加入通信網絡的方法技術

技術編號：44474332 閱讀：4 留言：0更新日期：2025-03-04 17:43

本發明專利技術涉及一種用于驗證發送給第二設備的信息的裝置，該裝置包括：適于存儲信息的存儲器以及適于發送和接收消息的收發器，其中，該裝置被配置為向所述第二設備發送具有所述信息的第一消息，其中所述設備被配置為從所述第二設備接收驗證質詢，其中，所述裝置適于基于所述驗證質詢、在所述第一設備和所述第二設備之間共享的密鑰材料以及在所述第一消息中交換的信息來計算響應并向所述第二設備發送響應。

全部詳細技術資料下載

【技術實現步驟摘要】
【國外來華專利技術】

本專利技術涉及安全應用，特別是用于在加入通信網絡以及在通信網絡中進行通信的安全方法，通信網絡諸如-但不限于-蜂窩網絡。

技術介紹

1、在蜂窩網絡中，主站服務于位于由該主站服務的小區內的多個次站。在下行鏈路信道上完成從主站到每個次站的無線通信。相反，在上行鏈路信道上完成從每個次站到主站的無線通信。無線通信可以包括數據業務(有時稱為用戶數據)和控制信息(有時也稱為信令)。該控制信息通常包括幫助主站和/或次站交換數據業務的信息(例如，資源分配/請求、物理傳輸參數、關于相應站的狀態的信息)。

2、在由3gpp標準化的蜂窩網絡的上下文中，主站被稱為基站，或5g(nr)中的gnodeb(或gnb)或4g(lte)中的enodeb(或enb)。enb/gnb是無線電接入網絡ran的一部分，其與核心網(cn)中的功能對接。在相同上下文中，次站對應于4g/5g中的移動站或用戶設備(或ue)，該移動站或用戶設備是無線客戶端設備或該設備所扮演的特定角色。術語“節點”還用于表示ue或gnb/enb。

3、另外，例如，在pc5接口或側行鏈路通信的情況下，可以在次站(這里是ue)之間進行直接通信。然后，ue還可以作為中繼來操作，以允許例如覆蓋區域之外的ue獲得到enb或gnb的中間(或間接)連接。為了能夠充當中繼，ue可以使用發現消息來建立與其他ue的新連接。

4、次站與核心網執行初始認證過程以彼此認證并建立初始安全上下文。核心網還提供用于次站建立與應用功能的安全通信鏈路的單元。還正在設計和部署新的接入網絡，以使得次站能

5、網絡接入協議可能易受中間人攻擊或掩蓋攻擊(overshadow?attack)的影響。中間人(mitm)攻擊者是置于主站和次站之間并且能夠轉發、修改、注入或丟棄消息的攻擊者。在掩蓋攻擊中，攻擊者注入信號，該信號修改接收器接收的消息。文獻中描述了mitm可以執行的若干特定攻擊。例如，mitm可能能夠修改次站的安全能力。安全能力可以包括ue支持或ue偏好的機密性或完整性算法，例如5g中的新無線電完整性算法(nia)或新無線電加密算法(nea)。通過修改優選或支持的安全能力，mitm可以管理以觸發不同類型的攻擊，諸如supi捕獲攻擊或ip欺騙攻擊。

6、基于次站與核心網之間的認證和密鑰協商階段，可以在網絡功能(例如，5g?ausf)和次站處導出并存儲主密鑰。基于該密鑰，可以導出另外的密鑰，例如以服務應用。關于密鑰的導出和管理，存在多個問題。例如，(1)當次站從lte移動到5g網絡時，(2)當應用已經長時間使用應用密鑰時，或者(3)當次站正在漫游時。該最后方面還涉及例如合法攔截，因為當次站在vplmn中漫游時，vplmn可能希望具有用于af和次站之間的通信的解密密鑰，而與af的位置(vplmn、hplmn或外部)無關。

7、此外，次站還可能需要與例如主站(ran)或一些網絡功能共享某些參數(或個人可識別信息)。例如，經由非地面網絡(ntn)接入的次站可能需要共享其粗略位置。實際上，在該示例中，可能需要次站的粗略位置，例如，以將正確的amf分配給次站。共享這樣的參數可以在次站和主站之間建立安全連接之后發生，以確保該信息不被竊聽。即使這樣的位置信息的共享可以以安全的方式完成(受as安全保護)，仍然可能需要用戶同意。

8、次站還可以在無線接口上共享某些標識符而沒有保護。例如，在初始隨機接入過程中交換的“優先級接入”值不受保護，換句話說，5g標準允許如“highpriorityaccess”、“mps-priorityaccess”、“mcs-priorityaccess”之類的建立原因通過空中以純文本發送。以純文本公開該信息可以允許攻擊者識別ue或造成隱私風險的通信的特征。當前的解決方案不能保護這些領域。

9、類似地，在3gpp中，正在開發新的ran組件，諸如移動主站或網絡控制中繼器(ncr)。.然而，當這些ncr或移動主站連接到網絡時，它們如何在網絡中被認證和授權是不清楚的。

技術實現思路

1、本專利技術的目的是提供一種對這些類型的攻擊有彈性的方法。

2、本專利技術的另一個目的是提供增強的安全能力，例如在漫游場景中支持akma。

3、本專利技術的另一個目的是提供一種對攻擊、特別是這種類型的mitm攻擊有彈性的通信設備。本專利技術的另一個目的是提供一種當在網絡中嘗試時可以使用這種類型的攻擊來檢測攻擊者的通信系統。

4、本專利技術的另一個目的是增強整體密鑰協商和導出過程。

5、本專利技術的另一個目的是提供增強的安全能力，例如用戶同意。

6、本專利技術的另一個目的是提供增強的安全能力，例如用于認證和授權ncr的單元。

7、本專利技術的另一個目的是提供增強的安全能力，例如通過無線接口保護標識符。

8、在某些場景中攻擊可以成功的原因是因為mitm能夠以這樣的方式修改消息110，使得諸如ue?100的優選/支持的安全能力(或其位置，或ue所在的設備的類型)之類的參數被改變，從而向核心網104給出錯誤的指示，例如，使用等同于無完整性和無加密的nia0和nea0完整性/加密算法。

9、因此，根據本專利技術的當前定義，描述了如何可以保護該信息(即安全能力)，例如，通過將其包括在認證和密鑰協商階段106中，使得所執行的認證檢查取決于由ue發送的安全參數。

10、根據本專利技術的第一方面，提出了一種用于驗證發送到第二設備的敏感字段的裝置，該裝置包括：

11、存儲器，其適于存儲信息；以及

12、收發器，其適于發送和接收消息，

13、其中，所述裝置被配置為：

14、-向所述第二設備發送具有敏感字段的第一消息；

15、-從第二設備接收驗證質詢，

16、-基于驗證質詢、在第一設備和第二設備之間共享的密鑰材料以及在第一消息中交換的敏感字段來計算響應并向第二設備發送響應。

17、根據本專利技術的第二方面，提出了一種用于驗證從第一設備接收的敏感字段的裝置，該裝置包括

18、存儲器，其適于存儲信息；以及

19、收發器，其適于發送和接收消息，

20、其中，所述裝置被配置為：

21、從第一設備接收具有敏感字段的第一消息，

22、從第一設備接收響應，以及

23、檢查響應的函數是否匹配取決于第一消息中接收到的敏感字段的值。

24、根據本專利技術的第三方面，提出了一種系統，其包括至少本專利技術的第一方面的第一通信設備和本專利技術的第二方面的至少一個第二設備。

25、此外，根據本專利技術的第四方面，提出了一種用于驗證發送到第二設備的敏感字段的方法，該方法包括：

26、a.第一設備向所述第二設備發送具有所述信息的第一消息，

27、b.從第二設備接收驗證質詢，

<本文檔來自技高網...

【技術保護點】

1.一種用于驗證發送到第二設備的敏感字段的裝置，所述裝置包括：

2.根據權利要求1所述的裝置，其中，所述敏感字段是以下各項中的至少一項：

3.根據前述權利要求中任一項所述的裝置，其中，所述響應被計算為K和所述敏感字段的加密函數。

4.根據前述權利要求中任一項所述的裝置，其中，所述響應被計算為Challenge(K，R，SNname，敏感字段)。

5.根據前述權利要求中任一項所述的裝置，其中，所述第一消息包括指示要計算包括在所述第一消息中交換的需要驗證的信息的所述響應的字段。

6.一種用于驗證從第一設備接收的敏感字段的裝置，所述裝置包括：

7.根據權利要求6所述的裝置，其中，所述裝置基于所述第一消息中包括的字段來決定要執行的所述檢查。

8.根據權利要求6所述的裝置，其中，所述裝置檢查所述響應是否匹配K和UE安全能力的加密函數，例如，Challenge(K，R，SNname，UE安全能力)。

9.根據權利要求8所述的裝置，其中，如果先前的檢查無效，則所述裝置檢查所述響應是否匹配K的加密函數

10.一種系統，至少包括根據權利要求1-5中任一項所述的第一通信設備以及根據權利要求6-9中任一項所述的至少一個第二設備。

11.一種用于驗證發送到第二設備的敏感字段的方法，所述方法包括：

12.一種用于用第二設備保護消息的裝置，其中，所述裝置被配置為執行以下步驟：

13.根據權利要求12所述的裝置，其中，所述消息是初始注冊請求。

14.根據權利要求13所述的裝置，其中，所述裝置被配置為使用所述對稱密鑰來保護：

15.根據權利要求12所述的裝置，其中，所述消息是隨機接入消息。

16.根據權利要求13-15所述的裝置，其中，所述私有字段包括以下各項中的至少一項：

17.根據權利要求14-16所述的裝置，其中，與第三設備(例如，AMF)共享一個或多個字段。

18.根據權利要求12-17所述的裝置，包括接收器，其適于接收具有以下各項中的至少一項的受保護的消息：

19.一種用于在UE到網絡中繼場景中的安全通信的裝置，其中，所述裝置適于：

20.根據權利要求19所述的裝置，其中，所述裝置適于僅在所述裝置先前已經發送了包括緊急RSC的DCR消息的情況下才接受所接收的未受保護的和/或包括空加密和完整性算法的直接安全模式命令。

21.根據權利要求20所述的裝置，其中，所述裝置適于在所述裝置先前未發送包括緊急RSC的DCR消息的情況下拒絕所接收的未受保護的和/或包括空加密和完整性算法的直接安全模式命令。

22.一種用于UE到網絡中繼場景中的安全通信的方法，其中，遠程UE適于：

23.一種用于合法攔截的方法，其中：

24.根據權利要求23所述的方法，其中，所述第二NF從所述第一NF接收密鑰材料，其中，所述第二NF負責收集所述AKMA密鑰材料以用于合法攔截目的。

25.一種用于合法攔截的方法，其中：

26.根據權利要求25所述的方法，其中，所述第一NF向所述第二NF提供密鑰材料，其中，所述第二NF負責收集所述AKMA密鑰材料以用于合法攔截目的。

27.根據權利要求25-26所述的方法，其中，所述第一網絡僅在從所述第二NF接收到承認時才觸發歸屬網絡觸發初級認證(HONTRA)，所述HONTRA可以位于所述第一網絡或所述第二網絡中，所述承認對所述密鑰材料已經被成功接收進行確認。

28.根據權利要求25-27所述的方法，其中，

29.根據權利要求23-28所述的方法，其中，所述第二網絡與所述第一網絡相同。

30.根據權利要求25-29所述的方法，其中

31.根據權利要求23-24所述的方法，其中

32.根據權利要求31所述的方法，其中，如果所述驗證成功，則由所述第二NF向所述其他實體釋放所述消息。

33.一種在第二網絡中的第二網絡功能NF裝置，包括：

34.一種第一網絡中的第一網絡功能NF裝置，包括：

35.一種包括代碼的存儲介質，所述代碼一旦被加載到計算機上就使得所述計算機能夠執行根據權利要求22-32所述的方法的步驟。

...

【技術特征摘要】
【國外來華專利技術】

1.一種用于驗證發送到第二設備的敏感字段的裝置，所述裝置包括：

2.根據權利要求1所述的裝置，其中，所述敏感字段是以下各項中的至少一項：

3.根據前述權利要求中任一項所述的裝置，其中，所述響應被計算為k和所述敏感字段的加密函數。

4.根據前述權利要求中任一項所述的裝置，其中，所述響應被計算為challenge(k，r，snname，敏感字段)。

5.根據前述權利要求中任一項所述的裝置，其中，所述第一消息包括指示要計算包括在所述第一消息中交換的需要驗證的信息的所述響應的字段。

6.一種用于驗證從第一設備接收的敏感字段的裝置，所述裝置包括：

7.根據權利要求6所述的裝置，其中，所述裝置基于所述第一消息中包括的字段來決定要執行的所述檢查。

8.根據權利要求6所述的裝置，其中，所述裝置檢查所述響應是否匹配k和ue安全能力的加密函數，例如，challenge(k，r，snname，ue安全能力)。

9.根據權利要求8所述的裝置，其中，如果先前的檢查無效，則所述裝置檢查所述響應是否匹配k的加密函數，例如，challenge(k，r，snname)。

10.一種系統，至少包括根據權利要求1-5中任一項所述的第一通信設備以及根據權利要求6-9中任一項所述的至少一個第二設備。

11.一種用于驗證發送到第二設備的敏感字段的方法，所述方法包括：

12.一種用于用第二設備保護消息的裝置，其中，所述裝置被配置為執行以下步驟：

13.根據權利要求12所述的裝置，其中，所述消息是初始注冊請求。

14.根據權利要求13所述的裝置，其中，所述裝置被配置為使用所述對稱密鑰來保護：

15.根據權利要求12所述的裝置，其中，所述消息是隨機接入消息。

16.根據權利要求13-15所述的裝置，其中，所述私有字段包括以下各項中的至少一項：

17.根據權利要求14-16所述的裝置，其中，與第三設備(例如，amf)共享一個或多個字段。

18.根據權利要求12-17所述的裝置，包括接收器，其適于接收具有以下各項中的至少...

【專利技術屬性】
技術研發人員：O·加西亞莫爾瓊，N·薩巴赫，R·J·戴維斯，
申請(專利權)人：皇家飛利浦有限公司，
類型：發明
國別省市：

全部詳細技術資料下載我是這個專利的主人

相關技術

網友詢問留言已有0條評論

還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。

發布您的意見

相關領域技術