移动通信方法、装置及设备制造方法及图纸

本发明专利技术涉及移动通信技术，尤其涉及一种移动通信方法、装置及设备。其中，该方法包括：用户设备UE接收来自移动管理实体MME的非接入层NAS安全模式命令消息，所述NAS安全模式命令消息中携带用于对所述MME已经接收到的UE能力信息进行验证的第一验证匹配信息；所述UE根据所述第一验证匹配信息，确定所述MME已经接收到的UE能力信息是否与所述UE发送给所述MME的UE能力信息一致；若一致，则所述UE向所述MME发送NAS安全模式完成消息。本发明专利技术实施例的移动通信方法、装置及设备，能够确保MME获取正确的UE能力信息。

Mobile communication methods, devices and equipment

【技术实现步骤摘要】
移动通信方法、装置及设备
本专利技术涉及移动通信技术，尤其涉及一种移动通信方法、装置及设备。
技术介绍
移动通信的附着(Attach)流程中，UE(UserEquipment，用户设备)通过eNB(EvolvedNodeB，演化基站)向MME(MobilityManageUEntEntity，移动管理实体)发送附着请求(AttachRequest)消息，其中在附着请求消息中携带UE能力(UECapability)信息如网络能力及安全能力等，MME根据接收到的UE的能力向UE提供服务。当附着请求消息没有完整性保护时，比如，UE第一次注册网络的场景下附着请求消息没有完整性保护，此时若攻击者实施中间人攻击，修改了UE发送给MME的UE能力信息，那么MME将会根据被修改之后的UE能力信息向UE提供服务，由此可能会导致UE无法使用某些业务，如，攻击者将UE能力信息中的语音域优先级和用户使用设置(VoicedomainpreferenceandUE‘susagesetting)去掉，添加仅使用短信服务(Additionalupdatetype-SMSonly)参数，那么UE只能使用短消息业务，而不能使用语音通话业务。
技术实现思路
本专利技术实施例提供了一种移动通信方法、装置及设备，确保MME获取正确的UE能力信息。第一方面，本专利技术实施例提供了一种移动通信方法，包括：用户设备UE接收来自移动管理实体MME的非接入层NAS安全模式命令消息，所述NAS安全模式命令消息中携带用于对所述MME已经接收到的UE能力信息进行验证的第一验证匹配信息；所述UE根据所述第一验证匹配信息，确定所述MME已经接收到的UE能力信息是否与所述UE发送给所述MME的UE能力信息一致；若一致，则所述UE向所述MME发送NAS安全模式完成消息。可选的，所述第一验证匹配信息为所述MME向所述UE发送所述NAS安全模式命令消息前已经接收到的附着请求消息的第一哈希值，所述NAS安全模式命令消息还包括所述MME对已经接收到的所述附着请求消息进行哈希计算所采用的哈希算法、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第一非接入层消息认证码NAS-MAC；所述UE计算所述UE接收到的所述NAS安全模式命令消息的第二NAS-MAC；所述UE确定第二NAS-MAC是否与所述第一NAS-MAC一致；若一致，所述UE根据哈希算法，计算所述UE发送给所述MME的附着请求消息的第二哈希值；所述UE确定所述二哈希值是否与所述第一哈希值一致；若一致，则所述UE向所述MME发送NAS安全模式完成消息。可选的，所述NAS安全模式命令消息还包括：所述MME回传的UE安全能力；所述UE确定所述MME回传的UE安全能力是否与所述UE发送给所述MME的UE安全能力一致；相应的，所述若一致，则所述UE向所述MME发送NAS安全模式完成消息，包括：若所述第二哈希值与所述第一哈希值一致、所述第二NAS-MAC与所述第一NAS-MAC一致且所述MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致，则所述UE向所述MME发送NAS安全模式完成消息。可选的，所述方法还包括：若所述第二哈希值、所述第二NAS-MAC以及所述MME回传的UE安全能力中的至少一项验证失败，则所述UE向所述MME发送NAS安全模式失败消息；或者，若所述第二NAS-MAC与所述第一NAS-MAC一致、所述MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致且所述第二哈希值与所述第一哈希值不一致，则所述UE向所述MME发送NAS安全模式完成消息，该NAS安全模式完成消息中携带附着请求消息。可选的，所述第一验证匹配信息为所述MME已经接收到的UE能力信息的第三哈希值，所述NAS安全模式命令消息还包括所述MME对已经接收到的UE能力信息进行哈希计算所所采用的哈希算法、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第三NAS-MAC；所述UE计算所述UE接收到的所述NAS安全模式命令消息的第四NAS-MAC；所述UE确定所述第四NAS-MAC是否与所述第三NAS-MAC一致；若一致，所述UE根据哈希算法，计算所述UE发送给所述MME的UE能力信息的第四哈希值；所述UE确定所述二哈希值是否与所述第三哈希值一致；若一致，则所述UE向所述MME发送NAS安全模式完成消息。可选的，所述NAS安全模式命令消息中还包括：所述MME回传的UE安全能力；所述UE确定所述MME回传的UE安全能力是否与所述UE发送给所述MME的UE安全能力一致；相应的，所述若一致，则所述UE向所述MME发送NAS安全模式完成消息，包括：若所述第四哈希值与所述第三哈希值一致、所述第四NAS-MAC与所述第三NAS-MAC一致且所述MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致，则所述UE向所述MME发送NAS安全模式完成消息。可选的，所述方法还包括：若所述第四哈希值、所述第四NAS-MAC以及所述MME回传的UE安全能力中的至少一项验证失败，则所述UE向所述MME发送NAS安全模式失败消息；或者，若所述第四NAS-MAC与所述第三NAS-MAC一致、所述MME回传的UE安全能力与所述UE发送给所述MME的UE安全能力一致且所述第四哈希值与所述第三哈希值不一致，则所述UE向所述MME发送NAS安全模式完成消息，所述NAS安全模式完成消息中携带UE能力信息。可选的，所述第一验证匹配信息为所述MME已经接收到的UE能力信息，所述NAS安全模式命令消息还包括所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第五NAS-MAC；所述UE计算所述UE接收到的所述NAS安全模式命令消息的第六NAS-MAC；所述UE确定所述第六NAS-MAC是否与所述第五NAS-MAC一致；若一致，所述UE所述MME已经接收到的UE能力信息是否与所述UE发送给所述MME的UE能力信息一致；若一致，则所述UE向所述MME发送NAS安全模式完成消息。可选的，所述UE确定所述第六NAS-MAC是否与所述第五NAS-MAC一致，若一致，所述UE确定所述MME已经接收到的所述UE能力信息中所包括的UE安全能力是否与所述UE发送给所述MME的UE安全能力一致；若一致，则所述UE确定所述MME接收到的所述UE能力信息中除所述UE安全能力外的其它能力是否分别与所述UE发送给所述MME的一致；若一致，则所述UE向所述MME发送NAS安全模式完成消息。可选的，所述方法还包括：若所述MME已经接收到的所述UE能力信息中除所述UE安全能力外的其它能力与所述UE发送给所述MME的不一致，则所述UE向所述MME发送NAS安全模式完成消息，所述NAS安全模式完成消息中携带UE能力信息。可选的，所述NAS安全模式命令消息包括：所述MME接收到的UE安全能力、所述MME所采用的完整性算法、秘钥标识以及所述NAS安全模式命令消息的第七NAS-MAC；所述UE计算所述UE接收到的所述NAS安全模式命令消息的第八NAS-MAC；所述UE确定所述第八NAS-MAC是否与所述第七NAS-MAC一致；若一致，所述UE确定所本文档来自技高网...

【技术保护点】
1.一种移动通信系统，其特征在于，包括用户设备和移动管理实体；所述用户设备，用于接收来自所述移动管理实体的非接入层NAS安全模式命令消息，所述NAS安全模式命令消息中携带第一验证匹配信息、所述移动管理实体所采用的完整性算法、秘钥标识、所述NAS安全模式命令消息的第一非接入层消息认证码NAS‑MAC以及所述移动管理实体回传的UE安全能力；其中，所述第一验证匹配信息为所述移动管理实体向所述UE发送所述NAS安全模式命令消息前接收到的附着请求消息的第一哈希值；确定所述移动管理实体回传的UE安全能力是否与所述UE发送给所述移动管理实体的UE安全能力一致；计算所述UE接收到的所述NAS安全模式命令消息的第二NAS‑MAC，确定所述第二NAS‑MAC是否与所述第一NAS‑MAC一致；计算所述UE发送给所述移动管理实体的附着请求消息的第二哈希值，确定所述二哈希值是否与所述第一哈希值一致；若所述移动管理实体回传的UE安全能力与所述UE发送给所述移动管理实体的UE安全能力一致，所述第二NAS‑MAC与所述第一NAS‑MAC一致，且所述二哈希值与所述第一哈希值一致，则向所述移动管理实体发送NAS安全模式完成消息；所述移动管理实体，用于向所述用户设备发送所述NAS安全模式命令消息；接收来自所述用户设备的NAS安全模式完成消息。...

【技术特征摘要】
1.一种移动通信系统，其特征在于，包括用户设备和移动管理实体；所述用户设备，用于接收来自所述移动管理实体的非接入层NAS安全模式命令消息，所述NAS安全模式命令消息中携带第一验证匹配信息、所述移动管理实体所采用的完整性算法、秘钥标识、所述NAS安全模式命令消息的第一非接入层消息认证码NAS-MAC以及所述移动管理实体回传的UE安全能力；其中，所述第一验证匹配信息为所述移动管理实体向所述UE发送所述NAS安全模式命令消息前接收到的附着请求消息的第一哈希值；确定所述移动管理实体回传的UE安全能力是否与所述UE发送给所述移动管理实体的UE安全能力一致；计算所述UE接收到的所述NAS安全模式命令消息的第二NAS-MAC，确定所述第二NAS-MAC是否与所述第一NAS-MAC一致；计算所述UE发送给所述移动管理实体的附着请求消息的第二哈希值，确定所述二哈希值是否与所述第一哈希值一致；若所述移动管理实体回传的UE安全能力与所述UE发送给所述移动管理实体的UE安全能力一致，所述第二NAS-MAC与所述第一NAS-MAC一致，且所述二哈希值与所述第一哈希值一致，则向所述移动管理实体发送NAS安全模式完成消息；所述移动管理实体，用于向所述用户设备发送所述NAS安全模式命令消息；接收来自所述用户设备的NAS安全模式完成消息。2.根据权利要求1所述的洗头，其特征在于，所述用户设备，还用于在所述第二NAS-MAC与所述第一NAS-MAC一致、所述移动管理实体回传的UE安全能力与所述UE发送给所述移动管理实体的UE安全能力一致且所述第二哈希值与所述第一哈希值不一致的情况下，向所述移动管理实体发送NAS安全模式完成消息，所述NAS安全模式完成消息中携带附着请求消息。3.一种移动通信方法，其特征在于，包括：用户设备UE接收来自移动管理实体的非接入层NAS安全模式命令消息，所述NAS安全模式命令消息中携带第一验证匹配信息、所述移动管理实体所采用的完整性算法、秘钥标识、所述NAS安全模式命令消息的第一非接入层消息认证码NAS-MAC以及所述移动管理实体回传的UE安全能力；其中，所述第一验证匹配信息为所述移动管理实体向所述UE发送所述NAS安全模式命令消息前接收到的附着请求消息的第一哈希值；所述UE确定所述移动管理实体回传的UE安全能力是否与所述UE发送给所述移动管理实体的UE安全能力一致；计算所述UE接收到的所述NAS安全模式命令消息的第二NAS-MAC，确定所述第二NAS-MAC是否与所述第一NAS-MAC一致；计算所述UE发送给所述移动管理实体的附着请求消息的第二哈希值，确定所述二哈希值是否与所述第一哈希值一致；若所述移动管理实体回传的UE安全能力与所述UE发送给所述移动管理实体的UE安全能力一致，所述第二NAS-MAC与所述第一NAS-MAC一致，且所述二哈希值与所述第一哈希值一致，则所述UE向所述移动管理实体发送NAS安全模式完成消息。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：若所述第二NAS-MAC与所述第一NAS-MAC一致、所述移动管理实体回传的UE安全能力与所述UE发送给所述移动管理实体的UE安全能力一致且所述第二哈希值与所述第一哈希值不一致，则所述UE向所述移动管理实体发送NAS安全模式完成消息，该NAS安全模式完成消息中携带附着请求消息。5.一种移动通信方法，其特征在于，包括：移动管理实体向UE发送NAS安全模式命令消息，所述NAS安全模式命令消息中携带第一验证匹配信息、所述移动管理实体所采用的完整性算法、秘钥标识、所述NAS安全模式命令消息的第一非接入层消息认证码NAS-MAC以及所述移动管理实体从所述UE接收到的UE安全能力；其中，所述第一验证匹配信息为所述移动管理实体向所述UE发送所述NAS安全模式命令消息前接收到的附着请求消息的第一哈希值；所述移动管理实体接收来自所述...

【专利技术属性】
技术研发人员：陈璟，李琪，舒林，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44