RU2706173C1 - Способ, аппаратура и устройство мобильной связи - Google Patents

Способ, аппаратура и устройство мобильной связи Download PDF

Info

Publication number
RU2706173C1
RU2706173C1 RU2018128207A RU2018128207A RU2706173C1 RU 2706173 C1 RU2706173 C1 RU 2706173C1 RU 2018128207 A RU2018128207 A RU 2018128207A RU 2018128207 A RU2018128207 A RU 2018128207A RU 2706173 C1 RU2706173 C1 RU 2706173C1
Authority
RU
Russia
Prior art keywords
nas
mme
message
mac
security mode
Prior art date
Application number
RU2018128207A
Other languages
English (en)
Inventor
Цзин ЧЭНЬ
Ци ЛИ
Линь ШУ
Original Assignee
Хуавей Текнолоджиз Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Хуавей Текнолоджиз Ко., Лтд. filed Critical Хуавей Текнолоджиз Ко., Лтд.
Application granted granted Critical
Publication of RU2706173C1 publication Critical patent/RU2706173C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/125Protection against power exhaustion attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data

Abstract

Настоящее изобретение относится к технологиям мобильной связи. Технический результат - обеспечение условия получения правильной информации о функциональных возможностях UE на стороне ММЕ. Данный способ включает в себя: прием устройством пользователя UE командного сообщения режима безопасности уровня без доступа из узла управления мобильностью ММЕ, при этом командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятую MME; определение UE, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправку с помощью UE сообщения завершения режима безопасности NAS в MME. 9 н. и 7 з.п. ф-лы, 18 ил.

