CN110419205A - 针对用户平面数据的完整性保护的方法 - Google Patents

针对用户平面数据的完整性保护的方法 Download PDF

Info

Publication number
CN110419205A
CN110419205A CN201880017371.7A CN201880017371A CN110419205A CN 110419205 A CN110419205 A CN 110419205A CN 201880017371 A CN201880017371 A CN 201880017371A CN 110419205 A CN110419205 A CN 110419205A
Authority
CN
China
Prior art keywords
communication network
ipup
user plane
mode
integrity protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880017371.7A
Other languages
English (en)
Other versions
CN110419205B (zh
Inventor
莫尼卡·威弗森
韦萨·托尔维宁
卡尔·诺曼
普拉耶沃·库马·纳卡米
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Priority to CN202210843592.8A priority Critical patent/CN115278659A/zh
Priority to CN202210842379.5A priority patent/CN115278658A/zh
Publication of CN110419205A publication Critical patent/CN110419205A/zh
Application granted granted Critical
Publication of CN110419205B publication Critical patent/CN110419205B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/16Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
    • H04W28/18Negotiating wireless communication parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

公开了一种用于操作用户设备(UE)的方法(200),所述UE被配置为连接至通信网络。该方法包括:当请求向通信网络(202)注册时,向通信网络指示由所述UE支持的针对用户平面(IPUP)的完整性保护(IPUP)模式。IPUP模式包括以下中的一项:对与所述UE交换的用户平面数据使用完整性保护(202a)、对与所述UE交换的用户平面数据不使用完整性保护(202b)、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护(202c)。还公开了用于操作UE的装置、用于操作通信网络的无线电接入节点和核心节点的方法及装置、以及可操作地执行用于操作UE、通信网络的无线电接入节点和/核心节点的方法的计算机程序。

Description

针对用户平面数据的完整性保护的方法
技术领域
本公开涉及用于操作用户设备(UE)、通信网络中的无线电接入节点和核心网络节点的方法。本公开还涉及被配置为执行用于操作UE、无线电接入节点和核心网络节点的方法的装置和计算机程序。
背景技术
在3GPP版本13中针对物联网(IoT)设备的增强的GPRS引入了UE和核心网之间的用户平面(UP)数据的完整性保护。利用在核心网中的LLC层上支持的完整性保护和在NAS层(移动性管理层)上发生的UP数据的完整性保护的实施的协商,在UE中和在网络中支持UP数据的完整性保护都是可选的。
在用于长期演进(4G)网络的标准中没有考虑UP数据的完整性保护的协商,因此用于UP数据的完整性保护在这些网络中是不可能的。然而,在UE和基站之间的UP数据的完整性保护可能是下一代(5G)网络的期望的特征。
在下一代网络中,无线电接入网络(RAN)可以采用TR 33.801 v1.0.0[x]中说明的RAN架构及接口。图1图示了用于下一代网络的可能的新的RAN架构。参考图1,期望gNB 102和eLTE eNB 104可以被连接至相同的下一代核心网(NGC)106。gNB 102将能够通过被命名为Xn接口108的新的RAN接口连接至其它gNB 102或(e)LTE eNB 104。
发明内容
本公开的示例提供了解决UE、通信网络中的无线电接入节点及核心网络节点的操作的方法。这些方法涉及使用针对UE和通信网络之间交换的针对用户平面数据的完整性保护。
根据本公开的一方面,提供了一种用于操作用户设备UE的方法,其中的UE被配置为连接至通信网络。该方法包括:在请求向通信网络注册时,向通信网络指示UE支持的针对用户平面的完整性保护IPUP模式。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
该方法还可以包括:向通信网络指示关于由通信网络将对UE使用的IPUP模式的UE偏好。所指示的UE偏好可以应用于以下中的至少一项:与通信网络交换的所有数据、或与通信网络的一个特定切片或多个切片交换的数据。
该方法还可以包括:从通信网络接收将由通信网络对UE使用的IPUP模式的指示。该指示可以应用于以下中的至少一项:与通信网络交换的所有数据、或与所述通信网络的一个特定切片或多个切片交换的数据。
向通信网络指示对与UE交换的用户平面数据使用完整性保护或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护的IPUP模式可以包括:向通信网络指示可以应用完整性保护的用户平面数据的最大数据速率。该数据速率可以是最大的总数据速率。
该方法还可以包括:通知UE的用户由通信网络将对UE使用的IPUP模式。
该方法还可以包括:如果由通信网络指示的IPUP模式与关于由通信网络对UE应该使用哪种IPUP模式的UE偏好不匹配,则执行以下中的至少一项:拒绝连接至网络;从网络断开;向UE的用户通知由通信网络指示的IPUP模式与关于由通信网络对UE应该使用哪种IPUP模式的UE偏好不匹配。
该方法还可以包括:如果UE执行拒绝连接至网络或从网络断开中的至少一项,则执行以下中的至少一项:经由通信网络的不同的无线电接入节点请求向通信网络注册,或者请求向不同的通信网络注册。
该方法还可以包括:查询包括以下至少一项的列表:支持针对用户平面数据的完整性保护的无线电接入节点或通信网络,并且从列表选择用于请求注册的通信网络的无线电接入节点或不同的通信网络中的至少一项。该列表可以被配置在UE的存储器中。该列表可以通过无线电链路被接收。
该方法还可以包括:在从源无线电接入节点向目标无线电接入节点切换UE的过程期间,从通信网络的目标无线电接入节点接收消息,该消息包括:目标无线电接入节点将对UE使用与源无线电接入节点使用的IPUP模式不同的IPUP模式的指示。
该方法还可以包括:如果来自目标无线电接入节点的指示是:由通信网络经由目标无线电接入节点将使用的IPUP模式与关于由通信网络对UE应该使用哪种IPUP模式的UE偏好不匹配,则执行以下中的至少一项:从网络断开;接受切换并通知UE的用户经由目标无线电接入节点由通信网络将使用的IPUP模式;或者寻求到通信网络的不同的无线电接入节点的切换。
该方法还可以包括:在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改或数据无线电承载卸载的过程期间,从通信网络的无线电接入节点接收由通信网络将对UE使用的IPUP模式的指示;以及,如果所指示的IPUP模式涉及对用户平面数据使用完整性保护,则导出并使用针对用户平面数据的完整性保护的密钥。
通信网络将对UE使用的IPUP模式的指示可以利用RRC重配置请求来接收。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的方法。该方法包括:从请求向通信网络注册的用户设备UE接收UE支持的针对用户平面的完整性保护IPUP模式的指示。
IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示是经由通信网络从UE接收的。
该方法还可以包括:从UE接收关于由通信网络将对UE使用的IPUP模式的UE偏好。所指示的UE偏好可以应用于以下中的至少一项:与通信网络交换的所有数据、或与通信网络的一个特定切片或多个切片交换的数据。
从UE接收对与UE交换的用户平面数据使用完整性保护或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护的所指示的IPUP模式可以包括:从UE接收可以应用完整性保护的用户平面数据的最大数据速率。该数据速率可以是最大的总数据速率。
该方法还可以包括:从通信网络的核心节点接收由通信网络将对UE使用的IPUP模式的指示。
该方法还可以包括:如果无线电接入节点支持所指示的IPUP模式,则向核心节点发送如下指示:该无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
该方法还可以包括:如果从通信网络的核心节点接收的所指示的IPUP模式不被无线电接入节点支持,则执行以下中的至少一项:拒绝从UE接收的注册请求;或者省略向核心节点发送如下指示:无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
该方法还可以包括:向UE发送由通信网络将对UE使用的IPUP模式的指示。
如果通信网络将对UE使用的IPUP模式涉及对用户平面数据使用完整性保护,则通信网络将对UE使用的IPUP模式的指示可以包括:用于UP数据的完整性保护的算法的标识符。
由无线电接入节点对UE指示的IPUP模式可以是从通信网络的核心节点接收的IPUP模式。
对UE指示的IPUP模式可以由无线电接入节点根据无线电接入节点上容留的策略进行选择。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的方法,该无线电接入节点包括源无线电接入节点。该方法包括:在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
该方法还可以包括:检查是否接收到来自目标无线电接入节点的如下指示:该目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
该方法还可以包括:如果没有接收到目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式的指示,则假设目标无线电接入节点将不启用由通信网络将对UE使用的IPUP模式。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的方法,无线电接入节点包括目标无线电接入节点。该方法包括,在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
由通信网络将对UE使用的IPUP模式的指示可以从源无线电接入节点或通信网络的核心节点中的至少一项接收。
该方法还可以包括:决定是否使用所指示的IPUP模式,并且如果决定不使用所指示的IPUP模式,则向UE发送如下指示:目标无线电接入节点将对UE使用与由源无线电接入节点使用的IPUP模式不同的IPUP模式。
由通信网络将对UE使用的IPUP模式的指示可以从源无线电接入节点接收,并且该方法还可以包括:向通信网络的核心节点发送从源无线电接入节点接收的IPUP模式的指示。
该方法还可以包括:如果目标无线电接入节点支持所指示的IPUP模式,则向源无线电接入节点或通信网络的核心节点中的至少一项发送如下指示:目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
该方法还可以包括:如果目标无线电接入节点不支持所接收的所指示的IPUP模式,则执行以下中的至少一项:拒绝UE的切换、或者接受UE的切换并省略发送如下指示:目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的方法,该无线电接入节点包括主无线电接入节点。该方法包括:向辅无线电接入节点发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改或数据无线电承载DRB卸载中的至少一项的过程期间被发送至辅无线电接入节点。
如果向辅无线电接入节点指示的IPUP模式涉及对用户平面数据使用完整性保护,则由通信网络将对UE使用的IPUP模式的指示可以包括:所支持的用于UP数据的完整性保护的算法的列表。
该方法还可以包括:检查是否接收到来自辅无线电接入节点的如下指示:该辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
该方法还可以包括:如果没有接收到辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式的指示,则假设辅无线电接入节点将不启用由通信网络将对UE使用的IPUP模式。
该方法还可以包括:如果由通信网络将对UE使用的IPUP模式的指示在DRB卸载过程期间被发送至辅无线电接入节点,则向UE发送包括由通信网络将对UE使用的IPUP模式的指示的RRC重配置请求。
RRC重配置请求可以包括将被用于UP完整性保护的所选择的完整性算法标识符。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的方法,该无线电接入节点包括辅无线电接入节点。该方法包括:从主无线电接入节点接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示是在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改、数据无线电承载DRB卸载中的至少一项的过程期间从主无线电接入节点接收的。
如果由主无线电接入节点指示的IPUP模式涉及对用户平面数据使用完整性保护,则由通信网络将对UE使用的IPUP模式的指示可以包括:将被用于UP完整性保护的完整性算法的标识符。
该方法还可以包括:如果辅无线电接入节点支持所指示的IPUP模式,则向主无线电接入节点发送如下指示:辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
该方法还可以包括:如果目标无线电接入节点不支持接收的所指示的IPUP模式,则执行以下至少一项:拒绝来自主无线电接入节点的所请求的过程、或者接受来自主无线电接入节点的所请求的过程并省略向主无线电接入节点发送如下指示:辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
该方法还可以包括:如果由通信网络将对UE使用的IPUP模式的指示是在用于辅无线电接入节点添加或需要密钥更新的辅无线电接入节点修改的过程期间从主无线电接入节点接收的,并且如果由主无线电接入节点指示的IPUP模式涉及对用户平面数据使用完整性保护,则导出并使用用于与UE交换的用户平面数据的完整性保护的密钥。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的方法。该方法包括:向通信网络的无线电接入节点发送,用于由通信网络将对请求向通信网络注册的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
该方法还可以包括:检查是否接收到来自通信网络的无线电接入节点的如下指示:通信网络的无线电接入节点将启用向通信网络的无线电接入节点指示的IPUP模式。
该方法还可以包括:如果没有接收到无线电接入节点将启用向无线电接入节点指示的IPUP模式的指示,则假设无线电接入节点将不启用由通信网络将对UE使用的IPUP模式。
核心网络节点可以是用于UE的新核心网络节点,且该方法还可以包括:向UE的旧核心网发送与UE有关的信息请求,并且从旧核心网络节点接收由通信网络将对UE使用的IPUP模式的指示。
该方法还可以包括:在更新位置过程期间,从与UE对应的订阅管理节点接收由通信网络将对UE使用的IPUP模式的指示。
该方法还可以包括:决定由通信网络将对UE使用的IPUP模式。
该方法还可以包括:如果由核心网络节点决定的IPUP模式与由UE传达的对于由通信网络将对UE使用的IPUP模式的偏好不匹配,则执行以下中的一项:拒绝来自UE的用于向通信网络注册的请求,或接受来自UE的用于向通信网络注册的请求并向UE通知由核心网络节点决定的IPUP。
所决定的IPUP模式应用于以下中的至少一项:UE和通信网络之间交换的所有数据,或UE和通信网络的一个特定切片或多个切片之间交换的数据。
该方法还可以包括:向UE指示由通信网络将对UE使用的所决定的IPUP模式。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的方法,该核心网络节点包括用于请求向通信网络注册的用户设备UE的旧核心网络节点。该方法包括:从用于UE的新核心网接收与UE有关的信息请求,并向新核心网络节点发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
所指示的IPUP模式可以应用于以下中的至少一项:UE和通信网络之间交换的所有数据、或UE和通信网络的一个特定切片或多个切片之间交换的数据。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的方法。该方法包括:从目标无线电接入节点接收由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示;验证由目标无线电接入节点指示的IPUP模式与由核心网络节点存储的用于UE的IPUP模式是否相同;以及,如果所指示的IPUP模式和所存储的IPUP模式之间不匹配,则执行以下中的至少一项:将不匹配记录为事件或触发告警。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的方法。该方法包括:向目标无线电接入节点发送由通信网络对将被切换至目标无线电接入节点的UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
该方法还可以包括:检查是否接收到来自目标无线电接入节点的如下指示:该目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
根据本公开的另一方面,提供了一种包括指令的计算机程序,当该指令在至少一个处理器上执行时,使该至少一个处理器执行根据本公开的前述方面中的任一方面所述的方法。
根据本公开的另一方面,提供了一种包含有根据本公开的前述方面所述的计算机程序的载体,其中,所述载体包括电信号、光信号、无线电信号或计算机可读存储介质中的一种。
根据本公开的另一方面,提供了一种计算机程序产品,该产品包括存储有根据本公开的前述方面的计算机程序的非暂时性的计算机可读介质。
根据本公开的另一方面,提供了一种用于操作用户设备UE的装置,该UE被配置为连接至通信网络,该装置包括处理器和存储器,该存储器包含有指令,该指令可由该处理器执行,使该装置可操作地在请求向通信网络注册时、向通信网络指示由UE支持的针对用户平面的完整性保护IPUP模式。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该装置包括处理器和存储器,该存储器包含有指令,该指令可由该处理器执行,使该装置可操作地从请求向通信网络注册的用户设备UE接收由UE支持的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示是经由通信网络从UE接收的。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括源无线电接入节点,该装置包括处理器和存储器,该存储器包含有指令,该指令可由该处理器执行,使该装置可操作地在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括目标无线电接入节点,该装置包括处理器和存储器,该存储器包含有指令,该指令可由该处理器执行,使该装置可操作地在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括主无线电接入节点,该装置包括处理器和存储器,该存储器包含有指令,该指令可由该处理器执行,使该装置可操作地向辅无线电接入节点发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改或数据无线电承载DRB卸载中的至少一项的过程期间被发送至辅无线电接入节点。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括辅无线电接入节点,该装置包括处理器和存储器,该存储器包含有指令,该指令可由该处理器执行,使该装置可操作地从主无线电接入节点接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示是在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改、数据无线电承载DRB卸载中的至少一项的过程期间从主无线电接入节点接收的。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该装置包括处理器和存储器,该存储器包含有指令,该指令可由该处理器执行,使该装置可操作地向通信网络的无线电接入节点发送由通信网络将对请求向通信网络注册的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该核心网络节点包括用于请求向通信网络注册的用户设备UE的旧核心网络节点,该装置包括处理器和存储器,该存储器包含有指令,该指令可由该处理器执行,使该装置可操作地从用于UE的新核心网接收与UE有关的信息请求,并向新核心网络节点发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该装置包括处理器和存储器,该存储器包含有指令,该指令可由该处理器执行,使该装置可操作地从目标无线电接入节点接收由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示,验证由目标无线电接入节点指示的IPUP模式与由核心网络节点存储的用于UE的IPUP模式是否相同;以及,如果所指示的IPUP模式和所存储的IPUP模式之间不匹配,则执行以下至少一项:将不匹配记录为事件或触发告警。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该装置包括处理器和存储器,该存储器包含有指令,该指令可由该处理器执行,使该装置可操作地向目标无线电接入节点发送由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作用户设备UE的装置,该UE被配置为连接至通信网络,该装置被配置为:在请求向通信网络注册时,向通信网络指示由UE支持的针对用户平面的完整性保护IPUP模式。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该装置被配置为从请求向通信网络注册的用户设备UE接收由UE支持的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护,对与UE交换的用户平面数据不使用完整性保护,或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护,该指示是经由通信网络从UE接收的。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括源无线电接入节点,该装置被配置为:在从源无线电接入节点向目标无线电接入节点的切换用户设备UE的过程期间,发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括目标无线电接入节点,该装置被配置为:在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括主无线电接入节点,该装置被配置为:向辅无线电接入节点发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改或数据无线电承载DRB卸载中的至少一项的过程期间被发送至辅无线电接入节点。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括辅无线电接入节点,该装置被配置为从主无线电接入节点接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示是在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改、数据无线电承载DRB卸载中的至少一项的过程期间从主无线电接入节点接收的。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该装置被配置为向通信网络的无线电接入节点发送由通信网络将对请求向通信网络注册的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该核心网络节点包括用于请求向通信网络注册的用户设备UE的旧核心网络节点,该装置被配置为:从用于UE的新核心网接收与UE有关的信息请求,并向新核心网络节点发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示,该IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护,对与UE交换的用户平面数据不使用完整性保护,或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该装置被配置为从目标无线电接入节点接收由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示,验证由目标无线电接入节点指示的IPUP模式与由核心网络节点存储的用于UE的IPUP模式是否相同,以及,如果所指示的IPUP模式和所存储的IPUP模式之间不匹配,则执行以下中的至少一项:将不匹配记录为事件或触发告警。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该装置被配置为:向目标无线电接入节点发送由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作用户设备UE的装置,该UE被配置为连接至通信网络,该装置包括发送模块,用于在请求向通信网络注册时,向通信网络指示由UE支持的针对用户平面的完整性保护IPUP模式。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该装置包括接收模块,用于从请求向通信网络注册的用户设备UE接收由UE支持的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示是经由通信网络从UE接收的。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括源无线电接入节点,该装置包括发送模块,用于在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括目标无线电接入节点,该装置包括接收模块,用于在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括主无线电接入节点,该装置包括发送模块,用于向辅无线电接入节点发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改或数据无线电承载DRB卸载中的至少一项的过程期间被发送至辅无线电接入节点。
根据本公开的另一方面,提供了一种用于操作通信网络的无线电接入节点的装置,该无线电接入节点包括辅无线电接入节点,该装置包括接收模块,用于从主无线电接入节点接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示是在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改、数据无线电承载DRB卸载中的至少一项的过程期间从主无线电接入节点接收的。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该装置包括发送模块,用于向通信网络的无线电接入节点发送由通信网络将对请求向通信网络注册的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该核心网络节点包括用于请求向通信网络注册的用户设备UE的旧核心网络节点,该装置包括:接收模块,用于从用于UE的新核心网接收与UE有关的信息请求;以及发送模块,用于向新核心网络节点发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该装置包括:接收模块,用于从目标无线电接入节点接收由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示;以及处理模块,用于验证由目标无线电接入节点指示的IPUP模式与由核心网络节点存储的用于UE的IPUP模式是否相同,并且如果所指示的IPUP模式和所存储的IPUP模式之间不匹配,则执行以下中的至少一项:将不匹配记录为事件或触发告警。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的另一方面,提供了一种用于操作通信网络中的核心节点的装置,该装置包括发送模块,用于向目标无线电接入节点发送由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
附图说明
为了更好地理解本公开,并且为了更清楚地示出可以如何实现本公开,现在将通过示例的方式来参考附图,其中:
图1是用于下一代网络的可能的RAN架构的表示;
图2a至图2c示出了用于操作用户设备(UE)的方法中的处理步骤的流程图;
图3是示出了用于操作通信网络中的无线电接入节点的方法中的处理步骤的流程图;
图4是示出了用于操作无线电接入节点的方法的另一个示例中的处理步骤的流程图;
图5是示出了用于操作无线电接入节点的方法的另一个示例中的处理步骤的流程图;
图6是示出了用于操作无线电接入节点的方法的另一个示例中的处理步骤的流程图;
图7是示出了用于操作无线电接入节点的方法的另一个示例中的处理步骤的流程图;
图8是示出了用于操作通信网络中的核心节点的方法中的处理步骤的流程图;
图9是示出了用于操作核心节点的方法的另一个示例中的处理步骤的流程图;
图10是示出了用于操作核心节点的方法的另一个示例中的处理步骤的流程图;
图11是示出了用于操作核心节点的方法的另一个示例中的处理步骤的流程图;
图12是示出了用于操作UE的装置中的功能单元的框图;
图13是示出了用于操作无线电接入节点的装置中的功能单元的框图;
图14示出了用于操作核心节点的装置中的功能单元的框图;
图15是示出了用于操作UE的装置的另一个示例中的功能单元的框图;
图16是示出了用于操作无线电接入节点的装置的另一个示例中的功能单元的框图;
图17是示出了用于操作无线电接入节点的装置的另一个示例中的功能单元的框图;
图18是示出了用于操作核心节点的装置的另一个示例中的功能单元的框图;
图19是示出了用于操作核心节点的装置的另一个示例中的功能单元的框图;
图20是示出了用于操作核心节点的装置的另一个示例中的功能单元的框图;
图21是示出了用于UE的注册过程的信令图;
图22是示出了用于UE的注册过程的细节的信令图;
图23是示出了用于UE的注册过程的另一个细节的信令图;以及
图24是示出了辅eNB加密/解密启动的信令图。
具体实施方式
本公开的方面和示例实现了对UE和通信网络之间交换的用户平面数据使用完整性保护。例如,通信网络可以是4G LTE网络或5G下一代网络,但是应理解,本公开的方面和示例也可以应用于其它网络。根据本公开的示例的UE、无线电接入节点和核心网络节点的操作方法可以共同实现在初始的UE注册、切换、双连接等期间对用户平面的完整性保护的协商和应用的功能。
根据本公开的示例,UE可以向网络指示其支持UP完整性。UE可以将用于UP数据的完整性保护的最大数据速率作为一种能力进行指示。例如,如果UE指示64kbps作为其最大数据速率,则网络可以假设只针对等于或低于64kbps的数据速率打开UP完整性保护。更高的数据速率将不使用UP完整性。这种能力的指示可以被用作UE对网络指示支持UP完整性。UE可以指示其关于UP完整性保护是否会被使用的UE偏好。对于使用UP的完整性保护的订户偏好可以被存储在订户数据管理(SDM)/归属订户服务(HSS)中和UE中。归属网络可以由此向服务网络指示:UP完整性“应该”还是“禁止”被打开。
基于从归属网络接收的指示和针对被访问的网络(接入管理功能(AMF)/移动性管理实体(MME))配置的策略,被访问的网络可以做出关于UE是否需要UP完整性的策略判决。基于策略判决,核心网可以在NAS层中向UE指示是否将使用UP完整性。
