CN111357308B 一种安全保护的方法及装置 （华为技术有限公司）

2020.05.18PCT/CN2018/1128972WO2019/096002ZH2019.05.23ERICSSON.Multipleregistration对多条NAS连接链路进行安全保护。本申请的方至少两种接入技术中的每种接入技术维护对应以及传输NAS消息所使用的接入技术对应的NAS序列号对NAS消息进行安全保护。本申请适用于2确定第一参数的值，所述第一参数的值用于表示传输非接入层NAS消息所使用的接入根据所述第一参数的值、NAS密钥以及传输所述NAS消息所使用的接入技术对应的NAS4.根据权利要求1-3任一所述的方法，其特征在于，在传输所5.根据权利要求1-3任一所述的方法，其特征对所述NAS消息进行解密或者对所述NAS消息进行完整性对所述NAS消息进行解密或者对所述NAS消息进行完整性少两种接入技术，且分别为所述至少两种接入技术中的每种接入技术维护对应的NAS序列322.根据权利要求18-20任一所述的方法，其特持的至少两种接入技术中的每种接入技术维护对应的NA所述存储器中保存有程序指令，当所述处理器执行所述程序指令时25.一种通信装置，其特征在于，包括用于执行上述权利要求1-22任一所述方法的单4[0003]在第五代(5thgeneration，5G)系统中，终端可以只通过第三代合作伙伴计划(3rdgenerationpartnershipproject，3GPP)接入技术接入移动性管理功能(access术接入AMF节点，或者终端还可以同时通过3GPP接入技术和non-3GPP接入技术接入AMF节节点之间的NAS连接链路传输的数据安全性较差的问题。所以终端与AMF之间存在多条NAS[0004]本申请的实施例提供一种安全保护的方法及装置，可以实现对多条NAS连接链路所述至少两种接入技术中的每种接入技术维护对应的NAS分别为传输NAS消息所使用的每条传输路径维护对[0009]第一参数可以为加解密或完整性保护过程中新增的一个输入参数，例如接入(ACCESS)参数，可以通过将ACCESS参数的比特位设置成不同的值来表示不同的接入技术。5[0011]采用该方法，终端能够分别为至少两种接入技术中的每种接入技术维护对应的收到通过其中一条链路传输的较小的NAS序列号，后接收到通过另一条链路传输的较大的用了用于区分不同接入技术的第一参数，所以即使对通过不同的接入技术传输的NAS消息进行安全保护时使用的NAS密钥和NAS序列号均相同，对NAS消息进行安全保护的结果也不应的第一上行NAS序列号，然后终端向核心网设备发送第一消息，第一消息通过第一上行序列号为终端保存的第二接入技术对应的上行NAS序列号，若终端保存了至第二接入技术NAS序列号为终端保存的第一接入技术对应的上行NAS序列号加1，若终端保存了第一接入[0015]在另一种可能的设计中，至少两种接入技术包括第一接6可以用于指示第一消息携带的上行NAS序列号的部分或全部接入技术对应的第二上行NAS序列号和第一下行NAS序列消息包括第一接入技术对应的第二上行NANAS序列号为核心网设备保存的第一接入技术对应的下行NAS序列号加1，若核心网设备保下行NAS序列号为核心网设备保存的第一接入技术对应的下行NAS序列号加1，若核心网设设备保存的第一接入技术对应的最大的下行NA[0024]可选地，第二指示信息用于指示第二消息中携带的第一下行NAS序列号对应的传7示传输非接入层NAS消息所使用的接入技术，核心网设备能够分别为终端支持的至少两种心网设备能够分别为传输NAS消息所使用的每条传输路径维护对应的[0029]第一参数可以为加解密或完整性保护过程中新增的一个输入参数，例如接入(ACCESS)参数，可以通过将ACCESS参数的比特位设置成不同的值来表示不同的接入技术。先接收到通过其中一条链路传输的较小的NAS序列号，后接收到通过另一条链路传输的较还使用了用于区分不同接入技术的第一参数，所以即使对通过不同的接入技术传输的NAS消息进行安全保护时使用的NAS密钥和NAS序列号均相同，对NAS消息进行安全保护的结果第一消息，第一消息通过NAS密钥和第一接入技术对应的第一上行NAS序列号进行安全保序列号为终端保存的第二接入技术对应的上行NAS序列号，若终端保存了至第二接入技术NAS序列号为终端保存的第一接入技术对应的上行NAS序列号加1，若终端保存了第一接入8[0035]在另一种可能的设计中，至少两种接入技术包括第一接于指示第一消息携带的上行NAS序列号的部分或[0039]采用本申请的实施例，核心网设备可独立维护3GPP接入技术的NAS序列号和非3GPP接入技术的NAS序列号，进而可根据自身维护的上行NAS序列号对接收到的上行NAS序[0040]在一种可能的设计中，核心网设备确定第一接入技术对应的第二上行NAS序列号一接入技术对应的第二上行NAS序列号和第一下行NAS序消息包括第一接入技术对应的第二上行NANAS序列号为核心网设备保存的第一接入技术对应的下行NAS序列号加1，若核心网设备保的部分或全部比特位为随机数。例如，第一下行NAS序列号中的序列号部分，或NAS9存的第二接入技术对应的下行NAS序列号，若核心网设备保存了第二接入技术对应的至少第一下行NAS序列号为所核心网设备保存的第二接入技术对应的最大的下行NAS序列号加为所核心网设备保存的第一接入技术对应的最大的下行[0046]可选地，第二指示信息用于指示第二消息中携带的第一下行NAS序列号对应的传以避免核心网设备先接收到通过其中一条链路传输的较小的NAS序列号，后接收到通过另[0077]本申请的实施例可以应用于下一代无线通信系统中，例如5G通信系统，如图1所[0078]AMF节点：为负责移动性管理的网元，可以用于实现移动性管理实体(mobility扩展鉴权协议鉴权和密钥协商(extensibleauthenticationprotocolauthenticationAUSF发起鉴权请求，在演进分组系统鉴权和密钥协商(evolvedpacketsystemreality，VR)终端设备、增强现实(augmentedreality，AR)终端设备、机器类型通信第三方的功能网元，此网元主要作用是告知PCF节点最新的第三方企业对于某个应用的业点(或认证凭证存储和处理功能(authenticationcredentialrepositoryandprocessingfunction，APRF)节点)、终端和非3GPP互通功能(non-3GPPinterworking[0096]结合图2所示的网络架构，终端可以同时通过3GPP接入技术和非3GPP接入技术接[0099]NAScount由24bit组成，包括16bit的翻转比特位(overflowcounter)和8bit的[0104]终端和核心网设备在接收到NAS消息后，可以验证接收到的NAScount是否被重AMF节点接收到来自终端的上行NAScount，可以比较此次接收到的上行NAScount是否大[0111]数据传输方向(DIRECTON)用于表示上下行，为上行NAS消息进行加解密时，以得到密钥流(KEYSTERAM)，将密钥流和明文(NAS消息)进行模二加可以得到密文[0118]演进分组系统完整性算法(evolvedpacketsystemintegrityalgorithm，EPS[0119]完整性保护的方法为发送端将输入参数(KEY、COUNT、MESSAGE、BEARER、DIRECTION)经过EIA处理，可以得到完整性保护的预期消息鉴权码(message数(KEY、COUNT、MESSAGE、BEARER、DIRECTION)经过EIA处理，可以得到期望消息鉴权码[0126]或者，还可以用001代表使用的第一种接入技术，010表传输NAS消息所使用的接入技术。如何通过比特位的值来区分不同的接入技术可参考第一输NAS消息所使用的接入技术，或表示传输NAS消息所使用的接入路径，第一参数可以为BEARER的部分或全部。示例性地，可以选取前3bit用于表示传输NAS消息所使用的接入技NAS密钥为终端能够支持的至少两种接入技术共享的NAS密钥。[0141]可以理解的是，终端能够为至少两种接入技术中的每种接入技术维护对应的NAS端为3GPP接入技术维护的上行NAS序列号和NAS密钥对N术对应的第一参数以及NAS密钥对NAS消息进行解密和/或进行完整性保可以避免核心网设备先接收到通过其中一条链路传输的较小的NAS序列号，后接收到通过[0151]其中，AMF节点确定第一参数的方法与上述图5的步骤501中终端确定第一参数的[0154]AMF节点对NAS消息进行安全保护可以为对待传输至终端的NAS消息进行加密，对术中的每种接入技术维护对应的NAS序列号，终端在使用不同的接入技术传输NAS消息时，不是共用一套NAS序列号，而是使用为对应的接入技术维护的NAS序列号对NAS消息进行安[0161]所述至少两种接入技术还包括第二接入技术，所述第一上行NAS序列号为所述终端保存的所述第二接入技术对应的上行NAS序列号，若终端保存了至第二接入技术对应的[0162]所述至少两种接入技术还包括第二接入技术，所述第一上行NAS序列号为所述终[0163]第一上行NAS序列号为所述终端保存的所述第一接入技术对[0164]第一上行NAS序列号为所述终端保存的所述第一接入技术对应的上行NAS序列号定使用非3GPP接入技术传输NAS消息时携带的第一上行[0167]若终端首次通过非3GPP接入技术接入AMF节点，则可将非3GPP接入技术对应的第NAS消息后，在下一次需要发送NAS消息时，将存储的NAScount加1从而确定一个新的NAScount，使用新的NAScount对NAS消息进行安全保护)则可以确定第一上行NAS序列号为终法为上述方法一，则可确定第一上行NAS序列号为终端保存的非3GPP接入技术对应的上行存的非3GPP接入技术对应的上行NAS序端已经通过3GPP接入技术接入过AMF节点，则终端可以直接暂时不确定第一上行NAS序列[0173]其中，第一消息通过NAS密钥和第二接入技术对应的上行NAS序列号进行安全保[0174]第一消息中携带的第二接入技术对应的上行NAS序列号为终端保存的第二接入技存的第二接入技术对应的最大的上行NAS第一指示信息用于指示第一消息中携带的上行NAS序列号的部分或全部对应的接入技术，或者第一指示信息用于指示第一消息中携带的NAS序列号的全部或部分对应的传输路径。消息中的明确告知的接入类型指示信息(如，无线接入技术(radioaccesstechnology，否大于AMF节点中保存的上一次接收到的非3GPP接入技术对应的上行NAS序列号，若大于，节点确定该终端之前未通过非3GPP接入技术接入过AMF节点，则AMF节点将第一NAS序列号第一NAS序列号，再根据上述处理第一NAS序列号的方法对第一NAS序列号进行验证或者保上行NAS序列号为核心网设备保存的第二接入技术对应的下行NAS序列号加1，若核心网设第二上行NAS序列号为第一上行NAS序下行NAS序列号为所核心网设备保存的第二接入技术对应的最大的下行NAS序列号。或者，第一下行NAS序列号为核心网设备保存的第二接入技术对应的下行NAS序列号加1，若核心[0188]可选地，若AMF节点接收到的第一消息中携带的是第二接入技术对应的NAS序列带的是第一接入技术对应的第一下行NAS序列号，所以第二指示信息用于指示第一接入技第一下行NAS序列号对接收到的下行NAS消息中的下行NAS例可以应用于终端已经通过3GPP接入技术接入AMF节点，之后终端通过非3GPP接入技术接[0198]步骤1102、终端和N3IWF节点交互互联网密钥交互协议安全关联初始(internet[0200]步骤1103、终端向N3IWF节点发送互联网密钥交互协议鉴权请求(internetkey[0202]步骤1104、N3IWF节点向终端发送互联网密钥交互协议鉴权响应消息(internet[0204]其中，IKE_AUTH_Res消息中携带可扩展鉴权协议5G接入请求(extensibleauthenticationprotocol_5thgeneration_request，EAP_5G_Req)消息的5G开始(5Gstart)消息，EAP_5G_Req消息用于请求终端开始5G的可扩展鉴权协议(extensible[0206]其中，第一上行NAS序列号为用于对终端向AMF节点发送的NAS消息进行安全保护[0209]由于终端已经通过3GPP接入技术接入过AMF节点，所以终端已经存储了3GPP接入号为终端保存的3GPP接入技术对应的上行NAS序列号(若终端保存了3GPP接入技术对应的终端保存的非3GPP接入技术对应的上行NAS序列号加1(若终端保存了非3GPP接入技术对应[0210]第二种为终端生成非3GPP接入技术对应的NAS序列号，将非3GPP接入技术对应的行NAS序列号为终端中保存的非3GPP接入技术对应的上行NAS序列号(若终端中保存了非3GPP接入技术对应的至少两个上行NAS序列号，则第一上行NAS序列号为终端中保存的非3GPP接入技术对应的最大的上行NAS序列号)，或者终端可以确定第一上行NAS序列号为终端中保存的非3GPP接入技术对应的NAS序列号加1(若终端中保存了非3GPP接入技术对应的以理解的是，若终端通过上述第一种实现方式确定第一上行NAS序列号，则该指示符指示可扩展鉴权协议5G接入相应的5G非接入层消息(EAP-5G-ReS消息相应的5G-NAS消息)或5G-[0226]AMF节点可根据注册请求消息中的临时身份标识和密钥标识符生成完整性保护密点验证第一上行NAS序列号是否比上一次接收到的3GPP接入技术对应的NAS序列号大，若[0228]若第一指示信息指示的第一上行NAS消息对应的接入技术为非3GPP接入技术，且终端未通过非3GPP接入技术接入过AMF节点，则AMF节点将第一NAS序列号保存为非3GPP接入技术对应的上行NAS序列号，或者AMF节点确定非3GPP接入技术对应的上行NAS序列号为[0231]步骤1111、AMF节点确定非3GPP接入技术对应的第二上行NAS序列号和第一下行接入技术确定NAS序列号，则AMF节点可以确定非3GPP接入技术对应的第二上行NAS序列号0。若第二上行NAS序列号为随机数，则第二上行NAS序列号中的部分或全部比特位为随机大于AMF节点保存的3GPP接入技术对应的下行NAS序列号(若AMF节点保存了3GPP接入技术对应的至少两个下行NAS序列号，则第二上行NAS序列号需大于AMF节点保存的3GPP接入技[0235]第二上行NAS序列号还可以为AMF节点保存的3GPP接入技术对应的下行NAS序列号终端保存的3GPP接入技术对应的最大的下行NAS序列号)；或者，第二上行NAS序列号为为AMF节点保存的3GPP接入技术对应的下行NAS序列号加1(若AMF节点保存了3GPP接入技术对的下行NAS序列号加1(AMF节点保存了非3GPP接入技术对应的至少两个下行NAS序列号，则第二上行NAS序列号为终端保存的非3GPP接入技术对应的最大的下行NAS序列号加1)；或[0238]若第一下行NAS序列号为0，则第一下行NAS序列号的所有比特位或部分比特位均大于AMF节点保存的3GPP接入技术对应的最大的下行[0239]第一下行NAS序列号还可以为AMF节点保存的3GPP接入技术对应的下行NAS序列号列号为AMF节点保存的3GPP接入技术对应的下行NAS序列号加1(若AMF节点保存了3GPP接入技术对应的至少两个下行NAS序列号，则第一下行NAS序列号为AMF节点保存的3GPP接入技入技术对应的下行NAS序列号加1(若AMF节点保存了非3GPP接入技术对应的下行NAS序列号，则第一下行NAS序列号为AMF节点保存的非3GPP接入技术对应的最大的下行NAS序列号[0240]需要说明的是，AMF节点可以保存生成的第二上行NAS序列号和第一下行NAS序列可以另外维护非3GPP接入技术对应的上行NAS序列号和下行NAS序列号。若AMF节点生成了非3GPP接入技术对应的上行NAS序列号为第一上行N[0241]可以理解的是，AMF节点分别为3GPP接入技术和非3GPP接入技术各独立维护了一的比特位信息、或者根据N2消息中的信息确定终端传输该上行NAS消息所使用的接入技术或传输路径，若使用的接入技术为3GPP接入技术，则可以比较上行NAS消息中携带的上行[0242]步骤1112、AMF节点通过N3IWF节点向终端发送NAS安全模式命令(securitymode[0245]NASSMC消息中携带第二上行NAS序列号和第一下行NAS序列号之一或全部，可以第二上行NAS序列号和第一下行NAS序[0249]其中，终端也可以分别为3GPP接入技术和非3GPP接入技术各独立维护一套NAS序列号，在本实施例的场景下，终端已经存储了3GPP接入技术对应的上行NAS序列号和下行NAS序列号，终端还可以根据本步骤接收到的NASSMC消息确定为非3GPP维护的上行NAS序术对应上行NAS序列号仍为第一上行NAS序列号，非3GPP接入技术对应的下行NAS序列号为息确定终端传输该下行NAS消息所使用的接入技术或传输路径，若使用的接入技术为3GPP[0252]步骤1114、终端通过N3IWF节点向AMF节点发送NAS安全模式完成(securitymode性保护。第一参数用于表示传输NASSMP消息所使用的接入技术为非3GPP接入技术或用于NAS序列号是否大于AMF节点存储的非3GPP接入技术对应的上行NAS序列号，或者是否大于NASSMP消息中携带的上行NAS序列号是否大于AMF节点存储的非3GPP接入技术对应的最大[0262]步骤1118、终端和N3IWF节点之间建立网络安全协议(internetprotocol[0264]通过本申请的实施例提供的方法，可以实现终端通过非3G应的NAS序列号，即AMF节点可以使用自身保存的3GPP接入技术对应的上行NAS序列号对N2消息中携带的上行NAS序列号进行验证。若N2消息来自使用非3GPP接入技术的设备，例如存的非3GPP接入技术对应的上行NAS序列号对