Description

Область техники, к которой относится изобретение
Настоящее изобретение относится к технологиям мобильной связи и, в частности, к способу, аппаратуре и устройству мобильной связи.
Уровень техники
При выполнении процедуры подключения (подключение) в мобильной связи UE (устройство пользователя, устройство пользователя) отправляет сообщение запроса на подключение (запрос на подключение) в MME (узел управления мобильностью, узел управления мобильностью) с использованием eNB (усовершенствованный узел B, NodeB). Сообщение запроса на подключение содержит информацию о функциональных возможностях UE (UE функциональные возможности), такую как функциональные возможности сети и функцию безопасности. MME предоставляет услугу для UE в соответствии с принятой информацией о функциональных возможностях UE. Когда сообщение запроса на подключение не имеет защиты передаваемой информации от изменения, например, сообщение запроса на подключение не имеет защиты передаваемой информации от изменения в сценарии, в котором UE регистрируют в сети первый раз, если злоумышленник реализует атаку через посредника, чтобы изменить информацию о функциональных возможностях UE, отправленную UE в MME, MME предоставляет услугу для UE на основании измененной информации о функциональных возможностях UE. Следовательно, UE, возможно, не может использовать некоторые службы. Например, злоумышленник удаляет информацию о предпочтении голосового домена и установочные параметры использования UE (предпочтение голосового домена и установочные параметры использования UE) в информации о функциональных возможностях UE и добавляет параметр только дополнительного типа обновления SMS-сообщения (только дополнительного типа обновления SMS-сообщения). В результате UE может использовать только услугу SMS-сообщений и не может использовать услугу голосового вызова.
Сущность изобретения
Варианты осуществления настоящего изобретения обеспечивают способ, аппаратуру и устройство мобильной связи для обеспечения получения ММЕ корректной информации о функциональных возможностях UE.
Согласно первому аспекту вариант осуществления настоящего изобретения обеспечивает способ мобильной связи, включающий в себя:
прием устройством пользователя UE командного сообщения режима безопасности уровня без доступа NAS из узла управления мобильностью ММЕ, при этом, командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME;
определение UE, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятой посредством MME, информации о функциональных возможностях UE, отправленной UE в MME; и
если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправку посредством UE сообщения завершения режима безопасности NAS в MME.
Возможно, первая информация для верификации соответствия является первым значением хеша сообщения запроса на подключение, которое принимается MME, прежде чем MME отправит командное сообщение режима безопасности NAS в UE, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первый код аутентификации сообщения уровня без доступа NAS-MAC командного сообщения режима безопасности NAS;
UE вычисляет второй NAS-MAC командного сообщения режима безопасности NAS, принятого UE;
UE определяет, соответствует ли второй NAS-MAC первому NAS-MAC;
если второй NAS-MAC соответствует первому NAS-MAC, то UE вычисляет в соответствии с алгоритмом хеширования второе значение хеша сообщения запроса на подключение, отправленного UE в MME;
UE определяет, соответствует ли второе значение хеша первому значению хеша; и
если второе значение хеша соответствует первому значению хеша, то UE отправляет сообщение завершения режима безопасности NAS в MME.
Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, отправленную обратно посредством MME;
UE определяет, соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME; и
соответственно, если функция безопасности UE, отправленная обратно посредством MME, соответствует с функцией безопасности UE, отправленной UE в MME, то отправление посредством UE сообщения завершения режима безопасности NAS в MME включает в себя:
если второе значение хеша соответствует первому значению хеша, то второй NAS-MAC соответствует первому NAS-MAC, и функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, отправку посредством UE сообщения завершения режима безопасности NAS в MME.
Возможно, способ дополнительно включает в себя:
если, по меньшей мере, одно из двух значений хеша, второй NAS-MAC и
функция безопасности UE, отправленные обратно посредством MME, безуспешно верифицированы, отправку посредством UE сообщения отказа режима безопасности NAS в MME; или
если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша не соответствует первому значению хеша, отправку посредством UE сообщения завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.
Возможно, первая информация для верификации соответствия является третьим значением хеша информации о функциональных возможностях UE, принятой MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша в принятой информации о функциональных возможностях UE, алгоритм целостности, используемый MME, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS;
UE вычисляет четвертый NAS-MAC командного сообщения режима безопасности NAS, принятый UE; и UE определяет, соответствует ли четвертый NAS-MAC третьему NAS-MAC;
если четвертый NAS-MAC соответствует третьему NAS-MAC, то UE вычисляет, в соответствии с алгоритмом хеширования, четвертое значение хеша информации о функциональных возможностях UE, отправленной UE в MME;
UE определяет, соответствует ли четвертое значение хэша третьему значению хеша; и
если четвертое значение хеша соответствует третьему значению хэша, то UE отправляет сообщение завершения режима безопасности NAS в MME.
Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, отправленную обратно посредством MME;
UE определяет, соответствует ли функция безопасности UE, отправленная обратно посредством MME, функции безопасности UE, отправленной посредством UE в MME; и
соответственно, если функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной посредством UE в MME, отправка UE сообщения завершения режима безопасности NAS в MME включает в себя:
если четвертое значение хэша соответствует третьему значению хэша, то четвертый NAS-MAC соответствует третьему NAS-MAC, и функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE в MME, отправку UE сообщения завершения режима безопасности NAS в MME.
Возможно, способ дополнительно включает в себя:
если, по меньшей мере, одно из четырех значений хэша, четвертый NAS-MAC и функция безопасности UE, отправленные обратно посредством MME, безуспешно верифицированы, отправку UE сообщения отказа режима безопасности NAS в MME; или
если четвертый NAS-MAC соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хэша не соответствует третьему значению хеша, отправку UE сообщение завершения режима безопасности NAS в MME, при этом сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.
Возможно, первой информацией для верификации соответствия является информация о функциональных возможностях UE, принятая MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS;
UE вычисляет шестой NAS-MAC командного сообщения режима безопасности NAS, принятого UE;
UE определяет, соответствует ли шестой NAS-MAC пятому NAS-MAC;
если шестой NAS-MAC соответствует пятому NAS-MAC, UE определяет, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME; и
если информация о функциональных возможностях UE, принятая MME, соответствует информацией о функциональных возможностях UE, отправленной UE в MME, то UE отправляет сообщение завершения режима безопасности NAS в MME.
Возможно, UE определяет, соответствует ли шестой NAS-MAC пятому NAS-MAC;
если шестой NAS-MAC соответствует пятому NAS-MAC, UE определяет, соответствует ли функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, принятая MME, функции безопасности UE, отправленной UE в MME;
если функция безопасности UE, содержащаяся в информацию о функциональных возможностях UE, принятая MME, соответствует функции безопасности UE, отправленной UE в MME, UE определяет, соответствуют ли функциональные возможности, отличные от функции безопасности UE в информации о функциональных возможностях UE, принятой MME, функциональным возможностям, отправленным UE в ММЕ; и
если функциональные возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, соответствуют функциональным возможностям, отправленным UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.
Возможно, способ дополнительно включает в себя:
если функциональные возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствует функциональным возможностям, отправленным UE в MME, отправку UE сообщения завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.
Возможно, командное сообщение режима безопасности NAS включает в себя: функцию безопасности UE, принятую MME, алгоритм целостности, используемый MME, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS;
UE вычисляет восьмой NAS-MAC командного сообщения режима безопасности NAS, принятый UE;
UE определяет, соответствует ли восьмой NAS-MAC седьмому NAS-MAC;
если восьмой NAS-MAC соответствует седьмому NAS-MAC, UE определяет, соответствует ли функция безопасности UE, принятая MME, функции безопасности UE, отправленной UE в MME; и
если функция безопасности UE, принятая MME, соответствует функции безопасности UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.
Возможно, вторая информация для верификации соответствия включает в себя:
значение хеша сообщения запроса на подключение, отправленного UE в MME; или
значение хеша информации о функциональных возможностях UE, отправленной UE в MME.
Возможно, вторая информация для верификации соответствия включает в себя информацию о функциональных возможностях UE.
Возможно, после отправки посредством UE сообщения завершения режима безопасности NAS в MME, способ дополнительно включает в себя:
прием посредством UE транспортного сообщения NAS нисходящей линии связи, отправленного посредством MME, при этом, транспортное сообщение NAS нисходящей линии связи содержит сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и
отправку UE сообщения передачи информации восходящей линии связи в MME, при этом, сообщение передачи информации восходящей линии связи передает информацию о функциональных возможностях UE или сообщение запроса на подключение.
Возможно, после отправки посредством UE сообщения завершения режима безопасности NAS в MME, способ дополнительно включает в себя:
прием посредством UE сообщения запроса информации UE, отправленного MME, при этом, сообщение запроса информации UE содержит сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и
UE отправляет сообщение ответа информации UE в MME, при этом сообщение ответа информации UE передает информацию о функциональных возможностях UE или сообщение запроса на подключение.
Согласно второму аспекту вариант осуществления настоящего изобретения обеспечивает способ мобильной связи, включающий в себя:
отправку посредством MME командного сообщения режима безопасности NAS в UE, при этом, командное сообщение режима безопасности NAS содержит первую информацию для верификации согласования, так что UE определяет, на основании первой информации для верификации согласования, соответствует ли информация о функциональных возможностях UE, принятую MME, информации о функциональных возможностях UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.
Возможно, первая информация для верификации соответствия является первым значением хеша сообщения запроса на подключение, принятого MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первый код аутентификации сообщения уровня без доступа NAS-MAC командного сообщения режима безопасности NAS.
Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME.
Возможно, способ дополнительно включает в себя:
когда второй NAS-MAC командного сообщения режима безопасности NAS, генерируемый UE, соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша сообщения запроса на подключение, сгенерированного UE, не соответствует первому значению функции хеша, прием посредством MME сообщения завершения режима безопасности NAS, отправленного UE, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.
Возможно, первая информация для верификации соответствия является третьим значением хеша информации о функциональных возможностях UE, принятой MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша в принятой информации о функциональных возможностях UE, алгоритм целостности, используемый MME, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS.
Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятое MME.
Возможно, способ дополнительно включает в себя:
когда четвертый NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хеша информации о функциональных возможностях UE, сгенерированное UE, не соответствует третьему значению хеша, прием MME сообщения завершения режима безопасности NAS, отправленного UE, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных способностях UE.
Возможно, первой информацией для верификации соответствия является информация о функциональных возможностях UE, принятая MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS.
Возможно, способ дополнительно включает в себя:
когда шестой NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует пятому NAS-MAC, функция безопасности UE, содержащаяся в информацию о функциональных возможностях UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, UE определяет, что функциональные возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствуют функциональным возможностям, отправленным UE в MME, прием MME сообщения завершения режима безопасности NAS, отправленного UE, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.
Возможно, командное сообщение режима безопасности NAS включает в себя: функцию безопасности UE, принятую MME, алгоритм целостности, используемый MME, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS.
Возможно, способ дополнительно включает в себя:
прием посредством MME сообщения завершения режима безопасности NAS, отправленного UE, при этом, сообщение завершения режима безопасности NAS содержит вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.
Возможно, вторая информация для верификации соответствия включает в себя:
значение хеша сообщения запроса на подключение, отправленного UE в MME; или
значение хеша информации о функциональных возможностях UE, отправленного UE в MME.
Возможно, вторая информация для верификации соответствия включает в себя информацию о функциональных возможностях UE.
Возможно, способ дополнительно включает в себя:
если MME определяет, что информация о функциональных возможностях UE, принятая посредством MME, не соответствует информации, отправленной UE, отправку посредством MME транспортного сообщения NAS нисходящей линии связи в UE, при этом, транспортное сообщение NAS нисходящей линии связи передает сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и
прием посредством MME сообщения передачи информации восходящей линии связи, отправленного UE, при этом сообщение передачи информации восходящей линии связи содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.
Возможно, способ дополнительно включает в себя:
если MME определяет, что информация о функциональных возможностях UE, принятая посредством MME, не соответствует информации, переданной UE, отправление посредством MME сообщения запроса на информацию UE в UE, при этом, сообщение запроса на информацию UE передает сообщение запроса на информацию о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и
прием с помощью MME сообщения ответа информации UE, отправленного UE, при этом, сообщение ответа информации UE передает информацию о функциональных возможностях UE или сообщение запроса на подключение.
Согласно третьему аспекту, вариант осуществления настоящего изобретения обеспечивает аппаратуру для мобильной связи. Аппаратура развернута в UE и включает в себя:
модуль приема, выполненный с возможностью принимать командное сообщение режима безопасности уровня без доступа из узла управления мобильностью, ММЕ, при этом, командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME;
модуль верификации, выполненный с возможностью определять, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, информации о функциональных возможностях UE, отправленной UE в MME; и
первый модуль отправки, выполненный с возможностью: когда информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправлять сообщение завершения режима безопасности NAS в MME.
Возможно, первая информация для верификации соответствия является первым значением хеша сообщения запроса на подключение, которое принимается MME, прежде чем MME отправит командное сообщение режима безопасности NAS в UE, командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый посредством MME для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемого MME, идентификатор ключа и первый код аутентификации сообщения уровня без доступа NAS-MAC командного сообщения режима безопасности NAS;
модуль верификации выполнен с возможностью:
вычислять второй NAS-MAC командного сообщения режима безопасности NAS, принятый UE;
определять, соответствует ли второй NAS-MAC первому NAS-MAC;
если второй NAS-MAC соответствует первому NAS-MAC, вычислять, в соответствии с алгоритмом хеширования, второе значение хеша сообщения запроса на подключение, отправленного UE в MME; и
определить, соответствует ли второе значение хеша первому значению хеша; и
первый модуль отправки конкретно выполнен с возможностью: когда второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC, отправлять сообщение завершения режима безопасности NAS в MME.
Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, отправленное обратно посредством MME;
модуль верификации дополнительно выполнен с возможностью:
определять, соответствуют ли функция безопасности UE, отправленная обратно посредством MME, функции безопасности UE, отправленной UE в MME; и
первый модуль отправки специально выполнен с возможностью:
если второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно с помощью MME, соответствует функции безопасности UE, отправленной UE на MME, отправлять сообщение завершения режима безопасности NAS в MME.
Возможно, первый модуль отправки дополнительно выполнен с возможностью:
если, по меньшей мере, одно из второго значение хэша, второй NAS-MAC и функция безопасности UE, отправленные обратно посредством MME, безуспешно верифицированы, отправлять сообщение отказа режима безопасности NAS в MME; или
дополнительно выполнен с возможностью: если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно с помощью MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша не соответствует первому значению хэша, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.
Возможно, первая информация для верификации соответствия является третьим значением хеша информации о функциональных возможностях UE, принятой MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша в принятой информации о функциональных возможностях UE, алгоритм целостности, используемый MME, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS;
модуль верификации конкретно выполнен с возможностью:
вычислять четвертый NAS-MAC командного сообщения режима безопасности NAS, принятого UE;
определять, соответствует ли четвертый NAS-MAC третьему NAS-MAC;
если четвертый NAS-MAC соответствует третьему NAS-MAC, вычислять в соответствии с алгоритмом хеширования четвертое значение хеша информации о функциональных возможностях UE, отправленной UE в MME; и
определять, соответствует ли четвертое значение хэша третьему значению хеша; и
первый модуль отправки конкретно выполнен с возможностью: если четвертое значение хэша соответствует третьему значению хэша, отправлять для UE сообщение завершения режима безопасности NAS в MME.
Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, отправленную обратно с помощью MME;
модуль верификации дополнительно выполнен с возможностью:
определять, соответствуют ли функция безопасности UE, отправленная обратно посредством MME, функции безопасности UE, отправленной UE в MME; и
первый модуль отправки конкретно выполнен с возможностью:
если четвертое значение хэша соответствует третьему значению хэша, четвертый NAS-MAC соответствует третьему NAS-MAC, при этом, функция безопасности UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленной UE на MME, отправлять сообщение завершения режима безопасности NAS в MME.
Возможно, первый модуль отправки дополнительно выполнен с возможностью:
если, по меньшей мере, одно из четырех значений хэша, четвертый NAS-MAC и функция безопасности UE, отправленные обратно посредством MME, верифицированы безуспешно, отправлять для UE сообщение отказа режима безопасности NAS в MME; или
первый модуль отправки дополнительно выполнен с возможностью: если четвертый NAS-MAC соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно с помощью MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хеша не соответствует третьему значению хэша, отправлять для UE сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.
Возможно, первая информация для верификации соответствия является информацией о функциональных возможностях UE, принятая MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS;
модуль верификации конкретно выполнен с возможностью:
вычислять шестой NAS-MAC командного сообщения режима безопасности NAS, принятого UE;
определить для UE, соответствует ли шестой NAS-MAC пятому NAS-MAC; и
определять, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME; и
первый модуль отправки конкретно выполнен с возможностью: если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправлять сообщение завершения режима безопасности NAS в MME.
Возможно, модуль верификации конкретно выполнен с возможностью:
определить, соответствует ли шестой NAS-MAC пятому NAS-MAC;
если шестой NAS-MAC соответствует пятому NAS-MAC, определять, соответствует ли функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, принятая MME, функции безопасности UE, отправленной UE в MME; и
первый модуль отправки конкретно выполнен с возможностью: если функциональные возможности, отличные от функции безопасности UE в информации о функциональных возможностях UE, принятой MME, соответствуют функциональным возможностям, отправленным UE в MME, отправлять сообщение завершения режима безопасности NAS в MME.
Возможно, первый модуль отправки дополнительно выполнен с возможностью:
если функциональные возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствуют функциональным возможностям, отправленными UE в MME, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.
Возможно, командное сообщение режима безопасности NAS включает в себя: функцию безопасности UE, принятую MME, алгоритм целостности, используемый MME, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS;
модуль верификации конкретно выполнен с возможностью:
вычислять восьмой NAS-MAC командного сообщения режима безопасности NAS, принятом UE; и
определить, соответствует ли восьмой NAS-MAC седьмому NAS-MAC; и
если восьмой NAS-MAC соответствует седьмому NAS-MAC, определять, соответствует ли функция безопасности UE, принятая MME, функции безопасности UE, отправленной UE в MME; и
первый модуль отправки специально выполнен с возможностью: если функция безопасности UE, принятая MME, соответствует функции безопасности UE, отправленной UE в MME, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.
Возможно, вторая информация для верификации соответствия включает в себя:
значение хеша сообщения запроса на подключение, отправленного UE в MME; или
значение хеша информации о функциональных возможностях UE, отправленной UE в MME.
Возможно, вторая информация для верификации соответствия включает в себя информацию о функциональных возможностях UE.
Возможно, модуль приема дополнительно выполнен с возможностью: после того, как первый модуль отправки отправит сообщение завершения режима безопасности NAS в MME, принимать транспортное сообщение NAS нисходящей линии связи, отправленное посредством MME, при этом, транспортное сообщение NAS нисходящей линии связи передает сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и
первый модуль отправки дополнительно выполнен с возможностью отправлять сообщение передачи информации восходящей линии связи в MME, при этом, сообщение передачи информации восходящей линии связи содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.
Возможно, модуль приема дополнительно выполнен с возможностью:
после того как первый модуль отправки отправит сообщение завершения режима безопасности NAS в MME, принимать сообщение запроса информации UE, отправленное MME, при этом, сообщение запроса информации UE передает сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE на повторную отправку сообщения запроса на подключение; и
первый модуль отправки дополнительно выполнен с возможностью отправлять сообщение ответа информации UE в MME, при этом сообщение ответа информации UE передает информацию о функциональных возможностях UE или сообщение запроса на подключение.
Согласно четвертому аспекту, вариант осуществления настоящего изобретения обеспечивает аппаратуру для мобильной связи. Аппаратура развернута в MME и включает в себя:
второй модуль отправки, выполненный с возможностью отправлять командное сообщение режима безопасности NAS в UE, при этом командное сообщение режима безопасности NAS содержит первую информацию для верификации соответствия, так что UE определяет, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, информации о функциональных возможностях UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.
Возможно, первая информация для верификации соответствия является первым значением хеша сообщения запроса на подключения, принятого MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша, в принятом сообщении запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первый код аутентификации сообщения уровня без доступа NAS-MAC командного сообщения режима безопасности NAS.
Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME.
Возможно, аппаратура дополнительно включает в себя первый модуль приема, выполненный с возможностью:
когда второй NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно с помощью MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша сообщения запроса на подключение, сгенерированного UE, не соответствует первому значению хэша, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.
Возможно, первая информация для верификации соответствия является третьим значением хеша информации о функциональных возможностях UE, принятой MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша в принятой информации о функциональных возможностях UE, алгоритм целостности, используемый MME, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS.
Возможно, командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME.
Возможно, аппаратура дополнительно включает в себя второй модуль приема, выполненный с возможностью:
когда четвертый NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно с помощью MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хеша информации о функциональных возможностях UE, сгенерированное UE, не соответствует третьему значению хэша, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS передает информацию о функциональных возможностях UE.
Возможно, первой информацией для верификации соответствия является информация о функциональных возможностях UE, принятая MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS.
Возможно, аппаратура дополнительно включает в себя третий модуль приема, выполненный с возможностью:
когда шестой NAS-MAC командного сообщения режима безопасности NAS, генерируемый UE, соответствует пятому NAS-MAC, функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, принятой MME, соответствует функции безопасности UE, отправленной UE в MME, и UE определяет, что функциональные возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствуют функциональным возможностям, отправленными UE в MME, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.
Возможно, командное сообщение режима безопасности NAS включает в себя: функцию безопасности UE, принятую MME, алгоритм целостности, используемый MME, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS.
Возможно, аппаратура дополнительно включает в себя четвертый модуль приема, выполненный с возможностью принимать сообщение завершения режима безопасности NAS, отправленного UE, при этом, сообщение завершения режима обеспечения безопасности NAS содержит вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.
Возможно, вторая информация для верификации соответствия включает в себя:
значение хеша сообщения запроса на подключение, отправленного UE в MME; или
значение хеша информации о функциональных возможностях UE, отправленной UE в MME.
Возможно, вторая информация для верификации соответствия включает в себя информацию о функциональных возможностях UE.
Возможно, второй модуль отправки дополнительно выполнен с возможностью: если информация о функциональных возможностях UE, принятая MME, не соответствует информации, отправленной UE, отправлять транспортное сообщение NAS нисходящей линии связи в UE, при этом, транспортное сообщение NAS нисходящей линии связи передает сообщение запроса на информацию о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и
четвертый модуль приема дополнительно выполнен с возможностью принимать сообщение передачи информации восходящей линии связи, отправленного UE, при этом, сообщение передачи информации восходящей линии связи содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.
Возможно, второй модуль отправки дополнительно выполнен с возможностью: если MME определяет, что информация о функциональных возможностях UE, принятая MME, не соответствует информации, отправленной UE, отправлять сообщение запроса на информацию о функциональных возможностях UE в UE, при этом, сообщение запроса на информацию UE передает сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение; и
четвертый модуль приема дополнительно выполнен с возможностью принимать сообщение ответа информации UE, отправленного UE, при этом, сообщение ответа информации UE передает информацию о функциональных возможностях UE или сообщение запроса на подключение.
Согласно пятому аспекту, вариант осуществления настоящего изобретения обеспечивает устройство мобильной связи. Устройство развернуто в UE и включает в себя:
интерфейс связи, память, процессор и шину связи, при этом, интерфейс связи, память и процессор взаимодействуют с использованием шины связи; и
память выполнена с возможностью хранить программы, процессор выполнен с возможностью выполнять программу, хранящуюся в памяти; и когда устройство мобильной связи работает, процессор запускает программу, и программа включает в себя:
прием командного сообщения режима безопасности уровня без доступа NAS из узла управления мобильностью ММЕ, в котором командное сообщение режима безопасности NAS содержит первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME;
определение, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME; и
если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправку сообщения завершения режима безопасности NAS в MME.
Согласно шестому аспекту вариант осуществления настоящего изобретения обеспечивает устройство мобильной связи. Устройство развернуто в MME и включает в себя:
интерфейс связи, память, процессор и шину связи, при этом, интерфейс связи, память и процессор взаимодействуют с использованием шины связи; и
память выполнена с возможностью хранить программу, процессор выполнен с возможностью выполнять программу, хранящуюся в памяти; и когда устройство мобильной связи работает, процессор запускает программу, причем программа включает в себя:
отправку командного сообщения режима безопасности NAS в UE, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, так что UE определяет, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможности UE, принятая MME, информации о функциональных возможностях UE, отправленная UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.
Согласно способу в вариантах осуществления настоящего изобретения UE верифицирует, на основании принятого первого сообщения верификации соответствия, соответствует ли информация о функциональных возможности UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME. Очевидно, что в вариантах осуществления настоящего изобретения MME отправляет обратно сообщение верификации соответствия, и UE верифицирует информацию о функциональных возможностях UE, принятую MME, чтобы гарантировать, что MME обладает правильной информацией о функциональных возможностях UE. Таким образом, решают техническую задачу, вызванную DoS-атакой, при которой, в процедуре подключение (подключение) сообщение запроса на подключение (запрос на подключение) не защищено контекстом безопасности NAS, поэтому злоумышленник может изменять информацию о функциональных возможностях UE и MME не может получить правильную информацию о функциональных возможностях UE. DoS является сокращением от «отказа в обслуживании», то есть, отказ в обслуживании и действие атаки, вызывающее DoS, называется DoS-атакой.
Краткое описание чертежей
Фиг. 1 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 1 осуществления настоящего изобретения;
фиг. 2 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 2 осуществления настоящего изобретения;
фиг. 3 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 3 осуществления настоящего изобретения;
фиг. 4 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 4 осуществления настоящего изобретения;
фиг. 5 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 5 осуществления настоящего изобретения;
фиг. 6 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 6 осуществления настоящего изобретения;
фиг. 7 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 7 осуществления настоящего изобретения;
фиг. 8 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 8 осуществления настоящего изобретения;
фиг. 9 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 9 осуществления настоящего изобретения;
фиг. 10 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 10 осуществления настоящего изобретения;
фиг. 11 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 11 осуществления настоящего изобретения;
фиг. 12 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 12 осуществления настоящего изобретения;
фиг. 13 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 15 осуществления настоящего изобретения;
фиг. 14 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 16 осуществления настоящего изобретения;
фиг. 15 представляет собой блок-схему аппаратуры мобильной связи согласно варианту 1 осуществления настоящего изобретения;
фиг. 16 представляет собой блок-схему аппаратуры мобильной связи согласно варианту 2 осуществления настоящего изобретения;
фиг. 17 представляет собой блок-схему устройства мобильной связи согласно варианту 1 осуществления настоящего изобретения; и
фиг. 18 представляет собой блок-схему устройства мобильной связи согласно варианту 2 осуществления настоящего изобретения.
Описание вариантов осуществления
Фиг. 1 представляет собой блок-схему последовательности операций способа мобильной связи согласно варианту 1 осуществления настоящего изобретения. Как показано на фиг. 1, вариант 1 осуществления настоящего изобретения включает в себя следующие основные этапы обработки.
Этап S11: UE принимает командное сообщение (команда режима безопасности NAS) режима безопасности (уровня без доступа, уровня без доступа) NAS из MME, при этом, командное сообщение режима безопасности NAS содержит первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятую ММЕ.
В процедуре подключения UE, UE отправляет сообщение запроса на подключение (запрос на подключение) в MME с помощью eNB, при этом, сообщение запроса на подключение передает информацию о функциональных возможностях UE (функциональные возможности UE).
В частности, информация о функциональных возможностях UE включает в себя: сетевые возможности UE (сетевые возможности UE), при этом, сетевая возможность UE включает в себя функцию безопасности UE, сетевые возможности мобильной станции (сетевые возможности MS, при этом, полное название на английском языке MS является мобильной станцией, и на китайском языке MS - это мобильная станция), метка класса 2 мобильной станции (метка класса 2 мобильной станции), метка класса 3 мобильной станции (метка класса 3 мобильной станции), поддерживаемые кодеки (поддерживаемые кодеки), дополнительный тип обновления (дополнительный тип обновления), предпочтения в голосовом домене и UE установочные параметры использования (предпочтения в голосовом домене и UE установочные параметры использования UE) и поддержка признаков сети мобильной станции (поддержка признаков сети MS).
Поскольку сообщение запроса на подключение, отправленное UE в MME, может не иметь защиты целостности, сообщение запроса на подключение может быть подвергнуто атаке «незаконный посредник». Следовательно, информация о функциональных возможностях UE в сообщении запроса на подключение, принятая MME, не соответствует сообщением, отправленным UE в MME. В результате, MME не может получить правильную информацию о функциональных возможностях UE.
Чтобы гарантировать, что MME может получить правильную информацию о функциональных возможностях UE, MME отправляет первую информацию для верификации соответствия в UE в процедуре активации режима безопасности NAS с использованием командного сообщения режима безопасности NAS, так что UE определяет, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, отправленная UE.
Этап S12: UE определяет, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME.
Этап S13: если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, то UE отправляет сообщение завершения режима безопасности NAS в MME.
Согласно способу в этом варианте осуществления настоящего изобретения UE верифицирует, на основании принятого первого сообщения верификации соответствия, соответствует ли информация о функциональных возможности UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME. Очевидно, что в вариантах осуществления настоящего изобретения MME отправляет обратно сообщение верификации соответствия, и UE верифицирует информацию о функциональных возможностях UE, принятую MME, чтобы гарантировать, что MME имеет правильную информацию о функциональных возможностях UE. Таким образом, решают техническую задачу DoS-атаки, вызванную тем, что в процедуре подключения (подключение) сообщение запроса на подключение (запрос на подключение) не защищено контекстом безопасности NAS, злоумышленник может изменять информацию о функциональных возможностях UE, и MME не может получить правильную информацию о функциональных возможностях UE. DoS представляет собой сокращение от термина «отказ в обслуживании», то есть, отказ в обслуживании и действие атаки, вызывающее DoS, называется DoS-атакой.
В предшествующем способе согласно варианту 1 осуществления настоящего изобретения первая информация для верификации соответствия может быть реализована множеством различных способов, и описания приведены ниже со ссылкой на конкретные варианты осуществления.
Фиг. 2 представляет собой блок-схему последовательности операций способа мобильной связи согласно варианту 2 осуществления настоящего изобретения. В этом способе MME выполняет вычисление хеша в принятом сообщении запроса на подключение для получения значения хеша сообщения запроса на подключение и отправляет значение хеша сообщения запроса на подключение в UE с помощью командного сообщения режима безопасности NAS, так что UE верифицирует значение хеша сообщения запроса на подключение, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая MME, той, которая была отправлена UE в MME. Как показано на фиг. 2, этот способ включает в себя следующие основные этапы обработки.
Этап S21: UE принимает командное сообщение режима безопасности NAS из MME.
Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, является первым значением хеша сообщения запроса на подключение, принятого в процедуре подключения, при этом, первое значение хеша получают посредством MME, выполняя вычисление хеша в сообщении запроса на подключение, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования (возможно переданный), используемый MME, для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемого MME, идентификатор ключа и первый NAS-MAC (код аутентификации сообщения уровня без доступа, код аутентификации сообщения уровня без доступа) командного сообщения режима безопасности NAS. Первый NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.
Дополнительно, командное сообщение режима безопасности NAS может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно передаваемый запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно передаваемый [NONCEUE, NONCEMME], используемый для сопоставления незанятого контекста безопасности мобильной связи, при этом, NONCEUE является случайным числом, выбранным UE, и NONCEMME является случайным числом, выбранным MME.
Этап S22: UE вычисляет второй NAS-MAC командного сообщения режима безопасности NAS, принятом UE.
На этом этапе UE выполняет, так, что MME выполняет процедуру защиты целостности в отправленном командном сообщении режима безопасности NAS, вычисление в командном сообщении режима безопасности NAS, принятом UE, для получения второго NAS-MAC.
Если командное сообщение режима безопасности NAS не подвержено атаке «незаконный посредник» в процедуре отправки, то первый NAS-MAC соответствует второму NAS-MAC.
Этап S23: UE определяет, соответствует ли второй NAS-MAC первому NAS-MAC, и если второй NAS-MAC соответствует первому NAS-MAC, выполняют этап S24 или, если второй NAS-MAC не соответствует первому NAS-MAC, выполняют этап S27.
Этап S24: UE вычисляет в соответствии с алгоритмом хеширования второе значение хеша сообщения запроса на подключение, отправленного UE в MME.
UE выполняет, используя алгоритм хеширования, вычисление хеша сообщения запроса на подключение, отправленное UE в MME, в процедуре подключения. Если сообщение запроса на подключение не изменяют посредником в процедуре подключения, то второе значение хеша, вычисленное UE, соответствует первому значению хеша в командном сообщении режима безопасности NAS.
Дополнительно, в этом варианте осуществления настоящего изобретения значение хеша сообщения запроса на подключение передают в командном сообщении режима безопасности NAS, чтобы уменьшить длину сообщения запроса на подключение и повысить скорость передачи информации.
Этап S25: UE определяет, соответствует ли второе значение хеша первому значению хеша и, если второе значение хеша соответствует первому значению хеша, то выполняют этап S26; в противном случае, выполняют этап S27.
Этап S26: UE отправляет сообщение завершения режима безопасности NAS (завершение безопасного режима NAS) в ММЕ.
Сообщение завершения режима безопасности NAS возможно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
Этап S27: UE отправляет сообщение отказа режима безопасности NAS (отказ режима безопасности NAS) в MME.
В этом варианте осуществления UE верифицирует целостность принятого командного сообщения режима безопасности NAS и значение хеша сообщения запроса на подключение, принятого MME. Когда второе значение хеша соответствует первому значению хеша и второй NAS-MAC соответствует первому NAS-MAC, UE определяет, что командное сообщение режима безопасности NAS, принятое UE, не изменяется, и сообщение запроса на подключение, принятое ММЕ, в процедуре подключения к UE, соответствует сообщению, отправленному UE в MME, тем самым, гарантируя, что информация о функциональных возможностях UE в сообщении запроса на подключение, принятому MME, соответствует информации о функциональных возможностях UE, отправленной UE.
Когда, по меньшей мере, одно из значений хеша сообщения запроса на подключение и целостность NAS-MAC верифицировано безуспешно, то это указывает, что, по меньшей мере, одно сообщение запроса на подключение, принятое ММЕ, и командное сообщение режима безопасности NAS, подвергают атаке и изменено. В этом случае, UE отправляет сообщение отказа режима безопасности NAS в MME.
В этом варианте осуществления UE верифицирует, посредством верификации значения хеша сообщения запроса на подключение MME, информацию о функциональных возможностях UE, принятую MME. Это гарантирует, что информация о функциональных возможностях UE, полученная MME, является правильной информацией о функциональных возможностях UE.
В этом варианте осуществления первое сообщение верификации соответствия может быть передано путем размещения IE (информационного элемента, информационного элемента), используемого для отправки обратно функции безопасности UE посредством MME в обычной спецификации или может быть передано с использованием нового IE.
Фиг. 3 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 3 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS принятую функцию безопасности UE и значение хеша принятого сообщения запроса на подключение в UE, так что UE верифицирует значение хеша сообщения запроса на подключение и функцию безопасности UE, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, информации, отправленной UE в MME. Как показано на фиг. 3, этот способ включает в себя следующие основные этапы обработки.
Этап S31: UE принимает командное сообщение режима безопасности NAS от MME.
Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, является первым значением хеша сообщения запроса на подключение, принятого в процедуре подключения, при этом, первое значение хеша получают после того, как MME выполняет вычисление хеша в сообщении запроса на подключение, и командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME в процедуре подключения, алгоритм хеширования (возможно передаваемый), используемый MME для выполнения вычисления хеш в принятом сообщении запроса на подключение, алгоритм целостности, поддерживаемый как MME, так и UE, идентификатор ключа и первый NAS-MAC командного сообщения режима безопасности NAS. Первый NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.
Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно передаваемый запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно передаваемый [NONCEUE, NONCEMME], при этом, NONCEUE является случайным числом, выбранным UE, и NONCEMME является случайным числом, выбранным MME.
Этап S32: UE вычисляет второй NAS-MAC командного сообщения режима безопасности NAS, принятого UE.
На этом этапе, UE выполняет, так, что MME выполняет защиту целостности в командном сообщении режима передачи, отправленного NAS, вычисление в командном сообщении режима безопасности NAS, принятом UE, для получения второго NAS-MAC.
Если командное сообщение режима безопасности NAS не подвержено атаке «незаконный посредник» в процедуре отправки, то первый NAS-MAC соответствует второму NAS-MAC.
Этап S33: UE определяет, соответствует ли второй NAS-MAC первому NAS-MAC, и если второй NAS-MAC соответствует первому NAS-MAC, выполняют этап S34 или если второй NAS-MAC не соответствует первому NAS-MAC, выполняют этап S36.
Этап S34: UE вычисляет в соответствии с алгоритмом хеширования второе значение хеша сообщения запроса на подключение, отправленного UE в MME, и определяет, соответствует ли второе значение хеша первому значению хеша и соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME (последовательность вычисления значения хэша, определение значения хеша и определение функции безопасности UE не ограничены), и если второе значение хеша соответствует первому значению хэша, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE к MME, выполняют этап S35; в противном случае, выполняют этап S36.
UE выполняет, используя алгоритм хеширования, вычисление хеша в сообщении запроса на подключение, отправленное UE в MME в процедуре подключение, и если сообщение запроса на подключение не изменяется при атаке с применением технологии «незаконный посредник» в процедуре подключения, второе значение хэша, вычисленное UE, соответствует первому значению хэша в командном сообщении режима безопасности NAS.
Дополнительно, в этом варианте осуществления настоящего изобретения значение хеша сообщения запроса на подключение передают в командном сообщении режима безопасности NAS, чтобы уменьшить длину сообщения запроса на подключение и увеличить скорость передачи информации.
Этап S35: UE отправляет сообщение завершения режима безопасности NAS в MME.
Сообщение завершения режима безопасности NAS возможно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
Этап S36: UE отправляет сообщение отказа режима безопасности NAS в MME.
В этом варианте осуществления настоящего изобретения UE верифицирует, посредством верифицирования значения хеша сообщения запроса на подключение, принятого MME, и функции безопасности UE, функциональных возможностях UE, принятые MME, чтобы гарантировать, что информация о функциональных возможностях UE, принятая посредством MME, является правильной информацией о функциональных возможностях UE.
В этом варианте осуществления настоящего изобретения первое сообщение верификации соответствия может быть передано с использованием только нового IE.
Фиг. 4 представляет собой блок-схему последовательности операций способа мобильной связи согласно варианту 4 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS принятую функцию безопасности UE и значение хеша принятого сообщения запроса на подключение в UE, так что UE верифицирует значение хеша сообщения запроса на подключение и функцию безопасности UE, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, с переданной UE в MME. Как показано на фиг. 4, этот способ включает в себя следующие основные этапы обработки.
Этап S41: UE принимает командное сообщение режима безопасности NAS от MME.
Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, является первым значением хеша сообщения запроса на подключение, принятого в процедуре подключения, при этом, первое значение хеша получают после того, как MME выполняет вычисление хэша в сообщении запроса на подключение, и командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME в процедуре подключения, алгоритм хеширования (возможно переданный), используемый MME для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первый NAS-MAC командного сообщения режима безопасности NAS. Первый NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.
Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно переданный запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно переданный [NONCEUE, NONCEMME], при этом, NONCEUE является случайным числом, выбранным UE, и NONCEMME является случайным числом, выбранным MME.
Этап S42: UE вычисляет второй NAS-MAC в командном сообщении режима безопасности NAS, принятом UE.
Этап S43: UE определяет, соответствует ли второй NAS-MAC первому NAS-MAC, и если второй NAS-MAC соответствует первому NAS-MAC, выполняют этап S44 или, если второй NAS-MAC не соответствует первому NAS-MAC, выполняют этап S48.
Этап S44: UE определяет, соответствует ли функция безопасности UE посланная обратно из MME функции безопасности UE, отправленной UE в MME, и если функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, выполняют этап S45; в противном случае, выполняют этап S48.
Этап S45: UE определяет, соответствует ли второе значение хеша первому значению хеша, и если второе значение хеша соответствует первому значению хеша, выполняют этап S46; или если второе значение хэша не соответствует первому значению хеша, выполняют этап S47.
В этом варианте осуществления настоящего изобретения вычисление второго значения хэша является таким же, как и в предшествующем варианте осуществления, и подробности не описаны здесь снова.
Этап S46: UE отправляет сообщение завершение режима безопасности NAS в MME.
Сообщение завершения режима безопасности NAS возможно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
Этап S47: UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение содержит сообщение запроса на подключение или возможность UE. Помимо передачи сообщения запроса на подключение, сообщение завершения режима безопасности NAS, отправленное на этом этапе, дополнительно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
Этап S48: UE отправляет сообщение отказа режима безопасности NAS в MME.
В этом варианте осуществления после того, как целостность, как функции безопасности UE, так и NAS-MAC успешно верифицирована, фактически установлен контекст безопасности NAS между UE и MME. Поэтому, когда целостность значения хеша сообщения запроса на подключения верифицирована безуспешно, контент запроса на подключение снова напрямую загружают в сообщении завершения режима безопасности NAS, имеющее защиту целостности. Это также является разницей между этим вариантом осуществления и вариантом 3 осуществления. Способ, используемый в третьем варианте осуществления, заключается в том, что, несмотря на то, что целостность функции безопасности UE и NAS-MAC успешно верифицирована и контекст безопасности NAS установлен между UE и MME, если целостность значения хеша сообщения запроса на подключение верифицирована безуспешно, UE необходимо отправить сообщение отказа режима безопасности NAS.
В этом варианте осуществления настоящего изобретения первое сообщение верификации соответствия сможет быть передано с использованием только нового IE.
Фиг. 5 является блок-схемой последовательности операций способа мобильной связи согласно варианту 5 осуществления настоящего изобретения. В этом способе MME выполняет вычисление хеша в принятой информации о функциональных возможностях UE для получения значения хеша возможностей UE и отправляет значение хеша информации о функциональных возможностях UE в UE с использованием командного сообщения режима безопасности NAS, так что UE верифицирует значение хеша возможности UE, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая MME, переданной UE в MME. Как показано на фиг. 5, этот способ включает в себя следующие основные этапы обработки.
Этап S51: UE принимает командное сообщение режима безопасности NAS от MME.
Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, представляет собой третье значение хеша информации о функциональных возможностях UE, принятой в процедуре подключение, при этом, третье значение хэша получают после того, как MME выполняет вычисление хеша в информации о функциональных возможностях UE. Командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования (возможно передаваемый), используемый MME, для выполнения вычисления хеша в принятой информации о функциональных возможностях UE, алгоритм целостности, поддерживаемый как MME, так и UE, идентификатор ключа и третий NAS -MAC (код аутентификации сообщения уровня без доступа, код аутентификации сообщения уровня без доступа) командного сообщения режима безопасности NAS, при этом, третий NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.
Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно содержащее запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно передаваемый [NONCEUE, NONCEMME], при этом, NONCEUE является случайным числом, выбранным UE, и NONCEMME является случайным числом, выбранным MME.
Этап S52: UE вычисляет четвертый NAS-MAC командного сообщения режима безопасности NAS, принятом UE.
На этом этапе UE выполняет, так что MME выполняет защиту целостности в отправленном командном сообщении режима безопасности NAS, вычисление в командном сообщении режима безопасности NAS, принятом UE, для получения четвертого NAS-MAC.
Если командное сообщение режима безопасности NAS не подвержено атаке «незаконный посредник» в процедуре отправки, третий NAS-MAC соответствует четвертому NAS-MAC.
Этап S53: UE определяет, соответствует ли четвертый NAS-MAC третьему NAS-MAC, и если четвертый NAS-MAC соответствует третьему NAS-MAC, выполняют этап S54; в противном случае выполняют этап S57.
Этап S54: UE вычисляет в соответствии с алгоритмом хеширования четвертое значение хэша информации о функциональных возможностях UE, отправленное UE в MME.
UE выполняет, используя алгоритм хеширования, вычисление хеша информации о функциональных возможностях UE, отправленной UE в MME в процедуре подключения и, если информация о функциональных возможностях UE не изменяется при атаке «незаконный посредник» в процедуре подключения, четвертое значение хэша, вычисленное UE, соответствует третьему значению хэша в командном сообщении режима безопасности NAS.
Дополнительно, в этом варианте осуществления настоящего изобретения значение хеша информации о функциональных возможностях UE передают в командном сообщении режима безопасности NAS, чтобы уменьшить длину информации о функциональных возможностях UE и повысить скорость передачи информации.
Этап S55: UE определяет, соответствует ли четвертое значение хеша третьему значению хеша, и если четвертое значение хеша соответствует третьему значению хеша, выполняют этап S56; в противном случае выполняют этап S57.
Этап S56: UE отправляет сообщение завершения режима безопасности NAS (завершение режима безопасности NAS).
Сообщение завершения режима безопасности NAS возможно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
Этап S57: UE отправляет сообщение отказа режима безопасности NAS (отказ режима безопасности NAS) в MME.
В этом варианте осуществления UE проверяет целостность принятого командного сообщения режима безопасности NAS и значение хеша информации о функциональных возможностях UE, принятой MME. Когда четвертое значение хэша соответствует третьему значению хэша, и четвертый NAS-MAC соответствует третьему NAS-MAC, UE определяет, что командное сообщение режима безопасности NAS, принятое UE, не изменяется, и информация о функциональных возможностях UE, принятая MME в процедуре подключения UE, соответствует той, которая был отправлена UE в MME, тем самым гарантируя, что информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE.
Когда, по меньшей мере, одно из значений хеша информации о функциональных возможностях UE и целостности NAS-MAC верифицировано безуспешно, это указывает, что, по меньшей мере, одно из информации о функциональных возможностях UE, принятая MME и команда режима безопасности NAS, подвержено атаке и изменено. В этом случае, UE отправляет сообщение отказа режима безопасности NAS в MME.
В этом варианте осуществления UE верифицирует посредством верификации значения хеша информации о функциональных возможностях UE MME, информацию о функциональных возможностях UE, принятую MME, чтобы гарантировать, что информация о функциональных возможностях UE, принятая MME, является правильной информацией о функциональных возможностях UE.
В этом варианте осуществления первое сообщение верификации соответствия может быть передано, занимая IE для функции безопасности UE, отправленного назад с помощью MME в обычной спецификации, или может быть передано с использованием нового IE.
Фиг. 6 является блок-схемой алгоритма способа мобильной связи согласно варианту 6 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS принятую функцию безопасности UE и значение хеша принятой информации о функциональных возможностях UE в UE, так что UE верифицирует значение хеша информации о функциональных возможностях UE и функцию безопасности UE, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME. Как показано на фиг. 6, этот способ включает в себя следующие основные этапы обработки.
Этап S61: UE принимает командное сообщение режима безопасности NAS из MME.
Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, представляет собой третье значение хеша информации о функциональных возможностях UE, принятую в процедуре подключения, при этом, третье значение хэша получают после того, как MME выполняет вычисление хеша в информации о функциональных возможностях UE. Командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME в процедуре подключения, алгоритм хеширования (возможно передаваемый), используемый MME, для выполнения вычисления хеша в принятой информации о функциональных возможностях UE, алгоритм целостности, поддерживаемый как MME, так и UE, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS, при этом, третий NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.
Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно передаваемый запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно передаваемый NONCEUE, NONCEMME], при этом, NONCEUE является случайным числом, выбранным UE, и NONCEMME является случайным числом, выбранным MME.
Этап S62: UE вычисляет четвертый NAS-MAC командного сообщения режима безопасности NAS, принятом UE.
На этом этапе UE выполняет, так что MME выполняет защиту целостности в отправленном командном сообщении режима безопасности NAS, вычисление в командном сообщении режима безопасности NAS, принятом UE, для получения четвертого NAS-MAC.
Если командное сообщение режима безопасности NAS не подвержено атаке «незаконный посредник» в процедуре отправки, третий NAS-MAC соответствует четвертому NAS-MAC.
Этап S63: UE определяет, соответствует ли четвертый NAS-MAC третьему NAS-MAC, и если четвертый NAS-MAC соответствует третьему NAS-MAC, выполняют этап S64; в противном случае выполняют этап S66.
Этап S64: UE вычисляет, в соответствии с алгоритмом хеширования, четвертое значение хеша информации о функциональных возможностях UE, отправленное UE в MME, и определяет, соответствует ли четвертое значение хэша третьему значению хеша и соответствует ли функция безопасности UE, отправленная назад MME, функции безопасности UE, отправленной UE в MME (последовательность вычисления значения хеша, определение значения хеша и определение функции безопасности UE не указаны), и если четвертое значение хэша соответствует третьему значению хэша и функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, выполняют этап S65; в противном случае выполняют этап S66.
Этап S65: UE отправляет сообщение завершения режима безопасности NAS в MME.
Сообщение завершения режима безопасности NAS возможно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
Этап S66: UE отправляет сообщение отказа режима безопасности NAS в MME.
В этом варианте осуществления настоящего изобретения UE верифицирует, посредством верификации значения хеша информации о функциональных возможностях UE MME и функции безопасности UE, способности UE, принятая посредством MME, чтобы гарантировать, что информация о функциональных возможностях UE, принятая MME, является правильной информацией о функциональных возможностях UE. В этом варианте осуществления настоящего изобретения первое сообщение верификации соответствия может быть передано с использованием только нового IE.
Фиг. 7 является блок-схемой алгоритма способа мобильной связи согласно варианту 7 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS принятую функцию безопасности UE и значение хеша принятой информации о функциональных возможностях UE в UE, так что UE верифицирует значение хеша информации о функциональных возможностях UE и функцию безопасности UE, чтобы определить, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME. Как показано на фиг. 7, этот способ включает в себя следующие основные этапы обработки.
Этап S71: UE принимает командное сообщение режима безопасности NAS от MME.
Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, представляет собой третье значение хеша информации о функциональных возможностях UE, принятую в процедуре подключения, при этом, третье значение хэша получают после того, как MME выполняет вычисление хеша в информации о функциональных возможностях UE. Командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME в процедуре подключения, алгоритм хеширования (возможно передаваемый), используемый MME, для выполнения вычисления хеша в принятой информации о функциональных возможностях UE, алгоритм целостности, поддерживаемый как MME, так и UE, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS, при этом, третий NAS-MAC используют для защиты целостности командного сообщения режима безопасности NAS.
Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно переданный запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно переданный [NONCEUE, NONCEMME].
Этап S72: UE вычисляет четвертый NAS-MAC командного сообщения режима безопасности NAS, принятом UE.
Этап S73: UE определяет, соответствует ли четвертый NAS-MAC третьему NAS-MAC, и если четвертый NAS-MAC соответствует третьему NAS-MAC, выполняют этап S74; в противном случае выполняют этап S78.
Этап S74: UE определяет, соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME, и если функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной посредством UE в MME, выполняют этап S75; в противном случае выполняют этап S78.
Этап S75: UE определяет, соответствует ли четвертое значение хеша третьему значению хеша, и если четвертое значение хеша соответствует третьему значению хеша, выполняют этап S76; или если четвертое значение хеша не соответствует третьему значением хэша, выполняют этап S77.
Этап S76: UE отправляет сообщение завершения режима безопасности NAS в MME.
Сообщение завершения режима безопасности NAS возможно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
Этап S77: UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение содержит информацию о функциональных возможностях UE.
В дополнение к передаче информации о функциональных возможностях UE, сообщение завершения режима безопасности NAS, отправленное на этом этапе, возможно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
Этап S78: UE отправляет сообщение отказа режима безопасности NAS в MME.
В этом варианте осуществления настоящего изобретения первое сообщение верификации соответствия может быть передано с использованием только нового IE.
Фиг. 8 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 8 осуществления настоящего изобретения. В этом способе MME отправляет, используя командное сообщение режима безопасности NAS, информацию о функциональных возможностях UE, принятую в процедуре подключения, в UE, для верификации информации о функциональных возможностях UE с использованием UE. Как показано на фиг. 8, этот способ включает в себя следующие основные этапы обработки.
Этап S81: UE принимает командное сообщение режима безопасности NAS от MME.
Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, представляет собой информацию о функциональных возможностях UE, принятую MME в процедуре подключения. Командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, поддерживаемый как MME, так и UE, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS.
Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно переданный запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно переданный [NONCEUE, NONCEMME], при этом, NONCEUE является случайным числом, выбранным UE, и NONCEMME является случайным числом, выбранным MME.
Этап S82: UE вычисляет шестой NAS-MAC командного сообщения режима безопасности NAS, принятом UE.
Этап S83: UE определяет, соответствует ли шестой NAS-MAC пятому NAS-MAC, и если шестой NAS-MAC соответствует пятому NAS-MAC, выполняют этап S84; в противном случае выполняют этап S86.
Этап S84: UE определяет, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, информации о функциональных возможностях UE, отправленной UE в MME.
Этап S85: Если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.
Сообщение завершения режима безопасности NAS возможно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
Этап S86: если шестой NAS-MAC не соответствует пятому NAS-MAC или информация о функциональных возможностях UE, принятая MME, не соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет отказ режима безопасности NAS (например, отказ режима безопасности NAS) в MME.
В этом варианте осуществления первое сообщение верификации соответствия может быть передано, занимая IE функции безопасности UE, отправленной обратно MME в обычной спецификации, или может быть передано с использованием нового IE или возможности UE в первом сообщении верификации соответствия, отличное от функции безопасности UE в первом сообщении верификации соответствия, переданным с использованием нового IE.
Фиг. 9 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 9 осуществления настоящего изобретения. В этом способе MME отправляет, используя командное сообщение режима безопасности NAS, информацию о функциональных возможностях UE, принятую в процедуре подключения, в UE, чтобы верифицировать информацию о функциональных возможностях UE с использованием UE. Как показано на фиг. 9, этот способ включает в себя следующие основные этапы обработки.
Этап S91: UE принимает командное сообщение режима безопасности NAS из MME.
Первое сообщение верификации соответствия, переданное в командном сообщении режима безопасности NAS, представляет собой информацию о функциональных возможностях UE, принятую MME в процедуре подключения. Командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, поддерживаемый как MME, так и UE, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS.
Дополнительно, командное сообщение режима безопасности может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно переданный запрос [IMEI (международный идентификатор мобильного оборудования, международный идентификатор мобильного оборудования)] и возможно переданный [NONCEUE, NONCEMME], при этом, NONCEUE является случайным числом, выбранным UE, и NONCEMME является случайным числом, выбранным MME.
Этап S92: UE вычисляет шестой NAS-MAC командного сообщения режима безопасности NAS, принятом UE.
Этап S93: UE определяет, соответствует ли шестой NAS-MAC пятому NAS-MAC, и если шестой NAS-MAC соответствует пятому NAS-MAC, выполняют этап S94; в противном случае выполняют этап S98.
Этап S94: UE определяет, соответствует ли функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME, и если функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, отправленная обратно посредством MME, соответствует функции безопасности UE, отправленная UE в MME, то выполняют этап S95; в противном случае выполняют этап S98.
Этап S95: UE определяет, соответствуют ли возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, отправленной обратно MME, возможностям, отправленным UE в MME, и если возможности, отличные от функции безопасности UE в информации о функциональных возможностях UE, отправленная назад MME, соответствует возможностям, отправленным UE в MME, выполняют этап S96; в противном случае выполняют этап S97.
Этап S96: UE отправляет сообщение завершения режима безопасности NAS в MME.
Сообщение завершения режима безопасности NAS возможно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
Этап S97: UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS передает возможности UE.
В дополнение к передаче информации о функциональных возможностях UE, сообщение завершения режима безопасности NAS, отправленное на этом этапе, возможно, содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
Этап S98: UE отправляет сообщение отказа режима безопасности NAS (отказ режима безопасности NAS) в MME.
В этом варианте осуществления первое сообщение верификации соответствия может быть передано, занимая IE функции безопасности UE, отправленной обратно MME в обычной спецификации, или может быть передано с использованием нового IE или возможности UE в первом сообщении верификации соответствия, отличном от функции безопасности UE в первом сообщении верификации соответствия, передают с использованием нового IE.
Фиг. 10 представляет собой блок-схему последовательности операций способа мобильной связи согласно варианту 10 осуществления настоящего изобретения. В этом способе UE отправляет вторую информацию верификации соответствия в сообщении завершения режима безопасности NAS в MME. Как показано на фиг. 10, вариант 10 осуществления настоящего изобретения включает в себя следующие основные этапы обработки.
Этап S101: MME принимает сообщение завершения режима безопасности (завершения режима безопасности) NAS (уровня без доступа) из UE, при этом сообщение завершения режима безопасности NAS, содержит вторую информацию верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятую MME.
Этап S102: MME определяет, на основании второй информации верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME.
В вышеизложенном способе варианта 10 осуществления настоящего изобретения вторая информация верификации соответствия может быть реализована множеством различных способов, и описания приведены ниже со ссылкой на конкретные варианты осуществления.
Фиг. 11 является блок-схемой последовательности операций способа мобильной связи согласно варианту 11 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS информацию о функции безопасности UE, принятую в процедуре подключения, в UE. Как показано на фиг. 11, способ 11 осуществления настоящего изобретения включает в себя следующие основные этапы обработки.
Этап S111: UE принимает командное сообщение режима безопасности NAS от MME.
Командное сообщение режима безопасности NAS функции безопасности UE, принятое MME в процедуре подключения, алгоритм целостности и возможно переданный алгоритм хеширования, который используется MME, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS.
Дополнительно, командное сообщение режима безопасности NAS может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно переданный [запрос IMEI] и возможно переданный [NONCEUE, NONCEMME], при этом, NONCEUE является случайным числом, выбранным UE, и NONCEMME является случайным числом, выбранным MME.
Этап S112: UE вычисляет восьмой NAS-MAC в командном сообщении режима безопасности NAS, принятом UE.
Этап S113: UE определяет, соответствует ли восьмой NAS-MAC седьмому NAS-MAC, и если восьмой NAS-MAC соответствует седьмому NAS-MAC, выполняют этап S114; в противном случае выполняют этап S116.
Этап S114: UE определяет, соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME.
Этап S115: если функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS передает вторую информацию верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME, и NAS-MAC сообщения завершении режима безопасности NAS.
В этом варианте осуществления настоящего изобретения, когда целостность как функции безопасности UE, так и командного сообщения режима безопасности NAS успешно верифицирована, вторую информацию верификации соответствия отправляют в MME, и MME может верифицировать, используя принятую вторую информацию верификации соответствия, информацию о функциональных возможностях UE, принятую в процедуре подключения, чтобы гарантировать, что MME получает правильную информацию о функциональных возможностях UE.
Вторая информация верификации соответствия, отправленная UE в MME, может также быть значением хеша сообщения запроса на подключение, отправленного UE в MME в процедуре подключения, или значением хеша информации о функциональных возможностях UE, отправленной UE в MME в процедуре подключения. Дополнительно, сообщение завершения режима безопасности NAS возможно передает алгоритм хеширования (возможно переданный), используемый UE и [IMEI], и передает NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS.
После приема значения хеша сообщения запроса на подключение или значения хеша информации о функциональных возможностях UE, отправленной UE, MME выполняет, используя алгоритм хеширования, вычисление хеша в сообщении запроса на подключение или информации о функциональных возможностях UE, принятой в процедуре подключения, и определяет, с помощью результата вычисления, соответствует ли сообщение запроса на подключение или информация о функциональных возможностях UE, принятая MME в процедуре подключения, той, которая отправлена посредством UE.
Если сообщение запроса на подключение или информация о функциональных возможностях UE, принятая MME в процедуре подключения, не соответствует сообщению, отправленным UE, после активации безопасности NAS MME запрашивает UE повторно отправить информацию о функциональных возможностях UE или контент запроса на подключение согласно следующим конкретным вариантам реализаций.
Вариант 1 реализации:
(1) MME отправляет транспортное сообщение NAS (транспортное общение NAS нисходящей линии связи) нисходящей линии связи в eNB, при этом, транспортное сообщение NAS нисходящей линии связи включает в себя сообщение запроса возможностей UE (запрос возможности UE) или сообщение запроса контента запроса на подключение (запрос контента запроса на подключение).
(2) eNB отправляет в UE сообщение передачи информации нисходящей линии связи (сообщение передачи нисходящей линии связи), при этом, сообщение передачи информации нисходящей линии связи включает в себя сообщение запроса возможностей UE (запрос возможности UE) или сообщение запроса контента запроса на подключение (запрос контента запроса на подключение).
(3) UE отправляет сообщение передачи информации восходящей линии связи (передача информации восходящей линии связи) в eNB, при этом, сообщение включает в себя возможности UE (возможности UE) или контент сообщения запроса на подключение (контент запроса на подключение).
(4) eNB отправляет транспортное сообщение NAS восходящей линии связи (транспортное сообщение NAS восходящей линии связи) в MME, при этом, сообщение включает в себя возможности UE (возможности UE) или контент запроса на подключение (контент запроса на подключение).
Вариант 2 реализации:
(1) MME отправляет сообщение запроса информации UE (запрос информации UE) в eNB, при этом, сообщение запроса информации UE включает в себя сообщение запроса возможности UE (запрос возможности UE) или запрос контента запроса на подключение (запрос контента запроса на подключение).
(2) eNB отправляет сообщение запроса информации UE (запрос информации UE) в UE.
(3) UE отправляет сообщение ответа информации UE (ответ информации UE) в eNB, при этом, сообщение ответа информации UE передает возможности UE (возможности UE) или сообщения запроса на подключение, передающее контент (контент запроса на подключение).
(4) eNB отправляет сообщение ответа информации UE (ответ информации UE) в MME, при этом, сообщение ответа информации UE передает возможности UE (возможности UE) или контент сообщения запроса на подключение (контент запроса на подключение).
Этап S116: если восьмой NAS-MAC не соответствует седьмому NAS-MAC или функция безопасности UE, отправленная обратно MME, не соответствует функции безопасности UE, отправленной UE в MME, UE отправляет отказ режима безопасности NAS (отказ режима безопасности NAS) в MME.
Фиг. 12 представляет собой блок-схему алгоритма способа мобильной связи согласно варианту 12 осуществления настоящего изобретения. В этом способе MME отправляет с помощью командного сообщения режима безопасности NAS информацию функции безопасности UE, принятую в процедуре подключения, в UE. Как показано на фиг. 12, вариант 12 осуществления настоящего изобретения включает в себя следующие основные этапы обработки.
Этап S121: UE принимает командное сообщение режима безопасности NAS из MME.
Командное сообщение режима безопасности NAS передает функцию безопасности UE, принятую MME в процедуре подключения, алгоритм целостности, поддерживаемый как MME, так и UE, возможно передаваемый алгоритм хеширования, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS.
Дополнительно, командное сообщение режима безопасности NAS может дополнительно включать в себя алгоритм шифрования, поддерживаемый как MME, так и UE, возможно имеющий [запрос IMEI] и возможно имеющий [NONCEUE, NONCEMME].
Этап S122: UE вычисляет восьмой NAS-MAC командного сообщения режима безопасности NAS, принятого UE.
Этап S123: UE определяет, соответствует ли восьмой NAS-MAC седьмому NAS-MAC, и если восьмой NAS-MAC соответствует седьмому NAS-MAC, выполняют этап S124; в противном случае выполняют этап S126.
Этап S124: UE определяет, соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME.
Этап S125: если функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS передает информацию о функциональных возможностях UE и NAS-MAC сообщения завершения режима безопасности NAS.
В этом варианте осуществления настоящего изобретения, когда целостность как функции безопасности UE, так и командного сообщения режима безопасности NAS успешно верифицированы, информация о функциональных возможностях UE отправляют в MME.
Дополнительно, сообщение завершения режима безопасности NAS дополнительно содержит [IMEI] и содержит NAS-MAC для выполнения защиты безопасности в сообщении завершения режима безопасности NAS, тем самым, гарантируя, что информация о функциональных возможностях UE в сообщении завершения режима безопасности NAS не изменяется. Это гарантирует, что MME получит правильную информацию о функциональных возможностях UE.
Этап S126: если восьмой NAS-MAC не соответствует седьмому NAS-MAC или функция безопасности UE, отправленная обратно MME, не соответствует функции безопасности UE, отправленной UE в MME, UE отправляет отказ режима безопасности NAS (отказ режима безопасности NAS) в MME.
В этом варианте осуществления информация о функциональных возможностях UE может быть помещена во вторую информацию верификации соответствия IE и передана, но MME непосредственно сохраняет информацию о функциональных возможностях UE и не верифицирует снова, является ли информация о функциональных возможностях UE такой же, как информация о функциональных возможностях UE в принятом запросе на подключение.
Настоящее изобретение дополнительно обеспечивает вариант 13 осуществления способа мобильной связи. Способ этого варианта осуществления включает в себя следующие основные этапы обработки: MME отправляет командное сообщение режима безопасности NAS в UE, при этом, командное сообщение режима безопасности NAS передает первую информацию верификации соответствия, так что UE определяет, на основании первой информации верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.
На основании варианта 13 осуществления в вариантах реализации варианта 13 осуществления первая информация верификации соответствия представляет собой первое значение хеша сообщения запроса на подключение, принятое MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования (возможно передаваемый), используемый MME для выполнения вычисления хеша в принятом сообщении с запросом на подключение, алгоритм целостности, используемого MME, идентификатора ключа и первый код аутентификации сообщения NAS-MAC уровня без доступа командного сообщении режима безопасности NAS.
На основании варианта 13 осуществления в вариантах реализации варианта 13 осуществления способ дополнительно включает в себя следующий этап.
Когда второй NAS-MAC командного сообщения режима безопасности NAS, генерируемого UE, соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, второе значение хеша сообщения запроса на подключение, сгенерированного UE, не соответствует первому значению хеша, MME принимает сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение или возможности UE.
На основании варианта 13 осуществления в вариантах реализации варианта 13 осуществления первая информация верификации соответствия представляет собой третье значение хеша информации о функциональных возможностях UE, принятую MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования (возможно передаваемый), используемый MME для выполнения вычисления хеша принятой информации о функциональных возможностях UE, алгоритм целостности, используемого MME, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS.
На основании варианта 13 осуществления в вариантах реализации варианта 13 осуществления способ дополнительно включает в себя следующий этап.
Когда четвертый NAS-MAC, генерируемый UE, соответствует третьему NAS-MAC, функция безопасности UE, отправленная назад MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хэша информации о функциональных возможностях UE, сгенерированная UE, не соответствует третьему значению хэша, MME принимает сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.
На основе варианта 13 осуществления в вариантах реализации варианта 13 осуществления первая информация верификации соответствия является информацией о функциональных возможностях UE, принятой MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS.
На основании варианта 13 осуществления в вариантах реализации варианта 13 осуществления способ дополнительно включает в себя следующий этап.
Когда шестой NAS-MAC, сгенерированный UE, соответствует пятому NAS-MAC, функция безопасности UE в информации о функциональных возможностях UE, принятая MME, соответствует функции безопасности UE, отправленной UE в MME, и возможности, отличные от функции безопасности UE в информации о функциональных возможностях UE, принятая MME, не соответствует возможностям, отправленным UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS передает информацию о возможности UE.
Настоящее изобретение дополнительно обеспечивает вариант 14 осуществления способа мобильной связи. Этот вариант осуществления включает в себя следующие основные этапы обработки.
(1) MME принимает сообщение завершения режима (завершение режима безопасности NAS) (уровня без доступа), из UE, при этом, сообщение завершения режима безопасности NAS содержит вторую информацию верификации соответствия, используемую для верификации информации о функциональных возможностях UE принятую ММЕ.
(2) MME определяет, на основании второй информации верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME.
На основании варианта 14 осуществления в вариантах реализации варианта 14 осуществления вторая информация верификации соответствия включает в себя:
значение хеша сообщения запроса на подключение, отправленного UE в MME; или
значение хеша информации о функциональных возможностях UE, отправленной UE в MME.
На основании варианта 14 осуществления в вариантах реализации варианта 14 осуществления вторая информация верификации соответствия включает в себя информацию о функциональных возможностях UE, отправленную UE в MME.
На основании варианта 14 осуществления в вариантах реализации варианта 14 осуществления способ дополнительно включает в себя следующие этапы.
Если сообщение запроса на подключение или информация о функциональных возможностях UE, принятая MME в процедуре подключение, не соответствует сообщению, отправленного UE, MME отправляет транспортное сообщение NAS нисходящей линии связи в UE, при этом, транспортное сообщение NAS нисходящей линии связи содержит сообщение запроса на информацию о функциональных возможностях UE или сообщение запроса на контент запроса на подключение; и
MME принимает сообщение передачи информации восходящей линии связи, отправленное UE, при этом сообщение передачи информации восходящей линии связи передает информацию о функциональных возможностях UE или контент запроса на подключение.
На основании варианта 14 осуществления в вариантах реализации варианта 14 осуществления способ дополнительно включает в себя следующие этапы.
Если сообщение запроса на подключение или возможности UE, принятые MME в процедуре подключения, не соответствуют сообщению, отправленному UE, MME отправляет сообщение запроса на информацию UE в UE, при этом, сообщение запроса информации UE передает сообщение запроса на информацию о функциональных возможностях UE или сообщение запроса на контент запроса на подключение; и
MME принимает сообщение ответа информации UE, отправленное UE, при этом, сообщение ответа информации UE передает информацию о функциональных возможностях UE или контент запроса на подключение.
Фиг. 13 является блок-схемой алгоритма способа мобильной связи согласно варианту 15 осуществления настоящего изобретения. В способе процедуру активации безопасности NAS (соответствующую этапу 7 на фиг. 13) выполняют в соответствии с обычным способом. После активации безопасности NAS, MME запрашивает посредством использования транспортного сообщения NAS нисходящей линии связи (транспортное сообщение NAS нисходящей линии связи) UE повторно загрузить возможности UE (возможности UE) или контент запроса на подключение (контент запроса на подключение), и UE загружает возможности UE (возможности UE) или контент запроса на подключение (контент запроса на подключение) с использованием транспортного сообщения NAS восходящей линии связи (транспортное сообщение NAS восходящей линии связи), так что MME получает правильную информацию о возможности UE.
Как показано на фиг. 13, процесс выполнения этого варианта осуществления включает в себя следующие этапы.
1. UE в состоянии RRC_IDLE (управление радиоресурсами в режиме ожидания, управление радиоресурсами в режиме ожидания) выполняет процедуру подключения. Сначала UE инициирует процедуру произвольного доступа, то есть, отправляет первое сообщение MSG1 произвольного доступа.
2. После обнаружения MSG1 сообщения eNB отправляет в UE сообщение ответа произвольного доступа, а именно, MSG2 сообщение.
3. После приема сообщения ответа произвольного доступа UE корректирует параметры отправки по восходящей линии связи на основании TA (время задержки ответного сигнала, время задержки ответного сигнала) в MSG2 и отправляет сообщение запроса RRC-соединения (запрос на RRC-соединение) в eNB.
4. eNB отправляет сообщение обновления RRC-соединения (обновление RRC-соединения) в UE, при этом, сообщение включает в себя информацию конфигурации для установки SRB1 (сигнализирующий радиоканал 1, сигнализирующий радиоканал 1) и радиоресурс.
5. После завершения конфигурации SRB1 канала и радиоресурсов, UE отправляет сообщение завершения обновления RRC-соединения (сообщение завершения установки RRC-соединения) в eNB, при этом, сообщение завершения обновления RRC включает в себя сообщение запроса на подключение NAS (запрос на подключение).
6. eNB выбирает MME и отправляет исходное сообщение UE (исходное сообщение UE) в MME, при этом исходное сообщение UE включает в себя сообщение запроса на подключение NAS (запрос на подключение).
7. UE и MME выполняют AKA процедуру и процедуру активации безопасности NAS.
8. MME отправляет транспортное сообщение NAS нисходящей линии связи (транспортное сообщение NAS нисходящей линии связи) в eNB, при этом, транспортное сообщение NAS нисходящей линии связи включает в себя сообщение запроса возможности UE (запрос возможности UE) или сообщение запроса контента запроса на подключение (запрос контента запроса на подключение).
9. eNB отправляет сообщение передачи информации нисходящей линии связи (сообщение передачи информации нисходящей линии связи) в UE, при этом, сообщение передачи информации нисходящей линии связи включает в себя сообщение запроса возможности UE (запрос возможности UE) или сообщение запроса контента сообщения запроса на подключение (запрос контента запроса на подключение).
10. UE отправляет сообщение передачи информации восходящей линии связи (сообщение передачи информации восходящей линии связи) в eNB, при этом, сообщение включает в себя возможности UE (возможности UE) или контент сообщения запроса на подключение (контент запроса на подключение).
11. eNB отправляет транспортное сообщение NAS восходящей линии связи (транспортное сообщение NAS восходящей линии связи) в MME, при этом, сообщение включает в себя возможности UE (возможности UE) или контент запроса на подключение (контент запроса на подключение).
12. MME отправляет в eNB сообщение запроса контента установки исходного контекста (запрос установки исходного контекста), чтобы запросить установку канала по умолчанию, при этом, сообщение запроса установки исходного контекста включает в себя сообщение запроса на подключение NAS (подтверждение подключения) и сообщение запроса контекста активировать EPS канала по умолчанию (запрос контекста активировать усовершенствованное ядро пакетной коммутации канала по умолчанию), при этом, полное название EPS является усовершенствованное ядро пакетной коммутации, на китайском языке название EPS является усовершенствованное ядро пакетной коммутации.
13. После того, как eNB принимает сообщение запроса установки исходного контекста, если сообщение запроса установки исходного контекста не включает в себя информацию о функциональных возможностях UE, eNB отправляет сообщение запроса UE возможности (запрос возможности UE) в UE для запроса возможности UE.
14. UE отправляет сообщение информации о возможностях UE (информация о возможностях UE) в eNB, чтобы сообщать информацию о функциональных возможностях UE.
15. eNB отправляет сообщение указания информации о функциональных возможностях UE (указание информации о функциональных возможностях UE) в MME для обновления информации о функциональных возможностях UE MME.
16. eNB отправляет командное сообщение режима безопасности (команда режима безопасности) в UE на основании информации безопасности, поддерживаемой UE, в сообщении запроса установки исходного контекста (запрос установки исходного контекста) для выполнения активации безопасности.
17. UE отправляет в eNB сообщение завершения режима безопасности (завершение режима безопасности), чтобы указать, что активация безопасности завершена.
18. eNB отправляет сообщение реконфигурации RRC-соединения (реконфигурация RRC-соединения) в UE на основании информации установки ERAB (усовершенствованный канал радиодоступа, усовершенствованный канал радиодоступа) в сообщении запроса установки исходного контекста (запрос установки исходного контекста) для выполнения реконфигурация ресурсов UE, включающий в себя реконфигурирование SRB1 и конфигурацию радиоресурсов, и установку SRB2, DRB (радиоканал данных, радиоканал данных) (включающий в себя канал передачи по умолчанию) и тому подобное.
19. UE отправляет сообщение завершения реконфигурацию RRC-соединения (завершение реконфигурацию RRC-соединения) в eNB, чтобы указать, что конфигурация ресурса завершена.
20. eNB отправляет сообщение ответа установки исходного контекста (ответ установки исходного контекста) в MME, чтобы указать, что установка контекста UE завершена.
21. UE отправляет сообщение передачи информации восходящей линии связи (передача информации восходящей линии связи) в eNB, при этом, сообщение включает в себя сообщение завершения подключения NAS (завершение подключения) и сообщение подтверждения контекста активировать усовершенствованное ядро пакетной коммутации канала по умолчанию (подтверждение контекста активировать EPS канала по умолчанию).
22. eNB отправляет транспортное сообщение NAS восходящей линии связи (транспортное сообщение NAS восходящей линии связи) в MME, при этом, сообщение включает в себя сообщение завершения подключения NAS (завершение подключения) и сообщение подтверждения контекста активировать усовершенствованное ядро пакетной коммутации канала по умолчанию (подтверждение контекста активировать EPS канала по умолчанию).
Этап 7 в этом варианте осуществления настоящего изобретения соответствует процедуре активации безопасности NAS, и усовершенствованные этапы с 8 по 11 в этом варианте осуществления настоящего изобретения выполняют после процедуры активации безопасности NAS.
Фиг. 14 является блок-схемой алгоритма способа мобильной связи согласно варианту 16 осуществления настоящего изобретения. В способе процедуру активации безопасности NAS (соответствующую этапу 7 на фиг. 14) выполняют в соответствии с обычным способом. В процедуре подключения после активации безопасности NAS, MME запрашивает, используя новое сообщение запроса информации UE (запрос информации UE), UE повторно загрузить информацию о функциональных возможностях UE (возможности UE) или контент запроса на подключение (контент запроса на подключение) и UE загружает возможности UE (возможности UE) или контент запроса на подключение (контент запроса на подключение) с использованием сообщения ответа информации UE (ответ информации UE), так что MME получает правильную информацию о функциональных возможностях UE.
Как показано на фиг. 14, процесс выполнения этого варианта осуществления включает в себя следующие этапы.
1. UE в состоянии RRC_IDLE (управление радиоресурсами в режиме ожидания, управление радиоресурсами в режиме ожидания) выполняет процедуру подключения, и, во-первых, инициирует процедуру произвольного доступа, то есть, отправляет первое сообщение MSG1 произвольного доступа.
2. После обнаружения MSG1 сообщения eNB отправляет сообщение ответа произвольного доступа, а именно, MSG2 сообщение в UE.
3. После приема сообщения ответа случайного доступа, UE корректирует параметры отправки восходящей линии связи на основании TA (время задержки ответного сигнала, время задержки ответного сигнала) в MSG2 и отправляет сообщение запроса RRC-соединения (запроса RRC-соединения) в eNB.
4. eNB отправляет сообщение обновления RRC-соединения (обновления RRC-соединения) в UE, при этом, сообщение включает в себя информацию конфигурации для установки SRB1 (сигнализирующий радиоканал 1, сигнализирующий радиоканал 1) и радиоресурс.
5. После завершения передачи SRB1 канала и конфигурации радиоресурсов, UE отправляет сообщение завершения обновление RRC-соединения (завершения обновление RRC-соединения) в eNB, при этом, сообщение завершения обновление RRC-соединения включает в себя сообщение запроса на подключение NAS (сообщение запроса на подключение).
6. eNB выбирает MME и отправляет исходное сообщение UE (исходное сообщение UE) в MME, при этом, исходное сообщение UE включает в себя сообщение запроса на подключение NAS (запрос на подключение).
7. UE и MME выполняют процедуру AKA и процедуру активации безопасности NAS.
8. MME отправляет сообщение запроса информации UE (запрос информации UE) в eNB.
9. eNB отправляет сообщение запроса информации UE (запрос информации UE) в UE.
10. UE отправляет сообщение ответа информации UE (ответ информации UE) в eNB, при этом, сообщение ответа информации UE содержит возможности UE (возможности UE) или сообщение запроса на подключение, содержащее контент (контент запроса на подключение).
11. eNB отправляет сообщение ответа информации UE (ответ информации UE) в MME, при этом, сообщение ответа информации UE содержит возможности UE (возможности UE) или сообщение запроса на подключение, содержащее контент (контент запроса на подключение).
12. MME отправляет в eNB сообщение запроса установки исходного контекста (запрос установки исходного контекста), чтобы запросить установку канала по умолчанию, при этом, сообщение запроса установки исходного контекста включает в себя сообщение запроса на подключение NAS (подтверждение подключения) и сообщение запроса контекста активировать EPS канала по умолчанию (запрос контекста активировать усовершенствованное ядро пакетной коммутации канала по умолчанию), при этом, полное название EPS является усовершенствованное ядро пакетной коммутации, на китайском языке название EPS является усовершенствованное ядро пакетной коммутации.
13. После того, как eNB принимает сообщение запроса установки исходного контекста, если сообщение запроса установки исходного контекста не включает в себя информацию о функциональных возможностях UE, eNB отправляет сообщение запроса возможности UE (запрос возможности UE) в UE для запроса возможности UE.
14. UE отправляет сообщение информации о функциональных возможностях UE (информация о функциональных возможностях UE) в eNB, чтобы сообщить информацию о функциональных возможностях UE.
15. eNB отправляет сообщение указания информации о функциональных возможностях UE (указание информации о функциональных возможностях UE) в MME для обновления информации о функциональных возможностях UE MME.
16. eNB отправляет командное сообщение режима безопасности (команда режима безопасности) в UE на основании информации безопасности, поддерживаемой UE, в сообщении запроса установки исходного контекста (запрос установки исходного контекста) для выполнения активации безопасности.
17. UE отправляет в eNB сообщение завершения режима безопасности (завершение режима безопасности), чтобы указать, что активация безопасности завершена.
18. eNB отправляет сообщение реконфигурации RRC-соединения (реконфигурация RRC-соединения) в UE на основании информации установки ERAB (усовершенствованный канал радиодоступа, усовершенствованный канал радиодоступа) в сообщении запроса установки исходного контекста (запрос установки исходного контекста) для выполнения реконфигурация ресурсов UE, включающего в себя реконфигурирование SRB1 и конфигурацию радиоресурсов, и установку SRB2, DRB (радиоканал данных, радиоканал данных) (включающий в себя канал передачи по умолчанию) и тому подобное.
19. UE отправляет сообщение завершения реконфигурации RRC-соединения (завершение реконфигурации RRC-соединения) в eNB, чтобы указать, что конфигурация ресурса завершена.
20. eNB отправляет сообщение ответа установки исходного контекста (ответ установки исходного контекста) в MME, чтобы указать, что установка контекста UE завершена.
21. UE отправляет сообщение передачи информации восходящей линии связи (передача информации восходящей линии связи) в eNB, при этом, сообщение включает в себя сообщение завершения подключения NAS (завершение подключения) и сообщение подтверждения контекста активировать усовершенствованное ядро пакетной коммутации канала по умолчанию (подтверждение контекста активировать EPS канала по умолчанию).
22. eNB отправляет транспортное сообщение NAS восходящей линии связи (транспортное сообщение NAS восходящей линии связи) в MME, при этом, сообщение включает в себя сообщение завершения подключения NAS (завершение подключения) и сообщение подтверждения контекста активировать усовершенствованное ядро пакетной коммутации канала по умолчанию (подтверждение контекста активировать EPS канала по умолчанию).
Этап 7 в этом варианте осуществления настоящего изобретения соответствует процедуре активации NAS, и усовершенствованные этапы с 8 по 11 в этом варианте осуществления настоящего изобретения выполняют после процедуры активации NAS.
Фиг. 15 является блок-схемой аппаратуры мобильной связи согласно варианту 1 осуществления настоящего изобретения. Аппаратура развернута в UE и включает в себя: модуль 1201 приема, модуль 1202 верификации и первый модуль 1203 отправки.
Модуль 1201 приема выполнен с возможностью принимать командное сообщение режима безопасности уровня без доступа из узла управления мобильностью MME, при этом, командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME.
Модуль 1202 верификации выполнен с возможностью определять на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME.
Первый модуль 1203 отправки выполнен с возможностью: когда информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправлять сообщение завершения режима безопасности NAS в MME.
В предшествующем варианте осуществления первая информация для верификации соответствия представляет собой первое значение хеша сообщения запроса на подключение, которое принимается MME до того, как MME отправит командное сообщение режима безопасности NAS в UE, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша в принятом сообщении запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первое аутентификационное сообщение кода уровня без доступа NAS-MAC командного сообщения режима безопасности NAS.
Модуль 1202 верификации конкретно выполнен с возможностью:
вычислять второй NAS-MAC в командном сообщении режима безопасности NAS, принятом UE;
определять, соответствует ли второй NAS-MAC первому NAS-MAC;
если второй NAS-MAC соответствует первому NAS-MAC, вычислять в соответствии с алгоритмом хеширования второе значение хеша сообщения запроса на подключение, отправленного UE в MME; и
определить, соответствует ли второе значение хеша первому значению хеша.
Первый модуль 1203 отправки конкретно выполнен с возможностью: когда второе значение хеша соответствует первому значению хеша, и второй NAS-MAC соответствует первому NAS-MAC, отправлять сообщение завершения режима безопасности NAS в MME.
В предшествующем варианте осуществления командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, отправленную обратно MME.
Модуль 1202 верификации дополнительно выполнен с возможностью:
определять, соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME.
Первый модуль 1203 отправки конкретно выполнен с возможностью:
если второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE на MME, отправлять сообщение завершения режима безопасности NAS в MME.
В предшествующем варианте осуществления первый модуль 1203 отправки дополнительно выполнен с возможностью:
если, по меньшей мере, одно из второго значения хеша, второй NAS-MAC и функция безопасности UE, отправленные обратно MME, верифицированы безуспешно, отправлять сообщение отказа режима безопасности NAS в MME; или
дополнительно выполнен с возможностью: если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша не соответствует первому значению хеша, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.
В вышеприведенном варианте осуществления первая информация для верификации соответствия представляет собой третье значение хеша информации о функциональных возможностях UE, принятую MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша на основании принятой информации о функциональных возможностях UE, алгоритм целостности, используемый MME, идентификатор ключа и третий NAS-MAC командного сообщения команды режима безопасности NAS.
Модуль 1202 верификации конкретно выполнен с возможностью:
вычислять четвертый NAS-MAC командного сообщения режима безопасности NAS, принятом UE;
определять, соответствует ли четвертый NAS-MAC третьему NAS-MAC;
если четвертый NAS-MAC соответствует третьему NAS-MAC, вычислять в соответствии с алгоритмом хеширования четвертое значение хеша информации о функциональных возможностях UE, отправленной UE в MME; и
определять, соответствует ли четвертое значение хеша третьему значению хеша.
Первый модуль 1203 отправки конкретно выполнен с возможностью: если четвертое значение хеша соответствует третьему значению хеша, отправлять для UE сообщение завершения режима безопасности NAS в MME.
В предшествующем варианте осуществления командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, отправленную обратно MME.
Модуль 1202 верификации дополнительно выполнен с возможностью:
определять, соответствует ли функция безопасности UE, отправленная обратно MME, функции безопасности UE, отправленной UE в MME.
Первый модуль 1203 отправки конкретно выполнен с возможностью:
если четвертое значение хеша соответствует третьему значению хеша, четвертый NAS-MAC соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE на MME, отправлять сообщение завершения режима безопасности NAS в MME.
В предшествующем варианте осуществления первый модуль 1203 отправки дополнительно выполнен с возможностью:
если, по меньшей мере, одно из четвертое значение хеша, четвертый NAS-MAC и функция безопасности UE, отправленные обратно MME, безуспешно верифицированы, отправлять для UE сообщение отказа режима безопасности NAS в MME;
или
первый модуль 1203 отправки дополнительно выполнен с возможностью:
если четвертый NAS-MAC соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хеша не соответствует третьему значению хеша, отправлять для UE сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.
В вышеприведенном варианте осуществления первая информация для верификации соответствия является информацией о функциональных возможностях UE, принятой MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC NAS командного сообщения режима безопасности.
Модуль 1202 верификации конкретно выполнен с возможностью:
вычислять шестой NAS-MAC командного сообщения режима безопасности NAS, принятом UE;
определять для UE, соответствует ли шестой NAS-MAC пятому NAS-MAC;
и
определять, соответствует ли информация о функциональных возможностях UE, принятая посредством MME, информации о функциональных возможностях UE, отправленной UE в MME.
Первый модуль 1203 отправки выполнен с возможностью: если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправлять сообщение завершения режима безопасности NAS в MME.
В вышеприведенном варианте осуществления модуль 1202 верификации конкретно выполнен с возможностью:
определять, соответствует ли шестой NAS-MAC пятому NAS-MAC;
если шестой NAS-MAC соответствует пятому NAS-MAC, определять, соответствует ли функция безопасности UE, включенная в состав информации о функциональных возможностях UE, принятой MME, функции безопасности UE, отправленной UE в MME; и
если функция безопасности UE, включенная в состав информации о функциональных возможностях UE, принятая MME, соответствует функции безопасности UE, отправленной UE в MME, определять для UE, соответствуют ли возможности, отличные от функции безопасности UE в информации о функциональных возможностях UE, принятой MME, возможностям, отправленными UE в MME.
Первый модуль 1203 отправки конкретно выполнен с возможностью: если возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, соответствуют возможностям, отправленным UE в MME, отправлять сообщение завершения режима безопасности NAS в MME.
В предшествующем варианте осуществления первый модуль 1203 отправки дополнительно выполнен с возможностью:
если возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствуют возможностям, отправленным UE в MME, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.
В предшествующем варианте осуществления командное сообщение режима безопасности NAS включает в себя: функцию безопасности UE, принятую MME, алгоритм целостности, используемый MME, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS.
Модуль 1202 верификации конкретно выполнен с возможностью:
вычислять восьмой NAS-MAC командного сообщения режима безопасности NAS, принятого UE; и
определять, соответствует ли восьмой NAS-MAC седьмому NAS-MAC; и
если восьмой NAS-MAC соответствует седьмому NAS-MAC, определять, соответствует ли функция безопасности UE, принятая MME, функции безопасности UE, отправленной UE в MME.
Первый модуль 1203 отправки выполнен с возможностью: если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, отправлять сообщение завершения режима безопасности NAS в MME, при этом, сообщение завершения режима безопасности NAS содержит вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.
В предшествующем варианте осуществления вторая информация для верификации соответствия включает в себя:
значение хеша сообщения запроса на подключение, отправленного UE в MME; или
значение хеша информации о функциональных возможностях UE, отправленной UE в MME.
В предшествующем варианте осуществления вторая информация для верификации соответствия включает в себя информацию о функциональных возможностях UE.
В вышеприведенном варианте осуществления модуль 1201 приема дополнительно выполнен с возможностью: после того, как первый модуль 1203 отправки отправит сообщение завершения режима безопасности NAS в MME, принимать транспортное сообщение NAS нисходящей линии связи, отправленное посредством MME, при этом, транспортное сообщение NAS нисходящей линии связи содержит сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение.
Первый модуль 1203 отправки дополнительно выполнен с возможностью отправлять сообщение передачи информации восходящей линии связи в MME, при этом, сообщение передачи информации восходящей линии связи содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.
В предшествующем варианте осуществления модуль 1201 приема дополнительно выполнен с возможностью:
после того, как первый модуль 1203 отправки отправит сообщение завершения режима безопасности NAS в MME, принимать сообщение запроса информации UE, отправленное MME, при этом, сообщение запроса информации UE содержит сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение с запросом на подключение.
Первый модуль 1203 отправки дополнительно выполнен с возможностью отправлять сообщения ответа информации UE в MME, при этом, сообщение ответа информации UE содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.
Фиг. 16 является блок-схемой аппаратуры мобильной связи согласно варианту 2 осуществления настоящего изобретения. Аппаратура развернута в MME и включает в себя:
второй модуль 1301 отправки, выполненный с возможностью отправлять командное сообщения режима безопасности NAS в UE, при этом, командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, так что UE определяет, на основании первой информации для верификации соответствия, соответствует ли принятая информация о функциональных возможностях UE посредством MME информации о функциональных возможностях UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.
В вышеприведенном варианте первая информация для верификации соответствия представляет собой первое значение хеша сообщения запроса на присоединение, принятого MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша принятого сообщения запроса на подключение, алгоритм целостности, используемый MME, идентификатор ключа и первое аутентификационное сообщение уровня без доступа NAS-MAC командного сообщения режима безопасности NAS.
В предшествующем варианте осуществления командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME.
Как показано на фиг. 16, аппаратура дополнительно включает в себя первый модуль 1302 приема, выполненный с возможностью:
когда второй NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, и второе значение хеша сообщения запроса на подключение, сгенерированное UE, не соответствует первому значению хеша, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение.
В вышеприведенном варианте осуществления первая информация для верификации соответствия представляет собой третье значение хеша информации о функциональных возможностях UE, принятую MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм хеширования, используемый MME для выполнения вычисления хеша на основании принятой информации о функциональных возможностях UE, алгоритм целостности, используемый MME, идентификатор ключа и третий NAS-MAC командного сообщения режима безопасности NAS.
В предшествующем варианте осуществления командное сообщение режима безопасности NAS дополнительно включает в себя функцию безопасности UE, принятую MME.
Как показано на фиг. 16, аппаратура дополнительно включает в себя второй модуль 1303 приема, выполненный с возможностью:
когда четвертый NAS-MAC командного сообщения режима безопасности NAS, сгенерированный UE, соответствует третьему NAS-MAC, функция безопасности UE, отправленная обратно MME, соответствует функции безопасности UE, отправленной UE в MME, и четвертое значение хеша информации о функциональных возможностях UE, сгенерированное UE, не соответствует третьему значению хеша, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS передает информацию о функциональных возможностях UE.
Как показано на фиг. 16, первой информацией для верификации соответствия является информация о функциональных возможностях UE, принятая MME, и командное сообщение режима безопасности NAS дополнительно включает в себя алгоритм целостности, используемый MME, идентификатор ключа и пятый NAS-MAC командного сообщения режима безопасности NAS.
Как показано на фиг. 16, аппаратура дополнительно включает в себя третий модуль 1304 приема, выполненный с возможностью:
когда шестой NAS-MAC командного сообщения режима безопасности NAS, генерируемый UE, соответствует пятому NAS-MAC, функция безопасности UE, содержащаяся в информации о функциональных возможностях UE, принятую MME, соответствует функции безопасности UE, отправленной UE в MME, и UE определяет, что возможности, отличные от функции безопасности UE, в информации о функциональных возможностях UE, принятой MME, не соответствуют возможностям, отправленным UE в MME, принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS содержит информацию о функциональных возможностях UE.
В предшествующем варианте осуществления командное сообщение режима безопасности NAS включает в себя: функцию безопасности UE, принятую MME, алгоритм целостности, используемый MME, идентификатор ключа и седьмой NAS-MAC командного сообщения режима безопасности NAS.
В вышеприведенном варианте осуществления аппаратура дополнительно включает в себя четвертый модуль 1305 приема, выполненный с возможностью принимать сообщение завершения режима безопасности NAS, отправленное UE, при этом, сообщение завершения режима безопасности NAS передает вторую информацию для верификации соответствия и NAS-MAC сообщения завершения режима безопасности NAS.
В предшествующем варианте осуществления вторая информация для верификации соответствия включает в себя:
значение хеша сообщения запроса на подключение, отправленного UE в MME; или
значение хеша информации о функциональных возможностях UE, отправленной UE в MME.
В предшествующем варианте осуществления вторая информация для верификации соответствия включает в себя информацию о функциональных возможностях UE.
В вышеприведенном варианте осуществления второй модуль 1301 отправки дополнительно выполнен с возможностью: если информация о функциональных возможностях UE, принятая посредством MME, не соответствует переданной UE, отправлять транспортное сообщение NAS нисходящей линии связи в UE, при этом, транспортное сообщение NAS нисходящей линии связи передает сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение.
Четвертый модуль 1305 приема дополнительно выполнен с возможностью принимать сообщения передачи информации восходящей линии связи, отправленного UE, при этом, сообщение передачи информации восходящей линии связи содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.
В вышеприведенном варианте осуществления второй модуль 1301 отправки дополнительно выполнен с возможностью: если MME определяет, что информация о функциональных возможностях UE, принятая посредством MME, не соответствует сообщению, отправленному UE, отправлять сообщение запроса информации UE в UE, при этом, сообщение запроса информации UE содержит сообщение запроса информации о функциональных возможностях UE или сообщение запроса для запроса UE повторно отправить сообщение запроса на подключение.
Четвертый модуль 1305 приема дополнительно выполнен с возможностью принимать сообщения ответа информации UE, отправленного UE, при этом, сообщение ответа информации UE содержит информацию о функциональных возможностях UE или сообщение запроса на подключение.
Фиг. 17 является блок-схемой устройства мобильной связи согласно варианту 1 осуществления настоящего изобретения. Устройство 1400 мобильной связи включает в себя интерфейс 1401 связи, память 1403 и процессор 1402. Интерфейс 1401 связи, процессор 1402 и память 1403 соединены друг с другом с использованием шины 1404. Шина 1404 может быть межсоединением периферийных компонентов (межсоединение периферийных компонентов, PCI для краткости), расширенный промышленный стандарт архитектуры (расширенный промышленный стандарт архитектуры, EISA для краткости) и т.п. Шина может быть классифицирована на адресную шину, шину данных, шину управления и т.п. Для удобства представления на фиг. 14, используют только одну жирную линию, но это не означает, что применяют только одну шину или один тип шины.
Интерфейс 1401 связи выполнен с возможностью устанавливать связь со стороной передачи. Память 1403 выполнена с возможностью хранить программы. В частности, программа может включать в себя программный код, и программный код включает в себя инструкцию управления компьютером. Память 1403 может включать в себя память произвольного доступа (оперативное запоминающее устройство, RAM для краткости) или может дополнительно включать в себя энергонезависимую память (энергонезависимую память), такую как, по меньшей мере, одно хранилище на магнитном диске.
Процессор 1402 выполняет программу, хранящуюся в памяти 1403, для реализации способа в вышеописанных вариантах осуществления настоящего изобретения:
прием командного сообщения режима безопасности NAS уровня без доступа из узла управления мобильностью ММЕ, в котором командное сообщение режима безопасности NAS содержит первую информацию для верификации соответствия, используемую для верификации информации о функциональных возможностях UE, принятой MME;
определение, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME; и
если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, и отправляют посредством UE сообщение завершения режима безопасности NAS в MME.
Процессор 1402 может быть процессором общего назначения, включающим в себя центральный процессор (центральный процессор, CPU для краткости), сетевой процессор (сетевой процессор, NP для краткости) и т.п.; или может быть цифровым сигнальным процессором (DSP), специализированной интегральной схемой (ASIC), программируемой пользователем матрицей вентилей (FPGA) или другим программируемым логическим устройством, дискретным логическим устройством или транзисторным логическим устройством или дискретным аппаратным компонентом.
Фиг. 18 является блок-схемой устройства мобильной связи согласно варианту 2 осуществления настоящего изобретения. Устройство 1500 мобильной связи включает в себя интерфейс 1501 связи, память 1503 и процессор 1502. Интерфейс 1501 связи, процессор 1502 и память 1503 соединены друг с другом с использованием шины 1504. Шина 1504 может быть межсоединением периферийных компонентов (межсоединение периферийных компонентов, PCI для краткости), расширенным промышленным стандартом архитектуры (расширенный промышленный стандарт архитектуры, EISA для краткости) и т.п. Шина может быть классифицирована на адресную шину, шину данных, шину управления и т.п. Для удобства представления на фиг. 15 используют только одну жирную линию, но это не означает, что имеется только одна шина или один тип шины.
Интерфейс 1501 связи выполнен с возможностью устанавливать связь со стороной передачи. Память 1503 выполнена с возможностью хранить программы. В частности, программа может включать в себя программный код, и программный код включает в себя инструкцию управления компьютером. Память 1503 может включать в себя память произвольного доступа (оперативное запоминающее устройство, RAM для краткости) или может дополнительно включать в себя энергонезависимую память (энергонезависимую память), такую как, по меньшей мере, одно хранилище на магнитном диске.
Процессор 1502 выполняет программу, хранящуюся в памяти 1503, для реализации способа в вышеописанных вариантах осуществления настоящего изобретения:
определение первой информации для верификации соответствия, используемой UE, для верификации информации о функциональных возможностях UE, принятой MME; и
отправку командного сообщения режима безопасности NAS в UE, при этом, командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, так что UE определяет, на основании первой информации для верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации UE, отправленной UE в MME; и если информация о функциональных возможностях UE, принятая MME, соответствует информации о функциональных возможностях UE, отправленной UE в MME, UE отправляет сообщение завершения режима безопасности NAS в MME.
Процессор 1502 может быть процессором общего назначения, включающий в себя центральный процессор (центральный процессор, CPU для краткости), сетевой процессор (сетевой процессор, NP для краткости) и т.п.; или может быть цифровым сигнальным процессором (DSP), специализированной интегральной схемой (ASIC), программируемой пользователем матрицей вентилей (FPGA) или другим программируемым логическим устройством, дискретным логическим устройством или транзисторным логическим устройством или дискретным аппаратным компонентом.
Согласно устройству мобильной связи этого варианта осуществления настоящего изобретения UE верифицирует, на основании принятого первого сообщения верификации соответствия, соответствует ли информация о функциональных возможностях UE, принятая MME, информации о функциональных возможностях UE, отправленной UE в MME. Очевидно, что в вариантах осуществления настоящего изобретения MME отправляет обратно сообщение верификации соответствия, и UE верифицирует информацию о функциональных возможностях UE, принятую MME, чтобы гарантировать, что MME обладает правильной информацией о функциональных возможностях UE. Посредством данного решения предотвращают воздействие DoS-атаки, в которой, в процедуре подключения (подключение) сообщение запроса на подключение (запрос на подключение) не защищено контекстом безопасности NAS, таким образом, злоумышленник может изменять информацию о функциональных возможностях UE, и MME не может получить правильную UE. DoS является сокращением от термина отказа в обслуживании, то есть, отказ в обслуживании и действие атаки, вызывающее DoS, называется DoS-атакой.
Специалисты в данной области техники могут понять, что все или некоторые этапы вариантов осуществления способа могут быть реализованы программой, инструктирующей соответствующее аппаратное обеспечение. Программу могут хранить на машиночитаемом носителе данных. Когда программа запускается, выполняют этапы вариантов осуществления способа. Вышеупомянутый носитель данных включает в себя: любой носитель информации, который может хранить программный код, такой как ROM, RAM, магнитный диск или оптический диск.
В заключение, следует отметить, что приведенные выше варианты осуществления предназначены только для описания технических решений настоящего изобретения, кроме ограничения настоящего изобретения. Хотя настоящее изобретение подробно описано со ссылкой на вышеприведенные варианты осуществления, специалисты в данной области техники должны понимать, что они все еще могут вносить изменения в технические решения, описанные в вышеприведенных вариантах осуществления, или сделать эквивалентную замену некоторым техническим признакам, без выходящих за рамки технических решений вариантов осуществления настоящего изобретения.

Claims (43)

1. Способ мобильной связи, содержащий:
оправку посредством устройства пользователя (UE) сообщения запроса на подключение в узел управления мобильностью, в котором сообщение запроса на подключение, отправленное UE, содержит функцию безопасности UE;
прием посредством UE командного сообщения режима безопасности NAS уровня без доступа из узла управления мобильностью, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, алгоритм целостности, используемый узлом управления мобильностью, идентификатор ключа и первый код аутентификации сообщения NAS (NAS-MAC) командного сообщения режима безопасности NAS и функцию безопасности UE, отправленную обратно узлом управления мобильностью; в котором первая информация для верификации соответствия содержит первое значение хеша сообщения запроса на подключение, принятого узлом управления мобильностью;
вычисление посредством UE второго NAS-MAC командного сообщения режима безопасности NAS, принятого от узла управления мобильностью, и второго значения хеша сообщения запроса на подключение, отправленного UE;
определение посредством UE, соответствует ли второе значение хеша первому значению хеша, соответствует ли второй NAS-MAC первому NAS-MAC и соответствует ли функция безопасности UE, отправленная обратно узлом управления мобильностью, функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE; и
если второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC и функция безопасности UE, отправленная обратно узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, отправку посредством UE сообщения завершения режима безопасности NAS в узел управления мобильностью.
2. Способ по п. 1, дополнительно содержащий:
если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно посредством узла управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, и второе значение хеша не соответствует первому значению хеша, отправку с помощью UE сообщения завершения режима безопасности NAS в узел управления мобильностью, в котором сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение, отправленное UE.
3. Способ по п. 1, дополнительно содержащий:
если по меньшей мере одно из второго значения хеша, второго NAS-MAC или функция безопасности UE, отправленная обратно с помощью узла управления мобильностью, верифицированы безуспешно, отправку посредством UE сообщения отказа режима безопасности NAS в узел управления мобильностью.
4. Способ мобильной связи, содержащий:
прием посредством узла управления мобильностью сообщения запроса на подключение из устройства пользователя (UE), в котором сообщение запроса на подключение, принятое узлом управления мобильностью, содержит функцию безопасности UE;
отправку посредством узла управления мобильностью командного сообщения режима безопасности NAS уровня без доступа в UE, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, алгоритм целостности, используемый узлом управления мобильностью, идентификатор ключа и первый код аутентификации сообщения NAS (NAS-MAC) командного сообщения режима безопасности NAS, сгенерированный узлом управления мобильностью, и функцию безопасности UE, передаваемую в сообщении запроса на подключение, принятом узлом управления мобильностью; в котором первая информация для верификации соответствия содержит первое значение хеша сообщения запроса на подключение, принятого узлом управления мобильностью;
если первый NAS-MAC соответствует второму NAS-MAC командного сообщения режима безопасности NAS, сгенерированного узлом управления мобильностью, функция безопасности UE, передаваемая в сообщении запроса на подключение, принятом узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, и первое значение хеша соответствует второму значению хеша, прием посредством узла управления мобильностью сообщения завершения режима безопасности NAS, отправленного UE, в котором второе значение хеша сообщения запроса на подключение генерируется UE согласно сообщению запроса на подключение, отправленному UE.
5. Способ по п. 4, в котором когда первый NAS-MAC соответствует второму NAS-MAC командного сообщения режима безопасности NAS, генерируемому UE, функция безопасности UE, передаваемая в сообщении запроса на подключение, принятом узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, и первое значение хеша не соответствует второму значению хеша, прием посредством узла управления мобильностью сообщения завершения режима безопасности NAS, отправленного UE, при этом сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение, отправленное UE; в котором второе значение хеша сообщения запроса на подключение генерируется UE согласно сообщению запроса на подключение, отправленному UE.
6. Аппаратура мобильной связи, в которой аппаратура развернута в устройстве пользователя (UE) и содержит:
первый модуль отправки, выполненный с возможностью оправки сообщения запроса на подключение в узел управления мобильностью, в котором сообщение запроса на подключение, отправленное первым модулем отправки, содержит функцию безопасности UE;
модуль приема, выполненный с возможностью принимать командное сообщение режима безопасности уровня без доступа NAS из узла управления мобильностью, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, алгоритм целостности, используемый узлом управления мобильностью, идентификатор ключа и первый код аутентификации сообщения NAS (NAS-MAC) командного сообщения режима безопасности NAS и функцию безопасности UE, отправленную обратно узлом управления мобильностью; в котором первая информация для верификации соответствия содержит первое значение хеша сообщения запроса на подключение, принятого узлом управления мобильностью;
модуль верификации, выполненный с возможностью вычисления второго NAS-MAC командного сообщения режима безопасности NAS, принятого от узла управления мобильностью, и второго значение хеша сообщения запроса на подключение, отправленного UE;
определение, соответствует ли второе значение хеша первому значению хеша, соответствует ли второй NAS-MAC первому NAS-MAC и соответствует ли функция безопасности UE, отправленная обратно узлом управления мобильностью, функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE; и
первый модуль отправки дополнительно выполнен с возможностью отправлять сообщение завершения режима безопасности NAS в узел управления мобильностью, если второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC и функция безопасности UE, отправленная обратно узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE.
7. Аппаратура по п. 6, в которой первый модуль отправки дополнительно выполнен с возможностью отправлять сообщение завершения режима безопасности NAS в узел управления мобильностью,
если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно посредством узла управления мобильностью, соответствует функции безопасности UE, содержащейся в сообщении запроса на подключение, отправленном UE, и второе значение хеша не соответствует первому значению хеша, отправлять сообщение завершения режима безопасности NAS в узел управления мобильностью, в котором сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение, оправленное UE.
8. Аппаратура по п. 6, в которой первый модуль отправки дополнительно выполнен с возможностью отправлять сообщение отказа режима безопасности NAS в узел управления мобильностью, если по меньшей мере одно из второго значения хеша, второго NAS-MAC и функция безопасности UE, отправленная обратно посредством узла управления мобильностью, верифицированы безуспешно.
9. Аппаратура мобильной связи, в которой аппаратура развернута в узле управления мобильностью и содержит:
первый модуль приема, выполненный с возможностью приема сообщения запроса на подключение из устройства пользователя (UE), в котором сообщение запроса на подключение, принятое узлом управления мобильностью, содержит функцию безопасности UE;
второй модуль отправки, выполненный с возможностью отправлять командное сообщение режима безопасности NAS уровня без доступа в UE, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, алгоритм целостности, используемый узлом управления мобильностью, идентификатор ключа и первый код аутентификации сообщения NAS (NAS-MAC) командного сообщения режима безопасности NAS, сгенерированный узлом управления мобильностью, и функцию безопасности UE, передаваемую в сообщении запроса на подключение, принятом узлом управления мобильностью; в котором первая информация для верификации соответствия содержит первое значение хеша сообщения запроса на подключение, принятого узлом управления мобильностью;
первый модуль приема дополнительно выполнен с возможностью приема сообщения завершения режима безопасности NAS, отправленного UE, если первый NAS-MAC соответствует второму NAS-MAC командного сообщения режима безопасности NAS, сгенерированному узлом управления мобильностью, функция безопасности UE, передаваемая в сообщении запроса на подключение, принятом узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, и первое значение хеша соответствует второму значению хеша, в котором второе значение хеша сообщения запроса на подключение генерируется UE согласно сообщению запроса на подключение, отправленному UE.
10. Аппаратура по п. 9, в которой первый модуль приема дополнительно выполнен с возможностью приема сообщения завершения режима безопасности NAS, отправленного UE, когда первый NAS-MAC соответствует второму NAS-MAC командного сообщения режима безопасности NAS, генерируемому UE, функция безопасности UE, передаваемая в сообщении запроса на подключение, принятом узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, и первое значение хеша не соответствует второму значению хеша, при этом сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение, отправленное UE; в котором второе значение хеша сообщения запроса на подключение генерируется UE согласно сообщению запроса на подключение, отправленному UE.
11. Система мобильной связи, содержащая устройства пользователя (UE) и узел управления мобильностью, в которой UE выполнен с возможностью:
отправки сообщения запроса на подключение в узел управления мобильностью, в котором сообщение запроса на подключение, отправленное UE, содержит функцию безопасности UE;
приема командного сообщения режима безопасности NAS уровня без доступа из узла управления мобильностью, в котором командное сообщение режима безопасности NAS передает первую информацию для верификации соответствия, алгоритм целостности, используемый узлом управления мобильностью, идентификатор ключа и первый код аутентификации сообщения NAS (NAS-MAC) командного сообщения режима безопасности NAS и функцию безопасности UE, отправленную обратно узлом управления мобильностью; в котором первая информация для верификации соответствия содержит первое значение хеша сообщения запроса на подключение, принятого узлом управления мобильностью;
вычисления второго NAS-MAC командного сообщения режима безопасности NAS, принятого от узла управления мобильностью, и второго значение хеша сообщения запроса на подключение, отправленного UE;
определения, соответствует ли второе значение хеша первому значению хеша, соответствует ли второй NAS-MAC первому NAS-MAC и соответствует ли функция безопасности UE, отправленная обратно узлом управления мобильностью, функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE; и
если второе значение хеша соответствует первому значению хеша, второй NAS-MAC соответствует первому NAS-MAC и функция безопасности UE, отправленная обратно узлом управления мобильностью, соответствует функции безопасности UE, передаваемой в сообщении запроса на подключение, отправленном UE, отправки сообщения завершения режима безопасности NAS в узел управления мобильностью;
в которой узел управления мобильностью выполнен с возможностью:
отправки командного сообщения режима безопасности NAS в UE; и
приема сообщения завершения режима безопасности NAS из UE.
12. Система по п. 11, в которой UE дополнительно выполнено с возможностью отправлять сообщение завершения режима безопасности NAS в узел управления мобильностью, если второй NAS-MAC соответствует первому NAS-MAC, функция безопасности UE, отправленная обратно посредством узла управления мобильностью, соответствует функции безопасности UE, содержащейся в сообщении запроса на подключение, отправленном UE, и второе значение хеша не соответствует первому значению хеша, отправлять сообщение завершения режима безопасности NAS в узел управления мобильностью, в котором сообщение завершения режима безопасности NAS содержит сообщение запроса на подключение, оправленное UE.
13. Аппаратура мобильной связи, в которой аппаратура развернута в устройстве пользователя (UE) и содержит процессор, связанный с постоянным носителем данных, хранящим исполняемые инструкции; при этом исполняемые инструкции, когда выполняются процессором, заставляют процессор выполнять способ по любому из пп. 1-3.
14. Аппаратура мобильной связи, в которой аппаратура развернута в узле управления мобильностью и содержит процессор, связанный с постоянным носителем данных, хранящим исполняемые инструкции; причем исполняемые инструкции, когда выполняются процессором, заставляют процессор выполнять способ по п. 4 или 5.
15. Машиночитаемый носитель данных, содержащий инструкции, которые при выполнении компьютером заставляют компьютер выполнять способ по любому из пп. 1-3.
16. Машиночитаемый носитель данных, содержащий инструкции, которые при выполнении компьютером заставляют компьютер выполнять способ по п. 4 или 5.
RU2018128207A 2016-01-05 2016-01-05 Способ, аппаратура и устройство мобильной связи RU2706173C1 (ru)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2016/070182 WO2017117721A1 (zh) 2016-01-05 2016-01-05 移动通信方法、装置及设备

Publications (1)

Publication Number Publication Date
RU2706173C1 true RU2706173C1 (ru) 2019-11-14

Family

ID=59273185

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018128207A RU2706173C1 (ru) 2016-01-05 2016-01-05 Способ, аппаратура и устройство мобильной связи

Country Status (8)

Country Link
US (5) US10419938B2 (ru)
EP (3) EP3873122A1 (ru)
JP (1) JP6598225B2 (ru)
KR (1) KR102125826B1 (ru)
CN (5) CN108702624B (ru)
BR (1) BR112018013812A2 (ru)
RU (1) RU2706173C1 (ru)
WO (1) WO2017117721A1 (ru)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3360303B1 (en) * 2015-10-05 2019-12-04 Telefonaktiebolaget LM Ericsson (publ) Wireless communications
WO2017117721A1 (zh) * 2016-01-05 2017-07-13 华为技术有限公司 移动通信方法、装置及设备
US20180083972A1 (en) * 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system
MX2019008888A (es) * 2017-01-30 2019-10-15 Telefonaktiebolaget LM Ericsson publi Comunicaciones inalámbricas.
CN109756451B (zh) * 2017-11-03 2022-04-22 华为技术有限公司 一种信息交互方法及装置
KR102405412B1 (ko) * 2018-04-06 2022-06-07 삼성전자주식회사 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법
CN112602343A (zh) * 2018-08-09 2021-04-02 Oppo广东移动通信有限公司 能力上报的方法和设备
US10798745B2 (en) * 2018-09-28 2020-10-06 Verizon Patent And Licensing Inc. Determining device locations based on random access channel signaling
KR102460418B1 (ko) * 2018-11-21 2022-10-31 한국전자통신연구원 통신 시스템에서 제어 메시지의 송수신 방법 및 장치
US11589235B2 (en) 2019-01-15 2023-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Radio access capabilities of a wireless device
US11470473B2 (en) 2019-01-18 2022-10-11 Qualcomm Incorporated Medium access control security
CN111866884B (zh) * 2019-04-26 2022-05-24 华为技术有限公司 一种安全保护方法及装置
CN112087747A (zh) * 2019-06-14 2020-12-15 苹果公司 改善的rrc过程安全性
EP4024930A4 (en) * 2019-09-16 2022-10-19 Huawei Technologies Co., Ltd. SECURITY PROTECTION METHOD AND DEVICE FOR AIR INTERFACE INFORMATION
US20210105611A1 (en) * 2019-10-04 2021-04-08 Qualcomm Incorporated User equipment radio capability protection
US11617077B2 (en) * 2019-10-07 2023-03-28 Intel Corporation Secure user equipment capability transfer for user equipment with no access stratum security
US20230014196A1 (en) * 2019-12-27 2023-01-19 Ntt Docomo, Inc. Base station and radio communication method
WO2021147053A1 (zh) * 2020-01-22 2021-07-29 华为技术有限公司 数据传输方法、装置及系统
US20230188992A1 (en) * 2020-02-14 2023-06-15 Telefonaktiebolaget Lm Ericsson (Publ) Protecting Capability Information Transfer in a Wireless Communication Network
KR102279293B1 (ko) * 2020-08-07 2021-07-20 한국인터넷진흥원 비암호화 채널 탐지 방법 및 장치
US11522767B2 (en) 2020-10-22 2022-12-06 Bank Of America Corporation System for real-time imitation network generation using artificial intelligence
KR20220135792A (ko) * 2021-03-31 2022-10-07 삼성전자주식회사 데이터 보호를 위한 nas 메시지 이용 방법 및 장치
WO2023180907A1 (en) * 2022-03-24 2023-09-28 Four Drobotics Corporation System and method for detection of cybersecurity threats

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101384079A (zh) * 2007-09-03 2009-03-11 华为技术有限公司 一种终端移动时防止降质攻击的方法、系统及装置
RU2367115C2 (ru) * 2005-04-11 2009-09-10 Самсунг Электроникс Ко., Лтд. Способ и система выполнения услуги сохранения мультимедийных данных при полудуплексной радиосвязи в сотовой сети связи
US20100115275A1 (en) * 2008-11-03 2010-05-06 Samsung Electronics Co. Ltd. Security system and method for wireless communication system
CN101835156A (zh) * 2010-05-21 2010-09-15 中兴通讯股份有限公司 一种用户接入安全保护的方法及系统
EP2521387A2 (en) * 2009-12-31 2012-11-07 Samsung Electronics Co., Ltd. Method and system for supporting security in a mobile communication system
RU2481730C2 (ru) * 2008-03-24 2013-05-10 Квэлкомм Инкорпорейтед Динамическое назначение домашней сети
US20140241317A1 (en) * 2013-02-22 2014-08-28 Samsung Electronics Co., Ltd. Method and system for providing simultaneous connectivity between multiple e-nodebs and user equipment
CN104967984A (zh) * 2015-04-29 2015-10-07 大唐移动通信设备有限公司 一种获取用户设备的信息的方法和系统

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022330A (zh) * 2006-02-13 2007-08-22 华为技术有限公司 提高密钥管理授权消息安全性的方法和模块
CN101011330A (zh) 2006-12-14 2007-08-08 成都死海盐疗健康馆服务有限公司 矿物盐沐浴露
CN101242629B (zh) * 2007-02-05 2012-02-15 华为技术有限公司 选择用户面算法的方法、系统和设备
CN101378591B (zh) * 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
US9247420B2 (en) * 2007-12-12 2016-01-26 Lg Electronics Inc. Method of managing user equipment capabilities
US8965338B2 (en) * 2008-06-09 2015-02-24 Apple Inc Network access control methods and apparatus
CN101686233B (zh) * 2008-09-24 2013-04-03 电信科学技术研究院 Ue与网络安全算法不匹配的处理方法、系统及装置
CN101848464B (zh) * 2009-03-28 2012-11-21 华为技术有限公司 实现网络安全的方法、装置及系统
US8605904B2 (en) * 2009-08-14 2013-12-10 Industrial Technology Research Institute Security method in wireless communication system having relay node
CN102025685B (zh) * 2009-09-21 2013-09-11 华为技术有限公司 认证处理方法及装置
KR101700448B1 (ko) * 2009-10-27 2017-01-26 삼성전자주식회사 이동 통신 시스템에서 보안 관리 시스템 및 방법
CN101790168B (zh) * 2010-02-01 2015-05-20 中兴通讯股份有限公司 Nas和as初始安全模式命令过程的方法
KR101737425B1 (ko) * 2010-06-21 2017-05-18 삼성전자주식회사 응급 콜을 지원하는 이동 통신 시스템에서 보안 관리 방법 및 장치와 그 시스템
CN102624759B (zh) * 2011-01-28 2017-03-29 中兴通讯股份有限公司 一种实现会话中数据迁移的方法和节点
CN102307091B (zh) * 2011-10-09 2014-10-29 大唐移动通信设备有限公司 Nas层信令的保护方法和设备
CN102917332B (zh) * 2012-10-11 2015-06-03 大唐移动通信设备有限公司 一种实现移动设备附着的方法及装置
CN102905265B (zh) * 2012-10-11 2016-02-10 大唐移动通信设备有限公司 一种实现移动设备附着的方法及装置
KR101978084B1 (ko) * 2013-01-10 2019-05-13 닛본 덴끼 가부시끼가이샤 Ue 및 네트워크 양자에서의 키 도출을 위한 mtc 키 관리
CN104427584B (zh) * 2013-08-19 2019-08-16 南京中兴软件有限责任公司 安全上下文处理方法及装置
KR101746193B1 (ko) * 2013-11-13 2017-06-20 한국전자통신연구원 보안 도우미 서비스 제공장치 및 서비스 제공방법
CN104488303B (zh) * 2014-04-16 2018-12-07 华为终端有限公司 接入无线网络的装置及方法
US10560846B2 (en) * 2014-09-08 2020-02-11 Blackberry Limited Method and apparatus for authenticating a network entity using unlicensed wireless spectrum
US10142840B2 (en) * 2015-01-29 2018-11-27 Motorola Mobility Llc Method and apparatus for operating a user client wireless communication device on a wireless wide area network
US9717003B2 (en) * 2015-03-06 2017-07-25 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
WO2016196958A1 (en) * 2015-06-05 2016-12-08 Convida Wireless, Llc Unified authentication for integrated small cell and wi-fi networks
CN104967934A (zh) 2015-06-12 2015-10-07 苏州佑克骨传导科技有限公司 适用于小功率骨传导耳机的振子
US10567964B2 (en) * 2015-11-24 2020-02-18 Futurewei Technologies, Inc. Security for proxied devices
CN108605224B (zh) * 2015-12-03 2022-02-22 瑞典爱立信有限公司 多rat接入层安全性
WO2017117721A1 (zh) * 2016-01-05 2017-07-13 华为技术有限公司 移动通信方法、装置及设备

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2367115C2 (ru) * 2005-04-11 2009-09-10 Самсунг Электроникс Ко., Лтд. Способ и система выполнения услуги сохранения мультимедийных данных при полудуплексной радиосвязи в сотовой сети связи
CN101384079A (zh) * 2007-09-03 2009-03-11 华为技术有限公司 一种终端移动时防止降质攻击的方法、系统及装置
RU2481730C2 (ru) * 2008-03-24 2013-05-10 Квэлкомм Инкорпорейтед Динамическое назначение домашней сети
US20100115275A1 (en) * 2008-11-03 2010-05-06 Samsung Electronics Co. Ltd. Security system and method for wireless communication system
EP2521387A2 (en) * 2009-12-31 2012-11-07 Samsung Electronics Co., Ltd. Method and system for supporting security in a mobile communication system
CN101835156A (zh) * 2010-05-21 2010-09-15 中兴通讯股份有限公司 一种用户接入安全保护的方法及系统
US20140241317A1 (en) * 2013-02-22 2014-08-28 Samsung Electronics Co., Ltd. Method and system for providing simultaneous connectivity between multiple e-nodebs and user equipment
CN104967984A (zh) * 2015-04-29 2015-10-07 大唐移动通信设备有限公司 一种获取用户设备的信息的方法和系统

Also Published As

Publication number Publication date
CN113055888A (zh) 2021-06-29
CN109729096B (zh) 2020-06-16
US20240098112A1 (en) 2024-03-21
US20180324594A1 (en) 2018-11-08
JP6598225B2 (ja) 2019-10-30
CN113271595A (zh) 2021-08-17
EP3800914A1 (en) 2021-04-07
US20210194920A1 (en) 2021-06-24
US10944786B2 (en) 2021-03-09
US11736519B2 (en) 2023-08-22
US20190387404A1 (en) 2019-12-19
EP3873122A1 (en) 2021-09-01
KR102125826B1 (ko) 2020-06-23
KR20180100365A (ko) 2018-09-10
JP2019501608A (ja) 2019-01-17
US11310266B2 (en) 2022-04-19
CN108702624A (zh) 2018-10-23
CN113271594A (zh) 2021-08-17
US20220321599A1 (en) 2022-10-06
CN113055888B (zh) 2022-03-08
CN109729096A (zh) 2019-05-07
US10419938B2 (en) 2019-09-17
EP3800914B1 (en) 2024-05-01
CN108702624B (zh) 2021-02-23
EP3393159B1 (en) 2020-09-30
BR112018013812A2 (pt) 2018-12-11
WO2017117721A1 (zh) 2017-07-13
EP3393159A1 (en) 2018-10-24
CN113271595B (zh) 2022-03-08
EP3393159A4 (en) 2018-12-19

Similar Documents

Publication Publication Date Title
RU2706173C1 (ru) Способ, аппаратура и устройство мобильной связи
RU2635881C2 (ru) Способ управления доступом и устройство
RU2523695C1 (ru) Способы и устройства, обеспечивающие синхронизацию конфигураций безопасности
JP2018510578A (ja) 完全前方秘匿性を有する認証および鍵共有
WO2017166221A1 (zh) 无线接入控制方法、装置及系统
US20170086186A1 (en) Method and apparatus for providing network access to a user equipment requesting voice service
JP2022534120A (ja) セキュリティコンテキスト取得方法および装置、ならびに通信システム
EP3236685B1 (en) Detecting and warning of base stations with a security risk
WO2020089700A1 (en) Systems and methods for preventing handover caused by an insecure message from a network node
WO2019071472A1 (zh) 一种业务策略创建方法及装置
WO2019213925A1 (zh) 密钥更新方法、设备和存储介质
WO2019205896A1 (zh) 信息处理方法、网络设备及终端
EP3506699B1 (en) Data transmission methods, radio access network device and mobile terminal for configuring a preset data bearer
WO2020038543A1 (en) User plane security
US20230388835A1 (en) Wireless network access method and apparatus, computer-readable storage medium, and computer program
RU2020110522A (ru) Способ и устройство обработки сеанса