[发明专利]通信系统中的用户设备安全能力的管理

说明书

提供了通信系统中的安全管理技术。例如，一种方法包括从用户设备接收指示用户设备的一个或多个安全能力的请求。该方法还包括确定所指示的一个或多个安全能力是否满足通信网络的一个或多个指定标准，并且响应于确定所指示的一个或多个安全能力不满足通信网络的一个或多个指定标准而拒绝用户设备的请求。例如，当确定用户装置不支持任何加密和/或完整性算法或未能支持强制加密和/或完整性算法时，拒绝该请求。这用于防止恶意用户设备获取对通信网络的接入。

技术领域

本领域总体上涉及通信系统，并且更具体地但不排他地涉及这样的系统内的安全管理。

背景技术

本节介绍可以有助于更好地理解本发明的各方面。因此，本节的陈述应当从这个角度来阅读，并且不应当被理解为对现有技术中的内容或现有技术中不包含的内容的承认。

第四代(4G)无线移动电信技术(也称为长期演进(LTE)技术)旨在提供具有高数据速率的高容量移动多媒体，特别是用于人机交互。下一代或第五代(5G)技术不仅旨在用于人机交互，还旨在用于所谓的物联网(IoT)网络中的机器类型通信。

虽然5G网络旨在支持大规模IoT服务(例如，大量有限容量设备)和关键任务IoT服务(例如，需要高可靠性)，但以增强型移动宽带(eMBB)服务的形式支持对传统移动通信服务的改进，以为移动设备提供改进的无线互联网接入。

安全管理是任何通信系统中的重要考虑因素。例如，最初接入通信网络或寻求从源通信网络移动到目标通信网络的用户设备之间的通信安全是4G和5G网络中的安全管理的示例。然而，这种通信的安全性提出了几个挑战，特别是当恶意行为者试图获取对通信网络的接入时。

发明内容

说明性实施例提供了用于通信系统中的安全管理的改进技术。

例如，在一个说明性实施例中，一种方法包括从用户设备接收指示用户设备的一个或多个安全能力的请求。该方法还包括确定所指示的一个或多个安全能力是否满足通信网络的一个或多个指定标准，并且响应于确定所指示的一个或多个安全能力不满足通信网络的一个或多个指定标准而拒绝用户设备的请求。

在另一说明性实施例中，一种方法包括向通信网络中的安全管理节点发送指示该装置的一个或多个安全能力的请求。该方法还包括从安全管理节点接收拒绝通知，该拒绝通知响应于所指示的一个或多个安全能力不满足通信网络的一个或多个指定标准。

在一些实施例中，拒绝通知包括(i)至少部分基于所指示的一个或多个安全能力不满足通信网络的一个或多个指定标准的确定的失败原因指示，以及(ii)退避(back-off)定时器值。所接收的请求可以是初始接入请求(例如，初始注册请求或初始附接请求)或移动性请求(例如，移动性注册请求或移动性跟踪区域更新请求)。

在一些实施例中，所指示的一个或多个安全能力包括用户设备支持的一个或多个加密算法的指示，使得当确定用户设备不支持加密算法或未能支持强制性加密算法时拒绝该请求。类似地，所指示的一个或多个安全能力可以包括用户设备支持的一个或多个完整性算法的指示，使得当确定用户设备不支持完整性算法或未能支持强制完整性算法时拒绝该请求。这用于防止恶意用户设备获取对通信网络的接入。

在5G网络中，安全管理节点可以是接入和移动性管理功能(AMF)，而在4G网络中，安全管理节点可以是移动性管理实体(MME)。

一个或多个说明性实施例在涉及多个通信网络(例如，访问和归属公共陆地移动网络)的漫游场景中实现。

另外的说明性实施例以在其中实施有可执行程序代码的非暂态计算机可读存储介质的形式提供，该可执行程序代码在由处理器执行时引起处理器执行上述步骤。另外的说明性实施例包括具有处理器和被配置为执行上述步骤的存储器的装置。

从附图和以下详细描述中，本文中描述的实施例的这些和其他特征和优点将变得更加明显。

附图说明