(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114189864A(43)申请公布日2022.03.15(21)申请号202210139868.4H04L9/32(2006.01)(22)申请日2022.02.16(71)申请人中国电子科技集团公司第三十研究所地址610000四川省成都市高新区创业路6号(72)发明人王俊田永春曾浩洋金鸣(74)专利代理机构成都九鼎天元知识产权代理有限公司51214代理人刘世权(51)Int.Cl.H04W12/06(2021.01)H04W12/72(2021.01)H04W12/03(2021.01)H04L9/40(2022.01)权利要求书2页说明书8页附图3页(54)发明名称移动通信系统非蜂窝接入装置及接入方法(57)摘要本发明公开了移动通信系统非蜂窝接入装置及接入方法，装置包括N3IWF模块、安全增强USIM模块、控制面信令处理安全模块和用户面业务处理安全模块。本发明能不改3GPP标准的协议、流程和网元功能，实现安全增强功能。CN114189864ACN114189864A权利要求书1/2页1.一种移动通信系统非蜂窝接入装置，其特征在于，所述装置包括N3IWF模块、安全增强USIM模块、控制面信令处理安全模块和用户面业务处理安全模块；其中，所述N3IWF模块提供标准N3IWF的功能和功能接口，所述功能接口包括安全增强USIM模块接口、控制面信令处理安全模块接口和用户面业务处理安全模块接口；所述安全增强USIM模块提供通信接入双向认证，所述安全增强USIM模块的功能在控制面板信令处理安全模块以转换模式安全接入服务时生效，所述安全增强USIM模块的安全增强功能在核心网UDM支持安全增强时生效；所述控制面信令处理安全模块提供接入终端类型的判决，对于有SIM卡的移动终端以中继模式提供安全接入服务，对于无SIM卡的普通终端以转换模式提供安全接入服务；所述用户面业务处理安全模块提供接入终端UE‑N3IWF和N3IWF‑安全网关的用户面IPSec通道的协商与建立。2.一种移动通信系统非蜂窝接入方法，采用如权利要求1所述的接入装置，应用于有SIM卡的移动终端，其特征在于，所述方法包括：所述移动终端接入非蜂窝接入点，并建立所述移动终端与所述非蜂窝接入点的IP通道；所述移动终端与N3IWF模块建立IKESA安全关联；所述移动终端与N3IWF模块之间启动IPSecSA安全关联；所述移动终端通过自身的安全增强USIM模块完成与核心网UDM之间的双向接入认证；所述移动终端经过N3IWF模块中继，与核心网完成安全协商过程，生成NAS层的保护算法及密钥；所述移动终端和N3IWF模块各自派生产生密钥KN3IWF，移动终端和N3IWF模块之间建立控制面IPSecSA安全关联；所述移动终端基于控制面IPSec通道，经过N3IWF中继，与核心网完成后续入网附着过程；N3IWF模块通过调用用户面业务处理安全模块分别与所述移动终端和安全网关之间建立用户面IPSecSA，用于提供基于国产/专用算法和协议的并承载上层业务的IPSec通道；所述移动终端与安全网关之间建立端到端的业务安全加密隧道。3.如权利要求2所述的移动通信系统非蜂窝接入方法，其特征在于，所述移动终端与N3IWF模块建立IKESA安全关联具体包括：N3IWF模块通过调用控制面信令处理安全模块为所述移动终端提供基于国产/专用算法和协议。4.如权利要求2所述的移动通信系统非蜂窝接入方法，其特征在于，所述移动终端与N3IWF模块之间启动IPSecSA安全关联具体包括：N3IWF模块根据IKE_AUTH协议交换报文判断所述移动终端是否未携带AUTH信息及是否支持EAP协议，若所述移动终端未携带AUTH信息及支持EAP协议，N3IWF模块后续以中继模式为该移动终端提供接入服务。5.如权利要求2所述的移动通信系统非蜂窝接入方法，其特征在于，所述移动终端通过自身的安全增强USIM模块完成与核心网UDM之间的双向接入认证包括：无论核心网UDM是否支持安全增强功能，N3IWF模块提供透明中继帮助所述移动终端与2CN114189864A权利要求书2/2页核心网UDM完成通信接入双向认证过程。6.一种移动通信系统非蜂窝接入方法，采用如权利要求1所述的接入装置，应用于无SIM卡的普通终端，其特征在于，所述方法包括：所述普通终端接入非蜂窝接入点，并建立所述普通终端与所述非蜂窝接入点的IP通道；所述普通终端与N3IWF模块之间建立IKESA安全关联；所述普通终端与N3IWF模块之间启动控制面的IPSecSA安全关联；N3IWF模块从所述普通终端获取身份信息，并在本地建立所述普通终端的身份映射关联关系，N3IWF模块通过安全增强USIM模块完成与核心网UDM之间