针对4G或5G网络中的攻击的增强的用户装备安全性制造技术

本公开涉及针对4G或5G网络中的攻击的增强的用户装备安全性。UE可从网络接收第一GUTI。该UE可响应于与该网络进行的寻呼程序而过渡到连接模式。该UE可采取动作以确保从该网络获得第二GUTI。也描述了其他方面。也描述了其他方面。也描述了其他方面。

【技术实现步骤摘要】
针对4G或5G网络中的攻击的增强的用户装备安全性


[0001]本专利技术整体涉及无线技术，并且更具体地涉及用于无线网络诸如4G或5G的增强的用户装备(UE)安全性。

技术介绍

[0002]第四代宽带蜂窝网络技术(4G)是具有多种应用的无线标准，诸如例如移动网络接入、电话、游戏服务、高清移动TV、视频会议、3D电视等。第五代移动网络(5G)是一种旨在改善数据传输速度、可靠性、可用性等的无线标准。用户装备(UE)和网络可通过4G或5G网络来回传达各种消息，这可能会使UE受到恶意攻击。可增强安全性。

技术实现思路

[0003]本公开的各方面涉及用于4G和/或5G新空口(NR)的安全性增强。
[0004]在一些方面，当在服务请求已发起(Service
‑
Request
‑
Initiated)状态中接收时，UE可丢弃普通认证请求(Plain Authentication Request)消息)或普通身份请求(Plain Identity Request)。以这种方式，UE将不对非完整性保护的认证请求(Authentication Request)消息或非完整性保护的身份请求(Identity Request)消息作出响应作为完整性保护的服务请求程序(NR和LTE)、跟踪区域更新程序(LTE)或注册请求程序(NR)的一部分。因此，恶意攻击者可能不使用所捕获的认证请求或身份请求消息来跟踪网络中的受害者UE。
[0005]在一些方面，当认证程序未在进行时，UE可丢弃来自5G网络的认证拒绝(Authentication Reject)消息。这种程序是否正在进行可基于UE发送的最后一条NAS消息诸如例如认证响应(Authentication Response)或认证失败(Authentication Failure)消息和/或基于5GMM/EMM处的当前活动的一个或多个定时器来导出。以这种方式，UE行为可减少可能被流氓实体利用的潜在安全性漏洞。
[0006]在一些方面，UE可维护网络认证令牌(AUTN)的列表和随机值(RAND)对，其中同步失败(Sync Failure)已经由UE声明。如果接收到具有位于列表上的AUTN和RAND对的认证请求，则UE可简单地丢弃该消息(例如，不会将该消息转发到UE的SIM)。以这种方式，攻击者网络无法使用相同的认证请求以在各个时间保持跟踪UE，原因是UE在其已经声明相同的AUTN和RAND的同步失败时将不处理相同的AUTN和RAND。
[0007]在一些方面，在UE作为对寻呼的响应已经过渡到连接模式之后，UE可想起其在连接模式中时必须接收新的GUTI。如果这并未发生并且如果UE以移动到具有先前GUTI的空闲模式而告终，则UE可立即触发移动性注册程序以获得重新分配给UE的新的GUTI。在一些方面，UE可在进入连接模式之后启动短定时器。如果在“短定时器”到期之前不存在GUTI重新分配，则UE可发起移动性注册更新(Mobility Registration Update)。
[0008]在一些方面，网络可向UE发送GUTI重新分配通信。网络可不接收来自UE的响应(例如，GUTI重新分配完成)，但UE继续保持在连接状态下。作为响应，网络可将使用案例视为异
常并且释放与用于UE发起注册程序的指示的NAS信令连接。
[0009]以上概述不包括本公开的所有方面的详尽列表。可预期的是，本公开包括可由上文概述的各个方面以及在下文的具体实施方式中公开并且在权利要求书部分特别指出的各个方面的所有合适的组合来实践的所有系统和方法。此类组合可具有未在上述
技术实现思路
中具体阐述的特定优点。
附图说明
[0010]本专利技术以举例的方式进行说明，并且不仅限于各个附图的图形，在附图中类似的标号指示类似的元件。
[0011]图1示出根据一些方面的示例性无线通信系统。
[0012]图2示出根据一些方面的上行链路和下行链路通信。
[0013]图3示出根据一些方面的UE的示例性框图。
[0014]图4示出根据一些方面的BS的示例性框图。
[0015]图5示出根据一些方面的蜂窝通信电路的示例性框图。
[0016]图6示出根据一些方面的中间人(MiTM)攻击场景。
[0017]图7示出根据一些方面的供UE用于在服务请求状态下处理认证请求的流程图。
[0018]图8示出根据一些方面的供UE用于处理认证拒绝消息的流程图。
[0019]图9示出根据一些方面的供UE用于处理认证请求以防止重复的同步失败的流程图。
[0020]图10示出根据一些方面的用UE防止重复的同步失败的示例性攻击场景。
[0021]图11示出根据一些方面的用于防止由UE执行的GUTI重新分配剔除的流程图。
[0022]图12示出根据一些方面的用于防止由网络执行的GUTI重新分配剔除的流程图。
[0023]图13示出根据一些方面的选择性剔除GUTI重新分配消息的示例性攻击场景。
具体实施方式
[0024]如所描述的，设备的方法和装置可执行操作以增强UE与网络之间的安全性。在以下说明中，阐述了许多具体细节，以提供对本专利技术的方面的彻底解释。然而，对于本领域的技术人员显而易见的是，本专利技术的方面可在不具有这些具体细节的情况下被实施。在其他情况下，尚未详细示出熟知的组件、结构和技术，以免模糊对本说明的理解。
[0025]在本说明书中提及“一些方面”或“方面”是指结合该方面描述的特定特征、结构或特性可被包括在本专利技术的至少一个方面中。在本说明书中的各个位置出现短语“在一些方面”不一定都是指同一个方面。
[0026]在以下描述和权利要求中，可以使用术语“耦接”和“连接”及其派生词。应当理解，这些术语并非意在彼此同义。“耦接”被用于表示可能或可能不彼此直接物理或电接触的两个或更多个元件彼此合作或交互。“连接”被用于表示彼此耦接的两个或更多元件之间通信的建立。
[0027]以下附图中所示的过程由处理逻辑执行，该处理逻辑包括硬件(例如，电路、专用逻辑等)、软件(诸如在通用计算机系统或专用机器上运行的软件)或两者的组合。虽然下文按照某些顺序操作来描述这些过程，但应当理解，所述的某些操作可以不同的顺序来执行。
此外，某些操作也可并行执行而非按顺序执行。
[0028]术语“服务器”、“客户端”和“设备”旨在一般性地指代数据处理系统，而不是具体地指代服务器、客户端和/或设备的特定形状要素。
[0029]在一些方面，设备是具有与基站的无线链路的用户装备(UE)设备。在一些方面，设备是基站或基站的宽带处理器。在一些方面，无线链路是第三代(3G)、第四代(4G)或第五代(5G)链路。该设备进一步从无线链路中选择分量载波(CC)并对其进行分组并且确定来自一组所选择的CC的虚拟CC。该设备另外可基于CC组的聚合资源匹配模式来执行物理下行链路资源映射。
[0030]图1示出根本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用户装备(UE)的基带处理器，所述基带处理器被配置为执行操作，所述操作包括：将所述UE的状态设置为服务请求已发起；从网络接收认证请求消息或身份请求消息；以及至少响应于所述UE的所述状态处于所述服务请求已发起而丢弃所述认证请求消息或所述身份请求消息。2.根据权利要求1所述的UE的基带处理器，其中所述服务请求状态是5GMM服务请求已发起状态。3.根据权利要求1所述的UE的基带处理器，其中所述服务请求状态是EMM服务请求已发起状态。4.根据权利要求1所述的UE的基带处理器，其中所述UE的所述基带处理器响应于所述UE的所述状态处于所述服务请求已发起并且所述认证请求消息或身份请求消息不包括完整性保护而丢弃所述认证请求消息或身份请求消息。5.根据权利要求1所述的UE的基带处理器，其中所述UE的所述基带处理器响应于所述UE的所述状态处于所述服务请求已发起并且所述认证请求消息或身份请求消息为普通消息而丢弃所述认证请求消息或身份请求消息。6.根据权利要求1所述的UE的基带处理器，其中所述UE的所述基带处理器响应于所述UE的所述基带处理器向所述网络发送服务请求消息而将所述UE的所述状态设置为所述服务请求已发起。7.根据权利要求1所述的所述UE的基带处理器，进一步包括：响应于所述UE的所述状态被设置为除了所述服务请求已发起之外的状态而处理所述认证请求消息或身份请求消息。8.根据权利要求1所述的UE的基带处理器，其中所述认证请求消息作为用于5G系统(5GS)的非接入层(NAS)协议的一部分或作为用于演进分组系统(EPS)的非接入层(NAS)协议的一部分来接收。9.一种用户装备(UE)的基带处理器，所述基带处理器被配置为执行操作，所述操作包括：从网络接收认证拒绝消息；确定在所述UE与所述网络之间认证程序未在进行；以及响应于所述认证程序未在进行，丢弃所述认证拒绝消息。10.根据权利要求9所述的UE的基带处理器，其中所述UE的所述基带处理器响应于以下情况而确定所述认证程序未在进行：所述UE在接收到所述认证拒绝消息之前尚未向所述网络发送认证响应消息或认证失败消息。11.根据权利要求9所述的UE的基带处理器，其中所述UE的所述...

【专利技术属性】
技术研发人员：A，
申请(专利权)人：苹果公司，
类型：发明
国别省市：