ES2882598T3 - Método de protección de la seguridad, medio de almacenamiento legible por ordenador, aparato y producto de programa informático - Google Patents
Método de protección de la seguridad, medio de almacenamiento legible por ordenador, aparato y producto de programa informático Download PDFInfo
- Publication number
- ES2882598T3 ES2882598T3 ES18877885T ES18877885T ES2882598T3 ES 2882598 T3 ES2882598 T3 ES 2882598T3 ES 18877885 T ES18877885 T ES 18877885T ES 18877885 T ES18877885 T ES 18877885T ES 2882598 T3 ES2882598 T3 ES 2882598T3
- Authority
- ES
- Spain
- Prior art keywords
- nas
- access technology
- message
- nas count
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
- Storage Device Security (AREA)
Abstract
Un método de protección de la seguridad, que comprende: determinar (501; 901), por parte de un aparato, un primer parámetro, en el que el primer parámetro se utiliza para indicar una tecnología de acceso utilizada para transmitir un mensaje de estrato sin acceso, NAS; y realizar (502; 902), por parte del aparato, una protección de la seguridad sobre el mensaje de NAS con base en el primer parámetro, a una clave de NAS y a un RECUENTO DE NAS correspondiente a la tecnología de acceso utilizada para transmitir el mensaje de NAS, en donde el primer parámetro es un parámetro de entrada utilizado cuando se realiza la protección de la seguridad sobre el mensaje de NAS.
Description
DESCRIPCIÓN
Método de protección de la seguridad, medio de almacenamiento legible por ordenador, aparato y producto de programa informático
Campo técnico
Las realizaciones de esta solicitud se refieren al campo de las tecnologías de las comunicaciones inalámbricas y, en particular, a un método y a un aparato de protección de la seguridad.
Antecedentes
En un sistema de quinta generación (quinta generación, 5G), un terminal puede acceder a un nodo de función de gestión del acceso y la movilidad (Access and mobility Management Function, AMF, en inglés) solo mediante una tecnología de acceso del proyecto de asociación de tercera generación (3rd Generation Partnership Project, 3GPP, en inglés), o solo mediante una tecnología de acceso que no es del 3GPP (no 3GPP), o mediante una tecnología de acceso del 3GPP y una tecnología de acceso que no es del 3GPP. Cuando el terminal accede al nodo de AMF mediante la tecnología de acceso del 3GPP y la tecnología de acceso que no es del 3GPP, existen dos enlaces de conexión del estrato sin acceso (Non-Access Stratum, NAS, en inglés) entre el terminal y el nodo de AMF al mismo tiempo. Si el terminal utiliza un conjunto de claves de NAS y un conjunto de RECUENTOS DE NAS (recuentos de estrato sin acceso, NAS COUNT, en inglés) para proteger por separado los dos enlaces de conexión, puede ocurrir el siguiente caso: el nodo de AMF recibe en primer lugar un RECUENTO DE NAS relativamente pequeño transmitido a través de un enlace y, a continuación, recibe un RECUENTO DE NAS relativamente grande transmitido a través del otro enlace. En consecuencia, se produce un ataque de repetición, lo que da como resultado un problema de seguridad de los datos relativamente deficiente de la transmisión del enlace de conexión de NAS entre el terminal y el nodo de AMF. Por lo tanto, cuando existe una pluralidad de enlaces de conexión de NAS entre el terminal y el nodo de AMF, cómo realizar la protección de la seguridad en la pluralidad de enlaces de conexión de NAS es un problema urgente que debe ser resuelto.
El documento 3GPP TSG SA WG 3 # 88-Bis, S3-172491, “Multiple registrations”, de Ericsson, da a conocer que el UE debe mantener y utilizar solo un contexto de seguridad del 5G para dos conexiones de NAS sobre acceso del 3GPP y acceso que no es del 3GPP. Las claves de NAS derivadas de la Kamf en este contexto de seguridad del 5G son comunes para el caso de acceso del 3GPP y que no es del 3GPP. En este caso, a cada conexión de NAS se le debe asignar un par específico de RECUENTOS DE NAS y una ID única de CONEXIÓN DE NAS. La separación criptográfica se realiza mediante el parámetro NAS CONNECTION ID utilizado cuando se forma la entrada RECUENTO a los algoritmos de protección de NAS, tal como se describe en 6.6.3.1 y 6.6.4.1.
El documento 3GPP TR 33.899 V1.3.0 (2017-08)), “Study on the security aspects of the next generation system”, da a conocer en el apartado 5.1.4.44.2.3 que un NAS CONN ID es un número que se incrementa cada vez que se establece una nueva conexión de NAS. El nuevo parámetro se utiliza como diferenciador al interactuar con la función de seguridad de NAS para indicar a qué conexión de NAS pertenece cada mensaje.
Compendio
Las realizaciones de esta solicitud proporcionan un método y un aparato de protección de la seguridad para implementar la protección de la seguridad para una pluralidad de enlaces de conexión de NAS.
El objeto anterior se consigue mediante las características de las reivindicaciones independientes. Características adicionales de la invención se presentan en las reivindicaciones dependientes. A continuación, las partes de la descripción y los dibujos que se refieren a realizaciones, que no están cubiertas por las reivindicaciones, no se presentan como realizaciones de la invención, sino como ejemplos útiles para comprender la invención.
Breve descripción de los dibujos
La figura 1 es un diagrama esquemático de una posible arquitectura de red, de acuerdo con una realización de esta solicitud;
la figura 2 es un diagrama esquemático de otra posible arquitectura de red, de acuerdo con una realización de esta solicitud;
la figura 3 es un ejemplo de un diagrama esquemático de un método de cifrado y descifrado, de acuerdo con una realización de esta solicitud;
la figura 4 es un ejemplo de un diagrama esquemático de un método de protección de la integridad, de acuerdo con una realización de esta solicitud;
la figura 5 es un diagrama de flujo de un método de protección de la seguridad, de acuerdo con una realización de esta solicitud;
la figura 6 es un ejemplo de un diagrama esquemático de otro método de cifrado y descifrado, de acuerdo con una realización de esta solicitud;
la figura 7 es un ejemplo de un diagrama esquemático de otro método de cifrado y descifrado adicional, de acuerdo con una realización de esta solicitud;
la figura 8 es un ejemplo de un diagrama esquemático de otro método de cifrado y descifrado adicional, de acuerdo con una realización de esta solicitud;
la figura 9 es un diagrama de flujo de otro método de protección de la seguridad, de acuerdo con una realización de esta solicitud;
la figura 10 es un diagrama de flujo de otro método de protección de la seguridad, de acuerdo con una realización de esta solicitud;
la figura 11A y la figura 11B son un diagrama de flujo de otro método de protección de la seguridad, de acuerdo con una realización de esta solicitud;
la figura 12 es un diagrama estructural esquemático de un aparato, de acuerdo con una realización de esta solicitud;
la figura 13 es un diagrama estructural esquemático de un terminal, de acuerdo con una realización de esta solicitud;
la figura 14 es un diagrama estructural esquemático de otro aparato, de acuerdo con una realización de esta solicitud; y
la figura 15 es un diagrama estructural esquemático de un dispositivo de la red central, de acuerdo con una realización de esta solicitud.
Descripción de las realizaciones
A continuación, se describe adicionalmente en detalle, esta solicitud, con referencia a los dibujos adjuntos. También se puede aplicar un método de funcionamiento específico en las realizaciones del método a una realización de un aparato o a una realización del sistema. En las descripciones de esta solicitud, a menos que se especifique lo contrario, “una pluralidad de” significa dos o más de dos.
Una arquitectura de sistema y un planteamiento de servicio descritos en esta solicitud pretenden describir más claramente las soluciones técnicas en esta solicitud, pero no pretenden limitar las soluciones técnicas proporcionadas en esta solicitud. Un experto en la materia puede saber que a medida que la arquitectura del sistema evoluciona y surge un nuevo planteamiento de servicio, las soluciones técnicas proporcionadas en esta solicitud también son aplicables a un problema técnico similar.
Cabe señalar que, en esta solicitud, un término tal como “ejemplo” o “por ejemplo” se utiliza como ejemplo para representar una ilustración o una descripción. Cualquier realización o solución de diseño descrita como un “ejemplo” o “por ejemplo” en esta solicitud no debe ser explicada como más preferida o con más ventajas que otra realización o solución de diseño. Exactamente, la utilización de la palabra “ejemplo” o “por ejemplo”, o similar, pretende presentar un concepto relacionado de una manera específica.
Las realizaciones de esta solicitud se pueden aplicar a un sistema de comunicaciones inalámbricas de próxima generación, por ejemplo, a un sistema de comunicaciones 5G. la figura 1 muestra un diagrama esquemático de una posible arquitectura de red de acuerdo con esta solicitud. La arquitectura de red incluye lo siguiente.
Un nodo de AMF es un elemento de red responsable de la gestión de la movilidad, y puede ser configurado para implementar una función distinta de la gestión de sesiones en las funciones de la entidad de gestión de la movilidad (Mobility Management Entity, MME, en inglés), por ejemplo, una función tal como la interceptación legal o la autorización de acceso.
Un nodo de función de gestión de sesión (Session Management Function, SMF, en inglés) está configurado para asignar un recurso de sesión a un plano de usuario.
Un nodo de función de servidor de autenticación (Authentication Server Function, AUSF, en inglés) es responsable de: cuando el nodo de AUSF realiza la autenticación en un terminal, verificar y transferir un parámetro que se va a autenticar, y autentica la autenticidad del terminal. Las funciones principales incluyen: recibir una solicitud de autenticación enviada por un nodo de función de anclaje de seguridad (Security Anchor Function, SEAF, en inglés) y seleccionar un método de autenticación. Cuando se utiliza un método de protocolo de autenticación extensible para autenticación y acuerdo de claves de tercera generación (Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement, EAP-AKA’, en inglés), el nodo de AUSF puede completar la autenticación desde un lado de la red hasta el terminal.
Un nodo de SEAF puede formar parte del nodo de AMF, o puede ser un elemento de red independiente, y es el principal responsable de iniciar una solicitud de autenticación al nodo de AUSF y completar la autenticación desde el lado de la red hasta el terminal en un proceso de autenticación de sistema de paquetes evolucionado para autenticación y acuerdo de claves (Evolved Packet System - Authentication and Key Agreement, EPS-AKA*, en inglés).
Un nodo de función de plano de usuario (User Plane Function, UPF, en inglés) es una salida de datos de plano de usuario y está configurado para conectarse a una red externa.
Una red de datos (Data Network, DN, en inglés) es una red que se utiliza para proporcionar datos externos, por ejemplo, la Internet (Internet).
Un nodo de la red de acceso (por radio) ((Radio) Access Network, (R)AN, en inglés) puede utilizar diferentes tecnologías de acceso. Actualmente, existen dos tipos de tecnologías de acceso por radio: una tecnología de acceso del 3GPP (por ejemplo, una tecnología de acceso por radio utilizada en un sistema 3G, 4G o 5G) y una tecnología de acceso que no es del 3GPP. La tecnología de acceso del 3GPP es una tecnología de acceso que cumple con una especificación estándar del 3GPP. Una red de acceso que utiliza la tecnología de acceso del 3GPP es una red de acceso por radio (RAN, en inglés). Un dispositivo de la red de acceso en el sistema 5G se denomina estación base del nodo de próxima generación (next generation Node Base station, gNB, en inglés). La tecnología de acceso que no es del 3GPP es una tecnología de acceso que no cumple con la especificación estándar del 3GPP, por ejemplo, una tecnología de radio representada por un punto de acceso (Access Point, AP, en inglés) WiFi.
Un terminal en esta solicitud es un dispositivo que tiene funciones de transmisión y recepción inalámbrica. El terminal puede estar desplegado en tierra, por ejemplo, un dispositivo de interior, un dispositivo de exterior, un dispositivo de mano o un dispositivo de vehículo; o puede estar desplegado en el agua (por ejemplo, en un barco); o puede estar desplegado en el aire (por ejemplo, en un avión, un globo o un satélite). El terminal puede incluir diversos tipos de equipos de usuario (User Equipment, UE, en inglés), teléfonos móviles (teléfono móvil), ordenadores de tabletas (pad), ordenadores con funciones de transmisión y recepción inalámbrica, tarjetas de datos inalámbricas, terminal de realidad virtual (Virtual Reality, VR, en inglés). dispositivos, dispositivos terminales de realidad aumentada (realidad aumentada, AR, en inglés), dispositivos terminales de comunicación de tipo máquina (Machine Type Communication, MTC, en inglés), dispositivos terminales en control industrial (control industrial), dispositivos terminales autónomos (autónomos), dispositivos terminales médicos remotos (dispositivos terminales médicos remotos), dispositivos terminales de redes inteligentes (redes inteligentes), dispositivos terminales en la seguridad del transporte (seguridad del transporte), dispositivos terminales en una ciudad inteligente (ciudad inteligente), dispositivos para llevar puestos (tal como un reloj inteligente, una banda inteligente y un podómetro) y similares. Los terminales que tienen funciones de comunicación inalámbrica similares pueden tener diferentes nombres en sistemas en los que se utilizan diferentes tecnologías de acceso por radio. Para facilitar la descripción, en las realizaciones de esta solicitud, los aparatos citados anteriormente con funciones de comunicación de transmisión y recepción inalámbrica se denominan conjuntamente terminales.
Específicamente, el terminal de esta solicitud almacena una clave a largo plazo y una función relacionada. Al realizar la autenticación bidireccional en un nodo de la red central (tal como un nodo de AMF, un nodo de AUSF y un nodo de SEAF), el terminal puede verificar la autenticidad de una red utilizando la clave a largo plazo y la función relacionada.
Un dispositivo de la red de acceso en las realizaciones de esta solicitud es un aparato que proporciona una función de comunicación inalámbrica para un terminal. Por ejemplo, el dispositivo de red de acceso puede ser una estación base (Base Station, BS, en inglés), y la estación base puede incluir diversas formas de macro estaciones base, micro estaciones base, estaciones repetidoras, puntos de acceso y similares. Los dispositivos que tienen las funciones de una estación base pueden tener diferentes nombres en sistemas en los que se utilizan diferentes tecnologías de acceso por radio. Por ejemplo, en el sistema 5G, un dispositivo que tiene las funciones de la estación base se denomina estación base de nodo de próxima generación y puede estar representado como un gNB; en un sistema de evolución a largo plazo (Long Term Evolution, LTE, en inglés), un dispositivo que tiene las funciones de la estación base se denomina NodoB evolucionado (Evolved NodeB, eNB o eNodeB, en inglés); en un sistema de comunicaciones de tercera generación (tercera generación, 3G), un dispositivo que tiene las funciones de la estación base se denomina Nodo B (Nodo B). Para facilitar la descripción, en las realizaciones de la presente invención, los aparatos citados anteriormente, que proporcionan la función de comunicación inalámbrica para el terminal, se denominan conjuntamente dispositivos de la red de acceso.
Un nodo de función de exposición de red (Network Exposure Function, NEF, en inglés) está configurado principalmente para interactuar con un tercero, de tal manera que el tercero pueda interactuar indirectamente con un elemento de red en algunas redes de 3GPP.
Un nodo de función de depósito de red (Network Function Repository Function, NRF, en inglés) está configurado para encontrar elementos entre redes y mantener la función de red (Network Function, NF, en inglés).
Un nodo de función de control de políticas (Policy Control Function, PCF, en inglés) almacena una regla de calidad de servicio más reciente (Quality of Service, QoS, en inglés). Una estación base puede asignar un recurso apropiado a un canal de transmisión del plano de usuario de acuerdo con una regla de QoS proporcionada por un nodo de SMF.
Un nodo de gestión de datos unificados (Unified Data Management, UDM, en inglés) está configurado para almacenar información de suscripción de un usuario.
Un nodo de función de aplicación (Application Function, AF, en inglés) puede estar ubicado dentro del DN y es un elemento de red funcional desplegado en el tercero. Este elemento de red está configurado principalmente para notificar al nodo de PCF un último requisito de servicio de una empresa de terceros para una aplicación. El nodo de PCF puede generar una regla de QoS correspondiente basada en el requisito del servicio, para garantizar que un servicio proporcionado por una red cumpla con el requisito especificado por el tercero.
En las realizaciones de esta solicitud, el terminal puede acceder al nodo de AMF utilizando al menos dos tecnologías de acceso. Se utiliza como ejemplo que las al menos dos tecnologías de acceso incluyen la tecnología de acceso del 3GPP y la tecnología de acceso que no es del 3GPP. Una realización de esta solicitud proporciona, además, un diagrama esquemático de una posible arquitectura de red. Tal como se muestra en la figura 2, la arquitectura de red incluye un nodo de AMF, un nodo de AUSF, un nodo de SMF, un nodo de UPF, un nodo de UDM (o un nodo de almacén de credenciales de autenticación y función de procesamiento (Authentication Credential Repository and Processing Function, APRF, en inglés)), un terminal, y un nodo de función de interacción que no es del 3GPP (non-3GPP InterWorking Function, N3IWF, en inglés).
Para el nodo de AMF, el nodo de AUSF, el nodo de SMF, el nodo de UPF, el nodo de UDM y el terminal, véase la descripción en la figura 1. Los detalles no se describen nuevamente en el presente documento.
El nodo de N3IWF está configurado para ayudar al terminal a acceder al nodo de AMF mediante la utilización de tecnología de acceso que no es del 3GPP.
Con referencia a la arquitectura de red mostrada en la figura 2, el terminal puede acceder al nodo de AMF por medio de la tecnología de acceso del 3GPP y de la tecnología de acceso que no es del 3GPP. La tecnología de acceso del 3GPP se puede representar simplemente como 3GPP, y la tecnología de acceso que no es del 3GPP se puede representar simplemente como no 3GPP. Una ruta 1 en la figura 2 es una ruta por la que el terminal accede al nodo de AMF por medio del 3GPP, y una ruta 2 es una ruta por la que el terminal accede al nodo de AMF por medio del no 3GPP, en otras palabras, el terminal puede acceder al nodo de AMF a través del Nodo de N3IWF. Cuando el terminal accede al nodo de AMF por medio del 3GPP y del no 3GPP, si el terminal necesita enviar un mensaje de NAS al nodo de AMF, en una posible implementación, el mensaje de NAS puede ser dividido en al menos dos bloques de mensajes, donde una parte de los bloques del mensaje son transmitidos por medio del 3GPP, y la otra parte de los bloques del mensaje son transmitidos por medio del no 3GPP. Por ejemplo, el mensaje de NAS puede ser dividido en un bloque de mensaje 1, un bloque de mensaje 2, un bloque de mensaje 3, un bloque de mensaje 4 y un bloque de mensaje 5. Los bloques de mensaje 2 y 4 son transmitidos por medio del 3GPP, y los bloques de mensaje 1,3 y 5 son transmitidos por medio del no 3GPP. En otra posible implementación, el terminal puede transmitir un mensaje de NAS completo por medio del 3GPP y transmitir otro mensaje de NAS completo por medio del no 3GPP.
En primer lugar, se explican los términos relacionados con las realizaciones de esta solicitud.
(1) RECUENTO DE NAS
Un RECUENTO DE NAS incluye 24 bits, incluido un desbordamiento de NAS de 16 bits y un número de secuencia de 8 bits.
Un valor inicial de RECUENTO DE NAS es 0. Un RECUENTO DE NAS de enlace ascendente se incrementa en 1 cada vez que el terminal envía un mensaje de NAS al dispositivo de la red central, y un RECUENTO DE NAS de enlace descendente se incrementa en 1 cada vez que el dispositivo de la red central envía un mensaje de NAS al terminal. Después de que se completa un proceso de autenticación desde el terminal al dispositivo de la red central, tanto el RECUENTO DE NAS del enlace ascendente como el RECUENTO DE NAS del enlace descendente son ajustados a 0.
Opcionalmente, existen dos métodos para mantener el RECUENTO DE NAS:
Método 1: después de enviar un mensaje de NAS, el RECUENTO DE NAS almacenado se incrementa en 1 y se almacena; y cuando es necesario enviar un mensaje de NAS la siguiente vez, la protección de la seguridad se realiza en el mensaje de NAS mediante el RECUENTO DE NAS almacenado.
Método 2: después de que se envía un mensaje de NAS, cuando es necesario enviar un mensaje de NAS la siguiente vez, un RECUENTO DE NAS almacenado se incrementa en 1 para obtener un nuevo RECUENTO DE NAS, y la protección de la seguridad se realiza en el mensaje de NAS mediante la utilización del nuevo RECUENTO DE NAS.
Después de recibir el mensaje de NAS, el terminal y el dispositivo de la red central pueden verificar si un RECUENTO DE NAS recibido se reutiliza; específicamente, puede verificar si el RECUENTO DE NAS que se incluye en el mensaje de NAS es mayor que un RECUENTO DE NAS recibido anteriormente. Por ejemplo, si el nodo de AMF recibe un RECUENTO DE NAS de enlace ascendente desde el terminal, el RECUENTO DE NAS de enlace ascendente recibido
se puede comparar con un RECUENTO DE NAS de enlace ascendente recibido previamente. Si el RECUENTO DE NAS del enlace ascendente recibido es mayor que el RECUENTO DE NAS del enlace ascendente recibido previamente, la verificación de seguridad realizada en el mensaje de NAS se realiza correctamente.
Cuando el cifrado y el descifrado, y la protección de la integridad se realizan mediante el RECUENTO DE NAS, RECUENTO DE nAs se rellena a 32 bits; en otras palabras, se rellenan 8 bits delante de un RECUENTO DE NAS original de 24 bits, donde los 8 bits rellenados pueden ser todo 0.
(2) Cifrado y descifrado
La figura 3 muestra un proceso de cifrado y descifrado de un mensaje de NAS.
En el presente documento, la clave puede ser una clave de NAS.
Un RECUENTO utilizado para el cifrado y el descifrado incluye 32 bits, donde los primeros 8 bits son 0, los 16 bits centrales son un desbordamiento de NAS y los últimos 8 bits son un número de secuencia.
La información del portador (PORTADOR) incluye 5 bits y los 5 bits son todos 0.
Se utiliza una dirección de transmisión de datos (DIRECCIÓN) para indicar enlace ascendente o enlace descendente. Cuando el cifrado y el descifrado se realizan en un mensaje de NAS de enlace ascendente, la DIRECCIÓN indica el enlace ascendente. Cuando el cifrado y el descifrado se realizan en un mensaje de NAS de enlace descendente, la DIRECCIÓN indica enlace descendente.
Una longitud (LONGITUD) se utiliza para indicar una longitud de datos de un mensaje de NAS que debe ser cifrado o descifrado.
Un algoritmo de cifrado del sistema de paquetes evolucionado (Evolved Packet System Encryption Algorithm, EEA, en inglés) se puede denominar algoritmo de cifrado de EPS, y es un algoritmo utilizado para cifrar y descifrar un mensaje de NAS.
Un proceso de cifrado es el siguiente: realizar el procesamiento de EEA en los parámetros de entrada (la CLAVE, el RECUENTO, el PORTADOR, la DIRECCIÓN y la LONGITUD), para obtener una secuencia de claves (una secuencia de claves); y realizar la adición módulo 2 en la secuencia de claves y un texto sin cifrar (un mensaje de NAS), para obtener un texto cifrado (texto cifrado). Un proceso de descifrado es el siguiente: realizar el procesamiento de EEA en los parámetros de entrada citados anteriormente, para obtener la secuencia de claves; y realizar la adición módulo 2 en la secuencia de claves y el texto cifrado, para recuperar el texto sin cifrar.
(3) Protección de la integridad
La figura 4 muestra un proceso para realizar la protección de la integridad y la verificación de la protección de la integridad en un mensaje de NAS.
Un mensaje (MENSAJE) es un mensaje en el que se debe realizar la protección de la integridad, y puede ser, específicamente, un mensaje de NAS.
Un algoritmo de integridad del sistema de paquetes evolucionado (algoritmo de integridad del sistema de paquetes evolucionado, algoritmo de integridad de EPS) se muestra en la figura 4.
Un método de protección de la integridad es el siguiente: un extremo de transmisión realiza el procesamiento de EIA en los parámetros de entrada (la CLAVE, el RECUENTO, el MENSAJE, el PORTADOR y la DIRECCIÓN) para obtener un código de autenticación de mensaje esperado para la integridad (Message Authentication Code - Integrity, MAC-I) o un NAS-MAC. Un método de verificación de la protección de la integridad es el siguiente: realizar el procesamiento de EIA en los parámetros de entrada (la CLAVE, el RECUENTO, el MENSAJE, el PORTADOR y la DIRECCIÓN), para obtener un código de autenticación de mensaje esperado para la integridad (eXpected Message Authentication Code - Integrity, XMAC-I, en inglés) o un XNAS-mAC; comparando aún más el XmAc -I con el MAC-I; y si el XMAC-I es consistente con el MAC-I, determinar que la verificación de la protección de la integridad se realiza correctamente. A continuación, se describen en detalle las soluciones técnicas proporcionadas en esta solicitud.
Con base en las arquitecturas de red en la figura 1 y la figura 2, una realización de esta solicitud proporciona un método de protección de la seguridad. En este método, para un proceso de cifrado, descifrado y protección de la integridad, véanse las descripciones en la figura 3 y la figura 4. Tal como se muestra en la figura 5, el método incluye, principalmente, la etapa 501 y la etapa 502.
Etapa 501: un terminal determina un primer parámetro.
El primer parámetro es un parámetro de entrada utilizado cuando el terminal realiza protección de la seguridad en un mensaje de NAS, y el primer parámetro se utiliza para indicar una tecnología de acceso utilizada para transmitir el
mensaje de NAS. El terminal puede admitir al menos dos tecnologías de acceso y puede mantener por separado un RECUENTO DE NAS correspondiente para cada una de las al menos dos tecnologías de acceso. Por ejemplo, las al menos dos tecnologías de acceso comprenden una tecnología de acceso del 3GPP y una tecnología de acceso diferente que puede compartir el mismo dispositivo de la red central de la red del 3GPP con la tecnología de acceso del 3GPP, por ejemplo, una tecnología de acceso que no es del 3GPP o una tecnología de acceso de red fija. Opcionalmente, que el primer parámetro indique la tecnología de acceso utilizada para transmitir el mensaje de n As puede entenderse, además, como que el primer parámetro se utiliza para indicar una ruta de transmisión utilizada por el terminal para transmitir el mensaje de NAS. Por ejemplo, el terminal y el nodo de AMF pueden mantener por separado un RECUENTO DE NAS correspondiente para cada ruta de transmisión sin distinguir las tecnologías de acceso. Si la ruta de transmisión utilizada para transmitir el mensaje de NAS es una ruta 1, se utiliza un RECUENTO DE NAS correspondiente a la ruta 1. Si la ruta de transmisión utilizada para transmitir el mensaje de NAS es una ruta 2, se utiliza un RECUENTO DE NAS correspondiente a la ruta 2. Se puede entender que una ruta de transmisión corresponde a una tecnología de acceso. Por ejemplo, con referencia a la figura 2, la tecnología de acceso utilizada cuando se transmiten datos en la ruta 1 es la tecnología de acceso del 3GPP, y la tecnología de acceso utilizada cuando se transmiten datos en la ruta 2 es la tecnología de acceso que no es del 3GPP.
El primer parámetro puede ser un parámetro de entrada recién agregado en un proceso de cifrado y descifrado o en un proceso de protección de la integridad. El parámetro incluye una cantidad predeterminada de bits. Opcionalmente, se pueden representar diferentes tecnologías de acceso ajustando los bits a diferentes valores.
En una primera implementación posible, tal como se muestra en la figura 6, el primer parámetro puede ser un parámetro de ACCESO. Por ejemplo, si el primer parámetro es 00, indica que se utiliza la tecnología de acceso del 3GPP; si el primer parámetro es 01, indica que se utiliza la tecnología de acceso que no es del 3GPP. Alternativamente, 001 representa la tecnología de acceso del 3GPP, 010 representa una tecnología de fidelidad inalámbrica (Wireless Fidelity, WiFi, en inglés) y 011 representa una tecnología de red fija.
Alternativamente, se puede utilizar 001 para representar una primera tecnología de acceso utilizada, se puede utilizar 010 para representar una segunda tecnología de acceso utilizada y se puede utilizar 011 para representar una tercera tecnología de acceso utilizada. En otras palabras, cada vez que se cambia una tecnología de acceso utilizada, el primer parámetro se incrementa en 1 hasta que los bits del primer parámetro sean todos 1, y, a continuación, el primer parámetro puede ser recontado desde 000. Por ejemplo, si todos los bits del primer parámetro se cambian a 1 después de que el terminal cambia la tecnología de acceso utilizada una pluralidad de veces, cuando el terminal necesita cambiar la tecnología de acceso utilizada de la primera tecnología de acceso a la segunda tecnología de acceso, un primer parámetro generado para la segunda tecnología de acceso es 001. Opcionalmente, en este método, la primera tecnología de acceso, la segunda tecnología de acceso y la tercera tecnología de acceso pueden ser una misma tecnología. En otras palabras, cuando se reutiliza una tecnología de acceso, el primer parámetro se incrementa en 1 hasta que los bits del primer parámetro son todos 1, y a continuación, el primer parámetro puede ser recontado desde 000.
Opcionalmente, cada vez que el parámetro RECUENTO en los parámetros de entrada es reiniciado a 0 o un número de secuencia de NAS es reiniciado a 0, el primer parámetro también puede ser incrementado en 1.
Opcionalmente, cuando los bits del primer parámetro son todos 1, es necesario actualizar la clave de NAS utilizada cuando se transmite un mensaje de NAS una siguiente vez.
En una segunda posible implementación, tal como se muestra en la figura 7, todos o algunos bits del parámetro RECUENTO en los parámetros de entrada pueden ser utilizados para indicar la tecnología de acceso utilizada para transmitir el mensaje de NAS. Por ejemplo, si el RECUENTO incluye 8 bits de relleno todos 0 y un RECUENTO DE NAS, el primer parámetro puede ser algunos o todos los bits de los 8 bits. Por ejemplo, los primeros 3 bits pueden ser seleccionados para indicar la tecnología de acceso utilizada para transmitir el mensaje de NAS. Para saber cómo distinguir diferentes tecnologías de acceso mediante la utilización de valores de bits, véanse las descripciones relacionadas en la primera implementación.
En una tercera implementación posible, tal como se muestra en la figura 8, el parámetro PORTADOR en los parámetros de entrada puede ser utilizado para indicar la tecnología de acceso utilizada para transmitir el mensaje de NAS, o para indicar una ruta de acceso utilizada para transmitir el mensaje de NAS, donde el primer parámetro puede ser algunos o todos los bits del PORTADOR. Por ejemplo, los primeros 3 bits pueden ser seleccionados para indicar la tecnología de acceso utilizada para transmitir el mensaje de NAS. Para saber cómo distinguir diferentes tecnologías de acceso mediante la utilización de valores de bits, véanse las descripciones relacionadas en la primera implementación.
En una cuarta implementación posible, se puede aumentar La cantidad de bits de RECUENTO, y el primer parámetro son algunos de los bits de RECUENTO. Por ejemplo, el RECUENTO se extiende de 32 bits a 64 bits (un RECUENTO de 64 bits se adapta a una clave con una longitud de 256 bits). Una parte del RECUENTO extendido se utiliza para indicar una tecnología de acceso. Por ejemplo, se reservan tres bits para indicar una tecnología de acceso, donde 000 representa una tecnología de acceso del 3GPP, 001 representa una tecnología de acceso de WiFi y 010 representa una tecnología de acceso de red fija.
En una quinta implementación posible, el primer parámetro puede ser un RECUENTO DE NAS y se puede eliminar un bit del RECUENTO DE NAS. Se utilizan una cantidad de bits eliminados para indicar una tecnología de acceso.
Opcionalmente, se elimina una cantidad preestablecida de bits de un desbordamiento de NAS en un RECUENTO DE NAS existente, y la cantidad de bits eliminados se utiliza para indicar la tecnología de acceso. Por ejemplo, si se elimina un bit, indica que la tecnología de acceso es una tecnología de acceso del 3GPP; si se eliminan dos bits, indica que la tecnología de acceso es una tecnología de acceso de WiFi; si se eliminan tres bits, indica que la tecnología de acceso es una tecnología de acceso de red fija.
Alternativamente, se eliminan una cantidad preestablecida de bits de un número de secuencia que forma parte de un RECUENTO DE NAS existente, y la cantidad de bits eliminados se utiliza para indicar la tecnología de acceso. Por ejemplo, si se elimina un bit, indica que la tecnología de acceso es una tecnología de acceso del 3GPP; si se eliminan dos bits, indica que la tecnología de acceso es una tecnología de acceso de WiFi; si se eliminan tres bits, indica que la tecnología de acceso es una tecnología de acceso de red fija.
Opcionalmente, un primer parámetro correspondiente a cada tecnología de acceso puede estar preconfigurado en el terminal. Después de determinar la tecnología de acceso utilizada para transmitir el mensaje de NAS, el terminal puede buscar un primer parámetro correspondiente con base en la tecnología de acceso utilizada para transmitir el mensaje de NAS; o después de determinar la tecnología de acceso utilizada para transmitir el mensaje de NAS, el terminal genera el primer parámetro con base en la tecnología de acceso utilizada para transmitir el mensaje de NAS.
Cabe señalar que, cuando el primer parámetro es un RECUENTO DE NAS o el primer parámetro son algunos bits de un RECUENTO DE NAS, el terminal mantiene diferentes RECUENTOS DE NAS para diferentes tecnologías de acceso admitidas. En otros casos, el terminal puede mantener un mismo RECUENTO DE NAS o diferente RECUENTO DE NAS para diferentes tecnologías de acceso admitidas.
El terminal puede determinar, de manera independiente, el primer parámetro, y notifica a un nodo de AMF el primer parámetro. Alternativamente, un nodo de AMF determina el primer parámetro y notifica al terminal el primer parámetro. Alternativamente, el primer parámetro puede estar preconfigurado en el terminal y en un nodo de AMF. Por ejemplo, si el primer parámetro lo determina el nodo de AMF, el terminal puede recibir el primer parámetro del nodo de AMF. Si el primer parámetro son algunos bits en un RECUENTO DE NAS, después de recibir el primer parámetro, el terminal puede reemplazar, con el primer parámetro, los bits especificados en el RECUENTO DE NAS almacenados por el terminal. Alternativamente, si el primer parámetro son algunos bits en un PORTADOR, el terminal puede reemplazar los bits especificados en el PORTADOR con el primer parámetro.
Etapa 502: el terminal realiza una protección de la seguridad en un mensaje de NAS con base en el primer parámetro, a una clave de NAS y a un RECUENTO DE NAS correspondiente a una tecnología de acceso utilizada para transmitir el mensaje de NAS.
El RECUENTO DE NAS puede ser un parámetro que tiene la función de prevenir un ataque de repetición de mensajes de NAS. La clave de NAS es una clave de NAS compartida por al menos dos tecnologías de acceso que pueden ser compatibles con el terminal.
Que el terminal realice una protección de la seguridad en un mensaje de NAS indica: cifrar un mensaje de NAS para transmitirlo a un dispositivo de la red central, descifrar un mensaje de NAS recibido y realizar la protección de la integridad en el mensaje de NAS que se transmitirá al dispositivo de la red central, o realizar una verificación de la protección de la integridad en el mensaje de NAS recibido. En consecuencia, una clave utilizada para realizar la protección de la seguridad sobre el mensaje de NAS puede ser una clave de cifrado y una clave de protección de la integridad. En esta realización de esta solicitud, la clave de cifrado y la clave de protección de la integridad se denominan conjuntamente claves de NAS. Una secuencia de ejecución de cifrado, descifrado, protección de la integridad de la producción y verificación de la protección de la integridad no está limitada en esta realización de esta solicitud.
Se puede entender que el terminal puede mantener el RECUENTO DE NAS correspondiente para cada una de las al menos dos tecnologías de acceso. Si el terminal transmite el mensaje de NAS utilizando la tecnología de acceso del 3GPP, la protección de la seguridad se realiza en el mensaje de NAS utilizando un primer parámetro correspondiente a la tecnología de acceso del 3GPP, un RECUENTO DE NAS de enlace ascendente mantenido por el terminal para la tecnología de acceso del 3GPP y la clave de NAS.
En correspondencia con las tres implementaciones del primer parámetro, los métodos para cifrar el mensaje de NAS se muestran por separado en la figura 6, la figura 7 y la figura 8.
En correspondencia con la primera implementación anterior, con referencia a la figura 4, también se puede acceder a un parámetro de entrada utilizado cuando se realiza la protección de la seguridad sobre el mensaje de NAS.
En correspondencia con la segunda implementación anterior, con referencia a la figura 4, un RECUENTO en el parámetro de entrada utilizado cuando se realiza la protección de la seguridad sobre el mensaje de NAS incluye el primer parámetro.
En correspondencia con la tercera implementación anterior, con referencia a la figura 4, un PORTADOR en el parámetro de entrada utilizado cuando se realiza la protección de la seguridad sobre el mensaje de NAS incluye el primer parámetro.
Opcionalmente, si el terminal recibe el mensaje de NAS, el terminal puede determinar el primer parámetro correspondiente a la tecnología de acceso utilizada para transmitir el mensaje de NAS, para descifrar y/o realizar la verificación de la protección de la integridad en el mensaje de NAS utilizando un RECUENTO DE n As de enlace descendente contenido en el mensaje de NAS, el primer parámetro correspondiente a la tecnología de acceso utilizada para transmitir el mensaje de NAS, y la clave de NAS.
De acuerdo con el método de protección de la seguridad proporcionado en esta realización de esta solicitud, el terminal puede mantener por separado el RECUENTO DE NAS correspondiente para cada una de las al menos dos tecnologías de acceso. El terminal no utiliza un conjunto de RECUENTOS DE NAS cuando transmite el mensaje de NAS mediante la utilización de diferentes tecnologías de acceso. En su lugar, el terminal realiza una protección de la seguridad sobre el mensaje de NAS utilizando un RECUENTO DE NAS mantenido para una tecnología de acceso correspondiente. Esto puede evitar un problema de ataque de repetición que ocurre cuando un dispositivo de la red central recibe primero un RECUENTO DE NAS relativamente pequeño transmitido utilizando un enlace y, a continuación, recibe un RECUENTO DE NAS relativamente grande transmitido utilizando otro enlace. En esta solicitud, el primer parámetro utilizado para diferenciar las diferentes tecnologías de acceso se utiliza, además, cuando se realiza la protección de la seguridad sobre el mensaje de NAS. Por lo tanto, aunque se utiliza una misma clave de NAS y un mismo RECUENTO DE NAS cuando se realiza la protección de la seguridad en un mensaje de NAS transmitido mediante la utilización de diferentes tecnologías de acceso, los resultados de la protección de la seguridad del mensaje de NAS son diferentes, lo que reduce la posibilidad de que se produzca un ataque de repetición, implementando de este modo la protección de la seguridad para una pluralidad de enlaces de conexión de NAS.
En correspondencia con la realización de la figura 5, se proporciona, además, un método para realizar la protección de la seguridad en un mensaje de NAS mediante un dispositivo de la red central en otra implementación de esta realización de esta solicitud. El dispositivo de la red central puede ser un nodo de AMF, un nodo de SEAF, un nodo de MME, un nodo que participa en un proceso de autenticación de un terminal, u otro nodo relacionado con la generación y el almacenamiento de claves. En esta realización de esta solicitud, se utiliza como ejemplo que el dispositivo de la red central es un nodo de AMF. Tal como se muestra en la figura 9, el método incluye las siguientes etapas.
Etapa 901: el nodo de AMF determina un primer parámetro.
El primer parámetro se utiliza para indicar una tecnología de acceso utilizada para transmitir un mensaje de NAS. El nodo de AMF puede mantener por separado un RECUENTO DE NAS correspondiente para cada una de al menos dos tecnologías de acceso admitidas por el terminal.
Un método para determinar el primer parámetro por parte del nodo de AMF es similar al método para determinar el primer parámetro por parte el terminal en la etapa 501 en la figura 5, y se puede hacer referencia a la descripción relacionada en la etapa 501.
Etapa 902: el nodo de AMF realiza una protección de la seguridad en un mensaje de NAS con base en el primer parámetro, a una clave de NAS y a un RECUENTORECUENTO DE NAS correspondiente a una tecnología de acceso utilizada para transmitir el mensaje de NAS.
El RECUENTO DE NAS puede ser un parámetro que tiene la función de prevenir un ataque de repetición de mensajes de NAS.
Que el nodo de AMF realice una protección de la seguridad en un mensaje de NAS puede ser: cifrar un mensaje de NAS para transmitirlo a un terminal, descifrar un mensaje de NAS recibido y realizar una protección de la integridad en el mensaje de NAS que se transmitirá al terminal, o realizar una verificación de la protección de la integridad en el mensaje de NAS recibido.
Un método para realizar la protección de la seguridad sobre el mensaje de NAS por parte del nodo de AMF es similar al método para realizar la protección de la seguridad sobre el mensaje de NAS por parte del terminal en la etapa 502, y se puede hacer referencia a la descripción relacionada en la etapa 502.
De acuerdo con el método de protección de la seguridad proporcionado en esta realización de esta solicitud, el dispositivo de la red central puede mantener por separado el RECUENTO DE NAS correspondiente para cada una de las al menos dos tecnologías de acceso. El terminal no utiliza un conjunto de RECUENTOS DE NAS cuando transmite el mensaje de NAS mediante la utilización de diferentes tecnologías de acceso. En cambio, el terminal realiza una protección de la seguridad sobre el mensaje de NAS mediante la utilización de un RECUENTO DE NAS mantenido para una tecnología de acceso correspondiente. Esto puede evitar un problema de ataque de repetición que ocurre cuando un dispositivo de la red central recibe en primer lugar un RECUENTO DE NAS relativamente pequeño transmitido utilizando un enlace y, a continuación, recibe un RECUENTO DE NAS relativamente grande transmitido utilizando otro enlace. En esta solicitud, el primer parámetro utilizado para diferenciar las diferentes tecnologías de
acceso se utiliza, además, cuando se realiza la protección de la seguridad sobre el mensaje de NAS. Por lo tanto, aunque se utiliza una misma clave de NAS y un mismo RECUENTO DE NAS cuando se realiza la protección de la seguridad en un mensaje de NAS transmitido mediante la utilización de diferentes tecnologías de acceso, los resultados de la protección de la seguridad del mensaje de NAS son diferentes, lo que reduce la posibilidad de que se produzca un ataque de repetición, implementando de este modo la protección de la seguridad para una pluralidad de enlaces de conexión de NAS.
Opcionalmente, si la tecnología de acceso utilizada para transmitir el mensaje de NAS es una primera tecnología de acceso, antes de los procedimientos de la figura 5 y la figura 9, tal como se muestra en la figura 10, el método puede incluir, además la etapa 1001 a la etapa 1007.
Etapa 1001: un terminal determina un primer RECUENTO DE NAS de enlace ascendente correspondiente a la primera tecnología de acceso.
El primer RECUENTO DE NAS de enlace ascendente es 0 y, específicamente, todos o algunos bits del primer RECUENTO DE NAS de enlace ascendente son 0.
Alternativamente, el primer RECUENTO DE NAS de enlace ascendente es un número aleatorio. Específicamente, algunos o todos los bits del primer RECUENTO DE NAS de enlace ascendente son números aleatorios. Por ejemplo, una parte del número de secuencia o una parte de desbordamiento de NAS del primer RECUENTO DE NAS de enlace ascendente es un número aleatorio. En este caso, la parte restante es 0.
Alternativamente, las al menos dos tecnologías de acceso incluyen, además, una segunda tecnología de acceso, y el primer RECUENTO DE NAS de enlace ascendente es un RECUENTO DE NAS de enlace ascendente que corresponde a la segunda tecnología de acceso y que es almacenado por el terminal. Si el terminal almacena al menos dos RECUENTOS DE NAS de enlace ascendente correspondientes a la segunda tecnología de acceso, el primer RECUENTO DE NAS de enlace ascendente es un RECUENTO DE NAS de enlace ascendente más grande que corresponde a la segunda tecnología de acceso, y que es almacenado por el terminal.
Alternativamente, las al menos dos tecnologías de acceso incluyen, además, una segunda tecnología de acceso, y el primer RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace ascendente que corresponde a la segunda tecnología de acceso y que es almacenado por el terminal. Si el terminal almacena al menos dos RECUENTOS DE NAS de enlace ascendente correspondientes a la segunda tecnología de acceso, el primer RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace ascendente más grande que corresponde a la segunda tecnología de acceso, y que es almacenado por el terminal.
Alternativamente, el primer RECUENTO DE NAS de enlace ascendente es un RECUENTO DE NAS de enlace ascendente que corresponde a la primera tecnología de acceso, y que es almacenado por el terminal. Si el terminal almacena al menos dos RECUENTOS DE NAS de enlace ascendente correspondientes a la primera tecnología de acceso, el primer RECUENTO DE NAS de enlace ascendente es un RECUENTO DE NAS de enlace ascendente más grande que corresponde a la primera tecnología de acceso, y que es almacenado por el terminal.
Alternativamente, el primer RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace ascendente que corresponde a la primera tecnología de acceso y que es almacenado por el terminal. Si el terminal almacena al menos dos RECUENTOS DE NAS de enlace ascendente correspondientes a la primera tecnología de acceso, el primer RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace ascendente más grande que corresponde a la primera tecnología de acceso, y que es almacenado por el terminal.
Opcionalmente, la primera tecnología de acceso y la segunda tecnología de acceso pueden ser, de manera separada, una tecnología de acceso del 3GPP, una tecnología de acceso que no es del 3GPP, una tecnología de acceso de red fija, otra tecnología que se pueda utilizar para acceder a un dispositivo de la red central o cualquier tecnología que pueda compartir un dispositivo de la red central de la red del 3GPP con la tecnología de acceso del 3GPP. En esta realización de esta solicitud, se utiliza para la descripción un ejemplo en el que la primera tecnología de acceso es una tecnología de acceso que no es del 3GPP y la segunda tecnología de acceso es una tecnología de acceso del 3GPP.
Se puede entender que, antes de que el terminal envíe el mensaje de NAS a un nodo de AMF por medio de la tecnología de acceso que no es del 3GPP, el terminal necesita determinar el primer RECUENTO DE NAS de enlace ascendente transportado cuando el mensaje de NAS es transmitido por medio de la tecnología de acceso que no es del 3GPP.
Si el terminal accede al nodo de AMF utilizando la tecnología de acceso que no es del 3GPP por primera vez, el primer RECUENTO DE NAS de enlace ascendente correspondiente a la tecnología de acceso que no es del 3GPP puede ser ajustado a 0 o a un número aleatorio. Alternativamente, cuando el terminal ha accedido al nodo de AMF por medio de la tecnología de acceso del 3GPP, si un método de mantenimiento del RECUENTO DE NAS es el método 1 descrito anteriormente (después de que se envía un mensaje de NAS, un RECUENTO DE NAS utilizado en el mensaje de NAS se incrementa en 1 y se almacena y, cuando es necesario enviar un mensaje de NAS para la siguiente vez, la
protección de la seguridad se realiza en el mensaje de NAS utilizando el RECUENTO DE NAS almacenado), se puede determinar que el primer RECUENTO DE NAS de enlace ascendente es un RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso del 3GPP y que es almacenada por el terminal. Si el terminal almacena al menos dos RECUENTOS DE NAS de enlace ascendente correspondientes a la tecnología de acceso del 3GPP y el terminal no puede determinar un RECUENTO DE NAS de enlace ascendente utilizado por un mensaje de NAS previo, se selecciona un RECUENTO DE NAS de enlace ascendente más grande que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el terminal y se realiza la protección de la seguridad sobre el mensaje de NAS. Si un método de mantenimiento RECUENTO DE NAS es el método 2 descrito anteriormente (después de que se envía un mensaje de NAS, cuando es necesario enviar un mensaje de NAS para la siguiente vez, un RECUENTO DE NAS almacenado se incrementa en 1 para determinar un nuevo RECUENTO DE NAS, y la protección de la seguridad se realiza en el mensaje de NAS utilizando el nuevo RECUENTO DE NAS), se puede determinar que el primer RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el terminal. Si el terminal almacena al menos dos RECUENTOS DE NAS de enlace ascendente correspondientes a la tecnología de acceso del 3GPP y el terminal no puede determinar un RECUENTO DE NAS de enlace ascendente utilizado por un mensaje de NAS previo, se selecciona un RECUENTO DE NAS de enlace ascendente más grande que corresponde a la tecnología de acceso del 3GPP y que está almacenado por el terminal y se aumenta en 1, y la protección de la seguridad se realiza en el mensaje de NAS mediante la utilización del RECUENTO DE NAS de enlace ascendente aumentado en 1.
Cuando el terminal ha accedido al nodo de AMF por medio de la tecnología de acceso que no es del 3GPP, si el método de mantenimiento del RECUENTO DE NAS es el método 1 anterior, se puede determinar que el primer RECUENTO DE NAS de enlace ascendente es el RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenada por el terminal; o si el método de mantenimiento del RECUENTO DE NAS es el método 2 anterior, se puede determinar que el primer RECUENTO DE NAS de enlace ascendente es una suma de 1 y el RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el terminal.
Etapa 1002: el terminal envía un primer mensaje a un nodo de AMF, donde el primer mensaje contiene algunos o todos los bits del primer RECUENTO DE NAS de enlace ascendente.
La protección de la seguridad se realiza en el primer mensaje utilizando el primer RECUENTO DE NAS de enlace ascendente y una clave de NAS. Opcionalmente, el primer mensaje puede llevar un primer RECUENTO de enlace ascendente de 24 bits, o puede contener solo algunos bits del primer RECUENTO de enlace ascendente, por ejemplo, contener solo los últimos 4 u 8 bits del primer RECUENTO DE NAS de enlace ascendente.
En otra posible implementación, si el terminal accede, por primera vez, al nodo de AMF por medio de la tecnología de acceso que no es del 3GPP, y el terminal ha accedido al nodo de AMF por medio de la tecnología de acceso del 3GPP, el terminal puede no determinar temporalmente el primer RECUENTO DE NAS de enlace ascendente, y realiza la protección de la seguridad en primer lugar en el primer mensaje utilizando un RECUENTO DE NAS correspondiente a la tecnología de acceso que no es del 3GPP, en otras palabras, la etapa 1001 y la etapa 1002 pueden ser sustituidas por la etapa 1003.
Etapa 1003: el terminal envía un primer mensaje a un nodo de AMF, donde el primer mensaje contiene algunos o todos los bits de un RECUENTO DE NAS de enlace ascendente correspondiente a una segunda tecnología de acceso.
La protección de la seguridad se realiza en el primer mensaje utilizando la clave de NAS y el RECUENTO DE NAS de enlace ascendente correspondiente a la segunda tecnología de acceso.
El RECUENTO DE NAS de enlace ascendente que corresponde a la segunda tecnología de acceso y que está contenido en el primer mensaje son algunos o todos los bits del RECUENTO DE NAS de enlace ascendente que corresponde a la segunda tecnología de acceso y que es almacenado por el terminal, o es algunos o todos los bits de un nuevo RECUENTO DE NAS de enlace ascendente obtenido después del RECUENTO DE NAS de enlace ascendente que corresponde a la segunda tecnología de acceso y que es almacenado por el terminal se incrementa en 1. Si el terminal almacena al menos dos RECUENTOS DE NAS de enlace ascendente correspondientes a la segunda tecnología de acceso, el RECUENTO DE NAS de enlace ascendente correspondiente a la segunda tecnología de acceso en esta etapa es un RECUENTO DE NAS de enlace ascendente más grande que corresponde a la segunda tecnología de acceso y que es almacenado por el terminal.
Cabe señalar que, opcionalmente, el primer mensaje en la etapa 1002 y en la etapa 1003 ambos incluyen la primera información de indicación, donde la primera información de indicación se utiliza para indicar una tecnología de acceso correspondiente a algunos o todos los bits del RECUENTO DE NAS de enlace ascendente contenidos en el primer mensaje, o la primera información de indicación, se utiliza para indicar una ruta de transmisión correspondiente a algunos o todos los bits del RECUENTO DE NAS contenidos en el primer mensaje. Por ejemplo, la primera información de indicación contenida en el primer mensaje en la etapa 1002 indica la tecnología de acceso que no es del 3GPP, y la primera información de indicación contenida en el primer mensaje en la etapa 1003 indica la tecnología de acceso del 3GPP. Como ejemplo adicional, la primera información de indicación contenida en el primer mensaje en la etapa
1002 indica el acceso al nodo de AMF a través de una ruta 1, y la primera información de indicación contenida en el primer mensaje en la etapa 1003 indica el acceso al nodo de AMF a través de una ruta 2.
Las siguientes etapas se pueden realizar después de la etapa 1002 o de la etapa 1003.
Etapa 1004: el nodo de AMF recibe el primer mensaje.
Etapa 1005: el nodo de AMF verifica, con base en un RECUENTO DE NAS de enlace ascendente correspondiente a una tecnología de acceso indicada por la información de la primera indicación, un RECUENTO DE NAS contenido en el primer mensaje.
La información de indicación puede ser una indicación explícita o puede ser una notificación implícita. Por ejemplo, la información del tipo de acceso puede ser información de indicación del tipo de acceso (tal como un tipo de acceso de un tipo de tecnología de acceso por radio (Radio Access Technology, RAT, en inglés)) que se indica explícitamente en un mensaje de N2, o es información de indicación del tipo de acceso que se agrega en el mensaje de NAS. El nodo de AMF puede determinar un tipo de acceso con base en un origen del primer mensaje cuando no hay información de indicación del tipo de acceso. Por ejemplo, si una dirección de origen del mensaje es una estación base, un tipo de acceso es un acceso del 3GPP; si una dirección de origen del mensaje es un nodo de N3IWF, un tipo de acceso es un acceso que no es del 3GPP; si una dirección de origen del mensaje es un dispositivo conectado a una red fija, un tipo de acceso es el acceso a la red fija.
Cuando la primera información de indicación indica la tecnología de acceso que no es del 3GPP, si el primer mensaje contiene un primer RECUENTO DE NAS completo y el nodo de AMF determina que el terminal ha accedido al nodo de AMF, el nodo de AMF determina si el primer RECUENTO DE NAS es mayor que un RECUENTO DE NAS de enlace ascendente recibido previamente que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el nodo de AMF. Si el primer RECUENTO DE NAS es mayor que el RECUENTO DE NAS del enlace ascendente recibido anteriormente, la verificación se realiza correctamente; o si el primer RECUENTO DE NAS es menor que el RECUENTO DE NAS del enlace ascendente recibido anteriormente, la autenticación falla, se rechaza el acceso al terminal y se informa al terminal del motivo del fallo. Opcionalmente, si el nodo de AMF determina que el terminal no ha accedido al nodo de AMF utilizando la tecnología de acceso que no es del 3GPP, el nodo de AMF almacena el primer RECUENTO DE NAS como el RECUENTO DE NAS del enlace ascendente correspondiente a la tecnología de acceso que no es del 3GPP, o el nodo de AMF determina que el RECUENTO DE NAS de enlace ascendente correspondiente a la tecnología de acceso que no es del 3GPP es 0. Si el primer mensaje contiene una parte del primer RECUENTO DE NAS, el nodo de AMF en primer lugar recupera el primer RECUENTO DE NAS completo y, a continuación, verifica o guarda el primer RECUENTO DE NAS de acuerdo con el método anterior para procesar el primer RECUENTO DE NAS.
Cuando la primera información de indicación indica la tecnología de acceso del 3GPP, si el primer mensaje contiene un RECUENTO DE NAS completo correspondiente a la tecnología de acceso del 3GPP, el nodo de AMF determina si el primer RECUENTO DE NAS es mayor que un RECUENTO DE NAS de enlace ascendente recibido anteriormente que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF. Si el primer RECUENTO DE NAS es mayor que el RECUENTO dE NaS del enlace ascendente recibido anteriormente, la verificación se realiza correctamente; o si el primer RECUENTO DE NAS es menor que el RECUENTO DE NAS del enlace ascendente recibido anteriormente, la autenticación falla. Si el primer mensaje contiene una parte de un RECUENTO DE NAS correspondiente a la tecnología de acceso del 3GPP, el nodo de AMF, en primer lugar, recupera el RECUENTO DE NAS completo y, a continuación, verifica el RECUENTO DE NAS recuperado utilizando el método anterior para verificar el RECUENTO DE NAS.
Etapa 1006: el nodo de AMF determina uno o ambos de un segundo RECUENTO DE NAS de enlace ascendente y un primer RECUENTO DE NAS de enlace descendente que corresponden a la primera tecnología de acceso.
El segundo RECUENTO DE NAS de enlace ascendente es 0, y específicamente, todos o algunos bits del segundo RECUENTO DE NAS de enlace ascendente son 0. Alternativamente, el segundo RECUENTO DE NAS de enlace ascendente es un número aleatorio. Específicamente, algunos o todos los bits del segundo RECUENTO DE NAS de enlace ascendente son números aleatorios. Por ejemplo, una parte del número de secuencia o una parte de desbordamiento de NAS del segundo RECUENTO DE NAS de enlace ascendente es un número aleatorio. En este caso, una parte restante es 0. Alternativamente, el segundo RECUENTO DE NAS de enlace ascendente es un RECUENTO DE NAS de enlace descendente que corresponde a la segunda tecnología de acceso y que es almacenado por el dispositivo de la red central. Si el dispositivo de la red central almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la segunda tecnología de acceso, el segundo RECUENTO DE NAS de enlace ascendente es un RECUENTO DE NAS de enlace descendente más grande que corresponde a la segunda tecnología de acceso y que es almacenado por el dispositivo de la red central. Alternativamente, el segundo RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace descendente que corresponde a la segunda tecnología de acceso y que es almacenado por el dispositivo de la red central. Si el dispositivo de la red central almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la segunda tecnología de acceso, el segundo RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace descendente más grande que corresponde a la segunda tecnología de acceso y que
es almacenado por el dispositivo de la red central. Alternativamente, el segundo RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace descendente que corresponde a la primera tecnología de acceso y que es almacenado por el dispositivo de la red central. Si el dispositivo de la red central almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la primera tecnología de acceso, el segundo RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace descendente más grande que corresponde a la primera tecnología de acceso y que es almacenado por el dispositivo de la red central Alternativamente, el segundo RECUENTO DE NAS de enlace ascendente es el primer RECUENTO DE NAS de enlace ascendente; o el segundo RECUENTO DE NAS de enlace ascendente es una suma de 1 y el primer RECUENTO DE NAS de enlace ascendente.
Opcionalmente, si el primer mensaje recibido por el nodo de AMF contiene el primer RECUENTO DE NAS de enlace ascendente, el nodo de AMF puede determinar que el segundo RECUENTO DE NAS de enlace ascendente es el primer RECUENTO DE NAS de enlace ascendente, o que el segundo RECUENTO DE NAS de enlace ascendente es una suma de 1 y el primer recuento de NAS de enlace ascendente.
Alternativamente, si el primer mensaje recibido por el nodo de AMF contiene el primer RECUENTO DE NAS de enlace ascendente, indica que el terminal ha determinado el RECUENTO DE NAS correspondiente a la tecnología de acceso que no es del 3GPP, y el nodo de AMF puede no determinar un segundo RECUENTO DE NAS.
El primer RECUENTO DE NAS de enlace descendente es 0 y, específicamente, todos o algunos bits del primer RECUENTO DE NAS de enlace descendente son 0.
Alternativamente, el primer RECUENTO DE NAS de enlace descendente es un número aleatorio. Específicamente, algunos o todos los bits del primer RECUENTO DE NAS de enlace descendente son números aleatorios. Por ejemplo, una parte de número de secuencia o una parte de desbordamiento de NAS del primer RECUENTO DE NAS de enlace ascendente es un número aleatorio. En este caso, una parte restante es 0. Alternativamente, el primer RECUENTO DE NAS de enlace descendente es un RECUENTO DE NAS de enlace descendente que corresponde a la segunda tecnología de acceso y que es almacenado por el dispositivo de la red central. Si el dispositivo de la red central almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la segunda tecnología de acceso, el primer RECUENTO DE NAS de enlace descendente es un RECUENTO DE NAS de enlace descendente más grande que corresponde a la segunda tecnología de acceso y que es almacenado por el dispositivo de la red central. Alternativamente, el primer RECUENTO DE NAS de enlace descendente es una suma de 1 y un RECUENTO DE NAS de enlace descendente que corresponde a la segunda tecnología de acceso y que es almacenado por el dispositivo de la red central. Si el dispositivo de la red central almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la segunda tecnología de acceso, el primer RECUENTO DE NAS de enlace descendente es una suma de 1 y un RECUENTO DE NAS de enlace descendente más grande que corresponde a la segunda tecnología de acceso y que es almacenado por el dispositivo de la red central. Alternativamente, el primer RECUENTO DE NAS de enlace descendente es una suma de 1 y un RECUENTO DE NAS de enlace descendente que corresponde a la primera tecnología de acceso y que es almacenado por el dispositivo de la red central. Si el dispositivo de la red central almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la primera tecnología de acceso, el primer RECUENTO DE NAS de enlace descendente es una suma de 1 y un RECUENTO DE NAS de enlace descendente más grande que corresponde a la primera tecnología de acceso y que es almacenado por el dispositivo de la red central.
Opcionalmente, si el primer mensaje recibido por el nodo de AMF contiene el RECUENTO DE NAS correspondiente a la segunda tecnología de acceso, el segundo RECUENTO DE NAS de enlace ascendente determinado por el nodo de AMF puede ser el mismo que el primer RECUENTO DE NAS de enlace descendente.
Etapa 1007: el nodo de AMF envía un segundo mensaje al terminal, donde el segundo mensaje incluye uno o ambos del segundo RECUENTO DE NAS de enlace ascendente y el primer RECUENTO DE NAS de enlace descendente que corresponden a la primera tecnología de acceso.
En consecuencia, el terminal recibe el segundo mensaje.
Opcionalmente, el segundo mensaje contiene una segunda información de indicación, y la segunda información de indicación se utiliza para indicar una tecnología de acceso correspondiente al primer RECUENTO DE NAS de enlace descendente contenido en el segundo mensaje. Opcionalmente, el segundo mensaje puede contener, además, información de indicación utilizada para indicar el segundo RECUENTO DE NAS de enlace ascendente contenido en el segundo mensaje. Opcionalmente, la segunda información de indicación se utiliza para indicar una ruta de transmisión correspondiente al primer RECUENTO DE NAS de enlace descendente contenido en el segundo mensaje. Opcionalmente, el segundo mensaje puede contener, además, información de indicación que se utiliza para indicar una ruta de transmisión correspondiente al segundo RECUENTO DE NAS de enlace ascendente contenido en el segundo mensaje. Se puede entender que, debido a que el segundo mensaje contiene el primer RECUENTO DE NAS de enlace descendente correspondiente a la primera tecnología de acceso, la segunda información de indicación se utiliza para indicar la primera tecnología de acceso. Por ejemplo, si la primera tecnología de acceso es la tecnología de acceso del 3GPP, la segunda información de indicación se utiliza para indicar la tecnología de acceso del 3GPP;
si la primera tecnología de acceso es la tecnología de acceso que no es del 3GPP, la segunda información de indicación se utiliza para indicar la tecnología de acceso que no es del 3GPP.
Se puede entender que, después de recibir el segundo mensaje, el terminal puede guardar uno o ambos del segundo RECUENTO DE NAS de enlace ascendente y el primer RECUENTO DE NAS de enlace descendente que están contenidos en el segundo mensaje. Cuando un mensaje de NAS de enlace ascendente debe ser enviado a través de un dispositivo que no es del 3GPP la siguiente vez, la protección de la seguridad se puede realizar en el mensaje de NAS con base en el segundo RECUENTO DE NAS de enlace ascendente. Alternativamente, después de recibir un mensaje de NAS de enlace descendente, se puede verificar un RECUENTO DE NAS de enlace descendente en el mensaje de NAS de enlace descendente recibido con base en el primer RECUENTO DE NAS de enlace descendente. Con referencia a un planteamiento específico, a continuación, se describe el método de protección de la seguridad descrito en las realizaciones anteriores. Una realización de esta solicitud se puede aplicar a un planteamiento en el que un terminal ha accedido a un nodo de AMF utilizando una tecnología de acceso del 3GPP, y, a continuación, el terminal accede al mismo nodo de AMF utilizando una tecnología de acceso que no es del 3GPP. La figura 11A y la figura 11B muestra un proceso de registro en el que el terminal accede al nodo de AMF utilizando la tecnología de acceso que no es del 3GPP. El método incluye las siguientes etapas.
Etapa 1101: el terminal accede a una red que no es del 3GPP que no es de confianza.
Por ejemplo, el terminal accede a una red WiFi en la que no se puede confiar directamente.
En esta etapa, el terminal accede a la red que no es del 3GPP que no es de confianza, y el terminal ha sido autenticado por una red del 3GPP y tiene un contexto de seguridad de NAS. El contexto de seguridad de NAS incluye una clave de NAS, un identificador de clave y un RECUENTO DE NAS correspondiente a la tecnología de acceso del 3GPP. Opcionalmente, el contexto de NAS incluye, además, un RECUENTO DE NAS correspondiente a la tecnología de acceso que no es del 3GPP. Si el terminal ha accedido al nodo de AMF por medio de la tecnología de acceso que no es del 3GPP, el RECUENTO DE NAS correspondiente a la tecnología de acceso que no es del 3GPP no es 0. Si el terminal no ha accedido al nodo de AMF por medio de la tecnología de acceso que no es del 3GPP, el RECUENTO DE NAS correspondiente a la tecnología de acceso que no es del 3GPP es 0.
La clave de NAS puede ser una o ambas de una clave de cifrado y una clave de protección de la integridad.
Etapa 1102: el terminal intercambia un mensaje inicial de asociación de seguridad del protocolo de intercambio de claves de Internet (Internet Key Exchange protocol Security Association INITIAL, IKE_SA_INIT, en inglés) con un nodo de N3IWF.
El mensaje DE IKE_SA_INIT contiene un material clave, y el material clave es la información utilizada para realizar la protección de la seguridad en un mensaje transmitido entre el terminal y el nodo de N3IWF. Después de que el terminal intercambia el mensaje de IKE_SA_INIT con el nodo de N3IWF, el terminal y el nodo de N3IWF pueden generar una misma clave, y la clave se utiliza para realizar la protección de la seguridad en un mensaje transmitido posteriormente por el terminal y el nodo de N3IWF.
Etapa 1103: el terminal envía un mensaje de solicitud de autenticación del protocolo de intercambio de claves de Internet (Internet Key Exchange protocol AUTHentication Request, IKE_AUTH_Req, en inglés) al nodo de N3IWF. En consecuencia, el nodo de N3IWF recibe el mensaje de IKE_AUTH_Req.
Etapa 1104: el nodo de N3IWF envía un mensaje de respuesta de autenticación del Protocolo de intercambio de claves de Internet (Internet Key Exchange protocol AUTHentication Response, IKE_AUTH_Res, en inglés) al terminal. En consecuencia, el terminal recibe el mensaje de IKE_AUTH_Res.
El mensaje IKE_AUTH_Res contiene un mensaje de inicio de 5G (inicio 5G) de un mensaje de solicitud del protocolo de autenticación extensible de 5a generación (Extensible Authentication Protocol_5th generation_request, EAP_5G_Req), y el mensaje de EAP_5G_Req se utiliza para solicitar al terminal que inicie un procedimiento de protocolo de autenticación extensible (Extensible Authentication Protocol, EAP, en inglés).
Etapa 1105: el terminal determina un primer RECUENTO DE NAS de enlace ascendente.
El primer RECUENTO DE NAS de enlace ascendente es un RECUENTO que se utiliza para realizar la protección de la seguridad sobre el mensaje de NAS enviado por el terminal al nodo de AMF.
Existen dos implementaciones de esta etapa.
En una primera implementación, el terminal determina el primer RECUENTO DE NAS de enlace ascendente con base en un RECUENTO DE NAS de enlace ascendente correspondiente a la tecnología de acceso del 3GPP.
Debido a que el terminal ha accedido al nodo de AMF por medio de la tecnología de acceso del 3GPP, el terminal ha almacenado un RECUENTO DE NAS correspondiente a la tecnología de acceso del 3GPP. Si un método de mantenimiento RECUENTO DE NAS es el método 1 anterior, se puede determinar que el primer RECUENTO DE NAS de enlace ascendente es el RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el terminal (si el terminal almacena al menos dos RECUENTOS DE NAS de enlace ascendente correspondiente a la tecnología de acceso del 3GPP, el primer RECUENTO DE NAS de enlace ascendente es un RECUENTO DE NAS de enlace ascendente más grande que corresponde a la tecnología de acceso del 3GPP y que se almacena en el terminal). Si un método de mantenimiento de RECUENTO DE NAS es el método 2 anterior, se puede determinar que el primer RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el terminal (si el terminal almacena al menos dos RECUENTOS DE NAS de enlace ascendente correspondientes a la tecnología de acceso que no es del 3GPP, el primer RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace ascendente más grande que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el terminal).
En una segunda implementación, el terminal genera un RECUENTO DE NAS correspondiente a la tecnología de acceso que no es del 3GPP y utiliza, como primer RECUENTO DE NAS de enlace ascendente, el RECUENTO DE NAS correspondiente a la tecnología de acceso que no es del 3GPP.
Específicamente, el primer RECUENTO DE NAS de enlace ascendente puede ser 0 o puede ser un número aleatorio.
Si el primer RECUENTO DE NAS de enlace ascendente es 0, todos o algunos bits del primer RECUENTO DE NAS de enlace ascendente son 0. Si el primer RECUENTO DE NAS de enlace ascendente es un número aleatorio, algunos o todos los bits del primer RECUENTO DE NAS de enlace ascendente son números aleatorios. Por ejemplo, los últimos 8 bits (una parte de número de secuencia) del primer RECUENTO DE NAS de enlace ascendente son números aleatorios, o una parte de desbordamiento de NAS es un número aleatorio y la parte restante es 0.
Opcionalmente, si el terminal ha accedido al nodo de AMF por medio de la tecnología de acceso que no es del 3GPP, el terminal puede determinar que el primer RECUENTO DE NAS de enlace ascendente es el RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso que no es del 3GPP y que está almacenado por el terminal (si el terminal almacena al menos dos RECUENTOS DE NAS de enlace ascendente correspondientes a la tecnología de acceso que no es del 3GPP, el primer RECUENTO DE NAS de enlace ascendente es un RECUENTO DE NAS de enlace ascendente más grande que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el terminal), o el terminal puede determinar que el primer RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el terminal (si el terminal almacena al menos dos RECUENTOS DE NAS de enlace ascendente correspondientes a la tecnología de acceso que no es del 3GPP, el primer RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace ascendente más grande que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el terminal).
Opcionalmente, si el primer RECUENTO DE NAS de enlace ascendente se determina en la segunda implementación, en un proceso de registro en el que el terminal accede al nodo de AMF utilizando la tecnología de acceso que no es del 3GPP, el terminal no envía un mensaje de NAS utilizando la tecnología de acceso del 3GPP.
Opcionalmente, el terminal puede establecer, además, un indicador. El indicador es equivalente a la primera información de indicación en la realización correspondiente a la figura 10, y se utiliza para indicar si el primer RECUENTO DE NAS de enlace ascendente corresponde a la tecnología de acceso del 3GPP o a la tecnología de acceso que no es del 3GPP. Se puede entender que, si el terminal determina el primer RECUENTO DE NAS de enlace ascendente en la primera implementación anterior, el indicador indica la tecnología de acceso del 3GPP; o si el terminal determina el primer RECUENTO DE NAS de enlace ascendente en la segunda implementación anterior, el indicador indica la tecnología de acceso que no es del 3GPP.
Etapa 1106: el terminal envía un mensaje de IKE_AUTH_Req al nodo de N3IWF.
En consecuencia, el nodo de N3IWF recibe el mensaje de IKE_AUTH_Req.
El mensaje de IKE_AUTH Req incluye una unidad de datos de protocolo (Protocol Data Unit, PDU, en inglés) de NAS y un protocolo de autenticación extensible para transportar mensajes de estrato sin acceso 5G (un mensaje de 5G-NAS correspondiente a un mensaje de EAP_5G_ReS, en inglés) o un mensaje de 5G-NAS. La PDU de NAS incluye un mensaje de solicitud de registro. El terminal utiliza el mensaje de solicitud de registro para registrarse en el nodo de AMF por medio de la tecnología de acceso del 3GPP. Opcionalmente, el primer mensaje en la realización anterior puede ser el mensaje de solicitud de registro.
Opcionalmente, la protección de la integridad se puede realizar en el mensaje de solicitud de registro utilizando el primer RECUENTO DE NAS de enlace ascendente, y el mensaje de solicitud de registro incluye la primera información de indicación y el primer RECUENTO DE NAS de enlace ascendente. Opcionalmente, el mensaje de solicitud de registro incluye, además, el identificador de clave y un identificador temporal del terminal.
Etapa 1107: el nodo de N3IWF selecciona un nodo de AMF.
Para conocer un método para seleccionar el nodo de AMF por parte del nodo de N3IWF, véase la técnica anterior.
Etapa 1108: el nodo de N3IWF envía un mensaje de solicitud de registro al nodo de AMF.
En consecuencia, el nodo de AMF recibe el mensaje de solicitud de registro.
Etapa 1109: el nodo de AMF verifica el mensaje de solicitud de registro.
La verificación realizada en el mensaje de solicitud de registro por el nodo de AMF incluye la verificación de protección de la integridad realizada en el mensaje de solicitud de registro y la verificación realizada en el primer RECUENTO DE NAS de enlace ascendente contenido en el mensaje de solicitud de registro. Que el nodo de AMF verifique que el primer RECUENTO DE NAS de enlace ascendente contenido en el mensaje de solicitud de registro corresponde a la etapa 1005 citada anteriormente.
El nodo de AMF puede generar una clave de protección de la integridad con base en el identificador temporal y el identificador de clave en el mensaje de solicitud de registro, y realizar una verificación de protección de la integridad en el mensaje de solicitud de registro con base en la clave de protección de la integridad.
Si la tecnología de acceso que corresponde al primer mensaje de NAS de enlace ascendente y que está indicada por la primera información de indicación es la tecnología de acceso del 3GPP, el nodo de a Mf verifica si el primer RECUENTO DE NAS de enlace ascendente es mayor que un RECUENTO DE NAS recibido previamente correspondiente a la tecnología de acceso del 3GPP. Si el primer RECUENTO DE NAS de enlace ascendente es mayor que el RECUENTO DE NAS recibido anteriormente, la verificación se realiza correctamente; o si el primer RECUENTO DE NAS de enlace ascendente no es mayor que el RECUENTO DE NAS recibido anteriormente, la verificación falla.
Si la tecnología de acceso que corresponde al primer mensaje de NAS de enlace ascendente y que se indica mediante la primera información de indicación es la tecnología de acceso que no es del 3GPP, y el terminal no ha accedido al nodo de AMF por medio de la tecnología de acceso que no es del 3GPP, el nodo de AMF almacena el primer RECUENTO DE NAS como el RECUENTO DE NAS de enlace ascendente correspondiente a la tecnología de acceso que no es del 3GPP, o el nodo de AMF determina que el RECUENTO DE NAS de enlace ascendente correspondiente a la tecnología de acceso que no es del 3GPP es 0. El terminal ha accedido al nodo de AMF por medio de la tecnología de acceso que no es del 3GPP. El nodo de AMF verifica si el primer RECUENTO DE NAS de enlace ascendente es mayor que un RECUENTO DE NAS recibido anteriormente correspondiente a la tecnología de acceso que no es del 3GPP. Si el primer RECUENTO DE NAS de enlace ascendente es mayor que el RECUENTO DE NaS recibido anteriormente, la verificación se realiza correctamente; o si el primer RECUENTO DE NAS de enlace ascendente no es mayor que el RECUENTO DE NAS recibido anteriormente, la verificación falla.
Etapa 1110: el nodo de AMF genera una clave Kn3iwf para el nodo de N3IWF.
La clave Kn3iwf se utiliza para la autenticación bidireccional entre el nodo de AMF y el terminal.
Etapa 1111: el nodo de AMF determina uno o ambos de un segundo RECUENTO DE NAS de enlace ascendente y un primer RECUENTO DE NAS de enlace descendente que corresponden a la tecnología de acceso que no es del 3GPP.
Opcionalmente, si la tecnología de acceso indicada por la primera información de indicación es la tecnología de acceso del 3GPP, indica que el terminal no determina el RECUENTO DE NAS para la tecnología de acceso que no es del 3GPP, y el nodo de AMF puede determinar el segundo RECUENTO DE NAS de enlace ascendente y el primer RECUENTO DE NAS de enlace descendente que corresponden a la tecnología de acceso que no es del 3GPP. Si la tecnología de acceso indicada por la primera información de indicación es la tecnología de acceso que no es del 3GPP, indica que el terminal determina el RECUENTO DE NAS de enlace ascendente para la tecnología de acceso que no es del 3GPP, y el nodo de AMF necesita determinar solo el primer RECUENTO DE NAS de enlace descendente correspondiente a la tecnología que no es del 3GPP, o el nodo de AMF determina el primer RECUENTO DE NAS de enlace descendente y vuelve a determinar el RECUENTO DE NAS de enlace ascendente de la tecnología de acceso que no es del 3GPP.
Específicamente, el segundo RECUENTO DE NAS de enlace ascendente es 0, o el segundo RECUENTO DE NAS de enlace ascendente es un número aleatorio.
Si el segundo RECUENTO DE NAS de enlace ascendente es 0, todos o algunos bits del segundo RECUENTO DE NAS de enlace ascendente son 0. Si el segundo RECUENTO DE NAS de enlace ascendente es un número aleatorio, algunos o todos los bits del segundo RECUENTO DE NAS de enlace ascendente son números aleatorios. Por ejemplo, los últimos 8 bits (una parte de número de secuencia) del segundo RECUENTO DE NAS de enlace ascendente son números aleatorios, o una parte de desbordamiento de NAS es un número aleatorio y la parte restante es 0. Opcionalmente, si el segundo RECUENTO DE NAS de enlace ascendente es un número aleatorio, el segundo
RECUENTO DE NAS de enlace ascendente debe ser mayor que un RECUENTO DE NAS de enlace descendente que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF (si el nodo de AMF almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la tecnología de acceso del 3GPP, el segundo RECUENTO DE NAS de enlace ascendente debe ser mayor que el RECUENTO DE NAS de enlace descendente más grande que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF).
El segundo RECUENTO DE NAS de enlace ascendente puede ser un RECUENTO DE NAS de enlace descendente que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF (si el nodo de AMF almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la tecnología de acceso del 3GPP, el segundo RECUENTO DE NAS de enlace ascendente es un RECUENTO DE NAS de enlace descendente más grande que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el terminal). Alternativamente, el segundo RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace descendente que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF (si el nodo de AMF almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la tecnología de acceso del 3GPP, el segundo RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace descendente más grande que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el terminal). Alternativamente, el segundo RECUENTO DE NAS de enlace ascendente puede ser una suma de 1 y un RECUENTO DE NAS de enlace descendente que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el nodo de AMF (si el nodo de AMF almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la tecnología de acceso que no es del 3GPP, el segundo RECUENTO DE NAS de enlace ascendente es una suma de 1 y un RECUENTO DE NAS de enlace descendente más grande que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el terminal). Alternativamente, el segundo RECUENTO DE NAS de enlace ascendente es el primer RECUENTO DE NAS de enlace ascendente; o el segundo RECUENTO DE NAS de enlace ascendente es una suma de 1 y el primer RECUENTO DE NAS de enlace ascendente.
Opcionalmente, el primer RECUENTO DE NAS de enlace descendente puede ser el mismo que el segundo RECUENTO DE NAS de enlace ascendente.
Específicamente, el primer RECUENTO DE NAS de enlace descendente puede ser 0 o puede ser un número aleatorio.
Si el primer RECUENTO DE NAS de enlace descendente es 0, todos o algunos bits del primer RECUENTO DE NAS de enlace descendente son 0. Si el primer RECUENTO DE NAS de enlace descendente es un número aleatorio, algunos o todos los bits del primer RECUENTO DE NAS de enlace descendente son números aleatorios. Por ejemplo, los últimos 8 bits (una parte de número de secuencia) del primer RECUENTO DE NAS de enlace descendente son números aleatorios, o una parte de desbordamiento de NAS es un número aleatorio y la parte restante es 0. Opcionalmente, si el primer RECUENTO DE NAS de enlace descendente es un número aleatorio, el primer RECUENTO DE NAS de enlace descendente debe ser mayor que el RECUENTO DE NAS de enlace descendente más grande que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF.
Alternativamente, el primer RECUENTO DE NAS de enlace descendente puede ser un RECUENTO DE NAS de enlace descendente que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF (si el nodo de AMF almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la tecnología de acceso del 3GPP, el primer RECUENTO DE NAS de enlace descendente puede ser, además, un RECUENTO DE NAS de enlace descendente más grande que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF). Alternativamente, el primer RECUENTO DE NAS de enlace descendente puede ser una suma de 1 y un RECUENTO DE NAS de enlace descendente que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF (si el nodo de AMF almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la tecnología de acceso del 3GPP, el primer RECUENTO DE NAS de enlace descendente puede ser, además, una suma de 1 y un RECUENTO DE NAS de enlace descendente más grande que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF). Alternativamente, el primer RECUENTO DE NAS de enlace descendente puede ser una suma de 1 y un RECUENTO DE NAS de enlace descendente que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el nodo de AMF (si el nodo de AMF almacena al menos dos RECUENTOS DE NAS de enlace descendente correspondientes a la tecnología de acceso que no es del 3GPP, el primer RECUENTO DE NAS de enlace descendente puede ser, además, una suma de 1 y un RECUENTO DE NAS de enlace descendente más grande que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el nodo de AMF).
Cabe señalar que el nodo de AMF puede almacenar uno o ambos del segundo RECUENTO DE NAS de enlace ascendente generado y el primer RECUENTO DE NAS de enlace descendente generado. El nodo de AMF puede mantener un RECUENTO DE NAS de enlace ascendente y un RECUENTO DE NAS de enlace descendente que corresponden a la tecnología de acceso del 3GPP, y puede mantener, además, un RECUENTO DE NAS de enlace ascendente y un RECUENTO DE NAS de enlace descendente que corresponden a la tecnología de acceso que no es del 3GPP. Si el nodo de AMF genera el segundo RECUENTO DE NAS de enlace ascendente y el primer RECUENTO DE NAS de enlace descendente, el nodo de AMF almacena el segundo RECUENTO DE NAS de enlace ascendente y el primer RECUENTO DE NAS de enlace descendente. Si el nodo de AMF genera solo el primer
RECUENTO DE NAS de enlace descendente, el nodo de AMF almacena el primer RECUENTO DE NAS de enlace descendente. En este caso, el RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso que no es del 3GPP y que mantiene el terminal es el primer RECUENTO DE NAS de enlace ascendente.
Se puede entender que el nodo de AMF mantiene de manera separada un conjunto de RECUENTOS DE NAS para cada una de las tecnologías de acceso del 3GPP y la tecnología de acceso que no es del 3GPP, en otras palabras, las magnitudes de los RECUENTOS DE NAS mantenidos por el nodo de AMF para la tecnología de acceso del 3GPP y las magnitudes de los RECUENTOS DE NAS mantenidos por el nodo de AMF para la tecnología de acceso que no es del 3GPP no se afectan entre sí. Al recibir el mensaje de NAS de enlace ascendente, el nodo de AMF puede determinar, con base en la información de bits en el mensaje de NAS de enlace ascendente o la información en un mensaje de N2, una tecnología de acceso o una ruta de transmisión utilizada por el terminal para transmitir el mensaje de NAS de enlace ascendente. Si la tecnología de acceso utilizada es la tecnología de acceso del 3GPP, el RECUENTO DE NAS de enlace ascendente contenido en el mensaje de NAS de enlace ascendente puede ser comparado con un RECUENTO DE NAS de enlace ascendente más grande mantenido para la tecnología de acceso del 3GPP. Si la tecnología de acceso utilizada es la tecnología de acceso que no es del 3GPP, el RECUENTO DE NAS de enlace ascendente contenido en el mensaje de NAS de enlace ascendente puede ser comparado con un RECUENTO DE NAS de enlace ascendente más grande mantenido para la tecnología de acceso que no es del 3GPP, para evitar un ataque de repetición.
Etapa 1112: el nodo de AMF envía un mensaje de comando de modo de seguridad de NAS (Security Mode Command, SMC, en inglés) al terminal utilizando el nodo de N3IWF.
En consecuencia, el terminal recibe el mensaje de SMC de NAS.
El segundo mensaje en la realización anterior puede ser el mensaje de SMC de NAS.
El mensaje de SMC de NAS contiene uno o ambos del segundo RECUENTO DE NAS de enlace ascendente y el primer RECUENTO DE NAS de enlace descendente. Se puede entender que, si el nodo de AMF determina solo el primer RECUENTO DE NAS de enlace descendente, el mensaje de SMC de n As contiene el primer RECUENTO DE NAS de enlace descendente. Si el nodo de AMF determina el segundo RECUENTO DE NAS de enlace ascendente y el primer RECUENTO DE NAS de enlace descendente, el mensaje de SMC de NAS contiene el segundo RECUENTO DE NAS de enlace ascendente y el primer RECUENTO DE NAS de enlace descendente.
Opcionalmente, si el mensaje de NAS contiene solo el primer RECUENTO DE NAS de enlace descendente, el mensaje de NAS puede contener, además, la información de indicación utilizada para indicar al terminal que continúe utilizando el RECUENTO DE NAS de enlace ascendente determinado por el terminal.
Opcionalmente, el mensaje de SMC de NAS incluye, además, una segunda información de indicación, y la segunda información de indicación se utiliza para indicar una tecnología de acceso o una ruta de transmisión correspondiente al RECUENTO DE NAS contenido en el mensaje de SMC de NAS. En un planteamiento de esta realización, la tecnología de acceso indicada por la segunda información de indicación es la tecnología de acceso que no es del 3GPP.
Etapa 1113: el terminal determina, con base en el mensaje de SMC de NAS, un RECUENTO DE NAS de enlace ascendente y un RECUENTO DE NAS de enlace descendente que corresponden a la tecnología de acceso que no es del 3GPP.
El terminal puede mantener de manera separada un conjunto de RECUENTOS DE NAS para cada una de la tecnología de acceso del 3GPP y la tecnología de acceso que no es del 3GPP. En un planteamiento de esta realización, el terminal ha almacenado el RECUENTO DE NAS de enlace ascendente y el RECUENTO DE NAS de enlace descendente que corresponden a la tecnología de acceso del 3GPP, y el terminal puede determinar, además, con base en el mensaje de SMC de NAS recibido en esta etapa, un RECUENTO DE NAS de enlace ascendente y un RECUENTO DE NAS de enlace descendente que se mantienen para los que no son del 3GPP.
Opcionalmente, si el mensaje de SMC de NAS incluye solo el primer RECUENTO DE NAS de enlace descendente, el terminal determina que el RECUENTO DE NAS de enlace ascendente correspondiente a la tecnología de acceso que no es del 3GPP sigue siendo el primer RECUENTO DE NAS de enlace ascendente y el RECUENTO DE NAS de enlace descendente correspondiente a la tecnología de acceso que no es del 3GPP es el primer RECUENTO DE NAS de enlace descendente. Si el mensaje de SMC de NAS incluye el segundo RECUENTO DE NAS de enlace ascendente y el primer RECUENTO DE NAS de enlace descendente, el terminal puede determinar que el RECUENTO DE NAS de enlace ascendente correspondiente a la tecnología de acceso que no es del 3GPP es el segundo RECUENTO DE NAS de enlace ascendente y el RECUENTO DE NAS de enlace descendente correspondiente a la tecnología de acceso que no es del 3GPP es el primer RECUENTO DE NAS de enlace descendente.
Se puede entender que, al recibir un mensaje de NAS de enlace descendente, el terminal puede determinar, con base en la información de bits en el mensaje de NAS de enlace descendente, una tecnología de acceso o una ruta de transmisión utilizada por el terminal para transmitir el mensaje de NAS de enlace descendente. Si la tecnología de acceso utilizada es la tecnología de acceso del 3GPP, un RECUENTO DE NAS de enlace descendente contenido en
el mensaje de NAS de enlace descendente puede ser comparado con el RECUENTO DE NAS de enlace descendente más grande mantenido para la tecnología de acceso del 3GPP. Si la tecnología de acceso utilizada es la tecnología de acceso que no es del 3GPP, un RECUENTO DE NAS de enlace descendente contenido en el mensaje de NAS de enlace descendente puede ser comparado con el RECUENTO DE NAS de enlace descendente más grande mantenido para la tecnología de acceso que no es del 3GPP, para evitar un ataque de repetición.
Etapa 1114: El terminal envía un mensaje de modo de seguridad completo de NAS (Security Mode Complete, SMP, en inglés) al nodo de AMF utilizando el nodo de N3IWF.
En consecuencia, el nodo de AMF recibe el mensaje de SMP de NAS.
Opcionalmente, el mensaje de NAS en la etapa 502 puede ser el mensaje de SMP de NAS en esta etapa.
El terminal puede realizar protección de la integridad sobre el mensaje de SMP de NAS utilizando el primer parámetro, el RECUENTO DE NAS de enlace ascendente y la clave de NAS. El primer parámetro se utiliza para indicar que una tecnología de acceso utilizada para transmitir el mensaje de SMP de NAS es la tecnología de acceso que no es del 3GPP, o se utiliza para indicar que una ruta de transmisión utilizada para transmitir el mensaje de SMP de NAS es la ruta 2 en la figura 2. El RECUENTO DE NAS de enlace ascendente es el RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso que no es del 3GPP y que está determinado por el terminal en la etapa 1113, o un RECUENTO DE NAS de enlace ascendente correspondiente a la ruta 2. El mensaje de SMP de n As contiene el RECUENTO DE NAS de enlace ascendente.
Se puede entender que después de recibir el mensaje de SMP de NAS, el nodo de AMF puede verificar si el RECUENTO DE NAS de enlace ascendente contenido en el mensaje de SMP de NAS es mayor que el RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el nodo de AMF, o si el RECUENTO DE NAS del enlace ascendente que se incluye en el mensaje de SMP de NAS es mayor que el RECUENTO DE NAS del enlace ascendente correspondiente a la ruta 2. Si el RECUENTO DE NAS del enlace ascendente que se incluye en el mensaje de SMP de NAS es mayor que el RECUENTO DE NAS del enlace ascendente correspondiente a la tecnología de acceso que no es del 3GPP y que es almacenado por el nodo de AMF, o el RECUENTO DE NAS de enlace ascendente contenido en el mensaje de SMP de NAS es mayor que el RECUENTO DE NAS de enlace ascendente correspondiente a la ruta 2, se puede determinar, con base en la información de bits en el mensaje de NAS, que esa tecnología de acceso utilizada para transmitir el mensaje de SMP de NAS es la tecnología de acceso que no es del 3GPP, para determinar el primer parámetro correspondiente a la tecnología de acceso que no es del 3GPP y, a continuación, realizar la verificación de la integridad en el mensaje de SMP de NAS con base en el primer parámetro, a la clave de NAS y al RECUENTO DE NAS de enlace ascendente que se incluye en el mensaje de SMP de NAS. Si la verificación tiene éxito, se realiza la etapa 1115. Opcionalmente, si el AMF almacena una pluralidad de RECUENTOS DE NAS de enlace ascendente, se puede verificar si el RECUENTO DE NAS de enlace ascendente contenido en el mensaje de SMP de NAS es mayor que el RECUENTO DE NAS de enlace ascendente más grande que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el nodo de AMF.
Etapa 1115: el nodo de AMF envía un mensaje de N2 al nodo de N3IWF. El mensaje de N2 contiene una clave Kn3iwf y un mensaje de registro completo.
En consecuencia, el nodo de N3IWF recibe el mensaje de N2.
Etapa 1116: el nodo de N3IWF envía un mensaje de EAP-5G-Éxito al terminal.
En consecuencia, el terminal recibe el mensaje de EAP-5G-Éxito.
Etapa 1117: el terminal y el nodo de N3IWF completan el cálculo de un parámetro de autenticación (autenticación) utilizando el Kn3iwf.
Etapa 1118: se establece una conexión de seguridad de protocolo de Internet (Internet Protocol Security, IPsec, en inglés) entre el terminal y el nodo de N3IWF.
Etapa 1119: el nodo de N3IWF envía un mensaje de registro completo al terminal.
De acuerdo con el método proporcionado en esta realización de esta solicitud, el terminal puede acceder a una red por medio de la tecnología de acceso que no es del 3GPP y puede mantener independientemente el RECUENTO DE NAS de la tecnología de acceso del 3GPP y el RECUENTO DE NAS de la tecnología de acceso que no es del 3GPP, reduciendo de este modo la posibilidad de que ocurra un ataque de repetición.
En una posible implementación de esta realización de esta solicitud, un contexto de seguridad del terminal puede estar vinculado a la información del operador. Por ejemplo, la información del operador puede ser un ID de PLMN. Después de que el terminal accede a una red utilizando una tecnología de acceso del 3GPP proporcionada por un operador A, cuando el terminal ejecuta el procedimiento correspondiente a la figura 11A y la figura 11B, se puede determinar si el
nodo de N3IWF correspondiente a la tecnología de acceso que no es del 3GPP sigue siendo el operador A. Si el nodo de N3IWF sigue siendo el operador A, el procedimiento correspondiente a la figura 11A y la figura 11B puede continuar.
En otra posible implementación, un contexto de seguridad del terminal en un lado de la tecnología de acceso que no es del 3GPP puede estar vinculado a otra información, tal como información de suscripción e información de área de ubicación. Por ejemplo, el terminal se mueve de un rango de cobertura de una estación base A a un rango de cobertura de una estación base B, el rango de cobertura de la estación base A admite una tecnología de acceso C que no es del 3GPP y la estación base B admite una tecnología de acceso D del 3GPP. Si el terminal accede a la red a través de la tecnología de acceso C que no es del 3GPP, cuando el terminal se mueve del rango de cobertura de la estación base A al rango de cobertura de la estación base B, si la información de suscripción del terminal indica que el terminal no tiene permiso para utilizar la tecnología de acceso D que no es del 3GPP, el terminal no puede acceder a la red por medio de la tecnología de acceso D que no es del 3GPP.
Opcionalmente, en la realización anterior, el nodo de AMF puede determinar, con base en la primera información de indicación, una tecnología de acceso utilizada para transmitir un mensaje de NAS. Esta realización de esta solicitud proporciona, además, tres métodos para determinar una tecnología de acceso utilizada para transmitir un mensaje de N2 o un mensaje de NAS después de que un nodo de AMF recibe el mensaje de N2.
Método 1: el nodo de AMF puede determinar, con base en un origen del mensaje de N2, la tecnología de acceso utilizada para transmitir el mensaje de N2. Por ejemplo, el nodo de AMF determina el origen del mensaje con base en la información de la dirección del origen (por ejemplo, una dirección de IP) y, además, determina, con base en el origen del mensaje, la tecnología de acceso utilizada para transmitir el mensaje. Si el mensaje de N2 proviene de un dispositivo por medio de una tecnología de acceso del 3GPP, por ejemplo, una estación base, se determina que se puede utilizar un RECUENTO DE NAS correspondiente a la tecnología de acceso del 3GPP. En otras palabras, el nodo de AMF puede verificar, utilizando un RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF, un RECUENTO DE NAS de enlace ascendente transportado en el mensaje de N2. Si el mensaje de N2 proviene de un dispositivo por medio de una tecnología de acceso que no es del 3GPP, por ejemplo, un nodo de N3IWF, se determina que se puede utilizar un RECUENTO DE NAS correspondiente a la tecnología de acceso que no es del 3GPP. En otras palabras, el nodo de AMF puede verificar, utilizando un RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso que no es del 3GPP y que es almacenado por el nodo de AMF, un RECUENTO DE NAS de enlace ascendente transportado en el mensaje de N2.
Método 2: el terminal puede notificar al nodo de AMF un origen del mensaje de N2 de manera explícita. Por ejemplo, el mensaje de N2 puede contener un bit que se utiliza para indicar una tecnología de acceso. Por ejemplo, 0 representa una tecnología de acceso del 3GPP y 1 representa una tecnología de acceso que no es del 3GPP. Alternativamente, el mensaje de N2 puede contener una cadena de caracteres, por ejemplo, “NR” representa una tecnología de acceso del 3GPP y “wifi” representa una tecnología de acceso que no es del 3GPP.
Método 3: el nodo de AMF determina, con base en la información del tipo de acceso en el mensaje de N2, la tecnología de acceso utilizada para transmitir el mensaje de N2. Por ejemplo, la información del tipo de acceso es información del tipo de RAT (un tipo de acceso). Si el mensaje de N2 proviene de un dispositivo que utiliza una tecnología de acceso del 3GPP, por ejemplo, una estación base, una indicación del tipo de acceso en el mensaje de N2 es acceso del 3GPP, de modo que se determina que un RECUENTO DE NAS correspondiente a la tecnología de acceso del 3GPP puede ser utilizado. En otras palabras, el nodo de AMF puede verificar, utilizando un RECUENTO DE NAS de enlace ascendente que corresponde a la tecnología de acceso del 3GPP y que es almacenado por el nodo de AMF, un RECUENTO DE NAS de enlace ascendente contenido en el mensaje de N2.
En comparación con la técnica anterior en la que el nodo de AMF no distingue las tecnologías de acceso utilizadas por los mensajes recibidos, de las dos formas anteriores, en esta realización de esta solicitud el nodo de AMF puede determinar una tecnología de acceso utilizada por un mensaje recibido, para seleccionar un RECUENTO DE NAS correspondiente a la tecnología de acceso utilizada por el mensaje recibido.
Opcionalmente, en otra implementación proporcionada en esta realización de esta solicitud, con referencia al procedimiento del método correspondiente a la figura 11A y la figura 11B, si el nodo de AMF determina que el segundo RECUENTO DE NAS de enlace ascendente y el primer RECUENTO DE NAS de enlace descendente corresponden a la tecnología de acceso que no es del 3GPP en la etapa 1111, el nodo de AMF puede actualizar adicionalmente la clave de NAS. Esta realización de esta solicitud proporciona cuatro métodos para actualizar la clave de NAS.
Método 1: generar una Kamf nueva (nKamf - new Kamf, en inglés) utilizando la Kamf antigua (oKamf - old Kamf, en inglés) y, después de que el nodo de AMF genere la nKamf, generar una nueva clave de NAS basada en la nKamf.
En el presente documento, Kamf es una clave raíz del nodo de AMF.
En el presente documento, nKamf = KDF (oKamf, un parámetro de actualización). El parámetro de actualización puede ser un RECUENTO DE NAS de enlace ascendente recibido previamente por el nodo de AMF, un RECUENTO, un parámetro enviado por el terminal al nodo de AMF o un parámetro que se negocia entre el terminal y el nodo de AMF.
Método 2: generar una nKamf utilizando una Kseaf y, después de que el nodo de AMF genere la nKamf, generar una nueva clave de NAS con base en la nKamf.
En el presente documento, Kseaf es una clave raíz del nodo de AMF.
En el presente documento, nKamf = KDF (Kamf, un parámetro de actualización). El parámetro de actualización puede ser un RECUENTO DE NAS de enlace ascendente recibido previamente por el nodo de AMF, o puede ser un valor RECUENTO. Por ejemplo, un valor inicial del valor de CONTADOR es 0, y cada vez que el nodo de AMF genera una clave de NAS, el valor de CONTADOR se incrementa en 1, para indicar que el nodo de AMF genera una nueva clave.
Método 3: el nodo de AMF puede generar una nueva clave de NAS con base en la Kamf antigua (oKamf) y a un algoritmo.
En el presente documento, nKamf = KDF (oKamf, un ID de algoritmo, un algoritmo seleccionado y otro parámetro), y el ID de algoritmo es un identificador de un algoritmo seleccionado por el nodo de AMF. El algoritmo seleccionado es un algoritmo utilizado por el terminal y el nodo de AMF para realizar la protección de la seguridad sobre un mensaje de NAS.
El otro parámetro es un parámetro que se utiliza para indicar una tecnología de acceso. Específicamente, el otro parámetro puede estar en forma de bit o en forma de ID. Por ejemplo, se puede especificar que otro parámetro correspondiente a una tecnología de acceso del 3GPP es 0x01, otro parámetro correspondiente a una tecnología de acceso que no es del 3GPP es 0x10 y otro parámetro correspondiente a una tecnología de acceso de red fija es 0x11.
El otro parámetro puede ser alternativamente un valor del contador. Por ejemplo, un valor inicial del valor del contador es 0, y cada vez que el nodo de AMF genera una clave de NAS, el valor del contador se incrementa en 1, para indicar que el nodo de AMF genera una nueva clave.
Método 4: generar una nueva clave de NAS con base en una clave de NAS antigua.
La nueva clave de NAS = (la clave de NAS anterior, un valor de contador). Por ejemplo, un valor inicial del valor del contador es 0, y cada vez que el nodo de AMF genera una clave de NAS, el valor del contador se incrementa en 1, para indicar que el nodo de AMF genera una nueva clave.
Cabe señalar que, si el nodo de AMF genera una nueva clave de NAS, el nodo de AMF puede dar instrucciones, utilizando el mensaje de SMC de NAS en la realización correspondiente a la figura 11A y la figura 11B, para que el terminal actualice la clave de manera explícita. Después de recibir una instrucción para actualizar la clave, el terminal puede actualizar la clave utilizando uno de los cuatro métodos anteriores. Un método para actualizar una clave por parte del terminal es el mismo que un método para actualizar una clave de NAS por parte del nodo de AMF, y un método para actualizar una clave de NAS está preconfigurado tanto en el nodo de AMF como en el terminal.
Opcionalmente, cuando el nodo de AMF y el terminal cambian una tecnología de acceso utilizada, se puede actualizar una clave de NAS. Alternativamente, la clave de NAS puede ser actualizada cuando un caso de utilizar una pluralidad de tecnologías de acceso se cambia a un caso de utilizar solo una tecnología de acceso, o cuando se reduce una cantidad de tecnologías de acceso utilizadas simultáneamente.
De acuerdo con este método, se actualiza una clave. Incluso si un atacante obtiene una clave de NAS utilizada cuando el nodo de AMF se comunica con el terminal mediante la utilización de una pluralidad de tecnologías de acceso, el atacante no puede obtener un texto sin cifrar utilizado cuando el terminal se comunica posteriormente con el nodo de AMF mediante la utilización de una tecnología de acceso único, mejorando de este modo la seguridad.
Cabe señalar que, en las realizaciones de esta solicitud, se utiliza para la descripción un ejemplo en el que una primera tecnología de acceso es una tecnología de acceso que no es del 3GPP y una segunda tecnología de acceso es una tecnología de acceso del 3GPP. Alternativamente, en una solicitud real, la primera tecnología de acceso puede ser la tecnología de acceso del 3GPP y la segunda tecnología de acceso puede ser la tecnología de acceso que no es del 3GPP. El método proporcionado en las realizaciones anteriores puede ser utilizado cuando la primera tecnología de acceso y la segunda tecnología de acceso son respectivamente dos tecnologías de acceso diferentes soportadas por el terminal, o el método proporcionado en las realizaciones anteriores puede ser utilizado cuando el terminal accede al dispositivo de la red central mediante la utilización de una pluralidad de tecnologías de acceso.
Por ejemplo, si la primera tecnología de acceso es una tecnología de acceso de red fija y la segunda tecnología de acceso es una tecnología de acceso que no es del 3GPP, un método de implementación es similar al método descrito en las realizaciones anteriores. La realización correspondiente a la figura 11A y la figura 11B puede ser aplicada a un planteamiento en el que el terminal ha accedido al nodo de AMF utilizando la tecnología de acceso del 3GPP, y luego accede al mismo nodo de AMF utilizando la tecnología de acceso de red fija. El procedimiento de la figura 11A y la figura 11B puede ser reemplazado con un proceso de registro en el que el terminal accede a un nodo de AMF utilizando la tecnología de acceso de red fija. Un método de protección de la seguridad en el proceso de registro es similar al método de protección de la seguridad que se describe en la realización de la figura 11A y la figura 11B, y en el que el terminal accede a un nodo de AMF utilizando la tecnología de acceso que no es del 3GPP.
Lo anterior describe principalmente las soluciones proporcionadas en las realizaciones de esta solicitud desde una perspectiva de interacción entre diferentes elementos de red. Se puede entender que, para implementar las funciones anteriores, el terminal y el dispositivo de la red central incluyen estructuras de hardware y/o módulos de software correspondientes para realizar las funciones. Con referencia a los ejemplos descritos en las realizaciones dadas a conocer en esta solicitud, las unidades y las etapas del algoritmo pueden ser implementadas mediante hardware o mediante una combinación de hardware y software informático en las realizaciones de esta solicitud. El hecho de que una función se implemente en un modo de hardware o en un modo de impulsar el hardware mediante un software informático depende de una aplicación particular y de una condición de restricción de diseño de las soluciones técnicas. Para cada aplicación particular, un experto en la materia puede utilizar diferentes métodos para implementar las funciones descritas, pero no se debe considerar que la implementación va más allá del alcance de las soluciones técnicas de las realizaciones de esta solicitud.
En las realizaciones de esta solicitud, la división de la unidad de función se puede realizar en el terminal y en el dispositivo de la red central con base en los ejemplos de métodos anteriores. Por ejemplo, cada unidad de función puede ser obtenida mediante división con base en una función correspondiente, o se pueden integrar dos o más funciones en una unidad de procesamiento. La unidad integrada puede ser implementada en forma de hardware o puede ser implementada en forma de unidad funcional de software. Cabe señalar que la división de unidades en las realizaciones de esta solicitud es un ejemplo, y es simplemente una división de función lógica, y puede ser otra división en una implementación real.
Cuando se utiliza una unidad integrada, la figura 12 muestra un diagrama de bloques esquemático de un aparato 1200 de acuerdo con una realización de esta solicitud. El aparato 1200 puede existir en forma de software, o puede ser un terminal, o puede ser un chip en un terminal. El aparato 1200 incluye una unidad de procesamiento 1202 y una unidad de comunicaciones 1203. La unidad de procesamiento 1202 está configurada para controlar y gestionar una acción del aparato 1200. Por ejemplo, la unidad de procesamiento 1202 está configurada para soportar el aparato 1200 en la realización de la etapa 501 y la etapa 502 en la figura 5, la etapa 1001 en la figura 10, etapa 1101, la etapa 1105, la etapa 1113, la etapa 1117 y la etapa 1118 en la figura 11A y la figura 11B, y/u otro proceso de la tecnología descrita en esta memoria descriptiva. La unidad de comunicaciones 1203 está configurada para soportar la comunicación entre el aparato 1200 y otro elemento de red (tal como un dispositivo de la red central y un nodo de N3IWF). Por ejemplo, la unidad de comunicaciones 1203 está configurada para soportar el aparato 1200 en la realización de la etapa 1002, la etapa 1003 y la etapa 1007 en la figura 10 y la etapa 1102, la etapa 1103, la etapa 1104, la etapa 1106, la etapa 1112, la etapa 1114, la etapa 1116 y la etapa 1119 en la figura 11A y la figura 11B. El aparato 1200 puede incluir, además, una unidad de almacenamiento 1201, configurada para almacenar código de programa y datos del aparato 1200.
La unidad de procesamiento 1202 puede ser un procesador o un controlador, por ejemplo, una unidad de procesamiento central (Central Processing Unit, CPU, en inglés), un procesador de propósito general, un procesador de señales digitales (Digital Signal Processor, DSP, en inglés), un circuito integrado específico de la aplicación (Application Specific Integrated Circuit, ASIC, en inglés), una matriz de puertas programables en campo (Field Programmable Gate Array, FPGA, en inglés) u otro dispositivo lógico programable, un dispositivo lógico de transistores, un componente de hardware o cualquier combinación de los mismos. La unidad de procesamiento 1202 puede implementar o ejecutar diversos ejemplos de bloques lógicos, módulos y circuitos descritos con referencia al contenido dado a conocer en esta solicitud. Alternativamente, el procesador puede ser una combinación para implementar una función informática, por ejemplo, una combinación de uno o más microprocesadores o una combinación del DSP y un microprocesador. La unidad de comunicaciones 1203 puede ser un transceptor, un circuito de transceptor, una interfaz de comunicaciones o similar. La unidad de almacenamiento 1201 puede ser una memoria.
Cuando la unidad de procesamiento 1202 es un procesador, la unidad de comunicaciones 1203 es un transceptor y la unidad de almacenamiento 1201 es una memoria, el aparato 1200 en esta realización de la presente invención puede ser un terminal mostrado en la figura 13.
La figura 13 muestra un diagrama esquemático simplificado de una posible estructura de diseño de un terminal 1300 relacionado de acuerdo con una realización de esta solicitud. El terminal 1300 incluye un transmisor 1301, un receptor 1302 y un procesador 1303. El procesador 1303 puede ser alternativamente un controlador, y se indica como un “controlador / procesador 1303” en la figura 13. Opcionalmente, el terminal 1300 puede incluir, además, un procesador de módem 1305, y el procesador de módem 1305 puede incluir un codificador 1306, un modulador 1307, un descodificador 1308 y un demodulador 1309.
En un ejemplo, el transmisor 1301 ajusta (por ejemplo, mediante conversión analógica, filtrado, amplificación y conversión ascendente) una muestra de salida y genera una señal de enlace ascendente. La señal de enlace ascendente es transmitida a la estación base en las realizaciones anteriores utilizando una antena. En un enlace descendente, la antena recibe una señal de enlace descendente transmitida por la estación base en la realización anterior. El receptor 1302 ajusta (por ejemplo, mediante filtrado, amplificación, conversión descendente y digitalización) una señal recibida desde la antena y proporciona una muestra de entrada. En el procesador de módem 1305, el codificador 1306 recibe datos de servicio y un mensaje de señalización que deben ser enviados en un enlace ascendente, y procesa (por ejemplo, formateando, codificando e intercalando) los datos de servicio y el mensaje de señalización. El modulador 1307 procesa, además, (por ejemplo, mediante asignación (mapping, en inglés) y
modulación de símbolos) datos de servicio codificados y un mensaje de señalización codificado, y proporciona una muestra de salida. El demodulador 1309 procesa (por ejemplo, mediante demodulación) la muestra de entrada y proporciona una estimación de símbolo. El descodificador 1308 procesa (por ejemplo, mediante desentrelazado y descodificación) la estimación del símbolo y proporciona datos descodificados y un mensaje de señalización descodificado que se enviarán al terminal 1300. El codificador 1306, el modulador 1307, el demodulador 1309 y el descodificador 1308 pueden ser implementados por el procesador de módem integrado 1305. Las unidades realizan un procesamiento basado en una tecnología de acceso por radio (por ejemplo, tecnologías de acceso de LTE y otro sistema evolucionado) utilizada en una red de acceso por radio. Cabe señalar que, cuando el terminal 1300 no incluye el procesador de módem 1305, las funciones anteriores del procesador de módem 1305 pueden ser implementadas alternativamente por el procesador 1303.
El procesador 1303 controla y gestiona una acción del terminal 1300, y está configurado para ejecutar procesos de procesamiento realizados por el terminal 1300 en las realizaciones anteriores de esta solicitud. Por ejemplo, el procesador 1303 está configurado, además, para ejecutar un proceso de procesamiento relacionado con un terminal en el método mostrado en la figura 5, la figura 10 y la figura 11A y la figura 11B, y/u otro proceso de las soluciones técnicas descritas en esta solicitud.
Asimismo, el terminal 1300 puede incluir, además, una memoria 1304, y la memoria 1304 está configurada para almacenar código de programa y datos utilizados para el terminal 1300.
Cuando se utiliza una unidad integrada, la figura 14 muestra un diagrama de bloques esquemático de otro aparato 1400 de acuerdo con una realización de esta solicitud. El aparato puede existir en forma de software, o puede ser un dispositivo de la red central, o puede ser un chip en un dispositivo de la red central. El aparato 1400 incluye una unidad de procesamiento 1402 y una unidad de comunicaciones 1403. La unidad de procesamiento 1402 está configurada para controlar y gestionar una acción del aparato 1400. Por ejemplo, la unidad de procesamiento 1402 está configurada para soportar el aparato 1400 en la realización de la etapa 901 y la etapa 902 en la figura 9, la etapa 1004 a la etapa 1006 en la figura 10, la etapa 1109 a la etapa 1111 en la figura 11A y la figura 11B, y/u otro proceso de la tecnología descrita en esta memoria descriptiva. La unidad de comunicaciones 1403 está configurada para soportar la comunicación entre el aparato 1400 y otro elemento de red (tal como un terminal o un nodo de N3IWF). Por ejemplo, la unidad de comunicaciones 1403 está configurada para soportar el aparato 1400 en la realización de la etapa 1001, la etapa 1002 y la etapa 1007 en la figura 10 y la etapa 1108, la etapa 1112, la etapa 1114 y la etapa 1115 en la figura 11A y la figura 11B. El aparato 1400 puede incluir, además, una unidad de almacenamiento 1401, configurada para almacenar código de programa y datos del aparato 1400.
La unidad de procesamiento 1402 puede ser un procesador o un controlador, por ejemplo, una CPU, un procesador de propósito general, un DSP, un ASIC, una FPGA u otro dispositivo lógico programable, un dispositivo lógico de transistor, un componente de hardware o cualquier combinación de los mismos. La unidad de procesamiento 1402 puede implementar o ejecutar diversos bloques, módulos y circuitos lógicos a modo de ejemplo descritos con referencia al contenido dado a conocer en esta solicitud. Alternativamente, el procesador puede ser una combinación para implementar una función informática, por ejemplo, una combinación de uno o más microprocesadores o una combinación del DSP y un microprocesador. La unidad de comunicaciones 1403 puede ser una interfaz de comunicaciones. La interfaz de comunicaciones es un nombre general. En una implementación específica, la interfaz de comunicaciones puede incluir una pluralidad de interfaces. Por ejemplo, la interfaz de comunicaciones puede incluir una interfaz entre un dispositivo de la red central y un terminal, y una interfaz entre un dispositivo de la red central y un nodo de N3IWF y/u otra interfaz. La unidad de almacenamiento 1401 puede ser una memoria.
Cuando la unidad de procesamiento 1402 es un procesador, la unidad de comunicaciones 1403 es una interfaz de comunicaciones y la unidad de almacenamiento 1401 es una memoria, una estructura del aparato 1400 en esta realización de la presente invención puede ser una estructura de un dispositivo de red mostrado en la figura 15.
La figura 15 muestra un posible diagrama estructural esquemático de un dispositivo de la red central de acuerdo con una realización de esta solicitud.
Tal como se muestra en la figura 15, un dispositivo de la red central 1500 incluye un procesador 1502, una interfaz de comunicaciones 1503 y una memoria 1501. Opcionalmente, el dispositivo de la red central 1500 puede incluir, además, un bus 1504. La interfaz de comunicaciones 1503, el procesador 1502 y la memoria 1501 pueden estar conectados entre sí mediante el bus 1504. El bus 1504 puede ser un bus PCI, un bus EISA o similar. El bus 1504 se puede clasificar en un bus de direcciones, un bus de datos, un bus de control y similares. Para facilitar la indicación, el bus se indica utilizando solo una línea en negrita en la figura 15. Sin embargo, no indica que haya solo un bus o solo un tipo de bus.
Los métodos o etapas del algoritmo descritos con referencia al contenido dado a conocer en esta solicitud pueden ser implementados en un modo de hardware, o pueden ser implementados en un modo de ejecutar una instrucción de software por parte de un procesador. La instrucción de software puede incluir un módulo de software correspondiente. El módulo de software puede estar almacenado en una memoria de acceso aleatorio (Random Access Memory, RAM, en inglés), una memoria flash, una memoria de solo lectura (Read Only Memory, ROM, en inglés), una memoria de solo lectura programable y borrable (Erasable Programmable ROM, EPROM, en inglés), una memoria de solo lectura
programable y borrable eléctricamente (Electrically EPROM, EEPROM, en inglés), un registro, un disco duro, un disco duro extraíble, una memoria de solo lectura de disco compacto (CD-ROM, en inglés) o un medio de almacenamiento en cualquier otra forma bien conocida en la técnica. Un medio de almacenamiento utilizado como ejemplo está acoplado al procesador, de modo que el procesador puede leer información del medio de almacenamiento y puede escribir información en el medio de almacenamiento. Ciertamente, el medio de almacenamiento puede ser un componente del procesador. El procesador y el medio de almacenamiento pueden estar situados en un ASIC. Además, el ASIC puede estar situado en un dispositivo de interfaz de la red central. Ciertamente, el procesador y el medio de almacenamiento pueden existir en el dispositivo de interfaz de la red central como componentes discretos.
En las diversas realizaciones dadas a conocer en esta solicitud, se debe entender que el sistema, aparato y método descritos pueden ser implementados de otras maneras. Por ejemplo, la realización del aparato descrita es simplemente un ejemplo. Por ejemplo, la división de unidad es simplemente una división de función lógica y puede ser otra división en la implementación real. Por ejemplo, una pluralidad de unidades o componentes pueden estar combinados o integrados en otro sistema, o algunas características pueden ser ignoradas o no realizarse. Además, los acoplamientos mutuos mostrados o explicados o los acoplamientos directos o las conexiones de comunicación pueden ser implementadas a través de algunas interfaces. Los acoplamientos indirectos o conexiones de comunicación entre los aparatos o unidades pueden ser implementados en formas electrónicas o de otro tipo.
Las unidades descritas como partes separadas pueden estar o no físicamente separadas. Las partes mostradas como unidades pueden ser o no unidades físicas, en otras palabras, pueden estar situadas en una posición o pueden estar distribuidas en una pluralidad de dispositivos de red. Algunas o todas las unidades pueden ser seleccionadas de acuerdo con las necesidades reales para lograr los objetivos de las soluciones de las realizaciones.
Además, las unidades funcionales en las realizaciones de la presente invención pueden estar integradas en una unidad de procesamiento, o cada una de las unidades funcionales puede existir sola, o dos o más unidades están integradas en una unidad. La unidad integrada puede ser implementada en forma de hardware o puede ser implementada en forma de hardware además de una unidad funcional de software.
Con base en las descripciones anteriores de las implementaciones, una persona experta en la materia puede comprender claramente que esta solicitud puede ser implementada mediante software además del hardware universal necesario o, ciertamente, solo mediante hardware. En la mayoría de los casos, la primera es una implementación preferida. Sobre la base de tal comprensión, las soluciones técnicas de esta solicitud esencialmente o la parte que contribuye a la técnica anterior pueden ser implementadas en forma de un producto de software. El producto de software informático se almacena en un medio de almacenamiento legible, tal como un disquete, un disco duro o un disco óptico de un ordenador, e incluye varias instrucciones para indicar a un dispositivo informático (que puede ser un ordenador personal, un servidor, o un dispositivo de red) que realice los métodos descritos en las realizaciones de esta solicitud.
Claims (15)
1. Un método de protección de la seguridad, que comprende:
determinar (501; 901), por parte de un aparato, un primer parámetro, en el que el primer parámetro se utiliza para indicar una tecnología de acceso utilizada para transmitir un mensaje de estrato sin acceso, NAS; y realizar (502; 902), por parte del aparato, una protección de la seguridad sobre el mensaje de NAS con base en el primer parámetro, a una clave de NAS y a un RECUENTO DE NAS correspondiente a la tecnología de acceso utilizada para transmitir el mensaje de NAS, en donde el primer parámetro es un parámetro de entrada utilizado cuando se realiza la protección de la seguridad sobre el mensaje de NAS.
2. El método de acuerdo con la reivindicación 1, en el que el parámetro de entrada es un PORTADOR y el primer parámetro son todos o algunos bits del parámetro de entrada PORTADOR.
3. El método de acuerdo con la reivindicación 1 o 2, en el que la tecnología de acceso utilizada para transmitir el mensaje de NAS es una tecnología de acceso del Proyecto de Asociación de 3a Generación, 3GPP, o una tecnología de acceso que no es del 3GPP.
4. El método de acuerdo con la reivindicación 3, en el que, cuando la tecnología de acceso utilizada para transmitir el mensaje de NAS es la tecnología de acceso del 3GPP, un valor del primer parámetro es ajustado a un primer valor; o cuando la tecnología de acceso utilizada para transmitir el mensaje de NAS es la tecnología de acceso que no es del 3GPP, un valor del primer parámetro es ajustado a un segundo valor.
5. El método de acuerdo con una cualquiera de las reivindicaciones 1 a 4, en el que el mensaje de NAS es un mensaje de NAS a transmitir, la realización, por parte del aparato, de una protección de la seguridad sobre el mensaje de NAS comprende:
cifrar el mensaje de NAS o realizar una protección de la integridad sobre el mensaje de NAS.
6. El método de acuerdo con la reivindicación 5, en el que el método comprende, además:
enviar, por parte del aparato, el mensaje de NAS protegido, en donde el mensaje de NAS protegido incluye algunos bits del RECUENTO DE NAS.
7. El método de acuerdo con cualquiera de las reivindicaciones 1 a 4, en el que el mensaje de NAS es un mensaje de NAS recibido, la realización, por parte del aparato, de protección de la seguridad sobre el mensaje de NAS comprende: descifrar el mensaje de NAS o realizar una verificación de protección de la integridad sobre el mensaje de NAS recibido.
8. El método de acuerdo con una cualquiera de las reivindicaciones 1 a 7, en el que el aparato es un dispositivo terminal o un chip en el dispositivo terminal.
9. El método de acuerdo con la reivindicación 8, en el que el aparato soporta al menos dos tecnologías de acceso, y mantiene por separado un RECUENTO DE NAS correspondiente para cada una de las al menos dos tecnologías de acceso.
10. El método de acuerdo con una cualquiera de las reivindicaciones 1 a 7, en el que el aparato es un dispositivo de la red central.
11. El método de acuerdo con la reivindicación 10, en el que el aparato mantiene de manera separada un recuento de NAS correspondiente para cada una de al menos dos tecnologías de acceso soportadas por un terminal.
12. El método de acuerdo con la reivindicación 10 u 11, en el que el dispositivo de la red central es un nodo de función de gestión del acceso y la movilidad, AMF.
13. Un medio de almacenamiento legible por ordenador, en el que el medio de almacenamiento legible por ordenador almacena una instrucción y, cuando es ejecutada, provoca que un aparato realice el método de acuerdo con cualquiera de las reivindicaciones 1 a 12.
14. Un aparato, que comprende unidades configuradas para realizar el método de acuerdo con cualquiera de las reivindicaciones 1 a 12.
15. Un producto de programa informático, que comprende instrucciones que, cuando es ejecutado, provoca que un aparato realice las etapas del método de acuerdo con cualquiera de las reivindicaciones 1 a 12.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711148926.5A CN109803263A (zh) | 2017-11-17 | 2017-11-17 | 一种安全保护的方法及装置 |
PCT/CN2018/112897 WO2019096002A1 (zh) | 2017-11-17 | 2018-10-31 | 一种安全保护的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2882598T3 true ES2882598T3 (es) | 2021-12-02 |
Family
ID=65351089
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES18877885T Active ES2882598T3 (es) | 2017-11-17 | 2018-10-31 | Método de protección de la seguridad, medio de almacenamiento legible por ordenador, aparato y producto de programa informático |
Country Status (11)
Country | Link |
---|---|
US (3) | US10681551B2 (es) |
EP (3) | EP3681186B1 (es) |
JP (1) | JP7101775B2 (es) |
KR (1) | KR102354625B1 (es) |
CN (4) | CN109361655B (es) |
AU (1) | AU2018366571B2 (es) |
BR (1) | BR112020009823B1 (es) |
ES (1) | ES2882598T3 (es) |
MX (1) | MX2020005132A (es) |
SG (1) | SG11202004530SA (es) |
WO (1) | WO2019096002A1 (es) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109246688B (zh) | 2017-07-11 | 2021-02-23 | 华为技术有限公司 | 设备接入方法、设备及系统 |
CN109361655B (zh) * | 2017-11-17 | 2019-08-16 | 华为技术有限公司 | 一种安全保护的方法及装置 |
WO2019170104A1 (en) * | 2018-03-06 | 2019-09-12 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for protection of an intial non-access stratum (nas) message |
CN109862022B (zh) * | 2019-02-27 | 2021-06-18 | 中国电子科技集团公司第三十研究所 | 一种基于方向的协议新鲜性检查方法 |
CN112218285B (zh) * | 2019-07-11 | 2022-06-14 | 华为技术有限公司 | 上行用户数据传输的方法、设备及系统 |
JP7529769B2 (ja) * | 2019-09-16 | 2024-08-06 | 華為技術有限公司 | エアインターフェース情報セキュリティ保護方法および装置 |
CN113692777B (zh) * | 2019-09-30 | 2024-03-01 | Oppo广东移动通信有限公司 | 一种重定向方法及装置、终端设备、网络设备 |
CN113381966B (zh) * | 2020-03-09 | 2023-09-26 | 维沃移动通信有限公司 | 信息上报方法、信息接收方法、终端及网络侧设备 |
US12081982B2 (en) * | 2020-09-08 | 2024-09-03 | Qualcomm Incorporated | Optimization for an initial access stratum security mode command procedure |
CN113194097B (zh) * | 2021-04-30 | 2022-02-11 | 北京数盾信息科技有限公司 | 一种安全网关的数据处理方法、装置及安全网关 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101309500B (zh) | 2007-05-15 | 2011-07-20 | 华为技术有限公司 | 不同无线接入技术间切换时安全协商的方法和装置 |
US8699711B2 (en) * | 2007-07-18 | 2014-04-15 | Interdigital Technology Corporation | Method and apparatus to implement security in a long term evolution wireless device |
CN101378591B (zh) | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
CN101815296A (zh) | 2009-02-23 | 2010-08-25 | 华为技术有限公司 | 一种进行接入认证的方法、装置及系统 |
GB2472580A (en) * | 2009-08-10 | 2011-02-16 | Nec Corp | A system to ensure that the input parameter to security and integrity keys is different for successive LTE to UMTS handovers |
US8730912B2 (en) * | 2010-12-01 | 2014-05-20 | Qualcomm Incorporated | Determining a non-access stratum message count in handover |
WO2012074878A2 (en) * | 2010-12-03 | 2012-06-07 | Interdigital Patent Holdings, Inc. | Methods, apparatus and systems for performing multi-radio access technology carrier aggregation |
CN103002521B (zh) | 2011-09-08 | 2015-06-03 | 华为技术有限公司 | 传递上下文的方法及移动性管理实体 |
US10433161B2 (en) | 2012-01-30 | 2019-10-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Call handover between cellular communication system nodes that support different security contexts |
US9119062B2 (en) * | 2012-10-19 | 2015-08-25 | Qualcomm Incorporated | Methods and apparatus for providing additional security for communication of sensitive information |
CN103781069B (zh) * | 2012-10-19 | 2017-02-22 | 华为技术有限公司 | 一种双向认证的方法、设备及系统 |
GB2509937A (en) * | 2013-01-17 | 2014-07-23 | Nec Corp | Providing security information to a mobile device in which user plane data and control plane signalling are communicated via different base stations |
CN104349317A (zh) * | 2013-07-31 | 2015-02-11 | 中兴通讯股份有限公司 | 一种移动网络的接入方法、ue、安全服务网关和系统 |
CN103607713A (zh) * | 2013-10-29 | 2014-02-26 | 小米科技有限责任公司 | 网络接入方法、装置、设备和系统 |
EP3120515B1 (en) * | 2014-03-17 | 2020-07-08 | Telefonaktiebolaget LM Ericsson (publ) | Improved end-to-end data protection |
CN108848112B (zh) * | 2015-09-22 | 2019-07-12 | 华为技术有限公司 | 用户设备ue的接入方法、设备及系统 |
CN115567922A (zh) * | 2017-05-08 | 2023-01-03 | 瑞典爱立信有限公司 | 使用单独的计数为多个nas连接提供安全性的方法以及相关的网络节点和无线终端 |
CN109361655B (zh) * | 2017-11-17 | 2019-08-16 | 华为技术有限公司 | 一种安全保护的方法及装置 |
-
2017
- 2017-11-17 CN CN201811088200.1A patent/CN109361655B/zh active Active
- 2017-11-17 CN CN201711148926.5A patent/CN109803263A/zh active Pending
- 2017-11-17 CN CN202011569869.XA patent/CN112738804B/zh active Active
-
2018
- 2018-10-31 EP EP18877885.6A patent/EP3681186B1/en active Active
- 2018-10-31 ES ES18877885T patent/ES2882598T3/es active Active
- 2018-10-31 AU AU2018366571A patent/AU2018366571B2/en active Active
- 2018-10-31 CN CN201880074395.6A patent/CN111357308A/zh active Pending
- 2018-10-31 SG SG11202004530SA patent/SG11202004530SA/en unknown
- 2018-10-31 WO PCT/CN2018/112897 patent/WO2019096002A1/zh unknown
- 2018-10-31 BR BR112020009823-0A patent/BR112020009823B1/pt active IP Right Grant
- 2018-10-31 EP EP21162807.8A patent/EP3910977B1/en active Active
- 2018-10-31 MX MX2020005132A patent/MX2020005132A/es unknown
- 2018-10-31 EP EP22176791.6A patent/EP4114063A1/en active Pending
- 2018-10-31 JP JP2020527746A patent/JP7101775B2/ja active Active
- 2018-10-31 KR KR1020207017411A patent/KR102354625B1/ko active IP Right Grant
-
2019
- 2019-05-06 US US16/404,163 patent/US10681551B2/en active Active
-
2020
- 2020-05-14 US US16/874,306 patent/US10904764B2/en active Active
- 2020-12-31 US US17/139,235 patent/US11564100B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN112738804B (zh) | 2021-12-21 |
CN109361655A (zh) | 2019-02-19 |
AU2018366571A1 (en) | 2020-06-18 |
SG11202004530SA (en) | 2020-06-29 |
RU2020119866A (ru) | 2021-12-17 |
EP3910977B1 (en) | 2022-06-08 |
EP4114063A1 (en) | 2023-01-04 |
US20190274051A1 (en) | 2019-09-05 |
JP2021503839A (ja) | 2021-02-12 |
US10904764B2 (en) | 2021-01-26 |
US10681551B2 (en) | 2020-06-09 |
CN111357308A (zh) | 2020-06-30 |
JP7101775B2 (ja) | 2022-07-15 |
EP3681186B1 (en) | 2021-04-28 |
KR102354625B1 (ko) | 2022-01-21 |
BR112020009823A2 (pt) | 2020-11-03 |
CN109361655B (zh) | 2019-08-16 |
US20200275276A1 (en) | 2020-08-27 |
US11564100B2 (en) | 2023-01-24 |
EP3681186A1 (en) | 2020-07-15 |
RU2020119866A3 (es) | 2021-12-17 |
EP3910977A1 (en) | 2021-11-17 |
CN112738804A (zh) | 2021-04-30 |
CN109803263A (zh) | 2019-05-24 |
WO2019096002A1 (zh) | 2019-05-23 |
BR112020009823B1 (pt) | 2021-11-03 |
KR20200086721A (ko) | 2020-07-17 |
EP3681186A4 (en) | 2020-07-22 |
US20210227393A1 (en) | 2021-07-22 |
MX2020005132A (es) | 2020-08-20 |
AU2018366571B2 (en) | 2021-10-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2882598T3 (es) | Método de protección de la seguridad, medio de almacenamiento legible por ordenador, aparato y producto de programa informático | |
US11589274B2 (en) | Security protection method, apparatus, and system | |
CN110830991B (zh) | 安全会话方法和装置 | |
ES2861269T3 (es) | Aparatos y procedimientos para comunicación inalámbrica | |
ES2764994T3 (es) | Método de gestión de cambio de clave de seguridad y dispositivo de comunicación relacionado | |
JP5855127B2 (ja) | 無線通信システムにおける短文データの暗号化方法及び装置 | |
US11917073B2 (en) | Integrity protection | |
ES2943681T3 (es) | Métodos que proporcionan seguridad para múltiples conexiones de NAS utilizando contajes independientes y nodos de red y terminales inalámbricos relacionados | |
ES2625133T3 (es) | Un método y aparato para manejar claves utilizadas para cifrado e integridad | |
JP6651613B2 (ja) | ワイヤレス通信 | |
BR112020000870A2 (pt) | método de transmissão de dados, dispositivo e sistema relacionados ao mesmo | |
RU2774435C2 (ru) | Способ и устройство обеспечения безопасности | |
US12127049B2 (en) | Security protection method, apparatus, and system | |
CN113765861A (zh) | 一种数据处理方法及装置 |