRC, Radio Resource Control )机密性保护算法和 RRC完整性保护算法、用户面（ UP, User Plane )机密性保护算法。

对于空闲态的 UE发起的 TAU过程而言，需要解决 NAS机密性保护算法、 NAS完整性保护算法协商，以及相应的 NAS保护密钥的协商。

在实现本发明的过程中，发明人发现，现有技术不存在这样的异种网络之间 TAU过程中安全能力协商的方法，因此在 UE从 2G/3G网络移动到 LTE 网络时，无法进行安全能力协商，从而无法保证后续 UE与网络交互时的安全。发明内容

本发明实施例提供一种终端移动时安全能力协商的方法，使得处于空闲态的 UE从 2G/3G网络移动到 LTE网络时，能够进行安全能力协商。

本发明实施例还提供一种终端移动时安全能力协商的系统，使得处于空闲态的 UE从 2G/3G网络移动到 LTE网络时，能够进行安全能力协商。

本发明实施例还提供一种 MME装置，使得处于空闲态的 UE从 2G/3G网络移动到 LTE网络时，能够进行安全能力协商。

本发明实施例还提供一种 UE装置，使得处于空闲态的 UE从 2G/3G网络移动到 LTE网络时，能够进行安全能力协商。

为达到上述目的，本发明实施例的技术方案是这样实现的：

一种终端移动时安全能力协商的方法，包括：

移动管理实体 MME接收用户设备 UE发送的跟踪区域更新请求消息，获取 UE支持的非接入信令 NAS安全算法，及鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥；

MME根据所述 UE支持的 NAS安全算法，选择 NAS安全算法；根据所述鉴权矢量相关密钥或所述根密钥，推导得到 NAS保护密钥；向所述 UE发送携带所选择的 NAS安全算法的消息；

UE根据自身的鉴权矢量相关密钥推导得到 NAS保护密钥。

一种终端移动时安全能力协商的系统，包括用户设备 UE和移动管理实体 MME,

所述 UE , 用于向 MME发送跟踪区域更新请求消息；接收 MME发送的携带所选择非接入信令 NAS安全算法的消息；根据鉴权矢量相关密钥推导得到 NAS保护密钥；

所述 MME, 用于接收 UE发送的跟踪区域更新请求消息；获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，以及 UE支持的 NAS安全算法，根据所述 UE支持的 NAS安全算法，选择 NAS安全算法，生成并向 UE发送携带所选择的 NAS安全算法的消息；根据获取的鉴权矢量相关密钥或所述根密钥，推导得到 NAS保护密钥。

一种移动管理实体 MME, 包括获取模块、选择模块和密钥推导模块，所述获取模块，用于接收用户设备 UE发送的跟踪区域更新请求消息，获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，以及 UE支持的非接入信令 NAS安全算法；

所述选择模块，用于根据所述获取模块获取的 UE支持的 NAS安全算法，选择 NAS安全算法，生成携带所述选择的 NAS安全算法的消息，发送到 UE;

所述密钥推导模块，用于根据所述获取模块获取的鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，及所述选择模块选择的 NAS安全算法，推导得到 NAS保护密钥。

一种用户设备 UE, 包括更新模块、密钥推导模块、存储模块和检查模块，所述更新模块，用于向移动管理实体 MME发送跟踪区域更新请求消息，其中携带存储模块保存的 UE支持的安全能力信息；接收 MME发送的携带所选择非接入信令 NAS安全算法的消息；

所述密钥推导模块，用于根据鉴权矢量相关密钥，及所述更新模块接收到的 NAS安全算法，推导 NAS保护密钥；

所述存储模块，用于保存 UE支持的安全能力信息；

所述检查模块，用于根据从 MME接收到的 UE支持的安全能力信息，检查与存储模块保存的自身支持的安全能力信息不一致时，确定存在降质攻击。本发明实施例所提供的技术方案， MME接收 UE发送的跟踪区域更新请求消息，获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，及 UE支持的 NAS安全算法；然后根据 UE支持的 NAS安全算法，选择 NAS 安全算法；并生成携带所选择的 NAS安全算法的消息，发送到 UE, 从而实现 UE与 MME共享 NAS安全算法的目的。并且， MME根据鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥推导得到 NAS保护密钥， UE根据鉴权矢量相关密钥推导得到 NAS保护密钥，实现共享 NAS保护密钥的目的。最终使得 UE从 2G/3G网络移动到 LTE网络时，可以与 MME协商 NAS 安全算法及 NAS保护密钥，从而实现异种网络之间 TAU过程中的安全能力协商过程，保证后续 UE与网络交互时的安全。

同时，本发明实施例也可以应用于 UE在 LTE网络内部移动时的安全能力协商过程。

附图说明

图 1为本发明实施例一终端移动时安全能力协商的方法流程图；图 2为本发明实施例二终端移动时安全能力协商的方法流程图；图 3为本发明实施例三终端移动时安全能力协商的方法流程图；图 4为本发明实施例中终端移动时安全能力协商的系统结构图。

具体实施方式

本发明实施例提供的终端移动时安全能力协商的方法，当 UE从 2G/ 3G 网络移动到 LTE网络时， MME接收 UE发送的跟踪区域更新请求消息，获取 UE支持的 NAS安全算法，及鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥；然后根据 UE支持的 NAS安全算法，选择 NAS安全算法； MME根据所述鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，推导得到 NAS保护密钥；向 UE发送携带所选择的 NAS安全算法的消息； UE根据鉴权矢量相关密钥，推导得到 NAS保护密钥。下面结合附图及具体实施例对本发明实施例进行详细说明。

假设 UE在空闲态时已经通过 UTRAN/GERAN接入网络，当移动到 LTE 的跟踪区域时， UE发起 TAU过程。

图 1 为本发明实施例一终端移动时安全能力协商的方法流程图。如图 1 所示，该方法包括以下步骤：

步骤 100: UE向 MME发送 TAU请求。

本步骤中， UE通过未来演进的无线接入网的演进基站（eNB, evolution Node B ) 向新 MME发送跟踪区域更新请求。为了描述方便，以下描述都将 UE与 MME之间通过 eNB进行通信简化为 UE与 MME之间进行通信。

本步骤 UE向 MME发送的 TAU请求中，除携带本领域技术人员均知的一些参数，例如临时移动用户识别号码（TMSI, Temporary Mobile Subscriber Identity )之夕卜，还可以携带 UE支持的安全能力信息，包括 NAS安全算法（NAS 完整性保护算法和 /或 NAS机密性保护算法）,还可以包括 RRC安全算法（ RRC 完整性保护算法和 /或 RRC机密性保护算法） /UP安全算法（UP机密性保护算法）。

步骤 101〜步骤 102: MME获取 UE支持的 NAS安全算法，并向 SGSN 发送移动性管理上下文请求（context request )消息； SGSN收到后，向 MME 发送携带鉴权矢量相关密钥的移动性管理上下文响应（ context response )消息。

如果步骤 100中 UE在向 MME发送的 TAU请求中没有携带 UE支持的 NAS安全算法，则 SGSN在接收到移动性管理上下文请求消息后，查询 UE 支持的 NAS安全算法，并在发送给 MME的移动性管理上下文响应消息中携带该查询到的 UE支持的 NAS安全算法。其中， NAS安全算法为 NAS完整性保护算法和 /或 NAS机密性保护算法。

当 UE从 2G网络移动到 LTE网络的跟踪区域时，本流程中 SGSN为 2G 网络的 SGSN,其中的鉴权矢量相关密钥至少包括加密密钥 Kc,或者 Kc经单向变换后得到的值 Kc，；当 UE从 3G网络移动到 LTE网络的跟踪区域时，本流程中 SGSN为 3G网络的 SGSN, 其中的鉴权矢量相关密钥至少包括完整性密钥 IK和加密密钥 CK, 或 IK和 CK经单向变换后得到的值 IK'和 CK'。

单向变换是指通过某种算法将原参数变换后得到目的参数，但是无法从目的参数返推得到原参数的变换过程。以 Kc为例，如果通过算法 f ( Kc )可以得到 Kc，，但是无法从 Kc，通过任何逆算法反向推导出 Kc, 这种变换就是单向变换。

步骤 103: MME根据 UE支持的 NAS安全算法、自身支持的 NAS安全算法及系统允许的 NAS安全算法，选择新的 NAS安全算法；根据鉴权矢量相关密钥推导出根密钥 Kasme; 然后根据 Kasme推导出 NAS保护密钥，包括 NAS完整性保护密钥 Knas-int和 /或 NAS机密性保护密钥 Knas-enc。

步骤 104: MME生成携带所选择的 NAS安全算法的跟踪区域更新接受 ( TAU accept ) 消息。

本步骤中 MME还可以对该 TAU accept消息进行 NAS完整性保护，例如，利用步骤 103中推导得到的 NAS完整性保护密钥 Knas-int、 TAU accept中的信息及所选择 NAS安全算法中的 NAS完整性保护算法，推导得到 NAS完整性保护的消息认证码（NAS-MAC )值，然后将该值附在 TAU accept消息中，发送至 UE。

本步骤的 TAU accept消息中还可以携带 UE支持的安全能力信息。

步骤 105: UE接收携带 MME选择的 NAS安全算法的 TAU accept消息，获得协商好的 NAS安全算法；然后根据自身当前的鉴权矢量相关密钥 (例如，源网络是 3G时的 IK和 CK或根据 IK和 CK推导出的 IK'和 CK' , 或者源网络是 2G时的 Kc或根据 Kc推导出的 Kc' )推导得到根密钥 Kasme,再从根密钥推导得到 NAS保护密钥，包括 NAS完整性保护密钥 Knas-int和 /或 NAS机密性保护密钥 Knas-enc。

本步骤还可以包括 UE检查 TAU accept消息的完整性保护是否正确，如果发现不正确，则确定本次安全能力协商失败，可能重新发起安全能力协商过程。例如， UE根据推导得到的 NAS机密性保护密钥 Knas-enc、 TAU accept 中的信息及 TAU accept 消息中携带的 NAS 完整性保护算法推导得到 NAS-MAC,然后 UE比较推导得到的 NAS-MAC与 TAU accept消息中携带的 NAS-MAC是否相同，是则表明该消息在传输过程没有被更改，否则认为该消息在传输过程中被更改，从而确定本次安全能力协商失败。

如果在步骤 104中， TAU accept消息中还携带 UE支持的安全能力信息，则本步骤还可以进一步包括 UE根据 TAU accept消息中携带的 UE支持的安全能力信息与自身支持的安全能力信息相比较，如果一致，则确定不存在降质攻击，如果不一致则确定存在降质攻击，确定本次安全能力协商失败，可能重新发起安全能力协商过程，从而可以达到防止降质攻击的目的。

其中，降质攻击是指：假设 UE 同时支持两种安全性算法：高强度算法 A1和低强度算法 A2, MME也同时支持这两种算法。这样， UE和 MME之间协商的应该是高强度算法 A1 , 但是如果 UE在发送自身支持的安全能力信息到 MME的路径中，攻击者修改了 UE的安全能力信息，例如只保留低强度算法 A2, 或者在 MME选择 NAS安全算法时， UE支持的安全能力信息被攻击者修改过，只保留低强度算法 A2, 那么 MME将只能选择低强度算法 A2, 并发给 UE。即 UE和 MME之间协商得到的是低强度算法 A2, 而不是高强度算法 A1 , 从而使得攻击者更容易攻破，即达到所谓的降质攻击。而本发明实施例通过 MME将 UE支持的安全能力信息发送到 UE, 供 UE检查是否与自身支持的安全能力信息一致，从而达到检测进而防止降质攻击的目的。

步骤 103中 MME根据鉴权矢量相关密钥最终推导得到 NAS保护密钥的过程与步骤 104及步骤 105的执行不限定时间顺序，该过程可以步骤 104之前执行，也可以在步骤 104与步骤 105之间执行，也可以在步骤 105之后执行。

以上所述的流程中， MME和 UE也可以根据鉴权矢量相关密钥直接推导得到 NAS保护密钥，而不必首先推导根密钥，再根据根密钥推导 NAS保护密钥。

本领域技术人员应该清楚：以上所述的流程中， UE根据鉴权矢量相关密钥推导得到 NAS保护密钥的推导方法须与网络侧根据鉴权矢量相关密钥推导得到 NAS保护密钥的推导方法相同。该推导方法可以釆用任意一种单向变换，例如， Kasme=f ( IK, CK, 其他参数）， Knas-enc=f ( Kasme , NAS机密性保护算法，其他参数）， Knas-int=f ( Kasme, NAS完整性保护算法，其他参数）。

另外，为突出说明本发明实施例，上述流程中步骤 102和 104之间忽略了与安全无关的流程。

通过以上所述的流程 UE可以与 MME共享 NAS安全算法及 NAS保护密钥，从而实现 NAS安全能力的协商。

图 2 为本发明实施例二终端移动时安全能力协商的方法流程图。如图 2 所示，该方法包括以下步骤：

步骤 200与步骤 100相同，在此不再赘述。

步骤 201〜步骤 203: MME获取 UE支持的 NAS安全算法，并向 SGSN 发送 context request消息； SGSN收到后，根据自身的鉴权矢量相关密钥推导得到根密钥，然后向 MME发送携带根密钥的 context response消息。

在本发明其它实施例中，如果步骤 200中 UE在向 MME发送的 TAU请求中没有携带 UE支持的 NAS安全算法，则 SGSN在接收到移动性管理上下文请求消息后，查询 UE支持的 NAS安全算法，并在发送给 MME的移动性管理上下文响应消息中携带该查询到的 UE支持的 NAS安全算法。其中， NAS 安全算法为 NAS完整性保护算法和 /或 NAS机密性保护算法。

当 UE从 2G网络移动到 LTE网络的跟踪区域时，本流程中 SGSN为 2G 网络的 SGSN, 根密钥是由 SGSN根据 Kc或者 Kc经单向变换后得到的 Kc' , 推导出的根密钥 Kasme; 当 UE从 3G网络移动到 LTE网络的跟踪区域时，本流程中 SGSN为 3G网络的 SGSN, 根密钥是由 SGSN根据 IK和 CK, 或者 IK和 CK经单向变换后得到的 IK'和 CK' , 推导出的 Kasme。步骤 204: MME根据 UE支持的 NAS安全算法、自身支持的 NAS安全算法及系统允许的 NAS安全算法，选择新的 NAS安全算法；根据根密钥推导出 NAS保护密钥，包括 NAS完整性保护密钥 Knas-int和 /或 NAS机密性保护密钥 Knas-enc„

步骤 205: MME生成携带所选择的 NAS安全算法的 TAU accept消息。本步骤中 MME还可以对该 TAU accept消息进行 NAS完整性保护。本步骤的 TAU accept消息中还可以携带 UE支持的安全能力信息。

步骤 206: UE接收携带 MME选择的 NAS安全算法的 TAU accept消息，获得协商好的 NAS安全算法；然后根据自身当前的鉴权矢量相关密钥 (例如，源网络是 3G时的 IK和 CK或根据 IK和 CK推导出的 IK'和 CK' , 或者源网络是 2G时的 Kc或根据 Kc推导出的 Kc' )推导得到根密钥 Kasme,再从根密钥推导得到 NAS保护密钥，包括 NAS完整性保护密钥 Knas-int和 /或 NAS机密性保护密钥 Knas-enc。

本步骤还可以包括 UE检查 TAU accept消息的完整性保护是否正确，如果发现不正确，则确定本次安全能力协商失败，可能重新发起安全能力协商过程。

在本发明其它实施例中，如果步骤 205在 TAU accept消息中还携带 UE 支持的安全能力信息，则本步骤还可以进一步包括 UE根据 TAU accept消息中携带的 UE支持的安全能力信息与自身支持的安全能力信息相比较，如果一致，则确定不存在降质攻击，如果不一致则确定存在降质攻击，确定本次安全能力协商失败，可能重新发起安全能力协商过程，从而可以达到防止降质攻击的目的。

在本发明其它实施例中，步骤 204中 MME根据根密钥推导得到 NAS保护密钥的过程与步骤 205及步骤 206的执行不限定时间顺序，该过程可以步骤 205之前执行，也可以在步骤 205与步骤 206之间执行，也可以在步骤 206 之后执行。本领域技术人员应该清楚：以上所述的流程中， UE根据鉴权矢量相关密钥推导得到 NAS保护密钥的推导方法须与网络侧根据鉴权矢量相关密钥推导得到 NAS保护密钥的推导方法相同。

图 3 为本发明实施例三终端移动时安全能力协商的方法流程图。如图 3 所示，该方法包括以下步骤：

步骤 300与步骤 100相同，在此不再详述。

步骤 301〜步骤 302: MME通过移动性管理上下文请求和响应消息从 SGSN 获取 UE支持的 NAS安全算法。

在本发明其它实施例中，如果步骤 300中 UE在向 MME发送的 TAU请求中没有携带 UE支持的 NAS安全算法，则 SGSN在接收到移动性管理上下文请求消息后，查询 UE支持的 NAS安全算法，并在发送给 MME的移动性管理上下文响应消息中携带该查询到的 UE支持的 NAS安全算法。其中， NAS 安全算法为 NAS完整性保护算法和 /或 NAS机密性保护算法。

步骤 303: MME通过认证与密钥协商（AKA, Authentication and Key Agreement )过程，从 HSS获取根据鉴权矢量相关密钥推导出的根密钥 Kasme。

步骤 304: MME根据 UE支持的 NAS安全算法、自身支持的 NAS安全算法及系统允许的 NAS安全算法，选择新的 NAS安全算法；根据 Kasme推导出其他 NAS保护密钥，包括 NAS完整性保护密钥 Knas-int和 NAS机密性保护密钥 Knas-enc。

步骤 305: MME生成携带所选择的 NAS安全算法的 NAS安全模式命令 ( SMC, Security Mode Command )请求消息，发送到 UE。该 SMC请求消息可能包含在 TAU accept消息中。

本步骤中 MME还可以对该 SMC请求消息进行 NAS完整性保护，例如，利用步骤 304中推导得到的 NAS完整性保护密钥 Knas-int、 SMC请求消息中的信息及所选择 NAS安全算法中的 NAS完整性保护算法，推导得到 NAS完整性保护的消息认证码（NAS-MAC )值，然后将该值附在 SMC请求消息中，发送至 UE。

本步骤的 SMC请求消息中还可以携带 UE支持的安全能力信息。

步骤 306: UE接收携带 MME选择的 NAS安全算法的 SMC请求消息，获得其自身支持的由 MME选择的 NAS安全算法；然后根据自身 AKA过程中获取的当前的鉴权矢量相关密钥推导得到根密钥，再从根密钥推导得到 NAS保护密钥，包括 NAS完整性保护密钥 Knas-int和 NAS机密性保护密钥 Knas-enc。

在本实施例中，本步骤还可以包括 UE检查 TAU accept消息的完整性保护是否正确，如果发现不正确，则确定本次安全能力协商失败，可能重新发起安全能力协商过程。例如， UE 根据推导得到的 NAS 机密性保护密钥 Knas-enc, TAU accept中的信息及 TAU accept消息中携带的 NAS完整性保护算法推导得到 NAS-MAC,然后 UE比较推导得到的 NAS-MAC与 TAU accept 消息中携带的 NAS-MAC是否相同，是则表明该消息在传输过程没有被更改，否则认为该消息在传输过程中被更改，从而确定本次安全能力协商失败。

在本发明其它实施例中，如果步骤 305在 SMC请求消息中还携带 UE支持的安全能力信息，则本步骤还可以进一步包括 UE根据 SMC请求消息中携带的 UE支持的安全能力信息与自身支持的安全能力信息相比较，如果相同，则确定不存在降质攻击，如果不相同则确定存在降质攻击，确定本次安全能力协商失败，可能重新发起安全能力协商过程，从而可以达到防止降质攻击的目的。

步骤 307: UE向 MME发送 SMC完成响应消息。该 SMC完成响应消息可能包含在 TAU完成（ complete ) 消息中。

步骤 308: MME回复 TAU accept消息。

在本发明其它实施例中，当在步骤 305 中将 SMC请求消息包含在 TAU accept中发送给 UE时，本步骤和步骤 305合并。

步骤 309: UE回复 TAU complete消息。

在本发明其它实施例中，当在步骤 307 中将 SMC 完成响应消息包含在 TAU complete消息中时，本步骤和步骤 307合并。

通过上述流程实现 NAS安全能力的协商。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤，是可以通过程序指令相关硬件完成的。实施例对应的软件可以存储在一个计算机可存储读取的介质中，如 R0M/RAM、磁碟、光盘等。

图 4 为本发明实施例中终端移动时安全能力协商的系统结构图。如图 4 所示，该系统包括 UE和 MME。

其中， UE用于向 MME发送跟踪区域更新请求消息；接收 MME发送的携带所选择 NAS安全算法的消息；根据鉴权矢量相关密钥推导得到 NAS保护密钥。

MME用于接收 UE发送的跟踪区域更新请求消息；获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，以及 UE支持的 NAS安全算法，根据 UE支持的 NAS安全算法，选择 NAS安全算法，生成并向 UE发送携带所选择的 NAS安全算法的消息；根据获取的鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，推导得到 NAS保护密钥。

该系统中 MME进一步获取 UE支持的安全能力信息，在向 UE发送的携带所选择的 NAS安全算法的消息中进一步携带 UE支持的安全能力信息； UE 进一步根据 MME发送的 UE支持的安全能力信息，检查与自身支持的安全能力信息是否一致，判断是否存在降质攻击。

具体来说，该 MME包括获取模块、选择模块和密钥推导模块。

其中，获取模块，用于接收 UE发送的跟踪区域更新请求消息，获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，以及 UE支持的 NAS 安全算法。选择模块，用于根据获取模块获取的 UE支持的 NAS安全算法，选择 NAS安全算法，生成携带所选择的 NAS安全算法的消息，发送到 UE。密钥推导模块，用于根据获取模块获取的鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，及所选择的 NAS安全算法，推导得到 NAS保护密钥。

获取模块进一步获取 UE支持的安全能力信息，选择模块在携带所选择的 NAS安全算法的消息中进一步携带获取模块获取的 UE支持的安全能力信息。

该 UE包括更新模块、密钥推导模块、存储模块和检查模块。

其中，更新模块，用于向移动管理实体 MME发送跟踪区域更新请求消息；其中携带存储模块保存的 UE支持的安全能力信息；接收 MME发送的携带所选择 NAS安全算法的消息；密钥推导模块，用于根据鉴权矢量相关密钥，及更新模块接收到的所选择的 NAS安全算法，推导 NAS保护密钥；存储模块用于保存 UE支持的安全能力信息；检查模块，用于检查从 MME接收到的 UE 支持的安全能力信息与存储模块保存的自身支持的安全能力信息不一致时，确定存在降质攻击。所述更新模块在接收 MME发送的携带所选择非接入信令 NAS安全算法的消息中进一步携带 UE支持的安全能力信息。

