WO2015062488A1

WO2015062488A1 - 一种安全上下文的提供、获取方法及设备

Info

Publication number: WO2015062488A1
Application number: PCT/CN2014/089734
Authority: WO
Inventors: 张丽佳; 陈璟; 许怡娴; 张万强
Original assignee: 华为技术有限公司
Priority date: 2013-10-28
Filing date: 2014-10-28
Publication date: 2015-05-07
Also published as: CN105532026A; WO2015061951A1

Abstract

本发明公开了一种安全上下文的提供、获取方法及设备，用以实现特定网络下的核心网设备可以获取安全上下文。所述的提供方法包括：第一核心网设备接收来自UE的NAS消息；第一核心网设备当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息；第一核心网设备接收所述第二核心网设备发送的上下文请求，所述上下文请求中包括重路由指示、UE的标识以及密钥集标识，第一核心网设备根据所述UE的标识以及密钥集标识，查找对应的安全上下文，并将该安全上下文发送给所述第二核心网设备，其中，所述根密钥，为安全上下文中的根密钥。

Description

一种安全上下文的提供、获取方法及设备

技术领域

本发明涉及通信技术领域，尤其涉及一种安全上下文的提供、获取方法及设备。

背景技术

版本(Release，R)10及R10之后的用户设备(User Equipment，UE)具有上报低接入优先级指示(Low Access Priority Indicator，LAPI)给演进型基站(evolved NodeB，eNB)的能力，这样eNB可以根据UE上报的指示为UE选择特定网络，从而防止进行特定业务的UE对普通网络带来的影响，例如大量低优先级UE接入网络带来的网络拥塞。其中，所述特定业务，例如机器类通信(Machine Type Communication，MTC)。特定网络是服务于特定业务的网络，例如机器类通信网络，专门服务于机器类通信，所有的机器类通信设备都接入到这个网络进行通信，可以防止机器类通信给普通网络带来的冲击。特定网络的网络架构与普通网络一样，只是网络实体功能上有些改变。

目前广泛应用的R10之前的UE并不支持此功能，为了在不改变现有UE前提下实现此功能，现有技术提出了基于网络侧的方案，使得R10之前的UE也可以选择在特定网络进行通信。具体方法参见图1，UE向网络侧发起附着请求或位置更新请求，移动性管理实体(Mobile Management Entity，MME)向归属用户服务器(Home Subscriber Server，HSS)请求签约数据，当签约数据中包含UE在特定网络通信的指示时，MME通过eNB将非接入层(Non Access Stratum，NAS)消息转发给特定(specific)MME，其中，所述NAS消息，例如附着请求或位置更新请求，所述specific MME，即特定网络中的MME。

在MME向HSS获取签约数据之前，UE与MME之间已经建立了安全关联，网络侧重新选择specific MME的行为对UE来说是不可知的，specific MME 需要从MME处获取安全上下文，从而利用该安全上下文与UE进行安全通信。另外，如果该NAS消息被完整性保护，需要考虑specific MME如何对重路由(reroute)的NAS消息进行完整性校验。

现有技术中的跟踪区域更新(Tracking Area Update，TAU)过程如下，假设UE发起TAU时，新MME(MMEn)上没有可用的安全上下文，需要向旧MME(MMEo)索要。参见图2，具体包括：

MMEn向MMEo发送安全上下文的请求消息，该请求消息中包括MMEo为UE分配的全球唯一临时标识(Globally Unique Temporary UE Identity，GUTI)，即旧GUTI(GUTIo)，该请求消息还包括从UE处接收的整个TAU消息；

MMEo根据GUTIo从数据库中检索用户数据，利用检索到的安全上下文验证TAU请求的完整性，并将认证数据(authentication data)和UE的国际移动签约用户识别码(International Mobile Subscriber Identification Number，IMSI)发送给MMEn，其中，所述认证数据中包含安全上下文，MMEn保存接收到的安全上下文。

综上所述，在MME重选场景下，现有技术无法解决specific MME如何获取UE的安全上下文的问题，导致specific MME不能和UE进行安全通信。

发明内容

本发明提供一种安全上下文的提供、获取方法及设备，用以实现特定网络下的核心网设备可以获取UE的安全上下文，从而使得特定网络下的核心网设备与UE可以进行安全通信。

第一方面，本发明实施例提供的一种提供安全上下文的方法，包括：

第一核心网设备接收用户设备UE发送的非接入层NAS消息；

当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第一核心网设备向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息；

第一核心网设备接收所述第二核心网设备发送的上下文请求，所述上下文请求中包括UE的标识以及密钥集标识，第一核心网设备根据所述UE的标识以及密钥集标识，查找对应的安全上下文，并将该安全上下文发送给所述第二核心网设备。

结合第一方面，在第一种可能的实现方式中，第一核心网设备向接入网设备发送重路由命令之前，该方法还包括：

第一核心网设备对接收到的NAS消息进行重构，所述重路由命令中包含的NAS消息，为重构的NAS消息。

结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，第一核心网设备对接收到的来自所述UE的NAS消息进行重构，包括：

第一核心网设备利用当前安全上下文中的密钥集标识，替换该UE发送的NAS消息中的密钥集标识；和/或，

第一核心网设备根据当前安全上下文计算完整性保护校验值，并将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE。

结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中，将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE，包括：

将所述完整性保护校验值填充到所述UE发送的NAS消息中的消息认证码MAC信元IE；或

将所述完整性保护校验值替换所述UE发送的NAS消息中的消息认证码MAC。

结合第一方面的第二种可能的实现方式，在第四种可能的实现方式中，第一核心网设备对接收到的来自所述UE的NAS消息进行重构，还包括：

第一核心网设备将第一核心网设备为所述UE分配的标识替换从该UE接收到的NAS消息中的UE的标识。

结合第一方面，在第五种可能的实现方式中，所述密钥集标识包含在所述上下文请求中；或者，

所述密钥集标识包含在NAS消息中，该NAS消息包含在所述上下文请求。

结合第一方面，在第六种可能的实现方式中，第一核心网设备确定当前的安全上下文后，将该安全上下文发送给第二核心网设备前，该方法还包括：

第一核心网设备利用当前的安全上下文验证该上下文请求中携带的NAS消息的完整性；

则，所述第一核心网设备将该安全上下文发送给第二核心网设备的步骤，是当所述验证成功时执行的。

结合第一方面的第六种可能的实现方式，在第七种可能的实现方式中，第一核心网设备利用当前与该UE共享的安全上下文验证该上下文请求中携带的NAS消息的完整性，包括：

第一核心网设备验证该上下文请求中携带的NAS消息中的完整性保护校验值或者消息认证码MAC值；或者

第一核心网设备验证该上下文请求中的完整性保护校验值。

结合第一方面，在第八种可能的实现方式中，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

结合第一方面，在第九种可能的实现方式中，所述上下文请求中还包括：

重路由指示和/或完整性保护校验值，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的。

第二方面，本发明实施例提供的一种获取安全上下文的方法，包括：

第二核心网设备接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

第二核心网设备根据所述特定消息确定第一核心网设备，并向第一核心网设备发送上下文请求，所述上下文请求中包括UE的标识以及密钥集标识；

第二核心网设备接收第一核心网设备发送的上下文响应，并从中获取安全上下文，该安全上下文是第一核心网设备根据所述上下文请求中所述UE的标识以及密钥集标识确定的

结合第二方面，在第一种可能的实现方式中，所述NAS消息中包含第一核心网设备为所述UE分配的标识，第二核心网设备根据该标识确定第一核心网设备。

结合第二方面，在第二种可能的实现方式中，所述特定消息中还包括第一核心网设备的标识信息，第二核心网设备根据该第一核心网设备的标识信息确定第一核心网设备。

结合第二方面，在第三种可能的实现方式中，所述密钥集标识包含在所述上下文请求中；或者，

结合第二方面、或结合第二方面的第一种可能的实现方式、或结合第二方面的第二种可能的实现方式、结合第二方面的第三种可能的实现方式，在第四种可能的实现方式中，第二核心网设备获取的所述UE的安全上下文中，包含第一核心网设备保护NAS消息所使用的加密算法和完整性保护算法。

结合第二方面的第四种可能的实现方式，在第五种可能的实现方式中，第二核心网设备获取所述UE的安全上下文后，该方法还包括：

当第二核心网设备需要选择新的算法时，第二核心网设备利用新的算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，其中包含新的算法的标识；其中，所述新的算法包括加密算法和/或完整性保护算法；

第二核心网设备接收该UE反馈的NAS安全模式完成消息。

结合第二方面，在第六种可能的实现方式中，所述上下文请求中还包括：

结合第二方面，在第七种可能的实现方式中，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

第三方面，本发明实施例提供的一种重路由命令的接收处理方法，包括：

接入网设备接收第一核心网设备发送的重路由命令，其中包含非接入层NAS消息和用于确定第二核心网设备的指示信息；

接入网设备根据所述指示信息，确定所述第二核心网设备，并向所述第二核心网设备发送携带所述NAS消息的特定消息。

结合第三方面，在第一种可能的实现方式中，所述特定消息中还包括：

重路由指示，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的。

结合第三方面，或结合第三方面的第一种可能的实现方式，在第二种可能的实现方式中，所述特定消息中还包括：

第一核心网设备的标识信息，所述第二核心网设备根据该第一核心网设备的标识信息确定第一核心网设备。

结合第三方面，在第三种可能的实现方式中，所述NAS消息是所述第一核心网设备对接收到的UE发送的NAS消息进行重构后的NAS消息。

结合第三方面，在第四种可能的实现方式中，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

结合第三方面，在第五种可能的实现方式中，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

第四方面，本发明实施例提供的一种提供安全上下文的设备，包括：

接收NAS消息单元，用于接收用户设备UE发送的非接入层NAS消息；

发送重路由命令单元，用于当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息；

安全上下文提供单元，用于接收所述第二核心网设备发送的上下文请求，所述上下文请求中包括UE的标识以及密钥集标识，根据所述UE的标识以及密钥集标识，查找对应的安全上下文，并将该安全上下文发送给所述第二核心网设备。

结合第四方面，在第一种可能的实现方式中，所述发送重路由命令单元还用于：

在向接入网设备发送重路由命令之前，对接收到的NAS消息进行重构，所述重路由命令中包含的NAS消息，为重构的NAS消息。

结合第四方面的第一种可能的实现方式，在第二种可能的实现方式中，所述发送重路由命令单元对接收到的来自所述UE的NAS消息进行重构时，具体用于：

利用当前安全上下文中的密钥集标识，替换该UE发送的NAS消息中的密钥集标识；和/或，

根据当前安全上下文计算完整性保护校验值，并将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE。

结合第四方面的第二种可能的实现方式，在第三种可能的实现方式中，所述发送重路由命令单元将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE时，具体用于：

结合第四方面的第二种可能的实现方式，在第四种可能的实现方式中，所述发送重路由命令单元，还用于：

将第一核心网设备为所述UE分配的标识替换从该UE接收到的NAS消息中的UE的标识。

结合第四方面，在第五种可能的实现方式中，所述密钥集标识包含在所述上下文请求中；或者，

结合第四方面，在第六种可能的实现方式中，所述安全上下文提供单元还用于：

在确定当前的安全上下文后，将该安全上下文发送给第二核心网设备前，利用当前的安全上下文验证该上下文请求中携带的NAS消息的完整性；

则，当所述验证成功时，所述安全上下文将该安全上下文发送给第二核心网设备。

结合第四方面的第六种可能的实现方式，在第七种可能的实现方式中，所述安全上下文提供单元利用当前与该UE共享的安全上下文验证该上下文请求中携带的NAS消息的完整性时，具体用于：

验证该上下文请求中携带的NAS消息中的完整性保护校验值或者消息认证码MAC值；或者

验证该上下文请求中的完整性保护校验值。

结合第四方面，在第八种可能的实现方式中，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

结合第四方面，在第九种可能的实现方式中，所述上下文请求中还包括：

第五方面，本发明实施例提供的一种获取安全上下文的设备，包括：

特定消息接收单元，用于接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

上下文请求单元，用于根据所述特定消息确定第一核心网设备，并向第一核心网设备发送上下文请求，所述上下文请求中包括UE的标识以及密钥集标识；

上下文获取单元，用于接收第一核心网设备发送的上下文响应，并从中获取安全上下文，该安全上下文是第一核心网设备根据所述上下文请求中所述UE的标识以及密钥集标识确定的。

结合第五方面，在第一种可能的实现方式中，所述NAS消息中包含第一核心网设备为所述UE分配的标识，第二核心网设备根据该标识确定第一核心网设备。

结合第五方面，在第二种可能的实现方式中，所述特定消息中还包括第一核心网设备的标识信息，第二核心网设备根据该第一核心网设备的标识信息确定第一核心网设备。

结合第五方面，在第三种可能的实现方式中，所述密钥集标识包含在所述上下文请求中；或者，

结合第五方面、或者结合第五方面的第一种可能的实现方式、或者结合第五方面的第二种可能的实现方式、或者结合第五方面的第三种可能的实现方式，在第四种可能的实现方式中，所述安全上下文中，包含第一核心网设备保护NAS消息所使用的加密算法和完整性保护算法。

结合第五方面的第四种可能的实现方式，在第五种可能的实现方式中，所述上下文获取单元获取所述UE的安全上下文后，还用于：

当需要选择新的算法时，利用新的算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，其中包含新的算法的标识；其中，所述新的算法包括加密算法和/或完整性保护算法；

接收该UE反馈的NAS安全模式完成消息。

结合第五方面，在第六种可能的实现方式中，所述上下文请求中还包括：

结合第五方面，在第七种可能的实现方式中，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

第六方面，本发明实施例提供的一种重路由命令的接收处理设备，包括：

重路由命令接收单元，用于接收第一核心网设备发送的重路由命令，其中包含非接入层NAS消息和用于确定第二核心网设备的指示信息；

特定消息发送单元，用于根据所述指示信息，确定所述第二核心网设备，并向所述第二核心网设备发送携带所述NAS消息的特定消息。

结合第六方面，在第一种可能的实现方式中，所述特定消息中还包括：

结合第六方面、或者结合第六方面的第一种可能的实现方式，在第二种可能的实现方式中，所述特定消息中还包括：

结合第六方面，在第三种可能的实现方式中，所述NAS消息是所述第一核心网设备对接收到的UE发送的NAS消息进行重构后的NAS消息。

结合第六方面，在第四种可能的实现方式中，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

结合第六方面，在第五种可能的实现方式中，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

第七方面，本发明实施例提供的一种提供安全上下文的设备，该设备包括处理器和收发机，其中，

收发机接收用户设备UE发送的非接入层NAS消息；

当处理器确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，通过收发机向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息；

收发机接收所述第二核心网设备发送的上下文请求，所述上下文请求中包括UE的标识以及密钥集标识，处理器根据所述UE的标识以及密钥集标识，查找对应的安全上下文，收发机将该安全上下文发送给所述第二核心网设备。

结合第七方面，在第一种可能的实现方式中，收发机在向接入网设备发送重路由命令之前，处理器还用于对接收到的NAS消息进行重构，所述重路由命令中包含的NAS消息，为重构的NAS消息。

结合第七方面的第一种可能的实现方式，在第二种可能的实现方式中，处理器对接收到的NAS消息进行重构时，具体用于：

结合第七方面的第二种可能的实现方式，在第三种可能的实现方式中，处理器将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE时，具体用于：

结合第七方面的第二种可能的实现方式，在第四种可能的实现方式中，处理器对接收到的NAS消息进行重构时，还用于：

结合第七方面，在第五种可能的实现方式中，所述密钥集标识包含在所述上下文请求中；或者，

结合第七方面，在第六种可能的实现方式中，处理器确定当前的安全上下文后，收发机将该安全上下文发送给第二核心网设备前，处理器还用于：

利用当前的安全上下文验证该上下文请求中携带的NAS消息的完整性；

则，当所述验证成功时，收发机将该安全上下文发送给第二核心网设备。

结合第七方面的第六种可能的实现方式，在第七种可能的实现方式中，处理器利用当前与该UE共享的安全上下文验证该上下文请求中携带的NAS消息的完整性时，具体用于：

验证该上下文请求中的完整性保护校验值。

结合第七方面，在第八种可能的实现方式中，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

结合第七方面，在第九种可能的实现方式中，所述上下文请求中还包括：

第八方面，本发明实施例提供的一种获取安全上下文的设备，该设备包括收发机和处理器，其中：

收发机接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

处理器根据所述特定消息确定第一核心网设备，收发机向第一核心网设备发送上下文请求，所述上下文请求中包括UE的标识以及密钥集标识；

收发机接收第一核心网设备发送的上下文响应，处理器从中获取安全上下文，该安全上下文是第一核心网设备根据所述上下文请求中所述UE的标识以及密钥集标识确定的。

结合第八方面，在第一种可能的实现方式中，所述NAS消息中包含第一核心网设备为所述UE分配的标识，第二核心网设备根据该标识确定第一核心网设备。

结合第八方面，在第二种可能的实现方式中，所述特定消息中还包括第一核心网设备的标识信息，第二核心网设备根据该第一核心网设备的标识信息确定第一核心网设备。

结合第八方面，在第三种可能的实现方式中，所述密钥集标识包含在所述上下文请求中；或者，

结合第八方面、或者结合第八方面的第一种可能的实现方式、或者结合第八方面的第二种可能的实现方式、或者结合第八方面的第三种可能的实现方式，在第四种可能的实现方式中，所述安全上下文中，包含第一核心网设备保护NAS消息所使用的加密算法和完整性保护算法。

结合第八方面的第四种可能的实现方式，在第五种可能的实现方式中，所述处理器获取所述UE的安全上下文后，还用于：当需要选择新的算法时，利用新的算法推衍新的NAS密钥，并通过收发机向UE发送NAS安全模式命令消息，其中包含新的算法的标识；其中，所述新的算法包括加密算法和/或完整性保护算法；

收发机接收该UE反馈的NAS安全模式完成消息。

结合第八方面，在第六种可能的实现方式中，所述上下文请求中还包括：

结合第八方面，在第七种可能的实现方式中，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

第九方面，本发明实施例提供的一种重路由命令的接收处理设备，该设备包括收发机和处理器，其中：

收发机接收第一核心网设备发送的重路由命令，其中包含非接入层NAS消息和用于确定第二核心网设备的指示信息；

处理器根据所述指示信息，确定所述第二核心网设备，并通过收发机向所述第二核心网设备发送携带所述NAS消息的特定消息。

结合第九方面，在第一种可能的实现方式中，所述特定消息中还包括：

结合第九方面，或者结合第九方面的第一种可能的实现方式，在第二种可能的实现方式中，所述特定消息中还包括：

结合第九方面，在第三种可能的实现方式中，所述NAS消息是所述第一核心网设备对接收到的UE发送的NAS消息进行重构后的NAS消息。

结合第九方面，在第四种可能的实现方式中，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

结合第九方面，在第五种可能的实现方式中，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

本发明通过第一核心网设备接收用户设备UE发送的非接入层NAS消息；当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第一核心网设备向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息；第一核心网设备接收所述第二核心网设备发送的上下文请求，所述上下文请求中包括UE的标识以及密钥集标识，第一核心网设备根据所述UE的标识以及密钥集标识，查找对应的安全上下文，并将该安全上下文发送给所述第二核心网设备。从而，使得第一核心网设备可以向特定网络中的第二核心网设备提供UE的安全上下文。

本发明通过第二核心网设备接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；第二核心网设备根据所述特定消息确定第一核心网设备，并向第一核心网设备发送上下文请求，所述上下文请求中包括UE的标识以及密钥集标识；第二核心网设备接收第一核心网设备发送的上下文响应，并从中获取安全上下文，该安全上下文是第一核心网设备根据所述上下文请求中所述UE的标识以及密钥集标识确定的。从而使得特定网络中的第二核心网设备可以获取第一核心网设备提供的UE的安全上下文，使得特定网络下的核心网设备与UE可以进行安全通信。

第十方面，本发明实施例提供的一种提供安全上下文的方法，包括：

第一核心网设备接收用户设备UE发送的非接入层NAS消息；

当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第一核心网设备向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息。

结合第十方面，在第一种可能的实现方式中，该方法还包括：

第一核心网设备接收所述第二核心网设备发送的请求消息，所述请求消息中包括UE的标识，第一核心网设备根据所述UE的标识，查找对应的鉴权数据，并将该鉴权数据发送给所述第二核心网设备。

结合第十方面的第一种可能的实现方式，在第二种可能的实现方式中，在第一核心网设备将该鉴权数据发送给所述第二核心网设备之前，该方法还包括：第一核心网设备验证请求消息中的校验值；

第一核心网将该鉴权数据发送给所述第二核心网设备，具体为：当验证成功时，第一核心网设备将鉴权数据发送给第二核心网设备。

结合第十方面的第二种可能的实现方式，在第三种可能的实现方式中，所述第一核心网设备验证请求消息中的校验值，具体包括:

当所述请求消息中还包括密钥集标识时，第一核心网设备利用所述UE的标识和所述密钥集标识确定对应的安全上下文，并利用所述安全上下文计算校验值，如果所述计算的校验值和所述请求消息中的校验值一致，则确定验证成功；或者，

第一核心网设备通过哈希函数计算校验值，如果所述计算的校验值和请求消息中的校验值一致，则确定验证成功；或者，

第一核心网设备查找本地保存的校验值，如果所述保存的校验值和请求消息中的校验值一致，则确定验证成功。

结合第十方面，在第四种可能的实现方式中，在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，该方法还包括：所述第一核心网设备通过与所述UE之间的鉴权过程，或者从第三核心网设备获取所述UE的安全上下文；

在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之后，第一核心网设备向接入网设备发送重路由命令之前，该方法还包括：第一核心网设备为所述UE分配标识，并确定校验值；

所述重路由命令中，还包括：所述第一核心网设备为所述UE分配的标识和所述校验值；

或者，所述重路由命令中，还包括：所述第一核心网设备为所述UE分配的标识、所述校验值、以及该UE的安全上下文的密钥集标识。

结合第十方面，在第五种可能的实现方式中，所述第一核心网确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还包括：

所述第一核心网设备向第三核心网设备发送请求消息，请求消息中包含所述NAS消息，并接收第三核心网设备回复的响应消息，其中包括所述UE 的安全上下文、校验值以及用于确定所述第二核心网设备的信息；其中，所述校验值是所述第三核心网设备确定的；

所述第一核心网设备通过所述用于确定所述第二核心网设备的信息，确定所述NAS消息需要重路由到所述特定网络中的第二核心网设备；

所述重路由命令中还包括：所述校验值，或者所述校验值和密钥集标识。

第十一方面，本发明实施例提供的一种获取安全上下文的方法，包括：

第二核心网设备根据所述特定消息确定第一核心网设备，并向第一核心网设备发送请求消息，所述请求消息中包括UE的标识；

第二核心网设备接收第一核心网设备发送的响应消息，并从中获取所述UE的鉴权数据，该鉴权数据中包括所述UE的安全上下文，该鉴权数据是所述第一核心网设备根据所述UE的标识确定的。

结合第十一方面，如果把第二MME看作是第二核心网设备，则相应地，可以把第一MME或第三MME看作是第一核心网设备。

结合第十一方面，在第一种可能的实现方式中，所述UE的标识，为所述第一核心网设备为所述UE分配的标识；

所述特定消息中还包括：校验值，或者校验值和密钥集标识；

所述请求消息中还包括：校验值，或者校验值和密钥集标识。

结合第十一方面，在第二种可能的实现方式中，所述特定消息中还包括：重路由指示，所述重路由指示用于指示所述NAS消息是重路由到第二核心网设备的；

所述请求消息中包括所述NAS消息，所述NAS消息中包括所述UE的标识，并且，所述请求消息中还包括所述重路由指示。

第十二方面，本发明实施例提供的一种提供安全上下文的方法，包括：

第三核心网设备接收第一核心网设备发送的请求消息，其中包括用户设备UE的非接入层NAS消息；

当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第三核心网设备向所述第一核心网设备发送响应消息，其中包括所述UE的安全上下文和用于确定所述第二核心网设备的信息。

结合第十二方面，在第一种可能的实现方式中，当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，还包括：

第三核心网设备确定该UE的校验值；

所述响应消息中还包括：所述校验值，或者所述校验值和所述UE的安全上下文对应的密钥集标识。

结合第十二方面的第一种可能的实现方式，在第二种可能的实现方式中，该方法还包括：

第三核心网设备接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息、校验值和密钥集标识；

第三核心网设备根据所述UE的标识找到对应的鉴权数据，向所述第二核心网设备发送响应消息，其中包括该UE的鉴权数据。

结合第十二方面的第二种可能的实现方式，在第三种可能的实现方式中，在第三核心网设备向所述第二核心网设备发送响应消息之前，该方法还包括：第三核心网设备验证所述请求消息中的校验值；

第三核心网设备向所述第二核心网设备发送响应消息，具体为：当验证成功时，第三核心网设备向所述第二核心网设备发送响应消息。

结合第十二方面的第三种可能的实现方式，在第四种可能的实现方式中，所述第三核心网设备验证所述请求消息中的校验值，具体包括:

当所述请求消息中还包括密钥集标识时，所述第三核心网设备利用所述UE的标识和所述密钥集标识确定对应的安全上下文，并利用所述安全上下文计算校验值，如果所述计算的校验值和所述请求消息中的校验值一致，则确定验证成功；或者，

所述第三核心网设备通过哈希函数计算校验值，如果所述计算的校验值和请求消息中的校验值一致，则确定验证成功；或者，

所述第三核心网设备查找本地保存的校验值，如果所述保存的校验值和请求消息中的校验值一致，则确定验证成功。

结合第十二方面，在第五种可能的实现方式中，该方法还包括：

第三核心网设备接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息和重路由指示，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的；

第三核心网设备通过所述重路由指示确定该请求消息中的NAS消息是重路由到第二核心网设备的；

第三核心网设备根据该NAS消息中的UE的标识和密钥集标识找到对应的安全上下文，并利用该安全上下文验证该请求消息中的完整性校验码，当验证成功时，第三核心网设备根据所述UE的标识找到对应的鉴权数据，并将该鉴权数据返回给第二核心网设备。

第十三方面，本发明实施例提供的一种提供安全上下文的设备，包括：

发送重路由命令单元，用于当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息。

结合第十三方面，在第一种可能的实现方式中，该设备还包括：

鉴权数据提供单元，用于接收所述第二核心网设备发送的请求消息，所述请求消息中包括UE的标识，根据所述UE的标识，查找对应的鉴权数据，并将该鉴权数据发送给所述第二核心网设备。

结合第十三方面第一种可能的实现方式，在第二种可能的实现方式中，所述鉴权数据提供单元将该鉴权数据发送给所述第二核心网设备之前，还用于验证请求消息中的校验值；

所述鉴权数据提供单元将该鉴权数据发送给所述第二核心网设备，具体为：当验证成功时，将鉴权数据发送给第二核心网设备。

结合第十三方面第二种可能的实现方式，在第三种可能的实现方式中，所述鉴权数据提供单元验证请求消息中的校验值时，具体用于：

当所述请求消息中还包括密钥集标识时，利用所述UE的标识和所述密钥集标识确定对应的安全上下文，并利用所述安全上下文计算校验值，如果所述计算的校验值和所述请求消息中的校验值一致，则确定验证成功；或者，

通过哈希函数计算校验值，如果所述计算的校验值和请求消息中的校验值一致，则确定验证成功；或者，

查找本地保存的校验值，如果所述保存的校验值和请求消息中的校验值一致，则确定验证成功。

结合第十三方面，在第四种可能的实现方式中，所述发送重路由命令单元在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：通过与所述UE之间的鉴权过程，或者从第三核心网设备获取所述UE的安全上下文；

在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之后，向接入网设备发送重路由命令之前，所述发送重路由命令单元还用于：为所述UE分配标识，并确定校验值；

所述重路由命令中，还包括：所述发送重路由命令单元为所述UE分配的标识和所述校验值；

或者，所述重路由命令中，还包括：所述发送重路由命令单元为所述UE分配的标识、所述校验值、以及该UE的安全上下文的密钥集标识。

结合第十三方面，在第五种可能的实现方式中，所述发送重路由命令单元确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：

向第三核心网设备发送请求消息，请求消息中包含所述NAS消息，并接收第三核心网设备回复的响应消息，其中包括所述UE的安全上下文、校验值以及用于确定所述第二核心网设备的信息；其中，所述校验值是所述第三核心网设备确定的；

通过所述用于确定所述第二核心网设备的信息，确定所述NAS消息需要重路由到所述特定网络中的第二核心网设备；

第十四方面，本发明实施例提供的一种获取安全上下文的设备，包括：

请求单元，用于根据所述特定消息确定第一核心网设备，并向第一核心网设备发送请求消息，所述请求消息中包括UE的标识；

获取单元，用于接收第一核心网设备发送的响应消息，并从中获取所述UE的鉴权数据，该鉴权数据中包括所述UE的安全上下文，该鉴权数据是所述第一核心网设备根据所述UE的标识确定的。

结合第十四方面，如果把第二MME看作是第二核心网设备，则相应地，可以把第一MME或第三MME看作是第一核心网设备。

结合第十四方面，在第一种可能的实现方式中，所述UE的标识，为所述第一核心网设备为所述UE分配的标识；

结合第十四方面，在第二种可能的实现方式中，所述特定消息中还包括：重路由指示，所述重路由指示用于指示所述NAS消息是重路由到第二核心网设备的；

第十五方面，本发明实施例提供的一种提供安全上下文的设备，包括：

接收请求单元，用于接收第一核心网设备发送的请求消息，其中包括用户设备UE的非接入层NAS消息；

响应单元，用于当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，向所述第一核心网设备发送响应消息，其中包括所述UE的安全上下文和用于确定所述第二核心网设备的信息。

结合第十五方面，在第一种可能的实现方式中，所述响应单元当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，还用于：

确定该UE的校验值；

结合第十五方面的第一种可能的实现方式，在第二种可能的实现方式中，所述接收请求单元还用于：接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息、校验值和密钥集标识；

所述响应单元还用于：根据所述UE的标识找到对应的鉴权数据，向所述第二核心网设备发送响应消息，其中包括该UE的鉴权数据。

结合第十五方面的第二种可能的实现方式，在第三种可能的实现方式中，所述响应单元在向所述第二核心网设备发送响应消息之前，还用于验证所述请求消息中的校验值；

所述响应单元向所述第二核心网设备发送响应消息，具体为：当验证成功时，所述响应单元向所述第二核心网设备发送响应消息。

结合第十五方面的第三种可能的实现方式，在第四种可能的实现方式中，所述响应单元验证所述请求消息中的校验值时，具体用于：

结合第十五方面，在第五种可能的实现方式中，所述接收请求单元还用于：

接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息和重路由指示，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的；

通过所述重路由指示确定该请求消息中的NAS消息是重路由到第二核心网设备的；

根据该NAS消息中的UE的标识和密钥集标识找到对应的安全上下文，并利用该安全上下文验证该请求消息中的完整性校验码，当验证成功时，根据所述UE的标识找到对应的鉴权数据，并将该鉴权数据返回给第二核心网设备。

第十六方面，本发明实施例提供的一种提供安全上下文的设备，包括收发机和处理器，其中，

收发机接收用户设备UE发送的非接入层NAS消息；

处理器当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，通过收发机向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息。

结合第十六方面，在第一种可能的实现方式中，收发机还用于接收所述第二核心网设备发送的请求消息，所述请求消息中包括UE的标识，所述处理器还用于根据所述UE的标识，查找对应的鉴权数据，并通过收发机将该鉴权数据发送给所述第二核心网设备。

结合第十六方面的第一种可能的实现方式，在第二种可能的实现方式中，所述处理器还用于：

在所述收发机将该鉴权数据发送给所述第二核心网设备之前，验证请求消息中的校验值；当验证成功时，通过所述收发机将鉴权数据发送给第二核心网设备。

结合第十六方面的第二种可能的实现方式，在第三种可能的实现方式中，所述处理器验证请求消息中的校验值时，具体用于：

结合第十六方面，在第四种可能的实现方式中，所述处理器在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：通过与所述UE之间的鉴权过程，或者从第三核心网设备获取所述UE的安全上下文；

在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之后，通过收发机向接入网设备发送重路由命令之前，所述处理器还用于：为所述UE分配标识，并确定校验值；

所述重路由命令中，还包括：所述处理器为所述UE分配的标识和所述校验值；

或者，所述重路由命令中，还包括：所述处理器为所述UE分配的标识、所述校验值、以及该UE的安全上下文的密钥集标识。

结合第十六方面，在第五种可能的实现方式中，所述处理器确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：通过收发机向第三核心网设备发送请求消息，请求消息中包含所述NAS消息，并通过收发机接收第三核心网设备回复的响应消息，其中包括所述UE的安全上下文、校验值以及用于确定所述第二核心网设备的信息；其中，所述校验值是所述第三核心网设备确定的；

第十七方面，本发明实施例提供的一种获取安全上下文的设备，包括：收发机和处理器，其中，

处理器根据所述特定消息确定第一核心网设备，并通过收发机向第一核心网设备发送请求消息，所述请求消息中包括UE的标识；

收发机接收第一核心网设备发送的响应消息，处理器从中获取所述UE的鉴权数据，该鉴权数据中包括所述UE的安全上下文，该鉴权数据是所述第一核心网设备根据所述UE的标识确定的。

结合第十七方面，在第一种可能的实现方式中，所述UE的标识，为所述第一核心网设备为所述UE分配的标识；

结合第十七方面，在第二种可能的实现方式中，所述特定消息中还包括：重路由指示，所述重路由指示用于指示所述NAS消息是重路由到第二核心网设备的；

第十八方面，本发明实施例提供的一种提供安全上下文的设备，包括：收发机和处理器，其中，

收发机接收第一核心网设备发送的请求消息，其中包括用户设备UE的非接入层NAS消息；

处理器当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，通过收发机向所述第一核心网设备发送响应消息，其中包括所述UE的安全上下文和用于确定所述第二核心网设备的信息。

结合第十八方面，在第一种可能的实现方式中，处理器当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，还用于：

确定该UE的校验值；

结合第十八方面的第一种可能的实现方式，在第二种可能的实现方式中，所述收发机还用于接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息、校验值和密钥集标识；

所述处理器根据所述UE的标识找到对应的鉴权数据，通过所述收发机向所述第二核心网设备发送响应消息，其中包括该UE的鉴权数据。

结合第十八方面的第二种可能的实现方式，在第三种可能的实现方式中，所述处理器在通过收发机向所述第二核心网设备发送响应消息之前，还用于验证所述请求消息中的校验值；

所述处理器通过收发机向所述第二核心网设备发送响应消息，具体为：当验证成功时，所述处理器通过收发机向所述第二核心网设备发送响应消息。

结合第十八方面的第三种可能的实现方式，在第四种可能的实现方式中，所述处理器验证所述请求消息中的校验值时，具体用于：

结合第十八方面，在第五种可能的实现方式中，所述收发机还用于接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息和重路由指示，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的；

所述处理器还用于通过所述重路由指示确定该请求消息中的NAS消息是重路由到第二核心网设备的；根据该NAS消息中的UE的标识和密钥集标识找到对应的安全上下文，并利用该安全上下文验证该请求消息中的完整性校验码，当验证成功时，根据所述UE的标识找到对应的鉴权数据，并将该鉴权数据通过收发机返回给第二核心网设备。

本发明实施例通过第一核心网设备接收用户设备UE发送的非接入层NAS 消息；当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第一核心网设备向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息。从而，使得第一核心网设备当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第一核心网设备向接入网设备发送重路由命令。

本发明实施例通过第二核心网设备接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；第二核心网设备根据所述特定消息确定第一核心网设备，并向第一核心网设备发送请求消息，所述请求消息中包括UE的标识；第二核心网设备接收第一核心网设备发送的响应消息，并从中获取所述UE的鉴权数据，该鉴权数据中包括所述UE的安全上下文，该鉴权数据是所述第一核心网设备根据所述UE的标识确定的。从而使得特定网络中的第二核心网设备可以获取第一核心网设备提供的UE的安全上下文，使得特定网络下的核心网设备与UE可以进行安全通信。

本发明实施例通过第三核心网设备接收第一核心网设备发送的请求消息，其中包括用户设备UE的非接入层NAS消息；当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第三核心网设备向所述第一核心网设备发送响应消息，其中包括所述UE的安全上下文和用于确定所述第二核心网设备的信息，从而使得第三核心网设备当接收到第一核心网设备发送的请求消息时，当确定其中的NAS消息需要重路由到特定网络中的第二核心网设备时，通过向所述第一核心网设备发送响应消息将UE的安全上下文和用于确定所述第二核心网设备的信息提供给特定网络中的第二核心网设备。

附图说明

图1为现有技术中MME重选过程示意图；

图2为现有技术中TAU过程中MMEn向MMEo索要安全上下文的过程示意图；

图3为本发明实施例一提供的一种安全上下文的传输处理流程示意图；

图4为本发明实施例二提供的一种安全上下文的传输处理流程示意图；

图5为本发明实施例三提供的一种安全上下文的传输处理流程示意图；

图6为本发明实施例四提供的一种安全上下文的传输处理流程示意图；

图7为本发明实施例五提供的一种安全上下文的传输处理流程示意图；

图8为本发明实施例提供的第一种计算完整性保护校验值(Token值)的方法示意图；

图9为本发明实施例提供的第二种计算Token值的方法示意图；

图10为本发明实施例提供的一种安全上下文的提供方法的流程示意图；

图11为本发明实施例提供的一种安全上下文的获取方法的流程示意图；

图12为本发明实施例提供的一种重路由命令的接收处理方法的流程示意图；

图13为本发明实施例提供的一种安全上下文的提供设备的结构示意图；

图14为本发明实施例提供的一种安全上下文的获取设备的结构示意图；

图15为本发明实施例提供的一种重路由命令的接收处理设备的结构示意图；

图16为本发明实施例六提供的一种安全上下文的传输处理流程示意图；

图17为本发明实施例七提供的一种安全上下文的传输处理流程示意图；

图18为本发明实施例八提供的一种安全上下文的传输处理流程示意图；

图19为本发明实施例九提供的一种安全上下文的传输处理流程示意图；

图20为本发明实施例提供的另一种安全上下文的提供方法的流程示意图；

图21为本发明实施例提供的另一种安全上下文的获取方法的流程示意图；

图22为本发明实施例提供的第三种安全上下文的提供方法的流程示意图；

图23为本发明实施例提供的另一种安全上下文的提供设备的结构示意图；

图24为本发明实施例提供的另一种安全上下文的获取设备的结构示意图；

图25为本发明实施例提供的第三种安全上下文的提供设备的结构示意图。

具体实施方式

本发明实施例提供了一种安全上下文的提供、获取方法及设备，用以实现特定网络下的MME可以获取UE的安全上下文，从而使得特定网络下的MME与UE可以进行安全通信。

另外，本发明实施例提供的技术方案还可以对重路由(reroute)的NAS消息进行完整性校验。

本发明中所述的核心网设备，可以是MME，也可以是SGSN等设备。本发明中所述的接入网设备，可以是eNB，也可以是无线网络控制器(Radio Network Controller,RNC)等设备。本发明中所述的NAS消息，可以是附着请求消息，也可以是跟踪区域更新请求消息等。

下面以核心网设备是MME，接入网设备是eNB，NAS消息是附着请求消息为例，给出本发明具体实施例的介绍。

本发明实施例一：

本实施例针对NAS消息没有被安全保护(包括完整性保护和机密性保护)的场景，例如UE初次附着到网络(即首次接入网络)上。具体流程如图3所示，包括步骤：

301.UE向第一MME初次发起附着请求(或跟踪区域更新请求)；

该附着请求(或跟踪区域更新请求)中的演进型通用陆地无线接入网络(E-UTRAN)密钥集标识符(Key Set Identifier in E-UTRAN，eKSI)的所有比特位均设为1，即UE没有可用的安全上下文，该附着请求(或跟踪区域更新请求)未被安全保护。

其中，所述的eKSI用于标识该UE下的不同安全上下文，具体地，eKSI是安全上下文中的密钥集标识，由于不同的安全上下文中的根密钥不同，因此可以用密钥集标识来标识安全上下文。所述根密钥为Kasme。

302.UE与第一MME进行认证和密钥协商，建立UE与第一MME之间的NAS安全关联；

本步骤即建立了UE与第一MME之间共享的安全上下文。

303.第一MME向HSS发起更新位置请求；

304.HSS查询数据库，即查找UE的签约数据，确定UE是否为需要执行特定业务(例如MTC业务)的UE，是否需要将UE接入相应的特定网络，并返回更新位置确认，该更新位置确认消息中包含使用特定网络的信息，该信息例如包括该UE的业务类型及其接入的特定网络的类型信息等。

305.第一MME接收到使用特定网络的信息指示后，对附着请求(或跟踪区域更新请求)进行重构(re-structure)，即使用当前与UE共享的安全上下文关联的eKSI替换附着请求中的eKSI。

其中，安全上下文关联的eKSI，即该安全上下文中的密钥集标识。

306.第一MME向eNB发送重路由命令，该重路由命令中包括重构的附着请求(或重构的跟踪区域更新请求)，使用特定网络的信息。

其中，该使用特定网络的信息，即用于确定第二MME的信息。

所述第二MME，即特定网络中的MME，即背景技术中所述的specific MME。

307.eNB接收到重路由命令后，根据使用特定网络的信息为UE选择特定网络的第二MME，并向第二MME发送特定消息，该特定消息中包括重构的附着请求(或重构的跟踪区域更新请求)、重路由指示以及第一MME的标识信息。

其中，第一MME的标识信息可以是MME ID，也可以是GUTI等。

其中，eNB根据使用特定网络的信息为UE选择特定网络的第二MME，例如包括：

eNB根据预先配置的网络类型与第二MME标识的对应关系列表，通过特定网络的类型信息确定对应的特定网络的第二MME。

308.第二MME根据第一MME的标识信息找到第一MME，并向第一MME发起上下文请求消息，其中包含UE的IMSI、eKSI和重路由指示。

309.第一MME接收到上下文请求消息后，从中获取UE的IMSI、eKSI和重路由指示，第一MME根据重路由指示确定需要查找安全上下文，进而根据IMSI和eKSI找到对应的安全上下文。其中，用IMSI确定UE，用eKSI确定该UE下的安全上下文。

3010.第一MME将UE当前与该第一MME共享的安全上下文通过上下文响应消息发给第二MME，该安全上下文中包含根密钥(Kasme)，加密算法(用于防监听的算法)和完整性保护算法(用于防篡改的算法)。

3011.如果第二MME需要重新选择与该UE通信时使用的算法，例如如果第二MME选择的算法(包括加密算法和/或完整性保护算法)安全上下文中的算法不同，则第二MME利用新选择的算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，该消息中包含第二MME选择的新算法。其中，第二MME选择的新算法，包括加密算法和/或完整性保护算法。

其中，第二MME利用新选择的算法推衍新的NAS密钥，包括：利用新选择的加密算法和/或完整性保护算法的标识(ID)，以及根密钥Kasme，推衍新的NAS密钥。此为现有技术，在此不进行赘述。

3012.UE根据NAS安全模式命令中携带的完整性算法标识和加密算法标识推衍新的NAS密钥，并向第二MME发送NAS安全模式完成消息。

针对该实施例，可进一步扩展以下五个方面：

第一：如果在重路由之前，第一MME向UE分配了标识，例如分配了GUTI(其中包含第一MME的标识，可以用于查找对应的第一MME)，那么在305步中还需要用分配的GUTI替换附着请求(或跟踪区域更新请求)中的IMSI(或P-TMSI或GUTI)，这样307步中不需要携带第一MME的标识信息，308步中携带的不是IMSI而是GUTI。

第二：308步和309步上下文请求中携带的指示是可选的，不是必须携带的指示。当上下文请求中携带重路由指示时，第一MME根据上下文请求中的重路由指示获知附着请求(或跟踪区域更新请求)是重路由到第二MME上的。

第三：3011步和3012步的NAS安全模式命令过程是可选的，只有在第二MME为UE选择了新的完整性算法和/或加密算法时才发起此过程。

第四：308步上下文请求中也可以携带重构的附着请求(或重构的跟踪区域更新请求)，而不直接携带eKSI，第一MME根据IMSI和重构的附着请求(或重构的跟踪区域更新请求)中的eKSI获取安全上下文，第一MME不需要对重构的附着请求(或重构的跟踪区域更新请求)进行完整性验证，只需要根据重路由指示将该安全上下文发给第二MME即可。

第五：305步中不对附着请求(或跟踪区域更新请求)进行重构，那么后续步骤中使用的都是UE发送的附着请求(或跟踪区域更新请求)。因此306步重路由命令中还包括第一MME当前与UE共享的安全上下文所关联的eKSI。步骤307特定消息中还包括所述eKSI。308步上下文请求中还可以携带附着请求(或跟踪区域更新请求)。

本发明实施例二：

本实施例针对NAS消息没有被安全保护的场景，例如UE初次附着到网络上。本实施例增加了对附着请求(或跟踪区域更新请求)的完整性保护，提高了安全性。具体流程如图4所示，包括：

401.UE向第一MME初次发起附着请求(或跟踪区域更新请求)。；

其中的消息认证码(Message Authentication Code，MAC)信元(Information Element，IE)为空，即未被完整性保护。

402.UE与网络侧进行认证和密钥协商，建立UE与第一MME之间的NAS安全关联；

本步骤即建立了UE与第一MME之间共享的安全上下文。

403.第一MME向HSS发起更新位置请求；

404.HSS查询数据库，即查找UE的签约数据，看UE是否为需要执行特定业务(例如MTC业务)的UE，是否需要将UE接入相应的特定网络，并返回更新位置确认，该更新位置确认消息中包含使用特定网络的信息，该信息例如包括该UE的业务类型及其接入的特定网络的类型信息等。

405.第一MME接收到使用特定网络的信息指示后，对原来接收到的附着请求消息(或跟踪区域更新请求)进行重构，即第一MME基于当前与UE共享的安全上下文计算令牌(Token)值，并将该Token值填充到附着请求消息的MAC IE，使用与当前安全上下文关联的eKSI替换附着请求中的eKSI.

其中，所述Token值，即完整性保护校验值。

406.第一MME向eNB发送重路由命令，该命令中包括重构的附着请求(或重构的跟踪区域更新请求)，使用特定网络的信息。

其中，该使用特定网络的信息，即用于确定第二MME的信息。

407.eNB接收到重路由命令后，根据使用特定网络的信息为UE选择特定网络的第二MME，并向第二MME发送特定消息，该特定消息中包括重构的附着请求(或重构的跟踪区域更新请求)、重路由指示以及第一MME的标识信息。

其中，第一MME的标识信息可以是MME ID，也可以是GUTI等。

408.第二MME根据第一MME的标识信息找到第一MME，并向第一MME发起上下文请求消息，其中包含UE的IMSI、重构的附着请求和重路由指示。

409.第一MME根据IMSI和eKSI找到对应的安全上下文，并利用该安全上下文验证附着请求中的Token值。

其中，第一MME利用该安全上下文验证附着请求中的Token值，即第一MME将利用该安全上下文计算得到Token值，与附着请求中的Token值进行比较，一致则验证成功。

4010.如果验证成功，那么第一MME将UE当前与该第一MME共享的安全上下文通过上下文响应消息发给第二MME，该安全上下文中包含根密钥(Kasme)，加密算法(用于防监听的算法)和完整性保护算法(用于防篡改的算法)。

4011.如果第二MME需要重新选择与该UE通信时使用的算法，例如如果第二MME选择的算法(包括加密算法和/或完整性保护算法)安全上下文中的算法不同，则第二MME利用新选择的算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，该消息中包含第二MME选择的新算法。其中，第二MME选择的新算法，包括加密算法和/或完整性保护算法。

4012.UE根据NAS安全模式命令中携带的完整性算法标识和加密算法标识推衍新的NAS密钥，并向第二MME发送NAS安全模式完成消息。

针对该实施例，可进一步扩展以下四个方面：

第一：如果在重路由之前，第一MME向UE分配了标识，例如分配了GUTI(其中包含第一MME的标识，可以用于查找对应的第一MME)，那么在405步中还需要用分配的GUTI替换附着请求(或跟踪区域更新请求)中的IMSI(或P-TMSI或GUTI)，这样407步中不需要携带第一MME的标识信息，408步中携带的不是IMSI而是GUTI。

第二：408步和409步上下文请求中携带的重路由指示是可选的，不是必须携带的指示。当上下文请求中携带重路由指示时，第一MME根据上下文请求中的重路由指示获知附着请求(或跟踪区域更新请求)是重路由到第二MME上的，第一MME接收该附着请求(或跟踪区域更新请求)并验证Token值。

第三：4011步和4012步的NAS安全模式命令过程是可选的，只有在第二MME为UE选择了新的完整性算法和/或加密算法时才发起此过程。

第四：405步中不对附着请求(或跟踪区域更新请求)进行重构，只计算 Token值，那么后续步骤中使用的都是UE发送的附着请求(或跟踪区域更新请求)。因此，406步重路由命令中还包括第一MME当前与UE共享的安全上下文所关联的eKSI和计算出的Token值。步骤407特定消息中还包括所述eKSI和计算出的Token值。步骤408上下文请求中还包括Token值。步骤409第一MME需要对安全上下文中的Token值进行验证。

本发明实施例三：

本实施例针对NAS消息被安全保护并且第一MME上不存在可用安全上下文的场景，例如UE发起附着请求或跟踪区域更新请求时，具体流程如图5所示，包括步骤：

501.UE向第一MME发起附着请求(或跟踪区域更新请求)，该附着请求(或跟踪区域更新请求)被完整性保护；

502.第一MME上不存在可用的安全上下文，第一MME利用附着请求(或跟踪区域更新请求)中的GUTIo查找第三MME，从而向第三MME发起上下文请求；

其中，所述GUTIo即旧的GUTI，也就是第三MME为UE分配的GUTI。

503.第三MME验证接收到的附着请求(或跟踪区域更新请求)的完整性。

504.如果验证成功，第三MME向第一MME发送上下文响应，其中包含安全上下文。

505.第一MME向HSS发起更新位置请求；

506.HSS查询数据库，即查找UE的签约数据，看UE是否为需要执行特定业务(例如MTC业务)的UE，是否需要将UE接入相应的特定网络，并返回更新位置确认，该更新位置确认消息中包含使用特定网络的信息，该信息例如包括该UE的业务类型及其接入的特定网络的类型信息等。

507.第一MME接收到使用特定网络的信息指示后，对原来接收到的附着请求(或跟踪区域更新请求)消息进行重构，即如果第一MME已经为UE分配了GUTI，第一MME将附着请求(或跟踪区域更新请求)消息中的GUTIo替换为第一MME为UE分配的GUTI；如果第一MME没有为UE分配GUTI，则第一 MME将附着请求(或跟踪区域更新请求)消息中的GUTIo替换为IMSI。第一MME基于当前与UE共享的安全上下文计算Token值，并将该Token值替换附着请求(或跟踪区域更新请求)消息的MAC IE；

508.第一MME向eNB发送重路由命令，该命令中包括重构的附着请求(或重构的跟踪区域更新请求)以及使用特定网络的信息。

其中，该使用特定网络的信息，即用于确定第二MME的信息。

509.eNB接收到重路由命令后，根据使用特定网络的信息为UE选择特定网络的第二MME，并向第二MME发送特定消息，该特定消息中包括重构的附着请求(或重构的跟踪区域更新请求)以及重路由指示。

5010.第二MME根据重构的附着请求(或重构的跟踪区域更新请求)中的GUTI找到第一MME，并向第一MME发起上下文请求消息，其中包含第一MME为UE分配的GUTI、重构的附着请求(或重构的跟踪区域更新请求)和重路由指示。

5011.第一MME根据重路由指示获知该重构的附着请求(或重构的跟踪区域更新请求)是重路由的，第一MME接收该重构的附着请求(或重构的跟踪区域更新请求)，并根据GUTI(或IMSI)和eKSI找到对应的安全上下文，并利用该安全上下文验证附着请求(或跟踪区域更新请求)中的Token值。

其中，第一MME根据GUTI(或IMSI)和eKSI找到对应的安全上下文，包括：第一MME根据GUTI(或IMSI)确定相应的UE，并根据eKSI确定该UE下的相应的安全上下文。

第一MME利用该安全上下文验证重构的附着请求(或重构的跟踪区域更新请求)中的Token值，即第一MME将利用该安全上下文计算得到Token值，与重构的附着请求(或重构的跟踪区域更新请求)中的Token值进行比较，一致则验证成功。

5012.如果验证成功，那么第一MME将UE当前的安全上下文发给第二MME，该安全上下文中包含第根密钥(Kasme)、加密算法(用于防监听的算法)和完整性保护算法(用于防篡改的算法)。

5013.如果第二MME需要重新选择与该UE通信时使用的算法，例如如果第二MME选择的算法(包括加密算法和/或完整性保护算法)安全上下文中的算法不同，则第二MME利用新选择的算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，该消息中包含第二MME选择的新算法。其中，第二MME选择的新算法，包括加密算法和/或完整性保护算法。其中，第二MME利用新选择的算法推衍新的NAS密钥，包括：利用新选择的加密算法和/或完整性保护算法的标识(ID)，以及根密钥Kasme，推衍新的NAS密钥。此为现有技术，在此不进行赘述。

5014.UE根据NAS安全模式命令中携带的完整性算法标识和加密算法标识推衍新的NAS密钥，并向第二MME发送NAS安全模式完成消息。

针对该实施例，可进一步扩展以下二个方面：

第一：如果507步中将GUTIo替换为IMSI，那么609步中需要携带第一MME的标识信息，从而第二MME可以根据第一MME的标识信息找到对应的第一MME索要安全上下文。

第二：5013步和5014步NAS安全模式命令过程是可选的，只有在第二MME为UE选择了新的完整性算法和/或加密算法时才发起此过程。

本发明实施例四：

本实施例针对NAS消息被安全保护并且第一MME上不存在可用安全上下文的场景，例如UE发起附着请求或跟踪区域更新请求时，具体流程如图6所示，包括步骤：

601.UE向第一MME发起附着请求(或跟踪区域更新请求)，该附着请求 (或跟踪区域更新请求)被完整性保护；

602.第一MME上不存在可用的安全上下文，第一MME利用附着请求(或跟踪区域更新请求)中的GUTIo查找第三MME，从而向第三MME发起上下文请求；

其中，所述GUTIo即旧的GUTI，也就是第三MME为UE分配的GUTI。

603.第三MME验证接收到的附着请求(或跟踪区域更新请求)的完整性。

604.如果验证成功，第三MME向第一MME发送上下文响应，其中包含安全上下文。

605.第一MME向HSS发起更新位置请求；

606.HSS查询数据库，即查找UE的签约数据，看UE是否为需要执行特定业务(例如MTC业务)的UE，是否需要将UE接入相应的特定网络，并返回更新位置确认，该更新位置确认消息中包含使用特定网络的信息，该信息例如包括该UE的业务类型及其接入的特定网络的类型信息等。

607.第一MME接收到使用特定网络的信息指示后，向eNB发送重路由命令，该命令中包括附着请求(或跟踪区域更新请求)、UE的标识以及使用特定网络的信息。

其中，该使用特定网络的信息，即用于确定第二MME的信息。

其中，所述UE的标识可以是第一MME为UE分配的GUTI，也可以是IMSI。

可选地，如果第一MME与UE之间进行了重认证，那么所述重路由命令中还可以包含eKSI。

609.eNB接收到重路由命令后，根据使用特定网络的信息为UE选择特定网络的第二MME，并向第二MME发送特定消息，该特定消息中包括附着请求(或跟踪区域更新请求)，UE的标识以及重路由指示。

可选地，当UE的标识是IMSI时，所述特定消息中还可以包含第一MME的标识信息，从而第二MME可以根据第一MME的标识信息找到对应的第一MME。

可选地，如果第一MME与UE之间进行了重认证，那么所述特定消息中还可以包含eKSI。

6010.第二MME根据特定消息中的GUTI或第一MME的标识信息找到第一MME，并向第一MME发起上下文请求消息，其中包含UE的标识、附着请求(或跟踪区域更新请求)和重路由指示。

6011.第一MME根据重路由指示获知该附着请求(或跟踪区域更新请求)是重路由的，第一MME接收该附着请求(或跟踪区域更新请求)，并根据GUTI(或IMSI)和eKSI找到对应的安全上下文，并利用该安全上下文验证附着请求(或跟踪区域更新请求)。

第一MME利用该安全上下文验证附着请求(或跟踪区域更新请求)中，即第一MME将利用该安全上下文计算得到MAC值，与附着请求(或跟踪区域更新请求)中的MAC值进行比较，一致则验证成功。

6012.如果验证成功，那么第一MME将UE当前的安全上下文发给第二MME，该安全上下文中包含第根密钥(Kasme)、加密算法(用于防监听的算法)和完整性保护算法(用于防篡改的算法)。

6013.如果第二MME需要重新选择与该UE通信时使用的算法，例如如果第二MME选择的算法(包括加密算法和/或完整性保护算法)安全上下文中的算法不同，则第二MME利用新选择的算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，该消息中包含第二MME选择的新算法。其中，第二MME选择的新算法，包括加密算法和/或完整性保护算法。其中，第二MME利用新选择的算法推衍新的NAS密钥，包括：利用新选择的加密算法和/或完整性保护算法的标识(ID)，以及根密钥Kasme，推衍新的NAS密钥。此为现有技术，在此不进行赘述。

6014.UE根据NAS安全模式命令中携带的完整性算法标识和加密算法标识推衍新的NAS密钥，并向第二MME发送NAS安全模式完成消息。

针对该实施例，可进一步扩展以下一个方面：

第一：6013步和6014步NAS安全模式命令过程是可选的，只有在第二MME为UE选择了新的完整性算法和/或加密算法时才发起此过程。

本发明实施例五：

本实施例针对NAS消息被安全保护并且第一MME上不存在可用安全上下文的场景，例如UE发起附着请求或跟踪区域更新请求时，具体流程如图7所示，包括步骤：

701.UE向第一MME发起附着请求(或跟踪区域更新请求)，该附着请求(或跟踪区域更新请求)被完整性保护；

702.第一MME上不存在可用的安全上下文，第一MME利用附着请求(或跟踪区域更新请求)中的GUTIo查找第三MME，从而向第三MME发起上下文请求；

其中，所述GUTIo即旧的GUTI，也就是第三MME为UE分配的GUTI。

703.第三MME验证接收到的附着请求(或跟踪区域更新请求)的完整性。

704.如果验证成功，第三MME向第一MME发送上下文响应，其中包含安全上下文和使用特定网络的信息。

705.第一MME接收到使用特定网络的信息指示后，向eNB发送重路由命令，该命令中包括附着请求(或跟踪区域更新请求)以及使用特定网络的信息。

其中，该使用特定网络的信息，即用于确定第二MME的信息。

706.eNB接收到重路由命令后，根据使用特定网络的信息为UE选择特定网络的第二MME，并向第二MME发送特定消息，该特定消息中包括附着请求(或跟踪区域更新请求)以及重路由指示。

707.第二MME根据附着请求(或跟踪区域更新请求)中的GUTI找到第三MME，并向第三MME发起上下文请求消息，其中包含GUTI、附着请求(或跟踪区域更新请求)和重路由指示。

708.第三MME根据重路由指示获知该附着请求(或跟踪区域更新请求)是重路由的，第三MME接收该附着请求(或跟踪区域更新请求)，并根据GUTI和eKSI找到对应的安全上下文，并利用该安全上下文验证附着请求(或跟踪区域更新请求)。

其中，第三MME根据GUTI和eKSI找到对应的安全上下文，包括：第三MME根据GUTI确定相应的UE，并根据eKSI确定该UE下的相应的安全上下文。

第三MME利用该安全上下文验证附着请求(或跟踪区域更新请求)中，即第三MME将利用该安全上下文计算得到MAC值，与附着请求(或跟踪区域更新请求)中的MAC值进行比较，一致则验证成功。

709.如果验证成功，那么第三MME将UE当前的安全上下文发给第二MME，该安全上下文中包含第根密钥(Kasme)、加密算法(用于防监听的算法)和完整性保护算法(用于防篡改的算法)。

7010.如果第二MME需要重新选择与该UE通信时使用的算法，例如如果第二MME选择的算法(包括加密算法和/或完整性保护算法)安全上下文中的算法不同，则第二MME利用新选择的算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，该消息中包含第二MME选择的新算法。其中，第二MME选择的新算法，包括加密算法和/或完整性保护算法。其中，第二MME利用新选择的算法推衍新的NAS密钥，包括：利用新选择的加密算法和/或完整性保护算法的标识(ID)，以及根密钥Kasme，推衍新的NAS密钥。此为现有技术，在此不进行赘述。

7011.UE根据NAS安全模式命令中携带的完整性算法标识和加密算法标识推衍新的NAS密钥，并向第二MME发送NAS安全模式完成消息。

本实施例中，如果把第二MME看作是第二核心网设备，则相应地，可以把第三MME看作是第一核心网设备。

针对该实施例，可进一步扩展以下一个方面：

第一：7010步和7011步NAS安全模式命令过程是可选的，只有在第二MME为UE选择了新的完整性算法和/或加密算法时才发起此过程。

以下结合附图介绍一下本实施例提供的Token的计算方法。

方法一：

参见图8，采用KEY、MESSAGE、COUNT、BEARER标识、DIRECTION值，通过EIA算法计算得到Token值。

其中，计数(COUNT)值为NAS消息的计数值，具体采用UE与第一MME共享的计数值；

消息(MESSAGE)为NAS消息；

EIA为完整性算法；

密钥(KEY)设置为KNASint；

承载(BEARER)标识所有比特位设置为默认值，例如1；

方向(DIRECTION)值比特位设置为默认值，例如1；

方法二：

参见图9，只采用NAS消息和NAS消息的计数值以及NAS层完整性密钥，用哈希函数计算得到Token值。

综上所述，在第一核心网设备侧，参见图10，本发明实施例提供的一种获取安全上下文的方法，包括步骤：

901、第一核心网设备接收用户设备UE发送的非接入层NAS消息；

902、当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第一核心网设备向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息；

903、第一核心网设备接收所述第二核心网设备发送的上下文请求，所述上下文请求中包括UE的标识以及密钥集标识，第一核心网设备根据所述UE的标识以及密钥集标识，查找对应的安全上下文，并将该安全上下文发送给所述第二核心网设备。

较佳地，第一核心网设备向接入网设备发送重路由命令之前，该方法还包括：

较佳地，第一核心网设备对接收到的来自所述UE的NAS消息进行重构，包括：

较佳地，将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE，包括：

较佳地，第一核心网设备对接收到的来自所述UE的NAS消息进行重构，还包括：

较佳地，所述密钥集标识包含在所述上下文请求中；或者，

较佳地，第一核心网设备确定当前的安全上下文后，将该安全上下文发送给第二核心网设备前，该方法还包括：

较佳地，第一核心网设备利用当前与该UE共享的安全上下文验证该上下文请求中携带的NAS消息的完整性，包括：

第一核心网设备验证该上下文请求中的完整性保护校验值

较佳地，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

较佳地，所述上下文请求中还包括：

相应地，参见图11，在第二核心网设备侧，本发明实施例提供的一种获取安全上下文的方法，包括：

101、第二核心网设备接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

102、第二核心网设备根据所述特定消息确定第一核心网设备，并向第一核心网设备发送上下文请求，所述上下文请求中包括UE的标识以及密钥集标识；

103、第二核心网设备接收第一核心网设备发送的上下文响应，并从中获取安全上下文，该安全上下文是第一核心网设备根据所述上下文请求中所述UE的标识以及密钥集标识确定的。

较佳地，所述NAS消息中包含第一核心网设备为所述UE分配的标识，第二核心网设备根据该标识确定第一核心网设备。

较佳地，所述特定消息中还包括第一核心网设备的标识信息，第二核心网设备根据该第一核心网设备的标识信息确定第一核心网设备。

较佳地，所述密钥集标识包含在所述上下文请求中；或者，

较佳地，第二核心网设备获取的所述UE的安全上下文中，包含第一核心网设备保护NAS消息所使用的加密算法和完整性保护算法。

较佳地，第二核心网设备获取所述UE的安全上下文后，该方法还包括：

第二核心网设备接收该UE反馈的NAS安全模式完成消息。

较佳地，所述上下文请求中还包括：

较佳地，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

相应地，在接入网设备侧，参见图12，本发明实施例提供的一种重路由命令的接收处理方法，包括：

111、接入网设备接收第一核心网设备发送的重路由命令，其中包含非接入层NAS消息和用于确定第二核心网设备的指示信息；

112、接入网设备根据所述指示信息，确定所述第二核心网设备，并向所述第二核心网设备发送携带所述NAS消息的特定消息。

较佳地，所述特定消息中还包括：

较佳地，所述NAS消息是所述第一核心网设备对接收到的UE发送的NAS消息进行重构后的NAS消息。

较佳地，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

较佳地，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

参见图13，本发明实施例提供的一种提供安全上下文的设备，包括：

接收NAS消息单元131，用于接收用户设备UE发送的非接入层NAS消息；

发送重路由命令单元132，用于当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息；

安全上下文提供单元133，用于接收所述第二核心网设备发送的上下文请求，所述上下文请求中包括UE的标识以及密钥集标识，根据所述UE的标识以及密钥集标识，查找对应的安全上下文，并将该安全上下文发送给所述第二核心网设备。

较佳地，所述发送重路由命令单元还用于：

较佳地，所述发送重路由命令单元对接收到的来自所述UE的NAS消息进行重构时，具体用于：

较佳地，所述发送重路由命令单元将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE时，具体用于：

较佳地，所述发送重路由命令单元，还用于：

较佳地，所述密钥集标识包含在所述上下文请求中；或者，

较佳地，所述安全上下文提供单元还用于：

较佳地，所述安全上下文提供单元利用当前与该UE共享的安全上下文验证该上下文请求中携带的NAS消息的完整性时，具体用于：

验证该上下文请求中的完整性保护校验值。

较佳地，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

较佳地，所述上下文请求中还包括：

图13所示的设备可以是核心网设备，例如MME。

参见图14，本发明实施例提供的一种获取安全上下文的设备，包括：

特定消息接收单元141，用于接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

上下文请求单元142，用于根据所述特定消息确定第一核心网设备，并向第一核心网设备发送上下文请求，所述上下文请求中包括UE的标识以及密钥集标识；

上下文获取单元143，用于接收第一核心网设备发送的上下文响应，并从中获取安全上下文，该安全上下文是第一核心网设备根据所述上下文请求中所述UE的标识以及密钥集标识确定的。

较佳地，所述密钥集标识包含在所述上下文请求中；或者，

较佳地，所述安全上下文中，包含第一核心网设备保护NAS消息所使用的加密算法和完整性保护算法。

较佳地，所述上下文获取单元获取所述UE的安全上下文后，还用于：

接收该UE反馈的NAS安全模式完成消息。

较佳地，所述上下文请求中还包括：

较佳地，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

图14所示的设备可以是核心网设备，该设备可以和图13所示的核心网设备为同一核心网设备，例如MME。

参见图15，本发明实施例提供的一种重路由命令的接收处理设备，包括：

重路由命令接收单元151，用于接收第一核心网设备发送的重路由命令，其中包含非接入层NAS消息和用于确定第二核心网设备的指示信息；

特定消息发送单元152，用于根据所述指示信息，确定所述第二核心网设备，并向所述第二核心网设备发送携带所述NAS消息的特定消息。

较佳地，所述特定消息中还包括：

较佳地，所述NAS消息是所述第一核心网设备对接收到的UE发送的 NAS消息进行重构后的NAS消息。

较佳地，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

较佳地，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

图15所示的设备，可以是接入网设备，例如eNB。

本发明实施例提供的一种提供安全上下文的设备，该设备包括处理器和收发机，其中，

收发机接收用户设备UE发送的非接入层NAS消息；

较佳地，收发机在向接入网设备发送重路由命令之前，处理器还用于对接收到的NAS消息进行重构，所述重路由命令中包含的NAS消息，为重构的NAS消息。

较佳地，处理器对接收到的NAS消息进行重构时，具体用于：

较佳地，处理器将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE时，具体用于：

较佳地，处理器对接收到的NAS消息进行重构时，还用于：

较佳地，所述密钥集标识包含在所述上下文请求中；或者，

较佳地，处理器确定当前的安全上下文后，收发机将该安全上下文发送给第二核心网设备前，处理器还用于：

较佳地，处理器利用当前与该UE共享的安全上下文验证该上下文请求中携带的NAS消息的完整性时，具体用于：

验证该上下文请求中的完整性保护校验值。

较佳地，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

较佳地，所述上下文请求中还包括：

本发明实施例提供的一种获取安全上下文的设备，该设备包括收发机和处理器，其中：

较佳地，所述密钥集标识包含在所述上下文请求中；或者，

较佳地，所述处理器获取所述UE的安全上下文后，还用于：当需要选择新的算法时，利用新的算法推衍新的NAS密钥，并通过收发机向UE发送NAS安全模式命令消息，其中包含新的算法的标识；其中，所述新的算法包括加密算法和/或完整性保护算法；

收发机接收该UE反馈的NAS安全模式完成消息。

较佳地，所述上下文请求中还包括：

较佳地，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

本发明实施例提供的一种重路由命令的接收处理设备，该设备包括收发机和处理器，其中：

较佳地，所述特定消息中还包括：

较佳地，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

较佳地，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。

由此可见，本发明实施例通过对NAS消息进行重构，使得重路由到特定网络的NAS消息可以被完整性校验，也使得特定网络的核心网设备可以获得安全上下文，从而与UE进行安全通信。

本发明实施例六：

本发明实施例六针对在NAS消息重路由之前，UE和MME上执行了鉴权流程，共享了新的安全上下文的场景，具体流程如图16所示，包括步骤：

S161.UE向第一MME(新的MME)发起附着请求或位置更新请求；

S162.当网络侧找不到UE对应的安全上下文或者向第三MME(旧的MME)获取上下文过程中完整性验证失败，UE与网络侧进行鉴权和密钥协商，建立UE与第一MME之间的NAS安全；

S163.第一MME向HSS发起更新位置请求；

S164.HSS查询数据库，并返回更新位置确认，该确认消息中包含使用特定网络的信息。

S165.第一MME接收到使用特定网络的信息后，为UE分配新的GUTI值(也可以不是新的GUTI)，并利用鉴权生成的新的安全上下文计算Token值.

S166.第一MME向eNB发送重路由命令，该重路由命令中包括附着请求或位置更新请求、GUTI、eKSI、Token值和使用特定网络的信息，eKSI是鉴权后生成的新的安全上下文的密钥集标识。

S167.eNB接收到重路由命令后，根据使用特定网络的信息为UE选择特定网络的MME，即第二MME，并向第二MME发送消息，该消息中包括附着请求/位置更新请求、GUTI、eKSI和Token值。

S168.第二MME根据GUTI找到第一MME，并向第一MME发起请求消息，该请求消息可以是身份请求消息/上下文请求消息或者包含身份请求消息/上下文请求消息，该请求消息中包含附着请求/位置更新请求、GUTI、eKSI和Token值。

S169.第一MME接收到请求消息后，根据GUTI和eKSI找到对应的安全上下文并利用该安全上下文验证请求消息中的Token值，具体验证方法是，第一MME根据安全上下文计算出Token值，然后和请求消息中Token值比较，如果一致，则认为验证成功。如果验证成功，第一MME根据GUTI找到对应的鉴权数据。

S1610.第一MME将UE相关的鉴权数据发给第二MME，该鉴权数据包含鉴权向量和安全上下文。

S1611.如果第二MME的算法优先级列表与第一MME的算法优先级不同，那么第二MME可以重新为UE选择新的算法，根据新算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，该消息中包含选择的新完整性算法标识和新加密算法标识。

S1612.UE根据NAS安全模式命令中携带的完整性算法标识和加密算法标识推衍新的NAS密钥，并向第二MME发送NAS安全模式完成消息。

针对该实施例，可进一步扩展以下六个方面：

第一：第S165步中第一MME分配GUTI并计算Token值后，还可以重构附着请求/位置更新请求，包括用分配的GUTI替换附着请求/位置更新请求中的IMSI/GUTI，用鉴权后生成的新的安全上下文的eKSI替换附着请求/位置更新请求中的eKSI，用计算的Token替换/填充附着请求/位置更新请求中的MAC值。这样第S166步中不需要携带GUTI，eKSI和Token值，第S167步中不需要携带GUTI，eKSI和Token值，第S168步中不需要携带GUTI，eKSI和Token值，而是携带重构的附着请求/位置更新请求。

或者，第S165步中第一MME分配GUTI并计算Token值后，还可以重构附着请求/位置更新请求，包括用计算的Token替换/填充附着请求/位置更新请求中的MAC值。这样第S166步中不需要携带Token值，第S167步中不需要携带Token值，第S168步中不需要携带Token值，而是携带重构的附着请求/位置更新请求。

第二：可选的，第S166、S167、S168步中可以不携带eKSI。

第三：可选的，Token值可以是根据安全上下文计算的完整性校验码MAC(NAS COUNT值可以算是全0或者是一个预先设定的值)，也可以是通过哈希函数Hash计算出的校验值(输入参数可以是消息，或者消息和NAS层完整性密钥，或者消息、NAS层完整性密钥和NAS COUNT值)，或者是第一MME为UE分配的签名。上述消息可以是附着请求/位置更新请求，或附着请求/位置更新请求和GUTI，或附着请求/位置更新请求，GUTI和eKSI。第一MME通过哈希函数Hash计算出Token，然后和身份请求/上下文请求消息中Token值比较，如果一致，则认为验证成功；或者，第一MME将身份请求/上下文请求消息中Token值和计算的/分配的/保存的Token(签名或随机数)比较，如果一致，则认为验证成功。第一MME可以识别身份请求/上下文请求中的附着请求/位置更新请求是重路由的(根据Token和GUTI，或者根据Token、eKSI和GUTI识别)，那么第一MME可以接受附着请求/位置更新请求中的序列号，并使用全0的NAS COUNT值或者预先设定的NAS COUNT值来验证该消息的完整性，在验证通过后不将请求/位置更新请求中的序列号赋值给本地保存的NAS COUNT，保持本地的NAS COUNT值不变。

第四：第S168步中，当请求消息就是身份请求消息/上下文请求消息时，GUTI、eKSI和Token包含在身份请求/上下文请求消息内。当请求消息包含身份请求消息/上下文请求消息时，GUTI、eKSI和Token也可以在身份请求/上下文请求消息之外，和身份请求/上下文请求消息一起发送给第一MME，即第二MME向第一MMME发起请求消息，该消息最终包含身份请求/上下文请求消息，GUTI、eKSI和Token值。身份请求/上下文请求中包含附着请求/位置更新请求。

第五：第S1611步和第S1612步NAS安全模式命令过程是可选的，只有第二MME为UE选择了新的完整性算法和加密算法时才发起此过程。

第六：使用特定网络的信息用来指示该附着请求需要重路由到特定网络，使用特定网络的信息可以是核心网类型。

本发明实施例七：

本实施例针对在NAS消息重路由之前，New MME(第一MME)从old MME(第三MME)获取了安全上下文，后续specific MME(第二MME)向New MME(第一MME)索要安全上下文的场景，具体流程如图17所示，包括步骤：

S171.UE向eNB发起附着请求/位置更新请求；

S172.eNB将附着请求/位置更新请求转发给第一MME；

S173.第一MME没有可用的安全上下文，第一MME向第三MME发送身份请求/上下文请求。

S174.第三MME验证成功后，向第一MME发送身份响应消息，消息中包含安全上下文和使用特定网络的信息。

S175.第一MME接收到使用特定网络的信息指示后，为UE分配新的GUTI值，并利用鉴权生成的新的安全上下文计算Token值.

S176.第一MME向eNB发送重路由命令，该命令中包括附着请求/位置更新请求，GUTI、Token值和使用特定网络的信息，eKSI是附着请求/位置更新请求消息中的密钥集标识。

S177.eNB接收到重路由命令后，根据使用特定网络的信息为UE选择特定网络的第二MME，并向第二MME发送消息，消息中包括附着请求/位置更新请求、GUTI和Token值。

S178.第二MME根据GUTI找到第一MME，并向第一MME发起请求消息，该请求消息可以是身份请求消息/上下文请求消息或者包含身份请求消息/上下文请求消息，该请求消息中包含附着请求/位置更新请求、GUTI和Token值。

S179.第一MME接收到请求消息后，根据GUTI和eKSI找到对应的安全上下文并利用该安全上下文验证请求消息中的Token值，具体验证方法是：第一MME根据安全上下文计算出Token值，然后和请求消息中Token值比较，如果一致，则认为验证成功。如果验证成功，第一MME根据GUTI找到对应的鉴权数据。

S1710.第一MME将UE相关的鉴权数据发给第二MME，该鉴权数据包含鉴权向量和安全上下文。

S1711.如果第二MME的算法优先级列表与第三MME的算法优先级不同，那么第二MME可以重新为UE选择新的算法，根据新算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，该消息中包含选择的新完整性算法标识和新加密算法标识。

S1712.UE根据NAS安全模式命令中携带的完整性算法标识和加密算法标识推衍新的NAS密钥，并向第二MME发送NAS安全模式完成消息。

针对该实施例，可进一步扩展以下六个方面：

第一：第S175步中第一MME分配GUTI并计算Token值后，还可以重构附着请求/位置更新请求，包括用分配的GUTI替换附着请求/位置更新请求中的IMSI/GUTI，用鉴权后生成的新的安全上下文的eKSI替换附着请求/位置更新请求中的eKSI，用计算的Token替换/填充附着请求/位置更新请求中的MAC值。这样第S176步中不需要携带GUTI、eKSI和Token值，第S177步中不需要携带GUTI、eKSI和Token值，第S178步中不需要携带GUTI、eKSI和Token值，而是携带重构的附着请求/位置更新请求。

或者，第S175步中第一MME分配GUTI并计算Token值后，还可以重构附着请求/位置更新请求，包括用计算的Token替换/填充附着请求/位置更新请求中的MAC值。这样第S176步中不需要携带Token值，第S177步中不需要携带Token值，第S178步中不需要携带Token值，而是携带重构的附着请求/位置更新请求。

第二：可选的，第S176、S177、S178步中可以携带KSI。

第三：可选的，Token值可以是根据安全上下文计算的完整性校验码MAC(NAS COUNT值可以算是全0或者是一个预先设定的值)，也可以是通过哈希函数Hash计算出的校验值(输入参数可以是消息，或者消息和NAS层完整性密钥，或者消息、NAS层完整性密钥和NAS COUNT值)，或者是MME为UE分配的签名。上述消息可以是附着请求/位置更新请求，或附着请求/位置更新请求和GUTI，或附着请求/位置更新请求、GUTI和eKSI。第一MME通过哈希函数Hash计算出Token，然后和身份请求/上下文请求消息中Token值比较，如果一致，则认为验证成功；或者，第一MME将身份请求/上下文请求消息中Token值和计算的/分配的/保存的Token(签名或随机数)比较，如果一致，则认为验证成功。第一MME可以识别身份请求/上下文请求中的附着请求/位置更新请求是重路由的(根据Token或者根据Token和eKSI)，那么第一MME可以接受附着请求/位置更新请求中的序列号与当前保存的NAS COUNT的序列号一样的附着请求/位置更新请求，验证通过后，第一MME保存的NASCOUNT不变并将鉴权数据返回给第二MME。

第四：第S178步中，当请求消息就是身份请求消息/上下文请求消息时，GUTI、eKSI和Token包含在身份请求/上下文请求消息内。当请求消息包含身份请求消息/上下文请求消息时，GUTI、eKSI和Token也可以在身份请求/上下文请求消息之外，和身份请求/上下文请求消息一起发送给第一MME，即第二MME向第一MMME发起请求消息，该请求消息最终包含身份请求/ 上下文请求消息，GUTI、eKSI和Token值。身份请求/上下文请求中包含附着请求/位置更新请求。

第五：第S1711步和第S1712步NAS安全模式命令过程是可选的，只有第二MME为UE选择了新的完整性算法和加密算法时才发起此过程。

本发明实施例八：

本实施例针对在NAS消息重路由之前，New MME(第一MME)从old MME(第三MME)获取了安全上下文，后续specific MME(第二MME)向old MME(第三MME)索要安全上下文的场景，

具体流程如图18所示，包括步骤：

S181.UE向eNB发起附着请求/位置更新请求；

S182.eNB将附着请求/位置更新请求转发给第一MME；

S183.第一MME没有可用的安全上下文，第一MME向第三MME发送身份请求/上下文请求。

S184.第三MME验证成功后，如果该附着请求需要重路由到特定网络，那么第三MME为UE计算或分配一个Token。

S185.第三MME向第一MME发送身份响应消息，消息中包含安全上下文，使用特定网络的信息、eKSI和Token。上述使用特定网络的信息、eKSI和Token也可以在身份响应消息之外和身份响应消息一起发送给第一MME。

S186.新MME向eNB发送重路由命令，该命令中包括附着请求/位置更新请求、eKSI、Token值和使用特定网络的信息。

S187.eNB接收到重路由命令后，根据使用特定网络的信息为UE选择特定网络的第二MME，并向第二MME发送消息，消息中包括附着请求/位置更新请求、eKSI和Token值。

S188.第二MME根据附着请求/位置更新请求中的GUTI找到第三MME，并向第三MME发起请求消息，该请求消息可以是身份请求/上下文请求消息或者包含身份请求消息/上下文请求消息，该请求消息中包含附着请求/位置更新请求、eKSI和Token值。

S189.第三MME接收到请求消息后，根据GUTI和eKSI找到对应的安全上下文并利用该安全上下文验证请求消息中的Token值，具体验证方法是，第三MME根据安全上下文计算出Token值，然后和请求消息中Token值比较，如果一致，则认为验证成功。如果验证成功，第三MME根据GUTI找到对应的鉴权数据。

S1810.第三MME将UE相关的鉴权数据发给第二MME，该鉴权数据包含鉴权向量和安全上下文。

S1811.如果第二MME的算法优先级列表与第三MME的算法优先级不同，那么第二MME可以重新为UE选择新的算法，根据新算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，该消息中包含选择的新完整性算法标识和新加密算法标识。

S1812.UE根据NAS安全模式命令中携带的完整性算法标识和加密算法标识推衍新的NAS密钥，并向第二MME发送NAS安全模式完成消息。

针对该实施例，可进一步扩展以下五个方面：

第一：可选的，第S186、S187、S188步中不携带eKSI，第三MME使用附着请求/位置更新请求中的eKSI。

第二：可选的，Token值可以是根据安全上下文计算的完整性校验码MAC(NAS COUNT值可以算是全0或者是一个预先设定的值)，也可以是通过哈希函数Hash计算出的校验值(输入参数可以是消息，或者消息和NAS层完整性密钥，或者消息、NAS层完整性密钥和NAS COUNT值)，或者是第一MME为UE分配的签名。上述消息可以是附着请求/位置更新请求，或附着请求/位置更新请求和GUTI，或附着请求/位置更新请求、GUTI和eKSI。第三MME通过哈希函数Hash计算出Token，然后和身份请求/上下文请求消息中Token值比较，如果一致，则认为验证成功；或者，第三MME将身份请求/上下文请求消息中Token值和计算的/分配的/保存的Token(签名或随机数) 比较，如果一致，则认为验证成功。第三MME可以识别身份请求/上下文请求中的附着请求/位置更新请求是重路由的(根据Token或者根据Token和eKSI)，那么第三MME可以接受附着请求/位置更新请求中的序列号与当前保存的NAS COUNT的序列号一样的附着请求/位置更新请求，验证通过后，第三MME保存的NAS COUNT不变并将鉴权数据返回给第二MME。

第三：第S188步中，当请求消息就是身份请求消息/上下文请求消息时，eKSI和/或Token包含在身份请求/上下文请求消息内。当请求消息包含身份请求消息/上下文请求消息时，eKSI和/或Token也可以在身份请求/上下文请求消息之外，和身份请求/上下文请求消息一起发送给第一MME，即第二MME向第一MMME发起请求消息，该请求消息最终包含身份请求/上下文请求消息，eKSI和/或Token值。身份请求/上下文请求中包含附着请求/位置更新请求。

第四：第S1811步和第S1812步NAS安全模式命令过程是可选的，只有第二MME为UE选择了新的完整性算法和加密算法时才发起此过程。

第五：使用特定网络的信息用来指示该附着请求需要重路由到特定网络，使用特定网络的信息可以是核心网类型。

本发明实施例九：

本实施例针对在NAS消息重路由之前，New MME(第一MME)从old MME(第三MME)获取了安全上下文，后续specific MME(第二MME)向old MME(第三MME)索要安全上下文的场景，具体流程如图19所示，包括步骤：

S191.UE向eNB发起附着请求/位置更新请求；

S192.eNB将附着请求/位置更新请求转发给第一MME；

S193.第一MME没有可用的安全上下文，第一MME向第三MME发送身份请求/上下文请求。

S194.第三MME向第一MME发送身份响应消息，消息中包含安全上下文和使用特定网络的信息。

S195.第一MME向eNB发送重路由命令，该命令中包括附着请求/位置更新请求和使用特定网络的信息。

S196.eNB接收到重路由命令后，根据使用特定网络的信息为UE选择特定网络的MME，并向第二MME发送消息，消息中包括附着请求/位置更新请求和重路由指示。

S197.第二MME根据附着请求/位置更新请求中的GUTI找到第三MME，并向第三MME发起请求消息，该请求消息可以是身份请求/上下文请求消息或者包含身份请求消息/上下文请求消息，该请求消息中包含附着请求/位置更新请求和重路由指示。

S198.第三MME接收到请求消息后，第三MME可以识别请求消息中的附着请求/位置更新请求是重路由的(根据重路由指示)，那么第三MME可以接受附着请求/位置更新请求中的序列号与当前保存的NAS COUNT的序列号一样的附着请求/位置更新请求，第三MME根据GUTI和eKSI找到对应的安全上下文并利用该安全上下文验证请求消息中的Token值，具体验证方法是，第三MME根据安全上下文计算出Token值，然后和身份请求/上下文请求消息中Token值比较，如果一致，则认为验证成功。如果验证成功，第三MME根据GUTI找到对应的鉴权数据。验证通过后，第三MME保存的NAS COUNT不变并将鉴权数据返回给第二MME。此实施例中的Token值即为消息鉴权码MAC。

S199.第三MME将UE相关的鉴权数据发给第二MME，该鉴权数据包含鉴权向量和安全上下文。

S1910.如果第二MME的算法优先级列表与第三MME的算法优先级不同，那么第二MME可以重新为UE选择新的算法，根据新算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，该消息中包含选择的新完整性算法标识和新加密算法标识。

S1911.UE根据NAS安全模式命令中携带的完整性算法标识和加密算法标识推衍新的NAS密钥，并向第二MME发送NAS安全模式完成消息。

针对该实施例，可进一步扩展以下三个方面：

第一：第S197步中，当请求消息就是身份请求消息/上下文请求消息时，重路由指示包含在身份请求/上下文请求消息内。当请求消息包含身份请求消息/上下文请求消息时，重路由指示也可以在身份请求/上下文请求消息之外，和身份请求/上下文请求消息一起发送给第一MME，即第二MME向第一MMME发起请求消息，该请求消息最终包含身份请求/上下文请求消息和重路由指示。身份请求/上下文请求中包含附着请求/位置更新请求。

第二：第S1910步和第S1911步NAS安全模式命令过程是可选的，只有第二MME为UE选择了新的完整性算法和加密算法时才发起此过程。

第三：使用特定网络的信息用来指示该附着请求需要重路由到特定网络，使用特定网络的信息可以是核心网类型。

综上所述，在第一核心网设备侧，参见图20，本发明实施例提供的另一种提供安全上下文的方法，包括步骤：

S2001、第一核心网设备接收用户设备UE发送的非接入层NAS消息；

S2002、当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第一核心网设备向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息。

较佳地，该方法还包括：

较佳地，在第一核心网设备将该鉴权数据发送给所述第二核心网设备之前，该方法还包括：第一核心网设备验证请求消息中的校验值；

较佳地，所述第一核心网设备验证请求消息中的校验值，具体包括:

较佳地，在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，该方法还包括：所述第一核心网设备通过与所述UE之间的鉴权过程，或者从第三核心网设备获取所述UE的安全上下文；

较佳地，所述第一核心网确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还包括：

所述第一核心网设备向第三核心网设备发送请求消息，请求消息中包含所述NAS消息，并接收第三核心网设备回复的响应消息，其中包括所述UE的安全上下文、校验值以及用于确定所述第二核心网设备的信息；其中，所述校验值是所述第三核心网设备确定的；

相应地，参见图21，在第二核心网设备侧，本发明实施例提供的另一种获取安全上下文的方法，包括步骤：

S2101、第二核心网设备接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

S2102、第二核心网设备根据所述特定消息确定第一核心网设备，并向第一核心网设备发送请求消息，所述请求消息中包括UE的标识；

其中的第一核心网设备，可以是新的MME，也可以是旧的MME。

S2103、第二核心网设备接收第一核心网设备发送的响应消息，并从中获取所述UE的鉴权数据，该鉴权数据中包括所述UE的安全上下文，该鉴权数据是所述第一核心网设备根据所述UE的标识确定的。

较佳地，所述UE的标识，为所述第一核心网设备为所述UE分配的标识；

较佳地，所述特定消息中还包括：重路由指示，所述重路由指示用于指示所述NAS消息是重路由到第二核心网设备的；

相应地，参见图22，在第三核心网设备侧，本发明实施例提供的另一种提供安全上下文的方法，包括步骤：

S2201、第三核心网设备接收第一核心网设备发送的请求消息，其中包括用户设备UE的非接入层NAS消息；

S2202、当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第三核心网设备向所述第一核心网设备发送响应消息，其中包括所述UE的安全上下文和用于确定所述第二核心网设备的信息。

较佳地，当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，还包括：

第三核心网设备确定该UE的校验值；

较佳地，该方法还包括：

较佳地，在第三核心网设备向所述第二核心网设备发送响应消息之前，该方法还包括：第三核心网设备验证所述请求消息中的校验值；

较佳地，所述第三核心网设备验证所述请求消息中的校验值，具体包括:

较佳地，该方法还包括：

参见图23，在第一核心网设备侧，本发明实施例提供的另一种提供安全上下文的设备，包括：

接收NAS消息单元2301，用于接收用户设备UE发送的非接入层NAS消息；

发送重路由命令单元2302，用于当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息。

较佳地，该设备还包括：

鉴权数据提供单元2303，用于接收所述第二核心网设备发送的请求消息，所述请求消息中包括UE的标识，根据所述UE的标识，查找对应的鉴权数据，并将该鉴权数据发送给所述第二核心网设备。

较佳地，所述鉴权数据提供单元将该鉴权数据发送给所述第二核心网设备之前，还用于验证请求消息中的校验值；

较佳地，所述鉴权数据提供单元验证请求消息中的校验值时，具体用于：

较佳地，所述发送重路由命令单元在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：通过与所述UE之间的鉴权过程，或者从第三核心网设备获取所述UE的安全上下文；

较佳地，所述发送重路由命令单元确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：

图23所示的设备可以是核心网设备，例如MME。

相应地，参见图24，在第二核心网设备侧，本发明实施例提供的另一种获取安全上下文的设备，包括：

特定消息接收单元2401，用于接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

请求单元2402，用于根据所述特定消息确定第一核心网设备，并向第一核心网设备发送请求消息，所述请求消息中包括UE的标识；

获取单元2403，用于接收第一核心网设备发送的响应消息，并从中获取所述UE的鉴权数据，该鉴权数据中包括所述UE的安全上下文，该鉴权数据是所述第一核心网设备根据所述UE的标识确定的。

图24所示的设备可以是核心网设备，例如MME。

参见图25，在第三核心网设备侧，本发明实施例提供的另一种提供安全上下文的设备，包括：

接收请求单元2501，用于接收第一核心网设备发送的请求消息，其中包括用户设备UE的非接入层NAS消息；

响应单元2502，用于当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，向所述第一核心网设备发送响应消息，其中包括所述UE的安全上下文和用于确定所述第二核心网设备的信息。

较佳地，所述响应单元当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，还用于：

确定该UE的校验值；

较佳地，所述接收请求单元还用于：接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息、校验值和密钥集标识；

较佳地，所述响应单元在向所述第二核心网设备发送响应消息之前，还用于验证所述请求消息中的校验值；

较佳地，所述响应单元验证所述请求消息中的校验值时，具体用于：

较佳地，所述接收请求单元还用于：

图25所示的设备可以是核心网设备，例如MME。

本发明实施例提供的另一种提供安全上下文的设备，该设备包括收发机和处理器，其中，

收发机接收用户设备UE发送的非接入层NAS消息；

较佳地，收发机还用于接收所述第二核心网设备发送的请求消息，所述请求消息中包括UE的标识，所述处理器还用于根据所述UE的标识，查找对应的鉴权数据，并通过收发机将该鉴权数据发送给所述第二核心网设备。

较佳地，所述处理器还用于：

较佳地，所述处理器验证请求消息中的校验值时，具体用于：

较佳地，所述处理器在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：通过与所述UE之间的鉴权过程，或者从第三核心网设备获取所述UE的安全上下文；

较佳地，所述处理器确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：通过收发机向第三核心网设备发送请求消息，请求消息中包含所述NAS消息，并通过收发机接收第三核心网设备回复的响应消息，其中包括所述UE的安全上下文、校验值以及用于确定所述第二核心网设备的信息；其中，所述校验值是所述第三核心网设备确定的；

本发明实施例提供的另一种获取安全上下文的设备，该设备包括：收发机和处理器，其中，

本发明实施例提供的另一种提供安全上下文的设备，该设备包括：收发机和处理器，其中，

较佳地，处理器当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，还用于：

确定该UE的校验值；

较佳地，所述收发机还用于接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息、校验值和密钥集标识；

较佳地，所述处理器在通过收发机向所述第二核心网设备发送响应消息之前，还用于验证所述请求消息中的校验值；

较佳地，所述处理器验证所述请求消息中的校验值时，具体用于：

较佳地，所述收发机还用于接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息和重路由指示，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的；

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

一种提供安全上下文的方法，其特征在于，该方法包括：

第一核心网设备接收用户设备UE发送的非接入层NAS消息；

当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第一核心网设备向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息；

第一核心网设备接收所述第二核心网设备发送的上下文请求，所述上下文请求中包括UE的标识以及密钥集标识，第一核心网设备根据所述UE的标识以及密钥集标识，查找对应的安全上下文，并将该安全上下文发送给所述第二核心网设备。
根据权利要求1所述的方法，其特征在于，第一核心网设备向接入网设备发送重路由命令之前，该方法还包括：

第一核心网设备对接收到的NAS消息进行重构，所述重路由命令中包含的NAS消息，为重构的NAS消息。
根据权利要求2所述的方法，其特征在于，第一核心网设备对接收到的来自所述UE的NAS消息进行重构，包括：

第一核心网设备利用当前安全上下文中的密钥集标识，替换该UE发送的NAS消息中的密钥集标识；和/或，

第一核心网设备根据当前安全上下文计算完整性保护校验值，并将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE。
根据权利要求3所述的方法，其特征在于，将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE，包括：

将所述完整性保护校验值填充到所述UE发送的NAS消息中的消息认证码MAC信元IE；或

将所述完整性保护校验值替换所述UE发送的NAS消息中的消息认证码 MAC。
根据权利要求3所述的方法，其特征在于，第一核心网设备对接收到的来自所述UE的NAS消息进行重构，还包括：

第一核心网设备将第一核心网设备为所述UE分配的标识替换从该UE接收到的NAS消息中的UE的标识。
根据权利要求1所述的方法，其特征在于，所述密钥集标识包含在所述上下文请求中；或者，

所述密钥集标识包含在NAS消息中，该NAS消息包含在所述上下文请求。
根据权利要求1所述的方法，其特征在于，第一核心网设备确定当前的安全上下文后，将该安全上下文发送给第二核心网设备前，该方法还包括：

第一核心网设备利用当前的安全上下文验证该上下文请求中携带的NAS消息的完整性；

则，所述第一核心网设备将该安全上下文发送给第二核心网设备的步骤，是当所述验证成功时执行的。
根据权利要求7所述的方法，其特征在于，第一核心网设备利用当前与该UE共享的安全上下文验证该上下文请求中携带的NAS消息的完整性，包括：

第一核心网设备验证该上下文请求中携带的NAS消息中的完整性保护校验值或者消息认证码MAC值；或者

第一核心网设备验证该上下文请求中的完整性保护校验值。
根据权利要求1所述的方法，其特征在于，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
根据权利要求1所述的方法，其特征在于，所述上下文请求中还包括：

重路由指示和/或完整性保护校验值，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的。
一种获取安全上下文的方法，其特征在于，该方法包括：

第二核心网设备接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

第二核心网设备根据所述特定消息确定第一核心网设备，并向第一核心网设备发送上下文请求，所述上下文请求中包括UE的标识以及密钥集标识；

第二核心网设备接收第一核心网设备发送的上下文响应，并从中获取安全上下文，该安全上下文是第一核心网设备根据所述上下文请求中所述UE的标识以及密钥集标识确定的。
根据权利要求11所述的方法，其特征在于，所述NAS消息中包含第一核心网设备为所述UE分配的标识，第二核心网设备根据该标识确定第一核心网设备。
根据权利要求11所述的方法，其特征在于，所述特定消息中还包括第一核心网设备的标识信息，第二核心网设备根据该第一核心网设备的标识信息确定第一核心网设备。
根据权利要求11所述的方法，其特征在于，所述密钥集标识包含在所述上下文请求中；或者，

所述密钥集标识包含在NAS消息中，该NAS消息包含在所述上下文请求。
根据权利要求11至14任一权项所述的方法，其特征在于，第二核心网设备获取的所述UE的安全上下文中，包含第一核心网设备保护NAS消息所使用的加密算法和完整性保护算法。
根据权利要求15所述的方法，其特征在于，第二核心网设备获取所述UE的安全上下文后，该方法还包括：

当第二核心网设备需要选择新的算法时，第二核心网设备利用新的算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，其中包含新的算法的标识；其中，所述新的算法包括加密算法和/或完整性保护算法；

第二核心网设备接收该UE反馈的NAS安全模式完成消息。
根据权利要求11所述的方法，其特征在于，所述上下文请求中还包括：

重路由指示和/或完整性保护校验值，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的。
根据权利要求11所述的方法，其特征在于，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
一种重路由命令的接收处理方法，其特征在于，该方法包括：

接入网设备接收第一核心网设备发送的重路由命令，其中包含非接入层NAS消息和用于确定第二核心网设备的指示信息；

接入网设备根据所述指示信息，确定所述第二核心网设备，并向所述第二核心网设备发送携带所述NAS消息的特定消息。
根据权利要求19所述的方法，其特征在于，所述特定消息中还包括：

重路由指示，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的。
根据权利要求19或20所述的方法，其特征在于，所述特定消息中还包括：

第一核心网设备的标识信息，所述第二核心网设备根据该第一核心网设备的标识信息确定第一核心网设备。
根据权利要求19所述的方法，其特征在于，所述NAS消息是所述第一核心网设备对接收到的UE发送的NAS消息进行重构后的NAS消息。
根据权利要求19所述的方法，其特征在于，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
根据权利要求19所述的方法，其特征在于，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
一种提供安全上下文的设备，其特征在于，该设备包括：

接收NAS消息单元，用于接收用户设备UE发送的非接入层NAS消息；

发送重路由命令单元，用于当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息；

安全上下文提供单元，用于接收所述第二核心网设备发送的上下文请求，所述上下文请求中包括UE的标识以及密钥集标识，根据所述UE的标识以及密钥集标识，查找对应的安全上下文，并将该安全上下文发送给所述第二核心网设备。
根据权利要求25所述的设备，其特征在于，所述发送重路由命令单元还用于：

在向接入网设备发送重路由命令之前，对接收到的NAS消息进行重构，所述重路由命令中包含的NAS消息，为重构的NAS消息。
根据权利要求26所述的设备，其特征在于，所述发送重路由命令单元对接收到的来自所述UE的NAS消息进行重构时，具体用于：

利用当前安全上下文中的密钥集标识，替换该UE发送的NAS消息中的密钥集标识；和/或，

根据当前安全上下文计算完整性保护校验值，并将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE。
根据权利要求27所述的设备，其特征在于，所述发送重路由命令单元将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE时，具体用于：

将所述完整性保护校验值填充到所述UE发送的NAS消息中的消息认证码MAC信元IE；或

将所述完整性保护校验值替换所述UE发送的NAS消息中的消息认证码MAC。
根据权利要求27所述的设备，其特征在于，所述发送重路由命令单元，还用于：

将第一核心网设备为所述UE分配的标识替换从该UE接收到的NAS消息中的UE的标识。
根据权利要求25所述的设备，其特征在于，所述密钥集标识包含在所述上下文请求中；或者，

所述密钥集标识包含在NAS消息中，该NAS消息包含在所述上下文请求。
根据权利要求25所述的设备，其特征在于，所述安全上下文提供单元还用于：

在确定当前的安全上下文后，将该安全上下文发送给第二核心网设备前，利用当前的安全上下文验证该上下文请求中携带的NAS消息的完整性；

则，当所述验证成功时，所述安全上下文将该安全上下文发送给第二核心网设备。
根据权利要求31所述的设备，其特征在于，所述安全上下文提供单元利用当前与该UE共享的安全上下文验证该上下文请求中携带的NAS消息的完整性时，具体用于：

验证该上下文请求中携带的NAS消息中的完整性保护校验值或者消息认证码MAC值；或者

验证该上下文请求中的完整性保护校验值。
根据权利要求25所述的设备，其特征在于，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
根据权利要求25所述的设备，其特征在于，所述上下文请求中还包括：

重路由指示和/或完整性保护校验值，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的。
一种获取安全上下文的设备，其特征在于，该设备包括：

特定消息接收单元，用于接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

上下文请求单元，用于根据所述特定消息确定第一核心网设备，并向第一核心网设备发送上下文请求，所述上下文请求中包括UE的标识以及密钥集标识；

上下文获取单元，用于接收第一核心网设备发送的上下文响应，并从中获取安全上下文，该安全上下文是第一核心网设备根据所述上下文请求中所述UE的标识以及密钥集标识确定的。
根据权利要求35所述的设备，其特征在于，所述NAS消息中包含第一核心网设备为所述UE分配的标识，第二核心网设备根据该标识确定第一核心网设备。
根据权利要求35所述的设备，其特征在于，所述特定消息中还包括第一核心网设备的标识信息，第二核心网设备根据该第一核心网设备的标识信息确定第一核心网设备。
根据权利要求35所述的设备，其特征在于，所述密钥集标识包含在所述上下文请求中；或者，

所述密钥集标识包含在NAS消息中，该NAS消息包含在所述上下文请求。
根据权利要求35至38任一权项所述的设备，其特征在于，所述安全上下文中，包含第一核心网设备保护NAS消息所使用的加密算法和完整性保护算法。
根据权利要求39所述的设备，其特征在于，所述上下文获取单元获取所述UE的安全上下文后，还用于：

当需要选择新的算法时，利用新的算法推衍新的NAS密钥，并向UE发送NAS安全模式命令消息，其中包含新的算法的标识；其中，所述新的算法包括加密算法和/或完整性保护算法；

接收该UE反馈的NAS安全模式完成消息。
根据权利要求35所述的设备，其特征在于，所述上下文请求中还包括：

重路由指示和/或完整性保护校验值，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的。
根据权利要求35所述的设备，其特征在于，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
一种重路由命令的接收处理设备，其特征在于，该设备包括：

重路由命令接收单元，用于接收第一核心网设备发送的重路由命令，其中包含非接入层NAS消息和用于确定第二核心网设备的指示信息；

特定消息发送单元，用于根据所述指示信息，确定所述第二核心网设备，并向所述第二核心网设备发送携带所述NAS消息的特定消息。
根据权利要求43所述的设备，其特征在于，所述特定消息中还包括：

重路由指示，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的。
根据权利要求43或44所述的设备，其特征在于，所述特定消息中还包括：

第一核心网设备的标识信息，所述第二核心网设备根据该第一核心网设备的标识信息确定第一核心网设备。
根据权利要求43所述的设备，其特征在于，所述NAS消息是所述第一核心网设备对接收到的UE发送的NAS消息进行重构后的NAS消息。
根据权利要求43所述的设备，其特征在于，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
根据权利要求43所述的设备，其特征在于，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
一种提供安全上下文的设备，其特征在于，该设备包括处理器和收发机，其中，

收发机接收用户设备UE发送的非接入层NAS消息；

当处理器确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，通过收发机向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息；

收发机接收所述第二核心网设备发送的上下文请求，所述上下文请求中包括UE的标识以及密钥集标识，处理器根据所述UE的标识以及密钥集标识，查找对应的安全上下文，收发机将该安全上下文发送给所述第二核心网设备。
根据权利要求49所述的设备，其特征在于，收发机在向接入网设备发送重路由命令之前，处理器还用于对接收到的NAS消息进行重构，所述重路由命令中包含的NAS消息，为重构的NAS消息。
根据权利要求50所述的设备，其特征在于，处理器对接收到的NAS消息进行重构时，具体用于：

利用当前安全上下文中的密钥集标识，替换该UE发送的NAS消息中的密钥集标识；和/或，

根据当前安全上下文计算完整性保护校验值，并将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE。
根据权利要求51所述的设备，其特征在于，处理器将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE时，具体用于：

将所述完整性保护校验值填充到所述UE发送的NAS消息中的消息认证码MAC信元IE；或

将所述完整性保护校验值替换所述UE发送的NAS消息中的消息认证码MAC。
根据权利要求51所述的设备，其特征在于，处理器对接收到的NAS消息进行重构时，还用于：

将第一核心网设备为所述UE分配的标识替换从该UE接收到的NAS消息中的UE的标识。
根据权利要求49所述的设备，其特征在于，所述密钥集标识包含在所述上下文请求中；或者，

所述密钥集标识包含在NAS消息中，该NAS消息包含在所述上下文请求。
根据权利要求49所述的设备，其特征在于，处理器确定当前的安全上下文后，收发机将该安全上下文发送给第二核心网设备前，处理器还用于：

利用当前的安全上下文验证该上下文请求中携带的NAS消息的完整性；

则，当所述验证成功时，收发机将该安全上下文发送给第二核心网设备。
根据权利要求55所述的设备，其特征在于，处理器利用当前与该UE共享的安全上下文验证该上下文请求中携带的NAS消息的完整性时，具体用于：

验证该上下文请求中携带的NAS消息中的完整性保护校验值或者消息认证码MAC值；或者

验证该上下文请求中的完整性保护校验值。
根据权利要求49所述的设备，其特征在于，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
根据权利要求49所述的设备，其特征在于，所述上下文请求中还包括：

重路由指示和/或完整性保护校验值，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的。
一种获取安全上下文的设备，其特征在于，该设备包括收发机和处理器，其中：

收发机接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

处理器根据所述特定消息确定第一核心网设备，收发机向第一核心网设备发送上下文请求，所述上下文请求中包括UE的标识以及密钥集标识；

收发机接收第一核心网设备发送的上下文响应，处理器从中获取安全上下文，该安全上下文是第一核心网设备根据所述上下文请求中所述UE的标识以及密钥集标识确定的。
根据权利要求59所述的设备，其特征在于，所述NAS消息中包含第一核心网设备为所述UE分配的标识，第二核心网设备根据该标识确定第一核心网设备。
根据权利要求59所述的设备，其特征在于，所述特定消息中还包括第一核心网设备的标识信息，第二核心网设备根据该第一核心网设备的标识信息确定第一核心网设备。
根据权利要求59所述的设备，其特征在于，所述密钥集标识包含在所述上下文请求中；或者，

所述密钥集标识包含在NAS消息中，该NAS消息包含在所述上下文请求。
根据权利要求59至62任一权项所述的设备，其特征在于，所述安全上下文中，包含第一核心网设备保护NAS消息所使用的加密算法和完整性保护算法。
根据权利要求63所述的设备，其特征在于，所述处理器获取所述UE的安全上下文后，还用于：当需要选择新的算法时，利用新的算法推衍新的NAS密钥，并通过收发机向UE发送NAS安全模式命令消息，其中包含新的算法的标识；其中，所述新的算法包括加密算法和/或完整性保护算法；

收发机接收该UE反馈的NAS安全模式完成消息。
根据权利要求59所述的设备，其特征在于，所述上下文请求中还包括：

重路由指示和/或完整性保护校验值，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的。
根据权利要求59所述的设备，其特征在于，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
一种重路由命令的接收处理设备，其特征在于，该设备包括收发机和处理器，其中：

收发机接收第一核心网设备发送的重路由命令，其中包含非接入层NAS消息和用于确定第二核心网设备的指示信息；

处理器根据所述指示信息，确定所述第二核心网设备，并通过收发机向所述第二核心网设备发送携带所述NAS消息的特定消息。
根据权利要求67所述的设备，其特征在于，所述特定消息中还包括：

重路由指示，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的。
根据权利要求67或68所述的设备，其特征在于，所述特定消息中还包括：

第一核心网设备的标识信息，所述第二核心网设备根据该第一核心网设备的标识信息确定第一核心网设备。
根据权利要求67所述的设备，其特征在于，所述NAS消息是所述第一核心网设备对接收到的UE发送的NAS消息进行重构后的NAS消息。
根据权利要求67所述的设备，其特征在于，所述重路由命令中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
根据权利要求67所述的设备，其特征在于，所述特定消息中还包括：

密钥集标识和/或完整性保护校验值和/或UE的标识。
一种提供安全上下文的方法，其特征在于，该方法包括：

第一核心网设备接收用户设备UE发送的非接入层NAS消息；

当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第一核心网设备向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息。
根据权利要求73所述的方法，其特征在于，该方法还包括：

第一核心网设备接收所述第二核心网设备发送的请求消息，所述请求消息中包括UE的标识，第一核心网设备根据所述UE的标识，查找对应的鉴权数据，并将该鉴权数据发送给所述第二核心网设备。
根据权利要求74所述的方法，其特征在于，在第一核心网设备将该鉴权数据发送给所述第二核心网设备之前，该方法还包括：第一核心网设备验证请求消息中的校验值；

第一核心网将该鉴权数据发送给所述第二核心网设备，具体为：当验证成功时，第一核心网设备将鉴权数据发送给第二核心网设备。
根据权利要求75所述的方法，其特征在于，所述第一核心网设备验证请求消息中的校验值，具体包括:

当所述请求消息中还包括密钥集标识时，第一核心网设备利用所述UE的标识和所述密钥集标识确定对应的安全上下文，并利用所述安全上下文计算校验值，如果所述计算的校验值和所述请求消息中的校验值一致，则确定验证成功；或者，

第一核心网设备通过哈希函数计算校验值，如果所述计算的校验值和请求消息中的校验值一致，则确定验证成功；或者，

第一核心网设备查找本地保存的校验值，如果所述保存的校验值和请求消息中的校验值一致，则确定验证成功。
根据权利要求73所述的方法，其特征在于，在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，该方法还包括：所述第一核心网设备通过与所述UE之间的鉴权过程，或者从第三核心网设备获取所述UE的安全上下文；

在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之后，第一核心网设备向接入网设备发送重路由命令之前，该方法还包括：第一核心网设备为所述UE分配标识，并确定校验值；

所述重路由命令中，还包括：所述第一核心网设备为所述UE分配的标识和所述校验值；

或者，所述重路由命令中，还包括：所述第一核心网设备为所述UE分配的标识、所述校验值、以及该UE的安全上下文的密钥集标识。
根据权利要求73所述的方法，其特征在于，所述第一核心网确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还包括：

所述第一核心网设备向第三核心网设备发送请求消息，请求消息中包含所述NAS消息，并接收第三核心网设备回复的响应消息，其中包括所述UE的安全上下文、校验值以及用于确定所述第二核心网设备的信息；其中，所述校验值是所述第三核心网设备确定的；

所述第一核心网设备通过所述用于确定所述第二核心网设备的信息，确定所述NAS消息需要重路由到所述特定网络中的第二核心网设备；

所述重路由命令中还包括：所述校验值，或者所述校验值和密钥集标识。
一种获取安全上下文的方法，其特征在于，该方法包括：

第二核心网设备接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

第二核心网设备根据所述特定消息确定第一核心网设备，并向第一核心网设备发送请求消息，所述请求消息中包括UE的标识；

第二核心网设备接收第一核心网设备发送的响应消息，并从中获取所述UE的鉴权数据，该鉴权数据中包括所述UE的安全上下文，该鉴权数据是所述第一核心网设备根据所述UE的标识确定的。
根据权利要求79所述的方法，其特征在于，所述UE的标识，为所述第一核心网设备为所述UE分配的标识；

所述特定消息中还包括：校验值，或者校验值和密钥集标识；

所述请求消息中还包括：校验值，或者校验值和密钥集标识。
根据权利要求79所述的方法，其特征在于，所述特定消息中还包括：重路由指示，所述重路由指示用于指示所述NAS消息是重路由到第二核心网设备的；

所述请求消息中包括所述NAS消息，所述NAS消息中包括所述UE的标识，并且，所述请求消息中还包括所述重路由指示。
一种提供安全上下文的方法，其特征在于，该方法包括：

第三核心网设备接收第一核心网设备发送的请求消息，其中包括用户设备UE的非接入层NAS消息；

当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，第三核心网设备向所述第一核心网设备发送响应消息，其中包括所述UE的安全上下文和用于确定所述第二核心网设备的信息。
根据权利要求82所述的方法，其特征在于，当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，还包括：

第三核心网设备确定该UE的校验值；

所述响应消息中还包括：所述校验值，或者所述校验值和所述UE的安全上下文对应的密钥集标识。
根据权利要求83所述的方法，其特征在于，该方法还包括：

第三核心网设备接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息、校验值和密钥集标识；

第三核心网设备根据所述UE的标识找到对应的鉴权数据，向所述第二核心网设备发送响应消息，其中包括该UE的鉴权数据。
根据权利要求84所述的方法，其特征在于，在第三核心网设备向所述第二核心网设备发送响应消息之前，该方法还包括：第三核心网设备验证所述请求消息中的校验值；

第三核心网设备向所述第二核心网设备发送响应消息，具体为：当验证成功时，第三核心网设备向所述第二核心网设备发送响应消息。
根据权利要求85所述的方法，其特征在于，所述第三核心网设备验证所述请求消息中的校验值，具体包括:

当所述请求消息中还包括密钥集标识时，所述第三核心网设备利用所述UE的标识和所述密钥集标识确定对应的安全上下文，并利用所述安全上下文计算校验值，如果所述计算的校验值和所述请求消息中的校验值一致，则确定验证成功；或者，

所述第三核心网设备通过哈希函数计算校验值，如果所述计算的校验值和请求消息中的校验值一致，则确定验证成功；或者，

所述第三核心网设备查找本地保存的校验值，如果所述保存的校验值和请求消息中的校验值一致，则确定验证成功。
根据权利要求82所述的方法，其特征在于，该方法还包括：

第三核心网设备接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息和重路由指示，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的；

第三核心网设备通过所述重路由指示确定该请求消息中的NAS消息是重路由到第二核心网设备的；

第三核心网设备根据该NAS消息中的UE的标识和密钥集标识找到对应的安全上下文，并利用该安全上下文验证该请求消息中的完整性校验码，当验证成功时，第三核心网设备根据所述UE的标识找到对应的鉴权数据，并将该鉴权数据返回给第二核心网设备。
一种提供安全上下文的设备，其特征在于，该设备包括：

接收NAS消息单元，用于接收用户设备UE发送的非接入层NAS消息；

发送重路由命令单元，用于当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息。
根据权利要求88所述的设备，其特征在于，该设备还包括：

鉴权数据提供单元，用于接收所述第二核心网设备发送的请求消息，所述请求消息中包括UE的标识，根据所述UE的标识，查找对应的鉴权数据，并将该鉴权数据发送给所述第二核心网设备。
根据权利要求89所述的设备，其特征在于，所述鉴权数据提供单元将该鉴权数据发送给所述第二核心网设备之前，还用于验证请求消息中的校验值；

所述鉴权数据提供单元将该鉴权数据发送给所述第二核心网设备，具体为：当验证成功时，将鉴权数据发送给第二核心网设备。
根据权利要求90所述的设备，其特征在于，所述鉴权数据提供单元验证请求消息中的校验值时，具体用于：

当所述请求消息中还包括密钥集标识时，利用所述UE的标识和所述密钥集标识确定对应的安全上下文，并利用所述安全上下文计算校验值，如果所述计算的校验值和所述请求消息中的校验值一致，则确定验证成功；或者，

通过哈希函数计算校验值，如果所述计算的校验值和请求消息中的校验值一致，则确定验证成功；或者，

查找本地保存的校验值，如果所述保存的校验值和请求消息中的校验值一致，则确定验证成功。
根据权利要求88所述的设备，其特征在于，所述发送重路由命令单元在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：通过与所述UE之间的鉴权过程，或者从第三核心网设备获取所述UE的安全上下文；

在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之后，向接入网设备发送重路由命令之前，所述发送重路由命令单元还用于：为所述UE分配标识，并确定校验值；

所述重路由命令中，还包括：所述发送重路由命令单元为所述UE分配的标识和所述校验值；

或者，所述重路由命令中，还包括：所述发送重路由命令单元为所述UE分配的标识、所述校验值、以及该UE的安全上下文的密钥集标识。
根据权利要求88所述的设备，其特征在于，所述发送重路由命令单元确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：

向第三核心网设备发送请求消息，请求消息中包含所述NAS消息，并接收第三核心网设备回复的响应消息，其中包括所述UE的安全上下文、校验值以及用于确定所述第二核心网设备的信息；其中，所述校验值是所述第三核心网设备确定的；

通过所述用于确定所述第二核心网设备的信息，确定所述NAS消息需要重路由到所述特定网络中的第二核心网设备；

所述重路由命令中还包括：所述校验值，或者所述校验值和密钥集标识。
一种获取安全上下文的设备，其特征在于，该设备包括：

特定消息接收单元，用于接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

请求单元，用于根据所述特定消息确定第一核心网设备，并向第一核心网设备发送请求消息，所述请求消息中包括UE的标识；

获取单元，用于接收第一核心网设备发送的响应消息，并从中获取所述UE的鉴权数据，该鉴权数据中包括所述UE的安全上下文，该鉴权数据是所述第一核心网设备根据所述UE的标识确定的。
根据权利要求94所述的设备，其特征在于，所述UE的标识，为所述第一核心网设备为所述UE分配的标识；

所述特定消息中还包括：校验值，或者校验值和密钥集标识；

所述请求消息中还包括：校验值，或者校验值和密钥集标识。
根据权利要求94所述的设备，其特征在于，所述特定消息中还包括：重路由指示，所述重路由指示用于指示所述NAS消息是重路由到第二核心网设备的；

所述请求消息中包括所述NAS消息，所述NAS消息中包括所述UE的标识，并且，所述请求消息中还包括所述重路由指示。
一种提供安全上下文的设备，其特征在于，该设备包括：

接收请求单元，用于接收第一核心网设备发送的请求消息，其中包括用户设备UE的非接入层NAS消息；

响应单元，用于当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，向所述第一核心网设备发送响应消息，其中包括所述UE的安全上下文和用于确定所述第二核心网设备的信息。
根据权利要求97所述的设备，其特征在于，所述响应单元当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，还用于：

确定该UE的校验值；

所述响应消息中还包括：所述校验值，或者所述校验值和所述UE的安全上下文对应的密钥集标识。
根据权利要求98所述的设备，其特征在于，所述接收请求单元还用于：接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息、校验值和密钥集标识；

所述响应单元还用于：根据所述UE的标识找到对应的鉴权数据，向所述第二核心网设备发送响应消息，其中包括该UE的鉴权数据。
根据权利要求99所述的设备，其特征在于，所述响应单元在向所述第二核心网设备发送响应消息之前，还用于验证所述请求消息中的校验值；

所述响应单元向所述第二核心网设备发送响应消息，具体为：当验证成功时，所述响应单元向所述第二核心网设备发送响应消息。
根据权利要求100所述的设备，其特征在于，所述响应单元验证所述请求消息中的校验值时，具体用于：

当所述请求消息中还包括密钥集标识时，利用所述UE的标识和所述密钥集标识确定对应的安全上下文，并利用所述安全上下文计算校验值，如果所述计算的校验值和所述请求消息中的校验值一致，则确定验证成功；或者，

通过哈希函数计算校验值，如果所述计算的校验值和请求消息中的校验值一致，则确定验证成功；或者，

查找本地保存的校验值，如果所述保存的校验值和请求消息中的校验值一致，则确定验证成功。
根据权利要求97所述的设备，其特征在于，所述接收请求单元还用于：

接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息和重路由指示，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的；

通过所述重路由指示确定该请求消息中的NAS消息是重路由到第二核心网设备的；

根据该NAS消息中的UE的标识和密钥集标识找到对应的安全上下文，并利用该安全上下文验证该请求消息中的完整性校验码，当验证成功时，根据所述UE的标识找到对应的鉴权数据，并将该鉴权数据返回给第二核心网设备。
一种提供安全上下文的设备，其特征在于，该设备包括收发机和处理器，其中，

收发机接收用户设备UE发送的非接入层NAS消息；

处理器当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，通过收发机向接入网设备发送重路由命令，所述重路由命令中包含NAS消息和用于确定所述第二核心网设备的信息。
根据权利要求103所述的设备，其特征在于，收发机还用于接收所述第二核心网设备发送的请求消息，所述请求消息中包括UE的标识，所述处理器还用于根据所述UE的标识，查找对应的鉴权数据，并通过收发机将该鉴权数据发送给所述第二核心网设备。
根据权利要求104所述的设备，其特征在于，所述处理器还用于：

在所述收发机将该鉴权数据发送给所述第二核心网设备之前，验证请求消息中的校验值；当验证成功时，通过所述收发机将鉴权数据发送给第二核心网设备。
根据权利要求105所述的设备，其特征在于，所述处理器验证请求消息中的校验值时，具体用于：

当所述请求消息中还包括密钥集标识时，利用所述UE的标识和所述密钥集标识确定对应的安全上下文，并利用所述安全上下文计算校验值，如果所述计算的校验值和所述请求消息中的校验值一致，则确定验证成功；或者，

通过哈希函数计算校验值，如果所述计算的校验值和请求消息中的校验值一致，则确定验证成功；或者，

查找本地保存的校验值，如果所述保存的校验值和请求消息中的校验值一致，则确定验证成功。
根据权利要求103所述的设备，其特征在于，所述处理器在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：通过与所述UE之间的鉴权过程，或者从第三核心网设备获取所述UE的安全上下文；

在确定所述NAS消息需要重路由到特定网络中的第二核心网设备之后，通过收发机向接入网设备发送重路由命令之前，所述处理器还用于：为所述UE分配标识，并确定校验值；

所述重路由命令中，还包括：所述处理器为所述UE分配的标识和所述校验值；

或者，所述重路由命令中，还包括：所述处理器为所述UE分配的标识、所述校验值、以及该UE的安全上下文的密钥集标识。
根据权利要求103所述的设备，其特征在于，所述处理器确定所述NAS消息需要重路由到特定网络中的第二核心网设备之前，还用于：通过收发机向第三核心网设备发送请求消息，请求消息中包含所述NAS消息，并通过收发机接收第三核心网设备回复的响应消息，其中包括所述UE的安全上下文、校验值以及用于确定所述第二核心网设备的信息；其中，所述校验值是所述第三核心网设备确定的；

通过所述用于确定所述第二核心网设备的信息，确定所述NAS消息需要重路由到所述特定网络中的第二核心网设备；

所述重路由命令中还包括：所述校验值，或者所述校验值和密钥集标识。
一种获取安全上下文的设备，其特征在于，该设备包括：收发机和处理器，其中，

收发机接收接入网设备发送的特定消息，该特定消息中包括非接入层NAS消息；

处理器根据所述特定消息确定第一核心网设备，并通过收发机向第一核心网设备发送请求消息，所述请求消息中包括UE的标识；

收发机接收第一核心网设备发送的响应消息，处理器从中获取所述UE的鉴权数据，该鉴权数据中包括所述UE的安全上下文，该鉴权数据是所述第一核心网设备根据所述UE的标识确定的。
根据权利要求109所述的设备，其特征在于，所述UE的标识，为所述第一核心网设备为所述UE分配的标识；

所述特定消息中还包括：校验值，或者校验值和密钥集标识；

所述请求消息中还包括：校验值，或者校验值和密钥集标识。
根据权利要求109所述的设备，其特征在于，所述特定消息中还包括：重路由指示，所述重路由指示用于指示所述NAS消息是重路由到第二核心网设备的；

所述请求消息中包括所述NAS消息，所述NAS消息中包括所述UE的标识，并且，所述请求消息中还包括所述重路由指示。
一种提供安全上下文的设备，其特征在于，该设备包括：收发机和处理器，其中，

收发机接收第一核心网设备发送的请求消息，其中包括用户设备UE的非接入层NAS消息；

处理器当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，通过收发机向所述第一核心网设备发送响应消息，其中包括所述UE的安全上下文和用于确定所述第二核心网设备的信息。
根据权利要求112所述的设备，其特征在于，处理器当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，还用于：

确定该UE的校验值；

所述响应消息中还包括：所述校验值，或者所述校验值和所述UE的安全上下文对应的密钥集标识。
根据权利要求113所述的设备，其特征在于，所述收发机还用于接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息、校验值和密钥集标识；

所述处理器根据所述UE的标识找到对应的鉴权数据，通过所述收发机向所述第二核心网设备发送响应消息，其中包括该UE的鉴权数据。
根据权利要求114所述的设备，其特征在于，所述处理器在通过收发机向所述第二核心网设备发送响应消息之前，还用于验证所述请求消息中的校验值；

所述处理器通过收发机向所述第二核心网设备发送响应消息，具体为：当验证成功时，所述处理器通过收发机向所述第二核心网设备发送响应消息。
根据权利要求115所述的设备，其特征在于，所述处理器验证所述请求消息中的校验值时，具体用于：

当所述请求消息中还包括密钥集标识时，利用所述UE的标识和所述密钥集标识确定对应的安全上下文，并利用所述安全上下文计算校验值，如果所述计算的校验值和所述请求消息中的校验值一致，则确定验证成功；或者，

通过哈希函数计算校验值，如果所述计算的校验值和请求消息中的校验值一致，则确定验证成功；或者，

查找本地保存的校验值，如果所述保存的校验值和请求消息中的校验值一致，则确定验证成功。
根据权利要求112所述的设备，其特征在于，所述收发机还用于接收所述第二核心网设备发送的请求消息，其中包括所述NAS消息和重路由指示，所述重路由指示用于指示NAS消息是重路由到第二核心网设备的；

所述处理器还用于通过所述重路由指示确定该请求消息中的NAS消息是重路由到第二核心网设备的；根据该NAS消息中的UE的标识和密钥集标识找到对应的安全上下文，并利用该安全上下文验证该请求消息中的完整性校验码，当验证成功时，根据所述UE的标识找到对应的鉴权数据，并将该鉴权数据通过收发机返回给第二核心网设备。