TW201739276A - 增強的非存取層安全 - Google Patents

增強的非存取層安全

Info

Publication number
TW201739276A
TW201739276A TW106108431A TW106108431A TW201739276A TW 201739276 A TW201739276 A TW 201739276A TW 106108431 A TW106108431 A TW 106108431A TW 106108431 A TW106108431 A TW 106108431A TW 201739276 A TW201739276 A TW 201739276A
Authority
TW
Taiwan
Prior art keywords
message
network
wireless device
registration
nas
Prior art date
Application number
TW106108431A
Other languages
English (en)
Other versions
TWI724132B (zh
Inventor
李秀凡
艾納德 帕拉尼古德
愛德利恩愛德華 伊史考特
Original Assignee
高通公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 高通公司 filed Critical 高通公司
Publication of TW201739276A publication Critical patent/TW201739276A/zh
Application granted granted Critical
Publication of TWI724132B publication Critical patent/TWI724132B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

使用者設備(UE)可以被配置為向網路傳輸註冊訊息,以建立用於網路和UE之間的非存取層(NAS)訊息的安全連接,該安全連接至少部分地基於註冊訊息中包括的UE辨識符和UE的安全能力。隨後,UE可以經由該安全連接與網路交換NAS方法。UE亦可以回應於註冊訊息,建立與網路的認證協定並且部分地基於該認證協定加密後續NAS訊息。

Description

增強的非存取層安全
本專利申請案主張享有Lee等人、2016年10月5日提出申請的、名稱為「ENHANCED NON-ACCESS STRATUM SECURITY」的美國專利申請案第15/286,002以及Lee等人、2016年4月27日提出申請的、名稱為「ENHANCED NON-ACCESS STRATUM SECURITY」的美國臨時專利申請案第62/328,430的優先權,該等申請案中的每一個被轉讓給本案受讓人。
下文大體而言係關於無線通訊,並且更具體地係關於增強的非存取層(NAS)安全。
無線通訊系統被廣泛地部署,以提供諸如語音、視訊、封包資料、訊息傳遞、廣播等各種類型的通訊內容。該等系統能夠經由共享可用的系統資源(例如,時間、頻率和功率)來支援與多個使用者的通訊。此種多工存取系統的實例係包括分碼多工存取(CDMA)系統、分時多工存取(TDMA)系統、分頻多工存取(FDMA)系統,以及正交分頻多工存取(OFDMA)系統。無線多工存取通訊系統可以包括多個基地站,各自同時支援多個通訊設備的通訊,該多個通訊設備可以各自被稱為使用者設備(UE)。
因此,UE可以加入與網路的通訊。一些網路通訊可以在UE和核心網路之間,核心網路可以包括用於促進網路通訊的協定堆疊。在核心網路協定堆疊中使用的一個功能層是NAS層。NAS層是一組協定,並且通常用於在UE和行動性管理實體(MME)之間傳送非無線電訊號傳遞以用於存取網路(諸如,長期進化(LTE)網路或進化通用行動電話系統(UMTS)陸地無線電存取網路(E-UTRAN))。在一些實例中,NAS層可以用來管理與UE的通訊通信期的建立,並且用於在UE移動時維持與該UE的連續通訊。在一些實例中,當UE向NAS層傳輸附著請求(attach request)時,可以提供網路存取。NAS層可以經由允許UE附著到網路來進行回應。
在一些實例中,可以保護網路通訊。受保護的通訊可以包括含有私人或秘密資訊的通訊。然而,一些類型的網路通訊可能缺乏保護或安全。具體而言,在UE和核心網路之間商定了安全演算法之前傳送的訊息可能缺乏充分的保護。作為另一個實例,用於建立通訊的訊息可能同樣缺乏充分的保護。未保護的NAS訊息,特別是用於將UE附著到網路的彼等訊息,可以是此種未保護的通訊的實例。未保護的通訊可能會被例如攻擊者利用。
使用者設備(UE)可以被配置為基於認證與金鑰協商(AKA)來建立與核心網路的安全的非存取層(NAS)連接。為此,UE可以向網路發送初始註冊請求。註冊請求在其內容上可以是有限制的。例如,註冊請求可以被限制為包括UE的辨識和UE的安全能力。其他資訊,包括UE希望保護或經由安全連接來傳輸的資訊,可以不被包括在註冊請求中,而是可以替代地被包括在後續安全傳輸中。例如,在執行了AKA程序並且建立了安全NAS連接之後,UE可以經由安全NAS連接來執行與網路的附著程序。因為附著程序是經由安全連接,所以附著程序可以包括使用者可能想要保護的附加資訊。可以將附著請求與NAS安全模式完成訊息一起從UE傳輸到網路。在成功註冊之後並且在該UE的後續重新註冊嘗試中,已建立的NAS訊息安全性可以應用於不同UE操作模式中的後續NAS訊息。
描述了一種無線通訊的方法。該方法可以包括以下步驟:向網路傳輸註冊訊息以建立用於該網路和無線設備之間的至少NAS訊息的安全連接,該安全連接至少部分地基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,以及經由該安全連接與網路交換NAS訊息。
描述了一種用於無線通訊的裝置。該裝置可以包括用於向網路傳輸註冊訊息以建立用於該網路和無線設備之間的至少NAS訊息的安全連接的構件,該安全連接至少部分地基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,以及用於經由該安全連接與網路交換NAS訊息的構件。
描述了進一步的裝置。該裝置可以包括處理器、與該處理器電子通訊的記憶體,以及儲存在該記憶體中的指令。該等指令可以是可操作以使得處理器向網路傳輸註冊訊息以建立用於該網路和無線設備之間的至少NAS訊息的安全連接,該安全連接至少部分地基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,以及經由該安全連接與網路交換NAS訊息。
描述了一種用於無線通訊的非暫時性電腦可讀取媒體。該非暫時性電腦可讀取媒體可以包括使得處理器進行以下操作的指令:向網路傳輸註冊訊息以建立用於該網路和無線設備之間的至少NAS訊息的安全連接,該安全連接基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,以及經由該安全連接與網路交換NAS訊息。
在上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例中,交換NAS訊息可以包括傳輸用於存取網路的附著請求。在上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例中,附著請求被背負到傳輸到網路的安全模式完成訊息。在上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例中,註冊訊息是附著請求訊息、追蹤區域更新(TAU)請求訊息,或服務請求訊息。
上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件,或指令以用於回應於註冊訊息來執行與網路的相互認證和金鑰協商。上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件,或指令以用於部分地基於作為與網路的成功認證的結果而建立的金鑰協商來加密後續NAS訊息。
上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件,或指令以用於進入與網路的登出狀態。上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件,或指令以用於在登出狀態中時傳輸附著請求,該附著請求是在相互的認證和金鑰協商下被加密和完整性保護的。
上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件或指令以用於進入與網路的註冊狀態。上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件或指令以用於在註冊狀態中時採用根據相互認證和金鑰協商的加密和完整性保護來傳輸後續NAS訊息。
上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件或指令以用於進入與網路的閒置狀態。上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件或指令以用於在退出閒置狀態之後傳輸服務請求,該服務請求包括服務請求的第一部分和服務請求的第二部分,該第一部分具有基於在與網路的成功認證期間建立的安全上下文的完整性保護,第二部分具有基於安全上下文的加密和完整性保護。
在上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例中,第一部分包括無線設備辨識符或金鑰集合辨識符中的至少一個。
上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件或指令以用於傳輸附著請求、服務請求,或TAU訊息。上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件或指令以用於接收與所傳輸的附著請求、服務請求,或TAU訊息相關聯的拒絕訊息,其中該拒絕訊息未被基於在與網路的成功認證期間建立的安全上下文來加密或完整性保護。上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件或指令以用於向網路傳輸第二註冊訊息,以基於第二註冊訊息中包括的無線設備辨識符和無線設備的安全能力來與網路建立安全性。
上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件或指令以用於在接收到拒絕訊息之後等待預定的時間量。上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件或指令以用於在傳輸第二註冊訊息之前重新傳輸先前傳輸的附著請求、服務請求,或TAU訊息。
在上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例中,執行相互認證和金鑰協商可以包括無線設備和網路部件之間的通訊,該網路部件被配置用於使NAS訊息安全。
上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括計算註冊請求的雜湊值,在所傳輸的註冊訊息之後接收來自網路的註冊請求的雜湊值,以及決定計算的雜湊值和接收的雜湊值的數值是否匹配。一些實例亦可以包括當決定計算的和接收的雜湊值數值不匹配之後,重新傳輸註冊訊息內包含的至少一個資訊單元。一些方法亦可以包括以下步驟:當決定計算的和接收的雜湊值數值不匹配之後,向網路重新傳輸註冊訊息。
描述了一種無線通訊的方法。該方法可以包括以下步驟:接收來自無線設備的註冊訊息以建立用於無線設備和網路之間的至少NAS訊息的安全連接,該安全連接至少部分地基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,以及經由該安全連接與無線設備交換NAS訊息。
描述了一種用於無線通訊的裝置。該裝置可以包括用於接收來自無線設備的註冊訊息以建立用於無線設備和網路之間的至少NAS訊息的安全連接的構件,該安全連接至少部分地基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,以及用於經由該安全連接與無線設備交換NAS訊息的構件。
描述了進一步的裝置。該裝置可以包括處理器、與該處理器電子通訊的記憶體和儲存在該記憶體中的指令。該等指令可以是可操作以使得處理器接收來自無線設備的註冊訊息以建立用於無線設備和網路之間的至少NAS訊息的安全連接,該安全連接至少部分地基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,以及經由該安全連接與無線設備交換NAS訊息。
描述了一種用於無線通訊的非暫時性電腦可讀取媒體。該非暫時性電腦可讀取媒體可以包括用於使得處理器進行以下操作的指令:接收來自無線設備的註冊訊息以建立用於無線設備和網路之間的至少NAS訊息的安全連接,該安全連接基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,以及經由該安全連接與無線設備交換NAS訊息。
在上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例中,交換NAS訊息可以包括接收來自UE的用於存取網路的附著請求。在上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例中,附著請求被背負到傳輸到網路的安全模式完成訊息。在上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例中,註冊訊息是附著請求訊息。
上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件,或指令以用於回應於註冊訊息來執行與無線設備的相互認證和金鑰協商。上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件,或指令以用於部分地基於作為與無線設備的成功認證的結果而建立的金鑰協商來加密後續NAS訊息。
上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件,或指令以用於接收附著請求、服務請求,或TAU訊息。上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件或指令以用於傳輸與所接收的附著請求、服務請求,或TAU訊息相關聯的拒絕訊息,其中該拒絕訊息未被基於在與無線設備的成功認證期間建立的安全上下文來加密或完整性保護。上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例亦可以包括過程、特徵、構件或指令以用於從無線設備接收第二註冊訊息,以基於第二註冊訊息中包括的無線設備辨識符和無線設備的安全能力來與無線設備建立安全性。
在上文描述的方法、裝置,或非暫時性電腦可讀取媒體的一些實例中,執行相互認證和金鑰協商包括無線設備和網路部件之間的通訊,該網路部件被配置用於使NAS訊息安全。
非存取層(NAS)層(layer)是一組協定,其用於在UE和行動性管理實體(MME)之間傳送非無線電訊號傳遞以用於存取網路(諸如,長期進化(LTE)網路或進化通用行動電話系統(UMTS)陸地無線電存取網路(E-UTRAN))。作為NAS的一部分的協定的主要功能可以包括支援UE行動性、進化封包交換系統(EPS)承載管理、認證、安全控制,以及連接管理。UE可以經由UE和NAS之間傳輸的訊息來與NAS通訊。典型地,UE和MME之間的第一NAS訊息可以是附著請求,儘管其他訊息類型可以包括服務請求或連接請求訊息。若UE對網路而言是新的,則MME亦可以要求UE的身份(例如,國際行動用戶辨識(IMSI))。
UE和MME之間發送的初始訊息可能是未被保護的。因此,該等初始訊息的內容可以被外方和攻擊者讀取(例如,經由解碼無線媒體上發送的訊息或經由偽造基地站)。因此,外方或攻擊者可以探索關於UE或其使用者的私人資訊,或者甚至可以利用截獲的資訊並且禁用對UE的某些服務。
因此,無線系統可以包括NAS安全程序,以消除攻擊者或其他協力廠商獲得私人資訊的能力。NAS安全程序可以利用UE和網路之間的註冊協定,其相對習知註冊或附著協定減少了不安全資訊的數量。一旦NAS連接是安全的,UE和網路可以開始附著程序並且隨後使用安全NAS連接來交換資訊。如本文所解釋的,該技術的一些好處可以包括消除攻擊(諸如,消除打壓(bidding-down)攻擊)和私密增強,該等好處皆可以在相對至少一些第四代(4G)附著程序而言沒有額外訊息傳遞管理負擔的情況下來提供。
