本发明专利技术公开了一种实现接入层安全算法同步的方法及系统,在切换失败的目标侧发起的RRC重建立过程中,如果基站侧需要进行AS安全算法更新,则在RRC连接重建消息中携带更新后的AS安全算法,并在重建立完成后立即发起SMC过程进行安全确认。通过本发明专利技术,保护了RRC链接重建立中的用户面加密算法不被篡改,避免了AS安全算法异常,最大程度地避免了空口无效数据包对带宽的浪费,提高了异常恢复及时性,并进一步改善了切换前后的用户体验。
【技术实现步骤摘要】
本专利技术涉及长期演进(LTE,Long Term Evolution)技术,尤指一种切换后发生RRC 连接重建时,实现接入层安全算法同步的方法及系统。
技术介绍
目前,在长期演进(LTE,Long Term Evolution)系统中,由于演进节点B(eNB, E-UTRAN Node B)的地理位置和逻辑结构的高度分散化,运营商无法对eNB实行集中的安全控制,每个eNB都处于非安全区。eNB需要根据各自的具体情况以及用户设备(UE,User Equipment)的安全能力, 来选择适合自身的接入层(AS,Access Stratum)安全算法。AS安全算法选择的基本原则是UE的安全能力信息通过信令流程发给eNB (比如核心网在初始上下文建立请求消息中将UE的安全能力携带给eNB),eNB在自身及UE所支持的AS安全算法交集中,选择一个最高优先级的AS安全算法。当发生切换时,eNB需要根据上述原则更新AS安全算法,并通过空口消息将新的AS安全算法告知UE。每个eNB需要自行维护与UE之间的AS安全参数(包括算法和密钥)。显然, 各eNB对AS安全算法的支持情况不一定相同。当发生跨eNB切换时,如果UE切换失败, 那么,UE可能在目标侧eNB又发起无线资源控制(RRC)连接重建立(RRC connection re-establishment),此时,如果目标侧eNB不支持UE原来的AS安全算法,会造成AS安全算法不同步的问题,图1为现有技术中RRC连接重建过程中造成AS安全算法不同步的流程示意图。如图1所示,具体来讲假设eNBl支持的安全算法是eNB2不支持的,那么,当UE因为切换到eNB2失败 (如切换时的RRC重配置未生效)而发生RRC连接重建立到eNB2时,如果UE不根据eNB2 所支持的AS安全算法重新进行AS安全算法选择,而是仍使用原AS安全算法(即eNBl支持的安全算法)对RRC重建立完成消息进行完整性保护和加密的话,eNB2必定会因为不支持原安全算法而产生对该消息的解密和完整性校验的失败,最终导致UE切换后的接入失败, 从而严重影响了用户的感受度。针对上述由于RRC连接重建立时均不进行AS安全算法更新,而导致的AS层安全算法不同步的问题,通常,可以通过在eNB发给UE的RRC连接重建立消息中增加安全算法配置信元的方法来解决。但是,同时却引入了一个新的问题新的安全算法配置只能通过 RRC连接重建立消息发送给UE,而RRC连接重建立消息本身是不经过完整性保护的,因此, 如果恶意攻击者将RRC连接重建立消息中携带的数据加密算法进行篡改,eNB和UE是不能及时发现的,这样,就会导致空口一段时间内存在大量的eNB无法解密的无效数据包,这样,不但浪费了空口资源,而且进一步严重影响了用户体验。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种实现接入层安全算法同步的方法及系统,能够保护RRC连接重建立中的用户面加密算法不被篡改,避免AS安全算法异常,最大程度地避免空口无效数据包对带宽的浪费,提高异常恢复及时性,改善切换前后的用户体验。为达到上述目的,本专利技术的技术方案是这样实现的一种实现接入层安全算法保护的方法,包括在无线资源控制RRC连接重建立过程中,演进节点B eNB通知用户设备UE是否更新接入层AS安全算法;UE根据通知采用相应的AS安全算法对RRC连接重建的完成进行加密和完整性保护;eNB采用本地已配置的AS安全算法对RRC连接重建的完成进行解密和完整性验证,并根据当前采用的AS安全算算决定是否启动安全确认。所述在RRC连接重建立过程中,eNB通知UE是否更新AS安全算法具体包括所述eNB收到来自UE的RRC连接重建立请求后,选择AS安全算法,并在发送给UE 的RRC连接重建立消息中携带AS安全算法配置信元是否存在标志;所述AS安全算法配置信元是否存在标志用于通知UE, eNB自身的AS安全算法是否更新。如果所述AS安全算法配置信元是否存在标志显示为存在,该方法还包括所述eNB在RRC连接重建立消息中携带用于承载更新后的AS安全算法参数的算法配置信元。所述eNB选择AS安全算法包括所述eNB根据所述RRC连接重建立过程之前获得的切换请求消息中携带的原AS 安全算法配置,判断自身所配置的AS安全算法是否支持原AS安全算法,如果不支持,则所示eNB根据自身所配置的AS安全算法和所述切换请求消息中携带的UE安全能力,选择一个优先级最高且UE支持的AS安全算法作为选择出的新的AS安全算法,并将选择出的AS 安全算法保存到本地,利用新的AS安全算法配置进行本地配置;如果所述eNB支持切换请求消息中携带的原AS安全算法配置,则原AS安全算法为选择出的AS安全算法,并使用原AS安全算法配置进行本地配置。 所述UE根据通知采用相应的AS安全算法对RRC连接重建的完成进行加密和完整性保护具体包括所述UE接收到来自eNB的RRC连接重建立消息后,根据其中携带的AS安全算法配置信元是否存在标志,判断是否需要进行AS安全算法更新,如果AS安全算法配置信元是否存在标志显示为存在,则启用RRC连接重建立消息中的算法配置信元承载的更新后的AS 安全算法进行本地配置;之后,UE采用更新后的AS安全算法对RRC连接重建立完成消息进行加密和完整性保护后发送给eNB ;如果AS安全算法配置信元是否存在标志显示为不存在,仍使用原AS安全算法进行本地配置;之后,UE采用原AS安全算法对RRC连接重建立完成消息进行加密和完整性保护后发送给eNB。所述eNB根据当前采用的AS安全算算决定是否启动安全确认具体包括如果所述eNB本地已配置的AS安全算法是更新后的AS安全算法,所述eNB启动安全确认,向UE发送采用更新后的AS安全算法进行完整性保护的安全模式命令SMC消息;所述UE收到SMC消息后进行SMC相应处理,并发送安全模式完成消息给eNB ;如果所述eNB本地已配置的AS安全算法是未更新,那么eNB不需要启动安全确认。一种实现接入层安全算法保护的系统,至少包括eNB和UE,其中,eNB,用于在RRC连接重建立过程中,通知UE是否更新AS安全算法;采用本地已配置的AS安全算法对RRC连接重建的完成进行解密和完整性验证,并根据当前采用的AS安全算算决定是否启动安全确认;UE,用于根据通知采用相应的AS安全算法对RRC连接重建的完成进行加密和完整性保护。从上述本专利技术提供的技术方案可以看出,本专利技术在切换失败的目标侧发起的RRC 重建立过程中,如果基站侧需要进行AS安全算法更新,则在RRC连接重建消息中携带更新后的AS安全算法,并在重建立完成后立即发起SMC过程进行安全确认。通过本专利技术,保护了 RRC链接重建立中的用户面加密算法不被篡改,避免了 AS安全算法异常,最大程度地避免了空口无效数据包对带宽的浪费,提高了异常恢复及时性,并进一步改善了切换前后的用户体验。附图说明图1为现有技术中RRC连接重建过程中造成AS安全算法不同步的流程示意图;图2为本专利技术切换后发生RRC连接重建时,实现AS算法同步的流程示意图;图3为本专利技术实现AS安全算法同步的系统的组成结构示意图;图4为本专利技术实现AS算法同步的第一实施例的流程示意图;图5为本专利技术实现A本文档来自技高网...
【技术保护点】
1.一种实现接入层安全算法保护的方法,其特征在于,包括:在无线资源控制RRC连接重建立过程中,演进节点B eNB通知用户设备UE是否更新接入层AS安全算法;UE根据通知采用相应的AS安全算法对RRC连接重建的完成进行加密和完整性保护;eNB采用本地已配置的AS安全算法对RRC连接重建的完成进行解密和完整性验证,并根据当前采用的AS安全算算决定是否启动安全确认。
【技术特征摘要】
1.一种实现接入层安全算法保护的方法,其特征在于,包括在无线资源控制RRC连接重建立过程中,演进节点B eNB通知用户设备UE是否更新接入层AS安全算法;UE根据通知采用相应的AS安全算法对RRC连接重建的完成进行加密和完整性保护; eNB采用本地已配置的AS安全算法对RRC连接重建的完成进行解密和完整性验证,并根据当前采用的AS安全算算决定是否启动安全确认。2.根据权利要求1所述的方法,其特征在于,所述在RRC连接重建立过程中,eNB通知 UE是否更新AS安全算法具体包括所述eNB收到来自UE的RRC连接重建立请求后,选择AS安全算法,并在发送给UE的 RRC连接重建立消息中携带AS安全算法配置信元是否存在标志;所述AS安全算法配置信元是否存在标志用于通知UE,eNB自身的AS安全算法是否更新。3.根据权利要求2所述的方法,其特征在于,如果所述AS安全算法配置信元是否存在标志显示为存在,该方法还包括所述eNB在RRC连接重建立消息中携带用于承载更新后的AS安全算法参数的算法配置信元。4.根据权利要求2或3所述的方法,其特征在于,所述eNB选择AS安全算法包括 所述eNB根据所述RRC连接重建立过程之前获得的切换请求消息中携带的原AS安全算法配置,判断自身所配置的AS安全算法是否支持原AS安全算法,如果不支持,则所示eNB 根据自身所配置的AS安全算法和所述切换请求消息中携带的UE安全能力,选择一个优先级最高且UE支持的AS安全算法作为选择出的新的AS安全算法,并将选择出的AS安全算法保存到本地,利用新的AS安全算法配置进行本地配置;如果所述eNB支持切换请求消息中携带的原AS安全算法配置,则原AS安全算法为选择出的AS安全算法,并使用原AS安全...
【专利技术属性】
技术研发人员:王波,李静岚,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。