以上所述可以看出，本发明实施例所提供的技术方案， MME接收 UE发送的跟踪区域更新请求消息，获取 UE支持的 NAS安全算法，以及鉴权矢量相关密钥或者根据鉴权矢量相关密钥推导出的根密钥；然后根据 UE 支持的 NAS安全算法，选择 NAS安全算法；并生成携带所选择的 NAS安全算法的消息，发送到 UE, 从而实现 UE与 MME共享 NAS安全算法的目的。然后， UE和 MME根据鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥推导得到 NAS保护密钥，实现 NAS保护密钥共享的目的。最终使得 UE从 2G/3G网络移动到 LTE网络时，可以与 MME协商 NAS安全算法及 NAS保护密钥，从而实现异种网络之间 TAU过程中的安全能力协商过程，保证后续 UE与网络交互时的安全。

本发明实施例还可以进一步防止降质攻击： MME通过 TAU accept消息的同时也返回 UE支持的安全能力信息，供 UE检查是否与当前自身支持的安全能力信息一致，一致时本次安全能力协商成功，协商得到的 NAS安全算法和 NAS保护密钥可以使用；如果不一致则确定发生了降质攻击，本次安全能力协商失败，可能需要重新进行安全能力协商。通过上述方案可以检测 MME 在获取到 UE支持的安全能力信息之前， UE支持的安全能力信息是否已经受到了攻击，从而防止降质攻击，保证后续 UE与网络交互时的安全。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种终端移动时安全能力协商的方法，其特征在于，当用户设备 UE从 2G/3G网络移动到长期演进 LTE网络时，该方法包括：

移动管理实体 MME接收 UE发送的跟踪区域更新请求消息，获取 UE支持的非接入信令 NAS安全算法，及鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的才艮密钥；

UE根据自身的鉴权矢量相关密钥推导得到 NAS保护密钥。

2、如权利要求 1所述的终端移动时安全能力协商的方法，其特征在于，所述 MME获取 UE支持的 NAS安全算法的步骤为：

MME从 UE发送的跟踪区域更新请求消息中，获取 UE支持的安全能力信息，其中跟踪区域更新请求消息包括 UE支持的 NAS安全算法。

3、如权利要求 1所述的方法，其特征在于，所述 MME获取 UE支持的 NAS 安全算法的步骤为：

MME从来自服务通用分组无线业务支持节点 SGSN的移动管理上下文响应消息中获取 UE支持的安全能力信息，其中跟踪区域更新请求消息包括 UE支持的 NAS安全算法。

4、如权利要求 1所述的终端移动时安全能力协商的方法，其特征在于，所述 MME获取鉴权矢量相关密钥的步骤为： MME从来自 SGSN的移动管理上下文响应消息中获取鉴权矢量相关密钥；

所述 MME获取根据鉴权矢量相关密钥推导出的根密钥的步骤为：

MME从来自 SGSN的移动管理上下文响应消息中获取根据鉴权矢量相关密钥推导出的根密钥。

5、如权利要求 4所述的终端移动时安全能力协商的方法，其特征在于，当所述 SGSN为 2G网络的 SGSN时，所述鉴权矢量相关密钥至少包括加密密钥 Kc或 Kc经单向变换后得到的值；

或者当所述 SGSN为 3G网络的 SGSN时，所述鉴权矢量相关密钥至少包括完整性密钥 IK和加密密钥 CK, 或者 IK和 CK经单向变换后得到的值。

6、如权利要求 4所述的终端移动时安全能力协商的方法，其特征在于，当所述 SGSN为 2G网络的 SGSN时，所述根据鉴权矢量相关密钥推导出的根密钥由 SGSN根据 Kc或 Kc经单向变换后得到的值推导得到，然后发送给 MME;

或者当所述 SGSN为第三代移动通信网络的 SGSN时，所述根据鉴权矢量相关密钥推导出的根密钥由 SGSN根据 IK和 CK,或者 IK和 CK经单向变换后得到的值推导得到，然后发送给 MME。

7、如权利要求 1所述的终端移动时安全能力协商的方法，其特征在于，所述 MME获取根据鉴权矢量相关密钥推导出的根密钥为： MME通过认证与密钥协商 AKA过程直接获取根据鉴权矢量相关密钥推导出的根密钥。

8、如权利要求 1所述的终端移动时安全能力协商的方法，其特征在于， MME 和 UE根据所述鉴权矢量相关密钥推导得到 NAS保护密钥包括：

MME和 UE根据所述鉴权矢量相关密钥推导得到根密钥，然后再根据所述推导的根密钥推导得到 NAS保护密钥。

9、如权利要求 1所述的终端移动时安全能力协商的方法，其特征在于，所述 MME向所述 UE发送携带所选择的 NAS安全算法的消息之前，该方法进一步包括：

MME对所述携带所选择的 NAS安全算法的消息进行完整性保护；

UE接收到所述携带所选择的 NAS安全算法的消息后，根据推导得到的 NAS 保护密钥，检查所述携带所选择 NAS安全算法的消息的完整性保护的正确性。

10、如权利要求 2或 3所述的终端移动时安全能力协商的方法，其特征在于，所述携带所选择的 NAS安全算法的消息中进一步携带所述 UE支持的安全能力信息，

该方法进一步包括： UE根据接收到的所述 UE支持的安全能力信息与自身支持的安全能力信息是否一致，判断是否存在降质攻击。

11、一种终端移动时安全能力协商的系统，其特征在于，该系统包括用户设备 UE和移动管理实体 MME,

所述 UE, 用于向 MME发送跟踪区域更新请求消息；接收 MME发送的携带所选择非接入信令 NAS 安全算法的消息；根据鉴权矢量相关密钥推导得到 NAS保护密钥；

所述 MME, 用于接收 UE发送的跟踪区域更新请求消息；获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，以及 UE支持的 NAS安全算法；根据所述 UE支持的 NAS安全算法，选择 NAS安全算法，生成并向 UE发送携带所选择的 NAS安全算法的消息；根据获取的鉴权矢量相关密钥或所述根密钥，推导得到 NAS保护密钥。

12、如权利要求 11所述的终端移动时安全能力协商的系统，其特征在于，所述 MME进一步获取 UE支持的安全能力信息，在所述向 UE发送的携带所选 NAS安全算法的消息中进一步携带所述 UE支持的安全能力信息；

所述 UE进一步根据所述 MME发送的 UE支持的安全能力信息与自身支持的安全能力信息是否一致，判断是否存在降质攻击。

13、一种移动管理实体 MME , 其特征在于，该 MME包括获取模块、选择模块和密钥推导模块，

所述获取模块，用于接收用户设备 UE发送的跟踪区域更新请求消息，获取鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，以及 UE支持的非接入信令 NAS安全算法；

所述选择模块，用于根据所述获取模块获取的 UE支持的 NAS安全算法，选择 NAS安全算法，生成携带所述选择的 NAS安全算法的消息，发送到 UE; 所述密钥推导模块，用于根据所述获取模块获取的鉴权矢量相关密钥或根据鉴权矢量相关密钥推导出的根密钥，及所述选择模块选择的 NAS安全算法，推导得到 NAS保护密钥。

14、如权利要求 13所述的 MME, 其特征在于，所述获取模块进一步获取 UE支持的安全能力信息，所述选择模块在所述携带所选择的 NAS安全算法的消息中进一步携带所述获取模块获取的 UE支持的安全能力信息。

15、一种用户设备 UE, 其特征在于，该 UE包括更新模块、密钥推导模块、存储模块和检查模块，

所述更新模块，用于向移动管理实体 MME发送跟踪区域更新请求消息，其中所述跟踪区域更新请求消息携带存储模块保存的 UE支持的安全能力信息；接收 MME发送的携带所选择非接入信令 NAS安全算法的消息；

所述存储模块，用于保存 UE支持的安全能力信息；

所述检查模块，用于根据从 MME接收到的 UE支持的安全能力信息，检查与存储模块保存的自身支持的安全能力信息不一致时，确定存在降质攻击。

16、根据权利要求 15所述的 UE, 其特征在于，所述更新模块在接收 MME 发送的携带所选择非接入信令 NAS安全算法的消息中进一步携带 UE支持的安全能力信息。