RU2772709C1 - Systems and a method for protecting the security of nas messages - Google Patents
Systems and a method for protecting the security of nas messages Download PDFInfo
- Publication number
- RU2772709C1 RU2772709C1 RU2021111466A RU2021111466A RU2772709C1 RU 2772709 C1 RU2772709 C1 RU 2772709C1 RU 2021111466 A RU2021111466 A RU 2021111466A RU 2021111466 A RU2021111466 A RU 2021111466A RU 2772709 C1 RU2772709 C1 RU 2772709C1
- Authority
- RU
- Russia
- Prior art keywords
- nas
- message
- initial
- specified
- security
- Prior art date
Links
- 238000000034 method Methods 0.000 claims abstract description 290
- 230000004044 response Effects 0.000 claims abstract description 169
- 238000004891 communication Methods 0.000 claims abstract description 75
- 238000004590 computer program Methods 0.000 claims description 59
- 241000204801 Muraenidae Species 0.000 claims description 15
- 230000000977 initiatory Effects 0.000 claims description 12
- 239000000126 substance Substances 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 18
- 230000011664 signaling Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 3
- 230000001413 cellular Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000000737 periodic Effects 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- 241000700159 Rattus Species 0.000 description 1
- 230000003190 augmentative Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 238000003908 quality control method Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Abstract
Description
Родственные заявкиRelated Applications
Эта обычная заявка на патент испрашивает приоритет предварительной заявки на патент США №62/735,732, поданной 24 сентября 2018 г., которая полностью включена в данный документ посредством ссылки.This ordinary patent application claims priority to U.S. Provisional Application No. 62/735,732, filed September 24, 2018, which is incorporated herein by reference in its entirety.
Область техникиTechnical field
Это раскрытие относится к области систем связи и, в частности, к безопасности в сетях.This disclosure relates to the field of communication systems and, in particular, to security in networks.
Уровень техникиState of the art
Поставщики или операторы услуг реализуют мобильные сети, чтобы предлагать многочисленные речевые услуги и услуги передачи данных конечным пользователям мобильных телефонов или других мобильных устройств/терминалов, которые обычно называются оборудованием пользователя (User Equipment - UE). Некоторыми примерами речевых услуг являются речевые вызовы, переадресация вызова, ожидание вызова и т.д. Некоторыми примерами услуг передачи данных являются доступ в Интернет, потоковое аудио, потоковое видео, онлайн-игры, телевидение по протоколу Интернет (Internet Protocol television - IP-TV) и т.д. Мобильная сеть представляет собой тип сети, в которой последняя линия связи к конечному пользователю является беспроводной. Мобильная сеть обычно содержит опорную сеть и одну или большее количество сетей с радиодоступом (Radio Access Network - RAN), которые обмениваются сигнализацией и данными с UE через радиоинтерфейс. Типичная мобильная сеть логически разделена на плоскость пользователя и плоскость управления. Плоскость пользователя представляет собой логическую плоскость, отвечающую за перенос пользовательских данных, отправляемых по указанной сети, а плоскость управления представляет собой логическую плоскость, отвечающую за перенос сигнализации, применяемой для установления связи для UE. Спецификации Партнерского проекта по разработке стандартов мобильной связи 3-го поколения (Third Generation Partnership Project - 3GPP) разделяют сотовые протоколы на два слоя: слой без доступа (Non-Access Stratum - NAS) и слой доступа (Access Stratum - AS). AS состоит из связи между UE и RAN (например, eNodeB), происходящей через радиочастотный (Radio Frequency - RF) канал. NAS состоит из трафика нерадио сигнализации между UE и опорной сетью (например, объект управления мобильностью (Mobility Management Entity - ММЕ) для LTE или функции управления доступом и мобильностью (Access and Mobility Management Function - AMF) для сети следующего поколения). 3GPP реализовал процедуры безопасности для защиты сообщений плоскости управления (например, сообщений NAS) от различных атак. Однако может быть полезно идентифицировать улучшенные процедуры безопасности, которые обеспечивают дополнительную защиту сообщений плоскости управления.Service providers or service providers implement mobile networks to offer multiple voice and data services to end users of mobile phones or other mobile devices/terminals commonly referred to as User Equipment (UE). Some examples of voice services are voice calls, call forwarding, call waiting, and so on. Some examples of data services are Internet access, audio streaming, video streaming, online games, Internet Protocol television (IP-TV), etc. A mobile network is a type of network in which the last link to the end user is wireless. The mobile network typically comprises a core network and one or more Radio Access Networks (RANs) that exchange signaling and data with the UE via an air interface. A typical mobile network is logically divided into a user plane and a control plane. The user plane is the logical plane responsible for carrying user data sent over the specified network, and the control plane is the logical plane responsible for carrying the signaling used to establish communication for the UE. The specifications of the Third Generation Partnership Project (3GPP) divide cellular protocols into two layers: a non-access layer (Non-Access Stratum - NAS) and an access layer (Access Stratum - AS). The AS consists of communication between the UE and the RAN (eg, eNodeB) occurring over a radio frequency (Radio Frequency - RF) channel. The NAS consists of non-radio signaling traffic between the UE and the core network (eg, a Mobility Management Entity (MME) for LTE or an Access and Mobility Management Function (AMF) for the next generation network). 3GPP has implemented security procedures to protect control plane messages (eg, NAS messages) from various attacks. However, it may be useful to identify enhanced security procedures that provide additional security for control plane messages.
Сущность изобретенияThe essence of the invention
Описанные в данном документе варианты осуществления обеспечивают улучшенную защиту сообщений NAS. Процедура NAS (например, регистрация UE) содержит набор информационных элементов (Information Elements - IEs), которые несут информацию. Варианты осуществления, описанные ниже, излагают способы защиты IEs или поднабора IEs, которые отправляются в сообщениях NAS. Таким образом, информация, переносимая в IEs, является менее уязвимой для злонамеренных атак.The embodiments described herein provide improved security for NAS messages. A NAS procedure (eg, UE registration) contains a set of Information Elements (IEs) that carry information. The embodiments described below outline methods for protecting IEs, or a subset of IEs, that are sent in NAS messages. Thus, information carried in IEs is less vulnerable to malicious attacks.
Один вариант осуществления содержит сетевой элемент мобильной сети. Сетевой элемент содержит процессор(ы) и запоминающее устройство, содержащее код компьютерной программы, исполняемый процессором. Процессор выполнен с возможностью предписывания сетевому элементу выполнять процедуру NAS в нескольких фазах для установления сеанса связи NAS между сетевым элементом и UE. Для первой фазы процедуры NAS процессор дополнительно выполнен с возможностью предписывания сетевому элементу принимать начальное сообщение NAS от UE, при этом начальное сообщение NAS заполняется поднабором IEs протокола NAS из IEs протокола NAS для процедуры NAS, которые предназначены для обработки, связанной с безопасностью. Процессор дополнительно выполнен с возможностью предписывания сетевому элементу обработать поднабор IEs протокола NAS, чтобы определить, что контекст безопасности NAS не существует для UE, выбрать алгоритм безопасности NAS для контекста безопасности NAS и отправить ответ на UE, который указывает алгоритм безопасности NAS и идентификатор набора ключей безопасности контекста безопасности NAS. Для второй фазы процедуры NAS процессор дополнительно выполнен с возможностью предписывания сетевому элементу принять последующее сообщение NAS от UE, содержащее контейнер сообщения NAS, который содержит начальное сообщение NAS, зашифрованное на основе алгоритма безопасности NAS, и дешифровать контейнер сообщения NAS последующего сообщения NAS, при этом начальное сообщение NAS, содержащееся в контейнере сообщения NAS последующего сообщения NAS, заполняется каждым из IEs протокола NAS для процедуры NAS.One embodiment comprises a mobile network network element. The network element includes a processor(s) and a storage device containing computer program code executable by the processor. The processor is configured to cause the network element to perform the NAS procedure in multiple phases to establish a NAS session between the network element and the UE. For the first phase of the NAS procedure, the processor is further configured to cause the network element to receive an initial NAS message from the UE, wherein the initial NAS message is populated with a subset of the NAS protocol IEs of the NAS protocol IEs for the NAS procedure that are intended for security-related processing. The processor is further configured to cause the network element to process a subset of the NAS protocol IEs to determine that a NAS security context does not exist for the UE, select a NAS security algorithm for the NAS security context, and send a response to the UE that indicates the NAS security algorithm and security key set identifier. NAS security context. For the second phase of the NAS procedure, the processor is further configured to cause the network element to receive a subsequent NAS message from the UE containing a NAS message container that contains an initial NAS message encrypted based on the NAS security algorithm, and decrypt the NAS message container of the subsequent NAS message, wherein the initial the NAS message contained in the NAS message container of the subsequent NAS message is filled in by each of the NAS protocol IEs for the NAS procedure.
В другом варианте осуществления для первой фазы поднабор IEs протокола NAS шифруется в начальном сообщении NAS с применением открытого ключа домашней сети связи общего пользования наземных мобильных объектов (Home Public Land Mobile Network - HPLMN) для UE. Процессор дополнительно выполнен с возможностью предписывания сетевому элементу инициировать дешифрование поднабора IEs протокола NAS.In another embodiment, for the first phase, a subset of the NAS protocol IEs is encrypted in the initial NAS message using the public key of the Home Public Land Mobile Network (HPLMN) for the UE. The processor is further configured to cause the network element to initiate decryption of the NAS protocol subset of IEs.
В другом варианте осуществления сетевой элемент содержит элемент функции управления доступом и мобильностью (AMF) мобильной сети.In another embodiment, the network element comprises an access and mobility management function (AMF) element of a mobile network.
В другом варианте осуществления процессор дополнительно выполнен с возможностью предписывания сетевому элементу отправить поднабор IEs протокола NAS в зашифрованном виде в элемент управления едиными данными (Unified Data Management - UDM) для дешифрования поднабора IEs протокола NAS на основе закрытого ключа HPLMN.In another embodiment, the processor is further configured to cause the network element to send the subset of the NAS protocol IEs in encrypted form to the Unified Data Management (UDM) element to decrypt the subset of the NAS protocol IEs based on the HPLMN private key.
В другом варианте осуществления начальное сообщение NAS содержит сообщение с запросом регистрации. Поднабор IEs протокола NAS, предназначенный для обработки, связанной с безопасностью, состоит из мобильного идентификатора для UE, возможности безопасности UE, индицирующей один или большее количество алгоритмов безопасности NAS, поддерживаемых UE, типа регистрации и идентификатора набора ключей безопасности для контекста безопасности NAS.In another embodiment, the initial NAS message contains a registration request message. A subset of NAS protocol IEs intended for security-related processing consists of a mobile identity for the UE, a UE security capability indicating one or more NAS security algorithms supported by the UE, a registration type, and a security keyset identifier for the NAS security context.
В другом варианте осуществления ответ содержит сообщение с командой режима безопасности, которое индицирует алгоритм безопасности NAS и идентификатор набора ключей безопасности, а последующее сообщение NAS, принятое от UE, содержит сообщение о выполнении режима безопасности, содержащее контейнер сообщения NAS, который содержит начальное сообщение NAS, зашифрованное на основе алгоритма безопасности NAS.In another embodiment, the response contains a security mode command message that indicates the NAS security algorithm and a security key set identifier, and the subsequent NAS message received from the UE contains a security mode progress message containing a NAS message container that contains an initial NAS message, encrypted using the NAS security algorithm.
В другом варианте осуществления мобильная сеть содержит сеть пятого поколения (Fifth-Generation - 5G).In another embodiment, the mobile network contains a fifth generation network (Fifth-Generation - 5G).
Другой вариант осуществления содержит способ выполнения процедуры NAS для установления сеанса связи NAS между UE и сетевым элементом мобильной сети. Для первой фазы процедуры NAS способ включает в себя прием начального сообщения NAS в сетевом элементе от UE, при этом начальное сообщение NAS заполняется поднабором IEs протокола NAS из IEs протокола NAS для процедуры NAS, которые предназначены для обработки, связанной с безопасностью. Кроме того, для первой фазы способ включает в себя обработку поднабора IEs протокола NAS в сетевом элементе для определения того, что контекст безопасности NAS не существует для UE, выбор алгоритма безопасности NAS в сетевом элементе для контекста безопасности NAS, и отправку ответа от сетевого элемента на UE, который индицирует алгоритм безопасности NAS и идентификатор набора ключей безопасности контекста безопасности NAS. Для второй фазы процедуры NAS способ включает в себя прием последующего сообщения NAS в сетевом элементе от UE, содержащего контейнер сообщения NAS, который содержит начальное сообщение NAS, зашифрованное на основе алгоритма безопасности NAS, и дешифрование контейнера сообщения NAS последующего сообщения NAS в сетевом элементе, при этом начальное сообщение NAS, содержащееся в контейнере сообщения NAS последующего сообщения NAS, заполняется каждым из IEs протокола NAS для процедуры NAS.Another embodiment comprises a method for performing a NAS procedure for establishing a NAS session between a UE and a mobile network network element. For the first phase of the NAS procedure, the method includes receiving an initial NAS message at the network element from the UE, wherein the initial NAS message is populated with a subset of the NAS protocol IEs of the NAS protocol IEs for the NAS procedure that are intended for security-related processing. Further, for the first phase, the method includes processing a subset of the NAS protocol IEs at the network element to determine that a NAS security context does not exist for the UE, selecting a NAS security algorithm at the network element for the NAS security context, and sending a response from the network element to UE that indicates the NAS security algorithm and the security key set identifier of the NAS security context. For the second phase of the NAS procedure, the method includes receiving a subsequent NAS message at the network element from the UE containing a NAS message container that contains an initial NAS message encrypted based on the NAS security algorithm, and decrypting the NAS message container of the subsequent NAS message at the network element, Here, the initial NAS message contained in the NAS message container of the subsequent NAS message is populated by each of the NAS protocol IEs for the NAS procedure.
В другом варианте осуществления для первой фазы поднабор IEs протокола NAS шифруется в начальном сообщении NAS с применением открытого ключа HPLMN для UE, и способ дополнительно включает в себя инициирование дешифрования поднабора IEs протокола NAS.In another embodiment, for the first phase, the NAS protocol IEs subset is encrypted in the initial NAS message using the UE's public key HPLMN, and the method further includes initiating decryption of the NAS protocol IEs subset.
В другом варианте осуществления сетевой элемент содержит элемент AMF мобильной сети, и этап инициирования дешифрования поднабора IEs протокола NAS включает в себя отправку поднабора IEs протокола NAS в зашифрованном виде в элемент UDM для дешифровки поднабора IEs протокола NAS на основе закрытого ключа HPLMN.In another embodiment, the network element comprises a mobile network AMF, and the act of initiating decryption of the NAS protocol IEs subset includes sending the encrypted NAS protocol IEs subset to the UDM to decrypt the NAS protocol IEs subset based on the HPLMN private key.
В другом варианте осуществления начальное сообщение NAS содержит сообщение с запросом регистрации, и поднабор IEs протокола NAS, предназначенный для обработки, связанной с безопасностью, состоит из мобильного идентификатора для UE, возможности безопасности UE, индицирующей один или большее количество алгоритмов безопасности NAS, поддерживаемых UE, типа регистрации и идентификатора набора ключей безопасности для контекста безопасности NAS.In another embodiment, the initial NAS message contains a registration request message, and the subset of NAS protocol IEs intended for security-related processing consists of a mobile identity for the UE, a UE security capability indicating one or more NAS security algorithms supported by the UE, the registration type and security keyring ID for the NAS security context.
В другом варианте осуществления ответ содержит сообщение с командой режима безопасности, которое индицирует алгоритм безопасности NAS и идентификатор набора ключей безопасности, а последующее сообщение NAS, принятое от UE, содержит сообщение о выполнении режима безопасности, содержащее контейнер сообщения NAS, который содержит начальное сообщение NAS, зашифрованное на основе алгоритма безопасности NAS.In another embodiment, the response contains a security mode command message that indicates the NAS security algorithm and a security key set identifier, and the subsequent NAS message received from the UE contains a security mode progress message containing a NAS message container that contains an initial NAS message, encrypted using the NAS security algorithm.
В другом варианте осуществления для первой фазы процедуры NAS способ включает в себя следующие этапы на UE: идентификация поднабора IEs протокола NAS для процедуры NAS, которые предназначены для обработки, связанной с безопасностью, вставка поднабора IEs протокола NAS в начальное сообщении NAS, отправка начального сообщения NAS от UE сетевому элементу и прием ответа от сетевого элемента, который индицирует алгоритм безопасности NAS и идентификатор набора ключей безопасности для контекста безопасности NAS. Для второй фазы процедуры NAS способ включает в себя следующие этапы на UE: вставка IEs протокола NAS для процедуры NAS в начальное сообщение NAS, вставку начального сообщения NAS в контейнер сообщения NAS последующего сообщения NAS, шифрование контейнера сообщения NAS последующего сообщения NAS с применением алгоритма безопасности NAS и отправка последующего сообщения NAS от UE сетевому элементу.In another embodiment, for the first phase of the NAS procedure, the method includes the following steps at the UE: identifying a subset of NAS protocol IEs for the NAS procedure that are intended for security-related processing, inserting the subset of NAS protocol IEs in an initial NAS message, sending an initial NAS message from the UE to the network element; and receiving a response from the network element that indicates the NAS security algorithm and a security key set identifier for the NAS security context. For the second phase of the NAS procedure, the method includes the following steps at the UE: inserting the NAS protocol IEs for the NAS procedure into the initial NAS message, inserting the initial NAS message into the NAS message container of the subsequent NAS message, encrypting the NAS message container of the subsequent NAS message using the NAS security algorithm and sending a subsequent NAS message from the UE to the network element.
В другом варианте осуществления для первой фазы способ дополнительно включает в себя шифрование в UE поднабора IEs протокола NAS в начальном сообщении NAS с применением открытого ключа HPLMN для UE.In another embodiment, for the first phase, the method further includes encrypting at the UE a subset of the NAS protocol IEs in the initial NAS message using the UE's public key HPLMN.
Другой вариант осуществления содержит UE, который содержит процессор(ы) и запоминающее устройство, содержащее код компьютерной программы, исполняемый процессором. Процессор выполнен с возможностью предписывания UE инициировать процедуру NAS в нескольких фазах для установления сеанса связи NAS между UE и сетевым элементом мобильной сети. Для первой фазы процедуры NAS процессор дополнительно выполнен с возможностью предписывания UE идентифицировать из IEs протокола NAS для процедуры NAS поднабор IEs протокола NAS, которые предназначены для обработки, связанной с безопасностью. Процессор дополнительно выполнен с возможностью предписывания UE вставлять поднабор IEs протокола NAS в начальное сообщение NAS, отправлять начальное сообщение NAS сетевому элементу и получать ответ от сетевого элемента, который индицирует алгоритм безопасности NAS и идентификатор набора ключей безопасности для контекста безопасности NAS. Для второй фазы процедуры NAS процессор дополнительно выполнен с возможностью предписывания UE вставлять IEs протокола NAS для процедуры NAS в начальное сообщение NAS, вставлять начальное сообщение NAS в контейнер сообщения NAS последующего сообщения NAS, шифровать контейнер сообщения NAS последующего сообщения NAS с применением алгоритма безопасности NAS и отправлять последующее сообщение NAS сетевому элементу.Another embodiment includes a UE that includes a processor(s) and a memory containing computer program code executable by the processor. The processor is configured to cause the UE to initiate a NAS procedure in multiple phases to establish a NAS session between the UE and the mobile network element. For the first phase of the NAS procedure, the processor is further configured to cause the UE to identify, from the NAS protocol IEs for the NAS procedure, a subset of the NAS protocol IEs that are for security-related processing. The processor is further configured to cause the UE to insert a subset of the NAS protocol IEs in the NAS initial message, send the NAS initial message to the network element, and receive a response from the network element that indicates the NAS security algorithm and the security key set identifier for the NAS security context. For the second phase of the NAS procedure, the processor is further configured to cause the UE to insert the NAS protocol IEs for the NAS procedure into the initial NAS message, insert the initial NAS message into the NAS message container of the subsequent NAS message, encrypt the NAS message container of the subsequent NAS message using the NAS security algorithm, and send subsequent NAS message to the NE.
В другом варианте осуществления для первой фазы процессор дополнительно выполнен с возможностью предписывания UE шифровать поднабор IEs протокола NAS в начальном сообщении NAS с применением открытого ключа HPLMN для UE.In another embodiment, for the first phase, the processor is further configured to cause the UE to encrypt a subset of the NAS protocol IEs in the initial NAS message using the UE's public key HPLMN.
В другом варианте осуществления процессор дополнительно выполнен с возможностью предписывания UE шифровать поднабор IEs протокола NAS в начальном сообщении NAS с применением открытого ключа, когда UE содержит открытый ключ, запрограммированный в модуле идентификации абонента UMTS (UMTS Subscriber Identity Module - USIM), и отправлять начальное сообщение NAS сетевому элементу без шифрования поднабора IEs протокола NAS в начальном сообщении NAS, когда UE не содержит открытого ключа, запрограммированного в USIM.In another embodiment, the processor is further configured to cause the UE to encrypt a subset of the NAS protocol IEs in the initial NAS message using the public key when the UE has the public key programmed in the UMTS Subscriber Identity Module (USIM) and send the initial message NAS to the NE without encrypting the NAS protocol subset of IEs in the initial NAS message when the UE does not have a public key programmed into the USIM.
В другом варианте осуществления начальное сообщение NAS содержит сообщение с запросом регистрации, а поднабор IEs протокола NAS, предназначенный для обработки, связанной с безопасностью, состоит из мобильного идентификатора для UE, возможности безопасности UE, индицирующей один или большее количество алгоритмов безопасности NAS, поддерживаемых UE, типа регистрации и идентификатора набора ключей безопасности для контекста безопасности NAS.In another embodiment, the initial NAS message contains a registration request message, and a subset of NAS protocol IEs intended for security-related processing consists of a mobile identity for the UE, a UE security capability indicating one or more NAS security algorithms supported by the UE, the registration type and security keyring ID for the NAS security context.
В другом варианте осуществления процессор выполнен с возможностью предписывания UE шифровать поднабор IEs протокола NAS в начальном сообщении NAS с применением открытого ключа HPLMN для UE, когда тип регистрации не индицирует экстренного случая, и отправлять начальное сообщение NAS сетевому элементу без шифрования поднабора IEs протокола NAS в начальном сообщении NAS, когда тип регистрации индицирует экстренный случай.In another embodiment, the processor is configured to cause the UE to encrypt the NAS protocol IEs subset in the initial NAS message using the UE's public key HPLMN when the registration type does not indicate an emergency, and send the NAS initial message to the network element without encrypting the NAS protocol IEs subset in the initial NAS message when the log type indicates an emergency.
В другом варианте осуществления ответ содержит сообщение с командой режима безопасности, которое индицирует алгоритм безопасности NAS и идентификатор набора ключей безопасности, а последующее сообщение NAS содержит сообщение о выполнении режима безопасности, содержащее контейнер сообщения NAS, который содержит начальное сообщение NAS, зашифрованное на основе алгоритма безопасности NAS.In another embodiment, the response contains a security mode command message that indicates the NAS security algorithm and security key set identifier, and the subsequent NAS message contains a security mode completion message containing a NAS message container that contains the initial NAS message encrypted based on the security algorithm NAS.
Другой вариант осуществления содержит сетевой элемент мобильной сети. Сетевой элемент содержит средство для предписывания сетевому элементу выполнять процедуру NAS в нескольких фазах для установления сеанса связи NAS между сетевым элементом и UE. Для первой фазы процедуры NAS сетевой элемент содержит средство для приема начального сообщения NAS от UE, при этом начальное сообщение NAS заполняется поднабором IEs протокола NAS из IEs протокола NAS для процедуры NAS, которые предназначены для обработки, связанной с безопасностью. Сетевой элемент дополнительно содержит средство для обработки поднабора IEs протокола NAS, чтобы определить, что контекст безопасности NAS не существует для UE, средство для выбора алгоритма безопасности NAS для контекста безопасности NAS и средство для отправки ответа на UE, который указывает алгоритм безопасности NAS и идентификатор набора ключей безопасности контекста безопасности NAS. Для второй фазы процедуры NAS сетевой элемент дополнительно содержит средство для приема последующего сообщения NAS от UE, содержащего контейнер сообщения NAS, который содержит начальное сообщение NAS, зашифрованное на основе алгоритма безопасности NAS, и средство для дешифрования контейнера сообщения NAS последующего сообщения NAS, при этом начальное сообщение NAS, содержащееся в контейнере сообщения NAS последующего сообщения NAS, заполняется каждым из IEs протокола NAS для процедуры NAS.Another embodiment comprises a mobile network network element. The network element includes means for causing the network element to perform a NAS procedure in multiple phases to establish a NAS session between the network element and the UE. For the first phase of the NAS procedure, the network element comprises means for receiving an initial NAS message from the UE, wherein the initial NAS message is populated with a subset of the NAS protocol IEs of the NAS protocol IEs for the NAS procedure that are intended for security-related processing. The network element further comprises means for processing a subset of NAS protocol IEs to determine that a NAS security context does not exist for the UE, means for selecting a NAS security algorithm for the NAS security context, and means for sending a response to the UE that specifies the NAS security algorithm and set identifier. security keys of the NAS security context. For the second phase of the NAS procedure, the network element further comprises means for receiving a subsequent NAS message from the UE, comprising a NAS message container that contains an initial NAS message encrypted based on the NAS security algorithm, and means for decrypting the NAS message container of the subsequent NAS message, wherein the initial the NAS message contained in the NAS message container of the subsequent NAS message is filled in by each of the NAS protocol IEs for the NAS procedure.
Приведенная выше сущность изобретения дает общее представление о некоторых аспектах данного описания изобретения. Эта сущность изобретения не является подробным обзором описания изобретения. Она не предназначена ни для идентификации ключевых или критических элементов описания изобретения, ни для очерчивания какого-либо объема конкретных вариантов осуществления описания изобретения или любого объема формулы изобретения. Ее единственная цель состоит в том, чтобы представить некоторые концепции описания изобретения в упрощенной форме в качестве вводной части к более подробному описанию, изложенному ниже.The above summary of the invention gives an overview of some aspects of this description of the invention. This summary of the invention is not a detailed overview of the description of the invention. It is intended neither to identify key or critical elements of the specification nor to delineate any scope of specific embodiments of the specification or any scope of the claims. Its sole purpose is to present some of the concepts of the description of the invention in a simplified form as an introduction to the more detailed description below.
Краткое описание графических материаловBrief description of graphic materials
Некоторые варианты осуществления данного изобретения теперь будут описаны исключительно в качестве примера со ссылкой на сопроводительные графические материалы. Один и тот же ссылочный номер представляет один и тот же элемент или один и тот же тип элемента на всех графических материалах.Some embodiments of the present invention will now be described solely by way of example with reference to the accompanying drawings. The same reference number represents the same element or the same type of element in all drawings.
Фиг. 1 иллюстрирует мобильную сеть в иллюстративном варианте осуществления.Fig. 1 illustrates a mobile network in an exemplary embodiment.
Фиг. 2 иллюстрирует сеть с усовершенствованным пакетным ядром (Evolved Packet Core - ЕРС).Fig. 2 illustrates an Evolved Packet Core (EPC) network.
Фиг. 3 иллюстрирует нероуминговую архитектуру сети следующего поколения.Fig. 3 illustrates a non-roaming next generation network architecture.
Фиг. 4 иллюстрирует роуминговую архитектуру сети следующего поколения.Fig. 4 illustrates the roaming architecture of the next generation network.
Фиг. 5 иллюстрирует стек протоколов радиосвязи.Fig. 5 illustrates the radio protocol stack.
Фиг. 6 представляет собой блок-схему UE в иллюстративном варианте осуществления.Fig. 6 is a block diagram of a UE in an exemplary embodiment.
Фиг. 7 представляет собой блок-схему сетевого элемента в иллюстративном варианте осуществления.Fig. 7 is a block diagram of a network element in an exemplary embodiment.
Фиг. 8 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры NAS в UE в иллюстративном варианте осуществления.Fig. 8 is a flowchart illustrating a method for performing a NAS procedure at a UE in an exemplary embodiment.
Фиг. 9 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры NAS в сетевом элементе в иллюстративном варианте осуществления.Fig. 9 is a flowchart illustrating a method for performing a NAS procedure in a network element in an exemplary embodiment.
Фиг. 10 представляет собой схему сообщения, показывающую процедуру NAS, когда UE не имеет контекста безопасности в иллюстративном варианте осуществления.Fig. 10 is a message diagram showing a NAS procedure when a UE does not have a security context in an exemplary embodiment.
Фиг.11 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры NAS в UE 110 в другом иллюстративном варианте осуществления.11 is a flowchart illustrating a method for performing a NAS procedure at
Фиг. 12 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры NAS в сетевом элементе в другом иллюстративном варианте осуществления.Fig. 12 is a flowchart illustrating a method for performing a NAS procedure at a network element in another exemplary embodiment.
Фиг. 13 представляет собой схему сообщения, показывающую процедуру NAS, когда UE не имеет контекста безопасности в иллюстративном варианте осуществления.Fig. 13 is a message diagram showing a NAS procedure when a UE does not have a security context in an exemplary embodiment.
Фиг. 14 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры NAS в UE в другом иллюстративном варианте осуществления.Fig. 14 is a flowchart illustrating a method for performing a NAS procedure at a UE in another exemplary embodiment.
Фиг. 15 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры NAS в сетевом элементе в другом иллюстративном варианте осуществления.Fig. 15 is a flowchart illustrating a method for performing a NAS procedure at a network element in another exemplary embodiment.
Фиг. 16 представляет собой схему сообщения, показывающую процедуру регистрации NAS, когда UE имеет действительный контекст безопасности в иллюстративном варианте осуществления.Fig. 16 is a message diagram showing the NAS registration procedure when the UE has a valid security context in an exemplary embodiment.
Фиг. 17 представляет собой схему сообщения, показывающую процедуру запроса услуги NAS, когда UE имеет действительный контекст безопасности в иллюстративном варианте осуществления.Fig. 17 is a message diagram showing a procedure for requesting a NAS service when a UE has a valid security context in an exemplary embodiment.
Фиг. 18 представляет собой схему сообщения, показывающую процедуру дерегистрации NAS, когда UE имеет действительный контекст безопасности в иллюстративном варианте осуществления.Fig. 18 is a message diagram showing the NAS de-registration procedure when the UE has a valid security context in an exemplary embodiment.
Фиг. 19А-19В представляют собой схему последовательности операций, иллюстрирующую способ выполнения процедуры NAS в UE в иллюстративном варианте осуществления.Fig. 19A-19B are a flowchart illustrating a method for performing a NAS procedure at a UE in an exemplary embodiment.
Фиг. 20 представляет собой схему последовательности операций, иллюстрирующую способ выполнения процедуры NAS в сетевом элементе в иллюстративном варианте осуществления.Fig. 20 is a flowchart illustrating a method for performing a NAS procedure in a network element in an exemplary embodiment.
Фиг. 21 представляет собой схему сообщения, показывающую процедуру регистрации NAS, когда UE имеет контекст безопасности NAS, но контекст безопасности NAS является недействительным или является ненайденным в иллюстративном варианте осуществления.Fig. 21 is a message diagram showing a NAS registration procedure when a UE has a NAS security context, but the NAS security context is invalid or not found in the exemplary embodiment.
Фиг. 22 представляет собой схему сообщения, показывающую процедуру запроса услуги NAS, когда UE имеет контекст безопасности NAS, но контекст безопасности NAS является недействительным или является ненайденным в иллюстративном варианте осуществления.Fig. 22 is a message diagram showing a procedure for requesting a NAS service when a UE has a NAS security context, but the NAS security context is invalid or not found in the exemplary embodiment.
Описание вариантов осуществленияDescription of Embodiments
Указанные фигуры и нижеследующее описание иллюстрируют конкретные представленные в качестве примера варианты осуществления. Таким образом, будет принято во внимание, что специалисты в данной области техники смогут разработать различные устройства, которые, хотя явно не описаны или показаны в данном документе, воплощают принципы вариантов осуществления и включены в объем вариантов осуществления. Кроме того, любые описанные в данном документе примеры предназначены для помощи в понимании принципов вариантов осуществления и должны толковаться как не ограничивающие такие конкретно перечисленные примеры и условия. В результате концепция (идеи) изобретения не ограничивается конкретными вариантами осуществления или примерами, описанными ниже, но формулой изобретения и ее эквивалентами.These figures and the following description illustrate specific exemplary embodiments. Thus, it will be appreciated that those skilled in the art will be able to develop various devices that, although not expressly described or shown herein, embody the principles of the embodiments and are included within the scope of the embodiments. In addition, any examples described herein are intended to assist in understanding the principles of the embodiments and should be construed as not limiting such specifically listed examples and conditions. As a result, the concept (ideas) of the invention is not limited to the specific embodiments or examples described below, but by the claims and their equivalents.
Фиг. 1 иллюстрирует мобильную сеть 100 в иллюстративном варианте осуществления. Мобильная сеть 100 (также называемая сотовой сетью) представляет собой тип сети, в которой последняя линия связи является беспроводной, и предоставляет речевые услуги и/или услуги передачи данных совокупности устройств. Мобильная сеть 100 может быть сетью третьего поколения (Third Generation - 3G), четвертого поколения (Fourth Generation - 4G) и/или сетью следующего поколения (например, пятого поколения (5G)).Fig. 1 illustrates a
Мобильная сеть 100 проиллюстрирована как предоставляющая услуги связи для UE 110 (вместе с другими UE, которые не показаны). UE 110 могут быть задействованы для речевых услуг, услуг передачи данных, межмашинных услуг (Machine-to-Machine - М2М) или услуг связи машинного типа (Machine Type Communication - МТС) и/или других услуг. UE 110 может быть устройством конечного пользователя, таким как мобильный телефон (например, смартфон), планшет или PDA, компьютер с адаптером мобильной широкополосной связи и т.д.
Мобильная сеть 100 содержит одну или большее количество сетей 120 с радиодоступом (RAN), которые обмениваются данными с UE 110 через радиоинтерфейс 122. RAN 120 может поддерживать доступ к сети усовершенствованного универсального наземного радиодоступа (Evolved-UMTS Terrestrial Radio Access Network - E-UTRAN), доступ к беспроводной локальной сети (Wireless Local Area Network - WLAN), фиксированный доступ, спутниковый радиодоступ, новые технологии радиодоступа (Radio Access TechnologlEs - RAT) и т.д. В качестве примера, RAN 120 может содержать E-UTRAN или RAN следующего поколения (Next Generation RAN - NG-RAN), которая содержит одну или большее количество базовых станций 124, рассредоточенных по географической области. Базовая станция 124 может содержать объект, который применяет технологию радиосвязи для связи с UE в лицензированном спектре и сопряжения UE с опорной сетью. Базовые станции 124 в E-UTRAN называются усовершенствованными узлами В (Evolved-NodeBs - eNodeB). Базовые станции 124 в NG-RAN называются как gNodeB (базовые станции NR) и/или ng-eNodeB (базовые станции LTE, поддерживающие опорную сеть 5G). В качестве другого примера RAN 120 может содержать WLAN, которая содержит одну или большее количество точек 125 беспроводного доступа (Wireless Access Points - WAP). WLAN представляет собой сеть, в которой UE может подключаться к локальной сети (Local Area Network - LAN) через беспроводное (радио) соединение. WAP 125 представляет собой узел, который применяет технологию радиосвязи для связи с UE в нелицензированном спектре и обеспечивает доступ UE к опорной сети. Одним из примеров WAP 125 является точка доступа Wi-Fi, которая работает в радио диапазонах 2,4 ГГц или 5 ГГц. Используемый в данном документе термин «базовая станция» может относиться к eNodeB, gNodeB, ng-eNodeB, WAP и т.д.
UE 110 имеют возможность подключения к соте 126 RAN 120 для доступа к опорной сети 130. Таким образом, RAN 120 представляет собой радиоинтерфейс между UE 110 и базовой сетью 130. Опорная сеть 130 является центральной частью мобильной сети 100, которая предоставляет различные услуги клиентам, подключенным с помощью RAN 120. Одним из примеров опорной сети 130 является сеть с усовершенствованным пакетным ядром (ЕРС), предложенная 3GPP для LTE. Другим примером опорной сети 130 является опорная сеть 5G, предложенная 3GPP. Опорная сеть 130 содержит сетевые элементы 132, которые могут содержать серверы, устройства, аппараты или оборудование (включая аппаратное обеспечение), которые предоставляют услуги для UE 110. Сетевые элементы 132 в сети ЕРС могут содержать объект управления мобильностью (ММЕ), обслуживающий шлюз (Serving Gateway - S-GW), шлюз сети пакетной передачи данных (Packet Data Network Gateway - P-GW) и т.д. Сетевые элементы 132 в сети 5G могут содержать функцию управления доступом и мобильностью (AMF), функцию управления сеансом (Session Management Function - SMF), функцию управления политиками (Policy Control Function - PCF), функцию приложения (Application Function - AF), функцию плоскости пользователя (User Plane Function - UPF), и т.д.
Фиг. 2 иллюстрирует сеть 200 с усовершенствованным пакетным ядром (ЕРС), которая является опорной сетью для LTE. Сеть 200 ЕРС содержит объект 214 управления мобильностью (ММЕ), обслуживающий шлюз (S-GW) 215, шлюз 216 сети пакетной передачи данных (P-GW), домашний абонентский сервер (Home Subscriber Server - HSS) 217, а также функцию 218 политики и правил тарификации (Policy and Charging Rules Function - PCRF), но может содержать другие не показанные элементы, такие как серверы приложений подсистемы мультимедиа IP (IP Multimedia Subsystem - IMS). В сети 200 ЕРС данные пользователя (также называемые «плоскостью пользователя») и сигнализация (также называемая «плоскостью управления») разделены. ММЕ 214 обрабатывает плоскость управления в сети 200 ЕРС.Например, ММЕ 214 обрабатывает сигнализацию, относящуюся к мобильности и безопасности для доступа E-UTRAN. ММЕ 214 отвечает за отслеживание и поисковый вызов UE 110 в режиме ожидания. S-GW 215 и P-GW 216 обрабатывают плоскость пользователя. S-GW 215 и P-GW 216 транспортируют трафик данных между UE 110 и внешними сетями 240 передачи данных (DN или сеть пакетной передачи данных (Packet Data Network - PDN)). S-GW 215 является точкой межсоединения между радиостороной и сетью 200 ЕРС и обслуживает UE 110 путем маршрутизации входящих и исходящих IP-пакетов. S-GW 215 также является точкой привязки для мобильности внутри LTE (то есть в случае хендовера между eNodeB) и между LTE и другими доступами от 3GPP. P-GW 216 является точкой межсоединения между сетью 200 ЕРС и внешними сетями 240 передачи данных (то есть точкой входа или выхода для сети 240 передачи данных) и маршрутизирует пакеты в сеть 240 передачи данных и из нее. HSS 217 представляет собой базу данных, в которой хранится информация, относящаяся к пользователям и относящаяся к подписчикам. PCRF 218 обеспечивает решение для управления политикой и тарификацией (Policy and Charging Control - PCC) в сети ЕРС 200 и является узлом или объектом сети 200 ЕРС, который формулирует правила РСС для услуг, запрашиваемых конечным пользователем.Fig. 2 illustrates an Evolved Packet Core (EPC)
ММЕ 214 подсоединяется к RAN 120 (т.е. eNodeB) через интерфейс S1-MME, а S-GW 215 подсоединяется к RAN 120 через интерфейс S1-U. ММЕ 214 подсоединяется к S-GW 215 через интерфейс S11, и подсоединяется к HSS 217 через интерфейс S6a. PCRF 218 подсоединяется к P-GW 216 через интерфейс Gx, который обеспечивает передачу политики и правил тарификации от PCRF 218 к функции принудительного установления политики и тарификации (Policy and Charging Enforcement Function - PCEF) в P-GW 216. PCRF 218 подсоединяется к S-GW 215 через интерфейс Gxx, a S-GW 215 подсоединяется к P-GW 216 через интерфейс S5.
Фиг. 3 иллюстрирует нероуминговую архитектуру 300 сети следующего поколения. Архитектура на фиг. 3 является представлением опорной точки, как дополнительно описано в документе 3GPP TS 23.501 (v!5.3.0), который полностью включен в данный документ посредством ссылки. Архитектура 300 состоит из сетевых функций (Network Function - NF) для опорной сети, а сетевые функции для плоскости управления отделены от плоскости пользователя. Плоскость управления опорной сети содержит функцию 310 сервера аутентификации (Authentication Server Function - AUSF), управление 312 едиными данными (UDM), функцию 313 выбора сетевого сегмента (Network Slice Selection Function - NSSF), функцию 314 управления доступом и мобильностью (AMF), функцию 316 управления сеансом (Session Management Function - SMF), функцию 318 управления политикой (PCF) и функцию 320 приложения (AF). Плоскость пользователя опорной сети содержит одну или большее количество функций 324 плоскости пользователя (UPF), которые обмениваются данными с сетью 240 передачи данных. UE 110 может получить доступ к плоскости управления и плоскости пользователя опорной сети через (R)AN 120.Fig. 3 illustrates a non-roaming next
AUSF 310 выполнена с возможностью поддержки аутентификации UE 110. UDM 312 выполнено с возможностью хранения данных/информации подписки для UE 110. UDM 312 может хранить три типа данных пользователя: подписку, политику и контекст, связанный с сеансом (например, местоположение UE). AMF 314 выполнена с возможностью обеспечения аутентификации на основе UE, авторизации, управления мобильностью и т.д. SMF 316 выполнена с возможностью обеспечения следующих функций: управление сеансом (session management - SM), выделение и управление адреса Интернет протокола (Internet Protocol - IP) UE, выбор и управление UPF, завершение интерфейсов к PCF 318, часть управления принудительным установлением политик и качества обслуживания (Quality of Service - QoS), полицейский перехват, завершение SM частей сообщений NAS, уведомление о данных нисходящей линии связи (Downlink Data Notification - DNN), функция роуминга, обработка локального принудительного применения для применения QoS для соглашений об уровне обслуживания (Service Level Agreement - SLA), сбор данных о тарификации и интерфейс тарификации, и т.д. Если UE 110 имеет несколько сеансов, разные SMF могут быть выделены каждому сеансу, чтобы управлять ими индивидуально и, возможно, обеспечивать разные функции для каждого сеанса. PCF 318 выполнена с возможностью поддержки инфраструктуры единой политики для управления поведением сети и предоставления правил политики для функций плоскости управления для принудительного установления QoS, тарификации, управления доступом, маршрутизации трафика и т.д. AF 320 предоставляет информацию о потоке пакетов в PCF 318. PCF 318 выполнена с возможностью определения на основе указанной информации правил политики в отношении мобильности и управления сеансом, чтобы AMF 314 и SMF 316 работали должным образом.
UPF 324 поддерживает различные операции и функции плоскости пользователя, такие как маршрутизация и пересылка пакетов, обработка трафика (например, принудительное установление QoS), точка привязки для мобильности Intra-RAT/Inter-RAT (если применимо), проверка пакетов и принудительное установление правил политики, полицейский перехват (сбор UP), учет трафика и отчетность и т.д. Сеть 240 передачи данных не является частью опорной сети и обеспечивает доступ в Интернет, услуги оператора, услуги 3-их лиц и т.д. Например, Международный союз электросвязи (International Telecommunication Union - ITU) классифицировал услуги мобильной сети 5G по трем категориям: расширенная мобильная широкополосная связь (Enhanced Mobile Broadband - еМВВ), сверхнадежная связь с малой задержкой (Ultra-reliable and Low-Latency Communications - uRLLC) и массовая связь машинного типа (Massive Machine Type Communications - mMTC) или массовый Интернет вещей (Massive Internet of Things - MIoT). еМВВ фокусируется на услугах, требующих высокой пропускной способности, таких как HD-видео, виртуальная реальность (Virtual Reality - VR) и дополненная реальность (Augmented Reality - AR). uRLLC фокусируется на услугах, чувствительных к задержкам, таких как автоматизированное вождение и удаленное управление. mMTC и MIoT фокусируются на услугах, которые содержат высокие требования к плотности подключения, таких как умный город и умное сельское хозяйство. Сеть 240 передачи данных может быть выполнена с возможностью предоставления этих и других услуг.
Архитектура 300 содержит следующие опорные точки. Опорная точка N1 реализована между UE 110 и AMF 314. Опорная точка N2 реализована между (R)AN 120 и AMF 314. Опорная точка N3 реализована между (R)AN 120 и UPF 324. Опорная точка N4 реализована между SMF 316 и UPF 324. Опорная точка N5 реализована между PCF 318 и AF 320. Опорная точка N6 реализована между UPF 324 и сетью 240 передачи данных. Опорная точка N7 реализована между SMF 316 и PCF 318. Опорная точка N8 реализована между UDM 312 и AMF 314. Опорная точка N9 реализована между двумя UPF 324. Опорная точка N10 реализована между UDM 312 и SMF 316. Опорная точка N11 реализована между AMF 314 и SMF 316. Опорная точка N12 реализована между AMF 314 и AUSF 310. Опорная точка N13 реализована между UDM 312 и AUSF 310. Опорная точка N14 реализована между двумя AMF. Опорная точка N15 реализована между PCF 318 и AMF 314 в случае нероумингового сценария. Опорная точка N22 реализована между NSSF 313 и AMF 314.
Фиг. 4 иллюстрирует роуминговую архитектуру 400 сети следующего поколения. Архитектура на фиг. 4 является сценарием локального прорыва в представлении опорной точки, как дополнительно описано в 3GPP TS 23.501 (vl5.3.0). В сценарии роуминга показаны гостевая сеть опорной наземной сети мобильной связи общего пользования (Visited Public Land Mobile Network - VPLMN) 402 и домашняя PLMN (HPLMN) 404. HPLMN 404 идентифицирует PLMN, в которой хранится профиль мобильного абонента. VPLMN представляет собой PLMN, по которой мобильный абонент перешел в роуминг при выходе из своей HPLMN. Пользователи, переходящие в роуминг в другие сети, будут принимать информацию о подписке от HPLMN 404. В сценарии локального прорыва PCF 318 (hPCF), UDM 312 и AUSF 310 находятся в HPLMN 404 для UE 110. Другие сетевые функции, содержащие посещаемый PCF (visited PCF - vPCF) 418, находятся в VPLMN 402.Fig. 4 illustrates a next generation
Фиг. 5 иллюстрирует стек 500 протоколов радиосвязи, например, для радиоинтерфейса 122. Как описано в данном документе, плоскость 512 пользователя содержит набор протоколов, применяемых для передачи фактических данных пользователя через сеть, а плоскость 514 управления содержит протоколы, применяемые для управления и установления пользовательских соединений и каналов в сети. Для плоскости 512 пользователя и плоскости 514 управления стек 500 протоколов радиосвязи содержит физический (PHY) уровень 501, уровень 502 управления доступом к среде передачи (Medium Access Control - MAC), уровень 503 управления линией радиосвязи (Radio Link Control - RLC) и уровень 504 протокола конвергенции пакетных данных (Packet Data Convergence Protocol - PDCP). Плоскость 514 управления дополнительно содержит уровень 505 управления радиоресурсами (Radio Resource Control - RRC) и уровень 506 слоя без доступа (NAS).Fig. 5 illustrates a
Физический уровень 501 переносит всю информацию из транспортных каналов MAC по радиоинтерфейсу. Данные и сообщения сигнализации переносятся по физическим каналам между различными уровнями физического уровня 501. Физические каналы делятся на физические каналы данных и физические каналы управления. Физические каналы данных могут включать в себя физический совместно используемый канал нисходящей линии связи (Physical Downlink Shared Channel - PDSCH), физический канал широковещательной передачи (Physical Broadcast Channel - PBCH), физический многоадресный канал (РМСН), физический совместно используемый канал восходящей линии связи (Physical Uplink Shared Channel - PUSCH) и физический канал произвольного доступа (Physical Random Access Channel - PRACH). Физические каналы управления могут включать в себя физический канал индикатора управления форматом (Physical Control Format Indicator Channel - PCFICH), физический канал индикатора гибридного ARQ (PHICH), физический канал управления нисходящей линией связи (Physical Downlink Control Channel - PDCCH) и физический канал управления восходящей линией связи (Physical Uplink Control Channel - PUCCH).The
Уровень 502 MAC отвечает за отображение между логическими каналами и транспортными каналами, мультиплексирование блоков служебных данных (Service Data Unit - SDU) MAC из одного или разных логических каналов в транспортные блоки (transport block - ТВ), которые будут доставлены на физический уровень по транспортным каналам, демультиплексирование SDU MAC из одного или разных логических каналов из транспортных блоков, доставленных с физического уровня по транспортным каналам, сообщение информации о планировании, исправление ошибок с помощью гибридного автоматического запроса на повторение (Hybrid Automatic Repeat Request - HARQ), обработка приоритетов между UE посредством динамического планирования, обработка приоритетов между логическими каналами одного UE и приоритизация логических каналов. Уровень 503 RLC отвечает за передачу блоков протокольных данных (Protocol Data Unit - PDU) верхнего уровня, исправление ошибок посредством ARQ и конкатенацию, сегментацию и повторную сборку SDU RLC. Уровень 503 RLC также отвечает за повторную сегментацию данных PDU RLC, переупорядочение данных PDU RLC, обнаружение дублирования, сброс SDU RLC, повторное установление RLC и обнаружение ошибок протокола. Уровень 504 PDCP отвечает за сжатие заголовка и декомпрессию IP-данных, передачу данных (плоскость пользователя или плоскость управления), поддержание порядковых номеров (Sequence Number - SN) PDCP, последовательную доставку PDU верхнего уровня при повторном установлении нижних уровней, дублированное устранение SDU нижнего уровня при повторном установлении нижних уровней для радиоканалов, отображенных в режиме подтверждения (Acknowledged Mode -AM) RLC, шифрование и дешифрование данных плоскости пользователя и данных плоскости управления, защита целостности и проверка целостности данных плоскости управления, отбрасывание на основе таймера, дублирование отбрасывания и т.д. Уровень 505 RRC отвечает за широковещательную передачу системной информации, относящейся к NAS, широковещательную передачу системной информации, относящейся к слою доступа (AS), поисковый вызов, установление, поддержание и освобождение соединения RRC между UE и RAN, функции безопасности, включающие управление ключами, установление, конфигурацию, поддержание и освобождение двухточечных радиоканалов (Radio Bearer - RB). Уровень 506 NAS представляет наивысший слой плоскости 514 управления между UE и опорной сетью (например, MME/AMF) и поддерживает мобильность UE и процедуры управления сеансом для установления и поддержания IP-соединения между UE и опорной сетью.
Одной из задач сетей является повысить общую безопасность системы. Особую озабоченность вызывает защита безопасности сообщений NAS. В вариантах осуществления, описанных в данном документе, UE 110 и сетевой элемент 132 усовершенствованы для обеспечения дополнительной защиты безопасности сообщений NAS.One of the objectives of networks is to improve the overall security of the system. Of particular concern is protecting the security of NAS messages. In the embodiments described herein,
Фиг. 6 представляет собой блок-схему UE 110 в иллюстративном варианте осуществления. UE 110 содержит компонент 602 радиоинтерфейса, один или большее количество процессоров 604, запоминающее устройство 606, компонент 608 пользовательского интерфейса и батарею 610. Компонент 602 радиоинтерфейса представляет собой аппаратный компонент, который представляет локальные радиоресурсы UE 110, такие как RF-блок 620 (например, приемопередатчик) и одна или большее количество антенн 622, применяемых для беспроводной связи с базовой станцией (например, базовой станцией 124) через радио или «эфирные» сигналы. Процессор 604 представляет собой внутреннюю схему, логику, аппаратное обеспечение, программное обеспечение и т.д., которые обеспечивают функции UE 110. Процессор 604 может быть выполнен с возможностью исполнения инструкций 640 для программного обеспечения, которые загружаются в запоминающее устройство 606. Процессор 604 может содержать набор из одного или большего количества процессоров или может содержать многопроцессорное ядро, в зависимости от конкретной реализации. Запоминающее устройство 606 является машиночитаемым носителем для хранения данных, инструкций 640, приложений и т.д. и доступна процессору 604. Запоминающее устройство 606 представляет собой аппаратное устройство хранения данных, способное хранить информацию на временной основе и/или постоянной основе. Запоминающее устройство 606 может содержать оперативную память или любое другое энергозависимое или энергонезависимое устройство хранения данных. Компонент 608 пользовательского интерфейса представляет собой аппаратный компонент для взаимодействия с конечным пользователем. Например, компонент 608 пользовательского интерфейса может включать в себя дисплей 650, экран, сенсорный экран и т.п. (например, жидкокристаллический дисплей (Liquid Crystal Display - LCD), светодиодный (Light Emitting Diode - LED) дисплей и т.д.). Компонент 608 пользовательского интерфейса может включать в себя клавиатуру или клавишную панель 652, устройство слежения (например, трекбол или трекпад), динамик, микрофон и т.д. UE 110 также содержит универсальную карту с интегральной схемой (Universal Integrated Circuit Card - UICC) 660, которая является аппаратным устройством, которое обеспечивает функции безопасности и целостности для UE 110. UICC 660 может содержать универсальный модуль 662 идентификации абонента (Universal Subscriber Identity Module - USIM), который хранит или индицирует один или большее количество открытых ключей для HPLMN для UE 110 вместе с другими учетными данными. UE 110 может содержать различные другие компоненты, специально не проиллюстрированные на фиг. 6.Fig. 6 is a block diagram of
Процессор 604 может реализовывать одно или большее количество приложений 630. Эти приложения 630 могут получать доступ к данным нисходящей линии связи (downlink - DL) через RAN 120 и опорную сеть 130, а также могут генерировать данные восходящей линии связи (uplink - UL) для передачи в пункт назначения через RAN 120 и опорную сеть 130. Процессор 604 также реализует контроллер 634 NAS, который выполнен с возможностью управления процедурами NAS, как более подробно описано ниже.
Фиг. 7 представляет собой блок-схему сетевого элемента 132 в иллюстративном варианте осуществления. Сетевой элемент 132 представляет собой сервер, устройство, аппарат, оборудование (включая аппаратное обеспечение), систему, средство и т.д., которые обеспечивают безопасность и регистрацию для UE. Например, сетевой элемент 132 может содержать ММЕ 214 в сети LTE, элемент 314 AMF сети следующего поколения и т.д. В этом варианте осуществления сетевой элемент 132 содержит следующие подсистемы: компонент 702 сетевого интерфейса, менеджер 704 безопасности и менеджер 706 регистрации, которые работают на одной или большем количестве платформ. Компонент 702 сетевого интерфейса может содержать схему, логику, аппаратное обеспечение, средство и т.д., выполненные с возможностью обмена сообщениями уровня управления или сигнализацией с другими сетевыми элементами и/или UE (например, через RAN 120). Компонент 702 сетевого интерфейса может работать с применением множества протоколов (включая протокол NAS) или опорных точек. Менеджер 704 безопасности может содержать схему, логику, аппаратное обеспечение, средство и т.д., выполненные с возможностью обработки процедур аутентификации и/или безопасности для UE, например, для создания контекста безопасности NAS, выбора алгоритма(ов) безопасности NAS для контекста безопасности NAS и т.д. Менеджер 706 регистрации может содержать схему, логику, аппаратное обеспечение, средство и т.д., выполненные с возможностью регистрации для UE.Fig. 7 is a block diagram of
Одна или большее количество подсистем сетевого элемента 132 могут быть реализованы на аппаратной платформе, состоящей из аналоговых и/или цифровых схем. Одна или большее количество подсистем сетевого элемента 132 могут быть реализованы в процессоре 730, который выполняет инструкции, хранящиеся в запоминающем устройстве 732. Процессор 730 содержит интегральную аппаратную схему, выполненную с возможностью выполнения инструкций, а запоминающее устройство 732 является машиночитаемым носителем долговременного хранения для данных, инструкций, приложений и т.д. и доступно процессору 730.One or more subsystems of
Сетевой элемент 132 может содержать различные другие компоненты, специально не проиллюстрированные на фиг. 7.
Процедура NAS может быть выполнена или вызвана, когда контекст безопасности NAS уже существует между UE и объектом управления безопасностью доступа (например, AMF, ММЕ и т.д.). Целью безопасности NAS является безопасная доставка сообщений NAS между UE и объектом управления безопасностью доступа в плоскости управления с применением ключей безопасности NAS. Ключи безопасности NAS генерируются каждый раз, когда выполняется аутентификация для UE. После завершения настройки безопасности NAS UE и объект управления безопасностью доступа могут совместно использовать ключ шифрования NAS и ключ целостности NAS, которые применяются для шифрования и защиты целостности, соответственно, сообщений NAS перед передачей. Процедура NAS также может быть выполнена или вызвана, когда не существует контекста безопасности NAS. Этот сценарий описывается первым.The NAS procedure may be executed or invoked when a NAS security context already exists between the UE and the access security management entity (eg, AMF, MME, etc.). The goal of NAS security is to securely deliver NAS messages between a UE and an access security control entity in the control plane using NAS security keys. The NAS security keys are generated each time an authentication is performed for the UE. After the NAS security setting is completed, the UE and the access security control entity can share the NAS encryption key and the NAS integrity key, which are used to encrypt and protect the integrity, respectively, of NAS messages before transmission. The NAS procedure can also be executed or invoked when no NAS security context exists. This scenario is described first.
Пример 1: Нет контекста безопасностиExample 1: No security context
Фиг. 8 представляет собой схему последовательности операций, иллюстрирующую способ 800 выполнения процедуры NAS в UE 110 в иллюстративном варианте осуществления. Этапы способа 800 будут описаны со ссылкой на UE 110 на фиг. 6, но специалисты в данной области техники поймут, что способ 800 может выполняться в других сетях или архитектурах. Кроме того, описанные в данном документе этапы схем последовательности операций не являются исчерпывающими и могут включать в себя другие этапы, которые не показаны, и этапы могут выполняться в альтернативном порядке.Fig. 8 is a flowchart illustrating a
Для этого варианта осуществления можно предположить, что между UE 110 и сетевым элементом 132 нет сеанса связи NAS. Кроме того, можно предположить, что UE 110 находится в неподсоединенном режиме (например, в режиме ожидания) и переходит в подсоединенный режим. Контроллер 634 NAS в UE 110 инициирует процедуру NAS для установления сеанса связи NAS между UE 110 и сетевым элементом 132 (этап 802). Например, процедура NAS может содержать процедуру регистрации. Каждая процедура NAS содержит набор обязательных IEs протокола NAS, а также может содержать набор необязательных IEs протокола NAS для передачи информации. Таким образом, контроллер 634 NAS может идентифицировать IEs протокола NAS (обязательные и необязательные) для процедуры NAS.For this embodiment, it can be assumed that there is no NAS session between
В этом варианте осуществления процедура NAS выполняется в нескольких фазах 831-832. Для первой фазы 831 процедуры NAS контроллер 634 NAS идентифицирует поднабор IEs протокола NAS, которые предназначены для обработки, связанной с безопасностью (этап 804). Поднабор IEs протокола NAS, предназначенный для обработки, связанной с безопасностью, относится к IEs, применяемым для создания или установления контекста безопасности NAS для UE. Может быть желательно предоставить минимальную информацию в первой фазе 831, поэтому поднабор IEs протокола NAS может содержать минимальное количество IEs для процедуры NAS, которые используются для установления контекста безопасности NAS. Для процедуры регистрации в одном примере поднабор IEs протокола NAS может состоять из мобильного идентификатора для UE (например, 5G-GUTI или скрытого идентификатора подписки (Subscription Concealed IdentiflEsr - SUCI)), возможности безопасности UE, указывающей один или большее количество алгоритмов безопасности, поддерживаемых посредством UE, тип регистрации (например, начальная, мобильная, периодическая, экстренная и т.д.) и идентификатор набора ключей безопасности для контекста безопасности NAS UE (например, ngKSI, eKSI и т.д.).In this embodiment, the NAS procedure is performed in multiple phases 831-832. For the
Контроллер 634 NAS может форматировать или генерировать начальное сообщение NAS для процедуры NAS, например запрос регистрации типа «начальный». Первоначальное сообщение NAS относится к первому сообщению NAS, которое отправляется после того, как UE переходит из неподсоединенного режима (например, режима ожидания) в подсоединенный режим. Контроллер 634 NAS включает или вставляет поднабор IEs протокола NAS в начальное сообщение NAS (этап 806). В первой фазе 831 начальное сообщение NAS заполняется поднабором IEs протокола NAS, a IEs, которые заполняются в начальном сообщении NAS, ограничиваются (т.е. состоят только или исключительно из) поднабором IEs протокола NAS, которые выбраны для обработки, связанной с безопасностью. Поскольку начальное сообщение NAS не содержит все обязательные IEs протокола NAS для процедуры NAS, начальное сообщение NAS в первой фазе 831 считается «частичным» сообщением. Другие обязательные IEs протокола NAS, которые исключены из поднабора, будут включены в другое сообщение NAS (как часть второй фазы 832). Затем контроллер 634 NAS отправляет начальное сообщение NAS сетевому элементу 132 (этап 810).The
Перед отправкой начального сообщения NAS контроллер 634 NAS может, необязательно, зашифровать поднабор IEs протокола NAS в начальном сообщении NAS с применением открытого ключа HPLMN для UE 110 (необязательный этап 808). Каждая HPLMN может назначать открытые ключи в соответствии со схемой интегрированного шифрования на эллиптических кривых (Elliptic Curve Integrated Encryption Scheme - ECIEs). В зависимости от схемы защиты может быть несколько открытых ключей. Открытые ключи HPLMN обычно предоставляются на USIM 662 UE 110. Таким образом, контроллер 634 NAS может зашифровать поднабор IEs протокола NAS, идентифицированных для первой фазы 831 в начальном сообщении NAS. Решение о том, следует ли шифровать поднабор IEs протокола NAS с применением открытого ключа, может быть основано на политике или критериях. Например, контроллер 634 NAS может зашифровать поднабор IEs протокола NAS, когда тип регистрации не индицирует экстренный случай (например, тип регистрации = начальный), и может отправить начальное сообщение NAS без шифрования, когда тип регистрации индицирует экстренный случай. В другом примере контроллер 634 NAS может шифровать поднабор IEs протокола NAS, когда UE 110 имеет открытый ключ, запрограммированный на его USIM 662, и может отправлять начальное сообщение NAS без шифрования, когда UE 110 не имеет открытого ключа, запрограммированного на USIM 662.Before sending the initial NAS message,
Фиг. 9 представляет собой схему последовательности операций, иллюстрирующую способ 900 выполнения процедуры NAS в сетевом элементе 132 в иллюстративном варианте осуществления. Этапы способа 900 будут описаны со ссылкой на сетевой элемент 132 на фиг. 7, но специалисты в данной области техники поймут, что способ 900 может выполняться в других сетях или архитектурах.Fig. 9 is a flowchart illustrating a
Для первой фазы 831 компонент 702 сетевого интерфейса сетевого элемента 132 принимает начальное сообщение NAS от UE 110 (этап 902). После приема начального сообщения NAS менеджер 704 безопасности может дополнительно обработать начальное сообщение NAS, чтобы определить, зашифрована ли информация с применением открытого ключа HPLMN. Когда начальное сообщение NAS зашифровано, менеджер 704 безопасности может инициировать дешифрование поднабора IEs протокола NAS в начальном сообщении NAS (необязательный этап 904). В одном примере менеджер 704 безопасности может быть выполнен с возможностью внутренней дешифровки поднабора IEs протокола NAS. В другом примере менеджер 704 безопасности может отправить поднабор IEs протокола NAS в другой сетевой элемент (например, элемент 312 UDM), чтобы дешифровать поднабор IEs протокола NAS.For the
Менеджер 704 безопасности обрабатывает поднабор IEs протокола NAS и определяет, что для UE 110 не существует контекста безопасности NAS (этап 906). Поскольку не существует контекста безопасности NAS, менеджер 704 безопасности может инициировать процедуру аутентификации для аутентификации UE 110 (этап 908). Процедура аутентификации (например, аутентификация и согласование ключей (Key Agreement - AKA)) применяется для выполнения взаимной аутентификации между UE 110 и мобильной сетью 100. Хотя процедуры аутентификации могут различаться, в целом менеджер 704 безопасности может отправить аутентификационный запрос на UE 110 вместе с аутентификациоиным маркером (необязательный этап 910) через компонент 702 сетевого интерфейса. В ответ на аутентификационный запрос UE 110 обрабатывает этапы аутентификации на своем конце и пытается проверить аутентификационный маркер (см. этап 812 на фиг. 8). В случае успеха UE 110 считает, что мобильная сеть 100 аутентифицирована. UE 110 вычисляет ответный маркер и отправляет аутентификационный ответ с ответным маркером, который принимается менеджером 704 безопасности (необязательный этап 912) через компонент 702 сетевого интерфейса. Менеджер 704 безопасности (или другой сетевой элемент) может затем определить, действителен ли ответный маркер (например, сравнить ответный маркер с ожидаемым ответным маркером). Если ответный маркер действителен, то менеджер 704 безопасности рассматривает UE 110 аутентифицированным.The
Когда UE 110 подтверждено, менеджер 704 безопасности инициирует процедуру безопасности NAS, чтобы установить контекст безопасности NAS (этап 914). Для процедуры безопасности NAS менеджер 704 безопасности выбирает один или большее количество алгоритмов безопасности NAS для контекста безопасности NAS (этап 916) и определяет один или большее количество ключей безопасности NAS (например, KAMF, KASME и т.д.). Алгоритм безопасности NAS может содержать алгоритм шифрования NAS и алгоритм защиты целостности. Затем менеджер 704 безопасности отправляет ответ на UE, который индицирует или содержит алгоритм(ы) безопасности NAS и идентификатор набора ключей безопасности, выбранный для контекста безопасности NAS (этап 918), через компонент 702 сетевого интерфейса. Ответ может содержать команду режима безопасности, которая содержит алгоритм(ы) безопасности NAS, идентификатор набора ключей безопасности (например, ngKSI, eKSI и т.д.) и другую информацию.When
На фиг. 8 контроллер 634 NAS UE 110 принимает ответ от сетевого элемента 132, который индицирует алгоритм(ы) безопасности NAS и идентификатор набора ключей безопасности (этап 814). С помощью информации, предоставленной в ответе от сетевого элемента 132, между UE 110 и сетевым элементом 132 устанавливается контекст безопасности NAS. Таким образом, последующим сообщениям NAS между UE 110 и сетевым элементом 132 может быть обеспечена безопасность с применением контекста безопасности NAS.In FIG. 8,
Для второй фазы 832 процедуры NAS контроллер 634 NAS включает или вставляет IEs протокола NAS для процедуры NAS в начальное сообщение NAS (этап 816). Начальное сообщение NAS является копией, дубликатом или тем же типом начального сообщения NAS, которое ранее было отправлено сетевому элементу 132 в первой фазе 831. На этом этапе начальное сообщение NAS содержит весь набор IEs протокола NAS для процедуры NAS (обязательных и необязательных (при желании)). Поскольку начальное сообщение NAS содержит каждый из обязательных IEs протокола NAS для процедуры NAS, начальное сообщение NAS во второй фазе 832 считается «полным» сообщением NAS.For the
Контроллер 634 NAS UE 110 может форматировать или генерировать последующее сообщение NAS для процедуры NAS. Например, последующее сообщение NAS может содержать сообщение о выполнении режима безопасности. Контроллер 634 NAS включает или вставляет начальное сообщение NAS в контейнер сообщения NAS последующего сообщения NAS (этап 818). Контейнер сообщения NAS представляет собой тип IE, применяемый для инкапсуляции открытого сообщения NAS. Контроллер 634 NAS шифрует контейнер сообщения NAS последующего сообщения NAS с применением алгоритма(ов) безопасности NAS (этап 820). Таким образом, полное начальное сообщение NAS зашифровывается в контейнере сообщения NAS последующего сообщения NAS. Затем контроллер 634 NAS отправляет последующее сообщение NAS сетевому элементу 132 (этап 822).
На фиг. 9 для второй фазы 832 компонент 702 сетевого интерфейса принимает последующее сообщение NAS от UE 110 (этап 920). Менеджер 704 безопасности дешифрует контейнер сообщения NAS последующего сообщения NAS с применением алгоритма(ов) безопасности NAS (этап 922) для доступа к полному начальному сообщению NAS. Менеджер 704 безопасности или другие подсистемы сетевого элемента 132 могут затем обработать IEs протокола NAS из полного начального сообщения NAS для дальнейшего выполнения процедуры NAS. Например, менеджер 706 регистрации может отправить сообщение с подтверждением регистрации на UE 110 и принять сообщение о выполнении регистрации от UE 110 (необязательный этап 924). Одним из технических преимуществ этого процесса является то, что только IEs протокола NAS, которые необходимы для установления контекста безопасности NAS, отправляются как незашифрованные или зашифрованные в соответствии с открытым ключом HPLMN в частичном начальном сообщении NAS, в то время как полное начальное сообщение NAS зашифровывается в последующее сообщение NAS, которое обеспечивает дополнительную защиту безопасности.In FIG. 9, for the
Фиг. 10 представляет собой схему сообщения, показывающую процедуру NAS, когда UE не имеет контекста безопасности в иллюстративном варианте осуществления. Процедура NAS, показанная на фиг. 10 представляет собой процедуру регистрации, но аналогичные концепции могут применяться к другим процедурам NAS. Этот пример показан в сети 5G с сетевым элементом 132, содержащим элемент 314 AMF.Fig. 10 is a message diagram showing a NAS procedure when a UE does not have a security context in an exemplary embodiment. The NAS procedure shown in FIG. 10 is a registration procedure, but similar concepts may apply to other NAS procedures. This example is shown in a 5G network with a
Эта процедура NAS снова выполняется в нескольких фазах. Для первой фазы UE 110 генерирует или форматирует начальный запрос регистрации для процедуры регистрации NAS. Процедура регистрации NAS имеет набор IEs протокола NAS (обязательных и необязательных), которые используются для передачи информации. В этом варианте осуществления UE 110 не заполняет начальный запрос регистрации полным набором IEs протокола NAS в первой фазе. Вместо этого UE 110 идентифицирует IEs протокола NAS, которые необходимы для установления контекста безопасности NAS. Таким образом, UE 110 идентифицирует поднабор IEs протокола NAS, которые предназначены для обработки, связанной с безопасностью. В этом примере поднабор IEs протокола NAS может состоять из глобального уникального временного идентификатора 5G (5G Globally Unique Temporary Identity - 5G-GUTI), возможности безопасности UE, типа регистрации и ngKSI. UE 110 вставляет поднабор IEs протокола NAS в начальный запрос регистрации. Поскольку начальный запрос регистрации не содержит все обязательные IEs протокола NAS для процедуры регистрации NAS, то начальный запрос регистрации в первой фазе является «частичным» запросом. UE 110 может также вставить другую информацию в начальный запрос регистрации, такую как SUCI, сгенерированную UE 110. В этом примере UE 110 шифрует поднабор IEs протокола NAS, применяя открытый ключ HPLMN, и отправляет начальный запрос регистрации элементу 314 AMF (S1). Схема защиты и идентификатор открытого ключа, применяемые для шифрования, такие же, как схема защиты и идентификатор открытого ключа, указанные в SUCI. Однако, как было описано выше, шифрование поднабора IEs протокола NAS с применением открытого ключа HPLMN является необязательным. Если схема защиты SUCI составляет NULL, то поднабор IEs протокола NAS является не зашифрованным.This NAS procedure is again performed in multiple phases. For the first phase,
В ответ на прием начального запроса регистрации элемент 314 AMF маршрутизирует информацию в домашний UDM UE для дешифрования на основе ID PLMN UE и ID маршрутизации. Таким образом, элемент 314 AMF форматирует или генерирует аутентификационный запрос (то есть Nausf_UEAuthentication_Authenticate Request) и вставляет зашифрованный поднабор IEs протокола NAS в аутентификационный запрос вместе с другой информацией (например, SUCI и обслуживающим сетевым именем). Затем элемент 314 AMF отправляет аутентификационный запрос элементу 310 AUSF (S2). В ответ на прием аутентификационного запроса, элемент 310 AUSF форматирует или генерирует аутентификационный запрос (то есть Nudm_UEAuthentication_Get Request) и вставляет зашифрованный поднабор IEs протокола NAS в аутентификационный запрос вместе с другой информацией. Затем элемент 310 AUSF отправляет аутентификационный запрос элементу 312 UDM (S3).In response to receiving the initial registration request,
В ответ на аутентификационный запрос элемент 312 UDM дешифрует поднабор IEs протокола NAS, применяя закрытый ключ HPLMN (т.е. применяя информацию в соответствии со схемой защиты, выбранной для SUCI), так что поднабор IEs протокола NAS становится читаемым. Элемент 312 UDM также содержит функции, связанные с функцией репозитория и обработки аутентификационных учетных данных (Authentication Credential Repository and Processing Function - ARPF), которая выбирает способ аутентификации и вычисляет аутентификационные данные и ключевые материалы (например, маркеры) для элемента 310 AUSF (при необходимости). Элемент 312 UDM форматирует или генерирует аутентификационный ответ (то есть Nudm_UEAuthentication_Get Response) для элемента 310 AUSF и вставляет дешифрованный поднабор IEs протокола NAS, аутентификационный вектор (authentication vector - AV) и другую информацию в аутентификационный ответ. Затем элемент 312 UDM отправляет аутентификационный ответ элементу 310 AUSF (S4). В ответ на прием ауте нтификацио иного ответа, элемент 310 AUSF форматирует или генерирует аутентификационный ответ (то есть Nuasf_UEAuthentication_Authenticate Response) для элемента 314 AMF и вставляет дешифрованный поднабор IEs протокола NAS, AV и другую информацию в аутентификационный ответ. Затем элемент 310 AUSF отправляет аутентификационный ответ элементу 314 AMF (S5).In response to the authentication request, the
Элемент 314 AMF выполнен с возможностью выполнения процедуры аутентификации с помощью UE 110 с применением информации, предоставленной UDM/AUSF. Например, элемент 314 AMF отправляет аутентификационный запрос в UE 110 вместе с аутентификационным маркером (S6) от AV, и UE 110 пытается проверить аутентификационный маркер. В случае успеха UE 110 вычисляет ответный маркер и отправляет аутентификационный ответ с ответным маркером, который принимается элементом 314 AMF (S7). Элемент 314 AMF форматирует или генерирует другой аутентификационный запрос (то есть Nausf_UEAuthentication_Authenticate Request) и вставляет ответный маркер от UE 110 в аутентификационный запрос вместе с другой информацией. Затем элемент 314 AMF отправляет аутентификационный запрос элементу 310 AUSF (S8). Элемент 310 AUSF проверяет, совпадает ли ответный маркер от UE 110 с ожидаемым ответным маркером, и отправляет аутентификационный ответ (то есть Nausf_UEAuthentication_Authenticate Response) элементу 314 AMF, индицирующий успех/неудачу аутентификации.The
Когда UE 110 аутентифицируется в сети, элемент 314 AMF инициирует процедуру безопасности NAS, чтобы установить контекст безопасности NAS. Элемент 314 AMF выбирает алгоритм безопасности NAS (или несколько алгоритмов) для шифрования и защиты целостности. Элемент 314 AMF форматирует или генерирует сообщение с командой режима безопасности и вставляет индикатор алгоритма(ов) безопасности NAS, ngKSI и другую информацию в сообщение с командой режима безопасности. Затем элемент 314 AMF отправляет сообщение с командой режима безопасности на UE 110 (S10).When
Для второй фазы процедуры NAS UE 110 применяет ngKSI и алгоритм безопасности NAS для определения соответствующих ключей для защиты последующих сообщений NAS. Таким образом, между UE 110 и элементом 314 AMF устанавливается контекст безопасности NAS. UE 110 включает или вставляет IEs протокола NAS для процедуры регистрации NAS в начальный запрос регистрации, который является копией, дубликатом или сообщением того же типа, что и начальный запрос регистрации, ранее отправленный в первой фазе. Начальный запрос регистрации содержит все обязательные IEs протокола NAS и любые дополнительные IEs протокола NAS, которые применяются для передачи информации. Дополнительные IEs протокола NAS могут включать: нетекущий идентификатор набора ключей собственного NAS, возможность управления мобильностью (Mobility Management - MM) 5G, запрошенную информацию для помощи при выборе сетевого сегмента (Network Slice Selection Assistance Information - NSSAI), последний посещенный зарегистрированный идентификатор зоны отслеживания (Tracking Area IdentiflEsr - TAI), возможности сети UE SI, статус данных восходящей линии связи, статус сеанса передачи PDU, соединение, инициируемое только мобильным устройство (Mobile Initiated Connection Only - MICO), статус UE, дополнительный GUTI, статус разрешенного сеанса передачи PDU, настройка применения UE, запрошенный прерывистый режим (Discontinuous Reception - DRX), контейнер сообщения NAS EPS и контейнер полезных данных. Таким образом, начальный запрос регистрации является «полным» запросом во второй фазе, поскольку он содержит все обязательные IEs протокола NAS. UE 110 форматирует или генерирует сообщение о выполнении режима безопасности и вставляет полный начальный запрос регистрации в контейнер сообщения NAS сообщения о выполнении режима безопасности. UE 110 шифрует контейнер сообщения NAS сообщения о выполнении режима безопасности, применяя алгоритм безопасности NAS контекста безопасности NAS. Таким образом, полный начальный запрос регистрации зашифровывается в контейнере сообщения NAS сообщения о выполнении режима безопасности. Затем 110 UE отправляет сообщение о выполнении режима безопасности элементу 314 AMF (S11).For the second phase of the NAS procedure,
Элемент 314 AMF принимает сообщение о выполнении режима безопасности от UE 110 и дешифрует контейнер сообщения NAS сообщения о выполнении режима безопасности для доступа к IEs протокола NAS из полного начального запроса регистрации. Затем элемент 314 AMF продолжает процедуру регистрации, например, отправляя сообщение с подтверждением регистрации на UE 110 (S12). UE 110 отвечает элементу 314 AMF сообщением о выполнении регистрации (S13), после чего UE 110 регистрируется в сети для доступа к услугам.The
Пример 2: Нет контекста безопасностиExample 2: No security context
В другом примере процедуры NAS, когда не существует контекста безопасности, фиг. 11 представляет собой схему последовательности операций, иллюстрирующую способ 1100 выполнения процедуры NAS в UE 110 в иллюстративном варианте осуществления. Контроллер 634 NAS в UE 110 инициирует процедуру NAS для установления сеанса связи NAS между UE 110 и сетевым элементом 132 (этап 1102). Контроллер 634 NAS идентифицирует IEs протокола NAS (обязательные и необязательные) для процедуры NAS (этап 1104). Контроллер 634 NAS может форматировать или генерировать первое начальное сообщение NAS для процедуры NAS и включает или вставляет IEs протокола NAS в первое начальное сообщение NAS (этап 1106). На этом этапе первое начальное сообщение NAS содержит весь набор IEs протокола NAS для процедуры NAS (обязательных и необязательных (при желании)). Поскольку первое начальное сообщение NAS содержит каждый из обязательных IEs протокола NAS для процедуры NAS, первое начальное сообщение NAS считается «полным» сообщением NAS.In another example of a NAS procedure when no security context exists, FIG. 11 is a flowchart illustrating a
Контроллер 634 NAS также форматирует или генерирует второе начальное сообщение NAS, которое является дубликатом первого начального сообщения NAS (этап 1108). Дубликат сообщения относится к сообщению того же типа для процедуры NAS. Например, если первое начальное сообщение NAS является запросом регистрации, то второе начальное сообщение NAS также является запросом регистрации. Однако IEs, которые заполняются в дубликате сообщения, могут отличаться от исходного сообщения. Контроллер 634 NAS включает или вставляет первое начальное сообщение NAS в контейнер сообщения NAS второго начального сообщения NAS (этап 1110). Контроллер 634 NAS шифрует контейнер сообщения NAS второго начального сообщения NAS с применением открытого ключа HPLMN для UE 110 (этап 1112). Таким образом, полное первое начальное сообщение NAS зашифровывается в контейнере сообщения NAS второго начального сообщения NAS. Затем контроллер 634 NAS отправляет второе начальное сообщение NAS сетевому элементу 132 (этап 1114).The
Фиг. 12 представляет собой схему последовательности операций, иллюстрирующую способ 1200 выполнения процедуры NAS в сетевом элементе 132 в иллюстративном варианте осуществления. Компонент 702 сетевого интерфейса сетевого элемента 132 принимает второе начальное сообщение NAS от UE 110 (этап 1202). Когда контейнер сообщения NAS зашифрован, как в этом примере, менеджер 704 безопасности инициирует дешифровку контейнера сообщения NAS (этап 1204) для доступа к первому начальному сообщению NAS. В одном примере менеджер 704 безопасности может быть выполнен с возможностью дешифрования контейнера сообщения NAS. В другом примере менеджер 704 безопасности может отправить контейнер сообщения NAS другому сетевому элементу (например, элемент 312 UDM), чтобы дешифровать контейнер сообщения NAS.Fig. 12 is a flowchart illustrating a
После дешифровки контейнера сообщения NAS менеджер 704 безопасности имеет доступ к первому начальному сообщению NAS. Первое начальное сообщение NAS заполняется IEs протокола NAS для процедуры NAS. Менеджер 704 безопасности может обрабатывать IEs протокола NAS и определять, что для UE 110 не существует контекста безопасности NAS (этап 1206). Поскольку не существует контекста безопасности NAS, менеджер 704 безопасности может инициировать процедуру аутентификации для аутентификации UE 110 (этап 1208). Для процедуры аутентификации менеджер 704 безопасности может отправить аутентификационный запрос на UE 110 вместе с аутентификациоиным маркером (необязательный этап 1210) через компонент 702 сетевого интерфейса. В ответ на аутентификационный запрос UE 110 обрабатывает этапы аутентификации на своем конце и пытается проверить аутентификационный маркер (см. этап 1116 на фиг. 11). В случае успеха UE 110 считает, что мобильная сеть 100 аутентифицирована. UE 110 вычисляет ответный маркер и отправляет аутентификационный ответ с ответным маркером, который принимается менеджером 704 безопасности (необязательный этап 1212) через компонент 702 сетевого интерфейса. Менеджер 704 безопасности (или другой сетевой элемент) может затем определить, действителен ли ответный маркер (например, сравнить ответный маркер с ожидаемым ответным маркером). Если ответный маркер действителен, то менеджер 704 безопасности рассматривает UE 110 аутентифицированным.After decrypting the NAS message container, the
Когда UE 110 подтверждено, менеджер 704 безопасности инициирует процедуру безопасности NAS, чтобы установить контекст безопасности NAS (этап 1214). Для процедуры безопасности NAS менеджер 704 безопасности выбирает один или большее количество алгоритмов безопасности NAS для контекста безопасности NAS (этап 1216) и определяет один или большее количество ключей безопасности NAS (например, KAMF, KASME и т.д.). Менеджер 704 безопасности затем форматирует или генерирует команду режима безопасности и отправляет команду режима безопасности на UE 110, которая индицирует или содержит алгоритм(ы) безопасности NAS и идентификатор набора ключей безопасности, выбранный для контекста безопасности NAS (этап 1218), через компонент 702 сетевого интерфейса.When
На фиг. 11 контроллер 634 NAS UE 110 принимает команду режима безопасности от сетевого элемента 132, которая индицирует алгоритм(ы) безопасности NAS (этап 1118). С помощью информации, предоставленной в команде режима безопасности, между UE 110 и сетевым элементом 132 устанавливается контекст безопасности NAS. Таким образом, последующим сообщениям NAS между UE 110 и сетевым элементом 132 может быть обеспечена безопасность с применением контекста безопасности NAS. Контроллер 634 NAS UE 110 может затем отформатировать или сгенерировать сообщение о выполнении режима безопасности и отправить сообщение о выполнении режима безопасности сетевому элементу 132 (этап 1120). На фиг. 12 компонент 702 сетевого интерфейса принимает выполнение режима безопасности от UE 110 (этап 1220). Менеджер 704 безопасности может дешифровать любые последующие сообщения NAS с применением алгоритма(ов) безопасности NAS. Одним из технических преимуществ этого процесса является то, что только IEs протокола NAS, которые необходимы для установления контекста безопасности NAS, вставляются как незашифрованные в частичное начальное сообщении NAS, в то время как полное начальное сообщение NAS зашифровывается в частичное начальное сообщение NAS, которое обеспечивает дополнительную защиту безопасности.In FIG. 11,
Фиг. 13 представляет собой схему сообщения, показывающую процедуру NAS, когда UE не имеет контекста безопасности в иллюстративном варианте осуществления. Процедура NAS, показанная на фиг. 13, представляет собой процедуру регистрации, но аналогичные концепции могут применяться к другим процедурам NAS. UE 110 генерирует или форматирует запрос регистрации для процедуры регистрации NAS. В этом варианте осуществления UE 110 заполняет запрос регистрации полным набором IEs протокола NAS Таким образом, запрос регистрации является полным запросом регистрации.Fig. 13 is a message diagram showing a NAS procedure when a UE does not have a security context in an exemplary embodiment. The NAS procedure shown in FIG. 13 is a registration procedure, but similar concepts may apply to other NAS procedures.
UE 110 также генерирует или форматирует другой запрос регистрации, который является дубликатом полного запроса регистрации. Другой запрос регистрации относится к типу «начальный» и, следовательно, является начальным запросом регистрации. Вместо заполнения каждого из обязательных IEs протокола NAS в полном запросе регистрации UE 110 вставляет полный запрос регистрации в контейнер сообщения NAS начального запроса регистрации. UE 110 может также вставить другую информацию в начальный запрос регистрации, такую как SUCI, сгенерированную UE 110. В этом примере UE 110 шифрует контейнер сообщения NAS начального запроса регистрации, применяя открытый ключ HPLMN, и отправляет начальный запрос регистрации элементу 314 AMF (S1).
В ответ на прием начального запроса регистрации элемент 314 AMF маршрутизирует информацию в домашний UDM UE для дешифрования на основе ID PLMN UE и ID маршрутизации. Таким образом, элемент 314 AMF форматирует или генерирует аутентификационный запрос (то есть Nausf_UEAuthentication_Authenticate Request) и вставляет зашифрованный контейнер сообщения NAS начального запроса регистрации в аутентификационный запрос вместе с другой информацией. Затем элемент 314 AMF отправляет аутентификационный запрос элементу 310 AUSF (S2). В ответ на прием аутентификационного запроса, элемент 310 AUSF форматирует или генерирует аутентификационный запрос (то есть Nudm_UEAuthentication_Get Request) и вставляет зашифрованный контейнер сообщения NAS в аутентификационный запрос вместе с другой информацией. Затем элемент 310 AUSF отправляет аутентификационный запрос элементу 312 UDM (S3).In response to receiving the initial registration request,
В ответ на аутентификационный запрос элемент 312 UDM дешифрует зашифрованный контейнер сообщения NAS, применяя закрытый ключ HPLMN, так что полный запрос регистрации становится читаемым. Элемент 312 UDM также выбирает способ аутентификации и вычисляет аутентификационные данные и ключевые материалы (например, маркеры) для элемента 310 AUSF (при необходимости). Элемент 312 UDM форматирует или генерирует аутентификационный ответ (то есть Nudm_UEAuthentication_Get Response) для элемента 310 AUSF и вставляет дешифрованный контейнер сообщения NAS, аутентификационный вектор (AV) и другую информацию в аутентификационный ответ.Затем элемент 312 UDM отправляет аутентификационный ответ элементу 310 AUSF (S4). В ответ на прием аутентификационного ответа, элемент 310 AUSF форматирует или генерирует аутентификационный ответ (то есть Nuasf_UEAuthentication_Authenticate Response) для элемента 314 AMF и вставляет дешифрованный контейнер сообщения NAS, AV и другую информацию в аутентификационный ответ.Затем элемент 310 AUSF отправляет аутентификационный ответ элементу 314 AMF (S5).In response to the authentication request, the
Элемент 314 AMF выполнен с возможностью выполнения процедуры аутентификации с помощью UE 110 с применением информации, предоставленной UDM/AUSF. Например, элемент 314 AMF отправляет аутентификационный запрос в UE 110 вместе с аутентификационным маркером (S6) от AV, и UE 110 пытается проверить аутентификационный маркер. В случае успеха UE 110 вычисляет ответный маркер и отправляет аутентификационный ответ с ответным маркером, который принимается элементом 314 AMF (S7). Элемент 314 AMF форматирует или генерирует другой аутентификационный запрос (то есть Nausf_UEAuthentication_Authenticate Request) и вставляет ответный маркер от UE 110 в аутентификационный запрос вместе с другой информацией. Затем элемент 314 AMF отправляет аутентификационный запрос элементу 310 AUSF (S8). Элемент 310 AUSF проверяет, совпадает ли ответный маркер от UE 110 с ожидаемым ответным маркером, и отправляет аутентификационный ответ (то есть Nausf_UEAuthentication_Authenticate Response) элементу 314 AMF, индицирующий успех/неудачу аутентификации.The
Когда UE 110 аутентифицируется в сети, элемент 314 AMF инициирует процедуру безопасности NAS, чтобы установить контекст безопасности NAS. Элемент 314 AMF выбирает алгоритм безопасности NAS (или несколько алгоритмов) для шифрования и защиты целостности. Элемент 314 AMF форматирует или генерирует сообщение с командой режима безопасности и вставляет индикатор алгоритма безопасности NAS, ngKSI и другую информацию в сообщение с командой режима безопасности. Затем элемент 314 AMF отправляет сообщение с командой режима безопасности на UE 110 (S10). UE 110 применяет ngKSI и алгоритм безопасности NAS для определения соответствующих ключей для защиты последующих сообщений NAS. Таким образом, между UE 110 и элементом 314 AMF устанавливается контекст безопасности. UE 110 форматирует или генерирует сообщение о выполнении режима безопасности и отправляет сообщение о выполнении режима безопасности элементу 314 AMF (S11).When
Элемент 314 AMF продолжает процедуру регистрации, например, отправляя сообщение с подтверждением регистрации HaUE 110 (S12). UE 110 отвечает элементу 314 AMF сообщением о выполнении регистрации (S13), после чего UE 110 регистрируется в сети для доступа к услугам.The
Пример 3: Контекст безопасности существует - контекст безопасности действителенExample 3: Security context exists - security context is valid
В дополнительных примерах, процедура NAS может быть выполнена или вызвана, когда контекст безопасности NAS уже существует между UE и объектом управления безопасностью доступа (например, AMF, ММЕ и т.д.). Ниже приведены примеры процедуры NAS при наличии контекста безопасности NAS.In further examples, the NAS procedure may be executed or invoked when a NAS security context already exists between the UE and the access security management entity (eg, AMF, MME, etc.). The following are examples of the NAS procedure in the presence of a NAS security context.
Фиг. 14 представляет собой схему последовательности операций, иллюстрирующую способ 1400 выполнения процедуры NAS в UE 110 в иллюстративном варианте осуществления. Контроллер 634 NAS в UE 110 инициирует процедуру NAS для установления (или повторного установления) сеанса связи NAS между UE 110 и сетевым элементом 132 (этап 1402). Контроллер 634 NAS идентифицирует поднабор IEs протокола NAS, которые предназначены для обработки, связанной с безопасностью (этап 1404). Контроллер 634 NAS форматирует или генерирует первое сообщение NAS для процедуры NAS, такое как запрос регистрации типа «мобильность», «периодический» и т.д. Контроллер 634 NAS включает или вставляет поднабор IEs протокола NAS в первое сообщение NAS (этап 1406).Fig. 14 is a flowchart illustrating a
Контроллер 634 NAS также форматирует или генерирует второе сообщение NAS, которое является дубликатом первого сообщения NAS. Контроллер 634 NAS включает или вставляет IEs протокола NAS для процедуры NAS во второе сообщение NAS (этап 1408). На этом этапе второе сообщение NAS содержит весь набор IEs протокола NAS для процедуры NAS (обязательных и необязательных (при желании)). Поскольку второе сообщение NAS содержит каждый из обязательных IEs протокола NAS для процедуры NAS, второе сообщение NAS считается «полным» сообщением NAS.The
Контроллер 634 NAS включает или вставляет второе сообщение NAS в контейнер сообщения NAS первого сообщения NAS (этап 1410). Контроллер 634 NAS шифрует контейнер сообщения NAS первого сообщения NAS с применением алгоритма безопасности NAS контекста безопасности NAS (этап 1412). Таким образом, полное второе сообщение NAS зашифровывается в контейнере сообщения NAS первого сообщения NAS. Затем контроллер 634 NAS отправляет первое сообщение NAS сетевому элементу 132 (этап 1414).The
Фиг. 15 представляет собой схему последовательности операций, иллюстрирующую способ 1500 выполнения процедуры NAS в сетевом элементе 132 в иллюстративном варианте осуществления. Компонент 702 сетевого интерфейса сетевого элемента 132 принимает первое сообщение NAS от UE 110 (этап 1502). Менеджер 704 безопасности обрабатывает поднабор IEs протокола NAS в первом сообщении NAS для идентификации контекста безопасности NAS для UE 110 (этап 1504). Затем менеджер 704 безопасности дешифрует контейнер сообщения NAS первого сообщения NAS, применяя контекст безопасности NAS, для доступа ко второму сообщению NAS, содержащемуся в контейнере сообщения NAS (этап 1506). Когда контейнер сообщения NAS в первом сообщении NAS дешифрован, менеджер 704 безопасности имеет доступ ко второму сообщению NAS в дешифрованном виде. Второе сообщение NAS заполняется IEs протокола NAS для процедуры NAS. Таким образом, менеджер 704 безопасности может обрабатывать IEs протокола NAS во втором сообщении NAS, чтобы продолжить дальнейшую обработку для процедуры NAS (этап 1508). Одним из технических преимуществ этого процесса является то, что только IEs протокола NAS, которые необходимы для идентификации контекста безопасности NAS, отправляются как незашифрованные в первом сообщении NAS, в то время как полное второе сообщение NAS зашифровывается в первое сообщение NAS, которое обеспечивает дополнительную защиту безопасности.Fig. 15 is a flowchart illustrating a
Фиг.16 представляет собой схему сообщения, показывающую процедуру регистрации NAS, когда UE имеет действительный контекст безопасности в иллюстративном варианте осуществления. UE 110 генерирует или форматирует первый запрос регистрации для процедуры регистрации NAS. В этом варианте осуществления UE 110 заполняет первый запрос регистрации поднабором IEs протокола NAS, которые предназначены для обработки, связанной с безопасностью. Эта информация применяется для индицирования контекста безопасности NAS элементу 314 AMF. Например, поднабор IEs протокола NAS может содержать 5G-GUTI, тип регистрации и ngKSI. 110 UE также форматирует или генерирует второй запрос регистрации, который является дубликатом первого запроса регистрации. UE 110 включает или вставляет IEs протокола NAS для процедуры регистрации NAS во второй запрос регистрации. На этом этапе второй запрос регистрации содержит весь набор IEs протокола NAS для процедуры регистрации NAS (обязательных и необязательных (при желании)). Поскольку второй запрос регистрации содержит каждый из обязательных IEs протокола NAS для процедуры регистрации NAS, второй запрос регистрации считается «полным» запросом регистрации.16 is a message diagram showing the NAS registration procedure when the UE has a valid security context in an exemplary embodiment.
UE 110 включает или вставляет второй запрос регистрации в контейнер сообщения NAS первого запроса регистрации и шифрует контейнер сообщения NAS первого запроса регистрации с применением алгоритма безопасности NAS контекста безопасности NAS. Таким образом, полный второй запрос регистрации зашифровывается в контейнере сообщения NAS первого запроса регистрации. Затем 110 UE отправляет первый запрос регистрации элементу 314 AMF (S1).
В ответ на прием первого запроса регистрации элемент 314 AMF идентифицирует или извлекает контекст безопасности NAS на основе поднабора IEs протокола NAS, включенных в первый запрос регистрации. Затем элемент 314 AMF дешифрует зашифрованный контейнер сообщения NAS первого запроса регистрации, применяя контекст безопасности NAS, так что второй запрос регистрации становится читаемым. Таким образом, элемент 314 AMF может обрабатывать весь набор IEs протокола NAS для процедуры регистрации NAS и продолжать обработку для процедуры регистрации NAS. Например, элемент 314 AMF отправляет сообщение с подтверждением регистрации на UE 110 (S2). UE 110 отвечает элементу 314 AMF сообщением о выполнении регистрации (S3), после чего UE 110 регистрируется в сети для доступа к услугам.In response to receiving the first registration request,
Фиг. 17 представляет собой схему сообщения, показывающую процедуру запроса услуги NAS, когда UE имеет действительный контекст безопасности в иллюстративном варианте осуществления. UE 110 генерирует или форматирует первый запрос услуги для процедуры запроса услуги NAS. В этом варианте осуществления UE 110 заполняет первый запрос услуги поднабором IEs протокола NAS, которые предназначены для обработки, связанной с безопасностью, который применяется для индикации контекста безопасности NAS элементу 314 AMF. В этом примере, поднабор IEs протокола NAS может содержать 5G-S-TMSI и ngKSI. 110 UE также форматирует или генерирует второй запрос услуги, который является дубликатом первого запроса услуги. UE 110 включает или вставляет IEs протокола NAS для процедуры запроса услуги NAS во второй запрос услуги. На этом этапе второй запрос услуги содержит весь набор IEs протокола NAS для процедуры запроса услуги NAS (обязательных и необязательных (при желании)). Поскольку второй запрос услуги содержит каждый из обязательных IEs протокола NAS для процедуры запроса услуги NAS, второй запрос услуги считается «полным» запросом услуги.Fig. 17 is a message diagram showing a procedure for requesting a NAS service when a UE has a valid security context in an exemplary embodiment.
UE 110 включает или вставляет второй запрос услуги в контейнер сообщения NAS первого запроса услуги и шифрует контейнер сообщения NAS первого запроса услуги с применением алгоритма безопасности NAS контекста безопасности NAS. Таким образом, полный второй запрос услуги зашифровывается в контейнере сообщения NAS первого запроса услуги. Затем 110 UE отправляет первый запрос услуги элементу 314 AMF (S1).
В ответ на прием первого запроса услуги элемент 314 AMF идентифицирует или извлекает контекст безопасности NAS на основе поднабора IEs протокола NAS, включенных в первый запрос услуги. Затем элемент 314 AMF дешифрует зашифрованный контейнер сообщения NAS первого запроса услуги, применяя контекст безопасности NAS, так что второй запрос услуги становится читаемым. Таким образом, элемент 314 AMF может обрабатывать весь набор IEs протокола NAS для процедуры запроса услуги NAS и продолжать обработку для процедуры запроса услуги NAS. Например, элемент 314 AMF отправляет сообщение с подтверждением услуги на UE 110 (S2).In response to receiving the first service request,
Фиг. 18 представляет собой схему сообщения, показывающую процедуру дерегистрации NAS, когда UE имеет действительный контекст безопасности в иллюстративном варианте осуществления. UE 110 генерирует или форматирует первый запрос дерегистрации для процедуры дерегистрации NAS. В этом варианте осуществления UE 110 заполняет первый запрос дерегистрации поднабором IEs протокола NAS, которые предназначены для обработки, связанной с безопасностью, который применяется для индикации контекста безопасности NAS элементу 314 AMF. В этом примере, поднабор IEs протокола NAS может содержать 5G-S-TMSI и ngKSI. 110 UE также форматирует или генерирует второй запрос дерегистрации, который является дубликатом первого запроса дерегистрации. UE 110 включает или вставляет IEs протокола NAS для процедуры дерегистрации NAS во второй запрос дерегистрации. На этом этапе второй запрос дерегистрации содержит весь набор IEs протокола NAS для процедуры дерегистрации NAS (обязательных и необязательных (при желании)). Поскольку второй запрос дерегистрации содержит каждый из обязательных IEs протокола NAS для процедуры дерегистрации NAS, второй запрос дерегистрации считается «полным» запросом дерегистрации.Fig. 18 is a message diagram showing the NAS de-registration procedure when the UE has a valid security context in an exemplary embodiment.
UE 110 включает или вставляет второй запрос дерегистрации в контейнер сообщения NAS первого запроса дерегистрации и шифрует контейнер сообщения NAS первого запроса дерегистрации с применением алгоритма безопасности NAS контекста безопасности NAS. Таким образом, полный второй запрос дерегистрации зашифровывается в контейнере сообщения NAS первого запроса дерегистрации. Затем 110 UE отправляет первый запрос дерегистрации элементу 314 AMF (S1).
В ответ на прием первого запроса дерегистрации элемент 314 AMF идентифицирует или извлекает контекст безопасности NAS на основе поднабора IEs протокола NAS, включенных в первый запрос дерегистрации. Затем элемент 314 AMF дешифрует зашифрованный контейнер сообщения NAS первого запроса дерегистрации, применяя контекст безопасности NAS, так что второй запрос дерегистрации становится читаемым. Таким образом, элемент 314 AMF может обрабатывать весь набор IEs протокола NAS для процедуры дерегистрации NAS и продолжать обработку для процедуры дерегистрации NAS. Например, элемент 314 AMF отправляет сообщение с подтверждением дерегистрации на UE 110 (S2).In response to receiving the first deregistration request,
Пример 4: Контекст безопасности существует - контекст безопасности является недействительным или не найденнымExample 4: Security context exists - security context is invalid or not found
Фиг. 19А-19В представляют собой схему последовательности операций, иллюстрирующую способ 1900 выполнения процедуры NAS в UE 110 в иллюстративном варианте осуществления. Контроллер 634 NAS в UE 110 инициирует процедуру NAS для установления (или повторного установления) сеанса связи NAS между UE 110 и сетевым элементом 132 (этап 1902). Для первой фазы 1931 процедуры NAS контроллер 634 NAS идентифицирует поднабор IEs протокола NAS, которые предназначены для обработки, связанной с безопасностью (этап 1904). Контроллер 634 NAS форматирует или генерирует первое сообщение NAS для процедуры NAS и включает или вставляет поднабор IEs протокола NAS в первое сообщение NAS (этап 1906).Fig. 19A-19B are a flowchart illustrating a
Контроллер 634 NAS также форматирует или генерирует второе сообщение NAS, которое является дубликатом первого сообщения NAS. Контроллер 634 NAS включает или вставляет IEs протокола NAS для процедуры NAS во второе сообщение NAS (этап 1908). На этом этапе второе сообщение NAS содержит весь набор IEs протокола NAS для процедуры NAS (обязательных и необязательных (при желании)). Поскольку второе сообщение NAS содержит каждый из обязательных IEs протокола NAS для процедуры NAS, второе сообщение NAS считается «полным» сообщением NAS.The
Контроллер 634 NAS включает или вставляет второе сообщение NAS в контейнер сообщения NAS первого сообщения NAS (этап 1910). Контроллер 634 NAS шифрует контейнер сообщения NAS первого сообщения NAS с применением алгоритма безопасности NAS контекста безопасности NAS (этап 1912). Таким образом, полное второе сообщение NAS зашифровывается в контейнере сообщения NAS первого сообщения NAS. Затем контроллер 634 NAS отправляет первое сообщение NAS сетевому элементу 132 (этап 1914).The
Фиг. 20 представляет собой схему последовательности операций, иллюстрирующую способ 2000 выполнения процедуры NAS в сетевом элементе 132 в иллюстративном варианте осуществления. Для первой фазы 1931 процедуры NAS компонент 702 сетевого интерфейса сетевого элемента 132 принимает первое сообщение NAS от UE 110 (этап 2002). Менеджер 704 безопасности обрабатывает поднабор IEs протокола NAS в первом сообщении NAS и не может идентифицировать действительный контекст безопасности NAS для UE 110 (этап 2004). Например, даже если контекст безопасности NAS существует, менеджер 704 безопасности может быть не в состоянии идентифицировать контекст безопасности NAS на основе поднабора IEs протокола NAS, предоставленных в первом сообщении NAS, причем контекст безопасности NAS идентифицированный на основе поднабора IEs протокола NAS является недействительным и т.д. Поскольку действительный контекст безопасности NAS не найден, менеджер 704 безопасности инициирует процедуру аутентификации для аутентификации UE 110 (этап 2006). Даже если процедура аутентификации могла быть выполнена ранее, менеджер 704 безопасности снова выполняет процедуру аутентификации, когда не найден действительный контекст безопасности NAS. В рамках процедуры аутентификации менеджер 704 безопасности может отправить аутентификационный запрос на UE 110 вместе с аутентификационным маркером (необязательный этап 2008) через компонент 702 сетевого интерфейса. В ответ на аутентификационный запрос UE 110 пытается проверить аутентификационный маркер (см. этап 1916 на фиг. 19А). В случае успеха UE 110 считает, что мобильная сеть 100 аутентифицирована. UE 110 вычисляет ответный маркер и отправляет аутентификационный ответ с ответным маркером, который принимается менеджером 704 безопасности (необязательный этап 2010) через компонент 702 сетевого интерфейса. Менеджер 704 безопасности (или другой сетевой элемент) может затем определить, действителен ли ответный маркер (например, сравнить ответный маркер с ожидаемым ответным маркером). Если ответный маркер действителен, то менеджер 704 безопасности рассматривает UE 110 аутентифицированным.Fig. 20 is a flowchart illustrating a
Когда UE 110 подтверждено, менеджер 704 безопасности инициирует процедуру безопасности NAS, чтобы установить новый контекст безопасности NAS (этап 2012). Для процедуры безопасности NAS менеджер 704 безопасности выбирает один или большее количество алгоритмов безопасности NAS для новой процедуры безопасности NAS (этап 2014) и определяет один или большее количество ключей безопасности NAS. Затем менеджер 704 безопасности отправляет ответ на UE 110, который индицирует или содержит алгоритм(ы) безопасности NAS и идентификатор набора ключей безопасности, выбранный для нового контекста безопасности NAS (этап 2016), через компонент 702 сетевого интерфейса. Ответ может содержать команду режима безопасности, которая содержит алгоритм(ы) безопасности NAS, идентификатор набора ключей безопасности (например, ngKSI, eKSI и т.д.) и другую информацию.When
На фиг. 19А контроллер 634 NAS принимает ответ от сетевого элемента 132, который индицирует алгоритм(ы) безопасности NAS и идентификатор набора ключей безопасности (этап 1918). С помощью информации, предоставленной в ответе от сетевого элемента 132, между UE 110 и сетевым элементом 132 устанавливается новый контекст безопасности NAS. Таким образом, последующим сообщениям NAS между UE 110 и сетевым элементом 132 может быть обеспечена безопасность с применением нового контекста безопасности NAS.In FIG. 19A,
Для второй фазы 1932 процедуры NAS на фиг. 19 В, контроллер 634 NAS UE 110 может затем отформатировать или сгенерировать последующее сообщение NAS для процедуры NAS. Например, последующее сообщение NAS может содержать сообщение о выполнении режима безопасности. Контроллер 634 NAS включает или вставляет второе сообщение NAS для процедуры NAS в контейнер сообщения NAS последующего сообщения NAS (этап 1920). Как описано выше, второе сообщение NAS содержит весь набор IEs протокола NAS для процедуры NAS (обязательных и необязательных (при желании)), и рассматривается «полным» сообщением NAS. Контроллер 634 NAS шифрует контейнер сообщения NAS последующего сообщения NAS с применением алгоритма(ов) безопасности NAS (этап 1922) нового контекста безопасности NAS. Затем контроллер 634 NAS отправляет последующее сообщение NAS сетевому элементу 132 (этап 1924).For the
На фиг. 20 для второй фазы 1932 компонент 702 сетевого интерфейса принимает последующее сообщение NAS от UE 110 (этап 2018). Менеджер 704 безопасности дешифрует контейнер сообщения NAS последующего сообщения NAS с применением алгоритма(ов) безопасности NAS (этап 2020) нового контекста безопасности NAS для доступа к полному второму сообщению NAS. Менеджер 704 безопасности или другие подсистемы сетевого элемента 132 могут затем обработать IEs протокола NAS из полного второго сообщения NAS для обеспечения дальнейшей обработки для процедуры NAS. Одним из технических преимуществ этого процесса является то, что только IEs протокола NAS, которые необходимы для идентификации контекста безопасности NAS, отправляются как незашифрованные в первом сообщении NAS. Когда действительный контекст безопасности NAS не найден, устанавливается новый контекст безопасности NAS, и полное сообщение NAS шифруется в последующем сообщении NAS в соответствии с новым контекстом безопасности NAS, что обеспечивает дополнительную защиту безопасности.In FIG. 20 for the
Фиг. 21 представляет собой схему сообщения, показывающую процедуру регистрации NAS, когда UE имеет контекст безопасности NAS, но контекст безопасности NAS является недействительным или является ненайденным в иллюстративном варианте осуществления. Для первой фазы процедуры NAS UE 110 генерирует или форматирует первый запрос регистрации для процедуры регистрации NAS. В этом варианте осуществления UE 110 заполняет первый запрос регистрации поднабором IEs протокола NAS, которые предназначены для обработки, связанной с безопасностью. Эта информация применяется для индицирования контекста безопасности NAS элементу 314 AMF. Например, поднабор IEs протокола NAS может содержать 5G-GUTI, тип регистрации и ngKSI. 110 UE также форматирует или генерирует второй запрос регистрации, который является дубликатом первого запроса регистрации. UE 110 включает или вставляет IEs протокола NAS для процедуры регистрации NAS во второй запрос регистрации. На этом этапе второй запрос регистрации содержит весь набор IEs протокола NAS для процедуры регистрации NAS (обязательных и необязательных (при желании)). Поскольку второй запрос регистрации содержит каждый из обязательных IEs протокола NAS для процедуры регистрации NAS, второй запрос регистрации считается «полным» запросом регистрации.Fig. 21 is a message diagram showing a NAS registration procedure when a UE has a NAS security context, but the NAS security context is invalid or not found in the exemplary embodiment. For the first phase of the NAS procedure,
UE 110 включает или вставляет второй запрос регистрации в контейнер сообщения NAS первого запроса регистрации и шифрует контейнер сообщения NAS первого запроса регистрации с применением алгоритма безопасности NAS контекста безопасности NAS. Таким образом, полный второй запрос регистрации зашифровывается в контейнере сообщения NAS первого запроса регистрации. Затем 110 UE отправляет первый запрос регистрации элементу 314 AMF (S1).
В ответ на прием первого запроса регистрации элемент 314 AMF пытается идентифицировать или извлечь контекст безопасности NAS на основе поднабора IEs протокола NAS, включенных в первый запрос регистрации. В этом примере элемент 314 AMF не может идентифицировать действительный контекст безопасности NAS для UE 110. Таким образом, элемент 314 AMF не может дешифровать контейнер сообщения NAS первого запроса регистрации. Чтобы обеспечить безопасную связь, элемент 314 AMF инициирует новую процедуру аутентификации для создания нового контекста безопасности NAS. Элемент 314 AMF форматирует или генерирует аутентификационный запрос (т.е. Nausf_UEAuthentication_Authenticate Request) и отправляет аутентификационный запрос элементу 310 AUSF (S2). В ответ на прием аутентификационного запроса, элемент 310 AUSF форматирует или генерирует аутентификационный запрос (то есть Nudm_UEAuthentication_Get Request) и отправляет аутентификационный запрос элементу 312 UDM (S3).In response to receiving the first registration request,
В ответ на аутентификационный запрос элемент 312 UDM демаскирует SUCI и отправляет аутентификационный ответ (то есть Nudm_UEAuthentication_Get Response) элементу 310 AUSF (S4). В ответ на прием аутентификационного ответа, элемент 310 AUSF форматирует или генерирует аутентификационный ответ (то есть Nuasf_UEAuthentication_Authenticate Response) для элемента 314 AMF и отправляет аутентификационный ответ элементу 314 AMF (S5).In response to the authentication request, the
Элемент 314 AMF выполнен с возможностью выполнения процедуры аутентификации с помощью UE 110 с применением информации, предоставленной UDM/AUSF. Например, элемент 314 AMF отправляет аутентификационный запрос на UE 110 вместе с аутентификационным маркером (S6), и UE 110 пытается проверить аутентификационный маркер. В случае успеха UE 110 вычисляет ответный маркер и отправляет аутентификационный ответ с ответным маркером, который принимается элементом 314 AMF (S7). Элемент 314 AMF форматирует или генерирует другой аутентификационный запрос (то есть Nausf_UEAuthentication_Authenticate Request) и вставляет ответный маркер от UE 110 в аутентификационный запрос вместе с другой информацией. Затем элемент 314 AMF отправляет аутентификационный запрос элементу 310 AUSF (S8). Элемент 310 AUSF проверяет, совпадает ли ответный маркер от UE 110 с ожидаемым ответным маркером, и отправляет аутентификационный ответ (то есть Nausf_UEAuthentication_Authenticate Response) элементу 314 AMF, индицирующий успех/неудачу аутентификации.The
Когда UE 110 аутентифицируется в сети, элемент 314 AMF инициирует процедуру безопасности NAS, чтобы установить новый контекст безопасности NAS. Элемент 314 AMF выбирает алгоритм безопасности NAS (или несколько алгоритмов) для шифрования и защиты целостности. Элемент 314 AMF форматирует или генерирует сообщение с командой режима безопасности и вставляет индикатор алгоритма безопасности NAS, ngKSI и другую информацию в сообщение с командой режима безопасности. Затем элемент 314 AMF отправляет сообщение с командой режима безопасности на UE 110 (S10).When
Для второй фазы процедуры NAS UE 110 применяет ngKSI и алгоритм безопасности NAS для определения соответствующих ключей для защиты последующих сообщений NAS. Таким образом, между UE 110 и элементом 314 AMF устанавливается новый контекст безопасности NAS. UE 110 форматирует или генерирует сообщение о выполнении режима безопасности и вставляет второй запрос регистрации в контейнер сообщения NAS сообщения о выполнении режима безопасности. Как описано выше, второй запрос регистрации содержит весь набор IEs протокола NAS для процедуры регистрации NAS (обязательных и необязательных (при желании)), и рассматривается «полным» сообщением NAS. UE 110 шифрует контейнер сообщения NAS сообщения о выполнении режима безопасности, применяя алгоритм безопасности NAS нового контекста безопасности NAS. Таким образом, второй запрос регистрации зашифровывается в контейнере сообщения NAS сообщения о выполнении режима безопасности. Затем 110 UE отправляет сообщение о выполнении режима безопасности элементу 314 AMF (S11).For the second phase of the NAS procedure,
Элемент 314 AMF принимает сообщение о выполнении режима безопасности от UE 110 и дешифрует контейнер сообщения NAS сообщения о выполнении режима безопасности для доступа к IEs протокола NAS из второго запроса регистрации. Затем элемент 314 AMF продолжает процедуру регистрации NAS, например, отправляя сообщение с подтверждением регистрации на UE 110 (S12). UE 110 отвечает элементу 314 AMF сообщением о выполнении регистрации (S13), после чего UE 110 регистрируется в сети для доступа к услугам.The
Фиг. 22 представляет собой схему сообщения, показывающую процедуру запроса услуги NAS, когда UE имеет контекст безопасности NAS, но контекст безопасности NAS является недействительным или является ненайденным в иллюстративном варианте осуществления. Для первой фазы процедуры NAS UE 110 генерирует или форматирует первый запрос услуги для процедуры запроса услуги NAS. В этом варианте осуществления UE 110 заполняет первый запрос услуги поднабором IEs протокола NAS, которые предназначены для обработки, связанной с безопасностью. Эта информация применяется для индицирования контекста безопасности NAS элементу 314 AMF. Например, поднабор IEs протокола NAS может содержать 5G-S-TMSI и ngKSI. 110 UE также форматирует или генерирует второй запрос услуги, который является дубликатом первого запроса услуги. UE 110 включает или вставляет IEs протокола NAS для процедуры запроса услуги NAS во второй запрос услуги. На этом этапе второй запрос услуги содержит весь набор IEs протокола NAS для процедуры запроса услуги NAS (обязательных и необязательных (при желании)). Поскольку второй запрос услуги содержит каждый из обязательных IEs протокола NAS для процедуры запроса услуги NAS, второй запрос услуги считается «полным» запросом услуги.Fig. 22 is a message diagram showing a procedure for requesting a NAS service when a UE has a NAS security context, but the NAS security context is invalid or not found in the exemplary embodiment. For the first phase of the NAS procedure, the
UE 110 включает или вставляет второй запрос услуги в контейнер сообщения NAS первого запроса услуги и шифрует контейнер сообщения NAS первого запроса услуги с применением алгоритма безопасности NAS контекста безопасности NAS. Таким образом, полный второй запрос услуги зашифровывается в контейнере сообщения NAS первого запроса услуги. Затем 110 UE отправляет первый запрос услуги элементу 314 AMF (S1).The
В ответ на прием первого запроса услуги элемент 314 AMF пытается идентифицировать или извлечь контекст безопасности NAS на основе поднабора IEs протокола NAS, включенных в первый запрос услуги. В этом примере элемент 314 AMF не может идентифицировать действительный контекст безопасности NAS для UE 110. Таким образом, элемент 314 AMF не может дешифровать контейнер сообщения NAS первого запроса услуги. Чтобы обеспечить безопасную связь, элемент 314 AMF инициирует новую процедуру аутентификации для создания нового контекста безопасности NAS. Элемент 314 AMF форматирует или генерирует аутентификационный запрос (т.е. Nausf_UEAuthentication_Authenticate Request) и отправляет аутентификационный запрос элементу 310 AUSF (S2). В ответ на прием аутентификационного запроса, элемент 310 AUSF форматирует или генерирует аутентификационный запрос (то есть Nudm_UEAuthentication_Get Request) и отправляет аутентификационный запрос элементу 312 UDM (S3).In response to receiving the first service request,
В ответ на аутентификационный запрос элемент 312 UDM демаскирует SUCI и отправляет аутентификационный ответ (то есть Nudm_UEAuthentication_Get Response) элементу 310 AUSF (S4). В ответ на прием аутентификационного ответа, элемент 310 AUSF форматирует или генерирует аутентификационный ответ (то есть Nuasf_UEAuthentication_Authenticate Response) для элемента 314 AMF и отправляет аутентификационный ответ элементу 314 AMF (S5).In response to the authentication request, the
Элемент 314 AMF выполнен с возможностью выполнения процедуры аутентификации с помощью UE 110 с применением информации, предоставленной UDM/AUSF. Например, элемент 314 AMF отправляет аутентификационный запрос на UE 110 вместе с аутентификационным маркером (S6), и UE 110 пытается проверить аутентификационный маркер. В случае успеха UE 110 вычисляет ответный маркер и отправляет аутентификационный ответ с ответным маркером, который принимается элементом 314 AMF (S7). Элемент 314 AMF форматирует или генерирует другой аутентификационный запрос (то есть Nausf_UEAuthentication_Authenticate Request) и вставляет ответный маркер от UE 110 в аутентификационный запрос вместе с другой информацией. Затем элемент 314 AMF отправляет аутентификационный запрос элементу 310 AUSF (S8). Элемент 310 AUSF проверяет, совпадает ли ответный маркер от UE 110 с ожидаемым ответным маркером, и отправляет аутентификационный ответ (то есть Nausf_UEAuthentication_Authenticate Response) элементу 314 AMF, индицирующий успех/неудачу аутентификации.The
Когда UE 110 аутентифицируется в сети, элемент 314 AMF инициирует процедуру безопасности NAS, чтобы установить новый контекст безопасности NAS. Элемент 314 AMF выбирает алгоритм безопасности NAS (или несколько алгоритмов) для шифрования и защиты целостности. Элемент 314 AMF форматирует или генерирует сообщение с командой режима безопасности и вставляет индикатор алгоритма безопасности NAS, ngKSI и другую информацию в сообщение с командой режима безопасности. Затем элемент 314 AMF отправляет сообщение с командой режима безопасности на UE 110 (S10).When
Для второй фазы процедуры NAS UE 110 применяет ngKSI и алгоритм безопасности NAS для определения соответствующих ключей для защиты последующих сообщений NAS. Таким образом, между UE 110 и элементом 314 AMF устанавливается новый контекст безопасности NAS. UE 110 форматирует или генерирует сообщение о выполнении режима безопасности и вставляет второй запрос услуги в контейнер сообщения NAS сообщения о выполнении режима безопасности. Как описано выше, второй запрос услуги содержит весь набор IEs протокола NAS для процедуры запроса услуги NAS (обязательных и необязательных (при желании)), и рассматривается «полным» сообщением NAS. UE 110 шифрует контейнер сообщения NAS сообщения о выполнении режима безопасности, применяя алгоритм безопасности NAS нового контекста безопасности NAS. Таким образом, второй запрос услуги зашифровывается в контейнере сообщения NAS сообщения о выполнении режима безопасности. Затем 110 UE отправляет сообщение о выполнении режима безопасности элементу 314 AMF (SI 1).For the second phase of the NAS procedure,
Элемент 314 AMF принимает сообщение о выполнении режима безопасности от UE 110 и дешифрует контейнер сообщения NAS сообщения о выполнении режима безопасности для доступа к IEs протокола NAS из второго запроса услуги. Затем элемент 314 AMF продолжает процедуру запроса услуги NAS, например, отправляя сообщение с подтверждением регистрации на UE 110 (S12). UE 110 отвечает элементу 314 AMF сообщением о выполнении регистрации (S13).The
Любой из различных элементов или модулей, показанных на фигурах или описанных в данном документе, может быть реализован как аппаратное обеспечение, программное обеспечение, встроенное программное обеспечение или некоторая их комбинация. Например, элемент может быть реализован как специализированное аппаратное обеспечение. Специализированные аппаратные элементы могут называться «процессорами», «контроллерами» или некоторой подобной терминологией. Когда они предоставляются процессором, функции могут предоставляться одним специализированным процессором, одним совместно используемым процессором или совокупностью отдельных процессоров, некоторые из которых могут использоваться совместно. Более того, явное применение термина «процессор» или «контроллер» не должно толковаться как относящееся исключительно к аппаратному обеспечению, способному выполнять программное обеспечение, и может неявно включать, без ограничения, аппаратное обеспечение процессора цифровых сигналов (digital signal processor - DSP), сетевой процессор, специализированную интегральную схему (application specific integrated circuit - ASIC) или другую схему, программируемую на месте вентильную матрицу (flEsld programmable gate array - FPGA), постоянное запоминающее устройство (read only memory - ROM) для хранения программного обеспечения, оперативное запоминающее устройство (random access memory - RAM), энергонезависимое запоминающее устройство, логику или какой-либо другой физический аппаратный компонент или модуль.Any of the various elements or modules shown in the figures or described herein may be implemented as hardware, software, firmware, or some combination thereof. For example, the element may be implemented as dedicated hardware. Specialized hardware elements may be called "processors", "controllers", or some similar terminology. When provided by a processor, the functions may be provided by a single dedicated processor, a single shared processor, or a collection of individual processors, some of which may be shared. Moreover, the explicit use of the term "processor" or "controller" shall not be construed as referring solely to hardware capable of executing the software, and may implicitly include, without limitation, digital signal processor (DSP) hardware, network processor, application specific integrated circuit (ASIC) or other circuit, field programmable gate array (FPGA), read only memory (ROM) for storing software, random access memory ( random access memory - RAM), non-volatile memory, logic, or some other physical hardware component or module.
Кроме того, элемент может быть реализован как инструкции, выполняемые процессором или компьютером для выполнения функций этого элемента. Некоторыми примерами инструкций являются программное обеспечение, код программы и встроенное программное обеспечение. Инструкции являются работоспособными, когда они выполняются процессором, чтобы указать процессору на выполнение функций элемента. Инструкции могут храниться на устройствах хранения данных, которые могут быть прочитаны процессором. Некоторыми примерами устройств хранения данных являются цифровые или твердотельные запоминающие устройства, магнитные носители данных, такие как магнитные диски и магнитные ленты, жесткие диски или оптически считываемые носители цифровых данных.In addition, an element may be implemented as instructions executable by a processor or computer to perform the functions of the element. Some examples of instructions are software, program code, and firmware. Instructions are operable when they are executed by the processor to instruct the processor to perform the functions of an element. The instructions may be stored on data storage devices that can be read by the processor. Some examples of storage devices are digital or solid state storage devices, magnetic storage media such as magnetic disks and magnetic tapes, hard drives or optically readable digital storage media.
Используемый в этой заявке термин «схема» может относиться к одному или большему количеству, или всем из следующего:As used in this application, the term "scheme" may refer to one or more or all of the following:
(a) реализации схем только на аппаратном уровне (например, реализации только на аналоговых и/или цифровых схемах);(a) implementations of circuits only in hardware (eg, implementations only in analog and/or digital circuits);
(b) комбинации аппаратных схем и программного обеспечения, такие как (если применимо):(b) combinations of hardware circuits and software, such as (if applicable):
(i) комбинация аналоговой и/или цифровой аппаратной схемы (схем) с программным обеспечением/встроенным программным обеспечением; и(i) a combination of analog and/or digital hardware circuit(s) with software/firmware; and
(ii) любые части аппаратного процессора(ов) с программным обеспечением (включая процессор(ы) цифровых сигналов), программным обеспечением и запоминающим устройством(ами), которые работают вместе, чтобы предписывать аппарату, такому как мобильный телефон или сервер, выполнять различные функции;и(ii) any parts of a hardware processor(s) with software (including digital signal processor(s), software, and storage device(s) that work together to cause a device, such as a mobile phone or a server, to perform various functions ;and
(с) аппаратная(ые) схема(ы) и/или процессор(ы), такие как микропроцессор(ы) или часть микропроцессора(ов), которые требуют программного обеспечения (например, встроенного программного обеспечения) для работы, но указанное программное обеспечение может отсутствовать когда это не нужно для работы.(c) hardware(s) circuit(s) and/or processor(s), such as a microprocessor(s) or part of a microprocessor(s), that require software (such as firmware) to operate, but said software may be absent when it is not needed for work.
Это определение «схемы» применимо ко всем применениям этого термина в данной заявке, в том числе в любых пунктах формулы изобретения. В качестве дополнительного примера, используемый в этой заявке термин «схема» также охватывает реализацию просто аппаратной схемы или процессора (или нескольких процессоров) или части аппаратной схемы или процессора и ее (или их) сопутствующего программного обеспечения и/или встроенного программного обеспечения. Термин «схема» также охватывает, например, и если применимо к конкретному элементу формулы изобретения, интегральную схему основной полосы частот или интегральную схему процессора для мобильного устройства или аналогичную интегральную схему в сервере, устройстве сотовой сети или другом вычислительном или сетевом устройстве.This definition of "scheme" applies to all uses of the term in this application, including in any claims. As a further example, as used in this application, the term "circuit" also encompasses the implementation of simply a hardware circuit or processor (or multiple processors) or a portion of a hardware circuit or processor and its (or their) associated software and/or firmware. The term "circuitry" also encompasses, for example, and when applicable to a particular claim element, a baseband or processor integrated circuit for a mobile device or a similar integrated circuit in a server, cellular network device, or other computing or network device.
Хотя в данном документе были описаны конкретные варианты осуществления, объем раскрытия не ограничивается этими конкретными вариантами осуществления. Объем настоящего раскрытия определяется нижеследующей формулой изобретения и любыми ее эквивалентами.While specific embodiments have been described herein, the scope of the disclosure is not limited to those specific embodiments. The scope of the present disclosure is defined by the following claims and any equivalents thereof.
Claims (321)
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US62/735,732 | 2018-09-24 |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2772709C1 true RU2772709C1 (en) | 2022-05-24 |
Family
ID=
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2407237C2 (en) * | 2004-08-27 | 2010-12-20 | Нокиа Сименс Нетворкс ГмбХ унд Ко.КГ | Method for decentralisation of events count in abnormal withdrawal of call based on each cellular cell in digital cellular communication networks |
WO2011123824A1 (en) * | 2010-04-02 | 2011-10-06 | Interdigital Patend Holdings, Inc. | Inhibition of allowed closed subscriber group list |
RU2518945C2 (en) * | 2009-12-21 | 2014-06-10 | Хуавэй Текнолоджиз Ко., Лтд. | Method and apparatus for processing interface data |
US20160309379A1 (en) * | 2013-12-06 | 2016-10-20 | Interdigital Patent Holdings, Inc. | Layered connectivity in wireless systems |
US9992710B2 (en) * | 2013-11-21 | 2018-06-05 | Bao Tran | Communication apparatus |
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2407237C2 (en) * | 2004-08-27 | 2010-12-20 | Нокиа Сименс Нетворкс ГмбХ унд Ко.КГ | Method for decentralisation of events count in abnormal withdrawal of call based on each cellular cell in digital cellular communication networks |
RU2518945C2 (en) * | 2009-12-21 | 2014-06-10 | Хуавэй Текнолоджиз Ко., Лтд. | Method and apparatus for processing interface data |
WO2011123824A1 (en) * | 2010-04-02 | 2011-10-06 | Interdigital Patend Holdings, Inc. | Inhibition of allowed closed subscriber group list |
US9992710B2 (en) * | 2013-11-21 | 2018-06-05 | Bao Tran | Communication apparatus |
US20160309379A1 (en) * | 2013-12-06 | 2016-10-20 | Interdigital Patent Holdings, Inc. | Layered connectivity in wireless systems |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2023201713B2 (en) | Systems and method for security protection of NAS messages | |
US11405851B2 (en) | Closed access group overload and congestion control | |
US20170171752A1 (en) | Securing signaling interface between radio access network and a service management entity to support service slicing | |
AU2023201180B2 (en) | Systems and method for secure updates of configuration parameters provisioned in user equipment | |
JP4687788B2 (en) | Wireless access system and wireless access method | |
WO2020029729A1 (en) | Communication method and device | |
RU2772709C1 (en) | Systems and a method for protecting the security of nas messages | |
US20230292121A1 (en) | System and method for security protection of nas messages | |
RU2783383C1 (en) | Systems and method for safe updates of configuration parameters provided in user equipment |