【技术实现步骤摘要】
【国外来华专利技术】用于NAS消息的安全保护的系统和方法
[0001]相关申请
[0002]本非临时专利申请要求2018年9月24日提交的第62/735,732号美国临时专利申请的优先权,所述美国临时专利申请如同完全提供一般以引用的方式并入本文。
[0003]本公开涉及通信系统领域,且具体地,涉及网络中的安全性。
技术介绍
[0004]服务提供商或运营商实施移动网络,以向通常被称为用户设备(UE)的移动电话或其他移动装置/终端的最终用户提供大量语音和数据服务。语音服务的一些示例是语音呼叫、呼叫转移、呼叫等待等。数据服务的一些示例是因特网访问、流媒体音频、流媒体视频、在线游戏、因特网协议电视(IP
‑
TV)等。移动网络是到最终用户的最后链接为无线的一种网络类型。移动网络通常包括核心网络以及通过无线电接口与UE交换信令和数据的一个或多个无线电接入网(RAN)。典型的移动网络在逻辑上分为用户平面和控制平面。用户平面是负责承载通过网络发送的用户数据的逻辑平面,而控制平面是负责承载用于为UE建立通信的信令的逻辑平面。第三代合作伙伴计划(3GPP)规范将蜂窝协议分为两个层次:非接入层(NAS)和接入层(AS)。AS由UE与RAN(例如,eNodeB)之间经由射频(RF)信道发生的通信组成。NAS由UE与核心网络(例如,用于LTE的移动性管理实体(MME)或用于网络生成网络的接入和移动性管理功能(AMF))之间的非无线电信令流量组成。3GPP已经实施了安全过程来保护控制平面消息(例如,NAS消息)免受各种攻击。然而, ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种移动网络的网络元件,所述网络元件包括:至少一个处理器;以及至少一个存储器,所述至少一个存储器包括可由所述处理器执行的计算机程序代码;所述处理器被配置成使所述网络元件在多个阶段中执行非接入层(NAS)过程,以在所述网络元件与用户设备(UE)之间建立NAS通信会话;对于所述NAS过程的第一阶段,所述处理器进一步被配置成使所述网络元件:从所述UE接收初始NAS消息,其中所述初始NAS消息用来自用于所述NAS过程的NAS协议信息元素(IE)的被指定用于安全相关处理的所述NAS协议IE的子集填充;处理所述NAS协议IE的所述子集以确定对于所述UE不存在NAS安全上下文;选择用于所述NAS安全上下文的NAS安全算法;以及向所述UE发送指示所述NAS安全上下文的所述NAS安全算法以及安全密钥集标识符的响应;对于所述NAS过程的第二阶段,所述处理器进一步被配置成使所述网络元件:从所述UE接收具有NAS消息容器的后续NAS消息,所述NAS消息容器包含基于所述NAS安全算法加密的所述初始NAS消息;以及对所述后续NAS消息的所述NAS消息容器进行解密,其中包含在所述后续NAS消息的所述NAS消息容器中的所述初始NAS消息用用于所述NAS过程的每个所述NAS协议IE填充。2.如权利要求1所述的网络元件,其中:对于所述第一阶段,使用用于所述UE的归属公共陆地移动网络(HPLMN)的公钥来对所述初始NAS消息中的所述NAS协议IE的所述子集进行加密;并且所述处理器进一步被配置成使所述网络元件发起对所述NAS协议IE的所述子集的解密。3.如权利要求2所述的网络元件,其中:所述网络元件包括所述移动网络的接入和移动性管理功能(AMF)元件。4.如权利要求3所述的网络元件,其中:所述处理器进一步被配置成使所述网络元件将已加密的NAS协议IE的所述子集发送至统一数据管理(UDM)元件,以基于所述HPLMN的私钥来对NAS协议IE的所述子集进行解密。5.如权利要求1所述的网络元件,其中:所述初始NAS消息包括注册请求消息;并且被指定用于安全相关处理的所述NAS协议IE的所述子集由以下项组成:所述UE的移动身份、指示所述UE支持的一种或多种NAS安全算法的UE安全能力、注册类型,以及NAS安全上下文的安全密钥集标识符。6.如权利要求1所述的网络元件,其中:所述响应包括指示所述NAS安全算法和所述安全密钥集标识符的安全模式命令消息;并且从所述UE接收的所述后续NAS消息包括安全模式完成消息,所述安全模式完成消息具有包含基于所述NAS安全算法加密的所述初始NAS消息的所述NAS消息容器。7.如权利要求1所述的网络元件,其中:所述移动网络包括第五代(5G)网络。
8.一种执行非接入层(NAS)过程以在用户设备(UE)与移动网络的网络元件之间建立NAS通信会话的方法,所述方法包括:对于所述NAS过程的第一阶段:在所述网络元件处从所述UE接收初始NAS消息,其中所述初始NAS消息用来自用于所述NAS过程的NAS协议信息元素(IE)的被指定用于安全相关处理的所述NAS协议IE的子集填充;在所述网络元件处处理所述NAS协议IE的所述子集以确定对于所述UE不存在NAS安全上下文;在所述网络元件处选择用于所述NAS安全上下文的NAS安全算法;以及从所述网络元件向所述UE发送指示所述NAS安全上下文的所述NAS安全算法以及安全密钥集标识符的响应;对于所述NAS过程的第二阶段:在所述网络元件处从所述UE接收具有NAS消息容器的后续NAS消息,所述NAS消息容器包含基于所述NAS安全算法加密的所述初始NAS消息;以及在所述网络元件处对所述后续NAS消息的所述NAS消息容器进行解密,其中包含在所述后续NAS消息的所述NAS消息容器中的所述初始NAS消息用用于所述NAS过程的每个所述NAS协议IE填充。9.如权利要求8所述的方法,其中:对于所述第一阶段,使用用于所述UE的归属公共陆地移动网络(HPLMN)的公钥来对所述初始NAS消息中的所述NAS协议IE的所述子集进行加密;并且所述方法进一步包括:发起对所述NAS协议IE的所述子集的解密。10.如权利要求9所述的方法,其中:所述网络元件包括所述移动网络的接入和移动性管理功能(AMF)元件;并且发起对所述NAS协议IE的所述子集的解密包括将已加密的NAS协议IE的所述子集发送至统一数据管理(UDM)元件,以基于所述HPLMN的私钥来对NAS协议IE的所述子集进行解密。11.如权利要求8所述的方法,其中:所述初始NAS消息包括注...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。