CN110447252A - 5g中用于开启和关闭ue和ran之间的up数据安全的安全解决方案 - Google Patents
5g中用于开启和关闭ue和ran之间的up数据安全的安全解决方案 Download PDFInfo
- Publication number
- CN110447252A CN110447252A CN201880018938.2A CN201880018938A CN110447252A CN 110447252 A CN110447252 A CN 110447252A CN 201880018938 A CN201880018938 A CN 201880018938A CN 110447252 A CN110447252 A CN 110447252A
- Authority
- CN
- China
- Prior art keywords
- ran
- data
- terminated
- smf
- pdu session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Infusion, Injection, And Reservoir Apparatuses (AREA)
- Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)
Abstract
公开了用于操作UE、网络节点、会话管理功能(SMF)和统一数据管理(UDM)的方法。所述方法包括:由UE向通信网络中的SMF发送协议数据单元(PDU)会话建立请求消息(902A),以及在UE处接收策略决定(904A),所述策略决定与PDU会话的在RAN中终止的用户平面(UP)数据安全保护有关。在UE处接收的策略决定可以根据在PDU会话建立期间由SMF向RAN提供的UP安全策略。还公开了UE、网络节点、SMF和UDM。
Description
技术领域
本公开涉及通信领域,更具体地涉及用户设备(UE)、无线电接入节点、核心网节点以及无线通信网络中的相关方法。
背景技术
在5G中的用户设备(UE)和基站之间发送的用户平面(UP)数据的完整性保护和加密在基站中的安全终止是3GPP SA3研究阶段中讨论的可能特征之一。在该3GPP研究阶段中讨论的另一选项是支持核心网中的UP数据安全终止。
在下一代网络中,SA2已经在TS 23.501 v0.3.0[1]中针对非漫游情况确定了接下来的5G系统架构。图1是以参考点表示的非漫游5G系统架构的框图。参考图1,该系统包括:认证服务器功能(AUSF);统一数据管理(UDM);核心接入和移动性管理功能(AMF);会话管理功能(SMF);策略控制功能(PCF);应用功能(AF);用户设备(UE);(无线电)接入网((R)AN));用户平面功能(UPF);以及数据网络(DN),例如,运营商服务、互联网或第三方服务。术语“(无线电)接入网”及相关的缩写词“(R)AN”由于与对应的术语“无线电接入网”及相关的缩写词“RAN”具有相同的意思而在本文被互换使用。
在下一代网络中,无线电接入网(RAN)可以采用TR 33.801 v1.0.0[2]中阐述的RAN架构及接口。图2示出了下一代网络的可能的新RAN架构。
参考图2,预期gNB和eLTE eNB可连接至相同的下一代核心网(NGC)。gNB将能够通过被命名为Xn接口的新的RAN接口连接至其它的gNB或(e)LTE eNB。gNB 102将能够通过被命名为Xn接口的新的RAN接口连接至其它的gNB 102或(e)LTE eNB 104。
图3示出了NR和下一代核心网的服务质量(QoS)架构。在TR 38.804 V.0.7.0[3]中,NR和下一代核心网中的QoS架构被描述为下一代核心网针对每个UE建立一个或多个PDU会话。对于每个UE,RAN针对每个PDU会话建立一个或多个数据无线电承载。RAN将属于不同的PDU会话的分组映射至不同的DRB。因此,在PDU会话建立之后,RAN为由核心网CN指示的每个PDU会话建立至少一个默认的DRB。UE中和下一代核心网中的NAS层分组过滤器将UL分组和DL分组与QoS流相关联。UE中和RAN中的AS层映射将UL QoS流和DL QoS流与数据无线电承载(DRB)相关联。
5G中在UE和基站之间发送的UP数据的完整性保护和加密在基站中的安全终止是在研究阶段中的3GPP SA3中讨论的可能特征之一。所讨论的另一个选项是在位于RAN之外的UPF中支持核心网中的UP数据安全终止。
3GPP正在讨论逐实现步骤地引入上文描述的两种选项,这包括两个阶段:阶段1:支持基站中的UP数据安全终止;以及阶段2,在核心网(驻留于核心网中的UPF)中支持对UP数据安全终止的添加。核心网于是可能需要可以开启和关闭RAN中或驻留于核心网中的UPF中的安全性的机制。然而,没有提供允许下一代系统决定何时要使用UP加密和/或UP完整性保护的已知机制。
可以要求保护本背景技术部分中描述的方法,但是其不一定是之前已经构思或要求保护的方法。因此,除非本文另外表明,否则背景技术部分中描述的方法不是相对于本申请中公开的发明实施例的现有技术,并且不因被包括在背景技术部分中而被认为是现有技术。
发明内容
根据本公开的一个方面,提供了用于操作被配置为与通信网络无线地通信的用户设备(UE)的方法。该方法包括:向通信网络中的会话管理功能(SMF)发送协议数据单元(PDU)会话建立请求消息,以及接收策略决定,所述策略决定与PDU会话的在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护有关。
根据本公开的示例,策略决定可以指示是否使用包括以下中的至少一项的安全保护来进行操作:在所述RAN中终止的UP数据加密保护;以及在所述RAN中终止的UP数据完整性保护。
根据本公开的示例,策略决定可以是在RRC信令中接收的。
根据本公开的示例,策略决定可以是在RRC连接重配置(RRC ConnectionReconfiguration)消息中接收的。
根据本公开的示例,该方法还可以包括:如果接收到的策略决定指示激活所述PDU会话的加密和/或完整性保护,则激活所述PDU会话的加密和/或完整性保护。
根据本公开的示例,该方法还可以包括:从归属网络接收对所述UE不使用在所述RAN中终止的UP数据安全保护的决定;以及,作为响应,阻止所述UE操作性地使用算法来对在所述UE和所述RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
根据本公开的另一个方面,提供了被配置为执行本公开的任意前述方面或示例的方法的用户设备(UE)(1300)。
根据本公开的另一个方面,提供了被配置为与通信网络无线地通信的用户设备(UE),该UE包括:收发机、存储计算机可读程序代码的存储器;以及处理器,连接至所述收发机和所述存储器,以执行用于以下操作的计算机可读程序代码:向通信网络中的会话管理功能(SMF)发送协议数据单元(PDU)会话建立请求消息,以及接收策略决定,所述策略决定与PDU会话的在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护有关。
根据本公开的示例,该处理器还可以执行用于执行本公开的任意前述方面或示例的方法的计算机可读程序代码。
根据本公开的另一个方面,提供了与通信网络无线地通信的用户设备(UE),该UE执行包括以下各项的操作:向通信网络中的会话管理功能(SMF)发送协议数据单元(PDU)会话建立请求消息,以及接收策略决定,所述策略决定与PDU会话的在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护有关。
根据本公开的示例,UE可以执行包括本公开的任意前述方面或示例的方法的操作。
根据本公开的另一个方面,提供了一种用于操作通信网络的网络节点的方法,所述通信网络被配置为与用户设备(UE)通信。该方法包括:从所述UE接收协议数据单元(PDU)会话建立请求消息;向所述通信网络的会话管理功能(SMF)传送带有所述PDU会话建立请求的会话管理(SM)请求;以及从所述SMF接收SM请求肯定应答消息,所述SM请求肯定应答消息包括针对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的策略。
根据本公开的示例,该方法可以由通信网络中的接入和移动性管理功能(AMF)执行。
根据本公开的示例,该方法还可以包括:向所述SMF传送策略信息,所述策略信息标识所述SMF是否被允许请求改变RAN安全性。
根据本公开的示例,该方法还可以包括:向所述SMF传送默认安全策略值,所述默认安全策略值指示以下中的至少一项:是否默认所述UE使用在所述RAN中终止的UP数据加密保护;以及是否默认所述UE使用在所述RAN中终止的UP数据完整性保护。
根据本公开的示例,针对在RAN中终止的UP数据安全保护的策略指示是否使用包括以下中的至少一项的安全保护来进行操作:在所述RAN中终止的UP数据加密保护;以及在所述RAN中终止的UP数据完整性保护。
根据本公开的示例,针对在RAN中终止的UP数据安全保护的策略可以指示是否应该将完整性保护和/或加密用于在为所述PDU会话提供服务的所有无线电承载上发送的数据。
根据本公开的示例,该方法还可以包括:向RAN节点传送接收到的针对在RAN中终止的UP数据安全保护的策略。
根据本公开的另一个方面,提供了用于操作通信网络的网络节点的方法,所述通信网络被配置为与用户设备(UE)通信。该方法包括:从接入和管理功能接收消息,所述消息包括针对PDU会话的针对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的策略。
根据本公开的示例,该方法可以由RAN中的网络节点执行。
根据本公开的示例,该方法还可以包括:向请求所述PDU会话的UE传送策略决定,所述策略决定与接收到的针对所述PDU会话的针对在无线电接入网RAN中终止的用户平面UP数据安全保护的策略有关。
根据本公开的示例,该方法还可以包括:向所述UE传送指示以下中的至少一项的策略决定:所述RAN中的UP数据加密终止是否被用于所述PDU会话;以及所述RAN中的UP数据完整性保护终止是否被用于所述PDU会话。
根据本公开的示例,策略决定可以在RRC信令中传送。
根据本公开的示例,策略决定可以在RRC连接重配置消息中传送。
根据本公开的示例,该方法还可以包括:在所述RRC连接重配置消息中包括所选择的用于完整性保护和/加密的算法。
根据本公开的另一个方面,提供了通信网络的网络节点,该网络节点被配置为执行本公开的任意前述方面或示例的方法。
根据本公开的另一个方面,提供了被配置为与用户设备(UE)通信的通信网络的网络节点。网络节点包括存储计算机可读程序代码的存储器;以及处理器,连接至存储器,以执行用于以下操作的计算机可读程序代码:从所述UE接收协议数据单元(PDU)会话建立请求消息;向所述通信网络的会话管理功能(SMF)传送带有所述PDU会话建立请求的会话管理(SM)请求;以及从所述SMF接收SM请求肯定应答消息,所述SM请求肯定应答消息包括针对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的策略。
根据本公开的示例,该处理器还可以执行用于执行本公开的任意前述方面或示例的方法的计算机可读程序代码。
根据本公开的另一个方面,提供了与通信网络无线地通信的网络节点,该网络节点执行包括以下各项的操作:从所述UE接收协议数据单元(PDU)会话建立请求消息;向所述通信网络的会话管理功能(SMF)传送带有所述PDU会话建立请求的会话管理(SM)请求;以及从所述SMF接收SM请求肯定应答消息,所述SM请求肯定应答消息包括针对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的策略。
根据本公开的示例,网络节点可以执行包括本公开的任意前述方面或示例的方法的操作。
根据本公开的另一个方面,提供了用于操作通信网络的会话管理功能(SMF)的方法,所述SMF被配置为与所述通信网络的接入和移动性管理功能(AMF)通信。该方法包括:从所述AMF接收针对UE的带有PDU会话建立请求的会话管理SM请求;以及向所述AMF传送SM请求肯定应答消息,所述SM请求肯定应答消息包括针对在无线电接入网RAN中终止的用户平面UP数据安全保护的策略。
根据本公开的示例,针对在RAN中终止的UP数据安全保护的策略可以指示是否应该将完整性保护和/或加密用于在为所述PDU会话提供服务的所有无线电承载上发送的数据。
根据本公开的示例,该方法还可以包括:与接收所述SM请求一起接收策略信息,所述策略信息标识所述SMF是否被允许请求改变RAN安全性。
根据本公开的示例,该方法还可以包括:响应于所述接收,确定所述SMF是否包含适用于所有UE的公共本地策略,以及如果不包含适用于所有UE的公共本地策略,则向统一数据管理(UDM)传送订阅数据请求,以检索与数据网络名称(DNN)有关的针对所述UE的SM相关订阅数据。
根据本公开的示例,检索到的针对所述UE的SM相关订阅数据标识是否使用包括以下中的至少一项的安全保护来进行操作:在所述RAN中终止的UP数据加密保护,以及在所述RAN中终止的UP数据完整性保护。
根据本公开的示例,所述SM请求肯定应答消息可以包括:针对在所述RAN中终止的UP数据安全保护的SMF请求、针对服务网络中的核心网(CN)终止的UP数据安全保护的SMF决定、和/或针对归属网络中的CN终止的UP数据安全保护的归属网络决定。
根据本公开的示例,该方法还可以包括:响应于所述接收,从策略控制功能获得针对在RAN中终止的UP数据安全保护的策略。
根据本公开的另一个方面,提供了通信网络的会话管理功能(SMF)(1700),所述SMF被配置为与通信网络的接入和移动性管理功能(AMF)通信,所述SMF被配置为执行本公开的任意前述方面或示例的方法。
根据本公开的另一个方面,提供了通信网络的会话管理功能(SMF),所述SMF被配置为与所述通信网络的接入和移动性管理功能(AMF)通信,所述SMF包括:存储计算机可读程序代码的存储器;以及处理器,连接至存储器,以执行用于以下操作的计算机可读程序代码:从所述AMF接收针对UE的带有PDU会话建立请求的会话管理(SM)请求;以及向所述AMF传送SM请求肯定应答消息,所述SM请求肯定应答消息包括针对在无线电接入网RAN中终止的用户平面(UP)数据安全保护的策略。
根据本公开的示例,该处理器还可以执行用于执行本公开的任意前述方面或示例的方法的计算机可读程序代码。
根据本公开的另一个方面,提供了通信网络的会话管理功能(SMF),所述SMF被配置为与所述通信网络的接入和移动性管理功能(AMF)通信,所述SMF执行包括以下各项的操作:从所述AMF接收针对UE的带有PDU会话建立请求的会话管理(SM)请求;以及向所述AMF传送SM请求肯定应答消息,所述SM请求肯定应答消息包括针对在无线电接入网RAN中终止的用户平面(UP)数据安全保护的策略。
根据本公开的示例,SMF可以执行包括本公开的任意前述方面或示例的方法的操作。
根据本公开的另一个方面,提供了一种用于操作通信网络的统一数据管理(UDM)的方法,所述UDM被配置为与所述通信网络的会话管理功能(SMF)通信。该方法包括:从所述SMF接收对UE的SM相关订阅数据的订阅数据请求;以及传送订阅数据响应,所述订阅数据响应指示与用于与所述UE的通信的无线电接入网(RAN)终止的用户平面UP数据安全有关的归属网络偏好,或指示与用于与所述UE的通信的归属网络终止的UP数据安全有关的决定。
根据本公开的示例,所述订阅数据响应可以指示:在所述RAN中终止的UP数据加密是应该使用,必须使用,还是对于所述UE而言是否使用是不重要的。
根据本公开的示例,所述订阅数据响应可以指示:在所述RAN中终止的UP数据完整性保护是应该使用,必须使用,还是对于所述UE而言是否使用是不重要的。
根据本公开的示例,所述订阅数据响应可以指示:UP数据加密和/或完整性保护是否应该在所述归属网络中的核心网(CN)中被终止。
根据本公开的另一个方面,提供了通信网络的统一数据管理(UDM),所述UDM被配置为与所述通信网络的会话管理功能(SMF)通信,所述UDM被配置为执行本公开的任意前述方面或示例的方法。
根据本公开的另一个方面,提供了通信网络的统一数据管理(UDM),所述UDM被配置为与所述通信网络的会话管理功能(SMF)通信。所述UDM包括:存储计算机可读程序代码的存储器;以及,处理器,被连接至存储器,以执行用于以下操作的计算机可读程序代码:从所述SMF接收对UE的SM相关订阅数据的订阅数据请求;以及传送订阅数据响应,所述订阅数据响应指示与用于与所述UE的通信的无线电接入网(RAN)终止的用户平面UP数据安全有关的归属网络偏好,或指示与用于与所述UE的通信的归属网络终止的UP数据安全有关的决定。
根据本公开的示例,该处理器还可以执行用于执行本公开的任意前述方面或示例的方法的计算机可读程序代码。
根据本公开的另一个方面,提供了通信网络的统一数据管理(UDM),所述UDM被配置为与所述通信网络的会话管理功能(SMF)通信。所述UDM执行包括以下各项的操作:从所述SMF接收对UE的SM相关订阅数据的订阅数据请求;以及传送订阅数据响应,所述订阅数据响应指示与用于与所述UE的通信的无线电接入网(RAN)终止的用户平面UP数据安全有关的归属网络偏好,或指示与用于与所述UE的通信的归属网络终止的UP数据安全有关的决定。
根据本公开的示例,所述UDM可以执行包括本公开的任意前述方面或示例的方法的操作。
附图说明
为了更好地理解本公开,并且为了更清楚地示出可以如何实现本公开,现在将通过示例的方式来参考以下附图,其中:
图1是以参考点表示的非漫游5G系统架构的框图;
图2示出了下一代网络的可能的新RAN架构;
图3示出了NR和下一代核心网的服务质量(QoS)架构;
图4是UE请求的PDU会话的组合的流程图和数据流图;
图5是UE触发的服务请求过程建立(Service Request ProcedureEstablishment)的组合的流程图和数据流图;
图6是gNB与接入和管理功能(AMF)之间的消息的数据流图;
图7示出了用于针对切片访问管理的调用流程的操作和方法的组合的流程图和数据流图;
图8示出了用于gNB1和另一个gNB2之间的切换过程的操作和方法的组合的流程图和数据流图;
图9A和图9B是根据本公开的一些示例的可由UE执行的操作和方法的流程图;
图10A、图10B和图10C是根据本公开的一些示例的可由通信网络的网络节点执行的操作和方法的流程图;
图11A和图11B是用于操作通信网络的会话管理功能(SMF)的操作和方法的流程图;
图12A和图12B是用于操作通信网络的统一数据管理(UDM)的操作和方法的流程图;
图13是UE的框图;
图14示出了UE中存在的模块;
图15是网络节点的框图;
图16示出了网络节点中存在的模块;
图17是SMF的框图;
图18示出了SMF中存在的模块;
图19是UDM的框图;以及
图20示出了UDM中存在的模块。
具体实施方式
在下文中,将参考附图更全面地描述发明的构思,在附图中示出了发明的构思的实施例的示例。然而,发明的构思可以用多种不同形式来体现,并且不应当被解释为限于本文中所阐述的实施例。相反,提供这些实施例使得本公开将全面和完整,并且将本发明构思的范围充分传达给本领域技术人员。还应注意,这些实施例并不互相排斥。来自一个实施例的组成部分可以被默认假设为存在于/用于另一实施例中。下面描述的任何两个或更多个实施例可以以任何方式彼此组合。
本公开的一些实施例涉及提供操作和方法,该操作和方法使得能够提供和激活用户平面安全策略,且可使得能够告知核心网何时要开启和关闭核心网中驻留的RAN或UPF中的安全性。在一些示例中,可通过凭借其向核心网指示UE偏好的操作和方法来执行上述的阶段1和阶段2的逐步引入,该UE偏好关于是否使用针对每个ID/PDU会话ID对的在RAN中终止的用户平面(UP)加密和/或UP完整性保护。
为了清楚,假设存在支持用于UE和RAN(即,gNB)之间的用户平面(UP)的完整性和加密(或密码保护)的保护层。每当提到加密或完整性时,分别地表示该保护层中的加密或完整性保护特征。当前在LTE中由PDCP协议实现该保护层。预期在下一代系统中通过相同协议(即,PDCP)的增强版本也有可能实现相同的保护层。
该方案向网络提出了用于控制UE和RAN之间的无线电接口上的UP保护的灵活方式。通过控制来表示完整性或加密的激活或解激活。这种控制的粒度可以在网络切片、网络切片层或PDU会话的级别。即,通过与特定于网络切片或甚至可能特定于PDU会话来传输UP的所有无线电承载类似的方式,网络应用该控制。
这种控制特征可通过网络和UE之间的协商机制来操作性地实现,在该协商机制中,UE可以指示其关于在不同的粒度级别上激活或解激活加密或完整性的偏好。这是针对每个网络切片或针对每个PDU会话的。
UE的偏好可以被存储在UDM中(即,被包括在订阅信息中)。UE的偏好也可在UE中预先配置。归属网络可以通过向服务网络指示什么控制是优选的以及在哪种粒度级别上来帮助做出决定。
访问网络需要基于从归属网络接收的指示、UE偏好(如果提供)以及(例如,SMF中)针对访问网络配置的策略来做出关于是否应该使用加密和/或完整性终止的策略决定。核心网可在NAS层中向UE指示这种决定的结果。
针对每个切片ID或针对每个PDU会话,核心网需要通知RAN是否应该使用加密和/或完整性。该信息在核心网和RAN之间的N2接口上发送。
RAN可以基于从核心网接收的UE偏好和可能的其它信息来覆写这种决定或做出自己的决定。
如果UE偏好未被满足,则UE可以采取响应动作。该动作可以是连接至另一gNB/eNB,或者UE可以避免使用某个应用。
当UE在网络中移动且改变附着至网络的点时(即,在移动性事件、切换事件或双连接事件时),在网络侧需要在网络节点之间(例如,在两个基站之间或在接入管理实体之间)转发UE偏好(如果提供)和网络策略决定信息。这些动作的示例是:
·在切换事件中,源接入管理实体(AMF)通知目标AMF。
·在两个基站之间的Xn切换中,源基站需要通知目标基站是启用还是禁用UP加密和/或完整性保护(很可能特定于网络切片/PDU会话)。该信息可以在Xn接口上从源节点发送给目标节点。
·在两个基站之间的双连接中,针对每个DRB,主基站需要通知辅基站是启用还是禁用UP加密和/或完整性保护。该信息可以在Xn接口上从主基站发送给辅基站。
可以由本公开的一个或多个实施例提供的可能的优点包括:核心网可以开启和关闭用于(在UE和RAN之间发送的)UP数据的在RAN和UE中针对每个切片ID/PDU会话ID的加密和/或完整性保护的安全终止。可以由该系统的一个或多个元素执行的各个相关联的操作可以包括:针对决定或控制应该开启还是应该关闭RAN中的安全终止的决定者或控制者来提供操作;配置UE指示其偏好;配置UE进行请求且网络接受UE请求;配置归属网络应用安全策略;配置服务网络基于其自身的策略设置来进行修改;以及配置具有其自身的策略设置的RAN。
1.1基准变化实施例
假设在该实施例中UE支持在RAN中终止的UP加密。假设UE未被强制支持在RAN中终止的UP数据完整性保护。预期UE在NAS层中向核心网(AMF)发送的该UE的安全能力中指示UE是否支持在RAN中终止的UP数据完整性保护,例如,这可以由UE在向通信网络注册时指示。
如果可以假设UE被强制支持在RAN中终止的UP数据完整性保护,则UE可能无需在UE的能力指示中向网络指示UE是否支持在RAN中终止的UP数据完整性保护。
作为选项,对于UE的关于是否使用在RAN中终止的UP数据加密和完整性保护的偏好,UE可以具有两种不同的指示而不是一种指示。
1.1.1关于UP数据完整性保护和/或加密是否应该在RAN中终止的协商
在RAN中终止的UP数据加密:
UE和网络需要协商是否应该在RAN中终止UP数据加密。
假设UE支持RAN中的UP加密终止。UE可以指示UE的关于针对特定PDU会话ID是否使用RAN中的UP加密终止的偏好。该指示可以适用于所有的UP数据(即,所有切片类型的所有PDU会话),或者该指示可以针对每个切片类型(例如,网络切片选择辅助信息(NSSAI))或针对每个切片标识符(例如,数据网络名称(DNN))。
在RAN中终止的UP数据完整性保护:
UE和网络需要协商是否应该在RAN中终止UP数据完整性保护。
UE可以在其能力指示“UE 5G安全能力”中向网络指示其对RAN中的UP完整性保护终止的支持。
UE可以指示UE的关于针对特定PDU会话ID是否使用RAN中的UP完整性保护终止的偏好。该指示可以适用于所有的UP数据(即,所有切片类型的所有PDU会话),或者该指示可以针对每个切片类型(例如,网络切片选择辅助信息(NSSAI))或针对每个切片标识符(例如,数据网络名称(DNN))。
UE安全能力在注册过程中被指示给核心网(AMF)。
因此,在一些示例中,由UE发送的指示可以标识关于是否使用包括以下中的至少一项的安全保护来进行操作的UE偏好:
·在RAN中终止的UP数据加密保护;以及
·在RAN中终止的UP数据完整性保护。
在另一个示例中,UE发送的指示可以标识关于以下的UE偏好:是否使用已标识的PDU会话ID中的通信的UP数据的安全保护来进行操作。
在另一个示例中,UE发送的指示可以标识关于以下的UE偏好:是否使用根据以下至少一项的通信的UP数据的安全保护来进行操作:
·针对所有切片类型的所有的PDU会话的与RAN交换的所有UP数据;以及
·与特定的切片类型或与特定的切片标识符交换的所有UP数据。
所发送的指示可以标识UE偏好所应用于的网络切片选择辅助信息(NSSAI)或数据网络名称(DNN)。所发送的指示可以包括由UE向通信网络发送的UE 5G安全能力指示。
1.1.1PDU会话建立(广义变化实施例)
UP加密和/或UP完整性保护的激活或不激活可以被称为UP安全策略。用于PDU会话的UP安全策略可以由SMF在PDU会话建立过程期间提供给RAN(例如,提供给gNB)。UP安全策略可以指示UP加密和/或UP完整性保护是否应该针对属于该PDU会话的所有DRB来激活,并且UP安全策略可以用于激活针对属于该PDU会话的所有DRB的UP加密和/或UP完整性保护。SMF可以具有本地配置的UP安全策略,或者例如如果部署了动态策略和计费控制(PCC),则可以例如从统一数据管理(UDM)和/或从策略控制功能(PCF)获得UP安全策略。如在下文更详细地讨论的,RAN(例如,gNB)可以根据使用RRC信令接收的UP安全策略来针对每个DRB激活UP加密和/或UP完整性保护。
图4是针对非漫游和具有局部中断的漫游的UE请求的PDU会话建立的组合的流程图和数据流图。图4的操作和方法是TS 23.502第4.3.2.2款中定义的流程的修改。
在图4、图5中和本文的其它地方使用了以下缩写:
·RUS_Pre:RAN UP安全偏好
·UE_RUS_Pre:UE关于RAN UP安全的偏好
·SMF_RUS_Pre:会话管理实体关于RAN UP安全的偏好
·HN_Pre:归属网络关于UP安全的偏好。该偏好可以指示在服务网络中的RAN中或CN中的UP安全终止。
·HN_Dec:归属网络关于归属网络终止的UP安全的决定
·SN_Policy:服务网络可以具有与协商有关的策略规则以及作为RAN中的默认项使用的UP安全策略。
·RUS_Dec:RAN做出的关于RAN UP安全的决定。
·CUS_Dec:关于CN UP安全终止的决定。
图4中示出的操作和方法在UE已经在AMF上注册之后执行,因此AMF已经从UDM检索到了用户订阅数据。
在下文中解释了与图4中示出的17个被列举的步骤(即,步骤1至步骤17)对应的操作和方法。
步骤1-从UE到AMF:PDU会话建立请求(可选的UE RUS Pre)
发送PDU会话建立请求(PDU Session Establishment Request)消息并且可选地指示其关于RAN用户平面安全的偏好。所指示的偏好可以指示以下中的一项或多项:
·UE_RUS_Pre:使用/不使用在RAN中终止的UP数据加密,以及
·UE_RUS_Pre:使用/不使用在RAN中终止的UP数据完整性保护。
例如,如果UE支持IoT切片类型,则UE可以针对该IoT切片类型或不针对该特定的PDU会话ID来指示其关于是否使用在RAN中终止的UP数据加密或完整性保护或其二者的偏好。或者,如果UE被授权接入数据网络A(切片标识符),则UE可以针对该切片标识符指示其关于使用在RAN中终止的UP数据加密或完整性保护或其二者的偏好。备选地,如果UE是IoTUE,则UE可以指示所有UP数据优选使用在RAN中终止的UP数据加密和完整性保护二者。
图9A和图9B是根据本公开的一些示例的可由UE执行的操作和方法的流程图。参考图9A,UE向通信网络的SMF发送(框902A)PDU会话建立请求消息。如图9B中所示,UE可以在请求消息中向通信网络发送(框900B)对UE对在RAN中终止的UP数据安全保护的操作性支持的指示。
在另外的示例中,UE可以向通信网络中的SMF发送(902B)UE对在RAN中终止的UP数据安全保护的操作性支持的请求消息,作为PDU会话建立请求消息。
图10A、图10B和图10C是根据本公开的一些示例的可由通信网络的网络节点执行的操作和方法的流程图。参考图10A,网络节点(例如,通信网络的AMF)从UE接收(在框1002A)PDU会话建立请求消息。如图10C中所示,网络节点(例如,AMF)可以从UE接收(在框1000C)请求消息,该请求消息包含UE对在无线电接入网(RAN)中终止的UP数据安全保护的操作性支持的指示。
在另外的示例中,请求消息是在PDU会话建立请求消息中接收(1002C)的。网络节点可以是AMF,其向通信网络的SMF转发指示。
在一些另外的示例中,由网络节点接收的指示标识关于是否使用包括以下中的至少一项的安全保护来进行操作的UE偏好:
在RAN中终止的UP数据加密保护;以及
在RAN中终止的UP数据完整性保护。
网络节点接收的指示可以标识关于以下的UE偏好:是否使用已标识的PDU会话ID中的通信的UP数据的安全保护来进行操作。网络节点接收的指示可以标识关于以下的UE偏好:是否使用根据以下至少一项的通信的UP数据的安全保护来进行操作:
针对所有切片类型的所有的PDU会话的与RAN交换的所有UP数据;以及
与特定的切片类型或与特定的切片标识符交换的所有UP数据。
网络节点接收的指示可以标识UE偏好所应用于的NSSAI或DNN。网络节点接收的指示可以是UE向网络节点发送的UE 5G安全能力指示。
步骤2:
再参考图4,AMF基于未被用于UE的任何现有PDU会话的PDU会话ID来确定消息与针对新PDU会话的请求相对应。AMF按照TS 23.501[2]第6.3.2款中的描述来选择SMF。
步骤3-从AMF到SMF:
AMF向SMF传送带有PDU会话建立请求的SM请求,SM请求可以包括以下中的一项或多项:UE_RUS_Pre和SN_Policy。这图10A的框1004A处被示出,其中,网络节点(例如,AMF)向通信网络的SMF传送带有PDU会话建立请求的SM请求。网络节点可以附加地向SMF传送策略信息,该策略信息标识SMF是否被允许请求改变RAN安全性(框1006A),和/或网络节点可以向SMF传送默认安全策略值,该默认安全策略值指示以下中的至少一项:是否默认UE使用在RAN中终止的UP数据加密保护;以及是否默认UE使用在RAN中终止的UP数据完整性保护(框1008A)。
AMF可以向SMF转发UE偏好。如上文所讨论的,AMF可以向消息添加用于指示以下中的一项或多项的策略信息:
·SN_policy:如果SMF被允许请求改变RAN安全性,则AMF可以向SMF指示策略信息,以及
·SN_policy:AMF也可以向SMF指示默认的安全策略值(例如,使用RAN加密,不使用RAN完整性)。
因此,在一些另外的实施例中,可以向SMF传送带有标识SMF是否被允许请求改变RAN安全性的策略信息的指示。从AMF到SMF的通信可以包括指示以下中的至少一项的默认安全策略值:是否默认UE使用在RAN中终止的UP数据加密保护;以及是否默认UE使用在RAN中终止的UP数据完整性保护。
步骤4a-SMF到UDM:
SMF向UDM传送订阅数据请求,订阅数据请求可以包括订户永久ID和DNN。
SMF可以具有公共本地策略,该公共本地策略适用于访问与UP安全终止有关的网络切片的所有UE。在这种情况下,可以不需要来自UDM的策略信息。如果没有公共本地策略,并且SMF还没有检索到用于与DNN有关的针对UE的SM相关订阅数据,则SMF请求该订阅数据。
图11A和图11B是用于操作通信网络的SMF的操作和方法的流程图,该SMF被配置为与通信网络的AMF通信。参考图11A,SMF从AMF接收针对UE的带有PDU会话建立请求的SM请求(框1102A)。SMF可以与接收SM请求一起接收策略信息(框1104A),该策略信息标识SMF是否被允许请求改变RAN安全性。如图11B中所示,SMF可以从AMF接收(框1100B)对UE对在RAN中终止的UP数据安全保护的操作性支持的指示。在一些另外的实施例中,SMF可以与接收指示一起接收策略信息,该策略信息标识SMF是否被允许请求改变RAN安全性。
如图11A和图11B中所示,SMF可以通过以下操作响应于消息的接收:确定(框1106A或框1102B)确定SMF是否包含适用于所有UE的公共本地策略,以及如果不包含适用于所有UE的公共本地策略,则向统一数据管理(UDM)传送订阅数据请求,以检索与数据网络名称(DNN)有关的针对UE的SM相关订阅数据(框1108A)。检索到的针对UE的SM相关订阅数据可以标识是否使用包括以下中的至少一项的安全保护来进行操作:
在RAN中终止的UP数据加密保护;以及
在RAN中终止的UP数据完整性保护(图11A的框1110A)。
步骤4b-UDM到SMF:
UDM向SMF传送订阅数据响应,订阅数据响应可以包括以下中的一项或多项:HN_Pre和HN_Dec。
UDM可以向SMF指示与RAN终止的UP安全有关的归属网络偏好或关于归属网络终止的UP安全的决定。归属网络偏好(HN_Pre)可以特定于RAN UP安全,例如,归属网络偏好可以包括以下中的一项或多项:
·UDM在其订阅数据中指示:在RAN中终止的UP加密是应该使用还是禁止使用,或者是不重要的,以及
·UDM在其订阅数据中指示:在RAN中终止的UP完整性保护是应该使用还是禁止使用,或者是不重要的。
归属网络偏好(HN_Pre)也可以特定于UP的CN终止,例如,
·可选的:UDM指示UP加密和/或UP完整性保护应该在服务网络中的CN中被终止。
归属网络决定(HN_Dec)特定于UP安全的归属网络终止,例如,
·可选的:UDM指示UP加密和/或UP完整性保护应该在归属网络中的CN中被终止。
图12A和图12B是用于操作被配置为与SMF通信的通信网络的UDM的操作和方法的流程图。UDM从SMF接收(图12A的框1202A或图12B的框1200B)对针对于UE的SM相关订阅数据的订阅数据请求,并且传送(图12A的框1204A和图12B的框1202B)订阅数据响应,该订阅数据响应指示与用于与UE的通信的RAN终止的UP数据安全有关的归属网络偏好,或指示与用于与UE的通信的归属网络终止的UP数据安全有关的决定。
订阅数据响应可以指示:在RAN中终止的UP数据加密是应该使用,必须使用,还是对于UE而言是否使用是不重要的(图12A的框1206A)。订阅数据响应可以备选地指示:在RAN中终止的UP数据完整性保护是应该使用,必须使用,还是对于UE而言是否使用是不重要的(框1208A)。订阅数据响应还可以备选地指示:UP数据加密和/或完整性保护是否应该在归属网络中的核心网(CN)中被终止(框1210A)。
步骤5-SMF经由UPF到DN:
如果SMF需要根据TS 23.501[2]的第5.6.6款中的描述来授权/认证PDU会话的建立,则SMF根据TS 23.501[2]第6.3.3款中的描述来选择UPF,并且根据第4.3.2.X节中的描述来触发PDU会话建立认证/授权。
如果PDU会话建立认证/授权失败,则SMF终止PDU会话建立过程并向UE指示拒绝。
步骤6a:
如果动态PCC被部署,则SMF执行PCF选择。
步骤6b:
SMF可以向PCF发起PDU-CAN会话建立,以得到用于PDU会话的默认的PCC规则。在一些示例中,SMF还可以从PCF获得用于PDU会话的UP安全策略(图11A的框1112A)。这可以被添加至从来自UDM的订阅信息中获得的UP安全策略或作为从来自UDM的订阅信息中获得的UP安全策略的备选。例如,UP安全策略可以是作为动态PCC的部分从PCF下载的PCC策略获得的。
步骤7:
SMF选择用于PDU会话的SSC模式。
步骤8:
如果动态PCC被部署且PDU-CAN会话建立在步骤5中未被完成,则SMF向PCF发起PDU-CAN会话建立以得到用于PDU会话的默认的PCC规则。如上文所讨论的,在一些示例中,SMF还可以从PCF获得用于PDU会话的UP安全策略。这可以被添加至从来自UDM的订阅信息中获得的UP安全策略或作为从来自UDM的订阅信息中获得的UP安全策略的备选。例如,UP安全策略可以是作为动态PCC的部分从PCF下载的PCC策略获得的。
步骤9:
如果步骤5未被执行,则SMF向已选择的UPF发起N4会话建立(N4 SessionEstablishment)过程,否则SMF向已选择的UPF发起N4会话修改(N4 SessionModification)过程:
步骤9a SMF向UPF发送N4会话建立/修改请求(N4 Session Establishment/Modification Request),并且提供用于该PDU会话的要在UPF上安装的分组检测、执行和报告规则。
步骤9b UPF通过发送N4会话建立/修改响应(N4 Session Establishment/Modification Response)来进行肯定应答。
步骤10-SMF到AMF:
SMF向AMF传送SM请求肯定应答,SM请求肯定应答包括针对在RAN中终止的UP数据安全保护的策略并且可以可选地包括以下中的一项或多项:
UE_RUS_Pre;
SMF_RUS_Pre;
SMF_CUS_Dec;
HN_Dec;以及
PDU会话建立接受(PDU Session Establishment Accept)(可选地包括:SMF_RUS_Pre、SMF_CUS_Dec和/或HN_Dec)
再参考图11A和图11B,SMF向AMF传送SM请求肯定应答(SM RequestAcknowledgement)消息,SM请求肯定应答消息包括针对在RAN中终止的UP数据安全保护的策略(图11A的框1114A)。策略可以指示是否应该将完整性保护和/或加密用于在为PDU会话提供服务的所有无线电承载上发送的数据(框1116A)。在图10A的框1010A处示出了AMF处对该消息的接收。在AMF接收的SM请求肯定应答消息可以包括对以下任一项的指示:是否使用在RAN中终止的UP数据加密保护和/或在RAN中终止的UP数据完整性保护(框1012A),和/或是否应该将完整性保护和/或加密用于在为PDU会话提供服务的所有无线电承载上发送的数据(框1014A)。
SM请求肯定应答消息可以包括:针对RAN UP安全的SMF请求(SMF_RUS_Pre)或针对服务网络中的CN终止的UP安全的SMF决定(SMF_CUS_Dec)或针对归属网络中的CN终止的UP安全的HN决定(HN_Dec)。
如图11A和图11B中所示,SMF可以操作以向AMF传送(1118A和1104B)SM请求肯定应答消息,SM请求肯定应答消息包括:针对在RAN中终止的UP数据安全保护的SMF请求、针对服务网络中的核心网(CN)终止的UP数据安全保护的SMF决定、和/或针对归属网络中的CN终止的UP数据安全保护的归属网络决定。
步骤11-AMF到(R)AN:
再参考图10A,网络节点(例如,AMF)向RAN节点传送接收到的针对在RAN中终止的UP数据安全保护的策略。如图10B中所示,该通信可以在步骤1002B中在RAN节点处被接收。
如图4中所示,AMF向RAN传送N2 PDU会话请求,N2 PDU会话请求可以包括以下中的一项或多项:SMF_RUS_Pre、SMF_CUS_Dec、HN_Dec、PDU会话建立、接受、SMF_RUS_Pre、SMF_CUS_Dec和HN_Dec。
来自消息10的信息被转发给RAN。
可以在上面的步骤11和下面的步骤12之间执行附加的步骤,附加的步骤包括(R)AN操作以做出与在RAN中终止的UP安全有关的策略决定。RAN考虑提供给它的所有信息,可包括以下中的一项或多项:
·与在RAN中终止的UP安全有关的RAN的本地策略。
·UE_RUS_Pre
·SMF_RUS_Pre
·SMF_CUS_Dec
·HN_Dec
步骤12-(R)AN到UE:
RAN向UE传送特定于AN的资源建立,该特定于AN的资源建立可以包括:PDU会话建立接受(PDU Session Establishment Accept)和/或RUS_Dec。
(R)AN向UE指示策略决定。这在图10B的框1004B中被示出,在该框中,RAN节点向请求PDU会话的UE传送与接收到的针对PDU会话的针对在RAN中终止的UP数据安全保护的策略有关的策略决定。如框1006B中示出的,策略决定可以包括:RAN中的UP数据加密终止是否用于PDU会话,以及RAN中的UP数据完整性保护终止是否用于PDU会话。如在框1008B中示出的,策略决定可以在RRC信令中(例如,在RRC连接重配置(RRC Connection Reconfiguration)消息中)传送。如框1010B中所示,RAN节点可以在RRC连接重配置消息中包括所选择的用于完整性保护和/加密的算法。再参考图4,如果(R)AN激活UE和(R)AN之间的针对该PDU会话ID/切片ID的加密和/或完整性保护,则(R)AN可以使用RRC信令来这样做,例如,(R)AN可以在RRC连接重配置消息中向UE指示所选择的用于在服务该PDU会话ID的所有无线电承载上发送的UP数据的完整性保护和/加密的算法。RRC连接重配置消息是被完整性保护的。
再参考图9A,在框904A中,UE接收策略决定,所述策略决定与PDU会话的在RAN中终止的UP数据安全保护有关。如上文所讨论的,这可以在RRC信令中(例如,在RRC连接重配置消息中)接收(框908A)。策略决定可以指示是否使用包括以下中的至少一项的安全保护来进行操作:在RAN中终止的UP数据加密保护;以及在RAN中终止的UP数据完整性保护(框906A)。如果接收到的策略决定指示激活PDU会话的加密和/或完整性保护,则UE可以激活PDU会话的加密和/或完整性保护(框910A)。UE可以从归属网络接收对UE不使用在RAN中终止的UP数据安全保护的决定;以及,作为响应,可以阻止UE操作性地使用算法来对在UE和RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护(框912A)。
因此,RAN或其它网络节点可以被配置为:通过选择用于因操作性目的而激活的加密保护和/或完整性保护的一个或多个算法,来对激活以下至少一项的操作性使用进行响应:在RAN中终止的UP数据加密保护,以及在RAN中终止的UP数据完整性保护。RAN或其它网络节点随后可以使用该一个或多个算法来对在服务于去往UE的无线电资源控制(RRC)连接重配置消息中的PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
在一些实施例中,响应于激活以下至少一项的操作性使用,UE可以对应地选择UE支持的用于因操作性目的而激活的加密保护和/或完整性保护的一个或多个算法:在RAN中终止的UP数据加密保护;以及在RAN中终止的UP数据完整性保护,并且使用该一个或多个算法来对在UE和RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
可以可选地执行以下附加的子步骤中的一个或多个子步骤:
可选的:UE存储关于是否应该在RAN中使用UP加密终止的偏好或指示,该偏好或指示是针对该PDU会话ID/切片ID在PDU会话建立接受消息中接收的。
可选的。UE存储关于是否应该在RAN中使用UP完整性保护终止的偏好或指示,该偏好或指示是针对该PDU会话ID/切片ID在PDU会话建立接受消息中接收的。
可选的。如果接收到的PDU会话建立接受消息中的偏好或指示指示激活UE和(R)AN之间的针对该PDU会话ID的加密和/或完整性保护,则UE可以激活UE和(R)AN之间的针对该PDU会话ID的加密和/或完整性保护。
可选的。UE使用在来自(R)AN的RRC连接重配置消息中接收的用于完整性保护和/加密的所选择的算法。(R)AN可以具有不同的偏好并且可以不遵守向UE发送的PDU会话建立接受消息中的偏好。
可选的。UE现在可以针对该PDU会话ID/切片ID发送被加密和/或被完整性保护的UP数据。
步骤13-(R)AN到AMF:
RAN向AMF传送N2 PDU会话请求肯定应答(N2 PDU Session Request Ack)和/或RUS_Dec。
RAN向AMF指示策略决定。(R)AN向AMF和SMF指示是否针对该PDU会话ID使用RAN中的UP加密终止。(R)AN向AMF和SMF指示是否针对该PDU会话ID使用RAN中的UP完整性保护终止。AMF可以存储从RAN接收的针对特定PDU会话ID的策略决定。
因此,RAN或其它网络节点可以向AMF传送指示以下中的至少一项的策略决定:RAN中的UP数据加密终止是否被用于该PDU会话ID;以及RAN中的UP数据完整性保护终止是否被用于该PDU会话ID。
根据本公开的一些示例,(R)AN不可以否决由SMF(经由AMF)提供的UP安全策略。如果(R)AN不能根据接收到的UP安全策略的激活UP机密性和/或UP完整性保护,则(R)AN可以拒绝针对PDU会话的UP资源建立。
步骤14-AMF到SMF:
AMF向SMF传送SM请求和/或N2 SM信息。
AMF将从(R)AN接收的N2 SM信息转发给SMF。另外的可选操作包括AMF向SMF指示策略决定。
步骤15a:
如果针对该PDU会话的N4会话还没有被建立,则SMF与UPF发起N4会话建立(N4Session Establishment)过程。SMF可以将经由AMF从RAN接收的策略决定转发给UPF。
步骤15b:
15bUPF向SMF提供N4会话建立/修改响应(N4 Session Establishment/Modification Response)。
步骤16:
在该步骤之后,(例如,在(R)AN隧道信息(Tunnel Info)改变或AMF被重新定位时的切换时),AMF向SMF转发有关的事件。
步骤17:SMF经由UPF到UE
在PDU类型IPv6的情况下,SMF生成IPv6路由器公告(Router Advertisement)并且经由N4和UPF将其发送给UE。
1.1.2CM-IDLE状态下的UE触发的服务请求
图5是UE触发的服务请求(Service Request)过程的组合的流程图和数据流图。图5的操作和方法是TS 23.502第4.3.3.3款中定义的流程的修改。
描述了操作和方法的两个不同的可选示例(选项1和选项2),其中RAN向UE指示如何针对为相同的PDU会话ID服务的无线电承载建立和设置UP安全。选项2可以是优选的方法。
在下文中解释了与图5中示出的12个被列举的步骤(即,步骤1至步骤12)对应的操作和方法。
步骤1:UE至(R)AN
MM非接入层(NAS)服务请求(Service Request)消息从UE发送给RAN。NAS服务请求可以包括:PDU会话ID、安全参数、PDU会话状态、以及每切片ID/PDU会话ID,并且可以可选地包括UE_Rus_Pre。可选的步骤包括:UE指示其针对每个PDU会话ID的UE_Rus_Pre。
再参考图9B,在另一个示例中,UE向RAN发送(904B)针对UE对在RAN中终止的UP数据安全保护的操作性支持的请求消息,作为非接入层(NAS)服务请求消息。
在另外的示例中,所发送的指示标识关于是否使用包括以下中的至少一项的安全保护来进行操作的UE偏好:
在RAN中终止的UP数据加密保护;以及
在RAN中终止的UP数据完整性保护。
在另一个实施例中,所发送的指示标识关于以下的UE偏好:是否使用已标识的PDU会话ID中的通信的UP数据的安全保护来进行操作。
在又一个示例中,所发送的指示标识关于以下的UE偏好:是否使用根据以下至少一项的通信的UP数据的安全保护来进行操作:
针对所有切片类型的所有的PDU会话的与RAN交换的所有UP数据;以及
与特定的切片类型或与特定的切片标识符交换的所有UP数据。
再参考图10C,网络节点可以是RAN,并且可以被操作用为:接收(1004C)具有UE对在RAN中终止的UP数据安全保护的操作性支持、以及每切片ID和PDU会话ID中的至少一项的作为NAS服务请求消息的请求消息。
步骤2:(R)AN到AMF
RAN向AMF传送N2消息(N2 Message),N2消息包括MM NAS服务请求(MM NASService Request),NAS服务请求可以包括:PDU会话ID、安全参数、PDU会话状态、以及每切片ID/PDU会话ID,并且可以可选地包括UE_Rus_Pre。N2消息可以包括:5G临时ID、位置信息、RAT类型和RRC建立理由。
因此,在一个实施例中,响应于接收(1004C)NAS服务请求消息,网络节点(可以是RAN)向AMF传送指示,并传送每切片ID和PDU会话ID中的至少一项。
步骤3
如果服务请求未经完整性保护地发送或完整性保护被指示为失败,则AMF应该根据第4.6款中的定义来发起NAS认证/安全过程。
步骤4a:[有条件的]AMF到SMF:
AMF向SMF传送N11消息(N11 Message)和/或PDU会话ID。
如果MM NAS服务请求消息包括PDU会话ID,或者该过程是由SMF触发的但是来自UE的PDU会话ID与触发该过程的SMF之外的其它的SMF相关,则AMF向SMF发送与PDU会话ID相关联的N11消息。
步骤4b:[有条件的]SMF到AMF:
SMF向AMF传送针对每切片ID/PDU会话ID对的N11消息。N11消息可以可选地包括以下中的一项或多项:SMF_RUS_Pre、SMF_CUS_Dec、HN_Dec、N2 SM信息、QoS概要、CN N3隧道信息、每切片ID/PDU会话ID对、SMF_RUS_Pre、SMF_CUS_Dec和HN_Dec。
在4a中接收N11消息之后,每个SMF向发AMF送N11消息,以建立针对PDU会话的用户平面。N2 SM信息包含有AMF应该提供给RAN的信息。
SMF还可以包括每切片ID/PDU会话ID对的以下信息中的一项或多项信息:SMF_RUS_Pr、SMF_CUS_Dec、HN_Dec和UE_RUS_Pre。
步骤5a:AMF到(R)AN:
AMF向RAN传送N2请求(N2 Request),该N2请求可以包括从SMF接收的N2 SM信息、安全上下文、AMF信令连接(AMF Signaling Connection)ID、切换限制列表(HandoverRestriction List)、MM NAS服务接受(MM NAS Service Accept)、切片ID/PDU会话ID对的列表:每切片ID/PDU会话ID对。N2请求可以可选地包括以下中的一项或多项:SMF_RUS_Pre、SMF_CUS_Dec、UE_RUS_Pre和HN_Dec。
AMF将以下信息与到RAN的N2请求包括在一起:切片ID/PDU会话ID对的列表、每切片ID/PDU会话ID对。N2请求可以可选地包括以下中的一项或多项:SMF_RUS_Pre、SMF_CUS_Dec和HN_Dec。
(R)AN可以可选地操作以做出与在RAN中终止的UP安全有关的策略决定。RAN的策略决定可以基于提供给RAN的以下信息中的一项或多项信息:
·与在RAN中终止的UP安全有关的RAN的本地策略
·UE_RUS_Pre
·SMF_RUS_Pre
·SMF_CUS_Dec
·HN_Dec
因此,在一些示例中,RAN从AMF接收包括以下至少一项的信息:会话管理实体对在RAN中终止的UP数据安全保护的偏好;会话管理实体对在RAN中终止的UP数据安全保护的偏好;核心网关于UP数据安全保护终止的决定;归属网络关于归属网络终止的UP数据安全保护的决定;以及RAN的与在RAN中终止的UP数据安全保护有关的本地策略。RAN存储这些信息,以在控制与UE的通信时使用。
当RAN可以可选地操作以基于UE_RUS_Pre做出策略决定时,SMF还被配置为向RAN传送UE_RUS_Pre。
步骤5b:RAN到UE
RAN向UE发送AS安全模式命令(AS Security Mode Command)消息,该AS安全模式命令消息可以包括用于保护CP信令的所选择的加密和完整性算法,并且针对每切片ID/PDU会话ID可以可选地包括(选项1):所选择的用于UP数据保护的加密算法和/或完整性算法。该消息是利用K-RRCint密钥来进行完整性保护的。
每切片ID/PDU会话ID:
对于为相同的切片ID/PDU会话ID提供服务的所有的无线电承载,以下操作和方法适用于步骤5a的选项1和(下文中的)步骤6的选项2:
·(R)AN存储接收到的信息,接收到的信息可以包括用于切片ID/PDU会话ID的以下信息中的一项或多项:作为N2 SM中的信息接收的UE_RUS_Pre、SMF_RUS_Pre、SMF_CUS_Dec、HN_Dec。RAN可以具有已配置的可以覆写从核心网接收的偏好的不同策略。RAN决定并设置RUS_Dec中的RAN UP安全策略。
·如果RUS_Dec指示UP加密终止应该在RAN中使用,则RAN可以为UE和(R)AN之间的用于为该切片ID/PDU会话ID服务的所有无线电承载激活加密。通过根据从AMF接收的UE 5G能力(具有UE支持的算法)和(R)AN中的已配置的列表中的配置了最高优先级的算法来选择共同的算法,(R)AN选择用于加密的算法。
·如果RUS_Dec指示UP完整性保护终止应该在RAN中使用,则RAN可以为UE和(R)AN之间的用于为该切片ID/PDU会话ID服务的所有无线电承载激活完整性保护。通过根据从AMF接收的UE5G能力(具有UE支持的算法)和(R)AN中的已配置的列表中的配置了最高优先级的算法来选择共同的算法,(R)AN选择用于完整性保护的算法。
·如果RUS_Dec指示UP加密终止不应该在RAN中使用,则阻止RAN为UE和(R)AN之间的用于为该切片ID/PDU会话ID服务的所有无线电承载激活加密。RAN向UE指示不应该针对UE和(R)AN之间的用于为该切片ID/PDU会话ID服务的所有无线电承载使用UP加密。
·如果RUS_Dec指示UP完整性保护终止不应该在RAN中使用,则阻止RAN为UE和(R)AN之间的用于为该切片ID/PDU会话ID服务的所有无线电承载激活完整性保护。RAN向UE指示不应该针对UE和(R)AN之间的用于为该切片ID/PDU会话ID服务的所有无线电承载使用UP完整性保护。
因此,在一些示例中,通过选择UE支持的用于因操作性目的而激活的加密保护和/或完整性保护的一个或多个算法,UE对激活以用于以下至少一项的操作性使用进行响应:在RAN中终止的UP数据加密保护,以及在RAN中终止的UP数据完整性保护。UE随后使用该一个或多个算法来对在UE和RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
在一些另外的示例中,通过作为响应来阻止UE操作性地使用算法来对在UE和RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护,UE对从归属网络接收对UE不使用在RAN中终止的UP数据安全保护的决定进行响应。
在一些其它的相关示例中,响应于激活以下至少一项的操作性使用,网络节点(例如,RAN)选择UE支持的用于因操作性目的而激活的加密保护和/或完整性保护的一个或多个算法:在RAN中终止的UP数据加密保护,以及在RAN中终止的UP数据完整性保护。网络节点随后使用该一个或多个算法来对在UE和RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
在另外的示例中,响应于激活以下至少一项的操作性使用,网络节点(例如,RAN)选择UE支持的用于因操作性目的而激活的加密保护和/或完整性保护的一个或多个算法:在RAN中终止的UP数据加密保护,以及在RAN中终止的UP数据完整性保护。网络节点随后使用该一个或多个算法来对在UE和RAN之间的服务于相同切片ID和/或相同PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
在另外的示例中,网络节点(例如,RAN)从归属网络接收对RAN不使用在RAN中终止的UP数据安全保护的决定,并且作为响应,阻止RAN操作性地使用算法来对在UE和RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
步骤5c:UE至RAN:
UE可以向RAN传送AS安全模式命令完成(AS Security Mode Command Complete)。
UE使用所指示的用于CP信令的保护的安全算法。UE使用所指示的用于UP数据的保护的针对为相同切片ID和/或PDU会话服务的所有无线电承载的安全算法。
步骤6:(R)AN到UE
RRC连接重配置(选项2:针对为相同切片ID和/或PDU会话ID服务的无线电承载:所选择的用于UP数据保护的加密算法和/或完整性算法)。
RAN根据已激活的PDU会话的所有QoS流的QoS信息以及数据无线电承载来执行与UE的RRC连接重配置。用户平面安全在该步骤被建立,这在RAN规范中被详细描述。
选项2:如在上文的步骤5b中的描述。
RAN向UE转发MM NAS服务接受。UE在本地删除5G CN中不可用的PDU会话的上下文。
步骤7
在用户平面无线电资源被建立之后,此时上行链路数据可以从UE转发给RAN。5GRAN向步骤4中提供的UPF地址和隧道ID发送上行链路数据。
1.1.3连接模式移动性-N2切换
图7示出了涉及移动性的活跃模式CN中用于针对切片访问管理的调用流程的操作和方法的组合的流程图和数据流图,该操作和方法由UE、注册区1中的gNB1、注册区2中的另一个gNB2和AMF执行。
为了使目标gNB可以做出特定于切片的准入控制决定并且选择合适的特定于切片的核心节点实体,作为切换过程的一部分,源gNB需要向目标gNB传递所考虑的UE正在使用的切片。
当选择了目标小区时,发起切换信令。该过程尝试将用于UE的所有的活跃切片的PDU会话资源从一个源节点移动至目标节点。
如果切换过程涉及NGC,则在该过程期间,目标AMF负责在NAS层去除(或解激活)在目标节点上不再支持的任何切片。与已去除的切片相关联的PDU会话在目标节点上不被准许接入。
在图7中示出了针对涉及CN的切换的情况的该调用流程的示例。可以容易地推断出类似X2的切换的情况。
gNB1在需要切换(HANDOVER REQUIRED)消息中且AMF在切换请求(HANDOVERREQUEST)消息中包括需要由目标gNB2为其分配资源的切片ID/PDU会话对的列表。并且针对每个切片ID/PDU会话ID对:RUS_Dec。AMF因此在去往目标gNB2的切换请求消息中包括UE的UP安全策略。
针对每个切片ID/PDU会话ID对:
参考图7,如果RUS_Dec指示在RAN中终止的UP加密应该被使用,则目标gNB2按照根据优先级在本地配置的算法的列表从UE5G安全能力选择具有最高优先级的算法(这适用于完整性算法和密码保护算法二者)。如果目标gNB选择与源gNB不同的算法,则在切换命令中针对每个切片ID/PDU会话ID对将已选择的加密算法和对应该使用在RAN中终止的UP加密的指示指示(通过通信来发信号通知)给UE。如果UE接收到对应该使用在RAN中终止的UP加密的指示,但是没有接收到对密码保护算法的任何选择,则UE继续使用与切换之前相同的算法(参见TS 36.331[21])。目标gNB2可以拒绝与接收到的UP安全策略不相符的任何PDU会话。
相比之下,如果RUS_Dec指示在RAN中终止的UP完整性保护应该被使用,则目标gNB2按照根据优先级在本地配置的算法的列表从UE 5G安全能力选择具有最高优先级的算法(这适用于完整性算法和密码保护算法二者)。如果目标gNB选择与源gNB不同的算法,则在切换命令中针对每个切片ID/PDU会话ID对将已选择的完整性保护算法和对应该使用在RAN中终止的UP完整性保护的指示指示(通过通信来发信号通知)给UE。如果UE接收到对应该使用在RAN中终止的UP完整性保护的指示,但是没有接收到对完整性保护算法的任何选择,则UE继续使用与切换之前相同的算法(参见TS 36.331[21])。
1.1.4连接模式移动性-Xn切换
图8示出了用于gNB1和另一个gNB2之间的切换过程的操作和方法的组合的流程图和数据流图。
参考图8,源gNB1包括在接收到的切换请求消息中。该消息包含有PDU会话ID+切片ID的列表。该消息包含有每PDU会话ID,包括包含:
-属于相同的PDU会话ID的无线电承载的列表;
-对是否应该使用在RAN中终止的UP加密的指示;以及
-对是否应该使用在RAN中终止的UP完整性保护的指示。源gNB1因此在切换请求消息中包括UE的UP安全策略。
对于属于相同的PDU会话ID的所有无线电承载,如果RUS_Dec指示应该使用在RAN中终止的UP加密,则目标gNB2按照根据优先级在本地配置的算法的列表从UE 5G安全能力中选择具有最高优先级的算法。如果目标gNB选择与源gNB不同的算法,则针对属于相同的PDU会话ID+切片ID的所有无线电承载,在切换命令(HANDOVER COMMAND)消息中向UE指示已选择的加密算法和对应该使用在RAN中终止的UP加密的指示。如果UE接收到对应该使用在RAN中终止的UP加密的指示,但是没有接收到对密码保护算法的任何选择,则UE继续使用与切换之前相同的算法(参见TS 36.331[21])。
对于属于相同的PDU会话ID的所有无线电承载,如果RUS_Dec指示应该使用在RAN中终止的UP完整性保护,则目标gNB2按照根据优先级在本地配置的算法的列表从UE 5G安全能力中选择具有最高优先级的算法。针对属于相同的PDU会话ID+切片ID的所有无线电承载,向UE指示已选择的完整性保护算法和对应该使用在RAN中终止的UP完整性保护算法的指示。如果UE接收到对应该使用在RAN中终止的UP完整性保护的指示,但是没有接收到对完整性保护算法的任何选择,则UE继续使用与切换之前相同的算法(参见TS 36.331[21])。
如果目标基站(gNB2)不支持在RAN中终止的UP数据加密,并且来自源基站(gNB1)的RUS_Dec指示UP加密应该被使用,则目标基站(gNB2)可以如下操作:通过利用错误编码进行响应来拒绝来自源基站的切换请求,或者接受请求但是仍然在切换响应消息中向源基站指示UP加密在目标基站中不能使用。针对目标节点配置的策略可以确定合适的动作。如果目标基站接受请求但是在响应中向源基站指示UP加密不能使用,则源基站中配置的策略可以确定源基站是应该继续该过程还是终止与目标基站的连接。在其它示例中,目标gNB2可以拒绝与接收到的UP安全策略不相符的任何PDU会话。
如果目标基站(gNB2)不支持在RAN中终止的UP数据完整性保护,并且来自源基站(gNB1)的RUS_Dec指示UP完整性应该被使用,则目标基站(gNB2)可以如下操作:通过利用错误编码进行响应来拒绝来自源基站的切换请求,或者接受请求但是仍然在切换响应消息中向源基站指示UP完整性在目标基站中不能使用。针对目标节点配置的策略可以确定合适的动作。如果目标基站接受请求但是在响应中向源基站指示UP完整性不能使用,则源基站中配置的策略可以确定源基站是应该继续该过程还是终止与目标基站的连接。
示例UE、网络节点、SMF、UDM以及其相关模块
图13是根据本文公开的针对UE的一个或多个实施例的被配置为与通信网络无线通信的UE 1300的框图。UE 1300包括:收发机电路1320、处理器电路1302(“处理器”)、以及包含有计算机可读程序代码1312的存储器电路1310(“存储器”)。UE 1300还可以包括显示器1330、用户输入接口1340和扬声器1350。
收发机1320被配置为与网络节点(例如,RAN)通信,并且可以使用本文公开的无线电接入技术中的一种或多种通过无线空中接口与其它UE通信。处理器1302可以包括诸如通用处理器和/或专用处理器(例如,微处理器和/或数字信号处理器)之类的一个或多个数据处理电路。处理器1302被配置为执行存储器1312中的计算机可读程序代码1312,以执行本文描述的由UE执行的操作中的至少一些操作。
图14示出了根据本公开的一些实施例和示例的执行本文公开的操作的存在于UE中的模块1400。模块1400包括操作模块1402。操作模块1402可以执行本文公开的由UE执行的操作和方法中的一项或多项。例如,操作模块可以在请求消息中向通信网络发送对UE对在RAN中终止的UP数据安全保护的操作性支持的指示。
图15是根据本文公开的针对网络节点的一个或多个实施例和示例的被配置为与UE通信的通信网络的网络节点1500的框图。网络节点1500可以与根据本文公开的至少一个实施例或示例配置的AMF和/或RAN对应。网络节点1500可以包括网络接口1520(例如,有线网络接口和/或无线收发机)、处理器电路1502(“处理器”)和包含有计算机可读程序代码1512的存储器电路1510(“存储器”)。
处理器1502可以包括诸如可共处一地或分布在一个或多个网络上的通用和/或专用处理器(例如,微处理器和/或数字信号处理器)之类的一个或多个数据处理电路。处理器1502被配置为执行存储器1510中的计算机可读程序代码1512,以执行本文描述的由网络节点(例如,AMF和/或RAN)执行的操作和方法中的至少一些操作和方法。网络接口1520与UE、另一网络节点和/或核心网通信。
图16示出了根据针对AMF和/或RAN的一些实施例的执行本文公开的操作的存在于网络节点中的模块1600。模块1600包括操作模块1602,操作模块1602执行本文公开的由网络节点(可以是AMF和/或RAN)执行的操作和方法中的一项或多项。例如,操作模块可以从UE接收请求消息,该请求消息包含有对UE对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的操作性支持的指示。
图17是通信网络的会话管理功能(SMF)1700的框图,该SMF1700被配置为与通信网络的核心接入和移动性管理功能(AMF)通信。SMF 1700可以包括:网络接口1720(例如,有线网络接口和/或无线收发机)、处理器电路1702(“处理器”)、以及包含有计算机可读程序代码的1712的存储器电路1710(“存储器”)。
处理器1702可以包括诸如可共处一地或分布在一个或多个网络上的通用和/或专用处理器(例如,微处理器和/或数字信号处理器)之类的一个或多个数据处理电路。处理器1702被配置为执行存储器1710中的计算机可读程序代码1712,以在由SMF执行时执行本文描述的操作和方法中的至少一些操作和方法。网络接口1720与AMF和UDM通信。
图18示出了根据针对SMF的一些实施例的执行本文公开的操作的存在于SMF中的模块1800。模块1800包括操作模块1802,操作模块1802可以执行本文公开的由SMF执行的其它操作和方法中的一项或多项。例如,操作模块可以从AMF接收对UE对在RAN中终止的UP数据安全保护的操作性支持的指示。
图19是通信网络的统一数据管理(UDM)1900的框图,该UDM1900被配置为与通信网络的会话管理功能(SMF)通信。UDM 1900可以包括:网络接口1920(例如,有线网络接口和/或无线收发机)、处理器电路1902(“处理器”)、以及包含有计算机可读程序代码的1912的存储器电路1910(“存储器”)。
处理器1902可以包括诸如可共处一地或分布在一个或多个网络上的通用和/或专用处理器(例如,微处理器和/或数字信号处理器)之类的一个或多个数据处理电路。处理器1902被配置为执行存储器1910中的计算机可读程序代码1912,以在由UDM执行时执行本文所描述的操作和方法中的至少一些操作和方法。网络接H1920与网络的SMF和其它的节点通信。
图20示出了根据针对UDM的一些实施例的执行本文公开的操作的存在于UDM中的模块2000。模块2000包括操作模块2002,操作模块2002执行本文公开的由网络节点(可以是UDM)执行的其它的操作和方法中的一项或多项。例如,操作模块可以从SMF接收(图12B的框1200B)对针对于UE的SM相关订阅数据的订阅数据请求,并且传送(图12B的框1202B)订阅数据响应,该订阅数据响应指示与用于与UE的通信的RAN终止的UP数据安全有关的归属网络偏好,或指示与用于与UE的通信的归属网络终止的UP数据安全有关的决定。
缩写:
AMF 接入管理功能
HSS 归属订户服务器
SDM 订户数据管理
MME 移动性管理实体
gNB 下一代Node-B
eNB 演进的Node-B
UP 用户平面
RAN 无线电接入网
GPRS 通用分组无线电服务
IoT 物联网
NGC 下一代核心网
另外的定义和实施例:
在对本公开的各种实施例的以上描述中,应理解本文使用的术语仅用于描述具体的实施例的目的,并且不旨在限制本发明。除非另外定义,否则本文使用的所有术语(包括技术和科学术语)具有与本公开所属领域的普通技术人员通常所理解的相同的含义。还应理解,诸如在通用词典中定义的那些术语之类的术语应被解释为具有与它们在本说明书的上下文和相关技术中的意义相一致的意义,而不被解释为理想或过于表面的意义,除非本文如此明确地定义。
当元件被称为相对于另一元件进行“连接”、“耦接”、“响应”或其变化时,它可以直接连接、耦接到或者响应于其它元件,或者可以存在中间元件。相反,当元件被称作相对于另一元件进行“直接连接”、“直接耦接”、“直接响应”或其变化时,不存在中间元件。贯穿全文,类似附图标记表示类似的元件。此外,本文使用的“耦接”、“连接”、“响应”或其变型可以包括无线耦接、连接或响应。如本文使用的,单数形式“一”,“一个”和“所述”意在还包括复数形式,除非上下文明确地给出相反的指示。为了简洁和/或清楚,可以不对公知的功能或结构进行详细描述。术语“和/或”包括关联列出的一个或多个项目的任意和所有组合。
如本文使用的术语“包括(comprise、comprising、comprises、include、including、includes)”、“具有(have、has、having)”或其变形是开放式的,并且包括一个或多个所陈述的特征、整数、元件、步骤、组件、或功能,但是不排除存在或添加一个或多个其它特征、整数、元件、步骤、组件、功能或其组合。此外,如本文的使用,常用缩写“例如(e.g.)”源于拉丁短语“exempli gratia”,其可以用于介绍或指定之前提到的项目的一个或多个一般示例,而不意在作为该项目的限制。常用缩写“即(i.e.)”源于拉丁短语“idest”,可以用于指定更广义的引述的具体项目。
本文参考计算机实现的方法、装置(系统和/或设备)和/或计算机程序产品的框图和/或流程图图示描述了示例实施例。应理解,可以通过由一个或多个计算机电路执行的计算机程序指令来实现框图和/或流程图图示的框以及框图和/或流程图图示中的框的组合。可以将这些计算机程序指令提供给通用计算机电路、专用计算机电路和/或其它可编程数据处理电路的处理器电路来产生机器,使得经由计算机和/或其它可编程数据处理装置的处理器执行的指令转换和控制晶体管、存储器位置中存储的值、以及这种电路内的其它硬件组件,以实现框图和/或流程图框中指定的功能/动作,并由此创建用于实现框图和/或流程图框中指定的功能/动作的装置(功能体)和/或结构。
这些计算机程序指令也可以存储在有形计算机可读介质中,所述有形计算机可读介质能够指导计算机或其它可编程数据处理装置按照具体的方式作用,使得在计算机可读介质中存储的指令产生制品,所述制品包括实现在所述框图和/或流程图的框中指定的功能/动作的指令。
有形非暂时计算机可读介质可以包括电子、磁性、光学、电磁或者半导体数据存储系统、装置或设备。计算机可读介质的更具体的示例将包括以下各项:便携式计算机磁盘、随机存取存储器(RAM)电路、只读存储器(ROM)电路、可擦除可编程只读存储器(EPROM或闪存)电路、便携高密度盘只读存储器(CD-ROM)、以及便携数字视频盘只读存储器(DVD/蓝光)。
计算机程序指令也可以加载到计算机和/或其它可编程数据处理装置,以在计算机和/或其它可编程装置上执行一系列操作步骤,以产生计算机实现的处理,使得在计算机或其它可编程装置上执行的指令提供用于实现方框图和/或流程图的框中指定的功能/动作的步骤。因此,可通过硬件和/或处理器(例如,数字信号处理器)上运行的软件(包括固件、驻留软件、微代码等)来实现本公开的实施例,该硬件和/或软件可被共同称为“电路”、“模块”或其变化。
还应注意,在一些备选实现中,在框中标记的功能/动作可以不以流程图中标记的顺序发生。例如,依赖于所涉及的功能/动作,连续示出的两个框实际上可以实质上同时执行,或者框有时候可以按照相反的顺序执行。此外,可以将流程图和/或框图的给定框的功能分成多个框和/或流程图和/或框图的两个或更多个框的功能可以至少部分地被集成。最后,在示出的框之间可以添加/插入其它框。此外,尽管一些框包括用于指示通信的主要方向的关于通信路径的箭头,但是应理解,通信可以以与所表示的箭头相反的方向发生。
结合以上描述和附图,本文公开了许多不同实施例。将理解的是,逐字地描述和说明这些实施例的每个组合和子组合将会过度重复和混淆。因此,本说明书(包括附图)将被解释为,构建实施例的各种示例组合和子组合和制造和使用它们的方法和过程的完整书面描述,并且将支持主张任意这种组合或子组合的权益。
可以对实施例做出许多变化和修改且实质上不背离本发明的原则。所有此类变化和修改旨在被包括在本文的本发明的范围内。
以下是进一步示出所公开的主题的各个方面的某些列举的实施例:
1、一种用于操作用户设备UE的方法,所述UE被配置为与通信网络无线地通信,所述方法包括:
在请求消息中向通信网络发送(900)对UE对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的操作性支持的指示。
2、根据实施例1所述的方法,其中:
该关于UE对在RAN中终止的UP数据安全保护的操作性支持的请求消息是作为去往通信网络中的会话管理功能(SMF)的协议数据单元(PDU)会话建立请求消息来发送(902)的。
3、根据实施例2所述的方法,其中:
所发送的指示标识关于是否使用包括以下中的至少一项的安全保护来进行操作的UE偏好:
在RAN中终止的UP数据加密保护;以及
在RAN中终止的UP数据完整性保护。
4、根据实施例1至3中任一项所述的方法,其中:
所发送的指示标识关于以下的UE偏好:是否使用已标识的PDU会话ID中的通信的UP数据的安全保护来进行操作。
5、根据实施例4所述的方法,其中,所发送的指示标识关于以下的UE偏好:是否使用根据以下至少一项的通信的UP数据的安全保护来进行操作:
针对所有切片类型的所有的PDU会话的与RAN交换的所有UP数据;以及
与特定的切片类型或与特定的切片标识符交换的所有UP数据。
6、根据实施例4所述的方法,其中:
所发送的指示标识UE偏好所应用于的网络切片选择辅助信息(NSSAI)或数据网络名称(DNN)。
7、根据实施例1至6中任一项所述的方法,其中:
该指示包括由UE向通信网络发送的UE 5G安全能力指示。
8、根据实施例1所述的方法,其中:
该关于UE对在RAN中终止的UP数据安全保护的操作性支持的请求消息是作为去往RAN的非接入层(NAS)服务请求消息来发送(904)的。
9、根据实施例8所述的方法,其中:
所发送的指示标识关于是否使用包括以下中的至少一项的安全保护来进行操作的UE偏好:
在RAN中终止的UP数据加密保护;以及
在RAN中终止的UP数据完整性保护。
10、根据实施例8至9中任一项所述的方法,其中:
所发送的指示标识关于以下的UE偏好:是否使用已标识的PDU会话ID中的通信的UP数据的安全保护来进行操作。
11、根据实施例10所述的方法,其中,所发送的指示标识关于以下的UE偏好:是否使用根据以下至少一项的通信的UP数据的安全保护来进行操作:
针对所有切片类型的所有的PDU会话的与RAN交换的所有UP数据;以及
与特定的切片类型或与特定的切片标识符交换的所有UP数据。
12、根据实施例8至11中任一项所述的方法,还包括:
响应于激活以下至少一项的操作性使用,选择UE支持的用于因操作性目的而激活的加密保护和/或完整性保护的一个或多个算法:在RAN中终止的UP数据加密保护;以及在RAN中终止的UP数据完整性保护;以及
使用该一个或多个算法来对在UE和RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
13、根据实施例8至11中任一项所述的方法,还包括:
从归属网络接收对UE不使用在RAN中终止的UP数据安全保护的决定;以及,作为响应,阻止UE操作性地使用算法来对在UE和RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
14、一种被配置为执行根据实施例1至13中任一项所述的方法的用户设备(UE)(1300)。
15、一种被配置为与通信网络无线地通信的用户设备(UE((1300),该UE包括:
收发机(1320);
存储器(1310),存储计算机可读程序代码;以及
处理器(1302),连接至收发机(1320)和存储器(1310),以执行计算机可读程序代码,从而:
在请求消息中向通信网络发送对UE对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的操作性支持的指示。
16、根据实施例15所述的UE(1300),其中,处理器(1302)还执行用于执行根据实施例2至13中任一项所述的方法的计算机可读程序代码。
17、一种与通信网络无线地通信的用户设备UE(1300),所述UE执行包括以下各项的操作:
在请求消息中向通信网络发送对UE对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的操作性支持的指示。
18、根据实施例17所述的UE(1300),其中,UE执行包括根据实施例2至13中任一项所述的方法的操作。
19、一种用于操作通信网络的网络节点(1500)的方法,所述通信网络被配置为与用户设备(UE)通信,所述方法包括:
从UE接收(1000)请求消息,该请求消息包含对UE对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的操作性支持的指示。
20、根据实施例19所述的方法,其中:
请求消息是在协议数据单元(PDU)会话建立请求消息中接收的。
21、根据实施例20所述的方法,其中,该方法是由通信网络中的核心接入和移动性管理功能(AMF)执行的,并且还包括:
向通信网络的会话管理功能(SMF)转发该指示。
22、根据实施例21所述的方法,还包括:
与传送指示一起向SMF传送策略信息,该策略信息标识SMF是否被允许请求改变RAN安全性。
23、根据实施例21所述的方法,还包括:
与传送指示一起向SMF传送默认安全策略值,该默认安全策略值指示以下中的至少一项:是否默认UE使用在RAN中终止的UP数据加密保护;以及是否默认所述UE使用在所述RAN中终止的UP数据完整性保护。
24、根据实施例20至23中任一项所述的方法,其中:
接收到的指示标识关于是否使用包括以下中的至少一项的安全保护来进行操作的UE偏好:
在RAN中终止的UP数据加密保护;以及
在RAN中终止的UP数据完整性保护。
25、根据实施例20至24中任一项所述的方法,其中:
接收到的指示标识关于以下的UE偏好:是否使用已标识的PDU会话ID中的通信的UP数据的安全保护来进行操作。
26、根据实施例25所述的方法,其中,接收到的指示标识关于以下的UE偏好:是否使用根据以下至少一项的通信的UP数据的安全保护来进行操作:
针对所有切片类型的所有的PDU会话的与RAN交换的所有UP数据;以及
与特定的切片类型或与特定的切片标识符交换的所有UP数据。
27、根据实施例25所述的方法,其中:
接收到的指示标识UE偏好所应用于的网络切片选择辅助信息(NSSAI)或数据网络名称(DNN)。
28、根据实施例20所述的方法,其中:
接收到的指示包括由UE向通信网络发送的UE 5G安全能力指示。
29、根据实施例20所述的方法,还包括:
响应于激活以下至少一项的操作性使用,选择用于因操作性目的而激活的加密保护和/或完整性保护的一个或多个算法:在RAN中终止的UP数据加密保护,以及在RAN中终止的UP数据完整性保护;以及
使用该一个或多个算法来对在服务于去往UE的无线电资源控制(RRC)连接重配置消息中的PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
30、根据实施例29所述的方法,还包括:
向接入和移动性管理功能(AMF)传送,指示以下中的至少一项的策略决定:RAN中的UP数据加密终止是否被用于该PDU会话ID;以及RAN中的UP数据完整性保护终止是否被用于该PDU会话ID。
31、根据实施例19所述的方法,其中:
网络节点是RAN;以及
该具有UE对在RAN中终止的UP数据安全保护的操作性支持、以及每切片ID和协议数据单元(PDU)会话ID中的至少一项的请求消息是作为非接入层NAS服务请求消息接收(1004)的。
32、根据实施例31所述的方法,还包括:
响应于接收非接入层(NAS)服务请求消息,向通信网络中的核心接入和移动性管理功能(AMF)传送该指示以及每切片ID和协议数据单元(PDU)会话ID中的至少一项。
33、根据实施例31至32中任一项所述的方法,还包括:
从核心通信网络的接入和移动性管理功能(AMF)接收包括以下至少一项的信息:会话管理实体对在RAN中终止的UP数据安全保护的偏好;会话管理实体对在RAN中终止的UP数据安全保护的偏好;核心网关于UP数据安全保护终止的决定;归属网络关于归属网络终止的UP数据安全保护的决定;以及RAN的与在RAN中终止的UP数据安全保护有关的本地策略;以及
存储这些信息,以在控制与UE的通信时使用。
34、根据实施例31至33中任一项所述的方法,还包括:
响应于激活以下至少一项的操作性使用,选择UE支持的用于因操作性目的而激活的加密保护和/或完整性保护的一个或多个算法:在RAN中终止的UP数据加密保护,以及在RAN中终止的UP数据完整性保护;以及
使用该一个或多个算法来对在UE和RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
35、根据实施例31至33中任一项所述的方法,还包括:
响应于激活以下至少一项的操作性使用,选择UE支持的用于因操作性目的而激活的加密保护和/或完整性保护的一个或多个算法:在RAN中终止的UP数据加密保护,以及在RAN中终止的UP数据完整性保护;以及
使用该一个或多个算法来对在UE和RAN之间的服务于相同切片ID和/或相同PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
36、根据实施例31至35中任一项所述的方法,还包括:
从归属网络接收对RAN不使用在RAN中终止的UP数据安全保护的决定;以及,作为响应,阻止RAN操作性地使用算法来对在UE和RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护。
37、一种通信网络的网络节点(1500),该网络节点被配置为执行根据实施例19至36中任一项所述的方法。
38、一种被配置为与用户设备UE(通信)的通信网络的网络节点(1500),该网络节点包括:
存储器(1520),存储计算机可读程序代码;以及
处理器(1502),连接至存储器(1520),以执行计算机可读程序代码,从而:
从UE接收请求消息,该请求消息包含对UE对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的操作性支持的指示。
39、根据实施例38所述的网络节点(1500),其中,处理器(1502)还执行用于执行根据实施例19至36中任一项所述的方法的计算机可读程序代码。
40、一种与通信网络无线通信的网络节点(1500),所述UE执行包括以下各项的操作:
从UE接收请求消息,该请求消息包含对UE对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的操作性支持的指示。
41、根据实施例40所述的网络节点(1500),其中,该网络节点执行包括根据实施例19至36中任一项所述的方法的操作。
42、一种用于操作通信网络的会话管理功能(SMF)的方法,该SMF被配置为与通信网络的核心接入和移动性管理功能(AMF)通信,所述方法包括:
从AMF接收(1100)对UE对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的操作性支持的指示。
43、根据实施例42所述的方法,还包括:
与接收该指示一起接收策略信息,所述策略信息标识SMF是否被允许请求改变RAN安全性。
44、根据实施例42所述的方法,还包括:
响应于所述接收,确定(1102)SMF是否包含适用于所有UE的公共本地策略,以及如果不包含适用于所有UE的公共本地策略,则向统一数据管理(UDM)传送订阅数据请求,以检索与数据网络名称(DNN)有关的针对UE的SM相关订阅数据。
45、根据实施例42至44中任一项所述的方法,其中:
接收到的指示标识关于是否使用包括以下中的至少一项的安全保护来进行操作的UE偏好:
在RAN中终止的UP数据加密保护;以及
在RAN中终止的UP数据完整性保护。
46、根据实施例42至45中任一项所述的方法,还包括:
向AMF传送(1104)SM请求肯定应答消息,SM请求肯定应答消息包括:针对在所述RAN中终止的UP数据安全保护的SMF请求、针对服务网络中的核心网(CN)终止的UP数据安全保护的SMF决定、和/或针对归属网络中的CN终止的UP数据安全保护的归属网络决定。
47、一种通信网络的会话管理功能(SMF)(1700),该SMF被配置为与通信网络的接入和移动性管理功能(AMF)通信,该SMF被配置为执行根据实施例42至46中任一项所述的方法。
48、一种通信网络的会话管理功能(SMF)(1700),该SMF被配置为与通信网络的接入和移动性管理功能(AMF)通信,该SMF包括:
存储器(1710),存储计算机可读程序代码;以及
处理器(1702),被连接至存储器(1710),以执行计算机可读程序代码,从而:
从AMF接收对UE对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的操作性支持的指示。
49、根据实施例48所述的SMF(1700),其中,该处理器(1702)还执行用于执行根据实施例42至46中任一项所述的方法的计算机可读程序代码。
50、一种通信网络的会话管理功能(SMF)(1700),该SMF被配置为与通信网络的核心接入和移动性管理功能(AMF)通信,该SMF执行包括以下各项的操作:
从AMF接收对UE对在无线电接入网(RAN)中终止的用户平面(UP)数据安全保护的操作性支持的指示。
51、根据实施例50所述的SMF(1700),其中,该SMF执行包括根据实施例42至46中任一项所述的方法的操作。
52、一种用于操作通信网络的统一数据管理(UDM)(1900)的方法,该UDM被配置为与通信网络的会话管理功能(SMF)通信,该方法包括:
从所述SMF接收(1200)对UE的SM相关订阅数据的订阅数据请求;以及
传送(1202)订阅数据响应,该订阅数据响应指示与用于与UE的通信的无线电接入网(RAN)终止的用户平面(UP)数据安全有关的归属网络偏好,或指示与用于与UE的通信的归属网络终止的UP数据安全有关的决定。
53、根据实施例52所述的方法,其中:
订阅数据响应指示:在RAN中终止的UP数据加密是应该使用,必须使用,还是对于UE而言是否使用是不重要的。
54、根据实施例52所述的方法,其中:
订阅数据响应指示:在RAN中终止的UP数据完整性保护是应该使用,必须使用,还是对于UE而言是否使用是不重要的。
55、根据实施例52至54中任一项所述的方法,其中:
订阅数据响应指示:UP数据加密和/或完整性保护是否应该在归属网络中的核心网(CN)中被终止。
56、一种通信网络的统一数据管理(UDM),该UDM被配置为与通信网络的会话管理功能(SMF)通信,该UDM被配置为执行根据实施例52至55中任一项所述的方法。
57、一种通信网络的统一数据管理(UDM),该UDM被配置为与通信网络的会话管理功能(SMF)通信,该UDM包括:
存储器,存储计算机可读程序代码;以及
处理器,被连接至存储器,以执行计算机可读程序代码,从而:
从SMF接收(1200)对UE的SM相关订阅数据的订阅数据请求;以及
传送(1202)订阅数据响应,该订阅数据响应指示与用于与UE的通信的无线电接入网(RAN)终止的用户平面(UP)数据安全有关的归属网络偏好,或指示与用于与UE的通信的归属网络终止的UP数据安全有关的决定。
58、根据实施例57所述的UDM,其中,该处理器还执行用于执行根据实施例52至55中任一项所述的方法的计算机可读程序代码。
59、一种通信网络的统一数据管理UDM,所述UDM被配置为与所述通信网络的会话管理功能SMF通信,所述UDM执行包括以下各项的操作:
从所述SMF接收(1200)对UE的SM相关订阅数据的订阅数据请求;以及
传送(1202)订阅数据响应,该订阅数据响应指示与用于与UE的通信的无线电接入网(RAN)终止的用户平面(UP)数据安全有关的归属网络偏好,或指示与用于与UE的通信的归属网络终止的UP数据安全有关的决定。
60、根据实施例59所述的UDM,其中,该UDM执行包括根据实施例52至55中任一项所述的方法的操作。
Claims (39)
1.一种用于操作用户设备UE的方法,所述UE被配置为与通信网络无线地通信,所述方法包括:
向所述通信网络中的会话管理功能SMF发送协议数据单元PDU会话建立请求消息(902A),以及
接收策略决定(904A),所述策略决定与PDU会话的在无线电接入网RAN中终止的用户平面UP数据安全保护有关。
2.根据权利要求1所述的方法,其中:
所述策略决定指示是否使用包括以下中的至少一项的安全保护来进行操作:
在所述RAN中终止的UP数据加密保护;以及
在所述RAN中终止的UP数据完整性保护(906A)。
3.根据权利要求1或2所述的方法,其中,所述策略决定是在RRC信令中接收的(908A)。
4.根据权利要求3所述的方法,其中,所述策略决定是在RRC连接重配置消息中接收的(908A)。
5.根据权利要求1至4中任一项所述的方法,还包括:如果接收到的策略决定指示激活所述PDU会话的加密和/或完整性保护,则激活所述PDU会话的加密和/或完整性保护(910A)。
6.根据权利要求1至5中任一项所述的方法,还包括:
从归属网络接收对所述UE不使用在所述RAN中终止的UP数据安全保护的决定,以及
作为响应,阻止所述UE操作性地使用算法来对在所述UE和所述RAN之间的服务于切片ID和/或PDU会话ID的所有无线电承载上发送的UP数据进行加密和/或完整性保护(912A)。
7.一种用于操作通信网络的网络节点的方法,所述通信网络被配置为与用户设备UE通信,所述方法包括:
从所述UE接收协议数据单元PDU会话建立请求消息(1002A);
向所述通信网络的会话管理功能SMF传送带有所述PDU会话建立请求的会话管理SM请求(1004A);以及
从所述SMF接收SM请求肯定应答消息(1010A),所述SM请求肯定应答消息包括针对在无线电接入网RAN中终止的用户平面UP数据安全保护的策略。
8.根据权利要求7所述的方法,其中,所述方法是由所述通信网络中的接入和移动性管理功能AMF执行的。
9.根据权利要求8所述的方法,还包括:
向所述SMF传送策略信息(1006A),所述策略信息标识所述SMF是否被允许请求改变RAN安全性。
10.根据权利要求8所述的方法,还包括:
向所述SMF传送默认安全策略值,所述默认安全策略值指示以下中的至少一项:是否默认所述UE使用在所述RAN中终止的UP数据加密保护;以及是否默认所述UE使用在所述RAN中终止的UP数据完整性保护(1008A)。
11.根据权利要求7至10中任一项所述的方法,其中:
针对在RAN中终止的UP数据安全保护的策略指示是否使用包括以下中的至少一项的安全保护来进行操作:
在所述RAN中终止的UP数据加密保护;以及
在所述RAN中终止的UP数据完整性保护(1012A)。
12.根据权利要求11所述的方法,其中,针对在RAN中终止的UP数据安全保护的策略指示是否应该将完整性保护和/或加密用于在为所述PDU会话提供服务的所有无线电承载上发送的数据(1014A)。
13.根据权利要求8所述的方法,还包括:向RAN节点传送接收到的针对在RAN中终止的UP数据安全保护的策略(1016A)。
14.一种用于操作通信网络的网络节点的方法,所述通信网络被配置为与用户设备UE通信,所述方法包括:
从接入和管理功能接收消息(1002B),所述消息包括针对PDU会话的针对在无线电接入网RAN中终止的用户平面UP数据安全保护的策略。
15.根据权利要求14所述的方法,其中,所述方法是所述RAN中的网络节点执行的。
16.根据权利要求15所述的方法,还包括:向请求所述PDU会话的UE传送策略决定(1004B),所述策略决定与接收到的针对所述PDU会话的针对在无线电接入网RAN中终止的用户平面UP数据安全保护的策略有关。
17.根据权利要求16所述的方法,还包括:
向所述UE传送指示以下中的至少一项的策略决定:所述RAN中的UP数据加密终止是否被用于所述PDU会话;以及所述RAN中的UP数据完整性保护终止是否被用于所述PDU会话(1006B)。
18.根据权利要求16或17所述的方法,其中,所述策略决定是在RRC信令中传送的(1008B)。
19.根据权利要求18所述的方法,其中,所述策略决定是在RRC连接重配置消息中传送的(1008B)。
20.根据权利要求19所述的方法,还包括:在所述RRC连接重配置消息中包括所选择的用于完整性保护和/加密的算法(1010B)。
21.一种用于操作通信网络的会话管理功能SMF的方法,所述SMF被配置为与所述通信网络的接入和移动性管理功能AMF通信,所述方法包括:
从所述AMF接收针对UE的带有PDU会话建立请求的会话管理SM请求(1102A);以及
向所述AMF传送SM请求肯定应答消息(1114A),所述SM请求肯定应答消息包括针对在无线电接入网RAN中终止的用户平面UP数据安全保护的策略。
22.根据权利要求21所述的方法,其中,针对在RAN中终止的UP数据安全保护的策略指示是否应该将完整性保护和/或加密用于在为所述PDU会话提供服务的所有无线电承载上发送的数据(1116A)。
23.根据权利要求21或22所述的方法,还包括:
与接收所述SM请求一起接收策略信息(1104A),所述策略信息标识所述SMF是否被允许请求改变RAN安全性。
24.根据权利要求21或22所述的方法,还包括:
响应于所述接收,确定所述SMF是否包含适用于所有UE的公共本地策略(1106A),以及如果不包含适用于所有UE的公共本地策略,则向统一数据管理UDM传送订阅数据请求,以检索与数据网络名称DNN有关的针对所述UE的SM相关订阅数据(1108A)。
25.根据权利要求24所述的方法,其中:
检索到的针对所述UE的SM相关订阅数据标识是否使用包括以下中的至少一项的安全保护来进行操作:
在所述RAN中终止的UP数据加密保护;以及
在所述RAN中终止的UP数据完整性保护(1110A)。
26.根据权利要求21至25中任一项所述的方法,其中,所述SM请求肯定应答消息包括:针对在所述RAN中终止的UP数据安全保护的SMF请求、针对服务网络中的核心网CN终止的UP数据安全保护的SMF决定、和/或针对归属网络中的CN终止的UP数据安全保护的归属网络决定(1118A)。
27.根据权利要求21至26中任一项所述的方法,还包括:
响应于所述接收,从策略控制功能获得针对在RAN中终止的UP数据安全保护的策略(1112A)。
28.一种用于操作通信网络的统一数据管理UDM的方法,所述UDM被配置为与所述通信网络的会话管理功能SMF通信,所述方法包括:
从所述SMF接收1202A)对UE的SM相关订阅数据的订阅数据请求;以及
传送1204A)订阅数据响应,所述订阅数据响应指示与用于与所述UE的通信的无线电接入网RAN终止的用户平面UP数据安全有关的归属网络偏好,或指示与用于与所述UE的通信的归属网络终止的UP数据安全有关的决定。
29.根据权利要求28所述的方法,其中:
所述订阅数据响应指示:在所述RAN中终止的UP数据加密是应该使用,必须使用,还是对于所述UE而言是否使用是不重要的(1206A)。
30.根据权利要求28所述的方法,其中:
所述订阅数据响应指示:在所述RAN中终止的UP数据完整性保护是应该使用,必须使用,还是对于所述UE而言是否使用是不重要的(1208A)。
31.根据权利要求28至30中任一项所述的方法,其中:
所述订阅数据响应指示:UP数据加密和/或完整性保护是否应该在所述归属网络中的核心网CN中被终止(1210A)。
32.一种包括指令的计算机程序,所述指令当在至少一个处理器上执行时,使所述至少一个处理器执行根据前述权利要求中任一项所述的方法。
33.一种包含有根据权利要求32所述的计算机程序的载体,其中,所述载体包括电信号、光信号、无线电信号或计算机可读存储介质中的一种。
34.一种计算机程序产品,包括非暂时性计算机可读介质,所述非暂时性计算机可读介质上存储有根据权利要求32所述的计算机程序。
35.一种与通信网络无线地通信的用户设备UE(1300),所述UE执行包括以下各项的操作:
向所述通信网络中的会话管理功能SMF发送协议数据单元PDU会话建立请求消息,以及
接收策略决定,所述策略决定与PDU会话的在无线电接入网RAN中终止的用户平面UP数据安全保护有关。
36.一种与通信网络无线地通信的网络节点(1500),所述网络节点执行包括以下各项的操作:
从UE接收协议数据单元PDU会话建立请求消息;
向所述通信网络的会话管理功能SMF传送带有所述PDU会话建立请求的会话管理SM请求;以及
从所述SMF接收SM请求肯定应答消息,所述SM请求肯定应答消息包括针对在无线电接入网RAN中终止的用户平面UP数据安全保护的策略。
37.一种与通信网络无线地通信的网络节点(1500),所述网络节点执行包括以下各项的操作:
从接入和管理功能接收消息(1002B),所述消息包括针对PDU会话的针对在无线电接入网RAN中终止的用户平面UP数据安全保护的策略。
38.一种通信网络的会话管理功能SMF(1700),所述SMF被配置为与所述通信网络的接入和移动性管理功能AMF通信,所述SMF执行包括以下各项的操作:
从所述AMF接收针对UE的带有PDU会话建立请求的会话管理SM请求;以及
向所述AMF传送SM请求肯定应答消息,所述SM请求肯定应答消息包括针对在无线电接入网RAN中终止的用户平面UP数据安全保护的策略。
39.一种通信网络的统一数据管理UDM,所述UDM被配置为与所述通信网络的会话管理功能SMF通信,所述UDM执行包括以下各项的操作:
从所述SMF接收(1200)对UE的SM相关订阅数据的订阅数据请求;以及
传送(1202)订阅数据响应,所述订阅数据响应指示与用于与所述UE的通信的无线电接入网RAN终止的用户平面UP数据安全有关的归属网络偏好,或指示与用于与所述UE的通信的归属网络终止的UP数据安全有关的决定。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762472722P | 2017-03-17 | 2017-03-17 | |
| US62/472,722 | 2017-03-17 | ||
| PCT/EP2018/056751 WO2018167307A1 (en) | 2017-03-17 | 2018-03-16 | Security solution for switching on and off security for up data between ue and ran in 5g |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110447252A true CN110447252A (zh) | 2019-11-12 |
| CN110447252B CN110447252B (zh) | 2022-12-06 |
Family
ID=61763958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880018938.2A Active CN110447252B (zh) | 2017-03-17 | 2018-03-16 | 5g中用于开启和关闭ue和ran之间的up数据安全的方法和装置 |
Country Status (7)
| Country | Link |
|---|---|
| US (3) | US11659382B2 (zh) |
| EP (2) | EP4228301A1 (zh) |
| CN (1) | CN110447252B (zh) |
| ES (1) | ES2950646T3 (zh) |
| MX (1) | MX2019010926A (zh) |
| PL (1) | PL3596953T3 (zh) |
| WO (1) | WO2018167307A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021093099A1 (en) * | 2019-12-23 | 2021-05-20 | Zte Corporation | Conflict resolution for protocol data unit session registration and de-registration |
| WO2021244342A1 (zh) * | 2020-05-30 | 2021-12-09 | 华为技术有限公司 | 一种确定用户面安全执行信息的方法、装置及系统 |
| WO2022068669A1 (zh) * | 2020-09-30 | 2022-04-07 | 中兴通讯股份有限公司 | 会话建立方法、装置、接入网设备及存储介质 |
| CN114979079A (zh) * | 2021-02-18 | 2022-08-30 | 中国移动通信有限公司研究院 | 信息处理方法、装置、相关设备和存储介质 |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018079692A1 (ja) * | 2016-10-26 | 2018-05-03 | 日本電気株式会社 | 通信システム、基地局、制御方法、及びコンピュータ可読媒体 |
| US11558745B2 (en) | 2017-01-30 | 2023-01-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods for integrity protection of user plane data |
| JP7066734B2 (ja) * | 2017-03-20 | 2022-05-13 | 華為技術有限公司 | 制御プレーン接続管理方法および装置 |
| CN109845389B (zh) * | 2017-03-21 | 2021-05-04 | 华为技术有限公司 | 一种通信方法及装置 |
| CN110493774B (zh) * | 2017-05-06 | 2023-09-26 | 华为技术有限公司 | 密钥配置方法、装置以及系统 |
| US11178603B2 (en) * | 2017-05-09 | 2021-11-16 | Telefonaktiebolaget Lm Ericsson (Publ) | AMF relocation with N3IWF handling |
| CN110800332A (zh) * | 2017-06-29 | 2020-02-14 | 华为国际有限公司 | 网络切片分配方法、设备及系统 |
| WO2019025497A1 (en) | 2017-08-02 | 2019-02-07 | Sony Corporation | METHODS AND APPARATUS FOR SUPPORTING INTEGRITY PROTECTION IN INTERCELLULAR TRANSFERS |
| WO2019174015A1 (zh) | 2018-03-15 | 2019-09-19 | Oppo广东移动通信有限公司 | 处理数据的方法、接入网设备和核心网设备 |
| BR112020008401A2 (pt) * | 2017-11-08 | 2020-11-03 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | método para controlar uma proteção de integridade, dispositivo de rede e meio de armazenamento para computador |
| CN111448843B (zh) * | 2017-11-17 | 2023-08-15 | Lg电子株式会社 | 发起服务请求过程的方法和用户设备 |
| KR102412441B1 (ko) | 2018-04-04 | 2022-06-22 | 지티이 코포레이션 | 무결성 보호를 관리하기 위한 기술 |
| EP3777079A1 (en) * | 2018-04-09 | 2021-02-17 | Nokia Technologies Oy | Method and apparatus for remote provisioning of protection policies in an edge node based on signaling between edge nodes |
| US11178717B2 (en) * | 2018-05-21 | 2021-11-16 | Electronics And Telecommunications Research Institute | Traffic distribution method through multi-access network in a network and network entity performing the same |
| US11985585B2 (en) * | 2018-08-10 | 2024-05-14 | Nokia Technologies Oy | Downlink signaling to user equipment in non-3GPP idle state |
| CN110943964B (zh) * | 2018-09-21 | 2022-07-22 | 华为技术有限公司 | 数据校验方法、装置及存储介质 |
| CN111200849B (zh) * | 2018-11-19 | 2022-08-09 | 大唐移动通信设备有限公司 | 一种用户路由更新方法及设备 |
| CN113557699B (zh) * | 2018-12-11 | 2024-04-12 | 索尼集团公司 | 通信装置、基础设施设备、核心网络设备和方法 |
| CN111464572B (zh) * | 2019-01-18 | 2021-09-07 | 华为技术有限公司 | 一种会话配置方法及装置 |
| CN111491394B (zh) * | 2019-01-27 | 2022-06-14 | 华为技术有限公司 | 用户面安全保护的方法和装置 |
| CN113424585B (zh) * | 2019-02-11 | 2024-10-18 | 诺基亚技术有限公司 | 利用网络切片的蜂窝部署中的增强型移动性 |
| CN111565391B (zh) * | 2019-02-14 | 2022-04-05 | 华为技术有限公司 | 一种通信方法及装置 |
| CN111641944A (zh) * | 2019-03-01 | 2020-09-08 | 华为技术有限公司 | 一种通信方法及设备 |
| WO2020178159A1 (en) * | 2019-03-04 | 2020-09-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Establishing a protocol data unit session |
| CN111800369B (zh) * | 2019-04-08 | 2022-03-29 | 华为技术有限公司 | 通信方法与设备 |
| WO2020221688A1 (en) * | 2019-04-29 | 2020-11-05 | Telefonaktiebolaget Lm Ericsson (Publ) | User plane integrity protection |
| WO2021033022A1 (en) * | 2019-08-16 | 2021-02-25 | Lenovo ( Singapore) Pte. Ltd. | Security capabilities in an encryption key request |
| EP4018620A4 (en) * | 2019-08-19 | 2023-08-30 | Telefonaktiebolaget LM Ericsson (publ.) | METHOD AND APPARATUS FOR PERFORMING PROTECTION CONTROL IN A CENTRAL NETWORK |
| US20210105847A1 (en) * | 2019-10-02 | 2021-04-08 | Apple Inc. | User Plane Integrity Protection Handling Procedures |
| WO2021074266A1 (en) * | 2019-10-16 | 2021-04-22 | Nokia Technologies Oy | Network management |
| CN112788593B (zh) * | 2019-11-04 | 2024-07-05 | 阿里巴巴集团控股有限公司 | 安全策略的更新方法及装置、系统 |
| WO2021109395A1 (en) * | 2020-04-10 | 2021-06-10 | Zte Corporation | A method for slice information update |
| EP4173361A1 (en) * | 2020-06-25 | 2023-05-03 | Telefonaktiebolaget LM ERICSSON (PUBL) | Methods providing flexible communication between radio access and core networks and related nodes |
| CA3197007A1 (en) * | 2020-10-30 | 2022-05-05 | Monica Wifvesson | Methods, apparatuses, computer programs and computer program products for user plane integrity protection during x2 handover |
| US20230422104A1 (en) * | 2021-01-11 | 2023-12-28 | Telefonaktiebolaget Lm Ericsson (Publ) | User plane encryption policy at interworking handover from eps and 5gs |
| CN113573375B (zh) * | 2021-07-23 | 2022-08-02 | 中国电信股份有限公司 | 融合网关的选择方法及装置、存储介质、电子设备 |
| CN115706973A (zh) * | 2021-08-10 | 2023-02-17 | 华为技术有限公司 | 一种安全通信的方法及通信装置 |
| WO2024156140A1 (en) * | 2023-03-31 | 2024-08-02 | Zte Corporation | Systems and methods for determining network capability via user plane |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101810017A (zh) * | 2007-09-28 | 2010-08-18 | 思科技术公司 | 下一代移动网络中的选择性的安全性终止 |
| CN101128066B (zh) * | 2007-09-27 | 2012-07-18 | 中兴通讯股份有限公司 | 不进行用户面加密的方法及系统 |
| US20150334766A1 (en) * | 2013-01-10 | 2015-11-19 | Lg Electronics Inc. | Method for registering and updating base station information in converged network supporting multiple communication systems, and device therefor |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1997294A4 (en) | 2006-03-22 | 2014-08-27 | Lg Electronics Inc | SECURITY CONSIDERATIONS FOR UMTS LTE |
| CN101072092B (zh) | 2006-05-11 | 2010-12-08 | 华为技术有限公司 | 一种实现控制面和用户面密钥同步的方法 |
| CN101075865B (zh) | 2006-05-16 | 2011-02-02 | 华为技术有限公司 | 一种用户面加密的启动方法 |
| PL2266291T3 (pl) | 2008-03-20 | 2019-01-31 | Nokia Solutions And Networks Oy | Różne interfejsy IP w systemie sieci telekomunikacyjnej |
| US9276909B2 (en) | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
| US8743905B2 (en) * | 2008-12-22 | 2014-06-03 | Qualcomm Incorporated | Method and apparatus for bundling and ciphering data |
| CN102014381B (zh) | 2009-09-08 | 2012-12-12 | 华为技术有限公司 | 加密算法协商方法、网元及移动台 |
| CN102123391B (zh) | 2010-01-08 | 2015-01-28 | 中兴通讯股份有限公司 | 一种基于hip的注册和认证方法及系统 |
| US20110312299A1 (en) | 2010-06-18 | 2011-12-22 | Qualcomm Incorporated | Methods and apparatuses facilitating synchronization of security configurations |
| CN102487507B (zh) | 2010-12-01 | 2016-01-20 | 中兴通讯股份有限公司 | 一种实现完整性保护的方法及系统 |
| CN102448058B (zh) * | 2011-01-10 | 2014-04-30 | 华为技术有限公司 | 一种Un接口上的数据保护方法与装置 |
| US9635694B2 (en) | 2011-07-25 | 2017-04-25 | Qualcomm Incorporated | Method and apparatus for tunneled direct link setup management |
| CN103297958B (zh) | 2012-02-22 | 2017-04-12 | 华为技术有限公司 | 建立安全上下文的方法、装置及系统 |
| US9344945B2 (en) | 2012-11-02 | 2016-05-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods for coordinating inter-RAT mobility settings |
| WO2014100929A1 (en) | 2012-12-24 | 2014-07-03 | Nokia Corporation | Methods and apparatus for differencitating security configurations in a radio local area network |
| JP6246142B2 (ja) | 2015-01-14 | 2017-12-13 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
| US10362011B2 (en) | 2015-07-12 | 2019-07-23 | Qualcomm Incorporated | Network security architecture |
| CN107040398B (zh) | 2016-02-04 | 2020-03-27 | 中兴通讯股份有限公司 | 一种数据传输方法、装置及系统 |
| US11558745B2 (en) | 2017-01-30 | 2023-01-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods for integrity protection of user plane data |
| US10841084B2 (en) * | 2017-02-03 | 2020-11-17 | Qualcomm Incorporated | Session management authorization token |
| CN113455050A (zh) * | 2019-02-22 | 2021-09-28 | 苹果公司 | 用于减少切换中断的系统和方法 |
| US11082900B1 (en) * | 2020-01-28 | 2021-08-03 | PanPsy Technologies, LLC | Wireless device and wireless network processes based on wireless device type |
| EP4175255B1 (en) * | 2021-11-02 | 2024-08-21 | Koninklijke KPN N.V. | Gateway device, system and method for providing a forwarding policy |
-
2018
- 2018-03-16 EP EP23168750.0A patent/EP4228301A1/en active Pending
- 2018-03-16 US US16/494,660 patent/US11659382B2/en active Active
- 2018-03-16 CN CN201880018938.2A patent/CN110447252B/zh active Active
- 2018-03-16 EP EP18712849.1A patent/EP3596953B1/en active Active
- 2018-03-16 PL PL18712849.1T patent/PL3596953T3/pl unknown
- 2018-03-16 WO PCT/EP2018/056751 patent/WO2018167307A1/en active Application Filing
- 2018-03-16 ES ES18712849T patent/ES2950646T3/es active Active
- 2018-03-16 MX MX2019010926A patent/MX2019010926A/es unknown
-
2023
- 2023-03-17 US US18/122,814 patent/US11985496B2/en active Active
-
2024
- 2024-04-11 US US18/632,571 patent/US20240259792A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101128066B (zh) * | 2007-09-27 | 2012-07-18 | 中兴通讯股份有限公司 | 不进行用户面加密的方法及系统 |
| CN101810017A (zh) * | 2007-09-28 | 2010-08-18 | 思科技术公司 | 下一代移动网络中的选择性的安全性终止 |
| US20150334766A1 (en) * | 2013-01-10 | 2015-11-19 | Lg Electronics Inc. | Method for registering and updating base station information in converged network supporting multiple communication systems, and device therefor |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP: ""33899-100"", 《3GPP SPECS\33_SERIES》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021093099A1 (en) * | 2019-12-23 | 2021-05-20 | Zte Corporation | Conflict resolution for protocol data unit session registration and de-registration |
| WO2021244342A1 (zh) * | 2020-05-30 | 2021-12-09 | 华为技术有限公司 | 一种确定用户面安全执行信息的方法、装置及系统 |
| WO2022068669A1 (zh) * | 2020-09-30 | 2022-04-07 | 中兴通讯股份有限公司 | 会话建立方法、装置、接入网设备及存储介质 |
| CN114979079A (zh) * | 2021-02-18 | 2022-08-30 | 中国移动通信有限公司研究院 | 信息处理方法、装置、相关设备和存储介质 |
| CN114979079B (zh) * | 2021-02-18 | 2023-07-21 | 中国移动通信有限公司研究院 | 信息处理方法、装置、相关设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11659382B2 (en) | 2023-05-23 |
| US20200100101A1 (en) | 2020-03-26 |
| US20230224700A1 (en) | 2023-07-13 |
| EP3596953B1 (en) | 2023-05-31 |
| MX2019010926A (es) | 2019-11-05 |
| EP3596953A1 (en) | 2020-01-22 |
| WO2018167307A1 (en) | 2018-09-20 |
| US11985496B2 (en) | 2024-05-14 |
| EP4228301A1 (en) | 2023-08-16 |
| PL3596953T3 (pl) | 2023-10-09 |
| US20240259792A1 (en) | 2024-08-01 |
| CN110447252B (zh) | 2022-12-06 |
| ES2950646T3 (es) | 2023-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110447252A (zh) | 5g中用于开启和关闭ue和ran之间的up数据安全的安全解决方案 | |
| JP7495396B2 (ja) | Nasメッセージのセキュリティ保護のためのシステム及び方法 | |
| JP7100115B2 (ja) | セキュリティ実現方法、関連する装置及びシステム | |
| CN110419205A (zh) | 针对用户平面数据的完整性保护的方法 | |
| US20180014178A1 (en) | Method and apparatus for accessing cellular network for sim profile | |
| EP3041164B1 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| CN109417709A (zh) | 用于在移动无线网络系统中认证接入的方法和系统 | |
| WO2019096075A1 (zh) | 一种消息保护的方法及装置 | |
| US20230269589A1 (en) | Slice-specific security requirement information | |
| CN108353282A (zh) | 用于使用支持多个连接性和服务上下文的安全模型的无线通信的方法和装置 | |
| KR20220135254A (ko) | 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법 | |
| US20230171600A1 (en) | Distinct user plane security | |
| CN102457844A (zh) | 一种m2m组认证中组密钥管理方法及系统 | |
| CN109155915A (zh) | 通信方法、网络侧设备和用户设备 | |
| CN115362692B (zh) | 一种通信方法、装置及系统 | |
| US20230413360A1 (en) | Disabling a pending nssai | |
| CN115769616A (zh) | 用于目标amf的安全上下文 | |
| CN112654046A (zh) | 用于注册的方法和装置 | |
| EP4173335B1 (en) | Authentication using slice capability indication | |
| CN113557699B (zh) | 通信装置、基础设施设备、核心网络设备和方法 | |
| US20240298171A1 (en) | Systems and methods for network-based encryption of a user equipment identifier | |
| CN115915114A (zh) | 注册方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40016399 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |