CN110574407B - 用于保护初始非接入层消息的用户设备和方法 - Google Patents
用于保护初始非接入层消息的用户设备和方法 Download PDFInfo
- Publication number
- CN110574407B CN110574407B CN201980000987.8A CN201980000987A CN110574407B CN 110574407 B CN110574407 B CN 110574407B CN 201980000987 A CN201980000987 A CN 201980000987A CN 110574407 B CN110574407 B CN 110574407B
- Authority
- CN
- China
- Prior art keywords
- access stratum
- message
- initial
- initial non
- stratum message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/27—Transitions between radio resource control [RRC] states
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/10—Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/022—Selective call receivers
- H04W88/023—Selective call receivers with message or information receiving capability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了一种用于保护非接入层消息的用户设备(UE)及方法,该用户设备包括无线收发器和控制器。无线收发器执行与服务网络的无线传输和接收。控制器将UE从无线资源控制(RRC)空闲状态转换到RRC连接状态,并且在将UE从RRC空闲状态转换到RRC连接状态之后,通过无线收发器向服务网络发送初始非接入层(NAS)消息,其中,该初始NAS消息包括有限信息元素集(IE)以及容器IE,该有限信息元素集是在UE和服务网络之间建立安全所需的明文形式的,该容器IE携带以NAS安全上下文加密的初始NAS消息协议数据单元(PDU)。本申请提出的用于保护初始NAS消息的UE和方法可以使得网络侧从加密数据中识别在初始NAS消息中什么是明文IE以及什么是加密的IE,可以解决关于解码初始NAS消息的问题。
Description
相关申请的交叉引用
本申请要求2018年3月6日提交的申请号为62/639,041的美国临时申请为优先权,其全部内容通过引用结合在此。此外,本申请要求2018年4月16日提交的申请号为62/657,992的美国临时申请为优先权,其全部内容通过引用结合于此。
技术领域
本申请一般涉及非接入层(Non-Access Stratum,NAS)安全机制,更具体地,涉及用于保护初始NAS消息的装置和方法。
背景技术
在典型的移动通信环境中,用户设备(User Equipment,UE)(也称为移动站(Mobile Station,MS)),诸如移动电话(也称为蜂窝电话或手机),或具有无线通信能力的平板个人计算机(Personal Computer,PC),可以与一个或多个服务网络通信语音和/或数据信号。UE和服务网络之间的无线通信可以使用包括全球移动通信系统(Global Systemfor Mobile communications,GSM)技术、通用分组无线服务(General Packet RadioService,GPRS)技术、全球演进的增强数据速率(Enhanced Data rates for GlobalEvolution,EDGE)技术、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)技术、码分多址2000(Code Division Multiple Access 2000,CDMA-2000)技术,时分-同步码分多址(Time Division-Synchronous Code Division Multiple Access,TD-SCDMA)技术、全球微波接入互操作性(Worldwide Interoperability for MicrowaveAccess,WiMAX)技术、长期演进(Long Term Evolution,LTE)技术、高级LTE(LTE-Advanced,LTE-A)技术、时分LTE(Time Division LTE,TD-LTE)技术、第五代(the fifth-generation,5G)新无线电(New Radio,NR)技术等的各种蜂窝技术来执行。
根据符合5G NR技术的第三代合作伙伴计划(the 3rd Generation PartnershipProject,3GPP)规范和/或要求,可以以部分受保护的格式发送初始NAS消息,在该消息中仅一些信息元素(Information Elements,IE)是明文(cleartext)(也称为明文(cleartext/plaintext)IE),而其他IE是加密的(也称为加密IE)。然而,3GPP没有指定部分受保护的NAS消息的哪些IE是明文,并且当包括可选的IE时,没有明确的方式来识别IE是加密IE还是明文IE。为了进一步阐明,一个或多个明文IE可以是可选的IE,并且它/它们可以位于其他可选但加密的IE的中间。结果,难以从加密数据中识别出什么是可选的明文IE以及什么是加密的IE。
发明内容
为了解决上述问题,本申请提出了用于部分受保护的初始NAS消息的特定消息格式。
在本申请的第一方面,提供了一种包括无线收发器和控制器的UE。无线收发器被配置为执行与服务网络的无线传输和接收。控制器被配置为将UE从无线资源控制(RadioResource Control,RRC)空闲状态转换到RRC连接状态,并且在将UE从RRC空闲状态转换到RRC连接状态之后,通过无线收发器向服务网络发送初始NAS消息,其中,该初始NAS消息包括明文形式的有限IE集以及容器IE,该明文形式的有限IE集是在UE和服务网络之间建立安全所需的,该容器IE携带以NAS安全上下文加密的初始NAS消息协议数据单元(ProtocolData Unit,PDU)。
在本申请的第二方面,提供了一种用于保护初始NAS消息的方法,该方法由通信地连接到服务网络的UE执行。该方法包括步骤:将UE从RRC空闲状态转换到RRC连接状态;在UE从RRC空闲状态转换到RRC连接状态之后,向服务网络发送初始NAS消息,其中,该初始NAS消息包括明文形式的有限IE集以及容器IE,该明文形式的有限IE集是在UE和服务网络之间建立安全性所需的,该容器IE携带以NAS安全上下文加密的初始NAS消息PDU。
本申请提出的用于保护初始NAS消息的UE和方法可以使得网络侧从加密数据中识别在初始NAS消息中什么是明文IE以及什么是加密的IE,可以解决关于解码初始NAS消息的问题。
在阅读以下用于保护初始NAS消息的UE及方法的具体实施例的描述之后,本申请的其他方面和特征对于本领域普通技术人员将变得显而易见。
附图说明
通过参考附图阅读随后的详细描述和示例,可以更全面地理解本申请,其中:
图1是根据本申请实施例的无线通信环境的框图;
图2是示出根据本申请实施例的UE 110的框图;
图3是示出根据本申请实施例的用于保护初始NAS消息的方法的流程图;以及
图4是示出根据本申请的实施例的初始NAS消息的保护的消息序列图。
具体实施方式
以下描述是出于说明本申请的一般原理的目的而进行,并且不应被视为具有限制意义。应该理解,实施例可以用软件、硬件、固件或其任何组合来实现。当在本申请中使用术语“包含(comprise/comprising)”和/或“包括(includes/including)”时,说明所述特征、整数、步骤、操作、组件和/或组件的存在,但不排除存在或者添加一个或多个其他特征、整数、步骤、操作,组件、组件和/或其组合。
图1是根据本申请实施例的无线通信环境的框图。
如图1所示,无线通信环境100可以包括UE 110和服务网络120,其中UE 110可以无线连接到服务网络120以获得移动服务。
UE 110可以是功能电话、智能电话、面板个人计算机(Personal Computer,PC),膝上型计算机或支持服务网络120使用的蜂窝技术(例如,5G NR技术)的任何无线通信设备。在另一个实施例中,UE 110可以支持一种以上的蜂窝技术。例如,UE可以支持5G NR技术和传统4G技术,例如LTE/LTE-A/TD-LTE技术或WCDMA技术。
服务网络120可以包括接入网络121和核心网络122。接入网络121负责处理无线电信号、终止无线电协议,以及将UE 110与核心网络122连接。核心网络122负责执行移动性管理、网络侧认证以及与公共/外部网络(例如,因特网)的接口。接入网络121和核心网络122均可以包括用于执行上述功能的一个或多个网络节点。
在一个实施例中,服务网络120可以是5G NR网络,并且接入网络121可以是无线电接入网络(Radio Access Network,RAN),并且核心网络122可以是下一代核心网络(NextGeneration Core Network,NG-CN)。
RAN可以包括一个或多个蜂窝站,例如支持高频带(例如,高于24GHz)的下一代NodeB(next generation NodeB,gNB),并且每个gNB还可以包括一个或多个传输接收点(Transmission Reception Point,TRP),其中每个gNB或TRP可以称为5G蜂窝站。一些gNB功能可以分布在不同的TRP上,而其他gNB功能可以是集中分布,留下特定部署的灵活性和范围以满足具体情况的要求。
5G蜂窝站可以形成具有不同分量载波(Component Carrier,CC)的一个或多个小区,用于向UE 110提供移动服务。例如,UE 110可以驻留在由一个或多个gNB或TRP形成的一个或多个小区上。其中,UE 110驻留的小区可以称为服务小区,包括主小区(Primary cell,Pcell)和一个或多个辅小区(Secondary cell,Scell)。
NG-CN通常由各种网络功能组成,包括访问和移动功能(Access and MobilityFunction,AMF)、会话管理功能(Session Management Function,SMF)、策略控制功能(Policy Control Function,PCF)、应用功能(Application Function,AF)、认证服务器功能(Authentication Server Function,AUSF)、用户平面功能(User Plane Function,UPF)和用户数据管理(User Data Management,UDM),其中每个网络功能可以实现为专用硬件上的网络组件,或者实现为运行在专用硬件上的软件实例,或者实现为在适当的平台上实例化的虚拟化功能(例如云基础设施)。
AMF提供基于UE的认证、授权、移动性管理等。SMF负责会话管理并向UE分配互联网协议(Internet Protocol,IP)地址。SMF还选择和控制UPF以进行数据传输。如果UE具有多个会话,则可以将不同的SMF分配给每个会话以单独管理它们并且可能为每个会话提供不同的功能。AF向负责策略控制的PCF提供有关分组流的信息,以支持服务质量(Quality ofService,QoS)。基于该信息,PCF确定关于移动性和会话管理的策略,以使AMF和SMF正常运行。AUSF存储用于UE的认证的数据,而UDM存储UE的订购数据。
应当理解,图1的实施例中描述的无线通信环境100仅用于说明目的,并不旨在限制本申请的范围。例如,无线通信环境100可以包括5G NR网络和传统网络(例如,LTE/LTE-A/TD-LTE网络或WCDMA网络),并且UE 110可以无线连接到5GNR网络和传统网络中一个或全部。
图2是示出根据本申请实施例的UE 110的框图。
如图2所示,UE 110可以包括无线收发器10、控制器20、存储设备30、显示设备40和输入/输出(I/O)设备50。
无线收发器10被配置为对由接入网络121的一个或多个蜂窝站形成的小区执行无线发送和接收。
具体地,无线收发器10可以包括射频(Radio Frequency,RF)设备11、基带处理设备12和天线13,其中天线13可以包括用于波束成形的一个或多个天线。
基带处理设备12被配置为执行基带信号处理并控制订户识别卡(未示出)与RF设备11之间的通信。基带处理设备12可以包含多个硬件组件以执行包括模数转换(Analog-to-Digital Conversion,ADC)/数模转换(Digital-to-Analog Conversion,DAC)、增益调整、调制/解调、编码/解码等的基带信号处理。
RF设备11可以经由天线13接收RF无线信号,将接收的RF无线信号转换为基带信号,基带信号由基带处理设备12处理,或者从基带处理设备12接收基带信号,并且将接收的基带信号转换为RF无线信号,RF无线信号随后通过天线13发送。RF设备11还可以包含多个硬件设备以执行射频转换。例如,RF设备11可以包括混频器,用于将基带信号与在支持的蜂窝技术的射频中振荡的载波相乘,其中射频可以是5G NR技术中使用的任何射频(例如,用于mmWave的30GHz~300GHz),或者可以是在LTE/LTE-A/TD-LTE技术中使用的900MHz、2100MHz或2.6GHz,或者其他射频,这取决于所使用的蜂窝技术。
控制器20可以是通用处理器,微控制单元(Micro Control Unit,MCU)、应用处理器、数字信号处理器(Digital Signal Processor,DSP)、图形处理单元(GraphicsProcessing Unit,GPU)、全息处理单元(Holographic Processing Unit,HPU)、神经处理单元(Neural Processing Unit,NPU)等,包括用于提供数据处理和计算功能、控制无线收发器10与由接入网络121的蜂窝站形成的小区进行无线通信、存储和检索存储设备30的数据(例如,程序代码)、将一系列帧数据(例如,代表文本消息、图形、图像等)发送到显示设备40,并通过I/O设备50接收用户输入或输出信号的各种电路。
具体地,控制器20协调无线收发器10、存储设备30、显示设备40和I/O设备50的上述操作,以执行用于保护初始NAS消息的方法。
在另一个实施例中,控制器20可以合并到基带处理设备12中,以用作基带处理器。
如所属领域的技术人员将了解,控制器20的电路通常将包括晶体管,所述晶体管以根据本申请中所描述的功能和操作来控制电路的操作的方式配置。如将进一步理解,晶体管的具体结构或互连通常将由编译器,例如寄存器传输语言(Register TransferLanguage,RTL)编译器确定。RTL编译器可以由处理器在与汇编语言代码非常相似的脚本上操作,以将脚本编译成用于布局或制造最终电路的形式。实际上,RTL以其在促进电子和数字系统设计进程中的作用和用途而闻名。
存储设备30可以是非暂时性机器可读存储介质,包括用于存储数据(例如,测量配置、DRX配置和/或测量结果)、指令和/或应用程序的程序代码,通信协议和/或保护初始NAS消息的方法的存储器,例如FLASH存储器或非易失性随机存取存储器(Non-VolatileRandom Access Memory,NVRAM),或磁存储设备,例如硬盘或磁带,或光盘,或其任何组合。
显示装置40可以是液晶显示器(Liquid-Crystal Display,LCD)、发光二极管(Light-Emitting Diode,LED)显示器、有机LED(Organic LED,OLED)显示器或电子纸显示器(Electronic Paper Display,EPD)等,用于提供显示功能。或者,显示装置40还可包括设置在其上或其下方的一个或多个触摸传感器,用于感测物体(例如手指或指示笔)的触摸、接触或接近。
I/O设备50可以包括一个或多个按钮、键盘、鼠标、触摸板、摄像机、麦克风和/或扬声器等,以用作与用户交互的人机界面(Man-Machine Interface,MMI)。
应当理解,图2的实施例中描述的组件仅用于说明目的,并不旨在限制本申请的范围。例如,UE 110可以包括更多组件,例如电源和/或全球定位系统(Global PositioningSystem,GPS)设备,其中电源可以是向UE 110的所有其他组件提供电力的移动/可更换电池,并且GPS设备可以提供UE 110的位置信息以供一些基于位置的服务或应用使用。或者,UE 110可以包括更少的组件。例如,UE 110可以不包括显示设备40和/或I/O设备50。
图3是示出根据本申请的实施例的用于保护初始NAS消息的方法的流程图。
在该实施例中,用于保护初始NAS消息的方法被应用于通信地连接到服务网络(例如,服务网络120)的UE(例如,UE 110)并由其执行。
首先,UE从RRC空闲状态转换到RRC连接状态(步骤S310)。
UE可以与服务网络执行RRC连接建立过程,以便连接到服务网络以用于上层任务,例如NAS信令。在成功完成RRC连接建立过程后,UE可以从RRC空闲状态转换到RRC连接状态。
接下来,在从RRC空闲状态转换到RRC连接状态之后,UE向服务网络发送初始NAS消息,该初始NAS消息包括在UE和AMF之间建立安全所需的明文形式的有限IE集以及容器IE,该容器IE携带以NAS安全上下文加密的初始NAS消息PDU,(步骤S320),并且该方法结束。
请注意,与初始NAS消息的传统格式不同,本申请的初始NAS消息还包括容器IE,其为新引入的IE以包含初始NAS消息PDU。具体地,初始NAS消息包括有限的IE集和为初始NAS消息定义的其他IE。因此,清楚的是,在初始NAS消息中,只有容器的内容部分(不包括报头部分)被加密,而其他IE(即,上述有限的IE集)是明文的。
在一个实施例中,如果UE在发起初始NAS消息的传输时没有NAS安全上下文,则该UE可以向服务网络首先发送仅包括明文形式的有限IE集的初始NAS消息。之后,在NAS安全控制过程期间,UE可以将初始NAS消息(即,步骤S320中的初始NAS消息)包括在发送至服务网络的NAS安全模式完成消息中。
在另一个实施例中,如果UE在发起初始NAS消息的传输时具有NAS安全上下文,则该UE可以在NAS安全模式控制过程之前发送初始NAS消息(即,步骤S320中的初始NAS消息),或者响应于接收到请求UE发送初始NAS消息的NAS安全模式命令,将初始NAS消息(即,步骤S320中的初始NAS消息)包括在NAS安全模式完成消息中。
除了新引入的容器IE之外,初始NAS消息可以具有5G系统(5G System,5GS)NAS消息类型,其指示初始NAS消息为部分加密的5GS NAS消息。
例如,根据3GPP TS 24.501,v0.3.1,传统类型的初始NAS消息包括普通(plain)5GS NAS消息和安全保护的5GS NAS消息,其中普通5GS NAS消息是指不受安全保护的(即,所有内容都是明文)初始NAS消息,并且受安全保护的5GS NAS消息是指所有内容被加密和/或完整性受到保护的初始NAS消息。除了传统类型的初始NAS消息之外,本申请还提出添加新的5GS NAS消息类型,例如“部分加密的5GS NAS消息”,以指仅部分内容被加密的初始NAS消息。
或者,初始NAS消息可以具有安全报头类型,该安全报头类型指示初始NAS消息是完整性受保护的并且是部分加密的。
例如,根据3GPP TS 24.501,v0.3.1,传统安全报头类型的初始NAS消息包括普通NAS消息和安全保护的NAS消息,其中普通NAS消息是指不受安全保护的(即,所有内容都是明文)初始NAS消息,并且受安全保护的NAS消息是指所有内容的完整性受到保护和/或被加密的初始NAS消息。除了传统的安全报头类型之外,本申请还提出添加新的安全报头类型,例如“完整性受保护和部分加密”,以指仅部分内容被加密的初始NAS消息。
图4是示出根据本申请的实施例的初始NAS消息的保护的消息序列图。
首先,UE 110将初始NAS消息发送到核心网络122的AMF(步骤S410)。具体地,初始NAS消息是指在UE 110从RRC空闲状态转换到RRC连接状态之后发送的第一NAS消息。
在一个实施例中,当UE 110没有NAS安全上下文时,初始NAS消息可以仅包括明文形式的有限IE集,该有限IE集为在UE和AMF之间建立安全性所需的(有限IE集可以在本申请中称为明文IE)。
明文IE可以包括订阅标识符(例如,订阅隐藏标识符(SUbscription ConcealedIdentifier,SUCI)或全球唯一临时UE标识(Globally Unique Temporary UE Identity,GUTI))、UE安全能力、ngKSI、UE正从演进分组核心(Evolved Packet Core,EPC)移动的指示、附加GUTI,以及包含来自LTE的空闲移动性的跟踪区域更新(Tracking Area Update,TAU)请求的IE。
在另一个实施例中,当UE 110具有NAS安全上下文时,初始NAS消息可以包括建立安全性所需的以明文形式的有限IE集和以当前NAS安全上下文加密的容器IE,其中容器IE携带初始NAS消息PDU,初始NAS消息包括有限IE集和用于定义初始NAS消息的其他IE。
接下来,如果核心网络122的AMF不能在本地或从上次访问的AMF(UE 110最后访问的AMF)找到NAS安全上下文或者如果接收到的初始NAS消息的完整性校验失败,则AMF可以发起与UE 110的认证过程(步骤S420)。
在与UE 110成功认证之后,AMF可以向UE 110发送NAS安全模式命令消息(步骤S430)。
在一个实施例中,如果步骤S410中的初始NAS消息受到保护但未通过完整性校验(由于MAC故障或AMF无法找到使用的安全上下文)或AMF无法解密容器IE中的初始NAS消息PDU,则NAS安全模式命令消息可以包括请求UE 110在NAS安全模式完成消息中发送初始NAS消息的标志。
随后,UE 110可以响应于接收到具有请求初始NAS消息的标志的NAS安全模式命令消息,向AMF发送NAS安全模式完成消息(步骤S440)。
NAS安全模式完成消息被加密并且受到完整性保护。此外,如果AMF请求的或UE110发送的初始NAS消息未受保护,则NAS安全模式完成消息可以包括容器IE中的初始NAS消息PDU。
请注意,步骤S420至S440是可选的(即,步骤S420至S440仅在如上所述的某些情况下出现)。
AMF可以使用容器中的初始NAS消息PDU(在步骤S410或S440中)作为要响应的消息。AMF可以针对初始NAS消息发送其响应(步骤S450)。可以对该响应消息进行加密和完整性保护。
本申请中描述的初始NAS消息可以是用于5G系统的注册请求(REGISTRATIONREQUEST)消息或服务请求(SERVICE REQUEST)消息。以REGISTRATION REQUEST消息为例,符合本申请的消息格式如下表1所示。
表1
如表1所示,除了加密的IE容器之外的所有IE都是明文IE。因此,很容易将明文IE与加密的IE区分开。
下面在表2中进一步说明加密的IE容器的详细格式。
表2
如表2所示,只有加密的IE容器的内容部分被加密,而加密的IE容器的标题部分(即,IEI和长度字段)是明文的。
下面在表3中进一步说明了加密容器的内容部分的详细格式。
表3
为了简洁起见,在此省略了关于除了REGISTRATION REQUEST消息中的容器之外的所有IE的详细描述,因为它超出了本申请的范围,并且可以参考3GPP TS24.501,v0.3.1。
鉴于前述实施例应当理解,本申请提出了用于部分受保护的初始NAS消息的特定消息格式,允许网络侧从加密数据识别在初始NAS消息中什么是明文IE以及什么是加密的IE。因此,可以解决关于解码初始NAS消息的问题。
虽然已经通过示例并且根据优选实施例描述了本申请,但是应该理解,本申请不限于此。在不脱离本申请的范围和精神的情况下,本技术领域的技术人员仍可进行各种改变和修改。因此,本申请的范围应由权利要求及其等同物限定和保护。
Claims (14)
1.一种用于保护初始非接入层消息的用户设备,包括:
无线收发器,用于对服务网络进行无线传输和接收;以及
控制器,用于将所述用户设备从无线资源控制空闲状态转换为无线资源控制连接状态,在将所述用户设备从所述无线资源控制空闲状态转换到所述无线资源控制连接状态后,通过所述无线收发器向所述服务网络发送初始非接入层消息,其中,所述初始非接入层消息包括明文形式的有限信息元素集以及容器信息元素,所述明文形式的有限信息元素集是在所述用户设备和所述服务网络之间建立安全所需的,所述容器信息元素携带以非接入层安全上下文加密的初始非接入层消息协议数据单元。
2.如权利要求1所述的用户设备,其特征在于,所述初始非接入层消息包括所述有限信息元素集以及为所述初始非接入层消息定义的所有其他信息元素。
3.如权利要求1所述的用户设备,其特征在于,所述初始非接入层消息包括在非接入层安全模式完成消息中,并且在将所述用户设备从所述无线资源控制空闲状态转换到所述无线资源控制连接状态之后并在发送所述初始非接入层消息之前,所述控制器进一步配置为响应于所述用户设备不具有所述非接入层安全上下文,经由所述无线收发器将仅包括所述明文形式的有限信息元素集的另一初始非接入层消息发送到所述服务网络。
4.如权利要求1所述的用户设备,其特征在于,响应于所述用户设备具有所述非接入层安全上下文,在非接入层安全模式控制过程之前发送所述初始非接入层消息,或者响应于接收到请求所述用户设备发送初始非接入层消息的非接入层安全模式命令,将所述初始非接入层消息包括在非接入层安全模式完成消息中。
5.如权利要求1所述的用户设备,其特征在于,所述初始非接入层消息具有安全报头类型,所述安全报头类型指示所述初始非接入层消息是完整性受保护的并且是部分加密的。
6.如权利要求1所述的用户设备,其特征在于,所述初始非接入层消息具有5G系统非接入层消息类型,其指示所述初始非接入层消息是部分加密的5G系统非接入层消息。
7.如权利要求1所述的用户设备,其特征在于,所述初始非接入层消息是用于5G系统的注册请求消息或服务请求消息。
8.一种保护初始非接入层消息的方法,由通信连接到服务网络的用户设备执行,所述方法包括:
将所述用户设备从无线资源控制空闲状态转换到无线资源控制连接状态;以及
在将所述用户设备从所述无线资源控制空闲状态转换到所述无线资源控制连接状态之后,向所述服务网络发送初始非接入层消息,其中,所述初始非接入层消息包括明文形式的有限信息元素集以及容器信息元素,所述明文形式的有限信息元素集是在所述用户设备和所述服务网络之间建立安全所需的,所述容器信息元素携带以非接入层安全上下文加密的初始非接入层消息协议数据单元。
9.如权利要求8所述的方法,其特征在于,所述初始非接入层消息包括所述有限信息元素集以及为所述初始非接入层消息定义的所有其他信息元素。
10.如权利要求8所述的方法,其特征在于,所述初始非接入层消息包括在非接入层安全模式完成消息中,并且所述方法还包括:
在将所述用户设备从所述无线资源控制空闲状态转换到所述无线资源控制连接状态之后并在发送所述初始非接入层消息之前,响应于所述用户设备不具有所述非接入层安全上下文,向所述服务网络发送仅包括所述明文形式的有限信息元素集的另一初始非接入层消息。
11.如权利要求8所述的方法,其特征在于,响应于所述用户设备具有所述非接入层安全上下文,在非接入层安全模式控制过程之前发送所述初始非接入层消息,或者响应于接收到请求所述用户设备发送初始非接入层消息的非接入层安全模式命令,将所述初始非接入层消息包括在非接入层安全模式完成消息中。
12.如权利要求8所述的方法,其特征在于,所述初始非接入层消息具有安全报头类型,所述安全报头类型指示所述初始非接入层消息是完整性受保护的并且是部分加密的。
13.如权利要求8所述的方法,其特征在于,所述初始非接入层消息具有5G系统非接入层消息类型,其指示所述初始非接入层消息是部分加密的5G系统非接入层消息。
14.如权利要求8所述的方法,其特征在于,所述初始非接入层消息是用于5G系统的注册请求消息或服务请求消息。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862639041P | 2018-03-06 | 2018-03-06 | |
| US62/639,041 | 2018-03-06 | ||
| US201862657992P | 2018-04-16 | 2018-04-16 | |
| US62/657,992 | 2018-04-16 | ||
| PCT/CN2019/077177 WO2019170104A1 (en) | 2018-03-06 | 2019-03-06 | Apparatuses and methods for protection of an intial non-access stratum (nas) message |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110574407A CN110574407A (zh) | 2019-12-13 |
| CN110574407B true CN110574407B (zh) | 2023-04-04 |
Family
ID=67843676
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980000987.8A Active CN110574407B (zh) | 2018-03-06 | 2019-03-06 | 用于保护初始非接入层消息的用户设备和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10813161B2 (zh) |
| CN (1) | CN110574407B (zh) |
| TW (1) | TWI696406B (zh) |
| WO (1) | WO2019170104A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102405412B1 (ko) * | 2018-04-06 | 2022-06-07 | 삼성전자주식회사 | 무선 통신 시스템에서 정보 보안을 위한 장치 및 방법 |
| CN112703754B (zh) * | 2018-09-19 | 2025-03-11 | 苹果公司 | Ue、ue的装置和方法、amf的装置和方法、以及存储介质 |
| EP3857935A4 (en) | 2018-09-24 | 2023-01-04 | Nokia Technologies Oy | Systems and method for security protection of nas messages |
| US10609667B1 (en) | 2019-01-28 | 2020-03-31 | Verizon Patent And Licensing Inc. | System and method for delivery of end device policies during registration procedure |
| CN111866867B (zh) * | 2019-04-28 | 2022-01-14 | 华为技术有限公司 | 信息获取方法及装置 |
| CN111866874B (zh) * | 2019-04-29 | 2022-05-10 | 华为技术有限公司 | 一种注册方法及装置 |
| CN112654046B (zh) * | 2019-09-29 | 2024-08-27 | 华为技术有限公司 | 用于注册的方法和装置 |
| EP4193785A4 (en) | 2020-09-16 | 2023-10-18 | Apple Inc. | Security protection on user consent for edge computing |
| US20220312188A1 (en) * | 2020-09-16 | 2022-09-29 | Apple Inc. | Network operations to receive user consent for edge computing |
| WO2024000412A1 (zh) * | 2022-06-30 | 2024-01-04 | Oppo广东移动通信有限公司 | 通信方法和通信装置 |
| GB2620416B (en) * | 2022-07-07 | 2025-06-04 | Canon Kk | Obfuscation of IES in management frames using container IES with encrypted information section |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618902A (zh) * | 2009-02-16 | 2015-05-13 | 瑞典爱立信有限公司 | 不加密的网络操作解决方案 |
| CN106937317A (zh) * | 2015-12-31 | 2017-07-07 | 联发科技股份有限公司 | 通信装置及安全模式命令失败的恢复方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8699711B2 (en) * | 2007-07-18 | 2014-04-15 | Interdigital Technology Corporation | Method and apparatus to implement security in a long term evolution wireless device |
| US8532614B2 (en) * | 2007-10-25 | 2013-09-10 | Interdigital Patent Holdings, Inc. | Non-access stratum architecture and protocol enhancements for long term evolution mobile units |
| CN101483865A (zh) * | 2009-01-19 | 2009-07-15 | 中兴通讯股份有限公司 | 一种密钥更替方法、系统及设备 |
| CN102026324B (zh) * | 2009-09-18 | 2014-01-29 | 电信科学技术研究院 | 一种聚合小区的重配置方法、设备和系统 |
| EP2572552B1 (en) * | 2010-05-17 | 2017-11-08 | Telefonaktiebolaget LM Ericsson (publ) | Methods and arrangements for setting properties of a relay/repeater node in a radio communication network |
| CN102740287A (zh) * | 2012-07-06 | 2012-10-17 | 大唐移动通信设备有限公司 | 一种非接入层(nas)消息的编、解码方法及装置 |
| CN102833739B (zh) * | 2012-08-24 | 2015-07-01 | 大唐移动通信设备有限公司 | 一种初始非接入层消息的传输方法、装置及系统 |
| CN107637145B (zh) * | 2015-06-11 | 2022-04-22 | 英特尔公司 | 蜂窝IoT网络架构 |
| US9883385B2 (en) * | 2015-09-15 | 2018-01-30 | Qualcomm Incorporated | Apparatus and method for mobility procedure involving mobility management entity relocation |
| US10334435B2 (en) * | 2016-04-27 | 2019-06-25 | Qualcomm Incorporated | Enhanced non-access stratum security |
| US10433174B2 (en) * | 2017-03-17 | 2019-10-01 | Qualcomm Incorporated | Network access privacy |
| CN112738804B (zh) * | 2017-11-17 | 2021-12-21 | 华为技术有限公司 | 一种安全保护的方法及装置 |
| US10986602B2 (en) * | 2018-02-09 | 2021-04-20 | Intel Corporation | Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function |
-
2019
- 2019-03-06 WO PCT/CN2019/077177 patent/WO2019170104A1/en active Application Filing
- 2019-03-06 CN CN201980000987.8A patent/CN110574407B/zh active Active
- 2019-03-06 US US16/293,781 patent/US10813161B2/en active Active
- 2019-03-06 TW TW108107463A patent/TWI696406B/zh active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618902A (zh) * | 2009-02-16 | 2015-05-13 | 瑞典爱立信有限公司 | 不加密的网络操作解决方案 |
| CN106937317A (zh) * | 2015-12-31 | 2017-07-07 | 联发科技股份有限公司 | 通信装置及安全模式命令失败的恢复方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110574407A (zh) | 2019-12-13 |
| TWI696406B (zh) | 2020-06-11 |
| TW201940000A (zh) | 2019-10-01 |
| US20190281649A1 (en) | 2019-09-12 |
| US10813161B2 (en) | 2020-10-20 |
| WO2019170104A1 (en) | 2019-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110574407B (zh) | 用于保护初始非接入层消息的用户设备和方法 | |
| JP7354189B2 (ja) | 移動通信ネットワークに通信可能に接続されるユーザー装置(ue)により実行される方法およびユーザー装置(ue) | |
| CN111052836B (zh) | 用于初始下行链路带宽部分的配置的用户设备和方法 | |
| US20220124573A1 (en) | Apparatuses and methods for recovering from sidelink relay failure | |
| TWI815311B (zh) | 增強使用者設備(ue)對ue路由選擇策略(ursp)規則選擇的處理的方法及使用者設備 | |
| US20190306744A1 (en) | Apparatuses and methods for detrmining reflective quality of service (rqos) support by an rq timer | |
| US12010552B2 (en) | Enhancements on 5G session management (5GSM) handling of network rejection not due to congestion control | |
| TWI772164B (zh) | 存取點名稱或資料網路名稱的選擇方法及使用者設備 | |
| US12127108B2 (en) | Enhancements on user equipment (UE) handling in a limited service state over non-third generation partnership project (3GPP) access | |
| CN111557104B (zh) | 用于在plmn改变之后保护nas消息的装置和方法 | |
| CN114651478B (zh) | 传递系统间非接入层(nas)安全算法的装置和方法 | |
| US20200322795A1 (en) | Apparatuses and methods for alignment of common non access stratum (nas) security context | |
| US12156271B2 (en) | Apparatuses and methods for expedited tunnel establishment with a non-third generation partnership project (3GPP) interworking gateway to access a 3GPP network | |
| TWI807692B (zh) | 更新多址協定資料單元 (ma pdu) 會話的存取技術資訊的設備和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |