CN109076079B - 用于增强的非接入层安全的方法、装置和计算机可读介质 - Google Patents
用于增强的非接入层安全的方法、装置和计算机可读介质 Download PDFInfo
- Publication number
- CN109076079B CN109076079B CN201780024982.XA CN201780024982A CN109076079B CN 109076079 B CN109076079 B CN 109076079B CN 201780024982 A CN201780024982 A CN 201780024982A CN 109076079 B CN109076079 B CN 109076079B
- Authority
- CN
- China
- Prior art keywords
- message
- wireless device
- network
- nas
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
用户设备(UE)可以被配置为向网络发送注册消息,以建立用于网络和UE之间的非接入层(NAS)消息的安全连接,该安全连接至少部分地基于注册消息中包括的UE标识符和UE的安全能力。然后,UE可以通过该安全连接与网络交换NAS消息。UE还可以响应于注册消息,建立与网络的认证协议并且部分地基于该认证协议加密后续NAS消息。
Description
交叉引用
本专利申请要求享有Lee等人、2016年10月5日提交的、名称为“ENHANCED NON-ACCESS STRATUM SECURITY”的美国专利申请No.15/286,002以及Lee等人、2016年4月27日提交的、名称为“ENHANCED NON-ACCESS STRATUM SECURITY”的美国临时专利申请No.62/328,430的优先权,这些申请中的每一个被转让给本申请受让人。
技术领域
下文一般地涉及无线通信,并且更具体地涉及增强的非接入层(NAS)安全。
背景技术
无线通信系统被广泛地部署,以提供诸如语音、视频、分组数据、消息传送、广播等各种类型的通信内容。这些系统能够通过共享可用的系统资源(例如,时间、频率、和功率)来支持与多个用户的通信。这种多址系统的例子包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、以及正交频分多址(OFDMA)系统。无线多址通信系统可以包括多个基站,各自同时支持多个通信设备的通信,该多个通信设备可以各自被称为用户设备(UE)。
因此,UE可以加入与网络的通信。一些网络通信可以在UE和核心网之间,核心网可以包括用于促进网络通信的协议栈。在核心网协议栈中使用的一个功能层是NAS层。NAS层是一组协议,并且通常用于在UE和移动管理实体(MME)之间传送非无线电信令以用于接入网络(比如,长期演进(LTE)网络或演进通用移动电话系统(UMTS)陆地无线接入网络(E-UTRAN))。在一些例子中,NAS层可以用来管理与UE的通信会话的建立,并且用于在UE移动时维持与该UE的连续通信。在一些例子中,当UE向NAS层发送附着请求(attach request)时,可以提供网络接入。NAS层可以通过允许UE附着到网络来进行响应。
在一些实例中,可以保护网络通信。受保护的通信可以包括含有私人或秘密信息的通信。然而,一些类型的网络通信可能缺乏保护或安全。具体来说,在UE和核心网之间商定了安全算法之前传送的消息可能缺乏充分的保护。作为另一个例子,用于建立通信的消息可能同样缺乏充分的保护。未保护的NAS消息,特别是用于将UE附着到网络的那些消息,可以是这种未保护的通信的例子。未保护的通信可能会被例如攻击者利用。
发明内容
用户设备(UE)可以被配置为基于认证与密钥协商(AKA)来建立与核心网的安全的非接入层(NAS)连接。为此,UE可以向网络发送初始注册请求。注册请求在其内容上可以是有限制的。例如,注册请求可以被限制为包括UE的标识和UE的安全能力。其它信息,包括UE希望保护或通过安全连接来发送的信息,可以不被包括在注册请求中,而是可以替代地被包括在后续安全传输中。例如,在执行了AKA过程并且建立了安全NAS连接之后,UE可以通过安全NAS连接来执行与网络的附着过程。因为附着过程是通过安全连接,所以附着过程可以包括用户可能想要保护的附加信息。可以将附着请求与NAS安全模式完成消息一起从UE发送到网络。在成功注册之后并且在该UE的后续重新注册尝试中,已建立的NAS消息安全性可以应用于不同UE工作模式中的后续NAS消息。
描述了一种无线通信的方法。该方法可以包括向网络发送注册消息以建立用于该网络和无线设备之间的至少NAS消息的安全连接,该安全连接至少部分地基于注册消息中包括的无线设备标识符和无线设备的安全能力,以及通过该安全连接与网络交换NAS消息。
描述了一种用于无线通信的装置。该装置可以包括用于向网络发送注册消息以建立用于该网络和无线设备之间的至少NAS消息的安全连接的单元,该安全连接至少部分地基于注册消息中包括的无线设备标识符和无线设备的安全能力,以及用于通过该安全连接与网络交换NAS消息的单元。
描述了进一步的装置。该装置可以包括处理器、与该处理器电子通信的存储器、以及存储在该存储器中的指令。该指令可以是可操作以使得处理器向网络发送注册消息以建立用于该网络和无线设备之间的至少NAS消息的安全连接,该安全连接至少部分地基于注册消息中包括的无线设备标识符和无线设备的安全能力,以及通过该安全连接与网络交换NAS消息。
描述了一种用于无线通信的非暂时性计算机可读介质。该非暂时性计算机可读介质可以包括使得处理器进行以下操作的指令:向网络发送注册消息以建立用于该网络和无线设备之间的至少NAS消息的安全连接,该安全连接基于注册消息中包括的无线设备标识符和无线设备的安全能力,以及通过该安全连接与网络交换NAS消息。
在以上描述的方法、装置、或非暂时性计算机可读介质的一些例子中,交换NAS消息可以包括发送用于接入网络的附着请求。在以上描述的方法、装置、或非暂时性计算机可读介质的一些例子中,附着请求被背负到发送到网络的安全模式完成消息。在以上描述的方法、装置、或非暂时性计算机可读介质的一些例子中,注册消息是附着请求消息、跟踪区域更新(TAU)请求消息、或服务请求消息。
以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还包括处理、特征、单元、或指令以用于响应于注册消息来执行与网络的相互认证和密钥协商。以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元、或指令以用于部分地基于作为与网络的成功认证的结果而建立的密钥协商来加密后续NAS消息。
以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元、或指令以用于进入与网络的注销状态。以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元、或指令以用于在注销状态中时发送附着请求,该附着请求是在相互的认证和密钥协商下被加密和完整性保护的。
以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元或指令以用于进入与网络的注册状态。以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元或指令以用于在注册状态中时采用根据相互认证和密钥协商的加密和完整性保护来发送后续NAS消息。
以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元或指令以用于进入与网络的空闲状态。以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元或指令以用于在退出空闲状态时发送服务请求,该服务请求包括服务请求的第一部分和服务请求的第二部分,该第一部分具有基于在与网络的成功认证期间建立的安全上下文的完整性保护,第二部分具有基于安全上下文的加密和完整性保护。
在以上描述的方法、装置、或非暂时性计算机可读介质的一些例子中,第一部分包括无线设备标识符或密钥集合标识符中的至少一个。
以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元或指令以用于发送附着请求、服务请求、或TAU消息。以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元或指令以用于接收与所发送的附着请求、服务请求、或TAU消息相关联的拒绝消息,其中该拒绝消息未被基于在与网络的成功认证期间建立的安全上下文来加密或完整性保护。以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元或指令以用于向网络发送第二注册消息,以基于第二注册消息中包括的无线设备标识符和无线设备的安全能力来与网络建立安全性。
以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元或指令以用于在接收到拒绝消息之后等待预定的时间量。以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元或指令以用于在发送第二注册消息之前重新发送先前发送的附着请求、服务请求、或TAU消息。
在以上描述的方法、装置、或非暂时性计算机可读介质的一些例子中,执行相互认证和密钥协商可以包括无线设备和网络部件之间的通信,该网络部件被配置用于使NAS消息安全。
以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括计算注册请求的哈希值,在所发送的注册消息之后接收来自网络的注册请求的哈希值,以及确定计算的哈希值和接收的哈希值的数值是否匹配。一些例子还可以包括当确定计算的和接收的哈希值数值不匹配时,重新发送注册消息内包含的至少一个信息单元。一些方法还可以包括当确定计算的和接收的哈希值数值不匹配时,向网络重新发送注册消息。
描述了一种无线通信的方法。该方法可以包括接收来自无线设备的注册消息以建立用于无线设备和网络之间的至少NAS消息的安全连接,该安全连接至少部分地基于注册消息中包括的无线设备标识符和无线设备的安全能力,以及通过该安全连接与无线设备交换NAS消息。
描述了一种用于无线通信的装置。该装置可以包括用于接收来自无线设备的注册消息以建立用于无线设备和网络之间的至少NAS消息的安全连接的单元,该安全连接至少部分地基于注册消息中包括的无线设备标识符和无线设备的安全能力,以及用于通过该安全连接与无线设备交换NAS消息的单元。
描述了进一步的装置。该装置可以包括处理器、与该处理器电子通信的存储器、和存储在该存储器中的指令。该指令可以是可操作以使得处理器接收来自无线设备的注册消息以建立用于无线设备和网络之间的至少NAS消息的安全连接,该安全连接至少部分地基于注册消息中包括的无线设备标识符和无线设备的安全能力,以及通过该安全连接与无线设备交换NAS消息。
描述了一种用于无线通信的非暂时性计算机可读介质。该非暂时性计算机可读介质可以包括用于使得处理器进行以下操作的指令:接收来自无线设备的注册消息以建立用于无线设备和网络之间的至少NAS消息的安全连接,该安全连接基于注册消息中包括的无线设备标识符和无线设备的安全能力,以及通过该安全连接与无线设备交换NAS消息。
在以上描述的方法、装置、或非暂时性计算机可读介质的一些例子中,交换NAS消息可以包括接收来自UE的用于接入网络的附着请求。在以上描述的方法、装置、或非暂时性计算机可读介质的一些例子中,附着请求被背负到发送到网络的安全模式完成消息。在以上描述的方法、装置、或非暂时性计算机可读介质的一些例子中,注册消息是附着请求消息。
以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元、或指令以用于响应于注册消息来执行与无线设备的相互认证和密钥协商。以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元、或指令以用于部分地基于作为与无线设备的成功认证的结果而建立的密钥协商来加密后续NAS消息。
以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元、或指令以用于接收附着请求、服务请求、或TAU消息。以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元或指令以用于发送与所接收的附着请求、服务请求、或TAU消息相关联的拒绝消息,其中该拒绝消息未被基于在与无线设备的成功认证期间建立的安全上下文来加密或完整性保护。以上描述的方法、装置、或非暂时性计算机可读介质的一些例子还可以包括处理、特征、单元或指令以用于从无线设备接收第二注册消息,以基于第二注册消息中包括的无线设备标识符和无线设备的安全能力来与无线设备建立安全性。
在以上描述的方法、装置、或非暂时性计算机可读介质的一些例子中,执行相互认证和密钥协商包括无线设备和网络部件之间的通信,该网络部件被配置用于使NAS消息安全。
附图说明
图1示出了无线通信系统的例子,该无线通信系统支持根据本公开方面的增强的非接入层(NAS)安全;
图2A和2B示出了流程图,该流程图示例了发送未保护的NAS消息中的问题;
图3A和3B示出了流程图,该流程图示例了根据本公开的方面用于保护用户设备(UE)发送的NAS消息的安全连接协议;
图4A和4B示出了流程图,该流程图示例了根据本公开的方面在不同模式中的后续NAS消息保护的实例;
图5示出了流程图,该流程图示例了根据本公开的方面当完整性验证失败时重新注册的过程;
图6-8示出了无线设备的方框图,该无线设备支持根据本公开方面增强的NAS安全;
图9示出了包括UE的系统的方框图,该UE支持根据本公开的方面的增强的NAS安全;
图10-12示出了无线设备的方框图,该无线设备支持根据本公开的方面的增强的NAS安全;
图13示出了网络设备的方框图,该网络设备支持根据本公开的方面的增强的NAS安全;以及
图14-17示出了根据本公开的方面用于增强的NAS安全的方法。
具体实施方式
非接入层(NAS)层(layer)是一组协议,其用于在UE和移动管理单元(MME)之间传送非无线电信令以用于接入网络(比如,长期演进(LTE)网络或演进通用移动电话系统(UNTS)陆地无线接入网络(E-UTRAN))。作为NAS的一部分的协议的主要功能可以包括支持UE移动性、演进分组交换系统(EPS)承载管理、认证、安全控制、以及连接管理。UE可以经由UE和NAS之间发送的消息来与NAS通信。典型地,UE和MME之间的第一NAS消息可以是附着请求,尽管其它消息类型可以包括服务请求或连接请求消息。如果UE对网络来说是新的,则MME还可以要求UE的身份(例如,国际移动用户标识(IMSI))。
UE和MME之间发送的初始消息可能是未被保护的。因此,这些初始消息的内容可以被外方和攻击者读取(例如,通过解码无线介质上发送的消息或通过伪造基站)。因此,外方或攻击者可以发现关于UE或其用户的私人信息,或者甚至可以利用截获的信息并且禁用对UE的某些服务。
因此,无线系统可以包括NAS安全过程,以消除攻击者或其它第三方获得私人信息的能力。NAS安全过程可以利用UE和网络之间的注册协议,其相对传统注册或附着协议减少了不安全信息的数量。一旦NAS连接是安全的,UE和网络可以开始附着过程并且随后使用安全NAS连接来交换信息。如本文所解释的,这个技术的一些好处可以包括消除攻击(比如,消除打压(bidding-down)攻击)和私密增强,这些好处都可以在相对至少一些第四代(4G)附着过程而言没有额外消息传送开销的情况下来提供。
在无线通信系统的上下文中初步描述了本公开的方面。针对以下步骤描述了具体例子:发送注册请求以用于在UE和网络之间建立安全NAS连接,以及通过该安全NAS连接发起附着过程。通过并且参照与增强NAS安全相关的装置图、系统图、和流程图进一步说明和描述了本公开的方面。
图1示出了根据本公开各个方面的无线通信系统100的例子。无线通信系统100包括基站105、UE 115、和核心网130。在一些例子中,无线通信系统100可以是长期演进(LTE)/LTE-增强(LTE-A)网络。在一些例子中,无线通信系统100可以是第五代(5G)生态系统,其特征为高频通信系统,比如用于移动通信的毫米波(mmW)系统。为了促进安全NAS通信,无线通信系统100可以包括UE 115,其发送注册请求以用于在UE 115和核心网络130之间建立安全NAS连接,然后通过安全NAS连接发起附着过程。
基站105可以经由一个或多个基站天线与UE 115进行无线通信。每个基站105可以针对各自的地理覆盖区域110提供通信覆盖。无线通信系统100中示出的通信链路125可以包括从UE 115到基站105的上行链路(UL)传输或从基站105到UE 115的下行链路(DL)传输。UE 115可以分散在整个无线通信系统100中,并且每个UE 115可以是静止的或移动的。UE115也可以被称为移动站、用户站、远程单元、无线设备、接入终端(AT)、手机、用户助理、客户端、或类似术语。UE 115也可以是蜂窝电话、无线调制解调器、手持设备、个人计算机、平板、个人电子设备、家用电器、汽车、机械类型通信(MTC)设备等。
在无线通信系统100的一些例子中,基站105或UE 115可以包括多个天线以用于运用天线分集方案来提高基站105和无线设备115之间的通信质量和可靠度。此外或可替代地,基站105或无线设备115可以运用多输入多输出(MIMO)技术,该技术可以利用多径环境来发送携带相同或不同编码数据的多个空间层。
基站105可以与核心网130以及相互之间进行通信。例如,基站105可以通过回程链路132(例如,S1等)与核心网130接口。基站105可以通过回程链路134(例如,X2等)直接地或者间接地(例如,通过核心网130)相互通信。基站105可以执行无线配置和调度以用于与UE115的通信,或者可以在基站控制器(未示出)的控制下工作。在一些例子中,基站105可以是宏小区、小小区、热点、等等。基站105也可以被称为eNodeB(eNB)。
在一个例子中,基站105可以通过S1接口连接到核心网130。核心网可以是演进分组核心(EPC),其可以包括至少一个移动管理实体(MME)、至少一个服务网关(S-GW)、以及至少一个分组数据网络(PDN)网关(P-GW)。MME可以是控制节点,其处理UE 115和EPC之间的信令。用户互联网协议(IP)分组可以通过S-GW传输,S-GW本身可以连接到P-GW。P-GW可以提供IP地址分配以及其它功能。P-GW可以连接到网络运营商的IP服务。运营商的IP服务可以包括互联网、内联网、IP多媒体子系统(IMS)、或分组交换(PS)流服务(PSS)。尽管NAS安全可以经由MME来提供,但是核心网130也可以包括被配置用于使NAS消息安全的独立部件。核心网130可以由电信架构的若干部件构成,其可以包括数据面和控制面。数据面可以携带网络用户业务,而控制面可以携带信令业务并且可以负责路由。
UE 115可以在与核心网130(例如,经由基站105)的通信期间使用各种标识符。例如,UE 115处的用户信息模块(SIM)可以是安全地存储UE的IMSI的集成电路(IC)以及用于标识和认证UE 115的相关密钥。SIM还可以包含唯一的串号(例如,IC卡标识(ID)(ICCID))、安全认证和加密信息、与本地网络相关的临时信息、可用服务列表、个人ID号(PIN)、以及用于PIN解锁的个人解锁码(PUK)。在一些情况中,SIM可以是嵌入在可拆除塑料卡上的电路。
UE 115和核心网130之间的通信可以包括NAS通信。如本文所解释的,NAS层是在UE115和核心网130之间的协议栈中使用的功能层,并且可以由位于核心网130的MME来实现。在一些例子中,UE 115和MME之间的第一NAS消息可以是附着请求。传统地,附着请求可以包括UE 115的ID,但是还可以包括与UE 115或其用户相关的其它信息。其它信息可以包括UE或其用户的私人信息。因此,如果在不安全的NAS通信(例如,未保护的NAS消息)中包括了私人信息,那么该私人信息可以被第三方读取,而该私人信息不旨在发给该第三方。不安全的NAS消息也可能受到截获以及其它恶意攻击。
图2A示出了流程图200,其示例了在发送未保护NAS消息中可能产生的问题。图2A描绘了UE 115-a和参与无线通信的伪基站105-a,其可以是参照图1描述的相应设备的例子。未保护的NAS消息可以被诸如伪基站105-a的攻击者截获并利用。未保护的NAS消息205是由UE 115-a发送的并且被伪基站105-a接收。然后,伪基站105-a可以从消息205中解析关于UE 115-a的私人信息,比如UE的能力和ID。
在另一实例中,伪基站105-a可以对UE 115-a发出拒绝服务(DoS)攻击。例如,伪基站105-a可以接收消息205中的跟踪区域更新(TAU)请求消息。在正常的TAU请求中,UE 115-a可以向UE的服务网络通知UE的当前位置,以便促进对UE 115-a的网络服务。然而,在这个场景中,伪基站105-a可以在拒绝消息210中拒绝来自UE 115-a的TAU请求,该拒绝消息210可以使UE 115-a认为通用用户标识模块(USIM)对EPS服务和非EPS服务是无效的直到UE115-a关闭或移除包含USIM的通用集成电路卡(UICC)。可能受到DoS攻击的未保护NAS消息包括附着拒绝、TAU拒绝、服务拒绝、以及网络发起的去附着请求消息。
图2B示出了流程图250,其示例了在发送未保护NAS消息中可能发生的另一问题。具体地,流程图250描绘了“打压攻击(bidding-down attack)”。图2B描绘了参与无线通信的UE 115-b、伪基站105-b、以及核心网130-a,其可以是参照图1描述的相应设备的例子。如在图2B中所示,核心网130-a可以包括多个部件,其包括可以参加NAS通信的控制面功能230。在图2B的例子中,UE 115-b以未保护NAS消息255的形式向伪基站105-b发出附着请求消息。未保护NAS消息255可以包含语音域优选信息和UE的用途设置,其向伪基站105-b通知了UE的语音呼叫能力。在消息操作步骤260,例如,伪基站105-b可以从未保护NAS消息255中去除这些能力,然后可以将诸如“额外更新类型”的信息单元改为“仅短消息服务(SMS)”。然后,伪基站105-b可以将改变的消息(以经操作的NAS消息265的形式)转发到UE的服务网络,核心网130-a。然后,核心网130-a可以接受该经操作的NAS消息265,并且使用该消息来执行与UE 115-b的授权过程以完成附着过程。因此,在这个场景下,核心网130-a可以配置UE115-b的简档,使得其仅支持SMS和数据服务。这样,UE 115-b将不能发送或接收语音呼叫。也可以应用打压攻击的其它例子。在一些例子中,可以利用伪基站105-b之外的其它无线设备用于打压攻击。
图3A示出了流程图300,其示例了用于保护UE 115-c-1发送的NAS消息的安全连接协议。在一些情况中,流程图300表示如参照图1-2描述的UE 115、基站105、或核心网130执行的技术的方面。在建立安全NAS连接中,UE 115-c-1可以向基站105-c-1发送注册请求305,其包含最少的UE能力信息。该最少的UE能力信息可以包括UE身份(例如,IMSI或私人移动用户身份(PMSI))和UE安全能力(例如,支持的加密和完整性保护算法)。然后,基站105-c-1可以经由转发的注册请求消息310将该信息转发到核心网130-b-1的部件(比如,控制面功能230-a-1)。当接收到消息310时,核心网130-b-1则可以开始与UE 115-c-1的认证和密钥协商(AKA)协议315。在一些例子中,如果UE 115-c-1使用核心网130-b-1未识别的临时身份,那么核心网130-b-1可以在与UE 115-c-1开始AKA协议315之前请求UE的身份。AKA协议315提供了用于UE 115-c-1和核心网130-b-1的相互认证的过程。AKA协议315可以包括专用的安全单元、实体、或与核心网130-b-1相关联的功能,其负责AKA协议315。在一些例子中,专用的安全单元可以是安全密钥管理功能(SKMF)。在其它例子中,专用安全单元可以是移动管理实体(MME)。
在建立AKA协议315之后,可以使用NAS安全模式命令(SMC)过程320以便建立UE115-c-1和核心网130-b-1之间的安全NAS连接(例如,经由控制面功能230-a-1)。NAS SMC过程320可以包括例如消息交换。在一个例子中,NAS SMC过程320可以包括从核心网130-b-1到UE 115-c-1的NAS SMC消息传输,以及UE 115-c-1经由NAS SMC完成消息进行响应,从而确保后续NAS消息根据AKA协议315来加密和安全保护。在UE 115-c-1和核心网130-b-1之间进行了成功的NAS SMC过程320之后,可以保护UE 115-c-1和核心网130-b-1之间的后续NAS消息,其包括加密和完整性保护。在一个例子中,一旦NAS连接是安全的,基站105-c-1可以向UE 115-c-1发送接入层(AS)SMC 335-a,以便激活AS中的安全以及在UE 115-c-1和基站105-c-1之间建立安全信道。在其它实例中,AS SMC 335-b可以在附着过程之后发送。
一旦NAS连接是安全的,UE 115-c-1还可以向基站105-c-1发送附着请求325。附着请求325可以包括注册请求305中未包括的UE 115-c-1的能力,并且可以用于请求服务(例如,语音数据、SMS等)。然后,基站105-c-1可以将附着请求325经由附着请求330转发到核心网130-b-1。当接收到附着请求330时,核心网130-b-1则可以建立与UE 115-c-1的无线通信会话。当建立了会话时,可以使用已建立的安全上下文来对UE 115-c-1和核心网130-b-1之间的后续NAS消息进行保护,如在安全通信340中所示的。
在一些实例中,注册请求305可以本身是或包括附着请求、跟踪区域更新(TAU)请求或服务请求。在这些实例中,UE 115-c-1可以计算注册请求305的哈希值。安全哈希算法(SHA)例如SHA-1、SHA-2或SHA-3可以用来计算该哈希值。UE 115-c-1可以可选地在注册请求中指示UE 115-c-1请求核心网130-b-1在响应中或其它后续消息(例如,NAS SMC消息)中发送注册请求消息的哈希值。核心网130-b-1的部件(比如MME)可以在从核心网130-b-1到UE 115-c-1的NAS SMC消息中包括注册请求305的哈希值。如果MME返回的数值与UE 115-c-1计算的数值相同,则核心网130-b-1和UE 115-c-1之间的通信可以正常进行。如果数值不匹配,则UE 115-c-1在NAS SMC完成消息中包括在注册请求355中发送的且将会保护的信息单元(IE)。在另一个例子中,如果数值不匹配,则UE 115-c-2可以假设注册请求355被破坏并且重新发起注册,比如参照附图5所解释的。在另一例子中,MME可以在NAS SMC消息中包括指示,以便告诉UE 115-c-2重新发送该IE。然后,UE 115-c-2可以发送NAS SMC完成消息,其可以包括受保护的IE。
图3B示出了流程图350,其示例了用于保护UE 115-c-2发送的NAS消息的安全连接协议。在一些情况中,流程图350可以表示如参照附图1-2所描述的由UE 115、基站105、或核心网130执行的技术的方面。流程图350(图3B中)不同于流程图300(图3A中)的地方是相对于流程图300中使用的消息的数目减少了流程图350中使用的消息的数目。图3B的安全连接协议保持了与LTE中的NAS连接建立中使用的相同的消息数目。
在建立安全NAS连接中,UE 115-c-2可以向基站105-c-2发送包含最少UE能力信息的注册请求355。该最少UE能力信息可以包括UE身份(例如,IMSI或PMSI)和UE安全能力(例如,支持的加密和完整性保护算法)。然后,基站105-c-2可以经由转发的注册请求消息360将该信息转发到核心网130-b-2的部件(例如,控制面功能230-a-2)。当接收到消息360时,核心网130-b-2则可以开始与UE 115-c-2的认证和密钥协商(AKA)协议365。在一些例子中,如果UE 115-c-2使用未被核心网130-b-2识别的临时身份,则核心网130-b-2可以在开始与UE 115-c-2的AKA协议365之前请求UE的身份。AKA协议提供了用于UE 115-c-2和核心网130-b-2的相互认证的过程。AKA协议可以包括与负责AKA协议的核心网130-b-2相关联的专用安全单元、实体、或功能,比如SKMF单元。在其它例子中,专用安全单元可以是MME。
在建立AKA协议365之后,可以使用NAS SMC过程370来在UE 115-c-2和核心网130-b-2之间建立安全NAS连接。为了避免相比传统附着过程(比如在LTE附着过程中)增加消息计数,UE 115-c-2还可以在与NAS SMC过程370相同的传输中发送附着请求。具体地,可以与NAS SMC完成消息一起包括附着请求。传输370中包括的附着请求可以包括UE的能力和请求服务(例如,语音数据、SMS等)。
在UE 115-c-2和基站105-c-2之间进行了成功的NAS SMC过程370之后,UE 115-c-2、基站105-c-2和核心网130-b-2之间的后续NAS消息可以被保护,这包括加密和完整性保护。在接收到附着请求时,核心网130-b-2则可以建立与UE 115-c-2的无线通信会话。在建立了NAS SMC370之后,UE 115-c-2可以向基站105-c-2发送AS SMC 380,以便激活AS中的安全性并且在UE 115-c-2和基站105-c-2之间建立安全信道。当建立了会话时,如在安全通信385中所示,可以使用建立的安全上下文来保护UE 115-c-2和核心网130-b-2之间的所有后续NAS消息。
在一些实例中,注册请求355可以本身是或者包括附着请求、跟踪区域更新(TAU)请求、或服务请求。在这些实例中,UE 115-c-2可以计算注册请求355的哈希值。可以使用SHA来计算哈希值。UE 115-c-2可以可选地在注册请求中指明UE 115-c-2请求核心网130-b-2在响应或其它后续消息(例如,NAS SMC消息)中发送注册请求消息的哈希值。核心网130-b-2的部件(比如,MME)可以在从核心网130-b-2到UE 115-c-2的NSA SMC消息中包括注册请求355的哈希值。如果MME返回的数值与UE 115-c-2计算的数值相同,则核心网130-b-2和UE 115-c-2之间的通信可以正常进行。
在一个例子中,如果数值不匹配,则UE 115-c-2可以在NAS SMC完成消息中包括在注册请求355中发送的且将被保护的IE。在另一例子中,如果数值不匹配,则UE 115-c-2可以假设注册请求355被破坏并且重新发起注册,如参照图5所解释的。在另一例子中,MME可以在NAS SMC消息中包括指示以便告诉UE 115-c-2重新发送该IE。然后,UE 115-c-2可以发送NAS SMC完成消息,其可以由受保护的IE构成。
图4A示出了流程图400,其示例了不同UE操作模式中后续NAS消息保护的实例。在一些情况中,流程图400可以表示如参照图1-2所描述的由UE 115、基站105或核心网130执行的技术的方面。流程图400示出了在UE 115-d-1和核心网130-c-1(或核心网130-c-1的至少一个部件,如控制面功能230-b-1)已经使用例如在图3A或3B中描述的方法彼此建立了安全NAS通信之后的UE 115-d-1和核心网130-c-1。
在方框405中,UE 115-d-1进入EPS移动性管理(EMM)注销状态。在EMM注销状态中,核心网130-c-1中的EMM上下文不具有针对UE 115-d-1的有效位置或路由信息。换句话说,由于UE的位置是未知的,所以核心网130-c-1不能到达UE 115-d-1。在注销状态中,UE 115-d-1和核心网130-c-1之间的先前建立的安全上下文可以仍旧存在。如果UE 115-d-1想要进入注册状态,它可以向核心网130-c-1发送附着请求410。如果安全上下文基于先前的注册而存在,则附着请求410是加密的、完整性保护的、或者既是加密的又是完整性保护的,并且包括使控制面功能230-b-1能够定位相应的安全上下文的信息。如果不能定位安全上下文,则核心网130-c-1可以通过将该消息视作注册请求来触发安全上下文的建立。被核心网130-c-1用来识别UE(例如,全球唯一临时标识(GUTI))和定位UE安全上下文(例如,演进密钥集合标识符(eKSI))的信息未被加密但是被完整性保护。此外,核心网130-c-1可以在需要时通过执行NAS SMC来与UE 115-d-1重新建立新的安全上下文。
图4B示出了流程图450,其示例了不同模式中后续NAS消息保护的实例。在一些情况中,流程图450可以表示如参照图1-2所描述的由UE 115、基站105、或核心网130执行的技术的方面。流程图450示出了在UE 115-d-2和核心网130-c-2(或核心网130-c-2的至少一个部件,如控制面功能230-b-2)已经使用例如在图3A或3B中描述的方法彼此建立了安全NAS通信之后的UE 115-d-2、基站105-d-1和核心网130-c-2。流程图450还可以描绘EMM注册状态中的UE 115-d-2和核心网130-c-2,其中EMM注册状态可以经由成功的TAU过程来建立。
在方框455中,UE 115-d-2进入EPS连接管理(ECM)连接状态。在ECM连接状态中,UE115-d-2被核心网130-c-2以服务基站的准确度已知。在ECM连接状态中,UE 115-d-2和核心网130-c-2之间的先前建立的安全上下文可以仍旧存在。从UE 115-d-2向基站105-d-1发送NAS消息460和所有后续NAS消息,然后将其从基站105-d-1中继到核心网130-c-2。NAS消息460和所有后续NAS消息可以是加密的、完整性保护的、或者既是加密的又是完整性保护的。
在方框465中,UE 115-d-2进入EPS ECM空闲状态。在ECM空闲状态中,在UE 115-d-2和核心网130-c-2之间没有NAS信令连接。在ECM空闲状态中,在UE 115-d-2和核心网130-c-2之间先前建立的安全上下文可以仍旧存在。UE 115-d-2可以经由诸如服务请求470-a和TAU请求470-b的NAS消息来发起从ECM空闲状态到ECM连接状态的转换。服务请求470-a和TAU请求470-b是加密的、完整性保护的、或者既是加密的又是完整性保护的。然而,核心网130-c-2用来识别UE(例如,GUTI)和定位UE安全上下文(即,密钥集合标识符或eKSI)的信息未被加密但是被完整性保护。如果不能定位安全上下文,则核心网130-c-2可以通过将该消息处理为注册请求来触发安全上下文的建立。此外,在需要时,核心网130-c-2可以通过执行NAS SMC来与UE 115-d-2重新建立新的安全上下文。
图5示出了流程图500,其示例了在完整性校验失败时的重新注册过程。图5示出了UE 115-e、基站105-e-1、以及基站105-e-2,其可以是参照图1-2描述的相应设备的例子。在一些情况中,流程图500可以表示如参照图1-2所描述的由UE 115、基站105、或核心网130执行的技术的方面。UE 115-e和基站105-e-1已经相互建立了安全NAS连接。由于这个安全的连接,除了后续注册请求和拒绝消息之外所有的NAS消息可以基于UE 115-e和基站105-e-1之间的所建立的安全上下文来保护。如果安全上下文存在,则在这两者之间对附着、服务、和TAU拒绝消息进行完整性保护。
在流程图500中,UE 115-e向基站105-e-1发送NAS消息505。然后,基站105-e-1响应于NAS消息505发送未保护的拒绝消息510。未保护的拒绝消息510可以是NAS附着、服务、或TAU拒绝消息。未保护拒绝消息510可能是由攻击者或与UE 115-e相关联的核心网发送的。UE 115-e可能已经丢失了其安全上下文。在一个例子中,作为对未保护拒绝消息510的响应,UE 115-e可以忽略该消息并且进入预先确定的等待时段515。
在一个例子中,在预先确定的等待时段515过后,UE 115-e可以重新尝试在NAS消息520中发送先前的NAS消息。在另一个例子中,UE 115-e可以通过发送注册请求525来重新发起与基站105-e-1的注册过程。在另一个例子中,UE 115-e可以重用先前的安全上下文,并且尝试和注册到与当前对其服务的不同的公共陆地移动网络(PLMN)。例如,如在图5中所示,基站105-e-1与不同PLMN相关联,并且UE 115-e可以通过发送注册请求530来尝试注册到该不同PLMN(以具有控制面功能230-c的核心网130-d的形式)。需要注意的事实是,UE115-e可以在需要时发起注册过程。此外,附着、服务、或TAU请求的完整性验证失败会由对UE 115-e服务的核心网触发注册过程。
图6示出了无线设备600的方框图,该无线设备600支持根据本公开各个方面的增强的NAS安全。无线设备600可以是参照图1到5描述的UE 115的方面的例子。无线设备600可以包括接收机605、UE NAS安全管理器610、以及发射机615。无线设备600还可以包括处理器。这些部件中的每一个可以相互通信。
接收机605可以接收信息,比如与各种信息信道(例如,控制信道、数据信道、和与增强NAS安全相关的信息等)相关联的分组、用户数据、或控制信息。信息可以被传送到设备的其它部件。接收机605可以是参照图9描述的收发机925的方面的例子。
UE NAS安全管理器610可以向网络发送注册消息,以建立用于网络和UE之间的NAS消息的安全连接,该安全连接基于注册消息中包括的UE标识符和UE的安全能力,以及通过该安全连接执行与网络的附着过程。UE NAS安全管理器610也可以是参照图9描述的UE NAS安全管理器905的方面的例子。
发射机615可以发送从无线设备600的其它部件接收的信号。在一些例子中,发射机615可以与接收机共同位于收发机模块中。例如,发射机615可以是参照图9描述的收发机925的方面的例子。发射机615可以包括单个天线,或者其可以包括多个天线。
图7示出了无线设备700的方框图,该无线设备700支持根据本公开各个方面的增强的NAS安全。无线设备700可以是参照图1到6描述的无线设备600或UE 115的方面的例子。无线设备700可以包括接收机705、UE NAS安全管理器710、以及发射机725。无线设备700还可以包括处理器。这些部件中的每一个可以相互通信。
接收机705可以接收信息,该信息可以被传送到设备的其它部件。接收机705还可以执行参照图6的接收机605描述的功能。接收机705可以是参照图9描述的收发机925的方面的例子。
UE NAS安全管理器710可以是参照图6描述的UE NAS安全管理器610的方面的例子。UE NAS安全管理器710可以包括注册部件715和附着部件720。UE NAS安全管理器710可以是参照图9描述的UE NAS安全管理器905的方面的例子。
注册部件715可以管理注册过程,比如注册消息到网络的传输,以基于UE标识符和UE的安全能力来建立用于NAS消息的安全性。注册部件715还可以向网络发送第二注册消息,以基于第二注册消息中包括的UE标识符和UE的安全能力来建立用于NAS消息的安全性。此外,注册部件715可以向不同网络发送第二注册消息,以基于第二注册消息中包括的UE标识符和UE的安全能力来建立用于NAS消息的安全性。此外,注册部件715还可以协调或保持跟踪UE的注册状态,包括UE进入与网络的注销状态使得网络缺少UE的有效位置或路由信息,或者UE进入与网络的注册状态。
消息传送部件720可以与网络交换各种消息。在一些情况中,附着请求可以被背负到发送给网络的安全模式完成消息。消息传送部件720可以在注销状态中发送附着请求,该附着请求是基于认证协议来加密和完整性保护的。消息传送部件720可以发送附着请求、服务请求、或TAU消息,在接收到拒绝消息之后等待预定的时间量,在发送第二注册消息之前重新发送先前发送的附着请求、服务请求、或TAU消息,发送附着请求、服务请求、或TAU消息,以及通过安全连接来执行与网络的附着过程。
发射机725可以发送从无线设备700的其它部件接收的信号。在一些例子中,发射机725可以与接收机共同位于收发机模块中。例如,发射机725可以是参照图9描述的收发机925的方面的例子。发射机725可以利用单个天线,或者其可以利用多个天线。
图8示出了UE NAS安全管理器800的方框图,其可以是无线设备600或无线设备700的相应部件的例子。也就是说,UE NAS安全管理器800可以是参照图6和7描述的UE NAS安全管理器610或UE NAS安全管理器710的方面的例子。UE NAS安全管理器800还可以是参照图9描述的UE NAS安全管理器905的方面的例子。
UE NAS安全管理器800可以包括注册部件805、认证协议部件810、附着部件815、加密部件820、NAS消息部件825、服务请求部件830、拒绝消息部件835、空闲模式部件840、以及哈希部件845。这些模块中的每一个可以直接或间接地相互通信(例如,经由一个或多个总线)。
注册部件805可以进入与网络的注销状态使得网络缺少UE的有效位置或路由信息,进入与网络的注册状态,向网络发送第二注册消息以基于第二注册消息中包括的UE标识符和UE的安全能力来建立用于NAS消息的安全性,向不同网络发送第二注册消息以基于第二注册消息中包括的UE标识符和UE的安全能力来建立用于NAS消息的安全性,以及向网络发送注册消息以建立用于网络和UE之间的NAS消息的安全连接,该安全连接基于注册消息中包括的UE标识符和UE的安全能力。
认证协议部件810可以响应于注册消息建立与网络的认证协议。在一些情况中,建立认证协议包括UE和网络中被配置用于使NAS消息安全的部件之间的通信。
附着部件815可以发送附着请求,该附着请求基于认证协议来加密和完整性保护,发送附着请求、服务请求、或TAU消息,在接收到拒绝消息之后等待预定的时间量,在发送第二注册消息之前重新发送先前发送的附着请求、服务请求、或TAU消息,发送附着请求、服务请求、或TAU消息,以及通过安全连接来执行与网络的附着过程。在一些情况中,执行附着过程包括发送用于接入网络的附着请求。在一些情况中,附着请求可以被背负到发送给网络的安全模式完成消息。
加密部件820可以部分地基于认证协议来加密后续NAS消息。NAS消息部件825可以在注册状态中发送具有根据认证协议的加密和完整性保护的后续NAS消息。
服务请求部件830可以在退出空闲状态时发送服务请求,其包括服务请求的第一部分和服务请求的第二部分,其中第一部分具有根据认证协议的完整性保护,第二部分具有根据认证协议的加密和完整性保护。在一些情况中,第一部分包括UE标识符或密钥集合标识符中的至少一个。在一些情况中,服务请求是TAU请求。
拒绝消息部件835可以接收与所发送的附着请求、服务请求、或TAU消息相关联的拒绝消息,其中拒绝消息是没有根据认证协议进行加密或完整性保护的,以及接收与所发送的附着请求、服务请求、或TAU消息相关联的拒绝消息,其中该拒绝消息是没有根据认证协议进行加密或完整性保护的。空闲模式部件840可以进入与网络的空闲状态。
哈希部件845可以计算注册请求的哈希值。哈希部件845可以确定计算的哈希值和从网络接收的注册请求的哈希值的数值是否匹配。
图9示出了系统900的示意图,系统900包括支持根据本公开各个方面的增强的NAS安全的设备。例如,系统900可以包括UE 115-f,其可以是如参照图1、2和6到8所描述的无线设备600、无线设备700或UE 115的例子。
UE 115-f还可以包括UE NAS安全管理器905、存储器910、处理器920、收发机925、天线930以及ECC模块935。这些模块中的每一个可以直接或间接地相互通信(例如,经由一个或多个总线)。UE NAS安全管理器905可以是如参照图6到8所描述的UE NAS安全管理器的例子。
存储器910可以包括随机访问存储器(RAM)和只读存储器(ROM)。存储器910可以存储计算机可读、计算机可执行软件,其包括指令,当该指令被执行时,导致处理器执行本文描述的各种功能(例如,增强的NAS安全等)。在一些情况中,软件915可能不被处理器直接执行,而是可以造成计算机(例如,当被编译和执行时)执行本文描述的功能。处理器920可以包括智能硬件设备(例如,中央处理单元(CPU)、微控制器、专用集成电路(ASIC)等)。
收发机925可以经由一个或多个天线、有线、或无线链路与一个或多个网络进行双向通信,如上文所述。例如,收发机925可以与基站105或UE 115进行双向通信。收发机925还可以包括调制解调器,以用于调制分组和将经调制的分组提供到天线以用于传输,以及对从天线接收的分组进行解调。在一些情况中,无线设备可以包括单个天线930。然而,在一些情况中,设备可以具有一个以上的天线930,其能够同时发送或接收多个无线传输。
SIM 935可以是IC,其安全地存储国际移动IMSI和用于识别和认证UE 115的相关密钥。SIM 935还可以包含唯一串号(例如,ICCID)、安全认证和加密信息、与本地网络相关的临时信息、服务列表、PIN、以及用于PIN解锁的PUK。在一些情况中,SIM 935可以是嵌入在可移除塑料卡中的电路。
图10示出了无线设备1000的方框图,其支持根据本公开各个方面的增强的NAS安全。无线设备1000可以是参照图1到5描述的诸如核心网130的网络实体的方面的例子。无线设备1000可以包括接收机1005、网络NAS安全管理器1010、以及发射机1015。无线设备1000还可以包括处理器。这些部件中的每一个可以相互通信。
接收机1005可以接收信息,比如与各种信息信道(例如,控制信道、数据信道、和与增强NAS安全相关的信息等)相关联的分组、用户数据、或控制信息。信息可以被传送到设备的其它部件。接收机1005可以是参照图13描述的收发机1325的方面的例子。
网络NAS安全管理器1010可以从UE接收注册消息,以建立用于UE和网络之间的NAS消息的安全连接,该安全连接基于注册消息中包括的UE标识符和UE的安全能力,以及通过该安全连接执行与UE的附着过程。网络NAS安全管理器1010也可以是参照图13描述的网络NAS安全管理器1305的方面的例子。
发射机1015可以发送从无线设备1000的其它部件接收的信号。在一些例子中,发射机1015可以与接收机共同位于收发机模块中。例如,发射机1015可以是参照图13描述的收发机1325的方面的例子。发射机1015可以包括单个天线,或者其可以包括多个天线。
图11示出了无线设备1100的方框图,该无线设备1100支持根据本公开各个方面的增强的NAS安全。无线设备1100可以是参照图1到5和10描述的无线设备1000或诸如核心网130的网络实体的方面的例子。无线设备1100可以包括接收机1105、网络NAS安全管理器1110、以及发射机1125。无线设备1100还可以包括处理器。这些部件中的每一个可以相互通信。
接收机1105可以接收信息,该信息可以被传送到设备的其它部件。接收机1105还可以执行参照图10的接收机1005描述的功能。接收机1105可以是参照图13描述的收发机1325的方面的例子。
网络NAS安全管理器1110可以是参照图10描述的网络NAS安全管理器1010的方面的例子。网络NAS安全管理器1110可以包括注册部件1115和附着部件1120。网络NAS安全管理器1110可以是参照图13描述的网络NAS安全管理器1305的方面的例子。
注册部件1115可以接收来自UE的注册消息以建立用于UE和网络之间的NAS消息的安全连接,该安全连接基于注册消息中包括的UE标识符和UE的安全能力,以及接收来自UE的第二注册消息,以基于第二注册消息中包括的UE标识符和UE的安全能力来建立用于NAS消息的安全性。
消息传送部件1120可以通过安全连接与UE交换消息,以及接收附着请求、服务请求、或TAU消息。在一些情况中,执行附着过程包括接收来自UE的用于接入网络的附着请求。在一些情况中,附着请求被背负到发送给网络的安全模式完成消息。
发射机1125可以发送从无线设备1100的其它部件接收的信号。在一些例子中,发射机1125可以与接收机共同位于收发机模块中。例如,发射机1125可以是参照图13描述的收发机1325的方面的例子。发射机1125可以利用单个天线,或者其可以利用多个天线。
图12示出了网络NAS安全管理器1200的方框图,其可以是无线设备1000或无线设备1100的相应部件的例子。也就是说,网络NAS安全管理器1200可以是参照图10和11描述的网络NAS安全管理器1010或网络NAS安全管理器1110的方面的例子。网络NAS安全管理器1200还可以是参照图13描述的网络NAS安全管理器1305的方面的例子。
网络NAS安全管理器1200可以包括注册部件1205、认证协议部件1210、附着部件1215、加密部件1220、拒绝消息部件1225和哈希部件1230。这些模块中的每一个可以直接或间接地相互通信(例如,经由一个或多个总线)。
注册部件1205可以接收来自UE的注册消息以建立用于UE和网络之间的NAS消息的安全连接,该安全连接基于注册消息中包括的UE标识符和UE的安全能力,以及接收来自UE的第二注册消息,以基于第二注册消息中包括的UE标识符和UE的安全能力来建立用于NAS消息的安全性。
认证协议部件1210可以响应于注册消息建立与UE的认证协议。附着部件1215可以通过该安全连接执行与UE的附着过程,以及接收附着请求、服务请求、或TAU消息。在一些情况中,执行附着过程包括接收来自UE的用于接入网络的附着请求。在一些情况中,附着请求被背负到发送给网络的安全模式完成消息。
加密部件1220可以部分地基于认证协议来加密后续NAS消息。拒绝消息部件1225可以发送与所接收的附着请求、服务请求、或TAU消息相关联的拒绝消息,其中拒绝消息是未被根据认证协议进行加密或完整性保护的。注册模块1230可以响应于注册消息内包含的请求来确定接收的注册消息的哈希值。
图13示出了系统1300的示意图,系统1300包括支持根据本公开各个方面的增强的NAS安全的设备。例如,系统1300可以包括网络实体1340,其可以是如参照图1到5和10到12所描述的无线设备1000、无线设备1100或核心网130的例子。
网络实体1340还可以包括网络NAS安全管理器1305、存储器1310、处理器1320、收发机1325、天线1330以及ECC模块1335。这些模块中的每一个可以直接或间接地相互通信(例如,经由一个或多个总线)。网络NAS安全管理器1305可以是如参照图10到12所描述的网络NAS安全管理器的例子。
存储器1310可以包括RAM和ROM。存储器1310可以存储计算机可读、计算机可执行软件,其包括指令,当该指令被执行时,导致处理器执行本文描述的各种功能(例如,增强的NAS安全等)。在一些情况中,软件1315可能不被处理器直接执行,而是可以造成计算机(例如,当被编译和执行时)执行本文描述的功能。处理器1320可以包括智能硬件设备(例如,CPU、微控制器、ASIC等)。
收发机1325可以经由一个或多个天线、有线、或无线链路与一个或多个网络进行双向通信,如上文所述。例如,收发机1325可以与基站105或UE 115进行双向通信。收发机1325还可以包括调制解调器,以用于调制分组和将经调制的分组提供到天线以用于传输,以及对从天线接收的分组进行解调。
认证部件1335可以执行如本文所述的网络认证和安全过程。
图14示出了流程图,该流程图示例了用于根据本公开各个方面的增强的NAS安全的方法1400。方法1400的操作可以由参照图1到9描述的UE 115或无线设备600、700或其部件的无线设备来实现。例如,方法1400的操作可以由如本文所描述的UE NAS安全管理器来执行。在一些例子中,无线设备可以执行一组代码以控制设备的功能单元来执行下面描述的功能。此外或可替换地,无线设备可以使用专用硬件来执行下面描述的功能方面。
在方框1405,无线设备可以向网络发送注册消息,以建立用于网络和无线设备之间的至少NAS消息的安全连接,该安全连接基于注册消息中包括的无线设备标识符和无线设备的安全能力,如上文参照图2到5所描述的。在某些例子中,方框1405的操作可以由如参照图7和8描述的注册部件来执行。
在方框1410,无线设备可以通过安全连接来与网络交换NAS消息,如上文参照图2-5所描述的。在某些例子中,方框1410的操作可以由如参照图7和8描述的附着部件来执行,并且可以包括执行附着过程。
图15示出了流程图,该流程图示例了用于根据本公开各个方面的增强的NAS安全的方法1500。方法1500的操作可以由参照图1到9描述的UE 115或无线设备600、700或其部件的无线设备来实现。例如,方法1500的操作可以由如本文所描述的UE NAS安全管理器来执行。在一些例子中,无线设备可以执行一组代码以控制设备的功能单元来执行下面描述的功能。此外或可替换地,无线设备可以使用专用硬件来执行下面描述的功能方面。
在方框1505,无线设备可以向网络发送注册消息,以建立用于网络和无线设备之间的NAS消息的安全连接,该安全连接基于注册消息中包括的无线设备标识符和无线设备的安全能力,如上文参照图2到5所描述的。在某些例子中,方框1505的操作可以由如参照图7和8描述的注册部件来执行。该注册消息可以由在传统NAS连接协议下无线设备向网络正常提供的更少的信息来构成。
在方框1510,无线设备可以通过安全连接来执行与网络的附着过程,如上文参照图2-5所描述的。在某些例子中,方框1510的操作可以由如参照图7和8描述的附着部件来执行。作为附着过程的一部分,无线设备可以发送用于接入网络的附着请求,如上文参照图2到5所描述的。在一些情况中,如在方框1515中,附着请求被发送到网络。这可以通过将附着请求背负到发送给网络的安全模式完成消息来完成。可替换地,附着请求可以在无线设备和网络建立安全NAS连接之后发送。这可以通过成功的安全模式命令过程来实现。附着请求可以包括服务请求,比如TAU请求。在完成附着过程之后,无线设备和网络之间的所有后续NAS通信是被加密的、被完整性保护的、或既是被加密的又是被完整性保护的。
图16示出了流程图,该流程图示例了用于根据本公开各个方面的增强的NAS安全的方法1600。方法1600的操作可以由参照图1到9描述的UE 115或无线设备600、700或其部件的无线设备来实现。例如,方法1600的操作可以由如本文所描述的UE NAS安全管理器来执行。在一些例子中,无线设备可以执行一组代码以控制设备的功能单元来执行下面描述的功能。此外或可替换地,无线设备可以使用专用硬件来执行下面描述的功能方面。
在方框1605,无线设备可以向网络发送注册消息,以建立用于网络和无线设备之间的至少NAS消息的安全连接,该安全连接基于注册消息中包括的无线设备标识符和无线设备的安全能力,如上文参照图2到5所描述的。在某些例子中,方框1605的操作可以由如参照图7和8描述的注册部件来执行。
在方框1610,无线设备可以响应于注册消息来执行与网络的相互认证和密钥协商,如上文参照图2到5所描述的。在某些例子中,方框1610的操作可以由如参照图7和8所描述的认证协议部件来执行。认证协议可以是无线设备和网络之间的认证和密钥协商。与网络相关联的被配置用于使NAS消息安全的部件可以将认证响应发送回到MME或网络中包含密钥的安全部件。
在方框1615,UE 115可以部分地基于通过与网络的成功认证建立的密钥协商来对后续NAS消息进行加密,如上文参照图2到5所描述的。在某些例子中,方框1615的操作可以由如参照图7和8所描述的加密部件来执行。这些NAS消息可以是在相同安全上下文下加密的,即使无线设备改变了操作模式或者无线设备接收了未保护的NAS附着、服务、或TAU拒绝消息。
在方框1620,无线设备可以通过安全连接执行与网络的附着过程,如上文参照图2到5所描述的。在某些例子中,方框1620的操作可以由如参照图7和8所描述的附着部件来执行。在完成附着过程之后,无线设备和网络之间的所有后续NAS通信是被加密的、被完整性保护的、或既是被加密的又是被完整性保护的。
图17示出了流程图,该流程图示例了用于根据本公开各个方面的增强的NAS安全的方法1700。方法1700的操作可以由参照图1到5和10到13描述的核心网130或无线设备1000、1100或其部件的设备来实现。例如,方法1700的操作可以由如本文所描述的网络NAS安全管理器来执行。在一些例子中,核心网130可以执行一组代码以控制设备的功能单元来执行下面描述的功能。此外或可替换地,核心网130可以使用专用硬件来执行下面描述的功能方面。
在方框1705,核心网130可以接收来自无线设备的注册消息,以建立用于无线设备和网络之间的至少NAS消息的安全连接,该安全连接基于注册消息中包括的无线设备标识符和无线设备的安全能力,如上文参照图2到5所描述的。在某些例子中,方框1705的操作可以由如参照图11和12描述的注册部件来执行。
在方框1710,核心网130可以通过安全连接来与无线设备交换NAS消息,如上文参照图2-5所描述的。在某些例子中,方框1710的操作可以由如参照图11和12描述的附着部件来执行,并且可以包括执行附着过程。在完成附着过程之后,无线设备和网络之间的所有后续NAS通信是被加密的、被完整性保护的、或既是被加密的又是被完整性保护的。
应当注意,这些方法描述了可能的实现,并且操作和步骤可以被重新安排或修改使得其它实现是可能的。在一些例子中,方法的两个或更多个中的方面可以被组合。例如,每一个方法的方面可以包括其它方法的步骤或方面、或本文描述的其它步骤或技术。因此,本公开的方面可以提供增强的NAS安全。
提供本说明书是为了使本领域技术人员能够进行或使用本公开。对本公开内容的各种修改对本领域技术人员而言是显而易见的,并且本文规定的一般原则可以应用于其它变形而没有偏离本公开的范围。因此,本公开不举行于本文所描述的例子和设计,而是与本公开的原则和新颖特征的最大范围相一致。
本文描述的功能可以在硬件、处理器执行的软件、部件或其任意组合中实现。如果在处理器执行的软件中实现,这些功能可以存储在计算机可读介质上,或者作为一个或多个指令和代码来通过计算机可读介质传送。其它例子和实现在本公开和所附权利要求的范围内。例如,由于软件的性质,上面描述的功能可以使用处理器执行的软件、硬件、固件、硬件线路、或其任意组合来实现。实现这些功能的特征也可以物理性的位于各个不同位置,包括分布式,使得部分功能实现在不同(物理上的)位置。此外,如本文所使用的,包括在权利要求中,在项目列表(例如,前面有诸如“下列中的至少一个”或“一个或多个”这样的词语的项目列表)中使用的“或”表示包含性列表,使得例如A、B或C中的至少一个的列表含义是A或B或C或AB或AC或BC或ABC(即A和B和C)。
计算机可读介质包括非暂时性计算机存储介质和通信介质,通信介质包括有助于将计算机程序从一个位置传输到另一位置的任何介质。非暂时性存储介质可以是能够被通用或专用计算机存取的任何可用介质。举例而言而非限制性地,非暂时性计算机可读介质可以包括RAM、ROM、电可擦除可编程只读存储器(EEPROM)、压缩盘(CD)ROM或其它光盘存储单元、磁盘存储单元或其它磁性存储设备、或可以用来携带或存储期望的指令或数据结构形式的程序代码单元的任何其它非暂时性介质,该程序代码单元能够被通用或专用计算机、或通用或专用处理器来访问。此外,任何连接被适当地称为计算机可读介质。例如,如果使用同轴电缆、光纤电缆、双绞线对、数字用户线路(DSL)、或诸如红外、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,那么同轴电缆、光纤电缆、双绞线对、DSL、或诸如红外、无线电和微波的无线技术也包括在介质的定义中。如本文所使用的磁盘和光盘包括CD、激光盘、光学盘、数字多功能光盘(DVD)、软盘以及蓝光盘,其中磁盘通常磁性的再现数据,而光盘利用激光光学的再现数据。以上内容的组合同样包括在计算机可读介质的范围内。
本文描述的技术可以用于各种无线通信系统,比如CDMA、TDMA、FDMA、OFDMA、单载波频分多址(SC-FDMA)、以及其它系统。术语“系统”和“网络”经常可互换使用。CDMA系统可以实现诸如CDMA 2000、通用陆地无线接入(UTRA)等的无线电技术。CDMA 2000包括IS-2000、IS-95和IS-856标准。IS-2000版本0和A通常被称为CDMA 2000 1X、1X等。IS-856(TIA-856)通常被称为CDMA 2000 1xEV-DO高速分组数据(HRPD)等。UTRA包括宽带CDMA(WCDMA)和CDMA的其它变体。TDMA系统可以实现诸如(全球移动通信系统(GSM))的无线电技术。OFDMA系统可以实现诸如超移动宽带(UMB)、演进UTRA(E-UTRA)、IEEE 802.11、IEEE 802.16(WiMAX)、IEEE 802.20、Flash-OFDM等的无线电技术。UTRA和E-UTRA是通用移动电信系统(通用移动电信系统(UMTS))的一部分。3GPP LTE和LTE增强(LTE-A)是UMTS的新版本,其使用E-UTRA。在名为“第三代合作伙伴项目”(3GPP)的组织的文件中描述了UTRA、E-UTRA、UMTS、LTE、LTE-A和GSM。在名为“第三代合作伙伴项目2”(3GPP2)的组织的文件中描述了CDMA2000和UMB。本文描述的技术可以用于上文提到的系统和无线电技术以及其它系统和无线电技术。然而,本说明书描述了LTE系统以作为例子,并且在上面大部分描述中使用了LTE技术,尽管这些技术可适用于LTE应用之外。
在LTE/LTE-A网络中,包括本文描述的网络,术语演进节点B(eNB)可以一般地用来描述基站。本文描述的一个或多个无线通信系统可以包括异构LTE/LTE-A网络,在该网络中不同类型的eNB提供了对各种地理区域的覆盖。例如,每个eNB或基站可以针对宏小区、小小区、或其它类型的小区提供通信覆盖。术语“小区”是3GPP术语,基于上下文,其可以用来描述基站、与基站相关联的载波或组成载波(CC)、或载波或基站的覆盖区域(例如,扇区等)。
基站可以包括或者可以被本领域技术人员称为收发基站、无线基站、接入点(AP)、无线收发机、节点B、演进节点B(eNB)、家庭节点B、家庭演进节点B、或一些其它适当术语。基站的地理覆盖区域可以被分为仅负责一部分覆盖区域的扇区。本文描述的一个或多个无线通信系统可以包括不同类型的基站(例如,宏基站或小小区基站)。本文描述的UE能够与各种类型的基站和网络设备通信,包括宏eNB、小小区eNB、中继基站等。对于不同的技术可能存在重叠的地理覆盖区域。在一些情况中,不同覆盖区域可以与不同通信技术相关联。在一些情况中,一种通信技术的覆盖区域可以与关联于另一种技术的覆盖区域重叠。不同技术可以与相同基站或不同基站相关联。
宏小区通常覆盖相对大的地理区域(例如,半径为数公里),并且可以允许具有网络提供商的服务订购的UE进行非受限接入。小小区是功率较低的基站,相比宏小区,该功率较低基站可以工作在与宏小区相同或不同(例如,许可、未许可等)的频带。根据各种例子,小小区可以包括微微小区、毫微微小区、以及微小区。例如,微微小区可以覆盖小地理区域,并且可以允许具有网络提供商的服务订购的UE进行非受限接入。毫微微小区也可以覆盖小地理区域(例如,家庭),并且可以提供与该毫微微小区具有关联的UE(例如,闭合用户组(CSG)中的UE、家庭用户的UE等)的受限接入。宏小区的eNB可以称为宏eNB。小小区的eNB可以称为小小区eNB、微微eNB、毫微微eNB或家庭eNB。eNB可以支持一个或多个(例如,二个、三个、四个等)小区(例如,组成载波(CC))。UE能够与各种类型的基站和网络设备通信,包括宏eNB、小小区eNB、中继基站等。
本文描述的一个或多个无线通信系统可以支持同步或异步操作。对于同步操作,基站可以具有相似的帧时序,并且来自不同基站的传输可以在时间上近似对齐。对于异步操作,基站可以具有不同的帧时序,并且来自不同基站的传输可能在时间上是不对齐的。本文描述的技术可以用于同步或异步操作。
本文描述的DL传输也可以称为前向链路传输,而UL传输也可以被称为反向链路传输。本文描述的各个通信链路,例如包括图1和2的无线通信系统100和200,可以包括一个或多个载波,其中每个载波可以是构成多个子载波的信号(例如,不同频率的波形信号)。每个调制信号可以在不同子载波上发送,并且可以携带控制信息(例如,参考信号、控制信号等)、开销信息、用户数据等。本文描述的通信链路(例如,图1的通信链路125)可以使用频分双工(FDD)(例如,使用成对的频谱资源)或时分双工(TDD)操作(例如,使用不成对的频谱资源)来发送双向通信。针对FDD(例如,帧结构类型1)和TDD(例如,帧结构类型2)定义帧结构。
因此,本公开的方面可以提供增强的NAS安全。应当注意,这些方法描述了可能的实现,并且这些操作和步骤可以重新安排或修改,使得其它实现是可能的。在一些例子中,方法的两个或更多的方面可以组合。
结合本公开描述的各种示例性方框和模块可以利用以下部件来实现或执行:通用处理器、数字信号处理器(DSP)、ASIC、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件部件、或被设计为执行本文描述的功能的其任意组合。通用处理器可以是微处理器,作为替换,处理器可以是任何传统处理器、控制器、微控制器、或状态机。处理器也可以实现为计算设备的组合(例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP内核、或任何其它这种配置)。因此,本文描述的功能可以由一个或多个其它处理单元(或内核)在至少一个IC上执行。在各种例子中,可以使用不同类型的IC(例如,结构/平台ASIC、FPGA、或另一半定制IC),其可以按照本领域已知的任何方式进行编程。每个单元的功能也可以完整的或部分的利用存储器中嵌入的指令来执行,这些指令被格式化为由一个或多个通用或专用处理器来执行。
在附图中,相似部件或特征可以具有相同的参考标记。此外,相同类型的各个部件可以通过在参考标记后的破折号和第二标记来区分,该第二标记区分相似的部件。如果在说明书中仅使用了第一参考标记,那么该描述适用于具有相同第一参考标记的相似部件中的任意部件,而与第二参考标记无关。
Claims (72)
1.一种无线通信的方法,包括:
向网络发送包括注册消息的初始非接入层(NAS)消息,以建立用于所述网络和无线设备之间的至少NAS消息的安全连接,其中,所述安全连接是至少部分地基于所述注册消息中包括的包含所述无线设备的无线设备标识符和安全能力的第一组无线设备特性来建立的;
经由安全连接来发送用于接入所述网络的第二NAS消息,所述第二NAS消息包括第二组无线设备特性,其中,所述第二组无线设备特性包括所述无线设备的一个或多个服务能力,其中,包括在所述第二NAS消息中的所述一个或多个服务能力是未包括在所述注册消息中的;以及
通过所述安全连接与所述网络交换其它NAS消息。
2.根据权利要求1所述的方法,其中,所述一个或多个服务能力是被用于请求包括短消息服务(SMS)、语音数据或其组合的服务的。
3.根据权利要求1所述的方法,其中,所述第二NAS消息被背负到发送到所述网络的安全模式完成消息。
4.根据权利要求1所述的方法,其中,所述注册消息包括跟踪区域更新(TAU)请求消息、或服务请求消息。
5.根据权利要求1所述的方法,还包括:
响应于所述注册消息,执行与所述网络的相互认证和密钥协商;以及
部分地基于作为与所述网络的成功认证的结果而建立的所述密钥协商来加密后续NAS消息。
6.根据权利要求5所述的方法,还包括:
进入与所述网络的注销状态;以及
在所述注销状态中时,发送作为附着请求的第三NAS消息,所述第三NAS消息是在所述相互认证和密钥协商下被加密和完整性保护的。
7.根据权利要求5所述的方法,还包括:
进入与所述网络的注册状态;以及
在所述注册状态中时,采用根据所述相互认证和密钥协商的加密和完整性保护来发送所述后续NAS消息。
8.根据权利要求5所述的方法,还包括:
进入与所述网络的空闲状态;以及
当退出所述空闲状态时,发送服务请求,所述服务请求包括该服务请求的第一部分和该服务请求的第二部分,所述第一部分具有基于在与所述网络的成功认证期间建立的安全上下文的完整性保护,所述第二部分具有基于所述安全上下文的加密和完整性保护。
9.根据权利要求8所述的方法,其中,所述第一部分包括所述无线设备标识符或密钥集合标识符中的至少一个。
10.根据权利要求5所述的方法,还包括:
发送服务请求、或跟踪区域更新(TAU)消息;
接收与所发送的服务请求、或TAU消息相关联的拒绝消息,其中,所述拒绝消息未基于在与所述网络的成功认证期间建立的安全上下文来被加密或完整性保护;以及
向所述网络发送第二注册消息,以基于所述第二注册消息中包括的所述无线设备的所述无线设备标识符和安全能力来与所述网络建立安全性。
11.根据权利要求10所述的方法,还包括:
在接收到所述拒绝消息之后,等待预定的时间量;以及
在发送所述第二注册消息之前,重新发送先前发送的服务请求、或TAU消息。
12.根据权利要求5所述的方法,还包括:
发送服务请求、或跟踪区域更新(TAU)消息;
接收与所发送的服务请求、或TAU消息相关联的拒绝消息,其中,所述拒绝消息未基于在与所述网络的成功认证期间建立的安全上下文来被加密或完整性保护;以及
向不同的网络发送第二注册消息,以基于所述第二注册消息中包括的所述无线设备的所述无线设备标识符和安全能力来与该网络建立安全性。
13.根据权利要求5所述的方法,其中,执行所述相互认证和密钥协商包括:
在所述无线设备和所述网络的部件之间进行通信,所述网络的部件被配置用于使NAS消息安全。
14.根据权利要求1所述的方法,还包括:
计算所述注册消息的哈希值;
在所发送的注册消息之后,接收来自所述网络的所述注册消息的哈希值;以及
确定计算的哈希值和接收的哈希值的数值是否匹配。
15.根据权利要求14所述的方法,还包括:
当确定计算的和接收的哈希值数值不匹配时,重新发送所述注册消息内包含的至少一个信息单元。
16.根据权利要求14所述的方法,还包括:
当确定计算的和接收的哈希值数值不匹配时,向所述网络重新发送所述注册消息。
17.一种无线通信的方法,包括:
接收来自无线设备的包括注册消息的初始非接入层(NAS)消息,以建立用于所述无线设备和网络之间的至少NAS消息的安全连接,其中,所述安全连接是至少部分地基于所述注册消息中包括的包含所述无线设备的无线设备标识符和安全能力的第一组无线设备特性来建立的;
经由安全连接来接收用于接入所述网络的第二NAS消息,所述第二NAS消息包括第二组无线设备特性,其中,所述第二组无线设备特性包括所述无线设备的一个或多个服务能力,其中,包括在所述第二NAS消息中的所述一个或多个服务能力是未包括在所述注册消息中的;以及
通过所述安全连接与所述无线设备交换其它NAS消息。
18.根据权利要求17所述的方法,其中,所述一个或多个服务能力是被用于请求包括短消息服务(SMS)、语音数据或其组合的服务的。
19.根据权利要求17所述的方法,其中,所述第二NAS消息被背负到发送到所述网络的安全模式完成消息。
20.根据权利要求17所述的方法,其中,所述注册消息包括跟踪区域更新(TAU)请求消息、或服务请求消息。
21.根据权利要求17所述的方法,还包括:
响应于所述注册消息,执行与所述无线设备的相互认证和密钥协商;以及
部分地基于作为与所述无线设备的成功认证的结果而建立的所述密钥协商来加密后续NAS消息。
22.根据权利要求21所述的方法,还包括:
接收服务请求、或跟踪区域更新(TAU)消息;
发送与所接收的服务请求、或TAU消息相关联的拒绝消息,其中,所述拒绝消息未基于在与所述无线设备的成功认证期间建立的安全上下文来被加密或完整性保护;以及
接收来自所述无线设备的第二注册消息,以基于所述第二注册消息中包括的所述无线设备的所述无线设备标识符和安全能力来与所述无线设备建立安全性。
23.根据权利要求21所述的方法,其中,执行所述相互认证和密钥协商包括:
在所述无线设备和所述网络的部件之间进行通信,所述网络的部件被配置用于使NAS消息安全。
24.根据权利要求17所述的方法,还包括:
响应于所述注册消息内包含的请求,确定所接收的注册消息的哈希值;以及
向所述无线设备发送所述哈希值。
25.一种用于无线通信的装置,包括:
用于向网络发送包括注册消息的初始非接入层(NAS)消息,以建立用于所述网络和无线设备之间的至少NAS消息的安全连接的单元,所述安全连接是至少部分地基于所述注册消息中包括的包含所述无线设备的无线设备标识符和安全能力的第一组无线设备特性来建立的;
用于经由安全连接来发送用于接入所述网络的第二NAS消息的单元,所述第二NAS消息包括第二组无线设备特性,其中,所述第二组无线设备特性包括所述无线设备的一个或多个服务能力,其中,包括在所述第二NAS消息中的所述一个或多个服务能力是未包括在所述注册消息中的;以及
用于通过所述安全连接与所述网络交换其它NAS消息的单元。
26.根据权利要求25所述的装置,其中,所述一个或多个服务能力是被用于请求包括短消息服务(SMS)、语音数据或其组合的服务的。
27.根据权利要求25所述的装置,其中,所述第二NAS消息被背负到发送到所述网络的安全模式完成消息。
28.根据权利要求25所述的装置,其中,所述注册消息包括跟踪区域更新(TAU)请求消息、或服务请求消息。
29.根据权利要求25所述的装置,还包括:
用于响应于所述注册消息,执行与所述网络的相互认证和密钥协商的单元;以及
用于部分地基于作为与所述网络的成功认证的结果而建立的所述密钥协商来加密后续NAS消息的单元。
30.根据权利要求29所述的装置,还包括:
用于进入与所述网络的注销状态的单元;以及
用于在所述注销状态中时,发送作为附着请求的第三NAS消息的单元,所述第三NAS消息是在所述相互认证和密钥协商下被加密和完整性保护的。
31.根据权利要求29所述的装置,还包括:
用于进入与所述网络的注册状态的单元;以及
用于在所述注册状态中时,采用根据所述相互认证和密钥协商的加密和完整性保护来发送所述后续NAS消息的单元。
32.根据权利要求29所述的装置,还包括:
用于进入与所述网络的空闲状态的单元;以及
用于当退出所述空闲状态时,发送服务请求的单元,所述服务请求包括该服务请求的第一部分和该服务请求的第二部分,所述第一部分具有基于在与所述网络的成功认证期间建立的安全上下文的完整性保护,所述第二部分具有基于所述安全上下文的加密和完整性保护。
33.根据权利要求32所述的装置,其中,所述第一部分包括所述无线设备标识符或密钥集合标识符中的至少一个。
34.根据权利要求29所述的装置,还包括:
用于发送服务请求、或跟踪区域更新(TAU)消息的单元;
用于接收与所发送的服务请求、或TAU消息相关联的拒绝消息的单元,其中,所述拒绝消息未基于在与所述网络的成功认证期间建立的安全上下文来被加密或完整性保护;以及
用于向所述网络发送第二注册消息,以基于所述第二注册消息中包括的所述无线设备的所述无线设备标识符和安全能力来与所述网络建立安全性的单元。
35.根据权利要求34所述的装置,还包括:
用于在接收到所述拒绝消息之后,等待预定的时间量的单元;以及
用于在发送所述第二注册消息之前,重新发送先前发送的服务请求、或TAU消息的单元。
36.根据权利要求29所述的装置,还包括:
用于发送服务请求、或跟踪区域更新(TAU)消息的单元;
用于接收与所发送的服务请求、或TAU消息相关联的拒绝消息的单元,其中,所述拒绝消息未基于在与所述网络的成功认证期间建立的安全上下文来被加密或完整性保护;以及
用于向不同的网络发送第二注册消息,以基于所述第二注册消息中包括的所述无线设备的所述无线设备标识符和安全能力来与该网络建立安全性的单元。
37.根据权利要求29所述的装置,其中,所述用于执行所述相互认证和密钥协商的单元包括:
用于在所述无线设备和所述网络的部件之间进行通信的单元,所述网络的部件被配置用于使NAS消息安全。
38.根据权利要求25所述的装置,还包括:
用于计算所述注册消息的哈希值的单元;
用于在所发送的注册消息之后,接收来自所述网络的所述注册消息的哈希值的单元;以及
用于确定计算的哈希值和接收的哈希值的数值是否匹配的单元。
39.根据权利要求38所述的装置,还包括:
用于当确定计算的和接收的哈希值数值不匹配时,重新发送所述注册消息内包含的至少一个信息单元的单元。
40.根据权利要求38所述的装置,还包括:
用于当确定计算的和接收的哈希值数值不匹配时,向所述网络重新发送所述注册消息的单元。
41.一种用于无线通信的装置,包括:
用于接收来自无线设备的包括注册消息的初始非接入层(NAS)消息,以建立用于所述无线设备和网络之间的至少非接入层(NAS)消息的安全连接的单元,其中,所述安全连接是至少部分地基于所述注册消息中包括的包含所述无线设备的无线设备标识符和安全能力的第一组无线设备特性来建立的;
用于经由安全连接来接收用于接入所述网络的第二NAS消息的单元,所述第二NAS消息包括第二组无线设备特性,其中,所述第二组无线设备特性包括所述无线设备的一个或多个服务能力,其中,包括在所述第二NAS消息中的所述一个或多个服务能力是未包括在所述注册消息中的;以及
用于通过所述安全连接与所述无线设备交换其它NAS消息的单元。
42.根据权利要求41所述的装置,其中,所述一个或多个服务能力是被用于请求包括短消息服务(SMS)、语音数据或其组合的服务的。
43.根据权利要求41所述的装置,其中,所述第二NAS消息被背负到发送到所述网络的安全模式完成消息。
44.根据权利要求41所述的装置,其中,所述注册消息包括跟踪区域更新(TAU)请求消息、或服务请求消息。
45.根据权利要求41所述的装置,还包括:
用于响应于所述注册消息,执行与所述无线设备的相互认证和密钥协商的单元;以及
用于部分地基于作为与所述无线设备的成功认证的结果而建立的所述密钥协商来加密后续NAS消息的单元。
46.根据权利要求45所述的装置,还包括:
用于接收服务请求、或跟踪区域更新(TAU)消息的单元;
用于发送与所接收的服务请求、或TAU消息相关联的拒绝消息的单元,其中,所述拒绝消息未基于在与所述无线设备的成功认证期间建立的安全上下文来被加密或完整性保护;以及
用于接收来自所述无线设备的第二注册消息,以基于所述第二注册消息中包括的所述无线设备的所述无线设备标识符和安全能力来与所述无线设备建立安全性的单元。
47.根据权利要求45所述的装置,其中,所述用于执行所述相互认证和密钥协商的单元包括:
用于在所述无线设备和所述网络的部件之间进行通信的单元,所述网络的部件被配置用于使NAS消息安全。
48.根据权利要求41所述的装置,还包括:
用于响应于所述注册消息内包含的请求,确定所接收的注册消息的哈希值;以及向所述无线设备发送所述哈希值的单元。
49.一种用于无线通信的装置,包括:
处理器;
存储器,其与所述处理器电子通信;以及
指令,其存储在所述存储器中并且在被所述处理器执行时可操作以使得所述装置:
向网络发送包括注册消息的初始非接入层(NAS)消息,以建立用于所述网络和无线设备之间的至少非接入层(NAS)消息的安全连接,其中,所述安全连接是至少部分地基于所述注册消息中包括的包含所述无线设备的无线设备标识符和安全能力的第一组无线设备特性来建立的;
经由安全连接来发送用于接入所述网络的第二NAS消息,所述第二NAS消息包括第二组无线设备特性,其中,所述第二组无线设备特性包括所述无线设备的一个或多个服务能力,其中,包括在所述第二NAS消息中的所述一个或多个服务能力是未包括在所述注册消息中的;以及
通过所述安全连接与所述网络交换其它NAS消息。
50.根据权利要求49所述的装置,其中,所述一个或多个服务能力是被用于请求包括短消息服务(SMS)、语音数据或其组合的服务的。
51.根据权利要求49所述的装置,其中,所述第二NAS消息被背负到发送到所述网络的安全模式完成消息。
52.根据权利要求49所述的装置,其中,所述注册消息包括跟踪区域更新(TAU)请求消息、或服务请求消息。
53.根据权利要求49所述的装置,其中,所述指令可操作以使得所述处理器:
响应于所述注册消息,执行与所述网络的相互认证和密钥协商;以及
部分地基于作为与所述网络的成功认证的结果而建立的所述密钥协商来加密后续NAS消息。
54.根据权利要求53所述的装置,其中,所述指令可操作以使得所述处理器:
进入与所述网络的注销状态;以及
在所述注销状态中时,发送作为附着请求的第三NAS消息,所述第三NAS消息是在所述相互认证和密钥协商下被加密和完整性保护的。
55.根据权利要求53所述的装置,其中,所述指令可操作以使得所述处理器:
进入与所述网络的注册状态;以及
在所述注册状态中时,采用根据所述相互认证和密钥协商的加密和完整性保护来发送所述后续NAS消息。
56.根据权利要求53所述的装置,其中,所述指令可操作以使得所述处理器:
进入与所述网络的空闲状态;以及
当退出所述空闲状态时,发送服务请求,所述服务请求包括该服务请求的第一部分和该服务请求的第二部分,所述第一部分具有基于在与所述网络的成功认证期间建立的安全上下文的完整性保护,所述第二部分具有基于所述安全上下文的加密和完整性保护。
57.根据权利要求56所述的装置,其中,所述第一部分包括所述无线设备标识符或密钥集合标识符中的至少一个。
58.根据权利要求53所述的装置,其中,所述指令可操作以使得所述处理器:
发送服务请求、或跟踪区域更新(TAU)消息;
接收与所发送的服务请求、或TAU消息相关联的拒绝消息,其中,所述拒绝消息未基于在与所述网络的成功认证期间建立的安全上下文来被加密或完整性保护;以及
向所述网络发送第二注册消息,以基于所述第二注册消息中包括的所述无线设备的所述无线设备标识符和安全能力来与所述网络建立安全性。
59.根据权利要求58所述的装置,其中,所述指令可操作以使得所述处理器:
在接收到所述拒绝消息之后,等待预定的时间量;以及
在发送所述第二注册消息之前,重新发送先前发送的服务请求、或TAU消息。
60.根据权利要求53所述的装置,其中,所述指令可操作以使得所述处理器:
发送服务请求、或跟踪区域更新(TAU)消息;
接收与所发送的服务请求、或TAU消息相关联的拒绝消息,其中,所述拒绝消息未基于在与所述网络的成功认证期间建立的安全上下文来被加密或完整性保护;以及
向不同的网络发送第二注册消息,以基于所述第二注册消息中包括的所述无线设备的所述无线设备标识符和安全能力来与该网络建立安全性。
61.根据权利要求53所述的装置,其中,可操作以使得所述装置执行所述相互认证和密钥协商的所述指令包括可操作以使得所述装置进行以下操作的指令:
在所述无线设备和所述网络的部件之间进行通信,所述网络的部件被配置用于使NAS消息安全。
62.根据权利要求49所述的装置,其中,所述指令可操作以使得所述处理器:
计算所述注册消息的哈希值;
在所发送的注册消息之后,接收来自所述网络的所述注册消息的哈希值;以及
确定计算的哈希值和接收的哈希值的数值是否匹配。
63.根据权利要求62所述的装置,其中,所述指令可操作以使得所述处理器:
当确定计算的和接收的哈希值数值不匹配时,重新发送所述注册消息内包含的至少一个信息单元。
64.根据权利要求62所述的装置,其中,所述指令可操作以使得所述处理器:
当确定计算的和接收的哈希值数值不匹配时,向所述网络重新发送所述注册消息。
65.一种用于无线通信的装置,包括:
处理器;
存储器,其与所述处理器电子通信;以及
指令,其存储在所述存储器中并且在被所述处理器执行时可操作以使得所述装置:
接收来自无线设备的包括注册消息的初始非接入层(NAS)消息,以建立用于所述无线设备和网络之间的至少非接入层(NAS)消息的安全连接,其中,所述安全连接是至少部分地基于所述注册消息中包括的包含所述无线设备的无线设备标识符和安全能力的第一组无线设备特性来建立的;
经由安全连接来接收用于接入所述网络的第二NAS消息,所述第二NAS消息包括第二组无线设备特性,其中,所述第二组无线设备特性包括所述无线设备的一个或多个服务能力,其中,包括在所述第二NAS消息中的所述一个或多个服务能力是未包括在所述注册消息中的;以及
通过所述安全连接与所述无线设备交换其它NAS消息。
66.根据权利要求65所述的装置,其中,所述一个或多个服务能力是被用于请求包括短消息服务(SMS)、语音数据或其组合的服务的。
67.根据权利要求65所述的装置,其中,所述第二NAS消息被背负到发送到所述网络的安全模式完成消息。
68.根据权利要求65所述的装置,其中,所述注册消息包括跟踪区域更新(TAU)请求消息、或服务请求消息。
69.根据权利要求65所述的装置,其中,所述指令可操作以使得所述处理器:
响应于所述注册消息,执行与所述无线设备的相互认证和密钥协商;以及
部分地基于作为与所述无线设备的成功认证的结果而建立的所述密钥协商来加密后续NAS消息。
70.根据权利要求69所述的装置,其中,所述指令可操作以使得所述处理器:
接收服务请求、或跟踪区域更新(TAU)消息;
发送与所接收的服务请求、或TAU消息相关联的拒绝消息,其中,所述拒绝消息未基于在与所述无线设备的成功认证期间建立的安全上下文来被加密或完整性保护;以及
接收来自所述无线设备的第二注册消息,以基于所述第二注册消息中包括的所述无线设备的所述无线设备标识符和安全能力来与所述无线设备建立安全性。
71.根据权利要求69所述的装置,其中,可操作以使得所述装置执行所述相互认证和密钥协商的所述指令包括可操作以使得所述装置进行以下操作的指令:
在所述无线设备和所述网络的部件之间进行通信,所述网络的部件被配置用于使NAS消息安全。
72.根据权利要求71所述的装置,其中,所述指令可操作以使得所述处理器:
响应于所述注册消息内包含的请求,确定所接收的注册消息的哈希值;以及
向所述无线设备发送所述哈希值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111220191.9A CN114095155A (zh) | 2016-04-27 | 2017-03-27 | 增强的非接入层安全 |
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662328430P | 2016-04-27 | 2016-04-27 | |
US62/328,430 | 2016-04-27 | ||
US15/286,002 | 2016-10-05 | ||
US15/286,002 US10334435B2 (en) | 2016-04-27 | 2016-10-05 | Enhanced non-access stratum security |
PCT/US2017/024260 WO2017189139A1 (en) | 2016-04-27 | 2017-03-27 | Enhanced non-access stratum security |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111220191.9A Division CN114095155A (zh) | 2016-04-27 | 2017-03-27 | 增强的非接入层安全 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109076079A CN109076079A (zh) | 2018-12-21 |
CN109076079B true CN109076079B (zh) | 2021-10-08 |
Family
ID=60159223
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111220191.9A Pending CN114095155A (zh) | 2016-04-27 | 2017-03-27 | 增强的非接入层安全 |
CN201780024982.XA Active CN109076079B (zh) | 2016-04-27 | 2017-03-27 | 用于增强的非接入层安全的方法、装置和计算机可读介质 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111220191.9A Pending CN114095155A (zh) | 2016-04-27 | 2017-03-27 | 增强的非接入层安全 |
Country Status (10)
Country | Link |
---|---|
US (2) | US10334435B2 (zh) |
EP (1) | EP3449608B1 (zh) |
CN (2) | CN114095155A (zh) |
AU (1) | AU2017258596B2 (zh) |
BR (1) | BR112018072027A2 (zh) |
CA (1) | CA3017611A1 (zh) |
ES (1) | ES2863310T3 (zh) |
SG (1) | SG11201807644TA (zh) |
TW (1) | TWI724132B (zh) |
WO (1) | WO2017189139A1 (zh) |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10334435B2 (en) | 2016-04-27 | 2019-06-25 | Qualcomm Incorporated | Enhanced non-access stratum security |
CN106896356B (zh) * | 2016-08-17 | 2019-11-19 | 阿里巴巴集团控股有限公司 | 确定距离变化的方法、位置提示方法及其装置和系统 |
US11696250B2 (en) * | 2016-11-09 | 2023-07-04 | Intel Corporation | UE and devices for detach handling |
CN109756451B (zh) * | 2017-11-03 | 2022-04-22 | 华为技术有限公司 | 一种信息交互方法及装置 |
CN109788474A (zh) * | 2017-11-14 | 2019-05-21 | 华为技术有限公司 | 一种消息保护的方法及装置 |
HUE059620T2 (hu) * | 2018-02-19 | 2022-12-28 | Ericsson Telefon Ab L M | A különbözõ vezeték nélküli kommunikációs rendszerek közötti együttmûködés és/vagy mobilitás támogatása |
TWI714968B (zh) * | 2018-02-22 | 2021-01-01 | 新加坡商 聯發科技(新加坡)私人有限公司 | 追蹤區域更新程序改良之方法及其裝置 |
CN110574407B (zh) * | 2018-03-06 | 2023-04-04 | 联发科技(新加坡)私人有限公司 | 用于保护初始非接入层消息的用户设备和方法 |
US10939280B2 (en) * | 2018-04-05 | 2021-03-02 | Qualcomm Incorporated | Optimization of user equipment radio capability signaling |
CN110536415B (zh) * | 2018-05-23 | 2020-11-20 | 大唐移动通信设备有限公司 | 一种nas消息的处理方法、集群终端和集群核心网 |
WO2019228402A1 (en) * | 2018-05-29 | 2019-12-05 | Mediatek Singapore Pte. Ltd. | Detection of rogue cells in 5g mobile communications |
EP3576366B1 (en) * | 2018-05-29 | 2021-06-16 | EXFO Oy | Method and fake base station for detecting subscriber identity |
EP3857935A4 (en) * | 2018-09-24 | 2023-01-04 | Nokia Technologies Oy | NAS MESSAGE SECURITY PROTECTION SYSTEMS AND METHOD |
EP3834444B1 (en) * | 2018-10-03 | 2023-08-09 | Sony Group Corporation | Method for identifying terminal capabilities in a wireless communication system |
WO2020113519A1 (zh) * | 2018-12-06 | 2020-06-11 | 深圳市欢太科技有限公司 | 伪基站的识别方法、装置、移动终端及存储介质 |
US10609667B1 (en) * | 2019-01-28 | 2020-03-31 | Verizon Patent And Licensing Inc. | System and method for delivery of end device policies during registration procedure |
US11159944B2 (en) * | 2019-02-21 | 2021-10-26 | T-Mobile Usa, Inc. | Wireless-network attack detection |
WO2020173462A1 (en) * | 2019-02-26 | 2020-09-03 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for handling a non-integrity-protected reject message |
WO2020182557A1 (en) * | 2019-03-13 | 2020-09-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Providing ue capability information to an authentication server |
US20200322795A1 (en) * | 2019-04-03 | 2020-10-08 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for alignment of common non access stratum (nas) security context |
WO2020209634A1 (en) * | 2019-04-09 | 2020-10-15 | Samsung Electronics Co., Ltd. | Method and apparatus for performing communication in wireless communication system |
CN112087297B (zh) * | 2019-06-14 | 2022-05-24 | 华为技术有限公司 | 一种获取安全上下文的方法、系统及设备 |
US20210105611A1 (en) * | 2019-10-04 | 2021-04-08 | Qualcomm Incorporated | User equipment radio capability protection |
WO2021144238A1 (en) * | 2020-01-13 | 2021-07-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Robust nas layer signaling |
CN115699831A (zh) | 2020-04-30 | 2023-02-03 | 三星电子株式会社 | 用于保护敏感用户面流量的方法和装置 |
CN111614648B (zh) * | 2020-05-14 | 2021-10-15 | 西安交通大学 | 一种工业物联网抗主动窃听物理层安全传输方法 |
US20220078617A1 (en) * | 2020-09-08 | 2022-03-10 | Qualcomm Incorporated | Optimization for an initial access stratum security mode command procedure |
WO2024000412A1 (zh) * | 2022-06-30 | 2024-01-04 | Oppo广东移动通信有限公司 | 通信方法和通信装置 |
WO2024031732A1 (zh) * | 2022-08-12 | 2024-02-15 | 北京小米移动软件有限公司 | 终端设备能力指示方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101505479A (zh) * | 2009-03-16 | 2009-08-12 | 中兴通讯股份有限公司 | 一种认证过程中安全上下文协商方法和系统 |
CN101686233A (zh) * | 2008-09-24 | 2010-03-31 | 大唐移动通信设备有限公司 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
CN101925050A (zh) * | 2010-08-19 | 2010-12-22 | 华为技术有限公司 | 一种安全上下文的生成方法及装置 |
EP3554113A1 (en) * | 2008-08-15 | 2019-10-16 | Samsung Electronics Co., Ltd. | Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system |
Family Cites Families (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2429607B (en) * | 2005-08-26 | 2010-02-10 | Samsung Electronics Co Ltd | Improvements in mobile telecommunication security |
AU2007269999A1 (en) | 2006-06-19 | 2008-01-10 | Interdigital Technology Corporation | Method and apparatus for security protection of an original user identity in an initial signaling message |
US8699711B2 (en) * | 2007-07-18 | 2014-04-15 | Interdigital Technology Corporation | Method and apparatus to implement security in a long term evolution wireless device |
US8532614B2 (en) * | 2007-10-25 | 2013-09-10 | Interdigital Patent Holdings, Inc. | Non-access stratum architecture and protocol enhancements for long term evolution mobile units |
CN101336000B (zh) * | 2008-08-06 | 2011-11-30 | 中兴通讯股份有限公司 | 协议配置选项传输方法及系统、用户终端 |
US9276909B2 (en) | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
KR101475349B1 (ko) * | 2008-11-03 | 2014-12-23 | 삼성전자주식회사 | 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치 |
US8526617B2 (en) * | 2008-12-29 | 2013-09-03 | Htc Corporation | Method of handling security configuration in wireless communications system and related communication device |
KR20110119785A (ko) * | 2009-02-16 | 2011-11-02 | 텔레폰악티에볼라겟엘엠에릭슨(펍) | 비-암호화 망 동작 해결책 |
CN101868036A (zh) * | 2009-04-15 | 2010-10-20 | 大唐移动通信设备有限公司 | 一种控制ue接入网络的方法及系统 |
KR101700448B1 (ko) * | 2009-10-27 | 2017-01-26 | 삼성전자주식회사 | 이동 통신 시스템에서 보안 관리 시스템 및 방법 |
US20130042011A1 (en) * | 2010-04-14 | 2013-02-14 | Panasonic Corporation | Communication nodes and network nodes |
US9385862B2 (en) * | 2010-06-16 | 2016-07-05 | Qualcomm Incorporated | Method and apparatus for binding subscriber authentication and device authentication in communication systems |
US9826404B2 (en) * | 2011-01-11 | 2017-11-21 | Qualcomm Incorporated | System and method for peer-to-peer authorization via non-access stratum procedures |
CN104067650B (zh) * | 2012-01-26 | 2019-01-29 | 瑞典爱立信有限公司 | 网络中服务节点的操作 |
WO2013137698A1 (ko) * | 2012-03-16 | 2013-09-19 | 엘지전자 주식회사 | 무선 통신 시스템에서 nas 시그널링 요청 처리 방법 및 장치 |
USRE48631E1 (en) * | 2012-06-08 | 2021-07-06 | Samsung Electronics Co., Ltd. | Method and system for selective protection of data exchanged between user equipment and network |
CN102833739B (zh) * | 2012-08-24 | 2015-07-01 | 大唐移动通信设备有限公司 | 一种初始非接入层消息的传输方法、装置及系统 |
US9628941B2 (en) * | 2012-09-26 | 2017-04-18 | Lg Electronics Inc. | MTC monitoring method |
GB2508006A (en) * | 2012-11-16 | 2014-05-21 | Broadcom Corp | Changing a device from communicating with a first to a second data communication system by determining a change in the devices capabilities |
GB2513311B (en) * | 2013-04-22 | 2020-05-27 | Sony Corp | Communications device and method |
EP3152962B1 (en) * | 2014-06-04 | 2017-09-06 | Telefonaktiebolaget LM Ericsson (publ) | Terminating service restriction for user equipments having power saving mode |
US9949125B2 (en) * | 2014-08-04 | 2018-04-17 | Lg Electronics Inc. | Method for authenticating terminal in wireless communication system, and device for same |
US9998449B2 (en) * | 2014-09-26 | 2018-06-12 | Qualcomm Incorporated | On-demand serving network authentication |
WO2017092813A1 (en) * | 2015-12-03 | 2017-06-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Multi-rat access stratum security |
US9788208B2 (en) * | 2015-12-31 | 2017-10-10 | Mediatek Inc. | Apparatuses and methods for recovering from security mode command failures |
US10382206B2 (en) * | 2016-03-10 | 2019-08-13 | Futurewei Technologies, Inc. | Authentication mechanism for 5G technologies |
US10873464B2 (en) * | 2016-03-10 | 2020-12-22 | Futurewei Technologies, Inc. | Authentication mechanism for 5G technologies |
US10334435B2 (en) | 2016-04-27 | 2019-06-25 | Qualcomm Incorporated | Enhanced non-access stratum security |
-
2016
- 2016-10-05 US US15/286,002 patent/US10334435B2/en active Active
-
2017
- 2017-03-15 TW TW106108431A patent/TWI724132B/zh active
- 2017-03-27 SG SG11201807644TA patent/SG11201807644TA/en unknown
- 2017-03-27 EP EP17719054.3A patent/EP3449608B1/en active Active
- 2017-03-27 BR BR112018072027-5A patent/BR112018072027A2/pt unknown
- 2017-03-27 AU AU2017258596A patent/AU2017258596B2/en active Active
- 2017-03-27 CA CA3017611A patent/CA3017611A1/en active Pending
- 2017-03-27 ES ES17719054T patent/ES2863310T3/es active Active
- 2017-03-27 CN CN202111220191.9A patent/CN114095155A/zh active Pending
- 2017-03-27 WO PCT/US2017/024260 patent/WO2017189139A1/en active Application Filing
- 2017-03-27 CN CN201780024982.XA patent/CN109076079B/zh active Active
-
2019
- 2019-05-07 US US16/405,707 patent/US10674360B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3554113A1 (en) * | 2008-08-15 | 2019-10-16 | Samsung Electronics Co., Ltd. | Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system |
CN101686233A (zh) * | 2008-09-24 | 2010-03-31 | 大唐移动通信设备有限公司 | Ue与网络安全算法不匹配的处理方法、系统及装置 |
CN101505479A (zh) * | 2009-03-16 | 2009-08-12 | 中兴通讯股份有限公司 | 一种认证过程中安全上下文协商方法和系统 |
CN101925050A (zh) * | 2010-08-19 | 2010-12-22 | 华为技术有限公司 | 一种安全上下文的生成方法及装置 |
Non-Patent Citations (4)
Title |
---|
3GPP System Architecture Evolution * |
3GPP.3rd Generation Partnership Project * |
CT WG1 Aspects (Release 8).《3GPP TR 24.801 V8.1.0》.2008, * |
Technical Specification Group Core Network and Terminals * |
Also Published As
Publication number | Publication date |
---|---|
US10674360B2 (en) | 2020-06-02 |
SG11201807644TA (en) | 2018-11-29 |
EP3449608A1 (en) | 2019-03-06 |
US20190268769A1 (en) | 2019-08-29 |
ES2863310T3 (es) | 2021-10-11 |
BR112018072027A2 (pt) | 2019-02-12 |
CA3017611A1 (en) | 2017-11-02 |
CN114095155A (zh) | 2022-02-25 |
WO2017189139A1 (en) | 2017-11-02 |
US20170318463A1 (en) | 2017-11-02 |
EP3449608B1 (en) | 2021-01-06 |
AU2017258596B2 (en) | 2022-02-03 |
AU2017258596A1 (en) | 2018-10-04 |
US10334435B2 (en) | 2019-06-25 |
TWI724132B (zh) | 2021-04-11 |
CN109076079A (zh) | 2018-12-21 |
TW201739276A (zh) | 2017-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109076079B (zh) | 用于增强的非接入层安全的方法、装置和计算机可读介质 | |
US20230353379A1 (en) | Authentication Mechanism for 5G Technologies | |
US11653199B2 (en) | Multi-RAT access stratum security | |
US11528603B2 (en) | Access stratum security for efficient packet processing | |
EP2815598B1 (en) | Security solution for integrating a wifi radio interface in lte access network | |
KR101735256B1 (ko) | 네트워크 전개들에서의 크리덴셜들의 프로비저닝을 위한 방법들 및 장치 | |
US11070981B2 (en) | Information protection to detect fake base stations | |
WO2019062996A1 (zh) | 一种安全保护的方法、装置和系统 | |
KR102443184B1 (ko) | 보안 비연결형 업링크 소형 데이터 송신을 위한 방법들 및 장치 | |
CN112154624A (zh) | 针对伪基站的用户身份隐私保护 | |
CN109691154B (zh) | 基于密钥刷新的按需网络功能重新认证 | |
EP3485693B1 (en) | Method and apparatus for authentication with privacy identity | |
CN110495199B (zh) | 无线网络中的安全小区重定向 | |
EP3406046B1 (en) | Downlink control channel encryption for jamming resilience | |
WO2020056433A2 (en) | SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo) | |
US20200344605A1 (en) | Detection of system information modification using access stratum security mode command | |
CN115942305A (zh) | 一种会话建立方法和相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |