專利名稱:計數器控制方法和裝置的制作方法
技術領域:
本發明涉及通信領域,尤其涉及一種計H器控制方法和裝置。
背景技術:
在第三代合作伙伴的長期演進系統(Long Term Evolution,簡 稱為LTE ) / ( System Architecture Evolution,簡稱、為SAE )中,4妄 入安全采用兩層的分層才莫式,分為非4妄入層(Non-Access Stratum, 簡稱為NAS )安全和4妻入層(Access Stratum,簡稱為AS )安全。
在具體實施過程中,NAS安全上下文由移動管理單元(Mobility Management Entity ,簡稱為MME )維護和管理,同時,MME還<呆 存用于派生AS層和NAS層密鑰的LTE/SAE根密鑰KASME,并且使 用Kasme和上行NAS COUNT (非接入層計數器)生成供演進的基 站(evolved Node B,簡稱為e NB )使用二級才艮密鑰K eNB ,當NAS 連接結束(例如轉移到其它系統)時,MME和用戶設備(User Equipment,簡稱為UE)將保存NAS的安全上下文。
AS安全上下文由演進基站e Node維護和管理,當UE和網絡 之間的無線資源控制(Radio Resource Control ,簡稱為RRC )連4妾 結束后,UE和網絡的AS安全上下文都被刪除掉,當建立新的RRC 連4妻時,再Y吏用MME發過來的新的K eNB建立新的AS層安全上 下文。在LTE/SAE中,安全上下文包括密鑰、密鑰標識符、所選擇 的安全算法、上下行計數器的值等。其中,密鑰標識符為密鑰的身份識別符(或者叫密鑰序列號),用于網絡與UE之間對密鑰的識別 和檢索,AS層和NAS層的密鑰采用與其根密鑰KASME相同的密鑰
標識符。當根密鑰KASME發生改變時,其相應的子密鑰必需隨之改
變,并^f吏用新的密鑰建立新的安全上下文。
在NAS安全上下文中,存在有NAS計數器,該NAS計數器 主要有兩個作用 一、作為NAS完整性和機密性保護的輸入參數, 用于抗重放,二、上行NAS計數器用于和KASME—起產生K eNB, 保證每次RRC連接時,KeNB的新鮮性和唯一性,下行NAS計數器 用于UE轉移到UMTS時和KASME —起產生UMTS密鑰CK、IK, 保證每次轉移時,IK、 CK的新鮮性和唯一性。
在密鑰沒有改變的情況下,NAS計凄t器應該^f呆i正不斷地遞增。 NAS計數器長度為32位,其中低8位為NAS協議數據單元(Protocol Data Unit, PDU )的序列號(S叫uence Number,簡稱為SN),每個 NAS消息單元中都攜帶有自身的序列號,高24位為溢出計ft器 (OC, Overflow Count),當SN達到最大j直后,OC部分加1。發 送方和接收方的初始化NAS計數器的值為0,每發送一個NAS消 息單元時,NAS序列號力。1, NAS消息重發時該消息只于應的序列號 保持不變。接收方在處理接收到的NAS消息時,先檢查其NAS序 列號,然后按照序列號的大小順序依次處理NAS消息。
接收方接收到NAS消息后,會確定NAS消息對應的序列號與 上一次收到的NAS消息的序列號的差值,如果該差值小于預先設定 的數值(該數值可以根據系統設計的要求來確定),則該NAS消息 為重方文消息,可丟棄;如果該差^f直大于預先i殳定的fW直,則該NAS 消息也要丟棄,即窗口效應,保證NAS消息的序列號不能夠任意跳 變,應該保持一定的連慣性。當UE /人陸i也無線4妄入網(UMTS Terrestrial Radio Access Network,簡稱為UTRAN )或增強性第二代移動通信接入網(例如 GERAN ( GPRS/EDGE Radio Access Network,簡稱為GERAN )) 切換到演進的UTRAN (Evolved-UTRAN,簡稱為EUTRAN)時, SGSN將UTRAN密鑰IK、 CK發給MME, MME 4吏用CK、 IK生 成Kasme,此時,MME中可能存在有兩組密鑰, 一組密鑰為從CK、 IK映射過來的密鑰,其密鑰標識符為KSISCSN,稱為映射密鑰,映 射密鑰對應的安全上下文稱為映射安全上下文;另 一組密鑰為切換 前,UE和MME中已經保存的密鑰,其密鑰標識符為KSIASME,該 密鑰對應的安全上下文稱為緩存安全上下文。
根據LTE/SAE系統的i殳計要求,如果UE和MME之間有緩存 安全上下文,UE 乂人UTRAN/GERAN切換到EUTRAN時,應該啟 用緩存安全上下文。圖1是相關技術的UE從UTRAN切換到 EUTRAN時,安全上下文的切換過程示意圖,如圖l所示,包括以 下處理
步驟S101,源RNC/BSC向UE發送切換命令,通知UE切換 到EUTRAN;
步驟SI02, UE通過目標eNode B發送切換EUTRAN完成消 息,通知eNode B的AS層切4奐成功;
步驟S103 , UE向目標MME發送跟蹤區更新請求,該i青求中 攜帶有KSIasme和KSIsgsn,且該消息用映射安全上下文^:完整性保 護;
步驟S104,目標MME根據KSUsME確定其與UE具有一致的 緩存安全上下文,向UE發送跟蹤區更新接受消息,該消息中攜帶有KSIASME ,通知UE目標MME與該UE具有一致的IC存安全上 下文,該消息使用映射安全上下文做完整性保護;
步驟SI05, UE向目標MME發送跟蹤區更新(Tracking Area Update,簡稱為TAU)完成消息,該消息4吏用映射安全上下文估支完 整性保護;
步驟S106, MME決定啟用緩存安全上下文,對NAS計數器進 行初始化設置;
步驟S107, MME向UE發送安全命令消息,該消息中攜帶有 KSIASME,該消息使用緩存安全上下文做完整性保護;
步驟S108, UE決定啟用緩存安全上下文,對NAS計數器初始 化設置;
步驟S109, UE向目標MME發送安全命令模式(Security Mode Command,簡稱為SMC)完成消息,該消息使用緩存安全上下文做 完整性保護。
通過上述過程,可以看出,在切換和^艮蹤區更新過程中(即, 上述的步驟S101至步驟S105 )使用映射安全上下文作為j故完整性 保護,并在后續的NAS信令協商過程中(即,上述的步驟S107之 后)啟用緩存安全上下文作為完整性保護。
為了達到抗重方文等目的,目標MME在啟用緩存安全上下文時, 必須初始化NAS計數器的值,將緩存NAS計數器的值作為NAS 計數器的初始值(為了敘述方便,將緩存上下文中保存的計數器的 值,稱為緩存計數器的值),后續的計數器的值在緩存NAS計數器 的值的基礎上做累力口。由于映射安全上下文對應的NAS計數器的值 和啟用緩存上下文之前NAS計數器的值無關聯,即雙方的SN部分可能會存在不連貫關系。當NAS計數器改變后,MME發送第一條 下行NAS消息一NAS安全才莫式命令(Security Mode Command,簡 稱為SMC)給UE (對應于上述的步驟S107), SMC消息的NAS 值的SN值為纟爰存的NAS SN+1, SMC消息的SN可能會小于上一 條下行NAS消息(對應于上述步驟S104中的TAU^妻受消息)的 SN,也可能會相差過大,超過窗口值,造成UE收到SMC消息時, 當SMC消息當作無用的NAS消息,將其丟棄,這樣會導致通信中 斷。同樣道理,上行NAS消息也可能出現類似的問題。
發明內容
考慮到相關沖支術中存在的將NAS消息作為無用消息而導致通 信中斷的問題而提出本發明,為此,本發明的主要目的在于提供一 種計數器控制方法及裝置,以解決上述問題。
根據本發明的一個方面,提供一種計數器控制方法,該方法應 用于用戶i殳備從陸地無線4妻入網或增強型第二代移動通信*接入網切 換到演進的陸地無線接入網的過程中。
根據本發明的計數器控制方法包括從當前安全上下文切換到 目標安全上下文時,對目標安全上下文對應的計數器的計數值進行 初始化設置,將計數器的初始值的低位值設置為當前安全上下文對 應的低位值,并將初始值的高位值設置為存儲的對應于目標安全上 下文的計數值的高位值加上預i殳的正整凄史值。
其中,上述當前安全上下文包括映射安全上下文,目標安全上 下文包括緩存安全上下文。
伊C選;也,在移動管理單元的上4于方向和用戶纟冬端的上4于方向, 對計數器的初始值進行相同的i殳置,在移動管理單元的下行方向和 用戶終端的下行方向,對計數器的初始值進行相同的設置。根據本發明的另一個方面,提供一種計數器控制裝置。 根據本發明的計數器控制裝置包括存儲模塊,用于分別存儲
當前安全上下文和目標安全上下文對應的歷史計數值;第一讀取才莫 塊,用于當前安全上下文切換到目標安全上下文時,從存儲模塊讀 取并輸出當前安全上下文的最新計數值的低位值;第二讀取才莫塊, 用于當前安全上下文切換到目標安全上下文時,從存儲才莫塊讀取目 標安全上下文的最新計數值的高位值;加法器,用于對第二讀取模 塊讀取的高位值與預i殳的正整數值求和并輸出求和值;設置才莫塊, 用于根據第一讀耳又才莫塊和加法器的輸出對目標安全上下文的計數值 進行設置,將目標安全上下文的計數值的低位值設置為第一讀取模 塊輸出的低位值,并將目標安全上下文的計凄t值的高位值設置為加 法器的輸出的求和值。
其中,當前安全上下文包4舌映射安全上下文,目標安全上下文 包括緩存安全上下文。
通過本發明的上述至少一個技術方案,通過在安全上下文發生 改變時,對安全上下文對應的計lt器的值進4于相應的i殳置,相比于 現有技術,本發明的技術方案能夠保證消息序列號的連續性。
附圖用來提供對本發明的進一步理解,并且構成說明書的一部 分,與本發明的實施例一起用于解釋本發明,并不構成對本發明的 限制。在附圖中
圖1是才艮據相關技術的UE從UTRAN/GERAN切換到EUTRAN 過程中,安全上下文改變時NAS計數器的控制方法的信令流程圖2是根據本發明方法實施例的計數器控制方法的流程圖;圖3是根據本發明實施例的UE從UTRAN/GERAN切換到 EUTRAN過程中,安全上下文改變時NAS計數器的控制方法流程 圖4提供了 UE從UTRAN切換到EUTRAN過程中,安全上下 文改變時NAS計凄t器的控制方法信令流程圖5是根據本發明方法實施例的計數器控制裝置的結構框圖。
具體實施例方式
功能一既述
本發明的基本思路是在用戶設備(UE)從陸地無線接入網 (UTRAN )或GERAN切,換到演進的陸;也無線4妻入網(EUTRAN ) 過程中,在更換安全上下文時,為了使得消息的序列號保持連貫性, 本發明提供一種計數器控制方法,在更改安全上下文過程中,計數 器設置初始值時,將緩存計數器的高位(Most Significant Bit,簡稱 MSB)值加上預設的整數值作為計數器對應的高位初始值,計數器 的低位(即消息的序列號)值不改變,即低位的初始值等于更改安 全上下文前對應的4氐位置。
需要說明的是,術語"存儲介質"可以表示用于存儲數據的一 種或多種裝置,下文所述的存儲模塊,可以包括只讀存儲器(ROM)、 隨才幾存耳又存卩諸器(RAM)、》茲RAM、》茲心存4諸器、萬茲盤存^f諸介質、 光存儲介質、閃存裝置和/或用于存儲信息的其他機器可讀介質。術 語"機器可讀介質"包括4旦不限于便攜式或固定存儲裝置、光存儲 裝置、無線通道或能夠存儲、容納、或承載指令和/或數據的各種其 他介質。另夕卜,可以通過硬件、軟件、固件、中間件、微碼、硬件描述 語言或其組合來實現實施例。當用軟件、固件、中間件或《敬碼來實 現時,可以在諸如存儲介質的才幾器可讀介質中存儲用于執行必要任 務的程序代碼或碼,殳。(多個)處理器可以才丸4于必要4壬務。碼^殳可以 表示進程、函數、子程序、程序、例行程序、子例行程序、模塊、 對象、軟件包、類、或指令、數據結構、或程序語言的任意組合。 通過傳輸和/或接收信息、數據、自變量、或存儲內容來將碼段耦合 到另一碼段或硬件電路。信息、自變量、參數、數據等可以經由包
括存儲器共享、消息傳遞、令牌傳遞、網絡傳輸等的任意合適方式 來傳遞、傳輸、或傳送。
需要說明的是,為了便于描述,在下文中以步驟的形式示出并 描述了本發明的方法實施例的才支術方案,在下文中所示出的步馬聚可 以在諸如一組計算機可執行指令的計算機系統中執行。雖然在相關 的附圖中示出了邏輯順序,^f旦是在某些情況下,可以以不同于此處 的順序才丸4亍所示出或描述的步-驟。
下面將結合附圖詳細描述本發明。
方法實施例
根據本發明實施例,提供了一種計數器控制方法。
圖2是4艮據本發明實施例的計數器控制方法的流程圖,應用于 用戶設備通過移動管理單元從陸地無線接入網或增強型第二代移動 通信接入網(GERAN)切換到演進的陸地無線4妄入網過程中,如圖 2所示,該方法包纟舌以下處J里
步驟S202,從當前安全上下文切換到目標安全上下文時,對目 標安全上下文對應的計凄t器的計數值進行初始化設置,其中,當前安全上下文包括映射安全上下文,目標安全上下文包括緩存安全上
下文;
步驟S204,將計數器的初始值的低位值設置為當前安全上下文
對應的低位值,并將初始值的高位值設置為存儲的對應于目標安全 上下文的計數值的高位值加上預設的正整數值,其中,目標安全上 下文的計數值的高位值為已經保存的目標安全上下文的最近計數值
的高4立-f直。
在具體實施過程中,在移動管理單元的上4亍方向和用戶終端的
上行方向,需要對計數器的初始值進行相同的設置;在移動管理單 元的下行方向和用戶終端的下行方向,需要對計數器的初始值進行 相同的i殳置。
通過本發明實施例提供的技術方案,通過在安全上下文發生改 變時,對安全上下文對應的計數器的值進行相應的設置,相比于現 有技術,本發明的技術方案能夠保證消息序列號的連續性,也解決 了計數器的值始終是增加問題。
圖3是根據本發明實施例的UE從UTRAN/GERAN切換到 EUTRAN過程中,安全上下文改變時,NAS計數器的控制的具體 方法流禾呈圖,如圖3所示,包4舌以下處理
步驟S301 , MME通過在TAU過程,確定與UE有一致的緩存 安全上下文,決定啟用緩存安全上下文(對應上述的步驟S202);
步驟S302, MME 4是耳又緩存安全上下文中記錄的NAS計數器高 24位(即OC部分)的值,加上預定整凄t,例如這里可以加上l, 作為當前NAS計數器高24位的初始化值(上下行NAS計數器都要 進4亍該處理),即MSB24 (NAS COUNT) =MSB24 (Cached NAS COUNT ) +1 ,當前NAS計#:器4氐8位SN部分不作初始化處理(對應上述的步驟S204),以保持啟用緩存安全上下文之前NAS消息 SN的連貫性,在后續處理過程中,上下4亍NAS計lt器都在該初始 化值的基礎上進行累加;
需要說明的是,MME和UE初始化NAS計數器的高位部分不 限于24位,也可以才艮據系統:沒計要求-f壬意調整位凄史,SN部分也同 樣道理;
步驟S303, MME發安全模式命令給UE,通知UE啟用緩存安 全上下文,該消息的SN為上一條NAS下行消息的SN力口 1;
步驟S304, UE收到MME發過來的安全模式命令后,開始啟 用緩存安全上下文,對NAS上下行計數器做初始化設置,高24位 初始化為緩存NAS計數器高24位的值力口 1,即MSB24 (NAS COUNT) =MSB24 (Cached NAS COUNT) +1,下4亍SN部分的值 等于收到的SMC消息攜帶的SN值,上行SN不做初始化處理(對 應上述的步驟S204),以保持啟用緩存安全上下文之前NAS消息 SN的連貫性,在后續處理過禾呈中,上下4亍NAS計凄t器都在該初始 值的基礎上進行累加;
步驟S305, UE發安全才莫式命令結束消息給MME,通知MME 上下文切換成功,該消息的NAS SN值為上一條NAS消息的SN值 力口 1。
圖4是根據本發明方法實施例的計數器控制方法的信令流程 圖,如圖4所示,該方法包4舌以下步-驟
步驟S401 ,源RNC通過源Node B向UE發送切換命令,通知 UE切換到EUTRAN;步驟S402, UE通過目標Node B向目標MME發送切換 EUTRAN完成消息,通知MME AS層切換成功;
步驟S403 , UE向目標MME發送跟蹤區更新請求,該請求中 攜帶有KSUsme和KSIsgsn,且該消息用映射安全上下文估文完整性保
護;
步驟S404,目標MME 4艮據KSIASME確定其與UE具有一致的 緩存安全上下文,向UE發送3艮蹤區更新4妄受消息,該消息中攜帶 有KSIASME ,通知UE目標MME與該UE具有一致的i爰存安全上 下文,該消息4吏用映射安全上下文估文完整性保護;
步驟S405 , UE向目標MME發送TAU ( 3艮蹤區更新)完成消 息,該消息使用映射安全上下文做完整性保護;
步驟S406, MME決定啟用緩存安全上下文,對NAS計數器進 行初始化設置,MME可以采用步驟S302中所述的方法對NAS計 凄丈器進行初始化i殳置;
步驟S407, MME向UE發送安全命令消息,該消息中攜帶有 KSIASME,該消息使用緩存安全上下文做完整性保護;
步驟S408, UE決定啟用緩存安全上下文,對NAS計數器初始 化設置,UE可以采用步驟S304中所述的方法對NAS計凄t器進行 初始化i殳置;
步驟S409, UE向目標MME發送SMC (安全命令模式)完成 消息,該消息使用緩存安全上下文做完整性保護。通過上述方法,通過在安全上下文發生改變時,對安全上下文 對應的計數器的值進行相應的設置,能夠了保證消息序列號的連續 性,同時,也保證了計數器的值始終是增加的。
裝置實施例
根據本發明實施例,提供一種計數器控制裝置,用于實施本發 明實施例。圖5示出了根據本發明實施例的計數器控制裝置的結構
框圖,如圖5所示,該裝置包括存儲模塊IO、第一讀取模塊20、第 二讀耳又^莫塊30、加法器40和設置一莫塊50。
需要說明的是,雖然圖5中示出了單獨設置的第一讀取J溪塊20 和第二讀取^莫塊30, j旦是,可以理解,該第一讀耳又才莫塊20和第二 讀取模塊30也可以合一設置用于執行讀取操作。
存儲才莫塊10,用于分別存儲當前安全上下文和目標安全上下文 對應的歷史計數值,該存儲才莫塊可以是具有存儲功能的合適存儲介 質或機器可讀介質;第一讀取才莫塊20,連4妻至存儲才莫塊10,用于當 前安全上下文切4灸到目標安全上下文時,乂人存4諸才莫塊10讀耳又并!ir出 當前安全上下文的最新計^:值的低位值;第二讀取才莫塊30,連接至 存儲模塊10,用于從當前安全上下文切換到目標安全上下文時,從 存儲才莫塊10讀取目標安全上下文的最新計數值的高位值;加法器 40,連接至第二讀耳又才莫塊30,用于對第二讀取4莫塊讀取的高位值與 預設的正整數值求和并輸出求和值;i殳置才莫塊50,連接至第一讀取 模塊20和加法器40,用于根據第一讀取模塊和加法器的輸出對目 標安全上下文的計數值進行設置,將目標安全上下文的計數值的低 位值設置為第一讀取模塊輸出的低位值,并將目標安全上下文的計 數值的高位值設置為加法器的輸出的求和值。另外,上述裝置還可以包括;險測才莫塊,用于在^r測出安全上下 文之間發生切換時,調用第一讀取模塊20和第二讀取模塊30來執 行后續的操作。
通過本發明實施例提供的計數器控制裝置,通過在安全上下文 發生改變時,對安全上下文對應的計數器的值進行相應的設置,相 比于現有技術,本發明實施例的技術方案能夠保證消息序列號的連 續性,同時,也保證了計數器的值始終是增加的。
如上所述,借助于本發明提供的計數器控制方法和/或裝置,通 過在安全上下文發生改變時,對安全上下文x于應的計器的 <直進4亍 相應的設置,相比于現有技術,本發明的技術方案能夠保證消息序 列號的連續性,也解決了計數器的值始終是增加問題。
對于本4貞i或的^支術人員來i兌,本發明可以有各種更改和變^匕。凡在 本發明的精神和原則之內,所作的任何修改、等同替換、改進等, 均應包含在本發明的保護范圍之內。
權利要求
1.一種計數器控制方法,應用于用戶設備從陸地無線接入網或增強型第二代移動通信接入網切換到演進的陸地無線接入網的過程中,其特征在于,所述方法包括從當前安全上下文切換到目標安全上下文時,對所述目標安全上下文對應的計數器的計數值進行初始化設置,將所述計數器的初始值的低位值設置為所述當前安全上下文對應的低位值,并將所述初始值的高位值設置為存儲的對應于所述目標安全上下文的計數值的高位值加上預設的正整數值。
2. 才艮據權利要求1所述的方法,其特征在于,所述當前安全上下 文包括映射安全上下文,所述目標安全上下文包括「纟爰存安全上 下文。
3. 4艮據權利要求1或2所述的方法,其特征在于,在所述移動管 理單元的上4亍方向和所述用戶終端的上4亍方向,對所述計凄t器 的初始值進行相同的設置。
4. 才艮據權利要求1或2所述的方法,其特征在于,在所述移動管 理單元的下4于方向和所述用戶終端的下行方向,對所述計lt器 的初始值進行相同的設置。
5. —種計數器控制裝置,其特征在于,包括存儲模塊,用于分別存儲當前安全上下文和目標安全上下 文乂于應的歷史計ltf直;第一讀取^莫塊,用于當所述當前安全上下文切換到所述目 標安全上下文時,從所述存儲才莫塊讀取并輸出所述當前安全上下文的最新計lt值的 <氐位值;第二讀取模塊,用于當所述當前安全上下文切換到所述目 標安全上下文時,^v所述存^f諸一莫塊讀耳又所述目標安全上下文的 最新計數值的高位值;加法器,用于對所述第二讀取^莫塊讀耳又的所述高位值與預 -沒的正整凄t值求和并llr出求和<直;設置模塊,用于根據所述第一讀取模塊和所述加法器的輸 出對所述目標安全上下文的計數值進行設置,將所述目標安全 上下文的計數值的低位值設置為所述第 一讀取模塊輸出的所 述低位值,并將所述目標安全上下文的計數值的高位值設置為 所述加法器的輸出的所述求和值。
6. 根據權利要求5所述的裝置,其特征在于,所述當前安全上下 文包括映射安全上下文,所述目標安全上下文包括緩存安全上 下文。
全文摘要
本發明公開了一種計數器控制方法和裝置,其中,該方法包括從當前安全上下文切換到目標安全上下文時,對目標安全上下文對應的計數器的計數值進行初始化設置,將計數器的初始值的低位值設置為當前安全上下文對應的低位值,并將初始值的高位值設置為存儲的對應于目標安全上下文的計數值的高位值加上預設的正整數值。借助于本發明的技術方案,通過在安全上下文發生改變時,對安全上下文對應的計數器的值進行相應的設置,相比于現有技術,本發明的技術方案能夠保證消息序列號的連續性。
文檔編號H04W36/02GK101409897SQ200810175950
公開日2009年4月15日 申請日期2008年10月31日 優先權日2008年10月31日
發明者張旭武, 露 甘 申請人:中興通訊股份有限公司