Способ, аппаратура и устройство мобильной связи

Авторы патента:

H04W12/08 - Техника электрической связи

H04L9/00 - Устройство для секретной или скрытой связи (способы расширения спектра вообще H04B 1/69)

Настоящее изобретение относится к технологиям мобильной связи. Технический результат - обеспечение условия получения правильной информации о функциональных возможностях UE на стороне ММЕ. Данный способ включает в себя: прием устройством пользователя UE командного сообщения режима безопасности уровня без доступа из узла управления мобильностью ММЕ, при этом командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятую MME; определение UE, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправку с помощью UE сообщения завершения режима безопасности NAS в MME. 9 н. и 7 з.п. ф-лы, 18 ил.

Область техники, к которой относится изобретение

Настоящее изобретение относится к технологиям мобильной связи и, в частности, к способу, аппаратуре и устройству мобильной связи.

Уровень техники

При выполнении процедуры подключения (подключение) в мобильной связи UE (устройство пользователя, устройство пользователя) отправляет сообщение запроса на подключение (запрос на подключение) в MME (узел управления мобильностью, узел управления мобильностью) с использованием eNB (усовершенствованный узел B, NodeB). Сообщение запроса на подключение содержит информацию о функциональных возможностях UE (UE функциональные возможности), такую как функциональные возможности сети и функцию безопасности. MME предоставляет услугу для UE в соответствии с принятой информацией о функциональных возможностях UE. Когда сообщение запроса на подключение не имеет защиты передаваемой информации от изменения, например, сообщение запроса на подключение не имеет защиты передаваемой информации от изменения в сценарии, в котором UE регистрируют в сети первый раз, если злоумышленник реализует атаку через посредника, чтобы изменить информацию о функциональных возможностях UE, отправленную UE в MME, MME предоставляет услугу для UE на основании измененной информации о функциональных возможностях UE. Следовательно, UE, возможно, не может использовать некоторые службы. Например, злоумышленник удаляет информацию о предпочтении голосового домена и установочные параметры использования UE (предпочтение голосового домена и установочные параметры использования UE) в информации о функциональных возможностях UE и добавляет параметр только дополнительного типа обновления SMS-сообщения (только дополнительного типа обновления SMS-сообщения). В результате UE может использовать только услугу SMS-сообщений и не может использовать услугу голосового вызова.

Сущность изобретения

Варианты осуществления настоящего изобретения обеспечивают способ, аппаратуру и устройство мобильной связи для обеспечения получения ММЕ корректной информации о функциональных возможностях UE.

Согласно первому аспекту вариант осуществления настоящего изобретения обеспечивает способ мобильной связи, включающий в себя:

прием устройством пользователя UE командного сообщения режима безопасности уровня без доступа NAS из узла управления мобильностью ММЕ, при этом, командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME;

определение UE, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятой посредством MME, информации о функциональных возможностях UE, отправленной UE в MME; и

если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправку посредством UE сообщения завершения режима безопасности NAS в MME.

Возможно, первая информация для верификации соответствия является первым значением хеша сообщения запроса на подключение, которое принимается MME, прежде чем MME отправит командное сообщение режима безопасности NAS в UE, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первый код аутентификации сообщения уровня без доступа NAS-MAC командного сообщения режима безопасности NAS;

UE вычисляет второй NAS-MAC командного сообщения режима безопасности NAS, принятого UE;

UE определяет, соответствует ли второй NAS-MAC первому NAS-MAC;

если второй NAS-MAC соответствует первому NAS-MAC, то UE вычисляет в соответствии с алгоритмом хеширования второе значение хеша сообщения запроса на подключение, отправленного UE в MME;

UE определяет, соответствует ли второе значение хеша первому значению хеша; и

если второе значение хеша соответствует первому значению хеша, то UE отправляет сообщение завершения режима безопасности NAS в MME.

Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, отправленную обратно посредством MME;

UE определяет, соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME; и

соответственно, если функция безопасности UE, отправленная обратно посредством MME, соответствует с функцией безопасности UE, отправленной UE в MME, то отправление посредством UE сообщения завершения режима безопасности NAS в MME включает в себя:

если второе значение хеша соответствует первому значению хеша, то второй NAS-MAC соответствует первому NAS-MAC, и функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, отправку посредством UE сообщения завершения режима безопасности NAS в MME.

Возможно, способ дополнительно включает в себя:

если, по меньшей мере, одно из двух значений хеша, второй NAS-MAC и

функция безопасности UE, отправленные обратно посредством MME, безуспешно верифицированы, отправку посредством UE сообщения отказа режима безопасности NAS в MME; или

если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша не соответствует первому значению хеша, отправку посредством UE сообщения завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.

Возможно, первая информация для верификации соответствия является третьим значением хеша информации о функциональных возможностях UE, принятой MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша в принятой информации о функциональных возможностях UE, алгоритм целостности, используемый MME, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS;

UE вычисляет четвертый NAS-MAC командного сообщения режима безопасности NAS, принятый UE; и UE определяет, соответствует ли четвертый NAS-MAC третьему NAS-MAC;

если четвертый NAS-MAC соответствует третьему NAS-MAC, то UE вычисляет, в соответствии с алгоритмом хеширования, четвертое значение хеша информации о функциональных возможностях UE, отправленной UE в MME;

UE определяет, соответствует ли четвертое значение хэша третьему значению хеша; и

если четвертое значение хеша соответствует третьему значению хэша, то UE отправляет сообщение завершения режима безопасности NAS в MME.

UE определяет, соответствует ли функция безопасности UE, отправленная обратно посредством MME, функции безопасности UE, отправленной посредством UE в MME; и

соответственно, если функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной посредством UE в MME, отправка UE сообщения завершения режима безопасности NAS в MME включает в себя:

если четвертое значение хэша соответствует третьему значению хэша, то четвертый NAS-MAC соответствует третьему NAS-MAC, и функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE в MME, отправку UE сообщения завершения режима безопасности NAS в MME.

Возможно, способ дополнительно включает в себя:

если, по меньшей мере, одно из четырех значений хэша, четвертый NAS-MAC и функция безопасности UE, отправленные обратно посредством MME, безуспешно верифицированы, отправку UE сообщения отказа режима безопасности NAS в MME; или

если четвертый NAS-MAC соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хэша не соответствует третьему значению хеша, отправку UE сообщение завершения режима безопасности NAS в MME, при этом сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.

Возможно, первой информацией для верификации соответствия является информация о функциональных возможностях UE, принятая MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS;

UE вычисляет шестой NAS-MAC командного сообщения режима безопасности NAS, принятого UE;

UE определяет, соответствует ли шестой NAS-MAC пятому NAS-MAC;

если шестой NAS-MAC соответствует пятому NAS-MAC, UE определяет, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME; и

если информация о функциональных возможностях UE, принятая MME, соответствует информацией о функциональных возможностях UE, отправленной UE в MME, то UE отправляет сообщение завершения режима безопасности NAS в MME.

Возможно, UE определяет, соответствует ли шестой NAS-MAC пятому NAS-MAC;

если шестой NAS-MAC соответствует пятому NAS-MAC, UE определяет, соответствует ли функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, принятая MME, функции безопасности UE, отправленной UE в MME;

если функция безопасности UE, содержащаяся в информацию о функциональных возможностях UE, принятая MME, соответствует функции безопасности UE, отправленной UE в MME, UE определяет, соответствуют ли функциональные возможности, отличные от функции безопасности UE в информации о функциональных возможностях UE, принятой MME, функциональным возможностям, отправленным UE в ММЕ; и

если функциональные возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, соответствуют функциональным возможностям, отправленным UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.

Возможно, способ дополнительно включает в себя:

если функциональные возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствует функциональным возможностям, отправленным UE в MME, отправку UE сообщения завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.

Возможно, командное сообщение режима безопасности NAS включает в себя: функцию безопасности UE, принятую MME, алгоритм целостности, используемый MME, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS;

UE вычисляет восьмой NAS-MAC командного сообщения режима безопасности NAS, принятый UE;

UE определяет, соответствует ли восьмой NAS-MAC седьмому NAS-MAC;

если восьмой NAS-MAC соответствует седьмому NAS-MAC, UE определяет, соответствует ли функция безопасности UE, принятая MME, функции безопасности UE, отправленной UE в MME; и

если функция безопасности UE, принятая MME, соответствует функции безопасности UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.

Возможно, вторая информация для верификации соответствия включает в себя:

значение хеша сообщения запроса на подключение, отправленного UE в MME; или

значение хеша информации о функциональных возможностях UE, отправленной UE в MME.

Возможно, вторая информация для верификации соответствия включает в себя информацию о функциональных возможностях UE.

Возможно, после отправки посредством UE сообщения завершения режима безопасности NAS в MME, способ дополнительно включает в себя:

прием посредством UE транспортного сообщения NAS нисходящей линии связи, отправленного посредством MME, при этом, транспортное сообщение NAS нисходящей линии связи содержит сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и

отправку UE сообщения передачи информации восходящей линии связи в MME, при этом, сообщение передачи информации восходящей линии связи передает информацию о функциональных возможностях UE или сообщение запроса на подключение.

прием посредством UE сообщения запроса информации UE, отправленного MME, при этом, сообщение запроса информации UE содержит сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и

UE отправляет сообщение ответа информации UE в MME, при этом сообщение ответа информации UE передает информацию о функциональных возможностях UE или сообщение запроса на подключение.

Согласно второму аспекту вариант осуществления настоящего изобретения обеспечивает способ мобильной связи, включающий в себя:

отправку посредством MME командного сообщения режима безопасности NAS в UE, при этом, командное сообщение режима безопасности NAS содержит первую информацию для верификации согласования, так что UE определяет, на основании первой информации для верификации согласования, соответствует ли информация о функциональных возможностях UE, принятую MME, информации о функциональных возможностях UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.

Возможно, первая информация для верификации соответствия является первым значением хеша сообщения запроса на подключение, принятого MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первый код аутентификации сообщения уровня без доступа NAS-MAC командного сообщения режима безопасности NAS.

Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME.

Возможно, способ дополнительно включает в себя:

когда второй NAS-MAC командного сообщения режима безопасности NAS, генерируемый UE, соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша сообщения запроса на подключение, сгенерированного UE, не соответствует первому значению функции хеша, прием посредством MME сообщения завершения режима безопасности NAS, отправленного UE, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.

Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятое MME.

Возможно, способ дополнительно включает в себя:

когда четвертый NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хеша информации о функциональных возможностях UE, сгенерированное UE, не соответствует третьему значению хеша, прием MME сообщения завершения режима безопасности NAS, отправленного UE, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных способностях UE.

Возможно, способ дополнительно включает в себя:

когда шестой NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует пятому NAS-MAC, функция безопасности UE, содержащаяся в информацию о функциональных возможностях UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, UE определяет, что функциональные возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствуют функциональным возможностям, отправленным UE в MME, прием MME сообщения завершения режима безопасности NAS, отправленного UE, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.

Возможно, способ дополнительно включает в себя:

прием посредством MME сообщения завершения режима безопасности NAS, отправленного UE, при этом, сообщение завершения режима безопасности NAS содержит вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.

Возможно, вторая информация для верификации соответствия включает в себя:

значение хеша сообщения запроса на подключение, отправленного UE в MME; или

значение хеша информации о функциональных возможностях UE, отправленного UE в MME.

Возможно, способ дополнительно включает в себя:

если MME определяет, что информация о функциональных возможностях UE, принятая посредством MME, не соответствует информации, отправленной UE, отправку посредством MME транспортного сообщения NAS нисходящей линии связи в UE, при этом, транспортное сообщение NAS нисходящей линии связи передает сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и

прием посредством MME сообщения передачи информации восходящей линии связи, отправленного UE, при этом сообщение передачи информации восходящей линии связи содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.

Возможно, способ дополнительно включает в себя:

если MME определяет, что информация о функциональных возможностях UE, принятая посредством MME, не соответствует информации, переданной UE, отправление посредством MME сообщения запроса на информацию UE в UE, при этом, сообщение запроса на информацию UE передает сообщение запроса на информацию о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и

прием с помощью MME сообщения ответа информации UE, отправленного UE, при этом, сообщение ответа информации UE передает информацию о функциональных возможностях UE или сообщение запроса на подключение.

Согласно третьему аспекту, вариант осуществления настоящего изобретения обеспечивает аппаратуру для мобильной связи. Аппаратура развернута в UE и включает в себя:

модуль приема, выполненный с возможностью принимать командное сообщение режима безопасности уровня без доступа из узла управления мобильностью, ММЕ, при этом, командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME;

модуль верификации, выполненный с возможностью определять, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, информации о функциональных возможностях UE, отправленной UE в MME; и

первый модуль отправки, выполненный с возможностью: когда информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправлять сообщение завершения режима безопасности NAS в MME.

Возможно, первая информация для верификации соответствия является первым значением хеша сообщения запроса на подключение, которое принимается MME, прежде чем MME отправит командное сообщение режима безопасности NAS в UE, командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый посредством MME для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемого MME, идентификатор ключа и первый код аутентификации сообщения уровня без доступа NAS-MAC командного сообщения режима безопасности NAS;

модуль верификации выполнен с возможностью:

вычислять второй NAS-MAC командного сообщения режима безопасности NAS, принятый UE;

определять, соответствует ли второй NAS-MAC первому NAS-MAC;

если второй NAS-MAC соответствует первому NAS-MAC, вычислять, в соответствии с алгоритмом хеширования, второе значение хеша сообщения запроса на подключение, отправленного UE в MME; и

определить, соответствует ли второе значение хеша первому значению хеша; и

первый модуль отправки конкретно выполнен с возможностью: когда второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC, отправлять сообщение завершения режима безопасности NAS в MME.

Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, отправленное обратно посредством MME;

модуль верификации дополнительно выполнен с возможностью:

определять, соответствуют ли функция безопасности UE, отправленная обратно посредством MME, функции безопасности UE, отправленной UE в MME; и

первый модуль отправки специально выполнен с возможностью:

если второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно с помощью MME, соответствует функции безопасности UE, отправленной UE на MME, отправлять сообщение завершения режима безопасности NAS в MME.

Возможно, первый модуль отправки дополнительно выполнен с возможностью:

если, по меньшей мере, одно из второго значение хэша, второй NAS-MAC и функция безопасности UE, отправленные обратно посредством MME, безуспешно верифицированы, отправлять сообщение отказа режима безопасности NAS в MME; или

дополнительно выполнен с возможностью: если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно с помощью MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша не соответствует первому значению хэша, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.

модуль верификации конкретно выполнен с возможностью:

вычислять четвертый NAS-MAC командного сообщения режима безопасности NAS, принятого UE;

определять, соответствует ли четвертый NAS-MAC третьему NAS-MAC;

если четвертый NAS-MAC соответствует третьему NAS-MAC, вычислять в соответствии с алгоритмом хеширования четвертое значение хеша информации о функциональных возможностях UE, отправленной UE в MME; и

определять, соответствует ли четвертое значение хэша третьему значению хеша; и

первый модуль отправки конкретно выполнен с возможностью: если четвертое значение хэша соответствует третьему значению хэша, отправлять для UE сообщение завершения режима безопасности NAS в MME.

Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, отправленную обратно с помощью MME;

модуль верификации дополнительно выполнен с возможностью:

первый модуль отправки конкретно выполнен с возможностью:

если четвертое значение хэша соответствует третьему значению хэша, четвертый NAS-MAC соответствует третьему NAS-MAC, при этом, функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE на MME, отправлять сообщение завершения режима безопасности NAS в MME.

Возможно, первый модуль отправки дополнительно выполнен с возможностью:

если, по меньшей мере, одно из четырех значений хэша, четвертый NAS-MAC и функция безопасности UE, отправленные обратно посредством MME, верифицированы безуспешно, отправлять для UE сообщение отказа режима безопасности NAS в MME; или

первый модуль отправки дополнительно выполнен с возможностью: если четвертый NAS-MAC соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно с помощью MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хеша не соответствует третьему значению хэша, отправлять для UE сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.

Возможно, первая информация для верификации соответствия является информацией о функциональных возможностях UE, принятая MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS;

модуль верификации конкретно выполнен с возможностью:

вычислять шестой NAS-MAC командного сообщения режима безопасности NAS, принятого UE;

определить для UE, соответствует ли шестой NAS-MAC пятому NAS-MAC; и

определять, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME; и

первый модуль отправки конкретно выполнен с возможностью: если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправлять сообщение завершения режима безопасности NAS в MME.

Возможно, модуль верификации конкретно выполнен с возможностью:

определить, соответствует ли шестой NAS-MAC пятому NAS-MAC;

если шестой NAS-MAC соответствует пятому NAS-MAC, определять, соответствует ли функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, принятая MME, функции безопасности UE, отправленной UE в MME; и

первый модуль отправки конкретно выполнен с возможностью: если функциональные возможности, отличные от функции безопасности UE в информации о функциональных возможностях UE, принятой MME, соответствуют функциональным возможностям, отправленным UE в MME, отправлять сообщение завершения режима безопасности NAS в MME.

Возможно, первый модуль отправки дополнительно выполнен с возможностью:

если функциональные возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствуют функциональным возможностям, отправленными UE в MME, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.

модуль верификации конкретно выполнен с возможностью:

вычислять восьмой NAS-MAC командного сообщения режима безопасности NAS, принятом UE; и

определить, соответствует ли восьмой NAS-MAC седьмому NAS-MAC; и

если восьмой NAS-MAC соответствует седьмому NAS-MAC, определять, соответствует ли функция безопасности UE, принятая MME, функции безопасности UE, отправленной UE в MME; и

первый модуль отправки специально выполнен с возможностью: если функция безопасности UE, принятая MME, соответствует функции безопасности UE, отправленной UE в MME, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.

Возможно, вторая информация для верификации соответствия включает в себя:

значение хеша сообщения запроса на подключение, отправленного UE в MME; или

значение хеша информации о функциональных возможностях UE, отправленной UE в MME.

Возможно, модуль приема дополнительно выполнен с возможностью: после того, как первый модуль отправки отправит сообщение завершения режима безопасности NAS в MME, принимать транспортное сообщение NAS нисходящей линии связи, отправленное посредством MME, при этом, транспортное сообщение NAS нисходящей линии связи передает сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и

первый модуль отправки дополнительно выполнен с возможностью отправлять сообщение передачи информации восходящей линии связи в MME, при этом, сообщение передачи информации восходящей линии связи содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.

Возможно, модуль приема дополнительно выполнен с возможностью:

после того как первый модуль отправки отправит сообщение завершения режима безопасности NAS в MME, принимать сообщение запроса информации UE, отправленное MME, при этом, сообщение запроса информации UE передает сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE на повторную отправку сообщения запроса на подключение; и

первый модуль отправки дополнительно выполнен с возможностью отправлять сообщение ответа информации UE в MME, при этом сообщение ответа информации UE передает информацию о функциональных возможностях UE или сообщение запроса на подключение.

Согласно четвертому аспекту, вариант осуществления настоящего изобретения обеспечивает аппаратуру для мобильной связи. Аппаратура развернута в MME и включает в себя:

второй модуль отправки, выполненный с возможностью отправлять командное сообщение режима безопасности NAS в UE, при этом командное сообщение режима безопасности NAS содержит первую информацию для верификации соответствия, так что UE определяет, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, информации о функциональных возможностях UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.

Возможно, первая информация для верификации соответствия является первым значением хеша сообщения запроса на подключения, принятого MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша, в принятом сообщении запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первый код аутентификации сообщения уровня без доступа NAS-MAC командного сообщения режима безопасности NAS.

Возможно, аппаратура дополнительно включает в себя первый модуль приема, выполненный с возможностью:

когда второй NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно с помощью MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша сообщения запроса на подключение, сгенерированного UE, не соответствует первому значению хэша, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.

Возможно, аппаратура дополнительно включает в себя второй модуль приема, выполненный с возможностью:

когда четвертый NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно с помощью MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хеша информации о функциональных возможностях UE, сгенерированное UE, не соответствует третьему значению хэша, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS передает информацию о функциональных возможностях UE.

Возможно, аппаратура дополнительно включает в себя третий модуль приема, выполненный с возможностью:

когда шестой NAS-MAC командного сообщения режима безопасности NAS, генерируемый UE, соответствует пятому NAS-MAC, функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, принятой MME, соответствует функции безопасности UE, отправленной UE в MME, и UE определяет, что функциональные возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствуют функциональным возможностям, отправленными UE в MME, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.

Возможно, аппаратура дополнительно включает в себя четвертый модуль приема, выполненный с возможностью принимать сообщение завершения режима безопасности NAS, отправленного UE, при этом, сообщение завершения режима обеспечения безопасности NAS содержит вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.

Возможно, вторая информация для верификации соответствия включает в себя:

значение хеша сообщения запроса на подключение, отправленного UE в MME; или

значение хеша информации о функциональных возможностях UE, отправленной UE в MME.

Возможно, второй модуль отправки дополнительно выполнен с возможностью: если информация о функциональных возможностях UE, принятая MME, не соответствует информации, отправленной UE, отправлять транспортное сообщение NAS нисходящей линии связи в UE, при этом, транспортное сообщение NAS нисходящей линии связи передает сообщение запроса на информацию о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и

четвертый модуль приема дополнительно выполнен с возможностью принимать сообщение передачи информации восходящей линии связи, отправленного UE, при этом, сообщение передачи информации восходящей линии связи содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.

Возможно, второй модуль отправки дополнительно выполнен с возможностью: если MME определяет, что информация о функциональных возможностях UE, принятая MME, не соответствует информации, отправленной UE, отправлять сообщение запроса на информацию о функциональных возможностях UE в UE, при этом, сообщение запроса на информацию UE передает сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и

четвертый модуль приема дополнительно выполнен с возможностью принимать сообщение ответа информации UE, отправленного UE, при этом, сообщение ответа информации UE передает информацию о функциональных возможностях UE или сообщение запроса на подключение.

Согласно пятому аспекту, вариант осуществления настоящего изобретения обеспечивает устройство мобильной связи. Устройство развернуто в UE и включает в себя:

интерфейс связи, память, процессор и шину связи, при этом, интерфейс связи, память и процессор взаимодействуют с использованием шины связи; и

память выполнена с возможностью хранить программы, процессор выполнен с возможностью выполнять программу, хранящуюся в памяти; и когда устройство мобильной связи работает, процессор запускает программу, и программа включает в себя:

прием командного сообщения режима безопасности уровня без доступа NAS из узла управления мобильностью ММЕ, в котором командное сообщение режима безопасности NAS содержит первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME;

определение, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME; и

если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправку сообщения завершения режима безопасности NAS в MME.

Согласно шестому аспекту вариант осуществления настоящего изобретения обеспечивает устройство мобильной связи. Устройство развернуто в MME и включает в себя:

память выполнена с возможностью хранить программу, процессор выполнен с возможностью выполнять программу, хранящуюся в памяти; и когда устройство мобильной связи работает, процессор запускает программу, причем программа включает в себя:

отправку командного сообщения режима безопасности NAS в UE, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, так что UE определяет, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможности UE, принятая MME, информации о функциональных возможностях UE, отправленная UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.

Согласно способу в вариантах осуществления настоящего изобретения UE верифицирует, на основании принятого первого сообщения верификации соответствия, соответствует ли информация о функциональных возможности UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME. Очевидно, что в вариантах осуществления настоящего изобретения MME отправляет обратно сообщение верификации соответствия, и UE верифицирует информацию о функциональных возможностях UE, принятую MME, чтобы гарантировать, что MME обладает правильной информацией о функциональных возможностях UE. Таким образом, решают техническую задачу, вызванную DoS-атакой, при которой, в процедуре подключение (подключение) сообщение запроса на подключение (запрос на подключение) не защищено контекстом безопасности NAS, поэтому злоумышленник может изменять информацию о функциональных возможностях UE и MME не может получить правильную информацию о функциональных возможностях UE. DoS является сокращением от «отказа в обслуживании», то есть, отказ в обслуживании и действие атаки, вызывающее DoS, называется DoS-атакой.

Краткое описание чертежей

Фиг. 1 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 1 осуществления настоящего изобретения;

фиг. 2 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 2 осуществления настоящего изобретения;

фиг. 3 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 3 осуществления настоящего изобретения;

фиг. 4 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 4 осуществления настоящего изобретения;

фиг. 5 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 5 осуществления настоящего изобретения;

фиг. 6 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 6 осуществления настоящего изобретения;

фиг. 7 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 7 осуществления настоящего изобретения;

фиг. 8 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 8 осуществления настоящего изобретения;

фиг. 9 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 9 осуществления настоящего изобретения;

фиг. 10 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 10 осуществления настоящего изобретения;

фиг. 11 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 11 осуществления настоящего изобретения;

фиг. 12 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 12 осуществления настоящего изобретения;

фиг. 13 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 15 осуществления настоящего изобретения;

фиг. 14 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 16 осуществления настоящего изобретения;

фиг. 15 представляет собой блок-схему аппаратуры мобильной связи согласно варианту 1 осуществления настоящего изобретения;

фиг. 16 представляет собой блок-схему аппаратуры мобильной связи согласно варианту 2 осуществления настоящего изобретения;

фиг. 17 представляет собой блок-схему устройства мобильной связи согласно варианту 1 осуществления настоящего изобретения; и

фиг. 18 представляет собой блок-схему устройства мобильной связи согласно варианту 2 осуществления настоящего изобретения.

Описание вариантов осуществления

Фиг. 1 представляет собой блок-схему последовательности операций способа мобильной связи согласно варианту 1 осуществления настоящего изобретения. Как показано на фиг. 1, вариант 1 осуществления настоящего изобретения включает в себя следующие основные этапы обработки.

Этап S11: UE принимает командное сообщение (команда режима безопасности NAS) режима безопасности (уровня без доступа, уровня без доступа) NAS из MME, при этом, командное сообщение режима безопасности NAS содержит первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятую ММЕ.

В процедуре подключения UE, UE отправляет сообщение запроса на подключение (запрос на подключение) в MME с помощью eNB, при этом, сообщение запроса на подключение передает информацию о функциональных возможностях UE (функциональные возможности UE).

В частности, информация о функциональных возможностях UE включает в себя: сетевые возможности UE (сетевые возможности UE), при этом, сетевая возможность UE включает в себя функцию безопасности UE, сетевые возможности мобильной станции (сетевые возможности MS, при этом, полное название на английском языке MS является мобильной станцией, и на китайском языке MS - это мобильная станция), метка класса 2 мобильной станции (метка класса 2 мобильной станции), метка класса 3 мобильной станции (метка класса 3 мобильной станции), поддерживаемые кодеки (поддерживаемые кодеки), дополнительный тип обновления (дополнительный тип обновления), предпочтения в голосовом домене и UE установочные параметры использования (предпочтения в голосовом домене и UE установочные параметры использования UE) и поддержка признаков сети мобильной станции (поддержка признаков сети MS).

Поскольку сообщение запроса на подключение, отправленное UE в MME, может не иметь защиты целостности, сообщение запроса на подключение может быть подвергнуто атаке «незаконный посредник». Следовательно, информация о функциональных возможностях UE в сообщении запроса на подключение, принятая MME, не соответствует сообщением, отправленным UE в MME. В результате, MME не может получить правильную информацию о функциональных возможностях UE.

Чтобы гарантировать, что MME может получить правильную информацию о функциональных возможностях UE, MME отправляет первую информацию для верификации соответствия в UE в процедуре активации режима безопасности NAS с использованием командного сообщения режима безопасности NAS, так что UE определяет, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, отправленная UE.

Этап S12: UE определяет, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME.

Этап S13: если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, то UE отправляет сообщение завершения режима безопасности NAS в MME.

Согласно способу в этом варианте осуществления настоящего изобретения UE верифицирует, на основании принятого первого сообщения верификации соответствия, соответствует ли информация о функциональных возможности UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME. Очевидно, что в вариантах осуществления настоящего изобретения MME отправляет обратно сообщение верификации соответствия, и UE верифицирует информацию о функциональных возможностях UE, принятую MME, чтобы гарантировать, что MME имеет правильную информацию о функциональных возможностях UE. Таким образом, решают техническую задачу DoS-атаки, вызванную тем, что в процедуре подключения (подключение) сообщение запроса на подключение (запрос на подключение) не защищено контекстом безопасности NAS, злоумышленник может изменять информацию о функциональных возможностях UE, и MME не может получить правильную информацию о функциональных возможностях UE. DoS представляет собой сокращение от термина «отказ в обслуживании», то есть, отказ в обслуживании и действие атаки, вызывающее DoS, называется DoS-атакой.

В предшествующем способе согласно варианту 1 осуществления настоящего изобретения первая информация для верификации соответствия может быть реализована множеством различных способов, и описания приведены ниже со ссылкой на конкретные варианты осуществления.

Фиг. 2 представляет собой блок-схему последовательности операций способа мобильной связи согласно варианту 2 осуществления настоящего изобретения. В этом способе MME выполняет вычисление хеша в принятом сообщении запроса на подключение для получения значения хеша сообщения запроса на подключение и отправляет значение хеша сообщения запроса на подключение в UE с помощью командного сообщения режима безопасности NAS, так что UE верифицирует значение хеша сообщения запроса на подключение, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая MME, той, которая была отправлена UE в MME. Как показано на фиг. 2, этот способ включает в себя следующие основные этапы обработки.

Этап S21: UE принимает командное сообщение режима безопасности NAS из MME.

Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, является первым значением хеша сообщения запроса на подключение, принятого в процедуре подключения, при этом, первое значение хеша получают посредством MME, выполняя вычисление хеша в сообщении запроса на подключение, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования (возможно переданный), используемый MME, для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемого MME, идентификатор ключа и первый NAS-MAC (код аутентификации сообщения уровня без доступа, код аутентификации сообщения уровня без доступа) командного сообщения режима безопасности NAS. Первый NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.

Дополнительно, командное сообщение режима безопасности NAS может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно передаваемый запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно передаваемый [NONCE_UE, NONCE_MME], используемый для сопоставления незанятого контекста безопасности мобильной связи, при этом, NONCE_UE является случайным числом, выбранным UE, и NONCE_MME является случайным числом, выбранным MME.

Этап S22: UE вычисляет второй NAS-MAC командного сообщения режима безопасности NAS, принятом UE.

На этом этапе UE выполняет, так, что MME выполняет процедуру защиты целостности в отправленном командном сообщении режима безопасности NAS, вычисление в командном сообщении режима безопасности NAS, принятом UE, для получения второго NAS-MAC.

Если командное сообщение режима безопасности NAS не подвержено атаке «незаконный посредник» в процедуре отправки, то первый NAS-MAC соответствует второму NAS-MAC.

Этап S23: UE определяет, соответствует ли второй NAS-MAC первому NAS-MAC, и если второй NAS-MAC соответствует первому NAS-MAC, выполняют этап S24 или, если второй NAS-MAC не соответствует первому NAS-MAC, выполняют этап S27.

Этап S24: UE вычисляет в соответствии с алгоритмом хеширования второе значение хеша сообщения запроса на подключение, отправленного UE в MME.

UE выполняет, используя алгоритм хеширования, вычисление хеша сообщения запроса на подключение, отправленное UE в MME, в процедуре подключения. Если сообщение запроса на подключение не изменяют посредником в процедуре подключения, то второе значение хеша, вычисленное UE, соответствует первому значению хеша в командном сообщении режима безопасности NAS.

Дополнительно, в этом варианте осуществления настоящего изобретения значение хеша сообщения запроса на подключение передают в командном сообщении режима безопасности NAS, чтобы уменьшить длину сообщения запроса на подключение и повысить скорость передачи информации.

Этап S25: UE определяет, соответствует ли второе значение хеша первому значению хеша и, если второе значение хеша соответствует первому значению хеша, то выполняют этап S26; в противном случае, выполняют этап S27.

Этап S26: UE отправляет сообщение завершения режима безопасности NAS (завершение безопасного режима NAS) в ММЕ.

Сообщение завершения режима безопасности NAS возможно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.

Этап S27: UE отправляет сообщение отказа режима безопасности NAS (отказ режима безопасности NAS) в MME.

В этом варианте осуществления UE верифицирует целостность принятого командного сообщения режима безопасности NAS и значение хеша сообщения запроса на подключение, принятого MME. Когда второе значение хеша соответствует первому значению хеша и второй NAS-MAC соответствует первому NAS-MAC, UE определяет, что командное сообщение режима безопасности NAS, принятое UE, не изменяется, и сообщение запроса на подключение, принятое ММЕ, в процедуре подключения к UE, соответствует сообщению, отправленному UE в MME, тем самым, гарантируя, что информация о функциональных возможностях UE в сообщении запроса на подключение, принятому MME, соответствует информации о функциональных возможностях UE, отправленной UE.

Когда, по меньшей мере, одно из значений хеша сообщения запроса на подключение и целостность NAS-MAC верифицировано безуспешно, то это указывает, что, по меньшей мере, одно сообщение запроса на подключение, принятое ММЕ, и командное сообщение режима безопасности NAS, подвергают атаке и изменено. В этом случае, UE отправляет сообщение отказа режима безопасности NAS в MME.

В этом варианте осуществления UE верифицирует, посредством верификации значения хеша сообщения запроса на подключение MME, информацию о функциональных возможностях UE, принятую MME. Это гарантирует, что информация о функциональных возможностях UE, полученная MME, является правильной информацией о функциональных возможностях UE.

В этом варианте осуществления первое сообщение верификации соответствия может быть передано путем размещения IE (информационного элемента, информационного элемента), используемого для отправки обратно функции безопасности UE посредством MME в обычной спецификации или может быть передано с использованием нового IE.

Фиг. 3 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 3 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS принятую функцию безопасности UE и значение хеша принятого сообщения запроса на подключение в UE, так что UE верифицирует значение хеша сообщения запроса на подключение и функцию безопасности UE, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, информации, отправленной UE в MME. Как показано на фиг. 3, этот способ включает в себя следующие основные этапы обработки.

Этап S31: UE принимает командное сообщение режима безопасности NAS от MME.

Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, является первым значением хеша сообщения запроса на подключение, принятого в процедуре подключения, при этом, первое значение хеша получают после того, как MME выполняет вычисление хеша в сообщении запроса на подключение, и командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME в процедуре подключения, алгоритм хеширования (возможно передаваемый), используемый MME для выполнения вычисления хеш в принятом сообщении запроса на подключение, алгоритм целостности, поддерживаемый как MME, так и UE, идентификатор ключа и первый NAS-MAC командного сообщения режима безопасности NAS. Первый NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.

Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно передаваемый запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно передаваемый [NONCE_UE, NONCE_MME], при этом, NONCE_UE является случайным числом, выбранным UE, и NONCE_MME является случайным числом, выбранным MME.

Этап S32: UE вычисляет второй NAS-MAC командного сообщения режима безопасности NAS, принятого UE.

На этом этапе, UE выполняет, так, что MME выполняет защиту целостности в командном сообщении режима передачи, отправленного NAS, вычисление в командном сообщении режима безопасности NAS, принятом UE, для получения второго NAS-MAC.

Этап S33: UE определяет, соответствует ли второй NAS-MAC первому NAS-MAC, и если второй NAS-MAC соответствует первому NAS-MAC, выполняют этап S34 или если второй NAS-MAC не соответствует первому NAS-MAC, выполняют этап S36.

Этап S34: UE вычисляет в соответствии с алгоритмом хеширования второе значение хеша сообщения запроса на подключение, отправленного UE в MME, и определяет, соответствует ли второе значение хеша первому значению хеша и соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME (последовательность вычисления значения хэша, определение значения хеша и определение функции безопасности UE не ограничены), и если второе значение хеша соответствует первому значению хэша, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE к MME, выполняют этап S35; в противном случае, выполняют этап S36.

UE выполняет, используя алгоритм хеширования, вычисление хеша в сообщении запроса на подключение, отправленное UE в MME в процедуре подключение, и если сообщение запроса на подключение не изменяется при атаке с применением технологии «незаконный посредник» в процедуре подключения, второе значение хэша, вычисленное UE, соответствует первому значению хэша в командном сообщении режима безопасности NAS.

Дополнительно, в этом варианте осуществления настоящего изобретения значение хеша сообщения запроса на подключение передают в командном сообщении режима безопасности NAS, чтобы уменьшить длину сообщения запроса на подключение и увеличить скорость передачи информации.

Этап S35: UE отправляет сообщение завершения режима безопасности NAS в MME.

Этап S36: UE отправляет сообщение отказа режима безопасности NAS в MME.

В этом варианте осуществления настоящего изобретения UE верифицирует, посредством верифицирования значения хеша сообщения запроса на подключение, принятого MME, и функции безопасности UE, функциональных возможностях UE, принятые MME, чтобы гарантировать, что информация о функциональных возможностях UE, принятая посредством MME, является правильной информацией о функциональных возможностях UE.

В этом варианте осуществления настоящего изобретения первое сообщение верификации соответствия может быть передано с использованием только нового IE.

Фиг. 4 представляет собой блок-схему последовательности операций способа мобильной связи согласно варианту 4 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS принятую функцию безопасности UE и значение хеша принятого сообщения запроса на подключение в UE, так что UE верифицирует значение хеша сообщения запроса на подключение и функцию безопасности UE, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, с переданной UE в MME. Как показано на фиг. 4, этот способ включает в себя следующие основные этапы обработки.

Этап S41: UE принимает командное сообщение режима безопасности NAS от MME.

Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, является первым значением хеша сообщения запроса на подключение, принятого в процедуре подключения, при этом, первое значение хеша получают после того, как MME выполняет вычисление хэша в сообщении запроса на подключение, и командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME в процедуре подключения, алгоритм хеширования (возможно переданный), используемый MME для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первый NAS-MAC командного сообщения режима безопасности NAS. Первый NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.

Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно переданный запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно переданный [NONCE_UE, NONCE_MME], при этом, NONCE_UE является случайным числом, выбранным UE, и NONCE_MME является случайным числом, выбранным MME.

Этап S42: UE вычисляет второй NAS-MAC в командном сообщении режима безопасности NAS, принятом UE.

Этап S43: UE определяет, соответствует ли второй NAS-MAC первому NAS-MAC, и если второй NAS-MAC соответствует первому NAS-MAC, выполняют этап S44 или, если второй NAS-MAC не соответствует первому NAS-MAC, выполняют этап S48.

Этап S44: UE определяет, соответствует ли функция безопасности UE посланная обратно из MME функции безопасности UE, отправленной UE в MME, и если функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, выполняют этап S45; в противном случае, выполняют этап S48.

Этап S45: UE определяет, соответствует ли второе значение хеша первому значению хеша, и если второе значение хеша соответствует первому значению хеша, выполняют этап S46; или если второе значение хэша не соответствует первому значению хеша, выполняют этап S47.

В этом варианте осуществления настоящего изобретения вычисление второго значения хэша является таким же, как и в предшествующем варианте осуществления, и подробности не описаны здесь снова.

Этап S46: UE отправляет сообщение завершение режима безопасности NAS в MME.

Этап S47: UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение содержит сообщение запроса на подключение или возможность UE. Помимо передачи сообщения запроса на подключение, сообщение завершения режима безопасности NAS, отправленное на этом этапе, дополнительно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.

Этап S48: UE отправляет сообщение отказа режима безопасности NAS в MME.

В этом варианте осуществления после того, как целостность, как функции безопасности UE, так и NAS-MAC успешно верифицирована, фактически установлен контекст безопасности NAS между UE и MME. Поэтому, когда целостность значения хеша сообщения запроса на подключения верифицирована безуспешно, контент запроса на подключение снова напрямую загружают в сообщении завершения режима безопасности NAS, имеющее защиту целостности. Это также является разницей между этим вариантом осуществления и вариантом 3 осуществления. Способ, используемый в третьем варианте осуществления, заключается в том, что, несмотря на то, что целостность функции безопасности UE и NAS-MAC успешно верифицирована и контекст безопасности NAS установлен между UE и MME, если целостность значения хеша сообщения запроса на подключение верифицирована безуспешно, UE необходимо отправить сообщение отказа режима безопасности NAS.

В этом варианте осуществления настоящего изобретения первое сообщение верификации соответствия сможет быть передано с использованием только нового IE.

Фиг. 5 является блок-схемой последовательности операций способа мобильной связи согласно варианту 5 осуществления настоящего изобретения. В этом способе MME выполняет вычисление хеша в принятой информации о функциональных возможностях UE для получения значения хеша возможностей UE и отправляет значение хеша информации о функциональных возможностях UE в UE с использованием командного сообщения режима безопасности NAS, так что UE верифицирует значение хеша возможности UE, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая MME, переданной UE в MME. Как показано на фиг. 5, этот способ включает в себя следующие основные этапы обработки.

Этап S51: UE принимает командное сообщение режима безопасности NAS от MME.

Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, представляет собой третье значение хеша информации о функциональных возможностях UE, принятой в процедуре подключение, при этом, третье значение хэша получают после того, как MME выполняет вычисление хеша в информации о функциональных возможностях UE. Командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования (возможно передаваемый), используемый MME, для выполнения вычисления хеша в принятой информации о функциональных возможностях UE, алгоритм целостности, поддерживаемый как MME, так и UE, идентификатор ключа и третий NAS -MAC (код аутентификации сообщения уровня без доступа, код аутентификации сообщения уровня без доступа) командного сообщения режима безопасности NAS, при этом, третий NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.

Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно содержащее запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно передаваемый [NONCE_UE, NONCE_MME], при этом, NONCE_UE является случайным числом, выбранным UE, и NONCE_MME является случайным числом, выбранным MME.

Этап S52: UE вычисляет четвертый NAS-MAC командного сообщения режима безопасности NAS, принятом UE.

На этом этапе UE выполняет, так что MME выполняет защиту целостности в отправленном командном сообщении режима безопасности NAS, вычисление в командном сообщении режима безопасности NAS, принятом UE, для получения четвертого NAS-MAC.

Если командное сообщение режима безопасности NAS не подвержено атаке «незаконный посредник» в процедуре отправки, третий NAS-MAC соответствует четвертому NAS-MAC.

Этап S53: UE определяет, соответствует ли четвертый NAS-MAC третьему NAS-MAC, и если четвертый NAS-MAC соответствует третьему NAS-MAC, выполняют этап S54; в противном случае выполняют этап S57.

Этап S54: UE вычисляет в соответствии с алгоритмом хеширования четвертое значение хэша информации о функциональных возможностях UE, отправленное UE в MME.

UE выполняет, используя алгоритм хеширования, вычисление хеша информации о функциональных возможностях UE, отправленной UE в MME в процедуре подключения и, если информация о функциональных возможностях UE не изменяется при атаке «незаконный посредник» в процедуре подключения, четвертое значение хэша, вычисленное UE, соответствует третьему значению хэша в командном сообщении режима безопасности NAS.

Дополнительно, в этом варианте осуществления настоящего изобретения значение хеша информации о функциональных возможностях UE передают в командном сообщении режима безопасности NAS, чтобы уменьшить длину информации о функциональных возможностях UE и повысить скорость передачи информации.

Этап S55: UE определяет, соответствует ли четвертое значение хеша третьему значению хеша, и если четвертое значение хеша соответствует третьему значению хеша, выполняют этап S56; в противном случае выполняют этап S57.

Этап S56: UE отправляет сообщение завершения режима безопасности NAS (завершение режима безопасности NAS).

Этап S57: UE отправляет сообщение отказа режима безопасности NAS (отказ режима безопасности NAS) в MME.

В этом варианте осуществления UE проверяет целостность принятого командного сообщения режима безопасности NAS и значение хеша информации о функциональных возможностях UE, принятой MME. Когда четвертое значение хэша соответствует третьему значению хэша, и четвертый NAS-MAC соответствует третьему NAS-MAC, UE определяет, что командное сообщение режима безопасности NAS, принятое UE, не изменяется, и информация о функциональных возможностях UE, принятая MME в процедуре подключения UE, соответствует той, которая был отправлена UE в MME, тем самым гарантируя, что информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE.

Когда, по меньшей мере, одно из значений хеша информации о функциональных возможностях UE и целостности NAS-MAC верифицировано безуспешно, это указывает, что, по меньшей мере, одно из информации о функциональных возможностях UE, принятая MME и команда режима безопасности NAS, подвержено атаке и изменено. В этом случае, UE отправляет сообщение отказа режима безопасности NAS в MME.

В этом варианте осуществления UE верифицирует посредством верификации значения хеша информации о функциональных возможностях UE MME, информацию о функциональных возможностях UE, принятую MME, чтобы гарантировать, что информация о функциональных возможностях UE, принятая MME, является правильной информацией о функциональных возможностях UE.

В этом варианте осуществления первое сообщение верификации соответствия может быть передано, занимая IE для функции безопасности UE, отправленного назад с помощью MME в обычной спецификации, или может быть передано с использованием нового IE.

Фиг. 6 является блок-схемой алгоритма способа мобильной связи согласно варианту 6 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS принятую функцию безопасности UE и значение хеша принятой информации о функциональных возможностях UE в UE, так что UE верифицирует значение хеша информации о функциональных возможностях UE и функцию безопасности UE, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME. Как показано на фиг. 6, этот способ включает в себя следующие основные этапы обработки.

Этап S61: UE принимает командное сообщение режима безопасности NAS из MME.

Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, представляет собой третье значение хеша информации о функциональных возможностях UE, принятую в процедуре подключения, при этом, третье значение хэша получают после того, как MME выполняет вычисление хеша в информации о функциональных возможностях UE. Командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME в процедуре подключения, алгоритм хеширования (возможно передаваемый), используемый MME, для выполнения вычисления хеша в принятой информации о функциональных возможностях UE, алгоритм целостности, поддерживаемый как MME, так и UE, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS, при этом, третий NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.

Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно передаваемый запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно передаваемый NONCE_UE, NONCE_MME], при этом, NONCE_UE является случайным числом, выбранным UE, и NONCE_MME является случайным числом, выбранным MME.

Этап S62: UE вычисляет четвертый NAS-MAC командного сообщения режима безопасности NAS, принятом UE.

Этап S63: UE определяет, соответствует ли четвертый NAS-MAC третьему NAS-MAC, и если четвертый NAS-MAC соответствует третьему NAS-MAC, выполняют этап S64; в противном случае выполняют этап S66.

Этап S64: UE вычисляет, в соответствии с алгоритмом хеширования, четвертое значение хеша информации о функциональных возможностях UE, отправленное UE в MME, и определяет, соответствует ли четвертое значение хэша третьему значению хеша и соответствует ли функция безопасности UE, отправленная назад MME, функции безопасности UE, отправленной UE в MME (последовательность вычисления значения хеша, определение значения хеша и определение функции безопасности UE не указаны), и если четвертое значение хэша соответствует третьему значению хэша и функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, выполняют этап S65; в противном случае выполняют этап S66.

Этап S65: UE отправляет сообщение завершения режима безопасности NAS в MME.

Этап S66: UE отправляет сообщение отказа режима безопасности NAS в MME.

В этом варианте осуществления настоящего изобретения UE верифицирует, посредством верификации значения хеша информации о функциональных возможностях UE MME и функции безопасности UE, способности UE, принятая посредством MME, чтобы гарантировать, что информация о функциональных возможностях UE, принятая MME, является правильной информацией о функциональных возможностях UE. В этом варианте осуществления настоящего изобретения первое сообщение верификации соответствия может быть передано с использованием только нового IE.

Фиг. 7 является блок-схемой алгоритма способа мобильной связи согласно варианту 7 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS принятую функцию безопасности UE и значение хеша принятой информации о функциональных возможностях UE в UE, так что UE верифицирует значение хеша информации о функциональных возможностях UE и функцию безопасности UE, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME. Как показано на фиг. 7, этот способ включает в себя следующие основные этапы обработки.

Этап S71: UE принимает командное сообщение режима безопасности NAS от MME.

Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, представляет собой третье значение хеша информации о функциональных возможностях UE, принятую в процедуре подключения, при этом, третье значение хэша получают после того, как MME выполняет вычисление хеша в информации о функциональных возможностях UE. Командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME в процедуре подключения, алгоритм хеширования (возможно передаваемый), используемый MME, для выполнения вычисления хеша в принятой информации о функциональных возможностях UE, алгоритм целостности, поддерживаемый как MME, так и UE, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS, при этом, третий NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.

Этап S72: UE вычисляет четвертый NAS-MAC командного сообщения режима безопасности NAS, принятом UE.

Этап S73: UE определяет, соответствует ли четвертый NAS-MAC третьему NAS-MAC, и если четвертый NAS-MAC соответствует третьему NAS-MAC, выполняют этап S74; в противном случае выполняют этап S78.

Этап S74: UE определяет, соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME, и если функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной посредством UE в MME, выполняют этап S75; в противном случае выполняют этап S78.

Этап S75: UE определяет, соответствует ли четвертое значение хеша третьему значению хеша, и если четвертое значение хеша соответствует третьему значению хеша, выполняют этап S76; или если четвертое значение хеша не соответствует третьему значением хэша, выполняют этап S77.

Этап S76: UE отправляет сообщение завершения режима безопасности NAS в MME.

Этап S77: UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение содержит информацию о функциональных возможностях UE.

В дополнение к передаче информации о функциональных возможностях UE, сообщение завершения режима безопасности NAS, отправленное на этом этапе, возможно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.

Этап S78: UE отправляет сообщение отказа режима безопасности NAS в MME.

Фиг. 8 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 8 осуществления настоящего изобретения. В этом способе MME отправляет, используя командное сообщение режима безопасности NAS, информацию о функциональных возможностях UE, принятую в процедуре подключения, в UE, для верификации информации о функциональных возможностях UE с использованием UE. Как показано на фиг. 8, этот способ включает в себя следующие основные этапы обработки.

Этап S81: UE принимает командное сообщение режима безопасности NAS от MME.

Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, представляет собой информацию о функциональных возможностях UE, принятую MME в процедуре подключения. Командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, поддерживаемый как MME, так и UE, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS.

Этап S82: UE вычисляет шестой NAS-MAC командного сообщения режима безопасности NAS, принятом UE.

Этап S83: UE определяет, соответствует ли шестой NAS-MAC пятому NAS-MAC, и если шестой NAS-MAC соответствует пятому NAS-MAC, выполняют этап S84; в противном случае выполняют этап S86.

Этап S84: UE определяет, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, информации о функциональных возможностях UE, отправленной UE в MME.

Этап S85: Если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.

Этап S86: если шестой NAS-MAC не соответствует пятому NAS-MAC или информация о функциональных возможностях UE, принятая MME, не соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет отказ режима безопасности NAS (например, отказ режима безопасности NAS) в MME.

В этом варианте осуществления первое сообщение верификации соответствия может быть передано, занимая IE функции безопасности UE, отправленной обратно MME в обычной спецификации, или может быть передано с использованием нового IE или возможности UE в первом сообщении верификации соответствия, отличное от функции безопасности UE в первом сообщении верификации соответствия, переданным с использованием нового IE.

Фиг. 9 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 9 осуществления настоящего изобретения. В этом способе MME отправляет, используя командное сообщение режима безопасности NAS, информацию о функциональных возможностях UE, принятую в процедуре подключения, в UE, чтобы верифицировать информацию о функциональных возможностях UE с использованием UE. Как показано на фиг. 9, этот способ включает в себя следующие основные этапы обработки.

Этап S91: UE принимает командное сообщение режима безопасности NAS из MME.

Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно переданный запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно переданный [NONCE_UE, NONCE_MME], при этом, NONCE_UE является случайным числом, выбранным UE, и NONCEMME является случайным числом, выбранным MME.

Этап S92: UE вычисляет шестой NAS-MAC командного сообщения режима безопасности NAS, принятом UE.

Этап S93: UE определяет, соответствует ли шестой NAS-MAC пятому NAS-MAC, и если шестой NAS-MAC соответствует пятому NAS-MAC, выполняют этап S94; в противном случае выполняют этап S98.

Этап S94: UE определяет, соответствует ли функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME, и если функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленная UE в MME, то выполняют этап S95; в противном случае выполняют этап S98.

Этап S95: UE определяет, соответствуют ли возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, отправленной обратно MME, возможностям, отправленным UE в MME, и если возможности, отличные от функции безопасности UE в информации о функциональных возможностях UE, отправленная назад MME, соответствует возможностям, отправленным UE в MME, выполняют этап S96; в противном случае выполняют этап S97.

Этап S96: UE отправляет сообщение завершения режима безопасности NAS в MME.

Этап S97: UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS передает возможности UE.

В дополнение к передаче информации о функциональных возможностях UE, сообщение завершения режима безопасности NAS, отправленное на этом этапе, возможно, содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.

Этап S98: UE отправляет сообщение отказа режима безопасности NAS (отказ режима безопасности NAS) в MME.

В этом варианте осуществления первое сообщение верификации соответствия может быть передано, занимая IE функции безопасности UE, отправленной обратно MME в обычной спецификации, или может быть передано с использованием нового IE или возможности UE в первом сообщении верификации соответствия, отличном от функции безопасности UE в первом сообщении верификации соответствия, передают с использованием нового IE.

Фиг. 10 представляет собой блок-схему последовательности операций способа мобильной связи согласно варианту 10 осуществления настоящего изобретения. В этом способе UE отправляет вторую информацию верификации соответствия в сообщении завершения режима безопасности NAS в MME. Как показано на фиг. 10, вариант 10 осуществления настоящего изобретения включает в себя следующие основные этапы обработки.

Этап S101: MME принимает сообщение завершения режима безопасности (завершения режима безопасности) NAS (уровня без доступа) из UE, при этом сообщение завершения режима безопасности NAS, содержит вторую информацию верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятую MME.

Этап S102: MME определяет, на основании второй информации верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME.

В вышеизложенном способе варианта 10 осуществления настоящего изобретения вторая информация верификации соответствия может быть реализована множеством различных способов, и описания приведены ниже со ссылкой на конкретные варианты осуществления.

Фиг. 11 является блок-схемой последовательности операций способа мобильной связи согласно варианту 11 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS информацию о функции безопасности UE, принятую в процедуре подключения, в UE. Как показано на фиг. 11, способ 11 осуществления настоящего изобретения включает в себя следующие основные этапы обработки.

Этап S111: UE принимает командное сообщение режима безопасности NAS от MME.

Командное сообщение режима безопасности NAS функции безопасности UE, принятое MME в процедуре подключения, алгоритм целостности и возможно переданный алгоритм хеширования, который используется MME, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS.

Дополнительно, командное сообщение режима безопасности NAS может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно переданный [запрос IMEI] и возможно переданный [NONCE_UE, NONCE_MME], при этом, NONCE_UE является случайным числом, выбранным UE, и NONCE_MME является случайным числом, выбранным MME.

Этап S112: UE вычисляет восьмой NAS-MAC в командном сообщении режима безопасности NAS, принятом UE.

Этап S113: UE определяет, соответствует ли восьмой NAS-MAC седьмому NAS-MAC, и если восьмой NAS-MAC соответствует седьмому NAS-MAC, выполняют этап S114; в противном случае выполняют этап S116.

Этап S114: UE определяет, соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME.

Этап S115: если функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS передает вторую информацию верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME, и NAS-MAC сообщения завершении режима безопасности NAS.

В этом варианте осуществления настоящего изобретения, когда целостность как функции безопасности UE, так и командного сообщения режима безопасности NAS успешно верифицирована, вторую информацию верификации соответствия отправляют в MME, и MME может верифицировать, используя принятую вторую информацию верификации соответствия, информацию о функциональных возможностях UE, принятую в процедуре подключения, чтобы гарантировать, что MME получает правильную информацию о функциональных возможностях UE.

Вторая информация верификации соответствия, отправленная UE в MME, может также быть значением хеша сообщения запроса на подключение, отправленного UE в MME в процедуре подключения, или значением хеша информации о функциональных возможностях UE, отправленной UE в MME в процедуре подключения. Дополнительно, сообщение завершения режима безопасности NAS возможно передает алгоритм хеширования (возможно переданный), используемый UE и [IMEI], и передает NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.

После приема значения хеша сообщения запроса на подключение или значения хеша информации о функциональных возможностях UE, отправленной UE, MME выполняет, используя алгоритм хеширования, вычисление хеша в сообщении запроса на подключение или информации о функциональных возможностях UE, принятой в процедуре подключения, и определяет, с помощью результата вычисления, соответствует ли сообщение запроса на подключение или информация о функциональных возможностях UE, принятая MME в процедуре подключения, той, которая отправлена посредством UE.

Если сообщение запроса на подключение или информация о функциональных возможностях UE, принятая MME в процедуре подключения, не соответствует сообщению, отправленным UE, после активации безопасности NAS MME запрашивает UE повторно отправить информацию о функциональных возможностях UE или контент запроса на подключение согласно следующим конкретным вариантам реализаций.

Вариант 1 реализации:

(1) MME отправляет транспортное сообщение NAS (транспортное общение NAS нисходящей линии связи) нисходящей линии связи в eNB, при этом, транспортное сообщение NAS нисходящей линии связи включает в себя сообщение запроса возможностей UE (запрос возможности UE) или сообщение запроса контента запроса на подключение (запрос контента запроса на подключение).

(2) eNB отправляет в UE сообщение передачи информации нисходящей линии связи (сообщение передачи нисходящей линии связи), при этом, сообщение передачи информации нисходящей линии связи включает в себя сообщение запроса возможностей UE (запрос возможности UE) или сообщение запроса контента запроса на подключение (запрос контента запроса на подключение).

(3) UE отправляет сообщение передачи информации восходящей линии связи (передача информации восходящей линии связи) в eNB, при этом, сообщение включает в себя возможности UE (возможности UE) или контент сообщения запроса на подключение (контент запроса на подключение).

(4) eNB отправляет транспортное сообщение NAS восходящей линии связи (транспортное сообщение NAS восходящей линии связи) в MME, при этом, сообщение включает в себя возможности UE (возможности UE) или контент запроса на подключение (контент запроса на подключение).

Вариант 2 реализации:

(1) MME отправляет сообщение запроса информации UE (запрос информации UE) в eNB, при этом, сообщение запроса информации UE включает в себя сообщение запроса возможности UE (запрос возможности UE) или запрос контента запроса на подключение (запрос контента запроса на подключение).

(2) eNB отправляет сообщение запроса информации UE (запрос информации UE) в UE.

(3) UE отправляет сообщение ответа информации UE (ответ информации UE) в eNB, при этом, сообщение ответа информации UE передает возможности UE (возможности UE) или сообщения запроса на подключение, передающее контент (контент запроса на подключение).

(4) eNB отправляет сообщение ответа информации UE (ответ информации UE) в MME, при этом, сообщение ответа информации UE передает возможности UE (возможности UE) или контент сообщения запроса на подключение (контент запроса на подключение).

Этап S116: если восьмой NAS-MAC не соответствует седьмому NAS-MAC или функция безопасности UE, отправленная обратно MME, не соответствует функции безопасности UE, отправленной UE в MME, UE отправляет отказ режима безопасности NAS (отказ режима безопасности NAS) в MME.

Фиг. 12 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 12 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS информацию функции безопасности UE, принятую в процедуре подключения, в UE. Как показано на фиг. 12, вариант 12 осуществления настоящего изобретения включает в себя следующие основные этапы обработки.

Этап S121: UE принимает командное сообщение режима безопасности NAS из MME.

Командное сообщение режима безопасности NAS передает функцию безопасности UE, принятую MME в процедуре подключения, алгоритм целостности, поддерживаемый как MME, так и UE, возможно передаваемый алгоритм хеширования, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS.

Дополнительно, командное сообщение режима безопасности NAS может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно имеющий [запрос IMEI] и возможно имеющий [NONCE_UE, NONCE_MME].

Этап S122: UE вычисляет восьмой NAS-MAC командного сообщения режима безопасности NAS, принятого UE.

Этап S123: UE определяет, соответствует ли восьмой NAS-MAC седьмому NAS-MAC, и если восьмой NAS-MAC соответствует седьмому NAS-MAC, выполняют этап S124; в противном случае выполняют этап S126.

Этап S124: UE определяет, соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME.

Этап S125: если функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS передает информацию о функциональных возможностях UE и NAS-MAC сообщения завершения режима безопасности NAS.

Дополнительно, сообщение завершения режима безопасности NAS дополнительно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS, тем самым, гарантируя, что информация о функциональных возможностях UE в сообщении завершения режима безопасности NAS не изменяется. Это гарантирует, что MME получит правильную информацию о функциональных возможностях UE.

Этап S126: если восьмой NAS-MAC не соответствует седьмому NAS-MAC или функция безопасности UE, отправленная обратно MME, не соответствует функции безопасности UE, отправленной UE в MME, UE отправляет отказ режима безопасности NAS (отказ режима безопасности NAS) в MME.

В этом варианте осуществления информация о функциональных возможностях UE может быть помещена во вторую информацию верификации соответствия IE и передана, но MME непосредственно сохраняет информацию о функциональных возможностях UE и не верифицирует снова, является ли информация о функциональных возможностях UE такой же, как информация о функциональных возможностях UE в принятом запросе на подключение.

Настоящее изобретение дополнительно обеспечивает вариант 13 осуществления способа мобильной связи. Способ этого варианта осуществления включает в себя следующие основные этапы обработки: MME отправляет командное сообщение режима безопасности NAS в UE, при этом, командное сообщение режима безопасности NAS передает первую информацию верификации соответствия, так что UE определяет, на основании первой информации верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.

На основании варианта 13 осуществления в вариантах реализации варианта 13 осуществления первая информация верификации соответствия представляет собой первое значение хеша сообщения запроса на подключение, принятое MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования (возможно передаваемый), используемый MME для выполнения вычисления хеша в принятом сообщении с запросом на подключение, алгоритм целостности, используемого MME, идентификатора ключа и первый код аутентификации сообщения NAS-MAC уровня без доступа командного сообщении режима безопасности NAS.

На основании варианта 13 осуществления в вариантах реализации варианта 13 осуществления способ дополнительно включает в себя следующий этап.

Когда второй NAS-MAC командного сообщения режима безопасности NAS, генерируемого UE, соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, второе значение хеша сообщения запроса на подключение, сгенерированного UE, не соответствует первому значению хеша, MME принимает сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение или возможности UE.

На основании варианта 13 осуществления в вариантах реализации варианта 13 осуществления первая информация верификации соответствия представляет собой третье значение хеша информации о функциональных возможностях UE, принятую MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования (возможно передаваемый), используемый MME для выполнения вычисления хеша принятой информации о функциональных возможностях UE, алгоритм целостности, используемого MME, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS.

Когда четвертый NAS-MAC, генерируемый UE, соответствует третьему NAS-MAC, функция безопасности UE, отправленная назад MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хэша информации о функциональных возможностях UE, сгенерированная UE, не соответствует третьему значению хэша, MME принимает сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.

На основе варианта 13 осуществления в вариантах реализации варианта 13 осуществления первая информация верификации соответствия является информацией о функциональных возможностях UE, принятой MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS.

Когда шестой NAS-MAC, сгенерированный UE, соответствует пятому NAS-MAC, функция безопасности UE в информации о функциональных возможностях UE, принятая MME, соответствует функции безопасности UE, отправленной UE в MME, и возможности, отличные от функции безопасности UE в информации о функциональных возможностях UE, принятая MME, не соответствует возможностям, отправленным UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS передает информацию о возможности UE.

Настоящее изобретение дополнительно обеспечивает вариант 14 осуществления способа мобильной связи. Этот вариант осуществления включает в себя следующие основные этапы обработки.

(1) MME принимает сообщение завершения режима (завершение режима безопасности NAS) (уровня без доступа), из UE, при этом, сообщение завершения режима безопасности NAS содержит вторую информацию верификации соответствия, используемую для верификации информации о функциональных возможностях UE принятую ММЕ.

(2) MME определяет, на основании второй информации верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME.

На основании варианта 14 осуществления в вариантах реализации варианта 14 осуществления вторая информация верификации соответствия включает в себя:

значение хеша сообщения запроса на подключение, отправленного UE в MME; или

значение хеша информации о функциональных возможностях UE, отправленной UE в MME.

На основании варианта 14 осуществления в вариантах реализации варианта 14 осуществления вторая информация верификации соответствия включает в себя информацию о функциональных возможностях UE, отправленную UE в MME.

На основании варианта 14 осуществления в вариантах реализации варианта 14 осуществления способ дополнительно включает в себя следующие этапы.

Если сообщение запроса на подключение или информация о функциональных возможностях UE, принятая MME в процедуре подключение, не соответствует сообщению, отправленного UE, MME отправляет транспортное сообщение NAS нисходящей линии связи в UE, при этом, транспортное сообщение NAS нисходящей линии связи содержит сообщение запроса на информацию о функциональных возможностях UE или сообщение запроса на контент запроса на подключение; и

MME принимает сообщение передачи информации восходящей линии связи, отправленное UE, при этом сообщение передачи информации восходящей линии связи передает информацию о функциональных возможностях UE или контент запроса на подключение.

Если сообщение запроса на подключение или возможности UE, принятые MME в процедуре подключения, не соответствуют сообщению, отправленному UE, MME отправляет сообщение запроса на информацию UE в UE, при этом, сообщение запроса информации UE передает сообщение запроса на информацию о функциональных возможностях UE или сообщение запроса на контент запроса на подключение; и

MME принимает сообщение ответа информации UE, отправленное UE, при этом, сообщение ответа информации UE передает информацию о функциональных возможностях UE или контент запроса на подключение.

Фиг. 13 является блок-схемой алгоритма способа мобильной связи согласно варианту 15 осуществления настоящего изобретения. В способе процедуру активации безопасности NAS (соответствующую этапу 7 на фиг. 13) выполняют в соответствии с обычным способом. После активации безопасности NAS, MME запрашивает посредством использования транспортного сообщения NAS нисходящей линии связи (транспортное сообщение NAS нисходящей линии связи) UE повторно загрузить возможности UE (возможности UE) или контент запроса на подключение (контент запроса на подключение), и UE загружает возможности UE (возможности UE) или контент запроса на подключение (контент запроса на подключение) с использованием транспортного сообщения NAS восходящей линии связи (транспортное сообщение NAS восходящей линии связи), так что MME получает правильную информацию о возможности UE.

Как показано на фиг. 13, процесс выполнения этого варианта осуществления включает в себя следующие этапы.

1. UE в состоянии RRC_IDLE (управление радиоресурсами в режиме ожидания, управление радиоресурсами в режиме ожидания) выполняет процедуру подключения. Сначала UE инициирует процедуру произвольного доступа, то есть, отправляет первое сообщение MSG1 произвольного доступа.

2. После обнаружения MSG1 сообщения eNB отправляет в UE сообщение ответа произвольного доступа, а именно, MSG2 сообщение.

3. После приема сообщения ответа произвольного доступа UE корректирует параметры отправки по восходящей линии связи на основании TA (время задержки ответного сигнала, время задержки ответного сигнала) в MSG2 и отправляет сообщение запроса RRC-соединения (запрос на RRC-соединение) в eNB.

4. eNB отправляет сообщение обновления RRC-соединения (обновление RRC-соединения) в UE, при этом, сообщение включает в себя информацию конфигурации для установки SRB1 (сигнализирующий радиоканал 1, сигнализирующий радиоканал 1) и радиоресурс.

5. После завершения конфигурации SRB1 канала и радиоресурсов, UE отправляет сообщение завершения обновления RRC-соединения (сообщение завершения установки RRC-соединения) в eNB, при этом, сообщение завершения обновления RRC включает в себя сообщение запроса на подключение NAS (запрос на подключение).

6. eNB выбирает MME и отправляет исходное сообщение UE (исходное сообщение UE) в MME, при этом исходное сообщение UE включает в себя сообщение запроса на подключение NAS (запрос на подключение).

7. UE и MME выполняют AKA процедуру и процедуру активации безопасности NAS.

8. MME отправляет транспортное сообщение NAS нисходящей линии связи (транспортное сообщение NAS нисходящей линии связи) в eNB, при этом, транспортное сообщение NAS нисходящей линии связи включает в себя сообщение запроса возможности UE (запрос возможности UE) или сообщение запроса контента запроса на подключение (запрос контента запроса на подключение).

9. eNB отправляет сообщение передачи информации нисходящей линии связи (сообщение передачи информации нисходящей линии связи) в UE, при этом, сообщение передачи информации нисходящей линии связи включает в себя сообщение запроса возможности UE (запрос возможности UE) или сообщение запроса контента сообщения запроса на подключение (запрос контента запроса на подключение).

10. UE отправляет сообщение передачи информации восходящей линии связи (сообщение передачи информации восходящей линии связи) в eNB, при этом, сообщение включает в себя возможности UE (возможности UE) или контент сообщения запроса на подключение (контент запроса на подключение).

11. eNB отправляет транспортное сообщение NAS восходящей линии связи (транспортное сообщение NAS восходящей линии связи) в MME, при этом, сообщение включает в себя возможности UE (возможности UE) или контент запроса на подключение (контент запроса на подключение).

12. MME отправляет в eNB сообщение запроса контента установки исходного контекста (запрос установки исходного контекста), чтобы запросить установку канала по умолчанию, при этом, сообщение запроса установки исходного контекста включает в себя сообщение запроса на подключение NAS (подтверждение подключения) и сообщение запроса контекста активировать EPS канала по умолчанию (запрос контекста активировать усовершенствованное ядро пакетной коммутации канала по умолчанию), при этом, полное название EPS является усовершенствованное ядро пакетной коммутации, на китайском языке название EPS является усовершенствованное ядро пакетной коммутации.

13. После того, как eNB принимает сообщение запроса установки исходного контекста, если сообщение запроса установки исходного контекста не включает в себя информацию о функциональных возможностях UE, eNB отправляет сообщение запроса UE возможности (запрос возможности UE) в UE для запроса возможности UE.

14. UE отправляет сообщение информации о возможностях UE (информация о возможностях UE) в eNB, чтобы сообщать информацию о функциональных возможностях UE.

15. eNB отправляет сообщение указания информации о функциональных возможностях UE (указание информации о функциональных возможностях UE) в MME для обновления информации о функциональных возможностях UE MME.

16. eNB отправляет командное сообщение режима безопасности (команда режима безопасности) в UE на основании информации безопасности, поддерживаемой UE, в сообщении запроса установки исходного контекста (запрос установки исходного контекста) для выполнения активации безопасности.

17. UE отправляет в eNB сообщение завершения режима безопасности (завершение режима безопасности), чтобы указать, что активация безопасности завершена.

18. eNB отправляет сообщение реконфигурации RRC-соединения (реконфигурация RRC-соединения) в UE на основании информации установки ERAB (усовершенствованный канал радиодоступа, усовершенствованный канал радиодоступа) в сообщении запроса установки исходного контекста (запрос установки исходного контекста) для выполнения реконфигурация ресурсов UE, включающий в себя реконфигурирование SRB1 и конфигурацию радиоресурсов, и установку SRB2, DRB (радиоканал данных, радиоканал данных) (включающий в себя канал передачи по умолчанию) и тому подобное.

19. UE отправляет сообщение завершения реконфигурацию RRC-соединения (завершение реконфигурацию RRC-соединения) в eNB, чтобы указать, что конфигурация ресурса завершена.

20. eNB отправляет сообщение ответа установки исходного контекста (ответ установки исходного контекста) в MME, чтобы указать, что установка контекста UE завершена.

21. UE отправляет сообщение передачи информации восходящей линии связи (передача информации восходящей линии связи) в eNB, при этом, сообщение включает в себя сообщение завершения подключения NAS (завершение подключения) и сообщение подтверждения контекста активировать усовершенствованное ядро пакетной коммутации канала по умолчанию (подтверждение контекста активировать EPS канала по умолчанию).

22. eNB отправляет транспортное сообщение NAS восходящей линии связи (транспортное сообщение NAS восходящей линии связи) в MME, при этом, сообщение включает в себя сообщение завершения подключения NAS (завершение подключения) и сообщение подтверждения контекста активировать усовершенствованное ядро пакетной коммутации канала по умолчанию (подтверждение контекста активировать EPS канала по умолчанию).

Этап 7 в этом варианте осуществления настоящего изобретения соответствует процедуре активации безопасности NAS, и усовершенствованные этапы с 8 по 11 в этом варианте осуществления настоящего изобретения выполняют после процедуры активации безопасности NAS.

Фиг. 14 является блок-схемой алгоритма способа мобильной связи согласно варианту 16 осуществления настоящего изобретения. В способе процедуру активации безопасности NAS (соответствующую этапу 7 на фиг. 14) выполняют в соответствии с обычным способом. В процедуре подключения после активации безопасности NAS, MME запрашивает, используя новое сообщение запроса информации UE (запрос информации UE), UE повторно загрузить информацию о функциональных возможностях UE (возможности UE) или контент запроса на подключение (контент запроса на подключение) и UE загружает возможности UE (возможности UE) или контент запроса на подключение (контент запроса на подключение) с использованием сообщения ответа информации UE (ответ информации UE), так что MME получает правильную информацию о функциональных возможностях UE.

Как показано на фиг. 14, процесс выполнения этого варианта осуществления включает в себя следующие этапы.

1. UE в состоянии RRC_IDLE (управление радиоресурсами в режиме ожидания, управление радиоресурсами в режиме ожидания) выполняет процедуру подключения, и, во-первых, инициирует процедуру произвольного доступа, то есть, отправляет первое сообщение MSG1 произвольного доступа.

2. После обнаружения MSG1 сообщения eNB отправляет сообщение ответа произвольного доступа, а именно, MSG2 сообщение в UE.

3. После приема сообщения ответа случайного доступа, UE корректирует параметры отправки восходящей линии связи на основании TA (время задержки ответного сигнала, время задержки ответного сигнала) в MSG2 и отправляет сообщение запроса RRC-соединения (запроса RRC-соединения) в eNB.

4. eNB отправляет сообщение обновления RRC-соединения (обновления RRC-соединения) в UE, при этом, сообщение включает в себя информацию конфигурации для установки SRB1 (сигнализирующий радиоканал 1, сигнализирующий радиоканал 1) и радиоресурс.

5. После завершения передачи SRB1 канала и конфигурации радиоресурсов, UE отправляет сообщение завершения обновление RRC-соединения (завершения обновление RRC-соединения) в eNB, при этом, сообщение завершения обновление RRC-соединения включает в себя сообщение запроса на подключение NAS (сообщение запроса на подключение).

6. eNB выбирает MME и отправляет исходное сообщение UE (исходное сообщение UE) в MME, при этом, исходное сообщение UE включает в себя сообщение запроса на подключение NAS (запрос на подключение).

7. UE и MME выполняют процедуру AKA и процедуру активации безопасности NAS.

8. MME отправляет сообщение запроса информации UE (запрос информации UE) в eNB.

9. eNB отправляет сообщение запроса информации UE (запрос информации UE) в UE.

10. UE отправляет сообщение ответа информации UE (ответ информации UE) в eNB, при этом, сообщение ответа информации UE содержит возможности UE (возможности UE) или сообщение запроса на подключение, содержащее контент (контент запроса на подключение).

11. eNB отправляет сообщение ответа информации UE (ответ информации UE) в MME, при этом, сообщение ответа информации UE содержит возможности UE (возможности UE) или сообщение запроса на подключение, содержащее контент (контент запроса на подключение).

12. MME отправляет в eNB сообщение запроса установки исходного контекста (запрос установки исходного контекста), чтобы запросить установку канала по умолчанию, при этом, сообщение запроса установки исходного контекста включает в себя сообщение запроса на подключение NAS (подтверждение подключения) и сообщение запроса контекста активировать EPS канала по умолчанию (запрос контекста активировать усовершенствованное ядро пакетной коммутации канала по умолчанию), при этом, полное название EPS является усовершенствованное ядро пакетной коммутации, на китайском языке название EPS является усовершенствованное ядро пакетной коммутации.

13. После того, как eNB принимает сообщение запроса установки исходного контекста, если сообщение запроса установки исходного контекста не включает в себя информацию о функциональных возможностях UE, eNB отправляет сообщение запроса возможности UE (запрос возможности UE) в UE для запроса возможности UE.

14. UE отправляет сообщение информации о функциональных возможностях UE (информация о функциональных возможностях UE) в eNB, чтобы сообщить информацию о функциональных возможностях UE.

18. eNB отправляет сообщение реконфигурации RRC-соединения (реконфигурация RRC-соединения) в UE на основании информации установки ERAB (усовершенствованный канал радиодоступа, усовершенствованный канал радиодоступа) в сообщении запроса установки исходного контекста (запрос установки исходного контекста) для выполнения реконфигурация ресурсов UE, включающего в себя реконфигурирование SRB1 и конфигурацию радиоресурсов, и установку SRB2, DRB (радиоканал данных, радиоканал данных) (включающий в себя канал передачи по умолчанию) и тому подобное.

19. UE отправляет сообщение завершения реконфигурации RRC-соединения (завершение реконфигурации RRC-соединения) в eNB, чтобы указать, что конфигурация ресурса завершена.

Этап 7 в этом варианте осуществления настоящего изобретения соответствует процедуре активации NAS, и усовершенствованные этапы с 8 по 11 в этом варианте осуществления настоящего изобретения выполняют после процедуры активации NAS.

Фиг. 15 является блок-схемой аппаратуры мобильной связи согласно варианту 1 осуществления настоящего изобретения. Аппаратура развернута в UE и включает в себя: модуль 1201 приема, модуль 1202 верификации и первый модуль 1203 отправки.

Модуль 1201 приема выполнен с возможностью принимать командное сообщение режима безопасности уровня без доступа из узла управления мобильностью MME, при этом, командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME.

Модуль 1202 верификации выполнен с возможностью определять на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME.

Первый модуль 1203 отправки выполнен с возможностью: когда информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправлять сообщение завершения режима безопасности NAS в MME.

В предшествующем варианте осуществления первая информация для верификации соответствия представляет собой первое значение хеша сообщения запроса на подключение, которое принимается MME до того, как MME отправит командное сообщение режима безопасности NAS в UE, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первое аутентификационное сообщение кода уровня без доступа NAS-MAC командного сообщения режима безопасности NAS.

Модуль 1202 верификации конкретно выполнен с возможностью:

вычислять второй NAS-MAC в командном сообщении режима безопасности NAS, принятом UE;

определять, соответствует ли второй NAS-MAC первому NAS-MAC;

если второй NAS-MAC соответствует первому NAS-MAC, вычислять в соответствии с алгоритмом хеширования второе значение хеша сообщения запроса на подключение, отправленного UE в MME; и

определить, соответствует ли второе значение хеша первому значению хеша.

Первый модуль 1203 отправки конкретно выполнен с возможностью: когда второе значение хеша соответствует первому значению хеша, и второй NAS-MAC соответствует первому NAS-MAC, отправлять сообщение завершения режима безопасности NAS в MME.

В предшествующем варианте осуществления командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, отправленную обратно MME.

Модуль 1202 верификации дополнительно выполнен с возможностью:

определять, соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME.

Первый модуль 1203 отправки конкретно выполнен с возможностью:

если второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE на MME, отправлять сообщение завершения режима безопасности NAS в MME.

В предшествующем варианте осуществления первый модуль 1203 отправки дополнительно выполнен с возможностью:

если, по меньшей мере, одно из второго значения хеша, второй NAS-MAC и функция безопасности UE, отправленные обратно MME, верифицированы безуспешно, отправлять сообщение отказа режима безопасности NAS в MME; или

дополнительно выполнен с возможностью: если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша не соответствует первому значению хеша, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.

В вышеприведенном варианте осуществления первая информация для верификации соответствия представляет собой третье значение хеша информации о функциональных возможностях UE, принятую MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша на основании принятой информации о функциональных возможностях UE, алгоритм целостности, используемый MME, идентификатор ключа и третий NAS-MAC командного сообщения команды режима безопасности NAS.

Модуль 1202 верификации конкретно выполнен с возможностью:

вычислять четвертый NAS-MAC командного сообщения режима безопасности NAS, принятом UE;

определять, соответствует ли четвертый NAS-MAC третьему NAS-MAC;

определять, соответствует ли четвертое значение хеша третьему значению хеша.

Первый модуль 1203 отправки конкретно выполнен с возможностью: если четвертое значение хеша соответствует третьему значению хеша, отправлять для UE сообщение завершения режима безопасности NAS в MME.

Модуль 1202 верификации дополнительно выполнен с возможностью:

Первый модуль 1203 отправки конкретно выполнен с возможностью:

если четвертое значение хеша соответствует третьему значению хеша, четвертый NAS-MAC соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE на MME, отправлять сообщение завершения режима безопасности NAS в MME.

В предшествующем варианте осуществления первый модуль 1203 отправки дополнительно выполнен с возможностью:

если, по меньшей мере, одно из четвертое значение хеша, четвертый NAS-MAC и функция безопасности UE, отправленные обратно MME, безуспешно верифицированы, отправлять для UE сообщение отказа режима безопасности NAS в MME;

или

первый модуль 1203 отправки дополнительно выполнен с возможностью:

если четвертый NAS-MAC соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хеша не соответствует третьему значению хеша, отправлять для UE сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.

В вышеприведенном варианте осуществления первая информация для верификации соответствия является информацией о функциональных возможностях UE, принятой MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC NAS командного сообщения режима безопасности.

Модуль 1202 верификации конкретно выполнен с возможностью:

вычислять шестой NAS-MAC командного сообщения режима безопасности NAS, принятом UE;

определять для UE, соответствует ли шестой NAS-MAC пятому NAS-MAC;

определять, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, информации о функциональных возможностях UE, отправленной UE в MME.

В вышеприведенном варианте осуществления модуль 1202 верификации конкретно выполнен с возможностью:

определять, соответствует ли шестой NAS-MAC пятому NAS-MAC;

если шестой NAS-MAC соответствует пятому NAS-MAC, определять, соответствует ли функция безопасности UE, включенная в состав информации о функциональных возможностях UE, принятой MME, функции безопасности UE, отправленной UE в MME; и

если функция безопасности UE, включенная в состав информации о функциональных возможностях UE, принятая MME, соответствует функции безопасности UE, отправленной UE в MME, определять для UE, соответствуют ли возможности, отличные от функции безопасности UE в информации о функциональных возможностях UE, принятой MME, возможностям, отправленными UE в MME.

Первый модуль 1203 отправки конкретно выполнен с возможностью: если возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, соответствуют возможностям, отправленным UE в MME, отправлять сообщение завершения режима безопасности NAS в MME.

В предшествующем варианте осуществления первый модуль 1203 отправки дополнительно выполнен с возможностью:

если возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствуют возможностям, отправленным UE в MME, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.

В предшествующем варианте осуществления командное сообщение режима безопасности NAS включает в себя: функцию безопасности UE, принятую MME, алгоритм целостности, используемый MME, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS.

Модуль 1202 верификации конкретно выполнен с возможностью:

вычислять восьмой NAS-MAC командного сообщения режима безопасности NAS, принятого UE; и

определять, соответствует ли восьмой NAS-MAC седьмому NAS-MAC; и

если восьмой NAS-MAC соответствует седьмому NAS-MAC, определять, соответствует ли функция безопасности UE, принятая MME, функции безопасности UE, отправленной UE в MME.

Первый модуль 1203 отправки выполнен с возможностью: если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.

В предшествующем варианте осуществления вторая информация для верификации соответствия включает в себя:

значение хеша сообщения запроса на подключение, отправленного UE в MME; или

значение хеша информации о функциональных возможностях UE, отправленной UE в MME.

В предшествующем варианте осуществления вторая информация для верификации соответствия включает в себя информацию о функциональных возможностях UE.

В вышеприведенном варианте осуществления модуль 1201 приема дополнительно выполнен с возможностью: после того, как первый модуль 1203 отправки отправит сообщение завершения режима безопасности NAS в MME, принимать транспортное сообщение NAS нисходящей линии связи, отправленное посредством MME, при этом, транспортное сообщение NAS нисходящей линии связи содержит сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение.

Первый модуль 1203 отправки дополнительно выполнен с возможностью отправлять сообщение передачи информации восходящей линии связи в MME, при этом, сообщение передачи информации восходящей линии связи содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.

В предшествующем варианте осуществления модуль 1201 приема дополнительно выполнен с возможностью:

после того, как первый модуль 1203 отправки отправит сообщение завершения режима безопасности NAS в MME, принимать сообщение запроса информации UE, отправленное MME, при этом, сообщение запроса информации UE содержит сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение с запросом на подключение.

Первый модуль 1203 отправки дополнительно выполнен с возможностью отправлять сообщения ответа информации UE в MME, при этом, сообщение ответа информации UE содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.

Фиг. 16 является блок-схемой аппаратуры мобильной связи согласно варианту 2 осуществления настоящего изобретения. Аппаратура развернута в MME и включает в себя:

второй модуль 1301 отправки, выполненный с возможностью отправлять командное сообщения режима безопасности NAS в UE, при этом, командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, так что UE определяет, на основании первой информации для верификации соответствия, соответствует ли принятая информация о функциональных возможностях UE посредством MME информации о функциональных возможностях UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.

В вышеприведенном варианте первая информация для верификации соответствия представляет собой первое значение хеша сообщения запроса на присоединение, принятого MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша принятого сообщения запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первое аутентификационное сообщение уровня без доступа NAS-MAC командного сообщения режима безопасности NAS.

В предшествующем варианте осуществления командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME.

Как показано на фиг. 16, аппаратура дополнительно включает в себя первый модуль 1302 приема, выполненный с возможностью:

когда второй NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша сообщения запроса на подключение, сгенерированное UE, не соответствует первому значению хеша, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.

Как показано на фиг. 16, аппаратура дополнительно включает в себя второй модуль 1303 приема, выполненный с возможностью:

когда четвертый NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хеша информации о функциональных возможностях UE, сгенерированное UE, не соответствует третьему значению хеша, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS передает информацию о функциональных возможностях UE.

Как показано на фиг. 16, первой информацией для верификации соответствия является информация о функциональных возможностях UE, принятая MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS.

Как показано на фиг. 16, аппаратура дополнительно включает в себя третий модуль 1304 приема, выполненный с возможностью:

когда шестой NAS-MAC командного сообщения режима безопасности NAS, генерируемый UE, соответствует пятому NAS-MAC, функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, принятую MME, соответствует функции безопасности UE, отправленной UE в MME, и UE определяет, что возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствуют возможностям, отправленным UE в MME, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.

В вышеприведенном варианте осуществления аппаратура дополнительно включает в себя четвертый модуль 1305 приема, выполненный с возможностью принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS передает вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.

В предшествующем варианте осуществления вторая информация для верификации соответствия включает в себя:

значение хеша сообщения запроса на подключение, отправленного UE в MME; или

значение хеша информации о функциональных возможностях UE, отправленной UE в MME.

В вышеприведенном варианте осуществления второй модуль 1301 отправки дополнительно выполнен с возможностью: если информация о функциональных возможностях UE, принятая посредством MME, не соответствует переданной UE, отправлять транспортное сообщение NAS нисходящей линии связи в UE, при этом, транспортное сообщение NAS нисходящей линии связи передает сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение.

Четвертый модуль 1305 приема дополнительно выполнен с возможностью принимать сообщения передачи информации восходящей линии связи, отправленного UE, при этом, сообщение передачи информации восходящей линии связи содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.

В вышеприведенном варианте осуществления второй модуль 1301 отправки дополнительно выполнен с возможностью: если MME определяет, что информация о функциональных возможностях UE, принятая посредством MME, не соответствует сообщению, отправленному UE, отправлять сообщение запроса информации UE в UE, при этом, сообщение запроса информации UE содержит сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение.

Четвертый модуль 1305 приема дополнительно выполнен с возможностью принимать сообщения ответа информации UE, отправленного UE, при этом, сообщение ответа информации UE содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.

Фиг. 17 является блок-схемой устройства мобильной связи согласно варианту 1 осуществления настоящего изобретения. Устройство 1400 мобильной связи включает в себя интерфейс 1401 связи, память 1403 и процессор 1402. Интерфейс 1401 связи, процессор 1402 и память 1403 соединены друг с другом с использованием шины 1404. Шина 1404 может быть межсоединением периферийных компонентов (межсоединение периферийных компонентов, PCI для краткости), расширенный промышленный стандарт архитектуры (расширенный промышленный стандарт архитектуры, EISA для краткости) и т.п. Шина может быть классифицирована на адресную шину, шину данных, шину управления и т.п. Для удобства представления на фиг. 14, используют только одну жирную линию, но это не означает, что применяют только одну шину или один тип шины.

Интерфейс 1401 связи выполнен с возможностью устанавливать связь со стороной передачи. Память 1403 выполнена с возможностью хранить программы. В частности, программа может включать в себя программный код, и программный код включает в себя инструкцию управления компьютером. Память 1403 может включать в себя память произвольного доступа (оперативное запоминающее устройство, RAM для краткости) или может дополнительно включать в себя энергонезависимую память (энергонезависимую память), такую как, по меньшей мере, одно хранилище на магнитном диске.

Процессор 1402 выполняет программу, хранящуюся в памяти 1403, для реализации способа в вышеописанных вариантах осуществления настоящего изобретения:

прием командного сообщения режима безопасности NAS уровня без доступа из узла управления мобильностью ММЕ, в котором командное сообщение режима безопасности NAS содержит первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME;

если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, и отправляют посредством UE сообщение завершения режима безопасности NAS в MME.

Процессор 1402 может быть процессором общего назначения, включающим в себя центральный процессор (центральный процессор, CPU для краткости), сетевой процессор (сетевой процессор, NP для краткости) и т.п.; или может быть цифровым сигнальным процессором (DSP), специализированной интегральной схемой (ASIC), программируемой пользователем матрицей вентилей (FPGA) или другим программируемым логическим устройством, дискретным логическим устройством или транзисторным логическим устройством или дискретным аппаратным компонентом.

Фиг. 18 является блок-схемой устройства мобильной связи согласно варианту 2 осуществления настоящего изобретения. Устройство 1500 мобильной связи включает в себя интерфейс 1501 связи, память 1503 и процессор 1502. Интерфейс 1501 связи, процессор 1502 и память 1503 соединены друг с другом с использованием шины 1504. Шина 1504 может быть межсоединением периферийных компонентов (межсоединение периферийных компонентов, PCI для краткости), расширенным промышленным стандартом архитектуры (расширенный промышленный стандарт архитектуры, EISA для краткости) и т.п. Шина может быть классифицирована на адресную шину, шину данных, шину управления и т.п. Для удобства представления на фиг. 15 используют только одну жирную линию, но это не означает, что имеется только одна шина или один тип шины.

Интерфейс 1501 связи выполнен с возможностью устанавливать связь со стороной передачи. Память 1503 выполнена с возможностью хранить программы. В частности, программа может включать в себя программный код, и программный код включает в себя инструкцию управления компьютером. Память 1503 может включать в себя память произвольного доступа (оперативное запоминающее устройство, RAM для краткости) или может дополнительно включать в себя энергонезависимую память (энергонезависимую память), такую как, по меньшей мере, одно хранилище на магнитном диске.

Процессор 1502 выполняет программу, хранящуюся в памяти 1503, для реализации способа в вышеописанных вариантах осуществления настоящего изобретения:

определение первой информации для верификации соответствия, используемой UE, для верификации информации о функциональных возможностях UE, принятой MME; и

отправку командного сообщения режима безопасности NAS в UE, при этом, командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, так что UE определяет, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.

Процессор 1502 может быть процессором общего назначения, включающий в себя центральный процессор (центральный процессор, CPU для краткости), сетевой процессор (сетевой процессор, NP для краткости) и т.п.; или может быть цифровым сигнальным процессором (DSP), специализированной интегральной схемой (ASIC), программируемой пользователем матрицей вентилей (FPGA) или другим программируемым логическим устройством, дискретным логическим устройством или транзисторным логическим устройством или дискретным аппаратным компонентом.

Согласно устройству мобильной связи этого варианта осуществления настоящего изобретения UE верифицирует, на основании принятого первого сообщения верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME. Очевидно, что в вариантах осуществления настоящего изобретения MME отправляет обратно сообщение верификации соответствия, и UE верифицирует информацию о функциональных возможностях UE, принятую MME, чтобы гарантировать, что MME обладает правильной информацией о функциональных возможностях UE. Посредством данного решения предотвращают воздействие DoS-атаки, в которой, в процедуре подключения (подключение) сообщение запроса на подключение (запрос на подключение) не защищено контекстом безопасности NAS, таким образом, злоумышленник может изменять информацию о функциональных возможностях UE, и MME не может получить правильную UE. DoS является сокращением от термина отказа в обслуживании, то есть, отказ в обслуживании и действие атаки, вызывающее DoS, называется DoS-атакой.

Специалисты в данной области техники могут понять, что все или некоторые этапы вариантов осуществления способа могут быть реализованы программой, инструктирующей соответствующее аппаратное обеспечение. Программу могут хранить на машиночитаемом носителе данных. Когда программа запускается, выполняют этапы вариантов осуществления способа. Вышеупомянутый носитель данных включает в себя: любой носитель информации, который может хранить программный код, такой как ROM, RAM, магнитный диск или оптический диск.

В заключение, следует отметить, что приведенные выше варианты осуществления предназначены только для описания технических решений настоящего изобретения, кроме ограничения настоящего изобретения. Хотя настоящее изобретение подробно описано со ссылкой на вышеприведенные варианты осуществления, специалисты в данной области техники должны понимать, что они все еще могут вносить изменения в технические решения, описанные в вышеприведенных вариантах осуществления, или сделать эквивалентную замену некоторым техническим признакам, без выходящих за рамки технических решений вариантов осуществления настоящего изобретения.

1. Способ мобильной связи, содержащий:

оправку посредством устройства пользователя (UE) сообщения запроса на подключение в узел управления мобильностью, в котором сообщение запроса на подключение, отправленное UE, содержит функцию безопасности UE;

прием посредством UE командного сообщения режима безопасности NAS уровня без доступа из узла управления мобильностью, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, алгоритм целостности, используемый узлом управления мобильностью, идентификатор ключа и первый код аутентификации сообщения NAS (NAS-MAC) командного сообщения режима безопасности NAS и функцию безопасности UE, отправленную обратно узлом управления мобильностью; в котором первая информация для верификации соответствия содержит первое значение хеша сообщения запроса на подключение, принятого узлом управления мобильностью;

вычисление посредством UE второго NAS-MAC командного сообщения режима безопасности NAS, принятого от узла управления мобильностью, и второго значения хеша сообщения запроса на подключение, отправленного UE;

определение посредством UE, соответствует ли второе значение хеша первому значению хеша, соответствует ли второй NAS-MAC первому NAS-MAC и соответствует ли функция безопасности UE, отправленная обратно узлом управления мобильностью, функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE; и

если второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC и функция безопасности UE, отправленная обратно узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, отправку посредством UE сообщения завершения режима безопасности NAS в узел управления мобильностью.

2. Способ по п. 1, дополнительно содержащий:

если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно посредством узла управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, и второе значение хеша не соответствует первому значению хеша, отправку с помощью UE сообщения завершения режима безопасности NAS в узел управления мобильностью, в котором сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение, отправленное UE.

3. Способ по п. 1, дополнительно содержащий:

если по меньшей мере одно из второго значения хеша, второго NAS-MAC или функция безопасности UE, отправленная обратно с помощью узла управления мобильностью, верифицированы безуспешно, отправку посредством UE сообщения отказа режима безопасности NAS в узел управления мобильностью.

4. Способ мобильной связи, содержащий:

прием посредством узла управления мобильностью сообщения запроса на подключение из устройства пользователя (UE), в котором сообщение запроса на подключение, принятое узлом управления мобильностью, содержит функцию безопасности UE;

отправку посредством узла управления мобильностью командного сообщения режима безопасности NAS уровня без доступа в UE, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, алгоритм целостности, используемый узлом управления мобильностью, идентификатор ключа и первый код аутентификации сообщения NAS (NAS-MAC) командного сообщения режима безопасности NAS, сгенерированный узлом управления мобильностью, и функцию безопасности UE, передаваемую в сообщении запроса на подключение, принятом узлом управления мобильностью; в котором первая информация для верификации соответствия содержит первое значение хеша сообщения запроса на подключение, принятого узлом управления мобильностью;

если первый NAS-MAC соответствует второму NAS-MAC командного сообщения режима безопасности NAS, сгенерированного узлом управления мобильностью, функция безопасности UE, передаваемая в сообщении запроса на подключение, принятом узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, и первое значение хеша соответствует второму значению хеша, прием посредством узла управления мобильностью сообщения завершения режима безопасности NAS, отправленного UE, в котором второе значение хеша сообщения запроса на подключение генерируется UE согласно сообщению запроса на подключение, отправленному UE.

5. Способ по п. 4, в котором когда первый NAS-MAC соответствует второму NAS-MAC командного сообщения режима безопасности NAS, генерируемому UE, функция безопасности UE, передаваемая в сообщении запроса на подключение, принятом узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, и первое значение хеша не соответствует второму значению хеша, прием посредством узла управления мобильностью сообщения завершения режима безопасности NAS, отправленного UE, при этом сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение, отправленное UE; в котором второе значение хеша сообщения запроса на подключение генерируется UE согласно сообщению запроса на подключение, отправленному UE.

6. Аппаратура мобильной связи, в которой аппаратура развернута в устройстве пользователя (UE) и содержит:

первый модуль отправки, выполненный с возможностью оправки сообщения запроса на подключение в узел управления мобильностью, в котором сообщение запроса на подключение, отправленное первым модулем отправки, содержит функцию безопасности UE;

модуль приема, выполненный с возможностью принимать командное сообщение режима безопасности уровня без доступа NAS из узла управления мобильностью, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, алгоритм целостности, используемый узлом управления мобильностью, идентификатор ключа и первый код аутентификации сообщения NAS (NAS-MAC) командного сообщения режима безопасности NAS и функцию безопасности UE, отправленную обратно узлом управления мобильностью; в котором первая информация для верификации соответствия содержит первое значение хеша сообщения запроса на подключение, принятого узлом управления мобильностью;

модуль верификации, выполненный с возможностью вычисления второго NAS-MAC командного сообщения режима безопасности NAS, принятого от узла управления мобильностью, и второго значение хеша сообщения запроса на подключение, отправленного UE;

определение, соответствует ли второе значение хеша первому значению хеша, соответствует ли второй NAS-MAC первому NAS-MAC и соответствует ли функция безопасности UE, отправленная обратно узлом управления мобильностью, функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE; и

первый модуль отправки дополнительно выполнен с возможностью отправлять сообщение завершения режима безопасности NAS в узел управления мобильностью, если второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC и функция безопасности UE, отправленная обратно узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE.

7. Аппаратура по п. 6, в которой первый модуль отправки дополнительно выполнен с возможностью отправлять сообщение завершения режима безопасности NAS в узел управления мобильностью,

если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно посредством узла управления мобильностью, соответствует функции безопасности UE, содержащейся в сообщении запроса на подключение, отправленном UE, и второе значение хеша не соответствует первому значению хеша, отправлять сообщение завершения режима безопасности NAS в узел управления мобильностью, в котором сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение, оправленное UE.

8. Аппаратура по п. 6, в которой первый модуль отправки дополнительно выполнен с возможностью отправлять сообщение отказа режима безопасности NAS в узел управления мобильностью, если по меньшей мере одно из второго значения хеша, второго NAS-MAC и функция безопасности UE, отправленная обратно посредством узла управления мобильностью, верифицированы безуспешно.

9. Аппаратура мобильной связи, в которой аппаратура развернута в узле управления мобильностью и содержит:

первый модуль приема, выполненный с возможностью приема сообщения запроса на подключение из устройства пользователя (UE), в котором сообщение запроса на подключение, принятое узлом управления мобильностью, содержит функцию безопасности UE;

второй модуль отправки, выполненный с возможностью отправлять командное сообщение режима безопасности NAS уровня без доступа в UE, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, алгоритм целостности, используемый узлом управления мобильностью, идентификатор ключа и первый код аутентификации сообщения NAS (NAS-MAC) командного сообщения режима безопасности NAS, сгенерированный узлом управления мобильностью, и функцию безопасности UE, передаваемую в сообщении запроса на подключение, принятом узлом управления мобильностью; в котором первая информация для верификации соответствия содержит первое значение хеша сообщения запроса на подключение, принятого узлом управления мобильностью;

первый модуль приема дополнительно выполнен с возможностью приема сообщения завершения режима безопасности NAS, отправленного UE, если первый NAS-MAC соответствует второму NAS-MAC командного сообщения режима безопасности NAS, сгенерированному узлом управления мобильностью, функция безопасности UE, передаваемая в сообщении запроса на подключение, принятом узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, и первое значение хеша соответствует второму значению хеша, в котором второе значение хеша сообщения запроса на подключение генерируется UE согласно сообщению запроса на подключение, отправленному UE.

10. Аппаратура по п. 9, в которой первый модуль приема дополнительно выполнен с возможностью приема сообщения завершения режима безопасности NAS, отправленного UE, когда первый NAS-MAC соответствует второму NAS-MAC командного сообщения режима безопасности NAS, генерируемому UE, функция безопасности UE, передаваемая в сообщении запроса на подключение, принятом узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, и первое значение хеша не соответствует второму значению хеша, при этом сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение, отправленное UE; в котором второе значение хеша сообщения запроса на подключение генерируется UE согласно сообщению запроса на подключение, отправленному UE.

11. Система мобильной связи, содержащая устройства пользователя (UE) и узел управления мобильностью, в которой UE выполнен с возможностью:

отправки сообщения запроса на подключение в узел управления мобильностью, в котором сообщение запроса на подключение, отправленное UE, содержит функцию безопасности UE;

приема командного сообщения режима безопасности NAS уровня без доступа из узла управления мобильностью, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, алгоритм целостности, используемый узлом управления мобильностью, идентификатор ключа и первый код аутентификации сообщения NAS (NAS-MAC) командного сообщения режима безопасности NAS и функцию безопасности UE, отправленную обратно узлом управления мобильностью; в котором первая информация для верификации соответствия содержит первое значение хеша сообщения запроса на подключение, принятого узлом управления мобильностью;

вычисления второго NAS-MAC командного сообщения режима безопасности NAS, принятого от узла управления мобильностью, и второго значение хеша сообщения запроса на подключение, отправленного UE;

определения, соответствует ли второе значение хеша первому значению хеша, соответствует ли второй NAS-MAC первому NAS-MAC и соответствует ли функция безопасности UE, отправленная обратно узлом управления мобильностью, функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE; и

если второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC и функция безопасности UE, отправленная обратно узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, отправки сообщения завершения режима безопасности NAS в узел управления мобильностью;

в которой узел управления мобильностью выполнен с возможностью:

отправки командного сообщения режима безопасности NAS в UE; и

приема сообщения завершения режима безопасности NAS из UE.

12. Система по п. 11, в которой UE дополнительно выполнено с возможностью отправлять сообщение завершения режима безопасности NAS в узел управления мобильностью, если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно посредством узла управления мобильностью, соответствует функции безопасности UE, содержащейся в сообщении запроса на подключение, отправленном UE, и второе значение хеша не соответствует первому значению хеша, отправлять сообщение завершения режима безопасности NAS в узел управления мобильностью, в котором сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение, оправленное UE.

13. Аппаратура мобильной связи, в которой аппаратура развернута в устройстве пользователя (UE) и содержит процессор, связанный с постоянным носителем данных, хранящим исполняемые инструкции; при этом исполняемые инструкции, когда выполняются процессором, заставляют процессор выполнять способ по любому из пп. 1-3.

14. Аппаратура мобильной связи, в которой аппаратура развернута в узле управления мобильностью и содержит процессор, связанный с постоянным носителем данных, хранящим исполняемые инструкции; причем исполняемые инструкции, когда выполняются процессором, заставляют процессор выполнять способ по п. 4 или 5.

15. Машиночитаемый носитель данных, содержащий инструкции, которые при выполнении компьютером заставляют компьютер выполнять способ по любому из пп. 1-3.

16. Машиночитаемый носитель данных, содержащий инструкции, которые при выполнении компьютером заставляют компьютер выполнять способ по п. 4 или 5.

Изобретение относится к беспроводной связи. Технический результат заключается в обеспечении улучшенных систем и способов для запуска запросов планирования восходящей линии связи в телекоммуникационной системе.

Обработка передачи вызова от сети доступа cs к сети доступа ps // 2705567

Изобретение относится к беспроводной связи. При обработке передачи вызова от сети доступа с коммутацией каналов к сети доступа с коммутацией пакетов, определяют, зарегистрирован ли терминал в сети IMS в текущий момент и/или зарегистрирован ли сервер MSC так, что может осуществлять передачу обслуживания от сети доступа с коммутацией каналов к сети доступа с коммутацией пакетов.

Устройство и способы для конфигурирования устройства m2m // 2705453

Изобретение относится к устройству и способу для конфигурирования адреса службы начальной загрузки управления устройством в устройстве межмашинной коммуникации (M2M).

Способ и устройство для управления будильником // 2705424

Изобретение относится к области связи. Технический результат направлен на расширение арсенала средств того же назначения.

Бортовое релейное устройство, устройство обработки информации, релейное устройство, способ обработки информации, носитель для долговременного хранения программы, исполняемой релейным устройством, система обработки информации, транспортное средство и внешнее устройство // 2705361

Изобретение относится к бортовому коммутационному устройству. Техническим результатом является расширение арсенала технических средств.

Способы отправки и приема канала данных, сетевое устройство и терминал // 2705359

Изобретение относится к радиосвязи. Сетевое устройство отправляет информацию индикации в терминал, где информация индикации указывает, что терминалу необходимо обнаружить информацию выкалывания данных в канале.

Терминальное устройство и способ обработки информации позиционирования, применяемый к терминальному устройству // 2705226

Изобретение относится к области сохранения мощности устройств беспроводной связи, а именно к обработке информации позиционирования для реализации активного управления потреблением мощности, вызываемым посредством службы позиционирования в терминальном устройстве.

Способ обнаружения несанкционированного доступа к программному обеспечению и оповещения о нем // 2705019

Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение реагирования на несанкционированный доступ к устройству связи, что позволяет обеспечить улучшенную защиту от атак, связанных с несанкционированным доступом к устройству связи.

Улучшенное сосуществование толерантных к задержке и чувствительных к задержке сеансов // 2705017

Изобретение относится к способу работы планировщика для сетевого узла системы сотовой связи, радиоузлам для сети сотовой связи и считываемым компьютером носителям.

Аппарат связи, способ управления этим аппаратом и постоянный машиночитаемый носитель информации // 2705008

Изобретение относится к аппарату связи и способу управления аппаратом связи. Технический результат заключается в снижении энергопотребления.

Сетевая система для выборки связанных с конфигурированием данных // 2704863

Изобретение относится к области вычислительной техники для аутентификации пользователя. Технический результат заключается в повышении безопасности при поиске связанных с конфигурированием данных пользователя.

Способ, система и устройство криптографической защиты каналов связи беспилотных авиационных комплексов // 2704268

Группа изобретений относится к области систем защищенной беспроводной связи и предназначена для защиты беспроводных каналов связи между беспилотным летательным аппаратом (БПЛА) или аналогичным удаленно управляемым аппаратом и наземной станцией управления (НСУ).

Способ пространственно-временной защиты информации // 2703972

Изобретение относится к области телекоммуникаций. Технический результат заключается в расширении арсенала средств.

Способ оптимизации выполнения функции, которая генерирует, по меньшей мере , один ключ в устройстве на интегральной схеме // 2703347

Изобретение относится к области криптографии. Технический результат заключается в расширении арсенала средств.

Управление ключами // 2702506

Изобретение относится к области сотовой связи. Технический результат заключается в повышении безопасности использования ключей в сети сотовой связи.

Способ блокировки сетевых соединений с ресурсами из запрещенных категорий // 2702080

Изобретения относятся к способу определения категории неизвестного сертификата, а также к способу блокировки сетевых соединений с ресурсами из запрещенных категорий ресурсов.

Аутентификация в распределенной среде // 2702076

Изобретение относится к области вычислительной техники. Технический результат заключается в повышении информационной безопасности удаленного подключения вычислительной системы.

Электронное вычислительное устройство для выполнения арифметики с обфускацией // 2701716

Группа изобретений относится к области вычислительной техники и может быть использована для выполнения арифметики с обфускацией в коммутативном кольце. Техническим результатом является повышение защищенности.

Криптографическая система, выполненная для совместного использования ключей // 2701480

Изобретение относится к области криптографии. Технический результат – повышение безопасности совместного использования ключей.

Способ шифрования двоичной информации // 2701128

Изобретение относится к области криптографии. Техническим результатом является повышение криптозащиты информации.

Система и способ проверки эцп файла // 2706873

Изобретение относится к области проверки сертификатов ЭЦП файлов. Техническим результатом является снижение ошибок первого рода при определении категории файла, передаваемого по сети через устройство передачи данных. В способе признают при помощи средства проверки сертификат ЭЦП обнаруженного файла действительным, если сертификат ЭЦП целостный и сертификат удостоверяющего центра, выдавший упомянутый сертификат ЭЦП, также является действительным; при этом проверка действительности сертификата ЭЦП осуществляется с использованием сертификатов из базы данных сертификатов, которая хранит сертификаты для по меньшей мере двух операционных систем; признают при помощи средства проверки ЭЦП обнаруженного файла действительной, если сертификат ЭЦП является действительным, а обнаруженный файл целостным; признают при помощи средства проверки действительный сертификат ЭЦП доверенным путем осуществления запроса к базе данных доверенных сертификатов; признают при помощи средства проверки обнаруженный файл относящимся к категории доверенных файлов, если ЭЦП файла действительна, а сертификат ЭЦП является доверенным. 4 з.п. ф-лы, 5 ил.