技術領域

本發明涉及通信技術領域，特別涉及一種安全上下文的生成方法及裝置。

背景技術

第三代移動通信伙伴項目長期演進(Third?Generation?Partnership?Project Long?Term?Evolution，3GPP?LTE)是第三代(Third?Generation，3G)網絡演 進后的系統，是基于分組域的移動通信系統。系統包括移動終端(Mobile Station，MS)，演進了的基站(Evolved?Node?B，eNb)，演進了的移動性管 理實體(Mobility?Management?Entity，MME)，服務網關(Serving?Gateway SGW)/分組數據節點網關(Packet?Data?Node?Gateway，PDNGW)等部分。 通過SGW/PDNGW和外部數據網絡連接，實現LTE網絡與外部數據網的通 信。其中MS為屬于終端設備，eNb為無線接入設備，MME和SGW/PDNGW 為核心網設備。

在LTE系統中，為保證UE和網絡側的通信安全，現有協議規定SERVICE REQ消息必須進行完整性保護，即，當前UE和MME同時保存了一套對應 的安全上下文，該安全上下文包括：完整性保護密鑰、加密密鑰、加解保護/ 加解密的算法等。對于SERVICE?REQ這樣需要在UE和MME之間發送的 消息，則對其進行加保護的密鑰和算法，需要使用當前UE和MME保存的 安全上下文。

LTE的用戶設備的網絡能力改變后，網絡側尋呼用戶設備的流程如下：

1、LTE用戶設備(User?Equipment，UE)側注冊成功后，空閑(IDLE) 態下，如果UE的網絡能力被修改，則非接入層演進了的分組系統的移動性 管理(Non?Access?Stratum?Evolved?Packet?System?Mobility?Management，NAS EMM)要執行跟蹤區更新(Tracking?Area?Update，TAU)流程，把修改的參 數通知給網絡。UE的網絡能力是在網絡中用一個信元標示，用于UE告知核 心網該UE支持的加解密、完整性保護的算法，例如：在LTE系統中相對于 2G/3G新增的信元，用于UE告知核心網所述UE支持的加解密、完整性保 護的算法。由于當前UE處于空閑態，NAS?EMM要請求無線資源管理(Radio Resource?Control，RRC)建立空口的RRC連接，請求的建鏈類型為：主叫 信令(Mobile?Originated?SIGNAL，MO?SIGNAL)；RRC是一個協議模塊， 在UE和網絡實體eNb中都有，可以用軟件實現。

2、UE側的RRC收到NAS的MO?SIGNAL類型的建鏈請求后，RRC根 據當前小區的系統消息(基站會在物理信道中廣播此系統消息)中的接入禁 止信息，判斷是否允許此類型的接入。如果當前禁止此類型的建鏈接入，則 RRC通知NAS?EMM建鏈失敗，小區被禁止MO?SIGNAL類型的接入；

3、網絡側給該終端發送尋呼消息，來定位上述UE的位置，具體可以是 MME給eNB發送尋呼(PAGING)消息，尋呼該UE；

4、eNB在最終用戶(Ultimate?User?Uu)口尋呼該UE；

5、UE側RRC收到此尋呼消息后，將尋呼消息發送給NAS?EMM；

6、由于EMM處于MO?SIGNAL類型的禁止接入狀態，NAS?EMM收到 此尋呼消息后，需要向網絡側發送響應尋呼(PAGING)的消息，具體地， EMM需要向演進了的移動性管理實體(Mobility?Management?Entity，MME) 發送服務請求(SERVICE?REQ)消息，建立用戶面承載。

由于UE網絡能力已經改變，UE已經不支持MME保存的安全上下文的 算法，原有的安全上下文失效，所以UE此時不應使用原來的安全上下文進 行保護，此時即使UE對SERVICE?REQ消息用該已失效的安全上下文進行 加保護，MME也無法識別此消息，即認為沒有收到尋呼響應，也無法生成 新的安全上下文，因此不應觸發RRC建鏈的流程。另外，由于無法觸發RRC 建鏈的流程，網絡側發起的PAGING會失敗，導致網絡側無法尋呼到該UE。

發明內容

本發明實施例要解決的技術問題是提供一種安全上下文的生成方法及裝 置，在UE網絡能力改變時建立安全上下文。