CN111713122B - 用于提高数据传输安全性的方法、用户设备和网络节点 - Google Patents
用于提高数据传输安全性的方法、用户设备和网络节点 Download PDFInfo
- Publication number
- CN111713122B CN111713122B CN201980013284.9A CN201980013284A CN111713122B CN 111713122 B CN111713122 B CN 111713122B CN 201980013284 A CN201980013284 A CN 201980013284A CN 111713122 B CN111713122 B CN 111713122B
- Authority
- CN
- China
- Prior art keywords
- network node
- data
- token
- hash value
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 94
- 230000005540 biological transmission Effects 0.000 title claims abstract description 46
- 238000012545 processing Methods 0.000 claims description 112
- 238000003860 storage Methods 0.000 claims description 32
- 230000004044 response Effects 0.000 claims description 10
- 230000011664 signaling Effects 0.000 abstract description 13
- 238000004891 communication Methods 0.000 description 92
- 230000006870 function Effects 0.000 description 54
- 239000010410 layer Substances 0.000 description 51
- 230000015654 memory Effects 0.000 description 45
- 230000008901 benefit Effects 0.000 description 19
- 238000004364 calculation method Methods 0.000 description 15
- 230000003287 optical effect Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 9
- 238000005259 measurement Methods 0.000 description 9
- 230000001413 cellular effect Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 238000011084 recovery Methods 0.000 description 7
- 238000012795 verification Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 6
- 238000003491 array Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 238000010200 validation analysis Methods 0.000 description 5
- 101150014328 RAN2 gene Proteins 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 239000000725 suspension Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000013256 coordination polymer Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000011229 interlayer Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000000779 smoke Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000007921 spray Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
- 230000003245 working effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access
- H04W74/08—Non-scheduled access, e.g. ALOHA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于在用户设备处改善数据传输安全性的方法,包括:从源网络节点接收连接释放消息,该连接释放消息包括用于计算要包括在连接请求消息中的数据的散列值的指示;基于连接释放消息中包括的指示来计算散列值;基于散列值来计算令牌;以及向目标网络节点发送包括令牌的连接请求消息。该方法还可以在令牌已被验证之后,将数据从目标网络节点直接转发给网关。该方法可以通过具有数据的固定大小的散列值来减少信令开销。此外,该方法可以通过将令牌包括在RRC消息中来提供传输安全性,其中,基于表示数据的散列值来计算令牌。
Description
技术领域
具体实施例涉及数据传输安全性领域;更具体地,涉及用于提高随机接入过程中的数据传输安全性的方法、装置和系统。
背景技术
最近,在3GPP中已经进行了与规定涵盖机器到机器(M2M)和/或物联网(IoT)相关用例的技术有关的大量工作。3GPP版本13和14的最新工作包括支持以下的增强:具有新UE类别(如Cat-M1、Cat-M2中)的机器类型通信(MTC),该UE类别支持减少为最多6和24个物理资源块(PRB)的带宽,和提供新无线电接口的窄带IoT(NB-IoT)UE,其UE类别为Cat-NB1和Cat-NB2。
在3GPP版本13、14和15中针对MTC引入的LTE增强将被称为“eMTC”,包括但不限于对带宽受限的UE(Cat-M1/M2)的支持以及对覆盖增强的支持。这是为了将讨论与用于任何版本的NB-IoT分开,尽管所支持的特征在一般水平上相似。
对于eMTC和NB-IoT二者,在版本13中还引入了蜂窝IoT EPS用户面优化和蜂窝IoTEPS控制面优化信令减少。前者(在此被称为UP解决方案)允许UE恢复先前存储的RRC连接,因此也被称为RRC暂停/恢复。后者(在此被称为CP解决方案)允许在非接入层上传输用户面数据(即,DoNAS)。
对于3GPP版本15,针对LTE的更进一步增强的MTC(LTE_eMTC4)和进一步的NB-IoT增强(NB_IOTenh2)的新工作项(WI)分别针对eMTC和NB-IoT增强。这里将针对LTE_eMTC4的新WI称为WI_eMTC,并将针对NB_IOTenh2的新WI称为WI_NBIOT。在这两种情况下,WI的目标之一是通过在随机接入(RA)过程期间引入尽早发送数据的可能性来减少UE功耗和时延。
WI_eMTC支持早期数据传输,并评估功耗、时延增益,并且指定RA过程期间,例如至少在RRC暂停/恢复的情况下,在物理随机接入信道(PRACH)传输之后且在RRC连接建立完成之前,对专用资源上的下行链路(DL)/上行链路(UL)数据传输的必要支持。
WI_NBIOT评估功耗、时延增益,并且指定RA过程期间,在NPRACH传输之后且在RRC连接建立完成之前,对专用资源上的DL/UL传输的必要支持。
在最近的RAN2会议中,例如RAN2#99、RAN2#99bis和RAN2#100,讨论了对早期数据传输(EDT)的许多贡献。协议集是要针对版本13UP解决方案支持Msg3中的早期UL数据传输。
协议集概述如下:(1)旨在完成针对控制面和用户面蜂窝IoT(CIoT)演进分组系统(EPS)优化在Msg3中支持早期UL数据传输;(2)对于UP解决方案,使用信令无线电承载0(SRB0)在Msg3中发送RRC消息;(3)对于UP解决方案,在Msg3中,在媒体访问控制(MAC)中复用针对RRC消息的公共控制信道(CCCH)和针对UP数据的专用业务信道(DTCH);(4)对于UP解决方案,在发送Msg3之前恢复接入层(AS)安全性,且在Msg3中发送的数据通过AS安全性保护;(5)如何解决Msg3中的填充问题需要进一步的研究;(6)在用于EDT的Msg3中包括resumeID、shortResumeMAC-I和resumeCause;(7)在用于EDT的Msg3中未包括当前在Msg5中提供的任何参数;(8)与传统相同,在发送用于EDT的Msg3时,UE处于RRC_IDLE;(9)UE应在发起EDT之前执行接入禁止检查;(10)UE应恢复UE上下文,重新激活安全性,并且重新建立或恢复所有SRB/数据无线电承载(DRB),其中UE应基于先前连接中提供的NCC导出新密钥,并且在先前连接中提供哪个消息NCC和SA3反馈可能需要进一步研究;以及(11)在Msg3中使用传统的RRC连接恢复请求(RRCConnectionResumeRequest)消息。
最近,在某些先前提交的申请中已经提出了用于实现早期数据传输概念的现有解决方案,如在UP解决方案中具有早期数据传输的安全性方面。
图1示出了根据TS36.300的示例基于竞争的随机接入(RA)过程。RA过程中的消息通常称为消息1(Msg1)至消息4(Msg4)。
在传统LTE中,Msg3是早期消息,既不具有机密性也不具有完整性保护。在版本13UP解决方案中,Msg3包括RRC连接恢复请求(RRCConnectionResumeRequest,简称为恢复请求(ResumeRequest))。对于版本14和更早的版本,恢复请求是在RRC层形成的,带有安全令牌,即用于验证恢复请求的真实性的shortResumeMAC-I(sRMAC-I)。另外,版本13UP解决方案中的用户数据是以AS安全性在RRC连接恢复完成之后发送的。更具体地,可发送UL数据的最早时间是在Msg5中,即上行链路(UL)数据与RRC连接恢复完成(RRCConnectionResumeComplete)复用。如果eNB基于用于完整性保护的32比特消息认证码(例如,MAC-I,在分组数据汇聚协议(PDCP)子层中对其进行计算和检查)成功验证Msg5中的RRC连接恢复完成(RRCConnectionResumeComplete)消息,则认为Msg5的传输是来自合法UE。在成功验证的情况下,将在Msg5中接收的UL数据从eNB转发给服务网关(S-GW)。
在UP早期数据传输(EDT)解决方案中,UL数据与恢复请求在Msg3中在MAC子层处被复用。UL数据传输是通过DRB承载在专用业务信道(DTCH,为逻辑信道)上进行的,因此在PDCP子层进行加密。与版本13UP解决方案类似,恢复请求包括sRMAC-I以验证其真实性,即sRMAC-I旨在供eNB检查其是否来自合法UE。版本13和版本15之间的可能差异是sRMAC-I的长度,即从版本13中的16比特扩展到版本15中的32比特。
目前存在一些挑战。在版本13RRC暂停/恢复解决方案中,恢复请求不具有PDCP支持,但它包括16比特的sRMAC-I作为安全令牌来验证恢复请求的真实性。然而,当涉及Msg3中的早期数据(其中UL数据与恢复请求复用)时,这种16比特的sRMAC-I参数可能不足以进行真实性验证。因此,建议将其长度扩展到32比特。
基于包括源小区中使用的C-RNTI、源物理小区ID和目标小区ID在内的变量集,在RRC层处计算和验证该安全令牌sRMAC-I。因此,这确实允许eNB知道它是否由合法UE产生,但是不允许知道它是否由合法UE发送。攻击者可以复制恢复请求并假装为合法UE,即重放攻击。eNB无法通过验证shortResumeMAC-I来检测所重放的Msg3。重放攻击的示例是当恢复请求被拒绝并且UE被置于空闲或暂停状态时。由于eNB响应于所重放的Msg3而例如在Msg4中提供了新的resumeID,因此当合法UE再次尝试随机接入时,UE上下文不再存在,因为其resumeID已过时。为了进一步增强恢复请求的真实性,一些解决方案将sRMAC-I与新鲜度参数(该新鲜度参数与目标eNB相关联)相关,诸如临时C-RNTI。由于临时C-RNTI在每次随机接入尝试时被更新,因此当尝试对具有过时的临时C-RNTI的恢复请求的重放时,eNB可以检测到。在这种情况下,eNB可以避免将在Msg3中接收到的可能的伪UL数据转发给S-GW。
另一个安全性方面是Msg3中用户数据的可能修改,即中间人(MiM)攻击。攻击者可以例如通过翻转数据比特来改变Msg3中的用户数据。在例如LTE和NB-IoT中,通过DRB的用户数据传输在PDCP子层被加密,但未受到完整性保护。因此,eNB可能无法检测到有效载荷的改变或改动。请注意,Msg3上的MiM攻击与传统LTE中的数据传输上的MiM攻击不同。在传统LTE中,数据传输仅在eNB已借助于完整性保护验证了UE合法之后才进行。然而,由于带有UL数据的Msg3未受到完整性保护,因此重放攻击和MiM攻击二者可以由相同的攻击者执行。还要注意,在其他场景中包含新鲜度参数仅有助于限制而非防止重放攻击。结果,eNB可以将伪数据转发给S-GW。为了增强Msg3中UL数据的安全性,一些解决方案提议在sRMAC-I的计算中包括UL数据,作为对UL数据进行完整性保护的一种方法。然而,当UE恢复到另一eNB时,sRMAC-I的验证需要经由X2接口传送实际数据。考虑到X2信令开销以及X2消息的可变大小,这样做效率不高。另外,仍需要解决当在不同场景中构建Msg3时,如何处理在sRMAC-I的计算中包含数据的问题。
发明内容
为了解决现有解决方案的前述问题,公开了以下方法、用户设备(UE)和网络节点:增强RRC消息(例如,Msg3)中的早期上行链路数据的数据传输安全性,以支持以关于传统LTE操作的适当安全级别将在目标网络节点处在Msg3中接收的UL用户数据立即向网关转发。本公开实现一种解决方案,通过在Msg3中包括表示上行链路数据的固定大小的散列值来最小化在源网络节点与目标网络节点之间的UE上下文获取中引起的信令开销。
在本公开中阐述了若干实施例。根据用于在用户设备处改善数据传输安全性的方法的第一实施例,所述方法包括:从第一网络节点接收连接释放消息,所述连接释放消息包括当前完整性密钥和用于计算要包括在连接请求消息中的数据的散列值的指示。所述方法还包括:在用户设备处,基于所述连接释放消息中包括的所述指示来计算所述散列值。所述方法还包括:在所述用户设备处,基于所述散列值和完整性密钥来计算令牌。所述方法还包括:向第二网络节点发送包括所述令牌的所述连接请求消息。
在一个实施例中,用于计算所述令牌的所述完整性密钥是从所述当前完整性密钥导出的新的完整性密钥。在另一实施例中,用于计算所述令牌的所述完整性密钥是所述当前完整性密钥,所述当前完整性密钥被用在与所述第一网络节点的先前连接中。
在一个实施例中,所述方法还包括:从所述第二网络节点接收用于计算所述散列值的指示。
在一个实施例中,所述散列值是由无线电资源控制(RRC)层计算的,并且所述数据由较低层提供给所述RRC层。在另一实施例中,所述散列值由较低层计算并提供给RRC层。
根据用于在网络节点处改善数据传输安全性的方法的第二实施例,所述方法包括:在用户设备被第二网络节点从先前连接释放之后,从第一网络节点向所述用户设备发送前导码消息。所述方法还包括:在所述第一网络节点处,从用户设备接收包括令牌的连接请求消息,所述令牌是基于散列值和完整性密钥计算的,其中,所述散列值表示包括在所述连接请求消息中的数据。所述方法还包括:在所述第一网络节点处,通过计算所述散列值来验证包括在所述连接请求消息中的所述令牌。所述方法还包括:响应于验证所述令牌,从所述第一网络节点向网关转发所述数据。
在一个实施例中,所述完整性密钥是在所述用户设备处导出的新的完整性密钥。在另一个实施例中,所述完整性密钥是当前完整性密钥,所述当前完整性密钥被用在与所述第二网络节点的先前连接中。
在一个实施例中,验证令牌包括:在所述第一网络节点处,确定所述令牌使用所述当前完整性密钥;向所述第二网络节点转发所述令牌以验证所述令牌;在所述第一网络节点处,接收经验证的令牌。在另一实施例中,验证令牌包括:在所述第一网络节点处确定,所述散列值是在所述数据被加密之前计算的;向所述第二网络节点转发经加密的数据以进行解密;在所述第一网络节点处,从所述第二网络节点接收经解密的数据;以及在所述第一网络节点处,利用经解密的数据来验证所述令牌。在又一实施例中,验证令牌包括:在所述第一网络节点处,确定所述散列值是在所述数据被加密之后计算的;向所述第二网络节点转发所述散列值以用于验证所述令牌;以及在所述第一网络节点处,从所述第二网络节点接收经验证的令牌。
在一个实施例中,所述散列值是由无线电资源控制(RRC)层计算的,并且所述数据由较低层提供给所述RRC层。在另一实施例中,所述散列值由较低层计算并提供给RRC层。
根据另一实施例,一种用于改善数据传输安全性的用户设备包括:至少一个处理电路,以及存储处理器可执行指令的至少一个存储装置,所述处理器可执行指令在由所述处理电路执行时,使用户设备:从第一网络节点接收连接释放消息,所述连接释放消息包括当前完整性密钥和用于计算要包括在连接请求消息中的数据的散列值的指示;基于所述连接释放消息中包括的所述指示来计算所述散列值;基于所述散列值来计算令牌;以及向第二网络节点发送包括所述令牌的所述连接请求消息。
根据又一实施例,一种用于改善数据传输安全性的网络节点包括:至少一个处理电路,以及存储处理器可执行指令的至少一个存储装置,所述处理器可执行指令在由所述处理电路执行时,使网络节点:在用户设备被第二网络节点从先前连接释放之后,向所述用户设备发送前导码消息;从用户设备接收包括令牌的连接请求消息,所述令牌是基于散列值和完整性密钥计算的,其中,所述散列值表示包括在所述连接请求消息中的数据;通过计算所述散列值来验证包括在所述连接请求消息中的所述令牌;以及响应于验证所述令牌,向网关转发所述数据。
本公开的某些方面及其实施例可以提供针对这些挑战或其他挑战的解决方案。本文提出了解决本文公开的一个或多个问题的各种实施例。
某些实施例可以提供以下技术优点中的一个或多个。本公开中公开的方法可以提供一种通过将表示上行链路数据的散列值包括在针对Msg3的令牌的计算中,来改善Msg3中的上行链路数据的安全性的安全高效的方式。此外,利用固定大小的散列值来表示Msg3中包括的上行链路可以最小化用于在源网络节点与目标网络节点之间获取UE上下文的信令开销。
增强RRC消息的安全性的本实施例可以关于LTE和NB-IoT来描述,但是也可以应用于其他系统和/或技术,例如5G/NR。
根据下面的详细描述和附图,各种其它特征和优点对于本领域的普通技术人员将变得显而易见。某些实施例可以没有所述优点、或具有所述优点中的一些或全部。
附图说明
并入本说明书中并且形成其一部分的附图示出了本公开的若干方面,并且与描述一起用于解释本公开的原理。
图1示出了示例基于竞争的随机接入过程;
图2示出了根据某些实施例的示例无线网络;
图3示出了根据某些实施例的在令牌计算中包括上行链路数据的散列码的示例随机接入过程;
图4示出了根据某些实施例的示例用户设备;
图5示出了根据某些实施例的示例虚拟化环境;
图6示出了根据某些实施例的经由中间网络连接到主机计算机的示例电信网络;
图7示出了根据某些实施例的通过部分无线连接经由基站与用户设备通信的示例主机计算机;
图8示出了根据某些实施例的在包括主机计算机、基站和用户设备的通信系统中实现的示例方法;
图9示出了根据某些实施例的在包括主机、基站和用户设备的通信系统中实现的另一示例方法;
图10示出了根据某些实施例的在包括主机、基站和用户设备的通信系统中实现的又一示例方法;
图11示出了根据某些实施例的在包括主机计算机、基站和用户设备的通信系统中实现的又一示例方法;
图12示出了根据某些实施例的示例方法的流程图;
图13示出了根据某些实施例的另一示例方法的流程图;
图14示出了根据某些实施例的示例用户设备的框图;以及
图15示出了根据某些实施例的示例网络节点的框图。
具体实施方式
在3GPP无线电接入网络中,当用户设备在随机接入过程中被源网络节点释放并尝试连接到另一网络节点时,重放攻击或中间人攻击可能会修改Msg3中的上行链路数据,因为上行链路数据未受到完整性保护。本公开的特定实施例提出一种方法,其将要在恢复请求消息(例如,Msg3)中的上行链路数据的散列码输入到RRC连接恢复请求中的令牌(例如,sRMAC-I)的计算,使得上行链路数据在被加密之外还受完整性保护,从而允许eNB检测到可能的MiM攻击以避免将坏数据转发给诸如S-GW的网关。本公开的特定实施例还提出一种计算散列值以表示上行链路的方法,使得散列值可以减少信令开销,因为散列值是固定的有限大小。
详细地,特定实施例中的散列值有助于最小化为了验证sRMAC-I在目标eNB和源eNB之间的UE上下文获取中引入的X2信令开销。散列值的固定大小还使得经由X2接口的RRC消息的大小是确定的,而非可变的(如果使用实际数据的话)。此外,对上行链路数据进行散列还改善了所发送数据的完整性。例如,在采用早期数据传输概念时,本公开中的特定实施例可以为Msg3中的上行链路数据提供适当级别的保护。特定实施例使目标eNB能够立即将在Msg3中接收的上行链路数据转发给S-GW。鉴于传统Msg3中要包括的上行链路数据具有可变大小,特别是在针对Msg3的UL许可不确定的情况下,特定实施例对网络的性能有益。另外,所提出的解决方案确保了后向兼容性。
现在将参考附图更全面地描述本文中设想的一些实施例。然而,其他实施例包含在本文公开的主题的范围内,所公开的主题不应被解释为仅限于本文阐述的实施例;相反,这些实施例以示例的方式被提供,以将本主题的范围传达给本领域技术人员。
图2是根据某些实施例的示例无线网络。虽然本文所述的主题可以使用任何合适的组件在任何适合类型的系统中实现,但是本文公开的实施例是关于无线网络(例如,图2中所示的示例无线网络)描述的。为简单起见,图2的无线网络仅描绘了网络206、网络节点260和260b、以及无线设备(WD)210、210b和210c。实际上,无线网络还可以包括适于支持无线设备之间或无线设备与另一通信设备(例如,陆线电话、服务提供商或任何其他网络节点或终端设备)之间的通信的任何附加元件。在所示组件中,以附加细节描绘网络节点260和无线设备(WD)210。在某些实施例中,网络节点260可以是图3中描述的源eNB或目标eNB。在某些实施例中,网络节点可以是在图15中进一步描绘的网络节点。在一些实施例中,网络节点260可以是诸如gNB的基站。在某些实施例中,无线设备210可以是在图14中进一步示出的用户设备。无线网络可以向一个或多个无线设备提供通信和其他类型的服务,以便于无线设备接入和/或使用由无线网络提供或经由无线网络提供的服务。
无线网络可以包括任何类型的通信、电信、数据、蜂窝和/或无线电网络或其他类似类型的系统,和/或与任何类型的通信、电信、数据、蜂窝和/或无线电网络或其他类似类型的系统接口连接。在一些实施例中,无线网络可以被配置为根据特定标准或其他类型的预定义规则或过程来操作。因此,无线通信网络的特定实施例可以实现诸如全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)和/或其他合适的2G、3G、4G或5G标准之类的通信标准;诸如IEEE 802.11标准之类的无线局域网(WLAN)标准;和/或诸如全球微波接入互操作性(WiMax)、蓝牙、Z-Wave和/或ZigBee标准之类的任何其他适合的无线通信标准。
网络206可以包括一个或多个回程网络、核心网络、IP网络、公共交换电话网络(PSTN)、分组数据网络、光网络、广域网(WAN)、局域网(LAN)、无线局域网(WLAN)、有线网络、无线网络、城域网和其他网络,以实现设备之间的通信。
网络节点260和WD 210包括下面更详细描述的各种组件。这些组件一起工作以提供网络节点和/或无线设备功能,例如在无线网络中提供无线连接。在不同的实施例中,无线网络可以包括任何数量的有线或无线网络、网络节点、基站、控制器、无线设备、中继站和/或可以促进或参与数据和/或信号的通信(无论是经由有线连接还是经由无线连接)的任何其他组件或系统。
如本文所使用的,网络节点指的是能够、被配置、被布置和/或可操作以直接或间接地与无线设备和/或与无线网络中的其他网络节点或设备通信,以实现和/或提供向无线设备的无线接入和/或执行无线网络中的其他功能(例如,管理)的设备。网络节点的示例包括但不限于接入点(AP)(例如,无线电接入点)、基站(BS)(例如,无线电基站、节点B(NodeB)、演进NodeB(eNB)和NR NodeB(gNB))。基站可以基于它们提供的覆盖的量(或者换言之,基于它们的发射功率水平)来分类,于是它们还可以被称为毫微微基站、微微基站、微基站或宏基站。基站可以是中继节点或控制中继的中继宿主节点。网络节点还可以包括分布式无线电基站的一个或多个(或所有)部分,例如集中式数字单元和/或远程无线电单元(RRU)(有时被称为远程无线电头端(RRH))。这种远程无线电单元可以与或可以不与天线集成为天线集成无线电。分布式无线电基站的部分也可以称为分布式天线系统(DAS)中的节点。网络节点的又一些示例包括多标准无线电(MSR)设备(如MSR BS)、网络控制器(如无线电网络控制器(RNC)或基站控制器(BSC))、基站收发机站(BTS)、传输点、传输节点、多小区/多播协调实体(MCE)、核心网络节点(例如,MSC、MME)、O&M节点、OSS节点、SON节点、定位节点(例如,E-SMLC)和/或MDT。作为另一示例,网络节点可以是虚拟网络节点,如下面更详细描述的。然而,更一般地,网络节点可以表示如下的任何合适的设备(或设备组):该设备(或设备组)能够、被配置、被布置和/或可操作以实现和/或向无线设备提供对无线网络的接入,或向已接入无线网络的无线设备提供某种服务。
在图2中,网络节点260包括处理电路270、设备可读介质280、接口290、辅助设备234、电源286、电源电路287和天线262。尽管图2的示例无线网络中示出的网络节点260可以表示包括所示硬件组件的组合的设备,但是其他实施例可以包括具有不同组件组合的网络节点。应当理解,网络节点包括执行本文公开的任务、特征、功能和方法所需的硬件和/或软件的任何适合组合。此外,虽然网络节点260的组件被描绘为位于较大框内或嵌套在多个框内的单个框,但实际上,网络节点可包括构成单个图示组件的多个不同物理组件(例如,设备可读介质280可以包括多个单独的硬盘驱动器以及多个RAM模块)。
类似地,网络节点260可以由多个物理上分离的组件(例如,NodeB组件和RNC组件、或BTS组件和BSC组件等)组成,每个这些组件可以具有其各自的相应组件。在网络节点260包括多个分离的组件(例如,BTS和BSC组件)的某些场景中,可以在若干网络节点之间共享这些分离的组件中的一个或多个。例如,单个RNC可以控制多个NodeB。在这种场景中,每个唯一的NodeB和RNC对在一些实例中可以被认为是单个单独的网络节点。在一些实施例中,网络节点260可被配置为支持多种无线电接入技术(RAT)。在这种实施例中,一些组件可被复制(例如,用于不同RAT的单独的设备可读介质280),并且一些组件可被重用(例如,可以由RAT共享相同的天线262)。网络节点260还可以包括用于集成到网络节点260中的不同无线技术(例如,GSM、WCDMA、LTE、NR、WiFi或蓝牙无线技术)的多组各种所示组件。这些无线技术可以被集成到网络节点260内的相同或不同芯片或芯片组和其他组件中。
处理电路270被配置为执行本文描述为由网络节点提供的任何确定、计算或类似操作(例如,某些获得操作)。由处理电路270执行的这些操作可以包括通过以下操作对由处理电路270获得的信息进行处理:例如,将获得的信息转换为其他信息,将获得的信息或转换后的信息与存储在网络节点中的信息进行比较,和/或基于获得的信息或转换后的信息执行一个或多个操作,并根据所述处理的结果做出确定。在特定实施例中,网络节点260的处理电路270可以执行方法,其在图13中进一步示出。
处理电路270可以包括下述中的一个或多个的组合:微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列、或者任何其它合适的计算设备、资源、或硬件、软件和/或编码逻辑的组合,其可操作为单独地或与其他网络节点260组件(例如,设备可读介质280)相结合来提供网络节点260功能。例如,处理电路270可以执行存储在设备可读介质280中或存储在处理电路270内的存储器中的指令。这样的功能可以包括提供本文讨论的各种无线特征、功能或益处中的任何一个。在一些实施例中,处理电路270可以包括片上系统(SOC)。
在一些实施例中,处理电路270可以包括射频(RF)收发机电路272和基带处理电路274中的一个或多个。在一些实施例中,射频(RF)收发机电路272和基带处理电路274可以位于单独的芯片(或芯片组)、板或单元(例如无线电单元和数字单元)上。在备选实施例中,RF收发机电路272和基带处理电路274的部分或全部可以在同一芯片或芯片组、板或单元上。
在某些实施例中,本文描述为由网络节点、基站、eNB或其他这样的网络设备提供的一些或所有功能可由处理电路270执行,处理电路270执行存储在设备可读介质280或处理电路270内的存储器上的指令。在备选实施例中,功能中的一些或全部可以例如以硬连线方式由处理电路270提供,而无需执行存储在单独的或分立的设备可读介质上的指令。在任何这些实施例中,无论是否执行存储在设备可读存储介质上的指令,处理电路270都可以被配置为执行所描述的功能。由这种功能提供的益处不仅限于处理电路270或不仅限于网络节点260的其他组件,而是作为整体由网络节点260和/或总体上由终端用户和无线网络享有。
设备可读介质280可以包括任何形式的易失性或非易失性计算机可读存储器,包括但不限于永久存储设备、固态存储器、远程安装存储器、磁介质、光学介质、随机存取存储器(RAM)、只读存储器(ROM)、大容量存储介质(例如,硬盘)、可移除存储介质(例如,闪存驱动器、致密盘(CD)或数字视频盘(DVD))和/或任何其他易失性或非易失性、非暂时性设备可读和/或计算机可执行存储器设备,其存储可由处理电路270使用的信息、数据和/或指令。设备可读介质280可以存储任何合适的指令、数据或信息,包括计算机程序、软件、包括逻辑、规则、代码、表等中的一个或多个的应用、和/或能够由处理电路270执行并由网络节点260使用的其他指令。设备可读介质280可以用于存储由处理电路270做出的任何计算和/或经由接口290接收的任何数据。在一些实施例中,可以认为处理电路270和设备可读介质280是集成的。
接口290用于网络节点260、网络206和/或WD 210之间的信令和/或数据的有线或无线通信。如图所示,接口290包括端口/端子294,用于例如通过有线连接向网络206发送数据和从网络206接收数据。接口290还包括无线电前端电路292,其可以耦合到天线262,或者在某些实施例中是天线262的一部分。无线电前端电路292包括滤波器298和放大器296。无线电前端电路292可以连接到天线262和处理电路270。无线电前端电路可以被配置为调节天线262和处理电路270之间通信的信号。无线电前端电路292可以接收数字数据,该数字数据将通过无线连接向外发送给其他网络节点或WD。无线电前端电路292可以使用滤波器298和/或放大器296的组合将数字数据转换为具有适合信道和带宽参数的无线电信号。然后可以通过天线262发送无线电信号。类似地,当接收数据时,天线262可以收集无线电信号,然后由无线电前端电路292将其转换为数字数据。数字数据可以被传递给处理电路270。在其他实施例中,接口可包括不同组件和/或组件的不同组合。
在某些备选实施例中,网络节点260可以不包括单独的无线电前端电路292,作为替代,处理电路270可以包括无线电前端电路并且可以连接到天线262,而无需单独的无线电前端电路292。类似地,在一些实施例中,RF收发机电路272的全部或一些可以被认为是接口290的一部分。在其他实施例中,接口290可以包括一个或多个端口或端子294、无线电前端电路292和RF收发机电路272(作为无线电单元(未示出)的一部分),并且接口290可以与基带处理电路274(是数字单元(未示出)的一部分)通信。
天线262可以包括被配置为发送和/或接收无线信号的一个或多个天线或天线阵列。天线262可以耦合到无线电前端电路292,并且可以是能够无线地发送和接收数据和/或信号的任何类型的天线。在一些实施例中,天线262可以包括一个或多个全向、扇形或面板天线,其可操作用于发送/接收在例如2GHz和66GHz之间的无线电信号。全向天线可以用于在任何方向上发送/接收无线电信号,扇形天线可以用于向/从在特定区域内的设备发送/接收无线电信号,以及平板天线可以是用于以相对直线的方式发送/接收无线电信号的视线天线。在一些情况下,使用多于一个天线可以称为MIMO。在某些实施例中,天线262可以与网络节点260分离,并且可以通过接口或端口连接到网络节点260。
天线262、接口290和/或处理电路270可以被配置为执行本文描述为由网络节点执行的任何接收操作和/或某些获得操作。可以从无线设备、另一网络节点和/或任何其他网络设备接收任何信息、数据和/或信号。类似地,天线262、接口290和/或处理电路270可以被配置为执行本文描述的由网络节点执行的任何发送操作。可以将任何信息、数据和/或信号发送给无线设备、另一网络节点和/或任何其他网络设备。
电源电路287可以包括电源管理电路或耦合到电源管理电路,并且被配置为向网络节点260的组件提供电力以执行本文描述的功能。电源电路287可以从电源286接收电力。电源286和/或电源电路287可以被配置为以适合于各个组件的形式(例如,在每个相应组件所需的电压和电流水平处)向网络节点260的各种组件提供电力。电源286可以被包括在电源电路287和/或网络节点260中或在电源电路287和/或网络节点260外部。例如,网络节点260可以经由输入电路或诸如电缆的接口连接到外部电源(例如,电源插座),由此外部电源向电源电路287供电。作为另一个示例,电源286可以包括电池或电池组形式的电源,其连接到或集成在电源电路287中。如果外部电源发生故障,电池可以提供备用电力。也可以使用其他类型的电源,例如光伏器件。
网络节点260的备选实施例可以包括超出图2中所示的组件的附加组件,所述附加组件可以负责提供网络节点的功能(包括本文描述的功能中的任一者和/或支持本文描述的主题所需的任何功能)的某些方面。例如,网络节点260可以包括用户接口设备,以允许将信息输入到网络节点260中并允许从网络节点260输出信息。这可以允许用户针对网络节点260执行诊断、维护、修复和其他管理功能。
如本文所使用的,无线设备(WD)指的是能够、被配置为、被布置为和/或可操作以与网络节点和/或其他无线设备无线通信的设备。除非另有说明,否则术语WD在本文中可与用户设备(UE)互换使用。在某些实施例中,无线设备210可以是在图14中进一步描绘的用户设备。无线通信可以包括使用电磁波、无线电波、红外波和/或适于通过空气传送信息的其他类型的信号来发送和/或接收无线信号。在一些实施例中,WD可以被配置为在没有直接人类交互的情况下发送和/或接收信息。例如,WD可以被设计为当由内部或外部事件触发时,或者响应于来自网络的请求,以预定的调度向网络发送信息。WD的示例包括但不限于智能电话、移动电话、蜂窝电话、IP语音(VoIP)电话、无线本地环路电话、台式计算机、个人数字助理(PDA)、无线摄像头、游戏控制台或设备、音乐存储设备、回放设备、可穿戴终端设备、无线端点、移动台、平板计算机、便携式计算机、便携式嵌入式设备(LEE)、便携式安装设备(LME)、智能设备、无线客户驻地设备(CPE)、车载无线终端设备等。WD可以例如通过实现用于副链路通信的3GPP标准来支持设备到设备(D2D)通信、车辆到车辆(V2V)通信,车辆到基础设施(V2I)通信,车辆到任何事物(V2X)通信,并且在这种情况下可以被称为D2D通信设备。作为又一特定示例,在物联网(IoT)场景中,WD可以表示执行监视和/或测量并将这种监测和/或测量的结果发送给另一WD和/或网络节点的机器或其他设备。在这种情况下,WD可以是机器到机器(M2M)设备,在3GPP上下文中它可以被称为MTC设备。作为一个具体示例,WD可以是实现3GPP窄带物联网(NB-IoT)标准的UE。这种机器或设备的具体示例是传感器、计量设备(例如,电表)、工业机器、或者家用或个人设备(例如,冰箱、电视等)、个人可穿戴设备(例如,手表、健身追踪器等)。在其他场景中,WD可以表示能够监视和/或报告其操作状态或与其操作相关联的其他功能的车辆或其他设备。如上所述的WD可以表示无线连接的端点,在这种情况下,该设备可以被称为无线终端。此外,如上所述的WD可以是移动的,在这种情况下,它也可以称为移动设备或移动终端。
如图所示,无线设备210包括天线211、接口214、处理电路220、设备可读介质230、用户接口设备232、辅助设备234、电源236和电源电路237。WD 210可以包括用于WD 210支持的不同无线技术(例如,GSM、WCDMA、LTE、NR、WiFi、WiMAX或蓝牙无线技术,仅提及一些)的多组一个或多个所示组件。这些无线技术可以集成到与WD 210内的其他组件相同或不同的芯片或芯片组中。
天线211可以包括被配置为发送和/或接收无线信号的一个或多个天线或天线阵列,并且连接到接口214。在某些备选实施例中,天线211可以与WD 210分开并且可以通过接口或端口连接到WD 210。天线211、接口214和/或处理电路220可以被配置为执行本文描述为由WD执行的任何接收或发送操作。可以从网络节点和/或另一个WD接收任何信息、数据和/或信号。在一些实施例中,无线电前端电路和/或天线211可以被认为是接口。
如图所示,接口214包括无线电前端电路212和天线211。无线电前端电路212包括一个或多个滤波器218和放大器216。无线电前端电路212连接到天线211和处理电路220,并且被配置为调节在天线211和处理电路220之间传送的信号。无线电前端电路212可以耦合到天线211或者是天线211的一部分。在某些备选实施例中,WD 210可以不包括单独的无线电前端电路212;而是,处理电路220可以包括无线电前端电路,并且可以连接到天线211。类似地,在一些实施例中,RF收发机电路222中的一些或全部可以被认为是接口214的一部分。无线电前端电路212可以接收数字数据,该数字数据将通过无线连接向外发送给其他网络节点或WD。无线电前端电路212可以使用滤波器218和/或放大器216的组合将数字数据转换为具有适合信道和带宽参数的无线电信号。然后可以通过天线211发送无线电信号。类似地,当接收数据时,天线211可以收集无线电信号,然后由无线电前端电路212将其转换为数字数据。数字数据可以被传递给处理电路220。在其他实施例中,接口可包括不同组件和/或组件的不同组合。
处理器电路220可以包括下述中的一个或多个的组合:微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列、或者任何其它合适的计算设备、资源、或硬件、软件和/或编码逻辑的组合,其可操作为单独地或与其他WD 210组件(例如设备可读介质230)相结合来提供WD 210功能。这样的功能可以包括提供本文讨论的各种无线特征或益处中的任何一个。例如,处理电路220可以执行存储在设备可读介质230中或处理电路220内的存储器中的指令,以提供本文公开的功能。在特定实施例中,无线设备210的处理电路220可以执行在图12中进一步示出的方法。
如图所示,处理电路220包括RF收发机电路222、基带处理电路224和应用处理电路226中的一个或多个。在其他实施例中,处理电路可以包括不同的组件和/或组件的不同组合。在某些实施例中,WD 210的处理电路220可以包括SOC。在一些实施例中,RF收发机电路222、基带处理电路224和应用处理电路226可以在单独的芯片或芯片组上。在备选实施例中,基带处理电路224和应用处理电路226的一部分或全部可以组合成一个芯片或芯片组,并且RF收发机电路222可以在单独的芯片或芯片组上。在另外的备选实施例中,RF收发机电路222和基带处理电路224的一部分或全部可以在同一芯片或芯片组上,并且应用处理电路226可以在单独的芯片或芯片组上。在其他备选实施例中,RF收发机电路222、基带处理电路224和应用处理电路226的一部分或全部可以组合在同一芯片或芯片组中。在一些实施例中,RF收发机电路222可以是接口214的一部分。RF收发机电路222可以调节RF信号以用于处理电路220。
在某些实施例中,本文描述为由WD执行的一些或所有功能可以由处理电路220提供,处理电路220执行存储在设备可读介质230上的指令,在某些实施例中,设备可读介质230可以是计算机可读存储介质。在备选实施例中,功能中的一些或全部可以例如以硬连线方式由处理电路220提供,而无需执行存储在单独的或分立的设备可读存储介质上的指令。在任何这些特定实施例中,无论是否执行存储在设备可读存储介质上的指令,处理电路220都可以被配置为执行所描述的功能。由这种功能提供的益处不仅限于处理电路220或者不仅限于WD 210的其他组件,而是作为整体由WD 210和/或总体上由终端用户和无线网络享有。
处理电路220可以被配置为执行本文描述为由WD执行的任何确定、计算或类似操作(例如,某些获得操作)。由处理电路220执行的这些操作可以包括通过以下操作对由处理电路220获得的信息进行处理:例如,将获得的信息转换为其他信息,将获得的信息或转换后的信息与由WD 210存储的信息进行比较,和/或基于获得的信息或转换后的信息执行一个或多个操作,并根据所述处理的结果做出确定。
设备可读介质230可操作以存储计算机程序、软件、包括逻辑、规则、代码、表等中的一个或多个的应用、和/或能够由处理电路220执行的其他指令。设备可读介质230可以包括计算机存储器(例如,随机存取存储器(RAM)或只读存储器(ROM))、大容量存储介质(例如,硬盘)、可移除存储介质(例如,致密盘(CD)或数字视频盘(DVD))、和/或任何其他易失性或非易失性、非暂时性设备可读和/或计算机可执行存储器设备,其存储可由处理电路220使用的信息、数据和/或指令。在一些实施例中,可以认为处理电路220和设备可读介质230是集成的。
用户接口设备232可以提供允许人类用户与WD 210交互的组件。这种交互可以具有多种形式,例如视觉、听觉、触觉等。用户接口设备232可操作以向用户产生输出,并允许用户向WD 210提供输入。交互的类型可以根据安装在WD 210中的用户接口设备232的类型而变化。例如,如果WD 210是智能电话,则交互可以经由触摸屏进行;如果WD 210是智能仪表,则交互可以通过提供用量的屏幕(例如,使用的加仑数)或提供可听警报的扬声器(例如,如果检测到烟雾)进行。用户接口设备232可以包括输入接口、设备和电路、以及输出接口、设备和电路。用户接口设备232被配置为允许将信息输入到WD 210中,并且连接到处理电路220以允许处理电路220处理输入信息。用户接口设备232可以包括例如麦克风、接近或其他传感器、按键/按钮、触摸显示器、一个或多个相机、USB端口或其他输入电路。用户接口设备232还被配置为允许从WD 210输出信息,并允许处理电路220从WD 210输出信息。用户接口设备232可以包括例如扬声器、显示器、振动电路、USB端口、耳机接口或其他输出电路。通过使用用户接口设备232的一个或多个输入和输出接口、设备和电路,WD 210可以与终端用户和/或无线网络通信,并允许它们受益于本文描述的功能。
辅助设备234可操作以提供可能通常不由WD执行的更具体的功能。这可以包括用于针对各种目的进行测量的专用传感器,用于诸如有线通信等之类的其他类型通信的接口等。辅助设备234的组件的包括和类型可以根据实施例和/或场景而变化。
在一些实施例中,电源236可以是电池或电池组的形式。也可以使用其他类型的电源,例如外部电源(例如电源插座)、光伏器件或电池单元。WD 210还可以包括用于从电源236向WD 210的各个部分输送电力的电源电路237,WD 210的各个部分需要来自电源236的电力以执行本文描述或指示的任何功能。在某些实施例中,电源电路237可以包括电源管理电路。电源电路237可以附加地或备选地可操作以从外部电源接收电力;在这种情况下,WD210可以通过输入电路或诸如电力线缆的接口连接到外部电源(例如电源插座)。在某些实施例中,电源电路237还可操作以将电力从外部电源输送到电源236。例如,这可以用于电源236的充电。电源电路237可以对来自电源236的电力执行任何格式化、转换或其他修改,以使电力适合于被供电的WD 210的各个组件。
图3示出了根据某些实施例的在令牌计算中包括上行链路数据的散列码的示例随机接入过程。在一些实施例中,RRC连接恢复请求(RRCConnectionResumeRequest)中的sRMAC-I的计算基于要在Msg3中与RRC连接恢复请求进行MAC复用的上行链路数据的散列码。在一些实施例中,散列码可以被称为散列值、摘要(digest)或散列。在一些实施例中,散列码也可以应用于任何其他合适的令牌,例如RMAC-I。计算sRMAC-I的方式是使上行链路数据受完整性保护,以允许eNB检测到Msg3中数据部分的可能修改,使得可以立即完成将Msg3中接收的上行链路数据从eNB向S-GW的转发。
在一个实施例中,可以进行将上行链路数据的散列码包括在sRMAC计算中,而不管在何处(即,在源eNB或目标eNB处)执行sRMAC-I的验证。
在一个实施例中,可以使用用于sRMAC-I计算的新的完整性密钥来进行将上行链路数据的散列码包括在sRMAC计算中。在另一实施例中,可以使用当前完整性密钥,即先前连接中使用的当前完整性密钥,来进行将上行链路数据的散列码包括在sRMAC计算中。如果使用当前完整性密钥,则可能需要在源eNB处进行sRMAC-I的验证,因为旧密钥在目标eNB中可能不可用。
在一个实施例中,启用散列功能(例如,产生的散列算法或函数)的细节可以由eNB决定,并经由UE特定信令通知给UE。在一些实施例中,细节可以包括散列码和散列码的长度,例如16比特。
在一个实施例中,可以在对上行链路数据进行加密之前(即,在明文数据上)计算散列码。为了验证sRMAC-I,然后在计算散列码之前对用户数据进行解密。当接收Msg3的目标eNB还不具有加密密钥时,目标eNB不能立即计算散列码,因为它无法对数据进行解密。然后,如果源eNB不知道的话,它需要将经加密的上行链路数据与散列码的详细信息(例如,散列函数)一起传送给源eNB,以计算散列码。在散列码已经被解密之后,可以验证sRMAC-I。在一些实施例中,上行链路数据可以包括用户数据。
在另一实施例中,可以在对上行链路数据进行加密之后计算散列码。在这种情况下,当目标eNB接收到Msg3时,它可以计算散列码,而无需加密密钥对数据进行解密。如果将在源eNB处进行对sRMAC-I的验证,则目标eNB然后仅将固定大小的散列码传送给源eNB以进行sRMAC-I的验证。因此,不需要将整个数据或散列函数的细节信息传送给源eNB。
在一些实施例中,关于sRMAC-I的计算和验证,在构建RRC消息的过程中需要RRC层和较低层之间的层间交互。这是因为RRC子层计算参数,而上行链路数据在该RRC子层处不可用。在一个实施例中,散列码可以由RRC层计算,在这种情况下,较低层(例如,PDCP、无线电链路控制(RLC)或MAC)向RRC层提供未加密或加密的数据以用于计算要包括在sRMAC-I中的散列码。未加密或加密的数据可以在RRC的请求时由较低层提供。在另一实施例中,散列码可以由较低层(例如,PDCP、RLC或MAC)计算并提供给RRC层以用于sRMAC-I的计算。散列码可以在RRC的请求时由较低层提供。
在随后的Msg3传输的情况下,即尝试发送Msg3缓冲区的内容,如果需要重建Msg3中的DTCH服务数据单元(SDU)部分,则还需要重新计算sRMAC-I。在一个实施例中,每当需要数据部分的相应改变时,RRC层基于新的DTCH SDU来重新计算sRMAC-I以包括在Msg3中。在一个实施例中,RRC将具有经重新计算的sRMAC-I的新的或经更新的RRC协议数据单元(PDU)提供给较低层。在另一实施例中,RRC将经重新计算的sRMAC-I提供给较低层,例如提供给MAC层,其在PDU(例如,MAC PDU)中的相关位置处插入新值并替换旧的sRMAC-I,仅更新消息的相关比特和/或部分。在另一实施例中,MAC层可以重新计算sRMAC-I并将新值插入其在Msg3 MAC PDU中的相应位置,即,仅更新消息的相关比特和/或部分。
在一些实施例中,散列码可以是数据单元和与数据单元或该数据单元相关联的信息中的一个或多个的函数。例如,H=函数(数据)或H=函数(数据,信息)。在一个实施例中,可以将与数据单元相关联的信息与散列码一起传递作为对sRMAC-1的计算的输入,而不是输入散列函数中。与数据单元相关联的信息或该数据单元可以包括控制信息,诸如MAC子报头、逻辑信道标识符、无线电承载标识符和数据单元的长度。
在一些实施例中,在其上计算散列码的数据单元,例如RLC PDU或MAC SDU,包括可用于传输的上行链路数据的一部分或用户数据分组的一部分,例如PDCP SDU或PDCP PDU或RLC SDU或IP分组。
以下在TS 33.401[TS33.401]的附录I.2中描述了示例散列函数[HashFunction]。关于移动性管理实体(MME)和UE处的散列函数,HASHMME和HASHUE,当MME和UE可以分别导出HASHMME和HASHUE时,使用以下参数作为在TS 33.220[8]中给出的KDF的输入,诸如S=未受保护的ATTACH请求(Unprotected ATTACH Request)或跟踪区域更新(TAU)请求消息,以及密钥=全为0的256比特字符串。请注意,将输入S封包到散列算法的顺序与将上行链路非接入层(NAS)消息封包到MME的顺序相同。还要注意,HASHMME或HASHUE是密钥导出函数(KDF)输出的256比特中的64个最不显著的比特。
图4示出了根据本文描述的各个方面的UE的一个实施例。如本文中所使用的,“用户设备”或“UE”可能不一定具有在拥有和/或操作相关设备的人类用户的意义上的“用户”。作为替代,UE可以表示意在向人类用户销售或由人类用户操作但可能不或最初可能不与特定的人类用户相关联的设备(例如,智能喷水控制器)。备选地,UE可以表示不意在向终端用户销售或由终端用户操作但可以与用户的利益相关联或针对用户的利益操作的设备(例如,智能电表)。UE 400可以是由第三代合作伙伴计划(3GPP)识别的任何UE,包括NB-IoTUE、MTC UE和/或增强型MTC(eMTC)UE。如图4所示,UE 400是根据第三代合作伙伴计划(3GPP)发布的一个或多个通信标准(例如3GPP的GSM、UMTS、LTE和/或5G标准)被配置用于通信的WD的一个示例。在某些实施例中,用户设备400可以是在图14中进一步描绘的用户设备。如前所述,术语WD和UE可以互换使用。因此,尽管图4是UE,但是本文讨论的组件同样适用于WD,反之亦然。
在图4中,UE 400包括处理器401,其可操作地耦合到输入/输出接口405、射频(RF)接口409、网络连接接口411、包括随机存取存储器(RAM)417、只读存储器(ROM)419和存储介质421等的存储器415、通信子系统431、电源413和/或任何其他组件,或其任意组合。存储介质421包括操作系统423、应用程序425和数据427。在其他实施例中,存储介质421可以包括其他类似类型的信息。某些UE可以使用图4中所示的所有组件,或者仅使用这些组件的子集。组件之间的集成水平可以从一个UE到另一个UE而变化。此外,某些UE可以包含组件的多个实例,例如多个处理器、存储器、收发机、发射机、接收机等。
在图4中,处理器401可以被配置为处理计算机指令和数据。处理器401可以被配置为实现任何顺序状态机,其可操作为执行存储为存储器中的机器可读计算机程序的机器指令,所述状态机例如是:一个或多个硬件实现的状态机(例如,以离散逻辑、FPGA、ASIC等来实现);可编程逻辑连同适当的固件;一个或多个存储的程序、通用处理器(例如,微处理器或数字信号处理器(DSP))连同适合的软件;或以上的任何组合。例如,处理器401可以包括两个中央处理单元(CPU)。数据可以是适合于由计算机使用的形式的信息。在某些实施例中,处理器401可以执行在图13中进一步示出的方法。
在所描绘的实施例中,输入/输出接口405可以被配置为向输入设备、输出设备或输入和输出设备提供通信接口。UE 400可以被配置为经由输入/输出接口405使用输出设备。输出设备可以使用与输入设备相同类型的接口端口。例如,USB端口可用于提供向UE400的输入和从UE 400的输出。输出设备可以是扬声器、声卡、视频卡、显示器、监视器、打印机、致动器、发射机、智能卡、另一输出设备或其任意组合。UE 400可以被配置为经由输入/输出接口405使用输入设备以允许用户将信息捕获到UE 400中。输入设备可以包括触摸敏感或存在敏感显示器、相机(例如,数字相机、数字摄像机、网络相机等)、麦克风、传感器、鼠标、轨迹球、方向板、触控板、滚轮、智能卡等。存在敏感显示器可以包括电容式或电阻式触摸传感器以感测来自用户的输入。传感器可以是例如加速度计、陀螺仪、倾斜传感器、力传感器、磁力计、光学传感器、接近传感器、另一类似传感器或其任意组合。例如,输入设备可以是加速度计、磁力计、数字相机、麦克风和光学传感器。
在图4中,RF接口409可以被配置为向诸如发射机、接收机和天线之类的RF组件提供通信接口。网络连接接口411可以被配置为提供向网络443a的通信接口。网络443a可以包括有线和/或无线网络,诸如局域网(LAN)、广域网(WAN)、计算机网络、无线网络、电信网络、另一类似网络或其任意组合。例如,网络443a可以包括Wi-Fi网络。网络连接接口411可以被配置为包括接收机和发射机接口,接收机和发射机接口用于根据一个或多个通信协议(例如,以太网、TCP/IP、SONET、ATM等)通过通信网络与一个或多个其他设备通信。网络连接接口411可以实现适合于通信网络链路(例如,光学的、电气的等)的接收机和发射机功能。发射机和接收机功能可以共享电路组件、软件或固件,或者备选地可以分离地实现。
RAM 417可以被配置为经由总线402与处理器401接口连接,以在诸如操作系统、应用程序和设备驱动之类的软件程序的执行期间提供数据或计算机指令的存储或高速缓存。ROM 419可以被配置为向处理器401提供计算机指令或数据。例如,ROM 419可以被配置为存储用于存储在非易失性存储器中的基本系统功能的不变低层系统代码或数据,基本系统功能例如基本输入和输出(I/O)、启动或来自键盘的击键的接收。存储介质421可以被配置为包括存储器,诸如RAM、ROM、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、磁盘、光盘、软盘、硬盘、可移除磁带盒或闪存驱动器。在一个示例中,存储介质421可以被配置为包括操作系统423、诸如web浏览器应用的应用程序425、小部件或小工具引擎或另一应用以及数据文件427。存储介质421可以存储供UE400使用的各种操作系统中的任何一种或操作系统的组合。
存储介质421可以被配置为包括多个物理驱动单元,如独立磁盘冗余阵列(RAID)、软盘驱动器、闪存、USB闪存驱动器、外部硬盘驱动器、拇指盘驱动器、笔式随身盘驱动器、钥匙盘驱动器、高密度数字多功能盘(HD-DVD)光盘驱动器、内置硬盘驱动器、蓝光光盘驱动器、全息数字数据存储(HDDS)光盘驱动器,外置迷你双列直插式存储器模块(DIMM),同步动态随机存取存储器(SDRAM),外部微DIMM SDRAM,诸如用户身份模块或可移除用户身份(SIM/RUIM)模块的智能卡存储器,其他存储器或其任意组合。存储介质421可以允许UE 400访问存储在暂时性或非暂时性存储器介质上的计算机可执行指令、应用程序等,以卸载数据或上载数据。诸如利用通信系统的制品之类的制品可以有形地体现在存储介质421中,存储介质421可以包括设备可读介质。
在图4中,处理器401可以被配置为使用通信子系统431与网络443b通信。网络443a和网络443b可以是一个或多个相同的网络或一个或多个不同的网络。通信子系统431可以被配置为包括用于与网络443b通信的一个或多个收发机。例如,通信子系统431可以被配置为包括用于根据一个或多个通信协议(例如IEEE 802.5、CDMA、WCDMA、GSM、LTE、UTRAN、WiMax等)与能够进行无线通信的另一设备(例如,另一WD、UE)或无线电接入网络(RAN)的基站的一个或多个远程收发机通信的一个或多个收发机。每个收发机可以包括发射机433和/或接收机435,以分别实现适合于RAN链路的发射机或接收机功能(例如,频率分配等)。此外,每个收发机的发射机433和接收机435可以共享电路组件、软件或固件,或者替代地可以分离地实现。
在所示实施例中,通信子系统431的通信功能可以包括数据通信、语音通信、多媒体通信、诸如蓝牙的短程通信、近场通信、基于位置的通信(诸如用于确定位置的全球定位系统(GPS)的使用)、另一个类似通信功能,或其任意组合。例如,通信子系统431可以包括蜂窝通信、Wi-Fi通信、蓝牙通信和GPS通信。网络443b可以包括有线和/或无线网络,诸如局域网(LAN)、广域网(WAN)、计算机网络、无线网络、电信网络、另一类似网络或其任意组合。例如,网络443b可以是蜂窝网络、Wi-Fi网络和/或近场网络。电源413可以被配置为向UE 400的组件提供交流(AC)或直流(DC)电力。
本文描述的特征、益处和/或功能可以在UE 400的组件之一中实现,或者在UE 400的多个组件之间划分。此外,本文描述的特征、益处和/或功能可以以硬件、软件或固件的任何组合来实现。在一个示例中,通信子系统431可以被配置为包括本文描述的任何组件。此外,处理器401可以被配置为通过总线402与任何这样的组件通信。在另一个示例中,任何这样的组件可以由存储在存储器中的程序指令表示,当由处理器401执行时,程序指令执行本文描述的对应功能。在另一示例中,任何这样的组件的功能可以在处理器401和通信子系统431之间划分。在另一示例中,任何这样的组件的非计算密集型功能可以用软件或固件实现,并且计算密集型功能可以用硬件实现。
图5示出了根据某些实施例的示例虚拟化环境。图5是示出虚拟化环境500的示意性框图,其中可以虚拟化由一些实施例实现的功能。在本上下文中,虚拟化意味着创建装置或设备的虚拟版本,这可以包括虚拟化硬件平台、存储设备和网络资源。如本文所使用的,虚拟化可以应用于节点(例如,虚拟化基站或虚拟化无线电接入节点)或设备(例如,UE、无线设备或任何其他类型的通信设备)或其组件,并且涉及一种实现,其中至少一部分功能被实现为一个或多个虚拟组件(例如,通过在一个或多个网络中的一个或多个物理处理节点上执行的一个或多个应用、组件、功能、虚拟机或容器)。
在一些实施例中,本文描述的一些或所有功能可以被实现为由在一个或多个硬件节点530托管的一个或多个虚拟环境500中实现的一个或多个虚拟机执行的虚拟组件。此外,在虚拟节点不是无线电接入节点或不需要无线电连接的实施例(例如,核心网络节点)中,网络节点此时可以完全虚拟化。
这些功能可以由一个或多个应用520(其可以替代地被称为软件实例、虚拟设备、网络功能、虚拟节点、虚拟网络功能等)来实现,一个或多个应用520可操作以实现本文公开的一些实施例的一些特征、功能和/或益处。应用520在虚拟化环境500中运行,虚拟化环境500提供包括处理电路560和存储器590的硬件节点530。存储器590包含可由处理电路560执行的指令595,由此应用520可操作以提供本文公开的一个或多个特征、益处和/或功能。
虚拟化环境500包括硬件节点530,其包括一组一个或多个处理器或处理电路560,其可以是商用现货(COTS)处理器、专用集成电路(ASIC)或包括数字或模拟硬件组件或专用处理器的任何其他类型的处理电路。每个硬件设备可以包括存储器590-1,其可以是用于临时存储由处理电路560执行的指令595或软件的非永久存储器。每个硬件设备可以包括一个或多个网络接口控制器(NIC)570,也被称为网络接口卡,其包括物理网络接口580。每个硬件设备还可以包括其中存储有可由处理电路560执行的指令595和/或指令的非暂时性、永久性机器可读存储介质590-2。指令595可以包括任何类型的软件,包括用于实例化一个或多个虚拟化层550的软件(也被称为管理程序)、用于执行虚拟机540的软件以及允许其执行与本文描述的一些实施例相关地描述的功能、特征和/或益处的软件。
虚拟机540包括虚拟处理、虚拟存储器、虚拟联网或接口和虚拟存储、并且可以由对应的虚拟化层550或管理程序运行。可以在虚拟机540中的一个或多个上实现虚拟设备520的实例的不同实施例,并且可以以不同方式做出所述实现。
在操作期间,处理电路560执行指令595以实例化管理程序或虚拟化层550,其有时可被称为虚拟机监视器(VMM)。虚拟化层550可以呈现虚拟操作平台,其在虚拟机540看来像是联网硬件。
如图5所示,硬件节点530可以是具有通用或特定组件的独立网络节点。硬件节点530可以包括天线5225并且可以通过虚拟化实现一些功能。备选地,硬件节点530可以是更大的硬件集群的一部分(例如,在数据中心或客户驻地设备(CPE)中),其中许多硬件节点一起工作并且通过管理和协调(MANO)5100来管理,MANO 5100监督应用520的生命周期管理等等。
在一些上下文中,硬件的虚拟化被称为网络功能虚拟化(NFV)。NFV可以用于将众多网络设备类型统一到可以位于数据中心和客户驻地设备中的工业标准高容量服务器硬件、物理交换机和物理存储上。
在NFV的上下文中,虚拟机540可以是物理机器的软件实现,其运行程序如同它们在物理的非虚拟化机器上执行一样。每个虚拟机540以及硬件节点530中执行该虚拟机的部分(其可以是专用于该虚拟机的硬件和/或由该虚拟机与虚拟机540中的其它虚拟机共享的硬件)形成了单独的虚拟网元(VNE)。
仍然在NFV的上下文中,虚拟网络功能(VNF)负责处理硬件节点530之上的一个或多个虚拟机540中运行的特定网络功能,并且对应于图5中的应用520。
在一些实施例中,每个包括一个或多个发射机5220和一个或多个接收机5210的一个或多个无线电单元5200可以耦合到一个或多个天线5225。无线电单元5200可以经由一个或多个适合的网络接口直接与硬件节点530通信,并且可以与虚拟组件结合使用以提供具有无线电能力的虚拟节点,例如无线电接入节点或基站。
在一些实施例中,可以使用控制系统5230来实现一些信令,控制系统5230可以替代地用于硬件节点530和无线电单元5200之间的通信。
图6示出了根据某些实施例的经由中间网络连接到主机计算机的示例电信网络。参照图6,根据实施例,通信系统包括电信网络610(例如,3GPP类型的蜂窝网络),电信网络610包括接入网611(例如,无线电接入网)和核心网络614。接入网611包括多个基站612a、612b、612c(例如,NB、eNB、gNB或其他类型的无线接入点),每个基站定义对应覆盖区域613a、613b、613c。每个基站612a、612b、612c通过有线或无线连接615可连接到核心网络614。位于覆盖区域613c中的第一UE 691被配置为以无线方式连接到对应基站612c或被对应基站612c寻呼。覆盖区域613a中的第二UE 692以无线方式可连接到对应基站612a。虽然在该示例中示出了多个UE 691、692,但所公开的实施例同等地适用于唯一的UE处于覆盖区域中或者唯一的UE正连接到对应基站612的情形。在某些实施例中,多个UE 691、692可以是如参考图14所述的用户设备。
电信网络610自身连接到主机计算机630,主机计算机630可以以独立服务器、云实现的服务器、分布式服务器的硬件和/或软件来实现,或者被实现为服务器集群中的处理资源。主机计算机630可以处于服务提供商的所有或控制之下,或者可以由服务提供商或代表服务提供商来操作。电信网络610与主机计算机630之间的连接621和622可以直接从核心网络614延伸到主机计算机630,或者可以经由可选的中间网络620进行。中间网络620可以是公共、私有或承载网络中的一个或多于一个的组合;中间网络620(若存在)可以是骨干网或互联网;具体地,中间网络620可以包括两个或更多个子网络(未示出)。
图6的通信系统作为整体实现了所连接的UE 691、692与主机计算机630之间的连接。该连接可被描述为过顶(over-the-top,OTT)连接650。主机计算机630和所连接的UE691、692被配置为使用接入网611、核心网络614、任何中间网络620和可能的其他基础设施(未示出)作为中介,经由OTT连接650来传送数据和/或信令。在OTT连接650所经过的参与通信设备未意识到上行链路和下行链路通信的路由的意义上,OTT连接650可以是透明的。例如,可以不向基站612通知或者可以无需向基站612通知具有源自主机计算机630的要向所连接的UE 691转发(例如,移交)的数据的输入下行链路通信的过去的路由。类似地,基站612无需意识到源自UE 691向主机计算机630的输出上行链路通信的未来的路由。
图7示出了根据一些实施例的通过部分无线连接经由基站与用户设备通信的示例主机计算机。现将参照图7来描述根据实施例的在先前段落中所讨论的UE、基站和主机计算机的示例实现方式。在通信系统700中,主机计算机710包括硬件715,硬件715包括通信接口716,通信接口716被配置为建立和维护与通信系统700的不同通信设备的接口的有线或无线连接。主机计算机710还包括处理电路718,其可以具有存储和/或处理能力。具体地,处理电路718可以包括适用于执行指令的一个或多个可编程处理器、专用集成电路、现场可编程门阵列或它们的组合(未示出)。主机计算机710还包括软件711,其被存储在主机计算机710中或可由主机计算机710访问并且可由处理电路718来执行。软件711包括主机应用712。主机应用712可操作为向远程用户(例如,UE 730)提供服务,UE 730经由在UE 730和主机计算机710处端接的OTT连接750来连接。在向远程用户提供服务时,主机应用712可以提供使用OTT连接750来发送的用户数据。
通信系统700还包括在电信系统中提供的基站720,基站720包括使其能够与主机计算机710和与UE 730进行通信的硬件725。在某些实施例中,基站720可以是如参考图15描述的网络节点。硬件725可以包括:通信接口726,其用于建立和维护与通信系统700的不同通信设备的接口的有线或无线连接;以及无线电接口727,其用于至少建立和维护与位于基站720所服务的覆盖区域(图7中未示出)中的UE 730的无线连接770。通信接口726可以被配置为促进到主机计算机710的连接760。连接760可以是直接的,或者它可以经过电信系统的核心网络(图7中未示出)和/或经过电信系统外部的一个或多个中间网络。在所示实施例中,基站720的硬件725还包括处理电路728,处理电路728可以包括适用于执行指令的一个或多个可编程处理器、专用集成电路、现场可编程门阵列或它们的组合(未示出)。基站720还具有内部存储的或经由外部连接可访问的软件721。
通信系统700还包括已经提及的UE 730。在某些实施例中,UE 730可以是如参考图15描述的用户设备。其硬件735可以包括无线电接口737,其被配置为建立和维护与服务于UE 730当前所在的覆盖区域的基站的无线连接770。UE 730的硬件735还包括处理电路738,其可以包括适用于执行指令的一个或多个可编程处理器、专用集成电路、现场可编程门阵列或它们的组合(未示出)。UE 730还包括软件731,其被存储在UE 730中或可由UE 730访问并可由处理电路738执行。软件731包括客户端应用732。客户端应用732可操作为在主机计算机710的支持下经由UE 730向人类或非人类用户提供服务。在主机计算机710中,执行的主机应用712可以经由端接在UE 730和主机计算机710处的OTT连接750与执行客户端应用732进行通信。在向用户提供服务时,客户端应用732可以从主机应用712接收请求数据,并响应于请求数据来提供用户数据。OTT连接750可以传送请求数据和用户数据二者。客户端应用732可以与用户进行交互,以生成其提供的用户数据。
注意,图7所示的主机计算机710、基站720和UE 730可以分别与图6的主机计算机630、基站612a、612b、612c之一和UE 691、692之一相似或相同。也就是说,这些实体的内部工作可以如图7所示,并且独立地,周围网络拓扑可以是图6的网络拓扑。
在图7中,已经抽象地绘制OTT连接750,以示出经由基站720在主机计算机710与UE730之间的通信,而没有明确地提到任何中间设备以及经由这些设备的消息的精确路由。网络基础设施可以确定该路由,该路由可以被配置为向UE 730隐藏或向操作主机计算机710的服务提供商隐藏或向这二者隐藏。在OTT连接750活动时,网络基础设施还可以(例如,基于负载均衡考虑或网络的重新配置)做出其动态地改变路由的决策。
UE 730与基站720之间的无线连接770根据贯穿本公开所描述的实施例的教导。各种实施例中的一个或多个实施例改进了使用OTT连接750向UE 730提供的OTT服务的性能,其中无线连接770形成OTT连接750中的最后一段。更精确地,这些实施例的教导可以改善对发送缓冲器中的冗余数据的处理,从而提供诸如提高无线电资源使用中的效率(例如,不发送冗余数据)以及减少接收新数据中的延迟(例如,通过移除缓冲区中的冗余数据,可以更早地发送新数据)之类的益处。
出于监控一个或多个实施例改进的数据速率、时延和其他因素的目的,可以提供测量过程。还可以存在用于响应于测量结果的变化而重新配置主机计算机710与UE 730之间的OTT连接750的可选网络功能。用于重新配置OTT连接750的测量过程和/或网络功能可以以主机计算机710的软件711和硬件715或以UE 730的软件731和硬件735或以这二者来实现。在实施例中,传感器(未示出)可被部署在OTT连接750经过的通信设备中或与OTT连接750经过的通信设备相关联地来部署;传感器可以通过提供以上例示的监控量的值或提供软件711、731可以用来计算或估计监控量的其他物理量的值来参与测量过程。对OTT连接750的重新配置可以包括消息格式、重传设置、优选路由等;该重新配置不需要影响基站720,并且其对于基站720来说可以是未知的或不可感知的。这种过程和功能在本领域中可以是已知的和已被实践的。在特定实施例中,测量可以涉及促进主机计算机710对吞吐量、传播时间、时延等的测量的专有UE信令。该测量可以如下实现:软件711和731在其监控传播时间、差错等的同时使得能够使用OTT连接750来发送消息(具体地,空消息或“假”消息)。
图8示出了根据一些实施例的在包括主机计算机、基站和用户设备的通信系统中实现的示例方法。更具体地,图8是示出了根据一个实施例的在通信系统中实现的方法的流程图。该通信系统包括主机计算机、基站和UE,UE可以是参照图14描述的用户设备。为了本公开的简明,在本部分中将仅包括对图8的图引用。在步骤810中,主机计算机提供用户数据。在步骤810的子步骤811(其可以是可选的)中,主机计算机通过执行主机应用来提供用户数据。在步骤820中,主机计算机发起向UE的携带用户数据的传输。在步骤830(其可以是可选的)中,根据贯穿本公开所描述的实施例的教导,基站向UE发送在主机计算机发起的传输中所携带的用户数据。在步骤840(其也可以是可选的)中,UE执行与主机计算机所执行的主机应用相关联的客户端应用。
图9示出了根据一些实施例的在包括主机计算机、基站和用户设备的通信系统中实现的示例方法。更具体地,图9是示出了根据一个实施例的在通信系统中实现的方法的流程图。该通信系统包括主机计算机、基站和UE,UE可以是参照图14描述的用户设备。为了本公开的简明,在本部分中将仅包括对图9的图引用。在方法的步骤910中,主机计算机提供用户数据。在可选子步骤(未示出)中,主机计算机通过执行主机应用来提供用户数据。在步骤920中,主机计算机发起向UE的携带用户数据的传输。根据贯穿本公开描述的实施例的教导,该传输可以经由基站。在步骤930(其可以是可选的)中,UE接收传输中所携带的用户数据。
图10示出了根据一些实施例的在包括主机计算机、基站和用户设备的通信系统中实现的又一示例方法。更具体地,图10是示出了根据一个实施例的在通信系统中实现的方法的流程图。该通信系统包括主机计算机、基站和UE,UE可以是参照图14描述的用户设备。为了本公开的简明,在本部分中将仅包括对图10的图引用。在步骤1010(其可以是可选的)中,UE接收由主机计算机所提供的输入数据。附加地或备选地,在步骤1020中,UE提供用户数据。在步骤1020的子步骤1021(其可以是可选的)中,UE通过执行客户端应用来提供用户数据。在步骤1010的子步骤1011(其可以是可选的)中,UE执行客户端应用,该客户端应用回应于接收到的主机计算机提供的输入数据来提供用户数据。在提供用户数据时,所执行的客户端应用还可以考虑从用户接收的用户输入。无论提供用户数据的具体方式如何,UE在子步骤1030(其可以是可选的)中都发起用户数据向主机计算机的传输。在方法的步骤1040中,根据贯穿本公开描述的实施例的教导,主机计算机接收从UE发送的用户数据。
图11示出了根据一些实施例的在包括主机计算机、基站和用户设备的通信系统中实现的另一示例方法。更具体地,图11是示出了根据一个实施例的在通信系统中实现的方法的流程图。该通信系统包括主机计算机、基站和UE,UE可以是参照图14描述的用户设备。为了本公开的简明,在本部分中将仅包括对图11的图引用。在步骤1110(其可以是可选的)中,根据贯穿本公开描述的实施例的教导,基站从UE接收用户数据。在步骤1120(其可以是可选的)中,基站发起接收到的用户数据向主机计算机的传输。在步骤1130(其可以是可选的)中,主机计算机接收由基站所发起的传输中所携带的用户数据。
可以通过一个或多个虚拟装置的一个或多个功能单元或模块来执行本文公开的任何适当的步骤、方法、特征、功能或益处。每个虚拟装置可以包括多个这些功能单元。这些功能单元可以通过处理电路实现,处理电路可以包括一个或多个微处理器或微控制器以及其他数字硬件(可以包括数字信号处理器(DSP)、专用数字逻辑等)。处理电路可以被配置为执行存储在存储器中的程序代码,存储器可以包括一种或几种类型的存储器,诸如只读存储器(ROM)、随机存取存储器(RAM)、高速缓冲存储器、闪存设备、光学存储设备等。存储在存储器中的程序代码包括用于执行一种或多种电信和/或数据通信协议的程序指令,以及用于执行本文描述的一种或多种技术的指令。在一些实施方式中,处理电路可用于使相应功能单元根据本公开的一个或一个实施例执行对应功能。
图12是根据某些实施例的示例方法的流程图。该方法可以由UE或WD执行。方法1200开始于步骤1205,从第一网络节点接收连接释放消息,该连接释放消息包括当前完整性密钥和用于计算要包括在连接请求消息中的数据的散列值的指示。用户设备可以是图2中描绘的无线设备或图3和图4中所示的用户设备。在一些实施例中,第一网络节点可以是源网络节点。在一些实施例中,方法1200还从第二网络节点接收用于计算散列值的指示。在一些实施例中,第二网络节点可以是目标网络节点。
在步骤1210,方法1200基于连接释放消息中包括的指示来计算散列值。在一些实施例中,散列值可以由无线电资源控制(RRC)层计算,并且数据由较低层提供给RRC层。在一些实施例中,散列值可以由较低层计算并提供给RRC层。
在步骤1220,方法1200基于散列值和完整性来计算令牌。在一些实施例中,用于计算令牌的完整性密钥可以是从当前完整性密钥导出的新的完整性密钥。在一些实施例中,用于计算令牌的完整性密钥可以是在与第一网络节点的先前连接中使用的当前完整性密钥。
在步骤1230,方法1200向第二网络节点发送包括令牌的连接请求消息。
图13是根据某些实施例的另一示例方法的流程图。该方法可以由网络节点执行。网络节点可以是图2和图3中描绘的网络节点。方法1300开始于步骤1305,在UE被第二网络节点从先前连接释放之后,从第一网络节点向UE发送前导码消息。在一些实施例中,第一网络节点可以是目标网络节点,并且第二网络节点可以是源网络节点。
在步骤1310,方法1300从UE接收包括令牌的连接请求消息,该令牌是基于散列值和完整性密钥计算的。在一些实施例中,散列值可以由无线电资源控制(RRC)层计算,并且数据由较低层提供给RRC层。在一些实施例中,散列值可以由较低层计算并提供给RRC层。在一些实施例中,用于计算令牌的完整性密钥可以是从当前完整性密钥导出的新的完整性密钥。在一些实施例中,用于计算令牌的完整性密钥可以是在与第一网络节点的先前连接中使用的当前完整性密钥。
在步骤1320,方法1300通过计算散列值来验证包括在连接请求消息中的令牌。在一些实施例中,验证令牌包括:在第一网络节点处确定令牌使用当前完整性密钥;将令牌转发给第二网络节点以验证该令牌;以及在第一网络节点处接收经验证的令牌。在一些实施例中,验证令牌包括:在第一网络节点处确定散列值是在对数据进行加密之前计算的;将经加密的数据转发给第二网络节点以进行解密;在第一网络节点处,从第二网络节点接收经解密的数据;以及在第一网络节点处利用经解密的数据来验证令牌。在一些实施例中,验证令牌包括:在第一网络节点处确定散列值是在对数据进行加密之后计算的;将散列值转发给第二网络节点以用于验证令牌;以及在第一网络节点处,从第二网络节点接收经验证的令牌。
在步骤1330,方法1300响应于验证令牌而向网关转发数据。在一些实施例中,网关可以是S-GW。
图14是根据某些实施例的示例性用户设备1400的示意框图。用户设备1400可以在无线网络中使用,例如图2中所示的无线网络206。在某些实施例中,用户设备1400可以在图2中所示的无线设备210中实现。用户设备1400可操作用于执行参考图14描述的示例方法以及可能的本文公开的任何其他过程或方法。还应理解,图14中的方法不必仅由用户设备1400执行。该方法的至少一些操作可以由一个或多个其他实体执行。
用户设备1400可以包括处理电路,处理电路可以包括一个或多个微处理器或微控制器以及其他数字硬件(可以包括数字信号处理器(DSP)、专用数字逻辑等)。在一些实施例中,用户设备1400的处理电路可以是图2中所示的处理电路220。在一些实施例中,用户设备1400的处理电路可以是图4中所示的处理器401。处理电路可以被配置为执行存储在图4中所示的存储器415中的程序代码,存储器415可以包括一种或几种类型的存储器,例如只读存储器(ROM)、随机存取存储器、高速缓冲存储器、闪存设备、光学存储设备等。在若干实施例中,存储在存储器中的程序代码包括用于执行一种或多种电信和/或数据通信协议的程序指令,以及用于执行本文描述的一种或多种技术的指令。在一些实施方式中,处理电路可以用于使接收单元1410、计算单元1420、运算单元1430和发送单元1440以及用户设备1400的任何其他合适的单元执行根据本公开的一个或多个实施例的对应功能,诸如发射机和接收机。
如图14所示,用户设备1400包括接收单元1410、计算单元1420、运算单元1430和发送单元1440。接收单元1410可以被配置为从第一网络节点接收连接释放消息,该连接释放消息包括当前完整性密钥和用于计算要包括在连接请求消息中的数据的散列值的指示。在一些实施例中,第一网络节点可以是源网络节点。在一些实施例中,接收单元1410还从第二网络节点接收用于计算散列值的指示。在一些实施例中,第二网络节点可以是目标网络节点。
计算单元1420可以被配置为基于连接释放消息中包括的指示来计算散列值。在一些实施例中,散列值可以由无线电资源控制(RRC)层计算,并且数据由较低层提供给RRC层。在一些实施例中,散列值可以由较低层计算并提供给RRC层。在一些实施例中,用于计算令牌的完整性密钥可以是从当前完整性密钥导出的新的完整性密钥。在一些实施例中,用于计算令牌的完整性密钥可以是在与第一网络节点的先前连接中使用的当前完整性密钥。
运算单元1430可以被配置为基于散列值和完整性来计算令牌。在一些实施例中,用于计算令牌的完整性密钥可以是从当前完整性密钥导出的新的完整性密钥。在一些实施例中,用于计算令牌的完整性密钥可以是在与第一网络节点的先前连接中使用的当前完整性密钥。
发送单元1440可以被配置为向第二网络节点发送包括令牌的连接请求消息。
图15是根据某些实施例的无线网络中的示例性网络节点1500的示意性框图。在一些实施例中,无线网络可以是图2中所示的无线网络206。网络节点可以在无线设备(例如,图2中所示的无线设备210)中实现。网络节点1500可操作用于执行参考图15描述的示例方法以及可能的本文公开的任何其他过程或方法。还应理解,图15的方法不必仅由网络节点1500执行。该方法的至少一些操作可以由一个或多个其他实体执行。
网络节点1500可以包括处理电路,其可以包括一个或多个微处理器或微控制器以及其他数字硬件(可以包括数字信号处理器(DSP)、专用数字逻辑等)。在一些实施例中,网络节点1500的处理电路可以是图2中所示的处理电路270。处理电路可以被配置为执行存储在存储器中的程序代码,存储器可以包括一种或几种类型的存储器,例如只读存储器(ROM)、随机存取存储器、高速缓冲存储器、闪存设备、光学存储设备等。在若干实施例中,存储在存储器中的程序代码包括用于执行一种或多种电信和/或数据通信协议的程序指令,以及用于执行本文描述的一种或多种技术的指令。在一些实施方式中,处理电路可以用于使发送单元1510、接收单元1520、验证单元1530和转发单元1540以及网络节点1500的任何其他合适的单元来执行根据本公开的一个或多个实施例的对应功能,诸如接收机和发射机。
如图15所示,网络节点1500包括发送单元1510、接收单元1520、验证单元1530和转发单元1540。发送单元1510可以被配置为在UE被第二网络节点从先前连接释放之后,向UE发送前导码消息。在一些实施例中,包括发送单元1510的网络节点可以是目标网络节点,并且第二网络节点可以是源网络节点。
接收单元1520可以被配置为从用户设备接收连接请求消息,该连接请求消息包括基于散列值和完整性密钥计算的令牌。在一些实施例中,散列值可以由无线电资源控制(RRC)层计算,并且数据由较低层提供给RRC层。在一些实施例中,散列值可以由较低层计算并提供给RRC层。在一些实施例中,用于计算令牌的完整性密钥可以是从当前完整性密钥导出的新的完整性密钥。在一些实施例中,用于计算令牌的完整性密钥可以是在与第一网络节点的先前连接中使用的当前完整性密钥。
验证单元1530可以被配置为通过计算散列值来验证包括在连接请求消息中的令牌。在一些实施例中,验证单元1530可以通过以下来验证令牌:在第一网络节点处确定令牌使用当前完整性密钥;向第二网络节点转发令牌以验证令牌;以及在第一网络节点处接收经验证的令牌。在一些实施例中,验证单元1530可以通过以下来验证令牌:在第一网络节点处确定散列值是在对数据进行加密之前计算的;将经加密的数据转发给第二网络节点以进行解密;在第一网络节点处,从第二网络节点接收经解密的数据;以及在第一网络节点处利用经解密的数据来验证令牌。在一些实施例中,验证单元1530可以通过以下来验证令牌:在第一网络节点处确定散列值是在对数据进行加密之后计算的;将散列值转发给第二网络节点以用于验证令牌;以及在第一网络节点处,从第二网络节点接收经验证的令牌。
转发单元1540可以被配置为响应于验证令牌而将数据转发给网关。在一些实施例中,网关可以是S-GW。
术语单元可以具有在电子、电气设备和/或电子设备领域中的常规含义,并且可以包括例如电气和/或电子电路、设备、模块、处理器、接收机、发射机、存储器、逻辑固态和/或分立设备、计算机程序或用于执行相应任务、过程、计算、输出和/或显示功能等的指令,诸如本文所述的那些。
根据各种实施例,本文的特征的优点在于,在RRC消息中具有令牌来提高数据传输安全性,该令牌是基于要包括在RRC消息中的上行链路数据的散列码计算的。此外,本文的特征的另一优点在于,本公开中的固定大小的散列码可以提供一种通过避免为了验证令牌而在网络节点之间进行数据传输来减少传输开销的高效方式。
虽然附图中的过程可以示出本发明的某些实施例执行的特定操作顺序,但是应当理解,这种顺序是示例性的(例如,备选实施例可以以不同的顺序执行操作、组合某些操作、重叠某些操作等)。
虽然依据若干实施例描述了本发明,但本领域技术人员将会认识到:本发明不限于所描述的实施例,而是可利用在所附权利要求的精神和范围内的修改和改变来实现。本描述因此被视为是说明性的,而非限制性的。
Claims (20)
1.一种用于在用户设备处改善数据传输安全性的方法(1200),包括:
从第一网络节点接收连接释放消息,所述连接释放消息包括用于计算要包括在连接请求消息中的数据的散列值的指示(1205);
在用户设备处,基于所述连接释放消息中包括的所述指示来计算所述散列值(1210);
在所述用户设备处,基于所述散列值和完整性密钥来生成令牌(1220);
生成所述连接请求消息,所述连接请求消息包括利用所述令牌受到完整性保护的用户上行链路数据;以及
向第二网络节点发送包括所述令牌和用户数据的所述连接请求消息(1230)。
2.根据权利要求1所述的方法(1200),其中,
所述完整性密钥是在所述用户设备处导出的新的完整性密钥。
3.根据权利要求1所述的方法(1200),其中,
所述完整性密钥是当前完整性密钥,所述当前完整性密钥被用在与所述第一网络节点的先前连接中。
4.根据权利要求1至3中任一项所述的方法(1200),还包括:从所述第二网络节点接收用于计算所述散列值的指示。
5.根据权利要求1至3中任一项所述的方法(1200),其中,所述散列值是由无线电资源控制RRC层计算的,并且所述数据由较低层提供给所述RRC层。
6.根据权利要求1至3中任一项所述的方法(1200),其中,所述散列值由较低层计算并提供给RRC层。
7.一种用于改善数据传输安全性的用户设备(400),包括:
至少一个处理器(401);以及
存储处理器可执行指令的至少一个存储装置,所述处理器可执行指令在由所述至少一个处理器(401)执行时,使用户设备(400):
从第一网络节点接收连接释放消息,所述连接释放消息包括用于计算要包括在连接请求消息中的数据的散列值的指示(1205);
基于所述连接释放消息中包括的所述指示来计算所述散列值(1210);
基于所述散列值和完整性密钥来生成令牌(1220);
生成所述连接请求消息,所述连接请求消息包括利用所述令牌受到完整性保护的用户上行链路数据;以及
向第二网络节点发送包括所述令牌的所述连接请求消息(1230)。
8.根据权利要求7所述的用户设备(400),其中,所述完整性密钥是在用户设备处导出的新的完整性密钥来计算的。
9.根据权利要求7所述的用户设备(400),其中,所述完整性密钥是当前完整性密钥,所述当前完整性密钥被用在与所述第一网络节点的先前连接中。
10.根据权利要求7至9中任一项所述的用户设备(400),其中,所述指令还使所述用户设备(400)从所述第二网络节点接收用于计算所述散列值的指示。
11.根据权利要求7至9中任一项所述的用户设备(400),其中,所述散列值是由RRC层计算的,且所述数据由较低层提供给所述RRC层。
12.根据权利要求7至9中任一项所述的用户设备(400),其中,所述散列值由较低层计算并提供给RRC层。
13.一种用于改善数据传输安全性的网络节点(260),包括:
至少一个处理电路(270);以及
存储处理器可执行指令的至少一个存储装置,所述处理器可执行指令在由所述处理电路执行时,使网络节点(260):
在用户设备(400)被第二网络节点从先前连接释放之后,向所述用户设备发送前导码消息(1305);
从用户设备(400)接收包括经加密的数据和令牌的连接请求消息,所述令牌是基于散列值和完整性密钥计算的(1310),其中,所述散列值表示包括在所述连接请求消息中的数据;
解密所述数据;
利用经解密的所述数据,通过计算所述散列值来验证包括在所述连接请求消息中的所述令牌(1320);以及
响应于验证所述令牌,向网关转发经解密的所述数据(1330)。
14.根据权利要求13所述的网络节点(260),其中,所述完整性密钥是在所述用户设备处导出的新的完整性密钥。
15.根据权利要求13所述的网络节点(260),其中,所述完整性密钥是当前完整性密钥,所述当前完整性密钥被用在与所述第二网络节点的先前连接中。
16.根据权利要求15所述的网络节点(260),其中,验证令牌包括:
确定所述令牌使用所述当前完整性密钥;
向所述第二网络节点转发所述令牌以验证所述令牌;以及
接收经验证的令牌。
17.根据权利要求13至15中任一项所述的网络节点(260),其中,验证令牌包括:
确定所述散列值是在所述数据被加密之前计算的;
向所述第二网络节点转发经加密的数据以用于解密;
从所述第二网络节点接收经解密的数据;以及
利用经解密的数据来验证所述令牌。
18.根据权利要求13至15中任一项所述的网络节点(260),其中,验证令牌包括:
确定所述散列值是在所述数据被加密之后计算的;
向所述第二网络节点转发所述散列值以用于验证所述令牌;以及
从所述第二网络节点接收经验证的令牌。
19.根据权利要求13至15中任一项所述的网络节点(260),其中,所述散列值是由RRC层计算的,并且所述数据由较低层提供给所述RRC层。
20.根据权利要求13至15中任一项所述的网络节点(260),其中,所述散列值由较低层计算并提供给RRC层。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862630867P | 2018-02-15 | 2018-02-15 | |
US62/630,867 | 2018-02-15 | ||
PCT/IB2019/051199 WO2019159095A1 (en) | 2018-02-15 | 2019-02-14 | Method for improving data transmission security |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111713122A CN111713122A (zh) | 2020-09-25 |
CN111713122B true CN111713122B (zh) | 2024-02-06 |
Family
ID=65516694
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980013284.9A Active CN111713122B (zh) | 2018-02-15 | 2019-02-14 | 用于提高数据传输安全性的方法、用户设备和网络节点 |
Country Status (8)
Country | Link |
---|---|
US (2) | US11563749B2 (zh) |
EP (2) | EP3753276B1 (zh) |
JP (1) | JP7104160B2 (zh) |
CN (1) | CN111713122B (zh) |
AR (1) | AR114117A1 (zh) |
MX (1) | MX2020008451A (zh) |
RU (1) | RU2746923C1 (zh) |
WO (1) | WO2019159095A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020198234A1 (en) * | 2019-03-26 | 2020-10-01 | Apple Inc. | Methods, systems and computer readable storage devices for integrity protection of uplink data in early data transmission (edt) |
CN113518476A (zh) * | 2020-04-10 | 2021-10-19 | 华为技术有限公司 | 通信方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105191479A (zh) * | 2014-03-06 | 2015-12-23 | 华为技术有限公司 | 一种信息保护方法、基站、用户设备和移动管理实体 |
CN107251522A (zh) * | 2015-02-24 | 2017-10-13 | 高通股份有限公司 | 将网络令牌用于服务控制面办法的高效策略实施 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004023365A (ja) * | 2002-06-14 | 2004-01-22 | Kddi Corp | ローミングにおける認証方法 |
US20080039096A1 (en) * | 2006-03-28 | 2008-02-14 | Nokia Corporation | Apparatus, method and computer program product providing secure distributed HO signaling for 3.9G with secure U-plane location update from source eNB |
KR101376700B1 (ko) * | 2006-06-19 | 2014-03-24 | 인터디지탈 테크날러지 코포레이션 | 초기 시그널링 메시지 내의 원 사용자 신원의 보안 보호를 위한 방법 및 장치 |
CN100534037C (zh) | 2007-10-30 | 2009-08-26 | 西安西电捷通无线网络通信有限公司 | 一种适用于ibss网络的接入认证方法 |
US8800049B2 (en) * | 2009-08-26 | 2014-08-05 | Avaya Inc. | Licensing and certificate distribution via secondary or divided signaling communication pathway |
US9667423B2 (en) * | 2010-09-27 | 2017-05-30 | Nokia Technologies Oy | Method and apparatus for accelerated authentication |
US9736686B2 (en) * | 2015-01-19 | 2017-08-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for direct communication key establishment |
US20170163607A1 (en) * | 2015-12-03 | 2017-06-08 | Microsoft Technology Licensing, Llc | Establishing a Communication Event Using Secure Signalling |
CN109479309B (zh) * | 2016-07-13 | 2022-10-11 | 三星电子株式会社 | 在移动通信中使用的接入控制方法和装置 |
EP3565178B1 (en) * | 2017-01-25 | 2021-03-17 | Huawei Technologies Co., Ltd. | Message protection method, user device and core network device |
US10841084B2 (en) * | 2017-02-03 | 2020-11-17 | Qualcomm Incorporated | Session management authorization token |
US20180234839A1 (en) * | 2017-02-13 | 2018-08-16 | Futurewei Technologies, Inc. | System and Method for User Equipment Identification and Communications |
US11265699B2 (en) * | 2018-02-23 | 2022-03-01 | T-Mobile Usa, Inc. | Identifier-based access control in mobile networks |
WO2020198234A1 (en) * | 2019-03-26 | 2020-10-01 | Apple Inc. | Methods, systems and computer readable storage devices for integrity protection of uplink data in early data transmission (edt) |
US11316780B2 (en) * | 2020-03-27 | 2022-04-26 | Cisco Technology, Inc. | Attestation-based route reflector |
-
2019
- 2019-02-14 WO PCT/IB2019/051199 patent/WO2019159095A1/en unknown
- 2019-02-14 EP EP19706761.4A patent/EP3753276B1/en active Active
- 2019-02-14 RU RU2020129816A patent/RU2746923C1/ru active
- 2019-02-14 JP JP2020543020A patent/JP7104160B2/ja active Active
- 2019-02-14 EP EP23159792.3A patent/EP4210371A1/en not_active Withdrawn
- 2019-02-14 US US16/963,239 patent/US11563749B2/en active Active
- 2019-02-14 MX MX2020008451A patent/MX2020008451A/es unknown
- 2019-02-14 CN CN201980013284.9A patent/CN111713122B/zh active Active
- 2019-02-15 AR ARP190100380A patent/AR114117A1/es active IP Right Grant
-
2023
- 2023-01-23 US US18/100,349 patent/US11916925B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105191479A (zh) * | 2014-03-06 | 2015-12-23 | 华为技术有限公司 | 一种信息保护方法、基站、用户设备和移动管理实体 |
CN107251522A (zh) * | 2015-02-24 | 2017-10-13 | 高通股份有限公司 | 将网络令牌用于服务控制面办法的高效策略实施 |
Also Published As
Publication number | Publication date |
---|---|
JP7104160B2 (ja) | 2022-07-20 |
US20210367951A1 (en) | 2021-11-25 |
WO2019159095A1 (en) | 2019-08-22 |
EP4210371A1 (en) | 2023-07-12 |
EP3753276A1 (en) | 2020-12-23 |
JP2021514129A (ja) | 2021-06-03 |
AR114117A1 (es) | 2020-07-22 |
US20230239309A1 (en) | 2023-07-27 |
MX2020008451A (es) | 2020-09-28 |
CN111713122A (zh) | 2020-09-25 |
RU2746923C1 (ru) | 2021-04-22 |
US11563749B2 (en) | 2023-01-24 |
US11916925B2 (en) | 2024-02-27 |
EP3753276B1 (en) | 2023-04-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11696127B2 (en) | Replay protection for resume procedure | |
US11451961B2 (en) | Security enhancements for early data transmissions | |
US20220408243A1 (en) | Subscription concealed identifier privacy | |
US11968524B2 (en) | Configuring radio resources | |
US11916925B2 (en) | Method for improving data transmission security | |
KR20210153719A (ko) | 사용자 평면 무결성 보호 | |
CN112335213B (zh) | 用于对早期数据传输的安全处理的方法 | |
WO2019030727A1 (en) | METHOD FOR RECOVERING CONNECTION AFTER REJECTION | |
US20210297861A1 (en) | Methods providing selective integrity protection and related radio access network base stations and mobile wireless devices | |
CN115087971A (zh) | 保护无线通信网络中的能力信息传输 | |
CN114026900A (zh) | 归属控制的网络切片秘密性 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40029244 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |