CN111165001A - 用于保护网络操控信息的方法和装置 - Google Patents
用于保护网络操控信息的方法和装置 Download PDFInfo
- Publication number
- CN111165001A CN111165001A CN201880063862.5A CN201880063862A CN111165001A CN 111165001 A CN111165001 A CN 111165001A CN 201880063862 A CN201880063862 A CN 201880063862A CN 111165001 A CN111165001 A CN 111165001A
- Authority
- CN
- China
- Prior art keywords
- network
- message
- mac
- protected
- network node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 96
- 230000008859 change Effects 0.000 claims abstract description 11
- 230000006870 function Effects 0.000 claims description 80
- 238000012545 processing Methods 0.000 claims description 52
- 238000013523 data management Methods 0.000 claims description 8
- 238000012790 confirmation Methods 0.000 claims description 7
- 102100039558 Galectin-3 Human genes 0.000 claims 22
- 101000608757 Homo sapiens Galectin-3 Proteins 0.000 claims 22
- 101001046686 Homo sapiens Integrin alpha-M Proteins 0.000 claims 14
- 101000935040 Homo sapiens Integrin beta-2 Proteins 0.000 claims 14
- 102100022338 Integrin alpha-M Human genes 0.000 claims 14
- 101000962498 Macropis fulvipes Macropin Proteins 0.000 claims 14
- 238000004891 communication Methods 0.000 description 40
- 230000005540 biological transmission Effects 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 12
- 230000008901 benefit Effects 0.000 description 9
- 238000012795 verification Methods 0.000 description 9
- 238000005259 measurement Methods 0.000 description 7
- 230000011664 signaling Effects 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 238000003491 array Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000000875 corresponding effect Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000007792 addition Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 238000007476 Maximum Likelihood Methods 0.000 description 1
- 241000700159 Rattus Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000004043 responsiveness Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
根据某些实施例,一种由用户设备(UE)执行的用于保护网络操控信息的方法包括:向受访公共陆地移动网络(VPLMN)发送注册请求。一旦由认证服务器功能(AUSF)成功认证,生成归属网络根密钥。从第一网络节点接收包括网络操控信息在内的受保护消息。该受保护消息使用配置密钥(Kconf)和第一消息认证码(MAC‑1)保护。该配置密钥(Kconf)根据归属网络根密钥确定,并且UE验证该MAC‑1。基于Kconf和MAC‑1来验证VPLMN没有更改网络操控信息。向归属公共陆地移动网络(HPLMN)发送用第二消息认证码(MAC‑2)保护的确认消息。
Description
技术领域
本公开的某些实施例大体上涉及无线通信,并且更具体地,涉及保护网络操控(steering)信息。
背景技术
3GPP TSG S3-171733/S2-175286讨论了关于用于漫游的公共陆地移动网络(PLMN)和无线电接入技术(RAT)选择策略的LS。具体地,在3GPP TSG S3-171733/S2-175286中,来自系统方面工作组2(SA2)的LS在系统方面工作组3(SA3)#88中被接收。3GPP TSG S3-171733/S2-175286中来自SA2的LS指出,需要定义一种标准化方法,以允许给定的归属公共陆地移动网络(HPLMN)向其漫游用户设备(UE)提供关于取决于UE当前位置的优选网络和RAT的信息。
SA2提交了以下需求供考虑,SA2中的以下需求确实提交了3GPP TSG S3-171733/S2-175286中的以下需求供考虑:
·从HPLMN到UE使用控制平面解决方案。
·受访公共陆地移动网络(VPLMN)能够将此信息中继到UE。
·VPLMN将不能更改HPLMN发送的信息(即,UE应当能够检查提供给它的信息的完整性)。
·UE应当能够检测VPLMN是否更改或删除了这些信息,并采取相应动作。
系统方面工作组1(SA1)在3GG TSG S1-173478中参考TS 22.261(第5.1.2.1和6.19子节)和TS 22.011(第3.2.2.8子节)中的相应服务需求进行了回复。SA1需求似乎强调了HPLMN应当能够随时针对特定的VPLMN操控(steer)或重定向UE。
C1-173751讨论了对关于用于漫游的PLMN和RAT选择策略的LS的答复LS。(S2-175286/C1-172866)。CT1在C1-173751中指示,CT1负责第2阶段规范(TS 23.122),并要求SA3在CT1指定对需求的任何解决方案之前,基于S3-171733/S2-175286中的需求探讨端到端安全解决方案。
另外,3GPP TSG S3-172034中的另一篇关于保护网络操控信息的论文已提交给SA3#88。来自三星公司的相关讨论论文在SA3#88中。在3GPP TSG S3-172034中讨论了两种不同的备选方案。要考虑的保护从(HPLMN中的)AUSF到UE的信息的两种可能的安全证书是:
·使用HN非对称密钥
·使用由主(primary)认证产生的锚定密钥。
在3GPP TSG S3-172034的结论中,指示第二种备选方案(即,使用由主认证产生的锚定密钥)是优选的。然而,并非所有运营商都可以不支持HN非对称密钥。
发明内容
本文描述的某些实施例解决了先前的用于保护网络操控信息的技术的问题。
根据某些实施例,一种由用户设备(UE)执行的用于保护网络操控信息的方法包括:向受访公共陆地移动网络(VPLMN)发送注册请求。一旦由认证服务器功能(AUSF)成功认证,生成归属网络根密钥。从第一网络节点接收包括网络操控信息在内的受保护消息。该受保护消息使用配置密钥(Kconf)和第一消息认证码(MAC-1)保护。该配置密钥(Kconf)根据归属网络根密钥确定,并且UE验证该MAC-1。基于Kconf和MAC-1来验证VPLMN没有更改网络操控信息。向归属公共陆地移动网络(HPLMN)发送用第二消息认证码(MAC-2)保护的确认消息。
根据某些实施例,UE包括:存储器,可操作用于存储指令,以及处理电路,可操作用于执行指令以使UE向VPLMN发送注册请求。一旦由AUSF成功认证,生成归属网络根密钥。从第一网络节点接收包括网络操控信息在内的受保护消息。受保护消息使用Kconf和MAC-1来保护。Kconf根据归属网络根密钥确定,并且UE验证该MAC-1。基于Kconf和MAC-1来验证VPLMN没有更改网络操控信息。向HPLMN发送用第二MAC-2保护的确认消息。
根据某些实施例,一种由操作为AUSF的第一网络节点执行的用于保护网络操控信息的方法包括:生成归属网络根密钥。从第二网络节点接收网络操控信息,并且根据归属网络密钥确定Kconf。生成包括网络操控信息在内的受保护消息,并且使用Kconf和MAC-1保护该受保护消息。向UE发送包括网络操控信息在内的受保护消息。从UE接收确认消息。确认消息用MAC-2保护,并且指示VPLMN没有更改网络操控信息。向第二网络节点转发指示VPLMN没有更改网络操控信息的确认消息。
根据某些实施例,提供了一种操作为AUSF的用于保护网络操控信息的第一网络节点。第一网络节点包括:存储器,可操作用于存储指令,以及处理电路,可操作用于执行指令以使该网络节点生成归属网络根密钥。从第二网络节点接收网络操控信息,并且根据归属网络密钥确定Kconf。生成包括网络操控信息在内的受保护消息,并且使用Kconf和MAC-1保护该受保护消息。向UE发送包括网络操控信息在内的受保护消息。从UE接收确认消息。确认消息用MAC-2保护,并且指示VPLMN没有更改网络操控信息。向第二网络节点转发指示VPLMN没有更改网络操控信息的确认消息。
根据某些实施例,一种由第一网络节点执行的用于保护网络操控信息的方法包括:向操作为AUSF的第二网络节点发送网络操控信息和MAC-1,以使用Kconf和MAC-1来保护网络操控信息。从UE接收确认消息,并且用MAC-2保护该确认消息。该确认指示VPLMN没有更改网络操控信息。验证MAC-2,并且基于该确认来确定VPLMN没有更改网络操控信息。
根据某些实施例,提供了一种用于保护网络操控信息的第一网络节点。该网络节点包括:存储器,可操作用于存储指令,以及处理电路,可操作用于执行指令以使该网络节点:向操作为AUSF的第二网络节点发送网络操控信息和MAC-1,以使用Kconf和MAC-1来保护网络操控信息。从UE接收确认消息,并且用MAC-2保护该确认消息。该确认指示VPLMN没有更改网络操控信息。验证MAC-2,并且基于该确认来确定VPLMN没有更改网络操控信息。
本公开的实施例可以提供一个或多个技术优点。作为示例,某些实施例的优点可以提供端对端解决方案,其中HPLMN中的节点(例如,AUSF)可以向UE发送完整性受保护的网络操控信息。另一优点可以是,该解决方案是使用仅UE和HPLMN知道的密钥从HPLMN的主认证中导出的。作为另一示例,优点可以是,该解决方案可以用端到端加密来增强,使得可以对VPLMN隐藏网络操控信息。又一个优点可以是,某些实施例由UE提供对网络操控信息的接收的确认,使得HPLMN知道UE是否接收到该信息。
某些实施例可以不包括这些优点、包括这些优点中的一些或全部。某些实施例可以包括其他优点,如本领域技术人员将理解的。
具体实施方式
根据某些实施例,提供了一种端到端解决方案,其中,归属公共陆地移动网络(HPLMN)中的节点,例如认证服务器功能(AUSF),可以向用户设备(UE)发送完整性受保护的网络操控信息。在特定实施例中,该解决方案基于从主认证中导出的Kausf。该密钥将仅被UE和HPLMN知道。因此,可以从由主认证产生的Kausf中导出密钥,该密钥用于保护从归属公共陆地移动网络(HPLMN)到用户设备(UE)的网络操控信息。在特定实施例中,该密钥是配置密钥,并且网络操控信息是优选的公共陆地移动网络(PLMN)和无线电接入技术(RAT)列表。具体地,根据某些实施例,HPLMN中的AUSF使用该配置密钥,针对网络操控信息计算消息认证码。
在特定实施例中,可以利用端到端加密来增强该解决方案。加密的优点可以是,对受访公共陆地移动网络(VPLMN)隐藏网络操控信息。附加地,可以通过非接入层(NAS)安全性来实现空中接口上的机密性保护。然而,使用任何形式的机密性保护都可能受地区或国家法规政策的约束。
UE对VPLMN删除网络操控信息的检测是一个挑战。因此,本文提供的某些实施例提出了使用返回给HPLMN的确认消息,以便至少HPLMN知道UE是否接收到该信息。例如,UE可以在其已经接收到网络操控信息时发送确认消息。在特定实施例中,UE可以对确认消息进行完整性保护。具体地,在UE和HPLMN中的节点之间,网络操控确认(ACK)受到端到端保护。一旦接收到网络操控ACK,HPLMN可以知道VPLMN是否传递了消息。值得注意的是,网络操控信息可以将UE重定向到另一个VPLMN,因此,VPLMN可能不希望传递该消息。
根据某些特定实施例,所考虑的一些附加可能参数包括:
·配置密钥标识符:该标识符可以将配置密钥与从中导出该配置密钥的Kausf绑定。例如,在特定实施例中,配置密钥标识符可以是由AUSF生成并发布给MS的随机质询(RAND)。
·完整性保护算法标识符:在特定实施例中,如果没有单独标识完整性算法,则它可以是在3GPP网络中通常使用的公知的KDF函数,即HMAC-SHA-256(参见3GPP TS 33.401附录A和TGPP TS 33.220附录B)。
·计数器:如果使用相同的配置密钥来计算一个以上的媒体接入控制(MAC),则优选附加计数器作为用于检测UE中的重放保护的参数。
图1示出了根据某些实施例的示例信令流100,其示出了从HPLMN向UE 102预配置(provisioning)网络操控信息。更具体地,图1示出了当归属网络中的AUSF 104执行网络操控信息的完整性保护并且包括通过N12接口到受访公共陆地移动网络(VPLMN)中的接入移动性功能/安全锚定功能(AMF/SEAF)106的安全性受保护的网络操控信息时的UE注册过程的示例。AMF/SEAF 106在非接入层(NAS)消息中向UE 102发送受保护的网络操控信息。在特定实施例中,例如,AMF/SEAF 106在注册接受消息中向UE 102发送受保护的网络操控信息。注意,提供的示例是示例优化。在特定实施例中,HPLMN应当能够随时向UE 102发送网络操控信息。因此,HPLMN可以不限于仅在注册过程期间向UE 102发送网络操控信息。
如图1所示,根据某些实施例的信令流为:
1.UE 102注册到VPLMN,并由AUSF 104认证。
2.UE 102和AUSF 104生成Kausf。
3.HPLMN中的节点(例如,用户数据管理(UDM)108)向AUSF104发送网络操控信息。在所描绘的实施例中,AUSF 104保护网络操控信息。然而,一些其他节点可以保护网络操控信息。例如,在特定实施例中,策略控制功能可以保护网络操控信息。
4.AUSF 104从归属网络根密钥(Kausf)中导出配置密钥(Kconf),并针对网络操控信息计算消息认证码(MAC-1)。
5.AUSF 104将受保护的网络操控信息转发给AMF/SEAF。
6.AMF/SEAF将受保护的网络操控信息转发给UE 102。在特定实施例中,可以利用NAS安全性对该消息进行空中机密性保护。在特定实施例中,可以例如在注册接受消息中背负(piggyback)网络操控信息。
7.UE 102从归属网络根密钥(Kausf)中导出配置密钥(Kconf)并且验证MAC-1。在特定实施例中,UE 102可以向HPLMN发送确认消息(“网络操控ACK”),并用MAC-2保护该信息。
8.UE 102将受保护的ACK消息发送给AMF/SEAF。
9.AMF/SEAF将受保护的ACK转发给AUSF。
10.AUSF验证受保护的网络操控ACK消息中的MAC-2。
11.AUSF将ACK转发到网络操控信息的原始源。
图2示出了根据某些实施例的另一示例信令流200,其示出了从HPLMN向UE 202预配置网络操控信息。更具体地,图2示出了当不同于AUSF 204的节点负责传递网络操控信息时的场景。例如,在所描绘的实施例中,点协调功能(PCF)208传递网络操控信息。然而,PCF208仅是一个示例,在其他实施例中,网络操控信息可以由另一节点传递。
如图2所示,根据某些实施例的信令流200为:
1.UE 202注册到VPLMN,并由AUSF 204认证。
2.UE 202和AUSF 204生成Kausf。
3.HPLMN中的节点向AUSF 204发送密钥请求。在所描绘的示例实施例中,PCF 208向AUSF 204发送密钥请求。根据特定实施例,可以假设AUSF 204仅从归属网络根密钥(Kausf)中导出其他密钥,以及充当密钥管理服务器并在HPLMN中分发这种密钥。
4.AUSF 204从归属网络根密钥(Kausf)中导出配置密钥(Kconf)。
5.AUSF 204将具有配置密钥(Kconf)的密钥响应发送给PCF 208。
6.PCF 208构造网络操控信息,并用MAC-1对其进行保护。
7.PCF 208向UE 202发送受保护的网络操控信息。根据特定实施例,在某些实施例中,在PCF 208和UE 202之间可以存在中间节点,中间节点可以接收并转发受保护的网络操控信息。
8.UE从归属网络根密钥(Kausf)中导出配置密钥(Kconf)并验证MAC-1。在特定实施例中,UE 202可以向PCF 208发送确认消息(“网络操控ACK”),并用MAC-2保护该信息。
9.UE 202向PCF 208发送受保护的ACK消息。根据特定实施例,在节点和UE 202之间可以存在中间节点。
10.PCF 208验证受保护的网络操控ACK消息中的MAC-2。
UE 202对VPLMN删除网络操控信息的检测是困难的。这可能要求UE 202能够期望这样的消息到达,并且即使在什么都不需要配置的情况下,AUSF 204也将发送该消息(具有MAC)。这种消息收发方案可能不是有效的,并且将保证仅在UE 202期望它们到达时传递,而无法保证随时传递。因此,根据某些实施例,提出使用返回到HPLMN的确认消息,以便至少HPLMN能够检测传递的失败。
图3示出了根据某些实施例的用于保护网络操控信息的网络300重传方案的示例实施例。网络300包括一个或多个UE 310(其可以互换地称为无线设备310)和一个或多个网络节点315(其可以互换地称为gNB 315)。UE 310可以通过无线接口与网络节点315通信。例如,UE 310可以向网络节点315中的一个或多个发送无线信号,和/或从网络节点315中的一个或多个接收无线信号。无线信号可以包含语音业务、数据业务、控制信号和/或任何其他合适的信息。在一些实施例中,与网络节点315相关联的无线信号覆盖的区域可以被称为小区325。在一些实施例中,UE 310可以具有设备到设备(D2D)能力。因此,UE 310能够直接从另一UE接收信号和/或向另一UE发送信号。
在某些实施例中,网络节点315可以与无线电网络控制器相接口。无线电网络控制器可以控制网络节点315,并且可以提供某些无线电资源管理功能、移动性管理功能和/或其他合适的功能。在某些实施例中,无线电网络控制器的功能可以被包括在网络节点315中。无线电网络控制器可以与核心网节点相接口。在某些实施例中,无线电网络控制器可以经由互连网络320与核心网节点相接口。互连网络320可以指能够发送音频、视频、信号、数据、消息或前述的任何组合的任何互连系统。互连网络320可以包括以下全部或其中一部分:公共交换电话网(PSTN)、公共或专用数据网、局域网(LAN)、城域网(MAN)、广域网(WAN)、本地或地区或全球通信或计算机网络(如互联网)、有线网或无线网、企业内网或任何其他合适的通信链路,包括其组合。
在一些实施例中,核心网节点可以管理用于UE 310的通信会话的建立和各种其他功能。UE 310可以使用非接入(NAS)层与核心网节点交换某些信号。在非接入层信令中,UE310和核心网节点之间的信号可以透明地经过无线电接入网。在某些实施例中,网络节点315可以通过节点间接口与一个或多个网络节点相接。
如上所述,网络300的示例性实施例可以包括一个或多个无线设备310以及能够与无线设备310(直接或间接)通信的一个或多个不同类型的网络节点。
在一些实施例中,使用非限制性的术语UE。本文所描述的UE 310可以是能够通过无线电信号与网络节点315或另一UE进行通信的任何类型的无线设备。UE 310还可以是无线电通信设备、目标设备、D2D UE、NB-IoT设备、MTC UE或能够进行机器到机器通信(M2M)的UE、低成本和/或低复杂度UE、配备有UE的传感器、平板电脑、移动终端、智能电话、膝上型嵌入式设备(LEE)、膝上型安装设备(LME)、USB加密狗、客户端终端设备(CPE)等。
此外,在一些实施例中,使用通用术语“无线电网络节点”(或简单的“网络节点”)。它可以是任何类型的网络节点,其可以包括基站(BS)、无线电基站、Node B、基站(BS)、多标准无线电(MSR)无线电节点(如MSR BS)、演进节点B(eNB)、网络控制器、无线网络控制器(RNC)、基站控制器(BSC)、中继节点、中继施主节点控制中继站、基站收发机站点(BTS)、接入点(AP)、无线接入点、传输点、传输节点、远程无线电单元(RRU)、远程无线电头(RRH)、分布式天线系统(DAS)中的节点、多小区/多播协调实体(MCE)、核心网节点(例如,MSC、MME等)、O&M、OSS、SON,定位节点(例如,E-SMLC)、MDT、或任何其他合适的网络节点。
诸如网络节点和UE之类的术语应被认为是非限制性的,并且不特别暗示两者之间的某种层次关系;通常,“eNodeB”可以被认为是设备1和“UE”设备2,并且这两个设备通过某个无线电信道相互通信。
在下面更详细地描述UE 310、网络节点315和其他网络节点(诸如无线电网络控制器或核心网节点)的示例实施例。
尽管图3示出了网络300的特定布置,但是本公开预想的是,本文所描述的各种实施例可以应用于具有任何合适的配置的各种网络。例如,网络300可以包括任何合适数量的UE 310和网络节点315,以及适合于支持UE之间或UE与另一通信设备(诸如固网电话)之间的通信的任何附加元件。此外,虽然某些实施例可以被描述为在NR或5G网络中实现,但是这些实施例可以在支持任何合适的通信和使用任何合适的组件的任何适当类型的电信系统中实现,并且适用于UE接收和/或发送信号(例如,数据)的任何无线电接入技术(RAT)或多RAT系统。例如,本文所描述的各种实施例可以适用于IoT、NB-IoT、LTE、高级LTE、UMTS、HSPA、GSM、cdma2000、WCDMA、WiMax、UMB、WiFi、另一合适的无线电接入技术或一种或多种无线电接入技术的任何合适的组合。
图4示出了根据某些实施例的用于保护网络操控信息的示例无线设备310。无线设备310可以指代与蜂窝或移动通信系统中的节点和/或与另一无线设备进行通信的任何类型的无线设备。无线设备310的示例包括移动电话、智能电话、PDA(个人数字助理)、便携式计算机(例如膝上型计算机、平板计算机)、传感器、调制解调器、MTC设备/机器到机器(M2M)设备、膝上型嵌入式设备(LEE)、膝上型安装式设备(LME)、USB加密狗、具有D2D功能的设备或可以提供无线通信的另一设备。在一些实施例中,无线设备310还可以被称为UE、站(STA)、设备或终端。无线设备310包括:收发机410、处理电路420和存储器430。在一些实施例中,收发机410促进向网络节点315发送无线信号和从网络节点315接收无线信号(例如,经由天线440),处理电路420(例如,可以包括一个或多个处理器)执行指令以提供上文描述的由无线设备310提供的功能的一部分或全部,并且存储器430存储处理电路420执行的指令。
处理电路420可以包括在一个或多个模块中实现的硬件和软件的任何合适组合,以执行指令和操纵数据以执行无线设备310的所描述的功能中的一些或全部,例如关于本文中第3、4和6部分中任何一个描述的UE 310(即,无线设备310)的功能。例如,一般地,处理电路可以基于在来自网络节点315的寻呼消息中接收的系统信息通知(例如,系统信息改变通知、系统信息修改或系统信息更新)来保存系统信息的当前版本和/或应用先前存储的系统信息版本。在一些实施例中,处理电路420可以包括例如一个或多个计算机、一个或多个中央处理单元(CPU)、一个或多个微处理器、一个或多个应用、一个或多个专用集成电路(ASIC)、一个或更多现场可编程门阵列(FPGA)和/或其他逻辑。
存储器430一般操作为存储指令,例如计算机程序、软件、包括逻辑、规则、算法、代码、表等中的一个或多个在内的应用、和/或能够被处理器执行的其他指令。存储器430的示例包括计算机存储器(例如,随机访问存储器(RAM)或只读存储器(ROM))、大容量存储介质(例如硬盘)、可移除存储介质(例如紧凑盘(CD)或数字视频盘(DVD))、和/或存储信息、数据和/或可以由处理器420使用的指令的任何其他易失性或非易失性、非暂时性计算机可读和/或计算机可执行存储设备。
无线设备310的其他实施例可以可选地包括除图4中所示的组件外的附加组件,所述附加组件可以负责提供无线设备的功能的某些方面,所述功能包括上述的功能中的任一者和/或任何附加功能(包括支持上述的方案所需的任何功能)。仅作为一个示例,无线设备310可以包括输入设备和电路、输出设备以及一个或多个同步单元或电路,它们可以是处理电路420的一部分。输入设备包括用于向无线设备310输入数据的机构。例如,输入设备可以包括输入机构,例如麦克风、输入元件、显示器等。输出设备可以包括用于以音频、视频和/或硬拷贝格式输出数据的机构。例如,输出设备可以包括扬声器、显示器等。
图5示出了根据某些实施例的由UE用于保护网络操控信息的示例方法500。在特定实施例中,UE可以包括诸如无线设备310之类的无线设备。
在步骤502,UE向VPLMN发送注册请求。在步骤504,一旦由AUSF成功认证,UE可以生成归属网络根密钥。例如,在特定实施例中,UE生成Kausf。
在步骤506,UE从网络节点接收包括网络操控信息在内的受保护消息,该受保护消息使用从归属网络根密钥中导出的配置密钥(Kconf)和第一消息认证码(MAC-1)保护。
在步骤508,UE从归属网络根密钥中导出配置密钥(Kconf)。在步骤510,UE验证MAC-1。在512,UE基于Kconf和MAC-1来验证VPLMN没有更改网络操控信息。此后,在步骤514,UE向归属公共陆地移动网络(HPLMN)发送确认消息。该确认消息用第二消息验证码(MAC-2)保护。
某些实施例可以包括更多或更少的动作,并且这些动作可以以任何合适的顺序执行。
在某些实施例中,用于保护网络操控信息的方法可以由虚拟计算设备执行。图6示出了根据某些实施例的用于保护网络操控信息的示例虚拟计算设备600。在某些实施例中,虚拟计算设备600可以包括:用于执行与针对图5中所示出和描述的方法在上文所描述的那些步骤类似的步骤的模块。例如,虚拟计算设备900可以包括第一发送模块610、第一生成模块620、第一接收模块630、导出模块640、第一验证模块650、第二验证模块660、第二发送模块670、以及用于保护网络操控信息的任何其他合适的模块。在一些实施例中,这些模块中的一个或多个模块可以使用图4的处理电路420实现。在某些实施例中,各种模块中的两个或更多个的功能可以被组合成单个模块。
第一发送模块610可以执行虚拟计算设备600的某些发送功能。例如,在特定实施例中,第一发送模块610可以向VPLMN发送注册请求。
第一生成模块620可以执行虚拟计算设备600的某些生成功能。例如,在特定实施例中,一旦由AUSF成功认证,第一生成模块620可以生成归属网络根密钥。
第一接收模块630可以执行虚拟计算设备600的某些接收功能。例如,在特定实施例中,第一接收模块630可以从网络节点接收包括网络操控信息在内的受保护消息,该受保护消息使用从归属网络根密钥导出的配置密钥(Kconf)和第一消息认证码(MAC-1)保护。
导出模块640可以执行虚拟计算设备600的某些导出功能。例如,在特定实施例中,导出模块640可以从归属网络根密钥中导出配置密钥(Kconf)。
第一验证模块650可以执行虚拟计算设备600的某些验证功能。例如,在特定实施例中,第一验证模块650可以验证MAC-1。
第二验证模块660可以执行虚拟计算设备600的某些验证功能。例如,在特定实施例中,第二验证模块660可以基于Kconf和MAC-1来验证VPLMN没有更改网络操控信息。
第二发送模块670可以执行虚拟计算设备600的某些发送功能。例如,在特定实施例中,第二发送模块670可以向HPLMN发送确认消息。
虚拟计算设备600的其他实施例可以包括除图6中所示的组件外的附加组件,所述附加组件可以负责提供UE的功能的某些方面,所述功能包括上述功能中的任何一项和/或任何附加功能(包括支持上述方案所需的任何功能)。可以包括发射机的各种不同类型的UE可以包括具有相同物理硬件但配置(例如,经由编程)为支持不同无线电接入技术的组件,或者可以表示部分或完全不同的物理组件。
图7示出了根据某些实施例的由UE用于保护网络操控信息的示例方法700。在特定实施例中,UE可以包括诸如无线设备310之类的无线设备。
在步骤702,UE向VPLMN发送注册请求。
在步骤704,一旦由AUSF成功认证,UE生成归属网络根密钥。
在步骤706,UE从第一网络节点接收包括网络操控信息在内的受保护消息,该受保护消息使用Kconf和MAC-1保护。
在特定实施例中,第一网络节点包括AUSF。在特定实施例中,网络操控信息可以由诸如UDM的第二网络节点生成,并由AUSF保护。
在又一特定实施例中,位于VPLMN中的第三网络节点可以包括AMF/SEAF,其转发来自第二网络节点的包括网络操控信息在内的受保护消息。
在特定实施例中,可以用NAS安全性对该消息进行空中机密性保护。附加地或备选地,在特定实施例中,受保护消息可以用注册接受消息来背负。
在步骤708,UE根据归属网络根密钥确定配置密钥(Kconf)。在特定实施例中,配置密钥是归属网络根密钥。附加地或备选地,在特定实施例中,归属网络根密钥是Kausf。
在步骤710,UE验证MAC-1。
在步骤712,UE基于Kconf和MAC-1来验证VPLMN没有更改网络操控信息。
在步骤714,UE向HPLMN发送确认消息。该确认消息用MAC-2来保护。
某些实施例可以包括更多或更少的动作,并且这些动作可以以任何合适的顺序执行。
在某些实施例中,用于保护网络操控信息的方法可以由虚拟计算设备执行。图8示出了根据某些实施例的用于保护网络操控信息的示例虚拟计算设备800。在某些实施例中,虚拟计算设备800可以包括:用于执行与针对图7中所示出和描述的方法在上文所描述的那些步骤类似的步骤的模块。例如,虚拟计算设备800可以包括第一发送模块810、第一生成模块820、第一接收模块830、确定模块840、第一验证模块850、第二验证模块860、第二发送模块870、以及用于保护网络操控信息的任何其他合适的模块。在一些实施例中,这些模块中的一个或多个模块可以使用图4的处理电路420实现。在某些实施例中,各种模块中的两个或更多个的功能可以被组合成单个模块。
第一发送模块810可以执行虚拟计算设备800的某些发送功能。例如,在特定实施例中,第一发送模块810可以向VPLMN发送注册请求。
第一生成模块820可以执行虚拟计算设备800的某些生成功能。例如,在特定实施例中,一旦由AUSF成功认证,第一生成模块820可以生成归属网络根密钥。
第一接收模块830可以执行虚拟计算设备800的某些接收功能。例如,在特定实施例中,第一接收模块830可以从网络节点接收包括网络操控信息在内的受保护消息,该受保护消息使用配置密钥(Kconf)和MAC-1保护。
确定模块840可以执行虚拟计算设备800的确定功能中的某些确定功能。例如,在特定实施例中,确定模块840可以根据归属网络根密钥确定Kconf。
第一验证模块850可以执行虚拟计算设备800的某些验证功能。例如,在特定实施例中,第一验证模块850可以验证MAC-1。
第二验证模块860可以执行虚拟计算设备800的某些其他验证功能。例如,在特定实施例中,第二验证模块860可以基于Kconf和MAC-1来验证VPLMN没有更改网络操控信息。
第二发送模块870可以执行虚拟计算设备800的某些发送功能。例如,在特定实施例中,第二发送模块870可以向HPLMN发送用MAC-2保护的确认消息。
虚拟计算设备800的其他实施例可以包括除图8中所示的组件外的附加组件,所述附加组件可以负责提供UE的功能的某些方面,所述功能包括上述功能中的任何一项和/或任何附加功能(包括支持上述方案所需的任何功能)。可以包括发射机的各种不同类型的UE可以包括具有相同物理硬件但配置(例如,经由编程)为支持不同无线电接入技术的组件,或者可以表示部分或完全不同的物理组件。
图9示出了根据某些实施例的用于保护网络操控信息的示例网络节点315。网络节点315可以是与UE和/或与另一网络节点通信的任何类型的无线电网络节点或任何网络节点。网络节点315的示例包括gNB、eNodeB、节点B、基站、无线接入点(例如,Wi-Fi接入点)、低功率节点、基站收发机站点(BTS)、中继站、施主节点控制中继站、传输点、传输节点、远程RF单元(RRU)、远程无线电头(RRH)、多标准无线电(MSR)无线电节点(例如MSR BS)、分布式天线系统(DAS)中的节点、O&M、OSS、SON、定位节点(例如,E-SMLC)、MDT或任何其他合适的网络节点。网络节点315可以在整个网络300中部署为同构部署、异构部署或者混合部署。同构部署一般可以描述由相同(或相似)类型的具有相似覆盖和小区大小以及站间距离的网络节点315组成的部署。异构部署一般可以描述使用各种类型的具有不同小区大小、发送功率、容量以及站间距离的网络节点315的部署。例如,异构部署可以包括布置在整个宏小区布局中的多个低功率节点。混合部署可以包括同构部分和异构部分的混合。
网络节点315可以包括收发机910、处理电路920(例如,可以包括一个或多个处理器)、存储器930和网络接口940中的一个或多个。在一些实施例中,收发机910促进向无线设备310发送无线信号和从无线设备310接收无线信号(例如,经由天线950),处理电路920执行指令以提供上文所描述的由网络节点315提供的功能的一部分或全部,存储器930存储处理电路920执行的指令,以及网络接口940向后端网络组件(例如,网关、交换机、路由器、互联网、公共交换电话网(PSTN)、核心网节点或无线网络控制器等)传送信号。
处理电路920可以包括在一个或多个模块中实现的硬件和软件的任何合适的组合,以执行指令和操作数据来执行网络节点315的所述功能的一些或全部功能,例如关于本文中第3、4或6部分中任何一个描述的那些功能。例如,一般地,处理电路920可以使网络节点发送包括系统信息通知的寻呼消息。在某些实施例中,可以响应于检测到接入资源上的过载情况的风险改变而发送系统信息通知,并且系统信息通知可以指示无线设备310将应用先前存储版本的系统信息。在一些实施例中,处理电路920可以包括例如一个或多个计算机、一个或多个中央处理单元(CPU)、一个或多个微处理器、一个或多个应用程序和/或其他逻辑。
存储器930一般操作为存储指令,例如计算机程序、软件、包括逻辑、规则、算法、代码、表等中的一个或多个在内的应用、和/或能够被处理器执行的其他指令。存储器930的示例包括计算机存储器(例如,随机存取存储器(RAM)或只读存储器(ROM))、大容量存储介质(例如硬盘)、可移除存储介质(例如紧凑盘(CD)或数字视频盘(DVD))、和/或存储信息的任何其他易失性或非易失性、非暂时性计算机可读和/或计算机可执行存储设备。
在一些实施例中,网络接口940通信耦接至处理电路920,并且可以指代可操作用于接收对网络节点315的输入,从网络节点315发送输出,执行对输入或输出或二者的合适处理,与其他设备通信或前述的任何组合的任何合适的设备。网络接口940可以包括含有协议转换和数据功能的适合硬件(例如,端口,调制解调器,网络接口卡等)和软件,以便通过网络进行通信。
网络节点315的其他实施例可以包括除图9中所示的组件外的附加组件,所述附加组件可以负责提供无线网络节点的功能的某些方面,所述功能包括上述的功能中的任一者和/或任何附加功能(包括支持上述的解决方案所需的任何功能)。各种不同类型的网络节点可以包括具有相同物理硬件但被配置为(例如经由编程)支持不同无线电接入技术的组件,或者可以表示部分或整体不同的物理组件。
图10示出了根据某些实施例的由操作为认证服务器功能(AUSF)的网络节点执行的用于保护网络操控信息的示例方法1000。方法在步骤1002处开始,此时网络节点315生成归属网络根密钥。
在步骤1004,网络节点从PCF接收网络操控信息。
在步骤1006,网络节点从归属网络密钥中导出Kconf。
在步骤1008,网络节点生成包括网络操控信息在内的受保护消息。受保护消息可以使用Kconf和MAC-1来保护。
在步骤1010,网络节点将包括网络操控信息在内的受保护消息发送给UE。
在步骤1012,网络节点从UE接收用MAC-2保护的确认消息。该确认指示VPLMN没有更改网络操控信息。
在步骤1014,网络节点验证MAC-2。
在步骤1016,网络节点将指示VPLMN没有更改网络操控信息的确认消息转发给PCF。
某些实施例可以包括更多或更少的动作,并且这些动作可以以任何合适的顺序执行。
在某些实施例中,如上所述的用于保护网络操控信息的方法可以由虚拟计算设备执行。图11示出了根据某些实施例的用于保护网络操控信息的示例虚拟计算没备900。在某些实施例中,虚拟计算设备1100可以包括:用于执行与针对图10中所示出和描述的方法在上文所描述的那些步骤类似的步骤的模块。例如,虚拟计算设备1100可以包括第一生成模块1110、第一接收模块1120、导出模块1130、第二生成模块1140、第一发送模块1150、第二接收模块1160、验证模块1170、转发模块1180以及用于保护网络操控信息的任何其他合适的模块。在一些实施例中,这些模块中的一个或多个模块可以使用图9的处理电路920实现。在某些实施例中,各种模块中的两个或更多个的功能可以被组合成单个模块。
第一生成模块1110可以执行虚拟计算设备1100的某些生成功能。例如,在特定实施例中,第一生成模块1110可以生成归属网络根密钥。
第一接收模块1120可以执行虚拟计算设备1100的某些接收功能。例如,在特定实施例中,第一接收模块1120可以从PCF接收网络操控信息。
导出模块1130可以执行虚拟计算设备1100的某些导出功能。例如,在特定实施例中,导出模块1130可以从归属网络密钥中导出Kconf。
第二生成模块1140可以执行虚拟计算设备1100的某些生成功能。例如,在特定实施例中,生成模块1140可以生成包括网络操控信息在内的受保护消息。受保护消息可以使用Kconf和第一消息认证码(MAC-1)来保护。
第一发送模块1150可以执行虚拟计算设备100的某些发送功能。例如,在特定实施例中,第一发送模块1150可以将包括网络操控信息在内的受保护消息发送给UE。
第二接收模块960可以执行虚拟计算设备1100的某些接收功能。例如,在特定实施例中,第二接收模块1160可以从UE接收用第二消息认证码(MAC-2)保护的确认消息。该确认指示VPLMN没有更改网络操控信息。
验证模块1170可以执行虚拟计算设备1100的某些验证功能。例如,在特定实施例中,验证模块1170可以验证MAC-2。
转发模块1180可以执行虚拟计算设备1100的某些转发功能。例如,在特定实施例中,转发模块1180可以将指示VPLMN没有更改网络操控信息的确认消息转发给PCF。
虚拟计算设备1100的其他实施例可以包括除图11中所示的组件外的附加组件,所述附加组件可以负责提供网络节点的功能的某些方面,所述功能包括上述功能中的任何一项和/或任何附加功能(包括支持上述方案所需的任何功能)。可以包括发射机的各种不同类型的网络节点可以包括具有相同物理硬件但被配置为(例如,经由编程)支持不同无线电接入技术的组件,或者可以表示部分或整体不同的物理组件。
图12示出了根据某些实施例的由操作为认证服务器功能(AUSF)的第一网络节点执行的用于保护网络操控信息的示例方法1200。在特定实施例中,第一网络节点可以包括诸如网络节点315之类的网络节点。
在步骤1202,方法开始,此时第一网络节点315生成归属网络根密钥。
在步骤1204,第一网络节点315从第二网络节点接收网络操控信息。在特定实施例中,第二网络节点可以操作为PCF或UDM中的至少一个。
在步骤1206,第一网络节点315根据归属网络密钥确定Kconf。在特定实施例中,配置密钥是归属网络根密钥。例如,在特定实施例中,归属网络根密钥可以是Kausf。
在步骤1208,第一网络节点315生成包括网络操控信息在内的受保护消息。受保护消息可以使用Kconf和MAC-1来保护。在特定实施例中,受保护消息可以用注册接受消息来背负。
在步骤1210,第一网络节点315将包括网络操控信息在内的受保护消息发送给UE310。
在步骤1212,第一网络节点315从UE 310接收用MAC-2保护的确认消息。该确认指示VPLMN没有更改网络操控信息。
在步骤1214,第一网络节点验证MAC-2。
在步骤1216,第一网络节点将指示VPLMN没有更改网络操控信息的确认消息转发给第二网络节点。
某些实施例可以包括更多或更少的动作,并且这些动作可以以任何合适的顺序执行。
在某些实施例中,如上所述的用于保护网络操控信息的方法可以由虚拟计算设备执行。图13示出了根据某些实施例的用于保护网络操控信息的示例虚拟计算设备1300。在某些实施例中,虚拟计算设备1300可以包括:用于执行与针对图12中所示出和描述的方法在上文所描述的那些步骤类似的步骤的模块。例如,虚拟计算设备1300可以包括第一生成模块1310、第一接收模块1320、确定模块1330、第二生成模块1340、发送模块1350、第二接收模块1360、转发模块1370以及用于保护网络操控信息的任何其他合适的模块。在一些实施例中,这些模块中的一个或多个模块可以使用图9的处理电路920实现。在某些实施例中,各种模块中的两个或更多个的功能可以被组合成单个模块。
第一生成模块1310可以执行虚拟计算设备1300的某些生成功能。例如,在特定实施例中,第一生成模块1310可以生成归属网络根密钥。
第一接收模块1320可以执行虚拟计算设备1300的某些接收功能。例如,在特定实施例中,第一接收模块1320可以从第二网络节点接收网络操控信息。
确定模块1330可以执行虚拟计算设备1300的确定功能中的某些确定功能。例如,在特定实施例中,确定模块1330可以根据归属网络密钥确定Kconf。
第二生成模块1340可以执行虚拟计算设备1300的某些其他生成功能。例如,在特定实施例中,第二生成模块1340可以生成包括网络操控信息在内的受保护消息。受保护消息可以使用Kconf和MAC-1来保护。
发送模块1350可以执行虚拟计算设备1300的某些发送功能。例如,在特定实施例中,发送模块1350可以将包括网络操控信息在内的受保护消息发送给UE。
第二接收模块1360可以执行虚拟计算设备1300的某些其他接收功能。例如,在特定实施例中,第二接收模块1360可以从UE接收用MAC-2保护的确认消息。该确认指示VPLMN没有更改网络操控信息。
转发模块1370可以执行虚拟计算设备1300的某些转发功能。例如,在特定实施例中,转发模块1380可以将指示VPLMN没有更改网络操控信息的确认消息转发给第二网络节点。
虚拟计算设备1300的其他实施例可以包括除图13中所示的组件外的附加组件,所述附加组件可以负责提供网络节点的功能的某些方面,所述功能包括上述功能中的任何一项和/或任何附加功能(包括支持上述方案所需的任何功能)。可以包括发射机的各种不同类型的网络节点可以包括具有相同物理硬件但被配置为(例如,经由编程)支持不同无线电接入技术的组件,或者可以表示部分或整体不同的物理组件。
图14示出了根据某些实施例的由操作为PCF的网络节点执行的用于保护网络操控信息的示例方法1400。方法在步骤1402处开始,此时网络节点向AUSF请求从归属网络根密钥中导出的KConf。
在步骤1404,网络节点接收KConf。
在步骤1406,网络节点生成包括网络操控信息在内的受保护消息,其中,该受保护消息使用Kconf和MAC-1来保护。
在步骤1408,网络节点将包括网络操控信息在内的受保护消息发送给UE。
在步骤1410,网络节点从UE接收用MAC-2保护的确认消息。该确认指示VPLMN没有更改网络操控信息。
在步骤1412,网络节点验证MAC-2。
在步骤1414,网络节点基于该确认来确定VPLMN没有更改网络操控信息。
某些实施例可以包括更多或更少的动作,并且这些动作可以以任何合适的顺序执行。
在某些实施例中,如上所述的用于保护网络操控信息的方法可以由虚拟计算设备执行。图15示出了根据某些实施例的用于保护网络操控信息的示例虚拟计算设备1500。在某些实施例中,虚拟计算设备1500可以包括:用于执行与针对图14中所示出和描述的方法在上文所描述的那些步骤类似的步骤的模块。例如,虚拟计算设备1500可以包括请求模块1510、第一接收模块1520、生成模块1530、发送模块1540、第二接收模块1550、验证模块1560、确定模块1570以及用于保护网络操控信息的任何其他合适的模块。在一些实施例中,这些模块中的一个或多个模块可以使用图9的处理电路920实现。在某些实施例中,各种模块中的两个或更多个的功能可以被组合成单个模块。
请求模块1510可以执行虚拟计算设备1500的某些请求功能。例如,在特定实施例中,请求模块1510可以向AUSF请求从归属网络根密钥中导出的KConf。
第一接收模块1520可以执行虚拟计算设备1500的某些接收功能。例如,在特定实施例中,第一接收模块1520可以接收KConf。生成模块1530可以执行虚拟计算设备1500的某些生成功能。例如,在特定实施例中,生成模块1530可以生成包括网络操控信息在内的受保护消息,其中,该受保护消息使用Kconf和MAC-1来保护。
发送模块1540可以执行虚拟计算设备1500的某些发送功能。例如,在特定实施例中,发送模块1540可以将包括网络操控信息在内的受保护消息发送给UE。第二接收模块1550可以执行虚拟计算设备1500的某些接收功能。例如,在特定实施例中,第二接收模块1550可以从UE接收用第二消息认证码(MAC-2)保护的确认消息。该确认指示VPLMN没有更改网络操控信息。验证模块1560可以执行虚拟计算设备1500的某些验证功能。例如,在特定实施例中,验证模块1160可以验证MAC-2。确定模块1570可以执行虚拟计算设备1500的某些确定功能。例如,在特定实施例中,确定模块1570可以基于该确认来确定VPLMN没有更改网络操控信息。虚拟计算设备1500的其他实施例可以包括除图15中所示的组件外的附加组件,所述附加组件可以负责提供网络节点的功能的某些方面,所述功能包括上述功能中的任何一项和/或任何附加功能(包括支持上述方案所需的任何功能)。可以包括发射机的各种不同类型的网络节点可以包括具有相同物理硬件但被配置为(例如,经由编程)支持不同无线电接入技术的组件,或者可以表示部分或整体不同的物理组件。
图16示出了根据某些实施例的由第一网络节点执行的用于保护网络操控信息的示例方法1600。在特定实施例中,第一网络节点可以包括诸如上述的网络节点315之类的网络节点。根据某些实施例,第一网络节点可以操作为UDM和/或PCF。
在步骤1602,方法开始,此时第一网络节点315将网络操控信息和MAC-1发送给操作为AUSF的第二网络节点,该网络操控信息使用Kconf和MAC-1来保护。在特定实施例中,Kconf是归属网络根密钥,例如Kausf。
在特定实施例中,发送给第二网络节点的受保护消息用注册接受消息来背负。
在步骤1604,第一网络节点315从UE 310接收用MAC-2保护的确认消息。该确认指示VPLMN没有更改网络操控信息。
在步骤1606,第一网络节点315验证MAC-2。
在步骤1608,第一网络节点315基于该确认来确定VPLMN没有更改网络操控信息。
在特定实施例中,该方法还包括:第一网络节点315从操作为AUSF的第二网络节点接收MAC-1和MAC-2,并存储MAC-2。附加地,第一网络节点315可以验证MAC-2包括:将所存储的MAC-2和来自UE的保护确认消息的MAC-2进行比较。然后,第一网络节点315可以确定所存储的MAC-2与保护确认消息的MAC-2相同。
某些实施例可以包括更多或更少的动作,并且这些动作可以以任何合适的顺序执行。
在某些实施例中,如上所述的用于保护网络操控信息的方法可以由虚拟计算设备执行。图17示出了根据某些实施例的用于保护网络操控信息的示例虚拟计算设备1700。在某些实施例中,虚拟计算设备1700可以包括:用于执行与针对图16中所示出和描述的方法在上文所描述的那些步骤类似的步骤的模块。例如,虚拟计算设备1700可以包括发送模块1710、接收模块1720、验证模块1730、确定模块1740以及用于保护网络操控信息的任何其他合适的模块。在一些实施例中,这些模块中的一个或多个模块可以使用图9的处理电路920实现。在某些实施例中,各种模块中的两个或更多个的功能可以被组合成单个模块。
发送模块1710可以执行虚拟计算设备1700的某些发送功能。例如,在特定实施例中,发送模块1710可以向操作为AUSF的第二网络节点发送网络操控信息和MAC-1,以使用Kconf和MAC-1来保护网络操控信息。
接收模块1720可以执行虚拟计算设备1700的某些接收功能。例如,在特定实施例中,接收模块1720可以从UE 310接收用MAC-2保护的确认消息。该确认指示VPLMN没有更改网络操控信息。
验证模块1730可以执行虚拟计算设备1700的某些验证功能。例如,在特定实施例中,验证模块1730可以验证MAC-2。
确定模块1740可以执行虚拟计算设备1700的确定功能中的某些确定功能。例如,在特定实施例中,确定模块1740可以基于该确认来确定VPLMN没有更改网络操控信息。
虚拟计算设备1700的其他实施例可以包括除图17中所示的组件外的附加组件,所述附加组件可以负责提供网络节点的功能的某些方面,所述功能包括上述功能中的任何一项和/或任何附加功能(包括支持上述方案所需的任何功能)。可以包括发射机的各种不同类型的网络节点可以包括具有相同物理硬件但被配置为(例如,经由编程)支持不同无线电接入技术的组件,或者可以表示部分或整体不同的物理组件。
图18示出了根据某些实施例的示例无线电网络控制器或核心网节点1800。网络节点的示例可以包括移动交换中心(MSC)、服务GPRS支持节点(SGSN)、移动性管理实体(MME)、无线电网络控制器(RNC)、基站控制器(BSC)等。无线电网络控制器或核心网节点包括处理电路1820(例如,可以包括一个或多个处理器)、存储器1830和网络接口1840。在一些实施例中,处理电路1820执行指令以提供上文所描述的由网络节点提供的功能的一些或全部,存储器1830存储由处理电路1820执行的指令,以及网络接口1840向任何合适的节点(例如,网关、交换机、路由器、互联网、公共交换电话网(PSTN)、网络节点315、无线电网络控制器或核心网节点等)传送信号。
处理电路1820可以包括在一个或多个模块中实现的硬件和软件的任何合适的组合,以便执行指令和操纵数据来执行无线电网络控制器或核心网节点的所描述的功能的一些或全部。在一些实施例中,处理电路1820可以包括例如一个或多个计算机、一个或多个中央处理单元(CPU)、一个或多个微处理器、一个或多个应用程序和/或其他逻辑。
存储器1830一般操作为存储指令,例如计算机程序、软件、包括逻辑、规则、算法、代码、表等中的一个或多个在内的应用、和/或能够被处理器执行的其他指令。存储器1830的示例包括计算机存储器(例如,随机存取存储器(RAM)或只读存储器(ROM))、大容量存储介质(例如硬盘)、可移除存储介质(例如紧凑盘(CD)或数字视频盘(DVD))、和/或存储信息的任何其他易失性或非易失性、非暂时性计算机可读和/或计算机可执行存储设备。
在一些实施例中,网络接口1840通信耦接至处理电路1820,并且可以指代可操作用于接收对网络节点的输入,从网络节点发送输出,执行对输入或输出或二者的合适处理,与其他设备进行通信或前述的任何组合的任何合适的设备。网络接口1840可以包括含有协议转换和数据功能的适合硬件(例如,端口,调制解调器,网络接口卡等)和软件,以便通过网络进行通信。
网络节点的其他实施例可以包括除图18中所示的组件外的附加组件,所述附加组件可以负责提供网络节点的功能的某些方面,所述功能包括上述的功能中的任一者和/或任何附加功能(包括支持上述的方案所需的任何功能)。
参考图19,根据实施例,通信系统包括:电信网络1910(例如,3GPP类型的蜂窝网络),其包括接入网络1911(例如,无线接入网络)和核心网1914。接入网1911包括多个基站1912a、1912b、1912c(例如NB、eNB、gNB或其他类型的无线接入点,每个基站定义相应的覆盖区域1913a、1913b、1913c。每个基站1912a、1912b、1912c通过有线或无线连接1915可连接至核心网1914。位于覆盖区域1913c中的第一用户设备(UE)1991被配置为无线连接到相应的基站1912c或被相应的基站1912c寻呼。覆盖区域1913a中的第二UE 1992可无线连接到相应的基站1912a。尽管在该示例中示出了多个UE 1991、1992,但是所公开的实施例同样适用于唯一的UE处于覆盖区域或唯一的UE连接至对应的基站1912的情形。
电信网络1910本身连接到主机计算机1930,主机计算机1030可以体现在独立服务器、云实现的服务器、分布式服务器的硬件和/或软件中,或者体现为服务器群中的处理资源。主机计算机1930可以由服务提供商所有或在服务提供商控制之下,或者可以由服务提供商操作或代表服务提供商操作。电信网络1910与主机计算机1930之间的连接1921、1922可以直接从核心网1914延伸到主机计算机1930,或者可以经过可选的中间网络1920。中间网络1920可以是公共、私有或托管网络中的一个网络或它们中的多于一个网络的组合;中间网络1920(如果有的话)可以是骨干网络或互联网;具体地,中间网络1920可以包括两个或更多个子网络(未示出)。
图19中的通信系统作为整体实现了连接的UE 1991、1992之一与主机计算机1930之间的连接。该连接可以被描述为过顶(OTT)连接1950。主机计算机19230和所连接的UE1991、1992被配置为使用接入网络1911、核心网1914、任何中间网络1920和可能的其他中间基础设施(未示出)经由OTT连接1950传送数据和/或信令。OTT连接1950所通过的参与通信设备不知道上行链路和下行链路通信的路由,在此意义上,OTT连接1950可以是透明的。例如,基站912可以不被告知或不需要被告知关于进入的下行链路通信的过去路由,该下行链路通信具有源自主机计算机1930并要被转发(例如,移交)到所连接的UE 1991的数据。类似地,基站1912不需要知道源自UE 1991并朝向主机计算机1930的输出的上行链路通信的未来路由。
现在将参考图20描述上述段落中讨论的根据实施例的UE、基站和主机计算机的示例实现。在通信系统2000中,主机计算机2010包括硬件2015,硬件315包括通信接口2016,通信接口316被配置为与通信系统2000的不同通信设备的接口建立并保持有线或无线连接。主机计算机2010还包括处理电路2018,其可以具有存储和/或处理能力。特别地,处理电路2018可以包括:适于执行指令的一个或多个可编程处理器、专用集成电路、现场可编程门阵列或这些器件的组合(未示出)。主机计算机2010还包括软件2011,软件2011被存储在主机计算机2010中或可由其访问,并且可由处理电路2018执行。软件2011包括主机应用2012。主机应用2012可以操作用于向远程用户(例如,经由OTT连接2050连接的UE 2030,该OTT连接端接UE 2030和主机计算机2010)提供服务。在向远程用户提供服务时,主机应用2012可以提供使用OTT连接2050所发送的用户数据。
通信系统2000还包括在电信系统中设置的基站2020,基站2020包括使其能够与主机计算机2010和UE 2030通信的硬件2025。硬件2025可以包括:通信接口2026,用于建立和保持与通信系统2000的不同通信设备的接口的有线或无线连接;以及无线电接口2027,用于至少建立和保持与UE 2030的无线连接2070,其中UE 2030位于由基站2020服务的覆盖区域(图20中未示出)中。通信接口2026可以被配置为促进到主机计算机2010的连接2060。连接2060可以是直接的,或者其可以通过电信系统的核心网(图20中未示出)和/或通过位于电信系统外部的一个或多个中间网络。在所示实施例中,基站2020的硬件2025还包括处理电路2027,处理电路2027可包括适于执行指令的一个或多个可编程处理器、专用集成电路、现场可编程门阵列或它们的组合(未示出)。基站2020还具有内部存储或可经由外部连接访问的软件2021。
通信系统2000还包括已经提到的UE 2030。UE 2030的硬件2035可以包括无线电接口2037,其被配置为与服务于UE 2030当前所在的覆盖区域的基站建立并保持无线连接2070。UE 2030的硬件2035还包括处理电路2038,处理电路2038可以包括适于执行指令的一个或多个可编程处理器、专用集成电路、现场可编程门阵列或这类器件的组合(未示出)。UE2030还包括软件2031,软件2031被存储在UE 2030中或可由其访问,并且可以由处理电路2038执行。软件2031包括客户端应用2032。客户端应用2032可以被操作为在主机计算机2010的支持下,经由UE 2030向人类或非人类用户提供服务。在主机计算机2010中,正在执行的主机应用2012可以经由OTT连接2050与正在执行的客户端应用2032通信,该OTT连接2050端接UE 2030和主机计算机2010。在向用户提供服务时,客户端应用2032可以从主机应用2012接收请求数据,并响应于请求数据来提供用户数据。OTT连接2050可以传送请求数据和用户数据两者。客户端应用2032可以与用户交互以生成其提供的用户数据。
注意,图20中所示的主机计算机2010、基站2020和UE 2030可以分别与图19的主机计算机1930、基站1922a、1912b、1912c中的一个以及UE 1991、1992中的一个相同。即,这些实体的内部工作方式可能如图20所示,而周边的网络拓扑结构可能是图19所示的情况,二者之间相互独立。
在图20中,已抽象地描绘了OTT连接2050以说明经由基站2020在主机计算机2010与用户设备2030之间的通信,但没有明确地涉及任何中间设备和经由这些设备的消息的精确路由。网络基础设施可以确定路由,其可以被配置为对于UE 2030或操作主机计算机2010的服务提供商或这二者隐藏起来。当OTT连接2050是活跃的时,网络基础设施可以进一步做出动态改变路由的决定(例如,基于负载平衡考虑或网络的重新配置)。
UE 2030与基站2020之间的无线连接2070与本公开的全文所描述的实施例的教导一致。各种实施例中的一个或多个改进了使用OTT连接2050提供给UE 2030的OTT服务的性能,在OTT连接2050中,无线连接2070形成最后的部分。更确切地说,这些实施例的教导可以改善UE的漫游,从而提供诸如减少用户等待时间和更好响应性的益处。
可以提供测量过程以用于监视数据速率、延迟和作为一个或多个实施例的改进对象的其他因素。还可以存在可选的网络功能,用于响应于测量结果的变化而重新配置主机计算机2010与UE 2030之间的OTT连接2050。测量过程和/或用于重新配置OTT连接2050的网络功能可以在主机计算机2010的软件2011中或在UE 2030的软件2031中或在这二者中实现。在实施例中,传感器(未示出)可以部署在OTT连接2050经过的通信设备中或与这些通信设备相关联;传感器可以通过提供上面例示的受监视的量的值,或者提供软件2011、2031可从中计算或估计受监视的量的其他物理量的值,来参与测量过程。OTT连接2050的重新配置可以包括消息格式、重传设置、优选路由等;重新配置不需要影响基站2020,并且可以是基站2020未知或不可察觉的。这种过程和功能可以是本领域已知的和实践的。在某些实施例中,测量可以涉及专有UE信令,该专有UE信令促进主机计算机2010对吞吐量、传播时间、延迟等的测量。测量可以通过以下方式实现:软件2011、2031使用OTT连接2050发送消息(特别是空消息或“虚”消息),同时对传播时间、错误等进行监视。
图21是示出在通信系统中实现的根据一个实施例的方法的流程图。通信系统包括:主机计算机、基站和UE,它们可以是参考图19和图20所描述的那些主机计算机、基站和UE。为了简化本公开,在这部分中将只包括图21的附图标记。在方法的第一步骤2110中,主机计算机提供用户数据。在第一步骤2110的可选子步骤2111中,主机计算机通过执行主机应用来提供用户数据。在第二步骤2120中,主机计算机向UE发起携带用户数据的传输。在可选的第三步骤2130中,根据贯穿本公开描述的实施例的教导,基站向UE发送在主机计算机发起的传输中携带的用户数据。在可选的第四步骤2140中,UE执行与主机计算机执行的主机应用相关联的客户端应用。
图22是示出在通信系统中实现的根据一个实施例的方法的流程图。通信系统包括:主机计算机、基站和UE,它们可以是参考图19和图20所描述的那些主机计算机、基站和UE。为了简化本公开,在这部分中将只包括图22的附图标记。在方法的第一步骤2210中,主机计算机提供用户数据。在可选子步骤(未示出)中,主机计算机通过执行主机应用来提供用户数据。在第二步骤2220中,主机计算机向UE发起携带用户数据的传输。根据本公开的全文所描述的实施例的教导,传输可以经由基站进行传递。在可选的第三步骤2230中,UE接收该传输中携带的用户数据。
图23是示出在通信系统中实现的根据一个实施例的方法的流程图。通信系统包括:主机计算机、基站和UE,它们可以是参考图19和图20所描述的那些主机计算机、基站和UE。为了简化本公开,在这部分中将只包括图23的附图标记。在方法的可选的第一步骤2310中,UE接收由主机计算机提供的输入数据。附加地或备选地,在可选的第二步骤2320中,UE提供用户数据。在第二步骤2320的可选子步骤2321中,UE通过执行客户端应用来提供用户数据。在第一步骤2310的另一可选子步骤2311中,UE执行客户端应用,该客户端应用响应于所接收的由主机计算机提供的输入数据而提供用户数据。在提供用户数据时,执行的客户端应用还可以考虑从用户接收的用户输入。无论提供用户数据的具体方式如何,UE都在可选的第三子步骤2330中向主机计算机发起用户数据的传输。在所述方法的第四步骤2340中,根据贯穿本公开描述的实施例的教导,主机计算机接收从UE发送的用户数据。
图24是示出在通信系统中实现的根据一个实施例的方法的流程图。通信系统包括:主机计算机、基站和UE,它们可以是参考图19和图20所描述的那些主机计算机、基站和UE。为了简化本公开,在这部分中将只包括图24的附图标记。在所述方法的可选的第一步骤2410中,根据贯穿本公开描述的实施例的教导,基站从UE接收用户数据。在可选的第二步骤2420中,基站向主机计算机发起所接收的用户数据的传输。在第三步骤2430中,主机计算机接收由基站发起的传输中携带的用户数据。
示例实施例
1、一种由无线设备执行的用于保护网络操控信息的方法,包括:
向受访公共陆地移动网络(VPLMN)发送注册请求;
一旦由认证服务器功能(AUSF)成功认证,生成归属网络根密钥;
从网络节点接收包括网络操控信息在内的受保护消息,所述受保护消息使用从归属网络根密钥中导出的配置密钥(Kconf)和第一消息认证码(MAC-1)保护;
从归属网络根密钥中导出配置密钥(Kconf);
由UE验证MAC-1;
基于Kconf和MAC-1,验证VPLMN没有更改网络操控信息;以及
向归属公共陆地移动网络(HPLMN)发送确认消息,所述确认消息用第二消息认证码(MAC-2)保护。
2、根据示例实施例1的方法,其中,归属网络根密钥是Kausf。
3、根据示例实施例1至2的方法,其中,网络节点包括AUSF。
4、根据示例实施例1至3的方法,其中,网络操控信息由另一网络节点生成,并且由AUSF保护。
5、根据示例实施例4中任一项的方法,其中,所述网络操控信息由用户数据管理(UDM)生成。
6、根据示例实施例1至2中任一项的方法,其中,网络节点包括负责保护受保护消息中的网络操控信息的点协调功能(PCF)。
7、根据示例实施例1至2中任一项的方法,其中,网络节点包括接入移动性功能/安全锚定功能(AMF/SEAF),所述AMF/SEAF转发来自另一网络节点的包括网络操控信息在内的受保护消息。
8、根据示例实施例7的方法,其中,用非接入层(NAS)安全性对所述受保护消息进行空中机密性保护。
9、根据示例实施例1至8中任一项的方法,其中,受保护消息用注册接受消息来背负。
10、一种用户设备(UE),包括:存储器,可操作用于存储指令,以及处理电路,可操作用于执行指令,由此网络节点可操作用于执行根据示例实施例1至9中的任一方法。
11、一种计算机程序产品,包括存储有计算机可读程序代码的非暂时性计算机可读介质,所述计算机可读程序代码包括用于执行示例实施例1至9中的任一方法的程序代码。
12、一种由操作为认证服务器功能(AUSF)的第一网络节点执行的用于保护网络操控信息的方法,所述方法包括:
生成归属网络根密钥;
从点协调功能(PCF)接收网络操控信息;
从归属网络密钥中导出配置密钥(Kconf);
生成包括网络操控信息在内的受保护消息,所述受保护消息使用Kconf和第一消息认证码(MAC-1)保护;
向用户设备(UE)发送包括网络操控信息在内的受保护消息;
从UE接收用第二消息认证码(MAC-2)保护的确认消息,所述确认指示VPLMN没有更改所述网络操控信息;
验MAC-2;以及
向PCF转发指示VPLMN没有更改所述网络操控信息的确认消息。
13、根据实施例12的方法,其中,归属网络根密钥是Kausf。
14、根据实施例12至13的方法,其中,受保护消息用注册接受消息来背负。
15、一种网络节点,包括:存储器,可操作用于存储指令,以及处理电路,可操作用于执行指令,由此所述网络节点可操作用于执行示例实施例12至14中的任一方法。
16、一种计算机程序产品,包括存储有计算机可读程序代码的非暂时性计算机可读介质,所述计算机可读程序代码包括用于执行示例实施例12至14中的任一方法的程序代码。
17、一种由操作为点协调功能(PCF)的网络节点执行的用于保护网络操控信息的方法,所述方法包括:
从认证服务器功能(ASF)请求从归属网络根密钥中导出的配置密钥(KConf);
接收KConf;
生成包括网络操控信息在内的受保护消息,所述受保护消息使用Kconf和第一消息认证码(MAC-1)保护;
向用户设备(UE)发送包括网络操控信息在内的受保护消息;
从UE接收用第二消息认证码(MAC-2)保护的确认消息,所述确认指示VPLMN没有更改所述网络操控信息;
验MAC-2;以及
基于所述确认来确定VPLMN没有更改所述网络操控信息。
18、根据实施例17的方法,其中,归属网络根密钥是Kausf。
19、根据实施例17至18的方法,其中,受保护消息用注册接受消息来背负。
20、一种网络节点,包括:存储器,可操作用于存储指令,以及处理电路,可操作用于执行指令,由此所述网络节点可操作用于执行示例实施例17至19中的任一方法。
21、一种计算机程序产品,包括存储有计算机可读程序代码的非暂时性计算机可读介质,所述计算机可读程序代码包括用于执行示例实施例17至19中的任一方法的程序代码。
22、一种基站,被配置为与用户设备(UE)通信,所述基站包括无线电接口和处理电路,所述处理电路被配置为执行示例实施例17至19中的任一方法。
在不脱离本公开的范围的情况下,可以对本文所述的系统和装置进行修改、增加或省略。可以将系统和装置的组件进行集成和分离。此外,系统和装置的操作可以被更多组件、更少组件或其他组件执行。此外,可以使用包括软件、硬件和/或其他逻辑的任何合适的逻辑来执行系统和装置的操作。如本文所使用,“每个”指代组/集合中的每个成员、或集合的子集中的每个成员。
可以在不脱离本公开的范围的情况下对本文公开的方法做出修改、增加或删除。方法可以包括更多、更少或其他步骤。此外,可以用任何合适的顺序执行步骤。
尽管已经针对某些实施例描述了本公开,但实施例的修改和置换对本领域技术人员是显而易见的。因此,上述实施例的描述不限制本公开。不脱离本公开的精神和范围的其他改变、替换和修改是可能的。
缩略语
缩略语
解释
3GPP 第三代合作伙伴计划
5G 第五代
BER 误码率
C-MTC 关键MTC(也称为超可靠和低时延通信(URLLC)。)
CP 循环前缀
DMRS 解调参考信号
eNB 演进节点B
gNB 针对NR中无线电基站的术语(与LTE中的eNB相对应)。
ID 标识/标识符
IE 信元
IM 索引调制
LTE 长期演进
MIB 主信息块
MIMO 多输入多输出
ML 最大似然检测
MSG 消息
M-MTC 大型MTC
MTC 机器类型通信
NGC 下一代核心
NR 新无线电(用于3GPP正在研究的技术报告和标准规范中的5G无线电接口和无线电接入网的术语。)
OFDM 正交频分多址
PBCH 物理广播信道
PCI 物理小区标识
PDCCH 物理下行链路控制信道
PDSCH 物理下行链路共享信道
PLMN 公共陆地移动网络
PRACH 物理随机接入信道
PSS 主同步信号
QAM 正交幅度调制
QCL 准共位
RA 随机接入
RAN 随机接入网
RAR 随机接入响应
RMSI 剩余最小系统信息
RRC 无线电资源控制
SFN 单频网络
SI 系统信息
SIB 系统信息块
SM 空间调制
SNR 信噪比
SS 同步信号
SSS 辅同步信号
TRP 发送/接收点
UE 用户设备
UL 上行链路。
Claims (44)
1.一种由用户设备UE执行的用于保护网络操控信息的方法,包括:
向受访公共陆地移动网络VPLMN发送注册请求;
一旦由认证服务器功能AUSF成功认证,生成归属网络根密钥;
从第一网络节点接收包括网络操控信息在内的受保护消息,所述受保护消息使用配置密钥Kconf和第一消息认证码MAC-1保护;
根据所述归属网络根密钥来确定所述配置密钥Kconf;
由UE验证所述MAC-1;
基于所述Kconf和所述MAC-1来验证VPLMN没有更改网络操控信息;以及
向归属公共陆地移动网络HPLMN发送确认消息,所述确认消息用第二消息认证码MAC-2保护。
2.根据权利要求1所述的方法,其中,所述配置密钥是所述归属网络根密钥。
3.根据权利要求1至2中任一项所述的方法,其中,所述归属网络根密钥是Kausf。
4.根据权利要求1至3中任一项所述的方法,其中,所述第一网络节点包括所述AUSF。
5.根据权利要求1至4中任一项所述的方法,其中,所述网络操控信息由第二网络节点生成,并且由所述AUSF保护。
6.根据权利要求5所述的方法,其中,所述网络操控信息由用户数据管理UDM生成。
7.根据权利要求1至6中任一项所述的方法,其中,位于VPLMN中的第三网络节点包括接入移动性功能/安全锚定功能AMF/SEAF,所述AMF/SEAF转发了来自第二网络节点的所述包括网络操控信息在内的受保护消息。
8.根据权利要求7所述的方法,其中,用非接入层NAS安全性对所述受保护消息进行空中机密性保护。
9.根据权利要求1至8中任一项所述的方法,其中,所述受保护消息用注册接受消息来背负。
10.一种用户设备UE,包括:
存储器,操作用于存储指令;以及
处理电路,操作用于执行指令以使所述UE:
向受访公共陆地移动网络VPLMN发送注册请求;
一旦由认证服务器功能AUSF成功认证,生成归属网络根密钥;
从第一网络节点接收包括网络操控信息在内的受保护消息,所述受保护消息使用配置密钥Kconf和第一消息认证码MAC-1保护;
根据所述归属网络根密钥来确定所述配置密钥Kconf;
验证所述MAC-1;
基于所述Kconf和所述MAC-1来验证VPLMN没有更改网络操控信息;以及
向归属公共陆地移动网络HPLMN发送确认消息,所述确认消息用第二消息认证码MAC-2保护。
11.根据权利要求10所述的UE,其中,所述配置密钥是所述归属网络根密钥。
12.根据权利要求10至11中任一项所述的UE,其中,所述归属网络根密钥是Kausf。
13.根据权利要求10至12中任一项所述的UE,其中,所述第一网络节点包括所述AUSF。
14.根据权利要求10至13中任一项所述的UE,其中,所述网络操控信息由第二网络节点生成,并且由所述AUSF保护。
15.根据权利要求14所述的UE,其中,所述网络操控信息由用户数据管理UDM生成。
16.根据权利要求10至15中任一项所述的UE,其中,位于VPLMN中的第三网络节点包括接入移动性功能/安全锚定功能AMF/SEAF,所述AMF/SEAF转发了来自第二网络节点的所述包括网络操控信息在内的受保护消息。
17.根据权利要求16所述的UE,其中,用非接入层NAS安全性对所述受保护消息进行空中机密性保护。
18.根据权利要求10至17中任一项所述的UE,其中,所述受保护消息用注册接受消息来背负。
19.一种由操作为认证服务器功能AUSF的第一网络节点执行的用于保护网络操控信息的方法,所述方法包括:
生成归属网络根密钥;
从第二网络节点接收网络操控信息;
根据所述归属网络密钥确定配置密钥Kconf;
生成包括所述网络操控信息在内的受保护消息,所述受保护消息使用Kconf和第一消息认证码MAC-1保护;
向用户设备UE发送包括所述网络操控信息在内的受保护消息;
从UE接收用第二消息认证码MAC-2保护的确认消息,该确认指示VPLMN没有更改所述网络操控信息;以及
向第二网络节点转发指示VPLMN没有更改所述网络操控信息的确认消息。
20.根据权利要求19所述的方法,其中,所述配置密钥是所述归属网络根密钥。
21.根据权利要求19至20中任一项所述的方法,其中,所述归属网络根密钥是Kausf。
22.根据权利要求19至21中任一项所述的方法,其中,所述受保护消息用注册接受消息来背负。
23.根据权利要求19至22中任一项所述的方法,其中,所述第二网络节点操作为点协调功能PCF或用户数据管理UDM中的至少一个。
24.一种操作为认证服务器功能AUSF的用于保护网络操控信息的第一网络节点,所述网络节点包括:
存储器,操作用于存储指令;以及
处理电路,操作用于执行指令以使所述网络节点:
生成归属网络根密钥;
从第二网络节点接收网络操控信息;
从所述归属网络密钥中导出配置密钥Kconf;
生成包括所述网络操控信息在内的受保护消息,所述受保护消息使用Kconf和第一消息认证码MAC-1保护;
向用户设备UE发送包括所述网络操控信息在内的受保护消息;
从UE接收用第二消息认证码MAC-2保护的确认消息,所述确认指示VPLMN没有更改所述网络操控信息;以及
向第二网络节点转发指示VPLMN没有更改所述网络操控信息的确认消息。
25.根据权利要求24所述的第一网络节点,其中,所述配置密钥是所述归属网络根密钥。
26.根据权利要求24至25中任一项所述的第一网络节点,其中,所述归属网络根密钥是Kausf。
27.根据权利要求24至26中任一项所述的第一网络节点,其中,所述受保护消息用注册接受消息来背负。
28.根据权利要求24至27中任一项所述的第一网络节点,第二网络节点操作为点协调功能PCF或用户数据管理UDM中的至少一个。
29.一种由第一网络节点执行的用于保护网络操控信息的方法,所述方法包括:
向操作为认证服务器功能AUSF的第二网络节点发送网络操控信息和第一消息认证码MAC-1,以用于使用配置密钥Kconf和所述第一消息认证码MAC-1来保护所述网络操控信息;
从UE接收用第二消息认证码MAC-2保护的确认消息,所述确认指示VPLMN没有更改所述网络操控信息;
验证MAC-2;以及
基于所述确认来确定VPLMN没有更改所述网络操控信息。
30.根据权利要求29所述的方法,其中,所述配置密钥Kconf是归属网络根密钥。
31.根据权利要求30所述的方法,其中,所述归属网络根密钥是Kausf。
32.根据权利要求29至31中任一项所述的方法,其中,所述第一网络节点操作为用户数据管理UDM。
33.根据权利要求29至32中任一项所述的方法,其中,所述第一网络节点操作为点协调功能PCF。
34.根据权利要求29至33中任一项所述的方法,还包括:
从操作为AUSF的第二网络节点接收MAC-1和MAC-2;
存储MAC-2。
35.根据权利要求34所述的方法,其中:
验证MAC-2包括:将所存储的MAC-2与来自UE的保护确认消息的MAC-2进行比较,以及
基于所述确认来确定VPLMN没有更改所述网络操控信息包括:确定所存储的MAC-2与保护确认消息的MAC-2相同。
36.根据权利要求29至35中任一项所述的方法,其中,所述受保护消息用注册接受消息来背负。
37.一种用于保护网络操控信息的第一网络节点,该网络节点包括:
存储器,操作用于存储指令;以及
处理电路,操作用于执行指令以使所述网络节点:
向操作为认证服务器功能AUSF的第二网络节点发送网络操控信息和第一消息认证码MAC-1,以用于使用配置密钥Kconf和所述第一消息认证码MAC-1来保护所述网络操控信息;
从UE接收用第二消息认证码MAC-2保护的确认消息,所述确认指示VPLMN没有更改所述网络操控信息;
验证MAC-2;以及
基于所述确认来确定VPLMN没有更改所述网络操控信息。
38.根据权利要求37所述的第一网络节点,其中,所述配置密钥Kconf是归属网络根密钥。
39.根据权利要求38所述的第一网络节点,其中,所述归属网络根密钥是Kausf。
40.根据权利要求37至39中任一项所述的第一网络节点,其中,所述第一网络节点操作为用户数据管理UDM。
41.根据权利要求37至39中任一项所述的第一网络节点,其中,所述第一网络节点操作为点协调功能PCF。
42.根据权利要求37至41中任一项所述的第一网络节点,其中,所述处理电路被配置为:
从操作为AUSF的第二网络节点接收MAC-1和MAC-2;
存储MAC-2。
43.根据权利要求43所述的第一网络节点,其中:
验证MAC-2包括:将所存储的MAC-2与来自UE的保护确认消息的MAC-2进行比较,以及
基于所述确认来确定VPLMN没有更改所述网络操控信息包括:确定所存储的MAC-2与保护确认消息的MAC-2相同。
44.根据权利要求37至13中任一项所述的网络节点,其中,所述受保护消息用注册接受消息来背负。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762566821P | 2017-10-02 | 2017-10-02 | |
| US62/566,821 | 2017-10-02 | ||
| PCT/EP2018/076679 WO2019068654A1 (en) | 2017-10-02 | 2018-10-01 | METHODS AND APPARATUS FOR SECURING NETWORK DRIVING INFORMATION |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111165001A true CN111165001A (zh) | 2020-05-15 |
| CN111165001B CN111165001B (zh) | 2023-05-16 |
Family
ID=63794467
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880063862.5A Active CN111165001B (zh) | 2017-10-02 | 2018-10-01 | 用于保护网络操控信息的方法和装置 |
Country Status (10)
| Country | Link |
|---|---|
| US (3) | US11838754B2 (zh) |
| EP (1) | EP3639543B1 (zh) |
| JP (2) | JP7028964B2 (zh) |
| KR (1) | KR102265613B1 (zh) |
| CN (1) | CN111165001B (zh) |
| BR (1) | BR112020006204A2 (zh) |
| ES (1) | ES2924077T3 (zh) |
| MX (1) | MX2020003178A (zh) |
| RU (1) | RU2735089C1 (zh) |
| WO (1) | WO2019068654A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472517A (zh) * | 2021-08-23 | 2021-10-01 | 太原理工大学 | 基于qcl双路高速自由空间混沌掩藏保密通信方法及装置 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111277397B (zh) | 2017-05-04 | 2022-07-15 | 维沃移动通信有限公司 | 系统信息传输方法、终端及网络侧设备 |
| US11272351B2 (en) * | 2018-04-05 | 2022-03-08 | Qualcomm Incorporated | System and method that facilitate steering of roaming |
| US11363582B2 (en) * | 2019-12-20 | 2022-06-14 | Qualcomm Incorporated | Key provisioning for broadcast control channel protection in a wireless network |
| CN115516820A (zh) * | 2020-05-12 | 2022-12-23 | 高通股份有限公司 | 向无人飞行器提供安全凭证 |
| WO2024072638A1 (en) * | 2022-09-27 | 2024-04-04 | Interdigital Patent Holdings, Inc. | Methods for secure configuration and provisioning of user equipment policy |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105376737A (zh) * | 2014-08-12 | 2016-03-02 | 沃达方Ip许可有限公司 | 机器到机器的蜂窝通信安全性 |
| US20160094988A1 (en) * | 2014-09-26 | 2016-03-31 | Qualcomm Incorporated | Serving network authentication |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7769175B2 (en) * | 2004-11-24 | 2010-08-03 | Research In Motion Limited | System and method for initiation of a security update |
| FI20050491A0 (fi) * | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| US8027677B2 (en) * | 2006-02-13 | 2011-09-27 | Research In Motion Limited | Automatic network selection methods and apparatus using a steered PLMN |
| GB0715484D0 (en) | 2007-08-09 | 2007-09-19 | Nokia Siemens Networks Oy | Neighbour call lists |
| KR101523090B1 (ko) * | 2007-08-24 | 2015-05-26 | 삼성전자주식회사 | 모바일 아이피를 이용하는 이동통신 시스템에서 단말의 이동성 관리 방법 및 장치 |
| US8660270B2 (en) | 2007-09-17 | 2014-02-25 | Telefonaktiebolaget L M Ericsson (Publ) | Method and arrangement in a telecommunication system |
| US8902867B2 (en) | 2007-11-16 | 2014-12-02 | Qualcomm Incorporated | Favoring access points in wireless communications |
| US8356343B1 (en) * | 2008-02-01 | 2013-01-15 | Sprint Communications Company L.P. | Session continuity on reauthentication |
| EP2088723A1 (en) * | 2008-02-08 | 2009-08-12 | NEC Corporation | Method for controlling the steering of the roaming of user equipment in a wireless communication network |
| EP2683186A1 (en) * | 2012-07-06 | 2014-01-08 | Gemalto SA | Method for attaching a roaming telecommunication terminal to a visited operator network |
| US8923880B2 (en) | 2012-09-28 | 2014-12-30 | Intel Corporation | Selective joinder of user equipment with wireless cell |
| WO2014119968A1 (ko) * | 2013-01-31 | 2014-08-07 | 엘지전자 주식회사 | 무선 통신 시스템에서 트래픽 조종 방법 및 이를 지원하는 장치 |
| CN105474689B (zh) * | 2013-08-08 | 2019-03-01 | Lg电子株式会社 | 在无线通信系统中导向业务的方法和设备 |
| US9838953B2 (en) * | 2014-02-09 | 2017-12-05 | Lg Electronics Inc. | Method for steering traffic in wireless communication system and device using same |
| WO2015119473A1 (ko) * | 2014-02-09 | 2015-08-13 | 엘지전자 주식회사 | 무선 통신 시스템에서 단말의 동작 방법 및 이를 이용하는 단말 |
| US9668203B2 (en) * | 2014-05-29 | 2017-05-30 | Apple Inc. | Device-type specific preferred PLMN list |
| US11096106B2 (en) * | 2016-02-02 | 2021-08-17 | Motorola Mobility Llc | Rules handling in a wireless communication system |
| EP3482602B1 (en) * | 2016-07-05 | 2023-10-18 | Apple Inc. | Systems, methods and devices for control-user plane separation for 5g radio access networks |
| CN107623668A (zh) * | 2016-07-16 | 2018-01-23 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
| US10779346B2 (en) * | 2017-03-27 | 2020-09-15 | Qualcomm Incorporated | Local area data network connectivity |
| US10911934B2 (en) * | 2017-07-18 | 2021-02-02 | Samsung Electronics Co., Ltd. | Method and system to detect anti-steering of roaming activity in wireless communication network |
| US10986528B2 (en) * | 2018-02-15 | 2021-04-20 | Huawei Technologies Co., Ltd. | Tracking QoS violated events |
| JP7050937B2 (ja) * | 2018-02-16 | 2022-04-08 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | コアネットワークドメイン間で伝送されるメッセージの保護 |
| US11184756B2 (en) * | 2018-02-19 | 2021-11-23 | Apple Inc. | Steering of roaming in 5G systems |
| US10952062B2 (en) * | 2018-02-26 | 2021-03-16 | Blackberry Limited | Steering of roaming in wireless communication networks |
| WO2019192015A1 (en) * | 2018-04-06 | 2019-10-10 | Lenovo (Beijing) Limited | Voice session handover |
| US10524198B2 (en) * | 2018-05-18 | 2019-12-31 | Intel Corporation | UE indication to PCF whether or not to send UE policy |
| US11290882B2 (en) * | 2019-04-24 | 2022-03-29 | Apple Inc. | Re-authentication procedure for security key (KAUSF) generation and steering of roaming (SOR) data delivery |
| EP3964021A1 (en) * | 2019-05-02 | 2022-03-09 | Lenovo (Singapore) Pte. Ltd. | Unicast session over a direct communication link |
-
2018
- 2018-10-01 MX MX2020003178A patent/MX2020003178A/es unknown
- 2018-10-01 ES ES18782943T patent/ES2924077T3/es active Active
- 2018-10-01 BR BR112020006204-9A patent/BR112020006204A2/pt unknown
- 2018-10-01 WO PCT/EP2018/076679 patent/WO2019068654A1/en unknown
- 2018-10-01 CN CN201880063862.5A patent/CN111165001B/zh active Active
- 2018-10-01 KR KR1020207010305A patent/KR102265613B1/ko active IP Right Grant
- 2018-10-01 RU RU2020114920A patent/RU2735089C1/ru active
- 2018-10-01 JP JP2020514536A patent/JP7028964B2/ja active Active
- 2018-10-01 US US16/604,875 patent/US11838754B2/en active Active
- 2018-10-01 EP EP18782943.7A patent/EP3639543B1/en active Active
-
2021
- 2021-01-28 US US17/161,532 patent/US11039313B1/en active Active
-
2022
- 2022-02-17 JP JP2022022933A patent/JP7331177B2/ja active Active
-
2023
- 2023-12-04 US US18/528,662 patent/US20240179521A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105376737A (zh) * | 2014-08-12 | 2016-03-02 | 沃达方Ip许可有限公司 | 机器到机器的蜂窝通信安全性 |
| US20160094988A1 (en) * | 2014-09-26 | 2016-03-31 | Qualcomm Incorporated | Serving network authentication |
| CN106717044A (zh) * | 2014-09-26 | 2017-05-24 | 高通股份有限公司 | 服务网络认证 |
Non-Patent Citations (1)
| Title |
|---|
| QUALCOMM INCORPORATED: "S3-172022 "Some corrections and clarification to the authentication text"", 《3GPP TSG_SA\WG3_SECURITY》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472517A (zh) * | 2021-08-23 | 2021-10-01 | 太原理工大学 | 基于qcl双路高速自由空间混沌掩藏保密通信方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20240179521A1 (en) | 2024-05-30 |
| WO2019068654A1 (en) | 2019-04-11 |
| US11039313B1 (en) | 2021-06-15 |
| US20200396605A1 (en) | 2020-12-17 |
| KR102265613B1 (ko) | 2021-06-16 |
| ES2924077T3 (es) | 2022-10-04 |
| KR20200047697A (ko) | 2020-05-07 |
| JP2020536407A (ja) | 2020-12-10 |
| RU2735089C1 (ru) | 2020-10-28 |
| MX2020003178A (es) | 2020-08-17 |
| EP3639543B1 (en) | 2022-06-01 |
| US20210176636A1 (en) | 2021-06-10 |
| US11838754B2 (en) | 2023-12-05 |
| JP7028964B2 (ja) | 2022-03-02 |
| JP7331177B2 (ja) | 2023-08-22 |
| CN111165001B (zh) | 2023-05-16 |
| EP3639543A1 (en) | 2020-04-22 |
| JP2022070988A (ja) | 2022-05-13 |
| BR112020006204A2 (pt) | 2020-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11641689B2 (en) | Radio resource control resume without context fetch | |
| CN111165001B (zh) | 用于保护网络操控信息的方法和装置 | |
| US20180343249A1 (en) | Method and apparatus for authenticating ue between heterogeneous networks in wireless communication system | |
| US9979730B2 (en) | System and method for secure provisioning of out-of-network user equipment | |
| CN116761160A (zh) | 用于归属路由漫游的pdu会话建立时的辅助授权 | |
| US20130095789A1 (en) | Access point | |
| US20160302063A1 (en) | System and method for reducing authentication signaling in a wireless network | |
| US20220174482A1 (en) | Establishing a protocol data unit session | |
| US20220264407A1 (en) | Communications device, infrastructure equipment, core network element and methods | |
| WO2021118430A1 (en) | User equipment, network node and methods in a wireless communications network | |
| US20220038904A1 (en) | Wireless-network attack detection | |
| WO2022039835A1 (en) | Ue identification using its source ip address | |
| JP2023527821A (ja) | 通信ネットワークにおける、アプリケーション機能ノード、アクセスおよびモビリティ管理機能ノード、システムならびに方法 | |
| EP4376461A1 (en) | Method and device for operating terminal in wireless communication system | |
| US20230209337A1 (en) | Mec authentication between edge enabler client and edge configuration or enabler server based on akma | |
| EP4313763A1 (en) | Apparatus and method of coordinating registration procedures for access to uncrewed aerial services | |
| WO2022238870A1 (en) | Generic framework for support of multiple profiles support in 5g | |
| WO2021225513A1 (en) | Methods, network node, first radio network node for handling communication | |
| CN117581521A (zh) | 网络节点、用户设备及在其中执行的方法 | |
| CN114531678A (zh) | 用在nef实体和预配置服务器中的装置 | |
| CN117242810A (zh) | 无线通信系统中的终端操作方法和设备 | |
| CN115209570A (zh) | 用在用户设备中的装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40026022 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |