Область техники
Настоящее изобретение относится к области связи и, в частности, к способу защиты сообщений, соответствующему устройству и системе.
Уровень техники
Обмен данными пользовательского оборудования (UE) связь в сотовой технологии "Интернета вещей" (IoT) имеет характеристики малого объема данных и низкой частоты отправки данных. Кроме того, в системе мобильной связи информация переносится посредством использования радиоканала. В результате взломщику легко подслушать, перехватить или исказить информацию. Данные в сотовой технологии IoT включают в себя много данных, которые очень чувствительны, очень конфиденциальны и имеют требование высокого уровня безопасности. Таким образом, люди ищут лучший способ гарантировать безопасность сотовой связи IoT.
На предшествующем уровне техники предполагается улучшение безопасности технологии общей службы пакетной радиосвязи (GPRS), чтобы гарантировать безопасность связи сотовой технологии IoT, которая, в частности, включает в себя: улучшение соглашения об алгоритме однонаправленной аутентификации (AKA) между пользовательским оборудованием и стороной сети на двунаправленную аутентификацию; и формирование ключа защиты целостности для защиты безопасности сигнализации между пользовательским оборудованием и узлом поддержки обслуживания GPRS (SGSN).
Фиг. 1 является блок-схемой последовательности этапов защиты целостности сигнализации на основе GPRS на предшествующем уровне техники, причем соглашение об аутентификации и ключах реализовано в одной процедуре, и в соответствии с требованием к защите сообщение запроса соглашения об аутентификации и ключах должно быть защищено посредством использования ключа защиты целостности "Интернета вещей" (сеансового ключа защиты целостности сотовой технологии IoT на основе Gb, Kti) и алгоритма защиты целостности. Пользовательское оборудование принимает сообщение запроса соглашения об аутентификации и ключах и выполняет верификацию целостности сообщения. После того, как верификация является успешной, пользовательское оборудование и узел SGSN отдельно разрешают защиту шифрования плоскости данных и защиту шифрования, и защиту целостности сигнальной плоскости.
Однако на предшествующем уровне техники не определено, каким образом реализовать защиту для всей процедуры сигнализации соглашения о ключе и алгоритме. Защита сигнальной плоскости между пользовательским оборудованием и узлом SGSN должна быть реализована на уровне протокола управления логической линии связи (LLC), но ключ и алгоритм должны быть согласованы на уровне управления мобильностью GPRS (GMM)/уровне протокола управления сеансами (SM). Когда пользовательское оборудование принимает на уровне протокола LLC сообщение запроса соглашения об аутентификации и ключах, отправленное посредством узла SGSN, пользовательское оборудование не получает ключ и алгоритм от уровня протокола GMM/SM, и не может выполнить верификацию целостности сообщения запроса соглашения об аутентификации и ключах. Таким образом, на предшествующем уровне техники отсутствует приемлемое решение реализации, что приводит к трудностям работы в реальном применении.
Сущность изобретения
Варианты осуществления настоящего изобретения обеспечивают способ защиты сообщений, соответствующее устройство и систему для получения поддержки в реальном применении, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм.
Ввиду этого, первый аспект настоящего изобретения обеспечивает способ защиты сообщений, включающий в себя:
прием посредством пользовательского оборудования посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщения запроса соглашения об аутентификации и ключах, отправленного узлом поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
получение посредством пользовательского оборудования первого идентификатора алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах и формирование первого ключа;
верификацию посредством пользовательского оборудования первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом;
формирование посредством пользовательского оборудования ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, если пользовательское оборудование определяет, что верификация первого кода аутентификации сообщения является успешной, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
отправку посредством пользовательского оборудования ответного сообщения соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Со ссылкой на первый аспект вариантов осуществления настоящего изобретения в первом возможном методе реализации
первый ключ включает в себя первый ключ шифрования, и первый алгоритм включает в себя первый алгоритм шифрования; или
первый ключ включает в себя первый ключ целостности, и первый алгоритм включает в себя первый алгоритм защиты целостности; или
первый ключ включает в себя первый ключ шифрования и первый ключ целостности, и первый алгоритм включает в себя первый алгоритм шифрования и первый алгоритм защиты целостности.
Со ссылкой на первый возможный метод реализации первого аспекта вариантов осуществления настоящего изобретения во втором возможном методе реализации после формирования ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом способ дополнительно включает в себя:
шифрование посредством пользовательского оборудования ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
выполнение посредством пользовательского оборудования защиты целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности; или
шифрование посредством пользовательского оборудования ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнение защиты целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
Со ссылкой на первый аспект вариантов осуществления настоящего изобретения или первый, или второй метод реализации первого аспекта в третьем возможном методе реализации перед приемом посредством пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования сообщения запроса соглашения об аутентификации и ключах, отправленного узлом SGSN, способ дополнительно включает в себя:
отправку посредством пользовательского оборудования сообщения запроса прикрепления на уровень протокола GMM/SM узла SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования, с тем чтобы узел SGSN сформировал сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN в соответствии с сообщением запроса прикрепления.
Со ссылкой на любой из первого аспекта вариантов осуществления настоящего изобретения или возможных методов реализации с первого по третий первого аспекта в четвертом возможном методе реализации после отправки посредством пользовательского оборудования ответного сообщения соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования способ дополнительно включает в себя:
отправку посредством пользовательского оборудования первого ключа и первого идентификатора алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования.
Со ссылкой на четвертый возможный метод реализации первого аспекта вариантов осуществления настоящего изобретения в пятом возможном методе реализации после отправки посредством пользовательского оборудования первого ключа и первого идентификатора алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования способ дополнительно включает в себя:
шифрование посредством пользовательского оборудования данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
шифрование посредством пользовательского оборудования данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнение защиты целостности для сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
Второй аспект настоящего изобретения обеспечивает способ защиты сообщений, включающий в себя:
получение посредством узла поддержки обслуживания GPRS (SGSN) второго идентификатора алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирование второго ключа, причем второй идентификатор алгоритма используется для указания второго алгоритма;
формирование посредством узла SGSN сообщения запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма и отправку сообщения запроса соглашения об аутентификации и ключах пользовательскому оборудованию, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
прием посредством узла SGSN посредством использования уровня протокола GMM/SM узла SGSN ответного сообщения соглашения об аутентификации и ключах, отправленного посредством пользовательского оборудования, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
выполнение посредством узла SGSN верификации второго кода аутентификации сообщения на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма.
Со ссылкой на второй аспект вариантов осуществления настоящего изобретения в первом возможном методе реализации,
второй ключ включает в себя второй ключ шифрования, и второй алгоритм включает в себя второй алгоритм шифрования; или
второй ключ включает в себя второй ключ целостности, и второй алгоритм включает в себя второй алгоритм защиты целостности; или
второй ключ включает в себя второй ключ шифрования и второй ключ целостности, и второй алгоритм включает в себя второй алгоритм шифрования и второй алгоритм защиты целостности.
Со ссылкой на второй аспект вариантов осуществления настоящего изобретения или первый возможный метод реализации второго аспекта во втором возможном методе реализации перед формированием сообщения запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN и отправкой сообщения запроса соглашения об аутентификации и ключах пользовательскому оборудованию способ дополнительно включает в себя:
прием посредством узла SGSN посредством использования уровня протокола GMM/SM узла SGSN сообщения запроса прикрепления, отправленного пользовательским оборудованием, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования; и
получение посредством узла SGSN второго идентификатора алгоритма на уровне протокола GMM/SM узла SGSN и формирование второго ключа включает в себя:
получение посредством узла SGSN второго алгоритма в соответствии с информацией о сетевых возможностях пользовательского оборудования; и
получение посредством узла SGSN информации вектора авторизации пользовательского оборудования в соответствии с идентификатором пользовательского оборудования и формирование второго ключа в соответствии с информацией вектора авторизации.
Со ссылкой на второй аспект вариантов осуществления настоящего изобретения или первый или второй возможный метод реализации второго аспекта в третьем возможном методе реализации после верификации посредством узла SGSN второго кода аутентификации сообщения на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма способ дополнительно включает в себя:
отправку посредством узла SGSN второго ключа и второго идентификатора алгоритма на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, если узел SGSN определяет, что верификация второго кода аутентификации сообщения является успешной.
Со ссылкой на третий возможный метод реализации второго аспекта вариантов осуществления настоящего изобретения в четвертом возможном методе реализации после отправки посредством узла SGSN второго ключа и второго идентификатора алгоритма на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, если узел SGSN определяет, что верификация второго кода аутентификации сообщения является успешной, способ дополнительно включает в себя:
шифрование посредством узла SGSN данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования; или
шифрование посредством узла SGSN данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования, и выполнение защиты целостности для сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа целостности и второго алгоритма защиты целостности, указанного вторым идентификатором алгоритма защиты целостности.
Третий аспект настоящего изобретения обеспечивает способ защиты сообщений, включающий в себя:
прием посредством пользовательского оборудования посредством использования уровня протокола управления логической линией связи (LLC) пользовательского оборудования первого сообщения запроса соглашения об аутентификации и ключах, отправленного узлом поддержки обслуживания GPRS (SGSN), причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
обработку посредством пользовательского оборудования первого сообщения запроса соглашения об аутентификации и ключах на уровне протокола LLC, чтобы получить второе сообщение запроса соглашения об аутентификации и ключах, и отправку второго сообщения запроса соглашения об аутентификации и ключах на уровень протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования;
получение посредством пользовательского оборудования первого идентификатора алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии со вторым сообщением запроса соглашения об аутентификации и ключах, формирование первого ключа и отправку первого ключа и первого идентификатора алгоритма на уровень протокола LLC пользовательского оборудования;
формирование посредством пользовательского оборудования первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной;
выполнение посредством пользовательского оборудования защиты шифрования и/или целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования для получения второго ответного сообщения соглашения об аутентификации и ключах, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
отправку посредством пользовательского оборудования второго ответного сообщения соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола LLC пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Со ссылкой на третий аспект вариантов осуществления настоящего изобретения в первом возможном методе реализации
первый ключ включает в себя первый ключ шифрования, и первый алгоритм включает в себя первый алгоритм шифрования; или
первый ключ включает в себя первый ключ целостности, и первый алгоритм включает в себя первый алгоритм защиты целостности; или
первый ключ включает в себя первый ключ шифрования и первый ключ целостности, и первый алгоритм включает в себя первый алгоритм шифрования и первый алгоритм защиты целостности.
Со ссылкой на первый возможный метод реализации третьего аспекта вариантов осуществления настоящего изобретения во втором возможном методе реализации выполнение посредством пользовательского оборудования защиты шифрования и/или защиты целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования для получения второго ответного сообщения соглашения об аутентификации и ключах включает в себя:
шифрование посредством пользовательского оборудования первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, для получения второго ответного сообщения соглашения об аутентификации и ключах; или
выполнение посредством пользовательского оборудования защиты целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритм защиты целостности, указанного первым идентификатором алгоритма защиты целостности, для получения второго ответного сообщение соглашения об аутентификации и ключах; или
шифрование посредством пользовательского оборудования первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнение защиты целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритм защиты целостности, указанного первым идентификатором алгоритма защиты целостности, для получения второго ответного сообщение соглашения об аутентификации и ключах.
Со ссылкой на первый возможный метод реализации третьего аспекта вариантов осуществления настоящего изобретения в третьем возможном методе реализации после формирования посредством пользовательского оборудования первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной, способ дополнительно включает в себя:
шифрование посредством пользовательского оборудования данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
шифрование посредством пользовательского оборудования данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнение защиты целостности для сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
Четвертый аспект настоящего изобретения обеспечивает способ защиты сообщений, включающий в себя:
получение посредством узла поддержки обслуживания GPRS (SGSN) второго идентификатора алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирование второго ключа, причем второй идентификатор алгоритма используется для указания второго алгоритма;
отправку посредством узла SGSN второго идентификатора алгоритма и второго ключа на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN;
выполнение посредством узла SGSN защиты целостности для первого сообщения запроса соглашения об аутентификации и ключах на уровне протокола LLC узла SGSN и формирование первого кода аутентификации сообщения;
отправку посредством узла SGSN первого сообщения запроса соглашения об аутентификации и ключах на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN, причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
прием посредством узла SGSN посредством использования уровня протокола LLC узла SGSN второе ответное сообщение соглашения об аутентификации и ключах, отправленное пользовательским оборудованием, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
выполнение посредством узла SGSN верификации второго кода аутентификации сообщения на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма.
Со ссылкой на четвертый аспект вариантов осуществления настоящего изобретения в первом возможном методе реализации,
второй ключ включает в себя второй ключ шифрования, и второй алгоритм включает в себя второй алгоритм шифрования; или
второй ключ включает в себя второй ключ целостности, и второй алгоритм включает в себя второй алгоритм защиты целостности; или
второй ключ включает в себя второй ключ шифрования и второй ключ целостности, и второй алгоритм включает в себя второй алгоритм шифрования и второй алгоритм защиты целостности.
Со ссылкой на четвертый аспект вариантов осуществления настоящего изобретения или первый возможный метод реализации четвертого аспекта во втором возможном методе реализации после выполнения посредством узла SGSN верификации второго кода аутентификации сообщения на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма способ дополнительно включает в себя:
шифрование посредством узла SGSN данных и сигнализация на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования; или
шифрование посредством узла SGSN данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования, и выполнение защиты целостности для сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа целостности и второго алгоритма защиты целостности, указанного вторым идентификатором алгоритма защиты целостности.
Пятый аспект настоящего изобретения обеспечивает пользовательское оборудование, включающее в себя:
модуль приема, выполненный с возможностью принимать посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
модуль получения, выполненный с возможностью получать первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах, принятого модулем приема, и формировать первый ключ;
модуль верификации, выполненный с возможностью выполнять верификацию первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом, полученным посредством модуля получения, и первым алгоритмом, сформированным модулем получения;
модуль формирования, выполненный с возможностью формировать ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, если модуль верификации определяет, что верификация первого кода аутентификации сообщения является успешной, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
первый модуль отправки, выполненный с возможностью отправлять ответное сообщение соглашения об аутентификации и ключах, сформированное модулем формирования, узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тес чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Со ссылкой на пятый аспект вариантов осуществления настоящего изобретения в первом возможном методе реализации,
первый ключ включает в себя первый ключ шифрования, и первый алгоритм включает в себя первый алгоритм шифрования; или
первый ключ включает в себя первый ключ целостности, и первый алгоритм включает в себя первый алгоритм защиты целостности; или
первый ключ включает в себя первый ключ шифрования и первый ключ целостности, и первый алгоритм включает в себя первый алгоритм шифрования и первый алгоритм защиты целостности.
Со ссылкой на первый возможный метод реализации пятого аспекта вариантов осуществления настоящего изобретения во втором возможном методе реализации пользовательское оборудование дополнительно включает в себя:
модуль обработки сообщений, выполненный с возможностью: после того, как модуль формирования формирует ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом выполнять шифрование ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
выполнять защиту целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности; или
выполнять шифрование ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнять защиту целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
Со ссылкой на пятый аспект вариантов осуществления настоящего изобретения или на первый или второй метод реализации пятого аспекта в третьем возможном методе реализации пользовательское оборудование дополнительно включает в себя:
второй модуль отправки, выполненный с возможностью: прежде чем модуль приема принимает посредством использования уровня протокола GMM/SM пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное посредством узла SGSN, отправлять сообщение запроса прикрепления на уровень протокола GMM/SM узла SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования, с тем чтобы узел SGSN сформировал сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN в соответствии с сообщением запроса прикрепления.
Со ссылкой на любой из пятого аспекта вариантов осуществления настоящего изобретения или возможных методов реализации с первого по третий пятого аспекта в четвертом возможном методе реализации пользовательское оборудование дополнительно включает в себя:
третий модуль отправки, выполненный с возможностью: после того, как первый модуль отправки отправляет ответное сообщение соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, отправлять первый ключ и первый идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования.
Со ссылкой на четвертый возможный метод реализации пятого аспекта вариантов осуществления настоящего изобретения в пятом возможном методе реализации пользовательское оборудование дополнительно включает в себя:
модуль шифрования, выполненный с возможностью: после того, как третий модуль отправки отправляет первый ключ и первый идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования, выполнять шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
выполнять посредством пользовательского оборудования шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнять защиту целостности для сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
Шестой аспект настоящего изобретения обеспечивает узел поддержки обслуживания GPRS, включая:
модуль получения, выполненный с возможностью получать второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формировать второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма;
модуль формирования, выполненный с возможностью формировать сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма, которые получены модулем получения, и отправлять сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
первый модуль приема, выполненный с возможностью принимать посредством использования уровня протокола GMM/SM узла SGSN ответное сообщение соглашения об аутентификации и ключах, отправленное модулем формирования, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
модуль верификации, выполненный с возможностью выполнять верификацию второго кода аутентификации сообщения, принятого первым модулем приема, на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма.
Со ссылкой на шестой аспект вариантов осуществления настоящего изобретения в первом возможном методе реализации
второй ключ включает в себя второй ключ шифрования, и второй алгоритм включает в себя второй алгоритм шифрования; или
второй ключ включает в себя второй ключ целостности, и второй алгоритм включает в себя второй алгоритм защиты целостности; или
второй ключ включает в себя второй ключ шифрования и второй ключ целостности, и второй алгоритм включает в себя второй алгоритм шифрования и второй алгоритм защиты целостности.
Со ссылкой на шестой аспект вариантов осуществления настоящего изобретения или первый возможный метода реализации шестого аспекта во втором возможном методе реализации устройство дополнительно включает в себя:
второй модуль приема, выполненный с возможностью: прежде чем модуль формирования формирует сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN и отправляет сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию, принимать посредством использования уровня протокола GMM/SM узла SGSN сообщение запроса прикрепления, отправленное посредством пользовательского оборудования, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования; и
модуль получения включает в себя:
блок получения, выполненный с возможностью получать второй алгоритм в соответствии с информацией о сетевых возможностях пользовательского оборудования; и
модуль формирования, выполненный с возможностью получать информацию вектора авторизации пользовательского оборудования в соответствии с идентификатором пользовательского оборудования и формировать второй ключ в соответствии с информацией вектора авторизации.
Со ссылкой на шестой аспект вариантов осуществления настоящего изобретения или первого или второго возможного метода реализации шестого аспекта в третьем возможном методе реализации устройство дополнительно включает в себя:
модуль отправки, выполненный с возможностью отправлять второй ключ и второй идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, если модуль верификации определяет, что верификация второго кода аутентификации сообщения является успешной.
Со ссылкой на третий возможный метод реализации шестого аспекта вариантов осуществления настоящего изобретения в четвертом возможном методе реализации устройство дополнительно включает в себя:
модуль шифрования, выполненный с возможностью: после того, как модуль отправки отправляет второй ключ и второй алгоритм на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, выполнять посредством узла SGSN шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования; или
выполнять шифрование данных плоскости пользователя и сигнализация плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования, и выполнять защиту целостности для сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа целостности и второго алгоритма защиты целостности, указанного вторым идентификатором алгоритма защиты целостности.
Седьмой аспект настоящего изобретения обеспечивает пользовательское оборудование, включающее в себя:
модуль приема, выполненный с возможностью принимать посредством использования уровня протокола управления логической линией связи (LLC) пользовательского оборудования первое сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
модуль обработки, выполненный с возможностью обрабатывать первое сообщение запроса соглашения об аутентификации и ключах, принятое модулем приема, на уровне протокола LLC, чтобы получить второе сообщение запроса соглашения об аутентификации и ключах, и отправлять второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования;
модуль получения, выполненный с возможностью: после того, как модуль обработки отправляет второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола GMM/SM пользовательского оборудования, получать первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии со вторым сообщением запроса соглашения об аутентификации и ключах, формировать первый ключ и отправлять первый ключ и первый идентификатор алгоритма на уровень протокола LLC пользовательского оборудования;
модуль формирования, выполненный с возможностью формировать первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если на уровне протокола LLC пользовательского оборудования посредством использования первого алгоритма и первого ключа, которые получены модулем получения, определено, что верификация первого кода аутентификации сообщения является успешной;
модуль обработки сообщений, выполненный с возможностью выполнять защиту шифрования и/или защиту целостности для первого ответного сообщения соглашения об аутентификации и ключах, сформированного модулем формирования, на уровне протокола LLC пользовательского оборудования, чтобы получить второе ответное сообщение соглашения об аутентификации и ключах, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
модуль отправки, выполненный с возможностью отправлять второе ответное сообщение соглашения об аутентификации и ключах, полученное посредством модуля обработки сообщений посредством обработки, узлу SGSN посредством использования уровня протокола LLC пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Со ссылкой на седьмой аспект вариантов осуществления настоящего изобретения в первом возможном методе реализации
первый ключ включает в себя первый ключ шифрования, и первый алгоритм включает в себя первый алгоритм шифрования; или
первый ключ включает в себя первый ключ целостности, и первый алгоритм включает в себя первый алгоритм защиты целостности; или
первый ключ включает в себя первый ключ шифрования и первый ключ целостности, и первый алгоритм включает в себя первый алгоритм шифрования и первый алгоритм защиты целостности.
Со ссылкой на первый возможный метод реализации седьмого аспекта вариантов осуществления настоящего изобретения во втором возможном методе реализации модуль обработки сообщений включает в себя:
блок шифрования, выполненный с возможностью шифровать первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, для получения второго ответного сообщения соглашения об аутентификации и ключах; или
выполнять защиту целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритм защиты целостности, указанного первым идентификатором алгоритма защиты целостности, для получения второго ответного сообщение соглашения об аутентификации и ключах; или
шифровать первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнять защиту целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритм защиты целостности, указанного первым идентификатором алгоритма защиты целостности, для получения второго ответного сообщение соглашения об аутентификации и ключах.
Со ссылкой на первый возможный метод реализации седьмого аспекта вариантов осуществления настоящего изобретения в третьем возможном методе реализации пользовательское оборудование дополнительно включает в себя:
модуль шифрования, выполненный с возможностью: после того, как модуль формирования формирует первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, выполнять шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
шифровать данные плоскости пользователя и сигнализацию плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнять защиту целостности для сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
Восьмой аспект настоящего изобретения обеспечивает узел поддержки обслуживания GPRS, включающий в себя:
модуль получения, выполненный с возможностью получать второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формировать второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма;
первый модуль отправки, выполненный с возможностью отправлять второй идентификатор алгоритма, полученный модулем получения, и второй ключ сформированный модулем получения, на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN;
модуль обработки сообщений, выполненный с возможностью выполнять защиту целостности для первого сообщения запроса соглашения об аутентификации и ключах на уровне протокола LLC узла SGSN посредством использования второго алгоритма и второго ключа, которые отправлены первым модулем отправки, и формировать первый код аутентификации сообщения;
второй модуль отправки, выполненный с возможностью отправлять первое сообщение запроса соглашения об аутентификации и ключах, обработанное модулем отправки сообщений, на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN, причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
модуль приема, выполненный с возможностью принимать посредством использования уровня протокола LLC узла SGSN второе ответное сообщение соглашения об аутентификации и ключах, отправленное посредством пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения, отправленного вторым модулем отправки, является успешной, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
модуль верификации, выполненный с возможностью выполнять верификацию второго кода аутентификации сообщения, принятого модулем приема на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма.
Со ссылкой на восьмой аспект вариантов осуществления настоящего изобретения в первом возможном методе реализации
второй ключ включает в себя второй ключ шифрования, и второй алгоритм включает в себя второй алгоритм шифрования; или
второй ключ включает в себя второй ключ целостности, и второй алгоритм включает в себя второй алгоритм защиты целостности; или
второй ключ включает в себя второй ключ шифрования и второй ключ целостности, и второй алгоритм включает в себя второй алгоритм шифрования и второй алгоритм защиты целостности.
Со ссылкой на восьмой аспект вариантов осуществления настоящего изобретения или первый возможный метод реализации восьмого аспекта во втором возможном методе реализации устройство дополнительно включает в себя:
модуль шифрования, выполненный с возможностью: после того, как модуль верификации выполняет верификацию второго кода аутентификации сообщения на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма, выполнять шифрование данных и сигнализации на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования; или
выполнять шифрование данных плоскости пользователя и сигнализация плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования, и выполнять защиту целостности для сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа целостности и второго алгоритма защиты целостности, указанного вторым идентификатором алгоритма защиты целостности.
Девятый аспект настоящего изобретения обеспечивает пользовательское оборудование, включающее в себя:
устройство ввода, устройство вывода, процессор и память, причем
устройство ввода исполняет следующую процедуру:
прием посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщения запроса соглашения об аутентификации и ключах, отправленного узлом поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
процессор исполняет следующую процедуру:
получение первого идентификатора алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах и формирование первого ключа;
верификация первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом; и
формирование посредством пользовательского оборудования ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, если пользовательское оборудование определяет, что верификация первого кода аутентификации сообщения является успешной, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
устройство вывода исполняет следующую процедуру:
отправку ответного сообщения соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Десятый аспект настоящего изобретения обеспечивает узел поддержки обслуживания GPRS, включающий в себя:
устройство ввода, устройство вывода, процессор и память, причем
устройство ввода исполняет следующую процедуру:
прием посредством использования уровня протокола GMM/SM узла SGSN ответного сообщения соглашения об аутентификации и ключах, отправленного пользовательским оборудованием, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
процессор исполняет следующую процедуру:
получение второго идентификатора алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирование второго ключа, причем второй идентификатор алгоритма используется для указания второго алгоритма;
формирование сообщения запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма и отправка сообщения запроса соглашения об аутентификации и ключах пользовательскому оборудованию, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма; и
выполнение верификации второго кода аутентификации сообщения на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма.
Одиннадцатый аспект настоящего изобретения обеспечивает пользовательское оборудование, включающее в себя:
устройство ввода, устройство вывода, процессор и память, причем
устройство ввода исполняет следующую процедуру:
прием посредством использования уровня протокола управления логической линией связи (LLC) пользовательского оборудования первого сообщения запроса соглашения об аутентификации и ключах, отправленного узлом поддержки обслуживания GPRS (SGSN), причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
процессор исполняет следующую процедуру:
обработка сообщения запроса первого соглашения об аутентификации и ключах на уровне протокола LLC, чтобы получить второе сообщение запроса соглашения об аутентификации и ключах, и отправка второго сообщения запроса соглашения об аутентификации и ключах на уровень протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования;
получение первого идентификатора алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии со вторым сообщением запроса соглашения об аутентификации и ключах, формирование первого ключа и отправка первого ключа и первого идентификатора алгоритма на уровень протокола LLC пользовательского оборудования;
формирование посредством пользовательского оборудования первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной;
формирование посредством пользовательского оборудования первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной; и
выполнение защиты шифрования и/или целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования для получения второго ответного сообщения соглашения об аутентификации и ключах, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
устройство вывода исполняет следующую процедуру:
отправка второго ответного сообщения соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола LLC пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Двенадцатый аспект настоящего изобретения обеспечивает узел поддержки обслуживания GPRS, включающий в себя:
устройство ввода, устройство вывода, процессор и память, причем
устройство ввода исполняет следующую процедуру:
прием посредством узла SGSN посредством использования уровня протокола LLC узла SGSN второго ответного сообщения соглашения об аутентификации и ключах, отправленного посредством пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения;
процессор исполняет следующую процедуру:
получение второго идентификатора алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирование второго ключа, причем второй идентификатор алгоритма используется для указания второго алгоритма;
выполнение защиты целостности для сообщения запроса первого соглашения об аутентификации и ключах на уровне протокола LLC узла SGSN и формирование первого кода аутентификации сообщения; и
выполнение верификации второго кода аутентификации сообщения на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма; и
устройство вывода исполняет следующую процедуру:
отправка второго идентификатора алгоритма и второго ключа на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN; и
отправка первого сообщения запроса соглашения об аутентификации и ключах на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN, причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма.
Тринадцатый аспект настоящего изобретения обеспечивает систему защиты сообщения, включающую в себя: пользовательский терминал и узел поддержки обслуживания GPRS, причем
пользовательский терминал представляет собой пользовательский терминал любого из пятого аспекта и возможного метода реализации с первого по пятый пятого аспекта; и
узел поддержки обслуживания GPRS является узлом поддержки обслуживания GPRS в любом из шестого аспекта и возможного метода реализации с первого по четвертый шестого аспекта.
Четырнадцатый аспект настоящего изобретения обеспечивает систему защиты сообщения, включающую в себя: пользовательский терминал и узел поддержки обслуживания GPRS, причем
пользовательский терминал представляет собой пользовательский терминал в любом методе реализации седьмого аспекта и в возможных методах реализации с первого по третий седьмого аспекта; и
узел поддержки обслуживания GPRS представляет собой узел поддержки обслуживания GPRS в любом из восьмого аспекта и первого и второго возможных методов реализации восьмого аспекта.
Возможно заметить по приведенным выше техническим решениям, что варианты осуществления настоящего изобретения имеют следующие преимущества:
В вариантах осуществления настоящего изобретения обеспечено решение по реализации для защиты сообщения между пользовательским оборудованием и узлом SGSN, которое состоит, в частности, в защите целостности для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM и решает проблему на предшествующем уровне техники, состоящую в том, что функция защиты целостности не может быть реализована на уровнях протокола LLC пользовательского оборудования и узла SGSN. Защита целостности соответственно выполнена для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM пользовательского оборудования и узла SGSN. Поддержка может быть получена в реальном приложении, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм.
Краткое описание чертежей
Для более ясного описания технических решений в вариантах осуществления настоящего изобретения далее кратко описаны прилагаемые чертежи, требуемые для описания вариантов осуществления. Очевидно, что прилагаемые чертежи в последующем описании показывают лишь некоторые варианты осуществления настоящего изобретения, и специалист в области техники может произвести другие чертежи из этих прилагаемых чертежей без творческих усилий.
Фиг. 1 - блок-схема последовательности этапов защиты целостности сигнализации на основе GPRS на предшествующем уровне техники;
Фиг. 2 - схема варианта осуществления способа защиты сообщений в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 3 - схема другого варианта осуществления способа защиты сообщений в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 4 - схема варианта осуществления другого способа защиты сообщений в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 5 - схема другого варианта осуществления другого способа защиты сообщений в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 6 - блок-схема последовательности этапов способа защиты сообщений в сценарии применения в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 7 - другая блок-схема последовательности этапов способа защиты сообщений в сценарии применения в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 8 - схема варианта осуществления пользовательского терминала в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 9 - схема другого варианта осуществления пользовательского терминала в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 10 - схема другого варианта осуществления пользовательского терминала в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 11 - схема другого варианта осуществления пользовательского терминала в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 12 - схема другого варианта осуществления пользовательского терминала в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 13 - схема варианта осуществления узла поддержки обслуживания GPRS в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 14 - схема другого варианта осуществления узла поддержки обслуживания GPRS в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 15 - схема другого варианта осуществления узла поддержки обслуживания GPRS в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 16 - схема другого варианта осуществления узла поддержки обслуживания GPRS в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 17 - схема варианта осуществления другого пользовательского терминала в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 18 - схема другого варианта осуществления другого пользовательского терминала в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 19 - схема другого варианта осуществления другого пользовательского терминала в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 20 - схема варианта осуществления другого узла поддержки обслуживания GPRS в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 21 - схема другого варианта осуществления другого узла поддержки обслуживания GPRS в соответствии с вариантами осуществления настоящего изобретения;
Фиг. 22 - структурная схема пользовательского терминала в соответствии с вариантом осуществления настоящего изобретения;
Фиг. 23 - структурная схема узла поддержки обслуживания GPRS в соответствии с вариантом осуществления настоящего изобретения; и
Фиг. 24 - схема системы защиты сообщений в соответствии с вариантами осуществления настоящего изобретения.
Описание вариантов осуществления
Далее ясно и полно описываются технические решения в вариантах осуществления настоящего изобретения со ссылкой на прилагаемые чертежи в вариантах осуществления настоящего изобретения. Очевидно, описанные варианты осуществления являются лишь некоторыми, но не всеми вариантами осуществления настоящего изобретения. Все другие варианты осуществления, без творческих усилий полученные специалистами в области техники на основе вариантов осуществления настоящего изобретения, должны находиться в рамках объема защиты настоящего изобретения.
В описании, в формуле изобретения и в прилагаемых чертежах настоящего изобретения термины "первый", "второй", "третий", "четвертый" и так далее (если имеются) предназначены для различения сходных объектов, но не обязательно указывают заданный порядок или последовательность. Следует понимать, что данные, названные таким образом, являются взаимозаменяемыми при надлежащих обстоятельствах, и, таким образом, варианты осуществления настоящего изобретения, описанного в настоящем документе, могут быть реализованы в порядке, отличающемся от порядка, проиллюстрированного или описанного в настоящем документе. Кроме того, термины "включает в себя", "содержит" и любые другие варианты обозначают охват не исключающего включения, например, процесс, способ, система, продукт или устройство, которые включают в себя список этапов или модулей, не обязательно ограничены этими модулями, но могут включать в себя другие модули, явно не перечисленные или присущие такому процессу, способу, системе, продукту или устройству.
Варианты осуществления настоящего изобретения обеспечивают способ защиты сообщений для получения поддержку в реальном применении, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм. Кроме того, обеспечены соответствующая система защиты сообщений и соответствующее устройство. Согласно фиг. 2-24 далее отдельно предоставлены подробные описания посредством использования конкретных вариантов осуществления.
Способ защиты сообщений, обеспеченный в вариантах осуществления настоящего изобретения, применим к системе беспроводной связи. В вариантах осуществления настоящего изобретения способ проанализирован и описан посредством использования примера, в котором способ применяется к системе беспроводной связи проекта долгосрочного развития (LTE)/усовершенствованного LTE (LTE-A), что не ограничивает настоящее изобретение.
Способ защиты сообщений в вариантах осуществления настоящего изобретения главным образом применяется к защите для информации на уровне протокола GMM/SM или защите для информации на уровне протокола LLC. Эти два решения подробно описаны отдельно в этом описании.
1. Защита для сообщения на уровне протокола GMM/SM.
Варианты осуществления настоящего изобретения обеспечивают способ защиты сообщений. Для простоты описания способ описан с точки зрения пользовательского оборудования.
Фиг. 2 является схемой варианта осуществления способа защиты сообщений в соответствии с вариантами осуществления настоящего изобретения. Способ защиты сообщений может включать в себя следующие этапы.
201: Пользовательское оборудование принимает посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма.
В этом варианте осуществления пользовательское оборудование принимает посредством использования уровня протокола GMM/SM пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное узлом SGSN, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения, и первый код аутентификации сообщения может представлять собой код аутентификации сообщения о целостности (MAC-I). Сообщение запроса соглашения об аутентификации и ключах может дополнительно нести первый идентификатор алгоритма, первый идентификатор алгоритма используется для указания типа первого алгоритма, и заданный первый алгоритм может быть определен в соответствии с первым идентификатором алгоритма.
Протокол GMM, используемый на уровне протокола GMM, главным образом используется для поддержки функций управления мобильностью, например, прикрепления и открепления GPRS, безопасности, обновления области местоположения (LA) и обновления области маршрутизации (RA). Протокол SM, используемый на уровне протокола SM, главным образом используется для поддержки протокола пакетных данных (PDP), деактивации, модификации контекста PDP и т.п.
202: Пользовательское оборудование получает первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах и формирует первый ключ.
В этом варианте осуществления пользовательское оборудование принимает сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, получает перенесенный первый идентификатор алгоритма из сообщения запроса соглашения об аутентификации и ключах, чтобы определить первый алгоритм в соответствии с идентификатором, и формирует первый ключ.
Следует отметить, что существуют несколько методов для формирования первого ключа. Когда карта универсального модуля идентификации абонента (USIM) осуществляет доступ к сети технологии мобильной связи третьего поколения (3G), первый ключ получается посредством выполнения вычисления функции над корневым ключом в карте USIM и случайным числом; или промежуточный ключ получается после того, как выполнено вычисление функции над коревым ключом в карте USIM и случайным числом, промежуточный ключ и первый идентификатор алгоритма используются в качестве входной информации, и первый ключ формируется посредством использования функция генерации ключей, причем функция генерации ключей может представлять собой хеш-алгоритм (хеш-код аутентификации сообщения - алгоритм безопасного хеширования 256, HMAC-SHA-256). В настоящем документе конкретный метод для формирования первого ключа специальным образом не ограничен.
203: Пользовательское оборудование выполняет верификацию первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом.
В этом варианте осуществления пользовательское оборудование выполняет верификацию первого кода аутентификации сообщения MAC-I на уровне протокола GMM/SM пользовательского оборудования посредством использования полученного первого алгоритма и сформированного первого ключа.
204: Пользовательское оборудование формирует ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, если пользовательское оборудование определяет, что верификация первого кода аутентификации сообщения является успешной, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения.
В этом варианте осуществления, когда пользовательское оборудование определяет, что верификация первого кода аутентификации сообщения является успешной, пользовательское оборудование формирует на уровне протокола GMM/SM пользовательского оборудования ответное сообщение соглашения об аутентификации и ключах, соответствующее сообщению запроса соглашения об аутентификации и ключах, и формирует второй код аутентификации сообщения MAC-I для ответного сообщения соглашения об аутентификации и ключах посредством использования первого ключа и первого алгоритма.
Способ для верификации первого кода аутентификации сообщения может состоять, в частности, в следующем: верификация посредством пользовательского оборудования маркера аутентификации (AUTN) "сеть-терминал" в квинтете аутентификации на уровне протокола GMM/SM в соответствии с предшествующим уровнем техники и формирование параметра аутентификации (ответ, RES) "терминал-сеть". Например, карта USIM вычисляет ожидаемое значение XMAC-I кода MAC-I в соответствии с сохраненным корневым ключом K, маркером AUTN и случайным числом (RAND), которые отправлены от стороны узла SGSN, выполняет верификацию первого кода аутентификации сообщения MAC-I, перенесенного в сообщении запроса соглашения об аутентификации и ключах. Если MAC-I=XMAC-I, и порядковый номер синхронизации (SQN) домашнего сервера подписчика (HSS) находится в диапазоне корректных значений, карта USIM формирует и возвращает RES стороне узла SGSN. Узел SGSN определяет, равен ли RES ожидаемому RES (XRES), чтобы реализовать аутентификацию карты USIM стороной сети. Если RES=XRES, карта USIM и узел SGSN выполняют передачу данных посредством использования ключа шифрования (CK) и ключа целостности (IK). Таким образом, двунаправленная аутентификация между картой USIM и стороной сети завершена.
205: Пользовательское оборудование отправляет ответное сообщение соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
В этом варианте осуществления пользовательское оборудование отправляет ответное сообщение соглашения об аутентификации и ключах на уровень протокола GMM/SM узла SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования и после приема ответного сообщения соглашения об аутентификации и ключах узел SGSN выполняет верификацию второго кода аутентификации сообщения MAC-I в сообщении.
В этом варианте осуществления настоящего изобретения обеспечено решение по реализации для защиты сообщения между пользовательским оборудованием и узлом SGSN, которое состоит, в частности, в защите целостности для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM и разрешает проблему на предшествующем уровне техники, состоящую в том, что функция защиты целостности не может быть реализована на уровнях протокола LLC пользовательского оборудования и узла SGSN. Защита целостности соответственно выполнена для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM пользовательского оборудования и узла SGSN. Поддержка может быть получена в реальном приложении, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм.
Факультативно на основе варианта осуществления, соответствующего фиг. 2, в первом факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения,
первый ключ включает в себя первый ключ шифрования, и первый алгоритм включает в себя первый алгоритм шифрования; или
первый ключ включает в себя первый ключ целостности, и первый алгоритм включает в себя первый алгоритм защиты целостности; или
первый ключ включает в себя первый ключ шифрования и первый ключ целостности, и первый алгоритм включает в себя первый алгоритм шифрования и первый алгоритм защиты целостности.
В этом варианте осуществления первый ключ может включать в себя первый ключ шифрования и первый ключ целостности или может включать в себя только первый ключ шифрования или первый ключ целостности.
В настоящем документе первым ключом шифрования является ключ шифрования технологии "Интернета вещей" (сеансовый ключ Gb на основе сотовой технологии IoT для защиты конфиденциальности, Ktc), и первым ключом целостности является ключ защиты целостности технологии "Интернета вещей" (сеансовый ключ Gb на основе сотовой технологии IoT для защиты целостности, Kti).
Первый алгоритм включает в себя первый алгоритм шифрования и первый алгоритм защиты целостности или может включать в себя только первый алгоритм шифрования или первый алгоритм защиты целостности.
Алгоритм защиты целостности главным образом используется для защиты целостности подлежащих отправке данных на отправляющей стороне и проверки на принимающей стороне, разрушена ли целостность принятых данных. Код аутентификации сообщения MAC-I и ожидаемый код аутентификации сообщения XMAC-I соответственно получаются посредством выполнения операции над данными отправляющей стороны и принимающей стороны посредством использования алгоритма защиты целостности, и целостность данных может быть определена через сравнение их двух.
Далее, в этом варианте осуществления настоящего изобретения первый ключ и первый алгоритм сделаны конкретными, чтобы поддержать решение настоящего изобретения в сценарии реального приложения и улучшить гибкость решения, и заданный алгоритм выбран в заданном сценарии для включения данных, что также улучшает гибкость решения.
Факультативно на основе первого варианта осуществления, соответствующего фиг. 2, во втором факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения, после формирования ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом способ может дополнительно включать в себя:
шифрование посредством пользовательского оборудования ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
выполнение посредством пользовательского оборудования защиты целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности; или
шифрование посредством пользовательского оборудования ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнение защиты целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
В этом варианте осуществления, после того, как пользовательское оборудование формирует ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, пользовательскому оборудованию дополнительно требуется защитить ответное сообщение соглашения об аутентификации и ключах. В частности, могут иметься следующие три метода защиты:
пользовательское оборудование шифрует ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа шифрования Ktc и соответствующего первого алгоритма шифрования, что понимается как шифрование сообщения, и цель этого состоит в том, чтобы гарантировать безопасность сообщения, причем первый алгоритм шифрования определен в соответствии с первым идентификатором алгоритма шифрования, и первый идентификатор алгоритма шифрования может являться порядковым номером алгоритма шифрования; или
пользовательское оборудование может выполнить защиту целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа целостности Kti и соответствующего первого алгоритма защиты целостности, и цель этого состоит в том, чтобы гарантировать непрерывность и целостность сообщения, переданного на радиоинтерфейсе, причем первый алгоритм защиты целостности определен в соответствии с первым идентификатором алгоритма защиты целостности, и первый идентификатор алгоритма защиты целостности может являться порядковым номером алгоритма защиты целостности; или
пользовательское оборудование выполняет и защиту шифрования, и защиту целостности для ответного сообщения соглашения об аутентификации и ключах, и метод реализации этого подобен упомянутым выше методам реализации, то есть, шифрование ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования Ktc и первого алгоритма шифрования и выполнение защиты целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования Kti и первого алгоритма защиты целостности.
Далее в этом варианте осуществления настоящего изобретения предоставлено конкретное решение для защиты ответного сообщения соглашения об аутентификации и ключах, причем может быть выполнена защита шифрования или защита целостности, и также могут быть выполнены и защита шифрования, и защита целостности, тем самым значительно повышая безопасность, непрерывность и целостность переданного сообщения и достигая лучшего практического эффекта в конкретной реализации решения.
Факультативно, на основе варианта осуществления, соответствующего фиг. 2, в третьем факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения, перед приемом, посредством пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования, сообщения запроса соглашения об аутентификации и ключах, отправленного узлом SGSN, способ может дополнительно включать в себя:
отправку посредством пользовательского оборудования сообщения запроса прикрепления на уровень протокола GMM/SM узла SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования, с тем чтобы узел SGSN сформировал сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN в соответствии с сообщением запроса прикрепления.
В этом варианте осуществления пользовательское оборудование отправляет сообщение запроса прикрепления на уровень протокола GMM/SM узла SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования, например, временный идентификатор логической линии связи (TLLI) или международный мобильный идентификационный номер подписчика (IMSI) пользовательского оборудования, и сообщение запроса прикрепления также несет информацию о сетевых возможностях пользовательского оборудования. Узел SGSN формирует сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN в соответствии с идентификатором пользовательского оборудования и информацией о сетевых возможностях пользовательского оборудования в сообщении запроса прикрепления.
Обычно, когда узел SGSN отправляет сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию, запускается таймер T3360, и если ответ не принят по истечении времени таймера, узел SGSN отправляет сообщение запроса соглашения об аутентификации и ключах, причем количество повторных отправлений равно N, и N является положительным целым числом, больше или равным 1.
Следует отметить, что время, конфигурируемое на таймере T3360, может составить 6 секунд или другое значение времени, и количество N повторных отправлений может составить 4 или может быть сконфигурировано другим значением в соответствии с фактической ситуацией. Никакие ограничения не установлены в настоящем документе.
Далее, в этом варианте осуществления настоящего изобретения пользовательское оборудование отправляет сообщение запроса прикрепления узлу SGSN, с тем чтобы узел SGSN мог получить относящийся к аутентификации параметр в соответствии с сообщением запроса прикрепления, что обеспечивает основу конкретной реализации для реального применения решения настоящего изобретения, а также представляет собой метод взаимодействия между пользовательским оборудованием и стороной сети. Обмен информацией между пользовательским оборудованием и сетью завершается посредством использования запроса прикрепления, что улучшает осуществимость решения.
Факультативно, на основе фиг. 2 и вариантов осуществления с первого по третий, соответствующих фиг. 2, в четвертом факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения, после отправки посредством пользовательского оборудования ответного сообщения соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования способ может дополнительно включать в себя:
отправку посредством пользовательского оборудования первого ключа и первого идентификатора алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования.
В этом варианте осуществления после того, как пользовательское оборудование отправляет ответное сообщение соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, пользовательское оборудование дополнительно отправляет первый ключ и первый идентификатор алгоритма на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы пользовательское оборудование могло обработать данные плоскости пользователя и сигнализацию плоскости управления на уровне протокола LLC посредством использования первого ключа и первого алгоритма, причем первый идентификатор алгоритма используется для указания заданного алгоритма, который должен использоваться.
Кроме того, в этом варианте осуществления настоящего изобретения после того, как пользовательское оборудование отправляет ответное сообщение соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM, пользовательское оборудование может дополнительно отправить первый алгоритм и первый ключ на уровень протокола LLC пользовательского оборудования, с тем чтобы пользовательское оборудование могло выполнить соответствующую обработку данных и сигнализации на уровне протокола LLC, тем самым улучшая надежность решения и дополнительно улучшая осуществимость решения.
Факультативно на основе четвертого варианта осуществления, соответствующего фиг. 2, в пятом факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения, после отправки посредством пользовательского оборудования первого ключа и первого идентификатора алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования способ может дополнительно включать в себя:
шифрование посредством пользовательского оборудования данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
шифрование посредством пользовательского оборудования данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнение защиты целостности для сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
В этом варианте осуществления пользовательское оборудование отправляет первый ключ и первый идентификатор алгоритма на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования, причем первый идентификатор алгоритма также используется, чтобы указать тип алгоритма, который должен использоваться. И данные плоскости пользователя, и сигнализация плоскости управления существуют на уровне протокола LLC пользовательского оборудования. Данные плоскости пользователя могут представлять собой сообщение, например, сообщение или уведомление, и сигнализация относится к сигналу в плоскости управления, например, аудиоданные или пакет данных.
Пользовательское оборудование шифрует и данные, и сигнализацию на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, что улучшает безопасность данных и сигнализации в процессе передачи; или
пользовательское оборудование шифрует данные на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования и выполняет и защиту шифрования, и защиту целостности для сигнализации на уровне протокола LLC пользовательского оборудования.
Обычно пользовательское оборудование не выполняет защиту целостности для данных и не выполняет только защиту целостности для сигнализации, но такие методы реализации не исключаются заранее, и описание в настоящем документе не должно быть истолковано как ограничение к решению этого аспекта.
Кроме того, в этом варианте осуществления настоящего изобретения, поскольку данные и сигнализация поддерживают сосуществование на уровне протокола LLC пользовательского оборудования, защита шифрования может быть выполнена для данных, и для сигнализации могут быть выполнены и защита шифрования, и защита целостности. Соответствующий метод защиты может быть выбран в соответствии с фактической ситуацией, тем самым реализуя выполнимость решения настоящего изобретения в процессе применения. Кроме того, защита шифрования может улучшить безопасность данных и сигнализации, и защита целостности улучшает целостность сигнализации, тем самым в значительной степени гарантируя надежность данных и сигнализации в процессе передачи.
Способ защиты сообщений в вариантах осуществления настоящего изобретения описан выше с точки зрения пользовательского оборудования, и способ защиты сообщений в вариантах осуществления настоящего изобретения описан ниже с точки зрения узла SGSN на взаимодействующей стороне. Согласно фиг. 3, другой вариант осуществления способа защиты сообщений в вариантах осуществления настоящего изобретения включает в себя следующие этапы.
301: Узел поддержки обслуживания GPRS (SGSN) получает второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирует второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма.
В этом варианте осуществления, когда узел SGSN определяет, что пользовательское оборудование является пользовательским оборудованием сотовой технологии IoT, узел SGSN может получить второй идентификатор алгоритма на уровне протокола GMM/SM и сформировать второй ключ на уровне протокола GMM/SM узла SGSN, причем второй идентификатор алгоритма используется для указания типа второго алгоритма.
Метод для формирования второго ключа подобен методу для формирования первого ключа, упомянутому в предыдущем варианте осуществления, и подробности не описываются в настоящем документе.
302: Узел SGSN формирует сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма и отправляет сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма.
В этом варианте осуществления узел SGSN формирует сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма, первый код аутентификации сообщения сформирован посредством узла SGSN после того, как узел SGSN выполняет защиту целостности для сообщения запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN, и второй идентификатор алгоритма используется для указания типа второго алгоритма. После того, как узел SGSN формирует сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN, узел SGSN сначала отправляет сообщение на уровень протокола LLC узла SGSN, и затем узел SGSN отправляет сообщение запроса соглашения об аутентификации и ключах на уровень протокола LLC пользовательского оборудования на уровне протокола LLC узла SGSN.
Следует отметить, что второй алгоритм и первый алгоритм на фиг. 2, и в вариантах осуществления с первого по пятый, соответствующих фиг. 2, фактически представляют собой один и тот же алгоритм, и термины "первый" и "второй" в настоящем документе главным образом используются, чтобы указать различие между уровнями протокола, на которых расположены алгоритмы.
303: Узел SGSN принимает посредством использования уровня протокола GMM/SM узла SGSN ответное сообщение соглашения об аутентификации и ключах, отправленное пользовательским оборудованием, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения.
В этом варианте осуществления, если пользовательское оборудование определяет, что верификация первого кода аутентификации сообщения является успешной, пользовательское оборудование формирует на уровне протокола GMM/SM пользовательского оборудования ответное сообщение соглашения об аутентификации и ключах, соответствующее сообщению запроса соглашения об аутентификации и ключах. Узел SGSN принимает посредством использования уровня протокола GMM/SM узла SGSN ответное сообщение соглашения об аутентификации и ключах, отправленное пользовательским оборудованием, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения.
304: Узел SGSN выполняет верификацию второго кода аутентификации сообщения на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма.
В этом варианте осуществления узел SGSN выполняет верификацию на уровне протокола GMM/SM узла SGSN посредством использования сформированного второго ключа и полученного второго алгоритма, является ли второй код аутентификации сообщения достоверным.
В этом варианте осуществления настоящего изобретения обеспечено решение по реализации для выполнения защиты целостности для ключа и процедуры соглашения об алгоритме между пользовательским оборудованием и узлом SGSN, которое состоит, в частности, в защите целостности для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM и разрешает проблему на предшествующем уровне техники, состоящую в том, что функция защиты целостности не может быть реализована на уровнях протокола LLC пользовательского оборудования и узла SGSN. Защита целостности соответственно выполнена для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM пользовательского оборудования и узла SGSN. Поддержка может быть получена в реальном приложении, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм.
Факультативно на основе варианта осуществления, соответствующего фиг. 3, в первом факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения,
второй ключ включает в себя второй ключ шифрования, и второй алгоритм включает в себя второй алгоритм шифрования; или
второй ключ включает в себя второй ключ целостности, и второй алгоритм включает в себя второй алгоритм защиты целостности; или
второй ключ включает в себя второй ключ шифрования и второй ключ целостности, и второй алгоритм включает в себя второй алгоритм шифрования и второй алгоритм защиты целостности.
В этом варианте осуществления второй ключ может включать в себя второй ключ шифрования и второй ключ целостности или может включать в себя только второй ключ шифрования или второй ключ целостности.
В настоящем документе вторым ключом шифрования является Ktc, и вторым ключом целостности является Kti.
Второй алгоритм включает в себя второй алгоритм шифрования и второй алгоритм защиты целостности или может включать в себя только второй алгоритм шифрования или второй алгоритм защиты целостности.
Алгоритм защиты целостности главным образом используется для защиты целостности подлежащих отправке данных на отправляющей стороне и проверки на принимающей стороне, разрушена ли целостность принятых данных. Код аутентификации сообщения MAC-I и ожидаемый код аутентификации сообщения XMAC-I соответственно получаются посредством выполнения операции над данными отправляющей стороны и принимающей стороны посредством использования алгоритма защиты целостности, и целостность данных может быть определена через сравнение их двух.
Далее, в этом варианте осуществления настоящего изобретения второй ключ и второй алгоритм сделаны конкретными, чтобы поддержать решение настоящего изобретения в сценарии реального приложения и улучшить гибкость решения, и заданный алгоритм выбран в заданном сценарии для включения данных, что также улучшает гибкость решения.
Факультативно, на основе фиг. 3 или первого варианта осуществления, соответствующий фиг. 3, во втором факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения, перед формированием сообщения запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN и отправкой сообщения запроса соглашения об аутентификации и ключах пользовательскому оборудованию способ может дополнительно включать в себя:
прием посредством узла SGSN посредством использования уровня протокола GMM/SM узла SGSN сообщения запроса прикрепления, отправленного пользовательским оборудованием, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования; и
получение посредством узла SGSN второго идентификатора алгоритма на уровне протокола GMM/SM узла SGSN и формирование второго ключа могут включать в себя:
получение посредством узла SGSN второго алгоритма в соответствии с информацией о сетевых возможностях пользовательского оборудования; и
получение посредством узла SGSN информации вектора авторизации пользовательского оборудования в соответствии с идентификатором пользовательского оборудования и формирование второго ключа в соответствии с информацией вектора авторизации.
В этом варианте осуществления, прежде чем узел SGSN отправляет сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию посредством использования уровня протокола GMM/SM узла SGSN, узел SGSN принимает сообщение запроса прикрепления, которое отправлено пользовательским оборудованием посредством использования протокол GMM/SM, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования.
В частности, пользовательское оборудование отправляет сообщение запроса прикрепления GPRS узлу SGSN, и после приема сообщения запроса прикрепления, отправленного пользовательским оборудованием, узел SGSN получает вектор аутентификации (AV) из опорного реестра местоположения (HLR) или опорного абонентского сервера (HSS), причем вектор AV может включать в себя RAND, XRES, AUTN, CK и IK.
Получение посредством узла SGSN второго алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирование второго ключа в соответствии со вторым алгоритмом может состоять, в частности, в следующем: после приема сообщения запроса прикрепления, отправленного пользовательским оборудованием, получение посредством узла SGSN вектора AV из реестра HLR или от сервера HSS в соответствии с идентификатором пользовательского оборудования, перенесенным в сообщении запроса прикрепления, и получение второго алгоритма в соответствии с информацией о сетевых возможностях пользовательского оборудования и алгоритма, поддерживаемого узлом SGSN; и формирование посредством узла SGSN второго ключа на уровне протокола GMM/SM в соответствии с вектором AV.
Следует отметить, что информация о сетевых возможностях пользовательского оборудования относится к сетевой производительности пользовательского оборудования, например, к такому индексу, как частота повторной передачи, пропускная способность или интенсивность сигнала, или может представлять собой всестороннюю информацию производительности о нескольких сетевых возможностях, которая не ограничена в настоящем документе.
Затем в этом варианте осуществления настоящего изобретения узел SGSN принимает сообщение запроса прикрепления, отправленное пользовательским оборудованием, и получает относящийся к аутентификации параметр в соответствии с сообщением запроса прикрепления, что обеспечивает основу для конкретной реализации для реального применения решения настоящего изобретения, а также представляет собой метод взаимодействия между пользовательским оборудованием и узлом SGSN. Обмен информацией между пользовательским оборудованием и сетью завершается посредством использования запроса прикрепления, что улучшает осуществимость решения. Когда узел SGSN принимает сообщение запроса прикрепления, несущее идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования, узел SGSN выбирает подходящий алгоритм в соответствии с информацией о сетевых возможностях пользовательского оборудования и определяет в соответствии с идентификатором пользовательского оборудования информацию вектора авторизации, соответствующую пользовательскому оборудованию, с тем чтобы решение было более подходящим в реальном применении. Конкретный алгоритм и ключ выбираются для конкретного пользовательского оборудования, что улучшает выполнимость всего решения.
Факультативно, на основе фиг. 3 и первого и второго вариантов осуществления, соответствующих фиг. 3, в третьем факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения, после верификации посредством узла SGSN второго кода аутентификации сообщения на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма способ может дополнительно включать в себя:
отправку посредством узла SGSN второго ключа и второго идентификатора алгоритма на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, если узел SGSN определяет, что верификация второго кода аутентификации сообщения является успешной.
В этом варианте осуществления узел SGSN выполняет верификацию второго кода аутентификации сообщения в ответном сообщении соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма, и когда узел SGSN определяет, что верификация второго кода аутентификации сообщения является успешной, узел SGSN отправляет второй ключ и второй идентификатор алгоритма на уровень протокола LLC узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, причем второй идентификатор алгоритма может использоваться для определения соответствующего второго алгоритма, с тем чтобы узел SGSN обработал данные и сигнализацию на уровне протокола LLC посредством использования второго ключа и второго алгоритма.
Кроме того, в этом варианте осуществления настоящего изобретения после того, как узел SGSN определяет, что верификация второго кода аутентификации сообщения является успешной, узел SGSN отправляет второй ключ и второй идентификатор алгоритма на уровень протокола LLC узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, с тем чтобы узел SGSN мог выполнить соответствующую обработку данных и сигнализации на уровне протокола LLC, тем самым улучшая надежность решения и дополнительно улучшая осуществимость решения.
Факультативно, на основе третьего варианта осуществления, соответствующего фиг. 3, в четвертом факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения, после отправки посредством узла SGSN второго ключа и второго идентификатора алгоритма на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, если узел SGSN определяет, что верификация второго кода аутентификации сообщения является успешной, способ может дополнительно включать в себя:
шифрование посредством узла SGSN данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования; или
шифрование посредством узла SGSN данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования, и выполнение защиты целостности для сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа целостности и второго алгоритма защиты целостности, указанного вторым идентификатором алгоритма защиты целостности.
В этом варианте осуществления узел SGSN отправляет второй ключ и второй идентификатор алгоритма на уровень протокола LLC узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, и на уровне протокола LLC узла SGSN существуют и данные плоскости пользователя, и сигнализация плоскости управления. В этом случае данные и сигнализация могут быть обработаны посредством использования второго ключа и второго алгоритма, и конкретный метод обработки может состоять в следующем:
узел SGSN шифрует данные и сигнализацию на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, что улучшает безопасность данных и сигнализации в процессе передачи; или
узел SGSN шифрует данные на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритм шифрования, и выполняет и защиту шифрования, и защиту целостности для сигнализации на уровне протокола LLC узла SGSN.
Обычно узел SGSN не выполняет защиту целостности для данных и не выполняет только защиту целостности для сигнализации, но такие методы реализации не исключаются заранее, и описание в настоящем документе не должно быть истолковано как ограничение к решению этого аспекта.
Кроме того, в этом варианте осуществления настоящего изобретения, поскольку данные и сигнализация поддерживают сосуществование на уровне протокола LLC узла SGSN, защита шифрования может быть выполнена для данных, и для сигнализации могут быть выполнены и защита шифрования, и защита целостности. Соответствующий метод защиты может быть выбран в соответствии с фактической ситуацией, тем самым реализовывая выполнимость решения настоящего изобретения в процессе применения. Кроме того, защита шифрования может улучшить безопасность данных и сигнализации, и защита целостности улучшает целостность сигнализации, тем самым в значительной степени гарантируя надежность данных и сигнализации в процессе передачи.
2. Защита для информации на уровне протокола LLC.
Варианты осуществления настоящего изобретения обеспечивают способ защиты сообщений. Для простоты описания способ описан с точки зрения пользовательского оборудования.
401: Пользовательское оборудование принимает посредством использования уровня протокола управления логической линией связи (LLC) пользовательского оборудования первое сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма.
В этом варианте осуществления после того, как узел SGSN формирует первое сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN, уровень протокола GMM/SM узла SGSN отправляет первое сообщение запроса соглашения об аутентификации и ключах на уровень протокола LLC узла SGSN, и узел SGSN выполняет защиту целостности на уровне протокола LLC и затем отправляет первое сообщение запроса соглашения об аутентификации и ключах на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN.
После того, как защита целостности выполнена для первого сообщения запроса соглашения об аутентификации и ключах, формируется первый код аутентификации сообщения MAC-I. Первое сообщение запроса соглашения об аутентификации и ключах может нести первый код аутентификации сообщения, и сообщение может дополнительно нести первый идентификатор алгоритма. Первый идентификатор алгоритма используется для указания типа первого алгоритма, и заданный первый алгоритм получается в соответствии с первым идентификатором алгоритма.
402: Пользовательское оборудование обрабатывает первое сообщение запроса соглашения об аутентификации и ключах на уровне протокола LLC, чтобы получить второе сообщение запроса соглашения об аутентификации и ключах, и отправляет второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования.
В этом варианте осуществления пользовательское оборудование отправляет второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола GMM/SM пользовательского оборудования посредством использования уровня протокола LLC пользовательского оборудования, причем второе сообщение запроса соглашения об аутентификации и ключах получено посредством пользовательского оборудования после того, как пользовательское оборудование обрабатывает первое сообщение запроса соглашения об аутентификации и ключах на уровне протокола LLC, и заданным методом обработки является удаление первого кода аутентификации сообщения MAC-I из первого сообщения запроса соглашения об аутентификации и ключах или отсутствие модификаций.
Первый код аутентификации сообщения может быть расположен в конце первого сообщения запроса соглашения об аутентификации и ключах. Если первый код аутентификации сообщения должен быть удален, часть заголовка пакета в первом сообщении запроса соглашения об аутентификации и ключах может быть обработана непосредственно.
Если первое сообщение запроса соглашения об аутентификации и ключах не обработано, второе сообщение запроса соглашения об аутентификации и ключах все еще включает в себя первый код аутентификации сообщения. Когда первый код аутентификации сообщения сохранен, первый код аутентификации сообщения можно отправить на уровень протокола GMM/SM пользовательского оборудования как часть блока служебных данных (SDU). Блок SDU является набором данных пользовательской службы на заданном уровне, и когда блок SDU переносится принимающей стороне, данные не изменяются.
Если первое сообщение запроса соглашения об аутентификации и ключах обработано, второе сообщение запроса соглашения об аутентификации и ключах не включает в себя первый код аутентификации сообщения. Когда узел SGSN отправляет пользовательскому оборудованию первое сообщение запроса соглашения об аутентификации и ключах, несущее первый код аутентификации сообщения, пользовательское оборудование может сохранить первое сообщение запроса соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования, что может быть понято как: уровень протокола LLC пользовательского оборудования сохраняет текущий принятый блок протокольных данных (PDU). Блок PDU является единичным блоком данных передачи между одноуровневой связи. Например, блоком PDU, переданным физическим уровнем, является бит данных, блоком PDU, переданным уровнем канала передачи данных, является кадр данных, блоком PDU, переданным сетевым уровнем, является пакет данных, блоком PDU, переданным уровнем данных, является сегмент данных, и блоком PDU, переданным между другими более высокими уровнями, является пакет.
403: Пользовательское оборудование получает первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии со вторым сообщением запроса соглашения об аутентификации и ключах, формирует первый ключ и отправляет первый ключ и первый идентификатор алгоритма на уровень протокола LLC пользовательского оборудования.
В этом варианте осуществления пользовательское оборудование выполняет верификацию маркера AUTN на уровне протокола GMM/SM пользовательского оборудования в соответствии с предшествующим уровнем техники и формирует параметр RES.
Пользовательское оборудование выполняет верификацию маркера AUTN на уровне протокола GMM/SM. Если верификация маркера AUTN является успешной, аутентификация стороны сети является успешной, то есть, определено, что данные отправлены из домашней сети. Пользовательское оборудование вычисляет параметр RES на уровне протокола GMM/SM, чтобы выполнить верификацию, является ли успешной аутентификация пользователя.
Когда оба процессы аутентификации являются успешными, пользовательское оборудование формирует соответствующий первый ключ в соответствии с сетевыми возможностями пользовательского оборудования и определяет соответствующий первый алгоритм в соответствии с первым идентификатором алгоритма, причем первый идентификатор алгоритма получен из второго сообщения запроса соглашения об аутентификации и ключах. Следует отметить, что когда первое сообщение запроса соглашения об аутентификации и ключах обработано, первый идентификатор алгоритма в сообщении не удален. Пользовательское оборудование отправляет первый ключ и первый идентификатор алгоритма на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования.
404: Пользовательское оборудование формирует первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной.
В этом варианте осуществления пользовательское оборудование сравнивает первый код аутентификации сообщения с ожидаемым кодом аутентификации сообщения, полученным посредством вычисления. Когда первый код аутентификации сообщения согласован с ожидаемым кодом аутентификации сообщения, полученным посредством вычисления, это указывает, что верификация первого кода аутентификации сообщения является успешной. В этом случае пользовательское оборудование формирует соответствующее первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования.
Напротив, если верификация первого кода аутентификации сообщения терпит неудачу, пользовательское оборудование отправляет результат ошибки верификации первого кода аутентификации сообщения на уровень протокола GMM/SM пользовательского оборудования посредством использования уровня протокола LLC пользовательского оборудования. В соответствии с результатом ошибки верификации пользовательское оборудование может повторно выполнить верификацию первого кода аутентификации сообщения или опустить последующую операцию и принять новый сформированный первый код аутентификации сообщения.
405: Пользовательское оборудование выполняет защиту шифрования и/или целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования для получения второго ответного сообщения соглашения об аутентификации и ключах, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения.
В этом варианте осуществления первое ответное сообщение соглашения об аутентификации и ключах сформировано посредством пользовательского оборудования на уровне протокола GMM/SM пользовательского оборудования, пользовательское оборудование отправляет первое ответное сообщение соглашения об аутентификации и ключах на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования, и пользовательское оборудование получает второе ответное сообщение соглашения об аутентификации и ключах после выполнения защиты шифрования и/или защиты целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования.
Подобно процессу выполнения защиты целостности для первого сообщения запроса соглашения об аутентификации и ключах после выполнения защиты целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательское оборудование формирует второй код аутентификации сообщения MAC-I.
406: Пользовательское оборудование отправляет второе ответное сообщение соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола LLC пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
В этом варианте осуществления пользовательское оборудование отправляет второе ответное сообщение соглашения об аутентификации и ключах на уровень протокола LLC узла SGSN посредством использования уровня протокола LLC пользовательского оборудования, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения, с тем чтобы после определения, что верификация второго кода аутентификации сообщения является успешной, узел SGSN выполнил защиту шифрования и/или целостности для подлежащих обработке данных на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма, которые получены посредством стороны узла SGSN.
В этом варианте осуществления настоящего изобретения обеспечено решение по реализации для защиты сообщения между пользовательским оборудованием и узлом SGSN, которое состоит, в частности, в защите целостности для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола LLC и улучшает взаимодействие между уровнем протокола LLC и уровнем протокола GMM/SM на стороне пользовательского оборудования, чтобы получить ключ на уровне протокола GMM/SM пользовательского оборудования и затем выполнить верификацию целостности сообщения на уровне протокола LLC, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм.
Факультативно на основе варианта осуществления, соответствующего фиг. 4, в первом факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения,
первый ключ включает в себя первый ключ шифрования, и первый алгоритм включает в себя первый алгоритм шифрования; или
первый ключ включает в себя первый ключ целостности, и первый алгоритм включает в себя первый алгоритм защиты целостности; или
первый ключ включает в себя первый ключ шифрования и первый ключ целостности, и первый алгоритм включает в себя первый алгоритм шифрования и первый алгоритм защиты целостности.
В этом варианте осуществления первый ключ может включать в себя первый ключ шифрования и первый ключ целостности или может включать в себя только первый ключ шифрования или первый ключ целостности.
В настоящем документе первым ключом шифрования является Ktc, и первым ключом целостности является Kti.
Первый алгоритм включает в себя первый алгоритм шифрования и первый алгоритм защиты целостности или может включать в себя только первый алгоритм шифрования или первый алгоритм защиты целостности.
Алгоритм защиты целостности главным образом используется для защиты целостности подлежащих отправке данных на отправляющей стороне и проверки на принимающей стороне, разрушена ли целостность принятых данных. Код аутентификации сообщения MAC-I и ожидаемый код аутентификации сообщения XMAC-I соответственно получаются посредством выполнения операции над данными отправляющей стороны и принимающей стороны посредством использования алгоритма защиты целостности, и целостность данных может быть определена через сравнение их двух.
Далее, в этом варианте осуществления настоящего изобретения первый ключ и первый алгоритм сделаны конкретными, чтобы поддержать решение настоящего изобретения в сценарии реального приложения и улучшить гибкость решения, и заданный алгоритм выбран в заданном сценарии для включения данных, что также улучшает гибкость решения.
Факультативно, на основе первого факультативного варианта осуществления, соответствующего фиг. 4, во втором факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения, выполнение посредством пользовательского оборудования защиты шифрования и/или целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования для получения второго ответного сообщения соглашения об аутентификации и ключах может включать в себя:
шифрование посредством пользовательского оборудования первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, для получения второго ответного сообщения соглашения об аутентификации и ключах; или
выполнение посредством пользовательского оборудования защиты целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритм защиты целостности, указанного первым идентификатором алгоритма защиты целостности, для получения второго ответного сообщение соглашения об аутентификации и ключах; или
шифрование посредством пользовательского оборудования первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнение защиты целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритм защиты целостности, указанного первым идентификатором алгоритма защиты целостности, для получения второго ответного сообщение соглашения об аутентификации и ключах.
В этом варианте осуществления после того, как пользовательское оборудование формирует первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, пользовательскому оборудованию дополнительно требуется защитить первое ответное сообщение соглашения об аутентификации и ключах. В частности, могут иметься следующие три метода защиты:
пользовательское оборудование шифрует первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования Ktc и соответствующего первого алгоритма шифрования, чтобы получить второе ответное сообщение соглашения об аутентификации и ключах, что понимается как шифрование сообщения, и цель этого состоит в том, чтобы гарантировать безопасность сообщения, причем первый алгоритм шифрования определен в соответствии с первым идентификатором алгоритма шифрования; или
пользовательское оборудование может выполнить защиту целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности Kti и соответствующего первого алгоритма защиты целостности, чтобы получить второе ответное сообщение соглашения об аутентификации и ключах, и цель этого состоит в том, чтобы гарантировать непрерывность и целостность сообщения, переданного на радиоинтерфейсе, причем первый алгоритм защиты целостности определен в соответствии с первым идентификатором алгоритма защиты целостности; или
пользовательское оборудование выполняет и защиту шифрования, и защиту целостности для ответного сообщения соглашения об аутентификации и ключах, и метод реализации этого подобен упомянутым выше методам реализации, то есть, шифрование первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования Ktc и первого алгоритма шифрования и выполнение защиты целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования Kti и первого алгоритма защиты целостности для получения второго ответного сообщения соглашения об аутентификации и ключах.
Далее в этом варианте осуществления настоящего изобретения предоставлено конкретное решение для защиты первого ответного сообщения соглашения об аутентификации и ключах, причем может быть выполнена защита шифрования или защита целостности, и также могут быть выполнены и защита шифрования, и защита целостности, тем самым значительно повышая безопасность, непрерывность и целостность переданного сообщения и достигая лучшего практического эффекта в конкретной реализации решения.
Факультативно, на основе первого факультативного варианта осуществления, соответствующего фиг. 4, в третьем факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения, после формирования посредством пользовательского оборудования первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной, способ может дополнительно включать в себя:
шифрование посредством пользовательского оборудования данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
шифрование посредством пользовательского оборудования данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнение защиты целостности для сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
В этом варианте осуществления пользовательское оборудование отправляет первый ключ и первый идентификатор алгоритма на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования, причем первый идентификатор алгоритма используется для указания типа алгоритма, который при этом используется. И данные плоскости пользователя, и сигнализация плоскости управления существуют на уровне протокола LLC пользовательского оборудования. Данные плоскости пользователя могут представлять собой сообщение, например, сообщение или уведомление, и сигнализация относится к сигналу в плоскости управления, например, аудиоданные или пакет данных.
Пользовательского оборудования шифрует и данные, и сигнализацию на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, что улучшает безопасность данных и сигнализации в процессе передачи, причем первый алгоритм шифрования определен в соответствии с первым идентификатором алгоритма шифрования; или
пользовательское оборудование шифрует данные на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования и выполняет и защиту шифрования, и защиту целостности для сигнализации на уровне протокола LLC пользовательского оборудования, причем первый алгоритм шифрования определен в соответствии с первым идентификатором алгоритма шифрования, и первый алгоритм защиты целостности определен в соответствии с первым идентификатором алгоритма защиты целостности.
Обычно пользовательское оборудование не выполняет защиту целостности для данных и не выполняет только защиту целостности для сигнализации, но такие методы реализации не исключаются заранее, и описание в настоящем документе не должно быть истолковано как ограничение к решению этого аспекта.
Кроме того, в этом варианте осуществления настоящего изобретения, поскольку данные и сигнализация поддерживают сосуществование на уровне протокола LLC пользовательского оборудования, защита шифрования может быть выполнена для данных, и для сигнализации могут быть выполнены и защита шифрования, и защита целостности. Соответствующий метод защиты может быть выбран в соответствии с фактической ситуацией, тем самым реализуя выполнимость решения настоящего изобретения в процессе применения. Кроме того, защита шифрования может улучшить безопасность данных и сигнализации, и защита целостности улучшает целостность сигнализации, тем самым в значительной степени гарантируя надежность данных и сигнализации в процессе передачи.
Способ защиты сообщений в вариантах осуществления настоящего изобретения описан выше с точки зрения пользовательского оборудования, и способ защиты сообщений в вариантах осуществления настоящего изобретения описан ниже с точки зрения узла SGSN. Согласно фиг. 5 другой вариант осуществления способа защиты сообщений в вариантах осуществления настоящего изобретения включает в себя следующие этапы.
501: Узел поддержки обслуживания GPRS (SGSN) получает второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирует второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма.
В этом варианте осуществления, когда узел SGSN определяет, что пользовательское оборудование является пользовательским оборудованием сотовой технологии IoT, узел SGSN может получить второй идентификатор алгоритма на уровне протокола GMM/SM и сформировать соответствующий второй ключ на уровне протокола GMM/SM узла SGSN, причем второй идентификатор алгоритма используется, чтобы определить тип соответствующего второго алгоритма.
502: Узел SGSN отправляет второй идентификатор алгоритма и второй ключ на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN.
В этом варианте осуществления узел SGSN отправляет второй алгоритм и второй ключ на уровень протокола LLC узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, и узел SGSN выбирает алгоритм шифрования и алгоритм защиты целостности в соответствии с сетевыми возможностями пользовательского оборудования и алгоритмом, поддерживаемым посредством узла SGSN, и выводит Ktc и Kti.
503: Узел SGSN выполняет защиту целостности для первого сообщения запроса соглашения об аутентификации и ключах на уровне протокола LLC узла SGSN и формирует первый код аутентификации сообщения.
В этом варианте осуществления узел SGSN принимает посредством использования уровня протокола LLC узла SGSN первое сообщение запроса соглашения об аутентификации и ключах, отправленное от уровня протокола GMM/SM узла SGSN, выполняет защиту целостности для первого сообщения запроса соглашения об аутентификации и ключах и формирует первый код аутентификации сообщения MAC-I соответствующим образом.
504: Узел SGSN отправляет первое сообщение запроса соглашения об аутентификации и ключах на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN, причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма.
В этом варианте осуществления узел SGSN отправляет на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN первое сообщение запроса соглашения об аутентификации и ключах, несущее первый код аутентификации сообщения, причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма, и второй идентификатор алгоритма используется для указания типа второго алгоритма.
Следует отметить, что второй алгоритм здесь и первый алгоритма, упомянутый на фиг. 2, и в вариантах осуществления с первого по третий, соответствующих фиг. 4, фактически могут представлять собой один и тот же алгоритм, и термины "первый" и "второй" в настоящем документе главным образом используются, чтобы указать различие между уровнями протокола, на которых расположены алгоритмы.
505: Узел SGSN принимает посредством использования уровня протокола LLC узла SGSN второе ответное сообщение соглашения об аутентификации и ключах, отправленное пользовательским оборудованием, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения.
В этом варианте осуществления после того, как пользовательское оборудование принимает первый код аутентификации сообщения посредством использования уровня протокола LLC пользовательского оборудования, пользовательское оборудование выполняет верификацию первого кода аутентификации сообщения, и когда определяет, что верификация является успешной, пользовательское оборудование отправляет сообщение успеха верификации на уровень протокола GMM/SM пользовательского оборудования посредством использования уровня протокола LLC пользовательского оборудования, с тем чтобы пользовательское оборудование сформировало первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM, отправило сообщение на уровень протокола LLC пользовательского оборудования и сформировало второе ответное сообщение соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования. Конкретные операции могут состоять в следующем: Пользовательское оборудование выполняет защиту целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования, чтобы получить второе ответное сообщение согласования ключей, добавляет информацию заголовка пакета и второй код аутентификации сообщения MAC-I ко второму ответному сообщению согласования ключей и затем отправляет стороне узла SGSN второе ответное сообщение соглашения об аутентификации и ключах, несущее второй код аутентификации сообщения MAC-I. Узел SGSN принимает посредством использования уровня протокола LLC узла SGSN второе ответное сообщение соглашения об аутентификации и ключах, которое отправлено пользовательским оборудованием посредством использования уровня протокола LLC пользовательского оборудования, и которое несет второй код аутентификации сообщения.
506: Узел SGSN выполняет верификацию второго кода аутентификации сообщения на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма.
В этом варианте осуществления узел SGSN выполняет верификацию второго кода аутентификации сообщения во втором ответном сообщении соглашения об аутентификации и ключах на уровне протокола LLC узла SGSN, и когда верификация является успешной, узел SGSN выполняет защиту шифрования и защиту целостности или выполняет только защиту шифрования или защиту целостности для подлежащих обработке данных на уровне протокола LLC узла SGSN посредством использования определенного второго ключа и второго алгоритма.
В этом варианте осуществления настоящего изобретения обеспечено решение по реализации для выполнения защиты целостности для ключа и процедуры соглашения об алгоритме между пользовательским оборудованием и узлом SGSN, которое состоит, в частности, в защите целостности для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола LLC и улучшает взаимодействие между уровнем протокола LLC и уровнем протокола GMM/SM на стороне пользовательского оборудования, и выполняется меньше верификации сообщений на стороне узла SGSN, чтобы получить ключ на уровне протокола GMM/SM пользовательского оборудования и затем выполнить верификацию целостности сообщения на уровне протокола LLC, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм.
Факультативно на основе варианта осуществления, соответствующего фиг. 5, в первом факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения,
второй ключ включает в себя второй ключ шифрования, и второй алгоритм включает в себя второй алгоритм шифрования; или
второй ключ включает в себя второй ключ целостности, и второй алгоритм включает в себя второй алгоритм защиты целостности; или
второй ключ включает в себя второй ключ шифрования и второй ключ целостности, и второй алгоритм включает в себя второй алгоритм шифрования и второй алгоритм защиты целостности.
В этом варианте осуществления второй ключ может включать в себя второй ключ шифрования и второй ключ целостности или может включать в себя только второй ключ шифрования или второй ключ целостности.
В настоящем документе вторым ключом шифрования является Ktc, и вторым ключом целостности является Kti.
Второй алгоритм включает в себя второй алгоритм шифрования и второй алгоритм защиты целостности или может включать в себя только второй алгоритм шифрования или второй алгоритм защиты целостности.
Алгоритм защиты целостности главным образом используется для защиты целостности подлежащих отправке данных на отправляющей стороне и проверки на принимающей стороне, разрушена ли целостность принятых данных. Код аутентификации сообщения MAC-I и ожидаемый код аутентификации сообщения XMAC-I соответственно получаются посредством выполнения операции над данными отправляющей стороны и принимающей стороны посредством использования алгоритма защиты целостности, и целостность данных может быть определена через сравнение их двух.
Далее, в этом варианте осуществления настоящего изобретения второй ключ и второй алгоритм сделаны конкретными, чтобы поддержать решение настоящего изобретения в сценарии реального приложения и улучшить гибкость решения, и заданный алгоритм выбран в заданном сценарии для включения данных, что также улучшает гибкость решения.
Факультативно, на основе фиг. 5 и первого варианта осуществления, соответствующего фиг. 5, во втором факультативном варианте осуществления способа защиты сообщений, обеспеченного в вариантах осуществления настоящего изобретения, после верификации посредством узла SGSN второго кода аутентификации сообщения на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма способ может дополнительно включать в себя:
шифрование посредством узла SGSN данных и сигнализация на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования; или
шифрование посредством узла SGSN данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования, и выполнение защиты целостности для сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа целостности и второго алгоритма защиты целостности, указанного вторым идентификатором алгоритма защиты целостности.
В этом варианте осуществления узел SGSN отправляет второй ключ и второй идентификатор алгоритма на уровень протокола LLC узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, причем второй идентификатор алгоритма используется, чтобы определить соответствующий второй алгоритм. И данные плоскости пользователя, и сигнализация плоскости управления существуют на уровне протокола LLC узла SGSN. В этом случае данные и сигнализация могут быть обработаны посредством использования второго ключа и второго алгоритма, и конкретный метод обработки может состоять в следующем:
узел SGSN шифрует данные и сигнализацию на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, что улучшает безопасность данных и сигнализации в процессе передачи; или
узел SGSN шифрует данные на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритм шифрования, и выполняет и защиту шифрования, и защиту целостности для сигнализации на уровне протокола LLC узла SGSN.
Обычно узел SGSN не выполняет защиту целостности для данных и не выполняет только защиту целостности для сигнализации, но такие методы реализации не исключаются заранее, и описание в настоящем документе не должно быть истолковано как ограничение к решению этого аспекта.
Далее в этом варианте осуществления настоящего изобретения, поскольку данные и сигнализация поддерживают сосуществование на уровне протокола LLC узла SGSN, защита шифрования может быть выполнена для данных, и для сигнализации могут быть выполнены и защита шифрования, и защита целостности. Соответствующий метод защиты может быть выбран в соответствии с фактической ситуацией, тем самым реализуя выполнимость решения настоящего изобретения в процессе применения. Кроме того, защита шифрования может улучшить безопасность данных и сигнализации, и защита целостности улучшает целостность сигнализации, тем самым в значительной степени гарантируя надежность данных и сигнализации в процессе передачи.
Для простоты понимания далее подробно описывается способ защиты сообщений в настоящем изобретении посредством использования конкретного сценария применения. Фиг. 6А и фиг. 6B являются блок-схемой последовательности этапов способа защиты сообщений в сценарии применения в соответствии с вариантом осуществления настоящего изобретения. Более конкретно процесс способа состоит в следующем.
Пользовательское оборудование отправляет сообщение запроса прикрепления узлу SGSN, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и сетевые возможности пользовательского оборудования.
Узел SGSN получает из реестра HLR или от сервера HSS вектор AV, используемый для аутентификации.
После того, как узел SGSN определяет в соответствии с сообщением запроса прикрепления, отправленным посредством пользовательского оборудования, что пользовательское оборудование является пользовательским оборудованием типа сотовой технологии IoT, узел SGSN выбирает алгоритм шифрования и алгоритм защиты целостности в соответствии с сетевыми возможностями пользовательского оборудования и алгоритмом безопасности, поддерживаемым узлом SGSN, и выводит соответствующие Ktc и Kti соответственно, и узел SGSN выполняет защиту целостности для сообщения запроса соглашения об аутентификации и ключах посредством использования Kti и алгоритма защиты целостности. Процесс может состоять в следующем: отправляющая сторона формирует MAC-I после выполнения защиты целостности для сообщения запроса соглашения об аутентификации и ключах посредством использования Kti. Принимающая сторона также формирует значение MAC-I тем же самым образом. Они сравниваются, и если MAC-I равен значению MAC-I, верификация является успешной.
Узел SGSN формирует сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM, причем сообщение запроса соглашения об аутентификации и ключах несет AUTN, RAND, алгоритм шифрования, алгоритм защиты целостности, сетевые возможности пользовательского оборудования и MAC-I, и узел SGSN отправляет сообщение запроса соглашения об аутентификации и ключах на уровень протокола LLC узла SGSN посредством использования уровня протокола GMM/SM.
В этом случае уровень протокола LLC узла SGSN не получил ключ и алгоритм от уровня протокола GMM/SM, и, таким образом, узел SGSN не выполняет обработку безопасности для сообщения запроса соглашения об аутентификации и ключах.
Узел SGSN непосредственно отправляет сообщение запроса соглашения об аутентификации и ключах на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN.
В этом случае уровень протокола LLC пользовательского оборудования не получил соответствующий ключ и алгоритм от уровня протокола GMM/SM пользовательского оборудования, и, таким образом, пользовательское оборудование также не выполняет обработку безопасности для сообщения запроса соглашения об аутентификации и ключах.
Пользовательское оборудование непосредственно отправляет сообщение запроса соглашения об аутентификации и ключах на уровень протокола GMM/SM пользовательского оборудования посредством использования уровня протокола LLC.
Пользовательское оборудование выполняет верификацию AUTN на уровне протокола GMM/SM в соответствии с предшествующим уровнем техники, формирует RES, формирует Ktc и Kti и получает алгоритм после обнаружения сетевых возможностей пользовательского оборудования, выполняет верификацию MAC-I посредством использования ключа целостности и алгоритма, формирует ответное сообщение соглашения об аутентификации и ключах, если верификация является успешной, и вычисляет новое значение MAC-I для ответного сообщения соглашения об аутентификации и ключах, причем операция шифрования может быть выполнена для ответного сообщения соглашения об аутентификации и ключах.
Пользовательское оборудование отправляет на базовый уровень протокола LLC посредством использования уровня протокола GMM/SM пользовательского оборудования ответное сообщение соглашения об аутентификации и ключах, несущее новый MAC-I.
В этом случае пользовательское оборудование все еще не получило ключ и алгоритм от уровня протокола GMM/SM, и, таким образом, не выполняет обработку безопасности для ответного сообщения соглашения об аутентификации и ключах.
Пользовательское оборудование отправляет ответное сообщение соглашения об аутентификации и ключах на уровень протокола LLC узла SGSN посредством использования уровня протокола LLC пользовательского оборудования, причем ответное сообщение соглашения об аутентификации и ключах все еще несет соответствующее новое значение MAC-I.
В этом случае уровень протокола LLC узла SGSN также не получил ключ и алгоритм от уровня протокола GMM/SM узла SGSN, и, таким образом, узел SGSN также не выполняет обработку безопасности для ответного сообщения соглашения об аутентификации и ключах.
Узел SGSN отправляет на уровень протокола GMM/SM узла SGSN посредством использования уровня протокола LLC узла SGSN ответное сообщение соглашения об аутентификации и ключах, несущее новое значение MAC-I.
Узел SGSN выполняет верификацию целостности нового MAC-I в ответном сообщении соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN.
После того, как верификация целостности нового MAC-I была успешной, уровень протокола GMM/SM узла SGSN отправляет ключ и алгоритм на уровень протокола LLC узла SGSN, и после того, как пользовательское оборудование отправляет ответное сообщение соглашения об аутентификации и ключах на уровень протокола GMM/SM пользовательского оборудования, пользовательское оборудование также отправляет ключ и алгоритм на уровень протокола LLC пользовательского оборудования. Если защита целостности не выполнена, но только разрешена защита шифрования на плоскости управления, уровень протокола GMM/SM отправляет только ключ шифрования и алгоритм шифрования на уровень протокола LLC и не отправляет ключ целостности и алгоритм защиты целостности.
Уровни протокола LLC пользовательского оборудования и узла SGSN отдельно сохраняют ключ и алгоритм, разрешают шифрование данных плоскости пользователя и разрешают защиту шифрования и защиту целостности плоскости управления. Защита целостности может быть не разрешена на плоскости управления. Например, когда уровни протокола LLC не принимают ключ целостности и алгоритм защиты целостности, соответствующая защита целостности не разрешена.
В приведенном выше сценарии применения защита целостности главным образом выполнена для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM. Только после того, как верификация сообщения запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM посредством пользовательского оборудования была успешной, и пользовательское оборудование отправляет ответное сообщение соглашения об аутентификации и ключах, пользовательское оборудование отправляет Ktc, Kti и алгоритм на уровень протокола LLC пользовательского оборудования. Только после того, как верификация ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM узлом SGSN была успешной, узел SGSN отправляет Ktc, Kti и алгоритм на уровень протокола LLC узла SGSN.
Далее представлена процедура другого способа обработки данных. В способе обработка главным образом выполнена на уровне протокола LLC, причем пользовательское оборудование принимает сообщение запроса соглашения об аутентификации и ключах посредством использования уровня протокола LLC и непосредственно передает сообщение на уровень протокола GMM/SM пользовательского оборудования, уровень протокола GMM/SM пользовательского оборудования завершает аутентификацию и формирует ключ и отправляет Ktc, Kti и алгоритм на уровень протокола LLC пользовательского оборудования, и, наконец, пользовательское оборудование выполняет верификацию целостности сообщения запроса соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования.
Фиг. 7А и фиг. 7B являются другой блок-схемой последовательности этапов способа защиты сообщений в сценарии применения в соответствии с вариантом осуществления настоящего изобретения. Более конкретно процесс способа состоит в следующем:
Пользовательское оборудование отправляет сообщение запроса прикрепления узлу SGSN, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и сетевые возможности пользовательского оборудования.
Узел SGSN получает из реестра HLR или от сервера HSS вектор AV, используемый для аутентификации.
После того, как узел SGSN определяет в соответствии с сообщением запроса прикрепления, отправленным посредством пользовательского оборудования, что пользовательское оборудование является пользовательским оборудованием типа сотовой технологии IoT, узел SGSN выбирает алгоритм шифрования и алгоритм защиты целостности на основе сетевых возможностей пользовательского оборудования и алгоритма безопасности, поддерживаемого посредством узла SGSN, и выводит соответствующие Ktc и Kti, соответственно.
Узел SGSN отправляет Ktc, Kti и соответствующий алгоритм на уровень протокола LLC узла SGSN посредством использования уровня протокола GMM/SM узла SGSN.
После того, как узел SGSN принимает Ktc, Kti и соответствующий алгоритм на уровне протокола LLC, узел SGSN разрешает соответствующую защиту целостности на уровне протокола LLC.
Узел SGSN отправляет сообщение запроса соглашения об аутентификации и ключах на уровень протокола LLC узла SGSN посредством использования уровня протокола GMM/SM.
Узел SGSN формирует сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM, причем сообщение запроса соглашения об аутентификации и ключах несет AUTN, RAND, алгоритм шифрования, алгоритм защиты целостности и сетевые возможности пользовательского оборудования, и узел SGSN выполняет защиту целостности для сообщения запроса соглашения об аутентификации и ключах на уровне протокола LLC узла SGSN и формирует соответствующий MAC-I посредством вычисления.
Узел SGSN непосредственно отправляет сообщение запроса соглашения об аутентификации и ключах на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN.
В этом случае пользовательское оборудование все еще не получило ключ и алгоритм от уровня протокола GMM/SM, и? таким образом, не выполняет обработку безопасности для сообщения запроса соглашения об аутентификации и ключах.
Пользовательское оборудование отправляет сообщение запроса соглашения об аутентификации и ключах на уровень протокола GMM/SM пользовательского оборудования посредством использования уровня протокола LLC пользовательского оборудования. В настоящем документе MAC-I в сообщении запроса соглашения об аутентификации и ключах может быть не удален, и MAC-I отправляется на уровень протокола GMM/SM пользовательского оборудования как часть блока SDU.
Пользовательское оборудование выполняет верификацию AUTN на уровне протокола GMM/SM в соответствии с предшествующим уровнем техники, формирует RES, формирует Ktc и Kti и получает алгоритм после обнаружения сетевых возможностей пользовательского оборудования.
Пользовательское оборудование отправляет Ktc, Kti, алгоритм и сообщение запроса соглашения об аутентификации и ключах на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования, причем сообщение запроса соглашения об аутентификации и ключах несет MAC-I.
Пользовательское оборудование выполняет верификацию MAC-I на уровне протокола LLC пользовательского оборудования посредством использования ключа целостности и алгоритма защиты целостности, чтобы выполнить верификацию целостности сообщения запроса соглашения об аутентификации и ключах.
Пользовательское оборудование отправляет сообщение об успехе верификации или ошибке верификации на уровень протокола GMM/SM пользовательского оборудования посредством использования уровня протокола LLC пользовательского оборудования.
Если верификация является успешной, ответное сообщение соглашения об аутентификации и ключах возвращается на уровень протокола LLC пользовательского оборудования.
Пользовательское оборудование разрешает защиту шифрования плоскости пользователя и разрешает защиту шифрования и защиту целостности плоскости управления на уровне протокола LLC. Факультативно, выполнение защиты целостности может потребоваться только для сообщения запроса соглашения об аутентификации и ключах или ответного сообщения соглашения об аутентификации и ключах, и разрешение защиты целостности может не потребоваться для последующей сигнализации. Новый MAC-I формируется после того, как защита целостности и защита шифрования выполнены для ответного сообщения соглашения об аутентификации и ключах.
Пользовательское оборудование отправляет на уровень протокола LLC узла SGSN посредством использования уровня протокола LLC ответное сообщение соглашения об аутентификации и ключах, несущее новый MAC-I.
Узел SGSN выполняет верификацию на уровне протокола LLC узла SGSN, является ли корректным новый MAC-I, перенесенный в ответном сообщении соглашения об аутентификации и ключах, и если верификация является успешной, разрешает защиту шифрования данных плоскости пользователя и защиту шифрования и защиту целостности сигнализации плоскости управления. Факультативно, если защита целостности должна быть выполнена только для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах, разрешение защиты целостности может не потребоваться для последующей сигнализации.
Для лучшей реализации способа защиты сообщений в вариантах осуществления настоящего изобретения варианты осуществления настоящего изобретения дополнительно обеспечивают устройство на основе способа защиты сообщений. Существительные имеют такие же значения, как в способе защиты сообщений. Для получения дополнительной информации конкретной реализации обратитесь к описаниям в вариантах осуществления способа.
1. Защита для информации на уровне протокола GMM/SM.
Далее подробно описывается пользовательское оборудование в настоящем изобретении. Согласно фиг. 8 пользовательское оборудование в варианте осуществления настоящего изобретения включает в себя:
модуль 601 приема, выполненный с возможностью принимать посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
модуль 602 получения, выполненный с возможностью получать первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах, принятым модулем 601 приема, и формировать первый ключ;
модуль 603 верификации, выполненный с возможностью выполнять верификацию первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом, полученным модулем 602 получения, и первым алгоритмом, сформированным модулем 602 получения;
модуль 604 формирования, выполненный с возможностью формировать ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, если модуль верификации 603 определяет, что верификация первого кода аутентификации сообщения является успешной, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
первый модуль 605 отправки, выполненный с возможностью отправлять ответное сообщение соглашения об аутентификации и ключах, сформированное модулем 604 формирования, узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
В этом варианте осуществления модуль 601 приема принимает посредством использования уровня протокола GMM/SM пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное узлом SGSN, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма; модуль 602 получения получает первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах, принятым модулем 601 приема, и формирует первый ключ; модуль 603 верификации выполняет верификацию первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом, полученным модулем 602 получения, и первым алгоритмом, сформированным модулем 602 получения; если модуль верификации 603 определяет, что верификация первого кода аутентификации сообщения является успешной, модуль 604 формирования формирует ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и первый модуль 605 отправки отправляет ответное сообщение соглашения об аутентификации и ключах, сформированное модулем 604 формирования, узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
В этом варианте осуществления настоящего изобретения обеспечено решение по реализации для защиты сообщения между пользовательским оборудованием и узлом SGSN, которое состоит, в частности, в защите целостности для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM и решает проблему на предшествующем уровне техники, состоящую в том, что функция защиты целостности не может быть реализована на уровнях протокола LLC пользовательского оборудования и узла SGSN. Защита целостности соответственно выполнена для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM пользовательского оборудования и узла SGSN. Поддержка может быть получена в реальном приложении, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм.
Факультативно, на основе варианта осуществления, соответствующего фиг. 8, в первом факультативном варианте осуществления пользовательского оборудования, обеспеченном в вариантах осуществления настоящего изобретения,
первый ключ включает в себя первый ключ шифрования, и первый алгоритм включает в себя первый алгоритм шифрования; или
первый ключ включает в себя первый ключ целостности, и первый алгоритм включает в себя первый алгоритм защиты целостности; или
первый ключ включает в себя первый ключ шифрования и первый ключ целостности, и первый алгоритм включает в себя первый алгоритм шифрования и первый алгоритм защиты целостности.
Далее, в этом варианте осуществления настоящего изобретения первый ключ и первый алгоритм сделаны конкретными, чтобы поддержать решение настоящего изобретения в сценарии реального приложения и улучшить гибкость решения, и заданный алгоритм выбран в заданном сценарии для включения данных, что также улучшает гибкость решения.
Согласно фиг. 9 другой вариант осуществления пользовательского оборудования в настоящем изобретении включает в себя:
модуль 601 приема, выполненный с возможностью принимать посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
модуль 602 получения, выполненный с возможностью получать первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах, принятым модулем 601 приема, и формировать первый ключ;
модуль 603 верификации, выполненный с возможностью выполнять верификацию первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом, полученным модулем 602 получения, и первым алгоритмом, сформированным модулем 602 получения;
модуль 604 формирования, выполненный с возможностью формировать ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, если модуль верификации 603 определяет, что верификация первого кода аутентификации сообщения является успешной, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения;
модуль 606 обработки сообщения, выполненный с возможностью: после того, как модуль 604 формирования формирует ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, шифровать ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
выполнять защиту целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности; или
выполнять шифрование ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнять защиту целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности; и
первый модуль 605 отправки, выполненный с возможностью отправлять ответное сообщение соглашения об аутентификации и ключах, сформированное модулем 604 формирования, узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Далее в этом варианте осуществления настоящего изобретения предоставлено конкретное решение для защиты ответного сообщения соглашения об аутентификации и ключах, причем может быть выполнена защита шифрования или защита целостности, и также могут быть выполнены и защита шифрования, и защита целостности, тем самым значительно повышая безопасность, непрерывность и целостность переданного сообщения и достигая лучшего практического эффекта в конкретной реализации решения.
Согласно фиг. 10 другой вариант осуществления пользовательского оборудования в настоящем изобретении включает в себя:
второй модуль 607 отправки, выполненный с возможностью: прежде чем модуль 601 приема принимает посредством использования уровня протокола GMM/SM пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное узлом SGSN, отправлять сообщение запроса прикрепления на уровень протокола GMM/SM узла SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования, с тем чтобы узел SGSN сформировал сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN в соответствии с сообщением запроса прикрепления;
модуль 601 приема, выполненный с возможностью принимать посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
модуль 602 получения, выполненный с возможностью получать первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах, принятым модулем 601 приема, и формировать первый ключ;
модуль 603 верификации, выполненный с возможностью выполнять верификацию первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом, полученным модулем 602 получения, и первым алгоритмом, сформированным модулем 602 получения;
модуль 604 формирования, выполненный с возможностью формировать ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, если модуль верификации 603 определяет, что верификация первого кода аутентификации сообщения является успешной, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
первый модуль 605 отправки, выполненный с возможностью отправлять ответное сообщение соглашения об аутентификации и ключах, сформированное модулем 604 формирования, узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Далее, в этом варианте осуществления настоящего изобретения пользовательское оборудование отправляет сообщение запроса прикрепления узлу SGSN, с тем чтобы узел SGSN мог получить относящийся к аутентификации параметр в соответствии с сообщением запроса прикрепления, что обеспечивает основу конкретной реализации для реального применения решения настоящего изобретения, а также представляет собой метод взаимодействия между пользовательским оборудованием и стороной сети. Обмен информацией между пользовательским оборудованием и сетью завершается посредством использования запроса прикрепления, что улучшает осуществимость решения.
Согласно фиг. 11 другой вариант осуществления пользовательского оборудования в настоящем изобретении включает в себя:
модуль 601 приема, выполненный с возможностью принимать посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
модуль 602 получения, выполненный с возможностью получать первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах, принятым модулем 601 приема, и формировать первый ключ;
модуль 603 верификации, выполненный с возможностью выполнять верификацию первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом, полученным модулем 602 получения, и первым алгоритмом, сформированным модулем 602 получения;
модуль 604 формирования, выполненный с возможностью формировать ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, если модуль верификации 603 определяет, что верификация первого кода аутентификации сообщения является успешной, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения;
первый модуль 605 отправки, выполненный с возможностью отправлять ответное сообщение соглашения об аутентификации и ключах, сформированное модулем 604 формирования, узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения; и
третий модуль 608 отправки, выполненный с возможностью: после того, как первый модуль отправки 605 отправляет ответное сообщение соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, отправлять первый ключ и первый идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования.
Кроме того, в этом варианте осуществления настоящего изобретения после того, как пользовательское оборудование отправляет ответное сообщение соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM, пользовательское оборудование может дополнительно отправить первый алгоритм и первый ключ на уровень протокола LLC пользовательского оборудования, с тем чтобы пользовательское оборудование могло выполнить соответствующую обработку данных и сигнализации на уровне протокола LLC, тем самым улучшая надежность решения и дополнительно улучшая осуществимость решения.
Согласно фиг. 12 другой вариант осуществления пользовательского оборудования в настоящем изобретении включает в себя:
модуль 601 приема, выполненный с возможностью принимать посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
модуль 602 получения, выполненный с возможностью получать первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах, принятым модулем 601 приема, и формировать первый ключ;
модуль 603 верификации, выполненный с возможностью выполнять верификацию первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом, полученным модулем 602 получения, и первым алгоритмом, сформированным модулем 602 получения;
модуль 604 формирования, выполненный с возможностью формировать ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, если модуль верификации 603 определяет, что верификация первого кода аутентификации сообщения является успешной, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения;
первый модуль 605 отправки, выполненный с возможностью отправлять ответное сообщение соглашения об аутентификации и ключах, сформированное модулем 604 формирования, узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения;
третий модуль 608 отправки, выполненный с возможностью: после того, как первый модуль 605 отправки отправляет ответное сообщение соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, отправлять первый ключ и первый идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования; и
модуль 609 шифрования, выполненный с возможностью: после того, как третий модуль 608 отправки отправляет первый ключ и первый идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования, выполнять шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
выполнять посредством пользовательского оборудования шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнять защиту целостности для сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
Кроме того, в этом варианте осуществления настоящего изобретения, поскольку данные и сигнализация поддерживают сосуществование на уровне протокола LLC пользовательского оборудования, защита шифрования может быть выполнена для данных, и для сигнализации могут быть выполнены и защита шифрования, и защита целостности. Соответствующий метод защиты может быть выбран в соответствии с фактической ситуацией, тем самым реализуя выполнимость решения настоящего изобретения в процессе применения. Кроме того, защита шифрования может улучшить безопасность данных и сигнализации, и защита целостности улучшает целостность сигнализации, тем самым в значительной степени гарантируя надежность данных и сигнализации в процессе передачи.
Далее подробно описывается узел поддержки обслуживания GPRS в настоящем изобретении. Согласно фиг. 13 узел поддержки обслуживания GPRS в варианте осуществления настоящего изобретения включает в себя:
модуль 701 получения, выполненный с возможностью получать второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формировать второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма;
модуль 702 формирования, выполненный с возможностью формировать сообщение запроса соглашение об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма, которые получены модулем 701 получения, и отправлять сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
первый модуль 703 приема, выполненный с возможностью принимать посредством использования уровня протокола GMM/SM узла SGSN ответное сообщение соглашения об аутентификации и ключах, отправленное модулем 702 формирования, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
модуль 704 верификации, выполненный с возможностью выполнять верификацию второго кода аутентификации сообщения, принятого первым модулем 703 приема на уровне протокола GMM/SM узла SGSN, посредством использования второго ключа и второго алгоритма.
В этом варианте осуществления модуль 701 получения получает второй идентификатор алгоритма на уровне протокола GMM/SM узла SGSN и формирует второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма; модуль 702 формирования формирует сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма, которые получены модулем 701 получения, и отправляет сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма; первый модуль 703 приема принимает посредством использования уровня протокола GMM/SM узла SGSN ответное сообщение соглашения об аутентификации и ключах, отправленное модулем 702 формирования, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и модуль 704 верификации выполняет верификацию второго кода аутентификации сообщения, принятого первым модулем 703 приема на уровне протокола GMM/SM узла SGSN, посредством использования второго ключа и второго алгоритма.
Факультативно, на основе варианта осуществления, соответствующего фиг. 13, в первом факультативном варианте осуществления узла поддержки обслуживания GPRS, обеспеченного в вариантах осуществления настоящего изобретения,
второй ключ включает в себя второй ключ шифрования, и второй алгоритм включает в себя второй алгоритм шифрования; или
второй ключ включает в себя второй ключ целостности, и второй алгоритм включает в себя второй алгоритм защиты целостности; или
второй ключ включает в себя второй ключ шифрования и второй ключ целостности, и второй алгоритм включает в себя второй алгоритм шифрования и второй алгоритм защиты целостности.
Далее, в этом варианте осуществления настоящего изобретения второй ключ и второй алгоритм сделаны конкретными, чтобы поддержать решение настоящего изобретения в сценарии реального приложения и улучшить гибкость решения, и заданный алгоритм выбран в заданном сценарии для включения данных, что также улучшает гибкость решения.
Согласно фиг. 14 другой вариант осуществления узла поддержки обслуживания GPRS в настоящем изобретении включает в себя:
модуль 701 получения, выполненный с возможностью получать второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формировать второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма;
второй модуль 705 приема, выполненный с возможностью: прежде чем модуль 702 формирования формирует сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN и отправляет сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию, принимать посредством использования уровня протокола GMM/SM узла SGSN сообщение запроса прикрепления, отправленное пользовательским оборудованием, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования;
модуль 702 формирования, выполненный с возможностью формировать сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма, которые получены модулем 701 получения, и отправлять сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
первый модуль 703 приема, выполненный с возможностью принимать посредством использования уровня протокола GMM/SM узла SGSN ответное сообщение соглашения об аутентификации и ключах, отправленное модулем 702 формирования, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
модуль 704 верификации, выполненный с возможностью выполнять верификацию второго кода аутентификации сообщения, принятого первым модулем 703 приема на уровне протокола GMM/SM узла SGSN, посредством использования второго ключа и второго алгоритма.
Модуль получения 701 включает в себя:
блок 7011 получения, выполненный с возможностью получать второй алгоритм в соответствии с информацией о сетевых возможностях пользовательского оборудования; и
блок модуль 7012 формирования, выполненный с возможностью получать информацию вектора авторизации пользовательского оборудования в соответствии с идентификатором пользовательского оборудования и формировать второй ключ в соответствии с информацией вектора авторизации.
Далее, в этом варианте осуществления настоящего изобретения узел SGSN принимает сообщение запроса прикрепления, отправленное пользовательским оборудованием, и получает относящийся к аутентификации параметр в соответствии с сообщением запроса прикрепления, что обеспечивает основу для конкретной реализации для реального применения решения настоящего изобретения, а также представляет собой метод взаимодействия между пользовательским оборудованием и узлом SGSN. Обмен информацией между пользовательским оборудованием и сетью завершается посредством использования запроса прикрепления, что улучшает осуществимость решения. Когда узел SGSN принимает сообщение запроса прикрепления, несущее идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования, узел SGSN выбирает подходящий алгоритм в соответствии с информацией о сетевых возможностях пользовательского оборудования и определяет в соответствии с идентификатором пользовательского оборудования информацию вектора авторизации, соответствующую пользовательскому оборудованию, с тем чтобы решение было более подходящим в реальном применении. Конкретный алгоритм и ключ выбираются для конкретного пользовательского оборудования, что улучшает выполнимость всего решения.
Согласно фиг. 15 другой вариант осуществления узла поддержки обслуживания GPRS в настоящем изобретении включает в себя:
модуль 701 получения, выполненный с возможностью получать второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формировать второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма;
модуль 702 формирования, выполненный с возможностью формировать сообщение запроса соглашение об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма, которые получены модулем 701 получения, и отправлять сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
первый модуль 703 приема, выполненный с возможностью принимать посредством использования уровня протокола GMM/SM узла SGSN ответное сообщение соглашения об аутентификации и ключах, отправленное модулем 702 формирования, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения;
модуль 704 верификации, выполненный с возможностью выполнять верификацию второго кода аутентификации сообщения, принятого первым модулем 703 приема на уровне протокола GMM/SM узла SGSN, посредством использования второго ключа и второго алгоритма; и
модуль 706 отправки, выполненный с возможностью отправлять второй ключ и второй идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, если модуль верификации 704 определяет, что верификация второго кода аутентификации сообщения является успешной.
Кроме того, в этом варианте осуществления настоящего изобретения после того, как узел SGSN определяет, что верификация второго кода аутентификации сообщения является успешной, узел SGSN отправляет второй ключ и второй идентификатор алгоритма на уровень протокола LLC узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, с тем чтобы узел SGSN мог выполнить соответствующую обработку данных и сигнализации на уровне протокола LLC, тем самым улучшая надежность решения и дополнительно улучшая осуществимость решения.
Согласно фиг. 16 другой вариант осуществления узла поддержки обслуживания GPRS в настоящем изобретении включает в себя:
модуль 701 получения, выполненный с возможностью получать второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формировать второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма;
модуль 702 формирования, выполненный с возможностью формировать сообщение запроса соглашение об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма, которые получены модулем 701 получения, и отправлять сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
первый модуль 703 приема, выполненный с возможностью принимать посредством использования уровня протокола GMM/SM узла SGSN ответное сообщение соглашения об аутентификации и ключах, отправленное модулем 702 формирования, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения;
модуль 704 верификации, выполненный с возможностью выполнять верификацию второго кода аутентификации сообщения, принятого первым модулем 703 приема на уровне протокола GMM/SM узла SGSN, посредством использования второго ключа и второго алгоритма;
модуль 706 отправки, выполненный с возможностью отправлять второй ключ и второй идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, если модуль верификации 704 определяет, что верификация второго кода аутентификации сообщения является успешной; и
модуль 707 шифрования, выполненный с возможностью: после того, как модуль отправки 706 отправляет второй ключ и второй идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, выполняет посредством узла SGSN шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования; или
выполняет шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования, и выполняет защиту целостности для сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа целостности и второго алгоритма защиты целостности, указанного вторым идентификатором алгоритма защиты целостности.
Кроме того, в этом варианте осуществления настоящего изобретения, поскольку данные и сигнализация поддерживают сосуществование на уровне протокола LLC узла SGSN, защита шифрования может быть выполнена для данных, и для сигнализации могут быть выполнены и защита шифрования, и защита целостности. Соответствующий метод защиты может быть выбран в соответствии с фактической ситуацией, тем самым реализовывая выполнимость решения настоящего изобретения в процессе применения. Кроме того, защита шифрования может улучшить безопасность данных и сигнализации, и защита целостности улучшает целостность сигнализации, тем самым в значительной степени гарантируя надежность данных и сигнализации в процессе передачи.
2. Защита для информации на уровне протокола LLC.
Далее подробно описывается пользовательское оборудование в настоящем изобретении. Согласно фиг. 17 пользовательское оборудование в варианте осуществления настоящего изобретения включает в себя:
модуль 801 приема, выполненный с возможностью принимать посредством использования уровня протокола управления логической линией связи (LLC) пользовательского оборудования первое сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
модуль 802 обработки, выполненный с возможностью обрабатывать первое сообщение запроса соглашения об аутентификации и ключах, принятое модулем 801 приема, на уровне протокола LLC для получения второго сообщения запроса соглашения об аутентификации и ключах и отправлять второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования;
модуль 803 получения, выполненный с возможностью: после того, как модуль обработки 802 отправляет второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола GMM/SM пользовательского оборудования, получать первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии со вторым сообщением запроса соглашения об аутентификации и ключах, формировать первый ключ и отправлять первый ключ и первый идентификатор алгоритма на уровень протокола LLC пользовательского оборудования;
модуль 804 формирования, выполненный с возможностью формировать первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если на уровне протокола LLC пользовательского оборудования посредством использования первого алгоритма и первого ключа, которые получены модулем 803 получения, определено, что верификация первого кода аутентификации сообщения является успешной;
модуль 805 обработки сообщений, выполненный с возможностью выполнять защиту шифрования и/или защиту целостности для первого ответного сообщения соглашения об аутентификации и ключах, сформированного модулем 804 формирования, на уровне протокола LLC пользовательского оборудования, чтобы получить второе ответное сообщение соглашения об аутентификации и ключах, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
модуль 806 отправки, выполненный с возможностью отправлять второе ответное сообщение соглашения об аутентификации и ключах, полученное модулем 805 обработки сообщений посредством обработки, узлу SGSN посредством использования уровня протокола LLC пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
В этом варианте осуществления модуль 801 приема принимает посредством использования уровня протокола управления логической линией связи (LLC) пользовательского оборудования первое сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма; модуль 802 обработки обрабатывает первое сообщение запроса соглашения об аутентификации и ключах, принятое модулем 801 приема, на уровне протокола LLC, чтобы получить второе сообщение запроса соглашения об аутентификации и ключах, и отправляет второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования; после того, как модуль 802 обработки отправляет второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола GMM/SM пользовательского оборудования, модуль 803 получения получает первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии со вторым сообщением запроса соглашения об аутентификации и ключах, формирует первый ключ и отправляет первый ключ и первый идентификатор алгоритма на уровень протокола LLC пользовательского оборудования; если на уровне протокола LLC пользовательского оборудования посредством использования первого алгоритма и первого ключа, которые получены модулем 802 получения, определено, что верификация первого кода аутентификации сообщения является успешной, модуль 804 формирования формирует первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования; модуль 805 обработки сообщений выполняет защиту шифрования и/или защиту целостности для первого ответного сообщения соглашения об аутентификации и ключах, сформированного модулем 804 формирования, на уровне протокола LLC пользовательского оборудования, чтобы получить второе ответное сообщение соглашения об аутентификации и ключах, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и модуль 806 отправки отправляет второе ответное сообщение соглашения об аутентификации и ключах, полученное модулем 805 обработки сообщений посредством обработки, узлу SGSN посредством использования уровня протокола LLC пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
В этом варианте осуществления настоящего изобретения обеспечено решение по реализации для защиты сообщения между пользовательским оборудованием и узлом SGSN, которое состоит, в частности, в защите целостности для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола LLC и улучшает взаимодействие между уровнем протокола LLC и уровнем протокола GMM/SM на стороне пользовательского оборудования, чтобы получить ключ на уровне протокола GMM/SM пользовательского оборудования и затем выполнить верификацию целостности сообщения на уровне протокола LLC, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм.
Факультативно, на основе варианта осуществления, соответствующего фиг. 17, в первом факультативном варианте осуществления пользовательского оборудования, обеспеченном в вариантах осуществления настоящего изобретения,
первый ключ включает в себя первый ключ шифрования, и первый алгоритм включает в себя первый алгоритм шифрования; или
первый ключ включает в себя первый ключ целостности, и первый алгоритм включает в себя первый алгоритм защиты целостности; или
первый ключ включает в себя первый ключ шифрования и первый ключ целостности, и первый алгоритм включает в себя первый алгоритм шифрования и первый алгоритм защиты целостности.
Далее, в этом варианте осуществления настоящего изобретения первый ключ и первый алгоритм сделаны конкретными, чтобы поддержать решение настоящего изобретения в сценарии реального приложения и улучшить гибкость решения, и заданный алгоритм выбран в заданном сценарии для включения данных, что также улучшает гибкость решения.
Согласно фиг. 18 другой вариант осуществления пользовательского оборудования в настоящем изобретении включает в себя:
модуль 801 приема, выполненный с возможностью принимать посредством использования уровня протокола управления логической линией связи (LLC) пользовательского оборудования первое сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
модуль 802 обработки, выполненный с возможностью обрабатывать первое сообщение запроса соглашения об аутентификации и ключах, принятое модулем 801 приема, на уровне протокола LLC для получения второго сообщения запроса соглашения об аутентификации и ключах и отправлять второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования;
модуль 803 получения, выполненный с возможностью: после того, как модуль обработки 802 отправляет второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола GMM/SM пользовательского оборудования, получать первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии со вторым сообщением запроса соглашения об аутентификации и ключах, формировать первый ключ и отправлять первый ключ и первый идентификатор алгоритма на уровень протокола LLC пользовательского оборудования;
модуль 804 формирования, выполненный с возможностью формировать первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если на уровне протокола LLC пользовательского оборудования посредством использования первого алгоритма и первого ключа, которые получены модулем 803 получения, определено, что верификация первого кода аутентификации сообщения является успешной;
модуль 805 обработки сообщений, выполненный с возможностью выполнять защиту шифрования и/или защиту целостности для первого ответного сообщения соглашения об аутентификации и ключах, сформированного модулем 804 формирования, на уровне протокола LLC пользовательского оборудования, чтобы получить второе ответное сообщение соглашения об аутентификации и ключах, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
модуль 806 отправки, выполненный с возможностью отправлять второе ответное сообщение соглашения об аутентификации и ключах, полученное модулем 805 обработки сообщений посредством обработки, узлу SGSN посредством использования уровня протокола LLC пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Модуль 805 обработки сообщений включает в себя:
блок 8051 шифрования, выполненный с возможностью шифровать первое ответное сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, для получения второго ответного сообщения соглашения об аутентификации и ключах; или
выполнять защиту целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритм защиты целостности, указанного первым идентификатором алгоритма защиты целостности, для получения второго ответного сообщение соглашения об аутентификации и ключах; или
шифровать первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнять защиту целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритм защиты целостности, указанного первым идентификатором алгоритма защиты целостности, для получения второго ответного сообщение соглашения об аутентификации и ключах.
Далее в этом варианте осуществления настоящего изобретения предоставлено конкретное решение для защиты первого ответного сообщения соглашения об аутентификации и ключах, причем может быть выполнена защита шифрования или защита целостности, и также могут быть выполнены и защита шифрования, и защита целостности, тем самым значительно повышая безопасность, непрерывность и целостность переданного сообщения и достигая лучшего практического эффекта в конкретной реализации решения.
Согласно фиг. 19 другой вариант осуществления пользовательского оборудования в настоящем изобретении включает в себя:
модуль 801 приема, выполненный с возможностью принимать посредством использования уровня протокола управления логической линией связи (LLC) пользовательского оборудования первое сообщение запроса соглашения об аутентификации и ключах, отправленное узлом поддержки обслуживания GPRS (SGSN), причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
модуль 802 обработки, выполненный с возможностью обрабатывать первое сообщение запроса соглашения об аутентификации и ключах, принятое модулем 801 приема, на уровне протокола LLC для получения второго сообщения запроса соглашения об аутентификации и ключах и отправлять второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования;
модуль 803 получения, выполненный с возможностью: после того, как модуль обработки 802 отправляет второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола GMM/SM пользовательского оборудования, получать первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии со вторым сообщением запроса соглашения об аутентификации и ключах, формировать первый ключ и отправлять первый ключ и первый идентификатор алгоритма на уровень протокола LLC пользовательского оборудования;
модуль 804 формирования, выполненный с возможностью формировать первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если на уровне протокола LLC пользовательского оборудования посредством использования первого алгоритма и первого ключа, которые получены модулем 803 получения, определено, что верификация первого кода аутентификации сообщения является успешной;
модуль 807 шифрования, выполненный с возможностью: после того, как модуль 804 формирования формирует первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, шифровать данные плоскости пользователя и сигнализацию плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования; или
шифровать данные плоскости пользователя и сигнализацию плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнять защиту целостности для сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности;
модуль 805 обработки сообщений, выполненный с возможностью выполнять защиту шифрования и/или защиту целостности для первого ответного сообщения соглашения об аутентификации и ключах, сформированного модулем 804 формирования, на уровне протокола LLC пользовательского оборудования, чтобы получить второе ответное сообщение соглашения об аутентификации и ключах, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
модуль 806 отправки, выполненный с возможностью отправлять второе ответное сообщение соглашения об аутентификации и ключах, полученное модулем 805 обработки сообщений посредством обработки, узлу SGSN посредством использования уровня протокола LLC пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Кроме того, в этом варианте осуществления настоящего изобретения, поскольку данные и сигнализация поддерживают сосуществование на уровне протокола LLC пользовательского оборудования, защита шифрования может быть выполнена для данных, и для сигнализации могут быть выполнены и защита шифрования, и защита целостности. Соответствующий метод защиты может быть выбран в соответствии с фактической ситуацией, тем самым реализуя выполнимость решения настоящего изобретения в процессе применения. Кроме того, защита шифрования может улучшить безопасность данных и сигнализации, и защита целостности улучшает целостность сигнализации, тем самым в значительной степени гарантируя надежность данных и сигнализации в процессе передачи.
Далее подробно описывается узел поддержки обслуживания GPRS в настоящем изобретении. Согласно фиг. 20 узел поддержки обслуживания GPRS в варианте осуществления настоящего изобретения включает в себя:
модуль 901 получения, выполненный с возможностью получить второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формировать второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма;
первый модуль 902 отправки, выполненный с возможностью отправлять второй идентификатор алгоритма, полученный модулем 901 получения, и второй ключ, сформированный модулем 901 получения, на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN;
модуль 903 обработки сообщений, выполненный с возможностью выполнять защиту целостности для первого сообщения запроса соглашения об аутентификации и ключах, на уровне протокола LLC узла SGSN посредством использования второго алгоритма и второго ключа, которые отправлены первым модулем 902 отправки, и формировать первый код аутентификации сообщения;
второй модуль 904 отправки, выполненный с возможностью отправлять первое сообщение запроса соглашения об аутентификации и ключах просит, обработанное модулем 903 обработки сообщений, на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN, причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
модуль 905 приема, выполненный с возможностью принимать посредством использования уровня протокола LLC узла SGSN второе ответное сообщение соглашения об аутентификации и ключах, отправленное посредством пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения, отправленного вторым модулем отправки 904, является успешной, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
модуль 906 верификации, выполненный с возможностью выполнять верификацию второго кода аутентификации сообщения, принятого модулем 905 приема, на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма.
В этом варианте осуществления модуль 901 получения получает второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирует второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма; первый модуль 902 отправки отправляет второй идентификатор алгоритма, полученный модулем 901 получения, и второй ключ, сформированный модулем получения 901, на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN; модуль 903 обработки сообщений выполняет защиту целостности для первого сообщения запроса соглашения об аутентификации и ключах на уровне протокола LLC узла SGSN посредством использования второго алгоритма и второго ключа, которые отправлены первым модулем 902 отправки, и формирует первый код аутентификации сообщения; второй 904 модуль отправки отправляет первое сообщение запроса соглашения об аутентификации и ключах, обработанное модулем 903 обработки сообщений, на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN, причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма; если пользовательское оборудование на уровне протокола LLC пользовательского оборудования определяет, что верификация первого кода аутентификации сообщения, отправленного вторым модулем 904 отправки, является успешной, модуль 905 приема принимает посредством использования уровня протокола LLC узла SGSN второе ответное сообщение соглашения об аутентификации и ключах, отправленное посредством пользовательского оборудования, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и модуль 906 верификации выполняет посредством узла SGSN верификацию второго кода аутентификации сообщения, принятого модулем 905 приема, на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма.
В этом варианте осуществления настоящего изобретения обеспечено решение по реализации для выполнения защиты целостности для ключа и процедуры соглашения об алгоритме между пользовательским оборудованием и узлом SGSN, которое состоит, в частности, в защите целостности для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола LLC и улучшает взаимодействие между уровнем протокола LLC и уровнем протокола GMM/SM на стороне пользовательского оборудования, и выполняется меньше аутентификации сообщений на стороне узла SGSN, чтобы получить ключ на уровне протокола GMM/SM пользовательского оборудования и затем выполнить верификацию целостности сообщения на уровне протокола LLC, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм.
Факультативно, на основе варианта осуществления, соответствующего фиг. 20, в первом факультативном варианте осуществления узла поддержки обслуживания GPRS, обеспеченного в вариантах осуществления настоящего изобретения,
второй ключ включает в себя второй ключ шифрования, и второй алгоритм включает в себя второй алгоритм шифрования; или
второй ключ включает в себя второй ключ целостности, и второй алгоритм включает в себя второй алгоритм защиты целостности; или
второй ключ включает в себя второй ключ шифрования и второй ключ целостности, и второй алгоритм включает в себя второй алгоритм шифрования и второй алгоритм защиты целостности.
Далее, в этом варианте осуществления настоящего изобретения второй ключ и второй алгоритм сделаны конкретными, чтобы поддержать решение настоящего изобретения в сценарии реального приложения и улучшить гибкость решения, и заданный алгоритм выбран в заданном сценарии для включения данных, что также улучшает гибкость решения.
Согласно фиг. 21 другой вариант осуществления узла поддержки обслуживания GPRS в настоящем изобретении включает в себя:
модуль 901 получения, выполненный с возможностью получить второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формировать второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма;
первый модуль 902 отправки, выполненный с возможностью отправлять второй идентификатор алгоритма, полученный модулем 901 получения, и второй ключ, сформированный модулем 901 получения, на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN;
модуль 903 обработки сообщений, выполненный с возможностью выполнять защиту целостности для первого сообщения запроса соглашения об аутентификации и ключах, на уровне протокола LLC узла SGSN посредством использования второго алгоритма и второго ключа, которые отправлены первым модулем 902 отправки, и формировать первый код аутентификации сообщения;
второй модуль 904 отправки, выполненный с возможностью отправлять первое сообщение запроса соглашения об аутентификации и ключах просит, обработанное модулем 903 обработки сообщений, на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN, причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
модуль 905 приема, выполненный с возможностью принимать посредством использования уровня протокола LLC узла SGSN второе ответное сообщение соглашения об аутентификации и ключах, отправленное посредством пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения, отправленного вторым модулем отправки 904, является успешной, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения;
модуль 906 верификации, выполненный с возможностью выполнять верификацию второго кода аутентификации сообщения, принятого модулем 905 приема, на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма; и
модуль 907 шифрования, выполненный с возможностью: после того, как модуль 906 верификации выполняет верификацию второго кода аутентификации сообщения на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма, выполнять шифрование данных и сигнализации на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования; или
выполнять шифрование данных плоскости пользователя и сигнализация плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования, и выполнять защиту целостности для сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа целостности и второго алгоритма защиты целостности, указанного вторым идентификатором алгоритма защиты целостности.
Далее, в этом варианте осуществления настоящего изобретения, поскольку данные и сигнализация поддерживают сосуществование на уровне протокола LLC узла SGSN, защита шифрования может быть выполнена для данных, и для сигнализации могут быть выполнены и защита шифрования, и защита целостности. Соответствующий метод защиты может быть выбран в соответствии с фактической ситуацией, тем самым реализуя выполнимость решения настоящего изобретения в процессе применения. Кроме того, защита шифрования может улучшить безопасность данных и сигнализации, и защита целостности улучшает целостность сигнализации, тем самым в значительной степени гарантируя надежность данных и сигнализации в процессе передачи.
Вариант осуществления настоящего изобретения дополнительно обеспечивает другой экземпляр пользовательского оборудования. Как показано на фиг. 22, для простоты описания показаны только части, относящиеся к вариантам осуществления настоящего изобретения. Для конкретных технических деталей, которые не раскрыты, обратитесь к части способа вариантов осуществления настоящего изобретения. Пользовательское оборудование может представлять собой любое терминальное устройство, в том числе мобильный телефон, планшетный компьютер, карманный персональный компьютер (PDA), точку продажи (POS) и компьютер в транспортном средстве. Например, терминал является мобильным телефоном.
Фиг. 22 является блок-схемой структуры части мобильного телефона, относящегося к терминалу, в соответствии с вариантом осуществления настоящего изобретения. Согласно фиг. 22 мобильный телефон включает в себя: такие компоненты, как радиочастотная (RF) схема 1010, память 1020, блок 1030 ввода, блок 1040 отображения, датчик 1050, звуковая схема 1060, модуль 1070 стандарта "беспроводной достоверности" (WiFi), процессор 1080 и блок 1090 питания. Специалист в области техники может понять, что структура мобильного телефона, показанная на фиг. 22, не составляет ограничение для мобильного телефона, и мобильный телефон может включать в себя больше компонентов или меньше компонентов, чем показано на фигуре, или некоторые компоненты могут быть объединены, или может использоваться другое развертывание компонентов.
Далее более конкретно описываются компоненты мобильного телефона со ссылкой на фиг. 22.
Радиочастотная схема 1010 может быть выполнена с возможностью принимать и отправлять сигналы во время процесса приема и отправки информации или процесса вызова. В частности, радиочастотная схема 1010 принимает информацию нисходящей линии связи от базовой станции, затем доставляет информацию нисходящей линии связи процессору 1080 для обработки и отправляет данные восходящей линии связи к базовой станции. Обычно радиочастотная схема 1010 включает в себя, но без ограничения, антенну, по меньшей мере один усилитель, приемопередатчик, ответвитель, усилитель с низким уровнем шума (LNA), дуплексор и т.п. Кроме того, радиочастотная схема 1010 может далее осуществлять связь с сетью и другим устройством посредством беспроводной связи. Беспроводная связь может использовать любой стандарт или протокол связи, которые включают в себя, но без ограничения, глобальную систему мобильной связи (GSM), общую службу пакетной радиосвязи (GPRS), множественный доступ с кодовым разделением (CDMA), широкополосный множественный доступ с кодовым разделением (WCDMA), проект долгосрочного развития (LTE), электронную почту, службу коротких сообщений (SMS) и т.п.
Память 1020 может быть выполнена с возможностью хранить программу и модуль. Процессор 1080 выполняет программу и модуль, сохраненные в памяти 1020, чтобы реализовать различные функциональные приложения и обработку данных мобильного телефона. Память 1020 может, главным образом, включать в себя область хранения программ и область хранения данных. Область хранения программ может хранить операционную систему, прикладную программу, требуемую по меньшей мере одной функцией (такой как функция воспроизведения звука и функция отображения изображения) и т.п. Область хранения данных может хранить данные (такие как аудиоданные и адресная книга), созданные в соответствии с использованием мобильного телефона, и т.п. Кроме того, память 1020 может включать в себя быстродействующее оперативное запоминающее устройство и также может включать в себя энергонезависимую память, такую как по меньшей мере одно дисковое устройство хранения, устройство флэш-памяти или другое энергозависимое твердотельное запоминающее устройство.
Блок 1030 ввода может быть выполнен с возможностью принимать входную цифровую или символьную информацию и формировать сигнальный ввод клавиатуры, относящийся к пользовательским настройкам и управлению функциями мобильного телефона. В частности, блок 1030 ввода может включать в себя сенсорную панель 1031 и другое устройство 1032 ввода. Сенсорная панель 1031, также называемая сенсорным экраном, может воспринимать сенсорную операцию пользователя на сенсорной панели 1031 или около сенсорной панели 1031 (например, операцию пользователя на сенсорной панели 1031 или около сенсорной панели 1031 посредством использования любого подходящего объекта или вспомогательного приспособления, например, пальца или стилуса) и приводить в действие соответствующее соединительное устройство в соответствии с предварительно заданной программой. Факультативно, сенсорная панель 1031 может включать в себя две части: устройство обнаружения прикосновения и сенсорный контроллер. Устройство обнаружения прикосновения обнаруживает направление прикосновения пользователя, обнаруживает сигнал, сформированный операцией прикосновения, и переносит сигнал сенсорному контроллеру. Сенсорный контроллер принимает информацию о прикосновении от устройства обнаружения прикосновения, преобразовывает информацию о прикосновении в координаты точки прикосновения и затем отправляет координаты точки прикосновения процессору 1080. Кроме того, сенсорный контроллер может принимать и исполнять команду, отправленную от процессора 1080. Кроме того, сенсорная панель 1031 может представлять собой емкостную, инфракрасную или поверхностную звуковую сенсорную панель. Помимо сенсорной панели 1031 блок 1030 ввода может дополнительно включать в себя другое устройство 1032 ввода. В частности, другое устройство 1032 ввода может включить в себя, но без ограничения, один или более элементов из физической клавиатуры, функционального ключа (такого как ключ регулятора громкости или ключ переключателя), шарового манипулятора, мыши и джойстика.
Блок 1040 отображения может быть выполнен с возможностью отображать информацию пользовательского ввода или информацию, обеспеченную для пользователя, и различные меню мобильного телефона. Блок 1040 отображения может включить в себя панель 1041. Факультативно, панель 1041 может быть выполнена посредством использования жидкокристаллического дисплея (LCD), органического светодиода (OLED) и т.п. Кроме того, сенсорная панель 1031 может покрывать панель 1041. После обнаружения операции прикосновения на сенсорной панели 1031 или около сенсорной панели 1031, сенсорная панель 1031 передает операцию прикосновению процессору 1080, чтобы определить тип события прикосновения. Затем процессор 1080 обеспечивает соответствующий визуальный вывод на панели 1041 в соответствии с типом события прикосновения. Хотя на фиг. 22 сенсорная панель 1031 и панель 1041 используются в качестве двух отдельных частей для реализации функций ввода и вывода мобильного телефона в некоторых вариантах осуществления, сенсорная панель 1031 и панель 1041 могут быть объединены для реализации функций ввода и вывода мобильного телефона.
Мобильный телефон может дополнительно включать в себя по меньшей мере один датчик 1050, такой как оптический датчик, датчик движения и другие датчики. В частности, оптический датчик может включать в себя датчик окружающей освещенности и датчик близости. Датчик окружающей освещенности может корректировать яркость панели 1041 в соответствии с яркостью окружающего света. Датчик близости может отключать панель 1041 и/или подсветку, когда мобильный телефон перемещается к уху. В качестве одного типа датчика движения датчик ускорения может обнаруживать магнитуду ускорения в различных направлениях (в общем случае, по трем осям), может обнаруживать магнитуду и направление силы тяжести в статичном состоянии и может быть применен к приложению, которое распознает положение мобильного телефона (например, переключение между альбомной ориентацией и портретной ориентацией, соответствующая игра и калибровка положения магнитометра), функцию, относящуюся к распознаванию вибрации (например, шагомер и датчик встряски) и т.п. Другие датчики, такие как гироскоп, барометр, гигрометр, термометр и инфракрасный датчик, которые могут быть сконфигурированы в мобильном телефоне, дополнительно не описываются в настоящем документе.
Звуковая схема канал 1060, динамик 1061 и микрофон 1062 могут обеспечивать аудиоинтерфейсы между пользователем и мобильным телефоном. Звуковая схема 1060 может преобразовывать принятые аудиоданные в электрический сигнал и передавать электрический сигнал на динамик 1061. Динамик 1061 преобразовывает электрический сигнал в звуковой сигнал для вывода. С другой стороны, микрофон 1062 преобразовывает принятый звуковой сигнал в электрический сигнал. Звуковая схема 1060 принимает электрический сигнал и преобразовывает электрический сигнал в аудиоданные и выдает аудиоданные процессору 1080 для обработки. Затем процессор 580 отправляет аудиоданные, например, другому мобильному телефону посредством использования радиочастотной схемы 1010 или выдает аудиоданные в память 1020 для последующей обработки.
WiFi принадлежит технологии беспроводной передачи на коротком расстоянии. Мобильный телефон посредством использования модуля 1070 WiFi может помочь пользователю принимать и отправлять электронные письма, просматривать веб-страницы, осуществлять доступ к потоковому мультимедиа и так далее, и это обеспечивает беспроводной широкополосный доступ в Интернет для пользователя. Хотя фиг. 22 показывает модуль 1070 WiFi, следует понимать, что модуль WiFi не является необходимым компонентом мобильного телефона, и при необходимости, модуль WiFi может быть опущен при условии, что существенный объем настоящего изобретения не изменен.
Процессор 1080 является центром управления мобильным телефоном и соединен с различными частями мобильного телефона посредством использования различных интерфейсов и линий. Работая или исполняя программу и/или модуль, сохраненные в памяти 1020, и вызывая данные, хранящиеся в памяти 1020, процессор 780 выполняет различные функции и обработку данных мобильного телефона, тем самым выполняя полный мониторинг мобильного телефона. Факультативно, процессор 1080 может включать в себя один или несколько процессорных блоков. Предпочтительно, процессор 1080 может быть объединен с процессором приложений и процессором модема. Процессор приложений главным образом обрабатывает операционную систему, пользовательский интерфейс, прикладную программу и т.п. Процессор модема главным образом обрабатывает беспроводную связь. Следует подразумевать, что упомянутый выше процессор модема может не быть интегрирован в процессор 1080.
Мобильный телефон дополнительно включает в себя блок 1090 питания (например, батарею) для снабжения компонентов электроэнергией. Предпочтительно, блок питания может быть логически соединен с процессором 1080 посредством использования системы управления электропитанием, тем самым реализовывая такие функции, как зарядка, разрядка и управление потреблением энергии посредством использования системы управления электропитанием.
Хотя не показано на чертеже, мобильный телефон может дополнительно включать в себя камеру, модуль Bluetooth и т.п., которые дополнительно не описываются в настоящем документе.
В этом варианте осуществления настоящего изобретения блок 1030 ввода, включенный в терминал, имеет следующую функцию:
прием посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщения запроса соглашения об аутентификации и ключах, отправленного узлом поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма.
Факультативно, блок 1030 ввода может дополнительно иметь следующую функцию:
прием посредством использования уровень протокола управления логической линией связи (LLC) пользовательского оборудования первого сообщения запроса соглашения об аутентификации и ключах, отправленного узлом поддержки обслуживания GPRS (SGSN), причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма.
В этом варианте осуществления настоящего изобретения процессор 1080, включенный в терминал, дополнительно имеет следующие функции:
получение первого идентификатора алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах и формирование первого ключа;
верификация первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом; и
формирование ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, если пользовательское оборудование определяет, что верификация первого кода аутентификации сообщения является успешной, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения.
Факультативно, процессор 1080 может дополнительно иметь следующие функции:
обработка сообщения запроса первого соглашения об аутентификации и ключах на уровне протокола LLC, чтобы получить второе сообщение запроса соглашения об аутентификации и ключах, и отправка второго сообщения запроса соглашения об аутентификации и ключах на уровень протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования;
получение первого идентификатора алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии со вторым сообщением запроса соглашения об аутентификации и ключах, формирование первого ключа и отправка первого ключа и первого идентификатора алгоритма на уровень протокола LLC пользовательского оборудования;
формирование посредством пользовательского оборудования первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной;
формирование посредством пользовательского оборудования первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной; и
выполнение защиты шифрования и/или целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования для получения второго ответного сообщения соглашения об аутентификации и ключах, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения.
В этом варианте осуществления настоящего изобретения устройство вывода, включенное в терминал, имеет следующую функцию:
отправка ответного сообщения соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Факультативно, устройство вывода может дополнительно иметь следующую функцию:
отправка второго ответного сообщения соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола LLC пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения.
Фиг. 23 является структурной схемой узла поддержки обслуживания GPRS в соответствии с вариантом осуществления настоящего изобретения. Узел 1100 поддержки обслуживания GPRS может значительно меняться вследствие разных конфигураций или функционирования и может включать в себя один или более центральных процессоров (ЦП; CPU) 1122 (например, один или несколько процессоров), память 1132 и один или более запоминающих носителей 1130 (например, один или более устройств хранения большой емкости) для хранения прикладной программы 1142 или данных 1144. Память 1132 и запоминающий носитель 1130 могут обеспечить временное запоминающее устройство или постоянное запоминающее устройство. Программа, сохраненная на запоминающем носителе 1130, может включать в себя один или более модулей (не показаны на чертеже), и каждый модуль может включать в себя последовательность операционных инструкций для узла поддержки обслуживания GPRS. Кроме того, центральный процессор 1122 может быть настроен для осуществления связи с запоминающим носителем 1130 и исполнения последовательности операционных инструкций на запоминающем носителе 1130 на узле 1100 поддержки обслуживания GPRS.
Узел 1100 поддержки обслуживания GPRS дополнительно может включать в себя один или более блоков 1126 питания, один или более проводных или беспроводных сетевых интерфейсов 1150, один или более интерфейсов 1158 ввода-вывода и/или одну или более операционных систем 1141, например, Windows ServerTM, Mac OS XTM, UnixTM, LinuxTM или FreeBSDTM.
В этом варианте осуществления настоящего изобретения устройство ввода, включенное в устройство, дополнительно имеет следующую функцию:
прием посредством использования уровня протокола GMM/SM узла SGSN ответного сообщения соглашения об аутентификации и ключах, отправленного пользовательским оборудованием, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения.
Факультативно, устройство ввода может дополнительно иметь следующую функцию:
прием посредством узла SGSN посредством использования уровня протокола LLC узла SGSN второго ответного сообщения соглашения об аутентификации и ключах, отправленного посредством пользовательского оборудования, если пользовательское оборудование определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения.
В этом варианте осуществления настоящего изобретения процессор 1122, включенный в устройство, дополнительно имеет следующие функции:
получение второго идентификатора алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирование второго ключа, причем второй идентификатор алгоритма используется для указания второго алгоритма;
формирование сообщения запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма и отправка сообщения запроса соглашения об аутентификации и ключах пользовательскому оборудованию, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма; и
выполнение верификации второго кода аутентификации сообщения на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма.
Факультативно, процессор 1122 может дополнительно иметь следующие функции:
получение второго идентификатора алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирование второго ключа, причем второй идентификатор алгоритма используется для указания второго алгоритма;
выполнение защиты целостности для сообщения запроса первого соглашения об аутентификации и ключах на уровне протокола LLC узла SGSN и формирование первого кода аутентификации сообщения; и
выполнение верификации второго кода аутентификации сообщения на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма.
В этом варианте осуществления настоящего изобретения устройство вывода, включенное в устройство, дополнительно имеет следующие функции:
отправка второго идентификатора алгоритма и второго ключа на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN; и
отправка первого сообщения запроса соглашения об аутентификации и ключах на уровень протокола LLC пользовательского оборудования посредством использования уровня протокола LLC узла SGSN, причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма.
Этапы, выполняемые узлом поддержки обслуживания GPRS в упомянутых выше вариантах осуществления, могут быть основаны на структуре устройства, показанной на фиг. 23.
Далее описывается система защиты сообщений в варианте осуществления настоящего изобретения. Согласно фиг. 24 система защиты сообщений в этом варианте осуществления настоящего изобретения включает в себя:
пользовательское оборудование 1201 и узел 1202 поддержки обслуживания GPRS.
Пользовательское оборудование 1201 принимает посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправленное узлом 1202 поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма; пользовательское оборудование 1201 получает первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах и формирует первый ключ; пользовательское оборудование 1201 выполняет верификацию первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом; если пользовательское оборудование 1201 определяет, что верификация первого кода аутентификации сообщения является успешной, пользовательское оборудование 1201 формирует ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и пользовательское оборудование 1201 отправляет ответное сообщение соглашения об аутентификации и ключах узлу 1202 SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел 1202 SGSN выполнил верификацию второго кода аутентификации сообщения.
Узел 1202 поддержки обслуживания GPRS (SGSN) получает второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирует второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма; узел SGSN 1202 формирует сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма и отправляет сообщение запроса соглашения об аутентификации и ключах пользовательскому оборудованию 1201, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма; узел 1202 SGSN принимает посредством использования уровня протокола GMM/SM узла SGSN ответное сообщение соглашения об аутентификации и ключах, отправленное посредством пользовательского оборудования 1201, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и узел 1202 SGSN выполняет верификацию второго кода аутентификации сообщения на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма.
В этом варианте осуществления настоящего изобретения обеспечено решение по реализации для защиты сообщения между пользовательским оборудованием и узлом SGSN, которое состоит, в частности, в защите целостности для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM и решает проблему на предшествующем уровне техники, состоящую в том, что функция защиты целостности не может быть реализована на уровнях протокола LLC пользовательского оборудования и узла SGSN. Защита целостности соответственно выполнена для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM пользовательского оборудования и узла SGSN. Поддержка может быть получена в реальном приложении, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм.
Выше описана система для реализации защиты сообщения, и далее описывается другая система для реализации защиты сообщения.
Пользовательское оборудование 1201 принимает посредством использования уровня протокола управления логической линией связи (LLC) пользовательского оборудования первое сообщение запроса соглашения об аутентификации и ключах, отправленное узлом 1202 поддержки обслуживания GPRS (SGSN), причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма; пользовательское оборудование 1201 обрабатывает первое сообщение запроса соглашения об аутентификации и ключах на уровне протокола LLC, чтобы получить второе сообщение запроса соглашения об аутентификации и ключах, и отправляет второе сообщение запроса соглашения об аутентификации и ключах на уровень протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования; пользовательское оборудование 1201 получает первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии со вторым сообщением запроса соглашения об аутентификации и ключах, формирует первый ключ и отправляет первый ключ и первый идентификатор алгоритма на уровень протокола LLC пользовательского оборудования; если пользовательское оборудование 1201 определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной, пользовательское оборудование 1201 формирует первое ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования; пользовательское оборудование 1201 выполняет защиту шифрования и/или целостности для первого ответного сообщения соглашения об аутентификации и ключах на уровне протокола LLC пользовательского оборудования для получения второго ответного сообщения соглашения об аутентификации и ключах, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и пользовательское оборудование 1201 отправляет второе ответное сообщение соглашения об аутентификации и ключах узлу 1202 SGSN посредством использования уровня протокола LLC пользовательского оборудования, с тем чтобы узел SGSN 1202 выполнил верификацию второго кода аутентификации сообщения.
Узел 1202 поддержки обслуживания GPRS (SGSN) получает второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формирует второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма; узел SGSN 1202 отправляет второй идентификатор алгоритма и второй ключ на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN; узел 1202 SGSN выполняет защиту целостности для первого сообщения запроса соглашения об аутентификации и ключах на уровне протокола LLC узла SGSN и формирует первый код аутентификации сообщения; узел 1202 SGSN отправляет первое сообщение запроса соглашения об аутентификации и ключах на уровень протокола LLC пользовательского оборудования 1201 посредством использования уровня протокола LLC узла SGSN, причем первое сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма; если пользовательское оборудование 1201 определяет на уровне протокола LLC пользовательского оборудования, что верификация первого кода аутентификации сообщения является успешной, узел SGSN 1202 принимает посредством использования уровня протокола LLC узла SGSN второе ответное сообщение соглашения об аутентификации и ключах, отправленное посредством пользовательского оборудования 1201, причем второе ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и узел SGSN 1202 выполняет верификацию второго кода аутентификации сообщения на уровне протокола LLC узла SGSN посредством использования второго ключа и второго алгоритма.
В этом варианте осуществления настоящего изобретения обеспечено решение по реализации для защиты сообщения между пользовательским оборудованием и узлом SGSN, которое состоит, в частности, в защите целостности для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM и решает проблему на предшествующем уровне техники, состоящую в том, что функция защиты целостности не может быть реализована на уровнях протокола LLC пользовательского оборудования и узла SGSN. Защита целостности соответственно выполнена для сообщения запроса соглашения об аутентификации и ключах и ответного сообщения соглашения об аутентификации и ключах на уровнях протокола GMM/SM пользовательского оборудования и узла SGSN. Поддержка может быть получена в реальном приложении, тем самым повышая безопасность решения и предотвращая атаку через демодернизацию от взломщика на алгоритм.
В приведенных выше вариантах осуществления описание каждого варианта осуществления сфокусировано на соответствующих моментах. Для части, которая подробно не описана в варианте осуществления, может быть сделана ссылка на соответствующие описания в других вариантах осуществления.
В этих нескольких вариантах осуществления, обеспеченных в этой заявке, следует понимать, что раскрытые система, устройство и способ могут быть реализованы другим образом. Например, описанный вариант осуществления устройства является лишь иллюстративным. Например, подразделение на блоки является лишь подразделением по логическим функциям и может представлять собой другое подразделение в фактической реализации. Например, множество модулей или компонентов может быть объединено или интегрировано в другую систему, или некоторые признаки могут быть игнорированы или не выполняться. Кроме того, отображенные или поясненные взаимные соединения, или прямые соединения, или соединения связи могут быть реализованы посредством использования некоторых интерфейсов. Косвенные связи или соединения связи между устройствами или модулями могут быть реализованы в электронной, механической или других формах.
Блоки, описанные как отдельные части, могут являться или не являться физически отдельными, и части, отображенные как модули, могут являться или не являться физическими модулями, могут быть расположены в одной позиции или могут быть распределены по множеству сетевых блоков. Некоторые или все модули могут быть выбраны в соответствии с фактическими потребностями для достижения целей решений вариантов осуществления.
Кроме того, функциональные блоки в вариантах осуществления настоящего изобретения могут быть интегрированы в один процессор, или каждый из модулей может существовать физически отдельно, или два или более модулей интегрированы в один модуль. Интегрированный модуль может быть реализован в форме аппаратных средств или может быть реализован в форме функционального блока программного обеспечения.
Когда интегрированный модуль реализован в форме функционального блока программного обеспечения и продается или используется в качестве независимого продукта, интегрированный модуль может быть сохранен на машиночитаемом запоминающем носителе. На основе такого понимания, технические решения настоящего изобретения по существу, или часть, вносящая вклад в предшествующий уровень техники, или все или некоторые технические решения могут быть реализованы в форме программного продукта. Программный продукт сохранен на запоминающем носителе и включает в себя несколько инструкций для предписания компьютерному устройству (которое может представлять собой персональный компьютер, сервер или сетевое устройством) выполнять все или некоторые этапы способов, описанных в вариантах осуществления настоящего изобретения. Представленный выше запоминающий носитель включает в себя: любой носитель, который может хранить программный код, такой как карта флэш-памяти с интерфейсом USB, постоянное запоминающее устройство (ПЗУ; ROM), оперативное запоминающее устройство (ОЗУ; RAM), магнитный диск или оптический диск.
Способ защиты сообщений, соответствующее устройство и система, обеспеченные в вариантах осуществления настоящего изобретения, подробно описаны выше. Принцип и метод реализации настоящего изобретения описаны в настоящем документе посредством использования конкретных примеров. Описание вариантов осуществления настоящего изобретения предназначено лишь для того, чтобы помочь пониманию способов и основных идей настоящего изобретения. Кроме того, специалисты в области техники могут выполнить вариации и модификации настоящего изобретения с точки зрения методов конкретной реализации и областей применения в соответствии с идеями настоящего изобретения. Таким образом, содержание описания не должно быть истолковано как ограничение настоящего изобретения.
название | год | авторы | номер документа |
---|---|---|---|
БЕСПРОВОДНАЯ СВЯЗЬ | 2016 |
|
RU2688251C1 |
БЕСПРОВОДНАЯ СВЯЗЬ | 2016 |
|
RU2712428C2 |
СПОСОБ И УСТРОЙСТВО ДЛЯ РЕАЛИЗАЦИИ ЗАЩИТЫ В БЕСПРОВОДНОМ УСТРОЙСТВЕ LTE | 2008 |
|
RU2446626C2 |
СПОСОБ КОНФИГУРИРОВАНИЯ КЛЮЧА, СПОСОБ ОПРЕДЕЛЕНИЯ ПОЛИТИКИ БЕЗОПАСНОСТИ И УСТРОЙСТВО | 2017 |
|
RU2719447C1 |
СИСТЕМА РАДИОСВЯЗИ, УСТРОЙСТВО МТС И ШЛЮЗ | 2011 |
|
RU2552193C2 |
СПОСОБ УЛУЧШЕНИЯ КЛЮЧА СИСТЕМЫ GPRS, УСТРОЙСТВО SGSN, ПОЛЬЗОВАТЕЛЬСКОЕ УСТРОЙСТВО, HLR/HSS И СИСТЕМА GPRS | 2015 |
|
RU2683853C1 |
ГЕНЕРИРОВАНИЕ КЛЮЧЕЙ ЗАЩИТЫ В СЕТЯХ МОБИЛЬНОЙ СВЯЗИ СЛЕДУЮЩЕГО ПОКОЛЕНИЯ | 2007 |
|
RU2416882C2 |
УПРАВЛЕНИЕ ЗАЩИТОЙ ЦЕЛОСТНОСТИ БЛОКА ПАКЕТНЫХ ДАННЫХ УПРАВЛЕНИЯ ЛОГИЧЕСКИМ КАНАЛОМ | 2016 |
|
RU2697941C1 |
СПОСОБ И УСТРОЙСТВО ДЛЯ САМОКОНФИГУРИРОВАНИЯ БАЗОВОЙ СТАНЦИИ | 2007 |
|
RU2424634C2 |
ВТОРИЧНАЯ АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЬСКОГО УСТРОЙСТВА | 2017 |
|
RU2755258C2 |
Изобретение относится к области связи, а именно к защите сообщений. Технический результат – повышение безопасности передачи сообщений в системе беспроводной связи. Способ защиты сообщений включает прием сообщения запроса соглашения об аутентификации и ключах, отправленного узлом SGSN, получение первого идентификатора алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах и формирование первого ключа, выполнение верификации первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, формирование ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, и отправку посредством пользовательского оборудования ответного сообщения соглашения об аутентификации и ключах узлу SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, с тем чтобы узел SGSN выполнил верификацию второго кода аутентификации сообщения. 4 н. и 18 з.п. ф-лы, 24 ил.
1. Способ защиты сообщений, содержащий этапы, на которых:
принимают (201) посредством пользовательского оборудования путем использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах от узла поддержки обслуживания GPRS (SGSN), причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
получают (202) посредством пользовательского оборудования первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах и формируют первый ключ;
выполняют (203) посредством пользовательского оборудования верификацию первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом;
формируют (204) посредством пользовательского оборудования, когда пользовательское оборудование определяет, что верификация первого кода аутентификации сообщения является успешной, ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
отправляют (205) посредством пользовательского оборудования ответное сообщение соглашения об аутентификации и ключах в узел SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования.
2. Способ по п.1, в котором первый ключ содержит первый ключ шифрования и первый ключ целостности, и первый алгоритм содержит первый алгоритм шифрования и первый алгоритм защиты целостности.
3. Способ по п.2, при этом после формирования ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом способ дополнительно содержит этап, на котором выполняют посредством пользовательского оборудования защиту целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
4. Способ по п.1, при этом перед приемом пользовательским оборудованием посредством использования уровня протокола GMM/SM пользовательского оборудования сообщения запроса соглашения об аутентификации и ключах от узла SGSN способ дополнительно содержит этап, на котором отправляют посредством пользовательского оборудования сообщение запроса прикрепления на уровень протокола GMM/SM узла SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования.
5. Способ по п.1, при этом после отправки пользовательским оборудованием ответного сообщения соглашения об аутентификации и ключах в узел SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования способ дополнительно содержит этап, на котором отправляют посредством пользовательского оборудования первый ключ и первый идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования.
6. Способ по п.5, при этом после отправки пользовательским оборудованием первого ключа и первого идентификатора алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования способ дополнительно содержит этапы, на которых:
выполняют посредством пользовательского оборудования шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполняют защиту целостности для сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
7. Способ защиты сообщений, содержащий этапы, на которых:
получают (301) посредством узла поддержки обслуживания GPRS (SGSN) второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла SGSN и формируют второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма;
формируют (302) посредством узла SGSN сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма и отправляют сообщение запроса соглашения об аутентификации и ключах в пользовательское оборудование, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
принимают (303) от пользовательского оборудования посредством узла SGSN путем использования уровня протокола GMM/SM узла SGSN ответное сообщение соглашения об аутентификации и ключах, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
выполняют (304) посредством узла SGSN верификацию второго кода аутентификации сообщения на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма.
8. Способ по п.7, в котором второй ключ содержит второй ключ шифрования и второй ключ целостности, и второй алгоритм содержит второй алгоритм шифрования и второй алгоритм защиты целостности.
9. Способ по п.7, при этом перед формированием сообщения запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN и отправки сообщения запроса соглашения об аутентификации и ключах в пользовательское оборудование способ дополнительно содержит этап, на котором принимают посредством узла SGSN путем использования уровня протокола GMM/SM узла SGSN сообщение запроса прикрепления от пользовательского оборудования, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования; и
получение узлом SGSN второго идентификатора алгоритма на уровне протокола GMM/SM SGSN и формирование второго ключа содержат этапы, на которых:
получают посредством узла SGSN второй алгоритм в соответствии с информацией о сетевых возможностях пользовательского оборудования; и
получают посредством узла SGSN информацию вектора авторизации пользовательского оборудования в соответствии с идентификатором пользовательского оборудования и формируют второй ключ в соответствии с информацией вектора авторизации.
10. Способ по п.7, при этом после верификации узлом SGSN второго кода аутентификации сообщения на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма способ дополнительно содержит этап, на котором отправляют посредством узла SGSN, когда узел SGSN определяет, что верификация второго кода аутентификации сообщения является успешной, второй ключ и второй идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN.
11. Способ по п.10, при этом после отправки узлом SGSN, когда узел SGSN определяет, что верификация второго кода аутентификации сообщения является успешной, второго ключа и второго идентификатора алгоритма на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN, способ дополнительно содержит этапы, на которых:
выполняют посредством узла SGSN шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования, и выполняют защиту целостности для сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа целостности и второго алгоритма защиты целостности, указанного вторым идентификатором алгоритма защиты целостности.
12. Пользовательское оборудование (UE), содержащее
модуль (601) приема, выполненный с возможностью принимать от узла поддержки обслуживания GPRS (SGSN) посредством использования уровня протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и первый идентификатор алгоритма, и первый идентификатор алгоритма используется для указания первого алгоритма;
модуль (602) получения, выполненный с возможностью получать первый идентификатор алгоритма на уровне протокола GMM/SM пользовательского оборудования в соответствии с сообщением запроса соглашения об аутентификации и ключах, принятого модулем приема, и формировать первый ключ;
модуль (603) верификации, выполненный с возможностью осуществлять верификацию первого кода аутентификации сообщения на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом, полученным посредством модуля получения, и первым алгоритмом, сформированным модулем получения;
модуль (604) формирования, выполненный с возможностью формировать, когда модулем верификации определено, что верификация первого кода аутентификации сообщения является успешной, ответное сообщение соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования в соответствии с первым ключом и первым алгоритмом, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
первый модуль (605) отправки, выполненный с возможностью отправлять ответное сообщение соглашения об аутентификации и ключах, сформированное модулем формирования, в узел SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования.
13. Пользовательское оборудование по п.12, при этом первый ключ содержит первый ключ шифрования и первый ключ целостности, и первый алгоритм содержит первый алгоритм шифрования и первый алгоритм защиты целостности.
14. Пользовательское оборудование по п.13, при этом пользовательское оборудование дополнительно содержит модуль (606) обработки сообщений, выполненный с возможностью осуществлять защиту целостности для ответного сообщения соглашения об аутентификации и ключах на уровне протокола GMM/SM пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
15. Пользовательское оборудование по п.12, при этом пользовательское оборудование дополнительно содержит второй модуль (607) отправки, выполненный с возможностью: прежде чем модуль приема принимает от узла SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования сообщение запроса соглашения об аутентификации и ключах, отправлять сообщение запроса прикрепления на уровень протокола GMM/SM узла SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования.
16. Пользовательское оборудование по п.12, при этом пользовательское оборудование дополнительно содержит третий модуль (608) отправки, выполненный с возможностью: после того, как первым модулем отправки отправлено ответное сообщение соглашения об аутентификации и ключах в узел SGSN посредством использования уровня протокола GMM/SM пользовательского оборудования, отправлять первый ключ и первый идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) пользовательского оборудования посредством использования уровня протокола GMM/SM пользовательского оборудования.
17. Пользовательское оборудование по п.16, при этом пользовательское оборудование дополнительно содержит модуль (609) шифрования, выполненный с возможностью: осуществлять шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа шифрования и первого алгоритма шифрования, указанного первым идентификатором алгоритма шифрования, и выполнять защиту целостности для сигнализации плоскости управления на уровне протокола LLC пользовательского оборудования посредством использования первого ключа целостности и первого алгоритма защиты целостности, указанного первым идентификатором алгоритма защиты целостности.
18. Устройство защиты сообщений, содержащее:
модуль (701) получения, выполненный с возможностью получать второй идентификатор алгоритма на уровне протокола управления мобильностью GPRS (GMM)/управления сеансом (SM) узла поддержки обслуживания GPRS (SGSN) и формировать второй ключ, причем второй идентификатор алгоритма используется для указания второго алгоритма;
модуль (702) формирования, выполненный с возможностью формировать сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма, которые получены модулем получения, и отправлять сообщение запроса соглашения об аутентификации и ключах в пользовательское оборудование, причем сообщение запроса соглашения об аутентификации и ключах несет первый код аутентификации сообщения и второй идентификатор алгоритма;
первый модуль (703) приема, выполненный с возможностью принимать посредством использования уровня протокола GMM/SM узла SGSN ответное сообщение соглашения об аутентификации и ключах от пользовательского оборудования, причем ответное сообщение соглашения об аутентификации и ключах несет второй код аутентификации сообщения; и
модуль (704) верификации, выполненный с возможностью выполнять верификацию второго кода аутентификации сообщения, принятого первым модулем приема, на уровне протокола GMM/SM узла SGSN посредством использования второго ключа и второго алгоритма.
19. Устройство по п.18, при этом второй ключ содержит второй ключ шифрования и второй ключ целостности, и второй алгоритм содержит второй алгоритм шифрования и второй алгоритм защиты целостности.
20. Устройство по п.18, при этом устройство дополнительно содержит второй модуль (705) приема, выполненный с возможностью: прежде чем модуль формирования сформирует сообщение запроса соглашения об аутентификации и ключах на уровне протокола GMM/SM узла SGSN и отправит сообщение запроса соглашения об аутентификации и ключах в пользовательское оборудование, принимать посредством использования уровня протокола GMM/SM узла SGSN сообщение запроса прикрепления от пользовательского оборудования, причем сообщение запроса прикрепления несет идентификатор пользовательского оборудования и информацию о сетевых возможностях пользовательского оборудования; и
модуль получения содержит:
блок получения, выполненный с возможностью получать второй алгоритм в соответствии с информацией о сетевых возможностях пользовательского оборудования; и
модуль формирования, выполненный с возможностью получать информацию вектора авторизации пользовательского оборудования в соответствии с идентификатором пользовательского оборудования и формировать второй ключ в соответствии с информацией вектора авторизации.
21. Устройство по п.18, при этом устройство дополнительно содержит модуль (706) отправки, выполненный с возможностью отправлять, если модулем верификации определено, что верификация второго кода аутентификации сообщения является успешной, второй ключ и второй идентификатор алгоритма на уровень протокола управления логической линией связи (LLC) узла SGSN посредством использования уровня протокола GMM/SM узла SGSN.
22. Устройство по п.21, при этом устройство дополнительно содержит модуль (707) шифрования, выполненный с возможностью: осуществлять шифрование данных плоскости пользователя и сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа шифрования и второго алгоритма шифрования, указанного вторым идентификатором алгоритма шифрования, и выполнять защиту целостности для сигнализации плоскости управления на уровне протокола LLC узла SGSN посредством использования второго ключа целостности и второго алгоритма защиты целостности, указанного вторым идентификатором алгоритма защиты целостности.
Насос | 1917 |
|
SU13A1 |
Многоступенчатая активно-реактивная турбина | 1924 |
|
SU2013A1 |
СПОСОБ И УСТРОЙСТВО ДЛЯ УСТАНОВЛЕНИЯ БЕЗОПАСНОЙ АССОЦИАЦИИ | 2006 |
|
RU2406251C2 |
УСТРОЙСТВО И СПОСОБ ПЕРЕХОДА УСОВЕРШЕНСТВОВАННОГО КОНТЕКСТА БЕЗОПАСНОСТИ ОТ ОБСЛУЖИВАЮЩЕЙ СЕТИ НА ОСНОВЕ UTRAN/GERAN К ОБСЛУЖИВАЮЩЕЙ СЕТИ НА ОСНОВЕ E-UTRAN | 2011 |
|
RU2541110C2 |
Авторы
Даты
2019-08-15—Публикация
2015-08-13—Подача