BR112021005537A2 - sistemas e método para proteção de segurança de mensagens nas - Google Patents

sistemas e método para proteção de segurança de mensagens nas Download PDF

Info

Publication number
BR112021005537A2
BR112021005537A2 BR112021005537-1A BR112021005537A BR112021005537A2 BR 112021005537 A2 BR112021005537 A2 BR 112021005537A2 BR 112021005537 A BR112021005537 A BR 112021005537A BR 112021005537 A2 BR112021005537 A2 BR 112021005537A2
Authority
BR
Brazil
Prior art keywords
nas
message
security
initial
nas message
Prior art date
Application number
BR112021005537-1A
Other languages
English (en)
Inventor
Jennifer Liu
Original Assignee
Nokia Technologies Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Technologies Oy filed Critical Nokia Technologies Oy
Publication of BR112021005537A2 publication Critical patent/BR112021005537A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/25Maintenance of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Multi Processors (AREA)

Abstract

SISTEMAS E MÉTODO PARA PROTEÇÃO DE SEGURANÇA DE MENSAGENS NAS. Sistemas e métodos que fornecem proteção de segurança NAS para redes móveis. Em uma modalidade, um elemento de rede de uma rede móvel executa um procedimento NAS em múltiplas fases para estabelecer uma sessão de comunicação NAS com Equipamento de Usuário (UE) quando não existe nenhum contexto de segurança NAS. Para uma primeira fase, o elemento de rede recebe uma mensagem NAS inicial do UE populada com um subconjunto de Elementos de Informação (IEs) de protocolo NAS designados para manipulação relativa a segurança, seleciona um algoritmo de segurança NAS para o contexto de segurança NAS e envia uma resposta para o UE que indica o algoritmo de segurança NAS. Para uma segunda fase, o elemento de rede recebe uma mensagem NAS subsequente do UE tendo um recipiente de mensagem NAS que contém a mensagem NAS inicial populada com cada um dos IEs de protocolo NAS para o procedimento NAS e decriptografa o recipiente de mensagem NAS da mensagem NAS subsequente usando o algoritmo de segurança NAS.

Description

“SISTEMAS E MÉTODO PARA PROTEÇÃO DE SEGURANÇA DE MENSAGENS NAS” Pedidos Relacionados
[001] Este pedido de patente não provisório reivindica prioridade do Pedido de Patente Provisório US 62/735.732, depositado em 24 de setembro de 2018, que é incorporado por referência como se fosse totalmente fornecido neste documento. Campo Técnico
[002] Esta divulgação se refere ao campo de sistemas de comunicação e, em particular, à segurança em redes. Fundamentos
[003] Provedores ou transportadores de serviços implementam redes móveis para oferecer numerosos serviços de voz e dados para usuários finais de telefones móveis ou outros dispositivos/terminais móveis que geralmente são denominados como Equipamento de Usuário (UE). Alguns exemplos de serviços de voz são chamadas de voz, encaminhamento de chamada, chamada em espera, etc. Alguns exemplos de serviços de dados são acesso à Internet, streaming de áudio, streaming de vídeo, jogos online, televisão por protocolo de Internet (IP-TV), etc. Uma rede móvel é um tipo de rede onde o último link para o usuário final é sem fio. Uma rede móvel geralmente inclui uma rede de núcleo e uma ou mais Redes de Acesso de Rádio (RAN) que trocam sinalização e dados com UEs através de uma interface de rádio. Uma rede móvel típica é logicamente separada em um plano de usuário e um plano de controle. O plano de usuário é o plano lógico responsável por transportar dados de usuário enviados através da rede e o plano de controle é o plano lógico responsável por transportar a sinalização usada para estabelecer comunicações para um UE. As especificações do Third Generation Partnership Project (3GPP) particionam protocolos de celulares em dois estratos: o Estrato de Não Acesso (NAS) e o Estrato de Acesso (AS). O AS consiste em comunicações entre o UE e o RAN (por exemplo, eNodeB) ocorrendo via um canal de Radiofrequência (RF). O NAS consiste em tráfego de sinalização não de rádio entre um UE e a rede de núcleo (por exemplo, uma Mobility Management Entity (MME) para LTE ou Access and Mobility Management Function (AMF) para uma rede de geração de rede). O 3GPP implementou procedimentos de segurança para proteger mensagens de plano de controle (por exemplo, mensagens NAS) de vários ataques. No entanto, pode ser benéfico identificar procedimentos de segurança aprimorados que forneçam proteção adicional para mensagens de plano de controle. Sumário
[004] Modalidades aqui descritas fornecem proteção aprimorada para mensagens NAS. Um procedimento NAS (por exemplo, registro de um UE) inclui um conjunto de Elementos de Informação (IEs) que transportam informações. As modalidades descritas abaixo estabelecem maneiras de proteger os IEs ou um subconjunto dos IEs que são enviados em mensagens NAS. Assim, as informações transportadas nos IEs são menos vulneráveis a ataques maliciosos.
[005] Uma modalidade compreende um elemento de rede de uma rede móvel. O elemento de rede inclui processador(es) e memória, incluindo código de programa de computador executável pelo processador. O processador é configurado para fazer o elemento de rede executar um procedimento NAS em múltiplas fases para estabelecer uma sessão de comunicação NAS entre o elemento de rede e um UE. Para uma primeira fase do procedimento NAS, o processador é ainda configurado para fazer o elemento de rede receber uma mensagem NAS inicial do UE, onde a mensagem NAS inicial é populada com um subconjunto de IEs de protocolo NAS, dos IEs de protocolo NAS para o procedimento NAS, que são designados para manipulação relativa à segurança. O processador é ainda configurado para fazer o elemento de rede processar o subconjunto dos IEs de protocolo NAS para determinar que um contexto de segurança NAS não existe para o UE, selecionar um algoritmo de segurança NAS para o contexto de segurança NAS e enviar uma resposta para o
UE que indica o algoritmo de segurança NAS e um identificador de conjunto de chave de segurança do contexto de segurança NAS. Para uma segunda fase do procedimento NAS, o processador é ainda configurado para fazer o elemento de rede receber uma mensagem NAS subsequente do UE tendo um recipiente de mensagem NAS que contém a mensagem NAS inicial criptografada com base no algoritmo de segurança NAS e descriptografar o recipiente de mensagem NAS da mensagem NAS subsequente, onde a mensagem NAS inicial contida no recipiente de mensagem NAS da mensagem NAS subsequente é populada com cada um dos IEs de protocolo NAS para o procedimento NAS.
[006] Em outra modalidade, para a primeira fase, o subconjunto dos IEs de protocolo NAS são criptografados na mensagem NAS inicial usando uma chave pública de uma Home Public Land Mobile Network (HPLMN) para o UE. O processador é ainda configurado para fazer o elemento de rede iniciar decriptografia do subconjunto dos IEs de protocolo NAS.
[007] Em outra modalidade, o elemento de rede compreende um elemento de Access and Mobility Management Function (AMF) da rede móvel.
[008] Em outra modalidade, o processador é ainda configurado para fazer o elemento de rede enviar o subconjunto de IEs de protocolo NAS criptografado para um elemento de Unified Data Management (UDM) para decriptografar o subconjunto de IEs de protocolo NAS com base em uma chave privada da HPLMN.
[009] Em outra modalidade, a mensagem NAS inicial compreende uma mensagem de solicitação de registro. O subconjunto dos IEs de protocolo NAS designados para manipulação relativa a segurança consiste em uma identidade móvel para o UE, uma capacidade de segurança de UE indicando um ou mais algoritmos de segurança NAS suportados pelo UE, um tipo de registro e um identificador de conjunto de chave de segurança para um contexto de segurança NAS.
[0010] Em outra modalidade, a resposta compreende uma mensagem de comando de modo de segurança que indica o algoritmo de segurança NAS e o identificador de conjunto de chave de segurança, e a mensagem NAS subsequente recebida do UE compreende uma mensagem completa de modo de segurança tendo o recipiente de mensagem NAS que contém a mensagem NAS inicial criptografada com base no algoritmo de segurança NAS.
[0011] Em outra modalidade, a rede móvel compreende uma rede de Quinta Geração (5G).
[0012] Outra modalidade compreende um método para realizar um procedimento NAS para estabelecer uma sessão de comunicação NAS entre um UE e um elemento de rede de uma rede móvel. Para uma primeira fase do procedimento NAS, o método compreende receber uma mensagem NAS inicial no elemento de rede do UE, onde a mensagem NAS inicial é populada com um subconjunto de IEs de protocolo NAS, dos IEs de protocolo NAS para o procedimento NAS, que são designados para manipulação relativa à segurança. Além disso, para a primeira fase, o método compreende processar o subconjunto dos IEs de protocolo NAS no elemento de rede para determinar que um contexto de segurança NAS não existe para o UE, selecionar um algoritmo de segurança NAS no elemento de rede para o contexto de segurança NAS e enviar uma resposta do elemento de rede para o UE que indica o algoritmo de segurança NAS e um identificador de conjunto de chave de segurança do contexto de segurança NAS. Para uma segunda fase do procedimento NAS, o método compreende receber uma mensagem NAS subsequente no elemento de rede do UE tendo um recipiente de mensagem NAS que contém a mensagem NAS inicial criptografada com base no algoritmo de segurança NAS e descriptografar o recipiente de mensagem NAS da mensagem NAS subsequente no elemento de rede, onde a mensagem NAS inicial contida no recipiente de mensagem NAS da mensagem NAS subsequente é populada com cada um dos IEs de protocolo NAS para o procedimento NAS.
[0013] Em outra modalidade, para a primeira fase, o subconjunto dos IEs do protocolo NAS é criptografado na mensagem NAS inicial usando uma chave pública de uma HPLMN para o UE e o método compreende ainda iniciar descriptografia do subconjunto dos IEs de protocolo NAS.
[0014] Em outra modalidade, o elemento de rede compreende um elemento AMF da rede móvel e a etapa de iniciar a descriptografia do subconjunto dos IEs de protocolo NAS compreende enviar o subconjunto de IEs de protocolo NAS criptografado para um elemento UDM para descriptografar o subconjunto de IEs de protocolo NAS com base em uma chave privada da HPLMN.
[0015] Em outra modalidade, a mensagem NAS inicial compreende uma mensagem de solicitação de registro e o subconjunto dos IEs de protocolo NAS designados para manipulação relativa a segurança consiste em uma identidade móvel para o UE, uma capacidade de segurança de UE indicando um ou mais algoritmos de segurança NAS suportados pelo UE, um tipo de registro e um identificador de conjunto de chave de segurança para um contexto de segurança NAS.
[0016] Em outra modalidade, a resposta compreende uma mensagem de comando de modo de segurança que indica o algoritmo de segurança NAS e o identificador de conjunto de chave de segurança, e a mensagem NAS subsequente recebida do UE compreende uma mensagem completa de modo de segurança tendo o recipiente de mensagem NAS que contém a mensagem NAS inicial criptografada com base no algoritmo de segurança NAS.
[0017] Em outra modalidade, para a primeira fase do procedimento NAS, o método compreende as seguintes etapas no UE: identificar o subconjunto dos IEs de protocolo NAS para o procedimento NAS que é designado para manipulação relativa à segurança, inserir o subconjunto de IEs de protocolo NAS na mensagem NAS inicial, enviar a mensagem NAS inicial do UE para o elemento de rede e receber a resposta do elemento de rede que indica o algoritmo de segurança NAS e o identificador de conjunto de chave de segurança para o contexto de segurança NAS. Para a segunda fase do procedimento NAS, o método compreende as seguintes etapas no UE: inserir os IEs de protocolo NAS para o procedimento NAS na mensagem NAS inicial, inserir a mensagem NAS inicial no recipiente de mensagem NAS da mensagem NAS subsequente, criptografar o recipiente de mensagem NAS da mensagem NAS subsequente usando o algoritmo de segurança NAS e enviar a mensagem NAS subsequente do UE para o elemento de rede.
[0018] Em outra modalidade, para a primeira fase, o método inclui ainda criptografar, no UE, o subconjunto dos IEs de protocolo NAS na mensagem NAS inicial usando uma chave pública de uma HPLMN para o UE.
[0019] Outra modalidade compreende um UE que inclui processador(es) e uma memória incluindo código de programa de computador executável pelo processador. O processador é configurado para fazer o UE iniciar um procedimento NAS em múltiplas fases para estabelecer uma sessão de comunicação NAS entre o UE e um elemento de rede de uma rede móvel. Para uma primeira fase do procedimento NAS, o processador é ainda configurado para fazer o UE identificar, de IEs de protocolo NAS para o procedimento NAS, um subconjunto dos IEs de protocolo NAS que são designados para tratamento relativo à segurança. O processador é ainda configurado para fazer o UE inserir o subconjunto de IEs de protocolo NAS em uma mensagem NAS inicial, enviar a mensagem NAS inicial para o elemento de rede e receber uma resposta do elemento de rede que indica um algoritmo de segurança NAS e identificador de conjunto de chave de segurança para um contexto de segurança NAS. Para uma segunda fase do procedimento NAS, o processador é ainda configurado para fazer o UE inserir os IEs de protocolo NAS para o procedimento NAS na mensagem NAS inicial, inserir a mensagem NAS inicial em um recipiente de mensagem NAS de uma mensagem NAS subsequente, criptografar o recipiente de mensagem NAS da mensagem NAS subsequente usando o algoritmo de segurança NAS e enviar a mensagem NAS subsequente para o elemento de rede.
[0020] Em outra modalidade, para a primeira fase, o processador pe ainda configurado para fazer o UE criptografar o subconjunto dos IEs de protocolo NAS na mensagem NAS inicial usando uma chave pública de uma HPLMN para o UE.
[0021] Em outra modalidade, o processador é ainda configurado para fazer o UE criptografar o subconjunto dos IEs de protocolo NAS na mensagem NAS inicial usando a chave pública quando o UE tem a chave pública programada em um UMTS Subscriber Identity Module (USIM) e enviar a mensagem NAS inicial para o elemento de rede sem criptografar o subconjunto dos IEs de protocolo NAS na mensagem NAS inicial quando o UE não tem a chave pública programada no USIM.
[0022] Em outra modalidade, a mensagem NAS inicial compreende uma mensagem de solicitação de registro e o subconjunto de IEs de protocolo NAS designados para manipulação relativa a segurança consiste em uma identidade móvel para o UE, uma capacidade de segurança de UE indicando um ou mais algoritmos de segurança NAS suportados pelo UE, um tipo de registro e um identificador de conjunto de chave de segurança para um contexto de segurança NAS.
[0023] Em outra modalidade, o processador é configurado para fazer o UE criptografar o subconjunto dos IEs de protocolo NAS na mensagem NAS inicial usando uma chave pública de uma HPLMN para o UE quando o tipo de registro não indicar uma emergência, e enviar a mensagem NAS inicial para o elemento de rede sem criptografar o subconjunto dos IEs de protocolo NAS na mensagem NAS inicial quando o tipo de registro indicar uma emergência.
[0024] Em outra modalidade, a resposta compreende uma mensagem de comando de modo de segurança que indica o algoritmo de segurança NAS e o identificador de conjunto de chave de segurança, e a mensagem NAS subsequente compreende uma mensagem completa de modo de segurança tendo o recipiente de mensagem NAS que contém a mensagem NAS inicial criptografada com base no algoritmo de segurança NAS.
[0025] Outra modalidade compreende um elemento de rede de uma rede móvel. O elemento de rede inclui um meio para fazer o elemento de rede executar um procedimento NAS em múltiplas fases para estabelecer uma sessão de comunicação NAS entre o elemento de rede e um UE. Para uma primeira fase do procedimento NAS, o elemento de rede inclui um meio para receber uma mensagem NAS inicial do UE, onde a mensagem NAS inicial é populada com um subconjunto de IEs de protocolo NAS, dos IEs de protocolo NAS para o procedimento NAS, que são designados para manipulação relativa à segurança. O elemento de rede inclui ainda um meio para processar o subconjunto de IEs de protocolo NAS para determinar que um contexto de segurança NAS não existe para o UE, um meio para selecionar um algoritmo de segurança NAS para o contexto de segurança NAS e um meio para enviar um resposta para o UE que indica o algoritmo de segurança NAS e um identificador de conjunto de chave de segurança do contexto de segurança NAS. Para uma segunda fase do procedimento NAS, o elemento de rede incui ainda um meio para receber uma mensagem NAS subsequente do UE tendo um recipiente de mensagem NAS que contém a mensagem NAS inicial criptografada com base no algoritmo de segurança NAS e um meio para descriptografar o recipiente de mensagem NAS da mensagem NAS subsequente, onde a mensagem NAS inicial contida no recipiente de mensagem NAS da mensagem NAS subsequente é populada com cada um dos IEs de protocolo NAS para o procedimento NAS.
[0026] O sumário acima fornece uma compreensão básica de alguns aspectos do relatório descritivo. Esse sumário não é uma visão geral abrangente do relatório descritivo. Ele não se destina nem a identificar elementos chave ou críticos do relatório descritivo nem a delinear qualquer escopo das modalidades particulares do relatório descritivo, ou qualquer escopo das reivindicações. Seu único propósito é apresentar alguns conceitos do relatório descritivo de uma forma simplificada como um prelúdio para a descrição mais detalhada que é apresentada mais tarde. Descrição dos Desenhos
[0027] Algumas modalidades da invenção são descritas agora, a título de exemplo apenas, com referência às figuras em anexo. O mesmo número de referência representa o mesmo elemento ou o mesmo tipo de elemento em todos os desenhos.
[0028] FIG. 1 ilustra uma rede móvel em uma modalidade ilustrativa.
[0029] FIG. 2 ilustra uma rede Evolved Packet Core (EPC).
[0030] FIG. 3 ilustra uma arquitetura não de roaming de uma rede de próxima geração.
[0031] FIG. 4 ilustra uma arquitetura de roaming de uma rede de próxima geração.
[0032] FIG. 5 ilustra uma pilha de protocolo de rádio.
[0033] FIG. 6 é um diagrama de blocos de um UE em uma modalidade ilustrativa.
[0034] FIG. 7 é um diagrama de blocos de um elemento de rede em uma modalidade ilustrativa.
[0035] FIG. 8 é um fluxograma ilustrando um método para realizar um procedimento NAS em um UE em uma modalidade ilustrativa.
[0036] FIG. 9 é um fluxograma ilustrando um método para executar um procedimento NAS em um elemento de rede em uma modalidade ilustrativa.
[0037] FIG. 10 é um diagrama de mensagem mostrando um procedimento NAS quando um UE não tem contexto de segurança em uma modalidade ilustrativa.
[0038] FIG. 11 é um fluxograma ilustrando um método para realizar um procedimento NAS em UE 110 em outra modalidade ilustrativa.
[0039] FIG. 12 é um fluxograma ilustrando um método para executar um procedimento NAS em um elemento de rede em outra modalidade ilustrativa.
[0040] FIG. 13 é um diagrama de mensagem mostrando um procedimento NAS quando um UE não tem contexto de segurança em uma modalidade ilustrativa.
[0041] FIG. 14 é um fluxograma ilustrando um método para realizar um procedimento NAS em um UE em outra modalidade ilustrativa.
[0042] FIG. 15 é um fluxograma ilustrando um método para executar um procedimento NAS em um elemento de rede em outra modalidade ilustrativa.
[0043] FIG. 16 é um diagrama de mensagem mostrando um procedimento de registro NAS quando um UE tem contexto de segurança válido em uma modalidade ilustrativa.
[0044] FIG. 17 é um diagrama de mensagem mostrando um procedimento de solicitação de serviço NAS quando um UE tem um contexto de segurança válido em uma modalidade ilustrativa.
[0045] FIG. 18 é um diagrama de mensagem mostrando um procedimento de cancelamento de registro NAS quando um UE tem um contexto de segurança válido em uma modalidade ilustrativa.
[0046] FIGS. 19A-19B são um fluxograma ilustrando um método para realizar um procedimento NAS em um UE em uma modalidade ilustrativa.
[0047] FIG. 20 é um fluxograma ilustrando um método para executar um procedimento NAS em um elemento de rede em uma modalidade ilustrativa.
[0048] FIG. 21 é um diagrama de mensagem mostrando um procedimento de registro NAS quando um UE tem um contexto de segurança NAS, mas o contexto de segurança NAS não é válido ou não é encontrado em uma modalidade ilustrativa.
[0049] FIG. 22 é um diagrama de mensagem mostrando um procedimento de solicitação de serviço NAS quando um UE tem um contexto de segurança NAS, mas o contexto de segurança NAS não é válido ou não é encontrado em uma modalidade ilustrativa. Descrição de Modalidades
[0050] As figuras e a descrição a seguir ilustram modalidades exemplares específicas. Será assim apreciado que aqueles versados na técnica serão capazes de conceber várias disposições que, embora não explicitamente descritas ou mostradas aqui, incorporam os princípios das modalidades e estão incluídas dentro do escopo das modalidades. Além disso, quaisquer exemplos aqui descritos se destinam a auxiliar na compreensão dos princípios das modalidades e serão interpretados como sendo sem limitação a tais exemplos e condições especificamente citados. Como resultado, o(s) conceito(s) inventivo(s) não está(ão) limitado(s) às modalidades ou exemplos específicos descritos abaixo, mas pelas reivindicações e seus equivalentes.
[0051] FIG. 1 ilustra uma rede móvel 100 em uma modalidade ilustrativa. A rede móvel 100 (também chamada de rede celular) é um tipo de rede onde o último link é sem fio e fornece serviços de voz e/ou dados para uma pluralidade de dispositivos. A rede móvel 100 pode ser uma rede de Terceira Geração (3G), uma de Quarta Geração (4G) e/ou uma rede de próxima geração (por exemplo, Quinta Geração (5G)).
[0052] A rede móvel 100 é ilustrada como fornecendo serviços de comunicação para UEs 110 (juntamente com outros UEs não mostrados). Os UEs 110 podem ser habilitados para serviços de voz, serviços de dados, serviços Máquina-a-Máquina (M2M) ou Comunicações do Tipo Máquina (MTC) e/ou outros serviços. Um UE 110 pode ser um dispositivo de usuário final, tal como um telefone móvel (por exemplo, smartphone), um tablet ou PDA, um computador com um adaptador de banda larga móvel, etc.
[0053] A rede móvel 100 inclui uma ou mais Radio Access Networks (RAN) 120 que se comunicam com UEs 110 através de uma interface de rádio 122. A RAN 120 pode suportar acesso Evolved-UMTS Terrestrial Radio Access Network (E-UTRAN), acesso Wireless Local Area Network (WLAN), acesso fixo, acesso de rádio por satélite, novas Radio Access Technologies (RAT), etc. Como um exemplo, RAN 120 pode compreender uma E-UTRAN ou Next Generation RAN (NG-RAN) que inclui uma ou mais estações base 124 que estão dispersas através de uma área geográfica. Uma estação base 124 pode compreender uma entidade que usa tecnologia de comunicação de rádio para comunicar com um UE no espectro licenciado e fazer interface do UE com uma rede de núcleo. Estações base 124 em uma E-UTRAN são referidas como Evolved-NodeBs (eNodeB). Estações base 124 em uma NG-RAN são referidas como gNodeBs (estações base NR) e/ou ng-eNodeBs (estações base LTE suportando uma Rede de Núcleo 5G). Como outro exemplo, RAN 120 pode compreender uma WLAN que inclui um ou mais Wireless Access Points (WAP)
125. Uma WLAN é uma rede na qual um UE é capa de conectar a uma Local Area Network (LAN) através de uma conexão sem fio (rádio). Um WAP 125 é um nó que usa tecnologia de comunicação de rádio para comunicar com um UE através do espectro não licenciado e fornece ao UE acesso a uma rede de núcleo. Um exemplo de WAP 125 é um ponto de acesso WiFi que opera nas bandas de rádio de 2,4 GHz ou 5 GHz. O termo "estação base", como aqui utilizado, pode se referir a um eNodeB, um gNodeB, um ng-eNodeB, um WAP, etc.
[0054] UEs 110 são capazes de fixar à célula 126 de RAN 120 para acessar uma rede de núcleo 130. RAN 120, portanto, representa a interface de rádio entre UEs 110 e a rede de núcleo 130. A rede de núcleo 130 é a parte central da rede móvel 100 que fornece vários serviços aos clientes que estão conectados por RAN 120. Um exemplo de rede de núcleo 130 é a rede Evolved Packet Core (EPC), conforme sugerido pelo 3GPP para LTE. Outro exemplo de rede de núcleo 130 é uma rede de núcleo 5G, conforme sugerido pelo 3GPP. A rede de núcleo 130 inclui elementos de rede 132, que podem compreender servidores, dispositivos, aparelhos ou equipamentos (incluindo hardware) que fornecem serviços para UEs 110. Os elementos de rede 132, em uma rede EPC, podem compreender uma Mobility Management Entity (MME), um Serving Gateway (S-GW), um Packet Data Network Gateway (P-GW), etc. Elementos de rede 132, em uma rede 5G, podem compreender uma Mobility Management Function (AMF), uma Session Management Function (SMF), uma Policy Control Function (PCF), e uma Application Function (AF), uma User Plane Function (UPF), etc.
[0055] FIG. 2 ilustra uma rede Evolved Packet Core (EPC) 200, que é a rede de núcleo para LTE. A rede EPC 200 inclui uma Mobility Management Entity (MME) 214, um Serving Gateway (S-GW) 215, um Packet Data Network Gateway (P-GW) 216, um Home Subscriber Server (HSS) 217 e uma Policy and Charging Rules Function (PCRF) 218, mas pode incluir outros elementos não mostrados, tal como Servidores de Aplicativo IP Multimedia Subsystem (IMS). Dentro da rede EPC 200, os dados de usuário (também chamados de "plano de usuário") e a sinalização (também chamada de "plano de controle") são separados. MME 214 manipula o plano de controle dentro da rede EPC 200. Por exemplo, MME 214 manipula a sinalização relativa à mobilidade e segurança para acesso E-UTRAN. MME 214 é responsável por rastrear e chamar o UE 110 em modo inativo. S-GW 215 e P-GW 216 manipulam o plano de usuário. S-GW 215 e P-GW 216 transportam tráfego de dados entre UE 110 e redes de dados externas 240 (DN ou Packet Data Network (PDN)). S-GW 215 é o ponto de interconexão entre o lado de rádio e a rede EPC 200 e serve ao UE 110 rotenado pacotes de IP de entrada e saída. S-GW 215 é também o ponto de ancoragem para a mobilidade intra-LTE (isto é, em caso de transferência entre eNodeBs) e entre LTE e outros acessos 3GPP. P-GW 216 é o ponto de interconexão entre a rede EPC 200 e as redes de dados externas 240 (isto é, ponto de ingresso ou egresso para a rede de dados 240) e roteia pacotes de e para a rede de dados
240. HSS 217 é uma base de dados que armazena informações relativas ao usuário e relativas ao assinante. PCRF 218 fornece uma solução de Policy and Charging Control (PCC) na rede EPC 200 e é um nó ou uma entidade da rede EPC 200 que formula regras de PCC para serviços solicitados por um usuário final.
[0056] MME 214 conecta ao RAN 120 (isto é, eNodeB) por meio da interface S1-MME, e o S-GW 215 conecta ao RAN 120 por meio da interface S1-U. MME 214 conecta ao S-GW 215 por meio da interface S11 e conecta ao HSS 217 por meio da interface S6a. PCRF 218 conecta a P-GW 216 por meio da interface Gx, que fornece a transferência de regras de política e cobrança do
PCRF 218 para uma Policy and Charging Enforcement Function (PCEF) em P-GW 216. PCRF 218 conecta a S-GW 215 por meio da interface Gxx e S-GW 215 conecta a P-GW 216 através da interface S5.
[0057] FIG. 3 ilustra uma arquitetura não de roaming 300 de uma rede de próxima geração. A arquitetura na FIG. 3 é uma representação de ponto de referência, conforme é descrito adicionalmente em 3GPP TS 23.501 (v15.3.0), que é incorporado por referência como se totalmente incluído neste documento. A arquitetura 300 é composta de Network Functions (NF) para uma rede de núcleo e as funções de rede para o plano de controle são separadas do plano de usuário. O plano de controle da rede de núcleo inclui uma Authentication Server Function (AUSF) 310, um Unified Data Management (UDM) 312, uma Network Slice Selection Function (NSSF) 313, uma Access and Mobility Management Function (AMF) 314, uma Session Management Function (SMF) 316, uma Policy Control Function (PCF) 318 e uma Application Function (AF) 320. O plano de usuário da rede de núcleo inclui uma ou mais User Plane Functions (UPF) 324 que se comunicam com a rede de dados 240. UE 110 é capaz de acessar o plano de controle e o plano de usuário da rede de núcleo através de (R)AN 120.
[0058] AUSF 310 é configurada para suportar autenticação de UE
110. UDM 312 é configurado para armazenar dados/informações de assinatura para UE 110. UDM 312 pode armazenar três tipos de dados de usuário: assinatura, política e contexto relativo à sessão (por exemplo, localização de UE). AMF 314 é configurada para fornecer autenticação baseada em UE, autorização, gerenciamento de mobilidade, etc. SMF 316 é configurada para fornecer a seguinte funcionalidade: gerenciamento de sessão (SM), alocação e gerenciamento de endereço de Protocolo de Internet (IP) de UE, seleção e controle de UPF(s), terminação de interfaces para PCF 318, parte de controle de validação de política e Qualidade de Serviço (QoS), interceptação legal, terminação de partes SM de mensagens NAS, Downlink Data Notification (DNN), funcionalidade de roaming, manipular validação local para aplicar QoS a Service
Level Agreements (SLAs), coleta de dados de cobrança e interface de cobrança, etc. Se o UE 110 tiver múltiplas sessões, diferentes SMFs podem ser alocados para cada sessão para gerenciá-las individualmente e, possivelmente, fornecer diferentes funcionalidades por sessão. PCF 318 é configurado para suportar uma estrutura de política unificada para controlar o comportamento de rede e fornecer regras de política para controlar funções de plano para validação de QoS, cobrança, controle de acesso, roteamento de tráfego, etc. AF 320 fornece informações sobre um fluxo de pacote para PCF 318. Com base nas informações, PCF 318 é configurada para determinar regras de política sobre mobilidade e gerenciamento de sessão para fazer AMF 314 e SMF 316 operarem adequadamente.
[0059] UPF 324 suporta várias operações e funcionalidades de plano de usuário, tal como roteamento e encaminhamento de pacote, manipulação de tráfego (por exemplo, validação de QoS), um ponto de ancoragem para mobilidade Intra-RAT/Inter-RAT (quando aplicável), inspeção de pacote e validação de regra de política, interceptação legal (coleta de UP), contabilidade e relatório de tráfego, etc. A rede de dados 240 não é parte da rede de núcleo e fornece acesso à Internet, serviços de operadora, serviços de terceiros, etc. Por exemplo, a International Telecommunication Union (ITU) classificou os serviços de rede móvel 5G em três categorias: Enhanced Mobile Broadband (eMBB), Ultra-reliable and Low-Latency Communications (uRLLC) e Massive Machine Type Communications (mMTC) ou Massive Internet of Things (MIoT). eMBB concentra em serviços que têm requisitos de alta largura de banda, tal como vídeos HD, Virtual Reality (VR) e Augmented Reality (AR). uRLLC concentra em serviços sensíveis à latência, tal como acionamento automatizado e gerenciamento remoto. mMTC e MIoT concentram em serviços que incluem altos requisitos para densidade de conexão, tal como cidade inteligente e agricultura inteligente. A rede de dados 240 pode ser configurada para fornecer esses e outros serviços.
[0060] A arquitetura 300 inclui os seguintes pontos de referência. O ponto de referência N1 é implementado entre UE 110 e AMF 314. O ponto de referência N2 é implementado entre (R)AN 120 e AMF 314. O ponto de referência N3 é implementado entre (R)AN 120 e UPF 324. O ponto de referência N4 é implementado entre a SMF 316 e UPF 324. O ponto de referência N5 é implementado entre PCF 318 e AF 320. O ponto de referência N6 é implementado entre UPF 324 e a rede de dados 240. O ponto de referência N7 é implementado entre a SMF 316 e PCF 318. O ponto de referência N8 é implementado entre UDM 312 e AMF 314. O ponto de referência N9 é implementado entre duas UPFs 324. O ponto de referência N10 é implementado entre UDM 312 e SMF 316. O ponto de referência N11 é implementado entre AMF 314 e SMF 316. O ponto de referência N12 é implementado entre AMF 314 e AUSF 310. O ponto de referência N13 é implementado entre UDM 312 e AUSF
310. O ponto de referência N14 é implementado entre duas AMFs. O ponto de referência N15 é implementado entre PCF 318 e AMF 314 no caso de um cenário de não roaming. O ponto de referência N22 é implementado entre NSSF 313 e AMF 314.
[0061] FIG. 4 ilustra uma arquitetura de roaming 400 de uma rede de próxima geração. A arquitetura na FIG. 4 é um cenário de ruptura local em representação de ponto de referência, conforme é descrito adicionalmente em 3GPP TS 23.501 (v15.3.0). Em um cenário de roaming, uma Visited Public Land Mobile Network (VPLMN) 402 e uma PLMN Doméstica (HPLMN) 404 são mostradas. Uma HPLMN 404 identifica a PLMN no qual o perfil de um assinante móvel é retido. Um VPLMN é uma PLMN sobre a qual o assinante móvel fez roaming ao deixar sua HPLMN. Usuários em roaming para outras redes receberão informações de assinatura da HPLMN 404. Em um cenário de ruptura local, PCF 318 (hPCF), UDM 312 e AUSF 310 estão na HPLMN 404 para UE
110. As outras funções de rede, incluindo uma PCF visitada (vPCF) 418, estão na VPLMN 402.
[0062] FIG. 5 ilustra uma pilha de protocolo de rádio 500, tal como para interface de rádio 122. Conforme descrito neste documento, o plano de usuário 512 compreende um conjunto de protocolos usados para transferir os dados de usuário real através de uma rede e o plano de controle 514 compreende protocolos usados para controlar e estabelecer as conexões de usuário e portadoras dentro da rede. Para o plano de usuário 512 e o plano de controle 514, a pilha de protocolo de rádio 500 inclui a camada física (PHY) 501, a camada Medium Access Control (MAC) 502, a camada Radio Link Control (RLC) 503 e a camada Packet Data Convergence Protocol (PDCP) 504. O plano de controle 514 inclui adicionalmente a camada Radio Resource Control (RRC) 505 e a camada Non-Access Stratum (NAS) 506.
[0063] A camada física 501 transporta todas as informações dos canais de transporte MAC através da interface de rádio. Mensagens de dados e sinalização são transportados em canais físicos entre os diferentes níveis da camada física 501. Os canais físicos são divididos em canais de dados físicos e canais de controle físicos. Os canais de dados físicos podem incluir o Physical Downlink Shared Channel (PDSCH), o Physical Broadcast Channel (PBCH), o Physical Multicast Channel (PMCH), o Physical Uplink Shared Channel (PUSCH) e o Physical Random Access Channel (PRACH). Os canais de controle físicos podem incluir o Physical Control Format Indicator Channel (PCFICH), o Physical Hybrid ARQ Indicator Channel (PHICH), o Physical Downlink Control Channel (PDCCH) e o Physical Uplink Control Channel (PUCCH).
[0064] A camada MAC 502 é responsável por mapeamento entre canais lógicos e canais de transporte, multiplexação de MAC Service Data Units (SDUs) de um ou de diferentes canais lógicos para blocos de transporte (TB) a serem entregues à camada física em canais de transporte, desmultiplexação de MAC SDUs de um ou de diferentes canais lógicos de blocos de transporte entregues da camada física em canais de transporte, agendamento de relatórios de informações, correção de erro através de Hybrid Automatic Repeat Request (HARQ), manipulação de prioridade entre UEs por meio de agendamento dinâmico, manipulação de prioridade entre canais lógicos de um UE e priorização de canal lógico. A camada RLC 503 é responsável por transferência de Protocol Data Units (PDUs) de camada superior, correção de erro por meio de ARQ e concatenação, segmentação e remontagem de RLC SDUs. A camada RLC 503 também é responsável por ressegmentação de PDUs de dados RLC, reordenamento de PDUs de dados RLC, detecção de duplicata, descarte de RLC SDU, restabelecimento de RLC e detecção de erro de protocolo. A camada PDCP 504 é responsável por compressão e descompressão de cabeçalho de dados IP, transferência de dados (plano de usuário ou plano de controle), manutenção de PDCP Sequence Numbers (SNs), entrega em sequência de PDUs de camada superior em restabelecimento de camadas inferiores, eliminação de duplicata de SDUs de camada inferior em restabelecimento de camadas inferiores para portadores de rádio mapeados em RLC Acknowledged Mode (AM), cifragem e decifragem de dados de plano de usuário e dados de plano de controle, proteção de integridade e verificação de integridade de dados de plano de controle, descarte baseado em temporizador, descarte de duplicata, etc. A camada RRC 505 é responsável pela difusão de Informação de Sistema relativa a NAS, difusão de Informação de Sistema relativa Access Stratum (AS), chamada, estabelecimento, manutenção e liberação de uma conexão RRC entre o UE e RAN, funções de segurança incluindo gerenciamento de chave, estabelecimento, configuração, manutenção e liberação de Radio Bearers (RB) ponto a ponto. A camada NAS 506 representa o estrato mais alto do plano de controle 514 entre o UE e a rede de núcleo (por exemplo, MME/AMF) e suporta a mobilidade do UE e os procedimentos de gerenciamento de sessão para estabelecer e manter conectividade de IP entre o UE e a rede de núcleo.
[0065] Um dos objetivos de redes é melhorar a segurança geral do sistema. Uma área particular de preocupação é proteção de segurança de mensagens NAS. Nas modalidades aqui descritas, um UE 110 e um elemento de rede 132 são intensificados para fornecer proteção de segurança adicional de mensagens NAS.
[0066] FIG. 6 é um diagrama de blocos de um UE 110 em uma modalidade ilustrativa. UE 110 inclui um componente de interface de rádio 602,
um ou mais processadores 604, uma memória 606, um componente de interface de usuário 608 e uma bateria 610. O componente de interface de rádio 602 é um componente de hardware que representa os recursos de rádio locais do UE 110, tal como uma unidade de RF 620 (por exemplo, transceptor) e uma ou mais antenas 622, usadas para comunicações sem fio com uma estação base (por exemplo, estação base 124) via rádio ou sinais “over-the-air”. O processador 604 representa o circuito interno, lógica, hardware, software, etc., que fornece as funções do UE 110. O processador 604 pode ser configurado para executar instruções 640 para software que são carregadas na memória 606. O processador 604 pode compreender um conjunto de um ou mais processadores ou pode compreender um núcleo de multiprocessador, dependendo da implementação particular.
A memória 606 é um meio de armazenamento legível por computador para dados, instruções 640, aplicativos, etc., e é acessível pelo processador 604. A memória 606 é um dispositivo de armazenamento de hardware capaz de armazenar informações em uma base temporária e/ou uma base permanente.
A memória 606 pode compreender uma memória de acesso aleatório ou qualquer outro dispositivo de armazenamento volátil ou não volátil.
O componente de interface de usuário 608 é um componente de hardware para interagir com um usuário final.
Por exemplo, o componente de interface de usuário 608 pode incluir um mostrador 650, tela, tela de toque ou semelhante (por exemplo, um Mostrador de Cristal Líquido (LCD), um mostrador de Diodo Emissor de Luz (LED), etc.). O componente de interface de usuário 608 pode incluir teclado ou keypad 652, um dispositivo de rastreamento (por exemplo, uma trackball ou trackpad), um alto-falante, um microfone, etc.
UE 110 também inclui um Universal Integrated Circuit Card (UICC) 660, que é um dispositivo de hardware que fornece funções de segurança e integridade para UE 110. UICC 660 pode hospedar um Universal Subscriber Identity Module (USIM) 662 que armazena ou indica uma ou mais chaves públicas para a HPLMN para UE 110 juntamente com outras credenciais.
UE 110 pode incluir vários outros componentes não especificamente ilustrados na FIG. 6.
[0067] O processador 604 pode implementar um ou mais aplicativos 630. Esses aplicativos 630 podem acessar dados de downlink (DL) por meio de RAN 120 e rede de núcleo 130 e também podem gerar dados de uplink (UL) para transferência para um destino através de RAN 120 e rede de núcleo 130. O processador 604 também implementa um controlador NAS 634 que é configurado para controlar procedimentos NAS, conforme é descrito em mais detalhes abaixo.
[0068] FIG. 7 é um diagrama de blocos de um elemento de rede 132 em uma modalidade ilustrativa. O elemento de rede 132 é um servidor, dispositivo, aparelho, equipamento (incluindo hardware), sistema, meio, etc., que manipula segurança e registro para um UE. Por exemplo, o elemento de rede 132 pode compreender um MME 214 em uma rede LTE, um elemento AMF 314 de uma rede de próxima geração, etc. Nesta modalidade, o elemento de rede 132 inclui os seguintes subsistemas: um componente de interface de rede 702, um gerenciador de segurança 704 e um gerenciador de registro 706 que operam em uma ou mais plataformas. O componente de interface de rede 702 pode compreender circuitos, lógica, hardware, meios, etc., configurados para trocar mensagens de plano de controle ou sinalização com outros elementos de rede e/ou UEs (por exemplo, através de RAN 120). O componente de interface de rede 702 pode operar usando uma variedade de protocolos (incluindo protocolo NAS) ou pontos de referência. O gerenciador de segurança 704 pode compreender circuitos, lógica, hardware, meios, etc., configurados para manipular procedimentos de autenticação e/ou segurança para um UE, tal como para criar um contexto de segurança NAS, selecionar um algoritmo(s) de segurança NAS para um contexto de segurança NAS, etc. O gerenciador de registro 706 pode compreender circuitos, lógica, hardware, meios, etc., configurados para manipular registro para um UE.
[0069] Um ou mais dos subsistemas do elemento de rede 132 podem ser implementados em uma plataforma de hardware composta por circuitos analógicos e/ou digitais. Um ou mais dos subsistemas do elemento de rede 132 podem ser implementados em um processador 730 que executa instruções armazenadas na memória 732. O processador 730 compreende um circuito de hardware integrado configurado para executar instruções e a memória 732 é um meio de armazenamento legível por computador não transitório para dados, instruções, aplicativos, etc. e é acessível pelo processador 730.
[0070] O elemento de rede 132 pode incluir vários outros componentes não especificamente ilustrados na FIG. 7.
[0071] Um procedimento NAS pode ser executado ou invocado quando um contexto de segurança NAS já existe entre um UE e uma Access Security Management Entity (por exemplo, AMF, MME, etc.). O objetivo de segurança NAS é entregar mensagens NAS com segurança entre o UE e a Access Security Management Entity no plano de controle usando chaves de segurança NAS. As chaves de segurança NAS são geradas cada vez que a autenticação é realizada para um UE. Após a configuração de segurança NAS ser concluída, o UE e a Access Security Management Entity compartilham uma chave de criptografia NAS e uma chave de integridade NAS, que são usadas em criptografia e proteção de integridade, respectivamente, de mensagens NAS antes da transmissão. Um procedimento NAS também pode ser executado ou invocado quando não existe nenhum contexto de segurança NAS. Este cenário é descrito primeiro. Exemplo 1: Nenhum contexto de segurança
[0072] FIG. 8 é um fluxograma ilustrando um método 800 para realizar um procedimento NAS no UE 110 em uma modalidade ilustrativa. As etapas de método 800 serão descritas com referência ao UE 110 na FIG. 6, mas aqueles versados na técnica apreciarão que o método 800 pode ser realizado em outras redes ou arquiteturas. Além disso, as etapas dos fluxogramas aqui descritos não são todas inclusivas e podem incluir outras etapas não mostradas e as etapas podem ser realizadas em uma ordem alternativa.
[0073] Pode ser assumido para esta modalidade que não há sessão de comunicação NAS entre o UE 110 e o elemento de rede 132. Pode ser ainda assumido que o UE 110 está em um modo não conectado (por exemplo, modo inativo) e está em transição para o modo conectado. O controlador NAS 634 no UE 110 inicia um procedimento NAS para estabelecer uma sessão de comunicação NAS entre UE 110 e o elemento de rede 132 (etapa 802). Por exemplo, o procedimento NAS pode compreender um procedimento de registro. Cada procedimento NAS inclui um conjunto de IEs de protocolo NAS obrigatórios e também pode incluir um conjunto de IEs de protocolo NAS opcionais para transmitir informações. Assim, o controlador NAS 634 pode identificar os IEs de protocolo NAS (obrigatórios e opcionais) para o procedimento NAS.
[0074] Nesta modalidade, o procedimento NAS é realizado em múltiplas fases 831-832. Para a primeira fase 831 do procedimento NAS, o o controlador NAS 634 identifica um subconjunto de IEs de protocolo NAS que são designados para manipulação relativa a segurança (etapa 804). O subconjunto de IEs de protocolo NAS designado para manipulação realtiva à segurança se refere aos IEs usados para criar ou estabelecer um contexto de segurança NAS para um UE. Pode ser desejável fornecer informações mínimas na primeira fase 831, de modo que o subconjunto de IEs de protocolo NAS possa incluir um número mínimo de IEs para o procedimento NAS que são usados para estabelecer um contexto de segurança NAS. Para um procedimento de registro, em um exemplo, o subconjunto de IEs de protocolo NAS pode consistir em uma identidade móvel para o UE (por exemplo, 5G-GUTI ou Subscription Concealed Identifier (SUCI)), uma capacidade de segurança de UE indicando um ou mais algoritmos de segurança suportados pelo UE, um tipo de registro (por exemplo, inicial, mobilidade, periódico, emergência, etc.) e um identificador de conjunto de chave de segurança para um contexto de segurança NAS do UE (por exemplo, ngKSI, eKSI, etc.).
[0075] O controlador NAS 634 pode formatar ou gerar uma mensagem NAS inicial para o procedimento NAS, tal como uma solicitação de registro do tipo "inicial". Uma mensagem NAS inicial se refere à primeira mensagem NAS que é enviada após um UE fazer transição de um modo não conectado (por exemplo, modo inativo) para um modo conectado. O controlador NAS 634 inclui ou insere o subconjunto de IEs de protocolo NAS na mensagem NAS inicial (etapa 806). Na primeira fase 831, a mensagem NAS inicial é populada com o subconjunto de IEs de protocolo NAS e os IEs que são populados na mensagem NAS inicial são limitados (isto é, consistem apenas ou exclusivamente em) ao subconjunto de IEs de protocolo NAS que são selecionados para manipulação relativa à segurança. Como a mensagem NAS inicial não inclui todos os IEs de protocolo NAS obrigatórios para o procedimento NAS, a mensagem NAS inicial é considerada uma mensagem "parcial" na primeira fase 831. Os outros IEs de protocolo NAS obrigatórios que são excluídos do subconjunto serão incluídos em outra mensagem NAS (como parte da segunda fase 832). O controlador NAS 634, então, envia a mensagem NAS inicial para o elemento de rede 132 (etapa 810).
[0076] Antes de enviar a mensagem NAS inicial, o controlador NAS 634 pode opcionalmente criptografar o subconjunto de IEs de protocolo NAS na mensagem NAS inicial usando uma chave pública da HPLMN para UE 110 (etapa opcional 808). Cada HPLMN pode atribuir chaves públicas de acordo com o Elliptic Curve Integrated Encryption Scheme (ECIES). Dependendo do esquema de proteção, pode haver múltiplas chaves públicas. As chaves públicas da HPLMN são tipicamente fornecidas no USIM 662 do UE 110. Assim, o controlador NAS 634 é capaz de criptografar o subconjunto de IEs de protocolo NAS identificados para a primeira fase 831 na mensagem NAS inicial. A decisão de criptografar ou não o subconjunto de IEs de protocolo NAS usando a chave pública pode ser baseada em uma política ou em critérios. Por exemplo, o controlador NAS 634 pode criptografar o subconjunto de IEs de protocolo NAS quando o tipo de registro não indicar uma emergência (por exemplo, tipo de registro = inicial) e pode enviar a mensagem NAS inicial sem criptografia quando o tipo de registro indicar uma emergência. Em outro exemplo, o controlador NAS
634 pode criptografar o subconjunto de IEs de protocolo NAS quando o UE 110 tiver a chave pública programada em seu USIM 662 e pode enviar a mensagem NAS inicial sem criptografia quando o UE 110 não tiver a chave pública programada em USIM 662.
[0077] FIG. 9 é um fluxograma ilustrando um método 900 para executar um procedimento NAS em um elemento de rede 132 em uma modalidade ilustrativa. As etapas de método 900 serão descritas com referência ao elemento de rede 132 na FIG. 7, mas aqueles versados na técnica apreciarão que o método 900 pode ser realizado em outras redes ou arquiteturas.
[0078] Para a primeira fase 831, o componente de interface de rede 702 do elemento de rede 132 recebe a mensagem NAS inicial do UE 110 (etapa 902). Depois de receber a mensagem NAS inicial, o gerenciador de segurança 704 pode opcionalmente processar a mensagem NAS inicial para determinar se a informação é criptografada usando a chave pública da HPLMN. Quando a mensagem NAS inicial é criptografada, o gerenciador de segurança 704 pode iniciar a descriptografia do subconjunto de IEs de protocolo NAS na mensagem NAS inicial (etapa opcional 904). Em um exemplo, o gerenciador de segurança 704 pode ser configurado para descriptografar o subconjunto de IEs de protocolo NAS internamente. Em outro exemplo, o gerenciador de segurança 704 pode enviar o subconjunto de IEs de protocolo NAS para outro elemento de rede (por exemplo, um elemento UDM 312) para descriptografar o subconjunto de IEs de protocolo NAS.
[0079] O gerenciador de segurança 704 processa o subconjunto de IEs de protocolo NAS e determina que nenhum contexto de segurança NAS existe para o UE 110 (etapa 906). Como não existe nenhum contexto de segurança NAS, o gerenciador de segurança 704 pode iniciar um procedimento de autenticação para autenticar UE 110 (etapa 908). O procedimento de autenticação (por exemplo, Authentication and Key Agreement (AKA)) é usado para realizar autenticação mútua entre UE 110 e a rede móvel 100. Embora procedimentos de autenticação possam variar, em geral, o gerenciador de segurança 704 pode enviar uma solicitação de autenticação para o UE 110 juntamente com um token de autenticação (etapa opcional 910) através do componente de interface de rede 702. Em resposta à solicitação de autenticação, o UE 110 manipula etapas de autenticação em sua extremidade e tenta validar o token de autenticação (ver etapa 812 da FIG. 8). Se for bem-sucedido, o UE 110 considera a rede móvel 100 estar autenticada. O UE 110 computa um token de resposta e envia uma resposta de autenticação com o token de resposta, que é recebido pelo gerenciador de segurança 704 (etapa opcional 912) através do componente de interface de rede 702. O gerenciador de segurança 704 (ou outro elemento de rede) pode, então, determinar se o token de resposta é válido (por exemplo, comparar o token de resposta com um token de resposta esperado). Se o token de resposta for válido, o gerenciador de segurança 704 considera o UE 110 autenticado.
[0080] Com o UE 110 validado, o gerenciador de segurança 704 inicia um procedimento de segurança NAS para estabelecer um contexto de segurança NAS (etapa 914). Para o procedimento de segurança NAS, o gerenciador de segurança 704 seleciona um ou mais algoritmos de segurança NAS para o contexto de segurança NAS (etapa 916) e deriva uma ou mais chaves de segurança NAS (por exemplo, KAMF, KASME, etc.). Um algoritmo de segurança NAS pode incluir um algoritmo de cifragem NAS e algoritmo de proteção de integridade. O gerenciador de segurança 704, então, envia uma resposta ao UE que indica ou inclui o(s) algoritmo(s) de segurança NAS e um identificador de conjunto de chave de segurança selecionado para o contexto de segurança NAS (etapa 918) através do componente de interface de rede 702. A resposta pode compreender um Comando de Modo de Segurança que inclui o(s) algoritmo(s) de segurança NAS, um identificador de conjunto de chave de segurança (por exemplo, ngKSI, eKSI, etc.) e outras informações.
[0081] Na FIG. 8, o controlador NAS 634 do UE 110 recebe a resposta do elemento de rede 132 que indica o(s) algoritmo(s) de segurança NAS e o identificador de conjunto de chave de segurança (etapa 814). Com a informação fornecida na resposta do elemento de rede 132, um contexto de segurança NAS é estabelecido entre o UE 110 e o elemento de rede 132. Assim, as mensagens NAS subsequentes entre o UE 110 e o elemento de rede 132 podem ser protegidas usando o contexto de segurança NAS.
[0082] Para a segunda fase 832 do procedimento NAS, o controlador NAS 634 inclui ou insere os IEs de protocolo NAS para o procedimento NAS na mensagem NAS inicial (etapa 816). A mensagem NAS inicial é uma cópia, duplicata ou o mesmo tipo de mensagem NAS inicial que foi enviada anteriormente para o elemento de rede 132 na primeira fase 831. Nesta etapa, a mensagem NAS inicial inclui todo o conjunto de IEs de protocolo NAS para o procedimento NAS (obrigatório e opcional (se desejado)). Como a mensagem NAS inicial inclui cada um dos IEs de protocolo NAS obrigatórios para o procedimento NAS, a mensagem NAS inicial é considerada uma mensagem "completa" na segunda fase 832.
[0083] O controlador NAS 634 do UE 110 pode formatar ou gerar uma mensagem NAS subsequente para o procedimento NAS. Por exemplo, a mensagem NAS subsequente pode compreender uma mensagem de Modo de Segurança Completo. O controlador NAS 634 inclui ou insere a mensagem NAS inicial em um recipiente de mensagem NAS da mensagem NAS subsequente (etapa 818). Um recipiente de mensagem NAS é um tipo de IE usado para encapsular uma mensagem NAS simples. O controlador NAS 634 criptografa o recipiente de mensagem NAS da mensagem NAS subsequente usando o(s) algoritmo(s) de segurança NAS (etapa 820). Assim, a mensagem NAS inicial completa é criptografada no recipiente de mensagem NAS da mensagem NAS subsequente. O controlador NAS 634, então, envia a mensagem NAS subsequente para o elemento de rede 132 (etapa 822).
[0084] Na FIG. 9, para a segunda fase 832, o componente de interface de rede 702 recebe a mensagem NAS subsequente do UE 110 (etapa 920). O gerenciador de segurança 704 descriptografa o recipiente de mensagem NAS da mensagem NAS subsequente usando o(s) algoritmo(s) de segurança
NAS (etapa 922) para acessar a mensagem NAS inicial completa. O gerenciador de segurança 704 ou outros subsistemas do elemento de rede 132 podem, então, processar os IEs de protocolo NAS da mensagem NAS inicial completa para realizar ainda o procedimento NAS. Por exemplo, o gerenciador de registro 706 pode enviar uma mensagem de aceitação de registro para o UE 110 e receber uma mensagem completa de registro do UE 110 (etapa opcional 924). Um benefício técnico desse processo é que apenas os IEs de protocolo NAS necessários para estabelecer um contexto de segurança NAS são enviados como não criptografados ou criptografados de acordo com a chave pública de HPLMN em uma mensagem NAS inicial parcial, enquanto uma mensagem NAS inicial completa é criptografada em uma mensagem NAS subsequente, que fornece proteção de segurança adicional.
[0085] FIG. 10 é um diagrama de mensagem mostrando um procedimento NAS quando um UE não tem contexto de segurança em uma modalidade ilustrativa. O procedimento NAS mostrado na FIG. 10 é um procedimento de registro, mas conceitos semelhantes podem se aplicar a outros procedimentos NAS. Este exemplo é mostrado em uma rede 5G, com elemento de rede 132 compreendendo um elemento AMF 314.
[0086] Este procedimento NAS é executado novamente em múltiplas fases. Para a primeira fase, o UE 110 gera ou formata uma solicitação de registro inicial para um procedimento de registro NAS. O procedimento de registro NAS tem um conjunto de IEs de protocolo NAS (obrigatórios e opcionais) que são usados para transferir informações. Nessa modalidade, o UE 110 não popula a solicitação de registo inicial com um conjunto completo de IEs de protocolo NAS na primeira fase. Em vez disso, o UE 110 identifica os IEs de protocolo NAS que são essenciais para estabelecer um contexto de segurança NAS. Assim, o UE 110 identifica um subconjunto dos IEs de protocolo NAS que são designados para manipulação relativa à segurança. Nesse exemplo, o subconjunto de IEs de protocolo NAS pode consistir em uma 5G Globally Unique Temporary Identity (5G-GUTI), na capacidade de segurança do UE, no tipo de registro e no ngKSI. O UE 110 insere o subconjunto de IEs de protocolo NAS na solicitação de registro inicial. Como a solicitação de registro inicial não inclui todos os IEs de protocolo NAS obrigatórios para o procedimento de registro NAS, a solicitação de registro inicial é uma solicitação “parcial” na primeira fase. O UE 110 também pode inserir outras informações na solicitação de registro inicial, tal como o SUCI gerado pelo UE 110. Neste exemplo, o UE 110 criptografa o subconjunto de IEs de protocolo NAS usando a chave pública de HPLMN e envia a solicitação de registro inicial para o elemento AMF 314 (S1). O esquema de proteção e o identificador de chave pública usados para criptografia são os mesmos que o esquema de proteção e o identificador de chave pública indicados no SUCI. No entanto, como foi descrito acima, a criptografia do subconjunto de IEs de protocolo NAS usando a chave pública de HPLMN é opcional. Se o esquema de proteção de SUCI for NULL, o subconjunto de IEs de protocolo NAS não será criptografado.
[0087] Em resposta à recepção da solicitação de registo inicial, o elemento AMF 314 encaminha a informação para o UDM doméstico do UE para descriptografia com base no ID de PLMN e ID de Roteamento do UE. Assim, o elemento AMF 314 formata ou gera uma solicitação de autenticação (isto é, Nausf_UEAuthentication_Authenticate Request) e insere o subconjunto criptografado de IEs de protocolo NAS na solicitação de autenticação, junto com outras informações (por exemplo, SUCI e nome da rede de serviço). O elemento AMF 314, então, envia a solicitação de autenticação para o elemento AUSF 310 (S2). Em resposta ao recebimento da solicitação de autenticação, o elemento AUSF 310 formata ou gera uma solicitação de autenticação (isto é, Nudm_UEAuthentication_Get Request) e insere o subconjunto criptografado de IEs de protocolo NAS na solicitação de autenticação, junto com outras informações. O elemento AUSF 310, então, envia a solicitação de autenticação para o elemento UDM 312 (S3).
[0088] Em resposta à solicitação de autenticação, o elemento UDM 312 descriptografa o subconjunto de IEs de protocolo NAS usando a chave privada de HPLMN (isto é, usando as informações de acordo com o esquema de proteção selecionado para SUCI), de modo que o subconjunto de IEs de protocolo NAS seja legível. O elemento UDM 312 também hospeda funções relativas à Authentication Credential Repository and Processing Function (ARPF), que seleciona um método de autenticação e computa os dados de autenticação e materiais de codificação (por exemplo, tokens) para o elemento AUSF 310 (se necessário). O elemento UDM 312 formata ou gera uma resposta de autenticação (isto é, Nudm_UEAuthentication_Get Response) para o elemento AUSF 310 e insere o subconjunto descriptografado de IEs de protocolo NAS, o vetor de autenticação (AV) e outras informações na resposta de autenticação. O elemento UDM 312, então, envia a resposta de autenticação para o elemento AUSF 310 (S4). Em resposta ao recebimento da resposta de autenticação, o elemento AUSF 310 formata ou gera uma resposta de autenticação (isto é, Nuasf_UEAuthentication_Authenticate Response) para o elemento AMF 314 e insere o subconjunto descriptografado de IEs de protocolo NAS, o AV e outras informações na resposta de autenticação. O elemento AUSF 310, então, envia a resposta de autenticação para o elemento AMF 314 (S5).
[0089] O elemento AMF 314 é configurado para realizar um procedimento de autenticação com o UE 110 usando informações fornecidas por UDM/AUSF. Por exemplo, o elemento AMF 314 envia uma solicitação de autenticação para o UE 110 juntamente com um token de autenticação (S6) do AV e o UE 110 tenta validar o token de autenticação. Se bem-sucedido, o UE 110 computa um token de resposta e envia uma resposta de autenticação com o token de resposta, que é recebida pelo elemento AMF 314 (S7). O elemento 314 AMF formata ou gera outro pedido de autenticação (isto é, Nausf_UEAuthentication_Authenticate Request) e insere o token de resposta do UE 110 na solicitação de autenticação, juntamente com outras informações. O elemento AMF 314, então, envia a solicitação de autenticação para o elemento AUSF 310 (S8). O elemento AUSF 310 verifica se o token de resposta do UE 110 corresponde a um token de resposta esperado e envia uma resposta de autenticação (isto é, Nausf_UEAuthentication_Authenticate Response) para o elemento AMF 314 indicando sucesso/falha da autenticação.
[0090] Quando o UE 110 é autenticado para a rede, o elemento AMF 314 inicia um procedimento de segurança NAS para estabelecer um contexto de segurança NAS. O elemento AMF 314 seleciona um algoritmo de segurança NAS (ou algoritmos múltiplos) para cifragem e proteção de integridade. O elemento AMF 314 formata ou gera uma mensagem de Comando de Modo de Segurança e insere um indicador do(s) algoritmo(s) de segurança NAS, o ngKSI e outras informações na mensagem de Comando de Modo de Segurança. O elemento AMF 314, então, envia a mensagem de Comando de Modo de Segurança para o UE 110 (S10).
[0091] Para a segunda fase do procedimento NAS, o UE 110 usa o ngKSI e o algoritmo de segurança NAS para derivar chaves correspondentes para proteger mensagens NAS subsequentes. Um contexto de segurança NAS é, portanto, estabelecido entre o UE 110 e o elemento AMF 314. O UE 110 inclui ou insere os IEs de protocolo NAS para o procedimento de registro NAS na solicitação de registro inicial, que é uma cópia, duplicata ou o mesmo tipo de mensagem que a solicitação de registro inicial previamente enviada na primeira fase. A solicitação de registro inicial inclui todos os IEs de protocolo NAS obrigatórios e quaisquer IEs de protocolo NAS opcionais usados para transferir informações. Os IEs de protocolo NAS adicionais podem incluir: identificador de conjunto de chave NAS nativo não atual, capacidade de 5G Mobility Management (MM), Requested Network Slice Selection Assistance Information (NSSAI), Tracking Area Identifier (TAI) visitado por último, capacidade de rede de UE S1, estado de dados de uplink, estado de sessão de PDU, indicação de Mobile Initiated Connection Only (MICO), estado de UE, GUTI adicional, estado de sessão de PDU permitida, ajuste de uso de UE, parâmetros de Discontinuous Reception (DRX) solicitados, recipiente de mensagem EPS NAS e recipiente de carga útil. Assim, a solicitação de registro inicial é uma solicitação “completa” na segunda fase, pois ela inclui todos os IEs de protocolo NAS obrigatórios. O UE
110 formata ou gera uma mensagem Security Mode Complete e insere a solicitação de registro inicial completo em um recipiente de mensagem NAS da mensagem Security Mode Complete. O UE 110 criptografa o recipiente de mensagem NAS da mensagem Security Mode Complete usando o algoritmo de segurança NAS do contexto de segurança NAS. Portanto, a solicitação de registro inicial completa é criptografada no recipiente de mensagem NAS da mensagem Security Mode Complete. O UE 110 envia, então, a mensagem Security Mode Complete para o elemento AMF 314 (S11).
[0092] O elemento AMF 314 recebe a mensagem Security Mode Complete do UE 110 e descriptografa o recipiente de mensagem NAS da mensagem Security Mode Complete para acessar os IEs de protocolo NAS a partir da solicitação de registro inicial completo. O elemento AMF 314, então, continua com o procedimento de registro, tal como enviando uma mensagem de aceitação de registro para o UE 110 (S12). O UE 110 responde ao elemento AMF 314 com uma mensagem de registro completo (S13), em cujo ponto o UE 110 é registrado na rede para acessar serviços. Exemplo 2: Nenhum contexto de segurança
[0093] Em outro exemplo de um procedimento NAS quando nenhum contexto de segurança existe, a FIG. 11 é um fluxograma ilustrando um método 1100 para realizar um procedimento NAS no UE 110 em uma modalidade ilustrativa. O controlador NAS 634 no UE 110 inicia um procedimento NAS para estabelecer uma sessão de comunicação NAS entre UE 110 e o elemento de rede 132 (etapa 1102). O controlador NAS 634 identifica os IEs de protocolo NAS (obrigatórios e opcionais) para o procedimento NAS (etapa 1104). O controlador NAS 634 pode formatar ou gerar uma primeira mensagem NAS inicial para o procedimento NAS e inclui ou insere os IEs de protocolo NAS na primeira mensagem NAS inicial (etapa 1106). Nesta etapa, a primeira mensagem NAS inicial inclui todo o conjunto de IEs de protocolo NAS para o procedimento NAS (obrigatório e opcional (se desejado)). Como a primeira mensagem NAS inicial inclui cada um dos IEs de protocolo NAS obrigatórios para o procedimento NAS, a primeira mensagem NAS inicial é considerada uma mensagem "completa".
[0094] O controlador NAS 634 também formata ou gera uma segunda mensagem NAS inicial que é uma duplicata da primeira mensagem NAS inicial (etapa 1108). Uma mensagem duplicada se refere a uma mensagem do mesmo tipo para um procedimento NAS. Por exemplo, se a primeira mensagem NAS inicial for uma solicitação de registro, então, a segunda mensagem NAS inicial também será uma solicitação de registro. No entanto, os IEs que são populados na mensagem duplicada podem ser diferentes da mensagem original. O controlador NAS 634 inclui ou insere a primeira mensagem NAS inicial em um recipiente de mensagem NAS da segunda mensagem NAS inicial (etapa 1110). O controlador NAS 634 criptografa o recipiente de mensagem NAS da segunda mensagem NAS inicial usando uma chave pública da HPLMN para o UE 110 (etapa 1112). Assim, a primeira mensagem NAS inicial completa é criptografada no recipiente de mensagem NAS da segunda mensagem NAS inicial. O controlador NAS 634, então, envia a segunda mensagem NAS inicial para o elemento de rede 132 (etapa 1114).
[0095] FIG. 12 é um fluxograma ilustrando um método 1200 para executar um procedimento NAS em um elemento de rede 132 em uma modalidade ilustrativa. O componente de interface de rede 702 do elemento de rede 132 recebe a segunda mensagem NAS inicial do UE 110 (etapa 1202). Quando o recipiente de mensagem NAS é criptografado como neste exemplo, o gerenciador de segurança 704 inicia a descriptografia do recipiente de mensagem NAS (etapa 1204) para acessar a primeira mensagem NAS inicial. Em um exemplo, o gerenciador de segurança 704 pode ser configurado para descriptografar o recipiente de mensagem NAS. Em outro exemplo, o gerenciador de segurança 704 pode enviar o recipiente de mensagem NAS para outro elemento de rede (por exemplo, um elemento UDM 312) para descriptografar o recipiente de mensagem NAS.
[0096] Com o recipiente de mensagem NAS descriptografado, o gerenciador de segurança 704 tem acesso à primeira mensagem NAS inicial. A primeira mensagem NAS inicial é populada com os IEs de protocolo NAS para o procedimento NAS. O gerenciador de segurança 704 pode processar os IEs de protocolo NAS e determinar que nenhum contexto de segurança NAS existe para o UE 110 (etapa 1206). Como não existe nenhum contexto de segurança NAS, o gerenciador de segurança 704 pode iniciar um procedimento de autenticação para autenticar UE 110 (etapa 1208). Para o procedimento de autenticação, o gerenciador de segurança 704 pode enviar uma solicitação de autenticação para o UE 110 juntamente com um token de autenticação (etapa opcional 1210) através do componente de interface de rede 702. Em resposta à solicitação de autenticação, o UE 110 manipula etapas de autenticação em sua extremidade e tenta validar o token de autenticação (ver etapa 1116 da FIG. 11). Se for bem-sucedido, o UE 110 considera a rede móvel 100 estar autenticada. O UE 110 computa um token de resposta e envia uma resposta de autenticação com o token de resposta, que é recebido pelo gerenciador de segurança 704 (etapa opcional 1212) através do componente de interface de rede 702. O gerenciador de segurança 704 (ou outro elemento de rede) pode, então, determinar se o token de resposta é válido (por exemplo, comparar o token de resposta com um token de resposta esperado). Se o token de resposta for válido, o gerenciador de segurança 704 considera o UE 110 autenticado.
[0097] Com o UE 110 validado, o gerenciador de segurança 704 inicia um procedimento de segurança NAS para estabelecer um contexto de segurança NAS (etapa 1214). Para o procedimento de segurança NAS, o gerenciador de segurança 704 seleciona um ou mais algoritmos de segurança NAS para o contexto de segurança NAS (etapa 1216) e deriva uma ou mais chaves de segurança NAS (por exemplo, KAMF, KASME, etc.). O gerenciador de segurança 704, então, formata ou gera um Security Mode Command e envia o Security Mode Command para o UE 110 que indica ou inclui o(s) algoritmo(s) de segurança NAS e o identificador de conjunto de chave de segurança selecionado para o contexto de segurança NAS (etapa 1218) através do componente de interface de rede 702.
[0098] Na FIG. 11, o controlador NAS 634 do UE 110 recebe o Security Mode Command do elemento de rede 132 que indica o(s) algoritmo(s) de segurança NAS (etapa 1118). Com a informação fornecida no Security Mode Command, um contexto de segurança NAS é estabelecido entre o UE 110 e o elemento de rede 132. Assim, as mensagens NAS subsequentes entre o UE 110 e o elemento de rede 132 podem ser protegidas usando o contexto de segurança NAS. O controlador NAS 634 do UE 110 pode, então, formatar ou gerar uma mensagem de Security Mode Command e enviar a mensagem de Security Mode Command para o elemento de rede 132 (etapa 1120). Na FIG. 12, o componente de interface de rede 702 recebe o Security Mode Command do UE 110 (etapa 1220). O gerenciador de segurança 704 pode descriptografar quaisquer mensagens NAS subsequentes usando o(s) algoritmo(s) de segurança NAS. Um benefício técnico desse processo é que apenas os IEs de protocolo NAS necessários para estabelecer um contexto de segurança NAS são inseridos como não criptografados em uma mensagem NAS inicial parcial, enquanto uma mensagem NAS inicial completa é criptografada na mensagem NAS inicial parcial, que fornece proteção de segurança adicional.
[0099] FIG. 13 é um diagrama de mensagem mostrando um procedimento NAS quando um UE não tem contexto de segurança em uma modalidade ilustrativa. O procedimento NAS mostrado na FIG. 13 é um procedimento de registro, mas conceitos semelhantes podem se aplicar a outros procedimentos NAS. O UE 110 gera ou formata uma solicitação de registro para um procedimento de registro NAS. Nesta modalidade, o UE 110 popula a solicitação de registro com um conjunto completo de IEs de protocolo NAS. Portanto, a solicitação de registro é uma solicitação de registro completa.
[00100] O UE 110 também gera ou formata outra solicitação de registro que é uma duplicata da solicitação de registro completa. A outra solicitação de registro é do tipo “inicial” e, portanto, é uma solicitação de registro inicial. Em vez de popular cada um dos IEs de protocolo NAS obrigatórios na solicitação de registo completa, o UE 110 insere a solicitação de registo completa num recipiente de mensagem NAS da solicitação de registro inicial. O UE 110 também pode inserir outras informações na solicitação de registro inicial, tal como o SUCI gerado pelo UE 110. Neste exemplo, o UE 110 criptografa o recipiente de mensagem NAS da solicitação de registro inicial usando a chave pública de HPLMN e envia a solicitação de registro inicial para o elemento AMF 314 (S1).
[00101] Em resposta à recepção da solicitação de registo inicial, o elemento AMF 314 encaminha a informação para o UDM doméstico do UE para descriptografia com base no ID de PLMN e ID de Roteamento do UE. Assim, o elemento 314 AMF formata ou gera uma solicitação de autenticação (isto é, Nausf_UEAuthentication_Authenticate Request) e insere o recipiente de mensagem NAS criptografada da solicitação de registro inicial na solicitação de autenticação, junto com outras informações. O elemento AMF 314, então, envia a solicitação de autenticação para o elemento AUSF 310 (S2). Em resposta ao recebimento da solicitação de autenticação, o elemento AUSF 310 formata ou gera uma solicitação de autenticação (isto é, Nudm_UEAuthentication_Get Request) e insere o recipiente de mensagem NAS criptografada na solicitação de autenticação, junto com outras informações. O elemento AUSF 310, então, envia a solicitação de autenticação para o elemento UDM 312 (S3).
[00102] Em resposta à solicitação de autenticação, o elemento UDM 312 descriptografa o recipiente de mensagem NAS criptografada usando a chave privada de HPLMN de modo que a solicitação de registro completa seja legível. O elemento UDM 312 também seleciona um método de autenticação e computa os dados de autenticação e materiais de codificação (por exemplo, tokens) para o elemento AUSF 310 (se necessário). O elemento UDM 312 formata ou gera uma resposta de autenticação (isto é, Nudm_UEAuthentication_Get Response) para o elemento AUSF 310 e insere o recipiente de mensagem NAS descriptografada, o vetor de autenticação (AV) e outras informações na resposta de autenticação. O elemento UDM 312, então,
envia a resposta de autenticação para o elemento AUSF 310 (S4). Em resposta ao recebimento da resposta de autenticação, o elemento AUSF 310 formata ou gera uma resposta de autenticação (isto é, Nuasf_UEAuthentication_Authenticate Response) para o elemento AMF 314 e insere o recipiente de mensagem NAS descriptografada, o AV e outras informações na resposta de autenticação. O elemento AUSF 310, então, envia a resposta de autenticação para o elemento AMF 314 (S5).
[00103] O elemento AMF 314 é configurado para realizar um procedimento de autenticação com o UE 110 usando informações fornecidas por UDM/AUSF. Por exemplo, o elemento AMF 314 envia uma solicitação de autenticação para o UE 110 juntamente com um token de autenticação (S6) do AV e o UE 110 tenta validar o token de autenticação. Se bem-sucedido, o UE 110 computa um token de resposta e envia uma resposta de autenticação com o token de resposta, que é recebida pelo elemento AMF 314 (S7). O elemento 314 AMF formata ou gera outro pedido de autenticação (isto é, Nausf_UEAuthentication_Authenticate Request) e insere token de resposta do UE 110 na solicitação de autenticação, juntamente com outras informações. O elemento AMF 314, então, envia a solicitação de autenticação para o elemento AUSF 310 (S8). O elemento AUSF 310 verifica se o token de resposta do UE 110 corresponde a um token de resposta esperado e envia uma resposta de autenticação (isto é, Nausf_UEAuthentication_Authenticate Response) para o elemento AMF 314 indicando sucesso/falha da autenticação.
[00104] Quando o UE 110 é autenticado para a rede, o elemento AMF 314 inicia um procedimento de segurança NAS para estabelecer um contexto de segurança NAS. O elemento AMF 314 seleciona um algoritmo de segurança NAS (ou algoritmos múltiplos) para cifragem e proteção de integridade. O elemento AMF 314 formata ou gera uma mensagem de Comando de Modo de Segurança e insere um indicador do algoritmo de segurança NAS, o ngKSI e outras informações na mensagem de Comando de Modo de Segurança. O elemento AMF 314, então, envia a mensagem de Comando de Modo de
Segurança para o UE 110 (S10). O UE 110 usa o ngKSI e o algoritmo de segurança NAS para derivar chaves correspondentes para proteger mensagens NAS subsequentes. Um contexto de segurança é, portanto, estabelecido entre o UE 110 e o elemento AMF 314. O UE 110 formata ou gera uma mensagem de Security Mode Complete e envia a mensagem de Security Mode Complete para o elemento AMF 314 (S11).
[00105] O elemento AMF 314 continua com o procedimento de registro, tal como enviando uma mensagem de aceitação de registro para o UE 110 (S12). O UE 110 responde ao elemento AMF 314 com uma mensagem de registro completo (S13), em cujo ponto o UE 110 é registrado na rede para acessar serviços. Exemplo 3: Existe contexto de segurança - contexto de segurança é válido
[00106] Em exemplos adicionais, um procedimento NAS pode ser executado ou invocado quando um contexto de segurança NAS já existe entre um UE e uma Access Security Management Entity (por exemplo, AMF, MME, etc.). O seguinte fornece exemplos de um procedimento NAS quando existe um contexto de segurança NAS.
[00107] FIG. 14 é um fluxograma ilustrando um método 1400 para realizar um procedimento NAS no UE 110 em uma modalidade ilustrativa. O controlador NAS 634 no UE 110 inicia um procedimento NAS para estabelecer (ou restabelecer) uma sessão de comunicação NAS entre UE 110 e o elemento de rede 132 (etapa 1402). O controlador NAS 634 identifica um subconjunto dos IEs de protocolo NAS que são designados para manipulação relativa à segurança (etapa 1404). O controlador NAS 634 formata ou gera uma primeira mensagem NAS para o procedimento NAS, tal como uma solicitação de registro do tipo "mobilidade", "periódica", etc. O controlador NAS 634 inclui ou insere o subconjunto de IEs de protocolo NAS na primeira mensagem NAS (etapa 1406).
[00108] O controlador NAS 634 também formata ou gera uma segunda mensagem NAS que é uma duplicata da primeira mensagem NAS. O controlador NAS 634 inclui ou insere os IEs de protocolo NAS para o procedimento NAS na segunda mensagem NAS (etapa 1408). Nesta etapa, a segunda mensagem NAS inclui todo o conjunto de IEs de protocolo NAS para o procedimento NAS (obrigatório e opcional (se desejado)). Como a segunda mensagem NAS inclui cada um dos IEs de protocolo NAS obrigatórios para o procedimento NAS, a segunda mensagem NAS é considerada uma mensagem NAS “completa”.
[00109] O controlador NAS 634 inclui ou insere a segunda mensagem NAS em um recipiente de mensagem NAS da primeira mensagem NAS (etapa 1410). O controlador NAS 634 criptografa o recipiente de mensagem NAS da primeira mensagem NAS usando um algoritmo de segurança NAS do contexto de segurança NAS (etapa 1412). Assim, a segunda mensagem NAS completa é criptografada no recipiente de mensagem NAS da primeira mensagem NAS. O controlador NAS 634, então, envia a primeira mensagem NAS para o elemento de rede 132 (etapa 1414).
[00110] FIG. 15 é um fluxograma ilustrando um método 1500 para executar um procedimento NAS em um elemento de rede 132 em uma modalidade ilustrativa. O componente de interface de rede 702 do elemento de rede 132 recebe a primeira mensagem NAS do UE 110 (etapa 1502). O gerenciador de segurança 704 processa o subconjunto de IEs de protocolo NAS na primeira mensagem NAS para identificar o contexto de segurança NAS para o UE 110 (etapa 1504). O gerenciador de segurança 704, então, descriptografa o recipiente de mensagem NAS da primeira mensagem NAS usando o contexto de segurança NAS para acessar a segunda mensagem NAS contida no recipiente de mensagem NAS (etapa 1506). Com o recipiente de mensagem NAS na primeira mensagem NAS descriptografada, o gerenciador de segurança 704 tem acesso à segunda mensagem NAS descriptografada. A segunda mensagem NAS inicial é populada com os IEs de protocolo NAS para o procedimento NAS. Assim, o gerenciador de segurança 704 pode processar os IEs de protocolo NAS na segunda mensagem NAS para continuar com manipulação adicional para o procedimento NAS (etapa 1508). Um benefício técnico deste processo é que apenas os IEs de protocolo NAS que são necessários para identificar o contexto de segurança NAS são enviados como não criptografados na primeira mensagem NAS, enquanto a segunda mensagem NAS completa é criptografada na primeira mensagem NAS, o que fornece proteção de segurança adicional.
[00111] FIG. 16 é um diagrama de mensagem mostrando um procedimento de registro NAS quando um UE tem contexto de segurança válido em uma modalidade ilustrativa. O UE 110 gera ou formata uma primeira solicitação de registro para um procedimento de registro NAS. Nesta modalidade, o UE 110 popula a primeira solicitação de registro com um subconjunto de IEs de protocolo NAS que são designados para manipulação relativa à segurança. Esta informação é usada para indicar um contexto de segurança NAS para o elemento AMF 314. Por exemplo, o subconjunto de IEs de protocolo NAS pode incluir um 5G-GUTI, um tipo de registro e um ngKSI. O UE 110 também formata ou gera uma segunda solicitação de registro que é uma duplicata da primeira solicitação de registro. O UE 110 inclui ou insere os IEs de protocolo NAS para o procedimento de registro NAS na segunda solicitação de registro. Nesta etapa, a segunda solicitação de registro inclui todo o conjunto de IEs de protocolo NAS para o procedimento de registro NAS (obrigatório e opcional (se desejado)). Como a segunda solicitação de registro inclui cada um dos IEs de protocolo NAS obrigatórios para o procedimento de registro NAS, a segunda solicitação de registro é considerada uma solicitação de registro “completa”.
[00112] UE 110 inclui ou insere a segunda solicitação de registro em um recipiente de mensagem NAS da primeira solicitação de registro e criptografa o recipiente de mensagem NAS da primeira solicitação de registro usando um algoritmo de segurança NAS do contexto de segurança NAS. Assim, a segunda solicitação de registro completa é criptografada no recipiente de mensagem NAS da primeira solicitação de registro. UE 110, então, envia a primeira solicitação de registro para o elemento AMF 314 (S1).
[00113] Em resposta ao recebimento da primeira solicitação de registro, o elemento AMF 314 identifica ou recupera o contexto de segurança NAS com base no subconjunto de IEs de protocolo NAS incluído na primeira solicitação de registro. O elemento AMF 314, então, descriptografa o recipiente de mensagem NAS criptografado da primeira solicitação de registro usando o contexto de segurança NAS, de modo que a segunda solicitação de registro seja legível. O elemento AMF 314 é, portanto, capaz de processar todo o conjunto de IEs de protocolo NAS para o procedimento de registro NAS e continuar manipulando para o procedimento de registro NAS. Por exemplo, o elemento AMF 314 envia uma mensagem de aceitação de registro para UE 110 (S2). UE 110 responde ao elemento AMF 314 com uma mensagem de registro completo (S3), em cujo ponto o UE 110 é registrado na rede para acessar serviços.
[00114] FIG. 17 é um diagrama de mensagem mostrando um procedimento de solicitação de serviço NAS quando um UE tem um contexto de segurança válido em uma modalidade ilustrativa. UE 110 gera ou formata uma primeir solicitação de serviço para o procedimento de solicitação de serviço NAS. Nesta modalidade, o UE 110 popula a primeira solicitação de serviço com um subconjunto de IEs de protocolo NAS que são designados para manipulação relativa à segurança, que é usado para indicar um contexto de segurança NAS para o elemento AMF 314. Neste exemplo, o subconjunto de IEs de protocolo NAS pode incluir um 5G-S-TMSI e um ngKSI. UE 110 também formata ou gera uma segunda solicitação de serviço que é uma duplicata da primeira solicitação de serviço. UE 110 inclui ou insere os IEs de protocolo NAS para o procedimento de solicitação de serviço NAS na segunda solicitação de serviço. Nesta etapa, a segunda solicitação de serviço inclui todo o conjunto de IEs de protocolo NAS para o procedimento de solicitação de serviço NAS (obrigatório e opcional (se desejado)). Como a segunda solicitação de serviço inclui cada um dos IEs de protocolo NAS obrigatórios para o procedimento de solicitação de serviço NAS, a segunda solicitação de serviço é considerada uma solicitação de serviço “completa”.
[00115] UE 110 inclui ou insere a segunda solicitação de serviço em um recipiente de mensagem NAS da primeira solicitação de serviço e criptografa o recipiente de mensagem NAS da primeira solicitação de serviço usando um algoritmo de segurança NAS do contexto de segurança NAS. Assim, a segunda solicitação de serviço completa é criptografada no recipiente de mensagem NAS da primeira solicitação de serviço. UE 110, então, envia a primeira solicitação de serviço para o elemento AMF 314 (S1).
[00116] Em resposta ao recebimento da primeira solicitação de serviço, o elemento AMF 314 identifica ou recupera o contexto de segurança NAS com base no subconjunto de IEs de protocolo NAS incluído na primeira solicitação de serviço. O elemento AMF 314, então, descriptografa o recipiente de mensagem NAS criptografada da primeira solicitação de serviço usando o contexto de segurança NAS, de modo que a segunda solicitação de serviço seja legível. O elemento AMF 314 é, portanto, capaz de processar todo o conjunto de IEs de protocolo NAS para o procedimento de solicitação de serviço NAS e continuar a manipulação para o procedimento de solicitação de serviço NAS. Por exemplo, o elemento AMF 314 envia uma mensagem de aceitação de serviço para UE 110 (S2).
[00117] FIG. 18 é um diagrama de mensagem mostrando um procedimento de cancelamento de registro NAS quando um UE tem um contexto de segurança válido em uma modalidade ilustrativa. UE 110 gera ou formata uma primeira solicitação de cancelamento de registro para o procedimento de cancelamento de registro NAS. Nesta modalidade, o UE 110 popula a primeira solicitação de cancelamento de registro com um subconjunto de IEs de protocolo NAS que são designados para manipulação relativa à segurança, que é usado para indicar um contexto de segurança NAS para o elemento AMF 314. Neste exemplo, o subconjunto de IEs de protocolo NAS pode incluir um 5G-S-TMSI e um ngKSI. UE 110 também formata ou gera uma segunda solicitação de cancelamento de registro que é uma duplicata da primeira solicitação de cancelamento de registro. UE 110 inclui ou insere os IEs de protocolo NAS para o procedimento de cancelamento de registro NAS na segunda solicitação de cancelamento de registro. Nesta etapa, a segunda solicitação de cancelamento de registro inclui todo o conjunto de IEs de protocolo NAS para o procedimento de cancelamento de registro NAS (obrigatório e opcional (se desejado)). Como a segunda solicitação de cancelamento de registro inclui cada um dos IEs de protocolo NAS obrigatórios para o procedimento de cancelamento de registro NAS, a segunda solicitação de cancelamento de registro é considerada uma solicitação de cancelamento de registro “completa”.
[00118] UE 110 inclui ou insere a segunda solicitação de cancelamento de registro em um recipiente de mensagem NAS da primeira solicitação de cancelamento de registro e criptografa o recipiente de mensagem NAS da primeira solicitação de cancelamento de registro usando um algoritmo de segurança NAS do contexto de segurança NAS. Assim, a segunda solicitação de cancelamento de registro completa é criptografada no recipiente de mensagem NAS da primeira solicitação de cancelamento de registro. UE 110, então, envia a primeira solicitação de cancelamento de registro para o elemento AMF 314 (S1).
[00119] Em resposta ao recebimento da primeira solicitação de cancelamento de registro, o elemento AMF 314 identifica ou recupera o contexto de segurança NAS com base no subconjunto de IEs de protocolo NAS incluído na primeira solicitação de cancelamento de registro. O elemento AMF 314, então, descriptografa o recipiente de mensagem NAS criptografado da primeira solicitação de cancelamento de registro usando o contexto de segurança NAS, de modo que a segunda solicitação de cancelamento de registro seja legível. O elemento AMF 314 é, portanto, capaz de processar todo o conjunto de IEs de protocolo NAS para o procedimento de cancelamento de registro NAS e continuar manipulando para o procedimento de cancelamento de registro NAS. Por exemplo, o elemento AMF 314 envia uma mensagem de aceitação de cancelamento de registro para UE 110 (S2). Exemplo 4: Existe contexto de segurança - contexto de segurança é inválido ou não foi encontrado
[00120] FIGS. 19A-19B são um fluxograma ilustrando um método 1900 para realizar um procedimento NAS no UE 110 em uma modalidade ilustrativa. O controlador NAS 634 no UE 110 inicia um procedimento NAS para estabelecer (ou restabelecer) uma sessão de comunicação NAS entre UE 110 e o elemento de rede 132 (etapa 1902). Para a primeira fase 1931 do procedimento NAS, o controlador NAS 634 identifica um subconjunto de IEs de protocolo NAS que são designados para manipulação relativa à segurança (etapa 1904). O controlador NAS 634 formata ou gera uma primeira mensagem NAS para o procedimento NAS e inclui ou insere o subconjunto de IEs de protocolo NAS na primeira mensagem NAS (etapa 1906).
[00121] O controlador NAS 634 também formata ou gera uma segunda mensagem NAS que é uma duplicata da primeira mensagem NAS. O controlador NAS 634 inclui ou insere os IEs de protocolo NAS para o procedimento NAS na segunda mensagem NAS (etapa 1908). Nesta etapa, a segunda mensagem NAS inclui todo o conjunto de IEs de protocolo NAS para o procedimento NAS (obrigatório e opcional (se desejado)). Como a segunda mensagem NAS inclui cada um dos IEs de protocolo NAS obrigatórios para o procedimento NAS, a segunda mensagem NAS é considerada uma mensagem NAS “completa”.
[00122] O controlador NAS 634 inclui ou insere a segunda mensagem NAS em um recipiente de mensagem NAS da primeira mensagem NAS (etapa 1910). O controlador NAS 634 criptografa o recipiente de mensagem NAS da primeira mensagem NAS usando um algoritmo de segurança NAS do contexto de segurança NAS (etapa 1912). Assim, a segunda mensagem NAS completa é criptografada no recipiente de mensagem NAS da primeira mensagem NAS. O controlador NAS 634, então, envia a primeira mensagem NAS para o elemento de rede 132 (etapa 1914).
[00123] FIG. 20 é um fluxograma ilustrando um método 2000 para executar um procedimento NAS em um elemento de rede 132 em uma modalidade ilustrativa. Para a primeira fase 1931 do procedimento NAS, o componente de interface de rede 702 do elemento de rede 132 recebe a primeira mensagem NAS do UE 110 (etapa 2002). O gerenciador de segurança 704 processa o subconjunto de IEs de protocolo NAS na primeira mensagem NAS e deixa de identificar um contexto de segurança NAS válido para o UE 110 (etapa 2004). Por exemplo, muito embora exista um contexto de segurança NAS, o gerenciador de segurança 704 pode não ser capaz de identificar o contexto de segurança NAS com base no subconjunto de IEs de protocolo NAS fornecidos na primeira mensagem NAS, o contexto de segurança NAS identificado com base no subconjunto de IEs de protocolo NAS é inválido, etc. Como um contexto de segurança NAS válido não foi encontrado, o gerenciador de segurança 704 inicia um procedimento de autenticação para autenticar UE 110 (etapa 2006). Muito embora o procedimento de autenticação possa ter sido executado anteriormente, o gerenciador de segurança 704 executa um procedimento de autenticação novamente quando nenhum contexto de segurança NAS válido é encontrado. Como parte do procedimento de autenticação, o gerenciador de segurança 704 pode enviar uma solicitação de autenticação para o UE 110 juntamente com um token de autenticação (etapa opcional 2008) através do componente de interface de rede 702. Em resposta à solicitação de autenticação, o UE 110 tenta validar o token de autenticação (ver etapa 1916 da FIG. 19A). Se for bem-sucedido, o UE 110 considera a rede móvel 100 estar autenticada. O UE 110 computa um token de resposta e envia uma resposta de autenticação com o token de resposta, que é recebido pelo gerenciador de segurança 704 (etapa opcional 2010) através do componente de interface de rede 702. O gerenciador de segurança 704 (ou outro elemento de rede) pode, então, determinar se o token de resposta é válido (por exemplo, comparar o token de resposta com um token de resposta esperado). Se o token de resposta for válido, o gerenciador de segurança 704 considera o UE 110 autenticado.
[00124] Com o UE 110 validado, o gerenciador de segurança 704 inicia um procedimento de segurança NAS para estabelecer um novo contexto de segurança NAS (etapa 2012). Para o procedimento de segurança NAS, o gerenciador de segurança 704 seleciona um ou mais algoritmos de segurança NAS para o novo procedimento de segurança NAS (etapa 2014) e deriva uma ou mais chaves de segurança NAS. O gerenciador de segurança 704, então, envia uma resposta ao UE 110 que indica ou inclui o(s) algoritmo(s) de segurança NAS e um identificador de conjunto de chave de segurança selecionado para o novo contexto de segurança NAS (etapa 2016) através do componente de interface de rede 702. A resposta pode compreender um Comando de Modo de Segurança que inclui o(s) algoritmo(s) de segurança NAS, um identificador de conjunto de chave de segurança (por exemplo, ngKSI, eKSI, etc.) e outras informações.
[00125] Na FIG. 19A, o controlador NAS 634 recebe a resposta do elemento de rede 132 que indica o(s) algoritmo(s) de segurança NAS e o identificador de conjunto de chave de segurança (etapa 1918). Com a informação fornecida na resposta do elemento de rede 132, o novo contexto de segurança NAS é estabelecido entre o UE 110 e o elemento de rede 132. Assim, as mensagens NAS subsequentes entre o UE 110 e o elemento de rede 132 podem ser protegidas usando o novo contexto de segurança NAS.
[00126] Para a segunda fase 1932 do procedimento NAS na FIG. 19B, o controlador NAS 634 do UE 110 pode, então, formatar ou gerar uma mensagem NAS subsequente para o procedimento NAS. Por exemplo, a mensagem NAS subsequente pode compreender uma mensagem de Modo de Segurança Completo. O controlador NAS 634 inclui ou insere a segunda mensagem NAS para o procedimento NAS em um recipiente de mensagem NAS da mensagem NAS subsequente (etapa 1920). Conforme descrito acima, a segunda mensagem NAS inclui todo o conjunto de IEs de protocolo NAS para o procedimento NAS (obrigatório e opcional (se desejado)) e é considerada uma mensagem NAS “completa”. O controlador NAS 634 criptografa o recipiente de mensagem NAS da mensagem NAS subsequente usando o(s) algoritmo(s) de segurança NAS (etapa 1922) do novo contexto de segurança NAS. O controlador NAS 634, então, envia a mensagem NAS subsequente para o elemento de rede 132 (etapa 1924).
[00127] Na FIG. 20, para a segunda fase 1932, o componente de interface de rede 702 recebe a mensagem NAS subsequente do UE 110 (etapa 2018). O gerenciador de segurança 704 descriptografa o recipiente de mensagem NAS da mensagem NAS subsequente usando o(s) algoritmo(s) de segurança NAS (etapa 2020) do novo contexto de segurança NAS para acessar a segunda mensagem NAS completa. O gerenciador de segurança 704 ou outros subsistemas do elemento de rede 132 podem, então, processar os IEs de protocolo NAS da segunda mensagem NAS completa para fornecer manipulação adicional para o procedimento NAS. Um benefício técnico desse processo é que apenas os IEs de protocolo NAS são necessários para identificar o contexto de segurança NAS são enviados como não criptografados na primeira mensagem NAS. Quando um contexto de segurança NAS válido não é encontrado, um novo contexto de segurança NAS é estabelecido e uma mensagem NAS completa é criptografada em uma mensagem NAS subsequente de acordo com o novo contexto de segurança NAS, que fornece proteção de segurança adicional.
[00128] FIG. 21 é um diagrama de mensagem mostrando um procedimento de registro NAS quando um UE tem um contexto de segurança NAS, mas o contexto de segurança NAS não é válido ou não é encontrado em uma modalidade ilustrativa. Para a primeira fase do procedimento NAS, UE 110 gera ou formata uma primeira solicitação de registro para um procedimento de registro NAS. Nesta modalidade, o UE 110 popula a primeira solicitação de registro com um subconjunto de IEs de protocolo NAS que são designados para manipulação relativa à segurança. Esta informação é usada para indicar um contexto de segurança NAS para o elemento AMF 314. Por exemplo, o subconjunto de IEs de protocolo NAS pode incluir um 5G-GUTI, um tipo de registro e um ngKSI. O UE 110 também formata ou gera uma segunda solicitação de registro que é uma duplicata da primeira solicitação de registro. O UE 110 inclui ou insere os IEs de protocolo NAS para o procedimento de registro
NAS na segunda solicitação de registro. Nesta etapa, a segunda solicitação de registro inclui todo o conjunto de IEs de protocolo NAS para o procedimento de registro NAS (obrigatório e opcional (se desejado)). Como a segunda solicitação de registro inclui cada um dos IEs de protocolo NAS obrigatórios para o procedimento de registro NAS, a segunda solicitação de registro é considerada uma solicitação de registro “completa”.
[00129] UE 110 inclui ou insere a segunda solicitação de registro em um recipiente de mensagem NAS da primeira solicitação de registro e criptografa o recipiente de mensagem NAS da primeira solicitação de registro usando um algoritmo de segurança NAS do contexto de segurança NAS. Assim, a segunda solicitação de registro completa é criptografada no recipiente de mensagem NAS da primeira solicitação de registro. UE 110, então, envia a primeira solicitação de registro para o elemento AMF 314 (S1).
[00130] Em resposta ao recebimento da primeira solicitação de registro, o elemento AMF 314 tenta identificar ou recuperar o contexto de segurança NAS com base no subconjunto de IEs de protocolo NAS incluído na primeira solicitação de registro. Neste exemplo, o elemento AMF 314 não é capaz de identificar um contexto de segurança NAS válido para UE 110. Assim, o elemento AMF 314 é incapaz de descriptografar o recipiente de mensagem NAS da primeira solicitação de registro. Para permitir comunicações seguras, o elemento AMF 314 inicia um novo procedimento de autenticação para criar um novo contexto de segurança NAS. O elemento AMF 314 formata ou gera uma solicitação de autenticação (isto é, Nausf_UEAuthentication_Authenticate Request) e envia a solicitação de autenticação para o elemento AUSF 310 (S2). Em resposta ao recebimento da solicitação de autenticação, o elemento AUSF 310 formata ou gera uma solicitação de autenticação (isto é, Nudm_UEAuthentication_Get Request) e envia a solicitação de autenticação para o elemento UDM 312 (S3).
[00131] Em resposta à solicitação de autenticação, o elemento UDM 312 cancela o escondimento do SUCI e envia uma resposta de autenticação
(isto é, Nudm_UEAuthentication_Get Response) para o elemento AUSF 310 (S4). Em resposta ao recebimento da resposta de autenticação, o elemento AUSF 310 formata ou gera uma resposta de autenticação (isto é, Nuasf_UEAuthentication_Authenticate Response) para o elemento AMF 314 e envia a resposta de autenticação ao elemento AMF 314 (S5).
[00132] O elemento AMF 314 é configurado para realizar um procedimento de autenticação com o UE 110 usando informações fornecidas por UDM/AUSF. Por exemplo, o elemento AMF 314 envia uma solicitação de autenticação para o UE 110 juntamente com um token de autenticação (S6) e o UE 110 tenta validar o token de autenticação. Se bem-sucedido, o UE 110 computa um token de resposta e envia uma resposta de autenticação com o token de resposta, que é recebida pelo elemento AMF 314 (S7). O elemento 314 AMF formata ou gera outro pedido de autenticação (isto é, Nausf_UEAuthentication_Authenticate Request) e insere o token de resposta do UE 110 na solicitação de autenticação, juntamente com outras informações. O elemento AMF 314, então, envia a solicitação de autenticação para o elemento AUSF 310 (S8). O elemento AUSF 310 verifica se o token de resposta do UE 110 corresponde a um token de resposta esperado e envia uma resposta de autenticação (isto é, Nausf_UEAuthentication_Authenticate Response) para o elemento AMF 314 indicando sucesso/falha da autenticação.
[00133] Quando o UE 110 é autenticado para a rede, o elemento AMF 314 inicia um procedimento de segurança NAS para estabelecer o novo contexto de segurança NAS. O elemento AMF 314 seleciona um algoritmo de segurança NAS (ou algoritmos múltiplos) para cifragem e proteção de integridade. O elemento AMF 314 formata ou gera uma mensagem de Comando de Modo de Segurança e insere um indicador do algoritmo de segurança NAS, o ngKSI e outras informações na mensagem de Comando de Modo de Segurança. O elemento AMF 314, então, envia a mensagem de Comando de Modo de Segurança para o UE 110 (S10).
[00134] Para a segunda fase do procedimento NAS, o UE 110 usa o ngKSI e o algoritmo de segurança NAS para derivar chaves correspondentes para proteger mensagens NAS subsequentes. Um novo contexto de segurança NAS é, portanto, estabelecido entre o UE 110 e o elemento AMF 314. UE 110 formata ou gera uma mensagem Security Mode Complete e insere a segunda solicitação de registro em um recipiente de mensagem NAS da mensagem Security Mode Complete. Conforme descrito acima, a segunda solicitação de registro inclui todo o conjunto de IEs de protocolo NAS para o procedimento de registro NAS (obrigatório e opcional (se desejado)) e é considerada uma mensagem NAS “completa”. O UE 110 criptografa o recipiente de mensagem NAS da mensagem Security Mode Complete usando o algoritmo de segurança NAS do novo contexto de segurança NAS. Portanto, a segunda solicitação de registro é criptografada no recipiente de mensagem NAS da mensagem Security Mode Complete. O UE 110 envia, então, a mensagem Security Mode Complete para o elemento AMF 314 (S11).
[00135] O elemento AMF 314 recebe a mensagem Security Mode Complete do UE 110 e descriptografa o recipiente de mensagem NAS da mensagem Security Mode Complete para acessar os IEs de protocolo NAS a partir da segunda solicitação de registro. O elemento AMF 314, então, continua com o procedimento de registro NAS, tal como enviando uma mensagem de aceitação de registro para o UE 110 (S12). O UE 110 responde ao elemento AMF 314 com uma mensagem de registro completo (S13), em cujo ponto o UE 110 é registrado na rede para acessar serviços.
[00136] FIG. 22 é um diagrama de mensagem mostrando um procedimento de solicitação de serviço NAS quando um UE tem um contexto de segurança NAS, mas o contexto de segurança NAS não é válido ou não é encontrado em uma modalidade ilustrativa. Para a primeira fase do procedimento NAS, o UE 110 gera ou formata uma primeira solicitação de serviço para um procedimento de solicitação de serviço NAS. Nesta modalidade, o UE 110 popula a primeira solicitação de serviço com um subconjunto de IEs de protocolo NAS que são designados para manipulação relativa à segurança. Esta informação é usada para indicar um contexto de segurança NAS para o elemento AMF 314. Por exemplo, o subconjunto de IEs de protocolo NAS pode incluir um 5G-S-TMSI e um ngKSI. UE 110 também formata ou gera uma segunda solicitação de serviço que é uma duplicata da primeira solicitação de serviço. UE 110 inclui ou insere os IEs de protocolo NAS para o procedimento de solicitação de serviço NAS na segunda solicitação de serviço. Nesta etapa, a segunda solicitação de serviço inclui todo o conjunto de IEs de protocolo NAS para o procedimento de solicitação de serviço NAS (obrigatório e opcional (se desejado)). Como a segunda solicitação de serviço inclui cada um dos IEs de protocolo NAS obrigatórios para o procedimento de solicitação de serviço NAS, a segunda solicitação de serviço é considerada uma solicitação de serviço “completa”.
[00137] UE 110 inclui ou insere a segunda solicitação de serviço em um recipiente de mensagem NAS da primeira solicitação de serviço e criptografa o recipiente de mensagem NAS da primeira solicitação de serviço usando um algoritmo de segurança NAS do contexto de segurança NAS. Assim, a segunda solicitação de serviço completa é criptografada no recipiente de mensagem NAS da primeira solicitação de serviço. UE 110, então, envia a primeira solicitação de serviço para o elemento AMF 314 (S1).
[00138] Em resposta ao recebimento da primeira solicitação de serviço, o elemento AMF 314 tenta identificar ou recuperar o contexto de segurança NAS com base no subconjunto de IEs de protocolo NAS incluído na primeira solicitação de serviço. Neste exemplo, o elemento AMF 314 não é capaz de identificar um contexto de segurança NAS válido para UE 110. Assim, o elemento AMF 314 é incapaz de descriptografar o recipiente de mensagem NAS da primeira solicitação de serviço. Para permitir comunicações seguras, o elemento AMF 314 inicia um novo procedimento de autenticação para criar um novo contexto de segurança NAS. O elemento AMF 314 formata ou gera uma solicitação de autenticação (isto é, Nausf_UEAuthentication_Authenticate Request) e envia a solicitação de autenticação para o elemento AUSF 310 (S2).
Em resposta ao recebimento da solicitação de autenticação, o elemento AUSF 310 formata ou gera uma solicitação de autenticação (isto é, Nudm_UEAuthentication_Get Request) e envia a solicitação de autenticação para o elemento UDM 312 (S3).
[00139] Em resposta à solicitação de autenticação, o elemento UDM 312 cancela o escondimento do SUCI e envia uma resposta de autenticação (isto é, Nudm_UEAuthentication_Get Response) para o elemento AUSF 310 (S4). Em resposta ao recebimento da resposta de autenticação, o elemento AUSF 310 formata ou gera uma resposta de autenticação (isto é, Nuasf_UEAuthentication_Authenticate Response) para o elemento AMF 314 e envia a resposta de autenticação ao elemento AMF 314 (S5).
[00140] O elemento AMF 314 é configurado para realizar um procedimento de autenticação com o UE 110 usando informações fornecidas por UDM/AUSF. Por exemplo, o elemento AMF 314 envia uma solicitação de autenticação para o UE 110 juntamente com um token de autenticação (S6) e o UE 110 tenta validar o token de autenticação. Se bem-sucedido, o UE 110 computa um token de resposta e envia uma resposta de autenticação com o token de resposta, que é recebida pelo elemento AMF 314 (S7). O elemento 314 AMF formata ou gera outro pedido de autenticação (isto é, Nausf_UEAuthentication_Authenticate Request) e insere o token de resposta do UE 110 na solicitação de autenticação, juntamente com outras informações. O elemento AMF 314, então, envia a solicitação de autenticação para o elemento AUSF 310 (S8). O elemento AUSF 310 verifica se o token de resposta do UE 110 corresponde a um token de resposta esperado e envia uma resposta de autenticação (isto é, Nausf_UEAuthentication_Authenticate Response) para o elemento AMF 314 indicando sucesso/falha da autenticação.
[00141] Quando o UE 110 é autenticado para a rede, o elemento AMF 314 inicia um procedimento de segurança NAS para estabelecer o novo contexto de segurança NAS. O elemento AMF 314 seleciona um algoritmo de segurança NAS (ou algoritmos múltiplos) para cifragem e proteção de integridade. O elemento AMF 314 formata ou gera uma mensagem de Comando de Modo de Segurança e insere um indicador do algoritmo de segurança NAS, o ngKSI e outras informações na mensagem de Comando de Modo de Segurança. O elemento AMF 314, então, envia a mensagem de Comando de Modo de Segurança para o UE 110 (S10).
[00142] Para a segunda fase do procedimento NAS, o UE 110 usa o ngKSI e o algoritmo de segurança NAS para derivar chaves correspondentes para proteger mensagens NAS subsequentes. Um novo contexto de segurança NAS é, portanto, estabelecido entre o UE 110 e o elemento AMF 314. UE 110 formata ou gera uma mensagem Security Mode Complete e insere a segunda solicitação de serviço em um recipiente de mensagem NAS da mensagem Security Mode Complete. Conforme descrito acima, a segunda solicitação de serviço inclui todo o conjunto de IEs de protocolo NAS para o procedimento de solicitação de serviço NAS (obrigatório e opcional (se desejado)) e é considerada uma mensagem NAS “completa”. O UE 110 criptografa o recipiente de mensagem NAS da mensagem Security Mode Complete usando o algoritmo de segurança NAS do novo contexto de segurança NAS. Portanto, a segunda solicitação de serviço é criptografada no recipiente de mensagem NAS da mensagem Security Mode Complete. O UE 110 envia, então, a mensagem Security Mode Complete para o elemento AMF 314 (S11).
[00143] O elemento AMF 314 recebe a mensagem Security Mode Complete do UE 110 e descriptografa o recipiente de mensagem NAS da mensagem Security Mode Complete para acessar os IEs de protocolo NAS a partir da segunda solicitação de serviço. O elemento AMF 314, então, continua com o procedimento de solicitação de serviço NAS, tal como enviando uma mensagem de aceitação de registro para o UE 110 (S12). UE 110 responde ao elemento AMF 314 com uma mensagem de registro completa (S13).
[00144] Qualquer dos vários elementos ou módulos mostrados nas figuras ou descritos neste documento podem ser implementados como hardware, software, firmware ou alguma combinação destes. Por exemplo, um elemento pode ser implementado como hardware dedicado. Elementos de hardware dedicados podem ser referidos como "processadores", "controladores" ou alguma terminologia semelhante. Quando fornecidas por um processador, as funções podem ser fornecidas por um único processador dedicado, por um único processador compartilhado ou por uma pluralidade de processadores individuais, alguns dos quais podem ser compartilhados. Além disso, o uso explícito do termo "processador" ou "controlador" não deve ser interpretado para se referir exclusivamente a hardware capaz de executar software e pode incluir implicitamente, sem limitação, hardware de processador de sinal digital (DSP), um processador de rede, um circuito integrado específico de aplicação (ASIC) ou outro circuito, matriz de portas programáveis em campo (FPGA), memória somente de leitura (ROM) para armazenamento de software, memória de acesso aleatório (RAM), armazenamento não volátil, lógica ou algum outro componente ou módulo de hardware físico.
[00145] Além disso, um elemento pode ser implementado como instruções executáveis por um processador ou um computador para executar as funções do elemento. Alguns exemplos de instruções são software, código de programa e firmware. As instruções são operacionais quando executadas pelo processador para dirigir o processador para executar as funções do elemento. As instruções podem ser armazenadas em dispositivos de armazenamento que podem ser legíveis pelo processador. Alguns exemplos dos dispositivos de armazenamento são memórias digitais ou de estado sólido, meio de armazenamento magnético, tal como discos magnéticos e fitas magnéticas, discos rígidos ou meio de armazenamento de dados digital opticamente legível.
[00146] Conforme usado neste pedido, o termo "circuito" pode se referir a um ou mais ou todos os seguintes: (a) implementações de circuito apenas de hardware (como implementações apenas em circuitos analógicos e/ou digitais); (b) combinações de circuitos de hardware e software, tal como (como aplicável):
(i) uma combinação de circuito(s) de hardware analógico(s) e/ou digital(is) com software/firmware; e (ii) quaisquer porções de processador(es) de hardware com software (incluindo processador(es) de sinal digital), software e memória(s) que funcionam juntos para fazer um aparelho, tal como um telefone móvel ou servidor, executar várias funções); e (c) circuito(s) de hardware e/ou processador(es), como microprocessador(es) ou uma porção de um microprocessador(es), que requerem software (por exemplo, firmware) para operação, mas o software pode não estar presente quando não é necessário para a operação.
[00147] Esta definição de circuito se aplica a todos os usos deste termo neste pedido, incluindo em quaisquer reivindicações. Como outro exemplo, conforme usado neste pedido, o termo circuito também cobre uma implementação de apenas um circuito de hardware ou processador (ou múltiplos processadores) ou porção de um circuito de hardware ou processador e seu (seus) software e/ou firmware que acompanha(m). O termo circuito também cobre, por exemplo, e se aplicável ao elemento de reivindicação particular, um circuito integrado de banda base ou circuito integrado de processador para um dispositivo móvel ou um circuito integrado semelhante em servidor, um dispositivo de rede celular ou outro dispositivo de computação ou rede.
[00148] Embora modalidades específicas tenham sido descritas neste documento, o escopo da divulgação não está limitado a essas modalidades específicas. O escopo da divulgação é definido pelas seguintes reivindicações e quaisquer equivalentes das mesmas.

Claims (24)

REIVINDICAÇÕES
1. Equipamento de usuário (UE) caracterizado pelo fato de que compreende: pelo menos um processador; e pelo menos uma memória incluindo código de programa de computador, a pelo menos uma memória e o código de programa de computador sendo configurados para, com o pelo menos um processador, fazer o UE iniciar um Non-Access Stratum (NAS) em múltiplas fases para estabelecer uma sessão de comunicação NAS entre o UE e um elemento de rede de uma rede móvel, em que, em uma primeira fase do procedimento NAS, a pelo menos uma memória e o código de programa de computador são configurados com o pelo menos um processador, para: construir uma primeira mensagem NAS inicial incluindo um primeiro conjunto de Elementos de Informação (IEs) de protocolo NAS que são designados para manipulação relativa a segurança; envia a primeira mensagem NAS inicial para o elemento de rede; e receber uma resposta do elemento de rede que inclui um algoritmo de segurança NAS e identificador de conjunto de chave de segurança associado a um contexto de segurança NAS para uso pelo UE, e em que, em uma segunda fase do procedimento NAS, a pelo menos uma memória e o código de programa de computador são configurados com o pelo menos um processador, para: construir uma mensagem NAS subsequente, a mensagem NAS subsequente incluindo uma segunda mensagem NAS inicial encapsulada dentro de um IE de recipiente de mensagem NAS, a segunda mensagem NAS inicial definindo um mesmo tipo de mensagem que a primeira mensagem NAS inicial e incluindo um segundo conjunto de IEs de protocolo NAS para o procedimento NAS que é diferente do primeiro conjunto de IEs de protocolo
NAS; e enviar a mensagem NAS subsequente para o elemento de rede.
2. UE, de acordo com a reivindicação 1, caracterizado pelo fato de que, na segunda fase do procedimento NAS, a segunda mensagem NAS inicial é criptografada dentro do recipiente de mensagem NAS usando o algoritmo de segurança NAS recebido na primeira fase.
3. UE, de acordo com a reivindicação 1, caracterizado pelo fato de que, na segunda fase do procedimento NAS, o segundo conjunto de IEs de protocolo NAS inclui os IEs de protocolo NAS no primeiro conjunto de IEs de protocolo NAS e um ou mais IEs de protocolo NAS adicionais.
4. UE, de acordo com a reivindicação 1, caracterizado pelo fato de que, em uma primeira fase do procedimento NAS, a pelo menos uma memória e o código de programa de computador são configurados ainda com o pelo menos um processador para: identificar, do primeiro conjunto de IEs de protocolo NAS, um subconjunto dos IEs de protocolo NAS que são designados para manipulação relativa à segurança; criptografar o subconjunto dos IEs de protocolo NAS na mensagem NAS inicial usando uma chave pública de uma Home Public Land Mobile Network (HPLMN) para o UE; e inserir o subconjunto de IEs de protocolo NAS na primeira mensagem NAS inicial.
5. UE, de acordo com a reivindicação 4, caracterizado pelo fato de que a pelo menos uma memória e o código de programa de computador são ainda configurados com o pelo menos um processador para: criptografar o subconjunto dos IEs de protocolo NAS na primeira mensagem NAS inicial usando uma chave pública quando o UE tiver a chave pública programada em um UMTS Subscriber Identify Module (USIM); e enviar a mensagem NAS inicial para o elemento de rede sem criptografar o subconjunto dos IEs de protocolo NAS na primeira mensagem
NAS inicial quando o UE não tem a chave pública programada no USIM.
6. UE, de acordo com a reivindicação 4, caracterizado pelo fato de que: a primeira mensagem NAS inicial compreende uma mensagem de solicitação de registro; e o subconjunto de IEs de protocolo NAS designados para manipulação relativa a segurança consiste em uma identidade móvel para o UE, uma capacidade de segurança de UE indicando um ou mais algoritmos de segurança NAS suportados pelo UE, um tipo de registro e um identificador de conjunto de chave de segurança para um contexto de segurança NAS.
7. UE, de acordo com a reivindicação 6, caracterizado pelo fato de que a pelo menos uma memória e o código de programa de computador são ainda configurados com o pelo menos um processador para: criptografar o subconjunto dos IEs de protocolo NAS na mensagem NAS inicial usando uma chave pública de uma Home Public Land Mobile Network (HPLMN) para o UE quando o tipo de registro não indicar uma emergência; e enviar a mensagem NAS inicial para o elemento de rede sem criptografar o subconjunto dos IEs de protocolo NAS na mensagem NAS inicial quando o tipo de registro indicar uma emergência.
8. UE, de acordo com a reivindicação 1, caracterizado pelo fato de que: a resposta compreende uma mensagem de comando de modo de segurança que indica o algoritmo de segurança NAS e o identificador de conjunto de chave de segurança; e a mensagem NAS subsequente compreende uma mensagem completa de modo de segurança tendo o recipiente de mensagem NAS que contém a mensagem NAS inicial criptografada com base no algoritmo de segurança NAS.
9. Elemento de rede de uma rede de mobilidade, caracterizado pelo fato de que compreende: pelo menos um processador; e pelo menos uma memória incluindo código de programa de computador, a pelo menos uma memória e o código de programa de computador sendo configurados para, com o pelo menos um processador, fazer o elemento de rede realizar um procedimento de Non-Access Stratum (NAS) em múltiplas fases para estabelecer uma sessão de comunicação NAS entre equipamento de uisuário (UE) e o elemento de rede, em que, em uma primeira fase do procedimento NAS, a pelo menos uma memória e o código de programa de computador são configurados com o pelo menos um processador, para: receber, do UE, uma primeira mensagem NAS inicial incluindo um primeiro conjunto de Elementos de Informação (IEs) de protocolo NAS que são designados para manipulação relativa a segurança; construir uma resposta à primeira mensagem NAS inicial que inclui um algoritmo de segurança NAS e um identificador de conjunto de chave de segurança associado a um contexto de segurança NAS para uso pelo UE; e enviar, para o UE, a resposta à primeira mensagem NAS inicial, e em que, em uma segunda fase do procedimento NAS, a pelo menos uma memória e o código de programa de computador são configurados com o pelo menos um processador, para: receber, do UE, uma mensagem NAS subsequente, a mensagem NAS subsequente incluindo uma segunda mensagem NAS inicial encapsulada dentro de um IE de recipiente de mensagem NAS, a segunda mensagem NAS inicial definindo um mesmo tipo de mensagem que a primeira mensagem NAS inicial e incluindo um segundo conjunto de IEs de protocolo NAS para o procedimento NAS que é diferente do primeiro conjunto de IEs de protocolo NAS.
10. Elemento de rede, de acordo com a reivindicação 9, caracterizado pelo fato de que, na segunda fase do procedimento NAS, a segunda mensagem NAS inicial é criptografada dentro do recipiente de mensagem NAS usando o algoritmo de segurança NAS recebido na primeira fase.
11. Elemento de rede, de acordo com a reivindicação 9, caracterizado pelo fato de que, na segunda fase do procedimento NAS, o segundo conjunto de IEs de protocolo NAS inclui os IEs de protocolo NAS no primeiro conjunto de IEs de protocolo NAS e um ou mais IEs de protocolo NAS adicionais.
12. Elemento de rede, de acordo com a reivindicação 9, caracterizado pelo fato de que a primeira mensagem NAS inicial compreende pelo menos um subconjunto dos IEs de protocolo NAS que são designados para maipulação relativa à segurança, o referido subconjunto dos IEs de protocolo NAS criptografados pelo UE usando uma chave pública de uma Home Public Land Mobile Network (HPLMN) para o UE.
13. Elemento de rede, de acordo com a reivindicação 12, caracterizado pelo fato de que: a primeira mensagem NAS inicial compreende uma mensagem de solicitação de registro; e o subconjunto de IEs de protocolo NAS designados para manipulação relativa a segurança consiste em uma identidade móvel para o UE, uma capacidade de segurança de UE indicando um ou mais algoritmos de segurança NAS suportados pelo UE, um tipo de registro e um identificador de conjunto de chave de segurança para um contexto de segurança NAS.
14. Elemento de rede, de acordo com a reivindicação 9, caracterizado pelo fato de que: a resposta compreende uma mensagem de comando de modo de segurança que indica o algoritmo de segurança NAS e o identificador de conjunto de chave de segurança; e a mensagem NAS subsequente compreende uma mensagem completa de modo de segurança tendo o recipiente de mensagem NAS que contém a mensagem NAS inicial criptografada com base no algoritmo de segurança NAS.
15. Método caracterizado pelo fato de que compreende: iniciar um procedimento de Non-Access Stratum (NAS) em múltiplas fases para estabelecer uma sessão de comunicação NAS entre o equipamento de usuário (UE) e um elemento de rede de uma rede móvel, em que, em uma primeira fase do procedimento NAS, a referida iniciação compreende: construir uma primeira mensagem NAS inicial incluindo um primeiro conjunto de Elementos de Informação (IEs) de protocolo NAS que são designados para manipulação relativa a segurança; enviar a primeira mensagem NAS inicial para o elemento de rede; e receber uma resposta do elemento de rede que inclui um algoritmo de segurança NAS e identificador de conjunto de chave de segurança associado a um contexto de segurança NAS para uso pelo UE, e em que, em uma segunda fase do procedimento NAS, a referida iniciação compreende: construir uma mensagem NAS subsequente, a mensagem NAS subsequente incluindo uma segunda mensagem NAS inicial encapsulada dentro de um IE de recipiente de mensagem NAS, a segunda mensagem NAS inicial definindo um mesmo tipo de mensagem que a primeira mensagem NAS inicial e incluindo um segundo conjunto de IEs de protocolo NAS para o procedimento NAS que é diferente do primeiro conjunto de IEs de protocolo NAS; e enviar a mensagem NAS subsequente para o elemento de rede.
16. Método caracterizado pelo fato de que compreende: fazer um elemento de rede de uma rede móvel executar um procedimento de Non-Access Stratum (NAS) em múltiplas fases para estabelecer uma sessão de comunicação NAS entre o equipamento de usuário
(UE) e o elemento de rede, em que, em uma primeira fase do procedimento NAS, o referido fazer um elemento de rede executar compreende: receber, do UE, uma primeira mensagem NAS inicial incluindo um primeiro conjunto de Elementos de Informação (IEs) de protocolo NAS que são designados para manipulação relativa a segurança; construir uma resposta à primeira mensagem NAS inicial que inclui um algoritmo de segurança NAS e um identificador de conjunto de chave de segurança associado a um contexto de segurança NAS para uso pelo UE; e enviar, para o UE, a resposta à primeira mensagem NAS inicial, e em que, em uma segunda fase do procedimento NAS, o referido fazer um elemento de rede executar compreende: construir uma mensagem NAS subsequente, a mensagem NAS subsequente incluindo uma segunda mensagem NAS inicial encapsulada dentro de um IE de recipiente de mensagem NAS, a segunda mensagem NAS inicial definindo um mesmo tipo de mensagem que a primeira mensagem NAS inicial e incluindo um segundo conjunto de IEs de protocolo NAS para o procedimento NAS que é diferente do primeiro conjunto de IEs de protocolo NAS; e enviar a mensagem NAS subsequente para o elemento de rede.
17. Equipamento de usuário (UE) caracterizado pelo fato de que compreende: pelo menos um processador; e pelo menos uma memória incluindo código de programa de computador; a pelo menos uma memória e o código de programa de computador sendo configurados para, com o pelo menos um processador, fazer o UE iniciar e realizar um Non-Access Stratum (NAS) para estabelecer uma sessão de comunicação NAS entre o UE e um elemento de rede de uma rede móvel;
em que a pelo menos uma memória e o código do programa de computador são configurados, com o pelo menos um processador, para: determinar que existe um contexto de segurança NAS para uso pelo UE; construir uma primeira mensagem NAS inicial, a primeira mensagem NAS inicial incluindo um primeiro conjunto de Elementos de Informação (IEs) de protocolo NAS que são designados para manipulação relativa à segurança, a primeira mensagem NAS inicial incluindo ainda uma segunda mensagem NAS inicial encapsulada dentro de um IE de recipiente de mensagem NAS, a segunda mensagem NAS inicial definindo um mesmo tipo de mensagem que a primeira mensagem NAS inicial e incluindo um segundo conjunto de IEs de protocolo NAS para o procedimento NAS, que é diferente do primeiro conjunto de IEs de protocolo NAS; e enviar a primeira mensagem NAS inicial para o elemento de rede.
18. UE, de acordo com a reivindicação 17, caracterizado pelo fato de que a segunda mensagem NAS inicial é criptografada dentro do recipiente de mensagem NAS usando um algoritmo de segurança NAS associado ao contexto de segurança NAS.
19. UE, de acordo com a reivindicação 17, caracterizado pelo fato de que o segundo conjunto de IEs de protocolo NAS inclui os elementos de informação de protocolo NAS no primeiro conjunto de IEs de protocolo NAS e um ou mais elementos de informação de protocolo NAS adicionais.
20. Elemento de rede de uma rede de mobilidade, caracterizado pelo fato de que compreende: pelo menos um processador; e pelo menos uma memória incluindo código de programa de computador, a pelo menos uma memória e o código de programa de computador sendo configurados para, com o pelo menos um processador, fazer o elemento de rede realizar um procedimento de Non-Access Stratum
(NAS) para estabelecer uma sessão de comunicação NAS entre equipamento de uisuário (UE) e o elemento de rede; em que a pelo menos uma memória e o código do programa de computador são configurados, com o pelo menos um processador, para: receber uma primeira mensagem NAS inicial, do UE, a primeira mensagem NAS inicial incluindo um primeiro conjunto de Elementos de Informação (IEs) de protocolo NAS que são designados para manipulação relativa à segurança, a primeira mensagem NAS inicial incluindo ainda uma segunda mensagem NAS inicial encapsulada dentro de um IE de recipiente de mensagem NAS, a segunda mensagem NAS inicial definindo um mesmo tipo de mensagem que a primeira mensagem NAS inicial e incluindo um segundo conjunto de IEs de protocolo NAS para o procedimento NAS, que é diferente do primeiro conjunto de IEs de protocolo NAS.
21. Elemento de rede, de acordo com a reivindicação 20, caracterizado pelo fato de que a segunda mensagem NAS inicial é criptografada dentro do recipiente de mensagem NAS usando um algoritmo de segurança NAS associado ao contexto de segurança NAS.
22. Elemento de rede, de acordo com a reivindicação 20, caracterizado pelo fato de que o segundo conjunto de IEs de protocolo NAS inclui os elementos de informação de protocolo NAS no primeiro conjunto de IEs de protocolo NAS e um ou mais elementos de informação de protocolo NAS adicionais.
23. Método caracterizado pelo fato de que compreende: fazer o equipamento de usuário (UE) iniciar e executar um procedimento de Non-Access Stratum (NAS) para estabelecer uma sessão de comunicação NAS entre o UE e um elemento de rede de uma rede móvel; em que o referido fazer compreende: determinar que existe um contexto de segurança NAS para uso pelo UE; construir uma primeira mensagem NAS inicial, a primeira mensagem NAS inicial incluindo um primeiro conjunto de Elementos de Informação (IEs) de protocolo NAS que são designados para manipulação relativa à segurança, a primeira mensagem NAS inicial incluindo ainda uma segunda mensagem NAS inicial encapsulada dentro de um IE de recipiente de mensagem NAS, a segunda mensagem NAS inicial definindo um mesmo tipo de mensagem que a primeira mensagem NAS inicial e incluindo um segundo conjunto de IEs de protocolo NAS para o procedimento NAS, que é diferente do primeiro conjunto de IEs de protocolo NAS; e enviar a primeira mensagem NAS inicial para o elemento de rede.
24. Método caracterizado pelo fato de que compreende: fazer um elemento de rede participar da realização de um procedimento de Non-Access Stratum (NAS) para estabelecer uma sessão de comunicação NAS entre o equipamento de usuário (UE) e o elemento de rede; em que o referido fazer compreende: receber uma primeira mensagem NAS inicial, do UE, a primeira mensagem NAS inicial incluindo um primeiro conjunto de Elementos de Informação (IEs) de protocolo NAS que são designados para manipulação relativa à segurança, a primeira mensagem NAS inicial incluindo ainda uma segunda mensagem NAS inicial encapsulada dentro de um IE de recipiente de mensagem NAS, a segunda mensagem NAS inicial definindo um mesmo tipo de mensagem que a primeira mensagem NAS inicial e incluindo um segundo conjunto de IEs de protocolo NAS para o procedimento NAS, que é diferente do primeiro conjunto de IEs de protocolo NAS.
REDE DE NÚCLEO Petição 870210046036, de 21/05/2021, pág. 58/78
ELEMENTO
DE REDE
ELEMENTO ELEMENTO
DE REDE DE REDE 1/20 REDE DE ACESSO DE RÁDIO (RAN)
REDE EPC
EQUIPAMENTO DE USUÁRIO (UE) 110
INTERFACE DE RÁDIO
UNIDADE RF CHAVE(S) PÚBLICA(S) DE
HPLMN
PROCESSADOR
CONTROLADOR NAS
BATERIA
MEMÓRIA
INSTRUÇÕES
INTERFACE DE USUÁRIO
MOSTRADOR TECLADO
ELEMENTO DE REDE
GERENCIADOR DE
SEGURANÇA
INTERFACE DE
REDE
GERENCIADOR
DE REGISTRO
PROCESSADOR MEMÓRIA
INÍCIO
INICIAR UM PROCEDIMENTO NAS PARA ESTABELECER UMA SESSÃO
DE COMUNICAÇÃO NAS ENTRE UM UE E UM ELEMENTO DE REDE IDENTIFICAR UM SUBCONJUNTO DE IEs DE PROTOCOLO NAS QUE SÃO
DESIGNADOS PARA MANIPULAÇÃO RELATIVA À SEGURANÇA INSERIR O SUBCONJUNTO DE IEs DE PROTOCOLO NAS EM UMA
MENSAGEM NAS INICIAL CRIPTOGRAFAR O SUBCONJUNTO DE IEs DE PROTOCOLO NAS NA
MENSAGEM NAS INICIAL USANDO UMA CHAVE PÚBLICA DA HPLMN
FASE
ENVIAR A MENSAGEM NAS INICIAL PARA UM ELEMENTO DE REDE
AUTENTICAÇÃO
RECEBER UMA RESPOSTA DO ELEMENTO DE REDE QUE INDICA ALORITMO(S) DE SEGURANÇA NAS INSERIR OS IEs DE PROTOCOLO NAS NA MENSAGEM NAS INICIAL
INSERIR A MENSAGEM NAS INICIAL EM UM RECIPIENTE DE MENSAGEM
NAS DE UMA MENSAGEM NAS SUBSEQUENTE
FASE
CRIPTOGRAFAR O RECIPIENTE DE MENSAGEM NAS DA MENSAGEM NAS SUBSEQUENTE USANDO O(S) ALGORITMO(S) DE SEGURANÇA NAS
ENVIAR A MENSAGEM NAS SUBSEQUENTE PARA O ELEMENTO DE
REDE
BR112021005537-1A 2018-09-24 2019-09-24 sistemas e método para proteção de segurança de mensagens nas BR112021005537A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862735732P 2018-09-24 2018-09-24
US62/735.732 2018-09-24
PCT/FI2019/050685 WO2020065132A1 (en) 2018-09-24 2019-09-24 Systems and method for security protection of nas messages

Publications (1)

Publication Number Publication Date
BR112021005537A2 true BR112021005537A2 (pt) 2021-06-29

Family

ID=69950018

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112021005537-1A BR112021005537A2 (pt) 2018-09-24 2019-09-24 sistemas e método para proteção de segurança de mensagens nas

Country Status (14)

Country Link
US (1) US11689920B2 (pt)
EP (1) EP3857935A4 (pt)
JP (2) JP7495396B2 (pt)
KR (4) KR102466422B1 (pt)
CN (1) CN112930691A (pt)
AU (2) AU2019348793A1 (pt)
BR (1) BR112021005537A2 (pt)
CA (1) CA3113894A1 (pt)
CL (1) CL2021000730A1 (pt)
CO (1) CO2021005229A2 (pt)
MX (1) MX2021003363A (pt)
PH (1) PH12021550635A1 (pt)
SG (1) SG11202102969WA (pt)
WO (1) WO2020065132A1 (pt)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220159457A1 (en) * 2019-03-13 2022-05-19 Telefonaktiebolaget Lm Ericsson (Publ) Providing ue capability information to an authentication server
US11470017B2 (en) * 2019-07-30 2022-10-11 At&T Intellectual Property I, L.P. Immersive reality component management via a reduced competition core network component
EP4018725A4 (en) * 2019-11-06 2022-10-26 Samsung Electronics Co., Ltd. METHOD AND APPARATUS FOR CONTROLLING A NETWORK SLOT IN A WIRELESS COMMUNICATION SYSTEM
US11574045B2 (en) 2019-12-10 2023-02-07 Winkk, Inc. Automated ID proofing using a random multitude of real-time behavioral biometric samplings
US11936787B2 (en) 2019-12-10 2024-03-19 Winkk, Inc. User identification proofing using a combination of user responses to system turing tests using biometric methods
US11553337B2 (en) 2019-12-10 2023-01-10 Winkk, Inc. Method and apparatus for encryption key exchange with enhanced security through opti-encryption channel
US11928193B2 (en) 2019-12-10 2024-03-12 Winkk, Inc. Multi-factor authentication using behavior and machine learning
US11328042B2 (en) 2019-12-10 2022-05-10 Winkk, Inc. Automated transparent login without saved credentials or passwords
GB2592356B (en) * 2020-02-12 2022-07-27 Samsung Electronics Co Ltd Network security
CN114915966A (zh) * 2021-02-10 2022-08-16 华为技术有限公司 配置演进分组系统非接入层安全算法的方法及相关装置
US20220394023A1 (en) * 2021-06-04 2022-12-08 Winkk, Inc Encryption for one-way data stream
TWI829331B (zh) * 2021-09-07 2024-01-11 新加坡商聯發科技(新加坡)私人有限公司 當ue同時支持3gpp和非3gpp接入時改進5g nas安全上下文的處理
GB2620416A (en) * 2022-07-07 2024-01-10 Canon Kk Obfuscation of IES in management frames using container IES with encrypted information section
WO2024025391A1 (en) * 2022-07-28 2024-02-01 Samsung Electronics Co., Ltd. Method and device for provision key for base station verification in wireless communication system
WO2024035434A1 (en) * 2022-08-10 2024-02-15 Nokia Technologies Oy Security in a distributed nas terminations architecture

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE550893T1 (de) 2004-08-27 2012-04-15 Nokia Siemens Networks Gmbh Methode zum dezentralisieren des zählens von irregulär abgebauten verbindungen auf zellbasis in digitalen zellularen kommunikationsnetzwerken
CN101094065B (zh) 2006-06-23 2011-09-28 华为技术有限公司 无线通信网络中的密钥分发方法和系统
US20080076392A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for securing a wireless air interface
US7995994B2 (en) * 2006-09-22 2011-08-09 Kineto Wireless, Inc. Method and apparatus for preventing theft of service in a communication system
US8532614B2 (en) 2007-10-25 2013-09-10 Interdigital Patent Holdings, Inc. Non-access stratum architecture and protocol enhancements for long term evolution mobile units
US20090264126A1 (en) * 2008-04-18 2009-10-22 Amit Khetawat Method and Apparatus for Support of Closed Subscriber Group Services in a Home Node B System
US8638936B2 (en) 2008-08-15 2014-01-28 Samsung Electronics Co., Ltd. Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system
KR101475349B1 (ko) * 2008-11-03 2014-12-23 삼성전자주식회사 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
CN102104987B (zh) 2009-12-21 2014-03-12 华为技术有限公司 一种接口数据处理方法及设备
KR101519707B1 (ko) 2010-04-02 2015-05-12 인터디지탈 패튼 홀딩스, 인크 허용된 폐쇄 가입자 그룹 리스트의 금지
TW201807961A (zh) * 2012-09-27 2018-03-01 內數位專利控股公司 在噓擬網路中端對端架構、api框架、發現及存取
CN105532026A (zh) * 2013-10-28 2016-04-27 华为技术有限公司 一种安全上下文的提供、获取方法及设备
US10219305B2 (en) 2013-11-21 2019-02-26 Bao Tran Communication apparatus
EP3078236A1 (en) 2013-12-06 2016-10-12 Interdigital Patent Holdings, Inc. Layered connectivity in wireless systems
US20170171752A1 (en) * 2015-12-14 2017-06-15 Qualcomm Incorporated Securing signaling interface between radio access network and a service management entity to support service slicing
WO2017141749A1 (en) * 2016-02-17 2017-08-24 Nec Corporation Selection of control plane and user plane for the data transmission
KR102088717B1 (ko) 2016-04-08 2020-03-13 한국전자통신연구원 비접속계층 기반 액세스 방법 및 이를 지원하는 단말
US10334435B2 (en) * 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security
US20180083972A1 (en) * 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system
US10440096B2 (en) * 2016-12-28 2019-10-08 Intel IP Corporation Application computation offloading for mobile edge computing
KR101748246B1 (ko) * 2017-02-28 2017-06-16 삼성전자주식회사 이동 통신 시스템에서 비계층 프로토콜을 이용한 통신 지원 방법 및 장치
EP3622737B1 (en) 2017-05-08 2020-07-29 Telefonaktiebolaget LM Ericsson (Publ) Methods providing security for multiple nas connections using separate counts and related network nodes and wireless terminals
US11356850B2 (en) 2017-07-24 2022-06-07 Telefonaktiebolaget Lm Ericson (Publ) Methods providing NAS connection identifications and related wireless terminals and network nodes
US10470042B2 (en) 2017-07-27 2019-11-05 Nokia Technologies Oy Secure short message service over non-access stratum
US11849319B2 (en) 2017-07-28 2023-12-19 Telefonaktiebolaget Lm Ericsson (Publ) Methods providing non-3GPP access using access network keys and related wireless terminals and network nodes
CN109788474A (zh) 2017-11-14 2019-05-21 华为技术有限公司 一种消息保护的方法及装置
CN110121196B (zh) 2018-02-05 2021-11-02 大唐移动通信设备有限公司 一种安全标识管理方法及装置
CN110574407B (zh) 2018-03-06 2023-04-04 联发科技(新加坡)私人有限公司 用于保护初始非接入层消息的用户设备和方法
TWI696394B (zh) 2018-06-25 2020-06-11 新加坡商 聯發科技(新加坡)私人有限公司 5g行動通訊中附加安全能力指示方法及其裝置
CN112534850B (zh) 2018-08-13 2024-05-28 瑞典爱立信有限公司 无线通信网络中的非接入层通信的保护
US20210194933A1 (en) 2018-08-20 2021-06-24 Telefonaktiebolaget Lm Ericsson (Publ) Negotiation of security features
CN112703754A (zh) 2018-09-19 2021-04-23 苹果公司 5g系统中的初始非接入层协议消息的保护

Also Published As

Publication number Publication date
KR20210064334A (ko) 2021-06-02
EP3857935A1 (en) 2021-08-04
JP7495396B2 (ja) 2024-06-04
CL2021000730A1 (es) 2021-09-24
KR102466422B1 (ko) 2022-11-14
KR20220156097A (ko) 2022-11-24
EP3857935A4 (en) 2023-01-04
CO2021005229A2 (es) 2021-04-30
US11689920B2 (en) 2023-06-27
AU2019348793A1 (en) 2021-04-29
KR102369596B1 (ko) 2022-03-02
WO2020065132A1 (en) 2020-04-02
PH12021550635A1 (en) 2021-10-11
SG11202102969WA (en) 2021-04-29
AU2023201713A1 (en) 2023-04-20
CA3113894A1 (en) 2020-04-02
JP2024073446A (ja) 2024-05-29
KR20220030319A (ko) 2022-03-10
KR102601585B1 (ko) 2023-11-13
US20220038897A1 (en) 2022-02-03
AU2023201713B2 (en) 2024-06-13
JP2022502908A (ja) 2022-01-11
MX2021003363A (es) 2021-05-27
CN112930691A (zh) 2021-06-08
KR20230160406A (ko) 2023-11-23

Similar Documents

Publication Publication Date Title
US11689920B2 (en) System and method for security protection of NAS messages
CN110786031B (zh) 用于5g切片标识符的隐私保护的方法和系统
US11038923B2 (en) Security management in communication systems with security-based architecture using application layer security
US20220201482A1 (en) Methods and apparatus for secure access control in wireless communications
US20170171752A1 (en) Securing signaling interface between radio access network and a service management entity to support service slicing
US11849318B2 (en) Wireless communication network authentication
US11937077B2 (en) Systems and method for secure updates of configuration parameters provisioned in user equipment
WO2018170617A1 (zh) 一种基于非3gpp网络的入网认证方法、相关设备及系统
US20230292121A1 (en) System and method for security protection of nas messages
RU2772709C1 (ru) Системы и способ защиты безопасности сообщений nas
GB2572326A (en) Wireless communication network authentication