Способ и устройство обеспечения безопасности
Изобретение относится к средствам обеспечения безопасности сообщения уровня без доступа (NAS). Технический результат – повышение безопасности данных при передаче по NAS линии соединения между оконечным устройством и AMF узлом. Определяют, с помощью устройства, значение первого параметра, показывающего технологию доступа, используемую для передачи NAS сообщения. Первый параметр является параметром ввода, используемым когда выполняется обеспечение безопасности передачи NAS сообщения. Выполняют, с помощью устройства, обеспечение безопасности для NAS сообщения на основании первого параметра, NAS ключа и NAS COUNT, соответствующих технологии доступа, используемой для передачи NAS сообщения, причем указанное устройство является оконечным устройством, микросхемой в оконечном устройстве или основным сетевым устройством. 5 н. и 22 з.п. ф-лы, 16 ил.
Область техники, к которой относится изобретение
Варианты осуществления настоящего изобретения относятся к области технологий беспроводной связи и, в частности, к способу и устройству обеспечения безопасности.
Уровень техники
В системе 5-го поколения (5th generation, 5G) оконечное устройство может получить доступ к узлу функции управления доступа и мобильностью (access and mobility management function, AMF) только посредством технологии доступа проекта партнерства 3-го поколения (3rd generation partnership project, 3GPP), либо только с помощью non-3GPP технологии доступа (non-3GPP), либо с помощью 3GPP технологии доступа и non-3GPP технологии доступа. Когда оконечное устройство получает доступ к AMF узлу посредством 3GPP технологии доступа и non-3GPP технологии доступа, между оконечным устройством и AMF узлом одновременно используют две линии соединения уровня без доступа (non-access stratum, NAS). Если оконечное устройство использует один набор NAS ключей и один набор NAS COUNTs (подсчет уровня без доступа, NAS count) для раздельной защиты двух линий соединения, может произойти следующий случай: AMF узел сначала принимает относительно небольшой NAS COUNT, переданный через одну линию связи, и затем принимает относительно большой NAS COUNT, переданный через другую линию связи. Следовательно, происходит атака повторением, приводящая к снижению безопасности данных при передаче по NAS линии соединения между оконечное устройством и AMF узлом. В этой связи, необходимо решить техническую задачу по обеспечении безопасности передачи данных между оконечным устройством и AMF узлом по множеству NAS линий соединения при их наличии.
Раскрытие сущности изобретения
Варианты осуществления настоящего изобретения обеспечивают способ и устройство реализации обеспечения безопасности для множества NAS линий соединения.
Для решения вышеупомянутых задач в вариантах осуществления настоящего изобретения обеспечиваются следующие технические решения:
Вариант осуществления настоящего изобретения обеспечивает способ обеспечения безопасности. Способ включает в себя: определение оконечным устройством первого параметра и затем выполнение обеспечения безопасности для NAS сообщения на основании первого параметра, NAS ключа и NAS COUNT, соответствующих технологии доступа, используемой для передачи NAS сообщения. Первый параметр является входным параметром, используемым, когда оконечное устройство выполняет обеспечение безопасности для NAS сообщения, и используется для указания технологии доступа, используемой для передачи NAS сообщения. Оконечное устройство может поддерживать, по меньшей мере, две технологии доступа и может отдельно поддерживать соответствующий NAS COUNT для каждой из по меньшей мере двух технологий доступа.
Например, по меньшей мере две технологии доступа, поддерживаемые оконечным устройством, могут включать в себя 3GPP технологию доступа и другую технологию доступа, которая может совместно использовать сетевое основное сетевое устройство 3GPP с 3GPP технологией доступа. Другая технология доступа может быть, например, non-3GPP технологией доступа или фиксированной технологией сетевого доступа.
В качестве варианта, первый параметр может дополнительно использоваться для указания тракта передачи, используемого оконечным устройством для передачи NAS сообщения, и оконечное устройство может отдельно поддерживать соответствующий NAS COUNT для каждого тракта передачи, используемого для передачи NAS сообщений.
Первый параметр может быть входным параметром, вновь добавленным в процессе шифрования/дешифрования, или процессе защиты целостности, например, ACCESS параметром. Бит ACCESS параметра может быть установлен на разные значения, чтобы представлять разные технологии доступа. Например, если первый параметр равен 00, то это указывает, что используется 3GPP технология доступа; или, если первый параметр равен 01, то это указывает, что используется non-3GPP технология доступа. Альтернативно, первый параметр может быть всеми или некоторыми битами текущего входного параметра COUNT в процессе шифрования/дешифрования или процессе защиты целостности, или первый параметр может быть всеми или некоторыми битами текущего входного параметра BEARER в процессе шифрования/дешифрования или процессе защиты целостности.
NAS ключ является общим, по меньшей мере, для двух технологий доступа, поддерживаемых оконечным устройством.
Согласно этому способу, оконечное устройство может отдельно поддерживать соответствующие NAS COUNTs для каждой из, по меньшей мере, двух технологий доступа. Оконечное устройство не использует один и тот же набор NAS COUNTs при передаче NAS сообщений через разные технологии доступа. Вместо этого, оконечное устройство выполняет обеспечение безопасности для NAS сообщения с использованием NAS COUNT, поддерживаемого для соответствующей технологии доступа. Может избежать атаки повторением, которая возникает, когда основное сетевое устройство сначала принимает относительно небольшой NAS COUNT, переданный по одной линии связи, и затем принимает относительно большой NAS COUNT, переданный по другой линии связи. Дополнительно, в настоящем изобретении первый параметр, используемый для различения различных технологий доступа, дополнительно используется при обеспечении защиты NAS сообщения. Следовательно, даже, если один и тот же NAS ключ и один и тот же NAS COUNT используются при выполнении обеспечения безопасности для NAS сообщения, передаваемого с использованием различных технологий доступа, результаты обеспечения безопасности для NAS сообщения различны, что уменьшает вероятность возникновения атаки повторением, тем самым, реализуя обеспечение безопасности для множества NAS линий соединений.
В возможной реализации, по меньшей мере, две технологии доступа включают в себя первую технологию доступа. Если технология доступа, используемая для передачи NAS сообщения, является первой технологией доступа, то перед тем, как оконечное устройство определит первый параметр, оконечное устройство может определить первый NAS COUNT восходящей линии связи, соответствующий первой технологии доступа, и затем оконечное устройство отправит первое сообщение в основное сетевое устройство, где обеспечение безопасности выполняется для первого сообщения с использованием первого NAS COUNT восходящей линии связи и NAS ключа, и первое сообщение содержит некоторые или все биты первого NAS COUNT восходящей линии связи.
Например, первая технология доступа может быть non-3GPP технологией доступа.
В возможной реализации, начальное значение первого NAS COUNT восходящей линии связи равно 0, при этом, некоторые или все биты первого NAS COUNT восходящей линии связи равны 0. Альтернативно, первый NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты в первом NAS COUNT восходящей линии связи являются случайными числами. Например, часть с порядковым номером или часть с переполнением NAS в первом NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. В качестве альтернативы, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. В качестве альтернативы, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, которая соответствует второй технологии доступа и которая сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является суммой 1 и наибольшим NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Альтернативно, первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит по меньшей мере два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Альтернативно, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством.
В другой возможной реализации, по меньшей мере, две технологии доступа включают в себя первую технологию доступа и вторую технологию доступа. Если технология доступа, используемая для передачи NAS сообщения, является первой технологией доступа, прежде чем оконечное устройство определит первый параметр, оконечное устройство может отправить первое сообщение основному сетевому устройству при обеспечении безопасности первого сообщения с использованием NAS ключа и NAS COUNT восходящей линии связи, соответствующие второй технологии доступа, и первое сообщение содержит некоторые или все биты NAS COUNT восходящей линии связи, соответствующего второй технологии доступа.
Вторая технология доступа представляет собой 3GPP технологию доступа. В качестве варианта, предпосылкой для реализации этой реализации является то, что оконечное устройство получило доступ к основному сетевому устройству через 3GPP технологию доступа.
В возможной реализации первое сообщение может содержать первую информацию указания, и первая информация указания используется для указания технологии доступа, соответствующей некоторым или всем битам NAS COUNT восходящей линии связи, переносимой в первом сообщении. В качестве варианта, первая информация указания может быть дополнительно использована для указания тракта передачи, соответствующего некоторым или всем битам NAS COUNT восходящей линии связи, передаваемого в первом сообщении.
В возможной реализации оконечное устройство принимает второе сообщение из основного сетевого устройства, где второе сообщение включает в себя один или оба из второго NAS COUNT восходящей линии связи и первого NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.
В качестве варианта, второе сообщение может включать в себя первый NAS COUNT нисходящей линии связи, соответствующий первой технологии доступа. В качестве альтернативы, второе сообщение включает в себя как второй NAS COUNT восходящей линии связи, так и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.
В качестве варианта, второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа, являются одинаковыми.
В возможной реализации, начальное значение второго NAS COUNT восходящей линии связи равно 0, причем все или некоторые биты второго NAS COUNT восходящей линии связи равны 0. Альтернативно, второй NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты во втором NAS COUNT восходящей линии связи являются случайными числами. Например, часть порядкового номера или часть переполнения NAS второго NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. Альтернативно, второй NAS COUNT восходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи является самым большим NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, которая соответствует второй технологии доступа и который хранится основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, которая соответствует второй технологии доступа и которая хранится основным сетевым устройством. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который сохраняется основным сетевым устройством. В качестве альтернативы, второй NAS COUNT восходящей линии связи является первым NAS COUNT восходящей линии связи; или второй NAS COUNT восходящей линии связи является суммой 1 и первый NAS COUNT восходящей линии связи.
В возможном варианте осуществления начальное значение первого NAS COUNT нисходящей линии связи равен 0, где все или некоторые биты первого NAS COUNT нисходящей линии связи равны 0. Альтернативно, первый NAS COUNT нисходящей линии связи является случайным числом. В частности, некоторые или все биты в первом NAS COUNT нисходящей линии связи являются случайными числами. Например, часть с порядковым номером или часть переполнения NAS первого NAS COUNT нисходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. В качестве альтернативы, первый NAS COUNT нисходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи является самым большим NAS COUNT нисходящей линии связи, которая соответствует второй технологией доступа и которая сохраняется основным сетевым устройством. В качестве альтернативы, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и которая хранится основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, которое соответствует второй технологии доступа и которое хранится в основном сетевом устройстве. Альтернативно, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, которая соответствует первой технологии доступа и которая хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, которое соответствует первой технологии доступа и которая хранится в основном сетевом устройстве.
В возможной реализации второе сообщение содержит вторую информацию указания, и вторая информация указания используется для указания технологии доступа, соответствующей первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, используемую для указания второго NAS COUNT восходящей линии связи, передаваемого во втором сообщении.
В качестве варианта, вторая информация указания используется для указания тракта передачи, соответствующего первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, которая используется для указания тракта передачи, соответствующего второму NAS COUNT восходящей линии связи, передаваемому во втором сообщении.
Согласно второму аспекту вариант осуществления настоящего изобретения обеспечивает способ обеспечения безопасности. Способ включает в себя:
определение основным сетевым устройством первого параметра; затем выполнение основным сетевым устройством обеспечения безопасности NAS сообщения на основании первого параметра, NAS ключа и NAS COUNT, соответствующие технологии доступа, используемой для передачи NAS сообщения. Первый параметр используется для указания технологии доступа, используемой для передачи NAS сообщения. Основное сетевое устройство может отдельно поддерживать соответствующий NAS COUNT для каждой, по меньшей мере, из двух технологий доступа, поддерживаемых оконечным устройством.
Например, по меньшей мере, две технологии доступа, поддерживаемые оконечным устройством, могут включать в себя 3GPP технологию доступа и другую технологию доступа. Указанная другая технология доступа может быть, например, non-3GPP технологией доступа или фиксированной технологией доступа к сети.
В качестве варианта, первый параметр может дополнительно использоваться для указания тракта передачи, используемого основным сетевым устройством для передачи NAS сообщения, и основное сетевое устройство может отдельно поддерживать соответствующий NAS COUNT для каждого тракта передачи, используемого для передачи NAS сообщений.
Первый параметр может быть входным параметром, вновь добавленным в процессе шифрования/дешифрования, или процессом защиты целостности, например, ACCESS параметром. Бит ACCESS параметра может быть установлен на разные значения, чтобы представлять разные технологии доступа. Например, если первый параметр равен 00, используется 3GPP технология доступа; или, если первый параметр равен 01, используется non-3GPP технология доступа. Альтернативно, первый параметр может дополнительно быть всеми или некоторыми битами текущего входного параметра COUNT в процессе шифрования/дешифрования, или процессе защиты целостности. Альтернативно, первый параметр может быть всеми или некоторыми битами текущего входного параметра BEARER в процессе шифрования/дешифрования, или процессе защиты целостности.
NAS ключ является общим, по меньшей мере, для двух технологий доступа, поддерживаемых оконечным устройством.
Согласно этому способу основное сетевое устройство может отдельно поддерживать соответствующие NAS COUNTs для каждой из, по меньшей мере, двух технологий доступа. Оконечное устройство не использует один набор NAS COUNTs при передаче NAS сообщения с использованием различных технологий доступа. Вместо этого, основное сетевое устройство обеспечивает безопасность NAS сообщения с помощью NAS COUNT, поддерживаемого для соответствующей технологии доступа. Это может предотвратить атаку повторением, которая возникает, когда оконечное устройство сначала принимает относительно небольшой NAS COUNT, переданный по одной линии связи, а затем принимает относительно большой NAS COUNT, переданный по другой линии связи. Дополнительно, в настоящем изобретении первый параметр, используемый для различения различных технологий доступа, дополнительно используется при обеспечении безопасности сообщения NAS. Следовательно, даже при использовании одного и того же NAS ключа и одного и того же NAS COUNT при обеспечении безопасности NAS сообщения, передаваемого с использованием различных технологий доступа, результаты защиты NAS сообщения различны, что уменьшает вероятность возникновения атаки повторением, тем самым, реализуя обеспечение безопасности для множества NAS линий соединений.
В возможной реализации, по меньшей мере, две технологии доступа включают в себя первую технологию доступа. Если технология доступа, используемая для передачи NAS сообщения, является первой технологией доступа, то до того, как основное сетевое устройство определит первый параметр, основное сетевое устройство может принять первое сообщение, обеспечивается безопасность для первого сообщения с использованием NAS ключа и первого NAS COUNT восходящей линии связи, соответствующий первой технологии доступа, и первое сообщение содержит первый NAS COUNT восходящей линии связи.
Например, первая технология доступа может быть non-3GPP технологией доступа.
В возможной реализации, начальное значение первого NAS COUNT восходящей линии связи равно 0, в котором, некоторые или все биты первого NAS COUNT восходящей линии связи равны 0. Альтернативно, первый NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты в первом NAS COUNT восходящей линии связи являются случайными числами. Например, часть с порядковым номером или часть с переполнением NAS в первом NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. В качестве альтернативы, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует второй технологией доступа и который сохраняется оконечным устройством. В качестве альтернативы, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, которая соответствует второй технологии доступа и которая сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере два NAS COUNT восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является суммой 1 и наибольшим NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Альтернативно, первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый СЧЕТ NAS восходящей линии связи является наибольшим СЧЕТОМ NAS восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Альтернативно, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, которая соответствует первой технологии доступа и которая сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством.
В другой возможной реализации, по меньшей мере, две технологии доступа включают в себя первую технологию доступа и вторую технологию доступа. Если технология доступа, используемая для передачи NAS сообщения, является первой технологией доступа, то до того, как основное сетевое устройство определит первый параметр, основное сетевое устройство может принять первое сообщение, где обеспечивается безопасность для первого сообщения с использованием NAS ключа и NAS COUNT восходящей линии связи, соответствующий второй технологии доступа, и первое сообщение содержит некоторые или все биты NAS COUNT восходящей линии связи, соответствующий второй технологии доступа.
Вторая технология доступа представляет собой 3GPP технологию доступа. В качестве варианта, предпосылкой для реализации этой реализации является то, что оконечное устройство получило доступ к основному сетевому устройству с использованием 3GPP технологии доступа.
В возможной реализации первое сообщение передает первую информацию указания, и первая информация указания используется для указания технологии доступа, соответствующей некоторым или всем битам NAS COUNT восходящей линии связи, передаваемого в первом сообщении. В качестве варианта, первая информация указания может быть дополнительно использована для указания тракта передачи, соответствующего некоторым или всем битам NAS COUNT восходящей линии связи, передаваемого в первом сообщении.
В возможной реализации после того, как основное сетевое устройство принимает первое сообщение из оконечного устройства, основное сетевое устройство проверяет, в соответствии с NAS COUNT восходящей линии связи, соответствующей технологии доступа, указанной первой информацией указания, некоторых или всех битов NAS COUNT, передаваемого в первом сообщении.
В этом варианте осуществления настоящего изобретения основное сетевое устройство может независимо поддерживать NAS COUNT для 3GPP технологии доступа и NAS COUNT для non-3GPP технологии доступа и дополнительно проверять принятый NAS COUNT восходящей линии связи согласно NAS COUNT восходящей линии связи, поддерживаемый основным сетевым устройством, тем самым, уменьшая вероятность возникновения атаки повторением.
В возможной реализации основное сетевое устройство определяет один или оба второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа, и затем основное сетевое устройство отправляет второе сообщение в оконечное устройство, где второе сообщение включает в себя один или оба второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.
В качестве варианта, второе сообщение может включать в себя первый NAS COUNT нисходящей линии связи, соответствующий первой технологии доступа. В качестве альтернативы, второе сообщение включает в себя как второй NAS COUNT восходящей линии связи, так и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.
В качестве варианта, второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа, являются одинаковыми.
В возможной реализации, начальное значение второго NAS COUNT восходящей линии связи равно 0, причем все или некоторые биты второго NAS COUNT восходящей линии связи равны 0. Альтернативно, второй NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты во втором NAS COUNT восходящей линии связи являются случайными числами. Например, часть порядкового номера или часть переполнения NAS второго NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. Альтернативно, второй NAS COUNT восходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNT нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи является самым большим NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который сохраняется основным сетевым устройством. В качестве альтернативы, второй NAS COUNT восходящей линии связи является первым NAS COUNT восходящей линии связи; или второй NAS COUNT восходящей линии связи является суммой 1 и первого NAS COUNT восходящей линии связи.
В возможной реализации, начальное значение первого NAS COUNT нисходящей линии связи равно 0, в котором все или некоторые биты первого NAS COUNT нисходящей линии связи равны 0. Альтернативно, первый NAS COUNT нисходящей линии связи является случайным числом. В частности, некоторые или все биты в первого NAS COUNT нисходящей линии связи являются случайными числами. Например, часть с порядковым номером или часть переполнения NAS первого NAS COUNT нисходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. В качестве альтернативы, первый NAS COUNT нисходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи является самый большим NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. В качестве альтернативы, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Альтернативно, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве.
В возможной реализации второе сообщение содержит вторую информацию указания, и вторая информация указания используется для указания технологии доступа, соответствующей первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, используемую для указания второго NAS COUNT восходящей линии связи, передаваемого во втором сообщении.
В качестве варианта, вторая информация указания используется для указания тракта передачи, соответствующего первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, которая используется для указания тракта передачи, соответствующего второму NAS COUNT восходящей линии связи, передаваемому во втором сообщении.
В качестве варианта, вторая информация указания используется для указания тракта передачи, соответствующего первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, которая используется для указания тракта передачи, соответствующего второму NAS COUNT восходящей линии связи, передаваемому во втором сообщении.
Согласно третьему аспекту вариант осуществления настоящего изобретения предоставляет устройство, и устройство имеет функцию реализации действий оконечного устройства в вышеупомянутой реализации способа. Функция может быть реализована аппаратными средствами или может быть реализована аппаратными средствами, выполняющими соответствующее программное обеспечение. Аппаратное или программное обеспечение включает в себя один или несколько модулей, соответствующих вышеуказанной функции. Например, устройство может быть оконечным устройством или может быть микросхемой в оконечном устройстве.
В возможной реализации устройство является оконечным устройством, и оконечное устройство включает в себя процессор. Процессор выполнен с возможностью поддерживать оконечное устройство при выполнении соответствующей функции в вышеупомянутом способе. Кроме того, оконечное устройство может дополнительно включать в себя передатчик и приемник, где передатчик и приемник выполнены с возможностью поддерживать связь между оконечным устройством и основным сетевым устройством. Кроме того, оконечное устройство может дополнительно включать в себя память, и память выполнена с возможностью соединения с процессором и хранения необходимых программных инструкций и данных, которые необходимы для оконечного устройства.
Согласно четвертому аспекту вариант осуществления настоящего изобретения предоставляет устройство, и устройство имеет функцию реализации действий основного сетевого устройства в вышеупомянутой реализации способа. Функция может быть реализована аппаратными средствами или может быть реализована аппаратными средствами, выполняющими соответствующее программное обеспечение. Аппаратное или программное обеспечение включает в себя один или несколько модулей, соответствующих вышеуказанной функции. Например, устройство может быть основным сетевым устройством или может быть микросхемой в основном сетевом устройстве.
В возможной реализации устройство представляет собой основное сетевое устройство, и основное сетевое устройство включает в себя процессор. Процессор выполнен с возможностью поддержки основного сетевого устройства при выполнении соответствующей функции в вышеупомянутом способе. Дополнительно, основное сетевое устройство может дополнительно включать в себя передатчик и приемник, где передатчик и приемник выполнены с возможностью поддерживать связь между основным сетевым устройством и оконечным устройством. Дополнительно, основное сетевое устройство может дополнительно включать в себя память, и память выполнена с возможностью соединения с процессором и хранения программной инструкции и данных, которые необходимы для оконечного устройства.
Согласно пятому аспекту вариант осуществления настоящего изобретения обеспечивает систему связи, где система включает в себя оконечное устройство и основное сетевое устройство, описанные в предшествующих аспектах. В качестве варианта, система может дополнительно включать в себя базовую станцию, N3IWF узел и оконечное устройство и основное сетевое устройство, описанные в предшествующих аспектах.
В соответствии с шестым аспектом вариант осуществления настоящего изобретения предоставляет компьютерный носитель данных, выполненный с возможностью хранить инструкцию компьютерного программного обеспечения, используемую вышеупомянутым оконечным устройством, где инструкция компьютерного программного обеспечения включает в себя программу, предназначенную для выполнения первого аспекта.
В соответствии с седьмым аспектом вариант осуществления настоящего изобретения предоставляет компьютерный носитель данных, выполненный с возможностью хранить инструкцию компьютерного программного обеспечения, используемую вышеупомянутым устройством базовой сети. Инструкция компьютерного программного обеспечения включает в себя программу, предназначенную для выполнения второго аспекта.
Согласно восьмому аспекту вариант осуществления настоящего изобретения предоставляет компьютерный программный продукт, включающий в себя инструкцию. Когда компьютер выполняет инструкцию, компьютер выполнен с возможностью выполнять способ в первом аспекте.
Согласно девятому аспекту вариант осуществления настоящего изобретения предоставляет компьютерный программный продукт, включающий в себя инструкцию. Когда компьютер выполняет инструкцию, компьютер может выполнять способ во втором аспекте.
В соответствии с десятым аспектом вариант осуществления настоящего изобретения обеспечивает систему микросхем, применяемую к оконечное устройству, где система микросхем включает в себя, по меньшей мере, один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и, по меньшей мере, один процессор соединены друг с другом через линии связи. По меньшей мере, в одной памяти хранится инструкция. Инструкция выполняется процессором, чтобы выполнить операции оконечного устройства в способе, описанном в первом аспекте.
Согласно одиннадцатому аспекту вариант осуществления настоящего изобретения предоставляет систему микросхем, применяемую к основному сетевому устройству, где система микросхем включает в себя, по меньшей мере, один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и, по меньшей мере, один процессор соединены друг с другом через линии связи. По меньшей мере, в одной памяти хранится инструкция. Инструкция выполняется процессором, чтобы выполнить операции основного сетевого устройства способом, описанным во втором аспекте.
Согласно способу обеспечения безопасности, предусмотренному в вариантах осуществления настоящего изобретения, оконечное устройство может отдельно поддерживать соответствующий NAS COUNT для каждой, по меньшей мере, из двух технологий доступа. Оконечное устройство не использует один набор NAS COUNT при передаче NAS сообщения через разные технологии доступа. Вместо этого, оконечное устройство обеспечивает безопасность для NAS сообщения с использованием NAS COUNT, поддерживаемого для соответствующей технологии доступа. Это может предотвратить атаку повторением, которая возникает, когда основное сетевое устройство сначала принимает относительно небольшой NAS COUNT, переданный по одной линии связи, и затем принимает относительно большой NAS COUNT, переданный по другой линии связи. Дополнительно, в настоящем изобретении дополнительно используется первый параметр, используемый для различения различных технологий доступа, для обеспечения безопасности NAS сообщения. Следовательно, даже если используются один и тот же NAS ключ и один и тот же NAS COUNT, при обеспечении безопасности NAS сообщения, передаваемого с использованием различных технологий доступа, результаты защиты NAS сообщения различны, что уменьшает вероятность возникновения атаки повторением, тем самым, обеспечивая безопасность для множества NAS линий соединений.
Краткое описание чертежей
Фиг. 1 является схемой возможной сетевой архитектуры согласно варианту осуществления настоящего изобретения;
фиг. 2 является схемой другой возможной сетевой архитектуры согласно варианту осуществления настоящего изобретения;
фиг. 3 является примером схемы способа шифрования и дешифрования согласно варианту осуществления настоящего изобретения;
фиг. 4 является примерной схемой способа обеспечения безопасности целостности согласно варианту осуществления настоящего изобретения;
фиг. 5 является блок-схемой последовательности операций способа обеспечения безопасности в соответствии с вариантом осуществления настоящего изобретения;
фиг. 6 является примером схемы другого способа шифрования и дешифрования согласно варианту осуществления настоящего изобретения;
фиг. 7 является примером схемы еще одного способа шифрования и дешифрования согласно варианту осуществления настоящего изобретения;
фиг. 8 является примером схемы еще одного способа шифрования и дешифрования согласно варианту осуществления настоящего изобретения;
фиг. 9 является блок-схемой алгоритма другого способа обеспечения безопасности в соответствии с вариантом осуществления настоящего изобретения;
фиг. 10 является блок-схемой алгоритма еще одного способа обеспечения безопасности в соответствии с вариантом осуществления настоящего изобретения;
фиг. 11А и фиг. 11B являются блок-схемами алгоритма еще одного способа обеспечения безопасности в соответствии с вариантом осуществления настоящего изобретения;
фиг. 12 является структурной схемой устройства в соответствии с вариантом осуществления настоящего изобретения;
фиг. 13 является структурной схемой оконечного устройства в соответствии с вариантом осуществления настоящего изобретения;
фиг. 14 является структурной схемой другого устройства согласно варианту осуществления настоящего изобретения; и
фиг. 15 является структурной схемой основного сетевого устройства в соответствии с вариантом осуществления настоящего изобретения.
Осуществление изобретения
Далее подробно описывается настоящее изобретение со ссылкой на прилагаемые чертежи. Конкретный способ работы в вариантах осуществления способа может применяться к варианту осуществления устройства или варианту осуществления системы. В описаниях настоящего изобретения, если не указано иное, «множество» означает два или более двух.
Архитектура системы и сценарий обслуживания, описанные в настоящем документе, предназначены для более четкого описания технических решений настоящего изобретения, но не предназначены для ограничения технических решений, представленных в настоящем изобретении. Специалист в данной области техники может знать, что, по мере развития архитектуры системы и появления нового сценария обслуживания, технические решения, представленные в настоящем изобретении, также применимы к аналогичной технической задаче.
Следует отметить, что в настоящем изобретении термин, такой как «пример» или «например», используется в качестве примера для представления иллюстрации или описания. Любой вариант осуществления или конструктивное решение, описанное в качестве «примера» или «например» в настоящем изобретении, не должно объясняться как более предпочтительное или имеющее больше преимуществ, чем другой вариант осуществления или конструктивное решение. Конкретно, использование слова «пример», или «например» или тому подобного предназначено для представления соответствующей концепции определенным образом.
Варианты осуществления настоящего изобретения могут быть применены к системе беспроводной связи следующего поколения, например, к 5G системе связи. На фиг. 1 показана схема возможной архитектуры сети в соответствии с настоящим изобретением. Архитектура сети включает в себя следующее.
AMF узел является сетевым элементом, выполненным с возможностью управлять мобильностью, и может быть выполнен с возможностью реализации функции, отличной от управления сеансом, в функциях объекта управления мобильностью (mobility management entity, MME), например, такой функции, как законный перехват или авторизация доступа.
Узел функции управления сеансом (session management function, SMF) выполнен с возможностью выделять ресурс сеанса плоскости пользователя.
Узел функции сервера аутентификации (authentication server function, AUSF) выполнен с возможностью: когда AUSF узел выполняет аутентификацию на оконечном устройстве, верифицировать и передавать параметр, который должен быть аутентифицирован, и аутентифицировать аутентификацию оконечного устройства. Основные функции включают в себя: прием запроса аутентификации, отправленного узлом функции безопасности привязки (security anchor function, SEAF), и выбор способа аутентификации. При использовании способа расширяемого протокола аутентификации для соглашения об аутентификации и ключах 3-го поколения (extensible authentication protocol authentication and key agreement, EAP-AKA'), AUSF узел может завершить аутентификацию оконечного устройства со стороны сети.
SEAF узел может быть частью AMF узла или может быть независимым сетевым элементом и, в основном, выполнен с возможностью инициировать запрос аутентификации в AUSF узел и завершать аутентификацию оконечного устройства с сетевой стороны в процессе аутентификации усовершенствованной системы пакетной передачи для соглашения об аутентификации и ключах (Evolved Packet System authentication and key agreement, EPS-AKA*).
Узел функции пользовательской плоскости (user plane function, UPF) является выходом данных пользовательской плоскости и выполнен с возможностью соединения с внешней сетью.
Сеть передачи данных (Data Network, DN) является сетью, используемую для предоставления внешних данных, например, интернет (Internet).
Узел (радио) сети доступа ((radio) access network доступа, (R)AN) может использовать разные технологии доступа. В настоящее время существует два типа технологий радиодоступа: 3GPP технология доступа (например, технология радиодоступа, используемая в 3G, 4G или 5G системе) и non-3GPP технология доступа. 3GPP технология доступа представляет собой технологию доступа, которая соответствует спецификации 3GPP стандарта. Сеть доступа, использующая 3GPP технологию доступа, является сетью радиодоступа (RAN). Сетевое устройство доступа в 5G системе упоминается как узел базовой станции следующего поколения (next generation node base station, gNB). Non-3GPP технология доступа представляет собой технологию доступа, которая не соответствует спецификации 3GPP стандарта, например, технология радиосвязи, представленная WiFi точкой доступа (access point, AP).
Оконечное устройство в настоящем изобретении представляет собой устройство, которое имеет функции беспроводной передачи и приема. Оконечное устройство может быть развернуто на земле, например, устройство, находящееся в помещении, устройство, находящееся вне помещения, карманное устройство или устройство, установленное на транспортном средстве; или может быть развернуто на воде (например, на корабле); или может быть развернуто в воздухе (например, на самолете, воздушном шаре или спутнике). Оконечное устройство может включать в себя различные типы устройства пользователя (user equipment, UE), мобильные телефоны (mobile phone), планшетные компьютеры (pad), компьютеры с функциями беспроводной передачи и приема, беспроводные малогабаритные устройства для передачи данных, оконечное устройство виртуальной реальности (virtual reality, VR), оконечное устройство дополненной реальности (augmented reality, AR), оконечное устройство связи машинного типа (machine type communication, MTC), оконечное устройство в системе управления промышленного объекта (industrial control), оконечные устройства в системе автоматического управления (self-driving), оконечное устройство в системе дистанционной медицинской помощи (remote medical), оконечное устройство в системе «умные энергосети» (Smart Grid), оконечное устройство в системе обеспечения транспортной безопасности (transportation safety), оконечное устройство в системе «умный город» (Smart City), носимые устройства (такие как умные часы, умная повязка и шагомер) и тому подобное. Оконечные устройства, имеющие сходные функции беспроводной связи, могут иметь разные названия в системах, в которых используются разные технологии радиодоступа. Для простоты описания в вариантах осуществления настоящего изобретения вышеупомянутые устройства с функциями беспроводной передачи и приема совместно называются оконечными устройствами.
В частности, оконечное устройство в настоящем изобретении хранит ключ долговременного пользования и связанную функцию. При выполнении двусторонней аутентификации с основным сетевым узлом (таким как AMF узел, AUSF узел и SEAF узел) оконечное устройство может верифицировать подлинность сети с использованием ключа долговременного пользования и связанной функции.
Сетевое устройство доступа в вариантах осуществления настоящего изобретения представляет собой устройство, которое обеспечивает функцию беспроводной связи для оконечного устройства. Например, сетевое устройство доступа может быть базовой станцией (Base Station, BS), и базовая станция может включать в себя различные виды макробазовых станций, микро базовых станций, ретрансляционных станций, точек доступа и т.п. Устройства, имеющие функции базовой станции, могут иметь разные названия в системах, в которых используются разные технологии радиодоступа. Например, в 5G системе устройство, имеющее функции базовой станции, упоминается как базовая станция узла следующего поколения и может быть представлено как gNB; в системе долгосрочного развития (Long Term Evolution, LTE) устройство, имеющее функции базовой станции, называется усовершенствованным NodeB (evolved NodeB, eNB или eNodeB); в системе связи 3-го поколения (3rd generation, 3G) устройство, имеющее функции базовой станции, упоминается как узел B (Node B). Для простоты описания в вариантах осуществления настоящего изобретения вышеупомянутые устройства, которые обеспечивают функцию беспроводной связи для оконечного устройства, совместно называются сетевыми устройствами доступа.
Узел функции экспозиции сети (network exposure function, NEF) в основном выполнен с возможностью взаимодействия с третьей стороной, так что третья сторона может косвенно взаимодействовать с сетевым элементом в некоторых 3GPP сетях.
Узел функции хранилища сетевых функция (network function repository function, NRF) выполнен с возможностью обнаружения межсетевого элемента и поддержания функции сети (network function, NF).
Узел функции управления политикой (policy control function, PCF) хранит последнее правило качества обслуживания (quality of service, QoS). Базовая станция может выделять соответствующий ресурс для канала передачи плоскости пользователя в соответствии с правилом QoS, предоставленным SMF узлом.
Узел управления унифицированными данными (unified data management, UDM) выполнен с возможностью хранить информацию подписки пользователя.
Узел прикладной функции (application function, AF) может быть расположен внутри DN и является функциональным сетевым элементом, развернутым на третьей стороне. Этот сетевой элемент, в основном, выполнен с возможностью уведомлять PCF узел о последних требованиях к обслуживанию стороннего предприятия для приложения. PCF узел может генерировать соответствующее правило QoS на основе требования к услуге, чтобы гарантировать, что услуга, предоставляемая сетью, удовлетворяет требованию, указанному третьей стороной.
В вариантах осуществления настоящего изобретения оконечное устройство может осуществлять доступ к AMF узлу, используя, по меньшей мере, две технологии доступа. Рассмотрен пример, в котором, по меньшей мере, две технологии доступа включают в себя 3GPP технологию доступа и non-3GPP технологию доступа. Вариант осуществления настоящего изобретения дополнительно предоставляет схему возможной сетевой архитектуры. Как показано на фиг. 2, сетевая архитектура включает в себя AMF узел, AUSF узел, SMF узел, UPF узел, UDM узел (или узел хранилища учетных данных и функции обработки аутентификации (или узел функции обработки и хранилища подтверждения аутентификации (authentication credential repository and processing function, APRF)), оконечное устройство и узел non-3GPP функции взаимодействия (non-3GPP interworking function, N3IWF).
Для AMF узла, AUSF узла, SMF узла, UPF узла, UDM узла и оконечного устройства см. описание на фиг. 1. Подробности не описаны здесь снова.
N3IWF узел выполнен с возможностью поддержки оконечного устройства в доступе к AMF узлу с использованием non-3GPP технологии доступа.
Со ссылкой на сетевую архитектуру, показанную на фиг. 2, оконечное устройство может осуществлять доступ к AMF узлу как с помощью 3GPP технологии доступа, так и non-3GPP технологии доступа. 3GPP технология доступа может быть просто представлена как 3GPP, и non-3GPP технология доступа может быть просто представлена как non-3GPP. Тракт 1 на фиг. 2 представляет собой тракт, по которому оконечное устройство получает доступ к AMF узлу посредством 3GPP, и тракт 2 представляет собой тракт, по которому оконечное устройство получает доступ к AMF узлу посредством non-3GPP, другими словами, оконечное устройство может получить доступ к AMF узлу через узел N3IWF. Когда оконечное устройство обращается к AMF узлу через 3GPP и non-3GPP, если оконечному устройству необходимо отправить NAS сообщение в AMF узел, в возможной реализации NAS сообщение может быть разделено, по меньшей мере, на два блока сообщений, где один часть блоков сообщений передается через 3GPP, а другая часть блоков сообщений передается non-3GPP. Например, NAS сообщение может быть разделено на блок 1 сообщения, блок 2 сообщения, блок 3 сообщения, блок 4 сообщения и блок 5 сообщения. Блоки 2 и 4 сообщения передаются через 3GPP, и блоки 1, 3 и 5 сообщения передаются через non-3GPP. В другой возможной реализации оконечное устройство может передавать все NAS сообщение через 3GPP и передавать еще одно полное NAS сообщение через non-3GPP.
Сначала поясняются термины, относящиеся к вариантам осуществления настоящего изобретения.
(1) NAS COUNT
NAS COUNT включает в себя 24 бита, включающие в себя 16-битное переполнение NAS и 8-битный порядковый номер.
Начальное значение NAS COUNT равно 0. Значение NAS COUNT восходящей линии связи увеличивается на 1 каждый раз, когда оконечное устройство отправляет одно NAS сообщение в основное сетевое устройство, и значение NAS COUNT нисходящей линии связи увеличивается на 1 каждый раз, когда основное сетевое устройство отправляет одно NAS сообщение в оконечное устройство. После того, как процесс аутентификации из оконечного устройства к основному сетевому устройству завершен, и NAS COUNT восходящей линии связи, и NAS COUNT нисходящей линии связи устанавливаются на 0.
В качестве варианта, есть два способа для поддержания NAS COUNT:
Способ 1: после отправки NAS сообщения сохраненный NAS COUNT увеличивается на 1 и сохраняется; и, когда NAS сообщение необходимо отправить в следующий раз, обеспечивают безопасность для сообщения NAS с использованием сохраненного NAS COUNT.
Способ 2: после того, как NAS сообщение отправлено, когда NAS сообщение необходимо отправить в следующий раз, сохраненный NAS COUNT увеличивается на 1, чтобы получить новый NAS COUNT, и обеспечивать безопасность для NAS сообщения с использованием нового NAS COUNT.
После приема NAS сообщения оконечное устройство и основное сетевое устройство могут верифицировать, следует ли повторно использовать принятый NAS COUNT, а именно, верифицировать, превышает ли NAS COUNT, передаваемый в сообщении NAS, ранее принятый NAS COUNT. Например, если AMF узел принимает из оконечное устройства NAS COUNT восходящей линии связи, принятый NAS COUNT восходящей линии связи можно сравнить с ранее принятым NAS COUNT восходящей линии связи. Если принятый NAS COUNT восходящей линии связи больше, чем ранее принятый NAS COUNT восходящей линии связи, проверка безопасности, выполненная для NAS сообщения, завершается успешно.
Когда шифрование и дешифрование, и защита целостности выполняются с использованием NAS COUNT, NAS COUNT дополняется до 32 битов, другими словами, 8 бит дополняются перед исходным 24-битным NAS COUNT, где дополняется 8 битов могут быть все 0.
(2) Шифрование и дешифрование
На фиг. 3 показан процесс шифрования и дешифрования NAS сообщения.
Здесь ключ может быть NAS ключом.
COUNT, используемый для шифрования и дешифрования, включает в себя 32 бита, где первые 8 битов равны 0, средние 16 битов представляют собой переполнение NAS и последние 8 битов представляют собой порядковый номер.
Информация канала (BEARER) включает в себя 5 битов и все 5 битов равны 0.
Направление передачи данных (DIRECTION) используется для указания восходящей линии связи или нисходящей линии связи. Когда шифрование и дешифрование выполняются для NAS сообщения восходящей линии связи, DIRECTION указывает восходящую линию связи. Когда шифрование и дешифрование выполняются для NAS сообщения нисходящей линии связи, DIRECTION указывает нисходящую линию связи.
Длина (LENGTH) используется для указания длины данных NAS сообщения, которое необходимо зашифровать или расшифровать.
Развитый алгоритм шифрования пакетной системы (evolved packet system encryption algorithm, EEA) может упоминаться как EPS алгоритм шифрования и является алгоритмом, используемым для шифрования и дешифрования NAS сообщения.
Процесс шифрования является следующим: выполнение обработки EEA для входных параметров (KEY, COUNT, BEARER, DIRECTION и LENGTH), чтобы получить гамму (keystream); и выполняют сложение по модулю 2 для гаммы и открытого текста (NAS сообщение), чтобы получить зашифрованный текст (ciphertext). Процесс дешифрования заключается в следующем: выполнение обработки EEA на основе вышеуказанных входных параметров для получения гаммы; и выполнение сложения по модулю 2 для гаммы и зашифрованного текста для восстановления открытого текста.
(3) Защита целостности
Фиг. 4 показывает процесс выполнения защиты целостности и проверки защиты целостности NAS сообщения.
Сообщение (MESSAGE) является сообщением, для которого необходимо выполнить защиту целостности, и оно может быть, в частности, NAS сообщением.
Алгоритм целостности развитой пакетной системы (evolved packet system integrity algorithm, EPS integrity algorithm) показан на фиг. 4.
Способ защиты целостности заключается в следующем: передающая сторона выполняет обработку EIA для входных параметров (KEY, COUNT, MESSAGE, BEARER и DIRECTION), чтобы получить ожидаемый код аутентификации сообщения для целостности (message authentication code integrity, MAC-I) или NAS-MAC. Способ верификации защиты целостности заключается в следующем: выполнение обработки EIA для входных параметров (KEY, COUNT, MESSAGE, BEARER и DIRECTION) для получения ожидаемого кода аутентификации сообщения для целостности (expected message authentication code integrity, XMAC-I) или XNAS-MAC; дополнительное сравнение XMAC-I с MAC-I; и, если XMAC-I соответствует MAC-I, определение того, что верификация защиты целостности выполнено успешно.
Далее подробно описываются технические решения, представленные в настоящей изобретении.
На основании сетевых архитектур на фиг. 1 и фиг. 2, вариант осуществления настоящего изобретения обеспечивает способ обеспечения безопасности. В этом способе для процесса шифрования, дешифрования и защиты целостности обращайтесь к описаниям на фиг. 3 и фиг. 4. Как показано на фиг. 5, способ, в основном, включает в себя этап 501 и этап 502.
Этап 501: оконечное устройство определяет первый параметр.
Первый параметр является входным параметром, используемым, когда оконечное устройство выполняет обеспечение безопасности для NAS сообщения, и первый параметр используется для указания технологии доступа, используемой для передачи NAS сообщения. Оконечное устройство может поддерживать, по меньшей мере, две технологии доступа и может отдельно поддерживать соответствующий NAS COUNT для каждой из, по меньшей мере, двух технологий доступа. Например, по меньшей мере две технологии доступа содержат 3GPP технологию доступа и другую технологию доступа, которая может совместно использовать одно и то же основное сетевое устройство 3GPP сети с 3GPP технологией доступа, например, non-3GPP технология доступа или технология фиксированного доступа к сети. В качестве варианта, что первый параметр указывает технологию доступа, используемую для передачи NAS сообщения, может быть дополнительно понят как то, что первый параметр используется для указания тракта передачи, используемого оконечным устройством для передачи NAS сообщения. Например, оконечное устройство и AMF узел могут отдельно поддерживать соответствующий NAS COUNT для каждого тракта передачи без различения технологий доступа. Если путь передачи, используемый для передачи NAS сообщения, является трактом 1, используется NAS COUNT, соответствующий тракту 1. Если тракт передачи, используемый для передачи NAS сообщения, является трактом 2, используется NAS COUNT, соответствующий тракту 2. Понятно, что тракт передачи соответствует технологии доступа. Например, ссылаясь на фиг. 2, технология доступа, используемая, когда данные передаются по тракту 1, является 3GPP технологией доступа, и технология доступа, используемая, когда данные передаются по тракту 2, является non-3GPP технологией доступа.
Первый параметр может быть входным параметром, вновь добавленным в процессе шифрования и дешифрования или в процессе защиты целостности. Параметр включает в себя заданное количество битов. В качестве варианта, разные технологии доступа могут быть представлены установкой битов на разные значения.
В первой возможной реализации, как показано на фиг. 6, первый параметр может быть параметром ACCESS. Например, если первый параметр равен 00, это указывает, что используется 3GPP технология доступа; если первый параметр равен 01, это указывает, что используется non-3GPP технология доступа. Альтернативно, 001 представляет 3GPP технологию доступа, 010 представляет технологию беспроводной достоверности (Wireless-Fidelity, WiFi), и 011 представляет технологию фиксированной сети.
Альтернативно, 001 может использоваться для представления первой используемой технологии доступа, 010 может использоваться для представления второй используемой технологии доступа и 011 может использоваться для представления третьей используемой технологии доступа. Другими словами, каждый раз, когда используется используемая технология доступа, первый параметр увеличивается на 1, пока все биты первого параметра не станут равными 1, и затем первый параметр может быть пересчитан из 000. Например, если биты первого все параметры изменяются на 1 после того, как оконечное устройство многократно переключает используемую технологию доступа, когда оконечному устройству необходимо переключить используемую технологию доступа с первой технологии доступа на вторую технологию доступа, причем первый параметр генерируется для второй технологии доступа 001. В качестве варианта, в этом способе первая технология доступа, вторая технология доступа и третья технология доступа могут представлять собой одну и ту же технологию. Другими словами, когда технология доступа используется повторно, первый параметр увеличивается на 1, пока все биты первого параметра не станут равными 1, и затем первый параметр может быть пересчитан из 000.
В качестве варианта, каждый раз, когда параметр COUNT во входных параметрах сбрасывается на 0 или порядковый номер NAS сбрасывается на 0, первый параметр также может увеличиваться на 1.
В качестве варианта, когда все биты первого параметра равны 1, NAS ключ, используемый при передаче NAS сообщения в следующий раз, должен быть обновлен.
Во второй возможной реализации, как показано на фиг. 7, весь или некоторые биты параметра COUNT во входных параметрах может использоваться для указания технологии доступа, используемой для передачи NAS сообщения. Например, если COUNT включает в себя 8 битов заполнения со всеми 0 и NAS COUNT, первым параметром может быть несколько или все биты из 8 битов. Например, первые 3 бита могут быть выбраны, чтобы указать технологию доступа, используемую для передачи NAS сообщения. Чтобы узнать, как отличить разные технологии доступа с помощью битовых значений, обратитесь к соответствующим описаниям в первой реализации.
В третьей возможной реализации, как показано на фиг. 8, параметр BEARER во входных параметрах может использоваться для указания технологии доступа, используемой для передачи NAS сообщения, или для указания тракта доступа, используемого для передачи NAS сообщения, где первый параметр может быть некоторыми или всеми битами BEARER. Например, первые 3 бита могут быть выбраны, чтобы указать технологию доступа, используемую для передачи NAS сообщения. Чтобы узнать, как отличить разные технологии доступа с помощью битовых значений, обратитесь к соответствующим описаниям в первой реализации.
В четвертой возможной реализации количество битов COUNT может быть увеличено, и первый параметр является некоторыми из битов COUNT. Например, COUNT расширен с 32 бит до 64 бит (64-битный COUNT адаптирован к ключу длиной 256 бит). Часть расширенного COUNT используется для обозначения технологии доступа. Например, три бита зарезервированы для указания технологии доступа, где 000 представляет 3GPP технологию доступа, 001 представляет технологию доступа WiFi и 010 представляет технологию доступа к фиксированной сети.
В пятой возможной реализации, первый параметр может быть NAS COUNT, и бит NAS COUNT может быть удален. Количество удаленных битов используется для указания технологии доступа.
В качестве варианта, заданное количество бит переполнения NAS в существующем NAS COUNT удаляется, и количество удаленных битов используется для указания технологии доступа. Например, если один бит удален, это указывает, что технология доступа является 3GPP технологией доступа; если два бита удалены, это означает, что технология доступа является технологией доступа WiFi; если три бита удалены, это означает, что технология доступа является технологией фиксированного доступа к сети.
Альтернативно, предварительно установленное количество битов части порядкового номера существующего NAS COUNT удаляется, и количество удаленных битов используется для указания технологии доступа. Например, если один бит удален, это указывает, что технология доступа является 3GPP технологией доступа; если два бита удалены, это означает, что технология доступа является технологией доступа WiFi; если три бита удалены, это означает, что технология доступа является технологией фиксированного доступа к сети.
В качестве варианта, первый параметр, соответствующий каждой технологии доступа, может быть предварительно сконфигурирован в оконечном устройстве. После определения технологии доступа, используемой для передачи NAS сообщения, оконечное устройство может искать соответствующий первый параметр на основе технологии доступа, используемой для передачи NAS сообщения; или после определения технологии доступа, используемой для передачи NAS сообщения, оконечное устройство генерирует первый параметр на основе технологии доступа, используемой для передачи NAS сообщения.
Следует отметить, что, когда первый параметр представляет собой NAS COUNT, или первый параметр представляет собой некоторые биты NAS COUNT, оконечное устройство поддерживает разные NAS COUNTs для разных поддерживаемых технологий доступа. В других случаях, оконечное устройство может поддерживать один и тот же NAS COUNT или другой NAS COUNT для разных поддерживаемых технологий доступа.
Оконечное устройство может независимо определять первый параметр и уведомляет AMF узел о первом параметре. Альтернативно, AMF узел определяет первый параметр и уведомляет оконечное устройство о первом параметре. Альтернативно, первый параметр может быть предварительно сконфигурирован в оконечное устройстве и AMF узле. Например, если первый параметр определяется AMF узлом, оконечное устройство может принять первый параметр из AMF узла. Если первый параметр представляет собой несколько битов в NAS COUNT, после приема первого параметра оконечное устройство может заменить первым битом указанные биты в NAS COUNT, сохраненные оконечным устройством. Альтернативно, если первый параметр представляет собой несколько битов в BEARER, оконечное устройство может заменить указанные биты в BEARER первым параметром.
Этап 502: оконечное устройство выполняет обеспечение безопасности для NAS сообщения на основе первого параметра, NAS ключа и NAS COUNT, соответствующих технологий доступа, используемой для передачи NAS сообщения.
NAS COUNT может быть параметром, который имеет функцию предотвращения атаки повторением NAS сообщения. NAS ключ представляет собой NAS ключ, используемый, по меньшей мере, двумя технологиями доступа, которые могут поддерживаться оконечным устройством.
То, что оконечное устройство выполняет обеспечение безопасности NAS сообщения, указывает: шифрование NAS сообщения, которое должно быть передано в основное сетевое устройство, дешифрование принятого NAS сообщения и выполнение защиты целостности NAS сообщения, которое должно быть передано на основное сетевое устройство, или выполнение проверки защиты целостности принятого NAS сообщения. Соответственно, ключ, используемый для выполнения обеспечения безопасности NAS сообщения, может представлять собой ключ шифрования и ключ защиты целостности. В этом варианте осуществления настоящего изобретения ключ шифрования и ключ защиты целостности совместно называются NAS ключами. Последовательность выполнения шифрования, дешифрования, защиты целостности продукции и верификации защиты целостности не ограничена в этом варианте осуществления настоящего изобретения.
Может быть понятно, что оконечное устройство может поддерживать соответствующий NAS COUNT для каждой из, по меньшей мере, двух технологий доступа. Если оконечное устройство передает NAS сообщение с использованием 3GPP технологии доступа, выполняется обеспечение безопасности для NAS сообщения с использованием первого параметра, соответствующего 3GPP технологии доступа, NAS COUNT восходящей линии связи, поддерживаемого оконечным устройством для 3GPP технологии доступа, и NAS ключа.
В соответствии с тремя реализациями первого параметра способы шифрования NAS сообщения отдельно показаны на фиг. 6, фиг. 7 и фиг. 8.
В соответствии с вышеизложенным первым вариантом осуществления со ссылкой на фиг. 4, входной параметр, используемый, когда выполняется обеспечение безопасности NAS сообщение, также может быть использован.
В соответствии с вышеупомянутой второй реализацией со ссылкой на фиг. 4, COUNT во входном параметре, используемом при выполнении обеспечения безопасности NAS сообщения, включает в себя первый параметр.
В соответствии с вышеупомянутой третьей реализацией со ссылкой на фиг. 4, BEARER во входном параметре, используемом при выполнении обеспечения безопасности NAS сообщения, включает в себя первый параметр.
В качестве варианта, если оконечное устройство принимает NAS сообщение, оконечное устройство может определить первый параметр, соответствующий технологии доступа, используемой для передачи NAS сообщения, чтобы расшифровать и/или выполнить проверку защиты целостности NAS сообщения с использованием NAS COUNT нисходящей линии связи, переданный в NAS сообщении, первый параметр соответствует технологии доступа, используемой для передачи NAS сообщения, и NAS ключа.
Согласно способу обеспечения безопасности, предоставленному в этом варианте осуществления настоящего изобретения, оконечное устройство может отдельно поддерживать соответствующий NAS COUNT для каждой из, по меньшей мере, двух технологий доступа. Оконечное устройство не использует один набор NAS COUNTs при передаче NAS сообщения с использованием различных технологий доступа. Вместо этого, оконечное устройство выполняет обеспечение безопасности для NAS сообщения с помощью NAS COUNT, поддерживаемого для соответствующей технологии доступа. Это может предотвратить атаку повторением, которая возникает, когда основное сетевое устройство сначала принимает относительно небольшой NAS COUNT, переданный по одной линии связи, и затем принимает относительно большой NAS COUNT, переданный по другой линии связи. В настоящем изобретении первый параметр, используемый для различения различных технологий доступа, дополнительно используется, когда защита сообщения выполняется для NAS сообщения. Следовательно, даже, если используется один и тот же NAS ключ и один и тот же NAS COUNT, когда выполняется обеспечение безопасности для NAS сообщения, передаваемого с использованием разных технологий доступа, результаты защиты NAS сообщения различны, что уменьшает вероятность возникновения атаки повторением, тем самым, реализуя обеспечение безопасности для множества NAS линий соединения.
В соответствии с вариантом осуществления на фиг. 5, способ обеспечения безопасности для NAS сообщения основным сетевым устройством дополнительно предоставляется в другой реализации этого варианта осуществления настоящего изобретения. Основное сетевое устройство может быть AMF узлом, SEAF узлом, MME узлом, узлом, участвующим в процессе аутентификации оконечного устройства, или другим узлом, связанным с генерацией ключа и хранением ключа. В этом варианте осуществления настоящего изобретения то, что основное сетевое устройство является AMF узлом, используется в качестве примера. Как показано на фиг. 9, способ включает в себя следующие этапы.
Этап 901: AMF узел определяет первый параметр.
Первый параметр используется для указания технологии доступа, используемой для передачи NAS сообщения. AMF узел может отдельно поддерживать соответствующий NAS COUNT для каждой из, по меньшей мере, двух технологий доступа, поддерживаемых оконечным устройством.
Способ определения первого параметра AMF узлом аналогичен способу определения первого параметра оконечным устройством на этапе 501 на фиг. 5, и ссылка может быть сделана на соответствующее описание на этапе 501.
Этап 902. AMF узел выполняет защиту для NAS сообщения на основании первого параметра, NAS ключа и NAS COUNT, соответствующих технологии доступа, используемой для передачи NAS сообщения.
NAS COUNT может быть параметром, который имеет функцию предотвращения атаки повторением NAS сообщения.
То, что AMF узел выполняет защиту для NAS сообщения, может быть: шифрованием NAS сообщения, которое должно быть передано на оконечное устройство, дешифрованием принятого NAS сообщения и выполнение защиты целостности NAS сообщения, которое должно быть передано на оконечное устройство, или выполнение проверки защиты целостности принятого NAS сообщения.
Способ выполнения обеспечения безопасности NAS сообщения AMF узлом аналогичен способу выполнения обеспечения безопасности NAS сообщения оконечным устройством на этапе 502, и на этапе 502 может быть сделана ссылка на соответствующее описание.
Согласно способу обеспечения безопасности, предусмотренному в этом варианте осуществления настоящего изобретения, основное сетевое устройство может отдельно поддерживать соответствующий NAS COUNT для каждой из, по меньшей мере, двух технологий доступа. Оконечное устройство не использует один набор NAS COUNT при передаче NAS сообщения с использованием различных технологий доступа. Вместо этого, оконечное устройство выполняет защиту для NAS сообщения с помощью NAS COUNT, поддерживаемого для соответствующей технологии доступа. Это может предотвратить атаку повторения, которая возникает, когда основное сетевое устройство сначала принимает относительно небольшой NAS COUNT, переданный по одной линии связи, и затем принимает относительно большой NAS COUNT, переданный по другой линии связи. В настоящем изобретении первый параметр, используемый для различения различных технологий доступа, дополнительно используется, когда защита сообщения выполняется для NAS сообщения. Следовательно, даже, если используется один и тот же NAS ключ и один и тот же NAS COUNT, когда выполняется обеспечение безопасности для NAS сообщения, передаваемого с использованием разных технологий доступа, результаты защиты NAS сообщения различны, что уменьшает вероятность возникновения атаки повторением, тем самым, реализуя обеспечение безопасности для множества NAS линий соединения.
В качестве варианта, если технология доступа, используемая для передачи NAS сообщения, является первой технологией доступа, перед процедурами на фиг. 5 и фиг. 9, как показано на фиг. 10, способ может дополнительно включать в себя этапы 1001-1007.
Этап 1001: оконечное устройство определяет первый NAS COUNT восходящей линии связи, соответствующий первой технологии доступа.
Первый NAS COUNT восходящей линии связи равен 0 и, в частности, все или некоторые биты первого NAS COUNT восходящей линии связи равны 0.
В качестве альтернативы, первый NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты в первом NAS COUNT восходящей линии связи являются случайными числами. Например, часть порядкового номера или часть переполнения NAS в первом NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0.
Альтернативно, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством.
Альтернативно, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является суммой 1 и наибольший NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством.
Альтернативно, первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством.
Альтернативно, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством.
В качестве варианта, первая технология доступа и вторая технология доступа могут быть отдельно 3GPP технологией доступа, non-3GPP технологией доступа, технологией фиксированного доступа к сети, другой технологией, которая может использоваться для доступа к основному сетевому устройству, или любой технологией, которая может совместно использовать основное сетевое устройство 3GPP с технологией доступа 3GPP. В этом варианте осуществления настоящего изобретения для описания используется пример, в котором первая технология доступа представляет собой non-3GPP технологию доступа и вторая технология доступа представляет собой 3GPP технологию доступа.
Очевидно, что перед тем, как оконечное устройство отправляет NAS сообщение в AMF узел с помощью non-3GPP технологии доступа, оконечному устройству необходимо определить первый NAS COUNT восходящей линии связи, передаваемый, когда NAS сообщение передается через non-3GPP технологию доступа.
Если оконечное устройство получает доступ к AMF узлу с использованием non-3GPP технологии доступа в первый раз, первый NAS COUNT восходящей линии связи, соответствующий non-3GPP технологии доступа, может быть установлен на 0 или случайное число. Альтернативно, когда оконечное устройство получило доступ к AMF узлу посредством 3GPP технологии доступа, если способ обслуживания NAS COUNT является способом 1, описанным выше (после отправки NAS сообщения NAS COUNT, используемый в сообщении NAS, увеличивается на 1 и сохраняется, и когда NAS сообщение необходимо отправить в следующий раз, выполняется обеспечение безопасности для NAS сообщения с использованием сохраненного NAS COUNT), может быть определено, что первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа, который хранится в оконечном устройстве. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие 3GPP технологии доступа, и оконечное устройство не может определить NAS COUNT восходящей линии связи, используемый предшествующим NAS сообщением, выбран самый большой NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется посредством оконечного устройства, и выполняется обеспечение безопасности для NAS сообщения. Если способ обслуживания NAS COUNT является способом 2, описанным выше (после того, как NAS сообщение отправлено, когда NAS сообщение необходимо отправить в следующий раз, сохраненный NAS COUNT увеличивается на 1, чтобы определить новый NAS COUNT, и выполняется обеспечение безопасности для NAS сообщения с использованием нового NAS COUNT), может быть определено, что первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие 3GPP технологии доступа, и оконечное устройство не может определить NAS COUNT восходящей линии связи, используемый предшествующим NAS сообщением, выбирают самый большой NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется оконечным устройством, и увеличивается на 1 и выполняется обеспечение безопасности для NAS сообщения с использованием NAS COUNT восходящей линии связи, увеличенного на 1.
Когда оконечное устройство получает доступ к AMF узлу посредством non-3GPP технологии доступа, если способ обслуживания NAS COUNT является вышеупомянутым способом 1, может быть определено, что первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа, который сохраняется оконечным устройством; или, если способ обслуживания NAS COUNT является вышеупомянутым способом 2, может быть определено, что первый NAS COUNT восходящей линии связи является суммой 1 и NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется оконечным устройством.
Этап 1002. Оконечное устройство отправляет первое сообщение AMF узлу, где первое сообщение несущее некоторые или все биты первого NAS COUNT восходящей линии связи.
Выполняется обеспечение безопасности для первого сообщения с использованием первого NAS COUNT восходящей линии связи и NAS ключа. В качестве варианта, первое сообщение может передавать 24-битный первый COUNT восходящей линии связи или может нести только некоторые биты первого COUNT восходящей линии связи, например, передавать только последние 4 или 8 битов первого NAS COUNT восходящей линии связи.
В другой возможной реализации, если оконечное устройство впервые осуществляет доступ к AMF узлу через non-3GPP технологию доступа, и оконечное устройство получило доступ к AMF узлу посредством 3GPP технологии доступа, оконечное устройство может временно не определять первый NAS COUNT восходящей линии связи и выполнять обеспечение безопасности в первую очередь для первого сообщения с использованием NAS COUNT, соответствующего non-3GPP технологии доступа, другими словами, этап 1001 и этап 1002 могут быть заменены этапом 1003.
Этап 1003. Оконечное устройство отправляет первое сообщение AMF узлу, где первое сообщение несет некоторые или все биты NAS COUNT восходящей линии связи, соответствующего второй технологии доступа.
Для первого сообщения выполняется обеспечение безопасности с использованием NAS ключа и NAS COUNT восходящей линии связи, соответствующий второй технологии доступа.
NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который переносится в первом сообщении, является некоторыми или всеми битами NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством, или является некоторыми или всеми битами новых NAS COUNTs восходящей линии связи, принятыми после NAS COUNT восходящей линии связи, которые соответствуют второй технологии доступа и которые сохранены оконечным устройством, увеличены на 1. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, NAS COUNT восходящей линии связи, соответствующий второй технологии доступа на этом этапе, является самым большим NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством.
Следует отметить, что, В качестве варианта, первое сообщение на этапе 1002 и на этапе 1003 оба включают в себя первую информацию указания, где первая информация указания используется для указания технологии доступа, соответствующей некоторым или всем битам NAS COUNT восходящей линии связи, передаваемым в первом сообщении, или первая информация указания используется для указания тракта передачи, соответствующего некоторым или всем битам NAS COUNT, передаваемому в первом сообщении. Например, первая информация указания, передаваемая в первом сообщении на этапе 1002, указывает non-3GPP технологию доступа и первая информация указания, передаваемая в первом сообщении на этапе 1003, указывает 3GPP технологию доступа. В другом примере, первая информация указания, передаваемая в первом сообщении на этапе 1002, указывает доступ к AMF узлу через тракт 1, и первая информация указания, передаваемая в первом сообщении на этапе 1003, указывает доступ к AMF узлу через тракт 2.
Следующие этапы могут быть дополнительно выполнены после этапа 1002 или этапа 1003.
Этап 1004. AMF узел принимает первое сообщение.
Этап 1005. AMF узел проверяет, основываясь на NAS COUNT восходящей линии связи, соответствующем технологии доступа, указанной в первой информации указания, NAS COUNT, передаваемый в первом сообщении.
Информация указания может быть явным указанием или может быть неявным уведомлением. Например, информация о типе доступа может быть информацией указания типа доступа (такой как тип доступа типа технологии радиодоступа (radio access technology, RAT)), которая явно указана в N2 сообщении, или является информацией указания типа доступа, которая добавлена в NAS сообщении. AMF узел может определять тип доступа на основании источника первого сообщения, когда нет информации указания типа доступа. Например, если адрес источника сообщения является базовой станцией, тип доступа является 3GPP доступом; если исходный адрес сообщения является N3IWF узлом, тип доступа является non-3GPP доступом; если исходным адресом сообщения является устройство, подключенное к фиксированной сети, тип доступа является фиксированным доступом к сети.
Когда первая информация указания указывает технологию доступа, не относящуюся к 3GPP, если первое сообщение передает полный первый NAS COUNT, и AMF узел определяет, что оконечное устройство получило доступ к AMF узлу, AMF узел определяет, является ли первый NAS COUNT больше, чем ранее принятый NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется AMF узлом. Если первый NAS COUNT больше, чем ранее принятый NAS COUNT восходящей линии связи, аутентификация завершается успешно; или, если первый NAS COUNT меньше, чем ранее принятый NAS COUNT восходящей линии связи, аутентификация завершается неудачно, доступ к оконечное устройству отклоняется, и оконечное устройство информируется о причине сбоя. В качестве варианта, если AMF узел определяет, что оконечное устройство не получило доступ к AMF узлу с использованием non-3GPP технологии доступа, AMF узел сохраняет первый NAS COUNT в качестве NAS COUNT восходящей линии связи, соответствующий non-3GPP технологии доступа, или AMF узел определяет, что значение NAS COUNT восходящей линии связи, соответствующее non-3GPP технологии доступа, равно 0. Если первое сообщение содержит часть первого NAS COUNT, AMF узел сначала восстанавливает полный первый NAS COUNT, и затем проверяет или сохраняет первый NAS COUNT согласно вышеуказанному способу обработки первого NAS COUNT.
Когда первая информация указания указывает 3GPP технологию доступа, если первое сообщение содержит полный NAS COUNT, соответствующий 3GPP технологии доступа, AMF узел определяет, больше ли первый NAS COUNT, чем ранее принятый NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и сохраняется AMF узлом. Если первый NAS COUNT больше, чем ранее принятый NAS COUNT восходящей линии связи, проверка завершается успешно; или, если первый NAS COUNT меньше, чем ранее принятый NAS COUNT восходящей линии связи, проверка подлинности завершается неудачно. Если первое сообщение содержит часть NAS COUNT, соответствующую 3GPP технологии доступа, AMF узел сначала восстанавливает полный NAS COUNT, и затем проверяет восстановленный полный NAS COUNT, используя описанный выше способ проверки NAS COUNT.
Этап 1006. AMF узел определяет один или оба из второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.
Второй NAS COUNT восходящей линии связи равен 0 и, в частности, все или некоторые биты второго NAS COUNT восходящей линии связи равны 0. В качестве альтернативы, второй NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты во втором NAS COUNT восходящей линии связи являются случайными числами. Например, часть порядкового номера или часть переполнения NAS второго NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. Альтернативно, второй NAS COUNT восходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи является самым большим NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который сохраняется основным сетевым устройством. В качестве альтернативы, второй NAS COUNT восходящей линии связи является первым NAS COUNT восходящей линии связи; или второй NAS COUNT восходящей линии связи является суммой 1 и первого NAS COUNT восходящей линии связи.
В качестве варианта, если первое сообщение, принятое AMF узлом, содержит первый NAS COUNT для восходящей линии связи, AMF узел может определить, что второй NAS COUNT для восходящей линии связи является первым NAS COUNT восходящей линии связи, или что второй NAS COUNT восходящей линии связи является суммой 1 и первого NAS COUNT восходящей линии связи.
Альтернативно, если первое сообщение, принятое AMF узлом, содержит первый NAS COUNT восходящей линии связи, это указывает, что оконечное устройство определило NAS COUNT, соответствующий non-3GPP технологии доступа, и AMF узел может не определять второй NAS COUNT.
Первый NAS COUNT нисходящей линии связи равен 0 и, в частности, все или некоторые биты первого NAS COUNT нисходящей линии связи равны 0.
Альтернативно, первый NAS COUNT нисходящей линии связи является случайным числом. В частности, некоторые или все биты в первого NAS COUNT нисходящей линии связи являются случайными числами. Например, часть с порядковым номером или часть с переполнением NAS в первом NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. В качестве альтернативы, первый NAS COUNT нисходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи является самым большим NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. В качестве альтернативы, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Альтернативно, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве.
В качестве варианта, если первое сообщение, принятое AMF узлом, содержит NAS COUNT, соответствующий второй технологии доступа, второй NAS COUNT восходящей линии связи, определенный AMF узлом, может быть таким же, как первый NAS COUNT нисходящей линии связи.
Этап 1007. AMF узел отправляет второе сообщение в оконечное устройство, где второе сообщение включает в себя один или оба из второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.
Соответственно, оконечное устройство принимает второе сообщение.
В качестве варианта, второе сообщение содержит вторую информацию указания, и вторая информация указания используется для указания технологии доступа, соответствующей первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, используемую для указания второго NAS COUNT восходящей линии связи, передаваемого во втором сообщении. В качестве варианта, вторая информация указания используется для указания тракта передачи, соответствующего первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, которая используется для указания тракта передачи, соответствующего второму NAS COUNT восходящей линии связи, передаваемому во втором сообщении. Понятно, что, поскольку второе сообщение содержит первый NAS COUNT нисходящей линии связи, соответствующий первой технологии доступа, вторая информация указания используется для указания первой технологии доступа. Например, если первая технология доступа является 3GPP технологией доступа, вторая информация указания используется для указания 3GPP технологии доступа; если первая технология доступа является non-3GPP технологией доступа, вторая информация указания используется для указания non-3GPP технологии доступа.
Очевидно, что после приема второго сообщения оконечное устройство может сохранить один или оба из второго NAS COUNT восходящей линии связи и первого NAS COUNT нисходящей линии связи, которые передаются во втором сообщении. Когда в следующий раз необходимо отправить NAS сообщение восходящей линии связи через non-3GPP, может быть выполнено обеспечение безопасности для NAS сообщения на основании второго NAS COUNT восходящей линии связи. В качестве альтернативы, после приема NAS сообщения нисходящей линии связи, NAS COUNT нисходящей линии связи в принятом NAS сообщении нисходящей линии связи может быть проверен на основании первого NAS COUNT нисходящей линии связи.
Со ссылкой на конкретный сценарий ниже описан способ обеспечения безопасности, описанный в предшествующих вариантах осуществления. Вариант осуществления настоящего изобретения может быть применен к сценарию, в котором оконечное устройство получило доступ к AMF узлу с использованием 3GPP технологии доступа, и затем оконечное устройство получило доступ к тому же AMF узлу с использованием non-3GPP технологии доступа. Фиг. 11А и фиг. 11B показывают процесс регистрации, в котором оконечное устройство осуществляет доступ к AMF узлу с использованием non-3GPP технологии доступа. Способ включает в себя следующие этапы.
Этап 1101: оконечное устройство получает доступ к ненадежной non-3GPP сети.
Например, оконечное устройство получает доступ к сети WiFi, которой нельзя доверять напрямую.
На этом этапе, оконечное устройство получает доступ к ненадежной non-3GPP сети, и оконечное устройство было аутентифицировано 3GPP сетью и имеет NAS контекст безопасности. NAS контекст безопасности включает в себя NAS ключ, идентификатор ключа и NAS COUNT, соответствующие 3GPP технологии доступа. В качестве варианта, NAS контекст дополнительно включает в себя NAS COUNT, соответствующий non-3GPP технологии доступа. Если оконечное устройство получило доступ к AMF узлу через non-3GPP технологию доступа, NAS COUNT, соответствующий non-3GPP технологии доступа, не равен 0. Если оконечное устройство не получило доступ к AMF узлу через non-3GPP технологию доступа, NAS COUNT, соответствующий non-3GPP технологии доступа, равен 0.
NAS ключ может представлять собой один или оба ключ шифрования и ключ защиты целостности.
Этап 1102: оконечное устройство обменивается исходным сообщением протокола ассоциации безопасности и обмена ключами в интернете (internet key exchange protocol security association initial, IKE_SA_INIT) с N3IWF узлом.
Сообщение IKE_SA_INIT содержит материал ключа, и материал ключа представляет собой информацию, используемую для выполнения обеспечения безопасности сообщения, передаваемого между оконечным устройством и N3IWF узлом. После того, как оконечное устройство обменивается сообщением IKE_SA_INIT с N3IWF узлом, оконечное устройство и N3IWF узел могут генерировать один и тот же ключ, и этот ключ используется для выполнения обеспечения безопасности сообщения, впоследствии переданного оконечным устройством и N3IWF узлом.
Этап 1103. Оконечное устройство отправляет сообщение запроса аутентификации протокола обмена ключами в интернете (Internet key exchange protocol authentication request, IKE_AUTH_Req) в N3IWF узел.
Соответственно, N3IWF узел принимает IKE_AUTH_Req сообщение.
Этап 1104: N3IWF узел отправляет в оконечное устройство сообщение ответа аутентификации протокола обмена ключами в интернете (Internet key exchange protocol authentication response, IKE_AUTH_Res).
Соответственно, оконечное устройство принимает IKE_AUTH_Res сообщение.
Сообщение IKE_AUTH_Res содержит 5G начало (5G start) сообщения сообщение запроса расширяемого протокола аутентификации 5-го поколения (extensible authentication protocol _5th generation_request, EAP_5G_Req), и EAP_5G_Req сообщение используется для запроса оконечного устройства начать процедуру расширяемого протокола аутентификации (extensible authentication protocol, EAP).
Этап 1105: оконечное устройство определяет первый NAS COUNT восходящей линии связи.
Первый NAS COUNT восходящей линии связи представляет собой COUNT, используемый для выполнения обеспечения безопасности NAS сообщения, отправляемому оконечным устройством AMF узлу.
Есть две реализации этого этапа.
В первой реализации оконечное устройство определяет первый NAS COUNT восходящей линии связи на основании NAS COUNT восходящей линии связи, соответствующего 3GPP технологии доступа.
Поскольку оконечное устройство получило доступ к AMF узлу через 3GPP технологию доступа, оконечное устройство сохранило NAS COUNT, соответствующий 3GPP технологии доступа. Если способ обслуживания NAS COUNT является вышеупомянутым способом 1, то можно определить, что первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется оконечным устройством (если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие 3GPP технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется оконечным устройством). Если способ обслуживания NAS COUNT является вышеупомянутым способом 2, то может быть определено, что первый NAS COUNT восходящей линии связи является суммой 1 и NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется оконечным устройством (если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие non-3GPP технологии доступа, первый NAS COUNT восходящей линии связи является суммой 1 и наибольшим NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется посредством оконечного устройства).
Во второй реализации оконечное устройство генерирует NAS COUNT, соответствующий non-3GPP технологии доступа, и использует в качестве первого NAS COUNT восходящей линии связи, NAS COUNT, соответствующий non-3GPP технологии доступа.
В качестве варианта, если оконечное устройство получило доступ к AMF узлу через non-3GPP технологию доступа, оконечное устройство может определить, что первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется оконечным устройством (если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие non-3GPP технологии доступа, первый NAS COUNT восходящей линии связи является самым большим NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется посредством оконечного устройства) или оконечное устройство может определить, что первый NAS COUNT восходящей линии связи является суммой 1 и NAS COUNT, который соответствует non-3GPP технологии доступа и который сохранен оконечным устройством (если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие non-3GPP технологии доступа, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется оконечным устройством).
В качестве варианта, если первый NAS COUNT восходящей линии связи определяется во второй реализации, в процессе регистрации, в котором оконечное устройство осуществляет доступ к AMF узлу с использованием non-3GPP технологии доступа, оконечное устройство не отправляет NAS сообщение с использованием 3GPP технологии доступа.
В качестве варианта, оконечное устройство может дополнительно устанавливать индикатор. Индикатор эквивалентен первой информации указания в варианте осуществления, соответствующем фиг. 10, и используется для указания того, соответствует ли первый NAS COUNT восходящей линии связи 3GPP технологии доступа или non-3GPP технологии доступа. Следует понимать, что, если оконечное устройство определяет первый NAS COUNT восходящей линии связи в вышеупомянутой первой реализации индикатор указывает 3GPP технологию доступа; или, если оконечное устройство определяет первый NAS COUNT восходящей линии связи в вышеупомянутой второй реализации индикатор указывает non-3GPP технологию доступа.
Этап 1106: оконечное устройство отправляет сообщение IKE_AUTH_Req в N3IWF узел.
Соответственно, N3IWF узел принимает сообщение IKE_AUTH_Req.
Сообщение IKE_AUTH Req включает в себя NAS блок данных протокола (protocol data unit, PDU) и протокол расширенной аутентификации для транспортировки сообщения 5G уровня без доступа (5G-NAS сообщение, соответствующее сообщению EAP_5G_ReS) или 5G-NAS сообщение. NAS PDU включает в себя сообщение запроса регистрации. Сообщение запроса регистрации используется оконечным устройством для регистрации с AMF узлом с помощью 3GPP технологии доступа. В качестве варианта, первое сообщение в вышеприведенном варианте осуществления может быть сообщением запроса регистрации.
В качестве варианта, защита целостности может быть выполнена для сообщения запроса регистрации с использованием первого NAS COUNT восходящей линии связи, и сообщение запроса регистрации включает в себя первую информацию указания и первый NAS COUNT восходящей линии связи. В качестве варианта, сообщение запроса регистрации дополнительно включает в себя идентификатор ключа и временный идентификатор оконечного устройства.
Этап 1107: N3IWF узел выбирает AMF узел.
Для способа выбора AMF узла N3IWF узлом обратитесь к предшествующему уровню техники.
Этап 1108: N3IWF узел пересылает сообщение запроса регистрации в AMF узел.
Соответственно, AMF узел принимает сообщение запроса регистрации.
Этап 1109: AMF узел верифицирует сообщение запроса регистрации.
Верификация, выполняемая в сообщении запроса регистрации AMF узлом, включает в себя проверку защиты целостности, выполняемую в сообщении запроса регистрации, и верификация, выполняемая в первом NAS COUNT восходящей линии связи, передаваемый в сообщении запроса регистрации. То, что AMF узел верифицирует первый NAS COUNT восходящей линии связи, переносимый в сообщении запроса регистрации, соответствует предыдущему этапу 1005.
AMF узел может генерировать ключ защиты целостности на основании временного идентификатора и идентификатора ключа в сообщении запроса регистрации и выполнять проверку защиты целостности в сообщении запроса регистрации на основании ключа защиты целостности.
Если технология доступа, которая соответствует первому NAS сообщению восходящей линии связи и которая указана в первой информации указания, является 3GPP технологией доступа, AMF узел верифицирует, является ли первый NAS COUNT восходящей линии связи больше, чем ранее принятый NAS COUNT, соответствующий 3GPP технологии доступа. Если первый NAS COUNT восходящей линии связи больше, чем ранее принятый NAS COUNT, то верификация выполнена успешна; или, если первый NAS COUNT восходящей линии связи не больше, чем ранее принятый NAS COUNT, то верификация не выполнена.
Если технология доступа, которая соответствует первому NAS сообщению восходящей линии связи и который указан первой информацией указания, является non-3GPP технологией доступа, и оконечное устройство не получило доступа к AMF узлу через non-3GPP технологию доступа, AMF узел сохраняет первый NAS COUNT в качестве NAS COUNT восходящей линии связи, соответствующего non-3GPP технологии доступа, или AMF узел определяет, что NAS COUNT восходящей линии связи, соответствующей non-3GPP технологией доступа, равен 0. Оконечное устройство получил доступ к AMF узлу через non-3GPP технологию доступа. AMF узел верифицирует, является ли первый NAS COUNT восходящей линии связи больше, чем ранее принятый NAS COUNT, соответствующий non-3GPP технологии доступа. Если первый NAS COUNT восходящей линии связи больше, чем ранее принятый NAS COUNT, верификация выполнена успешно; или, если первый NAS COUNT восходящей линии связи не больше, чем ранее принятый NAS COUNT, то верификация не выполнена.
Этап 1110: AMF узел генерирует ключ Kn3iwf для N3IWF узла.
Ключ Kn3iwf используется для двусторонней аутентификации между AMF узлом и оконечным устройством.
Этап 1111: AMF узел определяет один или оба из второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют non-3GPP технологии доступа.
В качестве варианта, если технология доступа, указанная первой информацией указания, является 3GPP технологией доступа, это указывает, что оконечное устройство не определяет NAS COUNT для non-3GPP технологии доступа, и AMF узел может определять второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют non-3GPP технологии доступа. Если технология доступа, указанная в первой информации указания, является non-3GPP технологией доступа, это указывает, что оконечное устройство определяет NAS COUNT восходящей линии связи для non-3GPP технологии доступа и AMF узлу необходимо определить только первый соответствующий NAS COUNT нисходящей линии связи для non-3GPP технологии или AMF узел определяет первый NAS COUNT нисходящей линии связи и переопределяет NAS COUNT восходящей линии связи non-3GPP технологии доступа.
Конкретно, второй NAS COUNT восходящей линии связи равен 0, или второй NAS COUNT восходящей линии связи является случайным числом.
Если второй NAS COUNT восходящей линии связи равен 0, все или некоторые биты второго NAS COUNT восходящей линии связи равны 0. Если второй NAS COUNT восходящей линии связи является случайным числом, некоторые или все биты во втором NAS COUNT восходящей линии связи являются случайными числами. Например, последние 8 битов (часть порядкового номера) второго NAS COUNT восходящей линии связи являются случайными числами, или часть переполнения NAS является случайным числом, и оставшаяся часть равна 0. В качестве варианта, если второй NAS COUNT восходящей линии связи является случайным Во-вторых, NAS COUNT восходящей линии связи должен быть больше, чем NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие 3GPP технологии доступа, второй NAS COUNT восходящей линии связи должен быть больше, чем наибольший NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который хранится AMF узлом).
Второй NAS COUNT восходящей линии связи может быть NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие 3GPP технологии доступа, второй NAS COUNT восходящей линии связи является наибольшим NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и хранится в оконечном устройстве). В качестве альтернативы, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие 3GPP технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется оконечным устройством). Альтернативно, второй NAS COUNT восходящей линии связи может представлять собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие non-3GPP технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольший NAS COUNT нисходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется оконечным устройством). В качестве альтернативы, второй NAS COUNT восходящей линии связи является первым NAS COUNT восходящей линии связи; или второй NAS COUNT восходящей линии связи является суммой 1 и первый NAS COUNT восходящей линии связи.
В качестве варианта, первый NAS COUNT нисходящей линии связи может быть таким же, как второй NAS COUNT восходящей линии связи.
В частности, первый NAS COUNT нисходящей линии связи может быть 0 или может быть случайным числом.
Если первый NAS COUNT нисходящей линии связи равна 0, то все или некоторые биты первого NAS COUNT нисходящей линии связи равны 0. Если первый NAS COUNT нисходящей линии связи является случайным числом, некоторые или все биты в первом NAS COUNT нисходящей линии связи являются случайными числами. Например, последние 8 битов (часть порядкового номера) первого NAS COUNT нисходящей линии связи являются случайными числами, или часть переполнения NAS является случайным числом, и оставшаяся часть равна 0. В качестве варианта, если первый NAS COUNT нисходящей линии связи является случайной. Во-первых, NAS COUNT первой нисходящей линии связи должен быть больше, чем NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом.
В качестве альтернативы, первый NAS COUNT нисходящей линии связи может быть NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие 3GPP технологии доступа первый NAS COUNT нисходящей линии связи может дополнительно представлять собой наибольший NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом). Альтернативно, первый NAS COUNT нисходящей линии связи может быть суммой 1 и NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие 3GPP технологии доступа, первый NAS COUNT нисходящей линии связи может дополнительно иметь сумму 1 и самый большой NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом). В качестве альтернативы, первый NAS COUNT нисходящей линии связи может быть суммой 1 и NAS COUNT нисходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит по меньшей мере два NAS COUNT нисходящей линии связи, соответствующий non-3GPP технология доступа, первый NAS COUNT нисходящей линии связи может дополнительно быть суммой 1 и самой большой NAS COUNT нисходящей линии связи, который соответствует non-3GPP технологии доступа и которая сохраняется AMF узлом).
Следует отметить, что AMF узел может хранить один или оба из сгенерированного второго NAS COUNT восходящей линии связи и сгенерированного первого NAS COUNT нисходящего канала. AMF узел может поддерживать NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, которые соответствуют 3GPP технологии доступа, и может дополнительно поддерживать NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, которые соответствуют non-3GPP технологии доступа. Если AMF узел генерирует второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, AMF узел сохраняет второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи. Если AMF узел генерирует только первый NAS COUNT нисходящей линии связи, AMF узел сохраняет первый NAS COUNT нисходящей линии связи. В этом случае, NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который поддерживается оконечным устройством, является первым NAS COUNT восходящей линии связи.
Очевидно, что AMF узел отдельно поддерживает набор NAS COUNTs для каждой из 3GPP технологии доступа и non-3GPP технологии доступа, другими словами, величины NAS COUNTs, поддерживаемые AMF узлом для 3GPP технологии доступа и величины NAS COUNT, поддерживаемые AMF узлом для non-3GPP технологии доступа, не влияют друг на друга. При приеме NAS сообщения восходящей линии связи AMF узел может определить на основе информации о битах в NAS сообщении восходящей линии связи или информации в N2 сообщении технологию доступа или тракт передачи, используемый оконечным устройством для передачи NAS сообщения восходящей линии связи. Если используемой технологией доступа является 3GPP технология доступа, NAS COUNT восходящей линии связи, передаваемый в NAS сообщении восходящей линии связи, можно сравнить с наибольшим NAS COUNT восходящей линии связи, поддерживаемым для 3GPP технологии доступа. Если используемой технологией доступа является non-3GPP технология доступа, то для NAS COUNT восходящей линии связи, передаваемого в NAS сообщении восходящей линии связи, можно сравнить с наибольшим NAS COUNT восходящей линии связи, поддерживаемым для non-3GPP технологии доступа, чтобы предотвратить атаку повторением.
Этап 1112: AMF узел отправляет NAS сообщение команды режима безопасности (security mode command, SMC) в оконечное устройство с использованием N3IWF узла.
Соответственно, оконечное устройство принимает NAS SMC сообщение.
Второе сообщение в вышеприведенном варианте осуществления может быть NAS SMC сообщением.
NAS SMC сообщение передает один или оба из второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи. Понятно, что если AMF узел определяет только первый NAS COUNT нисходящей линии связи, NAS SMC сообщение передает первый NAS COUNT нисходящей линии связи. Если AMF узел определяет второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, NAS SMC сообщение содержит второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи.
В качестве варианта, если NAS сообщение передает только первый NAS COUNT нисходящей линии связи, NAS сообщение может дополнительно содержать информацию указания, используемую для инструктирования оконечного устройства продолжать использовать NAS COUNT восходящей линии связи, определенный оконечным устройством.
В качестве варианта, NAS SMC сообщение дополнительно включает в себя вторую информацию указания, и вторая информация указания используется для указания технологии доступа или тракта передачи, соответствующего NAS COUNT, передаваемого в NAS SMC сообщении. В сценарии этого варианта осуществления технология доступа, указанная второй информацией указания, является non-3GPP технологией доступа.
Этап 1113: оконечное устройство определяет, на основании NAS SMC сообщения, NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, которые соответствуют non-3GPP технологии доступа.
Оконечное устройство может отдельно поддерживать набор NAS COUNTs для каждой из 3GPP технологии доступа и non-3GPP технологии доступа. В сценарии этого варианта осуществления оконечное устройство сохранил NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, которые соответствуют 3GPP технологии доступа, и оконечное устройство может дополнительно определить на основании NAS SMC сообщения, принятого на этом этапе, NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, которые поддерживаются для non-3GPP .
В качестве варианта, если NAS SMC сообщение включает в себя только первый NAS COUNT нисходящей линии связи, оконечное устройство определяет, что NAS COUNT восходящей линии связи, соответствующий non-3GPP технологии доступа, все еще является первым NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, соответствующего non-3GPP технология доступа, является первым NAS COUNT нисходящей линии связи. Если NAS SMC сообщение включает в себя второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, оконечное устройство может определить, что NAS COUNT восходящей линии связи, соответствующий non-3GPP технологии доступа, является второй NAS COUNT восходящей линии связи, NAS COUNT нисходящей линии связи, соответствующий non-3GPP технология доступа, является первый NAS COUNT нисходящей линии связи.
Очевидно, что при приеме NAS сообщения нисходящей линии связи оконечное устройство может определить на основании информационных битов в NAS сообщении нисходящей линии связи технологию доступа или тракт передачи, используемый оконечным устройством для передачи NAS сообщения нисходящей линии связи. Если используемая технология доступа является 3GPP технологией доступа, NAS COUNT нисходящей линии связи, передаваемый в NAS сообщении нисходящей линии связи, можно сравнить с наибольшим NAS COUNT нисходящей линии связи, поддерживаемым для 3GPP технологии доступа. Если используемой технологией доступа является non-3GPP технология доступа, то для предотвращения атаки повторением NAS COUNT нисходящей линии связи, передаваемый в NAS сообщении нисходящей линии связи, можно сравнить с наибольшим NAS COUNT нисходящей линии связи, поддерживаемым для non-3GPP технологии доступа.
Этап 1114: оконечное устройство отправляет NAS сообщение о завершении режима безопасности (security mode complete, SMP) AMF узлу с использованием N3IWF узла.
Соответственно, AMF узел принимает NAS SMC сообщение.
В качестве варианта, NAS сообщение на этапе 502 может быть NAS SMC сообщением на этом этапе.
Оконечное устройство может выполнять защиту целостности для NAS SMC сообщения с использованием первого параметра, NAS COUNT восходящей линии связи и NAS ключа. Первый параметр используется, чтобы указать, что технология доступа, используемая для передачи NAS SMC сообщения, является non-3GPP технологией доступа, или используется, чтобы указать, что тракт передачи, используемый для передачи NAS SMC сообщения, является трактом 2 на фиг. 2. NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который определяется оконечным устройством на этапе 1113, или NAS COUNT восходящей линии связи, соответствующий тракту 2. NAS SMC сообщение содержит NAS COUNT восходящей линии связи.
Может быть понятно, что после приема NAS SMC сообщения AMF узел может проверить, больше ли NAS COUNT восходящей линии связи, переносимый в NAS SMC сообщении, чем NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа, и что сохраняется AMF узлом, или же значение, которое NAS COUNT восходящей линии связи, передаваемый в NAS SMC сообщении, больше, чем NAS COUNT восходящей линии связи, соответствующий тракту 2. Если значение NAS COUNT восходящей линии связи, передаваемое в NAS SMC сообщении, больше, чем NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который хранится AMF узлом, или NAS COUNT восходящей линии связи, передаваемый в NAS SMC сообщении, больше, чем NAS COUNT восходящей линии связи, соответствующий тракту 2, может быть определено на основании битовой информации в NAS сообщении о том, что технология доступа, используемая для передачи NAS SMC сообщении, представляет собой non-3GPP технологию доступа, чтобы определить первый параметр, соответствующий non-3GPP технологии доступа, и затем выполнить проверку целостности информации NAS SMC сообщения на основании первого параметра, NAS ключа и NAS COUNT восходящей линии связи, передаваемых в NAS SMC сообщении. Если проверка успешна, то выполняется этап 1115. В качестве варианта, если AMF хранит множество NAS COUNTs восходящей линии связи, может быть проверено, является ли NAS COUNT восходящей линии связи, передаваемый в NAS SMC сообщении, больше, чем наибольший NAS COUNT восходящей линии связи, которая соответствует non-3GPP технологии доступа и который сохраняется AMF узлом.
Этап 1115: AMF узел отправляет N2 сообщение в N3IWF узел. N2 сообщение содержит ключ Kn3iwf и сообщение о завершении регистрации.
Соответственно, N3IWF узел принимает N2 сообщение.
Этап 1116: N3IWF узел отправляет сообщение EAP-5G-Success в оконечное устройство.
Соответственно, оконечное устройство принимает сообщение EAP-5G-Success.
Этап 1117: оконечное устройство и N3IWF узел завершают вычисление параметра аутентификации (authentication) с использованием Kn3iwf.
Этап 1118: между оконечное устройством и N3IWF узлом устанавливается соединение безопасности интернет-протокола (Internet protocol security, IPsec).
Этап 1119: N3IWF узел отправляет сообщение о завершении регистрации в оконечное устройство.
Согласно способу, предоставленному в этом варианте осуществления настоящего изобретения, оконечное устройство может осуществлять доступ к сети через non-3GPP технологию доступа и может независимо поддерживать NAS COUNT для 3GPP технологии доступа и NAS COUNT для non-3GPP технологии доступа, тем самым, уменьшая вероятность возникновения атаки повторением.
В возможной реализации этого варианта осуществления настоящего изобретения контекст безопасности оконечного устройства может быть привязан к информации оператора. Например, информация об операторе может быть идентификатором PLMN. После того, как оконечное устройство получает доступ к сети с использованием 3GPP технологии доступа, предоставленной оператором A, когда оконечное устройство выполняет процедуру, соответствующую фиг. 11А и фиг. 11B, может быть определено, является ли N3IWF узел, соответствующий non-3GPP технологии доступа, все еще оператором А. Если N3IWF узел все еще является оператором А, процедура, соответствующая фиг. 11А и фиг. 11B может быть продолжена.
В другой возможной реализации контекст безопасности оконечного устройства на стороне non-3GPP технологии доступа может быть связан с другой информацией, такой как информация о подписке и информация о зоне расположения. Например, оконечное устройство перемещается из зоны покрытия базовой станции A в зону покрытия базовой станции B, зона покрытия базовой станции A поддерживает non-3GPP технологию доступа C, и базовая станция B поддерживает non-3GPP технологию доступа D. Если оконечное устройство получает доступ к сети через non-3GPP технологию доступа C, когда оконечное устройство перемещается из зоны покрытия базовой станции A в зону покрытия базовой станции B, если информация о подписке оконечного устройства указывает, что у оконечное устройство не может иметь разрешение использования non-3GPP технологии доступа D, оконечное устройство не может получить доступ к сети через non-3GPP технологию доступа D.
В качестве варианта, в предшествующем варианте осуществления AMF узел может определять, на основании первой информации указания, технологию доступа, используемую для передачи NAS сообщения. Этот вариант осуществления настоящего изобретения дополнительно предоставляет три способа определения технологии доступа, используемой для передачи N2 сообщения или NAS сообщения после того, как AMF узел принимает N2 сообщение.
Способ 1. AMF узел может определять, на основании источника N2 сообщения, технологию доступа, используемую для передачи N2 сообщения. Например, AMF узел определяет источник сообщения на основании информации об адресе источника (например, IP-адреса) и дополнительно определяет, на основании источника сообщения, технологию доступа, используемую для передачи сообщения. Если N2 сообщение поступает от устройства через 3GPP технологию доступа, например, из базовой станции, определяется, что может использоваться NAS COUNT, соответствующий 3GPP технологии доступа. Другими словами, AMF узел может проверять, используя NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом, NAS COUNT восходящей линии связи, передаваемый в N2 сообщении. Если N2 сообщение поступает из устройства через non-3GPP технологию доступа, например, N3IWF узла, определяется, что может быть использован NAS COUNT, соответствующий non-3GPP технологии доступа. Другими словами, AMF узел может проверять, используя NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется AMF узлом, NAS COUNT восходящей линии связи, передаваемый в N2 сообщении.
Способ 2: оконечное устройство может уведомлять AMF узел об источнике N2 сообщения явным образом. Например, N2 сообщение может содержать бит, который используется для указания технологии доступа. Например, 0 представляет 3GPP технологию доступа и 1 представляет non-3GPP технологию доступа. Альтернативно, N2 сообщение может содержать строку символов, например, «NR» представляет 3GPP технологию доступа и «wifi» представляет non-3GPP технологию доступа.
Способ 3: AMF узел определяет на основании информации о типе доступа в N2 сообщении технологию доступа, используемую для передачи N2 сообщения. Например, информация о типе доступа является информацией о RAT типе (тип доступа). Если N2 сообщение поступает из устройства, использующего 3GPP технологию доступа, например, базовой станции, указание типа доступа в N2 сообщении представляет собой доступ 3GPP, так что определяется, что может быть использован NAS COUNT, соответствующий 3GPP технологии доступа. Другими словами, AMF узел может проверять, используя NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом, NAS COUNT восходящей линии связи, передаваемый в N2 сообщении.
По сравнению с предшествующим уровнем техники, в котором AMF узел не различает технологии доступа, используемые принятыми сообщениями, в вышеупомянутых двух способах в этом варианте осуществления настоящего изобретения AMF узел может определять технологию доступа, используемую принятым сообщением, выбрать NAS COUNT, соответствующий технологии доступа, используемой принятым сообщением.
В качестве варианта, в другой реализации, предоставленной в этом варианте осуществления настоящего изобретения, со ссылкой на процедуру способа, соответствующую фиг. 11А и фиг. 11B, если AMF узел определяет второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют non-3GPP технологии доступа на этапе 1111, AMF узел может дополнительно обновить NAS ключ. Этот вариант осуществления настоящего изобретения предоставляет четыре способа обновления NAS ключа.
Способ 1: сгенерировать новый Kamf (nKamf), используя ранее использованный Kamf (oKamf), и после того, как AMF узел сгенерирует nKamf, генерировать новый NAS ключ на основании nKamf.
Здесь Kamf является корневым ключом AMF узла.
Здесь nKamf = KDF (oKamf, параметр новизны). Параметр новизны может быть NAS COUNT восходящей линии связи, ранее принятым AMF узлом, COUNT, параметром, отправленным оконечным устройством в AMF узел, или параметром, который согласовывается между оконечным устройством и AMF узлом.
Способ 2: генерировать nKamf с использованием Kseaf и после того, как AMF узел генерирует nKamf, генерировать новый NAS ключ на основе nKamf.
Здесь Kseaf является корневым ключом AMF узла.
Здесь nKamf = KDF (Kamf, параметр новизны). Параметр новизны может быть NAS COUNT восходящей линии связи, ранее принятым AMF узлом, или может быть значением счетчика. Например, начальное значение значения счетчика равно 0, и каждый раз, когда AMF узел генерирует NAS ключ, значение счетчика увеличивается на 1, чтобы указать, что AMF узел генерирует новый ключ.
Способ 3: AMF узел может генерировать новый NAS ключ на основе старого Kamf (oKamf) и алгоритма.
Здесь nKamf = KDF (oKamf, идентификатор алгоритма, выбранный алгоритм и другой параметр), и идентификатор алгоритма является идентификатором алгоритма, выбранного AMF узлом. Выбранный алгоритм является алгоритмом, используемым оконечным устройством и AMF узлом для обеспечения безопасности NAS сообщения.
Другой параметр представляет собой параметр, используемый для указания технологии доступа. В частности, другой параметр может быть в форме бита или в форме идентификатора. Например, может быть указано, что другим параметром, соответствующим 3GPP технологии доступа, является 0x01, другим параметром, соответствующим non-3GPP технологии доступа, является 0x10, и другим параметром, соответствующим технологии доступа фиксированной сети, является 0x11.
Другой параметр может альтернативно быть значением счетчика. Например, начальное значение значения счетчика равно 0, и каждый раз, когда AMF узел генерирует NAS ключ, значение счетчика увеличивается на 1, чтобы указать, что AMF узел генерирует новый ключ.
Способ 4: генерировать новый NAS ключ на основании ранее используемого NAS ключа.
Новый NAS ключ = (ранее использованный NAS ключ, значение счетчика). Например, начальное значение значения счетчика равно 0, и каждый раз, когда AMF узел генерирует NAS ключ, значение счетчика увеличивается на 1, чтобы указать, что AMF узел генерирует новый ключ.
Следует отметить, что если AMF узел генерирует новый NAS ключ, AMF узел может давать инструкции, используя NAS SMC сообщение в варианте осуществления, соответствующем фиг. 11А и фиг. 11B, оконечное устройство для обновления ключа явным образом. После получения инструкции по обновлению ключа оконечное устройство может обновить ключ с помощью одного из вышеупомянутых четырех способов. Способ обновления ключа оконечным устройством аналогичен способу обновления NAS ключа AMF узлом, и способ обновления NAS ключа предварительно сконфигурирован как в AMF узле, так и в оконечном устройстве.
В качестве варианта, когда AMF узел и оконечное устройство изменяют используемую технологию доступа, NAS ключ может обновляться. В качестве альтернативы NAS ключ может обновляться, когда случай использования множества технологий доступа переключается на случай использования только одной технологии доступа, или когда количество одновременно используемых технологий доступа уменьшается.
Согласно этому способу ключ обновляется. Даже если злоумышленник получает NAS ключ, используемый, когда AMF узел связывается с оконечным устройством, используя множество технологий доступа, злоумышленник не может получить открытый текст, используемый, когда оконечное устройство впоследствии связывается с AMF узлом, используя единую технологию доступа, повышая, тем самым, безопасность.
Следует отметить, что в вариантах осуществления настоящего изобретения для описания используется пример, в котором первая технология доступа является non-3GPP технологией доступа и вторая технология доступа является 3GPP технологией доступа. Альтернативно, в реальном приложении первая технология доступа может быть 3GPP технологией доступа и вторая технология доступа может быть non-3GPP технологией доступа. Способ, предоставленный в предшествующих вариантах осуществления, может использоваться, когда первая технология доступа и вторая технология доступа, соответственно, представляют собой две разные технологии доступа, поддерживаемые оконечным устройством, или способ, предоставленный в вышеупомянутых вариантах осуществления, может использоваться, когда оконечное устройство обращается к основному сетевому устройству, используя множество технологий доступа.
Например, если первая технология доступа является технологией фиксированного доступа к сети и вторая технология доступа является non-3GPP технологией доступа, способ реализации аналогичен способу, описанному в предшествующих вариантах осуществления. Вариант осуществления, соответствующий фиг. 11А и фиг. 11B, может применяться к сценарию, в котором оконечное устройство получило доступ к AMF узлу с использованием 3GPP технологии доступа и затем обращается к тому же AMF узлу с использованием технологии фиксированного доступа к сети. Процедура на фиг. 11А и фиг. 11B, может быть заменена процессом регистрации, в котором оконечное устройство осуществляет доступ к AMF узлу с использованием технологии фиксированного доступа к сети. Способ обеспечения безопасности в процессе регистрации аналогичен способу обеспечения безопасности, который описан в варианте осуществления на фиг. 11А и фиг. 11B и в котором оконечное устройство осуществляет доступ к AMF узлу с использованием non-3GPP технологии доступа.
Вышеизложенное в основном описывает решения, обеспечиваемые в вариантах осуществления настоящего изобретения, с точки зрения взаимодействия между различными сетевыми элементами. Следует понимать, что для реализации вышеупомянутых функций оконечное устройство и основное сетевое устройство включают в себя соответствующие аппаратные структуры и/или программные модули для выполнения функций. Со ссылкой на примеры, описанные в вариантах осуществления, раскрытых в настоящем изобретении, блоки и этапы алгоритма могут быть реализованы посредством аппаратного обеспечения или комбинации аппаратного и компьютерного программного обеспечения в вариантах осуществления настоящего изобретения. Будет ли функция реализована аппаратным способом или способом управления аппаратным обеспечением с помощью компьютерного программного обеспечения, зависит от конкретного приложения и условий проектных ограничений технических решений. Для каждого конкретного применения специалист в данной области техники может использовать разные способы для реализации описанных функций, но следует учитывать, что реализация не выходит за рамки технических решений вариантов осуществления настоящего изобретения.
В вариантах осуществления настоящего изобретения разделение функциональных блоков может выполняться на оконечном устройстве и основном сетевом устройстве на основании вышеупомянутых примеров способа. Например, каждый функциональный блок может быть получен посредством деления на основе соответствующей функции, или две или более функций могут быть интегрированы в один процессорный блок. Интегрированный блок может быть реализован в форме аппаратного обеспечения или может быть реализован в форме программного функционального блока. Следует отметить, что разделение на блоки в вариантах осуществления настоящего изобретения является примером и представляет собой просто логическое разделение функций и может быть другим разделением в фактической реализации.
Когда используется интегрированный блок, фиг. 12 показывает схематическую блок-схему устройства 1200 согласно варианту осуществления настоящего изобретения. Устройство 1200 может быть реализовано в форме программного обеспечения, или может быть оконечным устройством, или может быть микросхемой в оконечном устройстве. Устройство 1200 включает в себя блок 1202 обработки и блок 1203 связи. Блок 1202 обработки выполнен с возможностью управлять и контролировать действия устройства 1200. Например, блок 1202 обработки выполнен с возможностью поддерживать устройство 1200 при выполнении этапа 501 и этапа 502 на фиг. 5, этапа 1001 на фиг. 10, этапа 1101, этапа 1105, этапа 1113, этапа 1117 и этапа 1118 на фиг. 11А и фиг. 11B, и/или другой процесс технологии, описанной в этом описании. Блок 1203 связи выполнен с возможностью поддерживать связь между устройством 1200 и другим сетевым элементом (таким как основное сетевое устройство и N3IWF узел). Например, блок 1203 связи выполнен с возможностью поддерживать устройство 1200 при выполнении этапа 1002, этапа 1003 и этапа 1007 на фиг. 10, и этапа 1102, этапа 1103, этапа 1104, этапа 1106, этапа 1112, этапа 1114, этапа 1116 и этапа 1119 на фиг. 11А и фиг. 11В. Устройство 1200 может дополнительно включать в себя блок 1201 хранения, выполненный с возможностью хранить программный код и данные устройства 1200.
Процессор 1202 может быть процессором или контроллером, например, центральным процессором (Central Processing Unit, CPU), процессором общего назначения, процессором цифровых сигналов (Digital Signal Processor, DSP), специализированной интегральной схемой (Application-Specified Integrated Circuit, ASIC), программируемой пользователем вентильной матрицей (Field Programmable Gate Array, FPGA) или другим программируемым логическим устройством, транзисторным логическим устройством, аппаратным компонентом или любой их комбинацией. Блок 1202 обработки может реализовывать или выполнять различные примеры логических блоков, модулей и схем, описанных со ссылкой на контент, раскрытый в настоящем изобретении. Альтернативно, процессор может быть комбинацией для реализации вычислительной функции, например, комбинацией одного или нескольких микропроцессоров или комбинацией DSP и микропроцессора. Блок 1203 связи может быть приемопередатчиком, схемой приемопередатчика, интерфейсом связи или тому подобным. Блок 1201 хранения может быть памятью.
Когда блок 1202 обработки является процессором, блок 1203 связи является приемопередатчиком, и блок 1201 хранения является памятью, устройство 1200 в этом варианте осуществления настоящего изобретения может быть оконечным устройством, показанным на фиг. 13.
На фиг. 13 показана упрощенная схема возможной структуры реализации соответствующего оконечного устройства 1300 согласно варианту осуществления настоящего изобретения. Оконечное устройство 1300 включает в себя передатчик 1301, приемник 1302 и процессор 1303. Процессор 1303 может альтернативно быть контроллером и обозначен как «контроллер/процессор 1303» на фиг. 13. В качестве варианта, оконечное устройство 1300 может дополнительно включать в себя модемный процессор 1305, и модемный процессор 1305 может включать в себя кодер 1306, модулятор 1307, декодер 1308 и демодулятор 1309.
В одном примере передатчик 1301 регулирует (например, посредством аналогового преобразования, фильтрации, усиления и преобразования с повышением частоты) выходную выборку и генерирует сигнал восходящей линии связи. Сигнал восходящей линии связи передается на базовую станцию в предыдущих вариантах осуществления с использованием антенны. По нисходящей линии связи антенна принимает сигнал нисходящей линии связи, передаваемый базовой станцией в вышеупомянутом варианте осуществления. Приемник 1302 регулирует (например, посредством фильтрации, усиления, преобразования с понижением частоты и оцифровки) сигнал, принятый от антенны, и предоставляет входную выборку. В модемном процессоре 1305 кодер 1306 принимает служебные данные и сигнальное сообщение, которые должны быть отправлены по восходящей линии связи, и обрабатывает (например, посредством форматирования, кодирования и перемежения) служебные данные и сигнальное сообщение. Модулятор 1307 дополнительно обрабатывает (например, посредством преобразования символов и модуляции) кодированные служебные данные и кодированное сигнальное сообщение и предоставляет выходную выборку. Демодулятор 1309 обрабатывает (например, посредством демодуляции) входную выборку и обеспечивает оценку символа. Декодер 1308 обрабатывает (например, посредством обратного перемежения и декодирования) оценку символа и предоставляет декодированные данные и декодированное сообщение сигнализации, которые должны быть отправлены на оконечное устройство 1300. Кодер 1306, модулятор 1307, демодулятор 1309 и декодер 1308 может быть реализован интегрированным модемным процессором 1305. Блоки выполняют обработку на основе технологии радиодоступа (например, технологий доступа LTE и другой развитой системы), используемых в сети радиодоступа. Следует отметить, что когда оконечное устройство 1300 не включает в себя модемный процессор 1305, вышеупомянутые функции модемного процессора 1305 могут альтернативно реализовываться процессором 1303.
Процессор 1303 контролирует и управляет действием оконечного устройства 1300 и выполнен с возможностью выполнять процессы обработки, выполняемые оконечным устройством 1300 в вышеприведенных вариантах осуществления настоящего изобретения. Например, процессор 1303 дополнительно выполнен с возможностью выполнения процесса обработки, связанного с оконечным устройством, в способе, показанном на фиг. 5, фиг. 10 и фиг. 11А и фиг. 11B и/или другой процесс технических решений, описанных в настоящем изобретении.
Кроме того, оконечное устройство 1300 может дополнительно включать в себя память 1304, и память 1304 выполнена с возможностью хранить программный код и данные, используемые для оконечного устройства 1300.
Когда используется интегрированный блок, фиг. 14 показывает блок-схему другого устройства 1400 согласно варианту осуществления настоящего изобретения. Устройство может быть выполнено в форме программного обеспечения, или может быть основным сетевым устройством, или может быть микросхемой в основном сетевом устройстве. Устройство 1400 включает в себя блок 1402 обработки и блок 1403 связи. Блок 1402 обработки выполнен с возможностью управлять и контролировать действие устройства 1400. Например, блок 1402 обработки выполнен с возможностью поддерживать устройство 1400 при выполнении этапа 901 и этапа 902 на фиг. 9, этапа 1004 - этапа 1006 на фиг. 10, этапа 1109- этапа 1111 на фиг. 11А и фиг. 11B и/или другой процесс технологии, описанной в настоящем документе. Блок 1403 связи выполнен с возможностью поддерживать связь между устройством 1400 и другим сетевым элементом (таким как оконечное устройство или N3IWF узел). Например, блок 1403 связи выполнен с возможностью поддерживать устройство 1400 при выполнении этапа 1001, этапа 1002 и этапа 1007 на фиг. 10 и этапа 1108, этапа 1112, этапа 1114 и этапа 1115 на фиг. 11А и фиг. 11В. Устройство 1400 может дополнительно включать в себя блок 1401 хранения, выполненный с возможностью хранить программный код и данные устройства 1400.
Блок 1402 обработки может быть процессором или контроллером, например, CPU, процессором общего назначения, DSP, ASIC, FPGA или другим программируемым логическим устройством, транзисторным логическим устройством, аппаратным компонентом или любой их комбинацией. Блок 1402 обработки может реализовывать или выполнять различные примерные логические блоки, модули и схемы, описанные со ссылкой на контент, раскрытый в настоящем документе. Альтернативно, процессор может быть комбинацией для реализации вычислительной функции, например, комбинацией одного или нескольких микропроцессоров или комбинацией DSP и микропроцессора. Блок 1403 связи может быть интерфейсом связи. Интерфейс связи имеет общее название. В конкретной реализации интерфейс связи может включать в себя множество интерфейсов. Например, интерфейс связи может включать в себя интерфейс между основным сетевым устройством и оконечным устройством и интерфейс между основным сетевым устройством и N3IWF узлом и/или другой интерфейс. Блок 1401 хранения может быть памятью.
Когда блок 1402 обработки представляет собой процессор, блок 1403 связи представляет собой интерфейс связи и блок 1401 хранения представляет собой память, структура устройства 1400 в этом варианте осуществления настоящего изобретения может быть структурой сетевого устройства показанного на фиг. 15.
Фиг. 15 показывает возможную структурную схему основного сетевого устройства в соответствии с вариантом осуществления настоящего изобретения.
Как показано на фиг. 15, основное сетевое устройство 1500 включает в себя процессор 1502, интерфейс 1503 связи и память 1501. В качестве варианта, основное сетевое устройство 1500 может дополнительно включать в себя шину 1504. Интерфейс 1503 связи, процессор 1502 и память 1501 могут быть соединены друг с другом с помощью шины 1504. Шина 1504 может быть шиной PCI, шиной EISA или тому подобным. Шина 1504 может быть классифицирована на адресную шину, шину данных, шину управления и тому подобное. Для простоты указания шины, указывают только одну жирную линию на фиг. 15. Однако это не означает, что используют только одну шину или только один тип шины.
Способы или этапы алгоритма, описанные со ссылкой на контент, раскрытый в настоящем документе, могут быть реализованы аппаратным способом или могут быть реализованы способом выполнения инструкции программного обеспечения процессором. Инструкция программного обеспечения может включать в себя соответствующий программный модуль. Программный модуль может храниться в оперативной памяти (Random Access Memory), флэш-памяти, постоянном запоминающем устройстве (Read-Only Memory, ROM), стираемом программируемом постоянном запоминающем устройстве (Erasable Programmable ROM, EPROM), электрически стираемом программируемом постоянном запоминающем устройстве (Electrically EPROM, EEPROM), регистре, жестком диске, съемном жестком диске, постоянном запоминающем устройстве компакт-диска (CD-ROM) или носителе данных в любых других формах хорошо известных в данной области техники. Носитель данных, используемый в качестве примера, соединен с процессором, так что процессор может считывать информацию с носителя данных и может записывать информацию на носитель данных. Разумеется, носитель данных может быть компонентом процессора. Процессор и носитель данных могут быть расположены в ASIC. Дополнительно, ASIC может быть расположен в устройстве интерфейса базовой сети. Конечно, процессор и носитель данных могут быть установлены в устройстве интерфейса базовой сети в виде дискретных компонентов.
В нескольких вариантах осуществления, представленных в настоящем изобретении, следует понимать, что раскрытые система, устройство и способ могут быть реализованы другими способами. Например, описанный вариант осуществления устройства является просто примером. Например, разделение на блоки является просто логическим разделением функций и может быть другим разделением в реальной реализации. Например, множество блоков или компонентов могут быть объединены или интегрированы в другую систему, или некоторые функции могут игнорироваться или не выполняться. Дополнительно, отображаемые или обсуждаемые взаимные связи или прямые подключения или соединения могут быть реализованы через некоторые интерфейсы. Непрямые соединения или коммуникационные соединения между устройствами или блоками могут быть реализованы в электронной или другой форме.
Блоки, описанные как отдельные части, могут быть или не быть физически отдельными. Части, отображаемые как блоки, могут быть или не быть физическими блоками, другими словами, могут быть расположены в одной позиции или могут быть распределены на множестве сетевых устройств. Некоторые или все блоки могут быть выбраны в соответствии с фактическими потребностями для достижения целей решений вариантов осуществления.
Дополнительно, функциональные блоки в вариантах осуществления настоящего изобретения могут быть интегрированы в один блок обработки, или каждый из функциональных блоков может существовать один, или два или более блоков интегрированы в один блок. Интегрированный блок может быть реализован в виде аппаратного обеспечения или может быть реализован в виде аппаратного обеспечения в дополнение к функциональному блоку программного обеспечения.
На основании вышеприведенных описаний реализаций специалист в данной области техники может четко понимать, что настоящее изобретение может быть реализовано программным обеспечением в дополнение к необходимому универсальному аппаратному обеспечению или, конечно, только аппаратным обеспечением. В большинстве случаев первая является предпочтительной реализацией. Исходя из такого понимания, технические решения настоящего изобретения, по существу, или часть, способствующая предшествующему уровню техники, могут быть реализованы в форме программного продукта. Компьютерный программный продукт хранится на читаемом носителе информации, таком как дискета, жесткий диск или оптический диск компьютера, и включает в себя несколько инструкций для инструктажа компьютерного устройства (которым может быть персональный компьютер, сервер, или сетевое устройство) для выполнения способов, описанных в вариантах осуществления настоящего изобретения.
Вышеприведенные описания являются просто конкретными вариантами осуществления настоящего изобретения, но не предназначены для ограничения области защиты настоящего изобретения. Любое изменение или замена, раскрытые в настоящем документе, должны попадать в область защиты настоящего изобретения. Следовательно, объем защиты данного изобретения должен быть предметом защиты формулы изобретения.
1. Способ обеспечения безопасности сообщения уровня без доступа (NAS), содержащий этапы, на которых:
определяют, с помощью устройства, значение первого параметра, причем значение первого параметра, показывающего технологию доступа, используемую для передачи NAS сообщения; причем первый параметр является параметром ввода, используемым, когда выполняется обеспечение безопасности передачи NAS сообщения; и
выполняют, с помощью устройства, обеспечение безопасности для NAS сообщения на основании первого параметра, NAS ключа и NAS COUNT, соответствующих технологии доступа, используемой для передачи NAS сообщения, причем
указанное устройство является оконечным устройством, микросхемой в оконечном устройстве или основным сетевым устройством.
2. Способ по п. 1, дополнительно содержащий этап, на котором:
определяют, с помощью устройства, технологию доступа, используемую для передачи NAS сообщения до определения значения первого параметра.
3. Способ по п. 1 или 2, в котором входной параметр является BEARER.
4. Способ по любому из пп. 1-3, в котором технология доступа, используемая для передачи NAS сообщения, содержит технологию доступа проекта партнерства 3-го поколения (3GPP) или non-3GPP технологию доступа.
5. Способ по п. 4, в котором, когда технология доступа, используемая для передачи NAS сообщения, является 3GPP технологией доступа, значение первого параметра установлено в первое значение.
6. Способ по п. 4, в котором, когда технология доступа, используемая для передачи NAS сообщения, является non-3GPP технологией доступа, значение первого параметра установлено во второе значение.
7. Способ по любому из пп. 1-6, в котором NAS сообщение является NAS сообщением, подлежащим передаче, при этом этап выполнения, с помощью устройства, обеспечения безопасности для NAS сообщения содержит по меньше мере одно из:
шифрования NAS сообщения или выполнения защиты целостности NAS сообщения.
8. Способ по п. 7, дополнительно содержащий этап, на котором:
передают, с помощью устройства, защищенное NAS сообщение, при этом защищенное NAS сообщение включает в себя некоторые биты NAS COUNT.
9. Способ по любому из пп. 1-6, в котором NAS сообщение является принятым NAS сообщением, при этом этап выполнения обеспечения безопасности для NAS сообщения содержит подэтап, на котором:
дешифруют NAS сообщение или выполняют верификацию защиты целостности принятого NAS сообщения.
10. Способ по любому из пп. 1-9, в котором, когда устройство является оконечным устройством или микросхемой в оконечном устройстве, устройство поддерживает, по меньшей мере, две технологии доступа и отдельно поддерживает соответствующие NAS COUNTs для каждой из по меньшей мере двух технологий доступа.
11. Способ по любому из пп. 1-9, в котором, когда устройство является основным сетевым устройством, устройство отдельно поддерживает соответствующий NAS COUNT для каждой из по меньшей мере двух технологий доступа.
12. Способ по п. 11, в котором основное сетевое устройство представляет собой узел функции управления доступом и мобильностью (AMF).
13. Устройство обеспечения безопасности сообщения уровня без доступа (NAS), содержащее:
блок обработки, выполненный с возможностью: определения значения первого параметра, при этом значение первого параметра представляет технологию доступа, используемую для передачи NAS сообщения; причем первый параметр является параметром ввода, используемым, когда выполняется обеспечение безопасности передачи NAS сообщения; и выполнения обеспечения безопасности для NAS сообщения на основании первого параметра, NAS ключа и NAS COUNT, соответствующего технологии доступа, используемой для передачи NAS сообщения, причем
указанное устройство является оконечным устройством, микросхемой в оконечном устройстве или основным сетевым устройством.
14. Устройство по п. 13, в котором блок обработки дополнительно выполнен с возможностью:
определения технологии доступа, используемой для передачи NAS сообщения до определения значения первого параметра.
15. Устройство по п. 13 или 14, в котором входной параметр является BEARER.
16. Устройство по любому из пп. 13-15, в котором технология доступа, используемая для передачи NAS сообщения, содержит технологию доступа проекта партнерства 3-го поколения (3GPP) или non-3GPP технологию доступа.
17. Устройство по п. 16, в котором, когда технология доступа, используемая для передачи NAS сообщения, является 3GPP технологией доступа, значение первого параметра установлено в первое значение.
18. Устройство по п. 16, в котором, когда технология доступа, используемая для передачи NAS сообщения, является non-3GPP технологией доступа, значение первого параметра установлено во второе значение.
19. Устройство по любому из пп. 13-18, в котором NAS сообщение является NAS сообщением, подлежащим передаче, при этом блок обработки выполнен с возможностью выполнения обеспечения безопасности для NAS сообщения посредством выполнения по меньшей мере одного из:
шифрования NAS сообщения, подлежащего передаче; или
выполнения защиты целостности NAS сообщения, подлежащего передаче.
20. Устройство по п. 19, в котором устройство дополнительно содержит блок связи; при этом
блок связи выполнен с возможностью передачи защищенного NAS сообщения, при этом защищенное NAS сообщение включает в себя некоторые биты NAS COUNT.
21. Устройство по любому из пп. 13-19, в котором NAS сообщение является принятым NAS сообщением, при этом блок обработки выполнен с возможностью выполнения обеспечения безопасности для NAS сообщения посредством выполнения по меньшей мере одного из:
дешифрования принятого NAS сообщения или выполнения верификации защиты целостности принятого NAS сообщения.
22. Устройство по любому из пп. 13-21, в котором, когда устройство является оконечным устройством или микросхемой в оконечном устройстве, оконечное устройство выполнено с возможностью поддержки по меньшей мере двух технологий доступа и отдельно поддержки соответствующих NAS COUNTs для каждой из по меньшей мере двух технологий доступа.
23. Устройство по любому из пп. 13-21, характеризующееся тем, что, когда устройство представляет собой основное сетевое устройство, оно выполнено с возможностью отдельной поддержки соответствующего NAS подсчета для каждой из по меньшей мере двух технологий доступа.
24. Устройство по п. 23, в котором устройство представляет собой узел функции управления доступом и мобильностью (AMF).
25. Машиночитаемый носитель данных, хранящий инструкции, вызывающие, при исполнении компьютером, выполнение компьютером способа по любому из пп. 1-12.
26. Устройство обеспечения безопасности сообщения уровня без доступа (NAS), содержащее:
по меньшей мере, один процессор; и
память, соединенную с по меньшей мере одним процессором и хранящую программные инструкции, вызывающие, при исполнении по меньшей мере одним процессором, выполнение устройством способа по любому из пп. 1-12.
27. Система связи, содержащая оконечное устройство и основное сетевое устройство; при этом
оконечное устройство выполнено с возможностью:
определения значения первого параметра, причем значение первого параметра представляет технологию доступа, используемую для передачи сообщения уровня без доступа (NAS); причем первый параметр является параметром ввода, используемым, когда выполняется обеспечение безопасности передачи NAS сообщения; и
выполнения обеспечения безопасности для NAS сообщения на основании первого параметра, NAS ключа и NAS COUNT, соответствующего технологии доступа, используемой для передачи NAS сообщения;
передачи защищенного NAS сообщения на основное сетевое устройство; а
основное сетевое устройство выполнено с возможностью:
приема защищенного NAS сообщения от оконечного устройства;
определения значения первого параметра;
выполнения обеспечения безопасности для защищенного NAS сообщения на основании первого параметра, NAS ключа и NAS COUNT, соответствующего технологии доступа, используемой для передачи защищенного NAS сообщения.
