Ue与网络安全算法不匹配的处理方法、系统及装置的制作方法

专利名称：Ue与网络安全算法不匹配的处理方法、系统及装置的制作方法
技术领域：
本发明涉及通信技术领域，特别涉及一种UE与网络安全算法不匹配的处理方法、系统及装置。
背景技术：
为了确保在更长的时间内保持较高竟争能力，3GPP ( Third GenerationPartnership Project,第三代伙伴计划)启动了 3G无线接口技术的LTE (LongTerm Evolution,长期演进)研究项目。
LTE系统的安全过程分为NAS (Non Access Stratum,非接入层)层安全过程和AS ( Access Stratum,接入层)层安全过程，NAS信令加密和完整性保护在MME (Mobile Management Entity,移动管理实体)实现，AS层信令的加密和完整性保护以及用户平面的加密过程在eNB (演进基站)实现。在LTE系统中完整性保护是必选项，加密是可选项。
如图1所示，为现有技术中附着过程示意图。UE向MME发送附着(attach)请求，UE网络能力信息包含在附着请求的NAS消息中传递到MME，其中，UE对算法的支持能力包含在UE网络能力信息中。在LTE中UE对NAS安全算法的支持能力与AS算法的支持能力是相同的，当MME发起的SI初始上下文建立过程要求eNB建立UE上下文时会将UE的算法支持能力一起传递给eNB。鉴权完成后，MME和eNB会分别触发NAS层(即NAS消息)和AS层(即RRC消息)的安全管理过程激活加密和完整性保护。需要说明的是，图1反应的是与鉴权和加密相关的步骤，其他过程与标准协议相同，本文将不再赘述。
在LTE系统中，只有AS层的安全保护功能，没有NAS层的消息安全保护功能，AS层的安全保护功能在RNC中完成，UE能力信息包含UE所有支
8持的算法能力。在RRC连接建立过程中，UE将UE能力信息上报给服务RNC 并保存。这一过程在附着请求或者RAU ( Routing Area Update，路由区更新) 请求过程之前完成。
RNC (Radio Network Controller,无线网络控制器)会比较UE与自身的 完整性保护算法支持能力以及从Iu 口上收到的完整性保护算法信息及优先级， 并根据以下原则进行处理。 一方面如果UE与RNC以及从SGSN( Serving GSN, 服务GSN)传来的完整性保护算法信息中没有相同的完整性保护算法，则释 放RRC ( Radio Resource Control,无线资源控制)连接。另 一方面如果UE与 RNC以及从SGSN传来的完整性保护算法信息中至少有一个相同的完整性包 含算法，则网络选择一个均支持的完整性保护算法用于这个RRC连接。
RNC也会比较l正与自身的加密算法支持能力，以及从Iu 口上收到的加 密算法信息以及算法优先级，并根据以下原则进行处理。 一方面如果UE与 RNC以及/人SGSN传来的加密算法信息没有相同的加密算法，并且RNC不准 备使用非加密的连接，则释放RRC连接；如果RNC允许使用非加密的连接， 则建立非加密的RRC连接。另一方面如果UE与RNC以及从SGSN传来的加 密算法信息至少有一个相同的加密算法，则网络选择一个相互认可的加密算法 用于这个RRC连接。
同样当UE发生切换后，若新的RNC与UE支持的安全算法不匹配，则 会返回切换失败消息，并在切换失败的cause IE中指示为完整性保护或加密算 法不匹配。
从上述描述中可以看出，对于UE与网络安全算法不匹配的异常处理 仅是释放RRC连接，协议中并没有进一步的规定。然而对于UE来说，如果 为其选捧新的MME或eNB,则其安全算法有可能与网络安全算法匹配，从 而顺利接入网络。因此现有技术存在的缺点是协议已有方案不完整，需要 进一步的优化。并且在3G系统中安全验证在RNC做，因此涉及的全部都 是RRC过程，但是在LTE中，网络的安全分别由MME和eNB来完成， 然而在现有协议标准中，对于UE与网络安全算法不匹配时的NAS过程的 处理没有描述。本发明的目的旨在至少解决上述技术缺陷之一，特别是解决现有技术
中无法处理UE与网络安全算法不匹配的情况。
为达到上述目的，本发明一方面提出一种UE与网络安全算法不匹配 的处理方法，包括以下步骤网络侧接收用户设备UE的安全能力信息； 所述网络侧判断所述UE的安全能力信息是否与验证实体所支持的安全能 力信息所匹配；如果判断所述UE的安全能力信息与所述验证实体所支持 的安全能力信息不匹配，则给所述UE返回响应消息，所述响应消息中携 带有不匹配指示，所述UE根据所述不匹配指示返回EMM去注册状态或 UE重新发起安全验证。
作为本发明的一个实施例，所述安全验证为附着过程的安全验证，所 述网络侧接收UE的安全能力信息具体为所述UE向移动管理实体MME 发送附着请求消息，所述附着请求消息中携带有所述UE的安全能力信息。
在上述实施例中，所述安全验证为非接入层NAS安全验证，所述UE 的安全能力信息包括UE支持的NAS完整性保护算法和NAS加密算法， 所述验证实体为MME,所述给UE返回响应消息，所述响应消息中携带有 不匹配指示具体为所述MME向所述UE返回附着拒绝消息，所述附着拒 绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹 配指示。
在上述实施例中，所述附着拒绝消息中携带有NAS完整性保护算法不 匹配指示和/或NAS加密算法不匹配指示具体为所述附着拒绝消息中的 EMM cause IE中指示NAS完整性保护算法和/或NAS加密算法不匹配；或 在所述附着拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS 加密算法不匹配。
在上述实施例中，在所述MME向所述UE返回附着拒绝消息，且所述 附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算 法不匹配指示之后，还包括所述UE启动尝试计数器，重新发起附着请 求，并指示演进基站eNB为所述UE重新选择其他MME进行NAS安全验 证。
10在上述实施例中，还包括如果所述UE在所述尝试计数器达到预定 阈值后，所述UE返回EMM去注册状态。
在上述实施例中，所述尝试计数器的预定阈值为5。 作为本发明的一个实施例，在所述MME向所述UE返回附着拒绝消息， 且所述附着拒绝消息中携带有NAS加密算法不匹配的指示之前，还包括 所述MME判断是否允许使用非加密的NAS连接；如果允许使用非加密的 NAS连接，则向所述UE返回附着接受消息，在所述附着接受消息中携带 非加密指示，建立非加密连接。
在上述实施例中，所述在附着接受消息中携带非加密指示具体为在 所述附着接受消息中的security header type IE中携带所述非加密指示；或 在所述附着接受消息中增加新的IE携带所述非加密指示。
在上述实施例中，所述安全验证为非接入层AS安全验证，所述UE的 安全能力信息包括UE支持的AS完整性保护算法和AS加密算法，所述验 证实体为eNB，所述UE的安全能力信息由所述MME发送给所述eNB, 所述给UE返回响应消息，所述响应消息中携带有不匹配指示具体包括 所述eNB向所述MME返回初始上下文建立失败消息，所述初始上下文建 立失败消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不 匹配指示；所述MME向所述UE返回附着拒绝消息，所述附着拒绝消息中 携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示。
在上述实施例中，在所述MME向所述UE返回附着拒绝消息，且所述 附着拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法 不匹配指示之后，还包括所述UE返回EMM去注册状态。
在上述实施例中，还包括判断是否允许使用非加密的NAS连接；如 果允许使用非加密的NAS连接，则向所述UE返回附着接受消息，在所述 附着接受消息中携带非加密指示，建立非加密连接。
在上述实施例中，所述在附着接受消息中携带非加密指示具体为在 所述附着接受消息中的security header type IE中携带所述非加密指示;或 在所述附着接受消息中增加新的IE携带所述非加密指示。
在上述实施例中，所述安全验证为TAU过程的安全验证，所述网络侧接收UE的安全能力信息具体为源MME将所述UE的安全能力信息发送 给所述目标MME。
在上述实施例中，所述安全验证为非接入层NAS安全验证，所述UE 的安全能力信息包括UE支持的NAS完整性保护算法和NAS加密算法， 所述验证实体为目标MME，所述给UE返回响应消息，所述响应消息中携 带有不匹配指示具体为所述目标MME向所述UE返回TAU拒绝消息， 所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS 加密算法不匹配指示。
在上述实施例中，所述TAU拒绝消息中携带有NAS完整性保护算法 不匹配指示和/或NAS加密算法不匹配指示具体为所述TAU拒绝消息中 的cause IE中指示NAS完整性保护算法和/或NAS加密算法不匹配；或在 所述TAU拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS 加密算法不匹配。
在上述实施例中，在所述目标MME向所述UE返回TAU拒绝消息， 且所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS 加密算法不匹配指示之后，还包括所述UE启动尝试计数器，重新发起 TAU请求，并指示源MME为所述UE重新选择其他MME进行NAS安全 验证。
在上述实施例中，还包括如果所述UE在所述尝试计数器达到预定 阈Y直后，所述UE返回EMM去注册状态。
在上述实施例中，所述尝试计数器的预定阈值为5。
在上述实施例中，还包括判断是否允许使用非加密的NAS连接；如 果允许使用非加密的NAS连接，则向所述UE返回附着接受消息，在所述 附着接受消息中携带非加密指示，建立非加密连接。
在上述实施例中，所述在附着接受消息中携带非加密指示具体为在 所述附着接受消息中的security header type IE中携带所述非加密指示；或 在所述附着接受消息中增加新的IE携带所述非加密指示。
在上述实施例中，在所述目标MME向所述UE返回TAU拒绝消息， 且所述TAU拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示之后，还包括所述UE返回EMM去注册状态。
本发明另一方面还提出一种UE，包括消息接收模块、计数器模块、发 起模块和状态切换模块，所述消息接收模块，用于接收所述UE注册的MME 返回的附着拒绝消息或TAU拒绝消息；所述计数器模块，用于在所述附着 拒绝消息或TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或 NAS加密算法不匹配指示时启动，并通知所述发起模块重新发起附着请求 和TAU请求，并指示为所述UE重新选择其他MME进行NAS安全验证； 所述发起模块，用于发起附着请求和TAU请求；所述状态切换模块，用于 在所述附着拒绝消息或TAU拒绝消息中携带有AS完整性保护算法不匹配 指示和/或AS加密算法不匹配指示时，或在所述计数器模块达到预定阈值 后，返回EMM去注册状态。
本发明再一方面还提出一种eNB,包括上下文接收模块、AS层判断模 块和上下文消息返回模块，所述上下文接收模块，用于接收MME发送的 初始上下文建立消息，所述初始上下文消息中携带有所述UE的AS完整性 保护算法和AS加密算法；所述AS层判断模块，用于判断所述UE的AS 完整性保护算法和AS加密算法与所述eNB支持的AS完整性保护算法和 AS加密算法是否一致；所述上下文消息返回模块，用于当所述判断模块判 断UE的AS完整性保护算法或AS加密算法与所述eNB支持的AS完整性 保护算法或AS加密算法不匹配时，向所述MME返回初始上下文建立失败 消息，所述初始上下文建立失败消息携带有AS完整性保护算法不匹配和/ 或AS加密算法不匹配的指示。
在上述实施例中，还包括重新选择模块，用于根据UE的指示为其重 新选择新的MME。
本发明还提出一种MME，包括UE信息接收模块，NAS层判断模块和 消息返回模块，所述UE信息接收模块，用于接收UE的安全能力信息，所 述UE的安全能力信息由UE通过附着请求发送给所述MME,或由所述UE 的源MME发送给所述MME,所述UE的安全能力信息包括所述UE的NAS 完整性保护算法和NAS加密算法；所述NAS层判断模块，用于判断所述 UE的NAS完整性保护算法和NAS加密算法与所述MME支持的NAS完
13整性保护算法和NAS加密算法是否一致；所述消息返回模块，用于在所述 NAS层判断模块判断所述UE的NAS完整性保护算法或NAS加密算法与 所述MME支持的NAS完整性保护算法或NAS加密算法不匹配时，返回 附着拒绝消息或TAU拒绝消息，所述附着拒绝消息或TAU拒绝消息携带 有NAS完整性保护算法不匹配和/或NAS加密算法不匹配的指示。
在上述实施例中，还包括转发模块，用于将所述UE信息接收模块接 收的UE的安全能力信息中的AS完整性保护算法和AS加密算法转发给 e亂
本发明在UE与网络侧安全算法不匹配时，可为该UE切换新的MME 重新进行注册，从而提高了 UE的接入概率。并且通过本发明提出的技术 方案完善了目前协议未规定的UE与网络安全算法不匹配的后续处理方法。
本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面 的描述中变得明显，或通过本发明的实践了解到。


本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描 述中将变得明显和容易理解，其中 图1为现有技术中附着过程示意图2为本发明实施例附着过程中UE与网络安全算法不匹配的处理方 法的流程图3为本发明一实施例UE与网络安全算法不匹配的处理系统的结构图。
具体实施例方式
下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其
能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发 明，而不能解释为对本发明的限制。
本发明主要在于通过向UE返回安全算法不匹配的指示，使UE能够进
14一步选择新的MME进行接入，从而提高了 UE的接入概率。并且通过本发 明提出的技术方案也完善了目前协议未规定的UE与网络安全算法不匹配 的后续处理方法。具体地判断UE的安全能力信息是否与验证实体所支持 的安全能力信息所匹配；如果判断所述UE的安全能力信息与所述验证实 体所支持的安全能力信息不匹配，则给所述UE返回响应消息，所述响应 消息中携带有不匹配指示，UE根据不匹配指示返回EMM去注册状态 (EMM-DEREGISTERED ( Evolved Mobility Management画deregistered,移 动性管理去注册))或UE重新发起安全验证。
为了能够更完整的理解本发明的上述思想，以下将分别以附着过程和 TAU过程举例来说明本发明。
如图2所示，为本发明实施例附着过程中UE与网络安全算法不匹配 的处理方法的流程图，包括以下步骤
步骤S201, UE向MME发送附着请求消息，所述附着请求消息中携带 有UE的安全能力信息，所述UE的安全能力信息不仅包括UE支持的NAS 完整性保护算法和NAS加密算法，还包括UE支持的AS完整性保护算法 和AS加密算法。
步骤S202,所述MME判断UE支持的NAS完整性保护算法和NAS 加密算法与该MME支持的NAS完整性保护算法和NAS加密算法进行比 较。
若此MME与UE支持的NAS完整性保护算法不匹配时，MME向UE 返回附着拒绝(attach reject)消息，并在携带的EMM cause IE中指示NAS 完整性保护算法不匹配，同样也可新增一个IE携带该不匹配指示。
若此MME与UE支持的NAS加密算法不匹配时，如果网络允许使用 非加密的NAS连接，则返回附着接受消息(attach accept)，并在附着接受 消息的security header type IE (安全头类型)中指示非加密，建立非加密连 接，当然也可以新增一个IE专门携带该非加密指示。
若此MME与UE支持的NAS加密算法不匹配，并且网络不允许使用 非加密的NAS连接，则返回附着拒绝消息，并在该附着拒绝消息携带的 EMM cause IE中指示NAS加密算法不匹配。步骤S203,如果MME与UE有匹配的NAS算法能力时会启动NAS 层的SMC过程，并在初始上下文建立过程中将UE的算法能力信息传给 eNB。因此MME还需要将所述UE的安全能力信息中UE支持的AS完整 性保护算法和AS加密算法转发给eNB。具体地，MME通过初始上下文建 立请求消息将UE支持的AS完整性保护算法和AS加密算法转发给eNB。
步骤S204, eNB接收MME发送的UE支持的AS完整性保护算法和 AS加密算法，并判断接收的UE支持的AS完整性保护算法和AS加密算 法与该eNB支持的AS完整性保护算法和AS加密算法是否匹配。
步骤S205，如果eNB判断UE支持的AS完整性保护算法与该eNB支 持的AS完整性保护算法不匹配，则向MME返回上下文建立失败消息，所 述初始上下文建立失败消息中携带有AS完整性保护算法不匹配指示。
如果eNB判断UE支持的AS完整性保护算法与该eNB支持的AS完 整性保护算法不匹配，则eNB向MME返回初始上下文建立失败消息，并 在消息的cause IE中指示AS层完整性保护算法不匹配。MME触发附着拒 绝消息发送给UE,并在EMM cause IE中指示AS层完整性保护算法不匹 配。
当eNB与UE支持的AS加密算法(包括RRC信令加密算法和数据面 加密算法)不匹配时，若网络允许使用非加密的RRC连接，则建立非加密 的RRC连接。
当eNB与UE支持的AS加密算法(包括RRC信令加密算法和数据面 加密算法)不匹配，并且网络不允许使用非加密的RRC连接，则eNB向 MME返回初始上下文建立失败消息，并在消息的cause IE中指示AS层安 全算法不匹配。MME触发附着拒绝消息发送给UE,并在EMM cause IE 中指示AS层安全算法不匹配。
步骤S206 ， UE根据不匹配指示返回EMM去注册状态 (EMM-DEREGISTERED )或UE重新发起安全验证。
如果UE接收到的附着拒绝消息中携带有NAS完整性保护算法不匹配 指示或NAS加密算法不匹配指示时，UE启动一个尝试计数器，重新发起 附着请求消息，并指示由eNB为UE选择另一个MME。优选地，尝试计
16数器的取值可以参考协议规范去为5次，当然也可以设为不同的值。如果 在尝试计数器内UE成功附着到了一个MME，则按照正常的驻留过程执行 后续操作。如果在尝试计数器到达最大值之后UE还没有成功附着到网络， UE删除掉保存的GUTI，最后一次注册的TAI, KSI等参数并回到 EMM-DEREGISTERED状态。
如果UE接收到的附着拒绝消息中携带有AS完整性保护算法不匹配指 示或AS加密算法不匹配指示时，UE删除掉保存的GUTI,最后一次注册 的TAI， KSI等参数并回到EMM-DEREGISTERED状态。
上述实施例示出了 UE发起附着过程中UE与网络安全算法不匹配的处 理方法，同样本发明也可应用在TAU ( Tracking Area Update ，跟踪区更新) 的场景中。例如，当UE在非周期TAU过程中驻留到一个新的eNB或者注 册到了 一个新的MME时，作为UE context的一部分，新的MME会从旧 的MME中获得UE的安全能力信息并传给新的eNB。如果新的MME与 UE支持的NAS加密算法不匹配，则返回TAU拒绝消息，并在cause IE中 指示为NAS完整性保护算法不匹配，或者NAS加密算法不匹配。UE收到 后启动一个尝试计数器尝试有限次的重发，若达到最大重发次数UE仍然 不能驻留到一个MME， UE则删除掉保存的GUTI,最后一次注册的TAI， KSI等参数并回到EMM-DEREGISTERED状态。如果新的eNB与UE支持 的AS安全算法不匹配，则返回初始上下文失败消息给MME，其中携带 cause值指示AS层完整性保护算法不匹配或者加密算法不匹配。MME在 发送的TAU拒绝消息的cause中指示AS层完整性保护算法不匹配或者加 密算法不匹配。UE收到后删除掉保存的GUTI，最后一次注册的TAI, KSI 等参数并回到EMM-DEREGISTERED状态。
如图3所示，为本发明一实施例UE与网络安全算法不匹配的处理系 统的结构图。该系统包括UE 100、 eNB 200和MME 300。
作为本发明的一个实施例，UE 100包括消息接收模块110、计数器模 块120、发起模块130和状态切换模块140。消息接收模块110用于接收 UE 100注册的MME 300返回的附着拒绝消息或TAU拒绝消息。计数器模 块120用于在附着拒绝消息或TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示时启动，并通知发起模块130 重新发起附着请求和TAU请求，并指示eNB 200为所述UE 100重新选择 其他MME进行NAS安全验证。发起模块130用于发起附着请求和TAU 请求。状态切换模块140用于在附着拒绝消息或TAU拒绝消息中携带有 AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示时，或在计数 器模块120达到预定阈值后，返回EMM去注册状态。
其中，作为本发明的一个实施例，eNB 200包括上下文接收模块210、 AS层判断模块220和上下文消息返回模块230。上下文接收模块210用于 接收MME 300发送的初始上下文建立消息，初始上下文消息中携带有UE 的AS完整性保护算法和AS加密算法。AS层判断模块220用于判断UE100 的AS完整性保护算法和AS加密算法与所述eNB 200支持的AS完整性保 护算法和AS加密算法是否一致。上下文消息返回模块230用于当AS层判 断模块220判断UE100的AS完整性保护算法或AS加密算法与eNB200 支持的AS完整性保护算法或AS加密算法不匹配时，向MME300返回初 始上下文建立失败消息，所述初始上下文建立失败消息携带有AS完整性 保护算法不匹配和/或AS加密算法不匹配的指示。在上述实施例中，还包 括重新选择模块240用于根据UE 100的指示为其重新选择新的MME。
其中，作为本发明的 一个实施例，MME300包括UE信息接收才莫块310, NAS层判断模块320和消息返回模块330。 UE信息接收模块310用于接收 UE100的安全能力信息，UE100的安全能力信息由UEIOO通过附着请求发 送给MME300,或由UE100的源MME发送给MME300， UE100的安全能 力信息包括UE100的NAS完整性保护算法和NAS加密算法。NAS层判断 模块320用于判断UE100的NAS完整性保护算法和NAS加密算法与 MME300支持的NAS完整性保护算法和NAS加密算法是否一致。消息返 回模块330用于在NAS层判断模块320判断UE100的NAS完整性保护算 法或NAS加密算法与MME300支持的NAS完整性保护算法或NAS加密 算法不匹配时，返回附着拒绝消息或TAU拒绝消息，所述附着拒绝消息或 TAU拒绝消息携带有NAS完整性保护算法不匹配和/或NAS加密算法不匹 配的指示。其中在上述实施例中，还包括转发模块340,用于将UE信息接
18收模块310接收的UE的安全能力信息中的AS完整性保护算法和AS加密 算法转发给eNB200。
本发明在UE与网络侧安全算法不匹配时，可为该UE切换新的MME 重新进行注册，从而提高了 UE的接入概率。并且通过本发明提出的技术 方案完善了目前协议未规定的UE与网络安全算法不匹配的后续处理方法。
尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员 而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例 进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等 同限定。
19
权利要求
1、一种UE与网络安全算法不匹配的处理方法，其特征在于，包括以下步骤网络侧接收用户设备UE的安全能力信息；所述网络侧判断所述UE的安全能力信息是否与验证实体所支持的安全能力信息所匹配；如果判断所述UE的安全能力信息与所述验证实体所支持的安全能力信息不匹配，则给所述UE返回响应消息，所述响应消息中携带有不匹配指示，所述UE根据所述不匹配指示返回移动性管理EMM去注册状态或UE重新发起安全验证。
2、 如权利要求1所述UE与网络安全算法不匹配的处理方法，其特征 在于，所述安全验证为附着过程的安全验证，所述网络侧接收UE的安全 能力信息具体为所述UE向移动管理实体MME发送附着请求消息，所述附着请求消息 中携带有所述UE的安全能力信息。
3、 如权利要求2所述UE与网络安全算法不匹配的处理方法，其特征 在于，所述安全验证为非接入层NAS安全验证，所述UE的安全能力信息 包括UE支持的NAS完整性保护算法和NAS加密算法，所述验证实体为 MME，所述给UE返回响应消息，所述响应消息中携带有不匹配指示具体为 所述MME向所述UE返回附着拒绝消息，所述附着拒绝消息中携带有 NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示。
4、 如权利要求3所述UE与网络安全算法不匹配的处理方法，其特征 在于，所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或 NAS加密算法不匹配指示具体为所述附着拒绝消息中的EMM cause IE中指示NAS完整性保护算法和/ 或NAS加密算法不匹配；或在所述附着拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS加密算法不匹配。
5、 如权利要求3所述UE与网络安全算法不匹配的处理方法，其特征在于，在所述MME向所述UE返回附着拒绝消息，且所述附着拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示之后，还包括所述UE启动尝试计数器，重新发起附着请求，并指示演进基站eNB为所述UE重新选4奪其他MME进行NAS安全验证。
6、 如权利要求5所述UE与网络安全算法不匹配的处理方法，其特征在于，还包括如果所述UE在所述尝试计数器达到预定阈值后，所述UE返回EMM去注册状态。
7、 如权利要求6所述UE与网络安全算法不匹配的处理方法，其特征在于，所述尝试计数器的预定阚值为5。
8、 如权利要求3所述UE与网络安全算法不匹配的处理方法，其特征在于，在所述MME向所述UE返回附着拒绝消息，且所述附着拒绝消息中携带有NAS加密算法不匹配的指示之前，还包括所述MME判断是否允许使用非加密的NAS连接；如果允许使用非加密的NAS连接，则向所述UE返回附着接受消息，在所述附着接受消息中携带非加密指示，建立非加密连接。
9、 如权利要求8所述UE与网络安全算法不匹配的处理方法，其特征在于，所述在附着接受消息中携带非加密指示具体为在所述附着接受消息中的security header type IE中携带所述非加密指示；或在所述附着接受消息中增加新的IE携带所述非加密指示。
10、 如权利要求2所述UE与网络安全算法不匹配的处理方法，其特征在于，所述安全验证为非接入层AS安全验证，所述UE的安全能力信息包括UE支持的AS完整性保护算法和AS加密算法，所述验证实体为eNB,所述UE的安全能力信息由所述MME发送给所述eNB，所述给UE返回响应消息，所述响应消息中携带有不匹配指示具体包括所述eNB向所述MME返回初始上下文建立失败消息，所述初始上下文建立失败消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示；所述MME向所述UE返回附着拒绝消息，所述附着拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示。
11、 如权利要求IO所述UE与网络安全算法不匹配的处理方法，其特征在于，在所述MME向所述UE返回附着拒绝消息，且所述附着拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示之后，还包括所述UE返回EMM去注册状态。
12、 如权利要求IO所述UE与网络安全算法不匹配的处理方法，其特征在于，还包括判断是否允许使用非加密的NAS连接；如果允许使用非加密的NAS连接，则向所述UE返回附着接受消息，在所述附着接受消息中携带非加密指示，建立非加密连接。
13、 如权利要求12所述UE与网络安全算法不匹配的处理方法，其特征在于，所述在附着接受消息中携带非加密指示具体为在所述附着接受消息中的security header type IE中携带所述非加密指示；或在所述附着接受消息中增加新的正携带所述非加密指示。
14、 如权利要求1所述UE与网络安全算法不匹配的处理方法，其特征在于，所述安全验证为跟踪区更新TAU过程的安全验证，所述网络侧接收UE的安全能力信息具体为源MME将所述UE的安全能力信息发送给所述目标MME。
15、 如权利要求14所述UE与网络安全算法不匹配的处理方法，其特征在于，所述安全验证为非接入层NAS安全验证，所述UE的安全能力信息包括UE支持的NAS完整性保护算法和NAS加密算法，所述验证实体为目标MME,所述给UE返回响应消息，所述响应消息中携带有不匹配指示具体为所述目标MME向所述UE返回TAU拒绝消息，所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示。
16、 如权利要求15所述UE与网络安全算法不匹配的处理方法，其特征在于，所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示具体为所述TAU拒绝消息中的cause IE中指示NAS完整性保护算法和/或NAS加密算法不匹配；或在所述TAU拒绝消息中增加新的IE以指示NAS完整性保护算法和/或NAS加密算法不匹配。
17、 如权利要求15所述UE与网络安全算法不匹配的处理方法，其特征在于，在所述目标MME向所述UE返回TAU拒绝消息，且所述TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示之后，还包括所述UE启动尝试计数器，重新发起TAU请求，并指示源MME为所述UE重新选择其他MME进行NAS安全-睑证。
18、 如权利要求17所述UE与网络安全算法不匹配的处理方法，其特征在于，还包括如果所述UE在所述尝试计数器达到预定阈值后，所述UE返回EMM去注册状态。
19、 如权利要求18所述UE与网络安全算法不匹配的处理方法，其特征在于，所述尝试计数器的预定阈值为5。
20、 如权利要求17所述UE与网络安全算法不匹配的处理方法，其特征在于，还包括判断是否允许使用非加密的NAS连接；如果允许使用非加密的NAS连接，则向所述UE返回附着接受消息，在所述附着接受消息中携带非加密指示，建立非加密连接。
21、 如权利要求20所述UE与网络安全算法不匹配的处理方法，其特征在于，所述在附着接受消息中携带非加密指示具体为在所述附着接受消息中的security header type IE中携带所述非加密指示；或在所述附着接受消息中增加新的正携带所述非加密指示。
22、 如权利要求15所述UE与网络安全算法不匹配的处理方法，其特征在于，在所述目标MME向所述UE返回TAU拒绝消息，且所述TAU拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示之后，还包括所述UE返回EMM去注册状态。
23、 一种UE，其特征在于，包括消息接收模块、计数器模块、发起模块和状态切换模块，所述消息接收模块，用于接收所述UE注册的MME返回的附着拒绝消息或TAU拒绝消息；所述计数器模块，用于在所述附着拒绝消息或TAU拒绝消息中携带有NAS完整性保护算法不匹配指示和/或NAS加密算法不匹配指示时启动，并通知所述发起模块重新发起附着请求和TAU请求，并指示为所述UE重新选择其他MME进行NAS安全验证；所述发起模块，用于发起附着请求和TAU请求；所述状态切换模块，用于在所述附着拒绝消息或TAU拒绝消息中携带有AS完整性保护算法不匹配指示和/或AS加密算法不匹配指示时，或在所述计数器模块达到预定阈值后，返回EMM去注册状态。
24、 一种eNB,其特征在于，包括上下文接收模块、AS层判断模块和上下文消息返回模块，所述上下文接收模块，用于接收MME发送的初始上下文建立消息，所述初始上下文消息中携带有所述UE的AS完整性保护算法和AS加密算法；所述AS层判断模块，用于判断所述UE的AS完整性保护算法和AS加密算法与所述eNB支持的AS完整性保护算法和AS加密算法是否一致；所述上下文消息返回模块，用于当所述AS层判断模块判断UE的AS完整性保护算法或AS加密算法与所述eNB支持的AS完整性保护算法或AS加密算法不匹配时，向所述MME返回初始上下文建立失败消息，所述初始上下文建立失败消息携带有AS完整性保护算法不匹配和/或AS加密算法不匹配的指示。
25、 如权利要求24所述eNB，其特征在于，还包括重新选择模块，用于根据UE的指示为其重新选择新的MME。
26、 一种MME，其特征在于，包括UE信息接收模块，NAS层判断模块和消息返回模块，所述UE信息接收模块，用于接收UE的安全能力信息，所述UE的安全能力信息由UE通过附着请求发送给所述MME，或由所述UE的源MME发送给所述MME，所述UE的安全能力信息包括所述UE的NAS完整性保护算法和NAS加密算法；所述NAS层判断模块，用于判断所述UE的NAS完整性保护算法和NAS加密算法与所述MME支持的NAS完整性保护算法和NAS加密算法是否一致；所述消息返回模块，用于在所述NAS层判断才莫块判断所述UE的NAS完整性保护算法或NAS加密算法与所述MME支持的NAS完整性保护算法或NAS加密算法不匹配时，返回附着拒绝消息或TAU拒绝消息，所述附着拒绝消息或TAU拒绝消息携带有NAS完整性保护算法不匹配和/或NAS加密算法不匹配的指示。
27、 如权利要求26所述MME,其特征在于，还包括转发模块，用于将所述UE信息接收模块接收的UE的安全能力信息中的AS完整性保护算法和AS加密算法转发给eNB。
全文摘要
本发明提出一种UE与网络安全算法不匹配的处理方法，包括以下步骤网络侧接收用户设备UE的安全能力信息；所述网络侧判断所述UE的安全能力信息是否与验证实体所支持的安全能力信息所匹配；如果判断所述UE的安全能力信息与所述验证实体所支持的安全能力信息不匹配，则给所述UE返回响应消息，所述响应消息中携带有不匹配指示，所述UE根据所述不匹配指示返回EMM去注册状态或UE重新发起安全验证。本发明在UE与网络侧安全算法不匹配时，可为该UE切换新的MME重新进行注册，从而提高了UE的接入概率。
文档编号H04L1/16GK101686233SQ200810222879
公开日2010年3月31日 申请日期2008年9月24日 优先权日2008年9月24日
发明者娟 张, 熊春山 申请人:大唐移动通信设备有限公司