本申請(qǐng)涉及移動(dòng)通信技術(shù)領(lǐng)域，特別是涉及一種LTE系統(tǒng)中UE接入核心網(wǎng)EPC的方法和一種LTE系統(tǒng)中UE接入核心網(wǎng)EPC的裝置。

背景技術(shù)：

參照?qǐng)D1是3GPP接入的非漫游接入框架，在LTE(Long Term Evolvement，長(zhǎng)期演進(jìn))網(wǎng)絡(luò)架構(gòu)下，無(wú)線通信系統(tǒng)由無(wú)線接入網(wǎng)和核心網(wǎng)組成。無(wú)線接入網(wǎng)由ENB(Evolved NodeB，演進(jìn)的NodeB基站)來實(shí)現(xiàn)，核心網(wǎng)由EPC實(shí)現(xiàn)。EPC(Evolved Packet Core，分組核心演進(jìn))由MME(Mobility Management Entity，移動(dòng)性管理實(shí)體設(shè)備)、SGW(Serving GateWay，服務(wù)網(wǎng)關(guān)設(shè)備)、PGW(PDN GateWay，PDN網(wǎng)關(guān)設(shè)備)來實(shí)現(xiàn)。MME設(shè)備作為核心網(wǎng)的移動(dòng)性管理實(shí)體，起著非常重要的作用。

在LTE架構(gòu)下，移動(dòng)用戶UE(User Equipment)開機(jī)通過ENB發(fā)起附著，請(qǐng)求附著到EPC網(wǎng)絡(luò)。在附著過程中，UE和網(wǎng)絡(luò)會(huì)進(jìn)行雙向鑒權(quán)AKA(Authentication and Key Agreement procedure，鑒權(quán)和密鑰協(xié)商過程)認(rèn)證過程，在UE側(cè)和網(wǎng)絡(luò)側(cè)都會(huì)建立EPS(Evolved Packet System，演進(jìn)的分組系統(tǒng))的安全上下文。UE附著成功后，便可以進(jìn)行上網(wǎng)或者進(jìn)行http下載業(yè)務(wù)。

當(dāng)UE不上網(wǎng)或者不進(jìn)行http下載業(yè)務(wù)一段時(shí)間后，ENB檢測(cè)到該UE較長(zhǎng)一段時(shí)間沒有數(shù)據(jù)業(yè)務(wù)，就針對(duì)該UE向MME(Mobility Management Entity，移動(dòng)性管理實(shí)體)發(fā)起S1UE CTX RLS(S1應(yīng)用協(xié)議用戶上下文釋放)請(qǐng)求，MME收到ENB的該消息后，執(zhí)行核心網(wǎng)側(cè)的承載釋放過程，該過程完成后，ENB把該UE的上下文就釋放了。此后，UE要再進(jìn)行上網(wǎng)或者進(jìn)行http下載業(yè)務(wù)，就要向MME發(fā)NAS的服務(wù)請(qǐng)求Service Request消息，由于在之前的附著過程中，UE和網(wǎng)絡(luò)已經(jīng)建立的安全上下文，因此該NAS的Service Request消息需要在UE側(cè)進(jìn)行完整性保護(hù)。

MME側(cè)收到該消息后，對(duì)該消息進(jìn)行完整性保護(hù)校驗(yàn)，由于ENB將 UE的上下文釋放了，導(dǎo)致校驗(yàn)失敗。一般情況下MME會(huì)向UE回復(fù)NAS(Non Access Stratum，非接入層)的Service Reject消息。在LTE建網(wǎng)的大規(guī)模試驗(yàn)中，UE收到MME回復(fù)的Service Reject消息后，又立刻給MME發(fā)Service Request消息，MME收到后對(duì)該消息完整性校驗(yàn)失敗，又給UE回復(fù)Service Reject消息，UE收到該拒絕消息后，又立刻發(fā)起Service Request請(qǐng)求消息，這樣來回往復(fù)，導(dǎo)致UE始終無(wú)法接入。

技術(shù)實(shí)現(xiàn)要素：

鑒于上述問題，提出了本申請(qǐng)實(shí)施例以便提供一種克服上述問題或者至少部分地解決上述問題的一種LTE系統(tǒng)中UE接入核心網(wǎng)EPC的方法和相應(yīng)的一種LTE系統(tǒng)中UE接入核心網(wǎng)EPC的裝置。

為了解決上述問題，本申請(qǐng)實(shí)施例公開了一種長(zhǎng)期演進(jìn)LTE系統(tǒng)中用戶設(shè)備UE接入核心網(wǎng)EPC的方法，所述EPC包括：移動(dòng)性管理實(shí)體MME和服務(wù)網(wǎng)關(guān)SGW，所述方法包括：

所述移動(dòng)性管理實(shí)體MME接收所述用戶設(shè)備UE發(fā)送的非接入層NAS服務(wù)請(qǐng)求消息，并對(duì)所述消息進(jìn)行完整性保護(hù)校驗(yàn)；

當(dāng)所述完整性保護(hù)校驗(yàn)失敗時(shí)，所述移動(dòng)性管理實(shí)體MME對(duì)所述用戶設(shè)備UE進(jìn)行鑒權(quán)；

當(dāng)鑒權(quán)通過后，所述移動(dòng)性管理實(shí)體MME向基站ENB發(fā)送安全上下文建立請(qǐng)求；

當(dāng)接收到所述基站ENB針對(duì)所述安全上下文建立請(qǐng)求返回的安全上下文建立響應(yīng)時(shí)，所述移動(dòng)性管理實(shí)體MME向所述服務(wù)網(wǎng)關(guān)SGW發(fā)送修改承載請(qǐng)求；所述服務(wù)網(wǎng)關(guān)SGW用于依據(jù)修改承載請(qǐng)求修改承載；

所述移動(dòng)性管理實(shí)體MME接收所述服務(wù)網(wǎng)關(guān)SGW在修改承載后返回的修改承載響應(yīng)；所述用戶設(shè)備UE用于依據(jù)所述修改承載響應(yīng)接入核心網(wǎng)EPC。

優(yōu)選的，還包括：

當(dāng)校驗(yàn)失敗時(shí)，所述移動(dòng)性管理實(shí)體MME停止向所述用戶設(shè)備UE回復(fù)服務(wù)請(qǐng)求拒絕消息。

優(yōu)選的，所述移動(dòng)性管理實(shí)體MME接收所述用戶設(shè)備UE發(fā)送的非接入層NAS服務(wù)請(qǐng)求消息，并對(duì)所述消息進(jìn)行完整性保護(hù)校驗(yàn)的步驟包括：

所述移動(dòng)性管理實(shí)體MME接收所述用戶設(shè)備UE發(fā)送的非接入層NAS服務(wù)請(qǐng)求消息；

所述移動(dòng)性管理實(shí)體MME采用預(yù)先獲得的移動(dòng)性管理實(shí)體MME安全上下文對(duì)所述非接入層NAS服務(wù)請(qǐng)求消息進(jìn)行完整性保護(hù)校驗(yàn)；其中，所述非接入層NAS服務(wù)請(qǐng)求消息為通過預(yù)先獲得的用戶設(shè)備UE安全上下文進(jìn)行完整性加密生成；當(dāng)所述移動(dòng)性管理實(shí)體MME安全上下文與所述用戶設(shè)備UE安全上下文不匹配時(shí)，判定所述完整性保護(hù)校驗(yàn)失敗。

優(yōu)選的，所述移動(dòng)性管理實(shí)體MME對(duì)用戶設(shè)備UE進(jìn)行鑒權(quán)的步驟包括：

所述移動(dòng)性管理實(shí)體MME向歸屬簽約用戶服務(wù)器HSS發(fā)送鑒權(quán)數(shù)據(jù)請(qǐng)求AIR；

所述移動(dòng)性管理實(shí)體MME接收所述歸屬簽約用戶服務(wù)器HHS針對(duì)所述鑒權(quán)數(shù)據(jù)請(qǐng)求AIR返回的包括鑒權(quán)向量的鑒權(quán)數(shù)據(jù)請(qǐng)求響應(yīng)AIA；

所述移動(dòng)性管理實(shí)體MME向所述用戶設(shè)備UE發(fā)送用戶鑒權(quán)請(qǐng)求AUTH Req；

所述移動(dòng)性管理實(shí)體MME接收所述用戶設(shè)備UE針對(duì)所述用戶鑒權(quán)請(qǐng)求AUTH Req返回的用戶鑒權(quán)響應(yīng)AUTH Rsp；

所述移動(dòng)性管理實(shí)體MME向所述用戶設(shè)備UE發(fā)送帶有非接入層NAS安全算法的安全模式命令消息SMC CMD；

所述移動(dòng)性管理實(shí)體MME接收所述用戶設(shè)備UE針對(duì)所述安全模式命令消息SMC CMD返回的安全模式命令完成消息SMC complete。

優(yōu)選的，所述安全上下文包括：基站ENB的標(biāo)識(shí)ID、鑒權(quán)信息、協(xié)商的加密算法、協(xié)商的完整性算法、承載信息。

同時(shí)，本申請(qǐng)還公開了一種長(zhǎng)期演進(jìn)LTE系統(tǒng)中用戶設(shè)備UE接入核心網(wǎng)EPC的裝置，所述EPC包括：移動(dòng)性管理實(shí)體MME和服務(wù)網(wǎng)關(guān)SGW，所述裝置包括：

位于所述移動(dòng)性管理實(shí)體MME的接收校驗(yàn)?zāi)K，用于接收所述用戶設(shè)備UE發(fā)送的非接入層NAS服務(wù)請(qǐng)求消息，并對(duì)所述消息進(jìn)行完整性保護(hù)校驗(yàn)；

位于所述移動(dòng)性管理實(shí)體MME的鑒權(quán)模塊，用于當(dāng)所述完整性保護(hù)校驗(yàn)失敗時(shí)，對(duì)所述用戶設(shè)備UE進(jìn)行鑒權(quán)；

位于所述移動(dòng)性管理實(shí)體MME的上下文請(qǐng)求發(fā)送模塊，用于當(dāng)鑒權(quán)通過后，向基站ENB發(fā)送安全上下文建立請(qǐng)求；

位于所述移動(dòng)性管理實(shí)體MME的修改請(qǐng)求發(fā)送模塊，用于當(dāng)接收到所述基站ENB針對(duì)所述安全上下文建立請(qǐng)求返回的安全上下文建立響應(yīng)時(shí)，向所述服務(wù)網(wǎng)關(guān)SGW發(fā)送修改承載請(qǐng)求；所述服務(wù)網(wǎng)關(guān)SGW用于依據(jù)修改承載請(qǐng)求修改承載；

位于所述移動(dòng)性管理實(shí)體MME的修改響應(yīng)接收模塊，用于接收所述服務(wù)網(wǎng)關(guān)SGW在修改承載后返回的修改承載響應(yīng)；所述用戶設(shè)備UE用于依據(jù)所述修改承載響應(yīng)接入核心網(wǎng)EPC。

優(yōu)選的，還包括：

位于所述移動(dòng)性管理實(shí)體MME的停止模塊，用于當(dāng)校驗(yàn)失敗時(shí)，停止向所述用戶設(shè)備UE回復(fù)服務(wù)請(qǐng)求拒絕消息。

優(yōu)選的，所述接收校驗(yàn)?zāi)K包括：

服務(wù)請(qǐng)求接收子模塊，用于接收所述用戶設(shè)備UE發(fā)送的非接入層NAS服務(wù)請(qǐng)求消息；

上下文校驗(yàn)子模塊，用于采用預(yù)先獲得的移動(dòng)性管理實(shí)體MME安全上下文對(duì)所述非接入層NAS服務(wù)請(qǐng)求消息進(jìn)行完整性保護(hù)校驗(yàn)；其中，所述非接入層NAS服務(wù)請(qǐng)求消息為通過預(yù)先獲得的用戶設(shè)備UE安全上下文進(jìn)行完整性加密生成；當(dāng)所述移動(dòng)性管理實(shí)體MME安全上下文與所述用戶設(shè)備UE安全上下文不匹配時(shí)，判定所述完整性保護(hù)校驗(yàn)失敗。

優(yōu)選的，所述鑒權(quán)模塊包括：

鑒權(quán)數(shù)據(jù)請(qǐng)求發(fā)送子模塊，用于向歸屬簽約用戶服務(wù)器HSS發(fā)送鑒權(quán)數(shù)據(jù)請(qǐng)求AIR；

鑒權(quán)數(shù)據(jù)響應(yīng)接收子模塊，用于接收所述歸屬簽約用戶服務(wù)器HHS針對(duì)所述鑒權(quán)數(shù)據(jù)請(qǐng)求AIR返回的包括鑒權(quán)向量的鑒權(quán)數(shù)據(jù)請(qǐng)求響應(yīng)AIA；

用戶鑒權(quán)請(qǐng)求發(fā)送子模塊，用于向所述用戶設(shè)備UE發(fā)送用戶鑒權(quán)請(qǐng)求AUTH Req；

用戶鑒權(quán)響應(yīng)接收子模塊，用于接收所述用戶設(shè)備UE針對(duì)所述用戶鑒權(quán)請(qǐng)求AUTH Req返回的用戶鑒權(quán)響應(yīng)AUTH Rsp；

安全模式命令發(fā)送子模塊，用于向所述用戶設(shè)備UE發(fā)送帶有非接入層NAS安全算法的安全模式命令消息SMC CMD；

安全模式命令接收子模塊，用于接收所述用戶設(shè)備UE針對(duì)所述安全模式命令消息SMC CMD返回的安全模式命令完成消息SMC complete。

優(yōu)選的，所述安全上下文包括：基站ENB的標(biāo)識(shí)ID、鑒權(quán)信息、協(xié)商的加密算法、協(xié)商的完整性算法、承載信息。

本申請(qǐng)實(shí)施例包括以下優(yōu)點(diǎn)：

本申請(qǐng)通過將發(fā)送了完整性保護(hù)失敗的NAS服務(wù)請(qǐng)求消息的UE與MME重新建立上下文的方法，使得UE能夠再次接入網(wǎng)，提升了用戶感知。

采用本申請(qǐng)的方法，使得MME與UE之間不會(huì)產(chǎn)生大量突發(fā)消息，避免造成網(wǎng)絡(luò)癱瘓。

附圖說明

圖1是3GPP接入的非漫游接入框架；

圖2是MME向HSS獲取用戶鑒權(quán)數(shù)據(jù)消息交互的示意圖；

圖3是EPS用戶鑒權(quán)流程消息交互過程的示意圖；

圖4是NAS安全模式控制過程示意圖；

圖5是NAS消息校驗(yàn)失敗造成UE和MME之間消息交互的示意圖；

圖6是本申請(qǐng)的一種長(zhǎng)期演進(jìn)LTE系統(tǒng)中用戶設(shè)備UE接入核心網(wǎng)EPC 的方法實(shí)施例的步驟流程圖；

圖7是本申請(qǐng)實(shí)施例中MME觸發(fā)鑒權(quán)流程的消息流程圖；

圖8是本申請(qǐng)的長(zhǎng)期演進(jìn)LTE系統(tǒng)中用戶設(shè)備UE接入核心網(wǎng)EPC的裝置實(shí)施例的結(jié)構(gòu)框圖。

具體實(shí)施方式

為使本申請(qǐng)的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖和具體實(shí)施方式對(duì)本申請(qǐng)作進(jìn)一步詳細(xì)的說明。

在長(zhǎng)期演進(jìn)LTE網(wǎng)絡(luò)內(nèi)，MME和UE之間的NAS消息傳輸需要完整性保護(hù)和安全保護(hù)。MME可以根據(jù)UE上報(bào)的網(wǎng)絡(luò)能力和MME配置的安全算法能力以及優(yōu)先級(jí)來決定使用哪種安全算法。當(dāng)MME把安全算法確定，并且跟UE把安全上下文建立成功之后，后續(xù)UE跟MME之間交互的所有NAS消息都要用該算法進(jìn)行完整性保護(hù)和加密。

在UE發(fā)起初次附著流程中，MME向UE發(fā)起鑒權(quán)安全流程，以建立UE和網(wǎng)絡(luò)之間的EPS(Evolved Packet System，演進(jìn)分組系統(tǒng))的NAS安全上下文。

參照?qǐng)D2是MME向HSS獲取用戶鑒權(quán)數(shù)據(jù)消息交互的示意圖。首先MME需要跟HSS(Home Subscriber Server，歸屬地簽約數(shù)據(jù)服務(wù)器)交互，MME向HSS發(fā)送AIR(authentication information request，鑒權(quán)向量請(qǐng)求)請(qǐng)求消息，請(qǐng)求HSS為該IMSI用戶返回一個(gè)或者若干個(gè)EPS的鑒權(quán)向量AV(authentication vector)，AIR請(qǐng)求消息包括：IMSI(International Mobile Subscriber Identity，國(guó)際移動(dòng)簽約標(biāo)識(shí))、SN ID(server network identity，服務(wù)網(wǎng)標(biāo)識(shí))和Network Type(服務(wù)網(wǎng)類型)。HSS收到請(qǐng)求該消息后，檢查該IMSI用戶是否在HSS注冊(cè)，如果有注冊(cè)，那么獲取出該IMSI的若干個(gè)EPS的鑒權(quán)向量發(fā)給MME。

MME收到HSS的AIA(authentication information answer，鑒權(quán)向量響應(yīng))的成功響應(yīng)消息后，取出該消息中的所有的鑒權(quán)向量保存在MME本地。

參照?qǐng)D3是EPS用戶鑒權(quán)流程消息交互過程的示意圖，MME選擇一組鑒權(quán)向量向UE發(fā)送用戶鑒權(quán)請(qǐng)求AUTH Req(User authentication request)消 息，圖中，用戶設(shè)備UE為帶有USIM(Universal Subscriber Identity Module，全球用戶識(shí)別卡)的ME(Mobile Equipment，移動(dòng)設(shè)備)，User authentication request中包括：AUTN(鑒權(quán)參數(shù))、RAND(隨機(jī)序列)、KSI(KSIasme)，KSI為MME為該組鑒權(quán)向量分配的唯一KEY的標(biāo)識(shí)。

UE收到用戶鑒權(quán)請(qǐng)求User authentication request后，向MME返回用戶鑒權(quán)響應(yīng)消息AUTH RSP(User authentication response)或用戶鑒權(quán)拒接消息User authentication reject，用戶鑒權(quán)拒接消息中包括有拒接的原因(CAUSE)。

MME收到UE的用戶鑒權(quán)響應(yīng)消息User authentication response后，用戶鑒權(quán)EPSAKA流程成功執(zhí)行。這時(shí)UE跟MME之間有了共同的安全上下文KASME，該KASME由唯一的標(biāo)識(shí)KSI標(biāo)示，但該安全上下文還處于未激活狀態(tài)。MME需要激活該安全上下文。

這時(shí)MME需要根據(jù)算法集合中選擇出優(yōu)先級(jí)排列最高的NAS安全算法，并通過發(fā)起安全模式控制過程。參照?qǐng)D4是NAS安全模式控制過程示意圖。MME將選擇的算法以及UE支持的安全能力通過SMC(Security Mode Command，安全模式命令)消息發(fā)送給終端設(shè)備(UE)。該SMC消息使用KSI標(biāo)示的安全上下文來完整性保護(hù)，由于UE跟MME之間的安全上下文還沒有激活，因此該SMC消息僅僅完整性保護(hù)，而不加密。MME發(fā)出SMC消息后，進(jìn)行本地下行非接入層統(tǒng)計(jì)NAS COUNT的管理。

UE收到該帶有完整性保護(hù)頭的NAS消息，使用本地保存的KSI標(biāo)示的安全上下文來解完整性保護(hù)，如果解完整性保護(hù)成功，并且UE又支持MME在該消息中選擇的NAS的完保和加密算法，那么UE給MME回復(fù)安全模式命令完成SMC Complete消息。該SMC Complete消息要使用KSI標(biāo)示的安全上下文完保和加密。UE發(fā)出該SMC Complete消息后，同樣也要進(jìn)行上行非接入層統(tǒng)計(jì)NAS COUNT的管理。

MME收到該既加密又完保的NAS消息后，使用本地當(dāng)前的安全上下文，即ksi對(duì)應(yīng)的安全上下文進(jìn)行解完保和解密，判斷出是SMC Complete消息。到此，UE跟MME之間的安全上下文成功建立并且已經(jīng)激活。后續(xù)UE跟 MME交互的任何NAS消息都要進(jìn)行MME選擇的NAS算法的完保和加密。

UE附著成功后，進(jìn)行上網(wǎng)業(yè)務(wù)。結(jié)束上網(wǎng)一段時(shí)間后，ENB給MME發(fā)S1UE CTX RLS REQ消息，MME執(zhí)行相應(yīng)的S1釋放流程，S1接口是ENB與EPC之間的通信接口。該S1釋放過程完成后，UE想要再次進(jìn)行上網(wǎng)業(yè)務(wù)，那UE就需要給MME發(fā)NAS的服務(wù)請(qǐng)求Service Request消息，并且按照上面描述的，該NAS消息必須進(jìn)行增加完保頭的完整性保護(hù)。MME收到該消息后，根據(jù)附著過程中SMC消息選擇的NAS完整性保護(hù)算法對(duì)該消息進(jìn)行完整性保護(hù)校驗(yàn)，若校驗(yàn)失敗，則MME給UE回復(fù)服務(wù)請(qǐng)求拒絕消息。參照?qǐng)D5是NAS消息校驗(yàn)失敗造成UE和MME之間消息交互的示意圖，UE收到該服務(wù)請(qǐng)求拒絕消息后，又向MME發(fā)起帶完整性保護(hù)頭的NAS服務(wù)請(qǐng)求消息，MME再次完整性保護(hù)校驗(yàn)失敗，給UE回復(fù)服務(wù)請(qǐng)求拒絕消息，UE收到該NAS的拒絕消息后，又向MME發(fā)起帶完整性保護(hù)頭的NAS服務(wù)請(qǐng)求消息，這樣循環(huán)往復(fù)，導(dǎo)致UE始終不能再次接入核心網(wǎng)。

UE和MME之間形成了來回往復(fù)的消息環(huán)，UE和網(wǎng)絡(luò)之間的消息來回交互，造成了UE和核心網(wǎng)網(wǎng)元MME之間消息往復(fù)死循環(huán)，始終無(wú)法停止。大量NAS消息通過ENB的空口資源進(jìn)行傳送，這對(duì)LTE-Uu口空口的資源造成了極大的浪費(fèi)。消息的大量突發(fā)，還會(huì)造成網(wǎng)絡(luò)癱瘓。其次，用戶始終接入不了網(wǎng)絡(luò)，不能再次進(jìn)行上網(wǎng)等其他業(yè)務(wù)，降低了用戶感知。

本申請(qǐng)實(shí)施例的核心構(gòu)思之一在于，MME對(duì)接收到UE發(fā)送的NAS服務(wù)請(qǐng)求消息進(jìn)行完整性保護(hù)校驗(yàn)，當(dāng)校驗(yàn)失敗時(shí)，MME對(duì)UE發(fā)起重新鑒權(quán)流程，鑒權(quán)完成后，MME向UE發(fā)起建立安全上下文流程，安全上下文建立后，MME向SGW發(fā)送承載修改流程，SGW修改承載后，UE重新接入核心網(wǎng)。

參照?qǐng)D6，示出了本申請(qǐng)的一種長(zhǎng)期演進(jìn)LTE系統(tǒng)中用戶設(shè)備UE接入核心網(wǎng)EPC的方法實(shí)施例的步驟流程圖，其中，所述EPC包括：移動(dòng)性管理實(shí)體MME和服務(wù)網(wǎng)關(guān)SGW，所述方法具體可以包括如下步驟：

步驟601，所述移動(dòng)性管理實(shí)體MME接收所述用戶設(shè)備UE發(fā)送的非 接入層NAS服務(wù)請(qǐng)求消息，并對(duì)所述消息進(jìn)行完整性保護(hù)校驗(yàn)；

步驟602，當(dāng)所述完整性保護(hù)校驗(yàn)失敗時(shí)，所述移動(dòng)性管理實(shí)體MME對(duì)所述用戶設(shè)備UE進(jìn)行鑒權(quán)；

步驟603，當(dāng)鑒權(quán)通過后，所述移動(dòng)性管理實(shí)體MME向基站ENB發(fā)送安全上下文建立請(qǐng)求；

步驟604，當(dāng)接收到所述基站ENB針對(duì)所述安全上下文建立請(qǐng)求返回的安全上下文建立響應(yīng)時(shí)，所述移動(dòng)性管理實(shí)體MME向所述服務(wù)網(wǎng)關(guān)SGW發(fā)送修改承載請(qǐng)求；所述服務(wù)網(wǎng)關(guān)SGW用于依據(jù)修改承載請(qǐng)求修改承載；

步驟605，所述移動(dòng)性管理實(shí)體MME接收所述服務(wù)網(wǎng)關(guān)SGW在修改承載后返回的修改承載響應(yīng)；所述用戶設(shè)備UE用于依據(jù)所述修改承載響應(yīng)接入核心網(wǎng)EPC。

EPS中的核心網(wǎng)EPC由移動(dòng)性管理實(shí)體MME、服務(wù)網(wǎng)關(guān)SGW、用于存儲(chǔ)用戶簽約信息的歸屬用戶服務(wù)器HSS等組成。

作為本申請(qǐng)實(shí)施例的一種優(yōu)選示例，所述方法還包括：

當(dāng)校驗(yàn)失敗時(shí)，所述移動(dòng)性管理實(shí)體MME停止向所述用戶設(shè)備UE回復(fù)服務(wù)請(qǐng)求拒絕消息。

在本申請(qǐng)實(shí)施例中，MME接收UE發(fā)送的NAS服務(wù)請(qǐng)求消息，并對(duì)其進(jìn)行完整性保護(hù)校驗(yàn)，當(dāng)完整性保護(hù)校驗(yàn)失敗時(shí)，為了阻止UE反復(fù)的向服務(wù)器發(fā)送請(qǐng)求消息，MME停止向UE回復(fù)服務(wù)請(qǐng)求拒絕消息。

MME對(duì)UE發(fā)起鑒權(quán)流程，當(dāng)鑒權(quán)通過后，MME向ENB發(fā)送安全上下文建立請(qǐng)求，當(dāng)MME接收到ENB針對(duì)安全上下文建立請(qǐng)求返回的安全上下文建立相應(yīng)時(shí)，MME向SGW發(fā)送修改承載請(qǐng)求。在3GPP接入的非漫游接入框架，ENB通過S1-U接口與SGW建立承載。在申請(qǐng)實(shí)施例中，MME與ENB之間通過新的承載建立上下文，而SGW中存儲(chǔ)的仍然是初始附著過程中建立的承載，因而需要在SGW將舊的承載修改為新的承載之后，SGW才能與ENB通信。

作為本申請(qǐng)實(shí)施例的一種優(yōu)選示例，所述步驟601可以包括：

子步驟S11，所述移動(dòng)性管理實(shí)體MME接收所述用戶設(shè)備UE發(fā)送的 非接入層NAS服務(wù)請(qǐng)求消息；

子步驟S12，所述移動(dòng)性管理實(shí)體MME采用預(yù)先獲得的移動(dòng)性管理實(shí)體MME安全上下文對(duì)所述非接入層NAS服務(wù)請(qǐng)求消息進(jìn)行完整性保護(hù)校驗(yàn)；其中，所述非接入層NAS服務(wù)請(qǐng)求消息為通過預(yù)先獲得的用戶設(shè)備UE安全上下文進(jìn)行完整性加密生成；當(dāng)所述移動(dòng)性管理實(shí)體MME安全上下文與所述用戶設(shè)備UE安全上下文不匹配時(shí)，判定所述完整性保護(hù)校驗(yàn)失敗。

在本實(shí)施例中，MME接收UE發(fā)送的NAS服務(wù)請(qǐng)求消息，之后，MME采用初次附著時(shí)建立的安全上下文對(duì)NAS服務(wù)請(qǐng)求消息進(jìn)行完整性保護(hù)校驗(yàn)。UE發(fā)送的NAS消息由UE通過初次附著時(shí)建立的安全上下文進(jìn)行完整性保護(hù)。安全上下文是通過KSI來唯一標(biāo)識(shí)的，MME需要使用本地存儲(chǔ)的KSI對(duì)NAS服務(wù)請(qǐng)求進(jìn)行完整性保護(hù)校驗(yàn)。只有當(dāng)UE側(cè)的KSI與MME側(cè)的KSI相同，安全上下文才匹配。當(dāng)MME側(cè)的KSI與UE側(cè)的KSI不相同時(shí)，完整性保護(hù)校驗(yàn)失敗。引起MME側(cè)的KSI與UE側(cè)的KSI不相同的情況包括：ENB主動(dòng)釋放了MME側(cè)的安全上下文或者其他原因引起的MME或UE側(cè)的安全上下文丟失。

在申請(qǐng)實(shí)施例中，安全上下文具體包括：基站ENB的標(biāo)識(shí)ID、鑒權(quán)信息、協(xié)商的加密算法、協(xié)商的完整性算法、承載信息。

參照?qǐng)D7，是本申請(qǐng)實(shí)施例中MME觸發(fā)鑒權(quán)流程的消息流程圖，在完整性保護(hù)校驗(yàn)失敗后，MME向UE發(fā)起鑒權(quán)。所述移動(dòng)性管理實(shí)體MME對(duì)用戶設(shè)備UE進(jìn)行鑒權(quán)的步驟包括：

子步驟S21，所述移動(dòng)性管理實(shí)體MME向歸屬簽約用戶服務(wù)器HSS發(fā)送鑒權(quán)數(shù)據(jù)請(qǐng)求AIR；

子步驟S22，所述移動(dòng)性管理實(shí)體MME接收所述歸屬簽約用戶服務(wù)器HHS針對(duì)所述鑒權(quán)數(shù)據(jù)請(qǐng)求AIR返回的包括鑒權(quán)向量的鑒權(quán)數(shù)據(jù)請(qǐng)求響應(yīng)AIA；

子步驟S23，所述移動(dòng)性管理實(shí)體MME向所述用戶設(shè)備UE發(fā)送用戶鑒權(quán)請(qǐng)求AUTH Req；

子步驟S24，所述移動(dòng)性管理實(shí)體MME接收所述用戶設(shè)備UE針對(duì)所 述用戶鑒權(quán)請(qǐng)求AUTH Req返回的用戶鑒權(quán)響應(yīng)AUTH Rsp；

子步驟S25，所述移動(dòng)性管理實(shí)體MME向所述用戶設(shè)備UE發(fā)送帶有非接入層NAS安全算法的安全模式命令消息SMC CMD；

子步驟S26，所述移動(dòng)性管理實(shí)體MME接收所述用戶設(shè)備UE針對(duì)所述安全模式命令消息SMC CMD返回的安全模式命令完成消息SMC complete。

為了使本領(lǐng)域技術(shù)人員能夠更好地理解本申請(qǐng)實(shí)施例，下面通過一個(gè)例子對(duì)本發(fā)明實(shí)施例加以說明：

MME接收UE發(fā)送的帶安全頭的NAS服務(wù)請(qǐng)求消息，該消息經(jīng)UE采用初次附著過程中建立的安全上下文中的KSI標(biāo)識(shí)進(jìn)行完整性保護(hù)。當(dāng)完整性保護(hù)校驗(yàn)失敗時(shí)，為了阻止UE反復(fù)的發(fā)送服務(wù)請(qǐng)求消息，MME不立即給UE回復(fù)服務(wù)請(qǐng)求拒絕消息。而是對(duì)UE發(fā)起AKA鑒權(quán)流程，即MME向HSS發(fā)送所要鑒權(quán)向量的鑒權(quán)數(shù)據(jù)請(qǐng)求AIR。HSS在接收到AIR后，向MME回復(fù)帶有鑒權(quán)向量的鑒權(quán)數(shù)據(jù)請(qǐng)求響應(yīng)AIA。

MME獲得鑒權(quán)向量后，向UE發(fā)送用戶鑒權(quán)請(qǐng)求AUTH Req。UE在接收到用戶鑒權(quán)請(qǐng)求AUTH Req后，向MME回復(fù)用戶鑒權(quán)響應(yīng)AUTH Rsp。然后，MME向UE發(fā)送發(fā)送帶有非接入層NAS安全算法的安全模式命令消息SMC CMD。UE在接收到安全模式命令消息SMC CMD后，向MME回復(fù)安全模式命令完成消息SMC complete。然后，MME向ENB發(fā)送初始上下文建立請(qǐng)求，UE在收到初始上下文建立請(qǐng)求向MME回復(fù)初始上下文建立響應(yīng)。最后MME想SGW發(fā)送修改承載請(qǐng)求，SGW收到修改承載請(qǐng)求后向MME回復(fù)修改承載響應(yīng)，到此服務(wù)請(qǐng)求流程處理成功，UE重新接入核心網(wǎng)，UE可以繼續(xù)上網(wǎng)、下載等其他網(wǎng)絡(luò)提供的數(shù)據(jù)業(yè)務(wù)。

需要說明的是，對(duì)于方法實(shí)施例，為了簡(jiǎn)單描述，故將其都表述為一系列的動(dòng)作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本申請(qǐng)實(shí)施例并不受所描述的動(dòng)作順序的限制，因?yàn)橐罁?jù)本申請(qǐng)實(shí)施例，某些步驟可以采用其他順序或 者同時(shí)進(jìn)行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例，所涉及的動(dòng)作并不一定是本申請(qǐng)實(shí)施例所必須的。

參照?qǐng)D8，示出了本申請(qǐng)的長(zhǎng)期演進(jìn)LTE系統(tǒng)中用戶設(shè)備UE接入核心網(wǎng)EPC的裝置實(shí)施例的結(jié)構(gòu)框圖，具體可以包括如下模塊：

位于所述移動(dòng)性管理實(shí)體MME的接收校驗(yàn)?zāi)K801，用于接收所述用戶設(shè)備UE發(fā)送的非接入層NAS服務(wù)請(qǐng)求消息，并對(duì)所述消息進(jìn)行完整性保護(hù)校驗(yàn)；

位于所述移動(dòng)性管理實(shí)體MME的鑒權(quán)模塊802，用于當(dāng)所述完整性保護(hù)校驗(yàn)失敗時(shí)，對(duì)所述用戶設(shè)備UE進(jìn)行鑒權(quán)；

位于所述移動(dòng)性管理實(shí)體MME的上下文請(qǐng)求發(fā)送模塊803，用于當(dāng)鑒權(quán)通過后，向基站ENB發(fā)送安全上下文建立請(qǐng)求；

位于所述移動(dòng)性管理實(shí)體MME的修改請(qǐng)求發(fā)送模塊804，用于當(dāng)接收到所述基站ENB針對(duì)所述安全上下文建立請(qǐng)求返回的安全上下文建立響應(yīng)時(shí)，向所述服務(wù)網(wǎng)關(guān)SGW發(fā)送修改承載請(qǐng)求；所述服務(wù)網(wǎng)關(guān)SGW用于依據(jù)修改承載請(qǐng)求修改承載；

位于所述移動(dòng)性管理實(shí)體MME的修改響應(yīng)接收模塊805，用于接收所述服務(wù)網(wǎng)關(guān)SGW在修改承載后返回的修改承載響應(yīng)；所述用戶設(shè)備UE用于依據(jù)所述修改承載響應(yīng)接入核心網(wǎng)EPC。

作為本申請(qǐng)實(shí)施例的一種優(yōu)選示例，還包括：

位于所述移動(dòng)性管理實(shí)體MME的停止模塊，用于當(dāng)校驗(yàn)失敗時(shí)，停止向所述用戶設(shè)備UE回復(fù)服務(wù)請(qǐng)求拒絕消息。

在本申請(qǐng)實(shí)施例中，所述接收校驗(yàn)?zāi)K801可以包括：

服務(wù)請(qǐng)求接收子模塊，用于接收所述用戶設(shè)備UE發(fā)送的非接入層NAS服務(wù)請(qǐng)求消息；

上下文校驗(yàn)子模塊，用于采用預(yù)先獲得的移動(dòng)性管理實(shí)體MME安全上下文對(duì)所述非接入層NAS服務(wù)請(qǐng)求消息進(jìn)行完整性保護(hù)校驗(yàn)；其中，所述非接入層NAS服務(wù)請(qǐng)求消息為通過預(yù)先獲得的用戶設(shè)備UE安全上下文進(jìn) 行完整性加密生成；當(dāng)所述移動(dòng)性管理實(shí)體MME安全上下文與所述用戶設(shè)備UE安全上下文不匹配時(shí)，判定所述完整性保護(hù)校驗(yàn)失敗。

在本申請(qǐng)實(shí)施例中，所述鑒權(quán)模塊802包括：

鑒權(quán)數(shù)據(jù)請(qǐng)求發(fā)送子模塊，用于向歸屬簽約用戶服務(wù)器HSS發(fā)送鑒權(quán)數(shù)據(jù)請(qǐng)求AIR；

鑒權(quán)數(shù)據(jù)響應(yīng)接收子模塊，用于接收所述歸屬簽約用戶服務(wù)器HHS針對(duì)所述鑒權(quán)數(shù)據(jù)請(qǐng)求AIR返回的包括鑒權(quán)向量的鑒權(quán)數(shù)據(jù)請(qǐng)求響應(yīng)AIA；

用戶鑒權(quán)請(qǐng)求發(fā)送子模塊，用于向所述用戶設(shè)備UE發(fā)送用戶鑒權(quán)請(qǐng)求AUTH Req；

用戶鑒權(quán)響應(yīng)接收子模塊，用于接收所述用戶設(shè)備UE針對(duì)所述用戶鑒權(quán)請(qǐng)求AUTH Req返回的用戶鑒權(quán)響應(yīng)AUTH Rsp；

安全模式命令發(fā)送子模塊，用于向所述用戶設(shè)備UE發(fā)送帶有非接入層NAS安全算法的安全模式命令消息SMC CMD；

安全模式命令接收子模塊，用于接收所述用戶設(shè)備UE針對(duì)所述安全模式命令消息SMC CMD返回的安全模式命令完成消息SMC complete。

在本申請(qǐng)實(shí)施例中，所述安全上下文包括：基站ENB的標(biāo)識(shí)ID、鑒權(quán)信息、協(xié)商的加密算法、協(xié)商的完整性算法、承載信息。

對(duì)于裝置實(shí)施例而言，由于其與方法實(shí)施例基本相似，所以描述的比較簡(jiǎn)單，相關(guān)之處參見方法實(shí)施例的部分說明即可。

本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同相似的部分互相參見即可。

本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白，本申請(qǐng)實(shí)施例的實(shí)施例可提供為方法、裝置、或計(jì)算機(jī)程序產(chǎn)品。因此，本申請(qǐng)實(shí)施例可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且，本申請(qǐng)實(shí)施例可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介 質(zhì)(包括但不限于磁盤存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。

本申請(qǐng)實(shí)施例是參照根據(jù)本申請(qǐng)實(shí)施例的方法、終端設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合。可提供這些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器，使得通過計(jì)算機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。

這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中，使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。

這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理終端設(shè)備上，使得在計(jì)算機(jī)或其他可編程終端設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理，從而在計(jì)算機(jī)或其他可編程終端設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。

盡管已描述了本申請(qǐng)實(shí)施例的優(yōu)選實(shí)施例，但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念，則可對(duì)這些實(shí)施例做出另外的變更和修改。所以，所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本申請(qǐng)實(shí)施例范圍的所有變更和修改。

最后，還需要說明的是，在本文中，諸如第一和第二等之類的關(guān)系術(shù)語(yǔ)僅僅用來將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來，而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序。而且，術(shù)語(yǔ)“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者終端設(shè)備不僅包括那些要素，而且 還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者終端設(shè)備所固有的要素。在沒有更多限制的情況下，由語(yǔ)句“包括一個(gè)……”限定的要素，并不排除在包括所述要素的過程、方法、物品或者終端設(shè)備中還存在另外的相同要素。

以上對(duì)本申請(qǐng)所提供的一種長(zhǎng)期演進(jìn)LTE系統(tǒng)中用戶設(shè)備UE接入核心網(wǎng)EPC的方法和一種長(zhǎng)期演進(jìn)LTE系統(tǒng)中用戶設(shè)備UE接入核心網(wǎng)EPC的裝置，進(jìn)行了詳細(xì)介紹，本文中應(yīng)用了具體個(gè)例對(duì)本申請(qǐng)的原理及實(shí)施方式進(jìn)行了闡述，以上實(shí)施例的說明只是用于幫助理解本申請(qǐng)的方法及其核心思想；同時(shí)，對(duì)于本領(lǐng)域的一般技術(shù)人員，依據(jù)本申請(qǐng)的思想，在具體實(shí)施方式及應(yīng)用范圍上均會(huì)有改變之處，綜上所述，本說明書內(nèi)容不應(yīng)理解為對(duì)本申請(qǐng)的限制。