專(zhuān)利名稱(chēng):一種終端移動(dòng)時(shí)防止降質(zhì)攻擊的方法�����、系統(tǒng)及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無(wú)線通信技術(shù)����,具體涉及一種終端移動(dòng)時(shí)防止降質(zhì)攻擊的方法、系統(tǒng)及裝置�����。
背景技術(shù):
無(wú)線網(wǎng)絡(luò)包括無(wú)線接入網(wǎng)和核心網(wǎng)兩部分。未來(lái)演進(jìn)的無(wú)線網(wǎng)絡(luò)核心網(wǎng)包括移動(dòng)管理實(shí)體(MME, Mobile Management Entity),其功能與通用分組無(wú)線業(yè)務(wù)(GPRS, GeneralPacket Radio Service)網(wǎng)絡(luò)的服務(wù) GPRS 支持節(jié)點(diǎn)(SGSN, Service GPRS Support Node)類(lèi)似����,主要完成移動(dòng)性管理、用戶鑒權(quán)等�����。當(dāng)用戶設(shè)備(UE, User Equipment)處于空閑態(tài)時(shí)�,需要與MME之間協(xié)商非接入信令(NAS, Non-Access Signaling)安全算法,包括NAS機(jī)密性保護(hù)算法和NAS完整性保護(hù)算法,以保證UE通信過(guò)程中的系統(tǒng)安全�����。當(dāng)空閑態(tài)的UE在未來(lái)演進(jìn)的無(wú)線接入網(wǎng)(LTE,Long Te rm Evolution)內(nèi)部移動(dòng)�,或從2G\3G網(wǎng)絡(luò)移動(dòng)到LTE網(wǎng)絡(luò)時(shí),會(huì)發(fā)生跟蹤區(qū)域更新(TAU��,Tracking Area Update)過(guò)程����,此過(guò)程中,為該UE進(jìn)行移動(dòng)性管理及用戶鑒權(quán)等的實(shí)體可能會(huì)改變���,例如中LTE網(wǎng)絡(luò)內(nèi)部移動(dòng)時(shí)��,為該UE進(jìn)行移動(dòng)性管理及用戶鑒權(quán)等的實(shí)體由移動(dòng)之前為其服務(wù)的MME (或稱(chēng)為舊MME)改變?yōu)橐苿?dòng)之后為其服務(wù)的MME ;從2G\3G網(wǎng)絡(luò)移動(dòng)到LTE網(wǎng)絡(luò)時(shí)���,為該UE進(jìn)行移動(dòng)性管理及用戶鑒權(quán)等的實(shí)體由SGSN改變?yōu)镸ME����。由于不同的為UE進(jìn)行移動(dòng)性管理及用戶鑒權(quán)等實(shí)體的安全能力可以是不一樣的�����,因此UE要和新MME (即移動(dòng)之后為其服務(wù)的MME)之間重新進(jìn)行安全能力 的協(xié)商����。對(duì)于LTE網(wǎng)絡(luò)來(lái)說(shuō)��,UE與MME之間的安全能力協(xié)商主要是NAS安全算法以及相應(yīng)的密鑰協(xié)商�����。圖1為現(xiàn)有的UE與新MME進(jìn)行安全能力協(xié)商的方法流程圖��。如圖1所示����,該方法包括以下步驟:步驟100:UE向新MME發(fā)送跟蹤區(qū)域更新請(qǐng)求(TAU Request)��。本步驟中���,UE通過(guò)未來(lái)演進(jìn)的無(wú)線接入網(wǎng)的演進(jìn)基站(eNB, evolution Node B)向新MME發(fā)送跟蹤區(qū)域更新請(qǐng)求。為了描述方便��,以下描述都將UE與MME之間通過(guò)eNB傳遞消息簡(jiǎn)化為UE與MME之間進(jìn)行通信�。步驟101-步驟102:新MME向舊MME發(fā)送移動(dòng)性管理上下文請(qǐng)求(contextrequest)消息;舊MME接收到消息后�,向新MME返回移動(dòng)性管理上下文響應(yīng)(contextrequest),其中攜帶當(dāng)前使用的根密鑰Kasme、當(dāng)前使用的完整性保護(hù)密鑰Knas_int�、當(dāng)前使用的NAS機(jī)密性保護(hù)密鑰Knas-enc、當(dāng)前使用的NAS安全算法及UE支持的安全能力����,包括UE支持的NAS/無(wú)線資源控制(RRC,Radio Resource Control)/用戶面(UP,User Plane)安全算法。步驟103:新MME根據(jù)UE支持的安全能力中的NAS安全算法�����,自己支持的NAS安全算法���,以及系統(tǒng)允許的NAS安全算法�,通過(guò)三者取交集,來(lái)選擇新的NAS安全算法����,包括NAS完整性保護(hù)算法及NAS機(jī)密性保護(hù)算法。步驟104:新MME向UE發(fā)送跟蹤區(qū)域接受(TAU Accept)消息,其中包括選擇的新NAS安全算法����。實(shí)際執(zhí)行時(shí),在步驟103與步驟104之間還有其他與安全能力協(xié)商無(wú)關(guān)的步驟����,在此省略。步驟105:UE接收攜帶所選擇的NAS安全算法的TAU Accept消息�,實(shí)現(xiàn)與MME之間的NAS安全算法共享;然后再檢查T(mén)AU Accept消息中攜帶的NAS安全算法���,如果攜帶的NAS安全算法和UE當(dāng)前使用的NAS安全算法一樣,就以UE當(dāng)前使用的NAS完整性保護(hù)密鑰Knas-1nt�,當(dāng)前使用的NAS機(jī)密性保護(hù)密鑰Knas-enc,作為后續(xù)的NAS保護(hù)密鑰��;如果攜帶的NAS安全算法和UE當(dāng)前使用的NAS安全算法不同�,則需要根據(jù)UE當(dāng)前使用的根密鑰Kasme以及其他參數(shù)重新推導(dǎo)出新的NAS完整性保護(hù)密鑰Knas-1nt,NAS機(jī)密性保護(hù)密鑰Knas-enc,作為后續(xù)的NAS保護(hù)密鑰�����,實(shí)現(xiàn)與MME之間的NAS保護(hù)密鑰共享。從而實(shí)現(xiàn)UE與MME之間的安全能力協(xié)商��。由以上描述可知�,現(xiàn)有技術(shù)中沒(méi)有進(jìn)行防止降質(zhì)攻擊(bidding down attack)處理的過(guò)程。降質(zhì)攻擊是指:假設(shè)UE同時(shí)支持兩種安全性算法:高強(qiáng)度算法Al和低強(qiáng)度算法A2��,MME也同時(shí)支持這兩種算法��,這樣UE和新MME之間協(xié)商的結(jié)果應(yīng)該是高強(qiáng)度算法Al�����。但如果新MME獲知UE支持的安全能力之前�����,UE支持的安全能力已經(jīng)被攻擊者修改過(guò)����,例如只保留低強(qiáng)度算法A2,那么新MME將只能選擇低強(qiáng)度算法A2���,并發(fā)給UE�����。即UE和MME之間協(xié)商得到的是低強(qiáng)度算法A2���,而不是高強(qiáng)度算法Al�,從而使得攻擊者更容易攻破����,即達(dá)到所謂的降質(zhì)攻擊。因此���,現(xiàn)有技術(shù)中由于無(wú)法防止降質(zhì)攻擊�,MME與UE協(xié)商的可能是低強(qiáng)度的算法�����,因此在后續(xù)通信過(guò)程中����,UE與MME之間的通信內(nèi)容有可能被攻擊者攻破���,從而無(wú)法保證后續(xù)UE與網(wǎng)絡(luò)交互時(shí)的安全�。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種終端移動(dòng)時(shí)防止降質(zhì)攻擊的方法�,保證后續(xù)UE與網(wǎng)絡(luò)交互時(shí)的安全。本發(fā)明實(shí)施例還提供一種終端移動(dòng)時(shí)防止降質(zhì)攻擊的系統(tǒng)����,保證后續(xù)UE與網(wǎng)絡(luò)交互時(shí)的安全�。本發(fā)明實(shí)施例還提供一種MME裝置�����,保證后續(xù)UE與網(wǎng)絡(luò)交互時(shí)的安全。本發(fā)明實(shí)施例還提供一種UE裝置��,保證后續(xù)UE與網(wǎng)絡(luò)交互時(shí)的安全。為達(dá)到上述目的���,本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的:一種終端移動(dòng)時(shí)防止降質(zhì)攻擊的方法,包括:用戶設(shè)備UE向移動(dòng)管理實(shí)體MME發(fā)送跟蹤區(qū)域更新請(qǐng)求消息���;接收MME獲取并發(fā)送的UE支持的安全能力��;檢查接收到的UE支持的安全能力和自身保存的安全能力不一致時(shí)����,確定存在降質(zhì)攻擊。一種終端移動(dòng)時(shí)防止降質(zhì)攻擊的系統(tǒng)��, 包括用戶設(shè)備UE及移動(dòng)管理實(shí)體MME,所述UE����,用于向MME發(fā)送跟蹤區(qū)域更新請(qǐng)求消息�����;接收MME發(fā)送的UE支持的安全能力�����;檢查接收到的UE支持的安全能力與自身保存的安全能力的一致性����;所述MME,接收UE發(fā)送的跟蹤區(qū)域更新請(qǐng)求消息��;獲取UE支持的安全能力,并將該獲取的UE支持的安全能力發(fā)送到所述UE�����。
一種移動(dòng)管理實(shí)體MME,包括獲取模塊和下發(fā)模塊���,所述獲取模塊�,用于接收用戶設(shè)備UE發(fā)送的跟蹤區(qū)域更新請(qǐng)求消息����,其中攜帶UE支持的安全能力���;所述下發(fā)模塊�����,用于通過(guò)跟蹤區(qū)域更新接受消息,將所述獲取模塊的UE支持的安全能力發(fā)送到UE����。一種用戶設(shè)備UE�����,包括更新模塊和判斷模塊,所述更新模塊��,用于向移動(dòng)管理實(shí)體MME發(fā)送跟蹤區(qū)域更新請(qǐng)求消息�����;所述判斷模塊�����,用于接收MME發(fā)送的UE支持的安全能力;檢查所述接收到的UE支持的安全能力與所述存儲(chǔ)模塊保存的安全能力一致性�����。與現(xiàn)有技術(shù)相比���,本發(fā)明實(shí)施例所提供的技術(shù)方案�����,UE在向MME發(fā)送跟蹤區(qū)域更新請(qǐng)求消息后��,接收MME獲取并發(fā)送的UE支持的安全能力�����,并檢查接收到的UE支持的安全能力和自身保存的安全能力不一 致時(shí)���,確定存儲(chǔ)降質(zhì)攻擊。因此�����,如果MME獲得的UE支持的安全能力被攻擊過(guò)����,則在UE與MME進(jìn)行安全能力協(xié)商的過(guò)程中�,當(dāng)MME將所述UE支持的安全能力下發(fā)到UE時(shí)�����,UE可以根據(jù)本發(fā)明實(shí)施例提供的技術(shù)方案�,檢測(cè)出接收到的UE支持的安全能力和自身保存的安全能力不一致��,即存在降質(zhì)攻擊,從而防止了降質(zhì)攻擊���,保證后續(xù)UE與網(wǎng)絡(luò)交互時(shí)的安全。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見(jiàn)地�����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�,在不付出創(chuàng)造性勞動(dòng)性的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖��。圖1為現(xiàn)有技術(shù)中終端移動(dòng)時(shí)安全能力協(xié)商的方法流程圖�;圖2為本發(fā)明實(shí)施例中終端移動(dòng)時(shí)防止降質(zhì)攻擊的方法流程圖;圖3為本發(fā)明實(shí)施例中終端移動(dòng)時(shí)安全能力協(xié)商的方法流程圖��;圖4為本發(fā)明實(shí)施例中終端移動(dòng)時(shí)防止降質(zhì)攻擊的系統(tǒng)結(jié)構(gòu)圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述�����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例?�;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍���。圖2為本發(fā)明實(shí)施例中終端移動(dòng)時(shí)防止降質(zhì)攻擊的方法流程圖�����。如圖2所示,該方法包括以下步驟:在步驟200新MME接收到UE發(fā)送的跟蹤區(qū)域更新請(qǐng)求消息后�����,在步驟201中��,新MME獲取UE支持的安全能力,并在步驟202中通過(guò)跟蹤區(qū)域更新接受消息��,將該UE支持的安全能力發(fā)送到UE ;然后在步驟203由UE檢查接收到的UE支持的安全能力和自身保存的安全能力的一致性���。圖3為本發(fā)明實(shí)施例中終端移動(dòng)時(shí)進(jìn)行安全能力協(xié)商的方法流程圖�。該方法包括以下步驟:步驟300:UE向新MME發(fā)送跟蹤區(qū)域更新請(qǐng)求(TAU request)消息��。本步驟中���,UE通過(guò)未來(lái)演進(jìn)的無(wú)線接入網(wǎng)的演進(jìn)基站(eNB, evolution Node B)向新MME發(fā)送跟蹤區(qū)域更新請(qǐng)求�����。為了描述方便�����,以下描述都將UE與MME之間通過(guò)eNB進(jìn)行通信簡(jiǎn)化為UE與MME之間進(jìn)行通信��。本步驟UE向MME發(fā)送的TAU請(qǐng)求中��,除攜帶本領(lǐng)域技術(shù)人員均知的一些參數(shù)����,例如臨時(shí)移動(dòng)用戶識(shí)別號(hào)碼(TMSI, Temporary Mobile Subscriber Identity)之外,還可以攜帶UE支持的安全能力��,包括NAS安全算法(NAS完整性保護(hù)算法和機(jī)密性算法)�,還可以包括RRC安全算法(RRC完整性保護(hù)算法和機(jī)密性算法)和/或UP安全算法(UP機(jī)密性保護(hù)算法)。步驟301-步驟302:新MME向舊MME發(fā)送移動(dòng)性管理上下文請(qǐng)求(contextrequest)消息JHMME向新MME發(fā)送移動(dòng)性管理上下文響應(yīng)(context response)消息,其中包含當(dāng)前使用的NAS安全算法列表����,當(dāng)前使用的根密鑰Kasme。如果步驟300中UE在向MME發(fā)送的TAU請(qǐng)求中沒(méi)有攜帶UE支持的安全能力�,則舊MME在接收到移動(dòng)性管理上下文請(qǐng)求消息后,查詢UE支持的安全能力�,并在發(fā)送給MME的移動(dòng)性管理上下文響應(yīng)消息中攜帶該查詢到的UE支持的安全能力。步驟303:新MME根據(jù)UE支持的安全能力中的NAS安全算法��、自己支持的NAS安全算法列表����、以及系統(tǒng)允許的NAS安全算法列表�����,這三者取交集��,來(lái)選擇新的NAS算法;然后根據(jù)當(dāng)前使用的根密鑰Kasme以及其他參數(shù)重新推導(dǎo)出新的NAS保護(hù)密鑰���,包括NAS完整性保護(hù)密鑰Knas-1nt�����、NAS機(jī)密性保護(hù)密鑰Knas-enc���,作為后續(xù)的NAS安全密鑰。如果新選擇的NAS算法和舊MME返回的當(dāng)前使用的NAS安全算法不同�,還需要將計(jì)數(shù)器(counter)清0 ,用于防止重放攻擊��。步驟304:新MME向UE發(fā)送跟蹤區(qū)域更新接受(TAU accept)消息,其中攜帶選擇的新的NAS安全算法和UE支持的安全能力��。本步驟中MME還可以對(duì)該TAU accept消息進(jìn)行NAS完整性保護(hù)�,例如,利用步驟303中推導(dǎo)得到的NAS完整性保護(hù)密鑰Knas-1nt���、TAU accept中的信息及所選擇NAS安全算法中的NAS完整性保護(hù)算法���,推導(dǎo)得到NAS完整性保護(hù)的消息認(rèn)證碼(NAS-MAC)值,然后將該值附在TAU accept消息中����,發(fā)送至UE�。本步驟還可以MME通過(guò)NAS安全模式命令(SMC, Security Mode Command)請(qǐng)求消息將選擇的新的NAS安全算法和UE支持的安全能力下發(fā)給UE�����,具體過(guò)程不再詳細(xì)敘述�����。在步驟303和步驟304之間還可能有其他與安全能力協(xié)商無(wú)關(guān)的步驟���,這里不再贅述�。步驟305:UE檢查接收到的UE支持的安全能力與自身保存的安全能力的一致性�����。本步驟中���,如果UE檢查接收到的UE支持的安全能力與自身保存的安全能力一致��,則確定不存在降質(zhì)攻擊;如果不一致�����,則確定存在降質(zhì)攻擊,因此確定本次安全能力協(xié)商失敗��,可能重新發(fā)起安全能力協(xié)商過(guò)程��,從而可以達(dá)到防止降質(zhì)攻擊的目的��。本步驟中,UE還可以進(jìn)一步檢查T(mén)AU accept消息攜帶的NAS安全算法:如果攜帶的NAS安全算法和UE當(dāng)前使用的NAS安全算法一樣��,就以UE當(dāng)前使用的NAS完整性保護(hù)密鑰Knas-1nt���,當(dāng)前使用的NAS機(jī)密性保護(hù)密鑰Knas-enc����,作為后續(xù)的NAS安全密鑰���;如果攜帶的NAS安全算法和UE(或者舊MME)當(dāng)前使用的NAS安全算法不同���,則需要根據(jù)UE當(dāng)前使用的根密鑰Kasme以及其他參數(shù)重新推導(dǎo)出新的NAS完整性保護(hù)密鑰Knas-1nt和NAS機(jī)密性保護(hù)密鑰Knas-enc,作為后續(xù)的NAS安全密鑰�;并將計(jì)數(shù)器(counter)清0,用于防止重放攻擊��。本步驟中,UE還可以檢查收到的TAU accept消息的NAS完整性保護(hù)(NAS-MAC)是否正確��。如果發(fā)現(xiàn)不正確���,則確定本次安全能力協(xié)商失敗��,可能重新發(fā)起安全能力協(xié)商過(guò)程�����。例如�,UE根據(jù)推導(dǎo)得到的NAS機(jī)密性保護(hù)密鑰Knas-enc�����、TAU accept中的信息及TAU accept消息中攜帶的NAS完整性保護(hù)算法推導(dǎo)得到NAS-MAC�����,然后UE比較推導(dǎo)得到的NAS-MAC與TAUac^pt消息中攜帶的NAS-MAC是否相同���,是則表明該消息在傳輸過(guò)程沒(méi)有被更改���,否則認(rèn)為該消息在傳輸過(guò)程中被更改���,從而確定本次安全能力協(xié)商失敗�����。這樣就完成了 TAU過(guò)程中UE和新的MME之間的NAS安全能力協(xié)商的過(guò)程����。以上所描述的步驟中,UE和MME根據(jù)Kasme推導(dǎo)出NAS保護(hù)密鑰的過(guò)程為現(xiàn)有技術(shù)�,因此本文不再對(duì)具體的推導(dǎo)過(guò)程進(jìn)行詳細(xì)描述。圖4為本發(fā)明實(shí)施例中終端移動(dòng)時(shí)防止降質(zhì)攻擊的系統(tǒng)結(jié)構(gòu)圖���。如圖4所示����,該系統(tǒng)包括UE和MME����。其中,UE向M ME發(fā)送跟蹤區(qū)域更新請(qǐng)求消息�;接收新MME發(fā)送的UE支持的安全能力;并檢查接收到的UE支持的安全能力與自身保存的安全能力的一致性�����。MME,接收UE發(fā)送的跟蹤區(qū)域更新請(qǐng)求消息�;獲取UE支持的安全能力,并將該獲取的UE支持的安全能力發(fā)送到UE��。UE進(jìn)一步在跟蹤區(qū)域請(qǐng)求消息中攜帶自身支持的安全能力�。具體來(lái)說(shuō),MME包括獲取模塊11和下發(fā)模塊12��,其中��,獲取模塊11���,用于接收UE發(fā)送的跟蹤區(qū)域更新請(qǐng)求消息��,其中攜帶UE支持的安全能力�;下發(fā)模塊12���,用于通過(guò)跟蹤區(qū)域更新響應(yīng)消息��,將獲取模塊11的UE支持的安全能力發(fā)送到UE���。獲取模塊11進(jìn)一步獲取當(dāng)前使用的根密鑰���;MME進(jìn)一步包括選擇模塊13和密鑰推導(dǎo)模塊14,選擇模塊13根據(jù)UE支持的安全能力��,選擇NAS安全算法�����;密鑰推導(dǎo)模塊14根據(jù)獲取模塊11獲取的根密鑰和選擇模塊13選擇的NAS安全算法�����,推導(dǎo)NAS保護(hù)密鑰���。相應(yīng)地,UE包括更新模塊21和判斷模塊22���。其中���,更新模塊21,用于向MME發(fā)送跟蹤區(qū)域更新請(qǐng)求消息����;判斷模塊22,用于接收MME發(fā)送的UE支持的安全能力��;檢查接收到的UE支持的安全能力與保存的安全能力的一致性����。UE進(jìn)一步包括存儲(chǔ)模塊23,用于保存UE支持的安全能力�;更新模塊21可以在跟蹤區(qū)域更新請(qǐng)求消息中進(jìn)一步攜帶UE支持的安全能力�����。由以上所述可以看出��,本發(fā)明實(shí)施例所提供的技術(shù)方案存在以下優(yōu)點(diǎn):第一,UE向MME發(fā)送跟蹤區(qū)域更新請(qǐng)求消息后���,接收MME獲取并發(fā)送的UE支持的安全能力���;并檢查接收到的UE支持的安全能力和自身保存的安全能力不一致時(shí),確定存在降質(zhì)攻擊����。因此����,如果MME獲得的UE支持的安全能力被攻擊者修改過(guò)��,則在UE與MME進(jìn)行安全能力協(xié)商的過(guò)程中�����,當(dāng)MME將UE支持的安全能力下發(fā)到UE時(shí),UE可以根據(jù)本發(fā)明實(shí)施例提供的技術(shù)方案�����,檢測(cè)是否存在降質(zhì)攻擊,從而防止了降質(zhì)攻擊����。第二�����,新MME在選擇新的NAS安全算法時(shí)需要根據(jù)UE與LTE網(wǎng)絡(luò)相關(guān)的安全能力(NAS/RRC/UP安全算法)進(jìn)行選擇�,現(xiàn)有技術(shù)中是通過(guò)舊MME通過(guò)context response消息將UE支持的安全能力返回給新MME。由于UE在發(fā)生TAU過(guò)程之前��,通過(guò)其他過(guò)程向舊MME上報(bào)了自己的所有安全能力,因此這種方案對(duì)于空閑態(tài)UE在LTE網(wǎng)絡(luò)內(nèi)部移動(dòng)時(shí)沒(méi)有問(wèn)題��。但是空閑態(tài)UE同樣也可能從2G/3G網(wǎng)絡(luò)移動(dòng)到LTE網(wǎng)絡(luò),UE在移動(dòng)到LTE網(wǎng)絡(luò)之前�����,上報(bào)給SGSN的只是和2G/3G網(wǎng)絡(luò)相關(guān)的安全能力,而并不會(huì)主動(dòng)向SGSN上報(bào)自身與LTE網(wǎng)絡(luò)相關(guān)的安全能力�。當(dāng)移動(dòng)到LTE網(wǎng)絡(luò)之后�����,如果還采用該方案�����,則還需要SGSN向UE查詢其與LTE網(wǎng)絡(luò)相關(guān)的安全能力��,才能上報(bào)給新MME,從而可能需要對(duì)現(xiàn)網(wǎng)設(shè)備進(jìn)行升級(jí)�,并且也增加了不必要的循環(huán)(roundtrip)。而本發(fā)明實(shí)施例提供的技術(shù)方案中���,由UE將自身支持的安全能力通過(guò)跟蹤區(qū)域更新請(qǐng)求消息發(fā)送到新MME�,使得UE在LTE網(wǎng)絡(luò)內(nèi)部移動(dòng)時(shí)��,新MME不需要到舊MME查詢獲得UE支持的安全能力�;當(dāng)UE從2G/3G網(wǎng)絡(luò)移動(dòng)到LTE網(wǎng)絡(luò)時(shí)����,也不需要SGSN查詢UE支持的安全能力,因此節(jié)省了各網(wǎng)絡(luò)設(shè)備的處理�,提高了系統(tǒng)的工作效率。第三��,現(xiàn)有技術(shù)中的MME在選擇新的NAS安全算法后�,需判斷新選擇的NAS安全算法與舊MME當(dāng)前正在使用的NAS安全算法是否一致,如果新選擇的NAS算法和舊MME返回的當(dāng)前使用的NAS安全算法一樣����,就以當(dāng)前使用的NAS完整性保護(hù)密鑰Knas-1nt,當(dāng)前使用的NAS機(jī)密性保護(hù)密鑰Knas-enc��,作為后續(xù)的NAS安全密鑰���;如果新選擇的NAS算法和舊MME返回的當(dāng)前使用的NAS安全算法不一致����,則需要根據(jù)當(dāng)前使用的根密鑰Kasme以及其他參數(shù)重新推導(dǎo)出新的NAS完整性保護(hù)密鑰Knas-1nt���、NAS機(jī)密性保護(hù)密鑰Knas-enc,作為后續(xù)的NAS安全密鑰���。因此舊MME需通過(guò)context response消息��,將當(dāng)前使用的NAS完整性保護(hù)密鑰Knas-1nt,當(dāng)前使用的NAS機(jī)密性保護(hù)密鑰Knas-enc返回給新MME���。攜帶這些參數(shù)的目的是使新MME能夠盡量利用已有的密鑰��,減少計(jì)算量���,但是實(shí)際上MME僅當(dāng)新選擇的NAS安全算法和舊MME返回的當(dāng)前使用的NAS安全算法一致時(shí)���,這些參數(shù)才有用;如果新選擇的NAS安全算法和舊MME返回的當(dāng)前使用的NAS安全算法不一致時(shí)��,新MME還需要推導(dǎo)出這些密鑰,此時(shí)并不會(huì)減少計(jì)算量����,還導(dǎo)致MME的處理復(fù)雜�,向新MME發(fā)送的消息中的參數(shù)也顯得冗余�。而本發(fā)明實(shí)施例提供的技術(shù)方案中�����,在新MME選擇新的NAS安全算法后,無(wú)論選擇的NAS算法是否是原來(lái)使用的NAS安全算法��,新MME都進(jìn)行重新推導(dǎo)����,從而消除了舊MME與新MME消息交互時(shí) 的消息中參數(shù)的冗余�����;同時(shí),也利用現(xiàn)有的NAS保護(hù)密鑰算法得到的NAS保護(hù)密鑰����,使得MME處理較為簡(jiǎn)單�;且由于使用的算法與現(xiàn)有技術(shù)中一樣,也不會(huì)增加計(jì)算量�。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程�,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成�����,所述的程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中���,該程序在執(zhí)行時(shí),可包括如上述各方法的實(shí)施例的流程����。其中�,所述的存儲(chǔ)介質(zhì)可為磁碟����、光盤(pán)�����、只讀存儲(chǔ)記憶體(Read-Only Memory, ROM)或隨機(jī)存儲(chǔ)記憶體(Random AccessMemory, RAM)等�����。以上所述僅為本發(fā)明的較佳實(shí)施例而已����,并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改�、等同替換、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種終端移動(dòng)時(shí)防止降質(zhì)攻擊的方法��,其特征在于��,該方法包括: 新移動(dòng)管理實(shí)體MME接收用戶設(shè)備UE發(fā)送的跟蹤區(qū)域更新請(qǐng)求消息�����,所述跟蹤區(qū)更新請(qǐng)求消息中包括UE支持的安全能力����; 所述新MME向舊MME發(fā)送移動(dòng)性管理上下文請(qǐng)求消息; 所述新MME接收所述舊MME發(fā)送的移動(dòng)性管理上下文響應(yīng)消息�,所述移動(dòng)性管理上下文響應(yīng)消息中包含當(dāng)前使用的NAS安全算法列表和當(dāng)前使用的根密鑰; 所述新MME根據(jù)所述UE支持的安全能力中的NAS安全算法和所述新MME支持的NAS安全算法����,選擇新的NAS安全算法; 所述新MME向所述UE發(fā)送NAS安全模式命令請(qǐng)求消息��,所述NAS安全模式命令請(qǐng)求消息包括所述新MME選擇的NAS安全算法以及所述新MME獲取的UE支持的安全能力,所述新MME獲取并向所述UE發(fā)送的UE支持的安全能力用以所述UE檢查到所述新MME發(fā)送的UE支持的安全能力和所述UE自身保存的安全能力不一致時(shí)����,確定存在降質(zhì)攻擊���。
2.如權(quán)利要求1所述的方法����,其特征在于�����,所述新MME向舊MME發(fā)送移動(dòng)性管理上下文請(qǐng)求消息��,具體包括: 所述新MME不向所述舊MME請(qǐng) 求所述UE支持的安全能力���。
3.如權(quán)利要求1或2所述的方法�,其特征在于�,還包括: 所述新MME根據(jù)所述當(dāng)前使用的根密鑰推導(dǎo)得到NAS保護(hù)密鑰。
4.如權(quán)利要求1或2所述的方法��,其特征在于�,還包括: UE判斷接收到的NAS安全算法和當(dāng)前使用的NAS安全算法是否相同��,相同則直接使用當(dāng)前的NAS保護(hù)密鑰�;不同則根據(jù)當(dāng)前使用的根密鑰推導(dǎo)出NAS保護(hù)密鑰�。
5.如權(quán)利要求1至4任一項(xiàng)所述的方法,其特征在于,所述新MME選擇新的NAS安全算法���,具體包括: 所述新MME根據(jù)所述UE支持的安全能力中的NAS安全算法���,所述新MME支持的NAS安全算法,以及系統(tǒng)允許的NAS安全算法����,選擇新的NAS安全算法。
6.一種終端移動(dòng)時(shí)防止降質(zhì)攻擊的系統(tǒng)��,其特征在于�����,該系統(tǒng)包括用戶設(shè)備UE及移動(dòng)管理實(shí)體MME, 所述UE�����,用于 向MME發(fā)送跟蹤區(qū)域更新請(qǐng)求消息���,所述跟蹤區(qū)更新請(qǐng)求消息中包括UE支持的安全能力��; 接收MME發(fā)送的NAS安全模式命令請(qǐng)求消息�,所述NAS安全模式命令請(qǐng)求消息中包括所述MME選擇的NAS安全算法以及所述MME獲取的UE支持的安全能力; 檢查所述接收到的UE支持的安全能力與所述UE自身保存的安全能力的一致性���; 所述MME,用于 接收UE發(fā)送的跟蹤區(qū)域更新請(qǐng)求消息�����; 向舊MME發(fā)送移動(dòng)性管理上下文請(qǐng)求消息����; 接收所述舊MME發(fā)送的移動(dòng)性管理上下文響應(yīng)消息,所述移動(dòng)性管理上下文響應(yīng)消息中包含當(dāng)前使用的NAS安全算法列表和當(dāng)前使用的根密鑰���; 根據(jù)所述UE支持的安全能力中的NAS安全算法和所述新MME支持的NAS安全算法�����,選擇新的NAS安全算法�����;將選擇的NAS安全算法以及所述獲取的UE支持的安全能力發(fā)送到所述UE��。
7.一種移動(dòng)管理實(shí)體MME���,其特征在于�,所述MME包括獲取模塊����、選擇模塊、下發(fā)模塊����, 所述獲取模塊,用于接收用戶設(shè)備UE發(fā)送的跟蹤區(qū)域更新請(qǐng)求消息�����,所述跟蹤區(qū)更新請(qǐng)求消息中包括UE支持的安全能力���; 所述下發(fā)模塊�����,用于向舊MME發(fā)送移動(dòng)性管理上下文請(qǐng)求消息��; 所述獲取模塊�,還用于接收所述舊MME發(fā)送的移動(dòng)性管理上下文響應(yīng)消息,所述移動(dòng)性管理上下文響應(yīng)消息中包含當(dāng)前使用的NAS安全算法列表和當(dāng)前使用的根密鑰��; 所述選擇模塊���,用于根據(jù)所述UE支持的安全能力中的NAS安全算法和所述新MME支持的NAS安全算法����,選擇新的NAS安全算法���; 所述下發(fā)模塊,還用于通過(guò)NAS安全模式命令請(qǐng)求消息���,將選擇的NAS安全算法以及所述獲取模塊獲取的UE支持的安全能力發(fā)送到UE��。
8.如權(quán)利要求6所述的MME�����,其特征在于�,所述MME進(jìn)一步包括密鑰推導(dǎo)模塊����, 所述密鑰推導(dǎo)模塊���,用于根據(jù)所述獲取模塊獲取的根密鑰和所述選擇模塊選擇的NAS安全算法,推導(dǎo)N AS保護(hù)密鑰�����。
全文摘要
本發(fā)明公開(kāi)了一種終端移動(dòng)時(shí)防止降質(zhì)攻擊的方法��,包括用戶設(shè)備(UE)向新移動(dòng)管理實(shí)體(MME)發(fā)送跟蹤區(qū)域請(qǐng)求消息����;接收MME發(fā)送的UE支持的安全能力;檢查接收到的UE支持的安全能力與自身保存的安全能力的一致性����。本發(fā)明還公開(kāi)了一種終端移動(dòng)時(shí)防止降質(zhì)攻擊的系統(tǒng),MME和UE���。使用本發(fā)明使得UE在與MME進(jìn)行安全能力協(xié)商時(shí)���,可以檢查接收到的安全能力與自身保存的安全能力的一致性,確定是否存在降質(zhì)攻擊,從而防止降質(zhì)攻擊��。
文檔編號(hào)H04W12/08GK103220674SQ20131015249
公開(kāi)日2013年7月24日 申請(qǐng)日期2007年9月3日 優(yōu)先權(quán)日2007年9月3日
發(fā)明者何承東 申請(qǐng)人:華為技術(shù)有限公司