CN107396366B - 协商加密方式的方法、装置及系统 - Google Patents
协商加密方式的方法、装置及系统 Download PDFInfo
- Publication number
- CN107396366B CN107396366B CN201710606016.0A CN201710606016A CN107396366B CN 107396366 B CN107396366 B CN 107396366B CN 201710606016 A CN201710606016 A CN 201710606016A CN 107396366 B CN107396366 B CN 107396366B
- Authority
- CN
- China
- Prior art keywords
- access network
- network device
- terminal
- user plane
- indication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/16—Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0016—Hand-off preparation specially adapted for end-to-end data sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种协商加密方式的方法、装置及系统。该方法包括:控制面功能实体接收第一接入网设备发送的切换需求消息;向第一接入网设备发送携带有第一指示信息的切换需求响应消息,第一接入网设备向终端发送携带第一指示信息的切换命令,终端与第二接入网设备建立通信连接,并开启接入网加密的功能。本公开实施例,通过在终端切换接入网设备的协商过程中,同时协商终端是否需要由核心网加密切换至接入网加密,从而确保为终端持续提供用户面数据的加密服务,降低安全风险。
Description
技术领域
本公开实施例涉及无线通信技术领域,特别涉及一种协商加密方式的方法、装置及系统。
背景技术
为了保障通信的安全性,移动通信系统可以对数据传输进行加密。
在长期演进(Long Term Evolution,LTE)系统中,提供有接入网加密功能,终端与基站之间传输的用户面数据可以进行加密。在下一代移动通信系统中,如第五代(5thGeneration,5G)系统中,除支持接入网加密功能之外,相关标准组织已提出引入核心网加密功能。所谓核心网加密,是指对终端与核心网的用户面功能实体(User Plane Function,UPF)之间传输的用户面数据进行加密。网络可以根据终端的服务基站、业务特性等因素,为终端选择启用接入网加密或者启用核心网加密。例如,当为终端提供服务的基站为用户私人部署的、安全性未知的小基站时,网络为终端选择启用核心网加密。在启用核心网加密之后,基站仅用于数据转发,而无法对用户面数据进行解密。
在移动通信系统同时支持接入网加密和核心网加密的情况下,终端在发生移动的过程中如何进行加密方式的协商与切换,是亟待解决的问题。
发明内容
本公开实施例提供了一种协商加密方式的方法、装置及系统。所述技术方案如下:
根据本公开实施例的第一方面,提供了一种协商加密方式的方法,所述方法包括:
接收第一接入网设备发送的切换需求消息,所述切换需求消息用于指示所述第一接入网设备当前服务的终端需要切换至第二接入网设备;
向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能。
可选地,所述向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息,包括:
若所述第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能,则向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息。
可选地,所述方法还包括:
向所述用户面功能实体发送用户面传输建立请求消息,所述用户面传输建立请求消息用于请求所述用户面功能实体为所述终端分配用户面传输资源;
接收所述用户面功能实体发送的用户面传输建立响应消息,所述用户面传输建立响应消息中携带有第二指示信息,所述第二指示信息用于指示所述用户面功能实体是否开启所述核心网加密的功能。
可选地,所述方法还包括:
向所述第二接入网设备发送切换请求消息,所述切换请求消息用于请求将所述终端切换至所述第二接入网设备,所述切换请求消息中携带所述第二指示信息和第三指示信息,所述第三指示信息用于指示所述终端在接入所述第一接入网设备时开启的加密功能;
接收所述第二接入网设备发送的切换响应消息,所述切换响应消息中携带有所述第一指示信息。
可选地,所述切换响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
根据本公开实施例的第二方面,提供了一种协商加密方式的方法,所述方法包括:
向核心网中的控制面功能实体发送切换需求消息,所述切换需求消息用于指示当前服务的终端需要切换至第二接入网设备;
接收所述控制面功能实体发送的切换需求响应消息,所述切换需求响应消息中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能;
向所述终端发送携带有所述第一指示信息的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至所述第二接入网设备。
可选地,所述切换响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力,所述切换命令中还包括所述第四指示信息。
根据本公开实施例的第三方面,提供了一种协商加密方式的方法,所述方法包括:
接收第一接入网设备发送的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至第二接入网设备,所述切换命令中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能;
根据所述切换命令,与所述第二接入网设备建立通信连接;
在与所述第二接入网设备建立所述通信连接之后,开启所述接入网加密的功能。
可选地,所述方法还包括:
向所述第二接入网设备发送空口安全建立请求消息;
接收所述第二接入网设备发送的空口安全建立响应消息,所述空口安全建立响应消息中携带第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
可选地,所述切换命令中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
根据本公开实施例的第四方面,提供了一种协商加密方式的装置,所述装置包括:
第一接收模块,被配置为接收第一接入网设备发送的切换需求消息,所述切换需求消息用于指示所述第一接入网设备当前服务的终端需要切换至第二接入网设备;
第一发送模块,被配置为向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能。
可选地,所述第一发送模块,被配置为当所述第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能时,向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息。
可选地,所述第一发送模块,还被配置为向所述用户面功能实体发送用户面传输建立请求消息,所述用户面传输建立请求消息用于请求所述用户面功能实体为所述终端分配用户面传输资源;
所述第一接收模块,还被配置为接收所述用户面功能实体发送的用户面传输建立响应消息,所述用户面传输建立响应消息中携带有第二指示信息,所述第二指示信息用于指示所述用户面功能实体是否开启所述核心网加密的功能。
可选地,所述第一发送模块,还被配置为向所述第二接入网设备发送切换请求消息,所述切换请求消息用于请求将所述终端切换至所述第二接入网设备,所述切换请求消息中携带所述第二指示信息和第三指示信息,所述第三指示信息用于指示所述终端在接入所述第一接入网设备时开启的加密功能;
所述第一接收模块,还被配置为接收所述第二接入网设备发送的切换响应消息,所述切换响应消息中携带有所述第一指示信息。
可选地,所述切换响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
根据本公开实施例的第五方面,提供了一种协商加密方式的装置,所述装置包括:
第二发送模块,被配置为向核心网中的控制面功能实体发送切换需求消息,所述切换需求消息用于指示当前服务的终端需要切换至第二接入网设备;
第二接收模块,被配置为接收所述控制面功能实体发送的切换需求响应消息,所述切换需求响应消息中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能;
所述第二发送模块,还被配置为向所述终端发送携带有所述第一指示信息的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至所述第二接入网设备。
可选地,所述切换响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力,所述切换命令中还包括所述第四指示信息。
根据本公开实施例的第六方面,提供了一种协商加密方式的装置,所述装置包括:
第三接收模块,被配置为接收第一接入网设备发送的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至第二接入网设备,所述切换命令中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能;
连接建立模块,被配置为根据所述切换命令,与所述第二接入网设备建立通信连接;
加密开启模块,被配置为在与所述第二接入网设备建立所述通信连接之后,开启所述接入网加密的功能。
可选地,所述装置还包括:
第三发送模块,被配置为向所述第二接入网设备发送空口安全建立请求消息;
所述第三接收模块,还被配置为接收所述第二接入网设备发送的空口安全建立响应消息,所述空口安全建立响应消息中携带第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
可选地,所述切换命令中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
根据本公开实施例的第七方面,提供了一种通信系统,所述通信系统包括:核心网中的控制面功能实体、第一接入网设备和终端;
所述控制面功能实体包括如第四方面所述的装置;
所述第一接入网设备包括如第五方面所述的装置;
所述终端包括如权利要求如第六方面所述的装置。
根据本公开实施例的第八方面,提供了一种协商加密方式的装置,所述装置包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为:
接收第一接入网设备发送的切换需求消息,所述切换需求消息用于指示所述第一接入网设备当前服务的终端需要切换至第二接入网设备;
若所述第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能,则向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能。
根据本公开实施例的第九方面,提供了一种协商加密方式的装置,所述装置包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为:
向核心网中的控制面功能实体发送切换需求消息,所述切换需求消息用于指示当前服务的终端需要切换至第二接入网设备;
接收所述控制面功能实体发送的切换需求响应消息,所述切换需求响应消息中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能;
向所述终端发送携带有所述第一指示信息的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至所述第二接入网设备。
根据本公开实施例的第十方面,提供了一种协商加密方式的装置,所述装置包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为:
接收第一接入网设备发送的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至第二接入网设备,所述切换命令中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能;
根据所述切换命令,与所述第二接入网设备建立通信连接;
在与所述第二接入网设备建立所述通信连接之后,开启所述接入网加密的功能。
根据本公开实施例的第十一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面所述方法的步骤,或者,第二方面所述方法的步骤,或者,第三方面所述方法的步骤。
本公开实施例提供的技术方案可以包括以下有益效果:
通过在终端切换接入网设备的协商过程中,同时协商终端是否需要由核心网加密切换至接入网加密,避免在终端进行接入网设备的切换之后,出现未对用户面数据进行加密的情况发生,从而确保为终端持续提供用户面数据的加密服务,降低安全风险。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是根据一示例性实施例示出的一种应用场景的示意图;
图2是根据一示例性实施例示出的一种协商加密方式的方法的流程图;
图3是根据另一示例性实施例示出的一种协商加密方式的方法的流程图;
图4是根据另一示例性实施例示出的一种协商加密方式的方法的流程图;
图5是根据一示例性实施例示出的一种协商加密方式的装置的框图;
图6是根据另一示例性实施例示出的一种协商加密方式的装置的框图;
图7是根据另一示例性实施例示出的一种协商加密方式的装置的框图;
图8是根据一示例性实施例示出的一种接入网设备的结构方框图;
图9是根据一示例性实施例示出的一种终端的结构方框图;
图10是根据一示例性实施例示出的一种控制面功能实体的结构方框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
本公开实施例描述的网络架构以及业务场景是为了更加清楚地说明本公开实施例的技术方案,并不构成对本公开实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本公开实施例提供的技术方案对于类似的技术问题,同样适用。
图1是根据一示例性实施例示出的一种应用场景的示意图。该应用场景可以包括:终端10、接入网20和核心网30。
终端10可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备,以及各种形式的用户设备(UserEquipment,UE),移动台(Mobile Station,MS),终端设备(terminal device)等等。为方便描述,上面提到的设备统称为终端。
接入网20中部署有若干个接入网设备,如图中的第一接入网设备21和第二接入网设备22。接入网设备可以是基站(Base Station,BS),所述基站是一种部署在无线接入网中用以为终端提供无线通信功能的装置。所述基站可以包括各种形式的宏基站,微基站,中继站,接入点等等。在采用不同的无线接入技术的系统中,具备基站功能的设备的名称可能会有所不同,例如在LTE系统中,称为演进的节点B(evolved NodeB,eNB或eNodeB),在3G通信系统中,称为节点B(Node B)等等。为方便描述,本公开实施例中,上述为终端提供无线通信功能的装置统称为接入网设备。
接入网设备和终端10之间通过某种空口技术互相通信,例如可以通过蜂窝技术互相通信。例如,接入网设备和终端10之间通过Uu接口进行通信。
核心网30中部署有若干个核心网设备,如图中的第一用户面功能实体31、第二用户面功能实体32和控制面功能实体33。
控制面功能实体33是用于实现控制面功能的网络设备。例如,控制面功能包括无线资源的管理、无线连接的建立、业务的服务质量(Quality of Service,QoS)保证等。可选地,控制面功能实体33可以是5G系统中的接入和移动性管理功能实体(Access andMobility management Function,AMF)。用户面功能实体是用于实现用户面功能的网络设备。用户面功能主要包括发送和接收业务数据。一个控制面功能实体33可以控制一个或者多个用户面功能实体,一个用户面功能实体也可以由一个或者多个控制面功能实体控制。
接入网设备与控制面功能实体和用户面功能实体之间也可通过空口技术实现互相通信。用户面功能实体还可接入数据网络(Data Network),例如公共数据网(PublicData Network.PDN)。
如图1所示,假设终端10当前接入的接入网设备为第一接入网设备21,第一接入网设备21与第一用户面功能实体31之间具有通信连接。终端10发生移动,其接入的接入网设备由第一接入网设备21切换至第二接入网设备22。第二接入网设备22与第二用户面功能实体32之间具有通信连接。此外,第一接入网设备21和第二接入网设备22还分别与控制面功能实体33之间具有通信连接。
本公开实施例中,名词“网络”和“系统”经常交替使用,但本领域技术人员可以理解其含义。本公开实施例提供的技术方案,可以适用于LTE系统,也可以适用于5G系统或者未来可能出现的其它系统。需要说明的是,当本公开实施例的方案应用于5G系统或未来可能出现的其它系统时,控制面功能实体、用户面功能实体、接入网设备、终端等的名称可能发生变化,但这并不影响本公开实施例方案的实施。
终端在发生移动时,会从一个接入网设备(记为第一接入网设备)切换到另一个接入网设备(记为第二接入网设备)。随着终端接入的接入网设备发生改变,两个接入网设备所连接的用户面功能实体也可能发生改变,也即终端从一个用户面功能实体(记为第一用户面功能实体)切换到另一个用户面功能实体(第二用户面功能实体)。当移动通信系统同时支持接入网加密和核心网加密时,会出现如下情况:第一用户面功能实体开启了核心网加密的功能,终端从第一用户面功能实体切换至第二用户面功能实体时,第二用户面功能实体未开启核心网加密的功能。
产生上述情况的原因示例性如下:(1)第一用户面功能实体连接的是不安全的接入网设备(如微基站),因此第一用户面功能实体开启核心网加密的功能,第二用户面功能实体连接的是安全的接入网设备(如宏基站),因此第二用户面功能实体不开启核心网加密的功能;(2)第一用户面功能实体与第二用户面功能实体分属不同的虚拟运营商,第一用户面功能实体所属的虚拟运营商为第一用户面功能实体开启核心网加密的功能,第二用户面功能实体所属的虚拟运营商没有为第二用户面功能实体开启核心网加密的功能。
针对上述情况,终端从第一用户面功能实体切换到第二用户面功能实体之后,将不能接受到用户面数据的加密服务,从而增加了安全风险。本公开实施例提供的方案中,针对上述情况,能够确保为终端持续提供用户面数据的加密服务。
下面将基于上面所述的本公开实施例涉及的共性方面,对本公开实施例进一步详细说明。
图2是根据一示例性实施例示出的一种协商加密方式的方法的流程图。该方法可应用于图1所示的应用场景中。
在该应用场景中,终端需要从第一接入网设备切换至第二接入网设备,而第一接入网设备与第二接入网设备分别连接不同的用户面功能实体。其中,第一接入网设备连接的用户面功能实体可以称之为第一用户面功能实体,第二接入网设备连接的用户面功能实体可以称之为第二用户面功能实体。
该方法可以包括如下几个步骤。
在步骤201中,第一接入网设备向核心网中的控制面功能实体发送切换需求消息。
第一接入网设备是当前与终端建立通信连接的接入网设备。
切换需求消息用于指示当前服务的终端需要切换至第二接入网设备。切换需求消息中携带第一接入网设备的标识、第二接入网设备的标识、终端的标识。接入网设备的标识用于唯一标识接入网设备。终端的标识用于唯一标识终端。可选地,切换需求消息中携带有第三指示信息。第三指示信息用于指示终端在接入第一接入网设备时开启的加密功能。上述加密功能可以是核心网加密,也可以是接入网加密。
核心网加密是指对终端与核心网的用户面功能实体之间传输的用户面数据进行加密,也即加密通道建立在终端与用户面功能实体之间。核心网加密采用的加密算法是终端以及用户面功能实体共同支持的加密算法。接入网加密是指对终端与接入网设备之间传输的用户面数据进行加密,也即加密通道建立在终端与接入网设备之间。接入网加密采用的加密算法是终端与接入网设备共同支持的加密算法。
可选地,第一接入网设备在确定终端待切换至的第二接入网设备之后,向控制面功能实体发送切换需求消息。在一个示例中,第一接入网设备根据终端上报的测量结果直接确定第二接入网设备,其中,测量结果包括至少一个可供终端切换的接入网设备的标识。在另一个示例中,由核心网中用于管理无线连接的设备根据测量结果确定第二接入网设备,并将确定的第二接入网设备的标识发送至第一接入网设备。
相应地,控制面功能实体接收第一接入网设备发送的切换需求消息。
在步骤202中,控制面功能实体向第一接入网设备发送携带有第一指示信息的切换需求响应消息。第一指示信息用于指示终端在切换至第二接入网设备之后,开启接入网加密的功能。
可选地,控制面功能实体在第一接入网设备和第二接入网设备所属的核心网中的用户面功能实体不同,终端在接入第一接入网设备时开启核心网加密的功能,且第二接入网设备所属的用户面功能实体未开启核心网加密的功能的情况下,向第一接入网设备发送携带有第一指示信息的切换需求响应消息。
也即,控制面功能实体在向第一接入网设备发送切换需求响应消息之前,需要判断出第一接入网设备和第二接入网设备所属的核心网中的用户面功能实体是否相同、终端在接入第一接入网设备时是否开启核心网加密的功能、以及第二接入网设备所属的用户面功能实体是否开启核心网加密的功能。
可选地,控制面功能实体存储有接入网设备与用户面功能实体之间的从属关系。控制面功能实体接收切换需求消息之后,查找上述从属关系,即可确定第一接入网设备和第二接入网设备所属的用户面功能实体是否相同。
在本公开实施例中,终端在接入第一接入网设备时开启的加密功能,以第二用户面功能实体是否开启核心网加密的功能,可以由控制面功能实体判断,也可以由第二接入网设备判断。下面将结合图3以及图4,对上述两种情况进行解释说明。
在步骤203中,第一接入网设备向终端发送携带有第一指示信息的切换命令。
切换命令用于指示终端由第一接入网设备切换至第二接入网设备。切换命令携带有第二接入网设备的标识。可选地,切换命令还携带有接入网加密开启指示信息和/或核心网加密关闭指示信息。其中,接入网加密开启指示信息用于指示终端开启接入网加密的功能,核心网加密关闭指示信息用于指示终端关闭核心网加密的功能。
相应地,终端接收第一接入网设备发送的携带有第一指示信息的切换命令。
在步骤204中,终端根据切换命令,与第二接入网设备建立通信连接。
可选地,终端与第二接入网设备建立通信连接的包括如下四步:随机接入、无线资源控制(Radio Resource Control,RRC)连接建立、信令连接以及无线承载(Radio Bearer,RB)连接。
在步骤205中,终端在与第二接入网设备建立通信连接之后,开启接入网加密的功能。
终端根据切换命令中携带的第一指示信息开启接入网加密的功能,之后采用终端与第二接入网设备共同支持的加密算法对用户面数据加密。
本公开实施例提供的方法,通过在终端切换接入网设备的协商过程中,同时协商终端是否需要由核心网加密切换至接入网加密,避免在终端进行接入网设备的切换之后,出现未对用户面数据进行加密的情况发生,从而确保为终端持续提供用户面数据的加密服务,降低安全风险。
图3是根据另一示例性实施例示出的一种协商加密方式的方法的流程图。该方法可应用于图1所示的应用场景中。该方法可以包括如下几个步骤。
在步骤301中,第一接入网设备向核心网中的控制面功能实体发送切换需求消息。
切换需求消息用于指示当前服务的终端需要切换至第二接入网设备。可选地,切换需求消息携带第三指示信息。第三指示信息用于指示终端在接入第一接入网设备时开启的加密功能。
相应地,控制面功能实体接收第一接入网设备发送的切换需求消息。
在步骤302中,控制面功能实体向第二用户面功能实体发送用户面传输建立请求消息。
用户面传输建立请求消息用于请求第二用户面功能实体为终端分配用户面传输资源。用户面传输资源包括但不限于传输用户面数据所需的时频资源。用户面传输建立请求消息中携带有第二接入网设备的标识、终端的标识中的第一种或全部两种。可选地,用户面传输建立请求消息还携带有第三指示信息。第三指示信息用于指示终端在接入第一接入网设备时开启的加密功能。上述加密功能可以是核心网加密,也可以是接入网加密。
相应地,第二用户面功能实体接收控制面功能实体发送的用户面传输建立请求消息。
在步骤303中,第二用户面功能实体向控制面功能实体发送用户面传输建立响应消息。
用户面传输建立响应消息用于指示第二用户面功能实体确认为终端分配用户面传输资源。可选地,用户面传输建立响应消息中携带有第二指示信息,第二指示信息用于指示第二用户面功能实体是否开启核心网加密的功能。
相应地,控制面功能实体接收第二用户面功能实体发送的用户面传输建立响应消息。
在步骤304中,控制面功能实体向第二接入网设备发送切换请求消息。
切换请求消息用于请求将终端切换至第二接入网设备,切换请求消息中携带第二指示信息和第三指示信息。可选地,切换请求消息携带有终端的标识以及第一接入网设备的标识。
需要说明的是,控制面功能实体可以在接收到切换需求消息之后,向第二接入网设备发送切换请求消息;也可以在判断出第一接入网设备和第二接入网设备所属的核心网中的用户面功能实体不同之后,向第二接入网设备发送切换请求消息。本公开实施例对此不做限定。
相应地,第二接入网设备接收控制面功能实体发送的切换请求消息。
在步骤305中,第二接入网设备向控制面功能实体发送切换响应消息,切换响应消息中携带有第一指示信息。切换响应消息用于确认将终端切换至第二接入网设备。切换响应消息中携带有第一指示信息,第一指示信息用于指示终端在切换至第二接入网设备之后,开启接入网加密的功能。
相应地,控制面功能实体接收第二接入网设备发送的切换响应消息。
在步骤306中,若第一接入网设备和第二接入网设备所属的核心网中的用户面功能实体不同、终端在接入第一接入网设备时开启核心网加密的功能、且第二接入网设备所属的用户面功能实体未开启核心网加密的功能,则控制面功能实体向第一接入网设备发送携带有第一指示信息的切换需求响应消息。
在本实施例中,终端在接入第一接入网设备时开启的加密功能,以及第二用户面功能实体是否开启核心网加密的功能,由控制面功能实体判断。
在一个示例中,控制面功能实体可根据第二指示信息和第三指示信息,直接判断终端在接入第一接入网设备时开启的加密功能,以及第二用户面功能实体是否开启核心网加密的功能。
在另一个示例中,控制面功能实体记录有各个用户面功能实体是否开启核心网加密,因此控制面功能实体能直接确定第一用户面功能实体、以及第二用户面功能实体是否开启核心网加密的功能。需要说明的是,若第一用户面功能实体开启核心网加密,则终端在接入第一接入网设备时开启的加密功能为核心网加密;若第一用户面功能实体未开启核心网加密,则终端在接入第一接入网设备时开启的加密功能为接入网加密。
相应地,第一接入网设备接收控制面功能实体发送的携带有第一指示信息的切换需求响应消息。
在步骤307中,第一接入网设备向终端发送携带有第一指示信息的切换命令。
切换命令用于指示终端由第一接入网设备切换至第二接入网设备。
相应地,终端接收第一接入网设备发送的携带有第一指示信息的切换命令。
在步骤308中,终端根据切换命令,与第二接入网设备建立通信连接。
在步骤309中,终端向第二接入网设备发送空口安全建立请求消息。
空口安全建立请求消息用于请求第二接入网设备开启接入网加密。空口安全建立请求消息中携带终端的标识。
相应地,第二接入网设备接收终端发送的空口安全建立请求消息。
在步骤310中,第二接入网设备向终端发送空口安全建立响应消息。
空口安全建立响应消息用于确认开启接入网加密。空口安全建立响应消息中携带第四指示信息,第四指示信息用于指示第二接入网设备具备的加密能力。可选地,第二接入网设备具备的加密能力是指第二接入网设备支持的加密算法。
相应地,终端接收第二接入网设备发送的空口安全建立响应消息。
在步骤311中,终端向第二接入网设备发送空口安全建立确认消息。
终端接收空口安全建立响应消息之后,将自身支持的加密算法与第二接入网设备支持的加密算法进行匹配,以确定出终端与第二接入网设备共同支持的加密算法,之后向第二接入网设备发送空口安全建立确认消息,上述空口安全建立确认消息中携带有二者共同具备的加密能力。
示例性地,第二接入网设备支持的加密算法包括A、B、C三种,终端支持的加密算法包括B和D,则终端将加密算法B的标识携带于空口安全建立确认消息,并将空口安全建立确认消息发送至第二接入网设备。
相应地,第二接入网设备接收终端发送的空口安全建立确认消息。
在步骤312中,终端开启接入网加密的功能。
综上所述,本公开实施例提供的方法,通过在终端切换接入网设备的协商过程中,同时协商终端是否需要由核心网加密切换至接入网加密,避免在终端进行接入网设备的切换之后,出现未对用户面数据进行加密的情况发生,从而确保为终端持续提供用户面数据的加密服务,降低安全风险。
本公开实施例提供的方法,还通过由控制面功能实体判断终端在接入第一接入网设备时开启的加密功能,以及第二用户面功能实体是否开启核心网加密的功能由控制面功能实体,进而决定是否与第二接入网设备进行加密方式的协商,能够节省第二接入网设备的处理开销。
图4是根据另一示例性实施例示出的一种协商加密方式的方法的流程图。该方法可应用于图1所示的应用场景中。该方法可以包括如下几个步骤。
在步骤401中,第一接入网设备向核心网中的控制面功能实体发送切换需求消息。
切换需求消息用于指示当前服务的终端需要切换至第二接入网设备。可选地,切换需求消息携带第三指示信息。第三指示信息用于指示终端在接入第一接入网设备时开启的加密功能。
相应地,控制面功能实体接收第一接入网设备发送的切换需求消息。
在步骤402中,控制面功能实体向第二用户面功能实体发送用户面传输建立请求消息。
用户面传输建立请求消息用于请求第二用户面功能实体为终端分配用户面传输资源。用户面传输资源包括但不限于传输用户面数据所需的时频资源。用户面传输建立请求消息中携带有第二接入网设备的标识、终端的标识中的第一种或全部两种。可选地,用户面传输建立请求消息还携带有第三指示信息。相应地,第二用户面功能实体接收控制面功能实体发送的用户面传输建立请求消息。
在步骤403中,第二用户面功能实体向控制面功能实体发送用户面传输建立响应消息。
用户面传输建立响应消息用于指示第二用户面功能实体确认为终端分配用户面传输资源。可选地,用户面传输建立响应消息中携带有第二指示信息,第二指示信息用于指示第二用户面功能实体是否开启核心网加密的功能。
相应地,控制面功能实体接收第二用户面功能实体发送的用户面传输建立响应消息。
在步骤404中,控制面功能实体向第二接入网设备发送切换请求消息。
切换请求消息用于请求将终端切换至第二接入网设备,切换请求消息中携带第二指示信息和第三指示信息。可选地,切换请求消息携带有终端的标识以及第一接入网设备的标识。
相应地,第二接入网设备接收控制面功能实体发送的切换请求消息。
在步骤405中,第二接入网设备向控制面功能实体发送切换响应消息,切换响应消息中携带有第一指示信息和第四指示信息。
在本实施例中,终端在接入第一接入网设备时开启的加密功能,以及第二用户面功能实体是否开启核心网加密的功能,由第二接入网设备判断。
在一个示例中,控制面功能实体可根据第二指示信息和第三指示信息,直接判断终端在接入第一接入网设备时开启的加密功能,以及第二用户面功能实体是否开启核心网加密的功能。
控制面功能实体在判断出终端在接入第一接入网设备时开启核心网加密的功能、且第二接入网设备所属的用户面功能实体未开启核心网加密的功能之后,向控制面功能实体发送携带第一指示信息和第四指示信息的切换响应消息。切换响应消息用于确认将终端切换至第二接入网设备。与图3实施例不同的是,在本实施例中,切换响应消息中除携带有第一指示信息之外,还携带有第四指示信息,第四指示信息用于指示第二接入网设备具备的加密能力。
相应地,控制面功能实体接收第二接入网设备发送的携带有第一指示信息和第四指示信息的切换响应消息。
在步骤406中,控制面功能实体向第一接入网设备发送携带有第一指示信息和第四指示信息的切换需求响应消息。
相应地,第一接入网设备接收控制面功能实体发送的携带有第一指示信息和第四指示信息的切换需求响应消息。
在步骤407中,第一接入网设备向终端发送携带有第一指示信息和第四指示信息的切换命令。
切换命令用于指示终端由第一接入网设备切换至第二接入网设备。
相应地,终端接收第一接入网设备发送的携带有第一指示信息和第四指示信息的切换命令。
在步骤408中,终端根据切换命令,与第二接入网设备建立通信连接。
在步骤409中,终端向第二接入网设备发送空口安全建立确认消息。
终端根据切换命令中携带的第四指示信息,将自身支持的加密算法与第二接入网设备支持的加密算法进行匹配,以确定出终端与第二接入网设备共同支持的加密算法,之后向第二接入网设备发送空口安全建立确认消息,上述空口安全建立确认消息中携带有二者共同具备的加密能力。
在步骤410中,终端开启接入网加密的功能。
本公开实施例提供的方法,通过在终端切换接入网设备的协商过程中,同时协商终端是否需要由核心网加密切换至接入网加密,避免在终端进行接入网设备的切换之后,出现未对用户面数据进行加密的情况发生,从而确保为终端持续提供用户面数据的加密服务,降低安全风险。
本公开实施例提供的方法,还通过由第二接入网设备判断终端在接入第一接入网设备时开启的加密功能,以及第二用户面功能实体是否开启核心网加密的功能,并在判断出终端在接入第一接入网设备时开启核心网加密的功能、且第二接入网设备所属的用户面功能实体未开启核心网加密的功能之后,直接将自身的加密能力携带于切换响应消息中发送给控制面功能实体,后续终端建立通信连接之后,无需重新请求第二接入网设备的加密能力,能提高协商加密方式的效率。
需要说明的是,上述实施例中有关控制面功能实体的步骤可以单独实现成为控制面功能实体一侧的协商加密方式的方法,有关第一接入网设备的步骤可以单独实现成为第一接入网设备一侧的协商加密方式的方法;有关终端的步骤可以单独实现成为终端一侧的协商加密方式的方法。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图5是根据一示例性实施例示出的一种协商加密方式的装置的框图。该装置具有实现上述方法示例中控制面功能实体侧各个步骤的功能,所述功能可以由硬件实现,也可以由硬件执行相应的软件实现。该装置可以包括:第一接收模块501和第一发送模块502。
第一接收模块501,被配置为接收第一接入网设备发送的切换需求消息,所述切换需求消息用于指示所述第一接入网设备当前服务的终端需要切换至第二接入网设备。
第一发送模块502,被配置为向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能。
本公开实施例提供的装置,通过在终端切换接入网设备的协商过程中,同时协商终端是否需要由核心网加密切换至接入网加密,避免在终端进行接入网设备的切换之后,出现未对用户面数据进行加密的情况发生,从而确保为终端持续提供用户面数据的加密服务,降低安全风险。
在基于图5实施例提供的一个可选实施例中,第一发送模块502,被配置为当所述第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能时,向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息。
在基于图5实施例提供的另一个可选实施例中,第一发送模块502,还被配置为向所述用户面功能实体发送用户面传输建立请求消息,所述用户面传输建立请求消息用于请求所述用户面功能实体为所述终端分配用户面传输资源。
第一接收模块501,还被配置为接收所述用户面功能实体发送的用户面传输建立响应消息,所述用户面传输建立响应消息中携带有第二指示信息,所述第二指示信息用于指示所述用户面功能实体是否开启所述核心网加密的功能。
在基于图5实施例提供的另一个可选实施例中,第一发送模块502,还被配置为向所述第二接入网设备发送切换请求消息,所述切换请求消息用于请求将所述终端切换至所述第二接入网设备,所述切换请求消息中携带所述第二指示信息和第三指示信息,所述第三指示信息用于指示所述终端在接入所述第一接入网设备时开启的加密功能。
第一接收模块501,还被配置为接收所述第二接入网设备发送的切换响应消息,所述切换响应消息中携带有所述第一指示信息。
在基于图5实施例提供的另一个可选实施例中,所述切换响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
图6是根据另一示例性实施例示出的一种协商加密方式的装置的框图。该装置具有实现上述方法示例中第一接入网设备侧各个步骤的功能,所述功能可以由硬件实现,也可以由硬件执行相应的软件实现。该装置可以包括:第二发送模块601、和第二接收模块602。
第二发送模块601,被配置为向核心网中的控制面功能实体发送切换需求消息,所述切换需求消息用于指示当前服务的终端需要切换至第二接入网设备。
第二接收模块602,被配置为接收所述控制面功能实体发送的切换需求响应消息,所述切换需求响应消息中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能。
第二发送模块601,被配置为向所述终端发送携带有所述第一指示信息的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至所述第二接入网设备。
本公开实施例提供的装置,通过在终端切换接入网设备的协商过程中,同时协商终端是否需要由核心网加密切换至接入网加密,避免在终端进行接入网设备的切换之后,出现未对用户面数据进行加密的情况发生,从而确保为终端持续提供用户面数据的加密服务,降低安全风险。
在基于图6实施例提供的一个可选实施例中,所述切换响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力,所述切换命令中还包括所述第四指示信息。
图7是根据另一示例性实施例示出的一种协商加密方式的装置的框图。该装置具有实现上述方法示例中终端侧各个步骤的功能,所述功能可以由硬件实现,也可以由硬件执行相应的软件实现。该装置可以包括:第三接收模块701、连接建立模块702和加密开启模块703。
第三接收模块701,被配置为接收第一接入网设备发送的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至第二接入网设备,所述切换命令中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能。
连接建立模块702,被配置为根据所述切换命令,与所述第二接入网设备建立通信连接。
加密开启模块703,被配置为在与所述第二接入网设备建立所述通信连接之后,开启所述接入网加密的功能。
本公开实施例提供的装置,通过在终端切换接入网设备的协商过程中,同时协商终端是否需要由核心网加密切换至接入网加密,避免在终端进行接入网设备的切换之后,出现未对用户面数据进行加密的情况发生,从而确保为终端持续提供用户面数据的加密服务,降低安全风险。
在基于图7实施例提供的一个可选实施例中,所述装置还包括:第三发送模块(图中未示出)。
第三发送模块,被配置为向所述第二接入网设备发送空口安全建立请求消息。
第三接收模块701,被配置为接收所述第二接入网设备发送的空口安全建立响应消息,所述空口安全建立响应消息中携带第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
在基于图7实施例提供的另一个可选实施例中,所述切换命令中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
需要说明的一点是,上述实施例提供的装置在实现其功能时,仅以上述各个功能模块的划分进行举例说明,实际应用中,可以根据实际需要而将上述功能分配由不同的功能模块完成,即将设备的内容结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本公开一示例性实施例还提供了一种协商加密方式的装置,能够实现本公开实施例提供的核心网中的控制面功能实体侧的方法。该装置包括:处理器,以及用于存储处理器的可执行指令的存储器。其中,所述处理器被配置为:
接收第一接入网设备发送的切换需求消息,所述切换需求消息用于指示所述第一接入网设备当前服务的终端需要切换至第二接入网设备;
向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能。
可选地,所述处理器被配置为:
当所述第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能时,向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息。
可选地.所述处理器还被配置为:
向所述用户面功能实体发送用户面传输建立请求消息,所述用户面传输建立请求消息用于请求所述用户面功能实体为所述终端分配用户面传输资源;
接收所述用户面功能实体发送的用户面传输建立响应消息,所述用户面传输建立响应消息中携带有第二指示信息,所述第二指示信息用于指示所述用户面功能实体是否开启所述核心网加密的功能。
可选地,所述处理器还被配置为:
向所述第二接入网设备发送切换请求消息,所述切换请求消息用于请求将所述终端切换至所述第二接入网设备,所述切换请求消息中携带所述第二指示信息和第三指示信息,所述第三指示信息用于指示所述终端在接入所述第一接入网设备时开启的加密功能;
接收所述第二接入网设备发送的切换响应消息,所述切换响应消息中携带有所述第一指示信息。
可选地,所述切换响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
本公开一示例性实施例还提供了一种协商加密方式的装置,能够实现本公开实施例提供的第一接入网设备侧的方法。该装置包括:处理器,以及用于存储处理器的可执行指令的存储器。其中,所述处理器被配置为:
向核心网中的控制面功能实体发送切换需求消息,所述切换需求消息用于指示当前服务的终端需要切换至第二接入网设备;
接收所述控制面功能实体发送的切换需求响应消息,所述切换需求响应消息中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能;
向所述终端发送携带有所述第一指示信息的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至所述第二接入网设备。
可选地,所述切换响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力,所述切换命令中还包括所述第四指示信息。
本公开一示例性实施例还提供了一种协商加密方式的装置,能够实现本公开实施例提供的终端侧的方法。该装置包括:处理器,以及用于存储处理器的可执行指令的存储器。其中,所述处理器被配置为:
接收第一接入网设备发送的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至第二接入网设备,所述切换命令中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能;
根据所述切换命令,与所述第二接入网设备建立通信连接;
在与所述第二接入网设备建立所述通信连接之后,开启所述接入网加密的功能。
可选地,所述处理器还被配置为:
向所述第二接入网设备发送空口安全建立请求消息;
接收所述第二接入网设备发送的空口安全建立响应消息,所述空口安全建立响应消息中携带第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
可选地,所述切换命令中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
上述主要从控制面功能实体、接入网设备以及终端间交互的角度,对本公开实施例提供的方案进行了介绍。可以理解的是,控制面功能实体、接入网设备、终端为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。结合本公开中所公开的实施例描述的各示例的单元及算法步骤,本公开实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能,但是这种实现不应认为超出本公开实施例的技术方案的范围。
图8是根据一示例性实施例示出的一种接入网设备的结构示意图。
接入网设备800包括发射器/接收器801和处理器802。其中,处理器802也可以为控制器,图8中表示为“控制器/处理器802”。所述发射器/接收器801用于支持接入网设备与上述实施例中的所述终端之间收发信息,以及支持所述接入网设备与其它网络实体之间进行通信。所述处理器802执行各种用于与终端通信的功能。在上行链路,来自所述终端的上行链路信号经由天线接收,由接收器801进行解调(例如将高频信号解调为基带信号),并进一步由处理器802进行处理来恢复终端所发送到业务数据和信令信息。在下行链路上,业务数据和信令消息由处理器802进行处理,并由发射器801进行调制(例如将基带信号调制为高频信号)来产生下行链路信号,并经由天线发射给终端。需要说明的是,上述解调或调制的功能也可以由处理器802完成。例如,处理器802还用于执行上述方法实施例中接入网设备侧的各个步骤,和/或本公开实施例所描述的技术方案的其它步骤。
进一步的,接入网设备800还可以包括存储器803,存储器803用于存储接入网设备800的程序代码和数据。此外,接入网设备还可以包括通信单元804。通信单元804用于支持接入网设备与其它网络实体(例如核心网中的网络设备等)进行通信。例如,在LTE系统中,该通信单元804可以是S1-U接口,用于支持接入网设备与服务网关(Serving Gateway,S-GW)进行通信;或者,该通信单元804也可以是S1-MME接口,用于支持接入网设备与移动性管理实体(Mobility Management Entity,MME)进行通信。
可以理解的是,图8仅仅示出了接入网设备800的简化设计。在实际应用中,接入网设备800可以包含任意数量的发射器,接收器,处理器,控制器,存储器,通信单元等,而所有可以实现本公开实施例的接入网设备都在本公开实施例的保护范围之内。
图9是根据一示例性实施例示出的一种终端的结构示意图。
所述终端900包括发射器901,接收器902和处理器903。其中,处理器903也可以为控制器,图9中表示为“控制器/处理器903”。可选的,所述终端900还可以包括调制解调处理器905,其中,调制解调处理器905可以包括编码器906、调制器907、解码器908和解调器909。
在一个示例中,发射器901调节(例如,模拟转换、滤波、放大和上变频等)该输出采样并生成上行链路信号,该上行链路信号经由天线发射给上述实施例中所述的接入网设备。在下行链路上,天线接收上述实施例中接入网设备发射的下行链路信号。接收器902调节(例如,滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在调制解调处理器905中,编码器906接收要在上行链路上发送的业务数据和信令消息,并对业务数据和信令消息进行处理(例如,格式化、编码和交织)。调制器907进一步处理(例如,符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器909处理(例如,解调)该输入采样并提供符号估计。解码器908处理(例如,解交织和解码)该符号估计并提供发送给终端900的已解码的数据和信令消息。编码器906、调制器907、解调器909和解码器908可以由合成的调制解调处理器905来实现。这些单元根据无线接入网采用的无线接入技术(例如,LTE及其他演进系统的接入技术)来进行处理。需要说明的是,当终端900不包括调制解调处理器905时,调制解调处理器905的上述功能也可以由处理器903完成。
处理器903对终端900的动作进行控制管理,用于执行上述本公开实施例中由终端900进行的处理过程。例如,处理器903还用于执行上述方法实施例中的终端侧的各个步骤,和/或本公开实施例所描述的技术方案的其它步骤。
进一步的,终端900还可以包括存储器904,存储器904用于存储用于终端900的程序代码和数据。
图10是根据一示例性实施例示出的一种控制面功能实体的结构示意图。
该控制面功能实体1010包括:处理器1012、通信接口1013、存储器1011。可选的,控制面功能实体1010还可以包括总线1014。其中,通信接口1013、处理器1012以及存储器1011可以通过总线1014相互连接;总线1014可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。所述总线1014可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
用于执行本公开实施例上述接入网设备、终端或控制面功能实体的功能的处理器可以是中央处理器(Central Processing Unit,CPU),通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application-Specific IntegratedCircuit,ASIC),现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。其可以实现或执行结合本公开实施例公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。
结合本公开实施例公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(Read Only Memory,ROM)、可擦除可编程只读存储器(Erasable Programmable ROM,EPROM)、电可擦可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于接入网设备、终端或控制面功能实体中。当然,处理器和存储介质也可以作为分立组件存在于接入网设备、终端或控制面功能实体中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本公开实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
本公开实施例还提供了一种计算机存储介质,用于储存为上述接入网设备所用的计算机软件指令,其包含用于执行上述第一接入网设备侧的协商加密方式的方法所设计的程序。
本公开实施例还提供了一种计算机存储介质,用于储存为上述终端所用的计算机软件指令,其包含用于执行上述终端侧的协商加密方式的方法所设计的程序。
本公开实施例还提供了一种计算机存储介质,用于储存为上述控制面功能实体所用的计算机软件指令,其包含用于执行上述核心网中的控制面功能实体侧的协商加密方式的方法所设计的程序。
本公开实施例还提供了一种计算机程序产品,当该计算机程序产品被执行时,其用于实现上述方法实施例中的第一接入网设备侧的各个步骤的功能。
本公开实施例还提供了一种计算机程序产品,当该计算机程序产品被执行时,其用于实现上述方法实施例中的终端侧的各个步骤的功能。
本公开实施例还提供了一种计算机程序产品,当该计算机程序产品被执行时,其用于实现上述方法实施例中的控制面功能实体侧的各个步骤的功能。
应当理解的是,在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (23)
1.一种协商加密方式的方法,其特征在于,所述方法包括:
接收第一接入网设备发送的切换需求消息,所述切换需求消息用于指示所述第一接入网设备当前服务的终端需要切换至第二接入网设备;
若所述第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能,则向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息,所述核心网加密的功能用于进行终端与核心网的用户面功能实体之间传输的用户面数据的加密,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能,所述接入网加密的功能用于进行终端和基站之间传输的用户面数据的加密。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向所述用户面功能实体发送用户面传输建立请求消息,所述用户面传输建立请求消息用于请求所述用户面功能实体为所述终端分配用户面传输资源;
接收所述用户面功能实体发送的用户面传输建立响应消息,所述用户面传输建立响应消息中携带有第二指示信息,所述第二指示信息用于指示所述用户面功能实体是否开启所述核心网加密的功能。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
向所述第二接入网设备发送切换请求消息,所述切换请求消息用于请求将所述终端切换至所述第二接入网设备,所述切换请求消息中携带所述第二指示信息和第三指示信息,所述第三指示信息用于指示所述终端在接入所述第一接入网设备时开启的加密功能;
接收所述第二接入网设备发送的切换响应消息,所述切换响应消息中携带有所述第一指示信息。
4.根据权利要求3所述的方法,其特征在于,所述切换响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
5.一种协商加密方式的方法,其特征在于,所述方法包括:
向核心网中的控制面功能实体发送切换需求消息,所述切换需求消息用于指示当前服务的终端需要切换至第二接入网设备;
接收所述控制面功能实体发送的切换需求响应消息,若第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能,则所述切换需求响应消息中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能,所述核心网加密的功能用于进行终端与核心网的用户面功能实体之间传输的用户面数据的加密,所述接入网加密的功能用于进行终端和基站之间传输的用户面数据的加密;
向所述终端发送携带有所述第一指示信息的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至所述第二接入网设备。
6.根据权利要求5所述的方法,其特征在于,所述切换需求 响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力,所述切换命令中还包括所述第四指示信息。
7.一种协商加密方式的方法,其特征在于,所述方法包括:
接收第一接入网设备发送的切换命令,所述切换命令用于指示终端由所述第一接入网设备切换至第二接入网设备,若所述第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能,则所述切换命令中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能,所述核心网加密的功能用于进行终端与核心网的用户面功能实体之间传输的用户面数据的加密,所述接入网加密的功能用于进行终端和基站之间传输的用户面数据的加密;
根据所述切换命令,与所述第二接入网设备建立通信连接;
在与所述第二接入网设备建立所述通信连接之后,开启所述接入网加密的功能。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
向所述第二接入网设备发送空口安全建立请求消息;
接收所述第二接入网设备发送的空口安全建立响应消息,所述空口安全建立响应消息中携带第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
9.根据权利要求7所述的方法,其特征在于,所述切换命令中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
10.一种协商加密方式的装置,其特征在于,所述装置包括:
第一接收模块,被配置为接收第一接入网设备发送的切换需求消息,所述切换需求消息用于指示所述第一接入网设备当前服务的终端需要切换至第二接入网设备;
第一发送模块,被配置为当所述第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能时,向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息,所述核心网加密的功能用于进行终端与核心网的用户面功能实体之间传输的用户面数据的加密,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能,所述接入网加密的功能用于进行终端和基站之间传输的用户面数据的加密。
11.根据权利要求10所述的装置,其特征在于,
所述第一发送模块,还被配置为向所述用户面功能实体发送用户面传输建立请求消息,所述用户面传输建立请求消息用于请求所述用户面功能实体为所述终端分配用户面传输资源;
所述第一接收模块,还被配置为接收所述用户面功能实体发送的用户面传输建立响应消息,所述用户面传输建立响应消息中携带有第二指示信息,所述第二指示信息用于指示所述用户面功能实体是否开启所述核心网加密的功能。
12.根据权利要求11所述的装置,其特征在于,
所述第一发送模块,还被配置为向所述第二接入网设备发送切换请求消息,所述切换请求消息用于请求将所述终端切换至所述第二接入网设备,所述切换请求消息中携带所述第二指示信息和第三指示信息,所述第三指示信息用于指示所述终端在接入所述第一接入网设备时开启的加密功能;
所述第一接收模块,还被配置为接收所述第二接入网设备发送的切换响应消息,所述切换响应消息中携带有所述第一指示信息。
13.根据权利要求12所述的装置,其特征在于,所述切换响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
14.一种协商加密方式的装置,其特征在于,所述装置包括:
第二发送模块,被配置为向核心网中的控制面功能实体发送切换需求消息,所述切换需求消息用于指示当前服务的终端需要切换至第二接入网设备;
第二接收模块,被配置为接收所述控制面功能实体发送的切换需求响应消息,当第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能时,所述切换需求响应消息中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能,所述核心网加密的功能用于进行终端与核心网的用户面功能实体之间传输的用户面数据的加密,所述接入网加密的功能用于进行终端和基站之间传输的用户面数据的加密;
所述第二发送模块,还被配置为向所述终端发送携带有所述第一指示信息的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至所述第二接入网设备。
15.根据权利要求14所述的装置,其特征在于,所述切换需求 响应消息中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力,所述切换命令中还包括所述第四指示信息。
16.一种协商加密方式的装置,其特征在于,所述装置包括:
第三接收模块,被配置为接收第一接入网设备发送的切换命令,所述切换命令用于指示终端由所述第一接入网设备切换至第二接入网设备,当所述第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能时,所述切换命令中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能,所述核心网加密的功能用于进行终端与核心网的用户面功能实体之间传输的用户面数据的加密,所述接入网加密的功能用于进行终端和基站之间传输的用户面数据的加密;
连接建立模块,被配置为根据所述切换命令,与所述第二接入网设备建立通信连接;
加密开启模块,被配置为在与所述第二接入网设备建立所述通信连接之后,开启所述接入网加密的功能。
17.根据权利要求16所述的装置,其特征在于,所述装置还包括:
第三发送模块,被配置为向所述第二接入网设备发送空口安全建立请求消息;
所述第三接收模块,还被配置为接收所述第二接入网设备发送的空口安全建立响应消息,所述空口安全建立响应消息中携带第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
18.根据权利要求16所述的装置,其特征在于,所述切换命令中还携带有第四指示信息,所述第四指示信息用于指示所述第二接入网设备具备的加密能力。
19.一种通信系统,其特征在于,所述通信系统包括:核心网中的控制面功能实体、第一接入网设备和终端;
所述控制面功能实体包括如权利要求10至13任一项所述的装置;
所述第一接入网设备包括如权利要求14或15所述的装置;
所述终端包括如权利要求16至18任一项所述的装置。
20.一种协商加密方式的装置,其特征在于,所述装置包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为:
接收第一接入网设备发送的切换需求消息,所述切换需求消息用于指示所述第一接入网设备当前服务的终端需要切换至第二接入网设备;
若所述第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能,则向所述第一接入网设备发送携带有第一指示信息的切换需求响应消息,所述核心网加密的功能用于进行终端与核心网的用户面功能实体之间传输的用户面数据的加密,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能,所述接入网加密的功能用于进行终端和基站之间传输的用户面数据的加密。
21.一种协商加密方式的装置,其特征在于,所述装置包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为:
向核心网中的控制面功能实体发送切换需求消息,所述切换需求消息用于指示当前服务的终端需要切换至第二接入网设备;
接收所述控制面功能实体发送的切换需求响应消息,当第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能时,所述切换需求响应消息中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能,所述核心网加密的功能用于进行终端与核心网的用户面功能实体之间传输的用户面数据的加密,所述接入网加密的功能用于进行终端和基站之间传输的用户面数据的加密;
向所述终端发送携带有所述第一指示信息的切换命令,所述切换命令用于指示所述终端由所述第一接入网设备切换至所述第二接入网设备。
22.一种协商加密方式的装置,其特征在于,所述装置包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为:
接收第一接入网设备发送的切换命令,所述切换命令用于指示终端由所述第一接入网设备切换至第二接入网设备,当所述第一接入网设备和所述第二接入网设备所属的核心网中的用户面功能实体不同、所述终端在接入所述第一接入网设备时开启核心网加密的功能、且所述第二接入网设备所属的用户面功能实体未开启所述核心网加密的功能时,所述切换命令中携带有第一指示信息,所述第一指示信息用于指示所述终端在切换至所述第二接入网设备之后,开启接入网加密的功能,所述核心网加密的功能用于进行终端与核心网的用户面功能实体之间传输的用户面数据的加密,所述接入网加密的功能用于进行终端和基站之间传输的用户面数据的加密;
根据所述切换命令,与所述第二接入网设备建立通信连接;
在与所述第二接入网设备建立所述通信连接之后,开启所述接入网加密的功能。
23.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至4任一项所述方法的步骤,或者,如权利要求5或6任一项所述方法的步骤,或者,如权利要求7至9任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710606016.0A CN107396366B (zh) | 2017-07-24 | 2017-07-24 | 协商加密方式的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710606016.0A CN107396366B (zh) | 2017-07-24 | 2017-07-24 | 协商加密方式的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107396366A CN107396366A (zh) | 2017-11-24 |
| CN107396366B true CN107396366B (zh) | 2020-07-03 |
Family
ID=60337391
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710606016.0A Active CN107396366B (zh) | 2017-07-24 | 2017-07-24 | 协商加密方式的方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107396366B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109257371A (zh) * | 2018-10-30 | 2019-01-22 | 王根平 | 协商安全机制系统和动态协商方法 |
| WO2020034425A1 (en) * | 2018-11-01 | 2020-02-20 | Zte Corporation | Handover procedure for vehicle based communications |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101128066A (zh) * | 2007-09-27 | 2008-02-20 | 中兴通讯股份有限公司 | 不进行用户面加密的方法及系统 |
| CN102413461A (zh) * | 2007-05-08 | 2012-04-11 | 华为技术有限公司 | 安全能力协商的方法及系统 |
| CN103686704A (zh) * | 2012-09-19 | 2014-03-26 | 华为技术有限公司 | 终端与网络侧通信方法和设备 |
| CN106375989A (zh) * | 2015-07-20 | 2017-02-01 | 中兴通讯股份有限公司 | 实现接入层安全的方法及用户设备和无线接入小节点 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| USRE49491E1 (en) * | 2012-06-08 | 2023-04-11 | Samsung Electronics Co., Ltd. | Method and system for selective protection of data exchanged between user equipment and network |
-
2017
- 2017-07-24 CN CN201710606016.0A patent/CN107396366B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413461A (zh) * | 2007-05-08 | 2012-04-11 | 华为技术有限公司 | 安全能力协商的方法及系统 |
| CN101128066A (zh) * | 2007-09-27 | 2008-02-20 | 中兴通讯股份有限公司 | 不进行用户面加密的方法及系统 |
| CN103686704A (zh) * | 2012-09-19 | 2014-03-26 | 华为技术有限公司 | 终端与网络侧通信方法和设备 |
| CN106375989A (zh) * | 2015-07-20 | 2017-02-01 | 中兴通讯股份有限公司 | 实现接入层安全的方法及用户设备和无线接入小节点 |
Non-Patent Citations (1)
| Title |
|---|
| Proposed conclusions on the termination points of user plane security in the 5G network;Qualcomm Incorporated;《3GPP TSG SA WG3(security) Meeting #86Bis S3-170825》;20170320;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107396366A (zh) | 2017-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2018339744B2 (en) | Method, apparatus, and system for security protection | |
| CN105848222B (zh) | 用于切换的方法和基站设备 | |
| US11832215B2 (en) | Communication method between core network device and terminal in communication system | |
| US9603175B2 (en) | Apparatus and method for switching between default path and direct path in wireless communication system | |
| CN112351431B (zh) | 一种安全保护方式确定方法及装置 | |
| CN110167018B (zh) | 一种安全保护的方法、装置及接入网设备 | |
| CN108282833B (zh) | 处理系统间移动中的分组数据流的装置及方法 | |
| JP6826998B2 (ja) | 無線端末、通信装置及び基地局 | |
| US20240098830A1 (en) | Communication method and apparatus | |
| WO2016049806A1 (zh) | 一种分流的方法及装置 | |
| US20190059121A1 (en) | User device and communication method | |
| CN107396366B (zh) | 协商加密方式的方法、装置及系统 | |
| WO2014175090A1 (ja) | 無線通信装置、プロセッサ、及び通信制御方法 | |
| CN109936444B (zh) | 一种密钥生成方法及装置 | |
| KR20160028512A (ko) | 셀룰러 원격통신 네트워크에서 사용자 장비에 의한 강화된 액세스 선택을 위한 방법, 원격통신 네트워크, 및 사용자 장비의 강화된 액세스 선택을 위한 시스템 | |
| CN113557699B (zh) | 通信装置、基础设施设备、核心网络设备和方法 | |
| JP6494524B2 (ja) | 通信制御方法、ゲートウェイ装置及びユーザ端末 | |
| KR20090097500A (ko) | 무선통신시스템에서 핸드오버 지연을 줄이기 위한 장치 및방법 | |
| KR20180047171A (ko) | 이종 이동통신 규격 간의 상호 연동을 위한 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |