(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210139868.4 (22)申请日 2022.02.16 (65)同一申请的已公布的文献号 申请公布号 CN 114189864 A (43)申请公布日 2022.03.15 (73)专利权人 中国电子科技 集团公司第三十 研 究所 地址 610000 四川省成 都市高新区创业路6 号 (72)发明人 王俊　田永春　曾浩洋　金鸣　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 刘世权 (51)Int.Cl. H04W 12/06(2021.01) H04W 12/72(2021.01) H04W 12/03(2021.01) H04L 9/40(2022.01) H04L 9/32(2006.01) (56)对比文件 CN 10201767 7 A,2011.04.13 CN 10915 5908 A,2019.01.04US 202138519 2 A1,2021.12.09 US 2020245284 A1,2020.07.3 0 US 20181 15549 A1,2018.04.26 US 2011035787 A1,201 1.02.10 WO 20201913 33 A1,2020.09.24 毕晓宇.5G移动通信系统的安全研究. 《信息 安全研究》 .2020,(第01期), 周俊超.一种无卡终端经W LAN接入EPC的认 证方法研究. 《微型机与应用》 .2016,(第0 5期), Cesare Roseti. “("Full Text & Metadata":untrusted n on 3GPP access ) AND ("Full Text & Metadata":IKE SA) AND (" Full Text & Metadata":N3I WF) AND ("Ful l Text & Metadata":IP Sec SA)”. 《2021 4th Internati onal Symposium o n Advanced Electrical and Com munication Technologies (ISAECT)》 .202 2, "33899-130". 《3GPP tsg_sa\WG3 _ Security》 .2017, "23502-g60". 《3GPP specs\arc hive》 .2020, "23501-f00". 《3GPP tsg_ct\WG4_ protocollars_ex- CN4》 .2017, 审查员 陈君 (54)发明名称 移动通信系统非 蜂窝接入 装置及接入方法 (57)摘要 本发明公开了移动通信系统非蜂窝接入装 置及接入方法， 装置包括N3IWF模块、 安全增强 USIM模块、 控制面信令处理安全模块和用户面业 务处理安全模块。 本发明能不改3GPP标准的协 议、 流程和网元功能， 实现安全增强功能。 权利要求书2页 说明书8页 附图3页 CN 114189864 B 2022.05.31 CN 114189864 B 1.一种移动通信系统非蜂窝接入装置， 其特征在于， 所述装置包括N3IWF模块、 安全增 强USIM模块、 控制面信令处 理安全模块和用户面 业务处理安全模块； 其中， 所述N3IWF模块提供标准N3IWF的功能和功能接口， 所述功能接口包括安全增强 USIM模块接口、 控制面信令处 理安全模块接口和用户面 业务处理安全模块接口； 所述安全增强USIM模块能够与核心网UDM配合使用， 若核心网UDM具有安全增强能力， 所述安全增强USIM模块支持基于国产/专用认证算法的通信接入主认证安全增强； 若核心 网UDM为标准UDM， 则所述安全增强USIM模块支持基于3GPP标准认证算法的通信接入主认 证； 所述安全增强USIM模块提供通信接入双向认证， 所述安全增强USIM模块的功能在控制 面板信令处理安全模块以转换模式安全接入服务时生效， 所述安全增强USIM模块的安全增 强功能在核心网UDM支持安全增强时生效； 所述控制面信令处理安全模块提供接入终端类型的判决， 对于有SIM卡的移动终端以 中继模式提供安全接入服 务， 对于无SIM卡的普通终端以转换模式提供安全接入服 务； 所述控制面信令处理安全模块还提供接入终端UE ‑N3IWF之间基于国产/专用密码算法 及协议的控制面IPSec通道的协商与建立， 为后续承载信令信息交互提供控制面的底层 IPSec承载通道， 在中继模式下， 双向接入认证由移动终端自身的安全增强USIM卡与核心网 安全增强UDM完成基于国产/专用认证算法的接入认证安全增强； 在转发模式下， 双向接入 认证由N3IWF的安全增强USIM模块与核心网安全增强UD M完成基于国产/专用认证算法的接 入认证安全增强； 所述用户面业务处理安全模块提供接入终端UE ‑N3IWF和N3IWF ‑安全网关的用户面 IPSec通道的协商与建立。 2.一种移动通信系统非蜂窝接入方法， 采用如权利要求1所述的接入装置， 应用于有 SIM卡的移动终端， 其特 征在于， 所述方法包括： 所述移动终端接入非蜂窝接入点， 并建立所述移动终端与所述非蜂窝接入点的IP通 道； 所述移动终端与N3I WF模块建立 IKE SA安全关联； 所述移动终端与N3I WF模块之间启动IP Sec SA安全关联， 具体包括： N3IWF模块根据 IKE_AUTH协议交换报文判断所述移动终端是否未携 带AUTH信息及 是否 支持EAP协议， 若所述移动终端未携带AUTH信息及支持EAP协议，  N3IWF模块后续以中继模 式为该移动终端提供接入服 务； 所述移动终端通过自身 的安全增 强USIM卡完成与核心网UDM之间的双向接入认证， 具 体包括： 无论核心网UDM是否支 持安全增强功能， N3IWF模块提供透明中继帮助所述移动终端与 核心网UDM 完成通信接入双向认证过程； 所述移动终端经过N3IWF模块中继， 与核心网完成安全协商过程， 生成NAS层的保护算 法及密钥； 所述移动终端和N3IWF模块各自派生产生密钥KN3IWF， 移动终端和N3IWF模块之 间建立控 制面IPSec SA安全关联； 所述移动终端基于控制面IPSec通道， 经过N3IWF中继， 与核心网完成后续入网附着过权　利　要　求　书 1/2 页 2 CN 114189864 B 2程； N3IWF模块通过调用用户面业务处理安全模块分别与所述移动终端和安全网关之间建 立用户面 IPSec SA， 用于提供基于国产/专用算法和协议的并承载 上层业务的IPSec通道； 所述移动终端与安全网关之间建立端到端的业 务安全加密隧道。 3.如权利要求2所述的移动通信系统非蜂窝接入方法， 其特征在于， 所述移动终端与 N3IWF模块建立 IKE SA安全关联 具体包括： N3IWF模块通过调用控制面信令处理安全模块为所述移动终端提供基于国产/专用算 法和协议。 4.一种移动通信系统非蜂窝接入方法， 采用如权利要求1所述的接入装置， 应用于无 SIM卡的普通终端， 其特 征在于， 所述方法包括： 所述普通终端接入非蜂窝接入点， 并建立所述普通终端与所述非蜂窝接入点的IP通 道； 所述普通终端与N3I WF模块之间建立 IKE SA安全关联； 所述普通终端与N3I WF模块之间启动控制面的IP Sec SA安全关联， 具体包括： N3IWF模块根据 IKE_AUTH协议交换报文判断所述普通终端是否未携 带AUTH信息及 是否 支持EAP协议， 若所述普通终端携带有AUTH信息且不支持EAP协议， N3IWF模块后续以转换模 式为该普通终端提供接入服 务； N3IWF模块从所述普通终端获取身份信息， 并在本地建立所述普通终端 的身份映射关 联关系， N3IWF模块通过安全增强USIM模块完成与核心网UDM之间的双向接入认证， 具体包 括： 若核心网UDM支持安全增强功能， 则N3IWF模块调用安全增强USIM模块提供基于国产/ 专用认证算法， 在不改变3GPP标准的EAP_AKA协 议和流程的条件 下的接入认证安全增强； 若 核心网UDM为标准UDM， 则N3I WF模块调用安全增强USIM模块 提供标准3GPP的认证算法； N3IWF模块与核心网完成安全协商过程， 生成NAS的保护算法及 密钥； N3IWF模块与核心网完成后续入网附着过程； N3IWF模块通过调用用户面业务处理安全模块分别与所述普通终端和安全网关之间建 立用户面 IPSec SA， 用于提供基于国产/专用算法和协议的并承载 上层业务的IPSec通道； 所述普通终端与安全网关之间建立端到端的业 务安全加密隧道。 5.如权利要求4所述的移动通信系统非蜂窝接入方法， 其特征在于， 所述普通终端与 N3IWF模块之间建立 IKE SA安全关联 具体包括： N3IWF模块通过调用控制面信令处理安全模块为所述普通终端提供基于国产/专用算 法和协议。权　利　要　求　书 2/2 页 3 CN 114189864 B 3