CN112335272A - 用于接入层传输的增强的安全性 - Google Patents

Abstract

本公开涉及用于通过接入层信令传输执行基站认证的技术、基站和用户装备设备(UE)。该UE可在空闲模式下操作，并且可在空闲模式下操作的同时通过无线接口从基站接收认证消息。该UE可确定包括在认证消息内的签名是否有效，并且该UE可基于确定该签名是有效的来继续与基站的连接过程。如果确定该签名是无效的，则该UE可将基站指定为被禁止的基站并且可执行小区重选。该认证消息可以是以下中的一者：无线电资源控制(RRC)连接设置消息、特殊RRC消息、介质接入控制(MAC)消息或包括随机接入响应(RAR)消息的随机接入信道(RACH)消息。

Description

用于接入层传输的增强的安全性

技术领域

本申请涉及无线通信，包括用于在无线通信系统中在用户装备设备和基站之间执行认证的技术。

背景技术

无线通信系统的使用正在快速增长。另外，无线通信技术已从仅语音通信演进到也包括数据(诸如互联网和多媒体内容)的传输。存在许多不同的无线通信技术和标准。无线通信标准的一些示例包括GSM、UMTS(例如与WCDMA或TD-SCDMA空中接口相关联)、LTE、高级LTE(LTE-A)、HSPA、3GPP2 CDMA2000(例如，1xRTT、1xEV-DO、HRPD、eHRPD)、IEEE 802.11(WLAN或Wi-Fi)、IEEE 802.16(WiMAX)、蓝牙等。

用户装备设备(UE)和基站之间的无线通信可能遭受安全问题，因为坏人可能伪装假的基站来从UE获得个人或其他信息。为了减少假小区成功冒充基站的机会，可能需要改进基站认证领域。

发明内容

本文所述的实施方案涉及用于由用户装备设备(UE)通过接入层传输来认证基站的系统、装置和方法。

一些实施方案涉及UE，其包括一个或多个无线电部件、存储器、以及一个或多个(直接或间接)耦接到该无线电部件的处理器。至少一个无线电部件被配置为执行与基站的蜂窝通信。该UE可以执行语音和/或数据通信以及本文所述方法。

在一些实施方案中，该基站可在激活接入层安全模式之前采用接入层信令传输，以向UE认证基站的身份。

在一些实施方案中，UE可在空闲模式下操作，并且可在空闲模式下操作的同时通过无线接口从基站接收认证消息。该UE可确定包括在认证消息内的签名是否有效，并且该UE可基于确定该签名是有效的来继续与基站的连接过程。如果确定该签名是无效的，则该UE可将基站指定为被禁止的基站并且可执行小区重选。

在各种实施方案中，该认证消息可以是以下中的一者：无线电资源控制(RRC)连接设置消息、特殊RRC消息、介质接入控制(MAC)消息或包括随机接入响应(RAR)消息的随机接入信道(RACH)消息。根据各种实施方案，该认证消息可以是广播或单播的。可响应于由该UE进行的按需系统信息请求来接收该认证消息。在其他实施方案中，可连同竞争解决消息一起接收该认证消息，并且该竞争解决消息可连同该签名一起被查验。在其他实施方案中，该认证消息可作为初始接入过程的一部分被接收，或者可在Diffie-Hellman(DH)质询-响应认证过程期间被接收。

需注意，可在若干个不同类型的设备中实施本文描述的技术和/或将本文描述的技术与该若干个不同类型的设备一起使用，该若干个不同类型的设备包括但不限于基站、接入点、蜂窝电话、便携式媒体播放器、平板电脑、可穿戴设备和各种其他计算设备。

本发明内容旨在提供在本文档中所描述的主题中的一些的简要概述。于是，应当了解，上面描述的特征仅是示例，并且不应当被解释为以任何方式缩窄本文所述的主题的范围或实质。本文所描述的主题的其它特征、方面和优点将通过以下具体实施方式、附图和权利要求书而变得显而易见。

附图说明

当结合以下附图考虑实施方案的以下详细描述时，可获得对本主题的更好的理解。

图1示出根据一些实施方案的示例无线通信系统；

图2示出根据一些实施方案的与用户装备(UE)设备通信的基站(BS)；

图3示出根据一些实施方案的UE的示例框图；

图4示出根据一些实施方案的BS的示例框图；

图5是示出典型的初始接入过程的通信流程图；

图6是示出根据一些实施方案的典型的重定向过程的通信流程图；

图7a至图7b是示出根据一些实施方案的用于长期演进(LTE)和新无线电(NR)无线电接入技术的身份请求的通信流程图；

图8是示出根据一些实施方案的典型的基于msg1的SI请求的通信流程图；

图9是示出根据一些实施方案的典型的基于msg3的SI请求的通信流程图；

图10是示出根据一些实施方案的用于UE在AS传输期间执行先行基站认证的方法的流程图；

图11a是示出根据一些实施方案的用于执行典型DH质询-响应认证的方法的通信流程图；

图11b是示出根据一些实施方案的用于执行蜂窝DH质询-响应认证的方法的通信流程图；

图11c至图11d示出根据一些实施方案的与图11a至图11b类似的通信流程图，但是具有更简单的通信流程；

图12示出根据一些实施方案的MSG3“RRC连接请求”的详细消息结构；

图13a至图13b示出根据一些实施方案的嵌入有介质接入控制(MAC)控制元素(CE)消息中的竞争解决标识的签名以及被嵌入作为独立MACCE消息的签名的位分配；

图14示出根据各种实施方案的用于要嵌入RRC或MAC消息传送中的签名的各种位置；

图15a至图15b示出根据各种实施方案的涉及以RAR格式嵌入签名的消息结构；以及

图16a至图16d是示出根据各种实施方案的用于UE通过广播签名来验证基站的身份的方法的通信流程图。

虽然本文所述的特征易受各种修改和另选形式的影响，但其具体实施方案在附图中以举例的方式示出，并且在本文详细描述。然而，应当理解，附图和对其的详细描述并非旨在将本文限制于所公开的具体形式，而正相反，其目的在于覆盖落在如由所附权利要求书所限定的主题的实质和范围内的所有修改、等同物和另选方案。

具体实施方式

首字母缩略词

在本申请中通篇使用各种首字母缩略词。在本申请中通篇可能出现的最为突出的所用首字母缩略词的定义如下：

UE：用户装备

AP：接入点

BS：基站

DL：下行链路(从BS到UE)

UL：上行链路(从UE到BS)

TX：发射/传输

RX：接收

LAN：局域网

WLAN：无线LAN

RAT：无线电接入技术

术语

以下为在本公开中所使用的术语表：

存储器介质—各种类型的非暂态存储器设备或存储设备中的任何设备。术语“存储器介质”旨在包括安装介质，例如，CD-ROM、软盘或磁带设备；计算机系统存储器或随机存取存储器诸如DRAM、DDR RAM、SRAM、EDO RAM、Rambus RAM等；非易失性存储器诸如闪存、磁介质，例如，硬盘驱动器或光学存储装置；寄存器或其它类似类型的存储器元件等。存储器介质也可包括其它类型的非暂态存储器或它们的组合。此外，存储器介质可位于执行程序的第一计算机系统中，或者可位于通过网络诸如互联网连接到第一计算机系统的不同的第二计算机系统中。在后面的情况下，第二计算机系统可向第一计算机提供程序指令以用于执行。术语“存储器介质”可包括可驻留在例如通过网络连接的不同计算机系统中的不同位置的两个或更多个存储器介质。存储器介质可存储可由一个或多个处理器执行的程序指令(例如，表现为计算机程序)。

载体介质—如上所述的存储介质以及物理传输介质，诸如，总线、网络和/或其它传送信号(诸如，电信号、电磁信号或数字信号)的物理传输介质。

计算机系统—各种类型的计算系统或处理系统中的任何系统，包括个人计算机系统(PC)、大型计算机系统、工作站、网络装置、互联网装置、个人数字助理(PDA)、电视系统、网格计算系统或者其他设备或设备的组合。一般来讲，术语“计算机系统”可被广义地定义为涵盖具有执行来自存储器介质的指令的至少一个处理器的任何设备(或设备的组合)。

移动设备(或移动站)—移动式或便携式的并使用WLAN通信执行无线通信的各种类型的计算机系统设备中的任何设备。移动设备的示例包括移动电话或智能电话(例如，iPhone^TM、基于Android^TM的电话)，以及诸如iPad^TM、Samsung Galaxy^TM等平板计算机。各种其他类型的设备如果包括Wi-Fi或蜂窝和Wi-Fi通信能力，也会落入这一类别，例如，膝上型计算机(例如MacBook^TM)、便携式游戏设备(例如，Nintendo DS^TM、PlayStation Portable^TM、Gameboy Advance^TM、iPhone^TM)、便携式上网设备和其他手持设备，以及可穿戴设备诸如智能手表、智能眼镜、耳机、吊坠、听筒等。通常，术语“移动设备”可被宽泛地定义以涵盖容易被用户转移并能够使用WLAN或Wi-Fi进行无线通信的任何电子、计算和/或电信设备(或设备组合)。

无线设备(或无线站点)—使用WLAN通信执行无线通信的各种类型的计算机系统设备中的任何设备。如本文所用，术语“无线设备”可以指上文所定义的移动设备或者诸如静止无线客户端或无线基站的静止设备。例如，无线设备可为802.11系统的任何类型无线站点，例如接入点(AP)或客户端站点(STA或UE)。其他示例包括电视、媒体播放器(例如AppleTV^TM、Roku^TM、Amazon FireTV^TM、Google Chromecast^TM等)、冰箱、洗衣机、恒温器等。

用户装备(UE)(或“UE设备”)—移动式或便携式的并执行无线通信的各种类型的计算机系统设备中的任何设备。UE设备的示例包括移动电话或智能电话(例如，iPhone^TM、基于Android^TM的电话)、便携式游戏设备(例如，Nintendo DS^TM、PlayStation Portable^TM、Gameboy Advance^TM、iPhone^TM)、膝上型计算机、可穿戴设备(例如，智能手表、智能眼镜)、个人数字助理、便携式互联网设备、音乐播放器、数据存储设备或其它手持式设备等。一般来讲，术语“UE”或“UE设备”可被广义地定义为涵盖用户便于携带并能够进行无线通信的任何电子设备、计算设备和/或电信设备(或设备的组合)。

WLAN—术语“WLAN”具有其普通含义的全部范围，并且至少包括无线通信网络或RAT，其由WLAN接入点提供服务并通过这些接入点提供至互联网的连接性。大多数现代WLAN基于IEEE 802.11标准，并以“Wi-Fi”的命名面市。术语“Wi-Fi”与WLAN同义使用。WLAN网络不同于蜂窝网络。

处理元件—指执行计算机系统中的功能的数字电路的各种具体实施。此外，处理元件可指执行计算机或计算机系统中功能(或多种功能)的模拟或混合信号(模拟和数字的组合)电路的各种具体实施。处理元件例如包括电路诸如集成电路(IC)、ASIC(专用集成电路)、各个处理器内核的部分或电路、整个处理器内核、各个处理器、可编程硬件设备(诸如现场可编程门阵列(FPGA))和/或包括多个处理器的系统的较大部分。

自动—是指由计算机系统(例如，由计算机系统执行的软件)或设备(例如，电路、可编程硬件元件、ASIC等)在无需通过用户输入直接指定或执行动作或操作的情况下执行该动作或操作。因此，术语“自动”与用户手动执行或指定操作形成对比，其中用户提供输入来直接执行该操作。自动过程可由用户所提供的输入来启动，但随后的“自动”执行的动作不是由用户指定的，例如不是“手动”执行的，在手动情况下，用户指定每个要执行的动作。例如，用户通过选择每个字段并提供输入指定信息(例如，通过键入信息、选择复选框、无线电选择等)来填写电子表格为手动填写该表格，即使计算机系统必须响应于用户动作来更新该表格。该表格可通过计算机系统自动填写，其中计算机系统(例如，在计算机系统上执行的软件)分析表格的字段并填写该表格，而无需任何用户输入指定字段的答案。如上面所指示的，用户可援引表格的自动填写，但不参与表格的实际填写(例如，用户不用手动指定字段的答案而是它们自动地完成)。本说明书提供了响应于用户已采取的动作而自动执行的操作的各种示例。

并发—指的是并行执行或实施，其中任务、进程、信令、消息或程序按照至少部分重叠地方式执行。例如，可使用“强”或严格的并行性来实现并发性，其中在相应计算元件上(至少部分地)并行执行任务；或者使用“弱并行性”来实现并发性，其中以交织的方式(例如，通过执行线程的时间复用)执行任务。

被配置为—各种部件可被描述为“被配置为”执行一个或多个任务。在此类环境中，“被配置为”是一般表示“具有”在操作期间执行一个或多个任务的“结构”的宽泛表述。由此，即使在部件当前没有执行任务时，该部件也能被配置为执行该任务(例如，一组电导体可被配置为将模块电连接到另一个模块，即使当这两个模块未连接时)。在一些环境中，“被配置为”可以是一般意味着“具有在操作过程中执行一个或多个任务的电路系统”的结构的宽泛叙述。由此，即使在部件当前未接通时，该部件也能被配置为执行任务。通常，形成与“被配置为”对应的结构的电路可包括硬件电路。

为了便于描述，可将各种部件描述为执行一个或多个任务。此类描述应当被解释为包括短语“被配置为”。表述被配置为执行一个或多个任务的部件明确地旨在对该部件不援引35 U.S.C.§112(f)的解释。

图1和图2—通信系统

图1示出根据一些实施方案的简化的示例性无线通信系统。需注意，图1的系统仅是可能的系统的一个示例，并且可根据需要在各种系统中的任何一个中实施本公开的特征。

如图所示，示例性无线通信系统包括基站102A，该基站通过传输介质与一个或多个用户设备106A、用户设备106B到用户设备106N等通信。在本文中可以将用户装置中的每个称为“用户设备”或“用户设备装置”(UE)。因此，用户设备106称为UE或UE设备。

基站(BS)102A可以是收发器基站(BTS)或小区站点(“蜂窝式基站”)，并且可包括实现与UE 106A到UE 106N的无线通信的硬件。

基站的通信区域(或覆盖区域)可称为“小区”。基站102A和UE 106可被配置为利用各种无线电接入技术(RAT)中的任一者通过传输介质进行通信，该无线电接入技术也被称为无线通信技术或电信标准，诸如GSM、UMTS(与例如WCDMA或TD-SCDMA空中接口相关联)、LTE、高级LTE(LTE-A)、5G新无线电(5G NR)、HSPA、3GPP2 CDMA2000(例如，1xRTT、1xEV-DO、HRPD、eHRPD)等等。需注意，如果在LTE的环境中实施基站102A，则其另选地可被称为“eNodeB”或“eNB”。需注意，如果在5G NR的环境中实施基站102A，则其另选地可被称为“gNodeB”或“gNB”。

如图所示，基站102A也可被配备为与网络100(例如，在各种可能性中，蜂窝式服务提供商的核心网、电信网络诸如公共交换电话网(PSTN)和/或互联网)进行通信。因此，基站102A可促进用户设备之间和/或用户设备与网络100之间的通信。特别地，蜂窝式基站102A可提供具有各种通信能力诸如语音、SMS和/或数据服务的UE 106。

基站102A和根据相同或不同的蜂窝通信标准进行操作的其他类似的基站(诸如基站102B……102N)可因此被提供作为小区的网络，该小区的网络可经由一个或多个蜂窝通信标准在地理区域上向UE 106A-N和类似的设备提供连续或几乎连续的重叠服务。

因此，尽管基站102A可充当如图1中所示的UE 106A-N的“服务小区”，但是每个UE106还可能够从一个或多个其他小区(可由基站102B-N和/或任何其他基站提供)接收信号(并可能在其通信范围内)，该一个或多个其他小区可被称为“相邻小区”。此类小区也可能够促进用户设备之间和/或用户设备和网络100之间的通信。此类小区可包括“宏”小区、“微”小区、“微微”小区和/或提供服务区域大小的任何各种其他粒度的小区。例如，在图1中示出的基站102A-B可为宏小区，而基站102N可为微小区。其他配置也是可能的。

在一些实施方案中，基站102A可以是下一代基站，例如，5G新无线电(5G NR)基站或“gNB”。在一些实施方案中，gNB可连接到传统演进分组核心(EPC)网络和/或连接到新无线电通信核心(NRC)网络。此外，gNB小区可包括一个或多个过渡和接收点(TRP)。此外，能够根据5G NR操作的UE可连接到一个或多个gNB内的一个或多个TRP。

需注意，UE 106能够使用多个无线通信标准进行通信。例如，除至少一种蜂窝通信协议(例如，GSM、UMTS(与例如WCDMA或TD-SCDMA空中接口相关联)、LTE、LTE-A、5G NR、HSPA、3GPP2 CDMA2000(例如，1xRTT、1xEV-DO、HRPD、eHRPD)等)之外，UE 106可被配置为使用无线联网(例如，Wi-Fi)和/或对等无线通信协议(例如，蓝牙、Wi-Fi对等，等)进行通信。如果需要的话，UE 106还可以或另选地被配置为使用一个或多个全球导航卫星系统(GNSS，例如GPS或GLONASS)、一个或多个移动电视广播标准(例如，ATSC-M/H或DVB-H)和/或任何其他无线通信协议进行通信。无线通信标准的其它组合(包括多于两种无线通信标准)也是可能的。

图2示出根据一些实施方案的与基站102通信的用户装备106(例如，设备106A至设备106N中的一个设备)。UE 106可以是具有蜂窝通信能力的设备，诸如移动电话、手持式设备、计算机或平板计算机或事实上任何类型的无线设备。

UE 106可包括被配置为执行存储在存储器中的程序指令的处理器。UE 106可通过执行此类存储的指令来执行本发明所述的方法实施方案中的任何一个。另选地或除此之外，UE 106可包括可编程硬件元件，诸如被配置为执行本发明所述的方法实施方案中的任何一个或本发明所述的方法实施方案中的任何一个的任何部分的现场可编程门阵列(FPGA)。

UE 106可包括用于使用一个或多个无线通信协议或技术进行通信的一个或多个天线。在一些实施方案中，UE 106可被配置为使用例如CDMA2000(1xRTT、1xEV-DO、HRPD、eHRPD)或使用单个共享无线电部件的LTE和/或使用单个共享无线电部件的GSM或LTE进行通信。共享无线电部件可耦接到单根天线，或者可耦接到多根天线(例如，对于MIMO)，以用于执行无线通信。通常，无线电部件可包括基带处理器、模拟射频(RF)信号处理电路(例如，包括滤波器、混频器、振荡器、放大器等)或数字处理电路(例如，用于数字调制以及其他数字处理)的任何组合。类似地，该无线电部件可使用前述硬件来实现一个或多个接收链和发射链。例如，UE 106可在多种无线通信技术诸如上面论述的那些之间共享接收链和/或发射链的一个或多个部分。

在一些实施方案中，UE 106针对被配置为用其进行通信的每个无线通信协议而可包括单独的发射链和/或接收链(例如，包括单独的天线和其他无线电部件)。作为另一种可能性，UE 106可包括在多个无线通信协议之间共享的一个或多个无线电部件，以及由单个无线通信协议唯一地使用的一个或多个无线电部件。例如，UE 106可包括用于使用LTE或5GNR(或者LTE或1xRTT、或者LTE或GSM)中的任一者进行通信的共享无线电部件、以及用于使用Wi-Fi和蓝牙中的每一者进行通信的单独无线电部件。其他配置也是可能的。

图3—UE的框图

图3示出根据一些实施方案的通信设备106的示例性简化框图。需注意，图3的通信设备的框图仅仅是可能的通信设备的一个示例。根据实施方案，除了其他设备之外，通信设备106可以是用户装备(UE)设备、移动设备或移动站、无线设备或无线站、台式计算机或计算设备、移动计算设备(例如膝上型电脑、笔记本或便携式计算设备)、平板电脑和/或设备的组合。如图所示，通信设备106可包括被配置为执行核心功能的一组部件300。例如，该组部件可被实施为片上系统(SOC)，其可包括用于各种目的的部分。另选地，该组部件300可被实施为用于各种目的的单独部件或部件组。这组部件300可(例如，通信地；直接或间接地)耦接到通信设备106的各种其他电路。

例如，通信设备106可包括各种类型的存储器(例如，包括与非门(NAND)闪存310)、输入/输出接口诸如连接器I/F 320(例如，用于连接到计算机系统；坞站；充电站；输入设备，诸如麦克风、相机、键盘；输出设备，诸如扬声器；等)、可与通信设备106集成的或在通信设备106外部的显示器360、以及诸如用于5G NR、LTE、GSM等的蜂窝通信电路330、以及短程至中程无线通信电路329(例如，Bluetooth^TM和WLAN电路)。在一些实施方案中，通信设备106可包括有线通信电路(未示出)，诸如例如用于以太网的网络接口卡。

蜂窝通信电路330可(例如，通信地；直接或间接地)耦接到一个或多个天线，诸如所示的天线335和336。短程至中程无线通信电路329也可(例如，通信地；直接或间接地)耦接到一个或多个天线，诸如所示的天线337和338。另选地，短程至中程无线通信电路329除了(例如，通信地；直接或间接地)耦接到天线337和338之外或作为替代，可(例如，通信地；直接或间接地)耦接到天线335和336。短程至中程无线通信电路329和/或蜂窝通信电路330可包括多个接收链和/或多个发射链，用于接收和/或发射多个空间流，诸如在多输入-多输出(MIMO)配置中。

在一些实施方案中，如下文进一步所述，蜂窝通信电路330可包括多个RAT的专用接收链(包括和/或耦接到(例如通信地；直接或间接地)专用处理器和/或无线电部件)(例如，第一接收链用于LTE，并且第二接收链用于5G NR)。此外，在一些实施方案中，蜂窝通信电路330可包括可在专用于特定RAT的无线电部件之间切换的单个发射链。例如，第一无线电部件可专用于第一RAT，例如LTE，并且可与专用接收链以及与附加无线电部件共享的发射链通信，附加无线电部件例如是可专用于第二RAT(例如，5G NR)并且可与专用接收链以及共享发射链通信的第二无线电部件。

通信设备106也可包括一个或多个用户界面元素和/或被配置为与一个或多个用户界面元素一起使用。用户界面元素可包括各种元件诸如显示器360(其可为触摸屏显示器)、键盘(该键盘可为分立的键盘或者可实施为触摸屏显示器的一部分)、鼠标、麦克风和/或扬声器、一个或多个相机、一个或多个按钮，和/或能够向用户提供信息和/或接收或解释用户输入的各种其他元件中的任何一个。

通信设备106还可包括具有SIM(用户身份识别模块)功能的一个或多个智能卡345，诸如一个或多个UICC卡(一个或多个通用集成电路卡)345。

如图所示，SOC 300可包括处理器302和显示电路304，该处理器可执行用于通信设备106的程序指令，该显示电路可执行图形处理并向显示器360提供显示信号。处理器302也可耦接到存储器管理单元(MMU)340(该MMU 340可被配置为从所述处理器302接收地址，并将那些地址转换成存储器(例如，存储器306、只读存储器(ROM)350、NAND闪存存储器310)中的位置)和/或耦接到其他电路或设备(诸如，显示电路304、短程无线通信电路229、蜂窝通信电路330、连接器I/F 320和/或显示器360)。MMU 340可被配置为执行存储器保护和页表转换或设置。在一些实施方案中，MMU 340可以被包括作为处理器302的一部分。

如上所述，通信设备106可被配置为使用无线和/或有线通信电路来进行通信。

如本文所述，通信设备106可以包括用于实现用于认证基站的本文所述的实施方案的硬件和软件部件。例如通过执行被存储在存储器介质(例如，非暂态计算机可读存储器介质)上的程序指令，通信设备106的处理器302可被配置为实施本发明所述的特征的部分或全部。另选地(或除此之外)，处理器302可被配置作为可编程硬件元件诸如FPGA(现场可编程门阵列)，或者作为ASIC(专用集成电路)。另选地(或除此之外)，结合其他部件300、304、306、310、320、329、330、340、345、350、360中的一个或多个部件，通信设备106的处理器302可被配置为实施本发明所述的特征的部分或全部。

此外，如本发明所述，处理器302可包括一个或多个处理元件。因此，处理器302可包括被配置为执行处理器302的功能的一个或多个集成电路(IC)。此外，每个集成电路都可包括被配置为执行一个或多个处理器302的功能的电路(例如，第一电路、第二电路等)。

此外，如本文所述，蜂窝通信电路330和短程无线通信电路329均可包括一个或多个处理元件。换言之，一个或多个处理元件可包括在蜂窝通信电路330中，并且类似地，一个或多个处理元件可包括在短程无线通信电路329中。因此，蜂窝通信电路330可包括被配置为执行蜂窝通信电路330的功能的一个或多个集成电路(IC)。此外，每个集成电路可包括被配置为执行蜂窝通信电路230的功能的电路(例如，第一电路、第二电路等)。类似地，短程无线通信电路329可包括被配置为执行短程无线通信电路32的功能的一个或多个IC。此外，每个集成电路可包括被配置为执行短程无线通信电路329的功能的电路(例如，第一电路、第二电路等)。

图4—基站的框图

图4示出根据一些实施方案的基站102的示例性框图。需注意，图4的基站仅为可能的基站的一个示例。如图所示，基站102可包括可执行针对基站102的程序指令的处理器404。处理器404还可以耦接到存储器管理单元(MMU)440或其他电路或设备，该MMU可以被配置为接收来自处理器404的地址并将这些地址转换为存储器(例如，存储器460和只读存储器(ROM)450)中的位置。

基站102可包括至少一个网络端口470。网络端口470可被配置为耦接到电话网，并提供有权访问如上文在图1和图2中所述的电话网的多个设备诸如UE设备106。

网络端口470(或附加的网络端口)还可被配置为或另选地被配置为耦接到蜂窝网络，例如蜂窝服务提供方的核心网络。核心网络可向多个设备诸如UE设备106提供与移动性相关的服务和/或其他服务。在一些情况下，网络端口470可经由核心网络耦接到电话网络，并且/或者核心网络可提供电话网络(例如，在蜂窝服务提供方所服务的其他UE设备中)。

在一些实施方案中，基站102可以是下一代基站，例如，5G新无线电(5G NR)基站，或“gNB”。在此类实施方案中，基站102可连接到传统演进分组核心(EPC)网络和/或连接到NR核心(NRC)网络。此外，基站102可被视为5G NR小区并且可包括一个或多个过渡和接收点(TRP)。此外，能够根据5G NR操作的UE可连接到一个或多个gNB内的一个或多个TRP。

基站102可包括至少一个天线434以及可能的多个天线。该至少一个天线434可以被配置为用作无线收发器并可被进一步配置为经由无线电部件430与UE设备106进行通信。天线434经由通信链432来与无线电部件430进行通信。通信链432可为接收链、发射链或两者。无线电部件430可被配置为经由各种无线通信标准来进行通信，该无线通信标准包括但不限于5G NR、LTE、LTE-A、GSM、UMTS、CDMA2000、Wi-Fi等。

基站102可被配置为使用多个无线通信标准来进行无线通信。在一些情况下，基站102可包括可使得基站102能够根据多种无线通信技术来进行通信的多个无线电。例如，作为一种可能性，基站102可包括用于根据LTE来执行通信的LTE无线电部件以及用于根据5GNR来执行通信的5G NR无线电部件。在这种情况下，基站102可能够作为LTE基站和5G NR基站两者来操作。作为另一种可能性，基站102可包括能够根据多种无线通信技术(例如，5GNR和Wi-Fi、LTE和Wi-Fi、LTE和UMTS、LTE和CDMA2000、UMTS和GSM等)中的任一个来执行通信的多模无线电部件。

如本发明随后进一步描述的，基站102可包括用于实施或支持本发明所述的特征的实施方式的硬件和软件部件。基站102的处理器404可被配置为例如通过执行存储在存储器介质(例如，非暂态计算机可读存储器介质)上的程序指令来实施或支持本发明所述的方法的一部分或全部的实施方式。另选地，处理器404可被配置作为可编程硬件元件诸如FPGA(现场可编程门阵列)，或作为ASIC(专用集成电路)或它们的组合。另选地(或除此之外)，结合其他部件430、部件432、部件434、部件440、部件450、部件460、部件470中的一个或多个部件，基站102的处理器404可被配置为实施或支持本发明所述的特征的一部分或全部的实施方式。

此外，如本文所述，处理器404可由一个或多个处理元件组成。换句话讲，一个或多个处理元件可包括在处理器404中。因此，处理器404可包括被配置为执行处理器404的功能的一个或多个集成电路(IC)。此外，每个集成电路都可包括被配置为执行一个或多个处理器404的功能的电路(例如，第一电路、第二电路等)。

另外，如本文所述，无线电部件430可由一个或多个处理元件组成。换句话讲，一个或多个处理元件可包括在无线电部件430中。因此，无线电部件430可包括被配置为执行无线电部件430的功能的一个或多个集成电路(IC)。此外，每个集成电路可包括被配置为执行无线电部件430的功能的电路(例如，第一电路、第二电路等)。

空闲模式基站验证

在当前蜂窝技术具体实施中，在认证基站(BS)的身份之前，用户装备设备(UE)可在上行链路和/或下行链路上与BS传送若干消息。例如，当由UE在空闲模式下执行小区选择时，可直到与BS建立连接之后才执行BS认证。例如，在经由安全模式命令过程建立连接模式之前，可不验证小区的合法性。在这些具体实施中，有可能在验证之前对UE进行攻击，例如，由伪装成有效基站的假基站来进行攻击。例如，缺少来自基站的广播信息的认证可使假小区能够不可检测地充当假冒基站。例如，攻击者可构建具有与合法小区相同的信令的小区，并且受害UE可在预占假小区时无意地传输标识或包含信息的其他标识。

图5是示出典型的初始接入过程的通信流程图。如图所示，在步骤10处激活接入层(AS)安全模式，并且由该UE在该UE已建立安全连接之前(例如，在向gNB传输“RRC安全模式完成”消息时)接收至少三个传输(在图5中标记为1、2和3：RRC连接请求内的随机接入响应消息和竞争解决消息，以及RRC连接设置消息)。虽然在传输“RRC安全模式完成”消息之后的AS信令传输可能经历安全保护，但是在已建立安全保护之前，假冒基站可能能够在这些传输期间与UE通信以从UE获得信息。

作为假小区的试图接入UE的假冒基站可导致多种不利影响。例如，如图6所示，4G网络可能偶尔将预占的UE重定向到3G或2G网络(在图6中标记为UMTS/GSM网络)。在这些具体实施中，可在激活AS安全模式之前传输来自4G基站的重定向消息。由于这种不安全的使用，假eNB可能潜在地重定向UE以接入假的2G或3G小区。攻击者然后可利用与2G或3G服务相关联的低安全性来对UE进行网络攻击。类似地，预期5G NR可采用类似的重定向技术，使得当UE触发5G呼叫或数据会话时(但在已建立安全模式之前)，假小区同样可将UE重定向到假的LTE或2G/3G小区。

另一个潜在的不利影响是UE身份获取。例如，如图7a至图7b所示，在LTE或NR注册过程期间，可在AS安全模式激活之前发生UE身份请求过程。图7a示出了涉及用于LTE通信的身份请求的典型通信流程，并且图7b示出了用于NR 5G协议的典型对应流程。在一些具体实施中，UE可以明文方式传输其身份，使得假冒基站从而可以在不安全传输期间通过假的身份请求过程来获取UE的身份。例如，如果移动管理实体(MME)未能经由UE的临时移动用户身份(TMSI)检索UE的上下文，则基站可请求UE发送其国际移动用户身份(IMSI)。由于考虑到缺乏安全上下文而不存在可能的安全模式，因此攻击者可使用该命令来获得受害UE的IMSI。

当在没有安全保护的情况下广播系统信息时，出现不安全传输的第三潜在不利影响。例如，可通过假基站错误地广播与地震和海啸预警系统(ETWS)相关的系统信息(或紧急广播信息)，从而在被配置为接收紧急广播消息的一个或多个UE的移动屏幕上产生弹出指示，并且可能危害社交稳定性。

广义地讲，如果UE不能在AS安全模式激活之前(例如，在初始接入期间或在从空闲模式转变出之后立即)将假小区与真实小区区分开来，则UE就可被诱使遵循来自假基站的基于请求将UE信息或其他信息提供至该假基站的命令。

为了解决这些和其他问题，本文的实施方案描述了用于AS传输的增强的安全机制。另选地，本文的实施方案可扩展以用于非接入层(NAS)传输。在一些实施方案中，从可信密钥导出的签名可以包括在由基站传输的现有或新定义的系统信息块(SIB)消息中。该签名可与对应的基站身份相关，或者其可与全局小区身份相关。该签名可与AS信令一起被传输，以比先前的具体实施更快地在传输协议中认证BS身份。如下文更详细所述，根据一些实施方案，该签名可被携带在MAC层的无线电资源控制(RRC)层中。

当小区合适时，UE可在执行小区选择之前验证签名。如果签名被确定为无效，则UE可禁止该假小区并发起对另一小区的重新选择。根据各种实施方案，可在广播消息(例如，当UE预占小区并被配置为接收广播消息时)或单播消息(例如，当UE执行初始接入过程时)中传输签名。当在广播消息内携带该签名时，可以引入新的系统信息块(SIB)消息以携带该签名。另选地，可将该签名集成到现有特殊SIB中，诸如与公共预警系统(PWS)相关的SIB、与多媒体广播组播服务(MBMS)相关的SIB、或主信息块(MIB)以及其他可能性。该签名可以从其他广播/SIB消息中的内容或携带该签名的相同广播/SIB消息中的内容或两者的组合来计算得出。例如，该特殊SIB可以是作为物理广播控制信道(PBCH)的一部分广播的MIB，并且该签名可以与即将到来的SIB(例如，SIB1)的调度信息一起传输。另选地，该特殊SIB可以作为物理下行链路共享信道(PDSCH)的一部分作为SIB1来被广播，使得签名与其他系统信息块的初始接入信息、小区接入信息和/或调度信息一起传输。下文更详细地描述了使用广播传输来传输签名的实施方案。

另选地，当签名被携带在单播消息内时，可响应于按需系统信息(SI)请求来传输该签名。例如，如下文更详细地描述，作为基于Msg1或Msg3的按需SI请求的一部分，可以在RACH过程的RAR/msg2或Msg4中携带该签名。可利用特殊SIB(SIB-x)来传输该签名，该特殊SIB可另外用于传输公共小区重选信息、频率内小区重选信息、频率间小区重选信息、RAT间小区重选信息、紧急主通知和/或辅助通知以及GNSS和/或UTC信息。

在一些实施方案中，按需SI请求可根据现有协议进行操作。例如，图8是示出典型的基于msg1的2步SI请求的通信流程图，并且图9是示出典型的基于msg3的4步SI请求的类似通信流程图。在一些实施方案中，可以采用这些协议中的任一种来请求包含签名的SIB。

有利的是，可仅在发起小区重选时发生该安全处理，以减少UE上的处理负载。此外，当定时不太关键时，可在UE处于空闲模式时经历由认证过程引入的处理延迟。在认证之后进入已连接模式然后可利用通常的安全模式命令。

在一些实施方案中，可能有利的是UE设备能够在漫游于与其家庭或默认网络不同的网络上时验证基站的真实性。除此之外或另选地，公钥基础设施可以提供密钥撤销和到期能力(例如，如X509证书所提供的)。

在一些实施方案中，每个蜂窝运营商可充当其自身的证书授权，并且运营商可向手机供应商提供根公钥。运营商公共证书可存储在操作系统的证书储存库中，并且可在适当的时间(例如，在认证过程期间)将适当的证书下推到基带。

每个蜂窝运营商可向每个基站发出唯一且有效的证书，并且该蜂窝运营商可用根证书的私钥对BS证书进行签名。然后，UE可用该蜂窝运营商的根公钥来验证BS证书签名。

在一些实施方案中，SIB(诸如SIB16或另一个SIB)可包含GPS信息，该GPS信息包括UTC时间戳，并且该BS可用私钥签署该SIB UTC内容和随机数值。UTC时间戳可有助于防止重放攻击，因为密钥可在短时间段内到期并且可经由SIB重配置来刷新。例如，如果由BS重复广播认证签名，则攻击者可能能够接收并确定该广播签名，并将其重新广播作为假小区。UTC或其他时间戳可通过减小期间签名有效的时间窗口来减小成功重放攻击的可能性。

在一些实施方案中，UE在空闲模式下操作时预占小区并读取基本主信息块(MIB)和SIB。该BS可用新签名配置SIB。在转换到已连接模式之前，UE可以验证签名SIB内容。在验证之后，UE可信任BS的真实性并且可继续与BS建立连接。

图10–用于AS传输的增强的安全性的流程图

图10是示出根据一些实施方案的用于UE在AS传输期间执行先行基站认证的方法的流程图。在各种实施方案中，所示方案的组成部分中的一些组成部分可按与所示顺序不同的顺序同时执行，或者可被省略。也可以根据需要执行附加和/或替代性要素。如图所示，图10的方法可如下操作。

在1002处，UE可从基站接收具有签名的认证消息。该UE可在空闲模式下操作并且可接收该认证消息作为发起连接过程的一部分。例如，可指示该UE退出空闲模式并建立与基站的连接，并且可接收该认证消息作为建立该连接的一部分。

在1004处，该UE可查验签名以确定签名是否有效。如果基站公钥和要验证的内容比签名更早地获得，则UE可以预先计算一个或多个验证签名，以与所接收的签名进行比较。该验证签名可特定于一个或多个无线技术网络、供应商或服务区域。

根据各种实施方案，UE可执行各种动作以验证BS的真实性。例如，UE可使用根证书管理机构(CA)公共证书来验证基站的公共证书签名。根据一些实施方案，UE可查验X.509参数和/或到期时间。UE可查验UTC时间戳是否在全球定位卫星(GPS)或网络时间协议(NTP)时间戳的预期误差界限内。当UE尝试建立与小区的连接时，UE可在空闲模式下对每个小区执行一次签名验证。

在1006处，如果签名被确定为有效，则UE可继续与基站通信。例如，如果作为初始接入过程的一部分接收到签名消息，则UE可继续连接过程以建立与基站的安全连接。

在1008处，如果UE确定签名无效，则UE可将小区的状态设定为被禁止，以防止从基站接收未来传输。换句话讲，UE可将基站列入黑名单并避免与基站的进一步通信。

在1010处，UE可执行小区重选以发起与另一基站的连接过程。然后，小区重选可根据步骤1002-1010再次操作，因为UE再次尝试验证从第二基站接收的签名，直到发现有效基站并建立安全连接。

特定接入层消息传送协议

以下段落详述了附加实施方案，该附加实施方案进一步详细地描述了用于接入层BS认证的消息传送结构和协议的特定性质。换句话讲，以下段落旨在提供关于如何可实施图10中详述的方法步骤的细节的进一步详述。以下内容旨在作为示例性实施方案，并非旨在以任何方式限制本公开的范围。

图11a至11d-质询-响应认证

在一些实施方案中，使用质询-响应机制(例如Diffie-Helman(DH)、质询-响应机制或另一类型的质询-响应机制)以便证明基站具有对可信私钥的控制。质询-响应的重放和中继保护可通过使用临时密钥交换来解决。为了减小UE可能易受假小区影响的窗口，可能希望在随机接入过程中尽可能快地实施质询-响应认证机制。

图11a是示出根据一些实施方案的用于执行典型DH质询-响应认证的方法的通信流程图。如图所例示，基站(BS)可经由验证的可信链向对与BS通信感兴趣的UE广播网络公钥。UE可以将网络公钥与UE已知的临时私钥组合以生成临时秘密共享密钥。然后，UE可以将与UE的临时私钥相关联的对应临时UE公钥传输回BS，BS可以结合其网络私钥使用这些公钥来生成相同的临时秘密共享密钥。然后基站可向使用秘密共享密钥编码的UE传输认证消息，该UE可使用秘密共享密钥来验证该消息是可信的，并且UE和BS然后可继续通信。

图11b是示出根据一些实施方案的用于执行蜂窝DH质询-响应认证的方法的通信流程图。图11b详述了与图11a类似的通信流，但是包括在蜂窝具体实施中使用的若干额外传输(MSG1 RACH和MSG2 RAR+TA)。

根据各种实施方案，BS的认证签名可嵌入在图11b的通信流程图内的不同消息中。在一些实施方案中，MSG3可用于嵌入UE侧质询或临时公钥。图12示出根据一些实施方案的MSG3“RRC连接请求”的详细消息结构。MSG3已经适应40位，并且可以利用随机值或临时移动用户身份(TMSI)作为UE质询(即，UE公钥随机数值)。在一些实施方案中，DH质询-响应的临时公钥可替换该随机值。在一些实施方案中，可以在稍后的消息诸如MSG5中发送公钥或随机密钥。对于在DH质询-响应过程中使用临时公钥的实施方案，MSG4之后的所有消息可以携带32至64位的消息认证码。

在一些实施方案中，UE可将随机数或者随机数值传输到MSG3中的BS，并且该随机数值可由基站签名并作为MSG4+MAC中的签名传输回UE。例如，在对从UE接收的随机数进行签名以获得该签名时，基站可通过基于基站标识符调制该随机数来修改该随机数。在一些实施方案中，基站可将随机数值与基站已知的网络私钥组合以获得由UE基于网络公钥确定的相同临时秘密密钥。

在一些实施方案中，图11b的MSG4(竞争解决消息)可用于传输该签名。还在图12的下窗口“CR+RRC连接设置”中示出MSG4的详细消息结构。MSG4可能需要适应消息验证代码消息传送，并且用于包括签名的位的数量可基于特定密码具体实施。例如，可扩展与MSG4相关联的竞争解决消息认证码CE以包括基于基站ID的签名。这在图13a中示出，其中在6个八位字节UE竞争解决标识的末尾附加6个八位字节签名。另选地，竞争解决消息认证码CE之后可以是嵌入有签名的单独的消息认证码CE。这在图13b中示出，其中6个八位字节签名作为单独的消息验证码消息被传输。

图11c至图11d示出了与图11a至图11b类似的通信流程图，但具有不涉及UE和基站两者生成公共共享密钥的更简单的通信流程。如图所示，在图11c中，BS向对经由信任链验证的通信感兴趣的UE广播公钥。作为响应，UE向BS发送随机数(旨在用于防止窃听的一次使用)，并且请求BS用BS的私钥签署该随机数。该BS然后用可基于例如随机值或该随机值和时间的签名进行响应。然后，UE可验证签名是正确的并且继续与BS通信。图11d示出了类似的通信流程图，其包括UE与BS之间的2个附加随机接入消息(MSG1 RACH和MSG2 RAR+TA)。

在一些实施方案中，由于UE通常仅在首次加入小区时发起DH质询-响应，因此利用DH质询-响应来执行接入层BS认证可减少网络加载。该UE可仅在空闲模式重选期间验证证书链，这可减少UE的延迟体验，因为在发起随机接入消息传递之前发生认证处理。具体地讲，在这些实施方案中，随机接入延迟不受影响，因为没有添加额外的握手消息。作为附加的益处，可通过先行认证BS的身份来消除未认证的RRC重定向(例如，到2G)的风险。

图14-在RRC或MAC消息结构中携带的签名

图14示出根据各种实施方案的用于要嵌入RRC或MAC消息传递中的签名的各种位置。图14的上半部示出了在RRC信令内携带签名的实施方案。在F1中所述的实施方案中，RRC消息包括在RRC消息的末尾嵌入的具有签名的受保护RRC消息。另选地，F2示出了在RRC消息的末尾附加的MAC控制元素(CE)中携带签名的实施方案。F1和F2中的每一者可用于其中在广播通信内传输签名的实施方案。

图14的下半部示出了其中在随机接入控制信道(RACH)过程期间嵌入签名的实施方案。在F3中所述的实施方案中，基站传输新的随机接入响应(RAR)消息(指定为RACHmsg2)以专门传输该签名。另选地，F4描述了其中签名被包括在包含竞争解决(CR)CE的MACCE消息内(或可能附加在MAC CE消息末尾)的实施方案，该MAC CE消息被指定为RACH Msg4。与F1和F2相比，F3和F4可用于使用单播签名传输的实施方案。

附加的单播签名传输实施方案可包括在RRC连接设置消息中或在特殊RRC消息(例如，重定向或拒绝消息)中传输签名。例如，该签名可包括在RRC连接设置消息传输中。在一些实施方案中，可在RRC连接设置消息结构中引入签名。另选地，可以引入新的签名MAC CE，其与RRC连接设置消息一起被传输。在其他实施方案中，签名可以集成到特殊RRC消息诸如重定向消息或接入层能力请求消息中。在这些实施方案中，签名同样可以被引入到特殊RRC消息结构内或新签名MAC CE内，该新签名MAC CE与特殊RRC消息一起被传输。

图15a至图15b示出根据各种实施方案的涉及以RAR格式嵌入签名的消息结构。如图15a所示，对于UE特定签名或小区特定签名，该签名可以包括在MAC subPDU 2消息内的MAC RAR信息中。当接收到该消息时，UE可首先查验新MAC RAR的完整性保护(IP)。如果IP查验失败，则UE可丢弃该消息，将小区状态设定为阻碍，然后执行小区重选。

另选地，如图15b所示，对于小区特定的签名，该签名可以被附加到没有MAC RAR信息的MAC subPDU 2消息，因此在该实施方案中需要添加用于小区特定的签名的一个附加MAC RAR消息。

图16a至图16d–在广播消息传送中包括签名

图16a至图16d是示出根据各种实施方案的用于UE通过广播签名来验证基站(标为“eNodeB”)的身份的方法的通信流程图。如图所示，UE可在LTE空闲模式下操作，并且可确定预占小区(16a)、接入网络(16b)或使用特殊系统信息块SIB-x(16c至16d)。例如，UE可接收用户输入以发起语音或视频呼叫或访问互联网，或者UE可自动尝试预占小区(例如，安装自动更新)。如图16a至图16c所示，eNodeB可以被配置为周期性地广播被指定为“SIB-x”的新系统信息块，该新系统信息块携带特定于小区的签名。根据各种实施方案，每个特殊SIB可以包含其自身的唯一签名，或者通常可以存在与SIB相关联的单个签名。对于每个SIB具有唯一签名可引入更高的开销，但可减少延迟。

另选地，如图16d所示，基站可根据需要并且响应于来自UE的SI请求传输SIB-x。在这些实施方案中，因为SIB-x仅在UE请求时传输一次，所以重放攻击可能更难在未来网络攻击中检测SIB-x并重放签名。换句话讲，由于签名传输和验证紧密联接，因此假冒基站没有足够的时间来尝试确定签名并将其用于重放攻击中。

当UE尝试预占小区时，其可监视并接收SIB-x，并且可验证包括在SIB-x内的签名是否有效。如果签名有效，则UE可继续预占小区(16a)，或者建立与基站(16a至16b)的RRC连接。另选地，UE可首先预占小区，然后一旦UE打算接入小区就查验SIB消息内的签名。如果签名无效，或者如果广播消息内不存在签名，则UE可离开小区并防止与该小区的未来通信。

总结

根据本文所述的实施方案，广播消息内携带的基站签名可使空闲状态UE能够在小区预占过程期间区分假小区。在其他实施方案中，在特殊SIB内携带的签名可以使空闲状态UE能够区分假SIB并且不遵循来自该SIB的假命令/配置(例如，ETWS或其他紧急消息)。在其他实施方案中，在初始接入过程期间在消息内携带的签名可使UE能够在该初始接入过程期间区分假小区，从而该UE可避免遵循假命令或将UE信息发送到假基站。

以下编号段落描述了本发明的另外的实施方案。

在一些实施方案中，基站包括至少一个无线电部件以及通信地耦接到该至少一个无线电部件的至少一个处理器。基站被配置为向用户装备设备(UE)传输认证消息，确定包括在认证消息内的签名是否有效，并且基于确定签名有效来继续与基站的连接过程。

在一些实施方案中，该认证消息包括无线电资源控制(RRC)连接设置消息、特殊RRC消息或包括随机接入响应(RAR)消息的随机接入信道(RACH)消息中的一者。

在一些实施方案中，该认证消息是包括在特殊系统信息块(SIB)内的广播消息。可周期性地广播该认证消息。在其他实施方案中，响应于UE的按需系统信息请求来传输该认证消息。

在一些实施方案中，该认证消息还包括竞争解决消息，并且该竞争解决消息与签名一起被查验。在一些实施方案中，该认证消息作为初始访问过程的一部分被传输。在一些实施方案中，在Diffie-Hellman(DH)质询-响应认证过程期间传输该认证消息。

可以各种形式中的任一种形式来实现本公开的实施方案。例如，可将一些实施方案实现为计算机实现的方法、计算机可读存储器介质或计算机系统。可使用一个或多个定制设计的硬件设备诸如ASIC来实现其他实施方案。可使用一个或多个可编程硬件元件诸如FPGA来实现其他实施方案。

在一些实施方案中，非暂态计算机可读存储器介质可被配置为使得其存储程序指令和/或数据，其中如果该程序指令由计算机系统执行，则使计算机系统执行方法，例如本文所述的方法实施方案中的任一种方法实施方案，或本文所述的方法实施方案的任何组合，或本文所述的任何方法实施方案中的任何子集，或此类子集的任何组合。

在一些实施方案中，无线设备(或无线站点)可被配置为包括处理器(或一组处理器)和存储器介质，其中存储器介质存储程序指令，其中该处理器被配置为从该存储器介质中读取并执行该程序指令，其中该程序指令是可执行的以令无线设备实现本文所述的各种方法示例中的任一种方法示例(或本文所述方法示例的任何组合，或本文所述的任何方法示例中的任何子集或此类子集的任何组合)。可以各种形式中的任一种来实现该设备。

虽然已相当详细地描述了上面的实施方案，但是一旦完全了解上面的公开，许多变型和修改对于本领域的技术人员而言将变得显而易见。本公开旨在使以下权利要求书被阐释为包含所有此类变型和修改。

Claims (24)

1.一种用户装备设备(UE)，包括：

至少一个无线电部件；

存储器；和

至少一个处理器，所述至少一个处理器通信地耦接至所述至少一个无线电部件和所述存储器；

其中所述UE被配置为：

在空闲模式下操作；

当在所述空闲模式下操作时，从基站接收认证消息作为发起连接过程的一部分；

确定包括在所述认证消息内的签名是否有效；以及

基于确定所述签名有效，继续与所述基站的所述连接过程。

2.根据权利要求1所述的UE，

其中所述UE被进一步配置为：

基于确定包括在所述认证消息内的所述签名无效：

将所述基站指定为被禁止的基站；以及

执行小区重选以发起与另一个基站的连接过程。

3.根据权利要求1所述的UE，

其中所述认证消息包括以下中的一者：

无线电资源控制(RRC)连接设置消息；

特殊RRC消息；或者

随机接入信道(RACH)消息，所述RACH消息包括随机接入响应(RAR)消息。

4.根据权利要求1所述的UE，

其中所述认证消息是包括在特殊系统信息块(SIB)内的广播消息。

5.根据权利要求1所述的UE，

其中响应于所述UE的按需系统信息请求来接收所述认证消息。

6.根据权利要求1所述的UE，

其中所述认证消息还包括竞争解决消息，并且

其中所述竞争解决消息与所述签名一起被查验。

7.根据权利要求1所述的UE，

其中所述认证消息作为初始访问过程的一部分被接收。

8.根据权利要求1所述的UE，

其中所述UE被进一步配置为：

从所述基站接收公钥；

将随机数值传输到所述基站作为质询-响应认证过程的一部分；

其中响应于所述UE将所述随机数值传输到所述基站，在所述质询-响应认证过程期间接收所述认证消息；以及

其中所述签名基于所述随机数值和所述基站的私钥。

9.根据权利要求1所述的UE，

其中所述签名是小区特定的，并且

其中所述认证消息是用于传输所述签名的新的随机接入响应(RAR)消息。

10.根据权利要求1所述的UE，

其中所述签名是UE特定的，并且

其中所述认证消息是已附加有所述签名的现有随机接入响应(RAR)消息。

11.一种用于使用接入层传输来认证基站的身份的方法，所述方法包括：

由用户装备设备(UE)：

当所述UE在空闲模式下操作时从所述基站接收认证消息作为发起连接过程的一部分；

由所述UE确定包括在所述认证消息内的签名是否有效；以及

基于确定所述签名有效，继续与所述基站的连接过程。

12.根据权利要求11所述的方法，

其中所述认证消息由所述基站周期性地广播。

13.根据权利要求11所述的方法，所述方法还包括：

由所述UE：

基于确定包括在所述认证消息内的所述签名无效：

将所述基站指定为被禁止的基站；以及

执行小区重选以发起与另一个基站的连接过程。

14.根据权利要求11所述的方法，

其中所述认证消息包括以下中的一者：

无线电资源控制(RRC)连接设置消息；

特殊RRC消息；或者

随机接入信道(RACH)消息，所述RACH消息包括随机接入响应(RAR)消息。

15.根据权利要求11所述的方法，

其中所述认证消息还包括竞争解决消息，并且

其中所述竞争解决消息与所述签名一起被查验。

16.一种被配置用于在用户装备设备(UE)内实现的装置，所述装置包括：

一个或多个处理元件，所述一个或多个处理元件被配置为使得所述UE：

在空闲模式下操作；

当在所述空闲模式下操作时，从基站接收认证消息作为发起连接过程的一部分；

确定包括在所述认证消息内的签名是否有效；以及

基于确定所述签名有效，继续与所述基站的所述连接过程。

17.根据权利要求16所述的装置，

其中所述一个或多个处理元件被进一步配置为使得所述UE：

基于确定包括在所述认证消息内的所述签名无效：

将所述基站指定为被禁止的基站；以及

执行小区重选以发起与另一个基站的连接过程。

18.根据权利要求16所述的装置，

其中所述一个或多个处理元件被进一步配置为使得所述UE：

从所述基站接收公钥；

将随机数值传输到所述基站作为质询-响应认证过程的一部分；

其中响应于所述UE将所述随机数值传输到所述基站，在所述质询-响应认证过程期间接收所述认证消息；以及

其中所述签名基于所述随机数值和所述基站的私钥。

19.根据权利要求16所述的装置，

其中所述签名是小区特定的，并且

其中所述认证消息是用于传输所述签名的新的随机接入响应(RAR)消息。

20.根据权利要求16所述的装置，

其中所述签名是UE特定的，并且

其中所述认证消息是已附加有所述签名的现有随机接入响应(RAR)消息。

21.一种基站，所述基站包括：

无线电部件；和

一个或多个处理器，所述一个或多个处理器耦接至所述无线电部件，

其中所述基站被配置为：

将第一公钥传输到用户装备设备(UE)；

从所述UE接收第二公钥，其中所述第二公钥是临时的；

从所述第二公钥和所述基站已知的私钥生成临时秘密共享密钥；以及

向所述UE传输消息认证码，其中基于所述临时秘密共享密钥来生成所述消息认证码。

22.根据权利要求21所述的基站，

其中所述消息认证码能够被所述UE用于验证所述基站的身份。

23.一种用户装备设备(UE)，所述用户装备设备包括：

至少一个无线电部件；

存储器；和

至少一个处理器，所述至少一个处理器通信地耦接至所述至少一个无线电部件和所述存储器；

其中所述UE被配置为：

从基站接收第一公钥；

从所述第一公钥和所述UE已知的私钥生成临时秘密共享密钥；

将第二公钥传输到所述基站，其中所述第二公钥是临时的；以及

从所述基站接收消息认证码，其中所述消息认证码是由所述基站基于所述临时秘密共享密钥生成的。

24.根据权利要求23所述的UE，其中所述UE被进一步配置为：

使用所述临时秘密共享密钥来解码所述消息认证码以验证所述基站的身份。

Images