移动通信方法、装置及设备与流程
本发明涉及移动通信技术,尤其涉及一种移动通信方法、装置及设备。
背景技术:
移动通信的附着(attach)流程中,ue(userequipment,用户设备)通过enb(evolvednodeb,演化基站)向mme(mobilitymanageuententity,移动管理实体)发送附着请求(attachrequest)消息,其中在附着请求消息中携带ue能力(uecapability)信息如网络能力及安全能力等,mme根据接收到的ue的能力向ue提供服务。当附着请求消息没有完整性保护时,比如,ue第一次注册网络的场景下附着请求消息没有完整性保护,此时若攻击者实施中间人攻击,修改了ue发送给mme的ue能力信息,那么mme将会根据被修改之后的ue能力信息向ue提供服务,由此可能会导致ue无法使用某些业务,如,攻击者将ue能力信息中的语音域优先级和用户使用设置(voicedomainpreferenceandue‘susagesetting)去掉,添加仅使用短信服务(additionalupdatetype-smsonly)参数,那么ue只能使用短消息业务,而不能使用语音通话业务。
技术实现要素:
本发明实施例提供了一种移动通信方法、装置及设备,确保mme获取正确的ue能力信息。
第一方面,本发明实施例提供了一种移动通信方法,包括:
用户设备ue接收来自移动管理实体mme的非接入层nas安全模式命令消息,所述nas安全模式命令消息中携带用于对所述mme已经接收到的ue能力信息进行验证的第一验证匹配信息;
所述ue根据所述第一验证匹配信息,确定所述mme已经接收到的ue能力信息是否与所述ue发送给所述mme的ue能力信息一致;
若一致,则所述ue向所述mme发送nas安全模式完成消息。
可选的,所述第一验证匹配信息为所述mme向所述ue发送所述nas安全模式命令消息前已经接收到的附着请求消息的第一哈希值,所述nas安全模式命令消息还包括所述mme对已经接收到的所述附着请求消息进行哈希计算所采用的哈希算法、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第一非接入层消息认证码nas-mac;
所述ue计算所述ue接收到的所述nas安全模式命令消息的第二nas-mac;
所述ue确定第二nas-mac是否与所述第一nas-mac一致;
若一致,所述ue根据哈希算法,计算所述ue发送给所述mme的附着请求消息的第二哈希值;
所述ue确定所述二哈希值是否与所述第一哈希值一致;
若一致,则所述ue向所述mme发送nas安全模式完成消息。
可选的,所述nas安全模式命令消息还包括:所述mme回传的ue安全能力;
所述ue确定所述mme回传的ue安全能力是否与所述ue发送给所述mme的ue安全能力一致;
相应的,所述若一致,则所述ue向所述mme发送nas安全模式完成消息,包括:
若所述第二哈希值与所述第一哈希值一致、所述第二nas-mac与所述第一nas-mac一致且所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致,则所述ue向所述mme发送nas安全模式完成消息。
可选的,所述方法还包括:
若所述第二哈希值、所述第二nas-mac以及所述mme回传的ue安全能力中的至少一项验证失败,则所述ue向所述mme发送nas安全模式失败消息;
或者,
若所述第二nas-mac与所述第一nas-mac一致、所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致且所述第二哈希值与所述第一哈希值不一致,则所述ue向所述mme发送nas安全模式完成消息,该nas安全模式完成消息中携带附着请求消息。
可选的,所述第一验证匹配信息为所述mme已经接收到的ue能力信息的第三哈希值,所述nas安全模式命令消息还包括所述mme对已经接收到的ue能力信息进行哈希计算所所采用的哈希算法、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第三nas-mac;
所述ue计算所述ue接收到的所述nas安全模式命令消息的第四nas-mac;所述ue确定所述第四nas-mac是否与所述第三nas-mac一致;
若一致,所述ue根据哈希算法,计算所述ue发送给所述mme的ue能力信息的第四哈希值;
所述ue确定所述二哈希值是否与所述第三哈希值一致;
若一致,则所述ue向所述mme发送nas安全模式完成消息。
可选的,所述nas安全模式命令消息中还包括:所述mme回传的ue安全能力;
所述ue确定所述mme回传的ue安全能力是否与所述ue发送给所述mme的ue安全能力一致;
相应的,所述若一致,则所述ue向所述mme发送nas安全模式完成消息,包括:
若所述第四哈希值与所述第三哈希值一致、所述第四nas-mac与所述第三nas-mac一致且所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致,则所述ue向所述mme发送nas安全模式完成消息。
可选的,所述方法还包括:
若所述第四哈希值、所述第四nas-mac以及所述mme回传的ue安全能力中的至少一项验证失败,则所述ue向所述mme发送nas安全模式失败消息;
或者,
若所述第四nas-mac与所述第三nas-mac一致、所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致且所述第四哈希值与所述第三哈希值不一致,则所述ue向所述mme发送nas安全模式完成消息,所述nas安全模式完成消息中携带ue能力信息。
可选的,所述第一验证匹配信息为所述mme已经接收到的ue能力信息,所述nas安全模式命令消息还包括所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第五nas-mac;
所述ue计算所述ue接收到的所述nas安全模式命令消息的第六nas-mac;
所述ue确定所述第六nas-mac是否与所述第五nas-mac一致;
若一致,所述ue所述mme已经接收到的ue能力信息是否与所述ue发送给所述mme的ue能力信息一致;
若一致,则所述ue向所述mme发送nas安全模式完成消息。
可选的,所述ue确定所述第六nas-mac是否与所述第五nas-mac一致,
若一致,所述ue确定所述mme已经接收到的所述ue能力信息中所包括的ue安全能力是否与所述ue发送给所述mme的ue安全能力一致;
若一致,则所述ue确定所述mme接收到的所述ue能力信息中除所述ue安全能力外的其它能力是否分别与所述ue发送给所述mme的一致;
若一致,则所述ue向所述mme发送nas安全模式完成消息。
可选的,所述方法还包括:
若所述mme已经接收到的所述ue能力信息中除所述ue安全能力外的其它能力与所述ue发送给所述mme的不一致,则所述ue向所述mme发送nas安全模式完成消息,所述nas安全模式完成消息中携带ue能力信息。
可选的,所述nas安全模式命令消息包括:所述mme接收到的ue安全能力、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第七nas-mac;
所述ue计算所述ue接收到的所述nas安全模式命令消息的第八nas-mac;
所述ue确定所述第八nas-mac是否与所述第七nas-mac一致;
若一致,所述ue确定所述mme接收到的ue安全能力是否与所述ue发送给所述mme的ue安全能力一致;
若一致,则所述ue向所述mme发送nas安全模式完成消息,所述nas安全模式完成消息中携带第二验证匹配信息以及所述nas安全模式完成消息的nas-mac。
可选的,所述第二验证匹配信息包括:
所述ue已经向所述mme发送的附着请求消息的哈希值;或者,
所述ue已经向所述mme发送的ue能力信息的哈希值。
可选的,所述第二验证匹配信息包括:所述ue的ue能力信息。
可选的,所述ue向所述mme发送nas安全模式完成消息之后,还包括:
所述ue接收所述mme发送的下行nas传输消息,所述下行nas传输消息中携带ue能力信息请求消息或者请求所述ue重新发送附着请求消息的请求消息;
所述ue向所述mme发送上行信息传输消息,所述上行信息传输消息中携带所述ue能力信息或附着请求消息。
可选的,所述ue向所述mme发送nas安全模式完成消息之后,还包括:
所述ue接收所述mme发送的ue信息请求消息,所述ue信息请求消息携带ue能力信息请求消息或者请求所述ue重新发送附着请求消息的请求消息;
所述ue向所述mme发送ue信息应答消息,所述ue信息应答消息中携带ue能力信息或附着请求消息。
第二方面,本发明实施例提供了一种移动通信方法,包括:
mme向ue发送nas安全模式命令消息,所述nas安全模式命令消息中携带第一验证匹配信息,用于所述ue根据所述第一验证匹配信息,确定所述mme已经接收到的ue能力信息是否与所述ue发送给所述mme的ue能力信息一致;若一致,则所述ue向所述mme发送nas安全模式完成消息。
可选的,所述第一验证匹配信息为所述mme已经接收到的附着请求消息的第一哈希值,所述nas安全模式命令消息还包括所述mme对已经接收到的所述附着请求消息进行哈希计算所采用的哈希算法、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第一非接入层消息认证nas-mac。
可选的,所述nas安全模式命令消息还包括:所述mme已经接收到的ue安全能力。
可选的,所述方法还包括:
在所述ue生成的所述nas安全模式命令消息的第二nas-mac与所述第一nas-mac一致、所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致且所述ue生成的附着请求消息的第二哈希值与所述第一哈希值不一致时,所述mme接收所述ue发送的nas安全模式完成消息,其中所述nas安全模式完成消息中携带附着请求消息。
可选的,所述第一验证匹配信息为所述mme已经接收到的ue能力信息的第三哈希值,所述nas安全模式命令消息还包括所述mme对已经接收到的ue能力信息进行哈希计算所所采用的哈希算法、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第三nas-mac。
可选的,所述nas安全模式命令消息中还包括:所述mme已经接收到的ue安全能力。
可选的,所述方法还包括:
在所述ue生成的所述nas安全模式命令消息的第四nas-mac与所述第三nas-mac一致、所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致且所述ue生成的ue能力信息的第四哈希值与所述第三哈希值不一致时,所述mme接收所述ue发送的nas安全模式完成消息,所述nas安全模式完成消息中携带ue能力信息。
可选的,所述第一验证匹配信息为所述mme已经接收到的ue能力信息,所述nas安全模式命令消息还包括所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第五nas-mac。
可选的,所述方法还包括:
在所述ue生成的所述nas安全模式命令消息的第六nas-mac与所述第五nas-mac一致、所述mme回传的所述ue能力信息中所包括的ue安全能力与所述ue发送给所述mme的ue安全能力一致且在所述ue确定所述mme已经接收到的所述ue能力信息中除所述ue安全能力外的其它能力与所述ue发送给所述mme的不一致时,所述mme接收所述ue发送的nas安全模式完成消息,所述nas安全模式完成消息中携带ue能力信息。
可选的,所述所述nas安全模式命令消息包括:所述mme接收到的ue安全能力、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第七nas-mac。
可选的,所述方法还包括:
所述mme接收所述ue发送的nas安全模式完成消息,所述nas安全模式完成消息中携带第二验证匹配信息以及所述nas安全模式完成消息的nas-mac;
可选的,所述第二验证匹配信息包括:
所述ue已经向所述mme发送的附着请求消息的哈希值;或者,
所述ue已经向所述mme发送的ue能力信息的哈希值。
可选的,所述第二验证匹配信息包括:所述ue的ue能力信息。
可选的,所述方法还包括:
若所述mme确定所述mme已经接收到的所述ue能力信息与所述ue发送的不一致,则所述mme向所述ue发送下行nas传输消息,所述下行nas传输消息中携带ue能力信息请求消息或者请求所述ue重新发送附着请求消息的请求消息;
所述mme接收所述ue发送的上行信息传输消息,所述上行信息传输消息中携带所述ue能力信息或附着请求消息。
可选的,所述方法还包括:
若所述mme确定所述mme已经接收到的所述ue能力信息与所述ue发送的不一致,则所述mme向所述ue发送ue信息请求消息,所述ue信息请求消息携带ue能力信息请求消息或者请求所述ue重新发送附着请求消息的请求消息;
所述mme接收所述ue发送的ue信息应答消息,所述ue信息应答消息中携带ue能力信息或附着请求消息。
第三方面,本发明实施例提供了一种移动通信装置,所述装置部署于ue中,包括:
接收模块,用于接收来自移动管理实体mme的非接入层nas安全模式命令消息,所述nas安全模式命令消息中携带用于对所述mme已经接收到的ue能力信息进行验证的第一验证匹配信息;
验证模块,用于根据所述第一验证匹配信息,确定所述mme已经接收到的ue能力信息是否与所述ue发送给所述mme的ue能力信息一致;
第一发送模块,用于mme已经接收到的ue能力信息与所述ue发送给所述mme的ue能力信息一致时,向所述mme发送nas安全模式完成消息。
可选的,所述第一验证匹配信息为所述mme向所述ue发送所述nas安全模式命令消息前已经接收到的附着请求消息的第一哈希值,所述nas安全模式命令消息还包括所述mme对已经接收到的所述附着请求消息进行哈希计算所采用的哈希算法、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第一非接入层消息认证码nas-mac;
所述验证模块,具体用于:
计算所述ue接收到的所述nas安全模式命令消息的第二nas-mac;
确定第二nas-mac是否与所述第一nas-mac一致;
若一致,根据哈希算法,计算所述ue发送给所述mme的附着请求消息的第二哈希值;
确定所述二哈希值是否与所述第一哈希值一致;
所述第一发送模块,具体用于所述二哈希值与所述第一哈希值一致且所述第二nas-mac与所述第一nas-mac一致时,向所述mme发送nas安全模式完成消息。
可选的,所述nas安全模式命令消息中还包括:所述mme回传的ue安全能力;
所述验证模块,还用于:
确定所述mme回传的ue安全能力是否与所述ue发送给所述mme的ue安全能力一致;
所述第一发送模块,具体用于:
若所述第二哈希值与所述第一哈希值一致、所述第二nas-mac与所述第一nas-mac一致且所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致,则向所述mme发送nas安全模式完成消息。
可选的,所述第一发送模块,还用于:
若所述第二哈希值、所述第二nas-mac以及所述mme回传的ue安全能力中的至少一项验证失败,则向所述mme发送nas安全模式失败消息;
或者,
还用于:若所述第二nas-mac与所述第一nas-mac一致、所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致且所述第二哈希值与所述第一哈希值不一致,则向所述mme发送nas安全模式完成消息,该nas安全模式完成消息中携带附着请求消息。
可选的,所述第一验证匹配信息为所述mme已经接收到的ue能力信息的第三哈希值,所述nas安全模式命令消息还包括所述mme对已经接收到的ue能力信息进行哈希计算所所采用的哈希算法、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第三nas-mac;
所述验证模块,具体用于:
计算所述ue接收到的所述nas安全模式命令消息的第四nas-mac;
确定所述第四nas-mac是否与所述第三nas-mac一致;
若一致,根据哈希算法,计算所述ue发送给所述mme的ue能力信息的第四哈希值;
确定所述二哈希值是否与所述第三哈希值一致;
所述第一发送模块,具体用于若一致,则所述ue向所述mme发送nas安全模式完成消息。
可选的,所述nas安全模式命令消息中还包括:所述mme回传的ue安全能力;
所述验证模块,还用于:
确定所述mme回传的ue安全能力是否与所述ue发送给所述mme的ue安全能力一致;
所述第一发送模块,具体用于:
若所述第四哈希值与所述第三哈希值一致、所述第四nas-mac与所述第三nas-mac一致且所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致,则向所述mme发送nas安全模式完成消息。
可选的,所述第一发送模块,还用于:
若所述第四哈希值、所述第四nas-mac以及所述mme回传的ue安全能力中的至少一项验证失败,则所述ue向所述mme发送nas安全模式失败消息;
或者,
所述第一发送模块,还用于若所述第四nas-mac与所述第三nas-mac一致、所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致且所述第四哈希值与所述第三哈希值不一致,则所述ue向所述mme发送nas安全模式完成消息,所述nas安全模式完成消息中携带ue能力信息。
可选的,所述第一验证匹配信息为所述mme已经接收到的ue能力信息,所述nas安全模式命令消息还包括所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第五nas-mac;
所述验证模块,具体用于:
计算所述ue接收到的所述nas安全模式命令消息的第六nas-mac;
所述ue确定所述第六nas-mac是否与所述第五nas-mac一致;
确定所述mme已经接收到的ue能力信息是否与所述ue发送给所述mme的ue能力信息一致;
所述第一发送模块,具体用于若一致,则向所述mme发送nas安全模式完成消息。
可选的,所述验证模块,具体用于:
确定所述第六nas-mac是否与所述第五nas-mac一致;
若一致,确定所述mme已经接收到的所述ue能力信息中所包括的ue安全能力是否与所述ue发送给所述mme的ue安全能力一致;
若一致,则所述ue确定所述mme接收到的所述ue能力信息中除所述ue安全能力外的其它能力是否分别与所述ue发送给所述mme的一致;
所述第一发送模块,具体用于若一致,则向所述mme发送nas安全模式完成消息。
可选的,所述第一发送模块还用于:
若所述mme已经接收到的所述ue能力信息中除所述ue安全能力外的其它能力与所述ue发送给所述mme的不一致,则向所述mme发送nas安全模式完成消息,所述nas安全模式完成消息中携带ue能力信息。
可选的,所述nas安全模式命令消息包括:所述mme接收到的ue安全能力、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第七nas-mac;
所述验证模块,具体用于:
计算所述ue接收到的所述nas安全模式命令消息的第八nas-mac;
确定所述第八nas-mac是否与所述第七nas-mac一致,若一致,确定所述mme接收到的ue安全能力是否与所述ue发送给所述mme的ue安全能力一致;
所述第一发送模块,具体用于若一致,则向所述mme发送nas安全模式完成消息,所述nas安全模式完成消息中携带第二验证匹配信息以及所述nas安全模式完成消息的nas-mac。
可选的,所述第二验证匹配信息包括:
所述ue已经向所述mme发送的附着请求消息的哈希值;或者,
所述ue已经向所述mme发送的ue能力信息的哈希值。
可选的,所述第二验证匹配信息包括:所述ue的ue能力信息。
可选的,所述接收模块,还用于所述第一发送模块向所述mme发送nas安全模式完成消息之后,接收所述mme发送的下行nas传输消息,所述下行nas传输消息中携带ue能力信息请求消息或者请求所述ue重新发送附着请求消息的请求消息;
所述第一发送模块,还用于向所述mme发送上行信息传输消息,所述上行信息传输消息中携带所述ue能力信息或附着请求消息。
可选的,所述接收模块还用于:
所述第一发送模块向所述mme发送nas安全模式完成消息之后,接收所述mme发送的ue信息请求消息,所述ue信息请求消息携带ue能力信息请求消息或者请求所述ue重新发送附着请求消息的请求消息;
所述第一发送模块,还用于向所述mme发送ue信息应答消息,所述ue信息应答消息中携带ue能力信息或附着请求消息。
第四方面,本发明实施例提供了一种移动通信装置,所述装置部署于mme中,包括:
第二发送模块,用于向ue发送nas安全模式命令消息,所述nas安全模式命令消息中携带所述第一验证匹配信息,用于所述ue根据所述第一验证匹配信息,确定所述mme已经接收到的ue能力信息是否与所述ue发送给所述mme的ue能力信息一致;若一致,则所述ue向所述mme发送nas安全模式完成消息。
可选的,所述第一验证匹配信息为所述mme已经接收到的附着请求消息的第一哈希值,所述nas安全模式命令消息还包括所述mme对已经接收到的所述附着请求消息进行哈希计算所采用的哈希算法、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第一非接入层消息认证nas-mac。
可选的,所述nas安全模式命令消息中还包括:所述mme已经接收到的ue安全能力。
可选的,所述装置还包括:第一接收模块,用于:
在所述ue生成的所述nas安全模式命令的第二nas-mac与所述第一nas-mac一致、所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致且所述ue生成的附着请求消息的第二哈希值与所述第一哈希值不一致时,接收所述ue发送的nas安全模式完成消息,其中所述nas安全模式完成消息中携带附着请求消息。
可选的,所述第一验证匹配信息为所述mme已经接收到的ue能力信息的第三哈希值,所述nas安全模式命令消息还包括所述mme对已经接收到的ue能力信息进行哈希计算所所采用的哈希算法、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第三nas-mac。
可选的,所述nas安全模式命令消息中还包括:所述mme已经接收到的ue安全能力。
可选的,所述装置还包括:第二接收模块,用于:
在所述ue生成的所述nas安全模式命令消息的第四nas-mac与所述第三nas-mac一致、所述mme回传的ue安全能力与所述ue发送给所述mme的ue安全能力一致且所述ue生成的ue能力信息的第四哈希值与所述第三哈希值不一致时,接收所述ue发送的nas安全模式完成消息,所述nas安全模式完成消息中携带ue能力信息。
可选的,所述第一验证匹配信息为所述mme已经接收到的ue能力信息,所述nas安全模式命令消息还包括所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第五nas-mac。
可选的,所述装置还包括:第三接收模块,用于:
在所述ue生成的所述nas安全模式命令消息的第六nas-mac与所述第五nas-mac一致、所述mme已经接收到的所述ue能力信息中所包括的ue安全能力与所述ue发送给所述mme的ue安全能力一致且在所述ue确定所述mme已经接收到的所述ue能力信息中除所述ue安全能力外的其它能力与所述ue发送给所述mme的不一致时,接收所述ue发送的nas安全模式完成消息,所述nas安全模式完成消息中携带ue能力信息。
可选的,所述所述nas安全模式命令消息包括:所述mme接收到的ue安全能力、所述mme所采用的完整性算法、秘钥标识以及所述nas安全模式命令消息的第七nas-mac。
可选的,所述装置还包括:第四接收模块,用于接收所述ue发送的nas安全模式完成消息,所述nas安全模式完成消息中携带第二验证匹配信息以及所述nas安全模式完成消息的nas-mac;
可选的,所述第二验证匹配信息包括:
所述ue已经向所述mme发送的附着请求消息的哈希值;或者,
所述ue已经向所述mme发送的ue能力信息的哈希值。
可选的,所述第二验证匹配信息包括:所述ue的ue能力信息。
可选的,所述第二发送模块,还用于若所述mme已经接收到的所述ue能力信息与所述ue发送的不一致,则向所述ue发送下行nas传输消息,所述下行nas传输消息中携带ue能力信息请求消息或者请求所述ue重新发送附着请求消息的请求消息;
所述第四接收模块,还用于接收所述ue发送的上行信息传输消息,所述上行信息传输消息中携带所述ue能力信息或附着请求消息。
可选的,所述第二发送模块还用于:若所述mme确定所述mme已经接收到的所述ue能力信息与所述ue发送的不一致,则向所述ue发送ue信息请求消息,所述ue信息请求消息携带ue能力信息请求消息或者请求所述ue重新发送附着请求消息的请求消息;
所述第四接收模块,还用于接收所述ue发送的ue信息应答消息,所述ue信息应答消息中携带ue能力信息或附着请求消息。
第五方面,本发明实施例提供了一种移动通信设备,所述设备部署于ue中,包括:
通信接口、存储器、处理器和通信总线,其中,所述通信接口、所述存储器和所述处理器通过所述通信总线通信;
所述存储器用于存放程序,所述处理器用于执行所述存储器存储的程序;当所述移动通信设备运行时,所述处理器运行程序,所述程序包括:
接收来自移动管理实体mme的非接入层nas安全模式命令消息,所述nas安全模式命令消息中携带用于对所述mme已经接收到的ue能力信息进行验证的第一验证匹配信息;
根据所述第一验证匹配信息,确定所述mme已经接收到的ue能力信息是否与所述ue发送给所述mme的ue能力信息一致;
若一致,则向所述mme发送nas安全模式完成消息。
第六方面,本发明实施例提供了一种移动通信设备,所述设备部署于mme中,包括:
通信接口、存储器、处理器和通信总线,其中,所述通信接口、所述存储器和所述处理器通过所述通信总线通信;
所述存储器用于存放程序,所述处理器用于执行所述存储器存储的程序;当所述移动通信设备运行时,所述处理器运行程序,所述程序包括:
向ue发送nas安全模式命令消息,所述nas安全模式命令消息中携带第一验证匹配信息,用于所述ue根据所述第一验证匹配信息,确定所述mme已经接收到的ue能力信息是否与所述ue发送给所述mme的ue能力信息一致;若一致,则所述ue向所述mme发送nas安全模式完成消息。
本发明实施例方法,ue根据接收到的第一验证匹配消息验证mme已经接收到的ue能力信息是否与ue发送给mme的ue能力信息一致,可见本发明实施例中通过mme回传验证匹配消息,ue对mme接收到的ue能力信息进行验证的方式,确保mme拥有正确的ue能力信息,解决附着(attach)流程中附着请求(attachrequest)消息没有nas安全上下文保护,攻击者可能修改ue能力信息,mme无法获取正确的ue能力而造成的dos攻击问题,其中,dos是denialofservice的简称,即拒绝服务,造成dos的攻击行为被称为dos攻击。
附图说明
图1示出了本发明实施例一移动通信方法的流程图;
图2示出了本发明实施例二移动通信方法的流程图;
图3示出了本发明实施例三移动通信方法的流程图;
图4示出了本发明实施例四移动通信方法的流程图;
图5示出了本发明实施例五移动通信方法的流程图;
图6示出了本发明实施例六移动通信方法的流程图;
图7示出了本发明实施例七移动通信方法的流程图;
图8示出了本发明实施例八移动通信方法的流程图;
图9示出了本发明实施例九移动通信方法的流程图;
图10示出了本发明实施例十移动通信方法的流程图;
图11示出了本发明实施例十一移动通信方法的流程图;
图12示出了本发明实施例十二移动通信方法的流程图;
图13示出了本发明实施例十五移动通信方法的流程图;
图14示出了本发明实施例十六移动通信方法的流程图;
图15示出了本发明实施例一移动通信装置的结构示意图;
图16示出了本发明实施例二移动通信装置的结构示意图;
图17示出了本发明实施例一移动通信设备的结构示意图;
图18示出了本发明实施例二移动通信设备的结构示意图。
具体实施方式
图1示出了本发明实施例一移动通信方法的流程图。如图1所示,本发明实施例一的主要处理步骤包括:
步骤s11:ue接收来自mme的nas(non-accessstratum,非接入层)安全模式命令(nassecuritymodecommand)消息,其中,nas安全模式命令消息中携带用于对mme已经接收到的ue能力信息进行验证的第一验证匹配信息。
ue的附着流程中,ue通过enb向mme发送附着请求(attachrequest)消息,其中在附着请求消息中携带ue能力(uecapability)信息。
具体的ue能力信息包括:ue网络能力(uenetworkcapability),ue网络能力即为ue安全能力、移动台网络能力(msnetworkcapability,其中ms的英文全拼为mobilestation,中文名称为移动台)、移动台等级2(mobilestationclassmark2)、移动台等级3(mobilestationclassmark3)、支持的编解码器(supportedcodecs)、附加更新类型(additionalupdatetype)、语音域优先级和用户使用设置(voicedomainpreferenceandue'susagesetting)、移动台网络功能支持(msnetworkfeaturesupport)。
由于ue发送给mme的附着请求消息可能没有完整性保护,由此可能会受到中间人攻击,使得mme接收到的附着请求消息中的ue能力信息,与ue发送给mme的不一致,使得mme无法获取到正确的ue能力信息。
为了确保mme能够得到正确的ue能力信息,mme在nas安全激活过程中通过nas安全模式命令消息向ue发送第一验证匹配信息,用于ue根据第一验证匹配信息确定mme已经接收到的ue能力信息是否与ue发送的一致。
步骤s12:ue根据第一验证匹配信息,确定mme已经接收到的ue能力信息是否与ue发送给mme的ue能力信息一致。
步骤s13:若一致,则ue向mme发送nas安全模式完成消息。
本发明实施例方法,ue根据接收到的第一验证匹配消息验证mme已经接收到的ue能力信息是否与ue发送给mme的ue能力信息一致,可见本发明实施例中通过mme回传验证匹配消息,ue对mme接收到的ue能力信息进行验证的方式,确保mme拥有正确的ue能力信息,解决附着(attach)流程中附着请求(attachrequest)消息没有nas安全上下文保护,攻击者可能修改ue能力信息,mme无法获取正确的ue能力而造成的dos攻击问题,其中,dos是denialofservice的简称,即拒绝服务,造成dos的攻击行为被称为dos攻击。
本发明实施例一的上述方法中,第一验证匹配信息可以有多种不同的实现方式,以下将结合具体实施例进行说明。
图2示出了本发明实施例二移动通信方法的流程图,本方法中,mme对接收到的附着请求消息进行哈希计算得到附着请求消息的哈希值,并通过nas安全模式命令消息将附着请求消息的哈希值发送给ue,以通过ue对附着请求消息哈希值的验证,确定mme接收到的ue能力信息是否与ue发送给mme的一致,如图2所示,本方法的主要处理步骤包括:
步骤s21:ue接收来自mme的nas安全模式命令消息。
其中,nas安全模式命令消息中携带的第一验证匹配消息为mme对在附着流程中接收到的附着请求消息进行哈希计算得到附着请求消息的第一哈希值,nas安全模式命令消息还包括mme对已经接收到的附着请求消息进行哈希计算所采用的哈希算法(可选携带)、mme所采用的完整性算法、密钥标识以及nas安全模式命令消息的第一nas-mac(non-accessstratumuessageauthenticationcode,非接入层消息认证码),其中,第一nas-mac用于对nas安全模式命令消息的完整性进行保护。
进一步,nas安全模式命令消息中还可以包括mme及ue均支持的一种加密算法、可选携带可选携带的[imei(internationalmobileequipmentidentity,国际移动设备标识)请求]以及可选携带的用于空闲移动安全上下文映射的[nonceue、noncemme],其中,nonceue为ue选择的随机数,noncemme指mme选择的的随机数。
步骤s22:ue计算ue接收到的nas安全模式命令消息的第二nas-mac。
本步骤中,ue采用mme对发送的nas安全模式命令消息进行完整性保护的方式,对ue接收到的nas安全模式命令消息进行计算,得到第二nas-mac。
若nas安全模式命令消息在发送过程中未受到中间人攻击,则第一nas-mac会与第二nas-mac一致。
步骤s23:ue确定第二nas-mac是否与第一nas-mac一致,若一致,执行步骤s24,若不一致,执行步骤s27。
步骤s24:ue根据哈希算法,计算ue发送给mme的附着请求消息的第二哈希值。
ue采用哈希算法对ue在附着流程中发送给mme的附着请求消息进行哈希计算,若在附着流程中附着请求消息未受到中间人修改,则ue计算得到的第二哈希值会与nas安全模式命令消息中的第一哈希值一致。
进一步,本发明实施例中在nas安全模式命令消息中携带附着请求消息的哈希值,可以缩短附着请求消息长度,提高信息发送速率。
步骤s25:ue确定第二哈希值是否与第一哈希值一致,若一致,执行步骤s26,否则执行步骤s27。
步骤s26:ue向mme发送nas安全模式完成(nassecuritymodecomplete)消息。
其中,在nas安全模式完成消息中可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac。
步骤s27:ue向mme发送nas安全模式失败(nassecuritymodereject)消息。
本实施例中,ue对接收到的nas安全模式命令消息的完整性以及mme接收到的附着请求消息的哈希值进行验证,当上述第二哈希值与第一哈希值一致且第二nas-mac与第一nas-mac一致时,ue确定ue接收到的nas安全模式命令消息未被修改,mme在ue附着流程接收到的附着请求消息与ue发送给mme的一致,从而确保mme接收到的附着请求消息中的ue能力信息与ue发送的ue能力信息一致。
当附着请求消息的哈希值以及nas-mac的完整性校验至少有一个失败时,说明mme接收到的附着请求以及nas安全模式命令消息至少有一个受到攻击被修改,此时ue向mme发送nassecuritymodereject消息。
本实施例中,ue通过对mme的附着请求消息的哈希值的验证实现对mme接收到的ue能力的验证,确保mme接收到的ue能力信息为正确的ue能力信息。
本实施例中,第一验证匹配消息在传输时可以占用现有规范中mme回传ue安全能力的ie(informationelement,信息单元),也可以使用一个新的ie进行传输。
图3示出了本发明实施例三移动通信方法的流程图,本方法中,mme将接收到的ue安全能力以及附着请求消息的哈希值通过nas安全模式命令消息发送给ue,以通过ue对附着请求消息哈希值以及ue安全能力的验证,确定mme接收到的ue能力信息是否与ue发送给mme的一致,如图3所示,本方法的主要处理步骤包括:
步骤s31:ue接收来自mme的nas安全模式命令消息。
其中,nas安全模式命令消息携带的第一验证匹配消息为mme对在附着流程中接收到的附着请求消息进行哈希计算得到附着请求消息的第一哈希值,nas安全模式命令消息还包括mme在附着流程中接收到的ue安全能力、mme对已经接收到的附着请求消息进行哈希计算所采用的哈希算法(可选携带)、mme及ue均支持的一种完整性算法、秘钥标识以及nas安全模式命令消息的第一nas-mac,第一nas-mac用于对nas安全模式命令消息的完整性进行保护。
进一步,在安全模式命令消息中还可以包括mme及ue均支持的一种加密算法、可选携带的还可以包括[imei(internationalmobileequipmentidentity,国际移动设备标识)请求]以及可选携带的[nonceue、noncemme],其中,nonceue为ue选择的随机数,noncemme为mme选择的随机数。
步骤s32:ue计算ue接收到的nas安全模式命令消息的第二nas-mac。
本步骤中,ue采用mme对发送的nas安全模式命令消息进行完整性保护的方式,对ue接收到的nas安全模式命令消息进行计算,得到第二nas-mac。
若nas安全模式命令消息在发送过程中未受到中间人攻击,则第一nas-mac会与第二nas-mac一致。
步骤s33:ue确定第二nas-mac是否与第一nas-mac一致,若一致,执行步骤s34,若不一致,执行步骤s36。
步骤s34:ue根据哈希算法,计算ue发送给mme的附着请求消息的第二哈希值,确定第二哈希值是否与第一哈希值一致、mme回传的ue安全能力是否与ue发送给mme的ue安全能力一致,(哈希值的计算、哈希值的确认、ue安全能力的确认顺序不进行限定),若均一致,执行步骤s35,否则执行步骤s36。
ue采用哈希算法对ue在附着流程中发送给mme的附着请求消息进行哈希计算,若在附着流程中附着请求消息未受到中间人修改,则ue计算得到的第二哈希值会与nas安全模式命令消息中的第一哈希值一致。
进一步,本发明实施例中在nas安全模式命令消息中携带附着请求消息的哈希值,可以缩短附着请求消息长度,提高信息发送速率。
步骤s35:ue向mme发送nas安全模式完成消息。
其中,在nas安全模式完成消息中可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac。
步骤s36:ue向mme发送nas安全模式失败消息。
本发明实施例中,ue通过对mme收到的附着请求消息的哈希值以及ue安全能力进行验证实现对mme接收到的ue能力的验证,确保mme接收到的ue能力信息为正确的ue能力信息,本发明实施例中,第一验证匹配消息只能使用一个新的ie进行传输。
图4示出了本发明实施例四移动通信方法的流程图,本方法中,mme将接收到的ue安全能力以及附着请求消息的哈希值通过nas安全模式命令消息发送给ue,以通过ue对附着请求消息哈希值以及ue安全能力的验证,确定mme接收到的ue能力信息是否与ue发送给mme的一致,如图4所示,本方法的主要处理步骤包括:
步骤s41:ue接收来自mme的nas安全模式命令消息。
其中,nas安全模式命令消息携带的第一验证匹配消息为mme对在附着流程中接收到的附着请求消息进行哈希计算得到附着请求消息的第一哈希值,nas安全模式命令消息还包括mme在附着流程中接收到的ue安全能力、mme对已经接收到的附着请求消息进行哈希计算所采用的哈希算法(可选携带)、mme采用的完整性算法、秘钥标识以及nas安全模式命令消息的第一nas-mac,第一nas-mac用于对nas安全模式命令消息的完整性进行保护。
进一步,在安全模式命令消息中还可以包括mme及ue均支持的一种加密算法、可选携带的[imei(internationalmobileequipmentidentity,国际移动设备标识)请求]以及可选携带的[nonceue、noncemme],其中,nonceue为ue选择的随机数,noncemme指mme选择的随机数。
步骤s42:ue计算ue接收到的nas安全模式命令消息的第二nas-mac。
步骤s43:ue确定第二nas-mac是否与第一nas-mac一致,若一致,执行步骤s44,若不一致,执行步骤s48。
步骤s44:ue确定mme回传的ue安全能力是否与ue发送给mme的ue安全能力一致,若一致,执行步骤s45,否则执行步骤s48。
步骤s45:ue确定第二哈希值是否与第一哈希值一致,若一致,执行步骤s46,若不一致,执行步骤s47。
本发明实施例中,第二哈希值的计算与上述实施例相同,不再赘述。
步骤s46:ue向mme发送nas安全模式完成消息。
其中,在nas安全模式完成消息中可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac。
步骤s47:ue向mme发送nas安全模式完成消息,该消息中携带附着请求消息或者ue能力。本步骤发送的nas安全模式完成消息中除携带附着请求消息外还可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac。
步骤s48:ue向mme发送nas安全模式失败消息。
本实施例中,当ue安全能力和nas-mac的完整性验证成功后,实际上ue和mme之间已经建立nas安全上下文了,所以当附着请求消息的哈希值的完整性验证失败时,直接在有完整性保护的nassecuritymodecomplete消息中重新上传attachrequest的内容即可,这也是与实施例三不同之处,实施例三采取的方式是:即使uesecuritycapabilities和nas-mac的完整性验证成功ue和mme之间已经建立nas安全上下文了,如果attachrequest消息的哈希值的完整性验证失败,ue也要发送nassecuritymodereject消息。
本发明实施例中,第一验证匹配消息只能使用一个新的ie进行传输。
图5示出了本发明实施例五移动通信方法的流程图,本方法中,mme对接收到的ue能力信息进行哈希计算得到ue能力的哈希值,并通过nas安全模式命令消息将ue能力信息的哈希值发送给ue,以通过ue对ue能力哈希值的验证,确定mme接收到的ue能力信息是否与ue发送给mme的一致,如图5所示,本方法的主要处理步骤包括:
步骤s51:ue接收来自mme的nas安全模式命令消息。
其中,nas安全模式命令消息携带的第一验证匹配消息为mme对在附着流程中接收到的ue能力信息进行哈希计算得到ue能力信息的第三哈希值,nas安全模式命令消息还包括mme对已经接收到的ue能力信息进行哈希计算所采用的哈希算法(可选携带)、mme及ue均支持的一种完整性算法、秘钥标识以及nas安全模式命令消息的第三nas-mac(non-accessstratumuessageauthenticationcode,非接入层消息认证码),其中,第三nas-mac用于对nas安全模式命令消息的完整性进行保护。
进一步,在安全模式命令消息中还可以包括mme及ue均支持的一种加密算法、可选携带的[imei(internationalmobileequipmentidentity,国际移动设备标识)请求]以及可选携带的[nonceue、noncemme],其中,nonceue为ue选择的随机数,noncemme指mme选择的随机数。
步骤s52:ue计算ue接收到的nas安全模式命令消息的第四nas-mac。
本步骤中,ue采用mme对发送的nas安全模式命令消息进行完整性保护的方式,对ue接收到的nas安全模式命令消息进行计算,得到第四nas-mac。
若nas安全模式命令消息在发送过程中未受到中间人攻击,则第三nas-mac会与第四nas-mac一致。
步骤s53:ue确定第四nas-mac是否与第三nas-mac一致,若一致,执行步骤s54,否则,执行步骤s57。
步骤s54:ue根据哈希算法,计算ue发送给mme的ue能力信息的第四哈希值。
ue采用哈希算法对ue在附着流程中发送给mme的ue能力信息进行哈希计算,若在附着流程中ue能力信息中的ue能力信息未受到中间人修改,则ue计算得到的第四哈希值会与nas安全模式命令消息中的第三哈希值一致。
进一步,本发明实施例中在nas安全模式命令消息中携带ue能力信息的哈希值,可以缩短ue能力信息长度,提高信息发送速率。
步骤s55:ue确定第四哈希值是否与第三哈希值一致,若一致,执行步骤s56,否则执行步骤s57。
步骤s56:ue向mme发送nas安全模式完成(nassecuritymodecomplete)消息。
其中,在nas安全模式完成消息中可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac。
步骤s57:ue向mme发送nas安全模式失败(nassecuritymodereject)消息。
本实施例中,ue对接收到的nas安全模式命令消息的完整性以及mme接收到的ue能力信息的哈希值进行验证,当上述第四哈希值与第三哈希值一致且第四nas-mac与第三nas-mac一致时,ue确定ue接收到的nas安全模式命令消息未被修改,mme在ue附着流程接收到的ue能力信息与ue发送给mme的一致,从而确保mme接收到的ue能力信息中与ue发送的ue能力信息一致。
当ue能力信息的哈希值以及nas-mac的完整性校验至少有一个失败时,说明mme接收到的ue能力信息以及nas安全模式命令至少有一个受到攻击被修改,此时ue向mme发送nassecuritymodereject消息。
本实施例中,ue通过对mme的ue能力信息的哈希值的验证实现对mme接收到的ue能力信息的验证,确保mme接收到的ue能力信息为正确的ue能力信息,
本实施例中,第一验证匹配消息在传输时可以占用现有规范中mme回传ue安全能力的ie,也可以使用一个新的ie进行传输。
图6示出了本发明实施例六移动通信方法的流程图,本方法中,mme将接收到的ue安全能力以及ue能力信息的哈希值通过nas安全模式命令消息发送给ue,以通过ue对ue能力信息哈希值以及ue安全能力的验证,确定mme接收到的ue能力信息是否与ue发送给mme的一致,如图6所示,本方法的主要处理步骤包括:
步骤s61:ue接收来自mme的nas安全模式命令消息。
其中,nas安全模式命令消息携带的第一验证匹配消息为mme对在附着流程中接收到的ue能力信息进行哈希计算得到ue能力信息的第三哈希值,nas安全模式命令消息还包括mme在附着流程中接收到的ue安全能力、mme对已经接收到的ue能力信息进行哈希计算所采用的哈希算法(可选携带)、mme及ue均支持的一种完整性算法、秘钥标识以及nas安全模式命令消息的第三nas-mac,第三nas-mac用于对nas安全模式命令消息的完整性进行保护。
进一步,在安全模式命令消息中还可以包括mme及ue均支持的一种加密算法、可选携带的[imei(internationalmobileequipmentidentity,国际移动设备标识)请求]以及可选携带的[nonceue、noncemme],其中,nonceue为ue选择的随机数,noncemme指mme选择的随机数。
步骤s62:ue计算ue接收到的nas安全模式命令消息的第四nas-mac。
本步骤中,ue采用mme对发送的nas安全模式命令消息进行完整性保护的方式,对ue接收到的nas安全模式命令消息进行计算,得到第四nas-mac。
若nas安全模式命令消息在发送过程中未受到中间人攻击,则第三nas-mac会与第四nas-mac一致。
步骤s63:ue确定第四nas-mac是否与第三nas-mac一致,若一致,执行步骤s64,否则,执行步骤s66。
步骤s64:ue根据哈希算法,计算ue发送给mme的ue能力信息的第四哈希值,确定第四哈希值是否与第三哈希值一致、mme回传的ue安全能力是否与ue发送给mme的ue安全能力一致(哈希值的计算、哈希值的确认、ue安全能力的确认顺序不规定),若均一致,执行步骤s65,否则执行步骤s66。
步骤s65:ue向mme发送nas安全模式完成消息。
其中,在nas安全模式完成消息中可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac。
步骤s66:ue向mme发送nas安全模式失败消息。
本发明实施例中,ue通过对mme的ue能力信息的哈希值以及ue安全能力进行验证实现对mme接收到的ue能力的验证,确保mme接收到的ue能力信息为正确的ue能力信息本发明实施例中,第一验证匹配消息只能使用一个新的ie进行传输。
图7示出了本发明实施例七移动通信方法的流程图,本方法中,mme将接收到的ue安全能力以及ue能力信息的哈希值通过nas安全模式命令消息发送给ue,以通过ue对ue能力信息哈希值以及ue安全能力的验证,确定mme接收到的ue能力信息是否与ue发送给mme的一致,如图7所示,本方法的主要处理步骤包括:
步骤s71:ue接收来自mme的nas安全模式命令消息。
其中,nas安全模式命令消息携带的第一验证匹配消息为mme对在附着流程中接收到的ue能力信息进行哈希计算得到ue能力信息的第三哈希值,nas安全模式命令消息还包括mme在附着流程中接收到的ue安全能力、mme对已经接收到的ue能力信息进行哈希计算所采用的哈希算法(可选携带)、mme及ue均支持的一种完整性算法、秘钥标识以及nas安全模式命令消息的第三nas-mac,第三nas-mac用于对nas安全模式命令消息的完整性进行保护。
进一步,在安全模式命令消息中还可以包括mme及ue均支持的一种加密算法、可选携带的[imei(internationalmobileequipmentidentity,国际移动设备标识)请求]以及可选携带的[nonceue、noncemme]。
步骤s72:ue计算ue接收到的nas安全模式命令消息的第四nas-mac。
步骤s73:ue确定第四nas-mac是否与第三nas-mac一致,若一致,执行步骤s74,否则,执行步骤s78。
步骤s74:ue确定mme回传的ue安全能力是否与ue发送给mme的ue安全能力一致,若一致,执行步骤s75,否则执行步骤s78。
步骤s75:ue确定第四哈希值是否与第三哈希值一致,若一致,执行步骤s76,若不一致,执行步骤s77。
步骤s76:ue向mme发送nas安全模式完成消息。
其中,在nas安全模式完成消息中可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac。
步骤s77:ue向mme发送nas安全模式完成消息,该消息中携带ue能力信息。
本步骤发送的nas安全模式完成消息除携带ue能力信息外还可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac。
步骤s78:ue向mme发送nas安全模式失败消息。
本发明实施例中,第一验证匹配消息只能使用一个新的ie进行传输。
图8示出了本发明实施例八移动通信方法的流程图,本方法中,mme通过nas安全模式命令消息将在附着流程中接收到的ue能力信息发送给ue,以通过ue实现对ue能力信息的验证,如图8所示,本方法的主要处理步骤包括:
步骤s81:ue接收来自mme的nas安全模式命令消息。
其中,nas安全模式命令消息携带的第一验证匹配消息为mme在附着流程中已经接收到的ue能力信息,nas安全模式命令消息还包括mme及ue均支持的一种完整性算法、秘钥标识以及nas安全模式命令消息的第五nas-mac。
进一步,在安全模式命令消息中还可以包括mme及ue均支持的一种加密算法、可选携带的[imei(internationalmobileequipmentidentity,国际移动设备标识)请求]以及可选携带的[nonceue、noncemme],其中,nonceue为ue选择的随机数,noncemme指mme选择的随机数。
步骤s82:ue计算ue接收到的nas安全模式命令消息的第六nas-mac。
步骤s83:ue确定第六nas-mac是否与第五nas-mac一致,若一致,执行步骤s84,否则,执行步骤s86。
步骤s84:ue确定mme已经接收到的ue能力信息是否与ue发送给mme的ue能力信息一致。
步骤s85:若一致,则ue向mme发送nas安全模式完成消息。
其中,在nas安全模式完成消息中可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac。
步骤s86:若不一致ue向mme发送nas安全模式失败(nassecuritymodereject)消息。
本实施例中,第一验证匹配消息在传输时可以占用现有规范中mme回传ue安全能力的ie,也可以使用一个新的ie进行传输,或者第一验证匹配消息中的除了ue安全能力之外的ue能力使用一个新的ie进行传输。
图9示出了本发明实施例九移动通信方法的流程图,本方法中,mme通过nas安全模式命令消息将在附着流程中接收到的ue能力信息发送给ue,以通过ue实现ue能力信息的验证,如图9所示,本方法的主要处理步骤包括:
步骤s91:ue接收来自mme的nas安全模式命令消息。
其中,nas安全模式命令消息携带的第一验证匹配消息为mme在附着流程中已经接收到的ue能力信息,nas安全模式命令消息还包括mme及ue均支持的一种完整性算法、秘钥标识以及nas安全模式命令消息的第五nas-mac。
进一步,在安全模式命令消息中还可以包括mme及ue均支持的一种加密算法、可选携带的[imei(internationalmobileequipmentidentity,国际移动设备标识)请求]以及可选携带的[nonceue、noncemme],其中,nonceue为ue选择的随机数,noncemme指mme选择的随机数。
步骤s92:ue计算ue接收到的nas安全模式命令消息的第六nas-mac。
步骤s93:ue确定第六nas-mac是否与第五nas-mac一致,若一致,执行步骤s94,否则执行步骤s98。
步骤s94:ue确定mme回传的ue能力信息中所包括的ue安全能力是否与ue发送给mme的ue安全能力一致,若一致,执行步骤s95,否则执行步骤s98。
步骤s95:ue确定mme回传的ue能力信息中除ue安全能力外的其它能力是否分别与ue发送给mme的一致,若一致执行步骤s96,否则执行步骤s97。
步骤s96:ue向mme发送nas安全模式完成消息。
其中,在nas安全模式完成消息中可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac。
步骤s97:ue向mme发送nas安全模式完成消息,nas安全模式完成消息中携带ue能力。
本步骤发送的nas安全模式完成消息除携带ue能力信息外还可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac
步骤s98:ue向mme发送nas安全模式失败(nassecuritymodereject)消息。
本实施例中,第一验证匹配消息在传输时可以占用现有规范中mme回传ue安全能力的ie,也可以使用一个新的ie进行传输,或者第一验证匹配消息中的除了ue安全能力之外的ue能力使用一个新的ie进行传输。
图10示出了本发明实施例十移动通信方法的流程图,本方法中,ue在nas安全模式完成消息中将第二验证匹配消息发送给mme,如图10所示,本发明实施例十方法的主要处理步骤包括:
步骤s101:mme接收来自ue的nas(non-accessstratum,非接入层)安全模式完成(nassecuritymodecomplete)消息,其中,nas安全模式完成消息中携带用于对mme已经接收到的ue能力信息进行验证的第二验证匹配信息。
步骤s102:mme根据第二验证匹配信息,确定mme已经接收到的ue能力信息是否与ue发送给mme的ue能力信息一致。
本发明实施例十的上述方法中,第二验证匹配信息可以有多种不同的实现方式,以下将结合具体实施例进行说明。
图11示出了本发明实施例十一移动通信方法的流程图,本方法中,mme通过nas安全模式命令消息将在附着流程中接收到的ue安全能力信息发送给ue,如图11所示,本发明实施例十一方法的主要处理步骤包括:
步骤s111:ue接收来自mme的nas安全模式命令消息。
其中,nas安全模式命令消息中携带mme在附着流程中已经接收到的ue安全能力、mme所采用的完整性算法及可选携带的hash算法、秘钥标识以及nas安全模式命令消息的第七nas-mac。
进一步,在nas安全模式命令消息中还可以包括mme及ue均支持的一种加密算法、可选携带的[imei请求]以及可选携带的[nonceue、noncemme],其中,nonceue为ue选择的随机数,noncemme指mme选择的随机数。
步骤s112:ue计算ue接收到的nas安全模式命令消息的第八nas-mac;
步骤s113:ue确定第八nas-mac是否与第七nas-mac一致,若一致,执行步骤s114,否则,执行步骤s116。
步骤s114:ue确定mme回传的ue安全能力是否与ue发送给mme的ue安全能力一致;
步骤s115:若一致,则ue向mme发送nas安全模式完成消息,nas安全模式完成消息中携带用于mme对已接收到的ue能力信息进行验证的第二验证匹配信息以及nas安全模式完成消息的nas-mac。
本发明实施例中,当ue安全能力及nas安全模式命令消息的完整性验证成功时,向mme发送第二验证匹配消息,mme可以利用接收到的第二验证匹配信息对在附着流程中接收到的ue能力信息进行验证,确保mme获取正确的ue能力信息。
其中,ue向mme发送的第二验证匹配消息还可以为ue在附着流程中已经向mme发送的附着请求消息的哈希值;或者,ue在附着流程中已经向mme发送的ue能力信息的哈希值,除此之外,nas安全模式完成消息中可选携带ue所采用的哈希算法(可选携带)、[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac。
mme接收到ue发送的附着请求消息的哈希值或者ue能力信息的哈希值后,利用哈希算法对在附着流程中接收到的附着请求消息或ue能力信息进行哈希计算,并利用计算的结果确定mme在附着流程中接收到的附着请求消息或ue能力是否与ue发送的一致。
若不一致,则mme在nas安全激活后,请求ue重新发送ue能力信息或附着请求内容,具体实现方式包括:
方式一:
(1)mme向enb发送下行nas传输(downlinknastransport)消息,下行nas传输消息中包含ue能力请求(uecapabilityrequest)消息或附着请求内容的请求(attachrequestcontentsrequest)消息;
(2)enb向ue发送下行信息传输(downlinkinformationtransfer)消息,下行信息传输消息中包含ue能力请求(uecapabilityrequest)消息或附着请求消息的内容请求(attachrequestcontentsrequest)消息;
(3)ue向enb发送上行信息传输(uplinkinformationtransfer)消息,包含ue能力(uecapabilities)或附着请求消息的内容(attachrequestcontents);
(4)enb向mme发送上行nas传输(uplinknastransport)消息,包含ue能力(uecapabilities)或附着请求内容(attachrequestcontents);
方式二:
(1)mme向enb发送ue信息请求(ueinformationrequest)消息,ue信息请求中包含ue能力请求(uecapabilityrequest)消息或附着请求内容的请求(attachrequestcontentsrequest)消息;
(2)enb向ue发送ue信息请求(ueinformationrequest)消息;
(3)ue向enb发送ue信息响应(ueinformationresponse)消息,ue信息响应消息中携带ue能力(uecapabilities)或附着请求消息携带的内容(attachrequestcontents);
(4)enb向mme发送ue信息响应(ueinformationresponse)消息,其中ue信息响应消息中携带ue能力(uecapabilities)或附着请求消息的内容(attachrequestcontents)。
步骤s116:若不一致,ue向mme发送nas安全模式失败(nassecuritymodereject)消息。
图12示出了本发明实施例十二移动通信方法的流程图,本方法中,mme通过nas安全模式命令消息将在附着流程中接收到的ue安全能力信息发送给ue,如图12所示,本发明实施例十二的主要处理步骤包括:
步骤s121:ue接收来自mme的nas安全模式命令消息。
其中,nas安全模式命令消息中携带mme在附着流程中已经接收到的ue安全能力、mme及ue均支持的一种完整性算法、可选携带的hash算法、秘钥标识以及nas安全模式命令消息的第七nas-mac。
进一步,在nas安全模式命令消息中还可以包括mme及ue均支持的一种加密算法、可选携带的[imei请求]以及可选携带的[nonceue、noncemme]。
步骤s122:ue计算ue接收到的nas安全模式命令消息的第八nas-mac;
步骤s123:ue确定第八nas-mac是否与第七nas-mac一致,若一致则执行步骤s124,否则,执行步骤s126。
步骤s124:ue确定mme回传的ue安全能力是否与ue发送给mme的ue安全能力一致;
步骤s125:若一致,则ue向mme发送nas安全模式完成消息,nas安全模式完成消息中携带ue能力信息以及nas安全模式完成消息的nas-mac。
本发明实施例中,当ue安全能力及nas安全模式命令消息的完整性验证成功时,向mme发送ue能力信息。
进一步在nas安全模式完成消息中可选携带[imei]以及携带对nas安全模式完成消息进行安全保护的nas-mac,从而可以保证nas安全模式完成消息中的ue能力信息不被修改,保证mme获取正确的ue能力信息。
步骤s126:若不一致,ue向mme发送nas安全模式失败(nassecuritymodereject)消息。
本实施例中,ue能力信息可以放在第二验证匹配信息ie中传输,但mme直接保存该ue能力信息,不会再次进行验证该ue能力信息是否与已经收到的附着请求中的ue能力信息相同。
本发明还提供了移动通信方法的实施例十三,该实施例方法的主要处理步骤包括:mme向ue发送nas安全模式命令消息,nas安全模式命令消息中携带第一验证匹配信息,用于ue根据第一验证匹配信息,确定mme已经接收到的ue能力信息是否与ue发送给mme的ue能力信息一致;若一致,则ue向mme发送nas安全模式完成消息。
基于上述实施例十三,在其中一种实施方式中,第一验证匹配信息为mme已经接收到的附着请求消息的第一哈希值,nas安全模式命令消息还包括mme对已经接收到的附着请求消息进行哈希计算所采用的哈希算法(可选携带)、mme所采用的完整性算法、秘钥标识以及nas安全模式命令消息的第一非接入层消息认证nas-mac。
基于上述实施例十三,在其中一种实施方式中,该方法还包括:
在ue生成的nas安全模式命令消息的第二nas-mac与第一nas-mac一致、mme回传的ue安全能力与ue发送给mme的ue安全能力一致且ue生成的附着请求消息的第二哈希值与第一哈希值不一致时,mme接收ue发送的nas安全模式完成消息,其中nas安全模式完成消息中携带附着请求消息或ue能力。
基于上述实施例十三,在其中一种实施方式中,第一验证匹配信息为mme已经接收到的ue能力信息的第三哈希值,nas安全模式命令消息还包括mme对已经接收到的ue能力信息进行哈希计算所所采用的哈希算法(可选携带)、mme所采用的完整性算法、秘钥标识以及nas安全模式命令消息的第三nas-mac。
基于上述实施例十三,在其中一种实施方式中,该方法还包括:
在ue生成的第四nas-mac与第三nas-mac一致、mme回传的ue安全能力与ue发送给mme的ue安全能力一致且ue生成的ue能力信息的第四哈希值与第三哈希值不一致时,mme接收ue发送的nas安全模式完成消息,nas安全模式完成消息中携带ue能力信息。
基于上述实施例十三,在其中一种实施方式中,第一验证匹配信息为mme已经接收到的ue能力信息,nas安全模式命令消息还包括mme所采用的完整性算法、秘钥标识以及nas安全模式命令消息的第五nas-mac。
基于上述实施例十三,在其中一种实施方式中,该方法还包括:
在ue生成的第六nas-mac与第五nas-mac一致、mme已经接收到的ue能力信息中的ue安全能力与ue发送给mme的ue安全能力一致且mme已经接收到的ue能力信息中除ue安全能力外的其它能力与ue发送给mme的不一致时,ue向mme发送nas安全模式完成消息,nas安全模式完成消息中携带ue能力信息。
本发明进一步提供了移动通信方法的实施例十四,该实施例的主要处理步骤包括:
(1)mme接收来自ue的nas(non-accessstratum,非接入层)安全模式完成(nassecuritymodecomplete)消息,其中,nas安全模式完成消息中携带用于对mme已经接收到的ue能力信息进行验证的第二验证匹配信息。
(2)mme根据第二验证匹配信息,确定mme已经接收到的ue能力信息是否与ue发送给mme的ue能力信息一致。
基于上述实施例十四,在其中一种实施方式中,第二验证匹配信息包括:
ue已经向mme发送的附着请求消息的哈希值;或者,
ue已经向mme发送的ue能力信息的哈希值。
基于上述实施例十四,在其中一种实施方式中,第二验证匹配信息包括:ue已经向mme发送的ue能力信息。
基于上述实施例十四,在其中一种实施方式中,该方法还包括:
若mme在附着流程中接收到的附着请求消息或ue能力与ue发送的不一致,则mme向ue发送下行nas传输消息,下行nas传输消息中携带ue能力信息请求消息或附着请求内容请求消息;
mme接收ue发送的上行信息传输消息,上行信息传输消息中携带ue能力信息或附着请求内容。
基于上述实施例十四,在其中一种实施方式中,该方法还包括:
若mme在附着流程中接收到的附着请求消息或ue能力与ue发送的不一致,则mme向ue发送ue信息请求消息,ue信息请求消息中携带ue能力信息请求消息或附着请求内容请求消息;
mme接收ue发送的ue信息应答消息,ue信息应答消息包携带ue能力信息或附着请求内容。
图13示出了本发明实施例十五移动通信方法的流程图,该方法中,按照现有方法执行nas安全激活过程(对应图13中的步骤7),nas安全激活后,mme通过下行nas传输(downlinknastransport)消息请求ue重新上传ue能力(uecapabilities)或者附着请求内容(attachrequestcontents),ue通过上行nas传输(uplinknastransport)消息上传ue能力(uecapabilities)或者附着请求内容(attachrequestcontents),从而使mme获取正确的ue能力。
如图13所示,本实施例的执行过程包括:
1、处在rrc_idle(radioresourcecontrolidle,无线资源控制空闲)状态的ue进行attach过程,首先发起随机接入过程,即发送第一随机接入消息msg1;
2、enb检测到msg1消息后,向ue发送随机接入响应消息,即msg2消息;
3、ue收到随机接入响应后,根据msg2的ta(timingadvance,时间提前量)调整上行发送时机,向enb发送rrc连接请求(rrcconnectionrequest)消息;
4、enb向ue发送rrc连接更新(rrcconnectionsetup)消息,包含建立srb1(signallingradiobearer1,第一信令无线承载)和无线资源配置信息;
5、ue完成srb1承载和无线资源配置后,向enb发送rrc连接更新完成(rrcconnectionsetupcomplete)消息,其中,在rrc更新完成消息中包含nas层的附着请求(attachrequest)消息;
6、enb选择mme,向mme发送初始ue消息(initialuemessage),初始ue消息中包含nas层的附着请求(attachrequest)消息;
7、ue和mme进行aka以及nas安全激活过程;
8、mme向enb发送下行nas传输(downlinknastransport)消息,下行nas传输消息中包含ue能力请求(uecapabilityrequest)消息或附着消息内容的请求(attachrequestcontentsrequest)消息;
9、enb向ue发送下行信息传输(downlinkinformationtransfer)消息,下行信息传输消息中包含ue能力请求(uecapabilityrequest)消息或附着请求消息的内容请求(attachrequestcontentsrequest)消息;
10、ue向enb发送上行信息传输(uplinkinformationtransfer)消息,包含ue能力(uecapabilities)或附着请求消息的内容(attachrequestcontents);
11、enb向mme发送上行nas传输(uplinknastransport)消息,包含ue能力(uecapabilities)或附着请求内容(attachrequestcontents);
12、mme向enb发送初始上下文建立请求(initialcontextsetuprequest)消息,请求建立默认承载,其中,初始上下文建立请求消息中包含nas层附着请求(attachaccept)、activatedefaultepsbearercontextrequest(激活默认的演进分组核心网承载上下文请求)消息,其中eps全拼为evolvedpacketcore,中文名称为演进的分组核心网;
13、enb接收到初始上下文建立请求消息后,如果初始上下文建立请求消息不包含ue能力信息,则enb向ue发送ue能力查询(uecapabilityenquiry)消息,查询ue能力;
14、ue向enb发送ue能力信息(uecapabilityinformation)消息,报告ue能力信息;
15、enb向mme发送ue能力信息显示(uecapabilityinformationindication)消息,更新mme的ue能力信息;
16、enb根据初始上下文设置请求(initialcontextsetuprequest)消息中ue支持的安全信息,向ue发送安全模式命令(securitymodecommand)消息,进行安全激活;
17、ue向enb发送安全模式完成(securitymodecomplete)消息,表示安全激活完成;
18、enb根据初始上下文设置请求(initialcontextsetuprequest)消息中的erab(evolvedradioaccessbearer,演进的无线接入承载)建立信息,向ue发送rrc连接的重配置(rrcconnectionreconfiguration)消息进行ue资源重配,包括重配srb1和无线资源配置,建立srb2、drb(dataradiobearer,数据无线承载)(包括默认承载)等;
19、ue向enb发送rrc连接重配置完成(rrcconnectionreconfigurationcomplete)消息,表示资源配置完成;
20、enb向mme发送初始上下文设置响应(initialcontextsetupresponse)消息,表明ue上下文建立完成;
21、ue向enb发送上行信息传输(uplinkinformationtransfer)消息,包含nas层附着完成(attachcomplete)、激活默认的演进分组核心网承载上下文接受(activatedefaultepsbearercontextaccept)消息;
22、enb向mme发送上行nas传输(uplinknastransport)消息,包含nas层附着完成(attachcomplete)、激活默认的演进分组核心网承载上下文接受(activatedefaultepsbearercontextaccept)消息。
本发明实施例中的上述步骤7对应nas安全激活过程,本发明实施例的改进步骤8~11在nas安全激活过程之后执行。
图14示出了本发明实施例十六移动通信方法的流程图,该方法中,按照现有方法执行nas安全激活过程(对应图14中的步骤7),在attach流程中,nas安全激活后,mme通过新定义的ue信息请求(ueinformationrequest)消息请求ue重新上传ue能力(uecapabilities)信息或附着请求中的内容(attachrequestcontents),ue通过ue信息响应(ueinformationresponse)消息上传ue能力(uecapabilities)或附着请求内容(attachrequestcontents),从而使mme获取正确的ue能力。
如图14所示,本实施例的执行过程包括:
1、处在rrc_idle(radioresourcecontrolidle,无线资源控制空闲)状态的ue进行attach过程,首先发起随机接入过程,即发送第一随机接入消息msg1;
2、enb检测到msg1消息后,向ue发送随机接入响应消息,即msg2消息;
3、ue收到随机接入响应后,根据msg2的ta(timingadvance,时间提前量)调整上行发送时机,向enb发送rrc连接请求(rrcconnectionrequest)消息;
4、enb向ue发送rrc连接更新(rrcconnectionsetup)消息,包含建立srb1(signallingradiobearer1,第一信令无线承载)和无线资源配置信息;
5、ue完成srb1承载和无线资源配置后,向enb发送rrc连接更新完成(rrcconnectionsetupcomplete)消息,其中,在rrc更新完成消息中包含nas层的附着请求(attachrequest)消息;
6、enb选择mme,向mme发送初始ue消息(initialuemessage),初始ue消息中包含nas层的附着请求(attachrequest)消息;
7、ue和mme进行aka以及nas安全激活过程;
8、mme向enb发送ue信息请求(ueinformationrequest)消息;
9、enb向ue发送ue信息请求(ueinformationrequest)消息;
10、ue向enb发送ue信息响应(ueinformationresponse)消息,ue信息响应消息中携带ue能力(uecapabilities)或附着请求消息携带的内容(attachrequestcontents);
11、enb向mme发送ue信息响应(ueinformationresponse)消息,其中ue信息响应消息中携带ue能力(uecapabilities)或附着请求消息携带的内容(attachrequestcontents);
12、mme向enb发送初始上下文建立请求(initialcontextsetuprequest)消息,请求建立默认承载,其中,初始上下文建立请求消息中包含nas层附着请求(attachaccept)、activatedefaultepsbearercontextrequest(激活默认的演进分组核心网承载上下文请求)消息,其中eps全拼为evolvedpacketcore,中文名称为演进的分组核心网;
13、enb接收到初始上下文建立请求消息后,如果初始上下文建立请求消息不包含ue能力信息,则enb向ue发送ue能力查询(uecapabilityenquiry)消息,查询ue能力;
14、ue向enb发送ue能力信息(uecapabilityinformation)消息,报告ue能力信息;
15、enb向mme发送ue能力信息显示(uecapabilityinformationindication)消息,更新mme的ue能力信息;
16、enb根据初始上下文设置请求(initialcontextsetuprequest)消息中ue支持的安全信息,向ue发送安全模式命令(securitymodecommand)消息,进行安全激活;
17、ue向enb发送安全模式完成(securitymodecomplete)消息,表示安全激活完成;
18、enb根据初始上下文设置请求(initialcontextsetuprequest)消息中的erab(evolvedradioaccessbearer,演进的无线接入承载)建立信息,向ue发送rrc连接的重配(rrcconnectionreconfiguration)消息进行ue资源重配,包括重配srb1和无线资源配置,建立srb2、drb(dataradiobearer,数据无线承载)(包括默认承载)等;
19、ue向enb发送rrc连接重配置完成(rrcconnectionreconfigurationcomplete)消息,表示资源配置完成;
20、enb向mme发送初始上下文设置响应(initialcontextsetupresponse)消息,表明ue上下文建立完成;
21、ue向enb发送上行信息传输(uplinkinformationtransfer)消息,包含nas层附着完成(attachcomplete)、激活默认的演进分组核心网承载上下文接受(activatedefaultepsbearercontextaccept)消息;
22、enb向mme发送上行nas传输(uplinknastransport)消息,包含nas层附着完成(attachcomplete)、激活默认的演进分组核心网承载上下文接受(activatedefaultepsbearercontextaccept)消息。
本发明实施例中的上述步骤7对应nas激活过程,本发明实施例的改进步骤8~11在nas激活过程之后执行。
图15示出了本发明实施例一移动通信装置的结构示意图,该装置部署于ue中,包括:接收模块1201、验证模块1202以及第一发送模块1203,其中:
接收模块1201,用于接收来自移动管理实体mme的非接入层nas安全模式命令消息,nas安全模式命令消息中携带用于对mme已经接收到的ue能力信息进行验证的第一验证匹配信息;
验证模块1202,用于根据第一验证匹配信息,确定mme已经接收到的ue能力信息是否与ue发送给mme的ue能力信息一致;
第一发送模块1203,用于mme已经接收到的ue能力信息与ue发送给mme的ue能力信息一致时,向mme发送nas安全模式完成消息。
在上述实施例中,第一验证匹配信息为mme向ue发送nas安全模式命令消息前已经接收到的附着请求消息的第一哈希值,nas安全模式命令消息还包括mme对已经接收到的附着请求消息进行哈希计算所采用的哈希算法、mme所采用的完整性算法、秘钥标识以及nas安全模式命令消息的第一非接入层消息认证码nas-mac;
验证模块1202,具体用于:
计算ue接收到的nas安全模式命令消息的第二nas-mac;
确定第二nas-mac是否与第一nas-mac一致;
若一致,根据哈希算法,计算ue发送给mme的附着请求消息的第二哈希值;
确定二哈希值是否与第一哈希值一致;
第一发送模块1203,具体用于二哈希值与第一哈希值一致且第二nas-mac与第一nas-mac一致时,向mme发送nas安全模式完成消息。
在上述实施例中,nas安全模式命令消息中还包括:mme回传的ue安全能力;
验证模块1202,还用于:
确定mme回传的ue安全能力是否与ue发送给mme的ue安全能力一致;
第一发送模块1203,具体用于:
若第二哈希值与第一哈希值一致、第二nas-mac与第一nas-mac一致且mme回传的ue安全能力与ue发送给mme的ue安全能力一致,则向mme发送nas安全模式完成消息。
在上述实施例中,第一发送模块1203,还用于:
若第二哈希值、第二nas-mac以及mme回传的ue安全能力中的至少一项验证失败,则向mme发送nas安全模式失败消息;
或者,
还用于:若第二nas-mac与第一nas-mac一致、mme回传的ue安全能力与ue发送给mme的ue安全能力一致且第二哈希值与第一哈希值不一致,则向mme发送nas安全模式完成消息,该nas安全模式完成消息中携带附着请求消息。
在上述实施例中,第一验证匹配信息为mme已经接收到的ue能力信息的第三哈希值,nas安全模式命令消息还包括mme对已经接收到的ue能力信息进行哈希计算所所采用的哈希算法、mme所采用的完整性算法、秘钥标识以及nas安全模式命令消息的第三nas-mac;
验证模块1202,具体用于:
计算ue接收到的nas安全模式命令消息的第四nas-mac;
确定第四nas-mac是否与第三nas-mac一致;
若一致,根据哈希算法,计算ue发送给mme的ue能力信息的第四哈希值;
确定二哈希值是否与第三哈希值一致;
第一发送模块1203,具体用于若一致,则ue向mme发送nas安全模式完成消息。
在上述实施例中,nas安全模式命令消息中还包括:mme回传的ue安全能力;
验证模块1202,还用于:
确定mme回传的ue安全能力是否与ue发送给mme的ue安全能力一致;
第一发送模块1203,具体用于:
若第四哈希值与第三哈希值一致、第四nas-mac与第三nas-mac一致且mme回传的ue安全能力与ue发送给mme的ue安全能力一致,则向mme发送nas安全模式完成消息。
在上述实施例中,第一发送模块1203,还用于:
若第四哈希值、第四nas-mac以及mme回传的ue安全能力中的至少一项验证失败,则ue向mme发送nas安全模式失败消息;
或者,
第一发送模块1203,还用于若第四nas-mac与第三nas-mac一致、mme回传的ue安全能力与ue发送给mme的ue安全能力一致且第四哈希值与第三哈希值不一致,则ue向mme发送nas安全模式完成消息,nas安全模式完成消息中携带ue能力信息。
在上述实施例中,第一验证匹配信息为mme已经接收到的ue能力信息,nas安全模式命令消息还包括mme所采用的完整性算法、秘钥标识以及nas安全模式命令消息的第五nas-mac;
验证模块1202,具体用于:
计算ue接收到的nas安全模式命令消息的第六nas-mac;
ue确定第六nas-mac是否与第五nas-mac一致;
确定mme已经接收到的ue能力信息是否与ue发送给mme的ue能力信息一致;
第一发送模块1203,具体用于若一致,则向mme发送nas安全模式完成消息。
在上述实施例中,验证模块1202,具体用于:
确定第六nas-mac是否与第五nas-mac一致;
若一致,确定mme已经接收到的ue能力信息中所包括的ue安全能力是否与ue发送给mme的ue安全能力一致;
若一致,则ue确定mme接收到的ue能力信息中除ue安全能力外的其它能力是否分别与ue发送给mme的一致;
第一发送模块1203,具体用于若一致,则向mme发送nas安全模式完成消息。
在上述实施例中,第一发送模块1203还用于:
若mme已经接收到的ue能力信息中除ue安全能力外的其它能力与ue发送给mme的不一致,则向mme发送nas安全模式完成消息,nas安全模式完成消息中携带ue能力信息。
在上述实施例中,nas安全模式命令消息包括:mme接收到的ue安全能力、mme所采用的完整性算法、秘钥标识以及nas安全模式命令消息的第七nas-mac;
验证模块1202,具体用于:
计算ue接收到的nas安全模式命令消息的第八nas-mac;
确定第八nas-mac是否与第七nas-mac一致,若一致,确定mme接收到的ue安全能力是否与ue发送给mme的ue安全能力一致;
第一发送模块1203,具体用于若一致,则向mme发送nas安全模式完成消息,nas安全模式完成消息中携带第二验证匹配信息以及nas安全模式完成消息的nas-mac。
在上述实施例中,第二验证匹配信息包括:
ue已经向mme发送的附着请求消息的哈希值;或者,
ue已经向mme发送的ue能力信息的哈希值。
在上述实施例中,第二验证匹配信息包括:ue的ue能力信息。
在上述实施例中,接收模块1201,还用于第一发送模块1203向mme发送nas安全模式完成消息之后,接收mme发送的下行nas传输消息,下行nas传输消息中携带ue能力信息请求消息或者请求ue重新发送附着请求消息的请求消息;
第一发送模块1203,还用于向mme发送上行信息传输消息,上行信息传输消息中携带ue能力信息或附着请求消息。
在上述实施例中,接收模块1201还用于:
第一发送模块1203向mme发送nas安全模式完成消息之后,接收mme发送的ue信息请求消息,ue信息请求消息携带ue能力信息请求消息或者请求ue重新发送附着请求消息的请求消息;
第一发送模块1203,还用于向mme发送ue信息应答消息,ue信息应答消息中携带ue能力信息或附着请求消息。
图16示出了本发明实施例二移动通信装置的结构示意图,该装置部署于mme中,包括:
第二发送模块1301,用于向ue发送nas安全模式命令消息,nas安全模式命令消息中携带第一验证匹配信息,用于ue根据第一验证匹配信息,确定mme已经接收到的ue能力信息是否与ue发送给mme的ue能力信息一致;若一致,则ue向mme发送nas安全模式完成消息。
在上述实施例中,第一验证匹配信息为mme已经接收到的附着请求消息的第一哈希值,nas安全模式命令消息还包括mme对已经接收到的附着请求消息进行哈希计算所采用的哈希算法、mme所采用的完整性算法、秘钥标识以及nas安全模式命令消息的第一非接入层消息认证nas-mac。
在上述实施例中,nas安全模式命令消息中还包括:mme已经接收到的ue安全能力。
如图16所示,该装置还包括:第一接收模块1302,用于:
在ue生成的nas安全模式命令的第二nas-mac与第一nas-mac一致、mme回传的ue安全能力与ue发送给mme的ue安全能力一致且ue生成的附着请求消息的第二哈希值与第一哈希值不一致时,接收ue发送的nas安全模式完成消息,其中nas安全模式完成消息中携带附着请求消息。
在上述实施例中,第一验证匹配信息为mme已经接收到的ue能力信息的第三哈希值,nas安全模式命令消息还包括mme对已经接收到的ue能力信息进行哈希计算所所采用的哈希算法、mme所采用的完整性算法、秘钥标识以及nas安全模式命令消息的第三nas-mac。
在上述实施例中,nas安全模式命令消息中还包括:mme已经接收到的ue安全能力。
如图16所示,该装置还包括:第二接收模块1303,用于:
在ue生成的nas安全模式命令消息的第四nas-mac与第三nas-mac一致、mme回传的ue安全能力与ue发送给mme的ue安全能力一致且ue生成的ue能力信息的第四哈希值与第三哈希值不一致时,接收ue发送的nas安全模式完成消息,nas安全模式完成消息中携带ue能力信息。
如图16所示,第一验证匹配信息为mme已经接收到的ue能力信息,nas安全模式命令消息还包括mme所采用的完整性算法、秘钥标识以及nas安全模式命令消息的第五nas-mac。
如图16所示,该装置还包括:第三接收模块1304,用于:
在ue生成的nas安全模式命令消息的第六nas-mac与第五nas-mac一致、mme已经接收到的ue能力信息中所包括的ue安全能力与ue发送给mme的ue安全能力一致且在ue确定mme已经接收到的ue能力信息中除ue安全能力外的其它能力与ue发送给mme的不一致时,接收ue发送的nas安全模式完成消息,nas安全模式完成消息中携带ue能力信息。
在上述实施例中,nas安全模式命令消息包括:mme接收到的ue安全能力、mme所采用的完整性算法、秘钥标识以及nas安全模式命令消息的第七nas-mac。
在上述实施例中,该装置还包括:第四接收模块1305,用于接收ue发送的nas安全模式完成消息,nas安全模式完成消息中携带第二验证匹配信息以及nas安全模式完成消息的nas-mac;
在上述实施例中,第二验证匹配信息包括:
ue已经向mme发送的附着请求消息的哈希值;或者,
ue已经向mme发送的ue能力信息的哈希值。
在上述实施例中,第二验证匹配信息包括:ue的ue能力信息。
在上述实施例中,第二发送模块1301,还用于若mme已经接收到的ue能力信息与ue发送的不一致,则向ue发送下行nas传输消息,下行nas传输消息中携带ue能力信息请求消息或者请求ue重新发送附着请求消息的请求消息;
第四接收模块1305,还用于接收ue发送的上行信息传输消息,上行信息传输消息中携带ue能力信息或附着请求消息。
在上述实施例中,第二发送模块1301还用于:若mme确定mme已经接收到的ue能力信息与ue发送的不一致,则向ue发送ue信息请求消息,ue信息请求消息携带ue能力信息请求消息或者请求ue重新发送附着请求消息的请求消息;
第四接收模块1305,还用于接收ue发送的ue信息应答消息,ue信息应答消息中携带ue能力信息或附着请求消息。
图17为本发明实施例一移动通信设备的结构示意图,所述移动通信设备1400包括通信接口1401、存储器1403和处理器1402,其中,通信接口1401、处理器1402、存储器1403、通过总线1404相互连接;总线1404可以是外设部件互连标准(peripheralcomponentinterconnect,简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,简称eisa)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图14中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述通信接口1401用于与发送端通信。存储器1403,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器1403可能包含随机存取存储器(randomaccessmemory,简称ram),也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
处理器1402执行存储器1403所存放的程序,实现本发明前述方法实施例的方法:
接收来自移动管理实体mme的非接入层nas安全模式命令消息,所述nas安全模式命令消息中携带用于对所述mme已经接收到的ue能力信息进行验证的第一验证匹配信息;
根据所述第一验证匹配信息,确定所述mme已经接收到的ue能力信息是否与所述ue发送给所述mme的ue能力信息一致;
若一致,则所述ue向所述mme发送nas安全模式完成消息。
上述的处理器1402可以是通用处理器,包括中央处理器(centralprocessingunit,简称cpu)、网络处理器(networkprocessor,简称np)等;还可以是数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
图18为本发明实施例二移动通信设备的结构示意图,所述移动通信设备1500包括通信接口1501、存储器1503和处理器1502,其中,通信接口1501、处理器1502、存储器1503、通过总线1504相互连接;总线1504可以是外设部件互连标准(peripheralcomponentinterconnect,简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,简称eisa)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图15中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
所述通信接口1501用于与发送端通信。存储器1503,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器1503可能包含随机存取存储器(randomaccessmemory,简称ram),也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
处理器1502执行存储器1503所存放的程序,实现本发明前述方法实施例的方法:
确定用于ue对所述mme已经接收到的ue安全能力进行验证的第一验证匹配信息;
向所述ue发送nas安全模式命令消息,所述nas安全模式命令消息中携带所述第一验证匹配信息,用于所述ue根据所述第一验证匹配信息,确定所述mme已经接收到的ue能力信息是否与所述ue发送给所述mme的ue能力信息一致;若一致,则所述ue向所述mme发送nas安全模式完成消息。
上述的处理器1502可以是通用处理器,包括中央处理器(centralprocessingunit,简称cpu)、网络处理器(networkprocessor,简称np)等;还可以是数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例的移动通信设备,ue根据接收到的第一验证匹配消息验证mme已经接收到的ue能力信息是否与ue发送给mme的ue能力信息一致,可见本发明实施例中通过mme回传验证匹配消息,ue对mme接收到的ue能力信息进行验证的方式,确保mme拥有正确的ue能力信息,解决附着(attach)流程中附着请求(attachrequest)消息没有nas安全上下文保护,攻击者可能修改ue能力信息,mme无法获取正确的ue能力而造成的dos攻击问题,其中,dos是denialofservice的简称,即拒绝服务,造成dos的攻击行为被称为dos攻击。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
- 还没有人留言评论。精彩留言会获得点赞!