CN101557589A - 防止空完整性保护算法用于正常通信的方法和*** - Google Patents
防止空完整性保护算法用于正常通信的方法和*** Download PDFInfo
- Publication number
- CN101557589A CN101557589A CNA2009101393577A CN200910139357A CN101557589A CN 101557589 A CN101557589 A CN 101557589A CN A2009101393577 A CNA2009101393577 A CN A2009101393577A CN 200910139357 A CN200910139357 A CN 200910139357A CN 101557589 A CN101557589 A CN 101557589A
- Authority
- CN
- China
- Prior art keywords
- security
- security capabilities
- eia0
- algorithm
- mme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种防止空完整性保护算法用于正常通信的方法,应用于长期演进LTE***或***架构演进SAE***中,包括:用户设备UE通过附着请求向网络发送UE安全能力;网络中的移动管理实体MME确认所述附着请求的类型为正常或非紧急后,保存表示该UE不支持空完整性保护算法EIA0的UE安全能力。而对应的***,包括:UE和MME;UE用于通过附着请求向MME发送UE安全能力;MME用于在确认出附着请求的类型为正常或非紧急后,保存表示该UE不支持空完整性保护算法EIA0的UE安全能力。采用本发明后,限制了EIA0在正常通信时被使用,保证了正常接入网络时,网络攻击者无法通过启用EIA0来绕开正常的安全保护机制。
Description
技术领域
本发明涉及移动通信***中接入安全机制,尤其涉及一种防止空完整性保护算法用于正常通信的方法和***。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,简称3GPP)长期演进(Long Term Evolution,简称为LTE)***/***架构演进(SystemArchitecture Evolution,简称为SAE)的接入安全采用两层安全架构,也就是说,接入层(Access Stratum,简称AS)和非接入层(Non Access Stratum,简称NAS)的安全机制是分开的,各自拥有自己独立的安全上下文。当用户设备(User Equipment,简称UE)接入LTE/SAE网络时,UE需要先通过附着过程(Attach procedure)对网络进行注册。如果UE和网络之间还没有进行相互认证,网络侧在收到附着请求消息后,会要求和UE进行相互认证并生成密钥。移动管理实体(Mobility Manage Entity,简称MME)和演进节点B(evolved Node B,eNB)分别根据收到的UE安全能力(Security Capability)和自身的网络配置,选择相应的安全算法(包括完整性和加密算法)后,分别通过NAS SMC(Security Mode Command,安全模式命令)和AS SMC将各自所选的安全算法发送给UE,同时MME还通过NAS SMC或者其它被完整性保护的NAS消息将UE的安全能力发回给UE确认,然后建立相应的AS安全上下文和NAS安全上下文,为UE和网络侧之间的通信建立安全通道。如果UE发现返回的安全能力不正确,则不能启用安全上下文。附着过程结束之后,各种应用场景,如果切换、追踪区更新、UE从空闲转移到激活状态,安全上下文更新等进行算法协商时,UE不再发送UE安全能力给网络,而是网络使用MME保存的UE安全能力来选择算法。当UE和网络侧之间认证失败或者启动安全上下文失败时,UE进入服务受限状态(简称LSM,在本文中LSM特指没有通过认证,只能进行紧急呼叫的服务受限状态),此时网络仅能支持UE进行紧急呼叫,不允许UE使用正常业务。一般来说下面几种情况会导致UE进入服务受限状态:UE没有USIM(Universal Subscriber IdentityModule,通用用户识别模块)、USIM没有用或被限制使用、或者UE漫游的网络与UE家乡网络之间没有签署漫游协议等。
为了使UE在服务受限状态下使用紧急呼叫业务和在正常状态下使用业务的信令流程不出现大的区别,在紧急呼叫中仍会保留相关的安全上下文启用信令流程。为了确保NAS和AS层的安全机制能够支持紧急呼叫,3GPP目前定义了专门用于紧急呼叫的安全算法——空完整性保护算法,(NullIntegrity Protection algorithm),其表示不对数据进行完整性保护,命名为EIA0,其只是一种形式上的安全算法。当网络侧收到UE发来的紧急附着请求后(当UE不能通过正常附着过程接入网络时,其如果想进行紧急呼叫,则必须先通过发起紧急附着过程才能接入网络),若识别出UE是做紧急呼叫,则通过安全模式命令或者RRC(Radio Resource Control,无线资源控制协议)重配置消息通知UE启用空完整性保护算法和空加密算法(Null cipheringalgorithm,命名为EEA0表示不对数据进行加密),这样UE就可以在没有启动安全上下文的状态下进行紧急呼叫。
但是目前的技术规范中没有制定一种专门的空完整性算法管理方法以保证该算法不会被滥用,即保证空完整性算法只能用于紧急呼叫或者测试,其它用途无效。由于eNB位于非信任域环境(即eNB本身是不安全的,eNB本身是不能被信任的节点)中,如果不专门制定使用空完整性算法的限制机制,网络攻击者可以利用骗取启用空完整性算法的方法对处于正常服务状态的UE进行攻击。以下述场景为例,对这种网络安全威胁进行描述:
UE发起正常附着过程试图接入网络时,如果接入的eNB(也可以是家庭基站Home eNB)已经被不法分子控制,eNB会将附着请求中携带的UE安全能力(UE安全能力实际上是指该UE能够支持的安全算法列表,其中包括算法的优先级)设置为只支持空完整性算法不支持其它算法,或者将UE支持的安全算法列表中除了空完整性算法外的其它算法修改为目前服务网络不支持的算法(如随便编造一些安全算法的名称)或者将空完整性算法的优先级设为最高,然后将该UE安全能力发给MME。MME收到后,根据该UE安全能力,选择并命令UE使用空完整性算法,同时将UE的安全能力存储下来。当MME通过没有进行完整性保护的NAS SMC将收到的UE安全能力反馈给eNB时,eNB可以对该NAS消息进行修改,将该消息中携带的UE安全能力重新恢复为原UE安全能力,然后再转发给UE。UE检查后发现其安全能力没有被修改过,因此不会中断与网络的通信。通过这种中间人攻击的方式,不法分子就可达到使UE和网络之间的通信没有进行任何安全保护的目的。此后,当UE离开这个eNB后,如果UE没有重新注册,则该UE不会再将其UE安全能力发给网络,因此如果重新发生算法协商,该MME会将其上存储的UE安全能力发给目标eNB或目标MME,而目标eNB或目标MME仍会使用空完整性算法来启动安全上下文,使UE在没有重新注册的情况下,无论移动到何方,都无法启用正常的安全保护机制。
X2接口是源eNB与目标eNB之间的数据传输接口,X2接口切换是指MME不直接参与切换,源eNB通过X2接口直接将用户平面和信令平面传给目标eNB,而不经过MME转发。在上述场景下,当UE进行X2接口切换时,网络攻击者就可以利用源eNB传假信息给目标eNB,欺骗目标eNB目前UE正在进行紧急呼叫,而目前技术规范中,没有专门的机制使目标eNB在X2切换中向MME(只有MME和UE才能真正知道)确认目前UE的业务状态,MME只是会对比一下源eNB传给目标eNB的UE安全能力是否正确,因此如果MME保存的UE安全能力中支持EIA0,MME不会制止目标eNB选用EIA0算法,从而导致UE和目标eNB之间的通信没有安全保护。
发明内容
本发明要解决的技术问题是一种防止空完整性保护算法用于正常通信的方法和***,来避免UE在正常业务状态下使用EIA0对数据进行完整性保护。
为解决上述问题,本发明提供了一种防止空完整性保护算法用于正常通信的方法,应用于长期演进LTE)***或***架构演进SAE***中,包括:
用户设备UE通过附着请求向网络发送UE安全能力;
所述网络中的移动管理实体MME确认所述附着请求的类型为正常或非紧急后,保存表示该UE不支持空完整性保护算法EIA0的UE安全能力。
进一步地,上述方法还可具有以下特征:
当所述附着请求的类型为正常或非紧急时,所述UE向所述MME发送的UE安全能力信息表示该UE不支持EIA0。
进一步地,上述方法还可具有以下特征:
所述UE安全能力信息表示该UE不支持EIA0是指:所述UE安全能力中不包括EIA0。
进一步地,上述方法还可具有以下特征:
所述UE安全能力信息中,每一算法都有其对应的状态属性;
所述UE安全能力信息表示该UE不支持EIA0是指:所述UE安全能力中EIA0对应的状态为禁止使用。
进一步地,上述方法还可具有以下特征:
当所述附着请求的类型为正常或非紧急时,所述MME将接收到的所述UE安全能力信息中EIA0删除后,再保存所述UE安全能力。
进一步地,上述方法还可包括:
所述MME根据保存的UE安全能力和自身网络安全配置选择非接入层安全算法,然后将所选的非接入层安全算法和收到的UE安全能力通过非接入层安全模式命令发送给所述UE。
进一步地,上述方法还可包括:
所述UE接收到所述非接入层安全算法后,判断所述非接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,执行该命令,并向所述MME发送非接入层安全模式命令结束消息。
进一步地,上述方法还可包括:
所述MME在收到所述非接入层安全模式命令结束消息后,将其上保存的所述UE安全能力发送给所述网络中的演进节点B eNB;
所述eNB收到后,根据自身的安全能力配置及接收到的所述UE安全能力信息为所述UE选择出不包含EIA0的接入层安全算法后,通过接入层安全模式命令发送给所述UE。
进一步地,上述方法还可包括:
所述UE在收到所述接入层安全算法后,判断所述接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,执行该命令,并向所述eNB发送接入层安全模式命令结束消息。
为解决上述问题,本发明还提供了一种防止空完整性保护算法用于正常通信的***,应用于长期演进LTE)***或***架构演进SAE***中,包括:用户设备UE和网络侧移动管理实体MME;
所述UE用于通过附着请求向所述MME发送UE安全能力;
所述MME用于在确认出所述附着请求的类型为正常或非紧急后,保存表示该UE不支持空完整性保护算法EIA0的UE安全能力。
进一步地,上述***还可具有以下特征:
当所述附着请求的类型为正常或非紧急时,所述UE用于向所述MME发送表示该UE不支持EIA0的UE安全能力信息。
进一步地,上述***还可具有以下特征:
所述UE安全能力信息表示该UE不支持EIA0是指:所述UE安全能力中不包括EIA0。
进一步地,上述***还可具有以下特征:
所述UE安全能力信息中,每一算法都有其对应的状态属性;
所述UE安全能力信息表示该UE不支持EIA0是指:所述UE安全能力中EIA0对应的状态为禁止使用。
进一步地,上述***还可具有以下特征:
当所述附着请求的类型为正常或非紧急时,所述MME还用于将接收到的所述UE安全能力信息中EIA0删除后,再保存所述UE安全能力。
进一步地,上述***还可具有以下特征:
所述MME还用于根据保存的UE安全能力和自身网络安全配置选择非接入层安全算法,然后将所选的非接入层安全算法和收到的UE安全能力通过非接入层安全模式命令发送给所述UE。
进一步地,上述***还可具有以下特征:
所述UE还用于在接收到所述非接入层安全算法后,判断所述非接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,则用于执行该命令,并向所述MME发送非接入层安全模式命令结束消息。
进一步地,上述***还可具有以下特征:
所述***中还包括演进节点B eNB;
所述MME还用于在收到所述非接入层安全模式命令结束消息后,将其上保存的所述UE安全能力发送给所述eNB;
所述eNB用于在收到所述UE安全能力后,根据自身的安全能力配置及接收到的所述UE安全能力信息为所述UE选择出不包含EIA0的接入层安全算法后,通过接入层安全模式命令发送给所述UE。
进一步地,上述***还可具有以下特征:
所述UE还用于在收到所述接入层安全算法后,判断所述接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,则用还用于执行该命令,并向所述eNB发送接入层安全模式命令结束消息。
采用本发明后,限制了EIA0在正常通信时被使用,保证了正常接入网络时,网络攻击者无法通过启用EIA0来绕开正常的安全保护机制。此外,通过紧急接入时发送包含EIA0的安全能力,又保证了UE在服务受限的状态下能力正常使用EIA0,保证紧急接入的顺利进行。
附图说明
图1所示为防止EIA0算法用于对正常通信进行安全保护的方法第一实施例的实现流程图;
图2所示为防止EIA0算法用于对正常通信进行安全保护的方法第二实施例的实现流程图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
本发明防止空完整性保护算法用于正常通信的方法的基本构思是:UE欲接入网络时,通过附着请求向网络发送UE安全能力;网络中的MME通过附着请求携带的类型信息单元和检查UE是否认证成功,确认所述附着请求的类型为正常或非紧急后,保存表示该UE不支持空完整性保护算法EIA0的UE安全能力。
当所述附着请求的类型为正常或非紧急时,所述UE向所述MME发送的UE安全能力信息表示该UE不支持EIA0。其中,UE安全能力信息表示该UE不支持EIA0是指:UE安全能力中不包括EIA0或者将直接将UE安全能力中的EIA0删除掉。
在具体实现时,UE安全能力信息中每一算法都有其对应的状态属性;上述UE安全能力信息表示该UE不支持EIA0是指:UE安全能力中EIA0对应的状态被设为禁止使用。
MME保存UE安全能力后,还可包括:MME根据保存的UE安全能力和自身网络安全配置选择非接入层安全算法,然后将所选的非接入层安全算法和收到的UE安全能力通过非接入层安全模式命令发送给UE;UE接收到非接入层安全算法后,判断该非接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,执行该命令,并向MME发送非接入层安全模式命令结束消息;MME在收到非接入层安全模式命令结束消息后,将其上保存的UE安全能力发送给网络中的演进节点B eNB;eNB收到后,根据自身的安全能力配置及接收到的UE安全能力信息为该UE选择出不包含EIA0的接入层安全算法后,通过接入层安全模式命令发送给UE;UE在收到接入层安全算法后,判断该接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,执行该命令,并向eNB发送接入层安全模式命令结束消息。
而防止空完整性保护算法用于正常通信的***,包括:UE和网络侧MME;UE用于通过附着请求向MME发送UE安全能力;MME用于在判断出所述附着请求的类型为正常或非紧急后,保存表示该UE不支持空完整性保护算法EIA0的UE安全能力。
此外,MME还可用于根据保存的UE安全能力和自身网络安全配置选择非接入层安全算法,然后将所选的非接入层安全算法和收到的UE安全能力通过非接入层安全模式命令发送给UE;UE还可用于在接收到非接入层安全算法后,判断该非接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,则可用于执行该命令,并向MME发送非接入层安全模式命令结束消息。该***中还包括eNB;MME还可用于在收到非接入层安全模式命令结束消息后,将其上保存的UE安全能力发送给eNB;eNB可用于在收到UE安全能力后,根据自身的安全能力配置及接收到的UE安全能力信息为UE选择出不包含EIA0的接入层安全算法后,通过接入层安全模式命令发送给UE。UE还可用于在收到接入层安全算法后,判断接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,则用还可用于执行该命令,并向eNB发送接入层安全模式命令结束消息。
下面用本发明的两个应用实例进一步加以说明
图1示出UE接入LTE/SAE网络时,UE安全能力协商的第一实施例实现流程图,包括以下步骤:
步骤S101,UE欲接入LTE/SAE网络;
步骤S102,UE判断即将发起的附着请求是紧急附着请求还是正常附着请求,判断方法为:如果UE在未认证的服务受限状态下,用户拨叫的号码为紧急号码,则认为即将发起的附着请求为紧急附着请求,执行步骤S103;否则认为即将发起的附着请求为正常(或称为非紧急)附着请求,执行步骤S104;
步骤S103,UE将附着请求消息中的类别信息单元(Information Element简称IE)设为“紧急”后发送给网络,该消息中携带包括EIA0的UE安全能力,或者只包含EIA0和空加密算法EEA0的UE安全能力,然后执行步骤S105;
步骤S104,UE将附着请求消息中的类别信息单元设为“非紧急”或“正常”后发送给网络,该消息中携带表示该UE不支持EIA0的UE安全能力,在具体实现时,可将该UE安全能力中的EIA0删除,或通过在UE安全能力中增加一表示各算法状态的方式将EIA0的状态设为禁止使用;
步骤S105,MME收到UE发过来的附着请求后,通过附着请求消息携带的类别信息单元和检查UE是否通过认证,确认该附着请求是紧急附着请求还是正常附着请求(确认是紧急还是正常附着的方法为:如果类别信息单元为紧急且UE认证未成功,MME确认为紧急附着,如果类别信息为紧急,但认证通过,出错,MME要求UE重发附着请求;如果类别信息为非紧急且UE通过认证,则认为正常附着),如果为紧急附着请求则执行步骤S107,否则执行步骤S106;
步骤S106,MME检查收到的UE安全能力中有没有包含EIA0,如果不包含EIA0或者包含处于禁止使用状态的EIA0,则执行步骤S107,否则执行步骤S116;
步骤S107,MME存储UE的安全能力,并在根据自身的安全能力配置和保存的UE安全能力选择出适当的NAS层安全算法后,通过NAS安全模式命令将该选择出的NAS层安全算法和UE安全能力发送给上述UE;
步骤S108,UE判断MME所选的NAS层安全算法和UE当前状态的对应关系的正确性,正确的对应关系为:当UE处于正常业务状态时,不能选用EIA0;如果为LSM状态,则可以选用EIA0;
步骤S109,如果对应关系不正确,即在正常业务状态下,网络选用了EIA0,UE则忽略该安全模式命令消息,不执行该命令,重新等待接收新的NAS安全命令模式消息,并在接收到后重新执行步骤S108;
步骤S110,如果对应关系正确,UE使用上述所选NAS层安全算法启用安全机制,并发送NAS安全模式命令结束消息给MME;
步骤S111,MME通过初始上下文建立请求消息将UE的安全能力发送给eNB;
步骤S112,eNB根据MME发过来UE的安全能力和网络配置选择出适当的AS层安全算法后,通过AS安全模式命令发送给UE;
步骤S113,UE判断eNB所选的AS层安全算法和UE当前状态的对应关系的正确性,正确的对应关系定义如步骤S108中的定义,如果对应关系正确执行步骤S115,否则执行步骤S114;
步骤S114,UE忽略该安全模式命令消息,不使用该算法,重新等待接收新的AS安全命令模式消息,并在接收到后重新执行步骤S113;
步骤S115,UE向eNB发送AS安全模式命令结束消息,算法协商完成;
步骤S116,附着失败,通知上述UE其安全能力不正确。
本发明实施例中,正常接入网络时,通过发送不支持EIA0的UE安全能力给MME,MME在判定UE接入网络类型为正常接入后,保存不支持EIA0的UE安全能力,在UE安全能力中禁止EIA0被使用,由于附着过程之后,UE和网络之间的所有算法协商都是通过MME保存的UE安全能力和网络配置来选择算法,因此在保存UE安全能力时对EIA0使用进行限制,不但避免了在附着过程中算法协商EIA0被使用而且还能确保附着请求后,其他场景的算法协商中不使用EIA0。如在X2切换中,如果源eNB想骗目标eNB使用EIA0,也只能通过修改发给目标eNB的UE安全能力,使之支持EIA0,而MME会检查目标eNB收到的和自己保存的UE安全能力不同时,会发现这种网络攻击,及时采取措施。
因此本发明实施例即能保证正常接入网络时,网络攻击者无法通过启用EIA0来绕开正常的安全保护机制,通过紧急接入时发送包含EIA0的安全能力,又保证UE在服务受限的状态下能力正常使用EIA0,保证紧急接入的顺利进行
图2示出UE接入LTE/SAE网络时,UE安全能力协商的第二实施例实现流程图,包括以下步骤:
步骤S201,UE欲接入LTE/SAE网络;
步骤S202,UE判断即将发起的附着请求是紧急附着请求还是正常附着请求,然后将该请求消息中类型IE设置为相应状态后,发送给网络,其中,该请求消息携带UE的安全能力;
步骤S203,MME收到UE发过来的UE安全能力后,根据该消息的类型IE和检查UE是否通过认证,确认该附着请求是紧急附着请求还是正常附着请求,如果为紧急附着请求则执行步骤S204,如果是正常附着请求则执行步骤S205;
步骤S204,MME保存收到的UE安全能力,然后执行步骤S206;
步骤S205,MME检查UE的安全能力,直接将其中的EIA0算法删除或者设为禁止使用状态后保存该UE安全能力;
步骤S206,MME在根据自身的安全能力配置和保存的UE安全能力选择出适当的NAS层安全算法后,通过NAS安全模式命令将该选择出的NAS层安全算法和收到的UE安全能力发送回给上述UE,在正常接入时,发回给UE的和MME保存的UE安全能力不同,保存的UE安全能力中的EIA0算法被删除或者被设为禁止;
步骤S207,UE判断MME所选的NAS层安全算法和UE当前状态的对应关系的正确性,如果正确执行步骤S209,否则执行步骤S208,正确的对应关系为:当UE处于正常业务状态时,不能选用EIA0;如果为未认证的LSM状态,则可以选用EIA0;
步骤S208,UE忽略该NAS SMC消息,重新接收NAS SMC,并在接收到后重新执行步骤S207;
步骤S209,UE使用上述所选NAS层安全算法启用安全机制,且发送NAS安全模式命令结束消息给MME;
步骤S210,MME通过初始上下文建立请求消息将其上保存的UE安全能力发送给eNB;
步骤S211,eNB根据UE的安全能力选择出适当的AS层安全算法后,通过AS安全模式命令发送给UE;
步骤S212,UE判断eNB所选的AS层安全算法和UE当前状态的对应关系的正确性,如果正确执行步骤S214,否则执行步骤S213;正确的对应关系定义如步骤S207中的定义;
步骤S213,UE忽略该AS SMC消息,重新接收AS SMC,并在接收到后重新执行步骤S212;
步骤S214,UE向eNB发送AS安全模式命令结束消息,算法协商完成。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (18)
1、一种防止空完整性保护算法用于正常通信的方法,应用于长期演进LTE***或***架构演进SAE***中,其特征在于,包括:
用户设备UE通过附着请求向网络发送UE安全能力;
所述网络中的移动管理实体MME确认所述附着请求的类型为正常或非紧急后,保存表示该UE不支持空完整性保护算法EIA0的UE安全能力。
2、如权利要求1所述的方法,其特征在于,
当所述附着请求的类型为正常或非紧急时,所述UE向所述MME发送的UE安全能力信息表示该UE不支持EIA0。
3、如权利要求1或2所述的方法,其特征在于,
所述UE安全能力信息表示该UE不支持EIA0是指:所述UE安全能力中不包括EIA0。
4、如权利要求1或2所述的方法,其特征在于,
所述UE安全能力信息中,每一算法都有其对应的状态属性;
所述UE安全能力信息表示该UE不支持EIA0是指:所述UE安全能力中EIA0对应的状态为禁止使用。
5、如权利要求1所述的方法,其特征在于,
当所述附着请求的类型为正常或非紧急时,所述MME将接收到的所述UE安全能力信息中EIA0删除后,再保存所述UE安全能力。
6、如权利要求1所述的方法,其特征在于,还包括:
所述MME根据保存的UE安全能力和自身网络安全配置选择非接入层安全算法,然后将所选的非接入层安全算法和收到的UE安全能力通过非接入层安全模式命令发送给所述UE。
7、如权利要求6所述的方法,其特征在于,还包括:
所述UE接收到所述非接入层安全算法后,判断所述非接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,执行该命令,并向所述MME发送非接入层安全模式命令结束消息。
8、如权利要求7所述的方法,其特征在于,还包括:
所述MME在收到所述非接入层安全模式命令结束消息后,将其上保存的所述UE安全能力发送给所述网络中的演进节点B eNB;
所述eNB收到后,根据自身的安全能力配置及接收到的所述UE安全能力信息为所述UE选择出不包含EIA0的接入层安全算法后,通过接入层安全模式命令发送给所述UE。
9、如权利要求8所述的方法,其特征在于,还包括:
所述UE在收到所述接入层安全算法后,判断所述接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,执行该命令,并向所述eNB发送接入层安全模式命令结束消息。
10、一种防止空完整性保护算法用于正常通信的***,应用于长期演进LTE***或***架构演进SAE***中,其特征在于,包括:用户设备UE和网络侧移动管理实体MME;
所述UE用于通过附着请求向所述MME发送UE安全能力;
所述MME用于在确认出所述附着请求的类型为正常或非紧急后,保存表示该UE不支持空完整性保护算法EIA0的UE安全能力。
11、如权利要求10所述的***,其特征在于,
当所述附着请求的类型为正常或非紧急时,所述UE用于向所述MME发送表示该UE不支持EIA0的UE安全能力信息。
12、如权利要求10或11所述的***,其特征在于,
所述UE安全能力信息表示该UE不支持EIA0是指:所述UE安全能力中不包括EIA0。
13、如权利要求10或11所述的***,其特征在于,
所述UE安全能力信息中,每一算法都有其对应的状态属性;
所述UE安全能力信息表示该UE不支持EIA0是指:所述UE安全能力中EIA0对应的状态为禁止使用。
14、如权利要求10所述的***,其特征在于,
当所述附着请求的类型为正常或非紧急时,所述MME还用于将接收到的所述UE安全能力信息中EIA0删除后,再保存所述UE安全能力。
15、如权利要求10所述的***,其特征在于,
所述MME还用于根据保存的UE安全能力和自身网络安全配置选择非接入层安全算法,然后将所选的非接入层安全算法和收到的UE安全能力通过非接入层安全模式命令发送给所述UE。
16、如权利要求15所述的***,其特征在于,
所述UE还用于在接收到所述非接入层安全算法后,判断所述非接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,则用于执行该命令,并向所述MME发送非接入层安全模式命令结束消息。
17、如权利要求16所述的***,其特征在于,所述***中还包括演进节点B eNB;
所述MME还用于在收到所述非接入层安全模式命令结束消息后,将其上保存的所述UE安全能力发送给所述eNB;
所述eNB用于在收到所述UE安全能力后,根据自身的安全能力配置及接收到的所述UE安全能力信息为所述UE选择出不包含EIA0的接入层安全算法后,通过接入层安全模式命令发送给所述UE。
18、如权利要求17所述的***,其特征在于,
所述UE还用于在收到所述接入层安全算法后,判断所述接入层安全算法中是否不包含EIA0且UE当前的服务状态是否为正常模式,如果是,则用还用于执行该命令,并向所述eNB发送接入层安全模式命令结束消息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2009101393577A CN101557589A (zh) | 2009-05-04 | 2009-05-04 | 防止空完整性保护算法用于正常通信的方法和*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2009101393577A CN101557589A (zh) | 2009-05-04 | 2009-05-04 | 防止空完整性保护算法用于正常通信的方法和*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101557589A true CN101557589A (zh) | 2009-10-14 |
Family
ID=41175479
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2009101393577A Pending CN101557589A (zh) | 2009-05-04 | 2009-05-04 | 防止空完整性保护算法用于正常通信的方法和*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101557589A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101925050A (zh) * | 2010-08-19 | 2010-12-22 | 华为技术有限公司 | 一种安全上下文的生成方法及装置 |
CN102056114A (zh) * | 2009-11-09 | 2011-05-11 | 中兴通讯股份有限公司 | 一种实现位置区域更新的方法及*** |
CN102056221A (zh) * | 2009-11-03 | 2011-05-11 | 大唐移动通信设备有限公司 | 一种定位处理方法及设备 |
CN104219655A (zh) * | 2013-06-04 | 2014-12-17 | 中兴通讯股份有限公司 | 一种无线通信***中空口安全算法的选择方法及mme |
CN106664549A (zh) * | 2014-08-15 | 2017-05-10 | 英特尔Ip公司 | 用于性能信息设置的演进节点b和用户设备的方法和装置 |
WO2023072272A1 (zh) * | 2021-10-30 | 2023-05-04 | 华为技术有限公司 | 通信方法和装置 |
US20230371052A1 (en) * | 2017-07-10 | 2023-11-16 | Cisco Technology, Inc. | Adaptive wireless network feature support |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070045442A (ko) * | 2005-10-27 | 2007-05-02 | 주식회사 팬택앤큐리텔 | Umts 에서의 보안 방법 및 그 장치 |
CN101242629A (zh) * | 2007-02-05 | 2008-08-13 | 华为技术有限公司 | 选择用户面算法的方法、***和设备 |
CN101378591A (zh) * | 2007-08-31 | 2009-03-04 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
-
2009
- 2009-05-04 CN CNA2009101393577A patent/CN101557589A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070045442A (ko) * | 2005-10-27 | 2007-05-02 | 주식회사 팬택앤큐리텔 | Umts 에서의 보안 방법 및 그 장치 |
CN101242629A (zh) * | 2007-02-05 | 2008-08-13 | 华为技术有限公司 | 选择用户面算法的方法、***和设备 |
CN101378591A (zh) * | 2007-08-31 | 2009-03-04 | 华为技术有限公司 | 终端移动时安全能力协商的方法、***及装置 |
Non-Patent Citations (1)
Title |
---|
3GPP,SOPHIA ANTIPOLIS: "《3GPP TSG-SA3(Security) S3-090619,Meeting SA3#54adhoc,Addition of the NULL algorithm for Integrity Protection to the Clause 5.1.4》", 26 March 2009 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102056221A (zh) * | 2009-11-03 | 2011-05-11 | 大唐移动通信设备有限公司 | 一种定位处理方法及设备 |
CN102056221B (zh) * | 2009-11-03 | 2014-04-16 | 电信科学技术研究院 | 一种定位处理方法及设备 |
CN102056114A (zh) * | 2009-11-09 | 2011-05-11 | 中兴通讯股份有限公司 | 一种实现位置区域更新的方法及*** |
CN102056114B (zh) * | 2009-11-09 | 2014-02-05 | 中兴通讯股份有限公司 | 一种实现位置区域更新的方法及*** |
CN101925050A (zh) * | 2010-08-19 | 2010-12-22 | 华为技术有限公司 | 一种安全上下文的生成方法及装置 |
CN104219655A (zh) * | 2013-06-04 | 2014-12-17 | 中兴通讯股份有限公司 | 一种无线通信***中空口安全算法的选择方法及mme |
CN106664549A (zh) * | 2014-08-15 | 2017-05-10 | 英特尔Ip公司 | 用于性能信息设置的演进节点b和用户设备的方法和装置 |
CN106664549B (zh) * | 2014-08-15 | 2020-05-19 | 苹果公司 | 用于性能信息设置的演进节点b和用户设备的方法和装置 |
US20230371052A1 (en) * | 2017-07-10 | 2023-11-16 | Cisco Technology, Inc. | Adaptive wireless network feature support |
WO2023072272A1 (zh) * | 2021-10-30 | 2023-05-04 | 华为技术有限公司 | 通信方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10404677B2 (en) | Secure method for MTC device triggering | |
KR101475349B1 (ko) | 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치 | |
US9497625B2 (en) | Method for negotiating security capability when terminal moves | |
EP2932676B1 (en) | Authenticating public land mobile networks to mobile stations | |
EP2203008B1 (en) | Method of handling security configuration in wireless communications system and related communication device | |
CN102017681B (zh) | 切换期间***纵或有缺陷基站的识别 | |
EP2727308B1 (en) | Authentication of warning messages in a network | |
US20150237551A1 (en) | Method and Device for Switching Between Networks | |
CN101557589A (zh) | 防止空完整性保护算法用于正常通信的方法和*** | |
US20100172500A1 (en) | Method of handling inter-system handover security in wireless communications system and related communication device | |
KR101929868B1 (ko) | 연결 확립 방법, 장치, 및 시스템 | |
EP2567559A1 (en) | Methods and arrangements for communication channel re-establishment | |
US20110135095A1 (en) | Method and system for generating key identity identifier when user equipment transfers | |
JP5306460B2 (ja) | アクセス権限変更方法、コアネットワーク装置、基地局および端末 | |
EP3799461B1 (en) | Network validity verification method and device and computer storage medium | |
GB2558363A (en) | A system and method for network entity assisted honeypot access point detection | |
CN112913282A (zh) | 用于阻止由来自网络节点的不安全消息引起的切换的***和方法 | |
CN113557699B (zh) | 通信装置、基础设施设备、核心网络设备和方法 | |
WO2014083724A1 (ja) | 緊急呼確立システム、通信装置、緊急呼確立方法及び非一時的なコンピュータ可読媒体 | |
KR102442520B1 (ko) | RRC 연결에서 DoS 공격 대응 방법 및 서버 | |
CN106888449B (zh) | 基于usim应用信息处理方法及*** | |
CN116567616A (zh) | 通信处理方法、装置及相关设备 | |
EP2571301B1 (en) | System and method for urgent information deleting and transferring last location information in secure communication | |
CN114258025A (zh) | 识别伪基站、信息发送的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20091014 |