RU2774435C2 - Method and device for security provision - Google Patents
Method and device for security provision Download PDFInfo
- Publication number
- RU2774435C2 RU2774435C2 RU2020119866A RU2020119866A RU2774435C2 RU 2774435 C2 RU2774435 C2 RU 2774435C2 RU 2020119866 A RU2020119866 A RU 2020119866A RU 2020119866 A RU2020119866 A RU 2020119866A RU 2774435 C2 RU2774435 C2 RU 2774435C2
- Authority
- RU
- Russia
- Prior art keywords
- nas
- access technology
- message
- nas count
- parameter
- Prior art date
Links
- 238000005516 engineering process Methods 0.000 claims abstract description 525
- 230000000875 corresponding Effects 0.000 claims abstract description 159
- 230000005540 biological transmission Effects 0.000 claims abstract description 36
- 238000004891 communication Methods 0.000 claims description 32
- 230000000694 effects Effects 0.000 abstract 1
- 239000000126 substance Substances 0.000 abstract 1
- 238000000034 method Methods 0.000 description 39
- 238000010586 diagram Methods 0.000 description 17
- 238000004422 calculation algorithm Methods 0.000 description 14
- 230000001702 transmitter Effects 0.000 description 6
- 230000000051 modifying Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003321 amplification Effects 0.000 description 1
- 230000003190 augmentative Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006011 modification reaction Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 230000003287 optical Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Abstract
Description
Область техники, к которой относится изобретениеThe field of technology to which the invention relates
Варианты осуществления настоящего изобретения относятся к области технологий беспроводной связи и, в частности, к способу и устройству обеспечения безопасности.Embodiments of the present invention relate to the field of wireless communication technologies and, in particular, to a security method and apparatus.
Уровень техникиState of the art
В системе 5-го поколения (5th generation, 5G) оконечное устройство может получить доступ к узлу функции управления доступа и мобильностью (access and mobility management function, AMF) только посредством технологии доступа проекта партнерства 3-го поколения (3rd generation partnership project, 3GPP), либо только с помощью non-3GPP технологии доступа (non-3GPP), либо с помощью 3GPP технологии доступа и non-3GPP технологии доступа. Когда оконечное устройство получает доступ к AMF узлу посредством 3GPP технологии доступа и non-3GPP технологии доступа, между оконечным устройством и AMF узлом одновременно используют две линии соединения уровня без доступа (non-access stratum, NAS). Если оконечное устройство использует один набор NAS ключей и один набор NAS COUNTs (подсчет уровня без доступа, NAS count) для раздельной защиты двух линий соединения, может произойти следующий случай: AMF узел сначала принимает относительно небольшой NAS COUNT, переданный через одну линию связи, и затем принимает относительно большой NAS COUNT, переданный через другую линию связи. Следовательно, происходит атака повторением, приводящая к снижению безопасности данных при передаче по NAS линии соединения между оконечное устройством и AMF узлом. В этой связи, необходимо решить техническую задачу по обеспечении безопасности передачи данных между оконечным устройством и AMF узлом по множеству NAS линий соединения при их наличии.In a 5th generation ( 5G ) system, an end device can access an access and mobility management function (AMF) node only through a 3rd generation partnership project access technology. , 3GPP), either with non-3GPP access technology only (non-3GPP), or with 3GPP access technology and non-3GPP access technology. When a terminal device accesses an AMF node through 3GPP access technology and non-3GPP access technology, two non-access stratum (NAS) connection lines are simultaneously used between the terminal device and the AMF node. If an end device uses one set of NAS keys and one set of NAS COUNTs (NAS count) to secure two links separately, the following case may occur: an AMF node first receives a relatively small NAS COUNT sent over one link, and then receives a relatively large NAS COUNT transmitted via another link. Therefore, a replay attack occurs, leading to a decrease in the security of data in transit over the NAS connection line between the end device and the AMF node. In this regard, it is necessary to solve the technical problem of ensuring the security of data transmission between the terminal device and the AMF node over multiple NAS connection lines, if any.
Раскрытие сущности изобретенияDisclosure of the essence of the invention
Варианты осуществления настоящего изобретения обеспечивают способ и устройство реализации обеспечения безопасности для множества NAS линий соединения.Embodiments of the present invention provide a method and apparatus for implementing security for multiple NAS connection lines.
Для решения вышеупомянутых задач в вариантах осуществления настоящего изобретения обеспечиваются следующие технические решения:To solve the above problems, the following technical solutions are provided in the embodiments of the present invention:
Вариант осуществления настоящего изобретения обеспечивает способ обеспечения безопасности. Способ включает в себя: определение оконечным устройством первого параметра и затем выполнение обеспечения безопасности для NAS сообщения на основании первого параметра, NAS ключа и NAS COUNT, соответствующих технологии доступа, используемой для передачи NAS сообщения. Первый параметр является входным параметром, используемым, когда оконечное устройство выполняет обеспечение безопасности для NAS сообщения, и используется для указания технологии доступа, используемой для передачи NAS сообщения. Оконечное устройство может поддерживать, по меньшей мере, две технологии доступа и может отдельно поддерживать соответствующий NAS COUNT для каждой из по меньшей мере двух технологий доступа.An embodiment of the present invention provides a security method. The method includes: determining by the terminal a first parameter and then performing security for the NAS message based on the first parameter, the NAS key and the NAS COUNT corresponding to the access technology used to transmit the NAS message. The first parameter is an input parameter used when the terminal performs security for the NAS message and is used to indicate the access technology used to transmit the NAS message. The tag may support at least two access technologies and may separately support a corresponding NAS COUNT for each of the at least two access technologies.
Например, по меньшей мере две технологии доступа, поддерживаемые оконечным устройством, могут включать в себя 3GPP технологию доступа и другую технологию доступа, которая может совместно использовать сетевое основное сетевое устройство 3GPP с 3GPP технологией доступа. Другая технология доступа может быть, например, non-3GPP технологией доступа или фиксированной технологией сетевого доступа.For example, the at least two access technologies supported by the terminal may include a 3GPP access technology and another access technology that may share a 3GPP network core network device with a 3GPP access technology. The other access technology may be, for example, a non-3GPP access technology or a fixed network access technology.
В качестве варианта, первый параметр может дополнительно использоваться для указания тракта передачи, используемого оконечным устройством для передачи NAS сообщения, и оконечное устройство может отдельно поддерживать соответствующий NAS COUNT для каждого тракта передачи, используемого для передачи NAS сообщений.Alternatively, the first parameter may further be used to indicate the transmission path used by the terminal to transmit the NAS message, and the terminal may separately maintain a corresponding NAS COUNT for each transmission path used to transmit the NAS messages.
Первый параметр может быть входным параметром, вновь добавленным в процессе шифрования/дешифрования, или процессе защиты целостности, например, ACCESS параметром. Бит ACCESS параметра может быть установлен на разные значения, чтобы представлять разные технологии доступа. Например, если первый параметр равен 00, то это указывает, что используется 3GPP технология доступа; или, если первый параметр равен 01, то это указывает, что используется non-3GPP технология доступа. Альтернативно, первый параметр может быть всеми или некоторыми битами текущего входного параметра COUNT в процессе шифрования/дешифрования или процессе защиты целостности, или первый параметр может быть всеми или некоторыми битами текущего входного параметра BEARER в процессе шифрования/дешифрования или процессе защиты целостности.The first parameter may be an input parameter newly added in the encryption/decryption process or integrity protection process, such as the ACCESS parameter. The ACCESS bit of the parameter may be set to different values to represent different access technologies. For example, if the first parameter is 00, then this indicates that the 3GPP access technology is being used; or, if the first parameter is 01, then this indicates that a non-3GPP access technology is being used. Alternatively, the first parameter may be all or some bits of the current COUNT input parameter in the encryption/decryption process or integrity protection process, or the first parameter may be all or some bits of the current BEARER input parameter in the encryption/decryption process or integrity protection process.
NAS ключ является общим, по меньшей мере, для двух технологий доступа, поддерживаемых оконечным устройством.The NAS key is shared by at least two access technologies supported by the end device.
Согласно этому способу, оконечное устройство может отдельно поддерживать соответствующие NAS COUNTs для каждой из, по меньшей мере, двух технологий доступа. Оконечное устройство не использует один и тот же набор NAS COUNTs при передаче NAS сообщений через разные технологии доступа. Вместо этого, оконечное устройство выполняет обеспечение безопасности для NAS сообщения с использованием NAS COUNT, поддерживаемого для соответствующей технологии доступа. Может избежать атаки повторением, которая возникает, когда основное сетевое устройство сначала принимает относительно небольшой NAS COUNT, переданный по одной линии связи, и затем принимает относительно большой NAS COUNT, переданный по другой линии связи. Дополнительно, в настоящем изобретении первый параметр, используемый для различения различных технологий доступа, дополнительно используется при обеспечении защиты NAS сообщения. Следовательно, даже, если один и тот же NAS ключ и один и тот же NAS COUNT используются при выполнении обеспечения безопасности для NAS сообщения, передаваемого с использованием различных технологий доступа, результаты обеспечения безопасности для NAS сообщения различны, что уменьшает вероятность возникновения атаки повторением, тем самым, реализуя обеспечение безопасности для множества NAS линий соединений.According to this method, the tag may separately maintain the corresponding NAS COUNTs for each of the at least two access technologies. An end device does not use the same set of NAS COUNTs when transmitting NAS messages over different access technologies. Instead, the end device performs security for the NAS message using the NAS COUNT supported for the respective access technology. Can avoid a replay attack that occurs when the underlying network device first receives a relatively small NAS COUNT transmitted on one link and then receives a relatively large NAS COUNT transmitted on another link. Additionally, in the present invention, the first parameter used to distinguish between different access technologies is additionally used when securing the NAS message. Therefore, even if the same NAS key and the same NAS COUNT are used when performing security for a NAS message transmitted using different access technologies, the security results for the NAS message are different, which reduces the probability of occurrence of a replay attack, the more thereby realizing security for multiple NAS connection lines.
В возможной реализации, по меньшей мере, две технологии доступа включают в себя первую технологию доступа. Если технология доступа, используемая для передачи NAS сообщения, является первой технологией доступа, то перед тем, как оконечное устройство определит первый параметр, оконечное устройство может определить первый NAS COUNT восходящей линии связи, соответствующий первой технологии доступа, и затем оконечное устройство отправит первое сообщение в основное сетевое устройство, где обеспечение безопасности выполняется для первого сообщения с использованием первого NAS COUNT восходящей линии связи и NAS ключа, и первое сообщение содержит некоторые или все биты первого NAS COUNT восходящей линии связи.In an exemplary implementation, the at least two access technologies include a first access technology. If the access technology used to send the NAS message is the first access technology, then before the terminal determines the first parameter, the terminal may determine the first uplink NAS COUNT corresponding to the first access technology, and then the terminal sends the first message to the underlying network device where security is performed on the first message using the first uplink NAS COUNT and the NAS key, and the first message contains some or all of the bits of the first uplink NAS COUNT.
Например, первая технология доступа может быть non-3GPP технологией доступа.For example, the first access technology may be a non-3GPP access technology.
В возможной реализации, начальное значение первого NAS COUNT восходящей линии связи равно 0, при этом, некоторые или все биты первого NAS COUNT восходящей линии связи равны 0. Альтернативно, первый NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты в первом NAS COUNT восходящей линии связи являются случайными числами. Например, часть с порядковым номером или часть с переполнением NAS в первом NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. В качестве альтернативы, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. В качестве альтернативы, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, которая соответствует второй технологии доступа и которая сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является суммой 1 и наибольшим NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Альтернативно, первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит по меньшей мере два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Альтернативно, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством.In an exemplary implementation, the initial value of the first uplink NAS COUNT is 0, with some or all of the bits of the first uplink NAS COUNT being 0. Alternatively, the first uplink NAS COUNT is a random number. In particular, some or all of the bits in the first uplink NAS COUNT are random numbers. For example, the sequence number part or the NAS overflow part in the first uplink NAS COUNT is a random number. In this case, the remainder is 0. Alternatively, the at least two access technologies further include a second access technology, and the first uplink NAS COUNT is an uplink NAS COUNT that corresponds to the second access technology and that is stored end device. If the terminal stores at least two uplink NAS COUNTs corresponding to the second access technology, the first uplink NAS COUNT is the largest uplink NAS COUNT that corresponds to the second access technology and is stored by the terminal. Alternatively, the at least two access technologies further include a second access technology, and the first uplink NAS COUNT is the sum of 1 and the uplink NAS COUNT that corresponds to the second access technology and that is stored by the terminal. If the terminal stores at least two uplink NAS COUNTs corresponding to the second access technology, the first uplink NAS COUNT is the sum of 1 and the largest uplink NAS COUNT that corresponds to the second access technology and is stored by the terminal. Alternatively, the first uplink NAS COUNT is an uplink NAS COUNT that corresponds to the first access technology and that is stored by the terminal. If the terminal stores at least two uplink NAS COUNTs corresponding to the first access technology, the first uplink NAS COUNT is the largest uplink NAS COUNT that corresponds to the first access technology and is stored by the terminal. Alternatively, the first uplink NAS COUNT is the sum of 1 and the uplink NAS COUNT that corresponds to the first access technology and that is stored by the terminal. If the terminal stores at least two uplink NAS COUNTs corresponding to the first access technology, the first uplink NAS COUNT is the sum of 1 and the largest uplink NAS COUNT that corresponds to the first access technology and is stored by the terminal.
В другой возможной реализации, по меньшей мере, две технологии доступа включают в себя первую технологию доступа и вторую технологию доступа. Если технология доступа, используемая для передачи NAS сообщения, является первой технологией доступа, прежде чем оконечное устройство определит первый параметр, оконечное устройство может отправить первое сообщение основному сетевому устройству при обеспечении безопасности первого сообщения с использованием NAS ключа и NAS COUNT восходящей линии связи, соответствующие второй технологии доступа, и первое сообщение содержит некоторые или все биты NAS COUNT восходящей линии связи, соответствующего второй технологии доступа.In another possible implementation, the at least two access technologies include a first access technology and a second access technology. If the access technology used to send the NAS message is the first access technology, before the end device determines the first parameter, the end device can send the first message to the underlying network device while securing the first message using the NAS key and uplink NAS COUNT corresponding to the second access technology, and the first message contains some or all bits of the uplink NAS COUNT corresponding to the second access technology.
Вторая технология доступа представляет собой 3GPP технологию доступа. В качестве варианта, предпосылкой для реализации этой реализации является то, что оконечное устройство получило доступ к основному сетевому устройству через 3GPP технологию доступа.The second access technology is a 3GPP access technology. Alternatively, a prerequisite for implementing this implementation is that the terminal device has gained access to the underlying network device via 3GPP access technology.
В возможной реализации первое сообщение может содержать первую информацию указания, и первая информация указания используется для указания технологии доступа, соответствующей некоторым или всем битам NAS COUNT восходящей линии связи, переносимой в первом сообщении. В качестве варианта, первая информация указания может быть дополнительно использована для указания тракта передачи, соответствующего некоторым или всем битам NAS COUNT восходящей линии связи, передаваемого в первом сообщении.In an exemplary implementation, the first message may contain first indication information, and the first indication information is used to indicate the access technology corresponding to some or all of the uplink NAS COUNT bits carried in the first message. Alternatively, the first indication information may be further used to indicate a transmission path corresponding to some or all of the uplink NAS COUNT bits transmitted in the first message.
В возможной реализации оконечное устройство принимает второе сообщение из основного сетевого устройства, где второе сообщение включает в себя один или оба из второго NAS COUNT восходящей линии связи и первого NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.In an exemplary implementation, the tag receives a second message from the host network device, where the second message includes one or both of the second uplink NAS COUNT and the first downlink NAS COUNT that correspond to the first access technology.
В качестве варианта, второе сообщение может включать в себя первый NAS COUNT нисходящей линии связи, соответствующий первой технологии доступа. В качестве альтернативы, второе сообщение включает в себя как второй NAS COUNT восходящей линии связи, так и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.Alternatively, the second message may include a first downlink NAS COUNT corresponding to the first access technology. Alternatively, the second message includes both the second uplink NAS COUNT and the first downlink NAS COUNT, which correspond to the first access technology.
В качестве варианта, второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа, являются одинаковыми.Alternatively, the second uplink NAS COUNT and the first downlink NAS COUNT that correspond to the first access technology are the same.
В возможной реализации, начальное значение второго NAS COUNT восходящей линии связи равно 0, причем все или некоторые биты второго NAS COUNT восходящей линии связи равны 0. Альтернативно, второй NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты во втором NAS COUNT восходящей линии связи являются случайными числами. Например, часть порядкового номера или часть переполнения NAS второго NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. Альтернативно, второй NAS COUNT восходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи является самым большим NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, которая соответствует второй технологии доступа и который хранится основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, которая соответствует второй технологии доступа и которая хранится основным сетевым устройством. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который сохраняется основным сетевым устройством. В качестве альтернативы, второй NAS COUNT восходящей линии связи является первым NAS COUNT восходящей линии связи; или второй NAS COUNT восходящей линии связи является суммой 1 и первый NAS COUNT восходящей линии связи.In an exemplary implementation, the second uplink NAS COUNT is initialized to 0, with all or some bits of the second uplink NAS COUNT being 0. Alternatively, the second uplink NAS COUNT is a random number. In particular, some or all of the bits in the second uplink NAS COUNT are random numbers. For example, the sequence number part or the NAS overflow part of the second uplink NAS COUNT is a random number. In this case, the remainder is 0. Alternatively, the second uplink NAS COUNT is a downlink NAS COUNT that corresponds to the second access technology and that is stored by the main network device. If the core network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the second uplink NAS COUNT is the largest downlink NAS COUNT that corresponds to the second access technology and is stored by the core network device. Alternatively, the second uplink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the second access technology and which is stored by the main network device. If the core network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the second uplink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the second access technology and is stored by the core network device. device. Alternatively, the second uplink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the first access technology and which is stored by the main network device. If the core network device stores at least two downlink NAS COUNTs corresponding to the first access technology, the second uplink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the first access technology and which is stored by the core network device. Alternatively, the second uplink NAS COUNT is the first uplink NAS COUNT; or the second uplink NAS COUNT is the sum of 1 and the first uplink NAS COUNT.
В возможном варианте осуществления начальное значение первого NAS COUNT нисходящей линии связи равен 0, где все или некоторые биты первого NAS COUNT нисходящей линии связи равны 0. Альтернативно, первый NAS COUNT нисходящей линии связи является случайным числом. В частности, некоторые или все биты в первом NAS COUNT нисходящей линии связи являются случайными числами. Например, часть с порядковым номером или часть переполнения NAS первого NAS COUNT нисходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. В качестве альтернативы, первый NAS COUNT нисходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи является самым большим NAS COUNT нисходящей линии связи, которая соответствует второй технологией доступа и которая сохраняется основным сетевым устройством. В качестве альтернативы, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и которая хранится основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, которое соответствует второй технологии доступа и которое хранится в основном сетевом устройстве. Альтернативно, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, которая соответствует первой технологии доступа и которая хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, которое соответствует первой технологии доступа и которая хранится в основном сетевом устройстве.In an exemplary embodiment, the initial value of the first downlink NAS COUNT is 0, where all or some bits of the first downlink NAS COUNT are 0. Alternatively, the first downlink NAS COUNT is a random number. In particular, some or all of the bits in the first downlink NAS COUNT are random numbers. For example, the sequence number part or the NAS overflow part of the first downlink NAS COUNT is a random number. In this case, the remainder is 0. Alternatively, the first downlink NAS COUNT is a downlink NAS COUNT which corresponds to the second access technology and which is stored by the network core device. If the core network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the first downlink NAS COUNT is the largest downlink NAS COUNT that corresponds to the second access technology and is stored by the core network device. Alternatively, the first downlink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the second access technology and which is stored by the underlying network device. If the underlying network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the first downlink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the second access technology and which is stored in the main network device. Alternatively, the first downlink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the first access technology and which is stored in the main network device. If the underlying network device stores at least two downlink NAS COUNTs corresponding to the first access technology, the first downlink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the first access technology and is stored in the main network device.
В возможной реализации второе сообщение содержит вторую информацию указания, и вторая информация указания используется для указания технологии доступа, соответствующей первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, используемую для указания второго NAS COUNT восходящей линии связи, передаваемого во втором сообщении.In an exemplary implementation, the second message contains second indication information, and the second indication information is used to indicate the access technology corresponding to the first downlink NAS COUNT transmitted in the second message. Alternatively, the second message may further comprise indication information used to indicate the second uplink NAS COUNT transmitted in the second message.
В качестве варианта, вторая информация указания используется для указания тракта передачи, соответствующего первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, которая используется для указания тракта передачи, соответствующего второму NAS COUNT восходящей линии связи, передаваемому во втором сообщении.Alternatively, the second indication information is used to indicate the transmission path corresponding to the first downlink NAS COUNT transmitted in the second message. Alternatively, the second message may further comprise indication information that is used to indicate a transmission path corresponding to the second uplink NAS COUNT transmitted in the second message.
Согласно второму аспекту вариант осуществления настоящего изобретения обеспечивает способ обеспечения безопасности. Способ включает в себя:According to a second aspect, an embodiment of the present invention provides a security method. The method includes:
определение основным сетевым устройством первого параметра; затем выполнение основным сетевым устройством обеспечения безопасности NAS сообщения на основании первого параметра, NAS ключа и NAS COUNT, соответствующие технологии доступа, используемой для передачи NAS сообщения. Первый параметр используется для указания технологии доступа, используемой для передачи NAS сообщения. Основное сетевое устройство может отдельно поддерживать соответствующий NAS COUNT для каждой, по меньшей мере, из двух технологий доступа, поддерживаемых оконечным устройством.determining by the main network device the first parameter; then, the NAS master network security device executes the message based on the first parameter, the NAS key and the NAS COUNT corresponding to the access technology used to send the NAS message. The first parameter is used to specify the access technology used to send the message to the NAS. The underlying network device may separately support a corresponding NAS COUNT for each of the at least two access technologies supported by the terminal device.
Например, по меньшей мере, две технологии доступа, поддерживаемые оконечным устройством, могут включать в себя 3GPP технологию доступа и другую технологию доступа. Указанная другая технология доступа может быть, например, non-3GPP технологией доступа или фиксированной технологией доступа к сети.For example, the at least two access technologies supported by a terminal may include a 3GPP access technology and another access technology. Said other access technology may be, for example, a non-3GPP access technology or a fixed network access technology.
В качестве варианта, первый параметр может дополнительно использоваться для указания тракта передачи, используемого основным сетевым устройством для передачи NAS сообщения, и основное сетевое устройство может отдельно поддерживать соответствующий NAS COUNT для каждого тракта передачи, используемого для передачи NAS сообщений.Alternatively, the first parameter may be further used to indicate the transmission path used by the underlying network device to transmit the NAS message, and the underlying network device may separately maintain a corresponding NAS COUNT for each transmission path used to transmit the NAS messages.
Первый параметр может быть входным параметром, вновь добавленным в процессе шифрования/дешифрования, или процессом защиты целостности, например, ACCESS параметром. Бит ACCESS параметра может быть установлен на разные значения, чтобы представлять разные технологии доступа. Например, если первый параметр равен 00, используется 3GPP технология доступа; или, если первый параметр равен 01, используется non-3GPP технология доступа. Альтернативно, первый параметр может дополнительно быть всеми или некоторыми битами текущего входного параметра COUNT в процессе шифрования/дешифрования, или процессе защиты целостности. Альтернативно, первый параметр может быть всеми или некоторыми битами текущего входного параметра BEARER в процессе шифрования/дешифрования, или процессе защиты целостности.The first parameter may be an input parameter newly added in the encryption/decryption process, or an integrity protection process such as the ACCESS parameter. The ACCESS bit of the parameter may be set to different values to represent different access technologies. For example, if the first parameter is 00, the 3GPP access technology is used; or, if the first parameter is 01, non-3GPP access technology is used. Alternatively, the first parameter may further be all or some bits of the current COUNT input parameter in the encryption/decryption process, or the integrity protection process. Alternatively, the first parameter may be all or some bits of the current BEARER input parameter in the encryption/decryption process, or integrity protection process.
NAS ключ является общим, по меньшей мере, для двух технологий доступа, поддерживаемых оконечным устройством.The NAS key is shared by at least two access technologies supported by the end device.
Согласно этому способу основное сетевое устройство может отдельно поддерживать соответствующие NAS COUNTs для каждой из, по меньшей мере, двух технологий доступа. Оконечное устройство не использует один набор NAS COUNTs при передаче NAS сообщения с использованием различных технологий доступа. Вместо этого, основное сетевое устройство обеспечивает безопасность NAS сообщения с помощью NAS COUNT, поддерживаемого для соответствующей технологии доступа. Это может предотвратить атаку повторением, которая возникает, когда оконечное устройство сначала принимает относительно небольшой NAS COUNT, переданный по одной линии связи, а затем принимает относительно большой NAS COUNT, переданный по другой линии связи. Дополнительно, в настоящем изобретении первый параметр, используемый для различения различных технологий доступа, дополнительно используется при обеспечении безопасности сообщения NAS. Следовательно, даже при использовании одного и того же NAS ключа и одного и того же NAS COUNT при обеспечении безопасности NAS сообщения, передаваемого с использованием различных технологий доступа, результаты защиты NAS сообщения различны, что уменьшает вероятность возникновения атаки повторением, тем самым, реализуя обеспечение безопасности для множества NAS линий соединений.According to this method, the underlying network device may separately maintain respective NAS COUNTs for each of the at least two access technologies. An end device does not use the same set of NAS COUNTs when transmitting a NAS message using different access technologies. Instead, the underlying network device secures the NAS message with the NAS COUNT supported for the corresponding access technology. This can prevent a replay attack that occurs when a terminal first receives a relatively small NAS COUNT transmitted on one link and then receives a relatively large NAS COUNT transmitted on another link. Further, in the present invention, the first parameter used to distinguish between different access technologies is further used in securing the NAS message. Therefore, even when using the same NAS key and the same NAS COUNT, while securing the NAS message transmitted using different access technologies, the results of protecting the NAS message are different, which reduces the possibility of replay attack, thereby realizing the security for multiple NAS links.
В возможной реализации, по меньшей мере, две технологии доступа включают в себя первую технологию доступа. Если технология доступа, используемая для передачи NAS сообщения, является первой технологией доступа, то до того, как основное сетевое устройство определит первый параметр, основное сетевое устройство может принять первое сообщение, обеспечивается безопасность для первого сообщения с использованием NAS ключа и первого NAS COUNT восходящей линии связи, соответствующий первой технологии доступа, и первое сообщение содержит первый NAS COUNT восходящей линии связи.In an exemplary implementation, the at least two access technologies include a first access technology. If the access technology used to transmit the NAS message is the first access technology, then before the main network device determines the first parameter, the main network device can receive the first message, security is provided for the first message using the NAS key and the first uplink NAS COUNT connection corresponding to the first access technology, and the first message contains the first uplink NAS COUNT.
Например, первая технология доступа может быть non-3GPP технологией доступа.For example, the first access technology may be a non-3GPP access technology.
В возможной реализации, начальное значение первого NAS COUNT восходящей линии связи равно 0, в котором, некоторые или все биты первого NAS COUNT восходящей линии связи равны 0. Альтернативно, первый NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты в первом NAS COUNT восходящей линии связи являются случайными числами. Например, часть с порядковым номером или часть с переполнением NAS в первом NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. В качестве альтернативы, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует второй технологией доступа и который сохраняется оконечным устройством. В качестве альтернативы, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, которая соответствует второй технологии доступа и которая сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере два NAS COUNT восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является суммой 1 и наибольшим NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Альтернативно, первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый СЧЕТ NAS восходящей линии связи является наибольшим СЧЕТОМ NAS восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Альтернативно, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, которая соответствует первой технологии доступа и которая сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством.In an exemplary implementation, the initial value of the first uplink NAS COUNT is 0, wherein some or all of the bits of the first uplink NAS COUNT are 0. Alternatively, the first uplink NAS COUNT is a random number. In particular, some or all of the bits in the first uplink NAS COUNT are random numbers. For example, the sequence number part or the NAS overflow part in the first uplink NAS COUNT is a random number. In this case, the remainder is 0. Alternatively, the at least two access technologies further include a second access technology, and the first uplink NAS COUNT is an uplink NAS COUNT that corresponds to the second access technology and that is stored end device. If the terminal stores at least two uplink NAS COUNTs corresponding to the second access technology, the first uplink NAS COUNT is the largest uplink NAS COUNT that corresponds to the second access technology and is stored by the terminal. Alternatively, the at least two access technologies further include a second access technology, and the first uplink NAS COUNT is the sum of 1 and the uplink NAS COUNT that corresponds to the second access technology and that is stored by the terminal. If the terminal stores at least two uplink NAS COUNTs corresponding to the second access technology, the first uplink NAS COUNT is the sum of 1 and the largest uplink NAS COUNT that corresponds to the second access technology and is stored by the terminal. Alternatively, the first uplink NAS COUNT is an uplink NAS COUNT that corresponds to the first access technology and that is stored by the terminal. If the terminal stores at least two uplink NAS COUNTs corresponding to the first access technology, the first uplink NAS COUNT is the largest uplink NAS COUNT that corresponds to the first access technology and is stored by the terminal. Alternatively, the first uplink NAS COUNT is the sum of 1 and the uplink NAS COUNT that corresponds to the first access technology and that is stored by the terminal. If the terminal stores at least two uplink NAS COUNTs corresponding to the first access technology, the first uplink NAS COUNT is the sum of 1 and the largest uplink NAS COUNT that corresponds to the first access technology and is stored by the terminal.
В другой возможной реализации, по меньшей мере, две технологии доступа включают в себя первую технологию доступа и вторую технологию доступа. Если технология доступа, используемая для передачи NAS сообщения, является первой технологией доступа, то до того, как основное сетевое устройство определит первый параметр, основное сетевое устройство может принять первое сообщение, где обеспечивается безопасность для первого сообщения с использованием NAS ключа и NAS COUNT восходящей линии связи, соответствующий второй технологии доступа, и первое сообщение содержит некоторые или все биты NAS COUNT восходящей линии связи, соответствующий второй технологии доступа.In another possible implementation, the at least two access technologies include a first access technology and a second access technology. If the access technology used to transmit the NAS message is the first access technology, then before the main network device determines the first parameter, the main network device can receive the first message, where security for the first message is provided using the NAS key and the uplink NAS COUNT connection corresponding to the second access technology, and the first message contains some or all bits of the uplink NAS COUNT corresponding to the second access technology.
Вторая технология доступа представляет собой 3GPP технологию доступа. В качестве варианта, предпосылкой для реализации этой реализации является то, что оконечное устройство получило доступ к основному сетевому устройству с использованием 3GPP технологии доступа.The second access technology is a 3GPP access technology. Alternatively, a prerequisite for this implementation is that the terminal device has accessed the underlying network device using 3GPP access technology.
В возможной реализации первое сообщение передает первую информацию указания, и первая информация указания используется для указания технологии доступа, соответствующей некоторым или всем битам NAS COUNT восходящей линии связи, передаваемого в первом сообщении. В качестве варианта, первая информация указания может быть дополнительно использована для указания тракта передачи, соответствующего некоторым или всем битам NAS COUNT восходящей линии связи, передаваемого в первом сообщении.In an exemplary implementation, the first message conveys the first indication information, and the first indication information is used to indicate the access technology corresponding to some or all of the uplink NAS COUNT bits transmitted in the first message. Alternatively, the first indication information may be further used to indicate a transmission path corresponding to some or all of the uplink NAS COUNT bits transmitted in the first message.
В возможной реализации после того, как основное сетевое устройство принимает первое сообщение из оконечного устройства, основное сетевое устройство проверяет, в соответствии с NAS COUNT восходящей линии связи, соответствующей технологии доступа, указанной первой информацией указания, некоторых или всех битов NAS COUNT, передаваемого в первом сообщении.In a possible implementation, after the main network device receives the first message from the terminal device, the main network device checks, according to the uplink NAS COUNT corresponding to the access technology indicated by the first indication information, some or all of the bits of the NAS COUNT transmitted in the first message.
В этом варианте осуществления настоящего изобретения основное сетевое устройство может независимо поддерживать NAS COUNT для 3GPP технологии доступа и NAS COUNT для non-3GPP технологии доступа и дополнительно проверять принятый NAS COUNT восходящей линии связи согласно NAS COUNT восходящей линии связи, поддерживаемый основным сетевым устройством, тем самым, уменьшая вероятность возникновения атаки повторением.In this embodiment of the present invention, the core network device can independently maintain the NAS COUNT for 3GPP access technology and the NAS COUNT for non-3GPP access technology, and further verify the received uplink NAS COUNT according to the uplink NAS COUNT supported by the core network device, thereby , reducing the likelihood of a repetition attack occurring.
В возможной реализации основное сетевое устройство определяет один или оба второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа, и затем основное сетевое устройство отправляет второе сообщение в оконечное устройство, где второе сообщение включает в себя один или оба второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.In an exemplary implementation, the core network device determines one or both of the second uplink NAS COUNT and the first downlink NAS COUNT that correspond to the first access technology, and then the core network device sends a second message to the terminal device, where the second message includes one or both the second uplink NAS COUNT and the first downlink NAS COUNT, which correspond to the first access technology.
В качестве варианта, второе сообщение может включать в себя первый NAS COUNT нисходящей линии связи, соответствующий первой технологии доступа. В качестве альтернативы, второе сообщение включает в себя как второй NAS COUNT восходящей линии связи, так и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.Alternatively, the second message may include a first downlink NAS COUNT corresponding to the first access technology. Alternatively, the second message includes both the second uplink NAS COUNT and the first downlink NAS COUNT, which correspond to the first access technology.
В качестве варианта, второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа, являются одинаковыми.Alternatively, the second uplink NAS COUNT and the first downlink NAS COUNT that correspond to the first access technology are the same.
В возможной реализации, начальное значение второго NAS COUNT восходящей линии связи равно 0, причем все или некоторые биты второго NAS COUNT восходящей линии связи равны 0. Альтернативно, второй NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты во втором NAS COUNT восходящей линии связи являются случайными числами. Например, часть порядкового номера или часть переполнения NAS второго NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. Альтернативно, второй NAS COUNT восходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNT нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи является самым большим NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который сохраняется основным сетевым устройством. В качестве альтернативы, второй NAS COUNT восходящей линии связи является первым NAS COUNT восходящей линии связи; или второй NAS COUNT восходящей линии связи является суммой 1 и первого NAS COUNT восходящей линии связи.In an exemplary implementation, the second uplink NAS COUNT is initialized to 0, with all or some bits of the second uplink NAS COUNT being 0. Alternatively, the second uplink NAS COUNT is a random number. In particular, some or all of the bits in the second uplink NAS COUNT are random numbers. For example, the sequence number part or the NAS overflow part of the second uplink NAS COUNT is a random number. In this case, the remainder is 0. Alternatively, the second uplink NAS COUNT is a downlink NAS COUNT that corresponds to the second access technology and that is stored by the main network device. If the core network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the second uplink NAS COUNT is the largest downlink NAS COUNT that corresponds to the second access technology and is stored by the core network device. Alternatively, the second uplink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the second access technology and which is stored in the main network device. If the underlying network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the second uplink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the second access technology and which is stored in the main network device. Alternatively, the second uplink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the first access technology and which is stored in the main network device. If the core network device stores at least two downlink NAS COUNTs corresponding to the first access technology, the second uplink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the first access technology and which is stored by the core network device. Alternatively, the second uplink NAS COUNT is the first uplink NAS COUNT; or the second uplink NAS COUNT is the sum of 1 and the first uplink NAS COUNT.
В возможной реализации, начальное значение первого NAS COUNT нисходящей линии связи равно 0, в котором все или некоторые биты первого NAS COUNT нисходящей линии связи равны 0. Альтернативно, первый NAS COUNT нисходящей линии связи является случайным числом. В частности, некоторые или все биты в первого NAS COUNT нисходящей линии связи являются случайными числами. Например, часть с порядковым номером или часть переполнения NAS первого NAS COUNT нисходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. В качестве альтернативы, первый NAS COUNT нисходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи является самый большим NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. В качестве альтернативы, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Альтернативно, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве.In an exemplary implementation, the initial value of the first downlink NAS COUNT is 0, wherein all or some bits of the first downlink NAS COUNT are 0. Alternatively, the first downlink NAS COUNT is a random number. In particular, some or all of the bits in the first downlink NAS COUNT are random numbers. For example, the sequence number part or the NAS overflow part of the first downlink NAS COUNT is a random number. In this case, the remainder is 0. Alternatively, the first downlink NAS COUNT is a downlink NAS COUNT which corresponds to the second access technology and which is stored in the main network device. If the core network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the first downlink NAS COUNT is the largest downlink NAS COUNT that corresponds to the second access technology and is stored by the core network device. Alternatively, the first downlink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the second access technology and which is stored in the main network device. If the underlying network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the first downlink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the second access technology and which is stored primarily network device. Alternatively, the first downlink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the first access technology and which is stored in the main network device. If the underlying network device stores at least two downlink NAS COUNTs corresponding to the first access technology, the first downlink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the first access technology and which is stored mainly network device.
В возможной реализации второе сообщение содержит вторую информацию указания, и вторая информация указания используется для указания технологии доступа, соответствующей первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, используемую для указания второго NAS COUNT восходящей линии связи, передаваемого во втором сообщении.In an exemplary implementation, the second message contains second indication information, and the second indication information is used to indicate the access technology corresponding to the first downlink NAS COUNT transmitted in the second message. Alternatively, the second message may further comprise indication information used to indicate the second uplink NAS COUNT transmitted in the second message.
В качестве варианта, вторая информация указания используется для указания тракта передачи, соответствующего первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, которая используется для указания тракта передачи, соответствующего второму NAS COUNT восходящей линии связи, передаваемому во втором сообщении.Alternatively, the second indication information is used to indicate the transmission path corresponding to the first downlink NAS COUNT transmitted in the second message. Alternatively, the second message may further comprise indication information that is used to indicate a transmission path corresponding to the second uplink NAS COUNT transmitted in the second message.
В качестве варианта, вторая информация указания используется для указания тракта передачи, соответствующего первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, которая используется для указания тракта передачи, соответствующего второму NAS COUNT восходящей линии связи, передаваемому во втором сообщении.Alternatively, the second indication information is used to indicate the transmission path corresponding to the first downlink NAS COUNT transmitted in the second message. Alternatively, the second message may further comprise indication information that is used to indicate a transmission path corresponding to the second uplink NAS COUNT transmitted in the second message.
Согласно третьему аспекту вариант осуществления настоящего изобретения предоставляет устройство, и устройство имеет функцию реализации действий оконечного устройства в вышеупомянутой реализации способа. Функция может быть реализована аппаратными средствами или может быть реализована аппаратными средствами, выполняющими соответствующее программное обеспечение. Аппаратное или программное обеспечение включает в себя один или несколько модулей, соответствующих вышеуказанной функции. Например, устройство может быть оконечным устройством или может быть микросхемой в оконечном устройстве.According to a third aspect, an embodiment of the present invention provides a device, and the device has a function of realizing the actions of a terminal device in the above implementation of the method. The function may be implemented in hardware, or may be implemented in hardware running corresponding software. The hardware or software includes one or more modules corresponding to the above function. For example, the device may be a terminal device, or may be a chip in a terminal device.
В возможной реализации устройство является оконечным устройством, и оконечное устройство включает в себя процессор. Процессор выполнен с возможностью поддерживать оконечное устройство при выполнении соответствующей функции в вышеупомянутом способе. Кроме того, оконечное устройство может дополнительно включать в себя передатчик и приемник, где передатчик и приемник выполнены с возможностью поддерживать связь между оконечным устройством и основным сетевым устройством. Кроме того, оконечное устройство может дополнительно включать в себя память, и память выполнена с возможностью соединения с процессором и хранения необходимых программных инструкций и данных, которые необходимы для оконечного устройства.In an exemplary implementation, the device is a terminal device and the terminal device includes a processor. The processor is configured to support the tag while performing a corresponding function in the above method. In addition, the terminal device may further include a transmitter and a receiver, where the transmitter and receiver are configured to communicate between the terminal device and the main network device. In addition, the terminal device may further include a memory, and the memory is configured to be connected to the processor and store the necessary program instructions and data that the terminal device needs.
Согласно четвертому аспекту вариант осуществления настоящего изобретения предоставляет устройство, и устройство имеет функцию реализации действий основного сетевого устройства в вышеупомянутой реализации способа. Функция может быть реализована аппаратными средствами или может быть реализована аппаратными средствами, выполняющими соответствующее программное обеспечение. Аппаратное или программное обеспечение включает в себя один или несколько модулей, соответствующих вышеуказанной функции. Например, устройство может быть основным сетевым устройством или может быть микросхемой в основном сетевом устройстве.According to a fourth aspect, an embodiment of the present invention provides a device, and the device has a function of realizing the actions of the main network device in the above implementation of the method. The function may be implemented in hardware, or may be implemented in hardware running corresponding software. The hardware or software includes one or more modules corresponding to the above function. For example, the device may be a primary network device, or may be a chip in a primary network device.
В возможной реализации устройство представляет собой основное сетевое устройство, и основное сетевое устройство включает в себя процессор. Процессор выполнен с возможностью поддержки основного сетевого устройства при выполнении соответствующей функции в вышеупомянутом способе. Дополнительно, основное сетевое устройство может дополнительно включать в себя передатчик и приемник, где передатчик и приемник выполнены с возможностью поддерживать связь между основным сетевым устройством и оконечным устройством. Дополнительно, основное сетевое устройство может дополнительно включать в себя память, и память выполнена с возможностью соединения с процессором и хранения программной инструкции и данных, которые необходимы для оконечного устройства.In an exemplary implementation, the device is a primary network device, and the primary network device includes a processor. The processor is configured to support the host network device while performing the corresponding function in the above method. Additionally, the host network device may further include a transmitter and a receiver, where the transmitter and receiver are configured to communicate between the host network device and the terminal device. Additionally, the host network device may further include a memory, and the memory is configured to be coupled to the processor and store program instructions and data that are needed by the terminal device.
Согласно пятому аспекту вариант осуществления настоящего изобретения обеспечивает систему связи, где система включает в себя оконечное устройство и основное сетевое устройство, описанные в предшествующих аспектах. В качестве варианта, система может дополнительно включать в себя базовую станцию, N3IWF узел и оконечное устройство и основное сетевое устройство, описанные в предшествующих аспектах.According to a fifth aspect, an embodiment of the present invention provides a communication system, where the system includes a terminal device and a host network device described in the preceding aspects. Alternatively, the system may further include a base station, an N3IWF node, and a tag and host network device described in the preceding aspects.
В соответствии с шестым аспектом вариант осуществления настоящего изобретения предоставляет компьютерный носитель данных, выполненный с возможностью хранить инструкцию компьютерного программного обеспечения, используемую вышеупомянутым оконечным устройством, где инструкция компьютерного программного обеспечения включает в себя программу, предназначенную для выполнения первого аспекта.According to a sixth aspect, an embodiment of the present invention provides a computer storage medium configured to store a computer software instruction used by the above terminal device, where the computer software instruction includes a program for executing the first aspect.
В соответствии с седьмым аспектом вариант осуществления настоящего изобретения предоставляет компьютерный носитель данных, выполненный с возможностью хранить инструкцию компьютерного программного обеспечения, используемую вышеупомянутым устройством базовой сети. Инструкция компьютерного программного обеспечения включает в себя программу, предназначенную для выполнения второго аспекта.According to a seventh aspect, an embodiment of the present invention provides a computer storage medium capable of storing a computer software instruction used by the above-mentioned core network device. The computer software instruction includes a program for performing the second aspect.
Согласно восьмому аспекту вариант осуществления настоящего изобретения предоставляет компьютерный программный продукт, включающий в себя инструкцию. Когда компьютер выполняет инструкцию, компьютер выполнен с возможностью выполнять способ в первом аспекте.According to an eighth aspect, an embodiment of the present invention provides a computer program product including an instruction. When the computer executes the instruction, the computer is configured to execute the method in the first aspect.
Согласно девятому аспекту вариант осуществления настоящего изобретения предоставляет компьютерный программный продукт, включающий в себя инструкцию. Когда компьютер выполняет инструкцию, компьютер может выполнять способ во втором аспекте.According to a ninth aspect, an embodiment of the present invention provides a computer program product including an instruction. When the computer executes the instruction, the computer may execute the method in the second aspect.
В соответствии с десятым аспектом вариант осуществления настоящего изобретения обеспечивает систему микросхем, применяемую к оконечное устройству, где система микросхем включает в себя, по меньшей мере, один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и, по меньшей мере, один процессор соединены друг с другом через линии связи. По меньшей мере, в одной памяти хранится инструкция. Инструкция выполняется процессором, чтобы выполнить операции оконечного устройства в способе, описанном в первом аспекте.According to a tenth aspect, an embodiment of the present invention provides a chip system applied to a terminal device, where the chip system includes at least one processor, a memory, and a transceiver circuit. The memory, the transceiver circuitry, and at least one processor are connected to each other via communication lines. An instruction is stored in at least one memory. The instruction is executed by the processor to perform terminal operations in the manner described in the first aspect.
Согласно одиннадцатому аспекту вариант осуществления настоящего изобретения предоставляет систему микросхем, применяемую к основному сетевому устройству, где система микросхем включает в себя, по меньшей мере, один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и, по меньшей мере, один процессор соединены друг с другом через линии связи. По меньшей мере, в одной памяти хранится инструкция. Инструкция выполняется процессором, чтобы выполнить операции основного сетевого устройства способом, описанным во втором аспекте.According to an eleventh aspect, an embodiment of the present invention provides a chip system applied to a core network device, where the chip system includes at least one processor, a memory, and a transceiver circuit. The memory, the transceiver circuitry, and at least one processor are connected to each other via communication lines. An instruction is stored in at least one memory. The instruction is executed by the processor to perform operations of the main network device in the manner described in the second aspect.
Согласно способу обеспечения безопасности, предусмотренному в вариантах осуществления настоящего изобретения, оконечное устройство может отдельно поддерживать соответствующий NAS COUNT для каждой, по меньшей мере, из двух технологий доступа. Оконечное устройство не использует один набор NAS COUNT при передаче NAS сообщения через разные технологии доступа. Вместо этого, оконечное устройство обеспечивает безопасность для NAS сообщения с использованием NAS COUNT, поддерживаемого для соответствующей технологии доступа. Это может предотвратить атаку повторением, которая возникает, когда основное сетевое устройство сначала принимает относительно небольшой NAS COUNT, переданный по одной линии связи, и затем принимает относительно большой NAS COUNT, переданный по другой линии связи. Дополнительно, в настоящем изобретении дополнительно используется первый параметр, используемый для различения различных технологий доступа, для обеспечения безопасности NAS сообщения. Следовательно, даже если используются один и тот же NAS ключ и один и тот же NAS COUNT, при обеспечении безопасности NAS сообщения, передаваемого с использованием различных технологий доступа, результаты защиты NAS сообщения различны, что уменьшает вероятность возникновения атаки повторением, тем самым, обеспечивая безопасность для множества NAS линий соединений.According to the security method provided in the embodiments of the present invention, a terminal may separately maintain a corresponding NAS COUNT for each of at least two access technologies. An end device does not use the same set of NAS COUNTs when transmitting a NAS message over different access technologies. Instead, the end device secures the NAS message using the NAS COUNT supported for the respective access technology. This can prevent a replay attack that occurs when the underlying network device first receives a relatively small NAS COUNT transmitted on one link and then receives a relatively large NAS COUNT transmitted on another link. Additionally, the present invention further uses the first parameter used to distinguish between different access technologies to secure the NAS message. Therefore, even if the same NAS key and the same NAS COUNT are used, when securing a NAS message transmitted using different access technologies, the results of protecting the NAS message are different, which reduces the possibility of replay attack, thereby ensuring security. for multiple NAS links.
Краткое описание чертежейBrief description of the drawings
Фиг. 1 является схемой возможной сетевой архитектуры согласно варианту осуществления настоящего изобретения;Fig. 1 is a diagram of a possible network architecture according to an embodiment of the present invention;
фиг. 2 является схемой другой возможной сетевой архитектуры согласно варианту осуществления настоящего изобретения;fig. 2 is a diagram of another possible network architecture according to an embodiment of the present invention;
фиг. 3 является примером схемы способа шифрования и дешифрования согласно варианту осуществления настоящего изобретения;fig. 3 is an example diagram of an encryption and decryption method according to an embodiment of the present invention;
фиг. 4 является примерной схемой способа обеспечения безопасности целостности согласно варианту осуществления настоящего изобретения;fig. 4 is an exemplary diagram of an integrity security method according to an embodiment of the present invention;
фиг. 5 является блок-схемой последовательности операций способа обеспечения безопасности в соответствии с вариантом осуществления настоящего изобретения;fig. 5 is a flowchart of a security method according to an embodiment of the present invention;
фиг. 6 является примером схемы другого способа шифрования и дешифрования согласно варианту осуществления настоящего изобретения;fig. 6 is an example of a diagram of another encryption and decryption method according to an embodiment of the present invention;
фиг. 7 является примером схемы еще одного способа шифрования и дешифрования согласно варианту осуществления настоящего изобретения;fig. 7 is an example of a diagram of another encryption and decryption method according to an embodiment of the present invention;
фиг. 8 является примером схемы еще одного способа шифрования и дешифрования согласно варианту осуществления настоящего изобретения;fig. 8 is an example of a diagram of another encryption and decryption method according to an embodiment of the present invention;
фиг. 9 является блок-схемой алгоритма другого способа обеспечения безопасности в соответствии с вариантом осуществления настоящего изобретения;fig. 9 is a flowchart of another security method according to an embodiment of the present invention;
фиг. 10 является блок-схемой алгоритма еще одного способа обеспечения безопасности в соответствии с вариантом осуществления настоящего изобретения;fig. 10 is a flowchart of yet another security method according to an embodiment of the present invention;
фиг. 11А и фиг. 11B являются блок-схемами алгоритма еще одного способа обеспечения безопасности в соответствии с вариантом осуществления настоящего изобретения;fig. 11A and FIG. 11B are flow charts of yet another security method in accordance with an embodiment of the present invention;
фиг. 12 является структурной схемой устройства в соответствии с вариантом осуществления настоящего изобретения;fig. 12 is a block diagram of an apparatus according to an embodiment of the present invention;
фиг. 13 является структурной схемой оконечного устройства в соответствии с вариантом осуществления настоящего изобретения;fig. 13 is a block diagram of a terminal device according to an embodiment of the present invention;
фиг. 14 является структурной схемой другого устройства согласно варианту осуществления настоящего изобретения; иfig. 14 is a block diagram of another device according to an embodiment of the present invention; and
фиг. 15 является структурной схемой основного сетевого устройства в соответствии с вариантом осуществления настоящего изобретения.fig. 15 is a block diagram of a main network device according to an embodiment of the present invention.
Осуществление изобретенияImplementation of the invention
Далее подробно описывается настоящее изобретение со ссылкой на прилагаемые чертежи. Конкретный способ работы в вариантах осуществления способа может применяться к варианту осуществления устройства или варианту осуществления системы. В описаниях настоящего изобретения, если не указано иное, «множество» означает два или более двух.The present invention will now be described in detail with reference to the accompanying drawings. The particular mode of operation in the method embodiments may apply to a device embodiment or a system embodiment. In the descriptions of the present invention, unless otherwise indicated, "many" means two or more than two.
Архитектура системы и сценарий обслуживания, описанные в настоящем документе, предназначены для более четкого описания технических решений настоящего изобретения, но не предназначены для ограничения технических решений, представленных в настоящем изобретении. Специалист в данной области техники может знать, что, по мере развития архитектуры системы и появления нового сценария обслуживания, технические решения, представленные в настоящем изобретении, также применимы к аналогичной технической задаче.The system architecture and service scenario described in this document is intended to more clearly describe the technical solutions of the present invention, but is not intended to limit the technical solutions presented in the present invention. A person skilled in the art may be aware that, as the system architecture evolves and a new service scenario emerges, the technical solutions presented in the present invention are also applicable to a similar technical problem.
Следует отметить, что в настоящем изобретении термин, такой как «пример» или «например», используется в качестве примера для представления иллюстрации или описания. Любой вариант осуществления или конструктивное решение, описанное в качестве «примера» или «например» в настоящем изобретении, не должно объясняться как более предпочтительное или имеющее больше преимуществ, чем другой вариант осуществления или конструктивное решение. Конкретно, использование слова «пример», или «например» или тому подобного предназначено для представления соответствующей концепции определенным образом.It should be noted that in the present invention, a term such as "example" or "for example" is used as an example to provide an illustration or description. Any embodiment or design described as "example" or "for example" in the present invention should not be explained as preferable or having more advantages than another embodiment or design. Specifically, the use of the word "example" or "for example" or the like is intended to represent the relevant concept in a certain way.
Варианты осуществления настоящего изобретения могут быть применены к системе беспроводной связи следующего поколения, например, к 5G системе связи. На фиг. 1 показана схема возможной архитектуры сети в соответствии с настоящим изобретением. Архитектура сети включает в себя следующее.Embodiments of the present invention can be applied to a next generation wireless communication system, such as a 5G communication system. In FIG. 1 shows a diagram of a possible network architecture in accordance with the present invention. The network architecture includes the following.
AMF узел является сетевым элементом, выполненным с возможностью управлять мобильностью, и может быть выполнен с возможностью реализации функции, отличной от управления сеансом, в функциях объекта управления мобильностью (mobility management entity, MME), например, такой функции, как законный перехват или авторизация доступа.An AMF node is a network element capable of managing mobility, and may be configured to implement a function other than session management in functions of a mobility management entity (MME), such as a function such as lawful interception or access authorization .
Узел функции управления сеансом (session management function, SMF) выполнен с возможностью выделять ресурс сеанса плоскости пользователя.The session management function (SMF) node is configured to allocate a user plane session resource.
Узел функции сервера аутентификации (authentication server function, AUSF) выполнен с возможностью: когда AUSF узел выполняет аутентификацию на оконечном устройстве, верифицировать и передавать параметр, который должен быть аутентифицирован, и аутентифицировать аутентификацию оконечного устройства. Основные функции включают в себя: прием запроса аутентификации, отправленного узлом функции безопасности привязки (security anchor function, SEAF), и выбор способа аутентификации. При использовании способа расширяемого протокола аутентификации для соглашения об аутентификации и ключах 3-го поколения (extensible authentication protocol authentication and key agreement, EAP-AKA'), AUSF узел может завершить аутентификацию оконечного устройства со стороны сети.The authentication server function (AUSF) node is configured to: when the AUSF node performs authentication on the terminal device, verify and transmit a parameter to be authenticated, and authenticate the terminal device authentication. The main functions include: receiving an authentication request sent by a security anchor function (SEAF) node and selecting an authentication method. When using the extensible authentication protocol authentication and key agreement (EAP-AKA') 3rd generation authentication protocol method, the AUSF node can complete network side endpoint authentication.
SEAF узел может быть частью AMF узла или может быть независимым сетевым элементом и, в основном, выполнен с возможностью инициировать запрос аутентификации в AUSF узел и завершать аутентификацию оконечного устройства с сетевой стороны в процессе аутентификации усовершенствованной системы пакетной передачи для соглашения об аутентификации и ключах (Evolved Packet System authentication and key agreement, EPS-AKA*).The SEAF node may be part of an AMF node, or may be an independent network element, and is generally configured to initiate an authentication request to the AUSF node and complete the network-side terminal authentication in an Evolved Packet System Authentication and Key Agreement (Evolved) authentication process. Packet System authentication and key agreement, EPS-AKA*).
Узел функции пользовательской плоскости (user plane function, UPF) является выходом данных пользовательской плоскости и выполнен с возможностью соединения с внешней сетью.The user plane function (UPF) node is a user plane data output and is configured to be connected to an external network.
Сеть передачи данных (Data Network, DN) является сетью, используемую для предоставления внешних данных, например, интернет (Internet).A Data Network (DN) is a network used to provide external data, such as the Internet.
Узел (радио) сети доступа ((radio) access network доступа, (R)AN) может использовать разные технологии доступа. В настоящее время существует два типа технологий радиодоступа: 3GPP технология доступа (например, технология радиодоступа, используемая в 3G, 4G или 5G системе) и non-3GPP технология доступа. 3GPP технология доступа представляет собой технологию доступа, которая соответствует спецификации 3GPP стандарта. Сеть доступа, использующая 3GPP технологию доступа, является сетью радиодоступа (RAN). Сетевое устройство доступа в 5G системе упоминается как узел базовой станции следующего поколения (next generation node base station, gNB). Non-3GPP технология доступа представляет собой технологию доступа, которая не соответствует спецификации 3GPP стандарта, например, технология радиосвязи, представленная WiFi точкой доступа (access point, AP).A (radio) access network (R)AN node may use different access technologies. Currently, there are two types of radio access technologies: 3GPP access technology (eg, radio access technology used in 3G, 4G or 5G system) and non-3GPP access technology. 3GPP access technology is an access technology that conforms to the specification of the 3GPP standard. The access network using 3GPP access technology is a radio access network (RAN). The network access device in the 5G system is referred to as the next generation node base station (gNB). A non-3GPP access technology is an access technology that does not comply with the 3GPP standard specification, such as a radio technology represented by a WiFi access point (AP).
Оконечное устройство в настоящем изобретении представляет собой устройство, которое имеет функции беспроводной передачи и приема. Оконечное устройство может быть развернуто на земле, например, устройство, находящееся в помещении, устройство, находящееся вне помещения, карманное устройство или устройство, установленное на транспортном средстве; или может быть развернуто на воде (например, на корабле); или может быть развернуто в воздухе (например, на самолете, воздушном шаре или спутнике). Оконечное устройство может включать в себя различные типы устройства пользователя (user equipment, UE), мобильные телефоны (mobile phone), планшетные компьютеры (pad), компьютеры с функциями беспроводной передачи и приема, беспроводные малогабаритные устройства для передачи данных, оконечное устройство виртуальной реальности (virtual reality, VR), оконечное устройство дополненной реальности (augmented reality, AR), оконечное устройство связи машинного типа (machine type communication, MTC), оконечное устройство в системе управления промышленного объекта (industrial control), оконечные устройства в системе автоматического управления (self-driving), оконечное устройство в системе дистанционной медицинской помощи (remote medical), оконечное устройство в системе «умные энергосети» (Smart Grid), оконечное устройство в системе обеспечения транспортной безопасности (transportation safety), оконечное устройство в системе «умный город» (Smart City), носимые устройства (такие как умные часы, умная повязка и шагомер) и тому подобное. Оконечные устройства, имеющие сходные функции беспроводной связи, могут иметь разные названия в системах, в которых используются разные технологии радиодоступа. Для простоты описания в вариантах осуществления настоящего изобретения вышеупомянутые устройства с функциями беспроводной передачи и приема совместно называются оконечными устройствами.The terminal device in the present invention is a device that has wireless transmission and reception functions. The terminal device may be deployed on the ground, such as an indoor device, an outdoor device, a handheld device, or a vehicle-mounted device; or can be deployed on the water (for example, on a ship); or may be deployed in the air (for example, by aircraft, balloon or satellite). The terminal device may include various types of user equipment (user equipment, UE), mobile phones (mobile phones), tablet computers (pad), computers with wireless transmission and reception functions, wireless handheld devices for data transmission, virtual reality terminal device ( virtual reality (VR), augmented reality (AR) end device, machine type communication (MTC) end device, end device in the industrial control system (industrial control), end devices in the automatic control system (self -driving), end device in the remote medical system, end device in the Smart Grid system, end device in the transport safety system, end device in the Smart City system ( Smart City), wearable devices (such as smart watches, smart bandage and pedometer) and the like. End devices that have similar wireless functionality may have different names in systems that use different radio access technologies. For ease of description, in the embodiments of the present invention, the aforementioned devices with wireless transmission and reception functions are collectively referred to as terminal devices.
В частности, оконечное устройство в настоящем изобретении хранит ключ долговременного пользования и связанную функцию. При выполнении двусторонней аутентификации с основным сетевым узлом (таким как AMF узел, AUSF узел и SEAF узел) оконечное устройство может верифицировать подлинность сети с использованием ключа долговременного пользования и связанной функции.In particular, the terminal device in the present invention stores a durable key and an associated function. When performing two-way authentication with a primary network node (such as an AMF node, an AUSF node, and a SEAF node), the end device can verify the network's identity using a durable key and associated function.
Сетевое устройство доступа в вариантах осуществления настоящего изобретения представляет собой устройство, которое обеспечивает функцию беспроводной связи для оконечного устройства. Например, сетевое устройство доступа может быть базовой станцией (Base Station, BS), и базовая станция может включать в себя различные виды макробазовых станций, микро базовых станций, ретрансляционных станций, точек доступа и т.п. Устройства, имеющие функции базовой станции, могут иметь разные названия в системах, в которых используются разные технологии радиодоступа. Например, в 5G системе устройство, имеющее функции базовой станции, упоминается как базовая станция узла следующего поколения и может быть представлено как gNB; в системе долгосрочного развития (Long Term Evolution, LTE) устройство, имеющее функции базовой станции, называется усовершенствованным NodeB (evolved NodeB, eNB или eNodeB); в системе связи 3-го поколения (3rd generation, 3G) устройство, имеющее функции базовой станции, упоминается как узел B (Node B). Для простоты описания в вариантах осуществления настоящего изобретения вышеупомянутые устройства, которые обеспечивают функцию беспроводной связи для оконечного устройства, совместно называются сетевыми устройствами доступа.The network access device in embodiments of the present invention is a device that provides a wireless communication function to a terminal device. For example, the network access device may be a Base Station (BS), and the base station may include various kinds of macro base stations, micro base stations, relay stations, access points, and the like. Base station devices may have different names in systems using different radio access technologies. For example, in a 5G system, a device having the functions of a base station is referred to as a base station of a next generation node, and can be represented as a gNB; in the system of long-term development (Long Term Evolution, LTE), a device that has the functions of a base station is called an advanced NodeB (evolved NodeB, eNB or eNodeB); in a 3rd generation (3G) communication system, a device having the functions of a base station is referred to as a Node B. For ease of description, in the embodiments of the present invention, the aforementioned devices that provide a wireless communication function for a terminal device are collectively referred to as network access devices.
Узел функции экспозиции сети (network exposure function, NEF) в основном выполнен с возможностью взаимодействия с третьей стороной, так что третья сторона может косвенно взаимодействовать с сетевым элементом в некоторых 3GPP сетях.The network exposure function (NEF) node is generally configured to interoperate with a third party such that a third party can indirectly interact with a network element in some 3GPP networks.
Узел функции хранилища сетевых функция (network function repository function, NRF) выполнен с возможностью обнаружения межсетевого элемента и поддержания функции сети (network function, NF).The network function repository function (NRF) node is configured to detect the gateway element and maintain the network function (NF).
Узел функции управления политикой (policy control function, PCF) хранит последнее правило качества обслуживания (quality of service, QoS). Базовая станция может выделять соответствующий ресурс для канала передачи плоскости пользователя в соответствии с правилом QoS, предоставленным SMF узлом.The policy control function (PCF) node stores the latest quality of service (QoS) rule. The base station may allocate an appropriate resource for the user plane transmission channel in accordance with the QoS rule provided by the SMF node.
Узел управления унифицированными данными (unified data management, UDM) выполнен с возможностью хранить информацию подписки пользователя.The unified data management (UDM) node is configured to store user subscription information.
Узел прикладной функции (application function, AF) может быть расположен внутри DN и является функциональным сетевым элементом, развернутым на третьей стороне. Этот сетевой элемент, в основном, выполнен с возможностью уведомлять PCF узел о последних требованиях к обслуживанию стороннего предприятия для приложения. PCF узел может генерировать соответствующее правило QoS на основе требования к услуге, чтобы гарантировать, что услуга, предоставляемая сетью, удовлетворяет требованию, указанному третьей стороной.An application function node (AF) may be located within a DN and is a functional network element deployed on a third party. This network element is generally configured to notify the PCF node of the latest third party service requirements for the application. The PCF node may generate an appropriate QoS rule based on the service requirement to ensure that the service provided by the network satisfies the requirement specified by the third party.
В вариантах осуществления настоящего изобретения оконечное устройство может осуществлять доступ к AMF узлу, используя, по меньшей мере, две технологии доступа. Рассмотрен пример, в котором, по меньшей мере, две технологии доступа включают в себя 3GPP технологию доступа и non-3GPP технологию доступа. Вариант осуществления настоящего изобретения дополнительно предоставляет схему возможной сетевой архитектуры. Как показано на фиг. 2, сетевая архитектура включает в себя AMF узел, AUSF узел, SMF узел, UPF узел, UDM узел (или узел хранилища учетных данных и функции обработки аутентификации (или узел функции обработки и хранилища подтверждения аутентификации (authentication credential repository and processing function, APRF)), оконечное устройство и узел non-3GPP функции взаимодействия (non-3GPP interworking function, N3IWF).In embodiments of the present invention, a terminal may access an AMF node using at least two access technologies. An example is considered in which at least two access technologies include a 3GPP access technology and a non-3GPP access technology. An embodiment of the present invention further provides a diagram of a possible network architecture. As shown in FIG. 2, the network architecture includes an AMF node, an AUSF node, an SMF node, a UPF node, a UDM node (or an authentication credential repository and processing function (APRF) node) ), terminal, and non-3GPP interworking function (N3IWF) node.
Для AMF узла, AUSF узла, SMF узла, UPF узла, UDM узла и оконечного устройства см. описание на фиг. 1. Подробности не описаны здесь снова.For AMF node, AUSF node, SMF node, UPF node, UDM node, and terminal device, see the description in FIG. 1. Details are not described here again.
N3IWF узел выполнен с возможностью поддержки оконечного устройства в доступе к AMF узлу с использованием non-3GPP технологии доступа.The N3IWF node is configured to support the tag to access the AMF node using non-3GPP access technology.
Со ссылкой на сетевую архитектуру, показанную на фиг. 2, оконечное устройство может осуществлять доступ к AMF узлу как с помощью 3GPP технологии доступа, так и non-3GPP технологии доступа. 3GPP технология доступа может быть просто представлена как 3GPP, и non-3GPP технология доступа может быть просто представлена как non-3GPP. Тракт 1 на фиг. 2 представляет собой тракт, по которому оконечное устройство получает доступ к AMF узлу посредством 3GPP, и тракт 2 представляет собой тракт, по которому оконечное устройство получает доступ к AMF узлу посредством non-3GPP, другими словами, оконечное устройство может получить доступ к AMF узлу через узел N3IWF. Когда оконечное устройство обращается к AMF узлу через 3GPP и non-3GPP, если оконечному устройству необходимо отправить NAS сообщение в AMF узел, в возможной реализации NAS сообщение может быть разделено, по меньшей мере, на два блока сообщений, где один часть блоков сообщений передается через 3GPP, а другая часть блоков сообщений передается non-3GPP. Например, NAS сообщение может быть разделено на блок 1 сообщения, блок 2 сообщения, блок 3 сообщения, блок 4 сообщения и блок 5 сообщения. Блоки 2 и 4 сообщения передаются через 3GPP, и блоки 1, 3 и 5 сообщения передаются через non-3GPP. В другой возможной реализации оконечное устройство может передавать все NAS сообщение через 3GPP и передавать еще одно полное NAS сообщение через non-3GPP.With reference to the network architecture shown in FIG. 2, a terminal can access an AMF node using both 3GPP access technology and non-3GPP access technology. A 3GPP access technology may simply be represented as 3GPP, and a non-3GPP access technology may simply be represented as non-3GPP. Path 1 in Fig. 2 represents the path through which the terminal device accesses the AMF node through 3GPP, and path 2 represents the path through which the terminal device accesses the AMF node through non-3GPP, in other words, the terminal device can access the AMF node through N3IWF node. When an end device accesses an AMF node via 3GPP and non-3GPP, if the end device needs to send a NAS message to the AMF node, in a possible implementation the NAS message can be split into at least two message blocks, where one part of the message blocks is sent via 3GPP, and the other part of the message blocks is transmitted by non-3GPP. For example, a NAS message may be divided into message block 1, message block 2, message block 3, message block 4, and message block 5. Message blocks 2 and 4 are transmitted via 3GPP, and message blocks 1, 3 and 5 are transmitted via non-3GPP. In another possible implementation, the terminal may send the entire NAS message over 3GPP and send another full NAS message over non-3GPP.
Сначала поясняются термины, относящиеся к вариантам осуществления настоящего изобретения.First, terms related to embodiments of the present invention are explained.
(1) NAS COUNT(1) NAS COUNT
NAS COUNT включает в себя 24 бита, включающие в себя 16-битное переполнение NAS и 8-битный порядковый номер.The NAS COUNT includes 24 bits, including the 16-bit NAS overflow and the 8-bit sequence number.
Начальное значение NAS COUNT равно 0. Значение NAS COUNT восходящей линии связи увеличивается на 1 каждый раз, когда оконечное устройство отправляет одно NAS сообщение в основное сетевое устройство, и значение NAS COUNT нисходящей линии связи увеличивается на 1 каждый раз, когда основное сетевое устройство отправляет одно NAS сообщение в оконечное устройство. После того, как процесс аутентификации из оконечного устройства к основному сетевому устройству завершен, и NAS COUNT восходящей линии связи, и NAS COUNT нисходящей линии связи устанавливаются на 0.The initial value of NAS COUNT is 0. The uplink NAS COUNT value is incremented by 1 each time the end device sends one NAS message to the primary network device, and the downlink NAS COUNT value is incremented by 1 each time the primary network device sends one NAS message to end device. After the authentication process from the terminal device to the main network device is completed, both the uplink NAS COUNT and the downlink NAS COUNT are set to 0.
В качестве варианта, есть два способа для поддержания NAS COUNT:Alternatively, there are two ways to maintain NAS COUNT:
Способ 1: после отправки NAS сообщения сохраненный NAS COUNT увеличивается на 1 и сохраняется; и, когда NAS сообщение необходимо отправить в следующий раз, обеспечивают безопасность для сообщения NAS с использованием сохраненного NAS COUNT.Method 1: After the NAS sends a message, the saved NAS COUNT is incremented by 1 and saved; and, when the NAS message is to be sent next time, secure the NAS message using the stored NAS COUNT.
Способ 2: после того, как NAS сообщение отправлено, когда NAS сообщение необходимо отправить в следующий раз, сохраненный NAS COUNT увеличивается на 1, чтобы получить новый NAS COUNT, и обеспечивать безопасность для NAS сообщения с использованием нового NAS COUNT.Method 2: After the NAS message is sent, when the NAS message needs to be sent next time, the stored NAS COUNT is incremented by 1 to get a new NAS COUNT, and secure the NAS message using the new NAS COUNT.
После приема NAS сообщения оконечное устройство и основное сетевое устройство могут верифицировать, следует ли повторно использовать принятый NAS COUNT, а именно, верифицировать, превышает ли NAS COUNT, передаваемый в сообщении NAS, ранее принятый NAS COUNT. Например, если AMF узел принимает из оконечное устройства NAS COUNT восходящей линии связи, принятый NAS COUNT восходящей линии связи можно сравнить с ранее принятым NAS COUNT восходящей линии связи. Если принятый NAS COUNT восходящей линии связи больше, чем ранее принятый NAS COUNT восходящей линии связи, проверка безопасности, выполненная для NAS сообщения, завершается успешно.After receiving the NAS message, the terminal device and the host network device can verify whether the received NAS COUNT should be reused, namely, verify whether the NAS COUNT transmitted in the NAS message exceeds the previously received NAS COUNT. For example, if an AMF node receives an uplink NAS COUNT from the terminal, the received uplink NAS COUNT can be compared with the previously received uplink NAS COUNT. If the received uplink NAS COUNT is larger than the previously received uplink NAS COUNT, the security check performed on the message NAS succeeds.
Когда шифрование и дешифрование, и защита целостности выполняются с использованием NAS COUNT, NAS COUNT дополняется до 32 битов, другими словами, 8 бит дополняются перед исходным 24-битным NAS COUNT, где дополняется 8 битов могут быть все 0.When encryption and decryption and integrity protection are performed using NAS COUNT, NAS COUNT is padded to 32 bits, in other words, 8 bits are padded before the original 24-bit NAS COUNT, where padding 8 bits can be all 0.
(2) Шифрование и дешифрование(2) Encryption and decryption
На фиг. 3 показан процесс шифрования и дешифрования NAS сообщения.In FIG. 3 shows the process of encrypting and decrypting a NAS message.
Здесь ключ может быть NAS ключом.Here, the key may be a NAS key.
COUNT, используемый для шифрования и дешифрования, включает в себя 32 бита, где первые 8 битов равны 0, средние 16 битов представляют собой переполнение NAS и последние 8 битов представляют собой порядковый номер.The COUNT used for encryption and decryption includes 32 bits, where the first 8 bits are 0, the middle 16 bits are the NAS overflow, and the last 8 bits are the sequence number.
Информация канала (BEARER) включает в себя 5 битов и все 5 битов равны 0.The channel information (BEARER) includes 5 bits and all 5 bits are 0.
Направление передачи данных (DIRECTION) используется для указания восходящей линии связи или нисходящей линии связи. Когда шифрование и дешифрование выполняются для NAS сообщения восходящей линии связи, DIRECTION указывает восходящую линию связи. Когда шифрование и дешифрование выполняются для NAS сообщения нисходящей линии связи, DIRECTION указывает нисходящую линию связи.Data transfer direction (DIRECTION) is used to indicate uplink or downlink. When encryption and decryption is performed for the NAS uplink message, DIRECTION indicates the uplink. When encryption and decryption is performed for a downlink message NAS, DIRECTION indicates the downlink.
Длина (LENGTH) используется для указания длины данных NAS сообщения, которое необходимо зашифровать или расшифровать.The length (LENGTH) is used to specify the data length of the NAS message to be encrypted or decrypted.
Развитый алгоритм шифрования пакетной системы (evolved packet system encryption algorithm, EEA) может упоминаться как EPS алгоритм шифрования и является алгоритмом, используемым для шифрования и дешифрования NAS сообщения.The evolved packet system encryption algorithm (EEA) may be referred to as the EPS encryption algorithm and is an algorithm used to encrypt and decrypt a NAS message.
Процесс шифрования является следующим: выполнение обработки EEA для входных параметров (KEY, COUNT, BEARER, DIRECTION и LENGTH), чтобы получить гамму (keystream); и выполняют сложение по модулю 2 для гаммы и открытого текста (NAS сообщение), чтобы получить зашифрованный текст (ciphertext). Процесс дешифрования заключается в следующем: выполнение обработки EEA на основе вышеуказанных входных параметров для получения гаммы; и выполнение сложения по модулю 2 для гаммы и зашифрованного текста для восстановления открытого текста.The encryption process is as follows: performing EEA processing on the input parameters (KEY, COUNT, BEARER, DIRECTION, and LENGTH) to obtain a gamma (keystream); and performing modulo 2 addition for the gamma and the plaintext (NAS message) to obtain the ciphertext (ciphertext). The decryption process is as follows: performing EEA processing based on the above input parameters to obtain gamma; and performing modulo 2 addition on the gamma and ciphertext to recover the plaintext.
(3) Защита целостности(3) Integrity protection
Фиг. 4 показывает процесс выполнения защиты целостности и проверки защиты целостности NAS сообщения.Fig. 4 shows the process of performing integrity protection and checking the integrity protection of the NAS message.
Сообщение (MESSAGE) является сообщением, для которого необходимо выполнить защиту целостности, и оно может быть, в частности, NAS сообщением.The message (MESSAGE) is a message for which integrity protection is to be performed, and it may be, in particular, a NAS message.
Алгоритм целостности развитой пакетной системы (evolved packet system integrity algorithm, EPS integrity algorithm) показан на фиг. 4.An evolved packet system integrity algorithm (EPS integrity algorithm) is shown in FIG. four.
Способ защиты целостности заключается в следующем: передающая сторона выполняет обработку EIA для входных параметров (KEY, COUNT, MESSAGE, BEARER и DIRECTION), чтобы получить ожидаемый код аутентификации сообщения для целостности (message authentication code integrity, MAC-I) или NAS-MAC. Способ верификации защиты целостности заключается в следующем: выполнение обработки EIA для входных параметров (KEY, COUNT, MESSAGE, BEARER и DIRECTION) для получения ожидаемого кода аутентификации сообщения для целостности (expected message authentication code integrity, XMAC-I) или XNAS-MAC; дополнительное сравнение XMAC-I с MAC-I; и, если XMAC-I соответствует MAC-I, определение того, что верификация защиты целостности выполнено успешно.The integrity protection method is as follows: the transmitting side performs EIA processing on the input parameters (KEY, COUNT, MESSAGE, BEARER and DIRECTION) to obtain the expected message authentication code integrity (MAC-I) or NAS-MAC. The integrity protection verification method is as follows: perform EIA processing on the input parameters (KEY, COUNT, MESSAGE, BEARER, and DIRECTION) to obtain an expected message authentication code integrity (XMAC-I) or XNAS-MAC; additional comparison of XMAC-I with MAC-I; and, if the XMAC-I matches the MAC-I, determining that the integrity protection verification is successful.
Далее подробно описываются технические решения, представленные в настоящей изобретении.The following describes in detail the technical solutions presented in the present invention.
На основании сетевых архитектур на фиг. 1 и фиг. 2, вариант осуществления настоящего изобретения обеспечивает способ обеспечения безопасности. В этом способе для процесса шифрования, дешифрования и защиты целостности обращайтесь к описаниям на фиг. 3 и фиг. 4. Как показано на фиг. 5, способ, в основном, включает в себя этап 501 и этап 502.Based on the network architectures in FIG. 1 and FIG. 2, an embodiment of the present invention provides a security method. In this method, for the encryption, decryption and integrity protection process, refer to the descriptions in FIG. 3 and FIG. 4. As shown in FIG. 5, the method basically includes
Этап 501: оконечное устройство определяет первый параметр.Step 501: The terminal determines the first parameter.
Первый параметр является входным параметром, используемым, когда оконечное устройство выполняет обеспечение безопасности для NAS сообщения, и первый параметр используется для указания технологии доступа, используемой для передачи NAS сообщения. Оконечное устройство может поддерживать, по меньшей мере, две технологии доступа и может отдельно поддерживать соответствующий NAS COUNT для каждой из, по меньшей мере, двух технологий доступа. Например, по меньшей мере две технологии доступа содержат 3GPP технологию доступа и другую технологию доступа, которая может совместно использовать одно и то же основное сетевое устройство 3GPP сети с 3GPP технологией доступа, например, non-3GPP технология доступа или технология фиксированного доступа к сети. В качестве варианта, что первый параметр указывает технологию доступа, используемую для передачи NAS сообщения, может быть дополнительно понят как то, что первый параметр используется для указания тракта передачи, используемого оконечным устройством для передачи NAS сообщения. Например, оконечное устройство и AMF узел могут отдельно поддерживать соответствующий NAS COUNT для каждого тракта передачи без различения технологий доступа. Если путь передачи, используемый для передачи NAS сообщения, является трактом 1, используется NAS COUNT, соответствующий тракту 1. Если тракт передачи, используемый для передачи NAS сообщения, является трактом 2, используется NAS COUNT, соответствующий тракту 2. Понятно, что тракт передачи соответствует технологии доступа. Например, ссылаясь на фиг. 2, технология доступа, используемая, когда данные передаются по тракту 1, является 3GPP технологией доступа, и технология доступа, используемая, когда данные передаются по тракту 2, является non-3GPP технологией доступа.The first parameter is an input parameter used when the terminal performs security for the NAS message, and the first parameter is used to specify the access technology used to transmit the NAS message. The tag may support at least two access technologies and may separately support a corresponding NAS COUNT for each of the at least two access technologies. For example, at least two access technologies comprise a 3GPP access technology and another access technology that can share the same core network device of a 3GPP network with a 3GPP access technology, such as a non-3GPP access technology or a fixed network access technology. Alternatively, that the first parameter indicates the access technology used to transmit the NAS message can be further understood as that the first parameter is used to indicate the transmission path used by the terminal to transmit the NAS message. For example, a terminal device and an AMF node may separately maintain a corresponding NAS COUNT for each transmission path without distinguishing between access technologies. If the transmission path used to transmit the NAS message is path 1, the NAS COUNT corresponding to path 1 is used. If the transmission path used to transmit the NAS message is path 2, the NAS COUNT corresponding to path 2 is used. access technologies. For example, referring to FIG. 2, the access technology used when data is transmitted on path 1 is a 3GPP access technology, and the access technology used when data is transmitted on path 2 is a non-3GPP access technology.
