BR112020015946A2 - Método e aparelho de negociação de segurança - Google Patents

Método e aparelho de negociação de segurança Download PDF

Info

Publication number
BR112020015946A2
BR112020015946A2 BR112020015946-8A BR112020015946A BR112020015946A2 BR 112020015946 A2 BR112020015946 A2 BR 112020015946A2 BR 112020015946 A BR112020015946 A BR 112020015946A BR 112020015946 A2 BR112020015946 A2 BR 112020015946A2
Authority
BR
Brazil
Prior art keywords
identifier
integrity protection
terminal
protection
user plan
Prior art date
Application number
BR112020015946-8A
Other languages
English (en)
Inventor
Rong Wu
Bo Zhang
Shuaishuai Tan
Original Assignee
Huawei Technologies Co., Ltd.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co., Ltd. filed Critical Huawei Technologies Co., Ltd.
Publication of BR112020015946A2 publication Critical patent/BR112020015946A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • H04W88/085Access point devices with remote components
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

este pedido fornece um método e aparelho de negociação de segurança. o método inclui: receber, por um terminal, informação de negociação de segurança enviada por uma cu-cp/cu-up, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de integridade da cu-up; e determinar, pelo terminal com base no identificador de indicação de proteção de integridade da cu-up, se é para capacitar proteção de integridade de plano de usuário do terminal. deste modo, negociação de segurança de plano de usuário com o terminal pode ser completada em um cenário no qual a cu-cp e a cu-up estão separadas uma da outra.

Description

MÉTODO E APARELHO DE NEGOCIAÇÃO DE SEGURANÇA CAMPO TÉCNICO
[001] Este pedido diz respeito ao campo de comunicações sem fio, e em particular a um método e aparelho de negociação de segurança.
ANTECEDENTES
[002] Uma unidade básica de processamento de uma rede futura em um lado de rede de acesso é dividida em uma unidade centralizada (Centralized Unit, CU) e uma unidade distribuída (Distributed Unit, DU). A unidade centralizada pode ser dividida adicionalmente em uma entidade de função de plano de controle e uma entidade de função de plano de usuário, e correspondentemente existem um dispositivo de elemento de rede de função de plano de controle e um dispositivo de elemento de rede de função de plano de usuário. Especificamente, este desacoplamento de função é principalmente divisão de função adicional de uma unidade centralizada de um dispositivo de rede de acesso. Para garantir a segurança de comunicação neste cenário, um mecanismo de negociação de segurança de acesso efetivo precisa ser fornecido.
[003] Entretanto, um mecanismo de negociação de segurança corrente é principalmente um processo SMC de servidor de autenticação (Authentication Server, AS) em uma tecnologia de evolução de longo prazo (Long Term Evolution, LTE), isto é, um processo de interação entre um terminal e uma estação base. O mecanismo de negociação de segurança na técnica anterior não é aplicável para um cenário no qual uma entidade de função de plano de controle e uma entidade de função de plano de usuário estão separadas uma da outra.
SUMÁRIO
[004] Este pedido fornece um método e aparelho de negociação de segurança, para implementar negociação de segurança em um cenário no qual uma entidade de função de plano de controle e uma entidade de função de plano de usuário estão separadas uma da outra.
[005] De acordo com um primeiro aspecto, este pedido fornece um método de negociação de segurança. O método inclui: receber, por um terminal, informação de negociação de segurança enviada por uma unidade centralizada de plano de controle CU-CP, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de integridade de uma CU-UP; e determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade de plano de usuário do terminal.
[006] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo,
um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[007] Opcionalmente, o método inclui adicionalmente: receber, pelo terminal, informação de interface de ar enviada pela CU-CP, onde a informação de interface de ar inclui um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[008] Opcionalmente, o método inclui adicionalmente:
gerar, pelo terminal, uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[009] Opcionalmente, o método inclui adicionalmente: enviar, pelo terminal, uma primeira solicitação de estabelecimento de sessão para uma entidade de função de gerenciamento de sessão SMF, onde a primeira solicitação de estabelecimento de sessão inclui um ou mais dos seguintes parâmetros: uma parte ou uma pluralidade de partes de S- NSSAI, um DNN, um ID de sessão de PDU, um tipo de solicitação (Request Type), um ID de sessão de PDU antiga e um contêiner de SM de N1 (Solicitação de Estabelecimento de Sessão de PDU).
[010] Opcionalmente, determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade do terminal inclui: determinar, pelo terminal, após enviar a primeira solicitação de estabelecimento de sessão para a SMF, com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade do terminal.
[011] Opcionalmente, determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade do terminal inclui: determinar, pelo terminal quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP está capacitada, para capacitar proteção de integridade de plano de usuário baseada em seção do terminal.
[012] Opcionalmente, determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade do terminal inclui: determinar, pelo terminal quando o identificador de indicação de proteção de integridade da CU-UP indica que a proteção de integridade da CU-UP está capacitada, para capacitar proteção de integridade de plano de usuário do terminal.
[013] Opcionalmente, após determinar, pelo terminal, para capacitar proteção de integridade do terminal, o método inclui adicionalmente: enviar, pelo terminal, um parâmetro de proteção de integridade para a CU-CP.
[014] Opcionalmente, determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade do terminal inclui: determinar, pelo terminal quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP não está capacitada, para não capacitar proteção de integridade do terminal.
[015] Opcionalmente, após determinar, pelo terminal, para não capacitar proteção de integridade do terminal, o método inclui adicionalmente: enviar, pelo terminal, uma resposta de negociação de segurança para a CU-CP, onde a resposta de negociação de segurança inclui um parâmetro de proteção de integridade e um identificador de indicação que é usado para indicar que proteção de integridade do terminal está capacitada.
[016] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de criptografia da CU-UP, e o método inclui adicionalmente: determinar, pelo terminal com base no identificador de indicação de proteção de criptografia da CU-UP, se é para capacitar proteção de criptografia do terminal.
[017] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de criptografia da CU-UP, e o método inclui adicionalmente: determinar, pelo terminal, após a primeira solicitação de estabelecimento de sessão ser enviada para a SMF, com base no identificador de indicação de proteção de criptografia da CU-UP, se é para capacitar proteção de criptografia baseada em sessão do terminal.
[018] Opcionalmente, o método inclui adicionalmente: gerar, pelo terminal, uma chave de proteção de criptografia de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[019] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU- CP.
[020] De acordo com um segundo aspecto, este pedido fornece um método de negociação de segurança. O método inclui: receber, por um terminal, informação de negociação de segurança enviada por uma unidade centralizada de plano de controle CU-CP, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de criptografia de uma CU-UP; e determinar, pelo terminal com base no identificador de indicação de proteção de criptografia da CU-UP, se é para capacitar proteção de criptografia de plano de usuário do terminal.
[021] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[022] Opcionalmente, o método inclui adicionalmente: receber, pelo terminal, informação de interface de ar enviada pela CU-CP, onde a informação de interface de ar inclui um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[023] Opcionalmente, o método inclui adicionalmente: gerar, pelo terminal, uma chave de proteção de criptografia da CU-UP com base no parâmetro de geração de chave.
[024] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de integridade da CU-UP; e o método inclui adicionalmente: determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade de plano de usuário do terminal.
[025] Opcionalmente, determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade de plano de usuário do terminal inclui: determinar, pelo terminal quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP está capacitada, para capacitar proteção de integridade de plano de usuário do terminal.
[026] Opcionalmente, o método inclui adicionalmente: enviar, pelo terminal, uma primeira solicitação de estabelecimento de sessão para uma entidade de função de gerenciamento de sessão SMF, onde a primeira solicitação de estabelecimento de sessão inclui um ou mais dos seguintes parâmetros: uma parte ou uma pluralidade de partes de S- NSSAI, um DNN, um ID de sessão de PDU, um tipo de solicitação (Request Type), um ID de sessão de PDU antiga e um contêiner de SM de N1 (Solicitação de Estabelecimento de Sessão de PDU).
[027] Opcionalmente, determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade do terminal inclui: determinar, pelo terminal, após enviar a primeira solicitação de estabelecimento de sessão para a SMF, com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade do terminal.
[028] Opcionalmente, determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade do terminal inclui: determinar, pelo terminal quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP está capacitada, para capacitar proteção de integridade de plano de usuário baseada em seção do terminal.
[029] Opcionalmente, determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade do terminal inclui: determinar, pelo terminal quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP está capacitada, para capacitar proteção de integridade de plano de usuário do terminal.
[030] Opcionalmente, após determinar, pelo terminal, para capacitar proteção de integridade do terminal, o método inclui adicionalmente: enviar, pelo terminal, um parâmetro de proteção de integridade para a CU-CP.
[031] Opcionalmente, determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade do terminal inclui: determinar, pelo terminal quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP não está capacitada, para não capacitar proteção de integridade do terminal.
[032] Opcionalmente, após determinar, pelo terminal, para não capacitar proteção de integridade do terminal, o método inclui adicionalmente: enviar, pelo terminal, uma resposta de negociação de segurança para a CU-CP, onde a resposta de negociação de segurança inclui um parâmetro de proteção de integridade e um identificador de indicação que é usado para indicar que proteção de integridade do terminal está capacitada.
[033] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de criptografia da CU-UP; e o método inclui adicionalmente: determinar, pelo terminal, após a primeira solicitação de estabelecimento de sessão ser enviada para a SMF, com base no identificador de indicação de proteção de criptografia da CU-UP, se é para capacitar proteção de criptografia baseada em sessão do terminal.
[034] De acordo com um terceiro aspecto, este pedido fornece um método de negociação de segurança. O método inclui: receber, por um terminal, informação de negociação de segurança enviada por uma unidade centralizada de plano de usuário CU-UP, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de integridade da CU-UP; e determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade de plano de usuário do terminal.
[035] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[036] Opcionalmente, o método inclui adicionalmente: receber, pelo terminal, informação de interface de ar enviada pela CU-UP, onde a informação de interface de ar inclui um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[037] Opcionalmente, o método inclui adicionalmente: gerar, pelo terminal, uma chave de proteção de integridade da CU-UP com base no parâmetro de geração de chave.
[038] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de criptografia da CU-UP, e o método inclui adicionalmente: determinar, pelo terminal com base no identificador de indicação de proteção de criptografia da CU-UP, se é para capacitar proteção de criptografia do terminal.
[039] Opcionalmente, o método inclui adicionalmente: gerar, pelo terminal, uma chave de proteção de criptografia da CU-UP com base no parâmetro de geração de chave.
[040] De acordo com um quarto aspecto, este pedido fornece um método de negociação de segurança. O método inclui: receber, por um terminal, informação de negociação de segurança enviada por uma unidade centralizada de plano de usuário CU-UP, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de criptografia da CU-UP; e determinar, pelo terminal com base no identificador de indicação de proteção de criptografia da CU-UP, se é para capacitar proteção de criptografia de plano de usuário do terminal.
[041] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[042] Opcionalmente, o método inclui adicionalmente: receber, pelo terminal, informação de interface de ar enviada pela CU-UP, onde a informação de interface de ar inclui um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[043] Opcionalmente, o método inclui adicionalmente: gerar, pelo terminal, uma chave de proteção de integridade da CU-UP com base no parâmetro de geração de chave.
[044] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de criptografia da CU-UP, e o método inclui adicionalmente: determinar, pelo terminal com base no identificador de indicação de proteção de criptografia da CU-UP, se é para capacitar proteção de criptografia do terminal.
[045] Opcionalmente, o método inclui adicionalmente: gerar, pelo terminal, uma chave de proteção de criptografia da CU-UP com base no parâmetro de geração de chave.
[046] De acordo com um quinto aspecto, este pedido fornece um método de negociação de segurança. O método inclui: determinar, por uma unidade centralizada de plano de controle CU-CP, informação de negociação de segurança, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de integridade de uma CU-UP; e enviar, pela CU-CP, a informação de negociação de segurança para um terminal.
[047] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[048] Opcionalmente, o método inclui adicionalmente: enviar, pela CU-CP, informação de interface de ar para o terminal, onde a informação de interface de ar inclui um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[049] Opcionalmente, o método inclui adicionalmente: gerar, pela CU-CP, uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[050] Opcionalmente, após gerar, pela CU-CP, uma chave de proteção de integridade da CU-UP com base no parâmetro de geração de chave, o método inclui adicionalmente: enviar, pela CU-CP, a chave de proteção de integridade de plano de usuário da CU-UP para a CU-UP.
[051] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de criptografia da CU-UP.
[052] Opcionalmente, o método inclui adicionalmente: gerar, pela CU-CP, uma chave de proteção de criptografia de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[053] Opcionalmente, o método inclui adicionalmente: enviar, pela CU-CP, a chave de proteção de criptografia de plano de usuário da CU-UP para a CU-UP.
[054] Opcionalmente, o método inclui adicionalmente: gerar, pela CU-CP, uma chave base; e enviar, pela CU-CP, a chave base para a CU-UP.
[055] Opcionalmente, o método inclui adicionalmente:
receber, pela CU-CP, uma segunda solicitação de estabelecimento de sessão enviada por uma entidade de função de gerenciamento de sessão SMF após a SMF receber uma primeira solicitação de estabelecimento de sessão enviada pelo terminal; e enviar, pela CU-CP, uma resposta de estabelecimento de sessão para a SMF.
[056] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um ou mais do seguinte: um identificador de algoritmo de proteção de integridade da CU-CP, um identificador de algoritmo de proteção de criptografia da CU-CP, um identificador de algoritmo de proteção de integridade da CU-UP, um identificador de algoritmo de proteção de criptografia da CU-UP e um código de verificação de integridade de mensagem.
[057] De acordo com um sexto aspecto, este pedido fornece um método de negociação de segurança. O método inclui: determinar, por uma CU-CP, informação de negociação de segurança, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de criptografia de uma CU-UP; e enviar, pela CU-CP, a informação de negociação de segurança para um terminal.
[058] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[059] Opcionalmente, o método inclui adicionalmente: enviar, pela CU-CP, informação de interface de ar para o terminal, onde a informação de interface de ar inclui um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[060] Opcionalmente, o método inclui adicionalmente: gerar, pela CU-CP, uma chave de proteção de criptografia de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[061] Opcionalmente, o método inclui adicionalmente: enviar, pela CU-CP, a chave de proteção de criptografia de plano de usuário da CU-UP para a CU-UP.
[062] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de integridade da CU-UP.
[063] Opcionalmente, o método inclui adicionalmente: gerar, pela CU-CP, uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[064] Opcionalmente, após gerar, pela CU-CP, uma chave de proteção de integridade da CU-UP com base no parâmetro de geração de chave, o método inclui adicionalmente: enviar, pela CU-CP, a chave de proteção de integridade de plano de usuário da CU-UP para a CU-UP.
[065] Opcionalmente, o método inclui adicionalmente: gerar, pela CU-CP, uma chave base; e enviar, pela CU-CP, a chave base para a CU-UP.
[066] Opcionalmente, o método inclui adicionalmente: receber, pela CU-CP, uma segunda solicitação de estabelecimento de sessão enviada por uma entidade de função de gerenciamento de sessão SMF após a SMF receber uma primeira solicitação de estabelecimento de sessão enviada pelo terminal; e enviar, pela CU-CP, uma resposta de estabelecimento de sessão para a SMF.
[067] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um ou mais do seguinte: um identificador de algoritmo de proteção de integridade da CU-CP, um identificador de algoritmo de proteção de criptografia da CU-CP, um identificador de algoritmo de proteção de integridade da CU-UP, um identificador de algoritmo de proteção de criptografia da CU-UP e um código de verificação de integridade de mensagem.
[068] De acordo com um sétimo aspecto, este pedido fornece um método de negociação de segurança. O método inclui: determinar, por uma unidade centralizada de plano de usuário CU-UP, informação de negociação de segurança, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de integridade da CU-UP; e enviar, pela CU-UP, a informação de negociação de segurança para um terminal.
[069] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[070] Opcionalmente, o método inclui adicionalmente: enviar, pela CU-UP, informação de interface de ar para o terminal, onde a informação de interface de ar inclui um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[071] Opcionalmente, o método inclui adicionalmente: gerar, pela CU-UP, uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[072] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de criptografia da CU-UP.
[073] Opcionalmente, o método inclui adicionalmente: gerar, pela CU-UP, uma chave de proteção de criptografia de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[074] De acordo com um oitavo aspecto, este pedido fornece um método de negociação de segurança. O método inclui: determinar, por uma unidade centralizada de plano de usuário CU-UP, informação de negociação de segurança, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de criptografia da CU-UP; e enviar, pela CU-UP, a informação de negociação de segurança para um terminal.
[075] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[076] Opcionalmente, o método inclui adicionalmente: enviar, pela CU-UP, informação de interface de ar para o terminal, onde a informação de interface de ar inclui um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
[077] Opcionalmente, o método inclui adicionalmente: gerar, pela CU-UP, uma chave de proteção de criptografia de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[078] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de integridade da CU-UP.
[079] Opcionalmente, o método inclui adicionalmente: gerar, pela CU-UP, uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[080] De acordo com um nono aspecto, este pedido fornece um aparelho de negociação de segurança, onde o aparelho inclui módulos ou meios (means) configurados para realizar os métodos fornecidos no primeiro ao oitavo aspecto e as várias implementações do primeiro ao oitavo aspecto.
[081] De acordo com um décimo aspecto, este pedido fornece um aparelho de negociação de segurança. O aparelho inclui um processador e uma memória. A memória é configurada para armazenar um programa. O processador chama o programa armazenado na memória, para realizar o método fornecido em qualquer um do primeiro aspecto ao quarto aspecto deste pedido. O aparelho pode ser um terminal, ou pode ser um chip em um terminal.
[082] De acordo com um décimo primeiro aspecto, este pedido fornece um aparelho de negociação de segurança. O aparelho inclui um processador e uma memória. A memória é configurada para armazenar um programa. O processador chama o programa armazenado na memória, para realizar o método fornecido no quinto aspecto ou no sexto aspecto deste pedido. O aparelho pode ser uma CU-CP, ou pode ser um chip em uma CU-CP.
[083] De acordo com um décimo segundo aspecto, este pedido fornece um aparelho de negociação de segurança. O aparelho inclui um processador e uma memória. A memória é configurada para armazenar um programa. O processador chama o programa armazenado na memória, para realizar o método fornecido no sétimo aspecto ou no oitavo aspecto deste pedido. O aparelho pode ser uma CU-UP, ou pode ser um chip em uma CU-UP.
[084] De acordo com um décimo terceiro aspecto, este pedido fornece um meio de armazenamento de computador. O meio de armazenamento de computador é configurado para armazenar um programa, e o programa é configurado para realizar qualquer método de acordo com o primeiro aspecto ao oitavo aspecto.
[085] No método e aparelho de negociação de segurança fornecidos neste pedido, a CU-CP ou a CU-UP determina a informação de negociação de segurança, e envia a informação de negociação de segurança para o terminal. Após receber a informação de negociação de segurança, o terminal pode determinar, com base em uma indicação da informação de negociação de segurança, se é para capacitar proteção de integridade de plano de usuário do terminal. Deste modo, negociação de segurança de plano de usuário com o terminal pode ser completada em um cenário no qual a CU-CP e a CU-UP estão separadas uma da outra.
DESCRIÇÃO RESUMIDA DOS DESENHOS
[086] A figura 1 é um diagrama esquemático de um sistema de comunicações; a figura 2 é um outro diagrama esquemático de um cenário de sistema de comunicações; a figura 3 é ainda um outro diagrama esquemático de um cenário de sistema de comunicações; a figura 4 é também um outro diagrama esquemático de um cenário de sistema de comunicações; a figura 5 é um fluxograma esquemático de um método de negociação de segurança de acordo com uma modalidade deste pedido; a figura 6 é um fluxograma esquemático de um método de negociação de segurança de acordo com uma outra modalidade deste pedido; a figura 7 é um diagrama esquemático de geração de chave de acordo com este pedido; a figura 8 é um outro diagrama esquemático de geração de chave de acordo com este pedido; a figura 9 é ainda um outro diagrama esquemático de geração de chave de acordo com este pedido; a figura 10 é um fluxograma esquemático de um método de negociação de segurança de acordo com uma outra modalidade deste pedido; a figura 11 é um fluxograma esquemático de um método de negociação de segurança de acordo ainda com uma outra modalidade deste pedido; a figura 12 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma modalidade deste pedido; a figura 13 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma outra modalidade deste pedido; a figura 14 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma outra modalidade deste pedido; a figura 15 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma outra modalidade deste pedido; a figura 16 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo ainda com uma outra modalidade deste pedido; a figura 17 é um diagrama estrutural esquemático de um aparelho de negociação de segurança também de acordo com uma outra modalidade deste pedido; a figura 18 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma outra modalidade deste pedido; a figura 19 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma outra modalidade deste pedido; a figura 20 é um diagrama estrutural esquemático de um terminal de acordo com uma modalidade deste pedido; a figura 21 é um diagrama estrutural esquemático de uma CU-CP de acordo com uma modalidade deste pedido; e a figura 22 é um diagrama estrutural esquemático de uma
CU-UP de acordo com uma modalidade deste pedido.
DESCRIÇÃO DE MODALIDADES
[087] A figura 1 é um diagrama esquemático de um sistema de comunicações. Tal como mostrado na figura 1, o sistema inclui uma DU, um plano de controle de uma unidade centralizada (CU-Control Plane, CU-CP), e um plano de usuário de uma unidade centralizada (CU-User Plane, CU-UP).
[088] Tal como mostrado na figura 1, o sistema pode ser um sistema de dispositivo de rede, e inclui uma CU-CP, uma pluralidade de DUs e uma pluralidade de CU-UPs. A CU-CP e a DU podem ser conectadas por meio de uma interface F1-C, a CU-UP e a DU podem ser conectadas por meio de uma interface F1-U, e a CU-UP e a CU-CP podem ser conectadas por meio de uma interface E1.
[089] A DU abrange algumas funções de uma camada física para processamento de banda base e de uma camada de controle de acesso a mídia (Media Access Control, MAC)/camada de controle de enlace de rádio (Radio Link Control, RLC). Por causa de um recurso de transmissão entre uma unidade de rádio remota (Radio Remote Unit, RRU) e a DU, funções de camada física de uma parte das DUs podem ser deslocadas para cima para a RRU. Com a miniaturização da RRU, ainda mais radicalmente, a DU pode ser combinada com a RRU. A implementação das DUs depende de um ambiente de rede real. Por exemplo, em uma área urbana central, uma área com densidade de tráfego relativamente alta, uma área com uma distância pequena entre locais e uma área com um recurso de sala de equipamentos limitado, tal como uma universidade e um local de grande desempenho, as DUs podem ser implementadas em um modo centralizado. Em uma área com tráfego relativamente esparso e uma área com uma distância grande entre locais, tal como um subúrbio e uma área montanhosa, as DUs podem ser implementadas em um modo distribuído.
[090] A CU abrange uma pilha de protocolos de camadas mais altas de uma rede de acesso de rádio e algumas funções de uma rede principal, por exemplo, algumas funções de uma camada de controle de recurso de rádio (Radio Resource Control, RRC), uma camada de protocolo de convergência de dados de pacote (Packet Data Convergence Protocol, PDCP) e de outras mais, e também pode suportar deslocar algumas funções de rede principal para baixo para uma rede de acesso. As funções de rede principal podem ser referidas como uma rede de computação em borda, o que pode satisfazer uma exigência maior de uma rede de comunicação futura em uma latência de rede de um serviço emergente, tal como vídeo, compras on-line ou realidade virtual/aumentada.
[091] Após divisão adicional, a CU-CP abrange algumas funções da camada de protocolo RRC e da camada de protocolo PDCP, e principalmente gerencia e escalona recursos da DU e da CU-UP, e gerencia e encaminha sinalização de controle.
[092] A CU-UP abrange principalmente algumas funções da camada de protocolo PDCP, e principalmente transmite dados de usuário (Tráfego de UP), e quando uma sessão chega, transmite dados.
[093] Em uma rede futura de quinta geração (5G), suportada especialmente por uma tecnologia de nuvem, desacoplamento de um plano de usuário e de um plano de controle pode implementar conexão simultânea de redes de padrões diferentes. A sinalização de plano de controle relacionada com uma sessão de serviço é carregada em uma rede convencional que tem cobertura contínua implementada. Em um plano de dados, dados de alta velocidade são carregados na rede 5G em uma área com cobertura de rede 5G, e são carregados em uma rede convencional em uma área sem cobertura de rede 5G. Deste modo, a rede 5G pode ser implementada completamente sob demanda, e cobertura contínua não precisa ser considerada.
[094] Durante implementação específica, uma DU pode ser conectada a uma CU-UP, e uma CU-UP é conectada a uma CU-CP. Em um caso especial, uma CU-UP pode ser conectada a uma pluralidade de CU-CPs. Uma pluralidade de CU-UPs pode ser conectada a uma DU. Uma pluralidade de DUs pode ser conectada a uma CU-UP. Isto não está limitado neste pedido. O exposto a seguir descreve vários cenários típicos, e os cenários são aplicáveis para um método fornecido neste pedido.
[095] A figura 2 é um outro diagrama esquemático de um cenário de sistema de comunicações.
[096] Tal como mostrado na figura 2, uma CU-CP e uma CU-UP estão em uma localização de implementação centralizada, por exemplo, posicionadas em uma sala de equipamentos.
[097] Deste modo, uma tecnologia de nuvem é usada de modo melhor, e ambas de a CU-CP e a CU-UP podem ser implementadas por meio de virtualização. A CU-CP está localizada em um centro, para fornecer de modo melhor balanceamento de carga e coordenação de recursos para uma DU.
[098] A figura 3 é ainda um outro diagrama esquemático de um cenário de sistema de comunicações.
[099] Tal como mostrado na figura 3, uma CU-CP está posicionada em recinto aberto, assim como uma DU, e uma CU- CP gerencia uma DU. Isto é aplicado a um cenário no qual existe uma quantidade grande de operações de sinalização. A CU-CP gerencia uma única DU. Por exemplo, isto é aplicado para comunicação crítica (critical) e um cenário no qual uma chave precisa ser mudada periodicamente. Entretanto, uma CU-UP pode ser implementada utilizando uma nuvem, isto é, implementada utilizando um servidor de nuvem (cloud).
[0100] Uma latência entre a CU-CP e a CU-UP é aumentada. Isto é aplicado a um cenário no qual existem quantidades grandes de restabelecimentos de enlaces, transferências entre células e transições de estado, especialmente, por exemplo, um cenário de mobilidade tal como a Internet de veículos.
[0101] A figura 4 é também um outro diagrama esquemático de um cenário de sistema de comunicações.
[0102] Tal como mostrado na figura 4, o cenário pode ser, por exemplo, um cenário de comunicação altamente confiável (Ultra Reliable & Low Latency Communication, URLLC), no qual transmissão (traffic) de UP após uma interação central pode ser realizada, ou implementação de nuvem pode ser realizada em um lado de UP, para implementar uma latência baixa de transmissão de dados, por exemplo, comunicação crítica de missão crítica (critical) (Mission Critical Communication, MTC).
[0103] Este pedido fornece um método de negociação de segurança, aplicado a um cenário no qual uma CU-CP e uma CU-UP estão separadas uma da outra, por exemplo, o cenário mencionado anteriormente. Entretanto, isto não está limitado ao cenário mencionado anteriormente.
[0104] Nesta modalidade deste pedido, um terminal (terminal device) inclui, mas não está limitado a isto, uma estação móvel (MS, Mobile Station), um terminal móvel (Mobile Terminal), um telefone móvel (Mobile Telephone), um aparelho de telefone (handset), equipamento portátil (portable equipment) e outros mais. O terminal pode se comunicar com uma ou mais redes principais por meio de uma rede de acesso de rádio (RAN, Radio Access Network). Por exemplo, o terminal pode ser um telefone móvel (ou referido como um telefone “celular”), ou um computador tendo uma função de comunicação sem fio; o terminal também pode ser um computador portátil, de bolso, de mão, incorporado, ou aparelho ou dispositivo móvel montado em veículo.
[0105] Um dispositivo de rede pode ser um dispositivo configurado para se comunicar com o terminal. Por exemplo, o dispositivo de rede pode ser uma estação base transceptora (Base Transceiver Station, BTS) em um sistema GSM ou em sistema CDMA, ou pode ser um NóB (NodeB, NB) em um sistema WCDMA, ou pode ser um Nó B evoluído (Evolved Node B, eNB ou eNodeB) em um sistema LTE ou um gNB em uma rede 5G futura.
[0106] A figura 5 é um fluxograma esquemático de um método de negociação de segurança de acordo com uma modalidade deste pedido. Tal como mostrado na figura 5, o método inclui as etapas seguintes.
[0107] S501: Uma CU-CP determina informação de negociação de segurança.
[0108] S502: A CU-CP envia a informação de negociação de segurança para um terminal.
[0109] A informação de negociação de segurança inclui um identificador de indicação de proteção de integridade (indicação de integridade de UP) de uma CU-UP.
[0110] O identificador de indicação de proteção de integridade da CU-UP é usado para indicar se proteção de integridade da CU-UP está capacitada.
[0111] A informação de negociação de segurança pode ser carregada em um comando de modo de segurança de AS (AS Security Mode Command), ou carregada em um comando de modo de segurança de CP (Security Mode Command), ou carregada em um comando tal como uma mensagem de reconfiguração de interface de ar (Solicitação de Reconfiguração de RRC). Isto não está limitado neste pedido.
[0112] Em uma implementação opcional, antes da S501, a CU-CP obtém chaves de todas as CU-UPs. A CU-CP pode gerar as chaves de todas as CU-UPs, ou as CU-UPs podem enviar as chaves das CU-UPs para a CU-CP. Isto não está limitado neste documento.
[0113] O identificador de indicação de proteção de integridade da CU-UP pode ser um valor de 1 bit ou de 1 byte ou símbolo de texto. Por exemplo, “0” indica que proteção de integridade não está capacitada, “1” indica que proteção de integridade está capacitada. Alternativamente, um símbolo de texto pode indicar se proteção de integridade está capacitada. Por exemplo, “VERDADEIRO” indica que a proteção de integridade está capacitada, e “FALSO” indica que a proteção de integridade não está capacitada.
[0114] Opcionalmente, pode ser pré-especificado, por exemplo, especificado em um padrão, ou pré-configurado,
que proteção de criptografia da CU-UP está capacitada por padrão.
[0115] S503: O terminal determina, com base na informação de negociação de segurança, se é para capacitar proteção de integridade de plano de usuário do terminal.
[0116] Após receber a informação de negociação de segurança, o terminal pode determinar, com base em uma indicação da informação de negociação de segurança, se é para capacitar proteção de integridade de plano de usuário do terminal. Especificamente, se é para capacitar proteção de integridade de plano de usuário do terminal pode ser determinado de acordo com uma regra predefinida.
[0117] Nesta modalidade, a CU-CP determina informação de negociação de segurança, e envia a informação de negociação de segurança para o terminal. Após receber a informação de negociação de segurança, o terminal pode determinar, com base em uma indicação da informação de negociação de segurança, se é para capacitar proteção de integridade de plano de usuário do terminal. Deste modo, negociação de segurança de plano de usuário com o terminal pode ser completada em um cenário no qual a CU-CP e a CU-UP estão separadas uma da outra.
[0118] Opcionalmente, a informação de negociação de segurança pode incluir adicionalmente um identificador de proteção de criptografia (indicação de Confidencialidade de UP) da CU-UP. O identificador de proteção de criptografia da CU-UP é usado para indicar se proteção de criptografia da CU-UP está capacitada.
[0119] De modo similar, o identificador de proteção de criptografia da CU-UP pode ser um valor de 1 bit ou de 1 byte ou símbolo de texto. Por exemplo, “0” indica que proteção de criptografia não está capacitada, “1” indica que proteção de criptografia está capacitada. Alternativamente, um símbolo de texto pode indicar se proteção de criptografia está capacitada. Por exemplo, “VERDADEIRO” indica que proteção de criptografia está capacitada, e “FALSO” indica que proteção de criptografia não está capacitada.
[0120] Se o identificador de proteção de criptografia da CU-UP indicar que proteção de criptografia da CU-UP está capacitada, o terminal determina para capacitar proteção de criptografia de plano de usuário do terminal. De outro modo, o terminal não capacita proteção de criptografia de plano de usuário do terminal.
[0121] A figura 6 é um fluxograma esquemático de um método de negociação de segurança de acordo com uma outra modalidade deste pedido. Tal como mostrado na figura 6, o método inclui as etapas seguintes.
[0122] S601: Uma CU-CP determina informação de negociação de segurança.
[0123] S602: A CU-CP envia a informação de negociação de segurança para um terminal, onde a informação de negociação de segurança inclui um identificador de proteção de criptografia de uma CU-UP.
[0124] O identificador de proteção de criptografia da CU-UP é usado para indicar se proteção de criptografia da CU-UP está capacitada.
[0125] S603: O terminal determina, com base na informação de negociação de segurança, se é para capacitar proteção de criptografia de plano de usuário do terminal.
[0126] Opcionalmente, quando a informação de negociação de segurança inclui o “identificador de indicação de proteção de criptografia da CU-UP”, pode ser pré-especificado, por exemplo, especificado em um padrão, ou pré-configurado, que proteção de integridade da CU-UP está capacitada por padrão.
[0127] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de integridade da CU-UP.
[0128] Em uma implementação, a informação de negociação de segurança inclui adicionalmente um ou mais do seguinte: um identificador de algoritmo de proteção de integridade da CU-CP, um identificador de algoritmo de proteção de criptografia da CU-CP, um identificador de algoritmo de proteção de integridade da CU-UP, um identificador de algoritmo de proteção de criptografia da CU-UP e um código de verificação de integridade de mensagem.
[0129] Especificamente, o identificador de algoritmo de proteção de integridade da CU-CP pode ser um identificador de algoritmo de proteção de integridade de plano de controle da CU-CP, e o identificador de algoritmo de proteção de criptografia da CU-CP pode ser um identificador de algoritmo de proteção de criptografia de plano de controle da CU-CP. Especificamente, o identificador de algoritmo de proteção de integridade da CU-UP pode ser um identificador de algoritmo de proteção de integridade de plano de usuário da CU-UP, e o identificador de algoritmo de proteção de criptografia da CU-UP pode ser um identificador de algoritmo de proteção de criptografia de plano de usuário da CU-UP.
[0130] Opcionalmente, em um cenário, a CU-CP e a CU-UP têm um mesmo algoritmo de proteção de integridade, e neste caso a informação de negociação de segurança pode indicar um identificador de algoritmo de proteção de integridade; e/ou a CU-CP e a CU-UP têm um mesmo algoritmo de proteção de criptografia, e neste caso a informação de negociação de segurança pode indicar um identificador de algoritmo de proteção de criptografia.
[0131] Deve ser notado que a CU-CP e a CU-UP podem negociar o algoritmo de proteção de integridade e/ou o algoritmo de proteção de criptografia antecipadamente.
[0132] Por exemplo, a CU-CP envia informação de negociação de algoritmo para a CU-UP, e a CU-UP determina o algoritmo de proteção de integridade da CU-UP e/ou o algoritmo de proteção de criptografia da CU-UP, e envia uma resposta de negociação de algoritmo para a CU-CP. A resposta de negociação de algoritmo indica o algoritmo de proteção de integridade da CU-CP e/ou o algoritmo de proteção de criptografia da CU-UP. Adicionalmente, a CU-CP determina os algoritmos de proteção de integridade da CU-CP e da CU-UP e/ou os algoritmos de proteção de criptografia da CU-CP e da CU-UP com base na resposta de negociação de algoritmo.
[0133] Deve ser notado que o algoritmo de proteção de integridade inclui um algoritmo de proteção de integridade de plano de controle e um algoritmo de proteção de integridade de plano de usuário, e o algoritmo de criptografia inclui um algoritmo de criptografia de plano de controle e um algoritmo de criptografia de plano de usuário.
[0134] O algoritmo de proteção de integridade de plano de controle é um algoritmo usado para realizar proteção de integridade em sinalização, e o algoritmo de proteção de criptografia de plano de controle é um algoritmo usado para realizar proteção de criptografia em sinalização.
[0135] O algoritmo de proteção de integridade de plano de usuário é um algoritmo usado para realizar proteção de integridade em dados de usuário, e o algoritmo de proteção de criptografia de plano de usuário é um algoritmo usado para realizar proteção de criptografia em dados.
[0136] Algoritmos processados pela CU-CP incluem principalmente um algoritmo de proteção de integridade de plano de controle e um algoritmo de criptografia de plano de controle, e incluem também um algoritmo de proteção de integridade de plano de usuário e um algoritmo de criptografia de plano de usuário. A CU-UP processa principalmente um algoritmo de proteção de integridade de plano de usuário e um algoritmo de criptografia de plano de usuário. Não é excluído que subsequentemente uma DU também precisa processar um algoritmo de proteção de integridade e um algoritmo de criptografia em um plano de controle e/ou em um plano de controle e um plano de usuário.
[0137] Após receber a informação de negociação de segurança, o terminal primeiro pode verificar integridade da informação de negociação de segurança, e então primeiro capacitar descriptografia de enlace descendente de uma mensagem de controle de recurso de rádio de plano de controle (Radio Resource Control, RRC) e proteção de integridade da mensagem RRC, e então determinar se proteção de integridade da CU-UP e proteção de criptografia da CU-UP estão capacitadas.
[0138] Opcionalmente, que o terminal determina, com base na informação de negociação de segurança, se é para capacitar proteção de criptografia do terminal e/ou proteção de integridade do terminal pode incluir pelo menos um dos casos seguintes: (1) Se a informação de negociação de segurança incluir o identificador de indicação de proteção de integridade da CU-UP, e o identificador de indicação de proteção de integridade da CU-UP indicar que proteção de integridade da CU-UP está capacitada, o terminal determina para capacitar proteção de integridade de plano de usuário do terminal; se o identificador de indicação de proteção de integridade da CU-UP indicar que proteção de integridade da CU-UP não está capacitada, o terminal não capacita proteção de integridade de plano de usuário do terminal. (2) A informação de negociação de segurança inclui o identificador de indicação de proteção de criptografia da CU-UP, e o identificador de indicação de proteção de criptografia da CU-UP indica que proteção de criptografia da CU-UP está capacitada. Neste caso, o terminal determina para capacitar proteção de criptografia de plano de usuário do terminal; se o identificador de indicação de proteção de criptografia da CU-UP indicar que proteção de criptografia da CU-UP não está capacitada, o terminal não capacita proteção de criptografia de plano de usuário do terminal.
[0139] Adicionalmente, o terminal envia uma resposta de negociação de segurança para a CU-CP.
[0140] Se o terminal determinar para capacitar proteção de integridade do terminal, a resposta de negociação de segurança inclui um parâmetro de proteção de integridade.
[0141] Se o terminal determinar para não capacitar proteção de integridade do terminal, a resposta de negociação de segurança inclui um identificador de indicação de proteção de integridade, um parâmetro de proteção de integridade e outros mais do terminal. O identificador de indicação de proteção de integridade do terminal é usado para indicar se o terminal capacita proteção de integridade.
[0142] O parâmetro de proteção de integridade pode ser um código de proteção de integridade de mensagem (Message Authentication Code for Integrity, MAC-I).
[0143] Deve ser notado que, se o terminal determinar para capacitar proteção de criptografia de plano de usuário do terminal, o terminal pode capacitar proteção de criptografia de plano de usuário do terminal após receber a informação de negociação de segurança; e/ou se o terminal determinar para capacitar proteção de integridade de plano de usuário do terminal, o terminal pode capacitar proteção de integridade de plano de usuário do terminal após receber a informação de negociação de segurança.
[0144] Em um outro modo, se o terminal determinar para capacitar proteção de criptografia, o terminal pode capacitar proteção de criptografia do terminal ao enviar a resposta de negociação de segurança; e/ou se o terminal determinar para capacitar proteção de integridade do terminal, o terminal pode capacitar proteção de integridade do terminal ao enviar a resposta de negociação de segurança.
[0145] Opcionalmente, antes de determinar, pela CU- CP, informação de negociação de segurança, o método pode incluir adicionalmente: determinar, pela CU-CP, se o identificador de indicação de proteção de integridade da CU-UP está ativado.
[0146] Se o identificador de indicação de proteção de integridade da CU-UP estiver ativado, proteção de descriptografia de enlace descendente da CU-UP é determinada para ser capacitada. Além disso, a CU-CP e/ou a CU-UP registra adicionalmente um valor corrente do identificador de indicação de proteção de integridade da CU-UP.
[0147] Adicionalmente, a CU-CP estabelece um valor identificador da CU-CP, e o valor identificador é denotado como um “identificador de CU-CP (indicação de CP)”. Após a CU-CP determinar que ambos o terminal e a CU-UP capacitam proteção de criptografia, um valor do identificador de CU- CP é estabelecido como “ativado”. Por exemplo, um identificador de CU-CP “1” indica “ativado”, e um identificador de CU-CP “0” indica “desativado”. Alternativamente, o valor do identificador de CU-CP também pode ser um símbolo de texto. Por exemplo, “VERDADEIRO” indica “capacitado”, e “FALSO” indica “não capacitado”. Alternativamente, o identificador de CU-CP pode incluir um identificador de proteção de criptografia da CU-CP e um identificador de proteção de integridade da CU-CP. A CU-CP pode notificar o terminal imediatamente após ativação, ou a CU-CP pode notificar o terminal de alguma informação relacionada (por exemplo, informação de instância de CU-UP configurada, um ID de túnel da CU-UP e informação de proteção relacionada), e o terminal determina se o identificador de proteção de integridade da CU-CP está ativado. Isto não está limitado neste pedido.
[0148] Opcionalmente, em um outro modo, a CU-CP envia o identificador de CU-CP para o terminal, e o terminal determina, com base no identificador de CU-CP, se é para capacitar proteção de criptografia de plano de controle do terminal. Por exemplo, quando o identificador de CU-CP indica “ativado”, o terminal capacita proteção de criptografia de plano de controle do terminal. Se o identificador de CU-CP indicar “desativado”, o terminal não capacita proteção de criptografia de plano de controle do terminal.
[0149] Com base na modalidade exposta anteriormente, ambos de a CU-CP e o terminal precisam gerar uma chave. Especificamente, uma chave de proteção de integridade de plano de usuário da CU-UP, uma chave de proteção de criptografia de plano de usuário da CU-UP e outras mais são geradas.
[0150] A CU-CP e o terminal podem gerar uma chave de proteção de integridade, uma chave de criptografia e outras mais com base em uma chave de segurança (denotada como K-AN) de uma rede de acesso (Access Network, AN). A rede de acesso pode ser um dos dispositivos de rede mencionados anteriormente. Detalhes não são descritos aqui novamente. A chave de segurança pode ser uma chave de segurança compartilhada pelo dispositivo de rede, pelo terminal e por outros mais.
[0151] Deve ser notado que um algoritmo de geração de chave pode ser uma função de derivação de chave (Key Derivation Function, KDF) ou um algoritmo HMAC-SHA256, mas não está limitado a isto. A chave pode ser gerada ao introduzir, no algoritmo de geração de chave, um parâmetro que precisa ser usado.
[0152] A figura 7 é um diagrama esquemático de geração de chave de acordo com este pedido.
[0153] Em uma implementação, tal como mostrado na figura 7, uma CU-CP gera uma chave de proteção de integridade de plano de usuário de uma CU-UP com base em um identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, em um identificador de algoritmo de proteção de integridade de plano de usuário da CU-UP e em uma K-AN; e/ou a CU-CP gera uma chave de proteção de criptografia de plano de usuário da CU-UP com base em um identificador de tipo de algoritmo de proteção de criptografia da CU-UP, em um identificador de algoritmo de proteção de criptografia de plano de usuário da CU-UP e na K-AN.
[0154] De modo similar, a CU-CP gera uma chave de proteção de integridade da CU-CP com base em um identificador de tipo de algoritmo de proteção de integridade de plano de controle da CU-CP, em um identificador de algoritmo de proteção de integridade de plano de controle da CU-CP e na K-AN. A CU-CP gera uma chave de proteção de criptografia da CU-CP com base em um identificador de tipo de algoritmo de proteção de criptografia de plano de controle da CU-CP, em um identificador de algoritmo de proteção de criptografia de plano de controle da CU-CP e na K-AN.
[0155] O identificador de tipo de algoritmo indica um tipo de um algoritmo. Por exemplo, um algoritmo de proteção de criptografia de plano de usuário é “UP-enc- alg”, e um valor de tipo do algoritmo é 0x05. Uma entrada identificadora do algoritmo de proteção de criptografia de plano de usuário pode ser um identificador de texto “UP- enc-alg”, ou um valor correspondente 0x05, ou um símbolo de texto de um valor.
[0156] Um terminal gera uma chave de proteção de integridade da CU-UP com base no identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, no identificador de algoritmo de proteção de integridade de plano de usuário da CU-UP, e na K-AN; e/ou o terminal gera uma chave de criptografia de plano de usuário com base no identificador de tipo de algoritmo de proteção de criptografia de plano de usuário da CU-UP, no identificador de algoritmo de proteção de criptografia de plano de usuário da CU-UP e na K-AN.
[0157] Opcionalmente, o terminal gera uma chave de proteção de integridade de plano de controle da CU-CP com base no identificador de tipo de algoritmo de proteção de integridade de plano de controle da CU-CP, no identificador de algoritmo de proteção de integridade de plano de controle da CU-CP e na K-AN, e gera uma chave de proteção de criptografia de plano de controle da CU-CP com base no identificador de tipo de algoritmo de proteção de criptografia de plano de controle da CU-CP, no identificador de algoritmo de proteção de criptografia de plano de controle da CU-CP e na K-AN.
[0158] Adicionalmente, o terminal e a CU-CP podem também negociar informação relacionada para gerar uma chave.
[0159] Em uma implementação, um parâmetro de geração de chave é carregado na informação de negociação de segurança.
[0160] Em uma outra implementação, a CU-CP envia o parâmetro de geração de chave para o terminal.
[0161] O parâmetro de geração de chave pode ser: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP ou similares.
[0162] O identificador de CU-UP pode ser um identificador de túnel, por exemplo, um TEID. O identificador de instância pode ser um identificador de instância de CU-CP, um identificador de instância de CU-UP ou um identificador de instância de DU.
[0163] O parâmetro novo pode ser um Identificador Único de número aleatório ou número aleatório ou similares. O identificador de portadora pode ser um ID de DRB ou um ID de portadora.
[0164] Por exemplo, o algoritmo de proteção de integridade pode ser um algoritmo nulo “NIA 0”, e um valor correspondente é “0000” em binário. O algoritmo de proteção de integridade pode ser um algoritmo baseado em 3G SNOW de 128 bits “128-NIA 1”, e um valor correspondente é “0001” em binário. O algoritmo de proteção de integridade pode ser um algoritmo baseado em AES de 128 bits “128-NIA 2”, e um valor correspondente é “0010” em binário. Uma entrada identificadora do algoritmo de proteção de integridade pode ser um identificador de texto de nome de algoritmo, ou um valor correspondente, ou um símbolo de texto de um valor.
[0165] Alternativamente, o algoritmo de proteção de criptografia pode ser um algoritmo de criptografia nulo “NEA 0”, e um valor correspondente é “0000” em binário. O algoritmo de proteção de criptografia pode ser um algoritmo baseado em 3G SNOW de 128 bits “128-NEA 1”, e um valor correspondente é “0001” em binário. O algoritmo de proteção de criptografia pode ser um algoritmo baseado em AES de 128 bits “128-NEA 2”, e um valor correspondente é “0010” em binário. O algoritmo de proteção de criptografia pode ser um algoritmo baseado em ZUC de 128 bits “128-NEA 3”, e um valor correspondente é “0011” em binário. Uma entrada identificadora do algoritmo de proteção de criptografia pode ser um identificador de texto de nome de algoritmo, ou um valor correspondente, ou um símbolo de texto de um valor.
[0166] A figura 8 é um outro diagrama esquemático de geração de chave de acordo com este pedido.
[0167] Após determinar um algoritmo de proteção de integridade de uma CU-UP e/ou um algoritmo de proteção de criptografia da CU-UP, um terminal adicionalmente pode gerar uma chave com referência para o parâmetro de geração de chave mencionado anteriormente.
[0168] Especificamente, o terminal gera uma chave de proteção de integridade da CU-UP com base no parâmetro de geração de chave, em um identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, em um identificador de algoritmo de proteção de integridade de plano de usuário da CU-UP e em uma K-AN; e/ou o terminal gera uma chave de proteção de criptografia da CU-UP com base no parâmetro de geração de chave, em um identificador de tipo de algoritmo de proteção de criptografia de plano de usuário da CU-UP, em um identificador de algoritmo de proteção de criptografia de plano de usuário da CU-UP e na K-AN.
[0169] De modo similar, uma CU-CP adicionalmente pode gerar a chave de proteção de integridade da CU-UP com base no parâmetro de geração de chave, no identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, no identificador de algoritmo de proteção de integridade de plano de usuário da CU-UP e na K-AN; e/ou a CU-CP gera a chave de proteção de criptografia da CU- UP com base no parâmetro de geração de chave, no identificador de tipo de algoritmo de proteção de criptografia de plano de usuário da CU-UP, no identificador de algoritmo de proteção de criptografia de plano de usuário da CU-UP e na K-AN.
[0170] A figura 9 é ainda um outro diagrama esquemático de geração de chave de acordo com este pedido.
[0171] Em um processo de geração de chave, identificadores de CU-UPs diferentes podem ser considerados adicionalmente. Deste modo, cada CU-UP corresponde a uma chave diferente.
[0172] Correspondentemente, pode ser entendido que a CU-UP corresponde a chaves de plano de usuário diferentes. Por exemplo, se a CU-UP corresponder a um procedimento de estabelecimento de sessão, a chave de proteção de criptografia de plano de usuário e a chave de proteção de integridade de plano de usuário podem ser com base em uma granularidade de sessão, e duas sessões têm chaves de proteção de plano de usuário diferentes. Em outras palavras, uma chave de criptografia de uma sessão é diferente de uma chave de criptografia da outra sessão, e chaves de proteção de integridade das sessões também são diferentes. Se a CU-UP corresponder a um procedimento de configuração de portadora, tal como uma portadora ou uma DRB, a chave de proteção de criptografia de plano de usuário e a chave de proteção de integridade de plano de usuário podem ser baseadas em uma granularidade de portadora, e duas portadoras têm chaves de proteção de plano usuário diferentes. Em outras palavras, uma chave de criptografia de uma portadora é diferente de uma chave de criptografia de uma outra portadora, e chaves de proteção de integridade das portadoras também são diferentes.
[0173] Tal como mostrado na figura 9, um terminal gera uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave, em um identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, em um identificador de algoritmo de proteção de integridade de plano de usuário da CU-UP, em um identificador da CU-UP e em uma K-AN; e/ou o terminal gera uma chave de proteção de criptografia da CU-UP com base no parâmetro de geração de chave, em um identificador de tipo de algoritmo de proteção de criptografia de plano de usuário da CU-UP, em um identificador de algoritmo de proteção de criptografia de plano de usuário da CU-UP, no identificador da CU-UP e na K-AN.
[0174] Referindo-se à figura 9, o terminal primeiro pode gerar uma chave inicial com base no parâmetro de geração de chave e na K-AN, e então substituir o identificador da CU-UP, o identificador de tipo de algoritmo de proteção de integridade, o identificador de algoritmo de proteção de integridade, (opcionalmente, o parâmetro de geração de chave é incluído adicionalmente) e outros mais, para gerar a chave de proteção de integridade. De modo similar, o terminal primeiro pode gerar a chave inicial com base no parâmetro de geração de chave e na K- AN, e então substituir o identificador da CU-UP, o identificador de tipo de algoritmo de proteção de criptografia, o identificador de algoritmo de proteção de criptografia, (opcionalmente, o parâmetro de geração de chave é incluído adicionalmente) e outros mais, para gerar a chave de proteção de criptografia.
[0175] Nesta modalidade, após obter o identificador da CU-UP, a CU-CP envia adicionalmente o identificador da CU-UP para o terminal.
[0176] O identificador da CU-UP pode ser um identificador que esteja relacionado com diferenciação de entidade da CU-UP, tal como um ID de túnel (Tunnel).
[0177] Opcionalmente, uma chave pode ser gerada pela CU-UP. Especificamente, a CU-CP gera uma chave base e envia a chave base para a CU-UP, e a CU-UP gera uma chave de proteção de integridade com base no identificador da CU- UP, na chave base e na chave. Alternativamente, a CU-UP gera uma chave de proteção de integridade da CU-UP com base no identificador da CU-UP, em uma chave base e no parâmetro de geração de chave. Opcionalmente, ao enviar a chave base, a CU-CP envia também o algoritmo de proteção de integridade da CU-UP e o parâmetro de geração de chave para a CU-UP.
[0178] A chave base pode ser a K-AN, uma chave de segurança compartilhada com o terminal, uma chave de segurança gerada pela CU-CP com base na K-AN ou similares.
[0179] De modo similar, a CU-UP gera a chave de proteção de criptografia da CU-UP com base no identificador da CU-UP, na chave base, no identificador de tipo de algoritmo de proteção de criptografia da CU-UP e no identificador de algoritmo de criptografia da CU-UP. Alternativamente, a CU-UP gera a chave de proteção de criptografia da CU-UP com base no identificador da CU-UP, na chave base, no identificador de tipo de algoritmo de proteção de criptografia da CU-UP e no parâmetro de geração de chave.
[0180] Deve ser notado que a CU-UP e uma DU podem ser implementadas conjuntamente em um modo distribuído. Portanto, a DU também pode ter uma capacidade de geração de chave. Neste caso, precisa ser considerado que um identificador da DU é adicionado.
[0181] Com base nas modalidades expostas anteriormente, o procedimento de estabelecimento de sessão ou o procedimento de configuração de portadora é incluído adicionalmente.
[0182] A figura 10 é um fluxograma esquemático de um método de negociação de segurança de acordo com uma outra modalidade deste pedido. Tal como mostrado na figura 10, o método inclui as etapas seguintes.
[0183] S111: Um terminal envia uma primeira solicitação de estabelecimento de sessão para uma entidade de função de gerenciamento de sessão (Session Management Function, SMF).
[0184] Em outras palavras, o terminal inicia estabelecimento de sessão. Certamente, este pedido não está limitado a isto. Alternativamente, um dispositivo de lado de rede, tal como a SMF, pode iniciar uma solicitação de estabelecimento de sessão. Em outras palavras, a SMF envia a primeira solicitação de estabelecimento de sessão para o terminal. Isto não está limitado neste documento.
[0185] A primeira solicitação de estabelecimento de sessão inclui um ou mais dos seguintes parâmetros: informação de auxílio de seleção de fatia de rede servidora (Serving-Network Slice Selection Assistance Information, S- NSSAI(s)), um nome de rede de dados (Data Network Name,
DNN), um ID de sessão (Session) de unidade de dados de protocolo (Protocol Data Unit, PDU), um tipo de solicitação (Request Type), um ID de sessão de PDU antiga e um contêiner de gerenciamento de sessão (Session Management, SM) de N1 (solicitação de estabelecimento de sessão de PDU, Session Establishment Request). N1 é um nome de uma interface entre o terminal e uma AMF. Um contêiner de SM de N1 é um contêiner relacionado com uma sessão entre o terminal e a AMF.
[0186] S112: A SMF envia uma segunda solicitação de estabelecimento de sessão para uma CU-CP.
[0187] A segunda solicitação de estabelecimento de sessão inclui um ou mais dos seguintes parâmetros: informação de gerenciamento de sessão (N2 SM information) entre a AMF e uma RAN, e uma mensagem de estrato não de acesso (Non-Access Stratum, NAS) (o ID de sessão de PDU e o contêiner de SM de N1 (Aceitação de Estabelecimento de Sessão de PDU)). N2 é um nome de uma interface entre a AMF e uma rede de acesso de rádio (RAN).
[0188] Opcionalmente, a SMF transmite de forma transparente a segunda solicitação de estabelecimento de sessão para a CU-CP por meio de uma entidade de função de controle de mobilidade (Access and Mobility Function, AMF).
[0189] S113: A CU-CP seleciona uma CU-UP alvo. Pode existir um ou mais CU-UPs alvos.
[0190] Opcionalmente, após receber a segunda solicitação de estabelecimento de sessão, a CU-CP primeiro seleciona a CU-UP alvo, isto é, uma CU-UP alvo para a qual uma conexão de sessão precisa ser estabelecida.
[0191] Para um processo de configuração de portadora, a CU-CP seleciona uma solicitação de configuração de portadora e envia a solicitação de configuração de portadora para a CU-UP alvo, e completa a ativação e negociação de segurança de plano de usuário seguinte na solicitação de configuração de portadora.
[0192] Em uma modalidade, S113 é realizada antes de a CU-CP determinar informação de negociação de segurança. Após selecionar a CU-UP alvo, a CU-CP obtém um identificador de indicação de proteção de integridade de plano de usuário baseada em seção da CU-UP alvo e/ou um identificador de indicação de proteção de criptografia da CU-UP com base em um identificador da CU-UP alvo. Um pré- requisito é que a CU-CP primeiro obtém identificadores de indicação de proteção de integridade de todas as CU-UPs e/ou identificadores de indicação de proteção de criptografia das CU-UPs, seleciona, com base no identificador da CU-UP alvo, o identificador de indicação de proteção de integridade de uma CU-UP da CU-UP alvo e/ou o identificador de indicação de proteção de criptografia da CU-UP alvo dos identificadores da CU-UPs.
[0193] Opcionalmente, o identificador de indicação de proteção de integridade da CU-UP alvo e o identificador de indicação de proteção de criptografia da CU-UP podem não ser pesquisados. Em um processo de estabelecimento de sessão, por padrão, a proteção de integridade da CU-UP pode não ser capacitada e proteção de criptografia da CU-UP pode não ser capacitada. Especificamente, isto pode ser pré- configurado ou especificado em um padrão ou em um protocolo. Isto não está limitado neste pedido.
[0194] S114: A CU-CP gera uma chave de proteção de criptografia da CU-UP e uma chave de proteção de integridade da CU-UP com base no identificador da CU-UP alvo.
[0195] Em outras palavras, a chave de proteção de criptografia da CU-UP e a chave de proteção de integridade da CU-UP podem ser geradas no processo de estabelecimento de sessão utilizando o método mostrado na figura 9. Entretanto, isto também não está limitado. Se a chave for gerada em um modo tal como na figura 7 e na figura 8, em que o identificador da CU-UP não é introduzido, a chave também pode ser gerada antes de negociação de segurança. Uma ocasião específica para gerar a chave não está limitada neste pedido. Se a CU-CP gerar a chave de proteção de criptografia da CU-UP e a chave de proteção de integridade da CU-UP antes de estabelecimento de sessão ser iniciado, se proteção de integridade da CU-UP começa a ser ativada precisa ser determinado em um processo subsequente.
[0196] O identificador da CU-UP alvo pode ser um identificador que esteja relacionado com diferenciação de entidade da CU-UP, tal como um ID de túnel.
[0197] Alternativamente, ao gerar uma chave de proteção de criptografia da CU-CP e uma chave de proteção de integridade da CU-CP, a CU-CP também gera a chave de proteção de criptografia da CU-UP e a chave de proteção de integridade da CU-UP.
[0198] Quando existe uma pluralidade de CU-UPs alvos, a CU-CP gera uma chave de proteção de criptografia e uma chave de proteção de integridade de cada CU-UP.
[0199] S115: A CU-CP envia uma instrução de segurança para a CU-UP alvo, onde a instrução de segurança inclui a chave de proteção de criptografia da CU-UP, a chave de proteção de integridade da CU-UP e o identificador de indicação de proteção de integridade da CU-UP.
[0200] Opcionalmente, a instrução de segurança pode incluir adicionalmente um identificador (ID) de sessão e/ou o identificador de indicação de proteção de criptografia da CU-UP, um algoritmo de proteção de criptografia de plano de usuário da CU-UP e um algoritmo de proteção de integridade de plano de usuário da CU-UP.
[0201] Deve ser notado que, se a CU-CP já tiver a chave de proteção de criptografia da CU-UP e a chave de proteção de integridade da CU-UP antes do processo de estabelecimento de sessão, S114 pode não ser realizada. Além disso, a instrução de segurança não inclui a chave de proteção de criptografia da CU-UP ou a chave de proteção de integridade da CU-UP.
[0202] S116: A CU-UP alvo envia uma resposta de segurança para a CU-CP, onde a resposta de segurança carrega o identificador de indicação de proteção de integridade da CU-UP, para indicar se a CU-UP capacita correntemente proteção de integridade.
[0203] Após receber a resposta de segurança, a CU- CP registra o identificador de indicação de proteção de integridade corrente da CU-UP.
[0204] Alternativamente, a resposta de segurança pode não carregar o identificador de indicação de proteção de integridade, e a CU-CP considera por padrão que proteção de integridade da CU-UP está capacitada.
[0205] Após S116, a CU-CP envia a informação de negociação de segurança para o terminal. A CU-UP na modalidade exposta anteriormente é a CU-UP alvo selecionada pela CU-CP.
[0206] Após receber a informação de negociação de segurança, o terminal pode gerar uma chave de proteção de criptografia correspondente da CU-UP e uma chave de proteção de integridade correspondente da CU-UP com base em um algoritmo de proteção de integridade e em um algoritmo de proteção de criptografia da CU-UP.
[0207] Adicionalmente, na modalidade exposta acima, ambos de o terminal e a CU-UP capacitam criptografia e descriptografia de enlace ascendente e de enlace descendente, ou capacitam proteção de integridade. Se a proteção é baseada em uma sessão ou em uma portadora depende de se um procedimento de interação entre o terminal e a SMF e/ou a CU-UP é um procedimento de estabelecimento de sessão ou um procedimento de configuração de portadora (relacionado com uma portadora de rádio de interface de ar (Data Radio Bear, DRB)). Ambos os casos são aplicáveis.
[0208] Deve ser notado que se o terminal determinar, antes de uma sessão ser estabelecida, com base no identificador de indicação de proteção de integridade da CU-UP, para capacitar proteção de integridade de plano de usuário do terminal, o terminal capacita proteção de integridade de plano de usuário baseada em terminal e geração de chave e negociação. A chave gerada é também baseada em uma granularidade de terminal.
[0209] Se em um processo de estabelecimento de sessão, por exemplo, o terminal primeiro inicia estabelecimento de sessão, em outras palavras, após enviar a primeira solicitação de estabelecimento de sessão ou receber a primeira solicitação de estabelecimento de sessão, o terminal determinar, com base no identificador de indicação de proteção de integridade da CU-UP, para capacitar proteção de integridade de plano de usuário do terminal, o terminal capacita proteção de integridade de plano de usuário baseada em seção e geração de chave e negociação. A chave gerada é baseada em uma granularidade de sessão.
[0210] Se o terminal enviar a primeira solicitação de estabelecimento de sessão ou receber a primeira solicitação de estabelecimento de sessão, e a primeira solicitação de estabelecimento de sessão incluir um identificador de DRB, o terminal capacita proteção de integridade de plano de usuário baseada em DRB e geração de chave e negociação. A chave gerada é baseada em uma granularidade de DRB.
[0211] Se o terminal e a CU-UP realizarem um processo de configuração de portadora (Bearer), o terminal capacita e negocia proteção de integridade de plano de usuário baseada em DRB e negociação de chave. A chave gerada é baseada em uma granularidade de portadora.
[0212] Opcionalmente, com base na modalidade exposta acima, a CU-CP pode enviar adicionalmente uma segunda resposta de estabelecimento de sessão para uma entidade de função de controle de acesso e mobilidade (Access and Mobility Function, AMF).
[0213] A figura 11 é um fluxograma esquemático de um método de negociação de segurança de acordo ainda com uma outra modalidade deste pedido. Uma diferença em relação à modalidade exposta anteriormente é que uma CU-UP pode realizar negociação de segurança com um terminal. Nesta modalidade, a CU-UP tem uma capacidade de processamento de mensagem específica, e pode configurar uma lista de algoritmos de segurança de CU-UP, ou receber uma lista de algoritmos de segurança enviada por uma CU-CP, ou gerar uma chave de proteção, incluindo uma chave de proteção de integridade e uma chave de criptografia, e ter uma capacidade de negociar com o terminal, para realizar desacoplamento de segurança de um plano de controle e de um plano de usuário.
[0214] Tal como mostrado na figura 11, o método inclui as etapas seguintes.
[0215] S1101: A CU-UP determina informação de negociação de segurança.
[0216] S1102: A CU-UP envia a informação de negociação de segurança para o terminal.
[0217] A informação de negociação de segurança inclui um identificador de indicação de proteção de integridade (indicação de confidencialidade de UP) da CU- UP. O identificador de proteção de integridade da CU-UP indica se proteção de integridade da CU-UP está capacitada.
[0218] S1103: O terminal determina, com base na informação de negociação de segurança, se é para capacitar proteção de integridade de plano de usuário do terminal.
[0219] Nesta modalidade, a CU-UP determina informação de negociação de segurança, e envia a informação de negociação de segurança para o terminal. Após receber a informação de negociação de segurança, o terminal pode determinar, com base em uma indicação da informação de negociação de segurança, se é para capacitar proteção de integridade do terminal. Deste modo, negociação de segurança com o terminal pode ser completada em um cenário no qual a CU-CP e a CU-UP estão separadas uma da outra.
[0220] Em uma implementação opcional, se o identificador de proteção de integridade da CU-UP indicar que proteção de integridade da CU-UP está capacitada, o terminal determina para capacitar proteção de integridade de plano de usuário do terminal.
[0221] De outro modo, o terminal não capacita proteção de integridade de plano de usuário do terminal.
[0222] Opcionalmente, a informação de negociação de segurança pode incluir adicionalmente um identificador de proteção de criptografia da CU-UP. O identificador de proteção de criptografia da CU-UP é usado para indicar se proteção de criptografia da CU-UP está capacitada.
[0223] Se o identificador de proteção de criptografia da CU-UP indicar que proteção de criptografia da CU-UP está capacitada, o terminal determina para capacitar proteção de criptografia de plano de usuário do terminal. De outro modo, o terminal não capacita proteção de criptografia de plano de usuário do terminal.
[0224] Alternativamente, na modalidade mostrada na figura 11, a informação de negociação de segurança inclui o identificador de proteção de criptografia da CU-UP.
[0225] S1103 pode ser: O terminal determina, com base na informação de negociação de segurança, se é para capacitar proteção de criptografia de plano de usuário do terminal.
[0226] Correspondentemente, a informação de negociação de segurança alternativamente pode incluir o identificador de indicação de proteção de integridade da CU-UP.
[0227] Em uma implementação, a informação de negociação de segurança inclui adicionalmente um ou mais do seguinte: um identificador de algoritmo de proteção de integridade da CU-CP, um identificador de algoritmo de proteção de criptografia da CU-CP, um identificador de algoritmo de proteção de integridade da CU-UP, um identificador de algoritmo de proteção de criptografia da CU-UP e um código de verificação de integridade de mensagem.
[0228] Opcionalmente, em um cenário, a CU-CP e a CU-UP têm um mesmo algoritmo de proteção de integridade; neste caso, a informação de negociação de segurança pode indicar um identificador de algoritmo de proteção de integridade, e/ou a CU-CP e a CU-UP têm um mesmo algoritmo de proteção de criptografia; neste caso, a informação de negociação de segurança pode indicar um identificador de algoritmo de proteção de criptografia.
[0229] Em um outro cenário, a CU-UP e a CU-CP respectivamente podem enviar algoritmos da CU-UP e da CU-CP para o terminal. Por exemplo, a CU-UP envia um algoritmo de proteção de criptografia da CU-UP para o terminal, e a CU- UP envia um algoritmo de proteção de integridade da CU-UP para o terminal; e a CU-CP envia um algoritmo de proteção de criptografia da CU-CP para o terminal, e a CU-CP envia um algoritmo de proteção de integridade da CU-CP para o terminal. Isto não está limitado especificamente neste pedido.
[0230] Com base na modalidade exposta anteriormente, a CU-UP gera uma chave de proteção de integridade, uma chave de proteção de criptografia da CU-UP e outras mais.
[0231] Especificamente, a CU-CP gera uma chave base e envia a chave base para a CU-UP, e a CU-UP gera a chave de proteção de integridade com base em um identificador da CU-UP, na chave base, em um identificador de tipo de algoritmo de integridade e em um identificador de algoritmo de integridade. Alternativamente, a CU-UP gera a chave de proteção de integridade da CU-UP com base em um identificador da CU-UP, em uma chave base e em um parâmetro de geração de chave. Alternativamente, a CU-UP gera a chave de proteção de integridade da CU-UP com base em um identificador da CU-UP, em uma chave base, em um parâmetro de geração de chave, em um identificador de tipo de algoritmo de integridade e em um identificador de algoritmo de integridade. Opcionalmente, ao enviar a chave base, a CU-CP envia também o algoritmo de proteção de integridade da CU-UP e o parâmetro de geração de chave para a CU-UP.
[0232] A chave base pode ser a K-AN, uma chave de segurança compartilhada com o terminal, uma chave de segurança gerada pela CU-CP com base na K-AN ou similares.
[0233] De modo similar, a CU-UP gera a chave de proteção de criptografia da CU-UP com base no identificador da CU-UP, na chave base, no identificador de tipo de algoritmo de proteção de criptografia da CU-UP e no identificador de algoritmo de criptografia da CU-UP. Alternativamente, a CU-UP gera a chave de proteção de criptografia da CU-UP com base no identificador da CU-UP, na chave base, no identificador de tipo de algoritmo de proteção de criptografia da CU-UP e no parâmetro de geração de chave.
[0234] Deve ser notado que a CU-UP e uma DU podem ser implementadas conjuntamente em um modo distribuído. Portanto, a DU também pode ter uma capacidade de geração de chave. Neste caso, precisa ser considerado que um identificador da DU é adicionado.
[0235] Para um processo de geração de chave específico, consultar as modalidades expostas anteriormente nas figuras 7 a 9. Detalhes não são descritos aqui novamente.
[0236] Em uma outra implementação, a CU-UP recebe a chave de proteção de criptografia da CU-UP e a chave de proteção de integridade da CU-UP que são enviadas pela CU- CP. Especificamente, para um método para gerar, pela CU-CP, a chave de proteção de criptografia da CU-UP e a chave de proteção de integridade da CU-UP, consultar as modalidades expostas anteriormente. Detalhes não são descritos aqui novamente.
[0237] Especificamente, para um processo de estabelecimento de sessão, consultar as modalidades de método expostas anteriormente, e consultar a modalidade mostrada na figura 10. Detalhes não são descritos aqui novamente.
[0238] Em outras palavras, o terminal pode iniciar estabelecimento de sessão, ou um lado de rede, tal como uma SMF, pode iniciar estabelecimento de sessão.
[0239] A figura 12 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma modalidade deste pedido. Tal como mostrado na figura 12, o aparelho inclui um módulo de recebimento 121 e um módulo de determinação 122.
[0240] O módulo de recebimento 121 é configurado para receber informação de negociação de segurança enviada por uma CU-CP, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de integridade de uma CU-UP.
[0241] O módulo de determinação 122 é configurado para determinar, com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade de plano de usuário do terminal.
[0242] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada MAC, um contador de sinalização de controle de recurso de rádio RRC e um parâmetro novo.
[0243] Opcionalmente, o módulo de recebimento 121 é configurado adicionalmente para receber informação de interface de ar enviada pela CU-CP, onde a informação de interface de ar inclui um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC e um parâmetro novo.
[0244] A figura 13 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma outra modalidade deste pedido. Tal como mostrado na figura 13, com base na figura 12, o aparelho inclui adicionalmente um módulo de geração 131, configurado para gerar uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[0245] A figura 14 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma outra modalidade deste pedido. Tal como mostrado na figura 14, o aparelho pode incluir adicionalmente um módulo de envio 141, configurado para enviar uma primeira solicitação de estabelecimento de sessão para uma entidade de função de gerenciamento de sessão SMF, onde a primeira solicitação de estabelecimento de sessão inclui um ou mais dos seguintes parâmetros: uma parte ou uma pluralidade de partes de S-NSSAI, um DNN, um ID de sessão de PDU, um tipo de solicitação, um ID de sessão de PDU antiga e um contêiner de SM de N1.
[0246] Opcionalmente, o módulo de determinação 122 é configurado especificamente para determinar, após enviar a primeira solicitação de estabelecimento de sessão para a SMF, com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade do terminal.
[0247] Adicionalmente, o módulo de determinação 122 é configurado especificamente para determinar, quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP está capacitada, para capacitar proteção de integridade de plano de usuário baseada em seção do terminal.
[0248] Adicionalmente, o módulo de determinação 122 é configurado especificamente para determinar, quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP está capacitada, para capacitar proteção de integridade de plano de usuário do terminal.
[0249] Em uma implementação, o módulo de envio 141 é configurado para enviar um parâmetro de proteção de integridade para a CU-CP.
[0250] O módulo de determinação 122 é configurado especificamente para determinar, quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP não está capacitada, para não capacitar proteção de integridade do terminal. Correspondentemente, o módulo de envio 141 é configurado para enviar uma resposta de negociação de segurança para a CU-CP, onde a resposta de negociação de segurança inclui um parâmetro de proteção de integridade e um identificador de indicação que é usado para indicar que proteção de integridade do terminal está capacitada.
[0251] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de criptografia da CU-UP; e o módulo de determinação 122 é configurado adicionalmente para determinar, com base no identificador de indicação de proteção de criptografia da CU-UP, se é para capacitar proteção de criptografia do terminal.
[0252] Em uma outra implementação, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de criptografia da CU-UP.
[0253] Correspondentemente, o módulo de determinação 122 é configurado especificamente para determinar, após a primeira solicitação de estabelecimento de sessão ser enviada para a SMF, com base no identificador de indicação de proteção de criptografia da CU-UP, se é para capacitar proteção de criptografia baseada em sessão do terminal.
[0254] Opcionalmente, o módulo de geração 131 é configurado para gerar uma chave de proteção de criptografia de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[0255] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um ou mais do seguinte: um identificador de algoritmo de proteção de integridade da CU-CP, um identificador de algoritmo de proteção de criptografia da CU-CP, um identificador de algoritmo de proteção de integridade da CU-UP, um identificador de algoritmo de proteção de criptografia da CU-UP e um código de verificação de integridade de mensagem.
[0256] O aparelho pode ser integrado ao terminal ou a um chip do terminal. O método realizado pelo terminal na modalidade exposta anteriormente é implementado pelo aparelho. Princípios de implementação e efeitos técnicos são similares. Detalhes não são descritos aqui novamente.
[0257] A figura 15 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma outra modalidade deste pedido. Tal como mostrado na figura 15, o aparelho inclui um módulo de determinação 151 e um módulo de envio 152.
[0258] O módulo de determinação 151 é configurado para determinar informação de negociação de segurança, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de integridade de uma CU-UP.
[0259] O módulo de envio 152 é configurado para enviar a informação de negociação de segurança para um terminal.
[0260] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso a mídia MAC, um contador de sinalização de controle de recurso de rádio RRC e um parâmetro novo.
[0261] Opcionalmente, o módulo de envio 152 é configurado adicionalmente para enviar informação de interface de ar para o terminal, onde a informação de interface de ar inclui um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada MAC, um contador de sinalização de controle de recurso de rádio RRC e um parâmetro novo.
[0262] A figura 16 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo ainda com uma outra modalidade deste pedido. O aparelho inclui adicionalmente um módulo de geração 161, configurado para gerar uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[0263] O módulo de envio 152 é configurado adicionalmente para enviar a chave de proteção de integridade da CU-UP para a CU-UP.
[0264] Em uma implementação, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de criptografia da CU-UP.
[0265] Correspondentemente, o módulo de geração 161 é configurado para gerar uma chave de proteção de criptografia da CU-UP com base no parâmetro de geração de chave.
[0266] Opcionalmente, o módulo de envio 152 é configurado adicionalmente para enviar a chave de proteção de criptografia de plano de usuário da CU-UP para a CU-UP.
[0267] Adicionalmente, em uma implementação, o módulo de geração 161 é configurado para gerar uma chave base.
[0268] O módulo de envio 152 é configurado adicionalmente para enviar a chave base para a CU-UP.
[0269] A figura 17 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo ainda com uma outra modalidade deste pedido. Tal como mostrado na figura 17, o aparelho inclui adicionalmente: um módulo de recebimento 171, configurado para receber uma segunda solicitação de estabelecimento de sessão enviada por uma entidade de função de gerenciamento de sessão SMF após a SMF receber uma primeira solicitação de estabelecimento de sessão enviada pelo terminal.
[0270] O módulo de envio 152 é configurado adicionalmente para enviar uma resposta de estabelecimento de sessão para a SMF.
[0271] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um ou mais do seguinte: um identificador de algoritmo de proteção de integridade da CU-CP, um identificador de algoritmo de proteção de criptografia da CU-CP, um identificador de algoritmo de proteção de integridade da CU-UP, um identificador de algoritmo de proteção de criptografia da CU-UP e um código de verificação de integridade de mensagem.
[0272] O aparelho pode ser integrado à CU-CP ou a um chip da CU-CP. O método realizado pela CU-CP na modalidade exposta anteriormente é implementado pelo aparelho. Princípios de implementação e efeitos técnicos são similares. Detalhes não são descritos aqui novamente.
[0273] A figura 18 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma outra modalidade deste pedido. Tal como mostrado na figura 18, o aparelho inclui um módulo de determinação 181 e um módulo de envio 182.
[0274] O módulo de determinação 181 é configurado para determinar informação de negociação de segurança, onde a informação de negociação de segurança inclui um identificador de indicação de proteção de integridade de uma CU-UP.
[0275] O módulo de envio 182 é configurado para enviar a informação de negociação de segurança para um terminal.
[0276] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada MAC, um contador de sinalização de controle de recurso de rádio RRC e um parâmetro novo.
[0277] O módulo de envio 182 é configurado adicionalmente para enviar informação de interface de ar para o terminal, onde a informação de interface de ar inclui um parâmetro de geração de chave; e o parâmetro de geração de chave inclui um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada MAC, um contador de sinalização de controle de recurso de rádio RRC e um parâmetro novo.
[0278] A figura 19 é um diagrama estrutural esquemático de um aparelho de negociação de segurança de acordo com uma outra modalidade deste pedido. O aparelho pode incluir um módulo de geração 191, configurado para gerar uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[0279] Opcionalmente, a informação de negociação de segurança inclui adicionalmente um identificador de indicação de proteção de criptografia da CU-UP.
[0280] Correspondentemente, o módulo de geração 191 é configurado para gerar uma chave de proteção de criptografia de plano de usuário da CU-UP com base no parâmetro de geração de chave.
[0281] O aparelho pode ser integrado à CU-UP ou a um chip da CU-UP. O método realizado pela CU-CP na modalidade exposta anteriormente é implementado pelo aparelho. Princípios de implementação e efeitos técnicos são similares. Detalhes não são descritos aqui novamente.
[0282] Deve ser notado que deve ser entendido que divisão nos módulos do aparelho é meramente divisão de função lógica. Em uma implementação real, todos ou alguns módulos podem ser integrados em uma entidade física, ou os módulos podem ficar separados fisicamente. Além disso, todos estes módulos podem ser implementados em uma forma de software chamada por um elemento de processamento, ou todos podem ser implementados em uma forma de hardware; ou alguns módulos podem ser implementados em uma forma de software chamada por um elemento de processamento, e alguns módulos são implementados em uma forma de hardware. Por exemplo, o módulo de determinação pode ser um elemento de processamento disposto separadamente, ou pode ser integrado em um chip do aparelho indicado anteriormente para implementação. Além disso, o módulo de determinação alternativamente pode ser armazenado em uma memória do aparelho indicado anteriormente em uma forma de código de programa, e é chamado por um elemento de processamento do aparelho indicado anteriormente para realizar uma função do módulo de determinação mencionado anteriormente. Implementações de outros módulos são similares à implementação do módulo de determinação. Além disso, todos ou alguns dos módulos podem ser integrados conjuntamente, ou podem ser implementados separadamente. O elemento de processamento neste documento pode ser um circuito integrado e ter uma capacidade de processamento de sinais. Em um processo de implementação, etapas nos métodos ou os módulos podem ser implementados utilizando um circuito lógico integrado de hardware no elemento processador, ou utilizando instruções em uma forma de software.
[0283] Por exemplo, os módulos indicados anteriormente podem ser configurados como um ou mais circuitos integrados implementando os métodos indicados anteriormente; por exemplo, um ou mais circuitos integrados de aplicação específica (Application Specific Integrated Circuit, ASIC), um ou mais microprocessadores (digital signal processor, DSP), ou um ou mais arranjos de portas programáveis em campo (Field Programmable Gate Array, FPGA). Como um outro exemplo, quando um módulo é implementado em uma forma de código de programa chamado por um elemento de processamento, o elemento de processamento pode ser um processador de uso geral, por exemplo, uma unidade central de processamento (Central Processing Unit,
CPU) ou um outro processador que pode chamar o código de programa. Como um outro exemplo, os módulos podem ser integrados conjuntamente, e implementados em uma forma de um sistema em um chip (system-on-a-chip, SOC).
[0284] A figura 20 é um diagrama estrutural esquemático de um terminal de acordo com uma modalidade deste pedido. Tal como mostrado na figura 20, o terminal pode incluir uma memória 201 e um processador 202.
[0285] A memória 201 pode ser uma unidade física independente, e pode ser conectada ao processador 202 por meio de um barramento. A memória 201 e o processador 202 podem ser integrados conjuntamente, e implementados utilizando hardware ou similares.
[0286] A memória 201 é configurada para armazenar um programa para implementar as modalidades de método expostas anteriormente, e o processador 202 chama o programa para realizar operações das modalidades de método expostas anteriormente realizadas pelo terminal.
[0287] A figura 21 é um diagrama estrutural esquemático de uma CU-CP de acordo com uma modalidade deste pedido. Tal como mostrado na figura 21, a CU-CP pode incluir uma memória 211 e um processador 212.
[0288] A memória 211 pode ser uma unidade física independente, e pode ser conectada ao processador 212 por meio de um barramento. A memória 211 e o processador 212 podem ser integrados conjuntamente, e implementados utilizando hardware ou similares.
[0289] A memória 211 é configurada para armazenar e implementar as modalidades de método expostas anteriormente, e o processador 212 chama o programa para realizar operações das modalidades de método expostas anteriormente realizadas pela CU-CP.
[0290] A figura 22 é um diagrama estrutural esquemático de uma CU-UP de acordo com uma modalidade deste pedido. Tal como mostrado na figura 22, a CU-UP pode incluir uma memória 221 e um processador 222.
[0291] A memória 221 pode ser uma unidade física independente, e pode ser conectada ao processador 222 por meio de um barramento. A memória 201 e o processador 222 podem ser integrados conjuntamente, e implementados utilizando hardware ou similares.
[0292] A memória 221 é configurada para armazenar e implementar as modalidades de método expostas anteriormente, e o processador 222 chama o programa para realizar operações das modalidades de método expostas anteriormente realizadas pela CU-UP.
[0293] Opcionalmente, quando uma parte ou todos os métodos de negociação de segurança nas modalidades expostas anteriormente são implementados utilizando software, o aparelho de negociação de segurança alternativamente pode incluir somente um processador. A memória configurada para armazenar o programa fica localizada fora do aparelho. O processador é conectado à memória por meio de um circuito/fio, para ler e executar os programas armazenados na memória.
[0294] O processador pode ser uma unidade central de processamento (central processing unit, CPU), um processador de rede (network processor, NP), ou uma combinação de uma CPU e um NP.
[0295] O processador pode incluir adicionalmente um chip de hardware. O chip de hardware pode ser um circuito integrado de aplicação específica (application-specific integrated circuit, ASIC), um dispositivo lógico programável (programmable logic device, PLD) ou uma combinação dos mesmos. O PLD pode ser um dispositivo lógico programável complexo (complex programmable logic device, CPLD), um arranjo de portas lógicas programáveis em campo (field-programmable gate array, FPGA), um arranjo lógico genérico (generic array logic, GAL) ou qualquer combinação dos mesmos.
[0296] A memória pode incluir uma memória volátil (volatile memory), por exemplo, uma memória de acesso aleatório (random-access memory, RAM); ou a memória pode incluir uma memória não volátil (non-volatile memory), por exemplo, uma memória flash (flash memory), uma unidade de disco rígido (hard disk drive, HDD), ou uma unidade de estado sólido (solid-state drive, SSD); ou a memória pode incluir uma combinação dos tipos indicados anteriormente de memórias.

Claims (42)

REIVINDICAÇÕES EMENDADAS
1. Método de negociação de segurança, caracterizado pelo fato de que compreende: receber, por um terminal, informação de negociação de segurança enviada por uma unidade centralizada de plano de controle (CU-CP), em que a informação de negociação de segurança compreende um identificador de indicação de proteção de integridade de uma unidade centralizada de plano de usuário (CU-UP); e determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade de plano de usuário do terminal.
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um parâmetro de geração de chave, e o método compreende adicionalmente: gerar, pelo terminal, uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave, em que o parâmetro de geração de chave compreende um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso ao meio MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU- CP.
3. Método, de acordo com a reivindicação 1 ou 2, caracterizado pelo fato de que compreende adicionalmente: enviar, pelo terminal, uma primeira solicitação de estabelecimento de sessão para uma entidade de função de gerenciamento de sessão (SMF); e determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se para capacitar proteção de integridade do terminal compreende: determinar, pelo terminal quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP está capacitada, para capacitar proteção de integridade de plano de usuário baseada em seção do terminal.
4. Método, de acordo com a reivindicação 1 ou 2, caracterizado pelo fato de que determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se para capacitar proteção de integridade do terminal compreende: determinar, pelo terminal quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP está capacitada, para capacitar proteção de integridade de plano de usuário do terminal.
5. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que determinar, pelo terminal com base no identificador de indicação de proteção de integridade da CU-UP, se para capacitar proteção de integridade do terminal compreende: determinar, pelo terminal quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP não está capacitada, para não capacitar proteção de integridade do terminal.
6. Método, de acordo com qualquer uma das reivindicações 1 a 5, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um identificador de indicação de proteção de criptografia da CU-UP, e o método compreende adicionalmente: determinar, pelo terminal com base no identificador de indicação de proteção de criptografia da CU-UP, se é para capacitar proteção de criptografia do terminal.
7. Método de negociação de segurança, caracterizado pelo fato de que compreende: determinar, por uma unidade centralizada de plano de controle (CU-CP), informação de negociação de segurança, em que a informação de negociação de segurança compreende um identificador de indicação de proteção de integridade de uma CU-UP; e enviar, pela CU-CP, a informação de negociação de segurança para um terminal.
8. Método, de acordo com a reivindicação 7, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave compreende um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso ao meio MAC, um contador de sinalização de controle de recurso de rádio (RRC), um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
9. Método, de acordo com a reivindicação 7, caracterizado pelo fato de que compreende adicionalmente: enviar, pela CU-CP, informação de interface de ar para o terminal, em que a informação de interface de ar compreende um parâmetro de geração de chave; e o parâmetro de geração de chave compreende um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso ao meio MAC, um contador de sinalização de controle de recurso de rádio (RRC), um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
10. Método, de acordo com a reivindicação 8 ou 9, caracterizado pelo fato de que compreende adicionalmente: gerar, pela CU-CP, uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave.
11. Método, de acordo com a reivindicação 10, caracterizado pelo fato de que após gerar, pela CU-CP, uma chave de proteção de integridade da CU-UP com base no parâmetro de geração de chave, o método compreende adicionalmente: enviar, pela CU-CP, a chave de proteção de integridade da CU-UP para a CU-UP.
12. Método, de acordo com a reivindicação 8 ou 9, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um identificador de indicação de proteção de criptografia da CU-UP.
13. Método, de acordo com a reivindicação 12, caracterizado pelo fato de que compreende adicionalmente: gerar, pela CU-CP, uma chave de proteção de criptografia da CU-UP com base no parâmetro de geração de chave.
14. Método, de acordo com a reivindicação 13, caracterizado pelo fato de que compreende adicionalmente: enviar, pela CU-CP, a chave de proteção de criptografia de plano de usuário da CU-UP para a CU-UP.
15. Método, de acordo com qualquer uma das reivindicações 7 a 14, caracterizado pelo fato de que compreende adicionalmente: receber, pela CU-CP, uma segunda solicitação de estabelecimento de sessão enviada por uma entidade de função de gerenciamento de sessão (SMF) após a SMF receber uma primeira solicitação de estabelecimento de sessão enviada pelo terminal; e enviar, pela CU-CP, uma resposta de estabelecimento de sessão para a SMF.
16. Método de negociação de segurança, caracterizado pelo fato de que compreende: determinar, por uma unidade centralizada de plano de usuário (CU-UP), informação de negociação de segurança, em que a informação de negociação de segurança compreende um identificador de indicação de proteção de integridade da CU-UP; e enviar, pela CU-UP, a informação de negociação de segurança para um terminal.
17. Método, de acordo com a reivindicação 16, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave compreende um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso ao meio MAC, um contador de sinalização de controle de recurso de rádio (RRC), um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
18. Método, de acordo com a reivindicação 16, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um identificador de indicação de proteção de criptografia da CU-UP.
19. Aparelho de negociação de segurança, caracterizado pelo fato de que compreende: um módulo de recebimento, configurado para receber informação de negociação de segurança enviada por uma unidade centralizada de plano de controle (CU-CP), em que a informação de negociação de segurança compreende um identificador de indicação de proteção de integridade de uma unidade centralizada de plano de usuário (CU-UP); e um módulo de determinação, configurado para determinar, com base no identificador de indicação de proteção de integridade da CU-UP, se é para capacitar proteção de integridade de plano de usuário do terminal.
20. Aparelho, de acordo com a reivindicação 19, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave compreende um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso ao meio MAC, um contador de sinalização de controle de recurso de rádio (RRC), um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
21. Aparelho, de acordo com a reivindicação 19 ou 20, caracterizado pelo fato de que compreende adicionalmente: um módulo de envio, configurado para enviar uma primeira solicitação de estabelecimento de sessão para uma entidade de função de gerenciamento de sessão SMF, em que o módulo de determinação é configurado especificamente para determinar, quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP está capacitada, para capacitar proteção de integridade de plano de usuário baseada em seção do terminal.
22. Aparelho, de acordo com a reivindicação 19 ou 20, caracterizado pelo fato de que o módulo de determinação é configurado especificamente para determinar, quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP está capacitada, para capacitar proteção de integridade de plano de usuário do terminal.
23. Aparelho, de acordo com a reivindicação 22, caracterizado pelo fato de que compreende adicionalmente: um módulo de envio, configurado para enviar um parâmetro de proteção de integridade para a CU-CP.
24. Aparelho, de acordo com a reivindicação 19, caracterizado pelo fato de que o módulo de determinação é configurado especificamente para determinar, quando o identificador de indicação de proteção de integridade da CU-UP indica que proteção de integridade da CU-UP não está capacitada, para não capacitar proteção de integridade do terminal.
25. Aparelho, de acordo com a reivindicação 24, caracterizado pelo fato de que compreende adicionalmente: um módulo de envio, configurado para enviar uma resposta de negociação de segurança para a CU-CP, em que a resposta de negociação de segurança compreende um parâmetro de proteção de integridade e um identificador de indicação que é usado para indicar que proteção de integridade do terminal está capacitada.
26. Aparelho, de acordo com qualquer uma das reivindicações 19 a 25, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um identificador de indicação de proteção de criptografia da CU-UP; e o módulo de determinação é configurado adicionalmente para determinar, com base no identificador de indicação de proteção de criptografia da CU-UP, se é para capacitar proteção de criptografia do terminal.
27. Aparelho de negociação de segurança, caracterizado pelo fato de que compreende: um módulo de determinação, configurado para determinar informação de negociação de segurança, em que a informação de negociação de segurança compreende um identificador de indicação de proteção de integridade de uma CU-UP; e um módulo de envio, configurado para enviar a informação de negociação de segurança para um terminal.
28. Aparelho, de acordo com a reivindicação 27, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave compreende um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso ao meio MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
29. Aparelho, de acordo com a reivindicação 28, caracterizado pelo fato de que o módulo de envio é configurado adicionalmente para enviar informação de interface de ar para o terminal, em que a informação de interface de ar compreende um parâmetro de geração de chave; e o parâmetro de geração de chave compreende um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso ao meio MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
30. Aparelho, de acordo com a reivindicação 28 ou 29, caracterizado pelo fato de que compreende adicionalmente: um módulo de geração, configurado para gerar uma chave de proteção de integridade de plano de usuário da CU-UP com base no parâmetro de geração de chave.
31. Aparelho, de acordo com a reivindicação 30, caracterizado pelo fato de que o módulo de envio é configurado adicionalmente para enviar a chave de proteção de integridade da CU-UP para a CU-UP.
32. Aparelho, de acordo com a reivindicação 28 ou 29, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um identificador de indicação de proteção de criptografia da CU-UP.
33. Aparelho, de acordo com a reivindicação 32, caracterizado pelo fato de que compreende adicionalmente: um módulo de geração, configurado para gerar uma chave de proteção de criptografia da CU-UP com base no parâmetro de geração de chave.
34. Aparelho, de acordo com a reivindicação 33, caracterizado pelo fato de que o módulo de envio é configurado adicionalmente para enviar a chave de proteção de criptografia de plano de usuário da CU-UP para a CU-UP.
35. Aparelho de negociação de segurança, caracterizado pelo fato de que compreende: um módulo de determinação, configurado para determinar informação de negociação de segurança, em que a informação de negociação de segurança compreende um identificador de indicação de proteção de integridade de uma CU-UP; e um módulo de envio, configurado para enviar a informação de negociação de segurança para um terminal.
36. Aparelho, de acordo com a reivindicação 35, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um parâmetro de geração de chave; e o parâmetro de geração de chave compreende um ou mais do seguinte: um identificador de instância, um identificador de CU-UP, um identificador de DU, um identificador de portadora de dados, um identificador de portadora, um identificador de fluxo, um identificador de sessão, um identificador de fatia, um identificador de camada de controle de acesso ao meio MAC, um contador de sinalização de controle de recurso de rádio RRC, um identificador de frequência, um identificador de célula, um parâmetro novo, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-UP, um comprimento de identificador de tipo de algoritmo de proteção de integridade de plano de usuário da CU-CP, um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-UP e um comprimento de identificador de tipo de proteção de criptografia de plano de usuário da CU-CP.
37. Aparelho, de acordo com a reivindicação 35, caracterizado pelo fato de que a informação de negociação de segurança compreende adicionalmente um identificador de indicação de proteção de criptografia da CU-UP.
38. Método de negociação de segurança, caracterizado pelo fato de que compreende: enviar, por uma unidade centralizada de plano de controle (CU-CP), uma instrução de segurança para uma unidade centralizada de plano de usuário (CU-UP), em que a instrução de segurança compreende um primeiro identificador de indicação de proteção de integridade de uma CU-UP; e enviar, pela CU-UP, uma resposta de segurança para a CU-CP, onde a resposta de segurança carrega um segundo identificador de indicação de proteção de integridade da CU-UP, em que o segundo identificador de indicação de proteção de integridade da CU-UP é configurado para indicar se a CU-UP capacita proteção de integridade.
39. Método, de acordo com a reivindicação 38, caracterizado pelo fato de que compreende adicionalmente: registrar, pela CU-CP, o segundo identificador de indicação de proteção de integridade da CU-UP em resposta a receber a resposta de segurança.
40. Método, de acordo com a reivindicação 38 ou 39, caracterizado pelo fato de que a instrução de segurança compreende adicionalmente um identificador de indicação de proteção de criptografia de uma CU-UP.
41. Método, de acordo com qualquer uma das reivindicações 38 a 40, caracterizado pelo fato de que a instrução de segurança compreende adicionalmente uma chave de proteção de criptografia da CU-UP e uma chave de proteção de integridade da CU-UP.
42. Método, de acordo com qualquer uma das reivindicações 38 a 41, caracterizado pelo fato de que compreende adicionalmente: enviar, pela CU-CP, o segundo identificador de indicação de proteção de integridade da CU-UP para um equipamento de usuário.
BR112020015946-8A 2018-02-06 2019-01-07 Método e aparelho de negociação de segurança BR112020015946A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201810119888.9 2018-02-06
CN201810119888.9A CN110121168B (zh) 2018-02-06 2018-02-06 安全协商方法及装置
PCT/CN2019/070712 WO2019153994A1 (zh) 2018-02-06 2019-01-07 安全协商方法及装置

Publications (1)

Publication Number Publication Date
BR112020015946A2 true BR112020015946A2 (pt) 2020-12-15

Family

ID=67519983

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112020015946-8A BR112020015946A2 (pt) 2018-02-06 2019-01-07 Método e aparelho de negociação de segurança

Country Status (5)

Country Link
US (2) US11765578B2 (pt)
EP (2) EP4096273A1 (pt)
CN (1) CN110121168B (pt)
BR (1) BR112020015946A2 (pt)
WO (1) WO2019153994A1 (pt)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109040322B (zh) * 2018-10-08 2021-05-11 腾讯科技(深圳)有限公司 车辆通信方法、装置、计算机可读介质及电子设备
CN111641944A (zh) * 2019-03-01 2020-09-08 华为技术有限公司 一种通信方法及设备
CN112399422B (zh) * 2019-08-16 2022-08-05 大唐移动通信设备有限公司 一种安全算法配置方法、控制平面中心节点及终端
CN112492584B (zh) * 2019-08-23 2022-07-22 华为技术有限公司 终端设备和用户面网元之间的安全通信方法、装置及系统
EP4024930A4 (en) 2019-09-16 2022-10-19 Huawei Technologies Co., Ltd. SECURITY PROTECTION METHOD AND DEVICE FOR AIR INTERFACE INFORMATION
CN112543450A (zh) * 2019-09-23 2021-03-23 大唐移动通信设备有限公司 密钥推衍方法及装置
CN113381966B (zh) * 2020-03-09 2023-09-26 维沃移动通信有限公司 信息上报方法、信息接收方法、终端及网络侧设备
CN115550924A (zh) * 2020-07-30 2022-12-30 华为技术有限公司 一种通信方法及装置
CN114079915A (zh) * 2020-08-06 2022-02-22 华为技术有限公司 确定用户面安全算法的方法、系统及装置
KR20230024779A (ko) * 2021-08-12 2023-02-21 삼성전자주식회사 무선 통신 시스템에서 사용자 평면에서 송수신되는 정보를 보호하는 방법 및 장치
CN114598500B (zh) * 2022-01-29 2024-06-14 奇安信科技集团股份有限公司 一种安全服务提供方法、平台、电子设备、介质及程序
US20230254342A1 (en) * 2022-02-09 2023-08-10 Nbcuniversal Media, Llc Cryptographic binding of data to network transport
WO2023229316A1 (en) * 2022-05-23 2023-11-30 Samsung Electronics Co., Ltd. Method and system for designing security protocol for 6g network architecture

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2001221632A1 (en) * 2000-11-28 2002-06-11 Nokia Corporation System and method for authentication of a roaming subscriber
CN1855924A (zh) * 2005-04-27 2006-11-01 华为技术有限公司 网络层安全报文穿越地址变换设备的方法
US7647508B2 (en) * 2005-06-16 2010-01-12 Intel Corporation Methods and apparatus for providing integrity protection for management and control traffic of wireless communication networks
US8220042B2 (en) * 2005-09-12 2012-07-10 Microsoft Corporation Creating secure interactive connections with remote resources
CN100463391C (zh) * 2006-09-23 2009-02-18 西安西电捷通无线网络通信有限公司 一种网络密钥管理及会话密钥更新方法
CN102209320B (zh) * 2007-05-15 2014-04-02 华为技术有限公司 不同无线接入技术间切换时安全协商的方法和装置
CN102014381B (zh) 2009-09-08 2012-12-12 华为技术有限公司 加密算法协商方法、网元及移动台
CN101702818B (zh) * 2009-11-02 2012-12-12 上海华为技术有限公司 无线链路控制连接重建立中的算法协商方法、系统及设备
CN101835156B (zh) * 2010-05-21 2014-08-13 中兴通讯股份有限公司南京分公司 一种用户接入安全保护的方法及系统
CN102448058B (zh) 2011-01-10 2014-04-30 华为技术有限公司 一种Un接口上的数据保护方法与装置
US9078130B2 (en) * 2012-04-10 2015-07-07 Qualcomm Incorporated Secure reception reporting
CN104244247B (zh) * 2013-06-07 2019-02-05 华为技术有限公司 非接入层、接入层安全算法处理方法及设备
CN104994503B (zh) * 2015-07-17 2019-01-01 上海瑞狮网络科技有限公司 一种移动应用访问方法
CN106375989B (zh) * 2015-07-20 2019-03-12 中兴通讯股份有限公司 实现接入层安全的方法及用户设备和无线接入小节点
RU2697645C1 (ru) 2015-08-13 2019-08-15 Хуавэй Текнолоджиз Ко., Лтд. Способ защиты сообщений и соответствующее устройство и система
WO2017076891A1 (en) * 2015-11-02 2017-05-11 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications
CN106102106B (zh) * 2016-06-20 2020-03-24 电信科学技术研究院 一种终端接入的方法、装置及网络架构
CN107567018B (zh) * 2016-07-01 2022-10-11 中兴通讯股份有限公司 消息处理方法及装置、终端、消息处理系统
KR102358918B1 (ko) * 2016-07-04 2022-02-07 삼성전자 주식회사 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치
EP3482602B1 (en) * 2016-07-05 2023-10-18 Apple Inc. Systems, methods and devices for control-user plane separation for 5g radio access networks
CN106162730B (zh) * 2016-07-12 2019-11-15 上海华为技术有限公司 一种通信的方法、设备及系统
US20180083972A1 (en) * 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system
CN106792676B (zh) * 2017-02-10 2018-03-20 北京浩瀚深度信息技术股份有限公司 一种lte系统内部nas消息的解密方法及装置
CN115396927A (zh) * 2018-12-29 2022-11-25 华为技术有限公司 通信方法和装置
KR20210010358A (ko) * 2019-07-17 2021-01-27 한국전자통신연구원 네트워크에서 up 연결을 비활성화하는 방법 및 네트워크에서 up 연결에 대한 비활성화를 제어하는 네트워크 엔터티

Also Published As

Publication number Publication date
EP4096273A1 (en) 2022-11-30
US20240040376A1 (en) 2024-02-01
WO2019153994A1 (zh) 2019-08-15
US11765578B2 (en) 2023-09-19
US20200359208A1 (en) 2020-11-12
EP3735018A1 (en) 2020-11-04
EP3735018A4 (en) 2021-02-24
CN110121168A (zh) 2019-08-13
CN110121168B (zh) 2021-09-21
EP3735018B1 (en) 2022-05-11

Similar Documents

Publication Publication Date Title
BR112020015946A2 (pt) Método e aparelho de negociação de segurança
US11812496B2 (en) User group session management method and apparatus
EP3621352A1 (en) Pdu session processing method and device
EP3987881B1 (en) Method and apparatus for admission control of sessions based on priority
JP7389225B2 (ja) セキュリティ保護モードを決定するための方法および装置
EP3771242A1 (en) Key generation method and relevant apparatus
US20190253403A1 (en) Network Authentication Triggering Method and Related Device
WO2019096279A1 (zh) 一种安全通信方法和装置
WO2021243837A1 (zh) 基于ursp规则的应用数据路由方法及用户设备
EP3840469B1 (en) Gateway reselection method, and communication apparatus
JPWO2020050138A1 (ja) コアネットワーク装置、通信端末、及び通信方法
WO2017133021A1 (zh) 一种安全处理方法及相关设备
EP3629538A1 (en) Communication method and apparatus
WO2021051974A1 (zh) 一种空口信息的安全保护方法及装置
KR20230054866A (ko) 멀티 링크 디바이스의 링크 작동 방법 및 디바이스
US20220225463A1 (en) Communications method, apparatus, and system
CN113556340B (zh) 一种便携式vpn终端、数据处理方法及存储介质
WO2022095047A1 (zh) 无线通信的方法、终端设备和网络设备
WO2024032207A1 (zh) 通信方法、装置和系统
CN115484615A (zh) 通信方法及通信装置
CN116783917A (zh) 一种安全参数的获取方法、装置及系统
EP4380212A1 (en) Method for establishing secure transmission channel, method for determining key, and communication apparatus
TWI816295B (zh) 配置演進分組系統非接入層安全演算法的方法及相關裝置
KR102642804B1 (ko) 다중 대역 통신 방법 및 장치
CN114390627B (zh) 一种数据传输方法、装置及设备

Legal Events

Date Code Title Description
B350 Update of information on the portal [chapter 15.35 patent gazette]