CN105075285B - 用于增强型局域网中的多样化安全处理的方法和装置 - Google Patents
用于增强型局域网中的多样化安全处理的方法和装置 Download PDFInfo
- Publication number
- CN105075285B CN105075285B CN201380075256.2A CN201380075256A CN105075285B CN 105075285 B CN105075285 B CN 105075285B CN 201380075256 A CN201380075256 A CN 201380075256A CN 105075285 B CN105075285 B CN 105075285B
- Authority
- CN
- China
- Prior art keywords
- network node
- key
- grouping
- user data
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于多样化安全处理的方法可以包括:维持用户设备与第一网络节点之间的第一连接以及所述用户设备与第二网络节点之间的第二连接,其中所述第二网络节点具有与所述第一网络节点的第三连接;在分组中设置指示符来指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及经由所述第一连接将来自所述用户设备的所述分组传输至所述第一网络节点。
Description
技术领域
本发明总体上涉及通信网络。更加具体地,本发明涉及用于多样化安全处理的方法和装置。
背景技术
现代通信时代带来了通信网络的巨大扩展。无线和移动组网技术解决了相关客户需求,同时提供了信息转移的更多灵活性和即时性。对于诸如混合网络(其中,在本地小型小区中的接入点(AP)可为用户设备(UE)提供本地服务并通过演进型节点B(eNB)的回程(backhaul)而被连接至核心网(CN))这样的通信系统,在本地区域中出现了由于在小型小区中对AP的有限控制所造成的一些问题。研究出在增强型局域网(LAN)中多样化安全处理的解决方案是值得期待的。
发明内容
本发明说明书介绍了多样化安全处理(尤其是在用户平面(UP)上)的解决方案。利用所建议的解决方案,UE能够向本地小型小区中的AP指示UP特性,并且AP能够决定是否将来自UE的UP业务转发至相关联的eNB或者直接将其用于本地分流(breakout)。
根据本发明的第一方面,提供了一种方法,其包括:维持UE与第一网络节点之间的第一连接,以及所述UE与第二网络节点之间的第二连接,其中所述第二网络节点具有与所述第一网络节点的第三连接;在分组中设置指示符,以便指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及经由所述第一连接将来自所述UE的所述分组传输至所述第一网络节点。
根据本发明的第二方面,提供了一种装置,其包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器,所述至少一个存储器以及所述计算机程序代码被配置为与所述至少一个处理器一起使得所述装置至少执行以下操作:维持所述装置与第一网络节点之间的第一连接,以及所述装置与第二网络节点之间的第二连接,其中所述第二网络节点具有与所述第一网络节点的第三连接;在分组中设置指示符,以便指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及经由所述第一连接将来自所述装置的所述分组传输至所述第一网络节点。
根据本发明的第三方面,提供了一种计算机程序产品,其包括承载了体现于其中的用于与计算机一起使用的计算机程序代码的计算机可读介质,所述计算机程序代码包括:用于维持UE与第一网络节点之间的第一连接以及所述UE与第二网络节点之间的第二连接的代码,其中所述第二网络节点具有与所述第一网络节点的第三连接;用于在分组中设置指示符以便指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点的代码;以及用于经由所述第一连接将来自所述UE的所述分组传输至所述第一网络节点的代码。
根据本发明的第四方面,提供了一种装置,其包括:维持构件,用于维持所述装置与第一网络节点之间的第一连接以及所述装置与第二网络节点之间的第二连接,其中所述第二网络节点具有与所述第一网络节点的第三连接;设置构件,用于在分组中设置指示符以便指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及传输构件,用于经由所述第一连接将来自所述装置的所述分组传输至所述第一网络节点。
根据本发明的第五方面,提供了一种方法,其包括:维持第一网络节点与UE之间的第一连接以及所述第一网络节点与第二网络节点之间的第三连接,其中所述UE具有与所述第二网络节点的第二连接;经由所述第一连接在所述第一网络节点处从所述UE接收分组,其中所述分组包括指示符以便指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及至少部分地基于所述指示符来处理所述分组。
根据本发明的第六方面,提供了一种装置,其包括:至少一个处理器;以及包括计算机程序代码的至少一个存储器,所述至少一个存储器以及所述计算机程序代码被配置为与所述至少一个处理器一起使得所述装置至少实施以下操作:维持所述装置与UE之间的第一连接以及所述装置与另一装置之间的第三连接,其中所述UE具有与所述另一装置的第二连接;经由所述第一连接在所述装置处从所述UE接收分组,其中所述分组包括指示符以便指示所述分组中的用户数据的目的地是所述装置还是所述另一装置;以及至少部分地基于所述指示符来处理所述分组。
根据本发明的第七方面,提供了一种计算机程序产品,其包括承载了体现于其中的用于与计算机一起使用的计算机程序代码的计算机可读介质,所述计算机程序代码包括:用于维持第一网络节点与UE之间的第一连接以及所述第一网络节点与第二网络节点之间的第三连接的代码,其中所述UE具有与所述第二网络节点的第二连接;用于经由所述第一连接在所述第一网络节点处从所述UE接收分组的代码,其中所述分组包括指示符以便指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及用于至少部分地基于所述指示符来处理所述分组的代码。
根据本发明的第八方面,提供了一种装置,其包括:维持构件,用于维持所述装置与UE之间的第一连接以及所述装置与另一装置之间的第三连接,其中所述UE具有与所述另一装置的第二连接;接收构件,用于经由所述第一连接在所述装置处从所述UE接收分组,其中所述分组包括指示符以便指示所述分组中的用户数据的目的地是所述装置还是所述另一装置;以及处理构件,用于至少部分地基于所述指示符来处理所述分组。
根据示例实施例,本发明的第六/第八方面中的装置可包括第一网络节点,并且本发明的第六/第八方面中的另一装置可包括第二网络节点。例如,所述第一网络节点可包括本地网络节点,并且所述第二网络节点可包括宏网络节点。根据本发明的第五方面至第八方面,所述至少部分地基于所述指示符来处理所述分组可包括:如果所述指示符指示所述用户数据的目的地是所述第一网络节点,则通过解密用第一密钥保护的所述用户数据而在所述第一网络节点本地分流所述分组;以及如果所述指示符指示所述用户数据的目的地是所述第二网络节点,则经由所述第三连接将所述分组转发至所述第二网络节点,而不解密用第二密钥保护的所述用户数据。
根据示例实施例,其目的地是所述第一网络节点的所述用户数据可用第一密钥来保护,并且其目的地是所述第二网络节点的所述用户数据可用独立于所述第一密钥的第二密钥来保护。例如,所述第一密钥可由所述第二网络节点提供。根据示例实施例,所述指示符可以包括UP分组数据汇聚协议(PDCP)分组中的比特。例如,所述比特可以包括UP PDCP分组中的保留比特。
在本发明的示例实施例中,所提供的方法、装置以及计算机程序产品能够使得本地网络节点(例如在小型小区中的AP)识别来自在双无线电模式下操作的UE的用户数据的性质,并根据所述用户数据是用于常规演进型分组系统(EPS)服务还是本地分流服务而运行。例如,本地网络节点可以使用与用于宏网络节点(诸如宏小区中的eNB)的密钥相独立的密钥来导出来自UE的用户数据,这使得实施用于回程卸载(backhaul offloading)的安全本地分流成为可能。
附图说明
当结合附图进行阅读时,参照以下对实施例的详细描述将会最佳理解发明本身、优选使用方式以及进一步的目标,在附图中:
图1是示出了用于多样化安全处理的方法的流程图,其可在根据本发明实施例的UE处实施;
图2示出了根据本发明实施例的示例性多样化数据传输;以及
图3示出了用于根据本发明实施例的UP PDCP分组的示例性结构;
图4是示出了用于多样化安全处理的方法的流程图,其可在根据本发明实施例的第一网络节点处实施;
图5示例性示出了根据本发明实施例的上行链路UP数据传输过程;以及
图6是适于在实现本发明示例实施例时使用的各种装置的简化框图。
具体实施方式
参照附图详细描述了本发明的实施例。在整个说明书中,提及特征、优点或者相似语言并非暗示可伴随本发明实现的全部特征和优点应在本发明的任意单个实施例中。相反,涉及特征和优点的语言应理解为结合实施例所描述的具体特征、优点或者特性包含在本发明的至少一个实施例中。进一步地,本发明所描述的特征、优点以及特性可在一个或者多个实施例中以任意适当方式进行组合。相关领域技术人员将会意识到本发明可被实现而无需特定实施例的具体特征或者优点中的一个或者多个。在其它情形下,可以在并未出现在本发明全部实施例中的特定实施例中识别出附加的特征和优点。
随着诸如长期演进(LTE)系统这样的无线电通信网络的发展,高速数据服务被当做是最重要的需求之一。尤其对于LAN,从用户的观点期望更高数据速率。如何提供具有高速数据速率的服务成为3GPP(第三代合作伙伴计划)中的热门话题。增强型本地区域(ELA)概念被广泛讨论,并且在3GPP中建议了更为上层的小型小区增强(SCE)的新研究项目。
特别地,支持双无线电的UE是SCE项目中最重要的话题之一。例如,本地小型小区可按照能够导出用户数据与否的方式来部署,因而本地小型小区可以或者不可以能够导出UP安全密钥便成为可能。考虑到回程卸载问题,期望本地小型小区中的AP能够具有本地分流功能,以便减轻从eNB至CN的回程负担。
在关于SCE项目的一些讨论中,考虑到本地分流是减轻eNB回程的重要卸载解决方案,一种潜在的选择是UE具有与宏小区和本地小型小区这二者的双连接。然而,由于宏小区和本地小型小区均可由移动运营商部署并且本地小型小区可能能够导出UP用户数据(例如通过对UP用户数据进行加密以及解密),因此,使得本地小型小区意识到用于不同UP用户数据的相应传输路径以及能够识别来自UE的业务是针对宏小区中的eNB/CN还是直接针对本地分流是至关重要的。
根据示例实施例,建议了用于多样化安全处理(尤其是在UP上)的新颖解决方案。在所建议的解决方案中,当UE操作在双无线电模式下时,UE能够利用在业务分组中(例如在PDCP层中)设置的指示符来指示UP的特性(例如CN流或者本地分流流)。如此,本地小型小区或者AP可能能够决定是将来自UE的业务分组转发至相关联的eNB还是直接将其用于本地分流。在示例实施例中,UE可能能够利用两个独立密钥(例如两个不同的UP密钥)来加密用户数据,一个用于CN流(例如既有系统的CN流或者经由AP的CN流)而另一个用于本地分流流。因而,AP可被允许使用相应的独立密钥来导出以其为目的地的UP数据,同时使得对于回程卸载非常重要的本地分流操作成为可能。所建议的解决方案的更多细节将会以示例的方式参照附图在下文中示出。
图1是示出了用于多样化安全处理的方法的流程图,其可在根据本发明实施例的UE(例如移动台、无线终端、个人数字助理(PDA)、移动设备等)处实施。根据示例实施例的解决方案可适用于诸如以下通信网络:LTE-LAN、本地区域演进(LAE)以及其中UE可操作在双无线电模式下的任意其它适当的混合网络。例如,UE可维持UE与第一网络节点之间的第一连接以及UE与第二网络节点之间的第二连接,其中第二网络节点具有与第一网络节点的第三连接,如块102中所示。第一网络节点可包括诸如AP/BS/控制中心等的本地网络节点,而第二网络节点可包括诸如eNB/BS/控制中心等的宏网络节点。第二连接可更加稳定并且被更为仔细地进行管理,从而使得UE不会轻易地失去其与宏网络的连接,而第一连接可能更加适于在本地区域提供高速数据服务和一些特色服务。第一网络节点与第二网络节点之间的第三连接可以使得第一网络节点能够将来自UE的用户数据转发至第二网络节点并且进一步至CN。在示例实施例中,第一网络节点(例如在小型小区中的AP)可具有本地分流功能,以便减轻从第二网络节点(例如在宏小区中的eNB)至CN的回程负担,并且第一网络节点还能够充当将来自UE的业务转发至第二网络节点的中间节点。
图2示出了根据本发明实施例的示例性多样化数据传输。在图2中,UE操作在双无线电模式下,在所述双无线电模式中,一个无线电位于宏小区中的eNB和UE之间,而另一无线电位于本地小型小区中的AP和UE之间。作为具有本地分流功能的中间节点,AP可通过eNB的回程而被连接至CN。从UE传输至网络侧的用户数据可具有包括eNB和AP在内的两个不同目的地。相应地,从UE发起的业务流可包括一个分流流(在图2中标识为虚线)以及两个CN流(在图2中标识为实线)。如图2所示,UE可在经由针对CN的常规直接路径的CN流中传输用户数据,例如利用与eNB的既有S1接口(其也可被称为直接CN流),或者在经由针对CN的间接路径的CN流中传输用户数据,例如通过AP和相关联的eNB(其也可被称为间接CN流)。可选地或附加地,还可以伴随AP中的本地分流功能来利用分流流,其能够减轻密集部署场景中针对大量用户数据的CN负担。值得注意的是,对于两个无线电的利用没有限制,并且UE能够经由宏小区无线电和/或本地小型小区无线电来将用户数据传送至eNB。当从UE接收到业务时,AP需要至少部分地基于它们不同的目的地来区分所述业务(或者UP流),并且决定相应的业务是去往eNB/CN或是去往本地分流。对于去往eNB/CN的业务(例如EPS业务),AP可能能够将该业务转发至eNB并且然后至CN。
返回参照图1,如块104中所示,UE可在分组中设置标识符,以便指示在分组中的用户数据的目的地是第一网络节点还是第二网络节点。在示例实施例中,其目的地是第一网络节点的用户数据可用第一密钥(例如用于本地小型小区的UP密钥)来保护,其目的地是第二网络节点的用户数据可用独立于第一密钥的第二密钥(例如用于宏小区的UP密钥)来保护。例如,第一密钥可由第二网络节点(诸如eNB或者任意其它适当的宏网络实体)来提供。在块106中,UE可经由第一连接将分组传输至第一网络节点。根据示例实施例,来自UE的分组中的用户数据可用相应的UP密钥来加密,而在分组中的指示符可不加密,从而使得AP能够从分组中识别出指示符而无需解密用户数据。例如,指示符可以包括UP PDCP分组中的比特(例如保留比特)。
图3示出了用于根据本发明实施例的UP PDCP分组的示例结构。如图3所示,该示例结构可包括被标识为Oct 1、Oct 2和Oct 3的三个八位位组。PDCP序号(SN)字段可占用Oct1的一部分以及Oct 2,并且数据字段可占用Oct 3。Oct 1可进一步包括三个保留比特,所述保留比特在图3中示为“R”。在示例实施例中,Oct 1中的任意一个保留比特均可用于指示来自UE的用户数据的目的地或性质。例如,预定的或者随机选择的保留比特可被设置为“1”来向AP指示用户数据用于本地分流,设置为“0”来向AP指示用户数据属于CN流或者需要被转发至eNB以及与所述AP相关联的CN。应当意识到“0”或“1”的指示在此仅用作示例,并且其它适当的数字或符号也能够用于指示符以便标识来自UE的用户数据的目的地或性质。
在上行链路方向上,当UE准备加密用户数据(例如UP数据)时,其可利用适当的UP密钥来保护用户数据,例如,为AP准备的UP数据可用本地网络的第一密钥(例如Kup*)来加密并且通过本地分流流来传输,而为eNB准备的UP数据可用宏网络的第二密钥(例如Kup)来加密并且通过直接CN流或者间接CN流来传输。考虑到本地网络能够处于宏网络的控制之下,Kup*可由宏网络提供(例如通过与宏网络相关联的eNB)但却独立于Kup。根据示例实施例,UP PDCP分组的加密部分可以仅仅是Oct 3中的数据字段,而Oct 1和Oct 2不会被加密,从而使得Oct 1和Oct 2可在不解密用户数据的情况下被识别。例如,当AP在上行链路方向上接收来自UE的UP业务分组时,由于该分组中作为目的地指示符的保留比特对于AP是可见的,因此AP能够至少部分地基于PDCP层中的指示比特来确定如何处理该UP业务分组变得可行。
图4是示出了用于多样化安全处理的方法的流程图,其可在根据本发明实施例的第一网络节点处实施。对应于与图1相关的描述,在块402中,第一网络节点可维持第一网络节点与UE之间的第一连接以及第一网络节点与第二网络节点之间的第三连接,其中所述UE具有与第二网络节点的第二连接。如前所述,第一网络节点可包括诸如AP/BS/控制中心等的本地网络节点,而第二网络节点可包括诸如eNB/BS/控制中心等的宏网络节点。在块404中,可经由第一连接在第一网络节点处接收来自UE的分组,其中该分组可以包括指示符来指示分组中的用户数据的目的地是第一网络节点还是第二网络节点。如图3所示,在示例实施例中,指示符可以包括UP PDCP分组中的比特(例如保留比特)。如块406中所示,至少部分地基于所述指示符,第一网络节点可以处理从UE接收的分组。根据示例实施例,如果分组中的用户数据的目的地是第一网络节点,则第一网络节点可分流该分组,例如通过解密用第一密钥保护的用户数据。如果分组中的用户数据的目的地是第二网络节点,则第一网络节点可经由第三连接将分组转发至第二网络节点而不解密用第二密钥保护的用户数据。第二密钥(例如用于本地网络的Kup*)可独立于第一密钥(例如用于宏网络的Kup)。特别地,第一和第二密钥均可由宏小区中的第二网络节点来提供。因而,在本地小型小区中的第一网络节点可识别UP数据的性质(例如,UP数据是用于常规EPS服务还是本地分流服务),并且对来自UE的UP数据实施分开的或者多样化的安全处理。
图5示例性示出了根据本发明实施例的上行链路UP数据传输过程。如针对图1-4所描述的,UE可与网络侧共享两个UP密钥,如块502中所示,其中与宏小区中的eNB共享的UP密钥(例如Kup)可用于保护通过直接CN流或间接CN流在UE与eNB之间的常规EPS用户数据,并且与本地小型小区中的AP共享的UP密钥(例如Kup*)可用于保护UE与AP之间的本地分流用户数据。例如,如块504中所示,UE能够用不同的安全密钥来加密上行链路UP数据,其中Kup可用于CN流,而Kup*可用于本地分流流。如块506中所示,如果通过使用Kup加密了UP数据,则UE可以将PDCP层中的指示比特设置为“0”以便指示UP业务是为eNB准备的,而如果通过使用Kup*加密了UP数据,在UE可以将PDCP层中的指示比特设置为“1”以便指示UP业务是为AP准备的。应当理解的是,PDCP层中的指示比特不限于“0”或者“1”的数值,并且可被设置为其它指定数字或者符号。然后,在块508中,UE可以将UP业务传输至AP,以及在块510中AP能够检查PDCP分组指示比特。如果指示比特为“0”,那么所述过程继续进行至块512,其中AP将UP业务转发至eNB/CN用于进一步处理。如果指示比特为“1”,那么所述过程继续进行至块514,其中AP使得UP业务直接用于本地分流并通过使用Kup*来对UP数据进行解密。这种分开/多样化安全处理的原因可以是由于对小型小区中AP的有限控制所造成的在本地区域中产生的一些问题。从移动运营商的视角来看,AP因而可以是不完全受信节点。在示例实施例中,在本地AP使用的UP密钥(例如Kup*)可由宏eNB来提供但却独立于既有系统中所用的密钥(例如Kup),从而解决了上述问题。考虑到UE的兼容性和复杂性,既有的UP密钥还能够用于常规EPS服务或者用户数据。
图1以及图4-5中所示的不同框块可视为方法步骤和/或视为来自计算机程序代码操作的结果的操作和/或视为构造成执行相关功能的多个耦合逻辑电路元件。上述示意流程图总体上作为逻辑流程图来进行阐述。如此,描述的次序以及标识的步骤是对所给出方法的具体实施例的陈述。其它步骤和方法可认为是所示方法的一个或多个步骤或者其一部分在功能、逻辑或者效果上的等价物。此外,特定方法发生的次序可以严格遵照或者可以不严格遵照所示出的相应步骤的次序。
通过使用本发明提供的解决方案能够获得许多优点。例如,UE能够向本地区域中的AP指示不同UP业务的性质,并且AP能够为来自UE的UP业务识别相应的传输路径,确定UP业务是用于常规EPS服务还是本地分流服务并且相应地运行。多样化安全处理的建议解决方案还使得eNB能够向UE和AP提供独立于用于CN流的密钥的UP密钥。以此方式,UE与eNB之间的常规EPS用户数据以及UE与AP之间的本地分流用户数据可通过使用不同的UP密钥来分别进行保护。相应地,AP可被允许使用其独立的密钥来导出来自UE的UP数据,同时使得本地分流操作成为可能,这能够减轻在密集部署场景中针对大量用户数据的CN负担,并且对于回程卸载非常重要。
图6是适于在实现本发明的示例实施例时使用的各种装置的简化框图。在图6中,UE 630(诸如移动电话、无线终端、便携式设备、PDA和多媒体平板计算机等)可适于与诸如第一网络节点610和第二网络节点620这样的一个或多个网络节点通信。第一网络节点610(诸如AP/BS/控制中心等)和第二网络节点620(诸如eNB/BS/控制中心等)可适于彼此直接通信或者通过中间实体(图6中未示出)来彼此通信。
在示例实施例中,UE 630可包括至少一个处理器(例如图6中所示的数据处理器(DP)630A)以及含有计算机程序代码(例如图6中所示的程序(PROG)630C)的至少一个存储器(例如图6中所示的存储器(MEM)630B)。所述至少一个存储器和所述计算机程序代码可被配置为与所述至少一个处理器一起使得UE 630实施结合图1-5描述的操作和/或功能。在示例实施例中,UE 630可以视情况包括用于与诸如另一UE、网络节点和服务器之类的装置进行通信的适当的收发器630D。第一网络节点610可以包括至少一个处理器(诸如图6中所示的数据处理器(DP)610A)以及含有计算机程序代码(诸如图6中所示的程序(PROG)610C)的至少一个存储器(例如图6中所示的存储器(MEM)610B)。所述至少一个存储器和所述计算机程序代码可被配置为与所述至少一个处理器一起使得第一网络节点610实施结合图1-5描述的操作和/或功能。在示例实施例中,第一网络节点610可以视情况包括用于与诸如第二网络节点620、UE 630或网络实体(图6中未示出)的装置进行通信的适当的收发器610D。类似地,第二网络节点620可以包括至少一个处理器(诸如图6中所示的数据处理器(DP)620A)以及含有计算机程序代码(诸如图6中所示的程序(PROG)620C)的至少一个存储器(例如图6中所示的存储器(MEM)620B)。所述至少一个存储器和所述计算机程序代码可被配置为与所述至少一个处理器一起使得第二网络节点620实施结合图1-5描述的操作和/或功能。在示例实施例中,第二网络节点620可以视情况包括用于与诸如第一网络节点610、UE 630或网络实体(图6中未示出)的装置进行通信的适当的收发器620D。例如,收发器610D、620D、630D中的至少一个可以是用于发送和/或接收信号和消息的集成组件。可选地,收发器610D、620D、630D中的至少一个可以包括分别支持发送和接收信号/消息的分开的组件。相应的DP610A、620A和630A可用于处理这些信号和消息。
可选地或者附加地,第一网络节点610、第二网络节点620以及UE 630可包括用于实现图1和图4-5中前述步骤和方法的功能的各种装置和/或组件。例如,UE 630可包括:维持构件,用于维持UE与第一网络节点(例如第一网络节点610)之间的第一连接以及UE与第二网络节点(例如第二网络节点620)之间的第二连接,其中第二网络节点具有与第一网络节点的第三连接;设置构件,用于在分组中设置指示符来指示该分组中的用户数据的目的地是第一网络节点还是第二网络节点;以及传输构件,用于经由第一连接将来自UE的分组传输至第一网络节点。在示例实施例中,第一网络节点610可包括:维持构件,用于维持第一网络节点与UE(例如UE 630)之间的第一连接以及第一网络节点与第二网络节点之间的第三连接,其中所述UE具有与第二网络节点(例如第二网络节点620)的第二连接;接收构件,用于经由第一连接在第一网络节点处从UE接收分组,其中该分组包括指示符来指示分组中的用户数据的目的地是第一网络节点还是第二网络节点;以及处理构件,用于至少部分地基于该指示符来处理该分组。例如,处理构件可包括:分流构件,用于如果指示符指示用户数据的目的地是第一网络节点,则通过解密用第一密钥保护的用户数据来在第一网络节点本地分流分组;以及转发构件,用于如果指示符指示用户数据的目的地是第二网络节点,则经由第三连接将分组转发至第二网络节点而不解密用第二密钥保护的用户数据。
如上所述,假设PROG 610C、620C、630C中的至少一个包括程序指令,当由相关DP执行时,使得装置能够根据示例实施例进行操作。也就是说,本发明的示例实施例可以至少部分地通过第一网络节点610的DP 610A、第二网络节点620的DP 620A以及UE 630的DP 630A可执行的计算机软件、或者硬件、或者软件和硬件的组合来实施。
MEM 610B、620B和630B可以是适合本地技术环境的任意类型并且可使用任意适当的数据存储技术来实现,例如基于半导体的存储设备、闪存、磁存储设备和系统、光存储设备和系统、固定存储器以及可装卸存储器。作为非限制性示例,DP 610A、620A、630A可以是适合本地技术环境的任意类型,并且可以包括通用计算机、专用计算机、微处理器、数字信号处理器(DSP)以及基于多核处理器架构的处理器中的一个或者多个。
总的来说,各种示例实施例可在硬件或专用电路、软件、逻辑或其任意组合中实施。例如,一些方面可在硬件中实施,而其他方面可在可由控制器、微处理器或者其他计算设备执行的软件或者固件中实施,尽管本发明不限于此。虽然本发明的示例实施例的各个方面可示出并描述为框图、流程图或者使用一些其它绘图表示,作为非限制实施例,可以理解此处描述的这些框块、装置、系统、技术或者方法可在硬件、软件、固件、专用电路或者逻辑、通用硬件或控制器或者其它计算设备或其一些组合中实施。
应当理解的是,本发明示例实施例的至少一些方面可体现在计算机可执行指令中,例如在由一个或多个计算机或其它设备执行的一个或多个程序模块中。通常,程序模块包括例程、程序、对象、组件、数据结构等,当由计算机或其它设备中处理器执行时,它们实施特定任务或者实现特定的抽象数据类型。计算机可执行指令可存储在计算机可读介质上,例如硬盘、光盘、可装卸存储介质、固态存储器、随机存取存储器(RAM)等。如本领域技术人员将会意识到的那样,程序模块的功能可如期望的那样在各种实施例中合并或分布。此外,所述功能可整体或者部分体现在固件或者硬件等同物中,例如集成电路、现场可编程门阵列(FPGA)等。
尽管本发明的具体实施例已被公开,然而本领域技术人员将会理解在不脱离本发明的精神和范围的情形下,具体实施例可做出变化。本发明的范围并非因此受限于具体实施例,而是旨在所附权利要求涵盖落入本发明范围内的任意以及全部此类应用、变型和实施例。
Claims (35)
1.一种方法,其包括:
维持用户设备与第一网络节点之间的第一连接以及所述用户设备与第二网络节点之间的第二连接,其中所述第二网络节点具有与所述第一网络节点的第三连接;
在分组中设置指示符来指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及
经由所述第一连接将来自所述用户设备的所述分组传输至所述第一网络节点,
其中用第一密钥来保护目的地是所述第一网络节点的所述用户数据,以及用独立于所述第一密钥的第二密钥来保护目的地是所述第二网络节点的所述用户数据。
2.根据权利要求1所述的方法,其中所述第一密钥由所述第二网络节点来提供。
3.根据权利要求1-2中任一项所述的方法,其中所述指示符包括用户平面分组数据汇聚协议分组中的比特。
4.根据权利要求3所述的方法,其中所述比特包括所述用户平面分组数据汇聚协议分组中的保留比特。
5.根据权利要求1-2中任一项所述的方法,其中所述第一网络节点包括本地网络节点,以及所述第二网络节点包括宏网络节点。
6.一种装置,其包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器,
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述装置至少实施以下操作:
维持所述装置与第一网络节点之间的第一连接以及所述装置与第二网络节点之间的第二连接,其中所述第二网络节点具有与所述第一网络节点的第三连接;
在分组中设置指示符来指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及
经由所述第一连接将来自所述装置的所述分组传输至所述第一网络节点,
其中用第一密钥来保护目的地是所述第一网络节点的所述用户数据,以及用独立于所述第一密钥的第二密钥来保护目的地是所述第二网络节点的所述用户数据。
7.根据权利要求6所述的装置,其中所述第一密钥由所述第二网络节点来提供。
8.根据权利要求6-7中任一项所述的装置,其中所述指示符包括用户平面分组数据汇聚协议分组中的比特。
9.根据权利要求8所述的装置,其中所述比特包括所述用户平面分组数据汇聚协议分组中的保留比特。
10.根据权利要求6-7中任一项所述的装置,其中所述第一网络节点包括本地网络节点,以及所述第二网络节点包括宏网络节点。
11.一种计算机可读介质,其承载了体现于其中的计算机程序代码,当在计算机上执行所述计算机程序代码时,所述计算机程序代码促使所述计算机实施以下操作:
维持用户设备与第一网络节点之间的第一连接以及所述用户设备与第二网络节点之间的第二连接,其中所述第二网络节点具有与所述第一网络节点的第三连接;
在分组中设置指示符来指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及
经由所述第一连接将来自所述用户设备的所述分组传输至所述第一网络节点,
其中用第一密钥来保护目的地是所述第一网络节点的所述用户数据,以及用独立于所述第一密钥的第二密钥来保护目的地是所述第二网络节点的所述用户数据。
12.根据权利要求11所述的计算机可读介质,其中所述第一密钥由所述第二网络节点来提供。
13.根据权利要求11-12中任一项所述的计算机可读介质,其中所述指示符包括用户平面分组数据汇聚协议分组中的比特。
14.根据权利要求13所述的计算机可读介质,其中所述比特包括所述用户平面分组数据汇聚协议分组中的保留比特。
15.根据权利要求11-12中任一项所述的计算机可读介质,其中所述第一网络节点包括本地网络节点,以及所述第二网络节点包括宏网络节点。
16.一种装置,其包括:
维持构件,用于维持所述装置与第一网络节点之间的第一连接以及所述装置与第二网络节点之间的第二连接,其中所述第二网络节点具有与所述第一网络节点的第三连接;
设置构件,用于在分组中设置指示符来指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及
传输构件,用于经由所述第一连接将来自所述装置的所述分组传输至所述第一网络节点,
其中用第一密钥来保护目的地是所述第一网络节点的所述用户数据,以及用独立于所述第一密钥的第二密钥来保护目的地是所述第二网络节点的所述用户数据。
17.一种方法,其包括:
维持第一网络节点与用户设备之间的第一连接以及所述第一网络节点和第二网络节点之间的第三连接,其中所述用户设备具有与所述第二网络节点的第二连接;
经由所述第一连接在所述第一网络节点处从所述用户设备接收分组,其中所述分组包括指示符来指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及
至少部分地基于所述指示符来处理所述分组,
其中,用第一密钥来保护目的地是所述第一网络节点的所述用户数据,以及用独立于所述第一密钥的第二密钥来保护目的地是所述第二网络节点的所述用户数据。
18.根据权利要求17所述的方法,其中所述至少部分地基于所述指示符来处理所述分组包括:
如果所述指示符指示所述用户数据的目的地是所述第一网络节点,则通过解密用第一密钥保护的所述用户数据来在所述第一网络节点本地分流所述分组;以及
如果所述指示符指示所述用户数据的目的地是所述第二网络节点,则经由所述第三连接将所述分组转发至所述第二网络节点,而不解密用第二密钥保护的所述用户数据。
19.根据权利要求17或18所述的方法,其中所述第一密钥由所述第二网络节点来提供。
20.根据权利要求17-18中任一项所述的方法,其中所述指示符包括用户平面分组数据汇聚协议分组中的比特。
21.根据权利要求20所述的方法,其中所述比特包括所述用户平面分组数据汇聚协议分组中的保留比特。
22.根据权利要求17-18中任一项所述的方法,其中所述第一网络节点包括本地网络节点,以及所述第二网络节点包括宏网络节点。
23.一种装置,其包括:
至少一个处理器;以及
包括计算机程序代码的至少一个存储器,
所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理器一起使得所述装置至少实施以下操作:
维持所述装置与用户设备之间的第一连接以及所述装置和另一装置之间的第三连接,其中所述用户设备具有与所述另一装置的第二连接;
经由所述第一连接在所述装置处从所述用户设备接收分组,其中所述分组包括指示符来指示所述分组中的用户数据的目的地是所述装置还是所述另一装置;以及
至少部分地基于所述指示符来处理所述分组,
其中用第一密钥来保护目的地是所述装置的所述用户数据,以及用独立于所述第一密钥的第二密钥来保护目的地是所述另一装置的所述用户数据。
24.根据权利要求23所述的装置,其中所述至少部分地基于所述指示符来处理所述分组包括:
如果所述指示符指示所述用户数据的目的地是所述装置,则通过解密用第一密钥保护的所述用户数据来在所述装置本地分流所述分组;以及
如果所述指示符指示所述用户数据的目的地是所述另一装置,则经由所述第三连接将所述分组转发至所述另一装置,而不解密用第二密钥保护的所述用户数据。
25.根据权利要求23或24所述的装置,其中所述第一密钥由所述另一装置来提供。
26.根据权利要求23-24中任一项所述的装置,其中所述指示符包括用户平面分组数据汇聚协议分组中的比特。
27.根据权利要求26所述的装置,其中所述比特包括所述用户平面分组数据汇聚协议分组中的保留比特。
28.根据权利要求23-24中任一项所述的装置,其中所述装置包括本地网络节点,以及所述另一装置包括宏网络节点。
29.一种计算机可读介质,其承载了体现于其中的计算机程序代码,当在计算机上执行所述计算机程序代码时,所述计算机程序代码促使所述计算机实施以下操作:
维持第一网络节点与用户设备之间的第一连接以及所述第一网络节点与第二网络节点之间的第三连接,所述用户设备具有与所述第二网络节点的第二连接;
经由所述第一连接在所述第一网络节点处从所述用户设备接收分组,其中所述分组包括指示符来指示所述分组中的用户数据的目的地是所述第一网络节点还是所述第二网络节点;以及
至少部分地基于所述指示符来处理所述分组,
其中用第一密钥来保护目的地是所述第一网络节点的所述用户数据,以及用独立于所述第一密钥的第二密钥来保护目的地是所述第二网络节点的所述用户数据。
30.根据权利要求29所述的计算机可读介质,其中所述至少部分地基于所述指示符来处理所述分组包括:
如果所述指示符指示所述用户数据的目的地是所述第一网络节点,则通过解密用第一密钥保护的所述用户数据来在所述第一网络节点本地分流所述分组;以及
如果所述指示符指示所述用户数据的目的地是所述第二网络节点,则经由所述第三连接将所述分组转发至所述第二网络节点,而不解密用第二密钥保护的所述用户数据。
31.根据权利要求29或30所述的计算机可读介质,其中所述第一密钥由所述第二网络节点来提供。
32.根据权利要求29-30中任一项所述的计算机可读介质,其中所述指示符包括用户平面分组数据汇聚协议分组中的比特。
33.根据权利要求32所述的计算机可读介质,其中所述比特包括所述用户平面分组数据汇聚协议分组中的保留比特。
34.根据权利要求29-30中任一项所述的计算机可读介质,其中所述第一网络节点包括本地网络节点,以及所述第二网络节点包括宏网络节点。
35.一种装置,其包括:
维持构件,用于维持所述装置与用户设备之间的第一连接以及所述装置与另一装置之间的第三连接,其中所述用户设备具有与所述另一装置的第二连接;
接收构件,用于经由所述第一连接在所述装置处从所述用户设备接收分组,其中所述分组包括指示符来指示所述分组中的用户数据的目的地是所述装置还是所述另一装置;以及
处理构件,用于至少部分地基于所述指示符来处理所述分组,
其中用第一密钥来保护目的地是所述装置的所述用户数据,以及用独立于所述第一密钥的第二密钥来保护目的地是所述另一装置的所述用户数据。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2013/073570 WO2014161138A1 (en) | 2013-04-01 | 2013-04-01 | A method and apparatus for diverse security handling in an enhanced local area network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105075285A CN105075285A (zh) | 2015-11-18 |
| CN105075285B true CN105075285B (zh) | 2019-05-03 |
Family
ID=51657389
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380075256.2A Active CN105075285B (zh) | 2013-04-01 | 2013-04-01 | 用于增强型局域网中的多样化安全处理的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9781080B2 (zh) |
| EP (1) | EP2982103B1 (zh) |
| CN (1) | CN105075285B (zh) |
| WO (1) | WO2014161138A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111835767B (zh) | 2014-10-30 | 2022-08-02 | 三星电子株式会社 | 在用户装备之间执行设备到设备通信的方法 |
| US10165492B2 (en) * | 2016-03-22 | 2018-12-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and network nodes for multi-connectivity handling in a communication system |
| CN112995971B (zh) * | 2019-12-18 | 2022-07-01 | 中国移动通信集团四川有限公司 | 基站传输中断时的通信方法、系统及电子设备 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1102511A1 (en) | 1999-11-15 | 2001-05-23 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Method for a handover between different nodes in a mobile communication system |
| EP1282328A1 (de) * | 2001-07-27 | 2003-02-05 | Alcatel | Verfahren zum Aufbau von Telekommunikationsverbindungen im Anschlussbereich einer Teilnehmervermittlungsstelle, Teilnehmeranschlusssystem, Teilnehmervermittlungsstelle und Vorfeldeinrichtung |
| AU2003223604A1 (en) * | 2002-04-15 | 2003-11-03 | Flarion Technologies, Inc. | Tunneling between different addressing domains |
| US7697501B2 (en) * | 2004-02-06 | 2010-04-13 | Qualcomm Incorporated | Methods and apparatus for separating home agent functionality |
| EP2424322A3 (en) | 2005-04-26 | 2012-06-13 | Vodafone Group PLC | Telecommunications networks |
| CN101237682A (zh) | 2007-02-01 | 2008-08-06 | 盛晔 | 无线网络系统及其连接方法 |
| GB2452991B (en) * | 2007-09-24 | 2012-12-26 | Plextek Ltd | Data ackmowledgement apparatus and method1 |
| US9450711B2 (en) * | 2008-04-02 | 2016-09-20 | Qualcomm Incorporated | Method and apparatus for extended reverse direction grant in a wireless local area network (WLAN) |
| US20090318124A1 (en) * | 2008-06-23 | 2009-12-24 | At&T Mobility Ii Llc | Mobile device management through an offloading network |
| JP5090408B2 (ja) * | 2009-07-22 | 2012-12-05 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク通信において送信データの宛先を動的に制御する方法及び機器 |
| US20110080911A1 (en) * | 2009-10-02 | 2011-04-07 | Cisco Technology, Inc., A Corporation Of California | Forwarding of Packets to a Same Location Having a Same Internet Protocol (IP) Address Embedded in a Different Advertised Route |
| US8955054B2 (en) | 2010-01-06 | 2015-02-10 | Qualcomm Incorporated | Method and apparatus for providing simultaneous support for multiple master keys at an access point in a wireless communication system |
| US8804957B2 (en) | 2010-03-29 | 2014-08-12 | Nokia Corporation | Authentication key generation arrangement |
| US9154953B2 (en) * | 2010-12-10 | 2015-10-06 | At&T Intellectual Property I, L.P. | Network access via telephony services |
| EP3253006B1 (en) * | 2010-12-27 | 2018-12-12 | NEC Corporation | Mapping server, network system, packet forwarding method and program |
| US9288288B2 (en) * | 2011-06-27 | 2016-03-15 | Marvell Israel (M.I.S.L) Ltd. | FCoE over trill |
| CN104426789B (zh) * | 2013-08-23 | 2017-08-11 | 新华三技术有限公司 | 软件定义网络中的转发设备控制方法及设备 |
| US9876711B2 (en) * | 2013-11-05 | 2018-01-23 | Cisco Technology, Inc. | Source address translation in overlay networks |
-
2013
- 2013-04-01 WO PCT/CN2013/073570 patent/WO2014161138A1/en active Application Filing
- 2013-04-01 EP EP13881172.4A patent/EP2982103B1/en active Active
- 2013-04-01 CN CN201380075256.2A patent/CN105075285B/zh active Active
- 2013-04-01 US US14/779,258 patent/US9781080B2/en active Active
Non-Patent Citations (2)
| Title |
|---|
| Discussion on Protocol Stack Support in Small Cell eNB;Research In Motion, UK Limited;《3GPP TSG RAN WG2 Meeting #81 R2- 130068》;20130118;正文第1、2.1、2.2.1、2.2.4节、图3 |
| IP Flow Mobility for individual flows of a single PDN Connection;NEC;《3GPP TSG SA WG2 Meeting #69 TD S2-087607》;20081112;全文 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2982103A4 (en) | 2016-12-21 |
| US20160050186A1 (en) | 2016-02-18 |
| CN105075285A (zh) | 2015-11-18 |
| EP2982103B1 (en) | 2018-08-29 |
| WO2014161138A1 (en) | 2014-10-09 |
| EP2982103A1 (en) | 2016-02-10 |
| US9781080B2 (en) | 2017-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4823359B2 (ja) | マルチホップメッシュネットワークを介する管理トラフィックの送信 | |
| CN103297961B (zh) | 一种用于设备间安全通信的设备与系统 | |
| CN102035845B (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
| US20120166804A1 (en) | VLAN Tunneling | |
| EP2856837B1 (en) | Pooled transport and control functions in a 3gpp lte network | |
| CN108353275A (zh) | 被代理设备的安全性 | |
| CN108347420A (zh) | 一种网络密钥处理的方法、相关设备及系统 | |
| CN106301765B (zh) | 加密和解密芯片及其实现加密和解密的方法 | |
| CN104137508A (zh) | 具有网络附接的无状态安全卸载装置的网络节点 | |
| WO2013130250A1 (en) | Method and device for rekeying in a radio network link layer encryption system | |
| CN105075285B (zh) | 用于增强型局域网中的多样化安全处理的方法和装置 | |
| CN114584969B (zh) | 基于关联加密的信息处理方法及装置 | |
| EP2757854B1 (en) | Traffic Offload | |
| CN114389796A (zh) | 量子云密钥协商方法、装置及系统、量子及量子云服务器 | |
| CN101127597A (zh) | Manet网络的数据传递加密方法 | |
| WO2013143387A1 (zh) | 一种配置传输和数据传输的方法、系统及设备 | |
| CN103905389B (zh) | 基于中继设备的安全关联、数据传输方法及装置、系统 | |
| CN110650476B (zh) | 管理帧加密和解密 | |
| CN108293211A (zh) | 无线通信装置(wcd)转发它自己的wcd上下文以用于移交 | |
| WO2023083346A1 (zh) | 卫星通信系统、方法、装置、接收方网元及存储介质 | |
| EP4231751A1 (en) | Wireless communication method, device, and system | |
| JP2018195873A (ja) | 基地局,及びパケットの暗号化処理方法 | |
| JP5522148B2 (ja) | ネットワークシステム、複数の独立したネットワークを運用する方法、通信装置およびその制御方法と制御プログラム | |
| US20140071906A1 (en) | Apparatus and method for distributing traffic load | |
| CN101277251B (zh) | 基于包传输的无线网络中控制数据交换的方法及控制装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |