本文公开了一种用于将支持高于4G系统的数据传输速率的5G通信系统与IoT技术融合的通信技术及其系统。本文的实施例公开了一种保护用户设备(UE)(100)中的敏感用户面流量的方法,该方法包括:由UE(100)向网络(200)传输第一NAS消息,该第一NAS消息包括指示UE(100)支持用于域名系统(DNS)的安全通道的指示符;响应于传输第一NAS消息,由UE(100)从网络(200)接收包括DNS服务器安全信息的第二NAS消息;UE(100)基于DNS服务器安全信息通过安全通道向网络(200)传输DNS。网络(200)传输DNS。网络(200)传输DNS。
【技术实现步骤摘要】
【国外来华专利技术】用于保护敏感用户面流量的方法和装置
[0001]本公开涉及无线通信保护,更具体地,涉及用于保护用户面流量的方法和装置。
技术介绍
[0002]为了满足自4G通信系统上市以来无线数据流量痛点的需求,一直在努力开发增强型5G通信系统或准5G通信系统。由于这些原因,将5G通信系统或准5G通信系统称为超4G网络通信系统或后LTE系统。
[0003]对于更高的数据传输速率,5G通信系统被认为是在超高频率频带(mmWave(毫米波))上实现的,例如,诸如60GHz。为了减轻超高频率频带的路径损耗并增加无线电波的覆盖范围,5G通信系统考虑了以下技术:波束成形、大规模多输入多输出(MIMO)、全维MIMO(FD
‑
MIMO)、阵列天线、模拟波束成形和大规模天线。
[0004]5G通信系统还正在开发各种技术以具有增强的网络,诸如演进或高级小小区、云无线电接入网络(云RAN)、超密集网络、装置对装置(D2D)通信、无线回程、移动网络、协作通信、协同多点(CoMP)和干扰消除。还有其他各种正在开发中的方案用于5G系统,包括例如混合FSK(频移键控)和QAM(正交调幅)调制(FQAM)和滑动窗口叠加编码(SWSC)的高级编码调制(ACM)方案,以及滤波器组多载波(FBMC)、非正交多址接入(NOMA)和稀疏码多址接入(SCMA)的高级接入方案。
[0005]互联网正在从人类创造和消费信息的以人为中心的连接网络演进到在事物或其他分布式组件之间传递和处理信息物联网(IoT)网络。另一种新兴技术是万物互联(IoE),它是大数据处理技术和通过例如与云服务器连接的IoT技术结合。要实现IoT,需要诸如传感技术、有线/无线通信和网络基础设施、服务接口技术和安全技术等技术元素。最近正在进行对象间连接技术的研究,诸如传感器网络、机器对机器(M2M)或机器类型通信(MTC)。
[0006]在IoT环境中可以提供收集和分析相互连接的事物所生成的数据以为人类生活创造新的价值的智能互联网技术(IT)服务。通过现有信息技术(IT)技术和各种行业的转换或融合,IoT可以有各种应用,诸如智能家居、智能建筑、智能城市、智能汽车或联网汽车、智能电网、医疗保健或智能家电行业,或最先进的医疗服务。
[0007]因此,5G通信系统正在努力应用于IoT网络。例如,传感器网络、机器对机器(M2M)、机器类型通信(MTC)或其他5G技术通过诸如波束成形、多输入多输出(MIMO)和阵列天线方案等方案来实现。作为大数据处理技术的云无线电接入网络(RAN)的上述应用,可以说是5G与IoT技术融合的示例。
[0008]一般而言,在无线通信网络中,对于长期演进数据无线携带(LTE DRB)(用户面)(UP)和/或考虑用户设备(UE)能力或基于UE上请求的应用/服务,只启用加密而不启用完整性保护,从而降低计算功率。缺乏完整性保护会引发安全攻击,例如用户设备(UE)与演进节点B/下一代无线电接入技术网络节点B(eNB/gNB)之间的中间人(Man in the Middle,MitM)操纵加密文本。对加密的文本的操纵是严重的威胁,特别是对于导致重定向攻击的信令消息。例如,域名系统(domain name system,DNS)查询消息的重定向。此外,可以通过操
纵来自UE的DNS请求消息的DNS服务器互联网协议(IP)地址来执行攻击,从而在攻击者的控制下使DNS请求重定向到恶意DNS服务器而不是预期目的地。因此,需要对用户面上的信令消息进行完整性保护。
[0009]3GPP系统在分组数据汇聚协议(PDCP)层支持UP IP(PDCP位于无线电协议栈中),然而,已经认同的是,在PDCP层的整个分组数据单元(PDU)会话上应用UP IP仅用于保护DNS流量是浪费资源。如5G系统允许在每个分组数据单元(PDU)会话的基础上启用和禁用用户面的完整性保护和/或机密性保护。对PDU会话内数据流量的所有类型()应用保护是无效的;因为并非所有数据流量类型都需要保护。因此,为了避免这样的浪费情况(避免在PDCP层使用UP IP),要考虑保护DNS流量的其他方法。
[0010]因此有必要经由不同的信道为DNS分组提供完整性保护以避免重定向攻击。
技术实现思路
[0011]技术问题
[0012]本文实施例的主要目的是提供一种用于使用携带新信息元素(IE)/容器的非接入层NAS消息在注册过程期间通过网络系统来配置UE中的DNS凭证的方法。
[0013]本文实施例的另一目的是提供一种用于使用携带新信息元素(IE)/容器的NAS消息在服务请求过程期间通过网络系统来配置UE中的DNS凭证的方法。
[0014]本文实施例的另一目的是提供一种用于使用携带新信息元素(IE)/容器的NAS消息在协议数据单元(PDU)会话建立过程期间通过网络系统来配置UE中的DNS凭证的方法。
[0015]本文实施例的另一目的是向网络系统通知使用由网络系统提供的DNS配置参数UE支持DNS消息的安全交换。
[0016]本文实施例的另一目的是提供一种用于基于UP IP上的网络安全策略配置UE路由选择策略(URSP)以携带用于特殊流量的用户面互联网协议(UP IP)的特殊DNN的方法和装置。
[0017]解决方案
[0018]相应地,本文实施例提供了一种保护UE中敏感用户面流量的方法。方法包括由UE向网络传输第一NAS消息,该第一NAS消息包括指示UE支持用于数据网络系统(data network system,DNS)的安全通道的指示符;响应于传输第一NAS消息,由UE从网络实体接收包括DNS服务器安全信息的第二NAS消息;基于DNS服务器安全信息,向网络传输基于安全信道的DNS。
[0019]在一个实施例中,第一NAS消息包括协议数据单元(PDU)会话建立请求消息、注册请求消息、和服务请求消息之一。
[0020]在一个实施例中,第二NAS消息包括PDU会话建立接受消息、注册接受消息、和服务接受消息之一。
[0021]在一个实施例中,安全通道包括基于数据包传输层安全性(DTLS)的DNS、基于传输层安全性的DNS(TLS)、和基于超文本传输协议安全(HTTPS)的DNS之一。
[0022]在另一实施例中,指示符被包括在第一NAS消息中的协议配置选项中。
[0023]在又一实施例中,DNS服务器安全信息被包括在第二NAS消息中的协议配置选项中。
[0024]在一个实施例中,DNS服务器安全信息包括以下中的至少一个:安全机制信息、服务端口信息、认证域名信息、用户公钥信息(information on subject public key,SPKI)、根证书信息、原始公钥和根证书信息。
[0025]相应地,本文实施例提供了一种网络方法。方法包括由网络从UE接收第一NAS消息,该第一NAS消息包括指示UE支持用于域名系统(DNS)的安全通道的指示符;响应于传输第一NAS消息,从网络本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用户设备(UE)的方法,所述方法包括:向网络传输第一NAS消息,所述第一NAS消息包括指示所述UE支持用于域名系统(DNS)的安全通道的指示符;响应于传输所述第一NAS消息,从所述网络接收包括DNS服务器安全信息的第二NAS消息;基于所述DNS服务器安全信息,向所述网络传输基于所述安全通道的所述DNS。2.根据权利要求1所述的方法,其中,所述第一NAS消息包括协议数据单元(PDU)会话建立请求消息、注册请求消息、和服务请求消息之一。3.根据权利要求1所述的方法,其中,所述第二NAS消息包括PDU会话建立接受消息、注册接受消息、和服务接受消息之一。4.根据权利要求1所述的方法,其中,所述安全通道包括基于数据包传输层安全性(DTLS)的DNS、基于传输层安全性(TLS)的DNS、和基于超文本传输协议安全(HTTPS)的DNS之一。5.根据权利要求2所述的方法,其中,所述指示符被包括在所述第一NAS消息中的协议配置选项中。6.根据权利要求3所述的方法,其中,所述DNS服务器安全信息被包括在所述第二NAS消息中的协议配置选项中。7.根据权利要求1所述的方法,其中,所述DNS服务器安全信息包括以下中的至少一个:安全机制信息、服务端口信息、认证域名信息、用户公钥信息(SPKI)、根证书信息、原始公钥信息。8.一种网络的方法,所述方法包括:从用户设备(UE)接收第一NAS消息,所述第一NAS消息包...
【专利技术属性】
技术研发人员:R拉贾杜拉伊,K提瓦里,V古普塔,ARV库马尔,
申请(专利权)人:三星电子株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。