CN108476211A - 无线通信 - Google Patents
无线通信 Download PDFInfo
- Publication number
- CN108476211A CN108476211A CN201680077330.8A CN201680077330A CN108476211A CN 108476211 A CN108476211 A CN 108476211A CN 201680077330 A CN201680077330 A CN 201680077330A CN 108476211 A CN108476211 A CN 108476211A
- Authority
- CN
- China
- Prior art keywords
- network node
- message
- user plane
- integrity protection
- terminal installation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title description 4
- 238000009434 installation Methods 0.000 claims abstract description 99
- 230000010267 cellular communication Effects 0.000 claims abstract description 51
- 230000004913 activation Effects 0.000 claims abstract description 19
- 238000000034 method Methods 0.000 claims description 174
- 238000004422 calculation algorithm Methods 0.000 claims description 68
- 230000004044 response Effects 0.000 claims description 29
- 230000006870 function Effects 0.000 claims description 13
- 230000003213 activating effect Effects 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 7
- 239000010410 layer Substances 0.000 description 58
- 238000012545 processing Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 7
- 230000011664 signaling Effects 0.000 description 7
- 239000013256 coordination polymer Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 241001269238 Data Species 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000033228 biological regulation Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- VIKNJXKGJWUCNN-XGXHKTLJSA-N norethisterone Chemical compound O=C1CC[C@@H]2[C@H]3CC[C@](C)([C@](CC4)(O)C#C)[C@@H]4[C@@H]3CCC2=C1 VIKNJXKGJWUCNN-XGXHKTLJSA-N 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000006116 polymerization reaction Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000011241 protective layer Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008929 regeneration Effects 0.000 description 1
- 238000011069 regeneration method Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
完整性保护对于在蜂窝通信网络的网络节点与终端装置之间转移的用户平面数据被激活。激活能通过终端装置向第二网络节点发送请求消息来发起。从而,UE(诸如蜂窝IoT UE)和网络节点(诸如SGSN)能够对于控制平面数据和用户平面数据两者使用LLC层完整性保护。
Description
技术领域
此发明涉及蜂窝通信网络中的终端装置和一个或更多个网络节点的操作的方法。
背景技术
蜂窝物联网(CIoT)是能够对于恶劣环境(例如地下室)提供扩展覆盖的新无线电技术,并设计成使用非常有限的带宽(例如160 bps)服务于大量UE(每个基站在50000以上)。
3GPP标准化中的当前假定是,用于GSM EDGE无线电接入网络(GERAN)上的CIoT的安全性机制将随着在CIoT用户设备与服务GPRS支持节点(SGSN)之间的Gb模式中引入对于控制平面的完整性保护而基于通用分组无线电服务(GPRS)安全性的增强。
对于CIoT的假定是,通用移动电信系统(UMTS)认证和密钥协定(AKA)在创建键控资料的GPRS移动性管理和会话管理(GMM/SM)层运行,并且完整性保护在逻辑链路控制(LLC)层使用通过密钥得出功能从UMTS AKA会话密钥被创建的完整性密钥(IK')进行。
发明内容
根据本发明,提供了一种蜂窝通信网络中的终端装置的操作的方法。所述方法包括:激活对于在所述蜂窝通信网络的第一网络节点与所述终端装置之间转移的用户平面数据的完整性保护。
所述方法可包括:在激活对于所述用户平面数据的完整性保护之前:从所述终端装置向第二网络节点发送请求消息,其中所述请求消息还指示所述终端装置对于用户平面数据使用完整性保护的能力。在那种情况下,所述请求消息还可指定所述终端装置能够用于用户平面数据的完整性保护的至少一个算法。
所述消息可以是GMM附连请求消息、EMM附连请求消息、GMM路由选择区域更新请求消息或者EMM跟踪区域更新请求消息。
所述请求消息可进一步指示所述终端装置是否希望对于用户平面数据使用完整性保护。
所述方法可包括:响应于从所述第二网络节点接收到返回消息而激活对于所述用户平面数据的完整性保护,所述返回消息指定对于所述用户平面数据要使用完整性保护。
所述方法可包括:响应于来自GMM层的激活消息而激活对于LLC层中的所述用户平面数据的完整性保护。
所述方法可包括:响应于来自RRC层的激活消息而激活对于PDCP层中的所述用户平面数据的完整性保护。
所述方法可包括:响应于来自GMM层的激活消息而激活对于RLC或MAC层中的所述用户平面数据的完整性保护。
其中所述方法包括:响应于来自GMM层的激活消息,激活对于LLC层中的用户平面数据的完整性保护,从GMM层到LLC层的激活消息可指定要使用的完整性密钥和完整性算法。
其中所述方法包括:响应于来自RRC层的激活消息,激活对于PDCP层中的用户平面数据的完整性保护,从RRC层到PDCP层的激活消息可指定要使用的完整性密钥和完整性算法。
其中所述方法包括:响应于来自GMM层的激活消息,激活对于RLC或MAC层中的用户平面数据的完整性保护,从GMM层到RLC或MAC层的激活消息可指定要使用的完整性密钥和完整性算法。
所述方法然后可包括:通过在所述USIM上运行UMTS AKA来得出所述完整性密钥。
在从所述第二网络节点接收的消息中可指定要使用的所述完整性算法。
第一和第二网络节点可被组合在SGSN中或者eNB中或者Node-B或RNC中,或者第一网络节点可以是UPPE,并且第二网络节点可以是ASME。
担当UPPE角色的实体可以是3G Node-B或3G RNC。
所述方法可包括:对于所述用户平面数据使用空加密。
根据本发明,提供了一种蜂窝通信网络中的网络节点的操作的方法。所述方法包括:激活对于在所述蜂窝通信网络的网络节点与终端装置之间转移的用户平面数据的完整性保护。
所述方法可包括:在激活对于用户平面数据的完整性保护之前:从所述终端装置接收请求消息,其中所述请求消息还指示所述终端装置对于用户平面数据使用完整性保护的能力。在那种情况下,所述请求消息还可指定所述终端装置能够用于用户平面数据的完整性保护的至少一个算法。
所述消息可以是GMM附连请求消息、EMM附连请求消息、GMM路由选择区域更新请求消息或者EMM跟踪区域更新请求消息。
所述请求消息可进一步指示所述终端装置是否希望对于用户平面数据使用完整性保护。
所述方法可包括:在向所述终端装置发送返回消息之后激活对于所述用户平面数据的完整性保护,所述返回消息指定对于所述用户平面数据要使用完整性保护。到所述终端装置的返回消息可指定要使用的完整性密钥和完整性算法。
所述方法可包括:响应于来自GMM层的激活消息而激活对于LLC层中的所述用户平面数据的完整性保护。
所述方法可包括:响应于来自RRC层的激活消息而激活对于PDCP层中的所述用户平面数据的完整性保护。
所述方法可包括:响应于来自GMM层的激活消息而激活对于RLC或MAC层中的所述用户平面数据的完整性保护。
所述方法包括:响应于来自GMM层的激活消息,激活对于LLC层中的用户平面数据的完整性保护,从GMM层到LLC层的激活消息可指定要使用的完整性密钥和完整性算法。
其中所述方法包括:响应于来自RRC层的激活消息,激活对于PDCP层中的用户平面数据的完整性保护,从RRC层到PDCP层的激活消息可指定要使用的完整性密钥和完整性算法。
其中所述方法包括:响应于来自GMM层的激活消息,激活对于RLC或MAC层中的用户平面数据的完整性保护,从GMM层到RLC或MAC层的激活消息可指定要使用的完整性密钥和完整性算法。
在激活消息中指定的完整性密钥和完整性算法可与在返回消息中指定的所述完整性密钥和完整性算法相同。
所述方法可包括:在所述返回消息或所述激活消息中指定所述完整性密钥之前得出所述完整性密钥。
所述方法可包括:基于从所述终端装置接收的指定所述终端装置能够用于用户平面数据的完整性保护的至少一个算法的消息来确定要使用的所述完整性算法。
所述方法可包括:响应于从另外网络节点接收到指示所述另外网络节点希望对于所述用户平面数据使用完整性保护的消息而激活对于在所述蜂窝通信网络的终端装置与所述网络节点之间转移的用户平面数据的完整性保护。另外网络节点可以是HSS或者SCEF。
网络节点可以是SGSN、eNB、Node-B或RNC。
所述方法可包括:对于所述用户平面数据使用空加密。
根据本发明,提供了一种蜂窝通信网络中的第一网络节点的操作的方法。所述方法包括:激活对于在所述蜂窝通信网络的第一网络节点与终端装置之间转移的用户平面数据的完整性保护。
所述方法可包括:响应于从第二网络节点接收到消息而激活对于所述用户平面数据的完整性保护,所述消息指定对于所述用户平面数据要使用完整性保护。
来自第二网络节点的消息可指定要用于所述完整性保护的完整性密钥和/或要用于所述完整性保护的完整性算法。
所述方法可进一步包括:在激活所述完整性保护之前,与所述终端装置协商要用于所述完整性保护的完整性算法。
所述方法可包括:对于LLC层中的用户平面数据激活完整性保护。
第一网络节点可以是UPPE或3G Node-B或3G RNC或GGSN或P-GW或eNB或S-GW。
第二网络节点可以是ASME。
所述方法可包括:对于所述用户平面数据使用空加密。
根据本发明,提供了一种蜂窝通信网络中的第二网络节点的操作的方法。所述方法包括:激活对于在所述蜂窝通信网络的第一网络节点与终端装置之间转移的用户平面数据的完整性保护。
所述方法可包括:在激活对于用户平面数据的完整性保护之前:从所述终端装置接收请求消息,其中所述请求消息还指示所述终端装置对于用户平面数据使用完整性保护的能力。
请求消息还可指定所述终端装置能够用于用户平面数据的完整性保护的至少一个算法。
所述消息可以是GMM附连请求消息或者GMM路由选择区域更新请求消息。
所述请求消息可进一步指示所述终端装置是否希望对于用户平面数据使用完整性保护。
所述方法可包括:在向所述终端装置发送返回消息之后激活对于所述用户平面数据的完整性保护,所述返回消息指定对于所述用户平面数据要使用完整性保护。到终端装置的返回消息然后可指定要使用的完整性密钥和/或要使用的完整性算法。
所述方法可包括:通过向所述第一网络节点发送消息来激活对于所述用户平面数据的完整性保护。到第一网络节点的消息可指定要使用的完整性密钥和/或可指定要使用的完整性算法。
所述方法可包括:在所述返回消息或到所述第一网络节点的所述消息中指定所述完整性密钥之前得出所述完整性密钥。
所述方法可包括:基于从所述终端装置接收的指定所述终端装置能够用于用户平面数据的完整性保护的至少一个算法的消息来确定要使用的所述完整性算法。
所述方法可进一步包括:响应于从另外网络节点接收到指示所述另外网络节点希望对于所述用户平面数据使用完整性保护的消息而激活对于在所述蜂窝通信网络的终端装置与所述网络节点之间转移的用户平面数据的完整性保护。另外网络节点可以是HSS或者SCEF。
第二网络节点可以是ASME。
第一网络节点可以是UPPE或3G Node-B或3G RNC或GGSN或P-GW或eNB或S-GW。
根据本发明其它方面,提供了配置成按照这些方面操作的终端装置和网络节点。
根据本发明其它方面,提供了包含用于使装置按照这些方面操作的指令计算机程序和计算机程序产品。
从而,UE(诸如蜂窝IoT UE)和网络节点(诸如SGSN)能够对于控制平面数据和用户平面数据两者使用LLC层完整性保护。能协商对于用户数据的完整性保护的使用。如果使用空加密,则网络节点可希望使用用户数据完整性保护。例如,如果CIoT UE具有有限的安全性能力,或者如果HN希望如此,则也能使用它。
附图说明
图1示出了蜂窝通信网络的一部分。
图2示出了图1的网络中的终端装置。
图3示出了图1的网络中的网络节点。
图4示出了图1的网络中在使用的协议。
图5是信令图。
图6是信令图。
图7是信令图。
图8是信令图。
图9示出了图1的网络中的终端装置。
图10示出了图1的网络中的网络节点。
图11示出了蜂窝通信网络中的第一网络节点。
图12示出了图1的网络中的第二网络节点。
图13是流程图,示出了蜂窝通信网络中的终端装置的操作的方法。
图14是流程图,示出了蜂窝通信网络中的网络节点的操作的方法。
图15是流程图,示出了蜂窝通信网络中的第一网络节点的操作的方法。
图16是流程图,示出了蜂窝通信网络中的第二网络节点的操作的方法。
具体实施方式
下面为了说明而非限制的目的阐述了特定细节,诸如具体实施例。但将由本领域技术人员认识到,其它实施例可脱离这些特定细节被采用。在一些实例中,省略了众所周知的方法、节点、接口、电路和装置的详细描述,以免用不必要的细节使描述模糊不清。本领域技术人员将认识到,所描述的功能在一个或更多个节点中可使用硬件电路(例如互连以执行专门功能的模拟和/或分立逻辑门、ASIC、PLA等)和/或使用软件程序和数据连同特别适配于基于此类程序的执行而执行本文公开的处理的一个或更多个数字微处理器或通用计算机来实现。使用空中接口进行通信的节点还具有适合的无线电通信电路。而且,该技术此外能被视为完全被实施在含有将使处理器执行本文描述的技术的计算机指令的适当集合的任何形式的计算机可读存储器(诸如固态存储器、磁盘或光盘)内。
硬件实现可包含或涵盖而不限制于数字信号处理器(DSP)硬件、缩减指令集处理器、硬件(例如数字或模拟)电路(包含但不限于专用集成电路(ASIC)和/或现场可编程门阵列(FPGA))、以及(在适当的地方)能够执行此类功能的状态机。
在计算机实现方面,计算机一般被理解成包括一个或更多个处理器、一个或更多个处理模块或者一个或更多个控制器,并且术语计算机、处理器、处理模块和控制器可以可互换地被采用。当由计算机、处理器或控制器提供时,功能可由单个专用计算机或处理器或控制器、由单个共享计算机或处理器或控制器、或者由多个单独的计算机或处理器或控制器(其中一些可以是共享的或者分布式的)来提供。而且,术语“处理器”或“控制器”还指的是能够执行此类功能和/或执行软件的其它硬件,诸如上面记载的示例硬件。
尽管针对用户设备(UE)给出了描述,但应该由本领域技术人员理解到,“UE”是非限制术语,包括配备有无线电接口的任何移动或无线装置或节点,允许如下至少一项:在上行链路(UL)中传送信号,以及在下行链路(DL)中接收和/或测量信号。本文的UE可包括能够操作或至少执行在一个或更多个频率、载波频率、分量载波或频带中的测量的UE(以其一般意义)。它可以是在单或多无线电接入技术(RAT)或多标准模式中操作的“UE”。和“UE”一样,术语“移动装置”和“终端装置”在如下描述中可以可互换地被使用,并且将认识到,此类装置在它由用户携带的意义上不一定必须是“移动的”。相反,术语“移动装置”涵盖能够与根据一个或更多个移动通信标准(诸如全球移动通信系统GSM、UMTS、长期演进LTE等)操作的通信网络进行通信的任何装置。
小区与基站关联,其中基站在一般意义上包括在下行链路(DL)中传送无线电信号和/或在上行链路(UL)中接收无线电信号的任何网络节点。一些示例基站或者用于描述的基站的术语是eNodeB、eNB、NodeB、宏/微/微微/毫微微无线电基站、家庭eNodeB(也称为毫微微基站)、中继器、重复器、传感器、仅传送的无线电节点或仅接收的无线电节点或者WLAN接入点(AP)。基站可操作或至少执行在一个或更多个频率、载波频率或频带中的测量,并且可以能够进行载波聚合。它也可以是单无线电接入技术(RAT)、多RAT或多标准节点,例如,对于不同RAT使用相同或不同基带模块。
图1示出了网络10的一部分。网络10包括连接到蜂窝物联网(CIoT)终端装置(UE)20和服务GPRS支持节点(SGSN)30的基站12。当然,网络通常将包含许多基站以及大量终端装置,但本图1对于本发明的理解是足够的。终端装置可以是用户设备装置,或者可以是根据需要自动连接到网络的装置,并且可以是固定的或者便携的。
图2示出了能适配于或配置成根据所描述的非限制示例实施例中的一个或更多个实施例来操作的终端装置(UE)20。UE 20包括控制UE 20操作的处理器或处理单元22。处理单元22用关联的天线26连接到收发器单元24(其包括接收器和传送器),天线26用于传送信号往和接收信号自网络10中的基站12。UE 20还包括存储器或存储器单元28,其连接到处理单元22并且包含由处理单元22可执行的指令或计算机代码以及对于UE 20的操作所需要的其它信息或数据。确切地说,存储器或存储器单元28可包含由所述处理单元22可执行的指令,由此所述终端装置可操作以激活在蜂窝通信网络的终端装置与第一网络节点之间转移的用户平面数据的完整性保护。
下面描述了实施例,其中终端装置是蜂窝物联网UE。相同方法能由与蜂窝IoT UE不同的其它UE使用。
图3示出了能适配于或配置成根据所描述的非限制示例实施例中的一个或更多个实施例来操作的网络节点(其在此示出的实施例中是服务GPRS支持节点(SGSN))30。SGSN30包括控制SGSN 30的操作的处理器或处理单元32。处理单元32用关联的天线36连接到收发器单元34(其包括接收器和传送器),天线36用于经由网络10中的基站12传送信号往和接收信号自终端装置20。SGSN 30还包括存储器或存储器单元38,其连接到处理单元32并且包含由处理单元32可执行的指令或计算机代码以及对于SGSN 30的操作所需要的其它信息或数据。确切地说,存储器或存储器单元38包含由处理单元32可执行的指令,由此所述网络节点可操作以激活在蜂窝通信网络的终端装置与网络节点之间转移的用户平面数据的完整性保护。在其它实施例中,具有与图3中所示出的结构相同的结构的网络节点可以采取eNB、Node-B或无线电网络控制器(RNC)或UPPE的形式,其然后可以是3G Node-B、3G RNC、网关GPRS支持节点(GGSN)、PDN网关(P-GW)或服务网关(S-GW)。
图4示出了在Gb模式中的协议层控制平面。
如能从此图中看到的,通用移动电信系统(UMTS)认证和密钥协定(AKA)在创建键控资料(CK, IK)的GPRS移动性管理和会话管理(GMM/SM)层运行。完整性保护在逻辑链路控制(LLC)层使用通过密钥得出功能从UMTS AKA会话密钥创建的完整性密钥(IK')进行。
完整性保护的安全性特征在2G GPRS中从未标准化。这是可以在GERAN上的蜂窝IoT中引入的特征。完整性保护可以由LLC层支持,以便能够保护层3控制信令消息、如GMM消息、SM消息以及还有SMS等。如本文所描述的,它还可以被用于保护用户数据。
假定在不允许加密的某些CIoT市场中需要空加密。这实质上意味着,用户平面数据将未保护地被发送。这可引起对认证的频率的显著增加,并且用这种方式,它缩短了CIoTUE中的期望电池寿命。
GERAN已经在分析用于MTC装置的节能模式,例如在3GPP TR 43.869 v13.0.0中。该研究聚焦在以能最小化能量消耗的方式指定节能,并且因此能保证对于CIoT UE的数十年的更好寿命。该研究假定受限的使用情况,即,正在使用由eGPRS提供的扩展覆盖但在可达性和电池容量方面受限的固定CIoT UE。存在两种操作模式,网络触发的业务模式和移动自主报告模式。然而,要注意,这些可以不是对于EASE研究密切相关的仅有的业务模式。还可以存在高度移动CIoT UE,它们没有电池限制、受益于扩展覆盖并且要求不受限的可达性。
在网络触发的业务模式中,CIoT UE正在向网络实体发送报告,通常仅当由网络触发这么做时。这要求,CIoT UE作为网络寻呼的结果必须是可达的。在实现可达性中存在两个不同阶段。第一阶段紧接在每个报告发送周期之后,此时能保证的是CIoT UE是可达的足够长以从网络接收触发器。第二阶段用于确保CIoT UE稍后在休眠模式内是可达的,并且定期地被唤醒,以查看是否存在新入局的寻呼消息。装置能在节能状态中保持时间越长,节能越大。
图5示出了网络触发的业务模式。该图假定触发分组是用户平面数据;然而,它们还可以是控制平面的一部分。从该图能看到,在CIoT UE开始发送用户平面数据之前,CIoTUE和BSS交换一些未保护的信令消息。根据3GPP TR 33.860 v0.3.0中的所有当前解决方案提议,如果未使用加密,则用户平面数据也能未保护地发送。
在移动自主报告模式下,CIoT UE正在例如以周期的方式自动发送数据。网络可以调整用于报告的确切时间,以便平衡在特定时间的网络业务载荷。可达性经由寻呼或紧接在报告事件之后可以仍是可能的,但不需要或者不使用可达性也是可能的。在最优化的情况下,如果RAU定时器值配置成刚好大于周期性UE唤醒/报告时间,则没有周期性RAU。
图6示出了移动自主报告。从该图能看到,在CIoT UE开始发送用户平面数据之前,CIoT UE和BSS交换一些未保护的信令消息。再次,根据TR 33.860 v0.3.0中的所有当前解决方案提议,如果未使用加密,则用户平面数据也能未保护地发送。
如下面所更详细描述的,当前在LLC层正被指定成保护控制平面的完整性保护机制被再用于保护用户平面。这种解决方案描述了在CIoT UE与SGSN之间如何协商用户数据的完整性保护。
简要地概述,在一些实施例中,CIoT UE可指示在例如GMM附连请求或者GMM路由选择区域更新请求中将对于用户平面保护的完整性保护用于网络(例如SGSN)的能力,连同其它CIoT UE安全性能力。CIoT UE还可指示使用或者不使用用户数据的完整性保护的希望。
SGSN可将在GMM附连请求消息或GMM路由选择区域更新请求消息中接收的CIoT UE的安全性能力回送回到完整性保护的GMM消息中的CIoT UE,使得CIoT UE能够检查所接收的CIoT UE的安全性能力与它在GMM附连请求消息或GMM路由选择区域更新请求消息中发送到SGSN的CIoT UE的安全性能力是否匹配。在现有解决方案中,CIoT UE的安全性能力包含在CIoT UE中所支持的完整性保护算法和所支持的加密算法。此发明也将添加对于用户平面保护的指定的完整性保护算法的支持。如果对于使用用户数据的完整性保护的用户希望也被添加到从CIoT UE到SGSN的原始GMM附连请求或GMM路由选择区域更新请求,则此希望还将需要从SGSN被回送到CIoT UE,并且完整性被保护。
该解决方案也包含对于归属订户服务器(HSS)或服务能力曝光功能(SCEF)的一些变形,以向SGSN指示使用用户数据的完整性保护的希望。完整性保护可以被捆绑到空加密的使用,在此情况下用户平面完整性保护的使用将是空加密算法GEA0的使用的主要部分。
图7示出了在3G网络的情况下对于用户平面数据的完整性保护被建立所采用的方法。
如下面更详细论述的,开始或激活LLC层中用户平面的完整性保护是GMM层的责任。这适用于CIoT UE和SGSN两者。当UMTS AKA在USIM上成功运行已经发生时,CIoT UE中的GMM层应该开始或激活LLC层中用户平面的完整性保护。
GMM层向LLC层发送处理这个的指示。这个指示对CIoT UE和SGSN是内部的。这适用于CIoT UE和SGSN两者。从GMM层到LLC层的指示可包含完整性密钥Kti_UP和选择的完整性算法。对于用户平面的完整性密钥Kti_UP可不同于对于控制平面的完整性密钥Kti_CP。该算法可与对于控制平面的完整性保护的算法相同,并且可以使用单个参数指示。这适用于CIoT UE和SGSN两者。
下面描述完整性算法协商规程,类似于加密算法协商。
在此示出的实施例中,在CIoT UE已经从SGSN接收到附连接受消息或路由选择区域更新接受之后,在LLC层中激活用户平面的完整性保护。
所示出的实施例包含4个新参数:
UPI_cap(用户平面完整性保护能力):这是在MS网络能力中指示CIoT UE能够对用户平面进行完整性保护的参数。
UPI_wish_UE(从UE侧希望使用用户平面完整性保护):这是UE可添加到附连请求的指示UE希望使用用户平面的完整性保护的可选参数。
UPI_wish_HN(从归属网络侧希望使用用户平面完整性保护):这是归属网络(例如HSS)可添加到AV的指示应该使用用户平面的完整性保护的可选参数。(要注意,在另一变形中,这不是希望的,而是用于开启完整性保护的强制性命令。)
UPI(使用的用户平面完整性保护):这是在认证和加密请求中向UE指示用户平面应被完整性保护的参数;这个参数由SGSN添加。
要注意,对于图7中的完整性能力协商和完整性保护所描述的机制适用于其它移动性管理规程以及路由选择区域更新规程。
在步骤701中,蜂窝IoT UE向SGSN发送附连请求。由蜂窝IoT UE支持的加密算法和完整性算法被包含在MS网络能力参数(图中未示出)中。蜂窝IoT UE包含其IMSI,以及如下新参数:“UPI_cap: yes”指示CIoT UE能够保护用户平面的完整性,以及可选地,“UPI_wish_UE: yes”指示CIoT UE正希望对用户平面进行完整性保护。如果所有UE都支持此特征,则“UPI_cap”也是可选的。
如果该解决方案被集成到3GPP服务能力曝光功能(SCEF)能力,则CIoT UE的拥有者可以使用万维网接口来配置对于用户数据的完整性保护的使用开/关。
在步骤702,SGSN基于IMSI从HLR/HSS获得AV(五位字节)。它可包含新可选参数“UPI_wish_HN: yes”,指示归属网络希望在UE与SGSN之间保护用户平面的完整性。
SGSN基于MS网络能力参数确定发出请求的UE是蜂窝IoT UE。在步骤703中,SGSN从MS网络能力中选择控制平面保护模式:加密算法和完整性算法,并且然后得出加密密钥(Ktc)和完整性密钥(Kti_CP)(在图7中未示出)。SGSN还决定用户平面是否应被保护。这是本地决定,并且能基于几个因素。例如,如果SGSN不支持不同于空加密的其它加密算法,则它可以想要保护用户平面完整性。还有,它可将在“UPI_wish_UE”和“UPI_wish_HN”中指示的来自UE或HN的希望考虑进去,并且决定对用户平面进行完整性保护。如果SGSN决定对用户平面进行完整性保护,则它选择完整性算法(假定是与对于控制平面完整性保护相同的),并且得出完整性密钥(Kti_UP)。它通过添加“UPI: yes”参数来指示对于用户平面的完整性保护的使用。Kti_UP是最小128位长。
在步骤704中,SGSN向CIoT UE发送认证和加密请求,包含:1)选取的加密算法和完整性算法;2)对于用户平面也使用完整性保护的指示(UPI: yes);3)由UE指示给它的MS网络能力的回送(包含新UPI_cap参数);以及4)如果存在的话,可选参数UPI_wish_UE的回送。认证和加密请求消息可被完整性保护。
在步骤705中,蜂窝IoT UE用USIM运行UMTS AKA,并从CK和IK中得出Ktc、Kti_CP和Kti_UP。蜂窝IoT UE验证消息的完整性,然后蜂窝IoT UE检查回送的MS网络能力以及可选的UPI_wish_UE参数。CIoT UE验证在由蜂窝IoT UE最初在GMM附连请求中发送的UPI_wish_UE或者MS网络能力上尚没有攻击。如果回送的参数不匹配由CIoT UE发送的那些,则CIoT UE能推断,中间人攻击已经在空中接口上发生,并且放弃与网络的连接。
在步骤706中,蜂窝IoT UE向SGSN发送包含RES的认证和加密响应消息。
在蜂窝IoT UE与SGSN之间的控制平面现在能通过使用Ktc和Kti_CP被保密性保护和完整性保护。在步骤707中,SGSN向CIoT UE发送附连请求消息。
在步骤708中,CIoT UE中的GMM层通过指配完整性密钥Kti_UP而激活对于LLC层中的用户平面的完整性保护。选择的算法与对于控制平面的完整性保护的算法相同。
在步骤709中,SGSN中的GMM层通过指配完整性密钥Kti_UP而激活对于LLC层中的用户平面的完整性保护。选择的算法与对于控制平面的完整性保护的算法相同。
如在710所示的,CIoT UE和SGSN现在能发送完整性保护的用户平面。
如以上所描述的,该方法能与3GPP接入网技术(诸如2G GPRS)一起使用。然而,类似方法可也被用在如UTRAN和LTE的其它3GPP接入网技术中。它可以潜在地还用于端到中间安全性,其中对于用户平面安全性的安全性端点将是归属网络中的实体。
图8示出了另一实施例,其中在UE与接入安全性管理实体(ASME)之间进行用户平面完整性保护的协商,并且UE与用户平面保护实体(UPPE)之间的用户平面被完整性保护。如果本发明被用在3G或LTE安全性中,其中UPPE的角色由Node-B、RNC或GGSN(在3G情况下)或者由P-GW、eNodeB或服务网关(S-GW)(在LTE情况下)担当,则此实施例适用。UPPE还可以是归属网络中的实体,例如在3GPP TR 33.863,14.0.0中论述的HPLMN安全性端点(HSE)。HSE可与GGSN/P-GW并置。此实施例在UE和UPPE关于要使用哪种完整性保护算法如何协定上没表明立场。它可以是在UE与ASME之间的安全性能力协商的一部分(图8中的步骤801和804),或是在UE与UPPE之间数据交换的一部分(图8中的步骤807)。
在步骤801中,UE向ASME发送请求。由UE支持的加密算法和完整性算法被包含在安全性能力参数(图8未示出)中。UE包含其IMSI,以及如下新参数:“UPI_cap: yes”指示UE能够保护用户平面的完整性,以及可选参数“UPI_wish_UE: yes”指示UE正希望对用户平面进行完整性保护。如果所有UE都支持此特征,则“UPI_cap”也是可选的。
如果该解决方案被集成到3GPP服务能力曝光功能(SCEF)能力,则CIoT UE的拥有者可以使用万维网接口来配置对于用户数据的完整性保护的使用开/关。
在步骤802中,ASME可基于IMSI从HLR/HSS获得AV(五位字节)(或者它可以已经在该过程中早期进行了这个阶段)。来自HLR/HSS的响应可包含(或者可以已经包含)新可选参数“UPI_wish_HN: yes”,指示归属网络希望在UE与UPPE之间保护用户平面的完整性。
在步骤803中,ASME决定用户平面是否应被保护。这可以是本地决定,并且能基于几个因素。例如,如果ASME不支持不同于空加密的其它加密算法,则它可以想要保护用户平面完整性。还有,它可将在“UPI_wish_UE”和“UPI_wish_HN”中指示的来自UE或HN的希望考虑进去,并且决定对用户平面进行完整性保护。如果ASME决定对用户平面进行完整性保护,则它得出完整性密钥(Kti_UP)。它通过添加“UPI: yes”参数来指示对于用户平面的完整性保护的使用。
在步骤804中,ASME向UE发送响应,包含:1)对于用户平面也使用完整性保护的指示(UPI: yes);2)安全性能力(包含新UPI_cap参数)以及3)可选参数UPI_wish_UE。响应消息由在此发明范围外的部件进行完整性保护。
在步骤805中,UE验证消息的完整性,然后UE检查回送的安全性能力以及可选的UPI_wish_UE参数。UE验证在UE最初在请求中发送的UPI_wish_UE或者安全性能力上尚没有攻击。UE从CK和IK中得出Kti_UP。如果回送的参数不匹配由CIoT UE发送的那些,则CIoT UE能推断,中间人攻击已经在空中接口上发生,并且放弃与网络的连接。
在步骤806中,ASME向UPPE转发完整性算法和Kti_UP。
如在步骤807所示出的,UE和UPPE可协商安全性参数,包含要使用哪个完整性算法。要使用的完整性算法也可来自于ASME,但在此实施例中未指定。
在步骤808中,UE通过指配完整性密钥Kti_UP和完整性保护算法激活对于用户平面的完整性保护。
在步骤809中,UPPE通过指配完整性密钥Kti_UP和完整性保护算法激活对于用户平面的完整性保护。
如在810所示的出的,UE和UPPE现在能发送完整性保护的用户平面。
在另一变形中,对于SGSN/ASME遵循HLR/HSS的希望是不可选的。如果HLR/HSS指示用户平面应被保护(UPI_wish_HN: yes),则强制SGSN/ASME启用用户平面的完整性保护。例如,可以存在将需要满足的一些附加条件,例如,如果在UE与SGSN/ASME之间不使用加密,则满足HLR/HSS希望将是强制性的。
在另一变形中,不需要新UPI参数。用户数据的完整性保护被直接捆绑到空加密算法GEA0。不管何时使用GEA0,用户数据的完整性保护总是被开启。
图9示出了终端装置中的功能单元,其可例如根据从计算机程序接收的计算机可读指令执行上面描述的任何方法。将理解到,在图9中示出的单元是软件实现的功能单元,并且可用软件模块的任何适当组合实现。
确切地说,终端装置900A包括用于激活对于在蜂窝通信网络的网络节点与终端装置之间转移的用户平面数据的完整性保护的激活部件902A。终端装置900A还可包括用于如上所述向网络节点发送消息的发送部件904A。终端装置900A还可包括用于如上所述从网络节点接收消息的接收部件906A。
图10示出了对于蜂窝通信网络的网络节点中的功能单元,其可例如根据从计算机程序接收的计算机可读指令执行上面描述的任何方法。将理解到,在图10中示出的单元是软件实现的功能单元,并且可用软件模块的任何适当组合实现。
确切地说,网络节点920A包括用于激活对于在网络节点与终端装置之间转移的用户平面数据的完整性保护的激活部件922A。网络节点920A还可包括用于如上所述向网络节点发送消息的发送部件924A。终端装置920A还可包括用于如上所述从网络节点接收消息的接收部件926A。
图11示出了终端装置的另一实施例中的功能单元,其可例如根据从计算机程序接收的计算机可读指令执行本文描述的任何方法。将理解到,在图11中示出的单元是硬件实现的功能单元,并且可用硬件元件的任何适当组合实现。
确切地说,终端装置900B包括用于激活对于在蜂窝通信网络的网络节点与终端装置之间转移的用户平面数据的完整性保护的激活单元902B。终端装置900B还可包括用于如上所述向网络节点发送消息的发送单元904B。终端装置900B还可包括用于如上所述从网络节点接收消息的接收单元906B。
图12示出了蜂窝通信网络的网络节点的另一实施例中的功能单元,其可例如根据从计算机程序接收的计算机可读指令执行本文描述的任何方法。将理解到,在图12中示出的单元是硬件实现的功能单元,并且可根据实施例用硬件元件的任何适当组合实现。
确切地说,网络节点920B包括用于激活对于在网络节点与终端装置之间转移的用户平面数据的完整性保护的激活单元922B。网络节点920B还可包括用于如上所述向网络节点发送消息的发送单元924B。终端装置920B还可包括用于如上所述从网络节点接收消息的接收单元926B。
图13是流程图,示出了蜂窝通信网络中的终端装置的操作的方法。该方法包括:作为可选的第一步1301,从终端装置向第二网络节点发送请求消息,其中请求消息还指示终端装置对于用户平面数据使用完整性保护的能力。所述方法然后包括:作为步骤1302,激活对于在所述蜂窝通信网络的第一网络节点与所述终端装置之间转移的用户平面数据的完整性保护。
终端装置可包括激活模块,用于激活对于在蜂窝通信网络的第一网络节点与终端装置之间转移的用户平面数据的完整性保护。
图14是流程图,示出了蜂窝通信网络中的网络节点的操作的方法。该方法包括:作为可选的第一步1401,从蜂窝通信网络的终端装置接收请求消息,其中请求消息还指示终端装置对于用户平面数据使用完整性保护的能力。所述方法然后包括:作为步骤1402,激活对于在网络节点与终端装置之间转移的用户平面数据的完整性保护。
网络节点可包括激活模块,用于激活对于在网络节点与终端装置之间转移的用户平面数据的完整性保护。
图15是流程图,示出了蜂窝通信网络中的第一网络节点的操作的方法。该方法包括:作为可选的第一步1501,从第二网络节点接收消息,所述消息指定对于用户平面数据要使用完整性保护。所述方法然后包括:作为步骤1502,激活对于在所述蜂窝通信网络的第一网络节点与终端装置之间转移的用户平面数据的完整性保护。
第一网络节点可包括激活模块,用于激活对于在蜂窝通信网络的第一网络节点与终端装置之间转移的用户平面数据的完整性保护。
图16是流程图,示出了蜂窝通信网络中的第二网络节点的操作的方法。该方法包括:作为可选的第一步1601,从蜂窝通信网络的终端装置接收请求消息,其中请求消息还指示终端装置对于用户平面数据使用完整性保护的能力。所述方法然后包括:激活对于在第一网络节点与终端装置之间转移的用户平面数据的完整性保护。
第二网络节点可包括激活模块,用于激活对于在第一网络节点与终端装置之间转移的用户平面数据的完整性保护。
因此描述了允许完整性保护的终端装置和网络节点的操作的方法以及终端装置自身和网络节点自身。
应该注意,上面提到的实施例示出而不是限制本发明,并且本领域技术人员将能够在不脱离所附权利要求的范围的情况下设计出许多备选实施例。词语“包括”不排除存在与权利要求中列出的元件或步骤不同的元件或步骤,“一(a或an)”不排除多个,并且单个特征或其它单元可履行在权利要求中记载的几个单元的功能。权利要求中的任何引用标记不应该被解释以至于限制它们的范围。
Claims (96)
1.一种蜂窝通信网络中的终端装置的操作的方法,所述方法包括:
激活对于在所述蜂窝通信网络的第一网络节点与所述终端装置之间转移的用户平面数据的完整性保护。
2.如权利要求1中定义的方法,包括:在激活对于所述用户平面数据的完整性保护之前:
从所述终端装置向第二网络节点发送请求消息,其中所述请求消息还指示所述终端装置对于用户平面数据使用完整性保护的能力。
3.如权利要求2中定义的方法,其中所述请求消息还指定所述终端装置能够用于用户平面数据的完整性保护的至少一个算法。
4.如权利要求2或3中定义的方法,其中所述消息是GPRS移动性管理GMM附连请求消息。
5.如权利要求2或3中定义的方法,其中所述消息是EPS移动性管理EMM附连请求消息。
6.如权利要求2或3中定义的方法,其中所述消息是GPRS移动性管理GMM路由选择区域更新请求消息。
7.如权利要求2或3中定义的方法,其中所述消息是EPS移动性管理EMM跟踪区域更新请求消息。
8.如权利要求2至7中任一项中定义的方法,其中所述请求消息进一步指示所述终端装置是否希望对于用户平面数据使用完整性保护。
9.如权利要求2至8中任一项中定义的方法,包括:响应于从所述第二网络节点接收到返回消息而激活对于所述用户平面数据的完整性保护,所述返回消息指定对于所述用户平面数据要使用完整性保护。
10.如权利要求1至9中任一项中定义的方法,包括:响应于来自GPRS移动性管理GMM层的激活消息而激活对于逻辑链路控制LLC层中的所述用户平面数据的完整性保护。
11.如权利要求1至9中任一项中定义的方法,包括:响应于来自无线电资源控制RRC层的激活消息而激活对于分组数据收敛协议PDCP层中的所述用户平面数据的完整性保护。
12.如权利要求1至9中任一项中定义的方法,包括:响应于来自GPRS移动性管理GMM层的激活消息而激活对于无线电链路控制RLC或媒体访问控制MAC层中的所述用户平面数据的完整性保护。
13.如权利要求10中定义的方法,其中从所述GMM层到所述LLC层的所述激活消息指定要使用的完整性密钥和完整性算法。
14.如权利要求11中定义的方法,其中从所述RRC层到所述PDCP层的所述激活消息指定要使用的完整性密钥和完整性算法。
15.如权利要求12中定义的方法,其中从所述GMM层到所述RLC或MAC层的所述激活消息指定要使用的完整性密钥和完整性算法。
16. 如权利要求13、14或15中定义的方法,包括通过在USIM上运行UMTS AKA来得出所述完整性密钥。
17.如权利要求13、14、15或16中定义的方法,其中在从所述第二网络节点接收的消息中指定要使用的所述完整性算法。
18.如权利要求2至17中任一项中定义的方法,其中所述第一和第二网络节点被组合在服务GPRS支持节点SGSN中。
19.如权利要求2至17中任一项中定义的方法,其中所述第一和第二网络节点被组合在eNB中。
20.如权利要求2至17中任一项中定义的方法,其中所述第一和第二网络节点被组合在Node-B或无线电网络控制器RNC中。
21.如权利要求2至17中任一项中定义的方法,其中所述第一网络节点是用户平面保护实体UPPE,并且所述第二网络节点是访问安全性管理实体ASME。
22. 如权利要求21中定义的方法,其中担当UPPE角色的实体是3G Node-B。
23.如权利要求21中定义的方法,其中担当UPPE角色的所述实体是3G无线电网络控制器RNC。
24.如权利要求1至23中任一项中定义的方法,包括:对于所述用户平面数据使用空加密。
25.一种蜂窝通信网络中的网络节点的操作的方法,所述方法包括:
激活对于在所述蜂窝通信网络的网络节点与终端装置之间转移的用户平面数据的完整性保护。
26.如权利要求25中定义的方法,包括:在激活对于所述用户平面数据的完整性保护之前:
从所述终端装置接收请求消息,其中所述请求消息还指示所述终端装置对于用户平面数据使用完整性保护的能力。
27.如权利要求26中定义的方法,其中所述请求消息还指定所述终端装置能够用于用户平面数据的完整性保护的至少一个算法。
28.如权利要求26或27中定义的方法,其中所述消息是GPRS移动性管理GMM附连请求消息。
29.如权利要求26或37中定义的方法,其中所述消息是EPS移动性管理EMM附连请求消息。
30.如权利要求26或27中定义的方法,其中所述消息是GPRS移动性管理GMM路由选择区域更新请求消息。
31.如权利要求26或27中定义的方法,其中所述消息是EPS移动性管理EMM跟踪区域更新请求消息。
32.如权利要求26至31中任一项中定义的方法,其中所述请求消息进一步指示所述终端装置是否希望对于用户平面数据使用完整性保护。
33.如权利要求26至32中任一项中定义的方法,包括:在向所述终端装置发送返回消息之后激活对于所述用户平面数据的完整性保护,所述返回消息指定对于所述用户平面数据要使用完整性保护。
34.如权利要求33中定义的方法,其中到所述终端装置的所述返回消息指定要使用的完整性密钥和完整性算法。
35.如权利要求25至34中任一项中定义的方法,包括:响应于来自GPRS移动性管理GMM层的激活消息而激活对于逻辑链路控制LLC层中的所述用户平面数据的完整性保护。
36.如权利要求25至34中任一项中定义的方法,包括:响应于来自无线电资源控制RRC层的激活消息而激活对于分组数据收敛协议PDCP层中的所述用户平面数据的完整性保护。
37.如权利要求25至34中任一项中定义的方法,包括:响应于来自GPRS移动性管理GMM层的激活消息而激活对于无线电链路控制RLC或媒体访问控制MAC层中的所述用户平面数据的完整性保护。
38.如权利要求35中定义的方法,其中从所述GMM层到所述LLC层的所述激活消息指定要使用的完整性密钥和完整性算法。
39.如权利要求36中定义的方法,其中从所述RRC层到所述PDCP层的所述激活消息指定要使用的完整性密钥和完整性算法。
40.如权利要求37中定义的方法,其中从所述GMM层到所述RLC或MAC层的所述激活消息指定要使用的完整性密钥和完整性算法。
41.如权利要求38至40中任一项中定义的方法,当从属于权利要求34时,其中在所述激活消息中指定的所述完整性密钥和完整性算法与在所述返回消息中指定的所述完整性密钥和完整性算法相同。
42.如权利要求34、38、39或40中定义的方法,包括:在所述返回消息或所述激活消息中指定所述完整性密钥之前得出所述完整性密钥。
43.如权利要求34、38、39或40中定义的方法,包括:基于从所述终端装置接收的指定所述终端装置能够用于用户平面数据的完整性保护的至少一个算法的消息来确定要使用的所述完整性算法。
44.如权利要求25至43中任一项中定义的方法,进一步包括:响应于从另外网络节点接收到指示所述另外网络节点希望对于所述用户平面数据使用完整性保护的消息而激活对于在所述蜂窝通信网络的终端装置与所述网络节点之间转移的用户平面数据的完整性保护。
45.如权利要求44中定义的方法,其中所述另外网络节点是归属订户服务器HSS。
46.如权利要求44中定义的方法,其中所述另外网络节点是服务能力曝光功能SCEF。
47.如权利要求25至46中任一项中定义的方法,其中所述网络节点是服务GPRS支持节点。
48.如权利要求25至46中任一项中定义的方法,其中所述网络节点是eNB。
49.如权利要求25至46中任一项中定义的方法,其中所述网络节点是Node-B或无线电网络控制器RNC。
50.如权利要求25至49中任一项中定义的方法,包括:对于所述用户平面数据使用空加密。
51.一种蜂窝通信网络中的第一网络节点的操作的方法,所述方法包括:
激活对于在所述蜂窝通信网络的所述第一网络节点与终端装置之间转移的用户平面数据的完整性保护。
52.如权利要求51中定义的方法,包括:响应于从第二网络节点接收到消息而激活对于所述用户平面数据的完整性保护,所述消息指定对于所述用户平面数据要使用完整性保护。
53.如权利要求52中定义的方法,其中来自所述第二网络节点的所述消息指定要用于所述完整性保护的完整性密钥。
54.如权利要求52中定义的方法,其中来自所述第二网络节点的所述消息指定要用于所述完整性保护的完整性算法。
55.如权利要求52中定义的方法,进一步包括:在激活所述完整性保护之前,与所述终端装置协商要用于所述完整性保护的完整性算法。
56.如权利要求51至55中任一项中定义的方法,包括:激活对于逻辑链路控制LLC层中的所述用户平面数据的完整性保护。
57.如权利要求51至56中任一项中定义的方法,其中所述第一网络节点是用户平面保护实体UPPE。
58. 如权利要求57中定义的方法,其中所述第一网络节点是3G Node-B。
59.如权利要求57中定义的方法,其中所述第一网络节点是3G无线电网络控制器RNC。
60.如权利要求57中定义的方法,其中所述第一网络节点是网关GPRS支持节点GGSN。
61.如权利要求57中定义的方法,其中所述第一网络节点是PDN网关P-GW。
62.如权利要求57中定义的方法,其中所述第一网络节点是eNB。
63.如权利要求57中定义的方法,其中所述第一网络节点是服务网关S-GW。
64.如权利要求52至55中任一项中或者权利要求56至63中任一项中定义的方法,当从属于权利要求52时,其中所述第二网络节点是访问安全性管理实体ASME。
65.如权利要求51至64中任一项中定义的方法,包括:对于所述用户平面数据使用空加密。
66.一种蜂窝通信网络中的第二网络节点的操作的方法,所述方法包括:
激活对于在所述蜂窝通信网络的第一网络节点与终端装置之间转移的用户平面数据的完整性保护。
67.如权利要求66中定义的方法,包括:在激活对于所述用户平面数据的完整性保护之前:
从所述终端装置接收请求消息,其中所述请求消息还指示所述终端装置对于用户平面数据使用完整性保护的能力。
68.如权利要求67中定义的方法,其中所述请求消息还指定所述终端装置能够用于用户平面数据的完整性保护的至少一个算法。
69.如权利要求67或68中定义的方法,其中所述消息是GPRS移动性管理GMM附连请求消息。
70.如权利要求67或68中定义的方法,其中所述消息是GPRS移动性管理GMM路由选择区域更新请求消息。
71.如权利要求67至70中任一项中定义的方法,其中所述请求消息进一步指示所述终端装置是否希望对于用户平面数据使用完整性保护。
72.如权利要求67至71中任一项中定义的方法,包括:在向所述终端装置发送返回消息之后激活对于所述用户平面数据的完整性保护,所述返回消息指定对于所述用户平面数据要使用完整性保护。
73.如权利要求72中定义的方法,其中到所述终端装置的所述返回消息指定要使用的完整性密钥。
74.如权利要求72或73中定义的方法,其中到所述终端装置的所述返回消息指定要使用的完整性算法。
75.如权利要求66至74中任一项中定义的方法,包括:通过向所述第一网络节点发送消息来激活对于所述用户平面数据的完整性保护。
76.如权利要求75中定义的方法,其中到所述第一网络节点的所述消息指定要使用的完整性密钥。
77.如权利要求75中定义的方法,其中到所述第一网络节点的所述消息指定要使用的完整性算法。
78.如权利要求73或76中定义的方法,包括:在所述返回消息或到所述第一网络节点的所述消息中指定所述完整性密钥之前得出所述完整性密钥。
79.如权利要求74或77中定义的方法,包括:基于从所述终端装置接收的指定所述终端装置能够用于用户平面数据的完整性保护的至少一个算法的消息来确定要使用的所述完整性算法。
80.如权利要求66至79中任一项中定义的方法,进一步包括:响应于从另外网络节点接收到指示所述另外网络节点希望对于所述用户平面数据使用完整性保护的消息而激活对于在所述蜂窝通信网络的终端装置与所述网络节点之间转移的用户平面数据的完整性保护。
81.如权利要求66至80中定义的方法,其中所述另外网络节点是归属订户服务器HSS。
82.如权利要求66至80中定义的方法,其中所述另外网络节点是服务能力曝光功能SCEF。
83.如权利要求66至82中任一项中定义的方法,其中所述第二网络节点是访问安全性管理实体ASME。
84.如权利要求66至83中任一项中定义的方法,其中所述第一网络节点是用户平面保护实体UPPE。
85. 如权利要求84中定义的方法,其中所述第一网络节点是3G Node-B。
86.如权利要求84中定义的方法,其中所述第一网络节点是3G无线电网络控制器RNC。
87.如权利要求84中定义的方法,其中所述第一网络节点是网关GPRS支持节点GGSN。
88.如权利要求84中定义的方法,其中所述第一网络节点是PDN网关P-GW。
89.如权利要求84中定义的方法,其中所述第一网络节点是eNB。
90.如权利要求84中定义的方法,其中所述第一网络节点是服务网关S-GW。
91.一种计算机程序,当在计算机上运行时,配置成执行根据前述权利要求中任一项中的方法。
92.一种计算机程序产品,包括计算机可读介质和存储在所述计算机可读介质上的根据权利要求91的计算机程序。
93.一种终端装置,所述终端装置包括处理器和存储器,所述存储器包含由所述处理器可执行的指令,使得所述终端装置可操作以执行包括如下操作的方法:
激活对于在蜂窝通信网络的第一网络节点与所述终端装置之间转移的用户平面数据的完整性保护。
94.一种对于蜂窝通信网络终端装置的网络节点,所述网络节点包括处理器和存储器,所述存储器包含由所述处理器可执行的指令,使得所述网络节点能够执行包括如下操作的方法:
激活对于在所述蜂窝通信网络的所述网络节点与终端装置之间转移的用户平面数据的完整性保护。
95.一种对于蜂窝通信网络终端装置的网络节点,所述网络节点包括处理器和存储器,所述存储器包含由所述处理器可执行的指令,使得所述网络节点能够执行包括如下操作的方法:
激活对于在所述蜂窝通信网络的第一网络节点与终端装置之间转移的用户平面数据的完整性保护。
96.一种对于蜂窝通信网络终端装置的网络节点,所述网络节点包括处理器和存储器,所述存储器包含由所述处理器可执行的指令,使得所述网络节点能够执行包括如下操作的方法:
激活对于在所述蜂窝通信网络的第一网络节点与终端装置之间转移的用户平面数据的完整性保护。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311086074.7A CN117354802A (zh) | 2015-11-02 | 2016-11-02 | 无线通信 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562249538P | 2015-11-02 | 2015-11-02 | |
| US62/249538 | 2015-11-02 | ||
| PCT/EP2016/076408 WO2017076891A1 (en) | 2015-11-02 | 2016-11-02 | Wireless communications |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311086074.7A Division CN117354802A (zh) | 2015-11-02 | 2016-11-02 | 无线通信 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108476211A true CN108476211A (zh) | 2018-08-31 |
Family
ID=57223690
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311086074.7A Pending CN117354802A (zh) | 2015-11-02 | 2016-11-02 | 无线通信 |
| CN201680077330.8A Pending CN108476211A (zh) | 2015-11-02 | 2016-11-02 | 无线通信 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311086074.7A Pending CN117354802A (zh) | 2015-11-02 | 2016-11-02 | 无线通信 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US11374941B2 (zh) |
| EP (1) | EP3371950B1 (zh) |
| CN (2) | CN117354802A (zh) |
| DK (1) | DK3371950T3 (zh) |
| RU (1) | RU2712428C2 (zh) |
| WO (1) | WO2017076891A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114223233A (zh) * | 2019-08-13 | 2022-03-22 | 上海诺基亚贝尔股份有限公司 | 用于网络切片管理的数据安全性 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018098609A1 (zh) * | 2016-11-29 | 2018-06-07 | 华为技术有限公司 | 一种通信方法及装置 |
| CN109756451B (zh) * | 2017-11-03 | 2022-04-22 | 华为技术有限公司 | 一种信息交互方法及装置 |
| US10999780B2 (en) * | 2017-11-15 | 2021-05-04 | Apple Inc. | Bluetooth trigger for NAN |
| MX2020005121A (es) * | 2017-11-16 | 2020-11-06 | Zte Corp | Método y dispositivo de computo para llevar a cabo protección de integridad de datos. |
| CN110121168B (zh) * | 2018-02-06 | 2021-09-21 | 华为技术有限公司 | 安全协商方法及装置 |
| EP3777279A4 (en) * | 2018-04-04 | 2021-10-13 | ZTE Corporation | INTEGRITY PROTECTION MANAGEMENT TECHNIQUES |
| WO2019233740A1 (en) * | 2018-06-08 | 2019-12-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Application of integrity protection in a wireless communication network |
| CN111641944A (zh) * | 2019-03-01 | 2020-09-08 | 华为技术有限公司 | 一种通信方法及设备 |
| US11570616B2 (en) | 2019-08-08 | 2023-01-31 | Mediatek Inc. | Provide EPS security capability and receive eps security algorithm information in 5GS |
| CN112449323B (zh) * | 2019-08-14 | 2022-04-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
| CN114125918B (zh) * | 2020-08-31 | 2024-01-26 | 大唐移动通信设备有限公司 | 基站业务性能的模拟测试系统、方法、装置、基站及介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101001252A (zh) * | 2006-06-25 | 2007-07-18 | 华为技术有限公司 | 一种注册方法和一种用户面安全算法的协商方法及装置 |
| CN101406024A (zh) * | 2006-03-22 | 2009-04-08 | Lg电子株式会社 | Umts的lte的安全考量 |
| US20090111423A1 (en) * | 2007-10-25 | 2009-04-30 | Interdigital Patent Holdings, Inc. | Non-access stratum architecture and protocol enhancements for long term evolution mobile units |
| CN102487507A (zh) * | 2010-12-01 | 2012-06-06 | 中兴通讯股份有限公司 | 一种实现完整性保护的方法及系统 |
| CN102625307A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种无线网络接入系统 |
| CN102783212A (zh) * | 2010-05-14 | 2012-11-14 | Lg电子株式会社 | 在无线通信系统中执行切换流程的方法和装置 |
| CN102948208A (zh) * | 2010-06-18 | 2013-02-27 | 高通股份有限公司 | 促成安全性配置的同步的方法和装置 |
| CN103686704A (zh) * | 2012-09-19 | 2014-03-26 | 华为技术有限公司 | 终端与网络侧通信方法和设备 |
| CN105009675A (zh) * | 2013-02-28 | 2015-10-28 | 英特尔德国有限责任公司 | 通信终端设备、通信设备、通信网络服务器以及控制方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2429607B (en) * | 2005-08-26 | 2010-02-10 | Samsung Electronics Co Ltd | Improvements in mobile telecommunication security |
| US20080076392A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for securing a wireless air interface |
| US8699711B2 (en) * | 2007-07-18 | 2014-04-15 | Interdigital Technology Corporation | Method and apparatus to implement security in a long term evolution wireless device |
| CN101378591B (zh) | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| EP2136501B1 (en) | 2008-06-20 | 2019-12-04 | LG Electronics Inc. | Method of delivering a PDCP data unit to an upper layer |
| US9276909B2 (en) * | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
| US8526617B2 (en) * | 2008-12-29 | 2013-09-03 | Htc Corporation | Method of handling security configuration in wireless communications system and related communication device |
| CN101854625B (zh) * | 2009-04-03 | 2014-12-03 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| CN102090093B (zh) * | 2009-04-30 | 2013-04-17 | 华为技术有限公司 | 空口链路安全机制建立的方法、设备 |
| CN102036256B (zh) * | 2009-09-28 | 2013-03-20 | 华为技术有限公司 | 数据传输方法、装置及系统 |
| US9398517B2 (en) | 2010-01-11 | 2016-07-19 | Blackberry Limited | System and method for enabling discovery of local service availability in local cellular coverage |
| US20110255691A1 (en) * | 2010-04-15 | 2011-10-20 | Qualcomm Incorporated | Apparatus and method for transitioning enhanced security context from a utran-based serving network to a geran-based serving network |
| SG192860A1 (en) * | 2011-03-22 | 2013-09-30 | Ericsson Telefon Ab L M | Network node and method to control routing or bypassing of deployed traffic detection function nodes |
| CN104247328B (zh) * | 2013-04-17 | 2017-06-06 | 华为技术有限公司 | 数据传输方法和装置 |
| EP3127366B1 (en) * | 2014-03-31 | 2021-03-24 | Convida Wireless, LLC | Overload control and coordination between m2m service layer and 3gpp networks |
| WO2016134536A1 (zh) * | 2015-02-28 | 2016-09-01 | 华为技术有限公司 | 密钥生成方法、设备及系统 |
| EP3258718B1 (en) * | 2015-04-08 | 2018-12-19 | Huawei Technologies Co., Ltd. | Gprs system key enhancement method, sgsn device, ue, hlr/hss and gprs system |
| JP6548348B2 (ja) * | 2015-08-13 | 2019-07-24 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | メッセージ保護方法、ならびに関連デバイスおよびシステム |
| WO2017039042A1 (ko) * | 2015-09-04 | 2017-03-09 | 엘지전자(주) | 무선 통신 시스템에서 단말의 데이터 송수신 방법 및 장치 |
-
2016
- 2016-11-02 US US15/772,760 patent/US11374941B2/en active Active
- 2016-11-02 DK DK16790353.3T patent/DK3371950T3/da active
- 2016-11-02 RU RU2018119077A patent/RU2712428C2/ru active
- 2016-11-02 WO PCT/EP2016/076408 patent/WO2017076891A1/en active Application Filing
- 2016-11-02 EP EP16790353.3A patent/EP3371950B1/en active Active
- 2016-11-02 CN CN202311086074.7A patent/CN117354802A/zh active Pending
- 2016-11-02 CN CN201680077330.8A patent/CN108476211A/zh active Pending
-
2022
- 2022-06-10 US US17/837,918 patent/US20220377557A1/en active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101406024A (zh) * | 2006-03-22 | 2009-04-08 | Lg电子株式会社 | Umts的lte的安全考量 |
| CN101001252A (zh) * | 2006-06-25 | 2007-07-18 | 华为技术有限公司 | 一种注册方法和一种用户面安全算法的协商方法及装置 |
| US20090111423A1 (en) * | 2007-10-25 | 2009-04-30 | Interdigital Patent Holdings, Inc. | Non-access stratum architecture and protocol enhancements for long term evolution mobile units |
| CN102783212A (zh) * | 2010-05-14 | 2012-11-14 | Lg电子株式会社 | 在无线通信系统中执行切换流程的方法和装置 |
| CN102948208A (zh) * | 2010-06-18 | 2013-02-27 | 高通股份有限公司 | 促成安全性配置的同步的方法和装置 |
| CN102487507A (zh) * | 2010-12-01 | 2012-06-06 | 中兴通讯股份有限公司 | 一种实现完整性保护的方法及系统 |
| CN102625307A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 一种无线网络接入系统 |
| CN103686704A (zh) * | 2012-09-19 | 2014-03-26 | 华为技术有限公司 | 终端与网络侧通信方法和设备 |
| CN105009675A (zh) * | 2013-02-28 | 2015-10-28 | 英特尔德国有限责任公司 | 通信终端设备、通信设备、通信网络服务器以及控制方法 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP: "3rd Generation Partnership Project;", 《3GPP TR 33.860 V0.3.0》 * |
| ERICSSON: "Draft contribution on"Integrity protection in LLC layer and GMM layer", 《3GPP FTP://3GPP.ORG/TSG_SA/WG3_SECURITY/ADHOCS/TSGS3-ADHOC_EMEETING_CIOT/DOCS/S3B0003.ZIP》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114223233A (zh) * | 2019-08-13 | 2022-03-22 | 上海诺基亚贝尔股份有限公司 | 用于网络切片管理的数据安全性 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3371950B1 (en) | 2021-03-03 |
| RU2018119077A (ru) | 2019-12-05 |
| RU2712428C2 (ru) | 2020-01-28 |
| EP3371950A1 (en) | 2018-09-12 |
| DK3371950T3 (da) | 2021-03-22 |
| WO2017076891A1 (en) | 2017-05-11 |
| US20180359642A1 (en) | 2018-12-13 |
| US20220377557A1 (en) | 2022-11-24 |
| US11374941B2 (en) | 2022-06-28 |
| RU2018119077A3 (zh) | 2019-12-05 |
| CN117354802A (zh) | 2024-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108476211A (zh) | 无线通信 | |
| CN111052781B (zh) | 用于协商安全性算法和完整性算法的方法和设备 | |
| US11039372B2 (en) | Non-access stratum transport for non-mobility management messages | |
| EP3592099B1 (en) | Handover method and corresponding storage medium and chip system | |
| US11553546B2 (en) | Methods and systems for radio access network aggregation and uniform control of multi-RAT networks | |
| CN109804705A (zh) | 用于恢复无线设备的无线电连接的方法、设备和节点 | |
| US20160014127A1 (en) | Methods and apparatus for hybrid access to a core network based on proxied authentication | |
| CN111149379B (zh) | 无线通信系统中的接入层安全性 | |
| KR20130061101A (ko) | 기회적 네트워크 관련 메시지 전송 방법 | |
| CN103313239B (zh) | 一种用户设备接入融合核心网的方法及系统 | |
| US11856396B2 (en) | System and method for security activation with session granularity | |
| JP7028964B2 (ja) | ネットワークステアリング情報のセキュア化 | |
| JP2017532889A (ja) | プロキシされた認証に基づくコアネットワークへのハイブリッドアクセスの方法および機器 | |
| US20190045363A1 (en) | Secured paging | |
| US20230354152A1 (en) | Sidelink relay enhancements to support multipath | |
| RU2688251C1 (ru) | Беспроводная связь | |
| US11606768B2 (en) | Method and apparatus for registration | |
| EP3311599B1 (en) | Ultra dense network security architecture and method | |
| CN115804157A (zh) | 6g系统中的计算卸载服务 | |
| WO2021057456A1 (zh) | 用于注册的方法和装置 | |
| US20240187340A1 (en) | Enhanced service classification for service function chaining in next generation cellular networks | |
| US20240187331A1 (en) | Enhanced service function chaining in next generation cellular networks | |
| Kirui | Accessing cloud computing resources over 4G LTE |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180831 |