[发明专利]NAS层信令的保护方法和设备

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种NAS层信令的保护方法和设备。

背景技术

在LTE（Long Term Evolution，长期演进），MME（Mobility Management Entity，移动性管理实体）和UE（User Equipment，用户设备，即终端设备）之间的NAS（Non Access Stratum，非接入层）层信令连接中，存在NAS安全机制。一旦安全过程建立，所有的NAS层信令都要被安全保护，包括加密和完整性保护。在UE附着到网络时需要对用户进行认证鉴权，即UE、MME和HSS（Home Subscriber Server，归属用户服务器）之间进行EPS（Evolved Packet System，演进分组系统） AKA（Authentication and Key Agreement，鉴权和密钥协商）过程，在这个过程中HSS会给MME下发EPS鉴权向量。这个鉴权向量是一个四元组：随机值RAND、认证令牌AUTN、密钥K_ASME、期望响应值XRES。MME使用随机值RAND和认证令牌AUTN对UE进行认证，UE同时接收到这两个值对网络进行认证，在认证过程中会从USIM（Universal Subscriber Identity Module，全球用户识别）卡所保存的根密钥K推演出一个密钥K_ASME，以便于后续其他密钥的计算。

如图1所示，为现有技术中的NAS安全机制的建立过程的流程示意图，具体描述如下。   

步骤S101、MME选择加密和完整性保护算法，根据EPS AKA过程中选择的EPS鉴权向量中的密钥K_ASME和选择的完整性保护算法，生成完整性保护密钥。由完整性保护密钥和完整性保护算法对NAS层信令——security mode command（安全模式命令）消息进行完整性保护，security mode command消息中包括NAS security algorithms（NAS安全算法规则）、NAS key set identifier（NAS密钥指定标识）、UE security capability（终端安全能力），之后，MME将security mode command消息发送给UE。发送之后开启定时器T3460。

在具体的实施场景中，security mode command消息的构成如表1所示

表1  security mode command消息的内容列表

步骤S102、UE在收到security mode command消息之后，取出其中的NAS security algorithms（包括选择的加密算法和完整性保护算法），使用其中MME指定的完整性保护算法，计算完整性保护密钥并对消息进行完整性保护校验。

步骤S103、如果校验成功，UE会使用security mode command消息中携带的NAS security algorithms（包括选择的加密算法和完整性保护算法），根据其UE本地推演出的密钥K_ASME计算新的NAS加密密钥K_NASenc和NAS完整性保护密钥K_NASint，并对security mode complete 消息进行NAS完整性保护和NAS加密保护，然后，将security mode complete 消息发送给MME，MME收到security mode complete 消息后，结束定时器T3460。

在NAS层信令（security mode command消息 和 security mode complete消息）交互之后，安全上下文建立成功。在以后的NAS信令都要使用选择的算法进行安全保护。

其中，security mode complete消息的构成如表2所示

表2 security mode complete 消息的内容列表

在现有的技术方案中，当MME选择EIA（EPS Integrity Algorithm，完整性保护算法）2和EEA（EPS Encryption Algorithm，加密算法）2时，使用AES（Advanced Encryption Standard，高级加密标准）128位密钥进行加密和完整性保护，如协议中的安全能力中的算法，具体说明如下：

UE在向网络注册的时候，会告知UE支持的安全算法集合，具体如表3所示。