在無線通訊系統的上下文中初步描述了本案的態樣。針對以下步驟描述了具體實例:傳輸註冊請求以用於在UE和網路之間建立安全NAS連接,以及隨後經由該安全NAS連接啟動附著程序。經由並且參照與增強NAS安全相關的裝置圖、系統圖和流程圖進一步說明和描述了本案的態樣。
1 圖示根據本案各個態樣的無線通訊系統100的實例。無線通訊系統100包括基地站105、UE 115和核心網路130。在一些實例中,無線通訊系統100可以是長期進化(LTE)/LTE-增強(LTE-A)網路。在一些實例中,無線通訊系統100可以是第五代(5G)生態系統,其特徵為高頻通訊系統,諸如用於行動通訊的毫米波(mmW)系統。為了促進安全NAS通訊,無線通訊系統100可以包括UE 115,其傳輸註冊請求以用於在UE 115和核心網路130之間建立安全NAS連接,隨後經由安全NAS連接啟動附著程序。
基地站105可以經由一或多個基地站天線與UE 115進行無線通訊。每個基地站105可以針對各自的地理覆蓋區域110提供通訊覆蓋。無線通訊系統100中圖示的通訊鏈路125可以包括從UE 115到基地站105的上行鏈路(UL)傳輸或從基地站105到UE 115的下行鏈路(DL)傳輸。UE 115可以分散在整個無線通訊系統100中,並且每個UE 115可以是靜止的或行動的。UE 115亦可以被稱為行動站、用戶站、遠端單元、無線設備、存取終端(AT)、手機、使用者助理、客戶端,或類似術語。UE 115亦可以是蜂巢式電話、無線數據機、手持設備、個人電腦、平板、個人電子設備、家用電器、汽車、機械類型通訊(MTC)設備等。
在無線通訊系統100的一些實例中,基地站105或UE 115可以包括多個天線以用於運用天線分集方案來提高基地站105和無線設備115之間的通訊品質和可靠度。此外或可替代地,基地站105或無線設備115可以運用多輸入多輸出(MIMO)技術,該等技術可以利用多徑環境來傳輸攜帶相同或不同編碼資料的多個空間層。
基地站105可以與核心網路130以及相互之間進行通訊。例如,基地站105可以經由回載鏈路132(例如,S1等)與核心網路130介面連接。基地站105可以經由回載鏈路134(例如,X2等)直接地或者間接地(例如,經由核心網路130)相互通訊。基地站105可以執行無線電配置和排程以用於與UE 115的通訊,或者可以在基地站控制器(未圖示)的控制下操作。在一些實例中,基地站105可以是巨集細胞、小細胞、熱點、等等。基地站105亦可以被稱為eNodeB(eNB)。
在一個實例中,基地站105可以經由S1介面連接到核心網路130。核心網路可以是進化封包核心(EPC),其可以包括至少一個行動性管理實體(MME)、至少一個服務閘道(S-GW),以及至少一個封包資料網路(PDN)閘道(P-GW)。MME可以是控制節點,其處理UE 115和EPC之間的訊號傳遞。使用者網際網路協定(IP)封包可以經由S-GW傳輸,S-GW本身可以連接到P-GW。P-GW可以提供IP位址分配以及其他功能。P-GW可以連接到網路服務供應商的IP服務。服務供應商的IP服務可以包括網際網路、網內網路、IP多媒體子系統(IMS),或封包交換(PS)串流服務(PSS)。儘管NAS安全可以經由MME來提供,但是核心網路130亦可以包括被配置用於使NAS訊息安全的獨立部件。核心網路130可以由電信架構的若干部件構成,其可以包括資料面和控制面。資料面可以攜帶網路使用者訊務,而控制面可以攜帶訊號傳遞訊務並且可以負責路由。
UE 115可以在與核心網路130(例如,經由基地站105)的通訊期間使用各種辨識符。例如,UE 115處的用戶資訊模組(SIM)可以是安全地儲存UE的IMSI的積體電路(IC)以及用於辨識和認證UE 115的相關金鑰。SIM亦可以包含唯一的序列號(例如,IC卡辨識(ID)(ICCID))、安全認證和加密資訊、與本端網路相關的臨時資訊、可用服務清單、個人ID號(PIN),以及用於PIN解鎖的個人解鎖碼(PUK)。在一些情況中,SIM可以是嵌入在可移除塑膠卡上的電路。
UE 115和核心網路130之間的通訊可以包括NAS通訊。如本文所解釋的,NAS層是在UE 115和核心網路130之間的協定堆疊中使用的功能層,並且可以由位於核心網路130的MME來實現。在一些實例中,UE 115和MME之間的第一NAS訊息可以是附著請求。傳統地,附著請求可以包括UE 115的ID,但是亦可以包括與UE 115或其使用者相關的其他資訊。其他資訊可以包括UE或其使用者的私人資訊。因此,若在不安全的NAS通訊(例如,未保護的NAS訊息)中包括了私人資訊,則該私人資訊可以被協力廠商讀取,而該私人資訊不意欲發給該協力廠商。不安全的NAS訊息亦可能受到截獲以及其他惡意攻擊。
2A 圖示流程圖200,其說明了在傳輸未保護NAS訊息中可能產生的問題。圖2A圖示了UE 115-a和參與無線通訊的偽基地站105-a,其可以是參照圖1描述的相應設備的實例。未保護的NAS訊息可以被諸如偽基地站105-a的攻擊者截獲並利用。未保護的NAS訊息205是由UE 115-a傳輸的並且被偽基地站105-a接收。隨後,偽基地站105-a可以從訊息205中提取關於UE 115-a的私人資訊,諸如UE的能力和ID。
在另一實例中,偽基地站105-a可以對UE 115-a發出拒絕服務(DoS)攻擊。例如,偽基地站105-a可以接收訊息205中的追蹤區域更新(TAU)請求訊息。在正常的TAU請求中,UE 115-a可以向UE的服務網路通知UE的當前位置,以便促進對UE 115-a的網路服務。然而,在該場景中,偽基地站105-a可以在拒絕訊息210中拒絕來自UE 115-a的TAU請求,該拒絕訊息210可以使UE 115-a認為通用用戶身份模組(USIM)對EPS服務和非EPS服務是無效的直到UE 115-a關閉或移除包含USIM的通用積體電路卡(UICC)。可能受到DoS攻擊的未保護NAS訊息包括附著拒絕、TAU拒絕、服務拒絕,以及網路啟動的去附著請求訊息。
2B 圖示流程圖250,其說明了在傳輸未保護NAS訊息中可能發生的另一問題。具體地,流程圖250圖示了「打壓攻擊(bidding-down attack)」。圖2B圖示了參與無線通訊的UE 115-b、偽基地站105-b,以及核心網路130-a,其可以是參照圖1描述的相應設備的實例。如在圖2B中所示,核心網路130-a可以包括多個部件,其包括可以參加NAS通訊的控制面功能230。在圖2B的實例中,UE 115-b以未保護NAS訊息255的形式向偽基地站105-b啟動附著請求訊息。未保護NAS訊息255可以包含語音域較佳資訊和UE的用途設置,其向偽基地站105-b通知了UE的語音撥叫能力。在訊息操作步驟260,例如,偽基地站105-b可以從未保護NAS訊息255中移除該等能力,隨後可以將諸如「額外更新類型」的資訊單元改為「僅簡訊服務(SMS)」。隨後,偽基地站105-b可以將改變的訊息(以經操作的NAS訊息265的形式)轉發到UE的服務網路,核心網路130-a。隨後,核心網路130-a可以接受該經操作的NAS訊息265,並且使用該訊息來執行與UE 115-b的授權程序以完成附著程序。因此,在該場景下,核心網路130-a可以配置UE 115-b的簡檔,使得其僅實現SMS和資料服務。如此,UE 115-b將不能發送或接收語音撥叫。亦可以應用打壓攻擊的其他實例。在一些實例中,可以利用偽基地站105-b之外的其他無線設備用於打壓攻擊。
3A 圖示流程圖300,其說明了用於保護UE 115-c-1發送的NAS訊息的安全連接協定。在一些情況中,流程圖300可以表示如參照圖1-圖2描述的UE 115、基地站105,或核心網路130執行的技術的態樣。在建立安全NAS連接中,UE 115-c-1可以向基地站105-c-1發送註冊請求305,其包含最少的UE能力資訊。該最少的UE能力資訊可以包括UE身份(例如,IMSI或私人行動用戶身份(PMSI))和UE安全能力(例如,支援的加密和完整性保護演算法)。隨後,基地站105-c-1可以經由轉發的註冊請求訊息310將該資訊轉發到核心網路130-b-1的部件(諸如,控制面功能230-a-1)。當接收到訊息310之後,核心網路130-b-1則可以開始與UE 115-c-1的認證和金鑰協商(AKA)協定315。在一些實例中,若UE 115-c-1使用核心網路130-b-1未辨識的臨時身份,則核心網路130-b-1可以在與UE 115-c-1開始AKA協定315之前請求UE的身份。AKA協定315提供了用於UE 115-c-1和核心網路130-b-1的相互認證的程序。AKA協定315可以涉及專用的安全單元、實體,或與核心網路130-b-1相關聯的功能,其負責AKA協定315。在一些實例中,專用的安全單元可以是安全金鑰管理功能(SKMF)。在其他實例中,專用安全單元可以是行動性管理實體(MME)。
在建立AKA協定315之後,可以使用NAS安全模式命令(SMC)程序320以便建立UE 115-c-1和核心網路130-b-1之間的安全NAS連接(例如,經由控制面功能230-a-1)。NAS SMC程序320可以包括例如訊息交換。在一個實例中,NAS SMC程序320可以包括從核心網路130-b-1到UE 115-c-1的NAS SMC訊息傳輸,以及UE 115-c-1經由NAS SMC完成訊息進行回應,從而確保後續NAS訊息根據AKA協定315來加密和安全保護。在UE 115-c-1和核心網路130-b-1之間進行了成功的NAS SMC程序320之後,可以保護UE 115-c-1和核心網路130-b-1之間的後續NAS訊息,其包括加密和完整性保護。在一個實例中,一旦NAS連接是安全的,基地站105-c-1可以向UE 115-c-1發送存取層(AS)SMC 335-a,以便啟用AS中的安全以及在UE 115-c-1和基地站105-c-1之間建立安全通道。在其他實例中,AS SMC 335-b可以在附著程序之後發送。
一旦NAS連接是安全的,UE 115-c-1亦可以向基地站105-c-1發送附著請求325。附著請求325可以包括註冊請求305中未包括的UE 115-c-1的能力,並且可以用於請求服務(例如,語音資料、SMS等)。隨後,基地站105-c-1可以將附著請求325經由附著請求330轉發到核心網路130-b-1。當接收到附著請求330之後,核心網路130-b-1則可以建立與UE 115-c-1的無線通訊通信期。當建立了通信期之後,可以使用已建立的安全上下文來對UE 115-c-1和核心網路130-b-1之間的後續NAS訊息進行保護,如在安全通訊340中所示的。
在一些實例中,註冊請求305可以本身是或包括附著請求、追蹤區域更新(TAU)請求或服務請求。在該等實例中,UE 115-c-1可以計算註冊請求305的雜湊值。安全雜湊演算法(SHA)例如SHA-1、SHA-2或SHA-3可以用來計算該雜湊值。UE 115-c-1可以可選地在註冊請求中指示UE 115-c-1請求核心網路130-b-1在回應中或其他後續訊息(例如,NAS SMC訊息)中發送註冊請求訊息的雜湊值。核心網路130-b-1的部件(諸如MME)可以在從核心網路130-b-1到UE 115-c-1的NAS SMC訊息中包括註冊請求305的雜湊值。若MME返回的數值與UE 115-c-1計算的數值相同,則核心網路130-b-1和UE 115-c-1之間的通訊可以正常進行。若數值不匹配,則UE 115-c-1在NAS SMC完成訊息中包括在註冊請求355中發送的且將會保護的資訊單元(IE)。在另一個實例中,若數值不匹配,則UE 115-c-2可以假設註冊請求355被破壞並且可以重新啟動註冊,諸如參照圖5所解釋的。在另一實例中,MME可以在NAS SMC訊息中包括指示,以便告訴UE 115-c-2重新發送該等IE。隨後,UE 115-c-2可以傳輸NAS SMC完成訊息,其可以包括受保護的IE。
3B 圖示流程圖350,其說明了用於保護UE 115-c-2發送的NAS訊息的安全連接協定。在一些情況中,流程圖350可以表示如參照圖1-圖2所描述的由UE 115、基地站105,或核心網路130執行的技術的態樣。流程圖350(圖3B中)不同於流程圖300(圖3A中)的地方是相對於流程圖300中使用的訊息的數目減少了流程圖350中使用的訊息的數目。圖3B的安全連接協定保持了與LTE中的NAS連接建立中使用的相同的訊息數目。
在建立安全NAS連接中,UE 115-c-2可以向基地站105-c-2發送包含最少UE能力資訊的註冊請求355。該最少UE能力資訊可以包括UE身份(例如,IMSI或PMSI)和UE安全能力(例如,支援的加密和完整性保護演算法)。隨後,基地站105-c-2可以經由轉發的註冊請求訊息360將該資訊轉發到核心網路130-b-2的部件(例如,控制面功能230-a-2)。當接收到訊息360之後,核心網路130-b-2則可以開始與UE 115-c-2的認證和金鑰協商(AKA)協定365。在一些實例中,若UE 115-c-2使用未被核心網路130-b-2辨識的臨時身份,則核心網路130-b-2可以在開始與UE 115-c-2的AKA協定365之前請求UE的身份。AKA協定提供了用於UE 115-c-2和核心網路130-b-2的相互認證的程序。AKA協定可以包括與負責AKA協定的核心網路130-b-2相關聯的專用安全單元、實體,或功能,諸如SKMF單元。在其他實例中,專用安全單元可以是MME。
在建立AKA協定365之後,可以使用NAS SMC程序370來在UE 115-c-2和核心網路130-b-2之間建立安全NAS連接。為了避免相比習知附著程序(諸如在LTE附著程序中)增加訊息計數,UE 115-c-2亦可以在與NAS SMC程序370相同的傳輸中發送附著請求。具體地,可以與NAS SMC完成訊息一起包括附著請求。傳輸370中包括的附著請求可以包括UE的能力和請求服務(例如,語音資料、SMS等)。
在UE 115-c-2和基地站105-c-2之間進行了成功的NAS SMC程序370之後,UE 115-c-2、基地站105-c-2和核心網路130-b-2之間的後續NAS訊息可以被保護,該保護包括加密和完整性保護。在接收到附著請求之後,核心網路130-b-2則可以建立與UE 115-c-2的無線通訊通信期。在建立了NAS SMC 370之後,UE 115-c-2可以向基地站105-c-2發送AS SMC 380,以便啟用AS中的安全性並且在UE 115-c-2和基地站105-c-2之間建立安全通道。當建立了通信期之後,如在安全通訊385中所示,可以使用建立的安全上下文來保護UE 115-c-2和核心網路130-b-2之間的所有後續NAS訊息。
在一些實例中,註冊請求355可以本身是或者包括附著請求、追蹤區域更新(TAU)請求,或服務請求。在該等實例中,UE 115-c-2可以計算註冊請求355的雜湊值。可以使用SHA來計算雜湊值。UE 115-c-2可以可選地在註冊請求中指示UE 115-c-2請求核心網路130-b-2在回應或其他後續訊息(例如,NAS SMC訊息)中發送註冊請求訊息的雜湊值。核心網路130-b-2的部件(諸如,MME)可以在從核心網路130-b-2到UE 115-c-2的NSA SMC訊息中包括註冊請求355的雜湊值。若MME返回的數值與UE 115-c-2計算的數值相同,則核心網路130-b-2和UE 115-c-2之間的通訊可以正常進行。
在一個實例中,若數值不匹配,則UE 115-c-2可以在NAS SMC完成訊息中包括在註冊請求355中發送的且將被保護的IE。在另一實例中,若數值不匹配,則UE 115-c-2可以假設註冊請求355被破壞並且可以重新啟動註冊,如參照圖5所解釋的。在另一實例中,MME可以在NAS SMC訊息中包括指示以便告訴UE 115-c-2重新發送該等IE。隨後,UE 115-c-2可以傳輸NAS SMC完成訊息,其可以由受保護的IE構成。
4A 圖示流程圖400,其說明了不同UE操作模式中後續NAS訊息保護的實例。在一些情況中,流程圖400可以表示如參照圖1-圖2所描述的由UE 115、基地站105或核心網路130執行的技術的態樣。流程圖400圖示在UE 115-d-1和核心網路130-c-1(或核心網路130-c-1的至少一個部件,如控制面功能230-b-1)已經使用例如在圖3A或圖3B中描述的方法彼此建立了安全NAS通訊之後的UE 115-d-1和核心網路130-c-1。
在方塊405中,UE 115-d-1進入EPS行動性管理(EMM)登出狀態。在EMM登出狀態中,核心網路130-c-1中的EMM上下文不具有針對UE 115-d-1的有效位置或路由資訊。換言之,由於UE的位置是未知的,所以核心網路130-c-1不能到達UE 115-d-1。在登出狀態中,UE 115-d-1和核心網路130-c-1之間的先前建立的安全上下文可以仍舊存在。若UE 115-d-1想要進入註冊狀態,UE 115-d-1可以向核心網路130-c-1發送附著請求410。若安全上下文基於先前的註冊而存在,則附著請求410是加密的、完整性保護的,或者既是加密的又是完整性保護的,並且包括使控制面功能230-b-1能夠定位相應的安全上下文的資訊。若不能定位安全上下文,則核心網路130-c-1可以經由將該訊息視作註冊請求來觸發安全上下文的建立。被核心網路130-c-1用來辨識UE (例如,全球唯一臨時ID(GUTI))和定位UE安全上下文(例如,進化金鑰集合辨識符(eKSI))的資訊未被加密但是被完整性保護。此外,核心網路130-c-1可以在需要時經由執行NAS SMC來與UE 115-d-1重新建立新的安全上下文。
4B 圖示流程圖450,其說明了不同模式中後續NAS訊息保護的實例。在一些情況中,流程圖450可以表示如參照圖1-圖2所描述的由UE 115、基地站105,或核心網路130執行的技術的態樣。流程圖450圖示在UE 115-d-2和核心網路130-c-2(或核心網路130-c-2的至少一個部件,如控制面功能230-b-2)已經使用例如在圖3A或圖3B中描述的方法彼此建立了安全NAS通訊之後的UE 115-d-2、基地站105-d-1和核心網路130-c-2。流程圖450亦可以圖示EMM註冊狀態中的UE 115-d-2和核心網路130-c-2,其中EMM註冊狀態可以經由成功的TAU程序來建立。
在方塊455中,UE 115-d-2進入EPS連接管理(ECM)連接狀態。在ECM連接狀態中,UE 115-d-2被核心網路130-c-2以服務基地站的準確度已知。在ECM連接狀態中,UE 115-d-2和核心網路130-c-2之間的先前建立的安全上下文可以仍舊存在。從UE 115-d-2向基地站105-d-1發送NAS訊息460和所有後續NAS訊息,隨後將其從基地站105-d-1中繼到核心網路130-c-2。NAS訊息460和所有後續NAS訊息可以是加密的、完整性保護的,或者既是加密的又是完整性保護的。
在方塊465中,UE 115-d-2進入EPS ECM閒置狀態。在ECM閒置狀態中,在UE 115-d-2和核心網路130-c-2之間沒有NAS訊號傳遞連接。在ECM閒置狀態中,在 UE 115-d-2和核心網路130-c-2之間先前建立的安全上下文可以仍舊存在。UE 115-d-2可以經由諸如服務請求470-a和TAU請求470-b的NAS訊息來啟動從ECM閒置狀態到ECM連接狀態的轉換。服務請求470-a和TAU請求470-b可以是加密的、完整性保護的,或者既是加密的又是完整性保護的。然而,核心網路130-c-2用來辨識UE(例如,GUTI)和定位UE安全上下文(亦即,金鑰集合辨識符或eKSI)的資訊未被加密但是被完整性保護。若不能定位安全上下文,則核心網路130-c-2可以經由將該訊息視作註冊請求來觸發安全上下文的建立。此外,在需要時,核心網路130-c-2可以經由執行NAS SMC來與UE 115-d-2重新建立新的安全上下文。
5 圖示流程圖500,其說明了在完整性驗證失敗之後的重新註冊程序。圖5圖示UE 115-e、基地站105-e-1,以及基地站105-e-2,其可以是參照圖1-圖2描述的相應設備的實例。在一些情況中,流程圖500可以表示如參照圖1-圖2所描述的由UE 115、基地站105,或核心網路130執行的技術的態樣。UE 115-e和基地站105-e-1已經相互建立了安全NAS連接。由於該安全的連接,除了後續註冊請求和拒絕訊息之外所有的NAS訊息可以基於UE 115-e和基地站105-e-1之間的所建立的安全上下文來保護。若安全上下文存在,則在該兩者之間對附著、服務和TAU拒絕訊息進行完整性保護。
在流程圖500中,UE 115-e向基地站105-e-1發送NAS訊息505。隨後,基地站105-e-1回應於NAS訊息505發送未保護的拒絕訊息510。未保護的拒絕訊息510可以是NAS附著、服務,或TAU拒絕訊息。未保護拒絕訊息510可能是由攻擊者或與UE 115-e相關聯的核心網路發送的。UE 115-e可能已經丟失了其安全上下文。在一個實例中,作為對未保護拒絕訊息510的回應,UE 115-e可以忽略該訊息並且進入預定的等待時段515。
在一個實例中,在預定的等待時段515過後,UE 115-e可以重新嘗試在NAS訊息520中發送先前的NAS訊息。在另一個實例中,UE 115-e可以經由發送註冊請求525來重新啟動與基地站105-e-1的註冊程序。在另一個實例中,UE 115-e可以重用先前的安全上下文,並且嘗試和註冊到與當前對其服務的不同的公共陸地行動網路(PLMN)。例如,如在圖5中所示,基地站105-e-1與不同PLMN相關聯,並且UE 115-e可以經由發送註冊請求530來嘗試註冊到該不同PLMN(以具有控制面功能230-c的核心網路130-d的形式)。需要注意的事實是,UE 115-e可以在需要時啟動註冊程序。此外,附著、服務,或TAU請求的完整性驗證失敗會由對UE 115-e服務的核心網路觸發註冊程序。
6 圖示無線設備600的方塊圖,該無線設備600支援根據本案各個態樣的增強的NAS安全。無線設備600可以是參照圖1到圖5描述的UE 115的態樣的實例。無線設備600可以包括接收器605、UE NAS安全管理器610,以及傳輸器615。無線設備600亦可以包括處理器。該等部件中的每一個可以相互通訊。
接收器605可以接收資訊,諸如與各種資訊通道(例如,控制通道、資料通道和與增強NAS安全相關的資訊等)相關聯的封包、使用者資料,或控制資訊。資訊可以被傳送到設備的其他部件。接收器605可以是參照圖9描述的收發機925的態樣的實例。
UE NAS安全管理器610可以向網路傳輸註冊訊息,以建立用於網路和UE之間的NAS訊息的安全連接,該安全連接基於註冊訊息中包括的UE辨識符和UE的安全能力,以及經由該安全連接執行與網路的附著程序。UE NAS安全管理器610亦可以是參照圖9描述的UE NAS安全管理器905的態樣的實例。
傳輸器615可以傳輸從無線設備600的其他部件接收的訊號。在一些實例中,傳輸器615可以與接收器共置於收發機模組中。例如,傳輸器615可以是參照圖9描述的收發機925的態樣的實例。傳輸器615可以包括單個天線,或者傳輸器615可以包括複數個天線。
7 圖示無線設備700的方塊圖,該無線設備700支援根據本案各個態樣的增強的NAS安全。無線設備700可以是參照圖1到圖6描述的無線設備600或UE 115的態樣的實例。無線設備700可以包括接收器705、UE NAS安全管理器710,以及傳輸器725。無線設備700亦可以包括處理器。該等部件中的每一個可以相互通訊。
接收器705可以接收資訊,該資訊可以被傳送到設備的其他部件。接收器705亦可以執行參照圖6的接收器605描述的功能。接收器705可以是參照圖9描述的收發機925的態樣的實例。
UE NAS安全管理器710可以是參照圖6描述的UE NAS安全管理器610的態樣的實例。UE NAS安全管理器710可以包括註冊部件715和附著部件720。UE NAS安全管理器710可以是參照圖9描述的UE NAS安全管理器905的態樣的實例。
註冊部件715可以管理註冊程序,諸如註冊訊息到網路的傳輸,以基於UE辨識符和UE的安全能力來建立用於NAS訊息的安全性。註冊部件715亦可以向網路傳輸第二註冊訊息,以基於第二註冊訊息中包括的UE辨識符和UE的安全能力來建立用於NAS訊息的安全性。此外,註冊部件715可以向不同網路傳輸第二註冊訊息,以基於第二註冊訊息中包括的UE辨識符和UE的安全能力來建立用於NAS訊息的安全性。此外,註冊部件715亦可以協調或保持追蹤UE的註冊狀態,包括UE進入與網路的登出狀態使得網路缺少UE的有效位置或路由資訊,或者UE進入與網路的註冊狀態。
訊息傳遞部件720可以與網路交換各種訊息。在一些情況中,附著請求可以被背負到傳輸給網路的安全模式完成訊息。訊息傳遞部件720可以在登出狀態中傳輸附著請求,該附著請求是基於認證協定來加密和完整性保護的。訊息傳遞部件720可以傳輸附著請求、服務請求,或TAU訊息,在接收到拒絕訊息之後等待預定的時間量,在傳輸第二註冊訊息之前重新傳輸先前傳輸的附著請求、服務請求,或TAU訊息,傳輸附著請求、服務請求,或TAU訊息,以及經由安全連接來執行與網路的附著程序。
傳輸器725可以傳輸從無線設備700的其他部件接收的訊號。在一些實例中,傳輸器725可以與接收器共置於收發機模組中。例如,傳輸器725可以是參照圖9描述的收發機925的態樣的實例。傳輸器725可以利用單個天線,或者傳輸器725可以利用複數個天線。
8 圖示UE NAS安全管理器800的方塊圖,其可以是無線設備600或無線設備700的相應部件的實例。亦即,UE NAS安全管理器800可以是參照圖6和圖7描述的UE NAS安全管理器610或UE NAS安全管理器710的態樣的實例。UE NAS安全管理器800亦可以是參照圖9描述的UE NAS安全管理器905的態樣的實例。
UE NAS安全管理器800可以包括註冊部件805、認證協定部件810、附著部件815、加密部件820、NAS訊息部件825、服務請求部件830、拒絕訊息部件835、閒置模式部件840,以及雜湊部件845。該等模組中的每一個可以直接或間接地相互通訊(例如,經由一或多個匯流排)。
註冊部件805可以進入與網路的登出狀態使得網路缺少UE的有效位置或路由資訊,進入與網路的註冊狀態,向網路傳輸第二註冊訊息以基於第二註冊訊息中包括的UE辨識符和UE的安全能力來建立用於NAS訊息的安全性,向不同網路傳輸第二註冊訊息以基於第二註冊訊息中包括的UE辨識符和UE的安全能力來建立用於NAS訊息的安全性,以及向網路傳輸註冊訊息以建立用於網路和UE之間的NAS訊息的安全連接,該安全連接基於註冊訊息中包括的UE辨識符和UE的安全能力。
認證協定部件810可以回應於註冊訊息建立與網路的認證協定。在一些情況中,建立認證協定包括UE和網路中被配置用於使NAS訊息安全的部件之間的通訊。
附著部件815可以傳輸附著請求,該附著請求基於認證協定來加密和完整性保護,傳輸附著請求、服務請求,或TAU訊息,在接收到拒絕訊息之後等待預定的時間量,在傳輸第二註冊訊息之前重新傳輸先前傳輸的附著請求、服務請求,或TAU訊息,傳輸附著請求、服務請求,或TAU訊息,以及經由安全連接來執行與網路的附著程序。在一些情況中,執行附著程序包括傳輸用於存取網路的附著請求。在一些情況中,附著請求被背負到傳輸給網路的安全模式完成訊息。
加密部件820可以部分地基於認證協定來加密後續NAS訊息。NAS訊息部件825可以在註冊狀態中傳輸具有根據認證協定的加密和完整性保護的後續NAS訊息。
服務請求部件830可以在退出閒置狀態之後傳輸服務請求,其包括服務請求的第一部分和服務請求的第二部分,其中第一部分具有根據認證協定的完整性保護,第二部分具有根據認證協定的加密和完整性保護。在一些情況中,第一部分包括UE辨識符或金鑰集合辨識符中的至少一個。在一些情況中,服務請求是TAU請求。
拒絕訊息部件835可以接收與所傳輸的附著請求、服務請求,或TAU訊息相關聯的拒絕訊息,其中拒絕訊息是沒有根據認證協定進行加密或完整性保護的,以及接收與所傳輸的附著請求、服務請求,或TAU訊息相關聯的拒絕訊息,其中該拒絕訊息是沒有根據認證協定進行加密或完整性保護的。閒置模式部件840可以進入與網路的閒置狀態。
雜湊部件845可以計算註冊請求的雜湊值。雜湊部件845可以決定計算的雜湊值和從網路接收的註冊請求的雜湊值的數值是否匹配。
9 圖示系統900的示意圖,系統900包括支援根據本案各個態樣的增強的NAS安全的設備。例如,系統900可以包括UE 115-f,其可以是如參照圖1、圖2和圖6到圖8所描述的無線設備600、無線設備700或UE 115的實例。
UE 115-f亦可以包括UE NAS安全管理器905、記憶體910、處理器920、收發機925、天線930以及ECC模組935。該等模組中的每一個可以直接或間接地相互通訊(例如,經由一或多個匯流排)。UE NAS安全管理器905可以是如參照圖6到圖8所描述的UE NAS安全管理器的實例。
記憶體910可以包括隨機存取記憶體(RAM)和唯讀記憶體(ROM)。記憶體910可以儲存電腦可讀取、電腦可執行軟體,其包括指令,當該等指令被執行時,導致處理器執行本文描述的各種功能(例如,增強的NAS安全等)。在一些情況中,軟體915可能不被處理器直接執行,而是可以造成電腦(例如,當被編譯和執行時)執行本文描述的功能。處理器920可以包括智慧硬體設備(例如,中央處理單元(CPU)、微控制器、特殊應用積體電路(ASIC)等)。
收發機925可以經由一或多個天線、有線,或無線鏈路與一或多個網路進行雙向通訊,如前述。例如,收發機925可以與基地站105或UE 115進行雙向通訊。收發機925亦可以包括數據機,以用於調制封包和將經調制的封包提供到天線以用於傳輸,以及對從天線接收的封包進行解調。在一些情況中,無線設備可以包括單個天線930。然而,在一些情況中,設備可以具有多於一個的天線930,其能夠同時傳輸或接收多個無線傳輸。
SIM 935可以是IC,其安全地儲存國際行動IMSI和用於辨識和認證UE 115的相關金鑰。SIM 935亦可以包含唯一序列號(例如,ICCID)、安全認證和加密資訊、與本端網路相關的臨時資訊、服務清單、PIN,以及用於PIN解鎖的PUK。在一些情況中,SIM 935可以是嵌入在可移除塑膠卡中的電路。
10 圖示無線設備1000的方塊圖,其支援根據本案各個態樣的增強的NAS安全。無線設備1000可以是參照圖1到圖5描述的諸如核心網路130的網路實體的態樣的實例。無線設備1000可以包括接收器1005、網路NAS安全管理器1010,以及傳輸器1015。無線設備1000亦可以包括處理器。該等部件中的每一個可以相互通訊。
接收器1005可以接收資訊,諸如與各種資訊通道(例如,控制通道、資料通道和與增強NAS安全相關的資訊等)相關聯的封包、使用者資料,或控制資訊。資訊可以被傳送到設備的其他部件。接收器1005可以是參照圖13描述的收發機1325的態樣的實例。
網路NAS安全管理器1010可以從UE接收註冊訊息,以建立用於UE和網路之間的NAS訊息的安全連接,該安全連接基於註冊訊息中包括的UE辨識符和UE的安全能力,以及經由該安全連接執行與UE的附著程序。網路NAS安全管理器1010亦可以是參照圖13描述的網路NAS安全管理器1305的態樣的實例。
傳輸器1015可以傳輸從無線設備1000的其他部件接收的訊號。在一些實例中,傳輸器1015可以與接收器共置於收發機模組中。例如,傳輸器1015可以是參照圖13描述的收發機1325的態樣的實例。傳輸器1015可以包括單個天線,或者傳輸器1015可以包括複數個天線。
11 圖示無線設備1100的方塊圖,該無線設備1100支援根據本案各個態樣的增強的NAS安全。無線設備1100可以是參照圖1到圖5和圖10描述的無線設備1000或諸如核心網路130的網路實體的態樣的實例。無線設備1100可以包括接收器1105、網路NAS安全管理器1110,以及傳輸器1125。無線設備1100亦可以包括處理器。該等部件中的每一個可以相互通訊。
接收器1105可以接收資訊,該資訊可以被傳送到設備的其他部件。接收器1105亦可以執行參照圖10的接收器1005描述的功能。接收器1105可以是參照圖13描述的收發機1325的態樣的實例。
網路NAS安全管理器1110可以是參照圖10描述的網路NAS安全管理器1010的態樣的實例。網路NAS安全管理器1110可以包括註冊部件1115和附著部件1120。網路NAS安全管理器1110可以是參照圖13描述的網路NAS安全管理器1305的態樣的實例。
註冊部件1115可以接收來自UE的註冊訊息以建立用於UE和網路之間的NAS訊息的安全連接,該安全連接基於註冊訊息中包括的UE辨識符和UE的安全能力,以及接收來自UE的第二註冊訊息,以基於第二註冊訊息中包括的UE辨識符和UE的安全能力來建立用於NAS訊息的安全性。
訊息傳遞部件1120可以經由安全連接與UE交換訊息,以及接收附著請求、服務請求,或TAU訊息。在一些情況中,執行附著程序包括接收來自UE的用於存取網路的附著請求。在一些情況中,附著請求被背負到傳輸給網路的安全模式完成訊息。
傳輸器1125可以傳輸從無線設備1100的其他部件接收的訊號。在一些實例中,傳輸器1125可以與接收器共置於收發機模組中。例如,傳輸器1125可以是參照圖13描述的收發機1325的態樣的實例。傳輸器1125可以利用單個天線,或者傳輸器1125可以利用複數個天線。
圖12 圖示網路NAS安全管理器1200的方塊圖,其可以是無線設備1000或無線設備1100的相應部件的實例。亦即,網路NAS安全管理器1200可以是參照圖10和圖11描述的網路NAS安全管理器1010或網路NAS安全管理器1110的態樣的實例。網路NAS安全管理器1200亦可以是參照圖13描述的網路NAS安全管理器1305的態樣的實例。
網路NAS安全管理器1200可以包括註冊部件1205、認證協定部件1210、附著部件1215、加密部件1220、拒絕訊息部件1225和雜湊部件1230。該等模組中的每一個可以直接或間接地相互通訊(例如,經由一或多個匯流排)。
註冊部件1205可以接收來自UE的註冊訊息以建立用於UE和網路之間的NAS訊息的安全連接,該安全連接基於註冊訊息中包括的UE辨識符和UE的安全能力,以及接收來自UE的第二註冊訊息,以基於第二註冊訊息中包括的UE辨識符和UE的安全能力來建立用於NAS訊息的安全性。
認證協定部件1210可以回應於註冊訊息建立與UE的認證協定。附著部件1215可以經由該安全連接執行與UE的附著程序,以及接收附著請求、服務請求,或TAU訊息。在一些情況中,執行附著程序包括接收來自UE的用於存取網路的附著請求。在一些情況中,附著請求被背負到傳輸給網路的安全模式完成訊息。
加密部件1220可以部分地基於認證協定來加密後續NAS訊息。拒絕訊息部件1225可以傳輸與所接收的附著請求、服務請求,或TAU訊息相關聯的拒絕訊息,其中拒絕訊息是未被根據認證協定進行加密或完整性保護的。註冊模組1230可以回應於註冊訊息內包含的請求來決定接收的註冊訊息的雜湊值。
圖13 圖示系統1300的示意圖,系統1300包括支援根據本案各個態樣的增強的NAS安全的設備。例如,系統1300可以包括網路實體1340,其可以是如參照圖1到圖5和圖10到圖12所描述的無線設備1000、無線設備1100或核心網路130的實例。
網路實體1340亦可以包括網路NAS安全管理器1305、記憶體1310、處理器1320、收發機1325、天線1330以及ECC模組1335。該等模組中的每一個可以直接或間接地相互通訊(例如,經由一或多個匯流排)。網路NAS安全管理器1305可以是如參照圖10到圖12所描述的網路NAS安全管理器的實例。
記憶體1310可以包括RAM和ROM。記憶體1310可以儲存電腦可讀取、電腦可執行軟體,其包括指令,當該等指令被執行時,導致處理器執行本文描述的各種功能(例如,增強的NAS安全等)。在一些情況中,軟體1315可能不被處理器直接執行,而是可以造成電腦(例如,當被編譯和執行時)執行本文描述的功能。處理器1320可以包括智慧硬體設備(例如,CPU、微控制器、ASIC等)。
收發機1325可以經由一或多個天線、有線,或無線鏈路與一或多個網路進行雙向通訊,如前述。例如,收發機1325可以與基地站105或UE 115進行雙向通訊。收發機1325亦可以包括數據機,以用於調制封包和將經調制的封包提供到天線以用於傳輸,以及對從天線接收的封包進行解調。
認證部件1335可以執行如本文所述的網路認證和安全程序。
圖14 圖示流程圖,該流程圖說明了用於根據本案各個態樣的增強的NAS安全的方法1400。方法1400的操作可以由參照圖1到圖9描述的UE 115或無線設備600、700或其部件的無線設備來實現。例如,方法1400的操作可以由如本文所描述的UE NAS安全管理器來執行。在一些實例中,無線設備可以執行一組代碼以控制設備的功能單元來執行下文描述的功能。此外或可替換地,無線設備可以使用專用硬體來執行下文描述的功能態樣。
在方塊1405,無線設備可以向網路傳輸註冊訊息,以建立用於網路和無線設備之間的至少NAS訊息的安全連接,該安全連接基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,如上文參照圖2到圖5所描述的。在某些實例中,方塊1405的操作可以由如參照圖7和圖8描述的註冊部件來執行。
在方塊1410,無線設備可以經由安全連接來與網路交換NAS訊息,如上文參照圖2到圖5所描述的。在某些實例中,方塊1410的操作可以由如參照圖7和圖8描述的附著部件來執行,並且可以包括執行附著程序。
圖15 圖示流程圖,該流程圖說明了用於根據本案各個態樣的增強的NAS安全的方法1500。方法1500的操作可以由諸如參照圖1到圖9描述的UE 115或無線設備600、700或其部件的無線設備來實現。例如,方法1500的操作可以由如本文所描述的UE NAS安全管理器來執行。在一些實例中,無線設備可以執行一組代碼以控制設備的功能單元來執行下文描述的功能。此外或可替換地,無線設備可以使用專用硬體來執行下文描述的功能態樣。
在方塊1505,無線設備可以向網路傳輸註冊訊息,以建立用於網路和無線設備之間的NAS訊息的安全連接,該安全連接基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,如上文參照圖2到圖5所描述的。在某些實例中,方塊1505的操作可以由如參照圖7和圖8描述的註冊部件來執行。該註冊訊息可以由在習知NAS連接協定下無線設備向網路正常提供的更少的資訊來構成。
在方塊1510,無線設備可以經由安全連接來執行與網路的附著程序,如上文參照圖2到圖5所描述的。在某些實例中,方塊1510的操作可以由如參照圖7和圖8描述的附著部件來執行。作為附著程序的一部分,無線設備可以傳輸用於存取網路的附著請求,如上文參照圖2到圖5所描述的。在一些情況中,如在方塊1515中,附著請求被傳輸到網路。此舉可以經由將附著請求背負到傳輸給網路的安全模式完成訊息來完成。或者,附著請求可以在無線設備和網路建立安全NAS連接之後發送。此舉可以經由成功的安全模式命令程序來實現。附著請求可以包括服務請求,諸如TAU請求。在完成附著程序之後,無線設備和網路之間的所有後續NAS通訊是被加密的、被完整性保護的,或既是被加密的又是被完整性保護的。
圖16 圖示流程圖,該流程圖說明了用於根據本案各個態樣的增強的NAS安全的方法1600。方法1600的操作可以由諸如參照圖1到圖9描述的UE 115或無線設備600、700或其部件的無線設備來實現。例如,方法1600的操作可以由如本文所描述的UE NAS安全管理器來執行。在一些實例中,無線設備可以執行一組代碼以控制設備的功能單元來執行下文描述的功能。此外或可替換地,無線設備可以使用專用硬體來執行下文描述的功能態樣。
在方塊1605,無線設備可以向網路傳輸註冊訊息,以建立用於網路和無線設備之間的至少NAS訊息的安全連接,該安全連接基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,如上文參照圖2到圖5所描述的。在某些實例中,方塊1605的操作可以由如參照圖7和圖8描述的註冊部件來執行。
在方塊1610,無線設備可以回應於註冊訊息來執行與網路的相互認證和金鑰協商,如上文參照圖2到圖5所描述的。在某些實例中,方塊1610的操作可以由如參照圖7和圖8所描述的認證協定部件來執行。認證協定可以是無線設備和網路之間的認證和金鑰協商。與網路相關聯的被配置用於使NAS訊息安全的部件可以將認證回應發送回到MME或網路中包含金鑰的安全部件。
在方塊1615,UE 115可以部分地基於經由與網路的成功認證建立的金鑰協商來對後續NAS訊息進行加密,如上文參照圖2到圖5所描述的。在某些實例中,方塊1615的操作可以由如參照圖7和圖8所描述的加密部件來執行。該等NAS訊息可以是在相同安全上下文下加密的,即使無線設備改變了操作模式或者無線設備接收了未保護的NAS附著、服務,或TAU拒絕訊息。
在方塊1620,無線設備可以經由安全連接執行與網路的附著程序,如上文參照圖2到圖5所描述的。在某些實例中,方塊1620的操作可以由如參照圖7和圖8所描述的附著部件來執行。在完成附著程序之後,無線設備和網路之間的所有後續NAS通訊是被加密的、被完整性保護的,或既是被加密的又是被完整性保護的。
圖17 圖示流程圖,該流程圖說明了用於根據本案各個態樣的增強的NAS安全的方法1700。方法1700的操作可以由諸如參照圖1到圖5和圖10到圖13描述的核心網路130或無線設備1000、1100或其部件的設備來實現。例如,方法1700的操作可以由如本文所描述的網路NAS安全管理器來執行。在一些實例中,核心網路130可以執行一組代碼以控制設備的功能單元來執行下文描述的功能。此外或可替換地,核心網路130可以使用專用硬體來執行下文描述的功能態樣。
在方塊1705,核心網路130可以接收來自無線設備的註冊訊息,以建立用於無線設備和網路之間的至少NAS訊息的安全連接,該安全連接基於註冊訊息中包括的無線設備辨識符和無線設備的安全能力,如上文參照圖2到圖5所描述的。在某些實例中,方塊1705的操作可以由如參照圖11和圖12描述的註冊部件來執行。
在方塊1710,核心網路130可以經由安全連接來與無線設備交換NAS訊息,如上文參照圖2到圖5所描述的。在某些實例中,方塊1710的操作可以由如參照圖11和圖12描述的附著部件來執行,並且可以包括執行附著程序。在完成附著程序之後,無線設備和網路之間的所有後續NAS通訊是被加密的、被完整性保護的,或既是被加密的又是被完整性保護的。
應當注意,該等方法描述了可能的實現,並且操作和步驟可以被重新安排或修改使得其他實現是可能的。在一些實例中,方法的兩個或兩個以上中的態樣可以被組合。例如,每一個方法的態樣可以包括其他方法的步驟或態樣,或本文描述的其他步驟或技術。因此,本案的態樣可以提供增強的NAS安全。
提供本說明書是為了使熟習此項技術者能夠進行或使用本案。對本案內容的各種修改對熟習此項技術者而言是顯而易見的,並且本文規定的一般原則可以應用於其他變形而沒有偏離本案的範疇。因此,本案不限於本文所描述的實例和設計,而是與本案的原則和新穎特徵的最大範疇相一致。
本文描述的功能可以在硬體、處理器執行的軟體、韌體或其任意組合中實現。若在處理器執行的軟體中實現,該等功能可以儲存在電腦可讀取媒體上,或者作為一或多個指令和代碼來經由電腦可讀取媒體傳輸。其他實例和實現在本案和所附請求項的範疇內。例如,由於軟體的性質,上文描述的功能可以使用處理器執行的軟體、硬體、韌體、硬體線路,或其任意組合來實現。實現該等功能的特徵亦可以實體性的位於各個不同位置,包括分散式,使得部分功能實現在不同(實體上的)位置。此外,如本文所使用的,包括在請求項中,在項目清單(例如,前面有諸如「下列中的至少一個」或「一或多個」此種詞語的項目清單)中使用的「或」表示包含性清單,使得例如A、B或C中的至少一個的清單含義是A或B或C或AB或AC或BC或ABC(亦即A和B和C)。
電腦可讀取媒體包括非暫時性電腦儲存媒體和通訊媒體,通訊媒體包括促進將電腦程式從一個位置傳輸到另一位置的任何媒體。非暫時性儲存媒體可以是能夠被通用或專用電腦存取的任何可用媒體。舉例而言而非限制性地,非暫時性電腦可讀取媒體可以包括RAM、ROM、電子可抹除可程式設計唯讀記憶體(EEPROM)、壓縮光碟(CD)ROM或其他光碟儲存單元、磁碟儲存單元或其他磁性儲存設備,或可以用來攜帶或儲存期望的指令或資料結構形式的程式碼構件的任何其他非暫時性媒體,該非暫時性媒體能夠被通用或專用電腦,或通用或專用處理器來存取。此外,任何連接被適當地稱為電腦可讀取媒體。例如,若使用同軸電纜、光纖電纜、雙絞線對、數位用戶線路(DSL),或諸如紅外、無線電和微波的無線技術來從網站、伺服器或其他遠端源傳輸軟體,則同軸電纜、光纖電纜、雙絞線對、DSL,或諸如紅外、無線電和微波的無線技術亦包括在媒體的定義中。如本文所使用的磁碟和光碟包括CD、雷射光碟、光碟、數位多功能光碟(DVD)、軟碟以及藍光光碟,其中磁碟通常磁性的再現資料,而光碟利用雷射光學的再現資料。以上內容的組合亦包括在電腦可讀取媒體的範疇內。
本文描述的技術可以用於各種無線通訊系統,諸如CDMA、TDMA、FDMA、OFDMA、單載波分頻多工存取(SC-FDMA),以及其他系統。術語「系統」和「網路」經常可互換使用。CDMA系統可以實現諸如CDMA 2000、通用陸地無線電存取(UTRA)等的無線電技術。CDMA 2000包括IS-2000、IS-95和IS-856標準。IS-2000版本0和A通常被稱為CDMA 2000 1X、1X等。IS-856(TIA-856)通常被稱為CDMA 2000 1xEV-DO高速封包資料(HRPD)等。UTRA包括寬頻CDMA(WCDMA)和CDMA的其他變體。TDMA系統可以實現諸如(行動通訊全球系統(GSM))的無線電技術。OFDMA系統可以實現諸如超行動寬頻(UMB)、進化UTRA(E-UTRA)、IEEE 802.11、IEEE 802.16(WiMAX)、IEEE 802.20、Flash-OFDM等的無線電技術。UTRA和E-UTRA是通用行動電信系統(通用行動電信系統(UMTS))的一部分。3GPP LTE和LTE增強(LTE-A)是UMTS的新版本,其使用E-UTRA。在名為「第三代合作夥伴計劃」(3GPP)的組織的文件中描述了UTRA、E-UTRA、UMTS、LTE、LTE-A和GSM。在名為「第三代合作夥伴計劃2」(3GPP2)的組織的文件中描述了CDMA 2000和UMB。本文描述的技術可以用於上文提到的系統和無線電技術以及其他系統和無線電技術。然而,本說明書描述了LTE系統以作為實例,並且在上文大部分描述中使用了LTE技術,儘管該等技術可適用於LTE應用之外。
在LTE/LTE-A網路中,包括本文描述的網路,術語進化節點B(eNB)可以通常用來描述基地站。本文描述的一或多個無線通訊系統可以包括異構LTE/LTE-A網路,在該網路中不同類型的eNB提供了對各種地理區域的覆蓋。例如,每個eNB或基地站可以針對巨集細胞、小細胞,或其他類型的細胞提供通訊覆蓋。術語「細胞」是3GPP術語,基於上下文,其可以用來描述基地站、與基地站相關聯的載波或分量載波(CC),或載波或基地站的覆蓋區域(例如,扇區等)。
基地站可以包括或者可以被熟習此項技術者稱為收發機基地站、無線電基地站、存取點(AP)、無線電收發機、節點B、進化節點B(eNB)、家庭節點B、家庭進化節點B,或一些其他適當術語。基地站的地理覆蓋區域可以被分為僅構成一部分覆蓋區域的扇區。本文描述的一或多個無線通訊系統可以包括不同類型的基地站(例如,巨集基地站或小細胞基地站)。本文描述的UE能夠與各種類型的基地站和網路設備通訊,包括巨集eNB、小細胞eNB、中繼基地站等。對於不同的技術可能存在重疊的地理覆蓋區域。在一些情況中,不同覆蓋區域可以與不同通訊技術相關聯。在一些情況中,一種通訊技術的覆蓋區域可以與關聯於另一種技術的覆蓋區域重疊。不同技術可以與相同基地站或不同基地站相關聯。
巨集細胞通常覆蓋相對大的地理區域(例如,半徑為數公里),並且可以允許具有網路提供商的服務訂閱的UE進行非受限存取。小細胞是功率較低的基地站,相比巨集細胞,該功率較低基地站可以操作在與巨集細胞相同或不同(例如,經授權、未授權等)的頻帶。根據各種實例,小細胞可以包括微微細胞、毫微微細胞,以及微細胞。例如,微微細胞可以覆蓋小地理區域,並且可以允許具有網路提供商的服務訂閱的UE進行非受限存取。毫微微細胞亦可以覆蓋小地理區域(例如,家庭),並且可以提供與該毫微微細胞具有關聯的UE(例如,封閉用戶群組(CSG)中的UE、家庭使用者的UE等)的受限存取。巨集細胞的eNB可以稱為巨集eNB。小細胞的eNB可以稱為小細胞eNB、微微eNB、毫微微eNB或家庭eNB。eNB可以支援一或多個(例如,兩個、三個、四個等)細胞(例如,分量載波(CC))。UE能夠與各種類型的基地站和網路設備通訊,包括巨集eNB、小細胞eNB、中繼基地站等。
本文描述的一或多個無線通訊系統可以支援同步或非同步操作。對於同步操作,基地站可以具有相類似的訊框時序,並且來自不同基地站的傳輸可以在時間上近似對準。對於非同步操作,基地站可以具有不同的訊框時序,並且來自不同基地站的傳輸可能在時間上是不對準的。本文描述的技術可以用於同步或非同步操作。
本文描述的DL傳輸亦可以稱為前向鏈路傳輸,而UL傳輸亦可以被稱為反向鏈路傳輸。本文描述的各個通訊鏈路,例如包括圖1和圖2的無線通訊系統100和200,可以包括一或多個載波,其中每個載波可以是構成多個次載波的訊號(例如,不同頻率的波形訊號)。每個調制訊號可以在不同次載波上發送,並且可以攜帶控制資訊(例如,參考訊號、控制通道等)、管理負擔資訊、使用者資料等。本文描述的通訊鏈路(例如,圖1的通訊鏈路125)可以使用分頻雙工(FDD)(例如,使用成對的頻譜資源)或分時雙工(TDD)操作(例如,使用不成對的頻譜資源)來傳輸雙向通訊。可以針對FDD(例如,訊框結構類型1)和TDD(例如,訊框結構類型2)定義訊框結構。
因此,本案的態樣可以提供增強的NAS安全。應當注意,該等方法描述了可能的實現,並且該等操作和步驟可以重新安排或修改,使得其他實現是可能的。在一些實例中,方法的兩個或兩個以上的態樣可以組合。
結合本案描述的各種說明性方塊和模組可以利用以下部件來實現或執行:通用處理器、數位訊號處理器(DSP)、ASIC、現場可程式設計閘陣列(FPGA)或其他可程式設計邏輯設備、個別閘門或電晶體邏輯、個別硬體部件,或被設計為執行本文描述的功能的其任意組合。通用處理器可以是微處理器,作為替換,處理器可以是任何習知處理器、控制器、微控制器,或狀態機。處理器亦可以實現為計算設備的組合(例如,DSP和微處理器的組合、多個微處理器、一或多個微處理器結合DSP核心,或任何其他此種配置)。因此,本文描述的功能可以由一或多個其他處理單元(或核心)在至少一個IC上執行。在各種實例中,可以使用不同類型的IC(例如,結構/平臺ASIC、FPGA,或另一半定制IC),其可以按照本領域已知的任何方式進行程式設計。每個單元的功能亦可以完整的或部分的利用記憶體中嵌入的指令來實現,該等指令被格式化為由一或多個通用或專用處理器來執行。
在附圖中,相似部件或特徵可以具有相同的參考標記。此外,相同類型的各個部件可以經由在參考標記後的破折號和第二標記來區分,該第二標記區分相似的部件。若在說明書中僅使用了第一參考標記,則該描述適用於具有相同第一參考標記的相似部件中的任意部件,而與第二參考標記無關。
100‧‧‧無線通訊系統
105‧‧‧基地站
105-a‧‧‧基地站
105-b‧‧‧基地站
105-c-1‧‧‧基地站
105-c-2‧‧‧基地站
105-d-1‧‧‧基地站
105-e-1‧‧‧基地站
110‧‧‧地理覆蓋區域
115‧‧‧UE
115-a‧‧‧UE
115-b‧‧‧UE
115-c-1‧‧‧UE
115-c-2‧‧‧UE
115-d-1‧‧‧UE
115-d-2‧‧‧UE
115-e‧‧‧UE
125‧‧‧通訊鏈路
130‧‧‧核心網路
130-a‧‧‧核心網路
130-b-1‧‧‧核心網路
130-b-2‧‧‧核心網路
130-c-1‧‧‧核心網路
130-c-2‧‧‧核心網路
130-d‧‧‧核心網路
132‧‧‧回載鏈路
134‧‧‧回載鏈路
200‧‧‧流程圖
205‧‧‧未保護的NAS訊息
210‧‧‧拒絕訊息
230‧‧‧控制面功能
230-a-1‧‧‧控制面功能
230-a-2‧‧‧控制面功能
230-b-1‧‧‧控制面功能
230-b-2‧‧‧控制面功能
230-c‧‧‧控制面功能
250‧‧‧流程圖
255‧‧‧未保護NAS訊息
260‧‧‧訊息操作步驟
265‧‧‧經操作的NAS訊息
300‧‧‧流程圖
305‧‧‧註冊請求
310‧‧‧轉發的註冊請求訊息
315‧‧‧認證和金鑰協商(AKA)協定
320‧‧‧NAS安全模式命令(SMC)程序
325‧‧‧附著請求
330‧‧‧附著請求
335-a‧‧‧存取層(AS)SMC
335-b‧‧‧AS SMC
340‧‧‧安全通訊
350‧‧‧流程圖
355‧‧‧註冊請求
360‧‧‧轉發的註冊請求訊息
365‧‧‧認證和金鑰協商(AKA)協定
370‧‧‧NAS SMC程序
380‧‧‧AS SMC
385‧‧‧安全通訊
400‧‧‧流程圖
405‧‧‧方塊
410‧‧‧附著請求
450‧‧‧流程圖
455‧‧‧方塊
460‧‧‧NAS訊息
465‧‧‧方塊
470-a‧‧‧服務請求
470-b‧‧‧TAU請求
500‧‧‧流程圖
505‧‧‧NAS訊息
510‧‧‧未保護的拒絕訊息
515‧‧‧預定的等待時段
520‧‧‧NAS訊息
525‧‧‧註冊請求
530‧‧‧註冊請求
600‧‧‧無線設備
605‧‧‧接收器
610‧‧‧UE NAS安全管理器
615‧‧‧傳輸器
700‧‧‧無線設備
705‧‧‧接收器
710‧‧‧UE NAS安全管理器
715‧‧‧註冊部件
720‧‧‧附著部件
725‧‧‧傳輸器
800‧‧‧UE NAS安全管理器
805‧‧‧註冊部件
810‧‧‧認證協定部件
815‧‧‧附著部件
820‧‧‧加密部件
825‧‧‧NAS訊息部件
830‧‧‧服務請求部件
835‧‧‧拒絕訊息部件
840‧‧‧閒置模式部件
845‧‧‧雜湊部件
900‧‧‧系統
905‧‧‧UE NAS安全管理器
910‧‧‧記憶體
915‧‧‧軟體
920‧‧‧處理器
925‧‧‧收發機
930‧‧‧天線
935‧‧‧ECC模組
1000‧‧‧無線設備
1005‧‧‧接收器
1010‧‧‧網路NAS安全管理器
1015‧‧‧傳輸器
1100‧‧‧無線設備
1105‧‧‧接收器
1110‧‧‧網路NAS安全管理器
1115‧‧‧註冊部件
1120‧‧‧附著部件
1125‧‧‧傳輸器
1200‧‧‧網路NAS安全管理器
1205‧‧‧註冊部件
1210‧‧‧認證協定部件
1215‧‧‧附著部件
1220‧‧‧加密部件
1225‧‧‧拒絕訊息部件
1230‧‧‧雜湊部件
1300‧‧‧系統
1305‧‧‧網路NAS安全管理器
1310‧‧‧記憶體
1315‧‧‧軟體
1320‧‧‧處理器
1325‧‧‧收發機
1335‧‧‧ECC模組
1340‧‧‧網路實體
1400‧‧‧方法
1405‧‧‧方塊
1410‧‧‧方塊
1500‧‧‧方法
1505‧‧‧方塊
1510‧‧‧方塊
1515‧‧‧方塊
1600‧‧‧方法
1605‧‧‧方塊
1610‧‧‧方塊
1615‧‧‧方塊
1620‧‧‧方塊
1700‧‧‧方法
1705‧‧‧方塊
1710‧‧‧方塊
圖1圖示無線通訊系統的實例,該無線通訊系統支援根據本案態樣的增強的非存取層(NAS)安全;
圖2A和圖2B圖示流程圖,該流程圖說明了傳輸未保護的NAS訊息中的問題;
圖3A和圖3B圖示流程圖,該流程圖說明了根據本案的態樣用於保護使用者設備(UE)發送的NAS訊息的安全連接協定;
圖4A和圖4B圖示流程圖,該流程圖說明了根據本案的態樣在不同模式中的後續NAS訊息保護的實例;
圖5圖示流程圖,該流程圖說明了根據本案的態樣當完整性驗證失敗之後重新註冊的程序;
圖6到圖8圖示無線設備的方塊圖,該無線設備支援根據本案態樣增強的NAS安全;
圖9圖示包括UE的系統的方塊圖,該UE支援根據本案的態樣的增強的NAS安全;
圖10到圖12圖示無線設備的方塊圖,該無線設備支援根據本案的態樣的增強的NAS安全;
圖13圖示網路設備的方塊圖,該網路設備支援根據本案的態樣的增強的NAS安全;及
圖14到圖17圖示根據本案的態樣用於增強的NAS安全的方法。
國內寄存資訊 (請依寄存機構、日期、號碼順序註記) 無
國外寄存資訊 (請依寄存國家、機構、日期、號碼順序註記) 無
105-c-1‧‧‧基地站
115-c-1‧‧‧UE
130-b-1‧‧‧核心網路
230-a-1‧‧‧控制面功能
300‧‧‧流程圖
305‧‧‧註冊請求
310‧‧‧轉發的註冊請求訊息
315‧‧‧認證和金鑰協商(AKA)協定
320‧‧‧NAS安全模式命令(SMC)程序
325‧‧‧附著請求
330‧‧‧附著請求
335-a‧‧‧存取層(AS)SMC
335-b‧‧‧AS SMC
340‧‧‧安全通訊

Claims (50)

  1. 一種無線通訊的方法,包括以下步驟: 向一網路傳輸一註冊訊息,以建立用於該網路和一無線設備之間的至少非存取層(NAS)訊息的一安全連接,該安全連接至少部分地基於該註冊訊息中包括的一無線設備辨識符和該無線設備的安全能力;及經由該安全連接與該網路交換NAS訊息。
  2. 根據請求項1之方法,其中交換NAS訊息之步驟包括以下步驟: 傳輸用於存取該網路的一附著請求。
  3. 根據請求項2之方法,其中該附著請求被背負到傳輸到該網路的一安全模式完成訊息。
  4. 根據請求項1之方法,其中該註冊訊息是一附著請求訊息、一追蹤區域更新(TAU)請求訊息,或一服務請求訊息。
  5. 根據請求項1之方法,亦包括以下步驟: 回應於該註冊訊息,執行與該網路的一相互認證和金鑰協商;及部分地基於作為與該網路的一成功認證的一結果而建立的該金鑰協商來加密後續NAS訊息。
  6. 根據請求項5之方法,亦包括以下步驟: 進入與該網路的一登出狀態;及在該登出狀態中時,傳輸一附著請求,該附著請求是在該相互認證和金鑰協商下被加密和完整性保護的。
  7. 根據請求項5之方法,亦包括以下步驟: 進入與該網路的一註冊狀態;及在該註冊狀態中時,採用根據該相互認證和金鑰協商的加密和完整性保護來傳輸該等後續NAS訊息。
  8. 根據請求項5之方法,亦包括以下步驟: 進入與該網路的一閒置狀態;及當退出該閒置狀態之後,傳輸一服務請求,該服務請求包括該服務請求的一第一部分和該服務請求的一第二部分,該第一部分具有基於在與該網路的該成功認證期間建立的一安全上下文的完整性保護,該第二部分具有基於該安全上下文的加密和完整性保護。
  9. 根據請求項8之方法,其中該第一部分包括該無線設備辨識符或一金鑰集合辨識符中的至少一個。
  10. 根據請求項5之方法,亦包括以下步驟: 傳輸一附著請求、一服務請求,或一追蹤區域更新(TAU)訊息;接收與所傳輸的該附著請求、服務請求,或TAU訊息相關聯的一拒絕訊息,其中該拒絕訊息未基於在與該網路的該成功認證期間建立的一安全上下文來被加密或完整性保護;及向該網路傳輸一第二註冊訊息,以基於該第二註冊訊息中包括的該無線設備辨識符和該無線設備的安全能力來與該網路建立安全性。
  11. 根據請求項10之方法,亦包括以下步驟: 在接收到該拒絕訊息之後,等待一預定的時間量;及在傳輸該第二註冊訊息之前,重新傳輸先前傳輸的該附著請求、服務請求,或TAU訊息。
  12. 根據請求項5之方法,亦包括以下步驟: 傳輸一附著請求、一服務請求,或一追蹤區域更新(TAU)訊息;接收與所傳輸的該附著請求、服務請求,或TAU訊息相關聯的一拒絕訊息,其中該拒絕訊息未基於在與該網路的該成功認證期間建立的一安全上下文來被加密或完整性保護;及向一不同的網路傳輸一第二註冊訊息,以基於該第二註冊訊息中包括的該無線設備辨識符和該無線設備的安全能力來與該網路建立安全性。
  13. 根據請求項5之方法,其中執行該相互認證和金鑰協商之步驟包括以下步驟: 在該無線設備和該網路的一部件之間進行通訊,該網路的該部件被配置用於使NAS訊息安全。
  14. 根據請求項1之方法,亦包括以下步驟: 計算該註冊請求的一雜湊值;在所傳輸的該註冊訊息之後,接收來自該網路的該註冊請求的一雜湊值;及決定計算的該雜湊值和接收的該雜湊值的該等數值是否匹配。
  15. 根據請求項14之方法,亦包括以下步驟: 當決定計算的和接收的該等雜湊值數值不匹配之後,重新傳輸該註冊訊息內包含的至少一個資訊單元。
  16. 根據請求項14之方法,亦包括以下步驟: 當決定計算的和接收的該等雜湊值數值不匹配之後,向該網路重新傳輸該註冊訊息。
  17. 一種無線通訊的方法,包括以下步驟: 接收來自一無線設備的一註冊訊息,以建立用於該無線設備和一網路之間的至少非存取層(NAS)訊息的一安全連接,該安全連接至少部分地基於該註冊訊息中包括的一無線設備辨識符和該無線設備的安全能力;及經由該安全連接與該無線設備交換NAS訊息。
  18. 根據請求項17之方法,其中交換NAS訊息之步驟包括以下步驟: 接收來自該無線設備的用於存取該網路的一附著請求。
  19. 根據請求項18之方法,其中該附著請求被背負到傳輸到該網路的一安全模式完成訊息。
  20. 根據請求項17之方法,其中該註冊訊息是一附著請求訊息、一追蹤區域更新(TAU)請求訊息,或一服務請求訊息。
  21. 根據請求項17之方法,亦包括以下步驟: 回應於該註冊訊息,執行與該無線設備的一相互認證和金鑰協商;及部分地基於作為與該無線設備的一成功認證的一結果而建立的該金鑰協商來加密後續NAS訊息。
  22. 根據請求項21之方法,亦包括以下步驟: 接收一附著請求、一服務請求,或一追蹤區域更新(TAU)訊息;傳輸與所接收的該附著請求、服務請求,或TAU訊息相關聯的一拒絕訊息,其中該拒絕訊息未基於在與該無線設備的該成功認證期間建立的一安全上下文來被加密或完整性保護;及接收來自該無線設備的一第二註冊訊息,以基於該第二註冊訊息中包括的該無線設備辨識符和該無線設備的安全能力來與該無線設備建立安全性。
  23. 根據請求項21之方法,其中執行該相互認證和金鑰協商之步驟包括以下步驟: 在該無線設備和該網路的一部件之間進行通訊,該網路的該部件被配置用於使NAS訊息安全。
  24. 根據請求項17之方法,亦包括以下步驟: 回應於該註冊訊息內包含的一請求,決定所接收的該註冊訊息的一雜湊值;及向該無線設備傳輸該雜湊值。
  25. 一種用於無線通訊的裝置,包括: 用於向一網路傳輸一註冊訊息以建立用於該網路和一無線設備之間的至少非存取層(NAS)訊息的一安全連接的構件,該安全連接至少部分地基於該註冊訊息中包括的一無線設備辨識符和該無線設備的安全能力;及用於經由該安全連接與該網路交換NAS訊息的構件。
  26. 一種用於無線通訊的裝置,包括: 用於接收來自一設備的一註冊訊息以建立用於該無線設備和一網路之間的至少非存取層(NAS)訊息的一安全連接的構件,該安全連接至少部分地基於該註冊訊息中包括的一無線設備辨識符和該無線設備的安全能力;及用於經由該安全連接與該無線設備交換NAS訊息的構件。
  27. 一種用於無線通訊的裝置,包括: 一處理器;記憶體,其與該處理器電子通訊;及指令,其儲存在該記憶體中並且在被該處理器執行時可操作以使得該裝置:向一網路傳輸一註冊訊息,以建立用於該網路和一無線設備之間的至少非存取層(NAS)訊息的一安全連接,該安全連接至少部分地基於該註冊訊息中包括的一無線設備辨識符和該無線設備的安全能力;及經由該安全連接與該網路交換NAS訊息。
  28. 根據請求項27之裝置,其中可操作以使得該裝置交換NAS訊息的指令包括可操作以使得該裝置進行以下操作的指令: 傳輸用於存取該網路的一附著請求。
  29. 根據請求項28之裝置,其中該附著請求被背負到傳輸到該網路的一安全模式完成訊息。
  30. 根據請求項27之裝置,其中該註冊訊息是一附著請求訊息、一追蹤區域更新(TAU)請求訊息,或一服務請求訊息。
  31. 根據請求項27之裝置,其中該等指令可操作以使得該處理器: 回應於該註冊訊息,執行與該網路的一相互認證和金鑰協商;及部分地基於作為與該網路的一成功認證的一結果而建立的該金鑰協商來加密後續NAS訊息。
  32. 根據請求項31之裝置,其中該等指令可操作以使得該處理器: 進入與該網路的一登出狀態;及在該登出狀態中時,傳輸一附著請求,該附著請求是在該相互認證和金鑰協商下被加密和完整性保護的。
  33. 根據請求項31之裝置,其中該等指令可操作以使得該處理器: 進入與該網路的一註冊狀態;及在該註冊狀態中時,採用根據該相互認證和金鑰協商的加密和完整性保護來傳輸該等後續NAS訊息。
  34. 根據請求項31之裝置,其中該等指令可操作以使得該處理器: 進入與該網路的一閒置狀態;及當退出該閒置狀態之後,傳輸一服務請求,該服務請求包括該服務請求的一第一部分和該服務請求的一第二部分,該第一部分具有基於在與該網路的該成功認證期間建立的一安全上下文的完整性保護,該第二部分具有基於該安全上下文的加密和完整性保護。
  35. 根據請求項34之裝置,其中該第一部分包括該無線設備辨識符或一金鑰集合辨識符中的至少一個。
  36. 根據請求項31之裝置,其中該等指令可操作以使得該處理器: 傳輸一附著請求、一服務請求,或一追蹤區域更新(TAU)訊息;接收與所傳輸的該附著請求、服務請求,或TAU訊息相關聯的一拒絕訊息,其中該拒絕訊息未基於在與該網路的該成功認證期間建立的一安全上下文來被加密或完整性保護;及向該網路傳輸一第二註冊訊息,以基於該第二註冊訊息中包括的該無線設備辨識符和該無線設備的安全能力來與該網路建立安全性。
  37. 根據請求項36之裝置,其中該等指令可操作以使得該處理器: 在接收到該拒絕訊息之後,等待一預定的時間量;及在傳輸該第二註冊訊息之前,重新傳輸先前傳輸的該附著請求、服務請求,或TAU訊息。
  38. 根據請求項31之裝置,其中該等指令可操作以使得該處理器: 傳輸一附著請求、一服務請求,或一追蹤區域更新(TAU)訊息;接收與所傳輸的該附著請求、服務請求,或TAU訊息相關聯的一拒絕訊息,其中該拒絕訊息未基於在與該網路的該成功認證期間建立的一安全上下文來被加密或完整性保護;及向一不同的網路傳輸一第二註冊訊息,以基於該第二註冊訊息中包括的該無線設備辨識符和該無線設備的安全能力來與該網路建立安全性。
  39. 根據請求項31之裝置,其中可操作以使得該裝置執行該相互認證和金鑰協商的該等指令包括可操作以使得該裝置進行以下操作的指令: 在該無線設備和該網路的一部件之間進行通訊,該網路的該部件被配置用於使NAS訊息安全。
  40. 根據請求項27之裝置,其中該等指令可操作以使得該處理器: 計算該註冊請求的一雜湊值;在所傳輸的該註冊訊息之後,接收來自該網路的該註冊請求的一雜湊值;及決定計算的該雜湊值和接收的該雜湊值的該等數值是否匹配。
  41. 根據請求項40之裝置,其中該等指令可操作以使得該處理器: 當決定計算的和接收的該等雜湊值數值不匹配之後,重新傳輸該註冊訊息內包含的至少一個資訊單元。
  42. 根據請求項40之裝置,其中該等指令可操作以使得該處理器: 當決定計算的和接收的該等雜湊值數值不匹配之後,向該網路重新傳輸該註冊訊息。
  43. 一種用於無線通訊的裝置,包括: 一處理器;記憶體,其與該處理器電子通訊;及指令,其儲存在該記憶體中並且在被該處理器執行時可操作以使得該裝置:接收來自一無線設備的一註冊訊息,以建立用於該無線設備和一網路之間的至少非存取層(NAS)訊息的一安全連接,該安全連接至少部分地基於該註冊訊息中包括的一無線設備辨識符和該無線設備的安全能力;及經由該安全連接與該無線設備交換NAS訊息。
  44. 根據請求項43之裝置,其中可操作以使得該裝置交換NAS訊息的該等指令包括可操作以使得該裝置進行以下操作的指令: 接收來自該無線設備的用於存取該網路的一附著請求。
  45. 根據請求項44之裝置,其中該附著請求被背負到傳輸到該網路的一安全模式完成訊息。
  46. 根據請求項43之裝置,其中該註冊訊息是一附著請求訊息、一追蹤區域更新(TAU)請求訊息,或一服務請求訊息。
  47. 根據請求項43之裝置,其中該等指令可操作以使得該處理器: 回應於該註冊訊息,執行與該無線設備的一相互認證和金鑰協商;及部分地基於作為與該無線設備的一成功認證的一結果而建立的該金鑰協商來加密後續NAS訊息。
  48. 根據請求項47之裝置,其中該等指令可操作以使得該處理器: 接收一附著請求、一服務請求,或一追蹤區域更新(TAU)訊息;傳輸與所接收的該附著請求、服務請求,或TAU訊息相關聯的一拒絕訊息,其中該拒絕訊息未基於在與該無線設備的該成功認證期間建立的一安全上下文來被加密或完整性保護;及接收來自該無線設備的一第二註冊訊息,以基於該第二註冊訊息中包括的該無線設備辨識符和該無線設備的安全能力來與該無線設備建立安全性。
  49. 根據請求項47之裝置,其中可操作以使得該裝置執行該相互認證和金鑰協商的該等指令包括可操作以使得該裝置進行以下操作的指令: 在該無線設備和該網路的一部件之間進行通訊,該網路的該部件被配置用於使NAS訊息安全。
  50. 根據請求項49之裝置,其中該等指令可操作以使得該處理器: 回應於該註冊訊息內包含的一請求,決定所接收的該註冊訊息的一雜湊值;及向該無線設備傳輸該雜湊值。
TW106108431A 2016-04-27 2017-03-15 無線通訊的方法、用於無線通訊的裝置以及用於執行該方法的電腦程式軟體 TWI724132B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201662328430P 2016-04-27 2016-04-27
US62/328,430 2016-04-27
US15/286,002 US10334435B2 (en) 2016-04-27 2016-10-05 Enhanced non-access stratum security
US15/286,002 2016-10-05

Publications (2)

Publication Number Publication Date
TW201739276A true TW201739276A (zh) 2017-11-01
TWI724132B TWI724132B (zh) 2021-04-11

Family

ID=60159223

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106108431A TWI724132B (zh) 2016-04-27 2017-03-15 無線通訊的方法、用於無線通訊的裝置以及用於執行該方法的電腦程式軟體

Country Status (10)

Country Link
US (2) US10334435B2 (zh)
EP (1) EP3449608B1 (zh)
CN (2) CN109076079B (zh)
AU (1) AU2017258596B2 (zh)
BR (1) BR112018072027A2 (zh)
CA (1) CA3017611A1 (zh)
ES (1) ES2863310T3 (zh)
SG (1) SG11201807644TA (zh)
TW (1) TWI724132B (zh)
WO (1) WO2017189139A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110393022A (zh) * 2018-02-22 2019-10-29 联发科技(新加坡)私人有限公司 移动通信中系统间切换的追踪区域更新进程改善
TWI833949B (zh) * 2019-04-26 2024-03-01 美商高通公司 使用存取層級安全模式命令之系統資訊修改之偵測

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10334435B2 (en) 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security
CN106896356B (zh) 2016-08-17 2019-11-19 阿里巴巴集团控股有限公司 确定距离变化的方法、位置提示方法及其装置和系统
WO2018089442A2 (en) * 2016-11-09 2018-05-17 Intel IP Corporation Ue and devices for detach handling
CN109756451B (zh) * 2017-11-03 2022-04-22 华为技术有限公司 一种信息交互方法及装置
CN109788474A (zh) * 2017-11-14 2019-05-21 华为技术有限公司 一种消息保护的方法及装置
HUE059620T2 (hu) * 2018-02-19 2022-12-28 Ericsson Telefon Ab L M A különbözõ vezeték nélküli kommunikációs rendszerek közötti együttmûködés és/vagy mobilitás támogatása
WO2019170104A1 (en) * 2018-03-06 2019-09-12 Mediatek Singapore Pte. Ltd. Apparatuses and methods for protection of an intial non-access stratum (nas) message
US10939280B2 (en) * 2018-04-05 2021-03-02 Qualcomm Incorporated Optimization of user equipment radio capability signaling
KR102425582B1 (ko) * 2018-05-11 2022-07-26 삼성전자주식회사 무선통신 시스템에서 정보 보호 방법 및 장치
CN110536415B (zh) * 2018-05-23 2020-11-20 大唐移动通信设备有限公司 一种nas消息的处理方法、集群终端和集群核心网
CN110945851A (zh) * 2018-05-29 2020-03-31 联发科技(新加坡)私人有限公司 第五代移动通信中恶意小区的检测
EP3576366B1 (en) * 2018-05-29 2021-06-16 EXFO Oy Method and fake base station for detecting subscriber identity
KR102601585B1 (ko) 2018-09-24 2023-11-13 노키아 테크놀로지스 오와이 Nas 메시지의 보안 보호를 위한 시스템 및 방법
US20210297849A1 (en) * 2018-10-03 2021-09-23 Sony Corporation Method for identifying terminal capabilities in a wireless communication system
CN112806044B (zh) * 2018-12-06 2023-06-13 深圳市欢太科技有限公司 伪基站的识别方法、装置、移动终端及存储介质
US10609667B1 (en) * 2019-01-28 2020-03-31 Verizon Patent And Licensing Inc. System and method for delivery of end device policies during registration procedure
US11159944B2 (en) 2019-02-21 2021-10-26 T-Mobile Usa, Inc. Wireless-network attack detection
WO2020173462A1 (en) * 2019-02-26 2020-09-03 Mediatek Singapore Pte. Ltd. Apparatuses and methods for handling a non-integrity-protected reject message
WO2020182557A1 (en) * 2019-03-13 2020-09-17 Telefonaktiebolaget Lm Ericsson (Publ) Providing ue capability information to an authentication server
US20200322795A1 (en) * 2019-04-03 2020-10-08 Mediatek Singapore Pte. Ltd. Apparatuses and methods for alignment of common non access stratum (nas) security context
US11445462B2 (en) 2019-04-09 2022-09-13 Samsung Electronics Co., Ltd. Method and apparatus for performing communication in wireless communication system
CN112087297B (zh) * 2019-06-14 2022-05-24 华为技术有限公司 一种获取安全上下文的方法、系统及设备
US20210105611A1 (en) * 2019-10-04 2021-04-08 Qualcomm Incorporated User equipment radio capability protection
US20230121717A1 (en) * 2020-01-13 2023-04-20 Telefonaktiebolaget Lm Ericsson (Publ) Robust nas layer signaling
US11882451B2 (en) 2020-04-30 2024-01-23 Samsung Electronics Co., Ltd. Method and device for protecting sensitive user plane traffic
CN111614648B (zh) * 2020-05-14 2021-10-15 西安交通大学 一种工业物联网抗主动窃听物理层安全传输方法
US12081982B2 (en) * 2020-09-08 2024-09-03 Qualcomm Incorporated Optimization for an initial access stratum security mode command procedure
CN118679765A (zh) * 2022-06-30 2024-09-20 Oppo广东移动通信有限公司 通信方法和通信装置
CN117882415A (zh) * 2022-08-12 2024-04-12 北京小米移动软件有限公司 终端设备能力指示方法及装置

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2429607B (en) * 2005-08-26 2010-02-10 Samsung Electronics Co Ltd Improvements in mobile telecommunication security
KR101088618B1 (ko) 2006-06-19 2011-11-30 인터디지탈 테크날러지 코포레이션 초기 시그널링 메시지 내의 원 사용자 신원의 보안 보호를 위한 방법 및 장치
US8699711B2 (en) * 2007-07-18 2014-04-15 Interdigital Technology Corporation Method and apparatus to implement security in a long term evolution wireless device
US8532614B2 (en) * 2007-10-25 2013-09-10 Interdigital Patent Holdings, Inc. Non-access stratum architecture and protocol enhancements for long term evolution mobile units
CN101336000B (zh) * 2008-08-06 2011-11-30 中兴通讯股份有限公司 协议配置选项传输方法及系统、用户终端
KR101579757B1 (ko) * 2008-08-15 2015-12-24 삼성전자주식회사 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법
US9276909B2 (en) 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
CN101686233B (zh) * 2008-09-24 2013-04-03 电信科学技术研究院 Ue与网络安全算法不匹配的处理方法、系统及装置
KR101475349B1 (ko) * 2008-11-03 2014-12-23 삼성전자주식회사 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
US8526617B2 (en) * 2008-12-29 2013-09-03 Htc Corporation Method of handling security configuration in wireless communications system and related communication device
PT2396942E (pt) * 2009-02-16 2015-04-01 Ericsson Telefon Ab L M Solução de operação de rede não cifrada
CN101505479B (zh) * 2009-03-16 2014-04-30 中兴通讯股份有限公司 一种认证过程中安全上下文协商方法和系统
CN101868036A (zh) * 2009-04-15 2010-10-20 大唐移动通信设备有限公司 一种控制ue接入网络的方法及系统
KR101700448B1 (ko) * 2009-10-27 2017-01-26 삼성전자주식회사 이동 통신 시스템에서 보안 관리 시스템 및 방법
US20130042011A1 (en) * 2010-04-14 2013-02-14 Panasonic Corporation Communication nodes and network nodes
US9385862B2 (en) * 2010-06-16 2016-07-05 Qualcomm Incorporated Method and apparatus for binding subscriber authentication and device authentication in communication systems
CN101925050B (zh) * 2010-08-19 2014-12-03 华为技术有限公司 一种安全上下文的生成方法及装置
US9826404B2 (en) * 2011-01-11 2017-11-21 Qualcomm Incorporated System and method for peer-to-peer authorization via non-access stratum procedures
WO2013110351A1 (en) * 2012-01-26 2013-08-01 Telefonaktiebolaget L M Ericsson (Publ) Operation of a serving node in a network
WO2013137698A1 (ko) * 2012-03-16 2013-09-19 엘지전자 주식회사 무선 통신 시스템에서 nas 시그널링 요청 처리 방법 및 장치
USRE49491E1 (en) * 2012-06-08 2023-04-11 Samsung Electronics Co., Ltd. Method and system for selective protection of data exchanged between user equipment and network
CN102833739B (zh) * 2012-08-24 2015-07-01 大唐移动通信设备有限公司 一种初始非接入层消息的传输方法、装置及系统
WO2014051260A1 (ko) * 2012-09-26 2014-04-03 엘지전자 주식회사 Mtc 모니터링 방법
GB2508006A (en) * 2012-11-16 2014-05-21 Broadcom Corp Changing a device from communicating with a first to a second data communication system by determining a change in the devices capabilities
GB2513311B (en) * 2013-04-22 2020-05-27 Sony Corp Communications device and method
CN106465262B (zh) * 2014-06-04 2020-06-12 瑞典爱立信有限公司 用于具有省电模式的用户设备的终接服务限定
US9949125B2 (en) * 2014-08-04 2018-04-17 Lg Electronics Inc. Method for authenticating terminal in wireless communication system, and device for same
US9998449B2 (en) * 2014-09-26 2018-06-12 Qualcomm Incorporated On-demand serving network authentication
US10506438B2 (en) * 2015-12-03 2019-12-10 Telefonaktiebolaget Lm Ericsson (Publ) Multi-RAT access stratum security
US9788208B2 (en) * 2015-12-31 2017-10-10 Mediatek Inc. Apparatuses and methods for recovering from security mode command failures
US10382206B2 (en) * 2016-03-10 2019-08-13 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
US10873464B2 (en) * 2016-03-10 2020-12-22 Futurewei Technologies, Inc. Authentication mechanism for 5G technologies
US10334435B2 (en) 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110393022A (zh) * 2018-02-22 2019-10-29 联发科技(新加坡)私人有限公司 移动通信中系统间切换的追踪区域更新进程改善
TWI833949B (zh) * 2019-04-26 2024-03-01 美商高通公司 使用存取層級安全模式命令之系統資訊修改之偵測

Also Published As

Publication number Publication date
EP3449608A1 (en) 2019-03-06
CN114095155B (zh) 2024-07-12
US10674360B2 (en) 2020-06-02
SG11201807644TA (en) 2018-11-29
EP3449608B1 (en) 2021-01-06
WO2017189139A1 (en) 2017-11-02
AU2017258596B2 (en) 2022-02-03
TWI724132B (zh) 2021-04-11
US10334435B2 (en) 2019-06-25
CN114095155A (zh) 2022-02-25
CA3017611A1 (en) 2017-11-02
BR112018072027A2 (pt) 2019-02-12
CN109076079B (zh) 2021-10-08
AU2017258596A1 (en) 2018-10-04
US20190268769A1 (en) 2019-08-29
ES2863310T3 (es) 2021-10-11
US20170318463A1 (en) 2017-11-02
CN109076079A (zh) 2018-12-21

Similar Documents

Publication Publication Date Title
US10674360B2 (en) Enhanced non-access stratum security
EP3474584B1 (en) Method and apparatus to enable multiple wireless connections
KR102315881B1 (ko) 사용자 단말과 진화된 패킷 코어 간의 상호 인증
KR101476898B1 (ko) 무선 중계 노드들을 보안화하는 방법 및 장치
US9445443B2 (en) Network based provisioning of UE credentials for non-operator wireless deployments
WO2019062996A1 (zh) 一种安全保护的方法、装置和系统
KR101868713B1 (ko) 사용자 디바이스들 간의 제어된 크레덴셜 제공
US10708773B2 (en) On-demand network function re-authentication based on key refresh
CN109496412B (zh) 使用隐私识别码的验证
KR102178000B1 (ko) 통신 네트워크에서 사용하기 위한 네트워크 노드, 통신 디바이스 및 이를 동작시키는 방법들
US10582389B2 (en) Secured paging
JP2019533344A (ja) 拡張可能認証プロトコル(eap)手順の実施に基づいてセルラーネットワークに対するセキュリティ鍵を導出するための技法
WO2020056433A2 (en) SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo)