CN113557699A - 通信装置、基础设施设备、核心网络设备和方法 - Google Patents
通信装置、基础设施设备、核心网络设备和方法 Download PDFInfo
- Publication number
- CN113557699A CN113557699A CN201980080789.7A CN201980080789A CN113557699A CN 113557699 A CN113557699 A CN 113557699A CN 201980080789 A CN201980080789 A CN 201980080789A CN 113557699 A CN113557699 A CN 113557699A
- Authority
- CN
- China
- Prior art keywords
- communication device
- cell
- communication
- security function
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 557
- 238000000034 method Methods 0.000 title claims abstract description 134
- 230000004044 response Effects 0.000 claims description 42
- 230000011664 signaling Effects 0.000 claims description 16
- 230000008859 change Effects 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 description 16
- 238000012545 processing Methods 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 8
- 230000009471 action Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000005457 optimization Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000001419 dependent effect Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000001010 compromised effect Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241000282326 Felis catus Species 0.000 description 1
- 235000003332 Ilex aquifolium Nutrition 0.000 description 1
- 241000209027 Ilex aquifolium Species 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/08—Reselecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/67—Risk-dependent, e.g. selecting a security level depending on risk profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种由无线通信网络中的通信装置进行通信的方法,无线通信网络包括核心网络、在小区中提供无线接入接口用于向通信装置发送数据和从通信装置接收数据的基础设施设备,方法包括:控制无线通信网络中的通信装置的通信,确定是否满足与安全功能相关联的一个或多个预定条件,其中,确定是否满足一个或多个预定条件包括确定是否要启用安全功能,来与小区中的通信装置通信,并且如果满足一个或多个预定条件,则向核心网络发送安全状态指示,安全状态指示指示是否要启用安全功能,来与小区中的通信装置通信。
Description
技术领域
本公开涉及一种用于由无线通信网络中的通信装置传输数据的通信装置、基础设施设备、核心网络设备和方法。
背景技术
本文提供的“背景”描述是为了总体上呈现本公开的上下文。在本背景技术部分中描述的程度上,当前命名的发明人的工作以及在提交时可能不被认为是现有技术的描述的方面既不明确地也不隐含地被认为是针对本发明的现有技术。
第三和第四代移动电信系统(例如,基于3GPP定义的UMTS和长期演进(LTE)架构的移动电信系统)能够支持比前几代移动电信系统提供的简单语音和消息服务更复杂的服务。例如,通过LTE系统提供的改进的无线电接口和增强的数据速率,用户能够享受高数据速率的应用程序,例如,移动视频流和移动视频会议,这些应用程序以前只能经由固定线路数据连接可用。因此,部署这种网络的需求很大,并且预计这些网络的覆盖区域(即,可以接入网络的地理位置)会更快地增加。
预计未来的无线通信网络将常规地并且有效地支持与比当前系统优化支持的更广泛的装置的通信,该更广泛的装置与更广泛的数据流量简档和类型相关联。例如,预计未来的无线通信网络将有效地支持与装置的通信,装置包括降低复杂性的装置、机器类型通信(MTC)装置、高分辨率视频显示器、虚拟现实耳机等。这些不同类型的装置中的一些可以大量部署,例如,用于支持“物联网”的低复杂度装置,并且通常可以与具有较高延迟容限的较少量的数据的传输相关联。
有鉴于此,期望未来的无线通信网络(例如,那些可称为5G或新无线电(NR)系统/新无线电接入技术(RAT)系统的网络[1])以及现有系统的未来迭代/版本有效地支持与不同应用程序和不同特征数据流量简档相关联的各种装置的连接。
越来越多地使用具有不同能力的不同类型的通信装置,为有效处理无线电信系统中的通信带来了需要解决的新挑战。
发明内容
本公开可以帮助解决或减轻至少一些上述问题。
本技术的实施例可以提供一种由无线通信网络中的通信装置进行通信的方法,无线通信网络包括核心网络、在小区中提供无线接入接口用于向通信装置发送数据和从通信装置接收数据的基础设施设备,方法包括控制无线通信网络中的通信装置的通信,确定是否满足与安全功能相关联的一个或多个预定条件,其中,确定是否满足一个或多个预定条件包括确定是否要启用安全功能来与小区中的通信装置通信,并且如果满足一个或多个预定条件,则向核心网络发送安全状态指示,安全状态指示指示是否要启用安全功能来与小区中的通信装置通信。
本技术的实施例还涉及基础设施设备、核心网络设备、操作通信装置的方法、操作基础设施设备的方法以及操作核心网络设备的方法和用于通信装置、基础设施设备和核心网络设备的电路,可以提供允许有效检测和响应安全功能的禁用的设置。
在所附权利要求中限定本公开的相应方面和特征。
应当理解,前面的一般描述和下面的详细描述都是本技术的示例性的,但不是限制性的。通过参考结合附图进行的以下详细描述,将会更好地理解所描述的实施方式以及进一步的优点。
附图说明
当结合附图考虑时,通过参考下面的详细描述,更好地理解本公开,从而将很容易获得对本公开及其许多附带优点的更完整的理解,其中,相同的附图标记在多个视图中表示相同或相应的部分,并且:
图1示意性地表示可以被配置为根据本公开的示例实施例操作的LTE型无线电信系统的一些方面;
图2示意性地表示新的无线电接入技术(RAT)无线通信网络的一些示例方面,该无线通信网络可以被配置为根据本公开的实施例进行操作;
图3示出了传统的切换过程;
图4示意性示出了根据本公开实施例的电信系统;
图5是示出根据本技术的实施例的技术的消息序列图;
图6示出了根据本技术的实施例的安全功能禁用指示的示例;以及
图7是示出根据本技术的实施例的技术的另一消息序列图。
具体实施方式
长期演进高级无线电接入技术(4G)
图1提供了示意图,示出了通常根据LTE原理操作的移动电信网络/系统100的一些基本功能,但是该移动电信网络/系统100也可以支持其他无线电接入技术,并且可以适于实现本公开的实施方式,如本文所述。图1的各种元素及其相应操作模式的某些方面是众所周知的,并且在由3GPP(RTM)机构管理的相关标准中进行了定义,并且也在关于该主题的许多书籍中进行了描述,例如,Holma H.和Toskala A[2]。应当理解,本文讨论的没有具体描述的电信网络的操作方面(例如,关于用于在不同元素之间通信的特定通信协议和物理信道)可以根据任何已知的技术来实现,例如,根据相关标准和对相关标准的已知的提出的修改和添加。
网络100包括连接到核心网络102的多个基站101。每个基站提供覆盖区域103(即,小区),在该覆盖区域103内,数据可以传送到通信装置104并且从通信装置104传送数据,并且在该覆盖区域103内,通信装置可以获得服务。数据经由无线电下行链路在其相应覆盖区域103内从基站101传输到通信装置104。数据经由无线电上行链路从通信装置104传输到基站101。核心网络102经由相应的基站101将数据路由到通信装置104以及从通信装置104路由数据,并且提供诸如认证、移动性管理、计费等功能。终端装置也可以称为移动站、用户设备(UE)、用户终端、移动无线电、终端装置等。通信装置104可以根据与蜂窝IOT(CIOT)相关的规范进行操作。例如,通信装置104可以根据窄带IOT(“NB-IOT”)、“cat-NBx”或“cat Mx”(其中,“x”可以表示整数)要求来操作。
因此,核心网络102可以包括具有适当优化的核心网络。例如,核心网络102可以包括增强的分组核心(EPC),其通过支持控制平面CIoT优化或用户平面CIoT优化来增强。或者,核心网络102可以包括5G核心(5GC)网络,支持5GC中的CIoT优化。
基站是网络基础设施设备/网络接入节点的一个示例,也可以称为收发站/nodeB/e-nodeB/g-nodeB等。在这方面,不同的术语通常与不同代的无线电信系统相关联,用于提供广泛可比功能的元件。然而,本公开的示例实施方式可以同等地在不同代的无线电信系统中实现,并且为了简单起见,可以使用某些术语,而不管底层网络架构如何。即,与某些示例实现相关的特定术语的使用并不旨在指示这些实现限于可能与该特定术语最相关的特定代网络。
图2是示出基于先前提出的方法的新RAT无线通信网络/系统300的网络架构的示意图,这些方法也可以适用于根据本文描述的公开的实施方式提供功能。图2中表示的新RAT网络300包括第一通信小区301和第二通信小区302。每个通信小区301、302包括通过相应的有线或无线链路331、332与核心网络组件310通信的控制节点(集中式单元)321、322。相应控制节点321、322也均与其相应小区中的多个分布式单元(无线接入节点/远程发送和接收点(TRP))311、312通信。同样,这些通信可以通过相应的有线或无线链路进行。分布式单元311、312负责为连接到网络的通信装置提供无线电接入接口。每个分布式单元311、312具有覆盖区域(无线电接入足迹)341、342,其共同限定了相应通信小区301、302的覆盖范围。每个分布式单元311、312包括用于发送和接收无线信号的收发器电路和被配置为控制相应的分布式单元311、312的处理器电路。
就广泛的顶层功能而言,图2中表示的新RAT通信网络的核心网络组件310可以被广泛地认为对应于图1中表示的核心网络102,并且相应的控制节点321、322和其相关联的分布式单元/TRP 311、312可以被广泛地认为提供对应于图1的基站101的功能。术语网络基础设施设备/接入节点可用于包含无线通信系统的这些元件和更传统的基站类型元件。根据手头的应用程序,调度在相应分布式单元和通信装置之间的无线电接口上调度的传输的责任,可以由控制节点/集中式单元和/或分布式单元/TRP承担。
在第一通信小区301的覆盖区域内,在图2中表示通信装置400。该通信装置400因此可以经由与第一通信小区301相关联的一个分布式单元311与第一通信小区中的第一控制节点321交换信令。在一些情况下,仅通过一个分布式单元来路由给定的通信装置的通信,但是将会理解,在一些其他实现中,与给定的通信装置相关联的通信可以通过多于一个的分布式单元来路由,例如,在数据复制场景和其他场景中。
通信装置当前通过其连接到相关控制节点的特定分布式单元,可以称为通信装置的活动分布式单元。因此,通信装置的分布式单元的活动子集可以包括一个或多个分布式单元(TRP)。控制节点321负责确定跨越第一通信小区301的哪个分布式单元311负责在任何给定时间与通信装置400进行无线电通信(即,哪些分布式单元是通信装置的当前活动分布式单元)。通常,这将基于通信装置400和相应分布式单元311之间的无线电信道条件的测量。在这点上,应当理解,当前对通信装置活动的小区中的分布式单元的子集,将至少部分地取决于通信装置在小区内的位置(因为这显著有助于通信装置和相应分布式单元之间存在的无线电信道条件)。
在至少一些实现中,分布式单元参与将通信从通信装置路由到控制节点(控制单元)对于通信装置400是透明的。即,在一些情况下,通信装置可能不知道哪个分布式单元负责在通信装置400和通信装置当前正在其中操作的通信小区301的控制节点321之间路由通信,或者即使任何分布式单元311连接到控制节点321并且根本不参与通信的路由。在这种情况下,就通信装置而言,简单地向控制节点321发送上行链路数据并从控制节点321接收下行链路数据,并且通信装置不知道分布式单元311的参与,尽管可能知道分布式单元311发送的无线电配置。然而,在其他实施例中,通信装置可以知道在其通信中涉及哪个(哪些)分布式单元。可以在网络控制节点处基于通信装置上行链路信号的分布式单元的测量或者由通信装置进行的并经由一个或多个分布式单元报告给控制节点的测量,来完成一个或多个分布式单元的切换和调度。
在图2的示例中,为了简单起见,示出了两个通信小区301、302和一个通信装置400,但是当然可以理解,实际上,该系统可以包括为大量通信装置服务的大量通信小区(每个通信小区由相应的控制节点和多个分布式单元支持)。
还应当理解,图2仅表示新RAT通信系统的提出的架构的一个示例,其中,可以采用根据本文描述的原理的方法,并且本文公开的功能也可以应用于具有不同架构的无线通信系统。
因此,可以根据各种不同的架构,例如,图1和图2所示的示例架构,在无线电信系统/网络中实现本文讨论的本公开的示例实施方式。因此,应当理解,在任何给定的实现中,特定的无线通信架构对于本文描述的原理来说并不重要。在这点上,通常可以在网络基础设施设备/接入节点和通信装置之间的通信的上下文中描述本公开的示例实施方式,其中,网络基础设施设备/接入节点和通信装置的特定性质将取决于用于手头实现的网络基础设施。例如,在一些情况下,网络基础设施设备/接入节点可以包括基站,例如,图1中所示的适用于提供根据本文描述的原理的功能的LTE型基站101,并且在其他示例中,网络基础设施设备/接入节点可以包括图2中所示类型的控制单元/控制节点321、322和/或TRP 311、312,其适用于提供根据本文描述的原理的功能。
本发明的实施方式可以应用于高级无线通信系统,例如,那些被称为5G或新无线电接入(NR)技术的系统。包含NR技术的系统预计将支持不同的服务(或服务类型),其特征可能是对延迟、数据速率和/或可靠性的不同要求。例如,增强型移动宽带(eMBB)服务的特点是高容量,要求最高支持20Gb/s。超可靠和低延迟通信(URLLC)[1]服务的要求是32字节数据包的一次传输的可靠性为1-10-5(99.999%),用户平面延迟为1ms[3]。大规模机器类型通信(mMTC)是基于NR的通信网络可以支持的服务的另一示例。
图1中所示的无线接入网络的元件可以等同地应用于5G新RAT配置,除了可以如上所述应用的术语变化。
接入层安全
在无线通信网络内,一个或多个安全功能可以运行,以保护经由基础设施设备101传输到通信装置104或从通信装置104传输的数据的保密性和/或完整性。根据例如网络运营商策略,不同的安全功能可以针对不同类型的数据进行操作。例如,在特定场景中,无线电资源控制(RRC)信令可能经受保密性(例如,加密)和完整性保护功能,而用户平面数据(例如,源自应用层的数据)可能仅经受保密性保护,并且可能禁用用户平面数据的完整性保护。根据传统技术,可以经由信令无线承载(SRB)传输的RRC信令可能需要始终经受保密性和完整性保护。
完整性保护功能可以包括向消息添加消息认证码(MAC),通过该认证码,接收者可以确认消息发送者的身份。
保密性保护功能可以包括数据加密,使得只有预期的接收者可以解密加密的数据,以获得原始的未加密数据。
在操作中,安全功能可以取决于一个或多个参数。总的来说,由无线通信网络的接入层部分(例如,在基础设施设备101处)内的安全功能使用的参数可以形成安全上下文的全部或部分,例如,用于3GPP接入的5G接入层(AS)安全上下文(参见[4])。
接入层内用于安全功能的参数可以由核心网络102根据与通信装置104相关联的存储参数(例如,一个或多个密钥)或与通信装置104相关联的订阅来确定。
移动性
在无线通信系统中,通信装置(例如,图1的通信装置104或图2的通信装置400)的当前服务小区可能变得不如替代小区合适。这可能是因为通信装置104已经移动,因为服务小区内的拥塞,因为与服务小区相关联的基础设施设备不能支持与通信装置相关联的业务负载和/或服务质量要求,或者因为任何其他原因。
在这种情况下,与服务小区相关联的“源”基础设施设备可以发起通信装置的切换,使得可以选择不同的小区,作为其服务小区,该不同的小区可以与不同的“目标”基础设施设备相关联。
在源基础设施设备和目标基础设施设备通过(至少在逻辑上)不穿过核心网络102的接口(例如,X2或Xn型接口)通信连接的情况下,可以通过经由该接口发送和接收的消息来促进切换过程的方面。这可以减少与切换相关联的等待时间,并且可以减少核心网络102的处理负荷。
图3示出了传统切换过程的各个方面。
最初,在与源基础设施设备101a相关联的第一小区103a中服务于通信装置104,源基础设施设备101a可以是第一基础设施设备。数据402经由源基础设施设备101a从通信装置104传输到核心网络102或从核心网络102传输到通信装置104。接入层安全功能可以在通信装置104和源基础设施设备101a处运行,以确保在源基础设施设备101a和通信装置104之间传输的数据的保密性和/或完整性。这样,源基础设施设备101a可能已经存储了与通信装置104相关联的安全上下文,其提供参数(例如,密钥等),用于实现安全功能。
响应于源基础设施设备101a确定404将来应该在不同的小区中服务于通信装置104,源基础设施设备101a可以发起与目标基础设施设备101b的切换过程。在图3的示例中,源基础设施设备101a和目标基础设施设备101b通过X2或Xn(基础设施间设备)连接来连接。
因此,可以在没有与核心网络102的特定交互的情况下发生切换准备。作为切换准备的一部分,源基础设施设备101a向目标基础设施设备101b发送切换请求406,以在新小区中为通信装置104分配通信资源。切换请求406可以包括源基础设施设备101a已经在源小区中使用的安全上下文。作为响应,目标基础设施设备101b向源基础设施设备101a发送切换请求确认消息410,该消息包含通信装置104在新小区中使用的参数。这些参数可以包括将在目标小区中使用的新的安全上下文。在RRC重新配置消息412中,参数被转发到通信装置104。
RRC重新配置消息412可以指示哪个(哪些)安全功能(如果有的话)将被应用于新小区中的哪个数据传输。该指示可以是显式的,也可以是隐式的(例如,基于新安全上下文中相应安全参数的存在或不存在)。在某些情况下,SRB的安全状态(即哪些安全功能将应用于经由SRB传输的数据)保持不变。
响应于接收到RRC重新配置消息412,通信装置104例如使用随机接入过程来接入新小区414。
在这个阶段,核心网络102中的实体不知道通信装置104的服务小区已经改变,并且从核心网络102接收的用于由源基础设施向前传输到通信装置104的数据416被转发到目标基础设施设备101b。
因此,为了通知核心网络102服务小区(更具体地,服务基础设施设备)的改变,目标基础设施设备101b向核心网络102发送路径切换请求消息418,作为响应,核心网络102随后向目标基础设施设备101b而不是源基础设施设备101a发送通信装置104的数据420。
为了使目标基础设施设备101b对传输到通信装置104或由通信装置104传输的数据执行与源基础设施设备101a相同的安全功能,源基础设施设备101a可以经由X2或Xn接口传送安全上下文408,例如,作为切换请求406的一部分。
为了提供无线通信网络的更大灵活性,特别是在处理能力非常有限的受限装置方面,已经建议可以放宽对在接入层级别应用于传输到通信装置或由通信装置传输的数据的安全功能的应用的传统限制。
例如,可以允许对于某些类型的通信装置,或者对于支持某些应用的通信装置,传统上可能需要启用的安全功能可能不再是强制性的,或者在某些情况下可能不再是强制性的。
对传统原理的这种修改可以反映在较高协议层(例如,在应用层)提供某些安全功能,和/或希望避免与具有有限处理能力和/或严格功耗要求的通信装置中的安全功能相关联的不必要处理。
一般而言,安全功能可以在某种意义上被认为是可选的,根据标准规范,可以允许不启用(换言之,禁用)该安全功能。可以通过标准规范、用户偏好、应用要求、核心网络策略和无线网络运营商策略和配置中的一个或多个来设置何时可以禁用可选安全功能的限制。
因此,原则上可以允许至少一些通信装置减少安全功能,即使实际上没有应用于特定的通信装置。
类似地,可以放宽或修改对哪些安全功能可以应用于数据的传统限制,以允许改进的接入层安全性。例如,从3GPP版本15开始,与NR无线电接入网络中的数据无线电承载(DRB)相关联的数据可以可选地受到完整性保护和保密性保护。
虽然这些修改提供了更大的灵活性,并且可以适应更大范围的装置类型、应用及其相应的要求和约束,但是仍然有必要确保无线通信网络的操作不会由于基础设施设备的存在而劣化,基础设施设备(无论是由于恶意活动、故障还是任何其他原因)不符合适当的安全要求,例如,相关标准规范中规定的安全要求。
根据本公开的实施例,提供了一种由无线通信网络中的通信装置进行通信的方法,无线通信网络包括核心网络、在小区中提供无线接入接口用于向通信装置发送数据和从通信装置接收数据的基础设施设备,方法包括:控制无线通信网络中的通信装置的通信;确定是否满足与安全功能相关联的一个或多个预定条件,其中,确定是否满足一个或多个预定条件包括确定是否要启用安全功能来与小区中的通信装置通信;并且如果满足一个或多个预定条件,则向核心网络发送安全状态指示,安全状态指示指示是否要启用安全功能来与小区中的通信装置通信。
图4示意性示出了根据本公开实施例的电信系统500。
电信系统500包括耦合到无线电网络部分的核心网络102。无线电网络部分包括源基础设施设备101a和目标基础设施设备101b,其中的每一个都可以是基础设施设备的示例,例如,提供LTE无线接入接口的演进型基站(eNB)、用于连接到5G核心网络的下一代基站(ng-eNB)或gNB 101(提供NR无线接入接口)。源基础设施设备101a可以经由通常由箭头358示出的无线接入接口耦合到通信装置104(也可以称为终端装置)。无线接入接口358可以广泛地符合基于LTE或基于NR的标准。当然,应当理解,实际上,无线电网络部分可以包括多个基础设施设备,这些基础设施设备服务于各种通信小区中的大量通信装置。然而,为了简单起见,图4中只显示了两个基础设施设备和一个通信装置。
无线电网络部分可以是例如演进的通用地面无线电接入网(E-UTRAN)或NR无线电接入网,并且核心网络可以是5G核心网络或增强分组核心网(EPC)。
因此,电信系统/网络500的操作的许多方面是已知和理解的,为了简洁起见,此处不再详细描述。本文没有具体描述的电信系统500的操作方面可以根据任何已知技术来实现,例如,根据当前的NR标准。
如上所述,除了根据本文讨论的本公开的实施例被修改以提供功能之外,图4中所示的电信系统500的各种元件的操作可以大体上是传统的。
源基础设施设备101a在可以是源小区的第一小区103a中提供服务。源基础设施设备101a经由到控制器356的接口360连接到核心网络102。源基础设施设备101a包括连接到天线368的接收机354和连接到天线368的发射机352。接收机354和发射机352都连接到控制器356。控制器356被配置为控制基础设施设备101a,并且可以包括处理器电路,该处理器电路又可以包括用于提供如本文进一步解释的功能的各种子单元/子电路。这些子单元可以实现为分立的硬件元件或处理器电路的适当配置的功能。因此,控制器356可以包括电路,该电路被适当地配置/编程,以使用传统的编程/配置技术为无线电信系统中的设备提供期望的功能。为了便于表示,发射机352、接收机354和控制器356在图4中被示意性地示为分立的元件。然而,应当理解,这些元件的功能可以以各种不同的方式提供,例如,使用一个或多个适当编程的可编程计算机,或者一个或多个适当配置的专用集成电路/电路系统/芯片/芯片组。应当理解,源基础设施设备101a通常将包括与其操作功能相关联的各种其他元件。
相应地,通信装置104包括连接到接收机364的控制器366,接收机364从天线370接收信号。控制器366还连接到发射机362,发射机362也连接到天线370。控制器366被配置为控制通信装置104,并且可以包括处理器电路,处理器电路又可以包括各种子单元/子电路,用于提供本文进一步解释的功能。这些子单元可以实现为分立的硬件元件或处理器电路的适当配置的功能。因此,控制器516可以包括电路,该电路被适当地配置/编程,以使用传统的编程/配置技术为无线电信系统中的设备提供期望的功能。为了便于表示,发射机512、接收机514和控制器516在图4中被示意性地示为独立的元件。然而,应当理解,这些元件的功能可以以各种不同的方式提供,例如,使用一个或多个适当编程的可编程计算机,或者一个或多个适当配置的专用集成电路/电路系统/芯片/芯片组。应当理解,通信装置104通常将包括与其操作功能相关联的各种其他元件,例如,电源、用户接口等,但是为了简单起见,这些在图4中未示出。
在第二小区103b中提供服务的目标基础设施设备101b可以经由基础设施设备间接口380(例如,X2或Xn接口)连接到源基础设施设备101a。
目标基础设施设备101b可以基本上类似于源基础设施设备101a;为了简明起见,图4中省略了细节。
然而,源基础设施设备101a和目标基础设施设备101b中的一个或两个可能不符合适当的安全要求,例如,在相关标准规范中指定的安全要求,和/或可以操作使得通信装置104、无线通信网络或两者的有效操作受到损害。
例如,源基础设施设备101a可以尝试使通信装置104禁用安全功能。这可能违反无线通信网络的策略、无线通信网络旨在遵守的规范的原则,或者出于不希望的任何其他原因。
或者,源基础设施设备101a可以尝试使通信装置104启用不适当的安全功能。启用安全功能可能是不合适的,因为该功能可能不被通信装置104支持,需要导致功耗增加的不必要的处理,或者可能复制另一安全功能的功能,例如,在不同协议层提供的功能,例如,由应用程序提供的功能。这种启用可能违反无线通信网络的策略、无线通信网络旨在遵守的规范的原则,或者出于不希望的任何其他原因。
分别启用或禁用当前(或以前)禁用或启用的特定可选安全功能可能有合法的理由。通信装置104或基础设施设备101a、101b可能无法确定是否允许这种改变,例如,因为取决于只有核心网络102内的一个或多个元件知道的策略。
图5是示出用于检测和/或防止安全功能的状态(启用/禁用)改变的技术的消息序列图,其中,该状态改变实际上是不允许的。
最初,在第一小区103a中的通信装置104和源基础设施设备101a之间建立RRC连接502和相关联的信令无线电承载(未示出)。可以在通信装置104和源基础设施设备101a之间建立一个或多个无线电承载504a、504b,并且可以在源基础设施设备101a和核心网络102之间建立相应的承载506a、506b。
RRC连接502和无线电承载504a、504b可能已经首先在由源基础设施设备101a控制的第一小区103a中建立,或者可能已经在另一小区中建立,并且是切换到第一小区103a的主题。
针对通信装置104和源基础设施设备101a之间的一些或所有传输,激活一个或多个接入层安全功能。这样,源基础设施设备101a具有与通信装置104相关联的安全上下文,提供与一个或多个接入层安全功能相关联的参数。可能已经从另一基础设施设备或从核心网络102获得安全上下文。在一些实施例中,核心网络102可能已经存储了安全上下文,该安全上下文包括对于源基础设施设备101a和通信装置104之间的传输哪个接入层安全功能是活动的指示。
源基础设施设备101a随后经由Xn接口向目标基础设施设备101b发送切换请求506,以发起通信装置104从第一小区103a到由目标基础设施设备101b控制的第二小区103b的切换。这样,第二小区103b可以是目标小区。
发起切换的确定可以根据传统的公知技术。
传统上,在最常见的情况下,对于应用于通信装置104和第一小区103a中的源基础设施设备101a之间的通信、在通信装置104和第二小区103b中的目标基础设施设备101b之间的通信,期望应用相同的接入层安全功能。如上所述,关于图3,为了促进这一点,应用哪些安全功能以及(在适用的情况下)相应参数的指示因此从源基础设施设备101a传输到目标基础设施设备101b。
在图5的示例中,根据本技术的实施例,目标基础设施设备101b确定由源基础设施设备101a指示的一个或多个可选安全功能的状态是否满足触发进一步动作的预定条件。
预定条件可以是在相关标准中指定的、由核心网络102向目标基础设施设备101b指示的、由无线通信网络的运营商在目标基础设施设备101b中配置的、或者以任何其他方式设置的条件。
在图5的示例中,如果禁用可选的安全特性,则满足条件。
因此,目标基础设施设备101b通过基于来自源基础设施设备101a的信令(或其不存在)做出禁用安全功能确定515,来确定由源基础设施设备101a指示的一个或多个可选安全功能的状态是否满足条件。作为禁用安全功能确定515的一部分,目标基础设施设备101b确定是否在第二小区103b中不启用一个或多个可选接入层安全功能。
目标基础设施设备101b可以基于以下一项或多项来评估条件(例如,在做出禁用安全功能确定515时):
-在目标小区103b中激活哪些可选安全功能的明确指示,指示在第二小区103b中启用或不启用一个或多个可选安全功能;
-基于不存在与要禁用的安全功能相关联的安全参数(例如,在安全上下文中)或不存在安全上下文的隐式指示。
可以响应于接收到切换请求506来做出关于是否满足条件的确定(例如,禁用安全功能确定515),或者可以随后做出该确定。
更具体地,关于是否满足条件的确定可以包括禁用安全功能确定515,该确定可以可选地针对通信装置或针对特定承载或数据类型启用的安全功能,针对通信装置104或针对通信装置104的承载或数据类型不启用。
在一些实施例中,对于可以可选地针对通信装置或针对特定承载或数据类型启用的安全功能,可以另外或替代地满足条件,针对通信装置104或针对通信装置104的承载或数据类型,不启用安全功能。
在一些实施例中,针对每个可选的安全功能和/或针对每种类型的数据(例如,针对与每个SRB和每个DRB相关联的数据)来评估条件。在某些情况下,对于某些数据类型(例如,与SRB相关联的数据),可能没有可选的安全功能,在这种情况下,可能不会针对该数据评估条件。然而,在这种情况下,对于与一个或多个DRB相关联的数据是可选的安全功能,可以满足条件。
在一些实施例中,不同通信装置104的条件可能不同。例如,条件可能不同,因为对于给定类型的数据,不同装置的可选安全功能集不同。在一些实施例中,第一组条件用于支持一个或多个蜂窝IoT能力的通信装置,而不同的第二组条件用于不支持任何IoT能力的通信装置。
在一些实施例中,第二组条件不适用于与SRB相关联的数据。在一些实施例中,第一组条件适用于与SRB相关联的数据。
在一些实施例中,不同的条件适用于提供保密性的安全功能,不同于适用于提供完整性保护的安全功能。
目标基础设施设备101b可能无法确定在第一小区103a中应用了哪个(哪些)可选安全功能。换言之,目标基础设施设备101b可能无法确定请求为第二小区103b中的通信装置104启用的安全功能是否与第一小区103a中的源基础设施设备101a启用的安全功能相同或不同。
然后目标基础设施设备101b通过为通信装置104分配资源并将这些资源的指示发送到源基础设施设备101a,例如,在切换请求确认消息508中,来进行传统的入站切换过程。可以根据从源基础设施设备101a接收的指示,例如,切换请求506,来启用安全功能。
切换请求确认消息508的一些或全部内容可以例如在RRC重新配置消息510中被转发给通信装置104。
响应于接收到RRC重新配置消息510,通信装置104在通信装置104和目标基础设施设备101b之间建立新的RRC连接512。
无线电承载504a、504b也可以作为新的无线电承载514a、514b在新的小区103b中被切换和建立。
此外,如果满足在步骤515使用的条件,则目标基础设施设备101b发起进一步的动作。在一些实施例中,进一步的动作包括由目标基础设施设备101b向核心网络102发送一个或多个可选安全功能的安全状态的指示。
因此,在图5的特定示例中,根据本技术的实施例,响应于禁用安全功能确定515的结果是对第二小区103b中的通信装置104不启用至少一个可选安全功能,目标基础设施设备101b向核心网络102发送安全状态指示518。
在一些实施例中,由满足条件的确定所触发的动作可以发生在与第二小区103b中的通信装置104建立任何连接之前,例如,基本上立即响应于做出的确定。
在一些实施例中,如图5所示,由满足条件的确定触发的动作可以发生在与第二小区103b中的通信装置104建立连接之后。具体而言,在一些实施例中,安全状态指示518可以形成路径切换请求516的一部分,请求核心网络102将目标基础设施设备101b与通信装置104相关联,并将通信装置104的数据传输到目标基础设施设备101b。路径切换请求516可以包括通信装置104的安全能力的指示。安全状态指示518可以指示针对第二小区103b中的通信装置104禁用和启用了哪个(哪些)安全功能。在一些实施例中,安全状态指示518还指示针对哪个数据禁用或启用了安全功能。例如,在一些实施例中,可以为一个或多个协议数据单元(PDU)会话中的每一个传输安全状态指示518的单独实例。因此,安全状态指示518的实例可以指示例如对于与特定协议数据单元(PDU)会话相关联的数据,不启用加密。
在一些实施例中,安全状态指示518指示针对第二小区103b中的通信装置104启用了哪个(哪些)安全功能(或者,如果安全状态指示518是在新小区中建立连接之前发送的,则将启用哪个或哪些安全功能)。
根据本技术的实施例,可以由图5所示的安全状态指示518指示的信息的示例在图6中示出。
在图6所示的示例中,与第一PDU会话602和第二PDU会话604(其可以分别对应于由图5的第一和第二承载504a、504b发送的数据)中的每一者相关的以及与RRC信令(例如,可以经由图5的信令无线电承载502发送的信令)相关的信息。对于每一者,安全状态指示518可以包括保密性指示610和完整性保护指示612,保密性指示610指示是否要应用保密性安全功能(例如,通过加密),完整性保护指示612指示是否要应用完整性保护安全功能。
响应于接收到安全状态指示518,核心网络102做出安全状态允许确定520。在图5的示例中,安全状态允许确定520是禁用安全功能允许确定,通过该确定,核心网络102确定是否允许禁用由安全状态指示518指示为禁用的可选安全功能。
安全状态允许确定520可以基于以下一项或多项:
-与承载相关联的应用相关联的策略;这种策略本身可以基于应用程序本身提供的安全功能(如果有的话);
-与通信装置104相关联的策略;
-与通信装置104使用的订阅相关联的策略;
-通信装置104的能力;
-存储在核心网络102中的通信装置104的安全上下文;
-在其他协议层提供的安全功能;
-与基础设施设备(例如,目标基础设施设备101b)相关联的安全状态,以及
-所指示的安全功能对于通信装置104和/或第一小区103a中的数据是否是有效的。
例如,在一些实施例中,如果安全功能对于相同通信装置和/或相同类型数据(例如,相同承载)在先前小区中是活动的,则确定不允许禁用该安全功能,或者在一些实施例中,反之亦然。这可以例如基于要在第二小区103b中启用的安全功能和存储在核心网络102中的通信装置104的安全上下文中的安全参数之间的不匹配来确定。
在一些实施例中,如果将受到禁用安全功能的数据在不同的协议层或由应用程序受到一个或多个相似或等效的安全功能(例如,提供相同或更好的保护级别),则可以允许在接入层禁用提供相应保护的功能。例如,在某些情况下,承载可以与自身实现完整性保护和保密性保护中的一者或两者的应用程序相关联。在一些实施例中,在一些情况下,如果应用程序提供了类似的保护,则允许在接入层禁用安全功能。
在一些实施例中,基础设施设备101可以与安全状态相关联,该安全状态可以指示核心网络102和基础设施设备101之间的信任关系。例如,在基础设施设备101和核心网络102都由相同的商业实体操作的情况下,安全状态可以指示与基础设施设备101相关联的更高程度的安全性。另外或替代地,在基础设施设备101和核心网络102之间的通信经受安全功能和/或相互认证的情况下,安全状态可以指示与基础设施设备101相关联的更高程度的安全性。
在这样的实施例中,如果与目标基础设施设备101b相关联的安全状态高于预定阈值,则核心网络102可以确定可以禁用可选的接入层安全功能。
替代地或另外,例如,如果核心网络102知道通信装置(例如,通信装置104)在处理能力和/或功耗方面受到限制(例如,因为需要使用电池长时间工作而不进行再充电),则可以允许在接入层对上行链路数据、下行链路数据或者这两者禁用完整性保护和/或加密,以便降低通信装置104上的计算和处理要求。
类似地,如果核心网络102已知通信装置在处理能力和/或功耗方面受到限制,则在一些实施例中,为了避免对通信装置104的计算和处理要求的不必要的增加,可能不允许在接入层对上行链路数据、下行链路数据或这两者进行完整性保护和/或加密。
核心网络102可以通过例如在NAS过程中接收设备能力指示来确定通信装置104的能力。
例如,如果与通信装置104相关联(例如,与在连接到通信装置104的UICC或嵌入式UICC上运行的USIM应用相关联)的订阅与要求在接入层使用完整性保护和保密性保护中的一者或两者的策略相关联,则可能不允许在接入层禁用这种保护。
这种策略可以替代地或另外与特定通信装置104相关联,例如,基于与该装置相关联的唯一标识符的一部分或全部(例如,国际移动用户标识IMSI、临时移动用户标识TSMI或国际移动设备标识IMEI)。
在一些情况下,用于无线通信网络操作的策略可以允许修改在正在进行的PDU会话的切换时应用的安全功能。例如,在共享网络场景中,通信装置104可以从共享网络(即,使用无线电接入网络RAN共享)中具有第一策略的第一小区103a移动到非共享网络中具有不同于第一策略的第二策略的第二小区103b。因此,在一些实施例中,不允许改变安全功能的确定是基于除了在第一小区103a和第二小区103b中活动的安全功能的差异之外的因素或者补充该差异的因素。
在可以基于多个因素进行确定的情况下,可以根据相应的优先级别或者以特定的顺序使用预定的规则来应用这些因素。例如,在可以基于可应用于通信装置104的策略和可应用于与通信装置104相关联的订阅的策略来做出确定的情况下,可以根据预定的优先规则,基于对与通信装置104相关联的策略的优先订阅来做出确定。
作为另一示例,在一些实施例中,可以在安全状态允许确定520中使用因素的组合,由此共同考虑目标基础设施设备101b的安全状态和通信装置104的能力,如下所述。仅当通信装置104不支持蜂窝IoT能力并且目标基础设施设备101b的安全状态超过预定阈值时,才允许针对与DRB相关联的数据禁用可选接入层安全功能。
在一些实施例中,可以在访问管理功能(AMF)或会话管理功能(SMF)中的一者处做出安全状态允许确定520。
在图5所示的示例中,安全状态指示518指示不针对与第一新承载514a(对应于第一小区103a中的承载514a)启用加密。在该示例中,核心网络102具有与通信装置104相关联的安全上下文,该安全上下文包括适用于第一小区103a中的第一承载504a的接入层加密参数,并且因此确定不允许针对第二小区103b中的第一新承载514a禁用加密。
响应于安全状态允许确定520,核心网络102可以基于确定的结果向目标基础设施设备101b指示。在一些实施例中,该指示可以是显式许可指示符522。显式许可指示符522可以包括路径切换请求确认消息,以指示允许应用安全状态指示518中指示的安全功能,并且可以包括路径切换请求失败消息,以指示不允许禁用安全功能。
在一些实施例中,显式许可指示符522可以包括具有原因值的路径切换请求失败消息,该原因值指示不允许应用安全状态指示518中指示的安全功能,例如,“安全性受损”原因值。在一些实施例中,如果不允许应用安全状态指示518中指示的安全功能,则原因值可以是传统的原因值,例如,“不支持加密和/或完整性保护算法”或“UP完整性保护不可行”,或“UP保密性保护不可行”。
在一些实施例中,该指示可以是隐含的。例如,显式许可指示符522的不存在可以指示允许应用安全状态指示518中指示的安全功能。
如上所述,在根据安全状态指示518中指示的安全功能建立了一个或多个连接(例如,新的无线电承载514a、514b和RRC连接512)之后,目标基础设施设备101b可以接收显式许可指示符522。
在这种情况下,例如,如图5所示,响应于核心网络102的指示522,如果指示522是允许禁用安全功能,则目标基础设施设备101b可以不进行进一步的动作。
作为发送路径切换请求516的结果,目标基础设施设备101b可以从核心网络102接收用于通信装置104的数据,基于从源基础设施设备101a接收的指示(例如,在切换请求506中),根据上面确定的那些应用安全功能(如果有的话),并且将数据发送到通信装置104。类似地,目标基础设施设备101b可以接收由通信装置104发送的数据,在将数据直接转发到核心网络102之前,应用适用的安全功能(如果有的话)。
如果来自核心网络102的指示(例如,显式许可指示符522)指示在第二小区103b中可能未禁用安全功能(或者一般而言,不允许应用安全状态指示518中指示的安全功能),则在一些实施例中,目标基础设施设备101b可以释放与第二小区103b中的通信装置104的任何连接。这可以通过向通信装置104发送如图5所示的RRC连接释放消息524来实现。
在一些实施例中,如果核心网络102确定520不允许应用安全状态指示518中指示的安全功能,则不发送许可指示符522。在一些这样的实施例中,核心网络102可以释放与通信装置104的任何连接(例如,承载)。在一些实施例中,核心网络102可以触发警报,例如,通过向与无线通信网络500相关联的网络操作和监控系统发送警报消息。
在一些实施例中,响应于确定(例如,基于显式许可指示符522)在第二小区103b中可能未禁用安全功能,目标基础设施设备101b利用通信装置104开始认证过程或其他合适的过程,以便能够应用核心网络102所需的那些安全功能。该过程可以根据在连接(或承载)建立之前或作为连接(或承载)建立的一部分使用的传统过程。
在一些这样的实施例中,目标基础设施设备101b可以向通信装置104发送RRC安全模式命令或RRC重新配置消息,以便能够使用安全功能。
在一些实施例中,目标基础设施设备101b可以响应于确定在第二小区103b中未禁用安全功能,例如,通过向网络操作和监控系统发送警报消息来触发警报。该警报消息可以触发人类可感知的警报,例如,视觉或听觉警报,以警告无线通信网络的运营商已经尝试了违反要求和/或策略禁用安全特征的过程。警报消息可以包括源基础设施设备101a的身份和/或目标基础设施设备101b的身份。
警报过程可以基本上基于传统的警报过程,用于通知运营商已经发生完整性保护故障。
在一些实施例中,在安全状态允许确定520之后,核心网络102可以发起非接入层(NAS)过程,以建立由通信装置104和目标基础设施设备101b使用的安全参数。例如,核心网络102可以发起与通信装置104的重新认证过程,例如,认证和密钥协商(AKA)过程。在完成NAS过程之后,核心网络102可以向目标基础设施设备101b提供安全上下文,该安全上下文包括由目标基础设施设备101b使用的安全参数,以便对发送到通信装置104和由通信装置104发送的数据应用所需的安全功能。
在本技术的一些实施例中,关于是否满足可选接入层安全功能的条件的确定可以由通信装置104执行,并且如果满足条件,则与上述安全状态指示518大致类似的指示可以由通信装置104发送到核心网络102。这样,例如,上述禁用安全功能确定515可以由通信装置104和目标基础设施设备101b中的任一者或两者来执行。
图7是示出根据本技术的实施例的由通信装置104执行的确定715的消息序列图。
在图7的示例中,该过程如关于图5所示和所述,直到并包括通信装置104接收到RRC重新配置消息510。
在图7的示例中,RRC重新配置消息510包括关于通信装置104或者关于第二小区103b中的特定数据(例如,与每个承载504a、504b相关联的数据)要启用哪些(如果有的话)安全功能的指示。该指示可以是在第二小区103b中的安全功能中使用的一组参数的形式,使得没有指示参数的安全功能被隐含地指示为在第二小区103b中禁用。
响应于接收到RRC重新配置消息510,然后,在图7的示例中,通信装置104执行确定步骤715,由此确定由RRC重新配置消息510指示的一个或多个可选安全功能的状态是否满足触发进一步动作的条件。确定步骤可以基本上类似于由目标基础设施设备101b进行的条件评估,例如,借助于上述禁用安全功能确定515。
然而,与图5的示例不同,在执行确定步骤715时,通信装置104知道针对第一小区103a中的每个承载504a、504b和RRC信令502启用了哪个(哪些)安全功能。
这样,在一些实施例中,确定步骤715可以包括确定是否针对通信装置104或针对通信装置104的承载或数据类型在第二小区103b中不启用安全功能,该安全功能是针对通信装置104或者针对与通信装置104相关联的特定承载或数据类型在第一小区103a中启用,或者反之亦然(即,安全功能是新启用的)。
在一些实施例中,确定步骤715可以包括关于是否针对通信装置104或针对通信装置104的承载或数据类型不启用安全功能的确定,而不管是否针对第一小区103a中的通信装置104或针对通信装置104的承载或数据类型启用安全功能。
确定步骤715可以基于针对通信装置104或者针对包括在RRC重新配置消息510中的第二小区103b中的特定数据(例如,与每个承载504a、504b相关联的数据)要启用哪些(如果有的话)安全功能的指示。
在确定715之后,通信装置104可以向核心网络102发送指示确定715的结果的安全状态指示718。安全状态指示718可以基本上类似于图6中示出并在上面描述的安全状态指示518。
在一些实施例中,在确定715中评估的条件可以包括上面针对由图5所示的示例中的目标基础设施设备进行的条件评估所描述的那些条件。
在一些实施例中,如果针对通信装置104或针对通信装置104的承载或数据类型在第二小区103b中不启用安全功能,则另外或替代地可以满足条件,该安全功能针对通信装置104或针对与通信装置104相关联的特定承载或数据类型在第一小区103a中启用。
在一些实施例中,如果针对通信装置104或者针对通信装置104的承载或数据类型在第二小区103b中启用安全功能,则另外或替代地满足条件,该安全功能针对通信装置104或者针对与通信装置104相关联的特定承载或数据类型在第一小区103a中未启用。
在一些实施例中,通信装置104可以继续进行切换,并且如果满足在确定715中评估的条件,则在第二小区103b中发送安全状态指示718。
在一些实施例中,可以在第一小区103a中传输安全状态指示718,如图7的示例所示。
在一些实施例中,如果通信装置104确定715满足条件,则通信装置104可以停止执行在RRC重新配置消息510中接收的配置,具有中止切换的效果,并且还可以在第一小区中发送安全状态指示718。
在一些实施例中,通信装置104确定其是否被配置为执行确定715。例如,通信装置104可以确定其被配置为仅当其已经从基础设施设备101a(和/或在一些实施例中,从核心网络102)接收到指示其将执行确定715的指示时,才执行确定715,并且根据结果发送安全状态指示718。
因此,在一些实施例中,在执行确定715之前,通信装置104可以接收由基础设施设备101发送的配置指示(图7中未示出),指示通信装置104将执行确定715,并且如果合适,发送安全状态指示718。
在一些实施例中,通信装置104可以确定其被配置为执行确定715,除非其已经从基础设施设备101a(和/或在一些实施例中,从核心网络102)接收到指示其不发送任何安全状态指示718的配置指示。
因此,在一些实施例中,可以由通信装置104根据从核心网络102或无线电接入网络接收(或者在一些实施例中不接收)配置指示来执行确定715。这样,无线通信网络能够控制哪些通信装置104(如果有的话)执行确定715以及通信装置104执行确定715的时间。在一些这样的实施例中,无线通信网络控制通信装置104,使得仅在特定时间段内和/或特定地理区域内执行确定715。例如,无线通信网络(例如,包括基础设施设备101a的无线电接入网络或核心网络102)可以确定通信装置104在预定的地理区域内,并且作为响应,可以向通信装置104发送配置指示,以指示应该执行确定715。
类似地,无线通信网络可以确定通信装置104在预定地理区域之外,并且作为响应,可以向通信装置104发送配置指示,以指示应该不再执行确定715。
在一些这样的实施例中,无线通信网络对通信装置104应当执行确定715的确定,基于流氓(例如,非法的或未授权的)基站更有可能在运行的评估。
在一些实施例中,无线通信网络对通信装置104应该执行确定715的确定,可以响应于流氓基站可能在通信装置104附近工作的确定。
在一些实施例中,核心网络102可以执行确定720,该确定720可以与以上关于图5描述的安全状态允许确定520基本相同。基于确定720,核心网络102可以向通信装置104发送指示722,该指示可以与关于图5描述的向目标基础设施设备101b发送的许可指示符522大致相似。
另外或替代地,核心网络102可以如关于图5的示例所描述的那样进行。
如果通信装置104接收到指示722,并且指示722指示在第二小区103b中不允许应用安全状态指示718中指示的安全功能,则通信装置104可以中止切换(如果还没有这样做),并且抑制选择第二小区103b作为其服务小区。在一些实施例中,通信装置104可以向源基础设施设备101a发送切换失败消息,以指示通信装置104没有进行切换。切换失败消息可以包括通信装置104由于安全设置中不允许的改变而没有进行切换的指示。
在图7的示例中,响应于接收到指示通信装置104将发生切换的RRC重新配置消息510,发起确定715。
然而,在一些实施例中,该过程可以从通信装置104接收第一小区103a中一个或多个接入层安全功能的应用将改变的指示开始。例如,这可以响应于接收到在第一小区103a中将禁用一个或多个接入层安全功能的指示。在这样的实施例中,通信装置104可以响应于确定一个或多个接入层安全功能的应用将在当前服务小区(例如,第一小区103a)或任何其他小区中改变,来执行确定715。
因此,已经描述了一种由无线通信网络中的通信装置进行通信的方法,无线通信网络包括核心网络、在小区中提供无线接入接口用于向通信装置发送数据和从通信装置接收数据的基础设施设备,方法包括:控制无线通信网络中的通信装置的通信;确定是否满足与安全功能相关联的一个或多个预定条件,其中,确定是否满足一个或多个预定条件包括确定是否要启用安全功能来与小区中的通信装置通信,并且如果满足一个或多个预定条件,则向核心网络发送安全状态指示,安全状态指示指示是否要启用安全功能来与小区中的通信装置通信。
还描述了一种在无线通信网络中与通信装置通信的方法,无线通信网络包括核心网络、在小区中提供无线接入接口用于向通信装置发送数据和从通信装置接收数据的基础设施设备,方法包括:控制无线通信网络中的通信装置的通信;由基础设施设备确定是否满足与安全功能相关联的一个或多个预定条件,其中,确定是否满足一个或多个预定条件包括确定是否要启用安全功能来与小区中的通信装置通信;并且如果满足一个或多个预定条件,则向核心网络发送安全状态指示,安全状态指示指示是否要启用安全功能来与小区中的通信装置通信。
还描述了一种通过无线通信网络的核心网络控制通信的方法,无线通信网络包括核心网络、在小区中提供无线接入接口用于向通信装置发送数据和从通信装置接收数据的基础设施设备,方法包括:接收安全状态指示,安全状态指示指示是否要启用安全功能来与通信装置通信;以及安全关闭指示,安全关闭指示指示响应于接收到安全关闭状态指示,针对通信装置的通信不启用安全功能,针对与小区中的通信装置的通信,确定是否需要允许根据安全状态指示来启用或禁用安全功能。
应当理解,尽管为了提供具体示例,本公开在某些方面集中于基于LTE和/或5G网络中的实现,但是相同的原理可以应用于其他无线电信系统。因此,即使本文使用的术语通常与LTE和5G标准的术语相同或相似,但是本教导不限于LTE和5G的当前版本,并且可以同等地应用于不基于LTE或5G和/或符合LTE、5G或其他标准的任何其他未来版本的任何适当的设置。
可以注意到,本文讨论的各种示例方法可以依赖于在基站和通信装置都知道的意义上预定/预定义的信息。应当理解,这种预定/预定义信息通常可以通过例如无线电信系统的操作标准中的定义或者在基站和通信装置之间先前交换的信令中建立,例如,在系统信息信令中,或者与无线电资源控制建立信令相关联,或者在存储在SIM应用中的信息中建立。即,在无线电信系统的各种元件之间建立和共享相关预定义信息的具体方式对于本文描述的操作原理并不重要。还可以注意到,本文讨论的各种示例方法依赖于在无线电信系统的各种元件之间交换/通信的信息,并且应当理解,这种通信通常可以根据传统技术进行,例如,根据特定的信令协议和所使用的通信信道类型,除非上下文另有要求。即,在无线电信系统的各种元件之间交换相关信息的具体方式对于本文描述的操作原理并不重要。
应当理解,本文描述的原理不仅适用于特定类型的通信装置,而且可以更普遍地应用于任何类型的通信装置,例如,这些方法不限于机器类型通信装置/IoT装置或其他窄带通信装置,而是可以更普遍地应用于例如与通信网络的无线链路一起操作的任何类型的通信装置。
还应当理解,本文描述的原理不仅适用于基于LTE的无线电信系统,还适用于任何类型的无线电信系统,该系统支持从一个小区切换到另一小区以及可选地使用关于去往通信装置或来自通信装置的通信的安全功能。
在所附的独立和从属权利要求中阐述了本发明的进一步的特定和优选方面。应当理解,从属权利要求的特征可以与独立权利要求的特征以不同于权利要求中明确阐述的组合来组合。
因此,前述讨论仅公开和描述了本发明的示例性实施方式。如本领域技术人员将理解的,本发明可以以其他特定形式实施,而不脱离其精神或基本特征。因此,本发明的公开旨在是说明性的,而不是限制本发明以及其他权利要求的范围。本公开(包括本文教导的任何容易辨别的变体)部分地限定了前述权利要求术语的范围,使得没有发明主题专用于公众。
由以下编号的项限定本公开的各个特征:
项1.一种由无线通信网络中的通信装置进行通信的方法,无线通信网络包括核心网络、在小区中提供无线接入接口用于向通信装置发送数据和从通信装置接收数据的基础设施设备,方法包括:
控制无线通信网络中的通信装置的通信;确定是否满足与安全功能相关联的一个或多个预定条件,其中,确定是否满足一个或多个预定条件包括确定是否要启用安全功能来与小区中的通信装置通信;并且如果满足一个或多个预定条件,则向核心网络发送安全状态指示,安全状态指示指示是否要启用安全功能来与小区中的通信装置通信。
项2.根据项1的方法,其中,小区是目标小区,方法包括:从在源小区中提供无线接入接口的源基础设施设备接收切换指示,切换指示指示通信装置将服务小区从源小区改变到目标小区;并且响应于接收到切换指示来确定是否满足与安全功能相关联的一个或多个预定条件。
项3.根据项2的方法,其中,一个或多个预定条件包括启用安全功能来与源小区中的通信装置通信的条件。
项4.根据项1至3中任一项的方法,其中,确定是否启用安全功能来与小区中的通信装置通信包括确定禁用安全功能来与小区中的通信装置通信,方法包括:从核心网络接收安全功能许可指示符,安全功能许可指示符指示不允许禁用安全功能来与小区中的通信装置通信。
项5.根据项4的方法,方法包括:响应于接收到安全功能许可指示符,终止通信装置和基础设施设备之间的连接。
项6.根据项1至5中任一项的方法,其中,一个或多个预定条件包括当前启用安全功能并且禁用安全功能来与通信装置通信的条件。
项7.根据项1至6中任一项的方法,方法包括:接收由基础设施设备发送的配置指示,配置指示指示通信装置将确定是否满足与安全功能相关联的一个或多个预定条件,其中,响应于接收配置指示,确定是否满足与安全功能相关联的一个或多个预定条件。
项8.一种与无线通信网络中的通信装置通信的方法,无线通信网络包括核心网络、在小区中提供无线接入接口用于向通信装置发送数据和从通信装置接收数据的基础设施设备,方法包括
控制无线通信网络中的通信装置的通信;由基础设施设备确定是否满足与安全功能相关联的一个或多个预定条件,其中,确定是否满足一个或多个预定条件包括确定是否要启用安全功能来与小区中的通信装置通信;并且如果满足一个或多个预定条件,则向核心网络发送安全状态指示,安全状态指示指示是否要启用安全功能来与小区中的通信装置通信。
项9.根据项8的方法,其中,小区是目标小区,方法包括:从在源小区中提供无线接入接口的源基础设施设备接收切换请求,切换请求指示通信装置将服务小区从源小区改变到目标小区,并且其中,响应于接收到切换请求指示确定是否满足与安全功能相关联的一个或多个预定条件。
项10.根据项9的方法,其中,切换请求指示包括是否要启用安全功能来与目标小区中的通信装置进行通信的指示。
项11.根据项10的方法,方法包括:与目标小区中的通信装置建立连接;并且在向核心网络发送安全状态指示之前,根据切换请求指示启用或禁用关于连接的安全功能。
项12.根据项8至11中任一项的方法,方法包括:从核心网络接收安全功能许可指示符,安全功能许可指示符指示不允许禁用安全功能来与小区中的通信装置通信。
项13.根据项12的方法,方法包括:响应于接收到安全功能许可指示符,启用安全功能来与小区中的通信装置通信。
项14.根据项12的方法,方法包括:响应于接收到安全功能许可指示符,终止通信装置和基础设施设备之间的连接。
项15.一种在无线通信网络中使用的通信装置,无线通信网络包括提供无线接入接口的基础设施设备和核心网络,通信装置包括:发射机,发射机被配置为经由无线接入接口发送信号;接收机,接收机被配置为接收信号;以及控制器,控制器被配置为控制发射机和接收机,使得通信装置可操作,以通过确定是否要启用安全功能来与小区中的通信装置通信,来确定是否满足与安全功能相关联的一个或多个预定条件;并且如果满足一个或多个预定条件,则向核心网络发送安全状态指示,该安全状态指示指示是否要启用安全功能来与小区中的通信装置通信。
项16.一种用于在无线通信网络中使用的通信装置的电路,无线通信网络包括提供无线接入接口的基础设施设备和核心网络,电路包括:发射机电路,发射机电路被配置为经由无线接入接口发送信号;接收机电路,接收机电路被配置为接收信号;以及控制器电路,控制器电路被配置为控制发射机电路和接收机电路,使得通信装置可操作,以通过确定是否要启用安全功能来与小区中的通信装置通信,来确定是否满足与安全功能相关联的一个或多个预定条件;并且如果满足一个或多个预定条件,则向核心网络发送安全状态指示,该安全状态指示指示是否要启用安全功能来与小区中的通信装置通信。
项17.一种在包括核心网络的无线通信网络中使用的基础设施设备,基础设施设备提供无线接入接口,基础设施设备包括:发射机,发射机被配置为经由小区中的无线接入接口向通信装置发送信号;接收机,接收机被配置为从通信装置接收信号;以及控制器,控制器被配置为控制发射机和接收机,使得基础设施设备可操作,以通过确定是否要启用安全功能来与小区中的通信装置通信,来确定是否满足与安全功能相关联的一个或多个预定条件;并且如果满足一个或多个预定条件,则向核心网络发送安全状态指示,该安全状态指示指示是否要启用安全功能来与小区中的通信装置通信。
项18.一种用于在包括核心网络的无线通信网络中使用的基础设施设备的电路,基础设施设备提供无线接入接口,电路包括:发射机电路,发射机电路被配置为经由小区中的无线接入接口向通信装置发送信号;接收机电路,接收机电路被配置为从通信装置接收信号;以及控制器电路,控制器电路被配置为控制发射机电路和接收机电路,使得基础设施设备可操作,以通过确定是否要启用安全功能来与小区中的通信装置通信,来确定是否满足与安全功能相关联的一个或多个预定条件;并且如果满足一个或多个预定条件,则向核心网络发送安全状态指示,该安全状态指示指示是否要启用安全功能来与小区中的通信装置通信。
项19.根据项1至18中任一项的方法,其中,一个或多个预定条件包括启用安全功能来与小区中的通信装置通信的条件。
项20.根据项1至18中任一项的方法,其中,一个或多个预定条件包括禁用安全功能来与小区中的通信装置通信的条件。
项21.根据项1至20中任一项的方法,其中,一个或多个预定条件包括通信与信令无线电承载相关联的条件。
项22.一种通过无线通信网络的核心网络控制通信的方法,无线通信网络包括核心网络、在小区中提供无线接入接口用于向通信装置发送数据和从通信装置接收数据的基础设施设备,方法包括:接收安全状态指示,安全状态指示指示是否要启用安全功能来与通信装置通信;并且响应于接收到安全状态指示,针对与小区中的通信装置的通信,确定是否允许根据安全状态指示来启用或禁用安全功能。
项23.根据项22的方法,其中,针对与小区中的通信装置的通信,确定是否允许根据安全状态指示来启用或禁用安全功能,包括:确定与通信装置的通信是否经受由应用程序提供的第二安全功能;并且如果与通信装置的通信经受由应用程序提供的第二安全功能,则确定不需要将安全功能应用于与小区中的通信装置的通信。
项24.根据项22或23的方法,其中,安全状态指示指示不启用安全功能来与通信装置通信,方法包括:确定需要将安全功能应用于与小区中的通信装置的通信;并且响应于确定需要将安全功能应用于与小区中的通信装置通信,执行与通信装置的认证过程。
项25.根据项22或23的方法,其中,接收安全状态指示包括从通信装置接收安全状态指示。
项26.根据项22或23的方法,其中,接收安全状态指示包括从基础设施设备接收安全状态指示。
项27.根据项26的方法,方法包括:接收路径切换消息,指示作为切换的结果,基础设施设备正在请求与通信装置相关联,路径切换消息包括安全状态指示。
项28.根据项22至27中任一项的方法,方法包括在接收安全状态指示之前,向通信装置发送配置指示,配置指示指示通信装置将确定是否满足与安全功能相关联的一个或多个预定条件。
项29.一种在无线通信网络中使用的核心网络设备,无线通信网络包括核心网络设备、在小区中提供无线接入接口用于向通信装置发送数据和从通信装置接收数据的基础设施设备,核心网络设备包括:发射机,发射机被配置为向基础设施设备发送信号;接收机,接收机被配置为从基础设施设备接收信号;以及控制器,控制器被配置为控制发射机和接收机,使得核心网络设备可操作,以:接收安全状态指示,安全状态指示指示是否要启用安全功能来与通信装置通信,并且响应于接收到安全状态指示,针对与小区中的通信装置的通信,确定是否允许根据安全状态指示来启用或禁用安全功能。
项30.一种用于在无线通信网络中使用的核心网络设备的电路,无线通信网络包括核心网络设备、在小区中提供无线接入接口用于向通信装置发送数据和从通信装置接收数据的基础设施设备,核心网络设备包括:发射机电路,发射机电路被配置为向基础设施设备发送信号;接收机电路,接收机电路被配置为从基础设施设备接收信号;以及控制器电路,控制器电路被配置为控制发射机电路和接收机电路,使得核心网络设备可操作,以:接收安全状态指示,安全状态指示指示是否要启用安全功能来与通信装置通信;并且响应于接收到安全状态指示,针对与小区中的通信装置的通信,确定是否允许根据安全状态指示来启用或禁用安全功能。
项31.根据项1至30中任一项的方法,其中,安全功能是接入层安全功能,接入层安全功能为通信装置和基础设施设备之间的通信提供一个或多个保密性和完整性保护。
项32.根据项1至31中任一项的方法,其中,允许对与无线通信网络中的一个或多个通信装置的至少一些通信禁用安全功能。
在所附的独立和从属权利要求中阐述了本发明的进一步的特定和优选方面。应当理解,从属权利要求的特征可以与独立权利要求的特征以不同于权利要求中明确阐述的组合来组合。
参考文献
[1]3GPP TS 38.300v.15.2.0“NR;NR and NG-RAN Overall Description;Stage2(Release 15)”,June 2018
[2]Holm a H.and Toskala A,“LTE for UMTS OFDMA and SC-FDMA based radioaccess”,John Wiley and Sons,2009
[3]3GPP TR 38.913,“Study on Scenarios and Requirements for NextGeneration Access Technologies(Release 14)”
[4]3GPP TS 33.501“Security architecture and procedures for 5G system(Release 15)”,version 15.2.0,September 2018
Claims (32)
1.一种由无线通信网络中的通信装置进行通信的方法,所述无线通信网络包括核心网络、在小区中提供无线接入接口用于向所述通信装置发送数据和从所述通信装置接收数据的基础设施设备,所述方法包括:
控制所述无线通信网络中的所述通信装置的通信,
确定是否满足与安全功能相关联的一个或多个预定条件,其中,确定是否满足所述一个或多个预定条件包括确定是否要启用所述安全功能,来与所述小区中的所述通信装置通信,并且
如果满足所述一个或多个预定条件,则向所述核心网络发送安全状态指示,所述安全状态指示指示是否要启用所述安全功能,来与所述小区中的所述通信装置通信。
2.根据权利要求1所述的方法,其中,所述小区是目标小区,所述方法包括:
从在源小区中提供所述无线接入接口的源基础设施设备接收切换指示,所述切换指示指示所述通信装置将服务小区从所述源小区改变到所述目标小区,并且
响应于接收到所述切换指示,确定是否满足与所述安全功能相关联的所述一个或多个预定条件。
3.根据权利要求2所述的方法,其中,所述一个或多个预定条件包括启用所述安全功能来与所述源小区中的所述通信装置通信的条件。
4.根据权利要求1所述的方法,其中,确定是否启用所述安全功能来与所述小区中的所述通信装置通信包括确定禁用所述安全功能来与所述小区中的所述通信装置通信,所述方法包括:
从所述核心网络接收安全功能许可指示符,所述安全功能许可指示符指示不允许禁用所述安全功能来与所述小区中的所述通信装置通信。
5.根据权利要求4所述的方法,所述方法包括:
响应于接收到所述安全功能许可指示符,终止所述通信装置和所述基础设施设备之间的连接。
6.根据权利要求1所述的方法,其中,所述一个或多个预定条件包括所述安全功能当前被启用并且禁用所述安全功能来与所述通信装置通信的条件。
7.根据权利要求1所述的方法,所述方法包括:
接收由所述基础设施设备发送的配置指示,所述配置指示指示所述通信装置将确定是否满足与所述安全功能相关联的所述一个或多个预定条件,
其中,响应于接收所述配置指示,确定是否满足与所述安全功能相关联的所述一个或多个预定条件。
8.一种在无线通信网络中与通信装置通信的方法,所述无线通信网络包括核心网络、在小区中提供无线接入接口用于向所述通信装置发送数据和从所述通信装置接收数据的基础设施设备,所述方法包括:
控制所述无线通信网络中的所述通信装置的通信,
由所述基础设施设备确定是否满足与安全功能相关联的一个或多个预定条件,其中,确定是否满足所述一个或多个预定条件包括确定是否要启用所述安全功能,来与所述小区中的所述通信装置通信,并且
如果满足所述一个或多个预定条件,则向所述核心网络发送安全状态指示,所述安全状态指示指示是否要启用所述安全功能,来与所述小区中的所述通信装置通信。
9.根据权利要求8所述的方法,其中,所述小区是目标小区,所述方法包括:
从在源小区中提供无线接入接口的源基础设施设备接收切换请求,所述切换请求指示所述通信装置将服务小区从所述源小区改变到所述目标小区,并且
其中,响应于接收到切换请求指示,确定是否满足与所述安全功能相关联的所述一个或多个预定条件。
10.根据权利要求9所述的方法,其中,所述切换请求指示包括是否要启用所述安全功能来与所述目标小区中的所述通信装置通信的指示。
11.根据权利要求10所述的方法,所述方法包括:
与所述目标小区中的所述通信装置建立连接,并且
在向所述核心网络发送所述安全状态指示之前,根据所述切换请求指示启用或禁用关于连接的所述安全功能。
12.根据权利要求8所述的方法,所述方法包括:
从所述核心网络接收安全功能许可指示符,所述安全功能许可指示符指示不允许禁用所述安全功能来与所述小区中的所述通信装置通信。
13.根据权利要求12所述的方法,所述方法包括:
响应于接收到所述安全功能许可指示符,启用所述安全功能来与所述小区中的所述通信装置通信。
14.根据权利要求12所述的方法,所述方法包括:
响应于接收到所述安全功能许可指示符,终止所述通信装置和所述基础设施设备之间的连接。
15.一种在无线通信网络中使用的通信装置,所述无线通信网络包括提供无线接入接口的基础设施设备和核心网络,所述通信装置包括:
发射机,所述发射机被配置为经由所述无线接入接口发送信号,
接收机,所述接收机被配置为接收信号,以及
控制器,所述控制器被配置为控制所述发射机和所述接收机,使得所述通信装置能操作,以:
通过确定是否要启用安全功能来与小区中的所述通信装置通信,来确定是否满足与所述安全功能相关联的一个或多个预定条件,并且
如果满足所述一个或多个预定条件,则向所述核心网络发送安全状态指示,所述安全状态指示指示是否要启用所述安全功能来与所述小区中的所述通信装置通信。
16.一种用于在无线通信网络中使用的通信装置的电路,所述无线通信网络包括提供无线接入接口的基础设施设备和核心网络,所述电路包括:
发射机电路,所述发射机电路被配置为经由所述无线接入接口发送信号,
接收机电路,所述接收机电路被配置为接收信号,以及
控制器电路,所述控制器电路被配置为控制所述发射机电路和所述接收机电路,使得所述通信装置能操作,以:
通过确定是否要启用安全功能来与小区中的所述通信装置通信,来确定是否满足与所述安全功能相关联的一个或多个预定条件,并且
如果满足所述一个或多个预定条件,则向所述核心网络发送安全状态指示,所述安全状态指示指示是否要启用所述安全功能来与所述小区中的所述通信装置通信。
17.一种在无线通信网络中使用的基础设施设备,所述无线通信网络包括核心网络,所述基础设施设备提供无线接入接口,所述基础设施设备包括:
发射机,所述发射机被配置为经由小区中的所述无线接入接口向通信装置发送信号,
接收机,所述接收机被配置为从所述通信装置接收信号,以及
控制器,所述控制器被配置为控制所述发射机和所述接收机,使得所述基础设施设备能操作,以:
通过确定是否要启用安全功能来与所述小区中的所述通信装置通信,来确定是否满足与所述安全功能相关联的一个或多个预定条件,并且
如果满足所述一个或多个预定条件,则向所述核心网络发送安全状态指示,所述安全状态指示指示是否要启用所述安全功能来与所述小区中的所述通信装置通信。
18.一种用于在无线通信网络中使用的基础设施设备的电路,所述无线通信网络包括核心网络,所述基础设施设备提供无线接入接口,所述电路包括:
发射机电路,所述发射机电路被配置为经由小区中的所述无线接入接口向通信装置发送信号,
接收机电路,所述接收机电路被配置为从所述通信装置接收信号,以及
控制器电路,所述控制器电路被配置为控制所述发射机电路和所述接收机电路,使得所述基础设施设备能操作,以:
通过确定是否要启用安全功能来与所述小区中的所述通信装置通信,来确定是否满足与所述安全功能相关联的一个或多个预定条件,并且
如果满足所述一个或多个预定条件,则向所述核心网络发送安全状态指示,所述安全状态指示指示是否要启用所述安全功能来与所述小区中的所述通信装置通信。
19.根据权利要求1所述的方法,其中,所述一个或多个预定条件包括启用所述安全功能来与所述小区中的所述通信装置通信的条件。
20.根据权利要求1所述的方法,其中,所述一个或多个预定条件包括禁用所述安全功能来与所述小区中的所述通信装置通信的条件。
21.根据权利要求1所述的方法,其中,所述一个或多个预定条件包括通信与信令无线电承载相关联的条件。
22.一种通过无线通信网络的核心网络控制通信的方法,所述无线通信网络包括核心网络、在小区中提供无线接入接口用于向通信装置发送数据和从所述通信装置接收数据的基础设施设备,所述方法包括:
接收安全状态指示,所述安全状态指示指示是否要启用安全功能,来与所述通信装置通信,并且
响应于接收到所述安全状态指示,针对与所述小区中的所述通信装置的通信,确定是否允许根据所述安全状态指示来启用或禁用所述安全功能。
23.根据权利要求22所述的方法,其中,针对与所述小区中的所述通信装置的通信,确定是否允许根据所述安全状态指示来启用或禁用所述安全功能,包括:
确定与所述通信装置的通信是否经受由应用程序提供的第二安全功能,并且
如果与所述通信装置的通信经受由所述应用程序提供的所述第二安全功能,则确定不需要将所述安全功能应用于与所述小区中的所述通信装置的通信。
24.根据权利要求22所述的方法,其中,所述安全状态指示指示不启用所述安全功能来与所述通信装置通信,所述方法包括:
确定需要将所述安全功能应用于与所述小区中的所述通信装置的通信,并且
响应于确定需要将所述安全功能应用于与所述小区中的所述通信装置通信,执行与所述通信装置的认证过程。
25.根据权利要求22所述的方法,其中,接收所述安全状态指示包括从所述通信装置接收所述安全状态指示。
26.根据权利要求22所述的方法,其中,接收所述安全状态指示包括从所述基础设施设备接收所述安全状态指示。
27.根据权利要求26所述的方法,所述方法包括:
接收路径切换消息,所述路径切换消息指示作为切换的结果,所述基础设施设备正在请求与所述通信装置相关联,所述路径切换消息包括所述安全状态指示。
28.根据权利要求22所述的方法,所述方法包括:
在接收所述安全状态指示之前,向所述通信装置发送配置指示,所述配置指示指示所述通信装置将确定是否满足与所述安全功能相关联的一个或多个预定条件。
29.一种在无线通信网络中使用的核心网络设备,所述无线通信网络包括核心网络设备、在小区中提供无线接入接口用于向通信装置发送数据和从所述通信装置接收数据的基础设施设备,所述核心网络设备包括:
发射机,所述发射机被配置为向所述基础设施设备发送信号,
接收机,所述接收机被配置为从所述基础设施设备接收信号,以及
控制器,所述控制器被配置为控制所述发射机和所述接收机,使得所述核心网络设备能操作,以:
接收安全状态指示,所述安全状态指示指示是否要启用安全功能来与所述通信装置通信,并且
响应于接收到所述安全状态指示,针对与所述小区中的所述通信装置的通信,确定是否允许根据所述安全状态指示来启用或禁用所述安全功能。
30.一种用于在无线通信网络中使用的核心网络设备的电路,所述无线通信网络包括核心网络设备、在小区中提供无线接入接口用于向通信装置发送数据和从所述通信装置接收数据的基础设施设备,所述核心网络设备包括:
发射机电路,所述发射机电路被配置为向所述基础设施设备发送信号,
接收机电路,所述接收机电路被配置为从所述基础设施设备接收信号,以及
控制器电路,所述控制器电路被配置为控制所述发射机电路和所述接收机电路,使得所述核心网络设备能操作,以:
接收安全状态指示,所述安全状态指示指示是否要启用安全功能来与所述通信装置通信,并且
响应于接收到所述安全状态指示,针对与所述小区中的所述通信装置的通信,确定是否允许根据所述安全状态指示来启用或禁用所述安全功能。
31.根据权利要求1所述的方法,其中,所述安全功能是接入层安全功能,所述接入层安全功能为所述通信装置和所述基础设施设备之间的通信提供一个或多个保密性和完整性保护。
32.根据权利要求1所述的方法,其中,允许对与所述无线通信网络中的一个或多个所述通信装置的至少一些通信禁用安全功能。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18211788.7 | 2018-12-11 | ||
| EP18211788 | 2018-12-11 | ||
| PCT/EP2019/082941 WO2020120156A1 (en) | 2018-12-11 | 2019-11-28 | Communications device, infrastructure equipment, core network equipment and methods |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113557699A true CN113557699A (zh) | 2021-10-26 |
| CN113557699B CN113557699B (zh) | 2024-04-12 |
Family
ID=64900747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980080789.7A Active CN113557699B (zh) | 2018-12-11 | 2019-11-28 | 通信装置、基础设施设备、核心网络设备和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220030474A1 (zh) |
| EP (1) | EP3895400A1 (zh) |
| CN (1) | CN113557699B (zh) |
| WO (1) | WO2020120156A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023245455A1 (zh) * | 2022-06-21 | 2023-12-28 | 北京小米移动软件有限公司 | 信息传输方法、装置、通信设备及存储介质 |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070042769A1 (en) * | 2005-08-17 | 2007-02-22 | Freescale Semiconductor, Inc. | Communications security management |
| CN101001410A (zh) * | 2006-12-13 | 2007-07-18 | 中国移动通信集团公司 | 移动通信网络安全增值业务提供方法 |
| CN102318313A (zh) * | 2009-02-16 | 2012-01-11 | 瑞典爱立信有限公司 | 不加密的网络操作解决方案 |
| US20120315878A1 (en) * | 2010-12-01 | 2012-12-13 | Zte Corporation | Method and system for realizing integrity protection |
| CN103314548A (zh) * | 2010-12-10 | 2013-09-18 | 瑞典爱立信有限公司 | 启用和禁用对数据无线电承载的完整性保护 |
| CN103503411A (zh) * | 2011-05-05 | 2014-01-08 | 瑞典爱立信有限公司 | 针对移动用户的安全机制 |
| US20140155065A1 (en) * | 2012-03-02 | 2014-06-05 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and apparatus for detecting possible repeated handover different radio access technologies |
| WO2014175811A1 (en) * | 2013-04-24 | 2014-10-30 | Telefonaktiebolaget L M Ericsson (Publ) | Transferring information for selection of radio access technology |
| WO2015019043A1 (en) * | 2013-08-06 | 2015-02-12 | Sony Corporation | Infrastructure equipment, wireless communications network and method |
| US20160150366A1 (en) * | 2014-11-25 | 2016-05-26 | Motorola Solutions, Inc | Method and apparatus for controlling network access in a wireless communication system |
| CN106471770A (zh) * | 2014-08-01 | 2017-03-01 | 德国电信股份公司 | 用于向多个电信装置提供移动通信网络的通信服务的方法、移动通信网络、电信装置、系统、程序和计算机程序产品 |
| US20170187691A1 (en) * | 2015-12-23 | 2017-06-29 | Qualcomm Incorporated | Stateless access stratum security for cellular internet of things |
| US20180083972A1 (en) * | 2016-09-20 | 2018-03-22 | Lg Electronics Inc. | Method and apparatus for security configuration in wireless communication system |
| CN108307392A (zh) * | 2016-08-12 | 2018-07-20 | 苹果公司 | 安全连接释放和网络重定向 |
| WO2018167307A1 (en) * | 2017-03-17 | 2018-09-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Security solution for switching on and off security for up data between ue and ran in 5g |
| WO2018201506A1 (zh) * | 2017-05-05 | 2018-11-08 | 华为技术有限公司 | 一种通信方法及相关装置 |
| CN108781388A (zh) * | 2016-03-16 | 2018-11-09 | 索尼公司 | 无线电信系统、终端装置、基础设施设备、集成电路和方法 |
| CN108886734A (zh) * | 2016-03-21 | 2018-11-23 | 华为技术有限公司 | 一种小区的切换方法及设备、系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9107131B2 (en) * | 2009-08-18 | 2015-08-11 | Tti Inventions D Llc | Pre registration/pre authentication in wireless networks |
| US9467910B2 (en) * | 2014-07-11 | 2016-10-11 | Luminate Wireless, Inc. | Handover methods and apparatus |
-
2019
- 2019-11-28 CN CN201980080789.7A patent/CN113557699B/zh active Active
- 2019-11-28 EP EP19835245.2A patent/EP3895400A1/en active Pending
- 2019-11-28 WO PCT/EP2019/082941 patent/WO2020120156A1/en unknown
- 2019-11-28 US US17/311,375 patent/US20220030474A1/en active Pending
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070042769A1 (en) * | 2005-08-17 | 2007-02-22 | Freescale Semiconductor, Inc. | Communications security management |
| CN101001410A (zh) * | 2006-12-13 | 2007-07-18 | 中国移动通信集团公司 | 移动通信网络安全增值业务提供方法 |
| CN102318313A (zh) * | 2009-02-16 | 2012-01-11 | 瑞典爱立信有限公司 | 不加密的网络操作解决方案 |
| US20120315878A1 (en) * | 2010-12-01 | 2012-12-13 | Zte Corporation | Method and system for realizing integrity protection |
| CN103314548A (zh) * | 2010-12-10 | 2013-09-18 | 瑞典爱立信有限公司 | 启用和禁用对数据无线电承载的完整性保护 |
| CN103503411A (zh) * | 2011-05-05 | 2014-01-08 | 瑞典爱立信有限公司 | 针对移动用户的安全机制 |
| US20140155065A1 (en) * | 2012-03-02 | 2014-06-05 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and apparatus for detecting possible repeated handover different radio access technologies |
| WO2014175811A1 (en) * | 2013-04-24 | 2014-10-30 | Telefonaktiebolaget L M Ericsson (Publ) | Transferring information for selection of radio access technology |
| WO2015019043A1 (en) * | 2013-08-06 | 2015-02-12 | Sony Corporation | Infrastructure equipment, wireless communications network and method |
| CN106471770A (zh) * | 2014-08-01 | 2017-03-01 | 德国电信股份公司 | 用于向多个电信装置提供移动通信网络的通信服务的方法、移动通信网络、电信装置、系统、程序和计算机程序产品 |
| US20160150366A1 (en) * | 2014-11-25 | 2016-05-26 | Motorola Solutions, Inc | Method and apparatus for controlling network access in a wireless communication system |
| US20170187691A1 (en) * | 2015-12-23 | 2017-06-29 | Qualcomm Incorporated | Stateless access stratum security for cellular internet of things |
| CN108781388A (zh) * | 2016-03-16 | 2018-11-09 | 索尼公司 | 无线电信系统、终端装置、基础设施设备、集成电路和方法 |
| CN108886734A (zh) * | 2016-03-21 | 2018-11-23 | 华为技术有限公司 | 一种小区的切换方法及设备、系统 |
| CN108307392A (zh) * | 2016-08-12 | 2018-07-20 | 苹果公司 | 安全连接释放和网络重定向 |
| US20180083972A1 (en) * | 2016-09-20 | 2018-03-22 | Lg Electronics Inc. | Method and apparatus for security configuration in wireless communication system |
| WO2018167307A1 (en) * | 2017-03-17 | 2018-09-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Security solution for switching on and off security for up data between ue and ran in 5g |
| WO2018201506A1 (zh) * | 2017-05-05 | 2018-11-08 | 华为技术有限公司 | 一种通信方法及相关装置 |
Non-Patent Citations (1)
| Title |
|---|
| 郭莉;王宏岳;: "TD-SCDMA空中接口用户数据的加密功能研究", 现代电子技术, no. 11, 1 June 2007 (2007-06-01) * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023245455A1 (zh) * | 2022-06-21 | 2023-12-28 | 北京小米移动软件有限公司 | 信息传输方法、装置、通信设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020120156A1 (en) | 2020-06-18 |
| US20220030474A1 (en) | 2022-01-27 |
| EP3895400A1 (en) | 2021-10-20 |
| CN113557699B (zh) | 2024-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10582522B2 (en) | Data transmission and reception method and device of terminal in wireless communication system | |
| CN113891292A (zh) | 无线通信系统中建立用于ue间中继通信的侧链路无线电承载的方法和设备 | |
| KR20230160406A (ko) | Nas 메시지의 보안 보호를 위한 시스템 및 방법 | |
| KR102178000B1 (ko) | 통신 네트워크에서 사용하기 위한 네트워크 노드, 통신 디바이스 및 이를 동작시키는 방법들 | |
| CN111149379B (zh) | 无线通信系统中的接入层安全性 | |
| US11974121B2 (en) | Methods and apparatus for supporting integrity protection in handovers | |
| US20210029538A1 (en) | Security Verification when Resuming an RRC Connection | |
| US20220264407A1 (en) | Communications device, infrastructure equipment, core network element and methods | |
| EP3804404A1 (en) | Integrated access and backhaul mobility | |
| US11882445B2 (en) | Authentication system | |
| KR20220044341A (ko) | 보안 보호 모드 결정 방법 및 장치 | |
| JP5883544B2 (ja) | 電気通信ネットワークにおいて合法的傍受を可能にする方法、電気通信ネットワークにおいて合法的傍受を可能にするユーザ機器、電気通信ネットワークにおいて合法的傍受を可能にする基地送受信局、及びプログラム | |
| CN113557699B (zh) | 通信装置、基础设施设备、核心网络设备和方法 | |
| US11882105B2 (en) | Authentication system when authentication is not functioning | |
| US11903065B2 (en) | Telecommunications apparatus and methods | |
| WO2023009691A2 (en) | Managing ue measurements in an idle or inactive state | |
| WO2023133335A1 (en) | Managing system information communication in small data transmission | |
| WO2022055402A1 (en) | Source and target network nodes and methods therein for preventing agents from illegitimately identifying the source network node when resuming a wireless terminal in a target network node in a wireless communications network | |
| WO2023133334A2 (en) | Managing access control in small data transmission |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |