ES2863310T3 - Seguridad mejorada de estrato de no acceso - Google Patents

Seguridad mejorada de estrato de no acceso Download PDF

Info

Publication number
ES2863310T3
ES2863310T3 ES17719054T ES17719054T ES2863310T3 ES 2863310 T3 ES2863310 T3 ES 2863310T3 ES 17719054 T ES17719054 T ES 17719054T ES 17719054 T ES17719054 T ES 17719054T ES 2863310 T3 ES2863310 T3 ES 2863310T3
Authority
ES
Spain
Prior art keywords
network
wireless device
nas
message
secure connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17719054T
Other languages
English (en)
Inventor
Soo Bum Lee
Anand Palanigounder
Adrian Edward Escott
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Application granted granted Critical
Publication of ES2863310T3 publication Critical patent/ES2863310T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un procedimiento de comunicación inalámbrica, que comprende: transmitir un mensaje de registro (305; 355) a una red (130-b-1; 130-b-2) para establecer una conexión segura en base a una autenticación mutua y un acuerdo de claves (315; 365) con la red (130-b-1; 130- b-2) para al menos mensajes de estrato de no acceso, NAS, entre la red (130-b-1; 130-b-2) y un dispositivo inalámbrico (115-c-1; 115-c -2), donde la conexión segura está basada, al menos en parte, en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico (115-c-1; 115-c-2) incluidos en el mensaje de registro (305; 355); transmitir, a través de la conexión segura, una solicitud de vinculación (325; 330; 370) que incluye capacidades del dispositivo inalámbrico no incluidas en el mensaje de registro (305; 355) para acceder a la red (130-b-1; 130-b-2) después de la autenticación mutua y el acuerdo de claves (315; 365); e intercambiar mensajes NAS con la red (130-b-1; 130-b-2) a través de la conexión segura.

Description

DESCRIPCIÓN
Seguridad mejorada de estrato de no acceso
REFERENCIAS CRUZADAS
[0001] La presente solicitud de patente reivindica prioridad sobre la solicitud de patente de EE. UU. n.° 15/286,002 de Lee et al., titulada "Enhanced Non-Access Stratum Security [Seguridad mejorada de estrato de no acceso]", presentada el 5 de octubre de 2016, y sobre la solicitud de patente provisional de EE.UU. n.° 62/328,430 de Lee et al., titulada "Enhanced Non-Access Stratum Security", presentada el 27 de abril de 2016, cada una de las cuales está asignada al cesionario de la misma.
ANTECEDENTES
[0002] Los siguiente se refiere, en general, a la comunicación inalámbrica y, más específicamente, a una seguridad mejorada de estrato de no acceso (NAS).
[0003] Los sistemas de comunicación inalámbrica están ampliamente implantados para proporcionar diversos tipos de contenido de comunicación, tales como voz, vídeo, datos en paquetes, mensajería, radiodifusión, etc. Estos sistemas pueden admitir la comunicación con múltiples usuarios compartiendo los recursos de sistema disponibles (por ejemplo, tiempo, frecuencia y potencia). Ejemplos de dichos sistemas de acceso múltiple incluyen sistemas de acceso múltiple por división de código (CDMA), sistemas de acceso múltiple por división de tiempo (TDMA), sistemas de acceso múltiple por división de frecuencia (FDMA) y sistemas de acceso múltiple por división ortogonal de frecuencia (OFDMA). Un sistema de comunicación inalámbrica de acceso múltiple puede incluir una pluralidad de estaciones base, cada una de las cuales admite simultáneamente comunicación con múltiples dispositivos de comunicación, que pueden denominarse equipos de usuario (UE).
[0004] Por tanto, un UE puede participar en comunicaciones con una red. Algunas comunicaciones de red pueden ser entre un UE y una red central, que puede incluir una pila de protocolos para facilitar las comunicaciones de red. Una capa funcional usada en la pila de protocolos de red central es una capa NAS. La capa NAS es un conjunto de protocolos y se usa, en general, para transmitir señales que no son de radio entre un UE y una entidad de gestión de movilidad (MME) para acceder a una red (tal como una red de Evolución a Largo Plazo (LTE) o una red de acceso radioeléctrico terrestre (E-UTRAN) del sistema universal de telefonía móvil (UMTS)). En algunos ejemplos, la capa NAS se puede usar para gestionar el establecimiento de sesiones de comunicación con un UE y para mantener comunicaciones continuas con un UE a medida que el UE se mueve. En algunos ejemplos, se puede proporcionar acceso a red cuando un UE transmite a la capa NAS una solicitud de vinculación. La capa NAS puede responder permitiendo que el UE se vincule a la red.
[0005] En algunos casos, las comunicaciones de red pueden estar protegidas. Las comunicaciones protegidas pueden incluir comunicaciones que contienen información privada o confidencial. Sin embargo, algunos tipos de comunicaciones de red pueden carecer de protección o seguridad. En particular, los mensajes comunicados antes de que se hayan acordado algoritmos de seguridad entre un UE y una red central pueden carecer de la protección adecuada. Como otro ejemplo, los mensajes de establecimiento de comunicación también pueden carecer de la seguridad adecuada. Los mensajes NAS no protegidos y, en particular, los que se usan para vincular un UE a una red, pueden ser ejemplos de dichas comunicaciones no protegidas. Las comunicaciones no protegidas pueden ser utilizadas por atacantes, por ejemplo.
[0006] El documento US 2010/0054472 A1 divulga técnicas para realizar un registro con una red inalámbrica usando protección de integridad y/o cifrado. Un equipo de usuario (UE) puede realizar un procedimiento de seguridad con la red inalámbrica para una primera sesión y puede generar datos de contexto de seguridad de UE en el UE. Los datos de contexto de seguridad de UE pueden incluir una clave de cifrado usada para el cifrado, una clave de integridad usada para la protección de la integridad, una identidad de UE temporal y/u otra información. El UE puede usar los datos de contexto de seguridad de UE para una comunicación segura con la red inalámbrica durante la primera sesión. El UE puede almacenar los datos de contexto de seguridad de UE tras la finalización de la primera sesión. El UE puede usar posteriormente los datos de contexto de seguridad de UE almacenados para registrarse con la red inalámbrica para una segunda sesión después de la primera sesión. El UE puede realizar protección de integridad y/o cifrado de uno o varios mensajes para el registro en base a los datos de contexto de seguridad de UE almacenados.
[0007] El documento "3rd Generation Partnership Project; Technical Specification Group Core Network and Termináis; 3GPP System Architecture Evolution; CTWG1 Aspects (Release 8)" Borrador del 3GPP; Centro de Competencias Móviles del Proyecto de Colaboración de Tercera Generación (3GPP); 650, Route Des Lucioles, divulga que un UE puede transmitir un mensaje a la entidad de gestión móvil (MME) que contiene las capacidades del UE y que la MME puede seleccionar algoritmos de cifrado en consecuencia.
BREVE EXPLICACIÓN
[0008] El problema subyacente de la presente invención se resuelve mediante las reivindicaciones independientes.
[0009] Un equipo de usuario (UE) puede estar configurado para establecer una conexión segura de estrato de no acceso (NAS) con una red central basándose en una autenticación y un acuerdo de claves (AKA). Para ello, un UE puede enviar una solicitud de registro inicial a una red. La solicitud de registro puede estar limitada en su contenido. Por ejemplo, la solicitud de registro puede estar limitada a incluir la identificación del UE y las capacidades de seguridad del UE. Otra información, incluida información que un usuario puede desear que se proteja o transmita a través de una conexión segura, puede no incluirse en la solicitud de registro, sino que puede incluirse en transmisiones seguras posteriores. Por ejemplo, después de que se realice un procedimiento AKA y se establezca una conexión NAS segura, el UE puede realizar un procedimiento de vinculación con la red a través de la conexión NAS segura. Debido a que el procedimiento de vinculación se realiza a través de una conexión segura, el procedimiento de vinculación puede incluir información adicional que un usuario puede querer proteger. La solicitud de vinculación puede transmitirse junto con un mensaje de modo de seguridad NAS completado desde el UE a la red. La seguridad de mensaje NAS establecida puede aplicarse a mensajes NAS posteriores en diferentes modos operativos de UE después de un registro realizado con éxito y en intentos de nuevo registro posteriores por parte del UE.
[0010] Se describe un procedimiento de comunicación inalámbrica. El procedimiento puede incluir transmitir un mensaje de registro a una red para establecer una conexión segura para al menos mensajes NAS entre la red y un dispositivo inalámbrico, donde la conexión segura está basada, al menos en parte, en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro, e intercambiar mensajes NAS con la red a través de la conexión segura.
[0011] Se describe un aparato de comunicación inalámbrica. El aparato puede incluir medios para transmitir un mensaje de registro a una red para establecer una conexión segura para al menos mensajes NAS entre la red y un dispositivo inalámbrico, donde la conexión segura está basada, al menos en parte, en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro, y medios para intercambiar mensajes NAS con la red a través de la conexión segura.
[0012] Se describe un aparato adicional. El aparato puede incluir un procesador, memoria en comunicación electrónica con el procesador e instrucciones almacenadas en la memoria. Las instrucciones pueden llevarse a cabo para hacer que el procesador transmita un mensaje de registro a una red para establecer una conexión segura para al menos mensajes NAS entre la red y un dispositivo inalámbrico, donde la conexión segura está basada, al menos en parte, en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro, e intercambie mensajes NAS con la red a través de la conexión segura.
[0013] Se describe un medio no transitorio legible por ordenador para la comunicación inalámbrica. El medio no transitorio legible por ordenador puede incluir instrucciones para hacer que un procesador transmita un mensaje de registro a una red para establecer una conexión segura para al menos mensajes NAS entre la red y un dispositivo inalámbrico, donde la conexión segura está basada en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro, e intercambie mensajes NAS con la red a través de la conexión segura.
[0014] En algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente, el intercambio de mensajes NAS puede incluir transmitir una solicitud de vinculación para acceder a la red. En algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente, la solicitud de vinculación se añade a un mensaje de modo de seguridad completado transmitido a la red. En algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente, el mensaje de registro es un mensaje de solicitud de vinculación, un mensaje de solicitud de actualización de área de seguimiento (TAU) o un mensaje de solicitud de servicio.
[0015] Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para realizar, en respuesta al mensaje de registro, una autenticación mutua y un acuerdo de claves con la red. Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para cifrar mensajes NAS posteriores en base, en parte, el acuerdo de claves establecido como resultado de una autenticación realizada con éxito con la red.
[0016] Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para entrar en un estado de registro anulado con la red. Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para transmitir, durante el estado de registro anulado, una solicitud de vinculación, donde la solicitud de vinculación está cifrada y protegida en su integridad bajo la autenticación mutua y el acuerdo claves.
[0017] Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para entrar en un estado registrado con la red. Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para transmitir, durante el estado registrado, los mensajes NAS posteriores con cifrado y protección de integridad de acuerdo con la autenticación mutua y el acuerdo de claves.
[0018] Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para entrar en un estado inactivo con la red. Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para transmitir, al salir del estado inactivo, una solicitud de servicio que incluye una primera parte de la solicitud de servicio que tiene protección de integridad en base a un contexto de seguridad establecido durante la autenticación realizada con éxito con la red y una segunda parte de la solicitud de servicio que tiene cifrado y protección de integridad en base al contexto de seguridad.
[0019] En algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente, la primera parte incluye al menos uno del identificador de dispositivo inalámbrico o un identificador de conjunto de claves.
[0020] Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para transmitir una solicitud de vinculación, una solicitud de servicio o un mensaje TAU. Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para recibir un mensaje de rechazo asociado a la solicitud de vinculación, una solicitud de servicio o un mensaje TAU transmitidos, donde el mensaje de rechazo no está cifrado o protegido en su integridad en base a un contexto de seguridad establecido durante la autenticación realizada con éxito con la red. Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para transmitir un segundo mensaje de registro a la red para establecer seguridad con la red en base al identificador de dispositivo inalámbrico y capacidades de seguridad del dispositivo inalámbrico incluidos en el segundo mensaje de registro.
[0021] Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para esperar una cantidad de tiempo predeterminada después de recibir el mensaje de rechazo. Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para retransmitir la solicitud de vinculación, una solicitud de servicio o un mensaje TAU previamente transmitidos antes de transmitir el segundo mensaje de registro.
[0022] En algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente, realizar la autenticación mutua y el acuerdo de claves puede incluir la comunicación entre el dispositivo inalámbrico y un componente de la red que está configurado para proteger los mensajes NAS.
[0023] Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además calcular un hash de la solicitud de registro, recibir un hash de la solicitud de registro desde la red después del mensaje de registro transmitido y determinar si los valores del hash calculado y el hash recibido coinciden. Algunos ejemplos pueden incluir además retransmitir al menos un elemento de información contenido dentro del mensaje de registro al determinar que los valores hash calculados y recibidos no coinciden. Algunos procedimientos pueden incluir además retransmitir el mensaje de registro a la red al determinar que los valores hash calculados y recibidos no coinciden.
[0024] Se describe un procedimiento de comunicación inalámbrica. El procedimiento puede incluir recibir un mensaje de registro desde un dispositivo inalámbri
NAS entre el dispositivo inalámbrico y una red, donde la conexión segura está basada, al menos en parte, en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro, e intercambiar mensajes NAS con el dispositivo inalámbrico a través de la conexión segura.
[0025] Se describe un aparato de comunicación inalámbrica. El aparato puede incluir medios para recibir un mensaje de registro desde un dispositivo inalámbri
NAS entre el dispositivo inalámbrico y una red, donde la conexión segura está basada, al menos en parte, en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro, y medios para intercambiar mensajes NAS con el dispositivo inalámbrico a través de la conexión segura.
[0026] Se describe un aparato adicional. El aparato puede incluir un procesador, memoria en comunicación electrónica con el procesador e instrucciones almacenadas en la memoria. Las instrucciones pueden llevarse a cabo para hacer que el procesador reciba un mensaje de registro desde un dispositivo inalámbri
una conexión segura para al menos mensajes NAS entre el dispositivo inalámbrico y una red, donde la conexión segura está basada, al menos en parte, en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro, e intercambie mensajes NAS con el dispositivo inalámbrico a través de la conexión segura.
[0027] Se describe un medio no transitorio legible por ordenador para la comunicación inalámbrica. El medio no transitorio legible por ordenador puede incluir instrucciones para hacer que un procesador reciba un mensaje de registro desde un dispositivo inalámbri
el dispositivo inalámbrico y una red, donde la conexión segura está basada en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro, e intercambie mensajes NAS con el dispositivo inalámbrico a través de la conexión segura.
[0028] En algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente, el intercambio de mensajes NAS puede incluir recibir una solicitud de vinculación desde el UE para acceder a la red. En algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente, la solicitud de vinculación se añade a un mensaje de modo de seguridad completado transmitido a la red. En algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente, el mensaje de registro es un mensaje de solicitud de vinculación.
[0029] Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para realizar, en respuesta al mensaje de registro, una autenticación mutua y un acuerdo de claves con el dispositivo inalámbrico. Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para cifrar mensajes NAS posteriores en base, en parte, el acuerdo de claves establecido como resultado de una autenticación realizada con éxito con el dispositivo inalámbrico.
[0030] Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para recibir una solicitud de vinculación, una solicitud de servicio o un mensaje TAU. Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para transmitir un mensaje de rechazo asociado a la solicitud de vinculación, una solicitud de servicio o un mensaje TAU recibidos, donde el mensaje de rechazo no está cifrado o protegido en su integridad en base a un contexto de seguridad establecido durante la autenticación realizada con éxito con el dispositivo inalámbrico. Algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente pueden incluir además procesos, características, medios o instrucciones para recibir un segundo mensaje de registro desde el dispositivo inalámbri
base al identificador de dispositivo inalámbrico y capacidades de seguridad del dispositivo inalámbrico incluidos en el segundo mensaje de registro.
[0031] En algunos ejemplos del procedimiento, aparato o medio no transitorio legible por ordenador descritos anteriormente, realizar la autenticación mutua y el acuerdo de claves comprende: realizar una comunicación entre el dispositivo inalámbrico y un componente de la red que está configurado para proteger los mensajes NAS.
BREVE DESCRIPCIÓN DE LOS DIBUJOS
[0032]
La FIG. 1 ilustra un ejemplo de un sistema de comunicaciones inalámbricas que admite seguridad mejorada de estrato de no acceso (NAS) de acuerdo con aspectos de la presente divulgación;
las FIGS. 2A y 2B muestran diagramas de flujo que ilustran problemas en la transmisión de mensajes NAS no protegidos;
las FIGS. 3A y 3B muestran diagramas de flujo que ilustran un protocolo de conexión segura para proteger los mensajes NAS enviados por un equipo de usuario (UE) de acuerdo con aspectos de la presente divulgación;
las FIGS. 4A y 4B muestran diagramas de flujo que ilustran casos de protección de mensajes NAS posteriores en diferentes modos de acuerdo con aspectos de la presente divulgación;
la FIG. 5 muestra un diagrama de flujo que ilustra un procedimiento de nuevo registro tras un fallo de verificación de integridad de acuerdo con aspectos de la presente divulgación;
las FIGS. 6 a 8 muestran diagramas de bloques de un dispositivo inalámbrico que admite seguridad NAS mejorada de acuerdo con aspectos de la presente divulgación;
La FIG. 9 ilustra un diagrama de bloques de un sistema que incluye un UE que admite seguridad NAS mejorada de acuerdo con aspectos de la presente divulgación;
las FIGS. 10 a 12 muestran diagramas de bloques de un dispositivo inalámbrico que admite seguridad NAS mejorada de acuerdo con aspectos de la presente divulgación;
la FIG. 13 ilustra un diagrama de bloques de un dispositivo de red que admite seguridad NAS mejorada de acuerdo con aspectos de la presente divulgación; y
las FIGS. 14 a 17 ilustran procedimientos de seguridad NAS mejorada de acuerdo con aspectos de la presente divulgación.
DESCRIPCIÓN DETALLADA
[0033] Una capa de estrato de no acceso (NAS) es un conjunto de protocolos usados para transmitir señales que no son de radio entre un UE y una entidad de gestión de movilidad (MME) para acceder a una red (tal como una red de Evolución a Largo Plazo (LTE) o una red de acceso radioeléctrico terrestre (E-UTRAN) del sistema universal de telefonía móvil (UMTS)). Las funciones principales de los protocolos que forman parte del NAS pueden incluir la prestación de servicios para la movilidad de los UE, la gestión de portadoras del sistema evolucionado de conmutación de paquetes (EPS), la autenticación, el control de seguridad y la gestión de la conexión. Un UE puede comunicarse con el NAS por medio de mensajes transmitidos entre el UE y el NAS. Normalmente, un primer mensaje NAS entre un UE y una MME puede ser una solicitud de vinculación, aunque otros tipos de mensajes pueden incluir una solicitud de servicio o un mensaje de solicitud de conectividad. Si el UE es nuevo en la red, la MME también puede solicitar la identidad del UE (por ejemplo, una identificación de abonado móvil internacional (IMSI)).
[0034] Los mensajes iniciales enviados entre un UE y una MME pueden estar no protegidos. Por tanto, el contenido de estos mensajes iniciales puede ser leído por partes externas y atacantes (por ejemplo, descodificando el mensaje enviado a través de un medio inalámbrico o haciéndose pasar por una estación base). Como resultado, las partes externas o los atacantes pueden descubrir información privada acerca del UE o su usuario, o incluso pueden utilizar la información interceptada e inhabilitar determinados servicios para el UE.
[0035] En consecuencia, los sistemas inalámbricos pueden incluir procedimientos de seguridad NAS para mitigar las capacidades de los atacantes u otras terceras partes de obtener información privada. Los procedimientos de seguridad de NAS pueden utilizar un protocolo de registro entre un UE y una red que reduzca la cantidad de información no segura en relación con un protocolo de registro o vinculación convencional. Una vez que una conexión NAS es segura, el UE y la red pueden iniciar un procedimiento de vinculación y, posteriormente, intercambiar información usando la conexión NAS segura. Como se explica en el presente documento, algunos beneficios de esta técnica pueden incluir la mitigación de ataques (tal como la mitigación de ataques de reducción de prestaciones [bidding-down]) y la mejora de la privacidad, todo lo cual puede proporcionarse sin sobrecarga de mensajería adicional en relación con al menos algunos procedimientos de vinculación de cuarta generación (4G).
[0036] Los aspectos de la divulgación se describen inicialmente en el contexto de un sistema de comunicación inalámbrica. Se describen ejemplos específicos para transmitir una solicitud de registro para establecer una conexión NAS segura entre un UE y una red y, a continuación, iniciar un procedimiento de vinculación a través de la conexión NAS segura. Los aspectos de la divulgación se ilustran y describen además con referencia a diagramas de aparatos, diagramas de sistemas y flujos de datos relacionados con una seguridad NAS mejorada.
[0037] La FIG. 1 ilustra un ejemplo de un sistema de comunicaciones inalámbricas 100 de acuerdo con diversos aspectos de la presente divulgación. El sistema de comunicaciones inalámbricas 100 incluye estaciones base 105, diversos UE 115 y una red central 130. En algunos ejemplos, el sistema de comunicaciones inalámbricas 100 puede ser una red de Evolución a Largo Plazo (LTE)/LTE-Avanzada. En algunos ejemplos, el sistema de comunicaciones inalámbricas 100 puede ser un ecosistema de quinta generación (5G) que incluye un sistema de comunicación de alta frecuencia, tal como un sistema de ondas milimétricas (mmW) para comunicaciones móviles. Para facilitar comunicaciones NAS seguras, el sistema de comunicaciones inalámbricas 100 puede incluir diversos UE 115 que transmiten una solicitud de registro para establecer una conexión NAS segura entre un UE 115 y la red central 130 y que, a continuación, inician un procedimiento de vinculación a través de la conexión NAS segura.
[0038] Las estaciones base 105 se pueden comunicar de forma inalámbrica con los UE 115 por medio de una o más antenas de estación base. Cada estación base 105 puede proporcionar cobertura de comunicación para un área de cobertura geográfica respectiva 110. Los enlaces de comunicación 125 mostrados en el sistema de comunicaciones inalámbricas 100 pueden incluir transmisiones de enlace ascendente (UL) desde un UE 115 a una estación base 105, o transmisiones de enlace descendente (DL), desde una estación base 105 a un UE 115. Los UE 115 pueden estar dispersados por todo el sistema de comunicaciones inalámbricas 100 y cada UE 115 puede ser estacionario o móvil. Un UE 115 también puede denominarse estación móvil, estación de abonado, unidad remota, dispositivo inalámbrico, terminal de acceso (AT), microteléfono, agente de usuario, cliente o con una terminología similar. Un UE 115 también puede ser un teléfono celular, un módem inalámbrico, un dispositivo de mano, un ordenador personal, una tableta, un dispositivo electrónico personal, un electrodoméstico, un automóvil, un dispositivo de comunicación de tipo máquina (MTC), etc.
[0039] En algunos ejemplos del sistema de comunicaciones inalámbricas 100, las estaciones base 105 o los UE 115 pueden incluir múltiples antenas para emplear esquemas de diversidad de antena con el fin de mejorar la calidad y la fiabilidad de la comunicación entre las estaciones base 105 y los dispositivos inalámbricos 115. De forma adicional o alternativa, las estaciones base 105 o los dispositivos inalámbricos 115 pueden emplear técnicas de múltiples entradas y múltiples salidas (MIMO) que pueden aprovechar entornos de trayectos múltiples para transmitir múltiples capas espaciales que transportan los mismos o diferentes datos codificados.
[0040] Las estaciones base 105 pueden comunicarse con la red central 130 y entre sí. Por ejemplo, las estaciones base 105 pueden interactuar con la red central 130 a través de enlaces de retroceso 132 (por ejemplo, S1, etc.). Las estaciones base 105 pueden comunicarse entre sí a través de enlaces de retroceso 134 (por ejemplo, X2, etc.) directa o indirectamente (por ejemplo, a través de la red central 130). Las estaciones base 105 pueden realizar una configuración y planificación de radio para la comunicación con los UE 115, o pueden funcionar bajo el control de un controlador de estación base (no mostrado). En algunos ejemplos, las estaciones base 105 pueden ser macrocélulas, células pequeñas, puntos de acceso o similares. Las estaciones base 105 también pueden denominarse eNodosB (eNB).
[0041] En un ejemplo, una estación base 105 puede conectarse mediante una interfaz S1 a la red central 130. La red central puede ser un núcleo de paquetes evolucionado (EPC), que puede incluir al menos una entidad de gestión de movilidad (MME), al menos una pasarela de servicio (S-GW) y al menos una pasarela de red de datos por paquetes (PDN) (P-GW). La MME puede ser el nodo de control que procesa la señalización entre el UE 115 y el EPC. Los paquetes de protocolo de Internet (IP) de usuario pueden transferirse a través de la S-GW que, a su vez, puede estar conectada a la P-GW. La P-GW puede proporcionar asignación de direcciones IP, así como otras funciones. La P-GW puede estar conectada a los servicios IP del operador de red. Los servicios IP del operador pueden incluir Internet, una intranet, un subsistema multimedia IP (IMS) o un servicio de transmisión continua mediante conmutación de paquetes (PS), (PSS). Si bien la seguridad de NAS se puede proporcionar por medio de la MME, la red central 130 también puede incluir otro componente que está configurado para proteger los mensajes NAS. La red central 130 puede comprender varios componentes de arquitectura de telecomunicaciones que pueden incluir un plano de datos y un plano de control. El plano de datos puede transportar tráfico de usuario de red, mientras que el plano de control puede transportar tráfico de señalización y puede encargarse del encaminamiento.
[0042] Un UE 115 puede usar diversos identificadores durante las comunicaciones con la red central 130 (por medio de, por ejemplo, estaciones base 105). Por ejemplo, un módulo de información de abonado (SIM) en el UE 115 puede ser un circuito integrado (IC) que almacena de forma segura la IMSI del UE y la clave relacionada usada para identificar y autenticar un UE 115. Una SIM también puede contener un número de serie único (por ejemplo, una identificación (ID) de tarjeta IC (ICCID)), información de cifrado y autenticación de seguridad, información temporal relacionada con la red local, una lista de servicios disponibles, un número de ID personal (PIN) y un código de desbloqueo personal (PUK) para desbloquear el PIN. En algunos casos, un SIM puede ser un circuito integrado en una tarjeta de plástico extraíble.
[0043] Las comunicaciones entre un UE 115 y una red central 130 pueden incluir comunicaciones NAS. Como se explica en el presente documento, una capa NAS es una capa funcional usada en las pilas de protocolos entre un UE 115 y una red central 130, y puede ser implementada por una MME ubicada en la red central 130. En algunos ejemplos, un primer mensaje NAS entre un UE 115 y una MME puede ser una solicitud de vinculación. Tradicionalmente, una solicitud de vinculación puede incluir un ID del UE 115, pero también puede incluir otra información relacionada con el UE 115 o su usuario. La otra información puede incluir información privada del UE o su usuario. Por tanto, si la información privada se incluye en una comunicación NAS no segura (por ejemplo, un mensaje NAS no protegido), la información privada puede ser leída por terceras partes para quienes la información privada no está destinada. Los mensajes NAS no seguros también pueden estar sujetos a interceptaciones y otros ataques maliciosos.
[0044] La FIG. 2A muestra un diagrama de flujo 200 que ilustra problemas que pueden producirse al transmitir mensajes NAS no protegidos. La FIG. 2A representa un UE 115-a y una estación base no autorizada 105-a participando en comunicaciones inalámbricas, que pueden ser ejemplos de los dispositivos correspondientes descritos con referencia a la FIG. 1. Los mensajes NAS no protegidos pueden ser interceptados y utilizados por atacantes, tal como la estación base no autorizada 105-a. El mensaje NAS no protegido 205 es transmitido por el UE 115-a y recibido por la estación base no autorizada 105-a. La estación base no autorizada 105-a puede entonces extraer del mensaje 205 información privada acerca del UE 115-a , tal como las capacidades y el ID del UE.
[0045] En otro caso, la estación base no autorizada 105-a puede lanzar un ataque de denegación de servicio (DoS) en el UE 115-a. Por ejemplo, la estación base no autorizada 105-a puede recibir un mensaje de solicitud de actualización de área de seguimiento (TAU) en el mensaje 205. En una solicitud TAU normal, el UE 115-a puede informar a la red de servicio del UE acerca de la ubicación actual del UE para facilitar servicios de red al UE 115-a. Sin embargo, en este escenario, la estación base no autorizada 105-a puede rechazar la solicitud TAU del UE 115-a en un mensaje de rechazo 210, lo que puede hacer que el UE 115-a considere un módulo de identidad de abonado universal (USIM) como no válido para servicios EPS y servicios no EPS hasta que se apague el UE 115-a o se retire la tarjeta de circuito integrado universal (UICC) que contiene el USIM. Los mensajes NAS no protegidos que pueden estar sujetos a ataques DoS incluyen rechazo de vinculación, rechazo de TAU, rechazo de servicio y mensajes de solicitud de desvinculación iniciados por la red.
[0046] La FIG.2B muestra un diagrama de flujo 250 que ilustra otro problema que pueden producirse al transmitir mensajes NAS no protegidos. En particular, el diagrama de flujo 250 representa un "ataque de reducción de prestaciones". La FIG. 2B representa un UE 115-b, una estación base no autorizada 105-b y una red central 130-a participando en comunicaciones inalámbricas, que pueden ser ejemplos de los dispositivos correspondientes descritos con referencia a la FIG. 1. Como se ilustra en la FIG. 2B, la red central 130-a puede incluir múltiples componentes, incluida una función de plano de control 230 que puede participar en una comunicación NAS. En el ejemplo de la FIG. 2B, el UE 115-b inicia un mensaje de solicitud de vinculación en forma de un mensaje NAS no protegido 255 a la estación base no autorizada 105-b. El mensaje NAS no protegido 255 puede contener información de preferencia de dominio de voz y la configuración de uso del UE que informa a la estación base no autorizada 105-b acerca de las capacidades de llamada de voz del UE. En la etapa 260 de manipulación de mensajes, la estación base no autorizada 105-b puede eliminar estas capacidades a partir del mensaje NAS no protegido 255 y, a continuación, puede cambiar un elemento de información tal como "tipo de actualización adicional" a "solo servicio de mensajes cortos (SMS)", por ejemplo. La estación base no autorizada 105-b puede entonces reenviar el mensaje cambiado (en forma de un mensaje NAS manipulado 265) a la red de servicio del UE, la red central 130-a. La red central 130-a puede entonces aceptar el mensaje NAS manipulado 265 y realizar un procedimiento de autorización con el UE 115-b usando este mensaje para completar un procedimiento de vinculación. Por tanto, en este escenario, la red central 130-a puede configurar el perfil del UE 115-b de modo que solo habilite SMS y servicios de datos. El UE 115-b no podría enviar ni recibir llamadas de voz. También se pueden aplicar otros ejemplos de ataques de reducción de prestaciones. En algunos ejemplos, se pueden utilizar dispositivos inalámbricos distintos de la estación base no autorizada 105-b para ataques de reducción de prestaciones.
[0047] La FIG. 3A muestra un diagrama de flujo 300 que ilustra un protocolo de conexión segura para proteger los mensajes NAS enviados por un UE 115-c-1. En algunos casos, el diagrama de flujo 300 puede representar aspectos de las técnicas realizadas por un UE 115, una estación base 105 o una red central 130 como los descritos con referencia a las FIGS. 1 -2. Al establecer una conexión NAS segura, el UE 115-c-1 puede enviar una solicitud de registro 305 que contiene información de capacidades mínimas de UE a la estación base 105-c-1. Esta información de capacidades mínimas de UE puede incluir la identidad de UE (por ejemplo, IMSI o una identidad de abonado móvil privada (PMSI)) y la capacidad de seguridad de UE (por ejemplo, algoritmos admitidos de protección de integridad y cifrado). La estación base 105-c-1 puede entonces reenviar esta información a un componente de la red central 130-b-1 (tal como una función de plano de control 230-a-1) por medio del mensaje de solicitud de registro reenviado 310. Al recibir el mensaje 310, la red central 130-b-1 puede entonces iniciar un protocolo de autenticación y acuerdo de claves (AKA) 315 con el UE 115-c-1. En algunos ejemplos, si el UE 115-c-1 usa una identidad temporal que no es reconocida por la red central 130-b-1, entonces la red central 130-b-1 puede solicitar la identidad del UE antes de iniciar el protocolo AKA 315 con el UE 115-c-1. El protocolo AKA 315 proporciona procedimientos para la autenticación mutua del UE 115-c-1 y la red central 130-b-1. El protocolo AKA 315 puede involucrar una unidad, entidad o función de seguridad especializada asociada a la red central 130-b-1, que se encarga del protocolo AKA 315. En algunos ejemplos, la unidad de seguridad especializada puede ser una función de gestión de claves de seguridad (SKMF). En otros ejemplos, la unidad de seguridad especializada puede ser una entidad de gestión de movilidad (MME).
[0048] Después del establecimiento del protocolo AKA 315 se puede usar un procedimiento de comandos de modo de seguridad (SMC) NAS 320 para establecer una conexión NAS segura entre el UE 115-c-1 y la red central 130-b-1 (por medio de, por ejemplo, la función plano de control 230-a-1). El procedimiento SMC NAS 320 puede incluir un intercambio de mensajes, por ejemplo. En un ejemplo, el procedimiento SMC NAS 320 puede incluir la transmisión de un mensaje SMC NAS desde la red central 130-b-1 al UE 115-c-1, donde el UE 115-c-1 responde por medio de un mensaje de SMC NAS completado, garantizando así que los mensajes NAS posteriores se cifrarán y protegerán de acuerdo con el protocolo AKA 315. Después de que se lleve a cabo con éxito un procedimiento SMC NAS 320 entre UE 115-c-1 y la red central 130-b-1, los mensajes NAS posteriores entre el UE 115-c-1 y la red central 130-b-1 pueden estar protegidos, lo que incluye cifrado y protección de integridad. En un caso, una vez que la conexión NAS sea segura, la estación base 105-c-1 puede enviar un SMC de estrato de acceso (AS) 335a al UE 115-c-1 para activar la seguridad en el AS y establecer un canal seguro entre el UE 115-c-1 y la estación base 105-c-1. En otros casos, el SMC AS 335-b puede enviarse después de un procedimiento de vinculación.
[0049] Una vez que la conexión NAS sea segura, el UE 115-c-1 también puede enviar la solicitud de vinculación 325 a la estación base 105-c-1. La solicitud de vinculación 325 puede incluir las capacidades del UE 115-c-1 no incluidas en la solicitud de registro 305, y puede usarse para solicitar servicios (por ejemplo, datos de voz, SMS, etc.). La estación base 105-c-1 puede entonces reenviar la solicitud de vinculación 325 a la red central 130-b-1 por medio de la solicitud de vinculación 330. Al recibir la solicitud de vinculación 330, la red central 130-b-1 puede crear entonces una sesión de comunicación inalámbrica con el UE 115-c-1. Tras establecerse una sesión, los mensajes NAS posteriores entre el UE 115-c-1 y la red central 130-b-1 pueden protegerse usando el contexto de seguridad establecido como se muestra en las comunicaciones seguras 340.
[0050] En algunos casos, la solicitud de registro 305 puede ser en sí misma o incluir una solicitud de vinculación, una solicitud de actualización de área de seguimiento (TAU) o una solicitud de servicio. En estos casos, el UE 115-c-1 puede calcular un hash de la solicitud de registro 305. Se puede usar un algoritmo de hash seguro (SHA), por ejemplo, SHA-1, SHA-2 o SHA-3 para calcular el hash. El UE 115-c-1 puede indicar, opcionalmente, en la solicitud de registro que el UE 115-c-1 solicita a la red central 130-b-1 que envíe el hash del mensaje de solicitud de registro en una respuesta u otro mensaje posterior (por ejemplo, mensaje SMC NAS). Un componente de la red central 130-b-1 (tal como una MME) puede incluir un hash de solicitud de registro 305 en un mensaje SMC NAS desde la red central 130-b-1 al UE 115-c-1. Si el valor devuelto por la MME es el mismo que el valor calculado por el UE 115-c-1, entonces las comunicaciones entre la red central 130-b-1 y el UE 115-c-1 pueden continuar con normalidad. Si los valores no coinciden, entonces el UE 115-c-1 incluye los elementos de información (IE) que se enviaron en la solicitud de registro 355 y que deben protegerse en el mensaje de SMC NAS completado. En otro ejemplo, si los valores no coinciden, entonces el UE 115-c-2 puede suponer que la solicitud de registro 355 se vio comprometida y que el registro puede reiniciarse, tal como se explica en relación con la FIG. 5. En otro ejemplo, la MME puede incluir una indicación en el mensaje SMC NAS para indicar al UE 115-c-2 que reenvíe los IE. El UE 115-c-2 puede transmitir entonces un mensaje de SMC NAS completado que puede comprender IE protegidos.
[0051] La FIG. 3B muestra un diagrama de flujo 350 que ilustra un protocolo de conexión segura para proteger los mensajes NAS enviados por un UE 115-c-2. En algunos casos, el diagrama de flujo 350 puede representar aspectos de las técnicas realizadas por un UE 115, una estación base 105 o una red central 130 como los descritos con referencia a las FIGS. 1 -2. El diagrama de flujo 350 (de la FIG. 3B) difiere del diagrama de flujo 300 (de la FIG.
3A) en que el número de mensajes usados en el diagrama de flujo 350 se reduce con respecto al número de mensajes usados en el diagrama de flujo 300. El protocolo de conexión segura de la FIG. 3B mantiene el mismo número de mensajes que el usado en el establecimiento de conexión NAS en LTE.
[0052] Al establecerse una conexión NAS segura, el UE 115-c-2 puede enviar una solicitud de registro 355 que contiene información de capacidades mínimas de UE a la estación base 105-c-2. Esta información de capacidades mínimas de UE puede incluir la identidad de UE (por ejemplo, IMSI o PMSI) y la capacidad de seguridad de UE (por ejemplo, algoritmos admitidos de protección de integridad y cifrado). La estación base 105-c-2 puede entonces reenviar esta información a un componente de la red central 130-b-2 (por ejemplo, la función de plano de control 230-a-2) por medio del mensaje de solicitud de registro reenviado 360. Al recibir el mensaje 360, la red central 130-b-2 puede entonces iniciar un protocolo de autenticación y acuerdo de claves (AKA) 365 con el UE 115-c-2. En algunos ejemplos, si el UE 115-c-2 usa una identidad temporal que no es reconocida por la red central 130-b-2, entonces la red central 130-b-2 puede solicitar la identidad del UE antes de iniciar el protocolo AKA 365 con el UE 115-c-2. El protocolo AKA proporciona procedimientos para la autenticación mutua del UE 115-c-2 y la red central 130-b-2. El protocolo AKA puede involucrar una unidad, entidad o función de seguridad especializada, tal como una unidad SKMF, asociada a la red central 130-b-2 que se encarga del protocolo AKA. En otros ejemplos, la unidad de seguridad especializada puede ser una MME.
[0053] Después del establecimiento del protocolo AKA 365 se puede usar un procedimiento SMC NAS 370 para establecer una conexión NAS segura entre el UE 115-c-2 y la red central 130-b-2. Para evitar que aumente el recuento de mensajes en comparación con un procedimiento de vinculación convencional (tal como en un procedimiento de vinculación LTE), el UE 115-c-2 también puede enviar una solicitud de vinculación en la misma transmisión que el procedimiento SMC NAS 370. En particular, la solicitud de vinculación puede incluirse con un mensaje de SMC NAS completado. La solicitud de vinculación incluida en la transmisión 370 puede incluir las capacidades del UE y los servicios solicitados (por ejemplo, datos de voz, SMS, etc.).
[0054] Después de que se lleve a cabo con éxito un procedimiento SMC NAS 370 entre el UE 115-c-2 y la estación base 105-c-2, los mensajes NAS posteriores entre el UE 115-c-2, la estación base 105-c-2 y la red central 130-b -2 pueden estar protegidos, lo que incluye cifrado y protección de integridad. Al recibir la solicitud de vinculación, la red central 130-b-2 puede crear entonces una sesión de comunicación inalámbrica con el UE 115-c-2. Después de que se establezca un SMC NAS 370, el UE 115-c-2 puede enviar un SMC AS 380 a la estación base 105-c-2 para activar la seguridad en el AS y establecer un canal seguro entre el UE 115-c-2 y la estación base 105-c-2. Tras establecerse una sesión, todos los mensajes NAS posteriores entre el UE 115-c-2 y la red central 130-b-2 se protegen usando el contexto de seguridad establecido como se muestra en las comunicaciones seguras 385.
[0055] En algunos casos, la solicitud de registro 355 puede ser en sí misma o incluir una solicitud de vinculación, una solicitud de actualización de área de seguimiento (TAU) o una solicitud de servicio. En estos casos, el UE 115-c-2 puede calcular un hashde la solicitud de registro 355. Se puede usar un SHA para calcular el hash. El UE 115-c-2 puede indicar, opcionalmente, en la solicitud de registro que el UE 115-c-2 solicita a la red central 130-b-2 que envíe el hash del mensaje de solicitud de registro en una respuesta u otro mensaje posterior (por ejemplo, mensaje SMC NAS). Un componente de la red central 130-b-2 (tal como una MME) puede incluir un hash de solicitud de registro 355 en un mensaje SMC NAS desde la red central 130-b-2 al UE 115-c-2. Si el valor devuelto por la MME es el mismo que el valor calculado por el UE 115-c-2, entonces las comunicaciones entre la red central 130-b-2 y el UE 115-c-2 pueden continuar con normalidad.
[0056] En un ejemplo, si los valores no coinciden, entonces el UE 115-c-2 incluye los IE que se enviaron en la solicitud de registro 355 y que deben protegerse en el mensaje de SMC NAS completado. En otro ejemplo, si los valores no coinciden, entonces el UE 115-c-2 puede suponer que la solicitud de registro 355 se vio comprometida y que el registro puede reiniciarse, tal como se explica en relación con la FIG. 5. En aún otro ejemplo, la MME puede incluir una indicación en el mensaje SMC NAS para indicar al UE 115-c-2 que reenvíe los IE. El UE 115-c-2 puede transmitir entonces un mensaje de SMC NAS completado que puede comprender IE protegidos.
[0057] La FIG.4A muestra un diagrama de flujo 400 que ilustra casos de protección de mensajes NAS posteriores en diferentes modos de funcionamiento de UE. En algunos casos, el diagrama de flujo 400 puede representar aspectos de las técnicas realizadas por un UE 115, una estación base 105 o una red central 130 como los descritos con referencia a las FIGS. 1 -2. El diagrama de flujo 400 ilustra un UE 115-d-1 y la red central 130-c-1 después de que el UE 115-d-1 y la red central 130-c-1 (o al menos un componente de la red central 130-c-1, tal como una función de plano de control 230-b-1) hayan establecido comunicaciones NAS seguras entre sí usando un procedimiento descrito, por ejemplo, en las FIGS. 3A o 3B.
[0058] En el bloque 405, el UE 115-d-1 entra en un estado de registro anulado de Gestión de Movilidad EPS (EMM). En el estado de registro anulado de EMM, el contexto de EMM en la red central 130-c-1 no contiene información de ubicación o encaminamiento válida para el UE 115-d-1. En otras palabras, el UE 115-d-1 no es accesible por la red central 130-c-1 ya que no se conoce la ubicación del UE. En el estado de registro anulado, el contexto de seguridad establecido previamente entre el UE 115-d-1 y la red central 130-c-1 todavía puede existir. Si el UE 115-d-1 desea entrar en un estado registrado, puede enviar una solicitud de vinculación 410 a la red central 130-c-1. Si existe un contexto de seguridad basado en el registro anterior, la solicitud de vinculación 410 está cifrada, protegida en su integridad o tanto cifrada como protegida en su integridad e incluye información que permite a la función de plano de control 230-b-1 localizar el contexto de seguridad correspondiente. Si no se puede localizar el contexto de seguridad, la red central 130-c-1 puede desencadenar el establecimiento del contexto de seguridad tratando este mensaje como una solicitud de registro. La información usada por la red central 130-c-1 para identificar el UE (por ejemplo, ID temporal único global (GUTI)) y localizar el contexto de seguridad de UE (por ejemplo, identificador de conjunto de claves evolucionado (eKSI)) no se cifra, sino que se protege su integridad. Además, la red central 130-c-1 puede restablecer un nuevo contexto de seguridad con el UE 115-d-1 realizando un SMC NAS cuando sea necesario.
[0059] La FIG.4B muestra un diagrama de flujo 450 que ilustra casos de protección de mensajes NAS posteriores en diferentes modos. En algunos casos, el diagrama de flujo 450 puede representar aspectos de las técnicas realizadas por un UE 115, una estación base 105 o una red central 130 como los descritos con referencia a las FIGS. 1-2. El diagrama de flujo 450 ilustra un UE 115-d-2, una estación base 105-d-1 y la red central 130-c-2 después de que el UE 115-d-2 y la red central 130-c-2 (o al menos un componente de la red central 130-c-2, tal como una función de plano de control 230-b-2) hayan establecido comunicaciones NAS seguras entre sí usando un procedimiento descrito, por ejemplo, en las FIGS. 3A o 3B. El diagrama de flujo 450 también puede representar el UE 115-d-2 y la red central 130-c-2 en un estado registrado de EMM que puede establecerse por medio de un procedimiento TAU realizado con éxito.
[0060] En el bloque 455, el UE 115-d-2 entra en un estado conectado de Gestión de Conexión EPS (ECM). En el estado conectado de ECM, la red central 130-c-2 conoce al UE 115-d-2 con una precisión de la estación base de servicio. En el estado conectado de ECM, el contexto de seguridad establecido previamente entre el UE 115-d-2 y la red central 130-c-2 todavía puede existir. El mensaje NAS 460 y todos los mensajes NAS posteriores se envían desde el UE 115-d-2 a la estación base 105-d-1 y, a continuación, se retransmiten desde la estación base 105-d-1 a la red central 130-c-2. El mensaje NAS 460 y todos los mensajes NAS posteriores pueden cifrarse, protegerse en su integridad o tanto cifrarse como protegerse en su integridad.
[0061] En el bloque 465, el UE 115-d-2 entra en un estado inactivo de ECM EPS. En el estado inactivo de ECM, no hay conexión de señalización NAS entre el UE 115-d-2 y la red central 130-c-2. En el estado inactivo de ECM, el contexto de seguridad establecido previamente entre el UE 115-d-2 y la red central 130-c-2 todavía puede existir. El UE 115-d-2 puede iniciar una transición del estado inactivo de ECM al estado conectado de ECM por medio de mensajes NAS, tales como una solicitud de servicio 470-a y una solicitud TAU 470-b. La solicitud de servicio 470-a y la solicitud TAU 470-b pueden cifrarse, protegerse en su integridad o tanto cifrarse como protegerse en su integridad. Sin embargo, la información usada por la red central 130-c-2 para identificar el UE (por ejemplo, GUTI) y localizar el contexto de seguridad de UE (por ejemplo, identificador de conjunto de claves o eKSI) no se cifra, sino que se protege su integridad. Si no se puede localizar el contexto de seguridad, la red central 130-c-2 puede desencadenar el establecimiento del contexto de seguridad tratando este mensaje como una solicitud de registro. Además, la red central 130-c-2 puede restablecer un nuevo contexto de seguridad con el UE 115-d-2 realizando un SMC NAS cuando sea necesario.
[0062] La FIG. 5 muestra un diagrama de flujo 500 que ilustra un procedimiento de nuevo registro tras un fallo de verificación de integridad. La FIG. 5 muestra un UE 115-e, una estación base 105-e-1 y una estación base 105-e-2, que pueden ser ejemplos de los dispositivos correspondientes descritos con referencia a las FIGS. 1-2. En algunos casos, el diagrama de flujo 500 puede representar aspectos de las técnicas realizadas por un UE 115, una estación base 105 o una red central 130 como los descritos con referencia a las FIGS. 1-2. El UE 115-e y la estación base 105-e-1 ya han establecido una conexión NAS segura entre sí. Debido a esta conexión segura, todos los mensajes NAS, excepto la solicitud de registro posterior y los mensajes de rechazo, pueden protegerse en base al contexto de seguridad establecido entre el UE 115-e y la estación base 105-e-1. Los mensajes de vinculación, de servicio y de rechazo de TAU se protegen en su integridad entre ambos si existe un contexto de seguridad.
[0063] En el diagrama de flujo 500, el UE 115-e envía un mensaje NAS 505 a la estación base 105-e-1. La estación base 105-e-1 envía entonces un mensaje de rechazo no protegido 510 en respuesta al mensaje NAS 505. El mensaje de rechazo no protegido 510 puede ser un mensaje de vinculación NAS, de servicio o de rechazo de TAU. Un atacante o la red central que está asociada al UE 115-e puede enviar un mensaje de rechazo no protegido 510. El UE 115-e puede haber perdido su contexto de seguridad. En un ejemplo, como respuesta al mensaje de rechazo no protegido 510, el UE 115-e puede ignorar el mensaje y entrar en un período de espera predeterminado 515.
[0064] En un ejemplo, una vez finalizado el período de espera predeterminado 515, el UE 115-e puede volver a intentar enviar el mensaje NAS anterior en el mensaje NAS 520. En otro ejemplo, el UE 115-e puede reiniciar un procedimiento de registro con la estación base 105-e-1 enviando una solicitud de registro 525. En aún otro ejemplo, el UE 115-e puede reutilizar el contexto de seguridad anterior e intentar registrarse con una red pública terrestre móvil (PLMN) diferente de la que recibe servicio actualmente. Por ejemplo, como se muestra en la FIG. 5, la estación base 105-e-1 está asociada a una PLMN diferente y el UE 115-e puede intentar registrarse con la PLMN diferente (en forma de red central 130-d con función de plano de control 230-c) enviando una solicitud de registro 530. Cabe destacar el hecho de que el UE 115-e puede iniciar un procedimiento de registro cuando sea necesario. Además, un fallo de verificación de integridad de una solicitud de vinculación, servicio o TAU puede desencadenar un procedimiento de registro por parte de la red central que da servicio al UE 115-e.
[0065] La FIG. 6 muestra un diagrama de bloques de un dispositivo inalámbrico 600 que admite seguridad NAS mejorada de acuerdo con diversos aspectos de la presente divulgación. El dispositivo inalámbrico 600 puede ser un ejemplo de aspectos de un UE 115 descritos con referencia a las FIGS. 1 a 5. El dispositivo inalámbrico 600 puede incluir un receptor 605, un gestor de seguridad NAS de UE 610 y un transmisor 615. El dispositivo inalámbrico 600 también puede incluir un procesador. Cada uno de estos componentes puede estar en comunicación entre sí.
[0066] El receptor 605 puede recibir información tal como paquetes, datos de usuario o información de control asociada a varios canales de información (por ejemplo, canales de control, canales de datos e información relacionada con la seguridad NAS mejorada, etc.). La información puede transferirse a otros componentes del dispositivo. El receptor 605 puede ser un ejemplo de aspectos del transceptor 925 descrito con referencia a la FIG.
9.
[0067] El gestor de seguridad NAS de UE 610 puede transmitir un mensaje de registro a una red para establecer una conexión segura para mensajes NAS entre la red y un UE, donde la conexión segura está basada en un identificador de UE y en capacidades de seguridad del UE incluidos en el mensaje de registro, y realizar un procedimiento de vinculación con la red a través de la conexión segura. El gestor de seguridad NAS de UE 610 también puede ser un ejemplo de aspectos del gestor de seguridad NAS de UE 905 descrito con referencia a la FIG. 9.
[0068] El transmisor 615 puede transmitir señales recibidas desde otros componentes del dispositivo inalámbrico 600. En algunos ejemplos, el transmisor 615 puede estar ubicado junto con un receptor en un módulo transceptor. Por ejemplo, el transmisor 615 puede ser un ejemplo de aspectos del transceptor 925 descrito con referencia a la FIG. 9. El transmisor 615 puede incluir una única antena o puede incluir una pluralidad de antenas.
[0069] La FIG. 7 muestra un diagrama de bloques de un dispositivo inalámbrico 700 que admite seguridad NAS mejorada de acuerdo con diversos aspectos de la presente divulgación. El dispositivo inalámbrico 700 puede ser un ejemplo de aspectos de un dispositivo inalámbrico 600 o de un UE 115 descritos con referencia a las FIGS. 1 a 6. El dispositivo inalámbrico 700 puede incluir el receptor 705, el gestor de seguridad NAS de UE 710 y el transmisor 725. El dispositivo inalámbrico 700 también puede incluir un procesador. Cada uno de estos componentes puede estar en comunicación entre sí.
[0070] El receptor 705 puede recibir información que puede transferirse a otros componentes del dispositivo. El receptor 705 también puede realizar las funciones descritas con referencia al receptor 605 de la FIG. 6. El receptor 705 puede ser un ejemplo de aspectos del transceptor 925 descrito con referencia a la FIG. 9.
[0071] El gestor de seguridad NAS de UE 710 puede ser un ejemplo de aspectos del gestor de seguridad NAS de UE 610 descrito con referencia a la FIG. 6. El gestor de seguridad NAS de UE 710 puede incluir un componente de registro 715 y un componente de vinculación 720. El gestor de seguridad NAS de UE 710 puede ser un ejemplo de aspectos del gestor de seguridad NAS de UE 905 descrito con referencia a la FIG. 9.
[0072] El componente de registro 715 puede gestionar procedimientos de registro tales como la transmisión de un mensaje de registro a una red para establecer la seguridad de los mensajes NAS en base a un identificador de UE y capacidades de seguridad del UE. El componente de registro 715 también puede transmitir un segundo mensaje de registro a la red para establecer la seguridad de los mensajes NAS en base al identificador de UE y las capacidades de seguridad del UE incluidos en el segundo mensaje de registro. Además, el componente de registro 715 puede transmitir un segundo mensaje de registro a una red diferente para establecer la seguridad de los mensajes NAS en base al identificador de UE y las capacidades de seguridad del UE incluidos en el segundo mensaje de registro. Además, el componente de registro 715 también puede coordinar o realizar un seguimiento de un estado de registro del UE, incluida la entrada del UE en un estado de registro anulado con la red, de modo que la red carece de información valida de ubicación o encaminamiento para el UE, o la entrada del UE en un estado registrado con la red.
[0073] El componente de mensajería 720 puede intercambiar diversos mensajes con la red. En algunos casos, una solicitud de vinculación se añade a un mensaje de modo de seguridad completado transmitido a la red. El componente de mensajería 720 puede transmitir, mientras está en el estado de registro anulado, una solicitud de vinculación, donde la solicitud de vinculación se cifra y se protege su integridad bajo el protocolo de autenticación. El componente de mensajería 720 puede transmitir una solicitud de vinculación, una solicitud de servicio o un mensaje TAU, esperar una cantidad de tiempo predeterminada después de recibir el mensaje de rechazo, retransmitir la solicitud de vinculación, la solicitud de servicio o el mensaje TAU previamente transmitidos antes de transmitir un segundo mensaje de registro, transmitir una solicitud de vinculación, una solicitud de servicio o un mensaje TAU y realizar un procedimiento de vinculación con la red a través de la conexión segura.
[0074] El transmisor 725 puede transmitir señales recibidas desde otros componentes del dispositivo inalámbrico 700. En algunos ejemplos, el transmisor 725 puede estar ubicado junto con un receptor en un módulo transceptor. Por ejemplo, el transmisor 725 puede ser un ejemplo de aspectos del transceptor 925 descrito con referencia a la FIG. 9. El transmisor 725 puede utilizar una única antena o puede utilizar una pluralidad de antenas.
[0075] La FIG. 8 muestra un diagrama de bloques de un gestor de seguridad NAS de UE 800 que puede ser un ejemplo del componente correspondiente del dispositivo inalámbrico 600 o del dispositivo inalámbrico 700. Es decir, el gestor de seguridad de NAS de UE 800 puede ser un ejemplo de aspectos del gestor de seguridad NAS de UE 610 o del gestor de seguridad NAS de UE 710 descritos con referencia a las FIGS. 6 y 7. El gestor de seguridad NAS de UE 800 también puede ser un ejemplo de aspectos del gestor de seguridad NAS de UE 905 descrito con referencia a la FIG. 9.
[0076] El gestor de seguridad NAS de UE 800 puede incluir un componente de registro 805, un componente de protocolo de autenticación 810, un componente de vinculación 815, un componente de cifrado 820, un componente de mensaje NAS 825, un componente de solicitud de servicio 830, un componente de mensaje de rechazo 835, un componente de modo inactivo 840 y un componente hash 845. Cada uno de estos módulos puede comunicarse, directa o indirectamente, entre sí (por ejemplo, por medio de uno o más buses).
[0077] El componente de registro 805 puede entrar en un estado de registro anulado con la red de modo que la red carece de información válida de ubicación o encaminamiento para el UE, entrar en un estado registrado con la red, transmitir un segundo mensaje de registro a la red para establecer la seguridad de los mensajes NAS en base al identificador de UE y las capacidades de seguridad del UE incluidos en el segundo mensaje de registro, transmitir un segundo mensaje de registro a una red diferente para establecer la seguridad de los mensajes NAS en base al identificador de UE y las capacidades de seguridad del UE incluidos en el segundo mensaje de registro y transmitir un mensaje de registro a una red para establecer una conexión segura para mensajes NAS entre la red y un UE, estando la conexión segura basada en un identificador de UE y las capacidades de seguridad del UE incluidos en el mensaje de registro.
[0078] El componente de protocolo de autenticación 810 puede establecer, en respuesta al mensaje de registro, un protocolo de autenticación con la red. En algunos casos, establecer el protocolo de autenticación incluye la comunicación entre el UE y un componente de la red que está configurado para proteger los mensajes NAS.
[0079] El componente de vinculación 815 puede transmitir una solicitud de vinculación, donde la solicitud de vinculación se cifra y se protege su integridad bajo el protocolo de autenticación, transmitir una solicitud de vinculación, una solicitud de servicio o un mensaje TAU, esperar una cantidad de tiempo predeterminada después de recibir el mensaje de rechazo, retransmitir la solicitud de vinculación, la solicitud de servicio o el mensaje TAU previamente transmitidos antes de transmitir el segundo mensaje de registro, transmitir una solicitud de vinculación, una solicitud de servicio o un mensaje TAU y realizar un procedimiento de vinculación con la red a través de la conexión segura. En algunos casos, realizar el procedimiento de vinculación incluye transmitir una solicitud de vinculación para acceder a la red. En algunos casos, la solicitud de vinculación se añade a un mensaje de modo de seguridad completado transmitido a la red.
[0080] El componente de cifrado 820 puede cifrar mensajes NAS posteriores basándose, en parte, en el protocolo de autenticación. El componente de mensajes NAS 825 puede transmitir, mientras está en el estado registrado, los mensajes NAS posteriores con cifrado y protección de integridad de acuerdo con el protocolo de autenticación.
[0081] El componente de solicitud de servicio 830 puede transmitir, tras salir del estado inactivo, una solicitud de servicio que incluye una primera parte de la solicitud de servicio que tiene protección de integridad de acuerdo con el protocolo de autenticación y una segunda parte de la solicitud de servicio que tiene cifrado y protección de integridad de acuerdo con el protocolo de autenticación. En algunos casos, la primera parte incluye al menos uno del identificador de UE o un identificador de conjunto de claves. En algunos casos, la solicitud de servicio es una solicitud TAU.
[0082] El componente de mensaje de rechazo 835 puede recibir un mensaje de rechazo asociado a la solicitud de vinculación, la solicitud de servicio o el mensaje TAU transmitidos, donde el mensaje de rechazo no está cifrado o protegido en su integridad de acuerdo con el protocolo de autenticación, y recibir un mensaje de rechazo asociado a la solicitud de vinculación, la solicitud de servicio o el mensaje TAU transmitidos, donde el mensaje de rechazo no está cifrado o protegido en su integridad de acuerdo con el protocolo de autenticación. El componente de modo inactivo 840 puede entrar en un estado inactivo con la red.
[0083] El componente hash 845 puede calcular un hash de la solicitud de registro. El componente hash 845 puede determinar si los valores del hash calculado y un hash de la solicitud de registro recibida desde la red coinciden.
[0084] La FIG. 9 muestra un diagrama de un sistema 900 que incluye un dispositivo que admite seguridad NAS mejorada de acuerdo con diversos aspectos de la presente divulgación. Por ejemplo, el sistema 900 puede incluir un UE 115-f, que puede ser un ejemplo de un dispositivo inalámbrico 600, un dispositivo inalámbrico 700 o un UE 115 como los descritos con referencia a las FIGS. 1,2 y 6 a 8.
[0085] El UE 115-f también puede incluir un gestor de seguridad NAS de UE 905, una memoria 910, un procesador 920, un transceptor 925, una antena 930 y un módulo ECC 935. Cada uno de estos módulos puede comunicarse, directa o indirectamente, entre sí (por ejemplo, por medio de uno o más buses). El gestor de seguridad NAS de UE 905 puede ser un ejemplo de un gestor de seguridad NAS de UE como el descrito con referencia a las FIGS. 6 a 8.
[0086] La memoria 910 puede incluir memoria de acceso aleatorio (RAM) y memoria de solo lectura (ROM). La memoria 910 puede almacenar software legible por ordenador y ejecutable por ordenador, que incluye instrucciones que, cuando se ejecutan, hacen que el procesador realice diversas funciones descritas en el presente documento (por ejemplo, seguridad NAS mejorada, etc.). En algunos casos, el software 915 puede no ejecutarse directamente por el procesador, sino que puede hacer (por ejemplo, cuando se compila y ejecuta) que un ordenador realice las funciones descritas en el presente documento. El procesador 920 puede incluir un dispositivo de hardware inteligente (por ejemplo, una unidad central de procesamiento (CPU), un microcontrolador, un circuito integrado específico de la aplicación (ASIC), etc.).
[0087] El transceptor 925 puede comunicarse bidireccionalmente, por medio de una o más antenas, enlaces alámbricos o enlaces inalámbricos, con una o más redes, como se describe anteriormente. Por ejemplo, el transceptor 925 puede comunicarse bidireccionalmente con una estación base 105 o un UE 115. El transceptor 925 también puede incluir un módem para modular los paquetes y proporcionar los paquetes modulados a las antenas para su transmisión, y para desmodular los paquetes recibidos desde las antenas. En algunos casos, el dispositivo inalámbrico puede incluir una única antena 930. Sin embargo, en algunos casos, el dispositivo puede tener más de una antena 930 que puede ser capaz de transmitir o recibir simultáneamente múltiples transmisiones inalámbricas.
[0088] El SIM 935 puede ser un IC que almacena de forma segura la IMSI móvil internacional y la clave relacionada usada para identificar y autenticar un UE 115. El SIM 935 también puede contener un número de serie único (por ejemplo, una ICCID), información de cifrado y autenticación de seguridad, información temporal relacionada con la red local, una lista de los servicios, un PIN y un PUK para desbloquear el PIN. En algunos casos, el SIM 935 puede ser un circuito integrado en una tarjeta de plástico extraíble.
[0089] La FIG. 10 muestra un diagrama de bloques de un dispositivo inalámbrico 1000 que admite seguridad NAS mejorada de acuerdo con diversos aspectos de la presente divulgación. El dispositivo inalámbrico 1000 puede ser un ejemplo de aspectos de una entidad de red, tal como la red central 130 descrita con referencia a las FIGS.
1 a 5. El dispositivo inalámbrico 1000 puede incluir un receptor 1005, un gestor de seguridad NAS de red 1010 y un transmisor 1015. El dispositivo inalámbrico 1000 también puede incluir un procesador. Cada uno de estos componentes puede estar en comunicación entre sí.
[0090] El receptor 1005 puede recibir información tal como paquetes, datos de usuario o información de control asociada a varios canales de información (por ejemplo, canales de control, canales de datos e información relacionada con la seguridad NAS mejorada, etc.). La información puede transferirse a otros componentes del dispositivo. El receptor 1005 puede ser un ejemplo de aspectos del transceptor 1325 descrito con referencia a la FIG. 13.
[0091] El gestor de seguridad NAS de red 1010 puede recibir un mensaje de registro desde un UE para establecer una conexión segura para mensajes NAS entre el UE y una red, donde la conexión segura está basada en un identificador de UE y en capacidades de seguridad del UE incluidos en el mensaje de registro, y realizar un procedimiento de vinculación con el UE a través de la conexión segura. El gestor de seguridad NAS de red 1010 también puede ser un ejemplo de aspectos del gestor de seguridad NAS de red 1305 descrito con referencia a la FIG. 13.
[0092] El transmisor 1015 puede transmitir señales recibidas desde otros componentes del dispositivo inalámbrico 1000. En algunos ejemplos, el transmisor 1015 puede estar ubicado junto con un receptor en un módulo transceptor. Por ejemplo, el transmisor 1015 puede ser un ejemplo de aspectos del transceptor 1325 descrito con referencia a la FIG. 13. El transmisor 1015 puede incluir una única antena o puede incluir una pluralidad de antenas.
[0093] La FIG. 11 muestra un diagrama de bloques de un dispositivo inalámbrico 1100 que admite seguridad NAS mejorada de acuerdo con diversos aspectos de la presente divulgación. El dispositivo inalámbrico 1100 puede ser un ejemplo de aspectos de un dispositivo inalámbrico 1000 o de una entidad de red tal como una red central 130 descrita con referencia a las FIGS. 1 a 5 y 10. El dispositivo inalámbrico 1100 puede incluir un receptor 1105, un gestor de seguridad NAS de red 1110 y un transmisor 1125. El dispositivo inalámbrico 1100 también puede incluir un procesador. Cada uno de estos componentes puede estar en comunicación entre sí.
[0094] El receptor 1105 puede recibir información que puede transferirse a otros componentes del dispositivo. El receptor 1105 también puede realizar las funciones descritas con referencia al receptor 1005 de la FIG. 10. El receptor 1105 puede ser un ejemplo de aspectos del transceptor 1325 descrito con referencia a la FIG. 13.
[0095] El gestor de seguridad de NAS de red 1110 puede ser un ejemplo de aspectos del gestor de seguridad de NAS de red 1010 descrito con referencia a la FIG. 10. El gestor de seguridad NAS de red 1110 puede incluir un componente de registro 1115 y un componente de vinculación 1120. El gestor de seguridad NAS de red 1110 puede ser un ejemplo de aspectos del gestor de seguridad NAS de red 1305 descrito con referencia a la FIG. 13.
[0096] El componente de registro 1115 puede recibir un mensaje de registro desde un UE para establecer una conexión segura para mensajes NAS entre el UE y una red, donde la conexión segura está basada en un identificador de UE y en las capacidades de seguridad del UE incluidos en el mensaje de registro, y recibir una segundo mensaje de registro desde el UE para establecer la seguridad de los mensajes NAS en base al identificador de UE y las capacidades de seguridad del UE incluidos en el segundo mensaje de registro.
[0097] El componente de mensajería 1120 puede intercambiar mensajes con el UE a través de la conexión segura y recibir una solicitud de vinculación, una solicitud de servicio o un mensaje TAU. En algunos casos, realizar el procedimiento de vinculación incluye recibir una solicitud de vinculación desde el UE para acceder a la red. En algunos casos, la solicitud de vinculación se añade a un mensaje de modo de seguridad completado transmitido a la red.
[0098] El transmisor 1125 puede transmitir señales recibidas desde otros componentes del dispositivo inalámbrico 1100. En algunos ejemplos, el transmisor 1125 puede estar ubicado junto con un receptor en un módulo transceptor. Por ejemplo, el transmisor 1125 puede ser un ejemplo de aspectos del transceptor 1325 descrito con referencia a la FIG. 13. El transmisor 1125 puede utilizar una única antena o puede utilizar una pluralidad de antenas.
[0099] La FIG. 12 muestra un diagrama de bloques de un gestor de seguridad NAS de red 1200 que puede ser un ejemplo del componente correspondiente del dispositivo inalámbrico 1000 o del dispositivo inalámbrico 1100. Es decir, el gestor de seguridad de NAS de red 1200 puede ser un ejemplo de aspectos del gestor de seguridad NAS de red 1010 o del gestor de seguridad NAS de red 1110 descritos con referencia a las FIGS. 10 y 11. El gestor de seguridad NAS de red 1200 también puede ser un ejemplo de aspectos del gestor de seguridad NAS de red 1305 descrito con referencia a la FIG. 13.
[0100] El gestor de seguridad NAS de red 1200 puede incluir un componente de registro 1205, un componente de protocolo de autenticación 1210, un componente de vinculación 1215, un componente de cifrado 1220, un componente de mensaje de rechazo 1225 y un componente hash 1230. Cada uno de estos módulos puede comunicarse, directa o indirectamente, entre sí (por ejemplo, por medio de uno o más buses).
[0101] El componente de registro 1205 puede recibir un mensaje de registro desde un UE para establecer una conexión segura para mensajes NAS entre el UE y una red, donde la conexión segura está basada en un identificador de UE y en las capacidades de seguridad del UE incluidos en el mensaje de registro, y recibir una segundo mensaje de registro desde el UE para establecer la seguridad de los mensajes NAS en base al identificador de UE y las capacidades de seguridad del UE incluidos en el segundo mensaje de registro.
[0102] El componente de protocolo de autenticación 1210 puede establecer, en respuesta al mensaje de registro, un protocolo de autenticación con el UE. El componente de vinculación 1215 puede realizar un procedimiento de vinculación con el UE a través de la conexión segura y recibir una solicitud de vinculación, una solicitud de servicio o un mensaje TAU. En algunos casos, realizar el procedimiento de vinculación incluye recibir una solicitud de vinculación desde el UE para acceder a la red. En algunos casos, la solicitud de vinculación se añade a un mensaje de modo de seguridad completado transmitido a la red.
[0103] El componente de cifrado 1220 puede cifrar mensajes NAS posteriores basándose, en parte, en el protocolo de autenticación. El componente de mensaje de rechazo 1225 puede transmitir un mensaje de rechazo asociado a la solicitud de vinculación, la solicitud de servicio o el mensaje TAU recibidos, donde el mensaje de rechazo no se cifra o se protege en su integridad de acuerdo con el protocolo de autenticación. El componente de registro 1230 puede determinar un hash del mensaje de registro recibido en respuesta a una solicitud contenida dentro del mensaje de registro.
[0104] La FIG. 13 muestra un diagrama de un sistema 1300 que incluye un dispositivo que admite seguridad NAS mejorada de acuerdo con diversos aspectos de la presente divulgación. Por ejemplo, el sistema 1300 puede incluir una entidad de red 1340, que puede ser un ejemplo de un dispositivo inalámbrico 1000, un dispositivo inalámbrico 1100 o una red central 130 como los descritos con referencia a las FIGS. 1 a 5 y 10 a 12.
[0105] La entidad de red 1340 también puede incluir un gestor de seguridad NAS de red 1305, una memoria 1310, un procesador 1320, un transceptor 1325, una antena 1330 y un módulo ECC 1335. Cada uno de estos módulos puede comunicarse, directa o indirectamente, entre sí (por ejemplo, por medio de uno o más buses). El gestor de seguridad NAS de red 1305 puede ser un ejemplo de un gestor de seguridad NAS de red como el descrito con referencia a las FIGS. 10 a 12.
[0106] La memoria 1310 puede incluir RAM y ROM. La memoria 1310 puede almacenar software legible por ordenador y ejecutable por ordenador, que incluye instrucciones que, cuando se ejecutan, hacen que el procesador realice diversas funciones descritas en el presente documento (por ejemplo, seguridad NAS mejorada, etc.). En algunos casos, el software 1315 puede no ejecutarse directamente por el procesador, sino que puede hacer (por ejemplo, cuando se compila y ejecuta) que un ordenador realice las funciones descritas en el presente documento. El procesador 1320 puede incluir un dispositivo de hardware inteligente (por ejemplo, una CPU, un microcontrolador, un ASIC, etc.).
[0107] El transceptor 1325 puede comunicarse bidireccionalmente, por medio de una o más antenas, enlaces alámbricos o enlaces inalámbricos, con una o más redes, como se describe anteriormente. Por ejemplo, el transceptor 1325 puede comunicarse bidireccionalmente con una estación base 105 o un UE 115. El transceptor 1325 también puede incluir un módem para modular los paquetes y proporcionar los paquetes modulados a las antenas para su transmisión, y para desmodular los paquetes recibidos desde las antenas.
[0108] El componente de autenticación 1335 puede realizar procedimientos de autenticación y seguridad de red como los descritos en el presente documento.
[0109] La FIG. 14 muestra un diagrama de flujo que ilustra un procedimiento 1400 para una seguridad NAS mejorada de acuerdo con diversos aspectos de la presente divulgación. Las operaciones del procedimiento 1400 pueden implementarse mediante un dispositivo inalámbrico, tal como un UE 115, o dispositivos inalámbricos 600, 700 o sus componentes, como los descritos con referencia a las FIGS. 1 a 9. Por ejemplo, las operaciones del procedimiento 1400 pueden ser realizadas por el gestor de seguridad NAS de UE como se describe en el presente documento. En algunos ejemplos, el dispositivo inalámbrico puede ejecutar un conjunto de códigos para controlar los elementos funcionales del dispositivo para realizar las funciones descritas a continuación. De forma adicional o alternativa, el dispositivo inalámbrico puede realizar aspectos de las funciones que se describen a continuación usando hardware de propósito especial.
[0110] En el bloque 1405, el dispositivo inalámbrico puede transmitir un mensaje de registro a una red para establecer una conexión segura para al menos mensajes NAS entre la red y el dispositivo inalámbrico, donde la conexión segura está basada en un identificador de dispositivo inalámbrico y en las capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro como se describió anteriormente con referencia a las FIGS. 2 a 5. En determinados ejemplos, las operaciones del bloque 1405 pueden ser realizadas por el componente de registro descrito con referencia a las FIGS. 7 y 8.
[0111] En el bloque 1410, el dispositivo inalámbrico puede intercambiar mensajes NAS con la red a través de la conexión segura como se describe anteriormente con referencia a las FIGS. 2 a 5. En ciertos ejemplos, las operaciones del bloque 1410 pueden ser realizadas por el componente de vinculación descrito con referencia a las FIGS. 7 y 8, y pueden implicar la realización de un procedimiento de vinculación.
[0112] La FIG. 15 muestra un diagrama de flujo que ilustra un procedimiento 1500 para una seguridad NAS mejorada de acuerdo con diversos aspectos de la presente divulgación. Las operaciones del procedimiento 1500 pueden implementarse mediante un dispositivo inalámbrico, tal como un UE 115, o dispositivos inalámbricos 600, 700 o sus componentes, como los descritos con referencia a las FIGS. 1 a 9. Por ejemplo, las operaciones del procedimiento 1500 pueden ser realizadas por el gestor de seguridad NAS de UE como se describe en el presente documento. En algunos ejemplos, el dispositivo inalámbrico puede ejecutar un conjunto de códigos para controlar los elementos funcionales del dispositivo para realizar las funciones descritas a continuación. De forma adicional o alternativa, el dispositivo inalámbrico puede realizar aspectos de las funciones que se describen a continuación usando hardware de propósito especial.
[0113] En el bloque 1505, el dispositivo inalámbrico puede transmitir un mensaje de registro a una red para establecer una conexión segura para mensajes NAS entre la red y el dispositivo inalámbrico, donde la conexión segura está basada en un identificador de dispositivo inalámbrico y en las capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro como se describió anteriormente con referencia a las FIGS. 2 a 5. En determinados ejemplos, las operaciones del bloque 1505 pueden ser realizadas por el componente de registro descrito con referencia a las FIGS. 7 y 8. Este mensaje de registro puede comprender menos información que la proporcionada normalmente por el dispositivo inalámbrico a la red bajo un protocolo de conexión NAS convencional.
[0114] En el bloque 1510, el dispositivo inalámbrico puede realizar un procedimiento de vinculación con la red a través de la conexión segura como se describe anteriormente con referencia a las FIGS. 2 a 5. En determinados ejemplos, las operaciones del bloque 1510 pueden ser realizadas por el componente de vinculación descrito con referencia a las FIGS. 7 y 8. Como parte del procedimiento de vinculación, el dispositivo inalámbrico puede transmitir una solicitud de vinculación para acceder a la red como se describe anteriormente con referencia a las FIGS. 2 a 5. En algunos casos, como en el bloque 1515, la solicitud de vinculación se transmite a la red. Esto se puede hacer añadiendo la solicitud de vinculación a un mensaje de modo de seguridad completado transmitido a la red. De forma alternativa, la solicitud de vinculación puede enviarse después que el dispositivo inalámbrico y la red establezcan una conexión NAS segura. Esto se puede lograr mediante un procedimiento de comandos de modo de seguridad realizado con éxito. La solicitud de vinculación puede incluir una solicitud de servicios, tal como una solicitud TAU. Una vez completado el procedimiento de vinculación, todas las comunicaciones NAS posteriores entre el dispositivo inalámbrico y la red se cifran, se protegen en su integridad o tanto se cifran como se protegen en su integridad.
[0115] La FIG. 16 muestra un diagrama de flujo que ilustra un procedimiento 1600 para una seguridad NAS mejorada de acuerdo con diversos aspectos de la presente divulgación. Las operaciones del procedimiento 1600 pueden implementarse mediante un dispositivo inalámbrico, tal como un UE 115, o dispositivos inalámbricos 600, 700 o sus componentes, como los descritos con referencia a las FIGS. 1 a 9. Por ejemplo, las operaciones del procedimiento 1600 pueden ser realizadas por el gestor de seguridad NAS de UE como se describe en el presente documento. En algunos ejemplos, el dispositivo inalámbrico puede ejecutar un conjunto de códigos para controlar los elementos funcionales del dispositivo para realizar las funciones descritas a continuación. De forma adicional o alternativa, el dispositivo inalámbrico puede realizar aspectos de las funciones que se describen a continuación usando hardware de propósito especial.
[0116] En el bloque 1605, el dispositivo inalámbrico puede transmitir un mensaje de registro a una red para establecer una conexión segura para al menos mensajes NAS entre la red y el dispositivo inalámbrico, donde la conexión segura está basada en un identificador de dispositivo inalámbrico y en las capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro como se describió anteriormente con referencia a las FIGS. 2 a 5. En determinados ejemplos, las operaciones del bloque 1605 pueden ser realizadas por el componente de registro descrito con referencia a las FIGS. 7 y 8.
[0117] En el bloque 1610, el dispositivo inalámbrico puede realizar, en respuesta al mensaje de registro, una autenticación mutua y un acuerdo de claves con la red, como se describe anteriormente con referencia a las FIGS.
2 a 5. En determinados ejemplos, las operaciones del bloque 1610 pueden ser realizadas por el componente de protocolo de autenticación descrito con referencia a las FIGs .7 y 8. El protocolo de autenticación puede ser una autenticación y un acuerdo de claves entre el dispositivo inalámbrico y la red. Un componente asociado a la red que está configurado para proteger los mensajes del NAS puede enviar una respuesta de autenticación a la MME o al componente de seguridad de la red que contiene una clave.
[0118] En el bloque 1615, el UE 115 puede cifrar mensajes NAS posteriores basándose, en parte, en el acuerdo de claves establecido como resultado de una autenticación realizada con éxito con la red como se describe anteriormente con referencia a las FIGS. 2 a 5. En determinados ejemplos, las operaciones del bloque 1615 pueden ser realizadas por el componente de cifrado descrito con referencia a las FIGS. 7 y 8. Estos mensajes NAS pueden cifrarse bajo el mismo contexto de seguridad incluso si el dispositivo inalámbrico cambia los modos de funcionamiento o si el dispositivo inalámbrico recibe mensajes de vinculación NAS, de servicio o rechazo de TAU no protegidos.
[0119] En el bloque 1620, el dispositivo inalámbrico puede realizar un procedimiento de vinculación con la red a través de la conexión segura como se describe anteriormente con referencia a las FIGS. 2 a 5. En determinados ejemplos, las operaciones del bloque 1620 pueden ser realizadas por el componente de vinculación descrito con referencia a las FIGS. 7 y 8. Una vez completado el procedimiento de vinculación, todas las comunicaciones NAS posteriores entre el dispositivo inalámbrico y la red se cifran, se protegen en su integridad o tanto se cifran como se protegen en su integridad.
[0120] La FIG. 17 muestra un diagrama de flujo que ilustra un procedimiento 1700 para una seguridad NAS mejorada de acuerdo con diversos aspectos de la presente divulgación. Las operaciones del procedimiento 1700 pueden implementarse mediante un dispositivo, tal como una red central 130, o dispositivos inalámbricos 1000, 1100 o sus componentes, como los descritos con referencia a las FIGS. 1 a 5 y 10 a 13. Por ejemplo, las operaciones del procedimiento 1700 pueden ser realizadas por el gestor de seguridad NAS de red como se describe en el presente documento. En algunos ejemplos, la red central 130 puede ejecutar un conjunto de códigos para controlar los elementos funcionales del dispositivo para realizar las funciones descritas a continuación. De forma adicional o alternativa, la red central 130 puede realizar aspectos de las funciones que se describen a continuación usando hardware de propósito especial.
[0121] En el bloque 1705, la red central 130 puede recibir un mensaje de registro desde un dispositivo inalámbrico para establecer una conexión segura para al menos mensajes NAS entre el dispositivo inalámbrico y una red, donde la conexión segura está basada en un identificador de dispositivo inalámbrico y en las capacidades de seguridad del dispositivo inalámbrico incluidos en el mensaje de registro como se describió anteriormente con referencia a las FIGS. 2 a 5. En determinados ejemplos, las operaciones del bloque 1705 pueden ser realizadas por el componente de registro descrito con referencia a las FIGS. 11 y 12.
[0122] En el bloque 1710, la red central 130 puede intercambiar mensajes NAS con el dispositivo inalámbrico a través de la conexión segura, como se describe anteriormente con referencia a las FIGS. 2 a 5. En ciertos ejemplos, las operaciones del bloque 1710 pueden ser realizadas por el componente de vinculación descrito con referencia a las FIGS. 11 y 12, y pueden implicar la realización de un procedimiento de vinculación. Una vez completado el procedimiento de vinculación, todas las comunicaciones NAS posteriores entre el dispositivo inalámbrico y la red se cifran, se protegen en su integridad o tanto se cifran como se protegen en su integridad.
[0123] Cabe señalar que estos procedimientos describen una posible implementación y que las operaciones y las etapas pueden reorganizarse o modificarse de otro modo de manera que sean posibles otras implementaciones. En algunos ejemplos, se pueden combinar aspectos de dos o más de los procedimientos. Por ejemplo, aspectos de cada uno de los procedimientos pueden incluir etapas o aspectos de los otros procedimientos, u otras etapas o técnicas descritas en el presente documento. Por tanto, aspectos de la divulgación pueden proporcionar una seguridad NAS mejorada.
[0124] La descripción del presente documento se proporciona para permitir que un experto en la técnica realice o use la divulgación. Varias modificaciones de la divulgación resultarán fácilmente evidentes a los expertos en la técnica, y los principios genéricos definidos en el presente documento pueden aplicarse a otras variaciones sin apartarse del alcance de la divulgación. Por lo tanto, la divulgación no pretende limitarse a los ejemplos y diseños descritos en el presente documento, sino que debe concedérsele el alcance más amplio compatible con los principios y las características novedosas divulgadas en el presente documento.
[0125] Las funciones descritas en el presente documento pueden implementarse en hardware, software, ejecutarse por un procesador, firmware o cualquier combinación de los mismos. Si se implementan en software ejecutado por un procesador, las funciones se pueden almacenar en o transmitir por un medio legible por un medio legible por ordenador como una o más instrucciones o código. Otros ejemplos e implementaciones están dentro del alcance de la divulgación y las reivindicaciones adjuntas. Por ejemplo, debido a la naturaleza del software, las funciones descritas anteriormente pueden implementarse usando software ejecutado por un procesador, hardware, firmware, cableado o combinaciones de cualquiera de estos. Las características que implementan funciones también pueden estar ubicadas físicamente en varias posiciones, lo que incluye estar distribuidas de manera que partes de las funciones se implementen en diferentes ubicaciones (físicas). Además, como se usa en el presente documento, incluidas las reivindicaciones, "o" como se usa en una lista de elementos (por ejemplo, una lista de elementos precedidos por una expresión tal como "al menos uno/a de" o "uno/a o más") indica una lista inclusiva de manera que, por ejemplo, una lista de al menos uno de A, B, o C significa A o B o C o AB o AC o BC o ABC (es decir, A y B y C).
[0126] Los medios legibles por ordenador incluyen tanto medios de almacenamiento informático no transitorios como medios de comunicación que incluyen cualquier medio que facilite la transferencia de un programa informático de un lugar a otro. Un medio de almacenamiento no transitorio puede ser cualquier medio disponible al que se pueda acceder mediante un ordenador de propósito general o de propósito especial. A modo de ejemplo, y no de limitación, los medios legibles por ordenador no transitorios pueden comprender RAM, ROM, memoria de solo lectura programable eléctricamente borrable (EEPROM), ROM en disco compacto (CD-ROM) u otro almacenamiento en disco óptico, almacenamiento en disco magnético u otros dispositivos de almacenamiento magnético, o cualquier otro medio no transitorio que se pueda usar para transportar o almacenar medios de código de programa deseados en forma de instrucciones o estructuras de datos y al que se pueda acceder mediante un ordenador de propósito general o de propósito especial, o un procesador de propósito general o de propósito especial. Además, cualquier conexión recibe correctamente la denominación de medio legible por ordenador. Por ejemplo, si el software se transmite desde un sitio web, un servidor u otra fuente remota usando un cable coaxial, un cable de fibra óptica, un par trenzado, una línea de abonado digital (DSL) o tecnologías inalámbricas tales como infrarrojos, radio y microondas, entonces el cable coaxial, el cable de fibra óptica, el par trenzado, la DSL o las tecnologías inalámbricas, tales como infrarrojos, radio y microondas, se incluyen en la definición de medio. Los discos, como se usan en el presente documento, incluyen el CD, el disco láser, el disco óptico, el disco versátil digital (DVD), el disco flexible y el disco Blu-ray, donde algunos discos reproducen normalmente los datos magnéticamente, mientras que otros discos reproducen los datos ópticamente con láseres. Las combinaciones de lo anterior también se incluyen dentro del alcance de los medios legibles por ordenador.
[0127] Las técnicas descritas en el presente documento pueden usarse para diversos sistemas de comunicaciones inalámbricas tales como CDMA, TDMA, FDMA, OFDMA, acceso múltiple por división de frecuencia de portadora única (SC-FDMA) y otros sistemas. Los términos "sistema" y "red" se usan a menudo de manera intercambiable. Un sistema CDMA puede implementar una tecnología de radio tal como CDMA2000, Acceso Radioeléctrico Terrestre Universal (u TrA), etc. CDMA2000 cubre las normas IS-2000, IS-95 e IS-856. Las versiones 0 y A de IS-2000 se denominan comúnmente CDMA2000 IX, IX, etc. IS-856 (TiA-856) se denomina comúnmente CDMA2000 1xEV-DO, Datos por Paquetes de Alta Velocidad (HRPD), etc. UTRA incluye CDMA de banda ancha (WCDMA) y otras variantes de CDMA. Un sistema TDMA puede implementar una tecnología de radio tal como el Sistema Global de Comunicaciones Móviles (GSM). Un sistema OFDMA puede implementar una tecnología de radio tal como Banda Ultraancha Móvil (UMB), UTRA Evolucionado (E-UTRA), IEEE 802.11, IEEE 802.16 (WiMAX), IEEE 802.20, Flash-OFDM, etc. UTrA y E-UTRA son parte del Sistema Universal de Telecomunicaciones Móviles (UMTS). LTE y LTE-Avanzada (LTE-A) de 3GPP son nuevas versiones de UMTS que usan E-UTRA. UTRA, E-UTRA, UMTS, LTE, LTE-a y GSM se describen en documentos de una organización denominada "Proyecto de Colaboración de Tercera Generación" (3GPP). CDMA2000 y UMB se describen en documentos de una organización denominada "Proyecto 2 de Colaboración de Tercera Generación" (3GPP2). Las técnicas descritas en el presente documento se pueden usar en los sistemas y tecnologías de radio mencionados anteriormente, así como en otros sistemas y tecnologías de radio. Sin embargo, la descripción del presente documento describe un sistema LTE con fines de ejemplo y se usa terminología LTE en gran parte de la descripción anterior, aunque las técnicas pueden aplicarse más allá de las aplicaciones LTE.
[0128] En redes LTE/LTE-A, incluidas redes descritas en el presente documento, el término nodoB evolucionado (eNB) se puede usar, en general, para describir las estaciones base. El sistema de comunicaciones inalámbricas o los sistemas descritos en el presente documento pueden incluir una red LTE/LTE-A heterogénea en la que diferentes tipos de eNB proporcionan cobertura a diversas regiones geográficas. Por ejemplo, cada eNB o estación base puede proporcionar cobertura de comunicación para una macrocélula, una célula pequeña u otros tipos de célula. El término "célula" es un término de 3GPP que se puede usar para describir una estación base, una portadora o portadora componente (CC) asociada a una estación base, o un área de cobertura (por ejemplo, sector, etc.) de una portadora o estación base, dependiendo del contexto.
[0129] Las estaciones base pueden incluir o pueden denominarse por los expertos en la técnica como estación transceptora base, estación base de radio, punto de acceso (AP), transceptor de radio, nodoB, eNodoB (eNB), nodoB doméstico, eNodoB doméstico o con alguna otra terminología adecuada. El área de cobertura geográfica para una estación base puede estar dividida en sectores que solo constituyen una parte del área de cobertura. El sistema o los sistemas de comunicaciones inalámbricas descritos en el presente documento pueden incluir estaciones base de diferentes tipos (por ejemplo, estaciones base de macrocélula o de célula pequeña). Los UE descritos en el presente documento pueden ser capaces de comunicarse con diversos tipos de estaciones base y equipos de red, incluidos macro-eNB, eNB de célula pequeña, estaciones base retransmisoras y similares. Puede haber áreas de cobertura geográfica superpuestas para diferentes tecnologías. En algunos casos, diferentes áreas de cobertura pueden estar asociadas a diferentes tecnologías de comunicación. En algunos casos, el área de cobertura de una tecnología de comunicación puede superponerse con el área de cobertura asociada a otra tecnología. Diferentes tecnologías se pueden asociar a la misma estación base o a diferentes estaciones base.
[0130] Una macrocélula cubre, en general, un área geográfica relativamente grande (por ejemplo, de varios kilómetros de radio) y puede permitir un acceso no restringido por parte de UE con suscripciones de servicio con el proveedor de red. Una célula pequeña es una estación base de menor potencia, en comparación con una macrocélula, que puede funcionar en bandas de frecuencia iguales o diferentes (por ejemplo, con licencia, sin licencia, etc.) que las macrocélulas. Las células pequeñas pueden incluir picocélulas, femtocélulas y microcélulas, de acuerdo con diversos ejemplos. Una picocélula, por ejemplo, puede cubrir un área geográfica pequeña y puede permitir un acceso no restringido por parte de UE con suscripciones de servicio con el proveedor de red. Una femtocélula también puede cubrir un área geográfica pequeña (por ejemplo, una vivienda) y puede proporcionar acceso restringido por parte de UE que estén asociados a la femtocélula (por ejemplo, los UE de un grupo cerrado de abonados (CSG), los UE para usuarios de la vivienda y similares). Un eNB para una macrocélula se puede denominar macro-eNB. Un eNB para una célula pequeña se puede denominar eNB de célula pequeña, pico-eNB, femto-eNB o eNB doméstico. Un eNB puede admitir una o múltiples (por ejemplo, dos, tres, cuatro y similares) células (por ejemplo, portadoras componente (CC)). Un UE puede ser capaz de comunicarse con diversos tipos de estaciones base y equipos de red, incluidos macro-eNB, eNB de célula pequeña, estaciones base retransmisoras y similares.
[0131] El sistema o los sistemas de comunicaciones inalámbricas descritos en el presente documento puede admitir un funcionamiento síncrono o asíncrono. En el funcionamiento síncrono, las estaciones base pueden tener una temporización de tramas similar, y las transmisiones desde diferentes estaciones base pueden estar aproximadamente alineadas en el tiempo. En el funcionamiento asíncrono, las estaciones base pueden tener una temporización de tramas diferente, y las transmisiones desde diferentes estaciones base pueden no estar alineadas en el tiempo. Las técnicas descritas en el presente documento se pueden usar para funcionamientos síncronos o bien asíncronos.
[0132] Las transmisiones de DL descritas en el presente documento también se pueden denominar transmisiones de enlace directo, mientras que las transmisiones de UL también se pueden denominar transmisiones de enlace inverso. Cada enlace de comunicación descrito en el presente documento que incluye, por ejemplo, el sistema de comunicaciones inalámbricas 100 y 200 de las FIGS. 1 y 2 pueden incluir una o más portadoras, donde cada portadora puede ser una señal compuesta por múltiples subportadoras (por ejemplo, señales de forma de onda de diferentes frecuencias). Cada señal modulada puede enviarse en una subportadora diferente y puede transportar información de control (por ejemplo, señales de referencia, canales de control, etc.), información suplementaria, datos de usuario, etc. Los enlaces de comunicación descritos en el presente documento (por ejemplo, los enlaces de comunicación 125 de la FIG. 1) pueden transmitir comunicaciones bidireccionales usando un funcionamiento dúplex por división de frecuencia (FDD) (por ejemplo, usando recursos de espectro emparejados) o un funcionamiento dúplex por división de tiempo (TDD) (por ejemplo, usando recursos de espectro no emparejados). Se pueden definir estructuras de trama para FDD (por ejemplo, estructura de trama de tipo 1) y para TDD (por ejemplo, estructura de trama de tipo 2).
[0133] Por tanto, aspectos de la divulgación pueden proporcionar una seguridad NAS mejorada. Cabe señalar que estos procedimientos describen posibles implementaciones y que las operaciones y las etapas pueden reorganizarse o modificarse de otro modo de manera que sean posibles otras implementaciones. En algunos ejemplos, se pueden combinar aspectos de dos o más de los procedimientos.
[0134] Los diversos bloques y módulos ilustrativos descritos en relación con la divulgación del presente documento se pueden implementar o realizar con un procesador de propósito general, un procesador de señales digitales (DSP), un ASIC, una matriz de puertas programables in situ (FPGA) u otro dispositivo de lógica programable, lógica de transistores o puertas discretas, componentes de hardware discretos o cualquier combinación de los mismos diseñada para realizar las funciones descritas en el presente documento. Un procesador de propósito general puede ser un microprocesador pero, de forma alternativa, el procesador puede ser cualquier procesador, controlador, microcontrolador o máquina de estados convencional. Un procesador también se puede implementar como una combinación de dispositivos informáticos (por ejemplo, una combinación de un DSP y un microprocesador, múltiples microprocesadores, uno o más microprocesadores junto con un núcleo de DSP o cualquier otra configuración de este tipo). Por tanto, las funciones descritas en el presente documento pueden ser realizadas por otra u otras unidades de procesamiento (o núcleos), en al menos un CI. En diversos ejemplos, se pueden usar diferentes tipos de IC (por ejemplo, ASIC estructurados/de plataforma, una FPGA u otro IC semipersonalizado), que se pueden programar de cualquier manera conocida en la técnica. Las funciones de cada unidad también pueden implementarse, en su totalidad o en parte, con instrucciones incorporadas en una memoria, formateadas para ser ejecutadas por uno o más procesadores generales o específicos de la aplicación.
[0135] En las figuras adjuntas, componentes o rasgos característicos similares pueden tener la misma etiqueta de referencia. Además, se pueden distinguir diversos componentes del mismo tipo posponiendo a la etiqueta de referencia un guion y una segunda etiqueta que distingue los componentes similares. Si solo se usa la primera etiqueta de referencia en la memoria descriptiva, la descripción se puede aplicar a uno cualquiera de los componentes similares que tenga la misma primera etiqueta de referencia, independientemente de la segunda etiqueta de referencia.

Claims (15)

  1. REIVINDICACIONES
    i . Un procedimiento de comunicación inalámbrica, que comprende:
    transmitir un mensaje de registro (305; 355) a una red (130-b-1; 130-b-2) para establecer una conexión segura en base a una autenticación mutua y un acuerdo de claves (315; 365) con la red (130-b-1; 130-b-2) para al menos mensajes de estrato de no acceso, NAS, entre la red (130-b-1; 130-b-2) y un dispositivo inalámbrico (115-c-1; 115-c -2), donde la conexión segura está basada, al menos en parte, en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico (115-c-1; 115-c-2) incluidos en el mensaje de registro (305; 355);
    transmitir, a través de la conexión segura, una solicitud de vinculación (325; 330; 370) que incluye capacidades del dispositivo inalámbrico no incluidas en el mensaje de registro (305; 355) para acceder a la red (130-b-1; 130-b-2) después de la autenticación mutua y el acuerdo de claves (315; 365); e intercambiar mensajes NAS con la red (130-b-1; 130-b-2) a través de la conexión segura.
  2. 2. El procedimiento de la reivindicación 1, en el que la solicitud de vinculación (325; 330; 370) se añade a un mensaje de modo de seguridad completado transmitido a la red (130-b-1; 130-b-2).
  3. 3. El procedimiento de la reivindicación 1, en el que el mensaje de registro (305; 355) es un mensaje de solicitud de vinculación (325; 330; 370), un mensaje de solicitud de actualización de área de seguimiento, TAU, o un mensaje de solicitud de servicio.
  4. 4. El procedimiento de la reivindicación 1, que comprende además:
    cifrar mensajes NAS posteriores en base a, en parte, el acuerdo de claves establecido como resultado de una autenticación realizada con éxito con la red (130-b-1; 130-b-2).
  5. 5. Un procedimiento de comunicación inalámbrica, que comprende:
    recibir un mensaje de registro (305; 355) desde un dispositivo inalámbrico (115-c-1; 115-c-2) para establecer una conexión segura en base a una autenticación mutua y un acuerdo de claves (315; 365) con el dispositivo inalámbrico (115-c-1; 115-c-2) para al menos mensajes de estrato de no acceso, NAS, entre el dispositivo inalámbrico (115-c-1; 115-c-2) y una red (130-b-1; 130-b-2), donde la conexión segura está basada, al menos en parte, en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico (115-c-1; 115-c-2) incluidos en el mensaje de registro (305; 355);
    recibir desde el dispositivo inalámbrico (115-c-1; 115-c-2), a través de la conexión segura, una solicitud de vinculación (325; 330; 370) que incluye capacidades del dispositivo inalámbrico no incluidas en el mensaje de registro (305; 355) para acceder a la red (130-b-1; 130-b-2) después de la autenticación mutua y el acuerdo de claves (315; 365); e
    intercambiar mensajes NAS con el dispositivo inalámbrico (115-c-1; 115-c-2) a través de la conexión segura.
  6. 6. El procedimiento de la reivindicación 5, en el que la solicitud de vinculación (325; 330; 370) se añade a un mensaje de modo de seguridad completado transmitido a la red (130-b-1; 130-b-2).
  7. 7. El procedimiento de la reivindicación 5, en el que el mensaje de registro (305; 355) es un mensaje de solicitud de vinculación (325; 330; 370), un mensaje de solicitud de actualización de área de seguimiento, TAU, o un mensaje de solicitud de servicio.
  8. 8. El procedimiento de la reivindicación 5, que comprende además:
    cifrar mensajes NAS posteriores en base a, en parte, el acuerdo de claves establecido como resultado de una autenticación realizada con éxito con el dispositivo inalámbrico (115-c-1; 115-c-2).
  9. 9. Un aparato de comunicación inalámbrica, que comprende:
    medios para transmitir un mensaje de registro (305; 355) a una red (130-b-1; 130-b-2) para establecer una conexión segura en base a una autenticación mutua y un acuerdo de claves (315; 365) con la red (130-b-1; 130-b-2) para al menos mensajes de estrato de no acceso, NAS, entre la red (130-b-1; 130-b-2) y un dispositivo inalámbrico (115-c-1; 115-c -2), donde la conexión segura está basada, al menos en parte, en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico (115-c-1; 115-c-2) incluidos en el mensaje de registro (305; 355);
    medios para transmitir, a través de la conexión segura, una solicitud de vinculación (325; 330; 370) que incluye capacidades del dispositivo inalámbrico no incluidas en el mensaje de registro (305; 355) para acceder a la red (130-b-1; 130-b-2) después de la autenticación mutua y el acuerdo de claves (315; 365); y
    medios para intercambiar mensajes NAS con la red (130-b-1; 130-b-2) a través de la conexión segura.
  10. 10. El aparato de la reivindicación 9, en el que la solicitud de vinculación (325; 330; 370) se añade a un mensaje de modo de seguridad completado transmitido a la red (130-b-1; 130-b-2).
  11. 11. El aparato de la reivindicación 9, que comprende además:
    medios para cifrar mensajes NAS posteriores en base a, en parte, el acuerdo de claves establecido como resultado de una autenticación realizada con éxito con la red (130-b-1; 130-b-2).
  12. 12. Un aparato de comunicación inalámbrica, que comprende:
    medios para recibir un mensaje de registro (305; 355) desde un dispositivo inalámbrico (115-c-1; 115-c-2) para establecer una conexión segura en base a una autenticación mutua y un acuerdo de claves (315; 365) con el dispositivo inalámbrico (115-c-1; 115-c-2) para al menos mensajes de estrato de no acceso, NAS, entre el dispositivo inalámbrico (115-c-1; 115-c-2) y una red (130-b-1; 130-b-2), donde la conexión segura está basada, al menos en parte, en un identificador de dispositivo inalámbrico y en capacidades de seguridad del dispositivo inalámbrico (115-c-1; 115-c-2) incluidos en el mensaje de registro (305; 355);
    medios para recibir desde el dispositivo inalámbrico (115-c-1; 115-c-2), a través de la conexión segura, una solicitud de vinculación (325; 330; 370) que incluye capacidades del dispositivo inalámbrico no incluidas en el mensaje de registro (305; 355) para acceder a la red (130-b-1; 130-b-2) después de la autenticación mutua y el acuerdo de claves (315; 365); y
    medios para intercambiar mensajes NAS con el dispositivo inalámbrico (115-c-1; 115-c-2) a través de la conexión segura.
  13. 13. El aparato de la reivindicación 12, en el que la solicitud de vinculación (325; 330; 370) se añade a un mensaje de modo de seguridad completado transmitido a la red (130-b-1; 130-b-2).
  14. 14. El aparato de la reivindicación 12, que comprende además:
    medios para cifrar mensajes NAS posteriores en base a, en parte, el acuerdo de claves establecido como resultado de una autenticación realizada con éxito con el dispositivo inalámbrico (115-c-1; 115-c-2).
  15. 15. Un programa informático que comprende instrucciones que hacen que un ordenador, cuando las ejecuta, realice el procedimiento de cualquiera de las reivindicaciones 1-4 o 5-8.
ES17719054T 2016-04-27 2017-03-27 Seguridad mejorada de estrato de no acceso Active ES2863310T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201662328430P 2016-04-27 2016-04-27
US15/286,002 US10334435B2 (en) 2016-04-27 2016-10-05 Enhanced non-access stratum security
PCT/US2017/024260 WO2017189139A1 (en) 2016-04-27 2017-03-27 Enhanced non-access stratum security

Publications (1)

Publication Number Publication Date
ES2863310T3 true ES2863310T3 (es) 2021-10-11

Family

ID=60159223

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17719054T Active ES2863310T3 (es) 2016-04-27 2017-03-27 Seguridad mejorada de estrato de no acceso

Country Status (10)

Country Link
US (2) US10334435B2 (es)
EP (1) EP3449608B1 (es)
CN (2) CN109076079B (es)
AU (1) AU2017258596B2 (es)
BR (1) BR112018072027A2 (es)
CA (1) CA3017611A1 (es)
ES (1) ES2863310T3 (es)
SG (1) SG11201807644TA (es)
TW (1) TWI724132B (es)
WO (1) WO2017189139A1 (es)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10334435B2 (en) 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security
CN106896356B (zh) * 2016-08-17 2019-11-19 阿里巴巴集团控股有限公司 确定距离变化的方法、位置提示方法及其装置和系统
WO2018089442A2 (en) * 2016-11-09 2018-05-17 Intel IP Corporation Ue and devices for detach handling
CN109756451B (zh) * 2017-11-03 2022-04-22 华为技术有限公司 一种信息交互方法及装置
CN109788474A (zh) * 2017-11-14 2019-05-21 华为技术有限公司 一种消息保护的方法及装置
WO2019158381A1 (en) * 2018-02-19 2019-08-22 Telefonaktiebolaget Lm Ericsson (Publ) Supporting interworking and/or mobility between different wireless communication systems
WO2019161790A1 (en) * 2018-02-22 2019-08-29 Mediatek Singapore Pte. Ltd. Improved tracking area update procedure for intersystem change in mobile communications
US10813161B2 (en) * 2018-03-06 2020-10-20 Mediatek Singapore Pte. Ltd. Apparatuses and methods for protection of an initial non-access stratum (NAS) message
US10939280B2 (en) * 2018-04-05 2021-03-02 Qualcomm Incorporated Optimization of user equipment radio capability signaling
CN110536415B (zh) * 2018-05-23 2020-11-20 大唐移动通信设备有限公司 一种nas消息的处理方法、集群终端和集群核心网
CN110945851A (zh) * 2018-05-29 2020-03-31 联发科技(新加坡)私人有限公司 第五代移动通信中恶意小区的检测
PL3576366T3 (pl) * 2018-05-29 2021-12-27 Exfo Oy Sposób i fałszywa stacja bazowa do wykrywania tożsamości abonenta
MX2021003363A (es) 2018-09-24 2021-05-27 Nokia Technologies Oy Sistemas y método de protección de seguridad de mensajes de estrato sin acceso.
EP3834444B1 (en) * 2018-10-03 2023-08-09 Sony Group Corporation Method for identifying terminal capabilities in a wireless communication system
WO2020113519A1 (zh) * 2018-12-06 2020-06-11 深圳市欢太科技有限公司 伪基站的识别方法、装置、移动终端及存储介质
US10609667B1 (en) * 2019-01-28 2020-03-31 Verizon Patent And Licensing Inc. System and method for delivery of end device policies during registration procedure
US11159944B2 (en) * 2019-02-21 2021-10-26 T-Mobile Usa, Inc. Wireless-network attack detection
US11147116B2 (en) 2019-02-26 2021-10-12 Mediatek Singapore Pte. Ltd. Apparatuses and methods for handling a non-integrity-protected reject message
EP3939224A1 (en) * 2019-03-13 2022-01-19 Telefonaktiebolaget LM Ericsson (publ) Providing ue capability information to an authentication server
US20200322795A1 (en) * 2019-04-03 2020-10-08 Mediatek Singapore Pte. Ltd. Apparatuses and methods for alignment of common non access stratum (nas) security context
KR20210138153A (ko) * 2019-04-09 2021-11-18 삼성전자주식회사 무선 통신 시스템에서 통신을 수행하는 방법 및 장치
CN112087297B (zh) * 2019-06-14 2022-05-24 华为技术有限公司 一种获取安全上下文的方法、系统及设备
US20210105611A1 (en) * 2019-10-04 2021-04-08 Qualcomm Incorporated User equipment radio capability protection
US20230121717A1 (en) * 2020-01-13 2023-04-20 Telefonaktiebolaget Lm Ericsson (Publ) Robust nas layer signaling
KR102645975B1 (ko) * 2020-04-30 2024-03-12 삼성전자주식회사 민감한 사용자 평면 트래픽을 보호하는 방법 및 장치
CN111614648B (zh) * 2020-05-14 2021-10-15 西安交通大学 一种工业物联网抗主动窃听物理层安全传输方法
US20220078617A1 (en) * 2020-09-08 2022-03-10 Qualcomm Incorporated Optimization for an initial access stratum security mode command procedure
WO2024000412A1 (zh) * 2022-06-30 2024-01-04 Oppo广东移动通信有限公司 通信方法和通信装置
CN117882415A (zh) * 2022-08-12 2024-04-12 北京小米移动软件有限公司 终端设备能力指示方法及装置

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2429607B (en) * 2005-08-26 2010-02-10 Samsung Electronics Co Ltd Improvements in mobile telecommunication security
TWI425801B (zh) 2006-06-19 2014-02-01 Interdigital Tech Corp 初始傳信訊息中原始用戶識別碼安全保護的方法及裝置
US8699711B2 (en) * 2007-07-18 2014-04-15 Interdigital Technology Corporation Method and apparatus to implement security in a long term evolution wireless device
US8532614B2 (en) * 2007-10-25 2013-09-10 Interdigital Patent Holdings, Inc. Non-access stratum architecture and protocol enhancements for long term evolution mobile units
CN101336000B (zh) * 2008-08-06 2011-11-30 中兴通讯股份有限公司 协议配置选项传输方法及系统、用户终端
WO2010019020A2 (ko) * 2008-08-15 2010-02-18 삼성전자주식회사 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법
US9276909B2 (en) 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
CN101686233B (zh) * 2008-09-24 2013-04-03 电信科学技术研究院 Ue与网络安全算法不匹配的处理方法、系统及装置
KR101475349B1 (ko) * 2008-11-03 2014-12-23 삼성전자주식회사 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
US8526617B2 (en) * 2008-12-29 2013-09-03 Htc Corporation Method of handling security configuration in wireless communications system and related communication device
KR20110119785A (ko) * 2009-02-16 2011-11-02 텔레폰악티에볼라겟엘엠에릭슨(펍) 비-암호화 망 동작 해결책
CN101505479B (zh) * 2009-03-16 2014-04-30 中兴通讯股份有限公司 一种认证过程中安全上下文协商方法和系统
CN101868036A (zh) * 2009-04-15 2010-10-20 大唐移动通信设备有限公司 一种控制ue接入网络的方法及系统
KR101700448B1 (ko) * 2009-10-27 2017-01-26 삼성전자주식회사 이동 통신 시스템에서 보안 관리 시스템 및 방법
US20130042011A1 (en) * 2010-04-14 2013-02-14 Panasonic Corporation Communication nodes and network nodes
US9385862B2 (en) * 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
CN101925050B (zh) * 2010-08-19 2014-12-03 华为技术有限公司 一种安全上下文的生成方法及装置
US9826404B2 (en) * 2011-01-11 2017-11-21 Qualcomm Incorporated System and method for peer-to-peer authorization via non-access stratum procedures
ES2837635T3 (es) * 2012-01-26 2021-07-01 Ericsson Telefon Ab L M Funcionamiento de un nodo de servicio en una red
CN108462972A (zh) * 2012-03-16 2018-08-28 Lg 电子株式会社 用于在无线通信系统中处理nas信令请求的方法和装置
USRE49491E1 (en) * 2012-06-08 2023-04-11 Samsung Electronics Co., Ltd. Method and system for selective protection of data exchanged between user equipment and network
CN102833739B (zh) * 2012-08-24 2015-07-01 大唐移动通信设备有限公司 一种初始非接入层消息的传输方法、装置及系统
WO2014051260A1 (ko) * 2012-09-26 2014-04-03 엘지전자 주식회사 Mtc 모니터링 방법
GB2508006A (en) * 2012-11-16 2014-05-21 Broadcom Corp Changing a device from communicating with a first to a second data communication system by determining a change in the devices capabilities
GB2513311B (en) * 2013-04-22 2020-05-27 Sony Corp Communications device and method
US9942845B2 (en) * 2014-06-04 2018-04-10 Telefonaktiebolaget Lm Ericsson (Publ) Terminating service restriction for user equipments having power saving mode
WO2016021817A1 (ko) * 2014-08-04 2016-02-11 엘지전자 주식회사 무선 통신 시스템에서 단말을 인증 하는 방법 및 이를 위한 장치
US9998449B2 (en) * 2014-09-26 2018-06-12 Qualcomm Incorporated On-demand serving network authentication
EP4102871A1 (en) * 2015-12-03 2022-12-14 Telefonaktiebolaget LM Ericsson (publ) Multi-rat security setup
US9788208B2 (en) * 2015-12-31 2017-10-10 Mediatek Inc. Apparatuses and methods for recovering from security mode command failures
US10873464B2 (en) * 2016-03-10 2020-12-22 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
US10382206B2 (en) * 2016-03-10 2019-08-13 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
US10334435B2 (en) 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security

Also Published As

Publication number Publication date
US20190268769A1 (en) 2019-08-29
TW201739276A (zh) 2017-11-01
EP3449608B1 (en) 2021-01-06
BR112018072027A2 (pt) 2019-02-12
US10334435B2 (en) 2019-06-25
EP3449608A1 (en) 2019-03-06
CN114095155A (zh) 2022-02-25
CA3017611A1 (en) 2017-11-02
AU2017258596A1 (en) 2018-10-04
US10674360B2 (en) 2020-06-02
AU2017258596B2 (en) 2022-02-03
WO2017189139A1 (en) 2017-11-02
CN109076079B (zh) 2021-10-08
CN109076079A (zh) 2018-12-21
US20170318463A1 (en) 2017-11-02
SG11201807644TA (en) 2018-11-29
TWI724132B (zh) 2021-04-11

Similar Documents

Publication Publication Date Title
ES2863310T3 (es) Seguridad mejorada de estrato de no acceso
CA2787826C (en) Method and apparatus for securing wireless relay nodes
ES2894476T3 (es) Técnicas para derivar claves de seguridad para una red celular basándose en la realización de un procedimiento de protocolo de autenticación extensible (EAP)
US10506438B2 (en) Multi-RAT access stratum security
US8902827B2 (en) Relay for handling data forwarding in a wireless communication system and related method for controlling the same
EP3061222B1 (en) Controlled credentials provisioning between user devices
ES2882071T3 (es) Nodo de red para uso en una red de comunicación, dispositivo de comunicación y métodos de operación del mismo
CN109496412B (zh) 使用隐私识别码的验证
EP3406046B1 (en) Downlink control channel encryption for jamming resilience
WO2020056433A2 (en) SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo)