[发明专利]一种安全上下文的生成方法及装置

权利要求书

1.一种安全上下文生成的方法，其特征在于，包括：

移动性管理实体MME接收携带用户设备的网络能力的第一消息；所述用 户设备的网络能力用于表明所述用户设备支持的加解密、完整性保护的算法；

若所述第一消息携带的用户设备的网络能力与保存的所述用户设备的网 络能力不一致，则根据所述第一消息携带的用户设备的网络能力，生成安全 上下文。

2.根据权利要求1所述方法，其特征在于，所述生成安全上下文包括：

与非接入层NAS和无线资源管理RRC分别执行安全模式命令SMC，生成 加解保护算法和/或加解密算法。

3.根据权利要求2所述方法，其特征在于，所述生成安全上下文还包括：

与用户设备进行互相鉴权和协商密钥AKA流程生成完整性保护密钥。

4.根据权利要求1至3任意一项所述方法，其特征在于，

所述第一消息为服务请求SERVICE REQ消息，所述服务请求消息的可选 信元中携带用户设备的网络能力。

5.根据权利要求4所述方法，其特征在于，还包括：

判断所述服务请求SERVICE REQ消息是否经过完整性保护；

如果所述服务请求SERVICE REQ消息未经过完整性保护，则判断所述服 务请求SERVICE REQ消息中携带的用户设备的网络能力与保存的所述用户设 备的网络能力是否一致。

6.一种安全上下文生成的方法，其特征在于，包括：

终端侧设备判断用户设备的网络能力是否改变；所述用户设备的网络能 力用于表明所述用户设备支持的加解密、完整性保护的算法；

若该用户设备的网络能力已经改变，则所述终端侧设备向移动性管理实 体MME发送第一消息，所述第一消息中携带当前用户设备的网络能力，以便 于所述MME根据所述当前用户设备的网络能力生成安全上下文。

7.根据权利要求6所述方法，其特征在于，所述第一消息为服务请求 SERVICE REQ消息，在所述服务请求消息的可选信元中携带用户设备的网络 能力；所述服务请求SERVICE REQ消息未经过完整性保护。

8.一种安全上下文生成的装置，所述装置为移动性管理实体MME，其特 征在于，包括：

消息接收单元，用于接收携带用户设备的网络能力的第一消息；所述用 户设备的网络能力用于表明所述用户设备支持的加解密、完整性保护的算法；

上下文生成单元，用于若所述第一消息携带的用户设备的网络能力与保 存的所述用户设备的网络能力不一致，则根据所述第一消息携带的用户设备 的网络能力，生成安全上下文。

9.根据权利要求8所述装置，其特征在于，所述上下文生成单元包括：

SMC子单元，用于与非接入层NAS和无线资源管理RRC分别执行安全模 式命令SMC，生成加解保护算法和/或加解密算法。

10.根据权利要求9所述装置，其特征在于，所述上下文生成单元还包括：

AKA子单元，用于与用户设备进行互相鉴权和协商密钥AKA流程生成完 整性保护密钥。

11.一种终端侧设备，其特征在于，包括：

判断单元，用于判断用户设备的网络能力是否改变；所述用户设备的网 络能力用于表明所述用户设备支持的加解密、完整性保护的算法；

消息生成单元，用于若判断单元判断结果为已经改变，则生成第一消息， 所述第一消息中携带当前用户设备的网络能力；

发送单元，用于向移动性管理实体MME发送第一消息，以便于所述MME 根据所述当前用户设备的网络能力生成安全上下文。

12.根据权利要求11所述终端侧设备，其特征在于，所述消息生成单元， 用于生成服务请求SERVICE REQ消息，在所述服务请求消息的可选信元中携 带用户设备的网络能力；所述服务请求SERVICE REQ消息未经过完整性保护。