The embodiment of this application provides network security protection methods, devices and systems, which can enhance the security of 5G networks and other networks in the future. The methods include: the terminal determines the first target security context of the terminal; uses the first target security context to protect the initial NAS request message and get the security-protected NAS request message; sends the security-protected NAS request message to the first network device; and receives the NAS rejection from the security protection of the first network device. The NAS rejection message of security protection is obtained after the NAS rejection message is securely protected using the second target security context of the terminal. The NAS rejection message header of security protection is the second NAS header, and the second NAS header includes the identification of the terminal and the type information of the second security header. The identification of the end and the type information of the second security header determine the second target security context, and use the second target security context to verify the security of the NAS rejection message.
【技术实现步骤摘要】
网络安全保护方法、设备及系统
本申请涉及通信
,尤其涉及网络安全保护方法、设备及系统。
技术介绍
第三代合作伙伴项目(3rdGenerationPartnershipProject,简称3GPP)定义的移动通信网络引入了安全保护机制来保证移动通信的安全,包括:通信的保密性、完整性与可用性。比如,目前的演进分组系统(EvolvedPacketSystem,EPS)网络采用了双向身份认证机制来实现网络与终端之间合法性的相互认证,并采用了加密保护机制与完整性保护机制来实现终端与网络之间通信的保密性与完整性。其中,EPS网络引入了独立的两层安全机制,包括终端与接入网之间的接入层(AccessStratum,AS)安全、以及终端与核心网之间非接入层(NonAccessStratum,NAS)安全。这两层安全机制并行独立存在并且采用不同的安全上下文。然而,在目前的EPS网络中,对于终端从空闲态发起的初始NAS请求消息,是不进行加密保护的,这很容易遭受伪网络(或称为虚假网络)发动的拒绝服务(DenialofService)攻击。因为当该NAS消息在空口传输时,很容易被伪网络截获。进而,伪网络可以构造对应的NAS拒绝消息,并携带一个拒绝原因值,例如EPS业务不可用。由于终端不能区分收到的未进行完整性保护的NAS拒绝消息是由真实网络发送的,还是由伪网络发送的,它采用一致的处理方式,执行所接收的拒绝原因值所对应的动作,从而造成拒绝服务攻击,影响了终端的正常业务使用。对于第五代(5thgeneration,5G)移动通信网络,目前3GPP正在研究制定针对5G网络的增强安全...
【技术保护点】
1.一种网络安全保护方法,其特征在于,所述方法包括:终端确定所述终端的第一目标安全上下文,所述第一目标安全上下文包括第一安全上下文或第二安全上下文,所述第一安全上下文为配置的安全上下文,所述第二安全上下文为鉴权流程生成的安全上下文;所述终端使用所述第一目标安全上下文对初始非接入层NAS请求消息进行安全保护,得到安全保护的NAS请求消息,所述安全保护包括加密;所述终端向第一网络设备发送所述安全保护的NAS请求消息,所述安全保护的NAS请求消息的消息头为第一NAS消息头,所述第一NAS消息头中包括所述终端的标识和第一安全头类型信息,所述第一安全头类型信息用于指示所述第一目标安全上下文的类型;所述终端接收来自所述第一网络设备的安全保护的NAS拒绝消息,所述安全保护的NAS拒绝消息是使用所述终端的第二目标安全上下文对NAS拒绝消息进行安全保护后得到的;其中,所述安全保护的NAS拒绝消息的消息头为第二NAS消息头,所述第二NAS消息头中包括所述终端的标识和第二安全头类型信息,所述第二安全头类型信息用于指示所述第二目标安全上下文的类型,所述第二目标安全上下文包括所述第一安全上下文或者所述第二安全上...
【技术特征摘要】
1.一种网络安全保护方法,其特征在于,所述方法包括:终端确定所述终端的第一目标安全上下文,所述第一目标安全上下文包括第一安全上下文或第二安全上下文,所述第一安全上下文为配置的安全上下文,所述第二安全上下文为鉴权流程生成的安全上下文;所述终端使用所述第一目标安全上下文对初始非接入层NAS请求消息进行安全保护,得到安全保护的NAS请求消息,所述安全保护包括加密;所述终端向第一网络设备发送所述安全保护的NAS请求消息,所述安全保护的NAS请求消息的消息头为第一NAS消息头,所述第一NAS消息头中包括所述终端的标识和第一安全头类型信息,所述第一安全头类型信息用于指示所述第一目标安全上下文的类型;所述终端接收来自所述第一网络设备的安全保护的NAS拒绝消息,所述安全保护的NAS拒绝消息是使用所述终端的第二目标安全上下文对NAS拒绝消息进行安全保护后得到的;其中,所述安全保护的NAS拒绝消息的消息头为第二NAS消息头,所述第二NAS消息头中包括所述终端的标识和第二安全头类型信息,所述第二安全头类型信息用于指示所述第二目标安全上下文的类型,所述第二目标安全上下文包括所述第一安全上下文或者所述第二安全上下文;所述终端根据所述终端的标识和所述第二安全头类型信息,确定所述第二目标安全上下文;所述终端使用所述第二目标安全上下文,对所述安全保护的NAS拒绝消息进行安全验证,所述安全验证包括解密。2.根据权利要求1所述的方法,其特征在于,在所述终端向第一网络设备发送所述安全保护的NAS请求消息之后,还包括:所述终端接收未进行所述安全保护的NAS拒绝消息;所述终端丢弃所述未进行所述安全保护的NAS拒绝消息。3.根据权利要求1或2所述的方法,其特征在于,所述终端确定所述终端的第一目标安全上下文,包括:若所述终端确定本地保存有所述第二安全上下文,所述终端将所述第二安全上下文确定为所述终端的第一目标安全上下文;或者,若所述终端确定本地未保存所述第二安全上下文,所述终端确定所述第一安全上下文,将所述第一安全上下文确定为所述终端的第一目标安全上下文。4.根据权利要求3所述的方法,其特征在于,所述第一目标安全上下文包括所述第一安全上下文;所述终端确定所述第一安全上下文,包括:所述终端读取所述终端的全球用户识别模块USIM卡上配置的所述第一安全上下文;或者,所述终端获取所述终端上配置的所述第一安全上下文。5.根据权利要求3所述的方法,其特征在于,所述第一目标安全上下文包括所述第一安全上下文;所述终端确定所述第一安全上下文,包括:所述终端根据当前为所述终端服务的公共陆地移动网络PLMN、当前为所述终端服务的网络切片或所述终端当前采用的接入技术,从所述终端的多个安全上下文中选择所述第一安全上下文,其中,所述多个安全上下文中包括所述第一安全上下文,所述多个安全上下文的类型与所述第一安全上下文的类型相同。6.根据权利要求1-5任一项所述的方法,其特征在于,所述安全保护还包括完整性保护;所述安全验证还包括完整性检查。7.一种网络安全保护方法,其特征在于,所述方法包括:第一网络设备接收来自终端的安全保护的非接入层NAS请求消息,所述安全保护的NAS请求消息是使用所述终端的第一目标安全上下文对初始NAS请求消息进行安全保护后得到的,其中,所述安全保护的NAS请求消息的消息头为第一NAS消息头,所述第一NAS消息头中包括所述终端的标识和第一安全头类型信息,所述第一安全头类型信息用于指示所述第一目标安全上下文的类型,所述第一目标安全上下文包括第一安全上下文或第二安全上下文,所述第一安全上下文为配置的安全上下文,所述第二安全上下文为鉴权流程生成的安全上下文;所述安全保护包括加密;所述第一网络设备根据所述终端的标识和所述第一安全头类型信息,确定所述第一目标安全上下文;所述第一网络设备使用所述第一目标安全上下文,对所述安全保护的NAS请求消息进行安全验证,其中,所述安全验证包括解密;所述第一网络设备根据所述安全验证的结果,使用第二目标安全上下文对NAS拒绝消息进行安全保护,得到安全保护的NAS拒绝消息,所述第二目标安全上下文包括所述第一安全上下文或所述第二安全上下文;所述第一网络设备向所述终端发送所述安全保护的NAS拒绝消息,其中,所述安全保护的NAS拒绝消息的消息头为第二NAS消息头,所述第二NAS消息头中包括所述终端的标识和第二安全头类型信息,所述第二安全头类型信息用于指示所述第二目标安全上下文的类型。8.根据权利要求7所述的方法,其特征在于,所述第一网络设备根据所述安全验证的结果,使用第二目标安全上下文对NAS拒绝消息进行安全保护,包括:若所述安全验证通过,且所述第一网络设备中未存储所述第二安全上下文,所述第一网络设备使用所述第一安全上下文对所述初始NAS请求消息的NAS拒绝消息进行安全保护;或者,若所述安全验证通过,且所述第一网络设备中存储有所述第二安全上下文,所述第一网络设备使用所述第二安全上下文对所述初始NAS请求消息的NAS拒绝消息进行安全保护;或者,若所述安全验证未通过,且所述第一网络设备中未存储所述第二安全上下文,所述第一网络设备使用所述第一安全上下文对NAS拒绝消息进行安全保护;或者,若所述安全验证未通过,且所述第一网络设备中存储有所述第二安全上下文,所述第一网络设备使用所述第二安全上下文对NAS拒绝消息进行安全保护。9.根据权利要求7或8所述的方法,其特征在于,所述第一目标安全上下文包括所述第一安全上下文;所述第一网络设备根据所述终端的标识和所述第一安全头类型信息,确定所述第一目标安全上下文,包括:所述第一网络设备根据所述终端的标识和所述第一安全头类型信息,确定本地是否保存所述第一安全上下文;若所述第一网络设备确定本地未保存所述第一安全上下文,向第二网络设备发送第一消息,所述第一消息包括所述终端的标识,用于请求获取所述第一安全上下文;所述第一网络设备接收来自所述第二网络设备的所述第一安全上下文;或者,若所述第一网络设备确定本地保存有所述第一安全上下文,从本地获取所述第一安全上下文。10.根据权利要求9所述的方法,其特征在于,所述第一消息还包括当前为所述终端服务的公共陆地移动网络PLMN的标识、当前为所述终端服务的网络切片的标识或所述终端当前采用的接入技术的信息。11.根据权利要求7-10任一项所述的方法,其特征在于,所述安全保护还包括完整性保护;所述安全验证还包括完整性检查。12.根据权利要求7-11任一项所述的方法,其特征在于,所述第一网络设备包括接入与移动管理功能AMF实体或会话管理功能SMF实体,所述第二网络设备包括统一数据管理UDM实体或鉴权服务器功能AUSF实体。13.一种终端,其特征在于,所述终端包括:确定模块、安全保护模块、发送模块、接收模块和验证模块;所述确定模块,用于确定所述终端的第一目标安全上下文,所述第一目标安全上下文包括第一安全上下文或第二安全上下文,所述第一安全上下文为配置的安全上下文,所述第二安全上下文为鉴权流程生成的安全上下文;所述安全保护模块,用于使用所述第一目标安全上下文对...
【专利技术属性】
技术研发人员:舒林,克里斯蒂安·埃雷罗,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。