一种安全模式建立的方法及无线网络控制器的制作方法

专利名称：一种安全模式建立的方法及无线网络控制器的制作方法
技术领域：
本发明涉及无线通讯技术领域，尤其涉及一种安全模式建立的方法及无 线网络控制器。
背景技术：
在第三代移动通信网络中，随着数据量与业务种类的增多，对通信安全
性的要求也越来越高。与2G相比，3G不仅保留了核心网对用户的鉴权和 数据加解密，还衍生出用户对核心网的鉴权以及本地鉴权(完整性保护)。
本地鉴权机制采用完整性算法(f9 )对RRC (无线资源控制)层信令进 行完整性保护，以防止信令被截获或篡改，从而保证信令的安全。完整性保 护的原理是发送方将要发送的RRC层信令的码流和其它参数输入到 算法 中，得到一个32位的消息鉴权码(Message Authentication code for Integrity, MAC-I)，将消息鉴权码填入信令的完整性保护头中。接收方緩存信令中的 消息鉴权码，并将信令中的对应位设置为0，再将信令的码流和其它参数输 入到f9算法中，得到32位的X-鉴权码，如果得到的X-鉴权码与之前緩存 的消息鉴权码相同，则接收方认为此条信令完整性保护成功，可以继续处理； 否则接收方认为此条消息完整性保护失败，丢弃不处理。
完整性算法的输入参数除了信令的码流和码流长度外，还包括完整性保 护密钥(IK) 、 COUNT-I (完整性序列号)、随机数和方向信息。其中128 位IK是在用户卡鉴权过程中通过f4算法生成的，COUNT-I由超帧号(Hyper Frame Number, HFN)和RRC消息序列号(SN)共同组成，COUNT-I为 32位，高28位为HFN,低4位为RRC SN，每个信令RB (无线承载)上 传输的RRC消息的数量各自计数。32位随机数是网络侧在安全模式控制消 息中指定的参数。方向信息用0表示上行，l表示下行，区分不同方向的信 令的完整性保护。
4从完整性保护的参数的特性可以看出，并不是所有RRC信令都适合作 完整性保护，例如，在安全模式控制消息之前的信令因为缺少随机数信息而 不能作完整性保护。不进行完整性保护的RRC信令包括RRC CONNECTION REQUEST ( RRC连接请求)、RRC CONNECTION SETUP(RRC连接建立)、RRC CONNECTION SETUP COMPLETE ( RRC连 接建立完成)、RRC CONNECTION REJECT (RRC连接拒绝)、RRC CONNECTION RELEASE (RRC连接释放)等。其中，RRC CONNECTION RELEASE消息用于发起释放RRC连接，可以在DCCH (专用控制信道)上 发送。
如图1所示，安全模式建立的过程包括
步骤101:无线网络控制器的RRC在RB2上以确认模式发送安全模式 控制消息；
步骤102:无线网络控制器的RLC (无线链路控制)将RB2上的数据 发给UE侧的RLC;
步骤103: UE侧的RLC将RB2上收到的安全模式控制消息发给RRC;
步骤104: UE側的RLC向无线网络控制器的RLC确认RB2下行数据 发送成功；
步骤105:无线网络控制器的RLC向RRC确认安全模式控制消息成功 发送给UE侧；
步骤106: UE侧的RRC对安全模式控制消息完整性保护检查通过，在 RB2上以确认模式发送安全模式完成消息；
步骤107: UE侧的RLC将RB2上的数据发给RNC侧的RLC;
步骤108: RNC侧的RLC将RB2上收到的安全模式完成消息发给RNC 側的RRC, RNC侧的RRC对该消息进行完整性保护头的检查，如果完整性 保护成功，网络侧认为安全模式建立成功；
步骤109: RNC侧的RLC向UE侧的RLC确认安全模式完成消息发送 成功；
步骤110: UE侧的RLC向UE侧的RRC确认安全模式完成消息发送成功，UE侧认为安全模式建立成功。
UE收到安全模式控制消息后，先4全查消息里的UE安全能力与本身存 储的能力信息是否一致，再利用消息指定的UIA (完整性算法指示)、存储 的COUNT-I和消息中携带的随机数计算得到X-MAC。如杲X-MAC与消息 里带的MAC值相等，UE认为安全模式控制消息完整性保护成功，可以继 续处理；如果不相等，UE认为这条安全模式控制消息无效，丟弃不处理。
UE按照安全模式控制消息中的信元要求启动完整性保护和加密(可 选)，生成安全模式完成消息，并使用最新的完整性保护配置参数对其进行 完整性保护，计算MAC，然后发送给网络侧。由于该安全模式完成消息在 RB2上使用确认模式传输，所以当网络侧的RLC向UE侧的RLC确认这条 消息发送成功时，UE侧即认为安全模式建立成功，以后所有能够进行完整 性保护的信令都必须进行完整性保护，即上行消息要增加完整性保护头，下 行消息要包含完整性保护头且通过完整性保护的验证。
网络侧收到安全模式完成消息后，也对该消息进行完整性保护头的检 查。如果完整性保护成功，网络侧认为安全模式建立成功，以后所有能够进 行完整性保护的信令都必须进行完整性保护，即下行消息要增加完整性保护 头，上行消息要包含完整性保护头且通过完整性保护的验证。
但是，如图2所示，RNC侧的RRC如果对收到的安全模式完成消息的 完整性保护失败(步骤208)，则认为安全模式建立失败，丢弃消息并释放 信令连接。在发送RRC CONNECTION RELEASE消息(步骤211 )时，由 于网络侧不认为安全模式建立成功，所以不会为其增加完整性保护头。而 UE侧收到这条信令消息时，因为已接收到网络侧对安全模式完成消息的确 认，认为安全模式已经建立，因此，会直接丢弃这条不包含完整性保护头的 RRC CONNECTION RELEASE消息。这样就会导致网络侧因为一直等不到 UE侧连4妄释力文的确认，而反复重发RRC CONNECTION RELEASE消息； 而UE側因为完整性保护已经启动， 一直不处理不带完整性保护头的连接释 放消息；使得信令连接无法释放，陷入死锁。

发明内容
6本发明要解决的技术问题是提供一种安全模式建立的方法及无线网络
控制器，解决由于UE侧和网络侧决策安全模式建立成功的时机和条件不同， UE侧认为安全模式建立成功而网络侧认为安全模式建立失败的情况下，双 方完整性保护启动状态不一致而导致无法继续通信、陷入死锁的问题。
为解决上述技术问题，本发明的一种安全模式建立的方法，包括
无线网络控制器RNC的无线资源控制RRC确认安全模式控制消息成功 发送给用户设备UE后，锁定RNC的无线链路控制RLC向UE的消息确认 功能；
UE对安全模式控制消息完整性保护检查通过后，以确认模式向RNC发 送安全模式完成消息；
RNC的RRC接收到安全模式完成消息后，对该消息进行完整性保护检 查，若完整性保护失败，则在接收到UE的小区更新请求后，向UE发送RRC 连接释放消息，通知UE释放RRC连接。
进一步地，RNC的RRC对安全模式完成消息进行的完整性保护检查若 成功，则恢复RNC的RLC向UE的消息确{人功能；
RNC的RLC向UE确认安全模式完成消息发送成功。
进一步地，UE向RNC发送安全模式完成消息后，在收到RNC对安全 模式完成消息发送成功的确认前，重复向RNC发送安全模式完成消息，直 到达到最大重发次数，产生不可恢复错误，触发小区更新过程，向RNC发 送小区更新请求。
进一步地，RNC的RRC对安全模式完成消息进行的完整性保护检查失 败后，还停止RNC的RLC的数据收发功能。
进一步地，RNC的RRC对安全模式完成消息进行的完整性保护检查失 败后，还将安全配置回退到向UE发送安全模式控制消息之前的状态。
进一步地，UE触发小区更新过程后，还将安全配置回退到接收到安全 模式控制消息之间的状态。
进一步地， 一种无线网络控制器，包括RRC和RLC，其中
RRC,用于在确认安全模式控制消息成功发送给UE后，锁定RLC向说明书第5/8页
UE的消息确认功能；在接收到UE发送的安全模式完成消息后，对该消息 进行完整性保护检查，若完整性保护失败，则在接收到UE的小区更新请求 后，向UE发送RRC连接释放消息，通知UE释放RRC连接。
进一步地，RRC,还用于在对安全模式完成消息进行完整性保护检查成 功时，恢复RLC向UE的消息确认功能；
RLC，用于向UE确认安全模式完成消息发送成功。
进一步地，RRC，还用于在对安全模式完成消息进行的完整性保护检查 失败后，停止RNC的RLC的数据收发功能。
进一步地，RRC,还用于在对安全模式完成消息进行的完整性保护检查 失败后，将安全配置回退到向UE发送安全模式控制消息之前的状态。
综上所述，本发明中网络側在确定安全模式建立成功之后，网络侧的 RLC才向UE侧的RLC确认安全模式完成消息发送成功，使得网络侧和UE 侧同时决策安全模式建立成功，从而避免UE侧丢弃不包含完整性保护头的 RRC CONNECTION RELEASE消息，导致网络侧因为得不到UE侧连接释 放的确认，而反复重发RRC CONNECTION RELEASE消息，使得信令连招「 无法释放而陷入死锁。


图1为现有技术中安全模式建立成功的流程图； 图2为现有技术中安全模式建立失败的流程图； 图3为本发明中安全模式建立成功的流程图； 图4为本发明中安全模式建立失败的流程图； 图5为本发明无线网络控制器的架构图。
具体实施例方式
本发明中，网络側在认为安全模式建立成功之前，其RLC不向UE侧 的RLC确认安全模式完成消息发送成功；在网络側确定安全模式建立成功之后，其RLC才向UE侧的RLC确认安全模式完成消息发送成功，使得网 络侧和UE侧决策安全模式建立成功的时机一致。如果网络侧认为安全模式 建立失败，则不响应UE侧在RB2上的所有上行消息，直到UE侧发生小区 更新，终止未结束的安全模式配置过程，使得双方的完整性保护状态一致， 具备通信的基本条件。
下面结合附图对本发明的具体实施方法进行说明。
如图3所示，本发明的安全模式建立方法中成功建立安全;f莫式的过程， 包括
步骤301:无线网络控制器的RRC在RB2上以确认模式发送安全模式 控制消息(SECURITY MODE COMMAND );
步骤302:无线网络控制器的RLC将RB2上的lt据(datapdu，协议数 据单元)发给UE侧的RLC;
步骤303: UE侧的RLC将RB2上收到的安全模式控制消息发给RRC;
步骤304: UE侧的RLC向无线网络控制器的RLC确认RB2下行数据 发送成功(datacnf,数据确认)；
步骤305:无线网络控制器的RLC向RRC确认安全模式控制消息成功 发送给UE侧；
步骤306:无线网络控制器的RRC锁定RLC在RB2上的消息确认功能， 即在RB2上收到数据也不向发送方(UE )确认；
步骤307: UE側的RRC对安全模式控制消息完整性保护检查通过，在 RB2上以确i人模式发送安全模式完成消息(SECURITY MODE COMPLETE);
步骤308:无线网络控制器的RLC在RB2上收到上行数据，由于RB2 上的确认功能被锁定，不向发送方(UE)确认数据已经收到；
步骤309:无线网络控制器的RRC收到安全^^莫式完成消息，进行完整 性保护检查，完整性保护成功，认为安全模式建立成功；
步骤310:无线网络控制器的RRC恢复RLC在RB2上的消息确认功能；步骤311:无线网络控制器的RLC向UE侧的RLC确认RB2上行数据 发送成功；
步骤312: UE侧的RLC确认RB2上的数据发送成功，UE側认为安全 模式建立成功，双方同时启动完整性保护。
如图4所示，本发明的安全模式建立方法中未成功建立安全模式的处理 过程，包括
步骤401:无线网络控制器的RRC在RB2上以确认模式发送安全模式 控制消息；
步骤402:无线网络控制器的RLC将RB2上的数据发给UE侧的RLC;
步骤403: UE侧的RLC将RB2上收到的安全模式控制消息发给RRC;
步骤404: UE侧的RLC向无线网络控制器的RLC确认RB2下行数据 发送成功；
步骤405:无线网络控制器的RLC向RRC确认安全模式控制消息成功 发送给UE侧；
步骤406:无线网络控制器的RRC锁定RLC在RB2上的确认功能，即 在RB2上收到数据也不向发送方(UE)确认；
步骤407: UE侧的RRC对安全模式控制消息完整性保护检查通过，在 RB2上以确认模式发送安全模式完成消息；
步骤408:无线网络控制器的RLC在RB2上收到上行数据，由于RB2 上的确认功能被锁定，不向发送方(UE)确认数据已经收到；
步骤409:无线网络控制器的RRC收到安全模式完成消息，进行完整 性保护检查，完整性保护失败，认为安全模式建立失败，将网络侧的安全配 置回退到发送安全模式控制消息的状态，即不进行完整性保护；
步骤410:无线网络控制器的RRC停止RLC在RB2上的数据收发功能；
由于完整性保护失败，因此，即使RLC继续收发数据也无法进行处理。
步骤411: UE側的RLC因为一直收不到对端RLC的确认，会重发RB2 上的数据；
10步骤412: UE侧的RLC重发达到最大重发次数后，导致RLC不可恢复 错误(rlc unrecover error);
步骤413: RLC不可恢复错误触发小区更新过程(CELL UPDATE ), 这时UE侧的安全模式建立过程被小区更新打断，安全配置回退到收到网络 側安全模式控制消息的状态，即，不进行完整性保护；
步骤414:无线网络控制器的RRC收到UE的小区更新请求，且原因为 RLC不可恢复错误，在RB1 DCCH上发送RRC CONNECTION RELEASE (RRC连接释放)消息；
步骤415:无线网络控制器的RLC将RB1上的数据发给UE側的RLC;
步骤416: UE收到RBI上的RRC CONNECTION RELEASE消息，因 为安全配置已经回退，所以该消息无需完整性保护，UE响应和处理RRC连 接释放。
如图5所示，本发明还提供了一种无线网络控制器，包括RRC和RLC, 其中，
RRC,用于在确认安全模式控制消息成功发送给UE后，锁定RLC向 UE的消息确认功能；在接收到UE发送的安全模式完成消息后，对该消息 进行完整性保护检查，若完整性保护失败，则在接收到UE的小区更新请求 后，向UE发送RRC连接释;^t消息，通知UE释放RRC连接。在对安全模 式完成消息进行完整性保护检查成功时，恢复RLC向UE的消息确认功能； 在对安全模式完成消息进行的完整性保护检查失败后，还停止RNC的RLC 的数据收发功能，并将安全配置回退到向UE发送安全模式控制消息之前的 状态。
RLC,用于向UE确认安全模式完成消息发送成功。 无线网络控制器的其它功能请参考方法内容的描述。
应当理解的是，对本发明技术所在领域的普通技术人员来说，可以根据 本发明的技术方案及其构思进行相应的等同改变或替换，而所有这些改变或 替换，都应属于本发明所附权利要求的保护范围。
权利要求
1、一种安全模式建立的方法，包括无线网络控制器RNC的无线资源控制RRC确认安全模式控制消息成功发送给用户设备UE后，锁定所述RNC的无线链路控制RLC向所述UE的消息确认功能；所述UE对所述安全模式控制消息完整性保护检查通过后，以确认模式向所述RNC发送安全模式完成消息；所述RNC的RRC接收到所述安全模式完成消息后，对该消息进行完整性保护检查，若完整性保护失败，则在接收到所述UE的小区更新请求后，向所述UE发送RRC连接释放消息，通知UE释放RRC连接。
2、 如权利要求l所述的方法，其特征在于，所述RNC的RRC对所述安全模式完成消息进行的完整性保护检查若成 功，则恢复所述RNC的RLC向所述UE的消息确认功能；所述RNC的RLC向所述UE确认安全才莫式完成消息发送成功。
3、 如权利要求l所述的方法，其特征在于，所述UE向所述RNC发送安全模式完成消息后，在收到所述RNC对安 全模式完成消息发送成功的确认前，重复向所述RNC发送所述安全模式完 成消息，直到达到最大重发次数，产生不可恢复错误，触发小区更新过程， 向所述RNC发送所述小区更新i青求。
4、 如权利要求l所述的方法，其特征在于，所述RNC的RRC对所述安全模式完成消息进行的完整性保护检查失败 后，还停止所述RNC的RLC的数据收发功能。
5、 如权利要求l所述的方法，其特征在于，所述RNC的RRC对所述安全才莫式完成消息进行的完整性保护检查失败 后，还将安全配置回退到向所述UE发送所述安全模式控制消息之前的状态。
6、 如权利要求3所述的方法，其特征在于，所述UE触发小区更新过程后，还将安全配置回退到接收到所述安全模式控制消息之间的状态。
7、 一种无线网络控制器，包括RRC和RLC，其中所述RRC,用于在确认安全模式控制消息成功发送给UE后，锁定RLC向所述UE的消息确认功能；在接收到所述UE发送的安全模式完成消息后，对该消息进行完整性保护;险查，若完整性保护失败，则在接收到所述UE的小区更新请求后，向所述UE发送RRC连接释放消息，通知UE释放RRC连接。
8、 如权利要求7所述的无线网络控制器，其特征在于，所述 RRC，还用于在对所述安全模式完成消息进行完整性保护检查成功时，恢复所述RLC向所述UE的消息确认功能；所述RLC,用于向所述UE确认安全模式完成消息发送成功。
9、 如权利要求7所述的无线网络控制器，其特征在于，所述RRC，还用于在对所述安全模式完成消息进行的完整性保护检查失败后，停止所述RNC的RLC的数据收发功能。
10、 如权利要求7所述的无线网络控制器，其特征在于，所述RRC，还用于在对所述安全模式完成消息进行的完整性保护检查失败后，将安全配置回退到向所述UE发送所述安全模式控制消息之前的状态。
全文摘要
本发明公开了一种安全模式建立的方法，包括无线网络控制器RNC的无线资源控制RRC确认安全模式控制消息成功发送给用户设备UE后，锁定RNC的无线链路控制RLC向UE的消息确认功能；UE对安全模式控制消息完整性保护检查通过后，以确认模式向RNC发送安全模式完成消息；RNC的RRC接收到安全模式完成消息后，对该消息进行完整性保护检查，若完整性保护失败，则在接收到UE的小区更新请求后，向UE发送RRC连接释放消息，通知UE释放RRC连接。本发明能够避免网络侧因为得不到UE侧连接释放的确认，而反复重发RRC CONNECTION RELEASE消息，使得信令连接无法释放而陷入死锁。
文档编号H04W12/08GK101651949SQ20091016315
公开日2010年2月17日 申请日期2009年8月17日 优先权日2009年8月17日
发明者丹 刘 申请人:中兴通讯股份有限公司