核心网可以通知基站或RAN(gNB或eNB)是否使用UP数据的完整性保护。该指示或引用可以在核心网与基站(RAN)之间的NG2接口或S1接口上发送。
在其它示例中,RAN可以决定是否使用UP完整性保护,无需由核心网告知是否使用UP完整性保护。其它的选项可以包括,gNB/eNB基于从核心网接收的UE偏好和可能的其它信息来决定是否使用UP完整性保护。gNB或eNB可以具有对支持UP完整性的UE是否启动UP完整性的本地策略(基于UE 5GS安全能力)。
如果UE没有获得期望的UP完整性保护,则UE可以采取响应动作。该动作可以是连接至另一个gNB/eNB,或UE可以避免使用某个应用。
UE的用户可以经由UE GUI(用户界面)动态地配置和改变关于是否使用UP完整性的UE偏好。针对所有的UP数据、或根据网络切片类型(例如,网络切片选择辅助信息,NSSAI)或根据网络切片标识符(例如,数据网络名称,DNN),可以配置UE的偏好。当向通信网络注册的过程完成时,则UE可以向用户指示网络已经启用还是禁用了UP完整性。该指示可以针对所有数据、根据切片的类型或切片标识符。
UE可能能够检测具有次等安全性(sub-par security)的网络且应用用户配置的如何反应(例如,只连接至提供用于UP的完整性保护的网络)的策略。这对于用于订户信任运营商的IoT设备的安全是有利的,但是需要比当今的网络提供商更强的安全性。在优选的PLMN不使用UP完整性保护的情况下,可以由用户配置要挑选的其它PLMN。
另一种选项可以是,在USIM上或在ME中设置能够包含支持UP完整性保护的PLMN的新列表。该列表可以由归属PLMN的运营商通过空中下载(over-the-air)方式向UE提供和配置。归属PLMN知道归属PLMN与哪些运营商具有漫游协议以及哪些运营商支持UP完整性保护。
在两个基站之间的X2切换或Xn切换中,源基站可以通知目标基站是否启用UP数据的完整性保护。该指示或引用可以在Xn接口或X2接口上从源节点发送到目标节点。
用户可以在UE GUI中配置是否(例如,在切换时)自动地接受经非完整性保护的UP业务而无需询问该用户的策略。
还可以在切换至新的gNB或eNB之后向用户通知该新的gNB或eNB不支持完整性保护且可以询问用户是否继续与网络的连接。
可以将UE配置为:在gNB或eNB没有启动完整性保护的情况下,尝试重新连接至同一PLMN的不同gNB或eNB,以希望其它的gNB或eNB利用UP完整性算法被更新且支持UP完整性保护。
在两个基站之间的双连接中,主基站可以通知辅基站是否启用UP数据的完整性保护。该指示或引用可以在Xn接口或X2接口上从主基站发送到辅基站。
上文讨论的和附加的功能可以经由在相关过程中涉及的每个实体上执行的方法来实现。参考图2a至图11在下文中讨论了这些方法的示例。参考4G网络和5G网络描述了示例,但是应了解这仅用于说明的目的。
图2a至图2c示出了根据本公开的用于操作用户设备(UE)的示例方法200。UE被配置为连接至通信网络,例如,该通信网络可以包括第四代通信网络或第五代通信网络。该方法可以由用于操作UE的装置执行,该装置可以并入UE自身之中。参考图2a,在第一步骤202中,该方法包括:在请求向通信网络注册时,向通信网络指示由UE支持的针对用户平面的完整性保护(IPUP)模式。IPUP模式包括以下中的一项:“对与UE交换的用户平面数据使用完整性保护”202a、“对与UE交换的用户平面数据不使用完整性保护”202b、或“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”202c。
根据本公开的示例,第四代通信网络和第五代通信网络指代根据3GPP规范的各代网络。根据本公开的示例,“请求注册”可以包括:在4G网络中发送附着请求或跟踪区域更新请求。5G网络中用于请求注册的消息名称还未被定义。
根据本公开的示例,当由UE支持的IPUP模式是“对用户平面数据不使用完整性保护”时,该指示可以是缺少支持“对用户平面数据使用完整性保护”或“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”的IPUP模式的说明。
根据本公开的示例,IPUP模式“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”可以使UE指定:如果对UP数据打开了完整性保护,则可以对UP数据关闭机密性保护。一些非常小的UE(例如,包括与物联网部署中的设备有关的那些UE),可能具有非常受限的电源接入,并且为了延长电池的寿命,如果UE知道与完整性保护有关的加密将被应用在更高的协议层上,则UE能够关闭与机密性保护有关的加密可能是有用的。
根据本公开的示例,向通信网络指示对与UE交换的用户平面数据使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护的IPUP模式的步骤可以包括:向通信网络指示可以应用完整性保护的用户平面数据的最大数据速率。在这些示例中,UE通过指示应该对其使用UP完整性的最大数据速率来指示其对UP完整性的支持。假设网络对高达所指示的最大值的数据速率打开UP完整性保护,而对更高的数据速率将不使用UP完整性保护。例如,这可以允许如下情况:对UP数据的完整性保护被期望用于某些应用(例如,物联网应用)但是不用于其它的应用(例如,包括移动宽带)。
再次参考图2a,该方法于是可以包括,在步骤204中,向通信网络指示关于由通信网络将对UE使用的IPUP模式的UE偏好。所指示的UE偏好可以应用于以下中的至少一项:与通信网络交换的所有数据204a、或与通信网络的一个特定切片或多个切片交换的数据。一个或多个网络切片可以通过切片类型和/或通过切片标识进行标识。“网络切片”指代与下一代网络有关的文献中定义的概念。
该方法200于是可以包括,在步骤206中,从通信网络接收由通信网络将对UE使用的IPUP模式的指示。该指示可以应用于以下中的至少一项:与通信网络交换的所有数据206a、或与通信网络的一个特定切片或多个切片交换的数据206b。该指示可以是(例如,通过列出用于UP数据的所支持的算法)在AS安全模式命令中接收的,或作为UP完整性被支持的一般的指示被接收(假设被用于控制平面完整性保护的相同的算法被针对用户平面的完整性保护)。备选地,该指示可以是在RRC连接重配置消息中接收的。
在步骤208中,该方法还可以包括:向UE的用户通知由通信网络将对UE使用的IPUP模式。该通知步骤可以在向通信网络注册期间执行,或者可以在向通信网络注册完成之后执行,并且可以使用户在将使用的IPUP模式不适于用户想要的与网络的通信时采取合适的动作。
在步骤210中,该方法200可以包括:检查由通信网络指示的IPUP模式与关于由通信网络对UE应该使用哪种IPUP模式的UE偏好是否匹配。如果所指示的模式与关于由通信网络对UE应该使用哪种IPUP模式的UE偏好不匹配,则该方法200可以包括:执行以下中的至少一项:在步骤212拒绝连接至网络、在步骤214从网络断开、或在步骤216通知UE的用户由通信网络指示的IPUP模式与关于由通信网络对UE应该使用哪种IPUP模式的UE偏好不匹配。
如果UE执行步骤212的拒绝连接至网络或步骤216的从网络断开中的至少一项,则该方法还可以包括:执行以下中的至少一项:在步骤222经由通信网络的不同无线电接入节点请求向通信网络注册、或在步骤224请求向不同的通信网络注册。在执行步骤222或步骤224之前,该方法可以包括:在步骤218查询包括支持针对用户平面数据的完整性保护的无线电接入节点或通信网络中的至少一项的列表,以及,在步骤220从该列表中选择用于请求注册的通信网络的无线电接入节点或不同通信网络中的至少一项。该列表可以被配置在UE的存储器中或可以通过无线电链路接收。例如,该列表可以从UE的归属通信网络(例如,归属PLMN)接收。
在步骤222、步骤224之后,或者如果在步骤210中的检查显示所指示的IPUP模式与UE偏好匹配,则该方法200还可以包括:在之后的某个时刻,在步骤226,在从源无线电接入节点向目标无线电接入节点切换UE的过程期间,从通信网络的目标无线电接入节点接收消息,该消息包括:目标无线电接入节点将对UE使用与由源无线电接入节点使用的IPUP模式不同的IPUP模式的指示。该指示可以是在AS安全模式命令中接收的。备选地,该指示可以是在RRC连接重配置消息中接收的。
在步骤228中,该方法200还可以包括:检查来自目标无线电接入节点的指示是否是:由通信网络经由目标无线电接入节点将使用的IPUP模式与关于由通信网络对UE应该使用哪种IPUP模式的UE偏好不匹配。如果该检查指示将使用的IPUP模式与UE偏好不匹配,则该方法200还可以包括执行以下中的至少一项:在步骤230从网络断开、在步骤232接受切换并向UE的用户通知由通信网络经由目标无线电接入节点将使用的IPUP模式、或在步骤234寻求切换至通信网络的不同无线电接入节点。
现在参考图2c,该方法200还可以包括:在步骤236,从通信网络的无线电接入节点接收由通信网络将对UE使用的IPUP模式的指示。无线电接入节点可以是eNB或gNB。无线电接入节点可以是经由其由UE向通信网络传输注册请求的无线电接入节点,或可以是不同的无线电接入节点。该指示可以是在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改或数据无线电承载(DRB)卸载的过程期间接收的。如在步骤238中示出的,该指示可以是利用RRC重配置请求接收的。如在步骤240通过检查确定的,如果所指示的IPUP模式涉及对用户平面数据使用完整性保护,则该方法还可以包括:在步骤242,导出并使用针对用户平面数据的完整性保护的密钥。
应了解的是,参考图2a至图2c在上文概述的某些步骤可以以与图中示出的顺序不同顺序执行。
根据本公开的另一方面,提供了用于操作用户设备(UE)的另一种方法。UE被配置为连接至通信网络,例如,该通信网络可以包括第四代通信网络或第五代通信网络。该方法可以由用于操作UE的装置执行,该装置可以并入UE自身之中。该方法包括:在从源无线电接入节点向目标无线电接入节点切换UE的过程期间,从通信网络的目标无线电接入节点接收消息,该消息包括:目标无线电接入节点将对UE使用与由源无线电接入节点使用的IPUP模式不同的IPUP模式的指示。该方法还可以包括:如果来自目标无线电接入节点的指示是:由通信网络经由目标无线电接入节点将使用的IPUP模式与关于由通信网络对UE应该使用哪种IPUP模式的UE偏好不匹配,则执行以下中的至少一项:从网络断开、接受切换并向UE的用户通知由通信网络经由目标无线电接入节点将使用的IPUP模式、或寻求切换至通信网络的不同无线电接入节点。
图3示出了根据本公开的用于操作通信网络的无线电接入节点的示例方法300。例如,通信网络可以包括第四代通信网络或第五代通信网络。该方法可以由用于操作无线电接入节点的装置执行,该装置可以并入无线电接入节点自身之中和/或可以具有用于操作无线电接入节点的适当功能,该功能可以是虚拟网络功能。无线电接入节点可以是eNodeB或gNodeB。
参考图3,在第一步骤302中,该方法包括:从请求向通信网络注册的UE接收UE支持的IPUP模式的指示。IPUP模式包括以下中的一项:“对与UE交换的用户平面数据使用完整性保护”302a、“对与UE交换的用户平面数据不使用完整性保护”302b、或“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”。该指示是经由通信网络从UE接收的。例如,可以以对无线电接入节点透明的方式将该消息发送至通信网络的核心网,并且可以随后从核心网转发至无线电接入节点。
根据本公开的示例,从请求向通信网络注册的UE接收对与UE交换的用户平面数据使用完整性保护或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护的IPUP模式的指示的步骤302可以包括:从UE接收可以应用完整性保护的用户平面数据的最大数据速率。在这些示例中,UE通过指示应该对其使用UP完整性的最大数据速率来指示其对UP完整性的支持。假设网络对高达所指示的最大值的数据速率打开UP完整性保护,而对更高的数据速率将不使用UP完整性保护。例如,这可以允许以下情况:对UP数据的完整性保护被期望用于某些应用(例如,物联网应用)但是不用于其它的应用(例如,包括移动宽带)。
该方法300还可以包括:在步骤304,从UE接收关于由通信网络将对UE使用的IPUP模式的UE偏好。所指示的UE偏好可以应用于以下中的至少一项:如在步骤304a示出的与通信网络交换的所有数据、或如在步骤304b示出的与通信网络的一个特定切片或多个切片交换的数据。一个或多个网络切片可以通过切片类型和/或通过切片标识进行标识。
该方法300还可以包括:在步骤306中,从通信网络的核心节点接收由通信网络将对UE使用的IPUP模式的指示。该指示可以包括安全能力和所支持的用于UP数据的完整性保护的完整性算法。例如,核心节点可以是LTE网络中的移动性管理实体(MME)或下一代网络中的接入管理功能(AMF)。
该方法300还可以包括:在步骤308中检查无线电接入节点是否支持所指示的IPUP模式。如果无线电接入节点支持所指示的IPUP模式,则该方法还可以包括:在步骤310中,向核心节点发送如下指示:无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
如果从通信网络的核心节点接收的所指示的IPUP模式不被无线电接入节点支持,则该方法还可以包括执行以下中的至少一项:在步骤312中拒绝从UE接收的注册请求、或在步骤314中省略向核心节点发送如下指示:无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
在步骤316中,该方法300还可以包括:向UE发送由通信网络将对UE使用的IPUP模式的指示。如果由通信网络将对UE使用的IPUP模式涉及对用户平面数据使用完整性保护,则由通信网络将对UE使用的IPUP模式的指示可以指示由无线电接入节点选择的将被用于UP数据的完整性保护的完整性算法,如在步骤316a示出。可以只在该算法与将被用于控制平面数据的保护的算法不同的时候才包括该标识符。
在步骤316中被发送至UE的指示可以应用于以下中的至少一项:与通信网络交换的所有数据、或与通信网络的一个特定切片或多个切片交换的数据。在一些示例中,该指示可以在AS安全模式命令中被发送。备选地,该指示可以在RRC连接重配置消息中被发送。
由无线电接入节点对UE指示的IPUP模式可以是,如在步骤316b中示出的从通信网络的核心节点接收的IPUP模式,或者可以是由无线电接入节点根据无线电接入节点上容留的策略来选择的。策略可以考虑从UE接收的偏好和从核心网络节点接收的IPUP模式二者。
应了解的是,参考图3在上文概述的某些步骤可以以与图中示出的顺序不同的顺序执行。
图4示出了根据本公开的用于操作通信网络的无线电接入节点的另一个示例方法400。例如,通信网络可以包括第四代通信网络或第五代通信网络。该方法可以由用于操作无线电接入节点的装置执行,该装置可以并入无线电接入节点自身之中和/或可以具有用于操作无线电接入节点的适当的功能,该功能可以是虚拟网络功能。无线电接入节点可以是eNodeB或gNodeB。
参考图4,无线电接入节点包括源无线电接入节点,并且该方法包括,在第一步骤402中,在从源无线电接入节点向目标无线电接入节点切换UE的过程期间,发送由通信网络将对UE使用的IPUP模式的指示。IPUP模式包括以下中的一项:“对与UE交换的用户平面数据使用完整性保护”402a、“对与UE交换的用户平面数据不使用完整性保护”402b、或“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”402c。在一些示例中,可以利用切换请求消息将IPUP模式的指示发送至目标无线电接入节点。根据本公开的示例,发送IPUP模式的指示的步骤可以包括:发送可以应用完整性保护的用户平面数据的最大数据速率。
该方法还可以包括:在步骤404,检查是否接收到来自目标无线电接入节点的如下指示:目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式。在步骤406中,如果确定没有接收到目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式的指示,则该方法还可以包括:假设目标无线电接入节点将不启用由通信网络将对UE使用的IPUP模式。在一些示例中,从目标节点接收启用的指示失败可能原因在于:传统目标节点,或者出于任意的其它原因不理解来自源目标节点的指示的目标节点。在这种情况下,该方法还可以包括:在步骤410中继续进行切换过程或终止切换过程。继续进行切换过程或终止切换过程的决定可以基于源无线电接入节点上容留的策略,该过程可以考虑所接收的UE偏好和/或从诸如MME或AMF之类的核心网络节点接收的用于UE的订阅信息。
图5示出了根据本公开的用于操作通信网络的无线电接入节点的另一个示例方法500。例如,通信网络可以包括第四代通信网络或第五代通信网络。该方法可以由用于操作无线电接入节点的装置执行,该装置可以并入无线电接入节点自身之中和/或可以具有用于操作无线电接入节点的适当的功能,该功能可以是虚拟网络功能。无线电接入节点可以是eNodeB或gNodeB。
参考图5,无线电接入节点包括目标无线电接入节点,并且该方法包括:在第一步骤502中,在从源无线电接入节点向目标无线电接入节点切换UE的过程期间,接收由通信网络将对UE使用的IPUP模式的指示。IPUP模式包括以下中的一项:“对与UE交换的用户平面数据使用完整性保护”502a、“对与UE交换的用户平面数据不使用完整性保护”502b、或“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”502c。根据本公开的示例,接收IPUP模式的步骤可以包括:接收可以应用完整性保护的用户平面数据的最大数据速率。
由通信网络将对UE使用的IPUP模式的指示可以从源无线电接入节点或通信网络的核心节点中的至少一项接收。例如,核心节点可以是4G网络中的MME或5G网络中的AMF。
在步骤504中,如果从源无线电接入节点接收到由通信网络将对UE使用的IPUP模式的指示,则该方法还可以包括:向通信网络的核心节点发送从源无线电接入节点接收的IPUP模式的指示。例如,核心节点可以是MME或AMF。
在步骤506中,该方法可以包括:检查目标无线电接入节点是否支持所指示的IPUP模式,并且,如果目标无线电接入节点不支持接收的所指示的IPUP模式,则该方法可以包括执行以下中的一项:在步骤508拒绝UE的切换、或接受UE的切换并省略发送目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式的指示。
在步骤512中,该方法可以包括:决定是否使用所指示的IPUP模式,并且,如果决定不使用所指示的IPUP模式514,则在步骤518向UE发送如下指示:目标无线电接入节点将对UE使用与由源无线电接入节点使用的IPUP模式不同的IPUP模式。该指示可以在AS安全模式命令中被发送。备选地,该指示可以在RRC连接重配置消息中被发送。
如果目标无线电接入节点支持所指示的IPUP模式,则该方法还可以包括:在步骤516,向源无线电接入节点或通信网络的核心节点中的至少一项发送如下指示:目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式。如图5中所示,该发送可以依赖于在步骤512决定使用所指示的IPUP模式的目标无线电接入节点。所指示的IPUP模式的启用的指示可以被发送至从其接收IPUP模式的指示的实体,即,被发送至源无线电接入节点或被发送至核心无线电接入节点。
应了解的是,参考图5在上文概述的某些步骤可以以与图中示出的顺序不同的顺序执行。
图6示出了根据本公开的用于操作通信网络的无线电接入节点的另一个示例方法600。例如,通信网络可以包括第四代通信网络或第五代通信网络。该方法可以由用于操作无线电接入节点的装置执行,该装置可以并入无线电接入节点自身之中和/或可以具有用于操作无线电接入节点的适当的功能,该功能可以是虚拟网络功能。无线电接入节点可以是eNodeB或gNodeB。
参考图6,无线电接入节点包括主无线电接入节点,并且该方法包括:在第一步骤602中,向辅无线电接入节点发送由通信网络将对UE使用的IPUP模式的指示。IPUP模式包括以下中的一项:“对与UE交换的用户平面数据使用完整性保护”602a、“对与UE交换的用户平面数据不使用完整性保护”602b、或“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”602c。该指示在用于以下至少一项的过程期间被发送至辅无线电接入节点:辅无线电接入节点添加602i、需要密钥更新的辅无线电接入节点修改602ii、或数据无线电承载(DRB)卸载602iii,它们都在双连接的背景内。根据本公开的示例,发送IPUP模式的步骤可以包括:发送可以应用完整性保护的用户平面数据的最大数据速率。
如果向辅无线电接入节点指示的IPUP模式涉及对用户平面数据使用完整性保护(即,模式“对与UE交换的用户平面数据使用完整性保护”或模式“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”),则由通信网络将对UE使用的IPUP模式的指示可以包括:用于UP数据的完整性保护的所支持算法的列表。在一些示例中,用于IPUP的所支持算法的列表可以与用于控制平面数据的完整性保护的列表相同,且不被分别指示。在另外的示例中,该列表可以包括:单个的所识别的完整性算法。
在步骤604中,该方法还可以包括:检查是否接收到来自辅无线电接入节点的如下指示:辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式。如果没有接收到辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式的指示(步骤606),则该方法还可以包括:在步骤608中假设辅无线电接入节点将不启用由通信网络将对UE使用的IPUP模式。从辅节点接收启用的指示失败可能原因在于:传统的辅节点,或者出于任意其它原因而不理解来自源目标节点的指示的辅节点。在这种情况下,该方法还可以包括:在步骤610中继续进行该过程或终止该过程。继续进行该过程或终止该过程的决定可以基于无线电接入节点上容留的策略,该过程可以考虑所接收的UE偏好和/或从诸如MME或AMF之类的核心网络节点接收的用于UE的订阅信息。
如果接收到辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式的指示,则该方法还可以包括:如果在DRB卸载过程期间,由通信网络将对UE使用的IPUP模式的指示被发送至辅无线电接入节点(步骤612),则在步骤614向UE发送RRC重配置请求,该请求包括由通信网络将对UE使用的IPUP模式的指示。RRC重配置请求可以包括用于针对UP的完整性保护选择的算法的算法标识符。可以只在所选择的算法与将被用于保护控制平面的算法不同的时候才包括该标识符。如果RRC重配置请求中的IPUP模式的指示指示:IPUP模式将被启用和使用,则UE将为用户平面数据的完整性保护计算新的密钥,该密钥与将被卸载的DRB相关联。
应了解的是,参考图6在上文概述的某些步骤可以以与图中示出的顺序不同的顺序执行。
图7示出了根据本公开的用于操作通信网络的无线电接入节点的另一个示例方法700。例如,通信网络可以包括第四代通信网络或第五代通信网络。该方法可以由用于操作无线电接入节点的装置执行,该装置可以并入无线电接入节点自身之中和/或可以具有用于操作无线电接入节点的适当的功能,该功能可以是虚拟网络功能。无线电接入节点可以是eNodeB或gNodeB。
参考图7,无线电接入节点包括辅无线电接入节点,并且该方法包括:在第一步骤702中,从主无线电接入节点接收由通信网络将对UE使用的IPUP模式的指示。IPUP模式包括以下中的一项:“对与UE交换的用户平面数据使用完整性保护”702a、“对与UE交换的用户平面数据不使用完整性保护”702b、或“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”702c。该指示是在用于以下至少一项的过程期间从主无线电接入节点接收的:辅无线电接入节点添加702i、需要密钥更新的辅无线电接入节点修改702ii、或数据无线电承载(DRB)卸载702iii,它们都在双连接的背景内。根据本公开的示例,接收IPUP模式的步骤可以包括:接收可以应用完整性保护的用户平面数据的最大数据速率。
如果由主无线电接入节点指示的IPUP模式涉及对用户平面数据使用完整性保护(即,模式“对与UE交换的用户平面数据使用完整性保护”或模式“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”),则由通信网络将对UE使用的IPUP模式的指示可以包括:将被用于UP完整性保护的完整性算法的标识符。可以只在该算法与将被用于保护控制平面的算法不同的时候才包括该标识符。在另外的示例中,辅无线电接入节点可以假设:用户平面也支持控制平面数据的完整性保护算法。
如果辅无线电接入节点支持所指示的IPUP模式(步骤704),则该方法还可以包括:在步骤706中向主无线电接入节点发送如下指示:辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
如果辅无线电接入节点不支持所接收的所指示的IPUP模式(步骤704),则该方法还可以包括执行以下中的至少一项:在步骤708拒绝来自主无线电接入节点的所请求的过程;或在步骤710接受来自主无线电接入节点的所请求的过程,并省略向主无线电接入节点发送如下指示:辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
该方法还可以包括:如果由通信网络将对UE使用的IPUP模式的指示是在用于辅无线电接入节点添加或需要密钥更新的辅无线电接入节点修改的过程期间从主无线电接入节点接收的,并且如果由主无线电接入节点指示的IPUP模式涉及对用户平面数据使用完整性保护(步骤712),则在步骤714导出并使用用于与UE交换的用户平面数据的完整性保护的密钥。
应了解的是,参考图7在上文概述的某些步骤可以以与图中示出的顺序不同的顺序执行。
图8a和图8b示出了根据本公开的用于操作通信网络的核心节点的示例方法800。例如,通信网络可以包括第四代通信网络或第五代通信网络。该方法可以由用于操作核心节点的装置执行,该装置可以并入核心节点自身之中和/或可以具有用于操作核心节点的适当的功能,该功能可以是虚拟网络功能。核心节点可以是MME或AMF。
参考图8a,该方法可以首先包括,在步骤802中,接收用于UE的注册请求。该方法还可以包括:在步骤804中,检查核心节点是否是用于UE的新的核心节点。如果是,则该方法还可以包括:在步骤806向UE的旧核心网发送与UE有关的信息请求,并且在步骤808从旧核心网络节点接收由通信网络将对UE使用的IPUP模式的指示。根据本公开的示例,接收IPUP模式的步骤808可以包括:接收可以应用完整性保护的用户平面数据的最大数据速率。
在步骤810中,该方法还可以包括:在更新位置过程期间,从与UE对应的订阅管理节点接收由通信网络将对UE使用的IPUP模式的指示。根据本公开的示例,接收IPUP模式的步骤810可以包括:接收可以应用完整性保护的用户平面数据的最大数据速率。
该方法还可以包括:在步骤812,决定由通信网络将对UE使用的IPUP模式。该决定可以基于核心网络节点所容留的策略,并且可以考虑从旧核心网络节点和/或订户管理节点接收的指示。所决定的IPUP模式可以应用于以下中的至少一项:UE和通信网络之间交换的所有数据812a、或UE和通信网络的一个特定切片或多个切片之间交换的数据812b。一个或多个网络切片可以由切片类型或切片标识进行标识。
该方法还可以包括:在步骤814检查由核心网络节点决定的IPUP模式与由UE传达的对于由通信网络将对UE使用的IPUP模式的偏好是否匹配。参考图8b,如果由核心网络节点决定的IPUP模式与由UE传达的对于由通信网络将对UE使用的IPUP模式的偏好不匹配,该方法还可以包括执行以下中的一项:在步骤816拒绝来自UE的用于向通信网络注册的请求;或在步骤818接受来自UE的用于向通信网络注册的请求并向UE通知由核心网络节点决定的IPUP。
该方法包括,在步骤820,向通信网络的无线电接入节点发送由通信网络将对请求向通信网络注册的UE使用的IPUP模式的指示。IPUP模式包括以下中的一项:“对与UE交换的用户平面数据使用完整性保护”820a、“对与UE交换的用户平面数据不使用完整性保护”820b、或“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”。该指示可以包括安全能力和所支持的用于UP数据的完整性保护的完整性算法。所指示的IPUP模式可以是在步骤812由核心网络节点决定的模式。根据本公开的示例,发送IPUP模式的步骤820可以包括:发送可以应用完整性保护的用户平面数据的最大数据速率。
该方法还可以包括:在步骤822,检查是否接收到来自通信网络的无线电接入节点的如下指示:通信网络的无线电接入节点将启用向通信网络的无线电接入节点所指示的IPUP模式。
该方法还可以包括:在步骤826向UE指示由通信网络将对UE使用的所决定的IPUP模式。该指示的发送可以基于通信网络的无线电接入节点将启用向无线电接入节点指示的IPUP模式的指示的接收而有条件地进行。
如果没有接收到无线电接入节点将启用向无线电接入节点指示的IPUP模式的指示(步骤824),则该方法还可以包括:假设无线电接入节点将不启用由通信网络将对UE使用的IPUP模式。从无线电接入节点接收启用的指示失败可能原因在于:传统的无线电接入节点,或者出于任意其它原因不理解来自核心节点的指示的无线电接入节点。在这种情况下,该方法还可以包括:在步骤830接受或拒绝注册请求。该决定可以基于核心节点上容留的策略,该过程可以考虑所接收的UE偏好和/或用于UE的订阅信息。
应了解的是,参考图8a和图8b在上文概述的某些步骤可以以与图中示出的顺序不同的顺序执行。
图9示出了根据本公开的用于操作通信网络的核心节点的另一个示例方法900。例如,通信网络可以包括第四代通信网络或第五代通信网络。该方法可以由用于操作核心节点的装置执行,该装置可以并入核心节点自身之中和/或可以具有用于操作核心节点的适当的功能,该功能可以是虚拟网络功能。核心节点可以是MME或AMF。
参考图9,核心网络节点包括用于UE请求向通信网络注册的旧核心网络节点,并且该方法包括:在步骤902从用于UE的新核心网接收与UE有关的信息请求,并且在步骤904向新核心网络节点发送由通信网络将对UE使用的IPUP模式的指示。IPUP模式包括以下中的一项:“对与UE交换的用户平面数据使用完整性保护”904a、“对与UE交换的用户平面数据不使用完整性保护”904b、或“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”904c。所指示的IPUP模式可以应用于以下中的至少一项:UE和通信网络之间交换的所有数据904i、或UE和通信网络的一个特定切片或多个切片之间交换的数据904ii。根据本公开的示例,发送IPUP模式的步骤904可以包括:发送可以应用完整性保护的用户平面数据的最大数据速率。
图10示出了根据本公开的用于操作通信网络的核心节点的另一个示例方法1000。例如,通信网络可以包括第四代通信网络或第五代通信网络。该方法可以由用于操作核心节点的装置执行,该装置可以并入核心节点自身之中和/或可以具有用于操作核心节点的适当的功能,该功能可以是虚拟网络功能。核心节点可以是MME或AMF。
参考图10,该方法包括,在第一步骤1002中,从目标无线电接入节点接收由通信网络对将被切换至目标无线电接入节点的UE使用的IPUP模式的指示。IPUP模式包括以下中的一项:“对与UE交换的用户平面数据使用完整性保护”1002a、“对与UE交换的用户平面数据不使用完整性保护”1002b、或“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”1002c。根据本公开的示例,接收IPUP模式的步骤1002可以包括:接收可以应用完整性保护的用户平面数据的最大数据速率。
该方法还包括:在步骤1004中,验证由目标无线电接入节点指示的IPUP模式与由核心网络节点存储的用于UE的IPUP模式是否相同。如果所指示的IPUP模式和所存储的IPUP模式之间不匹配(步骤1006),则该方法还包括执行以下中的至少一项:在步骤1008中将不匹配记录为事件或在步骤1010中触发告警。
图11示出了根据本公开的用于操作通信网络的核心节点的另一个示例方法1100。例如,通信网络可以包括第四代通信网络或第五代通信网络。该方法可以由用于操作核心节点的装置执行,该装置可以并入核心节点自身之中和/或可以具有用于操作核心节点的适当的功能,该功能可以是虚拟网络功能。核心节点可以是MME或AMF。
参考图11,该方法包括:在第一步骤1102中,向目标无线电接入节点发送由通信网络对将被切换至目标无线电接入节点的UE使用的IPUP模式的指示。IPUP模式包括以下中的一项:“对与UE交换的用户平面数据使用完整性保护”1102a、“对与UE交换的用户平面数据不使用完整性保护”1102b、或“对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护”1102c。在一些示例中,该指示可以在切换请求消息中被发送。根据本公开的示例,发送IPUP模式的步骤1102可以包括:发送可以应用完整性保护的用户平面数据的最大数据速率。
该方法还可以包括:在步骤1104中,检查是否接收到来自目标无线电接入节点的如下指示:目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式。如果没有接收到目标无线电接入节点将启用向无线电接入节点所指示的IPUP模式的指示(步骤1106),则该方法还可以包括:假设目标无线电接入节点将不启用由通信网络将对UE使用的IPUP模式。从目标节点接收启用的指示失败可能原因在于:传统的目标节点,或出于任意其它原因不理解来自核心节点的指示的目标节点。在这种情况下,该方法还可以包括:在步骤1110中继续进行切换过程或终止切换过程。继续进行切换过程或终止切换过程的决定可以基于核心网络节点上容留的策略,该过程可以考虑所接收的UE偏好和/或用于UE的订阅信息。
根据本公开的方面,提供了一种包括指令的计算机程序,当该指令在至少一个处理器上执行时,使该至少一个处理器执行根据参考图2至图11讨论的前述示例中的任意一个示例的方法。
根据本公开的方面,提供了一种包含有如上文讨论的计算机程序的载体,其中,该载体包括电信号、光信号、无线电信号或计算机可读存储介质中的一种。
根据本公开的方面,提供了一种计算机程序产品,该计算机程序产品包括存储如上文讨论的计算机程序的非暂时性的计算机可读介质。
图12示出了可以执行如上文讨论的和如图2a至图2c中所示出的用于操作UE的方法的装置1200的第一示例。该装置可以例如在从计算机程序接收到合适的指令时执行这些方法。参考图12,该装置包括处理器1202、存储器1204和接口1206。存储器1204包含由处理器1202可执行的指令,使装置1200可操作地用于执行上文描述的和下文被编号的权利要求中说明的用于操作UE的方法的步骤中的一些步骤或所有步骤。
图13示出了可以执行如上文讨论的和如图3至图7中所示出的用于操作无线电接入节点的方法的装置1300的第一示例。该装置可以例如在从计算机程序接收到合适的指令时执行这些方法。参考图13,该装置包括处理器1302、存储器1304和接口1306。存储器1304包含由处理器1302可执行的指令,使装置1300可操作地用于执行上文描述的和下文被编号的权利要求中说明的用于操作无线电接入节点的方法的步骤中的一些步骤或所有步骤。
图14示出了可以执行如上文讨论的和如图8a至图11中所示出的用于操作核心节点的方法的装置1400的第一示例。该装置可以例如在从计算机程序接收到合适的指令时执行这些方法。参考图14,该装置包括处理器1402、存储器1404和接口1406。存储器1404包含由处理器1402可执行的指令,使装置1400可操作地用于执行上文描述的和下文被编号的权利要求中说明的用于操作核心节点的方法的步骤中的一些步骤或所有步骤。
图15示出了备选示例装置1500,例如,示例装置1500可以在从计算机程序接收到合适的指令时实现如上文讨论的和在下文被编号的权利要求中说明的用于操作UE的方法。应当了解,图15中所示的模块可以以硬件和/或软件的任意合适的组合来实现。例如,模块可以包括:一个或多个处理器,以及包含可由一个或多个处理器执行的指令的一个或多个存储器。模块可以集成到任何程度。
参考图15,装置1500包括发送模块1502,用于在请求向通信网络注册时向通信网络指示由UE支持的IPUP模式,其中,IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。装置还包括接口1504。
图16和图17示出了装置的备选示例1600、1700,例如,装置的备选示例1600、1700可以在从计算机程序接收到合适的指令时实现如上文讨论的和在下文被编号的权利要求中说明的用于操作无线电接入节点的方法。应当了解,图16和图17中所示的模块可以以硬件和/或软件的任何合适的组合来实现。例如,模块可以包括:一个或多个处理器,以及包含可由一个或多个处理器执行的指令的一个或多个存储器。模块可以集成到任何程度。
参考图16,装置1600包括发送模块1602和接口1604。无线电接入节点可以是源无线电接入节点,并且发送模块1602可以用于,在从源无线电接入节点向目标无线电接入节点切换UE的过程期间,发送由通信网络将对UE使用的IPUP模式的指示,其中,IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。在另外的示例中,无线电接入节点可以是主无线电接入节点,并且发送模块1602可以用于向辅无线电接入节点发送由通信网络将对UE使用的IPUP模式的指示,其中,IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示可以在用于以下至少一项的过程期间被发送至辅无线电接入节点:辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改、或数据无线电承载(DRB)卸载。
参考图17,装置1700包括接收模块1702和接口1704。接收模块可以用于从请求向通信网络注册的UE接收由UE支持的IPUP模式的指示,其中,IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护,对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护,并且其中,该指示是经由通信网络从UE接收的。
在其它示例中,无线电接入节点可以包括目标无线电接入节点,并且接收模块1702可以用于,在从源无线电接入节点向目标无线电接入节点切换UE的过程期间,接收由通信网络将对UE使用的IPUP模式的指示,其中,IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
在其它示例中,无线电接入节点可以包括辅无线电接入节点,并且接收模块1702可以用于从主无线电接入节点接收由通信网络将对UE使用的IPUP模式的指示,其中,IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。该指示可以在用于以下至少一项的过程期间从主无线电接入节点接收:辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改、或DRB卸载。
图18至图20示出了装置的备选示例1800、1900、2000,例如,装置的备选示例1800、1900、2000可以在从计算机程序接收到合适的指令时实现如上文讨论的和在下文被编号的权利要求中说明的用于操作核心节点的方法。应当了解,图18至图20中所示的模块可以以硬件和/或软件的任何合适的组合来实现。例如,模块可以包括:一个或多个处理器,以及包含可由一个或多个处理器执行的指令的一个或多个存储器。模块可以集成到任何程度。
参考图18,装置1800包括发送模块1802和接口1804。发送模块可以用于,向通信网络的无线电接入节点发送由通信网络将对请求向通信网络注册的UE使用的IPUP模式的指示,其中,IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
在其它示例中,发送模块可以用于,向目标无线电接入节点发送由通信网络对将被切换至目标无线电接入节点的UE使用的IPUP模式的指示,其中,IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
参考图19,装置1900包括接收模块1902、发送模块1904和接口1906。核心网络节点包括用于UE请求向通信网络注册的旧核心网络节点。接收模块1902用于从用于UE的新核心网接收与UE有关的信息请求。发送模块1904用于向新核心网络节点发送由通信网络将对UE使用的IPUP模式的指示,其中,IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
参考图20,装置2000包括接收模块2002、处理模块2004和接口2006。接收模块2002用于从目标无线电接入节点接收由通信网络对将被切换至目标无线电接入节点的UE使用的IPUP模式的指示。处理模块用于验证由目标无线电接入节点指示的IPUP模式与由核心网络节点存储的用于UE的IPUP模式是否相同,并且,如果所指示的IPUP模式和所存储的IPUP模式之间不匹配,则执行以下中的至少一项:将不匹配记录为事件或触发告警。IPUP模式包括以下中的一项:对与UE交换的用户平面数据使用完整性保护、对与UE交换的用户平面数据不使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
根据本公开的方法的示例应用在以下包括UE注册、切换、双连接管理等的通信网络过程的上下文中说明。示例应用说明了上文说明的方法的不同示例可以如何共同实现启用用户平面数据的完整性保护的功能。应了解的是,下文的示例只是用于说明的目的而不旨在以任何方式限制本公开的范围。下文的示例是在LTE和5G/下一代网络的背景中提出的。
UE注册过程中的用户平面的完整性保护的使用的协商
UE与通信网络协商在UE和基站之间发送的UP数据的完整性保护将被启用还是禁用。UE指示其对UP完整性保护的支持或其它。UE可以将用于UP数据的完整性保护的最大数据速率作为能力进行指示。例如,如果UE指示64kbps作为其最大数据速率,则可以假设网络只针对等于或低于64kbps的数据速率打开UP完整性保护。更高的数据速率将不使用UP完整性。这种能力的指示可以被用作UE对网络支持UP完整性的指示。UE可以指示其对于是否应该使用对UP的完整性保护的偏好。该偏好可以应用于与网络交换的所有数据,可以应用于特定的切片类型(例如,网络切片选择辅助信息,NSSAI)或切片标识符(例如,数据网络名称,DNN)。
下文的示例适用于5G和4G(EPC/LTE)二者。在4G(EPC/LTE)中,在下文描述的注册过程将被替换为附着过程或跟踪区域更新过程。在下文的步骤中描述的新的改进适用于EPC,因为在4G(EPC)中使用了非常类似的过程。
注册
SA2中的为5G开发的且在图21中示出的以下注册过程通过使用UP的完整性保护的协商得到改进,图中的新的改进以斜体文字示出。
在图21中使用了以下术语:
支持:UE支持UP完整性;这是UE 5G安全能力中的信元。
应该/禁止:HN/SDM认为UP完整性应该被(或禁止被)使用。″禁止”选项可以与具有在HN中终止的完整性保护的IoT设备有关(例如,类似BEST的机制)
应该:AMF策略要求UP完整性应该被使用
用于UP的IP的最大数据速率:由UE指示对UP数据的完整性保护的最大数据速率。注意,该能力可以被用作UE对网络支持UP完整性的指示(即,上文定义的术语支持)。但是对于本申请,其被定义和示出为单独的指示。
参考图21中的步骤1至步骤23:
1、UE至RAN:注册请求(注册类型,永久ID或临时ID,安全参数,NSSAI,支持UP完整性的UE的指示,以及使用或不使用UP完整性的偏好)。
注册类型指示:UE想要执行“初始注册”(即,UE处于非注册的状态)还是“正常注册”(即,UE处于已注册的状态)。如果包括了临时ID,则临时ID指示最后的服务AMF。安全参数被用于认证和完整性保护。NSSAI指示网络切片选择辅助信息(如在TS 23.501、TS23.502和TR 23.799中定义的)。
安全参数包括支持UP的完整性保护的UE指示。
UE可以在注册请求消息中包括其是否将使用UP完整性的偏好(偏好可以针对所有的数据、或根据网络切片类型或切片标识符)的指示。例如,如果UE支持IoT切片类型,则UE能够针对该IoT切片类型指示其偏好是使用UP完整性。或者,如果UE被授权访问数据网络A(切片标识符),则UE能够针对该切片标识符指示其将使用UP完整性的偏好。或者,如果UE是IoT UE,则UE能够指示,优选地将对所有的UP数据进行完整性保护。
UE可以指示用于UP数据的完整性保护的最大数据速率的新的能力。例如,如果UE指示64kbps作为其最大数据速率,则假设网络只针对等于或低于64kbps的数据速率打开UP完整性。更高的数据速率将不使用UP完整性。
2、如果包括了永久ID、或临时ID没有指示有效的AMF,则RAN基于RAT和NSSAI(如果可用)选择AMF。
RAN按照TS 23.501、TS 23.502和TR 23.799中描述的选择AMF。
3、RAN至AMF:注册请求(注册类型,永久ID或临时ID,安全参数,NSSAI)和位置信息、小区标识、RAT类型。
位置信息、与UE驻留的小区有关的小区标识和RAT类型。
4、[有条件的]新AMF至旧AMF:信息请求(完成注册请求)如果UE的临时ID被包括在注册请求中并且服务AMF自上次注册之后已经变化,则新AMF可以向旧AMF发送包括完成注册请求IE的信息请求,以请求UE的永久ID和MM上下文。
5、[有条件的]旧AMF至新AMF:信息响应(永久ID,MM上下文)
旧AMF用信息响应对新AMF作出响应,所述信息响应包括UE的永久ID和MM上下文。
MM上下文包括是否将对该UE使用UP完整性的信息。该信息是由旧AMF基于来自HN/SDM的请求决定的。UE专用的UP完整性保护策略可以用于所有的用户平面数据、或可以受限于特定的网络切片类型(例如,网络切片选择辅助信息,NSSAI)、或可以受限于特定的切片标识符(例如,数据网络名称,DNN)。MM上下文还可以包括:用于UP数据的完整性保护的最大数据速率的新UE能力
6、[有条件的]AMF至UE:标识请求()
如果即没有由UE提供也没有从旧AMF检索到永久ID,则由AMF向UE发送标识请求消息来发起标识请求过程。
7、[有条件的]UE至AMF:标识响应()
UE利用包括永久ID的标识响应消息进行响应。
8、如果注册请求未被发送,被保护的完整性或完整性保护被指示为失败(步骤5的信息响应),则AMF基于永久ID选择AUSF。
AMF按照TS 23.ABC[xx]第X款中描述的选择AUSF。
9、如果注册请求未被发送,被保护的完整性或完整性保护在步骤5(信息响应)中被指示为失败,则AUSF可以发起UE和NAS安全功能的认证。如果建立了安全性,则AMF可以从UE取得IMEI。
按照TS 23.502和SA3 TR 33.799中描述的执行认证和安全性。
10、[有条件的]AMF至UE:标识请求()
如果既没有由UE提供也没有从旧AMF检索到ME标识,则由AMF向UE发送标识请求消息来发起标识请求过程以检索ME标识。
11、可选择地,AMF发起ME标识检查。
ME标识检查按照TS 23.502中描述的执行。
12、如果将执行步骤13,则AMF基于永久ID选择SDM。
AMF按照TS 23.502中描述的选择SDM。
13、如果AMF自上次注册之后已经变化,或者如果AMF中不存在用于UE的有效的订阅上下文,或者如果UE提供了没有引用AMF中的有效的上下文的永久ID,则AMF发起更新位置过程。这将包括SDM对旧AMF发起位置取消(如果存在的话)。旧AMF删除MM上下文并通知所有可能关联的SMF。
更新位置过程按照TS 23.502中描述的执行。
作为更新位置过程的一部分,SDM指示UP是否应该被(或禁止被)完整性保护。该指示可以根据UE(即,所有的UP数据)、根据网络切片类型或网络切片标识符进行。AMF做出是否该使用UP完整性的策略决定。该策略决定可以根据UE(即,所有的UP数据)、根据网络切片类型或网络切片标识符进行。
如果AMF中的策略要求UP完整性但UE的偏好是不使用UP完整性,则网络可以通过发送注册拒绝消息来拒绝UE。
如果AMF中的策略要求UP完整性但UE的偏好是不使用UP完整性,则网络可以通过发送注册接受消息来接受UE,注册接受消息包括指示UE将使用UP完整性。如果UE不接受网络启用UP完整性,则UE可以从网络断开。
如果AMF中的策略要求没有UP完整性但UE的偏好是使用UP完整性,则网络可以通过发送注册拒绝消息来拒绝UE。
如果AMF中的策略要求没有UP完整性但UE的偏好是使用UP完整性,则网络可以通过发送注册接受消息来接受UE,注册接受消息包括指示UE将不使用UP完整性。如果UE不接受网络禁用UP完整性,则UE可以从网络断开。
由于所有的策略决定可以根据UE(即,所有的UP数据)或根据与特定类型的网络切片交换数据的UE,或根据与特定的网络切片(例如,特定的数据网络)交换数据的UE来进行,所以可以存在前述的策略决定的组合。
14、可选择地,AMF基于永久ID选择PCF。
AMF按照TS 23.502中描述的选择PCF。
15、[可选的]AMF至PCF:UE上下文建立请求
AMF请求PCF针对UE应用运营商策略。
16、PCF至AMF:UE上下文建立确认
PCF确认UE上下文建立请求消息。
17、AMF至RAN:N2请求(注册接受(临时ID,注册区域),UP完整性指示,针对用于UP的IP的最大数据速率的UE能力)
AMF向UE发送注册接受消息,指示“初始注册”已经被接受。如果AMF分配了新临时ID,则包括临时ID。
如果AMF接受使用UP完整性保护,则AMF将在注册接受中包括对UE指示将使用UP完整性的指示。该指示可以用于所有的UP数据、或用于与特定的网络切片类型交换的数据、或用于与特定的网络切片标识符(即,数据网络)交换的数据。如果AMF不接受将使用UP完整性保护,则AMF将在注册接受中包括向UE指示将不使用UP完整性的指示。该指示可以用于所有的用户平面、或受限于特定的网络切片类型、或受限于网络切片标识符。
如果AMF接受将使用UP完整性保护,则AMF将在N2请求消息中包括向RAN指示将使用UP完整性的指示。该指示可以用于所有的UP数据、或用于与特定的网络切片类型交换的数据、或用于与特定的网络切片标识符(即,数据网络)交换的数据。如果AMF不接受将使用UP完整性保护,则AMF将在N2请求消息中包括向RAN指示将不使用UP完整性的指示。该指示可以用于所有的用户平面、或受限于特定的网络切片类型、或受限于网络切片标识符。
如果AMF接受将使用UP完整性保护,则AMF还可以包括对RAN的用于UP的IP的最大数据速率的UE能力。
18、RAN至UE:AS安全模式命令
RAN向UE发送AS安全模式命令消息,以建立RAN和UE之间的安全性。RAN应包括对UE的、所选择的加密算法和所选择的完整性算法。
作为第一选项-选项1:RAN可以在AS安全模式命令中向UE指示对数据启用还是禁用UP完整性。这可以通过列出用于UP数据的所支持的算法进行指示,或者作为UP完整性被支持的一般指示(假设被用于控制平面完整性保护的相同算法被针对用户平面的完整性保护)进行指示。
作为第二选项-选项2:RAN可以在RRC连接重配置(RRCConnectionReconfiguration)消息中向UE指示对数据启用还是禁用UP完整性,这将在下文中的步骤22中描述。
19、UE至RAN:AS安全模式完成
UE向RAN发送AS安全模式完成消息。用于RRC信令的安全性被启动。可以针对选项1在该步骤中启动用于UP数据的安全性,或者可以针对选项2按照在步骤22和步骤23中描述的在RRC连接重配置过程中启动用于UP数据的安全性。
20、RAN至UE:注册接受(临时ID,注册区域)
AMF向UE发送指示“初始注册”已经被接受的注册接受消息。如果AMF分配了新临时ID,则包括临时ID。
21、[有条件的]UE至AMF:注册完成()
UE向AMF发送注册完成消息,以确认是否分配了新临时ID。
选项2:22、RAN至UE:RRCConnectionReconfiguration(根据每个唯一的DRB:加密被启用或被禁用,完整性保护被启用或被禁用)
RAN根据RCConnectionReconfiguration消息中的每个唯一的DRB设置来启动或停止完整性保护。
选项2:23、UE至RAN:RRC连接重配置完成(RRCConnectionReconfigurationComplete)
UE向RAN发送RRC连接重配置完成消息。在该步骤中为UP数据启动安全性(完整性保护和/或加密)。
核心网向RAN指示应该使用还是不使用UP完整性保护
应了解的是,在下文的步骤中描述的在图22中示出且由斜体文字表示的新的改进适用于5G和4G(EPC/LTE)二者。核心网向RAN指示应该使用还是不使用UP完整性保护。
利用对指示应该使用还是不使用UP完整性保护的支持,在SA2中对5G开发的以下注册过程被改进。
参考图22中的步骤4:
4:AMF向RAN指示在UE和RAN之间UP是否应该被(或禁止被)完整性保护。AMF还向UE指示包括所支持的完整性算法的5G安全能力。
AMF还可以向RAN指示针对用于UP的完整性保护的最大数据速率的UE能力。例如,如果UE指示64kbps作为其最大数据速率,则假设网络只针对等于或低于64kbps的数据速率打开UP完整性。更高的数据速率将不使用UP完整性。
如果从AMF接收的指示是将启用UP完整性保护的指示,则RAN基站可以以该指示向AMF进行响应。如果RAN基站不支持UP完整性保护,则RAN基站可以拒绝或可以接受但不发送其将启用UP完整性保护的指示,例如,在传统的基站的情况下。从基站接收UP完整性保护将被启用的指示失败可以被RAN解释为:意味着UP完整性保护将不被启用。
RAN向UE指示其支持或不支持UP完整性保护
应了解的是,在下文的步骤中描述的在图23中示出且由斜体文字表示的新改进适用于5G和4G(EPC/LTE)二者。
参考图23中的步骤4至步骤8:
4:AMF向RAN指示在UE和RAN之间UP是否应该被(或禁止被)完整性保护。AMF还向UE指示包括所支持的完整性算法的5G安全能力。
AMF还可以在步骤4向RAN指示针对用于UP的完整性保护的最大数据速率的UE能力。例如,如果UE指示64kbps作为其最大数据速率,则假设网络只针对等于或低于64kbps的数据速率打开UP完整性。更高的数据速率将不使用UP完整性。
5:RAN至UE:AS安全模式命令
RAN向UE发送AS安全模式命令消息,以建立RAN和UE之间的安全性。RAN应包括对UE的、所选择的加密算法和所选择的完整性算法。
作为第一选项–选项1:RAN可以在AS安全模式命令中向UE指示对数据启用还是禁用UP完整性。这可以通过列出用于UP数据的所支持的算法进行指示,或者作为UP完整性被支持的一般指示(假设被用于控制平面完整性保护的相同算法被针对用户平面的完整性保护)进行指示。
作为第二选项-选项2:RAN可以在RRCConnectionReconfiguration消息中向UE指示对数据启用还是禁用UP完整性,这将在下文的步骤7中描述。
6:UE至RAN:AS安全模式完成
UE向RAN发送AS安全模式完成消息。用于RRC信令的安全性被启动。可以针对选项1在该步骤中、或者可以针对选项2按照在步骤8和步骤9中描述的在RRCConnectionReconfiguration过程中启动用于UP数据的安全性。
选项2:7:RAN至UE:RRCConnectionReconfiguration(根据每个唯一的DRB:加密被启用或被禁用,完整性保护被启用或被禁用)
RAN根据RRCConnectionReconfiguration消息中的每个唯一的DRB设置来启动或停止完整性保护。
选项2:8:UE至RAN:RRC连接重配置完成(RRCConnectionReconfigurationComplete)
UE向RAN发送RRC连接重配置完成消息。在该步骤中针对UP数据启动安全性(完整性保护和/或加密)。
初始的AS安全性上下文建立
在下文的步骤中描述的新改进通过使用斜体文字表示。
4G(EPC/LTE)
每个eNB应该经由网络管理利用被允许使用的算法列表进行配置。应该存在用于完整性算法的一个列表和用于加密算法的一个列表。这些列表应该根据由运营商决定的优先级进行排序。当在eNB中建立了AS安全性上下文时,MME应该向eNB发送UE EPS安全能力,以及UP完整性是否应该被打开的指示,以及在一些示例中针对用于UP的完整性保护的最大数据速率的UE能力。eNB应该挑选如下加密算法:该算法在eNB所配置的列表中具有最高优先级,且同时存在于UE EPS安全能力中。eNB应该挑选如下完整性算法:该算法在eNB所配置的列表中具有最高优先级,且同时存在于UE EPS安全能力中。
存在两种选项:
选项1:所选择的算法以及UP完整性是否应该也被打开的指示应该在AS SMC中被指示给UE。加密算法被用于用户平面和RRC业务的加密。完整性算法被用于RRC业务的完整性保护,并且,如果适用的话,用于RN和DeNB之间的用户平面业务的完整性保护。
选项2:所选择的算法应该在AS SMC中被指示给UE。UP完整性是否也应该被打开的指示应该在RRCConnectionReconfiguration消息中被指示给UE,
加密算法被用于用户平面和RRC业务的加密。完整性算法被用于RRC业务的完整性保护,并且,如果适用的话,用于UE和RAN之间的用户平面业务的完整性保护。
5G
每个gNB应该经由网络管理利用被允许使用的算法列表进行配置。应该存在用于完整性算法的一个列表和用于加密算法的一个列表。这些列表应该根据由运营商决定的优先级进行排序。当在gNB中建立了AS安全性上下文时,AMF应该向eNB发送UE EPS安全能力,以及UP完整性是否应该被打开的指示,以及在一些示例中针对用于UP的完整性保护的最大数据速率的UE能力。eNB应该挑选如下加密算法:该算法在eNB所配置的列表中具有最高优先级,且同时存在于UE 5GS安全能力中。gNB应该挑选如下完整性算法:该算法在eNB所配置的列表中具有最高优先级,且同时存在于UE 5GS安全能力中。
存在两种选项:
选项1:所选择的算法以及UP完整性是否也应该被打开的指示应该在AS SMC中被指示给UE。加密算法被用于用户平面和RRC业务的加密。完整性算法被用于RRC业务的完整性保护,并且,如果适用的话,用于RN和DgNB之间的用户平面业务的完整性保护。
选项2:所选择的算法应该在AS SMC中被指示给UE。UP完整性是否也应该被打开的指示应该在RRCConnectionReconfiguration消息中被指示给UE,
加密算法被用于用户平面和RRC业务的加密。完整性算法被用于RRC业务的完整性保护,并且,如果适用的话,用于UE和RAN之间的用户平面业务的完整性保护。
切换
在下文的步骤中描述的新改进通过使用斜体文字表示。
X2切换
4G(EPC/LTE)
在通过X2从源eNB向目标eNB切换时,源eNB应在切换请求消息中包括UE EPS安全能力、以及UP完整性是否应该被打开的指示、源小区中使用的加密算法和完整性算法。目标eNB应该根据经优先级排序的本地配置的算法列表,从UE EPS安全能力中选择具有最高优先级的算法(这适用于完整性算法和加密算法二者)。如果目标eNB选择与源eNB相比不同的算法,则所选择的算法、以及UP完整性是否也应该被打开的指示应该在切换命令中(即,在TS 36.331中的RRCConnectionReconfiguration过程中)被指示给UE。如果UE没有接收到完整性算法和加密算法的任何选择,则UE继续使用与切换之前相同的算法和UP完整性保护模式(参见TS 36.331[21])。在路径切换(path-switch)消息中,目标eNB应该向MME发送从源eNB接收的UE EPS安全能力、针对用于UP的完整性保护的最大数据速率的UE能力、以及UP完整性是否也应该被打开的指示。MME应该验证从eNB接收的UE EPS安全能力、用于UP的完整性保护的最大数据速率的UE能力、以及UP完整性保护模式是否与MME已经存储的UE EPS安全能力、用于UP的完整性保护的最大数据速率的UE能力、以及UP完整性保护模式是相同的。如果存在不匹配,则MME可以记录事件且可以采取附加的措施(例如,发起告警)。
在切换请求消息中将源小区中使用的加密算法和完整性算法转移至目标eNB,是为了使目标eNB解密并完整性验证可能的RRC连接重建立(RRCConnectionRe-establishment)过程中的SRB1上的RRC重建立完成(RRCReestablishmentComplete)消息。该信息也被目标eNB用于判断是否需要在切换命令(TS 36.331中的RRCConnectionReconfiguration)中包括安全性算法的新的选择。
Xn切换
5G
在通过Xn从源gNB向目标gNB切换时,源gNB应在切换请求消息中包括UE 5GS安全能力、和UP完整性是否应该被打开的指示、以及源小区中使用的加密算法和完整性算法。目标gNB应该根据经优先级排序的本地配置的算法列表,从UE 5GS安全能力中选择具有最高优先级的算法(这适用于完整性算法和加密算法二者)。如果目标gNB选择与源gNB相比不同的算法,则所选择的算法、以及UP完整性是否也应该被打开的指示应该在RRCConnectionReconfiguration消息(切换命令)中被指示给UE。如果UE没有接收到完整性算法和加密算法的任何选择,则UE继续使用与切换之前相同的算法和UP完整性保护模式(参见TS 36.331[21])。在路径切换消息中,目标gNB应该向AMF发送从源gNB接收的UE 5GS安全能力、UP完整性是否也应该被打开的指示、以及可选择地用于UP的完整性保护的最大数据速率的UE能力。AMF应该验证从gNB接收的UE 5GS安全能力、UP完整性保护模式、以及可选择地用于UP的完整性保护的最大数据速率的UE能力是否与AMF已经存储的UE 5GS安全能力、UP完整性保护模式、以及可选择地用于UP的完整性保护的最大数据速率的UE能力是相同的。如果存在不匹配,则AMF可以记录事件且可以采取附加的措施(例如,发起告警)。
在切换请求消息中将源小区中使用的加密算法和完整性算法转移至目标gNB,是为了使目标gNB解密并完整性验证可能的RRC连接重建立(RRCConnectionRe-establishment)过程中的SRB1上的RRC连接重建立完成(RRCConnectionReestablishmentComplete)消息。该信息也被目标gNB用于判断是否需要在切换命令(RRCConnectionReconfiguration消息)中包括安全算法的新的选择。
如果从源基站接收的指示是将启用UP完整性保护的指示,则目标基站可以以该指示向源基站进行响应。如果目标基站不支持UP数据的完整性保护,且来自源基站的指示指示UP完整性应该被使用,则目标基站可以通过以错误码进行响应来拒绝来自主基站的切换请求,或接受请求但不发送其将启用UP完整性保护的指示(例如,在传统的基站的情况下)。针对目标节点配置的策略可以确定合适的动作。从目标基站接收UP完整性保护将被启用的指示失败可以被源基站解释为:意味着UP完整性保护将不被启用。如果目标基站接受请求但是不发送其将启用UP完整性保护的指示(例如,在传统的基站的情况下),则源基站中配置的策略可以确定源基站应该继续该过程还是终止与目标基站的连接。
如果基站的其它组合被连接至相同的下一代核心网络节点,则上述描述也适用于基站的其它的组合。例如,源基站可以是LTE eNB且目标基站可以是上述描述中的gNB。在下表中描述了所有不同的组合。
表1:用于下一代中的Xn切换的架构选项
S1切换
4G(EPC/LTE)
在通过S1从源eNB向目标eNB切换时(可能包括MME变化、以及由此引起的从源MME向目标MME的UE安全能力、UP完整性保护模式、以及可选择地用于UP的完整性保护的最大数据速率的UE能力的转移),目标MME应该在S1 AP切换请求(S1 AP HANDOVER REQUEST)消息中向目标eNB发送UE EPS安全能力、UP完整性保护模式、以及可选择地用于UP的完整性保护的最大数据速率的UE能力。目标eNB应该根据经优先级排序的本地配置的算法列表,从UEEPS安全能力选择具有最高优先级的算法(这适用于完整性算法和加密算法二者)。如果目标eNB选择与源eNB相比不同的算法,则所选择的算法、以及UP完整性是否应该被打开的指示应该在RRCConnectionReconfiguration消息(即,切换命令)中被指示给UE。如果UE没有接收到完整性算法和加密算法的任何选择,则其继续使用与切换之前相同的算法和UP完整性保护模式(参见TS 36.331[21])。
NG2切换
5G
在通过NG2从源gNB向目标gNB切换时(可能包括AMF变化、以及由此引起的从源AMF向目标AMF的UE安全能力、UP完整性保护模式、以及可选择地用于UP的完整性保护的最大数据速率的UE能力的转移),目标AMF应该在NG2 AP切换请求(NG2 AP HANDOVER REQUEST)消息中向目标gNB发送UE 5GS安全能力、UP完整性保护模式、以及可选择地用于UP的完整性保护的最大数据速率的UE能力。目标gNB应该根据经优先级排序的本地配置的算法列表,从UE5GS安全能力选择具有最高优先级的算法(这适用于完整性算法和加密算法二者)。如果目标gNB选择与源gNB相比不同的算法,则所选择的算法、以及UP完整性是否应该被打开的指示应该在RRCConnectionReconfiguration消息(即,切换命令)中被指示给UE。如果UE没有接收到完整性算法和加密算法的任何选择,则其继续使用与切换之前相同的算法和UP完整性保护模式(参见TS36.331[21])。
如果基站的其它组合被连接至不同的下一代核心网络节点,则上述描述适用于基站的其它组合。例如,源基站可以是LTE eNB且目标基站可以是上述描述中的gNB。在下表中描述了所有不同的组合。
表2:用于类似于NG2切换的架构选项
eNB内切换
4G
在eNB内切换期间,无需在RRCConnectionReconfiguration消息中改变AS安全性算法或UP完整性保护模式。如果在eNB内切换期间,UE没有接收到RRCConnectionReconfiguration消息中的新AS安全性算法的任何选择,则UE继续使用与切换之前相同的算法和UP完整性保护模式(参见TS 36.331[21])。
gNB内切换和eNB内切换
5G
在gNB内切换期间,无需在RRCConnectionReconfiguration消息中改变AS安全性算法或UP完整性保护模式。如果在gNB内切换期间,UE没有接收到RRCConnectionReconfiguration消息中的新AS安全性算法的任何选择,则UE继续使用与切换之前相同的算法和UP完整性保护模式。
在eNB内切换期间,无需改变AS安全性算法或UP完整性保护模式。如果在eNB内切换期间,UE没有接收到RRCConnectionReconfiguration消息中的新AS安全性算法的任何选择,则UE继续使用与切换之前相同的算法和UP完整性保护模式。
双连接
应了解的是,在下文的步骤中描述的且通过使用斜体文字表示的新改进适用于4G和5G二者。
辅eNB(SeNB)中的数据无线电承载(DRB)的添加和修改
当执行SeNB添加过程(即,针对SeNB的一个或多个无线电承载的初始的卸载)或需要S-KeNB的更新的SeNB修改过程时,主eNB(MeNB)应该按照TS 33.401第E.2.4款中定义的导出S-KeNB,S-KeNB产生新的S-KeNB。在SeNB添加过程或需要密钥更新的SeNB修改过程期间,MeNB应该将所产生的S-KeNB与UP完整性是否应该被打开的指示、以及可选择地用于UP的完整性保护的最大数据速率的UE能力一起转发给SeNB。
TS 36.300定义了SeNB添加过程和SeNB修改过程。
如果MeNB已经指示UP完整性不应该被打开:
则SeNB应该按照当前规范的第E.2.4款中定义的从所接收的S-KeNB导出密钥KUPenc,并且将KUPenc用于被添加的所有无线电承载。
在任意时刻,相同的KUPenc被用于加密SeNB和UE之间的所有的无线电承载。一旦从S-KeNB导出了KUPenc,SeNB和UE就可以删除S-KeNB
如果MeNB已经指示UP完整性应该被打开,则:
SeNB应该从所接收的S-KeNB导出密钥KUPint,并且将KUPint用于被添加的所有无线电承载。
在任意时刻,相同的KUPint被用于SeNB和UE之间的所有无线电承载的完整性保护。
一旦从S-KeNB导出了KUPenc和KUPint,SeNB和UE就可以删除S-KeNB
MeNB应该在添加UE中的一个或多个无线电承载的SeNB添加过程中,向UE提供导出S-KeNB中使用的SCG计数器的值。UE应该按照TS 33.401第E.2.4款中描述的导出S-KeNB和KUPenc。如果MeNB已向UE指示UP完整性应该被打开,则UE也应该导出KUPint
当执行用于向相同的SeNB添加后续的无线电承载的过程时,MeNB应该针对每个新的无线电承载来分配自从上一次S-KeNB变化之后事先没有被使用的无线电承载标识。
如果MeNB由于无线电承载标识空间耗尽而不能为SeNB中的新无线电承载分配未使用的无线电承载标识,则MeNB应该递增SCG计数器并计算新的S-KeNB,且随后应该执行SeNB修改过程以更新S-KeNB。即使是在可能能够分配新的无线电承载标识时,MeNB也可以选择更新S-KeNB而不是分配新的无线电承载标识。
如果在SeNB修改过程期间,SeNB从MeNB接收到新的S-KeNB,则SeNB应该使用从新的S-KeNB导出的KUPenc作为用于所有的无线电承载的加密密钥。
如果在SeNB添加/修改过程中,UE接收到新的SCG计数器,则UE应该使用从新的S-KeNB导出的KUPenc,作为用于已与SeNB建立的所有无线电承载的加密密钥。
当SeNB上的最后一个无线电承载被释放时,执行SeNB释放过程;SeNB和UE应该删除KUPenc。如果之前没有删除S-KeNB,则SeNB和UE也应该删除S-KeNB
加密/解密的启动
利用加密/解密的启动的DRB卸载过程遵循下文概述的和在图24中示出的步骤。
1、UE和MeNB建立RRC连接。
2、MeNB决定针对SeNB卸载DRB。MeNB通过X2-C(5G中的Xn-C)向SeNB发送用于SCG添加的请求消息,以协商SeNB上可用的资源、配置、UP完整性是否应该被打开的指示以及算法。MeNB根据需要计算并向SeNB传送S-KeNB。如果UP完整性应该被打开,则UE EPS安全能力或UE 5GS安全能力、以及信令无线电承载上使用的加密算法和数据无线电承载上使用的完整性算法也应该被发送至SeNB。
应理解的是,步骤2中的UP完整性保护指示在图24中未被示出。步骤2中的UE 5GS安全能力在图24中也未被示出。
3、SeNB分配需要的资源并挑选如下加密算法:该算法在其所配置的列表中具有最高优先级,且同时存在于UE EPS安全能力中。如果UP完整性应该被打开,则SeNB还挑选在其所配置的列表中具有最高优先级的完整性算法。
4、SeNB向MeNB发送用于SCG添加许可的消息,来指示所请求资源的可用性以及用于所选择算法的标识符(如果其与2中由MeNB选择的不同),以提供(serve)针对UE的所请求的DRB。
如果SeNB从MeNB接收的指示是将启用UP完整性保护的指示,则SeNB可以以该指示对MeNB进行响应。如果SeNB不支持UP数据的完整性保护,且来自MeNB的指示指示UP完整性应该被使用,则SeNB可以通过以错误码进行响应来拒绝来自MeNB的用于设置承载的请求,或接受请求但不发送其将启用UP完整性保护的指示(例如,在传统的基站的情况下)。为SeNB配置的策略可以确定合适的动作。从SeNB接收UP完整性保护将被启用的指示失败可以被MeNB解释为:意味着UP完整性保护将不被启用。如果SeNB接受请求但是不发送其将启用UP完整性保护的指示(例如,在传统的基站的情况下),则在MeNB中配置的策略可以确定MeNB应该继续该过程还是终止与SeNB的连接。
应了解的是,图24的步骤4中未示出,如果SeNB启用了UP完整性保护,则在步骤4中发送所选择的加密算法和完整性算法。如果SeNB不支持UP数据的完整性保护且来自MeNB的指示指示UP完整性应该被使用,则SeNB可以拒绝请求并以错误码向MeNB进行响应。该步骤在图24中未被示出。
5、MeNB向UE发送RRC连接重配置请求,指示其针对SeNB配置新DRB。MeNB可以包括UP完整性是否应该被打开的指示。MeNB应包括SCG计数器参数,以指示UE应该计算用于SeNB的S-KeNB和KUPenc、以及可选择地与所分配的承载相关联的KUPint。MeNB向UE转发UE配置参数(其可以包含在步骤4中从SeNB接收的算法标识符)。(参见TS 33.401第E.2.4.3节获取另外的细节)。
因为消息是通过RRC连接在MeNB和UE之间发送的,使用MeNB的KRRCint对其进行了完整性保护。因此SCC不能被篡改,且UE能够假设SCC是新的。
6、UE接受RRC连接重配置命令并且应该计算用于SeNB的S-KeNB。UE也应该计算用于相关联的SeNB上分配的DRB的KUPenc和可选择地KUPint(如果MeNB已包括UP完整性应该被打开的指示)。UE向MeNB发送RRC重配置完成。一旦S-KeNB和KUPenc被导出,UE就启动加密/解密。一旦KUPint被导出,UE就启动完整性保护/完整性检查。
7、MeNB通过4G中的X2-C(5G中的Xn-C)向SeNB发送针对SCG添加的完成消息,以通知SeNB配置结果。当接收到该消息时,SeNB可以激活与UE的UP数据的加密/解密和完整性保护/完整性检查(仅当UP完整性应该被使用时)。如果SeNB在该阶段不激活与UE的加密/解密和完整性保护/完整性检查,则SeNB应该在从UE接收到随机接入请求之后激活加密/解密和完整性保护/完整性检查。
安全算法的协商
如在图24上所示,当在SeNB建立用于UE的一个或多个DRB时,MeNB应该在用于SCGSeNB添加/修改的X2(4G)(Xn(5G))请求消息中向SeNB转发与UE关联的UE EPS安全能力/UE5GS安全能力、MeNB为UE选择的针对SRB的AS加密算法的标识符和用于AS完整性算法的标识符。
在接收到该消息之后,SeNB应该识别也存在于所接收的UE EPS安全能力中的、在本地配置的AS加密算法的优先级列表中具有最高优先级的AS加密算法。如果如此识别的AS加密算法与在用于SCG添加/修改的所接收的X2请求消息中指示的一个算法不同,则SeNB应在用于SCG添加/修改的X2响应消息中包括用于本地所识别的AS加密算法的指示符。
在接收到该消息之后,如果MeNB已经指示UP完整性应该被使用,则SeNB应该识别也存在于所接收的UE EPS安全能力中的、在本地配置的AS完整性算法的优先级列表中具有最高优先级的AS完整性算法。如果如此识别的AS完整性算法与在用于SCG添加/修改的所接收的X2(或Xn)请求消息中指示的一个算法不同,则SeNB应在用于SCG添加/修改的X2(或Xn)响应消息中包括用于本地所识别的AS完整性算法的指示符,并且还包括UP完整性应该被使用(即,IPUP模式被启用)的指示。
MeNB应该在RRC连接重配置(RRCConnectionReconfiguration)过程期间向UE转发该指示,所述过程在UE中建立SCG DRB。如果在该RRCConnectionReconfiguration过程中UE没有接收到任何AS加密算法指示,则UE应该针对SCG DRB使用其针对SRB使用的相同的AS加密算法。否则,UE应该使用针对SCG DRB的所指示的加密算法。
UE针对与MeNB建立的SRB和任何可能的DRB的加密使用一个加密算法,并且针对与SeNB建立的DRB的加密使用相同或不同的加密算法。
如果MeNB已经指示UP完整性应该被使用,且如果UE接收到UP完整性应该被使用的指示(IPUP模式将被启用)并且
如果在该RRCConnectionReconfiguration过程中UE没有接收到任何AS完整性算法指示,则UE应该对SCG DRB使用与其对SRB使用的相同的AS完整性算法。否则,UE应该针对SCG DRB使用所指示的完整性算法。
UE针对与MeNB建立的SRB和任何可能的DRB的完整性保护使用一个完整性算法,并且针对与SeNB建立的DRB的完整性保护使用相同或不同的完整性算法。
S-KeNB更新
S-KeNB更新触发器
系统支持S-KeNB的更新。MeNB可以出于任何理由,通过使用TS 33.401的第E.2.5.2款中定义的S-KeNB更新过程来更新S-KeNB。当上行链路或下行链路PDCP计数针对DRB中的任意一个打算重新开始(wrap around)时,SeNB应该请求MeNB通过X2-C更新S-KeNB
如果MeNB在AS安全性上下文中对其当前有效的KeNB进行了密钥更新,则MeNB应该更新与该AS安全性上下文关联的任何S-KeNB。这保留了用于X2切换的两跳(two-hop)安全属性。
S-KeNB更新过程
如果MeNB从SeNB接收到针对S-KeNB更新的请求或者自己决定执行S-KeNB更新(参见TS 33.401第E.2.5.1款),则MeNB应该按照TS 33.401第E.2.4款中定义的来计算新的S-KeNB并递增SCG计数器。随后MeNB应该执行SeNB修改过程,以向SeNB传送新的S-KeNB。MeNB应该在被完整性保护的RRC过程中向UE提供在导出S-KeNB中使用的SCG计数器的值。UE应该按照TS33.401第E.2.4款中描述的导出S-KeNB和KUPenc。如果MeNB已经指示UP完整性应该被使用,则UE也应该导出KUPint
当UE或SeNB开始使用新的S-KeNB时,它们应该根据新的S-KeNB重新计算KUPenc。如果UP完整性应该被使用,则它们也应该根据新的S-KeNB重新计算KUPint
RAN决定是否将使用UP完整性
应了解的是,在下文概述的且由斜体文字表示的新改进适用于5G和4G(EPC/LTE)二者。
除了上文概述的那些选项之外,在RAN中启用和禁用UP完整性时还存在以下选项:
RAN可以决定使用UP完整性还是不使用UP完整性,而无需被核心NW告知是否使用UP完整性。
在作为注册过程/附着过程/路由区域更新过程的NAS信令中的正常的UE安全能力交换期间,UE可以在UE 5G安全能力/UE EPS安全能力中通知AMF/MME:其支持例如用于UP的完整性算法EIA0、EIA 1和EIA2。(该过程将适用于图21中的步骤1。)
AMF/MME可以在S1AP-UE-初始-上下文-建立(S1AP-UE-INITIAL-CONTEXT-SETUP)消息中向eNB发送UE安全能力。(该过程将适用于图22中的步骤4。)
eNB可以具有关于针对支持UP完整性的UE是否将激活UP完整性的本地策略。RAN中配置的策略可以根据切片的类型或根据切片标识符来进行,但是无需如此。MME/AMF可以通知eNB:UE连接至哪个切片类型或哪个切片标识符,且随后eNB也可以考虑该信息。
AMF/MME可以在S1AP-UE-INITIAL-CONTEXT-SETUP消息中向eNB给出用于UP的完整性保护的最大数据速率的UE能力。(这将适用于图23中的步骤4。)
UE中的可见性和可配置性
UE使用或不使用UP完整性的偏好
UE可能能够检测具有次等安全性的网络且应用用户配置的如何反应的策略(例如,只连接至提供用于UP的完整性保护的网络)。这对于用于订户信任运营商的IoT设备的安全是有利的,但是需要比当今的网络提供商更强的安全性。
UE的用户可以在UE GUI(用户界面)中动态地配置和改变是否将使用UP完整性的UE的偏好。可能能够根据切片类型、根据特定的切片、根据小区、根据区域等配置是否将使用UP完整性的UE的偏好。
对于没有GUI(用户界面)的IoT设备,UE的偏好可以在USIM上或在ME中被预先配置。
当注册过程完成时,UE可以向用户指示:UP完整性已经被网络启用还是禁用。该指示可以根据切片的类型、根据特定的切片、根据小区、根据区域等进行。
用户可以在电话GUI中配置是否(例如,在切换时)自动地接受经非完整性保护的UP业务而无需询问该用户的策略。
在切换至新的eNB之后,可以向用户通知该新的eNB不支持完整性保护且可以询问用户是否继续与网络的连接。
在优选的PLMN或小区不使用UP完整性保护的情况下,用户可以配置将挑选的其它的PLMN或小区。
另一种选项可以是,在USIM上或在ME中设置能够包含支持UP完整性保护的PLMN或小区的新列表。该列表可以由归属PLMN的运营商通过空中下载方式(over-the-air)向UE提供和配置。归属PLMN知道归属PLMN与哪些运营商具有漫游协议且知道哪些运营商支持UP完整性保护。
可以将UE配置为:在eNB或小区没有启动完整性保护的情况下,尝试重新连接至相同的PLMN的不同eNB或小区,以希望其它的eNB或小区利用UP完整性算法被更新且支持UP完整性保护。
又一个选项是,UE或UE中的应用向运营商的核心网或第三方网络中的功能或应用传送UP完整性保护的状态。
如上文所讨论的,上文概述的本公开的方面和示例适用于5G(下一代系统)、EPC/LTE、以及其它的网络。上文概述的本公开的方面和示例适用于包括智能电话、IoT设备、可穿戴设备等所有类型的UE。在下文中说明了可以由上文讨论的方法和过程提供的功能的不同方面的总结:
在网络中如何处理应用完整性保护的策略,例如,归属网络如何影响策略、AMF/MME或gNB/eNB如何决定是否应用完整性:
UE向核心网AMF/MME指示对UP完整性的支持或其它。UE还可以向核心网AMF/MME指示其使用或不使用UP完整性的偏好。归属网络(SDM/HSS)可以向服务网络指示UP完整性“应该”或“禁止”被打开。基于从归属网络接收的指示和为被访问网络(AMF/MME)配置的策略,被访问网络做出关于UP完整性是否将被应用于UE的策略决定。基于策略判决,核心网在NAS层中向UE指示是否将使用UP完整性。核心网(AMF/MME)通知基站或RAN:是否将使用UP数据的完整性保护。
上文提到的策略和偏好中的任何一项可以根据UE(即,用于所有的用户平面数据)或根据(用于UE的)切片类型或根据(用于UE的)切片标识来进行。例如,UE可以指示针对所有数据、或根据切片类型或切片标识来使用UP完整性的偏好。归属网络可以指示针对所有数据、或根据切片类型或切片标识使用UP完整性的偏好,并且AMF/MME可以根据UE(用于所有的UP数据)或根据切片类型或切片标识做出策略决定。
如果UE没有得到其想要的保护级别(包括HSS中存储的或经协商的偏好),UE如何反应:
可以在SDM/HSS中和在UE中存储用于在UP上使用完整性保护的订户的初始的或缺省的偏好。服务网络中的AMF/MME可以从SDM/HSS获得所述偏好。AMF/MME可以向gNB/eNB通知UE的所述偏好。gNB/eNB则可以基于UE的所述偏好和可能的其它信息,决定是否将使用UP完整性保护。
如果UE想要改变上文提到的初始的或缺省的偏好,则UE可以向网络(例如,gNB/eNB或AMF/MME)发送其当前的偏好。网络可以决定是否利用UE当前的偏好来替换初始的或缺省的偏好。
在上文提到的情况中的任意一种情况(即,初始的或缺省的偏好、或者当前的偏好)下,如果UE没有获得期望的UP完整性保护,则UE可以采取响应动作。响应动作可以是:继续不采用UP完整性保护、或连接至另一个gNB/eNB/小区、或避免使用某个应用、或通知运营商的/第三方的网络中的某个功能/应用。
在X2切换和Xn切换时在基站中如何处理应用完整性保护UP的策略:
在两个基站之间的X2切换或Xn切换中,源基站可能需要通知目标基站是否启用UP数据的完整性保护。该指示或引用可以在Xn接口或X2接口上从源节点向目标节点发送。
如果从源基站接收的指示是将启用UP完整性保护的指示,则目标基站可以以该指示向源基站进行响应。如果目标基站不支持UP数据的完整性保护且来自源基站的指示指示UP完整性应该被使用,则目标基站可以通过利用错误码进行响应来拒绝切换,或接受切换但是不发送其将启用UP完整性保护的指示(例如,在传统的基站的情况下)。针对目标节点配置的策略可以确定合适的动作。如果目标基站接受请求但是不发送其将启用UP完整性保护的指示(例如,在传统的基站的情况下),则源基站中配置的策略可以确定源基站应该继续该过程还是终止与目标基站的连接。
在双连接时在基站中如何处理应用完整性保护UP的策略:
在两个基站之间的双连接中,主基站可以通知辅基站是否启用UP数据的完整性保护。该指示或偏好可以在Xn接口或X2接口上从主基站发送到辅基站。如果从主基站接收的指示是将启用UP完整性保护的指示,则辅基站可以以该指示向主基站进行响应。如果辅基站不支持UP数据的完整性保护,且来自主基站的指示指示UP完整性应该被使用,则辅基站可以通过利用错误码进行响应来拒绝来自主基站的设置承载的请求,或接受请求但不发送其将启用UP完整性保护的指示(例如,在传统的基站的情况下)。针对辅基站配置的策略可以确定合适的动作。如果辅基站接受请求但是不发送其将启用UP完整性保护的指示,则主基站中配置的策略可以确定主基站应该继续该过程还是终止与辅基站的连接。
在UE中如何确定使用或不使用UP完整性保护的UE偏好,以及如何使用户知道在网络中已经启用还是禁用了UP完整性保护:
UE的用户可以在UE GUI(用户界面)中动态地配置和改变是否使用UP完整性的UE的偏好。可能能够根据切片类型、根据特定的切片、根据小区、根据区域等配置是否将使用UP完整性的UE的偏好。当注册过程完成时,UE可以向用户指示UP完整性已经被网络启用还是禁用。该指示可以根据切片的类型、根据特定的切片、根据小区、根据区域等进行。
对于没有GUI(用户界面)的IoT设备,UE的偏好可以在USIM上或在ME中被预先配置。
在完整性保护在设备(例如,IoT设备)中被禁用的情况下,可以通过UE或通过网络向另一个设备发送通知。例如,经由SMS、即时消息传送、电子邮件。
设备配置可以无需由设备自身执行。设备配置可以被远程执行(例如,由运营商或服务提供商发起的通过使用例如SMS或电子邮件的OMA DM)。
UE如何发现支持UP完整性保护的PLMN:
UE可能能够检测安全性不足的网络并且可以应用用户配置的如何反应的策略(例如,仅连接至对UP提供完整性保护的网络)。这对于用于订户信任运营商的IoT设备的安全是有利的,但是需要比当今的网络提供商更强的安全性。在优选的PLMN不使用UP完整性保护的情况下,可以由用户或UE配置要挑选的其它的PLMN。
另一种选项可以是,在USIM上或在ME中设置能够包含支持UP完整性保护的PLMN的新的列表。该列表可以由归属PLMN的运营商通过空中下载方式(over-the-air)向UE提供和配置。归属PLMN知道归属PLMN与哪些运营商具有漫游协议且知道哪些运营商支持UP完整性保护。
在另外的选项中,基站可以在其各自的小区之内将基站是否支持UP完整性保护作为系统信息的一部分进行广播。
如果UE经历向不支持UP完整性的gNB或eNB进行切换,UE如何动作:
用户可以在UE GUI中配置是否(例如,在切换时)自动地接受经非完整性保护的UP业务而无需询问该用户的策略。也可以在切换至新的gNB或eNB之后通知用户该新的gNB或eNB不支持完整性保护,且可以询问用户是否继续与网络连接。可以将UE配置为:在gNB或eNB没有启动完整性保护的情况下,尝试连接至同一PLMN的不同gNB或eNB,以希望其它的gNB或eNB利用UP完整性算法被更新且支持UP完整性保护。
在完整性保护在设备(例如,IoT设备)中被禁用的情况下,可以通过UE或通过网络向另一个设备发送通知。例如,经由SMS、即时消息传送、电子邮件等。
gNB/eNB如何决定是否应用和使用UP完整性:
核心网(AMF/MME)可以通知基站或RAN是否使用UP数据的完整性保护。该指示或引用可以在核心网与基站(RAN)之间的5G中的NG2接口和4G中的S1接口上发送。UE 5GS安全能力可以在NG2接口上与该指示或引用一起被发送。gNB或eNB具有(基于UE 5GS安全能力)是否为支持UP完整性的UE激活UP完整性的本地策略,也是可能的情况。
本公开的方面和示例因此可以使UE、归属网络、以及被访问网络能够以安全的方式指示和协商UP完整性的使用。
可以由核心网通知基站:基站是否应该启用UP数据的完整性保护。另一个选项可以是,RAN可以决定使用UP完整性还是不使用UP完整性,而无需被核心NW告知是否使用UP完整性。
在两个基站之间的Xn切换或X2切换中,可以由源基站通知目标基站是否启用UP数据的完整性保护。目标基站可以实现被切换的UE的UP完整性。
在两个基站之间的双连接中,主基站可以通知辅基站是否启用UP数据的完整性保护。该指示或引用可以在Xn接口或X2接口上从主基站发送到辅基站。辅基站可以实现针对从主基站卸载的承载的UP完整性。
有利的是,UE的用户可以在UE GUI(用户界面)中动态地配置和改变关于是否要使用UP完整性的UE的偏好。可以针对所有的数据、或根据切片类型或根据切片标识符配置是否要使用UP完整性的UE的偏好。
当注册过程完成时,UE可以向用户指示:UP完整性已经被网络启用还是禁用。该指示可以针对所有数据、或根据切片的类型或切片标识符来进行。
UE可能能够检测具有次等安全性的网络且应用用户配置的如何反应的策略(例如,只连接至提供用于UP的完整性保护的网络)。这对于用于订户信任运营商的IoT设备的安全是有利的,但是需要比当今的网络提供商更强的安全性。
用户可以在电话GUI中配置是否(例如,在切换时)自动地接受经非完整性保护的UP业务而无需询问该用户的策略。
在优选的PLMN不使用UP完整性保护的情况下,用户可以配置要挑选的其它的PLMN。
在优选的PLMN不使用UP完整性保护的情况下,归属运营商可以配置要挑选的其它的PLMN。可以由归属PLMN的运营商通过空中下载方式向UE提供和配置列表。
还可以在切换至新的gNB或eNB之后向用户通知该新的gNB或eNB不支持完整性保护,且可以询问用户是否继续与网络连接。
可以将UE配置为:在gNB或eNB没有启动完整性保护的情况下,尝试连接至同一PLMN的不同gNB或eNB,以希望其它的gNB或eNB利用UP完整性算法被更新且支持UP完整性保护。
gNB或eNB可以具有(基于UE 5GS安全能力)对支持UP完整性的UE是否启动UP完整性的本地策略。
本公开的方法可以以硬件来实现,或者作为在一个或多个处理器上运行的软件模块来实现。该方法还可以根据计算机程序的指令来执行,并且本公开还提供了一种计算机可读介质,该计算机可读介质上存储有用于执行本文描述的任一方法的程序。体现本公开的计算机程序可以存储在计算机可读介质上,或者它可以例如具有信号(例如从互联网网站提供的可下载数据信号)的形式,或者它可以具有任何其它形式。
应当注意,上述示例说明而非限制本公开,并且本领域技术人员将能够设计很多备选实施例而不脱离所附权利要求的范围。词语“包括”不排除存在除了权利要求中所列出的元素或步骤之外的元素或步骤,“一”或“一个”不排除多个,并且单个处理器或其它单元可以完成权利要求中记载的若干单元的功能。权利要求中的任何附图标记不应理解为对其范围的限制。
以下是进一步示出所公开的主题的各个方面的某些列举的实施例。
1、一种用于操作用户设备UE的方法,所述UE被配置为连接至通信网络,所述方法包括:
当请求向所述通信网络注册时,向所述通信网络指示所述UE支持的、针对用户平面的完整性保护IPUP模式;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
2、根据项目1所述的方法,还包括:
向所述通信网络指示关于所述通信网络将对所述UE使用的IPUP模式的UE偏好。
3、根据项目2所述的方法,其中,所指示的UE偏好应用于以下中的至少一项:
与所述通信网络交换的所有数据;或者
与所述通信网络的一个特定切片或多个切片交换的数据。
4、根据前述项目中的任一项目所述的方法,还包括:
从所述通信网络接收将由所述通信网络对所述UE使用的IPUP模式的指示。
5、根据项目4所述的方法,其中,该指示应用于以下中的至少一项:
与所述通信网络交换的所有数据;或者
与所述通信网络的一个特定切片或多个切片交换的数据。
6、根据项目4或项目5所述的方法,还包括:
向所述UE的用户通知由所述通信网络将对所述UE使用的IPUP模式。
7、根据项目4至项目6中的任一项目所述的方法,还包括:
如果由所述通信网络指示的IPUP模式与关于所述通信网络对所述UE应该使用哪种IPUP模式的UE偏好不匹配,则执行以下中的至少一项:
拒绝连接至网络;
从网络断开;
向所述UE的用户通知由所述通信网络指示的IPUP模式与关于所述通信网络对所述UE应该使用哪种IPUP模式的UE偏好不匹配。
8、根据项目7所述的方法,还包括:
如果所述UE执行拒绝连接至网络或从网络断开中的至少一项,则执行以下中的至少一项:
经由所述通信网络的不同无线电接入节点请求向所述通信网络注册;或者
请求向不同的通信网络注册。
9、根据项目8所述的方法,还包括:
查询列表,所述列表包括支持针对用户平面数据的完整性保护的无线电接入节点或通信网络中的至少一项;以及
从所述列表选择用于请求注册的所述通信网络的无线电接入节点或不同通信网络中的至少一项。
10、根据项目9所述的方法,其中,所述列表是在所述UE的存储器中配置的。
11、根据项目9所述的方法,其中,所述列表是通过无线电链路接收的。
12、根据前述项目中的任一项目所述的方法,还包括:
在从源无线电接入节点向目标无线电接入节点切换所述UE的过程期间,从所述通信网络的所述目标无线电接入节点接收消息,所述消息包括如下指示:所述目标无线电接入节点将对所述UE使用与所述源无线电接入节点使用的IPUP模式不同的IPUP模式。
13、根据项目12所述的方法,还包括:
如果来自所述目标无线电接入节点的指示是:所述通信网络经由所述目标无线电接入节点将使用的IPUP模式与关于所述通信网络对所述UE应该使用哪种IPUP模式的UE偏好不匹配,则执行以下中的至少一项:
从所述网络断开;
接受切换,并向所述UE的用户通知所述通信网络经由所述目标无线电接入节点将使用的IPUP模式;或者
寻求切换到所述通信网络的不同无线电接入节点。
14、根据前述项目中的任一项目所述的方法,还包括,
在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改或数据无线电承载卸载的过程期间,从所述通信网络的无线电接入节点接收由所述通信网络将对所述UE使用的IPUP模式的指示;以及
如果所指示的IPUP模式涉及对用户平面数据使用完整性保护,则导出并使用针对用户平面数据的完整性保护的密钥。
15、根据项目14所述的方法,其中,由通信网络将对UE使用的IPUP模式的指示是利用RRC重配置请求接收的。
16、一种用于操作通信网络的无线电接入节点的方法,所述方法包括:
从请求向所述通信网络注册的用户设备UE接收所述UE支持的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护;
并且其中,所述指示是经由所述通信网络从所述UE接收的。
17、根据项目16所述的方法,还包括:
从所述UE接收关于由所述通信网络将对所述UE使用的IPUP模式的UE偏好。
18、根据项目17所述的方法,其中,所指示的UE偏好应用于以下中的至少一项:
与所述通信网络交换的所有数据;或者
与所述通信网络的一个特定切片或多个切片交换的数据。
19、根据项目16至项目18中的任一项目所述的方法,还包括:
从所述通信网络的核心节点接收由所述通信网络将对所述UE使用的IPUP模式的指示。
20、根据项目19所述的方法,还包括:
如果所述无线电接入节点支持所指示的IPUP模式,则向所述核心节点发送如下指示:所述无线电接入节点将启用由所述通信网络将对所述UE使用的IPUP模式。
21、根据项目19或项目20所述的方法,还包括:
如果从所述通信网络的核心节点接收的所指示的IPUP模式不被所述无线电接入节点支持,则执行以下中的至少一项:
拒绝从所述UE接收的用于注册的请求;或者
省略向所述核心节点发送如下指示:所述无线电接入节点将启用由所述通信网络将对所述UE使用的IPUP模式。
22、根据项目16至项目21中的任一项目所述的方法,还包括:
向所述UE发送由所述通信网络将对所述UE使用的IPUP模式的指示。
23、根据项目22所述的方法,其中,如果由通信网络将对UE使用的IPUP模式涉及对用户平面数据使用完整性保护,则由通信网络将对UE使用的IPUP模式的指示包括用于UP数据的完整性保护的算法的标识符。
24、根据项目22或项目23在从属于项目19时的方法,其中,由无线电接入节点对UE指示的IPUP模式是从通信网络的核心节点接收的IPUP模式。
25、根据项目22或项目23所述的方法,其中,对所述UE指示的IPUP模式是由所述无线电接入节点根据所述无线电接入节点上容留的策略选择的。
26、一种用于操作通信网络的无线电接入节点的方法,所述无线电接入节点包括源无线电接入节点,所述方法包括:
在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
27、根据项目26所述的方法,还包括:
检查是否接收到来自目标无线电接入节点的如下指示:目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
28、根据项目27所述的方法,还包括:
如果没有接收到目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式的指示,则假设目标无线电接入节点将不启用由通信网络将对UE使用的IPUP模式。
29、一种用于操作通信网络的无线电接入节点的方法,所述无线电接入节点包括目标无线电接入节点,所述方法包括:
在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
30、根据项目29所述的方法,其中,由通信网络将对UE使用的IPUP模式的指示是从以下中的至少一项接收的:
所述源无线电接入节点;或者
通信网络的核心节点。
31、根据项目29或项目30所述的方法,还包括:
决定是否使用所指示的IPUP模式;以及
如果决定不使用所指示的IPUP模式,则向UE发送如下指示:目标无线电接入节点将对UE使用与由源无线电接入节点使用的IPUP模式不同的IPUP模式。
32、根据项目29至项目31中的任一项目所述的方法,其中,由通信网络将对UE使用的IPUP模式的指示是从所述源无线电接入节点接收的,该方法还包括:
向通信网络的核心节点发送从源无线电接入节点接收的IPUP模式的指示。
33、根据项目29至项目32中的任一项目所述的方法,还包括:
如果目标无线电接入节点支持所指示的IPUP模式,则向源无线电接入节点或通信网络的核心节点中的至少一项发送如下指示:所述目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
34、根据项目29至项目33中的任一项目所述的方法,还包括:
如果所述目标无线电接入节点不支持所接收的所指示的IPUP模式,则执行以下中的一项:
拒绝UE的切换;或者
接受UE的切换并省略发送如下指示:所述目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
35、一种用于操作通信网络的无线电接入节点的方法,所述无线电接入节点包括主无线电接入节点,所述方法包括:
向辅无线电接入节点发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护,
并且其中,该指示在用于以下至少一项的过程期间被发送至辅无线电接入节点:
辅无线电接入节点添加;
需要密钥更新的辅无线电接入节点修改;
数据无线电承载DRB卸载。
36、根据项目35所述的方法,其中,如果向辅无线电接入节点指示的IPUP模式涉及对用户平面数据使用完整性保护,则由通信网络将对UE使用的IPUP模式的指示包括所支持的用于UP数据的完整性保护的算法列表。
37、根据项目35或项目36所述的方法,还包括:
检查是否接收到来自辅无线电接入节点的如下指示:所述辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
38、根据项目37所述的方法,还包括:
如果没有接收到辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式的指示,则假设辅无线电接入节点将不启用由通信网络将对UE使用的IPUP模式。
39、根据项目35至项目38中的任一项目所述的方法,还包括,如果由通信网络将对UE使用的IPUP模式的指示在DRB卸载过程期间被发送至所述辅无线电接入节点:
则向UE发送RRC重配置请求,所述请求包括由通信网络将对UE使用的IPUP模式的指示。
40、根据项目39所述的方法,其中,所述RRC重配置请求包括将被用于UP完整性保护的所选择的完整性算法标识符。
41、一种用于操作通信网络的无线电接入节点的方法,所述无线电接入节点包括辅无线电接入节点,所述方法包括:
从主无线电接入节点接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护,
并且其中,所述指示是在用于以下至少一项的过程期间从主无线电接入节点接收的:
辅无线电接入节点添加;
需要密钥更新的辅无线电接入节点修改;
数据无线电承载DRB卸载。
42、根据项目41所述的方法,其中,如果由主无线电接入节点指示的IPUP模式涉及对用户平面数据使用完整性保护,则由通信网络将对UE使用的IPUP模式的指示包括将被用于UP完整性保护的完整性算法的标识符。
43、根据项目41或项目42所述的方法,还包括:
如果辅无线电接入节点支持所指示的IPUP模式,则向主无线电接入节点发送如下指示:所述辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
44、根据项目41至项目43中的任一项目所述的方法,还包括:
如果所述辅无线电接入节点不支持所接收的所指示的IPUP模式,则执行以下中的至少一项:
拒绝来自主无线电接入节点的所请求的过程;或者
接受来自主无线电接入节点的所请求的过程,并省略向主无线电接入节点发送如下指示:所述辅无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
45、根据项目41至项目44中的任一项目所述的方法,还包括:
如果由通信网络将对UE使用的IPUP模式的指示是在用于辅无线电接入节点添加、或需要密钥更新的辅无线电接入节点修改的过程期间从主无线电接入节点接收的,并且如果由主无线电接入节点指示的IPUP模式涉及对用户平面数据使用完整性保护,则导出并使用用于与UE交换的用户平面数据的完整性保护的密钥。
46、一种用于操作通信网络中的核心节点的方法,所述方法包括:
向所述通信网络的无线电接入节点发送由所述通信网络将对请求向所述通信网络注册的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
47、根据项目46所述的方法,还包括:
检查是否接收到来自所述通信网络的所述无线电接入节点的如下指示:所述通信网络的无线电接入节点将启用向所述通信网络的所述无线电接入节点指示的IPUP模式。
48、根据项目47所述的方法,还包括:
如果没有接收到所述无线电接入节点将启用向所述无线电接入节点指示的IPUP模式的指示,则假设所述无线电接入节点将不启用由所述通信网络将对所述UE使用的IPUP模式。
49、根据项目46至项目48中的任一项目所述的方法,其中,核心网络节点是用于UE的新核心网络节点,该方法还包括:
向所述UE的旧核心网发送与所述UE有关的信息请求;以及
从旧核心网络节点接收由所述通信网络将对所述UE使用的IPUP模式的指示。
50、根据项目49所述的方法,还包括:
在更新位置过程期间,从与所述UE对应的订阅管理节点接收由所述通信网络将对所述UE使用的IPUP模式的指示。
51、根据项目49或项目50所述的方法,还包括:
决定由所述通信网络将对所述UE使用的IPUP模式。
52、根据项目51所述的方法,还包括:
如果由所述核心网络节点决定的IPUP模式与由所述UE传达的、对由所述通信网络将对所述UE使用的IPUP模式的偏好不匹配,则执行以下中的一项:
拒绝来自所述UE的将向所述通信网络注册的请求;或者
接受来自所述UE的将向所述通信网络注册的请求,并向所述UE通知由所述核心网络节点决定的IPUP。
53、根据项目51或52所述的方法,其中,所决定的IPUP模式应用于以下中的至少一项:
在所述UE和所述通信网络之间交换的所有数据;或者
在所述UE和所述通信网络的一个特定切片或多个切片之间交换的数据。
54、根据项目51至项目53中的任一项目所述的方法,还包括:
向所述UE指示所决定的由所述通信网络将对所述UE使用的IPUP模式。
55、一种用于操作通信网络中的核心节点的方法,核心网络节点包括用于请求向所述通信网络注册的用户设备UE的旧核心网络节点,所述方法包括:
从用于所述UE的新核心网接收与所述UE有关的信息请求;以及
向新核心网络节点发送由所述通信网络将对所述UE使用的、针对用户平面的完整性保护IPUP模式的指示,其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
56、根据项目55所述的方法,其中,所指示的IPUP模式应用于以下中的至少一项:
在所述UE和所述通信网络之间交换的所有数据;或者
在所述UE和所述通信网络的一个特定切片或多个切片之间交换的数据。
57、一种用于操作通信网络中的核心节点的方法,所述方法包括:
从目标无线电接入节点接收由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示;
验证由目标无线电接入节点指示的IPUP模式是否与由核心网络节点存储的用于UE的IPUP模式相同;以及
如果所指示的IPUP模式和所存储的IPUP模式之间不匹配,则执行以下中的至少一项:
将不匹配记录为事件;或者
触发告警;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
58、一种用于操作通信网络中的核心节点的方法,所述方法包括:
向目标无线电接入节点发送由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
59、根据项目56所述的方法,还包括:
检查是否接收到来自目标无线电接入节点的如下指示:所述目标无线电接入节点将启用由通信网络将对UE使用的IPUP模式。
60、一种包括指令的计算机程序,当所述指令在至少一个处理器上执行时,使所述至少一个处理器执行根据前述项目中的任一项目所述的方法。
61、一种包含有根据项目60所述的计算机程序的载体,其中,所述载体包括电信号、光信号、无线电信号或计算机可读存储介质中的一种。
62、一种计算机程序产品,包括非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有根据项目60所述的计算机程序。
63、一种用于操作用户设备UE的装置,该UE被配置为连接至通信网络,所述装置包括处理器和存储器,所述存储器包含有指令,所述指令可由所述处理器执行,使所述装置可操作地:
当请求向所述通信网络注册时,向所述通信网络指示所述UE支持的、针对用户平面的完整性保护IPUP模式;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
64、一种用于操作通信网络的无线电接入节点的装置,所述装置包括处理器和存储器,所述存储器包含有指令,所述指令可由所述处理器执行,使所述装置可操作地:
从请求向所述通信网络注册的用户设备UE接收所述UE支持的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护;
并且其中,所述指示是经由所述通信网络从所述UE接收的。
65、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括源无线电接入节点,所述装置包括处理器和存储器,所述存储器包含有指令,所述指令可由所述处理器执行,使所述装置可操作地:
在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
66、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括目标无线电接入节点,所述装置包括处理器和存储器,所述存储器包含有指令,所述指令可由所述处理器执行,使所述装置可操作地:
在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
67、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括主无线电接入节点,所述装置包括处理器和存储器,所述存储器包含有指令,所述指令可由所述处理器执行,使所述装置可操作地:
向辅无线电接入节点发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护,
并且其中,该指示在用于以下至少一项的过程期间被发送至辅无线电接入节点:
辅无线电接入节点添加;
需要密钥更新的辅无线电接入节点修改;
数据无线电承载DRB卸载。
68、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括辅无线电接入节点,所述装置包括处理器和存储器,所述存储器包含有指令,所述指令可由所述处理器执行,使所述装置可操作地:
从主无线电接入节点接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护,
并且其中,所述指示是在用于以下至少一项的过程期间从主无线电接入节点接收的:
辅无线电接入节点添加;
需要密钥更新的辅无线电接入节点修改;
数据无线电承载DRB卸载。
69、一种用于操作通信网络中的核心节点的装置,所述装置包括处理器和存储器,所述存储器包含有指令,所述指令可由所述处理器执行,使所述装置可操作地:
向所述通信网络的无线电接入节点发送由所述通信网络将对请求向所述通信网络注册的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
70、一种用于操作通信网络中的核心节点的装置,所述核心网络节点包括用于请求向通信网络注册的用户设备UE的旧核心网络节点,所述装置包括处理器和存储器,所述存储器包含有指令,所述指令可由所述处理器执行,使所述装置可操作地:
从用于所述UE的新核心网接收与所述UE有关的信息请求;以及
向新核心网络节点发送由所述通信网络将对所述UE使用的、针对用户平面的完整性保护IPUP模式的指示,其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
71、一种用于操作通信网络中的核心节点的装置,所述装置包括处理器和存储器,所述存储器包含有指令,所述指令可由所述处理器执行,使所述装置可操作地:
从目标无线电接入节点接收由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;
验证由目标无线电接入节点指示的IPUP模式是否与由核心网络节点存储的用于UE的IPUP模式相同;以及
如果所指示的IPUP模式和所存储的IPUP模式之间不匹配,则执行以下中的至少一项:
将不匹配记录为事件;或者
触发告警;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
72、一种用于操作通信网络中的核心节点的装置,所述装置包括处理器和存储器,所述存储器包含有指令,所述指令可由所述处理器执行,使所述装置可操作地:
向目标无线电接入节点发送由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
73、一种用于操作用户设备UE的装置,其中的UE被配置为连接至通信网络,所述装置被配置为:
当请求向所述通信网络注册时,向所述通信网络指示所述UE支持的、针对用户平面的完整性保护IPUP模式;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
74、一种用于操作通信网络的无线电接入节点的装置,所述装置被配置为:
从请求向所述通信网络注册的用户设备UE接收所述UE支持的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护;
并且其中,所述指示是经由所述通信网络从所述UE接收的。
75、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括源无线电接入节点,所述装置被配置为:
在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
76、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括目标无线电接入节点,所述装置被配置为:
在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
77、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括主无线电接入节点,所述装置被配置为:
向辅无线电接入节点发送由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护,
并且其中,该指示在用于以下至少一项的过程期间被发送至辅无线电接入节点:
辅无线电接入节点添加;
需要密钥更新的辅无线电接入节点修改;
数据无线电承载DRB卸载。
78、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括辅无线电接入节点,所述装置被配置为:
从主无线电接入节点接收由通信网络将对UE使用的针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护,
并且其中,所述指示是在用于以下至少一项的过程期间从主无线电接入节点接收的:
辅无线电接入节点添加;
需要密钥更新的辅无线电接入节点修改;
数据无线电承载DRB卸载。
79、一种用于操作通信网络中的核心节点的装置,所述装置被配置为:
向所述通信网络的无线电接入节点发送由所述通信网络将对请求向所述通信网络注册的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
80、一种用于操作通信网络中的核心节点的装置,所述核心网络节点包括用于请求向所述通信网络注册的用户设备UE的旧核心网络节点,所述装置被配置为:
从用于所述UE的新核心网接收与所述UE有关的信息请求;以及
向新核心网络节点发送由所述通信网络将对所述UE使用的、针对用户平面的完整性保护IPUP模式的指示,其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
81、一种用于操作通信网络中的核心节点的装置,所述装置被配置为:
从目标无线电接入节点接收由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;
验证由目标无线电接入节点指示的IPUP模式是否与由核心网络节点存储的用于UE的IPUP模式相同;以及
如果所指示的IPUP模式和所存储的IPUP模式之间不匹配,则执行以下中的至少一项:
将不匹配记录为事件;或者
触发告警;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
82、一种用于操作通信网络中的核心节点的装置,所述装置被配置为:
向目标无线电接入节点发送由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
83、一种用于操作用户设备UE的装置,其中的UE被配置为连接至通信网络,所述装置包括:
发送模块,用于在请求向通信网络注册时,向通信网络指示由UE支持的、针对用户平面的完整性保护IPUP模式;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
84、一种用于操作通信网络的无线电接入节点的装置,所述装置包括:
接收模块,用于从请求向通信网络注册的用户设备UE接收由UE支持的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护;
并且其中,所述指示是经由所述通信网络从所述UE接收的。
85、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括源无线电接入节点,所述装置包括:
发送模块,用于在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,发送由通信网络将对UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
86、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括目标无线电接入节点,所述装置包括:
接收模块,用于在从源无线电接入节点向目标无线电接入节点切换用户设备UE的过程期间,接收由通信网络将对UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
87、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括主无线电接入节点,所述装置包括:
发送模块,用于向辅无线电接入节点发送由通信网络将对UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护,
并且其中,该指示在用于以下至少一项的过程期间被发送至辅无线电接入节点:
辅无线电接入节点添加;
需要密钥更新的辅无线电接入节点修改;
数据无线电承载DRB卸载。
88、一种用于操作通信网络的无线电接入节点的装置,所述无线电接入节点包括辅无线电接入节点,所述装置包括:
接收模块,用于从主无线电接入节点接收由通信网络将对UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护,
并且其中,所述指示是在用于以下至少一项的过程期间从主无线电接入节点接收的:
辅无线电接入节点添加;
需要密钥更新的辅无线电接入节点修改;
数据无线电承载DRB卸载。
89、一种用于操作通信网络中的核心节点的装置,所述装置包括:
发送模块,用于向通信网络的无线电接入节点发送由通信网络对请求向通信网络注册的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
90、一种用于操作通信网络中的核心节点的装置,核心网络节点包括用于请求向通信网络注册的用户设备UE的旧核心网络节点,所述装置包括:
接收模块,用于从用于UE的新核心网接收与UE有关的信息请求;以及
发送模块,用于向新核心网络节点发送由通信网络将对UE使用的、针对用户平面的完整性保护IPUP模式的指示,其中,IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
91、一种用于操作通信网络中的核心节点的装置,所述装置包括:
接收模块,用于从目标无线电接入节点接收由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;以及
处理模块,用于验证由目标无线电接入节点指示的IPUP模式是否与由核心网络节点存储的用于UE的IPUP模式相同;以及
如果所指示的IPUP模式和所存储的IPUP模式之间不匹配,则执行以下中的至少一项:
将不匹配记录为事件;或者
触发告警;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
92、一种用于操作通信网络中的核心节点的装置,所述装置包括:
发送模块,用于向目标无线电接入节点发送由通信网络对将被切换至目标无线电接入节点的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。

Claims (45)

1.一种用于操作用户设备UE的方法,其中,所述UE被配置为连接至通信网络,所述方法包括:
当请求向所述通信网络注册时,向所述通信网络指示所述UE支持的、针对用户平面的完整性保护IPUP模式;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
2.根据权利要求1所述的方法,还包括:
向所述通信网络指示关于所述通信网络将对所述UE使用的IPUP模式的UE偏好。
3.根据权利要求2所述的方法,其中,所指示的UE偏好应用于以下中的至少一项:
与所述通信网络交换的所有数据;或者
与所述通信网络的一个特定切片或多个切片交换的数据。
4.根据前述权利要求中任一项所述的方法,还包括:
从所述通信网络接收将由所述通信网络对所述UE使用的IPUP模式的指示。
5.根据权利要求4所述的方法,其中,所述指示应用于以下中的至少一项:
与所述通信网络交换的所有数据;或者
与所述通信网络的一个特定切片或多个切片交换的数据。
6.根据前述权利要求中任一项所述的方法,其中,向通信网络指示对与所述UE交换的用户平面数据使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护的IPUP模式包括:
向所述通信网络指示能够应用完整性保护的用户平面数据的最大数据速率。
7.根据权利要求4或权利要求5或权利要求6所述的方法,还包括:
向所述UE的用户通知由所述通信网络将对所述UE使用的IPUP模式。
8.根据权利要求4至7中任一项所述的方法,还包括:
如果由所述通信网络指示的IPUP模式与关于所述通信网络对所述UE应该使用哪种IPUP模式的UE偏好不匹配,则执行以下中的至少一项:
拒绝连接至网络;
从网络断开;
向所述UE的用户通知由所述通信网络指示的IPUP模式与关于所述通信网络对所述UE应该使用哪种IPUP模式的UE偏好不匹配。
9.根据权利要求8所述的方法,还包括:
如果所述UE执行拒绝连接至网络或从网络断开中的至少一项,则执行以下中的至少一项:
经由所述通信网络的不同无线电接入节点请求向所述通信网络注册;或者
请求向不同的通信网络注册。
10.根据权利要求9所述的方法,还包括:
查询列表,所述列表包括支持针对用户平面数据的完整性保护的无线电接入节点或通信网络中的至少一项;以及
从所述列表选择用于请求注册的所述通信网络的无线电接入节点或不同的通信网络中的至少一项。
11.根据权利要求10所述的方法,其中,所述列表是在所述UE的存储器中配置的。
12.根据权利要求10所述的方法,其中,所述列表是通过无线电链路接收的。
13.根据前述权利要求中任一项所述的方法,还包括:
在所述UE从源无线电接入节点向目标无线电接入节点的切换过程期间,从所述通信网络的所述目标无线电接入节点接收消息,所述消息包括如下指示:所述目标无线电接入节点将对所述UE使用与所述源无线电接入节点使用的IPUP模式不同的IPUP模式。
14.根据权利要求13所述的方法,还包括:
如果来自所述目标无线电接入节点的指示是:所述通信网络经由所述目标无线电接入节点将使用的IPUP模式与关于所述通信网络对所述UE应该使用哪种IPUP模式的UE偏好不匹配,则执行以下中的至少一项:
从网络断开;
接受切换,并向所述UE的用户通知所述通信网络经由所述目标无线电接入节点将使用的IPUP模式;或者
寻求切换到所述通信网络的不同的无线电接入节点。
15.根据前述权利要求中任一项所述的方法,还包括:
在用于辅无线电接入节点添加、需要密钥更新的辅无线电接入节点修改或数据无线电承载卸载的过程期间,从所述通信网络的无线电接入节点接收由所述通信网络将对所述UE使用的IPUP模式的指示;以及,
如果所指示的IPUP模式涉及对用户平面数据使用完整性保护,则导出并使用针对用户平面数据的完整性保护的密钥。
16.根据权利要求13所述的方法,其中,由所述通信网络将对所述UE使用的IPUP模式的指示是利用RRC重配置请求接收的。
17.一种用于操作通信网络的无线电接入节点的方法,所述方法包括:
从请求向所述通信网络注册的用户设备UE接收所述UE支持的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护;
并且其中,所述指示是经由所述通信网络从所述UE接收的。
18.根据权利要求17所述的方法,还包括:
从所述UE接收关于由所述通信网络将对所述UE使用的IPUP模式的UE偏好。
19.根据权利要求18所述的方法,其中,所指示的UE偏好应用于以下中的至少一项:
与所述通信网络交换的所有数据;或者
与所述通信网络的一个特定切片或多个切片交换的数据。
20.根据权利要求17至19中任一项所述的方法,其中,从UE接收所指示的对与所述UE交换的用户平面数据使用完整性保护、或对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护的IPUP模式包括:
从所述UE接收能够应用完整性保护的用户平面数据的最大数据速率。
21.根据权利要求17至19中任一项所述的方法,还包括:
从所述通信网络的核心节点接收由所述通信网络将对所述UE使用的IPUP模式的指示。
22.根据权利要求21所述的方法,还包括:
如果所述无线电接入节点支持所指示的IPUP模式,则向所述核心节点发送如下指示:所述无线电接入节点将启用由所述通信网络将对所述UE使用的IPUP模式。
23.根据权利要求21或22所述的方法,还包括:
如果从所述通信网络的核心节点接收的所指示的IPUP模式不被所述无线电接入节点支持,则执行以下中的至少一项:
拒绝从所述UE接收的针对注册的请求;或者
省略向所述核心节点发送如下指示:所述无线电接入节点将启用由所述通信网络将对所述UE使用的IPUP模式。
24.根据权利要求16至21中任一项所述的方法,还包括:
向所述UE发送由所述通信网络将对所述UE使用的IPUP模式的指示。
25.根据权利要求24所述的方法,其中,如果由所述通信网络将对所述UE使用的IPUP模式涉及对用户平面数据使用完整性保护,则由所述通信网络将对所述UE使用的IPUP模式的指示包括:用于UP数据的完整性保护的算法的标识符。
26.根据权利要求24或25在从属于权利要求19时所述的方法,其中,由所述无线电接入节点对所述UE指示的IPUP模式是从所述通信网络的核心节点接收的IPUP模式。
27.根据权利要求24或25所述的方法,其中,对所述UE指示的IPUP模式是由所述无线电接入节点根据所述无线电接入节点上容留的策略选择的。
28.一种用于操作通信网络中的核心节点的方法,所述方法包括:
向所述通信网络的无线电接入节点发送由所述通信网络将对请求向所述通信网络注册的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
29.根据权利要求28所述的方法,还包括:
检查是否接收到来自所述通信网络的所述无线电接入节点的如下指示:所述通信网络的所述无线电接入节点将启用向所述通信网络的所述无线电接入节点指示的IPUP模式。
30.根据权利要求29所述的方法,还包括:
如果没有接收到所述无线电接入节点将启用向所述无线电接入节点指示的IPUP模式的指示,则假设所述无线电接入节点将不启用由所述通信网络将对所述UE使用的IPUP模式。
31.根据权利要求28至30中任一项所述的方法,其中,所述核心网络节点是用于所述UE的新核心网络节点,所述方法还包括:
向所述UE的旧核心网发送与所述UE有关的信息请求;以及
从旧核心网络节点接收由所述通信网络将对所述UE使用的IPUP模式的指示。
32.根据权利要求31所述的方法,还包括:
在更新位置过程期间,从与所述UE对应的订阅管理节点接收由所述通信网络将对所述UE使用的IPUP模式的指示。
33.根据权利要求31或32所述的方法,还包括:
决定由所述通信网络将对所述UE使用的IPUP模式。
34.根据权利要求33所述的方法,还包括:
如果由所述核心网络节点决定的IPUP模式与由所述UE传达的、对由所述通信网络将对所述UE使用的IPUP模式的偏好不匹配,则执行以下中的一项:
拒绝来自所述UE的将向所述通信网络注册的请求;或者
接受来自所述UE的将向所述通信网络注册的请求,并向所述UE通知由所述核心网络节点决定的IPUP。
35.根据权利要求33或34所述的方法,其中,所决定的IPUP模式应用于以下中的至少一项:
在所述UE和所述通信网络之间交换的所有数据;或者
在所述UE和所述通信网络的一个特定切片或多个切片之间交换的数据。
36.根据权利要求33至35中任一项所述的方法,还包括:
向所述UE指示所决定的由所述通信网络将对所述UE使用的IPUP模式。
37.一种用于操作通信网络中的核心节点的方法,所述核心网络节点包括用于请求向所述通信网络注册的用户设备UE的旧核心网络节点,所述方法包括:
从用于所述UE的新核心网接收与所述UE有关的信息请求;以及
向新核心网络节点发送由所述通信网络将对所述UE使用的、针对用户平面的完整性保护IPUP模式的指示,其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
38.根据权利要求所述的方法37,其中,所指示的IPUP模式应用于以下中的至少一项:
在所述UE和所述通信网络之间交换的所有数据;或者
在所述UE和所述通信网络的一个特定切片或多个切片之间交换的数据。
39.一种包括指令的计算机程序,所述指令当在至少一个处理器上执行时,使所述至少一个处理器执行根据前述权利要求中任一项所述的方法。
40.一种包含有根据权利要求39所述的计算机程序的载体,其中,所述载体包括电信号、光信号、无线电信号或计算机可读存储介质中的一种。
41.一种计算机程序产品,包括非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有根据权利要求39所述的计算机程序。
42.一种用于操作用户设备UE的装置,所述UE被配置为连接至通信网络,所述装置被配置为:
当请求向所述通信网络注册时,向所述通信网络指示所述UE支持的、针对用户平面的完整性保护IPUP模式;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
43.一种用于操作通信网络的无线电接入节点的装置,所述装置被配置为:
从请求向所述通信网络注册的用户设备UE接收所述UE支持的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护;
并且其中,所述指示是经由所述通信网络从所述UE接收的。
44.一种用于操作通信网络中的核心节点的装置,所述装置被配置为:
向所述通信网络的无线电接入节点发送由所述通信网络将对请求向所述通信网络注册的用户设备UE使用的、针对用户平面的完整性保护IPUP模式的指示;
其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
45.一种用于操作通信网络中的核心节点的装置,所述核心网络节点包括用于请求向所述通信网络注册的用户设备UE的旧核心网络节点,所述装置被配置为:
从用于所述UE的新核心网接收与所述UE有关的信息请求;以及
向新核心网络节点发送由所述通信网络将对所述UE使用的、针对用户平面的完整性保护IPUP模式的指示,其中,所述IPUP模式包括以下中的一项:
对与所述UE交换的用户平面数据使用完整性保护;
对与所述UE交换的用户平面数据不使用完整性保护;或者
对用户平面数据使用完整性保护且对用户平面数据不使用机密性保护。
CN201880017371.7A 2017-01-30 2018-01-30 针对用户平面数据的完整性保护的方法 Active CN110419205B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210843592.8A CN115278659A (zh) 2017-01-30 2018-01-30 针对用户平面数据的完整性保护的方法
CN202210842379.5A CN115278658A (zh) 2017-01-30 2018-01-30 针对用户平面数据的完整性保护的方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201762451875P 2017-01-30 2017-01-30
US62/451,875 2017-01-30
PCT/EP2018/052285 WO2018138379A1 (en) 2017-01-30 2018-01-30 Methods for integrity protection of user plane data

Related Child Applications (2)

Application Number Title Priority Date Filing Date
CN202210843592.8A Division CN115278659A (zh) 2017-01-30 2018-01-30 针对用户平面数据的完整性保护的方法
CN202210842379.5A Division CN115278658A (zh) 2017-01-30 2018-01-30 针对用户平面数据的完整性保护的方法

Publications (2)

Publication Number Publication Date
CN110419205A true CN110419205A (zh) 2019-11-05
CN110419205B CN110419205B (zh) 2022-11-25

Family

ID=61168079

Family Applications (3)

Application Number Title Priority Date Filing Date
CN202210843592.8A Pending CN115278659A (zh) 2017-01-30 2018-01-30 针对用户平面数据的完整性保护的方法
CN201880017371.7A Active CN110419205B (zh) 2017-01-30 2018-01-30 针对用户平面数据的完整性保护的方法
CN202210842379.5A Pending CN115278658A (zh) 2017-01-30 2018-01-30 针对用户平面数据的完整性保护的方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN202210843592.8A Pending CN115278659A (zh) 2017-01-30 2018-01-30 针对用户平面数据的完整性保护的方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN202210842379.5A Pending CN115278658A (zh) 2017-01-30 2018-01-30 针对用户平面数据的完整性保护的方法

Country Status (5)

Country Link
US (2) US11558745B2 (zh)
EP (1) EP3574624A1 (zh)
CN (3) CN115278659A (zh)
RU (2) RU2761445C2 (zh)
WO (1) WO2018138379A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111163471A (zh) * 2019-12-26 2020-05-15 北京微智信业科技有限公司 业务数据完整性保护方法、装置、设备及存储介质
CN111357309A (zh) * 2017-11-16 2020-06-30 中兴通讯股份有限公司 用于执行数据完整性保护的方法和计算设备
WO2022147777A1 (zh) * 2021-01-08 2022-07-14 华为技术有限公司 安全策略处理方法以及通信设备
EP4150940A4 (en) * 2020-05-14 2024-01-24 Nokia Technologies Oy PARTIAL INTEGRITY PROTECTION IN TELECOMMUNICATIONS SYSTEMS

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109561423B (zh) * 2017-01-26 2020-07-14 华为技术有限公司 一种接入目标小区的方法以及装置
JP2020057834A (ja) * 2017-02-07 2020-04-09 シャープ株式会社 端末装置、コアネットワーク装置、及び通信制御方法
CN112866977B (zh) * 2017-02-07 2022-06-10 华为技术有限公司 一种数据传输方法、终端和接入网网元
EP3596953B1 (en) 2017-03-17 2023-05-31 Telefonaktiebolaget LM Ericsson (Publ) Security solution for switching on and off security for up data between ue and ran in 5g
US10123210B2 (en) * 2017-03-17 2018-11-06 Nokia Of America Corporation System and method for dynamic activation and deactivation of user plane integrity in wireless networks
WO2018219352A1 (en) * 2017-06-02 2018-12-06 Fg Innovation Ip Company Limited Methods, devices, and systems for service-driven mobility management
US11457352B2 (en) * 2017-08-02 2022-09-27 Sony Corporation Methods and apparatus for supporting integrity protection in handovers
CN109391603B (zh) * 2017-08-11 2021-07-09 华为技术有限公司 数据完整性保护方法和装置
CN109041143A (zh) * 2017-08-31 2018-12-18 华为技术有限公司 通信方法、装置和系统
CN109600804B (zh) * 2017-09-30 2021-04-02 华为技术有限公司 一种安全保护的方法、装置和系统
US10848975B2 (en) * 2017-11-14 2020-11-24 Futurewei Technologies, Inc. System and method of providing UE capability for support of security protection on bearers
US11038757B2 (en) * 2017-12-14 2021-06-15 Arris Enterprises Llc Soft configuration and data exchange for in-home devices
US11252628B2 (en) * 2018-01-09 2022-02-15 Htc Corporation Device and method for handling new radio capabilities
CN110167018B (zh) * 2018-02-11 2021-12-10 华为技术有限公司 一种安全保护的方法、装置及接入网设备
EP4242898A3 (en) * 2018-04-04 2023-11-15 ZTE Corporation Techniques to manage integrity protection
CN110366241B (zh) 2018-04-09 2024-09-17 华为技术有限公司 通信方法、装置和系统
WO2019237364A1 (zh) 2018-06-15 2019-12-19 Oppo广东移动通信有限公司 数据按序递交的方法、网络设备及终端设备
US11778471B2 (en) * 2018-08-03 2023-10-03 Samsung Electronics Co., Ltd. Method and system for integrity protection of user plane signaling messages in wireless network
CN110831007B (zh) * 2018-08-10 2021-09-17 华为技术有限公司 用户面完整性保护方法、装置及设备
CN110830993B (zh) * 2018-08-10 2021-08-20 华为技术有限公司 一种数据处理的方法、装置和计算机可读存储介质
CN110856175A (zh) * 2018-08-21 2020-02-28 华为技术有限公司 一种用户面安全的授权方法及装置
US11140139B2 (en) * 2018-11-21 2021-10-05 Microsoft Technology Licensing, Llc Adaptive decoder selection for cryptographic key generation
WO2020162610A1 (en) * 2019-02-08 2020-08-13 Nec Corporation Master base station, secondary base station, user equipment (ue), and method
GB2581392A (en) 2019-02-15 2020-08-19 Nec Corp Communications systems
CN113424506A (zh) * 2019-02-15 2021-09-21 诺基亚技术有限公司 通信系统中的用户设备安全能力的管理
CN111641944A (zh) * 2019-03-01 2020-09-08 华为技术有限公司 一种通信方法及设备
CN111641947B (zh) * 2019-03-01 2021-12-03 华为技术有限公司 密钥配置的方法、装置和终端
CN111800369B (zh) * 2019-04-08 2022-03-29 华为技术有限公司 通信方法与设备
EP3964024A1 (en) * 2019-04-29 2022-03-09 Telefonaktiebolaget LM Ericsson (publ) User plane integrity protection in 4g system
JP2022530238A (ja) * 2019-04-29 2022-06-28 テレフオンアクチーボラゲット エルエム エリクソン(パブル) ユーザプレーン完全性保護
CN111988118B (zh) * 2019-05-24 2024-07-26 华为技术有限公司 一种无线局域网中的通信方法及设备
CN112020056B (zh) * 2019-05-29 2022-02-25 华为技术有限公司 切换的方法、装置和通信系统
CN114513790B (zh) 2019-05-31 2023-10-10 荣耀终端有限公司 获取安全上下文的方法和网络设备
WO2021026744A1 (zh) 2019-08-12 2021-02-18 Oppo广东移动通信有限公司 一种策略配置方法、网络设备、终端设备
EP4426001A3 (en) * 2019-10-02 2024-10-23 Samsung Electronics Co., Ltd Method and device for data rate control in network slice in wireless communication system
CN112804752A (zh) * 2019-11-13 2021-05-14 中兴通讯股份有限公司 双连接重建方法、可读存储介质和基站
KR20210095458A (ko) * 2020-01-23 2021-08-02 삼성전자주식회사 무선통신시스템에서 보안을 제공하는 장치 및 방법
US11722890B2 (en) 2020-07-27 2023-08-08 Samsung Electronics Co., Ltd. Methods and systems for deriving cu-up security keys for disaggregated gNB architecture
KR20220015667A (ko) * 2020-07-31 2022-02-08 삼성전자주식회사 차세대 이동 통신 시스템에서 무결성 보호 또는 검증 절차로 인한 단말 프로세싱 부하를 줄이는 방법 및 장치
US20220046489A1 (en) * 2020-08-05 2022-02-10 Qualcomm Incorporated Techniques for supporting user plane integrity protection in wireless communications
US20220312520A1 (en) * 2020-10-29 2022-09-29 Apple Inc. User plane integrity protection configuration in en-dc
JP2023547918A (ja) * 2020-10-30 2023-11-14 テレフオンアクチーボラゲット エルエム エリクソン(パブル) X2ハンドオーバ中のユーザプレーン完全性保護のための方法、装置、コンピュータプログラムおよびコンピュータプログラム製品
CN114980105A (zh) * 2021-02-21 2022-08-30 华为技术有限公司 通信方法及通信装置
US11665638B2 (en) * 2021-08-26 2023-05-30 Apple Inc. Application and service context aware cell selection
CN118614045A (zh) * 2023-01-04 2024-09-06 上海诺基亚贝尔股份有限公司 针对紧急情况的用户面业务处理

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101072092A (zh) * 2006-05-11 2007-11-14 华为技术有限公司 一种实现控制面和用户面密钥同步的方法
CN101075865A (zh) * 2006-05-16 2007-11-21 华为技术有限公司 一种用户面加密的启动方法
WO2008134986A1 (fr) * 2007-05-08 2008-11-13 Huawei Technologies Co., Ltd. Procédé, système et dispositif pour la négociation de fonctions de sécurité
US20090086971A1 (en) * 2007-09-28 2009-04-02 Cisco Technology, Inc. Selective security termination in next generation mobile networks
WO2010025280A2 (en) * 2008-08-27 2010-03-04 Qualcomm Incorporated Integrity protection and/or ciphering for ue registration with a wireless network
CN102123391A (zh) * 2010-01-08 2011-07-13 中兴通讯股份有限公司 一种基于hip的注册和认证方法及系统
EP2804409A1 (en) * 2012-02-22 2014-11-19 Huawei Technologies Co., Ltd. Method, device and system for establishing security context
WO2015126293A1 (en) * 2014-02-21 2015-08-27 Telefonaktiebolaget L M Ericsson (Publ) Method and devices for protection of control plane functionality
WO2016162502A1 (en) * 2015-04-08 2016-10-13 Telefonaktiebolaget Lm Ericsson (Publ) Method, apparatus, and system for providing encryption or integrity protection in a wireless network

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8832449B2 (en) 2006-03-22 2014-09-09 Lg Electronics Inc. Security considerations for the LTE of UMTS
CN101128066B (zh) 2007-09-27 2012-07-18 中兴通讯股份有限公司 不进行用户面加密的方法及系统
WO2009115126A1 (en) 2008-03-20 2009-09-24 Nokia Siemens Networks Oy Different ip interfaces in a communication network system
US8743905B2 (en) 2008-12-22 2014-06-03 Qualcomm Incorporated Method and apparatus for bundling and ciphering data
CN102014381B (zh) 2009-09-08 2012-12-12 华为技术有限公司 加密算法协商方法、网元及移动台
US20110312299A1 (en) 2010-06-18 2011-12-22 Qualcomm Incorporated Methods and apparatuses facilitating synchronization of security configurations
CN102487507B (zh) 2010-12-01 2016-01-20 中兴通讯股份有限公司 一种实现完整性保护的方法及系统
CN102448058B (zh) 2011-01-10 2014-04-30 华为技术有限公司 一种Un接口上的数据保护方法与装置
US9635694B2 (en) * 2011-07-25 2017-04-25 Qualcomm Incorporated Method and apparatus for tunneled direct link setup management
EP2915365B1 (en) 2012-11-02 2016-10-19 Telefonaktiebolaget LM Ericsson (publ) Methods for coordinating inter-rat mobility settings
US9794836B2 (en) * 2012-12-24 2017-10-17 Nokia Technologies Oy Methods and apparatus for differencitating security configurations in a radio local area network
JP6246142B2 (ja) 2015-01-14 2017-12-13 キヤノン株式会社 情報処理装置、情報処理方法及びプログラム
US10362011B2 (en) 2015-07-12 2019-07-23 Qualcomm Incorporated Network security architecture
CN107040398B (zh) * 2016-02-04 2020-03-27 中兴通讯股份有限公司 一种数据传输方法、装置及系统
US10841084B2 (en) 2017-02-03 2020-11-17 Qualcomm Incorporated Session management authorization token
EP3596953B1 (en) 2017-03-17 2023-05-31 Telefonaktiebolaget LM Ericsson (Publ) Security solution for switching on and off security for up data between ue and ran in 5g

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101072092A (zh) * 2006-05-11 2007-11-14 华为技术有限公司 一种实现控制面和用户面密钥同步的方法
CN101075865A (zh) * 2006-05-16 2007-11-21 华为技术有限公司 一种用户面加密的启动方法
WO2008134986A1 (fr) * 2007-05-08 2008-11-13 Huawei Technologies Co., Ltd. Procédé, système et dispositif pour la négociation de fonctions de sécurité
US20090086971A1 (en) * 2007-09-28 2009-04-02 Cisco Technology, Inc. Selective security termination in next generation mobile networks
WO2010025280A2 (en) * 2008-08-27 2010-03-04 Qualcomm Incorporated Integrity protection and/or ciphering for ue registration with a wireless network
CN102123391A (zh) * 2010-01-08 2011-07-13 中兴通讯股份有限公司 一种基于hip的注册和认证方法及系统
EP2804409A1 (en) * 2012-02-22 2014-11-19 Huawei Technologies Co., Ltd. Method, device and system for establishing security context
WO2015126293A1 (en) * 2014-02-21 2015-08-27 Telefonaktiebolaget L M Ericsson (Publ) Method and devices for protection of control plane functionality
WO2016162502A1 (en) * 2015-04-08 2016-10-13 Telefonaktiebolaget Lm Ericsson (Publ) Method, apparatus, and system for providing encryption or integrity protection in a wireless network

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
IEEE: "IEEE Standard for Wireless Access in Vehicular Environments--Security Services for Applications and Management Messages", 《IEEE STD 1609.2-2016》 *
张媛: "第三代移动通信系统安全技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111357309A (zh) * 2017-11-16 2020-06-30 中兴通讯股份有限公司 用于执行数据完整性保护的方法和计算设备
CN111357309B (zh) * 2017-11-16 2021-11-09 中兴通讯股份有限公司 用于执行数据完整性保护的方法和计算设备
CN111163471A (zh) * 2019-12-26 2020-05-15 北京微智信业科技有限公司 业务数据完整性保护方法、装置、设备及存储介质
CN111163471B (zh) * 2019-12-26 2021-02-19 北京微智信业科技有限公司 业务数据完整性保护方法、装置、设备及存储介质
EP4150940A4 (en) * 2020-05-14 2024-01-24 Nokia Technologies Oy PARTIAL INTEGRITY PROTECTION IN TELECOMMUNICATIONS SYSTEMS
WO2022147777A1 (zh) * 2021-01-08 2022-07-14 华为技术有限公司 安全策略处理方法以及通信设备

Also Published As

Publication number Publication date
RU2019127180A3 (zh) 2021-03-01
RU2761445C2 (ru) 2021-12-08
RU2019127180A (ru) 2021-03-01
EP3574624A1 (en) 2019-12-04
CN110419205B (zh) 2022-11-25
CN115278658A (zh) 2022-11-01
RU2744323C2 (ru) 2021-03-05
US20190394651A1 (en) 2019-12-26
RU2021104468A3 (zh) 2021-11-03
US11558745B2 (en) 2023-01-17
US12022293B2 (en) 2024-06-25
US20230164562A1 (en) 2023-05-25
CN115278659A (zh) 2022-11-01
WO2018138379A1 (en) 2018-08-02
RU2021104468A (ru) 2021-03-05

Similar Documents

Publication Publication Date Title
CN110419205A (zh) 针对用户平面数据的完整性保护的方法
CN108966220B (zh) 一种密钥推演的方法及网络设备
CN109640324B (zh) 一种通信方法及相关装置
CN110447252A (zh) 5g中用于开启和关闭ue和ran之间的up数据安全的安全解决方案
US9301147B2 (en) Method, apparatus, and system for data protection on interface in communications system
CN101399767B (zh) 终端移动时安全能力协商的方法、系统及装置
JP7287534B2 (ja) Mmeデバイスにおいて実行される方法及びmmeデバイス
CN106134231B (zh) 密钥生成方法、设备及系统
US10320754B2 (en) Data transmission method and apparatus
CN102905265A (zh) 一种实现移动设备附着的方法及装置
CN102905266A (zh) 一种实现移动设备附着的方法及装置
US8204478B2 (en) System for setting security in wireless network system using cluster function and method of controlling the same
EP3410635B1 (en) Method and device for radio bearer security configuration
WO2023004683A1 (zh) 一种通信方法、装置及设备
JP2016524870A (ja) 無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法及びmme
CN114765827A (zh) 一种安全保护方法、装置和系统
CN101772019A (zh) 处理跨系统交递保密的方法及其相关通讯装置
KR20100021690A (ko) 이동 통신 시스템의 인증과 비계층 프로토콜 보안 운영을 효율적으로 지원하는 관리 방법 및 시스템
US20240357358A1 (en) Methods for integrity protection of user plane data
WO2024066924A1 (zh) 用户终端策略的配置方法、装置、介质及芯片

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant