用于NAS消息的安全保护的系统和方法技术方案

为移动网络提供NAS安全保护的系统和方法。在一个实施方案中，当不存在NAS安全上下文时，移动网络的网络元件在多个阶段中执行NAS过程以与用户设备(UE)建立NAS通信会话。对于第一阶段，所述网络元件从所述UE接收用被指定用于安全相关处理的NAS协议信息元素(IE)的子集填充的初始NAS消息，选择用于所述NAS安全上下文的NAS安全算法，并向所述UE发送指示所述NAS安全算法的响应。对于第二阶段，所述网络元件从所述UE接收具有NAS消息容器的后续NAS消息，所述NAS消息容器包含用用于所述NAS过程的每个所述NAS协议IE填充的所述初始NAS消息，并使用所述NAS安全算法对所述后续NAS消息的所述NAS消息容器进行解密。述NAS消息容器进行解密。

【技术实现步骤摘要】
【国外来华专利技术】用于NAS消息的安全保护的系统和方法
[0001]相关申请
[0002]本非临时专利申请要求2018年9月24日提交的第62/735,732号美国临时专利申请的优先权，所述美国临时专利申请如同完全提供一般以引用的方式并入本文。


[0003]本公开涉及通信系统领域，且具体地，涉及网络中的安全性。

技术介绍

[0004]服务提供商或运营商实施移动网络，以向通常被称为用户设备(UE)的移动电话或其他移动装置/终端的最终用户提供大量语音和数据服务。语音服务的一些示例是语音呼叫、呼叫转移、呼叫等待等。数据服务的一些示例是因特网访问、流媒体音频、流媒体视频、在线游戏、因特网协议电视(IP
‑
TV)等。移动网络是到最终用户的最后链接为无线的一种网络类型。移动网络通常包括核心网络以及通过无线电接口与UE交换信令和数据的一个或多个无线电接入网(RAN)。典型的移动网络在逻辑上分为用户平面和控制平面。用户平面是负责承载通过网络发送的用户数据的逻辑平面，而控制平面是负责承载用于为UE建立通信的信令的逻辑平面。第三代合作伙伴计划(3GPP)规范将蜂窝协议分为两个层次：非接入层(NAS)和接入层(AS)。AS由UE与RAN(例如，eNodeB)之间经由射频(RF)信道发生的通信组成。NAS由UE与核心网络(例如，用于LTE的移动性管理实体(MME)或用于网络生成网络的接入和移动性管理功能(AMF))之间的非无线电信令流量组成。3GPP已经实施了安全过程来保护控制平面消息(例如，NAS消息)免受各种攻击。然而，有利的是识别为控制平面消息提供进一步保护的增强的安全过程。

技术实现思路

[0005]本文描述的实施方案为NAS消息提供增强的保护。NAS过程(例如，UE的注册)包括携带信息的信息元素(IE)集。以下描述的实施方案阐述了保护在NAS消息中发送的IE或IE的子集的方式。因此，IE中携带的信息不太容易受到恶意攻击。
[0006]一个实施方案包括移动网络的网络元件。所述网络元件包括处理器和存储器，所述存储器包括可由处理器执行的计算机程序代码。处理器被配置成使网络元件在多个阶段中执行NAS过程，以在网络元件与UE之间建立NAS通信会话。对于NAS过程的第一阶段，处理器进一步被配置成使网络元件从UE接收初始NAS消息，其中所述初始NAS消息用来自用于NAS过程的NAS协议IE的指定用于安全相关处理的NAS协议IE的子集填充。处理器进一步被配置成使网络元件处理NAS协议IE的子集以确定对于UE不存在NAS安全上下文，选择用于NAS安全上下文的NAS安全算法，并且向UE发送指示NAS安全上下文的NAS安全算法以及安全密钥集标识符的响应。对于NAS过程的第二阶段，处理器进一步被配置成使网络元件从UE接收具有NAS消息容器的后续NAS消息，所述NAS消息容器包含基于NAS安全算法加密的初始NAS消息；并对后续NAS消息的NAS消息容器进行解密，其中包含在后续NAS消息的NAS消息容
器中的初始NAS消息用用于NAS过程的每个NAS协议IE填充。
[0007]在另一个实施方案中，对于第一阶段，使用用于UE的归属公共陆地移动网络(HPLMN)的公钥来对初始NAS消息中的NAS协议IE的子集进行加密。处理器进一步被配置成使网络元件发起对NAS协议IE的子集的解密。
[0008]在另一个实施方案中，网络元件包括移动网络的接入和移动性管理功能(AMF)元件。
[0009]在另一个实施方案中，处理器进一步被配置成使网络元件将已加密的NAS协议IE的子集发送至统一数据管理(UDM)元件，以基于HPLMN的私钥来对NAS协议IE的子集进行解密。
[0010]在另一个实施方案中，初始NAS消息包括注册请求消息。被指定用于安全相关处理的NAS协议IE的子集由以下项组成：UE的移动身份、指示UE支持的一种或多种NAS安全算法的UE安全能力、注册类型，以及NAS安全上下文的安全密钥集标识符。
[0011]在另一个实施方案中，响应包括指示NAS安全算法和安全密钥集标识符的安全模式命令消息，并且从UE接收的后续NAS消息包括安全模式完成消息，所述安全模式完成消息具有包含基于NAS安全算法加密的初始NAS消息的NAS消息容器。
[0012]在另一个实施方案中，移动网络包括第五代(5G)网络。
[0013]另一个实施方案包括一种执行NAS过程以在UE与移动网络的网络元件之间建立NAS通信会话的方法。对于NAS过程的第一阶段，所述方法包括在网络元件处从UE接收初始NAS消息，其中所述初始NAS消息用来自用于NAS过程的NAS协议IE的指定用于安全相关处理的NAS协议IE的子集填充。进一步对于第一阶段，所述方法包括：在网络元件处处理NAS协议IE的子集以确定对于UE不存在NAS安全上下文，在网络元件处选择用于NAS安全上下文的NAS安全算法，以及从网络元件向UE发送指示NAS安全上下文的NAS安全算法以及安全密钥集标识符的响应。对于NAS过程的第二阶段，所述方法包括在网络元件处从UE接收具有NAS消息容器的后续NAS消息，所述NAS消息容器包含基于NAS安全算法加密的初始NAS消息；并在网络元件处对后续NAS消息的NAS消息容器进行解密，其中包含在后续NAS消息的NAS消息容器中的初始NAS消息用用于NAS过程的每个NAS协议IE填充。
[0014]在另一个实施方案中，对于第一阶段，使用用于UE的HPLMN的公钥来对初始NAS消息中的NAS协议IE的子集进行加密，并且所述方法进一步包括发起对NAS协议IE的子集的解密。
[0015]在另一个实施方案中，网络元件包括移动网络的AMF元件，并且发起对NAS协议IE的子集的解密的步骤包括：将已加密的NAS协议IE的子集发送至UDM元件，以基于HPLMN的私钥来对NAS协议IE的子集进行解密。
[0016]在另一个实施方案中，初始NAS消息包括注册请求消息，并且被指定用于安全相关处理的NAS协议IE的子集由以下项组成：UE的移动身份、指示UE支持的一种或多种NAS安全算法的UE安全能力、注册类型，以及NAS安全上下文的安全密钥集标识符。
[0017]在另一个实施方案中，响应包括指示NAS安全算法和安全密钥集标识符的安全模式命令消息，并且从UE接收的后续NAS消息包括安全模式完成消息，所述安全模式完成消息具有包含基于NAS安全算法加密的初始NAS消息的NAS消息容器。
[0018]在另一个实施方案中，对于NAS过程的第一阶段，所述方法在UE处包括以下步骤：
识别用于NAS过程的指定用于安全相关处理的NAS协议IE的子集，将NAS协议IE的子集插入初始NAS消息中，将初始NAS消息从UE发送至网络元件，以及从网络元件接收指示NAS安全上下文的NAS安全算法以及安全密钥集标识符的响应。对于NAS过程的第二阶段，所述方法在UE处包括以下步骤：将用于NAS过程的NAS协议IE插入初始NAS消息中，将初始NAS消息插入后续NA本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种移动网络的网络元件，所述网络元件包括：至少一个处理器；以及至少一个存储器，所述至少一个存储器包括可由所述处理器执行的计算机程序代码；所述处理器被配置成使所述网络元件在多个阶段中执行非接入层(NAS)过程，以在所述网络元件与用户设备(UE)之间建立NAS通信会话；对于所述NAS过程的第一阶段，所述处理器进一步被配置成使所述网络元件：从所述UE接收初始NAS消息，其中所述初始NAS消息用来自用于所述NAS过程的NAS协议信息元素(IE)的被指定用于安全相关处理的所述NAS协议IE的子集填充；处理所述NAS协议IE的所述子集以确定对于所述UE不存在NAS安全上下文；选择用于所述NAS安全上下文的NAS安全算法；以及向所述UE发送指示所述NAS安全上下文的所述NAS安全算法以及安全密钥集标识符的响应；对于所述NAS过程的第二阶段，所述处理器进一步被配置成使所述网络元件：从所述UE接收具有NAS消息容器的后续NAS消息，所述NAS消息容器包含基于所述NAS安全算法加密的所述初始NAS消息；以及对所述后续NAS消息的所述NAS消息容器进行解密，其中包含在所述后续NAS消息的所述NAS消息容器中的所述初始NAS消息用用于所述NAS过程的每个所述NAS协议IE填充。2.如权利要求1所述的网络元件，其中：对于所述第一阶段，使用用于所述UE的归属公共陆地移动网络(HPLMN)的公钥来对所述初始NAS消息中的所述NAS协议IE的所述子集进行加密；并且所述处理器进一步被配置成使所述网络元件发起对所述NAS协议IE的所述子集的解密。3.如权利要求2所述的网络元件，其中：所述网络元件包括所述移动网络的接入和移动性管理功能(AMF)元件。4.如权利要求3所述的网络元件，其中：所述处理器进一步被配置成使所述网络元件将已加密的NAS协议IE的所述子集发送至统一数据管理(UDM)元件，以基于所述HPLMN的私钥来对NAS协议IE的所述子集进行解密。5.如权利要求1所述的网络元件，其中：所述初始NAS消息包括注册请求消息；并且被指定用于安全相关处理的所述NAS协议IE的所述子集由以下项组成：所述UE的移动身份、指示所述UE支持的一种或多种NAS安全算法的UE安全能力、注册类型，以及NAS安全上下文的安全密钥集标识符。6.如权利要求1所述的网络元件，其中：所述响应包括指示所述NAS安全算法和所述安全密钥集标识符的安全模式命令消息；并且从所述UE接收的所述后续NAS消息包括安全模式完成消息，所述安全模式完成消息具有包含基于所述NAS安全算法加密的所述初始NAS消息的所述NAS消息容器。7.如权利要求1所述的网络元件，其中：所述移动网络包括第五代(5G)网络。
8.一种执行非接入层(NAS)过程以在用户设备(UE)与移动网络的网络元件之间建立NAS通信会话的方法，所述方法包括：对于所述NAS过程的第一阶段：在所述网络元件处从所述UE接收初始NAS消息，其中所述初始NAS消息用来自用于所述NAS过程的NAS协议信息元素(IE)的被指定用于安全相关处理的所述NAS协议IE的子集填充；在所述网络元件处处理所述NAS协议IE的所述子集以确定对于所述UE不存在NAS安全上下文；在所述网络元件处选择用于所述NAS安全上下文的NAS安全算法；以及从所述网络元件向所述UE发送指示所述NAS安全上下文的所述NAS安全算法以及安全密钥集标识符的响应；对于所述NAS过程的第二阶段：在所述网络元件处从所述UE接收具有NAS消息容器的后续NAS消息，所述NAS消息容器包含基于所述NAS安全算法加密的所述初始NAS消息；以及在所述网络元件处对所述后续NAS消息的所述NAS消息容器进行解密，其中包含在所述后续NAS消息的所述NAS消息容器中的所述初始NAS消息用用于所述NAS过程的每个所述NAS协议IE填充。9.如权利要求8所述的方法，其中：对于所述第一阶段，使用用于所述UE的归属公共陆地移动网络(HPLMN)的公钥来对所述初始NAS消息中的所述NAS协议IE的所述子集进行加密；并且所述方法进一步包括：发起对所述NAS协议IE的所述子集的解密。10.如权利要求9所述的方法，其中：所述网络元件包括所述移动网络的接入和移动性管理功能(AMF)元件；并且发起对所述NAS协议IE的所述子集的解密包括将已加密的NAS协议IE的所述子集发送至统一数据管理(UDM)元件，以基于所述HPLMN的私钥来对NAS协议IE的所述子集进行解密。11.如权利要求8所述的方法，其中：所述初始NAS消息包括注...

【专利技术属性】
技术研发人员：J，
申请(专利权)人：诺基亚技术有限公司，
类型：发明
国别省市：