CN110915249B - 用于无线网络中的用户平面完整性的动态激活和去激活的系统和方法 - Google Patents
用于无线网络中的用户平面完整性的动态激活和去激活的系统和方法 Download PDFInfo
- Publication number
- CN110915249B CN110915249B CN201880031553.XA CN201880031553A CN110915249B CN 110915249 B CN110915249 B CN 110915249B CN 201880031553 A CN201880031553 A CN 201880031553A CN 110915249 B CN110915249 B CN 110915249B
- Authority
- CN
- China
- Prior art keywords
- drb
- integrity protection
- user plane
- plane data
- network node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 56
- 230000004913 activation Effects 0.000 title claims description 4
- 230000009849 deactivation Effects 0.000 title description 2
- 230000003068 static effect Effects 0.000 claims abstract description 34
- 238000004891 communication Methods 0.000 claims abstract description 13
- 238000012545 processing Methods 0.000 claims description 67
- 238000012544 monitoring process Methods 0.000 claims description 7
- XHSQDZXAVJRBMX-UHFFFAOYSA-N 2-(5,6-dichlorobenzimidazol-1-yl)-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound OC1C(O)C(CO)OC1N1C2=CC(Cl)=C(Cl)C=C2N=C1 XHSQDZXAVJRBMX-UHFFFAOYSA-N 0.000 claims 16
- 230000000977 initiatory effect Effects 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 27
- 230000006870 function Effects 0.000 description 23
- 230000011664 signaling Effects 0.000 description 16
- 230000008569 process Effects 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 10
- 230000004044 response Effects 0.000 description 9
- 239000000243 solution Substances 0.000 description 8
- 230000008901 benefit Effects 0.000 description 6
- 230000006835 compression Effects 0.000 description 6
- 238000007906 compression Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 238000012937 correction Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 4
- 238000005259 measurement Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- TXFOLHZMICYNRM-UHFFFAOYSA-N dichlorophosphoryloxybenzene Chemical compound ClP(Cl)(=O)OC1=CC=CC=C1 TXFOLHZMICYNRM-UHFFFAOYSA-N 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Abstract
用户设备(UE)和网络节点可以建立数据无线电承载(DRB),以用于用户平面数据的无线通信。对于每个DRB,UE和网络节点可以在DRB的设立期间发信号通知针对用户平面数据的静态或动态完整性保护。当DRB具有静态完整性保护时,完整性保护在DRB的持续时间内被应用于用户平面数据。当DRB具有动态完整性保护时,UE和网络节点针对DRB的动态完整性保护建立一个或多个触发条件。完整性保护可以在检测到一个或多个触发条件时被启用,并且在一个或多个触发条件在预定时间段之后减弱时被禁用。
Description
技术领域
本申请总体上涉及无线传输的完整性保护,并且更具体地涉及无线传输的选择性用户平面完整性保护。
背景技术
通常,传统无线网络不提供用户平面数据的完整性保护。尽管用户平面数据(在大多数国家)可能被加密,但这种加密仍然提供了针对某些攻击的非常有限的保护。例如,“中间人”攻击可以更改经加密的数据或者插入无效数据。UMTS和LTE包括用于控制信令消息的加密完整性保护,但是不包括用于用户平面数据的加密完整性保护。
一种提议的解决方案是提供承载级完整性(如在2017年9月28日发布的题为“Feasibility Study on New Services and Markets Technology Enablers-EnhancedMobile Broadband”的3GPP技术报告TR 33.863第14版中考虑的)。但是,该提出的解决方案不能防止插入到移动连接中的大量流氓数据(增加订户账单或者浪费将数据携带到服务端点的资源)。美国专利8,879,732中描述的另一种解决方案涉及动态加密模式,但是未能描述完整性保护,特别是启用和禁用完整性检查。消息认证码的使用是提出的另一种解决方案,但是仅适于应当被无错误地接收的分组(例如,在任何纠错之后)。
在针对物联网(IoT)定制的GPRS的低功率广域网解决方案中(在3GPP第13版的“Enhanced-Coverage GSM”中所述),添加了用户平面完整性保护,部分原因是针对IoT应用的低功率机器对机器(M2M)平台中的用户平面数据的不同安全威胁。对于LTE的用户平面数据完整性保护,在无线电接口上添加另一层完整性可能会与性能约束(诸如时延和电池寿命)冲突。
因此,存在提供一种改进的系统和方法的需要,以针对单个DRB(例如,基于每个DRB)配置完整性保护并且基于每个流或应用来动态地启用或禁用用户平面数据的完整性保护。
发明内容
本文中公开了可以被有益地应用于例如数据无线电承载中的用户平面数据的完整性保护的装置和方法的各种实施例。尽管可以预期这样的实施例相对于常规实现提供了安全性的改进,但是除非在特定权利要求中明确叙述,否则不要求特定的结果或改进。
在一个实施例中,一种用户设备(UE)包括被配置为与网络节点通信的无线收发器以及包括至少一个处理设备和至少一个存储器设备的处理电路。处理电路与网络节点建立数据无线电承载(DRB),以用于通过DRB的用户平面数据的无线通信,并且确定是否在DRB的持续时间内启用针对DRB的静态完整性保护。当静态完整性保护被确定时,在DRB的持续时间启用完整性保护,而当静态完整性保护未被确定时,建立针对DRB的动态完整性保护的一个或多个触发条件。当处理电路被配置为启用DRB的动态完整性保护时,它可以在DRB中检测触发条件中的至少一个,并且传输对来自网络节点的DRB的完整性保护的请求。然后,UE通过DRB接收用户平面数据,其中完整性保护已经被应用于用户平面数据。
在另一实施例中,一种用户设备(UE)包括被配置为与网络节点通信的无线收发器以及包括至少一个处理设备和至少一个存储器设备的处理电路。处理电路与网络节点建立数据无线电承载(DRB),以用于通过DRB的用户平面数据的无线通信,其中一个或多个触发条件与DRB相关联并且通过DRB传输用户平面数据。然后,处理电路从网络节点接收对DRB的完整性保护的请求,并且将完整性保护算法应用于用户平面数据。用户平面数据在包括完整性保护的情况下通过DRB被传输到网络节点。处理电路还可以从网络节点接收对禁用DRB的完整性保护的请求,并且禁用对通过DRB到达网络节点的用户平面数据的完整性保护。
一种网络节点(诸如eNodeB或其他类型的网络节点)包括被配置为与用户设备(UE)通信的无线收发器以及包括至少一个处理设备和至少一个存储器设备的处理电路。处理电路可以与UE设立数据无线电承载(DRB),以用于通过DRB的用户平面数据的无线通信,其中DRB具有针对DRB的动态完整性保护的相关联的一个或多个触发条件。网络节点还针对触发条件中的一个或多个触发条件来监测DRB,并且在DRB中检测触发条件中的至少一个触发条件。然后,网络节点向UE传输对DRB的完整性保护的请求,并且通过DRB接收用户平面数据,其中完整性保护已经被应用于用户平面数据。网络节点还可以确定触发条件中的至少一个已经消退达DRB的预定时间段,并且向UE传输对禁用DRB的完整性保护的请求。
一种网络节点包括被配置为与用户设备(UE)通信的无线收发器以及包括至少一个处理设备和至少一个存储器设备的处理电路。处理电路被配置为与UE建立数据无线电承载(DRB),以用于通过DRB的用户平面数据的无线通信,其中一个或多个触发条件与DRB相关联,并且通过DRB传输用户平面数据。处理电路可以从UE接收对DRB的完整性保护的请求;对用户平面数据应用完整性保护算法;以及通过DRB向UE传输包括完整性保护的用户平面数据。处理电路还可以从UE接收对禁用DRB的完整性保护的请求,并且禁用用户平面数据的完整性保护。
附图说明
现在仅通过示例的方式并且参考附图来描述根据本公开的实施例的装置和/或方法的一些实施例,在附图中:
图1示出了示例性无线网络的实施例的示意性框图。
图2示出了无线网络中的协议栈的实施例的示意性框图。
图3示出了协议栈中的用户平面数据流的实施例的示意性框图。
图4示出了用于在数据无线电承载中对用户平面数据进行动态完整性保护的方法的实施例的逻辑流程图。
图5示出了用于在数据无线电承载中建立用于完整性保护的触发条件的方法的实施例的逻辑流程图。
图6示出了用于为数据无线电承载启用分组数据会聚协议(PDCP)完整性保护的方法的实施例的逻辑流程图。
图7示出了用于为数据无线电承载禁用PDCP完整性保护的方法的实施例的逻辑流程图。
图8示出了用于下行链路数据无线电承载中的PDCP完整性保护的信令方法的实施例的逻辑流程图。
图9示出了用于上行链路数据无线电承载中的PDCP完整性保护的信令方法的实施例的逻辑流程图。
图10示出了在PDCP层处针对用户平面数据的PDCP完整性保护和验证的方法1000的实施例的逻辑流程图。
图11示出了用户设备(UE)的实施例的示意性框图。
图12示出了示例性eNodeB的实施例的示意性框图。
具体实施方式
描述和附图仅示出了各种实施例的原理。因此,将认识到,本领域技术人员将能够设计出尽管未在本文中明确描述或示出但是体现了本文中和权利要求中的原理并且落入本公开的精神和范围内的各种布置。此外,本文中叙述的所有示例主要旨在明确地仅用于教学目的,以帮助读者理解实施例的原理和发明人为促进本领域而做出的构思,并且应当被解释为不限于这样的具体叙述的示例和条件。此外,本文中所引用原理、方面和实施例及其特定示例的所有叙述旨在涵盖其等同形式。
图1示出了示例性无线网络100的实施例的示意性框图。本文中描述的实施例可以在各种类型的无线网络中实现,包括但不限于通用移动电信系统(UMTS)陆地无线电接入网络(UTRAN)、长期演进(LTE)、演进型UTRAN(E-UTRAN)和/或高级LTE(LTE-A)或其他无线网络。在网络是LTE类型网络的一种实现中,覆盖接入网络包括被连接到演进分组核心(EPC)104的演进通用陆地无线电接入网络(E-UTRAN)102。E-UTRAN 102包括至少一个通用陆地无线电接入网络(UTRAN)节点B或eNodeB或eNB 106。eNodeB借助于X2接口112彼此互连。
eNodeB也借助于S1接口114被连接到EPC 104,并且例如更具体地借助于S1-MME协议被连接到移动性管理实体(MME)116,借助于S1-U协议被连接到服务网关(S-GW)118。MME116是用于LTE接入网络的主控制节点。S-GW 118路由和转发用户数据分组,同时在eNodeB间切换期间还充当用户平面的移动性锚点。
eNodeB 106向用户设备(UE)110提供空中接口(I/F)120,包括E-UTRA用户平面(PDCP/RLC/MAC/PHY)协议和无线电资源控制(RRC)协议。eNodeB 106被配置为执行无线电资源管理(RRM)功能以及无线电承载控制、无线电准入控制、连接移动性控制、在上行链路和下行链路两者中对UE 110的动态资源分配(调度)。在其他实施例中,无线电接入网络(RAN)可以包括单独的基站收发器站(BTS)和无线电网络控制器(RNC),并且执行如本文中关于eNodeB106所描述的类似功能。因此,基站(BS)、基站收发器站(BTS)或任何类型的RAN控制器可以执行与本文中关于eNodeB 106所描述的相同或相似的功能。
图2示出了无线网络100中的协议栈200的实施例的示意性框图。本文中示出的协议栈200总体上与E-UTRAN 102相关联,但是本文中描述的实施例中也可以实现包括类似或附加协议或层的其他协议栈。
协议栈200包括至少三个层,即第1层、第2层和第3层。第1层(L1)包括物理层202。物理层202通过空中接口从MAC传输信道传送信息并且处理无线电资源控制(RRC)层210的链路自适应(AMC)、功率控制、小区搜索(用于初始同步和切换目的)和其他测量(在LTE系统内部以及在系统之间)。
第2层(L2)包括媒体访问控制(MAC)子层204、无线电链路控制(RLC)子层206和分组数据会聚协议(PDCP)208。MAC子层204管理它复用到物理层传输信道中的RLC子层206的一组逻辑信道。MAC层204还管理纠错、逻辑信道的优先级确定以及UE 110之间的动态调度等。RLC子层206管理PDCP的PDU通过数据无线电承载的传输,并且可以以不同模式操作以提供不同类型的可靠性。不同模式可以提供:ARQ纠错、PDU的分段/拼接、针对顺序递送的重新排序、重复检测等。PDCP 208为RRC子层210提供控制数据的传输以及为IP层214提供用户平面数据的传输。PDCP执行报头压缩、完整性保护、加密,并且根据RLC模式,在切换期间执行PDU的顺序递送、重复检测和重传。
第3层(L3)包括RRC层210。RRC层210管理与接入层相关的广播系统信息和非接入层(NAS)消息的传输、寻呼、RRC连接的建立和释放、安全密钥管理、切换、与系统间(RAT间)移动性相关的UE测量、QoS等。与E-UTRAN协议栈的接口层包括非接入层(NAS)212和IP层214。NAS 212处理网络侧上的UE 110与MME 108之间的协议,并且执行UE 110的认证、安全控制并且生成部分寻呼消息。IP层214或应用层生成被包括在PDCP协议数据单元(PDU)中的用户平面数据216。
图3示出了协议栈200中的用户平面数据流的实施例的示意性框图。总体上,由协议栈中的层接收的分组被称为服务数据单元(SDU),而从层输出的分组被称为协议数据单元(PDU)。IP层214向分组数据会聚协议(PDCP)层208提交IP分组(PDCP SDU)302。PDCP层208执行报头压缩并且向这些PDCP SDU添加PDCP报头304。PDCP报头压缩包括由PDCP层208去除IP报头(即,最少20个字节),这极大地节省了本来将通过空中接口被传输的数据量。PDCP层208将PDCP PDU(RLC SDU)306提交给RLC层206。
RLC层206将这些SDUS分段为RLC PDU 308。例如,当RLC SDU 306较大或者可用无线电数据速率较低(导致较小的传输块)时,RLC SDU 306可以在若干RLC PDU 308之间被划分。如果RLC SDU 306较小或者可用无线电数据速率较高,则可以将若干RLC SDU 306打包到单个RLC PDU 308中。RLC层206基于RLC操作模式来添加报头310。然后,RLC层206将这些RLC PDU 308(MAC SDU)提交给MAC层204。
MAC层204添加报头316并且执行填充314以使MAC SDU适合物理传输块320。MAC层204将MAC PDU 318提交给物理层202以用于在物理信道上传输MAC PDU 318。物理信道将MAC PDU或传输块传输到子帧的时隙中。
概述
当为用户平面(UP)数据启用完整性保护时,处理负荷增加。由于完整性保护可能是加密的补充,因此对两者启用可能消耗大量处理资源。除了加密/解密之外,如果还对每个用户分组进行完整性检查,则在处理器开销方面代价昂贵。因此,用户平面数据的完整性保护应当优选地仅对需要它的某些数据无线电承载(DRB)启用。另外,即使在完整性保护被启用的情况,在DRB的整个生命周期中也可能不需要它。因此,理想的是,完整性保护被动态地启用,例如,仅在传送特定数据流或应用的某些DRB需要时启用。实际的折衷方法是,在DRB的无线电条件不可接受或者接收方怀疑威胁情况(诸如路径中的分组注入)时为特定DRB启用完整性保护。因此,接收方可以基于触发条件来动态地激活完整性保护。当威胁条件减弱或者无线电条件改善时,也可以使用一种机制来发信号通知其他对等方恢复到没有完整性保护的正常传输。另外,可以在承载信道的持续时间内针对某些数据流请求完整性保护。
在一个实施例中,UE和/或eNB被配置为检测用于数据无线电承载(DRB)的完整性保护的一个或多个触发条件。触发条件可以包括对用户平面数据的威胁的指示,诸如在所建立的数据无线电承载上插入未授权的流氓数据、或不可接受的误码率、或由下层协议层定义和给出的任何其他触发条件。响应于检测到触发条件之一,UE和/或eNB然后可以在DRB上动态地启用PDCP完整性保护。
在另一实施例中,UE和/或eNB被配置为在设立数据无线电承载(DRB)时请求对用户平面数据的完整性保护。DRB的完整性保护将在DRB的整个持续时间中保持。例如,可能希望对某些数据流(诸如IoT)具有完整性保护。
图4示出了用于在数据无线电承载(DRB)中对用户平面数据进行完整性保护的方法400的实施例的逻辑流程图。在402中,发起针对特定DRB的设立过程。在DRB的设立期间,确定是否为该特定DRB启用完整性保护。例如,可以基于每个DRB来启用完整性保护。当在404处启用时,可以在DRB的持续时间内启用完整性保护。例如,UE 110或eNB 106可以在设立期间用信号发送或请求针对DRB的静态完整性保护。如果指示静态完整性保护,则在406,在DRB的持续时间内(例如,直到其寿命期限结束)启用对DRB的完整性保护。例如,可以在传送某些类型的服务或数据(诸如IoT类型数据)的特定DRB的持续时间内请求并且启用完整性保护。因此,UE和eNB可以发信号通知以在DRB设立期间仅对某些或特定DRB启用静态完整性保护。
如果在设立过程中在DRB的持续时间或寿命期限内未请求或未启用静态完整性保护,则可以在检测到一个或多个触发条件时针对DRB动态地启用完整性保护。然后,在408,必须建立针对数据承载信道(DRB)的触发条件,例如在DRB的设立期间。触发条件可以在设立过程期间被指定,或者可以根据DRB的QCI被预先定义。
对于动态完整性保护,针对一个或多个触发条件而监测DRB。对于上行链路RRC,eNB 106监测触发条件,而UE 110监测下行链路RRC。在410中,检测一个或多个触发条件。作为响应,在412中,例如通过使用RRC连接重新配置过程来启用PDCP完整性保护。然后,传输端的PDCP层将完整性保护(诸如,校验和)插入PDCP PDU。然后,接收端处的PDCP层可以使用完整性保护来验证PDCP PDU。
在PDCP完整性保护期间,继续对DRB进行监测。在414中,检测到一个或多个触发条件结束或减弱。作为响应,在416,例如通过使用RRC连接重新配置过程来禁用DRB的PCDP完整性保护。
因此,在DRB的设立过程期间,针对特定DRB静态或动态地启用PDCP完整性保护。对于动态完整性保护,监测DRB,并且基于检测到的实时条件或攻击来启用或禁用完整性保护。可以基于DRB的特性(诸如DRB的QCI)来定义用于启用动态完整性保护的适当的触发条件。然后,可以在触发条件减弱时动态地禁用PDCP完整性保护以减少不必要的资源消耗。
因此,UE和/或eNB基于每个DRB来确定DRB是否需要完整性保护。UE和eNB可以确定所需要的完整性保护是静态的还是动态的。在静态完整性保护的情况下,将在DRB的整个寿命期限内应用保护。对于动态完整性保护,可以基于每个DRB来配置一个或多个触发条件,例如,基于DRB的一个或多个特性来建立针对DRB的触发条件。
实施例——触发条件的建立
可以针对每个数据数据无线电承载或数据流来定义启用或禁用PDCP完整性保护的触发条件。接收实体(例如,UE、eNB)需要用于激活PDCP完整性保护的可靠触发条件。因此,新的PDCP操作触发器被定义为动态地启动完整性保护以及禁用完整性保护。
在一些当前的无线网络中,各种级别的服务质量(QoS)被定义并且被分配QoS等级标识符(QCI)值。例如,不同类型的数据可能需要不同级别的QoS。例如,QCI值确定数据分组的优先级、数据分组的最大许可延迟、可接受分组丢失等。2015年12月发布的题为“Policyand Charging Control Architecture”的3GPP技术规范TS23.203版本12.11.0(其通过引用被并入本文)定义了与QCI值相关联的值和特性。例如,QCI值与优先级级别相关联,其中优先级级别0.5是最高优先级级别。下面的表1提供了定义的QCI值和相关联的资源类型、优先级级别、分组延迟预算、分组错误丢失和示例服务的示例。
表1:QCI值的定义
在一个实施例中,QCI值可以用于建立针对PDCP完整性保护的触发条件。在建立RRC设立期间,基于服务类型将QCI值与DRB相关联。eNB和UE将与DRB相关联的QCI值转换为调度参数、准入策略、队列管理阈值、链路层协议配置等。当发生“中间人”数据攻击(诸如DRB上的外部虚假分组注入)时,通常会违反这些值。例如,这种攻击可能会导致比正常情况更高的分组到达率、更高的分组计数、变化的分组到达率、变化的分组大小等。这些参数可以用作触发,以由DRB的传输侧启用完整性保护以及在DRB的接收侧进行过滤。除了在PDCP层进行分组监测,其他较低的RLC和MAC子层也可能具有定义的触发条件,例如,与检测所接收的分组的不稳定特性或不可接受的无线电条件有关。然后,当定义和检测到这样的触发条件时,RLC或MAC子层也可以触发PDCP完整性保护。
在另一实施例中,不可接受的误码率可以触发PDCP完整性保护。误码在无线传输中很常见,并且某些用户平面数据在以低误码率被接收时仍然是有价值的。例如,语音和视频编解码器倾向于容错并且可以在更高层处实现纠错。因此,低误码率不应当总是触发完整性保护。可以根据DRB的QCI值来设置用于触发完整性保护的误码率。
图5示出了用于在数据无线电承载中建立针对完整性保护的触发条件的方法500的实施例的逻辑流程图。在数据无线电承载(DRB)的设立期间,确定在DRB的持续时间内是否需要完整性保护。如果需要,则在设立时启用完整性保护,并且一直持续到DRB寿命期限结束。例如,可能希望在传送IoT类型数据的DRB的持续时间内启用完整性保护。因此,在设立DRB时,基于每个DRB来决定静态完整性保护。
如果在DRB的持续时间内未启用静态完整性保护,则在检测到一个或多个触发条件时,针对DRB动态地启用完整性保护。然后必须确定针对DRB的触发条件。在一个实施例中,在502中,基于DRB的特性来建立针对DRB的触发条件。
例如,可以使用分配给DRB的QCI值来确定触发条件。在504中,确定分配给DRB的QCI。在506中,基于QCI或其他DRB特性来获取分组到达率阈值。例如,将分组到达率阈值设置为将指示额外分组的未授权插入或其他攻击的速率。然后,响应于分组到达率超过阈值,PDCP完整性保护可以被启用。在508中,使用DRB的QCI或其他特性来获取分组计数或分组到达率的范围。这些范围包括针对DRB的QCI的业务类型而预期的正常变化。当分组计数或分组到达率不同于预期范围时,则可以启用PDCP完整性保护。在510中,基于DRB的QCI或其他特性来获取预期分组大小的范围。在另一实施例中,可以在预定时间内在DRB上监测分组到达率、分组计数和分组大小以获取测量的平均值或均值。然后,与平均或均值分组到达率、分组计数或分组大小的预定差异可以指示触发条件。
在512中,DRB的QCI指示某些参数,诸如调度参数、准入策略、队列管理阈值和链路层协议配置。获取这些测量结果,并且由QCI指示的与这些参数的任何差异也可以是触发条件。
在514中,可以获取由较低层(诸如RLC层206、MAC层204或物理层202)测量的其他触发条件。例如,不可接受的误码率或分组重传阈值可以是触发条件。然后,在516中,在DRB的接收实体与传输实体之间传送触发条件。
因此,基于每个DRB或流来建立触发条件,并且使用DRB的一个或多个特性(诸如分配给DRB的QCI)来确定触发条件。
图6示出了用于针对数据无线电承载启用PDCP完整性保护的方法600的实施例的逻辑流程图。在602中,针对特定DRB建立触发条件,并且在UE 110与eNB 106之间传送触发条件。在604中,在PDCP层处监测PDCP PDU的一个或多个触发条件。例如,在上行链路DRB中,由eNB 106监测在PDCP层的传入PDCP PDU,而在下行链路DRB中,由UE 110监测在PDCP层的传入PDCP PDU。在606中,确定是否检测到一个或多个触发条件。如果检测到触发条件,则在608中针对DRB启用PDCP完整性保护。如果没有检测到,则在604中继续监测。
另外,在610中,还可以针对触发条件来监测较低层。例如,可以针对触发条件来监测RLC子层206、MAC子层204和/或物理层202的各个信道或PDU。在612中,确定在较低层中是否检测到一个或多个触发条件。如果是,则在608中为DRB启用PDCP完整性保护。如果否,则在610中继续在较低层处进行监测。
图7示出了用于为数据无线电承载禁用PDCP完整性保护的方法700的实施例的逻辑流程图。在702中,启用并且继续PDCP完整性保护。在704,针对一个或多个触发条件来监测RLC子层206、MAC子层204和/或物理层202的各个信道或PDU。在706,也针对触发条件来监测PDCP层处的传入PDCP PDU。在708,确定是否仍然存在一个或多个触发条件。如果是,则在710继续PDCP完整性保护。如果否,则可以在712禁用PDCP完整性保护。例如,可以确定在禁用PDCP完整性保护之前的预定时间段内没有检测到触发条件。该无触发条件的等待时段防止禁用和随后启用PDCP完整性保护。
因此,可以响应于DRB的实时条件而动态地禁用PDCP完整性保护以减少不必要的资源消耗。
实施例——在下行链路(DL)DRB中启用/禁用完整性保护的信令
图8示出了用于PDCP完整性保护的信令方法800的实施例的逻辑流程图。在两个实体(诸如UE 110和eNodeB 106)之间需要信令以启用和禁用完整性保护。例如,当接收实体检测到启动PDCP完整性保护的触发条件并且过滤不需要的分组时,需要将其传送给传输实体。在当前的4G LTE网络中,没有支持DRB上的用户数据的PDCP完整性保护的动态信令。仅在无线电承载设立时通过RRC连接配置消息在UE与eNB之间传送加密信息。此外,在当前的LTE网络中,DRB上的用户数据不受完整性保护。当前只有具有控制信令的RRC分组通过DRB受到完整性保护。并且,RRC分组中的控制数据的完整性保护由AS安全模式命令过程静态地启用。
本文中描述了用于通过数据无线电承载(DRB)对用户平面数据进行动态完整性保护的示例性信令。在802中,UE 110和eNB 106执行接入层(AS)安全模式命令(SMC)过程以发起当前安全过程,如2009年3月发布的题为“Security Architecture”的3GPP技术规范TS33.401版本8.3.1的第7.2.4.5节中定义的,其通过引用被并入本文。AS SMC过程包括在eNB106与UE 110之间的消息往返。eNB 106向UE 110传输AS安全模式命令,并且UE 110使用AS安全模式完成消息进行应答。如果成功,则AS SMC过程在804处由UE 110和在806处由eNodeB 106发起RRC完整性保护。在RRC完整性保护中,仅具有控制信令的RRC分组包括完整性保护。在当前的RRC完整性保护过程中,PDCP PDU中的用户平面数据不受完整性保护。在5G LTE网络中,接入层(AS)安全模式命令(SMC)过程协商用于选择用户平面的完整性算法的附加参数。然后,当针对DRB被启用时,该完整性算法可以用于完整性保护。
在808处执行数据无线电承载(DRB)设立。例如,UE 110通过在810处传输RRC连接设立请求来发起针对特定应用的数据无线电承载设立。RRC连接设立请求中的信息元素(IE)包括用于数据无线电承载的所请求的QCI。RRC连接设立请求还包括被称为drb-ToAddModList的信息元素(IE),该信息元素包括PDCP配置参数,如当前在2016年10月发布的题为“Radio Resource Control(RRC)Protocol Specification”的3GPP技术规范TS36.331版本14.0的第5.3.10.3节中定义的,其通过引用被并入本文。除了当前定义的参数,还包括附加参数以启用或禁用PDCP完整性保护。这些附加参数包括无线电承载ID以及指示针对DRB和完整性算法的静态或动态完整性保护的参数。eNB 106在812处使用RRC连接设立响应来进行响应。当例如在DRB的持续时间内请求针对DRB的静态完整性保护时,则在设立时针对DRB启用完整性保护。
当没有针对DRB请求或以其他方式发信号通知静态完整性保护时,UE 110和eNB106可以默认为动态静态保护。然后,UE 110在814处和eNB 106在816处都利用动态完整性保护来为所请求的QCI设立数据无线电承载。UE 110和eNB 106还为动态完整性保护建立触发条件。触发条件可以在RRC连接设立消息中被传送。替代地或另外地,触发条件可以基于DRB的QCI来被预定义。例如,UE 110和eNB 106可以存储将触发条件与每个QCI值相关联的QCI触发条件表。该表可以与本文中包括的表1相同,其中触发条件被插入作为另一列,或者该表可以是单独的表或者以其他方式被存储为配置参数。
在图8的该实施例中,UE 110是用于下行链路无线电承载的PDCP PDU的接收方。在818中,UE 110针对触发条件进行监测。UE 110可以在PDCP层执行对PDCP PDU的监测,例如以确定PDCP PDU是否符合针对DRB配置的QCI的分组到达率。例如,如果分组到达率超过针对DRB的QCI定义的阈值,则在820,UE 110向eNB 106传输启用DRB的PDCP完整性保护的请求。该请求可以被包括在RRC连接重新配置请求中。UE 110也可以在较低层针对触发条件进行监测。例如,可以由UE 110针对触发条件来对RLC子层206、MAC子层204和/或物理层202的各个信道或PDU进行监测。
当检测到触发条件时,UE 110和eNB 106交换针对特定数据无线电承载(DRB)的RRC连接重新配置消息,以发起PDCP完整性保护。例如,在820中,RRC连接重新配置请求消息中的信息元素(IE)包括用于启动由eNB 106进行的PDCP完整性保护的指示符。eNB 106在822处使用RRC连接重新配置响应进行应答。然后,在824处,由eNB 106将在RRC连接设立请求消息中指示的完整性算法应用于下行链路(DL)DRB的PDCP PDU。
UE 110接收PDCP PDU,该PDCP PDU具有从PDCP完整性算法生成的校验和。UE 110在826处启动针对下行链路(DL)数据无线电承载的PDCP完整性检查和分组过滤。
当UE 110检测到完整性启用条件,诸如虚假分组到达、额外分组、可变大小的分组已经消失时,在828处,执行RRC连接重新配置以向eNB 106通知禁用PDCP完整性并且恢复到没有PDCP完整性保护的正常传输是安全的。
实施例——在上行链路(UL)DRB中启用/禁用完整性保护的信令
图9示出了上行链路数据无线电承载中的用于PDCP完整性保护的信令的方法900的实施例的逻辑流程图。在902中,UE 110和eNB 106执行接入层(AS)安全模式命令(SMC)过程以发起当前安全过程。eNB 106向UE 110传输AS安全模式命令,并且UE 110使用AS安全模式完成消息进行应答。如果成功,则AS SMC过程在904处由UE 110和在906处由eNodeB 106发起RRC完整性保护。在RRC完整性保护中,仅具有控制信令的RRC分组包括完整性保护。在当前的RRC完整性保护过程中,PDCP PDU中的用户平面数据不受完整性保护。
在908处执行数据无线电承载(DRB)设立。例如,eNB 106通过在910处传输RRC连接建立请求来发起针对特定应用的数据无线电承载设立。RRC连接设立请求中的信息元素(IE)包括用于数据无线电承载的所请求的QCI。RRC连接设立请求还包括被称为drb-ToAddModList的信息元素(IE),该信息元素包括PDCP配置参数,如目前在2016年10月发布的题为“Radio Resource Control(RRC)Protocol Specification”的3GPP技术规范TS36.331版本14.0的第5.3.10.3节中定义的,其通过引用被并入本文。除了当前定义的参数,还包括附加参数以启用或禁用PDCP完整性保护。这些附加参数包括无线电承载ID以及指示完整性保护和/或完整性算法的参数。UE 110在912处使用RRC连接设立响应来进行响应。
当没有针对DRB请求或以其他方式发信号通知静态完整性保护时,UE 110和eNB106可以默认为DRB的动态静态保护。然后,UE 110在914处和eNB 106在916处都为所请求的QCI设立数据无线电承载,并且还建立针对PDCP完整性保护的触发条件。触发条件可以在RRC连接设立消息中被传送。替代地或另外地,触发条件可以基于DRB的QCI来被预定义。例如,UE 110和eNB 106可以存储将触发条件与每个QCI值相关联的QCI触发条件表。该表可以与本文中包括的表1相同,其中触发条件被插入作为另一列,或者该表可以是单独的表或者以其他方式存储为配置参数。
在图9的该实施例中,eNodeB 106是用于上行链路数据无线电承载的PDCP PDU的接收方。在918中,eNodeB 106针对触发条件进行监测。eNodeB可以在PDCP层执行对PDCPPDU的监测,例如以确定PDCP PDU是否符合针对DRB配置的QCI的分组到达率。例如,如果分组到达率超过针对DRB的QCI定义的阈值,则在920,eNodeB 106向UE 110传输启用DRB的PDCP完整性保护的请求。该请求可以被包括在RRC连接重新配置请求中。eNodeB 106也可以在较低层针对触发条件进行监测。例如,可以由eNodeB 106针对触发条件来对RLC子层206、MAC子层204和/或物理层202的各个信道或PDU进行监测。
当检测到触发条件时,UE 110和eNB 106交换特定数据无线电承载(DRB)的RRC连接重新配置消息,以发起PDCP完整性保护。例如,在920中,RRC连接重新配置请求消息中的信息元素(IE)包括用于启动由UE 110进行PDCP完整性保护的指示符。UE 110在922处使用RRC连接重新配置响应进行应答。然后,在924处,由UE 110将在RRC连接设立请求消息中指示的完整性算法应用于上行链路(UL)DRB的PDCP PDU。
eNodeB 106接收PDCP PDU,该PDCP PDU具有从PDCP完整性算法生成的校验和。eNodeB 106在926处启动针对上行链路(UL)数据无线电承载的PDCP完整性检查和分组过滤。
当eNodeB 106检测到完整性启用条件,诸如虚假分组到达、额外分组、可变大小的分组已经消失时,在928处,执行RRC连接重新配置以向UE 110通知禁用完整性保护并且恢复到没有完整性保护的正常传输是安全的。
图10示出了针对用户平面数据的在PDCP层的PDCP完整性保护和验证的方法1000的实施例的逻辑流程图。在1004中,首先在PDCP层使用“序列编号”过程来处理用户平面数据1002。将“序列号”添加到用户平面数据1002的每个传入数据块。该序列号帮助接收方确定数据是否按顺序被传递、重复数据、重新组合数据,等等。然后在1006处执行报头压缩。报头压缩仅对用户平面数据执行,例如IP分组报头。控制或信令消息不进行这种报头压缩。
当如本文中在1008处所述的被启用时,PDCP PDU包括完整性保护。PDCP完整性保护为接收方提供了一种用于验证所接收的PDCP PDU与传输方发送的是相同的PDCP PDU的机制。例如,完整性校验和可以用于验证所接收的消息。在一个实施例中,在3G TS 33.401的附件B中描述的LTE EIA完整性算法被实现以用于PCDP完整性保护,其通过引用被并入本文。然后,在1010处对PDCP PDU进行加密过程。加密过程适用于C平面数据和U平面数据两者。最终,在1012处,在PDCP层添加报头。然后,在较低子层处理PDCP PDU,并且在数据无线电承载中通过无线电接口传输PDCP PDU。
在接收端处,较低层处理所接收的分组以生成PDCP PDU。在PDCP层,在1016处去除报头,并且在1018处执行解密。在1020处,执行动态PDCP完整性验证。例如,完整性校验和可以用于验证所接收的消息,例如,所接收的PDCP PDU与传输方发送的是相同的PDCP PDU。未经验证的分组可能被丢弃或过滤。在1022中,通过对报头进行解压缩来进一步处理经验证的分组。在1024处,使用在传输侧插入的序列号对分组进行排序并且检测任何重复。然后,检索用户平面数据1002并且将其递送到接收PDCP实体。
本文中描述的某些实施例指示完整性保护消息传递是在UE与eNB 106之间并且终止于eNB 106。在其他实施例中,本文中描述的安全过程和信令可以不在eNB 106处终止,而是在另一网络节点中终止,诸如在用户平面功能(UPF)节点或另一网络节点中,例如,如在2017年2月发布的题为“System Architecture for the 5G System”的3GPP TS 23.501版本0.3.0中定义的,其通过引用被并入本文。在这样的实施例中,在UE与UPF节点或其他网络节点之间执行如本文所描述的类似的信令和过程。然而,在这种情况下,代替RRC连接类型消息和过程,在UE 110与UPF节点之间交换控制平面消息。这样的控制平面消息包括如本文所描述的类似信息,例如以启用和禁用用户平面数据的动态完整性保护。
图11示出了用户设备(UE)110的实施例的示意性框图。UE 110可以包括电话、平板电脑、手表、膝上型计算机或其他类型的用户处理设备。本文所描述的UE 110仅用于说明性目的。UE组件是示例性的,并且可以实现附加的或替代的组件和功能。另外,本文所示出的功能或组件中的一个或多个可以不存在,或者可以与其他组件或功能组合。
UE 110包括处理设备1102和存储器设备1104,存储器设备1104存储操作指令,该操作指令在由处理设备1102执行时可以执行本文关于UE 110所描述的一个或多个功能。存储器设备1104可以包括QCI触发条件表1106,QCI触发条件表1106存储与QCI值相关联的触发条件。另外,UE 110还可以包括UICC 1134,UICC 1134包括USIM 1132。
UE 110还可以包括蓝牙收发器1112、WLAN(符合IEEE 802.11x的)收发器1114和全球定位卫星(GPS)收发器1118。WLAN收发器1114可以用作到WLAN网络的非3GPP接入接口。UE110还包括与通用移动电信系统(UMTS)陆地无线电接入网络(UTRAN)、长期演进(LTE)、演进的UTRAN(E-UTRAN)、高级LTE(LTE-A)或其他无线网络协议兼容的RF收发器1116。UE 110包括RX处理电路1138和TX处理电路1140。RX处理电路1138包括完整性保护模块1150,完整性保护模块1150被配置为执行本文关于PDCP完整性保护所描述的一个或多个功能。例如,RX处理电路1138可以包括存储操作指令的一个或多个处理设备或存储器设备,这些操作指令在由一个或多个处理设备执行时可以执行本文关于PDCP完整性保护所描述的一个或多个功能。
UE 110还可以包括用户接口1120、AC适配器1122、电池模块1124、USB收发器1126和以太网端口1128。UE 110还可以包括一个或多个用户应用,诸如数字相机1130、触摸屏控制器1132、扬声器1134、麦克风1136或显示器1142。UE 110还可以包括电源管理单元。一个或多个内部通信总线(未示出)可以通信地耦合UE的一个或多个组件。
图12示出了示例性eNodeB 106的实施例的示意性框图。本文所描述的eNodeB 106仅用于说明性目的。本文所示出的一个或多个功能或组件可以不存在,或者可以与其他组件或功能组合。还可以包括其他组件或功能。eNodeB 106包括处理设备1202和存储器设备1204,存储器设备1204存储有指令,这些指令在由处理设备1202执行时可以执行本文关于eNodeB 106所描述的一个或多个功能。存储器设备1204可以包括QCI触发条件表1106,QCI触发条件表1106存储与QCI值相关联的触发条件。
eNodeB 106包括多个RF收发器1216、传输(TX)处理电路1208和接收(RX)处理电路1210。eNodeB 106还包括用于与其他eNodeB 106和核心网络节点(诸如MME 116或S-GW118)通信的网络接口1206。
RF收发器1216在网络100中接收诸如由UE 110传输的信号等传入RF信号。RF收发器1216对传入RF信号进行下变频以生成IF或基带信号。IF或基带信号被发送到RX处理电路1212,RX处理电路1212通过对基带或IF信号进行滤波、解码和/或数字化来生成经处理的基带信号。RX处理电路1210将经处理的基带信号传输到处理设备1202以供进一步处理。RX处理电路1210包括完整性保护模块1220,完整性保护模块1220被配置为执行本文关于PDCP完整性保护所描述的一个或多个功能。
TX处理电路1208从处理设备1202接收模拟或数字数据。TX处理电路1208对传出基带数据进行编码、复用和/或数字化以生成经处理的基带或IF信号。RF收发器1216从TX处理电路1208接收传出的经处理的基带或IF信号,并且将基带或IF信号上变频为经由天线传输的RF信号。
本文所描述的用于用户平面数据的动态PCDP完整性保护基于实时条件或检测到的潜在攻击来提供完整性保护。本文所描述的实施例定义了适当的触发条件,以基于诸如QCI值等无线电承载特性来启用完整性保护。实施例还动态地禁用PDCP完整性保护以便更优化地控制资源消耗。
本文所描述的处理设备包括至少一个处理设备,诸如微处理器、微控制器、数字信号处理器、微计算机、中央处理单元、现场可编程门阵列、可编程逻辑器件、状态机、逻辑电路、模拟电路、数字电路、和/或基于电路和/或操作指令的硬编码来操纵信号(模拟和/或数字)的任何设备。存储器设备是非瞬态存储设备,并且可以是内部存储器或外部存储器,并且存储器设备可以是单个存储器设备或多个存储器设备。存储器设备可以是以下一种或多种:只读存储器、随机存取存储器、易失性存储器、非易失性存储器、静态存储器、动态存储器、闪存、高速缓冲存储器、和/或存储数字信息的任何非瞬态存储设备。
如本文中可以使用的,术语“可操作以”或“可配置为”表示元件包括电路、指令、模块、数据、(多个)输入、(多个)输出等中的一个或多个以执行一个或多个所描述的或必要的相应功能,并且还可以包括到一个或多个其他项目的推断的耦合以执行所描述的或必要的相应功能。如本文中也可以使用的,术语“耦合”、“耦合到”、“连接到”和/或“连接”或“互连”包括节点/设备之间的直接连接或链接和/或节点/设备之间经由中间项目的间接连接(例如,项目包括但不限于组件、元件、电路、模块、节点、设备、网络元件等)。如本文中可以进一步使用的,推断的连接(即,通过推断一个元件被连接到另一元件的情况)包括以与“连接到”相同的方式在两个项目之间的直接和间接连接。
注意,本文中可以将本公开的各方面描述为过程,该过程被描绘为示意图、流程图、流向图、结构图或框图。尽管流程图可以将操作描述为顺序过程,但是很多操作可以并行或同时被执行。另外,可以重新布置操作顺序。在操作完成后,该过程将终止。过程可以对应于方法、函数、过程、子例程、子程序等。当过程对应于函数时,其终止对应于该函数返回到调用函数或主函数。
在不脱离本公开的情况下,可以在不同的系统和设备中实现本文所描述的本公开的各种特征。应当注意,本公开的前述方面仅仅是示例,并且不应当被解释为限制本公开。本公开的各方面的描述旨在是说明性的,而不是限制权利要求的范围。这样,本教导可以容易地应用于其他类型的设备,并且很多替代、修改和变化对于本领域技术人员而言将是很清楚的。
在前述说明书中,已经参考具体示例描述了本发明的某些代表性方面。然而,在不脱离权利要求书中阐述的本发明的范围的情况下,可以进行各种修改和改变。说明书和附图是说明性的而不是限制性的,并且修改旨在被包括在本发明的范围内。因此,本发明的范围应当由权利要求及其合法等同物来确定,而不是仅由所描述的示例来确定。例如,任何装置权利要求中记载的组件和/或元件可以以各种排列进行组装或以其他方式可操作地配置,并且因此不限于权利要求中记载的特定配置。
此外,以上已经关于特定实施例描述了某些益处、其他优点和问题的解决方案;但是,任何益处、优点、问题的解决方案、或可能导致任何特定益处、优点或解决方案出现或变得更加明显的任何要素都不应当被解释为任何或所有权利要求的关键、必需或必要特征或组成。
如本文中使用的,术语“包括(comprise)”、“包括(comprises)”、“包括(comprising)”、“具有(having)”、“包括(including)”、“包括(includes)”或其任何变型旨在表示非排他性包括,使得包括一系列元素的过程、方法、物品、组合物或装置不仅仅包括所列举的那些元素,而且还可以包括未明确列出的或这样的过程、方法、物品、组合物或装置所固有的其他元素。除了未具体叙述的以外,可以对在本发明的实践中使用的上述结构、布置、应用、比例、元件、材料或组件的其他组合和/或修改进行改变或以其他方式特别适应于特定环境、制造规格、设计参数或其他操作要求,在不偏离其一般原则。
此外,除非特别声明,否则对单数形式的元素的引用并非旨在表示“一个且仅一个”,而是表示“一个或多个”。除非另外特别说明,否则术语“一些”是指一个或多个。本领域普通技术人员已知或以后将知道的,贯穿本公开内容所描述的各个方面的元件的所有结构和功能等同物均通过引用被明确地并入本文,并且旨在由权利要求书涵盖。而且,无论在权利要求书中是否明确叙述了本文所公开的内容,都不打算将其专用于公众。根据35U.S.C.§112(f)的规定,任何权利要求元素都不旨在被理解为“装置加功能”类型元素,除非使用短语“用于……的部件”明确叙述该元素,或者在方法权利要求的情况下,使用短语“用于……的步骤”来叙述该元素。
Claims (13)
1.一种用户设备UE,包括:
无线收发器,被配置为与网络节点通信;以及
处理电路,包括至少一个处理设备和至少一个存储器设备,其中所述处理电路被配置为:
与所述网络节点建立数据无线电承载DRB,以用于通过所述DRB的用户平面数据的无线通信;
确定是否在所述DRB的持续时间内启用针对所述DRB的静态完整性保护;
当静态完整性保护被确定时,在所述DRB的持续时间内启用完整性保护;以及
当静态完整性保护未被确定时,建立针对所述DRB的动态完整性保护的一个或多个触发条件。
2.根据权利要求1所述的UE,其中所述处理电路被配置为:
确定启用所述DRB的动态完整性保护;
在所述DRB中检测所述触发条件中的至少一个触发条件;
传输对来自所述网络节点的所述DRB的完整性保护的请求;以及
通过所述DRB接收所述用户平面数据,其中所述完整性保护已经被应用于所述用户平面数据。
3.根据权利要求2所述的UE,其中所述处理电路还被配置为:
针对所述触发条件中的所述至少一个触发条件来监测所述DRB;
确定所述触发条件中的所述至少一个触发条件已经减弱达到预定时间段;以及
向所述网络节点传输对禁用所述DRB的所述完整性保护的请求。
4.根据权利要求3所述的UE,其中所述处理电路被配置为通过以下来确定针对所述DRB的动态完整性保护的一个或多个触发条件:
确定所述DRB的至少一个特性;以及
基于所述DRB的所述至少一个特性来建立所述触发条件。
5.一种网络节点,包括:
无线收发器,被配置为与用户设备UE通信;以及
处理电路,包括至少一个处理设备和至少一个存储器设备,其中所述处理电路被配置为:
与所述UE设立数据无线电承载DRB以用于通过所述DRB的用户平面数据的无线通信,其中DRB具有针对所述DRB的动态完整性保护的相关联的一个或多个触发条件;
针对所述触发条件中的一个或多个触发条件来监测所述DRB;
在所述DRB中检测所述触发条件中的至少一个触发条件;
向所述UE传输对所述DRB的完整性保护的请求;以及
通过所述DRB接收所述用户平面数据,其中所述完整性保护已经被应用于所述用户平面数据。
6.根据权利要求5所述的网络节点,其中所述处理电路还被配置为:
确定所述触发条件中的所述至少一个触发条件已经减弱达到针对所述DRB的预定时间段;以及
向所述UE传输对禁用所述DRB的所述完整性保护的请求。
7.根据权利要求6所述的网络节点,其中所述处理电路被配置为通过以下来确定针对所述DRB的动态完整性保护的一个或多个触发条件:
确定所述DRB的至少一个特性,其中所述至少一个特性包括服务质量等级标识符;以及
基于所述DRB的所述至少一个特性来建立所述触发条件。
8.根据权利要求7所述的网络节点,其中所述处理电路还被配置为:
建立包括用于分组到达率的阈值的第一触发条件,其中用于所述分组到达率的所述阈值基于所述DRB的所述服务质量等级标识符。
9.根据权利要求5所述的网络节点,其中所述处理电路还被配置为:
与所述网络节点建立另一数据无线电承载DRB,以用于通过所述另一DRB的用户平面数据的无线通信;
指示所述另一DRB的静态完整性保护;以及
通过所述另一DRB接收所述用户平面数据,其中所述完整性保护已经被应用于所述用户平面数据。
10.一种网络节点,包括:
无线收发器,被配置为与用户设备UE通信;以及
处理电路,包括至少一个处理设备和至少一个存储器设备,其中所述处理电路被配置为:
与所述UE建立数据无线电承载DRB,以用于通过所述DRB的用户平面数据的无线通信,其中一个或多个触发条件与所述DRB相关联;
通过所述DRB传输所述用户平面数据;
从所述UE接收对所述DRB的完整性保护的请求;
对所述用户平面数据应用完整性保护算法;以及
通过所述DRB向所述UE传输包括所述完整性保护的所述用户平面数据。
11.一种用户设备UE,包括:
无线收发器,被配置为与网络节点通信;
处理电路,包括至少一个处理设备和至少一个存储器设备,其中所述处理电路被配置为:
接收对来自所述网络节点的数据无线电承载DRB的连接请求,所述DRB用于用户平面数据的无线通信;
使用所述连接请求来确定针对所述DRB是否激活用户平面UP静态完整性保护;
生成连接完成消息;以及
基于确定针对所述DRB激活UP静态完整性保护,在所述DRB的持续时间内、在所述DRB的用户平面数据上执行UP完整性保护。
12.一种被配置用于在无线网络中操作的网络节点,包括:
无线收发器,被配置为与用户设备UE通信;
处理电路,包括至少一个处理设备和至少一个存储器设备,其中所述处理电路被配置为:
发起针对与所述UE的数据无线电承载DRB的连接请求,所述DRB用于用户平面数据的无线通信;
针对所述DRB,确定是否激活用户平面UP静态完整性保护,其中UP静态完整性保护针对每个DRB被确定;
在对所述UE的连接请求消息中生成针对所述DRB的UP静态完整性保护的激活的指示;
从所述UE接收连接完成消息;以及
基于确定针对所述DRB激活UP静态完整性保护,在所述DRB的持续时间内、在所述DRB的用户平面数据上执行UP完整性保护。
13.一种用于被配置用于在无线网络中操作的网络节点的方法,包括:
发起针对与UE的数据无线电承载DRB的连接请求,所述DRB用于用户平面数据的无线通信;
针对所述DRB,确定是否激活用户平面UP静态完整性保护,其中UP静态完整性保护针对每个DRB被确定;
在对所述UE的连接请求消息中生成针对所述DRB的UP静态完整性保护的激活的指示;
从所述UE接收连接完成消息;以及
基于确定针对所述DRB激活UP静态完整性保护,在所述DRB的持续时间内、在所述DRB的用户平面数据上执行UP完整性保护。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/462,519 US10123210B2 (en) | 2017-03-17 | 2017-03-17 | System and method for dynamic activation and deactivation of user plane integrity in wireless networks |
| US15/462,519 | 2017-03-17 | ||
| PCT/US2018/021684 WO2018169776A1 (en) | 2017-03-17 | 2018-03-09 | System and method for dynamic activation and deactivation of user plane integrity in wireless networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110915249A CN110915249A (zh) | 2020-03-24 |
| CN110915249B true CN110915249B (zh) | 2023-10-24 |
Family
ID=61906824
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880031553.XA Active CN110915249B (zh) | 2017-03-17 | 2018-03-09 | 用于无线网络中的用户平面完整性的动态激活和去激活的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10123210B2 (zh) |
| EP (2) | EP3860085A1 (zh) |
| CN (1) | CN110915249B (zh) |
| WO (1) | WO2018169776A1 (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102316971B1 (ko) * | 2017-05-08 | 2021-10-25 | 삼성전자 주식회사 | 소프트웨어 정의 네트워크에서 동적 자원 할당 방법 및 장치 |
| WO2018229657A1 (en) * | 2017-06-16 | 2018-12-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Apparatuses and methods for handling of data radio bearer integrity protection failure in new radio (nr) network |
| CN109391981B (zh) * | 2017-08-08 | 2021-07-06 | 维沃移动通信有限公司 | 一种完整性保护方法及装置 |
| CN109391603B (zh) | 2017-08-11 | 2021-07-09 | 华为技术有限公司 | 数据完整性保护方法和装置 |
| WO2019174015A1 (zh) * | 2018-03-15 | 2019-09-19 | Oppo广东移动通信有限公司 | 处理数据的方法、接入网设备和核心网设备 |
| US11418952B2 (en) * | 2018-01-11 | 2022-08-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Optimized PDCP handling in integrated access backhaul (IAB) networks |
| US10667185B2 (en) * | 2018-03-28 | 2020-05-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for avoiding unnecessary actions in resume procedure |
| WO2019233740A1 (en) * | 2018-06-08 | 2019-12-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Application of integrity protection in a wireless communication network |
| US20210297861A1 (en) * | 2018-08-16 | 2021-09-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods providing selective integrity protection and related radio access network base stations and mobile wireless devices |
| CN110943964B (zh) * | 2018-09-21 | 2022-07-22 | 华为技术有限公司 | 数据校验方法、装置及存储介质 |
| US11758402B2 (en) * | 2018-09-27 | 2023-09-12 | Lg Electronics Inc. | Method and apparatus for processing data units in wireless communication system |
| JP7286801B2 (ja) * | 2019-04-29 | 2023-06-05 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | 4gシステムにおけるユーザプレーン完全性保護 |
| WO2021063978A1 (en) * | 2019-10-03 | 2021-04-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Security settings for user plane data sent over different accesses of a network |
| US20210105612A1 (en) * | 2019-10-04 | 2021-04-08 | Qualcomm Incorporated | User plane integrity protection (up ip) capability signaling in 5g/4g systems |
| US11477688B2 (en) | 2019-10-16 | 2022-10-18 | International Business Machines Corporation | Advanced bearer management in a telecommunications network |
| WO2021195894A1 (zh) * | 2020-03-30 | 2021-10-07 | Oppo广东移动通信有限公司 | 完整性保护方法和通信设备 |
| CN111669836B (zh) * | 2020-05-13 | 2021-07-13 | 中山大学 | 一种NB-IoT系统中上行链路资源调度方法 |
| GB202212241D0 (en) * | 2022-08-23 | 2022-10-05 | Samsung Electronics Co Ltd | A transmission method in a wireless network |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368671A (zh) * | 2013-07-10 | 2013-10-23 | 工业和信息化部电信传输研究所 | 终端测试系统及其测试适配器和使用方法 |
| CN104322123A (zh) * | 2012-05-21 | 2015-01-28 | 诺基亚公司 | 管理用于用户设备的无线承载的方法和装置 |
| CN105981470A (zh) * | 2014-02-06 | 2016-09-28 | 瑞典爱立信有限公司 | 用于处置包括接入点和经由有线线路连接到接入点的有线线路网络节点的通信系统中的通信的方法和设备 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100865357B1 (ko) * | 2006-01-04 | 2008-10-24 | 이노베이티브 소닉 리미티드 | 무선 통신 시스템의 이동 사용자 장치에서 무결성 보호구성을 수정하는 방법 및 장치 |
| US20070155339A1 (en) * | 2006-01-04 | 2007-07-05 | Innovative Sonic Limited | Method and apparatus for initialization of integrity protection |
| US20080120728A1 (en) * | 2006-11-21 | 2008-05-22 | Innovative Sonic Limited | Method and apparatus for performing integrity protection in a wireless communications system |
| JP4818345B2 (ja) * | 2007-12-05 | 2011-11-16 | イノヴァティヴ ソニック リミテッド | セキュリティーキー変更を処理する方法及び通信装置 |
| US8195991B2 (en) * | 2008-06-20 | 2012-06-05 | Qualcomm Incorporated | Handling of integrity check failure in a wireless communication system |
| GB0812632D0 (en) * | 2008-07-10 | 2008-08-20 | Vodafone Plc | Security architecture for LTE relays |
| CN102098676B (zh) * | 2010-01-04 | 2015-08-12 | 电信科学技术研究院 | 一种实现完整性保护的方法、装置和系统 |
| KR101831448B1 (ko) | 2010-02-02 | 2018-02-26 | 엘지전자 주식회사 | 이동 통신 시스템에서 pdcp 기능을 선택적으로 적용하는 방법 |
| US20110312299A1 (en) * | 2010-06-18 | 2011-12-22 | Qualcomm Incorporated | Methods and apparatuses facilitating synchronization of security configurations |
| JP2012044325A (ja) | 2010-08-16 | 2012-03-01 | Ntt Docomo Inc | 移動通信方法及び無線基地局 |
| US8879732B2 (en) | 2010-10-13 | 2014-11-04 | Nokia Corporation | Dynamic content-based ciphering on a control channel |
| US9226158B2 (en) | 2010-10-29 | 2015-12-29 | Nokia Solutions And Networks Oy | Security of user plane traffic between relay node and radio access network |
| CN102487507B (zh) * | 2010-12-01 | 2016-01-20 | 中兴通讯股份有限公司 | 一种实现完整性保护的方法及系统 |
| EP2649740B1 (en) * | 2010-12-10 | 2014-12-17 | Telefonaktiebolaget LM Ericsson (PUBL) | Enabling and disabling integrity protection for data radio bearers |
| CN102448058B (zh) | 2011-01-10 | 2014-04-30 | 华为技术有限公司 | 一种Un接口上的数据保护方法与装置 |
| TWI590680B (zh) * | 2011-09-30 | 2017-07-01 | 內數位專利控股公司 | 對在區域網路與另一網路之間移動的無線傳輸/接收單元(wtru)進行切換的方法及存取點(ap) |
| US9497169B2 (en) | 2012-06-08 | 2016-11-15 | Samsung Electronics Co., Ltd. | Method and system for selective protection of data exchanged between user equipment and network |
| US20150085749A1 (en) * | 2013-09-26 | 2015-03-26 | Qualcomm Incorporated | Mechanism to exchange proprietary signaling messages between a ue and a network |
| EP3078236A1 (en) * | 2013-12-06 | 2016-10-12 | Interdigital Patent Holdings, Inc. | Layered connectivity in wireless systems |
| WO2015139298A1 (en) | 2014-03-21 | 2015-09-24 | Qualcomm Incorporated | Security mode updates during cellular relocation to avoid call drop |
| US10455414B2 (en) * | 2014-10-29 | 2019-10-22 | Qualcomm Incorporated | User-plane security for next generation cellular networks |
| EP3378249B1 (en) * | 2016-01-27 | 2021-08-04 | Samsung Electronics Co., Ltd. | Method and apparatus for reducing signaling overhead and reducing battery of terminal |
| CN115278658A (zh) * | 2017-01-30 | 2022-11-01 | 瑞典爱立信有限公司 | 针对用户平面数据的完整性保护的方法 |
-
2017
- 2017-03-17 US US15/462,519 patent/US10123210B2/en active Active
-
2018
- 2018-03-09 WO PCT/US2018/021684 patent/WO2018169776A1/en active Application Filing
- 2018-03-09 CN CN201880031553.XA patent/CN110915249B/zh active Active
- 2018-03-09 EP EP21165330.8A patent/EP3860085A1/en active Pending
- 2018-03-09 EP EP18716021.3A patent/EP3596957B1/en active Active
- 2018-11-05 US US16/181,061 patent/US11637871B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104322123A (zh) * | 2012-05-21 | 2015-01-28 | 诺基亚公司 | 管理用于用户设备的无线承载的方法和装置 |
| CN103368671A (zh) * | 2013-07-10 | 2013-10-23 | 工业和信息化部电信传输研究所 | 终端测试系统及其测试适配器和使用方法 |
| CN105981470A (zh) * | 2014-02-06 | 2016-09-28 | 瑞典爱立信有限公司 | 用于处置包括接入点和经由有线线路连接到接入点的有线线路网络节点的通信系统中的通信的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3860085A1 (en) | 2021-08-04 |
| US11637871B2 (en) | 2023-04-25 |
| EP3596957A1 (en) | 2020-01-22 |
| CN110915249A (zh) | 2020-03-24 |
| WO2018169776A1 (en) | 2018-09-20 |
| EP3596957B1 (en) | 2021-04-28 |
| US20190075466A1 (en) | 2019-03-07 |
| US10123210B2 (en) | 2018-11-06 |
| US20180270668A1 (en) | 2018-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110915249B (zh) | 用于无线网络中的用户平面完整性的动态激活和去激活的系统和方法 | |
| US10887942B2 (en) | Method and apparatus for transmitting/receiving data in mobile communication system | |
| EP3469830B1 (en) | Method for performing a re-establishment of a pdcp entity associated with um rlc entity in wireless communication system and a device therefor | |
| EP2208294B1 (en) | Method of repairing a security failure | |
| US20190319893A1 (en) | Method for handling state variables of a pdcp entity in wireless communication system and a device therefor | |
| EP3499954B1 (en) | Method and apparatus for reporting user equipment capability information | |
| US20200169887A1 (en) | Systems and methods for the handling of data radio bearer integrity protection failure in nr | |
| US11089504B2 (en) | Apparatus and method for a user equipment (UE) operating a split bearer | |
| EP3393168B1 (en) | User equipment and data reception method, and network node and data transmission method | |
| KR20130093774A (ko) | Pdcp 패킷 전송 방법 | |
| WO2017050222A1 (en) | Systems and methods for reporting data reception status | |
| US20120230219A1 (en) | Method and Arrangements for Reducing the Number of Failed Handover Procedures | |
| CN110495199B (zh) | 无线网络中的安全小区重定向 | |
| EP3618480B1 (en) | Integrity detection method, terminal and network device | |
| KR20160044853A (ko) | 무선통신 시스템에서 mtc 단말의 데이터 송수신 방법 및 장치 | |
| US20230354136A1 (en) | Integrated access and backhaul communication method and apparatus | |
| EP3354110B1 (en) | Network node and method for avoiding drop of a connection due to rtp timeout | |
| US11172402B2 (en) | Restricting PDCP control PDUs on specific link | |
| WO2019090626A1 (zh) | 重传数据的方法和设备 | |
| CN117941460A (zh) | 数据处理的方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |