[发明专利]一种终端移动时防止降质攻击的方法、系统及装置

说明书

技术领域

本发明涉及无线通信技术，具体涉及一种终端移动时防止降质攻击的方法、系统及装置。

背景技术

无线网络包括无线接入网和核心网两部分。未来演进的无线网络核心网包括移动管理实体(MME，Mobile Management Entity)，其功能与通用分组无线业务(GPRS，General Packet Radio Service)网络的服务GPRS支持节点(SGSN，Service GPRS Support Node)类似，主要完成移动性管理、用户鉴权等。当用户设备(UE，User Equipment)处于空闲态时，需要与MME之间协商非接入信令(NAS，Non-Access Signaling)安全算法，包括NAS机密性保护算法和NAS完整性保护算法，以保证UE通信过程中的系统安全。

当空闲态的UE在未来演进的无线接入网(LTE，Long Term Evolution)内部移动，或从2G/3G网络移动到LTE网络时，会发生跟踪区域更新(TAU，Tracking Area Update)过程，此过程中，为该UE进行移动性管理及用户鉴权等的实体可能会改变，例如中LTE网络内部移动时，为该UE进行移动性管理及用户鉴权等的实体由移动之前为其服务的MME(或称为旧MME)改变为移动之后为其服务的MME；从2G/3G网络移动到LTE网络时，为该UE进行移动性管理及用户鉴权等的实体由SGSN改变为MME。由于不同的为UE进行移动性管理及用户鉴权等实体的安全能力可以是不一样的，因此UE要和新MME(即移动之后为其服务的MME)之间重新进行安全能力的协商。对于LTE网络来说，UE与MME之间的安全能力协商主要是NAS安全算法以及相应的密钥协商。

图1为现有的UE与新MME进行安全能力协商的方法流程图。如图1所示，该方法包括以下步骤：

步骤100：UE向新MME发送跟踪区域更新请求(TAU Request)。

本步骤中，UE通过未来演进的无线接入网的演进基站(eNB，evolutionNode B)向新MME发送跟踪区域更新请求。为了描述方便，以下描述都将UE与MME之间通过eNB传递消息简化为UE与MME之间进行通信。

步骤101～步骤102：新MME向旧MME发送移动性管理上下文请求(context request)消息；旧MME接收到消息后，向新MME返回移动性管理上下文响应(context request)，其中携带当前使用的根密钥Kasme、当前使用的完整性保护密钥Knas-int、当前使用的NAS机密性保护密钥Knas-enc、当前使用的NAS安全算法及UE支持的安全能力，包括UE支持的NAS/无线资源控制(RRC，Radio Resource Control)/用户面(UP，UserPlane)安全算法。

步骤103：新MME根据UE支持的安全能力中的NAS安全算法，自己支持的NAS安全算法，以及系统允许的NAS安全算法，通过三者取交集，来选择新的NAS安全算法，包括NAS完整性保护算法及NAS机密性保护算法。

步骤104：新MME向UE发送跟踪区域接受(TAU Accept)消息，其中包括选择的新NAS安全算法。

实际执行时，在步骤103与步骤104之间还有其他与安全能力协商无关的步骤，在此省略。

步骤105：UE接收携带所选择的NAS安全算法的TAU Accept消息，实现与MME之间的NAS安全算法共享；然后再检查TAU Accept消息中携带的NAS安全算法，如果携带的NAS安全算法和UE当前使用的NAS安全算法一样，就以UE当前使用的NAS完整性保护密钥Knas-int，当前使用的NAS机密性保护密钥Knas-enc，作为后续的NAS保护密钥；如果携带的NAS安全算法和UE当前使用的NAS安全算法不同，则需要根据UE当前使用的根密钥Kasme以及其他参数重新推导出新的NAS完整性保护密钥Knas-int，NAS机密性保护密钥Knas-enc，作为后续的NAS保护密钥，实现与MME之间的NAS保护密钥共享。从而实现UE与MME之间的安全能力协商。