CN111448813B - 与配置的安全保护进行通信的系统和方法 - Google Patents
与配置的安全保护进行通信的系统和方法 Download PDFInfo
- Publication number
- CN111448813B CN111448813B CN201880067378.XA CN201880067378A CN111448813B CN 111448813 B CN111448813 B CN 111448813B CN 201880067378 A CN201880067378 A CN 201880067378A CN 111448813 B CN111448813 B CN 111448813B
- Authority
- CN
- China
- Prior art keywords
- security
- procedure
- security parameters
- mobility
- security key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 232
- 230000004224 protection Effects 0.000 title claims abstract description 28
- 238000004891 communication Methods 0.000 claims abstract description 58
- 230000008569 process Effects 0.000 claims abstract description 35
- 230000015654 memory Effects 0.000 claims description 28
- 238000011084 recovery Methods 0.000 claims description 24
- 230000006870 function Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 description 58
- 230000002452 interceptive effect Effects 0.000 description 33
- 238000010586 diagram Methods 0.000 description 16
- 230000007704 transition Effects 0.000 description 12
- 230000004044 response Effects 0.000 description 7
- 230000011664 signaling Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 238000013461 design Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000009795 derivation Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000007420 reactivation Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/20—Interfaces between hierarchically similar devices between access points
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/18—Management of setup rejection or failure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/19—Connection re-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/27—Transitions between radio resource control [RRC] states
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种操作用户设备(user equipment,简称UE)的方法包括:接收为所述UE配置的安全参数,其中,所述安全参数使用第一安全密钥进行安全保护;在接收到所述安全参数后,与第一设备进行通信,其中,使用所述第一安全密钥对与所述第一设备间的通信进行安全保护;以及根据为所述UE配置的所述安全参数执行移动相关流程,其中,所述执行所述移动相关流程包括:触发与第二设备的移动相关流程;根据所述安全参数导出第二安全密钥,其中,所述第二安全密钥可用于所述移动相关流程中;以及使用所述第二安全密钥对所述移动相关流程中的至少一个消息进行安全保护。
Description
本申请要求于2018年5月23日提交的序列号为15/987,192、发明名称为“与配置的安全保护进行通信的系统和方法”的美国非临时申请的优先权,其进而要求于2017年10月19日提交的序列号为62/574,581、发明名称为“与配置的安全保护进行通信的系统和方法”美国临时专利申请的优先权,这两个专利申请均以引用的方式并入本文。
技术领域
本公开一般涉及一种用于数字通信的系统和方法,并且在特定实施例中,涉及一种用于与配置的安全保护进行通信的系统和方法。
背景技术
在第五代(5th Generation,简称5G)新无线(New Radio,简称NR)系统架构中,提出了一种新的无线资源控制(radio resource control,简称RRC)状态。在称为RRC_INACTIVE的该新RRC状态中,用户设备(user equipment,简称UE)的上下文(通常称为UE上下文)被锚节点(通常为最后一个服务下一代基站(next-generation NodeB,简称gNB))保持在网络中。
处于RRC_INACTIVE态的UE能够在无线接入网(radio access network,简称RAN)定义的区域内自由移动,而不与网络节点交换移动信令。如果所述UE移动到新的区域,则执行RAN位置区更新(RAN location area update,简称RLAU)以更新所述UE的位置。所述RLAU操作可以与核心网(core network,简称CN)级别的跟踪区更新(tracking area update,简称TAU)操作类似。处于RRC_INACTIVE态的所述UE可以采用小区重选流程进行移动。
在所述5G NR系统架构中,处于RRC_INACTIVE态的所述UE不与所述服务gNB保持安全关联,而是将安全材料作为锚点gNB维护的UE上下文的一部分存储。所述存储的安全材料可以包括当前的安全密钥、密钥导出参数等。所述存储的安全材料可以在所述UE需要转换到RRC_CONNECTED态时或者当执行其他要求安全性的程序时使用。
发明内容
示例性实施例提供了一种用于与配置的安全保护进行通信的系统和方法。
根据一个示例性实施例,提供了一种操作用户设备(user equipment,简称UE)的方法。所述方法包括:所述UE从第一设备接收为所述UE配置的安全参数,其中,使用第一安全密钥对所述安全参数进行安全保护;在接收到所述安全参数后,所述UE与所述第一设备进行通信,其中,使用所述第一安全密钥对与所述第一设备间的通信进行安全保护;以及所述UE根据为所述UE提供的所述安全参数执行移动相关流程,其中,所述执行所述移动相关流程包括:所述UE触发与第二设备的所述移动相关流程;所述UE根据所述安全参数导出第二安全密钥,其中,所述第二安全密钥可用于所述移动相关流程中;以及所述UE使用所述第二安全密钥对所述移动相关流程中的至少一个消息进行安全保护。
可选地,在上述任一实施例中,还包括:所述UE将所述安全参数存储在存储器中。
可选地,在上述任一实施例中,所述移动相关流程包括切换流程或连接重建流程的其中一个。
可选地,在上述任一实施例中,所述第二安全密钥还根据与所述第二设备相关联的信息导出。
可选地,在上述任一实施例中,所述信息包括与所述第二设备关联的标识。
可选地,在上述任一实施例中,所述标识为所述第二设备操作的小区的小区标识。
可选地,在上述任一实施例中,所述第一设备包括源接入节点,所述第二设备包括目标接入节点。
根据一示例性实施例,提供了一种操作接入节点(access node,简称AN)的方法。所述方法包括:所述AN接收针对UE的上下文,其中,所述上下文包括为所述UE配置的安全参数,所述安全参数包括用于所述UE的密钥生成的输入;所述AN使用根据所述安全参数生成的安全密钥向所述UE发送所述AN保护的命令;以及所述AN使用所述安全密钥执行移动相关流程,其中,所述执行所述移动相关流程包括:所述AN向所述UE发送与所述UE关联的第一移动相关流程中的至少一个消息,其中,所述AN使用所述安全密钥对所述至少一个消息进行安全保护。
可选地,在上述任一实施例中,向所述UE发送所述命令包括:向第二AN发送所述命令以下发至所述UE。
可选地,在上述任一实施例中,参与所述移动相关流程还包括:所述AN导出与所述UE关联的所述安全密钥,其中,所述安全密钥是根据所述安全参数导出的;以及所述AN使用所述安全密钥对所述第一移动相关流程中的至少一个消息进行安全保护。
可选地,在上述任一实施例中,所述安全参数包括下一跳链计算(next-hopchaining count,简称NCC)参数。
可选地,在上述任一实施例中,接收所述上下文并发送所述命令是所述UE与所述AN之间的连接建立流程的一部分。
可选地,在上述任一实施例中,所述上下文是从接入和移动性管理功能(accessand mobility management function,简称AMF)处接收的。
可选地,在上述任一实施例中,还包括:在接收针对所述UE的上下文之前,所述AN执行与所述UE的第二移动相关流程。
可选地,在上述任一实施例中,所述第二移动相关流程包括连接建立流程。
根据一示例性实施例,提供了一种操作设备的方法。所述方法包括:所述设备在移动流程中导出为UE配置的安全参数;所述设备向第一AN发送所述配置的安全参数;所述设备从所述第一AN接收移动命令;以及所述设备向所述UE发送所述移动命令和所述配置的安全参数。
可选地,在上述任一实施例中,所述设备使用根据所述配置的安全参数导出的安全密钥对所述移动命令进行安全保护。
可选地,在上述任一实施例中,发送所述移动命令和所述配置的安全参数包括:将所述移动命令和所述配置的安全参数发送至第二AN以转发至所述UE。
可选地,在上述任一实施例中,所述第二AN包括源AN,所述第一AN包括目标AN。
可选地,在上述任一实施例中,所述设备包括AMF。
根据一示例性实施例,提供了一种UE。所述UE包括:包含有指令的存储器,以及与所述存储器通信的一个或多个处理器。所述一个或多个处理器执行所述指令以执行以下操作:从第一设备接收为所述UE配置的安全参数,其中,使用第一安全密钥对所述安全参数的通信进行安全保护;在接收到所述安全参数后,与所述第一设备进行通信,其中,使用所述第一安全密钥对与所述第一设备间的通信进行安全保护;以及根据为所述UE配置的所述安全参数执行移动相关流程,其中,所述执行所述移动相关流程包括:所述一个或多个处理器执行指令以执行以下操作:触发与第二设备的所述移动相关流程;根据所述安全参数导出第二安全密钥,其中,所述第二安全密钥可用于所述移动相关流程中;以及使用所述第二安全密钥对所述移动相关流程中的至少一个消息进行安全保护。
可选地,在上述任一实施例中,所述一个或多个处理器还执行所述指令以存储所述安全参数。
可选地,在上述任一实施例中,所述一个或多个处理器还执行所述指令,以根据与所述第二设备关联的信息导出所述第二安全密钥。
根据一示例性实施例,提供了一种AN。所述AN包括:包含有指令的存储器,以及与所述存储器通信的一个或多个处理器。所述一个或多个处理器执行所述指令以执行以下操作:接收针对UE的上下文,其中,所述上下文包括为所述UE配置的安全参数,所述安全参数包括用于所述UE的密钥生成的输入;使用根据所述安全参数生成的安全密钥向所述UE发送所述AN保护的命令;以及使用所述安全密钥执行移动相关流程,其中,所述执行所述移动相关流程包括:所述一个或多个处理器执行指令以执行以下操作:向所述UE发送与所述UE关联的第一移动相关流程中的至少一个消息,其中,所述AN使用所述安全密钥对所述至少一个消息进行安全保护。
可选地,在上述任一实施例中,所述一个或多个处理器还执行所述指令以执行以下操作:导出与所述UE相关联的所述安全密钥,其中,所述安全密钥是根据所述安全参数导出的;以及使用所述安全密钥对所述移动相关流程中的至少一个消息进行安全保护。
可选地,在上述任一实施例中,在接收所述UE的上下文之前,所述一个或多个处理器还执行所述指令以执行与所述UE的第二移动相关流程。
上述实施例的实施使得切换或连接重建流程相关联的信令能够和连接恢复流程以及使用预配置的安全参数的所有流程相关联的信令相匹配。信令一致有助于提高兼容性,同时简化了设计和实现。
附图说明
为了更完整地理解本发明及其优点,现在参考下文结合附图进行的描述,其中:
图1示出了本文描述的示例性实施例提供的示例性无线通信系统;
图2是示出了参与为从RRC_INACTIVE态转换为RRC_CONNECTED态的UE配置新的NCC的设备执行的交互通信和处理的图;
图3是示出了本文描述的示例性实施例提供的参与为从RRC_IDLE态转换为RRC_CONNECTED态的UE配置安全参数的设备执行的交互通信和处理的图;
图4是示出了本文描述的示例性实施例提供的参与在Xn HO过程中为UE配置安全参数的设备执行的交互通信和处理的图;
图5是示出了本文描述的示例性实施例提供的在Xn HO完成后参与安全参数更新的设备执行的交互通信和处理的图;
图6是示出了本文描述的示例性实施例提供的参与在HO命令中的有安全参数更新的N2HO的设备执行的交互通信和处理的图;
图7是示出了本文描述的示例性实施例提供的参与在HO命令中的无安全参数更新的N2HO的设备执行的交互通信和处理的图;
图8是示出了本文描述的示例性实施例提供的在HO流程失败后参与有配置的安全参数的连接重建流程的设备执行的交互通信和处理的图;
图9示出了本文描述的示例性实施例提供的一种为UE配置安全参数的AN上进行的示例性操作的流程图;
图10示出了本文描述的示例性实施例提供的一种配置有安全参数的UE上进行的示例性操作的流程图;
图11示出了本文描述的示例性实施例提供的一种参与为UE配置安全参数的AMF上进行的示例性操作的流程图;
图12示出了本文描述的示例性实施例提供的一种为UE更新安全参数的目标AN上进行的示例性操作的流程图;
图13示出了本文描述的示例性实施例提供的一种参与N2 HO流程的目标AN上进行的示例性操作的流程图;
图14A示出了本文描述的示例性实施例提供的一种参与N2 HO流程的AMF上进行的示例性操作的流程图;
图14B示出了本文描述的示例性实施例提供的一种参与HO命令中无安全参数更新的N2HO流程的AMF上进行的示例性操作的流程图;
图15示出了本文描述的示例性实施例提供的一种参与HO流程的UE上进行的示例性操作的流程图;
图16示出了本文描述的示例性实施例提供的一种在连接恢复流程失败后参与连接重建流程的UE上进行的示例性操作的流程图;
图17示出了本文描述的示例性实施例提供的示例性通信系统;
图18A和18B示出了本公开提供的可以实现方法和理念的示例设备;
图19是处理系统的方框图,该处理系统可以用来实现本文公开的设备和方法。
具体实施方式
下文将详细论述本发明实施例的制作和使用。但应了解,本发明提供的许多适用发明概念可实施在多种具体环境中。所论述的具体实施例仅仅说明用以实施和使用本发明的具体方式,而不限制本发明的范围。
图1示出了示例性无线通信系统100。所述通信系统100包括多个接入节点(accessnode,简称AN),所述多个接入节点包括第一AN 105和第二AN 107。如图1所示,所述第一AN105和所述第二AN 107连接到接入和移动性管理功能(access and mobility managementfunction,简称AMF)110。所述AMF 110提供接入或移动性控制功能,类似于第三代合作伙伴计划(3rd Generation Partnership Project,简称3GPP)长期演进(Long TermEvolution,简称LTE)系列技术标准中的移动性管理实体(mobility management entity,简称MME)。
所述通信系统100还包括用户设备(user equipment,简称UE)115。所述UE 115可以是移动性的。初始时,所述UE 115由第一AN 105服务。但是,当所述UE 115移动时,所述UE115可以离开所述第一AN 105的覆盖区域并进入第二AN 107的覆盖区域。当所述UE115位于所述第二AN 107的覆盖范围内时,所述UE 115称为UE 117,并使用虚线示出,以帮助减少混淆。
在蜂窝工作模式下,与UE之间通过AN进行通信,而在设备到设备通信模式下,例如接近业务(proximity service,简称ProSe)工作模式,UE之间可以直接通信。AN通常也可以称为NodeB、演进型基站(evolved NodeB,简称eNBs)、gNB、主基站(master eNB,简称MeNB)、辅基站(secondary eNB,简称SeNB)、主gNB(master gNB,简称MgNB)、辅gNB(secondarygNB,简称SgNB)、网络控制器、控制节点、基站、接入点等,而UE通常也可以称为移动站、移动台、终端、用户、订户、站点等。可以理解的是,通信系统可以使用能与多个UE进行通信的多个eNB。为了简单起见,只示出了一个AN、一个AMF和一个UE。
在5G NR系统架构中,UE可以处于以下几种RRC态中的一种:RRC_INACTIVE态、RRC_IDLE态和RRC_CONNECTED态,这取决于连接状态、UE上下文状态等因素。为了从RRC_INACTIVE态转移到RRC_CONNECTED态,UE执行重新激活流程(也可以描述为恢复流程)。所述重新激活或恢复流程与连接重建流程类似,其中,所述UE与服务AN执行随机接入流程,并向服务AN标识自己。所述服务AN可以从锚点AN中检索所述UE的UE上下文,从而使得所述服务AN将所述UE快速置于RRC_CONNECTED态。
在提交供考虑纳入所述5G NR系统架构规范的提案中,当所述UE处于RRC_INACTIVE态时,为所述UE配置下一跳链计算(next-hop chaining count,简称NCC)参数。
图2是示出了参与为从RRC_INACTIVE态转换为RRC_CONNECTED态的UE配置新的NCC的设备执行的交互通信和处理的交互过程200。交互过程200示出了UE 205、服务AN 207和参与为从RRC_INACTIVE态转换为RRC_CONNECTED态的UE配置新的NCC的锚点AN209执行的交互通信和处理。
初始时,所述UE 205处于RRC_INACTIVE态(方框215)。但是,所述UE 205将转换到RRC_CONNECTED态。为此,所述UE 205参与连接恢复流程。所述UE 205向服务AN 207发送连接恢复请求,以发起所述连接恢复流程(事件217)。所述服务AN 207标识作为所述UE 205的锚点AN(例如,锚点AN 209)的AN(方框219),并向所述锚点AN 209发送UE上下文请求(事件221)。所述锚点AN 209回复所述UE 205的UE上下文,其中,所述UE上下文包括为所述UE 205配置的新的NCC(事件223)。所述服务AN 207使用根据所述新的NCC导出的安全密钥验证所述UE 205的身份(方框225)。当所述UE 205的身份验证通过后,所述服务AN 207向所述UE205发送连接恢复响应(事件227),所述UE 205转换为RRC_CONNECTED态(方框229)。
当UE尝试恢复其连接并发生错误时,所述UE再尝试进行连接重建。根据上述提案,所述UE此时已经使用了新的安全密钥。然而,在传统的3GPP LTE重建流程中,假设所述UE正在使用旧的安全密钥。例如,用于认证的短MAC-I信息单元(information element,简称IE)是从所述旧的安全密钥中导出的,因为所述旧的安全密钥是所述服务AN和所述UE之间共享的唯一安全密钥。因此,可以采用所述旧的安全密钥进行重建。然而,为了简化所述UE的实现并防止在所述恢复流程中必须维护两个有效密钥,优选地,与LTE中使用的方法不同,所述重建流程中使用所述新的安全密钥。
所述重建过程使用切换(handover,简称HO)准备信息,因此,所述重建过程的设计应与HO过程的设计兼容。因此,也需要执行使用新的安全密钥的HO流程。在这种情况下,可以在任何时间预配置安全参数(例如,NCC),并且所述UE可以通过统一流程将所述安全参数用于未来的通用移动事件,例如,连接恢复、连接重建或HO。一旦所述安全参数(例如,所述NCC)在所述服务AN上可用,就可以一致地将其下发给所述UE。随后,将所述安全参数用于后续的移动流程(例如,切换、连接建立、连接恢复或连接重建)。
根据一个示例性实施例,为UE预配置安全参数,并在后续移动流程中用于安全保护。所述安全参数的一个示例是所述NCC。作为一个示例,通信系统的AMF为UE生成新的NCC并将所述新的NCC下发到AN,所述AN为所述UE配置(或撤回、提供等)所述新的NCC用于未来的移动流程。所述NCC可以与其他安全参数关联,例如下一跳(next hop,简称NH)参数。
根据一个示例性实施例,在Xn HO中,源AN基于为所述UE配置的所述安全参数向目标AN提供包含新的安全密钥信息的UE上下文,其中,所述Xn HO是涉及Xn接口的HO。
根据一个示例性实施例,在N2 HO中,所述AMF为目标AN提供新的{NH,安全参数}信息对,其中,所述N2 HO是涉及X2接口的HO,所述信息对用于导出新的安全密钥。所述新的安全参数还可以由源AN等提供给所述UE。作为一个说明性示例,在所述目标AN开始使用其自身的安全信息时,向所述UE提供用于导出第二新密钥的新安全参数(例如,NCC)。在一个实施例中,这可能表示将所述新的NCC与HO命令一起提供。换言之,在媒体接入控制(mediaaccess control,简称MAC)控制单元(control element,简称CE)中,将所述新的NCC作为分组数据汇聚协议(packet data convergence protocol,简称PDCP)头的一部分或者作为在所述消息中被安全保护部分之外的类似下层信令提供给所述UE。在另一实施例中,这可以表示在由所述目标AN提供安全性的第一消息中,所述新的NCC在N2 HO之后发送。
通常情况下,对于所有移动相关流程(例如,HO、连接恢复或连接重建),所述UE使用与接收到的配置的NCC关联的安全密钥。
图3是示出了参与为从RRC_IDLE态转换为RRC_CONNECTED态的UE配置安全参数的设备执行的交互通信和处理的交互过程300。交互过程300示出了UE 305、AN 307以及参与为从RRC_IDLE状转换为RRC_CONNECTED态的所述UE 305配置安全参数(例如,新的NCC)的AMF 309执行的交互通信和处理。
初始时,所述UE 305处于RRC_IDLE态(方框315)。但是,所述UE 305将转换到RRC_CONNECTED态。为此,所述UE 305和所述AN 307参与连接建立流程(事件317)。在所述UE 305和CN的认证流程成功完成之后(方框319),所述AMF 309为所述AN 307提供所述UE 305的初始UE上下文(事件321)。所述UE上下文除其他信息外还包括新的{NH,安全参数}信息对。所述AN 307发送安全模式命令以为所述UE 305提供安全保护(事件323)。所述安全模式命令包括所述安全参数,例如,从所述AMF 309接收的所述新的NCC。所述UE 305存储所述安全参数(方框325),并向所述AN 307发送安全模式完成响应(事件327)。在已进行了安全保护时,所述UE 305成功转换到RRC_CONNECTED态。
需要注意的是,在从RRC_IDLE态向RRC_CONNECTED态转换期间配置所述安全参数以及使用所述安全模式命令向所述UE 305提供所述安全参数仅用于说明性目的。例如,在所述AMF 309更新所述安全参数的任何时候,可以在各种其他消息中,例如在RRCConnectionReconfiguration消息中,向所述UE 305提供所述安全参数。又如,在所述UE305转换到RRC_CONNECTED态之后,可以在从RRC_INACTIVE态转换到RRC_CONNECTED态的过程中向所述UE 305提供所述安全参数,其中,所述AN 307可以配置新的NCC(例如,基于新的{NH,安全参数}信息对)。
图4是示出了参与在Xn HO过程中为UE配置安全参数的设备执行的交互通信和处理的交互过程400。交互过程400示出了UE 405、源AN 407以及参与在Xn HO期间为所述UE405配置安全参数(例如,新的NCC)的目标AN 409执行的交互通信和处理。
所述源AN 407从传统的安全流程中已获知所述安全参数(例如,NCC),例如,待配置给所述UE 405的安全参数,并将所述安全参数发送给所述UE 405(事件415)。换言之,事件415包括为所述UE 405配置所述安全参数。所述UE 405是移动性的,并且随着时间的推移(方框417),所述UE 405移出所述源AN 407的覆盖范围或者所述UE 405和所述源AN 407之间的信道质量下降。所述源AN 407确定所述UE 405应该切换到另一个AN上(方框419)。所述源AN 407根据所述安全参数导出一个新的安全密钥,例如,KgNB*(方框421)。所述新的安全密钥也可以根据与所述目标AN 409相关联的信息导出,所述目标AN 409被标识为所述UE405的潜在候选AN。与所述目标AN 409相关联的信息可以包括所述目标AN 409的一个或多个标识。
所述源AN 407向所述目标AN 409发送HO请求消息(事件423)。导出所述新的安全密钥和向所述目标AN 409发送所述HO请求消息可以与传统HO流程类似。所述HO请求消息可以包括所述安全参数和所述新的安全密钥。所述目标AN 409向所述源AN 407发送HO请求确认(事件425)。所述HO请求确认可以包括待转发给所述UE的HO命令。例如,所述HO请求确认包括使用所述新的安全密钥保护(例如,加密或签名)的HO命令。所述HO命令可以通过各种消息,例如RRCConnectionReconfiguration消息,携带给所述UE。需要注意的是,使用所述新的安全密钥保护所述HO命令与所述传统HO流程不同。
所述源AN 407向所述UE 405发送所述HO命令(事件427)。所述源AN 407可以向所述UE 405发送包含所述HO命令的加密容器,但可以不包括所述安全参数。例如,在事件415中,所述UE 405应知道使用先前从所述源AN 407接收的所述安全参数。需要注意的是,不存在包含所述HO命令的所述安全参数可以是对所述UE 405的隐式指示,以不改变其存储的所述安全参数的版本。所述UE 405根据所述安全参数导出新的安全密钥KgNB*(方框429)。也可以根据与所述目标AN 409关联的信息导出所述新的安全密钥KgNB*。例如,所述目标AN409的小区标识可以是用于导出所述新的安全密钥KgNB*的输入参数。所述UE 405解密和验证所述HO命令,以及应用所述HO命令(方框431)。所述UE 405使用所述新的安全密钥来解释所述HO命令,并验证所述目标AN 409的身份。例如,如果所述UE 405使用与不同目标AN关联的信息,则所述HO命令不会被正确解密。应用了所述HO命令之后,使用所述新的安全密钥的所述HO流程完成。此时,所述UE 405由所述目标AN 409服务(方框433)。
图5是示出了在Xn HO完成后参与安全参数更新的设备执行的交互通信和处理的交互过程500。交互过程500示出了UE 505、目标集中单元(centralized unit,简称CU)507以及在Xn HO完成后参与安全参数(例如,NCC)更新的AMF 509执行的交互通信和处理。所述5G NR系统架构包括将无线网络功能在CU和分布式单元(distributed unit,简称DU)间进行划分的设计,其中,至少上层,例如,包括PDCP子层的用户面以及包括PDCP+RRC子层的控制面,位于所述CU中,而物理(physical,简称PHY)子层位于所述DU中。干预层2的子层可以位于所述CU或所述DU中。所述CU可以被视为AN的上层部分,例如,gNB。
在所述Xn HO流程完成后(方框515),控制服务所述UE 505的DU的所述目标CU 507向所述AMF 509发送路径切换请求(事件517)。所述AMF 509通过向所述目标CU 507发送路径切换响应来进行响应(事件519)。所述路径切换响应包括新的{NH,安全参数}信息对。所述目标CU 507向所述UE 505发送所述安全参数(事件521),所述UE 505存储所述安全参数以供后续使用(方框523)。
图6是示出了参与在HO命令中的有安全参数更新的N2 HO的设备执行的交互通信和处理的交互过程600。交互过程600示出了UE 605、源AN 607、目标AN 609以及参与在HO命令中有安全参数更新的N2 HO的AMF 611执行的交互通信和处理。
所述源AN 607从传统的安全流程中已获知所述安全参数(例如,NCC),例如,待配置给所述UE 605的安全参数,并将所述安全参数发送给所述UE 605(事件615)。换言之,事件615包括为所述UE 605配置所述安全参数。所述UE 605是移动性的,并且随着时间的推移(方框617),所述UE 605移出所述源AN 607的覆盖范围或者所述UE 605和所述源AN 607之间的信道质量下降。所述源AN 607确定所述UE 605应切换到另一AN上(方框619)。所述源AN607向所述AMF 611发送HO所需消息,其中,所述HO所需消息通知所述AMF 611所述UE 605需要进行HO(事件621)。所述AMF 611增加针对所述UE 605的安全参数,从而生成新的安全参数,并导出所述UE 605的NH参数(方框623),从而生成新的{NH,新的安全参数}信息对。
所述AMF 611向所述目标AN 609发送N2 HO请求消息,其中,所述目标AN 609已被识别为所述UE 605的候选AN(事件625)。所述N2 HO请求消息包括所述{NH,新的安全参数}信息对。所述目标AN 609根据在所述{NH,新的安全参数}信息对中接收到的新的安全参数导出安全密钥KgNB*(方框627)。也可以根据与所述目标AN 609相关的信息导出所述新的安全密钥KgNB*。所述目标AN 609向所述AMF 611发送N2 HO请求确认(事件629)。可以使用所述安全密钥KgNB*(由所述目标AN 609导出)来保护(例如,加密或签名)所述N2 HO请求确认。例如,所述N2 HO请求确认可以包括加密版本的HO命令消息,所述加密版本的HO命令消息通过所述安全密钥KgNB*加密。所述HO命令可以通过各种消息,例如,RRCConnectionReconfiguration消息,携带给所述UE 605。
所述AMF 611向所述源AN 607发送所述HO命令和所述新的安全参数(事件631)。可以使用所述目标AN 609导出的所述安全密钥KgNB*加密所述HO命令。所述源AN607向所述UE605发送所述HO命令和所述新的安全参数(事件633)。所述新的安全参数可以包括在MACCE、PDCP头或者所述加密的HO命令之外的类似下层信令中。在接收到所述HO命令和所述新的安全参数后,所述UE 605使用所述新的安全参数覆盖其存储的安全参数。
所述UE 605根据所述新的安全参数以及与所述目标AN 609关联的信息导出其自身版本的安全密钥KgNB*(方框635)。例如,与所述目标AN 609关联的所述信息包括所述目标AN 609的标识。所述UE 605使用其导出的安全密钥KgNB*解密和验证所述HO命令(方框637)。如果所述HO命令解密和验证成功,所述UE 605还使用所述HO命令。所述UE 605使用所述新的安全密钥来解释所述HO命令,并验证所述目标AN 609的身份。例如,如果所述UE 605使用与不同目标AN关联的信息,则所述HO命令不会被正确解密。应用了所述HO命令之后,使用所述新的安全密钥的所述N2 HO流程完成。此时,所述UE 605由所述目标AN 609服务(方框639)。
图7是示出了参与在HO命令中的无安全参数更新的N2 HO的设备执行的交互通信和处理的交互过程700。交互过程700示出了UE 705、源AN 707、目标AN 709以及参与在HO命令中无安全参数更新的N2 HO的AMF 711执行的交互通信和处理。
若在没有所述HO命令包括的安全参数更新的情况下发生N2 HO,可以预先为所述UE705配置所述安全参数,这类似于Xn HO。所述源AN 707向所述AMF 711发送包含所述安全密钥KgNB*的N2 HO所需消息,以触发N2 HO(事件715)。所述AMF 711向所述目标AN 709发送包括所述安全密钥KgNB*、新导出的NH和更新的安全参数的HO请求消息(事件717)。需要注意的是,KgNB*不是根据所述新导出的NH和所述更新的安全参数导出的,而是根据为所述UE705预配置的所述安全参数导出的。
所述目标AN 709生成其自己的HO命令(例如,RRCConnectionReconfiguration消息),并使用所述安全密钥KgNB*保护(例如,加密或签名)所述HO命令(方框719)。所述目标AN 709将所述安全的HO命令(例如,在安全容器中)发送至所述AMF 711(事件721),不包括所述更新的安全参数。所述安全的HO命令可以包含或携带在HO请求确认中。所述AMF 711将所述安全的HO命令转发至所述源AN 707(事件723)。所述源AN 707将所述安全的HO命令转发至所述UE 705(事件725)。
所述UE 705根据其存储版本的安全参数导出其自身版本的安全密钥KgNB*(方框727)。需要注意的是,所述安全参数的存储版本的值不同于所述AMF 711生成且所述目标AN709已知的所述新的安全参数的值。所述UE 705使用其导出的安全密钥KgNB*解密和验证所述安全的HO命令(方框729)。如果所述安全的HO命令解密和验证成功,所述UE 705还使用所述解密后的HO命令。应用了所述解密后的HO命令之后,所述N2 HO流程完成。此时,所述UE705由所述目标AN 709服务。所述UE 705向所述目标AN 709发送消息,以向所述目标AN 709指示所述N2 HO流程完成(事件731)。例如,所述消息可以是RRCConnectionReconfigurationComplete消息。所述目标AN 709向所述UE 705发送所述新的安全参数(事件733)。所述UE705存储所述新的安全参数以供后续使用(方框735)。
需要注意的是,预先提供了所述安全参数之后,可以导出早期的安全密钥,从而可以在连接重建流程中使用所述安全密钥。为了对称,能够在连接重建中使用所述安全密钥是符合逻辑的,尤其是当所述安全密钥用于连接恢复流程时。如果连接重建是用于从连接恢复失败中恢复,这也是符合逻辑的。
如果HO过程中HO失败,所述UE可以向作为潜在服务AN的AN发送连接重建请求(例如,RRCConnectionReestablishmentRequest消息)。如果所述AN已经收到HO准备信令,所述AN可以验证所述重建请求。需要注意的是,所述重建请求的完整性可以是已被保护的,但并未被加密。不加密所述重建请求使得没有所述UE的UE上下文的AN可以识别所述重建请求。所述AN可以拒绝所述重建请求,但所述AN也可以从所述UE的所述源AN获取UE上下文,以完成连接重建。对所述重建请求进行完整性保护之后,所述AN可以在获取到所述UE上下文后验证所述重建请求的真实性。或者,对所述重建请求进行完整性保护之后,所述UE的所述源AN可以在将所述UE上下文转移到所述潜在服务AN之前验证所述重建请求的真实性。需要注意的是,由于特定于所述AN的不同输入,例如提供给密钥导出功能(key derivationfunction,简称KDF)的不同标识(例如,小区标识等),所述AN(如果其与所述源AN或所述目标AN不同)会有不同的安全密钥(例如,KgNB*)。
图8是示出了在HO流程失败后参与有配置的安全参数的连接重建流程的设备执行的交互通信和处理的交互过程800。交互过程800示出了UE 805、源AN 807、目标AN 809以及在HO流程失败之后参与有配置的安全参数的连接重建流程的候选AN 811执行的交互通信和处理。
所述源AN 807从传统的安全流程中已获知所述安全参数(例如,NCC),例如,待配置给所述UE 805的安全参数,并将所述安全参数发送给所述UE 805(事件815)。换言之,事件815包括为所述UE 805配置所述安全参数。所述UE 805是移动性的,并且随着时间的推移(方框817),所述UE 805移出所述源AN 807的覆盖范围或者所述UE 805和所述源AN 807之间的信道质量下降。所述源AN 807确定所述UE 805应切换到另一AN上(方框819)。需要注意的是,在事件815中,在所述切换流程之前,所述安全参数已被提供给所述UE 805。因此,当所述UE 805尝试重新建立其与所述源AN 807的连接时,所述安全参数可用于导出新的安全密钥,以用于保护与所述源AN 807间的通信。所述源AN 807根据所述安全参数导出第一安全密钥KgNB*(方框821)。所述源AN 807还将候选AN 811识别为所述UE 805可能的服务AN。也可以根据与所述目标AN 809关联的信息导出所述新的安全密钥。所述与所述目标AN 809关联的信息可以包括所述目标AN 809的一个或多个标识。
所述源AN 807向所述目标AN 809发送包括所述安全参数和所述第一安全密钥KgNB*的HO请求消息(事件823)。所述源AN 807还向所述候选AN 811发送包括所述安全参数和第二安全密钥KgNB**的HO准备消息(事件825),其中,所述第二安全密钥KgNB**是根据所述安全参数以及与所述候选AN 811关联的信息导出的。所述目标AN 809向所述AN 807发送HO请求确认(事件827)。所述HO请求确认可以包括安全版本的HO命令。例如,所述目标AN809使用所述第一安全密钥KgNB*保护(例如,加密或签名)所述HO命令。所述源AN 807向所述UE 805发送所述HO命令,但可以不包括所述安全参数(事件829)。例如,在事件815中,所述UE 805应知道使用先前从所述源AN 807接收的所述安全参数。
所述UE 805根据所述安全参数导出其自身版本的所述第一安全密钥KgNB*(方框831)。也可以根据与所述目标AN 809关联的信息导出所述第一安全密钥KgNB*。所述UE 805解密和验证所述HO命令,在所述HO命令被解密和验证之后应用所述HO命令(方框833)。所述UE 805使用所述第一安全密钥KgNB*来解释所述HO命令,并验证所述目标AN 809的身份。例如,如果所述UE 805使用与不同目标AN关联的信息,则所述HO命令不会被正确解密。
出于讨论的目的,考虑HO流程失败的场景(方框835)。HO失败的原因可以包括HO命令验证失败、所述目标AN 809验证失败等。在这种情况下,所述UE 805识别所述候选AN 811以用于连接重建(方框837)。所述UE 805根据所述安全参数导出其自身版本的所述第二安全密钥KgNB**(方框839)。所述第二安全密钥KgNB**也可以根据与所述候选AN 811关联的信息导出,所述UE 805向所述候选AN 811发送连接重建请求(事件841)。可以使用所述第二安全密钥KgNB**对所述连接重建请求进行完整性保护。类似于所述HO流程,所述连接重建请求的完整性可以是已被保护的,但并未被加密的。或者,所述连接重建请求可以包括使用所述第二安全密钥KgNB**生成的认证令牌。需要注意的是,这是与3GPP LTE重建中使用短MAC-I是相似的概念,但所述认证令牌是利用新的安全密钥生成的。所述候选AN 811使用自身版本的第二安全密钥KgNB**验证所述连接重建请求(方框843)。如果所述连接重建请求通过验证,则所述UE 805、所述源AN 807和所述候选AN 811执行所述连接重建流程(方框845)。
如果连接恢复流程(作为从RRC_INACTIVE态向RRC_CONNECTED态转换的一部分)失败,则由于随机接入信道(random access channel,简称RACH)流程失败,例如,所述UE 805可以执行连接重建流程作为恢复机制。在与HO故障流程类似的过程中,所述UE 805可以在所述连接恢复流程失败后使用从所述安全参数(即,其自身版本的所述第一安全密钥KgNB*)导出的安全密钥来执行所述连接重建流程。
需要注意的是,由于所述连接恢复流程不包括准备“目标”AN,所述UE 805可能只能成功完成与已经含有所述UE 805的UE上下文的AN的连接重建流程。尽管这种情况听起来不太可能,但是由于单个CU控制着覆盖大面积区域的许多DU(小区),在同一AN的不同DU下恢复所述UE 805的可能性很高。
图9示出了为UE配置安全参数的AN上进行的示例性操作900的流程图。操作900可以是为UE配置安全参数(例如,NCC)的AN上进行的操作的指示。
操作900开始于所述AN执行移动或状态转换流程(方框905)。所述AN对所述UE进行鉴权(方框907)。所述AN从AMF接收所述UE的UE上下文,其中,所述UE上下文包括所述安全参数(方框909)。如果已为所述UE配置所述安全参数,则所述UE上下文中的所述安全参数是所述安全参数的更新版本。如果没有为所述UE配置所述安全参数,则所述UE上下文中的所述安全参数可以为所述安全参数的初始版本。所述AN向所述UE发送带有所述安全参数的命令(方框911)。所述AN导出所述UE关联的安全密钥KgNB,其中,所述安全密钥KgNB是根据所述安全参数导出的(方框913)。所述AN使用所述安全密钥KgNB对所述UE关联的一个或多个消息进行安全保护(方框915),并发送所述一个或多个消息。需要注意的是,导出所述安全密钥、对所述一个或多个消息进行安全保护、发送所述一个或多个消息可以称为执行移动相关流程。
图10示出了配置有安全参数的UE上进行的示例性操作1000的流程图。操作1000可以是配置有安全参数(例如,NCC)的UE上进行的操作的指示。
操作1000开始于所述UE执行移动或状态转换流程(方框1005)。所述UE与网络执行认证流程以认证所述UE(方框1007)。所述UE从AN接收带有所述安全参数的命令(方框1009)。如果已为所述UE配置所述安全参数,则方框1009中接收的所述安全参数是所述安全参数的更新版本。如果没有为所述UE配置所述安全参数,则方框1009中接收的所述安全参数可以为所述安全参数的初始版本。所述UE保存所述安全参数供后续使用(方框1011),所述UE发送命令响应(方框1013)。所述命令响应的发送可以触发移动相关流程。所述UE根据所述安全参数导出安全密钥KgNB*(方框1015)。所述UE使用所述安全密钥KgNB*对一个或多个消息进行安全保护(方框1017)。所述一个或多个消息可以是所述UE接收的、所述UE发送的或者它们的组合。需要注意的是,发送所述命令响应(触发所述移动相关流程)、导出所述安全密钥以及对所述一个或多个消息进行安全保护可以称为执行移动相关流程。
图11示出了参与为UE配置安全参数的AMF上进行的示例性操作1100的流程图。操作1100可以是参与为UE配置安全参数(例如,NCC)的AMF上进行的操作的指示。
操作1100开始于所述AMF对所述UE进行认证(方框1105)。需要注意的是,其他核心网节点也可以参与认证流程。所述AMF为所述UE配置或更新所述安全参数(方框1107)。所述AMF向服务所述UE的AN发送所述UE的UE上下文(方框1109)。所述UE上下文包括所述安全参数。
图12示出了为UE更新安全参数的目标AN上进行的示例性操作1200的流程图。操作1200可以是在为所述UE更新所述安全参数(例如,NCC)的目标AN上进行的操作的指示。
操作1200开始于所述目标AN执行与所述UE的HO流程(方框1205)。所述目标AN从AMF接收新的安全参数(方框1207)。可以结合路径切换流程下发所述新的安全参数的值。所述目标AN向所述UE发送所述新的安全参数(方框1209)。需要注意的是,所述新的安全参数的发送不触发安全密钥更新。
图13示出了参与N2 HO流程的目标AN上进行的示例性操作1300的流程图。操作1300可以为参与N2 HO流程的所述目标AN上进行的操作的指示。
操作1300开始于作为N2 HO流程的一部分的所述目标AN从AMF接收安全密钥KgNB*和新的安全参数,例如,NCC(方框1305)。所述目标AN使用所述安全密钥KgNB*对HO命令进行安全保护(方框1307)。所述目标AN通过所述AMF向所述UE发送所述安全的HO命令(方框1309)。所述目标AN参与所述UE的N2 HO流程(方框1311)。所述目标AN向所述UE发送所述新的安全参数(方框1313)。需要注意的是,所述新的安全参数的发送不触发安全密钥更新。
图14A示出了参与N2 HO流程的AMF上进行的示例性操作1400的流程图。操作1400可以为参与N2 HO流程的AMF上进行的操作的指示。
操作1400开始于所述AMF接收HO所需消息(方框1405)。例如,从所述源AN处接收所述HO所需消息。作为N2 HO流程的一部分,所述AMF生成一个或多个安全参数(方框1407)。例如,所述一个或多个安全参数包括{NH,新的安全参数}信息对。所述AMF向目标AN发送所述一个或多个安全参数(方框1409)。所述AMF接收已使用新的安全密钥KgNB*保护的HO命令(方框1411)。所述AMF向所述UE发送所述HO命令和所述一个或多个安全参数(方框1413)。所述HO命令和所述一个或多个安全参数可以通过所述源AN发送给所述UE。
图14B示出了参与HO命令中无安全参数更新的N2 HO流程的AMF上进行的示例性操作1450的流程图。操作1450可以为参与HO命令中无安全参数更新的N2 HO流程AMF上进行的操作的指示。
操作1450开始于所述AMF通过新的安全密钥KgNB*接收HO所需消息(方框1455)。例如,从所述源AN处接收所述HO所需消息。所述AMF发送包括所述新的安全密钥KgNB*、新导出的NH以及更新的安全参数的HO请求消息(方框1457)。向目标AN发送所述HO请求消息。所述AMF接收HO请求确认消息(方框1459)。所述HO请求确认消息是从所述目标AN处接收。所述AMF通过所述源AN向UE发送HO命令(方框1461)。
图15示出了参与HO流程的UE上进行的示例性操作1500的流程图。操作1500可以为参与HO流程的所述UE上进行的操作的指示。
操作1500开始于所述UE接收新的安全参数,例如,NCC(方框1505)。可以从第一网络节点,例如,AN或AMF,接收所述新的安全参数。所述UE存储所述新的安全参数(方框1507)。所述UE触发与AN的移动流程(方框1509)。所述移动流程的示例包括HO流程、连接建立流程、连接恢复流程或连接重建流程。所述UE根据所述新的安全参数导出安全密钥KgNB*(方框1511)。所述UE使用所述安全密钥KgNB*处理接收到的所述移动流程中的至少一个消息(方框1513)。
图16示出了在连接恢复流程失败后参与连接重建流程的UE上进行的示例性操作1600的流程图。操作1600可以为连接恢复流程失败后参与连接重建流程的UE上进行的操作的指示。
操作1600开始于所述UE从第一AN处接收新的安全参数,例如,NCC(方框1605)。所述UE也存储有所述新的安全参数。所述UE尝试恢复流程(方框1607)。例如,所述UE根据所述新的安全参数以及与第二AN、目标AN关联的信息导出第一安全密钥KgNB*(方框1609)。所述第二AN关联的所述信息可以是所述第二AN的标识。所述UE检测到与所述第二AN的连接恢复流程失败(方框1611)。所述UE标识第三AN(方框1613)。例如,所述第三AN可以是用于连接重建的候选AN。所述UE根据所述新的安全参数以及所述第三AN关联的信息导出第二安全密钥KgNB*(方框1615)。所述第三AN关联的所述信息可以是所述第三AN的标识。所述UE生成连接重建请求,并根据所述第二安全密钥KgNB**对其进行安全保护(方框1617)。所述UE向所述第三AN发送安全连接重建请求(方框1619)。所述UE参与连接重建流程(方框1621)。
图17示出了示例性通信系统1700。通常,所述系统1700使得多个无线或有线用户能够发送和接收数据和其他内容。所述系统1700可以实现一种或多种信道接入方法,如码分多址(Code Division Multiple Access,简称CDMA)、时分多址(Time DivisionMultiple Access,简称TDMA)、频分多址(Frequency Division Multiple Access,简称FDMA)、正交频分多址(orthogonal FDMA,简称OFDMA)、单载波频分多址(single-carrierFDMA,简称SC-FDMA)、或非正交多址(non-orthogonal multiple access,简称NOMA)等。
在本示例中,所述通信系统1700包括电子设备(electronic device,简称ED)1710a至1710c、无线接入网(radio access network,简称RAN)1720a和1720b、核心网1730、公共交换电话网络(public switched telephone network,简称PSTN)1740、因特网1750和其他网络1760。虽然图17示出了特定数量的这些器件或元件,但是所述系统1700可以包括任意数量的这些器件或元件。
所述ED 1710a至1710c用于在所述系统1700中进行操作或通信。例如,所述ED1710a至1710c用于通过无线或有线通信信道来进行发送或接收。所述ED 1710a至1710c中的每个ED分别表示任何合适的终端用户设备且可以包括(或可以称为)诸如用户设备(UE)或设备、无线发送/接收单元(wireless transmit/receive unit,简称WTRU)、移动台、固定或移动用户单元、蜂窝电话、个人数字助理(personal digital assistant,简称PDA)、智能手机、笔记本电脑、电脑、触摸板、无线传感器或消费类电子设备等此类设备。
此处所述RAN 1720a和1720b分别包括基站1770a和1770b。所述基站1770a和1770b中的每一个分别用于与一个或多个所述ED 1710a至1710c无线连接,以便能够接入所述核心网1730、所述PSTN 1740、所述因特网1750或所述其他网络1760。例如,所述基站1770a和1770b可以包括(或是)一个或若干个熟知的设备,如基站收发信台(base transceiverstation,简称BTS)、NodeB(NodeB)、演进型NodeB(evolved NodeB,简称eNodeB)、家庭NodeB、家庭eNodeB、站点控制器、接入点(access point,简称AP)或无线路由器。所述ED1710a至1710c用于与所述互联网1750进行连接和通信,可以接入所述核心网1730、所述PSTN 1740或所述其他网络1760。
在图17所示的实施例中,所述基站1770a构成所述RAN 1720a的一部分,其中,所述RAN 1720a可以包括其他基站、元件或设备。此外,所述基站1770b构成所述RAN 1720b的一部分,其中,所述RAN 1720b可以包括其他基站、元件或设备。所述基站1770a和1770b中的每一个在特定的地理区域或地区内操作以发射或接收无线信号,有时也称为“小区”。在一些实施例中,多输入多输出(multiple-input multiple-output,简称MIMO)技术的应用可为每个小区部署多个收发器。
所述基站1770a和1770b通过无线通信链路在一个或多个空中接口1790上与所述UE1710a至1710c中的一个或多个进行通信。所述空中接口1790可以使用任何合适的无线接入技术。
预计所述系统1700可以使用多信道接入功能,包括如上所述的方案。在特定实施例中,所述基站和ED实现5G NR、LTE、LTE-A或LTE-B。当然,可以使用其它多接入方案和无线协议。
所述RAN 1720a和1720b与所述核心网1730通信,以向所述UE 1710a至1710c提供语音、数据、应用、基于互联网协议的语音传输(Voice over Internet Protocol,简称VoIP)或其他业务。可以理解的是,所述RAN 1720a和1720b或所述核心网1730可以与一个或多个其他RAN(未示出)直接或间接通信。所述核心网1730也可以充当其他网络(例如,所述PSTN1740、所述因特网1750和所述其他网络1760)的网关接入。此外,所述UE 1710a至1710c的一部分或全部可以包括通过不同无线技术或协议在不同无线链路上与不同无线网络通信的功能。所述ED可以通过通向业务提供商或交换机(未示出)以及通向所述因特网1750的有线通信信道进行通信而不进行无线通信(或者除进行无线通信之外)。
尽管图17示出了通信系统的一个示例,但是图17可以有多种变化。例如,在任何合适的配置中,所述通信系统1700可以包括任意数量的ED、基站、网络或其他器件。
图18A和18B示出了本公开提供的可以实现方法和理念的示例设备。特别地,图18A示出了示例性的ED 1810,图18B示出了示例性的基站1870。这些器件可用于所述系统1700或任何其它合适的系统。
如图18A所示,所述ED 1810包括至少一个处理单元1800。所述处理单元1800实现所述ED 1810的各种处理操作。例如,所述处理单元1800可以进行信号编码、数据处理、功率控制、输入/输出处理或任何其他使所述ED 1810能够在所述系统1700中运行的功能。所述处理单元1800也支持上面细述的方法和理念。每个处理单元1800包括任何用于执行一个或多个操作的合适的处理或计算设备。例如,每个处理单元1800可以包括微处理器、微控制器、数字信号处理器、现场可编程门阵列或专用集成电路。
所述ED 1810还包括至少一个收发器1802。所述收发器1802用于调制数据或其他内容,以通过至少一个天线或NIC(network interface controller,简称NIC)1804进行传输。所述收发器1802还用于解调所述至少一根天线1804接收的数据或其他内容。每个收发器1802包括用于为无线或有线传输生成信号或用于处理通过无线或有线方式接收的信号的任何合适的结构。每根天线1804包括用于发送或接收无线或有线信号的任何合适的结构。一个或多个收发器1802可以用于所述ED 1810中,且一根或多根天线1804可以用于所述ED 1810中。虽然作为单个功能单元示出,所述收发器1802还可以使用至少一个发射器和至少一个单独的接收器予以实现。
所述ED 1810还包括一个或多个输入/输出设备1806或接口(例如,连接到所述因特网1750的有线接口)。所述输入/输出设备1806便于与网络中的用户或其他设备进行交互(网络通信)。每个输入/输出设备1806包括用于向用户提供信息或从用户接收信息的任何合适的结构,例如,扬声器、麦克风、拨号盘、键盘、显示器或触摸屏,所述结构还用于网络接口通信。
此外,所述ED 1810包括至少一个存储器1808。所述存储器1808存储有所述ED1810使用、生成或收集的指令和数据。例如,所述存储器1808可以存储所述处理单元1800执行的软件或固件指令和用于减少或消除输入信号中的干扰的数据。每个存储器1808包括任何合适的易失性或非易失性的存储和检索设备。可以使用任何合适类型的存储器,例如,随机存取存储器(random access memory,简称RAM)、只读存储器(read-only memory,简称ROM)、硬盘、光盘、用户识别模块(subscriber identity module,简称SIM)卡、记忆棒、安全数码(secure digital,简称SD)存储卡等。
如图18B所示,所述基站1870包括至少一个处理单元1850、包括针对发送器和接收器的功能的至少一个收发器1852、一个或多个天线1856、至少一个存储器1858以及一个或多个输入/输出设备或接口1866。本领域技术人员可以理解的是,调度器被耦合至所述处理单元1850。所述调度器可以包括在所述基站1870内,也可以与所述基站1870分开操作。所述处理单元1850实现所述基站1870的各种处理操作,如信号编码、数据处理、功率控制、输入/输出处理或任何其他的功能。所述处理单元1850也可以支持上面细述的方法和理念。每个处理单元1850包括任何用于执行一个或多个操作的合适的处理或计算设备。例如,每个处理单元1850可以包括微处理器、微控制器、数字信号处理器、现场可编程门阵列或专用集成电路。
每个收发器1852包括用于生成向一个或多个ED或其他设备无线或有线传输的信号的任何合适的结构。每个收发器1852包括用于处理从一个或多个ED或其他设备无线或有线接收到的信号的任何合适的结构。尽管结合示出为收发器1852,但发射器和接收器可以是单独的组件。每根天线1856包括用于发送或接收无线或有线信号的任何合适的结构。虽然这里示出的公共天线1856耦合到所述收发器1852,但是一个或多个天线1856可以耦合到所述收发器1852。因此,如果所述发送器和所述接收器被配置为单独的组件,单独的天线1856可以耦合到所述发射器和所述接收器。每个存储器1858包括任何合适的易失性或非易失性存储和检索设备。每个输入/输出设备1866促进与网络中的用户或其他设备(网络通信)的交互。每个输入/输出设备1866包括用于向用户提供信息或从用户接收或提供信息的任何合适结构,包括网络接口通信。
图19是计算系统1900的方框图,所述计算系统可以用来实现本文公开的设备和方法。例如,所述计算系统可以为UE、接入网络(access network,简称AN)、移动性管理(mobility management,简称MM)、会话管理(session management,简称SM)、用户面网关(user plane gateway,简称UPGW)或接入层(access stratum,简称AS)中的任意实体。特定装置可利用所有所示的组件或所述组件的仅一子集,且装置之间的集成程度可能不同。此外,设备可以包含组件的多个实例,例如多个处理单元、处理器、存储器、发射器以及接收器等。所述计算系统1900包括处理单元1902。所述处理单元包括中央处理器(centralprocessing unit,简称CPU)1914和存储器1908,还可以包括大容量存储器设备1904、视频适配器1910以及连接至总线1920的I/O接口1912。
总线1920可以是任意类型的若干总线架构中的一个或多个,包括存储总线或存储控制器、外设总线、或视频总线。所述CPU 1914可包括任何类型的电子数据处理器,所述存储器1908可包括任意类型的非瞬时性系统存储器,例如静态随机存取存储器(staticrandom access memory,简称SRAM)、动态随机存取存储器(dynamic random accessmemory,简称DRAM)、同步DRAM(synchronous DRAM,简称SDRAM)、只读存储器(read-onlymemory,简称ROM)或它们的组合。在实施例中,所述存储器1908可包含在开机时使用的ROM以及在执行程序时使用的存储程序和数据的DRAM。
所述大容量存储器1904可以包括任意类型的非瞬时性存储设备,所述非瞬时性存储设备用于存储数据、程序及其他信息,并且使得能通过总线1920访问所述数据、程序及其他信息。所述大容量存储器1904可以包括,例如,固态硬盘、硬盘驱动器、磁盘驱动器,或光盘驱动器等中的一个或多个。
所述视频适配器1910和所述I/O接口1912提供接口以将外部输入和输出设备耦合到所述处理单元1902。如图所示,输入和输出设备的例子包括与所述视频适配器1910耦合的显示器1918,以及和所述I/O接口1912耦合的鼠标、键盘或打印机1916。其它装置可以耦合到总线处理单元1902上,并且可以利用额外的或较少的接口卡。例如,可使用如通用串行总线(Universal Serial Bus,简称USB)(未示出)等串行接口将接口提供给外部设备。
所述处理单元1902还包含一个或多个网络接口1906,所述网络接口可以包括以太网电缆等有线链路,和/或用以接入节点或不同网络的无线链路。所述网络接口1906允许所述处理单元1902经由网络与远程单元通信。举例来说,所述网络接口1906可以经由一个或多个发射器/发射天线以及一个或多个接收器/接收天线提供无线通信。在一个实施例中,所述处理单元1902耦合到局域网1922或广域网上以用于数据处理以及与远程装置通信,所述远程装置为其它处理单元、因特网、或远程存储设施等。
应当理解,此处提供的实施例方法的一个或多个步骤可以由相应的单元或模块执行。例如,信号可以由传输单元或传输模块进行传输。信号可以由接收单元或接收模块进行接收。信号可以由处理单元或处理模块进行处理。其他步骤可以由导出单元或模块、应用单元或模块、执行单元或模块、触发单元或模块、识别单元或模块、或生成单元或模块执行。各个单元或模块可以是硬件、软件或其组合。例如,一个或多个单元或模块可以是集成电路,例如,现场可编程门阵列(field programmable gate array,简称FPGA)或专用集成电路(application-specific integrated circuit,简称ASIC)。
虽然已详细地描述了本发明及其优点,但是应理解,可以在不脱离如所附权利要求书所界定的本发明的精神和范围的情况下对本发明做出各种改变、替代和更改。
Claims (24)
1.一种操作用户设备UE的方法,其特征在于,所述方法包括:
所述UE从第一设备接收为所述UE配置的安全参数,其中,使用第一安全密钥对所述安全参数进行安全保护,所述安全参数是当所述UE处于RRC_INACTIVE态时,为所述UE配置的,所述第一安全密钥是根据所述安全参数导出的;
在接收到所述安全参数后,所述UE与所述第一设备进行通信,其中,使用所述第一安全密钥对与所述第一设备间的通信进行安全保护;以及
所述UE根据为所述UE配置的所述安全参数执行移动相关流程,其中,所述移动相关流程包括切换流程、连接建立流程、连接恢复流程或连接重建流程,所述执行所述移动相关流程包括:
所述UE触发与第二设备的所述移动相关流程;
所述UE根据所述安全参数导出第二安全密钥,其中,所述第二安全密钥用于所述移动相关流程中;以及
所述UE使用所述第二安全密钥对所述移动相关流程中的至少一个消息进行安全保护。
2.根据权利要求1所述的方法,其特征在于,还包括:所述UE将所述安全参数存储在存储器中。
3.根据权利要求1所述的方法,其特征在于,所述第二安全密钥还根据与所述第二设备相关联的信息导出。
4.根据权利要求3所述的方法,其特征在于,所述信息包括与所述第二设备关联的标识。
5.根据权利要求4所述的方法,其特征在于,所述标识为所述第二设备操作的小区的小区标识。
6.根据权利要求1所述的方法,其特征在于,所述第一设备包括源接入节点,所述第二设备包括目标接入节点。
7.一种操作接入节点AN的方法,其特征在于,所述方法包括:
所述AN接收针对用户设备UE的上下文,其中,所述上下文包括为所述UE配置的安全参数,所述安全参数包括用于所述UE的密钥生成的输入,所述安全参数是当所述UE处于RRC_INACTIVE态时,为所述UE配置的;
所述AN使用根据所述安全参数生成的安全密钥向所述UE发送所述AN保护的命令;以及
所述AN使用所述安全密钥执行移动相关流程,其中,所述移动相关流程包括切换流程、连接建立流程、连接恢复流程或连接重建流程,所述执行所述移动相关流程包括:
所述AN向所述UE发送与所述UE关联的第一移动相关流程中的至少一个消息,其中,所述AN使用所述安全密钥对所述至少一个消息进行安全保护。
8.根据权利要求7所述的方法,其特征在于,向所述UE发送所述命令包括:向第二AN发送所述命令以下发至所述UE。
9.根据权利要求7所述的方法,其特征在于,参与所述移动相关流程还包括:
所述AN导出与所述UE关联的所述安全密钥,其中,所述安全密钥是根据所述安全参数导出的;以及
所述AN使用所述安全密钥对所述第一移动相关流程中的至少一个消息进行安全保护。
10.根据权利要求7所述的方法,其特征在于,所述安全参数包括下一跳链计算(next-hop chaining count,简称NCC)参数。
11.根据权利要求7所述的方法,其特征在于,接收所述上下文并发送所述命令是所述UE与所述AN之间的连接建立流程的一部分。
12.根据权利要求7所述的方法,其特征在于,所述上下文是从接入和移动性管理功能AMF处接收的。
13.根据权利要求7所述的方法,其特征在于,还包括:在接收针对所述UE的上下文之前,所述AN执行与所述UE的第二移动相关流程。
14.根据权利要求13所述的方法,其特征在于,所述第二移动相关流程包括连接建立流程。
15.一种操作设备的方法,其特征在于,所述方法包括:
所述设备在移动相关流程中导出为用户设备UE配置的安全参数,所述移动相关流程包括切换流程、连接建立流程、连接恢复流程或连接重建流程,所述安全参数是当所述UE处于RRC_INACTIVE态时,为所述UE配置的;
所述设备向第一接入节点AN发送所述配置的安全参数;
所述设备从所述第一AN接收移动命令;以及
所述设备使用根据所述配置的安全参数导出的安全密钥对所述移动命令进行安全保护;
所述设备向所述UE发送所述移动命令和所述配置的安全参数。
16.根据权利要求15所述的方法,其特征在于,发送所述移动命令和所述配置的安全参数包括:将所述移动命令和所述配置的安全参数发送至第二AN以转发至所述UE。
17.根据权利要求16所述的方法,其特征在于,所述第二AN包括源AN,所述第一AN包括目标AN。
18.根据权利要求15所述的方法,其特征在于,所述设备包括接入和移动性管理功能AMF。
19.一种用户设备UE,其特征在于,包括:
存储有指令的存储器;以及
与所述存储器通信的一个或多个处理器,其中,所述一个或多个处理器执行所述指令以执行以下操作:
从第一设备接收为所述UE配置的安全参数,其中,使用第一安全密钥对所述安全参数的通信进行安全保护,所述安全参数是当所述UE处于RRC_INACTIVE态时,为所述UE配置的,所述第一安全密钥是根据所述安全参数导出的;
在接收到所述安全参数后,与所述第一设备进行通信,其中,使用所述第一安全密钥对与所述第一设备间的通信进行安全保护;以及
根据为所述UE配置的所述安全参数执行移动相关流程,其中,所述移动相关流程包括切换流程、连接建立流程、连接恢复流程或连接重建流程,所述执行所述移动相关流程包括:所述一个或多个处理器执行指令以执行以下操作:
触发与第二设备的所述移动相关流程;
根据所述安全参数导出第二安全密钥,其中,所述第二安全密钥用于所述移动相关流程中;以及
使用所述第二安全密钥对所述移动相关流程中的至少一个消息进行安全保护。
20.根据权利要求19所述的UE,其特征在于,所述一个或多个处理器还执行所述指令以存储所述安全参数。
21.根据权利要求19所述的UE,其特征在于,所述一个或多个处理器还执行所述指令,以根据与所述第二设备关联的信息导出所述第二安全密钥。
22.一种接入节点AN,其特征在于,包括:
存储有指令的存储器;以及
与所述存储器通信的一个或多个处理器,其中,所述一个或多个处理器执行所述指令以执行以下操作:
接收针对用户设备UE的上下文,其中,所述上下文包括为所述UE配置的安全参数,所述安全参数包括用于所述UE的密钥生成的输入,所述安全参数是当所述UE处于RRC_INACTIVE态时,为所述UE配置的;
使用根据所述安全参数生成的安全密钥向所述UE发送所述AN保护的命令;以及
使用所述安全密钥执行移动相关流程,其中,所述移动相关流程包括切换流程、连接建立流程、连接恢复流程或连接重建流程,所述执行所述移动相关流程包括:所述一个或多个处理器执行指令以执行以下操作:
向所述UE发送与所述UE关联的第一移动相关流程中的至少一个消息,其中,所述AN使用所述安全密钥对所述至少一个消息进行安全保护。
23.根据权利要求22所述的AN,其特征在于,所述一个或多个处理器还执行所述指令以导出与所述UE相关联的所述安全密钥,其中,所述安全密钥根据所述安全参数导出的,并使用所述安全密钥对所述第一移动相关流程中的所述至少一个消息进行安全保护。
24.根据权利要求22所述的AN,其特征在于,在接收所述UE的上下文之前,所述一个或多个处理器还执行所述指令以执行与所述UE的第二移动相关流程。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762574581P | 2017-10-19 | 2017-10-19 | |
| US62/574,581 | 2017-10-19 | ||
| US15/987,192 US10812973B2 (en) | 2017-10-19 | 2018-05-23 | System and method for communicating with provisioned security protection |
| US15/987,192 | 2018-05-23 | ||
| PCT/CN2018/109967 WO2019076243A1 (en) | 2017-10-19 | 2018-10-12 | SYSTEM AND METHOD FOR COMMUNICATION WITH SECURITY PROTECTION COMMISSIONING |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111448813A CN111448813A (zh) | 2020-07-24 |
| CN111448813B true CN111448813B (zh) | 2021-11-30 |
Family
ID=66170264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880067378.XA Active CN111448813B (zh) | 2017-10-19 | 2018-10-12 | 与配置的安全保护进行通信的系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10812973B2 (zh) |
| CN (1) | CN111448813B (zh) |
| WO (1) | WO2019076243A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109803259B (zh) * | 2017-11-16 | 2020-03-17 | 华为技术有限公司 | 一种请求恢复连接的方法及装置 |
| CN113423131B (zh) * | 2018-02-13 | 2022-11-11 | 华为技术有限公司 | 通信方法和装置 |
| US12127047B2 (en) | 2018-04-12 | 2024-10-22 | Qualcomm Incorporated | Access stratum (AS) security for a centralized radio access network (C-RAN) |
| US20220174045A1 (en) * | 2019-03-27 | 2022-06-02 | British Telecommunications Public Limited Company | Reactive secure communications |
| CN114727290A (zh) | 2019-04-28 | 2022-07-08 | 华为技术有限公司 | 通信方法及其装置 |
| WO2021026796A1 (en) * | 2019-08-14 | 2021-02-18 | Zte Corporation | Network reselection for a network sharing split architecture |
| WO2022133764A1 (en) * | 2020-12-23 | 2022-06-30 | Zte Corporation | A method for key transfer |
| WO2023225929A1 (en) * | 2022-05-26 | 2023-11-30 | Qualcomm Incorporated | Physical layer (phy) security for passive internet of things (iot) devices |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101516089A (zh) * | 2008-02-18 | 2009-08-26 | 中国移动通信集团公司 | 一种切换方法及系统 |
| CN101616408A (zh) * | 2008-06-23 | 2009-12-30 | 华为技术有限公司 | 密钥衍生方法、设备及系统 |
| EP2271145A1 (en) * | 2008-09-22 | 2011-01-05 | Ntt Docomo, Inc. | Mobile communication method |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080033763A (ko) * | 2006-10-13 | 2008-04-17 | 삼성전자주식회사 | 와이브로 네트워크에서의 상호인증을 통한 핸드오버 방법및 그 시스템 |
| EP2509345A1 (en) * | 2011-04-05 | 2012-10-10 | Panasonic Corporation | Improved small data transmissions for machine-type-communication (MTC) devices |
| WO2014205697A1 (en) * | 2013-06-26 | 2014-12-31 | Nokia Corporation | Methods and apparatus for generating keys in device-to-device communications |
| US10129802B2 (en) * | 2013-12-06 | 2018-11-13 | Idac Holdings, Inc. | Layered connectivity in wireless systems |
| GB2527518A (en) * | 2014-06-23 | 2015-12-30 | Nec Corp | Communication system |
-
2018
- 2018-05-23 US US15/987,192 patent/US10812973B2/en active Active
- 2018-10-12 CN CN201880067378.XA patent/CN111448813B/zh active Active
- 2018-10-12 WO PCT/CN2018/109967 patent/WO2019076243A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101516089A (zh) * | 2008-02-18 | 2009-08-26 | 中国移动通信集团公司 | 一种切换方法及系统 |
| CN101616408A (zh) * | 2008-06-23 | 2009-12-30 | 华为技术有限公司 | 密钥衍生方法、设备及系统 |
| EP2271145A1 (en) * | 2008-09-22 | 2011-01-05 | Ntt Docomo, Inc. | Mobile communication method |
| CN102027769A (zh) * | 2008-09-22 | 2011-04-20 | 株式会社Ntt都科摩 | 移动通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111448813A (zh) | 2020-07-24 |
| WO2019076243A1 (en) | 2019-04-25 |
| US20190124506A1 (en) | 2019-04-25 |
| US10812973B2 (en) | 2020-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111448813B (zh) | 与配置的安全保护进行通信的系统和方法 | |
| KR102213557B1 (ko) | 무선 네트워크에서 커버리지 및 리소스-제한 디바이스를 지원하는 레이어 2 릴레이 | |
| CN110546992B (zh) | 用于双连接通信系统中切换的系统和方法 | |
| CN109309920B (zh) | 安全实现方法、相关装置以及系统 | |
| US8605904B2 (en) | Security method in wireless communication system having relay node | |
| KR102040036B1 (ko) | 보안 패스워드 변경 방법, 기지국, 및 사용자 기기 | |
| JP2020536424A (ja) | セキュリティ保護方法、装置及びシステム | |
| CN106817696B (zh) | 处理用于双连接的数据传送/接收的装置及方法 | |
| CN111788839A (zh) | 用户身份隐私保护和网络密钥管理 | |
| KR20100114927A (ko) | 무선 통신 시스템에서 핸드오버를 실행하는 동안 키 관리를 실행하기 위한 시스템 및 방법 | |
| CN109906624B (zh) | 支持无线通信网络中的认证的方法以及相关网络节点和无线终端 | |
| US11856396B2 (en) | System and method for security activation with session granularity | |
| US20230099786A1 (en) | Methods and Apparatus for Provisioning Private Network Devices During Onboarding | |
| JP2019502328A (ja) | コンテクスト準備 | |
| CN107113608B (zh) | 使用密钥扩展乘数来生成多个共享密钥的方法和装置 | |
| CN109691159B (zh) | Rrc连接恢复中的pdcp count处理 | |
| WO2018166338A1 (zh) | 一种秘钥更新方法及装置 | |
| WO2019158117A1 (en) | System and method for providing security in a wireless communications system with user plane separation | |
| US20220345883A1 (en) | Security key updates in dual connectivity | |
| WO2020056433A2 (en) | SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo) | |
| JP2011515904A (ja) | ワイヤレス通信システムにおいてハンドオーバ、またはハンドオーバ実行中の鍵管理を実行するシステムおよび方法 | |
| CN114125835A (zh) | 侧链路安全配置过程 | |
| CN112654046A (zh) | 用于注册的方法和装置 | |
| CN115250469A (zh) | 一种通信方法以及相关装置 | |
| WO2018228444A1 (zh) | 连接管理方法、终端及无线接入网设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |