[发明专利]消息保护方法、用户设备和核心网设备

说明书

本申请实施例提供一种消息保护方法、用户设备和核心网设备。其中，方法包括：向核心网设备发送未受安全保护的请求消息，请求消息包括第一随机数；接收异常响应消息，异常响应消息包括第三随机数和签名；根据所述第三随机数、签名和获取到的凭证，确定异常响应消息是否为有效消息。本申请实施例提供的消息保护方法，可以对用户设备与核心网设备之间未建立安全上下文之前传输的消息进行安全保护，提升了网络通信的安全性。

技术领域

本申请涉及通信技术领域，尤其涉及一种消息保护方法、用户设备和核心网设备。

背景技术

在长期演进(Long Term Evolution，LTE)通信系统中的一些初始接入场景，用户设备(User Equipment，UE)和网络侧设备之间还未建立安全上下文之前传输的消息，不会受到安全保护。这些消息可能遭受伪造或者重放攻击。

图1为现有的伪造攻击的消息交互图。如图1所示，网元可以包括：UE、伪基站、接入网设备和核心网设备。其中，伪基站为攻击者设置的用于吸引UE驻留的非法基站。接入网设备和核心网设备为UE正常接入网络时的网络侧设备。当UE发送未受安全保护的请求消息1时，伪基站直接拦截请求消息1，并伪造异常响应消息 1。伪基站将伪造的异常响应消息1发送给UE，导致UE长时间拒绝服务。而接入网设备和核心网设备可能接收不到UE发送的请求消息1。

图2为现有的重放攻击的消息交互图。如图2所示，UE发送未受安全保护的请求消息2。伪基站拦截请求消息2后，将请求消息2转发至核心网设备。请求消息2 可能被核心网拒绝，此时，核心网设备将回复异常响应消息2。伪基站缓存异常响应消息2后，将异常响应消息2转发给UE。此时，UE是因为正常原因无法入网。之后，UE再次发起请求，发送请求消息3。伪基站拦截请求消息3后，将之前缓存的异常响应消息2发送给UE。导致UE再次长时间拒绝服务。此次的拒绝服务则是由于重放攻击造成的异常拒绝服务。而接入网设备和核心网设备可能接收不到UE发送的请求消息3。

目前，对于UE和网络侧设备之间传输的不受安全保护的消息可能遭受伪造或者重放攻击，还没有方法可以对这些消息进行识别和保护，造成了UE异常的长时间拒绝服务，降低了网络通信的安全性。

发明内容

本申请实施例提供一种消息保护方法、用户设备和核心网设备，可以对用户设备与核心网设备之间未建立安全上下文之前传输的消息进行安全保护，提升了网络通信的安全性。

第一方面，本发明实施例提供一种消息保护方法。其中，该方法可以包括：向核心网设备发送未受安全保护的请求消息。接收异常响应消息。根据第三随机数、签名和获取到的凭证，确定异常响应消息是否为有效消息。

通过第一方面提供的消息保护方法，通过第一随机数和签名，可以对用户设备与核心网设备之间未建立安全上下文之前传输的消息进行安全保护，用户设备可以识别出接收到的异常响应消息是否为有效消息。避免了用户设备因为伪基站的伪造攻击或者重放攻击导致的长时间拒绝服务，提升了网络通信的安全性。

可选的，在第一方面的一种可能的实施方式中，根据第三随机数、签名和获取到的凭证，确定异常响应消息是否为有效消息，包括：若第一随机数与第三随机数相同、且签名验证通过，则确定异常响应消息为有效消息。签名验证通过包括：根据第三随机数、签名和凭证，对异常响应消息签名验证通过。

通过该可能的实施方式提供的消息保护方法，核心网设备生成签名的输入参数包括第一随机数和密钥。用户设备则根据第一随机数、第三随机数、接收到的签名和获取到的凭证，对接收到的异常响应消息进行签名验证，可以确定接收到的异常响应消息是否为有效消息。通过第一随机数、第三随机数和签名，可以避免用户设备因为伪基站的伪造攻击或者重放攻击导致的长时间拒绝服务，提升了网络通信的安全性。