CN112913205A - 用户设备中提供的配置参数的安全更新系统和方法 - Google Patents
用户设备中提供的配置参数的安全更新系统和方法 Download PDFInfo
- Publication number
- CN112913205A CN112913205A CN201980070436.9A CN201980070436A CN112913205A CN 112913205 A CN112913205 A CN 112913205A CN 201980070436 A CN201980070436 A CN 201980070436A CN 112913205 A CN112913205 A CN 112913205A
- Authority
- CN
- China
- Prior art keywords
- nas
- message
- configuration parameter
- parameter update
- amf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
- H04W8/245—Transfer of terminal data from a network towards a terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
Abstract
使用控制平面功能来更新UE上的配置参数的系统和方法。在一个实施方案中,移动网络的AMF元件从UDM元件接收包括所述UE的UE配置参数更新的控制平面消息。所述UE配置参数更新经由安全分组、完整性保护等受安全保护。所述AMF元件被配置成将所述UE配置参数更新透明地发送至所述UE。因此,AMF元件将(受安全保护的)所述UE配置参数更新插入非接入层(NAS)消息的容器中,并将所述NAS消息发送至所述UE。当安全检查完成时,所述UE然后可以基于所述更新来更新其配置参数。
Description
相关申请
本非临时专利申请要求2018年10月6日提交的第62/742,341号美国临时专利申请的优先权,所述专利申请以引用方式完整地并入本文中。
技术领域
本公开涉及通信系统的领域,且具体来说,涉及更新移动装置。
背景技术
服务提供商或运营商实施移动网络,以向通常被称为用户设备(UE)的移动电话或其他移动装置/终端的最终用户提供大量语音和数据服务。语音服务的一些示例是语音呼叫、呼叫转移、呼叫等待等。数据服务的一些示例是因特网访问、流媒体音频、流媒体视频、在线游戏、因特网协议电视(IP-TV)等。移动网络是到最终用户的最后链接为无线的一种网络类型。移动网络通常包括核心网络以及通过无线电接口与UE交换信令和数据的一个或多个无线电接入网(RAN)。
通常向UE提供订户的国际移动订户标识(IMSI)、安全认证、加密信息和其他配置参数。可能存在UE的家庭网络需要更新UE中的一个或多个配置参数的情况。例如,当发生订阅改变时,当存在新的服务分配时,当移动网络从长期演进(LTE)迁移到下一代网络时等,UE的家庭网络可以更新配置参数。因此,有益的是识别用于更新UE中的配置参数的增强过程。
发明内容
本文描述的实施方案使用非接入层(NAS)消息来提供对UE配置参数的更新。作为概述,迁移到下一代网络的移动网络可以包括统一数据管理(UDM)以及接入和移动性管理功能(AMF)。位于UE的家庭网络中的UDM被配置成为UE汇编具有安全保护(例如,安全分组、完整性保护等)的UE配置参数更新。UDM将带有安全保护的UE配置参数更新发送至AMF。AMF又被配置成使用NAS消息将UE配置参数更新透明地发送至UE。同样,UE配置参数更新在NAS消息中受安全保护。在接收到NAS消息后,UE被配置成基于NAS消息中提供的更新来更新其UE配置参数。此过程的一个技术优势是为UE配置参数更新提供了端到端的安全性。另一个技术优势是可以使用本机控制平面功能来更新UE配置参数。因此,不需要部署专用网络元件来为UE提供更新。
一个实施方案包括移动网络的AMF元件。AMF元件包括处理器和存储器,所述存储器包括处理器可执行的计算机程序代码。处理器被配置成致使AFM元件从UDM元件接收包括UE的UE配置参数更新的控制平面消息。UE配置参数更新根据保护机制受安全保护。处理器还被配置成致使AFM元件将受安全保护的UE配置参数更新插入第一NAS消息的容器中,其中所述容器被指定用于UE配置参数更新。处理器还被配置成致使AFM元件将第一NAS消息发送至UE,所述第一NAS消息具有包括受安全保护的UE配置参数更新的容器。
在另一个实施方案中,根据保护机制,将UE配置参数更新封装在安全分组中。
在另一个实施方案中,根据保护机制,使用UE的NAS安全上下文对UE配置参数更新进行完整性保护。
在另一个实施方案中,将UE配置参数更新封装在安全分组中,并且根据保护机制,使用UE的NAS安全上下文对安全分组进行完整性保护。
在另一个实施方案中,第一NAS消息包括在NAS注册过程期间发送至UE的NAS注册接受消息。处理器还被配置成致使AMF元件在NAS注册过程期间从UE接收第二NAS消息,所述第二NAS消息具有包括接收到UE配置参数更新的UE确认的容器;并将具有UE确认的另一控制平面消息发送至UDM元件。从UE接收的第二NAS消息可以包括NAS注册完成消息或上行链路NAS传输消息。
在另一个实施方案中,第一NAS消息包括在NAS注册过程之后执行的NAS传输过程的下行链路NAS传输消息。处理器还被配置成致使AMF元件从UE接收第二NAS消息,所述第二NAS消息具有包括来自UE的接收到UE配置参数更新的UE确认的容器;并将具有UE确认的另一控制平面消息发送至UDM元件。第二NAS消息包括上行链路NAS传输消息。
另一个实施方案包括一种执行更新过程以更新在UE上提供的UE配置参数的方法。所述方法包括在AMF元件中从UDM元件接收包括UE的UE配置参数更新的控制平面消息。UE配置参数更新根据保护机制受安全保护。所述方法还包括在AMF元件处将受安全保护的UE配置参数更新插入第一NAS消息的容器中,其中所述容器被指定用于UE配置参数更新。所述方法还包括将第一NAS消息从AMF元件发送至UE,所述第一NAS消息具有包括受安全保护的UE配置参数更新的容器。
在另一个实施方案中,根据保护机制,将UE配置参数更新封装在安全分组中。
在另一个实施方案中,根据保护机制,使用UE的NAS安全上下文对UE配置参数更新进行完整性保护。
在另一个实施方案中,将UE配置参数更新封装在安全分组中,并且根据保护机制,使用UE的NAS安全上下文对安全分组进行完整性保护。
在另一个实施方案中,第一NAS消息包括在NAS注册过程期间从AMF元件发送至UE的NAS注册接受消息。
在另一个实施方案中,所述方法还包括在NAS注册过程期间在AMF元件处从UE接收第二NAS消息,所述第二NAS消息具有包括接收到UE配置参数更新的UE确认的容器;以及将具有UE确认的另一控制平面消息从AMF元件发送至UDM元件。第二NAS消息可以包括NAS注册完成消息或上行链路NAS传输消息。
在另一个实施方案中,第一NAS消息包括在NAS注册过程之后执行的NAS传输过程的下行链路NAS传输消息。
在另一个实施方案中,所述方法还包括在AMF元件处从UE接收第二NAS消息,所述第二NAS消息具有包括来自UE的接收到UE配置参数更新的UE确认的容器;以及将具有UE确认的另一控制平面消息从AMF元件发送至UDM元件。第二NAS消息包括上行链路NAS传输消息。
在另一个实施方案中,所述方法还包括:在UE处从AMF元件接收第一NAS消息,所述第一NAS消息具有包括受安全保护的UE的UE配置参数更新的容器;在UE处执行安全检查以验证UE配置参数更新;以及当验证UE配置参数更新时,基于UE配置参数更新来更新UE配置参数中的一个或多个。
在另一个实施方案中,当第一NAS消息包括重新注册指示符时,所述方法还包括在UE处发起NAS注册过程以使用更新后的UE配置参数来重新注册。
另一个实施方案包括UE,所述UE包括托管通用订户识别模块(USIM)的通用集成电路卡(UICC)、处理器,以及包括可由所述处理器执行的计算机程序代码的存储器。UICC和存储器中的一个或两个存储UE的UE配置参数。处理器被配置成致使UE从AMF元件接收第一NAS消息,所述第一NAS消息具有包括根据保护机制受安全保护的UE的UE配置参数更新的容器。UICC和/或处理器被配置成致使UE执行安全检查以验证UE配置参数更新;以及当验证UE配置参数更新时,基于UE配置参数更新来更新UE配置参数中的一个或多个。
在另一个实施方案中,将UE配置参数更新封装在第一NAS消息的容器内的安全分组中。
在另一个实施方案中,使用UE的NAS安全上下文对UE配置参数更新进行完整性保护。
在另一个实施方案中,将UE配置参数更新封装在第一NAS消息的容器内的安全分组中,并且使用UE的NAS安全上下文来对安全分组进行完整性保护。
在另一个实施方案中,第一NAS消息包括在NAS注册过程期间发送至UE的NAS注册接受消息。
在另一个实施方案中,当NAS注册接受消息包括UE确认指示符时,处理器还被配置成致使UE将第二NAS消息发送至AMF元件,所述第二NAS消息具有包括来自UE的接收到UE配置参数更新的UE确认的容器。第二NAS消息可以包括NAS注册完成消息或上行链路NAS传输消息。
在另一个实施方案中,第一NAS消息包括在NAS注册过程之后执行的NAS传输过程的下行链路NAS传输消息。
在另一个实施方案中,当下行链路NAS传输消息包括UE确认指示符时,处理器还被配置成致使UE将上行链路NAS传输消息发送至AMF元件,所述上行链路NAS传输消息具有包括来自UE的接收到UE配置参数更新的UE确认的容器。
在另一个实施方案中,当第一NAS消息包括重新注册指示符时,所述处理器还被配置成致使UE发起NAS注册过程以使用更新后的UE配置参数来重新注册。
另一个实施方案包括AMF元件,所述AMF元件包括用于从UDM元件接收包括UE的UE配置参数更新的控制平面消息的构件。UE配置参数更新根据保护机制受安全保护。AMF元件还包括:用于将受安全保护的UE配置参数更新插入第一NAS消息的容器中的构件;以及用于将第一NAS消息发送至UE的构件,所述第一NAS消息具有包括受安全保护的UE配置参数更新的容器。
另一个实施方案包括UE,所述UE包括用于存储UE的UE配置参数的构件。UE还包括:用于从AMF元件接收第一NAS消息的构件,所述第一NAS消息具有包括根据保护机制受安全保护的UE的UE配置参数更新的容器;用于执行安全检查以验证UE配置参数更新的构件;以及用于在验证UE配置参数更新时基于UE配置参数更新来更新UE配置参数中的一个或多个的构件。
上面的概述提供了对说明书的一些方面的基本理解。此概述不是对说明书的详尽概述。它既不旨在标识本说明书的关键或重要元素,也不旨在描述本说明书的特定实施方案的任何范围或权利要求的任何范围。它的唯一目的是以简化形式呈现说明书的一些概念,以作为下文所呈现的更详细的描述的序言。
附图说明
现通过示例的方式并且参考附图来描述本发明的一些实施方案。在所有附图上,相同的附图标记表示相同的元件或相同类型的元件。
图1示出了说明性实施方案中的移动网络。
图2示出了演进分组核心(EPC)网络。
图3示出了下一代网络的非漫游架构。
图4示出了下一代网络的漫游架构。
图5示出了无线电协议栈。
图6是说明性实施方案中的UE的框图。
图7是说明性实施方案中的用于UE的功能模型。
图8是说明性实施方案中的AMF元件的框图。
图9是说明性实施方案中的UDM元件的框图。
图10是示出了说明性实施方案中的在UDM元件中执行更新过程的方法的流程图。
图11是示出了说明性实施方案中的在AMF元件中执行更新过程的方法的流程图。
图12是示出了说明性实施方案中的在UE中执行更新过程的方法的流程图。
图13是示出了说明性实施方案中的在注册期间的更新过程的消息图。
图14是示出了说明性实施方案中的在注册之后的更新过程的消息图。
图15是示出了说明性实施方案中的在注册期间的更新过程的消息图。
图16是示出了说明性实施方案中的在注册之后的更新过程的消息图。
图17是示出了说明性实施方案中的在注册期间的更新过程的消息图。
图18是示出了说明性实施方案中的在注册之后的更新过程的消息图。
具体实施方式
附图和以下描述示出了具体的示例性实施方案。因此应了解,本领域的技术人员将能够设想各种布置,虽然这些布置未在本文中明确地描述或展示,但是它们体现了实施方案的原理并且包括在实施方案的范围内。此外,本文中描述的任何示例旨在帮助理解实施方案的原理,并且应解释为不限于这些具体列举的示例和条件。因此,一个或多个发明构思不限于以下描述的特定实施方案或示例,而是由权利要求书及其等同物来限定。
图1示出了说明性实施方案中的移动网络100。移动网络100(也称为蜂窝网络)是最后一条链路为无线的一种网络类型,并且向多个装置提供语音和/或数据服务。移动网络100可以是第三代(3G)、第四代(4G)和/或下一代网络(例如,第五代(5G))。
移动网络100被示为向UE 110(以及未示出的其他UE)提供通信服务。可以使UE110获得语音服务、数据服务、机器对机器(M2M)或机器类型通信(MTC)服务、物联网(IoT)服务,和/或其他服务。UE 110可以是例如移动电话(例如,智能电话)、平板计算机或PDA、具有移动宽带适配器的计算机等最终用户装置。
移动网络100包括通过无线电接口122与UE 110进行通信的一个或多个无线电接入网(RAN)120。RAN 120可以支持演进型UMTS陆地无线接入网(E-UTRAN)接入、无线局域网(WLAN)接入、固定接入、卫星无线电接入、新无线电接入技术(RAT)等。作为示例,RAN 120可以包括E-UTRAN或下一代RAN(NG-RAN),其包括分散在地理区域上的一个或多个基站124。基站124可以包括使用无线电通信技术在许可频谱上与UE进行通信并且使UE与核心网络介接的实体。E-UTRAN中的基站124被称为演进型NodeB(eNodeB)。NG-RAN中的基站124被称为gNodeB(NR基站)和/或ng-eNodeB(支持5G核心网的LTE基站)。作为另一示例,RAN 120可以包括WLAN,所述WLAN包括一个或多个无线接入点(WAP)125。WLAN是其中UE能够通过无线(无线电)连接而连接至局域网(LAN)的网络。WAP 125是使用无线电通信技术以通过非许可频谱与UE进行通信并提供对核心网络的UE访问的节点。WAP 125的一个示例是在2.4GHz或5GHz无线电频段上运行的WiFi接入点。如本文所使用的术语“基站”可以指代eNodeB、gNodeB、ng-eNodeB、WAP等。
UE 110能够附接至RAN 120的小区126以访问核心网络130。因此,RAN 120代表UE110与核心网络130之间的无线电接口。核心网络130是移动网络100的中心部分,其向通过RAN 120所连接的客户提供各种服务。核心网络130的一个示例是由3GPP针对LTE建议的演进分组核心(EPC)网络。核心网络130的另一个示例是3GPP建议的5G核心网络。核心网络130包括网络元件132,其可以包括为UE 110提供服务的服务器、装置、设备或装备(包括硬件)。EPC网络中的网络元件132可以包括移动性管理实体(MME)、服务网关(S-GW)、分组数据网络网关(P-GW)等。5G网络中的网络元件132可以包括接入和移动性管理功能(AMF)、会话管理功能(SMF)、策略控制功能(PCF)、应用功能(AF)、用户平面功能(UPF)等。
图2示出了演进分组核心(EPC)网络200,其是用于LTE的核心网络。EPC网络200包括移动性管理实体(MME)214、服务网关(S-GW)215、分组数据网络网关(P-GW)216、归属订户服务器(HSS)217以及策略和计费规则功能(PCRF)218,但也可以包括其他未显示的元件,例如IP多媒体子系统(IMS)应用服务器。在EPC网络200内,用户数据(也称为“用户平面”)和信令(也称为“控制平面”)是分开的。MME 214处理EPC网络200中的控制平面。例如,MME 214处理与用于E-UTRAN接入的移动性和安全性有关的信令。MME 214负责跟踪和寻呼空闲模式下的UE 110。S-GW 215和P-GW 216处理用户平面。S-GW 215和P-GW 216在UE 110与外部数据网络240(DN或分组数据网络(PDN))之间传输数据流量。S-GW 215是无线电侧与EPC网络200之间的互连点,并且通过路由传入和传出IP分组来为UE 110服务。S-GW 215也是LTE内移动性的锚点(即,在eNodeB之间进行切换的情况下),并且在LTE与其他3GPP接入之间。P-GW216是EPC网络200与外部数据网络240之间的互连点(即,数据网络240的入口点或出口点),并将分组路由到数据网络240和从所述数据网络路由分组。HSS 217是存储与用户有关和与订户有关的信息的数据库。PCRF 218在EPC网络200中提供策略和计费控制(PCC)解决方案,并且是EPC网络200的为最终用户请求的服务制定PCC规则的节点或实体。
MME 214通过S1-MME接口连接至RAN 120(即,eNodeB),并且S-GW 215通过S1-U接口连接至RAN 120。MME 214通过S11接口连接至S-GW 215,并且通过S6a接口连接至HSS217。PCRF 218通过Gx接口连接至P-GW 216,所述接口将策略和计费规则从PCRF 218传输到P-GW 216中的策略和计费执行功能(PCEF)。PCRF 218通过Gxx接口连接至S-GW 215,并且S-GW 215通过S5接口连接至P-GW 216。
图3示出了下一代网络的非漫游架构300。图3中的架构是参考点表示,如在如同完全包含在本文中以引用方式并入的3GPP TS 23.501(v15.3.0)中进一步描述。架构300包括用于核心网络的网络功能(NF),并且用于控制平面的网络功能与用户平面分开。核心网络的控制平面包括认证服务器功能(AUSF)310、统一数据管理(UDM)312、网络片选择功能(NSSF)313、接入和移动性管理功能(AMF)314、会话管理功能(SMF)316、策略控制功能(PCF)318和应用功能(AF)320。核心网络的用户平面包括与数据网络240通信的一个或多个用户平面功能(UPF)324。UE 110能够通过(R)AN 120访问核心网络的控制平面和用户平面。
AUSF 310被配置成支持UE 110的认证。UDM 312被配置成存储UE 110的订阅数据/信息。UDM 312可以存储三种类型的用户数据:订阅、策略和与会话有关的上下文(例如,UE位置)。AMF 314被配置成提供基于UE的认证、授权、移动性管理等。SMF 316被配置成提供以下功能性:会话管理(SM)、UE因特网协议(IP)地址分配和管理、UPF的选择和控制、朝向PCF318的接口的终止、策略执行和服务质量(QoS)的控制部分、合法拦截、NAS消息的SM部分的终止、下行链路数据通知(DNN)、漫游功能性、处理本地执行以对服务水平协议(SLA)应用QoS、计费数据收集和计费接口等。如果UE 110具有多个会话,则可以将不同的SMF分配给每个会话以分别管理它们,并可能在每个会话提供不同的功能性。PCF 318被配置成支持统一策略框架以管理网络行为,并提供策略规则来控制平面功能以用于QoS执行、计费、接入控制、流量路由等。AF 320将有关分组流的信息提供给PCF 318。基于所述信息,PCF 318被配置成确定关于移动性和会话管理的策略规则,以使AMF 314和SMF 316正常运行。
UPF 324支持各种用户平面操作和功能性,例如分组路由和转发、流量处理(例如QoS执行)、RAT内/RAT间移动性的锚点(适用时)、分组检查和策略规则执行、合法拦截(UP收集)、流量统计和报告等。数据网络240不是核心网络的一部分,并且提供因特网访问、运营商服务、第三方服务等。例如,国际电信联盟(ITU)将5G移动网络服务分为三类:增强型移动宽带(eMBB)、超可靠和低延迟通信(uRLLC),以及大规模机器类型通信(mMTC)或大规模物联网(MIoT)。eMBB专注于具有高带宽要求的服务,例如HD视频、虚拟现实(VR)和增强现实(AR)。uRLLC专注于对延迟敏感的服务,例如自动驾驶和远程管理。mMTC和MIoT专注于对连接密度要求很高的服务,例如智慧城市和智慧农业。数据网络240可以被配置成提供这些和其他服务。
架构300包括以下参考点。N1参考点在UE 110与AMF 314之间实现。N2参考点在(R)AN 120与AMF 314之间实现。N3参考点在(R)AN 120与UPF 324之间实现。N4参考点在SMF316与UPF 324之间实现。N5参考点在PCF 318与AF 320之间实现。N6参考点在UPF 324与数据网络240之间实现。N7参考点在SMF 316与PCF 318之间实现。N8参考点在UDM 312与AMF314之间实现。N9参考点在两个UPF 324之间实现。N10参考点在UDM 312与SMF 316之间实现。N11参考点在AMF 314与SMF 316之间实现。N12参考点在AMF 314与AUSF 310之间实现。N13参考点在UDM 312与AUSF 310之间实现。N14参考点在两个AMF之间实现。N15参考点在非漫游场景下在PCF 318与AMF 314之间实现。N22参考点在NSSF 313与AMF 314之间实现。
图4示出了下一代网络的漫游架构400。图4中的架构是参考点表示中的本地疏导场景,如在3GPP TS 23.501(v15.3.0)中进一步描述的。在漫游场景中,示出了拜访公共陆地移动网络(VPLMN)402和归属PLMN(HPLMN)404。HPLMN 404识别其中保存了移动订户的简档的PLMN。VPLMN是移动订户在离开其HPLMN时漫游的PLMN。漫游到其他网络的用户将从HPLMN 404接收订阅信息。在本地疏导场景中,PCF 318(hPCF)、UDM 312和AUSF 310位于UE110的HPLMN 404中。包括访问的PCF(vPCF)418在内的其他网络功能位于VPLMN 402中。
图5示出了例如用于无线电接口122的无线电协议栈500。如本文描述的,用户平面512包括用于通过网络传输实际用户数据的一组协议,并且控制平面514包括用于控制和建立网络内的用户连接和承载的协议。对于用户平面512和控制平面514,无线电协议栈500包括物理(PHY)层501,媒体接入控制(MAC)层502、无线电链路控制(RLC)层503和分组数据汇聚协议(PDCP)层504。控制平面514另外包括无线电资源控制(RRC)层505和非接入层(NAS)层506。
物理层501在无线电接口上承载来自MAC传输信道的所有信息。数据和信令消息承载于物理层501的不同层级之间的物理信道上。物理信道分为物理数据信道和物理控制信道。物理数据信道可以包括物理下行链路共享信道(PDSCH)、物理广播信道(PBCH)、物理组播信道(PMCH)、物理上行链路共享信道(PUSCH)和物理随机接入信道(PRACH)。物理控制信道可以包括物理控制格式指示符信道(PCFICH)、物理混合ARQ指示符信道(PHICH)、物理下行链路控制信道(PDCCH)和物理上行链路控制信道(PUCCH)。
MAC层502负责逻辑信道与传输信道之间的映射;将来自一个或不同逻辑信道的MAC服务数据单元(SDU)多路复用到要在传输信道上传递到物理层的传输块(TB)上;从在传输信道上从物理层传递的传输块解复用来自一个或不同逻辑信道的MAC SDU;调度信息报告;通过混合自动重传请求(HARQ)进行纠错;借助于动态调度在UE之间进行优先级处理;在一个UE的逻辑信道之间进行优先级处理;以及逻辑信道优先化。RLC层503负责上层协议数据单元(PDU)的传输,通过ARQ进行纠错,以及RLC SDU的级联、分段和重组。RLC层503还负责RLC数据PDU的重新分段、RLC数据PDU的重新排序、复制检测、RLC SDU丢弃、RLC重建以及协议错误检测。PDCP层504负责IP数据的报头压缩和解压缩;数据(用户平面或控制平面)的传输;PDCP序列号(SN)的维护;在重建下层时上层PDU的按顺序传递;在重建下层用于RLC确认模式(AM)上映射的无线电承载时下层SDU的复制删除;用户平面数据和控制平面数据的加密和解密;控制平面数据的完整性保护和完整性验证;基于计时器的丢弃;重复丢弃等。RRC层505负责与NAS有关的系统信息的广播;与接入层(AS)有关的系统信息的广播;UE与RAN之间的RRC连接的寻呼、建立、维护和释放;包括点对点无线电承载(RB)的密钥管理、建立、配置、维护和释放在内的安全功能。NAS层506表示UE与核心网络之间的控制平面514的最高层(例如MME/AMF),并且支持UE的移动性和会话管理程序以建立和维持UE与核心网络之间的IP连接。
向从移动网络接收服务的每个UE 110提供配置参数。家庭网络(即,HPLMN)可能想要更新UE中的一个或多个配置参数。在现有的移动网络中,配置参数的更新是通过空中(OTA)机制执行的。OTA机制需要部署称为OTA网关的专用网络元件。当执行配置参数的更新时,网络运营商的后端系统将服务请求发送至OTA网关。指定不同的OTA“承载”以将服务请求发送至UE,例如短消息服务(SMS)、非结构化补充服务数据(USSD)、超文本传输协议(HTTP)等。OTA网关将服务请求映射到用于要发送至UE的服务请求OTA“承载”。例如,当使用SMS承载时,OTA网关将更新的配置参数封装到一个或多个SMS消息中。然后,OTA网关将SMS消息发送至SMS中心(SMSC),SMSC将SMS消息发送至UE。期望提供一种本机控制平面解决方案,网络运营商可以使用本机控制平面解决方案来更新UE配置参数,而不必部署专用网络元件,例如OTA网关。还期望提供一种解决方案,其中UE配置参数受安全保护。
在本文描述的实施方案中,网络经由控制平面NAS消息向UE透明地发送受安全保护的UE配置参数更新。例如,可以使用安全分组、使用NAS安全上下文的完整性保护密钥或两者来对UE配置参数更新进行安全保护。在接收到NAS消息中的UE配置参数更新后,UE可以更新其UE配置参数。相对于下一代网络(例如5G)描述了本文提供的解决方案,但是可以在较早或较晚一代网络中提供类似的解决方案。下文提供实施方案的其它细节。
图6是说明性实施方案中的UE 110的框图。UE 110包括无线电接口组件602、一个或多个处理器604、存储器606、用户接口组件608和电池610。无线电接口组件602是表示UE110的本地无线电资源的硬件组件,例如RF单元620(例如,收发器)和一个或多个天线622,其用于经由无线电或“空中”信号与基站(例如,基站124)进行无线通信。处理器604表示提供UE 110的功能的内部电路系统、逻辑、硬件、软件等。处理器604可以被配置成对加载到存储器606中的软件执行指令640。取决于特定的实现方式,处理器604可以包括一个或多个处理器的集合,或者可以包括多处理器核心。处理器604可以实现一个或多个应用程序630。这些应用程序630可以通过RAN 120和核心网络130访问下行链路(DL)数据,并且还可以生成用于通过RAN 120和核心网络130传输到目的地的上行链路(UL)数据。存储器606是用于数据、指令640、应用程序等的计算机可读存储介质,并且可由处理器604访问。存储器606是能够临时和/或永久地存储信息的硬件存储装置。存储器606可以包括随机存取存储器(RAM)或任何其他易失性或非易失性存储装置。用户接口组件608是用于与最终用户进行交互的硬件组件。例如,用户接口组件608可以包括显示器650、屏幕、触摸屏等(例如,液晶显示器(LCD)、发光二极管(LED)显示器等)。用户接口组件608可以包括键盘或小键盘652、跟踪装置(例如,轨迹球或触控板)、扬声器、麦克风等。
UE 110还包括通用集成电路卡(UICC)660,其是为UE 110提供安全和完整性功能的硬件装置。尽管在图6中未示出,但是UICC 660可以包括处理器(即,中央处理单元(CPU))、存储器(例如,只读存储器(ROM)、RAM、电可擦除可编程只读存储器(EEPROM)和输入/输出(I/O)电路。UICC 660可以托管或存储通用订户标识模块(USIM)662,所述USIM存储信息,例如国际移动订户标识(IMSI)、安全认证和加密信息,以及其他归属运营商配置信息。
UICC 660和/或存储器606可以存储用于配置UE 110的归属运营商信息,其在本文中称为UE配置参数664。UICC 660可以仅使用一个或多个UE配置参数664,而处理器604可以使用一个或多个UE配置参数664。UE配置参数664可以包括路由指示符、家庭网络标识符(例如,PLMN标识和MCC/MNC信息)、家庭网络保护方案标识符、家庭网络公共密钥标识符、家庭网络公共证书、网络选择信息(例如,具有访问技术列表的运营商控制的PLMN选择器)和/或其他信息。UE配置参数664可以表示例如通过如下所述的更新过程由网络运营商预先提供的数据,或者由网络提供的数据。UE 110可以包括图6中未具体示出的各种其他组件。
图7是说明性实施方案中的用于UE 110的功能模型。UE 110可以细分为域,例如移动设备(ME)702和USIM 662。如上所述,USIM 662的功能可以由UICC 660上的处理器和存储器执行。ME 702的功能可以由处理器604和存储器606执行。ME 702执行无线电传输并包含应用程序。USIM 662包含明确和安全地标识自身的数据和过程。这些功能通常嵌入在例如UICC 660的独立智能卡中。如上所述,一个或多个UE配置参数664可以排他地存储在USIM662中以在UICC 660内使用或处理,并且一个或多个UE配置参数664可以排他地存储在ME702中以在ME 702内使用或处理。
图8是说明性实施方案中的AMF元件314的框图。如上所述,AMF元件314被配置成提供基于UE的认证、授权、移动性管理等。在此实施方案中,AMF元件314包括以下子系统:在一个或多个平台上操作的网络接口组件802和更新管理器804。网络接口组件802可以包括被配置成与其他网络元件和/或UE(例如,通过RAN 120)交换控制平面消息或信令的电路系统、逻辑、硬件、构件等。网络接口组件802可以使用多种协议(包括NAS协议)或参考点进行操作。更新管理器804可以包括被配置成处理UE上的UE配置参数更新的电路系统、逻辑、硬件、构件等。AMF元件314的一个或多个子系统可以在由模拟和/或数字电路系统组成的硬件平台上实现。AMF元件314的一个或多个子系统可以在执行存储在存储器832中的指令的处理器830上实现。处理器830包括被配置成执行指令的集成硬件电路,并且存储器832是用于数据、指令、应用程序等的非暂时性计算机可读存储介质,并且可由处理器830访问。AMF元件314可以包括在图8中未具体示出的各种其他组件。
图9是说明性实施方案中的UDM元件312的框图。如上所述,UDM元件312被配置成存储用于UE的接入和移动性预订数据。在此实施方案中,UDM元件312包括以下子系统:在一个或多个平台上操作的网络接口组件902、订户数据存储库904和更新管理器906。网络接口组件902可以包括被配置成与其他网络元件交换控制平面消息或信令的电路系统、逻辑、硬件、构件等。网络接口组件902可以使用多种协议或参考点进行操作。订户数据存储库904可以包括被配置成存储接入和移动性订户数据的电路系统、逻辑、硬件、构件等。更新管理器906可以包括被配置成处理UE上的UE配置参数更新的电路系统、逻辑、硬件、构件等。UDM元件312的一个或多个子系统可以在由模拟和/或数字电路系统组成的硬件平台上实现。UDM元件312的一个或多个子系统可以在执行存储在存储器932中的指令的处理器930上实现。UDM元件312可以包括图9中未具体示出的各种其他组件。
当UE向网络注册时,或者在UE向网络注册之后,可以执行或调用更新过程。图10至图12示出了由UDM元件312、AMF元件314和UE 110执行的一般更新过程。更新过程的更多细节在下面的示例消息图中进行描述。因此,本文提供的流程图可以由关于消息图描述的更新过程来补充。
图10是示出了说明性实施方案中的在UDM元件312中执行更新过程的方法1000的流程图。将参考图9中的UDM元件312来描述方法1000的步骤,但是本领域技术人员将理解,方法1000可以在其他网络元件或装置中执行。而且,本文描述的流程图的步骤也不是全部包括在内,并且可以包括未示出的其他步骤,并且这些步骤可以以可替代的顺序执行。
对于此实施方案,可以假设UE 110正在通过NAS注册过程在网络中注册,或者已经在网络中注册。UDM元件312的更新管理器906发起更新过程以更新UE 110中的一个或多个UE配置参数664(步骤1002)。例如,更新管理器906可以处理存储在订户数据存储库904中的UE配置信息,并且确定需要或期望对UE配置参数664的更新。更新管理器906为UE 110汇编UE配置参数更新(步骤1004)。UE配置参数更新包括用于执行UE 110中的UE配置参数664的更新的信息、命令、指令等。例如,UE配置参数更新可以包括用于UE 110的一个或多个更新后的UE配置参数,作为接入和移动性预订数据的一部分。
更新管理器906根据一种或多种保护机制将安全保护应用于UE配置参数更新(步骤1006)。在一个实施方案中,保护机制可以是安全分组。因此,更新管理器906可以将UE配置参数更新配置或封装在安全分组中以应用安全保护(可选步骤1008)。通常,安全分组包含已对其应用某些机制的应用程序消息。应用程序消息是网络元件与UICC之间交换的命令或数据。发送方在应用程序消息之前添加了安全报头(命令报头),然后将请求的安全性应用于部分命令报头和所有应用程序消息。所得结构称为(安全)命令分组,所述命令分组包括安全数据作为有效载荷。更新管理器906可以访问本地安全分组库或远程安全分组库,以将UE配置参数更新配置或封装在安全分组中。在另一个实施方案中,保护机制可以是完整性保护。因此,更新管理器906可以使用UE 110的NAS安全上下文对UE配置参数更新采用完整性保护(可选步骤1010)。NAS安全用于使用NAS安全密钥在控制平面中在UE 110与AMF元件314之间安全地传递NAS信令消息。NAS安全上下文是用于保护NAS消息的NAS安全密钥和参数的集合。当UE 110被认证到网络时,生成NAS安全密钥。因此,在认证之后,更新管理器906可以使用NAS安全上下文的完整性保护密钥对UE配置参数更新采用完整性保护。在又一个实施方案中,更新管理器906可以使用安全分组和NAS安全上下文两者来保护UE配置参数更新(可选步骤1012)。然后,更新管理器906可以在控制平面消息中插入或以其他方式包括受安全保护的UE配置参数更新(步骤1014)。
更新管理器906还可以在控制平面消息中插入或以其他方式包括UE确认指示符(可选步骤1016)。当家庭网络想要从UE 110确认UE配置参数更新的成功安全检查时,可以包括UE确认指示符。更新管理器906还可以在控制平面消息中插入或以其他方式包括重新注册指示符(可选步骤1016)。当家庭网络希望UE 110利用更新后的UE配置参数向网络重新注册时,可以包括重新注册指示符。更新管理器906然后通过网络接口组件902将包括受安全保护的UE配置参数更新(步骤1018)以及UE确认指示符和/或重新注册指示符(如果请求)的控制平面消息发送至AMF元件314。
图11是示出了说明性实施方案中的在AMF元件314中执行更新过程的方法1100的流程图。将参考图8中的AMF元件314来描述方法1100的步骤,但是本领域技术人员将理解,方法1100可以在其他网络元件或装置中执行。
AMF元件314的更新管理器804通过网络接口组件802从UDM元件312接收包括受安全保护的UE配置参数更新的控制平面消息(步骤1102)。更新管理器804将受安全保护的UE配置参数更新插入NAS消息的容器中(步骤1104)。受安全保护的UE配置参数更新的传输被视为对AMF元件314是“透明的”。因此,更新管理器804被编程为在不修改或改变UE配置参数更新的情况下转发受安全保护的UE配置参数更新。因此,更新管理器804可以将在控制平面消息中从UDM元件312接收到的受安全保护的UE配置参数更新插入被指定用于UE配置参数更新的“透明”容器中。此种透明容器的一个示例在下面更详细地描述。
AMF元件314用来传输受安全保护的UE配置参数更新的NAS消息的类型可以取决于正在执行的NAS过程。例如,当正在执行NAS注册过程时,NAS消息可以包括NAS注册接受消息。当正在执行NAS传输过程时,NAS消息可以包括DL NAS传输消息。更新管理器804然后通过网络接口组件802将NAS消息发送至UE 110(步骤1106)。
图12是示出了说明性实施方案中的在UE 110中执行更新过程的方法1200的流程图。将参考图6至图7中的UE 110来描述方法1200的步骤,但是本领域技术人员将理解,方法1200可以在其他装置中执行。
UE 110(例如,通过ME 702)从AMF元件314接收NAS消息(步骤1202)。ME 702或USIM662执行安全检查以验证包括在NAS消息的容器中的受安全保护的UE配置参数更新由家庭网络(即,HPLMN)为UE 110提供(步骤1204)。例如,ME 702或USIM 662可以计算校验和以确定接收到的受安全保护的UE配置参数更新是否与由UDM元件312发送的受安全保护的UE配置参数更新匹配。当安全检查不成功时,ME 702或USIM 662丢弃受安全保护的UE配置参数更新(步骤1206)。当安全检查成功时,ME 702或USIM 662基于UE配置参数更新来更新在UE110中提供的一个或多个UE配置参数664(步骤1208)。如上所述,UE配置参数更新可以被封装在安全分组中。在这种情况下,USIM 662被配置成使用安全分组库从安全分组中解码或解压缩UE配置参数更新。然后,USIM 662基于UE配置参数更新来更新USIM 662本地的一个或多个UE配置参数664。
当NAS消息包括UE确认指示符时,ME 702或USIM 662将具有包括UE确认的容器的NAS消息发送至AMF元件314(可选步骤1210)。UE确认的传输被认为对AMF元件314是“透明的”。因此,ME 702或USIM 662被编程为将UE确认插入到被指定用于UE确认的“透明”容器中。此种透明容器的一个示例在下面更详细地描述。
NAS消息的类型可取决于正在执行的NAS过程。例如,当正在执行NAS注册过程时,NAS消息可以包括NAS注册完成消息或UL NAS传输消息。当正在执行NAS传输过程时,NAS消息可以包括UL NAS传输消息。
在图11中,AMF元件314的更新管理器804通过网络接口组件802从UE 110接收具有包括UE确认的容器的NAS消息(可选步骤1108)。更新管理器804然后通过网络接口组件802将具有UE确认的控制平面消息发送至UDM元件312(可选步骤1110)。在图10中,UDM元件312的更新管理器906通过网络接口组件902从AMF元件314接收具有UE确认的控制平面消息(可选步骤1020)。更新管理器906然后验证UE 110提供了UE确认(可选步骤1022)。
在图12中,当来自AMF元件314的NAS消息包括重新注册指示符时,UE 110(例如,通过ME 702)发起NAS注册过程以使用更新后的UE配置参数来重新注册(可选步骤1212)。更新过程然后可以结束。
以下提供了在其他实施方案中执行更新过程的示例。
示例1:使用安全分组在注册期间的更新过程
图13是示出了说明性实施方案中的在注册期间的更新过程的消息图。在此实施方案中,UE 110处于空闲模式(例如,RRC_IDLE)。UE 110通过将NAS注册请求发送至AMF元件314来发起NAS注册过程(S1)。响应于NAS注册请求(类型为“初始”),AMF元件314可以发起认证过程(S2)以认证UE 110。对于认证过程,AMF元件314可以与AUSF元件310和UDM元件312进行交互。例如,AMF元件314可以将认证请求(即,Nausf_UEAuthentication_Authenticate请求)发送至AUSF元件310。响应于接收到认证请求,AUSF元件310可以将认证请求(即,Nudm_UEAuthentication_Get请求)发送至UDM元件312。UDM元件312托管与认证凭证存储库和处理功能(ARPF)有关的功能,所述功能选择认证方法并为AUSF元件310(如果需要的话)计算认证数据和密钥材料(例如,令牌)。UDM元件312可以将包括认证矢量(AV)和其他信息的认证响应(即,Nudm_UEAuthentication_Get响应)发送至AUSF元件310。AUSF元件310然后可以将包括AV和其他信息的认证响应(即,Nuasf_UEAuthentication_Authenticate响应)发送至AMF元件314。AMF元件314被配置成使用由UDM/AUSF提供的信息来与UE 110执行认证过程。例如,AMF元件314可以将认证请求连同来自AV的认证令牌一起发送至UE 110,并且UE110尝试验证认证令牌。如果成功,则UE 110计算响应令牌,并发送带有响应令牌的认证响应,所述响应令牌由AMF元件314接收。AMF元件314可以格式化或生成另一个认证请求(即,Nausf_UEAuthentication_Authenticate请求),并将来自UE 110的响应令牌连同其他信息一起插入认证请求中。然后,AMF元件314可以将认证请求发送至AUSF元件310。AUSF元件310可以验证来自UE 110的响应令牌是否与期望的响应令牌匹配,并且向AMF元件314发送指示认证成功/失败的认证响应(即,Nausf_UEAuthentication_Authenticate响应)。
在认证之后,AMF元件314可以发起NAS安全过程以建立NAS安全上下文(S3)。作为NAS安全过程的一部分,AMF元件314选择用于加密和完整性保护的NAS安全算法(或多种算法)。然后,AMF元件314向UE 110发送安全模式命令消息,所述安全模式命令消息指示NAS安全算法、ngKSI和其他信息。UE 110使用ngKSI和NAS安全算法来导出用于保护后续NAS消息的相应密钥。因此,在UE 110与AMF元件314之间建立了NAS安全上下文。然后,UE 110将安全模式完成消息发送至AMF元件314。
作为NAS注册过程的另一部分,除其他信息外,AMF元件314向HPLMN的UDM元件312发送订阅数据请求(例如,Nudm_SDM_Get消息)以获得UE 110的接入和移动性订阅数据(S4)。当用户订阅信息指示发起UE配置参数更新(例如,路由ID更新)时,UDM元件312发起更新过程。UDM元件312汇编UE配置参数更新,所述UE配置参数更新包括一个或多个更新后的UE配置参数。然后,UDM元件312通过访问安全分组库以将UE配置参数更新封装在安全分组中来将安全保护应用于UE配置参数更新。在以引用方式如同完全包括在本文中一样并入本文中的3GPP TS 131.115(v.9.0.0)中公开了安全分组和安全分组结构的示例。然后,UDM元件312向包括安全分组的AMF元件314发送订阅数据响应(例如,Nudm_SDM_Get响应)(S5)。UDM元件312还可以在订阅数据响应中包括UE确认指示符和/或重新注册指示符。
作为注册过程的又一部分,AMF元件314还可以向UDM元件312发送订阅消息(例如,Nudm_SDM_Subscribe)以订阅对UE配置参数的改变(图13中未示出)的通知。
AMF元件314被配置成作为更新过程的一部分透明地将安全分组发送至UE 110。因此,AMF元件314格式化或生成NAS注册接受消息,并将安全分组插入NAS注册接受消息的容器中。AMF元件314还可将UE确认指示符和/或重新注册指示符(如果适用)插入NAS注册接受消息的容器中。然后,AMF元件314将NAS注册接受消息发送至UE 110(S6)。
在此实施方案中,NAS注册接受消息的容器被指定用于UE配置参数更新。表1示出了NAS注册接受消息的消息内容的示例。
表1:
在此示例中,NAS注册接受消息包括新定义的UE配置参数更新容器信息元素(IE)。NAS协议的进一步描述可以在以引用方式如同完全包括在本文中一样并入本文中的3GPPTS 24.301(v15.4.0)中找到。表2是UE配置参数更新容器IE的示例。此容器被认为是透明的,因为AMF元件314将安全分组插入容器中而不修改安全分组。
表2:
表3示出了用于UE配置参数更新容器IE的UE配置参数更新报头的示例。
表3:
在报头中,RRR位可以用作重新注册指示符。UE ACK位可以用作UE确认指示符。数据类型位可以用于指示容器是在从网络发送至UE的NAS消息中使用(例如,值=0),还是在从UE发送至网络的NAS消息中使用(例如,值=1)。
在接收到NAS注册接受消息时,ME 702可以表现为好像接收到协议标识符设定为“SIM数据下载”、数据编码方案设定为“2类消息”以及SMS有效载荷作为安全分组的SMS消息。ME 702将安全分组路由或上载到USIM 662(S7)。USIM 662执行安全检查,以验证安全分组由家庭网络的UDM元件312发送。如果安全检查不成功,则USIM 662丢弃UE配置参数更新并继续注册过程。如果安全检查成功,则USIM 662使用安全分组库将UE配置参数更新从安全分组中解压缩。在验证了安全分组完整性/重放保护之后,USIM 662基于UE配置参数更新来更新UE配置参数664中的一个或多个。
如果网络从UE 110请求确认并且安全检查成功,则USIM 662可以向ME 702发送UE确认(S8)。ME 702格式化或生成另一个NAS消息,以将UE确认传输到AMF元件314。在图13所示的示例中,ME 702格式化NAS注册完成消息,并且将UE确认插入到NAS注册完成消息的容器中。NAS注册完成消息的容器被指定用于UE确认。表4示出了NAS注册完成消息的消息内容的示例。
表4:
| IEI | 信息元素 | 类型/参考 | 存在 | 格式 | 长度 |
| 扩展协议鉴别符 | 扩展协议鉴别符 | M | V | 1 | |
| 安全报头类型 | 安全报头类型 | M | V | 1/2 | |
| 备用半八位字节 | 备用半八位字节 | M | V | 1/2 | |
| 注册接受消息标识 | 消息类型 | M | V | 1 | |
| … | |||||
| xx | UE确认容器 | UE确认容器 | O | TLV-E | 20-2048 |
在此示例中,NAS注册完成消息包括新定义的UE确认容器IE。表5是UE确认容器IE的示例。
表5:
表6示出了UE确认报头的示例。
表6:
在另一个示例中,USIM 662可以通过访问安全分组库以将UE确认封装在安全分组中来将安全保护应用于UE确认。因此,ME 702可以将安全分组插入UE确认容器IE中。
然后,ME 702将具有包括UE确认的容器的NAS注册完成消息发送至AMF元件314(S9)。AMF元件314将具有UE确认的信息消息(例如,Nudm_SDM_Info消息)发送至UDM元件312(S10)。然后,UDM元件312可以验证UE 110提供了UE确认。
在图13所示的替代方案中,ME 702可以使用另一类型的NAS消息来将UE确认发送至AMF元件314。在此替代方案中,ME 702格式化UL NAS传输消息,并将UE确认插入UL NAS传输消息的容器中。可以在UL NAS传输消息的有效载荷容器IE中为UE确认指定有效载荷容器类型值。然后,ME 702将具有包括UE确认的容器的UL NAS传输消息发送至AMF元件314(S9a)。AMF元件314进而将具有UE确认的信息消息(例如,Nudm_SDM_Info消息)发送至UDM元件312(S10a)。
如果网络指示UE 110需要重新注册并且安全检查成功,则UE 110使用更新后的UE配置参数注销并重新发起新的NAS注册过程(S11)。
示例2:使用安全分组注册后的更新过程
图14是示出了说明性实施方案中的在注册之后的更新过程的消息图。在此实施方案中,UE 110已经向网络注册并且处于连接模式(即,RRC-CONNECTED)。在注册之后的某个时刻,UDM元件312可以接收指令或处理本地策略以确定UE 110中的UE配置参数需要更新。因此,UDM元件312发起更新过程,并且汇编UE配置参数更新。然后,UDM元件312通过访问安全分组库以将UE配置参数更新封装在安全分组中来将安全保护应用于UE配置参数更新。然后,UDM元件312将包括安全分组的更新通知(例如,Nudm_SDM_UpdateNotification)发送至AMF元件314(S1)。UDM元件312还可以在更新通知中包括UE确认指示符和/或重新注册指示符。
AMF元件314被配置成作为更新过程的一部分透明地将安全分组发送至UE 110。因此,AMF元件314格式化或生成下行链路(DL)NAS传输消息,并将安全分组插入DL NAS传输消息的容器中。AMF元件314还可将UE确认指示符和/或重新注册指示符(如果适用)插入DLNAS传输消息的容器中。在此实施方案中,DL NAS传输消息的容器被指定用于UE配置参数更新。AMF元件314可以将有效载荷容器类型IE设定为“UE配置参数容器”,并且将有效载荷容器IE设定为安全分组。然后,AMF元件314将DL NAS传输消息发送至UE 110(S2)。
在接收到DL NAS传输消息时,ME 702可以表现为好像接收到协议标识符设定为“SIM数据下载”、数据编码方案设定为“2类消息”以及SMS有效载荷作为安全分组的SMS消息。ME 702将安全分组路由或上载到USIM 662(S3)。USIM 662执行安全检查,以验证安全分组由家庭网络的UDM元件312发送。如果安全检查不成功,则USIM 662丢弃UE配置参数更新。如果安全检查成功,则USIM 662使用安全分组库将UE配置参数更新从安全分组中解压缩。在验证了安全分组完整性/重放保护之后,USIM 662基于UE配置参数更新来更新UE配置参数664中的一个或多个。
如果网络从UE 110请求确认并且安全检查成功,则USIM 662可以向ME 702发送UE确认(S4)。ME 702格式化或生成UL NAS传输消息,并将UE确认插入UL NAS传输消息的容器中。UL NAS传输消息的容器被指定用于UE确认。然后,ME 702将具有包括UE确认的容器的ULNAS传输消息发送至AMF元件314(S5)。AMF元件314将具有UE确认的信息消息(例如,Nudm_SDM_Info消息)发送至UDM元件312(S6)。然后,UDM元件312可以验证UE 110提供了UE确认。
如果网络指示UE 110需要重新注册并且安全检查成功,则UE 110使用更新后的UE配置参数(未示出)注销并重新发起新的NAS注册过程。
示例3:使用安全密钥注册期间的更新过程
图15是示出了说明性实施方案中的在注册期间的更新过程的消息图。在此实施方案中,UE 110通过将NAS注册请求发送至AMF元件314来发起NAS注册过程(S1)。响应于NAS注册请求(类型为“初始”),AMF元件314可以发起认证过程(S2)以认证UE 110。当UE 110被认证到网络时,AMF元件314可以发起NAS安全过程以建立NAS安全上下文(S3)。在认证UE 110并且建立NAS安全上下文的情况下,除其他信息外,AMF元件314向HPLMN的UDM元件312发送订阅数据请求(例如,Nudm_SDM_Get消息),以获得UE 110的接入和移动性订阅数据(S4)。当用户订阅信息指示发起UE配置参数更新(例如,路由ID更新)时,UDM元件312发起更新过程。UDM元件312汇编UE配置参数更新,并使用UE 110的NAS安全上下文对UE配置参数更新采用完整性保护。为此,UDM元件312将保护请求(例如,Nausf_ParameterProtectionRequest)与UE配置参数更新一起发送至AUSF元件310(S5)。AUSF元件310识别NAS计数(由NAS序列号构成),并且基于UE 110的NAS安全上下文来计算完整性保护信息,例如用于UE配置参数更新的AUSF消息认证码(MAC)和NAS计数。AUSF元件310还可以计算来自UE 110的期望MAC(X-UE-MAC)。然后,AUSF元件310将具有完整性保护信息(即,AUSF-MAC、NAS计数和X-UE-MAC)的保护响应(例如,Nausf_ParameterProtectionResponse)发送至UDM元件312(S6)。然后,UDM元件312向AMF元件314发送订阅数据响应(例如,Nudm_SDM_Get响应)(S7),所述订阅数据响应包括UE配置参数更新和完整性保护信息(即,AUSF-MAC和NAS计数)。UDM元件312还可以在订阅数据响应中包括UE确认指示符和/或重新注册指示符。
AMF元件314被配置成作为更新过程的一部分向UE 110透明地发送UE配置参数更新。因此,AMF元件314格式化或生成NAS注册接受消息,并将UE配置参数更新与完整性保护信息(例如,AUSF-MAC和NAS计数)一起插入NAS注册接受消息的容器中。AMF元件314还可将UE确认指示符和/或重新注册指示符(如果适用)插入NAS注册接受消息的容器中。然后,AMF元件314将NAS注册接受消息发送至UE 110(S8)。
在此示例中,NAS注册接受消息包括新定义的UE配置参数更新容器IE。表7是UE配置参数更新容器IE的示例。
表7:
此容器被认为是透明的,因为AMF元件314在不修改UE配置参数更新的情况下将UE配置参数更新插入容器中。如示例1中所述,UE配置参数更新报头的UE ACK位可以用于指示网络从UE请求确认,并且RRR位可以用于指示网络请求重新注册。
响应于接收到NAS注册接受消息,UE 110的ME 702执行安全检查以验证UE配置参数更新由家庭网络的UDM元件312发送。例如,ME 702计算UE配置参数更新的UE-MAC和NAS计数,并将UE-MAC与AUSF-MAC进行比较。如果MAC匹配,则验证UE配置参数更新来自家庭网络,并且安全检查成功。如果安全检查不成功,则ME 702丢弃UE配置参数更新并继续注册过程。如果安全检查成功,则ME 702和/或USIM 662基于UE配置参数更新来更新UE配置参数664中的一个或多个。
如果网络从UE 110请求确认并且安全检查成功,则ME 702格式化NAS注册完成消息,并将UE-MAC插入NAS注册完成消息的容器中。NAS注册完成消息的容器被指定用于UE确认。在此示例中,NAS注册完成消息包括新定义的UE确认容器IE。表8是UE确认容器IE的示例。
表8:
然后,ME 702将具有包括UE-MAC的容器的NAS注册完成消息发送至AMF元件314(S9)。AMF元件314将具有UE-MAC的信息消息(例如,Nudm_SDM_Info消息)发送至UDM元件312(S10)。然后,UDM元件312可以将UE 110计算的UE-MAC与AUSF元件310计算的X-UE-MAC进行比较,以验证UE 110提供了UE确认。
如果网络指示UE 110需要重新注册并且安全检查成功,则UE 110使用更新后的UE配置参数(未示出)注销并重新发起新的NAS注册过程。
示例4:使用安全密钥注册后的更新过程
图16是示出了说明性实施方案中的在注册之后的更新过程的消息图。在此实施方案中,UE 110已经向网络注册并且处于连接模式。在注册之后的某个时刻,UDM元件312可以接收指令或处理本地策略以确定UE 110中的UE配置参数需要更新。因此,UDM元件312发起更新过程,并且汇编UE配置参数更新。UDM元件312还使用UE 110的NAS安全上下文对UE配置参数更新采用完整性保护。为此,UDM元件312将保护请求(例如,Nausf_ParameterProtectionRequest)与UE配置参数更新一起发送至AUSF元件310(S1)。AUSF元件310识别NAS计数,并基于UE 110的NAS安全上下文来计算完整性保护信息,例如用于UE配置参数更新的AUSF-MAC和NAS计数。AUSF元件310还可以计算来自UE 110的期望MAC(X-UE-MAC)。然后,AUSF元件310将具有完整性保护信息(即,AUSF-MAC、NAS计数和X-UE-MAC)的保护响应(例如,Nausf_ParameterProtectionResponse)发送至UDM元件312(S2)。然后,UDM元件312向AMF元件314发送更新通知(例如,Nudm_SDM_UpdateNotification)(S3),所述更新通知包括UE配置参数更新和完整性保护信息(即,AUSF-MAC和NAS计数)。UDM元件312还可以在更新通知中包括UE确认指示符和/或重新注册指示符。
AMF元件314被配置成作为更新过程的一部分向UE 110透明地发送UE配置参数更新。因此,AMF元件314格式化或生成DL NAS传输消息,并将UE配置参数更新与完整性信息(例如,AUSF-MAC和NAS计数)一起插入DL NAS传输消息的容器中。AMF元件314还可将UE确认指示符和/或重新注册指示符(如果适用)插入DL NAS传输消息的容器中。在此实施方案中,DL NAS传输消息的容器被指定用于UE配置参数更新。然后,AMF元件314将DL NAS传输消息发送至UE 110(S4)。
响应于接收到DL NAS传输消息,UE 110的ME 702执行安全检查以验证UE配置参数更新由家庭网络的UDM元件312发送。如果安全检查不成功,则ME 702丢弃UE配置参数更新。如果安全检查成功,则ME 702和/或USIM 662基于UE配置参数更新来更新UE配置参数664中的一个或多个。
如果网络从UE 110请求确认并且安全检查成功,则ME 702格式化UL NAS传输消息,并将UE-MAC插入UL NAS传输消息的容器中。UL NAS传输消息的容器被指定用于UE确认。然后,ME 702将具有包括UE-MAC的容器的UL NAS传输消息发送至AMF元件314(S5)。AMF元件314将具有UE-MAC的信息消息(例如,Nudm_SDM_Info消息)发送至UDM元件312(S6)。然后,UDM元件312可以将UE 110计算的UE-MAC与AUSF元件310计算的X-UE-MAC进行比较,以验证UE 110提供了UE确认。
如果网络指示UE 110需要重新注册并且安全检查成功,则UE 110使用更新后的UE配置参数(未示出)注销并重新发起新的NAS注册过程。
示例5:使用安全分组和安全密钥在注册期间的更新过程
图17是示出了说明性实施方案中的在注册期间的更新过程的消息图。在此实施方案中,UE 110通过将NAS注册请求发送至AMF元件314来发起NAS注册过程(S1)。响应于NAS注册请求(类型为“初始”),AMF元件314可以发起认证过程(S2)以认证UE 110。在UE 110的认证之后,AMF元件314可以发起NAS安全过程以建立NAS安全上下文(S3)。在认证UE 110并且建立NAS安全上下文的情况下,除其他信息外,AMF元件314向HPLMN的UDM元件312发送订阅数据请求(例如,Nudm_SDM_Get消息),以获得UE 110的接入和移动性订阅数据(S4)。当用户订阅信息指示发起UE配置参数更新(例如,路由ID更新)时,UDM元件312发起更新过程。UDM元件312汇编UE配置参数更新,所述UE配置参数更新包括一个或多个更新后的UE配置参数。然后,UDM元件312通过访问安全分组库以将UE配置参数更新封装在安全分组中来将安全保护应用于UE配置参数更新。
UDM元件312还使用UE 110的NAS安全上下文对安全分组采用完整性保护。为此,UDM元件312将保护请求(例如,Nausf_ParameterProtectionRequest)与安全分组一起发送至AUSF元件310(S5)。AUSF元件310识别NAS计数,并基于UE 110的NAS安全上下文来计算完整性保护信息,例如用于安全分组的AUSF-MAC和NAS计数。AUSF元件310还可以计算来自UE110的期望MAC(X-UE-MAC)。然后,AUSF元件310将具有完整性保护信息(即,AUSF-MAC、NAS计数和X-UE-MAC)的保护响应(例如,Nausf_ParameterProtectionResponse)发送至UDM元件312(S6)。然后,UDM元件312向AMF元件314发送订阅数据响应(例如,Nudm_SDM_Get响应)(S7),所述订阅数据响应包括安全分组和完整性保护信息(即,AUSF-MAC和NAS计数)。UDM元件312还可以在订阅数据响应中包括UE确认指示符和/或重新注册请求。
AMF元件314被配置成作为更新过程的一部分透明地将安全分组发送至UE 110。因此,AMF元件314格式化或生成NAS注册接受消息,并将安全分组插入NAS注册接受消息的容器中。AMF元件314还可以将UE确认指示符和/或重新注册请求(如果适用)连同AUSF-MAC和NAS计数一起插入NAS注册接受消息的容器中。在此示例中,NAS注册接受消息包括新定义的UE配置参数更新容器IE。表9是UE配置参数更新容器IE的示例。
表9:
此容器被认为是透明的,因为AMF元件314将安全分组插入容器中而不修改安全分组。然后,AMF元件314将NAS注册接受消息发送至UE 110(S8)。响应于接收到NAS注册接受消息,UE 110的ME 702执行安全检查以验证安全分组由家庭网络的UDM元件312发送。如果安全检查不成功,则ME 702丢弃安全分组并继续注册过程。如果安全检查成功,则ME 702将安全分组路由或上载到USIM 662(S9)。USIM 662还执行安全检查,以验证安全分组由家庭网络的UDM元件312发送。如果安全检查不成功,则USIM 662丢弃UE配置参数更新。如果安全检查成功,则USIM 662使用安全分组库将UE配置参数更新从安全分组中解压缩。然后,USIM662基于UE配置参数更新来更新UE配置参数664中的一个或多个。
如果网络从UE 110请求确认并且安全检查成功,则ME 702格式化NAS注册完成消息,并将UE-MAC插入NAS注册完成消息的容器中。然后,ME 702将NAS注册完成消息发送至AMF元件314(S11)。AMF元件314将具有UE-MAC的信息消息(例如,Nudm_SDM_Info消息)发送至UDM元件312(S10)。然后,UDM元件312可以将UE 110计算的UE-MAC与AUSF元件310计算的X-UE-MAC进行比较,以验证UE 110提供了UE确认。
如果网络指示UE 110需要重新注册并且安全检查成功,则UE 110使用更新后的UE配置参数(未示出)注销并重新发起新的NAS注册过程。
示例6:使用安全分组和安全密钥在注册后的更新过程
图18是示出了说明性实施方案中的在注册之后的更新过程的消息图。在此实施方案中,UE 110已经向网络注册并且处于连接模式。在注册之后的某个时刻,UDM元件312可以接收指令或处理本地策略以确定UE 110中的UE配置参数需要更新。因此,UDM元件312发起更新过程,并且汇编UE配置参数更新。然后,UDM元件312通过访问安全分组库以将UE配置参数更新封装在安全分组中来将安全保护应用于UE配置参数更新。
UDM元件312还使用UE 110的NAS安全上下文对安全分组采用完整性保护。为此,UDM元件312将保护请求(例如,Nausf_ParameterProtectionRequest)与安全分组一起发送至AUSF元件310(S1)。AUSF元件310识别NAS计数,并基于UE 110的NAS安全上下文来计算完整性保护信息,例如用于安全分组的AUSF-MAC和NAS计数。AUSF元件310还可以计算来自UE110的期望MAC(X-UE-MAC)。然后,AUSF元件310将具有完整性保护信息(即,AUSF-MAC、NAS计数和X-UE-MAC)的保护响应(例如,Nausf_ParameterProtectionResponse)发送至UDM元件312(S2)。然后,UDM元件312向AMF元件314发送更新通知(例如,Nudm_SDM_UpdateNotification)(S3),所述更新通知包括安全分组和完整性保护信息(即,AUSF-MAC和NAS计数)。UDM元件312还可以在更新通知中包括UE确认指示符和/或重新注册请求。
AMF元件314被配置成作为更新过程的一部分透明地将安全分组发送至UE 110。因此,AMF元件314格式化或生成DL NAS传输消息,并将安全分组插入DL NAS传输消息的容器中。AMF元件314还可将UE确认指示符和/或重新注册指示符(如果适用)连同AUSF-MAC和NAS计数一起插入DL NAS传输消息的容器中。然后,AMF元件314将DL NAS传输消息发送至UE110(S4)。
响应于接收到DL NAS传输消息,UE 110的ME 702执行安全检查以验证安全分组由家庭网络的UDM元件312发送。如果安全检查不成功,则ME 702丢弃安全分组。如果安全检查成功,则ME 702将安全分组路由或上载到USIM 662(S5)。USIM 662还执行安全检查,以验证安全分组由家庭网络的UDM元件312发送。如果安全检查不成功,则USIM 662丢弃UE配置参数更新。如果安全检查成功,则USIM 662使用安全分组库将UE配置参数更新从安全分组中解压缩。然后,USIM 662基于UE配置参数更新来更新UE配置参数664中的一个或多个。USIM662还向ME 702发送UE确认(S6)。
如果网络从UE 110请求确认并且安全检查成功,则ME 702格式化UL NAS传输消息,并将UE-MAC插入UL NAS传输消息的容器中。然后,ME 702将UL NAS传输消息发送至AMF元件314(S7)。AMF元件314将具有UE-MAC的信息消息(例如,Nudm_SDM_Info消息)发送至UDM元件312(S8)。然后,UDM元件312可以将UE 110计算的UE-MAC与AUSF元件310计算的X-UE-MAC进行比较,以验证UE 110提供了UE确认。
如果网络指示UE 110需要重新注册并且安全检查成功,则UE 110使用更新后的UE配置参数(未示出)注销并重新发起新的NAS注册过程。
附图中所示或本文描述的各种元件或模块中的任何一个可以被实现为硬件、软件、固件或这些的某种组合。例如,元件可以被实现为专用硬件。专用硬件元件可以称为“处理器”、“控制器”或一些类似的术语。当由处理器提供时,功能可以由单个专用处理器、单个共享处理器或多个单独的处理器提供,其中一些可以共享。此外,对术语“处理器”或“控制器”的明确使用不应解释为专门指代能够执行软件的硬件,并且可以隐含包括但不限于数字信号处理器(DSP)硬件、网络处理器、专用集成电路(ASIC)或其他电路系统、现场可编程门阵列(FPGA)、用于存储软件的只读存储器(ROM)、随机存取存储器(RAM)、非易失性存储器、逻辑或某些其他物理硬件组件或模块。
而且,元件可以被实现为可由处理器或计算机执行以执行元件的功能的指令。指令的一些示例是软件、程序代码和固件。指令在由处理器执行时是可操作的,以指导处理器执行元件的功能。指令可以存储在处理器可读的存储装置上。存储装置的一些示例是数字或固态存储器、例如磁盘和磁带的磁存储介质、硬盘驱动器或光学可读数字数据存储介质。
如本申请中使用,术语“电路系统”可以指以下各项中的一者或多者或全部:
(a)纯硬件电路实现方式(例如仅模拟电路和/或数字电路系统中的实现方式);
(b)硬件电路和软件的组合,例如(如适用):
(i)模拟硬件电路和/或数字硬件电路与软件/固件的组合;和
(ii)具有软件的硬件处理器的任何部分(包括一起工作以使例如移动电话或服务器的设备执行各种功能的数字信号处理器、软件和存储器);以及
(c)硬件电路和或处理器,例如微处理器或微处理器的一部分,其需要软件(例如,固件)进行操作,但在操作不需要所述软件时可不存在所述软件。
“电路系统”的这个定义适用于此术语在本申请、包括在任何权利要求中的所有用途。作为另一示例,如在本申请中所使用,术语“电路系统”还涵盖仅硬件电路或处理器(或多个处理器)的实现方式或硬件电路或处理器和其(或它们的)相伴软件和/或固件的部分的实现方式。术语“电路系统”还涵盖(例如并且在适用于特定权利要求要素的情况下)移动装置的基带集成电路或处理器集成电路或服务器、蜂窝网络装置或其他计算或网络装置中的类似集成电路。
尽管本文描述了特定实施方案,但是本公开的范围不限于那些特定实施方案。本公开的范围由所附权利要求及其任何等同形式限定。
Claims (27)
1.一种移动网络的接入和移动性管理功能(AMF)元件,所述AMF元件包括:
至少一个处理器;和
至少一个存储器,所述至少一个存储器包括能够由所述处理器执行的计算机程序代码;
所述处理器被配置成致使所述AMF元件:
从统一数据管理(UDM)元件接收包括用户设备(UE)的UE配置参数更新的控制平面消息,其中所述UE配置参数更新根据保护机制受安全保护;
将受安全保护的所述UE配置参数更新插入第一非接入层(NAS)消息的容器中,其中所述容器被指定用于所述UE配置参数更新;以及
将所述第一NAS消息发送至所述UE,所述第一NAS消息具有包括受安全保护的所述UE配置参数更新的所述容器。
2.如权利要求1所述的AMF元件,其中:
根据所述保护机制,将所述UE配置参数更新封装在安全分组中。
3.如权利要求1所述的AMF元件,其中:
根据所述保护机制,使用所述UE的NAS安全上下文对所述UE配置参数更新进行完整性保护。
4.如权利要求1所述的AMF元件,其中:
将所述UE配置参数更新封装在安全分组中,并且根据所述保护机制,使用所述UE的NAS安全上下文对所述安全分组进行完整性保护。
5.如权利要求1所述的AMF元件,其中:
所述第一NAS消息包括在NAS注册过程期间发送至所述UE的NAS注册接受消息。
6.如权利要求5所述的AMF元件,其中所述处理器还被配置成致使所述AMF元件:
在所述NAS注册过程期间,从所述UE接收第二NAS消息,所述第二NAS消息具有包括接收到所述UE配置参数更新的UE确认的容器;以及
将具有所述UE确认的另一控制平面消息发送至所述UDM元件;
其中从所述UE接收的所述第二NAS消息包括NAS注册完成消息或上行链路NAS传输消息。
7.如权利要求1所述的AMF元件,其中:
所述第一NAS消息包括在NAS注册过程之后执行的NAS传输过程的下行链路NAS传输消息。
8.如权利要求7所述的AMF元件,其中所述处理器还被配置成致使所述AMF元件:
从所述UE接收第二NAS消息,所述第二NAS消息具有包括来自所述UE的接收到所述UE配置参数更新的UE确认的容器;以及
将具有所述UE确认的另一控制平面消息发送至所述UDM元件;
其中所述第二NAS消息包括上行链路NAS传输消息。
9.一种执行更新过程以更新在用户设备(UE)上提供的UE配置参数的方法,所述方法包括:
在接入和移动性管理功能(AMF)元件中从统一数据管理(UDM)元件接收包括所述UE的UE配置参数更新的控制平面消息,其中所述UE配置参数更新根据保护机制受安全保护;
在所述AMF元件处将受安全保护的所述UE配置参数更新插入第一非接入层(NAS)消息的容器中,其中所述容器被指定用于所述UE配置参数更新;以及
将所述第一NAS消息从所述AMF元件发送至所述UE,所述第一NAS消息具有包括受安全保护的所述UE配置参数更新的所述容器。
10.如权利要求9所述的方法,其中:
根据所述保护机制,将所述UE配置参数更新封装在安全分组中。
11.如权利要求9所述的方法,其中:
根据所述保护机制,使用所述UE的NAS安全上下文对所述UE配置参数更新进行完整性保护。
12.如权利要求9所述的方法,其中:
将所述UE配置参数更新封装在安全分组中,并且根据所述保护机制,使用所述UE的NAS安全上下文对所述安全分组进行完整性保护。
13.如权利要求9所述的方法,其中:
所述第一NAS消息包括在NAS注册过程期间从所述AMF元件发送至所述UE的NAS注册接受消息。
14.如权利要求13所述的方法,其还包括:
在所述NAS注册过程期间,在所述AMF元件处从所述UE接收第二NAS消息,所述第二NAS消息具有包括接收到所述UE配置参数更新的UE确认的容器;以及
将具有所述UE确认的另一控制平面消息从所述AMF元件发送至所述UDM元件;
其中所述第二NAS消息包括NAS注册完成消息或上行链路NAS传输消息。
15.如权利要求9所述的方法,其中:
所述第一NAS消息包括在NAS注册过程之后执行的NAS传输过程的下行链路NAS传输消息。
16.如权利要求15所述的方法,其还包括:
在所述AMF元件处从所述UE接收第二NAS消息,所述第二NAS消息具有包括来自所述UE的接收到所述UE配置参数更新的UE确认的容器;以及
将具有所述UE确认的另一控制平面消息从所述AMF元件发送至所述UDM元件;
其中所述第二NAS消息包括上行链路NAS传输消息。
17.如权利要求9所述的方法,其进一步包括:
在所述UE处从所述AMF元件接收所述第一NAS消息,所述第一NAS消息具有包括所述UE的受安全保护的所述UE配置参数更新的所述容器;
在所述UE处执行安全检查以验证所述UE配置参数更新;以及
当验证所述UE配置参数更新时,基于所述UE配置参数更新在所述UE处更新所述UE配置参数中的一个或多个。
18.如权利要求17所述的方法,其还包括:
当所述第一NAS消息包括重新注册指示符时,在所述UE处发起NAS注册过程以使用更新后的UE配置参数来重新注册。
19.一种用户设备(UE),其包括:
通用集成电路卡(UICC),所述UICC托管通用订户标识模块(USIM);
至少一个处理器;和
至少一个存储器,所述至少一个存储器包括能够由所述处理器执行的计算机程序代码;
其中所述UICC和所述存储器中的至少一个存储所述UE的UE配置参数;
所述处理器被配置成致使所述UE:
从接入和移动性管理功能(AMF)元件接收第一非接入层(NAS)消息,所述第一NAS消息具有包括所述UE的根据保护机制受安全保护的UE配置参数更新的容器,其中所述容器被指定用于所述UE配置参数更新;
所述UICC和所述处理器中的至少一个被配置成致使所述UE:
执行安全检查以验证所述UE配置参数更新;以及
当验证所述UE配置参数更新时,基于所述UE配置参数更新来更新所述UE配置参数中的一个或多个。
20.如权利要求19所述的UE,其中:
将所述UE配置参数更新封装在所述第一NAS消息的所述容器内的安全分组中。
21.如权利要求19所述的UE,其中:
使用所述UE的NAS安全上下文对所述UE配置参数更新进行完整性保护。
22.如权利要求19所述的UE,其中:
将所述UE配置参数更新封装在所述第一NAS消息的所述容器内的安全分组中,并且使用所述UE的NAS安全上下文对所述安全分组进行完整性保护。
23.如权利要求19所述的UE,其中:
所述第一NAS消息包括在NAS注册过程期间发送至所述UE的NAS注册接受消息。
24.如权利要求23所述的UE,其中:
当所述NAS注册接受消息包括UE确认指示符时,所述处理器还被配置成致使所述UE将第二NAS消息发送至所述AMF元件,所述第二NAS消息具有包括来自所述UE的接收到所述UE配置参数更新的UE确认的容器;
其中所述第二NAS消息包括NAS注册完成消息或上行链路NAS传输消息。
25.如权利要求19所述的UE,其中:
所述第一NAS消息包括在NAS注册过程之后执行的NAS传输过程的下行链路NAS传输消息。
26.如权利要求25所述的UE,其中:
当所述下行链路NAS传输消息包括UE确认指示符时,所述处理器还被配置成致使所述UE将上行链路NAS传输消息发送至所述AMF元件,所述上行链路NAS传输消息具有包括来自所述UE的接收到所述UE配置参数更新的UE确认的容器。
27.如权利要求19所述的UE,其中:
当所述第一NAS消息包括重新注册指示符时,所述处理器还被配置成致使所述UE发起NAS注册过程以使用更新后的UE配置参数来重新注册。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311721150.7A CN117499157A (zh) | 2018-10-06 | 2019-10-04 | 用户设备中提供的配置参数的安全更新系统和方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862742341P | 2018-10-06 | 2018-10-06 | |
| US62/742,341 | 2018-10-06 | ||
| PCT/US2019/054883 WO2020073014A1 (en) | 2018-10-06 | 2019-10-04 | Systems and method for secure updates of configuration parameters provisioned in user equipment |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311721150.7A Division CN117499157A (zh) | 2018-10-06 | 2019-10-04 | 用户设备中提供的配置参数的安全更新系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112913205A true CN112913205A (zh) | 2021-06-04 |
Family
ID=68343476
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311721150.7A Pending CN117499157A (zh) | 2018-10-06 | 2019-10-04 | 用户设备中提供的配置参数的安全更新系统和方法 |
| CN201980070436.9A Pending CN112913205A (zh) | 2018-10-06 | 2019-10-04 | 用户设备中提供的配置参数的安全更新系统和方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311721150.7A Pending CN117499157A (zh) | 2018-10-06 | 2019-10-04 | 用户设备中提供的配置参数的安全更新系统和方法 |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US11937077B2 (zh) |
| EP (1) | EP3861702A1 (zh) |
| JP (2) | JP7414816B2 (zh) |
| KR (3) | KR20230125087A (zh) |
| CN (2) | CN117499157A (zh) |
| AU (2) | AU2019355197B2 (zh) |
| BR (1) | BR112021006571A2 (zh) |
| CA (1) | CA3115284A1 (zh) |
| CL (1) | CL2021000848A1 (zh) |
| CO (1) | CO2021005932A2 (zh) |
| MX (1) | MX2021003926A (zh) |
| PH (1) | PH12021550737A1 (zh) |
| SG (1) | SG11202103439TA (zh) |
| WO (1) | WO2020073014A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11563676B2 (en) * | 2019-08-16 | 2023-01-24 | Nokia Technologies Oy | Method and apparatus for universal integrated circuit card update via dedicated network function |
| US20220394476A1 (en) * | 2019-11-11 | 2022-12-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Integrity Protection of Radio Resource Control Message |
| US11418957B2 (en) * | 2019-11-14 | 2022-08-16 | Verizon Patent And Licensing Inc. | Systems and methods for securely updating and managing universal subscriber identity module information |
| US20220053314A1 (en) * | 2020-08-12 | 2022-02-17 | Apple Inc. | Network Operations to Update User Equipment Parameters |
| CN116391374A (zh) * | 2021-02-18 | 2023-07-04 | 中兴通讯股份有限公司 | 非公共网络中基于控制平面的安全配置 |
| EP4132050A1 (en) * | 2021-08-03 | 2023-02-08 | Deutsche Telekom AG | Method for operating or for modifying the operation of a user equipment within or as part of a telecommunications network using a control plane functionality, user equipment, system or telecommunications network, authorization functionality, program and computer program product |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020044552A1 (en) * | 2000-02-22 | 2002-04-18 | Nokia Networks Oy | Integrity check in a communication system |
| US20110246777A1 (en) * | 2009-10-07 | 2011-10-06 | Research In Motion Limited | System and Method for Managing Security Key Architecture in Multiple Security Contexts of a Network Environment |
| WO2018131984A1 (ko) * | 2017-01-16 | 2018-07-19 | 엘지전자(주) | 무선 통신 시스템에서 ue 설정 업데이트 방법 및 이를 위한 장치 |
| CN108616907A (zh) * | 2016-12-28 | 2018-10-02 | 上海诺基亚贝尔股份有限公司 | 一种用于lte用户的移动性管理的方法、设备与系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080076392A1 (en) * | 2006-09-22 | 2008-03-27 | Amit Khetawat | Method and apparatus for securing a wireless air interface |
| KR20120099567A (ko) | 2011-03-01 | 2012-09-11 | 엘지전자 주식회사 | 무선 통신에서 네트워크의 비액세스 계층(Non-Access Stratum:NAS) 보안 프로시저를 수행하는 방법 |
| WO2015113212A1 (zh) | 2014-01-28 | 2015-08-06 | 华为技术有限公司 | 无线承载配置方法、基站及系统 |
| KR102024653B1 (ko) * | 2015-09-22 | 2019-09-24 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템 |
| KR102287842B1 (ko) | 2016-11-27 | 2021-08-09 | 엘지전자 주식회사 | 무선 통신 시스템에서의 등록 해제 방법 및 이를 위한 장치 |
| CN110637482B (zh) * | 2017-04-03 | 2021-12-03 | 黑莓有限公司 | 向移动设备提供紧急代码 |
| KR101859564B1 (ko) | 2017-08-01 | 2018-05-18 | 에스케이 텔레콤주식회사 | 무선통신 시스템에서 이동성 관리 방법 및 장치 |
-
2019
- 2019-10-04 WO PCT/US2019/054883 patent/WO2020073014A1/en active Application Filing
- 2019-10-04 SG SG11202103439TA patent/SG11202103439TA/en unknown
- 2019-10-04 BR BR112021006571-7A patent/BR112021006571A2/pt unknown
- 2019-10-04 US US17/252,721 patent/US11937077B2/en active Active
- 2019-10-04 KR KR1020237027414A patent/KR20230125087A/ko active Application Filing
- 2019-10-04 KR KR1020227033020A patent/KR102567828B1/ko active IP Right Grant
- 2019-10-04 CN CN202311721150.7A patent/CN117499157A/zh active Pending
- 2019-10-04 MX MX2021003926A patent/MX2021003926A/es unknown
- 2019-10-04 JP JP2021518763A patent/JP7414816B2/ja active Active
- 2019-10-04 CN CN201980070436.9A patent/CN112913205A/zh active Pending
- 2019-10-04 EP EP19794323.6A patent/EP3861702A1/en active Pending
- 2019-10-04 KR KR1020217013619A patent/KR102447972B1/ko active IP Right Grant
- 2019-10-04 AU AU2019355197A patent/AU2019355197B2/en active Active
- 2019-10-04 CA CA3115284A patent/CA3115284A1/en active Pending
-
2021
- 2021-04-03 PH PH12021550737A patent/PH12021550737A1/en unknown
- 2021-04-05 CL CL2021000848A patent/CL2021000848A1/es unknown
- 2021-05-05 CO CONC2021/0005932A patent/CO2021005932A2/es unknown
-
2023
- 2023-02-28 AU AU2023201180A patent/AU2023201180A1/en active Pending
- 2023-09-13 JP JP2023148582A patent/JP2023175800A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020044552A1 (en) * | 2000-02-22 | 2002-04-18 | Nokia Networks Oy | Integrity check in a communication system |
| US20110246777A1 (en) * | 2009-10-07 | 2011-10-06 | Research In Motion Limited | System and Method for Managing Security Key Architecture in Multiple Security Contexts of a Network Environment |
| CN108616907A (zh) * | 2016-12-28 | 2018-10-02 | 上海诺基亚贝尔股份有限公司 | 一种用于lte用户的移动性管理的方法、设备与系统 |
| WO2018131984A1 (ko) * | 2017-01-16 | 2018-07-19 | 엘지전자(주) | 무선 통신 시스템에서 ue 설정 업데이트 방법 및 이를 위한 장치 |
Non-Patent Citations (5)
| Title |
|---|
| ""C1-186338"", 《3GPP TSG_CT\WG1_MM-CC-SM_EX-CN1》 * |
| ERICSSON: ""S3-180374"", 《3GPP TSG_SA\WG3_SECURITY》 * |
| INTEL DEUTSCHLAND GMBH: "S3-181703 "SoR Living Doc: Secure Packet Solution for Steering of Roaming"", 《3GPP TSG_SA\WG3_SECURITY》 * |
| LG ELECTRONICS等: "S2-171854 "TS 23.502 P-CR new procedure on NW initiated UE configuration update"", 《3GPP TSG_SA\WG2_ARCH》 * |
| SA3: ""S3-183074 Reply LS on Routing ID"", 《3GPP INBOX\LSS_FROM_EXTERNAL_BODIES》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CO2021005932A2 (es) | 2021-06-21 |
| US20210160691A1 (en) | 2021-05-27 |
| BR112021006571A2 (pt) | 2021-07-27 |
| JP7414816B2 (ja) | 2024-01-16 |
| US11937077B2 (en) | 2024-03-19 |
| CL2021000848A1 (es) | 2021-10-22 |
| CA3115284A1 (en) | 2020-04-09 |
| AU2019355197B2 (en) | 2023-03-16 |
| AU2019355197A1 (en) | 2021-05-20 |
| WO2020073014A1 (en) | 2020-04-09 |
| CN117499157A (zh) | 2024-02-02 |
| KR20230125087A (ko) | 2023-08-28 |
| AU2023201180A1 (en) | 2023-04-06 |
| JP2023175800A (ja) | 2023-12-12 |
| PH12021550737A1 (en) | 2021-10-25 |
| EP3861702A1 (en) | 2021-08-11 |
| JP2022511606A (ja) | 2022-02-01 |
| MX2021003926A (es) | 2021-08-05 |
| KR102447972B1 (ko) | 2022-09-28 |
| KR20210071053A (ko) | 2021-06-15 |
| SG11202103439TA (en) | 2021-05-28 |
| KR20220135254A (ko) | 2022-10-06 |
| KR102567828B1 (ko) | 2023-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102369596B1 (ko) | Nas 메시지의 보안 보호를 위한 시스템 및 방법 | |
| CN108323245B (zh) | 一种注册及会话建立的方法、终端和amf实体 | |
| KR102447972B1 (ko) | 사용자 장비에서 공급된 구성 파라미터들의 안전한 업데이트를 위한 시스템 및 방법 | |
| KR20220018579A (ko) | 지정된 페이로드 컨테이너 유형을 사용하는 통신 시스템의 제어 평면을 통한 사용자 데이터 전송 | |
| KR20220150951A (ko) | 업링크 및 사이드링크 송신들의 우선순위화 | |
| US11653289B2 (en) | Selection of network slice data rate | |
| RU2783383C1 (ru) | Системы и способ для безопасных обновлений параметров конфигурации, обеспеченных в оборудовании пользователя | |
| US20230292121A1 (en) | System and method for security protection of nas messages | |
| RU2772709C1 (ru) | Системы и способ защиты безопасности сообщений nas | |
| WO2023012759A1 (en) | Registration to a network slice subject to admission control | |
| CN116896773A (zh) | 用于演进分组系统(eps)中的用户装备(ue)路由选择策略(ursp)的ue策略增强 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |