WO2014169568A1 - 安全上下文处理方法及装置 - Google Patents
安全上下文处理方法及装置 Download PDFInfo
- Publication number
- WO2014169568A1 WO2014169568A1 PCT/CN2013/083810 CN2013083810W WO2014169568A1 WO 2014169568 A1 WO2014169568 A1 WO 2014169568A1 CN 2013083810 W CN2013083810 W CN 2013083810W WO 2014169568 A1 WO2014169568 A1 WO 2014169568A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- security context
- mode
- terminal
- information
- network side
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种安全上下文处理方法及装置,该方法包括:确定当前状态由第一制式待机迁移到第二制式待机;依据在第一制式待机状态的安全上下文参数生成第二制式待机状态下的终端侧安全上下文;向网络侧发送请求信息,其中,请求信息中携带有用于标识终端由第一制式待机迁移到第二制式待机的标识信息,以及用于对终端侧安全上下文进行校验的校验信息,网络侧依据标识信息以及校验信息确定用于数据传输的安全上下文,通过本发明,解决了多模制式终端间进行制式的迁移时,存在安全性低,迁移效率低,影响网络性能的问题,进而达到了降低非法用户或者非法网络入侵几率,保证终端和网络安全功能延续性的效果。
Description
安全上下文处理方法及装置 技术领域 本发明涉及通信领域, 具体而言, 涉及一种安全上下文处理方法及装置。 背景技术 基于无线通信传输的内容需要经过安全认证, 用以保护用户数据的安全性以及避 免入侵者伪装成合法用户获取通信内容。 所以完备的商用网络和终端, 在双方信令交 互过程中对信令进行完整性保护和加密, 对数据进行加密传输, 达到安全传输目的。 一套完整的安全上下文具体包括完整性保护密钥 IK ( integrity key)、 加密密钥 CK (ciphering key )、双方协商均支持的完整性保护算法(integrity algorithm)和加密算法 ( ciphering algorithm )。 通常情况下, 在终端 UE (User Equipment) 开机进行位置登记或附着过程中, 网 络部分中的移动性管理实体 (Mobile Management Entity, 简称为 MME) 会与鉴权中 心 (Authentication Centre, 简称为 AuC) 进行交互, 终端部分中的移动台与用户识别 模块 USIM ( Subscriber Identity Module) 进行交互, 各自产生相同内容的完整性保护 密钥和加密密钥。 后续通过启动安全模式命令 (Security Mode Command), 协商双方 支持的安全算法并投入使用。 此后, 终端和网络可以使用上述过程产生的安全上下文 对信令和数据进行安全保护。 当单卡双待多模终端, 在当前待机侧出现丢失覆盖或受限服务等情况导致分组交 换 PS (Packet Switched) 业务无法继续使用时, 转换到另一个待机侧时, 此时处于迁 移后的制式的终端需要再次与网络侧进行信令的交互生成相同的安全上下文实现数据 的安全性保护,然而, 再次与新制式下的网络进行信令交互时需要重新激活安全过程, 网元之间交互负担重, 非法入侵概率大。 因此, 在相关技术中, 在多模制式终端间进行制式的迁移时, 存在安全性低, 迁 移效率低, 影响网络性能的问题。 发明内容 本发明提供了一种安全上下文处理的方法及装置, 以至少解决相关技术中在多模 制式终端间进行制式的迁移时, 存在安全性低, 迁移效率低, 影响网络性能的问题。
根据本发明的一个方面, 提供了一种安全上下文处理方法, 包括: 确定当前状态 由第一制式待机迁移到第二制式待机; 依据在所述第一制式待机状态的安全上下文参 数生成第二制式待机的终端侧安全上下文; 向网络侧发送请求信息, 其中, 所述请求 信息中携带有用于标识所述终端由第一制式待机迁移到第二制式待机的标识信息, 以 及用于对所述终端侧安全上下文进行校验的校验信息, 所述网络侧依据所述标识信息 以及所述校验信息确定用于数据传输的安全上下文。 优选地, 依据在所述第一制式待机状态的安全上下文参数生成第二制式待机状态 下的终端侧安全上下文包括:获取所述第一制式待机状态下的终端侧安全上下文参数; 根据所述终端侧的安全上下文参数生成完整性保护密钥 IK和加密密钥 CK; 依据所述 完整性保护密钥 IK和加密密钥 CK生成第二制式待机状态下的所述终端侧安全上下 文。 优选地, 所述第一制式待机、 所述第二制式待机为以下至少之一: 频分复用长期 演进 FDD-LTE、 时分复用长期演进 TDD-LTE、 时分同步码分多址接入 TD-SCDMA、 全球移动通信 GSM。 根据本发明的另一方面, 还提供了一种安全上下文处理方法, 包括: 接收来自终 端 UE的请求信息, 其中, 所述请求信息中携带有用于标识所述 UE由第一制式待机 迁移到第二制式待机的标识信息, 以及用于对所述终端侧安全上下文进行校验的校验 信息; 依据所述标识信息, 生成网络侧安全上下文; 依据所述校验信息以及所述网络 侧安全上下文, 确定用于数据传输的安全上下文。 优选地, 依据所述标识信息, 生成网络侧安全上下文包括: 依据所述标识信息获 取所述 UE在所述第一制式待机状态下的网络侧安全上下文参数; 依据所述网络侧安 全上下文参数生成在所述第二制式待机状态下的所述网络侧安全上下文。 优选地, 依据所述校验信息以及所述网络侧安全上下文, 确定用于数据传输的安 全上下文包括: 判断所述校验信息与依据所述网络侧安全上下文生成的校验信息是否 —致; 在判断结果为是的情况下, 确定相同校验信息对应的安全上下文为用于数据传 输的所述安全上下文。 优选的, 在确定用于数据传输的所述安全上下文之后, 还包括: 依据确定的所述 安全上下文进行上下文数据传输。 根据本发明的再一方面, 提供了一种安全上下文处理装置, 包括: 第一确定模块, 设置为确定当前状态由第一制式待机迁移到第二制式待机; 第一生成模块, 设置为依
据在所述第一制式待机状态的安全上下文参数生成第二制式待机状态下的终端侧安全 上下文; 发送模块, 设置为向网络侧发送请求信息, 其中, 所述请求信息中携带有用 于标识所述终端由第一制式待机迁移到第二制式待机的标识信息, 以及用于对所述终 端侧安全上下文进行校验的校验信息, 所述网络侧依据所述标识信息以及所述校验信 息确定用于数据传输的安全上下文。 优选地, 所述第一生成模块包括: 第一获取单元, 设置为获取所述第一制式待机 状态下的终端侧安全上下文参数; 第一生成单元, 设置为根据所述终端侧安全上下文 参数生成完整性保护密钥 IK和加密密钥 CK; 第二生成单元, 设置为依据所述完整性 保护密钥 IK和加密密钥 CK生成第二制式待机状态下的所述终端侧安全上下文。 根据本发明的又一方面, 提供了一种安全上下文处理装置, 包括: 接收模块, 设 置为接收来自终端 UE 的请求信息, 其中, 所述请求信息中携带有用于标识所述 UE 由第一制式待机迁移到第二制式待机的标识信息, 以及用于对所述终端侧安全上下文 进行校验的校验信息; 第二生成模块, 设置为依据所述标识信息, 生成网络侧安全上 下文; 第二确定模块, 设置为依据所述校验信息以及所述网络侧安全上下文, 确定用 于数据传输的安全上下文。 优选地, 所述第二生成模块包括: 第二获取单元, 设置为依据所述标识信息获取 所述 UE在所述第一制式待机状态下的网络侧安全上下文参数; 第三生成单元, 设置 为依据所述网络侧安全上下文参数生成在所述第二制式待机状态下的所述网络侧安全 上下文。 优选地, 所述第二确定模块包括: 判断单元, 设置为判断所述校验信息与依据所 述网络侧安全上下文生成的校验信息是否一致; 确定单元, 设置为在所述判断单元的 判断结果为是的情况下, 确定相同校验信息对应的安全上下文为用于数据传输的所述 安全上下文。 优选地, 所述安全上下文处理装置还包括: 传输模块, 设置为依据确定的所述安 全上下文进行上下文数据传输。 通过本发明, 采用确定当前状态由第一制式待机迁移到第二制式待机; 依据在所 述第一制式待机状态的安全上下文参数生成用于第二制式待机业务的终端侧安全上下 文; 向网络侧发送请求信息, 其中, 所述请求信息中包括所述终端侧安全上下文, 以 及用于标识所述终端由第一制式迁移到所述第二制式的标识信息, 解决了相关技术中 在多模制式终端间进行制式的迁移时, 存在安全性低, 迁移效率低, 影响网络性能的 问题, 进而达到了在不改变现有标准接口的情况下, 不必通过显式信令进行交互采用
安全上下文, 减少了网元之间的交互, 不仅提高了迁移效率, 而且增强了网络安全性 的效果。 附图说明 此处所说明的附图用来提供对本发明的进一步理解, 构成本申请的一部分, 本发 明的示意性实施例及其说明用于解释本发明, 并不构成对本发明的不当限定。 在附图 中- 图 1是根据本发明实施例的安全上下文处理方法的流程图一; 图 2是根据本发明实施例的安全上下文处理方法的流程图二; 图 3是根据本发明实施例的安全上下文处理装置的结构框图一; 图 4是根据本发明实施例的安全上下文处理装置中第一生成模块 34的结构框图; 图 5是根据本发明实施例的安全上下文处理装置的结构框图二; 图 6是根据本发明实施例的安全上下文处理装置的第二生成模块 54的结构框图; 图 7是根据本发明实施例的安全上下文处理装置的第二确定模块 56的结构框图; 图 8是根据本发明实施例的安全上下文处理装置的优选结构框图; 图 9是根据本发明优选实施方式的隐藏文件夹处理方法流程图。 具体实施方式 下文中将参考附图并结合实施例来详细说明本发明。 需要说明的是, 在不冲突的 情况下, 本申请中的实施例及实施例中的特征可以相互组合。 在本实施例中提供了一种安全上下文处理的方法, 图 1是根据本发明实施例的安 全上下文处理方法的流程图一, 如图 1所示, 该流程包括如下步骤: 步骤 S102, 确定当前状态由第一制式待机迁移到第二制式待机; 步骤 S104,依据在上述第一制式待机状态的安全上下文参数生成第二制式待机状 态下的终端侧安全上下文;
步骤 S106, 向网络侧发送请求信息, 其中, 上述请求信息中携带有用于标识该终 端由第一制式待机迁移到第二制式待机的标识信息, 以及用于对该终端侧安全上下文 进行校验的校验信息, 网络侧依据该标识信息以及校验信息确定用于数据传输的安全 上下文。 通过上述步骤, 在迁移至第二制式时, 终端直接采用第一制式的安全上下文参数 生成终端侧的安全上下文, 不仅解决了相关技术中在多模制式终端间进行制式的迁移 时, 需要重新通过显式的信令进行安全上下文的交互, 不仅存在安全性低, 迁移效率 低, 影响网络性能的问题, 进而达到了在不改变现有标准接口的情况下, 不必通过显 式信令进行交互采用安全上下文, 减少了网元之间的交互, 不仅提高了迁移效率, 而 且增强了网络安全性、 提高了终端和网络安全功能延续性, 提高用户体验。 在上述第一制式待机状态的安全上下文参数生成第二制式待机状态下的终端侧安 全上下文包括以下方面, 获取该第一制式待机状态下的终端侧安全上下文参数; 根据 该终端侧安全上下文参数生成完整性保护密钥 IK和加密密钥 CK; 依据该完整性保护 密钥 IK和加密密钥 CK, 采用对应的完整性保护算法和加密算法生成第二制式待机状 态下的该终端侧安全上下文。 需要说明的是, 上述第一制式待机、 第二制式待机可以为以下至少之一: 频分复 用长其月演进 (Frequency Division Duplexing-Long-Term Evolution, 简称为 FDD-LTE)、 时分复用长期演进 ( Time Division Duplex- Long-Term Evolution, 简称为 TDD-LTE )、 时分同步码分多址接入 (Time Division-Synchronized Code Division Multiple Access, 简 称为 TD-SCDMA)、 全球移动通信 (Global System for Mobile communication, 简称为 GSM)。 例如, 由第一制式待机迁移到到第二制式待机时, 第一制式待机可以为以下 至少之一: FDD-LTE、 TDD-LTE TD-SCDMA, 第二制式待机可以为以下至少之一: TD-SCDMA、 GSM。 图 2是根据本发明实施例的安全上下文处理方法的流程图二, 如图 2所示, 该流 程包括如下步骤: 步骤 S202, 接收来自终端 UE的请求信息, 其中, 该请求信息中携带有用于标识 该 UE由第一制式待机迁移到第二制式待机的标识信息, 以及用于对该终端侧安全上 下文进行校验的校验信息; 步骤 S204, 依据上述标识信息, 生成网络侧安全上下文;
步骤 S206, 依据该校验信息以及该网络侧安全上下文, 确定用于数据传输的安全 上下文。 通过上述步骤, 在终端由第一制式待机迁移至第二制式待机时, 在接收到终端直 接采用第一制式的安全上下文参数生成终端侧的安全上下文后发送的请求消息时, 依 据终端传送过来的制式迁移标识, 在网络侧生成安全上下文, 不仅解决了相关技术中 在多模制式终端间进行制式的迁移时, 网络侧需要重新与终端侧通过显式的信令进行 安全上下文的交互, 不仅存在安全性低, 迁移效率低, 影响网络性能的问题, 进而达 到了在不改变现有标准接口的情况下, 不必通过显式信令进行交互采用安全上下文, 减少了网元之间的交互, 不仅提高了迁移效率, 而且增强了网络安全性、 提高了终端 和网络安全功能延续性, 提高用户体验。 较优地, 依据该标识信息, 生成网络侧安全上下文可以采用以下处理: 依据该标 识信息获取 UE在上述第一制式待机状态下的网络侧安全上下文参数, 即第二制式网 元可以依据该标识信息从第一制式网元处获取到该网络侧安全上下文参数; 依据该网 络侧安全上下文参数依据预先存储的生成安全上下文的算法生成在上述第二制式待机 状态下的网络侧安全上下文。 在依据该校验信息以及上述网络侧安全上下文, 确定用于数据传输的安全上下文 时,可以先依据生成的网络侧安全上下文生成该网络侧安全上下文的校验信息,之后, 判断上述请求信息中携带的校验信息与依据上述网络侧安全上下文生成的校验信息是 否一致; 在判断结果为是的情况下, 即两者一致的情况下, 确定该相同的校验信息对 应的安全上下文为用于数据传输的安全上下文。 较佳地, 在确定用于数据传输的上述 安全上下文之后, 还可以包括: 依据确定的上述安全上下文进行上下文数据传输。 在本实施例中还提供了一种安全上下文处理装置, 该装置用于实现上述实施例及 优选实施方式, 已经进行过说明的不再赘述。 如以下所使用的, 术语"模块"可以实现 预定功能的软件和 /或硬件的组合。 尽管以下实施例所描述的装置较佳地以软件来实 现, 但是硬件, 或者软件和硬件的组合的实现也是可能并被构想的。 图 3是根据本发明实施例的安全上下文处理装置的结构框图一, 如图 3所示, 该 装置包括: 第一确定模块 32, 第一生成模块 34和发送模块 36, 下面对该装置进行说 明。 第一确定模块 32, 设置为确定当前状态由第一制式待机迁移到第二制式待机; 第 一生成模块 34,连接至上述第一确定模块 32, 设置为依据在上述第一制式待机状态的 安全上下文参数生成第二制式待机状态下的终端侧安全上下文; 发送模块 36, 连接至
上述第一生成模块 34, 设置为向网络侧发送请求信息, 其中, 该请求信息中携带有用 于标识终端由第一制式待机迁移到第二制式待机的标识信息, 以及用于对该终端侧安 全上下文进行校验的校验信息, 上述网络侧依据标识信息以及校验信息确定用于数据 传输的安全上下文。 图 4是根据本发明实施例的安全上下文处理装置中第一生成模块 34的结构框图, 如图 4所示, 该第一生成模块 34包括: 第一获取单元 42, 第一生成单元 44和第二生 成单元 46, 下面对该模块进行说明。 第一获取单元 42, 设置为获取该第一制式待机状态下的终端侧安全上下文参数; 第一生成单元 44,连接至上述第一获取单元 42, 设置为根据该终端侧安全上下文参数 生成完整性保护密钥 IK和加密密钥 CK; 第二生成单元 46, 连接至上述第一生成单元 44,设置为依据该完整性保护密钥 IK和加密密钥 CK生成第二制式待机状态下的该终 端侧安全上下文。 图 5是根据本发明实施例的安全上下文处理装置的结构框图二, 如图 5所示, 该 装置包括: 接收模块 52, 第二生成模块 54和第二确定模块 56, 下面对该模块进行说 明。 接收模块 52, 设置为接收来自终端 UE的请求信息, 其中, 该请求信息中携带有 用于标识该 UE由第一制式待机迁移到第二制式待机的标识信息, 以及用于对终端侧 安全上下文进行校验的校验信息; 第二生成模块 54, 连接至上述接收模块 52, 设置为 依据该标识信息, 生成网络侧安全上下文; 第二确定模块 56, 连接至上述第二生成模 块 54, 设置为依据该校验信息以及该网络侧安全上下文, 确定用于数据传输的安全上 下文。 图 6是根据本发明实施例的安全上下文处理装置的第二生成模块 54的结构框图, 如图 6所示, 该第二生成模块 54包括: 第二获取单元 62和第三生成单元 64, 下面对 该模块进行说明。 第二获取单元 62, 设置为依据上述标识信息获取该 UE在上述第一制式待机状态 下的网络侧安全上下文参数; 第三生成单元 64, 连接至上述第二获取单元 62, 设置为 依据该网络侧安全上下文参数生成在上述第二制式待机状态下的网络侧安全上下文。 图 7是根据本发明实施例的安全上下文处理装置的第二确定模块 56的结构框图, 如图 7所示, 该第二确定模块 56包括: 判断单元 72和确定单元 74, 下面对该模块进 行说明。
判断模块 72, 设置为判断上述校验信息与依据上述网络侧安全上下文生成的校验 信息是否一致; 确定单元 74, 连接至上述判断单元 72, 设置为在上述判断单元的判断 结果为是的情况下, 确定相同校验信息对应的安全上下文为用于数据传输的安全上下 文。 图 8是根据本发明实施例的安全上下文处理装置的优选结构框图, 如图 8所示, 该处理装置除了包括图 5所有模块外, 还包括传输模块 82。 下面对传输模块 82进行 说明。 传输模块 82,连接至上述第二确定模块 56, 设置为依据确定的安全上下文进行上 下文数据传输。 通过上述实施例及优选实施方式, 单卡双待多模终端在分组数据业务在不同待机 侧迁移时, 不需要通过显式的信令鉴权和安全模式命令, 在终端新的待机侧和新的网 络系统下生成可用的安全上下文。 缩短因用户业务迁移过程中因重新激活安全过程而 导致的时延, 新的安全上下文生成方式简化网元间的交互和维护负担, 降低非法用户 或者非法网络入侵的机率。 在不需要更新和新增目前现有的标准接口, 便能保证终端 和网络安全功能的延续性。 需要指 出 的是 , 上述终端例如可 以 为 单卡双待多模 ( 支持 FDD-LTE/TDD-LTE/TD-SCDMA/GSM 制式) 终端, 针对在当前待机侧 (支持 TDD-LTE/FDD-LTE制式)出现丢失覆盖或受限服务等情况导致 PS业务无法继续使用 时, 转换到另一个待机侧 (支持 TD-SCDMA/GSM) 时, 在本实施例中提供了一种能 够生成在当前待机侧可以投入使用的安全上下文的方法。 该方法包括如下处理: 当 LTE待机侧丢失覆盖或者受限服务时导致 PS业务无法在 LTE待机侧使用而需 要迁移到 TDS待机侧, TDS待机侧使用 LTE待机侧保持的安全上下文参数 RAND和 Kasme, 根据密钥衍生算法计算出 TDS待机侧使用的密钥 CK和 IK, 进而根据 UE和 网络已经协商好的通用移动通信系统(Universal Mobile Telecommunication System, 简 称为 UMTS) 算法, 形成一套完整的安全上下文。 TDS待机侧首先计算出分组域用户 临时移动用户识别码 (Packet Temperate Mobile Subscription Identity, 简称为 P-TMSI) Signature,且在 Routing Area Update Request消息中携带用以服务通用分组无线业务支 持节点 (Serving General Packet Radio Service Supporting Node, 简称为 SGSN)本地生 成安全上下文后用以验证双方是否一致,并且该消息中携带 CSKN来标识 TDS待机侧 已经生成的安全上下文。 当 SGSN收到 Routing Area Update Request中, 根据 CKSN 指示信息从 MME处获取 RAND和 Kasme, 相同方式计算出 CK和 IK,与 UMTS安全
算法合并成当前安全上下文。 SGSN本地计算出 P-TMSI Signature, 与 UE侧计算的结 果进行匹配。 若匹配成功, 说明当前安全上下文可投入使用, 后续不必通过鉴权加密 过程, 即可立即对上下行数据安全保护传输。 安全上下文是由终端和网络在各自系统下生成的。 一个网络下的合法用户, 在归 属用户服务器 (Home Subscriber Server, 简称为 HSS) /鉴权中心 AuC和用户识别模 块 USIM( Subscriber Identity Module)中配置具有相同的 K值、源点码 (Originating Point Code, 简称为 OPC) 码和基础密钥生成算法, 这些都是生成安全上下文的基础数据。 下面结合附图对本发明实施例的优选实施方式进行说明。 图 9是根据本发明优选实施方式的隐藏文件夹处理方法流程图, 如图 9所示, 该 流程包括如下步骤:
Sl, 处于 TDS和 LTE覆盖下的单卡双待多模终端开机时, 两个待机侧分别驻留 到 TDS小区和 LTE小区,并且分别向各自的核心网发送位置登记请求 (Location Update Request) 和附着请求 (Attach Request), 其中携带的身份标识信息国际移动用户识别 码 (International Mobie Subscriber Identity, 简称为 IMSI) 是相同的, 并且分别将终端 支持的 LTE安全算法和 TDS安全算法携带给网络。
S2,当 MME收到终端的 Attach Request后,本地产生一个随机数 RAND和 AUTN 通过与 HSS/Auc的交互, 产生 LTE安全上下文的基础密钥 Kasme并本地保存, 且用 IMSI识别属于哪个终端。 MME向终端发起鉴权过程, 将 RAND和 AUTN携带给终 W o S3, 终端使用接收到的 RAND和 AUTN, 并且通过 USIM的计算, 生成与 MME 相同的 Kasme,终端本地保存 RAND和 Kasme,并且通过鉴权响应回复给 MME MME 通过比较鉴权响应中的结果, 用以确认双方维护的基础密钥是否相同。
S4, 当 MME确认双方维护了相同的基础密钥,根据从 Attach Request中提出终端 支持的安全算法, 匹配 MME支持的算法, 并且选取公共算法, 使用 KaSme、 完整性 保护算法 EIA、 加密算法 EEA,通过公式 (Hash-Base Message Authentication Code, 简 称为 HMAC) -安全散列算法(Secure Hash Algorithm,简称为 SHA) -256 (Key, Algid) (33401A.7)生成完整性保护密钥 Knasint和加密密钥 Knasenc,并且本地存储。通过安 全模式命令 Security Mode Command将网络选择的算法通知终端。
S5, 终端确认安全激活使用的算法后, 根据本地存储的 Kasme, 生成完整性保护 密钥和加密密钥,并且回复 Security Mode Complete通知网络安全上下文生成完成并投 入使用。 至此, 网络和终端维护相同的安全上下文, 包括 RAND、 Kasme Knasint、 Knasenc EI A和 EEA。 S6, 与以上五步并发的, TDS待机侧完成位置登记过程, 终端保存可用的 UMTS 加密算法 UEA和完整性保护算法 UIA。 终端的电路域业务分流到 TDS待机侧完成, 分组数据业务分流到 LTE待机侧完成。
S7,当终端离开 LTE的覆盖区域导致 LTE待机侧丢失覆盖或进入受限服务导致分 组数据业务不可用时, 终端进行分组数据业务迁移, 在 LTE待机侧恢复之前, 在 TDS 待机侧进行分组数据。首先生成 TDS待机侧所需要的安全上下文, 具体的, TDS待机 侧首先从 LTE待机侧获取 RAND和 Kasme。这两个参数是 PS域最新的安全参数之一, 并且在网络侧 MME 处也有存储。 终端根据密钥生成算法 (Hash-Base Message Authentication Code -Secure Hash Algorithm, 简称为 HMAC-SHA), 利用 RAND和 Kasme, 生成 TDS待机侧的完整性保护密钥 IK和加密密钥 CK。 然后在根据 c3函数, 引入已生成的 CK和 IK,进而计算出通用分组无线业务 (General Packet Radio Service 简称为 GPRS, 加密键 Kc (ciphering Key) (TS33.102)。
S8, 由于双待终端在 TDS 小区已经正常驻留并且能够获取电路交换域 (Circuit Switched Domain, 简称为 CS) 业务, 通过前面位置登记过程, 得知 TDS的网络和多 模终端共同支持的 UMTS加密算法和完整性保护算法。终端可以将此类安全算法继续 在 PS业务中投入使用。 此时, 终端根据新生成的安全上下文, 在 TDS系统下发起路 由更新过程,其中参数 PTMSI可由 LTE下的标识符 GUTI映射,用以表明终端发生系 统间改变, PS业务是由 LTE制式迁移过来的。 其中终端根据当前安全上下文中存在 的 IK、 CK、 UIA和 UEA等参数, 组合出 CK||IK、 UEA||UIA, 进一步计算出 P-TMSI Signature, 提供给 SGSN用以检验双方生成的安全上下文是否一致。 其中参数 GPRS CKSN, 用来标识终端当前使用的安全上下文所生成的方式。
S9, 服务通用分组无线业务支撑节点 ( Serving General packet radio service support node, 简称为 SGSN) 收到终端的路由更新请求消息 (Routing Area Update Request), 首先根据 P-TMSI能够映射出 GUTI, 确认出哪个 MME维护该 IMSI下的 RAND和 Kasme, 并且保存无线网络控制器(Radio Network Controller, 简称为 RNC)提供的当 前 CS域使用的 UMTS安全算法。 SGSN通过 UE Context Request向所识别的 MME处 获取它所维护的 RAND和 Kasme,其中需要携带 P-TMSI映射出的能够代表终端唯一身 份认证的 GUTI。
S10, MME根据收到的 GUTI身份标识,查找本地存储的终端信息,并且将 RAND、 Kasme以及 EPS承载信息等通过 UE Context Response反馈给 SGSN。
Sll, SGSN根据获取得到的 RAND和 Kasme, 计算出 UMTS下安全上下文中的 完整性保护密钥 IK和加密密钥 CK,然后结合保存的 RNC在用的 UMTS安全算法, 利 用 CK||IK和 UEA||UIA, 本地计算出 Local P-TMSI Signature, 与 Routing Area Update Request中终端计算的 P-TMSI Signature进行比较。
(a) 若两者一致, 说明 SGSN和终端分别生成的可用的并且有效的安全上下文。 后续 SGSN和终端的信令交互以及上下行数据可以进行安全保护。
(b)若两者不一致,说明 SGSN和终端维护的安全上下文存在差异或者遭到非法 用户的入侵, SGSN放弃当前生成的安全上下文, 重新通过现有方式, 通过鉴权加密 过程和安全模式过程, 触发终端生成可用的安全上下文。
S12, LTE待机侧恢复覆盖或者能够提供正常服务, 终端便不在维护当前 TDS待 机侧的安全上下文, 继续使用先前存储的 LTE待机侧可用的安全上下文。 若后续发生 鉴权过程, 需要终端和 MME删除旧的并且保存新的 RAND和 KaSme。 通过上述提供的生成安全上下文和分散式管理安全上下文方法。 在不改变标准接 口的情况下, 达到了与现有技术具有相同的生成和校验安全上下文的功能。 只要终端 和网络侧设备安全该发明约定的规则, 结合成熟的安全密钥衍生算法, 使用新方式生 成安全上下文, 可以不必在通过显式的信令交互生成新安全上下文, 减少了网元之间 的交互, 降低非法用户或非法网络入侵的机会。 此外, 能够利用双待终端同时且独立 待机, 但分组数据业务不会同时进行的特点, 分散式的管理 LTE待机侧和 TDS待机 侧安全上下文信息, 两者不会造成相互干扰和影响。 显然, 本领域的技术人员应该明白, 上述的本发明的各模块或各步骤可以用通用 的计算装置来实现, 它们可以集中在单个的计算装置上, 或者分布在多个计算装置所 组成的网络上, 可选地, 它们可以用计算装置可执行的程序代码来实现, 从而, 可以 将它们存储在存储装置中由计算装置来执行, 并且在某些情况下, 可以以不同于此处 的顺序执行所示出或描述的步骤, 或者将它们分别制作成各个集成电路模块, 或者将 它们中的多个模块或步骤制作成单个集成电路模块来实现。 这样, 本发明不限制于任 何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已, 并不用于限制本发明, 对于本领域的技 术人员来说, 本发明可以有各种更改和变化。 凡在本发明的精神和原则之内, 所作的 任何修改、 等同替换、 改进等, 均应包含在本发明的保护范围之内。 如上所述, 本发明实施例提供的一种安全上下文处理方法及装置具有以下有益效 果: 解决了相关技术中多模制式终端间进行制式的迁移时, 安全性低, 迁移效率低, 影响网络性能的问题, 降低了非法用户或者非法网络入侵几率, 保证了终端和网络的 安全功能延续性。
Claims
1. 一种安全上下文处理方法, 包括:
确定当前状态由第一制式待机迁移到第二制式待机;
依据在所述第一制式待机状态的安全上下文参数生成第二制式待机状态下 的终端侧安全上下文;
向网络侧发送请求信息, 其中, 所述请求信息中携带有用于标识所述终端 由第一制式待机迁移到第二制式待机的标识信息, 以及用于对所述终端侧安全 上下文进行校验的校验信息, 所述网络侧依据所述标识信息以及所述校验信息 确定用于数据传输的安全上下文。
2. 根据权利要求 1所述的方法, 其中, 依据在所述第一制式待机状态的安全上下 文参数生成第二制式待机状态下的终端侧安全上下文包括:
获取所述第一制式待机状态下的终端侧安全上下文参数;
根据所述终端侧安全上下文参数生成完整性保护密钥 IK和加密密钥 CK; 依据所述完整性保护密钥 IK和加密密钥 CK生成第二制式待机状态下的所 述终端侧安全上下文。
3. 根据权利要求 1所述的方法, 其中, 所述第一制式待机、 所述第二制式待机为 以下至少之一:
频分复用长期演进 FDD-LTE、 时分复用长期演进 TDD-LTE、 时分同步码 分多址接入 TD-SCDMA、 全球移动通信 GSM。
4. 一种安全上下文处理方法, 包括:
接收来自终端 UE的请求信息, 其中, 所述请求信息中携带有用于标识所 述 UE由第一制式待机迁移到第二制式待机的标识信息, 以及用于对所述终端 侧安全上下文进行校验的校验信息;
依据所述标识信息, 生成网络侧安全上下文;
依据所述校验信息以及所述网络侧安全上下文, 确定用于数据传输的安全 上下文。
5. 根据权利要求 4所述的方法, 其中, 依据所述标识信息, 生成网络侧安全上下 文包括:
依据所述标识信息获取所述 UE在所述第一制式待机状态下的网络侧安全 上下文参数;
依据所述网络侧安全上下文参数生成在所述第二制式待机状态下的所述网 络侧安全上下文。
6. 根据权利要求 4所述的方法, 其中, 依据所述校验信息以及所述网络侧安全上 下文, 确定用于数据传输的安全上下文包括:
判断所述校验信息与依据所述网络侧安全上下文生成的校验信息是否一 致;
在判断结果为是的情况下, 确定相同校验信息对应的安全上下文为用于数 据传输的所述安全上下文。
7. 根据权利要求 4至 6中任一项所述的方法, 其中, 在确定用于数据传输的所述 安全上下文之后, 还包括:
依据确定的所述安全上下文进行上下文数据传输。
8. 一种安全上下文处理装置, 包括:
第一确定模块,设置为确定当前状态由第一制式待机迁移到第二制式待机; 第一生成模块, 设置为依据在所述第一制式待机状态的安全上下文参数生 成第二制式待机状态下的终端侧安全上下文;
发送模块, 设置为向网络侧发送请求信息, 其中, 所述请求信息中携带有 用于标识所述终端由第一制式待机迁移到第二制式待机的标识信息, 以及用于 对所述终端侧安全上下文进行校验的校验信息, 所述网络侧依据所述标识信息 以及所述校验信息确定用于数据传输的安全上下文。
9. 根据权利要求 8所述的装置, 其中, 所述第一生成模块包括: 第一获取单元, 设置为获取所述第一制式待机状态下的终端侧安全上下文 参数;
第一生成单元, 设置为根据所述终端侧安全上下文参数生成完整性保护密 钥 IK和加密密钥 CK;
第二生成单元,设置为依据所述完整性保护密钥 IK和加密密钥 CK生成第 二制式待机状态下的所述终端侧安全上下文。
10. 一种安全上下文处理装置, 包括:
接收模块, 设置为接收来自终端 UE的请求信息, 其中, 所述请求信息中 携带有用于标识所述 UE由第一制式待机迁移到第二制式待机的标识信息, 以 及用于对所述终端侧安全上下文进行校验的校验信息;
第二生成模块, 设置为依据所述标识信息, 生成网络侧安全上下文; 第二确定模块, 设置为依据所述校验信息以及所述网络侧安全上下文, 确 定用于数据传输的安全上下文。
11. 根据权利要求 10所述的装置, 其中, 所述第二生成模块包括:
第二获取单元, 设置为依据所述标识信息获取所述 UE在所述第一制式待 机状态下的网络侧安全上下文参数;
第三生成单元, 设置为依据所述网络侧安全上下文参数生成在所述第二制 式待机状态下的所述网络侧安全上下文。
12. 根据权利要求 10所述的装置, 其中, 所述第二确定模块包括:
判断单元, 设置为判断所述校验信息与依据所述网络侧安全上下文生成的 校验信息是否一致;
确定单元, 设置为在所述判断单元的判断结果为是的情况下, 确定相同校 验信息对应的安全上下文为用于数据传输的所述安全上下文。
13. 根据权利要求 10至 12中任一项所述的装置, 其中, 还包括: 传输模块, 设置为依据确定的所述安全上下文进行上下文数据传输。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310362040.6 | 2013-08-19 | ||
| CN201310362040.6A CN104427584B (zh) | 2013-08-19 | 2013-08-19 | 安全上下文处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2014169568A1 true WO2014169568A1 (zh) | 2014-10-23 |
Family
ID=51730727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2013/083810 WO2014169568A1 (zh) | 2013-08-19 | 2013-09-18 | 安全上下文处理方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN104427584B (zh) |
| WO (1) | WO2014169568A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3800914B1 (en) | 2016-01-05 | 2024-05-01 | Huawei Technologies Co., Ltd. | Avoiding a man-in-the-middle attack on an attach request message |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101521873A (zh) * | 2009-03-16 | 2009-09-02 | 中兴通讯股份有限公司 | 启用本地安全上下文的方法 |
| CN101610506A (zh) * | 2008-06-16 | 2009-12-23 | 上海华为技术有限公司 | 防止网络安全失步的方法和装置 |
| CN101730095A (zh) * | 2008-10-28 | 2010-06-09 | 华为技术有限公司 | 一种实现消息完整性保护的方法、装置及系统 |
| WO2012146282A1 (en) * | 2011-04-27 | 2012-11-01 | Telefonaktiebolaget L M Ericsson (Publ) | Authenticating a device in a network |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101411115B (zh) * | 2006-03-31 | 2012-06-06 | 三星电子株式会社 | 用于在接入系统间切换期间优化验证过程的系统和方法 |
| US9706395B2 (en) * | 2008-04-28 | 2017-07-11 | Nokia Technologies Oy | Intersystem mobility security context handling between different radio access networks |
-
2013
- 2013-08-19 CN CN201310362040.6A patent/CN104427584B/zh active Active
- 2013-09-18 WO PCT/CN2013/083810 patent/WO2014169568A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610506A (zh) * | 2008-06-16 | 2009-12-23 | 上海华为技术有限公司 | 防止网络安全失步的方法和装置 |
| CN101730095A (zh) * | 2008-10-28 | 2010-06-09 | 华为技术有限公司 | 一种实现消息完整性保护的方法、装置及系统 |
| CN101521873A (zh) * | 2009-03-16 | 2009-09-02 | 中兴通讯股份有限公司 | 启用本地安全上下文的方法 |
| WO2012146282A1 (en) * | 2011-04-27 | 2012-11-01 | Telefonaktiebolaget L M Ericsson (Publ) | Authenticating a device in a network |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104427584A (zh) | 2015-03-18 |
| CN104427584B (zh) | 2019-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109309920B (zh) | 安全实现方法、相关装置以及系统 | |
| US9854497B2 (en) | Method and apparatus for self configuration of LTE e-Node Bs | |
| CN109587688B (zh) | 系统间移动性中的安全性 | |
| KR102315881B1 (ko) | 사용자 단말과 진화된 패킷 코어 간의 상호 인증 | |
| JP6632713B2 (ja) | 直接通信キーの確立のための方法および装置 | |
| CN109964453B (zh) | 统一安全性架构 | |
| JP5992554B2 (ja) | 第1のクライアントステーションのクレデンシャルを使用して第2のクライアントステーションを認証するシステム及び方法 | |
| US9667413B2 (en) | Encryption realization method and system | |
| US10687213B2 (en) | Secure establishment method, system and device of wireless local area network | |
| JP6671527B2 (ja) | 端末デバイスが別の端末デバイスを発見するための方法および装置 | |
| WO2009152759A1 (zh) | 防止网络安全失步的方法和装置 | |
| WO2012174959A1 (zh) | 一种机器到机器通信中组认证的方法、系统及网关 | |
| WO2013181847A1 (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
| WO2014059947A1 (zh) | 一种双向认证的方法、设备及系统 | |
| WO2014029267A1 (zh) | 实现ue注册、以及业务呼叫的方法及装置及系统 | |
| KR101460766B1 (ko) | 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법 | |
| WO2020056433A2 (en) | SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo) | |
| EP2687034A1 (en) | Prevention of eavesdropping type of attack in hybrid communication system | |
| TWI685267B (zh) | 一種接入控制的方法及設備 | |
| CN115412911A (zh) | 一种鉴权方法、通信装置和系统 | |
| WO2013163846A1 (zh) | 一种对移动设备验证的方法、装置及系统 | |
| KR101434750B1 (ko) | 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치 | |
| WO2014169568A1 (zh) | 安全上下文处理方法及装置 | |
| CN115942305A (zh) | 一种会话建立方法和相关装置 | |
| WO2012065405A1 (zh) | 合法终端的判定方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 13882560 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 13882560 Country of ref document: EP Kind code of ref document: A1 |