本申请涉及无线通信技术领域。本申请的实施例提供一种安全保护的方法及装置,用以实现对多条NAS连接链路进行安全保护。本申请的方法包括:终端确定第一参数,第一参数用于表示传输非接入层NAS消息所使用的接入技术,其中,终端能够支持至少两种接入技术,且能够分别为至少两种接入技术中的每种接入技术维护对应的NAS序列号,然后终端根据第一参数、NAS密钥以及传输NAS消息所使用的接入技术对应的NAS序列号对NAS消息进行安全保护。本申请适用于对NAS消息进行安全保护的流程中。
【技术实现步骤摘要】
一种安全保护的方法及装置
本申请的实施例涉及无线通信
,尤其涉及一种安全保护的方法及装置。
技术介绍
在第五代(5thgeneration,5G)系统中,终端可以只通过第三代合作伙伴计划(3rdgenerationpartnershipproject,3GPP)接入技术接入移动性管理功能(accessandmobilitymanagementfunction,AMF)节点,也可以只通过非3GPP(non-3GPP)接入技术接入AMF节点,或者终端还可以同时通过3GPP接入技术和non-3GPP接入技术接入AMF节点。在终端同时通过3GPP接入技术和non-3GPP接入技术接入AMF节点的情况下,终端与AMF节点之间同时存在两条非接入层(nonaccessstratum,NAS)连接链路。如果终端使用一套NAS密钥和一套非接入层序列号(nonaccessstratumcount,NAScount)分别对两条连接链路进行保护,会出现AMF节点先接收到通过其中一条链路传输的较小的NAScount,后接收到通过另一条链路传输的较大的NAScount的情况,从而发生重放攻击,导致终端与AMF节点之间的NAS连接链路传输的数据安全性较差的问题。所以终端与AMF之间存在多条NAS连接链路的情况下,如何对多条NAS连接链路进行安全保护是一个亟待解决的问题。
技术实现思路
本申请的实施例提供一种安全保护的方法及装置,可以实现对多条NAS连接链路进行安全保护。为了达到上述目的,本申请的实施例提供以下技术方案:本申请的实施例提供一种安全保护的方法,该方法包括:终端确定第一参数,然后根据第一参数、NAS密钥以及传输NAS消息所使用的接入技术对应的NAS序列号对NAS消息进行安全保护。其中,第一参数是终端在为NAS消息进行安全保护的时的输入参数,用于表示传输非接入层NAS消息所使用的接入技术,终端能够支持至少两种接入技术,且能够分别为所述至少两种接入技术中的每种接入技术维护对应的NAS序列号。示例性地,终端支持的至少两种接入技术可以包括3GPP接入技术、非3GPP接入技术、固网接入技术等其他可以与3GPP接入技术共同使用3GPP网络核心网设备的接入技术可选地,第一参数还可以用于表示终端传输NAS消息所使用的传输路径,终端能够分别为传输NAS消息所使用的每条传输路径维护对应的NAS序列号。第一参数可以为加解密或完整性保护过程中新增的一个输入参数,例如接入(ACCESS)参数,可以通过将ACCESS参数的比特位设置成不同的值来表示不同的接入技术。示例性地,若第一参数为00,则代表使用的是3GPP接入技术,若第一参数为01,则代表使用的是非3GPP接入技术。或者,第一参数还可以为输入参数中的COUNT的全部或部分比特位。或者,第一参数还可以为输入参数中的BEARER的全部或部分比特位。所述NAS密钥为终端支持的至少两种接入技术共享的NAS密钥。采用该方法,终端能够分别为至少两种接入技术中的每种接入技术维护对应的NAS序列号,终端在使用不同的接入技术传输NAS消息时,不是共用一套NAS序列号,而是使用为对应的接入技术维护的NAS序列号对NAS消息进行安全保护,可以避免核心网设备先接收到通过其中一条链路传输的较小的NAS序列号,后接收到通过另一条链路传输的较大的NAS序列号的情况下,发生重放攻击的问题,而且本申请在对NAS消息进行安全保护时,还使用了用于区分不同接入技术的第一参数,所以即使对通过不同的接入技术传输的NAS消息进行安全保护时使用的NAS密钥和NAS序列号均相同,对NAS消息进行安全保护的结果也不同,降低了发生重放攻击的可能性,实现了对多条NAS连接链路的安全保护。在一种可能的设计中,至少两种接入技术包括第一接入技术,若传输NAS消息所使用的接入技术为第一接入技术,则在终端确定第一参数之前,终端可确定第一接入技术对应的第一上行NAS序列号,然后终端向核心网设备发送第一消息,第一消息通过第一上行NAS序列号和NAS密钥进行安全保护,第一消息携带第一上行NAS序列号的部分或全部。示例性地,第一接入技术可以为非3GPP接入技术。在一种可能的实施方式中,第一上行NAS序列号为0,其中,第一上行NAS序列号的部分或全部为0。或者,第一上行NAS序列号为随机数,具体地,第一上行NAS序列号中的部分或全部比特位为随机数,例如,第一上行NAS序列号中的序列号部分,或NASoverflow部分为随机数。此时,其余部分为0。或者,至少两种接入技术还包括第二接入技术,第一上行NAS序列号为终端保存的第二接入技术对应的上行NAS序列号,若终端保存了至第二接入技术对应的至少两个上行NAS序列号,则第一上行NAS序列号为所述终端保存的所述第二接入技术对应的最大上行NAS序列号。或者,至少两种接入技术还包括第二接入技术,第一上行NAS序列号为终端保存的第二接入技术对应的上行NAS序列号加1,若终端保存了第二接入技术对应的至少两个上行NAS序列号,则第一上行NAS序列号为所述终端保存的所述第二接入技术对应的最大上行NAS序列号加1。或者,第一上行NAS序列号为终端保存的第一接入技术对应的上行NAS序列号,若终端保存了第一接入技术对应的至少两个上行NAS序列号,则第一上行NAS序列号为终端保存的第一接入技术对应的最大的上行NAS序列号。或者,第一上行NAS序列号为终端保存的第一接入技术对应的上行NAS序列号加1,若终端保存了第一接入技术对应的至少两个上行NAS序列号,则第一上行NAS序列号为终端保存的第一接入技术对应的最大的上行NAS序列号加1。在另一种可能的设计中,至少两种接入技术包括第一接入技术和第二接入技术,若传输NAS消息所使用的接入技术为第一接入技术,则在终端确定第一参数之前,终端可以向核心网设备发送第一消息,第一消息通过NAS密钥和第二接入技术对应的上行NAS序列号进行安全保护,第一消息携带第二接入技术对应的上行NAS序列号的部分或全部。其中,第二接入技术为3GPP接入技术。可选地,这种设计实现的前提为终端已经通过3GPP接入技术接入过核心网设备。在一种可能的设计中,第一消息可以携带第一指示信息,第一指示信息用于指示第一消息中携带的上行NAS序列号的部分或全部对应的接入技术。可选地,第一指示信息还可以用于指示第一消息携带的上行NAS序列号的部分或全部对应的传输路径。在一种可能的设计中,终端接收来自核心网设备的第二消息,第二消息包括第一接入技术对应的第二上行NAS序列号和第一下行NAS序列号之一或全部。可选地,第二消息可以包括第一接入技术对应的第一下行NAS序列号。或者,第二消息包括第一接入技术对应的第二上行NAS序列号和第一下行NAS序列号。可选地,第一接入技术对应的第二上行NAS序列号和第一下行NAS序列号相同。在一种可能的实施方式中,第二上行NAS序列号为0,其中,第二上行NAS序列号的所有或部分比特为0。或者,第二上行NAS序列号为随机数,具体地,第二上行NAS序列号中的部分或全部比特位为随机数.例如,第二上行NAS序列号中的序列号部分,或NASoverflow部分为随机数。此时,其余部分为0。或者,第二上行NAS序列号为核本文档来自技高网...
【技术保护点】
1.一种安全保护的方法,其特征在于,包括:终端确定第一参数,其中,所述第一参数用于表示传输非接入层NAS消息所使用的接入技术,其中,所述终端能够支持至少两种接入技术,且能够分别为所述至少两种接入技术中的每种接入技术维护对应的NAS序列号;所述终端根据所述第一参数、NAS密钥以及传输所述NAS消息所使用的接入技术对应的NAS序列号对所述NAS消息进行安全保护。
【技术特征摘要】
1.一种安全保护的方法,其特征在于,包括:终端确定第一参数,其中,所述第一参数用于表示传输非接入层NAS消息所使用的接入技术,其中,所述终端能够支持至少两种接入技术,且能够分别为所述至少两种接入技术中的每种接入技术维护对应的NAS序列号;所述终端根据所述第一参数、NAS密钥以及传输所述NAS消息所使用的接入技术对应的NAS序列号对所述NAS消息进行安全保护。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述终端向核心网设备发送所述安全保护后的NAS消息,所述安全保护后的NAS消息包括传输所述NAS消息所使用的接入技术对应的NAS序列的部分或全部比特位。3.根据权利要求2所述的方法,其特征在于,所述至少两种接入技术包括第一接入技术,传输所述NAS消息所使用的接入技术为所述第一接入技术;所述第一接入技术对应的NAS序列号的初始值为0;或者,所述第一接入技术对应的NAS序列号为所述终端保存的所述第一接入技术对应的上行NAS序列号。4.根据权利要求2或3所述的方法,其特征在于,所述安全保护后的NAS消息还携带第一指示信息,所述第一指示信息用于指示所述安全保护后的NAS消息中携带的NAS序列号的部分或全部比特位对应的接入技术。5.根据权利要求1-4任一所述的方法,其特征在于,所述第一参数为对所述NAS消息进安全保护时使用的输入参数中的BEARER的全部或部分比特位。6.根据权利要求1-4任一所述的方法,其特征在于,所述第一参数为对所述NAS消息进行安全保护时使用的输入参数中的COUNT的全部或者部分比特位。7.根据权利要求1-6任一所述的方法,其特征在于,所述至少两种接入技术包括:第三代合作伙伴计划3GPP接入技术和非3GPP接入技术。8.根据权...
【专利技术属性】
技术研发人员:李赫,陈璟,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。