Способ реализации безопасности, устройство и система
Изобретение относится к области защиты передачи данных. Техническим результатом является обеспечение защиты данных сеанса на основе политики безопасности, указывающей режим защиты для сеанса между пользовательским узлом и узлом доступа. Способ содержит этапы, на которых: получают с помощью устройства пользователя политику безопасности сеанса; причем политика безопасности сеанса используется для указания режима защиты данных сеанса между устройством пользователя и узлом доступа сети; получают с помощью устройства пользователя по меньшей мере один ключ; выполняют с помощью устройства пользователя защиту безопасности данных сеанса для сеанса с использованием указанного по меньшей мере одного ключа на основе указанной политики сеанса для получения защищенных данных и передают с помощью устройства пользователя защищенные данные сеанса на узел доступа сети. 3 н. и 24 з.п. ф-лы, 26 ил.
Область техники, к которой относится изобретение
Настоящее изобретение относится к области связи и, в частности, к способу реализации безопасности, устройству и системе.
Уровень техники
В существующей архитектуре сетевой безопасности защиту данных осуществляют скачкообразно. Другими словами, защиту безопасности осуществляют сегмент за сегментом. Используя в качестве примера передачу данных по линии «оконечное устройство - базовая станция - обслуживающий шлюз - PDN шлюз», защиту безопасности осуществляют один раз между оконечным устройством и базовой станцией, защиту безопасности выполняют один раз между базовой станцией и обслуживающим шлюзом и защиту безопасности выполняют один раз между обслуживающим шлюзом и PDN шлюзом. Как можно видеть, в процессе передачи данных сбой в работе промежуточного узла, может вызвать утечку данных. Дополнительно, при шифровании данных и восстановлении множество раз в процессе передачи данных, также происходит потеря ресурсов.
Раскрытие сущности изобретения
Техническая задача, которая должна быть решена посредством вариантов осуществления настоящего изобретения, состоит в том, чтобы обеспечить способ реализации безопасности, устройство и систему для реализации сквозной защиты данных.
Согласно первому аспекту вариант осуществления настоящего изобретения обеспечивает способ реализации безопасности, включающий в себя: получение первым устройством политики безопасности сеанса и, по меньшей мере, одного ключа; и передачу первым устройством защищенных данных второму устройству, где защищенные данные получают путем защиты безопасности данных сеанса с использованием по меньшей мере одного ключа на основании политики безопасности сеанса, при этом второе устройство выполнено с возможностью восстанавливать защищенные данные с использованием по меньшей мере одного ключа на основании политики безопасности для получения данных сеанса; где, когда первое устройство является оконечным устройством, второе устройство является узлом сети доступа или узлом плоскости пользователя, или, когда первое устройство является узлом сети доступа или узлом плоскости пользователя, второе устройство является оконечным устройством.
Со ссылкой на первый аспект, в первой возможной реализации первого аспекта, по меньшей мере, один ключ включает в себя первый ключ и второй ключ, где первый ключ используют для защиты первой безопасности сеанса и второй ключ используют для защиты второй безопасности сеанса.
Со ссылкой на первую возможную реализацию первого аспекта, во второй возможной реализации первого аспекта, политику безопасности используют для указания режима защиты данных сеанса, и режим защиты представляет собой: защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности или защиту второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности или защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности и защиту второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности.
Со ссылкой на вторую возможную реализацию первого аспекта, в третьей возможной реализации первого аспекта, политику безопасности дополнительно используют для указания, по меньшей мере, одного из первого алгоритма безопасности, второго алгоритма безопасности, длины ключа и времени обновления ключа.
Со ссылкой на третью возможную реализацию первого аспекта, в четвертой возможной реализации первого аспекта длина ключа включает в себя первую длину ключа и/или вторую длину ключа, где первую длину ключа используют для представления длины первого ключа, и вторую длину ключа используют для представления длины второго ключа.
Со ссылкой на третью возможную реализацию первого аспекта, в пятой возможной реализации первого аспекта время обновления ключа включает в себя время обновления первого ключа и/или время обновления второго ключа, где время обновления первого ключа используют для представления времени обновления первого ключа и время обновления второго ключа используют для представления времени обновления второго ключа.
Со ссылкой на любую из вышеупомянутых возможных реализаций первого аспекта, в шестой возможной реализации первого аспекта, первая безопасность является конфиденциальностью, и вторая безопасность является целостностью.
Со ссылкой на шестую возможную реализацию первого аспекта, в седьмой возможной реализации первого аспекта защищенные данные дополнительно включают в себя поле параметра, и поле параметра включает в себя, по меньшей мере, одно из поле первого идентификатора, поле второго идентификатора и поле третьего идентификатора, где поле первого идентификатора используют для указания, что текущее сообщение является сообщением сеанса, поле второго идентификатора используют для указания, по меньшей мере, одного из идентификатора службы, идентификатора сеанса, идентификатора канала, идентификатора потока, идентификатора сегмента и третий идентификатор используют для указания режима защиты сеанса.
Со ссылкой на седьмую возможную реализацию первого аспекта, в восьмой возможной реализации первого аспекта поле параметра дополнительно включает в себя, по меньшей мере, одно из поле длины, поле пакета и MAC поле, где поле длины используют для указания длины поля параметра, поле пакета используют для указания длины пакета, когда пакет зашифрован, и MAC поле используют для указания, что целостность сеанса защищена.
Со ссылкой на любую одну из вышеупомянутых возможных реализаций первого аспекта, в девятой возможной реализации первого аспекта, когда второе устройство является узлом сети доступа, получение первым устройством политики безопасности представляет собой, в частности: получение первым устройством политики безопасности от контроллера политики.
Со ссылкой на девятую возможную реализацию первого аспекта, в десятой возможной реализации первого аспекта получение первым устройством политики безопасности от контроллера политики, в частности, представляет собой: отправку первым устройством первого запроса в узел сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и прием первым устройством политики безопасности, возвращенной узлом сети доступа, где политику безопасности получают узлом сети доступа путем отправки второго запроса в контроллер политики, и второй запрос генерируется узлом сети доступа на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа.
Со ссылкой на девятую возможную реализацию первого аспекта, в одиннадцатой возможной реализации первого аспекта, получение первым устройством политики безопасности из контроллера политики, а именно: отправка первым устройством первого запроса в узел сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и прием первым устройством политики безопасности, возвращенной узлом сети доступа, где политика безопасности получена узлом сети доступа путем пересылки второго запроса контроллеру политики через, по меньшей мере, один сетевой элемент, и второй запрос генерируется узлом сети доступа на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа.
Со ссылкой на одиннадцатую возможную реализацию первого аспекта, в двенадцатой возможной реализации первого аспекта, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом; или, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом или узел управления мобильностью.
Со ссылкой на девятую возможную реализацию первого аспекта, в тринадцатой возможной реализации первого аспекта, получение первым устройством политики безопасности от контроллера политики, в частности, представляет собой: отправку первым устройством первого запроса в узел сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и прием первым устройством политики безопасности, возвращенной узлом сети доступа, где политику безопасности генерируют узлом сети доступа на основании политики безопасности базовой сети и возможности безопасности узла сети доступа и политику безопасности базовой сети генерируют контроллером политики на основании первого запроса, пересылаемого узлом сети доступа.
Со ссылкой на любую из вышеупомянутых возможных реализаций первого аспекта, в четырнадцатой возможной реализации первого аспекта, когда второе устройство является узлом сети доступа, получение первым устройством, по меньшей мере, одного ключа, конкретно представляет собой: отправку первым устройством третьего запроса в узел аутентификации через узел сети доступа; получение первым устройством базовых ключей на основании третьего запроса, где базовые ключи генерируют после того, как первое устройство и узел аутентификации аутентифицируют друг друга; и получение первым устройством, по меньшей мере, одного ключа на основании базовых ключей.
Со ссылкой на четырнадцатую возможную реализацию первого аспекта, в пятнадцатой возможной реализации первого аспекта, получение первым устройством, по меньшей мере, одного ключа на основании базовых ключей, конкретно, представляет собой: получение первым устройством промежуточного ключа на основании базовых ключей; и получение первым устройством, по меньшей мере, одного ключа на основании промежуточного ключа.
Со ссылкой на пятнадцатую возможную реализацию первого аспекта, в шестнадцатой возможной реализации первого аспекта получение с помощью первого устройства промежуточного ключа на основании базовых ключей, конкретно представляет собой: получение первым устройством промежуточного ключа на основании первого параметра и базовых ключей, где первый параметр включает в себя, по меньшей мере, один из идентификатор узла сети доступа, NAS счетчик порядкового номера для генерирования промежуточного ключа, порядковый номер пакета, одноразовый номер 1, идентификатор канала, идентификатор потока и идентификатор сегмента.
Со ссылкой на пятнадцатую возможную реализацию первого аспекта, в семнадцатой возможной реализации первого аспекта, получение первым устройством, по меньшей мере, одного ключа, основанного на промежуточном ключе, конкретно, представляет собой: получение первым устройством, по меньшей мере, одного ключа на основании второго параметра и промежуточного ключа, где второй параметр включает в себя, по меньшей мере, один из идентификатор политики безопасности радиоинтерфейса, идентификатор алгоритма безопасности, NAS счетчик, одноразовый номер 2, идентификатор ресурса радиоинтерфейса, идентификатор канала радиоинтерфейса, идентификатор сегмента и идентификатор сеанса, и идентификатор алгоритма безопасности представляют собой, по меньшей мере, один из идентификатор алгоритма шифрования сигнализации радиоинтерфейса, идентификатор алгоритма защиты целостности информации радиоинтерфейса, идентификатор алгоритма шифрования плоскости пользователя и идентификатор алгоритма защиты целостности плоскости пользователя.
Со ссылкой на четырнадцатую возможную реализацию первого аспекта, в восемнадцатой возможной реализации первого аспекта, по меньшей мере, один ключ включает в себя, по меньшей мере, один из ключ шифрования сигнализации радиоинтерфейса, ключ шифрования целостности сигнализации радиоинтерфейса, ключ плоскости пользователя и ключ шифрования целостности плоскости пользователя.
Со ссылкой на любую из вышеупомянутых возможных реализаций первого аспекта, в девятнадцатой возможной реализации первого аспекта защищенными данными являются данные заголовка, данные полезной нагрузки или пакет, где пакет включает в себя данные заголовка и данные полезной нагрузки.
В соответствии со вторым аспектом предоставляется способ реализации безопасности, который включает в себя: определение вторым устройством идентификатора сеанса; получение вторым устройством политики безопасности сеанса и, по меньшей мере, один ключ; и идентификацию вторым устройством на основании идентификатора сеанса защищенных данных, которые относятся к сеансу и отправленных первым устройством, и восстановление защищенных данных с использованием, по меньшей мере, одного ключа на основании политики безопасности сеанса для получения данные сеанса, где защищенные данные получают первым устройством путем защиты безопасности данных сеанса с использованием, по меньшей мере, одного ключа на основании политики безопасности сеанса, и первое устройство выполнено с возможностью шифровать данные сеанса с использованием, по меньшей мере, одного ключа на основании политики безопасности для получения защищенных данных; где
когда первое устройство является оконечным устройством, второе устройство является узлом сети доступа или узлом плоскости пользователя, или, когда первое устройство является узлом сети доступа или узлом плоскости пользователя, второе устройство является оконечным устройством.
Со ссылкой на второй аспект, в первой возможной реализации второго аспекта, по меньшей мере, один ключ включает в себя первый ключ и второй ключ, где первый ключ используют для защиты первой безопасности сеанса, и второй ключ используют для защиты второй безопасности сеанса.
Со ссылкой на первую возможную реализацию второго аспекта, во второй возможной реализации второго аспекта, политику безопасности используют для указания режима защиты данных сеанса, и режим защиты представляет собой: защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности или защиту второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности или защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности и защиту вторую безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности.
Со ссылкой на вторую возможную реализацию второго аспекта, в третьей возможной реализации второго аспекта, политику безопасности дополнительно используют для указания, по меньшей мере, одного из первого алгоритма безопасности, второго алгоритма безопасности, длины ключа и времени обновления ключа.
Со ссылкой на третью возможную реализацию второго аспекта, в четвертой возможной реализации второго аспекта длина ключа включает в себя длину первого ключа и/или длину второго ключа, где длину первого ключа используют для представления длины первого ключа, и длину второго ключа используют для представления длины второго ключа.
Со ссылкой на третью возможную реализацию второго аспекта, в пятой возможной реализации второго аспекта время обновления ключа включает в себя время обновления первого ключа и/или время обновления второго ключа, где время обновления первого ключа используют для представления времени обновления первого ключа, и время обновления второго ключа используют для представления времени обновления второго ключа.
Со ссылкой на любую одну из вышеупомянутых возможных реализаций второго аспекта, в шестой возможной реализации второго аспекта, когда второе устройство является узлом плоскости пользователя, определение вторым устройством идентификатора сеанса, конкретно, представляет собой: определение вторым устройством идентификатора сеанса на основании заголовка инкапсуляции, в котором находятся защищенные данные; или определение вторым устройством идентификатора сеанса на основании идентификатора туннеля в заголовке инкапсуляции, в котором находятся защищенные данные; или определение вторым устройством идентификатора сеанса на основании внешнего заголовка IP пакета, в котором находятся защищенные данные; или определение вторым устройством идентификатора сеанса на основании заголовка инкапсуляции, в котором расположены защищенные данные, и внешнего заголовка IP пакета, в котором расположены защищенные данные; или определение вторым устройством идентификатора сеанса на основании заголовка протокольного блока данных, в котором находятся защищенные данные, и заголовка инкапсуляции, в котором расположены защищенные данные; или определение вторым устройством идентификатора сеанса на основании поля параметра в защищенных данных.
Со ссылкой на любую одну из вышеупомянутых возможных реализаций второго аспекта, в седьмой возможной реализации второго аспекта, когда второе устройство является узлом сети доступа, определение вторым устройством идентификатора сеанса, конкретно представляет собой: определение вторым устройством идентификатора сеанса на основании ресурса радиоинтерфейса, занятого сеансом; или определение вторым устройством идентификатора сеанса на основании идентификатора радиоинтерфейса, занятого сеансом; или определение вторым устройством идентификатора сеанса на основании идентификатора радиоканала данных, занятого сеансом; или определение вторым устройством идентификатора сеанса на основании поля параметра в защищенных данных.
Со ссылкой на шестую или седьмую возможную реализацию второго аспекта, в восьмой возможной реализации второго аспекта первая безопасность является конфиденциальностью, и вторая безопасность является целостностью.
Со ссылкой на восьмую возможную реализацию второго аспекта, в девятой возможной реализации второго аспекта поле параметра включает в себя, по меньшей мере, одно из поле первого идентификатора, поле второго идентификатора и поле третьего идентификатора, где первое поле идентификатора используют для указания, что текущее сообщение является сообщением сеанса, второе поле идентификатора используют для указания, по меньшей мере, одного из идентификатора службы, идентификатора сеанса и идентификатора сегмента, и третий идентификатор используют для указания режим защиты сеанса.
Со ссылкой на девятую возможную реализацию второго аспекта, в десятой возможной реализации второго аспекта поле параметра дополнительно включает в себя, по меньшей мере, одно из поле длины, поле пакета и MAC поле, где поле длины используют для указания длины поля параметра, поле пакета используют для указания длины пакета, когда пакет зашифрован, и MAC поле используют для указания, что целостность сеанса защищена.
Со ссылкой на любую одну из вышеупомянутых возможных реализаций второго аспекта, в одиннадцатой возможной реализации второго аспекта, когда второе устройство является узлом сети доступа, получение вторым устройством политики безопасности является, в частности: получение вторым устройством политики безопасности от первого сетевого элемента, где первый сетевой элемент является любым из контроллером аутентификации, контроллером управления ключами, контроллером политики и контроллером ключа.
Со ссылкой на одиннадцатую возможную реализацию второго аспекта, в двенадцатой возможной реализации второго аспекта, когда первый сетевой элемент является контроллером политики, получение вторым устройством политики безопасности от контроллера политики, в частности представляет собой: получение вторым устройством первого запроса, отправленного первым устройством, причем первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; отправку вторым устройством второго запроса в контроллер политики, где второй запрос генерируют на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа; и прием вторым устройством политики безопасности, возвращенной контроллером политики, где политика безопасности генерируется контроллером политики на основании второго запроса.
Со ссылкой на одиннадцатую возможную реализацию второго аспекта, в тринадцатой возможной реализации второго аспекта, когда первый сетевой элемент является контроллером политики, получение вторым устройством политики безопасности от контроллера политики, в частности представляет собой: прием вторым устройством первого запроса, отправленного первым устройством, причем первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; отправку вторым устройством второго запроса в контроллер политики через, по меньшей мере, один сетевой элемент, где второй запрос генерируется на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла доступа к сети; и прием вторым устройством политики безопасности, возвращенной контроллером политики, по меньшей мере, через один сетевой элемент, где политика безопасности генерируется контроллером политики на основании второго запроса.
Со ссылкой на тринадцатую возможную реализацию второго аспекта, в четырнадцатой возможной реализации второго аспекта, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом; или, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом или узел управления мобильностью.
Со ссылкой на одиннадцатую возможную реализацию второго аспекта, в пятнадцатой возможной реализации второго аспекта получение вторым устройством политики безопасности от контроллера политики, в частности, заключается в получении вторым устройством первого запроса, отправленного первым устройством, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; пересылку вторым устройством первого запроса в контроллер политики; и прием вторым устройством политики безопасности базовой сети, возвращенной контроллером политики, и генерирование политики безопасности на основании политики безопасности базовой сети и возможности безопасности узла сети доступа.
Со ссылкой на любую одну из восьмой-пятнадцатой возможных реализаций второго аспекта, в шестнадцатой возможной реализации второго аспекта, когда второе устройство является узлом сети доступа, получение вторым устройством, по меньшей мере, одного ключа, конкретно, представляет собой: отправку вторым устройством третьего запроса в центр управления ключами; прием вторым устройством промежуточного ключа, возвращенного центром управления ключами на основании третьего запроса, где промежуточный ключ получают на основании базовых ключей, и базовые ключи отправляют узлом аутентификации в центр управления ключами; и получение вторым устройством, по меньшей мере, одного ключа на основании промежуточного ключа.
Со ссылкой на шестнадцатую возможную реализацию второго аспекта, в семнадцатой возможной реализации второго аспекта промежуточный ключ получают на основании первого параметра, где первый параметр включает в себя, по меньшей мере, один из идентификатор узла сети доступа, NAS счетчик, порядковый номер для генерирования промежуточного ключа, порядковый номер пакета, одноразовый номер 1, идентификатор канала, идентификатор потока и идентификатор сегмента.
Со ссылкой на семнадцатую возможную реализацию второго аспекта, в восемнадцатой возможной реализации второго аспекта получение вторым устройством, по меньшей мере, одного ключа на основании промежуточного ключа, конкретно, заключается в следующем: получение вторым устройством, по меньшей мере, одного ключа на основании второго параметра и промежуточного ключа, где второй параметр включает в себя, по меньшей мере, один из идентификатор политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, NAS счетчик, одноразовый номер 2, идентификатор ресурса радиоинтерфейса, идентификатор канала радиоинтерфейса, идентификатор сегмента и идентификатор сеанса, и идентификатор алгоритма безопасности представляют собой, по меньшей мере, один из идентификатор алгоритма шифрования сигнализации радиоинтерфейса, идентификатор алгоритма защиты целостности информации радиоинтерфейса, идентификатор алгоритма шифрования плоскости пользователя и идентификатор алгоритма защиты целостности плоскости пользователя.
Со ссылкой на шестнадцатую возможную реализацию второго аспекта, в девятнадцатой возможной реализации второго аспекта, по меньшей мере, один ключ включает в себя, по меньшей мере, один из ключ шифрования сигнализации радиоинтерфейса, ключ шифрования целостности сигнализации радиоинтерфейса, ключ плоскости пользователя и ключ шифрования целостности плоскости пользователя.
Со ссылкой на любую одну из вышеупомянутых возможных реализаций второго аспекта, в двадцатой возможной реализации второго аспекта, когда второе устройство является узлом плоскости пользователя, получение вторым устройством, по меньшей мере, одного ключа, конкретно представляет собой: запрос вторым устройством, по меньшей мере, одного ключа от первого сетевого элемента, где первый сетевой элемент представляет собой любой из контроллер аутентификации, контроллер управления ключами, контроллер политики и контроллер ключей.
Со ссылкой на любую из вышеупомянутых возможных реализаций второго аспекта, в двадцать первой возможной реализации второго аспекта защищенными данными являются данные заголовка, данные полезной нагрузки или пакет, где пакет включает в себя заголовок данных и данные полезной нагрузки.
В соответствии с третьим аспектом предоставляется способ генерирования политики безопасности, который включает в себя: прием контроллером политики запроса политики, отправленного целевым сетевым элементом, где запрос политики включает в себя, по меньшей мере, одну из возможностей безопасности и требование безопасности службы оконечного устройства и требование безопасности узла сети доступа; генерирование контроллером политики политики безопасности на основании целевого параметра, где целевой параметр генерируют на основании первого запроса и включает в себя, по меньшей мере, одно из возможность безопасности оконечного устройства, требования безопасности службы и требования безопасности узла сети доступа; и отправку контроллером политики политики безопасности в узел сети доступа.
Со ссылкой на третий аспект, в первой возможной реализации третьего аспекта целевой параметр дополнительно включает в себя предварительно установленную возможность безопасности оконечного устройства, где предварительно установленную возможность безопасности оконечного устройства получают из контроллера службы аутентификации, Ausf.
Со ссылкой на любую из вышеупомянутых возможных реализаций третьего аспекта, во второй возможной реализации третьего аспекта целевой параметр дополнительно включает в себя требование безопасности сервера, где требование безопасности сервера получают из сервера.
Со ссылкой на любую из вышеупомянутых возможных реализаций третьего аспекта, в третьей возможной реализации третьего аспекта целевой сетевой элемент является узлом сети доступа или сетевым элементом управления сеансом.
Согласно четвертому аспекту предоставляют способ генерирования ключа, который включает в себя: передачу первым устройством третьего запроса узлу аутентификации через узел сети доступа; получение первым устройством базовых ключей на основании третьего запроса, где базовые ключи генерируют после того, как первое устройство и узел аутентификации аутентифицируют друг друга; и получение первым устройством, по меньшей мере, одного ключа на основании базовых ключей.
Со ссылкой на четвертый аспект, в первой возможной реализации четвертого аспекта, получение оконечным устройством, по меньшей мере, одного ключа на основании базовых ключей, конкретно представляет собой: получение оконечным устройством промежуточного ключа на основании базовых ключей; и получение оконечным устройством, по меньшей мере, одного ключа на основании промежуточного ключа.
Со ссылкой на первую возможную реализацию четвертого аспекта, во второй возможной реализации четвертого аспекта, получение первым устройством промежуточного ключа на основании базовых ключей является, в частности, получением оконечным устройством промежуточного ключа на основании первого параметра и базовых ключей, где первый параметр включает в себя, по меньшей мере, один из идентификатор узла сети доступа, NAS счетчик, порядковый номер для генерирования промежуточного ключа, порядковый номер пакета, одноразовый номер 1, идентификатор канала, идентификатор потока и идентификатор сегмента.
Со ссылкой на первую возможную реализацию четвертого аспекта, в третьей возможной реализации четвертого аспекта, получение оконечным устройством, по меньшей мере, одного ключа на основании промежуточного ключа, конкретно представляет собой: получение оконечным устройством, по меньшей мере, одного ключа на основании второго параметра и промежуточного ключа, где второй параметр включает в себя, по меньшей мере, один из идентификатор политики безопасности радиоинтерфейса, идентификатор алгоритма безопасности, NAS счетчик, одноразовый номер 2, идентификатор ресурса радиоинтерфейса, идентификатор канала радиоинтерфейса, идентификатор сегмента и идентификатор сеанса, а также идентификатор алгоритма безопасности представляют собой, по меньшей мере, один из идентификатор алгоритма шифрования сигнализации радиоинтерфейса, идентификатор алгоритма защиты целостности информации радиоинтерфейса, идентификатор алгоритма шифрования плоскости пользователя и идентификатор алгоритма защиты целостности плоскости пользователя.
Со ссылкой на любую из вышеупомянутых возможных реализаций четвертого аспекта, в четвертой возможной реализации четвертого аспекта, по меньшей мере, один ключ включает в себя, по меньшей мере, один из ключа шифрования сигнализации радиоинтерфейса, ключа шифрования целостности сигнализации радиоинтерфейса, ключа плоскости пользователя и ключа шифрования целостности плоскости пользователя.
Согласно пятому аспекту обеспечивается первое устройство, которое включает в себя модуль получения и модуль передачи, где модуль получения выполнен с возможностью получать политику безопасности сеанса и, по меньшей мере, один ключ; и модуль передачи выполнен с возможностью передачи защищенных данных на второе устройство, где защищенные данные получают путем защиты безопасности данных сеанса с использованием, по меньшей мере, одного ключа на основании политики безопасности сеанса, и второе устройство выполнено с возможностью восстанавливать защищенные данные с использованием, по меньшей мере, одного ключа на основании политики безопасности для получения данных сеанса; где, когда первое устройство является оконечным устройством, второе устройство является узлом сети доступа или узлом плоскости пользователя, или когда первое устройство является узлом сети доступа или узлом плоскости пользователя, второе устройство является оконечным устройством.
Со ссылкой на пятый аспект, в первой возможной реализации пятого аспекта, по меньшей мере, один ключ включает в себя первый ключ и второй ключ, где первый ключ используют для защиты первой безопасности сеанса, и второй ключ используют для защиты второй безопасности сеанса.
Со ссылкой на первую возможную реализацию пятого аспекта, во второй возможной реализации пятого аспекта, политику безопасности используют для указания режима защиты данных сеанса, и режим защиты представляет собой: защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности или защиту второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности или защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности и защиту второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности.
Со ссылкой на вторую возможную реализацию пятого аспекта, в третьей возможной реализации пятого аспекта, политику безопасности дополнительно используют для указания, по меньшей мере, одного из первого алгоритма безопасности, второго алгоритма безопасности, длины ключа и времени обновления ключа.
Со ссылкой на третью возможную реализацию пятого аспекта, в четвертой возможной реализации пятого аспекта длина ключа включает в себя длину первого ключа и/или длину второго ключа, где длину первого ключа используют для представления длины первого ключа, а длину второго ключа используют для представления длины второго ключа.
Со ссылкой на третью возможную реализацию пятого аспекта, в пятой возможной реализации пятого аспекта время обновления ключа включает в себя время обновления первого ключа и/или время обновления второго ключа, где время обновления первого ключа используют для представления времени обновления первого ключа, и время обновления второго ключа используют для представления времени обновления второго ключа.
Со ссылкой на любую из вышеупомянутых возможных реализаций пятого аспекта, в шестой возможной реализации пятого аспекта первая безопасность является конфиденциальностью, и вторая безопасность является целостностью.
Со ссылкой на шестую возможную реализацию пятого аспекта, в седьмой возможной реализации пятого аспекта защищенные данные дополнительно включают в себя поле параметра, и поле параметра включает в себя, по меньшей мере, одно из поле первого идентификатора, поле второго идентификатора и поле третьего идентификатора, где поле первого идентификатора используют для указания, что текущее сообщение является сообщением сеанса, поле второго идентификатора используют для указания, по меньшей мере, одного из идентификатора службы, идентификатора сеанса, идентификатора канала, идентификатора потока, идентификатора сегмента и поле третьего идентификатора используют для указания режима защиты сеанса.
Со ссылкой на седьмую возможную реализацию пятого аспекта, в восьмой возможной реализации пятого аспекта поле параметра дополнительно включает в себя, по меньшей мере, одно из поле длины, поле пакета и MAC поле, где поле длины используют для указания поля длины параметра, поле пакета используют для указания длины пакета, когда пакет зашифрован и MAC поле используют для указания, что целостность сеанса защищена.
Со ссылкой на любую из вышеупомянутых возможных реализаций пятого аспекта, в девятом возможном осуществлении пятого аспекта модуль получения специально выполнен с возможностью получать политику безопасности от контроллера политики.
Со ссылкой на девятую возможную реализацию пятого аспекта, в десятой возможной реализации пятого аспекта модуль получения включает в себя блок передачи и блок приема, где блок передачи выполнен с возможностью отправлять первый запрос в узел сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и блок приема выполнен с возможностью принимать политику безопасности, возвращенную узлом сети доступа, где политика безопасности получена узлом сети доступа путем отправки второго запроса в контроллер политики, и второй запрос генерируют узлом сети доступа на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа.
Со ссылкой на девятую возможную реализацию пятого аспекта, в одиннадцатой возможной реализации пятого аспекта модуль получения включает в себя блок передачи и блок приема, где блок передачи выполнен с возможностью отправлять первый запрос в узел сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и блок приема выполнен с возможностью принимать политику безопасности, возвращенную узлом сети доступа, где политика безопасности получена узлом сети доступа путем пересылки второго запроса контроллеру политики через, по меньшей мере, один сетевой элемент, и второй запрос генерируется узлом сети доступа на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа.
Со ссылкой на одиннадцатую возможную реализацию пятого аспекта, в двенадцатой возможной реализации пятого аспекта, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом; или, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом или узел управления мобильностью.
Со ссылкой на девятую возможную реализацию пятого аспекта, в тринадцатой возможной реализации пятого аспекта модуль получения включает в себя блок передачи и блок приема, где блок передачи выполнен с возможностью отправлять первый запрос в узел сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и блок приема выполнен с возможностью принимать политику безопасности, возвращенную узлом сети доступа, где политика безопасности генерируется узлом сети доступа на основании политики безопасности базовой сети и возможности безопасности узла сети доступа и политику безопасности базовой сети генерируют контроллером политики на основании первого запроса, пересылаемого узлом сети доступа.
Со ссылкой на любую из вышеупомянутых возможных реализаций пятого аспекта, в четырнадцатой возможной реализации пятого аспекта, когда второе устройство является узлом сети доступа, модуль получения включает в себя блок передачи, блок получения, и блок извлечения, где блок передачи выполнен с возможностью отправлять третий запрос узлу аутентификации через узел сети доступа; блок получения выполнен с возможностью получать базовые ключи на основании третьего запроса, где базовые ключи генерируют после того, как первое устройство и узел аутентификации аутентифицируют друг друга; и блок извлечения выполнен с возможностью извлекать, по меньшей мере, один ключ на основании базовых ключей.
Со ссылкой на четырнадцатую возможную реализацию пятого аспекта, в пятнадцатой возможной реализации пятого аспекта блок извлечения выполнен с возможностью извлекать промежуточный ключ на основании базовых ключей и извлекать, по меньшей мере, один ключ на основании промежуточного ключа.
Со ссылкой на пятнадцатую возможную реализацию пятого аспекта, в шестнадцатой возможной реализации пятого аспекта блок извлечения выполнен с возможностью извлекать промежуточный ключ на основании первого параметра и базовых ключей, где первый параметр включает в себя, по меньшей мере, один из идентификатора узла сети доступа, счетчика NAS, порядкового номера для генерирования промежуточного ключа, порядкового номера пакета, одноразового номера 1, идентификатора канала, идентификатора потока и идентификатора сегмента.
Со ссылкой на пятнадцатую возможную реализацию пятого аспекта, в семнадцатой возможной реализации пятого аспекта блок извлечения выполнен с возможностью извлекать, по меньшей мере, один ключ на основании второго параметра и промежуточного ключа, где второй параметр включает в себя, по меньшей мере, один из идентификатора политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, счетчика NAS, одноразового номера 2, идентификатора ресурса радиоинтерфейса, идентификатора канала радиоинтерфейса, идентификатора сегмента и идентификатора сеанса и идентификатор алгоритма безопасности представляет собой, по меньшей мере, один из идентификатора алгоритма шифрования сигнализации радиоинтерфейса, идентификатора алгоритма защиты целостности информации радиоинтерфейса, идентификатора алгоритма шифрования плоскости пользователя и идентификатора алгоритма защиты целостности плоскости пользователя.
Со ссылкой на четырнадцатую возможную реализацию пятого аспекта, в восемнадцатой возможной реализации пятого аспекта, по меньшей мере, один ключ включает в себя, по меньшей мере, один из ключ шифрования сигнализации радиоинтерфейса, ключ шифрования целостности сигнализации радиоинтерфейса, ключ плоскости пользователя и ключ шифрования целостности плоскости пользователя.
Со ссылкой на любую из вышеупомянутых возможных реализаций пятого аспекта, в девятнадцатой возможной реализации пятого аспекта защищенными данными являются данные заголовка, данные полезной нагрузки или пакет, где пакет включает в себя данные заголовка и данные полезной нагрузки.
В соответствии с шестым аспектом предоставляют второе устройство, которое включает в себя модуль определения, модуль получения и модуль идентификации, где модуль определения выполнен с возможностью определять идентификатор сеанса; модуль получения выполнен с возможностью получать политику безопасности сеанса и, по меньшей мере, один ключ; и модуль идентификации выполнен с возможностью идентифицировать на основании идентификатора сеанса защищенные данные, которые относятся к сеансу и отправляются первым устройством, и восстанавливать защищенные данные с использованием, по меньшей мере, одного ключа на основе политики безопасности сеанса для получения данных сеанса, где защищенные данные получают первым устройством путем защиты безопасности данных сеанса с использованием, по меньшей мере, одного ключа на основе политики безопасности сеанса, и первое устройство выполнено с возможностью шифровать данные сеанса посредством использование, по меньшей мере, одного ключа на основании политики безопасности для получения защищенных данных; где, когда первое устройство является оконечным устройством, второе устройство является узлом сети доступа или узлом плоскости пользователя, или когда первое устройство является узлом сети доступа или узлом плоскости пользователя, второе устройство является оконечным устройством.
Со ссылкой на шестой аспект, в первой возможной реализации шестого аспекта, по меньшей мере, один ключ включает в себя первый ключ и второй ключ, где первый ключ используют для защиты первой безопасности сеанса, и второй ключ используют для защиты второй безопасности сеанса.
Со ссылкой на первую возможную реализацию шестого аспекта, во второй возможной реализации шестого аспекта, политику безопасности используют для указания режима защиты данных сеанса, и режим защиты представляет собой: защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности или защиту второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности или защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности и защиту второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности.
Со ссылкой на вторую возможную реализацию шестого аспекта, в третьей возможной реализации шестого аспекта политику безопасности дополнительно используют для указания, по меньшей мере, одного из первого алгоритма безопасности, второго алгоритма безопасности, длины ключа и времени обновления ключа.
Со ссылкой на третью возможную реализацию шестого аспекта, в четвертой возможной реализации шестого аспекта длина ключа включает в себя длину первого ключа и/или длину второго ключа, где длину первого ключа используют для представления длина первого ключа, и длину второго ключа используют для представления длины второго ключа.
Со ссылкой на третью возможную реализацию шестого аспекта, в пятой возможной реализации шестого аспекта время обновления ключа включает в себя время обновления первого ключа и/или время обновления второго ключа, где время обновления первого ключа используют для представления времени обновления первого ключа, и время обновления второго ключа используют для представления времени обновления второго ключа.
Со ссылкой на любую одну из вышеупомянутых возможных реализаций шестого аспекта, в шестой возможной реализации шестого аспекта, когда второе устройство является узлом плоскости пользователя, модуль определения специально выполнен с возможностью: определять идентификатор сеанса на основании заголовка инкапсуляции, в котором находятся защищенные данные; или определить идентификатор сеанса на основании идентификатора туннеля в заголовке инкапсуляции, в котором находятся защищенные данные; или определить идентификатор сеанса на основании внешнего заголовка IP пакета, в котором находятся защищенные данные; или определять идентификатор сеанса на основании заголовка инкапсуляции, в котором расположены защищенные данные, и внешнего заголовка IP пакета, в котором находятся защищенные данные; или определять идентификатор сеанса на основании заголовка протокольного блока данных, в котором находятся защищенные данные, и заголовка инкапсуляции, в котором расположены защищенные данные; или определить идентификатор сеанса на основании поля параметра в защищенных данных.
Со ссылкой на любую одну из вышеупомянутых возможных реализаций шестого аспекта, в седьмой возможной реализации шестого аспекта, когда второе устройство является узлом сети доступа, модуль определения специально выполнен с возможностью: определять идентификатор сеанса на основании ресурса радиоинтерфейса, занятого сеансом; или определять идентификатор сеанса на основании идентификатора радиоинтерфейса, занятого сеансом; или определять идентификатор сеанса на основании идентификатора радиоканала данных, занятого сеансом; или определять идентификатор сеанса на основании поля параметра в защищенных данных.
Со ссылкой на шестую или седьмую возможную реализацию шестого аспекта, в восьмой возможной реализации шестого аспекта первая безопасность представляет собой конфиденциальность и вторая безопасность является целостностью.
Со ссылкой на восьмую возможную реализацию шестого аспекта, в девятой возможной реализации шестого аспекта поле параметра включает в себя, по меньшей мере, одно из поле первого идентификатора, поле второго идентификатора и поле третьего идентификатора, где поле первого идентификатора используют для указания того, что текущее сообщение является сообщением сеанса, поле второго идентификатора используют для указания, по меньшей мере, одного из идентификатора службы, идентификатора сеанса и идентификатора сегмента, и поле третьего идентификатора используют для указания режим защиты сеанса.
Со ссылкой на девятую возможную реализацию шестого аспекта, в десятой возможной реализации шестого аспекта поле параметра дополнительно включает в себя, по меньшей мере, одно из поле длины, поля пакета и MAC поле, где поле длины используют для указания поля длины параметра, поле пакета используют для указания длины пакета, когда пакет зашифрован, и MAC поле используют для указания того, что целостность сеанса защищена.
Со ссылкой на любую из вышеупомянутых возможных реализаций шестого аспекта, в одиннадцатой возможной реализации шестого аспекта, когда второе устройство является узлом сети доступа, модуль получения выполнен с возможностью получать политику безопасности от первого сетевого элемента, где первый сетевой элемент представляет собой любой из контроллера аутентификации, контроллера управления ключами, контроллера политик и контроллера ключей.
Со ссылкой на одиннадцатую возможную реализацию шестого аспекта, в двенадцатой возможной реализации шестого аспекта, когда первый сетевой элемент является контроллером политики, модуль получения включает в себя блок приема и блок передачи, где блок приема выполнен с возможностью принимать первый запрос, переданный первым устройством, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; блок передачи выполнен с возможностью передачи второго запроса на контроллер политики, где второй запрос генерируют на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа; и блок приема выполнен с возможностью принимать политику безопасности, возвращенную контроллером политики, где политика безопасности генерируется контроллером политики на основании второго запроса.
Со ссылкой на одиннадцатую возможную реализацию шестого аспекта, в тринадцатой возможной реализации шестого аспекта, когда первый сетевой элемент является контроллером политики, модуль получения включает в себя блок приема и блок передачи, где блок приема выполнен с возможностью принимать первый запрос, отправленный первым устройством, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; блок передачи выполнен с возможностью передачи второго запроса в контроллер политики через, по меньшей мере, один сетевой элемент, где второй запрос генерируют на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа; и блок приема выполнен с возможностью принимать политику безопасности, возвращенную контроллером политики через, по меньшей мере, один сетевой элемент, где политику безопасности генерируют контроллером политики на основании второго запроса.
Со ссылкой на тринадцатую возможную реализацию шестого аспекта, в четырнадцатой возможной реализации шестого аспекта, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом; или, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом или узел управления мобильностью.
Со ссылкой на одиннадцатую возможную реализацию шестого аспекта, в пятнадцатой возможной реализации шестого аспекта модуль получения включает в себя блок приема и блок передачи, где блок приема выполнен с возможностью принимать первый запрос, отправленный первым устройством, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; блок передачи выполнен с возможностью пересылать первый запрос в контроллер политики; и блок приема выполнен с возможностью принимать политику безопасности базовой сети, возвращенную контроллером политики, и генерировать политику безопасности на основании политики безопасности базовой сети и возможности безопасности узла сети доступа.
Со ссылкой на любую одну из восьмой-пятнадцатой возможных реализаций шестого аспекта, в шестнадцатой возможной реализации шестого аспекта, когда второе устройство является узлом сети доступа, модуль получения включает в себя блок передачи, блок приема и блок извлечения, где блок передачи выполнен с возможностью отправлять третий запрос в центр управления ключами; блок приема выполнен с возможностью принимать промежуточный ключ, возвращенный центром управления ключами на основании третьего запроса, где промежуточный ключ извлекают на основании базовых ключей, и базовые ключи отправляют узлом аутентификации в центр управления ключами; и блок извлечения выполнен с возможностью извлекать, по меньшей мере, один ключ на основании промежуточного ключа.
Со ссылкой на шестнадцатую возможную реализацию шестого аспекта, в семнадцатой возможной реализации шестого аспекта промежуточный ключ извлекают на основании первого параметра, где первый параметр включает в себя, по меньшей мере, один из идентификатор узла сети доступа, счетчик NAS, порядковый номер для генерации промежуточного ключа, порядковый номер пакета, одноразовый номер 1, идентификатор канала, идентификатор потока и идентификатор сегмента.
Со ссылкой на семнадцатую возможную реализацию шестого аспекта, в восемнадцатой возможной реализации шестого аспекта блок извлечения выполнен с возможностью извлекать, по меньшей мере, один ключ на основании второго параметра и промежуточного ключа, где второй параметр включает в себя, по меньшей мере, один из идентификатор политики безопасности радиоинтерфейса, идентификатор алгоритма безопасности, счетчик NAS, одноразовый номер 2, идентификатор ресурса радиоинтерфейса, идентификатора канала радиоинтерфейса, идентификатора сегмента и идентификатор сеанса, и идентификатор алгоритма безопасности представляет собой, по меньшей мере, один из идентификатор алгоритма шифрования сигнализации радиоинтерфейса, идентификатора алгоритма защиты целостности информации радиоинтерфейса, идентификатора алгоритма шифрования плоскости пользователя и идентификатор алгоритма защиты целостности плоскости пользователя.
Со ссылкой на шестнадцатую возможную реализацию шестого аспекта, в девятнадцатой возможной реализации шестого аспекта, по меньшей мере, один ключ включает в себя, по меньшей мере, один из ключ шифрования сигнализации радиоинтерфейса, ключ шифрования целостности сигнализации радиоинтерфейса, ключ плоскости пользователя и ключ шифрования целостности плоскости пользователя.
Со ссылкой на любую одну из вышеупомянутых возможных реализаций шестого аспекта, в двадцатой возможной реализации шестого аспекта, когда второе устройство является узлом плоскости пользователя, модуль получения выполнен с возможностью направлять запрос, по меньшей мере, одного ключа от первого сетевого элемента, где первый сетевой элемент представляет собой любой из контроллер аутентификации, контроллер управления ключами, контроллер политик и контроллер ключей.
Со ссылкой на любую из вышеупомянутых возможных реализаций шестого аспекта, в двадцать первой возможной реализации шестого аспекта защищенными данными являются данные заголовка, данные полезной нагрузки или пакет, где пакет включает в себя заголовок данные и данные полезной нагрузки.
Согласно седьмому аспекту предоставляют контроллер политики, который включает в себя модуль приема, модуль генерирования и модуль передачи, где модуль приема выполнен с возможностью принимать запрос политики, отправленный целевым сетевым элементом, где запрос политики включает в себя, по меньшей мере, одно из: возможность безопасности и требования безопасности службы оконечного устройства и требования безопасности узла сети доступа; модуль генерирования выполнен с возможностью генерировать политику безопасности на основании целевого параметра, где целевой параметр генерируют на основании первого запроса и включает в себя, по меньшей мере, одну из возможностей безопасности оконечного устройства, требования безопасности службы и требования безопасности узла сети доступа; и модуль передачи выполнен с возможностью отправлять политику безопасности узлу сети доступа.
Со ссылкой на седьмой аспект, в первой возможной реализации седьмого аспекта целевой параметр дополнительно включает в себя предварительно установленную возможность безопасности оконечного устройства, где предварительно установленная возможность безопасности оконечного устройства получают из контроллера службы аутентификации. Ausf.
Со ссылкой на любую из вышеупомянутых возможных реализаций седьмого аспекта, во второй возможной реализации седьмого аспекта целевой параметр дополнительно включает в себя требование безопасности сервера, где требование безопасности сервера получают из сервера.
Со ссылкой на любую из вышеупомянутых возможных реализаций седьмого аспекта, в третьей возможной реализации седьмого аспекта целевой сетевой элемент является узлом сети доступа или сетевым элементом управления сеансом.
Согласно восьмому аспекту предоставляют первое устройство, которое включает в себя модуль передачи, модуль получения и модуль извлечения, где модуль передачи выполнен с возможностью отправлять третий запрос узлу аутентификации через узел сети доступа; модуль получения выполнен с возможностью получать базовые ключи на основании третьего запроса, где базовые ключи генерируют после того, как первое устройство и узел аутентификации аутентифицируют друг друга; и модуль извлечения выполнен с возможностью извлекать, по меньшей мере, один ключ на основании базовых ключей.
Со ссылкой на восьмой аспект, в первой возможной реализации восьмого аспекта модуль извлечения выполнен с возможностью извлекать промежуточный ключ на основании базовых ключей и извлекать, по меньшей мере, один ключ на основании промежуточного ключа.
Со ссылкой на первую возможную реализацию восьмого аспекта, во второй возможной реализации восьмого аспекта модуль извлечения выполнен с возможностью получать промежуточный ключ на основании первого параметра и базовых ключей, где первый параметр включает в себя, по меньшей мере, один из идентификатор узла сети доступа, счетчик NAS, порядковый номер для генерирования промежуточного ключа, порядковый номер пакета, одноразовый номер 1, идентификатор канала, идентификатор потока и идентификатора сегмента.
Со ссылкой на первую возможную реализацию восьмого аспекта, в третьей возможной реализации восьмого аспекта модуль извлечения выполнен с возможностью извлекать, по меньшей мере, один ключ на основании второго параметра и промежуточного ключа, где второй параметр включает в себя, по меньшей мере, один из идентификатор политики безопасности радиоинтерфейса, идентификатор алгоритма безопасности, счетчик NAS, одноразовый номер 2, идентификатор ресурса радиоинтерфейса, идентификатор канала радиоинтерфейса, идентификатор сегмента и идентификатор сеанса, а также идентификатор алгоритма безопасности представляет собой, по меньшей мере, один из идентификатора алгоритма шифрования сигнализации радиоинтерфейса, идентификатора алгоритма защиты целостности информации радиоинтерфейса, идентификатора алгоритма шифрования плоскости пользователя и идентификатора алгоритма защиты целостности плоскости пользователя.
Со ссылкой на любую одну из вышеупомянутых возможных реализаций восьмого аспекта, в четвертой возможной реализации восьмого аспекта, по меньшей мере, один ключ включает в себя, по меньшей мере, один из ключ шифрования сигнализации радиоинтерфейса, ключ шифрования целостности сигнализации радиоинтерфейса, ключ плоскости пользователя и ключ шифрования целостности плоскости пользователя.
В соответствии с девятым аспектом предоставляют первое устройство, которое включает в себя память и процессор, передатчик и приемник, которые соединены с памятью, где передатчик выполнен с возможностью отправлять данные, приемник выполнен с возможностью принимать данные, отправленные извне, память выполнена с возможностью хранить код для реализации способа, описанного в первом аспекте, и процессор выполнен с возможностью выполнять программный код, сохраненный в памяти, для выполнения способа, описанного в первом аспекте.
В соответствии с десятым аспектом предоставляют второе устройство, которое включает в себя память и процессор, передатчик и приемник, которые соединены с памятью, где передатчик выполнен с возможностью отправлять данных, приемник выполнен с возможностью принимать данные, отправленные извне, память выполнена с возможностью хранить код для реализации способа, описанного во втором аспекте, и процессор выполнен с возможностью выполнять программный код, сохраненный в памяти, для выполнения способа, описанного во втором аспекте.
В соответствии с тринадцатым аспектом предоставляют контроллер политики, который включает в себя память и процессор, передатчик и приемник, которые соединены с памятью, где передатчик выполнен с возможностью отправлять данные, приемник выполнен с возможностью принимать данные, отправленные извне, память выполнена с возможностью хранить код для реализации способа, описанного в третьем аспекте, и процессор выполнен с возможностью выполнять программный код, сохраненный в памяти, для выполнения способа, описанного в третьем аспекте.
В соответствии с четырнадцатым аспектом предоставляют первое устройство, которое включает в себя память и процессор, передатчик и приемник, которые соединены с памятью, где передатчик выполнен с возможностью отправлять данные, приемник выполнен с возможностью принимать данные, отправленные извне, память выполнена с возможностью хранить код для реализации способа, описанного в четвертом аспекте, и процессор выполнен с возможностью выполнять программный код, сохраненный в памяти, для выполнения способа, описанного в четвертом аспекте.
Согласно пятнадцатому аспекту, предоставляют носитель данных, который выполнен с возможностью хранить код для реализации способа в первом аспекте.
Согласно шестнадцатому аспекту, предоставляют носитель данных, который выполнен с возможностью хранить код для реализации способа во втором аспекте.
Согласно семнадцатому аспекту, предоставляют носитель данных, который выполнен с возможностью хранить код для реализации способа в третьем аспекте.
Согласно восемнадцатому аспекту, предоставляют носитель данных, который выполнен с возможностью хранить код для реализации способа в четвертом аспекте.
В соответствии с девятнадцатым аспектом предоставляют систему связи, где система связи включает в себя первое устройство и второе устройство, где первое устройство соединено со вторым устройством; первое устройство является устройством по любому из пятого аспекта; и второе устройство является устройством по любому из шестого аспекта.
В реализациях вариантов осуществления настоящего изобретения первое устройство выполняет защиту безопасности данных сеанса с использованием политики безопасности и, по меньшей мере, одного ключа для получения защищенных данных, и второе устройство восстанавливает защищенные данные на основании той же политики безопасности и, по меньшей мере, одного ключа для получения данных сеанса. В вариантах осуществления настоящего изобретения реализована сквозная защита. После того, как данные сеанса отправляют с первого устройства (одна сторона) и до того, как данные сеанса достигают второго устройства (другой стороны), данные сеанса всегда находятся в состоянии защиты безопасности. Это предотвращает незаконное использование данных сеанса во время передачи. Дополнительно, в процессе передачи данных сеанса не требуется выполнять шифрование и восстановление на промежуточном узле, через который проходят данные сеанса, и, следовательно, могут быть эффективно сохранены ресурсы.
Краткое описание чертежей
С целью более подробного изложения технических решений в вариантах осуществления настоящего изобретения или в разделе «Уровень техники», ниже кратко описаны сопроводительные чертежи, необходимые для описания вариантов осуществления настоящего изобретения или уровня техники.
Фиг. 1 является схемой сетевой архитектуры согласно варианту осуществления настоящего изобретения;
Фиг. 2 является блок-схемой алгоритма способа реализации безопасности в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 3А является первой структурной схемой пакета в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 3B является второй структурной схемой пакета в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 4 является структурной схемой протокольного блока данных в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 5 является схемой стека протоколов и пакета инкапсуляции согласно варианту осуществления настоящего изобретения;
Фиг. 6А является первой схемой взаимодействия для получения политики безопасности первым устройством и вторым устройством от контроллера политики в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 6B является второй схемой взаимодействия для получения политики безопасности первым устройством и вторым устройством от контроллера политики в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 6C является третьей схемой взаимодействия для получения политики безопасности первым устройством и вторым устройством от контроллера политики в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 6D является четвертой схемой взаимодействия для получения политики безопасности первым устройством и вторым устройством от контроллера политики в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 7 является схемой взаимодействия способа получения по меньшей мере одного ключа первым устройством и вторым устройством от сетевого элемента службы аутентификации в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 8 является схемой заголовка инкапсуляции согласно варианту осуществления настоящего изобретения;
Фиг. 9 является схемой внешнего IP-заголовка согласно варианту осуществления настоящего изобретения;
Фиг. 10 является схемой ресурса радиоинтерфейса, занятого сеансом согласно варианту осуществления настоящего изобретения;
Фиг. 11 является схемой радиоканала, занятого сеансом согласно варианту осуществления настоящего изобретения;
Фиг. 12 является структурная схемой первого устройства в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 13 является первой структурной схемой модуля получения первого устройства в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 14 является второй структурной схемой модуля получения первого устройства в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 15 является структурной схемой второго устройства в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 16 является первой структурной схемой модуля получения второго устройства в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 17 является второй структурной схемой модуля получения второго устройства в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 18 является структурной схемой контроллера политики согласно варианту осуществления настоящего изобретения;
Фиг. 19 является структурная схема первого устройства согласно варианту осуществления настоящего изобретения;
Фиг. 20 является структурной схемой первого устройства согласно варианту осуществления настоящего изобретения;
Фиг. 21 является структурной схемой второго устройства согласно варианту осуществления настоящего изобретения; и
Фиг. 22 является структурной схемой контроллера политики согласно варианту осуществления настоящего изобретения.
Осуществление изобретения
Для простоты понимания решений, во-первых, ниже приведено описание, используя пример со ссылкой на прилагаемый чертеж, сетевой архитектуры, к которой могут применяться решения вариантов осуществления настоящего изобретения. Как показано на фиг. 1, усовершенствованная архитектура сети мобильной связи включает в себя оконечное устройство 110, узел 120 сети доступа и узел 130 плоскости пользователя. Оконечное устройство 110 осуществляет доступ к сети оператора с использованием узла 120 сети доступа для осуществления связи с узлом 130 плоскости пользователя.
Оконечное устройство 110 является логическим объектом и может быть, в частности, любым из устройством пользователя, устройством связи и устройством интернета вещей (IoT). Устройство пользователя может быть смартфоном, умными часами (smartwatch), умным планшетом или тому подобное. Устройство связи может быть сервером, шлюзом (GW), базовой станцией, контроллером или тому подобным. Устройство интернета вещей может представлять собой датчик, счетчик электроэнергии, счетчик воды или тому подобное.
Узел 120 сети доступа (AN) может быть точкой беспроводного доступа, например, базовой станцией, точкой доступа Wi-Fi (беспроводная достоверность) или точкой доступа Bluetooth; или может быть проводной точкой доступа, например, шлюзом, модемом, оптоволокном или IP-доступом.
Узел 130 плоскости пользователя может быть шлюзом, сервером, контроллером, функциональным сетевым элементом плоскости пользователя или оконечным устройством. Узел 130 плоскости пользователя может быть расположен в сети оператора или может быть расположен вне сети оператора. Следует понимать, что узел 130 плоскости пользователя, расположенный вне сети оператора на фиг. 1 является просто примером, и не должен представлять собой конкретное ограничение. Кроме того, в реальном приложении узел 130 плоскости пользователя может быть оконечным устройством или может быть сетевым элементом управления, таким как шлюз, сервер, контроллер или сетевой элемент функции плоскости пользователя. Следует понимать, что узел 130 плоскости пользователя, представленный оконечным устройством на фиг. 1 является просто примером, и не должен представлять собой конкретное ограничение.
Сеть оператора включает в себя контроллер 140 политики (PCF), центр 150 управления ключами (KMS) и т.п.
Контроллер 140 политики выполнен с возможностью управлять политикой безопасности в сети. PCF может быть развернута как независимый объект логической функции или может быть интегрирована в устройство, такое как сетевой элемент управления мобильностью (MM), сетевой элемент управления сеансом (SM), контроллер службы аутентификации (AUSF), функция политики и правил тарификации (PCRF), узел управления мобильностью (MME), домашний абонентский сервер (HSS), центр аутентификации (AuC), сетевой элемент аутентификации и обработки учетных данных аутентификации (ARPF), сетевой элемент управления контекстом безопасности (SCMF), сетевой элемент функции управления доступом и мобильностью (AMF), узел доступа (AN) или узел плоскости пользователя (UPF).
Центр 150 управления ключами (KMS) выполнен с возможностью генерировать, управлять и согласовывать ключ. KMS может быть развернут как независимый объект логической функции или может быть интегрирован в устройство, такое как сетевой элемент управления мобильностью (MM), сетевой элемент управления сеансом (SM), контроллер службы аутентификации (AUSF), сетевой элемент функции привязки безопасности (SEAF), узел управления мобильностью (MME), домашний абонентский сервер (HSS), центр аутентификации (AuC), сетевой элемент аутентификации и обработки учетных данных аутентификации (ARPF), сетевой элемент управления контекстом безопасности (SCMF), сетевой элемент функции управления доступом и мобильностью (AMF), узел доступа (AN), узел плоскости пользователя (UPF) или блок аутентификации (CP-AU). Впоследствии, физический объект, реализующий функцию центра управления ключами, может называться устройством управления ключами.
Сетевой элемент управления мобильностью выполнен с возможностью управлять информацией о местоположении, безопасностью и непрерывностью обслуживания оконечного устройства. Впоследствии физический объект, реализующий функцию сетевого элемента управления мобильностью, может быть непосредственно упомянут как устройство управления мобильностью или MM.
Сетевой элемент управления сеансом выполнен с возможностью устанавливать и управлять сеансом, сегментом, потоком или каналом. Впоследствии физический объект, реализующий функцию сетевого элемента управления сеансом, может упоминаться как устройство управления сеансом или SM. Сетевой элемент управления мобильностью выполнен с возможностью устанавливать и управлять сегментом, потоком потока или каналом.
Контроллер службы аутентификации выполнен с возможностью генерировать, управлять и согласовывать ключи. AUSF может быть развернута как независимый объект логической функции или может быть интегрирована в устройство, такое как сетевой элемент управления мобильностью (MM) или сетевой элемент управления сеансом (SM).
Узел управления мобильностью используют для управления доступом, включающий в себя функции управления безопасностью и разрешениями, управления мобильностью, присоединения и отсоединения, а также управления сеансом, и когда у пользователя есть запрос на обслуживание данных, выбор шлюза данных или обслуживающего шлюза для пересылки данных пользователя и тому подобное.
Домашний абонентский сервер выполнен с возможностью управлять и вызывать базу пользовательских данных. База пользовательских данных включает в себя идентификатор пользователя и файл конфигурации пользователя, где файл конфигурации пользователя включает в себя информацию о корневом ключе пользователя и может дополнительно включать в себя контент, такой как предварительно установленные возможности безопасности и параметр пользователя. HSS в основном отвечает за управление данными подписки пользователя и информацией о местоположении мобильного пользователя.
Центр аутентификации выполнен с возможностью хранить алгоритм аутентификации и ключ для обеспечения безопасности различных параметров конфиденциальности и предоставления параметра аутентификации в регистр местоположения пользователя (HLR, HSS, ARPF, MME или AUSF).
Сетевой элемент функции хранилища учетных данных и обработки аутентификации выполнен с возможностью выполнять управление ключами и их генерации, а также обработку аутентификации.
Сетевой элемент управления контекстом безопасности выполнен с возможностью выполнения управлять контекстом безопасности, включающий в себя управление ключами, генерацию и распространение.
Сетевой элемент функции управления доступом и мобильностью (AMF) отвечает за контроль доступа и управление мобильностью.
Следует отметить, что логические отношения между различными сетевыми элементами отражены на фиг. 1. Фактически, некоторые сетевые элементы могут быть развернуты независимо, или каждые два или более сетевых элементов объединены в один объект для развертывания. Например, SM и MM развернуты в одном объекте; или SM и MM развернуты в разных объектах соответственно; или AMF и SEAF развернуты вместе.
На основании архитектуры на фиг. 1, для реализации сквозной защиты безопасности от первого устройства) ко второму устройству, вариант осуществления настоящего изобретения предоставляет способ реализации безопасности. Когда первое устройство является оконечным устройством, второе устройство является узлом сети доступа или узлом плоскости пользователя, или, когда первое устройство является узлом сети доступа или узлом плоскости пользователя, второе устройство является оконечным устройством. Как показано на фиг. 2, способ реализации безопасности, обеспечиваемый этим вариантом осуществления настоящего изобретения, включает в себя следующие этапы.
210. Первое устройство получает политику безопасности сеанса и, по меньшей мере, один ключ.
220. Второе устройство получает политику безопасности сеанса и, по меньшей мере, один ключ.
В этом варианте осуществления настоящего изобретения сеанс имеет уникальный идентификатор сеанса, то есть, идентификатор сеанса используют для идентификации идентификатора сеанса. Идентификатор сеанса может быть сгенерирован любым из оконечным устройством, узлом сети доступа, сетевым элементом управления мобильностью, сетевым элементом управления сеансом и контроллером политики. Когда идентификатор сеанса генерируют оконечным устройством, идентификатор сеанса генерируется, когда оконечное устройство готовится установить сеанс. Когда идентификатор сеанса генерируется любым из узлом сети доступа, сетевым элементом управления мобильностью, сетевым элементом управления сеансом и контроллером политики, идентификатор сеанса генерируется, когда любой из узла сети доступа, сетевой элемент управления мобильностью, сетевой элемент управления сеансом и контроллер политики получает запрос, отправленный другим сетевым элементом. Идентификатор сеанса может быть новым идентификатором или может быть другим идентификатором, который используется повторно, например, любым из идентификатора радиоинтерфейса, идентификатора радиоканала, идентификатора сегмента, идентификатора ресурса радиоинтерфейса, постоянного идентификатора устройства, временного идентификатора устройства, постоянного идентификатора пользователя и временного идентификатора пользователя.
В этом варианте осуществления настоящего изобретения политику безопасности используют для указания режима защиты сеанса, например, для указания, какой тип или какие типы безопасности сеанса должны быть защищены. В дополнение к указанию того, какой тип или какие типы безопасности сеанса должны быть защищены, политика безопасности сеанса может дополнительно указывать, по меньшей мере, один из алгоритма безопасности, используемого каждым типом защиты безопасности, длины используемого ключа и времени обновления ключа.
В этом варианте осуществления настоящего изобретения безопасность сеанса включает в себя конфиденциальность, целостность, отсутствие отказа и тому подобное. Конфиденциальность сеанса указывает на то, что сеанс становится нечитаемым зашифрованным текстом после того, как сеанс обрабатывается с использованием алгоритма, чтобы достичь цели предотвращения незаконного использования и чтения данных сеанса. Целостность сеанса указывает, что данные сеанса незаконно не добавляются, не удаляются, не заменяются и т.п. в процессе передачи. Отсутствие отказа от сеанса указывает, что две стороны вызова в сеансе не могут отказаться от контента сеанса и их действий по отправке сеанса. Защита безопасности сеанса реализуется с использованием алгоритма безопасности и, по меньшей мере, одного ключа для обработки сеанса.
В этом варианте осуществления настоящего изобретения алгоритм безопасности может быть любым из алгоритмов, таких как нуль, AES, Snow 3G и ZUC, где ноль представляет нулевой алгоритм. Длина ключа может быть любой из таких длин, как 64 бита, 96 бит, 128 бит, 192 бита и 256 бит. Время обновления ключа может быть любым, например, 6 часов, 12 часов, 24 часа и 48 часов. Алгоритм безопасности, длина ключа и время обновления ключа используются только в качестве примера для описания и не должны ограничивать настоящее изобретение.
Может быть понятно, что может быть реализовано множество защит безопасности сеанса с использованием одного и того же алгоритма безопасности, одного и того же ключа и одного и того же времени обновления ключа для обработки сеанса или может быть реализовано с использованием разных алгоритмов безопасности, разных ключей и разного времени обновления ключа для обработки сеанса. Например, в конкретном варианте осуществления, когда конфиденциальность и целостность сеанса защищены, для конфиденциальности используемым алгоритмом безопасности является алгоритм Snow 3G, длина ключа составляет 64 бита и время обновления ключа составляет 6 часов; и для целостности, используемый алгоритм безопасности является алгоритм Snow 3G, длина ключа составляет 64 бита и время обновления ключа составляет 6 часов. В другом конкретном варианте осуществления, когда конфиденциальность и целостность сеанса защищены, для конфиденциальности используемым алгоритмом безопасности является алгоритм Snow 3G, длина ключа составляет 64 бита, и время обновления ключа составляет 6 часов; и для целостности, используемый алгоритм безопасности является алгоритмом ZUC, длина ключа составляет 128 битов и время обновления ключа составляет 12 часов.
В конкретном варианте осуществления режимы защиты сеанса включают в себя следующие три режима: защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности: защиту второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности; и защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности и защиту второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности. Длина ключа включает в себя длину первого ключа и/или длину второго ключа. Длину первого ключа используют для представления длины первого ключа и длину второго ключа используют для представления длины второго ключа. Первая длина ключа и вторая длина ключа могут быть одинаковыми или могут отличаться. Время обновления ключа включает в себя время обновления первого ключа и/или время обновления второго ключа. Время обновления первого ключа используют для представления времени обновления первого ключа и время обновления второго ключа используют для представления времени обновления второго ключа. Время обновления первого ключа и время обновления второго ключа могут быть одинаковыми или могут отличаться. В настоящем документе первая безопасность сеанса является конфиденциальностью сеанса, и вторая безопасность сеанса является целостностью сеанса. Соответственно, первый алгоритм безопасности представляет собой любой из таких алгоритмов, как нуль, 3DES, AES, Snow 3G, Blowfish, Serpent, ZUC, HC-256 и Grain. Второй алгоритм безопасности является любым из таких алгоритмов, как ноль, AES, ZUC, Snow 3G, HMAC, OMAC, CBC-MAC, PMAC, UMAC и VMAC. Первый алгоритм безопасности и второй алгоритм безопасности могут быть одинаковыми или могут отличаться.
На основании вышеприведенных описаний может быть известно, что контент политики безопасности сеанса может включать в себя, но не ограничивается, по меньшей мере, одним из идентификатора алгоритма, длины ключа и времени обновления ключа.
Первый идентификатор алгоритма и второй идентификатор алгоритма соответственно используют для указания алгоритма безопасности, используемого для первой безопасности, и алгоритма безопасности, используемого для второй безопасности. Альтернативно, когда алгоритм безопасности, используемый для первой безопасности, и алгоритм безопасности, используемый для второй безопасности, различаются, то идентификаторы алгоритма включают в себя первый идентификатор алгоритма и второй идентификатор алгоритма, где первый идентификатор алгоритма используют для представления алгоритма безопасности, используемого для первого идентификатора безопасности, и идентификатор второго алгоритма используют для представления алгоритма безопасности, используемого для второго алгоритма безопасности; или, когда алгоритм безопасности, используемый для первой безопасности, и алгоритм безопасности, используемый для второй безопасности, являются одинаковыми, идентификаторы алгоритма могут включать в себя первый идентификатор алгоритма и второй идентификатор алгоритма, где идентификатор первого алгоритма и идентификатор второго алгоритма одинаковы или только один идентификатор алгоритма используется для указания алгоритма безопасности, используемого для первой безопасности, и алгоритма безопасности, используемого для второй безопасности, и, в этом случае, алгоритм безопасности, используемый для первой безопасности, и алгоритм безопасности, используемый для второй безопасности являются одним и тем же алгоритмом безопасности.
Длина первого ключа и длина второго ключа соответственно используются для указания длины ключа, используемого для первой безопасности, и длины ключа, используемого для второй безопасности. Альтернативно, когда длина ключа, используемого алгоритмом безопасности для первой безопасности, и длина ключа, используемого алгоритмом для второй безопасности, отличаются, длины ключа включают в себя длину первого ключа и длину второго ключа, где длину первого ключа используют для указания длины ключа, используемого алгоритмом безопасности для первой безопасности, и длину второго ключа используют для указания длины ключа, используемого алгоритмом безопасности для второй безопасности; или, когда длина ключа, используемого алгоритмом безопасности для первой безопасности, и ключа, используемого алгоритмом для второй безопасности, одинакова, то длина ключа может включать в себя длину первого ключа и длину второго ключа, где длина первого ключа и длина второго ключа одинаковы, или используют только одну длину ключа для указания длины ключа, используемого для первой безопасности, и длину ключа, используемого для второй безопасности, и, в этом случае, длина ключа, используемый для первой безопасности, и длина ключа, используемого для второй з безопасности, одинаковы.
Первое время обновления ключа и второе время обновления ключа соответственно используют для указания времени обновления ключа, используемого алгоритмом безопасности для первой безопасности, и времени обновления ключа, используемого алгоритмом безопасности для второй безопасности. В качестве альтернативы, когда время обновления ключа, используемого алгоритмом безопасности для первой безопасности, и время обновления ключа, используемого алгоритмом для второй безопасности, отличаются, то время обновления ключа включает в себя время обновления первого ключа и время обновления второго ключа, где время обновления первого ключа используют для указания времени обновления ключа, используемого алгоритмом безопасности для первой безопасности, и время обновления второго ключа используют для указания времени обновления ключа, используемого алгоритмом безопасности для второй безопасности; или, когда время обновления ключа, используемого алгоритмом безопасности для первой безопасности, и время обновления ключа, используемого алгоритмом для второй безопасности, одинаковы, то время обновления ключа может включать в себя время обновления первого ключа и время обновления второго ключа, когда время обновления первого ключа и время обновления второго ключа совпадают, или только одно время обновления ключа используют для указания времени обновления ключа, используемого алгоритмом безопасности для первой безопасности, и времени обновления ключа, используемый алгоритмом безопасности для второй безопасности, и в этом случае, время обновления ключа, используемого алгоритмом безопасности для первой безопасности, и время обновления ключа, используемого алгоритмом безопасности для второй безопасности, является одинаковым.
Кроме того, в контенте политики безопасности сеанса первый бит и второй бит могут быть дополнительно установлены дополнительно, где первый бит используется для указания того, нужно ли защищать первую безопасность и второй бит используют для указания, должна ли быть защищена вторая безопасность. Например, когда первый бит равен «0», он используется для указания, что первую безопасность не нужно защищать; или, когда первый бит равен «1», он используется для указания, что первая безопасность должна быть защищена. Когда второй бит равен «0», он используется для указания, что вторая безопасность не нуждается в защите; или когда второй бит равен «1», он используется для указания, что вторая безопасность должна быть защищена.
Формат политики безопасности включает в себя множество форм. В конкретном варианте осуществления формат политики безопасности является следующим: Политика безопасности = бит 1 || первый идентификатор алгоритма безопасности || длина первого ключа || время обновления первого ключа || бит 2 || второй идентификатор алгоритма безопасности || длина второго ключа || временя обновления второго ключа, где, когда бит 1 равен 0, он указывает, что первая безопасность не нуждается в защите; когда бит 1 равен 1, это указывает, что первая безопасность должна быть защищена; первый идентификатор алгоритма безопасности используется для представления используемого первого алгоритма безопасности; когда бит 2 равен 0, это указывает, что вторая безопасность не нуждается в защите; когда бит 2 равен 1, это указывает на то, что вторая безопасность должна быть защищена; и идентификатор второго алгоритма безопасности используется для представления используемого второго алгоритма безопасности. В качестве альтернативы возможен следующий способ: Политика безопасности = первый идентификатор алгоритма безопасности || длина первого ключа || второй идентификатор алгоритма безопасности || длина второго ключа. В качестве альтернативы возможен следующий способ: Политика безопасности = первый идентификатор алгоритма безопасности || второй идентификатор алгоритма безопасности || длина ключа ||, и в этом случае, длины ключей двух безопасностей одинаковы.
В этом варианте осуществления настоящего изобретения политика безопасности может быть политикой безопасности радиоинтерфейса или политикой безопасности сеанса. Когда политику безопасности используют для защиты безопасности между оконечным устройством и узлом сети доступа (включающие в себя восходящую и нисходящую линии связи), политика безопасности является политикой безопасности радиоинтерфейса. Когда политику безопасности используют для защиты безопасности между оконечным устройством и узлом плоскости пользователя (включающей в себя восходящую и нисходящую линии связи), политика безопасности является политикой безопасности сеанса. Политика безопасности базовой сети включает в себя политику безопасности сеанса и политику безопасности радиоинтерфейса.
В этом варианте осуществления настоящего изобретения политика безопасности и, по меньшей мере, один ключ, полученный первым устройством, являются такими же, как те, которые получены вторым устройством. Например, политикой безопасности, полученной первым устройством, является «бит 1 || первый идентификатор алгоритма безопасности || длина первого ключа || время обновления первого ключа || бит 2 || второй идентификатор алгоритма безопасности || длина второго ключа || второй бит времени обновления ключа», и политика безопасности, полученная вторым устройством, также «бит 1 || первый идентификатор алгоритма безопасности || длина первого ключа || время обновления первого ключа || бит 2 || второй идентификатор алгоритма безопасности || длина второго ключа || бит времени обновления второго ключа». По меньшей мере, один ключ, полученный первым устройством, представляет собой «0011 0011 1011 1101», и, по меньшей мере, один ключ, полученный вторым устройством, представляет собой «0011 0011 1011 1101».
В этом варианте осуществления настоящего изобретения первое устройство и второе устройство могут получать политику безопасности от контроллера политики, и первое устройство и второе устройство могут получать, по меньшей мере, один ключ из сетевого элемента службы аутентификации. Способ получения политики безопасности первым устройством и вторым устройством от контроллера политики и способ получения, по меньшей мере, одного ключа первым устройством и вторым устройством из сетевого элемента службы аутентификации подробно описаны ниже, и не описаны здесь.
Понятно, что первое устройство и второе устройство могут дополнительно получать политику безопасности от другого сетевого элемента в дополнение к контроллеру политики. Например, если контроллер политики отправил политику безопасности стороннему сетевому элементу, то первое устройство и второе устройство могут получить политику безопасности от стороннего сетевого элемента. В качестве альтернативы, если контроллер политики отправил политику безопасности второму устройству, первое устройство может напрямую запросить политику безопасности у второго устройства.
230. Первое устройство выполняет защиту безопасности для данных сеанса с использованием, по меньшей мере, одного ключа на основании политики безопасности сеанса для получения защищенных данных.
В этом варианте осуществления настоящего изобретения защищенные данные могут быть любыми из данных заголовка, данных полезной нагрузки и пакета. Данные заголовка используют для записи информации о данных сеанса, данные полезной нагрузки используют для записи реальных данных сеанса, и пакет включает в себя данные заголовка и данные полезной нагрузки. Чтобы быть конкретным, защищенные данные могут быть частью или целым пакета. Первое устройство обеспечивает защиту только для данных заголовка или данных полезной нагрузки. Это может не только защитить безопасность сеанса, но и избежать большого объема вычислений, вызванного выполнением защиты всего пакета. Кроме того, обычно объем данных заголовка намного меньше, чем объем данных пакета. Следовательно, выполнение защиты безопасности только для данных заголовка может значительно уменьшить объем вычислений в защите безопасности. Выполнение защиты безопасности для всего пакета первым устройством может повысить сложность взлома и повысить надежность защиты безопасности. При фактическом использовании защита безопасности может быть выборочно выполнена для данных заголовка, данных полезной нагрузки или пакета в соответствии с требованием.
В некоторых необязательных вариантах осуществления, как показано на фиг. 3А и фиг. 3B, защищенные данные дополнительно включают в себя поле параметра, где поле параметра включает в себя, по меньшей мере, одно из поле первого идентификатора, поле второго идентификатора и поле третьего идентификатора. Поле первого идентификатора используют для указания, что текущее сообщение является сообщением сеанса. Поле второго идентификатора используют для указания, по меньшей мере, одного из идентификатора услуги, идентификатора сеанса, идентификатора канала, идентификатора потока (потока) и идентификатора сегмента. Третий идентификатор используют для указания режима защиты сеанса. Поле параметра дополнительно включает в себя счетчик и, кроме того, может дополнительно включать в себя, по меньшей мере, одно из поля длины, поля заполнения, MAC поля и поля времени обновления алгоритма. Счетчик используется для указания порядкового номера пакета. Поле длины используют для указания длины поля параметра, или длины всего пакета, или длины полезной нагрузки. Когда поле заполнения используется для шифрования, поле заполнения удовлетворяет требованию алгоритма шифрования по длине сообщения. MAC поле является параметром защиты целостности после защиты целостности данных. Поле времени обновления алгоритма используют для указания времени обновления алгоритма. Когда защищенные данные представляют собой пакет, формат защищенных данных может быть показан на фиг. 3A. Когда защищенные данные являются полезной нагрузкой, формат защищенных данных может быть показан на фиг. 3B. Форматы защищенных данных, показанные на фиг. 3А и фиг. 3B являются просто примерами для описания и не должны составлять конкретные ограничения для этого варианта осуществления настоящего изобретения.
Следует понимать, что все защищенные данные, по существу, являются протокольными блоками данных (Protocol Data Unit, PDU). Фиг. 4 показывает возможный защищенный PDU данных. Как показано на фиг. 4, PDU включает в себя PDU заголовок (PDU header), ноль или более блоков служебных данных (Service Data Unit, SDU) и ноль или более элементов управления информацией (Control element) и может дополнительно включать в себя бит заполнения (padding). PDU заголовок может включать в себя один или несколько подзаголовков (subheader), и подзаголовок включает в себя шесть полей (R/R/E/LCID/F/L) или четыре поля (R/R/E/LCID).
В этом варианте осуществления настоящего изобретения конкретный способ добавления поля параметра к защищенным данным может быть следующим:
В возможной реализации, первое устройство может добавить один или несколько элементов управления информацией (сгенерированных на текущем уровне протокола) к PDU и использовать добавленный элемент управления информацией для переноса поля параметра. Следует понимать, что поля параметров могут переноситься в одном элементе управления информацией или могут переноситься в разных элементах управления информацией соответственно.
В другой возможной реализации первое устройство может использовать поле параметра для переноса одного или нескольких SDUs (сгенерированных на верхнем уровне протокола) в защищенных данных. Поскольку SDU поступает из верхнего уровня, первое устройство может добавить поле параметра в сообщение верхнего уровня. Следует понимать, что поля параметров могут переноситься в одном SDU или могут переноситься в разных SDUs соответственно. Когда поля параметров переносятся во множестве SDUs, поля параметров могут переноситься во множестве непрерывных SDUs или могут переноситься во множестве прерывистых SDUs. В вышеприведенном примере PDU используют в качестве примера для описания. При фактическом использовании в качестве альтернативы могут быть использован IP-пакет, Ethernet-пакет или другой не-IP-пакет. Это конкретно не ограничено в настоящем изобретении.
Понятно, что счетчик является обязательным полем параметра, поле длины является необязательным полем параметра. Когда политика безопасности включает в себя защиту конфиденциальности, поле пакета является необязательным полем параметра. Когда политика безопасности включает в себя защиту целостности, MAC поле является обязательным полем параметра, и поле времени обновления алгоритма является необязательным полем параметра.
240. Первое устройство передает защищенные данные второму устройству.
В этом варианте осуществления настоящего изобретения, если первое устройство является оконечным устройством, второе устройство является узлом сети доступа, когда первое устройство отправляет защищенные данные второму устройству, защищенные данные должны пройти через линию передачи «оконечное устройство - узел сети доступа». Если первое устройство является оконечным устройством и второе устройство является узлом плоскости пользователя, то, когда первое устройство отправляет защищенные данные на второе устройство, защищенные данные должны проходить через линию передачи «оконечное устройство - узел сети доступа - узел плоскости пользователя». Пакет является базовой единицей для передачи защищенных данных. Для передачи пакета через соответствующий стек протоколов, пакет должен быть инкапсулирован на основании стека протоколов в пакет инкапсуляции, соответствующий формату стека протоколов. Стек протоколов передачи может быть форматом стека протоколов в LTE и включать в себя уровни MAC (управление доступом к среде, Media Access Control), RLC (управление радиоканалом, Radio Link Control) и PDCP (протокол конвергенции пакетных данных, Packet Data Convergence Protocol); или может быть форматом стека протоколов в мобильной связи следующего поколения. Это не ограничено в настоящем документе. Например, чтобы пакет мог быть передан по линии передачи «оконечное устройство - узел сети доступа», пакет должен быть инкапсулирован на основании стека протоколов в пакет инкапсуляции в формате, показанном слева на фиг. 5. Как показано слева на фиг. 5, пакет инкапсуляции включает в себя заголовок L1 (header L1), заголовок стека протоколов передачи (AN protocol stack) и пакет. Пакет включает в себя заголовок PDU (PDU header) и полезную нагрузку PDU (PDU payload). Чтобы пакет мог быть передан по линии передачи «узел сети доступа - узел плоскости пользователя», пакет должен быть инкапсулирован на основании стека протоколов в пакет инкапсуляции в формате, показанном справа на фиг. 5. Как показано справа на фиг. 5, пакет инкапсуляции включает в себя заголовок L1/L2, внешний заголовок IP, заголовок инкапсуляции, заголовок PDU и пакет. Пакет включает в себя заголовок PDU и полезную нагрузку PDU.
250. Второе устройство принимает защищенные данные сеанса, которые отправляют первым устройством.
260. Второе устройство определяет идентификатор сеанса и идентифицирует, на основании идентификатора сеанса, защищенные данные, которые относятся к сеансу и отправляют первым устройством.
В этом варианте осуществления настоящего изобретения способ определения идентификатора сеанса вторым устройством, когда второе устройство является узлом сети доступа, отличается от способа определения идентификатора сеанса вторым устройством, когда второе устройство является узлом плоскости пользователя. Способ определения идентификатора сеанса вторым устройством, когда второе устройство является узлом сети доступа, и способ определения идентификатора сеанса вторым устройством, когда второе устройство является узлом пользователя, подробно описаны позже, и не описаны в данном месте.
Понятно, что способ определения идентификатора сеанса связан с форматом пакета инкапсуляции, отправляемого второму устройству. Подробное описание приведено позже. Подробности в данном месте не описаны.
270. Второе устройство восстанавливает защищенные данные с использованием, по меньшей мере, одного ключа на основании политики безопасности сеанса для получения данных сеанса и/или выполняет проверку целостности.
Следует отметить, что сквозная защита связи в настоящем изобретении включает в себя сквозную защиту сеанса, а также включает в себя сквозную защиту на основании сегмента, потока или канала. Например, в процедуре сегмента второе устройство может быть сетевым элементом обработки плоскости пользователя в сегменте.
Далее описывают несколько основных реализаций получения политики безопасности первым устройством и вторым устройством из контроллера политики в соответствии с вариантами осуществления настоящего изобретения со ссылкой на фиг. 6А-фиг. 6D.
Во-первых, как показано на фиг. 6A, когда первое устройство является оконечным устройством и второе устройство является узлом сети доступа, способ получения политики безопасности первым устройством и вторым устройством от контроллера политики включает в себя следующие этапы.
310. Первое устройство отправляет первый запрос второму устройству, где первый запрос включает в себя идентификатор первого устройства и возможность безопасности первого устройства, а также требование безопасности службы и первый запрос может дополнительно включать в себя: идентификатор службы или тому подобное. Соответственно, второе устройство получает первый запрос, отправленный первым устройством.
В этом варианте осуществления настоящего изобретения первый идентификатор устройства используют для представления идентификатора первого устройства или пользователя, который отправляет первый запрос. Например, первый идентификатор устройства может быть адресом управления доступом к среде (Media Access Control, MAC), адресом интернет-протокола (Internet Protocol, IP), номером мобильного телефона, международным идентификатором мобильного оборудования (International Mobile Equipment Identity, IMEI), международный идентификатор мобильного абонента (International Mobile Subscriber Identity, IMSI), частный идентификатор мультимедийного IP (IP Multimedia Private Identity, IMPI), временный идентификатор мобильного абонента (Temporary Mobile Subscriber Identity, TMSI), открытый идентификатор мультимедийного IP (IP Multimedia Public Identity, IMPU) или глобально уникальная временная идентификация UE (Global Unique Temporary UE Identity, GUTI).
В этом варианте осуществления настоящего изобретения возможность безопасности первого устройства используется для представления, по меньшей мере, одного из алгоритма безопасности, длины ключа и времени обновления ключа, который может поддерживаться первым устройством. Понятно, что поскольку разные устройства имеют разную емкость и скорости работы, разные устройства поддерживают разные алгоритмы безопасности, длины ключей и периоды обновления ключей. Например, поскольку емкость запоминающего устройства IoT невелика, и скорость его работы также невысока, устройство IoT не может поддерживать алгоритм безопасности относительно высокой сложности; поскольку емкость смартфона велика, и скорость его работы также высока, смартфон может поддерживать алгоритм безопасности относительно высокой сложности. Следовательно, первое устройство должно уведомить контроллер политики о возможностях безопасности первого устройства, чтобы контроллер политики генерировал политику безопасности со ссылкой на возможности безопасности первого устройства.
В этом варианте осуществления настоящего изобретения требование безопасности службы используется для представления, по меньшей мере, одного из алгоритма безопасности, длины ключа и периода обновления ключа, которые являются приемлемыми для службы. Понятно, что разные службы предъявляют разные требования к алгоритму безопасности, длине ключа и периоду обновления ключа. Например, финансовая служба предъявляет относительно высокие требования к алгоритму безопасности, и служба загрузки видео предъявляет относительно низкие требования к алгоритму безопасности. Следовательно, первое устройство должно уведомить контроллер политики о требовании безопасности службы, чтобы контроллер политики генерировал политику безопасности со ссылкой на требование безопасности службы.
В этом варианте осуществления настоящего изобретения первый запрос может быть запросом доступа или может быть запросом сеанса. Функция запроса доступа включает в себя, но не ограничивается следующим описанием: используется для запуска процесса произвольного доступа, так что первое устройство получает доступ к сети оператора путем выполнения процесса произвольного доступа. Перед процессом произвольного доступа первое устройство находится в RRC режиме ожидания (RRC_IDLE). После выполнения начального процесса произвольного доступа первое устройство переходит из RRC режима ожидания (RRC_IDLE) в RRC режим подключения (RRC_CONNECTED). Запрос сеанса используют для запроса установления сеанса между первым устройством и вторым устройством. Например, сеанс устанавливается с использованием протокола установления сеанса. В этом случае, запрос сеанса является сигнализацией запроса установления сеанса.
320. Второе устройство отправляет второй запрос в контроллер политики. Второй запрос включает в себя идентификацию первого устройства, возможность безопасности первого устройства и требование безопасности службы и возможность безопасности узла сети доступа. Соответственно, контроллер политики получает второй запрос, отправленный вторым устройством.
В этом варианте осуществления настоящего изобретения второй запрос дополнительно включает в себя требование безопасности узла сети доступа в дополнение к первому идентификатору устройства, а также возможности безопасности первого устройства и требование безопасности услуги. Понятно, что, если первый запрос дополнительно включает в себя идентификатор службы, второй запрос также включает в себя идентификатор службы. Второй запрос генерируется на основании первого запроса. Следовательно, когда первый запрос является запросом доступа, второй запрос также является запросом доступа; или, когда первый запрос является запросом сеанса, второй запрос также является запросом сеанса. Также возможно, что первый запрос является запросом доступа, но второй запрос является запросом сеанса. Понятно, что конкретные названия первого запроса и второго запроса не ограничены.
В этом варианте осуществления настоящего изобретения возможность безопасности узла сети доступа используется для представления, по меньшей мере, одного из алгоритма безопасности, длины ключа и периода обновления ключа, который может быть предоставлен узлом сети доступа. Понятно, что, поскольку разные узлы сети доступа имеют разные емкости и скорости работы, разные узлы сети доступа поддерживают разные алгоритмы безопасности, длины ключей и периоды обновления ключей. Например, когда узел сети доступа является точкой доступа Wi-Fi, точка доступа Wi-Fi не может поддерживать алгоритм безопасности относительно высокой сложности. Когда узел сети доступа является базовой станцией, базовая станция может поддерживать алгоритм безопасности относительно высокой сложности.
330. Контроллер политик генерирует политику безопасности радиоинтерфейса на основании второго запроса.
В этом варианте осуществления настоящего изобретения контроллер политики может генерировать политику безопасности радиоинтерфейса на основании возможности безопасности первого устройства и требования безопасности службы, а также возможности безопасности узла сети доступа или может генерировать политику безопасности радиоинтерфейса, основанная, по меньшей мере, на одном из требований безопасности службы и возможности безопасности только узла сети доступа.
Кроме того, контроллер политики может дополнительно генерировать политику безопасности радиоинтерфейса со ссылкой на предварительно установленную возможность безопасности. Предустановленная возможность безопасности возвращается контроллеру политики с помощью AUSF или функции хранилища и обработки учетных данных аутентификации (ARPF) на основании первого идентификатора устройства и/или идентификатора службы, отправленного контроллером политики.
Кроме того, контроллер политики может дополнительно генерировать политику безопасности радиоинтерфейса со ссылкой на требование безопасности сервера. Требование безопасности сервера возвращается контроллеру политики сервером на основании первого идентификатора устройства и/или идентификатора службы, отправленного контроллером политики. Сервер представляет собой устройство, предоставляющее услугу оконечному устройству. Сервер включает в себя, помимо прочего, сервер приложений, сервер печати, веб-сервер, FTP-сервер, сервер электронной коммерции, сервер базы данных, сервер связи в реальном времени, файловый сервер, сервер электронной почты или подобное, аналогичное, похожее.
В конкретном варианте осуществления, в частности, политика безопасности радиоинтерфейса определяется согласно следующему предварительно установленному правилу: определение политики безопасности на основании контента одного или нескольких требований безопасности. Если политика безопасности определяется на основании контента только одного требования безопасности, контент политики безопасности совпадает с контентом требования безопасности. Если политика безопасности определяется на основании контента множества требований безопасности, могут соблюдаться следующие принципы:
1. Определяют политику безопасности, соблюдая принцип более высокой безопасности, то есть, используя контент более высокой безопасности в контенте множества требований безопасности в качестве контента политики безопасности.
Например, если длина ключа защиты в контенте требования 1 безопасности равна 64, длина ключа защиты в контенте требования 2 безопасности равна 128, 128 используется в качестве длины ключа защиты политики безопасности.
2. Определяют политику безопасности, соблюдая принцип экономии большего количества ресурсов, то есть, используя контент сохранения большего количества ресурсов в контенте множества требований безопасности в качестве контента политики безопасности. Например, если контент каждого требования безопасности включает в себя алгоритм шифрования, но алгоритмы защиты целостности в контенте некоторых требований безопасности являются нулевыми, контент политики безопасности включает в себя алгоритм шифрования, но не включает в себя алгоритм защиты целостности.
3. Определяют политику безопасности, выполнив приоритет требования безопасности. В частности, если требование безопасности определяет приоритет алгоритма, приоритет алгоритма используется в качестве основы для согласования алгоритма безопасности; и, наконец, выбранный алгоритм является алгоритмом, поддерживаемый всеми требованиями безопасности, алгоритм имеет наивысший приоритет, и он используется в качестве контента политики безопасности.
Альтернативно, политика безопасности согласовывается, главным образом, на основании приоритета требования безопасности. Например, приоритеты нескольких алгоритмов шифрования указываются в требовании 2 безопасности, алгоритм шифрования, который должен использоваться в политике безопасности, определяется на основании спецификации приоритетов.
Альтернативно, если множество требований безопасности все задают приоритеты алгоритмов, приоритет алгоритма требования безопасности может использоваться в качестве основного приоритета. Например, приоритет требования безопасности 2 является основным приоритетом.
340. Контроллер политик возвращает политику безопасности радиоинтерфейса второму устройству. Соответственно, второе устройство получает политику безопасности радиоинтерфейса, переданную контроллером политики.
350. Второе устройство возвращает политику безопасности радиоинтерфейса первому устройству. Соответственно, первое устройство получает политику безопасности радиоинтерфейса, отправленную вторым устройством.
Вторым способом, как показано на фиг. 6B, когда первое устройство является оконечным устройством, и второе устройство является узлом сети доступа, способ получения политики безопасности первым устройством и вторым устройством от контроллера политики включает в себя следующие этапы.
410. Первое устройство передает первый запрос второму устройству, где первый запрос включает в себя идентификатор первого устройства и возможность безопасности первого устройства, а также требование безопасности службы, и первый запрос может дополнительно включать в себя идентификатор службы или тому подобное. Соответственно, второе устройство получает первый запрос, отправленный первым устройством.
В этом варианте осуществления настоящего изобретения первый идентификатор устройства используют для представления идентификатора первого устройства или пользователя, который отправляет первый запрос. Например, первый идентификатор устройства может быть адресом управления доступом к среде (Media Access Control, MAC), адресом интернет-протокола (IP Internet Protocol), номером мобильного телефона, международным идентификатором мобильного оборудования (International Mobile Equipment Identity, IMEI), международный идентификатор мобильного абонента (International Mobile Subscriber Identity, IMSI), частный идентификатор мультимедийного IP (IP Multimedia Private Identity, IMPI), временный идентификатор мобильного абонента (Temporary Mobile Subscriber Identity, TMSI), открытый идентификатор мультимедийного IP (IP Multimedia Public Identity, IMPU) или глобально уникальная временная идентификация UE (Global Unique Temporary UE Identity, GUTI).
В этом варианте осуществления настоящего изобретения возможность безопасности первого устройства используют для представления, по меньшей мере, одного из алгоритма безопасности, длины ключа и периода обновления ключа, которые могут поддерживаться первым устройством. Понятно, что поскольку разные устройства имеют разную емкость и скорости работы, разные устройства поддерживают разные алгоритмы безопасности, длины ключей и периоды обновления ключей. Например, поскольку емкость запоминающего устройства IoT невелика, и скорость его работы также невелика, устройство IoT не может поддерживать алгоритм безопасности относительно высокой сложности; Поскольку емкость смартфона велика, и скорость его работы также высока, смартфон может поддерживать алгоритм безопасности относительно высокой сложности. Следовательно, первое устройство должно уведомить контроллер политики о возможностях безопасности первого устройства, чтобы контроллер политики генерировал политику безопасности со ссылкой на возможности безопасности первого устройства.
В этом варианте осуществления настоящего изобретения требование безопасности службы используют для представления, по меньшей мере, одного из алгоритма безопасности, длины ключа и периода обновления ключа, которые являются приемлемыми для службы. Понятно, что разные службы предъявляют разные требования к алгоритму безопасности, длине ключа и периоду обновления ключа. Например, финансовая служба предъявляет относительно высокие требования к алгоритму безопасности, и служба загрузки видео предъявляет относительно низкие требования к алгоритму безопасности. Следовательно, первое устройство должно уведомить контроллер политики о требовании безопасности службы, чтобы контроллер политики генерировал политику безопасности со ссылкой на требование безопасности службы.
В этом варианте осуществления настоящего изобретения первый запрос может быть запросом доступа или может быть запросом сеанса. Функция запроса доступа включает в себя, но не ограничивается следующим описанием: используется для запуска процесса произвольного доступа, так что первое устройство получает доступ к сети оператора путем выполнения процесса произвольного доступа. Перед процессом произвольного доступа первое устройство находится в RRC режиме ожидания (RRC_IDLE). После выполнения начального процесса произвольного доступа первое устройство переходит из RRC режима ожидания (RRC_IDLE) в RRC режим подключения (RRC_CONNECTED). Запрос сеанса используют для запроса установления сеанса между первым устройством и вторым устройством. Например, сеанс устанавливается с использованием протокола установления сеанса. В этом случае, запрос сеанса является сигнализацией запроса установления сеанса.
420. Второе устройство отправляет второй запрос в сетевой элемент управления сеансом. Второй запрос включает в себя идентификацию первого устройства, возможность безопасности первого устройства и требование безопасности службы, а также возможность безопасности узла сети доступа. Соответственно, сетевой элемент управления сеансом принимает второй запрос, отправленный вторым устройством.
В этом варианте осуществления настоящего изобретения второй запрос генерируют на основании первого запроса. Когда первый запрос является запросом доступа, второй запрос также является запросом доступа; или, когда первый запрос является запросом сеанса, второй запрос также является запросом сеанса. Также возможно, что первый запрос является запросом доступа, но второй запрос является запросом сеанса. Понятно, что конкретные названия первого запроса и второго запроса не ограничены. Второй запрос дополнительно включает в себя требование безопасности узла сети доступа в дополнение к первому идентификатору устройства, а также возможность безопасности первого устройства и требование безопасности службы. Понятно, что, если первый запрос дополнительно включает в себя идентификатор службы, второй запрос также включает в себя идентификатор службы. Понятно, что конкретные названия первого запроса и второго запроса не ограничены.
В этом варианте осуществления настоящего изобретения возможность безопасности узла сети доступа используют для представления, по меньшей мере, одного из алгоритма безопасности, длины ключа и периода обновления ключа, который может быть предоставлен узлом сети доступа. Понятно, что, поскольку разные узлы сети доступа имеют разные емкости и скорости работы, разные узлы сети доступа поддерживают разные алгоритмы безопасности, длины ключей и периоды обновления ключей. Например, когда узел сети доступа является точкой доступа Wi-Fi, точка доступа Wi-Fi не может поддерживать алгоритм безопасности относительно высокой сложности. Когда узел сети доступа является базовой станцией, базовая станция может поддерживать алгоритм безопасности относительно высокой сложности.
430. Сетевой элемент управления сеансом направляет второй запрос в контроллер политики. Соответственно, контроллер политики получает второй запрос, отправленный сетевым элементом управления сеансом.
440. Контроллер политики генерирует политику безопасности радиоинтерфейса на основании второго запроса.
В этом варианте осуществления настоящего изобретения контроллер политики может генерировать политику безопасности радиоинтерфейса на основании возможности безопасности первого устройства и требования безопасности службы, а также возможности безопасности узла сети доступа или может генерировать политику безопасности радиоинтерфейса, основанную, по меньшей мере, на одном из требований безопасности службы и возможности безопасности только узла сети доступа.
Кроме того, контроллер политики может дополнительно генерировать политику безопасности радиоинтерфейса со ссылкой на предварительно установленную возможность безопасности. Предустановленная возможность безопасности возвращается контроллеру политики с помощью AUSF или функции хранилища и обработки учетных данных аутентификации (ARPF) на основании первого идентификатора устройства и/или идентификатора службы, отправленного контроллером политики.
Кроме того, контроллер политики может дополнительно генерировать политику безопасности радиоинтерфейса со ссылкой на требование безопасности сервера. Требование безопасности сервера возвращается контроллеру политики сервером на основании первого идентификатора устройства и/или идентификатора службы, отправленного контроллером политики. Сервер представляет собой устройство, предоставляющее услугу оконечному устройству. Сервер включает в себя, помимо прочего, сервер приложений, сервер печати, веб-сервер, FTP-сервер, сервер электронной коммерции, сервер базы данных, сервер связи в реальном времени, файловый сервер, сервер электронной почты или подобное, аналогичное, похожее.
В конкретном варианте осуществления политику безопасности радиоинтерфейса определяют согласно следующему предварительно установленному правилу: определение политики безопасности на основании контента одного или нескольких требований безопасности. Если политику безопасности определяют на основании контента только одного требования безопасности, контент политики безопасности совпадает с контентом требования безопасности. Если политику безопасности определяют на основании контента множества требований безопасности, могут соблюдаться следующие принципы:
1. Определяют политику безопасности, соблюдая принцип более высокой безопасности, то есть, используя контент более высокой безопасности в контенте множества требований безопасности в качестве контента политики безопасности.
Например, если длина ключа защиты в контенте требования 1 безопасности равна 64, и длина ключа защиты в контенте требования 2 безопасности равна 128, 128 используется в качестве длины ключа защиты политики безопасности.
2. Определяют политику безопасности, соблюдая принцип экономии большего количества ресурсов, то есть, используя контент сохранения большего количества ресурсов в контенте множества требований безопасности в качестве контента политики безопасности. Например, если контент каждого требования безопасности включает в себя алгоритм шифрования, но алгоритмы защиты целостности в контенте некоторых требований безопасности являются нулевыми, контент политики безопасности включает в себя алгоритм шифрования, но не включает в себя алгоритм защиты целостности.
3. Определяют политику безопасности, выполнив приоритет требования безопасности. В частности, если требование безопасности определяет приоритет алгоритма, приоритет алгоритма используют в качестве основы для согласования алгоритма безопасности; и, наконец, выбранный алгоритм подставляет собой алгоритм, поддерживаемый всеми требованиями безопасности, алгоритм имеет наивысший приоритет, и он используется в качестве контента политики безопасности.
Альтернативно, политика безопасности согласовывается, главным образом, на основе приоритета требования безопасности. Например, приоритеты нескольких алгоритмов шифрования указываются в требовании 2 безопасности, и алгоритм шифрования, который должен использоваться в политике безопасности, определяется на основании спецификации приоритетов.
Альтернативно, если множество требований безопасности все задают приоритеты алгоритмов, приоритет алгоритма требования безопасности может использоваться в качестве основного приоритета. Например, приоритет требования безопасности 2 является основным приоритетом.
450. Контроллер политики передает политику безопасности радиоинтерфейса в сетевой элемент управления сеансом. Соответственно, сетевой элемент управления сеансом принимает политику безопасности радиоинтерфейса, отправленную контроллером политики.
460. Сетевой элемент управления сеансом возвращает политику безопасности радиоинтерфейса второму устройству. Соответственно, второе устройство принимает политику безопасности радиоинтерфейса, отправленную сетевым элементом управления сеансом.
470. Второе устройство возвращает политику безопасности радиоинтерфейса первому устройству. Соответственно, первое устройство принимает политику безопасности радиоинтерфейса, возвращенную вторым устройством.
Третьим образом, как показано на фиг. 6C, когда первое устройство является оконечным устройством, и второе устройство является узлом сети доступа, способ получения политики безопасности первым устройством и вторым устройством от контроллера политики включает в себя следующие этапы.
510. Первое устройство передает первый запрос второму устройству, где первый запрос включает в себя идентификацию первого устройства и возможность безопасности первого устройства, а также требование безопасности службы, и первый запрос может дополнительно включать в себя: идентификатор службы или тому подобное. Соответственно, второе устройство принимает первый запрос, переданный первым устройством.
В этом варианте осуществления настоящего изобретения первый идентификатор устройства используется для представления идентификатора первого устройства или пользователя, который отправляет первый запрос. Например, первый идентификатор устройства может быть адресом управления доступом к среде (Media Access Control, MAC), адресом интернет-протокола (IP Internet Protocol), номером мобильного телефона, международным идентификатором мобильного оборудования (International Mobile Equipment Identity, IMEI), международный идентификатор мобильного абонента (International Mobile Subscriber Identity, IMSI), частный идентификатор мультимедийного IP (IP Multimedia Private Identity, IMPI), временный идентификатор мобильного абонента (Temporary Mobile Subscriber Identity, TMSI), открытый идентификатор мультимедийного IP (IP Multimedia Public Identity, IMPU) или глобально уникальная временная идентификация UE (Global Unique Temporary UE Identity, GUTI).
В этом варианте осуществления настоящего изобретения возможность безопасности первого устройства используется для представления, по меньшей мере, одного из алгоритма безопасности, длины ключа и периода обновления ключа, которые могут поддерживаться первым устройством. Понятно, что поскольку разные устройства имеют разную емкость и скорости работы, разные устройства поддерживают разные алгоритмы безопасности, длины ключей и периоды обновления ключей. Например, поскольку емкость запоминающего устройства IoT невелика и скорость его работы также невелика, устройство IoT не может поддерживать алгоритм безопасности относительно высокой сложности; Поскольку емкость смартфона велика и скорость его работы также высока, смартфон может поддерживать алгоритм безопасности относительно высокой сложности. Следовательно, первое устройство должно уведомить контроллер политики о возможностях безопасности первого устройства, чтобы контроллер политики генерировал политику безопасности со ссылкой на возможности безопасности первого устройства.
В этом варианте осуществления настоящего изобретения требование безопасности службы используется для представления, по меньшей мере, одного из алгоритма безопасности, длины ключа и периода обновления ключа, которые являются приемлемыми для службы. Понятно, что разные службы предъявляют разные требования к алгоритму безопасности, длине ключа и периоду обновления ключа. Например, финансовая служба предъявляет относительно высокие требования к алгоритму безопасности и служба загрузки видео предъявляет относительно низкие требования к алгоритму безопасности. Следовательно, первое устройство должно уведомить контроллер политики о требовании безопасности службы, чтобы контроллер политики генерировал политику безопасности со ссылкой на требование безопасности службы.
В этом варианте осуществления настоящего изобретения первый запрос может быть запросом доступа или может быть запросом сеанса. Функция запроса доступа включает в себя, но не ограничивается следующим описанием: используется для запуска процесса произвольного доступа, так что первое устройство получает доступ к сети оператора путем выполнения процесса произвольного доступа. Перед процессом произвольного доступа первое устройство находится в RRC режиме ожидания (RRC_IDLE). После выполнения начального процесса произвольного доступа первое устройство переходит из RRC режима ожидания (RRC_IDLE) в RRC режим подключения (RRC_CONNECTED). Запрос сеанса используется для запроса установления сеанса между первым устройством и вторым устройством. Например, сеанс устанавливается с использованием протокола установления сеанса. В этом случае, запрос сеанса является сигнализацией запроса установления сеанса.
520. Второе устройство передает второй запрос на сетевой элемент управления мобильностью. Второй запрос включает в себя идентификатор первого устройства, возможность безопасности первого устройства и требование безопасности службы, а также требование безопасности узла сети доступа. Соответственно, сетевой элемент управления мобильностью принимает второй запрос, отправленный вторым устройством.
В этом варианте осуществления настоящего изобретения второй запрос генерируется на основе первого запроса. Когда первый запрос является запросом доступа, второй запрос также является запросом доступа; или, когда первый запрос является запросом сеанса, второй запрос также является запросом доступа. Также возможно, что первый запрос является запросом доступа, но второй запрос является запросом сеанса. Понятно, что конкретные названия первого запроса и второго запроса не ограничены. Второй запрос дополнительно включает в себя требование безопасности узла сети доступа в дополнение к первому идентификатору устройства, а также возможность безопасности первого устройства и требование безопасности службы. Понятно, что, если первый запрос дополнительно включает в себя идентификатор службы, второй запрос также включает в себя идентификатор службы. Понятно, что конкретные названия первого запроса и второго запроса не ограничены.
В этом варианте осуществления настоящего изобретения возможность безопасности узла сети доступа используется для представления, по меньшей мере, одного из алгоритма безопасности, длины ключа и периода обновления ключа, который может быть предоставлен узлом сети доступа. Понятно, что, поскольку разные узлы сети доступа имеют разные емкости и скорости работы, разные узлы сети доступа поддерживают разные алгоритмы безопасности, длины ключей и периоды обновления ключей. Например, когда узел сети доступа является точкой доступа Wi-Fi, точка доступа Wi-Fi не может поддерживать алгоритм безопасности относительно высокой сложности. Когда узел сети доступа является базовой станцией, базовая станция может поддерживать алгоритм безопасности относительно высокой сложности.
530. Сетевой элемент управления мобильностью направляет второй запрос в сетевой элемент управления сеансом. Соответственно, сетевой элемент управления сеансом принимает второй запрос, отправленный сетевым элементом управления мобильностью.
540. Сетевой элемент управления сеансом направляет второй запрос в контроллер политики. Соответственно, контроллер политики получает второй запрос, отправленный сетевым элементом управления сеансом.
550. Контроллер политики генерирует политику безопасности радиоинтерфейса на основе второго запроса.
В этом варианте осуществления настоящего изобретения контроллер политики может генерировать политику безопасности радиоинтерфейса на основе возможности безопасности первого устройства и требования безопасности службы, а также возможности безопасности узла сети доступа или может генерировать политика безопасности радиоинтерфейса, основанная, по меньшей мере, на одном из требований безопасности службы и возможности безопасности только узла сети доступа.
Кроме того, контроллер политики может дополнительно генерировать политику безопасности радиоинтерфейса со ссылкой на предварительно установленную возможность безопасности. Предустановленная возможность безопасности возвращается контроллеру политики с помощью AUSF или функции хранилища и обработки учетных данных аутентификации (ARPF) на основе первого идентификатора устройства и/или идентификатора службы, отправленного контроллером политики.
Кроме того, контроллер политики может дополнительно генерировать политику безопасности радиоинтерфейса со ссылкой на требование безопасности сервера. Требование безопасности сервера возвращается контроллеру политики сервером на основании первого идентификатора устройства и/или идентификатора службы, отправленного контроллером политики. Сервер представляет собой устройство, предоставляющее службу оконечному устройству. Сервер включает в себя, помимо прочего, сервер приложений, сервер печати, веб-сервер, FTP-сервер, сервер электронной коммерции, сервер базы данных, сервер связи в реальном времени, файловый сервер, сервер электронной почты или подобное, аналогичное, похожее.
В конкретном варианте осуществления, в частности, политика безопасности радиоинтерфейса определяется согласно следующему предварительно установленному правилу: определение политики безопасности на основании контента одного или нескольких требований безопасности. Если политика безопасности определяется на основании контента только одного требования безопасности, контент политики безопасности совпадает с контентом требования безопасности. Если политика безопасности определяется на основании контента множества требований безопасности, могут соблюдаться следующие принципы:
1. Определить политику безопасности, соблюдая принцип более высокой безопасности, то есть, используя контент более высокой безопасности в контенте множества требований безопасности в качестве контента политики безопасности.
Например, если длина ключа защиты в контенте требования 1 безопасности равна 64, и длина ключа защиты в контенте требования 2 безопасности составляет 128, 128 используется в качестве длины ключа защиты политики безопасности.
2. Определить политику безопасности, соблюдая принцип экономии большего количества ресурсов, то есть, используя контент сохранения большего количества ресурсов в контенте множества требований безопасности в качестве контента политики безопасности. Например, если контент каждого требования безопасности включает в себя алгоритм шифрования, но алгоритмы защиты целостности в контенте некоторых требований безопасности являются нулевыми, то контент политики безопасности включает в себя алгоритм шифрования, но не включает в себя алгоритм защиты целостности.
3. Определить политику безопасности, выполнив приоритет требования безопасности. В частности, если требование безопасности определяет приоритет алгоритма, приоритет алгоритма используется в качестве основы для согласования алгоритма безопасности; и, наконец, выбранный алгоритм является алгоритмом, поддерживаемый всеми требованиями безопасности, алгоритм имеет наивысший приоритет, и он используется в качестве контента политики безопасности.
Альтернативно, политика безопасности согласовывается, главным образом, на основе приоритета требования безопасности. Например, приоритеты нескольких алгоритмов шифрования указываются в требовании 2 безопасности, и алгоритм шифрования, который должен использоваться в политике безопасности, определяется на основе спецификации приоритетов.
Альтернативно, если множество требований безопасности все задают приоритеты алгоритмов, приоритет алгоритма требования безопасности может использоваться в качестве основного приоритета. Например, приоритет требования безопасности 2 является основным приоритетом.
560. Контроллер политики передает политику безопасности радиоинтерфейса в сетевой элемент управления сеансом. Соответственно, сетевой элемент управления сеансом принимает политику безопасности радиоинтерфейса, отправленную контроллером политики.
570. Сетевой элемент управления сеансом возвращает политику безопасности радиоинтерфейса в сетевой элемент управления мобильностью. Соответственно, сетевой элемент управления мобильностью принимает политику безопасности радиоинтерфейса, отправленную сетевым элементом управления сеансом.
580. Сетевой элемент управления мобильностью возвращает политику безопасности радиоинтерфейса второму устройству. Соответственно, второе устройство принимает политику безопасности радиоинтерфейса переданную сетевым элементом управления мобильностью.
590. Второе устройство возвращает политику безопасности радиоинтерфейса первому устройству. Соответственно, первое устройство принимает политику безопасности радиоинтерфейса, возвращенную вторым устройством.
В четвертом способе, как показано на фиг. 6D, когда первое устройство является оконечным устройством и второе устройство является узлом сети доступа, способ получения политики безопасности первым устройством и вторым устройством от контроллера политики включает в себя следующие этапы.
610. Первое устройство передает первый запрос второму устройству, где первый запрос включает в себя идентификатор первого устройства и возможность безопасности первого устройства, а также требование безопасности службы, и первый запрос может дополнительно включать в себя идентификатор службы или тому подобное. Соответственно, второе устройство принимает первый запрос, отправленный первым устройством.
В этом варианте осуществления настоящего изобретения первый идентификатор устройства используют для представления идентификатора первого устройства или пользователя, который отправляет первый запрос. Например, первый идентификатор устройства может быть адресом управления доступом к среде (Media Access Control, MAC), адресом интернет-протокола (IP Internet Protocol), номером мобильного телефона, международным идентификатором мобильного оборудования (International Mobile Equipment Identity, IMEI), международный идентификатор мобильного абонента (International Mobile Subscriber Identity, IMSI), частный идентификатор мультимедийного IP (IP Multimedia Private Identity, IMPI), временный идентификатор мобильного абонента (Temporary Mobile Subscriber Identity, TMSI), открытый идентификатор мультимедийного IP (IP Multimedia Public Identity, IMPU) или глобально уникальная временная идентификация UE (Global Unique Temporary UE Identity, GUTI).
В этом варианте осуществления настоящего изобретения возможность безопасности первого устройства используют для представления по меньшей мере одного из алгоритма безопасности, длины ключа и периода обновления ключа, который может поддерживаться первым устройством. Понятно, что поскольку разные устройства имеют разную емкость и скорости работы, разные устройства поддерживают разные алгоритмы безопасности, длины ключей и периоды обновления ключей. Например, поскольку емкость запоминающего устройства IoT невелика, и скорость его работы также невелика, устройство IoT не может поддерживать алгоритм безопасности относительно высокой сложности; Поскольку емкость смартфона велика, и скорость его работы также высока, смартфон может поддерживать алгоритм безопасности относительно высокой сложности. Следовательно, первое устройство должно уведомить контроллер политики о возможностях безопасности первого устройства, чтобы контроллер политики генерировал политику безопасности со ссылкой на возможности безопасности первого устройства.
В этом варианте осуществления настоящего изобретения требование безопасности службы используется для представления по меньшей мере одного из алгоритма безопасности, длины ключа и периода обновления ключа, которые являются приемлемыми для службы. Понятно, что разные службы предъявляют разные требования к алгоритму безопасности, длине ключа и периоду обновления ключа. Например, финансовая служба предъявляет относительно высокие требования к алгоритму безопасности, и служба загрузки видео предъявляет относительно низкие требования к алгоритму безопасности. Следовательно, первое устройство должно уведомить контроллер политики о требовании безопасности службы, чтобы контроллер политики генерировал политику безопасности со ссылкой на требование безопасности службы.
В этом варианте осуществления настоящего изобретения первый запрос может быть запросом доступа или может быть запросом сеанса. Функция запроса доступа включает в себя, но не ограничивается следующим описанием: используется для запуска процесса произвольного доступа, так что первое устройство получает доступ к сети оператора путем выполнения процесса произвольного доступа. Перед процессом произвольного доступа первое устройство находится в RRC режиме ожидания (RRC_IDLE). После выполнения начального процесса произвольного доступа первое устройство переходит из RRC режима ожидания (RRC_IDLE) в RRC режим подключения (RRC_CONNECTED). Запрос сеанса используют для запроса установления сеанса между первым устройством и вторым устройством. Например, сеанс устанавливается с использованием протокола инициации сеанса (SIP). В этом случае, запрос сеанса является сигнализацией приглашения.
620. Второе устройство отправляет первый запрос в контроллер политики. Второй запрос включает в себя идентификатор первого устройства, а также возможность безопасности первого устройства и требование безопасности службы. Соответственно, контроллер политики принимает второй запрос, отправленный вторым устройством.
В этом варианте осуществления настоящего изобретения второй запрос генерируется на основании первого запроса. Когда первый запрос является запросом доступа, второй запрос также является запросом доступа; или, когда первый запрос является запросом сеанса, второй запрос также является запросом доступа. Также возможно, что первый запрос является запросом доступа, но второй запрос является запросом сеанса. Понятно, что конкретные названия первого запроса и второго запроса не ограничены.
630. Контроллер политики генерирует политику безопасности базовой сети на основании второго запроса.
В этом варианте осуществления настоящего изобретения контроллер политики может генерировать политику безопасности радиоинтерфейса на основании возможностей безопасности первого устройства и требования безопасности службы или может генерировать политику безопасности базовой сети на основании требования безопасности только службы.
Кроме того, контроллер политики может дополнительно генерировать политику безопасности базовой сети со ссылкой на предварительно установленную возможность безопасности. Предустановленная возможность безопасности возвращается контроллеру политики с помощью AUSF или функции хранилища и обработки учетных данных аутентификации (ARPF) на основании первого идентификатора устройства и/или идентификатора услуги, отправленного контроллером политики.
Кроме того, контроллер политики может дополнительно генерировать политику безопасности базовой сети со ссылкой на требование безопасности сервера. Требование безопасности сервера возвращается контроллеру политики сервером на основании первого идентификатора устройства и/или идентификатора службы, отправленного контроллером политики. Сервер представляет собой устройство, предоставляющее услугу оконечному устройству. Сервер включает в себя, помимо прочего, сервер приложений, сервер печати, веб-сервер, FTP-сервер, сервер электронной коммерции, сервер базы данных, сервер связи в реальном времени, файловый сервер, сервер электронной почты или подобное, аналогичное, похожее.
В конкретном варианте осуществления, в частности, политика безопасности радиоинтерфейса определяется согласно следующему предварительно установленному правилу: определение политики безопасности на основании контента одного или нескольких требований безопасности. Если политика безопасности определяется на основании контента только одного требования безопасности, контент политики безопасности совпадает с контентом требования безопасности. Если политика безопасности определяется на основании контента множества требований безопасности, могут соблюдаться следующие принципы:
1. Определить политику безопасности, соблюдая принцип более высокой безопасности, то есть, используя контент более высокой безопасности в контенте множества требований безопасности в качестве контента политики безопасности.
Например, если длина ключа защиты в контенте требования 1 безопасности равна 64, и длина ключа защиты в контенте требования 2 безопасности равна 128, 128 используется в качестве длины ключа защиты политики безопасности.
2. Определить политику безопасности, соблюдая принцип экономии большего количества ресурсов, то есть, используя контент сохранения большего количества ресурсов в контенте множества требований безопасности в качестве контента политики безопасности. Например, если контент каждого требования безопасности включает в себя алгоритм шифрования, но алгоритмы безопасности целостности в контенте некоторых требований безопасности являются нулевыми, контент политики безопасности включает в себя алгоритм шифрования, но не включает алгоритм защиты целостности.
3. Определить политику безопасности, выполнив приоритет требования безопасности. В частности, если требование безопасности определяет приоритет алгоритма, приоритет алгоритма используется в качестве основы для согласования алгоритма безопасности; и, наконец, выбранный алгоритм является алгоритмом, поддерживаемый всеми требованиями безопасности, алгоритм имеет наивысший приоритет, и он используется в качестве контента политики безопасности.
Альтернативно, политика безопасности согласовывается в основном на основе приоритета требования безопасности. Например, приоритеты нескольких алгоритмов шифрования указываются в требовании 2 безопасности, и алгоритм шифрования, который должен использоваться в политике безопасности, определяется на основании спецификации приоритетов.
Альтернативно, если множество требований безопасности все задают приоритеты алгоритмов, приоритет алгоритма требования безопасности может использоваться в качестве основного приоритета. Например, приоритет требования безопасности 2 является основным приоритетом.
640. Контроллер политики возвращает политику безопасности базовой сети второму устройству. Соответственно, второе устройство получает политику безопасности базовой сети, отправленную контроллером политики.
650. Второе устройство определяет политику безопасности радиоинтерфейса со ссылкой на политику безопасности базовой сети и возможности безопасности узла сети доступа.
В этом варианте осуществления настоящего изобретения возможность безопасности узла сети доступа используется для представления, по меньшей мере, одного из алгоритма безопасности, длины ключа и периода обновления ключа, который может быть предоставлен узлом сети доступа. Понятно, что, поскольку разные узлы сети доступа имеют разные емкости и скорости работы, разные узлы сети доступа поддерживают разные алгоритмы безопасности, длины ключей и периоды обновления ключей. Например, когда узел сети доступа является точкой доступа Wi-Fi, точка доступа Wi-Fi не может поддерживать алгоритм безопасности относительно высокой сложности. Когда узел сети доступа является базовой станцией, базовая станция может поддерживать алгоритм безопасности относительно высокой сложности.
660. Второе устройство возвращает политику безопасности радиоинтерфейса первому устройству. Соответственно, первое устройство принимает политику безопасности радиоинтерфейса, отправленную вторым устройством.
Со ссылкой на фиг. 7 ниже описывается реализация способа получения, по меньшей мере, одного ключа первым устройством и вторым устройством из сетевого элемента службы аутентификации в соответствии с вариантом осуществления настоящего изобретения. Когда первое устройство является оконечным устройством, и второе устройство является узлом сети доступа, способ получения, по меньшей мере, одного ключа первым устройством и вторым устройством из сетевого элемента службы аутентификации, в частности, включает в себя следующие этапы.
710. Первое устройство отправляет третий запрос второму устройству. Соответственно, второе устройство получает третий запрос, отправленный первым устройством.
В этом варианте осуществления настоящего изобретения третий запрос может быть отправлен перед процессом, в котором первое устройство обращается к сети и устанавливает контекст с MM; или может быть отправлено, когда первое устройство обращается к сети и устанавливает контекст с MM; или может быть отправлено, когда первое устройство выполняет двунаправленную аутентификацию и AUSF. Возможно, третий запрос может быть запросом доступа.
В этом варианте осуществления настоящего изобретения третий запрос включает в себя первый идентификатор устройства или идентификатор пользователя, где первый идентификатор устройства используют для представления идентификатора первого устройства, отправляющего первый запрос. Например, первый идентификатор устройства может быть адресом управления доступом к среде (Media Access Control, MAC), адресом интернет-протокола (IP Internet Protocol), номером мобильного телефона, международным идентификатором мобильного оборудования (International Mobile Equipment Identity, IMEI), международный идентификатор мобильного абонента (International Mobile Subscriber Identity, IMSI), частный идентификатор мультимедийного IP (IP Multimedia Private Identity, IMPI), временный идентификатор мобильного абонента (Temporary Mobile Subscriber Identity, TMSI), открытый идентификатор мультимедийного IP (IP Multimedia Public Identity, IMPU) или глобально уникальная временная идентификация UE (Global Unique Temporary UE Identity, GUTI).
720. Второе устройство отправляет третий запрос узлу аутентификации (узлу, такому как AUSF или SEAF). Соответственно, узел аутентификации принимает третий запрос, отправленный вторым устройством.
730. Первое устройство и узел аутентификации аутентифицируют друг друга.
В возможном режиме аутентификации перед аутентификацией узел аутентификации может отправлять первый идентификатор устройства в центр хранения корневого ключа (например, ARPF) и получать вектор аутентификации из центра хранения корневого ключа. На основании вектора аутентификации первое устройство и узел аутентификации завершают аутентификацию друг друга.
В этом варианте осуществления настоящего изобретения после того, как первое устройство и узел аутентификации успешно выполняют двунаправленную аутентификацию, каждое из первого устройства и узла аутентификации получает базовые ключи, или получает базовые ключи, выполняя деривацию или множество дериваций.
Узел аутентификации отправляет базовые ключи в KMS.
KMS может быть развернута независимо или может быть развернута вместе с другим сетевым элементом. Например, KMS развертывается вместе с центром аутентификации, AUSF, ARPF, SEAF, SCMF, AMF, SMF, AN (второе устройство), MME или тому подобным.
740. Первое устройство извлекает ключ доступа на основании базовых ключей.
В этом варианте осуществления настоящего изобретения, поскольку контент политики безопасности может включать в себя, по меньшей мере, один из алгоритма шифрования и алгоритма защиты целостности, ключ может быть вычислен на основании политики безопасности и может использоваться для шифрования и/или защиты целостности, или ключ, используемый для защиты конфиденциальности, и ключ, используемый для защиты целостности, могут быть рассчитаны отдельно. Кроме того, ключи могут быть дополнительно классифицированы на ключ шифрования сигнализации радиоинтерфейса, ключ целостности информации радиоинтерфейса, ключ шифрования плоскости пользователя и ключ защиты целостности плоскости пользователя в зависимости от того, используются ли ключи для защиты сигнализации радиоинтерфейса или защиты данных плоскости пользователя.
В этом варианте осуществления настоящего изобретения первое устройство извлекает промежуточный ключ на основании первого параметра и базовых ключей. Затем первое устройство генерирует, по меньшей мере, один ключ на основании второго параметра и промежуточного ключа. Первый параметр включает в себя, по меньшей мере, один из идентификатора узла сети доступа, счетчика NAS, порядкового номера для генерации промежуточного ключа, порядкового номера пакета, одноразового номера 1, идентификатора канала, идентификатора потока, набора политик и идентификатора сегмента. Второй параметр включает в себя, по меньшей мере, один из идентификатора политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, счетчика NAS, одноразового номера 2, идентификатора ресурса радиоинтерфейса, идентификатора канала радиоинтерфейса, идентификатора потока, идентификатора сегмента, набора политик и идентификатора сеанса, и идентификатор алгоритма безопасности представляют собой, по меньшей мере, один из идентификатора алгоритма шифрования сигнализации радиоинтерфейса, идентификатора алгоритма защиты целостности информации радиоинтерфейса, идентификатора алгоритма шифрования плоскости пользователя и идентификатора алгоритма защиты целостности плоскости пользователя.
В конкретном варианте осуществления то, что первое устройство извлекает промежуточный ключ Kan на основании первого параметра и базовые ключи конкретно являются:
Kan = KDF (по меньшей мере, одно из Kkms, идентификатор узла сети доступа, счетчик NAS, порядковый номер для генерации промежуточного ключа, порядковый номер пакета, одноразовый номер 1, идентификатор канала, идентификатор потока, набор политик, идентификатор сеанса и идентификатор сегмента.
Набор политик является политикой безопасности, Kkms является базовым ключом, и одноразовый номер 1 является случайным параметром.
В конкретном варианте осуществления то, что первое устройство извлекает ключ K1 шифрования на основании второго параметра и промежуточный ключ конкретно является:
K1 = KDF (Kan, (по меньшей мере, один из идентификатора политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, счетчика NAS, одноразового номера 2, идентификатора ресурса радиоинтерфейса, идентификатора канала радиоинтерфейса, идентификатора сегмента и сеанса идентификатор), набор политик); или
K1 = KDF (Kan, (по меньшей мере, один из идентификатора политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, счетчика NAS, одноразового номера 2, идентификатора ресурса радиоинтерфейса, идентификатора канала радиоинтерфейса, идентификатора сегмента и сеанса идентификатор)); или
K1 = KDF (Kan, идентификатор алгоритма шифрования, (по меньшей мере, один из идентификатора политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, счетчика NAS, одноразового номера 2, идентификатора ресурса радиоинтерфейса, идентификатора канала радиоинтерфейса, идентификатор сегмента и идентификатор сеанса)); или
K1 = KDF (Kan, идентификатор шифрования, (по меньшей мере, один из идентификатора политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, счетчика NAS, одноразового номера 2, идентификатора ресурса радиоинтерфейса, идентификатора канала радиоинтерфейса, идентификатора сегмента и идентификатор сеанса)); или
K1 = KDF (Kan, идентификатор алгоритма шифрования).
Набор политик является политикой безопасности, и Kan является промежуточным ключом.
Как описано выше, идентификатор шифрования может быть строкой символов, используемой для идентификации того, что производный результат является ключом шифрования. Одноразовый номер 2 является случайным параметром и может быть выбран KMS или может быть добавлен первым устройством к запросу сеанса. Целью использования случайного параметра для расчета является повышение безопасности и случайности ключа. Также возможно, что, по меньшей мере, один из двух одноразовых номеров включается в извлечение ключа, когда приходит один одноразовый номер (который выбирается KMS и напрямую отправляется первому устройству или отправляется первому устройству через SM) из KMS, и другой одноразовый номер поступает от первого устройства (которое добавляется первым устройством к запросу сеанса).
В конкретном варианте осуществления то, что первое устройство извлекает ключ K2 целостности на основании второго параметра и промежуточный ключ конкретно является:
K2 = KDF (Kan, (по меньшей мере, один из идентификатора политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, счетчика NAS, одноразового номера 2, идентификатора ресурса радиоинтерфейса, идентификатора однонаправленного канала радиоинтерфейса, идентификатора сегмента и идентификатор сеанса), набор политик); или
K2 = KDF (Kan, (по меньшей мере, один из идентификатора политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, счетчика NAS, одноразового номера 2, идентификатора ресурса радиоинтерфейса, идентификатора однонаправленного канала радиоинтерфейса, идентификатора сегмента и идентификатор сеанса)); или
K2 = KDF (Kan, идентификатор алгоритма защиты целостности, (по меньшей мере, один из идентификатора политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, счетчика NAS, одноразового номера 2, идентификатора ресурса радиоинтерфейса, идентификатора канала радиоинтерфейса, идентификатор сегмента и идентификатор сеанса)); или
K2 = KDF (Kan, идентификатор защиты целостности, (по меньшей мере, один из идентификатора политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, счетчика NAS, одноразового номера 2, идентификатора ресурса радиоинтерфейса, идентификатора канала радиоинтерфейса, идентификатора сегмента и идентификатор сеанса)); или
K2 = KDF (Кан, идентификатор алгоритма защиты целостности).
Идентификатор защиты целостности может быть строкой символов, используемой для идентификации, что полученный результат является ключом защиты целостности.
KDF является функцией извлечения ключа и включает в себя, но не ограничивается следующими функциями извлечения ключа: HMAC (например, HMAC-SHA256 и HMAC-SHA1), NMAC, CMAC, OMAC, CBC-MAC, PMAC, UMAC, VMAC и HASH-алгоритмы и тому подобное. Кроме того, требования в политиках безопасности различны. Например, длина ключа защиты в политике 1 безопасности должна составлять 256 битов, но длина ключа защиты в политике 2 безопасности должна составлять 128 битов. В этом случае, первое устройство может использовать разные алгоритмы извлечения ключей для удовлетворения требований разных политик безопасности на разных длинах ключей защиты (например, используя HMAC-SHA1 для генерации 128-битного ключа защиты и используя HMAC-SHA256 для генерации 256-битного ключа защиты). Кроме того, KMS может использовать только один алгоритм для генерации ключа, и затем генерировать ключ другой длины другим способом, таким как усечение (truncate) или продление. Обработка длины ключа первым устройством включает в себя, но не ограничивается указанными выше способами обработки.
Может быть понятно, что промежуточный ключ может быть получен путем выполнения деривации или множества дериваций на основании базовых ключей, и, по меньшей мере, один ключ также может быть получен путем выполнения деривации или множества дериваций на основании промежуточного ключа.
750. KMS извлекает промежуточный ключ на основании базовых ключей.
В этом варианте осуществления настоящего изобретения KMS извлекает промежуточный ключ на основании первого параметра и базовых ключей. За подробностями обращайтесь к этапу 740. Подробности здесь больше не описываются.
760. KMS отправляет промежуточный ключ второму устройству. Соответственно, второе устройство принимает промежуточный ключ, отправленный AUSF.
770. Второе устройство извлекает, по меньшей мере, один ключ на основании промежуточного ключа.
В этом варианте осуществления настоящего изобретения второе устройство извлекает, по меньшей мере, один ключ на основании второго параметра и промежуточного ключа. За подробностями обращайтесь к этапу 740. Подробности здесь больше не описываются.
Следует отметить, что в вышеприведенном варианте осуществления в основном используется пример, в котором первое устройство и второе устройство извлекают, по меньшей мере, один ключ; кроме того, по меньшей мере один ключ может быть дополнительно извлечен с помощью сетевого элемента, такого как MM, KMS, SM, AAA или элементом управления политикой. Это не ограничено в настоящем изобретении.
Также возможно, что второе устройство отправляет запрос в KMS, где запрос включает в себя политику защиты безопасности радиоинтерфейса, и KMS извлекает ключ шифрования и ключ защиты целостности, и затем отправляет ключи во второе устройство.
Далее приведено описание нескольких основных реализаций определения идентификатора сеанса вторым устройством в соответствии с вариантом осуществления настоящего изобретения.
Когда второе устройство является узлом плоскости пользователя, способы определения идентификатора сеанса вторым устройством включают в себя следующие несколько способов реализации:
В первой реализации второе устройство определяет идентификатор сеанса на основании заголовка инкапсуляции, в котором находятся защищенные данные. Поскольку существует отношение отображения между идентификатором в заголовке инкапсуляции и идентификатором сеанса, второе устройство может определять идентификатор сеанса на основании идентификатора в заголовке инкапсуляции. Идентификатор в заголовке инкапсуляции включает в себя, по меньшей мере, один из идентификатор QoS, идентификатор туннеля и идентификатор MAC. Например, если заголовок инкапсуляции находится в формате инкапсуляции GTP (GPRS Tunneling Protocol, GPRS протокол туннелирования), как показано на фиг. 8, заголовок инкапсуляции включает в себя версию (Version), протокол (Protocol type), зарезервированный бит (Reserved), флаг заголовка расширения (Extension Header Flag), флаг порядкового номера (Sequence Number Flag), не PDU флаг номера (N-PDU Number Flag), тип сообщения (Message type), длина сообщения (Message length), идентификатор туннеля (GTP tunnel endpoint ID), порядковый номер (Sequence number), номер не-PDU (N-PDU number) и тип заголовка следующего расширения (Next extension). Второе устройство может определять идентификатор сеанса на основании идентификатора туннеля в заголовке инкапсуляции.
Во второй реализации второе устройство определяет идентификатор сеанса на основании внешнего IP-заголовка, в котором находятся защищенные данные. Как показано на фиг. 9, внешний IP заголовок включает в себя версию (Version), длину пакета (Internet Header Length, IHL), тип услуги (Type of Service, TOS), общую длину, идентификатор, флаг, смещение сегмента, время работу, протокол, контрольная сумма заголовка, адрес источника, адрес назначения, параметры и данные. Существует взаимосвязь отображения между адресом источника и/или адресом назначения и идентификатором сеанса, и идентификатор сеанса может быть определен на основании адреса источника и/или адреса назначения во внешнем IP-заголовке.
В третьей реализации второе устройство определяет идентификатор сеанса на основании идентификатора в заголовке инкапсуляции, в котором находятся защищенные данные, и адреса источника и/или адреса назначения во внешнем IP заголовке, в котором находятся защищенные данные.
В четвертой реализации второе устройство определяет идентификатор сеанса на основании идентификатора в заголовке блока протокольных данных, в котором находятся защищенные данные, и/или идентификатора в заголовке инкапсуляции, в котором расположены защищенные данные. Идентификатор в заголовке блока протокольных данных может представлять собой, по меньшей мере, один из IP адрес, MAC адрес и другие идентификаторы. Существует взаимосвязь сопоставления между идентификатором в заголовке блока протокольных данных и идентификатором сеанса, или существует взаимосвязь сопоставления между идентификатором в заголовке инкапсуляции и идентификатором сеанса, или существует взаимосвязь сопоставления между комбинацией идентификатора в заголовке блока данных протокола и идентификатора в заголовке инкапсуляции и идентификатора сеанса. Следовательно, идентификатор сеанса может быть определен на основании заголовка блока данных протокола и заголовка инкапсуляции. Следует отметить, что формат заголовка блока данных протокола аналогичен формату внешнего IP заголовка. Подробности описаны со ссылкой на фиг. 9.
Способ отображения включает в себя, но не ограничивается, следующий способ: второе устройство вводит идентификатор в заголовок блока данных протокола в фильтр, и фильтр вырабатывает идентификатор сеанса. Фильтр может представлять отношение отображения между идентификатором в заголовке блока данных протокола и идентификатором сеанса. В частности, когда идентификатор в заголовке блока данных протокола вводят в фильтр, фильтр выводит идентификатор сеанса.
В пятой реализации второе устройство определяет идентификатор сеанса на основании поля параметра в защищенных данных. Фиг. 3А или фиг. 3B показывает поле параметра. В конкретной реализации идентификатор сеанса может быть определен на основании содержимого поля второго идентификатора в поле параметра. Например, если второе поле идентификатора в поле параметра является идентификатором сеанса, второе устройство может непосредственно получить идентификатор сеанса. Если поле второго идентификатора в поле параметра представляет собой, по меньшей мере, одно из идентификатора службы, идентификатора канала, идентификатора потока (потока) и идентификатора сегмента, идентификатор сеанса может быть получен на основании отношений отображения между идентификатором службы, идентификатором канала, идентификатором потока (потока), идентификатором сегмента и идентификатором сеанса.
Когда второе устройство является узлом сети доступа, способы определения идентификатора сеанса вторым устройством включают в себя следующие несколько способов:
В первом способе реализации второе устройство определяет идентификатор сеанса на основании ресурса радиоинтерфейса, занятого сеансом. Фиг. 10 показывает ресурс радиоинтерфейса, занятый сеансом. В конкретной реализации идентификатор сеанса может быть определен путем различения ресурса радиоинтерфейса, занятого сеансом. Например, как показано на фиг. 10, сеанс занимает ресурс радиоинтерфейса, временной интервал которого равен S1 (теневая часть на череже), и идентификатор сеанса может быть определен на основании ресурса S1 радиоинтерфейса, занятого сеансом. Данный пример используется только для объяснения этого варианта осуществления настоящего изобретения и не должен рассматриваться как ограничение.
Во втором способе реализации второе устройство определяет идентификатор сеанса на основании идентификатора радиоинтерфейса, занятого сеансом. Идентификатор радиоинтерфейса может быть идентификатором, таким как идентификатор канала радиоинтерфейса (такой как идентификатор канала сигнализации или идентификатор канала данных), идентификатор ресурса радиоинтерфейса или временный идентификатор сотовой радиосети (CRNTI: временной идентификатор сотовой радиосети). Поскольку существует отношение отображения между идентификатором радиоинтерфейса и идентификатором сеанса, идентификатор сеанса может быть определен на основе отношения отображения между идентификатором радиоинтерфейса и идентификатором сеанса. Фиг. 11 показывает возможность радиоканала данных, занятого сеансом, где идентификатор сеанса может быть определен путем различения идентификатора радиоканала данных, занятого сеансом. Как показано на фиг. 11, сеанс занимает ресурсы, показанные теневыми областями «1», «2» и «3» для установления однонаправленного радиоканала, и идентификатор сеанса может быть определен на основе идентификатора однонаправленного радиоканала, занятого сеанса. Этот пример просто используется для объяснения этого варианта осуществления настоящего изобретения и не должен рассматриваться как ограничение.
В третьем способе реализации второе устройство определяет идентификатор сеанса на основании поля параметра в защищенных данных. Фиг. 3А или фиг. 3B показывает поле параметра. В конкретной реализации идентификатор сеанса может быть определен на основании содержимого поля второго идентификатора в поле параметра. Например, если поле второго идентификатора в поле параметра является идентификатором сеанса, второе устройство может непосредственно получить идентификатор сеанса. Если поле второго идентификатора в поле параметра представляет собой, по меньшей мере, одно из идентификатора службы, идентификатора канала, идентификатора потока (потока) и идентификатора сегмента, идентификатор сеанса может быть получен на основе отношений отображения между идентификатором службы, идентификатором канала, идентификатором потока (потока), идентификатором сегмента и идентификатором сеанса.
Вышеизложенное подробно описывает способы в вариантах осуществления настоящего изобретения. Далее представлены устройства в вариантах осуществления настоящего изобретения.
Фиг. 12 является принципиальной структурной схемой первого устройства в соответствии с вариантом осуществления настоящего изобретения. Первое устройство может включать в себя модуль 810 получения и модуль 820 отправки, где подробные описания блоков представлены ниже:
Модуль 810 получения выполнен с возможностью получать политику безопасности сеанса и, по меньшей мере, один ключ.
Модуль 820 отправки выполнен с возможностью отправлять защищенные данные во второе устройство, где защищенные данные получают путем защиты безопасности данных сеанса с использованием, по меньшей мере, одного ключа на основании политики безопасности сеанса, и второе устройство выполнено с возможностью восстанавливать защищенные данные с использованием, по меньшей мере, одного ключа на основании политики безопасности для получения данных сеанса.
Когда первое устройство является оконечным устройством, второе устройство является узлом сети доступа или узлом плоскости пользователя, или, когда первое устройство является узлом сети доступа или узлом плоскости пользователя, второе устройство является оконечным устройством.
Возможно, по меньшей мере, один ключ включает в себя первый ключ и второй ключ, где первый ключ используют для защиты первой безопасности сеанса и второй ключ используют для защиты второй безопасности сеанса.
Возможно, политику безопасности используют для указания режима защиты данных сеанса, и режим защиты состоит в следующем: защита первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности или защита второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности или защита первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности и защита второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности.
Возможно, политику безопасности дополнительно используют для указания, по меньшей мере, одного из первого алгоритма безопасности, второго алгоритма безопасности, длины ключа и времени обновления ключа.
Возможно длина ключа включает в себя первую длину ключа и/или вторую длину ключа, где длину первого ключа используют для представления длины первого ключа и длину второго ключа используют для представления длины второго ключа.
Возможно, время обновления ключа включает в себя время обновления первого ключа и/или время обновления второго ключа, где время обновления первого ключа используют для представления времени обновления первого ключа, и время обновления второго ключа используют для представления времени обновления второго ключа.
Возможно, первая безопасность является конфиденциальностью, и вторая безопасность является целостностью.
Возможно, защищенные данные дополнительно включают в себя поле параметра, и поле параметра включает в себя, по меньшей мере, одно из поле первого идентификатора, поле второго идентификатора и поле третьего идентификатора, где поле первого идентификатора используют для указания, что текущее сообщение является сообщением сеанса, поле второго идентификатора используют для указания, по меньшей мере, одного из идентификатора службы, идентификатора сеанса, идентификатора канала, идентификатора потока и идентификатора сегмента и поле третьего идентификатора используют для указания режима защиты сеанса.
Возможно, поле параметра дополнительно включает в себя, по меньшей мере, одно из: поле длины, поле пакета и MAC поле, где поле длины используют для указания поля длины параметра, поле пакета используют для указания длина пакета, когда пакет зашифрован, и MAC поле используют для указания защищенности целостности сеанса.
Возможно, модуль 810 получения специально выполнен с возможностью получать политику безопасности от контроллера политики.
Возможно, как показано на фиг. 13, модуль 810 получения включает в себя блок 811 передачи и блок 813 приема, где
блок 811 передачи выполнен с возможностью передачи первого запроса узлу сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и
блок 813 приема выполнен с возможностью принимать политику безопасности, возвращенную узлом сети доступа, где политику безопасности получают узлом сети доступа путем отправки второго запроса в контроллер политики, и второй запрос генерируют узлом сети доступа на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа.
В качестве варианта, блок 811 передачи выполнен с возможностью передачи первого запроса узлу сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и блок 813 приема выполнен с возможностью принимать политику безопасности, возвращенную узлом сети доступа, где политика безопасности получена узлом сети доступа путем пересылки второго запроса контроллеру политики через, по меньшей мере, один сетевой элемент и второй запрос генерируют узлом сети доступа на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа.
В качестве варианта, по меньшей мере один сетевой элемент включает в себя сетевой элемент управления сеансом; или, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом или узел управления мобильностью.
В качестве варианта, блок 811 передачи выполнен с возможностью передачи первого запроса узлу сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и блок 813 приема выполнен с возможностью принимать политику безопасности, возвращенную узлом сети доступа, где политику безопасности генерируют узлом сети доступа на основании политики безопасности базовой сети и возможности безопасности узла сети доступа и политику безопасности базовой сети генерируют контроллером политики на основании первого запроса, пересылаемого узлом сети доступа.
Возможно, как показано на фиг. 14, когда второе устройство является узлом сети доступа, модуль 810 получения включает в себя блок 812 передачи, блок 814 получения и блок 816 извлечения, где
блок 812 передачи выполнен с возможностью передачи третьего запроса узлу аутентификации через узел сети доступа;
блок 814 получения выполнен с возможностью получения базовых ключей на основании третьего запроса, где базовые ключи генерируют после того, как первое устройство и узел аутентификации аутентифицируют друг друга; и
блок 816 извлечения выполнен с возможностью извлекать по меньшей мере один ключ на основании базовых ключей.
Возможно, блок 816 извлечения выполнен с возможностью извлекать промежуточный ключ на основании базовых ключей и извлекать, по меньшей мере, один ключ на основании промежуточного ключа.
Возможно, блок 816 извлечения выполнен с возможностью извлекать промежуточный ключ на основании первого параметра и базовых ключей, где первый параметр включает в себя, по меньшей мере, один из идентификатора узла сети доступа, счетчика NAS, порядкового номера для генерации промежуточного ключа, порядкового номера пакета, одноразового номера 1, идентификатора канала, идентификатора потока и идентификатора сегмента.
Возможно, блок 816 извлечения выполнен с возможностью извлекать, по меньшей мере, один ключ на основании второго параметра и промежуточного ключа, где второй параметр включает в себя по меньшей мере один из идентификатора политики безопасности радиоинтерфейса, идентификатора алгоритма безопасности, счетчика NAS, одноразовый номер 2, идентификатора ресурса радиоинтерфейса, идентификатора канала радиоинтерфейса, идентификатора сегмента и идентификатора сеанса, и идентификатор алгоритма безопасности представляет собой, по меньшей мере, один из идентификатор алгоритма шифрования сигнализации радиоинтерфейса, идентификатор информации радиоинтерфейса идентификатор алгоритма защиты целостности, идентификатор алгоритма шифрования плоскости пользователя и идентификатор алгоритма защиты целостности плоскости пользователя.
В качестве варианта, по меньшей мере один ключ включает в себя, по меньшей мере, один из ключа шифрования сигнализации радиоинтерфейса, ключа шифрования целостности сигнализации радиоинтерфейса, ключа плоскости пользователя и ключа шифрования целостности плоскости пользователя.
В качестве варианта, защищенными данными являются данные заголовка, данные полезной нагрузки или пакет, где пакет включает в себя данные заголовка и данные полезной нагрузки.
Следует отметить, что для реализации каждого блока, соответственно, может быть дополнительно сделана ссылка на соответствующие описания варианта осуществления способа, показанного на фиг. 2.
На фиг. 15 является структурной схемой второго устройства в соответствии с вариантом осуществления настоящего изобретения. Второе устройство может включать в себя модуль 910 определения, модуль 920 получения и модуль 930 идентификации, где подробные описания блоков представлены ниже:
Модуль 910 определения выполнен с возможностью определять идентификатор сеанса.
Модуль 920 получения выполнен с возможностью получения политики безопасности сеанса и по меньшей мере одного ключа.
Модуль 930 идентификации выполнен с возможностью идентифицировать на основании идентификатора сеанса защищенные данные, которые относятся к сеансу и отправляются первым устройством, и восстанавливать защищенные данные с использованием, по меньшей мере, одного ключа на основании политики безопасности сеанса для получения данных сеанса, где защищенные данные получают первым устройством путем защиты безопасности данных сеанса с использованием, по меньшей мере, одного ключа на основании политики безопасности сеанса, и первое устройство выполнено с возможностью шифровать данные сеанса с использованием, по меньшей мере, одного ключа на основании политики безопасности для получения защищенных данных.
Когда первое устройство является оконечным устройством, второе устройство является узлом сети доступа или узлом плоскости пользователя, или, когда первое устройство является узлом сети доступа или узлом плоскости пользователя, второе устройство является оконечным устройством.
В качестве варианта, по меньшей мере один ключ включает в себя первый ключ и второй ключ, где первый ключ используют для защиты первой безопасности сеанса и второй ключ используют для защиты второй безопасности сеанса.
В качестве варианта, политику безопасности используют для указания режима защиты данных сеанса, и режим защиты состоит в следующем: защита первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности или защита второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности или защита первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности и защита второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности.
В качестве варианта, политику безопасности дополнительно используют для указания, по меньшей мере, одного из первого алгоритма безопасности, второго алгоритма безопасности, длины ключа и времени обновления ключа.
В качестве варианта, длина ключа включает в себя длину первого ключа и/или длину второго ключа, где первую длину ключа используют для представления длины первого ключа и длину второго ключа используют для представления длины второго ключа.
В качестве варианта, время обновления ключа включает в себя время обновления первого ключа и/или время обновления второго ключа, где время обновления первого ключа используют для представления времени обновления первого ключа и время обновления второго ключа используют представления времени обновления второго ключа.
В качестве варианта, когда второе устройство является узлом плоскости пользователя, модуль 910 определения специально выполнен с возможностью:
определять идентификатор сеанса на основании заголовка инкапсуляции, в котором находятся защищенные данные; или
определять идентификатор сеанса на основании идентификатора туннеля в заголовке инкапсуляции, в котором находятся защищенные данные; или
определять идентификатор сеанса на основании внешнего заголовка IP пакета, в котором находятся защищенные данные; или
определять идентификатор сеанса на основании заголовка инкапсуляции, в котором находятся защищенные данные, и внешнего заголовка IP пакета, в котором находятся защищенные данные; или
определять идентификатор сеанса на основании заголовка протокольного блока данных, в котором находятся защищенные данные, и заголовка инкапсуляции, в котором находятся защищенные данные; или
определять идентификатор сеанса на основании поля параметра в защищенных данных.
В качестве варианта, когда второе устройство является узлом сети доступа, модуль 910 определения специально выполнен с возможностью:
определять идентификатор сеанса на основании ресурса радиоинтерфейса, занятого сеансом; или
определять идентификатор сеанса на основании идентификатора радиоинтерфейса, занятого сеансом; или
определять идентификатор сеанса на основании идентификатора радиоканала данных, занятого сеансом; или
определить идентификатор сеанса на основании поля параметра в защищенных данных.
В качестве варианта, первая безопасность является конфиденциальностью, и вторая безопасность является целостностью.
В качестве варианта, поле параметра включает в себя, по меньшей мере, одно из поле первого идентификатора, поле второго идентификатора и поле третьего идентификатора, где поле первого идентификатора используют для указания, что текущее сообщение является сообщением сеанса, поле второго идентификатора используют для указания, по меньшей мере, одного из идентификатора службы, идентификатора сеанса и идентификатора сегмента, и поле третьего идентификатора используют для указания режима защиты сеанса.
В качестве варианта, поле параметра дополнительно включает в себя, по меньшей мере, одно из: поле длины, поле пакета и MAC поле, где поле длины используют для указания длины поля параметра, поле пакета используют для указания длины пакета, когда пакет зашифрован, и MAC поле используют для указания, что целостность сеанса защищена.
В качестве варианта, когда второе устройство является узлом сети доступа, модуль 920 получения выполнен с возможностью получать политику безопасности от первого сетевого элемента, где первый сетевой элемент представляет собой любой из контроллер аутентификации, контроллер управления ключами, контроллер политики и контроллер ключей.
В качестве варианта, как показано на фиг. 16, когда первый сетевой элемент является контроллером политики, модуль 920 получения включает в себя блок 921 приема и блок 923 gthtlfxb, где
блок 921 приема выполнен с возможностью принимать первый запрос, отправленный первым устройством, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы;
блок 923 передачи выполнен с возможностью передавать второй запрос в контроллер политики, где второй запрос генерируют на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности сети доступа узел; и
блок 921 приема выполнен с возможностью принимать политику безопасности, возвращенную контроллером политики, где политику безопасности генерируют контроллером политики на основании второго запроса.
В качестве варианта, блок 921 приема выполнен с возможностью принимать первый запрос, отправленный первым устройством, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы;
блок 923 передачи выполнен с возможностью отправлять второй запрос в контроллер политики через, по меньшей мере, один сетевой элемент, где второй запрос генерируется на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа; и
блок 921 приема выполнен с возможностью принимать политику безопасности, возвращенную контроллером политики через, по меньшей мере, один сетевой элемент, где политику безопасности генерируют контроллером политики на основании второго запроса.
В качестве варианта, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом; или, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом или узел управления мобильностью.
В качестве варианта, блок 921 приема выполнен с возможностью принимать первый запрос, отправленный первым устройством, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы;
блок 923 передачи выполнен с возможностью пересылать первый запрос в контроллер политики; и
блок 921 приема выполнен с возможностью принимать политику безопасности базовой сети, возвращенную контроллером политики, и генерировать политики безопасности на основании политики безопасности базовой сети и возможности безопасности узла сети доступа.
В качестве варианта, как показано на фиг. 17, когда второе устройство является узлом сети доступа, модуль 920 получения включает в себя блок 922 передачи, блок 924 приема и блок 926 извлечения, где
блок 922 передачи выполнен с возможностью передачи третьего запроса на центр управления ключами;
блок 924 приема выполнен с возможностью принимать промежуточный ключ, возвращенный центром управления ключами на основании третьего запроса, где промежуточный ключ извлекают на основании базовых ключей, и базовые ключи отправляют узлом аутентификации в центр управления ключами; и
блок 926 извлечения выполнен с возможностью извлекать, по меньшей мере, один ключ на основании промежуточного ключа.
В качестве варианта, промежуточный ключ извлекают на основании первого параметра, где первый параметр включает в себя, по меньшей мере, один из идентификатор узла сети доступа, счетчик NAS, порядковый номер для генерирования промежуточного ключа, порядковый номер пакета, одноразовый номер 1, идентификатор канала, идентификатор потока и идентификатор сегмента.
В качестве варианта, блок 923 извлечения выполнен с возможностью извлекать, по меньшей мере, один ключ на основании второго параметра и промежуточного ключа, где второй параметр включает в себя, по меньшей мере, один из идентификатор политики безопасности радиоинтерфейса, идентификатор алгоритма безопасности, счетчик NAS, одноразовый номер 2, идентификатор ресурса радиоинтерфейса, идентификатор канала радиоинтерфейса, идентификатор сегмента и идентификатор сеанса, и идентификатор алгоритма безопасности представляет собой, по меньшей мере, один из идентификатор алгоритма шифрования сигнализации радиоинтерфейса, идентификатор информации радиоинтерфейса, идентификатор алгоритма защиты целостности, идентификатор алгоритма шифрования плоскости пользователя и идентификатор алгоритма защиты целостности плоскости пользователя.
В качестве варианта, по меньшей мере один ключ включает в себя по меньшей мере один из ключа шифрования сигнализации радиоинтерфейса, ключа шифрования целостности сигнализации радиоинтерфейса, ключа плоскости пользователя и ключа шифрования целостности плоскости пользователя.
В качестве варианта, когда второе устройство является узлом плоскости пользователя, модуль 920 получения выполнен с возможностью запрашивать, по меньшей мере, один ключ из первого сетевого элемента, где первый сетевой элемент представляет собой любой из контроллер аутентификации, контроллер управления ключами, контроллер политик и контроллер ключей.
В качестве варианта, защищенными данными являются данные заголовка, данные полезной нагрузки или пакет, где пакет включает в себя данные заголовка и данные полезной нагрузки.
Следует отметить, что для реализации каждого блока, соответственно, может быть дополнительно сделана ссылка на соответствующие описания варианта осуществления способа, показанного на фиг. 2.
На фиг. 18 является структурной схемой контроллера политик согласно варианту осуществления настоящего изобретения. Контроллер политик может включать в себя модуль 1110 приема, модуль 1120 генерирования и модуль 1130 передачи, где подробные описания блоков представлены ниже.
Модуль 1110 приема выполнен с возможностью принимать запрос политики, переданный целевым сетевым элементом, где запрос политики включает в себя, по меньшей мере, одну из возможностей безопасности и требования безопасности службы оконечного устройства и требования безопасности узда сети доступа.
Модуль 1120 генерирования выполнен с возможностью генерировать политику безопасности на основании целевого параметра, где целевой параметр генерируют на основании первого запроса и включает в себя по меньшей мере одну из возможностей безопасности оконечного устройства, требования безопасности службы, и требование безопасности узла сети доступа.
модуль 1130 передачи выполнен с возможностью передачи политики безопасности узлу сети доступа.
В качестве варианта, целевой параметр дополнительно включает в себя предварительно установленную возможность безопасности оконечного устройства, где предварительно установленная возможность безопасности оконечного устройства получают из контроллера службы аутентификации AUSF.
В качестве варианта, целевой параметр дополнительно включает в себя требование безопасности сервера, где требование безопасности сервера получают из сервера.
В качестве варианта, целевой сетевой элемент является узлом сети доступа или сетевым элементом управления сеансом.
Следует отметить, что для реализации каждого блока, соответственно, может быть дополнительно сделана ссылка на соответствующие описания варианта осуществления способа, показанного на фиг. 2.
На фиг. 19 является структурной схемой первого устройства в соответствии с вариантом осуществления настоящего изобретения. Первое устройство может включать в себя модуль 1210 отправки, модуль 1220 получения и модуль 1230 извлечения.
Модуль 1210 передачи выполнен с возможностью передачи третьего запроса узлу аутентификации через узел сети доступа.
Модуль 1220 получения выполнен с возможностью получать базовые ключи на основании третьего запроса, где базовые ключи генерируют после того, как первое устройство и узел аутентификации аутентифицируют друг друга.
Модуль 1230 извлечения выполнен с возможностью извлекать, по меньшей мере, один ключ на основании базовых ключей.
В качестве варианта, модуль 1230 извлечения выполнен с возможностью извлекать промежуточный ключ на основании базовых ключей и извлекать по меньшей мере один ключ на основании промежуточного ключа.
В качестве варианта, модуль 1230 извлечения выполнен с возможностью извлекать промежуточный ключ на основании первого параметра и базовых ключей, где первый параметр включает в себя, по меньшей мере, один из идентификатор узла сети доступа, счетчик NAS, порядковый номер для генерации промежуточного ключа, порядковый номер пакета, одноразовый номер 1, идентификатор канала, идентификатор потока и идентификатор сегмента.
В качестве варианта, модуль 1230 извлечения выполнен с возможностью извлекать по меньшей мере один ключ на основании второго параметра и промежуточного ключа, где второй параметр включает в себя, по меньшей мере, один из идентификатор политики безопасности радиоинтерфейса, идентификатор алгоритма безопасности, счетчик NAS, одноразовый номер 2, идентификатор ресурса радиоинтерфейса, идентификатор канала радиоинтерфейса, идентификатор сегмента и идентификатор сеанса, и идентификатор алгоритма безопасности представляет собой, по меньшей мере, один из идентификатор алгоритма шифрования сигнализации радиоинтерфейса, идентификатор информации радиоинтерфейса идентификатор алгоритма защиты целостности, идентификатор алгоритма шифрования плоскости пользователя и идентификатор алгоритма защиты целостности плоскости пользователя.
В качестве варианта, по меньшей мере один ключ включает в себя по меньшей мере один из ключа шифрования сигнализации радиоинтерфейса, ключа шифрования целостности сигнализации радиоинтерфейса, ключа плоскости пользователя и ключа шифрования целостности плоскости пользователя.
Следует отметить, что для реализации каждого блока, соответственно, может быть дополнительно сделана ссылка на соответствующие описания варианта осуществления способа, показанного на фиг. 2.
На фиг. 20 показано первое устройство согласно варианту осуществления настоящего изобретения. Первое устройство включает в себя процессор 1301, память 1302 и приемопередатчик 1303. Процессор 1301, память 1302 и приемопередатчик 1303 соединены шиной.
Память 1302 включает в себя, но не ограничивается этим, память с произвольным доступом (на английском языке: Random Access Memory, RAM для краткости), постоянную память (на английском языке: Read-Only Memory, ROM для краткости), стираемое программируемое чтение только память (на английском языке: Erasable Programmable Read Only Memory, EPROM для краткости) или постоянное запоминающее устройство на компакт-диске (на английском языке: Compact Disk Read-Only Memory, CD-ROM), и память 1302 выполнена с возможностью хранить соответствующую инструкцию и данные. Приемопередатчик 1303 выполнен с возможностью принимать и отправлять данные.
Процессор 1301 может быть одним или более центральными процессорами (на английском языке: Central Processing Unit, CPU для краткости). Когда процессор 1301 представляет собой один CPU, CPU может быть одноядерным CPU или может быть многоядерным CPU.
Процессор 1301 в первом устройстве выполнен с возможностью считывать программный код, сохраненный в памяти 1302, для выполнения следующих операций:
Процессор 1301 получает политику безопасности сеанса и, по меньшей мере, один ключ; и
приемопередатчик 1303 передает защищенные данные второму устройству, где защищенные данные получают путем защиты безопасности данных сеанса с использованием, по меньшей мере, одного ключа на основании политики безопасности сеанса, и второе устройство выполнено с возможностью восстанавливать защищенные данные с использованием по меньшей мере одного ключа на основании политики безопасности для получения данных сеанса; где
когда первое устройство является оконечным устройством, второе устройство является узлом сети доступа или узлом плоскости пользователя, или, когда первое устройство является узлом сети доступа или узлом плоскости пользователя, второе устройство является оконечным устройством.
В качестве варианта, по меньшей мере, один ключ включает в себя первый ключ и второй ключ, причем первый ключ используют для защиты первой безопасности сеанса, и второй ключ используют для защиты второй безопасности сеанса.
В качестве варианта, политику безопасности используют для указания режима защиты данных сеанса, и режим защиты представляет собой: защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности или защиту второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности или защиту первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности и защиту второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности.
В качестве варианта, политику безопасности дополнительно используют для указания, по меньшей мере, одного из первого алгоритма безопасности, второго алгоритма безопасности, длины ключа и времени обновления ключа.
В качестве варианта, длина ключа включает в себя длину первого ключа и/или длину второго ключа, где длину первого ключа используют для представления длины первого ключа, и длину второго ключа используют для представления длины второго ключа.
В качестве варианта, время обновления ключа включает в себя время обновления первого ключа и/или время обновления второго ключа, где время обновления первого ключа используют для представления времени обновления первого ключа, и время обновления второго ключа используют представления времени обновления второго ключа.
В качестве варианта, первая безопасность представляет собой конфиденциальность, и вторая безопасность представляет собой целостность.
В качестве варианта, защищенные данные дополнительно включают в себя поле параметра, и поле параметра включает в себя, по меньшей мере, одно из поле первого идентификатора, поле второго идентификатора и поле третьего идентификатора, где поле первого идентификатора используют для указания, что текущее сообщение является сообщением сеанса, поле второго идентификатора используют для указания, по меньшей мере, одного из идентификатора службы, идентификатора сеанса, идентификатора канала, идентификатора потока и идентификатора сегмента, и третий идентификатор используют для указания защиты режим сеанса.
В качестве варианта, поле параметра дополнительно включает в себя, по меньшей мере, одно из поле длины, поле пакета и MAC поле, где поле длины используют для указания длины поля параметра, поле пакета используют для указания длина пакета, когда пакет зашифрован, и MAC поле используют для указания защищенности целостности сеанса.
В качестве варианта, приемопередатчик 1303 получает политику безопасности от контроллера политики.
В качестве варианта, приемопередатчик 1303 отправляет первый запрос в узел сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и приемопередатчик 1303 принимает политику безопасности, возвращенную узлом сети доступа, где политику безопасности получают узлом сети доступа путем отправки второго запроса в контроллер политики, и второй запрос генерируют узлом сети доступа на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа.
В качестве варианта, приемопередатчик 1303 отправляет первый запрос в узел сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и приемопередатчик 1303 принимает политику безопасности, возвращенную узлом сети доступа, где политику безопасности получают узлом сети доступа путем пересылки второго запроса в контроллер политики через, по меньшей мере, один сетевой элемент, и второй запрос генерируют узлом сети доступа на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа.
В качестве варианта, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом; или, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом или узел управления мобильностью.
В качестве варианта, приемопередатчик 1303 отправляет первый запрос в узел сети доступа, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; и, возможно, приемопередатчик 1303 принимает политику безопасности, возвращенную узлом сети доступа, где политика безопасности генерируется узлом сети доступа на основании политики безопасности базовой сети и возможности безопасности узла сети доступа, и безопасность базовой сети политика генерируется контроллером политики на основании первого запроса, пересылаемого узлом сети доступа.
В качестве варианта, приемопередатчик 1303 отправляет третий запрос узлу аутентификации через узел сети доступа; приемопередатчик 1303 получает базовые ключи на основании третьего запроса, где базовые ключи генерируют после того, как первое устройство и узел аутентификации аутентифицируют друг друга; и процессор 1301 извлекает, по меньшей мере, один ключ на основании базовых ключей.
В качестве варианта, процессор 1301 извлекает промежуточный ключ на основании базовых ключей и извлекает, по меньшей мере, один ключ на основании промежуточного ключа.
В качестве варианта, процессор 1301 извлекает промежуточный ключ на основании первого параметра и базовых ключей, где первый параметр включает в себя, по меньшей мере, один из идентификатор узла сети доступа, счетчик NAS, порядковый номер для генерации промежуточного ключ, порядковый номер пакета, одноразовый номер 1, идентификатор канала, идентификатор потока и идентификатор сегмента.
В качестве варианта, процессор 1301 извлекает, по меньшей мере, один ключ на основании второго параметра и промежуточного ключа, где второй параметр включает в себя, по меньшей мере, один из идентификатор политики безопасности радиоинтерфейса, идентификатор алгоритма безопасности, счетчик NAS, одноразовый номер 2, идентификатор ресурса радиоинтерфейса, идентификатор канала радиоинтерфейса, идентификатор сегмента и идентификатор сеанса, а также идентификатор алгоритма безопасности представляет собой, по меньшей мере, один из идентификатора алгоритма шифрования сигнализации радиоинтерфейса, идентификатора алгоритма защиты целостности информации радиоинтерфейса, идентификатора алгоритма шифрования плоскости пользователя и идентификатор алгоритма защиты целостности плоскости пользователя.
В качестве варианта, по меньшей мере, один ключ включает в себя, по меньшей мере, один из ключа шифрования сигнализации радиоинтерфейса, ключа шифрования целостности сигнализации радиоинтерфейса, ключа плоскости пользователя и ключа шифрования целостности плоскости пользователя.
В качестве варианта, защищенными данными являются данные заголовка, данные полезной нагрузки или пакет, где пакет включает в себя данные заголовка и данные полезной нагрузки.
Кроме того, процессор 1301 в первом устройстве может быть выполнен с возможностью считывать программный код, сохраненный в памяти 1302, для выполнения следующих операций:
В качестве варианта, приемопередатчик 1303 передает третий запрос узлу аутентификации через узел сети доступа; процессор 1301 получает базовые ключи на основании третьего запроса, где базовые ключи генерируют после того, как первое устройство и узел аутентификации аутентифицируют друг друга; и процессор 1301 извлекает, по меньшей мере, один ключ на основании базовых ключей.
В качестве варианта, процессор 1301 извлекает промежуточный ключ на основании базовых ключей и извлекает по меньшей мере один ключ на основании промежуточного ключа.
В качестве варианта, процессор 1301 извлекает промежуточный ключ на основании первого параметра и базовых ключей, где первый параметр включает в себя по меньшей мере один из идентификатор узла сети доступа, счетчик NAS, порядковый номер для генерации промежуточного ключа, порядковый номер пакета, одноразовый номер 1, идентификатор канала, идентификатор потока и идентификатор сегмента.
В качестве варианта, процессор 1301 извлекает по меньшей мере один ключ на основании второго параметра и промежуточного ключа, где второй параметр включает в себя, по меньшей мере, один из идентификатор политики безопасности радиоинтерфейса, идентификатор алгоритма безопасности, счетчик NAS, одноразовый номер 2, идентификатор ресурса радиоинтерфейса, идентификатор канала радиоинтерфейса, идентификатор сегмента и идентификатор сеанса, и идентификатор алгоритма безопасности представляет собой, по меньшей мере, один из идентификатор алгоритма шифрования сигнализации радиоинтерфейса, идентификатор алгоритма защиты целостности информации радиоинтерфейса идентификатор алгоритма шифрования плоскости пользователя и идентификатор алгоритма защиты целостности плоскости пользователя.
В качестве варианта, по меньшей мере, один ключ включает в себя, по меньшей мере, один из ключ шифрования сигнализации радиоинтерфейса, ключ шифрования целостности сигнализации радиоинтерфейса, ключ плоскости пользователя и ключ шифрования целостности плоскости пользователя.
Следует отметить, что для реализации каждой операции, соответственно, может быть сделана ссылка на соответствующие описания варианта осуществления способа, показанного на фиг. 2.
На фиг. 21 показано второе устройство в соответствии с вариантом осуществления настоящего изобретения. Второе устройство включает в себя процессор 1401, память 1402 и приемопередатчик 1403. Процессор 1401, память 1402 и приемопередатчик 1403 соединены шиной.
Память 1402 включает в себя, но не ограничивается этим, память с произвольным доступом (английский: Random Access Memory, RAM для краткости), постоянное запоминающее устройство (английский: Read-Only Memory, ROM для краткости), стираемое программируемое чтение только память (английский: Erasable Programmable Read Only Memory, EPROM для краткости) или компакт-диск постоянное запоминающее устройство (английский: Compact Disc Read Only Memory, CD-ROM), и память 1402 выполнена с возможностью хранить соответствующую инструкцию и данные. Приемопередатчик 1403 выполнен с возможностью принимать и отправлять данные.
Процессор 1401 может быть одним или несколькими центральными процессорами (английский: Central Processing Unit, CPU для краткости). Когда процессор 1401 представляет собой один CPU, CPU может быть одноядерным CPU или может быть многоядерным CPU.
Процессор 1401 во втором устройстве выполнен с возможностью считывать программный код, сохраненный в памяти 1402, для выполнения следующих операций:
Процессор 1401 определяет идентификатор сеанса;
процессор 1401 получает политику безопасности сеанса и, по меньшей мере, один ключ; и
процессор 1401 идентифицирует на основании идентификатора сеанса защищенных данных, которые относятся к сеансу и отправляются первым устройством, и восстанавливает защищенные данные с использованием, по меньшей мере, одного ключа на основании политики безопасности сеанса для получения данных сеанса где защищенные данные получены первым устройством путем защиты безопасности данных сеанса с использованием, по меньшей мере, одного ключа на основании политики безопасности сеанса, и первое устройство выполнено с возможностью шифровать данные сеанса с использованием, по меньшей мере, одного ключа на основании политики безопасности для получения защищенных данных; где
когда первое устройство является оконечным устройством, второе устройство является узлом сети доступа или узлом плоскости пользователя, или, когда первое устройство является узлом сети доступа или узлом плоскости пользователя, второе устройство является оконечным устройством.
В качестве варианта, по меньшей мере один ключ включает в себя первый ключ и второй ключ, где первый ключ используют для защиты первой безопасности сеанса, и второй ключ используют для защиты второй безопасности сеанса.
В качестве варианта, политика безопасности используется для указания режима защиты данных сеанса, и режим защиты: защита первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности или защита второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности или защита первой безопасности данных сеанса с использованием первого ключа на основании первого алгоритма безопасности и защита второй безопасности данных сеанса с использованием второго ключа на основании второго алгоритма безопасности.
В качестве варианта, политику безопасности дополнительно используют для указания, по меньшей мере, одного из первого алгоритма безопасности, второго алгоритма безопасности, длины ключа и времени обновления ключа.
В качестве варианта, длина ключа включает в себя длину первого ключа и/или длину второго ключа, где длину первого ключа используют для представления длины первого ключа и длину второго ключа используют для представления длины второго ключа.
В качестве варианта, время обновления ключа включает в себя время обновления первого ключа и/или время обновления второго ключа, где время обновления первого ключа используют для представления времени обновления первого ключа, и время обновления второго ключа используют для представления времени обновления второго ключа.
В качестве варианта, когда второе устройство является узлом плоскости пользователя, процессор 1401 выполнен с возможностью:
определять идентификатор сеанса на основании заголовка инкапсуляции, в котором находятся защищенные данные; или
определять идентификатор сеанса на основании идентификатора туннеля в заголовке инкапсуляции, в котором находятся защищенные данные; или
определять идентификатор сеанса на основании внешнего заголовка IP пакета, в котором находятся защищенные данные; или
определять идентификатор сеанса на основании заголовка инкапсуляции, в котором находятся защищенные данные, и внешнего заголовка IP пакета, в котором находятся защищенные данные; или
определять идентификатор сеанса на основании заголовка протокольного блока данных, в котором находятся защищенные данные, и заголовка инкапсуляции, в котором находятся защищенные данные; или
определять идентификатор сеанса на основании поля параметра в защищенных данных.
В качестве варианта, когда второе устройство является узлом сети доступа, процессор 1401 выполнен с возможностью:
определять идентификатор сеанса на основании ресурса радиоинтерфейса, занятого сеансом; или
определять идентификатор сеанса на основе идентификатора радиоинтерфейса радиоинтерфейса, занятого сеансом; или
определять идентификатор сеанса на основании идентификатора радиоканала данных, занятого сеансом; или
определять идентификатор сеанса на основании поля параметра в защищенных данных.
В качестве варианта, первая безопасность представляет собой конфиденциальность, и вторая безопасность представляет собой целостность.
В качестве варианта, поле параметра включает в себя, по меньшей мере, одно из поле первого идентификатора, поле второго идентификатора и поле третьего идентификатора, где поле первого идентификатора используют для указания, что текущее сообщение является сообщением сеанса, поле второго идентификатора используют для указания, по меньшей мере, одного из идентификатора службы, идентификатора сеанса и идентификатора сегмента, и третий идентификатор используют для указания режима защиты сеанса.
В качестве варианта, поле параметра дополнительно включает в себя, по меньшей мере, одно из поле длины, поле пакета и MAC поле, где поле длины используют для указания длины поля параметра, поле пакета используют для указания длина пакета, когда пакет зашифрован, и MAC поле используют для указаний, что целостность сеанса защищена.
В качестве варианта, приемопередатчик 1403 получает политику безопасности от первого сетевого элемента, где первый сетевой элемент представляет собой любой из контроллер аутентификации, контроллер управления ключами, контроллер политики и контроллер ключа.
В качестве варианта, когда первый сетевой элемент является контроллером политики,
приемопередатчик 1403 принимает первый запрос, отправленный первым устройством, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы;
приемопередатчик 1403 отправляет второй запрос в контроллер политики, где второй запрос генерируют на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла сети доступа; и
приемопередатчик 1403 принимает политику безопасности, возвращенную контроллером политики, где политику безопасности генерируют контроллером политики на основании второго запроса.
В качестве варианта, когда первый сетевой элемент является контроллером политики,
приемопередатчик 1403 принимает первый запрос, отправленный первым устройством, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы;
приемопередатчик 1403 отправляет второй запрос в контроллер политики через, по меньшей мере, один сетевой элемент, где второй запрос генерируют на основании первого запроса и включает в себя возможность безопасности первого устройства, требование безопасности службы и требование безопасности узла доступа к сети; и
приемопередатчик 1403 принимает политику безопасности, возвращенную контроллером политики, по меньшей мере, через один сетевой элемент, где политику безопасности генерируют контроллером политики на основании второго запроса.
В качестве варианта, по меньшей мере один сетевой элемент включает в себя сетевой элемент управления сеансом; или, по меньшей мере, один сетевой элемент включает в себя сетевой элемент управления сеансом или узел управления мобильностью.
В качестве варианта, приемопередатчик 1403 принимает первый запрос, отправленный первым устройством, где первый запрос включает в себя возможность безопасности первого устройства и требование безопасности службы; приемопередатчик 1403 направляет первый запрос в контроллер политики; и приемопередатчик 1403 принимает политику безопасности базовой сети, возвращенную контроллером политики, и генерирует политику безопасности на основании политики безопасности базовой сети и возможности безопасности узла сети доступа.
В качестве варианта, когда второе устройство является узлом сети доступа,
приемопередатчик 1403 передает третий запрос в центр управления ключами;
приемопередатчик 1403 принимает промежуточный ключ, возвращенный центром управления ключами, на основании третьего запроса, где промежуточный ключ извлекают на основании базовых ключей, и базовые ключи отправляют узлом аутентификации в центр управления ключами; и
процессор 1401 извлекает, по меньшей мере, один ключ на основании промежуточного ключа.
В качестве варианта, промежуточный ключ извлекают на основании первого параметра, где первый параметр включает в себя, по меньшей мере, один из идентификатор узла сети доступа, счетчик NAS, порядковый номер для генерации промежуточного ключа, порядковый номер пакета, одноразовый номер 1, идентификатор канала, идентификатор потока и идентификатор сегмента.
В качестве варианта, процессор 1401 извлекает, по меньшей мере, один ключ на основании второго параметра и промежуточного ключа, где второй параметр включает в себя, по меньшей мере, один из идентификатор политики безопасности радиоинтерфейса, идентификатор алгоритма безопасности, счетчик NAS, одноразовый номер 2, идентификатор ресурса радиоинтерфейса, идентификатор канала радиоинтерфейса, идентификатор сегмента и идентификатор сеанса, а также идентификатор алгоритма безопасности представляет собой, по меньшей мере, один из идентификатор алгоритма шифрования сигнализации радиоинтерфейса, идентификатор алгоритма защиты целостности информации радиоинтерфейса идентификатор алгоритма шифрования плоскости пользователя и идентификатор алгоритма защиты целостности плоскости пользователя.
В качестве варианта, по меньшей мере один ключ включает в себя по меньшей мере, один из ключа шифрования сигнализации радиоинтерфейса, ключа шифрования целостности сигнализации радиоинтерфейса, ключа плоскости пользователя иа ключ шифрования целостности плоскости пользователя.
В качестве варианта, когда второе устройство является узлом плоскости пользователя, приемопередатчик 1403 запрашивает по меньшей мере один ключ из первого сетевого элемента, где первый сетевой элемент представляет собой любой из контроллера аутентификации, контроллера управления ключами, контроллера политики и контроллер ключа.
В качестве варианта, защищенными данными являются данные заголовка, данные полезной нагрузки или пакет, где пакет включает в себя данные заголовка и данные полезной нагрузки.
Следует отметить, что, соответственно, для реализации каждой операции может быть сделана ссылка на соответствующие описания варианта осуществления способа, показанного на фиг. 2.
На фиг. 22 показана схема контроллера политики согласно варианту осуществления настоящего изобретения. Контроллер политики включает в себя процессор 1501, память 1502 и приемопередатчик 1503. Процессор 1501, память 1502 и приемопередатчик 1503 связаны между собой шиной.
Память 1502 включает в себя, но не ограничивается этим, память с произвольным доступом (английский: Random Access Memory, RAM для краткости), постоянное запоминающее устройство (английский: Read-Only Memory, ROM для краткости), стираемое программируемое чтение только память (английский: Erasable Programmable Read Only Memory, EPROM для краткости) или компакт-диск постоянное запоминающее устройство (английский: Compact Disc Read Only Memory, CD-ROM), и память 1502 выполнена с возможностью хранить соответствующую инструкцию и данные. Приемопередатчик 1503 выполнен с возможностью принимать и отправлять данные.
Процессор 1501 может быть одним или несколькими центральными процессорами (английский: Central Processing Unit, CPU для краткости). Когда процессор 1501 представляет собой один CPU, CPU может быть одноядерным CPU или может быть многоядерным CPU.
Процессор 1501 в первом устройстве выполнен с возможностью считывать программный код, сохраненный в памяти 1502, для выполнения следующих операций:
приемопередатчик 1503 принимает запрос политики, отправленный целевым сетевым элементом, где запрос политики включает в себя, по меньшей мере, одно из: возможность безопасности и требования безопасности службы оконечного устройства и требования безопасности узла сети доступа;
процессор 1501 генерирует политику безопасности на основании целевого параметра, где целевой параметр генерируют на основании первого запроса и включает в себя, по меньшей мере, одну из возможностей безопасности оконечного устройства, требования безопасности службы и требования безопасности узла сети доступа; и
приемопередатчик 1503 отправляет политику безопасности узлу сети доступа.
В качестве варианта, целевой параметр дополнительно включает в себя предварительно установленную возможность безопасности оконечного устройства, где предварительно установленная возможность безопасности оконечного устройства получается из контроллера AUSF службы аутентификации.
В качестве варианта, целевой параметр дополнительно включает в себя требование безопасности сервера, где требование безопасности сервера получают из сервера.
В качестве варианта, целевой сетевой элемент является узлом сети доступа или сетевым элементом управления сеансом.
Следует отметить, что, соответственно, для реализации каждой операции может быть сделана ссылка на соответствующие описания варианта осуществления способа, показанного на фиг. 2.
Специалист в данной области техники может понять, что все или некоторые процессы способов в вариантах осуществления могут быть реализованы компьютерной программой, инструктирующей соответствующее аппаратное обеспечение. Программа может храниться на машиночитаемом носителе информации. Когда программа выполняется, выполняются процессы способов в вариантах осуществления. Вышеупомянутый носитель данных включает в себя любой носитель, который может хранить программный код, такой как ROM, RAM, магнитный диск или оптический диск.
1. Способ реализации безопасности, содержащий этапы, на которых:
получают (210) с помощью устройства пользователя политику безопасности сеанса; причем политика безопасности сеанса используется для указания режима защиты данных сеанса между устройством пользователя и узлом доступа сети;
получают (210) с помощью устройства пользователя по меньшей мере один ключ;
выполняют (230) с помощью устройства пользователя защиту безопасности данных сеанса для сеанса с использованием указанного по меньшей мере одного ключа на основе указанной политики сеанса для получения защищенных данных; и
передают (240) с помощью устройства пользователя защищенные данные сеанса на узел доступа сети.
2. Способ по п.1, в котором режимы защиты сеанса включают в себя три режима:
режим первой защиты безопасности данных сеанса с использованием первого ключа на основе первого алгоритма защиты;
режим второй защиты безопасности данных сеанса с использованием второго ключа на основе второго алгоритма защиты; и
режим первой защиты безопасности данных сеанса с использованием первого ключа на основе первого алгоритма защиты и второй защиты безопасности данных сеанса с использованием второго ключа на основе второго алгоритма защиты.
3. Способ по п.2, в котором первая защита сеанса представляет собой защиту конфиденциальности сеанса, а вторая защита сеанса представляет собой защиту целостности сеанса.
4. Способ по п. 2 или 3, в котором политика безопасности сеанса содержит первый бит и второй бит; при этом первый бит используется для указания, должна ли обеспечиваться первая защита, а второй бит используется для указания, должна ли обеспечиваться вторая защита.
5. Способ по любому из пп. 1-4, в котором этап получения с помощью пользовательского устройства по меньшей мере одного ключа содержит подэтапы, на которых:
извлекают с помощью пользовательского устройства промежуточный ключ на основе первого параметра и базового ключа; и
генерируют с помощью пользовательского устройства по меньшей мере одного ключа на основе второго параметра и промежуточного ключа.
6. Способ по п.5, в котором базовый ключ получают после успешного выполнения двунаправленной аутентификации между пользовательским устройством и узлом аутентификации.
7. Способ по п. 5 или 6, в котором первый параметр включает в себя по меньшей мере одно из идентификатора узла доступа сети, счетчика NAS, номера последовательности для генерирования промежуточного ключа, номера последовательности пакета, случайного параметра 1, идентификатора несущей, идентификатора потока и идентификатора среза.
8. Способ по любому из пп. 5-7, в котором второй параметр включает в себя по меньшей мере одно из идентификатора политики защиты радиоинтерфейса, идентификатора алгоритма защиты, счетчика NAS, случайного параметра 2, идентификатора ресурса радиоинтерфейса, идентификатора несущей радиоинтерфейса, идентификатора потока, идентификатора среза, набора политик и идентификатора сеанса.
9. Способ по п.8, в котором идентификатор алгоритма защиты представляет собой по меньшей мере одно из идентификатора алгоритма кодирования сигнализации радиоинтерфейса, идентификатора алгоритма защиты целостности информации радиоинтерфейса, идентификатора алгоритма кодирования плоскости пользователя и идентификатора алгоритма защиты целостности плоскости пользователя.
10. Устройство пользователя, содержащее:
процессор (1301), соединенный с приемопередатчиком (1303);
память (1302), хранящую инструкции, вызывающие, при исполнении процессором (1301), выполнение процессором (1301) этапов, на которых:
получают политику безопасности сеанса и по меньшей мере один ключ; причем политика безопасности сеанса используется для указания режима защиты данных сеанса между устройством пользователя и узлом доступа сети;
получают по меньшей мере один ключ;
выполняют защиту безопасности данных сеанса для сеанса с использованием указанного по меньшей мере одного ключа на основе указанной политики сеанса для получения защищенных данных; и
передают защищенные данные сеанса на узел доступа сети.
11. Устройство пользователя по п.10, в котором режимы защиты сеанса включают в себя три режима:
режим первой защиты безопасности данных сеанса с использованием первого ключа на основе первого алгоритма защиты;
режим второй защиты безопасности данных сеанса с использованием второго ключа на основе второго алгоритма защиты; и
режим первой защиты безопасности данных сеанса с использованием первого ключа на основе первого алгоритма защиты и второй защиты безопасности данных сеанса с использованием второго ключа на основе второго алгоритма.
12. Устройство пользователя по п.11, в котором первая защита сеанса представляет собой защиту конфиденциальности сеанса, а вторая защита сеанса представляет собой защиту целостности сеанса.
13. Устройство пользователя по п. 11 или 12, в котором политика безопасности сеанса содержит первый бит и второй бит; при этом первый бит используется для указания, должна ли обеспечиваться первая защита, а второй бит используется для указания, должна ли обеспечиваться вторая защита.
14. Устройство пользователя по любому из пп. 10-13, в котором инструкции вызывают выполнение процессором (1301):
извлечения промежуточного ключа на основе первого параметра и базового ключа; и
генерирования по меньшей мере одного ключа на основе второго параметра и промежуточного ключа.
15. Устройство пользователя по п.14, в котором базовый ключ получают после успешного выполнения двунаправленной аутентификации между пользовательским устройством и узлом аутентификации.
16. Устройство пользователя по п. 14 или 15, в котором первый параметр включает в себя по меньшей мере одно из идентификатора узла доступа сети, счетчика NAS, номера последовательности для генерирования промежуточного ключа, номера последовательности пакета, случайного параметра 1, идентификатора несущей, идентификатора потока и идентификатора среза.
17. Устройство пользователя по любому из пп. 14-16, в котором второй параметр включает в себя по меньшей мере одно из идентификатора политики защиты радиоинтерфейса, идентификатора алгоритма защиты, счетчика NAS, случайного параметра 2, идентификатора ресурса радиоинтерфейса, идентификатора несущей радиоинтерфейса, идентификатора потока, идентификатора среза, набора политик и идентификатора сеанса.
18. Устройство пользователя по п. 17, в котором идентификатор алгоритма защиты представляет собой по меньшей мере одно из идентификатора алгоритма кодирования сигнализации радиоинтерфейса, идентификатора алгоритма защиты целостности информации радиоинтерфейса, идентификатора алгоритма кодирования плоскости пользователя и идентификатора алгоритма защиты целостности плоскости пользователя.
19. Носитель данных, в котором машиночитаемый носитель данных хранит инструкции, вызывающие при исполнении процессором выполнение процессором этапов, на которых:
получают политику безопасности сеанса и по меньшей мере один ключ; причем политика безопасности сеанса используется для указания режима защиты данных сеанса между устройством пользователя и узлом доступа сети;
получают по меньшей мере один ключ;
выполняют защиту безопасности данных сеанса для сеанса с использованием указанного по меньшей мере одного ключа на основе указанной политики сеанса для получения защищенных данных; и
передают защищенные данные сеанса на узел доступа сети.
20. Носитель данных по п. 19, в котором режимы защиты сеанса включают в себя три режима:
режим первой защиты безопасности данных сеанса с использованием первого ключа на основе первого алгоритма защиты;
режим второй защиты безопасности данных сеанса с использованием второго ключа на основе второго алгоритма защиты; и
режим первой защиты безопасности данных сеанса с использованием первого ключа на основе первого алгоритма защиты и второй защиты безопасности данных сеанса с использованием второго ключа на основе второго алгоритма.
21. Носитель данных по п. 20, в котором первая защита сеанса представляет собой защиту конфиденциальности сеанса, а вторая защита сеанса представляет собой защиту целостности сеанса.
22. Носитель данных по п. 20 или 21, в котором политика безопасности сеанса содержит первый бит и второй бит; при этом первый бит используется для указания, должна ли обеспечиваться первая защита, а второй бит используется для указания, должна ли обеспечиваться вторая защита.
23. Носитель данных по любому из пп. 19-22, в котором инструкции вызывают выполнение процессором:
извлечения промежуточного ключа на основе первого параметра и базового ключа; и
генерирования по меньшей мере одного ключа на основе второго параметра и промежуточного ключа.
24. Носитель данных по п.23, в котором базовый ключ получают после успешного выполнения двунаправленной аутентификации между пользовательским устройством и узлом аутентификации.
25. Носитель данных по п. 23 или 24, в котором первый параметр включает в себя по меньшей мере одно из идентификатора узла доступа сети, счетчика NAS, номера последовательности для генерирования промежуточного ключа, номера последовательности пакета, случайного параметра 1, идентификатора несущей, идентификатора потока и идентификатора среза.
26. Носитель данных по любому из пп. 23-25, в котором второй параметр включает в себя по меньшей мере одно из идентификатора политики защиты радиоинтерфейса, идентификатора алгоритма защиты, счетчика NAS, случайного параметра 2, идентификатора ресурса радиоинтерфейса, идентификатора несущей радиоинтерфейса, идентификатора потока, идентификатора среза, набора политик и идентификатора сеанса.
27. Носитель данных по п.26, в котором идентификатор алгоритма защиты представляет собой по меньшей мере одно из идентификатора алгоритма кодирования сигнализации радиоинтерфейса, идентификатора алгоритма защиты целостности информации радиоинтерфейса, идентификатора алгоритма кодирования плоскости пользователя и идентификатора алгоритма защиты целостности плоскости пользователя.
