非接入层安全上下文的同步方法及相关设备的制作方法

文档序号:7707536阅读:136来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:非接入层安全上下文的同步方法及相关设备的制作方法
技术领域
本发明涉及通信技术领域,尤其涉及一种非接入层安全上下文的同步方法及相关 设备。
背景技术
目前,在演进的分组系统(EPS,Evolved Packet System)中,EPS非接入层(NAS, Non-Access Stratum)安全上下文主要用于为用户设备(UE,UserEquipment)和移动性管 理实体(MME,Mobility Management Entity)之间交互的NAS信令进行完整性保护以及加 密保护。用户设备在开机进行网络附着时,首先会从自身的全球用户身份模块(USIM, Universal Subscriber Identity Module)或非易失性存储区域中读取NAS安全上下文。 如果读取的NAS安全上下文是无效的,或者没有读取到NAS安全上下文,那么用户设备就会 和网络侧重新进行EPS认证和密钥协商(AKA,Authentication and Key Agreement),生成 新的NAS安全上下文。造成NAS安全上下文无效的原因有可能是密钥Kasme达到了最大的 生命周期,也有可能是UE处于激活状态时由于电池耗干或意外断电而导致存储的NAS安全 上下文无效。由于用户设备只是在关机或转变为空闲态或注销态时才会更新保存的NAS安全 上下文。这样,当用户设备处于连接状态时,如果出现电池耗干或意外情况而导致断电,用 户设备将无法正常更新自身的USIM或非易失性存储区域中存储的NAS安全上下文,导致 NAS安全上下文无效。一旦用户设备开机进行网络附着,只好重新进行EPS AKA,生成新的 EPS NAS安全上下文。发明人发现,现有技术中当用户设备出现电池耗干或意外断电导致整套NAS安全 上下文无效,导致该用户设备与MME的非接入层计数(NASC0UNT)值不同步和/或NAS密钥 以及算法时,则抛弃整套NAS安全上下文而重新与网络侧进行EPS AKA,造成资源浪费。

发明内容
本发明实施例提供了非接入层安全上下文的同步方法及网络设备,解决用户设备 因电池耗干或意外断电等原因导致的NAS安全上下文不可用的问题。本发明实施例提供了一种非接入层安全上下文的同步方法,包括接收用户设备发送的进行了完整性保护的附着请求消息,其中,所述附着请求消 息携带有用于指示非接入层NAS安全上下文是否更新的信息;如果根据所述附着请求消息获知所述NAS安全上下文未更新,则在对所述附着请 求消息进行完整性校验成功后,与所述用户设备进行NAS安全上下文同步。本发明实施例还提供了一种非接入层安全上下文的同步方法,包括向网络侧发送进行了完整性保护的附着请求消息,其中,所述附着请求消息携带 有用于指示非接入层NAS安全上下文是否更新的信息;
7
接收所述网络侧发送的进行了完整性保护的NAS消息,其中,所述NAS消息是所述 网络侧根据所述附着请求消息获知所述NAS安全上下文未更新,并在对所述附着请求消息 进行完整性校验成功后发送的;对所述NAS消息进行完整性校验成功后,与所述网络侧进行NAS安全上下文同步。本发明实施例提供了一种网络设备,包括接收单元,用于接收用户设备发送的进行了完整性保护的附着请求消息,其中,所 述附着请求消息携带有用于指示非接入层NAS安全上下文是否更新的信息;校验单元,用于根据所述附着请求消息获知所述NAS安全上下文未更新时,对所 述NAS安全上下文进行完整性校验;同步单元,用于当所述校验单元对所述附着请求消息进行完整性校验成功后,与 所述用户设备进行NAS安全上下文同步。本发明实施例提供了一种用户设备,包括发送单元,用于向网络侧发送进行了完整性保护的附着请求消息,其中,所述附着 请求消息携带有用于指示非接入层NAS安全上下文是否更新的信息;接收单元,用于接收所述网络侧发送的进行了完整性保护的NAS消息;其中,所述 NAS消息是所述网络侧根据所述附着请求消息获知所述NAS安全上下文未更新,并在对所 述附着请求消息进行完整性校验成功后发送的;校验单元,用于所述NAS消息进行完整性校验;同步单元,用于当所述校验单元对所述NAS消息进行完整性校验成功后,与所述 网络侧进行NAS安全上下文同步。与现有的技术相比,本发明实施例可以对用户设备开机后发送的具有完整性保护 的附着请求消息进行完整性校验,且在校验成功之后与用户设备进行NAS安全上下文同 步,从而可以解决用户设备因电池耗干或意外断电等原因导致的NAS安全上下文不可用的 问题,且在一定程度上可以减少了 EPSAKA次数,节约了资源。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所 需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施 例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获 得其他的附图。图1为本发明实施例提供的一种非接入层安全上下文的同步方法流程图;图2为本发明实施例提供的一种非接入层安全上下文的同步方法流程图;图3为本发明实施例提供的一种非接入层安全上下文的同步方法流程图;图4为本发明实施例提供的一种非接入层安全上下文的同步方法流程图;图5为本发明实施例提供的一种非接入层安全上下文的同步方法流程图;图6为本发明实施例提供的一种非接入层安全上下文的同步方法流程图;图7为本发明实施例提供的一种非接入层安全上下文的同步方法流程图;图8为本发明实施例提供的一种网络设备的结构示意图;图9为本发明实施例提供的一种用户设备的结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。实施例一请参阅图1,图1为本发明实施例一提供的一种非接入层安全上下文的同步方法 的流程图。如图1所示,该方法可以包括步骤101 接收用户设备发送的进行了完整性保护的附着请求消息,其中,该附着 请求消息携带有用于指示非接入层NAS安全上下文是否更新的信息;步骤102 如果根据上述附着请求消息获知该NAS安全上下文未更新,则在对上述 附着请求消息进行完整性校验成功后,与该用户设备进行NAS安全上下文同步。其中,如果用户设备自身的USIM可以支持EPS移动性管理参数存储,则NAS安全 上下文将会存储在USIM中,这样,当用户设备开机的时就可以从UISM中读取EPS NAS安全 上下文;反之,如果用户设备自身的USIM可以不支持EPS移动性管理参数存储,则NAS安 全上下文将会存储在用户设备自身的非易失性储存区中,这样,当用户设备开机的时就可 以从自身的非易失性储存区读取NAS安全上下文。造成NAS安全上下文不可使用的原因可能是NAS安全上下文未及时更新,或者也 可能是NAS安全上下文中的用于推衍出NAS信令加密密钥和完整性保护密钥的Kasme已经 达到了最大生命周期。用户设备在开机后,会读取存储的NAS安全上下文,如果NAS安全上下文没有更 新,则用户设备向网络侧的MME发送的附着请求消息,并利用该套NAS安全上下文对该附着 请求消息进行完整性保护;或者,利用上行非接入层计数(NAS COUNT)值的非接入层序列号(NASSQN,NAS sequence number)置为全1的该套NAS安全上下文对该附着请求消息进行完整性保护;或者,利用上行NAS COUNT值的非接入层溢出值(NAS OVERFLOW)加1的该套NAS 安全上下文对该附着请求消息进行完整性保护;或者,利用上行和下行NAS COUNT值的NAS SQN均置为全1的该套NAS安全上下 文对该附着请求消息进行完整性保护;或者,利用上行和下行NAS COUNT值的NAS OVERFLOW均加1的该套NAS安全上下 文对该附着请求消息进行完整性保护。需要说明的是,在EPS系统中,用户设备中存储一个上行NAS COUNT值的和一个下 行NAS COUNT值,两者独立,分别用于计算上下行NAS消息发送的数目。网络侧MME中同样 也存储着一个上行和一个下行NASC0UNT值,两者独立,分别用于计算上下行NAS消息发送 的数目。正常情况下,用户设备的上行NAS COUNT值和网络侧MME的上行NAS COUNT值是 相同的;用户设备的下行NAS COUNT值和MME的下行NAS COUNT值也是相同的。其中,上行和下行的NAS COUNT值长24比特,分为16比特的NAS0VERFL0W和8比特的NAS SQN ;NAS SQN伴随着每条NAS消息在用户设备和MME之间交互,NAS SQN每次增 加1 ;当NAS SQN达到最大值重新归0后,NAS OVERFLOW增加1。其中,上述附着请求消息携带用于指示NAS安全上下文是否更新的信息具体可以 是上述附着请求消息中携带一个可选的NAS安全上下文标识,当用户设备发现NAS 安全上下文是未更新时才加入这个标识,0表示更新,1表示未更新;或者,上述附着请求消 息携带一个必选的NAS安全上下文标识,0表示更新,1表示未更新,反之亦然,本发明实施 例不作限定。具体地,上述步骤102中的对附着请求消息进行完整性校验,如果校验成功,则与 用户设备进行NAS安全上下文同步具体可以为MME将存储的上行NAS OVERFLOW与上述附着请求消息携带的上行NAS SQN构造出 一个上行NAS COUNT值,并对上述附着请求消息进行完整性校验;如果MME对上述附着请求消息进行完整性校验成功,则向该用户设备发送进行了 完整性保存的NAS安全模式命令消息;该NAS安全模式命令消息携带了存储的上行和下行 NAS SQN ;该用户设备在接收到该NAS安全模式命令消息后,将该NAS安全模式命令消息携 带的下行NAS SQN与存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值,并对该NAS 安全模式命令消息进行完整性校验;如果该用户设备对该NAS安全模式命令消息进行完整性校验成功,则存储上述下 行NAS COUNT值,并将该NAS安全模式命令消息携带的上行NASSQN作为上行NAS COUNT值 中的 NAS SQN ;或者,将MME将存储的上行NAS OVERFLOW和上述附着请求消息携带的置为全1的 上行NAS SQN构造出一个上行NAS COUNT值,并对上述附着请求消息进行完整性校验;如果MME对上述附着请求消息进行完整性校验成功,则存储该上行NAS COUNT值;向该用户设备发送进行了完整性保护的NAS消息,该NAS消息携带了存储的下行 NAS SQN ;该用户设备在接收到该NAS消息后,将该NAS消息携带的下行NASSQN与存储的下 行NAS OVERFLOW构造出一个下行NAS COUNT值,并对该NAS消息进行完整性校验;如果该用户设备对该NAS消息进行完整性校验成功,则存储该下行NASC0UNT值;或者,MME将存储的上行NAS OVERFLOW加1,并和上述附着请求消息携带的上行 NAS SQN构造出一个上行NAS COUNT值对上述附着请求消息进行完整性校验;如果MME对上述附着请求消息进行完整性校验成功,则存储该上行NAS COUNT值;向该用户设备发送进行了完整性保护的NAS消息,该NAS消息携带了存储的下行 NAS SQN ;该用户设备在接收到该NAS消息后,将该NAS消息携带的下行NASSQN与存储的下 行NAS OVERFLOW构造出一个下行NAS COUNT值对该NAS消息进行完整性校验;如果该用户设备对该NAS消息进行完整性校验成功,则存储该下行的NAS COUNT 值;或者,MME将存储的上行NAS SQN置全1,并和存储的上行NAS0VERFL0W构造出一个上行NAS COUNT值对上述附着请求消息进行完整性校验;如果MME对上述附着请求消息进行完整性校验成功,则将存储的上行和下行NAS SQN均置为全1 ;然后分别与存储的上行NAS OVERFLOW和下行NAS OVERFLOW组成一个上行 和下行NAS COUNT并存储。或者,MME将存储的上行NAS OVERFLOW加1,并和上述附着请求消息携带的上行 NAS SQN构造出一个上行NAS COUNT值对上述附着请求消息进行完整性校验;如果MME对上述附着请求消息进行完整性校验成功,则将存储的上行和下行NAS OVERFLOW均加1 ;分别与上述附着请求消息中携带的上行和下行NAS SQN组成上行和下行 NAS COUNT并存储。这样,最终实现用户设备的上行和下行NAS COUNT值与网络侧MME的上行和下行 NAS COUNT值之间的同步,从而可以对用户设备与MME之间的NAS消息进行完整性保护。需要说明的是,NAS安全模式命令消息只是NAS消息中的一种。另外,如果MME对上述附着请求消息进行完整性校验失败,则执行现有的EPS AKA 流程,使得用户设备生成NAS安全上下文。需要说明的是,如果用户设备开机附着的MME发生了变化,则当前的MME将该附着 请求消息转发给原来的MME进行完整性校验,校验过程相同。需要说明的是,本实施例以及后续实施例中涉及的用户设备可以包括但不限于移 动通信终端、个人电脑等等。上述对本发明实施例一提供的NAS安全上下文同步方法进行了详细介绍,本发明 实施例可以对用户设备开机后发送的具有完整性保护的附着请求消息进行完整性校验,且 在校验成功之后与用户设备进行NAS安全上下文同步,从而可以使得未更新的NAS安全上 下文可用,且在一定程度上可以减少了 EPS AKA次数,节约了资源。实施例二 请参阅图2,图2为本发明实施例二提供的一种非接入层安全上下文的同步方法 的流程图。如图2所示,该方法可以包括步骤201 向网络侧发送进行了完整性保护的附着请求消息,其中,该附着请求消 息携带有用于指示非接入层NAS安全上下文是否更新的信息;其中,该附着请求消息中携带一个可选的NAS安全上下文标识,当用户设备发现 NAS安全上下文是未更新时才加入这个标识,0表示更新,1表示未更新;或者,上述附着请 求消息携带一个必选的NAS安全上下文标识,0表示更新,1表示未更新,反之亦然,本发明 实施例不作限定。步骤202 接收该网络侧发送的进行了完整性保护的NAS消息;其中,该NAS消息 是该网络侧根据上述附着请求消息获知该NAS安全上下文未更新,并在对该附着请求消息 进行完整性校验成功后发送的;步骤203 对该NAS消息进行完整性校验成功后,与该网络侧进行NAS安全上下文 同步。其中,如果在步骤201中用户设备向该网络侧发送的附着请求消息是以该NAS安 全上下文进行完整性保护的,则步骤202中接收该网络侧发送的进行了完整性保护的NAS 消息具体可以包括
用户设备接收该网络侧发送的进行了完整性保护的NAS安全模式命令消息,该 NAS安全模式命令消息携带了该网络侧存储的上行和下行NASSQN ;则步骤203具体可以包括根据该NAS安全模式命令消息携带的下行NAS SQN与 存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值,并对该NAS安全模式命令消息进 行完整性校验;以及在对该NAS安全模式命令消息进行完整性校验成功的情况下,存储该下行 NAS COUNT值,并将该NAS安全模式命令消息携带的上行NASSQN作为上行NAS COUNT值中 的 NAS SQN。其中,如果在步骤201中用户设备向该网络侧发送的附着请求消息是以上行NAS COUNT值的NAS SQN置为全1的该NAS安全上下文进行完整性保护的,则步骤202中接收该 网络侧发送的进行了完整性保护的NAS消息具体可以包括用户设备接收该网络侧发送的进行了完整性保护的NAS消息,该NAS消息携带了 该网络侧存储的下行NAS SQN ;则步骤203具体可以包括根据该NAS消息携带的下行NAS SQN与存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值,并对该NAS消息进行完整性校验;以及在对该NAS消息进行完整性校验成功的情况下,存储该下行NASC0UNT值。其中,如果在步骤201中用户设备向该网络侧发送的附着请求消息是以上行NAS COUNT值的上行NAS OVERFLOW加1的该NAS安全上下文进行完整性保护的,则步骤202中 接收该网络侧发送的进行了完整性保护的NAS消息具体可以包括用户设备接收该网络侧发送的进行了完整性保护的NAS消息,该NAS消息携带了 该网络侧存储的下行NAS SQN ;则步骤203具体可以包括根据该NAS消息携带的下行NAS SQN与存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值对该NAS消息进行完整性校验;以及在对该NAS消息进行完整性校验成功的情况下,存储该下行的NASC0UNT值。另外,用户设备也可以在向该网络侧发送附着请求消息时,以上行和下行NAS COUNT值的NAS SQN均置为全1的该NAS安全上下文进行完整性保护;以使该网络侧可以将存储的上行NAS SQN置全1,并和存储的上行NAS0VERFL0W构 造出一个上行NAS COUNT值对该附着请求消息进行完整性校验;以及当该网络侧对该附着请求消息进行完整性校验成功的情况下,将存储的上行 和下行NAS SQN均置为全1,然后分别与存储的上行NAS0VERFL0W和下行NAS OVERFLOW组 成一个上行和下行NAS COUNT值并存储,这样也可以实现与该用户设备之间的NAS安全上 下文的同步。进一步地,用户设备也可以在向该网络侧发送附着请求消息时,以上行和下行NAS COUNT值的NAS OVERFLOW均加1的该NAS安全上下文进行完整性保护的;以使该网络侧将存储的上行NAS OVERFLOW加1,并和该附着请求消息携带的上行 NAS SQN构造出一个上行NAS COUNT值对该附着请求消息进行完整性校验;以及当该网络侧对该附着请求消息进行完整性校验成功的情况下,将存储的上行 和下行NAS OVERFLOW均加1,然后分别与该附着请求消息中携带的上行和下行NAS SQN组 成一个上行和下行NAS COUNT并存储。这样也可以实现与该用户设备之间的NAS安全上下文的同步。上述对本发明实施例二提供的NAS安全上下文同步方法进行了详细介绍,本发明 实施例可以与网络侧进行NAS安全上下文同步,从而可以使得未更新的NAS安全上下文可 用,且在一定程度上可以减少了 EPS AKA次数,节约了资源。实施例三请参阅图3,图3为本发明实施例三提供的一种非接入层安全上下文的同步方法 的流程图。如图3所示,该方法可以包括步骤301 用户设备开机读取NAS安全上下文,判断其未更新,向MME发起附着请 求消息;步骤302 用户设备利用该套NAS安全上下文对附着请求消息进行完整性保护,且 该附着请求消息中携带NAS安全上下文标识;对于附着请求消息携带的NAS安全上下文标识可以作为一个可选项当用户设备 发现NAS安全上下文是没有更新时才加入这个标识;或者作为必选项,0表示更新,1表示未 更新,反之亦然。步骤303 =MME收到附着请求消息后,根据该NAS安全上下文标识判断该套NAS安 全上下文未更新,将该附着请求消息携带的上行NAS SQN和存储的上行NAS OVERFLOW构造 出一个NAS COUNT值对附着请求消息进行完整性校验。如果用户设备开机附着的MME与关机前附着的MME不同,则当前的MME将该附着 请求消息转发给原来的MME进行完整性校验。如果MME对该附着请求消息进行完整性校验失败,则按现有流程进行EPS AKA对 用户设备重新鉴权。步骤304 如果MME对该附着请求消息进行完整性校验成功,则MME向用户设备发 送进行了完整性保护的NAS安全模式命令消息。该NAS安全模式命令消息中携带MME保存的上行和下行NAS SQN。步骤305 用户设备收到NAS安全模式命令消息后,利用该消息携带的下行NAS SQN和存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值对该消息进行完整性校验;如果校验通过,则保存此下行NAS COUNT值,实现用户设备和MME下行NAS COUNT 值同步,且使用该NAS安全模式命令消息携带的上行NASSQN作为存储的上行NAS SQN,实现 用户设备和MME上行NAS COUNT值同步。步骤306 用户设备向MME返回NAS安全模式完成消息。至此,用户设备和MME已经完成了 NAS安全上下文的同步。另外,如果用户设备开机后检测到NAS安全上下文是有效的,或无效的原因是NAS 安全上下文中的参数Kasme的生命周期达到了最大,则按现有流程进行EPS AKA对用户设 备重新鉴权。本发明实施例以用户设备采用NAS安全上下文对附着请求消息进行完整性保护 为例,介绍了本发明实施例提供的NAS安全上下文的同步方法,可以解决用户设备因电池 耗干或意外断电等原因导致的NAS安全上下文不可用的问题,且在一定程度上可以减少 EPS AKA次数,节约了资源。实施例四
13
请参阅图4,图4为本发明实施例四提供的一种非接入层安全上下文的同步方法 的流程图。如图4所示,该方法可以包括步骤401 用户设备定期更新一次NAS安全上下文;用户设备一旦更换NAS算法和计算出了新的NAS密钥,就更新一次NAS安全上下 文。比如用户设备中的NAS OVERFLOW每增加一次,就更新一次NAS安全上下文,以保证用 户设备和MME中的NAS OVERFLOW是一致的。步骤402 用户设备开机读取NAS安全上下文,判断其未更新,向MME发起附着请 求消息;步骤403 用户设备将上行NAS SQN置为全1,与上行NAS OVERFLOW—起构成一个 NAS COUNT值对该附着请求消息进行完整性保护,该消息中携带NAS安全上下文标识;对于附着请求消息携带的NAS安全上下文标识可以作为一个可选项当用户设备 发现NAS安全上下文是没有更新时才加入这个标识;或者作为必选项,0表示更新,1表示未 更新,反之亦然。步骤404 =MME收到附着请求消息后,据该NAS安全上下文标识判断该套NAS安 全上下文未更新,将该附着请求消息携带的全置1的上行NAS SQN和存储的上行NAS OVERFLOW构造出一个NAS COUNT值对附着请求消息进行完整性校验。如果MME对该附着请求消息进行完整性校验失败,则按现有流程进行EPS AKA对 用户设备重新鉴权。步骤405 如果MME对该附着请求消息进行完整性校验成功,则MME保存此上行 NAS COUNT 值。步骤406 :MME用存储的下行NAS COUNT值作为输入参数之一对发送给用户设备的 下行NAS消息进行完整性保护;步骤407 用户设备收到第一条有完整性保护的下行NAS消息后,利用MME发送的 NAS消息携带的下行NAS SQN和存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值对 该NAS消息进行完整性校验。如果校验成功,则用户设备保存此下行NAS COUNT值,实现用户设备和MME下行 NAS COUNT值同步。至此,用户设备和MME已经完成了 NAS安全上下文的同步。另外,如果用户设备开机后检测到NAS安全上下文是有效的,或无效的原因是NAS 安全上下文中的参数Kasme的生命周期达到了最大,则按现有流程进行EPS AKA对用户设 备重新鉴权。本实施例和实施例三不同点在于实施例三中,上下行NAS COUNT值均由MME决 定;本实施例中,上行NAS COUNT值由用户设备决定,下行NAS COUNT值由MME决定。本发明实施例以用户设备采用NAS安全上下文的上行NAS SQN置为全1对附着请 求消息进行完整性保护为例,介绍了本发明实施例提供的NAS安全上下文的同步方法,可 以解决用户设备因电池耗干或意外断电等原因导致的NAS安全上下文不可用的问题,且在 一定程度上可以减少EPS AKA次数,节约了资源。实施例五请参阅图5,图5为本发明实施例五提供的一种非接入层安全上下文的同步方法 的流程图。如图4所示,该方法可以包括
步骤501 步骤502与上述实施例四中的步骤401 步骤402相同,在此不再复 述。步骤503 用户设备将上行NAS OVERFLOW加1,与上行NAS SQN—起利用构造出一 个上行NAS COUNT值附着请求消息进行完整性保护,该消息中携带NAS安全上下文标识;步骤504 =MME收到附着请求消息后,根据该NAS安全上下文标识判断该NAS安全 上下文未更新,将存储的上行NAS OVERFLOW加1,与该附着请求消息携带的上行NAS SQN构 造出一个上行NAS COUNT值对该附着请求消息进行完整性校验。如果用户设备开机附着的MME与关机前附着的MME不同,则当前的MME将该附着 请求消息转发给原来的MME进行完整性校验。步骤505 步骤506与实施例三的步骤405 步骤406相同,在此不再复述。步骤507 用户设备收到第一条有完整性保护的下行NAS消息后,利用MME传过来 的下行NAS SQN和存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值对该NAS消息 进行完整性校验;如果校验成功,则用户设备保存此下行NAS COUNT值,实现用户设备和MME下行 NAS COUNT值同步。至此,用户设备和MME已经完成了 NAS安全上下文的同步。本实施例和实施例四不同点在于实施例四中,同步后上行NAS SQN为全1,NAS OVERFLOW不变;本实施例中,同步后上行NAS OVERFLOW加1,SQN使用的是用户设备存储的。本发明实施例以用户设备采用NAS安全上下文的上行NAS0VERFL0W加1对附着请 求消息进行完整性保护为例,介绍了本发明实施例提供的NAS安全上下文的同步方法,可 以解决用户设备因电池耗干或意外断电等原因导致的NAS安全上下文不可用的问题,且在 一定程度上可以减少EPS AKA次数,节约了资源。实施例六请参阅图6,图6为本发明实施例六提供的一种非接入层安全上下文的同步方法 的流程图。如图6所示,该方法可以包括步骤601 步骤602与上述实施例四中的步骤401 步骤402相同,在此不再复 述。步骤603 用户设备将上行和下行NAS SQN均置为1后,将上行NAS SQN与上行NAS OVERFLOW 一起构造出一个上行NAS COUNT值附着请求消息进行完整性保护,该消息中携带 NAS安全上下文标识;步骤604 =MME收到附着请求消息后,根据该NAS安全上下文标识判断该NAS安全 上下文未更新,将存储的上行NAS SQN置全1,然后和存储的上行NAS OVERFLOW构造出一个 上行NAS COUNT值对该附着请求消息进行完整性校验。步骤605 如果MME对该附着请求消息进行完整性校验成功,则MME更新存储的上 行和下行NAS SQN均置为全1,分别与存储的上行NAS0VERFL0W和下行NAS OVERFLOW组成 一个上行和下行NAS COUNT值并存储。这样,实现了用户设备和MME之间的上下NAS COUNT值同步。如果MME对该附着请求消息进行完整性校验失败,则按现有流程进行EPS AKA对 用户设备重新鉴权。本实施例和上述实施例不同点在于本实施例中,上行和下行NASC0UNT值由用户设备决定,同步后上行和下行NAS SQN置为全1。本发明实施例以用户设备采用NAS安全上下文的上行和下行NAS SQN均置为全1 对附着请求消息进行完整性保护为例,介绍了本发明实施例提供的NAS安全上下文的同步 方法,可以解决用户设备因电池耗干或意外断电等原因导致的NAS安全上下文不可用的问 题,且在一定程度上可以减少EPSAKA次数,节约了资源。实施例七请参阅图7,图7为本发明实施例七提供的一种非接入层安全上下文的同步方法 的流程图。如图7所示,该方法可以包括步骤701 步骤702与上述实施例四中的步骤401 步骤402相同,在此不再复 述。步骤703 用户设备将自己存储的上行和下行NAS OVERFLOW均加1后,将上行NAS OVERFLOW与存储的上行NAS SQN构造出一个上行NASC0UNT值对该附着请求消息进行完整 性保护,该消息中携带NAS安全上下文标识;步骤704 =MME收到附着请求消息后,根据该NAS安全上下文标识判断该NAS安全 上下文未更新,将存储的上行NAS OVERFLOW均加1,然后和该附着请求消息携带的上行NAS SQN构造出一个上行NAS COUNT值对该附着请求消息进行完整性校验。步骤705 如果MME对该附着请求消息进行完整性校验成功,则MME更新自己存储 的上下行NAS OVERFLOW均加1 ;分别与上述附着请求消息中携带的上行和下行NAS SQN组 成一个上行和下行NAS COUNT并存储。这样,实现了用户设备和MME之间的上行和下行NAS COUNT值同步。本发明实施例以用户设备采用NAS安全上下文的上行和下行NAS0VERFL0W均加1 对附着请求消息进行完整性保护为例,介绍了本发明实施例提供的NAS安全上下文的同步 方法,可以解决用户设备因电池耗干或意外断电等原因导致的NAS安全上下文不可用的问 题,且在一定程度上可以减少EPS AKA次数,节约了资源。另外,本发明实施例还提供了这样的一种思想,即可以在用户设备中通过硬件或 软件的方式设置一个临时存储区,临时存储区的存取速度应该比非易失性存储区要快的 多,而且它突然断电后里面的数据不会丢失,用于存储NAS安全上下文,且用户设备实时更 新这个临时存储区内的NAS安全上下文;每当用户设备的上行和下行NAS COUNT值、NAS密钥以及NAS算法发生变化时,用 户设备便将最新的值复制到临时存储区;用户设备正常关机或变为空闲态或注销态时,将 最新的NAS安全上下文保存到USIM或非易失性存储区,之后可以删除临时存储区域中的信 息;用户设备开机的时候如果发现存储的NAS安全上下文没有更新的话,那么用户设 备就从临时存储区里读出NAS安全上下文,并使用这套安全上下文对NAS消息进行保护。实施例八请参阅图8,图8为本发明实施例八提供的一种网络设备的结构示意图。如图8所 示,该网络设备可以包括接收单元801,用于接收用户设备发送的进行了完整性保护的附着请求消息,该附 着请求消息携带用于指示非接入层NAS安全上下文是否更新的信息;
16
具体地,上述附着请求消息中可以携带一个可选的NAS安全上下文标识,当用户 设备发现NAS安全上下文是未更新时才加入这个标识,0表示更新,1表示未更新;或者,上 述附着请求消息可以携带一个必选的NAS安全上下文标识,0表示更新,1表示未更新,反之 亦然,本发明实施例不作限定。校验单元802,用于根据该附着请求消息获知该NAS安全上下文未更新时,对该 NAS安全上下文进行完整性校验;同步单元803,用于当上述校验单元802对上述附着请求消息进行完整性校验成 功后,与该用户设备进行NAS安全上下文同步。其中,上述校验单802元具体用于当上述附着请求消息是以该NAS安全上下文进 行完整性保护时,将存储的上行NAS OVERFLOW与上述附着请求消息携带的上行NAS SQN构 造出一个上行NAS COUNT值,并对上述附着请求消息进行完整性校验;上述同步单元803,具体用于当上述校验单元802对上述附着请求消息进行完整 性校验成功时,向该用户设备发送进行了完整性保存的NAS安全模式命令消息,该NAS安全 模式命令消息携带了存储的上行和下行NAS SQN ;以使该用户设备接收到该NAS安全模式命令消息之后,将该NAS安全模式命令消 息携带的下行NAS SQN与存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值,并对该 NAS安全模式命令消息进行完整性校验成功时,存储该下行NAS COUNT值并将该NAS安全模 式命令消息携带的上行NAS SQN作为上行NAS COUNT值中的NAS SQN。这样,可以实现了用户设备和MME之间的上行和下行NAS COUNT值的同步。或者,上述校验单元802具体用于当上述附着请求消息是以上行NASC0UNT值的 NAS SQN置为全1的该NAS安全上下文进行完整性保护时,将存储的上行NAS OVERFLOW和 上述附着请求消息携带的置为全1的上行NAS SQN构造出一个上行NAS COUNT值对上述附 着请求消息进行完整性校验;上述同步单元803,具体用于当上述校验单元802对上述附着请求消息进行完整 性校验成功时,存储该上行NAS COUNT值,并向该用户设备发送进行了完整性保护的NAS消 息,该NAS消息携带了存储的下行NAS SQN ;以使该用户设备接收到该NAS消息之后,将该NAS消息携带的下行NAS SQN与存 储的下行NAS OVERFLOW构造出一个下行NAS COUNT值,并对该NAS消息进行完整性校验成 功时,存储该下行NAS COUNT值,这样,也可以实现了用户设备和MME之间的上行和下行NAS COUNT值的同步。或者,上述校验单元802具体用于当上述附着请求消息是以上行NASC0UNT值的 NAS OVERFLOW加1的该NAS安全上下文进行完整性保护时,将存储的上行NAS OVERFLOW加 1,并和上述附着请求消息携带的上行NAS SQN构造出一个上行NAS COUNT值对上述附着请 求消息进行完整性校验;上述同步单元803,具体用于当上述校验单元802对上述附着请求消息进行完整 性校验成功时,存储该上行NAS COUNT值,并向该用户设备发送进行了完整性保护的NAS消 息,该NAS消息携带了存储的下行NAS SQN ;以使该用户设备接收到该NAS消息之后,将该NAS消息携带的下行NAS SQN与存 储的下行NAS OVERFLOW构造出一个下行NAS COUNT值,并对该NAS消息进行完整性校验成功时,存储该下行的NAS COUNT值,这样,也可以实现了用户设备和MME之间的上行和下行 NAS COUNT值的同步。或者,上述校验单元802具体用于当上述附着请求消息是以上行和下行NAS COUNT值的NAS SQN均置为全1的该NAS安全上下文进行完整性保护时,将存储的上行NAS SQN置全1,并和存储的上行NAS OVERFLOW构造出一个上行NAS COUNT值对上述附着请求 消息进行完整性校验;上述同步单元803,具体用于当上述校验单元801对上述附着请求消息进行完 整性校验成功时,将存储的上行和下行NAS SQN均置为全1 ;然后分别与存储的上行NAS OVERFLOW和下行NAS OVERFLOW组成一个上行和下行NAS COUNT值并存储。这样,实现用户设备和MME之间的上行和下行NAS COUNT值的同步。或者,上述校验单元802具体用于当上述附着请求消息是以上行和下行NAS COUNT值的NAS OVERFLOW均加1的该NAS安全上下文进行完整性保护时,将存储的上行NAS OVERFLOW加1,并和上述附着请求消息携带的上行NAS SQN构造出一个上行NAS COUNT值 对上述附着请求消息进行完整性校验;上述同步单元803,具体用于当上述校验单元802对上述附着请求消息进行完整 性校验成功时,将存储的上行和下行NAS OVERFLOW均加1 ;这样,可以进而将上行NAS OVERFLOW加1和上述附着请求消息携带的上行NAS SQN与组成一个上行NAS COUNT值并存储;将下行NAS0VERFL0W加1和上述附着请求消息 携带的下行NAS SQN组成一个下行NAS COUNT值并存储,实现用户设备和MME之间的上行 和下行NASC0UNT值的同步。上述对本发明实施例提供的网络设备进行了详细介绍,本发明实施例可以对用户 设备开机后发送的具有完整性保护的附着请求消息进行完整性校验,且在校验成功之后与 用户设备进行NAS安全上下文同步,从而可以解决用户设备因电池耗干或意外断电等原因 导致的NAS安全上下文不可用的问题,且在一定程度上可以减少EPS AKA次数,节约了资 源。实施例九请参阅图9,图9为本发明实施例九提供的一种用户设备的结构示意图。本发明实 施例中涉及的用户设备包括但不限于移动终端,个人电脑等。如图9所示,该用户设备可以 包括发送单元901,用于向网络侧发送进行了完整性保护的附着请求消息,其中,该附 着请求消息携带有用于指示非接入层NAS安全上下文是否更新的信息;接收单元902,用于接收该网络侧发送的进行了完整性保护的NAS消息;其中,该 NAS消息是该网络侧根据该附着请求消息获知该NAS安全上下文未更新,并在对该附着请 求消息进行完整性校验成功后发送的;校验单元903,用于对上述接收单元902接收的该NAS消息进行完整性校验;同步单元904,用于当上述校验单元903对该NAS消息进行完整性校验成功后,与 该网络侧进行NAS安全上下文同步。其中,上述接收单元902具体用于当上述附着请求消息是以该NAS安全上下文进 行完整性保护时,接收该网络侧发送的进行了完整性保护的NAS安全模式命令消息,该NAS安全模式命令消息携带了该网络侧存储的上行和下行NAS SQN ;上述校验单元903,用于根据上述NAS安全模式命令消息携带的下行NAS SQN与存 储的下行NAS OVERFLOW构造出一个下行NAS COUNT值,并对上述NAS安全模式命令消息进 行完整性校验;上述同步单元904,具体用于当上述校验单元903对该NAS安全模式命令消息进 行完整性校验成功后,存储该下行NAS COUNT值,并将该NAS安全模式命令消息携带的上行 NAS SQN作为上行NAS COUNT值中的NASSQN。其中,上述接收单元902具体用于当上述附着请求消息是以上行NASC0UNT值的 NAS SQN置为全1的该NAS安全上下文进行完整性保护时,接收该网络侧发送的进行了完整 性保护的NAS消息,该NAS消息携带了该网络侧存储的下行NAS SQN ;上述校验单元903,用于根据该NAS消息携带的下行NAS SQN与存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值,并对该NAS消息进行完整性校验;上述同步单元904,具体用于当上述校验单元903对该NAS消息进行完整性校验成 功后,存储该下行NAS COUNT值。其中,上述接收单元902具体用于当上述附着请求消息是以上行NASC0UNT值的 NAS OVERFLOW加1的该NAS安全上下文进行完整性保护时,接收该网络侧发送的进行了完 整性保护的NAS消息,该NAS消息携带了网络侧存储的下行NAS SQN ;上述校验单元903,用于根据该NAS消息携带的下行NAS SQN与存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值对该NAS消息进行完整性校验;上述同步单元904,具体用于当上述校验单元903对该NAS消息进行完整性校验成 功后,存储该下行的NAS COUNT值。上述对本发明实施例九提供的用户设备进行了详细介绍,本发明实施例提供的用 户设备可以与网络侧进行NAS安全上下文同步,从而可以使得未更新的NAS安全上下文可 用,且在一定程度上可以减少了 EPS AKA次数,节约了资源。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括只读存储器(ROM)、 随机存取器(RAM)、磁碟或者光盘等各种可以存储程序代码的介质。以上对本发明实施例所提供的一种非接入层安全上下文的同步方法及相关设备 进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实 施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术 人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说 明书内容不应理解为对本发明的限制。
权利要求
一种非接入层安全上下文的同步方法,其特征在于,包括接收用户设备发送的进行了完整性保护的附着请求消息,其中,所述附着请求消息携带有用于指示非接入层NAS安全上下文是否更新的信息;如果根据所述附着请求消息获知所述NAS安全上下文未更新,则在对所述附着请求消息进行完整性校验成功后,与所述用户设备进行NAS安全上下文同步。
2.根据权利要求1所述的方法,其特征在于,若用户设备发送的附着请求消息是以所 述NAS安全上下文进行完整性保护的,则所述对所述附着请求消息进行完整性校验包括将存储的上行非接入层溢出值NAS OVERFLOW与所述附着请求消息携带的上行非接入 层序列号NAS SQN构造出一个上行非接入层计数NASC0UNT值,并对所述附着请求消息进行 完整性校验;如果所述完整性校验成功,则所述与所述用户设备进行NAS安全上下文同步包括 向所述用户设备发送进行了完整性保存的NAS安全模式命令消息;所述NAS安全模式 命令消息携带了存储的上行和下行NAS SQN。
3.根据权利要求1所述的方法,其特征在于,若用户设备发送的附着请求消息是以上 行NAS COUNT值的NAS SQN置为全1的所述NAS安全上下文进行完整性保护的,则所述对 所述附着请求消息进行完整性校验包括将存储的上行NAS OVERFLOW和所述附着请求消息携带的置为全1的上行NAS SQN构 造出一个上行NAS COUNT值,并对所述附着请求消息进行完整性校验;如果所述完整性校验成功,则所述与所述用户设备进行NAS安全上下文同步包括 存储所述上行NAS COUNT值;向所述用户设备发送进行了完整性保护的NAS消息,该 NAS消息携带了存储的下行NAS SQN。
4.根据权利要求1所述的方法,其特征在于,若用户设备发送的附着请求消息是以上 行NAS COUNT值的NAS OVERFLOW加1的所述NAS安全上下文进行完整性保护的,则所述对 所述附着请求消息进行完整性校验包括将存储的上行NAS OVERFLOW加1,并和所述附着请求消息携带的上行NAS SQN构造出 一个上行NAS COUNT值对所述附着请求消息进行完整性校验;如果所述完整性校验成功,则所述与所述用户设备进行NAS安全上下文同步包括 存储所述上行NAS COUNT值;向所述用户设备发送进行了完整性保护的NAS消息,所述 NAS消息携带了存储的下行NAS SQN。
5.根据权利要求1所述的方法,其特征在于,若用户设备发送的附着请求消息是以上 行和下行NAS COUNT值的NAS SQN均置为全1的所述NAS安全上下文进行完整性保护的, 则所述对所述附着请求消息进行完整性校验包括将存储的上行NAS SQN置全1,并和存储的上行NAS OVERFLOW构造出一个上行NAS COUNT值对所述附着请求消息进行完整性校验;如果所述完整性校验成功,则所述与所述用户设备进行NAS安全上下文同步包括 将存储的上行和下行NAS SQN均置为全1,分别与存储的上行NAS0VERFL0W和下行NAS OVERFLOW组成上行和下行NAS COUNT并存储。
6.根据权利要求1所述的方法,其特征在于,若用户设备发送的附着请求消息是以上 行和下行NAS COUNT值的NAS OVERFLOW均加1的所述NAS安全上下文进行完整性保护的,则所述对所述附着请求消息进行完整性校验包括将存储的上行NAS OVERFLOW加1,并和所述附着请求消息携带的上行NAS SQN构造出 一个上行NAS COUNT值对所述附着请求消息进行完整性校验;如果所述完整性校验成功,则所述与所述用户设备进行NAS安全上下文同步包括 将存储的上行和下行NAS OVERFLOW均加1,分别与所述附着请求消息中携带的上行和 下行NAS SQN组成上行和下行NAS COUNT并存储。
7.一种非接入层安全上下文的同步方法,其特征在于,包括向网络侧发送进行了完整性保护的附着请求消息,其中,所述附着请求消息携带有用 于指示非接入层NAS安全上下文是否更新的信息;接收所述网络侧发送的进行了完整性保护的NAS消息,其中,所述NAS消息是所述网络 侧根据所述附着请求消息获知所述NAS安全上下文未更新,并在对所述附着请求消息进行 完整性校验成功后发送的;对所述NAS消息进行完整性校验成功后,与所述网络侧进行NAS安全上下文同步。
8.根据权利要求7所述的方法,其特征在于,若所述附着请求消息是以所述NAS安全 上下文进行完整性保护的,则所述接收所述网络侧发送的进行了完整性保护的NAS消息包 括接收所述网络侧发送的进行了完整性保护的NAS安全模式命令消息,所述NAS安全模 式命令消息携带了所述网络侧存储的上行和下行NAS SQN ; 所述对所述NAS消息进行完整性校验包括根据所述NAS安全模式命令消息携带的下行NAS SQN与存储的下行NAS OVERFLOW构 造出一个下行NAS COUNT值,并对所述NAS安全模式命令消息进行完整性校验; 如果所述完整性校验成功,则所述与所述网络侧进行NAS安全上下文同步包括 存储所述下行NAS COUNT值,并将所述NAS安全模式命令消息携带的上行NAS SQN作 为上行NAS COUNT值中的NAS SQN。
9.根据权利要求7所述的方法,其特征在于,若所述附着请求消息是以上行NASCOUNT 值的NAS SQN置为全1的所述NAS安全上下文进行完整性保护的,则所述接收所述网络侧 发送的进行了完整性保护的NAS消息包括接收所述网络侧发送的进行了完整性保护的NAS消息,所述NAS消息携带了所述网络 侧存储的下行NAS SQN;所述对所述NAS消息进行完整性校验包括根据所述NAS消息携带的下行NAS SQN与存储的下行NAS0VERFL0W构造出一个下行 NAS COUNT值,并对所述NAS消息进行完整性校验;如果所述完整性校验成功,则所述与所述网络侧进行NAS安全上下文同步包括 存储所述下行NAS COUNT值。
10.根据权利要求7所述的方法,其特征在于,若所述附着请求消息是以上行NAS COUNT值的上行NAS OVERFLOW加1的所述NAS安全上下文进行完整性保护的,则所述接收 所述网络侧发送的进行了完整性保护的NAS消息包括接收所述网络侧发送的进行了完整性保护的NAS消息,所述NAS安全模式命令消息携 带了所述网络侧存储的下行NAS SQN;所述对所述NAS消息进行完整性校验包括根据所述NAS消息携带的下行NAS SQN与存储的下行NAS0VERFL0W构造出一个下行 NAS COUNT值对所述NAS消息进行完整性校验;如果所述完整性校验成功,则所述与所述网络侧进行NAS安全上下文同步包括存储所述下行的NAS COUNT值。
11.一种网络设备,其特征在于,包括接收单元,用于接收用户设备发送的进行了完整性保护的附着请求消息,其中,所述附 着请求消息携带有用于指示非接入层NAS安全上下文是否更新的信息;校验单元,用于根据所述附着请求消息获知所述NAS安全上下文未更新时,对所述NAS 安全上下文进行完整性校验;同步单元,用于当所述校验单元对所述附着请求消息进行完整性校验成功后,与所述 用户设备进行NAS安全上下文同步。
12.根据权利要求11所述的网络设备,其特征在于,所述校验单元具体用于当所述附 着请求消息是以所述NAS安全上下文进行完整性保护时,将存储的上行NAS OVERFLOW与所 述附着请求消息携带的上行NAS SQN构造出一个上行NAS COUNT值,并对所述附着请求消 息进行完整性校验;所述同步单元,用于当所述校验单元对所述附着请求消息进行完整性校验成功后,向 所述用户设备发送进行了完整性保存的NAS安全模式命令消息,所述NAS安全模式命令消 息携带了存储的上行和下行NAS SQN。
13.根据权利要求11所述的网络设备,其特征在于,所述校验单元具体用于当所述附 着请求消息是以上行NAS COUNT值的NAS SQN置为全1的所述NAS安全上下文进行完整性 保护时,将存储的上行NAS OVERFLOW和所述附着请求消息携带的置为全1的上行NAS SQN 构造出一个上行NASC0UNT值对所述附着请求消息进行完整性校验;所述同步单元,用于当所述校验单元对所述附着请求消息进行完整性校验成功后,存 储所述上行NAS COUNT值,并向所述用户设备发送进行了完整性保护的NAS消息,所述NAS 消息携带了存储的下行NAS SQN。
14.根据权利要求11所述的网络设备,其特征在于,所述校验单元具体用于当所述附 着请求消息是以上行NAS COUNT值的NAS OVERFLOW加1的所述NAS安全上下文进行完整 性保护时,将存储的上行NAS OVERFLOW加1,并和所述附着请求消息携带的上行NAS SQN构 造出一个上行NASC0UNT值对所述附着请求消息进行完整性校验;所述同步单元,用于当所述校验单元对所述附着请求消息进行完整性校验成功后,存 储所述上行NAS COUNT值,并向所述用户设备发送进行了完整性保护的NAS消息,所述NAS 消息携带了存储的下行NAS SQN。
15.根据权利要求11所述的网络设备,其特征在于,所述校验单元具体用于当所述附 着请求消息是以上行和下行NAS COUNT值的NAS SQN均置为全1的所述NAS安全上下文进 行完整性保护时,将存储的上行NAS SQN置全1,并和存储的上行NAS OVERFLOW构造出一个 上行NAS COUNT值对所述附着请求消息进行完整性校验;所述同步单元,用于当所述校验单元对所述附着请求消息进行完整性校验成功后, 将存储的上行和下行NAS SQN均置为全1,分别与存储的上行NAS OVERFLOW和下行NASOVERFLOW组成一个上行和下行NASC0UNT值并存储。
16.根据权利要求11所述的网络设备,其特征在于,所述校验单元具体用于当所述附 着请求消息是以上行和下行NAS COUNT值的NAS0VERFL0W均加1的所述NAS安全上下文进 行完整性保护时,将存储的上行NAS OVERFLOW加1,并和所述附着请求消息携带的上行NAS SQN构造出一个上行NAS COUNT值对所述附着请求消息进行完整性校验;所述同步单元,用于当所述校验单元对所述附着请求消息进行完整性校验成功后,将 存储的上行和下行NAS OVERFLOW均加1,分别与所述附着请求消息中携带的上行和下行 NAS SQN组成一个上行和下行NAS COUNT值并存储。
17.一种用户设备,其特征在于,包括发送单元,用于向网络侧发送进行了完整性保护的附着请求消息,其中,所述附着请求 消息携带有用于指示非接入层NAS安全上下文是否更新的信息;接收单元,用于接收所述网络侧发送的进行了完整性保护的NAS消息;其中,所述NAS 消息是所述网络侧根据所述附着请求消息获知所述NAS安全上下文未更新,并在对所述附 着请求消息进行完整性校验成功后发送的;校验单元,用于所述NAS消息进行完整性校验;同步单元,用于当所述校验单元对所述NAS消息进行完整性校验成功后,与所述网络 侧进行NAS安全上下文同步。
18.根据权利要求17所述的用户设备,其特征在于,所述接收单元具体用于当所述附 着请求消息是以所述NAS安全上下文进行完整性保护时,接收所述网络侧发送的进行了完 整性保护的NAS安全模式命令消息,所述NAS安全模式命令消息携带了所述网络侧存储的 上行和下行NAS SQN ;所述校验单元,用于根据所述NAS安全模式命令消息携带的下行NASSQN与存储的下行 NAS OVERFLOW构造出一个下行NAS COUNT值,并对所述NAS安全模式命令消息进行完整性 校验;所述同步单元,用于当所述校验单元对所述NAS安全模式命令消息进行完整性校验成 功后,存储所述下行NAS COUNT值,并将所述NAS安全模式命令消息携带的上行NAS SQN作 为上行NAS COUNT值中的NAS SQN。
19.根据权利要求17所述的用户设备,其特征在于,所述接收单元具体用于当所述附 着请求消息是以上行NAS COUNT值的NAS SQN置为全1的所述NAS安全上下文进行完整性 保护时,接收所述网络侧发送的进行了完整性保护的NAS消息,所述NAS消息携带了所述网 络侧存储的下行NAS SQN;所述校验单元,用于根据所述NAS消息携带的下行NAS SQN与存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值,并对所述NAS消息进行完整性校验;所述同步单元,用于当所述校验单元对所述NAS消息进行完整性校验成功后,存储所 述下行NAS COUNT值。
20.根据权利要求17所述的用户设备,其特征在于,所述接收单元具体用于当所述附 着请求消息是以上行NAS COUNT值的NAS OVERFLOW加1的所述NAS安全上下文进行完整 性保护时,接收所述网络侧发送的进行了完整性保护的NAS消息,所述NAS安全模式命令消 息携带了所述网络侧存储的下行NAS SQN;5所述校验单元,用于根据所述NAS消息携带的下行NAS SQN与存储的下行NAS OVERFLOW构造出一个下行NAS COUNT值对所述NAS消息进行完整性校验;所述同步单元,用于当所述校验单元对所述NAS消息进行完整性校验成功后,存储所述下行的NAS COUNT值。
全文摘要
本发明涉及通信技术领域,公开了一种非接入层安全上下文的同步方法及网络设备,其中一种非接入层安全上下文的同步方法包括接收用户设备发送的进行了完整性保护的附着请求消息,其中,该附着请求消息携带有用于指示非接入层NAS安全上下文是否更新的信息;如果根据该附着请求消息获知该NAS安全上下文未更新,则在对该附着请求消息进行完整性校验成功后,与该用户设备进行NAS安全上下文同步。使用本发明实施例提供的技术方案,可以解决用户设备因电池耗干或意外断电等原因导致的非接入层安全上下文不可用的问题,且在一定程度上可以减少了演进的分组系统认证和密钥协商次数,节约了资源。
文档编号H04W28/18GK101873586SQ200910137340
公开日2010年10月27日 申请日期2009年4月24日 优先权日2009年4月24日
发明者庄小君, 张爱琴, 杨义, 陈璟 申请人:华为技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:杨义;庄小君;陈璟;张爱琴
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
设备上下文相关技术
dc设备上下文相关技术
设备上下文环境相关技术
上下文相关文法相关技术
上下文相关相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2