Nothing Special   »   [go: up one dir, main page]

CN101384079A - 一种终端移动时防止降质攻击的方法、系统及装置 - Google Patents

一种终端移动时防止降质攻击的方法、系统及装置 Download PDF

Info

Publication number
CN101384079A
CN101384079A CNA2007101493275A CN200710149327A CN101384079A CN 101384079 A CN101384079 A CN 101384079A CN A2007101493275 A CNA2007101493275 A CN A2007101493275A CN 200710149327 A CN200710149327 A CN 200710149327A CN 101384079 A CN101384079 A CN 101384079A
Authority
CN
China
Prior art keywords
mme
security capabilities
nas
supports
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2007101493275A
Other languages
English (en)
Inventor
何承东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNA2007101493275A priority Critical patent/CN101384079A/zh
Priority to CN201310152495.5A priority patent/CN103220674B/zh
Priority to EP15179451.8A priority patent/EP2986046B1/en
Priority to PCT/CN2008/072192 priority patent/WO2009030164A1/zh
Priority to EP08800704.2A priority patent/EP2106190B1/en
Priority to CA2688397A priority patent/CA2688397C/en
Priority to JP2010520411A priority patent/JP5281641B2/ja
Publication of CN101384079A publication Critical patent/CN101384079A/zh
Priority to US12/535,889 priority patent/US8219064B2/en
Priority to JP2013083055A priority patent/JP5662512B2/ja
Priority to JP2014245673A priority patent/JP5908965B2/ja
Priority to JP2016058083A priority patent/JP6161091B2/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种终端移动时防止降质攻击的方法,包括:用户设备(UE)向新移动管理实体(MME)发送跟踪区域请求消息;接收MME发送的UE支持的安全能力;检查接收到的UE支持的安全能力与自身保存的安全能力的一致性。本发明还公开了一种终端移动时防止降质攻击的系统,MME和UE。使用本发明使得UE在与MME进行安全能力协商时,可以检查接收到的安全能力与自身保存的安全能力的一致性,确定是否存在降质攻击,从而防止降质攻击。

Description

一种终端移动时防止降质攻击的方法、系统及装置
技术领域
本发明涉及无线通信技术,具体涉及一种终端移动时防止降质攻击的方法、系统及装置。
背景技术
无线网络包括无线接入网和核心网两部分。未来演进的无线网络核心网包括移动管理实体(MME,Mobile Management Entity),其功能与通用分组无线业务(GPRS,General Packet Radio Service)网络的服务GPRS支持节点(SGSN,Service GPRS Support Node)类似,主要完成移动性管理、用户鉴权等。当用户设备(UE,User Equipment)处于空闲态时,需要与MME之间协商非接入信令(NAS,Non-Access Signaling)安全算法,包括NAS机密性保护算法和NAS完整性保护算法,以保证UE通信过程中的系统安全。
当空闲态的UE在未来演进的无线接入网(LTE,Long Term Evolution)内部移动,或从2G\3G网络移动到LTE网络时,会发生跟踪区域更新(TAU,Tracking Area Update)过程,此过程中,为该UE进行移动性管理及用户鉴权等的实体可能会改变,例如中LTE网络内部移动时,为该UE进行移动性管理及用户鉴权等的实体由移动之前为其服务的MME(或称为旧MME)改变为移动之后为其服务的MME;从2G\3G网络移动到LTE网络时,为该UE进行移动性管理及用户鉴权等的实体由SGSN改变为MME。由于不同的为UE进行移动性管理及用户鉴权等实体的安全能力可以是不一样的,因此UE要和新MME(即移动之后为其服务的MME)之间重新进行安全能力的协商。对于LTE网络来说,UE与MME之间的安全能力协商主要是NAS安全算法以及相应的密钥协商。
图1为现有的UE与新MME进行安全能力协商的方法流程图。如图1所示,该方法包括以下步骤:
步骤100:UE向新MME发送跟踪区域更新请求(TAU Request)。
本步骤中,UE通过未来演进的无线接入网的演进基站(eNB,evolutionNode B)向新MME发送跟踪区域更新请求。为了描述方便,以下描述都将UE与MME之间通过eNB传递消息简化为UE与MME之间进行通信。
步骤101~步骤102:新MME向旧MME发送移动性管理上下文请求(context request)消息;旧MME接收到消息后,向新MME返回移动性管理上下文响应(context request),其中携带当前使用的根密钥Kasme、当前使用的完整性保护密钥Knas-int、当前使用的NAS机密性保护密钥Knas-enc、当前使用的NAS安全算法及UE支持的安全能力,包括UE支持的NAS/无线资源控制(RRC,Radio Resource Control)/用户面(UP,UserPlane)安全算法。
步骤103:新MME根据UE支持的安全能力中的NAS安全算法,自己支持的NAS安全算法,以及系统允许的NAS安全算法,通过三者取交集,来选择新的NAS安全算法,包括NAS完整性保护算法及NAS机密性保护算法。
步骤104:新MME向UE发送跟踪区域接受(TAU Accept)消息,其中包括选择的新NAS安全算法。
实际执行时,在步骤103与步骤104之间还有其他与安全能力协商无关的步骤,在此省略。
步骤105:UE接收携带所选择的NAS安全算法的TAU Accept消息,实现与MME之间的NAS安全算法共享;然后再检查TAU Accept消息中携带的NAS安全算法,如果携带的NAS安全算法和UE当前使用的NAS安全算法一样,就以UE当前使用的NAS完整性保护密钥Knas-int,当前使用的NAS机密性保护密钥Knas-enc,作为后续的NAS保护密钥;如果携带的NAS安全算法和UE当前使用的NAS安全算法不同,则需要根据UE当前使用的根密钥Kasme以及其他参数重新推导出新的NAS完整性保护密钥Knas-int,NAS机密性保护密钥Knas-enc,作为后续的NAS保护密钥,实现与MME之间的NAS保护密钥共享。从而实现UE与MME之间的安全能力协商。
由以上描述可知,现有技术中没有进行防止降质攻击(bidding downattack)处理的过程。降质攻击是指:假设UE同时支持两种安全性算法:高强度算法A1和低强度算法A2,MME也同时支持这两种算法,这样UE和新MME之间协商的结果应该是高强度算法A1。但如果新MME获知UE支持的安全能力之前,UE支持的安全能力已经被攻击者修改过,例如只保留低强度算法A2,那么新MME将只能选择低强度算法A2,并发给UE。即UE和MME之间协商得到的是低强度算法A2,而不是高强度算法A1,从而使得攻击者更容易攻破,即达到所谓的降质攻击。因此,现有技术中由于无法防止降质攻击,MME与UE协商的可能是低强度的算法,因此在后续通信过程中,UE与MME之间的通信内容有可能被攻击者攻破,从而无法保证后续UE与网络交互时的安全。
发明内容
本发明实施例提供一种终端移动时防止降质攻击的方法,保证后续UE与网络交互时的安全。
本发明实施例还提供一种终端移动时防止降质攻击的系统,保证后续UE与网络交互时的安全。
本发明实施例还提供一种MME装置,保证后续UE与网络交互时的安全。
本发明实施例还提供一种UE装置,保证后续UE与网络交互时的安全。
为达到上述目的,本发明实施例的技术方案是这样实现的:
一种终端移动时防止降质攻击的方法,包括:
用户设备UE向移动管理实体MME发送跟踪区域更新请求消息;
接收MME获取并发送的UE支持的安全能力;
检查接收到的UE支持的安全能力和自身保存的安全能力不一致时,确定存在降质攻击。
一种终端移动时防止降质攻击的系统,包括用户设备UE及移动管理实体MME,
所述UE,用于向MME发送跟踪区域更新请求消息;接收MME发送的UE支持的安全能力;检查接收到的UE支持的安全能力与自身保存的安全能力的一致性;
所述MME,接收UE发送的跟踪区域更新请求消息;获取UE支持的安全能力,并将该获取的UE支持的安全能力发送到所述UE。
一种移动管理实体MME,包括获取模块和下发模块,
所述获取模块,用于接收用户设备UE发送的跟踪区域更新请求消息,其中携带UE支持的安全能力;
所述下发模块,用于通过跟踪区域更新接受消息,将所述获取模块的UE支持的安全能力发送到UE。
一种用户设备UE,包括更新模块和判断模块,
所述更新模块,用于向移动管理实体MME发送跟踪区域更新请求消息;
所述判断模块,用于接收MME发送的UE支持的安全能力;检查所述接收到的UE支持的安全能力与所述存储模块保存的安全能力一致性。
与现有技术相比,本发明实施例所提供的技术方案,UE在向MME发送跟踪区域更新请求消息后,接收MME获取并发送的UE支持的安全能力,并检查接收到的UE支持的安全能力和自身保存的安全能力不一致时,确定存储降质攻击。因此,如果MME获得的UE支持的安全能力被攻击过,则在UE与MME进行安全能力协商的过程中,当MME将所述UE支持的安全能力下发到UE时,UE可以根据本发明实施例提供的技术方案,检测出接收到的UE支持的安全能力和自身保存的安全能力不一致,即存在降质攻击,从而防止了降质攻击,保证后续UE与网络交互时的安全。
附图说明
图1为现有技术中终端移动时安全能力协商的方法流程图;
图2为本发明实施例中终端移动时防止降质攻击的方法流程图;
图3为本发明实施例中终端移动时安全能力协商的方法流程图;
图4为本发明实施例中终端移动时防止降质攻击的系统结构图。
具体实施方式
下面结合附图及具体实施例对本发明进行详细说明。
图2为本发明实施例中终端移动时防止降质攻击的方法流程图。如图2所示,该方法包括以下步骤:
在步骤200新MME接收到UE发送的跟踪区域更新请求消息后,在步骤201中,新MME获取UE支持的安全能力,并在步骤202中通过跟踪区域更新接受消息,将该UE支持的安全能力发送到UE;然后在步骤203由UE检查接收到的UE支持的安全能力和自身保存的安全能力的一致性。
图3为本发明实施例中终端移动时进行安全能力协商的方法流程图。如图3所示,该方法包括以下步骤:
步骤300:UE向新MME发送跟踪区域更新请求(TAU request)消息。
本步骤中,UE通过未来演进的无线接入网的演进基站(eNB,evolutionNode B)向新MME发送跟踪区域更新请求。为了描述方便,以下描述都将UE与MME之间通过eNB进行通信简化为UE与MME之间进行通信。
本步骤UE向MME发送的TAU请求中,除携带本领域技术人员均知的一些参数,例如临时移动用户识别号码(TMSI,Temporary MobileSubscriber Identity)之外,还可以携带UE支持的安全能力,包括NAS安全算法(NAS完整性保护算法和机密性算法),还可以包括RRC安全算法(RRC完整性保护算法和机密性算法)和/或UP安全算法(UP机密性保护算法)。
步骤301~步骤302:新MME向旧MME发送移动性管理上下文请求(context request)消息;旧MME向新MME发送移动性管理上下文响应(context response)消息,其中包含当前使用的NAS安全算法列表,当前使用的根密钥Kasme。
如果步骤300中UE在向MME发送的TAU请求中没有携带UE支持的安全能力,则旧MME在接收到移动性管理上下文请求消息后,查询UE支持的安全能力,并在发送给MME的移动性管理上下文响应消息中携带该查询到的UE支持的安全能力。
步骤303:新MME根据UE支持的安全能力中的NAS安全算法、自己支持的NAS安全算法列表、以及系统允许的NAS安全算法列表,这三者取交集,来选择新的NAS算法;然后根据当前使用的根密钥Kasme以及其他参数重新推导出新的NAS保护密钥,包括NAS完整性保护密钥Knas-int、NAS机密性保护密钥Knas-enc,作为后续的NAS安全密钥。
如果新选择的NAS算法和旧MME返回的当前使用的NAS安全算法不同,还需要将计数器(counter)清0,用于防止重放攻击。
步骤304:新MME向UE发送跟踪区域更新接受(TAU accept)消息,其中携带选择的新的NAS安全算法和UE支持的安全能力。
本步骤中MME还可以对该TAU accept消息进行NAS完整性保护,例如,利用步骤303中推导得到的NAS完整性保护密钥Knas-int、TAU accept中的信息及所选择NAS安全算法中的NAS完整性保护算法,推导得到NAS完整性保护的消息认证码(NAS-MAC)值,然后将该值附在TAU accept消息中,发送至UE。
本步骤还可以MME通过NAS安全模式命令(SMC,Security ModeCommand)请求消息将选择的新的NAS安全算法和UE支持的安全能力下发给UE,具体过程不再详细叙述。
在步骤303和步骤304之间还可能有其他与安全能力协商无关的步骤,这里不再赘述。
步骤305:UE检查接收到的UE支持的安全能力与自身保存的安全能力的一致性。
本步骤中,如果UE检查接收到的UE支持的安全能力与自身保存的安全能力一致,则确定不存在降质攻击;如果不一致,则确定存在降质攻击,因此确定本次安全能力协商失败,可能重新发起安全能力协商过程,从而可以达到防止降质攻击的目的。
本步骤中,UE还可以进一步检查TAU accept消息携带的NAS安全算法:如果携带的NAS安全算法和UE当前使用的NAS安全算法一样,就以UE当前使用的NAS完整性保护密钥Knas-int,当前使用的NAS机密性保护密钥Knas-enc,作为后续的NAS安全密钥;如果携带的NAS安全算法和UE(或者旧MME)当前使用的NAS安全算法不同,则需要根据UE当前使用的根密钥Kasme以及其他参数重新推导出新的NAS完整性保护密钥Knas-int和NAS机密性保护密钥Knas-enc,作为后续的NAS安全密钥;并将计数器(counter)清0,用于防止重放攻击。
本步骤中,UE还可以检查收到的TAU accept消息的NAS完整性保护(NAS-MAC)是否正确。如果发现不正确,则确定本次安全能力协商失败,可能重新发起安全能力协商过程。例如,UE根据推导得到的NAS机密性保护密钥Knas-enc、TAU accept中的信息及TAU accept消息中携带的NAS完整性保护算法推导得到NAS-MAC,然后UE比较推导得到的NAS-MAC与TAU accept消息中携带的NAS-MAC是否相同,是则表明该消息在传输过程没有被更改,否则认为该消息在传输过程中被更改,从而确定本次安全能力协商失败。
这样就完成了TAU过程中UE和新的MME之间的NAS安全能力协商的过程。
以上所描述的步骤中,UE和MME根据Kasme推导出NAS保护密钥的过程为现有技术,因此本文不再对具体的推导过程进行详细描述。
图4为本发明实施例中终端移动时防止降质攻击的系统结构图。如图4所示,该系统包括UE和MME。
其中,UE向MME发送跟踪区域更新请求消息;接收新MME发送的UE支持的安全能力;并检查接收到的UE支持的安全能力与自身保存的安全能力的一致性。
MME,接收UE发送的跟踪区域更新请求消息;获取UE支持的安全能力,并将该获取的UE支持的安全能力发送到UE。
UE进一步在跟踪区域请求消息中携带自身支持的安全能力。
具体来说,MME包括获取模块和下发模块,其中,获取模块,用于接收UE发送的跟踪区域更新请求消息,其中携带UE支持的安全能力;下发模块,用于通过跟踪区域更新响应消息,将获取模块的UE支持的安全能力发送到UE。
获取模块进一步获取当前使用的根密钥;MME进一步包括选择模块和密钥推导模块,选择模块根据UE支持的安全能力,选择NAS安全算法;密钥推导模块根据获取模块获取的根密钥和选择模块选择的NAS安全算法,推导NAS保护密钥。
相应地,UE包括更新模块和判断模块。其中,更新模块,用于向MME发送跟踪区域更新请求消息;判断模块,用于接收MME发送的UE支持的安全能力;检查接收到的UE支持的安全能力与存储模块保存的安全能力的一致性。
UE进一步包括存储模块,用于保存UE支持的安全能力;更新模块可以在跟踪区域更新请求消息中进一步携带UE支持的安全能力。
由以上所述可以看出,本发明实施例所提供的技术方案存在以下优点:
第一,UE向MME发送跟踪区域更新请求消息后,接收MME获取并发送的UE支持的安全能力;并检查接收到的UE支持的安全能力和自身保存的安全能力不一致时,确定存在降质攻击。因此,如果MME获得的UE支持的安全能力被攻击者修改过,则在UE与MME进行安全能力协商的过程中,当MME将UE支持的安全能力下发到UE时,UE可以根据本发明实施例提供的技术方案,检测是否存在降质攻击,从而防止了降质攻击。
第二,新MME在选择新的NAS安全算法时需要根据UE与LTE网络相关的安全能力(NAS/RRC/UP安全算法)进行选择,现有技术中是通过旧MME通过context response消息将UE支持的安全能力返回给新MME。由于UE在发生TAU过程之前,通过其他过程向旧MME上报了自己的所有安全能力,因此这种方案对于空闲态UE在LTE网络内部移动时没有问题。但是空闲态UE同样也可能从2G/3G网络移动到LTE网络,UE在移动到LTE网络之前,上报给SGSN的只是和2G/3G网络相关的安全能力,而并不会主动向SGSN上报自身与LTE网络相关的安全能力。当移动到LTE网络之后,如果还采用该方案,则还需要SGSN向UE查询其与LTE网络相关的安全能力,才能上报给新MME,从而可能需要对现网设备进行升级,并且也增加了不必要的循环(roundtrip)。而本发明实施例提供的技术方案中,由UE将自身支持的安全能力通过跟踪区域更新请求消息发送到新MME,使得UE在LTE网络内部移动时,新MME不需要到旧MME查询获得UE支持的安全能力;当UE从2G/3G网络移动到LTE网络时,也不需要SGSN查询UE支持的安全能力,因此节省了各网络设备的处理,提高了系统的工作效率。
第三,现有技术中的MME在选择新的NAS安全算法后,需判断新选择的NAS安全算法与旧MME当前正在使用的NAS安全算法是否一致,如果新选择的NAS算法和旧MME返回的当前使用的NAS安全算法一样,就以当前使用的NAS完整性保护密钥Knas-int,当前使用的NAS机密性保护密钥Knas-enc,作为后续的NAS安全密钥;如果新选择的NAS算法和旧MME返回的当前使用的NAS安全算法不一致,则需要根据当前使用的根密钥Kasme以及其他参数重新推导出新的NAS完整性保护密钥Knas-int、NAS机密性保护密钥Knas-enc,作为后续的NAS安全密钥。因此旧MME需通过context response消息,将当前使用的NAS完整性保护密钥Knas-int,当前使用的NAS机密性保护密钥Knas-enc返回给新MME。携带这些参数的目的是使新MME能够尽量利用已有的密钥,减少计算量,但是实际上MME仅当新选择的NAS安全算法和旧MME返回的当前使用的NAS安全算法一致时,这些参数才有用;如果新选择的NAS安全算法和旧MME返回的当前使用的NAS安全算法不一致时,新MME还需要推导出这些密钥,此时并不会减少计算量,还导致MME的处理复杂,向新MME发送的消息中的参数也显得冗余。而本发明实施例提供的技术方案中,在新MME选择新的NAS安全算法后,无论选择的NAS算法是否是原来使用的NAS安全算法,新MME都进行重新推导,从而消除了旧MME与新MME消息交互时的消息中参数的冗余;同时,也利用现有的NAS保护密钥算法得到的NAS保护密钥,使得MME处理较为简单;且由于使用的算法与现有技术中一样,也不会增加计算量。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (11)

1、一种终端移动时防止降质攻击的方法,其特征在于,该方法包括:
用户设备UE向移动管理实体MME发送跟踪区域更新请求消息;
接收MME获取并发送的UE支持的安全能力;
检查接收到的UE支持的安全能力和自身保存的安全能力不一致时,确定存在降质攻击。
2、如权利要求1所述的方法,其特征在于,MME获取UE支持的安全能力包括:MME从UE发送的跟踪区域请求中获取UE支持的安全能力;
或者MME从所述UE移动之前为其服务的MME获取UE支持的安全能力。
3、如权利要求1所述的方法,其特征在于,所述MME将UE支持的安全能力发送到所述UE之前,该方法进一步包括:
MME获取当前使用的根密钥;
根据UE支持的安全能力,选择非接入信令NAS安全算法;
MME根据所述当前使用的根密钥推导得到NAS保护密钥。
4、如权利要求3所述的方法,其特征在于,MME将UE支持的安全能力发送到所述UE具体包括:
MME发送携带所述UE支持的安全能力的跟踪区域更新接受消息到所述UE;
所述跟踪区域更新接受消息进一步携带所选择的NAS安全算法。
5、如权利要求3所述的方法,其特征在于,该方法进一步包括:MME将所述选择的NAS安全算法发送到所述UE;
UE判断接收到的NAS安全算法和当前使用的NAS安全算法是否相同,是则直接使用当前的NAS保护密钥;否则根据当前使用的根密钥推导出NAS保护密钥。
6、一种终端移动时防止降质攻击的系统,其特征在于,该系统包括用户设备UE及移动管理实体MME,
所述UE,用于向MME发送跟踪区域更新请求消息;接收MME发送的UE支持的安全能力;检查接收到的UE支持的安全能力与自身保存的安全能力的一致性;
所述MME,接收UE发送的跟踪区域更新请求消息;获取UE支持的安全能力,并将该获取的UE支持的安全能力发送到所述UE。
7、如权利要求6所述的系统,其特征在于,所述UE进一步在所述跟踪区域请求消息中携带自身支持的安全能力。
8、一种移动管理实体MME,其特征在于,所述MME包括获取模块和下发模块,
所述获取模块,用于接收用户设备UE发送的跟踪区域更新请求消息,其中携带UE支持的安全能力;
所述下发模块,用于通过跟踪区域更新接受消息,将所述获取模块的UE支持的安全能力发送到UE。
9、如权利要求8所述的MME,其特征在于,所述获取模块进一步获取当前使用的根密钥;
所述MME进一步包括选择模块和密钥推导模块,
所述选择模块,用于根据所述UE支持的安全能力,选择NAS安全算法;
所述密钥推导模块,用于根据所述获取模块获取的根密钥和所述选择模块选择的NAS安全算法,推导NAS保护密钥。
10、一种用户设备UE,其特征在于,所述UE包括更新模块和判断模块,
所述更新模块,用于向移动管理实体MM发送跟踪区域更新请求消息;
所述判断模块,用于接收MME发送的UE支持的安全能力;检查所述接收到的UE支持的安全能力与所述存储模块保存的安全能力一致性。
11、如权利要求10所述的UE,其特征在于,所述UE进一步包括存储模块,用于保存UE支持的安全能力;
所述更新模块在所述跟踪区域更新请求消息中进一步携带所述存储模块保存的UE支持的安全能力。
CNA2007101493275A 2007-09-03 2007-09-03 一种终端移动时防止降质攻击的方法、系统及装置 Pending CN101384079A (zh)

Priority Applications (11)

Application Number Priority Date Filing Date Title
CNA2007101493275A CN101384079A (zh) 2007-09-03 2007-09-03 一种终端移动时防止降质攻击的方法、系统及装置
CN201310152495.5A CN103220674B (zh) 2007-09-03 2007-09-03 一种终端移动时防止降质攻击的方法、系统及装置
CA2688397A CA2688397C (en) 2007-09-03 2008-08-29 Method, system, and apparatus for preventing bidding down attacks during motion of user equipment
PCT/CN2008/072192 WO2009030164A1 (fr) 2007-09-03 2008-08-29 Procédé, système et dispositif pour empêcher l'attaque par dégradation pendant qu'un terminal se déplace
EP08800704.2A EP2106190B1 (en) 2007-09-03 2008-08-29 A method, system and device for preventing the degradation attack while terminal is moving
EP15179451.8A EP2986046B1 (en) 2007-09-03 2008-08-29 Method, system, and apparatus for preventing bidding down attacks during motion of user equipment
JP2010520411A JP5281641B2 (ja) 2007-09-03 2008-08-29 端末が移動している間の劣化攻撃を防止する方法、システム、及び装置
US12/535,889 US8219064B2 (en) 2007-09-03 2009-08-05 Method, system, and apparatus for preventing bidding down attacks during motion of user equipment
JP2013083055A JP5662512B2 (ja) 2007-09-03 2013-04-11 端末が移動している間の劣化攻撃を防止する方法、移動管理エンティティ、及びユーザ装置
JP2014245673A JP5908965B2 (ja) 2007-09-03 2014-12-04 端末が移動している間の劣化攻撃を防止する方法、及びシステム
JP2016058083A JP6161091B2 (ja) 2007-09-03 2016-03-23 ユーザ装置が移動している間の競り下げ攻撃を防止する方法、システム、及び装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNA2007101493275A CN101384079A (zh) 2007-09-03 2007-09-03 一种终端移动时防止降质攻击的方法、系统及装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201310152495.5A Division CN103220674B (zh) 2007-09-03 2007-09-03 一种终端移动时防止降质攻击的方法、系统及装置

Publications (1)

Publication Number Publication Date
CN101384079A true CN101384079A (zh) 2009-03-11

Family

ID=40428468

Family Applications (2)

Application Number Title Priority Date Filing Date
CNA2007101493275A Pending CN101384079A (zh) 2007-09-03 2007-09-03 一种终端移动时防止降质攻击的方法、系统及装置
CN201310152495.5A Active CN103220674B (zh) 2007-09-03 2007-09-03 一种终端移动时防止降质攻击的方法、系统及装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201310152495.5A Active CN103220674B (zh) 2007-09-03 2007-09-03 一种终端移动时防止降质攻击的方法、系统及装置

Country Status (6)

Country Link
US (1) US8219064B2 (zh)
EP (2) EP2986046B1 (zh)
JP (4) JP5281641B2 (zh)
CN (2) CN101384079A (zh)
CA (1) CA2688397C (zh)
WO (1) WO2009030164A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103326998A (zh) * 2012-03-23 2013-09-25 中兴通讯股份有限公司 安全能力信息查询方法、反馈方法及装置
CN104244247A (zh) * 2013-06-07 2014-12-24 华为技术有限公司 非接入层、接入层安全算法处理方法及设备
WO2015081784A1 (zh) * 2013-12-02 2015-06-11 华为技术有限公司 一种验证安全能力的方法、设备及系统
CN105847225A (zh) * 2015-01-16 2016-08-10 中国移动通信集团公司 基于 ip 多媒体子系统的端到端的加密协商方法及装置
WO2017117721A1 (zh) * 2016-01-05 2017-07-13 华为技术有限公司 移动通信方法、装置及设备
CN113382404A (zh) * 2017-10-30 2021-09-10 华为技术有限公司 用于获取ue安全能力的方法和设备
US11297502B2 (en) 2017-09-08 2022-04-05 Futurewei Technologies, Inc. Method and device for negotiating security and integrity algorithms

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101384079A (zh) * 2007-09-03 2009-03-11 华为技术有限公司 一种终端移动时防止降质攻击的方法、系统及装置
US9668139B2 (en) * 2008-09-05 2017-05-30 Telefonaktiebolaget Lm Ericsson (Publ) Secure negotiation of authentication capabilities
US8255976B2 (en) * 2008-11-26 2012-08-28 Alcatel Lucent Prevention of a bidding-down attack in a communication system
US8358593B2 (en) 2009-10-22 2013-01-22 Cisco Technology, Inc. Systems and methods for selecting serving gateways to service user equipment
US8594014B2 (en) * 2009-10-22 2013-11-26 Cisco Technology, Inc. Systems and methods for selecting tracking areas and reducing paging
AU2011239422B2 (en) * 2010-04-15 2014-05-08 Qualcomm Incorporated Apparatus and method for signaling enhanced security context for session encryption and integrity keys
EP2509345A1 (en) * 2011-04-05 2012-10-10 Panasonic Corporation Improved small data transmissions for machine-type-communication (MTC) devices
CN103067168B (zh) * 2011-10-21 2016-01-27 华为技术有限公司 一种gsm安全方法及系统、相关设备
CN102595369B (zh) * 2012-02-29 2015-02-25 大唐移动通信设备有限公司 一种nas算法的传输方法及装置
KR102015804B1 (ko) 2013-03-11 2019-08-29 삼성전자주식회사 이동 통신 시스템에서 착신 호 페이징 방법 및 장치
EP3150004A1 (en) 2014-05-30 2017-04-05 Nec Corporation Apparatus, system and method for dedicated core network
US9693219B2 (en) 2014-10-24 2017-06-27 Ibasis, Inc. User profile conversion to support roaming
WO2018010186A1 (zh) * 2016-07-15 2018-01-18 华为技术有限公司 密钥获取方法及装置
CN108347416B (zh) * 2017-01-24 2021-06-29 华为技术有限公司 一种安全保护协商方法及网元
CN109586913B (zh) * 2017-09-28 2022-04-01 中国移动通信有限公司研究院 安全认证方法、安全认证装置、通信设备及存储介质
KR102582321B1 (ko) * 2019-01-15 2023-09-22 텔레폰악티에볼라겟엘엠에릭슨(펍) 무선 장치의 무선 액세스 능력
US11895159B2 (en) * 2021-06-30 2024-02-06 International Business Machines Corporation Security capability determination

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI111423B (fi) * 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
CN100531112C (zh) * 2003-03-05 2009-08-19 华为技术有限公司 使传输通道数降质的isup信令流程实现方法
CN1771708A (zh) * 2003-05-30 2006-05-10 国际商业机器公司 检测网络攻击
KR100576013B1 (ko) * 2004-10-27 2006-05-02 삼성전자주식회사 통신 네트워크에서 전송 제어 프로토콜 동기 플러드공격을 방어하기 위한 방법
CN1913701A (zh) * 2005-08-08 2007-02-14 北京三星通信技术研究有限公司 移动通信系统中为不同用户提供不同安全等级业务的方法
CN101001252A (zh) * 2006-06-25 2007-07-18 华为技术有限公司 一种注册方法和一种用户面安全算法的协商方法及装置
KR101368588B1 (ko) * 2006-10-30 2014-02-27 인터디지탈 테크날러지 코포레이션 Lte 시스템에서 추적 영역 업데이트 및 셀 재선택을 구현하는 방법 및 장치
CN101384079A (zh) * 2007-09-03 2009-03-11 华为技术有限公司 一种终端移动时防止降质攻击的方法、系统及装置
DK2255560T3 (en) * 2008-03-28 2016-06-06 ERICSSON TELEFON AB L M (publ) Identification of a manipulated or defect base station during a handover

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103326998A (zh) * 2012-03-23 2013-09-25 中兴通讯股份有限公司 安全能力信息查询方法、反馈方法及装置
CN103326998B (zh) * 2012-03-23 2017-11-14 中兴通讯股份有限公司 安全能力信息查询方法、反馈方法及装置
CN104244247A (zh) * 2013-06-07 2014-12-24 华为技术有限公司 非接入层、接入层安全算法处理方法及设备
CN104244247B (zh) * 2013-06-07 2019-02-05 华为技术有限公司 非接入层、接入层安全算法处理方法及设备
WO2015081784A1 (zh) * 2013-12-02 2015-06-11 华为技术有限公司 一种验证安全能力的方法、设备及系统
CN105847225B (zh) * 2015-01-16 2019-02-05 中国移动通信集团公司 基于ip多媒体子系统的端到端的加密协商方法及装置
CN105847225A (zh) * 2015-01-16 2016-08-10 中国移动通信集团公司 基于 ip 多媒体子系统的端到端的加密协商方法及装置
US10944786B2 (en) 2016-01-05 2021-03-09 Huawei Technologies Co., Ltd. Mobile communication method, apparatus, and device
US10419938B2 (en) 2016-01-05 2019-09-17 Huawei Technologies Co., Ltd. Mobile communication method, apparatus, and device
RU2706173C1 (ru) * 2016-01-05 2019-11-14 Хуавей Текнолоджиз Ко., Лтд. Способ, аппаратура и устройство мобильной связи
WO2017117721A1 (zh) * 2016-01-05 2017-07-13 华为技术有限公司 移动通信方法、装置及设备
US11310266B2 (en) 2016-01-05 2022-04-19 Huawei Technologies Co., Ltd. Mobile communication method, apparatus, and device
US11736519B2 (en) 2016-01-05 2023-08-22 Huawei Technologies Co., Ltd. Mobile communication method, apparatus, and device
US12003533B2 (en) 2016-01-05 2024-06-04 Huawei Technologies Co., Ltd. Mobile communication method, apparatus, and device
US11297502B2 (en) 2017-09-08 2022-04-05 Futurewei Technologies, Inc. Method and device for negotiating security and integrity algorithms
US11895498B2 (en) 2017-09-08 2024-02-06 Futurewei Technologies, Inc. Method and device for negotiating security and integrity algorithms
CN113382404A (zh) * 2017-10-30 2021-09-10 华为技术有限公司 用于获取ue安全能力的方法和设备
CN113382404B (zh) * 2017-10-30 2022-03-08 华为技术有限公司 用于获取ue安全能力的方法和设备
US11418962B2 (en) 2017-10-30 2022-08-16 Huawei Technologies Co., Ltd. Method and Device for Obtaining UE Security Capabilities
US12047781B2 (en) 2017-10-30 2024-07-23 Huawei Technologies Co., Ltd. Method and device for obtaining UE security capabilities

Also Published As

Publication number Publication date
EP2106190A4 (en) 2010-03-31
US8219064B2 (en) 2012-07-10
JP2010536283A (ja) 2010-11-25
EP2106190A1 (en) 2009-09-30
JP2013146106A (ja) 2013-07-25
US20090298471A1 (en) 2009-12-03
JP5662512B2 (ja) 2015-01-28
EP2986046A3 (en) 2016-04-06
JP6161091B2 (ja) 2017-07-12
CA2688397C (en) 2012-08-28
WO2009030164A1 (fr) 2009-03-12
CN103220674A (zh) 2013-07-24
JP5908965B2 (ja) 2016-04-26
JP2015065693A (ja) 2015-04-09
CN103220674B (zh) 2015-09-09
EP2986046A2 (en) 2016-02-17
EP2986046B1 (en) 2021-10-27
JP2016106505A (ja) 2016-06-16
JP5281641B2 (ja) 2013-09-04
CA2688397A1 (en) 2009-03-12
EP2106190B1 (en) 2020-02-05

Similar Documents

Publication Publication Date Title
CN101384079A (zh) 一种终端移动时防止降质攻击的方法、系统及装置
CN101378591B (zh) 终端移动时安全能力协商的方法、系统及装置
CN101399767B (zh) 终端移动时安全能力协商的方法、系统及装置
CN102014381B (zh) 加密算法协商方法、网元及移动台
EP3087770B1 (en) Method and system for providing security from a radio access network
CN101610506B (zh) 防止网络安全失步的方法和装置
US20100172500A1 (en) Method of handling inter-system handover security in wireless communications system and related communication device
CN105101167A (zh) 数据业务传输方法及用户终端
CN1332569C (zh) 协商选择空中接口加密算法的方法
CN101552982A (zh) 检测降质攻击的方法及用户设备
EP3522668B1 (en) Method and device for trust relationship establishment
CN102970678A (zh) 加密算法协商方法、网元及移动台
KR101434750B1 (ko) 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치
KR20240064005A (ko) 주 인증 방법 및 장치
CN110933669A (zh) 一种跨rat用户的快速注册的方法
CN102595397B (zh) 防止网络安全失步的方法和装置
CN104427584A (zh) 安全上下文处理方法及装置
CN113115468A (zh) 5g本地网络的控制方法及装置、服务器、系统和存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination