BR112019023236A2

BR112019023236A2 - método, aparelho e sistema de configuração de chave

Info

Publication number: BR112019023236A2
Application number: BR112019023236A
Authority: BR
Inventors: Zhang Bo; Gan Lu; Wu Rong; Li Yan
Original assignee: Huawei Tech Co Ltd
Priority date: 2017-05-06
Filing date: 2017-07-31
Publication date: 2020-05-19
Also published as: WO2018205427A1; CN110493774A; CN108810884B; CN110574406B; CN110574406A; US20200084631A1; WO2018205394A1; EP3611949A4; EP3611949A1; CN110493774B; CN108810884A

Abstract

modalidades da presente invenção revelam um método, um aparelho e um sistema de configuração de chave. o método inclui: receber, por um elemento de rede de função de diretriz, uma solicitação para comunicação entre equipamento de usuário e um dispositivo de rede; determinar um mecanismo de proteção de plano de usuário com base na solicitação, informação de registro de ue, dados de serviço de subscrição, e uma exigência de segurança de serviço; e quando o dispositivo de rede é um dispositivo cn, enviar, pelo elemento de rede de função de diretriz, o mecanismo de proteção de plano de usuário para um elemento de rede de algoritmo, onde o elemento de rede de algoritmo determina um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, gera uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, envia a primeira chave de proteção de plano de usuário para o dispositivo cn, e envia o algoritmo de proteção de segurança para o equipamento de usuário, e o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança. por meio de implementação das modalidades da presente invenção, o equipamento de usuário e o dispositivo de rede podem configurar separadamente as chaves de proteção de plano de usuário em comunicação 5g, melhorando desse modo segurança de transmissão de dados de plano de usuário e implementando proteção de segurança de rede.

Description

MÉTODO, APARELHO E SISTEMA DE CONFIGURAÇÃO DE CHAVE

CAMPO TÉCNICO

[001] A presente invenção diz respeito ao campo de comunicações, e em particular a um método, um aparelho e um sistema de configuração de chave.

ANTECEDENTES

[002] Em uma arquitetura de segurança de rede existente, segurança de dados é protegida em um modo de salto por salto, isto é, segurança é protegida segmento por segmento. Em um exemplo de transmissão de dados em um link dispositivo terminal-> estação base-> porta de comunicação de servidor-> porta de comunicação de PDN, proteção de segurança é realizada uma vez entre o dispositivo terminal e a estação base, proteção de segurança é realizada uma vez entre a estação base e a porta de comunicação de servidor, e proteção de segurança é realizada uma vez entre a porta de comunicação de servidor e a porta de comunicação de PDN. Em um processo de transmissão de dados, dados podem vazar se um problema ocorrer em um nó intermediário.

[003] Além disso, na arquitetura de segurança de rede existente, um mecanismo de proteção de interface de ar de PDCD é usado entre o dispositivo terminal e a estação base. O mecanismo de proteção de interface de ar de PDCD suporta somente um conjunto de mecanismos de proteção de dados de usuário. Para ser especifico, mesmo se uma pluralidade de tipos de dados de serviço for transmitida entre o dispositivo terminal e a estação base, proteção de segurança para a pluralidade de tipos de dados de serviço pode ser realizada ao usar somente um algoritmo de criptografia e algoritmo de proteção de integridade. Pode

Petição 870190133522, de 13/12/2019, pág. 9/253

2/227 ser aprendido que na técnica anterior proteção de segurança diferenciada não é suportada, e proteção de segurança uniforme é exigida para todos os dados de serviço em um lado de estação base.

[004] Além disso, em planejamento 5G futuro, elementos de rede em uma rede 5G são exigidos para suportar negociação de diretriz de segurança baseada em serviço. Entretanto, negociação de algoritmo de segurança existente em LTE é usada somente para negociação de algoritmo de segurança de plano de usuário ou de plano de controle, mas não suporta negociação de diretriz de segurança baseada em serviço. Portanto, um mecanismo de negociação de LTE existente não pode ser aplicado diretamente para comunicação 5G futura.

SUMÁRIO

[005] Modalidades da presente invenção revelam um método, um aparelho e um sistema de configuração de chave, de maneira que equipamento de usuário e um dispositivo de rede podem configurar separadamente chaves de proteção de plano de usuário em comunicação 5G, melhorando desse modo segurança de transmissão de dados de plano de usuário e implementando proteção de segurança de rede.

[006] De acordo com um primeiro aspecto, uma modalidade da presente invenção fornece um método de configuração de chave, aplicado para um lado de elemento de rede de função de diretriz em um sistema de comunicações, onde o método inclui:

receber, por um elemento de rede de função de diretriz, uma solicitação para comunicação entre equipamento de usuário e um dispositivo de rede, onde a solicitação inclui

Petição 870190133522, de 13/12/2019, pág. 10/253

3/227 um identificador de sessão, um identificador de equipamento de usuário e informação de indicação de exigência de segurança, e a informação de indicação de exigência de segurança é usada para indicar uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço;

determinar, pelo elemento de rede de função de diretriz, um mecanismo de proteção de plano de usuário com base na solicitação e em pelo menos um de informação de registro de UE realimentada por um gerenciador de dados unificados UDM, dados de serviço de subscrição realimentados pelo UDM e uma exigência de segurança de serviço realimentada por uma função de aplicação AF, onde o mecanismo de proteção de plano de usuário é usado para indicar se criptografia e/ou proteção de integridade são/é exigida para dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede; e quando o dispositivo de rede é um dispositivo de rede de acesso AN, enviar, pelo elemento de rede de função de diretriz, o mecanismo de proteção de plano de usuário para o dispositivo AN, onde o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, e gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e o dispositivo AN é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança; ou

Petição 870190133522, de 13/12/2019, pág. 11/253

4/227 quando o dispositivo de rede é um dispositivo de rede principal CN, enviar, pelo elemento de rede de função de diretriz, o mecanismo de proteção de plano de usuário para um elemento de rede de algoritmo, onde o elemento de rede de algoritmo é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e enviar a primeira chave de proteção de plano de usuário para o dispositivo CN, e o elemento de rede de algoritmo é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança.

[007] Quando a primeira chave de proteção de plano de usuário é usada para realizar proteção de segurança nos dados de plano de usuário, a segunda chave de proteção de plano de usuário é usada para restaurar os dados de plano de usuário; ou quando a segunda chave de proteção de plano de usuário é usada para realizar proteção de segurança nos dados de plano de usuário, a primeira chave de proteção de plano de usuário é usada para restaurar os dados de plano de usuário, onde a proteção de segurança é criptografia e/ou proteção de integridade, e se criptografia e/ou proteção de integridade são/é para ser realizadas(a) é indicado pelo mecanismo de proteção de plano de usuário.

[008] Com referência para o primeiro aspecto, em uma implementação possível, a solicitação inclui adicionalmente pelo menos um de um identificador de serviço, um

Petição 870190133522, de 13/12/2019, pág. 12/253

5/227 identificador de serviço de equipamento de usuário, um nome de rede de dados DNN e uma capacidade de segurança de equipamento de usuário.

[009] A solicitação é uma solicitação de ligação, a solicitação de ligação é iniciada pelo equipamento de usuário para uma função de servidor de autenticação AUSF, e a solicitação de ligação é usada para realizar autenticação bidirecional entre o dispositivo de rede e a AUSF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de sessão, a solicitação de sessão é iniciada pelo equipamento de usuário para uma função de gerenciamento de sessão SMF, ou é iniciada por uma função de gerenciamento de acesso e mobilidade AMF para a SMF, e a solicitação de sessão é usada para criar uma sessão entre o dispositivo de rede e a SMF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de diretriz, a solicitação de diretriz é iniciada pela SMF para o elemento de rede de função de diretriz, e a solicitação de diretriz é usada para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário.

[010] Com referência para o primeiro aspecto, em uma implementação possível, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar pelo menos um de um algoritmo de proteção de segurança, um comprimento de

Petição 870190133522, de 13/12/2019, pág. 13/253

6/227 chave e um período de atualização de chave que precisa ser usado para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[011] O elemento de rede de função de diretriz inclui um de uma função de controle de diretrizes PCF, a função de servidor de autenticação AUSF, a função de gerenciamento de acesso e mobilidade AMF, a função de gerenciamento de sessão SMF e o dispositivo CN.

[012] O dispositivo CN é uma função de plano de usuário UPF, e o elemento de rede de algoritmo inclui pelo menos um de a PCF, a AUSF, a AMF, a SMF e o dispositivo AN.

[013] Com referência para o primeiro aspecto, em uma implementação possível, que o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário inclui:

se o mecanismo de proteção de plano de usuário não incluir algoritmo de proteção de segurança, determinar o algoritmo de proteção de segurança com base em pelo menos um de o mecanismo de proteção de plano de usuário, a capacidade de segurança de equipamento de usuário e uma lista de prioridades de algoritmos suportada pelo dispositivo AN; ou se o mecanismo de proteção de plano de usuário incluir um algoritmo de proteção de segurança, obter diretamente o algoritmo de proteção de segurança no mecanismo de proteção de plano de usuário.

[014] Com referência para o primeiro aspecto, em uma implementação possível, que o elemento de rede de algoritmo é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário inclui:

Petição 870190133522, de 13/12/2019, pág. 14/253

7/227 se o mecanismo de proteção de plano de usuário não incluir algoritmo de proteção de segurança, determinar o algoritmo de proteção de segurança com base em pelo menos um de o mecanismo de proteção de plano de usuário, a capacidade de segurança de equipamento de usuário e uma lista de prioridades de algoritmos suportada pelo dispositivo CN; ou se o mecanismo de proteção de plano de usuário incluir um algoritmo de proteção de segurança, obter diretamente o algoritmo de proteção de segurança no mecanismo de proteção de plano de usuário.

[015] Com referência para o primeiro aspecto, em uma implementação possível, quando o dispositivo de rede é um dispositivo AN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário=

KDF(K_AN, ID de algoritmo de UP), onde K_AN é uma chavede estação base derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave base obtida apósa autenticação ou uma chave derivada de novo apósa autenticação, e o dispositivo AN obtém K_AN da AMF; ou quando o dispositivo de rede é um dispositivo CN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário = KDF (K_elemento de rede de algoritmo, ID de algoritmo de UP) , onde K_elemento de rede de algoritmo é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF ou pela AUSF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a

Petição 870190133522, de 13/12/2019, pág. 15/253

8/227 autenticação, e o elemento de rede de algoritmo obtém K_elemento de rede de algoritmo da AMF ou da AUSF, onde

ID de algoritmo de UP é um identificador de um algoritmo de criptografia ou um identificador de um algoritmo de proteção de integridade, e KDF é uma função de derivação de chave.

[016] Com referência para o primeiro aspecto, em uma implementação possível, os dados de plano de usuário são carregados em um canal de transporte de fluxo de qualidade de serviço fluxo de QoS;

antes de determinar um mecanismo de proteção de plano de usuário, o método inclui: determinar um identificador de fluxo de qualidade de serviço ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS; e determinar um mecanismo de proteção de plano de usuário inclui: determinar um mecanismo de proteção de plano de usuário correspondendo ao ID de fluxo de QoS, onde existe uma relação de mapeamento entre o ID de fluxo de QoS e o mecanismo de proteção de plano de usuário.

[017] Com referência para o primeiro aspecto, em uma implementação possível, determinar um ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS inclui:

selecionar, com base em uma exigência de segurança e/ou em uma exigência de QoS, um ID de fluxo de QoS correspondendo a um canal de transporte de fluxo de QoS predefinido; ou criar novamente um canal de transporte de fluxo de QoS com base em uma exigência de segurança e/ou em uma exigência de QoS, e gerar um ID de fluxo de QoS

Petição 870190133522, de 13/12/2019, pág. 16/253

9/227 correspondendo ao canal de transporte de fluxo de QoS, onde a exigência de segurança é uma exigência de segurança indicada por pelo menos um de a informação de indicação, a informação de registro de UE, os dados de serviço de subscrição e a exigência de segurança de serviço realimentada pela AF, e a exigência de QoS é uma exigência para um parâmetro de qualidade de serviço em uma rede de comunicações.

[018] Com referência para o primeiro aspecto, em uma implementação possível, os dados de plano de usuário são carregados em um canal de transporte de portadora de rádio de dados DRB;

antes de determinar um mecanismo de proteção de plano de usuário, o método inclui: determinar um identificador de portadora de rádio de dados ID de DRB correspondendo ao canal de transporte de DRB; e determinar um mecanismo de proteção de plano de usuário inclui: determinar um mecanismo de proteção de plano de usuário correspondendo ao ID de DRB, onde existe uma relação de mapeamento entre o ID de DRB e o mecanismo de proteção de plano de usuário.

[019] Com referência para o primeiro aspecto, em uma implementação possível, determinar um ID de DRB correspondendo ao canal de transporte de DRB inclui:

selecionar, com base na exigência de segurança e/ou na exigência de QoS, um ID de DRB correspondendo a um canal de transporte de DRB predefinido; ou criar novamente um canal de transporte de DRB com base na exigência de segurança e/ou na exigência de QoS, e gerar um ID de DRB correspondendo ao canal de transporte de DRB,

Petição 870190133522, de 13/12/2019, pág. 17/253

10/227 onde a exigência de segurança é uma exigência de segurança indicada por pelo menos um de a informação de indicação, a informação de registro de UE, os dados de serviço de subscrição e a exigência de segurança de serviço realimentada pela AF, e a exigência de QoS é uma exigência para um parâmetro de qualidade de serviço em uma rede de comunicações.

[020] Com referência para o primeiro aspecto, em uma implementação possível, os dados de plano de usuário são carregados em um canal de transporte de sessão;

antes de determinar um mecanismo de proteção de plano de usuário, o método inclui: determinar um identificador de sessão ID de sessão correspondendo ao canal de transporte de sessão; e determinar um mecanismo de proteção de plano de usuário inclui: determinar um mecanismo de proteção de plano de usuário correspondendo ao ID de sessão, onde existe uma relação de mapeamento entre o ID de sessão e o mecanismo de proteção de plano de usuário.

[021] Em uma modalidade possível, determinar um mecanismo de proteção de plano de usuário inclui adicionalmente:

estabelecer um mapeamento do ID de sessão e do ID de fluxo de QoS para o ID de DRB, de maneira que fluxos de QoS com um mesmo mecanismo de proteção de plano de usuário são mapeados para uma mesma DRB.

[022] Com referência para o primeiro aspecto, em uma implementação possível, quando o dispositivo de rede é um dispositivo AN, gerar uma primeira chave de proteção de

Petição 870190133522, de 13/12/2019, pág. 18/253

11/227 plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário=

KDF(K_AN, ID de algoritmo de UP); ou primeira chave de proteção de plano de usuário=

KDF(K_AN, ID de algoritmo de UP, ID de fluxo); ou primeira chave de proteção de plano de usuário=

KDF(K_AN, ID de algoritmo de UP, ID de sessão); ou primeira chave de proteção de plano de usuário=

KDF(K_AN, ID de algoritmo de UP, ID de DRB); ou quando o dispositivo de rede é um dispositivo CN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário = KDF(K_elemento de rede de algoritmo, ID de algoritmo de UP); ou primeira chave de proteção de plano de usuário = KDF(K_elemento de rede de algoritmo, ID de algoritmo de UP, ID de fluxo); ou primeira chave de proteção de plano de usuário = KDF(K_elemento de rede de algoritmo, ID de algoritmo de UP, ID de sessão); ou primeira chave de proteção de plano de usuário = KDF(K_elemento de rede de algoritmo, ID de algoritmo de UP, ID de DRB).

[023] Com referência para o primeiro aspecto, em uma implementação possível, antes de determinar um mecanismo de proteção de plano de usuário, o método inclui adicionalmente:

realizar, pelo equipamento de usuário, autenticação secundária com uma rede de dados DN com base na solicitação

Petição 870190133522, de 13/12/2019, pág. 19/253

12/227 de sessão, e realimentar um resultado de autenticação para o elemento de rede de função de diretriz, de maneira que ο elemento de rede de função de diretriz determina o mecanismo de proteção de plano de usuário com base no resultado de autenticação.

[024] De acordo com um segundo aspecto, uma modalidade da presente invenção fornece um elemento de rede de função de diretriz, configurado para implementar o método de acordo com o primeiro aspecto, onde o elemento de rede de função de diretriz inclui um módulo de recebimento, um módulo de diretrizes e um módulo de envio, onde o módulo de recebimento é configurado para receber uma solicitação para comunicação entre equipamento de usuário e um dispositivo de rede, onde a solicitação inclui um identificador de sessão, um identificador de equipamento de usuário e informação de indicação de exigência de segurança, e a informação de indicação de exigência de segurança é usada para indicar uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço;

o módulo de diretrizes é configurado para determinar um mecanismo de proteção de plano de usuário com base na solicitação e em pelo menos um de informação de registro de UE realimentada por um gerenciador de dados unificados UDM, dados de serviço de subscrição realimentados pelo UDM e uma exigência de segurança de serviço realimentada por uma função de aplicação AF, onde o mecanismo de proteção de plano de usuário é usado para indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para dados de plano de

Petição 870190133522, de 13/12/2019, pág. 20/253

13/227 usuário transmitidos entre o equipamento de usuário e o dispositivo de rede;

o módulo de envio é configurado para: quando o dispositivo de rede é um dispositivo de rede de acesso AN, enviar o mecanismo de proteção de plano de usuário para o dispositivo AN, onde o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, e gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e o dispositivo AN é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança; e o módulo de envio é configurado adicionalmente para: quando o dispositivo de rede é um dispositivo de rede principal CN, enviar o mecanismo de proteção de plano de usuário para um elemento de rede de algoritmo, onde o elemento de rede de algoritmo é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e enviar a primeira chave de proteção de plano de usuário para o dispositivo CN, e o elemento de rede de algoritmo é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança.

Petição 870190133522, de 13/12/2019, pág. 21/253

14/227

[025] De acordo com um terceiro aspecto, uma modalidade da presente invenção fornece um outro elemento de rede de função de diretriz, onde o elemento de rede de função de diretriz inclui um processador, uma memória, um transmissor e um receptor, e o processador, a memória, o transmissor e o receptor são conectados uns aos outros (por exemplo, são conectados uns aos outros ao usar um barramento) , onde o processador é configurado para ler código de programa armazenado na memória, para realizar as seguintes etapas:

receber uma solicitação para comunicação entre equipamento de usuário e um dispositivo de rede ao usar o receptor, onde a solicitação inclui um identificador de sessão, um identificador de equipamento de usuário e informação de indicação de exigência de segurança, e a informação de indicação de exigência de segurança é usada para indicar uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço;

determinar, pelo processador, um mecanismo de proteção de plano de usuário com base na solicitação e em pelo menos um de informação de registro de UE realimentada por um gerenciador de dados unificados UDM, dados de serviço de subscrição realimentados pelo UDM e uma exigência de segurança de serviço realimentada por uma função de aplicação AF, onde o mecanismo de proteção de plano de usuário é usado para indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede; e quando o dispositivo de rede é um dispositivo de rede

Petição 870190133522, de 13/12/2019, pág. 22/253

15/227 de acesso AN, enviar o mecanismo de proteção de plano de usuário para o dispositivo AN ao usar o transmissor, onde o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, e gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e o dispositivo AN é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança; ou quando o dispositivo de rede é um dispositivo de rede principal CN, enviar o mecanismo de proteção de plano de usuário para um elemento de rede de algoritmo ao usar o transmissor, onde o elemento de rede de algoritmo é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e enviar a primeira chave de proteção de plano de usuário para o dispositivo CN, e o elemento de rede de algoritmo é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança.

[026] Com referência para o terceiro aspecto, em uma modalidade possível, a solicitação inclui adicionalmente pelo menos um de um identificador de serviço, um identificador de serviço de equipamento de usuário, um nome

Petição 870190133522, de 13/12/2019, pág. 23/253

16/227 de rede de dados DNN e uma capacidade de segurança de equipamento de usuário.

[027] Com referência para o terceiro aspecto, em uma modalidade possível, a solicitação é uma solicitação de ligação, a solicitação de ligação é iniciada pelo equipamento de usuário para uma função de servidor de autenticação AUSF, e a solicitação de ligação é usada para realizar autenticação bidirecional entre o dispositivo de rede e a AUSF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário.

[028] Com referência para o terceiro aspecto, em uma modalidade possível, a solicitação é uma solicitação de sessão, a solicitação de sessão é iniciada pelo equipamento de usuário para uma função de gerenciamento de sessão SMF, ou é iniciada por uma função de gerenciamento de acesso e mobilidade AMF para a SMF, e a solicitação de sessão é usada para criar uma sessão entre o dispositivo de rede e a SMF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário.

[029] Com referência para o terceiro aspecto, em uma modalidade possível, a solicitação é uma solicitação de diretriz, a solicitação de diretriz é iniciada pela SMF para o elemento de rede de função de diretriz, e a solicitação de diretriz é usada para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário.

[030] Com referência para o terceiro aspecto, em uma modalidade possível, o mecanismo de proteção de plano de

Petição 870190133522, de 13/12/2019, pág. 24/253

17/227 usuário é usado adicionalmente para indicar pelo menos um de um algoritmo de proteção de segurança, um comprimento de chave e um período de atualização de chave que precisa ser usado para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[031] Com referência para o terceiro aspecto, em uma modalidade possível, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar uma lista de algoritmos de proteção de segurança, com prioridades, que podem ser usados para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[032] Com referência para o terceiro aspecto, em uma modalidade possível, o elemento de rede de função de diretriz inclui um de uma função de controle de diretrizes PCF, a função de servidor de autenticação AUSF, a função de gerenciamento de acesso e mobilidade AMF, a função de gerenciamento de sessão SMF e o dispositivo AN.

[033] O dispositivo CN é uma função de plano de usuário UPF, e o elemento de rede de algoritmo inclui pelo menos um de a PCF, a AUSF, a AMF, a SMF e o dispositivo AN.

[034] Com referência para o terceiro aspecto, em uma modalidade possível, que o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário inclui:

se o mecanismo de proteção de plano de usuário não incluir algoritmo de proteção de segurança, determinar o algoritmo de proteção de segurança com base em pelo menos um de o mecanismo de proteção de plano de usuário, a capacidade de segurança de equipamento de usuário e uma

Petição 870190133522, de 13/12/2019, pág. 25/253

18/227 lista de prioridades de algoritmos suportada pelo dispositivo AN; ou se o mecanismo de proteção de plano de usuário incluir um algoritmo de proteção de segurança, obter diretamente o algoritmo de proteção de segurança no mecanismo de proteção de plano de usuário.

[035] Com referência para o terceiro aspecto, em uma modalidade possível, que o elemento de rede de algoritmo é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário inclui:

se o mecanismo de proteção de plano de usuário não incluir algoritmo de proteção de segurança, determinar o algoritmo de proteção de segurança com base em pelo menos um de o mecanismo de proteção de plano de usuário, a capacidade de segurança de equipamento de usuário e uma lista de prioridades de algoritmos suportada pelo dispositivo CN; ou se o mecanismo de proteção de plano de usuário incluir um algoritmo de proteção de segurança, obter diretamente o algoritmo de proteção de segurança no mecanismo de proteção de plano de usuário.

[036] Com referência para o terceiro aspecto, em uma modalidade possível, quando o dispositivo de rede é um dispositivo AN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário=

KDF(K_AN, ID de algoritmo de UP), onde K_AN é uma chavede estação base derivada, após autenticação ser bem sucedida, pela AMD com base em uma chave base obtida apósa autenticação ou uma chave derivada de novo apósa

Petição 870190133522, de 13/12/2019, pág. 26/253

19/227 autenticação, e o dispositivo AN obtém K_AN da AMF; ou quando o dispositivo de rede é um dispositivo CN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário = KDF(K_elemento de rede de algoritmo, ID de algoritmo de UP) , onde K_elemento de rede de algoritmo é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF ou pela AUSF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e o elemento de rede de algoritmo obtém K_elemento de rede de algoritmo da AMF ou da AUSF, onde

[037] Com referência para o terceiro aspecto, em uma modalidade possível, o método inclui: os dados de plano de usuário são carregados em um canal de transporte de fluxo de qualidade de serviço fluxo de QoS; e se um identificador de fluxo de qualidade de serviço ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS existir, e um fluxo de QoS correspondendo ao ID de fluxo de QoS satisfizer um mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, selecionar o canal de transporte de fluxo de QoS para transmitir os dados de plano de usuário; de outro modo, criar novamente um canal de transporte de fluxo de QoS, e gerar um ID de fluxo de QoS correspondendo ao

Petição 870190133522, de 13/12/2019, pág. 27/253

20/227 canal de transporte de fluxo de QoS; ou se urn ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS existir, e um fluxo de QoS correspondendo ao ID de fluxo de QoS satisfizer um mecanismo de proteção de piano de usuário, selecionar o canal de transporte de fluxo de QoS para transmitir os dados de plano de usuário; de outro modo, criar novamente um canal de transporte de fluxo de QoS, e gerar um ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS, onde a exigência de QoS é uma exigência para um parâmetro de qualidade de serviço em uma rede de comunicações.

[038] Com referência para o terceiro aspecto, em uma modalidade possível, o método inclui: os dados de plano de usuário são carregados em um canal de transporte de portadora de rádio de dados DRB; e se um identificador de portadora de rádio de dados ID de DRB correspondendo ao canal de transporte de DRB existir, e uma DRB correspondendo ao ID de DRB satisfizer um mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, selecionar o canal de transporte de DRB para transmitir os dados de usuário; de outro modo, criar novamente um canal de transporte de DRB, e gerar um ID de DRB correspondendo ao canal de transporte de DRB; ou se um ID de DRB correspondendo ao canal de transporte de DRB existir, e uma DRB correspondendo ao ID de DRB satisfizer um mecanismo de proteção de plano de usuário, selecionar o canal de transporte de DRB para transmitir os dados de usuário; de outro modo, criar novamente um canal de transporte de DRB,

Petição 870190133522, de 13/12/2019, pág. 28/253

21/227 e gerar um ID de DRB correspondendo ao canal de transporte de DRB, onde existe uma relação de mapeamento entre o ID de DRB e o mecanismo de proteção de plano de usuário.

[039] Opcionalmente, o método inclui: os dados de plano de usuário são carregados em um canal de transporte de sessão; e se um identificador de sessão ID de sessão correspondendo ao canal de transporte de sessão existir, e uma sessão correspondendo ao ID de sessão satisfizer um mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, selecionar o canal de transporte de sessão para transmitir os dados de usuário; de outro modo, criar novamente um canal de transporte de sessão, e gerar um ID de sessão correspondendo ao canal de transporte de sessão; ou se um ID de sessão correspondendo ao canal de transporte de sessão existir, e uma sessão correspondendo ao ID de sessão satisfizer um mecanismo de proteção de plano de usuário, selecionar o canal de transporte de sessão para transmitir os dados de usuário; de outro modo, criar novamente um canal de transporte de sessão, e gerar um ID de sessão correspondendo ao canal de transporte de sessão, onde existe uma relação de mapeamento entre o ID de sessão e o mecanismo de proteção de plano de usuário.

[040] Com referência para o terceiro aspecto, em uma modalidade possível, um mapeamento do ID de sessão e do ID de fluxo de QoS para o ID de DRB é estabelecido, de maneira que fluxos de QoS com um mesmo mecanismo de proteção de

Petição 870190133522, de 13/12/2019, pág. 29/253

22/227 plano de usuário são mapeados para uma mesma DRB.

[041] Com referência para o terceiro aspecto, em uma modalidade possível, quando o dispositivo de rede é um dispositivo AN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário=

KDF(K_AN, ID de algoritmo de UP, ID de DRB).

[042] Com referência para o terceiro aspecto, em uma modalidade possível, quando o dispositivo de rede é um dispositivo CN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

Petição 870190133522, de 13/12/2019, pág. 30/253

23/227

[043] De acordo com um quarto aspecto, uma modalidade da presente invenção fornece um sistema de comunicações, onde o sistema de comunicações inclui equipamento de usuário, um elemento de rede de função de diretriz, um dispositivo de rede, um gerenciador de dados unificados UDM, uma função de aplicação AF e um elemento de rede de algoritmo, o elemento de rede de função de diretriz é conectado ao equipamento de usuário e ao dispositivo de rede, o elemento de rede de função de diretriz é conectado adicionalmente ao UDM e à AF, e o elemento de rede de algoritmo é conectado ao elemento de rede de função de diretriz e ao dispositivo de rede, onde o elemento de rede de função de diretriz é configurado para receber uma solicitação para comunicação entre o equipamento de usuário e o dispositivo de rede, onde a solicitação inclui um identificador de sessão, um identificador de equipamento de usuário e informação de indicação de exigência de segurança, e a informação de indicação de exigência de segurança é usada para indicar uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço;

o elemento de rede de função de diretriz é configurado adicionalmente para determinar um mecanismo de proteção de plano de usuário com base na solicitação e em pelo menos um de informação de registro de UE realimentada pelo UDM, dados de serviço de subscrição realimentados pelo UDM e uma exigência de segurança de serviço realimentada pela AF, onde o mecanismo de proteção de plano de usuário é usado para indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são

Petição 870190133522, de 13/12/2019, pág. 31/253

24/227 exigidas para dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede;

quando o dispositivo de rede é um dispositivo de rede de acesso AN, o elemento de rede de função de diretriz é configurado adicionalmente para enviar o mecanismo de proteção de plano de usuário para o dispositivo AN, onde o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, o dispositivo AN é configurado adicionalmente para gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança e enviar o algoritmo de proteção de segurança para o equipamento de usuário, e o equipamento de usuário é configurado para gerar uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança; e quando o dispositivo de rede é um dispositivo de rede principal CN, o elemento de rede de função de diretriz é configurado para enviar o mecanismo de proteção de plano de usuário para o elemento de rede de algoritmo, onde o elemento de rede de algoritmo é configurado adicionalmente para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, o elemento de rede de algoritmo é configurado adicionalmente para gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, enviar a primeira chave de proteção de plano de usuário para o dispositivo CN, e enviar o algoritmo de proteção de segurança para o equipamento de usuário, e o equipamento de usuário é configurado para gerar uma segunda chave de

Petição 870190133522, de 13/12/2019, pág. 32/253

25/227 proteção de plano de usuário com base no algoritmo de proteção de segurança.

[044] De acordo com um quinto aspecto, uma modalidade da presente invenção fornece um método de configuração de chave, incluindo:

enviar, por equipamento de usuário, uma solicitação, onde a solicitação inclui um identificador de equipamento de usuário;

receber, pelo equipamento de usuário, uma resposta, onde a resposta carrega um algoritmo de proteção de segurança, o algoritmo de proteção de segurança é determinado ao usar um mecanismo de proteção de plano de usuário, o mecanismo de proteção de plano de usuário é determinado por um elemento de rede de função de diretriz com base na solicitação e em pelo menos um de informação de registro de UE realimentada por um gerenciador de dados unificados UDM, dados de serviço de subscrição realimentados pelo UDM e uma exigência de segurança de serviço realimentada por uma função de aplicação AF, e o mecanismo de proteção de plano de usuário é usado para indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para dados de plano de usuário transmitidos entre o equipamento de usuário e um dispositivo de rede; e determinar, pelo equipamento de usuário, uma chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, onde a chave de proteção de plano de usuário é usada para realizar proteção de segurança nos dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

Petição 870190133522, de 13/12/2019, pág. 33/253

26/227

[045] Opcionalmente, a solicitação inclui adicionalmente pelo menos um de um identificador de serviço, um identificador de serviço de equipamento de usuário, um nome de rede de dados DNN e uma capacidade de segurança de equipamento de usuário.

[046] Opcionalmente, a solicitação é uma solicitação de ligação, a solicitação de ligação é iniciada pelo equipamento de usuário para uma função de servidor de autenticação AUSF, e a solicitação de ligação é usada para realizar autenticação bidirecional entre o dispositivo de rede e a AUSF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de sessão, a solicitação de sessão é iniciada pelo equipamento de usuário para uma função de gerenciamento de sessão SMF, ou é iniciada por uma função de gerenciamento de acesso e mobilidade AMF para a SMF, e a solicitação de sessão é usada para criar uma sessão entre o dispositivo de rede e a SMF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de diretriz, a solicitação de diretriz é iniciada pela SMF para o elemento de rede de função de diretriz, e a solicitação de diretriz é usada para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário.

[047] Opcionalmente, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar pelo menos

Petição 870190133522, de 13/12/2019, pág. 34/253

27/227 um de um algoritmo de proteção de segurança, um comprimento de chave e um período de atualização de chave que precisa ser usado para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[048] Opcionalmente, o método, de acordo com qualquer uma das reivindicações 40 a 43, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar uma lista de algoritmos de proteção de segurança, com prioridades, que podem ser usados para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[049] Opcionalmente, o elemento de rede de função de diretriz inclui um de uma função de controle de diretrizes PCF, a função de servidor de autenticação AUSF, a função de gerenciamento de acesso e mobilidade AMF, a função de gerenciamento de sessão SMF e um dispositivo AN.

[050] Opcionalmente, o método, de acordo com qualquer uma das reivindicações 40 a 45, determinar, pelo equipamento de usuário, uma chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

chave de proteção de plano de usuário = KDF(K_AN, ID de algoritmo de UP) , onde K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e o dispositivo AN obtém K_AN da AMF; ou quando o dispositivo de rede é um dispositivo CN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

Petição 870190133522, de 13/12/2019, pág. 35/253

28/227 chave de proteção de plano de usuário = KDF(K_elemento de rede de algoritmo, ID de algoritmo de UP), onde K_elemento de rede de algoritmo é uma chave de estação base derivada, após autenticação ser bem sucedida, pelo equipamento de usuário com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, onde

[051] Opcionalmente, o dispositivo de rede é um dispositivo de rede de acesso AN ou uma função de plano de usuário UPF.

[052] De acordo com um sexto aspecto, uma modalidade da presente invenção fornece um método de configuração de chave, incluindo:

receber, por uma função de plano de usuário, uma resposta, onde a resposta carrega um algoritmo de proteção de segurança, o algoritmo de proteção de segurança é determinado ao usar um mecanismo de proteção de plano de usuário, o mecanismo de proteção de plano de usuário é determinado por um elemento de rede de função de diretriz com base na solicitação e em pelo menos um de informação de registro de UE realimentada por um gerenciador de dados unificados UDM, dados de serviço de subscrição realimentados pelo UDM e uma exigência de segurança de serviço realimentada por uma função de aplicação AF, e o mecanismo de proteção de plano de usuário é usado para indicar se criptografia, proteção de integridade ou tanto

Petição 870190133522, de 13/12/2019, pág. 36/253

29/227 criptografia quanto proteção de integridade são exigidas para dados de plano de usuário transmitidos entre equipamento de usuário e a função de plano de usuário; e determinar, pela função de plano de usuário, uma chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, onde a chave de proteção de plano de usuário é usada para realizar proteção de segurança nos dados de plano de usuário transmitidos entre o equipamento de usuário e a função de plano de usuário.

[053] Opcionalmente, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar pelo menos um de um algoritmo de proteção de segurança, um comprimento de chave e um periodo de atualização de chave que precisa ser usado para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[054] Opcionalmente, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar uma lista de algoritmos de proteção de segurança, com prioridades, que podem ser usados para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[055] Opcionalmente, o elemento de rede de função de diretriz inclui um de uma função de controle de diretrizes PCF, uma função de servidor de autenticação AUSF, uma função de gerenciamento de acesso e mobilidade AMF, uma função de gerenciamento de sessão SMF e um dispositivo AN.

[056] De acordo com um sétimo aspecto, uma modalidade da presente invenção fornece um método de configuração de chave, incluindo:

receber, por um dispositivo de rede de acesso, um

Petição 870190133522, de 13/12/2019, pág. 37/253

30/227 mecanismo de proteção de plano de usuário, onde o mecanismo de proteção de plano de usuário é determinado por um elemento de rede de função de diretriz com base na solicitação e em pelo menos um de informação de registro de UE realimentada por um gerenciador de dados unificados UDM, dados de serviço de subscrição realimentados pelo UDM e uma exigência de segurança de serviço realimentada por uma função de aplicação AF, e o mecanismo de proteção de plano de usuário é usado para indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para dados de plano de usuário transmitidos entre o equipamento de usuário e um dispositivo de rede;

determinar, pelo dispositivo de rede de acesso, um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, e gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança; e enviar, pelo dispositivo de rede de acesso, o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança.

[057] Opcionalmente, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar pelo menos um de um algoritmo de proteção de segurança, um comprimento de chave e um período de atualização de chave que precisa ser usado para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[058] Opcionalmente, o mecanismo de proteção de plano

Petição 870190133522, de 13/12/2019, pág. 38/253

31/227 de usuário é usado adicionalmente para indicar uma lista de algoritmos de proteção de segurança, com prioridades, que podem ser usados para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[059] Opcionalmente, o elemento de rede de função de diretriz inclui um de uma função de controle de diretrizes PCF, uma função de servidor de autenticação AUSF, uma função de gerenciamento de acesso e mobilidade AMF, uma função de gerenciamento de sessão SMF e um dispositivo AN.

[060] Opcionalmente, que o dispositivo de rede de acesso é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário inclui:

se o mecanismo de proteção de plano de usuário não incluir algoritmo de proteção de segurança, determinar o algoritmo de proteção de segurança com base em pelo menos um de o mecanismo de proteção de plano de usuário e uma lista de prioridades de algoritmos suportada pelo dispositivo de rede de acesso; ou se o mecanismo de proteção de plano de usuário incluir um algoritmo de proteção de segurança, obter diretamente o algoritmo de proteção de segurança no mecanismo de proteção de plano de usuário.

[061] Opcionalmente, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário = KDF(K_AN, ID de algoritmo de UP), onde K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida,

Petição 870190133522, de 13/12/2019, pág. 39/253

32/227 pela AMF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e o dispositivo de rede de acesso obtém K_AN da AMF, onde

[062] De acordo com um oitavo aspecto, uma modalidade da presente invenção fornece um método de configuração de chave, incluindo:

receber, por uma função de gerenciamento de sessão, uma solicitação para comunicação entre equipamento de usuário e um dispositivo de rede, onde a solicitação inclui um identificador de sessão, um identificador de equipamento de usuário e informação de indicação de exigência de segurança, e a informação de indicação de exigência de segurança é usada para indicar uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço;

determinar, pela função de gerenciamento de sessão, um mecanismo de proteção de plano de usuário com base na solicitação e em pelo menos um de informação de registro de UE realimentada por um gerenciador de dados unificados UDM, dados de serviço de subscrição realimentados pelo UDM e uma exigência de segurança de serviço realimentada por uma função de aplicação AF, onde o mecanismo de proteção de plano de usuário é usado para indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para dados de plano de

Petição 870190133522, de 13/12/2019, pág. 40/253

33/227 usuário transmitidos entre o equipamento de usuário e o dispositivo de rede; e quando o dispositivo de rede é um dispositivo de rede de acesso AN, enviar, pela função de gerenciamento de sessão, o mecanismo de proteção de plano de usuário para o dispositivo AN, onde o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, e gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e o dispositivo AN é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança; ou quando o dispositivo de rede é um dispositivo de rede principal CN, enviar, pela função de gerenciamento de sessão, o mecanismo de proteção de plano de usuário para um elemento de rede de algoritmo, onde o elemento de rede de algoritmo é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e enviar a primeira chave de proteção de plano de usuário para o dispositivo CN, e o elemento de rede de algoritmo é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança.

Petição 870190133522, de 13/12/2019, pág. 41/253

34/227

[063] Opcionalmente, a solicitação inclui adicionalmente pelo menos um de um identificador de serviço, um identificador de serviço de equipamento de usuário, um nome de rede de dados DNN e uma capacidade de segurança de equipamento de usuário.

[064] Opcionalmente, a solicitação é uma solicitação de ligação, a solicitação de ligação é iniciada pelo equipamento de usuário para uma função de servidor de autenticação AUSF, e a solicitação de ligação é usada para realizar autenticação bidirecional entre o dispositivo de rede e a AUSF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de sessão, a solicitação de sessão é iniciada pelo equipamento de usuário para uma função de gerenciamento de sessão SMF, ou é iniciada por uma função de gerenciamento de acesso e mobilidade AMF para a SMF, e a solicitação de sessão é usada para criar uma sessão entre o dispositivo de rede e a SMF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de diretriz, a solicitação de diretriz é iniciada pela SMF para o elemento de rede de função de diretriz, e a solicitação de diretriz é usada para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário.

[065] Opcionalmente, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar pelo menos

Petição 870190133522, de 13/12/2019, pág. 42/253

35/227 um de um algoritmo de proteção de segurança, um comprimento de chave e um período de atualização de chave que precisa ser usado para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[066] Opcionalmente, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar uma lista de algoritmos de proteção de segurança, com prioridades, que podem ser usados para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[067] Opcionalmente, a função de gerenciamento de sessão determina que os dados de plano de usuário são carregados em um canal de transporte de fluxo de qualidade de serviço fluxo de QoS; e se um identificador de fluxo de qualidade de serviço ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS existir, e um fluxo de QoS correspondendo ao ID de fluxo de QoS satisfizer um mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, seleciona o canal de transporte de fluxo de QoS para transmitir os dados de plano de usuário; de outro modo, cria novamente um canal de transporte de fluxo de QoS, e gera um ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS; ou se um ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS existir, e um fluxo de QoS correspondendo ao ID de fluxo de QoS satisfizer um mecanismo de proteção de plano de usuário, seleciona o canal de transporte de fluxo de QoS para transmitir os

Petição 870190133522, de 13/12/2019, pág. 43/253

36/227 dados de plano de usuário; de outro modo, cria novamente um canal de transporte de fluxo de QoS, e gera um ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS, onde a exigência de QoS é uma exigência para um parâmetro de qualidade de serviço em uma rede de comunicações.

[068] Opcionalmente, a função de gerenciamento de sessão determina que os dados de plano de usuário são carregados em um canal de transporte de portadora de rádio de dados DRB; e se um identificador de portadora de rádio de dados ID de DRB correspondendo ao canal de transporte de DRB existir, e uma DRB correspondendo ao ID de DRB satisfizer um mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, seleciona o canal de transporte de DRB para transmitir os dados de usuário; de outro modo, cria novamente um canal de transporte de DRB, e gera um ID de DRB correspondendo ao canal de transporte de DRB; ou se um ID de DRB correspondendo ao canal de transporte de DRB existir, e uma DRB correspondendo ao ID de DRB satisfizer um mecanismo de proteção de plano de usuário, seleciona o canal de transporte de DRB para transmitir os dados de usuário; de outro modo, cria novamente um canal de transporte de DRB, e gera um ID de DRB correspondendo ao canal de transporte de DRB, onde existe uma relação de mapeamento entre o ID de DRB e o mecanismo de proteção de plano de usuário.

[069] Opcionalmente, a função de gerenciamento de

Petição 870190133522, de 13/12/2019, pág. 44/253

37/227 sessão determina que os dados de plano de usuário são carregados em um canal de transporte de sessão; e se um identificador de sessão ID de sessão correspondendo ao canal de transporte de sessão existir, e uma sessão correspondendo ao ID de sessão satisfizer um mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, seleciona o canal de transporte de sessão para transmitir os dados de usuário; de outro modo, cria novamente um canal de transporte de sessão, e gera um ID de sessão correspondendo ao canal de transporte de sessão; ou se um ID de sessão correspondendo ao canal de transporte de sessão existir, e uma sessão correspondendo ao ID de sessão satisfizer um mecanismo de proteção de plano de usuário, seleciona o canal de transporte de sessão para transmitir os dados de usuário; de outro modo, cria novamente um canal de transporte de sessão, e gera um ID de sessão correspondendo ao canal de transporte de sessão, onde existe uma relação de mapeamento entre o ID de sessão e o mecanismo de proteção de plano de usuário.

[070] De acordo com um nono aspecto, uma modalidade da presente invenção fornece um meio de armazenamento não volátil legível para armazenar uma instrução de computador, incluindo uma instrução de computador, onde a instrução de computador é executada para implementar o método descrito no primeiro aspecto.

[071] De acordo com um décimo aspecto, uma modalidade da presente invenção fornece um meio de armazenamento não

Petição 870190133522, de 13/12/2019, pág. 45/253

38/227 volátil legível para armazenar uma instrução de computador, incluindo uma instrução de computador, onde a instrução de computador é executada para implementar o método descrito no quinto aspecto.

[072] De acordo com um décimo primeiro aspecto, uma modalidade da presente invenção fornece um meio de armazenamento não volátil legível para armazenar uma instrução de computador, incluindo uma instrução de computador, onde a instrução de computador é executada para implementar o método descrito no sexto aspecto.

[073] De acordo com um décimo segundo aspecto, uma modalidade da presente invenção fornece um meio de armazenamento não volátil legível para armazenar uma instrução de computador, incluindo uma instrução de computador, onde a instrução de computador é executada para implementar o método descrito no sétimo aspecto.

[074] De acordo com um décimo terceiro aspecto, uma modalidade da presente invenção fornece um meio de armazenamento não volátil legível para armazenar uma instrução de computador, incluindo uma instrução de computador, onde a instrução de computador é executada para implementar o método descrito no oitavo aspecto.

[075] De acordo com um décimo quarto aspecto, uma modalidade da presente invenção fornece um produto de programa de computador, e quando o produto de programa de computador é executado em um computador o método descrito no primeiro aspecto, no quinto aspecto, no sexto aspecto, no sétimo aspecto ou no oitavo aspecto é implementado.

[07 6] Por meio de implementação das modalidades da presente invenção, com base em uma arquitetura de

Petição 870190133522, de 13/12/2019, pág. 46/253

39/227 comunicação 5G futura, em comunicação entre o equipamento de usuário e o dispositivo de rede (um dispositivo de rede de acesso ou um dispositivo de rede principal), quando os dados de plano de usuário precisam ser transmitidos, o equipamento de usuário e o dispositivo de rede podem completar negociação de diretriz, e após o mecanismo de proteção de plano de usuário ser determinado, o equipamento de usuário e o dispositivo de rede podem configurar separadamente as chaves de proteção de plano de usuário, de maneira que proteção de segurança para os dados de plano de usuário é implementada. Por meio de implementação das modalidades da presente invenção, proteção de segurança de rede baseada em uma granularidade de um fluxo de QoS, uma DRB ou uma sessão pode ser implementada, de maneira que uma desvantagem de um modo de proteção baseado em segmento de salto por salto é evitada, e segurança de transmissão de dados de plano de usuário é aperfeiçoada.

DESCRIÇÃO RESUMIDA DOS DESENHOS

[077] O exposto a seguir descreve resumidamente os desenhos anexos exigidos para os antecedentes ou para as modalidades.

[078] A figura 1 é um diagrama esquemático de uma arquitetura de rede de comunicações móveis de acordo com uma modalidade da presente invenção;

[079] A figura 2 é um diagrama esquemático de um canal de transporte de dados de acordo com uma modalidade da presente invenção;

[080] As figuras 3 a 18 são fluxogramas esquemáticos de métodos de configuração de chaves de acordo com modalidades da presente invenção;

Petição 870190133522, de 13/12/2019, pág. 47/253

40/227

[081] A figura 19 é um diagrama estrutural esquemático de um elemento de rede de função de diretriz de acordo com uma modalidade da presente invenção; e

[082] A figura 20 é um diagrama estrutural esquemático de um outro elemento de rede de função de diretriz de acordo com uma modalidade da presente invenção.

DESCRIÇÃO DE MODALIDADES

[083] O exposto a seguir descreve as soluções técnicas nas modalidades da presente invenção com referência para os desenhos anexos nas modalidades da presente invenção.

[084] Para facilidade de entendimento das soluções, uma arquitetura de rede à qual as soluções das modalidades deste pedido podem ser aplicadas é primeiramente descrita ao usar um exemplo com referência para um desenho anexo relacionado. A figura 1 mostra uma arquitetura de rede de comunicações móveis futura. A arquitetura de rede inclui equipamento de usuário e uma rede de operador. A rede de operador inclui uma rede principal e uma rede de dados, e o equipamento de usuário acessa a rede de operador ao usar uma rede de acesso. Detalhes são tais como a seguir.

[085] O equipamento de usuário (Equipamento de Usuário, UE) é uma entidade lógica. Especificamente, o UE pode ser qualquer um de um dispositivo terminal (Equipamento Terminal), um dispositivo de comunicações (Dispositivo de Comunicação) e um dispositivo de Internet das Coisas (Internet das Coisas, loT). O dispositivo terminal pode ser um telefone inteligente (telefone inteligente), um relógio inteligente (relógio inteligente), um tablet inteligente (tablet inteligente) ou coisa parecida. O dispositivo de comunicações pode ser um servidor, uma porta de comunicação

Petição 870190133522, de 13/12/2019, pág. 48/253

41/227 (Porta de Comunicação, GW), um controlador ou coisa parecida. 0 dispositivo de Internet das Coisas pode ser um sensor, um medidor de eletricidade, um medidor de água ou coisa parecida.

[086] Uma rede de acesso (Rede de Acesso, AN) é responsável pelo acesso do equipamento de usuário. A AN pode ser um ponto de acesso sem fio, por exemplo, uma estação base, um ponto de acesso de fidelidade sem fio (Fidelidade Sem Fio, Wi-Fi), ou um ponto de acesso de Bluetooth; ou pode ser um ponto de acesso com fio, por exemplo, uma porta de comunicação, um modem, acesso por fibra ou acesso por IP.

[087] A rede de dados (Rede de Dados, DN) pode ser uma rede externa de um operador, ou pode ser uma rede controlada por um operador, e é configurada para servir a um usuário.

[088] Servindo como uma rede portadora, a rede principal (rede principal, CN) fornece uma interface para a DN, e fornece uma conexão de comunicação, autenticação, gerenciamento, controle de diretrizes, suporte para serviços de dados e outros mais para o UE. A CN inclui uma função de gerenciamento de acesso e mobilidade, uma função de gerenciamento de sessão, uma função de servidor de autenticação, uma função de controle de diretrizes, uma função de aplicação, uma função de plano de usuário e outras mais. Descrições relacionadas são especificamente tais como a seguir.

[089] A função de gerenciamento de acesso e mobilidade (Função de Gerenciamento de Acesso e Mobilidade, AMF) é configurada para gerenciar acesso e mobilidade do UE.

Petição 870190133522, de 13/12/2019, pág. 49/253

42/227

[090] A função de gerenciamento de sessão (Função de Gerenciamento de Sessão, SMF) é configurada para realizar gerenciamento de sessão, e criar e gerenciar uma sessão (sessão), um fluxo (fluxo) ou uma portadora (portadora).

[091] A função de servidor de autenticação (Função de Servidor de Autenticação, AUSF) é um nó para realizar autenticação bidirecional entre o UE e a rede de operador. A AUSF pode ser implementada separadamente como uma entidade funcional lógica independente, ou pode ser integrada a um dispositivo tal como a AMF/SMF.

[092] O gerenciador de dados unificados (Gerenciador de Dados Unificados, UDM) é configurado para armazenar informação de registro de UE, e também pode armazenar dados de serviço de subscrição.

[093] Uma função de controle de diretrizes é implementada na função de controle de diretrizes (Função de Controle de Diretrizes, PCF), e a função de controle de diretrizes é uma função de completar negociação de um mecanismo de proteção de plano de usuário com base em uma exigência de segurança e determinar o mecanismo de proteção de plano de usuário em uma rede. Deve ser notado que a PCF pode servir como uma entidade funcional lógica independente, ou pode ser integrada a um outro elemento de rede. Em outras palavras, em implementação especifica, a função de controle de diretrizes pode ser implementada na PCF, ou pode ser implementada em um outro elemento de rede, por exemplo, implementada em um elemento de rede tal como um elemento de rede de gerenciamento de mobilidade (Gerenciamento de Mobilidade, MM), a função de gerenciamento de sessão (Gerenciamento de Sessão, SM) , a

Petição 870190133522, de 13/12/2019, pág. 50/253

43/227 função de servidor de autenticação (Função de Servidor de Autenticação, AUSF), uma função de regras de política e cobrança (Função de Regras de Política e Cobrança, PCRF), uma entidade de gerenciamento de mobilidade (Entidade de Gerenciamento de Mobilidade, MME), um servidor de assinante doméstico (Servidor de Assinante Doméstico, HSS), um centro de autenticação (Centro de Autenticação, AuC), uma função de repositório e processamento de credencias de autenticação (Função de Repositório e Processamento de Credencias de Autenticação, ARPF), uma função de gerenciamento de contexto de segurança (Função de Gerenciamento de Contexto de Segurança, SCMF), a função de gerenciamento de acesso e mobilidade (Função de Gerenciamento de Acesso e Mobilidade, AMF), a função de gerenciamento de sessão (Função de Gerenciamento de Sessão, SMF), a rede de acesso (Rede de Acesso, AN), ou a função de plano de usuário (Função de Plano de Usuário, UPF) . Nesta modalidade da presente invenção, um elemento de rede (por exemplo, a PCF) no qual a função de controle de diretrizes é implementada pode interagir com um servidor ΑΆΑ (um servidor ΑΆΑ externo), um servidor APP ou um servidor de serviços de uma DN para obter uma exigência de segurança em um lado de DN.

[094] A função de aplicação (Função de Aplicação, AF) é configurada para armazenar uma exigência de segurança de serviço, e fornecer diretriz determinando informação para a PCF.

[095] A função de plano de usuário (Função de Plano de Usuário, UPF) pode ser uma porta de comunicação, um servidor, um controlador, um elemento de rede de função de

Petição 870190133522, de 13/12/2019, pág. 51/253

44/227 plano de usuário ou coisa parecida. A UPF pode ser disposta dentro da rede de operador, ou pode ser disposta fora da rede de operador.

[096] Deve ser notado adicionalmente que relações lógicas entre vários elementos de rede estão refletidas na figura 1, mas realmente alguns elementos de rede podem ser implementados separadamente, ou cada dois ou mais elementos de rede podem ser integrados a uma entidade para implementação. Por exemplo, a AMF e a SMF podem ser implementadas em uma entidade, ou a AMF e a SMF podem ser implementadas em entidades diferentes.

[097] Com base na arquitetura de rede de comunicações móveis exposta anteriormente, um canal de transporte de dados em um processo de comunicação é analisado no exposto a seguir.

[098] A partir de uma perspectiva longitudinal, quando equipamento de usuário precisa se comunicar com uma rede de operador, pelo menos dois aspectos de comunicação estão incluídos: (1) comunicação entre o equipamento de usuário e uma rede de acesso, e (2) comunicação entre o equipamento de usuário e uma rede principal. A comunicação entre o equipamento de usuário e a rede de acesso é referida como comunicação UE-AN para abreviar. A comunicação UE-AN pertence à comunicação direta, e o UE faz uma conexão de comunicação para a AN em uma interface de ar. Um mecanismo de proteção de plano de usuário precisa ser estabelecido entre o UE e a AN para implementar segurança da comunicação UE-AN. A comunicação entre o equipamento de usuário e a rede principal é referida como comunicação UE-CN para abreviar. A comunicação UE-CN pertence à comunicação

Petição 870190133522, de 13/12/2019, pág. 52/253

45/227 indireta, e o UE faz uma conexão de comunicação para a CN ao usar a rede de acesso. Neste processo, a rede de acesso tem uma função de transmissão ou encaminhamento transparente. Um mecanismo de proteção de plano de usuário precisa ser estabelecido entre o UE e a CN para implementar segurança da comunicação UE-CN.

[099] A partir de uma perspectiva horizontal, uma infraestrutura de hardware em uma rede de comunicações pode ser fatiada em uma pluralidade de redes de ponta a ponta virtuais, referidas como fatias de rede, e as fatias de rede são isoladas logicamente em um processo do equipamento de usuário para a rede de acesso e então para a rede principal, a fim de se adaptarem às exigências diferentes de vários tipos de serviços. Uma fatia de rede pode incluir uma ou mais sessões. Em um processo de transmissão de dados, portadoras diferentes podem ser usadas para tipos diferentes de serviços. Quando o equipamento de usuário faz uma conexão de comunicação para a rede de acesso ou para a rede principal, uma pluralidade de portadoras pode existir em uma mesma conexão de comunicação. A portadora é um canal de transporte lógico fornecido entre o UE e a AN ou o UE e a CN, e cada portadora é associada com um conjunto de parâmetros de qualidade de serviço (Qualidade de Serviço, QoS), por exemplo, uma taxa de bits, uma latência ou uma taxa de erros, descrevendo um atributo do canal de transporte. O canal de transporte inclui uma sessão (por exemplo, uma sessão PDU), uma portadora de rádio (por exemplo, uma portadora de rádio de dados), um fluxo (por exemplo, um fluxo de QoS) ou coisa parecida. Para facilidade de descrição, o exposto a seguir usa a sessão

Petição 870190133522, de 13/12/2019, pág. 53/253

46/227

PDU, a portadora de rádio de dados e o fluxo de QoS como exemplos para descrição.

[0100] A figura 2 é um diagrama esquemático simples de um canal de transporte de dados de acordo com uma modalidade da presente invenção. Tal como mostrado na figura 2, o UE pode fazer uma conexão de comunicação para uma AN, e o UE também pode fazer uma conexão de comunicação para uma UPF em uma rede principal. Uma fatia de rede na conexão de comunicação tem uma pluralidade de canais de transporte, incluindo uma sessão PDU e um ou mais fluxos de QoS que são estabelecidos logicamente entre o UE e a UPF, uma ou mais portadoras de rádio que são estabelecidas logicamente entre o UE e a AN, e um túnel N3 que é estabelecido logicamente entre a AN e a UPF. Descrições específicas são tais como a seguir.

[0101] A sessão PDU é um canal de transporte de dados granulado grosseiro entre o UE e a UPF. A sessão PDU inclui um segmento de portadora de rádio (Portadora de Rádio) e um segmento de túnel N3, e a sessão PDU inclui adicionalmente um fluxo de QoS granulado mais refinado. Na figura 2, a sessão PDU inclui o túnel N3, uma pluralidade de portadoras de rádio (uma portadora de rádio 1 e uma portadora de rádio 2) e uma pluralidade de fluxos de QoS (um fluxo de QoS 1, um fluxo de QoS 2 e um fluxo de QoS 3).

[0102] A portadora de rádio é um canal portador entre o UE e a AN. A portadora de rádio suporta uma portadora de rádio de sinalização e uma portadora de rádio de dados (Portadora de Rádio de Dados, DRB) . Portadoras de rádio diferentes podem incluir fluxos de QoS diferentes. Na figura 2, a portadora de rádio 1 inclui o fluxo de QoS 1 e

Petição 870190133522, de 13/12/2019, pág. 54/253

47/227 o fluxo de QoS 2, e a portadora de rádio 2 inclui somente ο fluxo de QoS 3.

[0103] 0 túnel N3 é um canal de transporte de dados entre a AN e a UPF, e pode ser usado para transmitir dados de fluxo de QoS do equipamento de usuário. Na figura 2, o túnel N3 inclui o fluxo de QoS 1, o fluxo de QoS 2 e o fluxo de QoS 3.

[0104] 0 fluxo de QoS é um canal de transporte de dados granulado fino entre o UE e a UPF. Fluxos de QoS têm uma exigência de QoS uniforme, e fluxos de QoS diferentes têm identificadores de fluxos de QoS (ID QFI) diferentes.

[0105] Para superar uma desvantagem na técnica anterior, com base na arquitetura de rede mostrada na figura 1 e na arquitetura de canal de transporte de dados mostrada na figura 2, uma modalidade da presente invenção fornece um método de configuração de chave. O método é descrito resumidamente tal como a seguir.

[0106] 1. Um elemento de rede de função de diretriz recebe uma solicitação para comunicação entre equipamento de usuário e um dispositivo de rede.

[0107] 0 elemento de rede de função de diretriz é um de uma função de controle de diretrizes PCF, uma função de servidor de autenticação AUSF, uma função de gerenciamento de acesso e mobilidade AMF, uma função de gerenciamento de sessão SMF e um dispositivo CN.

[0108] A solicitação é uma solicitação de ligação; ou a solicitação é uma solicitação de sessão; ou a solicitação é uma solicitação de diretriz.

[0109] A solicitação inclui um identificador de sessão, um identificador de equipamento de usuário e informação de

Petição 870190133522, de 13/12/2019, pág. 55/253

48/227 indicação de exigência de segurança, e a informação de indicação de exigência de segurança é usada para indicar uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço. A solicitação pode incluir adicionalmente pelo menos um de um identificador de serviço, um identificador de serviço de equipamento de usuário, um nome de rede de dados DNN e uma capacidade de segurança de equipamento de usuário.

[0110] 2. O elemento de rede de função de diretriz determina um mecanismo de proteção de plano de usuário com base na solicitação e em pelo menos um de informação de registro de UE realimentada por um gerenciador de dados unificados UDM, dados de serviço de subscrição realimentados pelo UDM e uma exigência de segurança de serviço realimentada por uma função de aplicação AF.

[0111] 0 mecanismo de proteção de plano de usuário é usado para indicar se criptografia e/ou proteção de integridade são/é exigidas(a) para dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede. O mecanismo de proteção de plano de usuário é usado adicionalmente para indicar pelo menos um de um algoritmo de proteção de segurança, um comprimento de chave e um período de atualização de chave que precisa ser usado para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[0112] 3. Quando o dispositivo de rede é um dispositivo de rede de acesso AN, o elemento de rede de função de diretriz envia o mecanismo de proteção de plano de usuário para o dispositivo AN, onde o dispositivo AN é configurado para determinar um

Petição 870190133522, de 13/12/2019, pág. 56/253

49/227 algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário;

o dispositivo AN gera uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança;

o dispositivo AN envia o algoritmo de proteção de segurança para o equipamento de usuário; e o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança.

[0113] 4. Quando o dispositivo de rede é um dispositivo de rede principal CN (por exemplo, uma função de plano de usuário UPF), o elemento de rede de função de diretriz envia o mecanismo de proteção de plano de usuário para um elemento de rede de algoritmo, onde o elemento de rede de algoritmo é um de a PCF, a AUSF, a AMF, a SMF e o dispositivo AN;

o elemento de rede de algoritmo determina um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário;

o elemento de rede de algoritmo gera uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança;

o elemento de rede de algoritmo envia a primeira chave de proteção de plano de usuário para o dispositivo CN;

o elemento de rede de algoritmo envia o algoritmo de proteção de segurança para o equipamento de usuário; e o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança.

Petição 870190133522, de 13/12/2019, pág. 57/253

50/227

[0114] Pode ser entendido que após o procedimento de negociação de diretriz e de configuração de chave indicado anteriormente ser completado, quando transmissão de enlace de subida precisa ser realizada nos dados de plano de usuário, o equipamento de usuário realiza proteção de segurança nos dados de plano de usuário ao usar a segunda chave de proteção de plano de usuário, para obter dados de plano de usuário protegidos, e então envia os dados de plano de usuário protegidos para o dispositivo de rede; e o dispositivo de rede pode restaurar os dados de plano de usuário protegidos para os dados de plano de usuário com base na primeira chave de proteção de plano de usuário.

[0115] Quando transmissão de enlace de descida precisa ser realizada nos dados de plano de usuário, o dispositivo de rede realiza proteção de segurança nos dados de plano de usuário ao usar a primeira chave de proteção de plano de usuário, para obter dados de plano de usuário protegidos, e então envia os dados de plano de usuário protegidos para o equipamento de usuário; e o equipamento de usuário restaura os dados de plano de usuário protegidos para os dados de plano de usuário com base na segunda chave de proteção de plano de usuário.

[0116] Nas modalidades da presente invenção, com base na arquitetura de rede na figura 1 e separadamente com base em UE-AN e UE-CN, o exposto a seguir descreve, a partir de uma perspectiva independente de granularidade e de uma perspectiva dependente de granularidade, o método de configuração de chave fornecido nas modalidades da presente invenção.

[0117] Um método de configuração de chave fornecido em

Petição 870190133522, de 13/12/2019, pág. 58/253

51/227 uma modalidade da presente invenção é primeiro descrito com base em UE-AN a partir de uma perspectiva independente de granularidade. Tal como mostrado na figura 3, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0118] 1. Em um processo de ligação de rede, UE envia uma solicitação de ligação (solicitação de ligação) para uma AN, e então a AN envia a solicitação de ligação para uma AMF.

[0119] Nesta modalidade da presente invenção, a solicitação de ligação inclui um identificador de equipamento de usuário (ID de UE), uma capacidade de segurança de equipamento de usuário e informação de indicação de exigência de segurança (indicador), e a informação de indicação de exigência de segurança é usada para indicar a exigência de segurança de dispositivo e/ou uma exigência de segurança de serviço. Além disso, a solicitação de ligação pode incluir adicionalmente um ID de serviço e um ID de serviço de UE. A solicitação de ligação pode incluir adicionalmente um nome de rede de dados (Nome de Rede de Dados, DNN) , e o DNN representa um nome de uma rede de dados que o UE pretende acessar.

[0120] Especificamente, o identificador de equipamento de usuário (ID de UE) é usado para representar uma identidade do equipamento de usuário que envia a solicitação de ligação. Por exemplo, o ID de UE pode ser um ou mais de um endereço de controle de acesso ao meio (Controle de acesso ao meio, MAC), um endereço de protocolo de Internet (Protocolo de Internet, IP) , um número de telefone móvel, uma identidade de equipamento móvel

Petição 870190133522, de 13/12/2019, pág. 59/253

52/227 internacional (Identidade de Equipamento Móvel Internacional, IMEI), uma identidade internacional de assinante móvel (Identidade Internacional de Assinante Móvel, IMSI), uma identidade privada de multimídia IP (Identidade Privada de Multimídia IMPI), uma identidade temporária de assinante móvel, TMSI (Identidade Temporária de Assinante Móvel, TMSI), uma identidade pública de multimídia IP (Identidade Pública de Multimídia IP, IMPU) e uma identidade de UE temporária exclusiva globalmente (Identidade de UE Temporária Exclusiva Globalmente, GUTI).

[0121] Especificamente, a capacidade de segurança de equipamento de usuário é usada para representar um algoritmo de proteção de segurança, um comprimento de chave, um período de atualização de chave e outros mais que podem ser suportados pelo equipamento de usuário. Pode ser entendido que, por causa de equipamentos de usuário diferentes terem capacidades de armazenamento e velocidades de operação diferentes, equipamentos de usuário diferentes suportam algoritmos de proteção de segurança, comprimentos de chave e períodos de atualização de chave diferentes. Por exemplo, um dispositivo de Internet das Coisas (Internet das Coisas, loT) não pode suportar um algoritmo de proteção de segurança com complexidade relativamente alta porque o dispositivo de loT tem uma capacidade de armazenamento pequena e uma velocidade de operação baixa, e um telefone inteligente pode suportar um algoritmo de proteção de segurança com complexidade relativamente alta porque o telefone inteligente tem uma capacidade de armazenamento grande e uma velocidade de operação relativamente alta. Portanto, o equipamento de usuário precisa notificar a AME

Petição 870190133522, de 13/12/2019, pág. 60/253

53/227 da capacidade de segurança de equipamento de usuário, de maneira que a AMF determina um mecanismo de proteção de plano de usuário com base na capacidade de segurança de equipamento de usuário.

[0122] Nesta modalidade da presente invenção, o algoritmo de proteção de segurança inclui um algoritmo de criptografia e um algoritmo de proteção de integridade. Por exemplo, o algoritmo de proteção de segurança pode ser qualquer um de nulo, AES, Snow 3G, ZUC e um outro algoritmo, onde nulo representa um algoritmo nulo. O comprimento de chave pode ser qualquer um de 64 bits, 96 bits, 128 bits, 192 bits, 256 bits e um outro comprimento. O tempo de atualização de chave pode ser qualquer um de 6 horas, 12 horas, 24 horas, 48 horas e um outro tempo. O algoritmo de segurança, o comprimento de chave e o tempo de atualização de chave são usados meramente como exemplos para descrição, e não devem constituir uma limitação para este pedido.

[0123] Especificamente, a exigência de segurança de dispositivo é usada para indicar uma exigência de segurança no lado de equipamento de usuário; em outras palavras, a exigência de segurança de dispositivo é usada para indicar um mecanismo de proteção de plano de usuário exigido pelo UE para a AMF. Nesta modalidade da presente invenção, o mecanismo de proteção de plano de usuário é usado para indicar um modo de proteção de transmissão de dados de plano de usuário; por exemplo, indicar se o UE precisa realizar criptografia e/ou proteção de integridade em dados de plano de usuário. O mecanismo de proteção de plano de usuário pode ser criptografia exigida + proteção de

Petição 870190133522, de 13/12/2019, pág. 61/253

54/227 integridade não exigida, criptografia não exigida + proteção de integridade exigida ou criptografia exigida + proteção de integridade exigida. A criptografia significa que os dados de plano de usuário viram um texto cifrado ilegível depois de serem processados ao usar um algoritmo de criptografia, de maneira que os dados são impedidos de serem roubados e lidos ilegalmente. A proteção de integridade significa que, após os dados de plano de usuário serem processados ao usar um algoritmo de proteção de integridade, dados não são adicionados, eliminados, substituídos ou coisa parecida ilegalmente em um processo de transmissão. Além disso, em uma modalidade possível da presente invenção, o mecanismo de proteção de plano de usuário pode ser usado adicionalmente para indicar um algoritmo de proteção de segurança, um comprimento de chave aceitável para o UE, um período de atualização de chave aceitável para o UE e outros mais.

[0124] Por exemplo, o mecanismo de proteção de plano de usuário pode ser usado adicionalmente para indicar um algoritmo de proteção de segurança, incluindo indicação de um algoritmo de criptografia e indicação de um algoritmo de proteção de integridade. A indicação de um algoritmo de criptografia especificamente é indicar um algoritmo de criptografia, incluindo, mas não limitado a isto, nulo (um algoritmo nulo, indicando que criptografia não é para ser realizada) , AES, Snow 3G e ZUC, que é para ser usado para realizar proteção de criptografia nos dados de plano de usuário. A indicação de um algoritmo de proteção de integridade especificamente é indicar um algoritmo de proteção de integridade, incluindo, mas não limitado a isto

Petição 870190133522, de 13/12/2019, pág. 62/253

55/227 nulo (um algoritmo nulo, indicando que proteção de integridade não é para ser realizada) , AES, Snow 3G, ZUC, HMAC e CMAC, que é para ser usado para realizar proteção de integridade nos dados de plano de usuário. Um algoritmo de proteção de segurança em uma exigência de segurança pode incluir uma pluralidade de algoritmos de criptografia e/ou uma pluralidade de algoritmos de proteção de integridade. Neste caso, a exigência de segurança inclui adicionalmente prioridades de algoritmos para indicar um algoritmo que é para ser usado preferencialmente.

[0125] Como um outro exemplo, o comprimento de chave que é aceitável para o UE e que é indicado pelo mecanismo de proteção de plano de usuário inclui 64 bits, 128 bits, 256 bits, 512 bits ou coisa parecida. Como um outro exemplo, o periodo de atualização de chave que é aceitável para o UE e que é indicado pelo mecanismo de proteção de plano de usuário pode ser de 6 horas, 12 horas, 24 horas, 48 horas ou coisa parecida.

[0126] Especificamente, a exigência de segurança de serviço é usada para representar pelo menos um de um algoritmo de segurança, um comprimento de chave e um periodo de atualização de chave que seja aceitável para um serviço. Pode ser entendido que serviços diferentes têm exigências diferentes com relação ao algoritmo de segurança, ao comprimento de chave e ao periodo de atualização de chave. Por exemplo, um serviço financeiro tem uma exigência relativamente alta com relação ao algoritmo de segurança, e um serviço de transferência de video tem uma exigência relativamente baixa com relação ao algoritmo de segurança. Portanto, um primeiro dispositivo

Petição 870190133522, de 13/12/2019, pág. 63/253

56/227 precisa notificar a AMF da exigência de segurança de serviço, de maneira que a AMF gera o mecanismo de proteção de plano de usuário com base na exigência de segurança de serviço.

[0127] Especifícamente, o ID de serviço é usado para representar um serviço suportado pelo UE. Por exemplo, se o serviço for WeChat, o ID de serviço é um identificador de WeChat (ID de WeChat).

[0128] Especifícamente, o ID de serviço de UE é usado para representar um identificador de um serviço que o UE especifícamente precisa para transmitir no serviço suportado pelo UE. Por exemplo, se o serviço for WeChat, o ID de serviço de UE é um identificador de usuário de WeChat (ID de usuário de WeChat).

[0129] Em uma arquitetura de comunicação, antes de realizar transmissão de serviço real, o UE primeiro precisa se ligar (conectar) a uma rede subscrita para obter uma concessão da rede subscrita. Em um cenário de aplicação específica, o UE pode ativar um processo de ligação quando o UE é ligado, e enviar uma solicitação de ligação para a AN; ou depois de ficar totalmente desconectado da rede durante um período de tempo, o UE pode reativar um processo de ligação e enviar uma solicitação de ligação para a AN quando o UE precisar ser conectado à rede. Após receber a solicitação de ligação, a AN encaminha a solicitação de ligação para a AMF.

[0130] 2. A AMF envia o ID de UE para uma AUSF.

[0131] Em uma modalidade específica, a AMF identifica o ID de UE na solicitação de ligação, e envia o ID de UE para a AUSF. Em uma outra modalidade específica, a AMF envia

Petição 870190133522, de 13/12/2019, pág. 64/253

57/227 diretamente uma solicitação de autenticação para a AUSF, e após receber a solicitação de autenticação a AUSF identifica o ID de UE na solicitação de autenticação.

[0132] 3. O UE realiza autenticação bidirecional com a AUSF.

[0133] A AUSF realiza autenticação com o UE com base no ID de UE, e determina que o UE é um usuário autorizado.

[0134] 4. A AMF determina o mecanismo de proteção de plano de usuário.

[0135] Nesta modalidade da presente invenção, uma função de controle de diretrizes é implementada na AMF, e a AMF pode determinar o mecanismo de proteção de plano de usuário em uma pluralidade de modos.

[0136] Modo 1: A AMF pode determinar o mecanismo de proteção de plano de usuário com base no indicador. O Modo 1 inclui: (1) A AMF obtém a exigência de segurança no lado de equipamento de usuário (isto é, a exigência de segurança de equipamento de usuário) com base no indicador, e a AMF pode determinar o mecanismo de proteção de plano de usuário com base na exigência de segurança de equipamento de usuário. (2) A AMF obtém a exigência de segurança de serviço (a exigência de segurança de serviço) com base no indicador, e a AMF pode determinar o mecanismo de proteção de plano de usuário com base na exigência de segurança de serviço.

[0137] Modo 2: A AMF pode determinar o mecanismo de proteção de plano de usuário com base em informação de registro de UE. A informação de registro de UE é obtida pela AMF de um UDM. Especificamente, após receber a solicitação de ligação do UE, a AMF envia o ID de UE para o

Petição 870190133522, de 13/12/2019, pág. 65/253

58/227

UDM, para obter a informação de registro de UE do UDM ou obter a informação de registro de UE do UDM ao usar a AUSF. A informação de registro é predefinida no UDM, e a informação de registro de UE inclui uma exigência de segurança de UE predefinida. A exigência de segurança de UE é usada para indicar se o UE precisa realizar criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade.

[0138] Modo 3: A AME pode determinar o mecanismo de proteção de plano de usuário com base em dados de serviço de subscrição. Especificamente, a AME envia o ID de serviço para um UDM, ou envia o nome de rede de dados (DNN) para um UDM. O UDM determina, com base no ID de serviço ou no DNN, os dados de serviço de subscrição predefinidos no UDM, e envia os dados de serviço de subscrição relacionados para a AME. Os dados de serviço de subscrição incluem uma exigência de segurança de serviço predefinida, e a exigência de segurança de serviço predefinida é usada para indicar um mecanismo de proteção de plano de usuário exigido por um serviço; por exemplo, indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para o serviço.

[0139] Modo 4: A AME pode determinar o mecanismo de proteção de plano de usuário com base em uma exigência de segurança de serviço fornecida por uma AF. Especificamente, uma PCF envia uma solicitação para a AF, e a AF fornece a exigência de segurança de serviço para a PCF com base na solicitação. A solicitação pode incluir pelo menos um de o ID de UE, o ID de serviço, o ID de UE de serviço ou o DNN. A PCF envia a exigência de segurança de serviço para a AME,

Petição 870190133522, de 13/12/2019, pág. 66/253

59/227 e adicionalmente a AMF obtém a exigência de segurança de serviço. A exigência de segurança de serviço é usada para indicar um mecanismo de proteção de plano de usuário exigido por um serviço; por exemplo, indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para o serviço.

[0140] Em uma modalidade especifica da presente invenção, a AMF pode determinar o mecanismo de proteção de plano de usuário com base em pelo menos um de o indicador (a exigência de segurança de equipamento de usuário e/ou a exigência de segurança de serviço), a informação de registro de UE, os dados de serviço de subscrição e a exigência de segurança de serviço realimentada pela AF. Em outras palavras, a AMF pode determinar de modo abrangente o mecanismo de proteção de plano de usuário com base na exigência de segurança exigida no lado de equipamento de usuário e em uma exigência de segurança predefinida em um lado de rede ou na exigência de segurança de serviço.

[0141] 5. A AMF envia o mecanismo de proteção de plano de usuário para a AN, e correspondentemente a AN recebe o mecanismo de proteção de plano de usuário.

[0142] 6. A AN determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0143] Em uma modalidade especifica, após obter o mecanismo de proteção de plano de usuário, a AN determina se o mecanismo de proteção de plano de usuário entre o UE e a AN é com criptografia exigida e se proteção de integridade é exigida. Então a AN determina o algoritmo de proteção de segurança com base na capacidade de segurança de UE e em uma lista de prioridades de algoritmos suportada

Petição 870190133522, de 13/12/2019, pág. 67/253

60/227 pela AN. Por exemplo, quando o mecanismo de proteção de plano de usuário é criptografia exigida + proteção de integridade exigida, a AN determina, com base na capacidade de segurança de UE e na lista de prioridades de algoritmos suportada pela AN, que um algoritmo de criptografia é AES e um algoritmo de proteção de integridade é AES.

[0144] Em uma outra modalidade específica, um algoritmo de proteção de segurança é especificado diretamente no mecanismo de proteção de plano de usuário, e a AN pode obter diretamente o algoritmo de proteção de segurança do mecanismo de proteção de plano de usuário. Na etapa 5, após determinar o mecanismo de proteção de plano de usuário, a AME pode obter uma lista de prioridades de algoritmos suportada pela AN, e determinar um algoritmo de proteção de interface de ar com base na lista de prioridades de algoritmos suportada pela AN, em um algoritmo suportado pelo UE e na capacidade de segurança de equipamento de usuário. Por exemplo, em um mecanismo de proteção de plano de usuário de criptografia exigida + proteção de integridade exigida, a AME determina adicionalmente que um algoritmo de criptografia é AES e um algoritmo de proteção de integridade é AES, e adiciona o algoritmo de proteção de segurança ao mecanismo de proteção de plano de usuário. Neste caso, por causa de o algoritmo de criptografia e o algoritmo de proteção de integridade serem especificados diretamente no mecanismo de proteção de plano de usuário, após obter o mecanismo de proteção de plano de usuário, a AN pode obter diretamente o algoritmo de criptografia e o algoritmo de proteção de integridade do mecanismo de

Petição 870190133522, de 13/12/2019, pág. 68/253

61/227 proteção de plano de usuário.

[0145] Além disso, em um processo de implementar o mecanismo de proteção de plano de usuário em um cenário de aplicação especifica, quando o mecanismo de proteção de plano de usuário inclui criptografia exigida + proteção de integridade exigida, criptografia e proteção de integridade são realizadas nos dados de plano de usuário ao usar um mesmo algoritmo de proteção de segurança, um mesmo comprimento de chave e um mesmo tempo de atualização de chave, ou criptografia e proteção de integridade podem ser realizadas nos dados de plano de usuário ao usar algoritmos de proteção de segurança diferentes, comprimentos de chaves diferentes e tempos de atualização de chave diferentes. Por exemplo, em uma modalidade especifica, durante proteção de confidencialidade e integridade de uma sessão, para a confidencialidade, um algoritmo de proteção de segurança usado é o algoritmo Snow 3G, um comprimento de chave é de 64 bits e um tempo de atualização de chave é de 6 horas; e para a integridade, um algoritmo de proteção de segurança usado é o algoritmo Snow 3G, um comprimento de chave é de 64 bits e um tempo de atualização de chave é de 6 horas. Em uma outra modalidade especifica, durante proteção de confidencialidade e integridade de uma sessão, para a confidencialidade, um algoritmo de proteção de segurança usado é o algoritmo Snow 3G, um comprimento de chave é de 64 bits e um tempo de atualização de chave é de 6 horas; e para a integridade, um algoritmo de proteção de segurança usado pela AN/UE é o algoritmo ZUC, um comprimento de chave é de 128 bits e um tempo de atualização de chave é de 12 horas.

Petição 870190133522, de 13/12/2019, pág. 69/253

62/227

[0146] Nesta modalidade da presente invenção, a AN pode gerar a chave de proteção de plano de usuário com base no algoritmo de proteção de segurança. Especificamente, a AN calcula, com base no algoritmo de criptografia determinado, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou a AN calcula, com base no algoritmo de proteção de integridade determinado, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma primeira chave de proteção de plano de usuário de interface de ar.

[0147] Em implementação especifica, primeira chave de proteção de plano de usuário de interface de ar = KDF (K_AN, ID de algoritmo de UP) . K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AME com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação (K_AN também pode ser referida como uma chave intermediária) , e K_AN é enviada diretamente pela AME para a AN, ou K_AN é carregada no mecanismo de proteção de plano de usuário e é enviada pela AME para a AN. ID de algoritmo de UP pode ser um identificador do algoritmo de criptografia, ou pode ser um identificador do algoritmo de proteção de integridade. KDF é uma função de derivação de chave (Função de Derivação de Chave, KDF) , e inclui, mas não está limitada a isto, as seguintes funções de derivação de senhas: HMAC (por

Petição 870190133522, de 13/12/2019, pág. 70/253

63/227 exemplo, HMAC-SHA256 ou HMAC-SHA1), NMAC, CMAC, OMAC, CBCMAC, PMAC, UMAC, VMAC, algoritmos HASH e outros mais. Além disso, mecanismos de proteção de plano de usuário têm exigências de segurança diferentes. Por exemplo, se um mecanismo de proteção de plano de usuário 1 exigir um comprimento de chave de proteção de 256 bits, e um mecanismo de proteção de plano de usuário 2 exigir um comprimento de chave de proteção de 128 bits, o primeiro dispositivo pode usar algoritmos de derivação de chaves diferentes para satisfazer exigências de mecanismos de proteção de plano de usuário diferentes para comprimentos de chaves de proteção diferentes (por exemplo, HMAC-SHAl é usado para gerar uma chave de proteção de 128 bits, e HMACSHA256 é usado para gerar uma chave de proteção de 256 bits).

[0148] 7. A AN envia o algoritmo de proteção de segurança para o UE, e correspondentemente o UE recebe o algoritmo de proteção de segurança de plano de usuário.

[0149] Em uma modalidade específica, a AN determina o algoritmo de proteção de segurança na etapa 6. Neste caso, a AN envia diretamente o algoritmo de proteção de segurança para o UE.

[0150] Em uma outra modalidade específica, o mecanismo de proteção de plano de usuário pode incluir o algoritmo de proteção de segurança. Neste caso, a AN pode enviar o mecanismo de proteção de plano de usuário para o UE. Após receber o mecanismo de proteção de plano de usuário, o UE obtém o algoritmo de proteção de segurança do mecanismo de proteção de plano de usuário.

[0151] 8. O UE gera uma chave de proteção de plano de

Petição 870190133522, de 13/12/2019, pág. 71/253

64/227 usuário com base no algoritmo de segurança de piano de usuário e em K_AN.

[0152] Nesta modalidade da presente invenção, o UE pode gerar a chave de proteção de plano de usuário com base no algoritmo de proteção de segurança. Especificamente, o UE calcula, com base no algoritmo de criptografia recebido, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou o UE calcula, com base no algoritmo de proteção de integridade recebido, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma segunda chave de proteção de plano de usuário de interface de ar.

[0153] Em implementação específica, segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP) . K_AN é uma chave de estação base derivada pelo UE com base em uma chave base obtida após autenticação ou uma chave derivada de novo após autenticação. ID de algoritmo de UP pode ser o identificador do algoritmo de criptografia, ou pode ser o identificador do algoritmo de proteção de integridade. KDF é uma função de derivação de chave (Função de Derivação de Chave, KDF) , e inclui, mas não está limitada a isto, as seguintes funções de derivação de senhas: HMAC (por exemplo, HMAC-SHA256 ou HMAC-SHA1), NMAC, CMAC, OMAC, CBCMAC, PMAC, UMAC, VMAC, algoritmos HASH e outros mais.

Petição 870190133522, de 13/12/2019, pág. 72/253

65/227

[0154] Pode ser entendido que, em um processo de implementar o mecanismo de proteção de plano de usuário em um cenário de aplicação especifica, a primeira chave de proteção de plano de usuário de interface de ar e a segunda chave de proteção de plano de usuário de interface de ar podem ser uma mesma chave. Em transmissão de enlace de subida, o UE pode realizar proteção de criptografia e/ou proteção de integridade nos dados de plano de usuário com base na segunda chave de proteção de plano de usuário de interface de ar e, após receber os dados de plano de usuário enviados pelo UE, a AN realiza verificação de descriptografia e/ou de integridade nos dados de plano de usuário com base na primeira chave de proteção de plano de usuário de interface de ar. Em transmissão de enlace de descida, a AN realiza proteção de criptografia e/ou proteção de integridade nos dados de plano de usuário com base na primeira chave de proteção de plano de usuário de interface de ar e, após receber os dados de plano de usuário enviados pela AN, o UE realiza verificação de descriptografia e/ou de integridade nos dados de plano de usuário com base na segunda chave de proteção de plano de usuário de interface de ar.

[0155] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0156] Possibilidade 1: Se a AMF não precisar da informação de indicador no processo de determinar o mecanismo de proteção de plano de usuário, o UE pode não enviar o indicador para o lado de rede (ou a solicitação de ligação pode não incluir o indicador).

Petição 870190133522, de 13/12/2019, pág. 73/253

66/227

[0157] Possibilidade 2: Uma sequência das etapas de procedimento indicadas anteriormente não está limitada nesta modalidade. Por exemplo, a AMF pode determinar o mecanismo de proteção de plano de usuário antes da autenticação bidirecional (isto é, a etapa 4 pode ser realizada antes da etapa 3).

[0158] Deve ser notado adicionalmente que a modalidade na figura 3 é meramente um exemplo, e não deve ser considerada como uma limitação na presente invenção.

[0159] Pode ser aprendido que por meio da implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, no processo de ligação de rede, o UE e a AN podem completar negociação de diretriz, a AMF pode determinar o mecanismo de proteção de plano de usuário com base na exigência de segurança exigida no lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e na exigência de segurança predefinida no lado de rede, e o UE e a AN podem determinar separadamente o algoritmo de proteção de segurança e as chaves, de maneira que proteção de segurança para os dados de plano de usuário é implementada.

[0160] Um outro método de configuração de chave fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-AN a partir de uma perspectiva independente de granularidade. Tal como mostrado na figura 4, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0161] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação (solicitação de ligação) para uma AN, então a AN envia a solicitação de ligação para uma

Petição 870190133522, de 13/12/2019, pág. 74/253

67/227

AMF, e então a AMF envia urn ID de UE para uma AUSF.

[0162] Nesta modalidade da presente invenção, a solicitação de ligação inclui o identificador de equipamento de usuário (ID de UE), uma capacidade de segurança de equipamento de usuário e informação de indicação de exigência de segurança (indicador) . Além disso, a solicitação de ligação pode incluir adicionalmente um ID de serviço, um ID de serviço de UE e um DNN. Para conteúdo detalhado do ID de UE, da capacidade de segurança de equipamento de usuário, do indicador, do ID de serviço, do ID de serviço de UE e do DNN, consultar as descrições relacionadas na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0163] Em uma modalidade especifica, a AMF identifica o ID de UE na solicitação de ligação, e envia o ID de UE para a AUSF. Em uma outra modalidade especifica, a AMF envia diretamente uma solicitação de autenticação para a AUSF, e após receber a solicitação de autenticação a AUSF identifica o ID de UE na solicitação de autenticação. A solicitação de autenticação inclui o ID de UE.

[0164] Além disso, em uma modalidade possível, com base em uma exigência da AUSF, a AMF pode enviar a capacidade de segurança de equipamento de usuário, a informação de indicação de exigência de segurança (indicador), o ID de serviço, o ID de serviço de UE e o DNN para a AUSF; ou a AMF encaminha adicionalmente de forma direta conteúdo da solicitação de ligação para a AUSF.

[0165] A AUSF realiza autenticação com o UE com base no ID de UE, e determina que o UE é um usuário autorizado.

[0166] 4. A AUSF determina um mecanismo de proteção de

Petição 870190133522, de 13/12/2019, pág. 75/253

68/227 plano de usuário.

[0167] Em uma modalidade específica da presente invenção, a AUSF pode determinar o mecanismo de proteção de plano de usuário com base em pelo menos um de o indicador (uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço), informação de registro de UE, dados de serviço de subscrição e uma exigência de segurança de serviço realimentada por uma AF. Em outras palavras, a AUSF pode determinar de modo abrangente o mecanismo de proteção de plano de usuário com base em uma exigência de segurança exigida em um lado de equipamento de usuário e em uma exigência de segurança predefinida em um lado de rede ou na exigência de segurança de serviço. Para conteúdo detalhado de determinar o mecanismo de proteção de plano de usuário pela AUSF, de modo similar consultar as descrições de conteúdo relacionadas ao determinar o mecanismo de proteção de plano de usuário pela AME na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0168] 5. A AUSF envia o mecanismo de proteção de plano de usuário para a AME, e então a AME envia o mecanismo de proteção de plano de usuário para a AN. Correspondentemente, a AN recebe o mecanismo de proteção de plano de usuário.

[0169] 6. A AN determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0170] Para um caso detalhado, consultar as descrições da etapa 6 na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0171] 7. A AN envia o algoritmo de proteção de

Petição 870190133522, de 13/12/2019, pág. 76/253

69/227 segurança para o UE, e correspondentemente o UE recebe o algoritmo de proteção de segurança de plano de usuário.

[0172] 8. O UE gera uma chave de proteção de plano de usuário com base no algoritmo de segurança de plano de usuário e em K_AN.

[0173] Para um caso detalhado, consultar as descrições da etapa 8 na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0174] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0175] Possibilidade 1: Se a AUSF não precisar da informação de indicador no processo de determinar o mecanismo de proteção de plano de usuário, o UE pode não enviar o indicador para o lado de rede (ou a solicitação de ligação pode não incluir o indicador).

[0176] Possibilidade 2: Uma sequência das etapas de procedimento indicadas anteriormente não está limitada nesta modalidade. Por exemplo, a AUSF pode determinar o mecanismo de proteção de plano de usuário antes da autenticação bidirecional.

[0177] Deve ser notado adicionalmente que para uma parte que não é descrita detalhadamente na modalidade na figura 4 referência pode ser feita para descrições relacionadas na modalidade na figura 3. A modalidade na figura 4 é meramente um exemplo, e não deve ser considerada como uma limitação na presente invenção.

[0178] Pode ser aprendido que uma diferença principal entre a modalidade na figura 4 e a modalidade na figura 3 é que, no processo de ligação de rede, a AUSF determina o

Petição 870190133522, de 13/12/2019, pág. 77/253

70/227 mecanismo de proteção de plano de usuário com base na exigência de segurança exigida no lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e na exigência de segurança predefinida no lado de rede.

[0179] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, no processo de ligação de rede, o UE e a AN podem completar negociação de diretriz, a AUSF pode determinar o mecanismo de proteção de plano de usuário, e então o UE e a AN podem determinar separadamente o algoritmo de proteção de segurança e as chaves, de maneira que proteção de segurança para dados de plano de usuário é implementada.

[0180] Um outro método de configuração de chave fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-AN a partir de uma perspectiva independente de granularidade. Tal como mostrado na figura 5, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0181] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação (solicitação de ligação) para uma AN, então a AN envia a solicitação de ligação para uma AMF, e então a AMF envia um ID de UE para uma AUSF.

[0182] Nesta modalidade da presente invenção, a solicitação de ligação inclui o identificador de equipamento de usuário (ID de UE), uma capacidade de segurança de equipamento de usuário e informação de indicação de exigência de segurança (indicador). Além disso, a solicitação de ligação pode incluir adicionalmente

Petição 870190133522, de 13/12/2019, pág. 78/253

71/227 um ID de serviço, um ID de serviço de UE e um DNN.

[0183] Em uma modalidade específica, a AME identifica ο ID de UE na solicitação de ligação, e envia o ID de UE para a AUSF. Em uma outra modalidade específica, a AME envia diretamente uma solicitação de autenticação para a AUSF, e após receber a solicitação de autenticação a AUSF identifica o ID de UE na solicitação de autenticação. A solicitação de autenticação inclui o ID de UE.

[0184] A AUSF realiza autenticação com o UE com base no ID de UE, e determina que o UE é um usuário autorizado.

[0185] 4. A AME envia uma solicitação de sessão para uma SMF, e correspondentemente a SMF recebe a solicitação de sessão.

[0186] A solicitação de sessão é usada para solicitar criação de uma sessão entre a AME e a SMF. Por exemplo, se uma sessão for para ser criada ao usar um protocolo de criação de sessão, a solicitação de sessão é sinalização de solicitação de criação de sessão.

[0187] A solicitação de sessão inclui pelo menos um identificador de sessão (ID de sessão).

[0188] 5. A SMF envia informação de resposta de SMF para a AME, e então a AME envia a informação de resposta de SMF para a AN. Correspondentemente, a AN recebe a informação de resposta de SMF.

[0189] A informação de resposta de SMF pode incluir uma exigência de segurança predefinida em um lado de rede; por exemplo, inclui informação de registro de UE fornecida por um UDM, dados de serviço de subscrição fornecidos por um UDM ou uma exigência de segurança de serviço fornecida por uma AF. Além disso, a informação de resposta de SMF pode

Petição 870190133522, de 13/12/2019, pág. 79/253

72/227 incluir adicionalmente um resultado de autenticação de autenticação secundária entre o UE e uma rede de dados DN. Por exemplo, com base na solicitação de sessão, após o UE realizar autenticação secundária com a rede de dados DN ao usar a SMF, a SMF grava o resultado de autenticação na informação de resposta de SMF, e então envia a informação de resposta de SMF para a AN. Após a AN ficar sabendo do resultado de autenticação, se a AN descobrir que o resultado de autenticação é correto (em outras palavras, a autenticação é bem sucedida), a AN realiza um procedimento subsequente de determinar um mecanismo de proteção de plano de usuário; ou se a AN descobrir que o resultado de autenticação é incorreto (em outras palavras, a autenticação não é bem sucedida) , a AN não realiza um procedimento subsequente de determinar um mecanismo de proteção de plano de usuário.

[0190] 6. A AN determina um mecanismo de proteção de plano de usuário.

[0191] Em uma modalidade específica da presente invenção, a AN pode determinar o mecanismo de proteção de plano de usuário com base em pelo menos um de o indicador (uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço), a informação de registro de UE, os dados de serviço de subscrição e a exigência de segurança de serviço realimentada pela AF. Em outras palavras, a AN pode determinar de modo abrangente o mecanismo de proteção de plano de usuário com base em uma exigência de segurança exigida em um lado de equipamento de usuário e na exigência de segurança predefinida no lado de rede ou na exigência de segurança de serviço. Para conteúdo

Petição 870190133522, de 13/12/2019, pág. 80/253

73/227 detalhado de determinar o mecanismo de proteção de plano de usuário pela AN, de modo similar consultar as descrições de conteúdo relacionadas ao determinar o mecanismo de proteção de plano de usuário pela AMF na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0192] 7. A AN determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0193] Para um caso detalhado, consultar as descrições da etapa 6 na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0194] 8. A AN envia o algoritmo de proteção de segurança para o UE, e correspondentemente o UE recebe o algoritmo de proteção de segurança de plano de usuário.

[0195] 9. O UE gera uma chave de proteção de plano de usuário com base no algoritmo de segurança de plano de usuário e em K_AN.

[0196] Para um caso detalhado, consultar as descrições da etapa 8 na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0197] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0198] Possibilidade 1: Se a AN não precisar da informação de indicador no processo de determinar o mecanismo de proteção de plano de usuário, o UE pode não enviar o indicador para o lado de rede (ou a solicitação de ligação pode não incluir o indicador).

[0199] Possibilidade 2: Uma sequência das etapas de procedimento indicadas anteriormente não está limitada nesta modalidade. Por exemplo, a AN pode determinar o

Petição 870190133522, de 13/12/2019, pág. 81/253

74/227 mecanismo de proteção de plano de usuário antes da etapa 4 (a AMF envia a solicitação de sessão para a SMF).

[0200] Possibilidade 3: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pelo UE; em outras palavras, o UE envia a solicitação de sessão para a SMF ao usar a AMF.

[0201] Deve ser notado adicionalmente que para uma parte que não é descrita detalhadamente na modalidade na figura 5 referência pode ser feita para descrições relacionadas na modalidade na figura 3. A modalidade na figura 5 é meramente um exemplo, e não deve ser considerada como uma limitação na presente invenção.

[0202] Pode ser aprendido que uma diferença principal entre a modalidade na figura 5 e a modalidade na figura 3 é que, em um procedimento relacionado com criação de sessão, a AN determina o mecanismo de proteção de plano de usuário com base na exigência de segurança exigida no lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e na exigência de segurança predefinida no lado de rede.

[0203] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, no procedimento de criar sessão, o UE e a AN completam negociação de diretriz, a AN determina o mecanismo de proteção de plano de usuário, e então o UE e a AN determinam separadamente o algoritmo de proteção de segurança e as chaves, de maneira que proteção de segurança para dados de plano de usuário é implementada.

[0204] Um outro método de configuração de chave fornecido em uma modalidade da presente invenção é descrito

Petição 870190133522, de 13/12/2019, pág. 82/253

75/227 a seguir com base em UE-AN a partir de uma perspectiva independente de granularidade. Tal como mostrado na figura 6, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0205] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação (solicitação de ligação) para uma AN, então a AN envia a solicitação de ligação para uma AMF, e então a AMF envia um ID de UE para uma AUSF.

[0206] Nesta modalidade da presente invenção, a solicitação de ligação inclui o identificador de equipamento de usuário (ID de UE), uma capacidade de segurança de equipamento de usuário e informação de indicação de exigência de segurança (indicador). Além disso, a solicitação de ligação pode incluir adicionalmente um ID de serviço, um ID de serviço de UE e um DNN.

[0207] Em uma modalidade especifica, a AMF identifica o ID de UE na solicitação de ligação, e envia o ID de UE para a AUSF. Em uma outra modalidade especifica, a AMF envia diretamente uma solicitação de autenticação para a AUSF, e após receber a solicitação de autenticação a AUSF identifica o ID de UE na solicitação de autenticação. A solicitação de autenticação inclui o ID de UE.

[0208] A AUSF realiza autenticação com o UE com base no ID de UE, e determina que o UE é um usuário autorizado.

[0209] 4. A AMF envia uma solicitação de sessão para uma SMF, e correspondentemente a SMF recebe a solicitação de sessão.

[0210] A solicitação de sessão é usada para solicitar criação de uma sessão entre a AMF e a SMF. Por exemplo, se uma sessão for para ser criada ao usar um protocolo de

Petição 870190133522, de 13/12/2019, pág. 83/253

76/227 criação de sessão, a solicitação de sessão é sinalização de solicitação de criação de sessão.

[0211] A solicitação de sessão inclui pelo menos um identificador de sessão (ID de sessão).

[0212] 5. O UE realiza autenticação secundária com uma DN.

[0213] Especifícamente, com base na solicitação de sessão, o UE realiza autenticação secundária com a DN ao usar a SMF. Se a autenticação for bem sucedida, um resultado de autenticação é correto; ou se a autenticação falhar, um resultado de autenticação é incorreto. A SMF pode obter o resultado de autenticação.

[0214] Deve ser notado que esta etapa é uma etapa opcional.

[0215] 6. A SMF envia informação de resposta de SMF para a AMF.

[0216] Especifícamente, a SMF gera a informação de resposta de SMF.

[0217] A informação de resposta de SMF pode incluir uma exigência de segurança predefinida em um lado de rede, por exemplo, inclui informação de registro de UE fornecida por um UDM, dados de serviço de subscrição fornecidos por um UDM ou uma exigência de segurança de serviço fornecida por uma AF, de maneira que, após obter a informação de resposta de SMF, a AMF pode determinar adicionalmente um mecanismo de proteção de plano de usuário com base na exigência de segurança na informação de resposta de SMF.

[0218] Além disso, a informação de resposta de SMF pode incluir adicionalmente o resultado de autenticação de autenticação secundária entre o UE e a rede de dados DN.

Petição 870190133522, de 13/12/2019, pág. 84/253

77/227

Por exemplo, com base na solicitação de sessão, após o UE realizar autenticação secundária com a rede de dados DN ao usar a SME, a SMF grava o resultado de autenticação na informação de resposta de SMF, e então envia a informação de resposta de SMF para a AME. Após a AME ficar sabendo do resultado de autenticação, se a AME descobrir que o resultado de autenticação é correto (em outras palavras, a autenticação é bem sucedida), a AME realiza um procedimento subsequente de determinar o mecanismo de proteção de plano de usuário; ou se a AME descobrir que o resultado de autenticação é incorreto (em outras palavras, a autenticação não é bem sucedida) , a AME não realiza um procedimento subsequente de determinar o mecanismo de proteção de plano de usuário.

[0219] 7. A AME determina um mecanismo de proteção de plano de usuário.

[0220] Em uma modalidade especifica da presente invenção, a AME pode determinar o mecanismo de proteção de plano de usuário com base em pelo menos um de o indicador (uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço), a informação de registro de UE, os dados de serviço de subscrição e a exigência de segurança de serviço realimentada pela AF. Em outras palavras, a AME pode determinar de modo abrangente o mecanismo de proteção de plano de usuário com base em uma exigência de segurança exigida em um lado de equipamento de usuário e na exigência de segurança predefinida no lado de rede ou em uma exigência de segurança de serviço. Além disso, a AME também pode determinar, com base na informação de resposta de SMF (incluindo o resultado de autenticação),

Petição 870190133522, de 13/12/2019, pág. 85/253

78/227 se o mecanismo de proteção de plano de usuário pode ser determinado com base em uma exigência de segurança relacionada (por exemplo, segurança de serviço realimentada pela AF), determinar se é para realizar a etapa de determinar o mecanismo de proteção de plano de usuário e outros mais. Para conteúdo detalhado de determinar o mecanismo de proteção de plano de usuário pela AMF nesta modalidade, consultar também as descrições de conteúdo relacionadas com determinar o mecanismo de proteção de plano de usuário pela AMF na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0221] 8. A AMF envia o mecanismo de proteção de plano de usuário para a AN.

[0222] 9. A AN determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0223] Para um caso detalhado, consultar as descrições da etapa 6 na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0224] 10. A AN envia o algoritmo de proteção de segurança para o UE, e correspondentemente o UE recebe o algoritmo de proteção de segurança de plano de usuário.

[0225] 11. O UE gera uma chave de proteção de plano de usuário com base no algoritmo de segurança de plano de usuário e em K_AN.

[0226] Para um caso detalhado, consultar as descrições da etapa 8 na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0227] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

Petição 870190133522, de 13/12/2019, pág. 86/253

79/227

[0228] Possibilidade 1: Se a AMF não precisar da informação de indicador no processo de determinar o mecanismo de proteção de plano de usuário, o UE pode não enviar o indicador para o lado de rede (ou a solicitação de ligação pode não incluir o indicador).

[0229] Possibilidade 2: Uma sequência das etapas de procedimento indicadas anteriormente não está limitada nesta modalidade. Por exemplo, a AMF pode determinar o mecanismo de proteção de plano de usuário antes da etapa 4.

[0230] Possibilidade 3: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pelo UE; em outras palavras, o UE envia a solicitação de sessão para a SMF ao usar a AMF.

[0231] Deve ser notado adicionalmente que para uma parte que não é descrita detalhadamente na modalidade na figura 6 referência pode ser feita para descrições relacionadas na modalidade na figura 3. A modalidade na figura 4 é meramente um exemplo, e não deve ser considerada como uma limitação na presente invenção.

[0232] Pode ser aprendido que uma diferença principal entre a modalidade na figura 6 e a modalidade na figura 3 é que, em um procedimento relacionado com criação de sessão, a AMF determina o mecanismo de proteção de plano de usuário com base na exigência de segurança exigida no lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e na exigência de segurança predefinida no lado de rede.

[0233] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, no procedimento de criar sessão, o

Petição 870190133522, de 13/12/2019, pág. 87/253

80/227

UE e a AN podem completar negociação de diretriz, a ΑΜΕ pode determinar o mecanismo de proteção de plano de usuário, e então o UE e a AN podem determinar separadamente o algoritmo de proteção de segurança e as chaves, de maneira que proteção de segurança para dados de plano de usuário é implementada.

[0234] Um outro método de configuração de chave fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-AN a partir de uma perspectiva independente de granularidade. Tal como mostrado na figura 7, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0235] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação (solicitação de ligação) para uma AN, então a AN envia a solicitação de ligação para uma AMF, e então a AMF envia um ID de UE para uma AUSF.

[0236] Nesta modalidade da presente invenção, a solicitação de ligação inclui o identificador de equipamento de usuário (ID de UE), uma capacidade de segurança de equipamento de usuário e informação de indicação de exigência de segurança (indicador). Além disso, a solicitação de ligação pode incluir adicionalmente um ID de serviço, um ID de serviço de UE e um DNN.

[0237] Em uma modalidade especifica, a AMF identifica o ID de UE na solicitação de ligação, e envia o ID de UE para a AUSF. Em uma outra modalidade especifica, a AMF envia diretamente uma solicitação de autenticação para a AUSF, e após receber a solicitação de autenticação a AUSF identifica o ID de UE na solicitação de autenticação. A solicitação de autenticação inclui o ID de UE.

Petição 870190133522, de 13/12/2019, pág. 88/253

81/227

[0238] A AUSF realiza autenticação com o UE com base no ID de UE, e determina que o UE é um usuário autorizado.

[0239] 4. O UE envia uma solicitação de sessão para uma SMF ao usar a AN e a AMF, e correspondentemente a SMF recebe a solicitação de sessão.

[0240] A solicitação de sessão é usada para solicitar criação de uma sessão entre o UE e a SMF. Por exemplo, se uma sessão for para ser criada ao usar um protocolo de criação de sessão, a solicitação de sessão é sinalização de solicitação de criação de sessão.

[0241] A solicitação de sessão inclui pelo menos um identificador de sessão (ID de sessão). Opcionalmente, a solicitação de sessão pode incluir adicionalmente o identificador de equipamento de usuário (ID de UE) , a informação de indicação de exigência de segurança (indicador), o DNN, o ID de serviço, o ID de serviço de UE ou coisa parecida. O identificador de equipamento de usuário (ID de UE) , a informação de indicação de exigência de segurança (indicador), o DNN, o ID de serviço ou o ID de serviço de UE pode ser carregado na solicitação de sessão quando o UE cria uma sessão.

[0242] 5. Opcionalmente, o UE realiza autenticação secundária com uma DN.

[0243] 6. A SMF determina um mecanismo de proteção de plano de usuário.

[0244] Em uma modalidade específica da presente invenção, a SMF pode determinar o mecanismo de proteção de plano de usuário com base em pelo menos um, dois, três ou todos de o indicador (uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de

Petição 870190133522, de 13/12/2019, pág. 89/253

82/227 serviço), informação de registro de UE, dados de serviço de subscrição e uma exigência de segurança de serviço realimentada por uma AF. Em outras palavras, a SMF pode determinar de modo abrangente o mecanismo de proteção de plano de usuário com base em uma exigência de segurança exigida em um lado de equipamento de usuário e em uma exigência de segurança predefinida em um lado de rede ou na exigência de segurança de serviço. Especificamente, a SMF pode enviar pelo menos um de o ID de UE, o ID de serviço, o ID de UE de serviço ou o DNN para um UDM, para obter a informação de registro de UE do UDM. A SMF pode enviar pelo menos um de o ID de UE, o ID de serviço, o ID de UE de serviço ou o DNN para um UDM, para obter os dados de serviço de subscrição do UDM. A SMF envia uma solicitação para uma PCF, a PCF envia a solicitação para a AF, e a AF fornece a exigência de segurança de serviço para a PCF com base na solicitação. A solicitação pode incluir pelo menos um de o ID de UE, o ID de serviço, o ID de UE de serviço ou o DNN. A PCF envia a exigência de segurança de serviço para a SMF, e adicionalmente a SMF obtém a exigência de segurança de serviço. A exigência de segurança de serviço é usada para indicar um mecanismo de proteção de plano de usuário exigido por um serviço; por exemplo, indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para o serviço.

[0245] 7. A SMF envia o mecanismo de proteção de plano de usuário para a AME, e a AME envia o mecanismo de proteção de plano de usuário para a AN. Correspondentemente, a AN recebe o mecanismo de proteção de plano de usuário.

Petição 870190133522, de 13/12/2019, pág. 90/253

83/227

[0246] 8. A AN determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0247] Para um caso detalhado, consultar as descrições da etapa 6 na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0248] 9. A AN envia o algoritmo de proteção de segurança para o UE, e correspondentemente o UE recebe o algoritmo de proteção de segurança de plano de usuário.

[0249] 10. O UE gera uma chave de proteção de plano de usuário com base no algoritmo de segurança de plano de usuário e em K_AN.

[0250] Para um caso detalhado, consultar as descrições da etapa 8 na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0251] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0252] Possibilidade 1: Se a SMF não precisar da informação de indicador no processo de determinar o mecanismo de proteção de plano de usuário, o UE pode não enviar o indicador para o lado de rede (ou a solicitação de ligação pode não incluir o indicador).

[0253] Possibilidade 2: Uma sequência das etapas de procedimento indicadas anteriormente não está limitada nesta modalidade. Por exemplo, a SMF pode determinar o mecanismo de proteção de plano de usuário antes da etapa 5.

[0254] Possibilidade 3: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pela AMF; em outras palavras, a AMF envia a solicitação de sessão para a SMF. Neste caso, a solicitação de sessão inclui pelo

Petição 870190133522, de 13/12/2019, pág. 91/253

84/227 menos o identificador de sessão (ID de sessão). Opcionalmente, a solicitação de sessão pode incluir adicionalmente o identificador de equipamento de usuário (ID de UE) , a informação de indicação de exigência de segurança (indicador), o DNN, o ID de serviço, o ID de serviço de UE ou coisa parecida. 0 identificador de equipamento de usuário (ID de UE) , a informação de indicação de exigência de segurança (indicador), o DNN, o ID de serviço ou o ID de serviço de UE pode ser obtido pela AMF da solicitação de ligação recebida, e a solicitação de ligação carrega a informação indicada anteriormente.

[0255] Possibilidade 4: Para um método para determinar o mecanismo de proteção de plano de usuário pela SMF, consultar o método para determinar o mecanismo de proteção de plano de usuário pela AMF na modalidade na figura 3.

[0256] Possibilidade 5: Métodos para derivar as chaves de proteção de plano de usuário pela AN e pelo UE podem ser baseados em um método na figura 12, incluindo um método baseado em um ID de sessão, um ID de fatia, um ID de fluxo ou em um ID de DRB. O ID de DRB é selecionado pela AN e enviado pela AN para o UE.

[0257] Deve ser notado adicionalmente que para uma parte que não é descrita detalhadamente na modalidade na figura 7 referência pode ser feita para descrições relacionadas na modalidade na figura 3. A modalidade na figura 7 é meramente um exemplo, e não deve ser considerada como uma limitação na presente invenção.

[0258] Pode ser aprendido que uma diferença principal entre a modalidade na figura 7 e a modalidade na figura 3 é que, no procedimento de criar sessão, a SMF determina o

Petição 870190133522, de 13/12/2019, pág. 92/253

85/227 mecanismo de proteção de plano de usuário com base na exigência de segurança exigida no lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e na exigência de segurança predefinida no lado de rede.

[0259] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, no procedimento de criar sessão, o UE e a AN podem completar negociação de diretriz, a SMF pode determinar o mecanismo de proteção de plano de usuário, e então o UE e a AN podem determinar separadamente o algoritmo de proteção de segurança e as chaves, de maneira que proteção de segurança para dados de plano de usuário é implementada.

[0260] Um método de configuração de chave fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-CN a partir de uma perspectiva independente de granularidade. Tal como mostrado na figura 8, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0261] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação (solicitação de ligação) para uma AN, então a AN envia a solicitação de ligação para uma AMF, e então a AMF envia um ID de UE para uma AUSF.

[0262] Nesta modalidade da presente invenção, a solicitação de ligação inclui o identificador de equipamento de usuário (ID de UE), uma capacidade de segurança de equipamento de usuário e informação de indicação de exigência de segurança (indicador). Além disso, a solicitação de ligação pode incluir adicionalmente

Petição 870190133522, de 13/12/2019, pág. 93/253

86/227 um ID de serviço, um ID de serviço de UE e um DNN.

[0263] Em uma modalidade específica, a AME identifica ο ID de UE na solicitação de ligação, e envia o ID de UE para a AUSF. Em uma outra modalidade específica, a AME envia diretamente uma solicitação de autenticação para a AUSF, e após receber a solicitação de autenticação a AUSF identifica o ID de UE na solicitação de autenticação. A solicitação de autenticação inclui o ID de UE.

[0264] A AUSF realiza autenticação com o UE com base no ID de UE na solicitação de ligação, e determina que o UE é um usuário autorizado.

[0265] 4. A AME determina um mecanismo de proteção de plano de usuário.

[0266] Em uma modalidade específica da presente invenção, a AME pode determinar o mecanismo de proteção de plano de usuário com base em pelo menos um de o indicador (uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço), informação de registro de UE, dados de serviço de subscrição e uma exigência de segurança de serviço realimentada por uma AF. Em outras palavras, a AME pode determinar de modo abrangente o mecanismo de proteção de plano de usuário com base em uma exigência de segurança exigida em um lado de equipamento de usuário e em uma exigência de segurança predefinida em um lado de rede ou na exigência de segurança de serviço. Para conteúdo detalhado de determinar o mecanismo de proteção de plano de usuário pela AME nesta modalidade, consultar as descrições de conteúdo relacionadas com determinar o mecanismo de proteção de plano de usuário pela AME na modalidade na figura 3.

Petição 870190133522, de 13/12/2019, pág. 94/253

87/227

Detalhes não são descritos aqui novamente.

[0267] 5. A AMF envia uma solicitação de sessão e o mecanismo de proteção de plano de usuário para uma SMF, e correspondentemente a SMF recebe a solicitação de sessão e o mecanismo de proteção de plano de usuário.

[0268] A solicitação de sessão é usada para solicitar criação de uma sessão entre a AMF e a SMF. Por exemplo, se uma sessão for para ser criada ao usar um protocolo de criação de sessão, a solicitação de sessão é sinalização de solicitação de criação de sessão. A solicitação de sessão inclui pelo menos um identificador de sessão (ID de sessão).

[0269] Em implementação especifica, em uma modalidade, o mecanismo de proteção de plano de usuário é carregado na solicitação de sessão, em outras palavras, a AMF envia a solicitação de sessão para a SMF, e a solicitação de sessão inclui o mecanismo de proteção de plano de usuário.

[0270] Em uma outra modalidade, a AMF envia separadamente a solicitação de sessão e o mecanismo de proteção de plano de usuário para a SMF.

[0271] 6. O UE realiza autenticação secundária com uma DN.

[0272] 7. A SMF determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0273] Em uma modalidade especifica, se o mecanismo de proteção de plano de usuário incluir somente uma descrição a respeito de se é para realizar proteção de criptografia/integridade, a SMF determina se o mecanismo de proteção de plano de usuário entre o UE e uma CN é com criptografia exigida e se proteção de integridade é

Petição 870190133522, de 13/12/2019, pág. 95/253

88/227 exigida. Então a SMF determina o algoritmo de proteção de segurança com base na capacidade de segurança de UE recebida e em uma lista de prioridades de algoritmos suportada por uma UPF. A lista de prioridades de algoritmos suportada pela UPF pode ser predefinida na SMF, ou pode ser predefinida na UPF, e a SMF obtém a lista de prioridades de algoritmos suportada pela UPF da UPF. Por exemplo, quando o mecanismo de proteção de plano de usuário é criptografia exigida + proteção de integridade exigida, a SMF determina, com base na capacidade de segurança de UE, na lista de prioridades de algoritmos suportada pela UPF e em um algoritmo suportado pelo UE, que um algoritmo de criptografia é AES e um algoritmo de proteção de integridade é AES.

[0274] Em uma outra modalidade específica, um algoritmo de proteção de segurança é especificado diretamente no mecanismo de proteção de plano de usuário, e a SMF pode obter diretamente o algoritmo de proteção de segurança do mecanismo de proteção de plano de usuário. Na etapa 4, após determinar o mecanismo de proteção de plano de usuário, a AMF pode determinar um algoritmo de proteção de interface de ar com base em uma lista de prioridades de algoritmos suportada por uma UPF, em um algoritmo suportado pelo UE e na capacidade de segurança de equipamento de usuário. A lista de prioridades de algoritmos suportada pela UPF pode ser predefinida na AMF, ou pode ser predefinida na UPF, e a AMF obtém a lista de prioridades de algoritmos suportada pela UPF da UPF. Por exemplo, em um mecanismo de proteção de plano de usuário de criptografia exigida + proteção de integridade exigida, a AMF determina adicionalmente que um

Petição 870190133522, de 13/12/2019, pág. 96/253

89/227 algoritmo de criptografia é AES e um algoritmo de proteção de integridade é AES, e adiciona o algoritmo de proteção de segurança ao mecanismo de proteção de plano de usuário. Neste caso, por causa de o algoritmo de criptografia e o algoritmo de proteção de integridade serem especificados diretamente no mecanismo de proteção de plano de usuário, após obter o mecanismo de proteção de plano de usuário, a SMF pode obter diretamente o algoritmo de criptografia e o algoritmo de proteção de integridade do mecanismo de proteção de plano de usuário.

[0275] Em uma modalidade possível, após determinar o algoritmo de proteção de segurança, a SMF pode determinar adicionalmente a chave de proteção de plano de usuário. Detalhes são tais como a seguir:

chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP); ou chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP, ID de fluxo); ou chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP, ID de sessão); ou chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP, ID de DRB).

[0276] K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. Especificamente, a AMF envia K_SMF para a SMF. Alternativamente, K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AUSF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. A AUSF envia K_SMF para a SMF. ID

Petição 870190133522, de 13/12/2019, pág. 97/253

90/227 de algoritmo de UP pode ser um ID do algoritmo de criptografia, ou pode ser um ID do algoritmo de proteção de integridade.

[0277] 8. A SMF envia o algoritmo de proteção de segurança ou a chave de proteção de plano de usuário para a UPF, e correspondentemente a UPF recebe o algoritmo de proteção de segurança ou a chave de proteção de plano de usuário.

[0278] Em uma modalidade possível, se a UPF receber somente o algoritmo de proteção de segurança e não receber a chave de proteção de plano de usuário, a UPF pode calcular a chave de proteção de plano de usuário com base no algoritmo de proteção de segurança e em K_SMF (consultar as descrições relacionadas indicadas anteriormente). A chave de proteção de plano de usuário é uma chave de proteção de plano de usuário da UPF. K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. Especificamente, a AMF envia K_SMF para a UPF. Alternativamente, K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AUSF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação, e a AUSF envia K_SMF para a UPF.

[0279] Em uma modalidade possível, se a UPF receber a chave de proteção de plano de usuário, a UPF usa a chave de proteção de plano de usuário como uma chave de proteção de plano de usuário da UPF.

[0280] 9. A SMF envia o algoritmo de proteção de segurança para a AMF.

Petição 870190133522, de 13/12/2019, pág. 98/253

91/227

[0281] Deve ser notado que se o algoritmo de proteção de segurança for determinado pela SMF com base na capacidade de segurança de UE recebida, na lista de prioridades de algoritmos suportada pela UPF e em outras mais a SMF envia o algoritmo de proteção de segurança para a AME.

[0282] Opcionalmente, que a SMF envia o algoritmo de proteção de segurança para a AME é especificamente que a SMF envia uma resposta de sessão para a AME, onde a resposta de sessão carrega o algoritmo de proteção de segurança.

[0283] Deve ser notado que se o algoritmo de proteção de segurança for determinado pela AME com base na lista de prioridades de algoritmos suportada pela UPF, no algoritmo suportado pelo UE, na capacidade de segurança de equipamento de usuário e em outros mais a SMF não precisa enviar o algoritmo de proteção de segurança para a AME.

[0284] 10. A AME envia o algoritmo de proteção de segurança e o mecanismo de proteção de plano de usuário para a AN, onde o mecanismo de proteção de plano de usuário é opcional.

[0285] 11. A AN envia o algoritmo de proteção de segurança e o mecanismo de proteção de plano de usuário para o UE, onde o mecanismo de proteção de plano de usuário é opcional.

[0286] 12. O UE gera uma chave de proteção de plano de usuário com base no algoritmo de segurança de planode usuário, no mecanismo de proteção de plano de usuário eem

K_SMF; ou o UE gera uma chave de proteção de planode usuário com base no algoritmo de segurança de planode

Petição 870190133522, de 13/12/2019, pág. 99/253

92/227 usuário e em K_SMF.

[0287] Em uma modalidade possível, após receber o algoritmo de proteção de segurança, o UE pode determinar adicionalmente a chave de proteção de plano de usuário. A chave de proteção de plano de usuário é uma chave de proteção de plano de usuário do UE. Detalhes são tais como a seguir:

[0288] Alternativamente, um parâmetro de mecanismo de proteção de plano de usuário é adicionado à entrada de função de derivação indicada anteriormente. K_SMF é uma chave derivada, após autenticação ser bem sucedida, pelo UE com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. Especifícamente, a AMF envia K_SMF para o UE.

Alternativamente, K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AUSF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação, e a AUSF envia K_SMF para o UE. ID de algoritmo de UP pode ser o ID do algoritmo de criptografia, ou pode ser o ID do algoritmo de proteção de integridade.

[0289] Deve ser notado que podem existir as

Petição 870190133522, de 13/12/2019, pág. 100/253

93/227 implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0290] Possibilidade 1: Se a AMF não precisar da informação de indicador no processo de determinar o mecanismo de proteção de plano de usuário, o UE pode não enviar o indicador para o lado de rede (ou a solicitação de ligação pode não incluir o indicador).

[0291] Possibilidade 2: Uma sequência das etapas de procedimento indicadas anteriormente não está limitada nesta modalidade. Por exemplo, a etapa 8 e a etapa 9 podem ser realizadas simultaneamente, ou a etapa 8 pode ser realizada antes ou depois da etapa 9.

[0292] Possibilidade 3: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pelo UE; em outras palavras, o UE envia a solicitação de sessão para a SMF ao usar a AMF.

[0293] Possibilidade 4: Se o mecanismo de proteção de plano de usuário incluir um algoritmo de proteção de segurança específico, a AMF pode enviar o mecanismo de proteção de plano de usuário para a UPF ao usar a SMF, e a UPF obtém o algoritmo de proteção de segurança do mecanismo de proteção de plano de usuário.

[0294] Possibilidade 5: Se o mecanismo de proteção de plano de usuário não incluir algoritmo de proteção de segurança, proteção de segurança pode ser implementada nas etapas 7 a 12 no modo seguinte.

[0295] (Substituir a etapa 7 e a etapa 8) A SMF calcula primeiramente K_UP, onde K_UP = KDF(K_SMF, ID de sessão), ou K_UP = KDF(K_SMF, ID de fluxo de QoS).

[0296] (Substituir a etapa 9) A SMF envia um ID de

Petição 870190133522, de 13/12/2019, pág. 101/253

94/227 sessão, um QFI e o mecanismo de proteção de plano de usuário para a AMF.

[0297] (Substituir a etapa 10) A AMF envia o ID de sessão, o QFI e o mecanismo de proteção de plano de usuário para a AN.

[0298] (Substituir a etapa 11) A AN envia o ID de sessão, o QFI e o mecanismo de proteção de plano de usuário para o UE.

[0299] (Substituir a etapa 12) O UE gera segunda K_UP com base em K_SMF. K_SMF é uma chave derivada, após autenticação ser bem sucedida, pelo UE com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação.

[0300] (Adicionar a etapa 13) . Uma UPF e o UE negociam com relação a um algoritmo de proteção de segurança baseado no ID de sessão, no QFI e no mecanismo de proteção de plano de usuário, e então geram uma chave de proteção de plano de usuário da UPF e uma chave de proteção de plano de usuário do UE com base na primeira K_UP e na segunda K_UP respectivamente.

[0301] Deve ser notado adicionalmente que para uma parte que não é descrita detalhadamente na modalidade na figura 8 referência pode ser feita para descrições relacionadas na modalidade na figura 3. A modalidade na figura 8 é meramente um exemplo, e não deve ser considerada como uma limitação na presente invenção.

[0302] Pode ser aprendido que uma diferença principal entre a modalidade na figura 8 e a modalidade na figura 3 é que, em um cenário de aplicação UE-CN, a AMF determina o mecanismo de proteção de plano de usuário com base na

Petição 870190133522, de 13/12/2019, pág. 102/253

95/227 exigência de segurança exigida no lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e na exigência de segurança predefinida no lado de rede.

[0303] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, no procedimento de criar sessão, o UE e a CN podem completar negociação de diretriz, a AMF pode determinar o mecanismo de proteção de plano de usuário, e então o UE e a CN podem determinar separadamente as chaves de proteção de plano de usuário, de maneira que proteção de segurança para dados de plano de usuário é implementada. Por meio de implementação desta modalidade da presente invenção, proteção de segurança de rede entre o UE e a rede principal pode ser implementada, de maneira que uma desvantagem de um modo de proteção baseado em segmento de salto por salto é evitada, e segurança de transmissão de dados de plano de usuário é aperfeiçoada.

[0304] Um método de configuração de chave fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-CN a partir de uma perspectiva independente de granularidade. Tal como mostrado na figura 9, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0305] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação (solicitação de ligação) para uma AN, então a AN envia a solicitação de ligação para uma AMF, e então a AMF envia um ID de UE para uma AUSF.

[0306] Nesta modalidade da presente invenção, a solicitação de ligação inclui o identificador de

Petição 870190133522, de 13/12/2019, pág. 103/253

96/227 equipamento de usuário (ID de UE), uma capacidade de segurança de equipamento de usuário e informação de indicação de exigência de segurança (indicador). Além disso, a solicitação de ligação pode incluir adicionalmente um ID de serviço, um ID de serviço de UE e um DNN.

[0307] Em uma modalidade específica, a AMF identifica o ID de UE na solicitação de ligação, e envia o ID de UE para a AUSF. Em uma outra modalidade específica, a AMF envia diretamente uma solicitação de autenticação para a AUSF, e após receber a solicitação de autenticação a AUSF identifica o ID de UE na solicitação de autenticação. A solicitação de autenticação inclui o ID de UE.

[0308] A AUSF realiza autenticação com o UE com base no ID de UE na solicitação de ligação, e determina que o UE é um usuário autorizado.

[0309] 4. A AUSF determina um mecanismo de proteção de plano de usuário.

[0310] Em uma modalidade específica da presente invenção, a AUSF pode determinar o mecanismo de proteção de plano de usuário com base em pelo menos um de o indicador (uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço), informação de registro de UE, dados de serviço de subscrição e uma exigência de segurança de serviço realimentada por uma AF. Em outras palavras, a AUSF pode determinar de modo abrangente o mecanismo de proteção de plano de usuário com base em uma exigência de segurança exigida em um lado de equipamento de usuário e em uma exigência de segurança predefinida em um lado de rede ou na exigência de segurança de serviço. Para conteúdo detalhado de determinar o

Petição 870190133522, de 13/12/2019, pág. 104/253

97/227 mecanismo de proteção de plano de usuário pela AUSF nesta modalidade, consultar as descrições de conteúdo relacionadas com determinar o mecanismo de proteção de plano de usuário pela AMF na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0311] 5. A AUSF envia o mecanismo de proteção de plano de usuário para uma SMF, e correspondentemente a SMF recebe o mecanismo de proteção de plano de usuário.

[0312] 6. A AMF envia uma solicitação de sessão para a SMF, e correspondentemente a SMF recebe a solicitação de sessão.

[0313] A solicitação de sessão é usada para solicitar criação de uma sessão entre a AMF e a SMF. Por exemplo, se uma sessão for para ser criada ao usar um protocolo de criação de sessão, a solicitação de sessão é sinalização de solicitação de criação de sessão. A solicitação de sessão inclui pelo menos um identificador de sessão (ID de sessão).

[0314] 7. Opcionalmente, o UE realiza autenticação secundária com uma DN.

[0315] 8. A SMF determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0316] Para conteúdo detalhado, consultar as descrições relacionadas da etapa 7 na modalidade na figura 8.

[0317] 9. A SMF envia o algoritmo de proteção de segurança e a chave de proteção de plano de usuário para uma UPF, e correspondentemente a UPF recebe o algoritmo de proteção de segurança e a chave de proteção de plano de usuário. O algoritmo de proteção de segurança é opcional.

[0318] 10. A SMF envia o algoritmo de proteção de

Petição 870190133522, de 13/12/2019, pág. 105/253

98/227 segurança e o mecanismo de proteção de plano de usuário para a AMF. 0 mecanismo de proteção de plano de usuário é opcional.

[0319] 11. A AMF envia o algoritmo de proteção de segurança e o mecanismo de proteção de plano de usuário para a AN. O mecanismo de proteção de plano de usuário é opcional.

[0320] 12. A AN envia o algoritmo de proteção de segurança e o mecanismo de proteção de plano de usuário para o UE. O mecanismo de proteção de plano de usuário é opcional.

[0321] 13. O UE gera uma chave de proteção de plano de usuário com base no algoritmo de segurança de planode usuário, no mecanismo de proteção de plano de usuário eem

K_SMF; ou o UE gera uma chave de proteção de planode usuário com base no algoritmo de segurança de planode usuário e em K_SMF.

[0322] Para uma parte que não é descrita detalhadamente nesta modalidade, consultar as descrições relacionadas na modalidade na figura 8.

[0323] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0324] Possibilidade 1: Se a AMF não precisar da informação de indicador no processo de determinar o mecanismo de proteção de plano de usuário, o UE pode não enviar o indicador para o lado de rede (ou a solicitação de ligação pode não incluir o indicador).

[0325] Possibilidade 2: Uma sequência das etapas de procedimento indicadas anteriormente não está limitada

Petição 870190133522, de 13/12/2019, pág. 106/253

99/227 nesta modalidade. Por exemplo, a etapa 9 e a etapa 10 podem ser realizadas simultaneamente, ou a etapa 8 pode ser realizada antes ou depois da etapa 9.

[0326] Possibilidade 3: Na etapa 4, um procedimento de criar sessão pode ser iniciado pelo UE; em outras palavras, o UE envia a solicitação de sessão para a SMF ao usar a AME.

[0327] Possibilidade 4: Se o mecanismo de proteção de plano de usuário incluir um algoritmo de proteção de segurança especifico, a AUSF pode enviar o mecanismo de proteção de plano de usuário para a UPF ao usar a SMF, e a UPF obtém o algoritmo de proteção de segurança do mecanismo de proteção de plano de usuário.

[0328] Possibilidade 5: Se o mecanismo de proteção de plano de usuário não incluir algoritmo de proteção de segurança, proteção de segurança pode ser implementada nas etapas 7 a 12 no modo seguinte.

[0329] (Substituir a etapa 8 e a etapa 9) A SMF envia um ID de sessão, um QFI e uma chave de proteção de plano de usuário para uma UPF e, além disso, a UPF obtém adicionalmente primeira K_SMF. A primeira K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AME com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. Especificamente, a AME envia K_SMF para a UPF. Alternativamente, K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AUSF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. A AUSF envia K_SMF para a UPF.

[0330] (Substituir a etapa 10) A SMF envia o ID de

Petição 870190133522, de 13/12/2019, pág. 107/253

100/227 sessão, o QFI e o mecanismo de proteção de plano de usuário para a AMF.

[0331] (Substituir a etapa 11) A AMF envia o ID de sessão, o QFI e o mecanismo de proteção de plano de usuário para a AN.

[0332] (Substituir a etapa 12) A AN envia o ID de sessão, o QFI e o mecanismo de proteção de plano de usuário para o UE.

[0333] (Substituir a etapa 13) A UPF e o UE negociam com relação a um algoritmo de proteção de segurança baseado no ID de sessão, no QFI e no mecanismo de proteção de plano de usuário, e então geram uma chave de proteção de plano de usuário da UPF e uma chave de proteção de plano de usuário do UE com base na primeira K_SMF e na segunda K_SMF respectivamente. A segunda K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. Especificamente, a AMF envia K_SMF para o UE. Alternativamente, K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AUSF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. A AUSF envia K_SMF para o UE.

[0334] Deve ser notado adicionalmente que para uma parte que não é descrita detalhadamente na modalidade na figura 8 referência pode ser feita para descrições relacionadas na modalidade na figura 3. A modalidade na figura 8 é meramente um exemplo, e não deve ser considerada como uma limitação na presente invenção.

[0335] Pode ser aprendido que uma diferença principal

Petição 870190133522, de 13/12/2019, pág. 108/253

101/227 entre a modalidade na figura 9 e a modalidade na figura 8 é que, em um procedimento relacionado com criação de sessão, a AUSF determina o mecanismo de proteção de plano de usuário com base na exigência de segurança exigida no lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e na exigência de segurança predefinida no lado de rede.

[0336] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, no procedimento de criar sessão, o UE e uma CN podem completar negociação de diretriz, a AUSF pode determinar o mecanismo de proteção de plano de usuário, e então o UE e a CN podem determinar separadamente as chaves de proteção de plano de usuário, de maneira que proteção de segurança para dados de plano de usuário é implementada. Por meio de implementação desta modalidade da presente invenção, proteção de segurança de rede entre o UE e a rede principal pode ser implementada, de maneira que uma desvantagem de um modo de proteção baseado em segmento de salto por salto é evitada, e segurança de transmissão de dados de plano de usuário é aperfeiçoada.

[0337] Um método de configuração de chave fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-CN a partir de uma perspectiva independente de granularidade. Tal como mostrado na figura 10, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0338] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação (solicitação de ligação) para uma AN, então a AN envia a solicitação de ligação para uma

Petição 870190133522, de 13/12/2019, pág. 109/253

102/227

AMF, e então a AMF envia urn ID de UE para uma AUSF.

[0339] Nesta modalidade da presente invenção, a solicitação de ligação inclui o identificador de equipamento de usuário (ID de UE), uma capacidade de segurança de equipamento de usuário e informação de indicação de exigência de segurança (indicador). Além disso, a solicitação de ligação pode incluir adicionalmente um ID de serviço, um ID de serviço de UE e um DNN.

[0340] Em uma modalidade específica, a AMF identifica o ID de UE na solicitação de ligação, e envia o ID de UE para a AUSF. Em uma outra modalidade específica, a AMF envia diretamente uma solicitação de autenticação para a AUSF, e após receber a solicitação de autenticação a AUSF identifica o ID de UE na solicitação de autenticação. A solicitação de autenticação inclui o ID de UE.

[0341] A AUSF realiza autenticação com o UE com base no ID de UE na solicitação de ligação, e determina que o UE é um usuário autorizado.

[0342] 4. A AMF envia uma solicitação de sessão para uma SMF, e correspondentemente a SMF recebe a solicitação de sessão.

[0343] A solicitação de sessão é usada para solicitar criação de uma sessão entre o UE e a SMF. Por exemplo, se uma sessão for para ser criada ao usar um protocolo de criação de sessão, a solicitação de sessão é sinalização de solicitação de criação de sessão.

[0344] A solicitação de sessão inclui pelo menos um identificador de sessão (ID de sessão). Opcionalmente, a solicitação de sessão pode incluir adicionalmente o identificador de equipamento de usuário (ID de UE) , a

Petição 870190133522, de 13/12/2019, pág. 110/253

103/227 informação de indicação de exigência de segurança (indicador), o DNN, o ID de serviço, o ID de serviço de UE ou coisa parecida. O identificador de equipamento de usuário (ID de UE) , a informação de indicação de exigência de segurança (indicador), o DNN, o ID de serviço ou o ID de serviço de UE pode ser carregado na solicitação de sessão quando o UE cria uma sessão.

[0345] 5. Opcionalmente, o UE realiza autenticação secundária com uma DN.

[0346] 6. A SMF determina um mecanismo de proteção de plano de usuário.

[0347] Em uma modalidade específica da presente invenção, a SMF pode determinar o mecanismo de proteção de plano de usuário com base em pelo menos um de o indicador (uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço), informação de registro de UE, dados de serviço de subscrição e uma exigência de segurança de serviço realimentada por uma AF. Em outras palavras, a SMF pode determinar de modo abrangente o mecanismo de proteção de plano de usuário com base em uma exigência de segurança exigida em um lado de equipamento de usuário e em uma exigência de segurança predefinida em um lado de rede ou na exigência de segurança de serviço. Para conteúdo detalhado de determinar o mecanismo de proteção de plano de usuário pela SMF, de modo similar consultar as descrições de conteúdo relacionadas ao determinar o mecanismo de proteção de plano de usuário pela AME na modalidade na figura 3. Detalhes não são descritos aqui novamente.

[0348] 7. A SMF determina um algoritmo de proteção de

Petição 870190133522, de 13/12/2019, pág. 111/253

104/227 segurança e uma chave de proteção de plano de usuário.

[0349] Para conteúdo detalhado, consultar as descrições da etapa 7 na modalidade na figura 8.

[0350] 8. A SMF envia o algoritmo de proteção de segurança ou a chave de proteção de plano de usuário para uma UPF, e correspondentemente a UPF recebe o algoritmo de proteção de segurança ou a chave de proteção de plano de usuário.

[0351] 9. A SMF envia o algoritmo de proteção de segurança para a AMF.

[0352] 10. A AMF envia o algoritmo de proteção de segurança e o mecanismo de proteção de plano de usuário para a AN. O mecanismo de proteção de plano de usuário é opcional.

[0353] 11. A AN envia o algoritmo de proteção de segurança e o mecanismo de proteção de plano de usuário para o UE. O mecanismo de proteção de plano de usuário é opcional.

[0354] 12. O UE gera uma chave de proteção de plano de usuário com base no algoritmo de segurança de planode usuário, no mecanismo de proteção de plano de usuário eem

[0355] Deve ser notado que para uma parte que não é descrita detalhadamente nesta modalidade referência pode ser feita para descrições relacionadas na modalidade na figura 8.

[0356] Deve ser notado adicionalmente que podem existir as implementações seguintes no procedimento de método

Petição 870190133522, de 13/12/2019, pág. 112/253

105/227 indicado anteriormente desta modalidade.

[0357] Possibilidade 1: Se a SMF não precisar da informação de indicador no processo de determinar o mecanismo de proteção de plano de usuário, o UE pode não enviar o indicador para o lado de rede (ou a solicitação de ligação pode não incluir o indicador).

[0358] Possibilidade 2: Uma sequência das etapas de procedimento indicadas anteriormente não está limitada nesta modalidade. Por exemplo, a SMF pode determinar o mecanismo de proteção de plano de usuário antes da etapa 5. Por exemplo, a etapa 8 e a etapa 9 podem ser realizadas simultaneamente, ou a etapa 8 pode ser realizada antes ou depois da etapa 9.

[0359] Possibilidade 3: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pelo UE; em outras palavras, o UE envia a solicitação de sessão para a SMF ao usar a AMF.

[0360] Possibilidade 4: Se o mecanismo de proteção de plano de usuário incluir um algoritmo de proteção de segurança específico, a SMF pode enviar o mecanismo de proteção de plano de usuário para a UPF, e adicionalmente a UPF obtém o algoritmo de proteção de segurança do mecanismo de proteção de plano de usuário.

[0361] A modalidade na figura 10 é meramente um exemplo e não deve ser considerada como uma limitação na presente invenção.

[0362] Pode ser aprendido que uma diferença principal entre a modalidade na figura 10 e a modalidade na figura 8 é que, em um procedimento relacionado com criação de sessão, a SMF determina o mecanismo de proteção de plano de

Petição 870190133522, de 13/12/2019, pág. 113/253

106/227 usuário com base na exigência de segurança exigida no lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e na exigência de segurança predefinida no lado de rede.

[0363] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, no procedimento de criar sessão, o UE e uma CN podem completar negociação de diretriz, a SMF pode determinar o mecanismo de proteção de plano de usuário, e então o UE e a CN podem determinar separadamente as chaves de proteção de plano de usuário, de maneira que proteção de segurança para dados de plano de usuário é implementada. Por meio de implementação desta modalidade da presente invenção, proteção de segurança de rede entre o UE e a rede principal pode ser implementada, de maneira que uma desvantagem de um modo de proteção baseado em segmento de salto por salto é evitada, e segurança de transmissão de dados de plano de usuário é aperfeiçoada.

[0364] Um método de configuração de chave baseado em fluxo fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-AN a partir de uma perspectiva dependente de granularidade. Tal como mostrado na figura 11, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0365] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação para uma AUSF ao usar uma AN e uma AMF.

[0366] A AUSF realiza autenticação com o UE com base em um ID de UE, e determina que o UE é um usuário autorizado.

Petição 870190133522, de 13/12/2019, pág. 114/253

107/227

[0367] 4. O UE envia uma solicitação de sessão para uma SMF ao usar a AME, e correspondentemente a SMF recebe a solicitação de sessão.

[0368] A solicitação de sessão é usada para solicitar criação de uma sessão entre o UE e a SMF. Por exemplo, se uma sessão for para ser criada ao usar um protocolo de criação de sessão, a solicitação de sessão é sinalização de solicitação de criação de sessão.

[0369] 5. A SMF envia uma solicitação de diretriz para uma PCF.

[0370] Nesta modalidade da presente invenção, uma função de controle de diretrizes é implementada na PCF, e a SMF envia a solicitação de diretriz para a PCF, de maneira que a PCF determina um mecanismo de proteção de plano de usuário correspondente com base na solicitação de diretriz. Especificamente, a solicitação de diretriz inclui pelo menos um identificador de sessão (ID de sessão), e pode incluir adicionalmente o identificador de equipamento de usuário (ID de UE), informação de indicação de exigência de segurança (indicador), uma capacidade de segurança de equipamento de usuário, um ID de serviço, um ID de serviço de UE e um DNN. A informação de indicação de exigência de segurança (indicador) é usada para indicar a exigência de segurança de dispositivo e/ou uma exigência de segurança de serviço, e o ID de sessão, o ID de UE, o indicador, a capacidade de segurança de equipamento de usuário, o ID de serviço, o ID de serviço de UE e o DNN podem ser obtidos pela SMF da solicitação de sessão recebida.

[0371] Especificamente, o identificador de sessão (ID de sessão) é usado para identificar uma identidade de uma

Petição 870190133522, de 13/12/2019, pág. 115/253

108/227 sessão, e a sessão tem um identificador de sessão exclusivo. Opcionalmente, o identificador de sessão pode ser gerado por qualquer um de o UE, a AN, a AMF e a SMF. Quando o identificador de sessão é gerado pelo UE, o identificador de sessão é gerado quando o UE se prepara para uma sessão recém-criada. Quando o identificador de sessão é gerado por qualquer uma de a AN, a AMF e a SMF, o identificador de sessão é gerado quando a qualquer uma de a AN, a AMF e a SMF recebe uma solicitação enviada por um outro elemento de rede. Por exemplo, ao receber a solicitação de sessão enviada pela AN, a SMF gera o ID de sessão com base na solicitação de sessão.

[0372] Além disso, o identificador de sessão pode ser um novo identificador, ou pode ser um outro identificador que é reutilizado; por exemplo, qualquer um de um identificador de sessão existente, um identificador de interface de ar, um identificador de portadora de rádio, um identificador de fatia, um identificador de recurso de interface de ar, um identificador de dispositivo permanente, um identificador de dispositivo temporário, um identificador de usuário permanente, um identificador de usuário temporário e outros mais.

[0373] Especificamente, o identificador de equipamento de usuário (ID de UE) é usado para representar uma identidade do equipamento de usuário que envia a solicitação de sessão. Por exemplo, o ID de UE pode ser um ou mais de um endereço de controle de acesso ao meio (Controle de acesso ao meio, MAC), um endereço de protocolo de Internet (Protocolo de Internet, IP) , um número de telefone móvel, uma identidade de equipamento móvel

Petição 870190133522, de 13/12/2019, pág. 116/253

109/227 internacional (Identidade de Equipamento Móvel Internacional, IMEI), uma identidade internacional de assinante móvel (Identidade Internacional de Assinante Móvel, IMSI), uma identidade privada de multimídia IP (Identidade Privada de Multimídia IP), uma identidade temporária de assinante móvel (Identidade Temporária de Assinante Móvel, TMSI), uma identidade pública de multimídia IP (Identidade Pública de Multimídia IP, IMPU), e uma identidade de UE temporária exclusiva globalmente (Identidade de UE Temporária Exclusiva Globalmente, GUTI).

[0374] Especificamente, a capacidade de segurança de equipamento de usuário é usada para representar um algoritmo de proteção de segurança, um comprimento de chave, um período de atualização de chave e outros mais que podem ser suportados pelo equipamento de usuário. Pode ser entendido que, por causa de equipamentos de usuário diferentes terem capacidades de armazenamento e velocidades de operação diferentes, equipamentos de usuário diferentes suportam algoritmos de proteção de segurança, comprimentos de chaves e períodos de atualização de chaves diferentes. Por exemplo, um dispositivo de Internet das Coisas (Internet das Coisas, loT) não pode suportar um algoritmo de proteção de segurança com complexidade relativamente alta porque o dispositivo de loT tem uma capacidade de armazenamento pequena e uma velocidade de operação baixa, e um telefone inteligente pode suportar um algoritmo de proteção de segurança com complexidade relativamente alta porque o telefone inteligente tem uma capacidade de armazenamento grande e uma velocidade de operação relativamente alta. Portanto, o equipamento de usuário

Petição 870190133522, de 13/12/2019, pág. 117/253

110/227 precisa notificar a PCF da capacidade de segurança de equipamento de usuário, de maneira que a PCF determina um mecanismo de proteção de plano de usuário com base na capacidade de segurança de equipamento de usuário.

[0375] Especificamente, a exigência de segurança de dispositivo é usada para indicar uma exigência de segurança exigida pelo equipamento de usuário; em outras palavras, a exigência de segurança de dispositivo é usada para indicar um mecanismo de proteção de plano de usuário exigido pelo UE para a PCF tal como, por exemplo, indicar criptografia exigida + proteção de integridade não exigida, criptografia não exigida + proteção de integridade exigida ou criptografia exigida + proteção de integridade exigida, ou pode indicar um algoritmo de proteção de segurança exigido pelo UE, um comprimento de chave aceitável para o UE, um periodo de atualização de chave aceitável para o UE e outros mais.

[0376] Especificamente, a exigência de segurança de serviço é usada para representar pelo menos um de um algoritmo de segurança, um comprimento de chave e um periodo de atualização de chave que seja aceitável para um serviço. Pode ser entendido que serviços diferentes têm exigências diferentes com relação ao algoritmo de segurança, ao comprimento de chave e ao periodo de atualização de chave. Por exemplo, um serviço financeiro tem uma exigência relativamente alta com relação ao algoritmo de segurança, e um serviço de transferência de video tem uma exigência relativamente baixa com relação ao algoritmo de segurança. Portanto, um primeiro dispositivo precisa notificar a PCF da exigência de segurança de

Petição 870190133522, de 13/12/2019, pág. 118/253

111/227 serviço, de maneira que a PCF gera um mecanismo de proteção de plano de usuário com base na exigência de segurança de serviço.

[0377] 6. A PCF determina um mecanismo de proteção de plano de usuário.

[0378] Em uma modalidade especifica da presente invenção, a PCF pode determinar o mecanismo de proteção de plano de usuário em uma pluralidade de modos. Especificamente, a PCF pode determinar o mecanismo de proteção de plano de usuário com base em pelo menos um de solicitação de diretriz, informação de registro de UE, dados de serviço de subscrição e uma exigência de segurança de serviço realimentada por uma AF; isto é, a PCF pode determinar o mecanismo de proteção de plano de usuário com base em pelo menos um de o indicador, a exigência de segurança de serviço, a informação de registro de UE, os dados de serviço de subscrição e a exigência de segurança de serviço realimentada pela AF.

[0379] A informação de registro é predefinida em um UDM, e a PCF obtém a informação de registro de UE do UDM. Por exemplo, a PCF envia o ID de UE na solicitação de diretriz para o UDM, para obter a informação de registro de UE do UDM. A informação de registro de UE inclui uma exigência de segurança de UE predefinida. A exigência de segurança de UE é usada para indicar se o UE precisa realizar criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade. Alternativamente, a SMF pode enviar a informação de registro de UE para a PCF. Neste caso, a SMF envia o ID de UE para o UDM, para obter a informação de registro de UE.

Petição 870190133522, de 13/12/2019, pág. 119/253

112/227

[0380] Os dados de serviço de subscrição são predefinidos no UDM, e a PCF obtém os dados de serviço de subscrição do UDM. Por exemplo, a PCF envia o ID de serviço na solicitação de diretriz para o UDM, ou envia o DNN na solicitação de diretriz para o UDM; e o UDM determina, com base no ID de serviço ou no DNN, os dados de serviço de subscrição predefinidos no UDM, e envia os dados de serviço de subscrição relacionados para a PCF. Alternativamente, a PCF envia o ID de UE e o ID de serviço na solicitação de diretriz para o UDM, ou envia o ID de UE e o DNN na solicitação de diretriz para o UDM; e o UDM determina, com base no ID de UE e no ID de serviço ou no ID de UE e no DNN, os dados de serviço de subscrição predefinidos no UDM, e envia os dados de serviço de subscrição relacionados para a PCF. Com base no indicado anteriormente, a PCF também pode enviar o ID de UE de serviço para o UDM, de maneira que o UDM realiza determinação. Os dados de serviço de subscrição incluem uma exigência de segurança de serviço predefinida, e a exigência de segurança de serviço predefinida é usada para indicar um mecanismo de proteção de plano de usuário exigido por um serviço; por exemplo, indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para o serviço.

[0381] A exigência de segurança de serviço realimentada pela AF é predefinida na AF. Especificamente, a PCF envia uma solicitação para a AF, e a AF fornece a exigência de segurança de serviço para a PCF com base na solicitação. A solicitação pode incluir pelo menos um de o ID de UE, o ID de serviço, o ID de UE de serviço ou o DNN. A exigência de

Petição 870190133522, de 13/12/2019, pág. 120/253

113/227 segurança de serviço realimentada pela AF é usada para indicar um mecanismo de proteção de plano de usuário exigido por um serviço; por exemplo, indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para o serviço.

[0382] Nesta modalidade da presente invenção, o mecanismo de proteção de plano de usuário é usado para indicar um modo de proteção de transmissão de dados de plano de usuário tal como, por exemplo, indicar se o UE precisa realizar criptografia e/ou proteção de integridade em dados de plano de usuário. O mecanismo de proteção de plano de usuário pode ser criptografia exigida + proteção de integridade não exigida, criptografia não exigida + proteção de integridade exigida ou criptografia exigida + proteção de integridade exigida. Além disso, em uma modalidade especifica da presente invenção, o mecanismo de proteção de plano de usuário pode ser usado adicionalmente para indicar um algoritmo de proteção de segurança, um comprimento de chave aceitável para o UE, um periodo de atualização de chave aceitável para o UE e outros mais.

[0383] Especificamente, em implementação especifica desta modalidade da presente invenção, o mecanismo de proteção de plano de usuário pode ser proteção de segurança de fluxo de dados de serviço (Proteção de Segurança de Fluxo de Dados de Serviço, SDFSP) . Um exemplo no qual o mecanismo de proteção de plano de usuário é o SDFSP é usado para descrição a seguir.

[0384] 7. A PCF envia o mecanismo de proteção de plano de usuário (SDFSP) para a SMF, e correspondentemente a SMF obtém o mecanismo de proteção de plano de usuário (SDFSP).

Petição 870190133522, de 13/12/2019, pág. 121/253

114/227

[0385] Em uma modalidade específica, a PCF envia diretamente o SDFSP para a SMF.

[0386] Em uma outra modalidade específica, a PCF encapsula o SDFSP em um parâmetro específico e envia o parâmetro específico para a SMF. Por exemplo, a PCF encapsula o SDFSP em uma regra de PCC, e a PCF envia a regra de PCC para a SMF. Correspondentemente, após obter a regra de PCC, a SMF obtém o SDFSP da regra de PCC.

[0387] 8. A SMF determina um mecanismo de proteção de fluxo de QoS com base no mecanismo de proteção de plano de usuário (SDFSP).

[0388] Nesta modalidade da presente invenção, quando os dados de plano de usuário precisam ser transmitidos ao usar um canal de transporte de fluxo de QoS, para obter um mecanismo de segurança baseado em fluxo de QoS (em uma granularidade fina), a SMF precisa determinar um fluxo de QoS (QFI) correspondendo aos dados de plano de usuário, e precisa determinar também um mecanismo de segurança correspondendo ao fluxo de QoS. O mecanismo de segurança correspondendo ao fluxo de QoS é referido como proteção de segurança de QFI (proteção de segurança de QFI) a seguir, onde a proteção de segurança de QFI é referida como QFISP para abreviar, e QFI é um ID de fluxo de QoS.

[0389] Opcionalmente, a SMF pode determinar um fluxo de QoS com base em uma exigência de SDFSP e em uma exigência de QoS na regra de PCC. A exigência de SDFSP é uma exigência de segurança relacionada com o mecanismo de proteção de plano de usuário, e a exigência de QoS é uma exigência para parâmetros de qualidade de serviço tais como uma latência, largura de banda e uma taxa de erros em uma

Petição 870190133522, de 13/12/2019, pág. 122/253

115/227 rede de comunicações.

[0390] Opcionalmente, a SMF pode determinar um fluxo de QoS com base em uma exigência de SDFSP. A exigência de SDFSP é uma exigência de segurança relacionada com o mecanismo de proteção de plano de usuário.

[0391] Em implementação especifica, um canal de fluxo de QoS é predefinido em uma arquitetura de comunicação. Por exemplo, identificadores correspondendo ao canal de fluxo de QoS predefinido são um ID de fluxo de QoS 1, um ID de fluxo de QoS 2, um ID de fluxo de QoS 3 e um ID de fluxo de QoS 4. Neste caso, (1) a SMF pode determinar um fluxo de QoS existente com base na exigência de SDFSP e na exigência de QoS na regra de PCC para transmitir os dados de plano de usuário, por exemplo, selecionar o ID de fluxo de QoS 2; ou (2) a SMF pode descobrir, com base na exigência de SDFSP e na exigência de QoS na regra de PCC, que os dados de plano de usuário não podem ser transmitidos ao usar o ID de fluxo de QoS 1, o ID de fluxo de QoS 2, o ID de fluxo de QoS 3 ou o ID de fluxo de QoS 4, e por esta razão precisa criar novamente um canal de fluxo de QoS; por exemplo, gerar um ID de fluxo de QoS 5 para transmitir os dados de plano de usuário. Um modo de selecionar um fluxo de QoS com base somente no SDFSP é similar ao indicado anteriormente.

[0392] Deve ser notado que quando os dados de plano de usuário são um fluxo de dados de serviço (Fluxo de Dados de Serviço, SDF), se SDFs diferentes tiverem uma mesma exigência de segurança, proteção de segurança pode ser realizada em SDFs com uma mesma exigência de segurança ao usar um mesmo conjunto de QFISP. Por exemplo, fluxos de QoS incluem um SDF 1 e um SDF 2, e tanto SDFSP 1 correspondendo

Petição 870190133522, de 13/12/2019, pág. 123/253

116/227 ao SDF 1 quanto o SDFSP 2 correspondendo ao SDF 2 suportam somente criptografia/não exigem proteção de integridade. Neste caso, dados dos fluxos de QoS podem ser protegidos ao usar um conjunto de QFISP. Neste caso, o QFISP é o mesmo que SDFSP.

[0393] Pode ser entendido que o SDFSP pode incluir uma pluralidade de tipos de QFISP. Por exemplo, para quatro fluxos de dados de serviço: um SDF 1, um SDF 2, um SDF 3 e um SDF 4 em um sistema de comunicações, o SDF 1 e o SDF 2 com uma mesma exigência de segurança usam QFISP 1 (correspondendo a um ID de fluxo de QoS 1) como um mecanismo de segurança, e o SDF 3 e o SDF 4 com uma mesma exigência de segurança usam QFISP 2 (correspondendo a um ID de fluxo de QoS 2) como um mecanismo de segurança.

[0394] Pode ser entendido adicionalmente que quando todos os fluxos de dados de serviço têm uma mesma exigência de segurança (por exemplo, quando o SDF 1, o SDF 2, o SDF 3 e o SDF 4 têm uma mesma exigência de segurança) , QFISP correspondendo a estes fluxos de dados de serviço é equivalente à SDFSP.

[0395] Opcionalmente, a SMF pode selecionar um fluxo de QoS com base somente em uma exigência de SDFSP, para determinar o fluxo de QoS. Se um ID de fluxo de QoS que satisfaz a exigência de SDFSP existir, um fluxo de QoS correspondendo ao ID de fluxo de QoS é usado. De outro modo, um novo fluxo de QoS é gerado.

[0396] Em uma modalidade especifica, após determinar QFISP correspondendo aos dados de plano de usuário, a SMF gera uma regra de QoS, onde a regra de QoS inclui o QFISP. A regra de QoS é um parâmetro, e o parâmetro é usado para

Petição 870190133522, de 13/12/2019, pág. 124/253

117/227 fornecer o QFISP correspondendo aos dados de plano de usuário para o UE.

[0397] Em uma modalidade especifica, após determinar QFISP correspondendo aos dados de plano de usuário, a SMF gera um perfil de QoS, onde o perfil de QoS inclui o QFISP. O perfil de QoS é um parâmetro, e o parâmetro é usado para fornecer o QFISP correspondendo aos dados de plano de usuário para a AN.

[0398] 9. A SMF envia o mecanismo de proteção de fluxo de QoS (QFISP) e um ID de fluxo de QoS para a AN ao usar a AMF.

[0399] Em uma modalidade especifica, a SMF envia diretamente o QFISP e o ID de fluxo de QoS para a AN ao usar a AMF.

[0400] Em uma outra modalidade especifica, a SMF envia a regra de QoS, o perfil de QoS e o ID de fluxo de QoS para a AN ao usar a AMF. O perfil de QoS inclui o QFISP.

[0401] Opcionalmente, a SMF pode enviar adicionalmente o ID de sessão para a AN ao usar a AMF.

[0402] 10. A AN determina um algoritmo de proteção de segurança e uma chave de proteção.

[0403] Especificamente, a AN estabelece um mapeamento de um ID de sessão e de um ID de fluxo de QoS para uma DRB com base no perfil de QoS. Ao selecionar uma DRB, a AN pode mapear fluxos de QoS com uma mesma exigência de proteção de segurança para uma mesma DRB. Neste caso, a AN pode determinar, ao determinar um ID de DRB, que mecanismos de proteção de plano de usuário de dados no DRB (isto é, dados com um mesmo ID de DRB) são iguais. Opcionalmente, após determinar o mecanismo de proteção de plano de usuário, a

Petição 870190133522, de 13/12/2019, pág. 125/253

118/227

AN pode realizar criptografia ou proteção de integridade nos dados de plano de usuário ao usar a chave.

[0404] Em uma modalidade especifica, se o QFISP for para realizar proteção de criptografia/integridade, e se algoritmo de proteção de segurança não for especificado diretamente no QFISP, a AN determina o algoritmo de proteção de segurança com base na capacidade de segurança de UE, em uma lista de prioridades de algoritmos suportada pela AN e no mecanismo de proteção de plano de usuário. Por exemplo, quando o mecanismo de proteção de plano de usuário é criptografia exigida + proteção de integridade exigida, a AN determina, com base na capacidade de segurança de UE e na lista de prioridades de algoritmos suportada pela AN, que um algoritmo de criptografia é AES e um algoritmo de proteção de integridade é AES.

[0405] Como um outro exemplo, se criptografia não for exigida, um algoritmo de criptografia é nulo. Se proteção de integridade não for exigida, um algoritmo de proteção de integridade é nulo.

[0406] Em uma outra modalidade especifica, se o QFISP for para realizar proteção de criptografia/integridade, e um algoritmo de proteção de segurança for especificado diretamente no QFISP, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade que são especificados, a AN pode obter diretamente o algoritmo de proteção de segurança do QFISP. Por exemplo, na etapa 6, após determinar o mecanismo de proteção de plano de usuário, a PCF pode obter uma lista de prioridades de algoritmos suportada pela AN, e determinar um algoritmo de proteção de interface de ar com base na lista de

Petição 870190133522, de 13/12/2019, pág. 126/253

119/227 prioridades de algoritmos suportada pela AN, em um algoritmo suportado pelo UE e na capacidade de segurança de equipamento de usuário. Por exemplo, em um mecanismo de proteção de plano de usuário de criptografia exigida + proteção de integridade exigida, a PCF determina adicionalmente que um algoritmo de criptografia é AES e um algoritmo de proteção de integridade é AES, e adiciona o algoritmo de proteção de segurança ao mecanismo de proteção de plano de usuário. Neste caso, por causa de o algoritmo de criptografia e o algoritmo de proteção de integridade serem especificados diretamente no mecanismo de proteção de plano de usuário (QFISP) , após obter o QFISP, a AN pode obter diretamente o algoritmo de criptografia e o algoritmo de proteção de integridade do QFISP.

[0407] Nesta modalidade da presente invenção, a AN pode gerar a chave de proteção de plano de usuário com base no algoritmo de proteção de segurança. Especificamente, a AN calcula, com base no algoritmo de criptografia determinado, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou a AN calcula, com base no algoritmo de proteção de integridade determinado, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma primeira chave de proteção de plano de usuário de interface de ar.

[0408] Em implementação específica, primeira chave de

Petição 870190133522, de 13/12/2019, pág. 127/253

120/227 proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP); ou primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de fluxo); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de DRB); ou primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de sessão, ID de fluxo).

[0409] K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação (K_AN também pode ser referida como uma chave intermediária) , e a AMF envia K_AN para a AN. ID de algoritmo de UP pode ser um ID do algoritmo de criptografia, ou pode ser um ID do algoritmo de proteção de integridade. O ID do algoritmo de criptografia é usado para indicar o algoritmo de criptografia correspondente, e o ID do algoritmo de proteção de integridade é usado para indicar o algoritmo de proteção de integridade correspondente.

[0410] 11. A AN envia um ID de sessão, o ID de fluxo de QoS, o algoritmo de proteção de segurança e o mecanismo de proteção de fluxo de QoS (QFISP) para o UE.

[0411] 0 QFISP pode ser carregado na regra de QoS e enviado para o UE.

[0412] Além disso, o mecanismo de proteção de fluxo de QoS é opcional.

Petição 870190133522, de 13/12/2019, pág. 128/253

121/227

[0413] 12. O UE determina uma chave de proteção de plano de usuário.

[0414] Especificamente, o UE obtém o ID de sessão, o QFI, o algoritmo de segurança de plano de usuário e K_AN, e gera correspondentemente a chave de proteção de plano de usuário. K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida, pelo UE com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação.

[0415] Especificamente, o UE calcula, com base no algoritmo de criptografia recebido, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou o UE calcula, com base no algoritmo de proteção de integridade recebido, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma segunda chave de proteção de plano de usuário de interface de ar.

[0416] Em implementação especifica, segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de fluxo); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de

Petição 870190133522, de 13/12/2019, pág. 129/253

122/227

DRB); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de sessão, ID de fluxo).

[0417] ID de algoritmo de UP pode ser o ID do algoritmo de criptografia, ou pode ser o ID do algoritmo de proteção de integridade. KDF é uma função de derivação de chave (Função de Derivação de Chave, KDF), e inclui, mas não é limitada a isto, as seguintes funções de derivação de senhas: HMAC (por exemplo, HMAC-SHA256 ou HMAC-SHA1), NMAC, CMAC, OMAC, CBC-MAC, PMAC, UMAC, VMAC, algoritmos HASH e outros mais.

[0418] Pode ser entendido que, em um processo de implementar o mecanismo de proteção de plano de usuário em um cenário de aplicação específica, a primeira chave de proteção de plano de usuário de interface de ar e a segunda chave de proteção de plano de usuário de interface de ar podem ser uma mesma chave. Em transmissão de enlace de subida, o UE pode realizar proteção de criptografia e/ou proteção de integridade nos dados de plano de usuário com base na segunda chave de proteção de plano de usuário de interface de ar e, após receber os dados de plano de usuário enviados pelo UE, a AN realiza verificação de descriptografia e/ou de integridade nos dados de plano de usuário com base na primeira chave de proteção de plano de usuário de interface de ar. Em transmissão de enlace de descida, a AN realiza proteção de criptografia e/ou proteção de integridade nos dados de plano de usuário com base na primeira chave de proteção de plano de usuário de interface de ar e, após receber os dados de plano de

Petição 870190133522, de 13/12/2019, pág. 130/253

123/227 usuário enviados pela AN, o UE realiza verificação de descriptografia e/ou de integridade nos dados de plano de usuário com base na segunda chave de proteção de plano de usuário de interface de ar.

[0419] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0420] Possibilidade 1: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pela AMF; em outras palavras, a AMF envia a solicitação de sessão para a SMF. Neste caso, o identificador de equipamento de usuário (ID de UE) , a capacidade de segurança de equipamento de usuário, o indicador, o DNN, o ID de serviço, o ID de serviço de UE ou coisa parecida na solicitação de sessão pode ser obtido pela AMF da solicitação de ligação recebida, e a solicitação de ligação carrega a informação indicada anteriormente.

[0421] Possibilidade 2: Em uma modalidade possível, conteúdo na etapa 7 e na etapa 8 pode ser substituído pelo seguinte: A PCF determina diretamente um mecanismo de proteção de fluxo de QoS, e envia o mecanismo de proteção de fluxo de QoS para a SMF.

[0422] Possibilidade 3: O ID de fluxo e o ID de sessão podem ser gerados antes de a SMF enviar a solicitação de diretriz .

[0423] Deve ser notado adicionalmente que a modalidade na figura 11 é meramente um exemplo, e não deve ser considerada como uma limitação na presente invenção.

[0424] Pode ser aprendido que, por meio de implementação desta modalidade da presente invenção, com

Petição 870190133522, de 13/12/2019, pág. 131/253

124/227 base em uma arquitetura de comunicação 5G futura, em um procedimento relacionado com criação de sessão, o UE e a AN podem completar negociação de diretriz com base em uma granularidade de um fluxo canal de transporte, a PCF pode determinar o mecanismo de proteção de plano de usuário com base em uma exigência de segurança exigida em um lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e em uma exigência de segurança predefinida em um lado de rede, e o UE e a AN podem determinar separadamente o algoritmo de proteção de segurança e as chaves, de maneira que proteção de segurança para os dados de plano de usuário é implementada.

[0425] Para facilitar entendimento das soluções nas modalidades da presente invenção, o exposto a seguir descreve, com base em UE-AN ao usar um exemplo, alguns procedimentos de operação nos quais o método de configuração de chave baseado em fluxo na figura 11 é aplicado e que se referem a um processo de transmissão de enlace de subida e um processo de transmissão de enlace de descida de dados de plano de usuário. Descrições específicas são tais como a seguir.

[0426] (1) Processo de transmissão de enlace de subida de dados de plano de usuário no qual o método de configuração de chave baseado em fluxo é aplicado.

[0427] Em um lado de UE, quando transmissão de enlace de subida precisa ser realizada com relação aos dados de plano de usuário, UE determina um ID de sessão com base nos dados de usuário, e determina adicionalmente um ID de fluxo de QoS. Por exemplo, se o UE determinar que um ID de sessão 1 (sessão PDU 1) é usado para dados de usuário de enlace de

Petição 870190133522, de 13/12/2019, pág. 132/253

125/227 subida (pacote IP), e determinar adicionalmente que um QFI é um ID de fluxo de QoS 1, por meio de negociação entre o UE e uma AN de acordo com o procedimento de método mostrado na figura 11, o UE determina um mecanismo de proteção de segurança (QFISP) correspondendo ao ID de fluxo de QoS 1, e obtém um algoritmo de proteção de segurança, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade. Portanto, o UE realiza proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave de proteção correspondente.

[0428] Em um lado de AN, a AN determina o ID de fluxo de QoS 1 com base em um identificador de RB de interface de ar 1 (ou um ID de DRB 1). Por meio de negociação entre o UE e a AN de acordo com o procedimento de método mostrado na figura 11, o UE determina o mecanismo de proteção de segurança (QFISP) correspondendo ao ID de fluxo de QoS 1, e obtém o algoritmo de proteção de segurança, incluindo o algoritmo de criptografia e o algoritmo de proteção de integridade. Após obter os dados de plano de usuário transferidos pelo UE, a AN pode realizar proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente. Deve ser notado que a AN pode determinar diretamente o mecanismo de proteção de segurança com base no QFI em uma pilha de protocolos, ou o UE determina o QFI com base em marcação em uma pilha de protocolos de interface de ar, e então determina o mecanismo de segurança.

[0429] (2) Processo de transmissão de enlace de descida

Petição 870190133522, de 13/12/2019, pág. 133/253

126/227 de dados de plano de usuário no qual o método de configuração de chave baseado em fluxo é aplicado.

[0430] Em um lado de AN, quando uma AN precisa realizar transmissão de enlace de descida com relação aos dados de plano de usuário, a AN pode determinar um mecanismo de proteção de segurança com base em um QFI de acordo com o procedimento de método mostrado na figura 11; por exemplo, determinar que o QFI é um ID de fluxo de QoS 3, determinar que o ID de fluxo de QoS 3 corresponde a um identificador de RB de interface de ar 3 (ID de DRB 3), e determinar adicionalmente um mecanismo de proteção de segurança (QFISP) correspondendo ao ID de fluxo de QoS 3, e obter um algoritmo de proteção de segurança, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade. A AN realiza proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente.

[0431] Em um lado de UE, UE determina, com base no ID de DRB 3, que o QFI é o ID de fluxo de QoS 3. A AN pode determinar, com base no QFI de acordo com o procedimento de método mostrado na figura 11, o mecanismo de proteção de segurança (QFISP) correspondendo ao ID de fluxo de QoS 3, e obter o algoritmo de proteção de segurança, incluindo o algoritmo de criptografia e o algoritmo de proteção de integridade. O UE pode realizar proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente. Deve ser notado que o UE pode determinar diretamente o mecanismo de proteção de

Petição 870190133522, de 13/12/2019, pág. 134/253

127/227 segurança com base no QFI em uma pilha de protocolos, ou o UE determina o QFI com base em marcação em uma pilha de protocolos de interface de ar, e então determina ο mecanismo de segurança.

[0432] Um método de configuração de chave baseado em DRB fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-AN a partir de uma perspectiva dependente de granularidade. Tal como mostrado na figura 12, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0433] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação para uma AUSF ao usar uma AN e uma AME.

[0434] A AUSF realiza autenticação com o UE com base em um ID de UE, e determina que o UE é um usuário autorizado.

[0435] Nesta modalidade da presente invenção, a solicitação de ligação inclui pelo menos o identificador de equipamento de usuário (ID de UE). Além disso, opcionalmente, a solicitação de ligação pode incluir adicionalmente um ID de serviço, um ID de serviço de UE ou um DNN. Opcionalmente, a solicitação de ligação pode incluir adicionalmente informação de indicação de exigência de segurança (indicador).

[0436] 4. O UE envia uma solicitação de sessão para uma SMF ao usar a AME, e correspondentemente a SMF recebe a solicitação de sessão.

[0437] 5. A SMF envia uma solicitação de diretriz para uma PCF.

[0438] 6. A PCF determina um mecanismo de proteção de

Petição 870190133522, de 13/12/2019, pág. 135/253

128/227 plano de usuário.

[0439] 7. A PCF envia o mecanismo de proteção de plano de usuário (SDFSP) para a SMF, e correspondentemente a SMF obtém o mecanismo de proteção de plano de usuário (SDFSP).

[0440] 8. A SMF determina um mecanismo de proteção de fluxo de QoS com base no mecanismo de proteção de plano de usuário (SDFSP).

[0441] 9. A SMF envia o mecanismo de proteção de fluxo de QoS (QFISP) e um ID de fluxo de QoS para a AN ao usar a AMF.

[0442] Em uma modalidade especifica, a SMF envia diretamente o QFISP para a AN ao usar a AMF.

[0443] Em uma outra modalidade especifica, a SMF envia uma regra de QoS e um perfil de QoS para a AN ao usar a AMF. A regra de QoS inclui o QFISP, e a regra de QoS é usada para fornecer QFISP correspondendo aos dados de plano de usuário para o UE. O perfil de QoS inclui o QFISP, e o perfil de QoS é usado para fornecer o QFISP correspondendo aos dados de plano de usuário para a AN.

[0444] Opcionalmente, a SMF pode enviar adicionalmente um ID de sessão para a AN ao usar a AMF.

[0445] 10. A AN determina uma DRB e um mecanismo de proteção de DRB.

[0446] Nesta modalidade da presente invenção, um mecanismo de proteção de segurança em transmissão de dados pode ser implementado para dados de plano de usuário com base em uma DRB.

[0447] Especificamente, para obter um mecanismo de proteção de segurança baseado em DRB (em uma granularidade fina), a AN precisa determinar uma DRB correspondendo a um

Petição 870190133522, de 13/12/2019, pág. 136/253

129/227 fluxo de QoS e estabelecer um mapeamento de um ID de sessão e de um ID de fluxo de QoS para um ID de DRB, e precisa determinar adicionalmente um mecanismo de segurança correspondendo ao ID de DRB. 0 mecanismo de segurança correspondendo ao ID de DRB é referido como proteção de segurança de DRB (proteção de segurança de DRB) a seguir, onde a proteção de segurança de DRB é referida como DRBSP para abreviar.

[0448] Opcionalmente, a AN pode determinar um ID de DRB com base em uma exigência de QFISP e em uma exigência de QoS. O ID de DRB precisa satisfazer tanto a exigência de QoS no perfil de QoS quanto a exigência de QFISP. A exigência de QFISP é uma exigência de segurança relacionada com um fluxo de QoS (por exemplo, somente criptografia é exigida, e proteção de integridade não é exigida), e a exigência de QoS é uma exigência para parâmetros de qualidade de serviço tais como uma latência, largura de banda e uma taxa de erros em uma rede de comunicações.

[0449] Opcionalmente, a AN pode determinar um ID de DRB com base em uma exigência de QFISP. O ID de DRB precisa satisfazer a exigência de QFISP.

[0450] Em implementação especifica, um canal de DRB é predefinido em uma arquitetura de comunicação. Por exemplo, identificadores correspondendo ao canal de DRB predefinido são um ID de DRB 1, um ID de DRB 2, um ID de DRB 3 e um ID de DRB 4. Neste caso, (1) a SMF pode determinar uma DRB existente com base na exigência de QFISP e na exigência de QoS no perfil para carregar um fluxo de QoS ou dados de plano de usuário, por exemplo, selecionar o ID de DRB 1; ou (2) a SMF pode descobrir, com base na exigência de QFISP e

Petição 870190133522, de 13/12/2019, pág. 137/253

130/227 na exigência de QoS no perfil, que um fluxo de QoS ou dados de plano de usuário não podem ser carregados ao usar o ID de DRB 1, o ID de DRB 2, o ID de DRB 3 ou o ID de DRB 4, e por esta razão precisa criar novamente uma canal de DRB; por exemplo, gerar um ID de DRB 5 para carregar o fluxo de QoS ou os dados de plano de usuário.

[0451] Deve ser notado que, se fluxos de QoS diferentes (ou SDFs diferentes) tiverem uma mesma exigência de segurança, proteção de segurança pode ser realizada em fluxos de QoS com uma mesma exigência de segurança ao usar um mesmo conjunto de DRBSP. Por exemplo, DRBs incluem um fluxo de QoS 1 e um fluxo de QoS 2, e QFISP 1 correspondendo ao fluxo de QoS 1 e QFISP 2 correspondendo ao fluxo de QoS 2 suportam somente criptografia/não exigem proteção de integridade. Neste caso, dados carregados na DRB podem ser protegidos ao usar um conjunto de DRBSP.

[0452] Pode ser entendido que DRBs diferentes podem ter DRBSP diferente. Por exemplo, para quatro fluxos de dados de serviço: um fluxo de QoS 1, um fluxo de QoS 2, um fluxo de QoS 3 e um fluxo de QoS 4 em um sistema de comunicações, o fluxo de QoS 1 e o fluxo de QoS 2 com uma mesma exigência de segurança usam DRBSP 1 (correspondendo a um ID de DRB 1) como um mecanismo de segurança, e o fluxo de QoS 3 e o fluxo de QoS 4 com uma mesma exigência de segurança usam DRBSP 2 (correspondendo a um ID de DRB 2) como um mecanismo de segurança.

[0453] Opcionalmente, a AN pode selecionar um ID de DRB com base somente em uma exigência de QFISP, para determinar uma DRB. Se existir um ID de DRB que satisfaça a exigência de QFISP, uma DRB correspondendo ao ID de DRB é usada. De

Petição 870190133522, de 13/12/2019, pág. 138/253

131/227 outro modo, uma nova DRB é gerada.

[0454] 11. A AN determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0455] Em uma modalidade específica, se a DRBSP for para realizar proteção de criptografia/integridade, e se algoritmo de proteção de segurança não for especificado diretamente na DRBSP, a AN determina o algoritmo de proteção de segurança com base em uma capacidade de segurança de UE, em uma lista de prioridades de algoritmos suportada pela AN e no mecanismo de proteção de plano de usuário. Por exemplo, se criptografia for exigida, mas proteção de integridade não é exigida na DRBSP, criptografia AES/criptografia ZUC é suportada com base na capacidade de segurança de UE, e se a AN suportar um caso no qual criptografia AES tem uma primeira prioridade, a AN seleciona AES como um algoritmo de criptografia e um algoritmo nulo como um algoritmo de proteção de integridade.

[0456] Em uma outra modalidade específica, se a DRBSP for para realizar proteção de criptografia/integridade, e um algoritmo de proteção de segurança for especificado diretamente na DRBSP, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade que são especificados, a AN pode obter diretamente o algoritmo de proteção de segurança da DRBSP.

[0457] Nesta modalidade da presente invenção, a AN pode gerar a chave de proteção de plano de usuário com base no algoritmo de proteção de segurança. Especificamente, a AN calcula, com base no algoritmo de criptografia determinado, uma chave usada para proteção de criptografia, para obter

Petição 870190133522, de 13/12/2019, pág. 139/253

132/227 uma chave de criptografia de plano de usuário de interface de ar; ou a AN calcula, com base no algoritmo de proteção de integridade determinado, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma primeira chave de proteção de plano de usuário de interface de ar.

[0458] Em implementação especifica, primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP); ou primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de DRB); ou primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de fluxo); ou primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de sessão, ID de fluxo); ou primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de sessão, ID de DRB).

[0459] K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e a AMF envia K_AN para a AN. ID de algoritmo de UP pode ser um ID do algoritmo de

Petição 870190133522, de 13/12/2019, pág. 140/253

133/227 criptografia, ou pode ser um ID do algoritmo de proteção de integridade. 0 ID do algoritmo de criptografia é usado para indicar o algoritmo de criptografia correspondente, e o ID do algoritmo de proteção de integridade é usado para indicar o algoritmo de proteção de integridade correspondente.

[0460] 12. A AN envia um ID de sessão, o ID de fluxo de QoS, o algoritmo de proteção de segurança, o mecanismo de proteção de fluxo de QoS (QFISP) e o mecanismo de proteção de DRB (DRBSP) para o UE.

[0461] 0 QFISP e/ou o DRBSP pode ser carregado na regra de QoS e enviado para o UE.

[0462] 0 QFISP é opcional.

[0463] 0 DRBSP é opcional.

[04 64] 13. O UE determina uma chave de proteção de plano de usuário.

[0465] 0 UE obtém o ID de sessão, o QFI, o algoritmo de segurança de plano de usuário, o QFISP, o DRBSP e K_AN, e correspondentemente gera a chave de proteção de plano de usuário.

[0466] Alternativamente, o UE obtém o ID de sessão, o QFI e o algoritmo de segurança de plano de usuário. O UE gera a chave de proteção de plano de usuário com base no ID de sessão, no QFI, no algoritmo de segurança de plano de usuário e em K_AN que são obtidos.

[0467] Especificamente, o UE calcula, com base no algoritmo de criptografia recebido, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou o UE calcula, com base no algoritmo de proteção de

Petição 870190133522, de 13/12/2019, pág. 141/253

134/227 integridade recebido, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma segunda chave de proteção de plano de usuário de interface de ar.

[0468] Em implementação especifica, segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de DRB); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de fluxo); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de sessão, ID de fluxo); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de sessão, ID de DRB).

[0469] K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida, pelo UE com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação. ID de algoritmo de UP pode ser o ID do algoritmo de criptografia, ou pode ser o ID do algoritmo de proteção de integridade. KDF é uma função de derivação de chave (Função de Derivação de Chave, KDF), e

Petição 870190133522, de 13/12/2019, pág. 142/253

135/227 inclui, mas não está limitada a isto, as seguintes funções de derivação de senhas: HMAC (por exemplo, HMAC-SHA256 ou HMAC-SHA1), NMAC, CMAC, OMAC, CBC-MAC, PMAC, UMAC, VMAC, algoritmos HASH e outros mais.

[047 0] Deve ser notado que para uma etapa que não é descrita detalhadamente na modalidade na figura 13 referência pode ser feita para descrições relacionadas na modalidade na figura 11. A modalidade na figura 12 é meramente um exemplo e não deve ser considerada como uma limitação na presente invenção.

[0471] Deve ser notado adicionalmente que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0472] Possibilidade 1: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pela AMF; em outras palavras, a AMF envia a solicitação de sessão para a SMF. Neste caso, o identificador de equipamento de usuário (ID de UE) , a capacidade de segurança de equipamento de usuário, o indicador, o DNN, o ID de serviço, o ID de serviço de UE ou coisa parecida na solicitação de sessão pode ser obtido pela AMF da solicitação de ligação recebida, e a solicitação de ligação carrega a informação indicada anteriormente.

[0473] Possibilidade 2: Em uma modalidade possível, conteúdo na etapa 7 e na etapa 8 pode ser substituído pelo seguinte: A PCF determina diretamente um mecanismo de proteção de fluxo de QoS, e envia o mecanismo de proteção de fluxo de QoS para a SMF.

[0474] Possibilidade 3: O ID de fluxo e o ID de sessão podem ser gerados antes de a SMF enviar a solicitação de

Petição 870190133522, de 13/12/2019, pág. 143/253

136/227 diretriz .

[0475] Pode ser aprendido que uma diferença entre a modalidade na figura 12 e a modalidade na figura 11 é que o UE e a AN realizam negociação de diretriz com base em uma granularidade de um canal de transporte de DRB.

[0476] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, em um procedimento relacionado com criação de sessão, o UE e a AN podem completar negociação de diretriz com base em uma granularidade de um canal de transporte de DRB, a PCF pode determinar o mecanismo de proteção de plano de usuário com base em uma exigência de segurança exigida em um lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e em uma exigência de segurança predefinida em um lado de rede, e o UE e a AN podem determinar separadamente o algoritmo de proteção de segurança e as chaves, de maneira que proteção de segurança para os dados de plano de usuário é implementada.

[0477] 0 exposto a seguir descreve resumidamente, com base em UE-AN ao usar um exemplo, alguns procedimentos de operação nos quais o método de configuração de chave baseado em DRB na figura 12 é aplicado e que se referem a um processo de transmissão de enlace de subida e um processo de transmissão de enlace de descida de dados de plano de usuário. Descrições são tais como a seguir.

[0478] (1) Processo de transmissão de enlace de subida de dados de plano de usuário no qual o método de configuração de chave baseado em DRB é aplicado

[0479] Em um lado de UE, UE determina um ID de sessão

Petição 870190133522, de 13/12/2019, pág. 144/253

137/227 com base nos dados de usuário, determina adicionalmente um QFI e um ID de DRB, e determina adicionalmente um mecanismo de proteção de segurança (DRBSP) com base no ID de DRB. Após determinar um algoritmo de criptografia e um algoritmo de proteção de integridade, o UE realiza proteção de segurança nos dados de plano de usuário ao usar uma chave de proteção de plano de usuário correspondente.

[0480] Em um lado de AN, uma AN determina o mecanismo de proteção de segurança (DRBSP) correspondente com base no ID de DRB, e obtém um algoritmo de proteção de segurança, incluindo o algoritmo de criptografia e o algoritmo de proteção de integridade. Após obter os dados de plano de usuário transferidos pelo UE, a AN pode realizar proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente.

[0481] (2) Processo de transmissão de enlace de descida de dados de plano de usuário no qual o método de configuração de chave baseado em DRB é aplicado.

[0482] Em um lado de AN, quando uma AN precisa realizar transmissão de enlace de descida nos dados de plano de usuário, a AN determina uma DRB com base em um QFI, e então determina um mecanismo de proteção de segurança (DRBSP) correspondendo à DRB, e obtém um algoritmo de proteção de segurança, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade. A AN realiza proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente.

[0483] Em um lado de UE, UE determina o mecanismo de

Petição 870190133522, de 13/12/2019, pág. 145/253

138/227 proteção de segurança (DRBSP) correspondente com base em um ID de DRB, e obtém o algoritmo de proteção de segurança, incluindo o algoritmo de criptografia e o algoritmo de proteção de integridade. 0 UE pode realizar proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente.

[0484] Um método de configuração de chave baseado em seção fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-AN a partir de uma perspectiva dependente de granularidade. Tal como mostrado na figura 13, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0485] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação para uma AUSF ao usar uma AN e uma AME.

[0486] A AUSF realiza autenticação com o UE com base em um ID de UE, e determina que o UE é um usuário autorizado.

[0487] Nesta modalidade da presente invenção, a solicitação de ligação inclui pelo menos o identificador de equipamento de usuário (ID de UE). Além disso, opcionalmente, a solicitação de ligação pode incluir adicionalmente um ID de serviço, um ID de serviço de UE ou um DNN. Opcionalmente, a solicitação de ligação pode incluir adicionalmente informação de indicação de exigência de segurança (indicador).

[0488] 4. O UE envia uma solicitação de sessão para uma SMF ao usar a AME, e correspondentemente a SMF recebe a solicitação de sessão.

Petição 870190133522, de 13/12/2019, pág. 146/253

139/227

[0489] 5. A SMF envia uma solicitação de diretriz para uma PCF.

[0490] 6. A PCF determina um mecanismo de proteção de plano de usuário.

[0491] 7. A PCF envia o mecanismo de proteção de plano de usuário (SDFSP) para a SMF, e correspondentemente a SMF obtém o mecanismo de proteção de plano de usuário (SDFSP).

[0492] 8. A SMF determina um mecanismo de proteção de sessão.

[0493] Nesta modalidade da presente invenção, quando dados de plano de usuário precisam ser transmitidos ao usar um canal de transporte de sessão, um canal de transporte de DRB ou um canal de transporte de fluxo de QoS, um mecanismo de proteção de segurança em transmissão de dados pode ser implementado adicionalmente com base em uma sessão.

[0494] Especificamente, a SMF pode determinar o mecanismo de proteção de sessão com base em SDFSP em regras de PCC diferentes; ou a SMF recebe diretamente o mecanismo de proteção de sessão da PCF.

[0495] 9. A SMF envia QFISP, o mecanismo de proteção de sessão e um ID de fluxo de QoS para a AN ao usar a AMF.

[0496] Em uma modalidade específica, a SMF envia diretamente um ID de sessão, o mecanismo de proteção de sessão e o ID de fluxo de QoS para a AN ao usar a AMF.

[0497] Em uma outra modalidade específica, a SMF envia uma regra de QoS, um perfil de QoS e o ID de fluxo de QoS para a AN ao usar a AMF. A regra de QoS inclui o mecanismo de proteção de sessão, e a regra de QoS é usada para fornecer um mecanismo de proteção de sessão correspondendo aos dados de plano de usuário para o UE. O perfil de QoS

Petição 870190133522, de 13/12/2019, pág. 147/253

140/227 inclui o mecanismo de proteção de sessão, e o perfil de QoS é usado para fornecer o mecanismo de proteção de sessão correspondendo aos dados de plano de usuário para a AN.

[0498] Opcionalmente, a SMF pode enviar adicionalmente o ID de sessão para a AN ao usar a AMF.

[0499] 10. A AN determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0500] Em uma modalidade especifica, se o mecanismo de proteção de sessão for para realizar proteção de criptografia/integridade, e se algoritmo de proteção de segurança não for especificado diretamente no mecanismo de proteção de sessão, a AN determina o algoritmo de proteção de segurança com base em uma capacidade de segurança de UE, em uma lista de prioridades de algoritmos suportada pela AN e no mecanismo de proteção de plano de usuário. Por exemplo, se criptografia for exigida, mas proteção de integridade não é exigida no mecanismo de proteção de sessão, criptografia AES/criptografia ZUC é suportada com base na capacidade de segurança de UE, e se a AN suportar um caso no qual criptografia AES tem uma primeira prioridade, a AN seleciona AES como um algoritmo de criptografia e um algoritmo nulo como um algoritmo de proteção de integridade.

[0501] Em uma outra modalidade especifica, se o mecanismo de proteção de sessão for para realizar proteção de criptografia/integridade, e um algoritmo de proteção de segurança for especificado diretamente no mecanismo de proteção de sessão, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade que são especificados, a AN pode obter diretamente o algoritmo de

Petição 870190133522, de 13/12/2019, pág. 148/253

141/227 proteção de segurança do mecanismo de proteção de sessão.

[0502] Nesta modalidade da presente invenção, a AN pode gerar a chave de proteção de plano de usuário com base no algoritmo de proteção de segurança. Especificamente, a AN calcula, com base no algoritmo de criptografia determinado, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou a AN calcula, com base no algoritmo de proteção de integridade determinado, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma primeira chave de proteção de plano de usuário de interface de ar.

[0503] Em implementação especifica, primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP); ou primeira chave de proteção de plano de usuário de interface de ar = KDF(K_SMF, ID de algoritmo de UP, ID de fluxo); ou

KDF(K_SMF, ID de algoritmo de UP, ID de sessão); ou KDF(K_SMF, ID de algoritmo de UP, ID de DRB).

[0504] K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e a AMF envia K_AN para a AN. ID de algoritmo de UP pode ser um ID do algoritmo de criptografia, ou pode ser um ID do algoritmo de proteção de

Petição 870190133522, de 13/12/2019, pág. 149/253

142/227 integridade. ID de DRB pode ser um identificador de uma DRB alocada pela AN para este serviço.

[0505] 11. A AN envia um ID de sessão, o ID de fluxo de QoS, o algoritmo de proteção de segurança e o mecanismo de proteção de sessão para o UE.

[0506] 0 mecanismo de proteção de sessão pode ser carregado na regra de QoS e enviado para o UE.

[0507] Além disso, o mecanismo de proteção de sessão é opcional.

[0508] 12. O UE determina uma chave de proteção.

[0509] 0 UE obtém o ID de sessão, o QFI, o algoritmo de segurança de plano de usuário, o mecanismo de proteção de sessão e K_AN, e correspondentemente gera a chave de proteção de plano de usuário.

[0510] Especificamente, o UE calcula, com base no algoritmo de criptografia recebido, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou o UE calcula, com base no algoritmo de proteção de integridade recebido, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma segunda chave de proteção de plano de usuário de interface de ar.

[0511] Em implementação especifica, segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP); ou

Petição 870190133522, de 13/12/2019, pág. 150/253

143/227 segunda chave de proteção de plano de usuário de interface de ar = KDF(K_SMF, ID de algoritmo de UP, ID de fluxo); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_SMF, ID de algoritmo de UP, ID de sessão); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_SMF, ID de algoritmo de UP, ID de DRB) .

[0512] K_AN é uma chave derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e a AMF envia K_AN para o UE. ID de algoritmo de UP pode ser o ID do algoritmo de criptografia, ou pode ser o ID do algoritmo de proteção de integridade. ID de DRB pode ser o identificador da DRB alocada pela AN para este serviço. KDF é uma função de derivação de chave (Função de Derivação de Chave, KDF), e inclui, mas não está limitada a isto, as seguintes funções de derivação de senhas: HMAC (por exemplo, HMAC-SHA256 ou HMAC-SHA1), NMAC, CMAC, OMAC, CBC-MAC, PMAC, UMAC, VMAC, algoritmos HASH e outros mais.

[0513] Deve ser notado que para uma etapa que não é descrita detalhadamente na modalidade na figura 13 referência pode ser feita para descrições relacionadas na modalidade na figura 11. A modalidade na figura 13 é meramente um exemplo e não deve ser considerada como uma limitação na presente invenção.

[0514] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

Petição 870190133522, de 13/12/2019, pág. 151/253

144/227

[0515] Possibilidade 1: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pela AMF; em outras palavras, a AMF envia a solicitação de sessão para a SMF. Neste caso, o identificador de equipamento de usuário (ID de UE) , a capacidade de segurança de equipamento de usuário, o indicador, o DNN, o ID de serviço, o ID de serviço de UE ou coisa parecida na solicitação de sessão pode ser obtido pela AMF da solicitação de ligação recebida, e a solicitação de ligação carrega a informação indicada anteriormente.

[0516] Possibilidade 2: O ID de fluxo e o ID de sessão podem ser gerados antes de a SMF enviar a solicitação de diretriz .

[0517] Pode ser aprendido que uma diferença entre a modalidade na figura 13 e a modalidade na figura 11 é que o UE e a AN realizam negociação de diretriz com base em uma granularidade de um canal de transporte de sessão PDU.

[0518] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, em um procedimento relacionado com criação de sessão, o UE e a AN podem completar negociação de diretriz com base em uma granularidade de um canal de transporte de sessão PDU, a PCF pode determinar o mecanismo de proteção de plano de usuário com base em uma exigência de segurança exigida em um lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e em uma exigência de segurança predefinida em um lado de rede, e o UE e a AN podem determinar separadamente o algoritmo de proteção de segurança e as chaves, de maneira que proteção de segurança para dados de plano de usuário é

Petição 870190133522, de 13/12/2019, pág. 152/253

145/227 implementada .

[0519] Para facilitar entendimento das soluções nas modalidades da presente invenção, o exposto a seguir descreve, com base em UE-AN ao usar um exemplo, alguns procedimentos de operação nos quais o método de configuração de chave baseado em seção na figura 13 é aplicado e que se referem a um processo de transmissão de enlace de subida e um processo de transmissão de enlace de descida de dados de plano de usuário. Descrições específicas são tais como a seguir.

[0520] (1) Processo de transmissão de enlace de subida de dados de plano de usuário no qual o método de configuração de chave baseado em seção é aplicado.

[0521] Em um lado de UE, UE determina um ID de sessão com base nos dados de usuário, e determina adicionalmente um mecanismo de proteção de segurança (mecanismo de proteção de sessão) correspondendo ao ID de sessão, e obtém um algoritmo de proteção de segurança, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade. Portanto, o UE realiza proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave de proteção correspondente.

[0522] Em um lado de AN, uma AN determina um ID de fluxo de QoS com base em um ID de DRB, determina adicionalmente o ID de sessão, e finalmente determina o mecanismo de proteção de segurança (mecanismo de proteção de sessão) correspondendo ao ID de sessão. Após obter os dados de plano de usuário transferidos pelo UE, a AN pode realizar proteção de segurança nos dados de plano de

Petição 870190133522, de 13/12/2019, pág. 153/253

146/227 usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente. Alternativamente, uma AN determina diretamente o ID de sessão com base em um ID de DRB, determina o ID de sessão com base em um QFI em uma pilha de protocolos ou determina um QFI com base em marcação em uma pilha de protocolos.

[0523] (2) Processo de transmissão de enlace de descida de dados de plano de usuário no qual o método de configuração de chave baseado em seção é aplicado.

[0524] Em um lado de AN, quando uma AN precisa realizar transmissão de enlace de descida nos dados de plano de usuário, a AN determina um ID de sessão com base em um QFI, e então determina um mecanismo de proteção de segurança (mecanismo de proteção de sessão), e obtém um algoritmo de proteção de segurança, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade. A AN realiza proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente. Alternativamente, uma AN determina diretamente um ID de sessão com base em um ID de DRB, ou determina um mecanismo de proteção de segurança (mecanismo de proteção de sessão) com base em um ID de sessão em uma pilha de protocolos.

[0525] Em um lado de UE, UE determina o ID de fluxo de QoS com base no ID de DRB, determina adicionalmente o ID de sessão, e finalmente determina o mecanismo de proteção de segurança (mecanismo de proteção de sessão) correspondendo ao ID de sessão, e obtém o algoritmo de proteção de

Petição 870190133522, de 13/12/2019, pág. 154/253

147/227 segurança, incluindo o algoritmo de criptografia e o algoritmo de proteção de integridade. 0 UE pode realizar proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente.

[0526] Um método de configuração de chave baseado em fluxo fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-CN a partir de uma perspectiva dependente de granularidade. Tal como mostrado na figura 14, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0527] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação para uma AUSF ao usar uma AN e uma AMF.

[0528] A AUSF realiza autenticação com o UE com base em um ID de UE, e determina que o UE é um usuário autorizado.

[0529] 4. O UE envia uma solicitação de sessão para uma SMF ao usar a AMF, e correspondentemente a SMF recebe a solicitação de sessão.

[0530] A solicitação de sessão é usada para solicitar criação de uma sessão entre o UE e a SMF. Por exemplo, se uma sessão for para ser criada ao usar um protocolo de criação de sessão, a solicitação de sessão é sinalização de solicitação de criação de sessão.

[0531] 5. A SMF envia uma solicitação de diretriz para uma PCF.

[0532] Para detalhes, consultar as descrições da etapa 5 na modalidade na figura 11. Detalhes não são descritos aqui novamente.

Petição 870190133522, de 13/12/2019, pág. 155/253

148/227

[0533] 6. A PCF determina um mecanismo de proteção de plano de usuário.

[0534] Para detalhes, consultar as descrições da etapa 6 na modalidade na figura 11. Detalhes não são descritos aqui novamente.

[0535] 7. A PCF envia o mecanismo de proteção de plano de usuário (SDFSP) para a SMF, e correspondentemente a SMF obtém o mecanismo de proteção de plano de usuário (SDFSP).

[0536] Para detalhes, consultar as descrições da etapa 7 na modalidade na figura 11. Detalhes não são descritos aqui novamente.

[0537] 8. A SMF determina um mecanismo de proteção de fluxo de QoS (QFISP) com base no mecanismo de proteção de plano de usuário (SDFSP).

[0538] Para detalhes, consultar as descrições da etapa 8 na modalidade na figura 11. Detalhes não são descritos aqui novamente.

[0539] 9. A SMF determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0540] Em uma modalidade especifica, se o QFISP for para realizar proteção de criptografia/integridade, e se algoritmo de proteção de segurança não for especificado diretamente no QFISP, a SMF determina o algoritmo de proteção de segurança com base em uma capacidade de segurança de UE, em uma lista de prioridades de algoritmos suportada por uma UPF e no QFISP. A lista de prioridades de algoritmos suportada pela UPF pode ser predefinida na SMF, ou pode ser predefinida na UPF, e a SMF obtém a lista de prioridades de algoritmos suportada pela UPF da UPF. Por exemplo, quando o mecanismo de proteção de plano de usuário

Petição 870190133522, de 13/12/2019, pág. 156/253

149/227 é criptografia exigida + proteção de integridade exigida, a SMF determina, com base na capacidade de segurança de UE, na lista de prioridades de algoritmos suportada pela UPF e em um algoritmo suportado pelo UE, que um algoritmo de criptografia é AES e um algoritmo de proteção de integridade é AES. Se criptografia não for exigida, um algoritmo de criptografia é nulo. Se proteção de integridade não for exigida, um algoritmo de proteção de integridade é nulo.

[0541] Em uma outra modalidade especifica, se o QFISP for para realizar proteção de criptografia/integridade, e um algoritmo de proteção de segurança for especificado diretamente no QFISP, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade que são especificados, a SMF pode obter diretamente o algoritmo de proteção de segurança do QFISP. Por exemplo, na etapa 6, após determinar o mecanismo de proteção de plano de usuário, a PCF pode obter uma lista de prioridades de algoritmos suportada por uma UPF. A lista de prioridades de algoritmos suportada pela UPF pode ser predefinida na AMF, ou pode ser predefinida na UPF, e a AMF obtém a lista de prioridades de algoritmos suportada pela UPF da UPF. A PCF determina um algoritmo de proteção de interface de ar com base em uma capacidade de segurança de UE, na lista de prioridades de algoritmos suportada pela UPF e no QFISP. Por exemplo, em QFISP de criptografia exigida + proteção de integridade exigida, a PCF determina adicionalmente que um algoritmo de criptografia é AES e um algoritmo de proteção de integridade é AES, e adiciona o algoritmo de proteção de segurança ao QFISP. Neste caso, por causa de o

Petição 870190133522, de 13/12/2019, pág. 157/253

150/227 algoritmo de criptografia e o algoritmo de proteção de integridade serem especificados diretamente no mecanismo de proteção de plano de usuário (QFISP), a SMF determina diretamente o algoritmo de criptografia e o algoritmo de proteção de integridade.

[0542] Nesta modalidade da presente invenção, a SMF pode gerar a chave de proteção de plano de usuário com base no algoritmo de proteção de segurança. Especificamente, a SMF calcula, com base no algoritmo de criptografia determinado, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou a SMF calcula, com base no algoritmo de proteção de integridade determinado, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma primeira chave de proteção de plano de usuário de interface de ar.

[0543] Em implementação especifica, primeira chave de proteção de plano de usuário de interface de ar = KDF(K_SMF, ID de algoritmo de UP); ou primeira chave de proteção de plano de usuário de interface de ar = KDF(K_SMF, ID de algoritmo de UP, ID de fluxo); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_SMF, ID de algoritmo de UP, ID de DRB); ou primeira chave de proteção de plano de usuário de

Petição 870190133522, de 13/12/2019, pág. 158/253

151/227 interface de ar = KDF(K_SMF, ID de algoritmo de UP, ID de sessão).

[0544] K_SMF é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e a AMF envia K_SMF para a SMF. Alternativamente, K_SMF é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AUSF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e a AUSF envia K_SMF para a SMF. ID de algoritmo de UP pode ser um ID do algoritmo de criptografia, ou pode ser um ID do algoritmo de proteção de integridade. O ID do algoritmo de criptografia é usado para indicar o algoritmo de criptografia correspondente, e o ID do algoritmo de proteção de integridade é usado para indicar o algoritmo de proteção de integridade correspondente.

[0545] 10. A SMF envia o algoritmo de proteção de segurança ou a chave de proteção de plano de usuário para a UPF. Correspondentemente, a UPF recebe o algoritmo de proteção de segurança ou a chave de proteção de plano de usuário.

[0546] Em uma modalidade possível, se a UPF receber a chave de proteção de plano de usuário, a UPF usa a chave de proteção de plano de usuário como uma chave de proteção de plano de usuário da UPF.

[0547] Em uma modalidade possível, se a UPF receber somente o algoritmo de proteção de segurança e não receber a chave de proteção de plano de usuário, a UPF pode calcular a chave de proteção de plano de usuário com base

Petição 870190133522, de 13/12/2019, pág. 159/253

152/227 no algoritmo de proteção de segurança e em K_SMF (consultar as descrições relacionadas indicadas anteriormente). A chave de proteção de plano de usuário é uma chave de proteção de plano de usuário da UPF. K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. Especificamente, a AMF envia K_SMF para a UPF. Alternativamente, K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AUSF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação, e a AUSF envia K_SMF para a UPF.

[0548] 11. A SMF envia um ID de sessão, um ID de fluxo de QoS, o algoritmo de proteção de segurança e o mecanismo de proteção de fluxo de QoS (QFISP) para a AN ao usar a AMF.

[0549] 0 QFISP pode ser carregado em uma regra de QoS e enviado para o UE.

[0550] Além disso, o mecanismo de proteção de fluxo de QoS é opcional.

[0551] 12. A AN envia o ID de sessão, o ID de fluxo de QoS, o algoritmo de proteção de segurança e o mecanismo de proteção de fluxo de QoS (QFISP) para o UE.

[0552] 13. O UE determina uma chave de proteção de plano de usuário.

[0553] Para detalhes, consultar as descrições da etapa 12 na modalidade na figura 11. Detalhes não são descritos aqui novamente.

[0554] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado

Petição 870190133522, de 13/12/2019, pág. 160/253

153/227 anteriormente desta modalidade.

[0555] Possibilidade 1: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pela AMF; em outras palavras, a AMF envia a solicitação de sessão para a SMF. Neste caso, o identificador de equipamento de usuário (ID de UE) , a capacidade de segurança de equipamento de usuário, um indicador, um DNN, um ID de serviço, um ID de serviço de UE ou coisa parecida na solicitação de sessão pode ser obtido pela AMF da solicitação de ligação recebida, e a solicitação de ligação carrega a informação indicada anteriormente.

[0556] Possibilidade 2: Em uma modalidade possível, conteúdo na etapa 7 e na etapa 8 pode ser substituído pelo seguinte: A PCF determina diretamente um mecanismo de proteção de fluxo de QoS, e envia o mecanismo de proteção de fluxo de QoS para a SMF.

[0557] Possibilidade 3: O ID de fluxo e o ID de sessão podem ser gerados antes de a SMF enviar a solicitação de diretriz .

[0558] Possibilidade 4: Se o QFISP incluir um algoritmo de proteção de segurança específico, a SMF também pode enviar o QFISP para a UPF, e a UPF obtém o algoritmo de proteção de segurança do QFISP.

[0559] Possibilidade 5: Se o QFISP não incluir algoritmo de proteção de segurança, proteção de segurança pode ser implementada nas etapas 9 a 13 no modo seguinte.

[0560] (Substituir a etapa 9) A SMF calcula primeira K_UP, onde K_UP = KDF(K_SMF, ID de sessão), ou K_UP = KDF(K_SMF, ID de fluxo de QoS).

[0561] (Substituir a etapa 10) A SMF envia um ID de

Petição 870190133522, de 13/12/2019, pág. 161/253

154/227 sessão, um QFI e a primeira K_UP para uma UPF.

[0562] (Substituir a etapa 11) A SMF envia o ID de sessão, o QFI e o QFISP para a AN ao usar a AMF.

[0563] (Substituir a etapa 12) A AN envia o ID de sessão, o QFI e o QFISP para o UE.

[0564] (Substituir a etapa 13) O UE gera segunda K_UP com base em K_SMF. K_SMF é uma chave derivada, após autenticação ser bem sucedida, pelo UE com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação.

[0565] (Adicionar a etapa 14) A UPF e o UE então negociam com relação a um algoritmo de proteção de segurança, e então geram uma chave de proteção de plano de usuário da UPF e uma chave de proteção de plano de usuário do UE com base na primeira K_UP e na segunda K_UP respectivamente.

[0566] Deve ser notado adicionalmente que para uma parte que não é descrita detalhadamente na modalidade na figura 14 referência pode ser feita para descrições relacionadas na modalidade na figura 11. A modalidade na figura 14 é meramente um exemplo, e não deve ser considerada como uma limitação na presente invenção.

[0567] Pode ser aprendido que uma diferença principal entre a modalidade na figura 14 e a modalidade na figura 11 é que o UE e uma CN realizam negociação de diretriz com base em uma granularidade de um canal de transporte de fluxo, e a AN não precisa realizar configuração de segurança neste processo.

[0568] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de

Petição 870190133522, de 13/12/2019, pág. 162/253

155/227 comunicação 5G futura, no procedimento de criar sessão, o UE e a CN podem completar negociação de diretriz com base em uma granularidade de um canal de transporte de fluxo, a PCF pode determinar o mecanismo de proteção de plano de usuário, e então o UE e a CN podem determinar separadamente as chaves de proteção de plano de usuário, de maneira que proteção de segurança para dados de plano de usuário é implementada. Por meio de implementação desta modalidade da presente invenção, proteção de segurança de rede entre o UE e a rede principal pode ser implementada, de maneira que uma desvantagem de um modo de proteção baseado em segmento de salto por salto é evitada, e segurança de transmissão de dados de plano de usuário é aperfeiçoada.

[0569] Para facilitar entendimento das soluções nas modalidades da presente invenção, o exposto a seguir descreve, com base em UE-CN ao usar um exemplo, alguns procedimentos de operação nos quais o método de configuração de chave baseado em fluxo na figura 14 é aplicado e que se referem a um processo de transmissão de enlace de subida e um processo de transmissão de enlace de descida de dados de plano de usuário. Descrições especificas são tais como a seguir.

[0570] (1) Processo de transmissão de enlace de subida de dados de plano de usuário no qual o método de configuração de chave baseado em fluxo é aplicado.

[0571] Em um lado de UE, UE determina um ID de sessão com base nos dados de usuário, determina adicionalmente um QFI, e então determina um mecanismo de proteção de segurança (QFISP) correspondente, e obtém um algoritmo de proteção de segurança, incluindo um algoritmo de

Petição 870190133522, de 13/12/2019, pág. 163/253

156/227 criptografia e um algoritmo de proteção de integridade. Portanto, o UE realiza proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave de proteção correspondente.

[0572] Em um lado de UPF, uma UPF determina, com base no ID de fluxo de QoS, o mecanismo de proteção de segurança (QFISP) correspondendo ao QFI, e então obtém o algoritmo de proteção de segurança, incluindo o algoritmo de criptografia e o algoritmo de proteção de integridade. Após obter os dados de plano de usuário transferidos pelo UE, a UPF pode realizar proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente.

[0573] (2) Processo de transmissão de enlace de descida de dados de plano de usuário no qual o método de configuração de chave baseado em fluxo é aplicado.

[0574] Em um lado de UPF, quando transmissão de enlace de descida precisa ser realizada nos dados de plano de usuário, de acordo com o procedimento de método mostrado na figura 14, uma UPF determina um mecanismo de proteção de segurança (QFISP) com base em um QFI, e obtém um algoritmo de proteção de segurança, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade. A UPF realiza proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente.

[0575] Em um lado de UE, UE determina o ID de fluxo de

Petição 870190133522, de 13/12/2019, pág. 164/253

157/227

QoS com base em um ID de DRB, e finalmente determina o mecanismo de proteção de segurança correspondendo ao QFI, e obtém o algoritmo de proteção de segurança, incluindo o algoritmo de criptografia e o algoritmo de proteção de integridade. 0 UE pode realizar proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente.

[0576] Um método de configuração de chave baseado em seção fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-CN a partir de uma perspectiva dependente de granularidade. Tal como mostrado na figura 15, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0577] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação para uma AUSF ao usar uma AN e uma AME.

[0578] A AUSF realiza autenticação com o UE com base em um ID de UE, e determina que o UE é um usuário autorizado.

[0579] Nesta modalidade da presente invenção, a solicitação de ligação inclui pelo menos o identificador de equipamento de usuário (ID de UE). Além disso, opcionalmente, a solicitação de ligação pode incluir adicionalmente um ID de serviço, um ID de serviço de UE ou um DNN. Opcionalmente, a solicitação de ligação pode incluir adicionalmente informação de indicação de exigência de segurança (indicador).

[0580] 4. O UE envia uma solicitação de sessão para uma SMF ao usar a AME, e correspondentemente a SMF recebe a

Petição 870190133522, de 13/12/2019, pág. 165/253

158/227 solicitação de sessão.

[0581] 5. A SMF envia uma solicitação de diretriz para uma PCF.

[0582] 6. A PCF determina um mecanismo de proteção de plano de usuário.

[0583] 7. A PCF envia o mecanismo de proteção de plano de usuário (SDFSP) para a SMF, e correspondentemente a SMF obtém o mecanismo de proteção de plano de usuário (SDFSP).

[0584] 8. A SMF determina um mecanismo de proteção de sessão.

[0585] 9. A SMF determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0586] Em uma modalidade específica, se o mecanismo de proteção de sessão for para realizar proteção de criptografia/integridade, e se algoritmo de proteção de segurança não for especificado diretamente no mecanismo de proteção de sessão, a SMF determina o algoritmo de proteção de segurança com base em uma capacidade de segurança de UE, em uma lista de prioridades de algoritmos suportada por uma UPF e no mecanismo de proteção de sessão. A lista de prioridades de algoritmos suportada pela UPF pode ser predefinida na SMF, ou pode ser predefinida na UPF, e a SMF obtém a lista de prioridades de algoritmos suportada pela UPF da UPF. Por exemplo, quando o mecanismo de proteção de plano de usuário é criptografia exigida + proteção de integridade exigida, a SMF determina, com base na capacidade de segurança de UE, na lista de prioridades de algoritmos suportada pela UPF e em um algoritmo suportado pelo UE, gue um algoritmo de criptografia é AES e um algoritmo de proteção de integridade é AES. Se criptografia

Petição 870190133522, de 13/12/2019, pág. 166/253

159/227 não for exigida, um algoritmo de criptografia é nulo. Se proteção de integridade não for exigida, um algoritmo de proteção de integridade é nulo.

[0587] Em uma outra modalidade especifica, se o mecanismo de proteção de sessão for para realizar proteção de criptografia/integridade, e um algoritmo de proteção de segurança for especificado diretamente no mecanismo de proteção de sessão, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade que são especificados, a SMF pode obter diretamente o algoritmo de proteção de segurança do mecanismo de proteção de sessão.

[0588] Nesta modalidade da presente invenção, a SMF pode gerar a chave de proteção de plano de usuário com base no algoritmo de proteção de segurança. Especificamente, a SMF calcula, com base no algoritmo de criptografia determinado, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou a SMF calcula, com base no algoritmo de proteção de integridade determinado, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma primeira chave de proteção de plano de usuário de interface de ar.

[0589] Em implementação especifica, primeira chave de proteção de plano de usuário de interface de ar = KDF(K_SMF, ID de algoritmo de UP); ou primeira chave de proteção de plano de usuário de

Petição 870190133522, de 13/12/2019, pág. 167/253

160/227 interface de ar = KDF(K_SMF, ID de algoritmo de UP, ID de fluxo); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_SMF, ID de algoritmo de UP, ID de DRB); ou primeira chave de proteção de plano de usuário de interface de ar = KDF(K_SMF, ID de algoritmo de UP, ID de sessão).

[0590] K_SMF é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e a AMF envia K_SMF para a SMF. Alternativamente, K_SMF é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AUSF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e a AUSF envia K_SMF para a SMF. ID de algoritmo de UP pode ser um ID do algoritmo de criptografia, ou pode ser um ID do algoritmo de proteção de integridade. O ID do algoritmo de criptografia é usado para indicar o algoritmo de criptografia correspondente, e o ID do algoritmo de proteção de integridade é usado para indicar o algoritmo de proteção de integridade correspondente.

[0591] 10. A SMF envia a chave de proteção de plano de usuário ou o algoritmo de proteção de segurança para a UPF, e correspondentemente a UPF recebe a chave de proteção de plano de usuário ou o algoritmo de proteção de segurança.

[0592] 11. A SMF envia um ID de sessão, um ID de fluxo de QoS, o algoritmo de proteção de segurança, o QFISP e o mecanismo de proteção de sessão para a AN ao usar a AMF.

Petição 870190133522, de 13/12/2019, pág. 168/253

161/227

[0593] 12. A AN envia o ID de sessão, o ID de fluxo de QoS, o algoritmo de proteção de segurança, o QFISP e o mecanismo de proteção de sessão para o UE.

[0594] 13. O UE determina uma chave de proteção de plano de usuário.

[0595] Deve ser notado que para uma parte que não é descrita detalhadamente nesta modalidade referência pode ser feita para descrições relacionadas na modalidade na figura 13.

[0596] Deve ser notado adicionalmente que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0597] Possibilidade 1: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pela AMF; em outras palavras, a AMF envia a solicitação de sessão para a SMF. Neste caso, o identificador de equipamento de usuário (ID de UE) , a capacidade de segurança de equipamento de usuário, o indicador, o DNN, o ID de serviço, o ID de serviço de UE ou coisa parecida na solicitação de sessão pode ser obtido pela AMF da solicitação de ligação recebida, e a solicitação de ligação carrega a informação indicada anteriormente.

[0598] Possibilidade 2: Em uma modalidade possível, conteúdo na etapa 7 e na etapa 8 pode ser substituído pelo seguinte: A PCF determina diretamente um mecanismo de proteção de sessão, e envia o mecanismo de proteção de sessão para a SMF.

[0599] Possibilidade 3: O ID de fluxo e o ID de sessão podem ser gerados antes de a SMF enviar a solicitação de diretriz .

Petição 870190133522, de 13/12/2019, pág. 169/253

162/227

[0600] Possibilidade 4: Se o mecanismo de proteção de sessão incluir um algoritmo de proteção de segurança especifico, a SMF também pode enviar o mecanismo de proteção de sessão para a UPF, e a UPF obtém o algoritmo de proteção de segurança do mecanismo de proteção de sessão.

[0601] Possibilidade 5: Se o QFISP não incluir algoritmo de proteção de segurança, proteção de segurança pode ser implementada nas etapas 9 a 13 no modo seguinte.

[0602] (Substituir a etapa 9) A SMF calcula primeira K_UP, onde K_UP = KDF(K_SMF, ID de sessão), ou K_UP = KDF(K_SMF, ID de fluxo de QoS).

[0603] (Substituir a etapa 10) A SMF envia um ID de sessão, um QFI e a primeira K_UP para uma UPF.

[0604] (Substituir a etapa 11) A SMF envia o ID de sessão, o QFI, o mecanismo de proteção de sessão e o QFISP para a AN ao usar a AMF.

[0605] (Substituir a etapa 12) A AN envia o ID de sessão, o QFI, o mecanismo de proteção de sessão e o QFISP para o UE.

[0606] (Substituir a etapa 13) O UE gera segunda K_UP com base em K_SMF. K_SMF é uma chave derivada, após autenticação ser bem sucedida, pelo UE com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação.

[0607] (Adicionar a etapa 14) A UPF e o UE então negociam com relação a um algoritmo de proteção de segurança, e então geram uma chave de proteção de plano de usuário da UPF e uma chave de proteção de plano de usuário do UE com base na primeira K_UP e na segunda K_UP respectivamente.

Petição 870190133522, de 13/12/2019, pág. 170/253

163/227

[0608] Pode ser aprendido que uma diferença principal entre a modalidade na figura 15 e a modalidade na figura 11 é que o UE e uma CN realizam negociação de diretriz com base em uma granularidade de um canal de transporte de sessão, e a AN não precisa para realizar configuração de segurança neste processo.

[0609] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, no procedimento de criar sessão, o UE e a CN podem completar negociação de diretriz com base em uma granularidade de um canal de transporte de sessão, a PCF pode determinar o mecanismo de proteção de plano de usuário, e então o UE e a CN podem determinar separadamente as chaves de proteção de plano de usuário, de maneira que proteção de segurança para dados de plano de usuário é implementada. Por meio de implementação desta modalidade da presente invenção, proteção de segurança de rede entre o UE e a rede principal pode ser implementada, de maneira que uma desvantagem de um modo de proteção baseado em segmento de salto por salto é evitada, e segurança de transmissão de dados de plano de usuário é aperfeiçoada.

[0610] Para facilitar entendimento das soluções nas modalidades da presente invenção, o exposto a seguir descreve, com base em UE-CN ao usar um exemplo, alguns procedimentos de operação nos quais o método de configuração de chave baseado em seção na figura 15 é aplicado e que se referem a um processo de transmissão de enlace de subida e um processo de transmissão de enlace de descida de dados de plano de usuário. Descrições especificas são tais como a seguir.

Petição 870190133522, de 13/12/2019, pág. 171/253

164/227

[0611] (1) Processo de transmissão de enlace de subida de dados de plano de usuário no qual o método de configuração de chave baseado em seção é aplicado.

[0612] Em um lado de UE, quando transmissão de enlace de subida precisa ser realizada nos dados de plano de usuário, UE determina um ID de sessão com base nos dados de usuário, e determina adicionalmente um mecanismo de proteção de segurança (mecanismo de proteção de sessão) correspondendo ao ID de sessão, e obtém um algoritmo de proteção de segurança, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade. Portanto, o UE realiza proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave de proteção correspondente.

[0613] Em um lado de UPF, uma UPF determina o ID de sessão com base em um QFI, e finalmente determina o mecanismo de proteção de segurança (mecanismo de proteção de sessão) correspondendo ao ID de sessão, e obtém o algoritmo de proteção de segurança, incluindo o algoritmo de criptografia e o algoritmo de proteção de integridade. Após obter os dados de plano de usuário transferidos pelo UE, a UPF pode realizar proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente.

[0614] (2) Processo de transmissão de enlace de descida de dados de plano de usuário no qual o método de configuração de chave baseado em seção é aplicado.

[0615] Em um lado de UPF, quando transmissão de enlace

Petição 870190133522, de 13/12/2019, pág. 172/253

165/227 de descida precisa ser realizada nos dados de plano de usuário, uma UPF determina um mecanismo de proteção de segurança (mecanismo de proteção de sessão) com base em um ID de sessão, e obtém um algoritmo de proteção de segurança, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade. A UPF realiza proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente.

[0616] Em um lado de UE, UE determina um ID de fluxo de QoS com base em um ID de DRB, determina adicionalmente o ID de sessão, e finalmente determina o mecanismo de proteção de segurança (mecanismo de proteção de sessão) correspondendo ao ID de sessão, e obtém o algoritmo de proteção de segurança, incluindo o algoritmo de criptografia e o algoritmo de proteção de integridade. 0 UE pode realizar proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente. Opcionalmente, o UE pode determinar diretamente o ID de sessão com base no ID de DRB, ou opcionalmente o UE determina o ID de sessão com base em um formato de dados.

[0617] 0 exposto a seguir fornece um método de configuração de chave com base em UE-AN. Tal como mostrado na figura 16, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0618] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação para uma AUSF ao usar uma AN e

Petição 870190133522, de 13/12/2019, pág. 173/253

166/227 uma AMF.

[0619] A AUSF realiza autenticação com o UE com base em um ID de UE, e determina que o UE é um usuário autorizado.

[0620] Nesta modalidade da presente invenção, a solicitação de ligação inclui pelo menos o identificador de equipamento de usuário (ID de UE).

[0621] 4. O UE envia uma solicitação de sessão para a AMF, onde a solicitação de sessão inclui um ID de sessão, um tipo de solicitação e um DNN. Existem duas possibilidades para o parâmetro de tipo de solicitação. O tipo de solicitação é usado para instruir para usar uma sessão PDU existente (por exemplo, representado como sessão PDU existente), ou instruir para começar uma sessão inicial (por exemplo, representado como solicitação inicial). Além disso, opcionalmente, a solicitação de sessão pode incluir adicionalmente pelo menos um de um ID de serviço, um ID de serviço de UE e um ID de aplicação. Opcionalmente, a solicitação de sessão pode incluir adicionalmente informação de indicação de exigência de segurança (indicador).

[0622] 5. A AMF envia um ID de UE, o ID de sessão, o tipo de solicitação e o DNN para uma SMF. O ID de UE pode ser um ID de UE obtido pela AMF na autenticação anterior, e a AMF determina o ID de UE de acordo com um protocolo de transmissão entre o UE e a AMF; em outras palavras, determina, com base em um ID de N2-AP de UE de AMF de sinalização entre o UE e a AMF, para descobrir o ID de UE. Alternativamente, a solicitação de sessão enviada pelo UE pode carregar o ID de UE, ou a solicitação de sessão enviada pelo UE pode carregar um ID temporário, e a AMF usa

Petição 870190133522, de 13/12/2019, pág. 174/253

167/227 o ID temporário como o ID de UE.

[0623] 6. Se o tipo de solicitação for usado para instruir para usar uma sessão PDU existente (por exemplo, sessão PDU existente), a SMF determina, com base no ID de sessão, um mecanismo de proteção de plano de usuário existente correspondendo ao ID de sessão, e usa o mecanismo de proteção de plano de usuário correspondendo ao ID de sessão como um mecanismo de proteção de plano de usuário de uma sessão corrente.

[0624] Se o tipo de solicitação for usado para instruir para criar uma sessão PDU (por exemplo, solicitação inicial), a SMF continua para realizar uma operação.

[0625] Se a SMF não armazenar informação de registro relacionada com o DNN, a SMF envia o ID de UE e o DNN para um UDM, e recebe um mecanismo de proteção de segurança de subscrição do UDM. O UDM pode não armazenar o mecanismo de proteção de segurança de subscrição correspondendo ao ID de UE e ao DNN. Neste caso, o UDM usa um mecanismo de proteção de segurança padrão armazenado no UDM como um mecanismo de proteção de segurança de subscrição e envia o mecanismo de proteção de segurança de subscrição para a SMF, ou o UDM envia um identificador de mecanismo de proteção de segurança vazio para a SMF. O mecanismo de proteção de segurança padrão armazenado no UDM pode usar somente proteção de criptografia, somente proteção de integridade ou tanto proteção de criptografia quanto proteção de integridade. Alternativamente, o mecanismo de proteção de plano de usuário padrão é utilizado para instruir a respeito de qual algoritmo de segurança deve ser usado para proteção; por exemplo, usar somente um algoritmo AES para

Petição 870190133522, de 13/12/2019, pág. 175/253

168/227 proteção de criptografia, usar somente um algoritmo de segurança Snow 3G para proteção de integridade, ou usar um algoritmo AES para criptografia e usar um algoritmo de segurança Snow 3G para proteção de integridade.

[0626] 7. A SMF determina se um mecanismo de controle de diretrizes dinâmico está implementado.

[0627] Se mecanismo de controle de diretrizes dinâmico não estiver implementado, a SMF usa o mecanismo de proteção de segurança de subscrição como um mecanismo de proteção de segurança da sessão corrente, e então realiza a etapa 10. A SMF pode não armazenar ou obter o mecanismo de proteção de segurança de subscrição. Neste caso, a SMF usa o mecanismo de proteção de plano de usuário padrão, e então realiza a etapa 10. A SMF pode não armazenar ou obter o mecanismo de proteção de segurança de subscrição. Neste caso, a SMF usa um mecanismo de proteção de plano de usuário indicado pelo indicador, e então realiza a etapa 10. O mecanismo de proteção de plano de usuário padrão pode ser usado somente para proteção de criptografia, somente para proteção de integridade ou para ambas de proteção de criptografia e proteção de integridade. Alternativamente, o mecanismo de proteção de plano de usuário padrão é utilizado para instruir a respeito de qual algoritmo de segurança deve ser usado para proteção; por exemplo, usar somente um algoritmo AES para proteção de criptografia, usar somente um algoritmo Snow 3G de segurança para proteção de integridade, ou usar um algoritmo AES para criptografia e usar um algoritmo Snow 3G de segurança para proteção de integridade.

[0628] Se um mecanismo de controle de diretrizes

Petição 870190133522, de 13/12/2019, pág. 176/253

169/227 dinâmico estiver implementado em uma rede, a SMF envia o ID de UE e o DNN para uma PCF. Além disso, a SMF também pode receber pelo menos um de o ID de serviço, o ID de serviço de UE e o ID de aplicação do UE ou da AMF. Neste caso, a SMF envia o ID de UE e o DNN para a PCF, e também pode enviar o pelo menos um de o ID de serviço, o ID de serviço de UE e o ID de aplicação para a PCF.

[0629] 8. A PCF determina um mecanismo de proteção de plano de usuário dinâmico. Um método para determinar o mecanismo de proteção de plano de usuário dinâmico pela PCF inclui o seguinte: A PCF determina, com base em pelo menos um de o DNN, o ID de serviço, o ID de serviço de UE e o ID de aplicação, se um mecanismo de proteção correspondente está armazenado. Se um mecanismo de proteção correspondente estiver armazenado, a PCF usa o mecanismo de proteção correspondente como o mecanismo de proteção de plano de usuário dinâmico. O mecanismo de proteção armazenado na PCF é enviado antecipadamente por um servidor correspondendo ao DNN, ao ID de serviço, ao ID de serviço de UE ou a uma aplicação para a PCF. De outro modo, a PCF envia uma solicitação para um servidor correspondendo ao DNN, ao ID de serviço, ao ID de serviço de UE ou a uma aplicação, onde a solicitação inclui o ID de UE; e recebe uma exigência de proteção de segurança do servidor. A PCF usa a exigência de proteção de segurança como o mecanismo de proteção de plano de usuário dinâmico. A exigência de proteção de segurança pode ser usada somente para proteção de criptografia, somente para proteção de integridade ou para ambas de proteção de criptografia e proteção de integridade, ou para especificar adicionalmente algoritmos de segurança que

Petição 870190133522, de 13/12/2019, pág. 177/253

170/227 devem ser usados como um algoritmo de proteção de criptografia e um algoritmo de proteção de integridade. Se a PCF não puder armazenar a exigência de proteção de segurança ou obter a exigência de proteção de segurança do servidor, a PCF usa um mecanismo de proteção de segurança padrão armazenado na PCF. O mecanismo de proteção de segurança padrão pode ser usado somente para proteção de criptografia, somente para proteção de integridade ou para ambas de proteção de criptografia e proteção de integridade. Alternativamente, o mecanismo de proteção de plano de usuário padrão é usado para instruir a respeito de qual algoritmo de segurança deve ser usado para proteção; por exemplo, usar somente um algoritmo AES para proteção de criptografia, usar somente um algoritmo Snow 3G de segurança para proteção de integridade, ou usar um algoritmo AES para criptografia e usar um algoritmo Snow 3G de segurança para proteção de integridade.

[0630] 9. A PCF envia o mecanismo de proteção de plano de usuário dinâmico para a SMF, e correspondentemente a SMF obtém o mecanismo de proteção de plano de usuário dinâmico e usa o mecanismo de proteção de plano de usuário dinâmico como um mecanismo de proteção de plano de usuário final.

[0631] 10. A SMF envia o mecanismo de proteção de plano de usuário para a AMF, e envia também o ID de sessão ou um ID de fluxo.

[0632] 11. A AMF envia o mecanismo de proteção de plano de usuário para a AN, e envia também o ID de sessão ou o ID de fluxo; ou a SMF pode enviar diretamente o mecanismo de proteção de plano de usuário para a AN, e envia também o ID de sessão ou o ID de fluxo.

Petição 870190133522, de 13/12/2019, pág. 178/253

171/227

[0633] 12. A AN determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0634] Em uma modalidade especifica, se o mecanismo de proteção de plano de usuário for para realizar proteção de criptografia/integridade, e se algoritmo de proteção de segurança não for especificado diretamente no mecanismo de proteção de plano de usuário, a AN determina o algoritmo de proteção de segurança com base em uma capacidade de segurança de UE, em uma lista de prioridades de algoritmos suportada pela AN e no mecanismo de proteção de plano de usuário. Por exemplo, se criptografia for exigida, mas proteção de integridade não é exigida no mecanismo de proteção de plano de usuário, criptografia AES/criptografia ZUC é suportada com base na capacidade de segurança de UE, e se a AN suportar um caso no qual criptografia AES tem uma primeira prioridade, a AN seleciona AES como um algoritmo de criptografia e um algoritmo nulo como um algoritmo de proteção de integridade.

[0635] Em uma outra modalidade especifica, se o mecanismo de proteção de plano de usuário for para realizar proteção de criptografia/integridade, e um algoritmo de proteção de segurança for especificado diretamente no mecanismo de proteção de plano de usuário, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade que são especificados, a AN pode obter diretamente o algoritmo de proteção de segurança do mecanismo de proteção de plano de usuário.

[0636] Nesta modalidade da presente invenção, a AN pode gerar a chave de proteção de plano de usuário com base no algoritmo de proteção de segurança. Especificamente, a AN

Petição 870190133522, de 13/12/2019, pág. 179/253

172/227 calcula, com base no algoritmo de criptografia determinado, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou a AN calcula, com base no algoritmo de proteção de integridade determinado, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma primeira chave de proteção de plano de usuário de interface de ar.

[0637] Em implementação especifica, primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP); ou primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de fluxo); ou

KDF(K_AN, ID de algoritmo de UP, ID de sessão); ou

KDF(K_AN, ID de algoritmo de UP, ID de DRB); ou

KDF(K_AN, ID de algoritmo de UP, ID de fatia).

[0638] K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF ou por uma SEAF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e a AMF ou a SEAF envia K_AN para a AN. ID de algoritmo de UP pode ser um ID do algoritmo de criptografia, ou pode ser um ID do algoritmo de proteção de integridade. ID de DRB pode ser um identificador de uma DRB alocada pela AN para este serviço. KDF é uma função de derivação de chave (Função de Derivação

Petição 870190133522, de 13/12/2019, pág. 180/253

173/227 de Chave, KDF) , e inclui, mas não está limitada a isto, as seguintes funções de derivação de senhas: HMAC (por exemplo, HMAC-SHA256 ou HMAC-SHA1), NMAC, CMAC, OMAC, CBCMAC, PMAC, UMAC, VMAC, algoritmos HASH e outros mais.

[0639] 13. A AN envia o ID de sessão, o ID de fluxo, o algoritmo de proteção de segurança e o mecanismo de proteção de plano de usuário para o UE.

[0640] O mecanismo de proteção de plano de usuário pode ser carregado em uma regra de QoS e enviado para o UE.

[0641] Além disso, o mecanismo de proteção de plano de usuário é opcional.

[0642] 14. O UE determina uma chave de proteção.

[0643] 0 UE obtém o ID de sessão, o algoritmo de segurança de plano de usuário, o mecanismo de proteção de plano de usuário e K_AN, e correspondentemente gera a chave de proteção de plano de usuário.

[0644] Especificamente, o UE calcula, com base no algoritmo de criptografia recebido, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou o UE calcula, com base no algoritmo de proteção de integridade recebido, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma segunda chave de proteção de plano de usuário de interface de ar.

[0645] Em implementação especifica, segunda chave de

Petição 870190133522, de 13/12/2019, pág. 181/253

174/227 proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de fluxo); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de sessão); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de DRB); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de fatia) .

[0646] K_AN é uma chave derivada, após autenticação ser bem sucedida, pelo UE com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação. ID de algoritmo de UP pode ser o ID do algoritmo de criptografia, ou pode ser o ID do algoritmo de proteção de integridade. ID de DRB pode ser o identificador da DRB alocada pela AN para este serviço. KDF é uma função de derivação de chave (Função de Derivação de Chave, KDF), e inclui, mas não está limitada a isto, as seguintes funções de derivação de senhas: HMAC (por exemplo, HMACSHA256 ou HMAC-SHA1), NMAC, CMAC, OMAC, CBC-MAC, PMAC, UMAC, VMAC, algoritmos HASH e outros mais.

[0647] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0648] Possibilidade 1: Na etapa 4, um procedimento de

Petição 870190133522, de 13/12/2019, pág. 182/253

175/227 criar sessão alternativamente pode ser iniciado pela AMF; em outras palavras, a AMF envia a solicitação de sessão para a SMF. Neste caso, o identificador de equipamento de usuário (ID de UE) , a capacidade de segurança de equipamento de usuário, o indicador, o DNN, o ID de serviço, o ID de serviço de UE ou coisa parecida na solicitação de sessão pode ser obtido pela AMF da solicitação de ligação recebida, e a solicitação de ligação carrega a informação indicada anteriormente.

[0649] Possibilidade 2: O ID de fluxo e o ID de sessão podem ser gerados antes de a SMF enviar a solicitação de diretriz .

[0650] Possibilidade 3: Na etapa 6, opcionalmente, a SMF não usa o tipo de solicitação para determinar se é para usar um mecanismo de segurança de plano de usuário antigo. A SMF precisa negociar novamente com relação a um mecanismo de segurança de plano de usuário para criação de cada sessão.

[0651] Possibilidade 4: As etapas 1 a 9 podem ser usadas separadamente como uma modalidade na qual uma proteção de segurança de plano de usuário é determinada. O mecanismo de segurança de plano de usuário pode ser usado para proteção de segurança entre o UE e a AN ou para proteção de segurança entre o usuário UE e uma CN no futuro.

[0652] Possibilidade 5: As etapas 10 a 13 podem ser usadas separadamente como uma modalidade na qual o UE e a AN criam um canal de segurança.

[0653] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de

Petição 870190133522, de 13/12/2019, pág. 183/253

176/227 comunicação 5G futura, em um procedimento relacionado com criação de sessão, o UE e a AN podem completar negociação de diretriz com base em uma granularidade de um canal de transporte de sessão PDU, a PCF pode determinar o mecanismo de proteção de plano de usuário com base na exigência de segurança exigida no lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e em uma exigência de segurança predefinida em um lado de rede, e o UE e a AN podem determinar separadamente o algoritmo de proteção de segurança e as chaves, de maneira que proteção de segurança para dados de plano de usuário é implementada.

[0654] 0 exposto a seguir fornece um método de configuração de chave baseado em UE-CN. Uma diferença entre uma modalidade da presente invenção mostrada na figura 17 e a modalidade descrita na figura 16 é que um mecanismo de segurança de plano de usuário é usado finalmente para proteção de segurança entre UE e uma UPF. O método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0655] Para as etapas 1 a 9, consultar as etapas na figura 16.

[0656] 10. A SMF obtém o mecanismo de segurança de plano de usuário, e determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0657] Em uma modalidade especifica, se o mecanismo de proteção de plano de usuário incluir somente uma descrição a respeito de se é para realizar proteção de criptografia/integridade, a SMF determina se o mecanismo de proteção de plano de usuário entre o UE e uma CN é com

Petição 870190133522, de 13/12/2019, pág. 184/253

177/227 criptografia exigida e se proteção de integridade é exigida. Então a SMF determina o algoritmo de proteção de segurança com base em uma capacidade de segurança de UE recebida e em uma lista de prioridades de algoritmos suportada pela UPF. A lista de prioridades de algoritmos suportada pela UPF pode ser predefinida na SMF, ou pode ser predefinida na UPF, e a SMF obtém a lista de prioridades de algoritmos suportada pela UPF da UPF. Por exemplo, quando o mecanismo de proteção de plano de usuário é criptografia exigida + proteção de integridade exigida, a SMF determina, com base na capacidade de segurança de UE, na lista de prioridades de algoritmos suportada pela UPF e em um algoritmo suportado pelo UE, que um algoritmo de criptografia é AES e um algoritmo de proteção de integridade é AES.

[0658] Em uma outra modalidade especifica, um algoritmo de proteção de segurança é especificado diretamente no mecanismo de proteção de plano de usuário, e a SMF pode obter diretamente o algoritmo de proteção de segurança do mecanismo de proteção de plano de usuário. Após determinar o mecanismo de proteção de plano de usuário, a SMF pode determinar um algoritmo de proteção de interface de ar com base em uma lista de prioridades de algoritmos suportada pela UPF, em um algoritmo suportado pelo UE e em uma capacidade de segurança de equipamento de usuário. A lista de prioridades de algoritmos suportada pela UPF pode ser predefinida na SMF, ou pode ser predefinida na UPF, e a SMF obtém a lista de prioridades de algoritmos suportada pela UPF da UPF. Por exemplo, em um mecanismo de proteção de plano de usuário de criptografia exigida + proteção de

Petição 870190133522, de 13/12/2019, pág. 185/253

178/227 integridade exigida, a SMF determina adicionalmente que um algoritmo de criptografia é AES e um algoritmo de proteção de integridade é AES, e adiciona o algoritmo de proteção de segurança ao mecanismo de proteção de plano de usuário. Neste caso, por causa de o algoritmo de criptografia e o algoritmo de proteção de integridade serem especificados diretamente no mecanismo de proteção de plano de usuário, após obter o mecanismo de proteção de plano de usuário, a SMF pode obter diretamente o algoritmo de criptografia e o algoritmo de proteção de integridade do mecanismo de proteção de plano de usuário.

[0659] Em uma modalidade possível, após determinar o algoritmo de proteção de segurança, a SMF pode determinar adicionalmente a chave de proteção de plano de usuário. Detalhes são tais como a seguir:

chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP); ou chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP, ID de fluxo); ou chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP, ID de sessão); ou chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP, ID de DRB); ou chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP, ID de fatia).

[0660] K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AMF/uma SEAF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. Especifícamente, a AMF/a SEAF envia K_SMF para a SMF. Alternativamente, K_SMF é uma chave

Petição 870190133522, de 13/12/2019, pág. 186/253

179/227 derivada, após autenticação ser bem sucedida, pela AUSF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. A AUSF envia K_SMF para a SMF. ID de algoritmo de UP pode ser um ID do algoritmo de criptografia, ou pode ser um ID do algoritmo de proteção de integridade. Alternativamente, uma chave da chave de proteção de plano de usuário pode ser calculada com base em uma chave derivada da K_SMF. Por exemplo, K_UP = KDF(K_SMF, ID de sessão), e chave de proteção de plano de usuário = KDF(K_UP, ID de algoritmo de UP).

[0661] 11. A SMF envia o algoritmo de proteção de segurança ou a chave de proteção de plano de usuário para a UPF, e correspondentemente a UPF recebe o algoritmo de proteção de segurança ou a chave de proteção de plano de usuário.

[0662] Em uma modalidade possível, se a UPF receber somente o algoritmo de proteção de segurança e não receber a chave de proteção de plano de usuário, a UPF pode calcular a chave de proteção de plano de usuário com base no algoritmo de proteção de segurança e em K_SMF (consultar as descrições relacionadas indicadas anteriormente). A chave de proteção de plano de usuário é uma chave de proteção de plano de usuário da UPF. K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AMF/pela SEAF com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. Especificamente, a AMF/a SEAF envia K_SMF para a UPF ao usar a SMF. Alternativamente, K_SMF é uma chave derivada, após autenticação ser bem sucedida, pela AUSF com base em uma chave obtida após a autenticação ou uma chave derivada

Petição 870190133522, de 13/12/2019, pág. 187/253

180/227 de novo após a autenticação, e a AUSF envia K_SMF para a UPF. O algoritmo de proteção de segurança pode ser um algoritmo de proteção de segurança determinado pela UPF com base na lista de prioridades de algoritmos da UPF e em uma lista de algoritmos do UE. Aqui, a lista de algoritmos do UE pode ser enviada pela SMF para a UPF.

[0663] Em uma modalidade possível, se a UPF receber a chave de proteção de plano de usuário, a UPF usa a chave de proteção de plano de usuário como uma chave de proteção de plano de usuário da UPF.

[0664] 12. A SMF envia o algoritmo de proteção de segurança e o mecanismo de proteção de plano de usuário para a AMF, onde o mecanismo de proteção de plano de usuário é opcional.

[0665] Deve ser notado que se o algoritmo de proteção de segurança for determinado pela SMF com base na capacidade de segurança de UE recebida, na lista de prioridades de algoritmos suportada pela UPF e em outras mais a SMF envia o algoritmo de proteção de segurança para a AMF.

[0666] Opcionalmente, que a SMF envia o algoritmo de proteção de segurança para a AMF é especificamente que a SMF envia uma resposta de sessão para a AMF, onde a resposta de sessão carrega o algoritmo de proteção de segurança.

[0667] Deve ser notado que se o algoritmo de proteção de segurança puder ser determinado pela AMF com base na lista de prioridades de algoritmos suportada pela UPF, no algoritmo suportado pelo UE, na capacidade de segurança de equipamento de usuário e em outros mais a SMF não precisa

Petição 870190133522, de 13/12/2019, pág. 188/253

181/227 enviar o algoritmo de proteção de segurança para a AMF.

[0668] 13. A AMF envia o algoritmo de proteção de segurança e o mecanismo de proteção de plano de usuário para a AN, onde o mecanismo de proteção de plano de usuário é opcional.

[0669] 14. A AN envia o algoritmo de proteção de segurança e o mecanismo de proteção de plano de usuário para o UE, onde o mecanismo de proteção de plano de usuário é opcional.

[0670] 15. O UE gera uma chave de proteção de plano de usuário com base no algoritmo de segurança de planode usuário, no mecanismo de proteção de plano de usuário eem

[0671] Em uma modalidade possível, após receber o algoritmo de proteção de segurança, o UE pode determinar adicionalmente a chave de proteção de plano de usuário. A chave de proteção de plano de usuário é uma chave de proteção de plano de usuário do UE. Detalhes são tais como a seguir:

chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP); ou chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP, ID de fluxo); ou chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP, ID de sessão); ou chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP, ID de DRB) ; ou chave de proteção de plano de usuário = KDF(K_SMF, ID

Petição 870190133522, de 13/12/2019, pág. 189/253

182/227 de algoritmo de UP, ID de fatia) .

[0672] Alternativamente, um parâmetro de mecanismo de proteção de plano de usuário é adicionado à entrada de função de derivação indicada anteriormente. K_SMF é uma chave derivada, após autenticação ser bem sucedida, pelo UE com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação. ID de algoritmo de UP pode ser o ID do algoritmo de criptografia, ou pode ser o ID do algoritmo de proteção de integridade. Alternativamente, uma chave da chave de proteção de plano de usuário pode ser calculada com base em uma chave derivada da K_SMF. Por exemplo, K_UP = KDF(K_SMF, ID de sessão), e chave de proteção de plano de usuário = KDF(K_UP, ID de algoritmo de UP).

[0673] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0674] Possibilidade 1: Se a AMF não precisar da informação de indicador no processo de determinar o mecanismo de proteção de plano de usuário, o UE pode não enviar o indicador para um lado de rede (ou a solicitação de ligação pode não incluir o indicador).

[0675] Possibilidade 2: Uma sequência das etapas de procedimento indicadas anteriormente não está limitada nesta modalidade. Por exemplo, a etapa 8 e a etapa 9 podem ser realizadas simultaneamente, ou a etapa 8 pode ser realizada antes ou depois da etapa 9.

[0676] Possibilidade 3: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pelo UE; em outras palavras, o UE envia a solicitação de sessão para a

Petição 870190133522, de 13/12/2019, pág. 190/253

183/227

SMF ao usar a AMF.

[0677] Possibilidade 4: Se o mecanismo de proteção de plano de usuário incluir um algoritmo de proteção de segurança especifico, a AMF pode enviar o mecanismo de proteção de plano de usuário para a UPF ao usar a SMF, e a UPF obtém o algoritmo de proteção de segurança do mecanismo de proteção de plano de usuário.

[0678] Possibilidade 5: Se o mecanismo de proteção de plano de usuário não incluir algoritmo de proteção de segurança, proteção de segurança pode ser implementada nas etapas 7 a 12 no modo seguinte.

[0679] (Substituir a etapa 7 e a etapa 8) A SMF calcula primeira K_UP, onde K_UP = KDF(K_SMF, ID de sessão), ou K_UP = KDF(K_SMF, ID de fluxo de QoS).

[0680] (Substituir a etapa 9) A SMF envia um ID de sessão, um QFI e o mecanismo de proteção de plano de usuário para a AMF.

[0681] (Substituir a etapa 10) A AMF envia o ID de sessão, o QFI e o mecanismo de proteção de plano de usuário para a AN.

[0682] (Substituir a etapa 11) A AN envia o ID de sessão, o QFI e o mecanismo de proteção de plano de usuário para o UE.

[0683] (Substituir a etapa 12) O UE gera segunda K_UP com base em K_SMF. K_SMF é uma chave derivada, após autenticação ser bem sucedida, pelo UE com base em uma chave obtida após a autenticação ou uma chave derivada de novo após a autenticação.

[0684] (Adicionar a etapa 13) A UPF e o UE negociam com relação a um algoritmo de proteção de segurança baseado no

Petição 870190133522, de 13/12/2019, pág. 191/253

184/227

ID de sessão, no QFI e no mecanismo de proteção de piano de usuário, e então geram uma chave de proteção de plano de usuário da UPF e uma chave de proteção de plano de usuário do UE com base na primeira K_UP e na segunda K_UP respectivamente.

[0685] Possibilidade 6: Na etapa 6, opcionalmente, a SMF não usa o tipo de solicitação para determinar se é para usar um mecanismo de segurança de plano de usuário antigo. A SMF precisa negociar novamente com relação a um mecanismo de segurança de plano de usuário para criação de cada sessão.

[0686] Deve ser notado adicionalmente que para uma parte que não é descrita detalhadamente na modalidade na figura 17 referência pode ser feita para descrições relacionadas na modalidade na figura 3. A modalidade na figura 17 é meramente um exemplo, e não deve ser considerada como uma limitação na presente invenção.

[0687] Pode ser aprendido que uma diferença principal entre a modalidade na figura 17 e a modalidade na figura 3 é que, em um cenário de aplicação UE-CN, a SMF determina o mecanismo de proteção de plano de usuário com base em uma exigência de segurança exigida em um lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e em uma exigência de segurança predefinida em um lado de rede.

[0688] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, em um procedimento de criar sessão, o UE e a CN podem completar negociação de diretriz, a AMF pode determinar o mecanismo de proteção de plano de

Petição 870190133522, de 13/12/2019, pág. 192/253

185/227 usuário, e então o UE e a CN podem determinar separadamente as chaves de proteção de plano de usuário, de maneira que proteção de segurança para dados de plano de usuário é implementada. Por meio de implementação desta modalidade da presente invenção, proteção de segurança de rede entre o UE e a rede principal pode ser implementada, de maneira que uma desvantagem de um modo de proteção baseado em segmento de salto por salto é evitada, e segurança de transmissão de dados de plano de usuário é aperfeiçoada.

[0689] Um método de configuração de chave baseado em seção fornecido em uma modalidade da presente invenção é descrito a seguir com base em UE-AN a partir de uma perspectiva dependente de granularidade. Tal como mostrado na figura 18, o método de configuração de chave fornecido nesta modalidade da presente invenção inclui as etapas seguintes.

[0690] 1-3. Em um processo de ligação de rede, UE envia uma solicitação de ligação para uma AUSF ao usar uma AN e uma AMF.

[0691] A AUSF realiza autenticação com o UE com base em um ID de UE, e determina que o UE é um usuário autorizado.

[0692] Nesta modalidade da presente invenção, a solicitação de ligação inclui pelo menos o identificador de equipamento de usuário (ID de UE). Além disso, opcionalmente, a solicitação de ligação pode incluir adicionalmente um ID de serviço, um ID de serviço de UE ou um DNN. Opcionalmente, a solicitação de ligação pode incluir adicionalmente informação de indicação de exigência de segurança (indicador).

[0693] 4. O UE envia uma solicitação de sessão para uma

Petição 870190133522, de 13/12/2019, pág. 193/253

186/227

SMF ao usar a AMF, e correspondentemente a SMF recebe a solicitação de sessão.

[0694] 5. A SMF envia uma solicitação de diretriz para uma PCF.

[0695] 6. A PCF determina um mecanismo de proteção de plano de usuário.

[0696] 7. A PCF envia o mecanismo de proteção de piano de usuário (SDFSP) para a SMF, e correspondentemente a SMF obtém o mecanismo de proteção de plano de usuário (SDFSP).

[0697] 8. A SMF determina um mecanismo de proteção de sessão .

[0698] Nesta modalidade da presente invenção, quando dados de plano de usuário precisam ser transmitidos ao usar um canal de transporte de sessão, um canal de transporte de DRB ou um canal de transporte de fluxo de QoS, um mecanismo de proteção de segurança em transmissão de dados pode ser implementado adicionalmente com base em uma sessão.

[0699] Especificamente, a SMF pode determinar o mecanismo de proteção de sessão com base em SDFSP em regras de PCC diferentes; ou a SMF recebe diretamente o mecanismo de proteção de sessão da PCF.

[0700] 9. A SMF envia QFISP, o mecanismo de proteção de sessão e um ID de fluxo de QoS para a AN ao usar a AMF.

[0701] Em uma modalidade especifica, a SMF envia diretamente um ID de sessão, o mecanismo de proteção de sessão e o ID de fluxo de QoS para a AN ao usar a AMF.

[0702] Em uma outra modalidade especifica, a SMF envia uma regra de QoS, um perfil de QoS e o ID de fluxo de QoS para a AN ao usar a AMF. A regra de QoS inclui o mecanismo de proteção de sessão, e a regra de QoS é usada para

Petição 870190133522, de 13/12/2019, pág. 194/253

187/227 fornecer um mecanismo de proteção de sessão correspondendo aos dados de plano de usuário para o UE. 0 perfil de QoS inclui o mecanismo de proteção de sessão, e o perfil de QoS é usado para fornecer o mecanismo de proteção de sessão correspondendo aos dados de plano de usuário para a AN.

[0703] Opcionalmente, a SMF pode enviar adicionalmente o ID de sessão para a AN ao usar a AMF.

[0704] 10. A AN determina um algoritmo de proteção de segurança e uma chave de proteção de plano de usuário.

[0705] Em uma modalidade específica, se o mecanismo de proteção de sessão for para realizar proteção de criptografia/integridade, e se algoritmo de proteção de segurança não for especificado diretamente no mecanismo de proteção de sessão, a AN determina o algoritmo de proteção de segurança com base em uma capacidade de segurança de UE, em uma lista de prioridades de algoritmos suportada pela AN e no mecanismo de proteção de plano de usuário. Por exemplo, se criptografia for exigida, mas proteção de integridade não é exigida no mecanismo de proteção de sessão, criptografia AES/criptografia ZUC é suportada com base na capacidade de segurança de UE, e se a AN suportar um caso no qual criptografia AES tem uma primeira prioridade, a AN seleciona AES como um algoritmo de criptografia e um algoritmo nulo como um algoritmo de proteção de integridade.

[0706] Em uma outra modalidade específica, se o mecanismo de proteção de sessão for para realizar proteção de criptografia/integridade, e um algoritmo de proteção de segurança for especificado diretamente no mecanismo de proteção de sessão, incluindo um algoritmo de criptografia

Petição 870190133522, de 13/12/2019, pág. 195/253

188/227 e um algoritmo de proteção de integridade que são especificados, a AN pode obter diretamente o algoritmo de proteção de segurança do mecanismo de proteção de sessão.

[0707] Nesta modalidade da presente invenção, a AN pode gerar a chave de proteção de plano de usuário com base no algoritmo de proteção de segurança. Especificamente, a AN calcula, com base no algoritmo de criptografia determinado, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou a AN calcula, com base no algoritmo de proteção de integridade determinado, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma primeira chave de proteção de plano de usuário de interface de ar.

[0708] Em implementação especifica, primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP); ou primeira chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de fluxo); ou

KDF(K_AN, ID de algoritmo de UP, ID de sessão); ou

KDF(K_AN, ID de algoritmo de UP, ID de DRB); ou

KDF(K_AN, ID de algoritmo de UP, ID de fatia).

[0709] K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AME com base em uma chave base obtida após a autenticação ou uma chave derivada

Petição 870190133522, de 13/12/2019, pág. 196/253

189/227 de novo após a autenticação, e a AMF envia K_AN para a AN. ID de algoritmo de UP pode ser um ID do algoritmo de criptografia, ou pode ser um ID do algoritmo de proteção de integridade. ID de DRB pode ser um identificador de uma DRB alocada pela AN para este serviço.

[0710] 11. A AN envia o ID de sessão, o ID de fluxo de QoS, o algoritmo de proteção de segurança e o mecanismo de proteção de sessão para o UE.

[0711] 0 mecanismo de proteção de sessão pode ser carregado na regra de QoS e enviado para o UE.

[0712] Além disso, o mecanismo de proteção de sessão é opcional.

[0713] 12. O UE determina uma chave de proteção.

[0714] 0 UE obtém o ID de sessão, o QFI, o algoritmo de segurança de plano de usuário, o mecanismo de proteção de sessão e K_AN, e correspondentemente gera a chave de proteção de plano de usuário.

[0715] Especificamente, o UE calcula, com base no algoritmo de criptografia recebido, uma chave usada para proteção de criptografia, para obter uma chave de criptografia de plano de usuário de interface de ar; ou o UE calcula, com base no algoritmo de proteção de integridade recebido, uma chave usada para proteção de integridade, para obter uma chave de proteção de integridade de plano de usuário de interface de ar. A chave de criptografia de plano de usuário de interface de ar e a chave de proteção de integridade de plano de usuário de interface de ar podem ser referidas coletivamente como uma segunda chave de proteção de plano de usuário de interface de ar.

Petição 870190133522, de 13/12/2019, pág. 197/253

190/227

[0716] Em implementação especifica, segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de fluxo); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de sessão); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de DRB); ou segunda chave de proteção de plano de usuário de interface de ar = KDF(K_AN, ID de algoritmo de UP, ID de fatia) .

[0717] K_AN é uma chave derivada, após autenticação ser bem sucedida, pelo UE com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação. ID de algoritmo de UP pode ser o ID do algoritmo de criptografia, ou pode ser o ID do algoritmo de proteção de integridade. ID de DRB pode ser o identificador da DRB alocada pela AN para este serviço. KDF é uma função de derivação de chave (Função de Derivação de Chave, KDF), e inclui, mas não está limitada a isto, as seguintes funções de derivação de senhas: HMAC (por exemplo, HMACSHA256 ou HMAC-SHA1), NMAC, CMAC, OMAC, CBC-MAC, PMAC, UMAC, VMAC, algoritmos HASH e outros mais.

[0718] Deve ser notado que para uma etapa que não é descrita detalhadamente na modalidade na figura 18 referência pode ser feita para descrições relacionadas na

Petição 870190133522, de 13/12/2019, pág. 198/253

191/227 modalidade na figura 11. A modalidade na figura 18 é meramente um exemplo e não deve ser considerada como uma limitação na presente invenção.

[0719] Deve ser notado que podem existir as implementações seguintes no procedimento de método indicado anteriormente desta modalidade.

[0720] Possibilidade 1: Na etapa 4, um procedimento de criar sessão alternativamente pode ser iniciado pela AMF; em outras palavras, a AMF envia a solicitação de sessão para a SMF. Neste caso, o identificador de equipamento de usuário (ID de UE) , a capacidade de segurança de equipamento de usuário, o indicador, o DNN, o ID de serviço, o ID de serviço de UE ou coisa parecida na solicitação de sessão pode ser obtido pela AMF da solicitação de ligação recebida, e a solicitação de ligação carrega a informação indicada anteriormente.

[0721] Possibilidade 2: O ID de fluxo e o ID de sessão podem ser gerados antes de a SMF enviar a solicitação de diretriz .

[0722] Pode ser aprendido que uma diferença entre a modalidade na figura 18 e a modalidade na figura 11 é que o UE e a AN realizam negociação de diretriz com base em uma granularidade de um canal de transporte de sessão PDU.

[0723] Por meio de implementação desta modalidade da presente invenção, com base em uma arquitetura de comunicação 5G futura, em um procedimento relacionado com criação de sessão, o UE e a AN podem completar negociação de diretriz com base em uma granularidade de um canal de transporte de sessão PDU, a PCF pode determinar o mecanismo de proteção de plano de usuário com base na exigência de

Petição 870190133522, de 13/12/2019, pág. 199/253

192/227 segurança exigida no lado de equipamento de usuário (incluindo exigências de segurança de serviços diferentes) e em uma exigência de segurança predefinida em um lado de rede, e o UE e a AN podem determinar separadamente o algoritmo de proteção de segurança e as chaves, de maneira que proteção de segurança para dados de plano de usuário é implementada.

[0724] Para facilitar entendimento das soluções nas modalidades da presente invenção, o exposto a seguir descreve, com base em UE-AN ao usar um exemplo, alguns procedimentos de operação nos quais o método de configuração de chave baseado em seção na figura 13 é aplicado e que se referem a um processo de transmissão de enlace de subida e um processo de transmissão de enlace de descida de dados de plano de usuário. Descrições especificas são tais como a seguir.

[0725] (1) Processo de transmissão de enlace de subida de dados de plano de usuário no qual o método de configuração de chave baseado em seção é aplicado.

[0726] Em um lado de UE, UE determina um ID de sessão com base nos dados de usuário, e determina adicionalmente um mecanismo de proteção de segurança (mecanismo de proteção de sessão) correspondendo ao ID de sessão, e obtém um algoritmo de proteção de segurança, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade. Portanto, o UE realiza proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave de proteção correspondente.

[0727] Em um lado de AN, uma AN determina um ID de

Petição 870190133522, de 13/12/2019, pág. 200/253

193/227 fluxo de QoS com base em um ID de DRB, determina adicionalmente o ID de sessão, e finalmente determina ο mecanismo de proteção de segurança (mecanismo de proteção de sessão) correspondendo ao ID de sessão. Após obter os dados de plano de usuário transferidos pelo UE, a AN pode realizar proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente. Alternativamente, uma AN determina diretamente o ID de sessão com base em um ID de DRB, determina o ID de sessão com base em um QFI em uma pilha de protocolos, ou determina um QFI com base em marcação em uma pilha de protocolos.

[0728] (2) Processo de transmissão de enlace de descida de dados de plano de usuário no qual o método de configuração de chave baseado em seção é aplicado.

[0729] Em um lado de AN, quando uma AN precisa realizar transmissão de enlace de descida nos dados de plano de usuário, a AN determina um ID de sessão com base em um QFI, e então determina um mecanismo de proteção de segurança (mecanismo de proteção de sessão), e obtém um algoritmo de proteção de segurança, incluindo um algoritmo de criptografia e um algoritmo de proteção de integridade. A AN realiza proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente. Alternativamente, uma AN determina diretamente um ID de sessão com base em um ID de DRB, ou determina um mecanismo de proteção de segurança (mecanismo de proteção de sessão) com base em um ID de sessão em uma

Petição 870190133522, de 13/12/2019, pág. 201/253

194/227 pilha de protocolos.

[0730] Em um lado de UE, UE determina o ID de fluxo de QoS com base no ID de DRB, determina adicionalmente o ID de sessão, e finalmente determina o mecanismo de proteção de segurança (mecanismo de proteção de sessão) correspondendo ao ID de sessão, e obtém o algoritmo de proteção de segurança, incluindo o algoritmo de criptografia e o algoritmo de proteção de integridade. O UE pode realizar proteção de segurança nos dados de plano de usuário com base no algoritmo de criptografia e no algoritmo de proteção de integridade ao usar uma chave correspondente.

[0731] Nas modalidades expostas anteriormente deste relatório descritivo, deve ser notado que autenticação secundária pode ser uma etapa opcional. Se a autenticação secundária for realizada, a SMF ou a AMF pode determinar, com base em um resultado da autenticação secundária, se é para autorizar o UE para acessar a sessão. Se a autenticação for bem sucedida, ela indica que o UE está autorizado para acessar a sessão, e então um mecanismo de segurança de plano de usuário é determinado. Alternativamente, a SMF ou a AMF pode determinar, com base em um resultado da autenticação secundária, se é para determinar um mecanismo de segurança de plano de usuário.

[0732] Nas modalidades expostas anteriormente deste relatório descritivo, deve ser notado adicionalmente que alguns IDs e exigências em IDs e parâmetros usados pelo UE, pela AN ou pela UPF em derivação de chave de proteção de plano de usuário podem ser enviados por um elemento de rede principal (por exemplo, a AMF, a SMF ou a SEAF) para o UE, para a AN ou para a UPF, de maneira que o UE, a AN ou a UPF

Petição 870190133522, de 13/12/2019, pág. 202/253

195/227 pode derivar corretamente uma chave de proteção de plano de usuário. Além disso, IDs e parâmetros usados pelo UE alternativamente podem ser enviados pela AN ou pela UPF para o UE.

[0733] Nas modalidades expostas anteriormente deste relatório descritivo, deve ser notado adicionalmente que o mecanismo de segurança de plano de usuário pode ser uma lista de prioridades de algoritmos. Neste caso, a AN ou a UPF subseguentemente pode determinar o algoritmo de segurança de plano de usuário com base no mecanismo de segurança de plano de usuário, na capacidade de segurança de UE e no algoritmo de segurança suportado pela AN/UPF. Por exemplo, um algoritmo de segurança que tem uma prioridade mais alta no mecanismo de segurança de plano de usuário e gue é suportado por ambos de o UE e a AN/UPF é selecionado como o algoritmo de segurança de plano de usuário.

[0734] Nas modalidades expostas anteriormente deste relatório descritivo, deve ser notado adicionalmente que:

[0735] (1) Para uma modalidade na qual a SMF determina o mecanismo de segurança de plano de usuário, as seguintes possibilidades precisam ser suportadas:

[0736] A SMF primeiro determina, com base na informação de registro de UE, se a PCF precisa ser solicitada (ou se um mecanismo de segurança de plano de usuário dinâmico é exigido), para obter um mecanismo de segurança de plano de usuário enviado pela PCF em resposta.

[0737] Se a PCF não precisar ser solicitada (ou se mecanismo de segurança de plano de usuário dinâmico não for exigido), a SMF determina o mecanismo de proteção de plano

Petição 870190133522, de 13/12/2019, pág. 203/253

196/227 de usuário do UE com base em um mecanismo de segurança de plano de usuário predefinido na informação de registro de UE. Alternativamente, a SMF envia o DNN, o ID de serviço, ou o DNN e o ID de serviço para o UDM, para obter os dados de serviço de subscrição do UDM, e a SMF determina o mecanismo de proteção de plano de usuário do UE com base em um mecanismo de segurança de plano de usuário predefinido nos dados de serviço de subscrição.

[0738] Se a PCF precisar ser solicitada (ou se um mecanismo de segurança de plano de usuário dinâmico for exigido), a SMF envia a solicitação de diretriz, para obter o mecanismo de segurança de plano de usuário da PCF. Este modo é igual ao procedimento de solicitar a PCF nas modalidades expostas anteriormente.

[0739] (2) Para uma modalidade na qual a AMF determina o mecanismo de segurança de plano de usuário, as seguintes possibilidades precisam ser suportadas:

[0740] A AMF primeiro determina, com base na informação de registro de UE, se a PCF precisa ser solicitada (ou se um mecanismo de segurança de plano de usuário dinâmico é exigido), para obter um mecanismo de segurança de plano de usuário enviado pela PCF em resposta.

[0741] Se a PCF não precisar ser solicitada (ou se mecanismo de segurança de plano de usuário dinâmico não for exigido), a AMF determina o mecanismo de proteção de plano de usuário do UE com base em um mecanismo de segurança de plano de usuário predefinido na informação de registro de UE. Alternativamente, a AMF envia o DNN, o ID de serviço, ou o DNN e o ID de serviço para o UDM, para obter os dados de serviço de subscrição do UDM, e a AMF determina o

Petição 870190133522, de 13/12/2019, pág. 204/253

197/227 mecanismo de proteção de plano de usuário do UE com base em um mecanismo de segurança de plano de usuário predefinido nos dados de serviço de subscrição.

[0742] Se a PCF precisar ser solicitada (ou se um mecanismo de segurança de plano de usuário dinâmico for exigido), a AMF envia a solicitação de diretriz, para obter o mecanismo de segurança de plano de usuário da PCF. Este modo é igual ao procedimento de solicitar a PCF nas modalidades expostas anteriormente.

[0743] (3) Para uma modalidade na qual a SMF determina o mecanismo de segurança de plano de usuário, as seguintes possibilidades precisam ser suportadas:

[0744] A SMF recebe o parâmetro de tipo de solicitação. O parâmetro pode ser que o UE envia o tipo de solicitação para a AMF, e então a AMF envia o tipo de solicitação para a SMF; ou o UE pode enviar diretamente o tipo de solicitação para a SMF.

[0745] Existem duas possibilidades para o parâmetro de tipo de solicitação. Se o tipo de solicitação for usado para instruir para usar uma sessão PDU existente (por exemplo, sessão PDU existente), a SMF determina, com base em um ID de sessão, um mecanismo de segurança de plano de usuário existente correspondendo ao ID de sessão, e usa o mecanismo de segurança de plano de usuário existente como um mecanismo de proteção de plano de usuário de uma sessão corrente. Se o tipo de solicitação for usado para instruir para criar uma sessão PDU (por exemplo, solicitação inicial), o mecanismo de segurança de plano de usuário é determinado de acordo com o procedimento na modalidade exposta anteriormente.

Petição 870190133522, de 13/12/2019, pág. 205/253

198/227

[0746] Alternativamente, a SMF pode determinar, com base em um parâmetro 1 obtido do UDM ou da AMF, se um novo mecanismo de segurança de plano de usuário precisa ser determinado. Especificamente, o parâmetro 1 pode ser obtido após a SMF enviar uma solicitação para o UDM. Alternativamente, a SMF recebe o parâmetro 1 da AMF, e neste caso o parâmetro 1 pode ser solicitado e obtido pela AMF do UDM. O parâmetro 1 indica se um novo mecanismo de segurança de plano de usuário é exigido.

[0747] (4) Para uma modalidade na qual a SMF determina o mecanismo de segurança de plano de usuário, as seguintes possibilidades precisam ser suportadas:

[0748] A SMF primeiro determina, dependendo de se uma configuração de diretriz dinâmica é exigida, se a PCF precisa ser solicitada (ou se um mecanismo de segurança de plano de usuário dinâmico é exigido), para obter um mecanismo de segurança de plano de usuário enviado pela PCF em resposta.

[0749] Se a PCF não precisar ser solicitada (ou se mecanismo de segurança de plano de usuário dinâmico não for exigido), a SMF determina o mecanismo de proteção de plano de usuário do UE com base em um mecanismo de segurança de plano de usuário predefinido na informação de registro de UE. Alternativamente, a SMF envia o DNN, o ID de serviço, ou o DNN e o ID de serviço para o UDM, para obter os dados de serviço de subscrição do UDM, e a SMF determina o mecanismo de proteção de plano de usuário do UE com base em um mecanismo de segurança de plano de usuário predefinido nos dados de serviço de subscrição. Alternativamente, a SMF usa um mecanismo de segurança de plano de usuário padrão

Petição 870190133522, de 13/12/2019, pág. 206/253

199/227 predefinido como um mecanismo de proteção de segurança de plano de usuário corrente.

[0750] Se a PCF precisar ser solicitada (ou se um mecanismo de segurança de plano de usuário dinâmico for exigido), a SMF envia a solicitação de diretriz, para obter o mecanismo de segurança de plano de usuário da PCF. Este modo é o mesmo procedimento de solicitar a PCF nas modalidades expostas anteriormente.

[0751] (5) Para uma modalidade na qual a SMF determina o mecanismo de segurança de plano de usuário, as seguintes possibilidades precisam ser suportadas:

[0752] A SMF recebe o parâmetro de tipo de solicitação. O parâmetro pode ser que o UE envia o tipo de solicitação para a AMF, e então a AMF envia o tipo de solicitação para a SMF; ou o UE pode enviar diretamente o tipo de solicitação para a SMF.

[0753] Existem duas possibilidades para o parâmetro de tipo de solicitação. Se o tipo de solicitação for usado para instruir para usar uma sessão PDU existente (por exemplo, sessão PDU existente), a SMF determina, com base em um ID de sessão, um mecanismo de segurança de plano de usuário existente correspondendo ao ID de sessão, e usa o mecanismo de segurança de plano de usuário existente como um mecanismo de proteção de plano de usuário de uma sessão corrente. Se o tipo de solicitação for usado para instruir para criar uma sessão PDU (por exemplo, solicitação inicial), se o tipo de solicitação indicar solicitação inicial, a SMF continua para realizar uma operação.

[0754] A SMF primeiro determina, dependendo de se uma configuração de diretriz dinâmica é exigida, se a PCF

Petição 870190133522, de 13/12/2019, pág. 207/253

200/227 precisa ser solicitada (ou se um mecanismo de segurança de plano de usuário dinâmico é exigido), para obter um mecanismo de segurança de plano de usuário enviado pela PCF em resposta.

[0755] Se a PCF não precisar ser solicitada (ou se mecanismo de segurança de plano de usuário dinâmico não for exigido), a SMF determina o mecanismo de proteção de plano de usuário do UE com base em um mecanismo de segurança de plano de usuário predefinido na informação de registro de UE. Alternativamente, a SMF envia o DNN, o ID de serviço, ou o DNN e o ID de serviço para o UDM, para obter os dados de serviço de subscrição do UDM, e a SMF determina o mecanismo de proteção de plano de usuário do UE com base em um mecanismo de segurança de plano de usuário predefinido nos dados de serviço de subscrição. Alternativamente, a SMF usa um mecanismo de segurança de plano de usuário padrão predefinido como um mecanismo de proteção de segurança de plano de usuário corrente.

[0756] Se a PCF precisar ser solicitada (ou se um mecanismo de segurança de plano de usuário dinâmico for exigido), a SMF envia a solicitação de diretriz, para obter o mecanismo de segurança de plano de usuário da PCF. Este modo é o mesmo procedimento de solicitar a PCF nas modalidades expostas anteriormente.

[0757] (6) Para uma modalidade na qual a SMF determina o mecanismo de segurança de plano de usuário, a seguinte possibilidade precisa ser suportada:

[0758] Nas modalidades correspondendo à figura 11, figura 12, figura 13, figura 14, figura 15, figura 16, figura 17 e à figura 18, a SMF pode determinar o mecanismo

Petição 870190133522, de 13/12/2019, pág. 208/253

201/227 de proteção de segurança de plano de usuário sem enviar uma mensagem de solicitação de diretriz para a PCF. Por exemplo, um método para determinar o mecanismo de proteção de segurança de plano de usuário pela SMF pode ser baseado no método na modalidade na figura 7.

[0759] (7) Para uma modalidade na qual a PCF determina o mecanismo de segurança de plano de usuário, a seguinte possibilidade precisa ser suportada:

[0760] A PCF determina o mecanismo de proteção de segurança de plano de usuário com base em uma configuração de segurança padrão.

[07 61] (8) Para um método para gerar a chave de proteção de plano de usuário com base em K_SMF nas modalidades expostas anteriormente, a seguinte possibilidade precisa ser considerada:

[0762] Uma chave da chave de proteção de plano de usuário pode ser calculada com base em uma chave derivada de K_SMF. Por exemplo, K_UP = KDF(K_SMF, ID de sessão), e chave de proteção de plano de usuário = KDF(K_UP, ID de algoritmo de UP) . K_UP pode ser gerada no seguinte modo: K_UP = KDF(K_SMF, ID de fluxo), ou K_UP = KDF(K_SMF, ID de fatia) .

[07 63] (8) Para um modo de gerar a chave de proteção de plano de usuário nas modalidades expostas anteriormente, as seguintes possibilidades precisam ser consideradas adicionalmente:

chave de proteção de plano de usuário = KDF(K_SMF, ID de algoritmo de UP, ID de fatia) , ou chave de proteção de plano de usuário = KDF(K_UP, ID de algoritmo de UP, ID de fatia), ou chave de proteção de plano de usuário =

Petição 870190133522, de 13/12/2019, pág. 209/253

202/227

KDF(K_AN, ID de algoritmo de UP, ID de fatia).

[0764] (9) Para as modalidades expostas anteriormente, a seguinte possibilidade é incluída adicionalmente: Podem existir duas soluções independentes em cada uma das modalidades expostas anteriormente: Solução 1 é um método para negociar com relação a um mecanismo de proteção de plano de usuário, um mecanismo de segurança de plano de usuário ou a uma diretriz de segurança, e Solução 2 é um método para gerar um algoritmo de segurança de interface de ar e uma chave de segurança.

[0765] (10) Para as modalidades expostas anteriormente, a seguinte possibilidade é incluída adicionalmente: A AN suporta somente um mecanismo para determinar um algoritmo de segurança, e não deriva uma chave de interface de ar, e envia um algoritmo de segurança ou um mecanismo de segurança de plano de usuário para o UE. Se o UE receber o mecanismo de segurança de plano de usuário, o UE determina um algoritmo de segurança ao usar um mesmo método tal com a AN.

[0766] (11) Para as modalidades expostas anteriormente, a seguinte possibilidade é incluída adicionalmente: A AN envia somente um mecanismo de segurança de plano de usuário recebido para o UE.

[0767] (12) Para as modalidades expostas anteriormente, a seguinte possibilidade é incluída adicionalmente: O UE e a AN determinam um algoritmo de proteção de criptografia e um algoritmo de proteção de integridade por meio de negociação. Então a AN determina um algoritmo de proteção de segurança com base em um mecanismo de segurança de plano de usuário recebido e no algoritmo de proteção de

Petição 870190133522, de 13/12/2019, pág. 210/253

203/227 criptografia e algoritmo de proteção de integridade determinados. O mecanismo de segurança de plano de usuário indica se criptografia é para ser realizada (ou se proteção de integridade é para ser realizada ou se tanto criptografia quanto proteção de integridade devem ser realizadas) . Por exemplo, se o mecanismo de segurança de plano de usuário indicar que proteção de criptografia é para ser realizada, a AN protege dados entre o UE e a AN ao usar o algoritmo de proteção de criptografia determinado. Se o mecanismo de segurança de plano de usuário indicar que proteção de integridade é para ser executada, a AN protege dados entre o UE e a AN ao usar o algoritmo de proteção de integridade determinado. Se o mecanismo de segurança de plano de usuário indicar que tanto criptografia quanto proteção de integridade devem ser realizadas, a AN protege dados entre o UE e a AN ao usar o algoritmo de proteção de criptografia determinado. Então a AN envia o mecanismo de segurança de plano de usuário para o UE, e o UE determina o algoritmo de proteção de segurança ao usar um mesmo método tal como a AN com base no mecanismo de segurança de plano de usuário e nos algoritmos determinados. Alternativamente, a AN pode enviar o algoritmo de proteção de segurança determinado para o UE. Alternativamente, a AN primeiro pode enviar o mecanismo de segurança de plano de usuário, e então o UE e a AN determinam o algoritmo de proteção de criptografia e o algoritmo de proteção de integridade, e finalmente determinam o algoritmo de proteção de segurança com base no mecanismo de segurança de plano de usuário e no algoritmo de proteção de criptografia e algoritmo de proteção de integridade determinados.

Petição 870190133522, de 13/12/2019, pág. 211/253

204/227

[0768] Os métodos nas modalidades da presente invenção foram descritos anteriormente de forma detalhada. Para facilidade de implementação das soluções indicadas anteriormente nas modalidades da presente invenção, correspondentemente, o exposto a seguir fornece alguns aparelhos nas modalidades da presente invenção.

[0769] A figura 19 é um diagrama estrutural esquemático de um elemento de rede de função de diretriz de acordo com uma modalidade da presente invenção. O elemento de rede de função de diretriz pode incluir um módulo de recebimento 110, um módulo de diretrizes 120 e um módulo de envio 130. Descrições detalhadas das unidades são tais como a seguir.

[0770] O módulo de recebimento 110 é configurado para receber uma solicitação para comunicação entre equipamento de usuário e um dispositivo de rede, onde a solicitação inclui um identificador de sessão, um identificador de equipamento de usuário e informação de indicação de exigência de segurança, e a informação de indicação de exigência de segurança é usada para indicar uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço;

o módulo de diretrizes 120 é configurado para determinar um mecanismo de proteção de plano de usuário com base na solicitação e em pelo menos um de informação de registro de UE realimentada por um gerenciador de dados unificados UDM, dados de serviço de subscrição realimentados pelo UDM e uma exigência de segurança de serviço realimentada por uma função de aplicação AF, onde o mecanismo de proteção de plano de usuário é usado para indicar se criptografia, proteção de integridade ou tanto

Petição 870190133522, de 13/12/2019, pág. 212/253

205/227 criptografia quanto proteção de integridade são exigidas para dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede;

o módulo de envio 130 é configurado para: quando o dispositivo de rede é um dispositivo de rede de acesso AN, enviar o mecanismo de proteção de plano de usuário para o dispositivo AN, onde o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, e gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e o dispositivo AN é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança; e o módulo de envio 130 é configurado adicionalmente para: quando o dispositivo de rede é um dispositivo de rede principal CN, enviar o mecanismo de proteção de plano de usuário para um elemento de rede de algoritmo, onde o elemento de rede de algoritmo é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e enviar a primeira chave de proteção de plano de usuário para o dispositivo CN, e o elemento de rede de algoritmo é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de

Petição 870190133522, de 13/12/2019, pág. 213/253

206/227 usuário com base no algoritmo de proteção de segurança.

[0771] Opcionalmente, a solicitação inclui adicionalmente pelo menos um de um identificador de serviço, um identificador de serviço de equipamento de usuário, um nome de rede de dados DNN e uma capacidade de segurança de equipamento de usuário.

[0772] Opcionalmente, a solicitação é uma solicitação de ligação, a solicitação de ligação é iniciada pelo equipamento de usuário para uma função de servidor de autenticação AUSF, e a solicitação de ligação é usada para realizar autenticação bidirecional entre o dispositivo de rede e a AUSF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de sessão, a solicitação de sessão é iniciada pelo equipamento de usuário para uma função de gerenciamento de sessão SMF, ou é iniciada por uma função de gerenciamento de acesso e mobilidade AMF para a SMF, e a solicitação de sessão é usada para criar uma sessão entre o dispositivo de rede e a SMF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de diretriz, a solicitação de diretriz é iniciada pela SMF para o elemento de rede de função de diretriz, e a solicitação de diretriz é usada para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário.

[0773] Opcionalmente, o mecanismo de proteção de plano

Petição 870190133522, de 13/12/2019, pág. 214/253

207/227 de usuário é usado adicionalmente para indicar pelo menos um de um algoritmo de proteção de segurança, um comprimento de chave e um período de atualização de chave que precisa ser usado para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[0774] Opcionalmente, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar uma lista de algoritmos de proteção de segurança, com prioridades, que podem ser usados para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[0775] Especificamente, o elemento de rede de função de diretriz inclui um de uma função de controle de diretrizes PCF, a função de servidor de autenticação AUSF, a função de gerenciamento de acesso e mobilidade AMF, a função de gerenciamento de sessão SMF e o dispositivo AN.

[0776] Especificamente, o dispositivo CN é uma função de plano de usuário UPF.

[0777] Especificamente, o elemento de rede de algoritmo inclui pelo menos um de a PCF, a AUSF, a AMF, a SMF e o dispositivo AN.

[077 8] Deve ser notado que para implementação das unidades de módulos, referência pode ser feita correspondentemente para descrições correspondentes nas modalidades de método mostradas nas figuras 3 a 5, e detalhes não são descritos aqui novamente.

[0779] Referindo-se à figura 20, uma modalidade da presente invenção fornece um outro elemento de rede de função de diretriz. O elemento de rede de função de diretriz inclui um processador 210, uma memória 220, um

Petição 870190133522, de 13/12/2019, pág. 215/253

208/227 transmissor 230 e um receptor 240, e o processador 210, a memória 220, o transmissor 230 e o receptor 240 são conectados (por exemplo, são conectados uns aos outros ao usar um barramento).

[0780] A memória 220 inclui, mas não está limitada a isto, uma memória de acesso aleatório (Inglês: Random Access Memory, RAM para abreviar), uma memória somente de leitura (Inglês: Read-Only Memory, ROM para abreviar), uma memória somente de leitura programável e apagável (Inglês: Erasable Programmable Read Only Memory, EPROM para abreviar), ou uma memória somente de leitura de disco compacto (Inglês: Compact Disc Read-Only Memory, CD-ROM para abreviar), e a memória 1302 é configurada para armazenar uma instrução relacionada e dados relacionados. O transceptor 1303 é configurado para receber e enviar dados.

[0781] 0 transmissor 230 é configurado para enviar dados ou sinalização, e o receptor 240 é configurado para receber dados ou sinalização.

[0782] 0 processador 210 pode ser uma ou mais unidades centrais de processamento (Inglês: Central Processing Unit, CPU para abreviar) . Quando o processador 210 é uma CPU, a CPU pode ser uma CPU de um único núcleo ou pode ser uma CPU de múltiplos núcleos.

[0783] 0 processador 210 é configurado para ler código de programa armazenado na memória 220, para realizar as seguintes operações:

receber uma solicitação para comunicação entre equipamento de usuário e um dispositivo de rede ao usar o receptor 240, onde a solicitação inclui um identificador de sessão, um identificador de equipamento de usuário e

Petição 870190133522, de 13/12/2019, pág. 216/253

209/227 informação de indicação de exigência de segurança, e a informação de indicação de exigência de segurança é usada para indicar uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço;

determinar, pelo processador 210, um mecanismo de proteção de plano de usuário com base na solicitação e em pelo menos um de informação de registro de UE realimentada por um gerenciador de dados unificados UDM, dados de serviço de subscrição realimentados pelo UDM e uma exigência de segurança de serviço realimentada por uma função de aplicação AF, onde o mecanismo de proteção de plano de usuário é usado para indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede; e quando o dispositivo de rede é um dispositivo de rede de acesso AN, enviar o mecanismo de proteção de plano de usuário para o dispositivo AN ao usar o transmissor 230, onde o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, e gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e o dispositivo AN é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança; ou quando o dispositivo de rede é um dispositivo de rede

Petição 870190133522, de 13/12/2019, pág. 217/253

210/227 principal CN, enviar o mecanismo de proteção de plano de usuário para um elemento de rede de algoritmo ao usar o transmissor 230, onde o elemento de rede de algoritmo é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança, e enviar a primeira chave de proteção de plano de usuário para o dispositivo CN, e o elemento de rede de algoritmo é configurado adicionalmente para enviar o algoritmo de proteção de segurança para o equipamento de usuário, de maneira que o equipamento de usuário gera uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança.

[0784] Opcionalmente, a solicitação inclui adicionalmente pelo menos um de um identificador de serviço, um identificador de serviço de equipamento de usuário, um nome de rede de dados DNN e uma capacidade de segurança de equipamento de usuário.

[0785] Opcionalmente, a solicitação é uma solicitação de ligação, a solicitação de ligação é iniciada pelo equipamento de usuário para uma função de servidor de autenticação AUSF, e a solicitação de ligação é usada para realizar autenticação bidirecional entre o dispositivo de rede e a AUSF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de sessão, a solicitação de sessão é iniciada pelo equipamento de usuário para uma função de gerenciamento de sessão SMF, ou

Petição 870190133522, de 13/12/2019, pág. 218/253

211/227 é iniciada por uma função de gerenciamento de acesso e mobilidade AMF para a SMF, e a solicitação de sessão é usada para criar uma sessão entre o dispositivo de rede e a SMF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de diretriz, a solicitação de diretriz é iniciada pela SMF para o elemento de rede de função de diretriz, e a solicitação de diretriz é usada para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário.

[0786] Opcionalmente, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar pelo menos um de um algoritmo de proteção de segurança, um comprimento de chave e um periodo de atualização de chave que precisa ser usado para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[0787] Opcionalmente, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar uma lista de algoritmos de proteção de segurança, com prioridades, que podem ser usados para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[0788] Especificamente, o elemento de rede de função de diretriz inclui um de uma função de controle de diretrizes PCF, a função de servidor de autenticação AUSF, a função de gerenciamento de acesso e mobilidade AMF, a função de gerenciamento de sessão SMF e o dispositivo AN.

[0789] 0 dispositivo CN é uma função de plano de

Petição 870190133522, de 13/12/2019, pág. 219/253

212/227 usuário UPF, e o elemento de rede de algoritmo inclui pelo menos um de a PCF, a AUSF, a AMF, a SMF e o dispositivo AN.

[0790] Opcionalmente, que o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário inclui:

[0791] Opcionalmente, que o elemento de rede de algoritmo é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário inclui:

Petição 870190133522, de 13/12/2019, pág. 220/253

213/227

[0792] Opcionalmente, quando o dispositivo de rede é um dispositivo AN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário = KDF(K_AN, ID de algoritmo de UP), onde K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e o dispositivo AN obtém K_AN da AMF; ou quando o dispositivo de rede é um dispositivo CN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

[0793] Opcionalmente, os dados de plano de usuário são carregados em um canal de transporte de fluxo de qualidade de serviço fluxo de QoS; e se um identificador de fluxo de qualidade de serviço ID de fluxo de QoS correspondendo ao canal de transporte de

Petição 870190133522, de 13/12/2019, pág. 221/253

214/227 fluxo de QoS existir, e um fluxo de QoS correspondendo ao ID de fluxo de QoS satisfizer um mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, o canal de transporte de fluxo de QoS é selecionado para transmitir os dados de plano de usuário; de outro modo, um canal de transporte de fluxo de QoS é criado novamente, e um ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS é gerado; ou se um ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS existir, e um fluxo de QoS correspondendo ao ID de fluxo de QoS satisfizer um mecanismo de proteção de plano de usuário, o canal de transporte de fluxo de QoS é selecionado para transmitir os dados de plano de usuário; de outro modo, um canal de transporte de fluxo de QoS é criado novamente, e um ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS é gerado, onde a exigência de QoS é uma exigência para um parâmetro de qualidade de serviço em uma rede de comunicações.

[0794] Opcionalmente, os dados de plano de usuário são carregados em um canal de transporte de portadora de rádio de dados DRB; e se um identificador de portadora de rádio de dados ID de DRB correspondendo ao canal de transporte de DRB existir, e uma DRB correspondendo ao ID de DRB satisfizer um mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, o canal de transporte de DRB é selecionado para transmitir os dados de usuário; de outro modo, um canal de transporte de DRB é

Petição 870190133522, de 13/12/2019, pág. 222/253

215/227 criado novamente, e um ID de DRB correspondendo ao canal de transporte de DRB é gerado; ou se um ID de DRB correspondendo ao canal de transporte de DRB existir, e uma DRB correspondendo ao ID de DRB satisfizer um mecanismo de proteção de plano de usuário, o canal de transporte de DRB é selecionado para transmitir os dados de usuário; de outro modo, um canal de transporte de DRB é criado novamente, e um ID de DRB correspondendo ao canal de transporte de DRB é gerado, onde existe uma relação de mapeamento entre o ID de DRB e o mecanismo de proteção de plano de usuário.

[0795] Opcionalmente, os dados de plano de usuário são carregados em um canal de transporte de sessão; e se um identificador de sessão ID de sessão correspondendo ao canal de transporte de sessão existir, e uma sessão correspondendo ao ID de sessão satisfizer um mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, o canal de transporte de sessão é selecionado para transmitir os dados de usuário; de outro modo, um canal de transporte de sessão é criado novamente, e um ID de sessão correspondendo ao canal de transporte de sessão é gerado; ou se um ID de sessão correspondendo ao canal de transporte de sessão existir, e uma sessão correspondendo ao ID de sessão satisfizer um mecanismo de proteção de plano de usuário, o canal de transporte de sessão é selecionado para transmitir os dados de usuário; de outro modo, um canal de transporte de sessão é criado novamente, e um ID de sessão correspondendo ao canal de transporte de sessão é gerado, onde

Petição 870190133522, de 13/12/2019, pág. 223/253

216/227 existe uma relação de mapeamento entre o ID de sessão e o mecanismo de proteção de plano de usuário.

[0796] Opcionalmente, um mapeamento do ID de sessão e do ID de fluxo de QoS para o ID de DRB é estabelecido, de maneira que fluxos de QoS com um mesmo mecanismo de proteção de plano de usuário são mapeados para uma mesma DRB.

[0797] Especificamente, quando o dispositivo de rede é um dispositivo AN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário=

KDF(K_AN, ID de algoritmo de UP, ID de DRB).

[0798] Especificamente, quando o dispositivo de rede é um dispositivo CN, gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário = KDF(K_elemento de rede de algoritmo, ID de algoritmo de UP); ou primeira chave de proteção de plano de usuário = KDF(K_elemento de rede de algoritmo, ID de algoritmo de UP, ID de fluxo); ou primeira chave de proteção de plano de usuário =

Petição 870190133522, de 13/12/2019, pág. 224/253

217/227

KDF(K_elemento de rede de algoritmo, ID de algoritmo de UP, ID de sessão); ou primeira chave de proteção de piano de usuário = KDF(K_elemento de rede de algoritmo, ID de algoritmo de UP, ID de DRB).

[0799] Além disso, uma modalidade da presente invenção fornece adicionalmente um sistema de comunicações. O sistema de comunicações inclui equipamento de usuário, um elemento de rede de função de diretriz, um dispositivo de rede, um gerenciador de dados unificados UDM, uma função de aplicação AF e um elemento de rede de algoritmo, onde o elemento de rede de função de diretriz é conectado ao equipamento de usuário e ao dispositivo de rede, o elemento de rede de função de diretriz é conectado adicionalmente ao UDM e à AF, e o elemento de rede de algoritmo é conectado ao elemento de rede de função de diretriz e ao dispositivo de rede, onde o elemento de rede de função de diretriz é configurado para receber uma solicitação para comunicação entre o equipamento de usuário e o dispositivo de rede, onde a solicitação inclui um identificador de sessão, um identificador de equipamento de usuário e informação de indicação de exigência de segurança, e a informação de indicação de exigência de segurança é usada para indicar uma exigência de segurança de equipamento de usuário e/ou uma exigência de segurança de serviço;

o elemento de rede de função de diretriz é configurado adicionalmente para determinar um mecanismo de proteção de plano de usuário com base na solicitação e em pelo menos um de informação de registro de UE realimentada pelo UDM, dados de serviço de subscrição realimentados pelo UDM e uma

Petição 870190133522, de 13/12/2019, pág. 225/253

218/227 exigência de segurança de serviço realimentada pela AF, onde o mecanismo de proteção de plano de usuário é usado para indicar se criptografia, proteção de integridade ou tanto criptografia quanto proteção de integridade são exigidas para dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede;

quando o dispositivo de rede é um dispositivo de rede de acesso AN, o elemento de rede de função de diretriz é configurado adicionalmente para enviar o mecanismo de proteção de plano de usuário para o dispositivo AN, onde o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, o dispositivo AN é configurado adicionalmente para gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança e enviar o algoritmo de proteção de segurança para o equipamento de usuário, e o equipamento de usuário é configurado para gerar uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança;

quando o dispositivo de rede é um dispositivo de rede principal CN, o elemento de rede de função de diretriz é configurado para enviar o mecanismo de proteção de plano de usuário para o elemento de rede de algoritmo, onde o elemento de rede de algoritmo é configurado adicionalmente para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário, o elemento de rede de algoritmo é configurado adicionalmente para gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança,

Petição 870190133522, de 13/12/2019, pág. 226/253

219/227 enviar a primeira chave de proteção de plano de usuário para o dispositivo CN, e enviar o algoritmo de proteção de segurança para o equipamento de usuário, e o equipamento de usuário é configurado para gerar uma segunda chave de proteção de plano de usuário com base no algoritmo de proteção de segurança; e o UDM é configurado para armazenar a informação de registro de UE, e é configurado adicionalmente para armazenar os dados de serviço de subscrição, e a AF é configurada para armazenar a exigência de segurança de serviço.

[0800] Opcionalmente, a solicitação inclui adicionalmente pelo menos um de um identificador de serviço, um identificador de serviço de equipamento de usuário, um nome de rede de dados DNN e uma capacidade de segurança de equipamento de usuário.

[0801] Opcionalmente, o sistema inclui adicionalmente uma ou mais de uma função de servidor de autenticação AUSF, uma função de gerenciamento de sessão SMF e uma função de gerenciamento de acesso e mobilidade AMF.

[0802] Opcionalmente, a solicitação é uma solicitação de ligação, a solicitação de ligação é iniciada pelo equipamento de usuário para a AUSF, e a solicitação de ligação é usada para realizar autenticação bidirecional entre o dispositivo de rede e a AUSF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de sessão, a solicitação de sessão é iniciada pelo equipamento de

Petição 870190133522, de 13/12/2019, pág. 227/253

220/227 usuário para a SMF, ou é iniciada pela AMF para a SMF, e a solicitação de sessão é usada para criar uma sessão entre o dispositivo de rede e a SMF, e é usada adicionalmente para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário; ou a solicitação é uma solicitação de diretriz, a solicitação de diretriz é iniciada pela SMF para o elemento de rede de função de diretriz, e a solicitação de diretriz é usada para ativar o elemento de rede de função de diretriz para determinar o mecanismo de proteção de plano de usuário.

[0803] Opcionalmente, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar pelo menos um de um algoritmo de proteção de segurança, um comprimento de chave e um periodo de atualização de chave que precisa ser usado para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[0804] Opcionalmente, o mecanismo de proteção de plano de usuário é usado adicionalmente para indicar uma lista de algoritmos de proteção de segurança, com prioridades, que podem ser usados para os dados de plano de usuário transmitidos entre o equipamento de usuário e o dispositivo de rede.

[0805] Especificamente, o elemento de rede de função de diretriz é um de uma função de controle de diretrizes PCF, a função de servidor de autenticação AUSF, a função de gerenciamento de acesso e mobilidade AMF, a função de gerenciamento de sessão SMF e o dispositivo AN.

[0806] Especificamente, o dispositivo CN é uma função de plano de usuário UPF, e o elemento de rede de algoritmo

Petição 870190133522, de 13/12/2019, pág. 228/253

221/227 inclui pelo menos um de a PCF, a AUSF, a AMF, a SMF e o dispositivo AN.

[0807] Opcionalmente, que o dispositivo AN é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário inclui:

se o mecanismo de proteção de plano de usuário não incluir algoritmo de proteção de segurança, o dispositivo AN é configurado para determinar o algoritmo de proteção de segurança com base em pelo menos um de o mecanismo de proteção de plano de usuário, a capacidade de segurança de equipamento de usuário e uma lista de prioridades de algoritmos suportada pelo dispositivo AN; ou se o mecanismo de proteção de plano de usuário incluir um algoritmo de proteção de segurança, o dispositivo AN é configurado para obter diretamente o algoritmo de proteção de segurança no mecanismo de proteção de plano de usuário.

[0808] Opcionalmente, que o elemento de rede de algoritmo é configurado para determinar um algoritmo de proteção de segurança com base no mecanismo de proteção de plano de usuário inclui:

se o mecanismo de proteção de plano de usuário não incluir algoritmo de proteção de segurança, o elemento de rede de algoritmo é configurado para determinar o algoritmo de proteção de segurança com base em pelo menos um de o mecanismo de proteção de plano de usuário, a capacidade de segurança de equipamento de usuário e uma lista de prioridades de algoritmos suportada pelo dispositivo CN; ou se o mecanismo de proteção de plano de usuário incluir um algoritmo de proteção de segurança, o elemento de rede

Petição 870190133522, de 13/12/2019, pág. 229/253

222/227 de algoritmo é configurado para obter diretamente o algoritmo de proteção de segurança no mecanismo de proteção de plano de usuário.

[0809] Especifícamente, quando o dispositivo de rede é um dispositivo AN, que o dispositivo AN é configurado para gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário = KDF(K_AN, ID de algoritmo de UP), onde K_AN é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e o dispositivo AN é configurado para obter K_AN da AMF; ou quando o dispositivo de rede é um dispositivo CN, que o elemento de rede de algoritmo é configurado para gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário = KDF(K_elemento de rede de algoritmo, ID de algoritmo de UP) , onde K_elemento de rede de algoritmo é uma chave de estação base derivada, após autenticação ser bem sucedida, pela AMF ou pela AUSF com base em uma chave base obtida após a autenticação ou uma chave derivada de novo após a autenticação, e o elemento de rede de algoritmo é configurado para obter K_elemento de rede de algoritmo da AMF ou da AUSF, onde

ID de algoritmo de UP é um identificador de um algoritmo de criptografia ou um identificador de um algoritmo de proteção de integridade, e KDF é uma função de

Petição 870190133522, de 13/12/2019, pág. 230/253

223/227 derivação de chave.

[0810] Opcionalmente, a SMF é configurada adicionalmente para determinar que os dados de plano de usuário são carregados em um canal de transporte de fluxo de qualidade de serviço fluxo de QoS; e se um identificador de fluxo de qualidade de serviço ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS existir, e um fluxo de QoS correspondendo ao ID de fluxo de QoS satisfizer um mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, a SMF é configurada para selecionar o canal de transporte de fluxo de QoS para transmitir os dados de plano de usuário; de outro modo, a SMF é configurada para criar novamente um canal de transporte de fluxo de QoS, e gerar um ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS; ou se um ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS existir, e um fluxo de QoS correspondendo ao ID de fluxo de QoS satisfizer um mecanismo de proteção de plano de usuário, a SMF é configurada para selecionar o canal de transporte de fluxo de QoS para transmitir os dados de plano de usuário; de outro modo, a SMF é configurada para criar novamente um canal de transporte de fluxo de QoS, e gerar um ID de fluxo de QoS correspondendo ao canal de transporte de fluxo de QoS, onde a exigência de QoS é uma exigência para um parâmetro de qualidade de serviço em uma rede de comunicações.

[0811] Opcionalmente, a SMF é configurada

Petição 870190133522, de 13/12/2019, pág. 231/253

224/227 adicionalmente para determinar que os dados de plano de usuário são carregados em um canal de transporte de portadora de rádio de dados DRB; e se um identificador de portadora de rádio de dados ID de DRB correspondendo ao canal de transporte de DRB existir, e uma DRB correspondendo ao ID de DRB satisfizer um mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, a SMF é configurada para selecionar o canal de transporte de DRB para transmitir os dados de usuário; de outro modo, a SMF é configurada para criar novamente um canal de transporte de DRB, e gerar um ID de DRB correspondendo ao canal de transporte de DRB; ou se um ID de DRB correspondendo ao canal de transporte de DRB existir, e uma DRB correspondendo ao ID de DRB satisfizer um mecanismo de proteção de plano de usuário, a SMF é configurada para selecionar o canal de transporte de DRB para transmitir os dados de usuário; de outro modo, a SMF é configurada para criar novamente um canal de transporte de DRB, e gerar um ID de DRB correspondendo ao canal de transporte de DRB, onde existe uma relação de mapeamento entre o ID de DRB e o mecanismo de proteção de plano de usuário.

[0812] Opcionalmente, a SMF é configurada para determinar que os dados de plano de usuário são carregados em um canal de transporte de sessão; e se um identificador de sessão ID de sessão correspondendo ao canal de transporte de sessão existir, e uma sessão correspondendo ao ID de sessão satisfizer um

Petição 870190133522, de 13/12/2019, pág. 232/253

225/227 mecanismo de proteção de plano de usuário ou uma exigência de QoS ou tanto um mecanismo de proteção de plano de usuário quanto uma exigência de QoS, a SMF é configurada para selecionar o canal de transporte de sessão para transmitir os dados de usuário; de outro modo, a SMF é configurada para criar novamente um canal de transporte de sessão, e gerar um ID de sessão correspondendo ao canal de transporte de sessão; ou se um ID de sessão correspondendo ao canal de transporte de sessão existir, e uma sessão correspondendo ao ID de sessão satisfizer um mecanismo de proteção de plano de usuário, a SMF é configurada para selecionar o canal de transporte de sessão para transmitir os dados de usuário; de outro modo, a SMF é configurada para criar novamente um canal de transporte de sessão, e gerar um ID de sessão correspondendo ao canal de transporte de sessão, onde existe uma relação de mapeamento entre o ID de sessão e o mecanismo de proteção de plano de usuário.

[0813] Opcionalmente, determinar um mecanismo de proteção de plano de usuário inclui adicionalmente:

[0814] Especificamente, quando o dispositivo de rede é um dispositivo AN, que o dispositivo AN é configurado para gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

primeira chave de proteção de plano de usuário =

Petição 870190133522, de 13/12/2019, pág. 233/253

226/227

KDF(K_AN, ID de algoritmo de UP); ou primeira chave de proteção de plano de usuário = KDF(K_AN, ID de algoritmo de UP, ID de fluxo); ou primeira chave de proteção de plano de usuário =

KDF(K_AN, ID de algoritmo de UP, ID de sessão); ou primeira chave de proteção de plano de usuário =

KDF(K_AN, ID de algoritmo de UP, ID de DRB).

[0815] Especificamente, quando o dispositivo de rede é um dispositivo CN, que o elemento de rede de algoritmo é configurado para gerar uma primeira chave de proteção de plano de usuário com base no algoritmo de proteção de segurança inclui:

[0816] Deve ser notado que para uma implementação de cada elemento de rede no sistema de comunicações referência pode ser feita para descrições nas modalidades de método nas figuras 3 a 15, e detalhes não são descritos aqui novamente.

[0817] Uma pessoa de conhecimento comum na técnica pode entender que todos ou alguns dos processos dos métodos nas

Petição 870190133522, de 13/12/2019, pág. 234/253

227/227 modalidades podem ser implementados por um programa de computador instruindo hardware pertinente. 0 programa pode ser armazenado em um meio de armazenamento legível por computador. Quando o programa é executado, os processos nas modalidades de método podem ser realizados. 0 meio de armazenamento indicado acima inclui várias mídias que podem armazenar código de programa; por exemplo, uma ROM, uma memória de acesso aleatório RAM, um disco magnético ou um disco ótico.

Claims

1. Método de configuração de chave, caracterizado pelo fato de que compreende:

determinar, por um dispositivo de rede de acesso (AN) , um algoritmo de proteção de criptografia e um algoritmo de proteção de integridade entre o AN e um equipamento de usuário (UE);

receber, pelo AN, um mecanismo de segurança de plano de usuário; e proteger, pelo AN, dados entre o AN e o UE ao usar o algoritmo de proteção de criptografia determinado se o mecanismo de segurança de plano de usuário indicar que proteção de criptografia é para ser realizada.

2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende ainda:

proteger, pelo AN, dados entre o AN e o UE ao usar o algoritmo de proteção de integridade determinado se o mecanismo de segurança de plano de usuário indicar que proteção de integridade é para ser realizada.

3. Método, de acordo com a reivindicação 1 ou 2, caracterizado pelo fato de que compreende ainda:

enviar, pelo AN, o algoritmo de proteção de criptografia e algoritmo de proteção de integridade determinados para o UE.

4. Método, de acordo com qualquer uma das reivindicações 1 a 3, caracterizado pelo fato de que compreende ainda:

enviar, pelo AN, o mecanismo de segurança de plano de usuário para o UE, em que o mecanismo de segurança de plano de usuário indica se criptografia é para ser realizada ou se

Petição 870190113181, de 05/11/2019, pág. 62/66

2/5 proteção de integridade é para ser realizada.

5. Método, de acordo com qualquer uma das reivindicações 1 a 4, caracterizado pelo fato de que proteger, pelo AN, dados entre o AN e o UE ao usar o algoritmo de proteção de criptografia determinado compreende:

determinar, pelo AN, uma identidade de sessão; e proteger, pelo AN, dados correspondendo à identidade de sessão entre o AN e o UE ao usar o algoritmo de proteção de criptografia determinado.

6. Método de configuração de chave, caracterizado pelo fato de que compreende:

receber, por um equipamento de usuário (UE), um algoritmo de proteção de criptografia e um algoritmo de proteção de integridade de um dispositivo de rede de acesso (AN);

receber, pelo UE, um mecanismo de segurança de plano de usuário do AN; e proteger, pelo UE, dados entre o UE e o AN ao usar o algoritmo de proteção de criptografia determinado se o mecanismo de segurança de plano de usuário indicar que proteção de criptografia é para ser realizada.

7. Método, de acordo com a reivindicação 6, caracterizado pelo fato de que compreende ainda:

proteger, pelo UE, dados entre o UE e o AN ao usar o algoritmo de proteção de integridade determinado se o mecanismo de segurança de plano de usuário indicar que proteção de integridade é para ser realizada.

8. Método, de acordo com a reivindicação 6 ou 7, caracterizado pelo fato de que proteger, pelo UE, dados entre o UE e o AN ao usar o algoritmo de proteção de criptografia determinado compreende:

Petição 870190113181, de 05/11/2019, pág. 63/66

3/5 determinar, pelo UE, uma identidade de sessão; e proteger, pelo UE, dados correspondendo à identidade de sessão entre o UE e o AN ao usar o algoritmo de proteção de criptografia determinado.

9. Dispositivo de rede de acesso (AN), caracterizado pelo fato de que compreende:

um processador;

um receptor, acoplado ao processador;

um transmissor, acoplado ao processador;

uma memória, acoplada ao processador, armazenando instruções; quando as instruções são executadas o processador é induzido para:

determinar um algoritmo de proteção de criptografia e um algoritmo de proteção de integridade entre o AN e um equipamento de usuário (UE) ;

receber um mecanismo de segurança de plano de usuário; e proteger dados entre o AN e o UE ao usar o algoritmo de proteção de criptografia determinado se o mecanismo de segurança de plano de usuário indicar que proteção de criptografia é para ser realizada.

10. Dispositivo de rede de acesso, de acordo com a reivindicação 9, caracterizado pelo fato de que o processador é induzido para:

proteger dados entre o AN e o UE ao usar o algoritmo de proteção de integridade determinado se o mecanismo de segurança de plano de usuário indicar que proteção de integridade é para ser realizada.

11. Dispositivo de rede de acesso, de acordo com a reivindicação 9 ou 10, caracterizado pelo fato de que o

Petição 870190113181, de 05/11/2019, pág. 64/66

4/5 processador é induzido para:

enviar o algoritmo de proteção de criptografia e algoritmo de proteção de integridade determinados para o UE.

12. Dispositivo de rede de acesso, de acordo com qualquer uma das reivindicações 9 a 11, caracterizado pelo fato de que o processador é induzido para:

enviar o mecanismo de segurança de plano de usuário para o UE, em que o mecanismo de segurança de plano de usuário indica se criptografia é para ser realizada ou se proteção de integridade é para ser realizada.

13. Dispositivo de rede de acesso, de acordo com qualquer uma das reivindicações 9 a 12, caracterizado pelo fato de que o processador é induzido para:

determinar uma identidade de sessão; e proteger dados correspondendo à identidade de sessão entre o AN e o UE ao usar o algoritmo de proteção de criptografia determinado.

14. Equipamento de usuário (UE) , caracterizado pelo fato de que compreende:

um processador;

um receptor, acoplado ao processador;

um transmissor, acoplado ao processador;

receber um algoritmo de proteção de criptografia e um algoritmo de proteção de integridade de um dispositivo de rede de acesso (AN);

receber um mecanismo de segurança de plano de usuário do AN; e

Petição 870190113181, de 05/11/2019, pág. 65/66

5/5 proteger dados entre o UE e o AN ao usar o algoritmo de proteção de criptografia determinado se o mecanismo de segurança de plano de usuário indicar que proteção de criptografia é para ser realizada.

15. UE, de acordo com a reivindicação 14, caracterizado pelo fato de que o processador é induzido para: proteger dados entre o UE e o AN ao usar o algoritmo de proteção de integridade determinado se o mecanismo de segurança de plano de usuário indicar que proteção de integridade é para ser realizada.

16. Meio de armazenamento não transitório de computador, caracterizado pelo fato de que o meio de armazenamento de computador armazena instruções, e quando as instruções são executadas, conforme definido em qualquer uma das reivindicações 6 a 8 é realizada.