BR112019023041A2 - Método de comunicação e aparelho relacionado - Google Patents

Método de comunicação e aparelho relacionado Download PDF

Info

Publication number
BR112019023041A2
BR112019023041A2 BR112019023041-6A BR112019023041A BR112019023041A2 BR 112019023041 A2 BR112019023041 A2 BR 112019023041A2 BR 112019023041 A BR112019023041 A BR 112019023041A BR 112019023041 A2 BR112019023041 A2 BR 112019023041A2
Authority
BR
Brazil
Prior art keywords
terminal device
base station
protection
user plan
security policy
Prior art date
Application number
BR112019023041-6A
Other languages
English (en)
Other versions
BR112019023041B1 (pt
Inventor
Li He
Chen Jing
Hu Li
Original Assignee
Huawei Technologies Co., Ltd.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co., Ltd. filed Critical Huawei Technologies Co., Ltd.
Priority to BR122020023465-2A priority Critical patent/BR122020023465B1/pt
Publication of BR112019023041A2 publication Critical patent/BR112019023041A2/pt
Publication of BR112019023041B1 publication Critical patent/BR112019023041B1/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/27Transitions between radio resource control [RRC] states
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/04Interfaces between hierarchically different network devices
    • H04W92/10Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

um método de comunicação e um aparelho relacionado são fornecidos. uma estação de base obtém uma política de segurança, em que a política de segurança inclui informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar à estação de base se deve ativar proteção de integridade para um dispositivo terminal; e quando as informações de indicação de proteção de integridade indicarem à estação de base ativar proteção de integridade para o dispositivo terminal, a estação de base envia um algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal.

Description

“MÉTODO DE COMUNICAÇÃO E APARELHO RELACIONADO”
[0001] Este pedido reivindica prioridade ao Pedido de Patente Chinês No. PCT/CN2017/083362, depositado junto ao Escritório de Patentes Chinês em 5 de maio de 2017 e intitulado COMMUNICATION METHOD AND RELATED APPARATUS, que é incorporado aqui por referência na sua totalidade.
CAMPO TÉCNICO
[0002] Este pedido refere-se ao campo de tecnologias de comunicações sem fio e, em particular, a um método de comunicação e um aparelho relacionado.
FUNDAMENTOS
[0003] Em um sistema de Evolução de Longo Prazo (Long Term Evolution, LTE), um dispositivo terminal e uma estação de base realizam operações de segurança como criptografia/descriptografia e proteção de integridade, para fornecer proteção de criptografia e proteção de integridade para sinalização. Como dispositivos terminais diferentes têm recursos de segurança diferentes, por exemplo, suportam algoritmos de criptografia ou algoritmos de proteção de integridade diferentes, antes que a proteção de criptografia e de integridade sejam realizadas em um estrato de acesso (Access Stratum, AS), um conjunto de algoritmos de segurança precisa ser negociado entre o dispositivo terminal e a estação de base. Um processo de negociação dos algoritmos de segurança inclui as seguintes etapas:
[0004] 1. O dispositivo terminal envia uma solicitação de anexação a uma entidade de gerenciamento de mobilidade (Mobility Management Entity, MME) usando a estação de base. A solicitação de anexação porta um algoritmo suportado pelo dispositivo terminal.
[0005] 2. A estação de base seleciona, com base em um algoritmo pré-configurado permitido por uma rede de serviço para uso e em combinação com o algoritmo que é suportado pelo dispositivo terminal e encaminhado pelo MME, um algoritmo de segurança suportado pela rede de serviço. O algoritmo de segurança inclui um algoritmo de criptografia e um algoritmo de proteção de integridade. A estação de base gera uma chave de criptografia de AS com base no algoritmo de criptografia selecionado e gera uma chave de proteção de integridade com base no algoritmo de proteção de integridade. O algoritmo de segurança suportado pela rede de serviço e selecionado pela estação de base
Petição 870190130980, de 10/12/2019, pág. 7/175
2/134 é tanto um algoritmo de segurança de um plano de usuário e um algoritmo de segurança aplicado a um plano de sinalização.
[0006] 3. Usando um procedimento de comando de modo de segurança de AS (Security mode command, SMC), o dispositivo terminal aplica o algoritmo de segurança selecionado pela estação de base ao plano de usuário e ao plano de sinalização. Por exemplo, o algoritmo de criptografia e o algoritmo de proteção de integridade selecionados pela estação de base são portados em um AS SMC e enviados ao dispositivo terminal.
[0007] Na técnica anterior, o algoritmo de segurança aplicado ao plano de usuário e ao plano de sinalização é determinado usando o procedimento de AS SMC, e o algoritmo de segurança inclui o algoritmo de criptografia e o algoritmo de proteção de integridade. Uma solução de negociação desse algoritmo de segurança é relativamente fixa. Por exemplo, um mesmo conjunto de algoritmos de segurança é aplicável ao plano de usuário e ao plano de sinalização e não pode ser dividido. Por outro exemplo, o algoritmo de criptografia e o algoritmo de proteção de integridade precisam ser determinados ao mesmo tempo e não podem ser divididos. Portanto, o algoritmo de negociação de segurança é relativamente fixo e não pode se adaptar a cenários de aplicação flexíveis e mutáveis.
SUMÁRIO
[0008] Modalidades deste pedido fornecem um método de comunicação, um aparelho relacionado e uma mídia de armazenamento, para se adaptar a uma solução na qual um algoritmo de proteção de integridade de plano de usuário pode ser negociado flexivelmente e independentemente.
[0009] De acordo com um primeiro aspecto, uma modalidade deste pedido fornece um método de comunicação, incluindo: obter, por uma estação de base, uma política de segurança, onde a política de segurança inclui informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para um dispositivo terminal; e quando as informações de indicação de proteção de integridade indicarem a estação de base para habilitar proteção de integridade para o dispositivo terminal, enviar, pela estação de base, um algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal. Dessa maneira, se habilita proteção de
Petição 870190130980, de 10/12/2019, pág. 8/175
3/134 integridade para o dispositivo terminal pode ser selecionado flexivelmente com base na política de segurança. Além disso, somente quando proteção de integridade for habilitada para o dispositivo terminal, a estação de base envia o algoritmo de proteção de integridade de plano de usuário alvo ao dispositivo terminal. Por um lado, porque um algoritmo de segurança de plano de usuário é negociado independentemente, flexibilidade de determinar separadamente o algoritmo de segurança de plano de usuário e um algoritmo de segurança de plano de sinalização é aprimorada. Por outro lado, porque as informações de indicação de proteção de integridade são adicionadas, flexibilidade de determinar o algoritmo de proteção de integridade de plano de usuário alvo do dispositivo terminal é aprimorada.
[0010] Opcionalmente, as informações de indicação de proteção de integridade são um identificador de um algoritmo de proteção de integridade de plano de usuário. Ou seja, se for determinado que a política de segurança porta um identificador de um algoritmo de proteção de integridade de plano de usuário, pode ser determinado que a estação de base habilita proteção de integridade para o dispositivo terminal. A política de segurança nesta modalidade pode portar um ou mais identificadores de algoritmos de proteção de integridade de plano de usuário (que podem ser referidos como uma lista de algoritmos). O algoritmo de proteção de integridade de plano de usuário portado na política de segurança nesta modalidade pode ser determinado com base em pelo menos um dentre um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço, um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base. Em outras palavras, o algoritmo de proteção de integridade de plano de usuário portado na política de segurança é um algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço.
[0011] Opcionalmente, a obtenção, por uma estação de base, de uma política de segurança pode ser receber, pela estação de base, a política de segurança a partir de outro elemento de rede, ou pode ser determinar, pela estação de base, a política de segurança a partir da pelo menos uma política de segurança pré-armazenada na estação de base. A política de segurança préarmazenada no lado de estação de base também pode ser uma política de
Petição 870190130980, de 10/12/2019, pág. 9/175
4/134 segurança pré-configurada no lado de estação de base. A estação de base obtém, em uma pluralidade de maneiras, a política de segurança a partir da pelo menos uma política de segurança pré-armazenada na estação de base. Por exemplo, uma política de segurança que é correspondente a um identificador do dispositivo terminal e que é armazenada na estação de base pode ser determinada com base em uma correspondência entre o identificador do terminal e a política de segurança pré-armazenada na estação de base. Por outro exemplo, uma política de segurança que é correspondente a um identificador de sessão e que é armazenada na estação de base pode ser determinada com base em uma correspondência entre o identificador de sessão e a política de segurança pré-armazenada na estação de base. A solução pode ser semelhante a uma solução de obtenção da política de segurança por uma entidade SMF. Os detalhes não são descritos aqui.
[0012] Opcionalmente, o envio, pela estação de base, de um algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal inclui: enviar, pela estação de base, o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal usando sinalização RRC. A solução fornecida nesta modalidade deste pedido é implementada reusando a sinalização RRC na técnica anterior, de modo que seja implementada uma melhor compatibilidade com a técnica anterior, e uma modificação na técnica anterior seja relativamente pequena.
[0013] Em uma implementação opcional em que a estação de base envia o algoritmo de proteção de integridade de plano de usuário alvo ao dispositivo terminal, a estação de base envia um algoritmo de proteção de integridade de plano de sinalização alvo ao dispositivo terminal, e o dispositivo terminal também determina o algoritmo de proteção de integridade de plano de sinalização alvo recebido como o algoritmo de proteção de integridade de plano de usuário alvo. Ou seja, a estação de base envia um algoritmo de proteção de integridade para o dispositivo terminal, e o algoritmo de proteção de integridade é ambos um algoritmo de proteção de integridade de plano de sinalização e um algoritmo de proteção de integridade de plano de usuário.
[0014] Opcionalmente, antes do envio, pela estação de base, de um algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal, o método inclui adicionalmente: determinar, pela estação de base, o
Petição 870190130980, de 10/12/2019, pág. 10/175
5/134 algoritmo de proteção de integridade de plano de usuário alvo com base em um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base. Dessa maneira, é possível considerar tanto a capacidade de segurança do dispositivo terminal como a capacidade de segurança da estação de base, de modo que o algoritmo de proteção de integridade de plano de usuário alvo corresponda com a capacidade de segurança do dispositivo terminal e a capacidade de segurança da estação de base.
[0015] Opcionalmente, o algoritmo de proteção de integridade de plano de usuário permitido pela estação de base é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade, de modo que um melhor algoritmo de proteção de integridade de plano de usuário alvo no lado de estação de base possa ser selecionado. Alternativamente, opcionalmente, o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade, de modo que um melhor algoritmo de proteção de integridade de plano de usuário alvo no lado de dispositivo terminal possa ser selecionado.
[0016] Opcionalmente, a política de segurança inclui adicionalmente um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço e a determinação, pela estação de base, do algoritmo de proteção de integridade de plano de usuário alvo com base em um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base inclui: determinar, pela estação de base, o algoritmo de proteção de integridade de plano de usuário alvo com base no algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e no algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço. Dessa maneira, tanto a capacidade de segurança do dispositivo terminal quanto a capacidade de segurança da estação de base podem ser consideradas, e também é considerado um status real da rede de serviço. Portanto, por um lado, o algoritmo de proteção de integridade
Petição 870190130980, de 10/12/2019, pág. 11/175
6/134 de plano de usuário alvo determinado pode corresponder à capacidade de segurança do dispositivo terminal e à capacidade de segurança da estação de base; por outro lado, corresponde melhor ao status real da rede de serviço.
[0017] Opcionalmente, quando a política de segurança inclui adicionalmente o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço, a estação de base também pode determinar um algoritmo, incluído na política de segurança, diferente do algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço, como o algoritmo de proteção de integridade de plano de usuário alvo. Por exemplo, um algoritmo pode ser determinado a partir do algoritmo de proteção de integridade de plano de usuário permitido pela estação de base como o algoritmo de proteção de integridade de plano de usuário alvo.
[0018] Opcionalmente, o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade, de modo que um melhor algoritmo de proteção de integridade de plano de usuário alvo com base na rede de serviço possa ser selecionado.
[0019] Opcionalmente, o método inclui adicionalmente: quando a política de segurança inclui adicionalmente informações de indicação de criptografia, e as informações de indicação de criptografia são usadas para indicar a estação de base para habilitar proteção de criptografia para o dispositivo terminal, enviar, pela estação de base, um algoritmo de criptografia de plano de usuário alvo para o dispositivo terminal; ou quando a política de segurança inclui adicionalmente um comprimento de chave, enviar, pela estação de base, o comprimento de chave para o dispositivo terminal; ou quando a política de segurança inclui adicionalmente informações de indicação de D-H, e as informações de indicação de D-H são usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal, enviar, pela estação de base, uma chave relacionada a D-H ao dispositivo terminal. Dessa forma, quaisquer informações na política de segurança podem ser indicadas mais flexivelmente, de modo que uma política de segurança finalmente determinada seja mais adaptada a um cenário de aplicação complexo.
[0020] Opcionalmente, antes do envio, pela estação de base, de um algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo
Petição 870190130980, de 10/12/2019, pág. 12/175
7/134 terminal, o método inclui adicionalmente: receber, pela estação de base, a qualidade de serviço de uma sessão atual do dispositivo terminal a partir de uma entidade SMF, e alocar, pela estação de base, um portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
[0021] Para economizar recursos, opcionalmente, a alocação, pela estação de base, de um portador de rádio de dados alvo ao dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço inclui: quando existir pelo menos um portador de rádio de dados histórico satisfazendo uma primeira condição na estação de base, determinar, pela estação de base, um dentre o pelo menos um portador de rádio de dados histórico satisfazendo a primeira condição como o portador de rádio de dados alvo, onde qualidade de serviço suportada por cada portador de rádio de dados dentre o pelo menos um portador de rádio de dados histórico satisfazendo a primeira condição é igual à qualidade de serviço da sessão atual, e a política de segurança é a mesma que uma política de segurança suportada por cada portador de rádio de dados.
[0022] Opcionalmente, a primeira condição inclui que qualidade de serviço de dois portadores de rádio de dados é a mesma, e as políticas de segurança dos dois portadores de rádio de dados são as mesmas.
[0023] Para economizar recursos, em outra solução opcional, a alocação, pela estação de base, de um portador de rádio de dados alvo ao dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço inclui: quando não existir portador de rádio de dados histórico satisfazendo uma primeira condição na estação de base, mas existir pelo menos um portador de rádio de dados histórico satisfazendo uma segunda condição, atualizar, pela estação de base, um portador de rádio de dados histórico dentre o pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição, e determinar o portador de rádio de dados histórico como o portador de rádio de dados alvo, onde qualidade de serviço suportada por cada portador de rádio de dados dentre o pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição é a mesma que a qualidade de serviço da sessão atual, e a política de segurança corresponde a uma política de segurança suportada por cada portador de rádio de dados; ou
Petição 870190130980, de 10/12/2019, pág. 13/175
8/134 qualidade de serviço suportada por cada portador de rádio de dados do pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição corresponde à qualidade de serviço da sessão atual, e a política de segurança é a mesma que uma política de segurança suportada por cada portador de rádio de dados; ou qualidade de serviço suportada por cada portador de rádio de dados do pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição corresponde à qualidade de serviço da sessão atual, e a política de segurança corresponde a uma política de segurança suportada por cada portador de rádio de dados.
[0024] Opcionalmente, a segunda condição inclui que qualidade de serviço de dois portadores de rádio de dados corresponde entre si, e as políticas de segurança dos dois portadores de rádio de dados são as mesmas. Alternativamente, opcionalmente, a segunda condição inclui que qualidade de serviço de dois portadores de rádio de dados é a mesma, e as políticas de segurança dos dois portadores de rádio de dados correspondem. Alternativamente, opcionalmente, a segunda condição inclui que qualidade de serviço de dois portadores de rádio de dados correspondem, e as políticas de segurança dos dois portadores de rádio de dados correspondem.
[0025] Para selecionar um portador de rádio de dados alvo apropriada, em outra solução opcional, a alocação, pela estação de base, de um portador de rádio de dados alvo ao dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço inclui: quando não existir um portador de rádio de dados histórico satisfazendo uma primeira condição na estação de base, e não existir pelo menos um portador de rádio de dados histórico satisfazendo uma segunda condição na estação de base, criar, pela estação de base, o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
[0026] Para selecionar um portador de rádio de dados alvo apropriada, em outra solução opcional, a alocação, pela estação de base, de um portador de rádio de dados alvo ao dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço inclui: quando não existir portador de rádio de dados histórico satisfazendo uma primeira condição na estação de base, criar, pela estação de base, o portador de rádio de dados alvo
Petição 870190130980, de 10/12/2019, pág. 14/175
9/134 para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
[0027] Para selecionar um portador de rádio de dados alvo apropriada, em outra solução opcional, a alocação, pela estação de base, de um portador de rádio de dados alvo ao dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço inclui: criar, pela estação de base, o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
[0028] Opcionalmente, a obtenção, por uma estação de base, de uma política de segurança inclui: receber, pela estação de base, a política de segurança a partir da entidade SMF; ou receber, pela estação de base, um identificador da política de segurança a partir da entidade SMF, e obter a política de segurança com base no identificador da política de segurança.
[0029] Opcionalmente, nesta modalidade deste pedido, o método inclui adicionalmente: obter, pela estação de base, um algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal; determinar, pela estação de base, um algoritmo de segurança de plano de sinalização alvo com base no algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal e em um algoritmo de segurança de plano de sinalização permitido pela estação de base; e adicionar, pela estação de base, o algoritmo de segurança de plano de sinalização alvo a um comando de modo de segurança SMC de estrato de acesso AS, e enviar o AS SMC ao dispositivo terminal. Desta maneira, um algoritmo de plano de sinalização e um algoritmo de segurança de plano de usuário podem ser dissociados, de modo que o algoritmo de segurança de plano de usuário e o algoritmo de segurança de plano de sinalização sejam negociados separadamente, para fornecer uma base para determinar mais flexivelmente o algoritmo de segurança de plano de usuário.
[0030] Opcionalmente, ao determinar a habilitação da proteção de integridade de plano de usuário, a estação de base habilita proteção de integridade de plano de usuário.
[0031] Opcionalmente, ao determinar habilitar proteção de criptografia de plano de usuário, a estação de base habilita proteção de criptografia de plano de usuário.
[0032] Opcionalmente, quando a estação de base determina não
Petição 870190130980, de 10/12/2019, pág. 15/175
10/134 habilitar temporariamente a proteção de integridade de plano de usuário, ou a estação de base atualmente não pode determinar se habilitar proteção de integridade de plano de usuário, a estação de base não habilita proteção de integridade de plano de usuário.
[0033] Opcionalmente, quando a estação de base determina não habilitar temporariamente a proteção de criptografia de plano de usuário, ou a estação de base atualmente não pode determinar se habilitar proteção de criptografia de plano de usuário, a estação de base não habilita proteção de criptografia de plano de usuário.
[0034] Temporariamente significa que há um período de tempo. A proteção de integridade de plano de usuário não é habilitada temporariamente significa que a proteção de integridade de plano de usuário não é habilitada dentro de um período de tempo, mas a proteção de integridade de plano de usuário é habilitada em outro período. Que proteção de criptografia de plano de usuário não é habilitada temporariamente significa que a proteção de criptografia de plano de usuário não é habilitada dentro de um período de tempo, mas a proteção de criptografia de plano de usuário é habilitada em outro período.
[0035] Em uma implementação opcional, é estipulado em uma rede que, após um comando de modo de segurança de AS ser recebido, a proteção de criptografia de plano de usuário pode ser habilitada, mas se habilitar proteção de integridade de plano de usuário é notificado ao dispositivo terminal usando uma mensagem de reconfiguração de RRC. Nesse caso, o dispositivo terminal não pode determinar se habilitar proteção de integridade de plano de usuário.
[0036] Em outra implementação opcional, é estipulado em uma rede que, após um comando de modo de segurança de AS ser recebido, somente segurança de plano de sinalização é habilitada (proteção de integridade de plano de sinalização e/ou proteção de criptografia de plano de sinalização é/são habilitadas), mas se habilitar proteção de integridade de plano de usuário e se habilitar proteção de criptografia de plano de usuário são notificados ao dispositivo terminal usando uma mensagem de reconfiguração de RRC. Nesse caso, se habilitar proteção de integridade de plano de usuário e se habilitar proteção de criptografia de plano de usuário não podem ser determinados.
[0037] Opcionalmente, não habilitar proteção de integridade de plano de usuário inclui: quando se habilitar proteção de integridade de plano de usuário
Petição 870190130980, de 10/12/2019, pág. 16/175
11/134 não pode ser determinado ou é determinado não habilitar temporariamente a proteção de integridade de plano de usuário, gerar uma chave de proteção de integridade de plano de usuário, mas não realizar proteção de integridade de plano de usuário usando a chave de proteção de integridade de plano de usuário; e quando for determinado habilitar proteção de integridade de plano de usuário, realizar proteção de integridade de plano de usuário usando a chave de proteção de integridade de plano de usuário. Nesta implementação, o algoritmo de proteção de integridade de plano de usuário é obtido antes que a chave de proteção de integridade de plano de usuário seja gerada, por exemplo, o algoritmo de proteção de integridade de plano de sinalização também pode ser usado como o algoritmo de proteção de integridade de plano de usuário.
[0038] Opcionalmente, não habilitar proteção de integridade de plano de usuário inclui: quando for determinado habilitar proteção de integridade de plano de usuário, gerar uma chave de proteção de integridade de plano de usuário, e realizar proteção de integridade de plano de usuário usando a chave de proteção de integridade de plano de usuário. Ou seja, quando se habilitar proteção de integridade de plano de usuário não puder ser determinado ou for determinado não habilitar temporariamente proteção de integridade de plano de usuário, a chave de proteção de integridade de plano de usuário pode não ser gerada quando proteção de integridade de plano de usuário não estiver habilitada. Correspondentemente, por exemplo, para o dispositivo terminal e a estação de base, se for determinado que o dispositivo terminal e a estação de base sempre não habilitam proteção de integridade de plano de usuário (por exemplo, que pode ser uma condição predefinida), a chave de proteção de integridade de plano de usuário pode não ser gerada.
[0039] Opcionalmente, não habilitar proteção de criptografia de plano de usuário inclui: quando se habilitar proteção de criptografia de plano de usuário não pode ser determinado ou é determinado não habilitar temporariamente a proteção de criptografia de plano de usuário, gerar uma chave de criptografia de plano de usuário, mas não realizar proteção de criptografia de plano de usuário usando a chave de criptografia de plano de usuário; e quando for determinado habilitar proteção de criptografia de plano de usuário, realizar proteção de criptografia de plano de usuário usando a chave de criptografia de plano de usuário. Nesta implementação, o algoritmo de criptografia de plano de usuário é
Petição 870190130980, de 10/12/2019, pág. 17/175
12/134 obtido antes que a chave de criptografia de plano de usuário seja gerada, por exemplo, o algoritmo de criptografia de plano de sinalização também pode ser usado como o algoritmo de criptografia de plano de usuário. Opcionalmente, não habilitar proteção de criptografia de plano de usuário inclui: quando for determinado habilitar proteção de criptografia de plano de usuário, gerar uma chave de criptografia de plano de usuário, e realizar proteção de criptografia de plano de usuário usando a chave de criptografia de plano de usuário. Ou seja, quando não é possível determinar se habilitar proteção de criptografia de plano de usuário ou se é determinado não habilitar temporariamente a proteção de criptografia de plano de usuário, a chave de criptografia de plano de usuário pode não ser gerada. Correspondentemente, por exemplo, para o dispositivo terminal e a estação de base, se for determinado que o dispositivo terminal e a estação de base sempre não habilitam proteção de criptografia de plano de usuário (por exemplo, que pode ser uma condição predefinida), a chave de criptografia de plano de usuário pode não ser gerada.
[0040] Opcionalmente, a estação de base obtém informações de indicação de proteção de integridade e/ou informações de indicação de criptografia, e determina, com base nas informações de indicação de proteção de integridade obtidas, se habilitar proteção de integridade, ou determina, com base nas informações de indicação de criptografia, se habilitar proteção de criptografia de plano de usuário. As informações de indicação de proteção de integridade são usadas para indicar se habilitar proteção de integridade de plano de usuário, e as informações de indicação de criptografia são usadas para indicar se habilitar proteção de criptografia de plano de usuário.
[0041] Opcionalmente, há uma pluralidade de maneiras de obter as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia pela estação de base. Por exemplo, a estação de base gera as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia através de determinação ou recebe pelo menos uma das informações de indicação de proteção de integridade e as informações de indicação de criptografia enviadas por outro elemento de rede. O outro elemento de rede pode ser a entidade SMF.
[0042] Opcionalmente, a estação de base pode enviar pelo menos uma das informações de indicação de proteção de integridade e as informações
Petição 870190130980, de 10/12/2019, pág. 18/175
13/134 de indicação de criptografia para o dispositivo terminal, de modo que o dispositivo terminal determina se habilitar proteção de integridade de plano de usuário e/ou se habilitar proteção de criptografia de plano de usuário. Alternativamente, o dispositivo terminal determina se habilitar proteção de integridade de plano de usuário e/ou se habilitar proteção de criptografia de plano de usuário.
[0043] Opcionalmente, as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser informações de bits ou um identificador de um algoritmo. Por exemplo, as informações de indicação de proteção de integridade são um identificador do algoritmo de proteção de integridade de plano de usuário alvo. Por outro exemplo, as informações de indicação de criptografia são um identificador do algoritmo de proteção de criptografia de plano de usuário alvo. Por outro exemplo, informações de 1 bit são usadas para indicar as informações de indicação de proteção de integridade ou as informações de indicação de criptografia. Por outro exemplo, informações de 2 bits são usadas para indicar as informações de indicação de proteção de integridade e as informações de indicação de criptografia. De acordo com um segundo aspecto, uma modalidade deste pedido fornece um método de comunicação, incluindo: receber, por uma entidade SMF, uma mensagem de solicitação, onde a mensagem de solicitação inclui um parâmetro relacionado a uma política de segurança; obter, pela entidade SMF, a política de segurança ou um identificador da política de segurança com base no parâmetro relacionado à política de segurança; e enviar, pela entidade SMF, a política de segurança ou o identificador da política de segurança para uma estação de base, onde a política de segurança inclui informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para um dispositivo terminal. Por um lado, porque um algoritmo de segurança de plano de usuário é negociado independentemente, flexibilidade de determinar separadamente o algoritmo de segurança de plano de usuário e um algoritmo de segurança de plano de sinalização é aprimorada. Por outro lado, porque as informações de indicação de proteção de integridade são adicionadas, flexibilidade de determinar o algoritmo de proteção de integridade de plano de usuário alvo do dispositivo
Petição 870190130980, de 10/12/2019, pág. 19/175
14/134 terminal é aprimorada.
[0044] Opcionalmente, as informações de indicação de proteção de integridade são um identificador de um algoritmo de proteção de integridade de plano de usuário. Ou seja, se for determinado que a política de segurança porta um identificador de um algoritmo de proteção de integridade de plano de usuário, pode ser determinado que a estação de base habilita proteção de integridade para o dispositivo terminal. A política de segurança nesta modalidade pode portar um ou mais identificadores de algoritmos de proteção de integridade de plano de usuário (que podem ser referidos como uma lista de algoritmos). O algoritmo de proteção de integridade de plano de usuário portado na política de segurança nesta modalidade pode ser determinado com base em pelo menos um dentre um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço, um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base. Em outras palavras, o algoritmo de proteção de integridade de plano de usuário portado na política de segurança é um algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço.
[0045] Opcionalmente, o parâmetro relacionado à política de segurança inclui pelo menos um dentre um identificador do dispositivo terminal, um nome de rede de dados DNN do dispositivo terminal, um identificador de uma fatia do dispositivo terminal, qualidade de serviço do dispositivo terminal, e um identificador de sessão do dispositivo terminal. Dessa maneira, a política de segurança pode ser formulada com base em diferentes identificadores de diferentes perspectivas ou em diferentes granularidades, e isso é mais flexível.
[0046] Opcionalmente, a obtenção, pela entidade SMF, da política de segurança ou de um identificador da política de segurança com base no parâmetro relacionado à política de segurança inclui: quando o parâmetro relacionado à política de segurança inclui o identificador do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador do dispositivo terminal e em uma relação de associação entre o identificador do dispositivo terminal e a política de segurança. Dessa maneira, a política de segurança pode ser determinada em uma granularidade do dispositivo terminal, de modo que diferentes dispositivos terminais possam corresponder a diferentes
Petição 870190130980, de 10/12/2019, pág. 20/175
15/134 políticas de segurança.
[0047] Em outra implementação opcional, a obtenção, pela entidade SMF, da política de segurança ou de um identificador da política de segurança com base no parâmetro relacionado à política de segurança inclui: quando o parâmetro relacionado à política de segurança inclui o identificador da fatia do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador da fatia do dispositivo terminal e uma relação de associação entre o identificador da fatia e a política de segurança. Dessa maneira, a política de segurança pode ser determinada em uma granularidade da fatia, de modo que um dispositivo terminal acessando diferentes fatias possa corresponder a diferentes políticas de segurança.
[0048] Em outra implementação opcional, a obtenção, pela entidade SMF, da política de segurança ou de um identificador da política de segurança com base no parâmetro relacionado à política de segurança inclui: quando o parâmetro relacionado à política de segurança inclui o identificador de sessão do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador de sessão do dispositivo terminal e uma relação de associação entre o identificador de sessão e a política de segurança. Dessa maneira, a política de segurança pode ser determinada na granularidade de uma sessão, de modo que um dispositivo terminal iniciando sessões diferentes possa corresponder a diferentes políticas de segurança.
[0049] Em outra implementação opcional, a obtenção, pela entidade SMF, da política de segurança ou de um identificador da política de segurança com base no parâmetro relacionado à política de segurança inclui: quando o parâmetro relacionado à política de segurança inclui a qualidade de serviço do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base na qualidade de serviço do dispositivo terminal. Dessa maneira, a política de segurança pode ser determinada com base na granularidade da qualidade de serviço, de modo que um dispositivo terminal iniciando uma qualidade de serviço diferente possa corresponder a diferentes políticas de segurança.
[0050] Opcionalmente, a política de segurança inclui adicionalmente pelo menos um dos seguintes conteúdos: informações de indicação de criptografia, onde as informações de indicação de criptografia são usadas para indicar a estação de base para habilitar proteção de criptografia para o
Petição 870190130980, de 10/12/2019, pág. 21/175
16/134 dispositivo terminal; um comprimento de chave; informações de indicação de DH, onde as informações de indicação de D-H são usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal; e um algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço. Dessa forma, quaisquer informações na política de segurança podem ser indicadas mais flexivelmente, de modo que uma política de segurança finalmente determinada seja mais adaptada a um cenário de aplicação complexo.
[0051] Opcionalmente, a entidade SMF envia informações de indicação de proteção de integridade e/ou informações de indicação de criptografia para a estação de base. As informações de indicação de proteção de integridade são usadas para indicar se habilitar proteção de integridade de plano de usuário, e as informações de indicação de criptografia são usadas para indicar se habilitar proteção de criptografia. Opcionalmente, a entidade SMF determina se habilitar proteção de integridade de plano de usuário e/ou se habilitar proteção de criptografia de plano de usuário em uma pluralidade de implementações. Consulte as modalidades subsequentes, ou consulte a implementação em que a estação de base determina se habilitar proteção de integridade de plano de usuário e/ou se habilitar proteção de criptografia de plano de usuário, e os detalhes não são descritos aqui novamente.
[0052] De acordo com um terceiro aspecto, uma modalidade deste pedido fornece uma estação de base, onde a estação de base inclui uma memória, um transceptor e um processador; a memória é configurada para armazenar uma instrução; o processador é configurado para executar a instrução armazenada na memória e controlar o transceptor para realizar a recepção e envio de sinais; e quando o processador executa a instrução armazenada na memória, a estação de base é configurada para realizar o método de acordo com qualquer um do primeiro aspecto ou as implementações do primeiro aspecto.
[0053] De acordo com um quarto aspecto, uma modalidade deste pedido fornece uma entidade SMF, onde a entidade SMF inclui uma memória, um transceptor e um processador; a memória é configurada para armazenar uma instrução; o processador é configurado para executar a instrução armazenada na memória e controlar o transceptor para realizar a recepção e envio de sinais; e quando o processador executa a instrução armazenada na memória, a
Petição 870190130980, de 10/12/2019, pág. 22/175
17/134 entidade SMF é configurada para realizar o método de acordo com qualquer um do segundo aspecto ou as implementações do segundo aspecto.
[0054] De acordo com um quinto aspecto, uma modalidade deste pedido fornece uma estação de base, configurada para implementar o método de acordo com qualquer um do primeiro aspecto ou as implementações do primeiro aspecto, e incluindo módulos funcionais correspondentes, configurados separadamente para implementar etapas no método anterior.
[0055] De acordo com um sexto aspecto, uma modalidade deste pedido fornece uma entidade SMF, configurada para implementar o método de acordo com qualquer um do segundo aspecto ou as implementações do segundo aspecto, e incluindo módulos funcionais correspondentes, configurados separadamente para implementar etapas no método anterior.
[0056] De acordo com um sétimo aspecto, uma modalidade deste pedido fornece uma mídia de armazenamento de computador, onde a mídia de armazenamento de computador armazena uma instrução; e quando a instrução é executada em um computador, o computador realiza o método de acordo com qualquer um do primeiro aspecto ou as implementações possíveis do primeiro aspecto.
[0057] De acordo com um oitavo aspecto, uma modalidade deste pedido fornece uma mídia de armazenamento de computador, onde a mídia de armazenamento de computador armazena uma instrução; e quando a instrução é executada em um computador, o computador realiza o método de acordo com qualquer um do segundo aspecto ou as implementações possíveis do segundo aspecto.
[0058] De acordo com um nono aspecto, uma modalidade deste pedido fornece um produto de programa de computador incluindo uma instrução e, quando o produto de programa de computador é executado em um computador, o computador realiza o método de acordo com qualquer um do primeiro aspecto ou as implementações possíveis do primeiro aspecto.
[0059] De acordo com um décimo aspecto, uma modalidade deste pedido fornece um produto de programa de computador incluindo uma instrução e, quando o produto de programa de computador é executado em um computador, o computador realiza o método de acordo com qualquer um do segundo aspecto ou implementações possíveis do segundo aspecto.
Petição 870190130980, de 10/12/2019, pág. 23/175
18/134
[0060] Nas modalidades deste pedido, a política de segurança inclui as informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilitar proteção de integridade para o dispositivo terminal. A estação de base obtém a política de segurança. Quando as informações de indicação de proteção de integridade indicam a estação de base para habilitar proteção de integridade para o dispositivo terminal, a estação de base envia o algoritmo de proteção de integridade de plano de usuário alvo ao dispositivo terminal. Dessa maneira, se habilitar proteção de integridade para o dispositivo terminal pode ser selecionado flexivelmente com base na política de segurança. Além disso, somente quando proteção de integridade é habilitada para o dispositivo terminal, a estação de base envia o algoritmo de proteção de integridade de plano de usuário alvo ao dispositivo terminal. Por um lado, porque um algoritmo de segurança de plano de usuário é negociado independentemente, flexibilidade de determinar separadamente o algoritmo de segurança de plano de usuário e um algoritmo de segurança de plano de sinalização é aprimorada. Por outro lado, porque as informações de indicação de proteção de integridade são adicionadas, flexibilidade de determinar o algoritmo de proteção de integridade de plano de usuário alvo do dispositivo terminal é aprimorada.
BREVE DESCRIÇÃO DOS DESENHOS
[0061] A Figura 1 é um diagrama esquemático de uma arquitetura de sistema à qual uma modalidade deste pedido é aplicável;
[0062] A Figura 2 é um fluxograma esquemático de um método de comunicação de acordo com uma modalidade deste pedido;
[0063] A Figura 2a é um fluxograma esquemático de outro método de comunicação de acordo com uma modalidade deste pedido;
[0064] A Figura 2b é um fluxograma esquemático de outro método de comunicação de acordo com uma modalidade deste pedido;
[0065] A Figura 3 é um diagrama estrutural esquemático de uma estação de base de acordo com uma modalidade deste pedido;
[0066] A Figura 4 é um diagrama estrutural esquemático de um dispositivo terminal de acordo com uma modalidade deste pedido;
[0067] A Figura 5 é um diagrama estrutural esquemático de outra estação de base de acordo com uma modalidade deste pedido; e
Petição 870190130980, de 10/12/2019, pág. 24/175
19/134
[0068] A Figura 6 é um diagrama estrutural esquemático de outro dispositivo terminal de acordo com uma modalidade deste pedido.
DESCRIÇÃO DAS MODALIDADES
[0069] A Figura 1 mostra um exemplo de um diagrama esquemático de uma arquitetura de sistema à qual as modalidades deste pedido são aplicáveis. Como mostrado na Figura 1, uma arquitetura de sistema 5G inclui um dispositivo terminal 101.0 dispositivo terminal 101 pode se comunicar com uma ou mais redes principais usando uma rede de acesso de rádio (Radio Access Network, RAN, para abreviar). O dispositivo terminal pode se referir ao equipamento de usuário (User Equipment, UE), um dispositivo terminal de acesso, uma unidade de assinante, uma estação de assinante, uma estação móvel, um console móvel, uma estação remota, um dispositivo terminal remoto, um dispositivo móvel, um dispositivo terminal de usuário, dispositivo terminal, dispositivo de comunicações sem fio, agente de usuário ou aparelho de usuário. O dispositivo terminal de acesso pode ser um telefone celular, um telefone sem fio, um telefone de Protocolo de Iniciação de Sessão (Session Initiation Protocol, SIP para abreviar), uma estação de circuito local sem fio (Wireless Local Loop, WLL para abreviar), um assistente digital pessoal (Personal Digital Assistant, PDA para abreviar), um dispositivo portátil com uma função de comunicação sem fio, um dispositivo de computação ou outro dispositivo de processamento conectado a um modem sem fio, dispositivo para veículo, dispositivo vestível, dispositivo terminal em uma rede 5G futura, ou semelhantes.
[0070] Uma estação de base 102 está conectada ao dispositivo terminal 101. Opcionalmente, a estação de base 102 pode ser um 5G NóB (5th generation NodeB, gNB), pode ser um eNB evoluído ou pode ser uma nova estação de base como um LTE NóB eNB, 3G NóB NB ou 5G NóB evoluído, e podem ser escritos como (R)AN em inglês. A estação de base 102 pode ser um dispositivo configurado para se comunicar com o dispositivo terminal. Por exemplo, a estação de base 102 pode ser uma estação transceptora base (Base Transceiver Station, BTS) em um sistema GSM ou CDMA, pode ser um Nó B (NodeB, NB) em um sistema WCDMA, pode ser um Nó B evoluído (Evolved NodeB, eNB ou eNodeB) em um sistema LTE ou pode ser uma estação de base 5G. Alternativamente, o dispositivo de rede pode ser um nó de retransmissão, um ponto de acesso, um dispositivo de veículo, um dispositivo vestível, um
Petição 870190130980, de 10/12/2019, pág. 25/175
20/134 dispositivo de lado de rede em uma futura rede 5G, um dispositivo de rede em uma futura rede PLMN evoluída ou semelhantes.
[0071 ] Uma entidade de função de gerenciamento de sessão (Session Management Function, SMF) 103 pode ser uma função dividida de um módulo de gerenciamento de mobilidade (Mobility Management Entity, MME) no LTE, e pode ser o principal responsável por estabelecer uma sessão de usuário, e somente após a sessão de usuário ser estabelecida, dados podem ser recebidos e transmitidos. A MME no sistema LTE é um elemento de rede responsável pela segurança, gerenciamento de mobilidade e gerenciamento de sessão no lado de rede principal. Segurança significa que o dispositivo terminal 101 precisa realizar autenticação mútua com uma rede quando o dispositivo terminal 101 acessa a rede inicialmente. Após autenticação mútua, o dispositivo terminal 101 e a rede principal geram uma chave. Após a chave ser gerada, o dispositivo terminal 101 e a MME realizam a negociação de algoritmo, a saber, a negociação de capacidade de segurança. O gerenciamento de mobilidade é para registrar informações de localização do dispositivo terminal 101 e selecionar um dispositivo de elemento de rede de plano de usuário apropriado para o dispositivo terminal 101 com base nas informações de localização do dispositivo terminal 101. O gerenciamento de sessão é responsável por estabelecer um enlace de plano de usuário do dispositivo terminal 101. O dispositivo terminal 101 pode acessar a rede somente após um enlace de plano de dados de um usuário ser estabelecido.
[0072] Uma entidade de função de plano de usuário (User Plane Function, UPF) 104 pode ser uma combinação de um gateway de serviço (Serving Gateway, S-GW) e um gateway de rede de dados pública (Public Data Network Gateway, P-GW) no sistema LTE, é um elemento de rede funcional do plano de usuário do dispositivo terminal 101 e é o principal responsável pela conexão com uma rede externa.
[0073] Uma rede dedicada (Dedicated Network, DN) 105 pode ser uma rede que fornece um serviço para o dispositivo terminal 101. Por exemplo, algumas DNs podem fornecer uma função de acesso de rede para o dispositivo terminal 101, e algumas DNs podem fornecer uma função de mensagem SMS para o dispositivo terminal 101. Uma função de controle de política (Policy Control Function, PCF) 106 é adicionalmente incluída.
Petição 870190130980, de 10/12/2019, pág. 26/175
21/134
[0074] Uma entidade de função de servidor de autenticação (Authentication Server Function, AUSF) 107 interage com uma função de repositório e processamento de credenciais de autenticação (Authentication Credential Repository and Processing Function, ARPF) e finaliza uma solicitação de autenticação a partir de uma SEAF. A entidade de função de servidor de autenticação 107 também é uma função dividida de um servidor de assinante doméstico (Home Subscriber Server, HSS) no sistema LTE. A AUSF 107 pode ser um elemento de rede independente. O HSS no sistema LTE pode armazenar informações de assinatura de usuário e uma chave de longo prazo do usuário.
[0075] A ARPF pode ser integrada a uma entidade de gerenciamento de dados de usuário (User Data Management, UDM) 108 como parte do UDM. A ARPF é dividida do HSS no LTE e é usada principalmente para armazenar a chave de longo prazo. O processamento relacionado à chave de longo prazo também é concluído aqui.
[0076] Uma função de uma entidade de gerenciamento de acesso e mobilidade (Access and Mobility Management Function, AMF) 109 é gerenciar um problema de acesso do dispositivo terminal 101, e gerenciar adicionalmente a mobilidade do dispositivo terminal 101. A função pode ser uma função de módulo de gerenciamento de mobilidade (Mobility Management, MM) na MME no LTE, e inclui adicionalmente uma função de gerenciamento de acesso. Uma função de seleção de fatia (Slice select Function, SSF) 110 é adicionalmente incluída.
[0077] Uma entidade de função de ancoragem de segurança (Security anchor function, SEAF) 111 é responsável pelas funções de autenticação do dispositivo terminal 101 e um lado de rede, e armazena uma chave de ancoragem (anchor key) após a autenticação ter êxito.
[0078] Uma entidade de função de gerenciamento de contexto de segurança (Security Context Management Function, SCMF) 112 obtém uma chave a partir da SEAF 111 e extrai adicionalmente outra chave, e é uma função separada da MME. Em uma situação real, a SEAF 111 e a SCMF 112 podem adicionalmente ser combinadas em uma entidade de função de autenticação separada (Authentication function, AUF). Como mostrado na Figura 1, a SEAF 111 e a SCMF 112 são combinadas na AMF 109 para formar um elemento de rede.
Petição 870190130980, de 10/12/2019, pág. 27/175
22/134
[0079] A Figura 1 mostra adicionalmente implementações possíveis de uma interface em cada elemento de rede, por exemplo, uma interface NG2 entre a estação de base 102 e a entidade AMF 109 e uma interface NG9 entre a estação de base 102 e a entidade UPF 104. Os detalhes não são descritos aqui.
[0080] A Figura 2 mostra um exemplo de um fluxograma esquemático de um método de comunicação de acordo com uma modalidade deste pedido.
[0081] Com base no conteúdo anterior, esta modalidade deste pedido fornece um método de comunicação. Como mostrado na Figura 2, o método inclui as seguintes etapas.
[0082] Etapa 201: Uma estação de base obtém um algoritmo de segurança de plano de sinalização suportado por um dispositivo terminal. Opcionalmente, há uma pluralidade de maneiras de obtenção do algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal. O algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal inclui pelo menos um algoritmo de criptografia de plano de sinalização e pelo menos um algoritmo de proteção de integridade de plano de sinalização. Por exemplo, o algoritmo de segurança de plano de sinalização é recebido a partir de uma AMF. Por outro exemplo, o algoritmo de segurança de plano de sinalização é obtido diretamente do dispositivo terminal, usando uma mensagem de sinalização ou pré-configurado na estação de base.
[0083] Nesta modalidade deste pedido, é fornecida uma solução para implementar a etapa 201. Especificamente, o dispositivo terminal envia uma mensagem de estrato de não acesso (Non-Access Stratum, NAS) para a estação de base. A mensagem NAS é uma mensagem de plano de sinalização trocada entre o dispositivo terminal e uma rede principal, por exemplo, uma solicitação de anexação LTE (attach request) ou uma solicitação de registro 5G (Registration Request). Nesta modalidade, uma mensagem de solicitação de registro 5G é usada como um exemplo para descrição, e o mesmo processamento pode ser realizado para outra mensagem NAS em uma etapa semelhante. O dispositivo terminal envia uma solicitação de registro (Registration Request) para a estação de base. A solicitação de registro porta o algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal.
[0084] Opcionalmente, no exemplo anterior, a solicitação de registro
Petição 870190130980, de 10/12/2019, pág. 28/175
23/134 também pode portar um algoritmo de segurança de plano de usuário suportado pelo dispositivo terminal. O algoritmo de segurança de plano de usuário suportado pelo dispositivo terminal pode incluir um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e um algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal. Quaisquer dois algoritmos do algoritmo de criptografia de plano de sinalização suportado pelo dispositivo terminal, o algoritmo de proteção de integridade de plano de sinalização suportado pelo dispositivo terminal, o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal podem ser o mesmo ou diferentes. Em uma solução opcional, o dispositivo terminal pode relatar separadamente o algoritmo de proteção de integridade de plano de sinalização suportado pelo dispositivo terminal, o algoritmo de criptografia de plano de sinalização suportado pelo dispositivo terminal, o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e o plano de usuário algoritmo de criptografia suportado pelo dispositivo terminal. Alternativamente, se pelo menos dois dos quatro algoritmos forem iguais, o dispositivo terminal pode relatar um dos dois algoritmos iguais. Por exemplo, se o algoritmo de proteção de integridade de plano de sinalização suportado pelo dispositivo terminal for o mesmo que o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, o dispositivo terminal reporta apenas um mesmo algoritmo correspondente ao algoritmo de proteção de integridade de plano de sinalização suportado pelo dispositivo terminal e o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal. Se o algoritmo de criptografia de plano de sinalização suportado pelo dispositivo terminal for o mesmo que o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, o dispositivo terminal reporta apenas um mesmo algoritmo correspondente ao algoritmo de criptografia de plano de sinalização suportado pelo dispositivo terminal e o plano de usuário algoritmo de criptografia suportado pelo dispositivo terminal.
[0085] Em outra implementação opcional, se o algoritmo de criptografia de plano de sinalização suportado pelo dispositivo terminal, o algoritmo de proteção de integridade de plano de sinalização suportado pelo dispositivo terminal, o algoritmo de proteção de integridade de plano de usuário
Petição 870190130980, de 10/12/2019, pág. 29/175
24/134 suportado pelo dispositivo terminal, e o algoritmo de criptografia de plano de usuário suportados pelo dispositivo terminal são todos iguais, o dispositivo terminal pode relatar apenas um algoritmo para indicar os quatro algoritmos. Por exemplo, os algoritmos relatados pelo dispositivo terminal são EEA 1, EEA 2, EIA 1 e EIA 2. Em seguida, EEA 1 e EEA 2 podem ser selecionados como algoritmo de criptografia de plano de sinalização e algoritmo de criptografia de plano de usuário. Da mesma forma, EIA 1 e EIA 2 podem ser selecionados como o algoritmo de proteção de integridade de plano de sinalização e o algoritmo de proteção de integridade de plano de usuário.
[0086] Por outro exemplo, os algoritmos relatados pelo dispositivo terminal são EEA 11, EEA 12, EIA 11, EIA 12, EEA 21, EEA 23, EIA 21 e EIA 22. Em seguida, EEA 11 e EEA 12 podem ser selecionados como o algoritmo de criptografia de plano de sinalização. EEA 21 e EEA 23 podem ser selecionados como o algoritmo de criptografia de plano de usuário. EIA 11 e EIA 12 podem ser selecionados como o algoritmo de proteção de integridade de plano de sinalização. EIA 21 e EIA 22 podem ser selecionados como o algoritmo de proteção de integridade de plano de usuário. Por outro exemplo, os algoritmos relatados pelo dispositivo terminal são EEA 11, EEA 12, EIA 1, EIA 2, EEA 21, EEA 23, EIA 21 e EIA 22. Em seguida, EEA 11 e EEA 12 podem ser selecionados como o algoritmo de criptografia de plano de sinalização. EEA 21 e EEA 23 podem ser selecionados como o algoritmo de criptografia de plano de usuário. EIA 1 e EIA 2 podem ser selecionados como o algoritmo de proteção de integridade de plano de sinalização e o algoritmo de proteção de integridade de plano de usuário. Por outro exemplo, os algoritmos relatados pelo dispositivo terminal são EEA 1, EEA 2, EIA 11, EIA 12, EIA 21 e EIA 22. Então, EEA 1 e EEA 2 podem ser selecionados como algoritmo de criptografia de plano de sinalização e pelo algoritmo de criptografia de plano de usuário. EIA 11 e EIA 12 podem ser selecionados como o algoritmo de proteção de integridade de plano de sinalização. EIA 21 e EIA 22 podem ser selecionados como o algoritmo de proteção de integridade de plano de usuário.
[0087] Em outro aspecto, em uma solução de implementação opcional, o dispositivo terminal pode relatar, usando uma pluralidade de partes de sinalização, o algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal, o algoritmo de proteção de integridade de plano de usuário
Petição 870190130980, de 10/12/2019, pág. 30/175
25/134 suportado pelo dispositivo terminal, e o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, onde uma parte de sinalização inclui um algoritmo. Em outra solução opcional, o algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal, o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal são relatados usando uma ou mais partes de sinalização, onde uma parte de sinalização inclui um ou mais algoritmos. Quando uma parte de sinalização inclui uma pluralidade de algoritmos, alguns campos podem ser predefinidos na sinalização, e os campos são usados para portar algoritmos correspondentes. Por exemplo, um primeiro campo, um segundo campo e um terceiro campo são definidos sucessivamente. O primeiro campo é predefinido para colocar o algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal. O segundo campo é predefinido para colocar o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal. O terceiro campo é predefinido para colocar o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal. Alternativamente, quando os três algoritmos são iguais, apenas um algoritmo é relatado em uma parte de sinalização e outro elemento de rede considera por padrão que o algoritmo é o algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal, o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e pelo algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal. Por exemplo, os recursos de segurança relatados pelo dispositivo terminal são EEA 1, EEA 2, EIA 1 e EIA 2. Em seguida, EEA 1 e EEA 2 podem ser selecionados como algoritmo de criptografia de plano de sinalização e algoritmo de criptografia de plano de usuário. Da mesma forma, EIA 1 e EIA 2 podem ser selecionados como o algoritmo de proteção de integridade de plano de sinalização e o algoritmo de proteção de integridade de plano de usuário. Por outro exemplo, os recursos de segurança relatados pelo UE são EEA 11, EEA 12, EIA 11, EIA 12, EEA 21, EEA 23, EIA 21 e EIA 22. Em seguida, EEA 11 e EEA 12 podem ser selecionados como algoritmo de criptografia de plano de sinalização. EEA 21 e EEA 23 podem ser selecionados como o algoritmo de criptografia de plano de usuário. EIA 11 e EIA 12 podem ser selecionados como o algoritmo de proteção de integridade de plano de
Petição 870190130980, de 10/12/2019, pág. 31/175
26/134 sinalização. EIA 21 e EIA 22 podem ser selecionados como o algoritmo de proteção de integridade de plano de usuário. Por outro exemplo, os recursos de segurança relatados pelo UE são EEA 11, EEA 12, EIA 1, EIA 2, EEA 21, EEA 23, EIA 21 e EIA 22. Em seguida, EEA 11 e EEA 12 podem ser selecionados como algoritmo de criptografia de plano de sinalização. EEA 21 e EEA 23 podem ser selecionados como o algoritmo de criptografia de plano de usuário. EIA 1 e EIA 2 podem ser selecionados como o algoritmo de proteção de integridade de plano de sinalização e o algoritmo de proteção de integridade de plano de usuário.
[0088] Opcionalmente, a estação de base encaminha a solicitação de registro para a AMF. Opcionalmente, a AMF envia uma primeira mensagem de aceitação de registro (Registration Accept) para a estação de base após a AMF realizar autenticação mútua com a estação de base e realiza outro procedimento de registro com outro elemento de rede principal, como uma SEAF, uma AUSF, uma SMF, uma PCF ou um UDM. A estação de base encaminha a primeira mensagem de aceitação de registro recebida para o dispositivo terminal. Encaminhamento significa que a mensagem não é alterada. No entanto, um parâmetro adicional é adicionado à mensagem porque as interfaces que portam a mensagem têm funções diferentes, para implementar uma função de transmissão de mensagem. Por exemplo, a primeira mensagem de aceitação de registro é enviada para a estação de base através de uma interface N2. Além da primeira mensagem de aceitação de registro, a interface N2 possui informações que a estação de base precisa conhecer. A estação de base encaminha a primeira mensagem de aceitação de registro para o UE usando uma mensagem RRC. Além da primeira mensagem de registro, a mensagem RRC pode incluir pelo menos outras informações que o UE precisa saber ou informações que podem ser usadas para encontrar o UE. Alternativamente, a primeira mensagem de aceitação de registro é convertida até certo ponto, por exemplo, a conversão de formato é realizada com base em diferentes interfaces, e a primeira mensagem de aceitação de registro convertida é encaminhada para o dispositivo terminal. Nesta etapa, se uma interface entre a AMF e a estação de base for NG2, a primeira mensagem de aceitação de registro é portada usando uma mensagem NG2. A primeira mensagem de aceitação de registro porta adicionalmente uma chave base (Kan) gerada pela AMF ou pela SEAF para a
Petição 870190130980, de 10/12/2019, pág. 32/175
27/134 estação de base, e o algoritmo de segurança de plano de sinalização suportado e relatado pelo dispositivo terminal. Opcionalmente, uma mensagem de solicitação de registro pode ser colocada em um recipiente NAS, e a chave base (Kan) e um recurso de segurança do dispositivo terminal podem ser colocados no recipiente NAS ou podem ser colocados fora do recipiente NAS.
[0089] Etapa 202: A estação de base determina um algoritmo de segurança de plano de sinalização alvo com base no algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal e em um algoritmo de segurança de plano de sinalização permitido pela estação de base.
[0090] Na etapa 202, opcionalmente, a estação de base pode préconfigurar o algoritmo de segurança de plano de sinalização permitido pela estação de base. Opcionalmente, um algoritmo incluído no algoritmo de segurança de plano de sinalização permitido pela estação de base é classificado com base em uma prioridade, por exemplo, é classificado com base na preferência de operador ou com base na configuração de ambiente real local. Opcionalmente, o algoritmo de segurança de plano de sinalização permitido pela estação de base pode ser configurado para a estação de base usando um dispositivo de gerenciamento de rede ou pode ser configurado em um processo de instalação de um ambiente de software durante o estabelecimento da estação de base, ou pode ser configurado de outra maneira.
[0091] Na etapa 202, uma possível implementação é a seguinte: A estação de base seleciona, com base no algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal e no algoritmo de segurança de plano de sinalização permitido pela estação de base e classificado com base em uma prioridade, um algoritmo de segurança de plano de sinalização que é suportado pelo dispositivo terminal e que tem uma prioridade mais alta, como o algoritmo de segurança de plano de sinalização alvo. O algoritmo de segurança de plano de sinalização alvo pode incluir um algoritmo de criptografia e/ou um algoritmo de proteção de integridade.
[0092] Uma possível implementação específica é a seguinte: A estação de base seleciona um conjunto de todos os algoritmos que existem no algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal e que também existem no algoritmo de segurança de plano de sinalização permitido pela estação de base, e seleciona um algoritmo com uma
Petição 870190130980, de 10/12/2019, pág. 33/175
28/134 prioridade relativamente alta no algoritmo de segurança de plano de sinalização permitido pela estação de base a partir do conjunto de algoritmos, como o algoritmo de segurança de plano de sinalização alvo.
[0093] Deve ser notado aqui que o algoritmo de segurança de plano de sinalização permitido pela estação de base e um algoritmo de segurança de plano de usuário permitido pela estação de base podem ser configurados ou préconfigurados para a estação de base com base pelo menos na preferência de operador. O algoritmo de segurança de plano de sinalização permitido pela estação de base inclui pelo menos um algoritmo de criptografia de plano de sinalização permitido pela estação de base e/ou pelo menos um algoritmo de proteção de integridade de plano de sinalização permitido pela estação de base. O algoritmo de segurança de plano de usuário permitido pela estação de base inclui pelo menos um algoritmo de criptografia de plano de usuário permitido pela estação de base e/ou pelo menos um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base. Além disso, pelo menos um algoritmo de criptografia de plano de sinalização permitido pela estação de base e/ou pelo menos um algoritmo de proteção de integridade de plano de sinalização permitido pela estação de base no algoritmo de segurança de plano de sinalização permitido pela estação de base é/são classificados com base em uma prioridade, e a classificação de prioridades pode ser determinada por um operador. O algoritmo de segurança de plano de usuário permitido pela estação de base pode ser ou não ser classificado com base em uma prioridade. Quando o algoritmo de segurança de plano de usuário permitido pela estação de base é o mesmo que o algoritmo de segurança de plano de sinalização permitido pela estação de base, e uma prioridade do algoritmo de segurança de plano de usuário permitido pela estação de base é igual à prioridade do plano de sinalização algoritmo de segurança permitido pela estação de base, a estação de base pode armazenar apenas um conjunto de algoritmos classificados com base em uma prioridade, ou seja, armazenar um algoritmo de segurança de plano de usuário permitido pela estação de base e classificado com base em uma prioridade, ou um algoritmo de segurança de plano de sinalização permitido pela estação de base e classificado com base em uma prioridade.
[0094] Opcionalmente, a estação de base gera apenas uma chave relacionada ao plano de sinalização com base no algoritmo de segurança de
Petição 870190130980, de 10/12/2019, pág. 34/175
29/134 plano de sinalização alvo, por exemplo, uma chave de proteção de integridade de plano de sinalização e uma chave de criptografia de plano de sinalização. A chave relacionada ao plano de sinalização é, por exemplo, uma chave relacionada ao Controle de Recurso de Rádio (Radio Resource Control, RRC) e, especificamente, pode ser uma chave de proteção de integridade de RRC (Krrcint) e uma chave de criptografia de RRC (Krrc-enc). A estação de base pode gerar a chave com base em uma chave base (Kan). A Kan é obtida pela estação de base a partir de um elemento de rede principal, como a função de gerenciamento de acesso e mobilidade (Access and Mobility Management Function, AMF) ou a AUSF.
[0095] Etapa 203: A estação de base adiciona o algoritmo de segurança de plano de sinalização alvo a um comando de modo de segurança (Security Mode Command, SMC) de estrato de acesso (Access Stratum, AS) e envia o AS SMC ao dispositivo terminal.
[0096] Opcionalmente, na etapa 203, a estação de base pode enviar o AS SMC para o dispositivo terminal em uma pluralidade de implementações. O AS SMC inclui informações de indicação do algoritmo de segurança de piano de sinalização alvo, por exemplo, um identificador do algoritmo de segurança de plano de sinalização alvo.
[0097] Além disso, a estação de base pode adicionalmente adicionar o algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal ao AS SMC. Opcionalmente, a proteção de integridade pode ser realizada no AS SMC usando a chave de proteção de integridade de plano de sinalização gerada pela estação de base.
[0098] Opcionalmente, após receber o AS SMC, o dispositivo terminal determina o algoritmo de segurança de plano de sinalização alvo com base nas informações de indicação do algoritmo de segurança de plano de sinalização alvo e gera a chave relacionada ao plano de sinalização (um método para gerar chave relacionada ao plano de sinalização do dispositivo terminal é igual a um método para gerar a chave relacionada ao plano de sinalização pela estação de base), e verifica a proteção de integridade no AS SMC com base em uma chave de proteção de integridade de plano de sinalização. Se for determinado que a proteção de integridade no AS SMC é qualificada, é determinado que a chave de proteção de integridade de plano de sinalização no lado de dispositivo
Petição 870190130980, de 10/12/2019, pág. 35/175
30/134 terminal é a mesma que a chave de proteção de integridade de plano de sinalização usada pela estação de base para o AS SMC. Opcionalmente, após a etapa 203, o método inclui adicionalmente a etapa 204: O dispositivo terminal envia uma conclusão de comando de modo de segurança de AS (Security Mode Command Complete, SMP) para a estação de base.
[0099] Opcionalmente, o dispositivo terminal pode realizar proteção de criptografia e/ou integridade no AS SMP usando a chave relacionada ao plano de sinalização gerada. Opcionalmente, após a estação de base verificar se a proteção de criptografia e de integridade na mensagem AS SMP estão corretas, a estação de base encaminha as primeiras informações de aceitação de registro recebidas para o dispositivo terminal, ou converte a primeira mensagem de aceitação de registro em certa medida, por exemplo, realiza conversão de formato na primeira mensagem de aceitação de registro com base em interfaces diferentes para obter uma segunda mensagem de aceitação de registro (Registration Accept), e envia a segunda mensagem de aceitação de registro para o dispositivo terminal. Em seguida, opcionalmente, o dispositivo terminal retorna conclusão de registro (Registration Complete) para a AMF.
[0100] Com base no exemplo acima, pode ser aprendido que, nesta modalidade deste pedido, apenas um objetivo de negociar o algoritmo de segurança de plano de sinalização alvo pela estação de base e pelo dispositivo terminal é implementado usando o procedimento de AS SMC, e o algoritmo de segurança de plano de sinalização e o algoritmo de segurança de plano de usuário são dissociados. O algoritmo de segurança de plano de sinalização e o algoritmo de segurança de plano de usuário podem ser determinados separadamente, melhorando assim a flexibilidade da comunicação.
[0101] Além disso, no exemplo anterior, uma solução opcional é a seguinte: O dispositivo terminal relata, por enviar uma solicitação de registro, o algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal. Opcionalmente, o dispositivo terminal também pode adicionar o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal à solicitação de registro para relatório. Para uma solução de relatório opcional específica, consulte a modalidade anterior, e os detalhes não são descritos aqui novamente.
Petição 870190130980, de 10/12/2019, pág. 36/175
31/134
[0102] Opcionalmente, o algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal também pode ser classificado em um algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal em um estrato NAS e em um algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal em um estrato AS. O algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal no estrato AS também pode ser referido como um algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal em uma camada RRC. Ao relatar o algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal, o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, o dispositivo terminal pode adicionar informações de indicação a cada algoritmo de segurança. Alternativamente, alguns campos podem ser predefinidos, e uma maneira de colocar um algoritmo correspondente em um campo correspondente é usada para identificar se cada algoritmo de segurança pertence ao plano de sinalização ou ao plano de usuário ou pertence ao estrato NAS ou estrato AS. Por exemplo, um campo é predefinido para colocar o algoritmo de segurança de plano de sinalização e outro campo é predefinido para colocar o algoritmo de segurança de plano de usuário. Por outro exemplo, um campo é predefinido para colocar um algoritmo de segurança no estrato NAS e outro campo é predefinido para colocar um algoritmo de segurança no estrato AS. Alternativamente, o dispositivo terminal relata todos os algoritmos de segurança suportados pelo dispositivo terminal à AMF, e a AMF, em vez do dispositivo terminal distingue se os algoritmos de segurança pertencem ao plano de sinalização ou ao plano de usuário. Alternativamente, a AMF encaminha os algoritmos de segurança para a estação de base, e a estação de base realiza distinção.
[0103] Correspondentemente, quando a AMF envia a primeira mensagem de aceitação de registro para a estação de base, todos os algoritmos de segurança relatados pelo dispositivo terminal podem ser enviados para a estação de base, como o algoritmo de segurança de plano de sinalização, o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e pelo algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal. Alternativamente, apenas o algoritmo de
Petição 870190130980, de 10/12/2019, pág. 37/175
32/134 segurança de plano de sinalização que é suportado pelo dispositivo terminal e que é requerido pela estação de base para negociar o algoritmo de segurança de plano de sinalização alvo é enviado para a estação de base. Alternativamente, apenas o algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal na camada RRC é transmitido.
[0104] Para ser compatível com a técnica anterior, opcionalmente, a estação de base pode adicionar, à mensagem AS SMC, informações de indicação para negociar apenas o algoritmo de segurança de plano de sinalização alvo. Após o dispositivo terminal analisar a mensagem AS SMC e descobre que as informações de indicação para negociar apenas o algoritmo de segurança de plano de sinalização alvo existem, o dispositivo terminal gera a chave relacionada ao plano de sinalização com base apenas no algoritmo de segurança de plano de sinalização alvo determinado. Deste modo, apenas um conjunto de algoritmos de segurança de plano de sinalização alvo é negociado entre o dispositivo terminal e a estação de base. Se o dispositivo terminal descobrir que as informações de indicação para negociar apenas o algoritmo de segurança de plano de sinalização alvo não existem após analisar as informações de AS SMC, o dispositivo terminal determina o algoritmo de segurança de plano de sinalização alvo determinado como um algoritmo de segurança alvo, e o algoritmo de segurança alvo é usado para gerar a chave relacionada ao plano de sinalização e uma chave relacionada ao plano de usuário. A chave relacionada ao plano de usuário inclui uma chave de criptografia de plano de usuário e uma chave de proteção de integridade de plano de usuário. A chave relacionada ao plano de sinalização inclui uma chave de criptografia de plano de sinalização e uma chave de proteção de integridade de plano de sinalização. Deste modo, um conjunto de algoritmos de segurança de plano de sinalização alvo e um conjunto de algoritmos de segurança de plano de usuário alvo são negociados entre o dispositivo terminal e a estação de base.
[0105] Opcionalmente, para ser compatível com a técnica anterior, a estação de base pode adicionar, às informações de AS SMC, informações de indicação usadas para indicar a negociação de algoritmo de segurança de plano de sinalização alvo e/ou informações de indicação usadas para indicar a negociação da chave relacionada ao plano de usuário. Por exemplo, um bit é adicionado, e o bit pode ser adicionado ou obtido novamente pela reutilização de
Petição 870190130980, de 10/12/2019, pág. 38/175
33/134 um bit atual. Por exemplo, se o bit for 0, isso indica que apenas o algoritmo de segurança de plano de sinalização alvo deve ser negociado; ou se o bit for 1, indica que o algoritmo de segurança de plano de sinalização alvo e a chave relacionada ao plano de usuário devem ser negociados.
[0106] Nesta modalidade deste pedido, o algoritmo de segurança de plano de sinalização alvo inclui o algoritmo de proteção de integridade de plano de sinalização alvo e o algoritmo de criptografia de plano de sinalização alvo. Opcionalmente, dois diferentes algoritmo de proteção de integridade de plano de sinalização alvo e algoritmo de criptografia de plano de sinalização alvo podem ser negociados usando o procedimento de AS SMC, ou um algoritmo de segurança de plano de sinalização alvo é negociado e usado como o algoritmo de proteção de integridade de plano de sinalização alvo e o algoritmo de criptografia de plano de sinalização alvo.
[0107] Em outra solução de implementação opcional, pelo menos um do algoritmo de proteção de integridade de plano de sinalização alvo e o algoritmo de criptografia de plano de sinalização alvo pode ser negociado usando o procedimento de AS SMC, e o outro algoritmo de segurança de plano de sinalização alvo pode ser negociado usando outro procedimento.
[0108] Opcionalmente, o algoritmo de segurança de plano de sinalização alvo negociado pela estação de base e pelo dispositivo terminal pode ser indicado usando um identificador do algoritmo. Em uma solução de implementação opcional, independentemente do algoritmo de proteção de integridade de plano de sinalização alvo ser igual ou diferente do algoritmo de criptografia de plano de sinalização alvo, o algoritmo de proteção de integridade de plano de sinalização alvo e o algoritmo de criptografia de plano de sinalização alvo são indicados usando identificadores de dois algoritmos. Em outra solução de implementação opcional, se o algoritmo de proteção de integridade de plano de sinalização alvo for o mesmo que o algoritmo de criptografia de plano de sinalização alvo, um identificador de um algoritmo pode ser usado para indicar o algoritmo de proteção de integridade de plano de sinalização alvo e o algoritmo de criptografia de plano de sinalização alvo; e se o algoritmo de proteção de integridade de plano de sinalização alvo for diferente do algoritmo de criptografia de plano de sinalização alvo, identificadores de dois algoritmos serão usados para indicar o algoritmo de proteção de integridade de plano de sinalização alvo
Petição 870190130980, de 10/12/2019, pág. 39/175
34/134 e o algoritmo de criptografia de plano de sinalização alvo.
[0109] Em outra solução opcional, esta modalidade deste pedido inclui o algoritmo de segurança de plano de sinalização alvo e o algoritmo de segurança de plano de usuário alvo. Em uma solução de implementação opcional, independentemente do algoritmo de segurança de plano de sinalização alvo ser igual ou diferente do algoritmo de segurança de plano de usuário alvo, o algoritmo de segurança de plano de sinalização alvo e o algoritmo de segurança de plano de usuário alvo são indicados usando identificadores de dois conjuntos de algoritmos. Em outra solução de implementação opcional, se o algoritmo de segurança de plano de sinalização alvo for o mesmo que o algoritmo de segurança de plano de usuário alvo, identificadores de um conjunto de algoritmos podem ser usados para indicar o algoritmo de segurança de plano de sinalização alvo e o algoritmo de segurança de plano de usuário alvo; e se o algoritmo de segurança de plano de sinalização alvo for diferente do algoritmo de segurança de plano de usuário alvo, identificadores de dois conjuntos de algoritmos serão usados para indicar o algoritmo de segurança de plano de sinalização alvo e o algoritmo de segurança de plano de usuário alvo. Identificadores de um conjunto de algoritmos correspondentes ao algoritmo de segurança de plano de sinalização alvo incluem um identificador de pelo menos um algoritmo de proteção de integridade de plano de sinalização alvo e um identificador de pelo menos um algoritmo de criptografia de plano de sinalização alvo. De acordo com o exemplo anterior, nos identificadores de um conjunto de algoritmos correspondentes ao algoritmo de segurança de plano de sinalização alvo, um identificador de um algoritmo ou identificadores de dois algoritmos podem ser usados para representar o algoritmo de proteção de integridade de plano de sinalização alvo e o algoritmo de criptografia de plano de sinalização alvo. Correspondentemente, os identificadores de um conjunto de algoritmos correspondentes ao algoritmo de segurança de plano de usuário alvo incluem um identificador de pelo menos um algoritmo de proteção de integridade de plano de usuário alvo e um identificador de pelo menos um algoritmo de criptografia de plano de usuário alvo. De acordo com o exemplo anterior, nos identificadores de um conjunto de algoritmos correspondentes ao algoritmo de segurança de plano de usuário alvo, um identificador de um algoritmo ou identificadores de dois algoritmos podem ser usados para representar o algoritmo de proteção de
Petição 870190130980, de 10/12/2019, pág. 40/175
35/134 integridade de plano de sinalização alvo e o algoritmo de criptografia de plano de usuário alvo.
[0110] A Figura 2a mostra um exemplo de um fluxograma esquemático de outro método de comunicação de acordo com uma modalidade deste pedido.
[0111] Com base na descrição anterior, esta modalidade deste pedido fornece outro método de comunicação. Como mostrado na Figura 2a, o método inclui as seguintes etapas.
[0112] Opcionalmente, etapa 211: Uma entidade SMF recebe uma mensagem de solicitação, onde a mensagem de solicitação pode incluir um identificador de um dispositivo terminal. Opcionalmente, a mensagem de solicitação recebida pela entidade SMF pode incluir uma variedade de tipos, como uma solicitação de registro (Registration Request), uma solicitação de serviço (Service Request) ou uma solicitação de estabelecimento de sessão (Session Establishment Request). A solicitação de estabelecimento de sessão também pode ser chamada de solicitação de estabelecimento de sessão de PDU.
[0113] Opcionalmente, se a mensagem de solicitação for uma solicitação de serviço, a solicitação de serviço pode primeiro ser enviada pelo dispositivo terminal para uma estação de base, a estação de base encaminha a solicitação de serviço para uma AMF e, em seguida, a AMF encaminha diretamente a solicitação de serviço. Encaminhar significa enviar a mensagem para a AMF sem alterar o conteúdo da mensagem original. Quando a mensagem é enviada à AMF, outro parâmetro pode ser adicionado com base em um fator como uma interface ou a mensagem é convertida com base nas informações de interface e depois enviada à SMF. Se uma interface entre a estação de base e a AMF for uma interface N2 e uma interface entre a AMF e a SMF for N11, a solicitação de serviço encaminhada pela estação de base para a AMF é uma solicitação que corresponde à interface N2, e a solicitação de serviço encaminhada pela AMF à SMF é uma solicitação que corresponde à interface N11. A solicitação de serviço é uma solicitação de estrato NAS. Opcionalmente, a mensagem de solicitação pode ser, alternativamente, uma solicitação de registro.
[0114] Opcionalmente, se a mensagem de solicitação for uma
Petição 870190130980, de 10/12/2019, pág. 41/175
36/134 solicitação de estabelecimento de sessão, a solicitação de estabelecimento de sessão pode primeiro ser enviada pelo dispositivo terminal à AMF e, em seguida, a AMF encaminha diretamente a solicitação de estabelecimento de sessão. Encaminhar significa enviar a mensagem para a AMF sem alterar o conteúdo da mensagem original. Quando a mensagem é enviada à AMF, outro parâmetro pode ser adicionado com base em um fator como uma interface ou a mensagem é convertida com base nas informações de interface e depois enviada à SMF.
[0115] Opcionalmente, antes do dispositivo terminal enviar a solicitação de estabelecimento de sessão, o dispositivo terminal pode estar em um estado desconectado de conexão de sessão. Opcionalmente, o dispositivo terminal e a estação de base podem realizar o procedimento de registro na etapa anterior novamente, ou seja, o dispositivo terminal pode enviar uma solicitação de registro a estação de base, para implementar o registro do dispositivo terminal e renegociar um algoritmo de segurança de plano de sinalização alvo entre o dispositivo terminal e a estação de base em um AS SMC e um AS SMP no procedimento de registro.
[0116] Na etapa anterior, o identificador do dispositivo terminal pode incluir qualquer um ou mais de um I MSI, IMEI ou identidade temporária.
[0117] Etapa 212: A entidade SMF obtém uma política de segurança ou um identificador da política de segurança com base em um parâmetro relacionado à política de segurança.
[0118] Etapa 213: A entidade SMF envia a política de segurança ou o identificador da política de segurança para uma estação de base, onde a política de segurança inclui informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para o dispositivo terminal.
[0119] Opcionalmente, a SMF ou outro elemento de rede conectado à SMF armazena uma correspondência entre a política de segurança e o identificador da política de segurança. Nesse caso, a política de segurança é completamente pré-configurada na SMF, na estação de base, no UE ou em outro elemento de rede conectado à SMF. Por exemplo, a política de segurança é configurada com base em um serviço específico, como uma política de segurança de um serviço de voz VoIP. Por exemplo, a política de segurança é configurada com base em um fornecedor de serviços, como uma planta de
Petição 870190130980, de 10/12/2019, pág. 42/175
37/134 hidrômetro. Existe uma pluralidade de bases de configuração, que não estão listadas uma por uma aqui. Após a SMF determinar a política de segurança para o dispositivo terminal usando o identificador ou outro parâmetro do dispositivo terminal, o identificador da política de segurança que é correspondente à política de segurança pode ser obtido. A SMF transmite o identificador da política de segurança para a estação de base, e a estação de base pode realizar proteção de segurança de plano de usuário com base na política de segurança correspondente ao identificador da política de segurança. Por exemplo, a correspondência entre a política de segurança e o identificador da política de segurança é pré-configurada na SMF, e a SMF determina o identificador da política de segurança com base no conteúdo da mensagem de solicitação de serviço, por exemplo, o identificador do dispositivo terminal. Por outro exemplo, se a correspondência entre a política de segurança e o identificador da política de segurança for pré-configurada em uma PCF, a SMF precisará obter o identificador da política de segurança a partir de um PDC. Por outro exemplo, ambas a SMF e a PCF têm um identificador pré-configurado da política de segurança, e o identificador da política de segurança que é pré-configurado na PCF pode cobrir o identificador da política de segurança que é configurado na SMF, ou seja, a SMF transmite o identificador da política de segurança que é obtido a partir da PCF para a estação de base.
[0120] Em uma implementação opcional, a entidade SMF envia diretamente a política de segurança ou o identificador da política de segurança para a estação de base. Por exemplo, a entidade SMF envia a política de segurança correspondente ao identificador do dispositivo terminal para a estação de base com base no identificador do dispositivo terminal e em uma relação predefinida entre o dispositivo terminal e o identificador da política de segurança. A política de segurança predefinida pode ser predefinida na SMF ou predefinida na PCF ou em outro elemento de rede. A política de segurança predefinida e o identificador da política de segurança podem ser predefinidos na SMF ou podem ser predefinidos na PCF ou em outro elemento de rede. Em outra implementação opcional, após a entidade SMF receber a mensagem de solicitação e antes que a entidade SMF envie a política de segurança ou o identificador da política de segurança para a estação de base com base na mensagem de solicitação, o método inclui adicionalmente que a entidade SMF obtenha a política de
Petição 870190130980, de 10/12/2019, pág. 43/175
38/134 segurança com base na mensagem de solicitação. Em outra implementação opcional, após a entidade SMF receber a mensagem de solicitação e antes que a entidade SMF envie a política de segurança ou o identificador da política de segurança para a estação de base com base na mensagem de solicitação, o método inclui adicionalmente que a SMF obtenha o identificador da política de segurança com base na política de segurança.
[0121] Em outro aspecto, opcionalmente, a política de segurança identificada pelo identificador da política de segurança ou a política de segurança enviada pela entidade SMF para a estação de base pode ser uma política de segurança gerada anteriormente ou uma política de segurança gerada recentemente.
[0122] Na etapa 213, a entidade SMF envia a política de segurança ou o identificador da política de segurança para a estação de base em uma pluralidade de formas. Por exemplo, a entidade SMF pode gerar a política de segurança com base no parâmetro relacionado à política de segurança. Por exemplo, a política de segurança pode ser gerada com base no identificador do dispositivo terminal ou em um identificador de sessão, ou algumas regras de geração podem ser predefinidas ou todas as políticas de segurança podem ser pré-configuradas.
[0123] Opcionalmente, a estação de base pode enviar, com base em algumas informações portadas na mensagem de solicitação, uma política de segurança ou um identificador da política de segurança aplicável ao dispositivo terminal ou a mensagem de solicitação atual do dispositivo terminal. Opcionalmente, o parâmetro relacionado à política de segurança inclui pelo menos um do identificador do dispositivo terminal, um nome de rede de dados (data network name, DNN) do dispositivo terminal, um identificador de uma fatia do dispositivo terminal, qualidade de serviço do dispositivo terminal, e um identificador de sessão do dispositivo terminal. Opcionalmente, o parâmetro relacionado à política de segurança inclui pelo menos um do identificador do dispositivo terminal, o DNN do dispositivo terminal, o identificador da fatia do dispositivo terminal, a qualidade de serviço do dispositivo terminal, o identificador de sessão do dispositivo terminal, e um identificador de fluxo do dispositivo terminal.
[0124] Um relacionamento de associação nesta modalidade deste
Petição 870190130980, de 10/12/2019, pág. 44/175
39/134 pedido pode incluir uma correspondência, ou pode incluir algumas regras, ou pode incluir uma relação entre algumas correlações. Por exemplo, uma correspondência entre o parâmetro relacionado e a política de segurança pode ser predefinida e, em seguida, é encontrada uma política de segurança correspondente ao parâmetro relacionado. Por exemplo, uma política de segurança correspondente ao identificador da fatia é determinada com base no identificador da fatia. Por outro exemplo, uma política de segurança correspondente ao identificador de sessão é determinada com base no identificador de sessão. Por outro exemplo, uma política de segurança correspondente ao identificador de sessão e ao identificador da fatia é determinada com base em uma relação de associação entre o identificador de sessão, o identificador da fatia e a política de segurança.
[0125] Em outra implementação opcional, o parâmetro relacionado à política de segurança inclui o identificador do dispositivo terminal, e a entidade SMF obtém a política de segurança com base no identificador do dispositivo terminal e em uma relação de associação entre o identificador do dispositivo terminal e a política de segurança. Por exemplo, a correspondência entre o dispositivo terminal e a política de segurança pode ser armazenada na SMF ou em outro elemento de rede conectado à SMF. Por exemplo, há uma correspondência entre o dispositivo terminal e a política de segurança. Por exemplo, nos dados de assinatura de usuário, há uma correspondência entre um IMSI e uma política de segurança. Portanto, diferentes políticas de segurança podem ser definidas para diferentes dispositivos terminais, com base em alguns requisitos de desempenho de serviço dos dispositivos terminais e similares.
[0126] Para outro exemplo, uma relação de associação entre o identificador do dispositivo terminal e a política de segurança pode ser predefinida. Por exemplo, o identificador do dispositivo terminal está associado a uma pluralidade de políticas de segurança e, em seguida, uma política de segurança pode ser selecionada a partir da pluralidade de políticas de segurança associadas ao identificador do dispositivo terminal, ou a política de segurança pode ser adicionalmente determinada com base em outro parâmetro, no parâmetro relacionado, diferente do identificador do dispositivo terminal. Por exemplo, uma política de segurança associada ao identificador de sessão é selecionada a partir da pluralidade de políticas de segurança associadas ao
Petição 870190130980, de 10/12/2019, pág. 45/175
40/134 identificador do dispositivo terminal em combinação com o identificador de sessão. Por outro exemplo, um identificador de fluxo da qualidade de serviço é determinado com base na qualidade de serviço e, em seguida, uma política de segurança da qualidade de serviço correspondente é determinada com base no identificador de fluxo da qualidade de serviço.
[0127] Por exemplo, um dispositivo terminal da Internet das Coisas é responsável apenas pela leitura e envio de dados de um hidrômetro, ou seja, o envio dos dados do hidrômetro para uma usina mensalmente em uma data fixa. Portanto, uma política de segurança do dispositivo terminal é fixa, um identificador do dispositivo terminal pode ser configurado para corresponder a uma política de segurança e, opcionalmente, a política de segurança pode ser obtida a partir dos dados de assinatura de usuário armazenados em um UDM.
[0128] Para descrever mais claramente esta modalidade deste pedido, a seguir, são descritos detalhadamente vários exemplos de envio da política de segurança ou o identificador da política de segurança com base no parâmetro relacionado. Para detalhes, consulte a seguinte implementação a1, implementação a2, implementação a3 e implementação a4.
[0129] Implementação a1
[0130] Um identificador de uma fatia de um dispositivo terminal é informações sobre uma fatia acessada pelo dispositivo terminal em um cenário de aplicação 5G e é usado para indicar uma fatia à qual o dispositivo terminal deve acessar.
[0131] Um parâmetro relacionado a uma política de segurança inclui o identificador da fatia do dispositivo terminal, e uma entidade SMF obtém a política de segurança com base no identificador da fatia do dispositivo terminal e uma relação de associação entre o identificador da fatia e a política de segurança. Especificamente, um dispositivo terminal pode corresponder a um identificador de pelo menos uma fatia. Por exemplo, o dispositivo terminal pode acessar diferentes fatias, e os dados de plano de usuário do dispositivo terminal podem corresponder a diferentes políticas de segurança nas diferentes fatias.
[0132] O dispositivo terminal adiciona informações de assistência de seleção de fatia (network slice selection assistance information, NSSAI) a uma mensagem SR ou a uma solicitação de estabelecimento de sessão de PDU (session establishment request). A SMF obtém uma política de segurança
Petição 870190130980, de 10/12/2019, pág. 46/175
41/134 correspondente à NSSAI. Se uma política de segurança de uma fatia correspondente à NSSAI for única, uma política de segurança obtida pelo dispositivo terminal ao acessar a fatia é única. Se as informações da NSSAI incluírem pelo menos uma fatia, uma fatia precisa ser selecionada com base em uma política de segurança da fatia atualmente acessada pelo dispositivo terminal (as políticas de segurança de diferentes fatias podem ser diferentes). Se a política de segurança da fatia atual for única após a determinação da fatia acessada, a política de segurança obtida pelo dispositivo terminal ao acessar a fatia será única. Se a política de segurança da fatia atual não for única, o dispositivo terminal precisará determinar melhor a política de segurança com base em outras informações. Existe uma pluralidade de implementações em que o dispositivo terminal precisa adicionalmente determinar a política de segurança com base em outras informações. Por exemplo, o dispositivo terminal faz a seleção com base em pelo menos um identificador, no parâmetro relacionado, diferente do identificador da fatia, por exemplo, usando o identificador do dispositivo terminal ou o identificador de sessão.
[0133] Implementação a2
[0134] Um identificador de sessão de um dispositivo terminal é um identificador de sessão correspondente a uma sessão correspondente a uma mensagem de solicitação atual do dispositivo terminal. Por exemplo, que o dispositivo terminal realiza um serviço de Internet (Internet) (como navegar em uma página da Web, assistir a um vídeo e conversar usando o WeChat) é uma sessão. O dispositivo terminal acessa uma intranet de uma empresa na qual o dispositivo terminal está localizado e usa um serviço específico de empresa (por exemplo, uma reunião da empresa), e essa é outra sessão. O dispositivo terminal acessa uma rede para fazer uma chamada VoIP, e esta é outra sessão. Aqui, um identificador de sessão do serviço de acesso à Internet (Internet) pode ser definido como 1; um identificador de sessão da intranet da empresa é 2; e um identificador de sessão da chamada VoIP é 3.
[0135] Um parâmetro relacionado a uma política de segurança inclui o identificador de sessão do dispositivo terminal, e uma entidade SMF obtém a política de segurança com base no identificador de sessão do dispositivo terminal e uma relação de associação entre o identificador de sessão e a política de segurança. Dessa maneira, para um mesmo dispositivo terminal, quando o
Petição 870190130980, de 10/12/2019, pág. 47/175
42/134 dispositivo terminal inicia sessões diferentes, políticas de segurança diferentes podem ser selecionadas para as diferentes sessões.
[0136] Por exemplo, existe um dispositivo terminal normal, e o dispositivo terminal permite apenas serviços de fazer uma chamada e enviar uma mensagem SMS. Os dois serviços pertencem respectivamente a duas sessões. Portanto, as políticas de qualidade de serviço e segurança são diferentes, dependendo das diferentes sessões. Para o serviço de fazer uma chamada, a proteção de integridade de plano de usuário não precisa ser habilitada e a combinação de chaves não é necessária. Um algoritmo de criptografia de plano de usuário de 128 bits é usado e o comprimento de chave de criptografia de plano de usuário é de 128 bits. Para o serviço de mensagens SMS, a proteção de integridade de plano de usuário precisa estar habilitada e a combinação de chaves é necessária. É usado um algoritmo de criptografia de plano de usuário de 128 bits, uma chave de criptografia de plano de usuário de 128 bits (bit), um algoritmo de proteção de integridade de plano de usuário de 256 bits e uma chave de proteção de integridade de plano de usuário de 256 bits.
[0137] Por exemplo, um serviço correspondente ao identificador de sessão é um serviço de latência ultrabaixa. Para garantir uma baixa latência, a política de segurança precisa usar um algoritmo de proteção de integridade de plano de usuário e um algoritmo de criptografia de plano de usuário que tenham um nível de segurança relativamente baixo, como um algoritmo de proteção de integridade de plano de usuário e algoritmo de criptografia de plano de usuário de 128 bits, e uma chave de proteção de integridade de plano de usuário e chave de criptografia de plano de usuário de 128 bits; ou nenhum algoritmo de proteção de integridade ou algoritmo de proteção de plano de usuário está habilitado. Por outro exemplo, o serviço correspondente ao identificador de sessão é um serviço com um requisito de alta confiabilidade. Em seguida, não apenas uma chave de criptografia de plano de usuário é necessária para a proteção de criptografia, mas também uma chave de proteção de integridade de plano de usuário para a proteção de integridade. Além disso, um algoritmo de proteção de integridade de plano de usuário e um algoritmo de criptografia de plano de usuário que possuem um nível de segurança relativamente alto, como um algoritmo de proteção de integridade de plano de usuário e algoritmo de criptografia de plano de usuário de 256 bits, e uma chave de integridade de plano de usuário e chave de
Petição 870190130980, de 10/12/2019, pág. 48/175
43/134 criptografia de plano de usuário de 256 bits precisam ser selecionadas. Por outro exemplo, o serviço correspondente ao identificador de sessão é um serviço comum, como um serviço de voz. Então, somente a proteção de chave de criptografia de plano de usuário pode ser necessária e a proteção de integridade de plano de usuário não é necessária. Além disso, um algoritmo de criptografia de plano de usuário de 256 bits pode ser necessário, mas uma chave de criptografia de plano de usuário de 128 bits é suficiente. Pode ser aprendido que, nesta modalidade deste pedido, diferentes políticas de segurança podem ser selecionadas dependendo de diferentes serviços, para satisfazer um requisito dinâmico de segurança de plano de usuário.
[0138] Implementação a3
[0139] Após acessar uma fatia, um dispositivo terminal pode iniciar uma pluralidade de sessões. Portanto, um identificador de uma fatia pode corresponder a uma pluralidade de identificadores de sessão. Uma correspondência aqui descrita é uma correspondência lógica. Em uma aplicação real, isso não significa necessariamente que uma correspondência entre o identificador de sessão e o identificador da fatia possa ser especificada.
[0140] Uma entidade SMF obtém uma política de segurança correspondente ao identificador da fatia e o identificador de sessão com base em uma relação de associação entre um identificador do dispositivo terminal, o identificador da fatia, o identificador de sessão e a política de segurança. Dessa maneira, a divisão de uma granularidade mais fina pode ser obtida e uma política de segurança é selecionada separadamente para diferentes sessões iniciadas em uma mesma fatia acessada por um mesmo dispositivo terminal.
[0141] Implementação a4
[0142] Opcionalmente, uma entidade SMF obtém uma política de segurança de um dispositivo terminal com base em uma relação de associação entre um identificador de fluxo e a política de segurança. Dessa maneira, a divisão de uma granularidade mais fina pode ser obtida e uma política de segurança é selecionada separadamente com base no conteúdo específico de uma mesma sessão iniciada na mesma rede acessada por um mesmo dispositivo terminal.
[0143] Por exemplo, o dispositivo terminal suporta um serviço de acesso à Internet. Portanto, um fluxo de dados de acesso à Internet pode ser
Petição 870190130980, de 10/12/2019, pág. 49/175
44/134 navegar em uma página da web ou assistir a um vídeo. Para este dispositivo terminal, o serviço de acesso à Internet pertence a uma sessão 1. Em seguida, navegar em uma página da web é um fluxo 1 e assistir a um vídeo é um fluxo 2. A SMF configura a qualidade de serviço para o fluxo 1 ao descobrir que há não há qualidade de serviço que suporte o fluxo 1. O fluxo 2 tem o mesmo caso. Se a SMF descobrir que a qualidade de serviço do fluxo 1 e do fluxo 2 está disponível, a SMF envia diretamente a qualidade de serviço para uma estação de base.
[0144] Implementação a4
[0145] Um parâmetro relacionado a uma política de segurança inclui a qualidade de serviço de um dispositivo terminal, e uma entidade SMF obtém a política de segurança com base na qualidade de serviço do dispositivo terminal. Opcionalmente, alguma qualidade de serviço correspondente a um identificador do dispositivo terminal pode ser obtida com base no identificador do dispositivo terminal incluído em uma mensagem de solicitação. Por exemplo, a qualidade de serviço é que o dispositivo terminal requer uma baixa latência, alta segurança e similares. Em seguida, um conjunto de políticas de segurança é definido para o dispositivo terminal com base na qualidade de serviço. Nesta modalidade deste pedido, a política de segurança pode ser pré-configurada na SMF ou em uma PCF, ou a qualidade de serviço correspondente a um DNN pode ser obtida de uma UPF e/ou de um UDM e, em seguida, uma política de segurança é obtida com base na qualidade de serviço. A qualidade de serviço padrão é inserida no UDM no momento da assinatura. A UPF pode aprender sobre a qualidade de serviço dinâmica de uma chamada de processamento de rede externa ou uma mensagem SMS, ou pode aprender sobre a qualidade de serviço dinâmica a partir da PCF, ou pode pré-configurar a qualidade de serviço dinâmica.
[0146] Opcionalmente, o parâmetro relacionado à política de segurança inclui um DNN do dispositivo terminal, e um conjunto de políticas de segurança é correspondentemente definido com base no DNN. Por exemplo, o DNN é Youku. Existem muitos serviços de vídeo na rede Youku e, portanto, uma política de segurança definida para o dispositivo terminal pode ter uma latência menor. Por outro exemplo, o DNN é um site relacionado a finanças e, portanto, uma política de segurança definida para o dispositivo terminal precisa ter maior segurança.
Petição 870190130980, de 10/12/2019, pág. 50/175
45/134
[0147] Além disso, a qualidade de serviço correspondente ao DNN pode ser obtida com base no DNN a partir de um elemento de rede principal, como a PCF/a UPF ou o UDM. A qualidade de serviço porta uma política de segurança, ou uma política de segurança é posteriormente definida com base na qualidade de serviço. Qualidade de serviço obtida a partir da PCF são informações de qualidade de serviço dinâmicas, e qualidade de serviço obtida a partir do UDM são informações de qualidade de serviço padrões no momento da assinatura de usuário.
[0148] Opcionalmente, a SMF pode obter informações do UDM enviando uma solicitação de dados de assinatura (Subscription Data Request) ao UDM, e recebendo uma resposta de dados de assinatura (Subscription Data Response) a partir do UDM. A SMF pode obter informações da PCF usando informações de modificação de sessão de PDU-CAN (PDU-CAN session modification). A SMF pode obter informações a partir da UPF enviando uma solicitação de estabelecimento/modificação de sessão (Session Establishment/Modification Request) para a UPF e recebendo uma resposta de estabelecimento/modificação de sessão (Session Establishment/Modification Response) a partir do UDM.
[0149] Na implementação a4, a qualidade de serviço pode ser identificada usando um identificador (Identification, ID) por um fluxo de qualidade de serviço (Quality of Service flow, QoS flow), que pode ser chamado de ID de fluxo de QoS, QFI para abreviar. Nesta modalidade deste pedido, um perfil de qualidade de serviço (QoS profile) é identificado usando o QFI.
[0150] A qualidade de serviço pode incluir uma pluralidade de parâmetros, como um indicador de 5G QoS (QoS, 5QI indicator). O 5QI é usado para identificar características de desempenho (Performance Characteristics), que podem incluir qualquer um ou mais de um tipo de recurso ((Taxa de bits de fluxo garantida, GBR) ou Não-GBR), um grau de latência de pacote, e uma taxa de erro de bit, e pode adicionalmente incluir outro parâmetro. O 5QI é um parâmetro básico usado por um elemento de rede para alocar um recurso à qualidade de serviço.
[0151] A qualidade de serviço pode adicionalmente incluir uma Prioridade de alocação e retenção (allocation and retention Priority, ARP), e a prioridade pode ser identificada por 1 a 15, indicando uma prioridade da
Petição 870190130980, de 10/12/2019, pág. 51/175
46/134 solicitação de um recurso pela qualidade de serviço e se o estabelecimento de um portador de rádio de dados pode ser rejeitado devido a uma restrição de recursos.
[0152] A qualidade de serviço pode adicionalmente incluir dois parâmetros, usados para definir se um recurso (por exemplo, um portador de rádio de dados) correspondente a outra qualidade de serviço pode ser antecipado ou se um portador de rádio de dados estabelecida para a qualidade de serviço pode ser impedida por outra qualidade de serviço.
[0153] Opcionalmente, para conteúdo de dados com uma GBR, a qualidade de serviço pode adicionalmente incluir: uma taxa de bits de fluxo garantida GBR (Guaranteed flow bit rate), que pode ser usada para enlace ascendente e enlace descendente. O conteúdo dos dados com a GBR pode ser uma sessão ou um fluxo, e os dados da GBR têm um nível de serviço correspondente. Diferentes níveis de serviço também podem corresponder a diferente qualidade de serviço. Dados não GBR correspondem a um nível de serviço padrão. Por exemplo, para um operador, a realização de chamadas precisa ser garantida. Portanto, a realização de chamadas tem uma garantia de GBR. Para um serviço de mensagem SMS comum, ou seja, não GBR, uma pequena latência não será um problema. Além disso, por exemplo, se um serviço do operador for comprado para um jogo Tencent, um fluxo de serviço não GBR do jogo Tencent se tornará GBR.
[0154] Opcionalmente, a qualidade de serviço inclui adicionalmente uma taxa de bits de fluxo máxima (Maximum Flow Bit Rate, MFBR) e todos os fluxos (flow) de uma sessão se somam e não podem exceder a taxa. Quando a taxa for excedida, consulte o ARP para determinar se deve rejeitar o estabelecimento ou se deve antecipar outro recurso.
[0155] Opcionalmente, a qualidade de serviço inclui adicionalmente o controle de notificação (notification control). Esta configuração é habilitada ou desabilitada. Se um portador de rádio de dados não puder ser configurado para a qualidade de serviço, é necessário determinar, com base em ligar/desligar o controle de notificação, se o dispositivo terminal deve ser notificado.
[0156] Opcionalmente, a política de segurança inclui adicionalmente pelo menos um dos seguintes conteúdos: informações de indicação de criptografia, onde as informações de indicação de criptografia são usadas para
Petição 870190130980, de 10/12/2019, pág. 52/175
47/134 indicar a estação de base para habilitar proteção de criptografia para ο dispositivo terminal; um comprimento de chave; informações de indicação de DH, onde as informações de indicação de D-H são usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal; e um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço. Ou seja, a política de segurança pode adicionalmente incluir um ou mais de: se habilitar criptografia de plano de usuário, se habilitar proteção de integridade de plano de usuário, se usar um algoritmo de criptografia/descriptografia de 128 ou 256 bits, se usar um comprimento de chave de 128 ou 256 bits e se habilitar combinação de chaves. Alguns exemplos específicos são fornecidos. Por exemplo, bits são usados para indicar conteúdo incluído na política de segurança. Por exemplo, uma sequência de bits 0000000 indica para não habilitar proteção de criptografia de plano de usuário, e não habilitar proteção de integridade de plano de usuário. Porque ambas não estão habilitadas, existem todos os 0. Por outro exemplo, uma sequência de bits 1010100 indica para habilitar proteção de criptografia de plano de usuário, mas para não habilitar proteção de integridade de plano de usuário, para usar um algoritmo de criptografia de 128 bits e para não habilitar a combinação de chaves. Deve ser notado que apenas exemplos são dados e todos os exemplos que cumprem esta regra são cobertos por esta patente. Nesta modalidade deste pedido, a combinação de chaves refere-se a D-H, e D-H é um algoritmo de combinação de chaves.
[0157] Opcionalmente, quando a entidade SMF determina que as informações de indicação de criptografia precisam ser habilitadas na política de segurança do dispositivo terminal, a política de segurança pode adicionalmente incluir um algoritmo de criptografia de plano de usuário permitido pela rede de serviço. Alternativamente, o algoritmo de criptografia de plano de usuário permitido aparecer na política de segurança significa que criptografia de plano de usuário precisa estar habilitada. Opcionalmente, a rede de serviço é uma rede que fornece um serviço para o dispositivo terminal.
[0158] Opcionalmente, a política de segurança pode incluir um comprimento de chave do algoritmo de proteção de integridade de plano de usuário ou pode incluir um comprimento de chave do algoritmo de criptografia de plano de usuário. Alternativamente, o algoritmo de criptografia de plano de usuário permitido aparece na política de segurança e o algoritmo é de 256 bits,
Petição 870190130980, de 10/12/2019, pág. 53/175
48/134 indicando que um comprimento de chave de 256 bits é usado.
[0159] Opcionalmente, antes que a estação de base obtenha a política de segurança, o método inclui adicionalmente que a estação de base envie primeiras informações de indicação de prioridade a uma entidade de gerenciamento de acesso e mobilidade AMF. As primeiras informações de indicação de prioridade são usadas para indicar que o algoritmo de proteção de integridade de plano de usuário permitido pela estação de base não é classificado com base em uma prioridade.
[0160] Opcionalmente, a AMF encaminha as primeiras informações de indicação de prioridade para a SMF. Portanto, após obter as primeiras informações de indicação de prioridade, a SMF descobre que o algoritmo de proteção de integridade de plano de usuário permitido pela estação de base não é classificado com base em uma prioridade. Portanto, a SMF realiza a classificação de prioridade no algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço ou realiza a classificação de prioridade no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal. O algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal é obtido a partir da AMF.
[0161] Em outra implementação opcional, se a SMF não obtiver as primeiras informações de indicação de prioridade, ou a SMF descobrir, de outra maneira, que o algoritmo de proteção de integridade de plano de usuário permitido pela estação de base é classificado com base em uma prioridade, opcionalmente a SMF não realiza a classificação de prioridade no algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço. Opcionalmente, a classificação de prioridade pode ser realizada no algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço com base em muitos fatores, por exemplo, com base em fatores como uma preferência atual do operador e um ambiente de rede de serviço local.
[0162] Opcionalmente, antes que a estação de base obtenha a política de segurança, o método inclui adicionalmente que a estação de base envie segundas informações de indicação de prioridade à entidade de gerenciamento de acesso e mobilidade AMF. As segundas informações de indicação de prioridade são usadas para indicar se a criptografia de plano de usuário permitida pela estação de base não é classificada com base em uma prioridade.
Petição 870190130980, de 10/12/2019, pág. 54/175
49/134
[0163] Opcionalmente, a AMF encaminha as segundas informações de indicação de prioridade para a SMF. Portanto, após obter as segundas informações de indicação de prioridade, a SMF descobre que o algoritmo de criptografia de plano de usuário permitido pela estação de base não é classificado com base em uma prioridade. Portanto, a SMF realiza a classificação de prioridade no algoritmo de criptografia de plano de usuário permitido pela rede de serviço ou realiza a classificação de prioridade no algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal. O algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal é obtido a partir da AMF.
[0164] Em outra implementação opcional, se a SMF não obtiver as segundas informações de indicação de prioridade, ou a SMF descobrir, de outra maneira, que o algoritmo de criptografia de plano de usuário permitido pela estação de base é classificado com base em uma prioridade, opcionalmente a SMF não realiza a classificação de prioridade no algoritmo de criptografia de plano de usuário permitido pela rede de serviço. Opcionalmente, a classificação de prioridade pode ser realizada no algoritmo de criptografia de plano de usuário permitido pela rede de serviço com base em muitos fatores, por exemplo, com base em fatores como uma preferência atual do operador e um ambiente de rede de serviço local.
[0165] No exemplo anterior, a prioridade do algoritmo de criptografia de plano de usuário e a prioridade do algoritmo de proteção de integridade de plano de usuário são descritas separadamente. Em outra implementação opcional, uma parte das informações de indicação é usada para indicar prioridades do algoritmo de criptografia de plano de usuário e do algoritmo de proteção de integridade de plano de usuário.
[0166] Opcionalmente, antes que a estação de base obtenha a política de segurança, o método inclui adicionalmente que a estação de base envie terceiras informações de indicação de prioridade à entidade de gerenciamento de acesso e mobilidade AMF. As terceiras informações de indicação de prioridade são usadas para indicar que o algoritmo de criptografia de plano de usuário e o algoritmo de proteção de integridade de plano de usuário que são permitidos pela estação de base não são classificados com base em uma prioridade. O algoritmo de criptografia de plano de usuário e o algoritmo de
Petição 870190130980, de 10/12/2019, pág. 55/175
50/134 proteção de integridade de plano de usuário podem ser iguais ou diferentes.
[0167] Opcionalmente, a AMF encaminha as terceiras informações de indicação de prioridade para a SMF. Portanto, após obter as terceiras informações de indicação de prioridade, a SMF descobre que o algoritmo de criptografia de plano de usuário e o algoritmo de proteção de integridade de plano de usuário que são permitidos pela estação de base não são classificados com base em uma prioridade. Por conseguinte, a SMF realiza classificação de prioridade no algoritmo de criptografia de plano de usuário e o algoritmo de proteção de integridade de plano de usuário que são permitidos pela rede ou realiza a realiza classificação de prioridade no algoritmo de criptografia de plano de usuário e o algoritmo de proteção de integridade de plano de usuário que são suportados pelo dispositivo terminal. O algoritmo de criptografia de plano de usuário e o algoritmo de proteção de integridade de plano de usuário que são suportados pelo dispositivo terminal são obtidos a partir da AMF.
[0168] Em outra implementação opcional, se a SMF não obtiver as terceiras informações de indicação de prioridade, ou a SMF aprender, de uma outra maneira, que o algoritmo de criptografia de plano de usuário e o algoritmo de proteção de integridade de plano de usuário que são permitidos pela estação de base são classificados com base em uma prioridade. Opcionalmente, a SMF não realiza a classificação de prioridade no algoritmo de criptografia de plano de usuário permitido pela rede de serviço. Opcionalmente, a classificação de prioridade pode ser realizada, com base em diversos fatores, no algoritmo de criptografia de plano de usuário e do algoritmo de proteção de integridade de plano de usuário que são permitidos pela rede de serviço, por exemplo, com base em fatores tais como a preferência de operador atual e um ambiente de rede local.
[0169] A Figura 2b mostra um exemplo de um fluxograma esquemático de outro método de comunicação de acordo com uma modalidade deste pedido.
[0170] Com base no conteúdo anterior, esta modalidade deste pedido fornece um método de comunicação. Como mostrado na Figura 2b, o método inclui as seguintes etapas.
[0171] Etapa 221: Uma estação de base obtém uma política de segurança, onde a política de segurança inclui informações de indicação de
Petição 870190130980, de 10/12/2019, pág. 56/175
51/134 proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar que a estação de base habilitar proteção de integridade para um dispositivo terminal.
[0172] Semelhante ao conteúdo acima, opcionalmente, a política de segurança pode adicionalmente incluir um algoritmo de criptografia de plano de usuário permitido, um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço e informações de indicação indicando se a combinação de chaves deve ser habilitada. Opcionalmente, o algoritmo de criptografia de plano de usuário permitido pela rede de serviço pode incluir a habilitação da proteção de criptografia de plano de usuário e informações de comprimento de chave. Por exemplo, quando o algoritmo de criptografia de plano de usuário é de 256 bits, uma chave de 256 bits é usada. Opcionalmente, se um algoritmo de criptografia vazio ocorrer no algoritmo de criptografia de plano de usuário permitido pela rede de serviço, a estação de base pode não habilitar proteção de criptografia de plano de usuário. Opcionalmente, se o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço aparecer na política de segurança, a estação de base habilita proteção de integridade de plano de usuário. Opcionalmente, um comprimento de chave é determinado com base nas informações de bits do algoritmo de integridade, ou seja, um algoritmo de integridade de 256 bits usa uma chave de 256 bits. Opcionalmente, o algoritmo de proteção de integridade de plano de usuário permitido não possui um algoritmo vazio. Se nenhum algoritmo de proteção de integridade aparecer na política de segurança, a proteção de integridade não estará habilitada. Opcionalmente, a estação de base também pode ser notificada das informações de comprimento de chave usando outras informações, por exemplo, usando informações de bits.
[0173] Etapa 222: Quando as informações de indicação de proteção de integridade indicam a estação de base para habilitar proteção de integridade para o dispositivo terminal, a estação de base determina um algoritmo de proteção de integridade de plano de usuário alvo.
[0174] Etapa 223: A estação de base envia o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal. Para saber como a estação de base envia o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal, consulte o conteúdo anterior e os
Petição 870190130980, de 10/12/2019, pág. 57/175
52/134 detalhes não são descritos aqui novamente.
[0175] Opcionalmente, os procedimentos de AS SMC e AS SMP anteriores podem adicionalmente ser incluídos entre as etapas 221 e 223 e são usados para renegociar um algoritmo de segurança de plano de sinalização alvo entre a estação de base e o dispositivo terminal. Especificamente, a etapa 201 aa etapa 204 podem ser adicionados entre as etapas 221 e 223.
[0176] Opcionalmente, que a estação de base obtém a política de segurança inclui: a estação de base recebe a política de segurança a partir de uma entidade SMF. Alternativamente, opcionalmente, a estação de base préarmazena a política de segurança e, em seguida, recebe um identificador da política de segurança a partir da entidade SMF e obtém a política de segurança com base no identificador da política de segurança.
[0177] Opcionalmente, uma camada (Directory System Protocol, SDAP) pode ser definida na estação de base para mapear a qualidade de serviço para uma camada do Protocolo de Convergência de Dados de Pacote (Packet Data Convergence Protocol, PDCP). Cada camada PDCP corresponde a um DRB. Portanto, um nível de segurança definido anteriormente precisa ser dividido adicionalmente no lado de RAN. Se a segurança ainda for realizada na camada PDCP, a criptografia e descriptografia e proteção de integridade de plano de usuário ainda serão concluídas na camada PDCP. Como uma camada PDCP corresponde a um DRB, apenas o processamento de segurança de nível de DRB pode ser realizado no lado de RAN. Se a segurança ou o processamento de segurança parcial puderem ser movidos para a camada SDAP, o processamento de segurança de nível de fluxo de QoS pode ser implementado. Segurança parcial significa que, se apenas a proteção de integridade de plano de usuário for com base na granularidade de fluxo, apenas o processamento de segurança relacionado à proteção de integridade precisará ser colocado na camada SDAP. Se o processamento de criptografia e descriptografia e proteção de integridade de plano de usuário for com base na granularidade de fluxo, todos eles deverão ser concluídos na camada SDAP. Portanto, uma pré-condição para o processamento de segurança com base no nível de granularidade de fluxo é que a segurança ou segurança parcial seja implementada na camada SDAP.
[0178] Por exemplo, existem quatro fluxos de serviço (IP-flow) e três fluxos de QoS em uma sessão. O mapeamento de nível de NAS indica o
Petição 870190130980, de 10/12/2019, pág. 58/175
53/134 processamento de QoS pela primeira vez. Um fluxo IP é mapeado como um fluxo QoS, representado por um QFI (QoS flow ID). Pode-se observar que um fluxo IP 1 e um fluxo IP 4 são colocados em um QFI 1 e cada um dos outros fluxos está em um QFI separado. Na camada SDAP, a camada SDAP mapeia QFIs de diferentes fluxos para diferentes camadas PDCP. Pode-se observar que o QF11 e um QFI 2 são colocados em uma entidade PDCP (PDCP entity), indicando que o QFI 1 e o QFI 2 são transmitidos usando um DRB. (Uma entidade PDCP corresponde a um portador DRB) e um QFI-3 é colocado em outra entidade PDCP-2, que é outro portador DRB.
[0179] Opcionalmente, um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade. Alternativamente, um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade. A classificação de prioridade pode ser realizada, com base na preferência de operador local, em um ambiente local ou similar, no algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, e o algoritmo de proteção de integridade de plano de usuário permitido pela estação de base pode ser préconfigurado na estação de base. A classificação de prioridade pode ser realizada, com base no conteúdo de assinatura de acesso de rede do dispositivo terminal, uma preferência do dispositivo terminal e/ou similar, no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e pode ser realizada pelo dispositivo terminal no momento da assinatura ou da compra de mais serviços. Opcionalmente, a política de segurança pode incluir o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal.
[0180] Opcionalmente, na etapa 222, em uma solução de implementação opcional, a política de segurança inclui pelo menos um algoritmo de proteção de integridade de plano de usuário. A estação de base determina diretamente um algoritmo de proteção de integridade de plano de usuário no pelo menos um algoritmo de proteção de integridade de plano de usuário incluído na política de segurança, como o algoritmo de proteção de integridade de plano de usuário alvo. Em outra solução opcional, que a estação de base determina o
Petição 870190130980, de 10/12/2019, pág. 59/175
54/134 algoritmo de proteção de integridade de plano de usuário alvo inclui: a estação de base determina o algoritmo de proteção de integridade de plano de usuário alvo com base no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e no algoritmo de proteção de integridade de plano de usuário permitido pela estação de base.
[0181 ] A estação de base pode determinar o algoritmo de proteção de integridade de plano de usuário alvo em várias implementações opcionais. Por exemplo, a estação de base determina pelo menos um algoritmo que pertence ao algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e que também pertence ao algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, e determina a proteção de integridade de plano de usuário alvo algoritmo no pelo menos um algoritmo. Opcionalmente, se o algoritmo de proteção de integridade de plano de usuário permitido pela estação de base for um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade, um algoritmo com uma prioridade relativamente alta ou uma prioridade mais alta no algoritmo de proteção de integridade de plano de usuário permitido pela estação de base é determinado a partir do pelo menos um algoritmo como o algoritmo de proteção de integridade de plano de usuário alvo. Opcionalmente, se o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal for um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade, a estação de base determina um algoritmo com uma prioridade relativamente alta ou uma prioridade mais alta no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, a partir do pelo menos um algoritmo como o algoritmo de proteção de integridade de plano de usuário alvo.
[0182] Opcionalmente, a política de segurança inclui adicionalmente o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço. Opcionalmente, o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade. Opcionalmente, o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço pode ser pré-configurado na SMF. Uma prioridade do algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço pode
Petição 870190130980, de 10/12/2019, pág. 60/175
55/134 ser classificada com base em fatores como uma preferência de operador e/ou um ambiente local. Opcionalmente, que a estação de base determina o algoritmo de proteção de integridade de plano de usuário alvo com base no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e no algoritmo de proteção de integridade de plano de usuário permitido pela estação de base inclui o seguinte: A estação de base determina o algoritmo de proteção de integridade de plano de usuário alvo com base no algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e no algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço. Especificamente, quando o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço é classificado com base em uma prioridade, a seleção é feita usando a classificação de prioridade permitida pela rede de serviço como condição primária ou usando a classificação de prioridade permitida pela estação de base como condição primária. O uso dessa classificação de prioridade depende de uma política de um operador local ou outras informações. Por exemplo, um algoritmo de proteção de integridade de plano de usuário atual permitido pela estação de base foi atualizado recentemente, e o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço foi atualizado há muito tempo. Portanto, a classificação de prioridade do algoritmo de proteção de integridade de plano de usuário permitido pela estação de base é usada como condição primária. Por outro exemplo, a classificação de prioridade do algoritmo de proteção de integridade de plano de usuário permitido pela estação de base é usada como condição primária por padrão. Se o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço não for classificado com base em uma prioridade, a classificação de prioridade do algoritmo de proteção de integridade de plano de usuário permitido pela estação de base será usada como condição primária.
[0183] A estação de base pode determinar o algoritmo de proteção de integridade de plano de usuário alvo em várias implementações opcionais. Por exemplo, a estação de base determina pelo menos um algoritmo que pertence ao algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, que também pertence ao algoritmo de proteção de
Petição 870190130980, de 10/12/2019, pág. 61/175
56/134 integridade de plano de usuário permitido pela estação de base e que também pertence ao algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço, e determina o algoritmo de proteção de integridade de plano de usuário alvo a partir do pelo menos um algoritmo. Opcionalmente, se o algoritmo de proteção de integridade de plano de usuário permitido pela estação de base for um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade, um algoritmo com uma prioridade relativamente alta ou uma prioridade mais alta no algoritmo de proteção de integridade de plano de usuário permitido pela estação de base é determinado a partir do pelo menos um algoritmo como o algoritmo de proteção de integridade de plano de usuário alvo. Opcionalmente, se o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal for um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade, a estação de base determina um algoritmo com uma prioridade relativamente alta ou uma prioridade mais alta no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, a partir do pelo menos um algoritmo como o algoritmo de proteção de integridade de plano de usuário alvo. Opcionalmente, se o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço for um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade, a estação de base determina um algoritmo com uma prioridade relativamente alta ou uma prioridade mais alta no algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço, a partir do pelo menos um algoritmo como o algoritmo de proteção de integridade de plano de usuário alvo. Opcionalmente, a rede nesta modalidade deste pedido pode incluir uma rede 5G ou uma rede que evolui da rede 5G.
[0184] Opcionalmente, o método inclui adicionalmente o seguinte: Quando a política de segurança inclui informações de indicação de criptografia e as informações de indicação de criptografia são usadas para indicar a estação de base para habilitar proteção de criptografia para o dispositivo terminal, a estação de base envia um algoritmo de criptografia de plano de usuário alvo para o dispositivo terminal.
[0185] Com base no conteúdo anterior, o seguinte descreve um processo de método no qual a estação de base e o dispositivo terminal precisam
Petição 870190130980, de 10/12/2019, pág. 62/175
57/134 negociar adicionalmente o algoritmo de criptografia de plano de usuário alvo.
[0186] Opcionalmente, o algoritmo de criptografia de plano de usuário permitido pela estação de base é um algoritmo de criptografia de plano de usuário classificado com base em uma prioridade. Alternativamente, o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal é um algoritmo de criptografia de plano de usuário classificado com base em uma prioridade. A classificação de prioridade pode ser realizada, com base pelo menos na preferência de operador, no algoritmo de criptografia de plano de usuário permitido pela estação de base, e no algoritmo de criptografia de plano de usuário permitido pela estação de base pode ser classificado pelo operador durante a construção da rede e pode ser pré-configurado na estação de base. A classificação de prioridade pode ser realizada, com base na preferência de operador, no algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, e o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal pode ser classificado pelo usuário durante a assinatura de acesso à rede. Opcionalmente, a política de segurança pode incluir o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal.
[0187] Opcionalmente, uma solução de implementação opcional é adicionalmente incluída. A política de segurança inclui pelo menos um algoritmo de criptografia de plano de usuário, e a estação de base determina diretamente um algoritmo de criptografia de plano de usuário no pelo menos um algoritmo de criptografia de plano de usuário incluído na política de segurança, como o algoritmo de criptografia de plano de usuário alvo. Em outra solução opcional, a estação de base determina o algoritmo de criptografia de plano de usuário alvo com base no algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e no algoritmo de criptografia de plano de usuário permitido pela estação de base.
[0188] A estação de base pode determinar o algoritmo de criptografia de plano de usuário alvo em várias implementações opcionais. Por exemplo, a estação de base determina pelo menos um algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base e determina o algoritmo de criptografia de plano de usuário alvo a partir do pelo menos um algoritmo. Opcionalmente, se o algoritmo de
Petição 870190130980, de 10/12/2019, pág. 63/175
58/134 criptografia de plano de usuário permitido pela estação de base for um algoritmo de criptografia de plano de usuário classificado com base em uma prioridade, será determinado um algoritmo com uma prioridade relativamente alta ou uma prioridade mais alta no algoritmo de criptografia de plano de usuário permitido pela estação de base, como o algoritmo de criptografia de plano de usuário alvo, a partir de pelo menos um algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base. Opcionalmente, se o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal for um algoritmo de criptografia de plano de usuário classificado com base em uma prioridade, a estação de base determina um algoritmo com uma prioridade relativamente alta ou uma prioridade mais alta no algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, como o algoritmo de criptografia de plano de usuário alvo do pelo menos um algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base.
[0189] Opcionalmente, a política de segurança inclui adicionalmente um algoritmo de criptografia de plano de usuário permitido pela rede de serviço. Opcionalmente, o algoritmo de criptografia de plano de usuário permitido pela rede de serviço é um algoritmo de criptografia de plano de usuário classificado com base em uma prioridade. Opcionalmente, o algoritmo de criptografia de plano de usuário permitido pela rede de serviço pode ser pré-configurado na SMF. Uma prioridade do algoritmo de criptografia de plano de usuário permitido pela rede de serviço pode ser classificada com base em pelo menos a preferência de operador. Opcionalmente, a estação de base determina o algoritmo de criptografia de plano de usuário alvo com base no algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e o algoritmo de criptografia de plano de usuário permitido pela estação de base inclui o seguinte: A estação de base determina o algoritmo de criptografia de plano de usuário alvo com base no algoritmo de criptografia de plano de usuário permitido pela estação de base, o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e o algoritmo de criptografia de plano de usuário permitido pela rede de serviço. Especificamente, quando o algoritmo de
Petição 870190130980, de 10/12/2019, pág. 64/175
59/134 criptografia de plano de usuário permitido pela rede de serviço é classificado com base em uma prioridade, a seleção é feita usando a classificação de prioridade permitida pela rede de serviço como condição primária. Se o algoritmo de criptografia de plano de usuário permitido pela rede de serviço não for classificado com base em uma prioridade, uma prioridade do algoritmo de segurança de plano de usuário permitido pela estação de base será usada como condição primária.
[0190] A estação de base pode determinar o algoritmo de criptografia de plano de usuário alvo em várias implementações opcionais. Por exemplo, a estação de base determina pelo menos um algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base e que também pertence ao algoritmo de criptografia de plano de usuário permitido pela rede de serviço e determina o algoritmo de criptografia de plano de usuário alvo a partir de pelo menos um algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base, e que também pertence ao algoritmo de criptografia de plano de usuário permitido pela rede de serviço. Opcionalmente, se o algoritmo de criptografia de plano de usuário permitido pela estação de base for um algoritmo de criptografia de plano de usuário classificado com base em uma prioridade, um algoritmo com uma prioridade relativamente alta ou uma prioridade mais alta no algoritmo de criptografia de plano de usuário permitido pela estação de base será determinado como o algoritmo de criptografia de plano de usuário alvo do pelo menos um algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base, e que também pertence à criptografia de plano de usuário algoritmo permitido pela rede de serviço. Opcionalmente, se o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal for um algoritmo de criptografia de plano de usuário classificado com base em uma prioridade, a estação de base determina um algoritmo com uma prioridade relativamente alta ou uma prioridade mais alta no algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, como o algoritmo de criptografia de plano de
Petição 870190130980, de 10/12/2019, pág. 65/175
60/134 usuário alvo a partir do pelo menos um algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base e que também pertence ao algoritmo de criptografia de plano de usuário permitido pela rede de serviço. Opcionalmente, se o algoritmo de criptografia de plano de usuário permitido pela rede de serviço for um algoritmo de criptografia de plano de usuário classificado com base em uma prioridade, a estação de base determina um algoritmo com uma prioridade relativamente alta ou uma prioridade mais alta no algoritmo de criptografia de plano de usuário permitido pela rede de serviço, como o algoritmo de criptografia de plano de usuário alvo a partir do pelo menos um algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base e que também pertence ao algoritmo de criptografia de plano de usuário permitido pela rede de serviço.
[0191] Opcionalmente, quando a política de segurança inclui adicionalmente um comprimento de chave, a estação de base envia o comprimento de chave para o dispositivo terminal. O comprimento de chave inclui um comprimento de chave de proteção de integridade de plano de usuário e um comprimento de chave de criptografia de plano de usuário. Opcionalmente, nesta modalidade deste pedido, ao enviar informações como o algoritmo de proteção de integridade de plano de usuário alvo, o algoritmo de criptografia de plano de usuário alvo e o comprimento de chave para o dispositivo terminal, a estação de base pode usar uma parte de sinalização, como uma solicitação de reconfiguração de RRC, ou usa uma pluralidade de partes de informações.
[0192] Em uma implementação opcional, se a solicitação de reconfiguração de RRC for usada para envio, pode haver várias maneiras de envio. Por exemplo, uma mensagem de reconfiguração de RRC pode ser usada. A mensagem de reconfiguração de RRC pode incluir pelo menos um dentre um algoritmo de criptografia de plano de usuário alvo, um algoritmo de proteção de integridade de plano de usuário alvo, um comprimento de chave de criptografia de plano de usuário, um comprimento de chave de proteção de integridade de plano de usuário, uma política de combinação de chaves (que também pode ser referida como D-H), informações indicando habilitar ou desabilitar, DRB-1
Petição 870190130980, de 10/12/2019, pág. 66/175
61/134 (informações de QoS), DRB-2 (informações de QoS) e outro parâmetro.
[0193] Em uma implementação opcional, se a integridade de plano de usuário não estiver habilitada, o algoritmo de proteção de integridade de plano de usuário alvo não será transmitido. Quando o próprio algoritmo pode indicar o comprimento de chave, as informações de indicação do comprimento de chave podem não ser portadas. Quando a estação de base não suporta ou não precisa habilitar a política de combinação de chaves, a política de combinação de chaves não precisa ser transmitida. Nesse método, a política de segurança não é transmitida em cada DRB. Portanto, esse método é aplicável a um caso em que todas as DRBs usam um mesmo recurso de segurança. Além disso, uma política de segurança alvo pode ser configurada para todas as DRBs por um processo de seleção.
[0194] Em outra implementação opcional, a mensagem de reconfiguração de RRC pode incluir:
um parâmetro de reconfiguração;
DRB-1 (algoritmo de criptografia de segurança de plano de usuário alvo-1, [algoritmo de proteção de integridade de plano de usuário-1], [comprimento de chave de criptografia de plano de usuário-1], [comprimento de chave de proteção de integridade de plano de usuário-1 ], [política de combinação de chaves], parâmetro de QoS, outro parâmetro); e
DRB-2 (algoritmo de criptografia de segurança de plano de usuário alvo-2, [algoritmo de proteção de integridade de plano de usuário-2], [comprimento de chave de criptografia de plano de usuário-2], [comprimento de chave de proteção de integridade de plano de usuário-2], [política de combinação de chaves], parâmetro de QoS, outro parâmetro), outro parâmetro).
[0195] A mensagem de reconfiguração de RRC mostra apenas dois casos de exemplo: DRB-1 e DRB-2. Um formato portado na mensagem de reconfiguração de RRC pode ser semelhante ao do exemplo anterior e todos ou alguns dos itens de parâmetro podem ser portados. Por exemplo, os parâmetros incluídos em [] no exemplo anterior podem ser portados ou não. Dessa maneira, uma política de segurança alvo pode ser configurada para cada DRB, e a política de segurança alvo de cada DRB pode ser a mesma ou a política de segurança alvo de cada DRB pode ser diferente.
[0196] Os dois métodos anteriores também podem ser utilizados em
Petição 870190130980, de 10/12/2019, pág. 67/175
62/134 conjunto, isto é, algumas políticas de segurança alvo podem ser compartilhadas por todas as DRBs, e uma política de segurança é diferente dependendo de diferentes DRBs. Por exemplo, a mensagem de reconfiguração de RRC inclui:
o algoritmo de criptografia de segurança de plano de usuário alvo;
DRB-1 ([algoritmo de proteção de integridade de plano de usuário-1], [comprimento de chave de criptografia de plano de usuário-1], [comprimento de chave de proteção de integridade de plano de usuário-1 ], [política de combinação de chaves], parâmetro de QoS, outro parâmetro);
DRB-2 (, [algoritmo de proteção de integridade de plano de usuário2], [comprimento de chave de criptografia de plano de usuário-2], [comprimento de chave de proteção de integridade de plano de usuário-2], [política de combinação de chaves], parâmetro de QoS, outro parâmetro); e outro parâmetro
[0197] Opcionalmente, antes que a estação de base envie o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal, o método inclui adicionalmente que a estação de base recebe qualidade de serviço de uma sessão atual do dispositivo terminal a partir da entidade SMF. Opcionalmente, a qualidade de serviço da sessão atual, e a política de segurança podem ser enviadas usando uma mensagem ou podem ser enviadas separadamente usando uma pluralidade de mensagens. Opcionalmente, a estação de base recebe adicionalmente, a partir da AMF, algumas informações básicas usadas para gerar uma chave, por exemplo, uma chave base usada para gerar uma chave de proteção de integridade de plano de usuário e uma chave base usada para gerar uma chave de criptografia de plano de usuário.
[0198] Opcionalmente, a estação de base aloca um portador de rádio de dados (Data Radio Bearer, DRB) ao dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço, e o portador de rádio de dados é alocada pela estação de base. A estação de base aloca, com base pelo menos na qualidade de serviço, o portador de rádio de dados aos dados transmitidos ao dispositivo terminal. Em 5G, em um portador de rádio de dados, pode haver fluxos de dados correspondentes a uma pluralidade de tipos de qualidade de serviço.
[0199] Opcionalmente, um DRB pode corresponder a uma pluralidade de partes de qualidade de serviço. Um portador de rádio de dados alvo é alocado
Petição 870190130980, de 10/12/2019, pág. 68/175
63/134 ao dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
[0200] Opcionalmente, quando não existir um portador de rádio de dados histórico satisfazendo a primeira condição na estação de base e não existir pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição na estação de base, a estação de base configura o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
[0201] Opcionalmente, quando não existir um portador de rádio de dados histórico satisfazendo a primeira condição na estação de base, a estação de base configura o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
[0202] Opcionalmente, a estação de base configura o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
[0203] Opcionalmente, um DRB de histórica previamente estabelecida pode ser selecionada como o portador de rádio de dados alvo para o dispositivo terminal, ou um DRB pode ser recém-estabelecida como portador de rádio de dados alvo.
[0204] Em uma implementação opcional, uma do portador de rádio de dados histórico pode ser selecionada diretamente primeiro como o portador de rádio de dados alvo para o dispositivo terminal e, se o portador de rádio de dados alvo não puder ser selecionada a partir do portador de rádio de dados histórico, uma nova portadora de rádio de dados é configurada para o dispositivo terminal como o portador de rádio de dados alvo.
[0205] Alternativamente, com base em algumas regras predefinidas, primeiro é determinado se o dispositivo terminal tem permissão para usar o portador de rádio de dados histórico. Se o dispositivo terminal for permitido, um dentre os portadores de rádio de dados histórico pode ser selecionado primeiro como portador de rádio de dados alvo para o dispositivo terminal. Se o portador de rádio de dados alvo não puder ser selecionado no portador de rádio de dados histórico, um novo portador de rádio de dados será configurado para o dispositivo terminal e será usado diretamente como portador de rádio de dados alvo. Para
Petição 870190130980, de 10/12/2019, pág. 69/175
64/134 uma descrição mais detalhada da solução anterior, o seguinte usa vários exemplos detalhados para descrição.
[0206] Implementação b1
[0207] Quando existir pelo menos um portador de rádio de dados histórico satisfazendo primeira condição na estação de base, o portador de rádio de dados alvo é um dentre o pelo menos um portador de rádio de dados histórico satisfazendo primeira condição. A qualidade de serviço suportada por cada portador de rádio de dados do pelo menos um portador de rádio de dados histórico satisfazendo a primeira condição é a mesma que a qualidade de serviço da sessão atual, e a política de segurança é a mesma que uma política de segurança suportada por cada portador de rádio de dados.
[0208] Opcionalmente, a primeira condição inclui que a qualidade de serviço suportada é igual à qualidade de serviço da sessão atual, e que a política de segurança obtida na etapa 221 é a mesma que a política de segurança suportada.
[0209] As informações sobre reutilização de DRB podem ser implementadas enviando uma mensagem. Por exemplo, a mensagem transmitida ao dispositivo terminal pela primeira vez é: mensagem de reconfiguração de RRC (algoritmo de criptografia de plano de usuário alvo-1, DRB-1 (informações de QoS-1), DRB-2 (informações de QoS-2), outro parâmetro); a mensagem transmitida ao dispositivo terminal pela segunda vez é: mensagem de reconfiguração de RRC (algoritmo de criptografia de plano de usuário atual-1, DRB-1 (informações de QoS-1), DRB-2 (informações de QoS2), DRB-3 (algoritmo de criptografia de plano de usuário atual-2, informações de QoS-2/3/4), outro parâmetro)). Dessa maneira, uma política de segurança da DRB-2 é modificada para atingir a finalidade de reutilizar a QoS. Pode ser aprendido com este exemplo que um objetivo de usar o portador de rádio de dados histórico como portador de rádio de dados alvo é alcançado enviando sinalização.
[0210] Para outro exemplo, para alcançar o objetivo de reutilizar a DRB de histórico, a mensagem transmitida ao dispositivo terminal pela primeira vez é: mensagem de reconfiguração de RRC (algoritmo de criptografia de plano de usuário alvo-1, DRB-1 (informações de QoS-1)), DRB-2 (informações de QoS2), outro parâmetro)); a mensagem transmitida ao dispositivo terminal pela
Petição 870190130980, de 10/12/2019, pág. 70/175
65/134 segunda vez é: mensagem de reconfiguração de RRC (algoritmo de criptografia de plano de usuário atual-1, DRB-1 (informações de QoS-1), DRB-2 (algoritmo de criptografia de plano de usuário atual-2, informações de QoS-2), outro parâmetro)). Dessa forma, a política de segurança da DRB-2 é modificada para atingir o objetivo de reutilizar a QoS.
[0211] Implementação b2
[0212] Quando não existir portador de rádio de dados histórico satisfazendo a primeira condição na estação de base, mas existir pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição na estação de base, o portador de rádio de dados alvo é um portador de rádio de dados obtido após um dentre o pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição ser atualizado com base na política de segurança. A qualidade de serviço suportada por cada portador de rádio de dados do pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição é a mesma que a qualidade de serviço da sessão atual, e a política de segurança corresponde a uma política de segurança suportada por cada portador de rádio de dados; ou qualidade de serviço suportada por cada portador de rádio de dados do pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição corresponde à qualidade de serviço da sessão atual, e a política de segurança é a mesma que uma política de segurança suportada por cada portador de rádio de dados; ou qualidade de serviço suportada por cada portador de rádio de dados do pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição corresponde à qualidade de serviço da sessão atual, e a política de segurança corresponde a uma política de segurança suportada por cada portadora de rádio de dados.
[0213] Opcionalmente, a segunda condição inclui que qualidade de serviço suportada corresponda à qualidade de serviço da sessão atual, e que a política de segurança obtida seja a mesma que a política de segurança suportada. Alternativamente, opcionalmente, a segunda condição inclui que qualidade de serviço suportada seja a mesma que a qualidade de serviço da sessão atual, e a política de segurança obtida corresponda à política de segurança suportada. Alternativamente, opcionalmente, a segunda condição inclui que qualidade de serviço suportada corresponda à qualidade de serviço da
Petição 870190130980, de 10/12/2019, pág. 71/175
66/134 sessão atual, e a política de segurança obtida corresponda à política de segurança suportada.
[0214] Isto é, políticas de segurança e qualidade de serviço correspondentes do portador de rádio de dados histórico encontrada e o portador de rádio de dados alvo não são completamente iguais, mas são ligeiramente diferentes correspondente. Por exemplo, uma diferença entre os requisitos de largura de banda está dentro de um intervalo predefinido, de modo que o portador de rádio de dados histórico possa ser usada para modificações mínimas. Por exemplo, uma relação entre um portador de rádio de dados satisfazendo a segunda condição e o portador de rádio de dados alvo pode satisfazer o seguinte: A proteção de criptografia de plano de usuário, mas não a proteção de integridade de plano de usuário, é habilitada para o portador de rádio de dados satisfazendo a segunda condição; a proteção de criptografia de plano de usuário e a proteção de integridade de plano de usuário são habilitadas para o portador de rádio de dados alvo; e um algoritmo de criptografia de plano de usuário alvo do portador de rádio de dados satisfazendo a segunda condição é o mesmo que um algoritmo de criptografia de plano de usuário alvo do portador de rádio de dados alvo. Nesse caso, como um recurso da estação de base é limitado, uma nova DRB não pode ser configurada; ou a estação de base é configurada para reutilizar o portador de rádio de dados histórico. Portanto, a estação de base envia a mensagem de reconfiguração de RRC por várias vezes e habilita proteção de integridade.
[0215] Esta modalidade deste pedido fornece uma possível implementação: Por exemplo, uma mensagem transmitida pela estação de base ao dispositivo terminal pela primeira vez é: mensagem de reconfiguração de RRC (algoritmo de criptografia de plano de usuário alvo, DRB-1 (informações de QoS-1), DRB-2 (informações de QoS-2), outro parâmetro)); uma mensagem transmitida pela estação de base ao dispositivo terminal pela segunda vez é: mensagem de reconfiguração de RRC (algoritmo de criptografia de plano de usuário atual, DRB-1 (informações de QoS-1), DRB-2 (algoritmo de proteção de integridade de plano de usuário alvo, informações de QoS-2, informações de QoS-3), outro parâmetro)). Dessa maneira, um recurso da DRB-2 pode ser reutilizado. Certamente, há uma pluralidade de implementações específicas, e meramente exemplos são aqui fornecidos.
Petição 870190130980, de 10/12/2019, pág. 72/175
67/134
[0216] Implementação b3
[0217] Um portador de rádio de dados é configurado diretamente com base em pelo menos uma dentre a política de segurança ou a qualidade de serviço.
[0218] Implementação b4
[0219] A estação de base pré-configura uma relação de associação entre o portador de rádio de dados, a qualidade de serviço e a política de segurança, e define um identificador correspondente para cada relação de associação, por exemplo, um ID de perfil de assinante para RAT/prioridade de frequência (Subscriber Profile ID for RAT/Frequency Priority, SPID). Ou seja, independentemente da base de qualquer um ou mais de um ID de sessão, I MSI, DNN e NSSAI ou se a pesquisa é realizada em um UDM, UPF e PCF, a SMF obtém um SPID de qualquer maneira. Em seguida, a SMF entrega o SPID a uma RAN e pode encontrar uma política de QoS e uma política de segurança predefinidas usando o SPID. Nesse caso, a SMF não precisa fornecer nenhuma política de segurança, mas apenas o SPID. Em seguida, a RAN pode determinar um DRB usada com base no SPID, e a DRB usada atende à política de QoS e à política de segurança.
[0220] Opcionalmente, que a estação de base envia o algoritmo de proteção de integridade de plano de usuário alvo ao dispositivo terminal inclui que a estação de base envia o algoritmo de proteção de integridade de plano de usuário alvo ao dispositivo terminal usando a sinalização de Controle de Recurso de Rádio (Radio Resource Control, RRC). Opcionalmente, a sinalização RRC inclui uma solicitação de reconfiguração de RRC (RRC Connection reconfiguration request).
[0221] Opcionalmente, se a política de segurança indicar que a estação de base e o dispositivo terminal precisam negociar o algoritmo de criptografia de plano de usuário alvo, a estação de base adicionalmente precisa enviar o algoritmo de criptografia de plano de usuário alvo ao dispositivo terminal. Opcionalmente, a estação de base adicionalmente precisa enviar o comprimento de chave para o dispositivo terminal. Se a política de segurança indicar que a estação de base e o dispositivo terminal precisam negociar o algoritmo de criptografia de plano de usuário alvo, o comprimento de chave pode incluir um comprimento de chave de criptografia de plano de usuário. Se as informações
Petição 870190130980, de 10/12/2019, pág. 73/175
68/134 de indicação de proteção de integridade indicam que a estação de base habilita proteção de integridade para o dispositivo terminal, o comprimento de chave pode incluir um comprimento de chave de proteção de integridade de plano de usuário. Um ou mais do algoritmo de integridade de plano de usuário alvo, o algoritmo de criptografia de plano de usuário alvo, o comprimento de chave e a qualidade de serviço podem ser enviados ao dispositivo terminal usando uma parte de sinalização, por exemplo, uma solicitação de reconfiguração de RRC.
[0222] Opcionalmente, quando a política de segurança inclui adicionalmente informações de indicação de D-H, e as informações de indicação de D-H são usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal, a estação de base envia uma chave relacionada a D-H ao dispositivo terminal. O exemplo seguinte descreve em detalhes um processo de troca de sinalização entre a estação de base e o dispositivo terminal, se as informações de indicação de D-H são usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal.
[0223] Se a política de combinação de chaves estiver habilitada, a estação de base seleciona, com base em uma capacidade de D-H relatada pelo UE e uma capacidade de D-H permitida pela estação de base, uma capacidade de D-H permitida pela estação de base e que tem a maior prioridade. Além disso, a estação de base gera uma chave pública P1 e uma chave privada B1 com base na capacidade de D-H selecionada. A estação de base envia a chave pública P1 e a capacidade de D-H selecionada para o dispositivo terminal, por exemplo, pode usar uma mensagem de reconfiguração de RRC. O dispositivo terminal gera uma chave pública P2 e uma chave privada B2 com base na capacidade de D-H selecionada, e gera uma chave Kdh usando a chave privada B2 e a chave pública P1. Então, Kdh e Kan são usadas para combinação de chaves. Um método de combinação pode ser Nova-Kan = KDF (Kdh, Kan e outro parâmetro). KDF (função de derivação de chave) é uma função de geração de chave, por exemplo, um algoritmo hash 256, e o outro parâmetro pode ser um parâmetro de atualização, por exemplo, PDCP COUNT. Kdh e Kan podem ser usadas diretamente para combinação de chaves sem usar o outro parâmetro. Após a mistura das chaves, uma nova chave de plano de usuário é gerada com base na Nova-Kan e no algoritmo de segurança de plano de usuário alvo. Além disso, a nova chave de plano de usuário é usada para proteger a mensagem de
Petição 870190130980, de 10/12/2019, pág. 74/175
69/134 reconfiguração de RRC e, em seguida, a mensagem de reconfiguração de RRC é enviada para a estação de base. A mensagem de reconfiguração de RRC inclui a chave pública P2. Após obter a chave pública P2, a estação de base gera a Nova-Kan com base na chave pública P2 e na chave privada B1 usando o mesmo método que o dispositivo terminal e, além disso, usa o mesmo método que o dispositivo terminal para obter uma nova chave de plano de usuário. Além disso, a nova chave de plano de usuário é usada para verificar a mensagem de reconfiguração de RRC. Se a verificação for bem-sucedida, a estação de base começará a habilitar a nova chave de plano de usuário.
[0224] Em uma implementação opcional da modalidade mostrada na Figura 2a ou Figura 2b, após a etapa 213 na Figura 2b, o método inclui adicionalmente o seguinte: A estação de base recebe a política de segurança ou o identificador da política de segurança, e a estação de base pode selecionar um algoritmo de proteção de integridade de plano de usuário na política de segurança como o algoritmo de proteção de integridade de plano de usuário alvo com base em informações fornecidas na política de segurança. A política de segurança pode incluir um ou mais algoritmos de proteção de integridade de plano de usuário. Alternativamente, a estação de base não pode usar o algoritmo de proteção de integridade de plano de usuário na política de segurança como o algoritmo de proteção de integridade de plano de usuário alvo. Alternativamente, quando o algoritmo de proteção de integridade de plano de usuário na política de segurança não está em uma lista de algoritmos de proteção de integridade de plano de usuário permitidos pela estação de base, a estação de base não usa o algoritmo de proteção de integridade de plano de usuário na política de segurança como o algoritmo de proteção de integridade de plano de usuário alvo. Além disso, opcionalmente, quando o algoritmo de proteção de integridade de plano de usuário na política de segurança não é usado como o algoritmo de proteção de integridade de plano de usuário alvo, se a estação de base habilita proteção de integridade de plano de usuário, a estação de base pode selecionar um de um algoritmo de proteção de integridade de plano de usuário diferente do algoritmo de proteção de integridade de plano de usuário na política de segurança como o algoritmo de proteção de integridade de plano de usuário alvo. Por exemplo, a estação de base pode selecionar um do algoritmo de proteção de integridade de plano de usuário permitido pela estação de base como o
Petição 870190130980, de 10/12/2019, pág. 75/175
70/134 algoritmo de proteção de integridade de plano de usuário alvo. Por outro exemplo, se uma política de segurança for pré-configurada na estação de base, e a estação de base não receber uma política de segurança entregue por outro elemento de rede, a estação de base pode selecionar o algoritmo de proteção de integridade de plano de usuário alvo com base na política de segurança préconfigurada na estação de base. Por exemplo, a política de segurança préconfigurada pode incluir um ou mais algoritmos de proteção de integridade de plano de usuário, e a estação de base seleciona um algoritmo de proteção de integridade de plano de usuário da política de segurança pré-configurada como o algoritmo de proteção de integridade de plano de usuário alvo. Para mais outras implementações, consulte o conteúdo anterior.
[0225] Opcionalmente, o algoritmo de proteção de integridade de plano de usuário na política de segurança pode ser o algoritmo de proteção de integridade de plano de usuário incluído na política de segurança descrita no conteúdo anterior e que é permitido pela rede de serviço, ou pode ser determinado pela entidade SMF com base em pelo menos um do algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço, o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e o algoritmo de proteção de integridade de plano de usuário permitido pela estação de base. Por exemplo, a entidade SMF pode determinar um algoritmo que pertence ao algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e que também pertence ao algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, como o algoritmo de proteção de integridade de plano de usuário alvo. Por outro exemplo, a entidade SMF pode determinar um algoritmo que pertence ao algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, que também pertence ao algoritmo de proteção de integridade de plano de usuário permitido pela estação de base e que também pertence ao algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço, como o algoritmo de proteção de integridade de plano de usuário alvo.
[0226] A política de segurança pode incluir um algoritmo de proteção de integridade de plano de sinalização, ou seja, a política de segurança pode incluir um algoritmo de proteção de integridade de plano de sinalização e/ou um
Petição 870190130980, de 10/12/2019, pág. 76/175
71/134 algoritmo de proteção de integridade de plano de usuário. Por exemplo, o algoritmo de proteção de integridade de plano de usuário incluído na política de segurança também é um algoritmo de proteção de integridade de plano de sinalização, ou seja, um algoritmo de proteção de integridade incluído na política de segurança é usado para a proteção de integridade de plano de usuário e para a proteção de integridade de plano de sinalização.
[0227] Pode ser aprendido por uma pessoa perita na arte que há uma pluralidade de implementações de selecionar o algoritmo de criptografia de plano de usuário alvo, o algoritmo de proteção de integridade de plano de sinalização alvo, e o algoritmo de criptografia de plano de sinalização alvo pela estação de base. Consulte a descrição da solução para selecionar o algoritmo de proteção de integridade de plano de usuário alvo. A seguir, descrevemos brevemente várias implementações.
[0228] Em uma implementação opcional da modalidade mostrada na Figura 2a ou Figura 2b, após a etapa 213 na Figura 2b, o método inclui adicionalmente o seguinte: A estação de base recebe a política de segurança ou o identificador da política de segurança, e a estação de base pode selecionar um algoritmo de criptografia de plano de usuário na política de segurança como o algoritmo de criptografia de plano de usuário alvo com base nas informações fornecidas na política de segurança. A política de segurança pode incluir um ou mais algoritmos de criptografia de plano de usuário. Alternativamente, a estação de base pode não usar o algoritmo de criptografia de plano de usuário na política de segurança como o algoritmo de criptografia de plano de usuário alvo. Alternativamente, quando o algoritmo de criptografia de plano de usuário na política de segurança não está em uma lista de algoritmos de criptografia de plano de usuário permitidos pela estação de base, a estação de base não usa o algoritmo de criptografia de plano de usuário na política de segurança como o algoritmo de criptografia de plano de usuário alvo. Além disso, opcionalmente, quando o algoritmo de criptografia de plano de usuário na política de segurança não é usado como o algoritmo de criptografia de plano de usuário alvo, se a estação de base habilita proteção de criptografia de plano de usuário, a estação de base pode selecionar um algoritmo de criptografia de plano de usuário diferente do algoritmo de criptografia de plano de usuário na política de segurança como o algoritmo de criptografia de plano de usuário alvo. Por
Petição 870190130980, de 10/12/2019, pág. 77/175
72/134 exemplo, a estação de base pode selecionar um do algoritmo de criptografia de plano de usuário permitido pela estação de base como o algoritmo de criptografia de plano de usuário alvo. Para mais outras implementações, consulte o conteúdo anterior.
[0229] Opcionalmente, o algoritmo de criptografia de plano de usuário na política de segurança pode ser o algoritmo de criptografia de plano de usuário incluído na política de segurança descrita no conteúdo anterior e que é permitido pela rede de serviço, ou pode ser determinado pela entidade SMF com base em pelo menos um do algoritmo de criptografia de plano de usuário permitido pela rede de serviço, o algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e o algoritmo de criptografia de plano de usuário permitido pela estação de base. Por exemplo, a entidade SMF pode determinar um algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base, como o algoritmo de criptografia de plano de usuário alvo. Por outro exemplo, a entidade SMF pode determinar um algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base e que também pertence ao algoritmo de criptografia de plano de usuário permitido pela rede de serviço, como o algoritmo de criptografia de plano de usuário alvo.
[0230] A política de segurança pode incluir um algoritmo de criptografia de plano de sinalização, ou seja, a política de segurança pode incluir um algoritmo de criptografia de plano de sinalização e/ou um algoritmo de criptografia de plano de usuário. Por exemplo, o algoritmo de criptografia de plano de usuário incluído na política de segurança também é um algoritmo de criptografia de plano de sinalização, ou seja, um algoritmo de criptografia incluído na política de segurança é usado para ambas proteção de criptografia de plano de usuário e proteção de criptografia de plano de sinalização.
[0231] Opcionalmente, em uma implementação da modalidade mostrada na Figura 2a, o método mostrado na Figura 2a inclui adicionalmente que o dispositivo terminal obtém um algoritmo de proteção de integridade de plano de usuário alvo. Especificamente, as duas maneiras a seguir podem ser usadas:
Petição 870190130980, de 10/12/2019, pág. 78/175
73/134
[0232] Maneira 1: O dispositivo terminal recebe o algoritmo de proteção de integridade de plano de usuário alvo enviado pela estação de base. Por exemplo, na etapa 223 na Figura 2b, a estação de base envia o algoritmo de proteção de integridade de plano de usuário alvo ao dispositivo terminal e, correspondentemente, o dispositivo terminal recebe o algoritmo de proteção de integridade de plano de usuário alvo enviado pela estação de base.
[0233] Maneira 2: O dispositivo terminal determina o algoritmo de proteção de integridade de plano de usuário alvo. Por exemplo, o dispositivo terminal ainda usa um algoritmo de proteção de integridade de plano de usuário alvo usado anteriormente. Por outro exemplo, o dispositivo terminal determina um algoritmo de proteção de integridade de plano de sinalização alvo (o algoritmo de proteção de integridade de plano de sinalização alvo pode ser enviado pela estação de base ao dispositivo terminal) como o algoritmo de proteção de integridade de plano de usuário alvo. Dessa maneira, flexibilidade de determinar o algoritmo de proteção de integridade de plano de usuário alvo pelo dispositivo terminal pode ser melhorada.
[0234] Além disso, o dispositivo terminal pode determinar adicionalmente o algoritmo de criptografia de plano de usuário alvo. Por exemplo, o dispositivo terminal ainda usa um algoritmo de criptografia de plano de usuário alvo usado anteriormente. Por outro exemplo, o dispositivo terminal determina o algoritmo de criptografia de plano de sinalização alvo como o algoritmo de criptografia de plano de usuário alvo.
[0235] Em uma implementação da modalidade mostrada na Figura 2, o método mostrado na Figura 2 inclui adicionalmente que a estação de base determina um algoritmo de proteção de integridade de plano de usuário alvo e/ou um algoritmo de criptografia de plano de usuário alvo. Por exemplo, o algoritmo de proteção de integridade de plano de sinalização alvo no algoritmo de proteção de plano de sinalização alvo determinado na etapa 202 também pode ser usado como o algoritmo de proteção de integridade de plano de usuário alvo, e o algoritmo de criptografia de plano de sinalização alvo no algoritmo de proteção de plano de sinalização alvo determinado na etapa 202 também pode ser usado como o algoritmo de criptografia de plano de usuário alvo.
[0236] Opcionalmente, em uma implementação das modalidades mostradas na Figura 2, a Figura 2a e Figura 2b, o método inclui adicionalmente
Petição 870190130980, de 10/12/2019, pág. 79/175
74/134 o seguinte:
[0237] A estação de base habilita proteção de integridade de plano de usuário; ou o dispositivo terminal e a estação de base habilitam proteção de integridade de plano de usuário; ou o dispositivo terminal habilita proteção de integridade de plano de usuário.
[0238] O seguinte fornece uma descrição usando a estação de base como um exemplo para habilitar proteção de integridade de plano de usuário ou habilitar proteção de criptografia de plano de usuário.
[0239] Por exemplo, quando uma condição para habilitar proteção de integridade de plano de usuário pela estação de base é satisfeita, a estação de base habilita proteção de integridade de plano de usuário.
[0240] A condição para habilitar proteção de integridade de plano de usuário pela estação de base pode ser a seguinte: A estação de base recebe uma primeira mensagem de plano de usuário predefinida, como uma mensagem de aceitação de estabelecimento de sessão; ou a estação de base recebe informações de plano de usuário, como um ID de sessão ou um perfil de QoS, onde as informações de plano de usuário podem ser informações de plano de usuário predefinidas, como um ID de sessão predefinido ou um perfil de QoS predefinido, e o ID de sessão predefinido pode ser um ID de sessão especificado; ou a estação de base atualmente aloca um recurso de plano de usuário para o dispositivo terminal ou realoca um recurso de plano de usuário para o dispositivo terminal, por exemplo, a estação de base recebe uma mensagem solicitando alocar um recurso de plano de usuário para o dispositivo terminal e se a estação de base atualmente realoca o recurso de plano de usuário para o dispositivo terminal, e um parâmetro de execução de rede satisfaz uma condição de permissão de rede predefinida, a estação de base pode habilitar proteção de integridade de plano de usuário; ou a política de segurança recebida pela estação de base inclui as informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade indicam para habilitar proteção de integridade de plano de usuário; ou a estação de base recebe um tipo de serviço de sessão predefinido. Por exemplo, a política de segurança préconfigurada pode incluir uma relação de associação entre o tipo de serviço de sessão predefinido e a habilitação da proteção de integridade de plano de usuário. A proteção de integridade de plano de usuário pode ser habilitada
Petição 870190130980, de 10/12/2019, pág. 80/175
75/134 quando o tipo de serviço de sessão predefinido é recebido.
[0241] Quando a condição para habilitar proteção de integridade de plano de usuário pela estação de base for satisfeita, para várias implementações específicas nas quais a estação de base habilita proteção de integridade de plano de usuário, consulte a seguinte implementação c1 -a1 até a implementação c1-a7.
[0242] Implementação c1-a1
[0243] Por exemplo, ao receber uma primeira mensagem de plano de usuário predefinida dentro de um período de tempo predefinido, a estação de base pode habilitar proteção de integridade de plano de usuário e a primeira mensagem de plano de usuário predefinida pode ser uma mensagem de aceitação de estabelecimento de sessão.
[0244] Por exemplo, se a estação de base recebe uma mensagem de aceitação de estabelecimento de sessão (que também pode ser chamada de conclusão de estabelecimento da sessão) dentro do período de tempo predefinido, isso indica que a estação de base está atualmente em um procedimento de estabelecimento da sessão, e para melhorar a segurança de sinalização de plano de usuário, a proteção de integridade de plano de usuário pode ser habilitada.
[0245] Implementação C1 -a2
[0246] Ao receber informações de plano de usuário dentro de um período de tempo predefinido, a estação de base pode habilitar proteção de integridade de plano de usuário e as informações de plano de usuário podem ser um ID de sessão ou um perfil de QoS predefinido.
[0247] Por exemplo, se a estação de base recebe qualquer ID de sessão ou perfil de QoS (opcionalmente, que pode ser recebido de uma interface N2 ou obtido diretamente do lado de dispositivo terminal) dentro do período de tempo predefinido, a estação de base está atualmente em um procedimento de estabelecimento de sessão e habilita proteção de integridade de plano de usuário. Opcionalmente, a proteção de plano de sinalização também pode ser habilitada.
[0248] Opcionalmente, habilitar proteção de plano de sinalização pode ser pelo menos um dentre habilitar proteção de integridade de plano de sinalização e habilitar proteção de criptografia de plano de sinalização. A
Petição 870190130980, de 10/12/2019, pág. 81/175
76/134 descrição neste parágrafo é aplicável a todas as modalidades deste pedido e não é mais fornecida no conteúdo a seguir.
[0249] Implementação c1-a3
[0250] Ao receber informações de plano de usuário predefinidas dentro de um período de tempo predefinido, a estação de base pode habilitar proteção de integridade de plano de usuário. As informações de plano de usuário predefinidas podem ser um ID de sessão predefinido ou um perfil de QoS predefinido. Uma relação de associação entre as informações de plano de usuário predefinidas e se habilita proteção de integridade de plano de usuário está predefinida na estação de base, e a relação de associação entre as informações de plano de usuário predefinidas e a proteção de integridade de plano de usuário pode ser usada como parte de uma política de segurança préconfigurada na estação de base.
[0251] Por exemplo, é definida uma relação de associação entre se habilitar proteção de integridade de plano de usuário e o ID de sessão. Portanto, se a estação de base recebe o ID de sessão predefinido dentro do período de tempo predefinido, a estação de base habilita proteção de integridade de plano de usuário. O ID de sessão predefinido corresponde à habilitação da proteção de integridade de plano de usuário na relação de associação entre se habilitar proteção de integridade de plano de usuário e o ID de sessão.
[0252] Para outro exemplo, é definida uma relação de associação entre se habilitar proteção de integridade de plano de usuário e o perfil de QoS. Portanto, se a estação de base recebe o perfil de QoS predefinido dentro do período de tempo predefinido, a estação de base habilita proteção de integridade de plano de usuário. O ID de sessão predefinido corresponde à habilitação da proteção de integridade de plano de usuário na relação de associação entre se habilitar proteção de integridade de plano de usuário e o ID de sessão.
[0253] Além disso, a relação de associação entre se habilitar proteção de integridade de plano de usuário e o ID de sessão pode ser predefinida na estação de base, ou a estação de base pode receber uma relação de associação atualizada enviada por outro elemento de rede. Opcionalmente, a estação de base pode determinar, com base na relação de associação predefinida e na relação de associação atualizada, se habilitar proteção de integridade de plano de usuário. Por exemplo, quando a proteção de integridade de plano de usuário
Petição 870190130980, de 10/12/2019, pág. 82/175
77/134 é habilitada pela primeira vez, se habilitar proteção de integridade de usuário pode ser determinado com base na relação de associação predefinida. Quando existir uma relação de associação atualizada posteriormente, se habilita proteção de integridade de plano de usuário também pode ser determinado com base apenas na última relação de associação. A determinação abrangente pode adicionalmente ser realizada em combinação com uma relação de associação predefinida específica, uma relação de associação atualizada, e um status de carga de rede. Por exemplo, se a estação de base realocar um recurso para uma sessão devido à sobrecarga, a proteção de integridade de plano de usuário originalmente habilitada para a sessão será desabilitada em um processo de realocação do recurso para a sessão.
[0254] Implementação C1 -a4
[0255] Se a estação de base alocar atualmente um recurso de plano de usuário para o dispositivo terminal ou realocar um recurso de plano de usuário para o dispositivo terminal, a estação de base pode habilitar proteção de integridade de plano de usuário. Por exemplo, quando a estação de base recebe, dentro de um período de tempo predefinido, uma mensagem solicitando alocar um recurso de plano de usuário para o dispositivo terminal, a estação de base aloca um recurso de plano de usuário para o dispositivo terminal ou realoca um recurso de plano de usuário para o dispositivo terminal, e o procedimento está relacionado à sinalização de plano de usuário. Para melhorar a segurança da sinalização de plano de usuário, a proteção de integridade de plano de usuário pode ser habilitada.
[0256] Implementação c1-a5
[0257] Se a estação de base atualmente realocar um recurso de plano de usuário para o dispositivo terminal, e um parâmetro de execução de rede satisfazendo uma condição de permissão de rede predefinida, a estação de base pode habilitar proteção de integridade de plano de usuário. O parâmetro de execução de rede inclui uma quantidade de carga de rede e/ou uma taxa de perda de pacotes.
[0258] Deve ser notado que, em um processo de realocação de um recurso para uma sessão pela estação de base, as duas implementações opcionais a seguir podem ser usadas:
[0259] Maneira 1: Uma solução de segurança de plano de usuário
Petição 870190130980, de 10/12/2019, pág. 83/175
78/134 correspondente a um recurso previamente alocado para a sessão do dispositivo terminal ainda é usada. Por exemplo, o recurso previamente alocado para a sessão do dispositivo terminal corresponde à habilitação da proteção de integridade de plano de usuário, e o recurso realocado correspondente à sessão do dispositivo terminal também é correspondente à habilitação da proteção de integridade de plano de usuário.
[0260] Maneira 2: Uma solução de segurança de plano de usuário correspondente ao recurso realocado correspondente à sessão é determinada novamente com base no status da estação de base. Por exemplo, o status da estação de base mostra que a taxa de perda de pacotes de uma sessão é muito alta. Como a proteção de integridade de plano de usuário pode aumentar a taxa de perda de pacotes, a proteção de integridade de plano de usuário é desabilitada em um processo de realocação do recurso para a sessão. Por outro exemplo, se a estação de base realocar um recurso para uma sessão devido à sobrecarga, em um processo de realocação do recurso para a sessão, a proteção de integridade de plano de usuário originalmente habilitada para a sessão será desabilitada.
[0261] Obviamente, as duas implementações anteriores opcionais podem ser combinadas. Por exemplo, se a estação de base realocar um recurso para uma sessão e o status da estação de base for normal, a proteção de integridade de plano de usuário será mantida habilitada; ou se o status da estação de base for anormal, por exemplo, a estação de base realocará um recurso para a sessão devido à sobrecarga, a proteção de integridade de plano de usuário será desabilitada se a proteção de integridade de plano de usuário estiver originalmente habilitada para a sessão. Por outro exemplo, a taxa de perda de pacotes de uma sessão é muito alta e, portanto, um recurso é realocado para a sessão. Como a proteção de integridade de plano de usuário pode aumentar a taxa de perda de pacotes, a proteção de integridade de plano de usuário é desabilitada. Opcionalmente, esse caso pode ser pré-configurado na estação de base como parte da política de segurança (a política de segurança pré-configurada na estação de base também pode ser a política de segurança pré-configurada na estação de base no conteúdo anterior).
[0262] Implementação c1-a6
[0263] Se uma política de segurança recebida pela estação de base
Petição 870190130980, de 10/12/2019, pág. 84/175
79/134 incluir informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade indicarem habilitar proteção de integridade de plano de usuário, a estação de base pode habilitar proteção de integridade de plano de usuário. Opcionalmente, as informações de indicação de proteção de integridade podem ser um identificador de um algoritmo de proteção de integridade, informações de indicação de bits, ou informações predefinidas. Por exemplo, as informações de indicação de proteção de integridade podem ser enviadas por uma entidade SMF. Ao determinar se uma condição de proteção de integridade de plano de usuário da entidade SMF é satisfeita, a entidade SMF envia as informações de indicação de proteção de integridade indicando para habilitar proteção de integridade de plano de usuário. Pode haver uma pluralidade de implementações nas quais a entidade SMF determina que a condição de proteção de integridade de plano de usuário da entidade SMF é satisfeita, ou consulte a implementação da estação de base descrita na implementação c1-a1 à implementação c1-a5.
[0264] Implementação c1-a7
[0265] Uma política de segurança pode ser pré-configurada na estação de base, e a política de segurança pré-configurada pode incluir uma relação de associação entre um tipo de serviço de sessão predefinido e a habilitação da proteção de integridade de plano de usuário. Uma condição para habilitar proteção de integridade de plano de usuário pela estação de base pode ser que a política de segurança pré-configurada na estação de base inclua o tipo de serviço de sessão predefinido. Por exemplo, a política de segurança préconfigurada pode incluir a relação de associação entre o tipo de serviço de sessão predefinido e habilitação de proteção de integridade de plano de usuário. Quando o tipo de serviço de sessão predefinido é recebido, a proteção de integridade de plano de usuário pode ser habilitada. Opcionalmente, se a estação de base não receber uma política de segurança enviada por um elemento de rede, a política de segurança pré-configurada na estação de base pode ser usada.
[0266] Por exemplo, a política de segurança pré-configurada na estação de base pode ser especificada em uma dimensão dos dados de plano de usuário (por exemplo, um tipo de serviço). Por exemplo, é especificado na política de segurança pré-configurada na estação de base que a proteção de
Petição 870190130980, de 10/12/2019, pág. 85/175
80/134 integridade de plano de usuário não é habilitada para um procedimento correspondente a um serviço VoIP. Portanto, ao determinar se uma sessão atual corresponde ao serviço VoIP, a estação de base não habilita proteção de integridade de plano de usuário.
[0267] Além disso, a política de segurança pode ser pré-configurada na estação de base, ou pode ser uma política de segurança atualizada enviada por outro elemento de rede e recebida pela estação de base. Opcionalmente, a estação de base pode determinar, com base na política de segurança préconfigurada e na política de segurança atualizada, se habilitar proteção de integridade de usuário. Por exemplo, quando a proteção de integridade de plano de usuário é habilitada pela primeira vez, se habilitar proteção de integridade de usuário pode ser determinado com base na política de segurança préconfigurada. Quando existir uma política de segurança atualizada posteriormente, se habilita proteção de integridade de plano de usuário também pode ser determinado com base apenas na política de segurança mais recente. A determinação abrangente pode adicionalmente ser realizada em combinação com uma política de segurança pré-configurada específica, uma política de segurança atualizada e um status de carga de rede. Por exemplo, se a estação de base realocar um recurso para uma sessão devido à sobrecarga, a proteção de integridade de plano de usuário originalmente habilitada para a sessão será desabilitada em um processo de realocação do recurso para a sessão.
[0268] Além disso, opcionalmente, o método inclui adicionalmente que a estação de base envie informações de indicação de proteção de integridade para o dispositivo terminal, onde as informações de indicação de criptografia são usadas para indicar habilitar proteção de integridade de plano de usuário. As informações de indicação de proteção de integridade podem ser informações de indicação de proteção de integridade incluídas na política de segurança recebida pela estação de base.
[0269] Opcionalmente, em outra implementação das modalidades mostradas na Figura 2, a Figura 2a e Figura 2b, o método inclui adicionalmente o seguinte:
[0270] A estação de base habilita proteção de criptografia de plano de usuário; ou o dispositivo terminal e a estação de base habilitam proteção de criptografia de plano de usuário; ou o dispositivo terminal habilita proteção de
Petição 870190130980, de 10/12/2019, pág. 86/175
81/134 criptografia de plano de usuário.
[0271] Por exemplo, quando uma condição para habilitar proteção de criptografia de plano de usuário pela estação de base é satisfeita, a estação de base habilita proteção de criptografia de plano de usuário.
[0272] A condição para habilitar proteção de criptografia de plano de usuário pela estação de base pode ser a seguinte: A estação de base recebe uma primeira mensagem de plano de usuário predefinida, como uma mensagem de aceitação de estabelecimento de sessão; ou a estação de base recebe informações de plano de usuário, como um ID de sessão ou um perfil de QoS. As informações de plano de usuário podem ser informações de plano de usuário predefinidas, como um ID de sessão predefinido ou um perfil de QoS predefinido, e o ID de sessão predefinido pode ser um ID de sessão especificado; ou a estação de base atualmente aloca um recurso de plano de usuário para o dispositivo terminal ou realoca um recurso de plano de usuário para o dispositivo terminal, por exemplo, a estação de base recebe uma mensagem solicitando alocar um recurso de plano de usuário para o dispositivo terminal; ou a política de segurança recebida pela estação de base inclui informações de indicação de criptografia e as informações de indicação de criptografia indicam para habilitar proteção de criptografia de plano de usuário; ou a estação de base recebe um tipo de serviço de sessão predefinido. Por exemplo, a política de segurança préconfigurada pode incluir uma relação de associação entre o tipo de serviço de sessão predefinido e a habilitação da proteção de criptografia de plano de usuário. A proteção de criptografia de plano de usuário pode ser habilitada quando o tipo de serviço de sessão predefinido é recebido; ou a proteção de criptografia de plano de usuário pode ser habilitada quando a proteção de plano de sinalização está habilitada.
[0273] Além disso, opcionalmente, o método inclui adicionalmente que a estação de base envie informações de indicação de criptografia para o dispositivo terminal. As informações de indicação de criptografia são usadas para indicar habilitar a proteção de criptografia de plano de usuário. As informações de indicação de criptografia podem ser informações de indicação de criptografia incluídas na política de segurança recebida pela estação de base.
[0274] Quando a condição para habilitar proteção de criptografia de plano de usuário pela estação de base for satisfeita, para várias implementações
Petição 870190130980, de 10/12/2019, pág. 87/175
82/134 específicas nas quais a estação de base habilita proteção de criptografia de plano de usuário, consulte a seguinte implementação c1 -b1 à implementação c1 b8.
[0275] Implementação c1-b1
[0276] Por exemplo, ao receber uma primeira mensagem de plano de usuário predefinida dentro de um período de tempo predefinido, a estação de base pode habilitar proteção de criptografia de plano de usuário, e a primeira mensagem de plano de usuário predefinida pode ser uma mensagem de aceitação de estabelecimento de sessão.
[0277] Por exemplo, se a estação de base recebe uma mensagem de aceitação de estabelecimento de sessão (que também pode ser chamada de estabelecimento da sessão completo) dentro do período de tempo predefinido, isso indica que a estação de base está atualmente em um procedimento de estabelecimento da sessão, e para melhorar segurança de sinalização de plano de usuário, proteção de criptografia de plano de usuário pode ser habilitada.
[0278] Implementação C1-B2
[0279] Ao receber informações de plano de usuário dentro de um período de tempo predefinido, a estação de base pode habilitar proteção de criptografia de plano de usuário, e as informações de plano de usuário podem ser um ID de sessão ou um perfil de QoS predefinido.
[0280] Por exemplo, se a estação de base recebe qualquer ID de sessão ou perfil de QoS (opcionalmente, que pode ser recebido de uma interface N2 ou obtido diretamente do lado de dispositivo terminal) dentro do período de tempo predefinido, a estação de base está atualmente em um procedimento de estabelecimento de sessão e habilita proteção de criptografia de plano de usuário. Opcionalmente, a proteção de plano de sinalização também pode ser habilitada.
[0281] Opcionalmente, habilitar proteção de plano de sinalização pode ser pelo menos um dentre habilitar proteção de integridade de plano de sinalização e habilitar proteção de criptografia de plano de sinalização. A descrição neste parágrafo é aplicável a todas as modalidades deste pedido e não é mais fornecida no conteúdo a seguir.
[0282] Implementação c1-b3
[0283] Ao receber informações de plano de usuário predefinidas
Petição 870190130980, de 10/12/2019, pág. 88/175
83/134 dentro de um período de tempo predefinido, a estação de base pode habilitar proteção de criptografia de plano de usuário. As informações de plano de usuário predefinidas podem ser um ID de sessão predefinido ou um perfil de QoS predefinido. Uma relação de associação entre as informações de plano de usuário predefinidas e se habilitar proteção de criptografia de plano de usuário é predefinida na estação de base, e a relação de associação entre as informações de plano de usuário predefinidas e a proteção de criptografia de plano de usuário pode ser usada como parte de uma política de segurança pré-configurada na estação de base.
[0284] Por exemplo, é definida uma relação de associação entre se habilitar proteção de criptografia de plano de usuário e o ID de sessão. Portanto, se a estação de base recebe a ID de sessão predefinido dentro do período de tempo predefinido, a estação de base habilita proteção de criptografia de plano de usuário. O ID de sessão predefinido corresponde à habilitação da proteção de criptografia de plano de usuário na relação de associação entre se habilitar proteção de criptografia de plano de usuário e o ID de sessão.
[0285] Para outro exemplo, é definida uma relação de associação entre se habilitar proteção de criptografia de plano de usuário e o perfil de QoS. Portanto, se a estação de base recebe o perfil de QoS predefinido dentro do período de tempo predefinido, a estação de base habilita proteção de criptografia de plano de usuário. O perfil de QoS predefinido é correspondente à habilitação da proteção de criptografia de plano de usuário na relação de associação entre se habilitar proteção de criptografia de plano de usuário e o ID de sessão.
[0286] Além disso, a relação de associação entre se habilitar proteção de criptografia de plano de usuário e o ID de sessão pode ser predefinida na estação de base, ou a estação de base pode receber uma relação de associação atualizada enviada por outro elemento de rede. Opcionalmente, a estação de base pode determinar, com base na relação de associação predefinida e na relação de associação atualizada, se habilitar proteção de criptografia de usuário. Por exemplo, quando a proteção de criptografia de plano de usuário é habilitada pela primeira vez, se habilitar proteção de criptografia de usuário pode ser determinado com base na relação de associação predefinida. Quando existir uma relação de associação atualizada posteriormente, se habilita proteção de criptografia de plano de usuário também pode ser determinado com base apenas
Petição 870190130980, de 10/12/2019, pág. 89/175
84/134 na última relação de associação. A determinação abrangente pode adicionalmente ser realizada em combinação com uma relação de associação predefinida específica, uma relação de associação atualizada e um status de carga de rede. Por exemplo, se a estação de base realocar um recurso para uma sessão devido à sobrecarga, a proteção de criptografia de plano de usuário originalmente habilitada para a sessão será desabilitada em um processo de realocação do recurso para a sessão.
[0287] Implementação C1-B4
[0288] Se a estação de base alocar atualmente um recurso de plano de usuário para o dispositivo terminal ou realocar um recurso de plano de usuário para o dispositivo terminal, a estação de base pode habilitar proteção de criptografia de plano de usuário. Por exemplo, quando a estação de base recebe, dentro de um período de tempo predefinido, uma mensagem solicitando alocar um recurso de plano de usuário para o dispositivo terminal, a estação de base aloca um recurso de plano de usuário para o dispositivo terminal ou realoca um recurso de plano de usuário para o dispositivo terminal e o procedimento está relacionado à sinalização de plano de usuário. Para melhorar a segurança da sinalização de plano de usuário, a proteção de criptografia de plano de usuário pode ser habilitada.
[0289] Implementação c1-b5
[0290] Se a estação de base atualmente realocar um recurso de plano de usuário para o dispositivo terminal, e um parâmetro de execução de rede satisfaz uma condição de permissão de rede predefinida, a estação de base pode habilitar proteção de criptografia de plano de usuário. O parâmetro de execução de rede inclui uma quantidade de carga de rede e/ou uma taxa de perda de pacotes.
[0291] Deve ser notado que, em um processo de realocação de um recurso para uma sessão pela estação de base, as duas implementações opcionais a seguir podem ser usadas:
[0292] Maneira 1: Uma solução de segurança de plano de usuário correspondente a um recurso previamente alocado para a sessão do dispositivo terminal ainda é usada. Por exemplo, o recurso alocado anteriormente para a sessão do dispositivo terminal corresponde à habilitação da proteção de criptografia de plano de usuário, e o recurso realocado correspondente à sessão
Petição 870190130980, de 10/12/2019, pág. 90/175
85/134 do dispositivo terminal também é correspondente à habilitação da proteção de criptografia de plano de usuário.
[0293] Maneira 2: Uma solução de segurança de plano de usuário correspondente ao recurso realocado correspondente à sessão é determinada novamente com base no status da estação de base. Por exemplo, o status da estação de base mostra que a taxa de perda de pacotes de uma sessão é muito alta. Como a proteção de criptografia de plano de usuário pode aumentar a taxa de perda de pacotes, a proteção de criptografia de plano de usuário é desabilitada em um processo de realocação do recurso para a sessão. Por outro exemplo, se a estação de base realocar um recurso para uma sessão devido à sobrecarga, em um processo de realocação do recurso para a sessão, a proteção de criptografia de plano de usuário originalmente habilitada para a sessão será desabilitada.
[0294] Obviamente, as duas implementações anteriores opcionais podem ser combinadas. Por exemplo, se a estação de base realocar um recurso para uma sessão e o status da estação de base for normal, a proteção de criptografia de plano de usuário será mantida habilitada; ou se o status da estação de base for anormal, por exemplo, a estação de base realocará um recurso para a sessão devido à sobrecarga, a proteção de criptografia de plano de usuário será desabilitada se a proteção de criptografia de plano de usuário estiver habilitada originalmente para a sessão. Por outro exemplo, a taxa de perda de pacotes de uma sessão é muito alta e, portanto, um recurso é realocado para a sessão. Como a proteção de criptografia de plano de usuário pode aumentar a taxa de perda de pacotes, a proteção de criptografia de plano de usuário está desabilitada. Opcionalmente, esse caso pode ser pré-configurado na estação de base como parte da política de segurança (a política de segurança pré-configurada na estação de base também pode ser a política de segurança pré-configurada na estação de base no conteúdo anterior).
[0295] Implementação c1-b6
[0296] Se uma política de segurança recebida pela estação de base incluir informações de indicação de proteção de criptografia, e as informações de indicação de proteção de criptografia indicarem habilitar proteção de criptografia de plano de usuário, a estação de base pode habilitar proteção de criptografia de plano de usuário. Opcionalmente, as informações de indicação de
Petição 870190130980, de 10/12/2019, pág. 91/175
86/134 proteção de criptografia podem ser um identificador de um algoritmo de criptografia, informações de indicação de bits ou informações predefinidas. Por exemplo, as informações de indicação de proteção de criptografia podem ser enviadas por uma entidade SMF. Ao determinar se uma condição de proteção de criptografia de plano de usuário da entidade SMF é satisfeita, a entidade SMF envia as informações de indicação de proteção de criptografia indicando para habilitar proteção de criptografia de plano de usuário. Pode haver uma pluralidade de implementações nas quais a entidade SMF determina que a condição de proteção de criptografia de plano de usuário da entidade SMF é satisfeita ou consulte a implementação da estação de base descrita na implementação c1-b1 à implementação c1-b5.
[0297] Implementação c1-b7
[0298] Uma política de segurança pode ser pré-configurada na estação de base, e a política de segurança pré-configurada pode incluir uma relação de associação entre um tipo de serviço de sessão predefinido e a habilitação da proteção de criptografia de plano de usuário. Uma condição para habilitar proteção de criptografia de plano de usuário pela estação de base pode ser o tipo de serviço de sessão predefinido incluído na política de segurança préconfigurada na estação de base. Por exemplo, a política de segurança préconfigurada pode incluir a relação de associação entre o tipo de serviço de sessão predefinido e a habilitação da proteção de criptografia de plano de usuário. Quando o tipo de serviço de sessão predefinido é recebido, a proteção de criptografia de plano de usuário pode ser habilitada. Opcionalmente, se a estação de base não receber uma política de segurança enviada por um elemento de rede, a política de segurança pré-configurada na estação de base pode ser usada.
[0299] Por exemplo, a política de segurança pré-configurada na estação de base pode ser especificada em uma dimensão dos dados de plano de usuário (por exemplo, um tipo de serviço). Por exemplo, é especificado na política de segurança pré-configurada na estação de base que a proteção de criptografia de plano de usuário não é habilitada para um procedimento correspondente a um serviço VoIP. Portanto, ao determinar se uma sessão atual corresponde ao serviço VoIP, a estação de base não habilita proteção de criptografia de plano de usuário.
Petição 870190130980, de 10/12/2019, pág. 92/175
87/134
[0300] Além disso, a política de segurança pode ser pré-configurada na estação de base ou pode ser uma política de segurança atualizada enviada por outro elemento de rede e recebida pela estação de base. Opcionalmente, a estação de base pode determinar, com base na política de segurança préconfigurada e na política de segurança atualizada, se habilitar proteção de criptografia de usuário. Por exemplo, quando a proteção de criptografia de plano de usuário é habilitada pela primeira vez, se habilitar proteção de criptografia de usuário pode ser determinado com base na política de segurança préconfigurada. Quando existir uma política de segurança atualizada posteriormente, se habilita proteção de criptografia de plano de usuário também pode ser determinado com base apenas na política de segurança mais recente. A determinação abrangente pode adicionalmente ser realizada em combinação com uma política de segurança pré-configurada específica, uma política de segurança atualizada e um status de carga de rede. Por exemplo, se a estação de base realocar um recurso para uma sessão devido à sobrecarga, a proteção de criptografia de plano de usuário originalmente habilitada para a sessão será desabilitada em um processo de realocação do recurso para a sessão.
[0301] Implementação c1-b8
[0302] Ao habilitar proteção de plano de sinalização (habilitar proteção de integridade de plano de sinalização e/ou a proteção de criptografia de plano de sinalização), a estação de base também pode habilitar proteção de criptografia de plano de usuário. Por exemplo, na implementação mostrada na Figura 2, após a etapa 202, uma implementação opcional é adicionalmente incluída: Ao habilitar proteção de plano de sinalização, a estação de base também habilita proteção de criptografia de plano de usuário.
[0303] Nesta implementação, se o dispositivo terminal e a estação de base habilitam proteção de plano de sinalização, e não habilitam proteção de integridade de plano de usuário e proteção de criptografia de plano de usuário, quando proteção de integridade de plano de usuário e proteção de criptografia de plano de usuário estiverem habilitadas, um estado de habilitar a proteção de plano de sinalização pode ser mantido. Nesta implementação, a estação de base pode enviar informações de indicação de proteção de integridade e informações de indicação de criptografia para o dispositivo terminal. Dessa maneira, por um lado, o dispositivo terminal pode manter o estado habilitado da proteção de plano
Petição 870190130980, de 10/12/2019, pág. 93/175
88/134 de sinalização atual (por exemplo, se o dispositivo terminal anteriormente habilitar proteção de integridade de plano de sinalização, mas não proteção de criptografia de plano de sinalização, um estado de habilitação da proteção de integridade de plano de sinalização, mas não a proteção de criptografia de plano de sinalização é mantido). Por outro lado, o dispositivo terminal habilita proteção de integridade de plano de usuário com base nas informações de indicação de proteção de integridade, e habilita proteção de criptografia de plano de usuário com base nas informações de indicação de criptografia.
[0304] Em outra implementação opcional, se o dispositivo terminal e a estação de base habilitam proteção de plano de sinalização e a proteção de criptografia de plano de usuário, mas não a proteção de integridade de plano de usuário, quando a proteção de integridade de plano de usuário estiver habilitada, a estação de base pode enviar para o dispositivo terminal, apenas as informações de indicação de proteção de integridade usadas para habilitar proteção de integridade de plano de usuário. Por um lado, o dispositivo terminal pode manter um estado habilitado da proteção de plano de sinalização atual (por exemplo, se o dispositivo terminal habilitar anteriormente a proteção de integridade de plano de sinalização, mas não a proteção de criptografia de plano de sinalização, um estado de habilitação da proteção de integridade de plano de sinalização, mas não a proteção de criptografia de plano de sinalização é mantido). Por outro lado, o dispositivo terminal habilita proteção de integridade de plano de usuário com base nas informações de indicação de proteção de integridade e habilita continuamente a proteção de criptografia. Em outra implementação opcional, as informações de indicação de criptografia podem ser transmitidas novamente para indicar habilitar continuamente a proteção de criptografia de plano de usuário.
[0305] O seguinte fornece uma descrição usando o dispositivo terminal como um exemplo para habilitar proteção de integridade de plano de usuário ou habilitar proteção de criptografia de plano de usuário.
[0306] Quando uma condição para habilitar proteção de integridade de plano de usuário pelo dispositivo terminal é satisfeita, o dispositivo terminal habilita proteção de integridade de plano de usuário.
[0307] A condição para habilitar proteção de integridade de plano de usuário pelo dispositivo terminal pode ser a seguinte: O dispositivo terminal
Petição 870190130980, de 10/12/2019, pág. 94/175
89/134 recebe informações de indicação de proteção de integridade enviadas pela estação de base, e as informações de indicação de proteção de integridade indicando para habilitar proteção de integridade de plano de usuário; ou o dispositivo terminal envia uma segunda mensagem de plano de usuário predefinida, por exemplo, uma mensagem de solicitação de estabelecimento de sessão.
[0308] Quando a condição para habilitar proteção de integridade de plano de usuário pelo dispositivo terminal for satisfeita, para várias implementações específicas nas quais o dispositivo terminal habilita proteção de integridade de plano de usuário, consulte a seguinte implementação c1-c1 e implementação c1-c2.
[0309] Implementação c1-c1
[0310] Em uma implementação opcional das modalidades mostradas na Figura 2a e Figura 2b, após a etapa 211, o método inclui adicionalmente que a estação de base envia informações de indicação de proteção de integridade para o dispositivo terminal, onde as informações de indicação de proteção de integridade são usadas para indicar se habilitar proteção de integridade de plano de usuário. As informações de indicação de proteção de integridade podem ser as informações de indicação de proteção de integridade incluídas na política de segurança obtida pela estação de base na etapa 221 na Figura 2b, ou podem ser determinadas pela estação de base em qualquer uma das implementações anteriores c1 -a1 a c1 -a7.
[0311] Quando o dispositivo terminal recebe as informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade indicam para habilitar proteção de integridade de plano de usuário, o dispositivo terminal pode habilitar proteção de integridade de plano de usuário.
[0312] Implementação c1 -c2
[0313] Por exemplo, o dispositivo terminal envia uma mensagem de solicitação de estabelecimento de sessão dentro de um período de tempo predefinido, e o dispositivo terminal está atualmente em um procedimento de estabelecimento de sessão. Nesse caso, para melhorar a segurança de plano de usuário, o dispositivo terminal pode habilitar proteção de integridade de plano de usuário.
Petição 870190130980, de 10/12/2019, pág. 95/175
90/134
[0314] Além disso, opcionalmente, se o dispositivo terminal usar a implementação c1-c2, e o dispositivo terminal adicionalmente receber as informações de indicação de proteção de integridade, se houver um conflito entre a implementação c1-c2 e as informações de indicação de proteção de integridade, o dispositivo terminal determina, com base nas informações de indicação de proteção de integridade recebidas, se habilitar proteção de integridade de plano de usuário.
[0315] Em uma implementação opcional das modalidades mostradas na Figura 2a e Figura 2b, após a etapa 211, o método inclui adicionalmente que a estação de base envia informações de indicação de criptografia para o dispositivo terminal, onde as informações de indicação de criptografia são usadas para indicar se habilitar proteção de criptografia de plano de usuário. As informações de indicação de criptografia podem ser as informações de indicação de criptografia incluídas na política de segurança obtida pela estação de base na etapa 221 na Figura 2b, ou podem ser determinadas pela estação de base em qualquer uma das implementações anteriores c1 -a1 a c1 -a7.
[0316] Por exemplo, quando o dispositivo terminal recebe as informações de indicação de criptografia e as informações de indicação de criptografia indicam para habilitar proteção de criptografia de plano de usuário, o dispositivo terminal pode habilitar proteção de criptografia de plano de usuário.
[0317] Por exemplo, ao enviar uma segunda mensagem de plano de usuário predefinida dentro do período de tempo predefinido, o dispositivo terminal pode habilitar proteção de criptografia de plano de usuário. Por exemplo, o dispositivo terminal envia uma mensagem de solicitação de estabelecimento de sessão dentro do período de tempo predefinido, e o dispositivo terminal está atualmente em um procedimento de estabelecimento de sessão. Nesse caso, para melhorar a segurança de plano de usuário, o dispositivo terminal pode habilitar proteção de criptografia de plano de usuário.
[0318] Além disso, opcionalmente, se o dispositivo terminal usar a implementação c1-c2, e o dispositivo terminal adicionalmente receber as informações de indicação de criptografia, se houver um conflito entre a implementação c1 -c2 e as informações de indicação de criptografia, o dispositivo terminal determinará, com base nas informações de indicação de criptografia recebidas, se habilitar proteção de criptografia de plano de usuário.
Petição 870190130980, de 10/12/2019, pág. 96/175
91/134
[0319] Para outro exemplo, ao habilitar proteção de plano de sinalização (habilitar a proteção de integridade de plano de sinalização e/ou a proteção de criptografia de plano de sinalização), o dispositivo terminal também pode habilitar proteção de criptografia de plano de usuário. Por exemplo, na implementação mostrada na Figura 2, entre a etapa 203 e a etapa 204, o método inclui adicionalmente que, ao habilitar proteção de plano de sinalização, a estação de base também pode habilitar proteção de criptografia de plano de usuário.
[0320] O dispositivo terminal pode determinar, com base em se enviar a segunda mensagem de plano de usuário predefinida dentro do período de tempo predefinido, se habilitar proteção de plano de sinalização (proteção de integridade de plano de sinalização e/ou proteção de criptografia de plano de sinalização). A segunda mensagem de plano de sinalização predefinida pode incluir uma solicitação de registro ou uma solicitação de serviço. Especificamente, se for determinado, com base no procedimento atual, que o dispositivo terminal atualmente inicia uma solicitação de registro (ou uma solicitação de serviço), é determinado que o procedimento atual é um procedimento de registro (ou um procedimento de serviço). Como as informações de alocação de recursos de plano de usuário não são recebidas no procedimento, o dispositivo terminal pode habilitar proteção de plano de sinalização.
[0321] Além disso, opcionalmente, o dispositivo terminal pode determinar, com base nas informações de indicação de proteção de integridade de plano de sinalização, se habilitar proteção de integridade de plano de sinalização e pode determinar, com base nas informações de indicação de criptografia de plano de sinalização recebidas, se habilitar a proteção de criptografia de plano de sinalização. Pelo menos uma das informações de indicação de proteção de integridade de plano de sinalização e as informações de indicação de criptografia de plano de sinalização recebidas pelo dispositivo terminal também podem ser enviadas por outro elemento de rede para a estação de base e depois encaminhadas pela estação de base para o dispositivo terminal. O outro elemento de rede pode ser, por exemplo, uma entidade SMF.
[0322] Opcionalmente, em uma implementação das modalidades mostradas na Figura 2, a Figura 2a e Figura 2b, o método inclui adicionalmente
Petição 870190130980, de 10/12/2019, pág. 97/175
92/134 o seguinte:
[0323] Α estação de base não habilita proteção de integridade de plano de usuário; ou o dispositivo terminal e a estação de base não habilitam proteção de integridade de plano de usuário.
[0324] O seguinte usa um exemplo em que a estação de base não habilita proteção de integridade de plano de usuário para descrição.
[0325] Quando uma condição para não habilitar proteção de integridade de plano de usuário pela estação de base é satisfeita, a estação de base não habilita proteção de integridade de plano de usuário.
[0326] A condição para não habilitar proteção de integridade de plano de usuário pela estação de base pode ser a seguinte: A estação de base recebe uma primeira mensagem de plano de sinalização predefinida, como uma mensagem de conclusão de solicitação de registro ou uma mensagem de conclusão de solicitação de serviço; ou a estação de base não recebe informações de plano de usuário ou informações de plano de usuário predefinidas, como um ID de sessão, um perfil de QoS, um ID de sessão predefinido ou um perfil de QoS predefinido dentro de um período de tempo predefinido; ou a estação de base não recebe, dentro de um período de tempo predefinido, uma mensagem solicitando alocar um recurso de plano de usuário para o dispositivo terminal ou realocar um recurso de plano de usuário para o dispositivo terminal, como uma mensagem de solicitação de alocação de recurso; ou as informações de indicação de proteção de integridade incluídas na política de segurança recebida pela estação de base indicam para não habilitar proteção de integridade de plano de usuário; ou um tipo de serviço de sessão não é um tipo de serviço de sessão predefinido, por exemplo, a política de segurança pré-configurada pode incluir uma relação de associação entre o tipo de serviço de sessão predefinido e a habilitação da proteção de integridade de plano de usuário, e a proteção de integridade de plano de usuário pode não estar habilitada quando o tipo de serviço de sessão predefinido não é recebido.
[0327] Por exemplo, quando uma condição padrão predefinida indica que a estação de base nem sempre habilita proteção de integridade de plano de usuário, uma chave de proteção de integridade de plano de usuário não é gerada.
[0328] Opcionalmente, em uma implementação das modalidades
Petição 870190130980, de 10/12/2019, pág. 98/175
93/134 mostradas na Figura 2, a Figura 2a e Figura 2b, o método inclui adicionalmente o seguinte:
[0329] A estação de base não habilita proteção de criptografia de plano de usuário; ou o dispositivo terminal e a estação de base não habilitam proteção de criptografia de plano de usuário.
[0330] O seguinte usa um exemplo em que a estação de base não habilita proteção de criptografia de plano de usuário para descrição.
[0331] Quando uma condição para não habilitar proteção de criptografia de plano de usuário pela estação de base é satisfeita, a estação de base não habilita proteção de criptografia de plano de usuário.
[0332] A condição para não habilitar proteção de criptografia de plano de usuário pela estação de base pode ser a seguinte: A estação de base recebe uma primeira mensagem de plano de sinalização predefinida, como uma mensagem de conclusão de solicitação de registro ou uma mensagem de conclusão de solicitação de serviço; ou a estação de base não recebe informações de plano de usuário ou informações de plano de usuário predefinidas, como um ID de sessão, um perfil de QoS, um ID de sessão predefinido ou um perfil de QoS predefinido dentro de um período de tempo predefinido; ou a estação de base não recebe, dentro de um período de tempo predefinido, uma mensagem solicitando alocar um recurso de plano de usuário para o dispositivo terminal ou realocar um recurso de plano de usuário para o dispositivo terminal, como uma mensagem de solicitação de alocação de recurso; ou as informações de indicação de proteção de criptografia incluídas na política de segurança recebida pela estação de base indicam para não habilitar proteção de criptografia de plano de usuário; ou um tipo de serviço de sessão não é um tipo de serviço de sessão predefinido, por exemplo, a política de segurança pré-configurada pode incluir uma relação de associação entre o tipo de serviço de sessão predefinido e a habilitação da proteção de criptografia de plano de usuário.
[0333] Por exemplo, quando uma condição padrão predefinida indica que a estação de base nem sempre habilita proteção de criptografia de plano de usuário, uma chave de criptografia de plano de usuário não é gerada.
[0334] O seguinte usa um exemplo em que o dispositivo terminal não habilita proteção de integridade de plano de usuário para descrição.
Petição 870190130980, de 10/12/2019, pág. 99/175
94/134
[0335] Quando uma condição para não habilitar proteção de integridade de plano de usuário pelo dispositivo terminal é satisfeita, o dispositivo terminal não habilita proteção de integridade de plano de usuário.
[0336] A condição para não habilitar proteção de integridade de plano de usuário pelo dispositivo terminal pode ser a seguinte: O dispositivo terminal não envia uma segunda mensagem de plano de usuário predefinida dentro de um período de tempo predefinido, como uma mensagem de solicitação de estabelecimento de sessão; ou o dispositivo terminal recebe informações de indicação de proteção de integridade enviadas pela estação de base e as informações de indicação de proteção de integridade indicam para não habilitar proteção de integridade de plano de usuário; ou o dispositivo terminal recebe uma primeira mensagem de plano de sinalização predefinida dentro de um período de tempo predefinido, como uma mensagem de conclusão de solicitação de registro ou uma mensagem de solicitação de serviço.
[0337] Por exemplo, quando uma condição padrão predefinida indica que o dispositivo terminal nem sempre habilita proteção de integridade de plano de usuário, uma chave de proteção de integridade de plano de usuário não é gerada.
[0338] Por exemplo, quando uma condição padrão predefinida indica que a estação de base nem sempre habilita proteção de criptografia de plano de usuário, uma chave de criptografia de plano de usuário não é gerada.
[0339] O seguinte usa um exemplo no qual o dispositivo terminal não habilita proteção de criptografia de plano de usuário para descrição.
[0340] Quando uma condição para não habilitar proteção de criptografia de plano de usuário pelo dispositivo terminal é satisfeita, o dispositivo terminal não habilita proteção de criptografia de plano de usuário.
[0341] A condição para não habilitar proteção de criptografia de plano de usuário pelo dispositivo terminal pode ser a seguinte: O dispositivo terminal não envia uma segunda mensagem de plano de usuário predefinida dentro de um período de tempo predefinido, como uma mensagem de solicitação de estabelecimento de sessão; ou o dispositivo terminal recebe informações de indicação de proteção de criptografia enviadas pela estação de base, e as informações de indicação de proteção de criptografia indicam para não habilitar proteção de criptografia de plano de usuário.
Petição 870190130980, de 10/12/2019, pág. 100/175
95/134
[0342] Por exemplo, quando uma condição padrão predefinida indica que o dispositivo terminal nem sempre habilita proteção de criptografia de plano de usuário, uma chave de criptografia de plano de usuário não é gerada.
[0343] Existe uma pluralidade de implementações em que o dispositivo terminal ou a estação de base não habilitam proteção de integridade de plano de usuário, que são como segue:
[0344] Maneira 1 de não habilitar proteção de integridade de plano de usuário: que o dispositivo terminal ou a estação de base não habilita proteção de integridade de plano de usuário pode ser gerar uma chave de proteção de integridade de plano de usuário, mas não realizar proteção de integridade de plano de usuário usando a chave de proteção de integridade de plano de usuário. Ou seja, quando a proteção de integridade de plano de usuário não está habilitada, a chave de proteção de integridade de plano de usuário pode ser gerada primeiro, mas a chave de proteção de integridade de plano de usuário não é usada; quando a proteção de integridade de plano de usuário estiver habilitada, a chave de proteção de integridade de plano de usuário será usada para realizar proteção de integridade de plano de usuário.
[0345] Na maneira 1 de não habilitar proteção de integridade de plano de usuário, um algoritmo de proteção de integridade de plano de usuário é obtido antes que o dispositivo terminal gere a chave de proteção de integridade de plano de usuário. Por exemplo, um algoritmo de proteção de integridade de plano de sinalização pode ser usado como o algoritmo de proteção de integridade de plano de usuário.
[0346] Maneira 2 de não habilitar proteção de integridade de plano de usuário: que o dispositivo terminal ou a estação de base não habilita proteção de integridade de plano de usuário pode ser gerar uma chave de proteção de integridade de plano de usuário e realizar proteção de integridade de plano de usuário usando a chave de proteção de integridade de plano de usuário. Ou seja, quando se habilitar proteção de integridade de plano de usuário não pode ser determinado ou é determinado habilitar proteção de integridade de plano de usuário, a chave de proteção de integridade de plano de usuário pode não ser gerada, e a chave de proteção de integridade de plano de usuário é gerada quando a proteção de integridade de plano de usuário está habilitada.
[0347] Correspondentemente, por exemplo, para o dispositivo
Petição 870190130980, de 10/12/2019, pág. 101/175
96/134 terminal e a estação de base, se for determinado que o dispositivo terminal e a estação de base sempre não habilitam proteção de integridade de plano de usuário (por exemplo, que pode ser uma condição predefinida), a chave de proteção de integridade de plano de usuário pode não ser gerada.
[0348] As implementações nas quais a estação de base e o dispositivo terminal não habilitam a proteção de integridade de plano de usuário podem ser iguais ou diferentes. Por exemplo, a estação de base e o dispositivo terminal usam a maneira 1 de não habilitar proteção de integridade de plano de usuário; ou o dispositivo terminal usa a maneira 1 de não habilitar proteção de integridade de plano de usuário e a estação de base usa a maneira 2 de não habilitar proteção de integridade de plano de usuário.
[0349] Existe uma pluralidade de implementações em que o dispositivo terminal ou a estação de base não habilitam proteção de criptografia de plano de usuário, que são como segue:
[0350] Maneira 1 de não habilitar proteção de criptografia de plano de usuário: que o dispositivo terminal ou a estação de base não habilita proteção de criptografia de plano de usuário inclui gerar uma chave de proteção de criptografia de plano de usuário, mas não realizar proteção de criptografia de plano de usuário usando a chave de proteção de criptografia de plano de usuário. Ou seja, quando a proteção de criptografia de plano de usuário não está habilitada, a chave de proteção de criptografia de plano de usuário pode ser gerada primeiro, mas não ser usada; e quando a proteção de criptografia de plano de usuário está habilitada, a proteção de criptografia de plano de usuário é realizada usando a chave de proteção de criptografia de plano de usuário.
[0351] Na maneira 1 de não habilitar proteção de criptografia de plano de usuário, um algoritmo de criptografia de plano de usuário é obtido antes que o dispositivo terminal gere a chave de proteção de criptografia de plano de usuário. Por exemplo, um algoritmo de criptografia de plano de sinalização pode ser usado como o algoritmo de criptografia de plano de usuário.
[0352] Maneira 2 de não habilitar proteção de criptografia de plano de usuário: que o dispositivo terminal ou a estação de base não habilita proteção de criptografia de plano de usuário inclui gerar uma chave de proteção de criptografia de plano de usuário quando a proteção de criptografia de plano de usuário estiver habilitada, e realizar proteção de criptografia de plano de usuário
Petição 870190130980, de 10/12/2019, pág. 102/175
97/134 usando a chave de proteção de criptografia de plano de usuário. Ou seja, quando se habilitar proteção de criptografia de plano de usuário não pode ser determinado ou é determinado não habilitar proteção de criptografia de plano de usuário, a chave de proteção de criptografia de plano de usuário pode não ser gerada, e a chave de criptografia de plano de usuário é gerada quando a proteção de criptografia de plano de usuário está habilitada.
[0353] Correspondentemente, por exemplo, para o dispositivo terminal e a estação de base, se for determinado que o dispositivo terminal e a estação de base sempre não habilitam proteção de criptografia de plano de usuário (por exemplo, que pode ser uma condição predefinida), a chave de proteção de criptografia de plano de usuário pode não ser gerada.
[0354] As implementações nas quais a estação de base e o dispositivo terminal não habilitam a proteção de criptografia de plano de usuário podem ser iguais ou diferentes. Por exemplo, a estação de base e o dispositivo terminal usam a maneira 1 de não habilitar proteção de criptografia de plano de usuário; ou o dispositivo terminal usa a maneira 1 de não habilitar proteção de criptografia de plano de usuário e a estação de base usa a maneira 2 de não habilitar proteção de criptografia de plano de usuário.
[0355] Além disso, há uma pluralidade de implementações em que a estação de base e o dispositivo terminal habilitam proteção de criptografia de plano de usuário. Por exemplo, se habilitar proteção de criptografia de plano de usuário pode ser determinado com base em uma estipulação predefinida. A estipulação predefinida pode ser que o dispositivo terminal habilite proteção de criptografia de plano de usuário após receber um comando de modo de segurança de AS, ou seja, satisfazendo uma condição de proteção de criptografia de plano de usuário da estação de base inclui receber um comando de modo de segurança de AS. Com base neste exemplo, por exemplo, satisfazer uma condição de proteção de integridade de plano de usuário do dispositivo terminal inclui que o dispositivo terminal receba informações de indicação de proteção de integridade indicando para habilitar proteção de integridade de plano de usuário. Ou seja, o dispositivo terminal habilita proteção de criptografia de plano de usuário após receber o comando de modo de segurança de AS, e para habilitar proteção de integridade de plano de usuário, a estação de base deve notificar o dispositivo terminal enviando as informações de indicação de proteção
Petição 870190130980, de 10/12/2019, pág. 103/175
98/134 de integridade. Nesse caso, o dispositivo terminal não habilita proteção de integridade de plano de usuário quando não recebe as informações de indicação de proteção de integridade. Além disso, quando o dispositivo terminal recebe as informações de indicação de proteção de integridade indicando para habilitar proteção de integridade de plano de usuário, o dispositivo terminal habilita proteção de integridade de plano de usuário. Em outras palavras, o dispositivo terminal não habilita proteção de integridade de plano de usuário dentro de um período de tempo, mas pode habilitar proteção de integridade de plano de usuário em outro período. Ou seja, o dispositivo terminal não habilita proteção de integridade de plano de usuário temporariamente. Isso é diferente de um caso em que o dispositivo terminal nem sempre habilita proteção de integridade de plano de usuário. A estação de base e o dispositivo terminal podem determinar adicionalmente, com base em uma estipulação predefinida, se habilitar proteção de plano de sinalização (incluindo a proteção de integridade de plano de sinalização e/ou a proteção de criptografia de plano de sinalização), e a estipulação predefinida pode ser que o dispositivo terminal habilite proteção de plano de sinalização após receber um comando de modo de segurança de AS.
[0356] Para outro exemplo, ao habilitar proteção de plano de sinalização (habilitar a proteção de integridade de plano de sinalização e/ou a proteção de criptografia de plano de sinalização), o dispositivo terminal ou a estação de base habilita proteção de criptografia de plano de usuário. Ou seja, satisfazer a condição de proteção de criptografia de plano de usuário da estação de base inclui a habilitação da proteção de plano de sinalização. Em outras palavras, a proteção de criptografia de plano de usuário pode ser habilitada juntamente com a proteção de plano de sinalização, e habilitar ou desabilitar a proteção de integridade de plano de usuário depende de se uma condição de proteção de integridade de plano de usuário da estação de base é satisfeita. Por exemplo, após receber a aceitação de registro ou a aceitação de solicitação de serviço, a estação de base pode habilitar proteção de plano de sinalização (habilita proteção de integridade de plano de sinalização e/ou a proteção de criptografia de plano de sinalização), habilitar proteção de criptografia de plano de usuário, mas não habilitar proteção de integridade de plano de usuário. Além disso, nesta implementação, as informações de indicação de criptografia podem não estar definidas.
Petição 870190130980, de 10/12/2019, pág. 104/175
99/134
[0357] Por exemplo, após a etapa 203 na Figura 2, ou seja, depois que a estação de base envia o comando de modo de segurança de AS para o dispositivo terminal, o dispositivo terminal habilita proteção de plano de sinalização, mas não a proteção de plano de usuário, e pode gerar uma chave de plano de sinalização (chave de proteção de integridade de plano de sinalização e/ou chave de proteção de criptografia de plano de usuário) e uma chave de plano de usuário (chave de proteção de integridade de plano de usuário e/ou chave de proteção de criptografia de plano de usuário). No entanto, apenas a chave de plano de sinalização é usada para proteção e a chave de plano de usuário pode ser armazenada. A chave de plano de usuário é usada quando a proteção de plano de usuário está habilitada.
[0358] Para outro exemplo, após a etapa 203 na Figura 2, isto é, após a estação de base enviar o comando de modo de segurança de AS para o dispositivo terminal, o dispositivo terminal habilita proteção de plano de sinalização, habilita proteção de criptografia de plano de usuário, e não habilita proteção de integridade de plano de usuário, e pode gerar uma chave de plano de sinalização (chave de proteção de integridade de plano de sinalização e/ou chave de proteção de criptografia de plano de sinalização), uma chave de criptografia de plano de usuário, e uma chave de proteção de integridade de plano de usuário. No entanto, apenas a chave de plano de sinalização e a chave de criptografia de plano de usuário são usadas para proteção. A chave de proteção de integridade de plano de usuário pode ser armazenada. Quando a proteção de integridade de plano de usuário está habilitada, a chave de proteção de integridade de plano de usuário é usada para realizar proteção de integridade.
[0359] Para outro exemplo, após a etapa 203 na Figura 2, ou seja, após a estação de base enviar o comando de modo de segurança de AS para o dispositivo terminal, o dispositivo terminal habilita proteção de plano de sinalização, mas não a proteção de plano de usuário, pode gerar uma chave de plano de sinalização (chave de proteção de integridade de plano de sinalização e/ou chave de proteção de criptografia de plano de sinalização) e usa a chave de plano de sinalização para proteção, e não gera uma chave de plano de usuário (chave de proteção de integridade de plano de usuário e/ou chave de proteção de criptografia de plano de usuário). Por outro exemplo, quando a mensagem de solicitação na etapa 211 na Figura 2b é uma solicitação de
Petição 870190130980, de 10/12/2019, pág. 105/175
100/134 estabelecimento de sessão; após a etapa 211, a estação de base envia um comando de modo de segurança de AS ou uma mensagem de reconfiguração de RRC para o dispositivo terminal e, após receber o comando de modo de segurança de AS ou a mensagem de reconfiguração de RRC, o dispositivo terminal usa a chave de plano de usuário para realizar proteção de segurança de plano de usuário.
[0360] Para outro exemplo, após a etapa 203 na Figura 2, ou seja, após a estação de base enviar o comando de modo de segurança de AS para o dispositivo terminal, o dispositivo terminal habilita proteção de plano de sinalização e criptografia de plano de usuário, não habilita proteção de integridade de plano de usuário, pode gerar uma chave de plano de sinalização (chave de proteção de integridade de plano de sinalização e/ou chave de proteção de criptografia de plano de sinalização) e usa a chave de plano de sinalização para proteção, e pode gerar uma chave de criptografia de plano de usuário e usar a chave de criptografia de plano de usuário para proteção, mas não gera uma chave de proteção de integridade de plano de usuário. Por outro exemplo, quando a mensagem de solicitação na etapa 211 na Figura 2b é uma solicitação de estabelecimento de sessão, após a etapa 211, a estação de base envia um comando de modo de segurança de AS ou uma mensagem de reconfiguração de RRC para o dispositivo terminal e, após receber o comando de modo de segurança de AS ou a mensagem de reconfiguração de RRC, o dispositivo terminal gera a chave de proteção de integridade de plano de usuário e usa a chave de proteção de integridade de plano de usuário para realizar proteção de segurança de plano de usuário.
[0361] O dispositivo terminal pode determinar, com base nas informações de indicação de proteção de integridade recebidas enviadas pela estação de base, se habilitar proteção de integridade de plano de usuário, ou o dispositivo terminal também pode determinar habilitar proteção de integridade de plano de usuário ou não a proteção de integridade de plano de usuário, que é descrito a seguir usando a implementação c1 e a implementação c2. Além disso, opcionalmente, para economizar recursos, se o dispositivo terminal determinar não habilitar proteção de integridade de plano de usuário, um algoritmo de proteção de integridade de plano de usuário pode não ser enviado. Ou seja, nesta implementação opcional, um algoritmo de proteção de integridade de
Petição 870190130980, de 10/12/2019, pág. 106/175
101/134 plano de usuário vazio não pode ser enviado, mas se o dispositivo terminal não habilitar proteção de criptografia de plano de usuário, um algoritmo de criptografia de plano de usuário vazio será enviado.
[0362] Deve ser notado que nas modalidades anteriores e várias implementações opcionais das modalidades, pelo menos uma das informações de indicação de proteção de integridade, as informações de indicação de criptografia, as informações de indicação de proteção de integridade de plano de sinalização e as informações de indicação de criptografia de plano de sinalização enviadas pela estação de base para o dispositivo terminal podem ser portadas em uma mensagem predefinida. Por exemplo, um campo é predefinido na mensagem predefinida, e o campo predefinido porta pelo menos uma das informações de indicação de proteção de integridade, as informações de indicação de criptografia, as informações de indicação de proteção de integridade de plano de sinalização e as informações de indicação de criptografia de plano de sinalização. A mensagem predefinida pode ser um comando de modo de segurança de AS ou uma solicitação de reconfiguração de RRC. Por exemplo, as informações de indicação de proteção de integridade são enviadas ao dispositivo terminal na forma de um identificador de um algoritmo mostrado na seguinte implementação d-1 (b7).
[0363] Deve ser notado que, nas modalidades anteriores e várias implementações opcionais das modalidades, pelo menos uma das informações de indicação de proteção de integridade, as informações de indicação de criptografia, as informações de indicação de proteção de integridade de plano de sinalização e as informações de indicação de criptografia de plano de sinalização recebidas pela estação de base podem ser portadas na política de segurança, e d-1 (b2) a d-1 (b7) podem ser usadas especificamente.
[0364] A seguir, são descritas várias maneiras de representação das informações de indicação de proteção de integridade e/ou das informações de indicação de criptografia.
[0365] Implementação d-1 (b1)
[0366] Pelo menos uma das informações de indicação de proteção de integridade, as informações de indicação de criptografia, as informações de indicação de proteção de integridade de plano de sinalização e as informações de indicação de criptografia de plano de sinalização podem ser representadas
Petição 870190130980, de 10/12/2019, pág. 107/175
102/134 pela configuração de um ID de sessão em um campo predefinido. Por exemplo, quando a estação de base não recebe o ID de sessão, o ID de sessão no campo predefinido na mensagem predefinida enviada ao dispositivo terminal é definido como 0, indicando que apenas a proteção de plano de sinalização está habilitada, a proteção de integridade de plano de usuário não está habilitada e a criptografia de plano de usuário não está habilitada. Quando o ID de sessão no campo predefinido na mensagem predefinida recebida pelo dispositivo terminal é 0, pode ser determinado que apenas a proteção de plano de sinalização está habilitada (a proteção de integridade de plano de sinalização está habilitada e/ou a proteção de criptografia de plano de sinalização está habilitada), as informações de indicação de proteção de integridade de plano de usuário não estão habilitadas e as informações de indicação de criptografia de plano de usuário não estão habilitadas.
[0367] Além disso, se habilitar proteção de plano de sinalização pode ser habilitar pelo menos um dentre proteção de integridade de plano de sinalização e proteção de criptografia de plano de sinalização. Especificamente, se habilitar proteção de integridade de plano de sinalização, proteção de criptografia de plano de sinalização ou proteção de integridade de plano de sinalização e proteção de criptografia de plano de sinalização pode ser determinado com base em uma regra predefinida ou similar. Por exemplo, a proteção de integridade de plano de sinalização e a proteção de criptografia de plano de sinalização são habilitadas por padrão na regra predefinida. O conteúdo a seguir semelhante ao deste parágrafo não é repetido abaixo.
[0368] Para outro exemplo, ao receber o ID de sessão, a estação de base pode definir o ID de sessão no campo predefinido na mensagem predefinida enviada ao dispositivo terminal, para um ID de sessão atual. Se o dispositivo terminal receber a mensagem predefinida enviada pela estação de base, o campo predefinido na mensagem predefinida inclui o ID de sessão, e o ID de sessão é o ID de sessão atual, o dispositivo terminal habilita proteção de criptografia de plano de usuário e a proteção de integridade de plano de usuário por padrão. Opcionalmente, um algoritmo de criptografia selecionado pela estação de base para o plano de sinalização também pode ser usado para o plano de usuário, ou seja, o algoritmo de criptografia selecionado pela estação de base é um algoritmo de criptografia de plano de sinalização e um algoritmo
Petição 870190130980, de 10/12/2019, pág. 108/175
103/134 de criptografia de plano de usuário. Da mesma forma, um algoritmo de proteção de integridade de plano de sinalização selecionado é usado como um algoritmo de proteção de integridade de plano de usuário. Além disso, se o dispositivo terminal receber a mensagem predefinida enviada pela estação de base, o campo predefinido na mensagem predefinida inclui o ID de sessão e o ID de sessão não está vazio, o dispositivo terminal pode habilitar proteção de integridade de plano de usuário e/ou proteção de criptografia de plano de usuário. Especificamente, se habilitar proteção de criptografia de plano de usuário, a proteção de integridade de plano de usuário ou proteção de criptografia de plano de usuário e proteção de integridade de plano de usuário pode ser determinado consultando a regra predefinida ou a descrição em outra modalidade deste pedido.
[0369] Em outra implementação opcional, pelo menos uma das informações de indicação de proteção de integridade, as informações de indicação de criptografia, as informações de indicação de proteção de integridade de plano de sinalização e as informações de indicação de criptografia de plano de sinalização podem ser indicadas por definir informações relacionadas de QoS no campo predefinido na mensagem predefinida, por exemplo, definir um valor de QFI. Uma maneira de usar o valor de QFI pode ser semelhante a uma maneira de usar o ID de sessão. Por exemplo, quando a estação de base não recebe o QFI, o QFI no campo predefinido na mensagem predefinida enviada ao dispositivo terminal é definido como 0, indicando que apenas a proteção de plano de sinalização está habilitada, as informações de indicação de proteção de integridade de plano de usuário não são habilitadas, e as informações de indicação de criptografia de plano de usuário não estão habilitadas. Quando o QFI no campo predefinido recebido, o dispositivo terminal é 0, pode ser determinado que apenas a proteção de plano de sinalização está habilitada, as informações de indicação de proteção de integridade de plano de usuário não são habilitadas e as informações de indicação de criptografia de plano de usuário não estão habilitadas.
[0370] Implementação d-1 (b2)
[0371] As informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser representadas usando informações de bits em um campo predefinido em uma mensagem predefinida
Petição 870190130980, de 10/12/2019, pág. 109/175
104/134 ou em uma política de segurança, por exemplo, o campo predefinido pode incluir uma parte de informações de bit.
[0372] Por exemplo, em um caso padrão, a proteção de criptografia de plano de usuário é habilitada, e a proteção de integridade de plano de usuário não é habilitada. Em seguida, uma parte de informações de bit no campo predefinido são as informações de indicação de proteção de integridade. Um local de bit 1 no campo predefinido pode indicar habilitar a proteção de integridade de plano de usuário. Um local de bit 0 no campo predefinido pode indicar a não habilitação de proteção de integridade de plano de usuário.
[0373] Para outro exemplo, em um caso padrão, a proteção de criptografia de plano de usuário não é habilitada e a proteção de integridade de plano de usuário é habilitada. Então, uma parte de informações de bit no campo predefinido é as informações de indicação de criptografia. Especificamente, um local de bit 1 no campo predefinido pode indicar habilitar a proteção de criptografia de plano de usuário, e um local de bit 0 no campo predefinido pode indicar a não habilitação de proteção de criptografia de plano de usuário.
[0374] Para outro exemplo, em um caso padrão, a proteção de criptografia de plano de usuário é habilitada, e a proteção de integridade de plano de usuário é habilitada. Em seguida, uma parte de informações de bit no campo predefinido são as informações de indicação de proteção de integridade e as informações de indicação de criptografia. Um local de bit 1 no campo predefinido pode indicar habilitar a proteção de integridade de plano de usuário e a proteção de criptografia de plano de usuário. Um local de bit 0 no campo predefinido pode indicar a não habilitação de proteção de integridade de plano de usuário e a não habilitação de proteção de criptografia de plano de usuário.
[0375] Implementação d-1 (b3)
[0376] As informações de indicação de proteção de integridade e as informações de indicação de criptografia podem ser representadas por informações de bit em um campo predefinido em uma mensagem predefinida ou em uma política de segurança. Por exemplo, o campo predefinido pode incluir duas partes de informações de bits. Uma parte de informações de bit indica se a criptografia de plano de usuário precisa ser habilitada ou desabilitada. As outras partes de informações de bit indicam se a proteção de integridade de plano de usuário precisa ser habilitada ou desabilitada. Ou seja, uma parte de informações
Petição 870190130980, de 10/12/2019, pág. 110/175
105/134 de bit são as informações de indicação de criptografia, e a outra parte de informações de bit são as informações de indicação de proteção de integridade. Por exemplo, as informações de bits correspondentes às informações de indicação de criptografia no campo predefinido são definidas como 1, indicando a habilitação da proteção de criptografia de plano de usuário. As informações de bit correspondentes às informações de indicação de proteção de integridade no campo predefinido são definidas como 1, indicando que o dispositivo terminal habilita proteção de integridade de plano de usuário. As informações de bit correspondentes às informações de indicação de criptografia no campo predefinido são definidas como 0, indicando que não é possível habilitar proteção de criptografia de plano de usuário. As informações de bit correspondentes às informações de indicação de proteção de integridade no campo predefinido são definidas como 0, indicando que o dispositivo terminal não habilita proteção de integridade de plano de usuário.
[0377] Implementação d-1 (b4)
[0378] As informações de indicação de proteção de integridade e as informações de indicação de criptografia podem ser representadas por informações de bit em um campo predefinido em uma mensagem predefinida ou em uma política de segurança. Por exemplo, o campo predefinido pode incluir quatro partes de informações de bits. Uma parte de informações de bit no campo predefinido indica se a proteção de criptografia de plano de usuário é habilitada. Por exemplo, as informações de bit são definidas como 1, indicando que a proteção de criptografia de plano de usuário é habilitada, e as informações de bits são definidas como 0, indicando que a proteção de criptografia de plano de usuário não é habilitada. Uma parte de informações de bit no campo predefinido indica se o comprimento de chave da proteção de criptografia de plano de usuário é de 128 bits ou 256 bits. Por exemplo, as informações de bits são definidas como 1, indicando que o comprimento de chave da proteção de criptografia de plano de usuário é de 128 bits, e as informações de bits são definidas como 0, indicando que o comprimento de chave da proteção de criptografia de plano de usuário é de 256 bits. Uma parte de informações de bit no campo predefinido indica se um comprimento de chave da proteção de integridade de plano de usuário é 128 bits ou 256 bits. As informações de bit são definidas como 1, indicando que o comprimento de chave da proteção de
Petição 870190130980, de 10/12/2019, pág. 111/175
106/134 integridade de plano de usuário é de 128 bits, ou seja, um valor MAC de 32 bits é gerado. As informações de bit são definidas como 0, indicando que o comprimento de chave da proteção de integridade de plano de usuário é de 256 bits, ou seja, um valor MAC de 64 bits é gerado. Uma parte de informações de um bit no campo predefinido indica se a proteção de integridade de plano de usuário é habilitada. Por exemplo, as informações de bit são definidas como 1, indicando que a proteção de integridade de plano de usuário é habilitada, e as informações de bits são definidas como 0, indicando que a proteção de integridade de plano de usuário não é habilitada.
[0379] As informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser exemplos mostrados na implementação anterior c1 -1 (b2), implementação c1 -1 (b3) e implementação c1 1 (b4), e podem ser informações de bit. Alternativamente, as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser chamadas de informações de comutação.
[0380] Além disso, o conteúdo específico das informações de comutação pode ser combinado com um método específico. Por exemplo, se a proteção de criptografia de plano de usuário e a proteção de integridade de plano de usuário estiverem habilitadas e, adicionalmente, se for definido em uma regra predefinida que a proteção de criptografia de plano de usuário é habilitada por padrão, mas a proteção de integridade de plano de usuário precisa ser determinada com flexibilidade, apenas informações de indicação de 1 bit podem ser portadas em um campo predefinido, e as informações de indicação de 1 bit são usadas para indicar se a proteção de integridade de plano de usuário precisa ser habilitada. Além disso, se for definido na regra predefinida que nem a proteção de criptografia de plano de usuário nem a proteção de integridade de plano de usuário são habilitadas antes das informações de indicação de proteção de integridade e as informações de indicação de criptografia serem recebidas, informações de indicação de 2 bits podem ser portadas no campo predefinido, e são usadas respectivamente para indicar se habilitar proteção de criptografia de usuário e se habilitar proteção de integridade de plano de usuário.
[0381] Implementação d-1 (b5)
[0382] As informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser um identificador de um
Petição 870190130980, de 10/12/2019, pág. 112/175
107/134 algoritmo. Nesse caso, as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser portadas em um campo predefinido em uma mensagem predefinida ou em uma política de segurança, ou podem ser portadas em uma política de segurança. Em outras palavras, a estação de base envia um identificador de um algoritmo para o dispositivo terminal, o identificador do algoritmo é usado para indicar o algoritmo, e o identificador do algoritmo também é as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia.
[0383] Em uma implementação opcional, o AS SMC transmitido pela estação de base porta, por exemplo, números de EIA e EEA em uma rede LTE, e os números de EIA e EEA representam um algoritmo de proteção de integridade e um algoritmo de criptografia selecionados. Os números de EIA e EEA podem ser portados para representar as informações de indicação de proteção de integridade, as informações de indicação de criptografia, as informações de indicação de proteção de integridade de plano de sinalização, e as informações de indicação de criptografia de plano de sinalização. Por exemplo, o número de EIA indica que a proteção de integridade está habilitada.
[0384] Em outra implementação opcional, o identificador do algoritmo pode ser estendido para quatro campos predefinidos, que são respectivamente EIA-RRC, EEA-RRC, EIA-UP e EEA-UP. Um algoritmo selecionado é colocado em um local correspondente para representar um método de negociação atual. Por exemplo, a estação de base seleciona EIA-RRC = 3 e EEA-RRC = 2 e, em seguida, as informações de indicação de proteção de integridade, as informações de indicação de criptografia, as informações de indicação de proteção de integridade de plano de sinalização e as informações de indicação de criptografia de plano de sinalização podem ser (EIA-RRC = 3, EEA-RRC = 2, EIA-UP = 0, EEA-UP = 0). Portanto, após receber as informações, o dispositivo terminal habilita proteção de integridade de plano de sinalização porque EIARRC não é 0, habilita proteção de criptografia de plano de sinalização porque EEA-RRC não é 0, não habilita proteção de integridade de plano de usuário porque EIA-UP é 0, ou não habilita proteção de criptografia de plano de usuário porque EEA-UP é 0.
[0385] Além disso, nesta implementação, o identificador do algoritmo pode não apenas indicar as informações de indicação de proteção de integridade
Petição 870190130980, de 10/12/2019, pág. 113/175
108/134 e as informações de indicação de criptografia, mas também o algoritmo. Ou seja, em um caso em que a modalidade é usada, quando o identificador do algoritmo é enviado, todo o algoritmo (por exemplo, um algoritmo de proteção de integridade de plano de sinalização alvo, um algoritmo de criptografia de plano de sinalização alvo, uma integridade de plano de usuário alvo algoritmo de proteção e um algoritmo de criptografia de plano de usuário alvo), as informações de indicação de proteção de integridade e as informações de indicação de criptografia podem ser indicadas.
[0386] Por exemplo, EIA-RRC = 3 pode adicionalmente indicar um algoritmo de proteção de integridade de plano de sinalização. Por outro exemplo, EEA-RRC = 2 pode indicar adicionalmente um algoritmo de proteção de criptografia de plano de sinalização, e EIA-UP = 0 pode indicar adicionalmente um algoritmo de proteção de integridade de plano de usuário. Por outro exemplo, EEA-UP = 0 pode indicar adicionalmente um algoritmo de proteção de criptografia de plano de usuário.
[0387] Em uma implementação opcional da modalidade mostrada na Figura 2a ou Figura 2b, as informações de indicação de proteção de integridade podem ser um identificador de um algoritmo. Por exemplo, quando a estação de base habilita proteção de integridade de plano de usuário para o dispositivo terminal, as informações de indicação de proteção de integridade podem ser um identificador do algoritmo de proteção de integridade de plano de usuário alvo.
[0388] Opcionalmente, quando a estação de base não habilita proteção de integridade de plano de usuário para o dispositivo terminal, as informações de indicação de proteção de integridade podem ser um identificador de um algoritmo de proteção de integridade de plano de usuário predefinido ou podem não portar informações sobre qualquer algoritmo de proteção de integridade. Ou seja, um identificador de qualquer algoritmo de proteção de integridade ou o identificador do algoritmo de proteção de integridade de plano de usuário predefinido não é enviado, o que significa que as informações de indicação de proteção de integridade indicam para não habilitar proteção de integridade. Por exemplo, supõe-se que o identificador do algoritmo de proteção de integridade de plano de usuário predefinido seja X123. Se as informações de indicação de proteção de integridade recebidas pelo dispositivo terminal forem X123, o dispositivo terminal não habilita proteção de integridade de plano de
Petição 870190130980, de 10/12/2019, pág. 114/175
109/134 usuário.
[0389] Em uma implementação opcional da modalidade mostrada na Figura 2a ou Figura 2b, a estação de base pode adicionalmente enviar informações de indicação de criptografia para o dispositivo terminal, onde as informações de indicação de criptografia são usadas para indicar a estação de base se habilitar proteção de criptografia de plano de usuário para o dispositivo terminal. Quando a estação de base habilita proteção de criptografia de plano de usuário para o dispositivo terminal, as informações de indicação de criptografia podem ser um identificador de um algoritmo. Por exemplo, as informações de indicação de criptografia são um identificador de um algoritmo de criptografia de plano de usuário alvo.
[0390] Opcionalmente, quando a estação de base não habilita proteção de criptografia para o dispositivo terminal, as informações de indicação de criptografia podem ser um identificador de um algoritmo de criptografia de plano de usuário predefinido ou um algoritmo de criptografia vazio. Ou seja, um identificador de qualquer algoritmo de criptografia não é enviado ou o algoritmo de criptografia vazio ou o identificador do algoritmo de criptografia de plano de usuário predefinido é enviado, o que significa que as informações de indicação de criptografia indicam para não habilitar proteção de criptografia. Por exemplo, supõe-se que o identificador do algoritmo de criptografia de plano de usuário predefinido seja X321. Se as informações de indicação de proteção de criptografia recebidas pelo dispositivo terminal forem X321, o dispositivo terminal não habilita a proteção de criptografia de plano de usuário.
[0391] Em outra implementação opcional da modalidade mostrada na Figura 2, a Figura 2a ou Figura 2b, a estação de base pode adicionalmente enviar informações de indicação de proteção de integridade de plano de sinalização para o dispositivo terminal, onde as informações de indicação de proteção de integridade de plano de sinalização são usadas para indicar a estação de base se habilitar proteção de integridade de plano de sinalização para o dispositivo terminal. Quando a estação de base habilita proteção de integridade de plano de sinalização para o dispositivo terminal, as informações de indicação de proteção de integridade de plano de sinalização podem ser um identificador de um algoritmo. Por exemplo, as informações de indicação de proteção de integridade de plano de sinalização são um identificador de um
Petição 870190130980, de 10/12/2019, pág. 115/175
110/134 algoritmo de proteção de integridade de plano de sinalização alvo.
[0392] Opcionalmente, quando a estação de base não habilita proteção de integridade de plano de sinalização para o dispositivo terminal, as informações de indicação de proteção de integridade de plano de sinalização podem ser um identificador de um algoritmo de proteção de integridade de plano de sinalização predefinido ou podem ser informações que não portam nenhum algoritmo de proteção de integridade. Por exemplo, supõe-se que o identificador do algoritmo de proteção de integridade de plano de sinalização predefinido seja X456. Se as informações de indicação de proteção de integridade de plano de sinalização recebidas pelo dispositivo terminal forem X456, o dispositivo terminal não habilita proteção de integridade de plano de sinalização.
[0393] Em outra implementação opcional da modalidade mostrada na Figura 2, a Figura 2a ou Figura 2b, a estação de base pode adicionalmente enviar informações de indicação de criptografia de plano de sinalização para o dispositivo terminal, onde as informações de indicação de criptografia de plano de sinalização são usadas para indicar a estação de base se habilita proteção de criptografia de plano de sinalização para o dispositivo terminal. Quando a estação de base habilita proteção de criptografia de plano de sinalização para o dispositivo terminal, as informações de indicação de criptografia de plano de sinalização podem ser um identificador de um algoritmo. Por exemplo, as informações de indicação de criptografia de plano de sinalização são um identificador de um algoritmo de criptografia de plano de sinalização alvo.
[0394] Opcionalmente, quando a estação de base não habilita proteção de criptografia de plano de sinalização para o dispositivo terminal, as informações de indicação de criptografia de plano de sinalização podem ser um identificador de um algoritmo de criptografia de plano de sinalização predefinido ou de um algoritmo de criptografia vazio. Por exemplo, supõe-se que o identificador do algoritmo do algoritmo de criptografia de plano de sinalização predefinido seja X654. Se as informações de indicação de proteção de criptografia de plano de sinalização recebidas pelo dispositivo terminal forem X654, o dispositivo terminal não habilita proteção de criptografia de plano de sinalização.
[0395] Implementação d-1 (b6)
[0396] As informações de indicação de proteção de integridade e/ou
Petição 870190130980, de 10/12/2019, pág. 116/175
111/134 as informações de indicação de criptografia podem ser um ID de sessão e informações de 4 bits em um campo predefinido em uma mensagem predefinida ou em uma política de segurança. Portanto, o dispositivo terminal precisa habilitar segurança de plano de usuário correspondente do ID de sessão com base nas informações de bit. Por exemplo, o dispositivo terminal possui uma pluralidade de IDs de sessão. Em seguida, as soluções de segurança de plano de usuário correspondentes aos IDs de sessão podem ser diferentes. Por exemplo, um ID de sessão corresponde à habilitação da proteção de integridade de plano de usuário e à proteção de criptografia de plano de usuário. Outro ID de sessão pode corresponder a não habilitar proteção de integridade de plano de usuário e habilitar proteção de criptografia de plano de usuário.
[0397] Implementação d-1 (b7)
[0398] As informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser um ID de sessão e um identificador de um algoritmo em um campo predefinido em uma mensagem predefinida ou em uma política de segurança.
[0399] Pode ser aprendido a partir da modalidade anterior que, na implementação anterior, a implementação correspondente ao identificador do algoritmo e as informações de 4 bits é relativamente flexível, porque se a proteção de criptografia de plano de usuário é habilitada e se a integridade de plano de usuário a proteção é habilitada pode ser especificado. Pode ser aprendido com base na modalidade anterior que, um algoritmo de plano de sinalização negociado pode ser reutilizado (reused) como as informações de bit (isto é, um algoritmo aplicável ao plano de sinalização também é aplicável ao plano de usuário, por exemplo, o algoritmo de proteção de integridade de plano de sinalização alvo determinado também é usado como o algoritmo de proteção de integridade de plano de usuário alvo e o algoritmo de criptografia de plano de sinalização alvo determinado também é usado como o algoritmo de criptografia de plano de usuário alvo). Além disso, o identificador do algoritmo pode implementar uma diferença entre o algoritmo de plano de sinalização e o algoritmo de segurança de plano de usuário, por exemplo, uma diferença entre o algoritmo de criptografia de plano de sinalização e o algoritmo de criptografia de plano de usuário e uma diferença entre o algoritmo de proteção de integridade de plano de sinalização e o algoritmo de proteção de integridade de plano de
Petição 870190130980, de 10/12/2019, pág. 117/175
112/134 usuário.
[0400] As informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser portadas em uma mensagem de solicitação de reconfiguração de RRC e enviadas pela estação de base para o dispositivo terminal. Nesse caso, se o dispositivo terminal atual tiver habilitado a proteção de criptografia de plano de usuário, mas não a proteção de integridade de plano de usuário, mas o dispositivo terminal atual determinar a habilitação da proteção de integridade de plano de usuário, opcionalmente, a mensagem de solicitação de reconfiguração de RRC pode transmitir apenas as informações de indicação de proteção de integridade.
[0401] A estação de base pode gerar e enviar as informações de indicação de proteção de integridade para o dispositivo terminal. Em outra implementação opcional, após receber as informações de indicação de proteção de integridade e as informações de indicação de criptografia, a estação de base gera novas informações de indicação (as novas informações de indicação podem incluir apenas as informações de indicação de proteção de integridade), e adicionam adicionalmente as novas informações de indicação à solicitação de reconfiguração de RRC. Como as informações de indicação de proteção de integridade e as informações de indicação de criptografia podem vir de uma interface N2 e a interface pode mudar após elas serem enviadas, a estação de base adicionalmente precisa realizar, com base em um formato na mensagem de solicitação de reconfiguração de RRC, algum processamento correspondente nas informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia que devem ser portadas.
[0402] Em uma maneira em que a estação de base envia as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia, a estação de base pode encaminhar diretamente as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia para o dispositivo terminal.
[0403] Em outra maneira pela qual a estação de base envia as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia, com base no fato de que as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia é/são um identificador de um algoritmo, neste caso, a estação de base pode
Petição 870190130980, de 10/12/2019, pág. 118/175
113/134 determinar um identificador de um algoritmo alvo correspondente com base nas informações de indicação de proteção de integridade obtidas (por exemplo, recebidas pela estação de base ou obtidas através da determinação pela estação de base) e/ou nas informações de indicação de criptografia, e envia o identificador do algoritmo alvo correspondente para o dispositivo terminal. Por exemplo, ao habilitar proteção de integridade de plano de usuário, a estação de base determina um algoritmo de proteção de integridade de plano de usuário alvo e envia um identificador do algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal. Ao receber o identificador do algoritmo de proteção de integridade de plano de usuário alvo, o dispositivo terminal pode habilitar o algoritmo de proteção de integridade de plano de usuário, e realizar proteção de integridade de plano de usuário usando o algoritmo de proteção de integridade de plano de usuário alvo.
[0404] As informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser portadas em uma mensagem de solicitação de reconfiguração de RRC e enviadas pela estação de base ao dispositivo terminal. Opcionalmente, quando as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia são um identificador de um algoritmo, a mensagem RRC pode portar o identificador do algoritmo.
[0405] Por exemplo, quando as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia são um identificador de um algoritmo, as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser uma lista de algoritmos. Opcionalmente, se um algoritmo na lista de algoritmos correspondente às informações de indicação de proteção de integridade e/ou informações de indicação de criptografia for um algoritmo de proteção de integridade e o algoritmo de proteção de integridade não for um algoritmo vazio, e se a estação de base determinar que não há interseção entre um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base e a lista de algoritmos correspondente às informações de indicação de proteção de integridade e/ou informações de indicação de criptografia, a estação de base pode selecionar um algoritmo que pertence ao
Petição 870190130980, de 10/12/2019, pág. 119/175
114/134 algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e que também pertence ao algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, como o algoritmo de proteção de integridade de plano de usuário alvo. Se o algoritmo na lista de algoritmos correspondente às informações de indicação de proteção de integridade e/ou informações de indicação de criptografia for um algoritmo vazio, a estação de base não seleciona o algoritmo de proteção de integridade de plano de usuário alvo, que pode ser entendido como não habilitando proteção de integridade de plano de usuário.
[0406] Além disso, opcionalmente, se o algoritmo na lista de algoritmos correspondente às informações de indicação de proteção de integridade e/ou informações de indicação de criptografia for um algoritmo de criptografia, e o algoritmo de criptografia não for um algoritmo de criptografia vazio, e se a estação de base determinar que não há interseção entre um algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal, um algoritmo de criptografia de plano de usuário permitido pela estação de base e a lista de algoritmos correspondente às informações de indicação de proteção de integridade e/ou informações de indicação de criptografia, a estação de base pode selecionar um algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base, como o algoritmo de criptografia de plano de usuário alvo. Se o algoritmo na lista de algoritmos correspondente às informações de indicação de proteção de integridade e/ou informações de indicação de criptografia for um algoritmo de criptografia vazio, a estação de base pode selecionar um algoritmo de criptografia vazio como o algoritmo de criptografia de plano de usuário alvo, que pode ser entendido como não habilitando proteção de criptografia de plano de usuário.
[0407] Para outro exemplo, quando as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia são um identificador de um algoritmo, as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser uma lista de algoritmos, e um algoritmo pode ser selecionado a partir da lista de algoritmos. Se o algoritmo selecionado for um algoritmo de proteção de
Petição 870190130980, de 10/12/2019, pág. 120/175
115/134 integridade, e o algoritmo de proteção de integridade selecionado for um algoritmo de proteção de integridade predefinido, opcionalmente, antes de encaminhar o algoritmo de proteção de integridade selecionado para o dispositivo terminal, a estação de base verifica se o algoritmo de proteção de integridade selecionado é um algoritmo que pertence a um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e que também pertence a um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base. Se sim, o algoritmo de proteção de integridade selecionado é enviado ao dispositivo terminal como o algoritmo de proteção de integridade de plano de usuário alvo.
[0408] Por outro lado, se o algoritmo de proteção de integridade selecionado não satisfizer a condição de que o algoritmo pertence ao algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e também pertence ao algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, e o algoritmo de proteção de integridade selecionado não é um algoritmo vazio, a estação de base precisa selecionar um algoritmo que pertença a um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e que também pertença a um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, como o algoritmo de proteção de integridade de plano de usuário alvo, e enviar o algoritmo de proteção de integridade de plano de usuário alvo ao dispositivo terminal. Por outro lado, se o algoritmo de proteção de integridade selecionado não satisfizer a condição de que o algoritmo pertence ao algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e também pertence ao algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, e o algoritmo de proteção de integridade selecionado é um algoritmo vazio, a estação de base não seleciona o algoritmo de proteção de integridade de plano de usuário alvo, que pode ser entendido como não habilitando proteção de integridade de plano de usuário.
[0409] Além disso, por outro lado, opcionalmente, se o algoritmo selecionado é um algoritmo de criptografia, e o algoritmo de criptografia selecionado é um algoritmo de criptografia predefinido, opcionalmente, antes de encaminhar o algoritmo de criptografia selecionado para o dispositivo terminal, a estação de base verifica se o algoritmo de criptografia selecionado é um
Petição 870190130980, de 10/12/2019, pág. 121/175
116/134 algoritmo que pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e que também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base. Se sim, o algoritmo de criptografia selecionado é enviado para o dispositivo terminal como o algoritmo de criptografia de plano de usuário alvo.
[0410] Por outro lado, se o algoritmo de criptografia selecionado não satisfizer uma condição de que o algoritmo pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base, e o algoritmo de criptografia selecionado não é um algoritmo vazio, a estação de base precisa selecionar um algoritmo que pertença ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e que também pertença ao algoritmo de criptografia de plano de usuário permitido pela estação de base, como o algoritmo de criptografia de plano de usuário alvo, e enviar o algoritmo de criptografia de plano de usuário alvo ao dispositivo terminal. Por outro lado, se o algoritmo de criptografia selecionado não satisfazer a condição de que o algoritmo pertence ao algoritmo de criptografia de plano de usuário suportado pelo dispositivo terminal e também pertence ao algoritmo de criptografia de plano de usuário permitido pela estação de base, e o algoritmo de criptografia selecionado é um algoritmo vazio, a estação de base não seleciona o algoritmo de criptografia de plano de usuário alvo, que pode ser entendido como não habilitando proteção de criptografia de plano de usuário.
[0411] Nesta modalidade deste pedido, as informações de indicação de proteção de integridade e/ou as informações de indicação de criptografia podem ser portadas em um comando de modo de segurança de AS e enviadas ao dispositivo terminal pela estação de base. Opcionalmente, as informações de indicação de proteção de integridade de plano de sinalização e/ou as informações de indicação de criptografia de plano de sinalização também podem ser portadas no comando de modo de segurança de AS e enviadas ao dispositivo terminal pela estação de base.
[0412] Em uma implementação opcional, antes que o dispositivo terminal habilite proteção de integridade de plano de usuário, o dispositivo terminal pode verificar a proteção de integridade de comando de modo de segurança de AS. Opcionalmente, a estação de base realiza proteção de
Petição 870190130980, de 10/12/2019, pág. 122/175
117/134 integridade no comando de modo de segurança de AS usando o algoritmo de proteção de integridade de plano de usuário. Opcionalmente, após determinar, com base na política de segurança, que a proteção de integridade de plano de usuário é habilitada, a estação de base pode realizar a proteção de integridade no comando de modo de segurança de AS usando o algoritmo de proteção de integridade de plano de usuário. Opcionalmente, o dispositivo terminal verifica, usando o algoritmo de proteção de integridade de plano de usuário, se a proteção de integridade no comando de modo de segurança de AS está correta. Por exemplo, após descobrir que a proteção de integridade de plano de usuário é habilitada, o dispositivo terminal usa o algoritmo de proteção de integridade de plano de usuário para verificar se a proteção de integridade no comando de modo de segurança de AS está correta, e não é excluído que o algoritmo de proteção de integridade de plano de usuário seja um algoritmo de proteção de integridade de plano de sinalização de AS usado atualmente. Além disso, a estação de base recebe uma mensagem de fim de modo de segurança de AS retornada pelo dispositivo terminal. Opcionalmente, a estação de base verifica a proteção de integridade na mensagem de fim de modo de segurança de AS usando o algoritmo de proteção de integridade de plano de usuário. Opcionalmente, após descobrir que a mensagem de fim de modo de segurança de AS porta um parâmetro de proteção de integridade MAC-I, a estação de base verifica a proteção de integridade na mensagem de fim de modo de segurança de AS, e não é excluído que o algoritmo de proteção de integridade de plano de usuário seja um algoritmo de proteção de integridade de plano de sinalização de AS atualmente usado. Opcionalmente, após receber a mensagem de fim de modo de segurança, a estação de base permite correspondentemente a proteção de integridade de plano de usuário (por exemplo, informações de indicação de integridade e informações de indicação de criptografia indicam para habilitar proteção de integridade de plano de usuário e para não habilitar proteção de criptografia de plano de usuário, e a estação de base pode habilitar proteção de integridade de plano de usuário, mas não proteção de criptografia de plano de usuário após receber a mensagem de fim de modo de segurança). Além disso, opcionalmente, após correspondentemente habilitar proteção de integridade de plano de usuário, a estação de base pode enviar uma mensagem de solicitação de reconfiguração de RRC ao dispositivo terminal e,
Petição 870190130980, de 10/12/2019, pág. 123/175
118/134 adicionalmente, opcionalmente, o dispositivo terminal retorna uma mensagem de conclusão de reconfiguração de RRC para a estação de base.
[0413] Em outra implementação opcional, no caso de habilitar proteção de integridade de plano de usuário, as informações de indicação de proteção de integridade podem ser portadas em um comando de modo de segurança de AS e, em seguida, o comando de modo de segurança de AS é portado em uma mensagem de solicitação de reconfiguração de RRC e enviado ao dispositivo terminal pela estação de base. Opcionalmente, pelo menos uma das informações de indicação de criptografia, as informações de indicação de proteção de integridade de plano de sinalização e as informações de indicação de criptografia de plano de sinalização também podem ser portadas em um comando de modo de segurança de AS e, em seguida, o comando de modo de segurança de AS é portado em uma mensagem de solicitação de reconfiguração de RRC e enviado ao dispositivo terminal pela estação de base.
[0414] A Figura 3 mostra um exemplo de um diagrama estrutural esquemático de uma estação de base de acordo com este pedido.
[0415] Com base no mesmo conceito, este pedido fornece uma estação de base 300, configurada para executar a solução de acordo com qualquer um dos métodos anteriores. Como mostrado na Figura 3, a estação de base 300 inclui um processador 301, um transceptor 302, uma memória 303 e uma interface de comunicações 304. O processador 301, o transceptor 302, a memória 303 e a interface de comunicações 304 são conectados um ao outro usando um barramento 305.
[0416] O barramento 305 pode ser um barramento de interconexão de componentes periféricos (peripheral component interconnect, PCI), um barramento de arquitetura padrão da indústria estendida (extended industry standard architecture, EISA) ou semelhantes. O barramento pode ser classificado como urn barramento de endereço, urn barramento de dados, urn barramento de controle ou semelhantes. Para facilitar a indicação, o barramento é indicado usando apenas uma linha em negrito na Figura 3. No entanto, isso não indica que há apenas um barramento ou apenas um tipo de barramento.
[0417] A memória 303 pode incluir uma memória volátil (volatile memory), por exemplo, uma memória de acesso aleatório (random access memory, RAM) e também pode incluir uma memória não volátil (non-volatile
Petição 870190130980, de 10/12/2019, pág. 124/175
119/134 memory), por exemplo, uma memória flash (flash memory), uma unidade de disco rígido (hard disk drive, HDD) ou uma unidade de estado sólido (solid-state drive, SSD); ou a memória 303 pode incluir uma combinação desses tipos de memórias.
[0418] A interface de comunicações 304 pode ser uma interface de comunicações com fio, uma interface de comunicações sem fio ou uma combinação das mesmas. A interface de comunicações com fio pode ser, por exemplo, uma interface Ethernet. A interface Ethernet pode ser uma interface ótica, uma interface elétrica ou uma combinação das mesmas. A interface de comunicações sem fio pode ser uma interface WLAN.
[0419] O processador 301 pode ser uma unidade de processamento central (central processing unit, CPU), um processador de rede (network processor, NP) ou uma combinação de uma CPU e um NP. O processador 301 pode adicionalmente incluir um chip de hardware. O chip de hardware pode ser um circuito integrado de aplicação específica (application-specific integrated circuit, ASIC), um dispositivo lógico programável (programmable logic device, PLD) ou uma combinação dos mesmos. O PLD pode ser um dispositivo lógico programável complexo (complex programmable logic device, CPLD), uma matriz de portas de campo programável (field-programmable gate array, FPGA), uma lógica de matriz genérica (generic array logic, GAL) ou qualquer combinação dos mesmos.
[0420] Opcionalmente, a memória 303 pode ser adicionalmente configurada para armazenar uma instrução de programa. Por invocar a instrução de programa armazenada na memória 303, o processador 301 pode realizar uma ou mais etapas ou uma implementação opcional nas modalidades mostradas nas soluções anteriores, de modo que a estação de base 300 implementa uma função da estação de base nos métodos anteriores.
[0421] O processador 301 é configurado para executar a instrução armazenada na memória e controlar o transceptor 302 para executar recepção de sinal e envio de sinal. Quando o processador 301 realiza a instrução armazenada na memória, a estação de base 300 pode ser configurada para executar a seguinte solução.
[0422] O processador 301 é configurado para obter uma política de segurança, onde a política de segurança inclui informações de indicação de
Petição 870190130980, de 10/12/2019, pág. 125/175
120/134 proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilitar proteção de integridade para um dispositivo terminal; e quando as informações de indicação de proteção de integridade indicam a estação de base para habilitar proteção de integridade para o dispositivo terminal, determina um algoritmo de proteção de integridade de plano de usuário alvo. O transceptor 302 é configurado para enviar o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal. Dessa maneira, se habilitar proteção de integridade para o dispositivo terminal pode ser selecionado flexivelmente com base na política de segurança. Além disso, somente quando proteção de integridade é habilitada para o dispositivo terminal, a estação de base envia o algoritmo de proteção de integridade de plano de usuário alvo ao dispositivo terminal. Por um lado, porque um algoritmo de segurança de plano de usuário é negociado independentemente, flexibilidade de determinar separadamente o algoritmo de segurança de plano de usuário e um algoritmo de segurança de plano de sinalização é aprimorada. Por outro lado, porque as informações de indicação de proteção de integridade são adicionadas, flexibilidade de determinar o algoritmo de proteção de integridade de plano de usuário alvo do dispositivo terminal é aprimorada.
[0423] Opcionalmente, o transceptor 302 é configurado para enviar o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal usando a sinalização de Controle de Recurso de Rádio RRC. A solução fornecida nesta modalidade deste pedido é implementada reusando a sinalização RRC na técnica anterior, de modo que seja implementada uma melhor compatibilidade com a técnica anterior, e uma modificação na técnica anterior seja relativamente pequena. Para uma implementação opcional específica, consulte o conteúdo anterior e os detalhes não são descritos aqui novamente.
[0424] Opcionalmente, o processador 301 é configurado especificamente para determinar o algoritmo de proteção de integridade de plano de usuário alvo com base em um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base.
[0425] Opcionalmente, o algoritmo de proteção de integridade de
Petição 870190130980, de 10/12/2019, pág. 126/175
121/134 plano de usuário permitido pela estação de base é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade ou o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade.
[0426] Opcionalmente, a política de segurança inclui adicionalmente um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço. O processador 301 é configurado para determinar o algoritmo de proteção de integridade de plano de usuário alvo com base no algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e no algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço.
[0427] Opcionalmente, o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade.
[0428] Opcionalmente, o processador 301 é adicionalmente configurado para: quando a política de segurança inclui adicionalmente informações de indicação de criptografia, e as informações de indicação de criptografia são usadas para indicar a estação de base para habilitar proteção de criptografia para o dispositivo terminal, enviar um algoritmo de criptografia de plano de usuário alvo para o dispositivo terminal usando o transceptor 302; ou quando a política de segurança inclui adicionalmente um comprimento de chave, enviar o comprimento de chave para o dispositivo terminal usando o transceptor 302; ou quando a política de segurança inclui adicionalmente informações de indicação de D-H, e as informações de indicação de D-H são usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal, enviar uma chave relacionada ao D-H ao dispositivo terminal usando o transceptor 302.
[0429] Opcionalmente, o transceptor 302 é configurado especificamente para receber a qualidade de serviço de uma sessão atual do dispositivo terminal a partir de uma entidade de função de gerenciamento de sessão SMF, e o processador 301 é adicionalmente configurado para alocar um portador de rádio de dados alvo ao dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
Petição 870190130980, de 10/12/2019, pág. 127/175
122/134
[0430] Para uma maneira específica de alocar, pelo processador 301, o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço, consulte o conteúdo nas modalidades de método anteriores. Os detalhes não são descritos aqui novamente.
[0431] Em uma solução de implementação opcional, o processador 301 é configurado para configurar o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
[0432] Opcionalmente, o transceptor 302 é configurado para receber a política de segurança a partir da entidade SMF; ou receber um identificador da política de segurança a partir da entidade SMF, e obter a política de segurança com base no identificador da política de segurança.
[0433] Opcionalmente, o processador 301 é adicionalmente configurado para: obter um algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal; e determinar um algoritmo de segurança de plano de sinalização alvo com base no algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal e em um algoritmo de segurança de plano de sinalização permitido pela estação de base; e o transceptor 302 é adicionalmente configurado para adicionar o algoritmo de segurança de plano de sinalização alvo a um comando de modo de segurança SMC de estrato de acesso AS e enviar o AS SMC para o dispositivo terminal.
[0434] A Figura 4 mostra um exemplo de um diagrama estrutural esquemático de uma entidade SMF de acordo com este pedido.
[0435] Com base no mesmo conceito, este pedido fornece uma entidade SMF 400, configurada para executar a solução de acordo com qualquer um dos métodos anteriores. Como mostrado na Figura 4, a entidade SMF 400 inclui um processador 401, um transceptor 402, uma memória 403 e uma interface de comunicações 404. O processador 401, o transceptor 402, a memória 403 e a interface de comunicações 404 são conectados um ao outro usando um barramento 405.
[0436] O barramento 405 pode ser um barramento de interconexão de componentes periféricos (peripheral component interconnect, PCI), um barramento de arquitetura padrão da indústria estendida (extended industry
Petição 870190130980, de 10/12/2019, pág. 128/175
123/134 standard architecture, EISA) ou semelhantes. O barramento pode ser classificado como urn barramento de endereço, urn barramento de dados, urn barramento de controle ou semelhantes. Para facilitar a indicação, o barramento é indicado usando apenas uma linha em negrito na Figura 4. No entanto, isso não indica que há apenas um barramento ou apenas um tipo de barramento.
[0437] A memória 403 pode incluir uma memória volátil (volatile memory), por exemplo, uma memória de acesso aleatório (random access memory, RAM) e também pode incluir uma memória não volátil (non-volatile memory), por exemplo, uma memória flash (flash memory), uma unidade de disco rígido (hard disk drive, HDD) ou uma unidade de estado sólido (solid-state drive, SSD); ou a memória 403 pode incluir uma combinação desses tipos de memórias.
[0438] A interface de comunicações 404 pode ser uma interface de comunicações com fio, uma interface de comunicações sem fio ou uma combinação das mesmas. A interface de comunicações com fio pode ser, por exemplo, uma interface Ethernet. A interface Ethernet pode ser uma interface ótica, uma interface elétrica ou uma combinação das mesmas. A interface de comunicações sem fio pode ser uma interface WLAN.
[0439] O processador 401 pode ser uma unidade de processamento central (central processing unit, CPU), um processador de rede (network processor, NP) ou uma combinação de uma CPU e um NP. O processador 401 pode adicionalmente incluir um chip de hardware. O chip de hardware pode ser um circuito integrado de aplicação específica (application-specific integrated circuit, ASIC), um dispositivo lógico programável (programmable logic device, PLD) ou uma combinação dos mesmos. O PLD pode ser um dispositivo lógico programável complexo (complex programmable logic device, CPLD), uma matriz de portas de campo programável (field-programmable gate array, FPGA), uma lógica de matriz genérica (generic array logic, GAL) ou qualquer combinação dos mesmos.
[0440] Opcionalmente, a memória 403 pode ser adicionalmente configurada para armazenar uma instrução de programa. Por invocar a instrução de programa armazenada na memória 403, o processador 401 pode realizar uma ou mais etapas ou uma implementação opcional nas modalidades mostradas nas soluções anteriores, de modo que a entidade SMF 400 implemente uma
Petição 870190130980, de 10/12/2019, pág. 129/175
124/134 função da entidade SMF nos métodos anteriores.
[0441] O processador 401 é configurado para executar a instrução armazenada na memória e controlar o transceptor 402 para executar recepção de sinal e envio de sinal. Quando o processador 401 realiza a instrução armazenada na memória, a entidade SMF 400 pode ser configurada para executar a seguinte solução.
[0442] O transceptor 402 é configurado para receber uma mensagem de solicitação, onde a mensagem de solicitação inclui um parâmetro relacionado a uma política de segurança, e envia a política de segurança ou um identificador da política de segurança para uma estação de base. O processador 401 é configurado para obter a política de segurança ou o identificador da política de segurança com base no parâmetro relacionado à política de segurança. A política de segurança inclui informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para um dispositivo terminal. Por um lado, porque um algoritmo de segurança de plano de usuário é negociado independentemente, flexibilidade de determinar separadamente o algoritmo de segurança de plano de usuário e um algoritmo de segurança de plano de sinalização é aprimorada. Por outro lado, porque as informações de indicação de proteção de integridade são adicionadas, flexibilidade de determinar um algoritmo de proteção de integridade de plano de usuário alvo do dispositivo terminal é aprimorada.
[0443] Em uma solução de implementação opcional, o parâmetro relacionado à política de segurança inclui pelo menos um dentre um identificador do dispositivo terminal, um nome de rede de dados DNN do dispositivo terminal, um identificador de uma fatia do dispositivo terminal, qualidade de serviço do dispositivo terminal, e um identificador de sessão do dispositivo terminal. Dessa maneira, a política de segurança pode ser formulada com base em diferentes identificadores de diferentes perspectivas ou em diferentes granularidades, e isso é mais flexível.
[0444] Opcionalmente, o processador 401 é configurado para: quando o parâmetro relacionado à política de segurança inclui o identificador do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador do dispositivo terminal e em uma relação de associação entre o
Petição 870190130980, de 10/12/2019, pág. 130/175
125/134 identificador do dispositivo terminal e a política de segurança. Dessa maneira, a política de segurança pode ser determinada em uma granularidade do dispositivo terminal, de modo que diferentes dispositivos terminais possam corresponder a diferentes políticas de segurança.
[0445] Em outra implementação opcional, o processador 401 é configurado para: quando o parâmetro relacionado à política de segurança inclui o identificador da fatia do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador da fatia do dispositivo terminal e uma relação de associação entre o identificador da fatia e a política de segurança. Dessa maneira, a política de segurança pode ser determinada em uma granularidade da fatia, de modo que um dispositivo terminal acessando diferentes fatias possa corresponder a diferentes políticas de segurança.
[0446] Em outra implementação opcional, o processador 401 é configurado para: quando o parâmetro relacionado à política de segurança inclui o identificador de sessão do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador de sessão do dispositivo terminal e uma relação de associação entre o identificador de sessão e a política de segurança. Dessa maneira, a política de segurança pode ser determinada na granularidade de uma sessão, de modo que um dispositivo terminal iniciando sessões diferentes possa corresponder a diferentes políticas de segurança.
[0447] Em outra implementação opcional, o processador 401 é configurado para: quando o parâmetro relacionado à política de segurança inclui a qualidade de serviço do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base na qualidade de serviço do dispositivo terminal. Dessa maneira, a política de segurança pode ser determinada com base na granularidade da qualidade de serviço, de modo que um dispositivo terminal iniciando uma qualidade de serviço diferente possa corresponder a diferentes políticas de segurança.
[0448] Opcionalmente, a política de segurança inclui adicionalmente pelo menos um dos seguintes conteúdos: informações de indicação de criptografia, onde as informações de indicação de criptografia são usadas para indicar a estação de base para habilitar proteção de criptografia para o dispositivo terminal; um comprimento de chave; informações de indicação de DH, onde as informações de indicação de D-H são usadas para indicar a estação
Petição 870190130980, de 10/12/2019, pág. 131/175
126/134 de base para habilitar D-H para o dispositivo terminal; e um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço. Dessa forma, quaisquer informações na política de segurança podem ser indicadas mais flexivelmente, de modo que uma política de segurança finalmente determinada seja mais adaptada a um cenário de aplicação complexo.
[0449] A Figura 5 mostra um exemplo de um diagrama estrutural esquemático de uma estação de base de acordo com uma modalidade deste pedido.
[0450] Com base no mesmo conceito, esta modalidade deste pedido fornece uma estação de base, configurada para executar a solução de acordo com qualquer um dos procedimentos de método anteriores. Como mostrado na Figura 5, a estação de base 500 inclui uma unidade de recepção 501, uma unidade de processamento 502 e uma unidade de envio 503.
[0451 ] A unidade de processamento 502 é configurada para obter uma política de segurança, onde a política de segurança inclui informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilitar proteção de integridade para um dispositivo terminal; e quando as informações de indicação de proteção de integridade indicam a estação de base para habilitar proteção de integridade para o dispositivo terminal, enviar um algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal usando a unidade de envio 503. A unidade de envio 503 é configurada para enviar o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal. Dessa maneira, se habilitar proteção de integridade para o dispositivo terminal pode ser selecionado flexivelmente com base na política de segurança. Além disso, somente quando proteção de integridade é habilitada para o dispositivo terminal, a estação de base envia o algoritmo de proteção de integridade de plano de usuário alvo ao dispositivo terminal. Por um lado, porque um algoritmo de segurança de plano de usuário é negociado independentemente, flexibilidade de determinar separadamente o algoritmo de segurança de plano de usuário e um algoritmo de segurança de plano de sinalização é aprimorada. Por outro lado, porque as informações de indicação de proteção de integridade são adicionadas, flexibilidade de determinar o algoritmo de proteção de integridade de plano de usuário alvo do dispositivo
Petição 870190130980, de 10/12/2019, pág. 132/175
127/134 terminal é aprimorada.
[0452] Opcionalmente, a unidade de envio 503 é configurada para enviar o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal usando a sinalização de Controle de Recurso de Rádio RRC. A solução fornecida nesta modalidade deste pedido é implementada reusando a sinalização RRC na técnica anterior, de modo que seja implementada uma melhor compatibilidade com a técnica anterior, e uma modificação na técnica anterior seja relativamente pequena. Para uma implementação opcional específica, consulte o conteúdo anterior e os detalhes não são descritos aqui novamente.
[0453] Opcionalmente, antes de enviar o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal usando a unidade de envio 503, a unidade de processamento 502 é adicionalmente configurada para determinar o algoritmo de proteção de integridade de plano de usuário alvo com base em um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base.
[0454] Opcionalmente, o algoritmo de proteção de integridade de plano de usuário permitido pela estação de base é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade ou o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade.
[0455] Opcionalmente, a política de segurança inclui adicionalmente um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço. A unidade de processamento 502 é configurada para determinar o algoritmo de proteção de integridade de plano de usuário alvo com base no algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e no algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço.
[0456] Opcionalmente, o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade.
Petição 870190130980, de 10/12/2019, pág. 133/175
128/134
[0457] Opcionalmente, a unidade de processamento 502 é adicionalmente configurada para: quando a política de segurança inclui adicionalmente informações de indicação de criptografia, e as informações de indicação de criptografia são usadas para indicar a estação de base para habilitar proteção de criptografia para o dispositivo terminal, enviar um plano de usuário alvo algoritmo de criptografia para o dispositivo terminal usando a unidade de envio 503; ou quando a política de segurança inclui adicionalmente um comprimento de chave, enviar o comprimento de chave para o dispositivo terminal usando a unidade de envio 503; ou quando a política de segurança inclui adicionalmente informações de indicação de D-H, e as informações de indicação de D-H são usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal, enviar uma chave relacionada a D-H ao dispositivo terminal usando a unidade de envio 503.
[0458] Opcionalmente, antes que o algoritmo de proteção de integridade de plano de usuário alvo seja enviado ao dispositivo terminal usando a unidade de envio 503, a unidade de recepção 501 é configurada para receber a qualidade de serviço de uma sessão atual do dispositivo terminal a partir de uma entidade de função de gerenciamento de sessão SMF; e a unidade de processamento 502 é adicionalmente configurada para alocar um portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
[0459] A unidade de processamento 502 é adicionalmente configurada para alocar o portador de rádio de dados alvo ao dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço. Para uma maneira específica, consulte o conteúdo nas modalidades de método anteriores. Os detalhes não são descritos aqui novamente.
[0460] Em uma solução de implementação opcional, a unidade de processamento 502 é configurada para configurar o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
[0461] Opcionalmente, a unidade de recepção 501 é configurada para receber a política de segurança a partir da entidade SMF; ou receber um identificador da política de segurança a partir da entidade SMF, e obter a política de segurança com base no identificador da política de segurança.
Petição 870190130980, de 10/12/2019, pág. 134/175
129/134
[0462] Opcionalmente, a unidade de processamento 502 é adicionalmente configurada para: obter um algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal; e determinar um algoritmo de segurança de plano de sinalização alvo com base no algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal e em um algoritmo de segurança de plano de sinalização permitido pela estação de base; e a unidade de envio 503 é adicionalmente configurada para adicionar o algoritmo de segurança de plano de sinalização alvo a um comando de modo de segurança SMC de estrato de acesso AS e enviar o AS SMC para o dispositivo terminal.
[0463] Deve ser entendido que a divisão das unidades anteriores é a divisão de função meramente lógica. Na implementação real, todas ou algumas unidades podem ser integradas em uma entidade física ou podem estar fisicamente separadas. Nesta modalidade deste pedido, a unidade de recepção 501 e a unidade de envio 503 podem ser implementadas pelo transceptor 302 e a unidade de processamento 502 pode ser implementada pelo processador 301. Como mostrado na Figura 3, a estação de base 300 pode incluir o processador 301, o transceptor 302 e a memória 303. A memória 303 pode ser configurada para armazenar o código usado quando o processador 301 executa uma solução, e o código pode ser um programa/código pré-instalado quando a estação de base 300 é entregue a partir de uma fábrica.
[0464] A Figura 6 mostra um exemplo de um diagrama estrutural esquemático de uma entidade SMF de acordo com uma modalidade deste pedido.
[0465] Com base no mesmo conceito, esta modalidade deste pedido fornece uma entidade SMF, configurada para executar a solução de acordo com qualquer um dos procedimentos de método anteriores. Como mostrado na Figura 6, uma entidade SMF 600 inclui uma unidade de recepção 601 e uma unidade de processamento 602. Opcionalmente, a entidade SMF 600 inclui adicionalmente uma unidade de envio 603.
[0466] A unidade de recepção 601 é configurada para receber uma mensagem de solicitação, onde a mensagem de solicitação inclui um parâmetro relacionado a uma política de segurança, e envia a política de segurança ou um identificador da política de segurança para uma estação de base. A unidade de processamento 602 é configurada para obter a política de segurança ou o
Petição 870190130980, de 10/12/2019, pág. 135/175
130/134 identificador da política de segurança com base no parâmetro relacionado à política de segurança. A política de segurança inclui informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para um dispositivo terminal. Por um lado, porque um algoritmo de segurança de plano de usuário é negociado independentemente, flexibilidade de determinar separadamente o algoritmo de segurança de plano de usuário e um algoritmo de segurança de plano de sinalização é aprimorada. Por outro lado, porque as informações de indicação de proteção de integridade são adicionadas, flexibilidade de determinar um algoritmo de proteção de integridade de plano de usuário alvo do dispositivo terminal é aprimorada.
[0467] Em uma solução de implementação opcional, o parâmetro relacionado à política de segurança inclui pelo menos um dentre um identificador do dispositivo terminal, um nome de rede de dados DNN do dispositivo terminal, um identificador de uma fatia do dispositivo terminal, qualidade de serviço do dispositivo terminal, e um identificador de sessão do dispositivo terminal. Dessa maneira, a política de segurança pode ser formulada com base em diferentes identificadores de diferentes perspectivas ou em diferentes granularidades, e isso é mais flexível.
[0468] Opcionalmente, a unidade de processamento 602 é configurada para: quando o parâmetro relacionado à política de segurança inclui o identificador do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador do dispositivo terminal e em uma relação de associação entre o identificador do dispositivo terminal e a política de segurança. Dessa maneira, a política de segurança pode ser determinada em uma granularidade do dispositivo terminal, de modo que diferentes dispositivos terminais possam corresponder a diferentes políticas de segurança.
[0469] Em outra implementação opcional, a unidade de processamento 602 é configurada para: quando o parâmetro relacionado à política de segurança inclui o identificador da fatia do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador da fatia do dispositivo terminal e uma relação de associação entre o identificador da fatia e a política de segurança. Dessa maneira, a política de segurança pode ser determinada em uma granularidade da fatia, de modo que um dispositivo
Petição 870190130980, de 10/12/2019, pág. 136/175
131/134 terminal acessando diferentes fatias possa corresponder a diferentes políticas de segurança.
[0470] Em outra implementação opcional, a unidade de processamento 602 é configurada para: quando o parâmetro relacionado à política de segurança inclui o identificador de sessão do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador de sessão do dispositivo terminal e uma relação de associação entre o identificador de sessão e a política de segurança. Dessa maneira, a política de segurança pode ser determinada na granularidade de uma sessão, de modo que um dispositivo terminal iniciando sessões diferentes possa corresponder a diferentes políticas de segurança.
[0471] Em outra implementação opcional, a unidade de processamento 602 é configurada para: quando o parâmetro relacionado à política de segurança inclui a qualidade de serviço do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base na qualidade de serviço do dispositivo terminal. Dessa maneira, a política de segurança pode ser determinada com base na granularidade da qualidade de serviço, de modo que um dispositivo terminal iniciando uma qualidade de serviço diferente possa corresponder a diferentes políticas de segurança.
[0472] Opcionalmente, a política de segurança inclui adicionalmente pelo menos um dos seguintes conteúdos: informações de indicação de criptografia, onde as informações de indicação de criptografia são usadas para indicar a estação de base para habilitar proteção de criptografia para o dispositivo terminal; um comprimento de chave; informações de indicação de DH, onde as informações de indicação de D-H são usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal; e um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço. Dessa forma, quaisquer informações na política de segurança podem ser indicadas mais flexivelmente, de modo que uma política de segurança finalmente determinada seja mais adaptada a um cenário de aplicação complexo.
[0473] Deve ser entendido que a divisão das unidades anteriores é a divisão de função meramente lógica. Na implementação real, todas ou algumas unidades podem ser integradas em uma entidade física ou podem estar fisicamente separadas. Nesta modalidade deste pedido, a unidade de recepção
Petição 870190130980, de 10/12/2019, pág. 137/175
132/134
601 e a unidade de envio 603 podem ser implementadas pelo transceptor 402 e a unidade de processamento 602 pode ser implementada pelo processador 401. Como mostrado na Figura 4, a entidade SMF 400 pode incluir o processador 401, o transceptor 402 e a memória 403. A memória 403 pode ser configurada para armazenar o código usado quando o processador 401 executa uma solução e o código pode ser um programa/código pré-instalado quando a entidade SMF 400 é entregue a partir de uma fábrica.
[0474] Nas modalidades anteriores, todas ou algumas das funções podem ser implementadas usando software, hardware, firmware ou qualquer combinação dos mesmos. Ao ser implementada usando um programa de software, todas ou algumas das funções podem ser implementadas na forma de um produto de programa de computador. O produto de programa de computador inclui uma ou mais instruções. Quando as instruções de programa de computador são carregadas e executadas em um computador, os procedimentos ou funções de acordo com as modalidades deste pedido são todos ou parcialmente gerados. O computador pode ser um computador de propósito geral, um computador dedicado, uma rede de computadores ou outro aparelho programável. As instruções podem ser armazenadas em uma mídia de armazenamento de computador ou podem ser transmitidas de uma mídia de armazenamento de computador para outra mídia de armazenamento de computador. Por exemplo, as instruções podem ser transmitidas de um site, computador, servidor ou centro de dados para outro site, computador, servidor ou centro de dados em uma maneira com fio (por exemplo, um cabo coaxial, uma fibra ótica ou uma linha de assinante digital (DSL)) ou sem fio (por exemplo, infravermelho, rádio ou micro-ondas). A mídia de armazenamento de computador pode ser qualquer mídia utilizável acessível a um computador ou um dispositivo de armazenamento de dados, como um servidor ou um centro de dados, integrando uma ou mais mídias utilizáveis. A mídia utilizável pode ser uma mídia magnética (por exemplo, um disquete, um disco rígido ou uma fita magnética ou um disco magneto-ótico (MO)), uma mídia ótica (por exemplo, um CD, um DVD, um BD ou HVD), uma mídia de semicondutor (por exemplo, uma ROM, uma EPROM, uma EEPROM, uma memória não volátil (NAND FLASH) ou um disco de estado sólido (Solid State Disk, SSD)) ou similar.
[0475] Um perito na arte deve entender que as modalidades deste
Petição 870190130980, de 10/12/2019, pág. 138/175
133/134 pedido podem ser fornecidas como um método, um sistema, ou um produto de programa de computador. Portanto, as modalidades deste pedido podem usar uma forma de modalidades apenas de hardware, modalidades apenas de software ou modalidades com uma combinação de software e hardware. Além disso, as modalidades deste pedido podem usar uma forma de um produto de programa de computador que é implementada em uma ou mais mídias de armazenamento utilizáveis por computador (incluindo, mas não se limitando a, uma memória de disco, um CD-ROM, uma memória ótica e similares) que incluem código de programa utilizável por computador.
[0476] As modalidades deste pedido são descritas com referência aos fluxogramas e/ou diagramas de blocos do método, do dispositivo (sistema) e do produto de programa de computador de acordo com as modalidades deste pedido. Deve ser entendido que instruções podem ser usadas para implementar cada processo e/ou cada bloco nos fluxogramas e/ou diagramas de blocos e uma combinação de um processo e/ou um bloco nos fluxogramas e/ou diagramas de blocos. Essas instruções podem ser fornecidas para um computador de propósito geral, um computador dedicado, um processador embutido ou um processador de qualquer outro dispositivo de processamento de dados programável para gerar uma máquina, de modo que as instruções executadas por um computador ou processador de qualquer outro dispositivo de processamento de dados programável gerem um aparelho para implementar uma função especificada em um ou mais processos nos fluxogramas e/ou em um ou mais blocos nos diagramas de blocos.
[0477] Estas instruções podem ser armazenadas em uma memória legível por computador que pode instruir o computador ou qualquer outro dispositivo de processamento de dados programável a trabalhar de maneira específica, de modo que as instruções armazenadas na memória legível por computador gerem um artefato que inclua um aparelho de instruções. O aparelho de instruções implementa uma função especificada em um ou mais processos nos fluxogramas e/ou em um ou mais blocos nos diagramas de blocos.
[0478] Estas instruções podem ser carregadas em um computador ou outro dispositivo de processamento de dados programável, de modo que uma série de operações e etapas sejam realizadas no computador ou em outro dispositivo programável, gerando assim um processamento implementado por
Petição 870190130980, de 10/12/2019, pág. 139/175
134/134 computador. Portanto, as instruções executadas no computador ou em outro dispositivo programável fornecem etapas para implementar uma função especificada em um ou mais processos nos fluxogramas e/ou em um ou mais blocos nos diagramas de blocos.
[0479] Obviamente, uma pessoa especialista na técnica pode fazer várias modificações e variações para as modalidades deste pedido sem se afastar do espírito e âmbito deste pedido. Este pedido destina-se a cobrir essas modificações e variações, desde que estejam dentro do escopo de proteção definido pelas reivindicações a seguir e suas tecnologias equivalentes.

Claims (116)

1. Método de comunicação, compreendendo:
obter, por uma estação de base, uma política de segurança, em que a política de segurança compreende informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para um dispositivo terminal;
quando as informações de indicação de proteção de integridade indicarem a estação de base para habilitar proteção de integridade para o dispositivo terminal, determinar, pela estação de base, um algoritmo de proteção de integridade de plano de usuário alvo; e enviar, pela estação de base, o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal.
2. Método, de acordo com a reivindicação 1, em que o envio, pela estação de base, do algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal compreende:
enviar, pela estação de base, o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal usando sinalização de Controle de Recurso de Rádio RRC.
3. Método, de acordo com a reivindicação 1 ou 2, em que a determinação, pela estação de base, de um algoritmo de proteção de integridade de plano de usuário alvo compreende:
determinar, pela estação de base, o algoritmo de proteção de integridade de plano de usuário alvo com base em um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e em um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base.
4. Método, de acordo com a reivindicação 3, em que o algoritmo de proteção de integridade de plano de usuário permitido pela estação de base é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade; ou o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade.
Petição 870190130980, de 10/12/2019, pág. 148/175
2/28
5. Método, de acordo com a reivindicação 3, em que a política de segurança compreende adicionalmente um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço; e a determinação, pela estação de base, do algoritmo de proteção de integridade de plano de usuário alvo com base em um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e em um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base compreende:
determinar, pela estação de base, o algoritmo de proteção de integridade de plano de usuário alvo com base no algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e no algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço.
6. Método, de acordo com a reivindicação 5, em que o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade.
7. Método, de acordo com qualquer uma das reivindicações 1 a 6, em que o método compreende adicionalmente:
quando a política de segurança compreender adicionalmente informações de indicação de criptografia, e as informações de indicação de criptografia forem usadas para indicar a estação de base para habilitar proteção de criptografia para o dispositivo terminal, enviar, pela estação de base, um algoritmo de criptografia de plano de usuário alvo para o dispositivo terminal; ou quando a política de segurança compreender adicionalmente um comprimento de chave, enviar, pela estação de base, o comprimento de chave para o dispositivo terminal; ou quando a política de segurança compreender adicionalmente informações de indicação de D-H, e as informações de indicação de D-H forem usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal, enviar, pela estação de base, uma chave relacionada ao D-H para o dispositivo terminal.
8. Método, de acordo com qualquer uma das reivindicações 1 a 7, em
Petição 870190130980, de 10/12/2019, pág. 149/175
3/28 que antes do envio, pela estação de base, do algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal, o método compreende adicionalmente:
receber, pela estação de base, a qualidade de serviço de uma sessão atual do dispositivo terminal a partir de uma entidade de função de gerenciamento de sessão SMF; e alocar, pela estação de base, um portador de rádio de dados alvo ao dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
9. Método, de acordo com a reivindicação 8, em que a alocação, pela estação de base, de um portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço compreende:
quando pelo menos um portador de rádio de dados histórico satisfazendo uma primeira condição existir na estação de base, determinar, pela estação de base, um dentre o pelo menos um portador de rádio de dados histórico satisfazendo a primeira condição como o portador de rádio de dados alvo, em que qualidade de serviço suportada por cada portador de rádio de dados dentre o pelo menos um portador de rádio de dados histórico satisfazendo a primeira condição é a mesma que a qualidade de serviço da sessão atual, e a política de segurança é a mesma que uma política de segurança suportada por cada portador de rádio de dados; ou quando não existir portador de rádio de dados histórico satisfazendo uma primeira condição na estação de base, mas existir pelo menos um portador de rádio de dados histórico satisfazendo uma segunda condição na estação de base, atualizar, pela estação de base, um portador de rádio de dados histórico dentre o pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição, e determinar o portador de rádio de dados histórico como o portador de rádio de dados alvo, em que qualidade de serviço suportada por cada portador de rádio de dados dentre o pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição é a mesma que a qualidade de serviço da sessão atual, e a política de segurança corresponde a uma política de segurança suportada por cada portador de rádio de dados; ou qualidade de serviço suportada por cada portador de rádio de dados dentre o pelo menos um
Petição 870190130980, de 10/12/2019, pág. 150/175
4/28 portador de rádio de dados histórico satisfazendo a segunda condição corresponde à qualidade de serviço da sessão atual, e a política de segurança é a mesma que uma política de segurança suportada por cada portador de rádio de dados; ou qualidade de serviço suportada por cada portador de rádio de dados dentre o pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição corresponde à qualidade de serviço da sessão atual, e a política de segurança corresponde a uma política de segurança suportada por cada portador de rádio de dados; ou quando não existir portador de rádio de dados histórico satisfazendo a primeira condição na estação de base, e não existir pelo menos um portador de rádio de dados histórico satisfazendo uma segunda condição na estação de base, criar, pela estação de base, o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço; ou quando não existir portador de rádio de dados histórico satisfazendo a primeira condição na estação de base, criar, pela estação de base, o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço; ou criar, pela estação de base, o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
10. Método, de acordo com qualquer uma das reivindicações 1 a 9, em que a obtenção, por uma estação de base, de uma política de segurança compreende:
receber, pela estação de base, a política de segurança a partir da entidade SMF; ou receber, pela estação de base, um identificador da política de segurança a partir da entidade SMF, e obter a política de segurança com base no identificador da política de segurança.
11. Método, de acordo com qualquer uma das reivindicações 1 a 10, em que o método compreende adicionalmente:
obter, pela estação de base, um algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal;
determinar, pela estação de base, um algoritmo de segurança de
Petição 870190130980, de 10/12/2019, pág. 151/175
5/28 plano de sinalização alvo com base no algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal e em um algoritmo de segurança de plano de sinalização permitido pela estação de base; e adicionar, pela estação de base, o algoritmo de segurança de plano de sinalização alvo a um comando de modo de segurança SMC de estrato de acesso AS, e enviar o AS SMC para o dispositivo terminal.
12. Método de comunicação, compreendendo:
receber, por uma entidade de função de gerenciamento de sessão SMF, uma mensagem de solicitação, em que a mensagem de solicitação compreende um parâmetro relacionado a uma política de segurança;
obter, pela entidade SMF, a política de segurança ou um identificador da política de segurança com base no parâmetro relacionado à política de segurança;e enviar, pela entidade SMF, a política de segurança ou o identificador da política de segurança para uma estação de base, em que a política de segurança compreende informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para um dispositivo terminal.
13. Método, de acordo com a reivindicação 12, em que o parâmetro relacionado à política de segurança compreende pelo menos um dentre um identificador do dispositivo terminal, um nome de rede de dados DNN do dispositivo terminal, um identificador de uma fatia do dispositivo terminal, qualidade de serviço do dispositivo terminal, e um identificador de sessão do dispositivo terminal.
14. Método, de acordo com a reivindicação 13, em que a obtenção, pela entidade SMF, da política de segurança ou de um identificador da política de segurança com base no parâmetro relacionado à política de segurança compreende:
quando o parâmetro relacionado à política de segurança compreender o identificador do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador do dispositivo terminal e em uma relação de associação entre o identificador do dispositivo terminal e a política de segurança; ou
Petição 870190130980, de 10/12/2019, pág. 152/175
6/28 quando o parâmetro relacionado à política de segurança compreender o identificador da fatia do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador da fatia do dispositivo terminal e em uma relação de associação entre o identificador da fatia e a política de segurança; ou quando o parâmetro relacionado à política de segurança compreender o identificador de sessão do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base no identificador de sessão do dispositivo terminal e em uma relação de associação entre o identificador de sessão e a política de segurança; ou quando o parâmetro relacionado à política de segurança compreender a qualidade de serviço do dispositivo terminal, obter, pela entidade SMF, a política de segurança com base na qualidade de serviço do dispositivo terminal.
15. Método, de acordo com qualquer uma das reivindicações 12 a 14, em que a política de segurança compreende adicionalmente pelo menos um dentre os seguintes conteúdos:
informações de indicação de criptografia, em que as informações de indicação de criptografia são usadas para indicar a estação de base para habilitar proteção de criptografia para o dispositivo terminal;
um comprimento de chave;
informações de indicação de D-H, em que as informações de indicação de D-H são usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal; e um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço.
16. Estação de base, compreendendo:
um processador, configurado para obter uma política de segurança, em que a política de segurança compreende informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para um dispositivo terminal; e quando as informações de indicação de proteção de integridade indicarem a estação de base para habilitar proteção de integridade para o dispositivo terminal, determinar um algoritmo de proteção de integridade de plano de usuário alvo; e
Petição 870190130980, de 10/12/2019, pág. 153/175
7/28 um transceptor, configurado para enviar o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal.
17. Estação de base, de acordo com a reivindicação 16, em que o transceptor é configurado para:
enviar o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal usando sinalização de Controle de Recurso de Rádio RRC.
18. Estação de base, de acordo com a reivindicação 16 ou 17, em que o processador é configurado especificamente para:
determinar o algoritmo de proteção de integridade de plano de usuário alvo com base em um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal e em um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base.
19. Estação de base, de acordo com a reivindicação 18, em que o algoritmo de proteção de integridade de plano de usuário permitido pela estação de base é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade; ou o algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade.
20. Estação de base, de acordo com a reivindicação 18, em que a política de segurança compreende adicionalmente um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço; e o processador é configurado para:
determinar o algoritmo de proteção de integridade de plano de usuário alvo com base no algoritmo de proteção de integridade de plano de usuário permitido pela estação de base, no algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e no algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço.
21. Estação de base, de acordo com a reivindicação 20, em que o algoritmo de proteção de integridade de plano de usuário permitido pela rede de serviço é um algoritmo de proteção de integridade de plano de usuário classificado com base em uma prioridade.
22. Estação de base, de acordo com qualquer uma das reivindicações
Petição 870190130980, de 10/12/2019, pág. 154/175
8/28
16 a 21, em que o processador é configurado adicionalmente para:
quando a política de segurança compreender adicionalmente informações de indicação de criptografia, e as informações de indicação de criptografia forem usadas para indicar a estação de base para habilitar proteção de criptografia para o dispositivo terminal, enviar um algoritmo de criptografia de plano de usuário alvo para o dispositivo terminal usando o transceptor; ou quando a política de segurança compreender adicionalmente um comprimento de chave, enviar o comprimento de chave para o dispositivo terminal usando o transceptor; ou quando a política de segurança compreender adicionalmente informações de indicação de D-H, e as informações de indicação de D-H forem usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal, enviar uma chave relacionada a D-H ao dispositivo terminal usando o transceptor.
23. Estação de base, de acordo com qualquer uma das reivindicações 12 a 22, em que antes de enviar o algoritmo de proteção de integridade de plano de usuário alvo para o dispositivo terminal, o transceptor é configurado adicionalmente para:
receber qualidade de serviço de uma sessão atual do dispositivo terminal a partir de uma entidade de função de gerenciamento de sessão SMF; e o processador é configurado adicionalmente para:
alocar um portador de rádio de dados alvo ao dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço.
24. Estação de base, de acordo com a reivindicação 23, em que o processador é configurado para:
quando pelo menos um portador de rádio de dados histórico satisfazendo uma primeira condição existir na estação de base, determinar uma dentre o pelo menos um portador de rádio de dados histórico satisfazendo a primeira condição como o portador de rádio de dados alvo, em que qualidade de serviço suportada por cada portador de rádio de dados dentre o pelo menos um portador de rádio de dados histórico satisfazendo a primeira condição é a mesma que a qualidade de serviço da sessão atual, e a política de segurança é a mesma
Petição 870190130980, de 10/12/2019, pág. 155/175
9/28 que uma política de segurança suportada por cada portador de rádio de dados; ou quando não existir portador de rádio de dados histórico satisfazendo primeira condição na estação de base, mas existir pelo menos um portador de rádio de dados histórico satisfazendo uma segunda condição na estação de base, atualizar um portador de rádio de dados histórico dentre o pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição, e determinar o portador de rádio de dados histórico como o portador de rádio de dados alvo, em que qualidade de serviço suportada por cada portador de rádio de dados dentre o pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição é a mesma que a qualidade de serviço da sessão atual, e a política de segurança corresponde a uma política de segurança suportada por cada portador de rádio de dados; ou qualidade de serviço suportada por cada portador de rádio de dados dentre o pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição corresponde à qualidade de serviço da sessão atual, e a política de segurança é a mesma que uma política de segurança suportada por cada portador de rádio de dados; ou qualidade de serviço suportada por cada portador de rádio de dados dentre o pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição corresponde à qualidade de serviço da sessão atual, e a política de segurança corresponde a uma política de segurança suportada por cada portador de rádio de dados; ou quando não existir portador de rádio de dados histórico satisfazendo a primeira condição na estação de base, e não existir pelo menos um portador de rádio de dados histórico satisfazendo a segunda condição na estação de base, configurar o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço; ou quando não existir portador de rádio de dados histórico satisfazendo a primeira condição na estação de base, configurar o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a qualidade de serviço; ou configurar o portador de rádio de dados alvo para o dispositivo terminal com base em pelo menos uma dentre a política de segurança e a
Petição 870190130980, de 10/12/2019, pág. 156/175
10/28 qualidade de serviço.
25. Estação de base, de acordo com qualquer uma das reivindicações 12 a 24, em que o transceptor é configurado para:
receber a política de segurança a partir da entidade SMF; ou receber um identificador da política de segurança a partir da entidade SMF, e obter a política de segurança com base no identificador da política de segurança.
26. Estação de base, de acordo com qualquer uma das reivindicações 12 a 25, em que o processador é configurado adicionalmente para:
obter um algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal; e determinar um algoritmo de segurança de plano de sinalização alvo com base no algoritmo de segurança de plano de sinalização suportado pelo dispositivo terminal e em um algoritmo de segurança de plano de sinalização permitido pela estação de base; e o transceptor é configurado adicionalmente para:
adicionar o algoritmo de segurança de plano de sinalização alvo ao comando de modo de segurança SMC de estrato de acesso AS, e enviar o AS SMC para o dispositivo terminal.
27. Entidade de função de gerenciamento de sessão SMF, compreendendo:
um transceptor, configurado para receber uma mensagem de solicitação, em que a mensagem de solicitação compreende um parâmetro relacionado a uma política de segurança; e enviar a política de segurança ou um identificador da política de segurança para uma estação de base; e um processador, configurado para obter a política de segurança ou o identificador da política de segurança com base no parâmetro relacionado à política de segurança, em que a política de segurança compreende informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para o dispositivo terminal.
28. Entidade SMF, de acordo com a reivindicação 27, em que o parâmetro relacionado à política de segurança compreende pelo menos um
Petição 870190130980, de 10/12/2019, pág. 157/175
11/28 dentre um identificador do dispositivo terminal, um nome de rede de dados DNN do dispositivo terminal, um identificador de uma fatia do dispositivo terminal, qualidade de serviço do dispositivo terminal, e um identificador de sessão do dispositivo terminal.
29. Entidade SMF, de acordo com a reivindicação 28, em que o processador é configurado para:
quando o parâmetro relacionado à política de segurança compreender o identificador do dispositivo terminal, obter a política de segurança com base no identificador do dispositivo terminal e em uma relação de associação entre o identificador do dispositivo terminal e a política de segurança; ou quando o parâmetro relacionado à política de segurança compreender o identificador da fatia do dispositivo terminal, obter a política de segurança com base no identificador da fatia do dispositivo terminal e em uma relação de associação entre o identificador da fatia e a política de segurança; ou quando o parâmetro relacionado à política de segurança compreender o identificador de sessão do dispositivo terminal, obter a política de segurança com base no identificador de sessão do dispositivo terminal e em uma relação de associação entre o identificador de sessão e a política de segurança; ou quando o parâmetro relacionado à política de segurança compreender a qualidade de serviço do dispositivo terminal, obter a política de segurança com base na qualidade de serviço do dispositivo terminal.
30. Entidade SMF, de acordo com qualquer uma das reivindicações 27 a 29, em que a política de segurança compreende adicionalmente pelo menos um dentre os seguintes conteúdos:
informações de indicação de criptografia, em que as informações de indicação de criptografia são usadas para indicar a estação de base para habilitar proteção de criptografia para o dispositivo terminal;
um comprimento de chave;
informações de indicação de D-H, em que as informações de indicação de D-H são usadas para indicar a estação de base para habilitar D-H para o dispositivo terminal; e um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço.
31. Mídia de armazenamento de computador, em que a mídia de
Petição 870190130980, de 10/12/2019, pág. 158/175
12/28 armazenamento de computador armazena uma instrução de software de computador, e quando a instrução de armazenamento de computador é executada, o método conforme definido em qualquer uma das reivindicações 1 a 11 é realizado.
32. Mídia de armazenamento de computador, em que a mídia de armazenamento de computador armazena uma instrução de software de computador, e quando a instrução de computador é executada, o método conforme definido em qualquer uma das reivindicações 12 a 15 é realizado.
33. Produto de programa de computador, em que o produto de programa de computador compreende uma instrução, e quando a instrução é executada, o método conforme definido em qualquer uma das reivindicações 1 a 11 é realizado.
34. Produto de programa de computador, em que o produto de programa de computador compreende uma instrução, e quando a instrução é executada, o método conforme definido em qualquer uma das reivindicações 12 a 15 é realizado.
35. Estação de base, em que a estação de base é configurada para realizar o método conforme definido em qualquer uma das reivindicações 1 a 11.
36. Entidade de função de gerenciamento de sessão, em que a entidade de função de gerenciamento de sessão é configurada para realizar o método conforme definido em qualquer uma das reivindicações 12 a 15.
37. Método de comunicação, compreendendo:
receber, por uma entidade de função de gerenciamento de sessão SMF, uma mensagem de solicitação, em que a mensagem de solicitação compreende um parâmetro relacionado de uma política de segurança;
obter, pela entidade SMF, a política de segurança com base no parâmetro relacionado da política de segurança; e enviar, pela entidade SMF, a política de segurança para uma estação de base, em que a política de segurança compreende informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para um dispositivo terminal.
38. Método, de acordo com a reivindicação 37, em que o parâmetro relacionado da política de segurança compreende um identificador de uma fatia
Petição 870190130980, de 10/12/2019, pág. 159/175
13/28 do dispositivo terminal; e a obtenção, pela entidade SMF, da política de segurança com base no parâmetro relacionado da política de segurança compreende:
obter, pela entidade SMF, a política de segurança com base no identificador da fatia do dispositivo terminal.
39. Método, de acordo com a reivindicação 37, em que o parâmetro relacionado da política de segurança compreende um nome de rede de dados DNN do dispositivo terminal e um identificador de uma fatia do dispositivo terminal; e a obtenção, pela entidade SMF, da política de segurança com base no parâmetro relacionado da política de segurança compreende:
obter, pela entidade SMF, a política de segurança com base no nome de rede de dados DNN do dispositivo terminal.
40. Método, de acordo com a reivindicação 37, em que o parâmetro relacionado da política de segurança compreende um nome de rede de dados DNN do dispositivo terminal e um identificador de uma fatia do dispositivo terminal; e a obtenção, pela entidade SMF, da política de segurança com base no parâmetro relacionado da política de segurança compreende:
obter, pela entidade SMF, a política de segurança com base no nome de rede de dados DNN do dispositivo terminal e no identificador da fatia do dispositivo terminal.
41. Método, de acordo com a reivindicação 37, em que o parâmetro relacionado da política de segurança compreende um identificador do dispositivo terminal; e a obtenção, pela entidade SMF, da política de segurança com base no parâmetro relacionado da política de segurança compreende:
obter, pela entidade SMF, a política de segurança com base no identificador do dispositivo terminal e em uma relação de associação entre o identificador do dispositivo terminal e a política de segurança.
42. Método, de acordo com qualquer uma das reivindicações 37 a 41, em que a política de segurança compreende adicionalmente informações de indicação de criptografia, e as informações de indicação de criptografia são usadas para indicar a estação de base para habilitar proteção de criptografia
Petição 870190130980, de 10/12/2019, pág. 160/175
14/28 para o dispositivo terminal.
43. Método, de acordo com qualquer uma das reivindicações 37 a 42, em que as informações de indicação de proteção de integridade são um identificador de um algoritmo de proteção de integridade de plano de usuário, e um algoritmo de proteção de integridade de plano de usuário portado na política de segurança é determinado com base em pelo menos um dentre um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço, em um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e em um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base.
44. Método de comunicação, em que o método compreende:
após receber um comando de modo de segurança SMC de estrato de acesso AS enviado por uma estação de base, habilitar, por um dispositivo terminal, proteção de plano de sinalização e não habilitar proteção de plano de usuário; e após receber uma mensagem de reconfiguração de controle de recurso de rádio RRC, usar, pelo dispositivo terminal, uma chave de plano de usuário para realizar proteção de segurança de plano de usuário.
45. Método, de acordo com a reivindicação 44, em que a habilitação de proteção de plano de sinalização compreende:
gerar uma chave de plano de sinalização e realizar proteção de plano de sinalização usando a chave de plano de sinalização.
46. Método, de acordo com a reivindicação 45, em que a chave de plano de sinalização compreende uma chave de proteção de integridade de plano de sinalização e uma chave de proteção de criptografia de plano de sinalização.
47. Método, de acordo com qualquer uma das reivindicações 44 a 46, em que após a habilitação de proteção de plano de sinalização, o método compreende:
enviar, pelo terminal, um comando de conclusão de modo de segurança de estrato de acesso AS SMP para a estação de base.
48. Método, de acordo com qualquer uma das reivindicações 44 a 47, em que a proteção de segurança de plano de usuário compreende proteção de integridade de plano de usuário e proteção de criptografia de plano de usuário;
Petição 870190130980, de 10/12/2019, pág. 161/175
15/28 e
se a proteção de integridade de plano de usuário for habilitada e se a proteção de criptografia de plano de usuário for habilitada são transmitidas usando uma mensagem de reconfiguração de RRC.
49. Método de comunicação, em que o método compreende:
receber, por uma estação de base, uma política de segurança enviada por um elemento de rede de gerenciamento de sessão SMF; e se a política de segurança recebida pela estação de base compreender informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade indicarem habilitar proteção de integridade de plano de usuário, habilitar, pela estação de base, a proteção de integridade de plano de usuário.
50. Método, de acordo com a reivindicação 49, em que o método compreende adicionalmente:
enviar, pela estação de base, as informações de indicação de proteção de integridade para um dispositivo terminal, em que as informações de indicação de proteção de integridade são usadas para indicar habilitar proteção de integridade de plano de usuário.
51. Método, de acordo com a reivindicação 49 ou 50, em que o método compreende adicionalmente:
se a política de segurança recebida pela estação de base compreender informações de indicação de criptografia, e as informações de indicação de criptografia indicarem habilitar proteção de criptografia de plano de usuário, habilitar, pela estação de base, proteção de criptografia de plano de usuário.
52. Método, de acordo com a reivindicação 51, em que o método compreende adicionalmente:
enviar, pela estação de base, as informações de indicação de criptografia para o dispositivo terminal, em que as informações de indicação de criptografia são usadas para indicar habilitar proteção de criptografia de plano de usuário.
53. Método, de acordo com a reivindicação 51 ou 52, em que as informações de proteção de integridade são um identificador de um algoritmo de proteção de integridade, e as informações de indicação de criptografia são um
Petição 870190130980, de 10/12/2019, pág. 162/175
16/28 identificador de um algoritmo de criptografia.
54. Entidade de função de gerenciamento de sessão, compreendendo uma unidade de recepção, uma unidade de processamento, e uma unidade de envio, em que a unidade de recepção é configurada para receber uma mensagem de solicitação, em que a mensagem de solicitação compreende um parâmetro relacionado de uma política de segurança;
a unidade de processamento é configurada para obter a política de segurança com base no parâmetro relacionado da política de segurança; e a unidade de envio é configurada para enviar a política de segurança para uma estação de base, em que a política de segurança compreende informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para o dispositivo terminal.
55. Entidade de função de gerenciamento de sessão, de acordo com a reivindicação 54, em que o parâmetro relacionado da política de segurança compreende um identificador de uma fatia do dispositivo terminal; e a unidade de processamento é configurada para obter a política de segurança com base no identificador da fatia do dispositivo terminal.
56. Entidade de função de gerenciamento de sessão, de acordo com a reivindicação 54, em que o parâmetro relacionado da política de segurança compreende um nome de rede de dados DNN do dispositivo terminal e um identificador de uma fatia do dispositivo terminal; e a unidade de processamento é configurada para obter a política de segurança com base no nome de rede de dados DNN do dispositivo terminal.
57. Entidade de função de gerenciamento de sessão, de acordo com a reivindicação 54, em que o parâmetro relacionado da política de segurança compreende um nome de rede de dados DNN do dispositivo terminal e um identificador de uma fatia do dispositivo terminal; e a unidade de processamento é configurada para obter a política de segurança com base no nome de rede de dados DNN do dispositivo terminal e no identificador da fatia do dispositivo terminal.
58. Entidade de função de gerenciamento de sessão, de acordo com a reivindicação 54, em que o parâmetro relacionado da política de segurança
Petição 870190130980, de 10/12/2019, pág. 163/175
17/28 compreende um identificador do dispositivo terminal; e a unidade de processamento é configurada para obter a política de segurança com base no identificador do dispositivo terminal e em uma relação de associação entre o identificador do terminal e a política de segurança.
59. Entidade de função de gerenciamento de sessão, de acordo com qualquer uma das reivindicações 54 a 58, em que a política de segurança compreende adicionalmente informações de indicação de criptografia, e as informações de indicação de criptografia são usadas para indicar a estação de base para habilitar proteção de criptografia para o dispositivo terminal.
60. Entidade de função de gerenciamento de sessão, de acordo com qualquer uma das reivindicações 54 a 59, em que as informações de indicação de proteção de integridade são um identificador de um algoritmo de proteção de integridade de plano de usuário, e um algoritmo de proteção de integridade de plano de usuário portado na política de segurança é determinado com base em pelo menos um dentre um algoritmo de proteção de integridade de plano de usuário permitido por uma rede de serviço, um algoritmo de proteção de integridade de plano de usuário suportado pelo dispositivo terminal, e um algoritmo de proteção de integridade de plano de usuário permitido pela estação de base.
61. Entidade de função de gerenciamento de sessão, compreendendo um transceptor e um processador, em que a unidade de recepção e a unidade de envio conforme definidas em qualquer uma das reivindicações 54 a 60 podem ser implementadas pelo transceptor, e a unidade de processamento conforme definida em qualquer uma das reivindicações 54 a 60 pode ser implementada pelo processador.
62. Mídia de armazenamento de computador, em que a mídia de armazenamento de computador armazena uma instrução de software de computador, e quando a instrução de computador é executada, o método conforme definido em qualquer uma das reivindicações 37 a 43 é realizado.
63. Produto de programa de computador, em que o produto de programa de computador compreende uma instrução, e quando a instrução é executada, o método conforme definido em qualquer uma das reivindicações 54 a 60 é realizado.
64. Entidade de função de gerenciamento de sessão, em que a
Petição 870190130980, de 10/12/2019, pág. 164/175
18/28 entidade de função de gerenciamento de sessão é configurada para realizar o método conforme definido em qualquer uma das reivindicações 54 a 60.
65. Dispositivo terminal, em que o dispositivo terminal compreende: um processador, configurado para: após um comando de modo de segurança SMC de estrato de acesso AS enviado por uma estação de base ser recebido, habilitar proteção de plano de sinalização e não habilitar proteção de plano de usuário; em que o processador é configurado adicionalmente para: após uma mensagem de reconfiguração de controle de recurso de rádio RRC ser recebida, usar uma chave de plano de usuário para realizar proteção de segurança de plano de usuário.
66. Dispositivo terminal, de acordo com a reivindicação 65, em que o processador é configurado para gerar uma chave de plano de sinalização e realizar proteção de plano de sinalização usando a chave de plano de sinalização.
67. Dispositivo terminal, de acordo com a reivindicação 66, em que a chave de plano de sinalização compreende uma chave de proteção de integridade de plano de sinalização e uma chave de proteção de criptografia de plano de sinalização.
68. Dispositivo terminal, de acordo com qualquer uma das reivindicações 65 a 67, em que o dispositivo terminal compreende adicionalmente um transceptor; e o transceptor é configurado para: após proteção de plano de sinalização ser habilitada, enviar um comando de conclusão de modo de segurança de estrato de acesso AS SMP para a estação de base.
69. Dispositivo terminal, de acordo com qualquer uma das reivindicações 65 a 68, em que a proteção de segurança de plano de usuário compreende proteção de integridade de plano de usuário e proteção de criptografia de plano de usuário; e se a proteção de integridade de plano de usuário for habilitada e se a proteção de criptografia de plano de usuário for habilitada são transmitidas usando uma mensagem de reconfiguração de RRC.
70. Mídia de armazenamento de computador, em que a mídia de armazenamento de computador armazena uma instrução de software de
Petição 870190130980, de 10/12/2019, pág. 165/175
19/28 computador, e quando a instrução de computador é executada, o método conforme definido em qualquer uma das reivindicações 44 a 48 é realizado.
71. Produto de programa de computador, em que o produto de programa de computador compreende uma instrução, e quando a instrução é executada, o método conforme definido em qualquer uma das reivindicações 65 a 69 é realizado.
72. Dispositivo terminal, em que o dispositivo terminal é configurado para realizar o método conforme definido em qualquer uma das reivindicações 65 a 69.
73. Estação de base, em que a estação de base compreende uma unidade de recepção e uma unidade de processamento; em que a unidade de recepção é configurada para receber uma política de segurança enviada por um elemento de rede de gerenciamento de sessão SMF; e a unidade de processamento é configurada para: se a política de segurança recebida pela estação de base compreender informações de indicação de proteção de integridade, e as informações de indicação de proteção de integridade indicarem habilitar proteção de integridade de plano de usuário, habilitar proteção de integridade de plano de usuário.
74. Estação de base, de acordo com a reivindicação 73, em que a estação de base compreende adicionalmente uma unidade de envio; e a unidade de envio é configurada para enviar as informações de indicação de proteção de integridade para um dispositivo terminal, em que as informações de proteção de integridade são usadas para indicar habilitar proteção de integridade de plano de usuário.
75. Estação de base, de acordo com a reivindicação 74, em que a unidade de processamento é configurada adicionalmente para: se a política de segurança recebida pela estação de base compreender informações de indicação de criptografia, e as informações de indicação de criptografia indicarem habilitar proteção de criptografia de plano de usuário, habilitar proteção de integridade de plano de usuário.
76. Estação de base, de acordo com a reivindicação 75, em que a unidade de envio é configurada para enviar as informações de indicação de criptografia para o dispositivo terminal, em que as informações de indicação de
Petição 870190130980, de 10/12/2019, pág. 166/175
20/28 criptografia são usadas para indicar habilitar proteção de criptografia de plano de usuário.
77. Estação de base, de acordo com a reivindicação 75 ou 76, em que as informações de proteção de integridade são um identificador de um algoritmo de proteção de integridade, e as informações de indicação de criptografia são um identificador do algoritmo de criptografia.
78. Estação de base, compreendendo um transceptor e um processador, em que a unidade de recepção e a unidade de envio conforme definidas em qualquer uma das reivindicações 73 a 77 podem ser implementadas pelo transceptor, e a unidade de processamento de acordo com qualquer uma das reivindicações 73 a 77 pode ser implementada pelo processador.
79. Mídia de armazenamento de computador, em que a mídia de armazenamento de computador armazena uma instrução de software de computador, e quando a instrução de computador é executada, o método conforme definido em qualquer uma das reivindicações 49 a 53 é realizado.
80. Produto de programa de computador, em que o produto de programa de computador compreende uma instrução, e quando a instrução é executada, o método conforme definido em qualquer uma das reivindicações 73 a 77 é realizado.
81. Estação de base, em que a estação de base é configurada para realizar o método conforme definido em qualquer uma das reivindicações 73 a 77.
82. Método de comunicação, compreendendo:
habilitar, por um dispositivo terminal, proteção de plano de sinalização após receber um comando de modo de segurança de estrato de acesso (AS) a partir de uma estação de base;
receber, pelo dispositivo terminal, uma mensagem de reconfiguração de Controle de Recurso de Rádio (RRC) a partir da estação de base;
habilitar, pelo dispositivo terminal, proteção de integridade de plano de usuário quando a mensagem de reconfiguração de RRC incluir informações de indicação de proteção de integridade e as informações de indicação de proteção de integridade são configuradas para indicar habilitar a proteção de integridade de plano de usuário.
Petição 870190130980, de 10/12/2019, pág. 167/175
21/28
83. Método, de acordo com a reivindicação 82, em que a habilitação, pelo dispositivo terminal, de proteção de integridade de plano de usuário, compreende:
gerar, pelo dispositivo terminal, chave de proteção de integridade de plano de usuário; e realizar, pelo dispositivo terminal, a proteção de integridade de plano de usuário usando a chave de proteção de integridade de plano de usuário.
84. Método, de acordo com a reivindicação 82, em que a habilitação, por um dispositivo terminal, de proteção de plano de sinalização, compreende:
gerar, pelo dispositivo terminal, chaves simples de sinalização;
realizar, pelo dispositivo terminal, proteção simples de sinalização usando as chaves simples de sinalização; e gerar, pelo dispositivo terminal, chave de proteção de integridade de plano de usuário;
em que a habilitação, pelo dispositivo terminal, de proteção de integridade de plano de usuário, compreende:
realizar, pelo dispositivo terminal, a proteção de integridade de plano de usuário usando a chave de proteção de integridade de plano de usuário.
85. Método, de acordo com a reivindicação 82, em que as informações de indicação de proteção de integridade são expressas por um bit, e as informações de indicação de proteção de integridade indicam habilitar a proteção de integridade simples de usuário quando o valor do bit for 1.
86. Método, de acordo com a reivindicação 82, compreendendo adicionalmente:
habilitar, pelo dispositivo terminal, proteção de criptografia de plano de usuário quando a mensagem de reconfiguração de RRC incluir informações de indicação de proteção de criptografia e as informações de indicação de proteção de criptografia são configuradas para indicar habilitar a proteção de criptografia de plano de usuário.
87. Método, de acordo com a reivindicação 86, em que a habilitação, por um dispositivo terminal, de proteção de plano de sinalização, compreende:
gerar, pelo dispositivo terminal, chaves simples de sinalização;
realizar, pelo dispositivo terminal, proteção simples de sinalização usando as chaves simples de sinalização; e
Petição 870190130980, de 10/12/2019, pág. 168/175
22/28 gerar, pelo dispositivo terminal, chave de proteção de criptografia de plano de usuário;
em que a habilitação, pelo dispositivo terminal, de proteção de criptografia de plano de usuário, compreende:
realizar, pelo dispositivo terminal, a proteção de criptografia de plano de usuário usando a chave de proteção de criptografia de plano de usuário.
88. Método, de acordo com a reivindicação 86, em que a habilitação, pelo dispositivo terminal, de proteção de criptografia de plano de usuário, compreende:
gerar, pelo dispositivo terminal, chave de proteção de criptografia de plano de usuário; e realizar, pelo dispositivo terminal, a proteção de criptografia de plano de usuário usando a chave de proteção de criptografia de plano de usuário.
89. Método, de acordo com a reivindicação 86, em que as informações de indicação de proteção de criptografia são expressas por um bit, e as informações de indicação de proteção de criptografia indicam habilitar a proteção de criptografia simples de usuário quando o valor do bit for 1.
90. Método, de acordo com qualquer uma das reivindicações 82 a 89, em que após a etapa de habilitar, por um dispositivo terminal, proteção de plano de sinalização, o método compreende adicionalmente:
enviar, pelo dispositivo terminal, uma mensagem de conclusão de comando de modo de segurança de AS para a estação de base.
91. Dispositivo terminal, compreendendo um transceptor e um processador;
o processador é configurado para habilitar proteção de plano de sinalização após receber um comando de modo de segurança de estrato de acesso (AS) a partir de uma estação de base;
o transceptor é configurado para receber uma mensagem de reconfiguração de Controle de Recurso de Rádio (RRC) a partir da estação de base;
o processador é configurado adicionalmente para habilitar proteção de integridade de plano de usuário quando a mensagem de reconfiguração de RRC incluir informações de indicação de proteção de integridade e as informações de indicação de proteção de integridade são configuradas para
Petição 870190130980, de 10/12/2019, pág. 169/175
23/28 indicar habilitar a proteção de integridade de plano de usuário.
92. Dispositivo terminal, de acordo com a reivindicação 91, em que o processador é configurado para:
gerar chave de proteção de integridade de plano de usuário; e realizar a proteção de integridade de plano de usuário usando a chave de proteção de integridade de plano de usuário.
93. Dispositivo terminal, de acordo com a reivindicação 91, em que o processador é configurado para:
gerar chaves simples de sinalização;
realizar proteção simples de sinalização usando as chaves simples de sinalização;
gerar chave de proteção de integridade de plano de usuário; e realizar proteção de integridade de plano de usuário usando a chave de proteção de integridade de plano de usuário.
94. Dispositivo terminal, de acordo com a reivindicação 91, em que as informações de indicação de proteção de integridade são expressas por um bit, e as informações de indicação de proteção de integridade indicam habilitar a proteção de integridade simples de usuário quando o valor do bit for 1.
95. Dispositivo terminal, de acordo com a reivindicação 91, em que o processador é configurado para:
habilitar proteção de criptografia de plano de usuário quando a mensagem de reconfiguração de RRC incluir informações de indicação de proteção de criptografia e as informações de indicação de proteção de criptografia são configuradas para indicar habilitar a proteção de criptografia de plano de usuário.
96. Dispositivo terminal, de acordo com a reivindicação 95, em que o processador é configurado para:
gerar chaves simples de sinalização;
realizar proteção simples de sinalização usando as chaves simples de sinalização; e gerar chave de proteção de criptografia de plano de usuário; e realizar a proteção de criptografia de plano de usuário usando a chave de proteção de criptografia de plano de usuário.
97. Dispositivo terminal, de acordo com a reivindicação 95, em que o
Petição 870190130980, de 10/12/2019, pág. 170/175
24/28 processador é configurado para:
gerar chave de proteção de criptografia de plano de usuário; e realizar a proteção de criptografia de plano de usuário usando a chave de proteção de criptografia de plano de usuário.
98. Dispositivo terminal, de acordo com a reivindicação 95, em que as informações de indicação de proteção de criptografia são expressas por um bit, e as informações de indicação de proteção de criptografia indicam habilitar a proteção de criptografia simples de usuário quando o valor do bit for 1.
99. Dispositivo terminal, de acordo com qualquer uma das reivindicações 91 a 98, em que o transceptor é configurado para:
enviar uma mensagem de conclusão de comando de modo de segurança de AS para a estação de base.
100. Produto de programa de computador, em que o produto de programa de computador compreende uma instrução, e quando a instrução é executada, o método conforme definido em qualquer uma das reivindicações 82 a 90 é realizado.
101. Método de comunicação, compreendendo:
receber, por um dispositivo terminal, uma mensagem de reconfiguração de Controle de Recurso de Rádio (RRC) a partir de uma estação de base;
habilitar, pelo dispositivo terminal, proteção de integridade de plano de usuário por chave de proteção de integridade de plano de usuário quando a mensagem de reconfiguração de RRC incluir informações de indicação de proteção de integridade e as informações de indicação de proteção de integridade são configuradas para indicar habilitar a proteção de integridade de plano de usuário.
102. Método, de acordo com a reivindicação 101, em que as informações de indicação de proteção de integridade são expressas por um bit, e as informações de indicação de proteção de integridade indicam habilitar a proteção de integridade simples de usuário quando o valor do bit for 1.
103. Método, de acordo com a reivindicação 101, compreendendo adicionalmente:
realizar, pelo dispositivo terminal, proteção de criptografia de plano de usuário quando a mensagem de reconfiguração de RRC incluir informações de
Petição 870190130980, de 10/12/2019, pág. 171/175
25/28 indicação de proteção de criptografia e as informações de indicação de proteção de criptografia são configuradas para indicar habilitar a proteção de criptografia de plano de usuário.
104. Método, de acordo com a reivindicação 103, em que as informações de indicação de proteção de criptografia são expressas por um bit, e as informações de indicação de proteção de criptografia indicam habilitar a proteção de criptografia simples de usuário quando o valor do bit for 1.
105. Método, de acordo com a reivindicação 101, antes da etapa de receber, por um dispositivo terminal, uma mensagem de reconfiguração de Controle de Recurso de Rádio (RRC) a partir de uma estação de base, o método compreende adicionalmente:
receber, pelo dispositivo terminal, um comando de modo de segurança de estrato de acesso (AS) a partir de uma estação de base;
gerar, pelo dispositivo terminal, chaves simples de sinalização e chaves simples de usuário;
realizar, pelo dispositivo terminal, proteção simples de sinalização usando as chaves simples de sinalização; e em que as chaves simples de usuário compreendem chave de integridade simples de usuário.
106. Método, de acordo com a reivindicação 101, antes da etapa de habilitar, pelo dispositivo terminal, proteção de integridade de plano de usuário por chave de proteção de integridade de plano de usuário, o método compreende adicionalmente:
gerar, pelo dispositivo terminal, a chave de proteção de integridade simples de usuário.
107. Dispositivo terminal, compreendendo um transceptor e um processador;
o transceptor é configurado para receber uma mensagem de reconfiguração de Controle de Recurso de Rádio (RRC) a partir de uma estação de base;
o processador é configurado para realizar proteção de integridade de plano de usuário por chave de proteção de integridade de plano de usuário quando a mensagem de reconfiguração de RRC incluir informações de indicação de proteção de integridade e as informações de indicação de proteção de integridade são configuradas para indicar habilitar a proteção de integridade de
Petição 870190130980, de 10/12/2019, pág. 172/175
26/28 plano de usuário.
108. Dispositivo terminal, de acordo com a reivindicação 107, em que as informações de indicação de proteção de integridade são expressas por um bit, e as informações de indicação de proteção de integridade indicam habilitar proteção de integridade simples de usuário quando o valor do bit for 1.
109. Dispositivo terminal, de acordo com a reivindicação 107, em que o processador é configurado para:
realizar proteção de criptografia de plano de usuário quando a mensagem de reconfiguração de RRC incluir informações de indicação de proteção de criptografia e as informações de indicação de proteção de criptografia são configuradas para indicar habilitar a proteção de criptografia de plano de usuário.
110. Dispositivo terminal, de acordo com a reivindicação 109, em que as informações de indicação de proteção de criptografia são expressas por um bit, e as informações de indicação de proteção de criptografia indicam habilitar a proteção de criptografia simples de usuário quando o valor do bit for 1.
111. Dispositivo terminal, de acordo com a reivindicação 107, em que o processador é configurado adicionalmente para:
receber um comando de modo de segurança de estrato de acesso (AS) a partir de uma estação de base;
gerar chaves simples de sinalização e chaves simples de usuário;
realizar proteção simples de sinalização usando as chaves simples de sinalização; e em que as chaves simples de usuário compreendem chave de integridade simples de usuário.
112. Dispositivo terminal, de acordo com a reivindicação 107, em que o processador é configurado para: gerar a chave de proteção de integridade simples de usuário.
113. Sistema de comunicação, compreendendo uma entidade de função de gerenciamento de sessão SMF e uma estação de base;
a entidade SMF é configurada para: receber uma mensagem de solicitação, em que a mensagem de solicitação compreende um parâmetro relacionado de uma política de segurança; obter a política de segurança com base no parâmetro relacionado da política de segurança; e enviar a política de segurança para uma estação de base, em que a política de segurança
Petição 870190130980, de 10/12/2019, pág. 173/175
27/28 compreende informações de indicação de proteção de integridade e as informações de indicação de proteção de integridade são usadas para indicar a estação de base se habilita proteção de integridade para o dispositivo terminal;
a estação de base é configurada para: receber uma política de segurança enviada pela entidade SMF; e habilitar proteção de integridade de plano de usuário quando a política de segurança recebida pela estação de base compreender informações de indicação de proteção de integridade e as informações de indicação de proteção de integridade indicarem habilitar proteção de integridade de plano de usuário.
114. Sistema de comunicação, de acordo com a reivindicação 113, em que o sistema de comunicação compreende adicionalmente um dispositivo terminal;
a estação de base é configurada para: enviar uma mensagem de reconfiguração de Controle de Recurso de Rádio (RRC) para o dispositivo terminal;
o dispositivo terminal é configurado para: receber a mensagem de reconfiguração de RRC a partir da estação de base; e habilitar proteção de integridade de plano de usuário quando a mensagem de reconfiguração de RRC incluir informações de indicação de proteção de integridade e as informações de indicação de proteção de integridade são configuradas para indicar habilitar a proteção de integridade de plano de usuário.
115. Sistema de comunicação, de acordo com a reivindicação 113, em que a estação de base é configurada para: habilitar proteção de criptografia de plano de usuário quando a política de segurança recebida pela estação de base compreender informações de indicação de proteção de criptografia e as informações de indicação de proteção de criptografia indicarem habilitar proteção de integridade de plano de usuário.
116. Sistema de comunicação, de acordo com a reivindicação 115, em que o sistema de comunicação compreende adicionalmente um dispositivo terminal;
a estação de base é configurada para: enviar uma mensagem de reconfiguração de Controle de Recurso de Rádio (RRC) para o dispositivo terminal;
o dispositivo terminal é configurado para: receber a mensagem de
Petição 870190130980, de 10/12/2019, pág. 174/175
28/28 reconfiguração de RRC a partir da estação de base; e habilitar proteção de criptografia de plano de usuário quando a mensagem de reconfiguração de RRC incluir informações de indicação de proteção de criptografia e as informações de indicação de proteção de criptografia são configuradas para indicar habilitar a proteção de criptografia de plano de usuário.
BR112019023041-6A 2017-05-05 2017-07-31 Método de comunicação e aparelho relacionado BR112019023041B1 (pt)

Priority Applications (1)

Application Number Priority Date Filing Date Title
BR122020023465-2A BR122020023465B1 (pt) 2017-05-05 2017-07-31 Sistema de comunicação, método, entidade de função de gerenciamento de sessão, estação de base, dispositivo terminal e mídia de armazenamento legível por computador

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/CN2017/083362 WO2018201506A1 (zh) 2017-05-05 2017-05-05 一种通信方法及相关装置
CNPCT/CN2017/083362 2017-05-05
PCT/CN2017/095348 WO2018201630A1 (zh) 2017-05-05 2017-07-31 一种通信方法及相关装置

Publications (2)

Publication Number Publication Date
BR112019023041A2 true BR112019023041A2 (pt) 2020-06-02
BR112019023041B1 BR112019023041B1 (pt) 2021-04-06

Family

ID=64015949

Family Applications (2)

Application Number Title Priority Date Filing Date
BR122020023465-2A BR122020023465B1 (pt) 2017-05-05 2017-07-31 Sistema de comunicação, método, entidade de função de gerenciamento de sessão, estação de base, dispositivo terminal e mídia de armazenamento legível por computador
BR112019023041-6A BR112019023041B1 (pt) 2017-05-05 2017-07-31 Método de comunicação e aparelho relacionado

Family Applications Before (1)

Application Number Title Priority Date Filing Date
BR122020023465-2A BR122020023465B1 (pt) 2017-05-05 2017-07-31 Sistema de comunicação, método, entidade de função de gerenciamento de sessão, estação de base, dispositivo terminal e mídia de armazenamento legível por computador

Country Status (9)

Country Link
US (3) US10798578B2 (pt)
EP (3) EP3541105B1 (pt)
JP (1) JP6943978B2 (pt)
KR (1) KR102162678B1 (pt)
CN (6) CN113038460A (pt)
AU (1) AU2017413023B2 (pt)
BR (2) BR122020023465B1 (pt)
ES (1) ES2830778T3 (pt)
WO (2) WO2018201506A1 (pt)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108810884B (zh) * 2017-05-06 2020-05-08 华为技术有限公司 密钥配置方法、装置以及系统
US11297502B2 (en) * 2017-09-08 2022-04-05 Futurewei Technologies, Inc. Method and device for negotiating security and integrity algorithms
WO2019051811A1 (zh) * 2017-09-15 2019-03-21 Oppo广东移动通信有限公司 配置频率优先级的方法、终端设备、基站和核心网设备
US11129017B2 (en) * 2017-09-28 2021-09-21 Futurewei Technologies, Inc. System and method for security activation with session granularity
WO2019089543A1 (en) 2017-10-30 2019-05-09 Huawei Technologies Co., Ltd. Method and device for obtaining ue security capabilities
WO2019174015A1 (zh) 2018-03-15 2019-09-19 Oppo广东移动通信有限公司 处理数据的方法、接入网设备和核心网设备
JP7024077B2 (ja) * 2017-11-08 2022-02-22 オッポ広東移動通信有限公司 完全性保護の制御方法、ネットワーク装置及びコンピュータ記憶媒体
US11330642B2 (en) * 2017-11-15 2022-05-10 Lg Electronics Inc. Method for supporting and providing LADN service in wireless communication system and apparatus therefor
CN112534852B (zh) * 2018-06-08 2024-05-07 瑞典爱立信有限公司 完整性保护在无线通信网络中的应用
US11051319B2 (en) * 2018-09-04 2021-06-29 Qualcomm Incorporated Techniques for low latency communications in wireless local area networks
WO2020120156A1 (en) * 2018-12-11 2020-06-18 Sony Corporation Communications device, infrastructure equipment, core network equipment and methods
CN111641944A (zh) * 2019-03-01 2020-09-08 华为技术有限公司 一种通信方法及设备
AU2019435787A1 (en) 2019-03-21 2021-05-27 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Policy determining method and apparatus, and terminal
BR112021019171A2 (pt) * 2019-03-26 2021-12-07 Idac Holdings Inc Método implementado por uma primeira unidade de transmissão/recepção sem fio, e, primeira unidade de transmissão/recepção sem fio
CN116389176A (zh) * 2019-03-29 2023-07-04 欧芬诺有限责任公司 用于非公共网络的收费控制的会话管理功能和策略控制功能
CN111800369B (zh) * 2019-04-08 2022-03-29 华为技术有限公司 通信方法与设备
CN110113623B (zh) * 2019-04-18 2021-07-27 浙江工业大学 一种基于sip协议的音视频切片传输平台
CN111865569B (zh) * 2019-04-28 2022-08-26 华为技术有限公司 一种密钥协商方法及装置
US20220191687A1 (en) * 2019-04-29 2022-06-16 Telefonaktiebolaget Lm Ericsson (Publ) User plane integrity protection in 4g system
CN111988782B (zh) * 2019-05-23 2022-04-12 华为技术有限公司 安全会话方法和装置
WO2021026744A1 (zh) * 2019-08-12 2021-02-18 Oppo广东移动通信有限公司 一种策略配置方法、网络设备、终端设备
CN112449400B (zh) * 2019-08-15 2022-03-29 大唐移动通信设备有限公司 一种通信方法、装置及系统
KR20210020690A (ko) * 2019-08-16 2021-02-24 삼성전자주식회사 무선 통신 시스템에서 정보를 보호하기 위한 방법 및 장치
CN110677853B (zh) * 2019-09-06 2023-04-11 京信网络系统股份有限公司 信令处理方法、装置、基站设备和存储介质
EP4022948A4 (en) 2019-09-30 2022-09-21 Samsung Electronics Co., Ltd. METHOD AND DEVICE FOR HANDLING THE MOBILITY PROCEDURE FOR USER EQUIPMENT
CN112672339A (zh) * 2019-10-15 2021-04-16 中国移动通信有限公司研究院 一种终端能力信息的通知方法、终端及基站
CN112929876B (zh) * 2019-12-05 2022-05-17 大唐移动通信设备有限公司 一种基于5g核心网的数据处理方法及装置
CN113381966B (zh) * 2020-03-09 2023-09-26 维沃移动通信有限公司 信息上报方法、信息接收方法、终端及网络侧设备
CN115443671A (zh) * 2020-04-01 2022-12-06 苹果公司 对等用户设备(ue)之间的车联万物(v2x)安全策略协商
EP4145787A4 (en) * 2020-05-29 2023-05-31 Huawei Technologies Co., Ltd. COMMUNICATION METHOD AND DEVICE
WO2022025566A1 (en) 2020-07-27 2022-02-03 Samsung Electronics Co., Ltd. Methods and systems for deriving cu-up security keys for disaggregated gnb architecture
US20220030656A1 (en) * 2020-07-27 2022-01-27 T-Mobile Usa, Inc. Dynamic pcrf/pcf selection
WO2022021258A1 (zh) * 2020-07-30 2022-02-03 华为技术有限公司 一种通信方法及装置
KR20220015667A (ko) * 2020-07-31 2022-02-08 삼성전자주식회사 차세대 이동 통신 시스템에서 무결성 보호 또는 검증 절차로 인한 단말 프로세싱 부하를 줄이는 방법 및 장치
CN114079915A (zh) * 2020-08-06 2022-02-22 华为技术有限公司 确定用户面安全算法的方法、系统及装置
WO2022032461A1 (zh) * 2020-08-10 2022-02-17 华为技术有限公司 一种通信的方法及装置
CN114079919B (zh) * 2020-08-17 2024-02-27 中国电信股份有限公司 安全模式配置方法、装置、系统和计算机可读存储介质
CN113572801B (zh) * 2020-09-30 2022-08-12 中兴通讯股份有限公司 会话建立方法、装置、接入网设备及存储介质
JP7395455B2 (ja) * 2020-11-06 2023-12-11 株式会社東芝 転送装置、鍵管理サーバ装置、通信システム、転送方法及びプログラム
CN112399609B (zh) * 2020-12-03 2023-08-11 中国联合网络通信集团有限公司 一种资源配置方法及装置
KR102522709B1 (ko) * 2020-12-28 2023-04-18 국방과학연구소 암호 알고리즘 식별 장치 및 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램
US11683351B2 (en) * 2021-08-30 2023-06-20 Qualcomm Incorporated Protection level indication and configuration
CN113905380A (zh) * 2021-11-01 2022-01-07 中国电信股份有限公司 接入层安全算法处理方法、系统、设备及存储介质
CN114222303A (zh) * 2021-12-09 2022-03-22 北京航空航天大学 实现ue定制机密性和完整性保护算法的方法及装置
CN114205850A (zh) * 2021-12-13 2022-03-18 中国电信股份有限公司 业务处理方法、基站、核心网系统和业务处理系统
CN114339761A (zh) * 2021-12-30 2022-04-12 天翼物联科技有限公司 一种用于网络切片的用户面数据完整性保护方法和系统
WO2024030574A1 (en) * 2022-08-05 2024-02-08 Intel Corporation Enhanced quality of service-level security for wireless communications

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101064921B (zh) * 2006-04-30 2011-12-21 华为技术有限公司 一种用户设备与网络侧实现加密协商的方法
CN101075865B (zh) * 2006-05-16 2011-02-02 华为技术有限公司 一种用户面加密的启动方法
CN101001252A (zh) * 2006-06-25 2007-07-18 华为技术有限公司 一种注册方法和一种用户面安全算法的协商方法及装置
CN101242629B (zh) * 2007-02-05 2012-02-15 华为技术有限公司 选择用户面算法的方法、系统和设备
CN101242645B (zh) * 2007-02-09 2011-02-09 华为技术有限公司 移动终端从空闲态进入激活态的方法及系统
CN102413461B (zh) * 2007-05-08 2014-06-04 华为技术有限公司 安全能力协商的方法及系统
ES2684299T3 (es) 2008-08-01 2018-10-02 Nokia Siemens Networks Oy Método, aparato, sistema y producto de programa informático para soportar P-CSCF heredada para indicar a la S-CSCF que omita autenticación
CN101355811B (zh) * 2008-09-08 2012-04-25 华为终端有限公司 承载信道重建的方法、系统及设备
CN101478752B (zh) * 2009-01-12 2014-11-05 中兴通讯股份有限公司 一种密钥更替方法、系统及设备
CN101483865A (zh) * 2009-01-19 2009-07-15 中兴通讯股份有限公司 一种密钥更替方法、系统及设备
CN101854625B (zh) 2009-04-03 2014-12-03 华为技术有限公司 安全算法选择处理方法与装置、网络实体及通信系统
KR20120099794A (ko) 2009-12-28 2012-09-11 인터디지탈 패튼 홀딩스, 인크 사물 지능 통신 게이트웨이 아키텍쳐
CN102149088A (zh) * 2010-02-09 2011-08-10 工业和信息化部电信传输研究所 一种保护移动用户数据完整性的方法
US20110261961A1 (en) * 2010-04-22 2011-10-27 Qualcomm Incorporated Reduction in bearer setup time
CN102264066B (zh) * 2010-05-27 2015-08-12 中兴通讯股份有限公司 一种实现接入层安全算法同步的方法及系统
US20110312299A1 (en) * 2010-06-18 2011-12-22 Qualcomm Incorporated Methods and apparatuses facilitating synchronization of security configurations
CN102404609A (zh) * 2010-09-15 2012-04-04 日立民用电子株式会社 发送装置及接收装置
CN102487507B (zh) * 2010-12-01 2016-01-20 中兴通讯股份有限公司 一种实现完整性保护的方法及系统
CN102448058B (zh) * 2011-01-10 2014-04-30 华为技术有限公司 一种Un接口上的数据保护方法与装置
CN103179559B (zh) 2011-12-22 2016-08-10 华为技术有限公司 一种低成本终端的安全通信方法、装置及系统
WO2013181843A1 (zh) * 2012-06-08 2013-12-12 华为技术有限公司 基站、用户设备及通信方法
US9433032B1 (en) * 2012-06-14 2016-08-30 Cisco Technology, Inc. Interface selection for quality of service enforcement
GB2509937A (en) * 2013-01-17 2014-07-23 Nec Corp Providing security information to a mobile device in which user plane data and control plane signalling are communicated via different base stations
CN104936171B (zh) * 2014-03-21 2019-07-16 中兴通讯股份有限公司 安全算法的确定方法及装置
CN106375989B (zh) * 2015-07-20 2019-03-12 中兴通讯股份有限公司 实现接入层安全的方法及用户设备和无线接入小节点
US10412056B2 (en) * 2015-07-24 2019-09-10 Futurewei Technologies, Inc. Ultra dense network security architecture method
EP3328107B1 (en) * 2015-08-13 2019-10-09 Huawei Technologies Co., Ltd. Method, relevant device and system for message protection
US10582522B2 (en) * 2015-09-04 2020-03-03 Lg Electronics Inc. Data transmission and reception method and device of terminal in wireless communication system
US10015740B2 (en) * 2015-09-30 2018-07-03 Apple Inc. Voice and data continuity between wireless devices
CN109560929B (zh) 2016-07-01 2020-06-16 华为技术有限公司 密钥配置及安全策略确定方法、装置
CN113630773B (zh) 2017-01-24 2023-02-14 华为技术有限公司 安全实现方法、设备以及系统
WO2018174525A1 (ko) 2017-03-20 2018-09-27 엘지전자(주) 무선 통신 시스템에서 계층간 상호작용 방법 및 이를 위한 장치
WO2018177656A1 (en) * 2017-03-31 2018-10-04 Telefonaktiebolaget Lm Ericsson (Publ) Application topology aware user plane selection in nr and 5gc

Also Published As

Publication number Publication date
CN109561427A (zh) 2019-04-02
KR102162678B1 (ko) 2020-10-07
US10798579B2 (en) 2020-10-06
US11272360B2 (en) 2022-03-08
BR112019023041B1 (pt) 2021-04-06
EP3541105B1 (en) 2020-09-09
ES2830778T3 (es) 2021-06-04
WO2018201506A1 (zh) 2018-11-08
CN109219965A (zh) 2019-01-15
EP3541105A1 (en) 2019-09-18
EP3541105A4 (en) 2019-11-20
EP4340537A2 (en) 2024-03-20
US20200137577A1 (en) 2020-04-30
EP3796694A1 (en) 2021-03-24
JP2020519190A (ja) 2020-06-25
CN109640324A (zh) 2019-04-16
KR20200003120A (ko) 2020-01-08
CN109219965B (zh) 2021-02-12
JP6943978B2 (ja) 2021-10-06
US20200374691A1 (en) 2020-11-26
CN109561427B (zh) 2019-11-19
CN113038460A (zh) 2021-06-25
BR122020023465B1 (pt) 2021-08-17
EP4340537A3 (en) 2024-05-29
AU2017413023B2 (en) 2021-10-21
WO2018201630A1 (zh) 2018-11-08
CN109640324B (zh) 2019-11-19
CN109618335B (zh) 2020-03-17
CN109618335A (zh) 2019-04-12
US20190246282A1 (en) 2019-08-08
US10798578B2 (en) 2020-10-06
CN113038461A (zh) 2021-06-25
AU2017413023A1 (en) 2019-12-05

Similar Documents

Publication Publication Date Title
US11272360B2 (en) Communication method and related apparatus
US11533610B2 (en) Key generation method and related apparatus
CN110830993B (zh) 一种数据处理的方法、装置和计算机可读存储介质
JP7043631B2 (ja) Sscモードを決定するための方法および装置
US11140545B2 (en) Method, apparatus, and system for protecting data
KR20180109899A (ko) 로밍 연결을 확립하기 위한 방법
WO2018079692A1 (ja) 通信システム、基地局、制御方法、及びコンピュータ可読媒体
CN111641582B (zh) 一种安全保护方法及装置
WO2019174582A1 (zh) 一种消息传输方法和装置
WO2019096279A1 (zh) 一种安全通信方法和装置
JP7414796B2 (ja) 情報送信方法、鍵生成方法、及び機器
BR102022008929A2 (pt) Aprimoramentos de roaming e descoberta de controle de admissão de fatia de rede (nsac)

Legal Events

Date Code Title Description
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 31/07/2017, OBSERVADAS AS CONDICOES LEGAIS.