Первый параметр может быть входным параметром, вновь добавленным в процессе шифрования и дешифрования или в процессе защиты целостности. Параметр включает в себя заданное количество битов. В качестве варианта, разные технологии доступа могут быть представлены установкой битов на разные значения.The first parameter may be an input parameter newly added in the encryption and decryption process or in the integrity protection process. The parameter includes the specified number of bits. Alternatively, different access technologies may be represented by setting bits to different values.
В первой возможной реализации, как показано на фиг. 6, первый параметр может быть параметром ACCESS. Например, если первый параметр равен 00, это указывает, что используется 3GPP технология доступа; если первый параметр равен 01, это указывает, что используется non-3GPP технология доступа. Альтернативно, 001 представляет 3GPP технологию доступа, 010 представляет технологию беспроводной достоверности (Wireless-Fidelity, WiFi), и 011 представляет технологию фиксированной сети.In the first possible implementation, as shown in FIG. 6, the first parameter may be an ACCESS parameter. For example, if the first parameter is 00, this indicates that the 3GPP access technology is being used; if the first parameter is 01, it indicates that a non-3GPP access technology is being used. Alternatively, 001 represents 3GPP access technology, 010 represents Wireless-Fidelity (WiFi) technology, and 011 represents fixed network technology.
Альтернативно, 001 может использоваться для представления первой используемой технологии доступа, 010 может использоваться для представления второй используемой технологии доступа и 011 может использоваться для представления третьей используемой технологии доступа. Другими словами, каждый раз, когда используется используемая технология доступа, первый параметр увеличивается на 1, пока все биты первого параметра не станут равными 1, и затем первый параметр может быть пересчитан из 000. Например, если биты первого все параметры изменяются на 1 после того, как оконечное устройство многократно переключает используемую технологию доступа, когда оконечному устройству необходимо переключить используемую технологию доступа с первой технологии доступа на вторую технологию доступа, причем первый параметр генерируется для второй технологии доступа 001. В качестве варианта, в этом способе первая технология доступа, вторая технология доступа и третья технология доступа могут представлять собой одну и ту же технологию. Другими словами, когда технология доступа используется повторно, первый параметр увеличивается на 1, пока все биты первого параметра не станут равными 1, и затем первый параметр может быть пересчитан из 000.Alternatively, 001 may be used to represent the first access technology used, 010 may be used to represent the second access technology used, and 011 may be used to represent the third access technology used. In other words, each time the access technology used is used, the first parameter is incremented by 1 until all bits of the first parameter are 1, and then the first parameter can be recalculated from 000. For example, if the bits of the first parameter are all changed to 1 after how the terminal repeatedly switches the used access technology when the terminal needs to switch the used access technology from the first access technology to the second access technology, the first parameter is generated for the second access technology 001. Alternatively, in this method, the first access technology, the second technology access and the third access technology may be the same technology. In other words, when the access technology is reused, the first parameter is incremented by 1 until all bits of the first parameter are 1, and then the first parameter can be recalculated from 000.
В качестве варианта, каждый раз, когда параметр COUNT во входных параметрах сбрасывается на 0 или порядковый номер NAS сбрасывается на 0, первый параметр также может увеличиваться на 1.Alternatively, each time the COUNT parameter in the input parameters is reset to 0 or the NAS sequence number is reset to 0, the first parameter can also be incremented by 1.
В качестве варианта, когда все биты первого параметра равны 1, NAS ключ, используемый при передаче NAS сообщения в следующий раз, должен быть обновлен.Alternatively, when all bits of the first parameter are 1, the NAS key used when transmitting the NAS message next time must be updated.
Во второй возможной реализации, как показано на фиг. 7, весь или некоторые биты параметра COUNT во входных параметрах может использоваться для указания технологии доступа, используемой для передачи NAS сообщения. Например, если COUNT включает в себя 8 битов заполнения со всеми 0 и NAS COUNT, первым параметром может быть несколько или все биты из 8 битов. Например, первые 3 бита могут быть выбраны, чтобы указать технологию доступа, используемую для передачи NAS сообщения. Чтобы узнать, как отличить разные технологии доступа с помощью битовых значений, обратитесь к соответствующим описаниям в первой реализации.In a second possible implementation, as shown in FIG. 7, all or some bits of the COUNT parameter in the input parameters may be used to indicate the access technology used to transmit the message to the NAS. For example, if COUNT includes 8 bits of padding with all 0s and NAS COUNT, the first parameter may be some or all of the 8 bits. For example, the first 3 bits may be chosen to indicate the access technology used to transmit the message to the NAS. To learn how to distinguish different access technologies using bit values, refer to the corresponding descriptions in the first implementation.
В третьей возможной реализации, как показано на фиг. 8, параметр BEARER во входных параметрах может использоваться для указания технологии доступа, используемой для передачи NAS сообщения, или для указания тракта доступа, используемого для передачи NAS сообщения, где первый параметр может быть некоторыми или всеми битами BEARER. Например, первые 3 бита могут быть выбраны, чтобы указать технологию доступа, используемую для передачи NAS сообщения. Чтобы узнать, как отличить разные технологии доступа с помощью битовых значений, обратитесь к соответствующим описаниям в первой реализации.In a third possible implementation, as shown in FIG. 8, the BEARER parameter in the input parameters may be used to indicate the access technology used to transmit the NAS message, or to indicate the access path used to transmit the NAS message, where the first parameter may be some or all of the BEARER bits. For example, the first 3 bits may be chosen to indicate the access technology used to transmit the message to the NAS. To learn how to distinguish different access technologies using bit values, refer to the corresponding descriptions in the first implementation.
В четвертой возможной реализации количество битов COUNT может быть увеличено, и первый параметр является некоторыми из битов COUNT. Например, COUNT расширен с 32 бит до 64 бит (64-битный COUNT адаптирован к ключу длиной 256 бит). Часть расширенного COUNT используется для обозначения технологии доступа. Например, три бита зарезервированы для указания технологии доступа, где 000 представляет 3GPP технологию доступа, 001 представляет технологию доступа WiFi и 010 представляет технологию доступа к фиксированной сети.In a fourth possible implementation, the number of COUNT bits can be increased and the first parameter is some of the COUNT bits. For example, COUNT is extended from 32 bits to 64 bits (a 64-bit COUNT is adapted to a 256-bit key). The extended COUNT part is used to denote the access technology. For example, three bits are reserved to indicate an access technology, where 000 represents a 3GPP access technology, 001 represents a WiFi access technology, and 010 represents a fixed network access technology.
В пятой возможной реализации, первый параметр может быть NAS COUNT, и бит NAS COUNT может быть удален. Количество удаленных битов используется для указания технологии доступа.In a fifth possible implementation, the first parameter may be NAS COUNT and the NAS COUNT bit may be removed. The number of bits removed is used to indicate the access technology.
В качестве варианта, заданное количество бит переполнения NAS в существующем NAS COUNT удаляется, и количество удаленных битов используется для указания технологии доступа. Например, если один бит удален, это указывает, что технология доступа является 3GPP технологией доступа; если два бита удалены, это означает, что технология доступа является технологией доступа WiFi; если три бита удалены, это означает, что технология доступа является технологией фиксированного доступа к сети.Alternatively, the specified number of NAS overflow bits in the existing NAS COUNT is removed and the number of removed bits is used to indicate the access technology. For example, if one bit is removed, this indicates that the access technology is a 3GPP access technology; if two bits are removed, it means that the access technology is a WiFi access technology; if three bits are removed, it means that the access technology is a fixed network access technology.
Альтернативно, предварительно установленное количество битов части порядкового номера существующего NAS COUNT удаляется, и количество удаленных битов используется для указания технологии доступа. Например, если один бит удален, это указывает, что технология доступа является 3GPP технологией доступа; если два бита удалены, это означает, что технология доступа является технологией доступа WiFi; если три бита удалены, это означает, что технология доступа является технологией фиксированного доступа к сети.Alternatively, the predetermined number of bits of the sequence number part of the existing NAS COUNT is removed, and the number of bits removed is used to indicate the access technology. For example, if one bit is removed, this indicates that the access technology is a 3GPP access technology; if two bits are removed, it means that the access technology is a WiFi access technology; if three bits are removed, it means that the access technology is a fixed network access technology.
В качестве варианта, первый параметр, соответствующий каждой технологии доступа, может быть предварительно сконфигурирован в оконечном устройстве. После определения технологии доступа, используемой для передачи NAS сообщения, оконечное устройство может искать соответствующий первый параметр на основе технологии доступа, используемой для передачи NAS сообщения; или после определения технологии доступа, используемой для передачи NAS сообщения, оконечное устройство генерирует первый параметр на основе технологии доступа, используемой для передачи NAS сообщения.Alternatively, the first parameter corresponding to each access technology may be pre-configured in the terminal device. After determining the access technology used to send the NAS message, the terminal may look up the appropriate first parameter based on the access technology used to send the NAS message; or after determining the access technology used to send the NAS message, the terminal device generates the first parameter based on the access technology used to send the NAS message.
Следует отметить, что, когда первый параметр представляет собой NAS COUNT, или первый параметр представляет собой некоторые биты NAS COUNT, оконечное устройство поддерживает разные NAS COUNTs для разных поддерживаемых технологий доступа. В других случаях, оконечное устройство может поддерживать один и тот же NAS COUNT или другой NAS COUNT для разных поддерживаемых технологий доступа.It should be noted that when the first parameter is a NAS COUNT, or the first parameter is some bits of a NAS COUNT, the end device supports different NAS COUNTs for different supported access technologies. In other cases, the end device may support the same NAS COUNT or a different NAS COUNT for different supported access technologies.
Оконечное устройство может независимо определять первый параметр и уведомляет AMF узел о первом параметре. Альтернативно, AMF узел определяет первый параметр и уведомляет оконечное устройство о первом параметре. Альтернативно, первый параметр может быть предварительно сконфигурирован в оконечное устройстве и AMF узле. Например, если первый параметр определяется AMF узлом, оконечное устройство может принять первый параметр из AMF узла. Если первый параметр представляет собой несколько битов в NAS COUNT, после приема первого параметра оконечное устройство может заменить первым битом указанные биты в NAS COUNT, сохраненные оконечным устройством. Альтернативно, если первый параметр представляет собой несколько битов в BEARER, оконечное устройство может заменить указанные биты в BEARER первым параметром.The terminal may independently determine the first parameter and notifies the AMF node of the first parameter. Alternatively, the AMF node determines the first parameter and notifies the terminal device of the first parameter. Alternatively, the first parameter may be pre-configured in the terminal device and the AMF node. For example, if the first parameter is determined by the AMF node, the terminal may receive the first parameter from the AMF node. If the first parameter is multiple bits in the NAS COUNT, after receiving the first parameter, the terminal may replace the first bit with the specified bits in the NAS COUNT stored by the terminal. Alternatively, if the first parameter is a number of bits in BEARER, the terminal may replace the specified bits in BEARER with the first parameter.
Этап 502: оконечное устройство выполняет обеспечение безопасности для NAS сообщения на основе первого параметра, NAS ключа и NAS COUNT, соответствующих технологий доступа, используемой для передачи NAS сообщения.Step 502: The tag performs security for the NAS message based on the first parameter, NAS key and NAS COUNT, of the corresponding access technology used to send the NAS message.
NAS COUNT может быть параметром, который имеет функцию предотвращения атаки повторением NAS сообщения. NAS ключ представляет собой NAS ключ, используемый, по меньшей мере, двумя технологиями доступа, которые могут поддерживаться оконечным устройством.NAS COUNT may be a parameter that has a function to prevent NAS message replay attack. A NAS key is a NAS key used by at least two access technologies that may be supported by the end device.
То, что оконечное устройство выполняет обеспечение безопасности NAS сообщения, указывает: шифрование NAS сообщения, которое должно быть передано в основное сетевое устройство, дешифрование принятого NAS сообщения и выполнение защиты целостности NAS сообщения, которое должно быть передано на основное сетевое устройство, или выполнение проверки защиты целостности принятого NAS сообщения. Соответственно, ключ, используемый для выполнения обеспечения безопасности NAS сообщения, может представлять собой ключ шифрования и ключ защиты целостности. В этом варианте осуществления настоящего изобретения ключ шифрования и ключ защиты целостности совместно называются NAS ключами. Последовательность выполнения шифрования, дешифрования, защиты целостности продукции и верификации защиты целостности не ограничена в этом варианте осуществления настоящего изобретения.That the terminal performs security on the NAS message indicates: encrypting the NAS message to be transmitted to the primary network device, decrypting the received NAS message, and performing integrity protection of the NAS message to be transmitted to the primary network device, or performing a security check the integrity of the received NAS message. Accordingly, the key used to perform the security of the NAS message may be an encryption key and an integrity protection key. In this embodiment of the present invention, the encryption key and the integrity protection key are collectively referred to as NAS keys. The sequence of performing encryption, decryption, product integrity protection, and integrity protection verification is not limited in this embodiment of the present invention.
Может быть понятно, что оконечное устройство может поддерживать соответствующий NAS COUNT для каждой из, по меньшей мере, двух технологий доступа. Если оконечное устройство передает NAS сообщение с использованием 3GPP технологии доступа, выполняется обеспечение безопасности для NAS сообщения с использованием первого параметра, соответствующего 3GPP технологии доступа, NAS COUNT восходящей линии связи, поддерживаемого оконечным устройством для 3GPP технологии доступа, и NAS ключа.It may be appreciated that a terminal may support a corresponding NAS COUNT for each of the at least two access technologies. If the terminal transmits a NAS message using 3GPP access technology, security is performed for the NAS message using the first parameter corresponding to the 3GPP access technology, the uplink NAS COUNT supported by the terminal for the 3GPP access technology, and the NAS key.
В соответствии с тремя реализациями первого параметра способы шифрования NAS сообщения отдельно показаны на фиг. 6, фиг. 7 и фиг. 8.According to the three implementations of the first parameter, the methods for encrypting the NAS message are shown separately in FIG. 6, fig. 7 and FIG. eight.
В соответствии с вышеизложенным первым вариантом осуществления со ссылкой на фиг. 4, входной параметр, используемый, когда выполняется обеспечение безопасности NAS сообщение, также может быть использован.According to the above first embodiment with reference to FIG. 4, the input parameter used when the NAS security message is performed can also be used.
В соответствии с вышеупомянутой второй реализацией со ссылкой на фиг. 4, COUNT во входном параметре, используемом при выполнении обеспечения безопасности NAS сообщения, включает в себя первый параметр.According to the above second implementation with reference to FIG. 4, COUNT in the input parameter used in performing NAS security of the message includes the first parameter.
В соответствии с вышеупомянутой третьей реализацией со ссылкой на фиг. 4, BEARER во входном параметре, используемом при выполнении обеспечения безопасности NAS сообщения, включает в себя первый параметр.According to the above third implementation with reference to FIG. 4, BEARER in the input parameter used in performing NAS security of the message includes the first parameter.
В качестве варианта, если оконечное устройство принимает NAS сообщение, оконечное устройство может определить первый параметр, соответствующий технологии доступа, используемой для передачи NAS сообщения, чтобы расшифровать и/или выполнить проверку защиты целостности NAS сообщения с использованием NAS COUNT нисходящей линии связи, переданный в NAS сообщении, первый параметр соответствует технологии доступа, используемой для передачи NAS сообщения, и NAS ключа.Alternatively, if the terminal device receives the NAS message, the terminal device may determine the first parameter corresponding to the access technology used to transmit the NAS message in order to decrypt and/or perform a NAS message integrity check using the downlink NAS COUNT transmitted to the NAS. message, the first parameter corresponds to the access technology used to send the message to the NAS and the NAS key.
Согласно способу обеспечения безопасности, предоставленному в этом варианте осуществления настоящего изобретения, оконечное устройство может отдельно поддерживать соответствующий NAS COUNT для каждой из, по меньшей мере, двух технологий доступа. Оконечное устройство не использует один набор NAS COUNTs при передаче NAS сообщения с использованием различных технологий доступа. Вместо этого, оконечное устройство выполняет обеспечение безопасности для NAS сообщения с помощью NAS COUNT, поддерживаемого для соответствующей технологии доступа. Это может предотвратить атаку повторением, которая возникает, когда основное сетевое устройство сначала принимает относительно небольшой NAS COUNT, переданный по одной линии связи, и затем принимает относительно большой NAS COUNT, переданный по другой линии связи. В настоящем изобретении первый параметр, используемый для различения различных технологий доступа, дополнительно используется, когда защита сообщения выполняется для NAS сообщения. Следовательно, даже, если используется один и тот же NAS ключ и один и тот же NAS COUNT, когда выполняется обеспечение безопасности для NAS сообщения, передаваемого с использованием разных технологий доступа, результаты защиты NAS сообщения различны, что уменьшает вероятность возникновения атаки повторением, тем самым, реализуя обеспечение безопасности для множества NAS линий соединения.According to the security method provided in this embodiment of the present invention, a terminal can separately maintain a corresponding NAS COUNT for each of at least two access technologies. An end device does not use the same set of NAS COUNTs when transmitting a NAS message using different access technologies. Instead, the end device performs security for the NAS message with the NAS COUNT supported for the corresponding access technology. This can prevent a replay attack that occurs when the underlying network device first receives a relatively small NAS COUNT transmitted on one link and then receives a relatively large NAS COUNT transmitted on another link. In the present invention, the first parameter used to distinguish between different access technologies is further used when message protection is performed on the NAS message. Therefore, even if the same NAS key and the same NAS COUNT are used, when security is performed on a NAS message transmitted using different access technologies, the results of protecting the NAS message are different, which reduces the possibility of occurrence of a replay attack, thereby , realizing security for multiple NAS connection lines.
В соответствии с вариантом осуществления на фиг. 5, способ обеспечения безопасности для NAS сообщения основным сетевым устройством дополнительно предоставляется в другой реализации этого варианта осуществления настоящего изобретения. Основное сетевое устройство может быть AMF узлом, SEAF узлом, MME узлом, узлом, участвующим в процессе аутентификации оконечного устройства, или другим узлом, связанным с генерацией ключа и хранением ключа. В этом варианте осуществления настоящего изобретения то, что основное сетевое устройство является AMF узлом, используется в качестве примера. Как показано на фиг. 9, способ включает в себя следующие этапы.In accordance with the embodiment in FIG. 5, a method for securing a NAS message by a main network device is further provided in another implementation of this embodiment of the present invention. The underlying network device may be an AMF node, a SEAF node, an MME node, a node involved in the end device authentication process, or another node associated with key generation and key storage. In this embodiment of the present invention, that the main network device is an AMF node is used as an example. As shown in FIG. 9, the method includes the following steps.
Этап 901: AMF узел определяет первый параметр.Step 901: The AMF node determines the first parameter.
Первый параметр используется для указания технологии доступа, используемой для передачи NAS сообщения. AMF узел может отдельно поддерживать соответствующий NAS COUNT для каждой из, по меньшей мере, двух технологий доступа, поддерживаемых оконечным устройством.The first parameter is used to specify the access technology used to send the message to the NAS. The AMF node may separately maintain a corresponding NAS COUNT for each of the at least two access technologies supported by the end device.
Способ определения первого параметра AMF узлом аналогичен способу определения первого параметра оконечным устройством на этапе 501 на фиг. 5, и ссылка может быть сделана на соответствующее описание на этапе 501.The method for determining the first AMF parameter by the node is similar to the method for determining the first parameter by the terminal in
Этап 902. AMF узел выполняет защиту для NAS сообщения на основании первого параметра, NAS ключа и NAS COUNT, соответствующих технологии доступа, используемой для передачи NAS сообщения.Step 902: The AMF node performs security for the NAS message based on the first parameter, NAS key and NAS COUNT corresponding to the access technology used to transmit the NAS message.
NAS COUNT может быть параметром, который имеет функцию предотвращения атаки повторением NAS сообщения.NAS COUNT may be a parameter that has a function to prevent NAS message replay attack.
То, что AMF узел выполняет защиту для NAS сообщения, может быть: шифрованием NAS сообщения, которое должно быть передано на оконечное устройство, дешифрованием принятого NAS сообщения и выполнение защиты целостности NAS сообщения, которое должно быть передано на оконечное устройство, или выполнение проверки защиты целостности принятого NAS сообщения.What the AMF node performs protection for the NAS message may be: encrypting the NAS message to be transmitted to the end device, decrypting the received NAS message, and performing integrity protection of the NAS message to be transmitted to the end device, or performing an integrity protection check received NAS message.
Способ выполнения обеспечения безопасности NAS сообщения AMF узлом аналогичен способу выполнения обеспечения безопасности NAS сообщения оконечным устройством на этапе 502, и на этапе 502 может быть сделана ссылка на соответствующее описание.The manner in which a node performs NAS security of an AMF message is similar to the manner in which a terminal device performs security of an NAS message in
Согласно способу обеспечения безопасности, предусмотренному в этом варианте осуществления настоящего изобретения, основное сетевое устройство может отдельно поддерживать соответствующий NAS COUNT для каждой из, по меньшей мере, двух технологий доступа. Оконечное устройство не использует один набор NAS COUNT при передаче NAS сообщения с использованием различных технологий доступа. Вместо этого, оконечное устройство выполняет защиту для NAS сообщения с помощью NAS COUNT, поддерживаемого для соответствующей технологии доступа. Это может предотвратить атаку повторения, которая возникает, когда основное сетевое устройство сначала принимает относительно небольшой NAS COUNT, переданный по одной линии связи, и затем принимает относительно большой NAS COUNT, переданный по другой линии связи. В настоящем изобретении первый параметр, используемый для различения различных технологий доступа, дополнительно используется, когда защита сообщения выполняется для NAS сообщения. Следовательно, даже, если используется один и тот же NAS ключ и один и тот же NAS COUNT, когда выполняется обеспечение безопасности для NAS сообщения, передаваемого с использованием разных технологий доступа, результаты защиты NAS сообщения различны, что уменьшает вероятность возникновения атаки повторением, тем самым, реализуя обеспечение безопасности для множества NAS линий соединения.According to the security method provided in this embodiment of the present invention, the underlying network device can separately maintain a corresponding NAS COUNT for each of the at least two access technologies. An end device does not use the same set of NAS COUNTs when transmitting a NAS message using different access technologies. Instead, the end device secures the NAS message with the NAS COUNT supported for the corresponding access technology. This can prevent a replay attack that occurs when the underlying network device first receives a relatively small NAS COUNT transmitted on one link and then receives a relatively large NAS COUNT transmitted on another link. In the present invention, the first parameter used to distinguish between different access technologies is further used when message protection is performed on the NAS message. Therefore, even if the same NAS key and the same NAS COUNT are used, when security is performed on a NAS message transmitted using different access technologies, the results of protecting the NAS message are different, which reduces the possibility of occurrence of a replay attack, thereby , realizing security for multiple NAS connection lines.
В качестве варианта, если технология доступа, используемая для передачи NAS сообщения, является первой технологией доступа, перед процедурами на фиг. 5 и фиг. 9, как показано на фиг. 10, способ может дополнительно включать в себя этапы 1001-1007.Alternatively, if the access technology used to transmit the NAS message is the first access technology, before the procedures in FIG. 5 and FIG. 9 as shown in FIG. 10, the method may further include steps 1001-1007.
Этап 1001: оконечное устройство определяет первый NAS COUNT восходящей линии связи, соответствующий первой технологии доступа.Step 1001: The terminal device determines the first uplink NAS COUNT corresponding to the first access technology.
Первый NAS COUNT восходящей линии связи равен 0 и, в частности, все или некоторые биты первого NAS COUNT восходящей линии связи равны 0.The first uplink NAS COUNT is 0, and in particular, all or some bits of the first uplink NAS COUNT are 0.
В качестве альтернативы, первый NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты в первом NAS COUNT восходящей линии связи являются случайными числами. Например, часть порядкового номера или часть переполнения NAS в первом NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0.Alternatively, the first uplink NAS COUNT is a random number. In particular, some or all of the bits in the first uplink NAS COUNT are random numbers. For example, the sequence number part or the NAS overflow part in the first uplink NAS COUNT is a random number. In this case, the remainder is 0.
Альтернативно, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством.Alternatively, the at least two access technologies further include a second access technology, and the first uplink NAS COUNT is an uplink NAS COUNT that corresponds to the second access technology and that is stored by the terminal. If the terminal stores at least two uplink NAS COUNTs corresponding to the second access technology, the first uplink NAS COUNT is the largest uplink NAS COUNT that corresponds to the second access technology and is stored by the terminal.
Альтернативно, по меньшей мере, две технологии доступа дополнительно включают в себя вторую технологию доступа, и первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT восходящей линии связи является суммой 1 и наибольший NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством.Alternatively, the at least two access technologies further include a second access technology, and the first uplink NAS COUNT is the sum of 1 and the uplink NAS COUNT that corresponds to the second access technology and that is stored by the terminal. If the terminal stores at least two uplink NAS COUNTs corresponding to the second access technology, the first uplink NAS COUNT is the sum of 1 and the largest uplink NAS COUNT that corresponds to the second access technology and that is stored by the terminal.
Альтернативно, первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством.Alternatively, the first uplink NAS COUNT is an uplink NAS COUNT that corresponds to the first access technology and that is stored by the terminal. If the terminal stores at least two uplink NAS COUNTs corresponding to the first access technology, the first uplink NAS COUNT is the largest uplink NAS COUNT that corresponds to the first access technology and is stored by the terminal.
Альтернативно, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT восходящей линии связи, который соответствует первой технологии доступа и который сохраняется оконечным устройством.Alternatively, the first uplink NAS COUNT is the sum of 1 and the uplink NAS COUNT that corresponds to the first access technology and that is stored by the terminal. If the terminal stores at least two uplink NAS COUNTs corresponding to the first access technology, the first uplink NAS COUNT is the sum of 1 and the largest uplink NAS COUNT that corresponds to the first access technology and is stored by the terminal.
В качестве варианта, первая технология доступа и вторая технология доступа могут быть отдельно 3GPP технологией доступа, non-3GPP технологией доступа, технологией фиксированного доступа к сети, другой технологией, которая может использоваться для доступа к основному сетевому устройству, или любой технологией, которая может совместно использовать основное сетевое устройство 3GPP с технологией доступа 3GPP. В этом варианте осуществления настоящего изобретения для описания используется пример, в котором первая технология доступа представляет собой non-3GPP технологию доступа и вторая технология доступа представляет собой 3GPP технологию доступа.Alternatively, the first access technology and the second access technology may be separately a 3GPP access technology, a non-3GPP access technology, a fixed network access technology, another technology that can be used to access the underlying network device, or any technology that can be combined. use a 3GPP core network device with 3GPP access technology. In this embodiment of the present invention, an example is used for description in which the first access technology is a non-3GPP access technology and the second access technology is a 3GPP access technology.
Очевидно, что перед тем, как оконечное устройство отправляет NAS сообщение в AMF узел с помощью non-3GPP технологии доступа, оконечному устройству необходимо определить первый NAS COUNT восходящей линии связи, передаваемый, когда NAS сообщение передается через non-3GPP технологию доступа.Obviously, before a tag sends a NAS message to an AMF node using a non-3GPP access technology, the tag needs to determine the first uplink NAS COUNT transmitted when the NAS message is sent via the non-3GPP access technology.
Если оконечное устройство получает доступ к AMF узлу с использованием non-3GPP технологии доступа в первый раз, первый NAS COUNT восходящей линии связи, соответствующий non-3GPP технологии доступа, может быть установлен на 0 или случайное число. Альтернативно, когда оконечное устройство получило доступ к AMF узлу посредством 3GPP технологии доступа, если способ обслуживания NAS COUNT является способом 1, описанным выше (после отправки NAS сообщения NAS COUNT, используемый в сообщении NAS, увеличивается на 1 и сохраняется, и когда NAS сообщение необходимо отправить в следующий раз, выполняется обеспечение безопасности для NAS сообщения с использованием сохраненного NAS COUNT), может быть определено, что первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа, который хранится в оконечном устройстве. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие 3GPP технологии доступа, и оконечное устройство не может определить NAS COUNT восходящей линии связи, используемый предшествующим NAS сообщением, выбран самый большой NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется посредством оконечного устройства, и выполняется обеспечение безопасности для NAS сообщения. Если способ обслуживания NAS COUNT является способом 2, описанным выше (после того, как NAS сообщение отправлено, когда NAS сообщение необходимо отправить в следующий раз, сохраненный NAS COUNT увеличивается на 1, чтобы определить новый NAS COUNT, и выполняется обеспечение безопасности для NAS сообщения с использованием нового NAS COUNT), может быть определено, что первый NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется оконечным устройством. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие 3GPP технологии доступа, и оконечное устройство не может определить NAS COUNT восходящей линии связи, используемый предшествующим NAS сообщением, выбирают самый большой NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется оконечным устройством, и увеличивается на 1 и выполняется обеспечение безопасности для NAS сообщения с использованием NAS COUNT восходящей линии связи, увеличенного на 1.If a terminal accesses an AMF node using a non-3GPP access technology for the first time, the first uplink NAS COUNT corresponding to the non-3GPP access technology may be set to 0 or a random number. Alternatively, when the terminal device has accessed the AMF node through 3GPP access technology, if the NAS COUNT service method is method 1 described above (after the NAS message is sent, the NAS COUNT used in the NAS message is incremented by 1 and stored, and when the NAS message is needed send the next time security is performed for the NAS message using the stored NAS COUNT), it can be determined that the first uplink NAS COUNT is an uplink NAS COUNT that conforms to the 3GPP access technology that is stored in the terminal. If the terminal device stores at least two uplink NAS COUNTs conforming to 3GPP access technology and the terminal device cannot determine the uplink NAS COUNT used by the previous NAS message, the largest uplink NAS COUNT that complies with 3GPP is selected. access technology and which is stored by the end device, and security is performed for the NAS message. If the NAS COUNT service method is method 2 above (after the NAS message is sent, when the NAS message needs to be sent next time, the saved NAS COUNT is incremented by 1 to determine a new NAS COUNT, and security is performed for the NAS message with using the new NAS COUNT), it can be determined that the first uplink NAS COUNT is the sum of 1 and the uplink NAS COUNT that conforms to the 3GPP access technology and that is stored by the terminal. If the terminal device stores at least two uplink NAS COUNTs conforming to 3GPP access technology, and the terminal device cannot determine the uplink NAS COUNT used by the previous NAS message, select the largest uplink NAS COUNT that complies with 3GPP access technology and which is stored by the terminal and incremented by 1 and security is performed for the NAS message using the uplink NAS COUNT incremented by 1.
Когда оконечное устройство получает доступ к AMF узлу посредством non-3GPP технологии доступа, если способ обслуживания NAS COUNT является вышеупомянутым способом 1, может быть определено, что первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа, который сохраняется оконечным устройством; или, если способ обслуживания NAS COUNT является вышеупомянутым способом 2, может быть определено, что первый NAS COUNT восходящей линии связи является суммой 1 и NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется оконечным устройством.When a terminal device accesses an AMF node through a non-3GPP access technology, if the NAS COUNT service method is the above method 1, it can be determined that the first uplink NAS COUNT is an uplink NAS COUNT that corresponds to the non-3GPP access technology. , which is stored by the end device; or, if the NAS COUNT serving method is the above method 2, it may be determined that the first uplink NAS COUNT is the sum of 1 and the uplink NAS COUNT that corresponds to the non-3GPP access technology and that is stored by the terminal.
Этап 1002. Оконечное устройство отправляет первое сообщение AMF узлу, где первое сообщение несущее некоторые или все биты первого NAS COUNT восходящей линии связи.Step 1002: The terminal sends a first AMF message to the node, where the first message carries some or all of the bits of the first uplink NAS COUNT.
Выполняется обеспечение безопасности для первого сообщения с использованием первого NAS COUNT восходящей линии связи и NAS ключа. В качестве варианта, первое сообщение может передавать 24-битный первый COUNT восходящей линии связи или может нести только некоторые биты первого COUNT восходящей линии связи, например, передавать только последние 4 или 8 битов первого NAS COUNT восходящей линии связи.Security is performed for the first message using the first uplink NAS COUNT and the NAS key. Alternatively, the first message may carry the 24-bit uplink first COUNT, or may only carry some bits of the first uplink COUNT, eg, only carry the last 4 or 8 bits of the first uplink NAS COUNT.
В другой возможной реализации, если оконечное устройство впервые осуществляет доступ к AMF узлу через non-3GPP технологию доступа, и оконечное устройство получило доступ к AMF узлу посредством 3GPP технологии доступа, оконечное устройство может временно не определять первый NAS COUNT восходящей линии связи и выполнять обеспечение безопасности в первую очередь для первого сообщения с использованием NAS COUNT, соответствующего non-3GPP технологии доступа, другими словами, этап 1001 и этап 1002 могут быть заменены этапом 1003.In another possible implementation, if the terminal device accesses the AMF node for the first time through a non-3GPP access technology, and the terminal device has accessed the AMF node through the 3GPP access technology, the terminal device may temporarily not determine the first uplink NAS COUNT and perform security first of all for the first message using NAS COUNT corresponding to non-3GPP access technology, in other words, step 1001 and step 1002 can be replaced by step 1003.
Этап 1003. Оконечное устройство отправляет первое сообщение AMF узлу, где первое сообщение несет некоторые или все биты NAS COUNT восходящей линии связи, соответствующего второй технологии доступа.Step 1003: The tag sends a first AMF message to the node, where the first message carries some or all of the uplink NAS COUNT bits corresponding to the second access technology.
Для первого сообщения выполняется обеспечение безопасности с использованием NAS ключа и NAS COUNT восходящей линии связи, соответствующий второй технологии доступа.The first message is secured using the NAS key and the uplink NAS COUNT corresponding to the second access technology.
NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который переносится в первом сообщении, является некоторыми или всеми битами NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством, или является некоторыми или всеми битами новых NAS COUNTs восходящей линии связи, принятыми после NAS COUNT восходящей линии связи, которые соответствуют второй технологии доступа и которые сохранены оконечным устройством, увеличены на 1. Если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие второй технологии доступа, NAS COUNT восходящей линии связи, соответствующий второй технологии доступа на этом этапе, является самым большим NAS COUNT восходящей линии связи, который соответствует второй технологии доступа и который сохраняется оконечным устройством.The uplink NAS COUNT that corresponds to the second access technology and that is carried in the first message is some or all of the bits of the uplink NAS COUNT that corresponds to the second access technology and that is stored by the terminal, or is some or all of the bits of the new uplink NAS COUNTs uplink NAS COUNTs received after the uplink NAS COUNT that correspond to the second access technology and which are stored by the terminal device are increased by 1. If the terminal device stores at least two uplink NAS COUNTs corresponding to the second access technology, the uplink NAS COUNT link corresponding to the second access technology at this stage is the largest uplink NAS COUNT that corresponds to the second access technology and which is stored by the terminal device.
Следует отметить, что, В качестве варианта, первое сообщение на этапе 1002 и на этапе 1003 оба включают в себя первую информацию указания, где первая информация указания используется для указания технологии доступа, соответствующей некоторым или всем битам NAS COUNT восходящей линии связи, передаваемым в первом сообщении, или первая информация указания используется для указания тракта передачи, соответствующего некоторым или всем битам NAS COUNT, передаваемому в первом сообщении. Например, первая информация указания, передаваемая в первом сообщении на этапе 1002, указывает non-3GPP технологию доступа и первая информация указания, передаваемая в первом сообщении на этапе 1003, указывает 3GPP технологию доступа. В другом примере, первая информация указания, передаваемая в первом сообщении на этапе 1002, указывает доступ к AMF узлу через тракт 1, и первая информация указания, передаваемая в первом сообщении на этапе 1003, указывает доступ к AMF узлу через тракт 2.Note that, Optionally, the first message in step 1002 and step 1003 both include first indication information, where the first indication information is used to indicate an access technology corresponding to some or all of the uplink NAS COUNT bits transmitted in the first message, or the first indication information is used to indicate the transmission path corresponding to some or all of the bits of the NAS COUNT transmitted in the first message. For example, the first indication information transmitted in the first message at step 1002 indicates a non-3GPP access technology, and the first indication information transmitted in the first message at step 1003 indicates a 3GPP access technology. In another example, the first indication information transmitted in the first message at step 1002 indicates access to the AMF node via path 1, and the first indication information transmitted in the first message at step 1003 indicates access to the AMF node via path 2.
Следующие этапы могут быть дополнительно выполнены после этапа 1002 или этапа 1003.The following steps may be additionally performed after step 1002 or step 1003.
Этап 1004. AMF узел принимает первое сообщение.Step 1004: The AMF node receives the first message.
Этап 1005. AMF узел проверяет, основываясь на NAS COUNT восходящей линии связи, соответствующем технологии доступа, указанной в первой информации указания, NAS COUNT, передаваемый в первом сообщении.Step 1005: The AMF node checks, based on the uplink NAS COUNT corresponding to the access technology indicated in the first indication information, the NAS COUNT transmitted in the first message.
Информация указания может быть явным указанием или может быть неявным уведомлением. Например, информация о типе доступа может быть информацией указания типа доступа (такой как тип доступа типа технологии радиодоступа (radio access technology, RAT)), которая явно указана в N2 сообщении, или является информацией указания типа доступа, которая добавлена в NAS сообщении. AMF узел может определять тип доступа на основании источника первого сообщения, когда нет информации указания типа доступа. Например, если адрес источника сообщения является базовой станцией, тип доступа является 3GPP доступом; если исходный адрес сообщения является N3IWF узлом, тип доступа является non-3GPP доступом; если исходным адресом сообщения является устройство, подключенное к фиксированной сети, тип доступа является фиксированным доступом к сети.The indication information may be an explicit indication or may be an implicit notification. For example, the access type information may be access type indication information (such as a radio access technology (RAT) type access type) that is explicitly indicated in the N2 message, or is access type indication information that is added in the NAS message. The AMF node may determine the access type based on the source of the first message when there is no access type indication information. For example, if the message source address is a base station, the access type is 3GPP access; if the message source address is an N3IWF node, the access type is non-3GPP access; if the source address of the message is a device connected to a fixed network, the access type is fixed network access.
Когда первая информация указания указывает технологию доступа, не относящуюся к 3GPP, если первое сообщение передает полный первый NAS COUNT, и AMF узел определяет, что оконечное устройство получило доступ к AMF узлу, AMF узел определяет, является ли первый NAS COUNT больше, чем ранее принятый NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется AMF узлом. Если первый NAS COUNT больше, чем ранее принятый NAS COUNT восходящей линии связи, аутентификация завершается успешно; или, если первый NAS COUNT меньше, чем ранее принятый NAS COUNT восходящей линии связи, аутентификация завершается неудачно, доступ к оконечное устройству отклоняется, и оконечное устройство информируется о причине сбоя. В качестве варианта, если AMF узел определяет, что оконечное устройство не получило доступ к AMF узлу с использованием non-3GPP технологии доступа, AMF узел сохраняет первый NAS COUNT в качестве NAS COUNT восходящей линии связи, соответствующий non-3GPP технологии доступа, или AMF узел определяет, что значение NAS COUNT восходящей линии связи, соответствующее non-3GPP технологии доступа, равно 0. Если первое сообщение содержит часть первого NAS COUNT, AMF узел сначала восстанавливает полный первый NAS COUNT, и затем проверяет или сохраняет первый NAS COUNT согласно вышеуказанному способу обработки первого NAS COUNT.When the first indication information indicates a non-3GPP access technology, if the first message transmits the full first NAS COUNT and the AMF node determines that the terminal device has accessed the AMF node, the AMF node determines whether the first NAS COUNT is larger than the previously received An uplink NAS COUNT that conforms to the non-3GPP access technology and that is maintained by the AMF node. If the first NAS COUNT is greater than the previously received uplink NAS COUNT, authentication succeeds; or, if the first NAS COUNT is less than the previously received uplink NAS COUNT, authentication fails, access to the tag is denied, and the tag is informed of the reason for the failure. Alternatively, if the AMF node determines that the terminal has not accessed the AMF node using a non-3GPP access technology, the AMF node stores the first NAS COUNT as the uplink NAS COUNT corresponding to the non-3GPP access technology, or the AMF node determines that the uplink NAS COUNT value corresponding to the non-3GPP access technology is 0. If the first message contains part of the first NAS COUNT, the AMF node first recovers the complete first NAS COUNT, and then checks or stores the first NAS COUNT according to the above processing method first NAS COUNT.
Когда первая информация указания указывает 3GPP технологию доступа, если первое сообщение содержит полный NAS COUNT, соответствующий 3GPP технологии доступа, AMF узел определяет, больше ли первый NAS COUNT, чем ранее принятый NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и сохраняется AMF узлом. Если первый NAS COUNT больше, чем ранее принятый NAS COUNT восходящей линии связи, проверка завершается успешно; или, если первый NAS COUNT меньше, чем ранее принятый NAS COUNT восходящей линии связи, проверка подлинности завершается неудачно. Если первое сообщение содержит часть NAS COUNT, соответствующую 3GPP технологии доступа, AMF узел сначала восстанавливает полный NAS COUNT, и затем проверяет восстановленный полный NAS COUNT, используя описанный выше способ проверки NAS COUNT.When the first indication information indicates a 3GPP access technology, if the first message contains a complete NAS COUNT corresponding to the 3GPP access technology, the AMF node determines whether the first NAS COUNT is larger than the previously received uplink NAS COUNT that corresponds to the 3GPP access technology and is stored by the AMF node. . If the first NAS COUNT is greater than the previously received uplink NAS COUNT, the test succeeds; or, if the first NAS COUNT is less than the previously received uplink NAS COUNT, the authentication fails. If the first message contains a part of the NAS COUNT corresponding to the 3GPP access technology, the AMF node first recovers the full NAS COUNT, and then checks the recovered full NAS COUNT using the NAS COUNT verification method described above.
Этап 1006. AMF узел определяет один или оба из второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.Step 1006: The AMF node determines one or both of the second uplink NAS COUNT and the first downlink NAS COUNT that correspond to the first access technology.
Второй NAS COUNT восходящей линии связи равен 0 и, в частности, все или некоторые биты второго NAS COUNT восходящей линии связи равны 0. В качестве альтернативы, второй NAS COUNT восходящей линии связи является случайным числом. В частности, некоторые или все биты во втором NAS COUNT восходящей линии связи являются случайными числами. Например, часть порядкового номера или часть переполнения NAS второго NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. Альтернативно, второй NAS COUNT восходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи является самым большим NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Альтернативно, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который сохраняется основным сетевым устройством. В качестве альтернативы, второй NAS COUNT восходящей линии связи является первым NAS COUNT восходящей линии связи; или второй NAS COUNT восходящей линии связи является суммой 1 и первого NAS COUNT восходящей линии связи.The second uplink NAS COUNT is 0, and specifically, all or some bits of the second uplink NAS COUNT are 0. Alternatively, the second uplink NAS COUNT is a random number. In particular, some or all of the bits in the second uplink NAS COUNT are random numbers. For example, the sequence number part or the NAS overflow part of the second uplink NAS COUNT is a random number. In this case, the remainder is 0. Alternatively, the second uplink NAS COUNT is a downlink NAS COUNT that corresponds to the second access technology and that is stored by the main network device. If the core network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the second uplink NAS COUNT is the largest downlink NAS COUNT that corresponds to the second access technology and is stored by the core network device. Alternatively, the second uplink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the second access technology and which is stored in the main network device. If the underlying network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the second uplink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the second access technology and which is stored in the main network device. Alternatively, the second uplink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the first access technology and which is stored in the main network device. If the core network device stores at least two downlink NAS COUNTs corresponding to the first access technology, the second uplink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the first access technology and which is stored by the core network device. Alternatively, the second uplink NAS COUNT is the first uplink NAS COUNT; or the second uplink NAS COUNT is the sum of 1 and the first uplink NAS COUNT.
В качестве варианта, если первое сообщение, принятое AMF узлом, содержит первый NAS COUNT для восходящей линии связи, AMF узел может определить, что второй NAS COUNT для восходящей линии связи является первым NAS COUNT восходящей линии связи, или что второй NAS COUNT восходящей линии связи является суммой 1 и первого NAS COUNT восходящей линии связи.Alternatively, if the first message received by the AMF node contains the first uplink NAS COUNT, the AMF node may determine that the second uplink NAS COUNT is the first uplink NAS COUNT, or that the second uplink NAS COUNT is the sum of 1 and the first uplink NAS COUNT.
Альтернативно, если первое сообщение, принятое AMF узлом, содержит первый NAS COUNT восходящей линии связи, это указывает, что оконечное устройство определило NAS COUNT, соответствующий non-3GPP технологии доступа, и AMF узел может не определять второй NAS COUNT.Alternatively, if the first message received by the AMF node contains the first uplink NAS COUNT, this indicates that the terminal has determined the NAS COUNT corresponding to the non-3GPP access technology, and the AMF node may not determine the second NAS COUNT.
Первый NAS COUNT нисходящей линии связи равен 0 и, в частности, все или некоторые биты первого NAS COUNT нисходящей линии связи равны 0. The first downlink NAS COUNT is 0, and in particular, all or some bits of the first downlink NAS COUNT are 0.
Альтернативно, первый NAS COUNT нисходящей линии связи является случайным числом. В частности, некоторые или все биты в первого NAS COUNT нисходящей линии связи являются случайными числами. Например, часть с порядковым номером или часть с переполнением NAS в первом NAS COUNT восходящей линии связи является случайным числом. В этом случае, оставшаяся часть равна 0. В качестве альтернативы, первый NAS COUNT нисходящей линии связи является NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи является самым большим NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который сохраняется основным сетевым устройством. В качестве альтернативы, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие второй технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует второй технологии доступа и который хранится в основном сетевом устройстве. Альтернативно, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве. Если основное сетевое устройство хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие первой технологии доступа, первый NAS COUNT нисходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует первой технологии доступа и который хранится в основном сетевом устройстве.Alternatively, the first downlink NAS COUNT is a random number. In particular, some or all of the bits in the first downlink NAS COUNT are random numbers. For example, the sequence number part or the NAS overflow part in the first uplink NAS COUNT is a random number. In this case, the remainder is 0. Alternatively, the first downlink NAS COUNT is a downlink NAS COUNT which corresponds to the second access technology and which is stored in the main network device. If the core network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the first downlink NAS COUNT is the largest downlink NAS COUNT that corresponds to the second access technology and is stored by the core network device. Alternatively, the first downlink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the second access technology and which is stored in the main network device. If the underlying network device stores at least two downlink NAS COUNTs corresponding to the second access technology, the first downlink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the second access technology and which is stored primarily network device. Alternatively, the first downlink NAS COUNT is the sum of 1 and the downlink NAS COUNT which corresponds to the first access technology and which is stored in the main network device. If the underlying network device stores at least two downlink NAS COUNTs corresponding to the first access technology, the first downlink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the first access technology and which is stored mainly network device.
В качестве варианта, если первое сообщение, принятое AMF узлом, содержит NAS COUNT, соответствующий второй технологии доступа, второй NAS COUNT восходящей линии связи, определенный AMF узлом, может быть таким же, как первый NAS COUNT нисходящей линии связи.Alternatively, if the first message received by the AMF node contains a NAS COUNT corresponding to the second access technology, the second uplink NAS COUNT determined by the AMF node may be the same as the first downlink NAS COUNT.
Этап 1007. AMF узел отправляет второе сообщение в оконечное устройство, где второе сообщение включает в себя один или оба из второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют первой технологии доступа.Step 1007: The AMF node sends a second message to the tag, where the second message includes one or both of the second uplink NAS COUNT and the first downlink NAS COUNT that correspond to the first access technology.
Соответственно, оконечное устройство принимает второе сообщение.Accordingly, the terminal device receives the second message.
В качестве варианта, второе сообщение содержит вторую информацию указания, и вторая информация указания используется для указания технологии доступа, соответствующей первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, используемую для указания второго NAS COUNT восходящей линии связи, передаваемого во втором сообщении. В качестве варианта, вторая информация указания используется для указания тракта передачи, соответствующего первому NAS COUNT нисходящей линии связи, передаваемому во втором сообщении. В качестве варианта, второе сообщение может дополнительно содержать информацию указания, которая используется для указания тракта передачи, соответствующего второму NAS COUNT восходящей линии связи, передаваемому во втором сообщении. Понятно, что, поскольку второе сообщение содержит первый NAS COUNT нисходящей линии связи, соответствующий первой технологии доступа, вторая информация указания используется для указания первой технологии доступа. Например, если первая технология доступа является 3GPP технологией доступа, вторая информация указания используется для указания 3GPP технологии доступа; если первая технология доступа является non-3GPP технологией доступа, вторая информация указания используется для указания non-3GPP технологии доступа.Alternatively, the second message contains the second indication information, and the second indication information is used to indicate the access technology corresponding to the first downlink NAS COUNT transmitted in the second message. Alternatively, the second message may further comprise indication information used to indicate the second uplink NAS COUNT transmitted in the second message. Alternatively, the second indication information is used to indicate the transmission path corresponding to the first downlink NAS COUNT transmitted in the second message. Alternatively, the second message may further comprise indication information that is used to indicate a transmission path corresponding to the second uplink NAS COUNT transmitted in the second message. It is understood that since the second message contains the first downlink NAS COUNT corresponding to the first access technology, the second indication information is used to indicate the first access technology. For example, if the first access technology is a 3GPP access technology, the second indication information is used to indicate the 3GPP access technology; if the first access technology is a non-3GPP access technology, the second indication information is used to indicate the non-3GPP access technology.
Очевидно, что после приема второго сообщения оконечное устройство может сохранить один или оба из второго NAS COUNT восходящей линии связи и первого NAS COUNT нисходящей линии связи, которые передаются во втором сообщении. Когда в следующий раз необходимо отправить NAS сообщение восходящей линии связи через non-3GPP, может быть выполнено обеспечение безопасности для NAS сообщения на основании второго NAS COUNT восходящей линии связи. В качестве альтернативы, после приема NAS сообщения нисходящей линии связи, NAS COUNT нисходящей линии связи в принятом NAS сообщении нисходящей линии связи может быть проверен на основании первого NAS COUNT нисходящей линии связи.Obviously, after receiving the second message, the terminal may store one or both of the second uplink NAS COUNT and the first downlink NAS COUNT that are carried in the second message. When the next time it is necessary to send an uplink message to the NAS via non-3GPP, security for the NAS message can be performed based on the second uplink NAS COUNT. Alternatively, after receiving the downlink message by the NAS, the downlink NAS COUNT in the received downlink message by the NAS may be checked based on the first downlink NAS COUNT.
Со ссылкой на конкретный сценарий ниже описан способ обеспечения безопасности, описанный в предшествующих вариантах осуществления. Вариант осуществления настоящего изобретения может быть применен к сценарию, в котором оконечное устройство получило доступ к AMF узлу с использованием 3GPP технологии доступа, и затем оконечное устройство получило доступ к тому же AMF узлу с использованием non-3GPP технологии доступа. Фиг. 11А и фиг. 11B показывают процесс регистрации, в котором оконечное устройство осуществляет доступ к AMF узлу с использованием non-3GPP технологии доступа. Способ включает в себя следующие этапы.With reference to a specific scenario, the security method described in the previous embodiments is described below. An embodiment of the present invention can be applied to a scenario in which a terminal has accessed an AMF node using 3GPP access technology, and then the terminal has accessed the same AMF node using non-3GPP access technology. Fig. 11A and FIG. 11B show a registration process in which a terminal accesses an AMF node using a non-3GPP access technology. The method includes the following steps.
Этап 1101: оконечное устройство получает доступ к ненадежной non-3GPP сети.Step 1101: The tag accesses an untrusted non-3GPP network.
Например, оконечное устройство получает доступ к сети WiFi, которой нельзя доверять напрямую.For example, the end device accesses a WiFi network that cannot be directly trusted.
На этом этапе, оконечное устройство получает доступ к ненадежной non-3GPP сети, и оконечное устройство было аутентифицировано 3GPP сетью и имеет NAS контекст безопасности. NAS контекст безопасности включает в себя NAS ключ, идентификатор ключа и NAS COUNT, соответствующие 3GPP технологии доступа. В качестве варианта, NAS контекст дополнительно включает в себя NAS COUNT, соответствующий non-3GPP технологии доступа. Если оконечное устройство получило доступ к AMF узлу через non-3GPP технологию доступа, NAS COUNT, соответствующий non-3GPP технологии доступа, не равен 0. Если оконечное устройство не получило доступ к AMF узлу через non-3GPP технологию доступа, NAS COUNT, соответствующий non-3GPP технологии доступа, равен 0.At this point, the end device is accessing an untrusted non-3GPP network, and the end device has been authenticated by the 3GPP network and has a NAS security context. The NAS security context includes a NAS key, a key ID, and a NAS COUNT corresponding to 3GPP access technologies. Alternatively, the NAS context further includes a NAS COUNT corresponding to a non-3GPP access technology. If the terminal has accessed the AMF node through a non-3GPP access technology, the NAS COUNT corresponding to the non-3GPP access technology is not equal to 0. If the end device has not accessed the AMF node through a non-3GPP access technology, the NAS COUNT corresponding to the non -3GPP access technology is 0.
NAS ключ может представлять собой один или оба ключ шифрования и ключ защиты целостности.The NAS key may be one or both of an encryption key and an integrity protection key.
Этап 1102: оконечное устройство обменивается исходным сообщением протокола ассоциации безопасности и обмена ключами в интернете (internet key exchange protocol security association initial, IKE_SA_INIT) с N3IWF узлом.Step 1102: The terminal exchanges an internet key exchange protocol security association initial (IKE_SA_INIT) protocol initial message with the N3IWF node.
Сообщение IKE_SA_INIT содержит материал ключа, и материал ключа представляет собой информацию, используемую для выполнения обеспечения безопасности сообщения, передаваемого между оконечным устройством и N3IWF узлом. После того, как оконечное устройство обменивается сообщением IKE_SA_INIT с N3IWF узлом, оконечное устройство и N3IWF узел могут генерировать один и тот же ключ, и этот ключ используется для выполнения обеспечения безопасности сообщения, впоследствии переданного оконечным устройством и N3IWF узлом.The IKE_SA_INIT message contains a key material, and the key material is information used to perform security on a message sent between an end device and an N3IWF node. After the terminal exchanges an IKE_SA_INIT message with the N3IWF node, the terminal and the N3IWF node may generate the same key, and this key is used to perform security on the message subsequently sent by the terminal and the N3IWF node.
Этап 1103. Оконечное устройство отправляет сообщение запроса аутентификации протокола обмена ключами в интернете (Internet key exchange protocol authentication request, IKE_AUTH_Req) в N3IWF узел.Step 1103: The terminal sends an Internet key exchange protocol authentication request (IKE_AUTH_Req) message to the N3IWF node.
Соответственно, N3IWF узел принимает IKE_AUTH_Req сообщение.Accordingly, the N3IWF node receives an IKE_AUTH_Req message.
Этап 1104: N3IWF узел отправляет в оконечное устройство сообщение ответа аутентификации протокола обмена ключами в интернете (Internet key exchange protocol authentication response, IKE_AUTH_Res).Step 1104: The N3IWF node sends an Internet key exchange protocol authentication response (IKE_AUTH_Res) authentication response message to the terminal.
Соответственно, оконечное устройство принимает IKE_AUTH_Res сообщение.Accordingly, the tag receives an IKE_AUTH_Res message.
Сообщение IKE_AUTH_Res содержит 5G начало (5G start) сообщения сообщение запроса расширяемого протокола аутентификации 5-го поколения (extensible authentication protocol _5th generation_request, EAP_5G_Req), и EAP_5G_Req сообщение используется для запроса оконечного устройства начать процедуру расширяемого протокола аутентификации (extensible authentication protocol, EAP).The IKE_AUTH_Res message contains a 5G start message (extensible authentication protocol _5 th generation_request, EAP_5G_Req) message, and an EAP_5G_Req message is used to request the end device to start the extensible authentication protocol (EAP) procedure. .
Этап 1105: оконечное устройство определяет первый NAS COUNT восходящей линии связи.Step 1105: The tag determines the first uplink NAS COUNT.
Первый NAS COUNT восходящей линии связи представляет собой COUNT, используемый для выполнения обеспечения безопасности NAS сообщения, отправляемому оконечным устройством AMF узлу.The first uplink NAS COUNT is the COUNT used to perform NAS security on the message sent by the AMF terminal to the node.
Есть две реализации этого этапа.There are two implementations of this stage.
В первой реализации оконечное устройство определяет первый NAS COUNT восходящей линии связи на основании NAS COUNT восходящей линии связи, соответствующего 3GPP технологии доступа.In the first implementation, the terminal device determines the first uplink NAS COUNT based on the uplink NAS COUNT corresponding to the 3GPP access technology.
Поскольку оконечное устройство получило доступ к AMF узлу через 3GPP технологию доступа, оконечное устройство сохранило NAS COUNT, соответствующий 3GPP технологии доступа. Если способ обслуживания NAS COUNT является вышеупомянутым способом 1, то можно определить, что первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется оконечным устройством (если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие 3GPP технологии доступа, первый NAS COUNT восходящей линии связи является наибольшим NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется оконечным устройством). Если способ обслуживания NAS COUNT является вышеупомянутым способом 2, то может быть определено, что первый NAS COUNT восходящей линии связи является суммой 1 и NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется оконечным устройством (если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие non-3GPP технологии доступа, первый NAS COUNT восходящей линии связи является суммой 1 и наибольшим NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется посредством оконечного устройства).Since the terminal device has accessed the AMF node through the 3GPP access technology, the terminal device has stored the NAS COUNT corresponding to the 3GPP access technology. If the service method of the NAS COUNT is the above method 1, then it can be determined that the first uplink NAS COUNT is an uplink NAS COUNT that conforms to the 3GPP access technology and that is stored by the terminal (if the terminal stores at least two NAS uplink COUNTs corresponding to the 3GPP access technology, the first uplink NAS COUNT is the largest uplink NAS COUNT that conforms to the 3GPP access technology and is stored by the terminal). If the service method of the NAS COUNT is the above method 2, then it can be determined that the first uplink NAS COUNT is the sum of 1 and the uplink NAS COUNT that conforms to the non-3GPP access technology and that is stored by the terminal (if the terminal stores, at least two uplink NAS COUNTs corresponding to the non-3GPP access technology, the first uplink NAS COUNT being the sum of 1 and the largest uplink NAS COUNT that corresponds to the non-3GPP access technology and which is stored by the terminal).
Во второй реализации оконечное устройство генерирует NAS COUNT, соответствующий non-3GPP технологии доступа, и использует в качестве первого NAS COUNT восходящей линии связи, NAS COUNT, соответствующий non-3GPP технологии доступа.In the second implementation, the terminal generates a NAS COUNT corresponding to a non-3GPP access technology and uses as a first uplink NAS COUNT, a NAS COUNT corresponding to a non-3GPP access technology.
В качестве варианта, если оконечное устройство получило доступ к AMF узлу через non-3GPP технологию доступа, оконечное устройство может определить, что первый NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется оконечным устройством (если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие non-3GPP технологии доступа, первый NAS COUNT восходящей линии связи является самым большим NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется посредством оконечного устройства) или оконечное устройство может определить, что первый NAS COUNT восходящей линии связи является суммой 1 и NAS COUNT, который соответствует non-3GPP технологии доступа и который сохранен оконечным устройством (если оконечное устройство хранит, по меньшей мере, два NAS COUNTs восходящей линии связи, соответствующие non-3GPP технологии доступа, первый NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется оконечным устройством).Alternatively, if the terminal has accessed the AMF node via a non-3GPP access technology, the terminal may determine that the first uplink NAS COUNT is an uplink NAS COUNT that conforms to the non-3GPP access technology and that is stored by the terminal. (if the terminal stores at least two non-3GPP access technology uplink NAS COUNTs, the first uplink NAS COUNT is the largest uplink NAS COUNT that conforms to the non-3GPP access technology and that is stored by terminal) or the terminal may determine that the first uplink NAS COUNT is the sum of 1 and a NAS COUNT that conforms to the non-3GPP access technology and that is stored by the terminal (if the terminal stores at least two uplink NAS COUNTs communications conforming to non-3GPP technology access policy, the first uplink NAS COUNT is the sum of 1 and the highest uplink NAS COUNT that complies with the non-3GPP access technology and that is stored by the terminal).
В качестве варианта, если первый NAS COUNT восходящей линии связи определяется во второй реализации, в процессе регистрации, в котором оконечное устройство осуществляет доступ к AMF узлу с использованием non-3GPP технологии доступа, оконечное устройство не отправляет NAS сообщение с использованием 3GPP технологии доступа.Alternatively, if the first uplink NAS COUNT is determined in the second implementation, during the registration process in which the terminal device accesses the AMF node using non-3GPP access technology, the terminal device does not send a message to the NAS using 3GPP access technology.
В качестве варианта, оконечное устройство может дополнительно устанавливать индикатор. Индикатор эквивалентен первой информации указания в варианте осуществления, соответствующем фиг. 10, и используется для указания того, соответствует ли первый NAS COUNT восходящей линии связи 3GPP технологии доступа или non-3GPP технологии доступа. Следует понимать, что, если оконечное устройство определяет первый NAS COUNT восходящей линии связи в вышеупомянутой первой реализации индикатор указывает 3GPP технологию доступа; или, если оконечное устройство определяет первый NAS COUNT восходящей линии связи в вышеупомянутой второй реализации индикатор указывает non-3GPP технологию доступа.Alternatively, the terminal may additionally install an indicator. The indicator is equivalent to the first indication information in the embodiment corresponding to FIG. 10 and is used to indicate whether the first uplink NAS COUNT conforms to a 3GPP access technology or a non-3GPP access technology. It should be understood that if the terminal determines the first uplink NAS COUNT in the above first implementation, the indicator indicates the 3GPP access technology; or, if the terminal determines the first uplink NAS COUNT in the above second implementation, the indicator indicates a non-3GPP access technology.
Этап 1106: оконечное устройство отправляет сообщение IKE_AUTH_Req в N3IWF узел.Step 1106: The tag sends an IKE_AUTH_Req message to the N3IWF node.
Соответственно, N3IWF узел принимает сообщение IKE_AUTH_Req.Accordingly, the N3IWF node receives an IKE_AUTH_Req message.
Сообщение IKE_AUTH Req включает в себя NAS блок данных протокола (protocol data unit, PDU) и протокол расширенной аутентификации для транспортировки сообщения 5G уровня без доступа (5G-NAS сообщение, соответствующее сообщению EAP_5G_ReS) или 5G-NAS сообщение. NAS PDU включает в себя сообщение запроса регистрации. Сообщение запроса регистрации используется оконечным устройством для регистрации с AMF узлом с помощью 3GPP технологии доступа. В качестве варианта, первое сообщение в вышеприведенном варианте осуществления может быть сообщением запроса регистрации.The IKE_AUTH Req message includes a NAS protocol data unit (PDU) and an extended authentication protocol for transporting a non-access layer 5G message (5G-NAS message corresponding to the EAP_5G_ReS message) or 5G-NAS message. The NAS PDU includes a registration request message. The registration request message is used by the terminal to register with the AMF node using the 3GPP access technology. Alternatively, the first message in the above embodiment may be a registration request message.
В качестве варианта, защита целостности может быть выполнена для сообщения запроса регистрации с использованием первого NAS COUNT восходящей линии связи, и сообщение запроса регистрации включает в себя первую информацию указания и первый NAS COUNT восходящей линии связи. В качестве варианта, сообщение запроса регистрации дополнительно включает в себя идентификатор ключа и временный идентификатор оконечного устройства.Alternatively, integrity protection may be performed on the registration request message using the first uplink NAS COUNT, and the registration request message includes the first indication information and the first uplink NAS COUNT. Alternatively, the registration request message further includes a key identifier and a temporary terminal identifier.
Этап 1107: N3IWF узел выбирает AMF узел.Step 1107: The N3IWF node selects an AMF node.
Для способа выбора AMF узла N3IWF узлом обратитесь к предшествующему уровню техники.Refer to the prior art for the method of selecting an AMF node by an N3IWF node.
Этап 1108: N3IWF узел пересылает сообщение запроса регистрации в AMF узел.Step 1108: The N3IWF node forwards a registration request message to the AMF node.
Соответственно, AMF узел принимает сообщение запроса регистрации.Accordingly, the AMF node receives a registration request message.
Этап 1109: AMF узел верифицирует сообщение запроса регистрации.Step 1109: The AMF node verifies the registration request message.
Верификация, выполняемая в сообщении запроса регистрации AMF узлом, включает в себя проверку защиты целостности, выполняемую в сообщении запроса регистрации, и верификация, выполняемая в первом NAS COUNT восходящей линии связи, передаваемый в сообщении запроса регистрации. То, что AMF узел верифицирует первый NAS COUNT восходящей линии связи, переносимый в сообщении запроса регистрации, соответствует предыдущему этапу 1005.The verification performed in the AMF Registration Request message by the node includes an integrity protection check performed in the Registration Request message and a verification performed in the first uplink NAS COUNT carried in the Registration Request message. That the AMF node verifies the first uplink NAS COUNT carried in the registration request message corresponds to the previous step 1005.
AMF узел может генерировать ключ защиты целостности на основании временного идентификатора и идентификатора ключа в сообщении запроса регистрации и выполнять проверку защиты целостности в сообщении запроса регистрации на основании ключа защиты целостности.The AMF node may generate an integrity protection key based on the temporary identifier and the key identifier in the registration request message, and perform an integrity protection check in the registration request message based on the integrity protection key.
Если технология доступа, которая соответствует первому NAS сообщению восходящей линии связи и которая указана в первой информации указания, является 3GPP технологией доступа, AMF узел верифицирует, является ли первый NAS COUNT восходящей линии связи больше, чем ранее принятый NAS COUNT, соответствующий 3GPP технологии доступа. Если первый NAS COUNT восходящей линии связи больше, чем ранее принятый NAS COUNT, то верификация выполнена успешна; или, если первый NAS COUNT восходящей линии связи не больше, чем ранее принятый NAS COUNT, то верификация не выполнена.If the access technology that corresponds to the first uplink NAS message and that is indicated in the first indication information is a 3GPP access technology, the AMF node verifies whether the first uplink NAS COUNT is larger than the previously received NAS COUNT corresponding to the 3GPP access technology. If the first uplink NAS COUNT is greater than the previously received NAS COUNT, then verification is successful; or, if the first uplink NAS COUNT is not greater than the previously received NAS COUNT, then verification is not performed.
Если технология доступа, которая соответствует первому NAS сообщению восходящей линии связи и который указан первой информацией указания, является non-3GPP технологией доступа, и оконечное устройство не получило доступа к AMF узлу через non-3GPP технологию доступа, AMF узел сохраняет первый NAS COUNT в качестве NAS COUNT восходящей линии связи, соответствующего non-3GPP технологии доступа, или AMF узел определяет, что NAS COUNT восходящей линии связи, соответствующей non-3GPP технологией доступа, равен 0. Оконечное устройство получил доступ к AMF узлу через non-3GPP технологию доступа. AMF узел верифицирует, является ли первый NAS COUNT восходящей линии связи больше, чем ранее принятый NAS COUNT, соответствующий non-3GPP технологии доступа. Если первый NAS COUNT восходящей линии связи больше, чем ранее принятый NAS COUNT, верификация выполнена успешно; или, если первый NAS COUNT восходящей линии связи не больше, чем ранее принятый NAS COUNT, то верификация не выполнена.If the access technology that corresponds to the first uplink NAS message and that is indicated by the first indication information is a non-3GPP access technology, and the terminal has not accessed the AMF node via the non-3GPP access technology, the AMF node stores the first NAS COUNT as The uplink NAS COUNT corresponding to the non-3GPP access technology or AMF node determines that the uplink NAS COUNT corresponding to the non-3GPP access technology is 0. The terminal has accessed the AMF node through the non-3GPP access technology. The AMF node verifies if the first uplink NAS COUNT is larger than the previously received NAS COUNT corresponding to the non-3GPP access technology. If the first uplink NAS COUNT is greater than the previously received NAS COUNT, verification is successful; or, if the first uplink NAS COUNT is not greater than the previously received NAS COUNT, then verification is not performed.
Этап 1110: AMF узел генерирует ключ Kn3iwf для N3IWF узла.Step 1110: The AMF node generates a key Kn3iwf for the N3IWF node.
Ключ Kn3iwf используется для двусторонней аутентификации между AMF узлом и оконечным устройством.The Kn3iwf key is used for two-way authentication between the AMF node and end device.
Этап 1111: AMF узел определяет один или оба из второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют non-3GPP технологии доступа.Step 1111: The AMF node determines one or both of the second uplink NAS COUNT and the first downlink NAS COUNT that conform to the non-3GPP access technology.
В качестве варианта, если технология доступа, указанная первой информацией указания, является 3GPP технологией доступа, это указывает, что оконечное устройство не определяет NAS COUNT для non-3GPP технологии доступа, и AMF узел может определять второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют non-3GPP технологии доступа. Если технология доступа, указанная в первой информации указания, является non-3GPP технологией доступа, это указывает, что оконечное устройство определяет NAS COUNT восходящей линии связи для non-3GPP технологии доступа и AMF узлу необходимо определить только первый соответствующий NAS COUNT нисходящей линии связи для non-3GPP технологии или AMF узел определяет первый NAS COUNT нисходящей линии связи и переопределяет NAS COUNT восходящей линии связи non-3GPP технологии доступа.Alternatively, if the access technology indicated by the first indication information is a 3GPP access technology, this indicates that the terminal device does not define a NAS COUNT for a non-3GPP access technology, and the AMF node can determine the second uplink NAS COUNT and the first NAS COUNT downlink that conform to non-3GPP access technologies. If the access technology specified in the first indication information is a non-3GPP access technology, this indicates that the terminal device determines the uplink NAS COUNT for the non-3GPP access technology and the AMF node only needs to determine the first corresponding downlink NAS COUNT for the non-3GPP access technology. The -3GPP technology or AMF node determines the first downlink NAS COUNT and overrides the non-3GPP access technology uplink NAS COUNT.
Конкретно, второй NAS COUNT восходящей линии связи равен 0, или второй NAS COUNT восходящей линии связи является случайным числом.Specifically, the second uplink NAS COUNT is 0, or the second uplink NAS COUNT is a random number.
Если второй NAS COUNT восходящей линии связи равен 0, все или некоторые биты второго NAS COUNT восходящей линии связи равны 0. Если второй NAS COUNT восходящей линии связи является случайным числом, некоторые или все биты во втором NAS COUNT восходящей линии связи являются случайными числами. Например, последние 8 битов (часть порядкового номера) второго NAS COUNT восходящей линии связи являются случайными числами, или часть переполнения NAS является случайным числом, и оставшаяся часть равна 0. В качестве варианта, если второй NAS COUNT восходящей линии связи является случайным Во-вторых, NAS COUNT восходящей линии связи должен быть больше, чем NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие 3GPP технологии доступа, второй NAS COUNT восходящей линии связи должен быть больше, чем наибольший NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который хранится AMF узлом).If the second uplink NAS COUNT is 0, all or some bits of the second uplink NAS COUNT are 0. If the second uplink NAS COUNT is a random number, some or all of the bits in the second uplink NAS COUNT are random numbers. For example, the last 8 bits (sequence number part) of the second uplink NAS COUNT are random numbers, or the NAS overflow part is a random number, and the remaining part is 0. Alternatively, if the second uplink NAS COUNT is random Second , the uplink NAS COUNT must be greater than the downlink NAS COUNT that conforms to the 3GPP access technology and that is stored by the AMF node (if the AMF node stores at least two downlink NAS COUNTs conforming to the 3GPP access technology, the second The uplink NAS COUNT must be greater than the largest downlink NAS COUNT that complies with the 3GPP access technology and that is stored by the AMF node).
Второй NAS COUNT восходящей линии связи может быть NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие 3GPP технологии доступа, второй NAS COUNT восходящей линии связи является наибольшим NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и хранится в оконечном устройстве). В качестве альтернативы, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие 3GPP технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольшего NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется оконечным устройством). Альтернативно, второй NAS COUNT восходящей линии связи может представлять собой сумму 1 и NAS COUNT нисходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие non-3GPP технологии доступа, второй NAS COUNT восходящей линии связи представляет собой сумму 1 и наибольший NAS COUNT нисходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется оконечным устройством). В качестве альтернативы, второй NAS COUNT восходящей линии связи является первым NAS COUNT восходящей линии связи; или второй NAS COUNT восходящей линии связи является суммой 1 и первый NAS COUNT восходящей линии связи.The second uplink NAS COUNT may be a downlink NAS COUNT that conforms to the 3GPP access technology and that is stored by the AMF node (if the AMF node stores at least two downlink NAS COUNTs conforming to the 3GPP access technology, the second uplink NAS COUNT link is the largest downlink NAS COUNT that conforms to the 3GPP access technology and is stored in the terminal). Alternatively, the second uplink NAS COUNT is the sum of 1 and the downlink NAS COUNT that complies with the 3GPP access technology and that is stored by the AMF node (if the AMF node stores at least two downlink NAS COUNTs conforming to 3GPP access technology, the second uplink NAS COUNT is the sum of 1 and the highest downlink NAS COUNT that conforms to the 3GPP access technology and is stored by the terminal). Alternatively, the second uplink NAS COUNT may be the sum of 1 and a downlink NAS COUNT that conforms to the non-3GPP access technology and that is stored by the AMF node (if the AMF node stores at least two downlink NAS COUNTs corresponding to non-3GPP access technology, the second uplink NAS COUNT is the sum of 1 and the largest downlink NAS COUNT that corresponds to the non-3GPP access technology and is stored by the terminal). Alternatively, the second uplink NAS COUNT is the first uplink NAS COUNT; or the second uplink NAS COUNT is the sum of 1 and the first uplink NAS COUNT.
В качестве варианта, первый NAS COUNT нисходящей линии связи может быть таким же, как второй NAS COUNT восходящей линии связи.Alternatively, the first downlink NAS COUNT may be the same as the second uplink NAS COUNT.
В частности, первый NAS COUNT нисходящей линии связи может быть 0 или может быть случайным числом.In particular, the first downlink NAS COUNT may be 0 or may be a random number.
Если первый NAS COUNT нисходящей линии связи равна 0, то все или некоторые биты первого NAS COUNT нисходящей линии связи равны 0. Если первый NAS COUNT нисходящей линии связи является случайным числом, некоторые или все биты в первом NAS COUNT нисходящей линии связи являются случайными числами. Например, последние 8 битов (часть порядкового номера) первого NAS COUNT нисходящей линии связи являются случайными числами, или часть переполнения NAS является случайным числом, и оставшаяся часть равна 0. В качестве варианта, если первый NAS COUNT нисходящей линии связи является случайной. Во-первых, NAS COUNT первой нисходящей линии связи должен быть больше, чем NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом.If the first downlink NAS COUNT is 0, then all or some bits of the first downlink NAS COUNT are 0. If the first downlink NAS COUNT is a random number, some or all of the bits in the first downlink NAS COUNT are random numbers. For example, the last 8 bits (sequence number part) of the first downlink NAS COUNT are random numbers, or the NAS overflow part is a random number and the remainder is 0. Alternatively, if the first downlink NAS COUNT is random. First, the NAS COUNT of the first downlink must be greater than the NAS COUNT of the downlink which conforms to the 3GPP access technology and which is maintained by the AMF node.
В качестве альтернативы, первый NAS COUNT нисходящей линии связи может быть NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие 3GPP технологии доступа первый NAS COUNT нисходящей линии связи может дополнительно представлять собой наибольший NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом). Альтернативно, первый NAS COUNT нисходящей линии связи может быть суммой 1 и NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит, по меньшей мере, два NAS COUNTs нисходящей линии связи, соответствующие 3GPP технологии доступа, первый NAS COUNT нисходящей линии связи может дополнительно иметь сумму 1 и самый большой NAS COUNT нисходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом). В качестве альтернативы, первый NAS COUNT нисходящей линии связи может быть суммой 1 и NAS COUNT нисходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется AMF узлом (если AMF узел хранит по меньшей мере два NAS COUNT нисходящей линии связи, соответствующий non-3GPP технология доступа, первый NAS COUNT нисходящей линии связи может дополнительно быть суммой 1 и самой большой NAS COUNT нисходящей линии связи, который соответствует non-3GPP технологии доступа и которая сохраняется AMF узлом).Alternatively, the first downlink NAS COUNT may be a downlink NAS COUNT that complies with the 3GPP access technology and that is stored by the AMF node (if the AMF node stores at least two downlink NAS COUNTs corresponding to the 3GPP access technology first The downlink NAS COUNT may further be the largest downlink NAS COUNT that complies with the 3GPP access technology and that is maintained by the AMF node). Alternatively, the first downlink NAS COUNT may be the sum of 1 and a downlink NAS COUNT that conforms to the 3GPP access technology and that is stored by the AMF node (if the AMF node stores at least two downlink NAS COUNTs conforming to the 3GPP access technology , the first downlink NAS COUNT may further have a sum of 1 and the largest downlink NAS COUNT that conforms to the 3GPP access technology and that is maintained by the AMF node). Alternatively, the first downlink NAS COUNT may be the sum of 1 and a downlink NAS COUNT that conforms to a non-3GPP access technology and that is stored by the AMF node (if the AMF node stores at least two downlink NAS COUNTs corresponding to non -3GPP access technology, the first downlink NAS COUNT may further be the sum of 1 and the largest downlink NAS COUNT that corresponds to the non-3GPP access technology and which is maintained by the AMF node).
Следует отметить, что AMF узел может хранить один или оба из сгенерированного второго NAS COUNT восходящей линии связи и сгенерированного первого NAS COUNT нисходящего канала. AMF узел может поддерживать NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, которые соответствуют 3GPP технологии доступа, и может дополнительно поддерживать NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, которые соответствуют non-3GPP технологии доступа. Если AMF узел генерирует второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, AMF узел сохраняет второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи. Если AMF узел генерирует только первый NAS COUNT нисходящей линии связи, AMF узел сохраняет первый NAS COUNT нисходящей линии связи. В этом случае, NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который поддерживается оконечным устройством, является первым NAS COUNT восходящей линии связи.It should be noted that the AMF node may store one or both of the generated second uplink NAS COUNT and the generated first downlink NAS COUNT. The AMF node may support uplink NAS COUNT and downlink NAS COUNT that conform to 3GPP access technology, and may further support uplink NAS COUNT and downlink NAS COUNT that conform to non-3GPP access technology. If the AMF node generates the second uplink NAS COUNT and the first downlink NAS COUNT, the AMF node stores the second uplink NAS COUNT and the first downlink NAS COUNT. If the AMF node generates only the first downlink NAS COUNT, the AMF node stores the first downlink NAS COUNT. In this case, the uplink NAS COUNT that conforms to the non-3GPP access technology and that is supported by the terminal device is the first uplink NAS COUNT.
Очевидно, что AMF узел отдельно поддерживает набор NAS COUNTs для каждой из 3GPP технологии доступа и non-3GPP технологии доступа, другими словами, величины NAS COUNTs, поддерживаемые AMF узлом для 3GPP технологии доступа и величины NAS COUNT, поддерживаемые AMF узлом для non-3GPP технологии доступа, не влияют друг на друга. При приеме NAS сообщения восходящей линии связи AMF узел может определить на основе информации о битах в NAS сообщении восходящей линии связи или информации в N2 сообщении технологию доступа или тракт передачи, используемый оконечным устройством для передачи NAS сообщения восходящей линии связи. Если используемой технологией доступа является 3GPP технология доступа, NAS COUNT восходящей линии связи, передаваемый в NAS сообщении восходящей линии связи, можно сравнить с наибольшим NAS COUNT восходящей линии связи, поддерживаемым для 3GPP технологии доступа. Если используемой технологией доступа является non-3GPP технология доступа, то для NAS COUNT восходящей линии связи, передаваемого в NAS сообщении восходящей линии связи, можно сравнить с наибольшим NAS COUNT восходящей линии связи, поддерживаемым для non-3GPP технологии доступа, чтобы предотвратить атаку повторением.Obviously, the AMF node separately maintains a set of NAS COUNTs for each of the 3GPP access technology and non-3GPP access technology, in other words, the NAS COUNTs maintained by the AMF node for the 3GPP access technology and the NAS COUNTs supported by the AMF node for the non-3GPP technology access do not affect each other. When the NAS receives the AMF uplink message, the node can determine, based on the bit information in the uplink NAS message or the information in the N2 message, the access technology or transmission path used by the terminal to transmit the uplink message to the NAS. If the access technology used is the 3GPP access technology, the uplink NAS COUNT carried in the uplink NAS message can be compared to the largest uplink NAS COUNT supported for the 3GPP access technology. If the access technology used is a non-3GPP access technology, then the uplink NAS COUNT carried in the uplink NAS message can be compared with the largest uplink NAS COUNT supported for the non-3GPP access technology to prevent replay attack.
Этап 1112: AMF узел отправляет NAS сообщение команды режима безопасности (security mode command, SMC) в оконечное устройство с использованием N3IWF узла.Step 1112: The AMF node sends a security mode command (SMC) message to the NAS using the node's N3IWF.
Соответственно, оконечное устройство принимает NAS SMC сообщение.Accordingly, the end device receives the NAS SMC message.
Второе сообщение в вышеприведенном варианте осуществления может быть NAS SMC сообщением.The second message in the above embodiment may be a NAS SMC message.
NAS SMC сообщение передает один или оба из второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи. Понятно, что если AMF узел определяет только первый NAS COUNT нисходящей линии связи, NAS SMC сообщение передает первый NAS COUNT нисходящей линии связи. Если AMF узел определяет второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, NAS SMC сообщение содержит второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи.The NAS SMC message conveys one or both of the second uplink NAS COUNT and the first downlink NAS COUNT. It is understood that if the AMF node determines only the first downlink NAS COUNT, the NAS SMC message transmits the first downlink NAS COUNT. If the AMF node specifies a second uplink NAS COUNT and a first downlink NAS COUNT, the NAS SMC message contains the second uplink NAS COUNT and the first downlink NAS COUNT.
В качестве варианта, если NAS сообщение передает только первый NAS COUNT нисходящей линии связи, NAS сообщение может дополнительно содержать информацию указания, используемую для инструктирования оконечного устройства продолжать использовать NAS COUNT восходящей линии связи, определенный оконечным устройством.Alternatively, if the NAS message only transmits the first downlink NAS COUNT, the NAS message may further contain indication information used to instruct the terminal device to continue using the uplink NAS COUNT determined by the terminal device.
В качестве варианта, NAS SMC сообщение дополнительно включает в себя вторую информацию указания, и вторая информация указания используется для указания технологии доступа или тракта передачи, соответствующего NAS COUNT, передаваемого в NAS SMC сообщении. В сценарии этого варианта осуществления технология доступа, указанная второй информацией указания, является non-3GPP технологией доступа.Alternatively, the NAS SMC message further includes second indication information, and the second indication information is used to indicate the access technology or transmission path corresponding to the NAS COUNT transmitted in the NAS SMC message. In the scenario of this embodiment, the access technology indicated by the second indication information is a non-3GPP access technology.
Этап 1113: оконечное устройство определяет, на основании NAS SMC сообщения, NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, которые соответствуют non-3GPP технологии доступа.Step 1113: The tag determines, based on the NAS SMC message, an uplink NAS COUNT and a downlink NAS COUNT that conform to the non-3GPP access technology.
Оконечное устройство может отдельно поддерживать набор NAS COUNTs для каждой из 3GPP технологии доступа и non-3GPP технологии доступа. В сценарии этого варианта осуществления оконечное устройство сохранил NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, которые соответствуют 3GPP технологии доступа, и оконечное устройство может дополнительно определить на основании NAS SMC сообщения, принятого на этом этапе, NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, которые поддерживаются для non-3GPP .The terminal may separately maintain a set of NAS COUNTs for each of the 3GPP access technology and non-3GPP access technology. In the scenario of this embodiment, the tag has stored the uplink NAS COUNT and the downlink NAS COUNT that conform to the 3GPP access technology, and the tag can further determine, based on the NAS SMC message received in this step, the uplink NAS COUNT and the NAS Downlink COUNTs that are supported for non-3GPP .
В качестве варианта, если NAS SMC сообщение включает в себя только первый NAS COUNT нисходящей линии связи, оконечное устройство определяет, что NAS COUNT восходящей линии связи, соответствующий non-3GPP технологии доступа, все еще является первым NAS COUNT восходящей линии связи и NAS COUNT нисходящей линии связи, соответствующего non-3GPP технология доступа, является первым NAS COUNT нисходящей линии связи. Если NAS SMC сообщение включает в себя второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, оконечное устройство может определить, что NAS COUNT восходящей линии связи, соответствующий non-3GPP технологии доступа, является второй NAS COUNT восходящей линии связи, NAS COUNT нисходящей линии связи, соответствующий non-3GPP технология доступа, является первый NAS COUNT нисходящей линии связи.Alternatively, if the NAS SMC message only includes the first downlink NAS COUNT, the terminal determines that the uplink NAS COUNT corresponding to the non-3GPP access technology is still the first uplink NAS COUNT and the downlink NAS COUNT link corresponding to non-3GPP access technology, is the first NAS COUNT downlink. If the NAS SMC message includes a second uplink NAS COUNT and a first downlink NAS COUNT, the terminal may determine that the uplink NAS COUNT corresponding to the non-3GPP access technology is the second uplink NAS COUNT, NAS COUNT downlink corresponding to non-3GPP access technology, is the first downlink NAS COUNT.
Очевидно, что при приеме NAS сообщения нисходящей линии связи оконечное устройство может определить на основании информационных битов в NAS сообщении нисходящей линии связи технологию доступа или тракт передачи, используемый оконечным устройством для передачи NAS сообщения нисходящей линии связи. Если используемая технология доступа является 3GPP технологией доступа, NAS COUNT нисходящей линии связи, передаваемый в NAS сообщении нисходящей линии связи, можно сравнить с наибольшим NAS COUNT нисходящей линии связи, поддерживаемым для 3GPP технологии доступа. Если используемой технологией доступа является non-3GPP технология доступа, то для предотвращения атаки повторением NAS COUNT нисходящей линии связи, передаваемый в NAS сообщении нисходящей линии связи, можно сравнить с наибольшим NAS COUNT нисходящей линии связи, поддерживаемым для non-3GPP технологии доступа.Obviously, upon receiving the NAS downlink message, the tag can determine, based on the information bits in the NAS downlink message, the access technology or transmission path used by the tag to send the NAS downlink message. If the access technology used is a 3GPP access technology, the downlink NAS COUNT carried in the NAS downlink message can be compared to the largest downlink NAS COUNT supported for the 3GPP access technology. If the access technology used is a non-3GPP access technology, then the downlink NAS COUNT carried in the downlink NAS message can be compared to the largest downlink NAS COUNT supported for the non-3GPP access technology to prevent replay attack.
Этап 1114: оконечное устройство отправляет NAS сообщение о завершении режима безопасности (security mode complete, SMP) AMF узлу с использованием N3IWF узла.Step 1114: The tag sends an AMF security mode complete (SMP) message to the NAS using the node's N3IWF.
Соответственно, AMF узел принимает NAS SMC сообщение.Accordingly, the AMF node receives the NAS SMC message.
В качестве варианта, NAS сообщение на этапе 502 может быть NAS SMC сообщением на этом этапе.Alternatively, the NAS message at
Оконечное устройство может выполнять защиту целостности для NAS SMC сообщения с использованием первого параметра, NAS COUNT восходящей линии связи и NAS ключа. Первый параметр используется, чтобы указать, что технология доступа, используемая для передачи NAS SMC сообщения, является non-3GPP технологией доступа, или используется, чтобы указать, что тракт передачи, используемый для передачи NAS SMC сообщения, является трактом 2 на фиг. 2. NAS COUNT восходящей линии связи является NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который определяется оконечным устройством на этапе 1113, или NAS COUNT восходящей линии связи, соответствующий тракту 2. NAS SMC сообщение содержит NAS COUNT восходящей линии связи.The end device may perform integrity protection for the NAS SMC message using the first parameter, the uplink NAS COUNT and the NAS key. The first parameter is used to indicate that the access technology used to transmit the message to the NAS SMC is a non-3GPP access technology, or is used to indicate that the transmission path used to transmit the message to the NAS SMC is path 2 in FIG. 2. The uplink NAS COUNT is the uplink NAS COUNT that conforms to the non-3GPP access technology and is determined by the terminal in step 1113, or the uplink NAS COUNT corresponding to path 2. The SMC NAS message contains the uplink NAS COUNT .
Может быть понятно, что после приема NAS SMC сообщения AMF узел может проверить, больше ли NAS COUNT восходящей линии связи, переносимый в NAS SMC сообщении, чем NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа, и что сохраняется AMF узлом, или же значение, которое NAS COUNT восходящей линии связи, передаваемый в NAS SMC сообщении, больше, чем NAS COUNT восходящей линии связи, соответствующий тракту 2. Если значение NAS COUNT восходящей линии связи, передаваемое в NAS SMC сообщении, больше, чем NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который хранится AMF узлом, или NAS COUNT восходящей линии связи, передаваемый в NAS SMC сообщении, больше, чем NAS COUNT восходящей линии связи, соответствующий тракту 2, может быть определено на основании битовой информации в NAS сообщении о том, что технология доступа, используемая для передачи NAS SMC сообщении, представляет собой non-3GPP технологию доступа, чтобы определить первый параметр, соответствующий non-3GPP технологии доступа, и затем выполнить проверку целостности информации NAS SMC сообщения на основании первого параметра, NAS ключа и NAS COUNT восходящей линии связи, передаваемых в NAS SMC сообщении. Если проверка успешна, то выполняется этап 1115. В качестве варианта, если AMF хранит множество NAS COUNTs восходящей линии связи, может быть проверено, является ли NAS COUNT восходящей линии связи, передаваемый в NAS SMC сообщении, больше, чем наибольший NAS COUNT восходящей линии связи, которая соответствует non-3GPP технологии доступа и который сохраняется AMF узлом.It may be appreciated that after receiving the NAS SMC AMF message, the node can check whether the uplink NAS COUNT carried in the NAS SMC message is larger than the uplink NAS COUNT that conforms to the non-3GPP access technology, and that the AMF is stored by the node, or the value that the uplink NAS COUNT carried in the NAS SMC message is greater than the uplink NAS COUNT corresponding to path 2. If the uplink NAS COUNT value carried in the NAS SMC message is greater than the uplink NAS COUNT which conforms to the non-3GPP access technology and which is held by the AMF node, or the uplink NAS COUNT carried in the NAS SMC message is greater than the uplink NAS COUNT corresponding to path 2 can be determined based on the bit information in NAS message that the access technology used to send the NAS SMC message is a non-3GPP access technology to determine Enter the first parameter corresponding to the non-3GPP access technology, and then perform an integrity check on the information of the NAS SMC message based on the first parameter, the NAS key and the uplink NAS COUNT carried in the NAS SMC message. If the check is successful, then step 1115 is executed. Alternatively, if the AMF stores a plurality of uplink NAS COUNTs, it may be checked whether the uplink NAS COUNT carried in the NAS SMC message is greater than the largest uplink NAS COUNT , which conforms to the non-3GPP access technology and which is maintained by the AMF node.
Этап 1115: AMF узел отправляет N2 сообщение в N3IWF узел. N2 сообщение содержит ключ Kn3iwf и сообщение о завершении регистрации.Step 1115: The AMF node sends an N2 message to the N3IWF node. The N2 message contains the key Kn3iwf and a registration completion message.
Соответственно, N3IWF узел принимает N2 сообщение.Accordingly, the N3IWF node receives the N2 message.
Этап 1116: N3IWF узел отправляет сообщение EAP-5G-Success в оконечное устройство.Step 1116: The N3IWF node sends an EAP-5G-Success message to the terminal.
Соответственно, оконечное устройство принимает сообщение EAP-5G-Success.Accordingly, the terminal receives the EAP-5G-Success message.
Этап 1117: оконечное устройство и N3IWF узел завершают вычисление параметра аутентификации (authentication) с использованием Kn3iwf.Step 1117: The terminal device and the N3IWF node complete the calculation of the authentication parameter (authentication) using Kn3iwf.
Этап 1118: между оконечное устройством и N3IWF узлом устанавливается соединение безопасности интернет-протокола (Internet protocol security, IPsec).Step 1118: An Internet protocol security (IPsec) connection is established between the terminal and the N3IWF node.
Этап 1119: N3IWF узел отправляет сообщение о завершении регистрации в оконечное устройство.Step 1119: The N3IWF node sends a registration complete message to the terminal.
Согласно способу, предоставленному в этом варианте осуществления настоящего изобретения, оконечное устройство может осуществлять доступ к сети через non-3GPP технологию доступа и может независимо поддерживать NAS COUNT для 3GPP технологии доступа и NAS COUNT для non-3GPP технологии доступа, тем самым, уменьшая вероятность возникновения атаки повторением.According to the method provided in this embodiment of the present invention, a terminal device can access the network through non-3GPP access technology, and can independently support NAS COUNT for 3GPP access technology and NAS COUNT for non-3GPP access technology, thereby reducing the possibility of repetition attacks.
В возможной реализации этого варианта осуществления настоящего изобретения контекст безопасности оконечного устройства может быть привязан к информации оператора. Например, информация об операторе может быть идентификатором PLMN. После того, как оконечное устройство получает доступ к сети с использованием 3GPP технологии доступа, предоставленной оператором A, когда оконечное устройство выполняет процедуру, соответствующую фиг. 11А и фиг. 11B, может быть определено, является ли N3IWF узел, соответствующий non-3GPP технологии доступа, все еще оператором А. Если N3IWF узел все еще является оператором А, процедура, соответствующая фиг. 11А и фиг. 11B может быть продолжена.In an exemplary implementation of this embodiment of the present invention, a terminal's security context may be tied to operator information. For example, the operator information may be a PLMN identifier. After the terminal device accesses the network using the 3GPP access technology provided by operator A, when the terminal device performs the procedure corresponding to FIG. 11A and FIG. 11B, it can be determined whether the N3IWF node corresponding to the non-3GPP access technology is still operator A. If the N3IWF node is still operator A, the procedure corresponding to FIG. 11A and FIG. 11B can be continued.
В другой возможной реализации контекст безопасности оконечного устройства на стороне non-3GPP технологии доступа может быть связан с другой информацией, такой как информация о подписке и информация о зоне расположения. Например, оконечное устройство перемещается из зоны покрытия базовой станции A в зону покрытия базовой станции B, зона покрытия базовой станции A поддерживает non-3GPP технологию доступа C, и базовая станция B поддерживает non-3GPP технологию доступа D. Если оконечное устройство получает доступ к сети через non-3GPP технологию доступа C, когда оконечное устройство перемещается из зоны покрытия базовой станции A в зону покрытия базовой станции B, если информация о подписке оконечного устройства указывает, что у оконечное устройство не может иметь разрешение использования non-3GPP технологии доступа D, оконечное устройство не может получить доступ к сети через non-3GPP технологию доступа D. In another possible implementation, the security context of the terminal on the side of the non-3GPP access technology may be associated with other information such as subscription information and location area information. For example, a terminal device moves from the coverage area of base station A to the coverage area of base station B, the coverage area of base station A supports non-3GPP access technology C, and base station B supports non-3GPP access technology D. If the terminal device accesses the network through non-3GPP access technology C, when a terminal device moves from the coverage area of base station A to the coverage area of base station B, if the subscription information of the terminal device indicates that the terminal device cannot have permission to use non-3GPP access technology D, the terminal the device cannot access the network through non-3GPP access technology D.
В качестве варианта, в предшествующем варианте осуществления AMF узел может определять, на основании первой информации указания, технологию доступа, используемую для передачи NAS сообщения. Этот вариант осуществления настоящего изобретения дополнительно предоставляет три способа определения технологии доступа, используемой для передачи N2 сообщения или NAS сообщения после того, как AMF узел принимает N2 сообщение.Alternatively, in the foregoing AMF embodiment, the node may determine, based on the first indication information, the access technology used to transmit the NAS message. This embodiment of the present invention further provides three methods for determining the access technology used to transmit the N2 message or NAS message after the AMF node receives the N2 message.
Способ 1. AMF узел может определять, на основании источника N2 сообщения, технологию доступа, используемую для передачи N2 сообщения. Например, AMF узел определяет источник сообщения на основании информации об адресе источника (например, IP-адреса) и дополнительно определяет, на основании источника сообщения, технологию доступа, используемую для передачи сообщения. Если N2 сообщение поступает от устройства через 3GPP технологию доступа, например, из базовой станции, определяется, что может использоваться NAS COUNT, соответствующий 3GPP технологии доступа. Другими словами, AMF узел может проверять, используя NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом, NAS COUNT восходящей линии связи, передаваемый в N2 сообщении. Если N2 сообщение поступает из устройства через non-3GPP технологию доступа, например, N3IWF узла, определяется, что может быть использован NAS COUNT, соответствующий non-3GPP технологии доступа. Другими словами, AMF узел может проверять, используя NAS COUNT восходящей линии связи, который соответствует non-3GPP технологии доступа и который сохраняется AMF узлом, NAS COUNT восходящей линии связи, передаваемый в N2 сообщении.Method 1: The AMF node may determine, based on the source N2 of the message, the access technology used to send the N2 message. For example, the AMF node determines the source of the message based on the source address information (eg, IP address) and further determines, based on the source of the message, the access technology used to send the message. If the N2 message is received from a device via a 3GPP access technology, such as a base station, it is determined that a NAS COUNT corresponding to the 3GPP access technology can be used. In other words, the AMF node can check, using the uplink NAS COUNT that conforms to the 3GPP access technology and which is stored by the AMF node, the uplink NAS COUNT transmitted in the N2 message. If the N2 message arrives from a device via a non-3GPP access technology, such as an N3IWF node, it is determined that a NAS COUNT corresponding to the non-3GPP access technology can be used. In other words, the AMF node can check, using an uplink NAS COUNT that conforms to non-3GPP access technology and that is stored by the AMF node, the uplink NAS COUNT transmitted in the N2 message.
Способ 2: оконечное устройство может уведомлять AMF узел об источнике N2 сообщения явным образом. Например, N2 сообщение может содержать бит, который используется для указания технологии доступа. Например, 0 представляет 3GPP технологию доступа и 1 представляет non-3GPP технологию доступа. Альтернативно, N2 сообщение может содержать строку символов, например, «NR» представляет 3GPP технологию доступа и «wifi» представляет non-3GPP технологию доступа.Method 2: The terminal may explicitly notify the AMF node of the source of the N2 message. For example, the N2 message may contain a bit that is used to indicate the access technology. For example, 0 represents 3GPP access technology and 1 represents non-3GPP access technology. Alternatively, the N2 message may contain a character string, for example, "NR" represents a 3GPP access technology and "wifi" represents a non-3GPP access technology.
Способ 3: AMF узел определяет на основании информации о типе доступа в N2 сообщении технологию доступа, используемую для передачи N2 сообщения. Например, информация о типе доступа является информацией о RAT типе (тип доступа). Если N2 сообщение поступает из устройства, использующего 3GPP технологию доступа, например, базовой станции, указание типа доступа в N2 сообщении представляет собой доступ 3GPP, так что определяется, что может быть использован NAS COUNT, соответствующий 3GPP технологии доступа. Другими словами, AMF узел может проверять, используя NAS COUNT восходящей линии связи, который соответствует 3GPP технологии доступа и который сохраняется AMF узлом, NAS COUNT восходящей линии связи, передаваемый в N2 сообщении.Method 3: The AMF node determines, based on the access type information in the N2 message, the access technology used to transmit the N2 message. For example, the access type information is RAT type information (access type). If the N2 message comes from a device using 3GPP access technology, such as a base station, the access type indication in the N2 message is 3GPP access, so it is determined that a NAS COUNT corresponding to 3GPP access technology can be used. In other words, the AMF node can check, using the uplink NAS COUNT that conforms to the 3GPP access technology and which is stored by the AMF node, the uplink NAS COUNT transmitted in the N2 message.
По сравнению с предшествующим уровнем техники, в котором AMF узел не различает технологии доступа, используемые принятыми сообщениями, в вышеупомянутых двух способах в этом варианте осуществления настоящего изобретения AMF узел может определять технологию доступа, используемую принятым сообщением, выбрать NAS COUNT, соответствующий технологии доступа, используемой принятым сообщением.Compared with the prior art in which the AMF node does not distinguish between the access technologies used by the received messages, in the above two methods, in this embodiment of the present invention, the AMF node can determine the access technology used by the received message, select the NAS COUNT corresponding to the access technology used received message.
В качестве варианта, в другой реализации, предоставленной в этом варианте осуществления настоящего изобретения, со ссылкой на процедуру способа, соответствующую фиг. 11А и фиг. 11B, если AMF узел определяет второй NAS COUNT восходящей линии связи и первый NAS COUNT нисходящей линии связи, которые соответствуют non-3GPP технологии доступа на этапе 1111, AMF узел может дополнительно обновить NAS ключ. Этот вариант осуществления настоящего изобретения предоставляет четыре способа обновления NAS ключа.Alternatively, in another implementation provided in this embodiment of the present invention, with reference to the method procedure corresponding to FIG. 11A and FIG. 11B, if the AMF node determines the second uplink NAS COUNT and the first downlink NAS COUNT that conform to the non-3GPP access technology in
Способ 1: сгенерировать новый Kamf (nKamf), используя ранее использованный Kamf (oKamf), и после того, как AMF узел сгенерирует nKamf, генерировать новый NAS ключ на основании nKamf.Method 1: generate a new Kamf (nKamf) using the previously used Kamf (oKamf), and after the AMF node generates nKamf, generate a new NAS key based on nKamf.
Здесь Kamf является корневым ключом AMF узла.Here Kamf is the node's AMF root key.
Здесь nKamf = KDF (oKamf, параметр новизны). Параметр новизны может быть NAS COUNT восходящей линии связи, ранее принятым AMF узлом, COUNT, параметром, отправленным оконечным устройством в AMF узел, или параметром, который согласовывается между оконечным устройством и AMF узлом.Here nKamf = KDF(oKamf, novelty parameter). The novelty parameter may be an uplink NAS COUNT, a previously received AMF node, a COUNT, a parameter sent by the terminal to the AMF node, or a parameter that is negotiated between the terminal and the AMF node.
Способ 2: генерировать nKamf с использованием Kseaf и после того, как AMF узел генерирует nKamf, генерировать новый NAS ключ на основе nKamf.Method 2: generate nKamf using Kseaf and after the AMF node generates nKamf, generate a new nKamf based NAS key.
Здесь Kseaf является корневым ключом AMF узла.Here Kseaf is the node's AMF root key.
Здесь nKamf = KDF (Kamf, параметр новизны). Параметр новизны может быть NAS COUNT восходящей линии связи, ранее принятым AMF узлом, или может быть значением счетчика. Например, начальное значение значения счетчика равно 0, и каждый раз, когда AMF узел генерирует NAS ключ, значение счетчика увеличивается на 1, чтобы указать, что AMF узел генерирует новый ключ.Here nKamf = KDF (Kamf, novelty parameter). The novelty parameter may be an uplink NAS COUNT previously received by the AMF node, or may be a counter value. For example, the initial value of the counter value is 0, and each time an AMF node generates a NAS key, the counter value is incremented by 1 to indicate that the AMF node generates a new key.
Способ 3: AMF узел может генерировать новый NAS ключ на основе старого Kamf (oKamf) и алгоритма.Method 3: The AMF node can generate a new NAS key based on the old Kamf (oKamf) and algorithm.
Здесь nKamf = KDF (oKamf, идентификатор алгоритма, выбранный алгоритм и другой параметр), и идентификатор алгоритма является идентификатором алгоритма, выбранного AMF узлом. Выбранный алгоритм является алгоритмом, используемым оконечным устройством и AMF узлом для обеспечения безопасности NAS сообщения.Here nKamf = KDF (oKamf, algorithm ID, selected algorithm and other parameter) and algorithm ID is the ID of the algorithm selected by the AMF node. The selected algorithm is the algorithm used by the end device and the AMF node to secure the NAS message.
Другой параметр представляет собой параметр, используемый для указания технологии доступа. В частности, другой параметр может быть в форме бита или в форме идентификатора. Например, может быть указано, что другим параметром, соответствующим 3GPP технологии доступа, является 0x01, другим параметром, соответствующим non-3GPP технологии доступа, является 0x10, и другим параметром, соответствующим технологии доступа фиксированной сети, является 0x11.The other parameter is a parameter used to specify the access technology. In particular, the other parameter may be in the form of a bit or in the form of an identifier. For example, it may be indicated that the other parameter corresponding to the 3GPP access technology is 0x01, the other parameter corresponding to the non-3GPP access technology is 0x10, and the other parameter corresponding to the fixed network access technology is 0x11.
Другой параметр может альтернативно быть значением счетчика. Например, начальное значение значения счетчика равно 0, и каждый раз, когда AMF узел генерирует NAS ключ, значение счетчика увеличивается на 1, чтобы указать, что AMF узел генерирует новый ключ.The other parameter may alternatively be the value of a counter. For example, the initial value of the counter value is 0, and each time an AMF node generates a NAS key, the counter value is incremented by 1 to indicate that the AMF node generates a new key.
Способ 4: генерировать новый NAS ключ на основании ранее используемого NAS ключа.Method 4: generate a new NAS key based on the previously used NAS key.
Новый NAS ключ = (ранее использованный NAS ключ, значение счетчика). Например, начальное значение значения счетчика равно 0, и каждый раз, когда AMF узел генерирует NAS ключ, значение счетчика увеличивается на 1, чтобы указать, что AMF узел генерирует новый ключ.New NAS key = (previously used NAS key, counter value). For example, the initial value of the counter value is 0, and each time an AMF node generates a NAS key, the counter value is incremented by 1 to indicate that the AMF node generates a new key.
Следует отметить, что если AMF узел генерирует новый NAS ключ, AMF узел может давать инструкции, используя NAS SMC сообщение в варианте осуществления, соответствующем фиг. 11А и фиг. 11B, оконечное устройство для обновления ключа явным образом. После получения инструкции по обновлению ключа оконечное устройство может обновить ключ с помощью одного из вышеупомянутых четырех способов. Способ обновления ключа оконечным устройством аналогичен способу обновления NAS ключа AMF узлом, и способ обновления NAS ключа предварительно сконфигурирован как в AMF узле, так и в оконечном устройстве.It should be noted that if the AMF node generates a new NAS key, the AMF node may issue instructions using the NAS SMC message in the embodiment corresponding to FIG. 11A and FIG. 11B, a terminal for explicitly updating a key. Upon receiving the key renewal instruction, the terminal may update the key using one of the above four methods. The key update method of the end device is similar to the NAS key update method of the AMF node, and the NAS key update method is pre-configured in both the AMF node and the end device.
В качестве варианта, когда AMF узел и оконечное устройство изменяют используемую технологию доступа, NAS ключ может обновляться. В качестве альтернативы NAS ключ может обновляться, когда случай использования множества технологий доступа переключается на случай использования только одной технологии доступа, или когда количество одновременно используемых технологий доступа уменьшается.Alternatively, when the AMF node and end device change the access technology used, the NAS key may be updated. Alternatively, the NAS key may be updated when the case of using multiple access technologies switches to the case of using only one access technology, or when the number of simultaneously used access technologies decreases.
Согласно этому способу ключ обновляется. Даже если злоумышленник получает NAS ключ, используемый, когда AMF узел связывается с оконечным устройством, используя множество технологий доступа, злоумышленник не может получить открытый текст, используемый, когда оконечное устройство впоследствии связывается с AMF узлом, используя единую технологию доступа, повышая, тем самым, безопасность.According to this method, the key is updated. Even if the attacker obtains the NAS key used when the AMF node communicates with the end device using multiple access technologies, the attacker cannot obtain the plaintext used when the end device subsequently communicates with the AMF node using a single access technology, thereby increasing safety.
Следует отметить, что в вариантах осуществления настоящего изобретения для описания используется пример, в котором первая технология доступа является non-3GPP технологией доступа и вторая технология доступа является 3GPP технологией доступа. Альтернативно, в реальном приложении первая технология доступа может быть 3GPP технологией доступа и вторая технология доступа может быть non-3GPP технологией доступа. Способ, предоставленный в предшествующих вариантах осуществления, может использоваться, когда первая технология доступа и вторая технология доступа, соответственно, представляют собой две разные технологии доступа, поддерживаемые оконечным устройством, или способ, предоставленный в вышеупомянутых вариантах осуществления, может использоваться, когда оконечное устройство обращается к основному сетевому устройству, используя множество технологий доступа.It should be noted that in the embodiments of the present invention, an example is used for description in which the first access technology is a non-3GPP access technology and the second access technology is a 3GPP access technology. Alternatively, in a real application, the first access technology may be a 3GPP access technology and the second access technology may be a non-3GPP access technology. The method provided in the previous embodiments may be used when the first access technology and the second access technology, respectively, are two different access technologies supported by the terminal, or the method provided in the above embodiments may be used when the terminal accesses main network device using a variety of access technologies.
Например, если первая технология доступа является технологией фиксированного доступа к сети и вторая технология доступа является non-3GPP технологией доступа, способ реализации аналогичен способу, описанному в предшествующих вариантах осуществления. Вариант осуществления, соответствующий фиг. 11А и фиг. 11B, может применяться к сценарию, в котором оконечное устройство получило доступ к AMF узлу с использованием 3GPP технологии доступа и затем обращается к тому же AMF узлу с использованием технологии фиксированного доступа к сети. Процедура на фиг. 11А и фиг. 11B, может быть заменена процессом регистрации, в котором оконечное устройство осуществляет доступ к AMF узлу с использованием технологии фиксированного доступа к сети. Способ обеспечения безопасности в процессе регистрации аналогичен способу обеспечения безопасности, который описан в варианте осуществления на фиг. 11А и фиг. 11B и в котором оконечное устройство осуществляет доступ к AMF узлу с использованием non-3GPP технологии доступа.For example, if the first access technology is a fixed network access technology and the second access technology is a non-3GPP access technology, the implementation method is similar to that described in the previous embodiments. The embodiment corresponding to FIG. 11A and FIG. 11B may apply to a scenario in which a terminal has accessed an AMF node using 3GPP access technology and then accesses the same AMF node using fixed network access technology. The procedure in FIG. 11A and FIG. 11B may be replaced by a registration process in which the terminal device accesses the AMF node using fixed network access technology. The security method for the registration process is similar to the security method described in the embodiment of FIG. 11A and FIG. 11B and in which the terminal device accesses the AMF node using a non-3GPP access technology.
Вышеизложенное в основном описывает решения, обеспечиваемые в вариантах осуществления настоящего изобретения, с точки зрения взаимодействия между различными сетевыми элементами. Следует понимать, что для реализации вышеупомянутых функций оконечное устройство и основное сетевое устройство включают в себя соответствующие аппаратные структуры и/или программные модули для выполнения функций. Со ссылкой на примеры, описанные в вариантах осуществления, раскрытых в настоящем изобретении, блоки и этапы алгоритма могут быть реализованы посредством аппаратного обеспечения или комбинации аппаратного и компьютерного программного обеспечения в вариантах осуществления настоящего изобретения. Будет ли функция реализована аппаратным способом или способом управления аппаратным обеспечением с помощью компьютерного программного обеспечения, зависит от конкретного приложения и условий проектных ограничений технических решений. Для каждого конкретного применения специалист в данной области техники может использовать разные способы для реализации описанных функций, но следует учитывать, что реализация не выходит за рамки технических решений вариантов осуществления настоящего изобретения.The foregoing mainly describes the solutions provided in the embodiments of the present invention in terms of interaction between different network elements. It should be understood that in order to implement the above functions, the terminal device and the host network device include respective hardware structures and/or software modules to perform the functions. With reference to the examples described in the embodiments disclosed in the present invention, the blocks and steps of the algorithm may be implemented by hardware or a combination of hardware and computer software in the embodiments of the present invention. Whether the function is implemented in hardware or in a hardware control method with computer software depends on the particular application and design constraint conditions of the technical solutions. For each specific application, a person skilled in the art can use different methods to implement the described functions, but it should be understood that the implementation is not beyond the technical solutions of the embodiments of the present invention.
В вариантах осуществления настоящего изобретения разделение функциональных блоков может выполняться на оконечном устройстве и основном сетевом устройстве на основании вышеупомянутых примеров способа. Например, каждый функциональный блок может быть получен посредством деления на основе соответствующей функции, или две или более функций могут быть интегрированы в один процессорный блок. Интегрированный блок может быть реализован в форме аппаратного обеспечения или может быть реализован в форме программного функционального блока. Следует отметить, что разделение на блоки в вариантах осуществления настоящего изобретения является примером и представляет собой просто логическое разделение функций и может быть другим разделением в фактической реализации.In embodiments of the present invention, separation of functional blocks may be performed at the terminal device and the main network device based on the above method examples. For example, each function block may be obtained by dividing based on a corresponding function, or two or more functions may be integrated into one processing unit. An integrated block may be implemented in the form of hardware or may be implemented in the form of a software function block. It should be noted that the division into blocks in the embodiments of the present invention is an example and is simply a logical division of functions and may be another division in the actual implementation.
Когда используется интегрированный блок, фиг. 12 показывает схематическую блок-схему устройства 1200 согласно варианту осуществления настоящего изобретения. Устройство 1200 может быть реализовано в форме программного обеспечения, или может быть оконечным устройством, или может быть микросхемой в оконечном устройстве. Устройство 1200 включает в себя блок 1202 обработки и блок 1203 связи. Блок 1202 обработки выполнен с возможностью управлять и контролировать действия устройства 1200. Например, блок 1202 обработки выполнен с возможностью поддерживать устройство 1200 при выполнении этапа 501 и этапа 502 на фиг. 5, этапа 1001 на фиг. 10, этапа 1101, этапа 1105, этапа 1113, этапа 1117 и этапа 1118 на фиг. 11А и фиг. 11B, и/или другой процесс технологии, описанной в этом описании. Блок 1203 связи выполнен с возможностью поддерживать связь между устройством 1200 и другим сетевым элементом (таким как основное сетевое устройство и N3IWF узел). Например, блок 1203 связи выполнен с возможностью поддерживать устройство 1200 при выполнении этапа 1002, этапа 1003 и этапа 1007 на фиг. 10, и этапа 1102, этапа 1103, этапа 1104, этапа 1106, этапа 1112, этапа 1114, этапа 1116 и этапа 1119 на фиг. 11А и фиг. 11В. Устройство 1200 может дополнительно включать в себя блок 1201 хранения, выполненный с возможностью хранить программный код и данные устройства 1200.When an integrated block is used, FIG. 12 shows a schematic block diagram of an
Процессор 1202 может быть процессором или контроллером, например, центральным процессором (Central Processing Unit, CPU), процессором общего назначения, процессором цифровых сигналов (Digital Signal Processor, DSP), специализированной интегральной схемой (Application-Specified Integrated Circuit, ASIC), программируемой пользователем вентильной матрицей (Field Programmable Gate Array, FPGA) или другим программируемым логическим устройством, транзисторным логическим устройством, аппаратным компонентом или любой их комбинацией. Блок 1202 обработки может реализовывать или выполнять различные примеры логических блоков, модулей и схем, описанных со ссылкой на контент, раскрытый в настоящем изобретении. Альтернативно, процессор может быть комбинацией для реализации вычислительной функции, например, комбинацией одного или нескольких микропроцессоров или комбинацией DSP и микропроцессора. Блок 1203 связи может быть приемопередатчиком, схемой приемопередатчика, интерфейсом связи или тому подобным. Блок 1201 хранения может быть памятью.
Когда блок 1202 обработки является процессором, блок 1203 связи является приемопередатчиком, и блок 1201 хранения является памятью, устройство 1200 в этом варианте осуществления настоящего изобретения может быть оконечным устройством, показанным на фиг. 13.When the
На фиг. 13 показана упрощенная схема возможной структуры реализации соответствующего оконечного устройства 1300 согласно варианту осуществления настоящего изобретения. Оконечное устройство 1300 включает в себя передатчик 1301, приемник 1302 и процессор 1303. Процессор 1303 может альтернативно быть контроллером и обозначен как «контроллер/процессор 1303» на фиг. 13. В качестве варианта, оконечное устройство 1300 может дополнительно включать в себя модемный процессор 1305, и модемный процессор 1305 может включать в себя кодер 1306, модулятор 1307, декодер 1308 и демодулятор 1309.In FIG. 13 shows a simplified diagram of a possible implementation structure of a corresponding terminal device 1300 according to an embodiment of the present invention. Terminal 1300 includes a
В одном примере передатчик 1301 регулирует (например, посредством аналогового преобразования, фильтрации, усиления и преобразования с повышением частоты) выходную выборку и генерирует сигнал восходящей линии связи. Сигнал восходящей линии связи передается на базовую станцию в предыдущих вариантах осуществления с использованием антенны. По нисходящей линии связи антенна принимает сигнал нисходящей линии связи, передаваемый базовой станцией в вышеупомянутом варианте осуществления. Приемник 1302 регулирует (например, посредством фильтрации, усиления, преобразования с понижением частоты и оцифровки) сигнал, принятый от антенны, и предоставляет входную выборку. В модемном процессоре 1305 кодер 1306 принимает служебные данные и сигнальное сообщение, которые должны быть отправлены по восходящей линии связи, и обрабатывает (например, посредством форматирования, кодирования и перемежения) служебные данные и сигнальное сообщение. Модулятор 1307 дополнительно обрабатывает (например, посредством преобразования символов и модуляции) кодированные служебные данные и кодированное сигнальное сообщение и предоставляет выходную выборку. Демодулятор 1309 обрабатывает (например, посредством демодуляции) входную выборку и обеспечивает оценку символа. Декодер 1308 обрабатывает (например, посредством обратного перемежения и декодирования) оценку символа и предоставляет декодированные данные и декодированное сообщение сигнализации, которые должны быть отправлены на оконечное устройство 1300. Кодер 1306, модулятор 1307, демодулятор 1309 и декодер 1308 может быть реализован интегрированным модемным процессором 1305. Блоки выполняют обработку на основе технологии радиодоступа (например, технологий доступа LTE и другой развитой системы), используемых в сети радиодоступа. Следует отметить, что когда оконечное устройство 1300 не включает в себя модемный процессор 1305, вышеупомянутые функции модемного процессора 1305 могут альтернативно реализовываться процессором 1303.In one example,
Процессор 1303 контролирует и управляет действием оконечного устройства 1300 и выполнен с возможностью выполнять процессы обработки, выполняемые оконечным устройством 1300 в вышеприведенных вариантах осуществления настоящего изобретения. Например, процессор 1303 дополнительно выполнен с возможностью выполнения процесса обработки, связанного с оконечным устройством, в способе, показанном на фиг. 5, фиг. 10 и фиг. 11А и фиг. 11B и/или другой процесс технических решений, описанных в настоящем изобретении.The
Кроме того, оконечное устройство 1300 может дополнительно включать в себя память 1304, и память 1304 выполнена с возможностью хранить программный код и данные, используемые для оконечного устройства 1300.Moreover, tag 1300 may further include
Когда используется интегрированный блок, фиг. 14 показывает блок-схему другого устройства 1400 согласно варианту осуществления настоящего изобретения. Устройство может быть выполнено в форме программного обеспечения, или может быть основным сетевым устройством, или может быть микросхемой в основном сетевом устройстве. Устройство 1400 включает в себя блок 1402 обработки и блок 1403 связи. Блок 1402 обработки выполнен с возможностью управлять и контролировать действие устройства 1400. Например, блок 1402 обработки выполнен с возможностью поддерживать устройство 1400 при выполнении этапа 901 и этапа 902 на фиг. 9, этапа 1004 - этапа 1006 на фиг. 10, этапа 1109- этапа 1111 на фиг. 11А и фиг. 11B и/или другой процесс технологии, описанной в настоящем документе. Блок 1403 связи выполнен с возможностью поддерживать связь между устройством 1400 и другим сетевым элементом (таким как оконечное устройство или N3IWF узел). Например, блок 1403 связи выполнен с возможностью поддерживать устройство 1400 при выполнении этапа 1001, этапа 1002 и этапа 1007 на фиг. 10 и этапа 1108, этапа 1112, этапа 1114 и этапа 1115 на фиг. 11А и фиг. 11В. Устройство 1400 может дополнительно включать в себя блок 1401 хранения, выполненный с возможностью хранить программный код и данные устройства 1400.When an integrated block is used, FIG. 14 shows a block diagram of another
Блок 1402 обработки может быть процессором или контроллером, например, CPU, процессором общего назначения, DSP, ASIC, FPGA или другим программируемым логическим устройством, транзисторным логическим устройством, аппаратным компонентом или любой их комбинацией. Блок 1402 обработки может реализовывать или выполнять различные примерные логические блоки, модули и схемы, описанные со ссылкой на контент, раскрытый в настоящем документе. Альтернативно, процессор может быть комбинацией для реализации вычислительной функции, например, комбинацией одного или нескольких микропроцессоров или комбинацией DSP и микропроцессора. Блок 1403 связи может быть интерфейсом связи. Интерфейс связи имеет общее название. В конкретной реализации интерфейс связи может включать в себя множество интерфейсов. Например, интерфейс связи может включать в себя интерфейс между основным сетевым устройством и оконечным устройством и интерфейс между основным сетевым устройством и N3IWF узлом и/или другой интерфейс. Блок 1401 хранения может быть памятью.
Когда блок 1402 обработки представляет собой процессор, блок 1403 связи представляет собой интерфейс связи и блок 1401 хранения представляет собой память, структура устройства 1400 в этом варианте осуществления настоящего изобретения может быть структурой сетевого устройства показанного на фиг. 15.When the
Фиг. 15 показывает возможную структурную схему основного сетевого устройства в соответствии с вариантом осуществления настоящего изобретения.Fig. 15 shows a possible block diagram of a basic network device according to an embodiment of the present invention.
Как показано на фиг. 15, основное сетевое устройство 1500 включает в себя процессор 1502, интерфейс 1503 связи и память 1501. В качестве варианта, основное сетевое устройство 1500 может дополнительно включать в себя шину 1504. Интерфейс 1503 связи, процессор 1502 и память 1501 могут быть соединены друг с другом с помощью шины 1504. Шина 1504 может быть шиной PCI, шиной EISA или тому подобным. Шина 1504 может быть классифицирована на адресную шину, шину данных, шину управления и тому подобное. Для простоты указания шины, указывают только одну жирную линию на фиг. 15. Однако это не означает, что используют только одну шину или только один тип шины.As shown in FIG. 15, the
Способы или этапы алгоритма, описанные со ссылкой на контент, раскрытый в настоящем документе, могут быть реализованы аппаратным способом или могут быть реализованы способом выполнения инструкции программного обеспечения процессором. Инструкция программного обеспечения может включать в себя соответствующий программный модуль. Программный модуль может храниться в оперативной памяти (Random Access Memory), флэш-памяти, постоянном запоминающем устройстве (Read-Only Memory, ROM), стираемом программируемом постоянном запоминающем устройстве (Erasable Programmable ROM, EPROM), электрически стираемом программируемом постоянном запоминающем устройстве (Electrically EPROM, EEPROM), регистре, жестком диске, съемном жестком диске, постоянном запоминающем устройстве компакт-диска (CD-ROM) или носителе данных в любых других формах хорошо известных в данной области техники. Носитель данных, используемый в качестве примера, соединен с процессором, так что процессор может считывать информацию с носителя данных и может записывать информацию на носитель данных. Разумеется, носитель данных может быть компонентом процессора. Процессор и носитель данных могут быть расположены в ASIC. Дополнительно, ASIC может быть расположен в устройстве интерфейса базовой сети. Конечно, процессор и носитель данных могут быть установлены в устройстве интерфейса базовой сети в виде дискретных компонентов.The methods or steps of an algorithm described with reference to the content disclosed herein may be implemented in hardware or may be implemented in a software instruction by a processor. The software instruction may include a corresponding software module. The software module can be stored in RAM (Random Access Memory), Flash Memory, Read-Only Memory (ROM), Erasable Programmable ROM (EPROM), Electrically Erasable Programmable Read-Only Memory (Electrically EPROM, EEPROM), register, hard disk, removable hard disk, compact disc read only memory (CD-ROM), or storage medium in any other form well known in the art. An exemplary storage medium is coupled to the processor such that the processor can read information from the storage medium and can write information to the storage medium. Of course, the storage medium may be a component of the processor. The processor and storage medium may be located in an ASIC. Additionally, the ASIC may be located in the core network interface device. Of course, the processor and the storage medium may be installed in the core network interface device as discrete components.
В нескольких вариантах осуществления, представленных в настоящем изобретении, следует понимать, что раскрытые система, устройство и способ могут быть реализованы другими способами. Например, описанный вариант осуществления устройства является просто примером. Например, разделение на блоки является просто логическим разделением функций и может быть другим разделением в реальной реализации. Например, множество блоков или компонентов могут быть объединены или интегрированы в другую систему, или некоторые функции могут игнорироваться или не выполняться. Дополнительно, отображаемые или обсуждаемые взаимные связи или прямые подключения или соединения могут быть реализованы через некоторые интерфейсы. Непрямые соединения или коммуникационные соединения между устройствами или блоками могут быть реализованы в электронной или другой форме.In several embodiments presented in the present invention, it should be understood that the disclosed system, device and method can be implemented in other ways. For example, the device embodiment described is merely an example. For example, the division into blocks is simply a logical division of functions and may be another division in the actual implementation. For example, many blocks or components may be combined or integrated into another system, or certain functions may be ignored or not performed. Additionally, interconnections or direct connections or connections that are displayed or discussed can be implemented through some interfaces. Indirect connections or communication connections between devices or units may be implemented in electronic or other form.
Блоки, описанные как отдельные части, могут быть или не быть физически отдельными. Части, отображаемые как блоки, могут быть или не быть физическими блоками, другими словами, могут быть расположены в одной позиции или могут быть распределены на множестве сетевых устройств. Некоторые или все блоки могут быть выбраны в соответствии с фактическими потребностями для достижения целей решений вариантов осуществления.Blocks described as separate parts may or may not be physically separate. Parts displayed as blocks may or may not be physical blocks, in other words, may be located in one position or may be distributed across multiple network devices. Some or all of the blocks may be selected according to actual needs in order to achieve the goals of the solutions of the embodiments.
Дополнительно, функциональные блоки в вариантах осуществления настоящего изобретения могут быть интегрированы в один блок обработки, или каждый из функциональных блоков может существовать один, или два или более блоков интегрированы в один блок. Интегрированный блок может быть реализован в виде аппаратного обеспечения или может быть реализован в виде аппаратного обеспечения в дополнение к функциональному блоку программного обеспечения.Additionally, the functional blocks in the embodiments of the present invention may be integrated into a single processing block, or each of the functional blocks may be one, or two or more blocks may be integrated into one block. The integrated block may be implemented in hardware, or may be implemented in hardware in addition to the software functional block.
На основании вышеприведенных описаний реализаций специалист в данной области техники может четко понимать, что настоящее изобретение может быть реализовано программным обеспечением в дополнение к необходимому универсальному аппаратному обеспечению или, конечно, только аппаратным обеспечением. В большинстве случаев первая является предпочтительной реализацией. Исходя из такого понимания, технические решения настоящего изобретения, по существу, или часть, способствующая предшествующему уровню техники, могут быть реализованы в форме программного продукта. Компьютерный программный продукт хранится на читаемом носителе информации, таком как дискета, жесткий диск или оптический диск компьютера, и включает в себя несколько инструкций для инструктажа компьютерного устройства (которым может быть персональный компьютер, сервер, или сетевое устройство) для выполнения способов, описанных в вариантах осуществления настоящего изобретения.Based on the above descriptions of the implementations, one skilled in the art can clearly understand that the present invention can be implemented in software in addition to the required generic hardware or, of course, in hardware alone. In most cases, the former is the preferred implementation. Based on such an understanding, the technical solutions of the present invention, in essence, or part contributing to the prior art, can be implemented in the form of a software product. The computer program product is stored on a readable storage medium, such as a floppy disk, hard drive, or optical disk of a computer, and includes several instructions for instructing a computing device (which may be a personal computer, server, or network device) to perform the methods described in embodiments. implementation of the present invention.
Вышеприведенные описания являются просто конкретными вариантами осуществления настоящего изобретения, но не предназначены для ограничения области защиты настоящего изобретения. Любое изменение или замена, раскрытые в настоящем документе, должны попадать в область защиты настоящего изобретения. Следовательно, объем защиты данного изобретения должен быть предметом защиты формулы изобретения.The above descriptions are merely specific embodiments of the present invention, but are not intended to limit the protection scope of the present invention. Any modification or substitution disclosed herein shall fall within the scope of the present invention. Therefore, the scope of protection of this invention should be the subject of the protection of the claims.
Claims (51)
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711148926.5 | 2017-11-17 | ||
| CN201711148926.5A CN109803263A (en) | 2017-11-17 | 2017-11-17 | A kind of method and device of safeguard protection |
| PCT/CN2018/112897 WO2019096002A1 (en) | 2017-11-17 | 2018-10-31 | Secure protection method and device |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| RU2020119866A3 RU2020119866A3 (en) | 2021-12-17 |
| RU2020119866A RU2020119866A (en) | 2021-12-17 |
| RU2774435C2 true RU2774435C2 (en) | 2022-06-22 |
Family
ID=
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150208236A1 (en) * | 2007-05-15 | 2015-07-23 | Huawei Technologies Co., Ltd. | Method and apparatus for negotiating security during handover between different radio access technologies |
| US20160088472A1 (en) * | 2007-08-31 | 2016-03-24 | Huawei Technologies Co.,Ltd. | Method for Negotiating Security Capability when Terminal Moves |
| RU2630175C2 (en) * | 2012-01-30 | 2017-09-05 | Телефонактиеболагет Л М Эрикссон (Пабл) | Transfer of call service between cellular communication system nodes supporting various security context |
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150208236A1 (en) * | 2007-05-15 | 2015-07-23 | Huawei Technologies Co., Ltd. | Method and apparatus for negotiating security during handover between different radio access technologies |
| US20160088472A1 (en) * | 2007-08-31 | 2016-03-24 | Huawei Technologies Co.,Ltd. | Method for Negotiating Security Capability when Terminal Moves |
| RU2630175C2 (en) * | 2012-01-30 | 2017-09-05 | Телефонактиеболагет Л М Эрикссон (Пабл) | Transfer of call service between cellular communication system nodes supporting various security context |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11589274B2 (en) | Security protection method, apparatus, and system | |
| US10904764B2 (en) | Security protection method and apparatus | |
| CN109729524B (en) | RRC (radio resource control) connection recovery method and device | |
| KR102205625B1 (en) | Security of ciphering and integrity protection | |
| CN110351725B (en) | Communication method and device | |
| RU2774435C2 (en) | Method and device for security provision | |
| RU2771619C2 (en) | System, device and key generation method |