CN113395697B - 传输寻呼信息的方法和通信装置 - Google Patents
传输寻呼信息的方法和通信装置 Download PDFInfo
- Publication number
- CN113395697B CN113395697B CN202010171168.4A CN202010171168A CN113395697B CN 113395697 B CN113395697 B CN 113395697B CN 202010171168 A CN202010171168 A CN 202010171168A CN 113395697 B CN113395697 B CN 113395697B
- Authority
- CN
- China
- Prior art keywords
- information
- paging
- nas
- paging information
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W68/00—User notification, e.g. alerting and paging, for incoming communication, change of service or the like
- H04W68/005—Transmission of information for alerting of incoming communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W68/00—User notification, e.g. alerting and paging, for incoming communication, change of service or the like
Abstract
本申请实施例提供了一种传输寻呼信息的方法和通信装置,若终端设备根据自身需求请求对寻呼消息中的寻呼信息进行安全保护,那么在需要寻呼UE的情况下,AMF或者RAN先对寻呼信息进行安全保护,然后再向UE发送进行安全保护后的寻呼信息。这样,能够避免寻呼信息的泄露或者篡改,从而有利于网络为UE提供正常的服务。
Description
技术领域
本申请涉及通信领域,并且更具体地,涉及一种传输寻呼信息的方法和通信装置。
背景技术
用户设备(user equipment,UE)处于空闲态,即与无线接入网络(radio accessnetwork,RAN)的空口连接已经释放时,若网络侧有下行数据需要发送到UE,则用户面功能(user plane function,UPF)通知会话管理功能(session management function,SMF),然后SMF通知接入和移动管理功能(access and mobility management function,AMF),AMF向RAN发送寻呼消息。RAN根据AMF发送的寻呼消息,向UE发送寻呼消息。UE收到寻呼消息后,根据寻呼消息中的寻呼信息,决定是否响应寻呼。
在寻呼消息的传输过程中,寻呼消息中的寻呼信息可能被泄露或者篡改,从而可能导致网络无法为UE提供正常的服务。
发明内容
本申请提供了一种传输寻呼信息的方法和通信装置,通过对寻呼消息中的寻呼信息进行安全保护,能够避免寻呼信息的泄露或者篡改,从而使得网络可以为终端设备提供正常的服务。
第一方面,提供了一种传输寻呼信息的方法,包括:移动管理网元接收来自终端设备的第一信息;在需要寻呼终端设备的情况下,移动管理网元根据第一信息,对第一寻呼信息进行安全保护;移动管理网元向终端设备发送进行安全保护后的第一寻呼信息。
应理解,需要寻呼终端设备的情况是指移动管理网元接收到会话管理网元发送的通知消息,该通知消息指示移动管理网元寻呼终端设备。会话管理网元可以是具有会话管理功能的网元,如在第五代(5th generation,5G)系统中为会话管理功能(sessionmanagement function,SMF)。
可选地,第一信息用于指示终端设备包括多张全球用户标识模块(universalsubscriber identity module,USIM)卡或者请求对寻呼信息进行安全保护。举例来说,多张USIM卡可以理解为两张或两张以上的USIM卡
可选地,第一寻呼信息可以是需要发送给终端设备的寻呼信息,寻呼信息用于寻呼终端设备。或者说,第一寻呼信息可以是寻呼消息中需要发送给终端设备的信息(或寻呼信息)。
比如,第一寻呼信息包括下述中的一项或多项:寻呼原因(Paging Cause)、寻呼辅助信息(Assistance Data for Paging)、用户标识、寻呼标识(UE Paging Identity)或接入类型(Access Type)。用户标识可以是UE ID,UE ID为该终端设备的标识。
根据本申请提供的传输寻呼信息的方法,移动管理网元可以根据终端设备的指示,对寻呼消息中的寻呼信息(第一寻呼信息)进行安全保护,从而能够避免寻呼消息的泄露或者篡改,进而使得网络可以为终端设备提供正常的服务。
结合第一方面,在第一方面的某些实现方式中,所述对第一寻呼信息进行安全保护,包括:对第一寻呼信息进行下述中的一项或多项操作:加密、完整性保护或防重放保护。
第一寻呼信息可以包括下述中的一项或多项:需要加密的寻呼信息、需要完整性保护的寻呼信息、需要防重放保护的寻呼信息。
结合第一方面,在第一方面的某些实现方式中,第一寻呼信息可以通过非接入层(non-access stratum,NAS)安全上下文进行安全保护。
例如,可以使用NAS安全上下文中的NAS加密密钥和NAS加密算法对第一寻呼信息中需要加密的寻呼信息进行加密;使用NAS安全上下文中的NAS完整性密钥和NAS完整性保护算法第一寻呼信息中需要完整性保护的寻呼信息进行完整性保护;使用下行(downlink,DL)NAS计数器(Count)对第一寻呼信息中需要防重放保护的寻呼信息进行防重放保护。
再如,可以使用NAS安全上下文中的NAS完整性密钥和NAS完整性保护算法对第一寻呼信息中需要加密后的寻呼信息先进行加密,得到加密后的寻呼信息。然后再对加密后的寻呼信息和第一寻呼信息中需要完整性保护的寻呼信息一起进行完整性保护。
通过采用NAS安全上下文对第一寻呼信息进行安全保护,能够避免终端设备和移动管理网元协商专门用于对第一寻呼信息进行安全保护的信息的操作,从而能够节省信令开销。
可选地,第一寻呼信息可以通过终端设备和移动管理网元的共享密钥、私钥或者公钥进行安全保护。
结合第一方面,在第一方面的某些实现方式中,所述移动管理网元接收来自终端设备的第一信息,包括:移动管理网元接收来自终端设备的NAS消息,该NAS消息包括第一信息。
可选地,该NAS消息可以通过NAS安全上下文进行安全保护。
通过对该NAS消息进行安全保护,有利于保证移动管理网元接收到的第一信息实际就是终端设备发送的,而不是经过篡改后的信息,这样有利于保证移动管理网元可以根据终端设备的实际需求,确定是否对第一寻呼信息进行安全保护。
第二方面,提供了一种传输寻呼信息的方法,包括:终端设备向移动管理网元发送第一信息;终端设备接收来自移动管理网元的进行安全保护后的第一寻呼信息。
可选地,第一信息用于指示终端设备包括多张USIM卡或者请求对寻呼信息进行安全保护。
可选地,第一寻呼信息可以是需要发送给终端设备的寻呼信息,寻呼信息用于寻呼终端设备。或者说,第一寻呼信息可以是寻呼消息中需要发送给终端设备的信息(或寻呼信息)。
比如,第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。用户标识可以是UE ID,UE ID为该终端设备的标识。
根据本申请提供的传输寻呼信息的方法,移动管理网元可以根据终端设备的指示,对寻呼消息中的寻呼信息(第一寻呼信息)进行安全保护,从而能够避免寻呼消息的泄露或者篡改,进而使得网络可以为终端设备提供正常的服务。
结合第二方面,在第二方面的某些实现方式中,该方法还可以包括:终端设备对进行安全保护后的第一寻呼信息进行解安全保护。
应理解,解安全保护为安全保护的逆向操作。
结合第二方面,在第二方面的某些实现方式中,所述安全保护包括下述中的一项或多项:加密、完整性保护或防重放保护。
第一寻呼信息可以包括下述中的一项或多项:需要加密的寻呼信息、需要完整性保护的寻呼信息、需要防重放保护的寻呼信息。
结合第二方面,在第二方面的某些实现方式中,所述第一寻呼信息通过NAS安全上下文进行安全保护。
通过采用NAS安全上下文对第一寻呼信息进行安全保护,能够避免终端设备和移动管理网元协商专门用于对第一寻呼信息进行安全保护的信息的操作,从而能够节省信令开销。
可选地,第一寻呼信息可以通过终端设备和移动管理网元的共享密钥、私钥或者公钥进行安全保护。
结合第二方面,在第二方面的某些实现方式中,所述终端设备向移动管理网元发送第一信息,包括:终端设备向所述移动管理网元发送NAS消息,所述NAS消息包括所述第一信息。
可选地,所述NAS消息通过NAS安全上下文进行安全保护。
通过对该NAS消息进行安全保护,有利于保证移动管理网元接收到的第一信息实际就是终端设备发送的,而不是经过篡改后的信息,这样有利于保证移动管理网元可以根据终端设备的实际需求,确定是否对第一寻呼信息进行安全保护。
第三方面,提供了一种传输寻呼信息的方法,包括:接入网设备接收第一信息;接入网设备在需要寻呼终端设备的情况下,根据第一信息,对第一寻呼信息进行安全保护;接入网设备向终端设备发送进行安全保护后的第一寻呼信息。
应理解,需要寻呼终端设备的情况是指接入网设备接收到移动管理网元发送的寻呼消息。
可选地,第一信息用于指示终端设备包括多张全球用户标识模块(universalsubscriber identity module,USIM)卡或者请求对寻呼信息进行安全保护。
寻呼消息中的信息都可以称为寻呼信息。可选地,第一寻呼信息可以包括需要发送给终端设备的部分或全部寻呼信息,寻呼信息用于寻呼终端设备。
比如,第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。用户标识可以是UE ID,UE ID为该终端设备的标识。
各寻呼信息的含义可以参照第一方面的描述,这里不再赘述。
根据本申请提供的传输寻呼信息的方法,接入网设备可以根据第一信息,对寻呼消息中的寻呼信息(第一寻呼信息)进行安全保护,从而能够避免寻呼消息的泄露或者篡改,进而使得网络可以为终端设备提供正常的服务。
结合第三方面,在第三方面的某些实现方式中,所述对第一寻呼信息进行安全保护,包括:对第一寻呼信息进行下述中的一项或多项操作:加密、完整性保护或防重放保护。
第一寻呼信息可以包括下述中的一项或多项:需要加密的寻呼信息、需要完整性保护的寻呼信息、需要防重放保护的寻呼信息。
结合第三方面,在第三方面的某些实现方式中,第一寻呼信息可以通过AS安全上下文进行安全保护。
例如,可以使用AS安全上下文中的AS加密密钥和AS加密算法对第一寻呼信息中需要加密的寻呼信息进行加密;使用AS安全上下文中的AS完整性密钥和AS完整性保护算法第一寻呼信息中需要完整性保护的寻呼信息进行完整性保护;使用下行(downlink,DL)AS计数器(Count)对第一寻呼信息中需要防重放保护的寻呼信息进行防重放保护。
再如,可以使用AS安全上下文中的AS完整性密钥和AS完整性保护算法对第一寻呼信息中需要加密后的寻呼信息先进行加密,得到加密后的寻呼信息。然后再对加密后的寻呼信息和第一寻呼信息中需要完整性保护的寻呼信息一起进行完整性保护。
应理解,AS安全上下文中的AS加密密钥有时也称为RRC密钥,AS加密算法有时也称为RRC加密算法。类似地,AS安全上下文中的AS完整性密钥有时也称为无线资源控制(radioresource control,RRC)完整性密钥,AS完整性保护算法有时也称为RRC完整性保护算法。
通过采用AS安全上下文对第一寻呼信息进行安全保护,能够避免终端设备和接入网设备协商专门用于对第一寻呼信息进行安全保护的信息的操作,从而能够节省信令开销。
可选地,第一寻呼信息可以通过终端设备和接入网设备的共享密钥、私钥或者公钥进行安全保护。
结合第三方面,在第三方面的某些实现方式中,所述接入网设备接收第一信息,包括:接入网设备接收来自终端设备或者移动管理网元的第一信息。
可选地,所述接入网设备接收来自终端设备的第一信息,包括:接入网设备接收来自终端设备的空口消息或者RRC消息,所述空口消息或者RRC消息包括所述第一信息。
进一步地,所述空口消息或者RRC消息通过AS安全上下文进行安全保护。
通过对该空口消息或者RRC消息进行安全保护,有利于保证接入网设备接收到的第一信息实际就是终端设备发送的,而不是经过篡改后的信息,这样有利于保证接入网设备可以根据终端设备的实际需求,确定是否对第一寻呼信息进行安全保护。
可选地,所述接入网设备接收来自所述移动管理网元的所述第一信息,包括:接入网设备接收来自移动管理网元的N1接口消息,所述N1接口消息包括所述第一信息;或者,所述接入网设备接收来自所述移动管理网元的寻呼消息,所述寻呼消息包括所述第一信息。N1接口为移动管理网元和接入网设备之间的接口。
移动管理网元的第一信息可以是终端设备发送的。比如,终端设备可以通过AS消息向移动管理网元发送第一信息。进一步地,该AS消息可以通过AS安全上下文进行安全保护。通过对该AS消息进行安全保护,有利于保证移动管理网元接收到的第一信息实际就是终端设备发送的,而不是经过篡改后的信息,从而有利于保证接入网设备接收到的第一信息实际就是终端设备发送的,进而有利于保证接入网设备可以根据终端设备的实际需求,确定是否对第一寻呼信息进行安全保护。
第四方面,提供了一种传输寻呼信息的方法,包括:移动管理网元接收来自终端设备的第一信息;移动管理网元向接入网设备发送第一信息。
可选地,第一信息用于指示终端设备包括多张USIM卡或者请求对寻呼信息进行安全保护。
根据本申请提供的传输寻呼信息的方法,移动管理网元通过向接入网设备发送第一信息,可以使得接入网设备根据第一信息对寻呼消息中的寻呼信息进行安全保护,从而能够避免寻呼消息的泄露或者篡改,进而使得网络可以为终端设备提供正常的服务。
结合第四方面,在第四方面的某些实现方式中,所述移动管理网元接收来自终端设备的第一信息,包括:所述移动管理网元接收来自所述终端设备的AS消息,所述AS消息包括所述第一信息。
可选地,所述AS消息通过AS安全上下文进行安全保护。
结合第四方面,在第四方面的某些实现方式中,所述移动管理网元向接入网设备发送所述第一信息,包括:所述移动管理网元向接入网设备发送N1接口消息,所述N1接口消息包括所述第一信息;或者,所述移动管理网元向接入网设备发送寻呼消息,所述寻呼消息包括所述第一信息。
第五方面,提供了一种传输寻呼信息的方法,包括:终端设备向移动管理网元或接入网设备发送第一信息;所述终端设备接收来自接入网设备的进行安全保护后的第一寻呼信息。
可选地,第一信息用于指示终端设备包括多张USIM卡或者请求对寻呼信息进行安全保护。
寻呼消息中的信息都可以称为寻呼信息。可选地,第一寻呼信息可以包括需要发送给终端设备的部分或全部寻呼信息,寻呼信息用于寻呼终端设备。
比如,第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。用户标识可以是UE ID,UE ID为该终端设备的标识。
各寻呼信息的含义可以参照第一方面的描述,这里不再赘述。
根据本申请提供的传输寻呼信息的方法,接入网设备可以根据第一信息,对寻呼消息中的寻呼信息(第一寻呼信息)进行安全保护,从而能够避免寻呼消息的泄露或者篡改,进而使得网络可以为终端设备提供正常的服务。
结合第五方面,在第五方面的某些实现方式中,该方法还可以包括:终端设备对进行安全保护后的第一寻呼信息进行解安全保护。
应理解,解安全保护为安全保护的逆向操作。
结合第五方面,在第五方面的某些实现方式中,安全保护包括下述中的一项或多项:加密、完整性保护或防重放保护。
结合第五方面,在第五方面的某些实现方式中,所述终端设备向移动管理网元发送第一信息,包括:终端设备向移动管理网元发送AS消息,所述AS消息包括第一信息,所述AS消息通过AS安全上下文进行安全保护。
通过采用AS安全上下文对第一寻呼信息进行安全保护,能够避免终端设备和接入网设备协商专门用于对第一寻呼信息进行安全保护的信息的操作,从而能够节省信令开销。
第六方面,提供了一种传输寻呼信息的方法,包括:移动管理网元向终端设备发送第一寻呼信息;移动管理网元接收来自终端设备的服务请求消息,该服务请求消息包括第二寻呼信息;移动管理网元根据第一寻呼信息,对第二寻呼信息进行校验。
可选地,第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。第二寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。
结合第六方面,在第六方面的某些实现方式中,移动管理网元根据第一寻呼信息,对第二寻呼信息进行校验,包括:移动管理网元根据第一信息和第一寻呼信息,对第二寻呼信息进行校验。
示例性的,第一信息可以指示终端设备包括多张USIM卡或者请求对寻呼信息进行校验。
可选地,该方法还可以包括:移动管理网元接收来自终端设备的第一信息。
可选地,第一信息通过NAS消息携带。进一步地,第一信息通过NAS安全上下文进行保护。
可选地,服务请求消息包括第一信息。
第七方面,提供了一种传输寻呼信息的方法,包括:终端设备接收第一寻呼信息;终端设备向移动管理网元发送服务请求消息,服务请求消息包括第二寻呼信息,第一寻呼信息用于移动管理网元对第二寻呼信息进行校验。
结合第七方面,在第七方面的某些实现方式中,该方法还包括:终端设备向移动管理网元发送第一信息。
示例性的,第一信息可以指示终端设备包括多张USIM卡或者请求对寻呼信息进行校验。
可选地,第一信息通过NAS消息携带。进一步地,第一信息通过NAS安全上下文进行保护。
可选地,服务请求消息包括第一信息。
第八方面,提供了一种通信装置,包括用于执行第一方面以及第一方面中任一种可能实现方式中的方法的各个模块或单元,或包括用于执行第四方面以及第四方面中任一种可能实现方式中的方法的各个模块或单元,或包括用于执行第六方面以及第六方面中任一种可能实现方式中的方法的各个模块或单元。
第九方面,提供了一种通信装置,包括处理器。该处理器与存储器耦合,可用于执行存储器中的指令,以实现上述第一方面以及第一方面中任一种可能实现方式中的方法,或第四方面以及第四方面中任一种可能实现方式中的方法,或第六方面以及第六方面中任一种可能实现方式中的方法。可选地,该通信装置还可以包括存储器。可选地,该通信装置还包括通信接口,处理器与通信接口耦合。
可选地,该通信接口为收发器,或,输入/输出接口。
可选地,该收发器可以为收发电路。可选地,该输入/输出接口可以为输入/输出电路。
第十方面,提供了一种通信装置,包括用于执行第二方面以及第二方面中任一种可能实现方式中的方法的各个模块或单元,或包括用于执行第五方面以及第五方面中任一种可能实现方式中的方法的各个模块或单元,或包括用于执行第七方面以及第七方面中任一种可能实现方式中的方法的各个模块或单元。
第十一方面,提供了一种通信装置,包括处理器。该处理器与存储器耦合,可用于执行存储器中的指令,以实现上述第二方面以及第二方面中任一种可能实现方式中的方法,或第五方面以及第五方面中任一种可能实现方式中的方法,或执行第七方面以及第七方面中任一种可能实现方式中的方法。可选地,该通信装置还包括存储器。可选地,该通信装置还包括通信接口,处理器与通信接口耦合。
可选地,该通信接口为收发器,或,输入/输出接口。
可选地,该收发器可以为收发电路。可选地,该输入/输出接口可以为输入/输出电路。
第十二方面,提供了一种通信装置,包括用于执行第三方面以及第三方面中任一种可能实现方式中的方法的各个模块或单元。
第十三方面,提供了一种通信装置,包括处理器。该处理器与存储器耦合,可用于执行存储器中的指令,以实现上述第三方面以及第三方面中任一种可能实现方式中的方法。可选地,该通信装置还包括存储器。可选地,该通信装置还包括通信接口,处理器与通信接口耦合。
可选地,该通信接口为收发器,或,输入/输出接口。
可选地,该收发器可以为收发电路。可选地,该输入/输出接口可以为输入/输出电路。
第十四方面,提供了一种处理器,包括:输入电路、输出电路和处理电路。该处理电路用于通过该输入电路接收信号,并通过该输出电路发射信号,使得该处理器执行第一方面以及第一方面中任一种可能实现方式中的方法,或执行第二方面以及第二方面中任一种可能实现方式中的方法,或执行第三方面以及第三方面中任一种可能实现方式中的方法,或执行第四方面以及第四方面中任一种可能实现方式中的方法,或执行第五方面以及第五方面中任一种可能实现方式中的方法,或执行第六方面以及第六方面中任一种可能实现方式中的方法,或执行第七方面以及第七方面中任一种可能实现方式中的方法。
在具体实现过程中,上述处理器可以为芯片,输入电路可以为输入管脚,输出电路可以为输出管脚,处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的,输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的,且输入电路和输出电路可以是同一电路,该电路在不同的时刻分别用作输入电路和输出电路。本申请实施例对处理器及各种电路的具体实现方式不做限定。
第十五方面,提供了一种处理装置,包括处理器和存储器。该处理器用于读取存储器中存储的指令,并可通过接收器接收信号,通过发射器发射信号,以执行第一方面以及第一方面中任一种可能实现方式中的方法,或执行第二方面以及第二方面中任一种可能实现方式中的方法,或执行第三方面以及第三方面中任一种可能实现方式中的方法,或执行第四方面以及第四方面中任一种可能实现方式中的方法,或执行第五方面以及第五方面中任一种可能实现方式中的方法,或执行第六方面以及第六方面中任一种可能实现方式中的方法,或执行第七方面以及第七方面中任一种可能实现方式中的方法。
可选地,该处理器为一个或多个,该存储器为一个或多个。
可选地,该存储器可以与该处理器集成在一起,或者该存储器与处理器分离设置。
在具体实现过程中,存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
应理解,相关信息交互过程可以为从处理器输出信息的过程,接收信息可以为处理器接收信息的过程。具体地,处理输出的信息可以输出给发射器,处理器接收的输入信息可以来自接收器。其中,发射器和接收器可以统称为收发器。
上述第十五方面中的处理装置可以是一个芯片,该处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于该处理器之外,独立存在。
第十六方面,提供了一种计算机程序产品,该计算机程序产品包括:计算机程序(也可以称为代码,或指令),当该计算机程序被运行时,使得计算机执行上述第一方面以及第一方面中任一种可能实现方式中的方法,或执行第二方面以及第二方面中任一种可能实现方式中的方法,或执行第三方面以及第三方面中任一种可能实现方式中的方法,或执行第四方面以及第四方面中任一种可能实现方式中的方法,或执行第五方面以及第五方面中任一种可能实现方式中的方法,或执行第六方面以及第六方面中任一种可能实现方式中的方法,或执行第七方面以及第七方面中任一种可能实现方式中的方法。
第十七方面,提供了一种计算机可读介质,该计算机可读介质存储有计算机程序(也可以称为代码,或指令)当其在计算机上运行时,使得计算机执行上述第一方面以及第一方面中任一种可能实现方式中的方法,或执行第二方面以及第二方面中任一种可能实现方式中的方法,或执行第三方面以及第三方面中任一种可能实现方式中的方法,或执行第四方面以及第四方面中任一种可能实现方式中的方法,或执行第五方面以及第五方面中任一种可能实现方式中的方法,或执行第六方面以及第六方面中任一种可能实现方式中的方法,或执行第七方面以及第七方面中任一种可能实现方式中的方法。
第十八方面,提供了一种通信系统,包括前述的接入网设备、移动管理网元和终端设备中的至少两项。
附图说明
图1是应用于本申请的一个系统架构示意图。
图2是包括多张USIM卡的UE进行通信的示意图。
图3是本申请提供的一种传输寻呼信息的方法的示意性流程图。
图4是传输寻呼信息的方法的一个具体示例的流程图。
图5是传输寻呼信息的方法的另一具体示例的流程图。
图6是本申请提供的另一种传输寻呼信息的方法的示意性流程图。
图7是本申请提供的又一种传输寻呼信息的方法的示意性流程图。
图8是本申请提供的一种通信装置的示意性框图。
图9是本申请提供的一种网络设备的结构示意图。
图10是本申请提供的一种终端设备的结构示意图。
图11是本申请提供的一种接入网设备的结构示意图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请提供的技术方案可以应用于各种通信系统,例如:长期演进(long termevolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、通用移动通信系统(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)通信系统、第五代(5th generation,5G)系统或新无线(newradio,NR)等。
本申请所涉及的网元主要包括终端设备、接入网设备和移动管理网元。其中,接入网设备与终端设备之间通过无线空口连接,能够管理无线资源,为终端设备提供接入服务,进而完成控制信号和用户面数据在终端设备和核心网之间的转发。移动管理网元与接入网设备通过有线或者无线的方式连接,主要用于移动性管理和接入管理等。
终端设备可以是用户设备(user equipment,UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端设备、增强现实(augmentedreality,AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端等。
接入网设备可以是演进型节点B(evolved Node B,eNB)、无线网络控制器(radionetwork controller,RNC)、节点B(Node B,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(home evolved NodeB,或home Node B,HNB)、基带单元(baseBand unit,BBU),无线保真(wireless fidelity,WIFI)系统中的接入点(access point,AP)、无线中继节点、无线回传节点、传输点(transmissionpoint,TP)或者发送接收点(transmission and reception point,TRP)等。接入网设备还可以为5G,如,NR,系统中的gNB,或,传输点(TRP或TP),5G系统中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB或传输点的网络节点,如基带单元(BBU),或,分布式单元(distributed unit,DU)等。
在一些部署中,gNB可以包括集中式单元(centralized unit,CU)和DU。gNB还可以包括有源天线单元(active antenna unit,AAU)。CU实现gNB的部分功能,DU实现gNB的部分功能。比如,CU负责处理非实时协议和服务,实现无线资源控制(radio resource control,RRC),分组数据汇聚层协议(packet data convergence protocol,PDCP)层的功能。DU负责处理物理层协议和实时服务,实现无线链路控制(radio link control,RLC)层、媒体接入控制(media access control,MAC)层和物理(physical,PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息,或者,由PHY层的信息转变而来,因而,在这种架构下,高层信令,如RRC层信令,也可以认为是由DU发送的,或者,由DU+AAU发送的。可以理解的是,网络设备可以为包括CU节点、DU节点、AAU节点中一项或多项的设备。此外,可以将CU划分为接入网(radio access network,RAN)中的网络设备,也可以将CU划分为核心网(core network,CN)中的网络设备,本申请对此不做限定。
移动管理网元可以是移动性管理功能(mobility management entity,MME)、具有MME功能的网元、接入和移动管理功能(access and mobility management function,AMF)、、具有AMF功能的网元、非3GPP互通功能(Non-3GPP interworking function,N3IWF)或服务GPRS支持节点(Serving GPRS Support Node,SGSN)等。
不同的网络系统中,网元命名可能有所不同。下文以5G网络中对网元的命名为例,来对本申请进行说明。
首先,结合图1所示的5G网络架构示意图,对5G网络系统中涉及的主要网元进行简要说明。
1、用户设备(user equipment,UE)101:对应终端设备。
2、(无线)接入网络(radio access network,(R)AN)网元102:在下文中简称为RAN,对应接入网设备。举例来说,RAN可以是NB,eNB,gNB,ng-eNB,或者其他任何接入网设备。
3、用户面功能(user plane function,UPF)103:用于分组路由和转发以及用户面数据的服务质量(quality of service,QoS)处理等。
4、数据网络(data network,DN)104:用于提供传输数据的网络。
5、AMF 105:对应移动管理网元。
6、会话管理功能(session management function,SMF)106:主要用于会话管理、用户设备的网络互连协议(internet protocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。
7、策略控制功能(policy control function,PCF)107:用于指导网络行为的统一策略框架,为控制面功能网元(例如AMF,SMF等)提供策略规则信息等。
8、应用功能(application function,AF)108:用于进行应用影响的数据路由,接入网络开放功能网元,与策略框架交互进行策略控制等。
9、统一数据管理(unified data management,UDM)109:用于处理UE标识,接入鉴权,注册以及移动性管理等。
10、统一数据存储(unified data repository,UDR)110:主要包括以下功能:签约数据、策略数据、应用数据等类型数据的存取功能。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。
应理解,在图1所示的网元之间的接口仅是示例,该示例并不应对本申请构成任何限定。
还应理解,上述应用于本申请实施例的网络架构仅是一种举例说明,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
当UE处于空闲态,即与RAN的空口连接已经释放时,若网络侧有下行数据需要发送到UE,则UPF通知SMF,然后SMF通知AMF,AMF向RAN发送寻呼消息。RAN根据AMF发送的寻呼消息,向UE发送寻呼消息。UE收到寻呼消息后,根据寻呼消息中的寻呼信息,决定是否响应寻呼。
以图2所示的场景为例,UE有多张USIM卡(以2张USIM卡为例),且各USIM卡有专属的国际移动设备识别码(international mobile equipment identity,IMEI)/永久设备标识(permanent equipment identifier,PEI),各USIM独立注册,各USIM归属于不同的公共陆地移动网(public land mobile network,PLMN)网络的场景下,当USIM1与PLMN1有正在进行的服务,USIM2处于空闲态时,若此时PLMN2向USIM2发起寻呼,则USIM2可以根据寻呼消息决定是否响应寻呼并与网络建立连接。比如,若寻呼消息中的寻呼原因(Paging Cause)代表高级别的移动终止服务(mobile terminated service,MT service),则USIM2决定响应寻呼,UE断开USIM1与PLMN1的连接。或者,若寻呼消息中的寻呼原因代表低级别的MTservice,则USIM2拒绝寻呼,UE维持USIM1与PLMN1的连接。
在寻呼消息的传输过程中,尤其是在空口传输过程中,寻呼消息中的寻呼信息可能被泄露或者篡改,从而可能导致网络无法为UE提供正常的服务。
以图2所示的场景为例,比如,攻击者可以篡改针对USIM2的寻呼消息中的寻呼原因和寻呼辅助信息(Assistance Data for Paging)等,比如将原本代表低级别MT service的寻呼原因改为高级别的,造成UE判断需要响应PLMN2的寻呼,从而使USIM1断开与PLMN1的连接,影响USIM1的正常业务,造成对USIM1的拒绝服务(Denial of Service,DoS)攻击。攻击者也可以篡改寻呼消息中的接入类型(Access Type),使得UE无法响应网络寻呼。
有鉴于此,本申请提供了一种传输寻呼信息的方法,通过对寻呼消息中的寻呼信息进行安全保护,尤其是对空口传输的寻呼信息进行安全保护,能够避免寻呼消息的泄露或者篡改,从而使得网络可以为UE提供正常的服务。
本申请提供的方法可以应用于场景一,也可以应用于场景二。
场景一:UE包括一张USIM卡,有下行数据需要传输,并且UE处于空闲态(idle)或非激活(inactive)态。
场景二:UE包括多(即,大于或等于2)张USIM卡,针对处于空闲态或非激活态的其中一张USIM卡有下行数据需要传输。可选地,该多张USIM卡中其中一张USIM卡与网络之间存在正在进行的业务。
在场景二中,UE可以处于多收单发模式,但本申请并不限于此。多收单发模式是指,UE可以同时接受针对多张USIM的寻呼消息,但仅能针对一个USIM发送消息或者维持业务。若一个USIM卡与网络有业务,其他USIM卡应处于空闲态或非激活态。若网络针对空闲态或非激活态USIM卡发起寻呼,且该USIM卡决定响应寻呼时,正在进行业务的另一个USIM卡必须终断与网络的连接。
需要说明的是,本文中的UE可以是一个装置,也可以是装置中的芯片。若UE为芯片,UE包括一张或多张USIM卡是指,包括该UE的装置包括一张或多张USIM卡。
下面,将结合图3至图7,对本申请提供的传输寻呼信息的方法进行说明。应理解,各流程图中所示的步骤或操作并非要全部都执行,并且各流程图中的步骤或操作仅是示例,本申请实施例还可以执行其他操作或者相应操作的变形。
在本文中,寻呼消息中的信息称为寻呼信息。比如,寻呼原因为寻呼信息,寻呼标识也是寻呼信息。
图3是本申请提供的一种传输寻呼信息的方法的示意性流程图。该方法300可以应用于UE或其中一张USIM卡处于空闲态或非激活态的场景。下面对该方法300中的各步骤进行说明。
S301,网络有下行数据发送到UPF。
S302,UPF通知SMF有下行数据需要传输。
S303,SMF通知AMF发起寻呼。
AMF根据SMF的通知,可以确定需要寻呼UE或者需要发送寻呼消息。
S304,AMF确定是否对第一寻呼信息进行安全保护。
其中,第一寻呼信息可以是需要发送给UE的部分或全部寻呼信息。比如,第一寻呼信息可以包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。比如,寻呼原因可以表示当前发起寻呼的原因,或触发寻呼的MT service的级别等。寻呼辅助信息可以表示发起当前寻呼的其他相关信息,比如触发寻呼的业务类型等。用户标识(UE ID)用于唯一的标识用户,比如可以是用户永久标识(subscription permanentidentifier,SUPI),或用户隐藏标识(subscription concealed identifier,SUCI),或国际移动用户识别码(international mobile subscriber identity,IMSI),或PEI等。寻呼标识可以表示当前网络需要寻呼的一个或多个用户的用户标识。接入类型可以表示UE接入技术的类型,比如3GPP接入,或Non-3GPP接入等。上述各参数的含义可以参见现有技术或相关标准。
第一寻呼信息也可以包括需要发送给RAN的寻呼信息,本申请对此不作限定。
可选地,AMF可以根据安全保护指示信息,确定是否对第一寻呼信息进行安全保护。另外,AMF也可以对包括所述UE的任一UE的第一寻呼信息进行安全保护。或者,AMF可以根据本地配置,确定是否对所述UE的第一寻呼信息进行安全保护。比如,若本地配置为对任一UE的第一寻呼信息都进行安全保护,则AMF确定对所述UE的第一寻呼信息进行安全保护。
示例性的,安全保护指示信息可以指示UE是否包括多张USIM卡,或者,UE是否请求对第一寻呼信息进行安全保护。也就是说,安全保护指示信息要么指示UE包括多张USIM卡或UE请求对第一寻呼信息进行安全保护,要么指示UE仅包括一张USIM卡或者UE不请求对第一寻呼信息进行安全保护。若安全保护指示信息指示UE包括多张USIM卡或者UE请求对第一寻呼信息进行安全保护,该安全保护指示信息也可以称为第一信息。若AMF接收到第一信息,则AMF确定对第一寻呼信息进行安全保护。
或者,安全保护指示信息的发送表示UE包括多张USIM卡,或者,UE请求对第一寻呼信息进行安全保护。即,若AMF接收到该安全保护指示信息,则AMF确定对第一寻呼信息进行安全保护;若AMF没有接收到安全保护指示信息,则AMF确定不对第一寻呼信息进行安全保护。在这里,安全保护指示信息也可以称为第一信息。
综上,若AMF接收到第一信息,则AMF确定对第一寻呼信息进行安全保护。
可选地,安全保护指示信息可以是UE发送的,也可以是核心网侧的设备,例如SMF、PCF、UPF或者UDM发送的。
比如,UE可以在之前处于连接态时,先将安全保护指示信息发送给RAN,再由RAN发送给AMF。
又如,UE可以通过NAS消息向AMF发送安全保护指示信息。
进一步地,安全保护指示信息可以通过NAS安全上下文进行安全保护,或者,安全保护指示信息可以通过使用NAS安全上下文进行安全保护的NAS消息携带。
NAS安全上下文是UE和网络之间完成认证流程之后,UE和AMF之间通过非接入层安全模式命令(NAS Security Mode Command,NAS SMC)流程产生的。其中,NAS安全上下文包括NAS加密密钥、NAS完整性密钥、NAS加密算法、NAS完整性保护算法以及上行(uplink,UL)/下行(downlink,DL)NAS计数器(Count)等信息。其中,NAS加密密钥和NAS加密算法用于加密(或称加密保护),NAS完整性密钥和NAS完整性保护算法用于完整性保护,DL NAS Count和UL NAS Count用于防重放保护。防重放是指防止消息或者信息被重复发送给接收端。UE和AMF上会维护NAS安全上下文,并激活NAS安全保护,后续UE和AMF之间交互的NAS消息或NAS消息中携带的信息(也可以称为信元)可以使用NAS安全上下文进行加密(也可以称为加密保护)、完整性保护、和/或防重放保护。
下面,以使用NAS安全上下文对IE进行安全保护为例,进行举例说明。应理解,IE可以是任一NAS消息或NAS消息中的信元,例如可以是安全保护指示信息、第一寻呼信息等。
比如,可以使用NAS安全上下文中的NAS加密密钥和NAS加密算法对IE进行加密。例如,计算IE’=EncNAS(KNAS-Enc,IE),其中IE’为进行加密后的IE,EncNAS为NAS加密算法,KNAS-Enc为NAS加密密钥。或者,可以使用NAS安全上下文中的NAS完整性密钥和NAS完整性保护算法对IE进行完整性保护。例如,计算MAC=IntNAS(KNAS-Int,IE),MAC为进行完整性保护后得到的消息认证码(message authentication code),IntNAS为NAS完整性保护算法,KNAS-Int为NAS完整性密钥。
又如,可以使用NAS安全上下文中的NAS加密密钥、NAS加密算法以及DL NAS Count(或UL NAS Count)对IE同时进行加密和防重放保护。以下行为例,例如,计算IE’=EncNAS(KNAS-Enc,IE,DL NAS Count),这里IE’为进行加密和防重放保护后的IE。或者,可以使用NAS安全上下文中的NAS完整性密钥、NAS完整性保护算法以及DL NAS Count(或UL NAS Count)对IE同时进行完整性保护和防重放保护。以下行为例,例如,计算MAC=IntNAS(KNAS-Int,IE,DL NAS Count),这里MAC为进行完整性保护和防重放保护后得到的消息认证码。
再如,可以使用NAS安全上下文中的NAS完整性密钥、NAS完整性保护算法,对上述IE’进行完整性保护。例如,计算MAC=IntNAS(KNAS-Int,IE’,DL NAS Count),或者计算MAC=IntNAS(KNAS-Int,IE’)。
需要说明的是,本申请对NAS加密算法和NAS完整性保护算法具体为何种算法不作限定,比如可以是Hash,也可以是其他算法。
可选地,上述UL/DL NAS Count可以替换为UE与AMF之间协商的其他计数器,比如长度更短的计数器。
可选地,上述NAS安全密钥也可以替换为其他共享密钥。
共享密钥是UE和AMF协商共有的密钥,例如,可以使用UE和AMF都有的根密钥K,经过层层推演产生的一个专门用于保护安全保护指示信息的密钥;也可以使用UE和AMF已经协商共有的密钥,推演出一个专门用于保护安全保护指示信息的密钥K1,比如根据KAMF推演出K1。其中KAMF为认证流程之后UE和网络侧使用根密钥K推演得到的秘钥,此密钥保存在UE和AMF中,可用于推演NAS加密密钥和完整性密钥。
另外,安全保护指示信息也可以通过公钥或私钥进行安全保护。
公私和私钥是成对出现的,发送方用公钥对被保护内容计算一个签名,然后接收方用自己的私钥验证签名就是完整性保护;发送方用公钥对被保护内容进行加密,然后接收方用自己的私钥解密就是加密保护。
S305,AMF对第一寻呼信息进行安全保护。
在S304中,若AMF确定对第一寻呼信息进行安全保护,则在S305中,AMF对第一寻呼信息进行安全保护。安全保护可以包括下述中的一项或多项:加密、完整性保护或防重放保护。也就是说,AMF可以对第一寻呼信息进行加密、完整性保护和/或防重放保护。
示例性的,AMF可以通过NAS安全上下文对第一寻呼信息进行安全保护。
比如,AMF可以使用NAS安全上下文中的NAS加密密钥和NAS加密算法对第一寻呼信息中需要加密的寻呼信息进行加密。又如,AMF可以使用NAS安全上下文中的NAS完整性密钥和NAS完整性保护算法对第一寻呼信息中需要完整性保护的寻呼信息进行完整性保护;或者,AMF可以使用NAS安全上下文中的NAS完整性密钥和NAS完整性保护算法对加密后的寻呼信息进行完整性保护。再如,AMF可以使用DL NAS Count对第一寻呼信息中需要防重放保护的寻呼信息进行防重放保护。具体如何使用NAS安全上下文中的信息进行相应地安全保护可以参照上文在步骤S304中的说明,这里不再赘述。
示例性的,第一寻呼信息中可以仅包括需要加密的寻呼信息,也可以仅包括需要完整性保护的寻呼信息,也可以仅包括需要防重放保护的寻呼信息。或者,第一寻呼信息可以包括需要加密的寻呼信息、需要完整性保护的寻呼信息以及需要防重放保护的寻呼信息这三项中的任意两项或三项。应理解,第一寻呼信息中同一信息可能需要进行加密、完整性保护和防重放保护这三种操作中的其中两项或三项。
本申请并不限定需要加密的寻呼信息、需要完整性保护的寻呼信息以及需要防重放保护的寻呼信息具体为哪个信息。
比如,需要加密的寻呼信息可以包括寻呼原因和/或寻呼辅助信息。以寻呼原因为例,寻呼原因可以包含在新定义的容器(Container)中,例如MUSIM_Container,或者在现有的NAS容器(NAS Container)中,具体不做限定。此处的容器可以用于通知UE该容器中的信息是被加密的。可选的,寻呼原因的数据结构中可以包含指示信息,用于指示该信元是被加密的,指示信息的具体形式不做限定。
应理解,寻呼原因和/或寻呼辅助信息等也可以不加密,仅做完整性保护。
又如,需要完整性保护的寻呼信息可以包括寻呼标识和/或接入类型。
可选地,AMF可以对加密后的寻呼信息和不需要加密的寻呼信息一起进行完整性保护。例如,以加密后的寻呼信息为加密后的寻呼原因Paging Cause’,不需要加密的寻呼信息为接入类型(Access Type)为例,AMF可以计算MAC-Paging=IntNAS(KNAS-Int,PagingCause’,Access Type,DL NAS Count),其中,MAC-Paging为对加密后的寻呼信息和不需要加密的寻呼信息一起进行完整性保护后得到的消息认证码,IntNAS为NAS完整性保护算法,KNAS-Int为NAS完整性密钥。
可选地,上述DL NAS Count可以替换为UE与AMF之间协商的其他计数器,比如长度更短的计数器。
可选地,上述NAS安全密钥也可以替换为其他共享密钥。
共享密钥是UE和AMF协商共有的密钥,例如,可以使用UE和AMF都有的根密钥K,经过层层推演产生的一个专门用于保护安全保护指示信息的密钥;也可以使用UE和AMF已经协商共有的密钥,推演出一个专门用于保护安全保护指示信息的密钥Kpaging,比如根据KAMF推演出Kpaging。其中KAMF为认证流程之后UE和网络侧使用根密钥K推演得到的秘钥,此密钥保存在UE和AMF中,可用于推演NAS加密密钥和完整性密钥。举例来说,UE可以根据根密钥K推演第一中间密钥(IK,CK),根据第一中间密钥以及服务网络标识推演第二中间密钥,根据第二中间密钥推演锚密钥Kseaf,根据Kseaf推演KAMF,根据KAMF推演Kpaging。举例来说,第二中间密钥可以使Kausf,还可以是IK’和CK’。举例来说,AMF和UE可以根据一个新鲜参数和KAMF推演Kpaging。举例来说,该新鲜参数可以是非接入层上行计数值或下行计数值,还可以是一个随机数。可选的,UE和AMF可以维护一个计数器,可以根据KAMF和计数器的值来推演Kpaging。每次使用该计数器的值之后,计数器加1。可选的,也可以是每次使用该计数器的值之前,计数器加1。
另外,第一寻呼信息或第一寻呼信息中的部分信息也可以通过公钥或私钥进行安全保护。
应理解,这里的其他共享密钥、公钥或私钥和对安全指示信息进行安全保护的其他共享密钥、公钥或私钥可以相同,也可以不同,本申请对此不作限定。
可选地,对仅发送给RAN的寻呼信息,例如,寻呼间隔(Paging DRX),跟踪区域标识列表(TAI List for Paging),寻呼优先级(Paging Priority),用于寻呼的UE无线能力(UERadio Capability for Paging),寻呼起源(Paging Origin)等,AMF可以不进行安全保护,例如不进行加密。
可选地,AMF确定对第一寻呼信息进行安全保护后,可以生成指示信息,该指示信息用于指示RAN调整寻呼频率,比如控制单次寻呼UE的数量,或者分批寻呼UE,以达到节省空口寻呼信道资源的目的。
S306,AMF向RAN发送寻呼消息。相应地,RAN接收寻呼消息。
可选地,若AMF指示RAN调整寻呼频率,则在RAN接收到寻呼消息后,可以根据AMF的指示调整寻呼频率,比如控制单次寻呼UE的数量,或者分批寻呼UE等。
S307,RAN向UE发送寻呼消息。相应地,UE接收寻呼消息。
为区分AMF和RAN发送的寻呼消息,可以将AMF发送给RAN的寻呼消息记作:第一寻呼消息;将RAN发送给UE的寻呼消息记作:第二寻呼消息。
第一寻呼消息包括需要发送给RAN的寻呼信息和需要发送给UE的寻呼信息,第二寻呼消息可以包括需要发送给UE的寻呼信息。例如,若第一寻呼信息为需要发送给UE的寻呼信息,则第一寻呼消息和第二寻呼消息都包括进行安全保护后的第一寻呼信息。
S308,UE对接收到的第二寻呼消息进行解安全保护。
例如,UE对需要加密的寻呼信息进行解密,对需要完整性保护的寻呼信息进行完整性校验,对需要防重放保护的寻呼信息校验收到的计数器是否大于本地的计数器。UE进行解安全保护后,可以得到第一寻呼信息。
举例来说,若第二寻呼消息通过NAS安全上下文进行安全保护,则UE也通过NAS安全上下文进行解安全保护。
例如,若AMF使用NAS安全上下文中的NAS加密密钥和NAS加密算法对需要加密的寻呼信息进行加密,则UE使用NAS安全上下文中的NAS加密密钥和NAS加密算法进行解密,得到加密之前的寻呼信息,例如寻呼原因。可选的,UE可以根据第二寻呼消息中的容器确定寻呼原因等信息是被加密的。可选的,UE可以根据寻呼原因数据结构中包含的指示信息,确定寻呼原因是被加密的。
例如,若AMF使用NAS安全上下文中的NAS完整性密钥和NAS完整性保护算法对需要完整性保护的寻呼信息,则针对需要完整性保护的寻呼信息,UE使用NAS安全上下文中的NAS完整性密钥和NAS完整性保护算法校验完整性。
可选的,若AMF对加密后的寻呼信息和不需加密的寻呼信息一起进行完整性保护,以加密后的寻呼信息为加密后的寻呼原因Paging Cause’,不需要加密的寻呼信息为接入类型(Access Type)为例,则AMF先计算MAC-Paging’=IntNAS(KNAS-Int,Paging Cause’,Access type,DL NAS Count),然后对比MAC-Paging’和前文描述的MAC-Paging,若一致则完整性校验通过,然后对加密的寻呼信息进行解密,得到加密之前的寻呼信息。
应理解,S308是S305的逆向操作,本领域技术人员能够根据对S305的描述获知如何进行解安全保护,本申请不再详述。
S309,UE向AMF发送服务请求(Service Request)消息。
UE根据第二寻呼消息中的部分或全部寻呼信息,确定是否响应寻呼。比如,UE可以根据第一寻呼信息,确定是否响应寻呼。若确定响应寻呼,则UE向AMF发送服务请求(Service Request)消息。UE发送服务请求消息后的后续操作可以参考现有技术,本申请不再详述。另外,关于UE具体如何根据寻呼信息确定是否响应寻呼也可以参考现有技术,本申请不再详述。
综上,根据本申请提供的传输寻呼信息的方法,AMF通过对寻呼消息中的寻呼信息进行安全保护,能够避免寻呼消息的泄露或者篡改,从而使得网络可以为UE提供正常的服务。
上文在S304步骤描述了AMF可以根据安全保护指示信息确定是否对第一寻呼信息进行安全保护,并且描述了安全保护指示信息可以由UE发送。为使AMF准确确定是否对第一寻呼信息进行安全保护,需要保证AMF接收的安全保护指示信息与UE发送的安全保护指示信息一致。下面结合图4和图5,对如何保证AMF确定是否对第一寻呼信息进行安全保护时所依据的安全保护指示信息与UE发送的安全保护指示信息一致,进行说明。
图4是本申请提供的一种传输寻呼信息的方法的示意性流程图。该方法400是方法300的一个具体示例。
S401,UE向AMF发送初始NAS消息,初始NAS消息包括安全保护指示信息。相应地,AMF接收初始NAS消息。
初始NAS消息可以是注册请求消息或者其他NAS消息,需要说明的是这里的初始NAS消息并未进行安全保护。安全保护指示信息可以包含于初始NAS消息中的UE能力信元中,或者,单独作为新增信元包含于初始NAS消息中。
S402,AMF保存第一信息。
S403,UE与网络之间执行认证流程。
认证流程可以参见现有技术。
S404,AMF向UE发送第二NAS消息,第二NAS消息包括AMF接收到的安全保护指示信息。相应地,UE接收第二NAS消息。
该安全保护指示信息可以包含于第二NAS消息中的UE能力信元中,或者单独作为新增信元包含于第二NAS消息中。
可选地,第二NAS消息可以通过NAS安全上下文进行安全保护,如加密、完整性保护和/或防重放保护,具体如何通过NAS安全上下文对第二NAS消息进行安全保护,可以参考上文对使用NAS安全上下文对IE或第一寻呼信息进行安全保护的描述,这里不再赘述
类似地,NAS安全上下文中的UL/DL NAS Count也可以替换为UE与AMF之间协商的其他计数器,比如长度更短的计数器。或者,NAS安全上下文中的NAS安全密钥也可以替换为其他共享密钥。
可选地,第二NAS消息也可以通过公钥或者私钥进行安全保护。
可选地,第二NAS消息可以是NAS安全模式命令(NAS Security Mode Command)。
S405,UE对第二NAS消息进行解安全保护,如解密和/或完整性校验,获得第二NAS消息中的安全保护指示信息。
S406,UE向AMF发送第一NAS消息。相应地,AMF接收第一NAS消息。
该安全保护指示信息可以包含于第一NAS消息中的UE能力信元中,或者单独作为新增信元包含于第一NAS消息中。
可选地,第一NAS消息可以通过NAS安全上下文进行安全保护,如加密、完整性保护和/或防重放保护,具体如何通过NAS安全上下文对第一NAS消息进行安全保护,可以参考上文对使用NAS安全上下文对IE或第一寻呼信息进行安全保护的描述,这里不再赘述
类似地,NAS安全上下文中的UL/DL NAS Count也可以替换为UE与AMF之间协商的其他计数器,比如长度更短的计数器。或者,NAS安全上下文中的NAS安全密钥也可以替换为其他共享密钥。
可选地,第一NAS消息也可以通过公钥或者私钥进行安全保护。
可选地,第一NAS消息可以是NAS安全模式完成(NAS Security Mode Complete)消息。
S407,AMF对第一NAS消息进行解安全保护,获得并保存(或更新)安全保护指示信息。
一种实现方式,在S405步骤中,UE还可以确定从第二NAS消息中得到的安全保护指示信息是否与UE在S401步骤中发送的安全保护指示信息相同。
若第二NAS消息中的安全保护指示信息与UE在S401步骤中发送的安全保护指示信息相同,则可以不执行S406和S407步骤。在S411步骤中,AMF可以根据在S402步骤中保存的安全保护指示信息,确定是否对第一寻呼信息进行安全保护。
若UE确定接收到的安全保护指示信息与其发送的安全保护指示信息不同,则在S406步骤中,UE在第一NAS消息携带S401步骤中的安全保护指示信息。在S411步骤中,AMF可以根据第一NAS消息中的安全保护指示信息,确定是否对第一寻呼信息进行安全保护。
另一种实现方式,在S405步骤中,UE不判断从第二NAS消息中得到的安全保护指示信息是否与UE在S401步骤中发送的安全保护指示信息相同,即,无论UE接收到的安全保护指示信息是否与其发送的安全保护指示信息相同,在S406步骤中,UE都在第一NAS消息携带S401步骤中的安全保护指示信息。在S411步骤中,AMF可以根据第一NAS消息中的安全保护指示信息,确定是否对第一寻呼信息进行安全保护。
S408~S410,与S301~S303相同,即网络有下行数据发送到UPF,UPF通知SMF有下行数据需要传输,SMF通知AMF发起寻呼。
S411,AMF确定是否对第一寻呼信息进行安全保护。
具体如何确定是否对第一寻呼信息进行安全保护已在描述步骤S405至S407时进行了说明,此处不再赘述。
S412~S416,与S305~S309相同,可以参考S305~S309。
综上,根据本申请提供的传输寻呼信息的方法,有利于保证AMF接收的安全保护指示信息与UE发送的安全保护指示信息一致,从而有利于AMF可以根据UE的实际需求,准确确定是否对第一寻呼信息进行安全保护。
图5是本申请提供的一种传输寻呼信息的方法的示意性流程图。该方法500是方法300的另一个具体示例。
S501,UE向AMF发送第一NAS消息,第一NAS消息包括安全保护指示信息。相应地,AMF接收第一NAS消息。
第一NAS消息可以是进行安全保护后的第一NAS消息,比如可以是进行加密和完整性保护后的第一NAS消息。
具体如何对第一NAS消息进行安全保护,可以参见S406。
可选地,第一NAS消息可以是NAS安全模式完成(NAS Security Mode Complete)消息。
S502,AMF对第一NAS消息进行解安全保护,如解密和完整性校验,获得并保存安全保护指示信息。
S503~S505,与S301~S303相同,即网络有下行数据发送到UPF,UPF通知SMF有下行数据需要传输,SMF通知AMF发起寻呼。
S506,AMF确定是否对第一寻呼信息进行安全保护。该步骤可以参考S304。
S507~S511,与S305~S309相同,可以参考S305~S309。
综上,根据本申请提供的传输寻呼信息的方法,通过对携带安全保护指示信息的第一NAS消息进行安全保护,有利于保证AMF接收的安全保护指示信息与UE发送的安全保护指示信息一致,从而有利于AMF可以根据UE的实际需求,准确确定是否对第一寻呼信息进行安全保护。
图6是本申请提供的一种传输寻呼信息的方法的示意性流程图。该方法600可以应用于UE或其中一张USIM卡处于非激活态的场景。下面对该方法600中的各步骤进行说明。
S601~S603,与S301~S303相同,即网络有下行数据发送到UPF,UPF通知SMF有下行数据需要传输,SMF通知AMF发起寻呼。
S604,AMF向RAN发送寻呼消息。相应地,RAN接收寻呼消息。
为区分AMF和RAN发送的寻呼消息,可以将AMF发送给RAN的寻呼消息记作:第一寻呼消息;将RAN发送给UE的寻呼消息记作:第二寻呼消息。
第一寻呼消息与现有技术中的寻呼消息相同,这里不再详述。第一寻呼消息可以包括第一寻呼信息。
S605,RAN确定是否对第一寻呼信息进行安全保护。
其中,第一寻呼信息可以是需要发送给UE的部分或全部寻呼信息。比如,第一寻呼信息可以包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。
可选地,RAN可以根据安全保护指示信息,确定是否对第一寻呼信息进行安全保护。另外,RAN也可以对包括所述UE的任一UE的第一寻呼信息进行安全保护。或者,RAN可以根据本地配置,确定是否对所述UE的第一寻呼信息进行安全保护。比如,若本地配置为对任一UE的第一寻呼信息都进行安全保护,则RAN确定对所述UE的第一寻呼信息进行安全保护。
示例性的,安全保护指示信息可以指示UE是否包括多张USIM卡,或者,UE是否请求对第一寻呼信息进行安全保护。也就是说,安全保护指示信息要么指示UE包括多张USIM卡或UE请求对第一寻呼信息进行安全保护,要么指示UE仅包括一张USIM卡或者UE不请求对第一寻呼信息进行安全保护。若安全保护指示信息指示UE包括多张USIM卡或者UE请求对第一寻呼信息进行安全保护,该安全保护指示信息也可以称为第一信息。若RAN接收到第一信息,则RAN确定对第一寻呼信息进行安全保护。
又如,安全保护指示信息的发送表示UE包括多张USIM卡,或者,UE请求对第一寻呼信息进行安全保护。即,若RAN接收到该安全保护指示信息,则RAN确定对第一寻呼信息进行安全保护;若RAN没有接收到该安全保护指示信息,则RAN确定不对第一寻呼信息进行安全保护。在这里,安全保护指示信息也可以称为第一信息。
综上,若RAN接收到第一信息,则RAN确定对第一寻呼信息进行安全保护。
可选地,安全保护指示信息可以是UE发送的。比如,UE可以通过空口消息或者RRC消息,向RAN发送安全保护指示信息。
可选地,该空口消息或者RRC消息可以通过AS安全上下文进行安全保护。例如,该空口消息或者RRC消息可以是AS安全模式完成(AS Security Mode Complete)消息,其中AS安全模式完成消息通过AS安全上下文进行安全保护。
AS安全上下文是UE和网络之间完成认证流程,以及UE和AMF之间完成非接入层安全模式命令(NAS Security Mode Command,NAS SMC)流程之后,UE和RAN之间通过接入层安全模式命令(AS Security Mode Command,AS SMC)流程产生的。其中,AS安全上下文包括AS加密密钥和AS完整性密钥、AS加密算法、AS完整性保护算法以及上行(uplink,UL)/下行(downlink,DL)AS计数器(Count)等信息。其中,AS加密密钥和AS加密算法用于加密(或称加密保护),AS完整性密钥和AS完整性保护算法用于完整性保护,DL AS Count和UL AS Count用于防重放保护。防重放是指防止消息或者信息被的重复发送给接收端。UE和RAN上会维护AS安全上下文,并激活AS安全保护,后续UE和RAN之间交互的AS消息或AS消息中携带的信息(也可以称为信元)可以使用AS安全上下文进行加密(也可以称为加密保护)、完整性保护和/或防重放保护。
下面,以使用AS安全上下文对IE进行安全保护为例,进行举例说明。应理解,IE可以是任一AS消息或AS消息中的信元,例如可以是安全保护指示信息、第一寻呼信息等。
比如,可以使用AS安全上下文中的AS加密密钥和AS加密算法对IE进行加密。例如,计算IE’=EncAS(KAS-Enc,IE),其中IE’为进行加密后的IE,EncAS为AS加密算法,KAS-Enc为AS加密密钥。或者,可以使用AS安全上下文中的AS完整性密钥和AS完整性保护算法对IE进行完整性保护。例如,计算MAC=IntAS(KAS-Int,IE),MAC为进行完整性保护后得到的消息认证码(message authentication code),IntAS为AS完整性保护算法,KAS-Int为AS完整性密钥。
又如,可以使用AS安全上下文中的AS加密密钥、AS加密算法以及DL AS Count(或UL AS Count)对IE同时进行加密和防重放保护。以下行为例,例如,计算IE’=EncAS(KAS-Enc,IE,DL AS Count),这里IE’为进行加密和防重放保护后的IE。或者,可以使用AS安全上下文中的AS完整性密钥、AS完整性保护算法以及DL AS Count(或UL AS Count)对IE同时进行完整性保护和防重放保护。以下行为例,例如,计算MAC=IntAS(KAS-Int,IE,DL AS Count),这里MAC为进行完整性保护和防重放保护后得到的消息认证码。
再如,可以使用AS安全上下文中的AS完整性密钥、AS完整性保护算法,对上述IE’进行完整性保护。例如,计算MAC=IntAS(KAS-Int,IE’,DL AS Count),或者计算MAC=IntAS(KAS-Int,IE’)。
需要说明的是,本申请对AS加密算法和AS完整性保护算法具体为何种算法不作限定,比如可以是Hash,也可以是其他算法。
可选地,上述UL/DL AS Count可以替换为UE与RAN之间协商的其他计数器,比如长度更短的计数器。
可选地,上述AS安全密钥也可以替换为其他共享密钥。
共享密钥是UE和RAN协商共有的密钥,例如,可以使用UE和RAN都有的根密钥K,经过层层推演产生的一个专门用于保护安全保护指示信息的密钥;也可以使用UE和RAN已经协商共有的密钥,推演出一个专门用于保护安全保护指示信息的密钥K1,比如根据KRAN推演出K1。其中KRAN为认证流程之后UE和RAN由KAMF推演得到的秘钥,此密钥保存在UE和RAN中,可用于推演AS加密密钥和完整性密钥。
另外,安全保护指示信息也可以通过公钥或私钥进行安全保护。
公私和私钥是成对出现的,发送方用公钥对被保护内容计算一个签名,然后接收方用自己的私钥验证签名就是完整性保护;发送方用公钥对被保护内容进行加密,然后接收方用自己的私钥解密就是加密保护。
可选地,安全保护指示信息也可以是AMF发送的。比如,AMF可以通过N1接口消息或第一寻呼消息,向RAN发送安全保护指示信息。示例性的,N1接口消息可以是初始上下文建立(initial context setup)消息。示例性的,在安全保护指示信息为第一信息的情况下,AMF才向RAN发送安全保护指示信息。
可选地,AMF发送的安全保护指示信息可以来自UE,也可以来自核心网侧,例如SMF、PCF、UPF或者UDM。关于UE发送安全保护指示信息的方式可以参见上文在步骤S304中的说明,以及方法400和500中相关步骤的说明,这里不再赘述。
S606,RAN对第一寻呼信息进行安全保护。
在S605中,若RAN确定对第一寻呼信息进行安全保护,则在S606中,RAN对第一寻呼信息进行安全保护。安全保护可以包括下述中的一项或多项:加密、完整性保护或防重放保护。也就是说,RAN可以对第一寻呼信息进行加密、完整性保护和/或防重放保护。
一种方式中,RAN可以通过AS安全上下文对第一寻呼信息进行安全保护。
比如,RAN可以使用AS安全上下文中的AS加密密钥和AS加密算法对第一寻呼信息中需要加密的寻呼信息进行加密。又如,RAN可以使用AS安全上下文中的AS完整性密钥和AS完整性保护算法对第一寻呼信息中需要完整性保护的寻呼信息进行完整性保护;或者,RAN可以使用AS安全上下文中的AS完整性密钥和AS完整性保护算法对加密后的寻呼信息进行完整性保护。再如,RAN可以使用DL AS Count对第一寻呼信息中需要防重放保护的寻呼信息进行防重放保护。具体如何使用AS安全上下文中的信息进行安全保护可以参见步骤S605中的说明。或者,使用AS安全上下文中的信息进行安全保护与使用NAS安全上下文中的信息进行安全保护类似,可以参照上文在步骤S304中的说明,这里不再详述。
示例性的,第一寻呼信息中可以仅包括需要加密的寻呼信息,也可以仅包括需要完整性保护的寻呼信息,也可以仅包括需要防重放保护的寻呼信息。或者,第一寻呼信息可以包括需要加密的寻呼信息、需要完整性保护的寻呼信息以及需要防重放保护的寻呼信息这三项中的任意两项或三项。应理解,第一寻呼信息中同一信息可能需要进行加密、完整性保护和防重放保护这三种操作中的其中两项或三项。
本申请并不限定需要加密的寻呼信息、需要完整性保护的寻呼信息以及需要防重放保护的寻呼信息具体为哪个信息。
比如,需要加密的寻呼信息可以包括寻呼原因和/或寻呼辅助信息。以寻呼原因为例,寻呼原因可以包含在新定义的容器(Container)中,例如MUSIM_Container,或者在现有的AS容器(AS Container)中,具体不做限定。此处的容器可以用于通知UE该容器中的信息是被加密的。可选的,寻呼原因的数据结构中可以包含指示信息,用于指示该信元是被加密的,指示信息的具体形式不做限定。
应理解,寻呼原因和/或寻呼辅助信息等也可以不加密,仅做完整性保护。
又如,需要完整性保护的寻呼信息可以包括对寻呼标识和/或接入类型。
可选地,RAN可以对加密后的寻呼信息和不需要加密的寻呼信息一起进行完整性保护。例如,以加密后的寻呼信息为加密后的寻呼原因Paging Cause’,不需要加密的寻呼信息为接入类型(Access Type)为例,RAN可以计算MAC-Paging=IntAS(KAS-Int,PagingCause’,Access Type,DL AS Count),其中,MAC-Paging为对加密后的寻呼信息和不需要加密的寻呼信息一起进行完整性保护后得到的消息认证码,IntAS为AS完整性保护算法,KAS-Int为AS完整性密钥。
可选地,上述DL AS Count可以替换为UE与RAN之间协商的其他计数器,比如长度更短的计数器。
可选地,上述AS安全密钥也可以替换为其他共享密钥。
共享密钥是UE和RAN协商共有的密钥,例如,可以使用UE和RAN都有的根密钥K,经过层层推演产生的一个专门用于保护安全保护指示信息的密钥;也可以使用UE和RAN已经协商共有的密钥,推演出一个专门用于保护安全保护指示信息的密钥Kpaging,比如根据KRAN推演出Kpaging。其中KRAN为认证流程之后UE和RAN由KAMF推演得到的秘钥,此密钥保存在UE和RAN中,可用于推演AS加密密钥和完整性密钥。
另外,第一寻呼信息或第一寻呼信息中的部分信息也可以通过公钥或私钥进行安全保护。
应理解,这里的其他共享密钥、公钥或私钥和对安全指示信息进行安全保护的其他共享密钥、公钥或私钥可以相同,也可以不同,本申请对此不作限定。
可选地,RAN可以根据安全保护指示信息调整寻呼频率,比如控制单次寻呼UE的数量,或者分批寻呼UE,以达到节省空口寻呼信道资源的目的。
应理解,AS安全上下文中的AS加密密钥有时也称为RRC密钥,AS加密算法有时也称为RRC加密算法。类似地,AS安全上下文中的AS完整性密钥有时也称为RRC完整性密钥,AS完整性保护算法有时也称为RRC完整性保护算法。
S607,RAN向UE发送第二寻呼消息,第二寻呼消息包括进行安全保护后的第一寻呼信息。相应地,UE接收第二寻呼消息。
S608,UE对接收到的第二寻呼消息进行解安全保护。
例如,UE对需要加密的寻呼信息进行解密,对需要完整性保护的寻呼信息进行完整性校验,对需要防重放保护的寻呼信息校验收到的计数器是否大于本地的计数器。UE进行解安全保护后,可以得到第一寻呼信息。
举例来说,若第二寻呼消息通过AS安全上下文进行安全保护,则UE也通过AS安全上下文进行解安全保护。
例如,若RAN使用AS安全上下文中的AS加密密钥和AS加密算法对需要加密的寻呼信息进行加密,则UE使用AS安全上下文中的AS加密密钥和AS加密算法进行解密,得到加密之前的寻呼信息,例如寻呼原因。可选的,UE可以根据第二寻呼消息中的容器确定寻呼原因等信息是被加密的。可选的,UE可以根据寻呼原因数据结构中包含的指示信息,确定寻呼原因是被加密的。
例如,若RAN使用AS安全上下文中的AS完整性密钥和AS完整性保护算法对需要完整性保护的寻呼信息,则针对需要完整性保护的寻呼信息,UE使用AS安全上下文中的AS完整性密钥和AS完整性保护算法校验完整性。
可选的,若RAN对加密后的寻呼信息和不需加密的寻呼信息一起进行完整性保护,以加密后的寻呼信息为加密后的寻呼原因Paging Cause’,不需要加密的寻呼信息为接入类型(Access Type)为例,则RAN先计算MAC-Paging’=IntAS(KAS-Int,Paging Cause’,Accesstype,DL AS Count),然后对比MAC-Paging’和前文描述的MAC-Paging,若一致则完整性校验通过,然后对加密的寻呼信息进行解密,得到加密之前的寻呼信息。
应理解,S608是S606的逆向操作,本领域技术人员能够根据对S606的描述获知如何进行解安全保护,本申请不再详述。
S609,UE向AMF发送服务请求(Service Request)消息。
UE根据第一寻呼消息中的部分或全部寻呼信息,确定是否响应寻呼。比如,UE根据第一寻呼信息,确定是否响应寻呼。若确定响应寻呼,则UE向AMF发送服务请求(ServiceRequest)消息。UE发送服务请求消息后的后续操作可以参考现有技术,本申请不再详述。
综上,根据本申请提供的传输寻呼信息的方法,RAN通过对寻呼消息中的寻呼信息进行安全保护,能够避免寻呼消息的泄露或者篡改,从而使得网络可以为UE提供正常的服务。
图7是本申请提供的一种传输寻呼信息的方法的示意性流程图。下面对该方法700中的各步骤进行说明。
S701~S703,与S301~S303相同,即网络有下行数据发送到UPF,UPF通知SMF有下行数据需要传输,SMF通知AMF发起寻呼。
S704,AMF向RAN发送寻呼消息。相应地,RAN接收寻呼消息。
S705,RAN向UE发送寻呼消息。相应地,UE接收寻呼消息。
为区分AMF和RAN发送的寻呼消息,可以将AMF发送给RAN的寻呼消息记作:第一寻呼消息;将RAN发送给UE的寻呼消息记作:第二寻呼消息。
第一寻呼消息包括需要发送给RAN的寻呼信息和需要发送给UE的寻呼信息,第二寻呼消息可以包括需要发送给UE的寻呼信息。
第一寻呼消息和第二寻呼消息可以包括第一寻呼信息。第一寻呼信息可以是需要发送给UE的部分或全部寻呼信息。比如,第一寻呼信息可以包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。
S706,UE向AMF发送服务请求(Service Request)消息。相应地,AMF接收服务请求消息。
UE根据第二寻呼消息中的部分或全部寻呼信息,确定是否响应寻呼。比如,UE可以根据第一寻呼信息,确定是否响应寻呼。若确定响应寻呼,则UE向AMF发送服务请求消息。
其中,该服务请求消息包括UE接收到的部分或全部寻呼信息,下文记作第二寻呼信息。比如,UE在确定需要进行寻呼检验,如UE包括多张USIM卡的情况下,可以在服务请求消息中携带第二寻呼信息。
可选地,第二寻呼信息中的寻呼信息与第一寻呼信息中的寻呼信息类型相同。比如,若第一寻呼信息包括寻呼原因,则第二寻呼信息包括寻呼原因。若第一寻呼信息包括接入类型,则第二寻呼信息包括接入类型。
可选地,该服务请求消息中还可以包括第一信息。第一信息用于指示UE包括多张USIM卡或UE请求AMF对第二寻呼信息或UE在服务请求消息中发送的寻呼信息进行校验。
可选地,在S706之前,UE可以向AMF发送安全保护指示信息。关于UE向AMF发送安全保护指示信息的方式可以参见上文在在步骤S304中的说明,以及方法400和500中相关步骤的说明,这里不再赘述。
S707,AMF确定是否对服务请求消息中的寻呼信息(即,第二寻呼信息)进行校验。
比如,若AMF接收到的安全保护指示信息为第一信息,或者AMF接收到第一信息,则AMF确定对服务请求消息中的寻呼信息进行校验。
又如,若服务请求消息中保护寻呼信息,则AMF确定对服务请求消息中的寻呼信息进行校验。S708,AMF对服务请求消息中的寻呼信息进行校验。
若在S707中,AMF确定对服务请求消息中的寻呼信息进行校验,则在S708中,AMF对服务请求消息中的寻呼信息进行校验。即,AMF比较第一寻呼信息是否与服务请求消息中的寻呼信息相同,若相同,则继续后续流程,后续流程可参照现有技术;若不同,则AMF向网络或者UE发送异常信息。
根据本申请提供的传输寻呼信息的方法,AMF通过对UE响应寻呼后发送的寻呼信息进行校验,可以确定寻呼信息在空口传播时是否有被篡改,从而可以在一定程度上让网络或用户发现攻击行为。
应理解,上述方法实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
上面结合图3至图7详细介绍了本申请实施例提供的传输寻呼信息的方法,下面结合图8至图11详细介绍本申请实施例提供的通信装置。
图8是本申请提供的通信装置的示意性框图。如图8所示,该通信装置1000可以包括收发单元1100和处理单元1200。
其中,收发单元1100可以用于向其他装置发送信息或从其他装置接收信息。比如,发送或接收第一寻呼信息。处理单元1200可以用于进行装置的内部处理,比如,对第一寻呼信息进行安全保护。
在一种实现方式中,该通信装置1000对应于移动管理网元。该通信装置1000可以为移动管理网元或配置于移动管理网元中的芯片,其可以包括用于执行移动管理网元所执行的操作的单元,并且,该通信装置1000中的各单元分别为了实现上述方法中由移动管理网元所执行的操作。
在一个示例中,该通信装置1000可对应于方法300、400或500中任一方法中的移动管理网元(即,AMF)。具体地,收发单元1100用于接收来自终端设备的第一信息;处理单元1200用于在需要寻呼所述终端设备的情况下,根据所述第一信息,对第一寻呼信息进行安全保护;所述收发单元1100还用于,向终端设备发送进行安全保护后的第一寻呼信息。
可选地,所述第一信息用于指示所述终端设备包括多张全球用户标识模块USIM卡或者请求对寻呼信息进行安全保护。
可选地,所述第一寻呼信息通过非接入层NAS安全上下文进行安全保护。
可选地,所述收发单元1100具体用于:接收来自所述终端设备的非接入层NAS消息,所述NAS消息包括所述第一信息。
可选地,所述NAS消息通过NAS安全上下文进行安全保护。
可选地,所述处理单元1200具体用于:对所述第一寻呼信息进行下述中的一项或多项操作:加密、完整性保护或防重放保护。
可选地,所述第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。
另一示例中,该通信装置1000可对应于方法600中的移动管理网元(即,AMF)。具体地,收发单元1100用于接收来自终端设备的第一信息,并向接入网设备发送第一信息。
可选地,第一信息用于指示终端设备包括多张USIM卡或者请求对寻呼信息进行安全保护。
可选地,收发单元1100具体用于:接收来自所述终端设备的AS消息,所述AS消息包括所述第一信息。
可选地,所述AS消息通过AS安全上下文进行安全保护。
可选地,收发单元1100具体用于:向接入网设备发送N1接口消息,所述N1接口消息包括所述第一信息;或者,向接入网设备发送寻呼消息,所述寻呼消息包括所述第一信息。
再一示例中,该通信装置1000可对应于方法700中的移动管理网元(即,AMF)。具体地,收发单元1100用于向终端设备发送第一寻呼信息,并接收来自终端设备的服务请求消息,该服务请求消息包括第二寻呼信息;处理单元1200用于根据第一寻呼信息,对第二寻呼信息进行校验。
可选地,第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。第二寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。
可选地,处理单元1200具体用于:根据第一信息和第一寻呼信息,对第二寻呼信息进行校验。
可选地,第一信息可以指示终端设备包括多张USIM卡或者请求对寻呼信息进行校验。
可选地,收发单元1100还用于:接收来自终端设备的第一信息。
可选地,第一信息通过NAS消息携带。进一步地,第一信息通过NAS安全上下文进行保护。
可选地,服务请求消息包括第一信息。
在另一种实现方式中,该通信装置1000对应于终端设备。该通信装置1000可以为终端设备或配置于终端设备中的芯片,其可以包括用于执行终端设备所执行的操作的单元,并且,该通信装置1000中的各单元分别为了实现上述方法中由终端设备所执行的操作。
在一个示例中,该通信装置1000可对应于方法300、400或500中任一方法中的终终端设备(即,UE)。具体地,收发单元1100用于向移动管理网元发送第一信息;接收来自所述移动管理网元的进行安全保护后的第一寻呼信息。
可选地,所述第一信息用于指示所述装置包括多张全球用户标识模块USIM卡或者请求对寻呼信息进行安全保护。
可选地,所述第一寻呼信息通过非接入层NAS安全上下文进行安全保护。
可选地,所述收发单元1100具体用于:向所述移动管理网元发送非接入层NAS消息,所述NAS消息包括所述第一信息
可选地,所述NAS消息通过NAS安全上下文进行安全保护。
可选地,所述安全保护包括下述中的一项或多项:加密、完整性保护或防重放保护。
可选地,所述第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。
在一个示例中,该通信装置1000可对应于方法600中的终端设备(即,UE)。具体地,收发单元1100用于向移动管理网元或接入网设备发送第一信息;接收来自接入网设备的进行安全保护后的第一寻呼信息。
可选地,第一信息用于指示通信装置1000包括多张USIM卡或者请求对寻呼信息进行安全保护。
可选地,第一寻呼信息可以包括需要发送给通信装置1000的部分或全部寻呼信息,寻呼信息用于寻呼通信装置1000。
比如,第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。
可选地,处理单元1200还用于,对进行安全保护后的第一寻呼信息进行解安全保护。
可选地,安全保护包括下述中的一项或多项:加密、完整性保护或防重放保护。
可选地,收发单元1100具体用于:向移动管理网元发送AS消息,所述AS消息包括第一信息,所述AS消息通过AS安全上下文进行安全保护。
在一个示例中,该通信装置1000可对应于方法700中的终端设备(即,UE)。具体地,收发单元1100接收第一寻呼信息;向移动管理网元发送服务请求消息,服务请求消息包括第二寻呼信息,第一寻呼信息用于移动管理网元对第二寻呼信息进行校验。
可选地,收发单元1100还用于,向移动管理网元发送第一信息。
可选地,第一信息可以指示通信装置1000包括多张USIM卡或者请求对寻呼信息进行校验。
可选地,第一信息通过NAS消息携带。进一步地,第一信息通过NAS安全上下文进行保护。
可选地,服务请求消息包括第一信息。
在又一种实现方式中,该通信装置1000对应于接入网设备。该通信装置1000可以为接入网设备或配置于接入网设备中的芯片,其可以包括用于执行接入网设备所执行的操作的单元,并且,该通信装置1000中的各单元分别为了实现上述方法中由接入网设备所执行的操作。
在一个示例中,该通信装置1000可对应于方法600中的接入网设备(即,RAN)。具体地,收发单元1100用于接收第一信息;处理单元用于在需要寻呼终端设备的情况下,根据第一信息,对第一寻呼信息进行安全保护;收发单元1100还用于,向终端设备发送进行安全保护后的第一寻呼信息。
可选地,第一信息用于指示终端设备包括多张USIM卡或者请求对寻呼信息进行安全保护。
可选地,第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。用户标识可以是UE ID,UE ID为该终端设备的标识。
可选地,处理单元具体用于,对第一寻呼信息进行下述中的一项或多项操作:加密、完整性保护或防重放保护。
可选地,第一寻呼信息可以通过AS安全上下文进行安全保护。
可选地,接收单元1100具体用于,接收来自终端设备或者移动管理网元的第一信息。
可选地,接收单元1100具体用于,接收来自终端设备的空口消息或者无线资源控制RRC消息,所述空口消息或者RRC消息包括所述第一信息。
进一步地,所述空口消息或者RRC消息通过AS安全上下文进行安全保护。
可选地,接收单元1100具体用于,接收来自移动管理网元的N1接口消息,所述N1接口消息包括所述第一信息;或者,接收来自所述移动管理网元的寻呼消息,所述寻呼消息包括所述第一信息。
应理解,各单元执行相应网元的上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
示例性的,该通信装置1000对应接入网设备时,该通信装置1000中的收发单元1100可对应于图9中示出的网络设备2000中的收发器2300,该通信装置1000中的处理单元1200可对应于图9中示出的网络设备2000中的处理器2100。通信装置1000为配置于网络设备中的芯片时,该通信装置1000中的收发单元1100可以为输入/输出接口。
示例性的,该通信装置1000对应终端设备时,该通信装置1000中的收发单元1100可对应于图10中示出的终端设备3000中的收发器3002,该通信装置1000中的处理单元1200可对应于图10中示出的终端设备3000中的处理器3001。
示例性的,该通信装置1000为接入网设备时,该通信装置1000中的收发单元1100可对应于图11中示出的接入网设备4000中的RRU 4100,该通信装置1000中的处理单元1200可对应于图11中示出的接入网设备4000中的BBU 4200。通信装置1000为配置于接入网设备中的芯片时,该通信装置1000中的收发单元1100可以为输入/输出接口。
图9是本申请实施例提供的网络设备的结构示意图。上述的移动管理网元或AMF可以由图9所示的网络设备2000来实现。应理解,网络设备2000可以是实体设备,也可以是实体设备的部件(例如,集成电路,芯片等等)。
如图9所示,该网络设备2000包括:一个或多个处理器2100。处理器2100可以存储用于执行本申请实施例的方法的执行指令。可选地,处理器2100可以调用接口实现接收和发送功能。所述接口可以是逻辑接口或物理接口,对此不作限定。例如,接口可以是收发电路,或是接口电路。用于实现接收和发送功能的收发电路、或接口电路可以是分开的,也可以集成在一起。上述收发电路或接口电路可以用于代码/数据的读写,或者,上述收发电路或接口电路可以用于信号的传输或传递。
可选地,接口可以通过收发器实现。可选地,该网络设备2000还可以包括收发器2300。所述收发器2300可以称为收发单元、收发机、收发电路或者收发器等,用于实现收发功能。
可选地,该网络设备2000还可以包括存储器2200。本申请实施例对存储器2200的具体部署位置不作具体限定,该存储器可以集成于处理器中,也可以是独立于处理器之外。对于该计算机设备不包括存储器的情形,该计算机设备具备处理功能即可,存储器可以部署在其他位置(如,云系统)。
处理器2100、存储器2200和收发器2300之间通过内部连接通路互相通信,传递控制和/或数据信号。
可以理解的是,尽管并未示出,网络设备2000还可以包括其他模块,例如电池等。
可选的,在一些实施例中,存储器2200可以存储用于执行本申请实施例的方法的执行指令。处理器2100可以执行存储器2200中存储的指令,并结合其他硬件(例如收发器2300)完成上文所示方法执行的步骤,具体工作过程和有益效果可以参见上文方法实施例中的描述。
处理器2300可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(digital signal processor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(fieldprogrammable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存取存储器(random access memory,RAM)、闪存、只读存储器(read-only memory,ROM)、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的指令,结合其硬件完成上述方法的步骤。
可以理解,存储器2200可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器ROM、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器RAM,其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhancedSDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
上述的网络设备2000可以是一个通用计算机设备或者是一个专用计算机设备。在具体实现中,网络设备2000可以是台式机、便携式电脑、网络服务器、掌上电脑(personaldigital assistant,PDA)、移动手机、平板电脑、无线终端设备、通信设备、嵌入式设备或有图9中类似结构的设备。本申请实施例不限定网络设备2000的类型。
图10是本申请实施例提供的终端设备3000的结构示意图。如图所示,该终端设备3000包括处理器3001和收发器3002。可选地,该终端设备3000还可以包括存储器3003。其中,处理器3001、收发器3002和存储器3003之间可以通过内部连接通路互相通信,传递控制和/或数据信号,该存储器3003用于存储计算机程序,该处理器3001用于从该存储器3003中调用并运行该计算机程序,以控制该收发器3002收发信号。
上述处理器3001和存储器3003可以合成一个处理装置3004,处理器3001用于执行存储器3003中存储的程序代码来实现上述功能。应理解,图中所示的处理装置3004仅为示例。在具体实现时,该存储器3003也可以集成在处理器3001中,或者独立于处理器3001。本申请对此不做限定。
上述终端设备3000还可以包括天线3010,用于将收发器3002输出的上行数据或上行控制信令通过无线信号发送出去。
可选地,上述终端设备3000还可以包括电源3005,用于向终端设备中的各种器件或电路提供电源。
除此之外,为了使得终端设备的功能更加完善,该终端设备3000还可以包括输入单元3006、显示单元3007、音频电路3008、摄像头3009和传感器3008等中的一个或多个,所述音频电路还可以包括扬声器30081、麦克风30082等。
应理解,所述处理装置3004可以是一个芯片。例如,该处理装置3004可以是现场可编程门阵列(field programmable gate array,FPGA),可以是通用处理器、数字信号处理器(digital signal processor,DSP)、专用集成电路(application specific integratedcircuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,还可以是系统芯片(system onchip,SoC),还可以是中央处理器(central processor unit,CPU),还可以是网络处理器(network processor,NP),还可以是数字信号处理电路(digital signal processor,DSP),还可以是微控制器(micro controller unit,MCU),还可以是可编程控制器(programmable logic device,PLD)或其他集成芯片。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
所述存储器3003可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DRRAM)。
应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
图11是本申请实施例提供的接入网设备的结构示意图,例如可以为基站的结构示意图。该基站4000执行上述方法实施例中接入网设备(RAN)的功能。如图11所示,该基站4000可以包括一个或多个射频单元,如远端射频单元(remote radio unit,RRU)4100和一个或多个基带单元(BBU)(也可称为分布式单元(DU))4200。所述RRU 4100可以称为收发单元或通信单元。可选地,该收发单元4100还可以称为收发机、收发电路、或者收发器等等,其可以包括至少一个天线4101和射频单元4102。可选地,收发单元4100可以包括接收单元和发送单元,接收单元可以对应于接收器(或称接收机、接收电路),发送单元可以对应于发射器(或称发射机、发射电路)。所述RRU 4100部分主要用于射频信号的收发以及射频信号与基带信号的转换。所述BBU 4200部分主要用于进行基带处理,对基站进行控制等。所述RRU4100与BBU 4200可以是物理上设置在一起,也可以物理上分离设置的,即分布式基站。
所述BBU 4200为基站的控制中心,也可以称为处理单元,主要用于完成基带处理功能,如信道编码,复用,调制,扩频等等。例如所述BBU(处理单元)可以用于控制基站执行上述方法实施例中关于接入网设备的操作流程。
在一个示例中,所述BBU 4200可以由一个或多个单板构成,多个单板可以共同支持单一接入制式的无线接入网(如LTE网),也可以分别支持不同接入制式的无线接入网(如LTE网,5G网或其他网)。所述BBU 4200还包括存储器4201和处理器4202。所述存储器4201用以存储必要的指令和数据。所述处理器4202用于控制基站进行必要的动作,例如用于控制基站执行上述方法实施例中关于接入网设备的操作流程。所述存储器4201和处理器4202可以服务于一个或多个单板。也就是说,可以每个单板上单独设置存储器和处理器。也可以是多个单板共用相同的存储器和处理器。此外每个单板上还可以设置有必要的电路。
应理解,图11所示的基站4000能够实现前述方法实施例中涉及接入网设备的各个过程。基站4000中的各个模块的操作或功能,分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
上述BBU 4200可以用于执行前面方法实施例中描述的由接入网设备内部实现的动作,而RRU 4100可以用于执行前面方法实施例中描述的接入网设备的发送或接收的动作。具体请见前面方法实施例中的描述,此处不再赘述。
本申请还提供一种计算机程序产品,该计算机程序产品包括:计算机程序代码,当该计算机程序代码在计算机上运行时,使得该计算机执行前述任一方法实施例中由第一网元所执行的方法。
本申请还提供一种计算机可读存储介质,该计算机可读存储介质存储有程序代码,当该程序代码在计算机上运行时,使得该计算机执行前述方法实施例中由终端设备所执行的方法。
本申请还提供一种计算机可读存储介质,该计算机可读存储介质存储有程序代码,当该程序代码在计算机上运行时,使得该计算机执行前述方法实施例中由接入网设备所执行的方法。
本申请还提供一种计算机可读存储介质,该计算机可读存储介质存储有程序代码,当该程序代码在计算机上运行时,使得该计算机执行前述方法实施例中由移动管理网元所执行的方法。
本申请还提供一种系统,其包括终端设备、接入网设备和移动管理网元中的任两个网元。
本申请还提供一种系统,其包括前述任一方法实施例所涉及的任意两个网元。
本申请实施例还提供了一种处理装置,包括处理器和接口;所述处理器用于执行上述任一方法实施例所涉及的任一网元所执行的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,高密度数字视频光盘(digital video disc,DVD))、或者半导体介质(例如,固态硬盘(solid state disc,SSD))等。
在本说明书中使用的术语“部件”、“模块”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如,部件可以是但不限于,在处理器上运行的进程、处理器、对象、可执行文件、执行线程、程序或计算机。通过图示,在计算设备上运行的应用和计算设备都可以是部件。一个或多个部件可驻留在进程或执行线程中,部件可位于一个计算机上或分布在2个或更多个计算机之间。此外,这些部件可从在上面存储有各种数据结构的各种计算机可读介质执行。部件可例如根据具有一个或多个数据分组(例如来自与本地系统、分布式系统或网络间的另一部件交互的二个部件的数据,例如通过信号与其它系统交互的互联网)的信号通过本地或远程进程来通信。
应理解,说明书通篇中提到的“实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各个实施例未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
应理解,在本申请实施例中,编号“第一”、“第二”…仅仅为了区分不同的对象,比如为了区分不同的网络设备,并不对本申请实施例的范围构成限制,本申请实施例并不限于此。
还应理解,在本申请中,“当…时”、“若”以及“如果”均指在某种客观情况下网元会做出相应的处理,并非是限定时间,且也不要求网元实现时一定要有判断的动作,也不意味着存在其它限定。
还应理解,在本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。
还应理解,在本申请各实施例中,“A对应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
还应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本申请中出现的类似于“项目包括如下中的一项或多项:A,B,以及C”表述的含义,如无特别说明,通常是指该项目可以为如下中任一个:A;B;C;A和B;A和C;B和C;A,B和C;A和A;A,A和A;A,A和B;A,A和C,A,B和B;A,C和C;B和B,B,B和B,B,B和C,C和C;C,C和C,以及其他A,B和C的组合。以上是以A,B和C共3个元素进行举例来说明该项目的可选用条目,当表达为“项目包括如下中至少一种:A,B,……,以及X”时,即表达中具有更多元素时,那么该项目可以适用的条目也可以按照前述规则获得。
可以理解的,本申请实施例中,终端设备和/或网络设备可以执行本申请实施例中的部分或全部步骤,这些步骤或操作仅是示例,本申请实施例还可以执行其它操作或者各种操作的变形。此外,各个步骤可以按照本申请实施例呈现的不同的顺序来执行,并且有可能并非要执行本申请实施例中的全部操作。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器ROM、随机存取存储器RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (27)
1.一种传输寻呼信息的方法,其特征在于,包括:
移动管理网元接收来自终端设备的第一信息,其中,所述第一信息用于指示所述终端设备包括多张全球用户标识模块USIM卡;
在需要寻呼所述终端设备的情况下,所述移动管理网元根据所述第一信息,对第一寻呼信息进行安全保护;
所述移动管理网元向终端设备发送进行安全保护后的第一寻呼信息。
2.如权利要求1所述的方法,其特征在于,所述第一寻呼信息通过非接入层NAS安全上下文进行安全保护。
3.如权利要求1或2所述的方法,其特征在于,所述移动管理网元接收来自终端设备的第一信息,包括:
所述移动管理网元接收来自所述终端设备的非接入层NAS消息,所述NAS消息包括所述第一信息。
4.如权利要求3所述的方法,其特征在于,所述NAS消息通过NAS安全上下文进行安全保护。
5.如权利要求1或2所述的方法,其特征在于,所述对第一寻呼信息进行安全保护,包括:
对所述第一寻呼信息进行下述中的一项或多项操作:加密、完整性保护或防重放保护。
6.如权利要求1或2所述的方法,其特征在于,所述第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。
7.一种传输寻呼信息的方法,其特征在于,包括:
终端设备向移动管理网元发送第一信息,其中,所述第一信息用于指示所述终端设备包括多张全球用户标识模块USIM卡;
所述终端设备接收来自所述移动管理网元的进行安全保护后的第一寻呼信息。
8.如权利要求7所述的方法,其特征在于,所述第一寻呼信息通过非接入层NAS安全上下文进行安全保护。
9.如权利要求7或8所述的方法,其特征在于,所述终端设备向移动管理网元发送第一信息,包括:
所述终端设备向所述移动管理网元发送非接入层NAS消息,所述NAS消息包括所述第一信息。
10.如权利要求9所述的方法,其特征在于,所述NAS消息通过NAS安全上下文进行安全保护。
11.如权利要求7或8所述的方法,其特征在于,所述安全保护包括下述中的一项或多项:加密、完整性保护或防重放保护。
12.如权利要求7或8所述的方法,其特征在于,所述第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。
13.一种通信装置,其特征在于,包括:
收发单元,用于接收来自终端设备的第一信息;
处理单元,用于在需要寻呼所述终端设备的情况下,根据所述第一信息,对第一寻呼信息进行安全保护;
其中,所述第一信息用于指示所述终端设备包括多张全球用户标识模块USIM卡;
所述收发单元还用于,向终端设备发送进行安全保护后的第一寻呼信息。
14.如权利要求13所述的装置,其特征在于,所述第一寻呼信息通过非接入层NAS安全上下文进行安全保护。
15.如权利要求13或14所述的装置,其特征在于,所述收发单元具体用于:
接收来自所述终端设备的非接入层NAS消息,所述NAS消息包括所述第一信息。
16.如权利要求15所述的装置,其特征在于,所述NAS消息通过NAS安全上下文进行安全保护。
17.如权利要求13或14所述的装置,其特征在于,所述处理单元具体用于:
对所述第一寻呼信息进行下述中的一项或多项操作:加密、完整性保护或防重放保护。
18.如权利要求13或14所述的装置,其特征在于,所述第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。
19.一种通信装置,其特征在于,包括:
收发单元,用于向移动管理网元发送第一信息;
所述收发单元还用于,接收来自所述移动管理网元的进行安全保护后的第一寻呼信息;
其中,所述第一信息用于指示所述装置包括多张全球用户标识模块USIM卡。
20.如权利要求19所述的装置,其特征在于,所述第一寻呼信息通过非接入层NAS安全上下文进行安全保护。
21.如权利要求19或20所述的装置,其特征在于,所述收发单元具体用于:
向所述移动管理网元发送非接入层NAS消息,所述NAS消息包括所述第一信息。
22.如权利要求21所述的装置,其特征在于,所述NAS消息通过NAS安全上下文进行安全保护。
23.如权利要求19或20所述的装置,其特征在于,所述安全保护包括下述中的一项或多项:加密、完整性保护或防重放保护。
24.如权利要求19或20所述的装置,其特征在于,所述第一寻呼信息包括下述中的一项或多项:寻呼原因、寻呼辅助信息、用户标识、寻呼标识或接入类型。
25.一种通信装置,其特征在于,包括处理器和接口电路,所述接口电路用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置,所述处理器通过逻辑电路或执行代码指令用于实现如权利要求1至6中任一项所述的方法,或者用于实现如权利要求7至12中任一项所述的方法。
26.一种计算机可读存储介质,其特征在于,包括:所述计算机可读存储介质存储有计算机程序,当所述计算机程序被运行时,实现如权利要求1至12中任一项所述的方法。
27.一种芯片,其特征在于,包括处理器,所述处理器与存储器相连,所述存储器用于存储计算机程序,所述处理器用于执行所述存储器中存储的计算机程序,以使得所述芯片执行如权利要求1至12中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010171168.4A CN113395697B (zh) | 2020-03-12 | 2020-03-12 | 传输寻呼信息的方法和通信装置 |
PCT/CN2021/080482 WO2021180209A1 (zh) | 2020-03-12 | 2021-03-12 | 传输寻呼信息的方法和通信装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010171168.4A CN113395697B (zh) | 2020-03-12 | 2020-03-12 | 传输寻呼信息的方法和通信装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113395697A CN113395697A (zh) | 2021-09-14 |
CN113395697B true CN113395697B (zh) | 2023-09-22 |
Family
ID=77615634
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010171168.4A Active CN113395697B (zh) | 2020-03-12 | 2020-03-12 | 传输寻呼信息的方法和通信装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN113395697B (zh) |
WO (1) | WO2021180209A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117675214A (zh) * | 2022-08-26 | 2024-03-08 | 维沃移动通信有限公司 | 寻呼消息处理方法、装置、通信设备及可读存储介质 |
CN117221884B (zh) * | 2023-11-08 | 2024-02-23 | 深圳简谱技术有限公司 | 基站系统信息管理方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3566409A1 (en) * | 2017-01-04 | 2019-11-13 | Telefonaktiebolaget LM Ericsson (PUBL) | Method and network node for paging in a wireless communication system |
CN110536290A (zh) * | 2018-05-24 | 2019-12-03 | 华为技术有限公司 | 一种寻呼处理方法及装置 |
CN110769500A (zh) * | 2018-07-28 | 2020-02-07 | 华为技术有限公司 | 一种通信方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101080036A (zh) * | 2006-05-25 | 2007-11-28 | 华为技术有限公司 | 无线通信网络中实现寻呼处理的方法 |
CN102026174B (zh) * | 2009-09-17 | 2014-03-12 | 中兴通讯股份有限公司 | 一种寻呼过程中用户标识的保密方法及装置 |
-
2020
- 2020-03-12 CN CN202010171168.4A patent/CN113395697B/zh active Active
-
2021
- 2021-03-12 WO PCT/CN2021/080482 patent/WO2021180209A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3566409A1 (en) * | 2017-01-04 | 2019-11-13 | Telefonaktiebolaget LM Ericsson (PUBL) | Method and network node for paging in a wireless communication system |
CN110536290A (zh) * | 2018-05-24 | 2019-12-03 | 华为技术有限公司 | 一种寻呼处理方法及装置 |
CN110769500A (zh) * | 2018-07-28 | 2020-02-07 | 华为技术有限公司 | 一种通信方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2021180209A1 (zh) | 2021-09-16 |
CN113395697A (zh) | 2021-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11582602B2 (en) | Key obtaining method and device, and communications system | |
EP3281434B1 (en) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network | |
US11856402B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
US10798082B2 (en) | Network authentication triggering method and related device | |
US11082843B2 (en) | Communication method and communications apparatus | |
WO2017133021A1 (zh) | 一种安全处理方法及相关设备 | |
CN111328112B (zh) | 一种安全上下文隔离的方法、装置及系统 | |
CN114145032B (zh) | 获取安全上下文的方法、装置和通信系统 | |
WO2020056433A2 (en) | SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo) | |
WO2019158117A1 (en) | System and method for providing security in a wireless communications system with user plane separation | |
WO2021180209A1 (zh) | 传输寻呼信息的方法和通信装置 | |
CN113841366B (zh) | 通信方法及装置 | |
JP6651613B2 (ja) | ワイヤレス通信 | |
US20190149326A1 (en) | Key obtaining method and apparatus | |
WO2021051974A1 (zh) | 一种空口信息的安全保护方法及装置 | |
WO2020151710A1 (zh) | 一种确定安全保护方式的方法、装置及系统 | |
WO2021031054A1 (zh) | 通信方法及装置 | |
WO2023011630A1 (zh) | 授权验证的方法及装置 | |
WO2022237561A1 (zh) | 一种通信方法及装置 | |
WO2021073382A1 (zh) | 注册方法及装置 | |
CN112601222B (zh) | 一种空口信息的安全保护方法及装置 | |
CN115515130A (zh) | 一种会话密钥生成的方法及装置 | |
WO2023213191A1 (zh) | 安全保护方法及通信装置 | |
EP4207846A1 (en) | Key derivation method and apparatus, and system | |
WO2023072275A1 (zh) | 通信方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |