[发明专利]一种安全上下文的提供、获取方法及设备

权利要求书

1.一种提供安全上下文的方法，其特征在于，该方法包括：

第一核心网设备接收用户设备UE发送的非接入层NAS消息；

所述第一核心网设备与所述UE进行认证和密钥协商，以建立所述第一核心网设备和所述UE之间共享的安全上下文；

当确定所述NAS消息需要重路由到特定网络中的第二核心网设备时，所述第一核心网设备对接收到的NAS消息进行重构；

其中，第一核心网设备对接收到的来自所述UE的NAS消息进行重构，包括：

所述第一核心网设备使用所述第一核心网设备为所述UE分配的全球唯一临时标识GUTI，替换从所述UE接收到的NAS消息中的UE标识；

所述第一核心网设备利用所述第一核心网设备和所述UE之间共享的安全上下文中的密钥集标识，替换所述UE发送的NAS消息中的密钥集标识；

所述第一核心网设备向接入网设备发送重路由命令，所述重路由命令中包含所述重构后的NAS消息；

所述第一核心网设备接收所述第二核心网设备发送的上下文请求，所述上下文请求中包括所述重构后的NAS消息；

所述第一核心网设备根据所述重构后的NAS消息中的所述GUTI和所述第一核心网设备和所述UE之间共享的安全上下文中的密钥集标识，查找到所述第一核心网设备和所述UE之间共享的安全上下文，并将所述第一核心网设备和所述UE之间共享的安全上下文发送给所述第二核心网设备。

2.根据权利要求1所述的方法，其特征在于，第一核心网设备对接收到的来自所述UE的NAS消息进行重构，还包括：

所述第一核心网设备根据所述第一核心网设备和所述UE之间共享的安全上下文计算完整性保护校验值，并将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE。

3.根据权利要求2所述的方法，其特征在于，将所述完整性保护校验值作为所述UE发送的NAS消息中的消息认证码MAC信元IE，包括：

将所述完整性保护校验值填充到所述UE发送的NAS消息中的消息认证码MAC信元IE；或

将所述完整性保护校验值替换所述UE发送的NAS消息中的消息认证码MAC。

4.根据权利要求1至3任一项所述的方法，其特征在于，在所述第一核心网将所述第一核心网设备和所述UE之间共享的安全上下文发送给所述第二核心网设备前，该方法还包括：

所述第一核心网设备利用所述第一核心网设备和所述UE之间共享的安全上下文验证所述上下文请求中携带的所述重构后的NAS消息的完整性；

则，所述第一核心网设备将所述第一核心网设备和所述UE之间共享的安全上下文发送给第二核心网设备的步骤，是当所述验证成功时执行的。

5.根据权利要求4所述的方法，其特征在于，所述第一核心网设备利用所述第一核心网设备和所述UE之间共享的安全上下文验证所述上下文请求中携带的NAS消息的完整性，包括：

所述第一核心网设备根据所述GUTI以及所述第一核心网设备和所述UE之间共享的安全上下文中的密钥集标识，获取所述第一核心网设备和所述UE之间共享的安全上下文；并利用获取到的安全上下文计算校验值；如果所述计算的校验值和所述重构后的NAS消息中的校验值一致，则确定验证成功。

6.根据权利要求1所述的方法，其特征在于，所述上下文请求中还包括：

重路由指示和/或完整性保护校验值，所述重路由指示用于指示所述重构后的NAS消息是重路由到所述第二核心网设备的。