CN113632517A - 用于无线通信中的安全接入控制的方法和装置 - Google Patents

用于无线通信中的安全接入控制的方法和装置 Download PDF

Info

Publication number
CN113632517A
CN113632517A CN202080024632.5A CN202080024632A CN113632517A CN 113632517 A CN113632517 A CN 113632517A CN 202080024632 A CN202080024632 A CN 202080024632A CN 113632517 A CN113632517 A CN 113632517A
Authority
CN
China
Prior art keywords
wtru
cag
ids
hash
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080024632.5A
Other languages
English (en)
Inventor
S·费尔迪
A·布鲁斯洛夫斯基
王冠宙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
InterDigital Patent Holdings Inc
Original Assignee
IDAC Holdings Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IDAC Holdings Inc filed Critical IDAC Holdings Inc
Publication of CN113632517A publication Critical patent/CN113632517A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

公开了用于无线通信中的安全接入控制的方法和装置。在一个示例中,一种方法包括:接收包括系统信息的广播消息,基于系统信息,识别第一集合散列标识符(ID)和第一随机数,并且所述第一集合散列ID中的每个ID使用至少第一随机数来单独散列。该方法还包括:使用至少所述第一随机数来计算第二集合ID的每个ID的第一散列值,确定所述第二集合ID的至少一散列ID是否与所述第一集合散列ID的散列ID匹配,以及基于确定所述第二集合ID的至少一散列ID与所述第一集合散列ID的散列ID匹配来发送请求消息。

Description

用于无线通信中的安全接入控制的方法和装置
相关申请的交叉引用
本申请要求在2019年3月29日向美国专利商标局提交的美国临时申请No.62/826,926、2019年4月26日向美国专利商标局提交的美国临时申请No.62/839,553和2019年6月14日向美国专利商标局提交的美国临时申请No.62/861,773的优先权和益处,其各自的全部内容通过引用并入本文,如同以下以其整体和所有适用目的完全阐述一样。
发明内容
本文公开的实施例主要涉及用于无线通信中的安全接入控制的方法和装置,例如,用于作为5G新无线电(NR)系统的一部分的下一代无线电接入网(NG-RAN)的安全接入控制。
附图说明
从以下结合附图以示例方式给出的详细描述中可以获得更详细的理解。类似于详细描述,这些附图中的附图中是示例。因此,附图和详细描述不应被认为是限制性的,并且其它等效的示例是可行的并且是可能的。此外,图中的相同参考标号指示相同元素,且其中:
图1A是可以实施所公开的一个或多个实施例的示例性通信系统的系统图示;
图1B是根据实施例的可以在图1A所示的通信系统内部使用的示例性无线发射/接收单元(WTRU)的系统图示;
图1C是根据实施例的可以在图1A所示的通信系统内部使用的示例性无线电接入网络(RAN)和示例性核心网络(CN)的系统图示;
图1D是根据实施例的可以在图1A所示的通信系统内部使用的另一个示例性RAN和另一个示例性CN的系统图示;
图2是根据一个或多个实施例的具有封闭接入组(CAG)接入控制的注册过程的示例的信号流程图;
图3是根据一个或多个实施方式的在具有不同CAG标识符(ID)的CAG小区之间移动的WTRU的示例的图示;
图4是根据一个或多个实施例的具有基于无线电资源控制(RRC)的CAG接入控制的注册过程的示例的信号流程图;
图5是根据一个或多个实施例的具有基于非接入层(NAS)的CAG接入控制的注册过程的示例的信号流程图;
图6是根据一个或多个实施例的在接入层(AS)连接建立期间使用散列的(hashed)临时S-NSSAI(T-S-NSSAI)的过程的示例的信号流程图;
图7是示出了根据一个或多个实施例的第一CAG ID保护机制的示例的信号流图;
图8是示出了根据一个或多个实施例的第二CAG ID保护机制的示例的信号流图;以及
图9是根据一个或多个实施例的CAG小区之间的切换过程的示例的信号流程图。
具体实施方式
在以下详细描述中,阐述了许多具体细节以提供对本文所公开的实施例和/或示例的透彻理解。然而,将理解,可以在没有本文阐述的一些或全部具体细节的情况下实践这样的实施例和示例。在其它情况下,没有详细描述公知的方法、过程、组件和电路,以免混淆下面的描述。此外,本文中没有具体描述的实施例和示例可以代替本文中描述、公开或以其他方式明确地、隐含地和/或固有地(统称为“提供”)提供的实施例和其他示例或与其组合地实施。尽管本文描述和/或要求保护了其中装置、系统、设备等和/或其任何元件执行操作、过程、算法、功能等和/或其任何部分的各种实施例,但是应当理解,本文描述和/或要求保护的任何实施例假定任何装置、系统、设备等和/或其任何元件被配置成执行任何操作、过程、算法、功能等和/或其任何部分。
代表性通信网络
本文提供的方法、装置和系统非常适合于涉及有线和无线网络两者的通信。有线网络是公知的。关于图1A-1D提供了各种类型的无线设备和基础设施的概述,其中网络的各种元件可以利用、执行、根据这里提供的方法、装置和系统来布置和/或被适配和/或配置用于这里提供的方法、装置和系统。
图1A是示出了可以实施所公开的一个或多个实施例的示例性通信系统100的图示。该通信系统100可以是为多个无线用户提供诸如语音、数据、视频、消息传递、广播等内容的多址接入系统。该通信系统100可以通过共享包括无线带宽在内的系统资源而使多个无线用户能够访问此类内容。举例来说,通信系统100可以使用一种或多种信道接入方法,例如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)、零尾唯一字DFT-扩展OFDM(ZTUWDTS-s OFDM)、唯一字OFDM(UW-OFDM)、资源块过滤OFDM以及滤波器组多载波(FBMC)等等。
如图1A所示,通信系统100可以包括无线发射/接收单元(WTRU)102a、102b、102c、102d、RAN 104/113、CN 106/115、公共交换电话网络(PSTN)108、因特网110以及其他网络112,然而应该了解,所公开的实施例设想了任意数量的WTRU、基站、网络和/或网络部件。WTRU 102a、102b、102c、102d每一者可以是被配置成在无线环境中工作和/或通信的任何类型的设备。举例来说,WTRU 102a、102b、102c、102d任何一者都可以被称为“站”和/或“STA”,其可以被配置成发射和/或接收无线信号,并且可以包括用户设备(UE)、移动站、固定或移动订户单元、基于签约的单元、寻呼机、蜂窝电话、个人数字助理(PDA)、智能电话、膝上型计算机、上网本、个人计算机、无线传感器、热点或Mi-Fi设备、物联网(IoT)设备、手表或其他可穿戴设备、头戴显示器(HMD)、车辆、无人机、医疗设备和应用(例如,远程手术)、工业设备和应用(例如,机器人和/或在工业和/或自动处理链环境中工作的其他无线设备)、消费类电子设备、以及在商业和/或工业无线网络上工作的设备等等。WTRU 102a、102b、102c、102d中的任何一者可被可交换地称为WTRU。
所述通信系统100还可以包括基站114a和/或基站114b。基站114a、114b的每一者可以是被配置成通过以无线方式与WTRU 102a、102b、102c、102d中的至少一者无线对接来促使其接入一个或多个通信网络(例如,CN106/115、因特网110、和/或其他网络112)的任何类型的设备。例如,基站114a、114b可以是基地收发信台(BTS)、节点B、e节点B、家庭节点B、家庭e节点B、gNB、新无线电(NR)节点B、站点控制器、接入点(AP)、以及无线路由器等等。虽然基站114a、114b的每一者都被描述成了单个部件,然而应该了解,基站114a、114b可以包括任何数量的互连基站和/或网络部件。
基站114a可以是RAN 104/113的一部分,并且该RAN还可以包括其他基站和/或网络部件(未显示),例如基站控制器(BSC)、无线电网络控制器(RNC)、中继节点等等。基站114a和/或基站114b可被配置成在名为小区(未显示)的一个或多个载波频率上发射和/或接收无线信号。这些频率可以处于授权频谱、无授权频谱或是授权与无授权频谱的组合之中。小区可以为相对固定或者有可能随时间变化的特定地理区域提供无线服务覆盖。小区可被进一步分成小区扇区。例如,与基站114a相关联的小区可被分为三个扇区。由此,在一个实施例中,基站114a可以包括三个收发信机,也就是说,每一个收发信机都对应于小区的一个扇区。在实施例中,基站114a可以使用多输入多输出(MIMO)技术,并且可以为小区的每一个扇区使用多个收发信机。例如,通过使用波束成形,可以在期望的空间方向上发射和/或接收信号。
基站114a、114b可以通过空中接口116来与WTRU 102a、102b、102c、102d中的一者或多者进行通信,其中所述空中接口可以是任何适当的无线通信链路(例如,射频(RF)、微波、厘米波、毫米波、红外线(IR)、紫外线(UV)、可见光等等)。空中接口116可以使用任何适当的无线电接入技术(RAT)来建立。
更具体地说,如上所述,通信系统100可以是多址接入系统,并且可以使用一种或多种信道接入方案,例如CDMA、TDMA、FDMA、OFDMA以及SC-FDMA等等。例如,RAN 104/113中的基站114a与WTRU 102a、102b、102c可以实施某种无线电技术,例如通用移动电信系统(UMTS)陆地无线电接入(UTRA),其中所述技术可以使用宽带CDMA(WCDMA)来建立空中接口116。WCDMA可以包括如高速分组接入(HSPA)和/或演进型HSPA(HSPA+)之类的通信协议。HSPA可以包括高速下行链路(DL)分组接入(HSDPA)和/或高速UL分组接入(HSUPA)。
在实施例中,基站114a和WTRU 102a、102b、102c可以实施某种无线电技术,例如演进型UMTS陆地无线电接入(E-UTRA),其中所述技术可以使用长期演进(LTE)和/或先进LTE(LTE-A)和/或先进LTE Pro(LTE-A Pro)来建立空中接口116。
在实施例中,基站114a和WTRU 102a、102b、102c可以实施某种可以使用新无线电(NR)建立空中接口116的无线电技术,例如NR无线电接入。
在实施例中,基站114a和WTRU 102a、102b、102c可以实施多种无线电接入技术。例如,基站114a和WTRU 102a、102b、102c可以共同实施LTE无线电接入和NR无线电接入(例如,使用双连接(DC)原理)。由此,WTRU 102a、102b、102c使用的空中接口可以通过多种类型的无线电接入技术和/或向/从多种类型的基站(例如,eNB和gNB)发送的传输来表征。
在其他实施例中,基站114a和WTRU 102a、102b、102c可以实施以下的无线电技术,例如IEEE 802.11(例如,无线高保真(WiFi))、IEEE 802.16(例如,全球微波接入互操作性(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000 EV-DO、临时标准2000(IS-2000)、临时标准95(IS-95)、临时标准856(IS-856)、全球移动通信系统(GSM)、用于GSM演进的增强数据速率(EDGE)、以及GSM EDGE(GERAN)等等。
图1A中的基站114b可以例如是无线路由器、家庭节点B、家庭e节点B或接入点,并且可以使用任何适当的RAT来促成局部区域中的无线连接,例如营业场所、住宅、车辆、校园、工业设施、空中走廊(例如,供无人机使用)以及道路等等。在一个实施例中,基站114b与WTRU 102c、102d可以通过实施IEEE 802.11之类的无线电技术来建立无线局域网(WLAN)。在实施例中,基站114b与WTRU 102c、102d可以通过实施IEEE 802.15之类的无线电技术来建立无线个人局域网(WPAN)。在再一个实施例中,基站114b和WTRU 102c、102d可通过使用基于蜂窝的RAT(例如,WCDMA、CDMA2000、GSM、LTE、LTE-A、LTE-A Pro、NR等等)来建立微微小区或毫微微小区。如图1A所示,基站114b可以直连到因特网110。由此,基站114b不需要经由CN 106/115来接入因特网110。
RAN 104/113可以与CN 106/115进行通信,所述CN可以是被配置成向WTRU 102a、102b、102c、102d的一者或多者提供语音、数据、应用和/或借助网际协议语音(VoIP)服务的任何类型的网络。该数据可以具有不同的服务质量(QoS)需求,例如不同的吞吐量需求、延时需求、容错需求、可靠性需求、数据吞吐量需求、以及移动性需求等等。CN 106/115可以提供呼叫控制、记账服务、基于移动位置的服务、预付费呼叫、因特网连接、视频分发等等,和/或可以执行用户认证之类的高级安全功能。虽然在图1A中没有显示,然而应该了解,RAN104/113和/或CN 106/115可以直接或间接地和其他那些与RAN 104/113使用相同RAT或不同RAT的RAN进行通信。例如,除了与使用NR无线电技术的RAN 104/113相连之外,CN 106/115还可以与使用GSM、UMTS、CDMA 2000、WiMAX、E-UTRA或WiFi无线电技术的别的RAN(未显示)通信。
CN 106/115还可以充当供WTRU 102a、102b、102c、102d接入PSTN 108、因特网110和/或其他网络112的网关。PSTN 108可以包括提供简易老式电话服务(POTS)的电路交换电话网络。因特网110可以包括使用了公共通信协议(例如,传输控制协议/网际协议(TCP/IP)网际协议族中的TCP、用户数据报协议(UDP)和/或IP)的全球性互联计算机网络设备系统。所述网络112可以包括由其他服务供应商拥有和/或运营的有线或无线通信网络。例如,所述网络112可以包括与一个或多个RAN相连的另一个CN,其中所述一个或多个RAN可以与RAN104/113使用相同RAT或不同RAT。
通信系统100中的一些或所有WTRU 102a、102b、102c、102d可以包括多模能力(例如,WTRU 102a、102b、102c、102d可以包括在不同无线链路上与不同无线网络通信的多个收发信机)。例如,图1A所示的WTRU 102c可被配置成与使用基于蜂窝的无线电技术的基站114a通信,以及与可以使用IEEE 802无线电技术的基站114b通信。
图1B是示出了示例性WTRU 102的系统图示。如图1B所示,WTRU 102可以包括处理器118、收发信机120、发射/接收部件122、扬声器/麦克风124、数字键盘126、显示器/触摸板128、不可移除存储器130、可移除存储器132、电源134、全球定位系统(GPS)芯片组136和/或周边设备138。应该了解的是,在保持符合实施例的同时,WTRU 102还可以包括前述部件的任何子组合。
处理器118可以是通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、其他任何类型集成电路(IC)以及状态机等等。处理器118可以执行信号编码、数据处理、功率控制、输入/输出处理、和/或其他任何能使WTRU102在无线环境中工作的功能。处理器118可以耦合至收发信机120,收发信机120可以耦合至发射/接收部件122。虽然图1B将处理器118和收发信机120描述成单独组件,然而应该了解,处理器118和收发信机120也可以一起集成在一电子组件或芯片中。
发射/接收部件122可被配置成经由空中接口116来发射或接收去往或来自基站(例如,基站114a)的信号。举个例子,在一个实施例中,发射/接收部件122可以是被配置成发射和/或接收RF信号的天线。作为示例,在另一实施例中,发射/接收部件122可以是被配置成发射和/或接收IR、UV或可见光信号的放射器/检测器。在再一个实施例中,发射/接收部件122可被配置成发射和/或接收RF和光信号。应该了解的是,发射/接收部件122可以被配置成发射和/或接收无线信号的任何组合。
虽然在图1B中将发射/接收部件122描述成是单个部件,但是WTRU 102可以包括任何数量的发射/接收部件122。更具体地说,WTRU 102可以使用MIMO技术。由此,在一个实施例中,WTRU 102可以包括两个或多个通过空中接口116来发射和接收无线信号的发射/接收部件122(例如,多个天线)。
收发信机120可被配置成对发射/接收部件122所要传送的信号进行调制,以及对发射/接收部件122接收的信号进行解调。如上所述,WTRU 102可以具有多模能力。因此,收发信机120可以包括允许WTRU 102借助多种RAT(例如,NR和IEEE 802.11)来进行通信的多个收发信机。
WTRU 102的处理器118可以耦合到扬声器/麦克风124、数字键盘126和/或显示器/触摸板128(例如,液晶显示器(LCD)显示单元或有机发光二极管(OLED)显示单元),并且可以接收来自这些部件的用户输入数据。处理器118还可以向扬声器/麦克风124、键盘126和/或显示器/触摸板128输出用户数据。此外,处理器118可以从诸如不可移除存储器130和/或可移除存储器132之类的任何适当的存储器中存取信息,以及将信息存入这些存储器。不可移除存储器130可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘或是其他任何类型的记忆存储设备。可移除存储器132可以包括订户身份模块(SIM)卡、记忆棒、安全数字(SD)记忆卡等等。在其他实施例中,处理器118可以从那些并非实际位于WTRU 102的存储器存取信息,以及将数据存入这些存储器,作为示例,此类存储器可以位于服务器或家庭计算机(未显示)。
处理器118可以接收来自电源134的电力,并且可被配置分发和/或控制用于WTRU102中的其他组件的电力。电源134可以是为WTRU 102供电的任何适当设备。例如,电源134可以包括一个或多个干电池组(如镍镉(Ni-Cd)、镍锌(Ni-Zn)、镍氢(NiMH)、锂离子(Li-ion)等等)、太阳能电池以及燃料电池等等。
处理器118还可以耦合到GPS芯片组136,该GPS芯片组可被配置成提供与WTRU 102的当前位置相关的位置信息(例如,经度和纬度)。作为来自GPS芯片组136的信息的补充或替换,WTRU 102可以经由空中接口116接收来自基站(例如,基站114a、114b)的位置信息,和/或根据从两个或多个附近基站接收的信号定时来确定其位置。应该了解的是,在保持符合实施例的同时,WTRU 102可以借助任何适当的定位方法来获取位置信息。
处理器118还可以耦合到其他周边设备138,其中所述周边设备可以包括提供附加特征、功能和/或有线或无线连接的一个或多个软件和/或硬件模块。例如,所述周边设备138可以包括加速度计、电子指南针、卫星收发信机、数码相机(用于照片和/或视频)、通用串行总线(USB)端口、振动设备、电视收发信机、免提耳机、蓝牙
Figure BDA0003279825750000101
模块、调频(FM)无线电单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器、虚拟现实和/或增强现实(VR/AR)设备、以及活动跟踪器等等。所述周边设备138可以包括一个或多个传感器,所述传感器可以是以下的一者或多者:陀螺仪、加速度计、霍尔效应传感器、磁强计、方位传感器、邻近传感器、温度传感器、时间传感器、地理位置传感器、高度计、光传感器、触摸传感器、磁力计、气压计、手势传感器、生物测定传感器和/或湿度传感器等。
WTRU 102可以包括全双工无线电设备,其中对于该无线电设备来说,一些或所有信号(例如,与用于UL(例如,对传输而言)和下行链路(例如,对接收而言)的特定子帧相关联)的接收或传输可以是并发和/或同时的。全双工无线电设备可以包括借助于硬件(例如,扼流线圈)或是凭借处理器(例如,单独的处理器(未显示)或是凭借处理器118)的信号处理来减小和/或基本消除自干扰的干扰管理单元139。在实施例中,WTRU 102可以包括传送和接收一些或所有信号(例如,与用于UL(例如,对传输而言)或下行链路(例如,对接收而言)的特定子帧相关联)的半双工无线电设备。
图1C是示出了根据实施例的RAN 104和CN 106的系统图示。如上所述,RAN 104可以通过空中接口116使用E-UTRA无线电技术来与WTRU 102a、102b、102c进行通信。所述RAN104还可以与CN 106进行通信。
RAN 104可以包括e节点B 160a、160b、160c,然而应该了解,在保持符合实施例的同时,RAN 104可以包括任何数量的e节点B。e节点B 160a、160b、160c每一者都可以包括通过空中接口116与WTRU 102a、102b、102c通信的一个或多个收发信机。在一个实施例中,e节点B 160a、160b、160c可以实施MIMO技术。由此,举例来说,e节点B 160a可以使用多个天线来向WTRU 102a发射无线信号,和/或接收来自WTRU 102a的无线信号。
e节点B 160a、160b、160c每一者都可以关联于一个特定小区(未显示),并且可被配置成处理无线电资源管理决策、切换决策、UL和/或DL中的用户调度等等。如图1C所示,e节点B 160a、160b、160c彼此可以通过X2接口进行通信。
图1C所示的CN 106可以包括移动性管理实体(MME)162、服务网关(SGW)164以及分组数据网络(PDN)网关(或PGW)166。虽然每一前述部件都被描述成是CN 106的一部分,然而应该了解,这其中的任一部件都可以由CN运营商之外的实体拥有和/或运营。
MME 162可以经由S1接口连接到RAN 104中的e节点B 160a、160b、160c的每一者,并且可以充当控制节点。例如,MME 162可以负责认证WTRU 102a、102b、102c的用户,执行承载激活/去激活处理,以及在WTRU 102a、102b、102c的初始附着过程中选择特定的服务网关等等。MME 162可以提供用于在RAN 104与使用其他无线电技术(例如,GSM和/或WCDMA)的其他RAN(未显示)之间进行切换的控制平面功能。
SGW 164可以经由S1接口连接到RAN 104中的e节点B 160a、160b、160c的每一者。SGW 164通常可以路由和转发去往/来自WTRU 102a、102b、102c的用户数据分组。并且,SGW164还可以执行其他功能,例如在eNB间的切换过程中锚定用户平面,在DL数据可供WTRU102a、102b、102c使用时触发寻呼处理,以及管理并存储WTRU 102a、102b、102c的上下文等等。
SGW 164可以连接到PGW 146,所述PGW可以为WTRU 102a、102b、102c提供分组交换网络(例如,因特网110)接入,以便促成WTRU 102a、102b、102c与启用IP的设备之间的通信。
CN 106可以促成与其他网络的通信。例如,CN 106可以为WTRU 102a、102b、102c提供对电路交换网络(例如,PSTN 108)的接入,以便促成WTRU 102a、102b、102c与传统的陆线通信设备之间的通信。例如,CN 106可以包括IP网关(例如,IP多媒体子系统(IMS)服务器)或与之进行通信,并且该IP网关可以充当CN 106与PSTN 108之间的接口。此外,CN 106可以为WTRU 102a、102b、102c提供针对所述其他网络112的接入,其中该网络可以包括其他服务供应商拥有和/或运营的其他有线和/或无线网络。
虽然在图1A-1D中将WTRU描述成了无线终端,然而应该想到的是,在某些代表性实施例中,此类终端与通信网络可以使用(例如,临时或永久性)有线通信接口。
在代表性实施例中,所述其他网络112可以是WLAN。
采用基础架构基本服务集(BSS)模式的WLAN可以具有用于所述BSS的接入点(AP)以及与所述AP相关联的一个或多个站(STA)。所述AP可以访问或是对接到分布式系统(DS)或是将业务量送入和/或送出BSS的别的类型的有线/无线网络。源于BSS外部且去往STA的业务量可以通过AP到达并被递送至STA。源自STA且去往BSS外部的目的地的业务量可被发送至AP,以便递送到相应的目的地。处于BSS内部的STA之间的业务量可以通过AP来发送,例如在源STA可以向AP发送业务量并且AP可以将业务量递送至目的地STA的情况下。处于BSS内部的STA之间的业务量可被认为和/或称为点到点业务量。所述点到点业务量可以在源与目的地STA之间(例如,在其间直接)用直接链路建立(DLS)来发送。在某些代表性实施例中,DLS可以使用802.11e DLS或802.11z通道化DLS(TDLS))。举例来说,使用独立BSS(IBSS)模式的WLAN不具有AP,并且处于所述IBSS内部或是使用所述IBSS的STA(例如,所有STA)彼此可以直接通信。在这里,IBSS通信模式有时可被称为“自组织(Ad-hoc)”通信模式。
在使用802.11ac基础设施工作模式或类似的工作模式时,AP可以在固定信道(例如,主信道)上传送信标。所述主信道可以具有固定宽度(例如,20MHz的带宽)或是经由信令动态设置的宽度。主信道可以是BSS的工作信道,并且可被STA用来与AP建立连接。在某些代表性实施例中,所实施的可以是具有冲突避免的载波感测多址接入(CSMA/CA)(例如,在802.11系统中)。对于CSMA/CA来说,包括AP在内的STA(例如,每一个STA)可以感测主信道。如果特定STA感测到/检测到和/或确定主信道繁忙,那么所述特定STA可以回退。在指定的BSS中,在任何指定时间都有一个STA(例如,只有一个站)进行传输。
高吞吐量(HT)STA可以使用宽度为40MHz的信道来进行通信(例如,借助于将宽度为20MHz的主信道与宽度为20MHz的相邻或不相邻信道相结合来形成宽度为40MHz的信道)。
甚高吞吐量(VHT)STA可以支持宽度为20MHz、40MHz、80MHz和/或160MHz的信道。40MHz和/或80MHz信道可以通过组合连续的20MHz信道来形成。160MHz信道可以通过组合8个连续的20MHz信道或者通过组合两个不连续的80MHz信道(这种组合可被称为80+80配置)来形成。对于80+80配置来说,在信道编码之后,数据可被传递并经过一个分段解析器,所述分段解析器可以将数据非成两个流。在每一个流上可以单独执行逆快速傅里叶变换(IFFT)处理以及时域处理。所述流可被映射在两个80MHz信道上,并且数据可以由执行传输的STA来传送。在执行接收的STA的接收机上,用于80+80配置的上述操作可以是相反的,并且组合数据可被发送至介质接入控制层。
802.11af和802.11ah支持1GHz以下的工作模式。相比于802.11n和802.11ac,在802.11af和802.11ah中使用信道工作带宽和载波有所缩减。802.11af在TV白空间(TVWS)频谱中支持5MHz、10MHz和20MHz带宽,并且802.11ah支持使用非TVWS频谱的1MHz、2MHz、4MHz、8MHz和16MHz带宽。依照代表性实施例,802.11ah可以支持仪表类型控制/机器类型通信(MTC)(例如,宏覆盖区域中的MTC设备)。MTC设备可以具有某种能力,例如包含了支持(例如,只支持)某些和/或有限带宽在内的受限能力。MTC设备可以包括电池,并且该电池的电池寿命高于阈值(例如,用于保持很长的电池寿命)。
对于可以支持多个信道和信道带宽的WLAN系统(例如,802.11n、802.11ac、802.11af以及802.11ah)来说,这些系统包含了可被指定成主信道的信道。所述主信道的带宽可以等于BSS中的所有STA所支持的最大公共工作带宽。主信道的带宽可以由某一个STA设置和/或限制,其中所述STA源自在支持最小带宽工作模式的BSS中工作的所有STA。在关于802.11ah的示例中,即使BSS中的AP和其他STA支持2MHz、4MHz、8MHz、16MHz和/或其他信道带宽工作模式,但对支持(例如,只支持)1MHz模式的STA(例如,MTC类型的设备)来说,主信道的宽度可以是1MHz。载波感测和/或网络分配矢量(NAV)设置可以取决于主信道的状态。如果主信道繁忙(例如,因为STA(其只支持1MHz工作模式)对AP进行传输),那么即使大多数的可用频带保持空闲并且可供使用,也可以认为整个可用频带繁忙。
在美国,可供802.11ah使用的可用频带是902MHz到928MHz。在韩国,可用频带是917.5MHz到923.5MHz。在日本,可用频带是916.5MHz到927.5MHz。依照国家码,可用于802.11ah的总带宽是6MHz到26MHz。
图1D是示出了根据实施例的RAN 113和CN 115的系统图示。如上所述,RAN 113可以通过空中接口116使用NR无线电技术来与WTRU 102a、102b、102c进行通信。RAN 113还可以与CN 115进行通信。
RAN 113可以包括gNB 180a、180b、180c,但是应该了解,在保持符合实施例的同时,RAN 113可以包括任何数量的gNB。gNB 180a、180b、180c每一者都可以包括一个或多个收发信机,以便通过空中接口116来与WTRU 102a、102b、102c通信。在一个实施例中,gNB180a、180b、180c可以实施MIMO技术。例如,gNB 180a、180b可以使用波束成形处理来向和/或从gNB 180a、180b、180c发射和/或接收信号。由此,举例来说,gNB180a可以使用多个天线来向WTRU 102a发射无线信号,以及接收来自WTRU 102a的无线信号。在实施例中,gNB180a、180b、180c可以实施载波聚合技术。例如,gNB 180a可以向WTRU 102a(未显示)传送多个分量载波。这些分量载波的子集可以处于无授权频谱上,而剩余分量载波则可以处于授权频谱上。在实施例中,gNB 180a、180b、180c可以实施协作多点(CoMP)技术。例如,WTRU102a可以接收来自gNB 180a和gNB 180b(和/或gNB 180c)的协作传输。
WTRU 102a、102b、102c可以使用与可扩缩数字配置相关联的传输来与gNB 180a、180b、180c进行通信。例如,对于不同的传输、不同的小区和/或不同的无线传输频谱部分来说,OFDM符号间隔和/或OFDM子载波间隔可以是不同的。WTRU 102a、102b、102c可以使用具有不同或可扩缩长度的子帧或传输时间间隔(TTI)(例如,包含了不同数量的OFDM符号和/或持续不同的绝对时间长度)来与gNB 180a、180b、180c进行通信。
gNB 180a、180b、180c可被配置成与采用独立配置和/或非独立配置的WTRU 102a、102b、102c进行通信。在独立配置中,WTRU 102a、102b、102c可以在不接入其他RAN(例如,e节点B 160a、160b、160c)的情况下与gNB 180a、180b、180c进行通信。在独立配置中,WTRU102a、102b、102c可以使用gNB 180a、180b、180c中的一者或多者作为移动锚点。在独立配置中,WTRU 102a、102b、102c可以使用无授权频带中的信号来与gNB 180a、180b、180c进行通信。在非独立配置中,WTRU 102a、102b、102c会在与别的RAN(例如,e节点B 160a、160b、160c)进行通信/相连的同时与gNB 180a、180b、180c进行通信/相连。举例来说,WTRU 102a、102b、102c可以通过实施DC原理而以基本同时的方式与一个或多个gNB 180a、180b、180c以及一个或多个e节点B 160a、160b、160c进行通信。在非独立配置中,e节点B 160a、160b、160c可以充当WTRU 102a、102b、102c的移动锚点,并且gNB 180a、180b、180c可以提供附加的覆盖和/或吞吐量,以便为WTRU 102a、102b、102c提供服务。
gNB 180a、180b、180c每一者都可以关联于特定小区(未显示),并且可以被配置成处理无线电资源管理决策、切换决策、UL和/或DL中的用户调度、支持网络切片、双连接、实施NR与E-UTRA之间的互通处理、路由去往用户平面功能(UPF)184a、184b的用户平面数据、以及路由去往接入和移动性管理功能(AMF)182a、182b的控制平面信息等等。如图1D所示,gNB 180a、180b、180c彼此可以通过Xn接口通信。
图1D所示的CN 115可以包括至少一个AMF 182a、182b,至少一个UPF 184a、184b,至少一个会话管理功能(SMF)183a、183b,并且有可能包括数据网络(DN)185a、185b。虽然每一前述部件都被描述了CN 115的一部分,但是应该了解,这其中的任一部件都可以被CN运营商之外的实体拥有和/或运营。
AMF 182a、182b可以经由N2接口连接到RAN 113中的gNB 180a、180b、180c的一者或多者,并且可以充当控制节点。例如,AMF 182a、182b可以负责认证WTRU 102a、102b、102c的用户,支持网络切片(例如,处理具有不同需求的不同PDU会话),选择特定的SMF 183a、183b,管理注册区域,终止NAS信令,以及移动性管理等等。AMF 182a、182b可以使用网络切片处理,以便基于WTRU 102a、102b、102c使用的服务类型来定制为WTRU 102a、102b、102c提供的CN支持。作为示例,针对不同的用例,可以建立不同的网络切片,例如依赖于超可靠低延时(URLLC)接入的服务、依赖于增强型大规模移动宽带(eMBB)接入的服务、和/或用于机器类通信(MTC)接入的服务等等。AMF 182可以提供用于在RAN 113与使用其他无线电技术(例如,LTE、LTE-A、LTE-A Pro和/或诸如WiFi之类的非3GPP接入技术)的其他RAN(未显示)之间切换的控制平面功能。
SMF 183a、183b可以经由N11接口连接到CN 115中的AMF 182a、182b。SMF 183a、183b还可以经由N4接口连接到CN 115中的UPF 184a、184b。SMF 183a、183b可以选择和控制UPF 184a、184b,并且可以通过UPF 184a、184b来配置业务量路由。SMF 183a、183b可以执行其他功能,例如管理和分配WTRU(或UE)IP地址,管理PDU会话,控制策略实施和QoS,以及提供下行链路数据通知等等。PDU会话类型可以是基于IP的,不基于IP的,以及基于以太网的等等。
UPF 184a、184b可以经由N3接口连接RAN 113中的gNB 180a、180b、180c的一者或多者,这样可以为WTRU 102a、102b、102c提供对分组交换网络(例如,因特网110)的接入,以便促成WTRU 102a、102b、102c与启用IP的设备之间的通信,UPF 184、184b可以执行其他功能,例如路由和转发分组、实施用户平面策略、支持多宿主PDU会话、处理用户平面QoS、缓冲下行链路分组、以及提供移动性锚定处理等等。
CN 115可以促成与其他网络的通信。例如,CN 115可以包括或者可以与充当CN115与PSTN 108之间的接口的IP网关(例如,IP多媒体子系统(IMS)服务器)进行通信。此外,CN 115可以为WTRU 102a、102b、102c提供针对其他网络112的接入,这其中可以包括其他服务供应商拥有和/或运营的其他有线和/或无线网络。在一个实施例中,WTRU 102a、102b、102c可以经由对接到UPF 184a、184b的N3接口以及介于UPF 184a、184b与本地数据网络(DN)185a、185b之间的N6接口并通过UPF 184a、184b连接到DN 185a、185b。
有鉴于图1A-1D以及关于图1A-1D的相应描述,在这里对照以下的一项或多项描述的一个或多个或所有功能可以由一个或多个仿真设备(未显示)来执行:WTRU 102a-d、基站114a-b、e节点B 160a-c、MME 162、SGW 164、PGW 166、gNB 180a-c、AMF 182a-b、UPF 184a-b、SMF 183a-b、DN185a-b和/或这里描述的一个或多个其他任何设备。这些仿真设备可以是被配置成模拟这里描述的一个或多个或所有功能的一个或多个设备。举例来说,这些仿真设备可用于测试其他设备和/或模拟网络和/或WTRU功能。
仿真设备可被设计成在实验室环境和/或运营商网络环境中实施关于其他设备的一项或多项测试。例如,所述一个或多个仿真设备可以在被完全或部分作为有线和/或无线通信网络一部分实施和/或部署的同时执行一个或多个或所有功能,以便测试通信网络内部的其他设备。所述一个或多个仿真设备可以在被临时作为有线和/或无线通信网络的一部分实施/部署的同时执行一个或多个或所有功能。所述仿真设备可以直接耦合到别的设备以执行测试,和/或可以使用空中无线通信来执行测试。
一个或多个仿真设备可以在未被作为有线和/或无线通信网络一部分实施/部署的同时执行包括所有功能在内的一个或多个功能。例如,该仿真设备可以在测试实验室和/或未被部署(例如,测试)的有线和/或无线通信网络的测试场景中使用,以便实施关于一个或多个组件的测试。所述一个或多个仿真设备可以是测试设备。所述仿真设备可以使用直接的RF耦合和/或借助RF电路(例如,该电路可以包括一个或多个天线)的无线通信来发射和/或接收数据。
本文公开的一个或多个实施例涉及用于集成了公共陆地移动网络(PLMN)的非公共网络(NPN)的方法和装置。在各种实施例中,NPN(例如,集成了PLMN的NPN)可以使用一个或多个封闭接入组(Closed Access Group,CAG)来进行标识、小区选择和/或接入控制。在各种实施例中,预期其它类型的NPN同样可能使用本文中所论述的一个或多个过程、机制或实施例。例如,独立的NPN(SNPN)可以使用NPN ID(一个或多个)集合/列表来进行标识、小区选择和/或接入控制,并且可以使用这里公开的一个或多个过程、机制或实施例。
在各种实施例中,本文所公开的术语“随机数”可以指伪随机数、准随机数或任何其他类型的随机数。
用于PLMN集成NPN接入的代表性过程
在一些实施方案中(例如,在3GPP中),支持或部署NPN。可以使用封闭接入组(CAG)和/或网络切片,在支持一个或多个PLMN的情况下部署或实现NPN,并且在一些示例中,这种类型的NPN可以称为集成了PLMN的NPN。在一些情况下,集成了PLMN的NPN可以是非独立(NSA)通信网络的一部分,或者被实现为一个或多个NSA通信网络。在一些情况下,NPN可以被实现为独立的NPN(SNPN)。在一个示例中,SNPN可以是不依赖于公共PLMN的网络功能的专用网络。
在各种实施方式中,CAG可以用于使网络能够防止WTRU尝试接入网络切片。在一个示例中,网络切片可以专用于NPN,并且NPN可以位于WTRU不被允许使用该网络切片的区域中。
参考图2,提供了用于网络和小区选择以及接入控制的过程200的示例。在该示例中,在尝试接入CAG小区之前,WTRU可以将来自WTRU本地配置的允许CAG(allowed CAG)列表与CAG ID集合进行比较,其中CAG ID集合由CAG小区作为明文进行广播(例如,图2中所示的操作0-2)。如果WTRU发现至少匹配的CAG ID,则WTRU可以使用WTRU的或与WTRU相关联的订阅隐藏标识符(SUCI)来进行注册过程。例如,WTRU可以向NG-RAN和/或接入和移动性管理功能(AMF)发送注册请求(例如,具有SUCI)消息。在各种实施方式中,WTRU可以选择匹配的CAGID,并且可以将所选择的CAG ID包括在RRC层信令中(例如,在UL RRC消息中)。WTRU可以经历完全的主认证,以便AMF可以从统一数据管理(UDM)获得CAG相关的订阅信息。AMF可以确定或验证来自WTRU订阅的至少一个CAG ID是否对应于或匹配于小区支持CAG ID(一个或多个)和/或由WTRU选择的CAG ID(一个或多个)。例如,AMF可以确定或验证来自WTRU订阅的至少一个CAG ID是否对应于或匹配由NG-RAN在N2消息中转发的任何CAG ID(一个或多个)(例如,所选择的一个或多个CAG ID)(例如,如图2所示的操作4和7)。在AMF找到匹配的CAG ID的情况下,WTRU可以被允许接入CAG小区,例如注册被接受。在一个示例中,所述注册可经由从AMF发送到WTRU的注册接受消息来接受。在AMF没有找到匹配的CAG ID的情况下,WTRU可能不被允许接入CAG,例如注册被拒绝。在一个示例中,所述注册可以通过从AMF发送到WTRU的注册拒绝消息而被拒绝。
在各种实施例中,SNPN(一个或多个)标识(一个或多个)、小区选择(一个或多个)和/或接入控制可以遵循与上述用于集成了PLMN的NPN的操作类似的操作(例如,图2中所示的过程)。SNPN可以由唯一的NPN ID来标识。提供对SNPN(一个或多个)的接入的小区可以通过明文而广播这些SNPN的NPN ID集合或列表。当WTRU发现对应于所广播的NPN ID集合或列表的订户标识符和/或证书时,WTRU可以选择并尝试向一个或多个SNPN注册。例如,WTRU可以具有网络接入标识符(NAI)形式的用户标识符列表/集合,其中域部分可以包括NPN ID。关于集成了PLMN的NPN,在网络能够确定是否允许WTRU接入之前,WTRU可能需要经历完全的主认证。
在各种实施例中,可专门为支持CAG的一个或多个WTRU预留CAG小区接入。在一个示例中,本文讨论的小区可以是常规PLMN小区或CAG小区。在一些情况下,在CAG小区中可以支持紧急服务。
在各种实施例中,集成了PLMN的NPN可以被称为NSA通信网络、NSA NPN或者集成了公共网络的NPN,并且这些涉及集成了PLMN的NPN的术语可以是可互换的。
用于集成了PLMN的NPN接入的安全性和/或隐私的代表性过程
在各种实施例中,讨论了垂直服务和/或集成了PLMN的NPN接入的安全性方面。例如,一些方面涉及当大量恶意WTRU尝试向网络(例如,CAG小区)注册并且多个WTRU中的一个或多个WTRU可能不被允许接入网络(例如,CAG小区)时,可能对5G系统造成的集成了PLMN的NPN中的潜在的(分布式)拒绝服务((D)DOS)攻击。可以实现潜在的安全性要求,以减轻对集成了PLMN的NPN的这种(D)DoS攻击(其由来自不被允许接入CAG小区的WTRU的注册请求引起)。
在各种实施方式中,WTRU可以在初始NAS注册请求消息中包括作为明文的CAG ID。AMF可以向归属PLMN(HPLMN)发送认证请求,该认证请求包括由WTRU提供的CAG ID。在接收到该请求时,UDM可以确定或验证所提供的CAG ID与来自WTRU订阅数据的CAG ID相匹配。例如,UDM可以在将SUCI解隐藏(de-concealing)为有效订阅永久标识符(SUPI)中之后,确定(或验证)所提供的CAG ID是否与来自WTRU订阅数据的CAG ID匹配。在一个示例中,如果没有发现匹配,UDM可以拒绝所述认证请求,并且AMF可以拒绝所述WTRU注册。
使用密码散列函数和盐(salt)的代表性方法
在各种实施例中,例如,密码散列函数(例如,SHA-3、PBKDF2、BCRYPT)被称为单向函数(不能还原)。例如,密码salt可以被称为随机非秘密数据,其被散列函数用作附加参数,以通过随机化(例如,有效地随机化)所述散列函数的输出来防御(例如,预先计算的)字典攻击。在各种实施例中,密码散列函数和/或密码salt可以用于例如在存储或传输中将口令保护为随机化的散列串。
在示例中,跨不同服务重新使用相同口令的用户可以在这些服务处具有不同的散列口令(例如,在存储中),假设这些服务正在使用不同的随机盐。在另一示例中,在相同服务的上下文中使用相同或共同口令的两个用户可以具有不同的散列口令(例如,在存储中),假设该服务针对每个用户使用不同的随机salt。
使用Diffie-Hellman密钥协定的代表性过程
在各种实施例中,使用Diffie-Hellman(DH)、椭圆曲线Diffie-Hellman(ECDH)和类似类型协议中的任意者导出的共享秘密可以直接用作会话密钥,或者用作导出会话密钥的主密钥。所述会话密钥可用于使用对称密钥密码来加密或完整性保护后续通信。
所述DH协议提供密钥交换,该密钥交换可用于允许彼此事先不知道的双方(例如,WTRU和gNB)在不安全的信道上联合建立共享秘密密钥。所述ECDH协议(DH协议的一种变型)使用椭圆曲线密码术。ECDH是一种匿名密钥协商协议,其允许双方在不安全的信道上建立共享秘密,其中每一方具有椭圆曲线的公共-私有参数对。
使用集成了椭圆曲线的加密方案(ECIES)的代表性过程
在各种实施例中,ECIES可以指使用多个密码功能的集成加密方案:密钥协商功能、密钥导出功能、对称加密机制/功能和/或消息认证码(MAC)功能。ECIES将密钥封装机制与数据封装机制相结合。使用ECIES的系统可以从公共秘密独立地导出加密密钥和MAC密钥。ECIES已经在例如ANSI X9.63、IEEE1363a、ISO/IEC 18033-2和SECG SEC-1中被标准化。
ECIES已经被指定用于5G安全架构作为用于SUPI隐私保护的标准机制。例如,使用ECIES,WTRU能够通过使用导出的对称加密密钥和/或MAC密钥来保护SUPI的机密性/完整性,其中所述导出的对称加密密钥和/或MAC密钥是通过使用归属网络预先提供的公钥和生成的临时公钥/私钥对而运行遵循密钥协商功能的密钥导出功能而获得的。
用于集成了PLMN的NPN接入的CAG接入控制的代表性过程-(分布式)拒绝服务((D)DOS)
在各种实施方式中,支持用于集成了PLMN的NPN接入的CAG接入控制的WTRU(例如,NPN WTRU)和网络可以减轻或降低对CAG小区、网络、UDM和/或订阅标识符解隐藏功能(SIDF)的(分布式)拒绝服务((D)DOS)攻击的风险。
参考图2,当WTRU初始接入CAG小区时,网络(例如,AMF)可以在允许接入之前,对照来自WTRU订阅信息的CAG ID列表来检查(或必须检查)由gNB提供(和/或由WTRU选择)的小区支持的CAG ID(一个或多个)。WTRU可以执行或必须执行与网络的完整的主认证运行/检查。这样的过程可以首先使用或要求UDM/SIDF对SUCI进行解隐藏,使得AMF可以获得SUPI以取回CAG相关的订阅信息。这种隐私增强(例如,隐私增强)可能增加归属网络中的处理负载,因为UDM/SIDF需要执行公钥操作(例如,在SIDF处的SUPI解隐藏)。AUSF可以被称为认证服务器功能,并且VPLMN可以被称为受访PLMN。
在一个示例中,攻击者可能试图通过一个或多个CAG小区利用注册请求而泛洪网络,迫使UDM/SIDF处理许多伪造或假冒的SUCI,而同时消耗CAG小区(一个或多个)中的无线电资源,引起对网络(例如,UDM/SIDF)的(D)DOS攻击。在另一示例中,一组合法或真实WTRU可以创建注册请求风暴,同时不被允许加入CAG小区(例如,特定的启用CAG的小区)。在SNPN(一个或多个)中,大量不允许接入SNPN小区的WTRU可能试图向SNPN小区注册,在这种情况下,可能遇到类似的DoS攻击风险。
在各种实施方式中,关于(D)DOS减轻或减少,在识别阶段期间,WTRU和/或网络可以通过在主认证发生之前(例如,在由UDM识别或验证WTRU标识期间)验证CAG ID的有效性来减少(D)DOS攻击的机会窗口。由于UDM可能需要或者可能解隐藏SUCI,因此可以解决潜在的(D)DOS攻击对UDM的威胁。例如,与图2中的过程相比,UDM的处理负荷可能增加,因为UDM可以执行或必须执行CAG ID验证作为识别过程的一部分。
在一些实现中,预期来自gNB的小区支持的CAG ID(一个或多个)可能不包括在认证消息(例如,由AMF发送到UDM的认证消息)中。在一个示例中,UDM可以检查(例如,仅检查)WTRU提供的CAG ID是WTRU订阅的一部分,并且可以不检查WTRU是否被允许接入CAG小区。在一些情况下,WTRU(其支持CAG)可以被允许接入任何CAG小区,从而打破了图2中的过程所预想的接入控制。
用于集成了PLMN的NPN接入的CAG接入控制的代表性过程-NPN和/或WTRU的隐私
在各种实施方式中,支持用于集成了PLMN的NPN接入的CAG接入控制的WTRU(例如,NPN WTRU或UE)和网络可以保持由CAG小区服务的NPN的隐私和/或被允许接入(一个或多个)CAG小区的NPN WTRU的隐私。
在各种实施例中,网络切片选择辅助信息(NSSAI)或一组单个NSSAI(S-NSSAI)可被认为是隐私信息(例如,在5G NR中)。例如,可以实现增强,以使得能够在初始注册过程期间在接入层(AS)(例如,RRC)层和/或NAS层中保护NSSAI。在一个示例中,被指派给专用于特定NPN的网络切片的CAG ID不仅可以揭示与特定S-NSSAI相关的信息,而且可以向分配了或曾经分配了CAG小区和/或网络切片的特定企业揭示该信息。例如,CAG ID可以被认为是隐私信息。
在各种实施例中(例如,图2中的过程),实现了NPN和/或WTRU的隐私。在一个示例中,CAG小区可以广播所述支持CAG ID(supported CAG ID)集合或列表(例如,支持总共十二个CAG ID)。在一些情况下,广播所述支持CAG ID集合或列表可能是隐私风险。例如,攻击者可以基于以明文广播的CAG ID(一个或多个)来识别和/或映射服务于特定NPN的特定小区(一个或多个)。攻击者可以使用该信息来瞄准和/或中断NPN的操作(例如,使用上面讨论的(D)DOS攻击)。在SNPN(一个或多个)的情况下,其中一个或多个NPN ID的集合/列表由提供对这些SNPN(一个或多个)的接入的小区以明文广播,可能遇到类似的隐私风险。
在一个示例中,攻击者能够通过窃听某些小区上的通信交换来跟踪NPN和/或NPN切片(一个或多个)的用户。例如,通过检测特定WTRU被允许接入CAG小区(例如,通过窃听注册接受消息(一个或多个)),攻击者能够将该用户链接到由CAG小区服务的NPN或NPN切片之一,并且链接多个WTRU的受隐私保护的临时标识(例如,SUCI(一个或多个))。在一些情况下,攻击者甚至可以更具体地跟踪用户,因为WTRU可能在初始注册消息中以明文发送(例如,所选择的)CAG ID,从而揭示关于WTRU想要接入的特定NPN切片的精确信息,并且向攻击者提供用于标识链接和/或业务分析攻击的信息。
在另一个示例中,攻击者可以从广播的系统信息中获取明文的一个或多个小区支持CAG ID,并且攻击者可以通过在一个或多个RRC消息中包括所述小区支持CAG ID中的一个来请求并获得对该小区的接入。在这种情况下,网络(例如,gNB)使用WTRU传送的CAG ID执行的传统接入控制过程可能对攻击无效。例如,传统的接入控制过程呈现了攻击者可以利用其来进行攻击(例如,如上所述的(D)DOS攻击)的弱点。
当移动到新的CAG小区时用于WTRU配置的代表性过程
在一些示例中,当移动到新的CAG小区时,WTRU配置(例如,允许NSSAI)可能是不正确的。例如,当接入集成了PLMN的NPN的WTRU由特定PLMN网络切片服务时,WTRU可能处于一CAG小区中,其中WTRU被允许从该CAG小区接入该网络切片。在这个示例中,当WTRU移动到相应的CAG小区时,WTRU的允许NSSAI配置可能包含该网络切片。
在一个示例中,WTRU的允许CAG列表可以包含多个CAG ID,并且WTRU可以在具有不同CAG ID的两个CAG小区之间移动,并且该两个CAG小区都可以允许WTRU占用和/或接入相应的NPN。参考图3,例如,如无线通信网络300中所示,WTRU(例如,WTRU 102)可以具有所配置的允许CAG列表,该列表可以包含或包括任意数量的CAG ID(例如,“CAG-1”、“CAG-2”)。WTRU可以从“CAG-1”的CAG小区移动到“CAG-2”的CAG小区。当WTRU处于CAG-1小区时,WTRU可能已经接收到允许NSSAI配置,该配置具有可能已经对应于CAG-1的S-NSSAI(例如,S-NSSAI-1)并且可能还没有任何与CAG-2相关的S-NSSAI。当WTRU在CM-IDLE(CM-空闲)状态中移动到CAG-2小区时,该WTRU的允许NSSAI配置可能在该WTRU接入网络之前未被更新。在该WTRU的允许NSSAI和该WTRU的CAG位置之间可能存在不匹配。
在一个示例中,如果用户尝试向与CAG-2相关的NPN发起服务(例如,发送请求),例如,向服务于该NPN的S-NSSAI-2触发建立和/或重新激活PDU会话,则WTRU可以阻止该请求,因为相关的S-NSSAI可能不在WTRU的当前允许NSSAI配置中。在一些情况下,WTRU可以允许向S-NSSAI-1的PDU会话建立或重新激活,其可能与CAG-1相关但将在CAG-2中被发起,并且该请求可能被网络拒绝,因为WTRU的当前位置(例如,CAG-2)不允许WTRU接入S-NSSAI-1。
用于在CAG ID订阅更新之后同步WTRU CAG ID配置(一个或多个)的代表性过程
在一些示例中,当WTRU被配置有单个允许CAG ID时,在UE不能接入网络(或不能再接入网络)的情况下,可能发生CAG ID错误配置问题。例如,WTRU可以被配置具有单个允许CAG ID(CAG ID_A),并且WTRU可以被配置具有和/或接收该WTRU仅能够通过CAG小区(一个或多个)接入网络的指示。在一些情况下,当WTRU已经向网络注册时,AMF可以接收更新的订阅数据,其中不存在CAG ID_A(例如,CAG ID_A可能已经被CAG ID_B替换)。在这种情况下,AMF可以发送具有适当原因的注册拒绝消息,并且WTRU可以从其允许CAG ID列表中移除CAGID_A。因此,WTRU在其允许CAG ID列表中没有允许CAG ID,并且WTRU只能通过CAG小区接入网络,因此WTRU不能接入网络。
使用RRC信令来减轻对CAG小区(一个或多个)和网络的DoS攻击的代表性过程
参考图4,代表性过程400可以用于使用AS或RRC信令来减轻或减少对CAG小区(一个或多个)和/或一个或多个网络(例如,用于集成了PLMN的NPN的UDM/SIDF)的(D)DoS攻击。在各种实施方式中,WTRU(例如,WTRU 102)可以将其本地配置的CAG ID(一个或多个)的散列值与由CAG小区广播的CAG ID(一个或多个)的散列值进行比较,以找到一个或多个匹配的CAG ID。WTRU可以在RRC层中提供一个或多个匹配CAG ID的新散列值的同时,注册到网络和/或小区。如果满足以下条件,则所述WTRU可以被允许接入所述CAG小区(和/或所述NPN切片):i)至少一个WTRU提供的散列CAG ID匹配由所述CAG小区支持的一个或多个散列CAGID,和/或所述WTRU提供的散列CAG ID匹配由所述CAG小区支持的一个或多个散列CAG ID;或者ii)根据策略(例如,使用默认DN/切片的紧急接入)。在某些实施方式中,WTRU可以被拒绝接入CAG小区(和/或NPN切片)。在一个示例中,该过程可以包括以下中的任意者。
在各种实施方式中,例如在操作0中,WTRU可以被配置以来自HPLMN的允许CAG列表。gNB可以配置有支持CAG ID(一个或多个)。这种提供可以在带外和/或在操作1之前的任何时间实现。
操作1.WTRU可以从CAG小区广播系统信息(例如,SIB1)中读取一个或多个CAG标识符(ID),其中所述CAG标识符通过使用随机数(例如,准随机数、伪随机数、RAND_CELL)作为salt的基础(例如,SALT_CELL)而被进行单独散列。例如,所述salt可以组合RAND_CELL和当前小区ID(例如,SALT_CELL=RAND_CELLXOR小区Id或者RAND_CELL||小区Id)以将所得到的散列值绑定到唯一小区Id。所述小区id可以被包括在广播系统信息中。RAND_CELL也可以被包括在广播信息中。每个CAG小区可以使用不同的RAND_CELL/salt,以便支持公共CAG ID(一个或多个)(例如,服务相同的NPN(一个或多个)切片)的两个CAG小区可以广播完全不同的散列的CAG ID(一个或多个)。通过随机化所广播的CAGID(一个或多个),窃听者不能单独基于散列的CAG ID信息而将任何两个CAG小区彼此链接。每当针对给定的CAG小区更新所配置的(一个或多个)支持CAG ID时,可以生成新的RAND_CELL,并且使用该RAND_CELL来产生用于要广播的新的支持CAG ID(一个或多个)的新的散列值。应当理解,为了避免在此重复,术语“伪随机数”可以与术语“伪随机数”互换使用和/或与术语“伪随机数”一起使用。
操作2.WTRU可以使用SALT_CELL为其本地配置的允许CAG列表中的每一个CAG ID计算散列(例如,参考操作0)。
操作3.在发送初始注册请求之前,WTRU可以将本地生成的散列的CAG ID与由CAG小区广播的散列的CAG ID进行比较,并且可以确定是否存在至少一个匹配的散列的CAGID。
操作4.WTRU可以使用新生成的随机值(RAND_UE)作为salt(SALT_UE)的基础,为与小区广播的散列CAG ID匹配的所配置的允许CAG中的每个CAG ID计算新的散列。例如,WTRU可以在RRC设立消息中包括由gNB指派的小区无线电网络临时标识符(C-RNTI)作为salt的一部分,以将散列的CAG ID(一个或多个)绑定到由gNB为WTRU分配的特定RRC连接和传输资源。RAND_UE可以增加新鲜度以防止重演(replay)攻击。RAND_UE可以通过包括用于CAG ID(一个或多个)重演保护的时间戳参数而被补充。包括C-RNTI作为WTRUsalt的分量可以使gNB能够检测试图重演所广播的CAG小区CAG ID和小区salt的恶意WTRU(例如,基于小区和WTRUsalt格式的差异)。在一个示例中,RAND_UE可以绑定到RAND_CELL(例如,级联、XOR)和/或小区Id以构建salt(SALT_UE),例如由WTRU传送的散列的CAG ID(一个或多个)可以绑定到广播该CAG ID的特定小区。这可以使gNB能够检测试图重演在不同小区上传送的另一WTRU散列CAG ID(一个或多个)的恶意WTRU。
操作5.WTRU可以发送注册请求,该注册请求包括SALT_UE和与接入层(AS)层中(例如,RRCSetupComplete消息中)的小区广播CAG ID匹配的单独散列的CAG ID。
操作6.gNB可使用SALT_UE为其配置的CAG ID列表中的每个CAG ID计算散列。
操作7.gNB可检查在WTRU提供的散列CAG ID(一个或多个)和计算的散列CAG ID(一个或多个)(例如,在操作6中)之间存在至少一个匹配。
操作8.gNB可以决定(例如,基于运营商的策略和/或取决于本地规章):
操作8a.如果没有找到匹配的散列CAG ID,则立即丢弃RRC连接;或
操作8b.如果找到这种匹配的散列CAG ID(一个或多个),则例如通过N2接口向AMF发送消息,该消息包括a)小区支持CAG ID(一个或多个),b)关于WTRU是否具有与小区的CAGID(一个或多个)匹配的至少一个CAG ID的指示,以及c)来自WTRU的NAS注册请求消息。
gNB可确定不具有匹配CAG ID的WTRU(例如,WTRU不提供任何CAG ID)可能处于受限服务状态和/或可能尝试注册以用于仅紧急服务。例如,gNB可以通过将RRC建立原因设置为紧急来执行“紧急注册”。根据本地规章和/或运营商的策略,gNB可决定将N2消息发送给AMF以供进一步的接入控制检查。
操作9.使用来自gNB的指示和运营商的策略,AMF确定是否允许WTRU接入CAG小区。
操作10a.如果来自gNB的指示表明没有找到匹配的CAG ID和/或如果基于运营商的策略/本地规则,不允许非NPN接入(例如,在CAG小区上不允许注册紧急服务),AMF可以发送注册拒绝消息到WTRU(随后释放任何AS或NAS连接);或
操作10b.如果来自gNB的指示表明找到至少一个匹配CAG ID,则网络和WTRU可以继续注册过程的剩余部分(例如,如图2所示,操作5-8);或
操作10c.如果来自gNB的指示未发现匹配的CAG ID,和/或基于运营商的策略/本地规则,允许非NPN接入(例如,允许WTRU进行紧急呼叫),则网络和WTRU可以根据运营商的策略/本地规则,继续紧急注册过程或异常处理过程。
在各种实施例中,代表性过程(例如,包括与图4相比的一个或多个备选呼叫/信号流操作)可以用于使用AS或RRC信令来减轻或减少对CAG小区(一个或多个)和/或网络(例如,用于集成了PLMN的NPN的UDM/SIDF)的(D)DoS攻击。这种代表性的过程可以包括以下任何过程:
操作0-1:gNB可以广播随机数(例如,准随机数,RAND_CELL),可以使用基于RAND_CELL的salt来散列所述小区支持CAG ID。gNB可广播另一随机数(例如,RAND_UE),当WTRU尝试接入网络时,该随机数将被WTRU用来散列其匹配的允许CAG ID(一个或多个)。RAND_UE可被指派有限的生命期,该生命期足够短以减少WTRU散列CAG ID重演攻击的可能性,并且足够长以允许合法RRC连接完成(例如,作为多个RRC连接定时器,T300和/或T352)
操作2-4:如上文在图4中所讨论的,WTRU可以基于散列CAG ID的匹配(例如,使用基于RAND_CELL的salt)来选择CAG小区。例如,WTRU可以使用基于RAND_CELL的salt值来计算其CAG ID(一个或多个)的散列值。WTRU可以检查是否存在一个或多个匹配的散列CAGID。
操作5:WTRU可以向网络注册。在一个示例中,WTRU可以使用基于RAND_UE的salt计算其允许CAG ID列表中匹配的CAG ID(一个或多个)的散列值。WTRU可以通过将RAND_UE与C-RNTI组合来构建salt(例如,salt=RAND_UE XOR C-RNTI)。WTRU可以在消息(例如,RRCSetupComplete消息)中发送使用基于RAND_UE的salt而散列的CAG ID(一个或多个)。WTRU可以在所述消息中包括RAND_UE。如上在图4中所讨论的,WTRU可以将RAND_CELL和/或小区Id与RAND_UE/C-RNTI组合以构建salt,以便实现所生成的散列CAG ID(一个或多个)与WTRU和小区的绑定。
操作6-8a:gNB可以基于散列CAG ID(一个或多个)的匹配(例如,使用基于RAND_UE的salt)来验证WTRU被允许接入CAG小区。在一个示例中,如果接收到的RAND_UE被包括在RRC消息中,则gNB可以检查该接收到的RAND_UE是有效的。如果RAND_UE无效(例如,期满),则gNB可丢弃RRC连接。如果RAND_UE没有被包括在RRC消息中,则可以使用当前广播的RAND_UE。在一个示例中,gNB可使用基于RAND_UE的salt(例如,RAND_UE XOR C-RNTI,和/或与RAND_CELL/小区Id组合)计算其配置的CAG ID(一个或多个)的散列值,并且可检查存在与WTRU提供的散列CAG ID(一个或多个)的至少一个匹配。
操作8b-10(其可以包括操作10a、10b或10c):与上述图4中的过程相同。
使用非接入层(NAS)信令的代表性过程,例如以减轻对CAG小区和/或网络的(D)DOS攻击
参考图5,可以使用代表性过程500,例如以使用NAS信令减轻或减少对CAG小区(一个或多个)和/或网络(例如,用于集成了PLMN的NPN的UDM/SIDF)的(D)DoS攻击。在各种实施例中,与使用RRC层信令的过程相比,使用该代表性过程的WTRU可以在NAS层中发送和/或接收散列的CAG ID(一个或多个),并且该CAG ID(一个或多个)验证可以由例如网络实体(例如,AMF)来执行。在各种实施例中,与图2中的过程相比,gNB可广播散列的CAG ID。该过程可以包括以下中的任意者:
操作0.WTRU可以被配置以来自HPLMN的允许CAG列表。gNB可以配置有支持CAG ID集合和/或列表。这种配置或供应操作可以在带外和/或在操作1之前的任何时间实现。
操作1.如上文在图4中所描述的,gNB可以广播所支持CAG ID的散列值和一个或多个随机数(例如,准随机数、RAND_CELL和/或RAND_UE)。WTRU可以基于散列的CAG ID的匹配(例如,使用基于RAND_CELL的salt)来选择CAG小区。
操作2.WTRU可以向网络注册。如上所述,WTRU可以使用基于RAND_UE的salt来计算其匹配的CAG ID(一个或多个)的散列值。WTRU可以在NAS注册请求消息中发送使用基于RAND_UE的salt散列的CAGID(一个或多个)。WTRU可以在NAS消息中包括所述salt(例如,具有用于AMF的重演检测的基于时间戳的分量)。
操作3.gNB可通过N2接口向AMF发送消息,该消息包括i)小区支持CAG ID(一个或多个),ii)用于/需要用于验证WTRU提供的散列CAGID的salt(例如,当前RAND_UE XOR C-RNTI),和/或iii)来自WTRU的NAS注册请求消息。
操作4.AMF可以使用gNB提供的salt(例如,和/或使用WTRU提供的salt)计算小区支持CAG ID(一个或多个)的散列值。
操作5.AMF可检查在小区支持CAG ID(一个或多个)和WTRU提供的散列CAG ID(一个或多个)之间存在至少一个匹配。
操作6.如果找到匹配,AMF可以继续常规的注册过程。如果没有找到匹配,则可以拒绝该注册。在一个示例中,如果注册请求是针对紧急注册的,则例如基于一个或多个运营商策略和/或一个或多个本地规章,AMF可以允许WTRU来接入网络以获得紧急服务。
用于保护NPN的机密性和/或NPN用户的隐私的代表性过程
在各种实施例中,为了保护CAG ID隐私,可以实现例如使用一个或多个先前描述的过程的机制。在各种实施方式中,该机制可以基于在WTRU、gNB和/或AMF之间或之中的随机化CAG ID的交换(例如,使用具有随机salt的散列函数)。隐私考虑可以取决于本地规章。网络能够控制基于随机化CAG ID的接入在小区中是否是活动的。PLMN和/或NPN运营商可以向WTRU提供关于是否允许选择CAG小区而不启用CAG ID随机化的适当指导(例如,通过提供或通过其他方式)。
在各种实施例中,所述CAG小区可以广播一指示,该指示表明所广播的CAG ID(一个或多个)被随机化以通知支持CAG的WTRU:该小区是否支持基于随机化CAG ID的接入。在某些实施例中,如上所述的散列随机数(一个或多个)(例如,准随机数)(例如,RAND_CELL、RAND_UE)的存在可以通知支持CAG的WTRU:该小区已经启用了基于随机化CAG ID的接入。
在各种实施方式中,CAG小区可以广播用于小区选择的随机化CAG ID(一个或多个)以及一关于WTRU是否可以发送(匹配)用于CAG小区接入控制的随机化CAG ID的指示。如果该指示指令WTRU在注册期间发送散列的CAG ID(一个或多个),则WTRU可以执行向网络注册的过程(例如,图4和/或图5中所示的过程)。如果该指示指令WTRU在注册期间不发送散列的CAG ID(一个或多个),则WTRU可以执行过程(例如,图2中所示的过程),该过程可以包括随机化的CAG ID(一个或多个),其仅可以为小区(重)选择过程而被广播并且可以不被传送(例如,由WTRU)以用于接入控制操作。
在各种实施例中,CAG小区可以广播随机化的(例如,具有相关联的一个或多个随机数)和非随机化的CAG ID的混合。在一个示例中,支持CAG的WTRU可以在匹配散列的CAGID之后,使用小区选择处理或过程(例如,图4中所示的过程400,或图5中的过程500)和/或匹配如图2中所示的明文CAG ID(一个或多个)来选择小区。WTRU可以根据图2中所示的过程而注册到网络(例如,在RRC或注册消息中不传送任何CAG ID)。在某些典型实施例中,WTRU可以根据图4中所示的过程400或图5中的过程500进行注册。在一个示例中,对于CAG ID作为散列值或以明文广播的情况(例如,图4和/或图5中所示的过程),WTRU可以传送所有匹配的CAG ID作为散列值。
在各种实施方式中,支持基于随机化CAG ID的接入的WTRU(例如,WTRU 102)可以由HPLMN配置具有CAG接入“隐私模式”,该隐私模式可以指示WTRU是否允许选择没有启用随机化CAG ID的接入的小区。该隐私模式的默认值可以被配置成指令(或指示)WTRU仅选择启用了基于随机化CAG ID的接入的小区。WTRU可以在以不同模式成功注册之后,由服务PLMN/HPLMN配置(例如,以允许选择没有CAG ID随机化的小区)。可以基于每个PLMN来设置CAG接入隐私模式。可以基于每个NPN(例如,基于每个CAG ID)来设置相同或不同的隐私模式。如果隐私模式被设置为“关闭”,则WTRU可以被允许选择未启用基于随机化CAG ID的接入的CAG小区。例如,可执行图2中所示的过程200以向网络注册。如果隐私模式被设置为“开启”,则WTRU可以被允许仅选择启用了基于随机化CAG ID的接入的CAG小区。可以执行一个或多个过程(例如,图4中所示的过程400或图5中的过程500)以注册到网络。
在上述各种实施例中,CAG ID的隐私敏感度可以链接到NSSAI的隐私敏感度(例如,通过CAG ID与为NPN分配的特定S-NSSAI相关联)。在一些示例中,可以实现接入层连接建立NSSAI包含模式的(再)使用,例如以在确保网络切片隐私策略的一致执行的同时,启用CAG接入隐私模式。在一些情况下,通过NSSAI包含模式“a”,WTRU可以在AS连接建立期间在AS层中包括NSSAI,并且在NSSAI包含模式“d”下,WTRU可以在AS连接建立期间在AS层中不包括(例如,从不包括)NSSAI。例如,在NSSAI包含模式被设置为模式“a”时,支持CAG的WTRU可以被允许选择禁用了基于随机化CAG ID的接入的CAG小区,并且在NSSAI包含模式被设置为模式“d”时,可以仅选择启用了基于随机化CAG ID的接入的CAG小区。
在AS连接建立期间(例如,在RRC层中)发送的NSSAI可以使用基于散列的操作(例如,类似于本文针对CAG ID(一个或多个)阐述的基于散列的机制)来随机化。例如,WTRU可以使用由小区广播提供的随机数作为用于对在AS连接建立期间(例如,在RRC层中)发送的所请求的S-NSSAI进行单独散列的salt的基础。gNB可被配置有S-NSSAI,用于将注册请求从WTRU路由到适当的AMF。gNB可计算其配置的S-NSSAI的散列以匹配由WTRU发送的散列的S-NSSAI。如果找到匹配,gNB可将所述请求转发到指定的服务AMF。如果没有找到匹配,则gNB可将所述请求转发到默认AMF。
在各种实施例中,可以使用基于散列的机制来广播随机化给定小区或给定gNB支持的S-NSSAI。当WTRU在移动(例如,在CM-IDLE状态)到另一个小区的同时检测到支持的S-NSSAI的改变(例如,在目标小区中不支持连接的S-NSSAI)时,WTRU可以使用该信息来辅助小区选择过程,或触发注册更新,以将其允许的NSSAI与网络同步。
在各种实施例中,机制和/或过程可以基于临时S-NSSAI(T-S-NSSAI)。例如,WTRU(例如,WTRU 102)可以在注册过程期间例如在注册接受消息中从网络(例如,AMF)获得一个或多个T-S-NSSAI。例如,NG-RAN可以在NG设立过程期间例如在NG设立响应消息中从AMF获得PLMN支持的T-S-NSSAI列表。在一个实施例中,可以针对每个PLMN(例如,针对PLMN或针对每个相应的PLMN)生成和/或维持T-S-NSSAI。在另一个实施例中,网络可以为每个WTRU和/或S-NSSAI(例如,对于WTRU或对于每个相应的WTRU,和/或对于S-NSSAI或对于每个相应的S-NSSAI)维持一个或多个T-S-NSSAI。
在各种实施方式中,例如,当为每个WTRU和/或S-NSSAI指派T-S-NSSAI时,该机制/过程可以与上面讨论的一个或多个机制/过程一起工作,提供针对WTRU链接能力攻击的保护。在一个示例中,参考图6,WTRU可以在AS连接建立期间在AS层中传送所请求的T-S-NSSAI的一个或多个散列值(而不是明文T-S-NSSAI)。可以使用S-TMSI来确定和/或计算所述一个或多个T-S-NSSAI散列值,每次S-TMSI改变时,强制T-S-NSSAI散列的改变并且减轻WTRU链接能力攻击。NG-RAN可以通过将WTRU请求的散列T-S-NSSAI与核心网络(例如,5G核心(5GC))提供的T-S-NSSAI的散列值进行匹配来识别WTRU请求的切片(一个或多个)。该代表性机制/过程600可以包括以下中的任意者:
操作1-2.NG-RAN可以从AMF获得支持的T-S-NSSAI的列表(例如,除了S-NSSAI之外或者代替S-NSSAI,支持的T-S-NSSAI的列表)。
操作3.WTRU可以执行与网络的初始注册过程。例如,WTRU可以在例如可以由NAS安全性保护的注册接受消息中获得允许的T-S-NSSAI(一个或多个)的列表。
操作4.WTRU可以使用其S-TMSI来确定和/或计算所请求的T-S-NSSAI散列值。WTRU可以在RRC消息(例如,RRCConnectionSetupComplete消息)中传送所述T-S-NSSAI散列值。WTRU可以包括关于切片辅助信息的性质或类型IE的指示(例如,散列的T-S-NSSAI),以辅助NG-RAN在能够进行NSSAI隐私保护的第一WTRU与不能进行NSSAI隐私保护的第二WTRU之间进行区分(例如,使得第二WTRU可以传送作为明文的S-NSSAI)。
在各种实施例中,WTRU可以在已经按照或使用这里讨论的一个或多个过程(或任何现有过程)分配了新的S-TMSI之后,在AS连接建立期间自动传送新鲜的T-S-NSSAI散列值。
在各种实施方式中,通过使用S-TMSI,请求相同T-S-NSSAI的两个WTRU可以传送不同的T-S-NSSAI散列值,例如,以减轻使用相同T-S-NSSAI散列值的WTRU链接能力攻击。在一些情况下,相同的S-TMSI随时间最终被重新分配给请求/使用的相同切片的新的WTRU的可能性对于链接能力攻击可以是可忽略的。
操作5.NG-RAN可以使用S-TMSI来计算用于从AMF接收的支持T-S-NSSAI(一个或多个)中的每个支持T-S-NSSAI的散列。NG-RAN可以基于接收的T-S-NSSAI和支持的散列T-S-NSSAI的匹配来选择适当的AMF。
操作6.NG-RAN可以将WTRU初始NAS消息路由到所选择的AMF。
在各种实施例中,NG-RAN可以在任何时间接收包括T-S-NSSAI的更新列表的AMF配置更新消息(例如,在PLMN支持的S-NSSAI的列表的更新之后)。在一个示例中,网络可以维持每个PLMN的一个T-S-NSSAI集合,例如,具有S-NSSAI和T-S-NSSAI的直接一对一映射。
在各种实施例中,应当理解,本文针对CAG ID或NSSAI信息元素(IE)示出的该随机化和安全机制/过程可以用于(例如,在初始连接建立期间和/或在不存在任何现有安全上下文的情况下)不应作为明文发送的其他IE的机密性、完整性和重演保护。
使用基于Diffie-Hellman的密钥协定协议来保护NPN的机密性和/或NPN用户的隐私的代表性过程
在各种实施方式中,公开了用于保护在NPN中使用的CAG ID的一个或多个列表的机密性和/或NPN用户(例如,WTRU)的隐私的机制、方法、装置和系统。在一个示例中,WTRU可以被配置成执行一个或多个以下操作。
例如,WTRU可以将WTRU的本地配置的允许CAG ID(一个或多个)的集合或列表的散列值与CAG小区所支持CAG ID(一个或多个)的散列值(例如,在由CAG小区广播的广播消息和/或系统信息中,或由CAG小区发送的单播消息中)进行比较,以找到一个或多个匹配的CAG ID。WTRU可以从接收到的消息中获得例如广播消息,该广播消息包括具有密钥参数(例如,gNB短暂公钥)的系统信息以建立与RAN(例如,CAG小区或gNB)的共享秘密。例如,WTRU可以获得、识别和/或解码所接收的系统信息中的所述密钥参数(例如,gNB短暂公钥),以使用基于Diffie-Hellman的密钥协商协议与RAN(例如,gNB)建立共享秘密。WTRU可以使用交换的密钥参数(例如,gNB短暂公钥(一个或多个)和WTRU短暂公钥(一个或多个)中的一个或多个)以及WTRU或UE标识(例如,C-RNTI)来导出秘密密钥。WTRU可以向网络(例如,CAG小区或gNB)注册,同时使用秘密密钥(例如,如在高级加密标准(AES)算法中)在RRC层(例如,注册消息的RRC部分)中提供被保护以用于机密性和完整性的一个或多个匹配的CAG ID。在一些情况下,所述注册过程的其余部分可以以类似于本文讨论的一个或多个实施例中的描述的方式来执行(例如,图2、图4和/或图5中所示的过程)。
图7是示出了与示例注册过程有关的示例CAG ID保护机制700的信号流图。图7的CAG ID保护机制可以使用基于Diffie-Helman的密钥协商协议。所述CAG ID保护机制和/或代表性过程可被用于例如解决在NPN(例如,CAG小区或gNB)中使用的CAG ID的一个或多个列表的机密性和/或NPN用户(例如,WTRU)的隐私。所述CAG ID保护机制和/或代表性过程可以包括以下特征中的一个或多个(例如,如图7所示):
0.WTRU可以被配置有来自HPLMN的允许CAG列表,并且gNB可以被配置有支持CAGID(一个或多个)的列表。
1.gNB可以执行以下操作中的一个或多个:
例如,gNB可以生成短暂私钥a。gNB可以使用a生成短暂公钥A(例如,A=ga mod p,其中g和p是素数,其中p可以是大素数(例如,2048位、3072位或更大),并且g是生成器(例如,g=2)。gNB可以生成伪随机数(例如,RAND_CELL)。gNB可以使用RAND_CELL为其配置的CAG ID(一个或多个)中的每一个计算相应的散列值。
2.WTRU可以从系统信息(例如,SIB1)获得密钥配置参数。该密钥配置参数可以包括p、g、A、RAND_CELL和散列CAG ID(一个或多个)列表中的任意者。
3.WTRU可以执行一个或多个以下操作(例如,在获得所述密钥配置参数之后)。例如,WTRU可以生成临时私钥b。WTRU可以使用b生成短暂公共密钥B(例如,B=gbmod p)。WTRU可以使用A和b生成共享秘密Kab(例如,Kab=Ab mod p)。WTRU可以从Kab导出秘密密钥K(例如,使用A和B)。WTRU可以从允许CAG ID列表中选择一个或多个CAG ID,其散列值(一个或多个)(使用RAND_CELL确定/计算的)至少匹配来自gNB(由gNB配置或支持)的CAG ID的散列值。对于每个匹配的CAG ID,WTRU可以使用K来计算隐藏的CAG ID(例如,隐藏的CAG IDK=CAG ID XORK)。
4.WTRU可以发送注册请求消息,并且可以包括(例如,在该消息的RRC部分中)以下参数中的任何参数:B,以及一个或多个隐藏CAGIDK
5.gNB可执行以下操作中的一个或多个。例如,gNB可使用B和a生成共享秘密Kab(例如,Kab=Ba mod p)。对于一个或多个隐藏CAG IDK,gNB可计算明文CAG ID(例如,明文CAGID=隐藏CAG IDK XORK)。
6.可以以与本文公开的一个或多个实施例中的相似类型的过程(例如,本文结合图2、图4和/或图5公开的过程)相同或类似的方式来执行完整的注册过程。在各种实施方式中,gNB可检查是否允许WTRU接入CAG小区。gNB例如可以确定(是否)来自WTRU的至少一个明文CAG ID与gNB配置的CAG ID匹配。作为示例,如果gNB验证来自WTRU的至少一个明文CAGID与gNB配置/支持CAG ID匹配,则gNB可以确定允许WTRU接入CAG小区。
图8是示出了结合示例注册过程的CAG ID保护机制800的信号流图。该CAG ID保护机制800可以使用基于椭圆曲线Diffie-Hellman短暂(ECDHE)的密钥协商协议。该CAG ID保护机制和/或代表性过程可被用于例如解决在NPN(例如,CAG小区或gNB)中使用的CAG ID的一个或多个列表的机密性和/或NPN用户(例如,WTRU)的隐私。该CAG ID保护机制800可以以类似于CAG ID保护机制800和/或图7中的代表性过程700的方式来实现对由WTRU(或UE)传送的CAG ID的保护。在CAG ID保护机制800中,EC曲线25519被用作示例,并且其他曲线也可被使用。
该CAG ID保护机制800可以包括以下特征中的一个或多个(例如,如图8所示):
0.WTRU可以被配置有来自HPLMN的允许CAG列表。RAN(例如,gNB)可以被配置有支持CAG ID(一个或多个)的列表。在该示例中,WTRU和RAN/gNB可以被配置有EC域参数(例如,曲线25519)。
1.gNB可执行一个或多个以下操作。例如,gNB可以生成短暂私钥a(例如,32字节随机数)。gNB可使用a来生成短暂公钥K_A(例如,K_A=X25519(a,9),其中9是曲线基点)。gNB可以生成伪随机数(例如,RAND_CELL=K_A的n个最低有效位)。gNB可以使用RAND_CELL为其配置的CAG ID(一个或多个)中的每一个计算相应的散列值。
在各种实施例中,通过计算RAND_CELL作为K_A的函数(例如,截断),配置的CAG ID(一个或多个)的散列值(一个或多个)可以被绑定到短暂公钥K_A。这可以实现对DH密钥协定的保护以免受攻击(例如,中间人(MiTM)攻击),其中攻击者试图用其自己的密钥替换(由gNB生成的)K_A以与WTRU建立共享秘密(例如,以便获得明文CAG ID(一个或多个))。
可以周期性地(例如,频繁地)产生新的K_A,以便降低对WTRU散列CAG ID(一个或多个)(例如,在RRCSetupComplete消息中)的重演攻击的可能性。gNB例如可以在广播消息中包括可以独立于K_A而改变的暂用值(nonce)(例如,伪随机数)。例如,新的a和新的K_A可以用于给定的时间段(例如,每隔几个小时),而新的暂用值可以被生成和使用:i.)与K_A生成无关,和ii.)用于不同的时间段(例如,更短的时间段,每几分钟)。这样,该过程可以提供额外的新鲜度(例如,基于策略),并且可以被使用以便节省K_A处理成本,同时提供针对使用WTRU连接请求的重演攻击的保护。
2.WTRU可以从系统信息(例如,SIB1)获得密钥配置参数。该密钥配置参数可以包括以下中的任意者:K_A,以及gNB配置和/或支持的散列CAG ID的列表。如果暂用值被包括在(例如,广播的)系统信息(SI)中,则WTRU可以获得该暂用值。
3.WTRU可以执行一个或多个以下操作(例如,在获得所述密钥配置参数之后)。例如,WTRU可以生成短暂私钥b。WTRU可以使用b生成短暂公共密钥B(例如,K_B=X25519(b,9))。WTRU可以使用K_A和b生成共享秘密S(例如,S=X25519(b,K_A))。WTRU可以使用密钥导出功能、K_A、K_B和/或WTRU或UE标识从S导出秘密密钥K(例如,K=HMAC-SHA256(S,K_A||K_B||C-RTNI))。如果暂用值被包括在广播的SI中,则WTRU可以在K的计算中使用该暂用值(例如,通过与一个或多个其他参数级联)。WTRU可以从允许CAG ID列表中选择一个或多个CAGID,该一个或多个CAG ID的散列值(一个或多个)(使用RAND_CELL确定/计算的)至少与来自gNB(由gNB配置或支持)的CAG ID的散列值匹配,其中RAND_CELL是从K_A获得的,如特征1和/或特征2所述。对于所匹配的CAG ID中的每一者、一些及所有,WTRU可使用K计算隐藏的CAG ID(例如,隐藏CAG IDK=使用K及AES算法进行加密/完整性保护的CAG ID)。
4.WTRU可以发送注册请求消息,并且可以包括(例如,在该消息的RRC部分中)以下参数中的任何参数:K_B、以及一个或多个隐藏CAG IDK。在一个示例中,WTRU可以包括从广播SI接收的暂用值(例如,在注册请求消息可能需要与上面在特征1和/或特征2中讨论的广播消息同步的情况下,用于上面讨论的特征1、特征2和/或特征4之间的会话同步)。
5.gNB可执行以下操作。例如,gNB可使用K_B和a生成共享秘密S(例如,S=X25519(a,K_B))。对于一个或多个隐藏的CAGK,gNB可计算明文CAG ID(例如,明文CAG ID=(校验完整性保护),使用K和AES算法来解密CAG IDK)。gNB可以通过验证所包括的暂用值对应于广播的SI中的当前暂用值来验证WTRU请求(一个或多个)的新鲜度。gNB可以使用先前的暂用值(例如,基于策略)将WTRU请求视为有效。在一些情况下,使用先前的暂用值检查有效性可以避免gNB拒绝尝试使用该先前暂用值(该先前的暂用值在广播的SI中刚刚被新的暂用值替换)连接到gNB的WTRU。
6.可以以与本文公开的一个或多个实施例中的相似类型的过程(例如,本文结合图2、图4、图5和/或图7公开的过程200、400、500和/或700)相同或类似的方式来执行完整的注册过程。
本文公开的各种实施例示出了在RRC连接建立过程期间保护CAG ID(一个或多个)的机制。可以预期,该保护机制也可以用于例如在初始连接建立期间和/或在不存在任何现有/有效安全上下文的情况下,可以不作为明文发送其它过程和/或信息元素(IE)的机密性、完整性和重演保护。
在各种实施方式中,WTRU可以在AS连接建立期间使用如本文所公开的秘密K来保护NSSAI。WTRU可以在AS连接建立期间基于NSSAI包含模式参数(如上所述)将安全保护应用于NSSAI。作为示例,当NSSAI包含模式是“d”时,WTRU可以使用秘密K来保护传送的NSSAI。该保护机制可以使得gNB在AS连接建立期间解密所述NSSAI以将初始WTRU请求转发到指定的服务AMF,而不是默认AMF,即使当WTRU被配置具有NSSAI包含模式“d”时。在一些实施方式中,当WTRU以模式“d”操作时,gNB可将WTRU请求(一个或多个)转发到默认AMF,可能随后导致附加AMF重新分配过程。
在各种实施例中,在“冷启动”数据传输与空中数据保护(例如,在初始注册期间和/或在AS连接建立过程(一个或多个)期间的数据传输)一起使用的情况下,可以使用本文公开的机制(一个或多个),以机密性、完整性和重演保护来传输诸如用户数据的其它IE。
在可以使用本文公开的保护机制来保护的IE类型中,有在AS连接建立期间使用的IE,这其中包括例如WTRU或UE标识。该WTRU或UE标识(标识符)的示例可以包括系统架构演进(SAE)临时移动用户标识(S-TMSI)和/或5G全球唯一临时UE标识(5G-GUTI)。在一个示例中,本文所公开的保护机制的机密性和重演保护可以防止试图使用目标WTRU或UE标识(例如,S-TMSI)建立RRC连接行骗的对手引起对目标WTRU的DoS攻击。在攻击场景示例中,目标WTRU处于RRC_IDLE中,而在恶意RRC连接尝试(一个或多个)之后,目标WTRU被认为是在网络或gNB中RRC_CONNECTED。在这种攻击中,由于目标WTRU被认为已经连接到网络或gNB,因此目标WTRU可以停止接收寻呼消息。
使用ECIES保护NPN的机密性和/或NPN用户的隐私的代表性过程
在各种实施方式中,WTRU可以使用ECIES来保护在建立AS连接时传送的一个或多个CAG ID。
在一个示例中,WTRU可以从广播的SI中获得RAN(例如,gNB)公钥。WTRU可以使用RAN公钥和ECIES中生成的短暂公钥/私钥对来导出对称加密密钥和消息认证码(MAC)密钥。WTRU可以使用这些密钥中的一个或多个来保护一个或多个(例如,所选择的)CAG ID。在一个示例中,WTRU可以在RRC连接建立期间(例如,在RRCSetUpComplete消息中)传送WTRU生成的短暂公钥,和/或被加密和完整性保护的CAG ID(例如,具有其MAC标签的CAG ID密文)。在接收到包含受保护的CAG ID的消息之后,RAN(例如,gNB)可以使用RAN的私钥和WTRU提供的短暂公钥来执行ECIES密钥协商功能,以导出对称加密密钥和MAC密钥。使用这些密钥,RAN可以验证CAG ID完整性并解密CAG ID密文。
可以预期,RAN可支持不同类型的CAG ID保护机制以适应具有不同能力的WTRU或支持不同保护机制的引入。RAN可以广播(例如,作为预定义的码)一个或多个支持的密钥协定和保护机制(例如,ECDH、ECIES、加密和/或完整性算法)。WTRU可以基于其安全能力来选择保护方法。WTRU可以将所选择的保护机制与受保护的CAG ID信息(例如,作为RRCSetup消息中的特定码)一起传送和/或提供给RAN。在各种实施方式中,支持ECDH(如上所述)和ECIES机制的gNB能够基于由WTRU提供的受保护CAG ID信息(例如,特定码)来决定所接收的短暂公钥是用于ECDH机制还是ECIES机制。
在各种实施方式中,WTRU可以在成功注册之后使用机密性、完整性和重演受保护的单播消息(例如,RRCReConfiguration消息)获得RAN(例如,gNB)公钥。WTRU可以在RRC连接建立期间使用RAN公钥来保护所传送的CAG ID(例如,类似于本文所公开的过程)。WTRU可以存储RAN公钥,并且可以在随后的RRC连接建立中(例如,在服务请求和/或注册过程期间)重用RAN公钥。WTRU支持的一个或多个CAG ID保护机制(例如,采用密钥协商、加密和/或完整性算法的那些机制中的任何一种)可以作为WTRU(或UE)安全能力的一部分被传送。所述(例如,所选择的)保护机制可以在AS安全模式命令(SMC)过程期间在WTRU和RAN之间协商,或者由RAN在不同的消息(例如,RRCReConfiguration消息)中传送到WTRU。在随后的RRC连接建立中,如果WTRU具有RAN公钥,则RAN可以提供或可以不提供新鲜的或新的公钥(例如,基于其安全策略)。为了使RAN公钥撤销能够进行,预期RAN可以向WTRU传送公钥的标识符(例如,唯一索引)。WTRU可以在RRC连接建立期间(例如,在RRCSetupComplete消息中)传送公钥(正被用于CAG ID保护)的标识符。RAN可以基于所提供的密钥标识符来检测用于保护CAG ID的公钥被撤销,并且可以决定向WTRU提供新的公钥。
在各种实施例中,在检测到密钥撤销条件时或按照服务网络安全策略,WTRU可以用新的公钥替换先前存储的公钥(或移除旧的密钥或先前存储的公钥)。
虽然上述实施例中的一个或多个可以以独立的方式使用,但是它们也可以被组合。例如,WTRU可以使用基于Diffie-Hellman的过程/机制来进行初始注册,并且使用基于ECIES的过程/机制来进行后续注册。
本文公开的各种实施例使用ECIES在RRC连接建立过程期间提供CAG ID(一个或多个)保护。可以预期,例如在初始连接建立期间和/或在不存在任何现有/有效安全性上下文时,这些保护机制也可以用于可能不作为明文发送的其它过程和/或IE的机密性、完整性和重演保护。
使用与CAG小区位置相关的WTRU配置的代表性过程
在各种实施方式中,当移动到新的CAG小区时,WTRU配置(例如,基于允许NSSAI,或与CAG小区位置相关)可能是不正确的。当处于CM-IDLE状态的WTRU(例如,支持NPN的WTRU)从一个CAG小区移动到另一个CAG小区时,该WTRU可以将在新的CAG小区中广播的CAG ID列表与在前一个CAG小区中广播的CAG ID列表进行比较。如果WTRU的允许CAG ID列表和新小区中广播的CAG ID列表的公共和/或重叠的CAG ID(一个或多个)不同于WTRU的允许CAG ID列表和先前小区中广播的CAG ID列表的CAG ID(一个或多个),则WTRU可以发起与网络的注册和/或服务请求过程,例如将其当前CAG小区位置与网络同步,和/或接收用于新CAG小区的适当配置(例如,允许NSSAI)。为了进行上述CAG ID的比较,WTRU可以存储先前小区的CAGID列表和/或先前小区的CAG ID列表的公共部分。
在各种实施方式中,WTRU可以具有允许CAG ID列表,该列表可以包含或包括“CAG-1”和“CAG-2”,并且WTRU可以占用广播具有“CAG-1”和“CAG-3”的CAG ID列表的CAG小区。WTRU的允许CAG ID列表和广播的CAG ID列表的公共部分(例如,它们之间的重叠)是“CAG-1”。当WTRU移动到广播具有“CAG-2”和“CAG-4”的CAG ID列表的新的CAG小区时,WTRU的允许CAG ID列表和广播的CAG ID列表的公共部分可以被改变为“CAG-2”。
在确定/观察到这样的改变(例如,这种改变)时,WTRU可以发起注册和/或服务请求过程。在注册/服务请求过程期间或之后,网络可以意识到WTRU的CAG位置已经改变,并且网络可以在相同的注册或服务请求过程期间向WTRU发送相关的配置(例如,允许NSSAI),或者网络可以发起另一个NAS过程(例如,UE配置更新(UCU)过程)以更新所述配置。
在各种实施方式中,如果当WTRU处于RRC_INACTIVE(RRC_不活动)状态时发生了各种CAG小区之间的移动性,则当WTRU观察到CAG ID的公共部分已经改变时,WTRU可以发起RRC连接恢复过程。在RRC恢复请求消息中,WTRU可以指示该请求的原因是“CAG小区改变/更新”。服务RAN可以在发送到网络的N2路径切换请求消息中包括当前小区的CAG ID列表,以使得网络可以意识到WTRU的CAG位置已经改变并且可以将更新的配置发送到WTRU。例如,被配置用于处于RRC_INACTIVE模式的WTRU的RAN通知区域(RNA)可以仅包含或包括相同CAGID(一个或多个)的小区,从而CAG小区的改变可以自动触发RNA更新过程,该过程例如可以使得网络能够更新所述配置。
参考图9,提供了CAG小区之间的切换过程900。在各种实施方式中,对于处于CONNECTED(连接)模式的WTRU(例如,WTRU 102),WTRU可以在其测量报告中包括相邻CAG小区的CAG ID,例如如切换过程900中所示。当服务RAN(或服务小区/gNB)选择目标小区用于切换时,该服务RAN(或服务小区/gNB)可以考虑与其自身具有至少一个公共CAG ID的CAG小区。
在各种实施方式中,在WTRU完成切换过程之后,如果目标小区中的CAG ID的公共部分已经改变,则WTRU可以从目标小区发起连接模式下的注册过程。WTRU可以从网络接收新的配置(例如,允许NSSAI)。如果与WTRU的当前有效PDU会话相关联的S-NSSAI(一个或多个)不在更新的允许NSSAI中,则WTRU可以为该PDU会话发起PDU会话释放过程。
在所述切换过程900中,WTRU报告所测量的小区的CAG ID,因此源RAN可以考虑该CAG ID来选择一个或多个切换目标小区。WTRU可以在切换之后触发注册以接收更新的配置,并对照更新的NSSAI(例如,允许NSSAI)检查活动PDU会话,并采取适当的动作(例如,发起PDU会话释放)。
用于在订阅更新之后的WTRU允许CAG ID配置的代表性过程
在各种实施方式中,代表性的机制/过程可以用于防止系统或网络导致WTRU的允许CAG ID列表耗尽以及随后阻止WTRU进行网络接入或进一步的网络接入。例如,可以实施该机制/过程以防止WTRU在网络(例如,AMF)处的订阅更新之后具有不正确或过时的允许CAG ID配置,而WTRU例如可能未向网络注册。该代表性机制/过程可以包括以下操作中的任何操作。
例如,当WTRU向网络注册时,WTRU可以将其允许CAG ID列表包括在在NAS SMC完成消息中发送的完整初始NAS消息中。在另一个示例中,WTRU可以包括一指示WTRU允许CAG ID列表包含或包括仅一个CAG ID或CAG ID数量的标志。WTRU选择的用于接入小区的CAG ID可以由NG-RAN经由N2消息(例如,如图2所示的N2消息)提供或发送到AMF。WTRU可以提供一指示WTRU是否仅能够通过CAG小区接入网络的指示。
在各种实施方式中,AMF可以基于从WTRU接收的允许CAG ID列表来检测订阅数据未被同步。例如,当WTRU未在网络中注册时,订阅可能已经被更新。如果WTRU将其允许CAGID列表发送到AMF,则AMF可以识别(和/或确定)该列表与订阅数据中的列表不同。如果WTRU不发送其允许CAG ID列表到AMF,则AMF可以识别(和/或确定)从NG-RAN接收的CAG ID不是来自订阅数据的允许CAG ID列表的一部分。
在各种实施方式中,AMF可以确定WTRU只能通过CAG小区接入网络。AMF可以使用由WTRU提供的相应指示(例如,指示值),因为订阅(例如,订阅数据)中的指示(例如,指示值)可能已经用允许CAG ID列表更新。AMF可更新WTRU CAG配置信息(例如,允许CAG ID列表和/或指示WTRU是否仅被允许经由CAG小区接入网络的可选指示)。在一个示例中,AMF可以发送新的允许CAG ID列表和/或提供新的(或更新的)指示以指示WTRU是否只能通过CAG小区接入网络,这可以通过向WTRU发送消息(例如,UE配置更新消息)以更新其配置而进行。在另一个示例中,AMF可以在受保护的注册响应(例如,注册拒绝消息)中提供新的CAG配置信息。
在各种实施方式中,WTRU可以更新其允许CAG ID列表(例如,基于从上述网络接收的更新信息和/或指示)。例如,WTRU可以移除废弃的CAG ID(一个或多个),并且添加一个或多个新的CAG ID。在该CAG信息配置更新之后,WTRU可以例如使用其新的(或更新的)允许CAG ID列表,执行新的CAG小区选择和/或网络注册。在各种实施方式中,WTRU可以基于现有的WTRU配置更新(例如,UE配置更新)过程和/或提供给WTRU的新的CAG配置信息(例如,通过任何其他受保护的一个或多个消息)来更新其允许CAG ID列表。
在一些示例中,对手可能试图使WTRU清空其允许CAG ID列表。例如,对手可以发送具有CAG ID拒绝的适当原因的欺骗的注册拒绝消息(一个或多个),导致一个或多个或所有CAG ID的移除。在各种实施例中,为了保护WTRU免受这种类型的攻击(一个或多个),例如,只有当注册拒绝消息至少是完整性保护的时,WTRU才可以从其允许CAG ID列表中移除一个或多个CAG ID。
用于安全接入控制机制的代表性过程
在各种实施例中,提供了用于无线通信中的安全接入控制的方法和装置,例如,安全接入控制机制(例如,用于NG-RAN)。例如,用于无线通信的方法(例如,在WTRU 102中实现)可包括:接收包括系统信息的广播消息,基于该系统信息,识别第一集合散列ID和第一随机数,所述第一集合散列ID的每个ID可使用至少所述第一随机数而被单独散列。该方法还可包括:使用至少所述第一随机数来计算第二集合ID的每个ID的第一散列值,确定所述第二集合ID的至少一散列ID是否与所述第一集合散列ID的散列ID匹配,以及基于确定所述第二集合ID的至少一散列ID与所述第一集合散列ID的散列ID匹配来发送/传送请求消息。
在各实施例中,该方法可包括:基于确定所述第二集合ID的至少一散列ID与所述第一集合ID的散列ID匹配,使用至少第二随机数为与所述第二集合ID的与所述第一集合散列ID的散列ID匹配的散列ID相关联的至少一个ID,计算第二散列值。在各种实施方式中,使用所述第二随机数和由网络指派的WTRU ID来计算所述第二散列值。在各种实施方式中,由网络指派的WTRU ID是小区无线电网络临时标识符(C-RNTI)。在各种实施例中,所述请求消息是无线电资源控制(RRC)消息,并且所述RRC消息可以包括所述第二随机数的信息,或者至少由所述第二随机数散列的所述ID的信息。
在各实施例中,当确定所述第二集合ID的至少一散列ID是否与所述第一集合散列ID的散列ID匹配时,该方法可包括:将所述第二集合ID的每个散列ID与所述第一集合散列ID的每个散列ID进行比较。
在各种实施例中,所述第一集合散列ID中的每个ID使用所述第一随机数和小区ID单独散列。在各种实施例中,所述第一集合散列ID包括一个或多个散列CAG ID。在各种实施例中,所述第二集合ID包括一个或多个预配置的允许CAG ID。
在各种实施例中,该方法可包括:基于所述系统信息,识别第二随机数,并使用至少所述第二随机数为与所述第二集合ID中匹配所述第一集合散列ID的散列ID的散列ID相关联的至少一个ID,计算第二散列值。
在各种实施例中,所述请求消息可以是注册请求消息,并且所述方法可以包括:接收包括允许CAG ID集合的注册响应消息,以及用在所述注册响应消息中接收的允许CAG ID集合替换存储的允许CAG ID集合。在各种实施例中,所述注册响应消息是注册接受消息或注册拒绝消息。
在各种实施例中,在网络实体(例如,gNB)没有找到匹配ID的条件下,该方法可包括:在发送所述注册请求消息之后,接收注册拒绝消息。在各种实施例中,在网络发现至少一个匹配ID的条件下,该方法可以包括:在发送所述注册请求消息之后,接收注册接受消息。在各种实施例中,可以使用所述第一随机数和小区ID来计算所述第二集合ID中的每个ID的所述第一散列。
在各种实施方式中,一种用于无线通信的方法(例如,在WTRU 102中实施的)可以包括:基于一个或多个密钥配置参数和与WTRU相关联的私钥来与网络实体建立共享秘密,基于所述共享秘密和以下中的任意者来导出秘密密钥:所述一个或多个密钥配置参数、与WTRU相关联的公钥、以及所述WTRU的ID,基于所述秘密密钥为与所述WTRU相关联的第一集合散列ID中的每个散列ID(该散列ID与和所述网络实体相关联的第二集合散列ID中的散列ID相匹配)生成隐藏ID,以及基于由所述WTRU生成的一个或多个隐藏ID,执行注册过程。
在各种实施例中,该方法可包括:从网络实体(例如,gNB)接收消息(例如,包括系统信息的广播消息或单播消息),并基于接收的消息,识别所述一个或多个密钥配置参数和所述第二集合散列ID。
在各种实施方式中,当执行所述注册过程时,该方法可以包括:传送由所述WTRU生成的所述一个或多个隐藏ID。
在各种实施例中,当与所述网络实体建立所述共享秘密时,该方法可以包括:使用所述一个或多个密钥配置参数和所述私钥来生成与所述网络实体的所述共享秘密,并且所述一个或多个密钥配置参数可以包括与所述网络实体相关联的公钥。
在各种实施方式中,所述方法可以包括:使用所述私钥,生成与所述WTRU相关联的公钥,并且执行所述注册过程可以包括:传送所述一个或多个隐藏ID以及与所述WTRU相关联的所述公钥。
在各种实施例中,所述一个或多个密钥配置参数可以包括以下中的任意者:与所述网络实体相关联的公钥,以及与所述网络实体相关联的随机数。在各种实施例中,所述随机数可以被绑定到与所述网络实体相关联的所述公钥。在各种实施例中,可以基于与所述网络实体相关联的所述公钥的函数来确定所述随机数。在示例中,所述函数包括与所述网络实体相关联的所述公钥的截断。
在各种实施方式中,所述WTRU的所述ID(或WTRU ID)是小区无线电网络临时标识符(C-RNTI)或由网络(例如,NG-RAN)指派的指定RNTI。
在各种实施例中,散列ID集合可以包括一个或多个预配置的允许CAG ID,或者包括一个或多个NPN ID的一个或多个订户ID。
在各种实施例中,散列ID集合可以包括所述网络实体所支持的一个或多个散列CAG ID,或散列NPN ID。
在各种实施例中,执行注册过程可以包括:发送包括一个或多个隐藏ID的注册请求消息。
在各种实施例中,该方法可以从所述一个或多个密钥配置参数中识别与所述网络实体相关联的公钥,并且导出所述秘密密钥包括:使用所识别的与所述网络实体相关联的所述公钥来导出对称加密密钥和消息认证码(MAC)密钥中的任意者。
在各种实施例中,散列ID集合可以是本地生成的散列CAG ID的集合或本地存储的散列CAG ID的集合。
在各实施例中,生成一个或多个隐藏ID可包括:选择所述第二集合散列ID中与所述第一集合散列ID的散列ID匹配的至少一散列ID。
在各种实施例中,所述网络实体可以是以下中的任意者:AMF实体、基站、gNB和网络节点。
在各种实施例中,本文公开的公钥或私钥可以是短暂密钥。
在各种实施方式中,一种用于无线通信的方法(例如,在WTRU 102中实施的)可包括:确定WTRU(例如,WTRU 102)处于IDLE模式,识别与所述WTRU相关联的预配置ID的集合,识别与第一小区相关联的第一ID集合和与第二小区相关联的第二ID集合,以及在对于所述第一ID集合公共的一个或多个预配置ID不同于对于所述第二ID集合公共的一个或多个预配置ID的条件下,发起注册过程或服务请求过程。
在各种实施例中,所述第一ID集合或所述第二ID集合中的任意者可以包括一个或多个CAG ID或NPN ID。所述预配置ID的集合可以包括一个或多个预配置的允许CAG ID,或者包括一个或多个NPN ID的一个或多个订户ID。
在各种实施方式中,一种用于无线通信的方法(例如,在WTRU 102中实施的)可包括:确定WTRU(例如,WTRU 102)处于RRC INACTIVE模式,识别与所述WTRU相关联的预配置标识符(ID)集合,识别与第一小区相关联的第一ID集合和与第二小区相关联的第二ID集合,以及在对于所述第一ID集合公共的一个或多个预配置ID不同于对于所述第二ID集合公共的一个或多个预配置ID的条件下,发起RRC连接恢复过程。
在各种实施方式中,一种用于无线通信的方法(例如,在WTRU 102中实施的)可以包括:向第一小区报告一个或多个测量的小区的ID集合,在切换到第二小区之后发起注册过程,接收包括更新的允许NSSAI的更新的配置,以及根据与一个或多个活动的PDU会话相关联的一个或多个单NSSAI(S-NSSAI)是否在所述更新的允许NSSAI中,确定是否发起协议数据单元(PDU)会话释放。
在各种实施例中,所述ID集合可以包括一个或多个CAG ID,或者包括一个或多个NPN ID的一个或多个订户ID。
在各种实施例中,所述CAG信息可以包括指示所存储的允许CAG ID列表包括仅一个CAG ID、多个CAD ID或CAG ID数量的标志。
在各种实施方式中,一种用于无线通信的方法(例如,在WTRU 102中实施的)可包括:接收第一消息,该第一消息包括网络(例如,gNB)支持的T-S-NSSAI集合以及在注册过程期间由所述网络指派的WTRU ID。在接收所述第一消息之后,该方法可以包括:使用由网络指派的所述WTRU ID和随机数来计算所请求的T-S-NSSAI集合的一个或多个散列值,以及发送至少包括所述一个或多个散列值和所述随机数的第二消息。在一个示例中,所述所请求的T-S-NSSAI集合包括所述网络支持的所述T-S-NSSAI集合中的一个或多个T-S-NSSAI。
在各种实施例中,所述第一消息可以是注册接受消息。在各种实施例中,所述第二消息可以是无线电资源控制(RRC)消息。
在各种实施方式中,一种装置(例如,WTRU 102)可以包括:接收机,该接收机被配置成接收包括系统信息的广播消息。该装置还可包括处理器,该处理器被配置成基于所述系统信息,识别第一集合散列ID和第一随机数,并且所述第一集合散列ID中的每个ID可使用至少所述第一随机数来单独散列。该装置可至少使用所述第一随机数来计算第二集合ID的每个ID的第一散列值,并确定所述第二集合ID的至少一散列ID是否与所述第一集合散列ID的散列ID匹配。该装置还可包括收发信机/发射机,其被配置成基于确定所述第二集合ID中的至少一散列ID与所述第一集合散列ID中的散列ID相匹配来发送请求消息。
在各种实施方式中,WTRU(例如,WTRU 102)可以包括实施上面公开的任何方法的处理器、收发信机和存储器。
以下参考文献中的每一个都通过引用而被并入本文:(1)3GPP S2-1902898,“Introducing support for Non-Public Networks”;(2)3GPP TS 23.122,“NASfunctions related to MS in idle mode”,V16.0.0;(3)3GPP TR 33.819,“Study onsecurity for 5GS enhanced support of Vertical and LAN Services”;(4)3GPP S3-190994,“Key issue on CAG access control in Non-standalone NPNs”;(5)3GPP TR33.846,”Study on authentication enhancements in the 5G System”;(6)3GPP S3-190995,“New solution of CAG access control in Non-standalone NPNs”;(7)3GPP TS23.501,“System Architecture for the 5G System”,V15.4.0;(8)3GPP TS 23.502,“Procedures for the 5G System”,V15.4.1;(9)3GPP TS 33.501,“Securityarchitecture and procedures for 5G system”,v15.2.0;(10)3GPP SA2 TR 23.734,“Study on enhancement of 5G System(5GS)for vertical and Local Area Network(LAN)services”;(11)3GPP S2-1902810,“TS 23.502:Introducing Non-public network–CAG”;(12)Whitfield Diffie和Martin E.Hellman,“New directions in cryptography”,IEEE Transactions on Information Theory,22(6):644–654,1976;(13)IETF RFC 7748,“Elliptic Curves for Security”;(14)3GPP TR 33.813,"Study on Security Aspectsof Enhanced Network Slicing",V0.4.0;以及(15)3GPP TS 38.300,"NR;NR and NG-RANOverall Description",V15.4.0。
尽管上述按照特定组合描述了特征和元素,但是本领域技术人员将理解的是每个特征或元素可以被单独使用或以与其它特征和元素的任何组合来使用。此外,于此描述的方法可以在嵌入在计算机可读介质中由计算机或处理器执行的计算机程序、软件或固件中实施。非暂态计算机可读媒体的示例包括但不限于只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、诸如内部硬盘和可移除磁盘之类的磁媒体、磁光媒体、以及诸如CD-ROM碟片和数字多用途碟片(DVD)之类的光媒体。与软件相关联的处理器可以用于实施在WTRU 102、UE、终端、基站、RNC或任意主计算机中使用的射频收发信机。
此外,在上述的实施方式中,提及了处理平台、计算系统、控制器以及包含处理器的其他设备。这些设备可以包含至少一个中央处理单元(“CPU”)和存储器。根据计算机编程领域的技术人员的实践,对动作和操作或指令的符号描述的引用可以由各种CPU和存储器执行。这些动作和操作或指令可以称为“被执行”、“计算机执行”或“CPU执行”。
本领域技术人员可以理解动作和符号描述的操作或指令包括CPU对电信号的操纵。电气系统表示可以标识数据比特,其使得电信号产生变换或还原以及数据比特在存储系统中的存储位置的维持由此以重新配置或其他方式改变CPU的操作以及信号的其他处理。维持数据比特的存储位置是具有对应于或代表数据比特的特定电、磁、光或有机属性。应当理解,代表性实施方式不限于上述的平台或CPU且其他平台和CPU可以支持提供的方法。
所述数据比特也可以被维持在计算机可读介质上,其包括磁盘、光盘以及任意其他易失性(例如,随机存取存储器(“RAM”))或非易失性(例如,只读存储器(“ROM”))CPU可读的大存储系统。计算机可读介质可以包括协作或互连的计算机可读介质,其专门存在于处理器系统上或分布在可以是处理系统本地的或远程的多个互连处理系统间。可以理解代表性实施方式不限于上述的存储器且其他平台和存储器可以支持所描述的方法。
在示出的实施方式中,这里描述的操作、处理等的任意可以被实施为存储在计算机可读介质上的计算机可读指令。该计算机可读指令可以由移动单元、网络元件和/或任意其他计算设备的处理器执行。
系统方面的硬件和软件实施之间有一点区别。硬件或软件的使用一般(例如,但不总是,因为在某些环境中硬件与软件之间的选择可以是很重要的)是考虑成本与效率折中的设计选择。可以有影响这里描述的过程和/或系统和/或其他技术的各种工具(例如,硬件、软件、和/或固件),且优选的工具可以随着部署的过程和/或系统和/或其他技术的上下文而改变。例如,如果实施方确定速度和精度是最重要的,则实施方可以选择主要是硬件和/或固件工具。如果灵活性是最重要的,则实施方可以选择主要是软件实施。可替换地,实施方可以选择硬件、软件和/或固件的某种组合。
上述详细描述通过使用框图、流程图和/或示例已经提出了设备和/或过程的各种实施方式。在这些框图、流程图和/或示例包含一个或多个功能和/或操作的范围内,本领域技术人员可以理解这些框图、流程图或示例内的每个功能和/或操作可以被宽范围的硬件、软件或固件或实质上的其任意组合方式单独实施和/或一起实施。合适的处理器包括例如通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核相关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、专用标准产品(ASSP);场可编程门阵列(FPGA)电路、任意其他类型的集成电路(IC)和/或状态机。
尽管上述按照特定组合描述了特征和元素,但是本领域技术人员将理解的是每个特征或元素可以被单独使用或以与其它特征和元素的任何组合来使用。本公开不限于本申请描述的特定实施方式,这些实施方式旨在作为各种方面的示例。在不背离其实质和范围的情况下可以进行许多修改和变形,这些对本领域技术任意是所知的。本申请的描述中使用的元素、动作或指令不应被理解为对本发明是关键或必要的除非显式说明。除了本文中列举的这些方法和装置本领域技术人员根据以上描述还可以知道在本公开范围内的功能上等同的方法和装置。这些修改和变形也应落入所附权利要求书的范围。本公开仅由所附权利要求书限定,包括其等同的全面的范围。应当理解本公开不限于特定的方法或系统。
还应理解,本文所用的术语仅是为了描述具体实施例的目的,而不是旨在限制。如这里所使用的,当这里提及术语“站”及其缩写“STA”、“用户设备”及其缩写“UE”时可以表示:(i)无线发射和/或接收单元(WTRU),例如下面所描述的;(ii)WTRU的多个实施方式中的任一个,例如下文所描述的;(iii)一种无线和/或有线(例如,可无线通信的)设备,其配置有WTRU的一些或所有结构和功能,例如下文所述;(iii)一种具有无线能力和/或有线能力的设备,其被配置为具有少于WTRU的所有结构和功能的结构和功能,例如下文所描述的;或(iv)类似物。下面参考图1A-1D提供了示例WTRU的细节,该示例WTRU可以代表这里所述的任何UE。
在某些代表性实施方式中,这里描述的主题的一些部分可以经由专用集成电路(ASIC)、场可编程门阵列(FPGA)、数字信号处理器(DSP)和/或其他集成格式来实施。但是,本领域技术人员可以理解这里公开的实施方式的一些方面,其整体或部分,可以同等地由集成电路实施,作为在一个或多个计算机上运行的一个或多个计算机程序(例如,在一个或多个计算机系统上运行的一个或多个程序)、在一个或多个处理器上运行的一个或多个程序(例如,在一个或多个微处理器上运行的一个或多个程序)、固件、或实质上地这些的任意组合,以及根据本公开针对该软件和/或固件设计电路和/或写代码是本领域技术人员所知的。此外,本领域技术人员可以理解这里描述的主题的机制可以被分布为各种形式的程序产品,以及这里描述的主题的示例性实施方式适用,不管用于实际执行该分布的信号承载介质的特定类型如何。信号承载介质的示例包括但不限于以下:可记录类型的介质,例如软盘、硬盘、CD、DVD、数字带、计算机存储器等,以及传输类型的介质,例如数字和/或模拟通信介质(例如,光缆、波导、有线通信链路、无线通信链路等)。
这里描述的主题有时示出了不同组件,其包含在或连接到不同的其他组件。可以理解这些描绘的架构仅是示例,且实际中实施相同的功能的许多其他架构可以被实施。在概念上,实施相同功能更的组件的任何安排有效地“相关联”由此可以实施期望的功能。因此,这里组合以实施特定功能的任意两个组件可以视为彼此“相关联”由此实施期望的功能,不管架构或中间组件如何。同样地,相关联的任意两个组件也可以被视为彼此“操作上连接”或“操作上耦合”以实施期望的功能,以及任意两个能够这样相关联的组件也可以被视为彼此“操作上可耦合”以实施期望的功能。操作上可耦合的特定示例包括但不限于物理上可配对和/或物理上交互的组件和/或无线可交互的和/或无线交互的组件和/或逻辑上交互和/或逻辑上可交互的组件。
关于这里使用基本上任何复数和/或单数术语,本领域技术人员可以在适合上下文和/或应用时从复数转义到单数和/或从单数转义到复数。为了清晰,这里可以显式提出各种单数/复数置换。
本领域技术人员可以理解一般地这里使用的术语以及尤其在权利要求书中使用的术语(例如,权利要求书的主体部分)一般是“开放性”术语(例如,术语“包括”应当理解为“包括但不限于”,术语“具有”应当理解为“至少具有”,术语“包括”应当理解为“包括但不限于”等)。本领域技术人员还可以理解如果权利要求要描述特定数量,则在权利要求中会显式描述,且在没有这种描述的情况下不存在这种意思。例如,如果要表示仅一个项,则可以使用术语“单个”或类似的语言。为帮助理解,以下的权利要求书和/或这里的描述可以包含前置短语“至少一个”或“一个或多个”的使用以引出权利要求描述。但是,这些短语的使用不应当理解为暗示被不定冠词“一”引出的权利要求描述将包含这样的被引出的权利要求描述的任意特定权利要求限定到包含仅一个这样的描述的实施方式,即使在同一个权利要求包括前置短语“一个或多个”或“至少一个”以及不定冠词(例如,“一”)(例如,“一”应当被理解为表示“至少一个”或“一个或多个”)。对于用于引出权利要求描述的定冠词的使用也是如此。此外,即使引出的权利要求描述的特定数量被显式描述,但是本领域技术人员可以理解这种描述应当被理解为表示至少被描述的数量(例如,光描述“两个描述”没有其他修改符,表示至少两个描述,或两个或更多个描述)。
此外,在使用类似于“A、B和C等中的至少一者”的惯例的这些实例中,一般来说这种惯例是本领域技术人员理解的惯例(例如,“系统具有A、B和C中的至少一者”可以包括但不限于系统具有仅A、仅B、仅C、A和B、A和C、B和C和/或A、B和C等)。在使用类似于“A、B或C等中的至少一者”的惯例的这些实例中,一般来说这种惯例是本领域技术人员理解的惯例(例如,“系统具有A、B或C中的至少一者”可以包括但不限于系统具有仅A、仅B、仅C、A和B、A和C、B和C和/或A、B和C等)。本领域技术人员还可以理解表示两个或更多个可替换项的实质上任何分隔的字和/或短语,不管是在说明书中、权利要求书还是附图中,应当被理解为包括包含两个项之一、任意一个或两个项的可能性。例如,短语“A或B”被理解为包括“A”或“B”或“A”和“B”的可能性。此外,这里使用的术语“任意”之后接列举的多个项和/或多种项旨在包括该多个项和/或多种项的“任意”、“任意组合”、“任意多个”和/或“多个的任意组合”,单独或与其他项和/或其他种项结合。此外,这里使用的术语“集合”或“群组”旨在包括任意数量的项,包括零。此外,这里使用的术语“数量”旨在包括任意数量,包括零。
此外,如果按照马库什组描述本公开的特征或方面,本领域技术人员可以理解也按照马库什组的任意单独成员或成员子组来描述本公开。
本领域技术人员可以理解,出于任意和所有目的,例如为了提供书面描述,这里公开的所有范围还包括任意和所有可能的子范围以及其子范围的组合。任意列出的范围可以容易被理解为足以描述和实施被分成至少相等的两半、三份、四份、五份、十份等的相同范围。作为非限制性示例,这里描述的每个范围可以容易被分成下三分之一、中三分之一和上三分之一等。本领域技术人员还可以理解诸如“多至”、“至少”、“大于”、“小于”等的所有语言包括描述的数字并至可以随之被分成上述的子范围的范围。最后,本领域技术人员可以理解,范围包括每个单独的成员。因此,例如具有1-3个小区的群组和/或集合指具有1、2、或3个小区的群组/集合。类似地,具有1-5个小区的群组/集合指具有1、2、3、4或5个小区的群组/集合等等。
此外,权利要求书不应当理解为限制到提供的顺序或元素除非描述有这种效果。此外,在任意权利要求中术语“用于…的装置”的使用旨在援引35 U.S.C.§112,
Figure BDA0003279825750000622
6或装置+功能的权利要求格式,没有术语“用于…的装置”的任意权利要求不具有此种意图。
与软件相关联的处理器可以用于实施在无线发射/接收单元(WTRU)、用户设备(UE)、终端、基站、移动管理实体(MME)或演进分组核(EPC)或任何主机计算机中使用的射频收发信机。WTRU可以结合以硬件和/或软件实施的模块(包括软件定义无线电(SDR))和其他组件,该组件例如是相机、视频相机模块、视频电话、对讲电话、振动设备、扬声器、麦克风、电视收发信机、免提耳机、键盘、蓝牙
Figure BDA0003279825750000621
模块、调频(FM)无线电单元、近场通信(NFC)模块、液晶显示(LCD)显示单元、有机发光二极管(OLED)显示单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器和/或任意无线局域网(WLAN)或超宽带(UWB)模块。
虽然本发明已经根据通信系统进行了描述,但是可以预期,该系统可以在微处理器/通用计算机(未示出)上以软件实现。在某些实施例中,各种组件的功能中的一个或多个可以在控制通用计算机的软件中实现。
此外,尽管在此参考具体实施例示出和描述了本发明,但是本发明并不限于所示的细节。相反,在权利要求的等同范围内并且在不背离本发明的情况下,可以对细节进行各种修改。
在整个公开中,技术人员理解,某些代表性实施例可以替代地或与其它代表性实施例组合地使用。
尽管上述按照特定组合描述了特征和元素,但是本领域技术人员将理解的是每个特征或元素可以被单独使用或以与其它特征和元素的任何组合来使用。另外,在此所述的方法可以实施为结合在计算机可读介质中的计算机程序、软件或固件,以由计算机或处理器执行。非暂态计算机可读媒体的示例包括但不限于只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、诸如内部硬盘和可移除磁盘之类的磁媒体、磁光媒体、以及诸如CD-ROM碟片和数字多用途碟片(DVD)之类的光媒体。与软件相关联的处理器可用于实施用于WTRU、UE、终端、基站、RNC和任何主计算机的射频收发信机。
此外,在上述实施例中,注意到处理平台、计算系统、控制器和包含处理器的其它设备。这些设备可以包含至少一个中央处理单元(“CPU”)和存储器。根据计算机编程领域的技术人员的实践,对动作和操作或指令的符号表示的引用可以由各种CPU和存储器来执行。这样的动作和操作或指令可以被称为“被执行”、“计算机执行”或“CPU执行”
本领域的普通技术人员将理解,动作和符号表示的操作或指令包括由CPU对电信号的操纵。电气系统表示数据比特,其可以导致电信号的变换或减少以及数据比特在存储器系统中的存储器位置处的维持,从而重新配置或以其他方式改变CPU的操作以及信号的其他处理。维持数据比特的存储器位置是具有对应于或代表所述数据比特的特定电、磁、光或有机属性的物理位置。
所述数据比特也可以维持保存在计算机可读介质上,这其中包括磁盘、光盘和CPU可读的任何其它易失性(例如,随机存取存储器(“RAM”))或非易失性(“例如,只读存储器(“ROM”))大容量存储系统。所述计算机可读介质可以包括协作或互连的计算机可读介质,其专门存在于处理器系统上或分布在可以是所述处理系统本地的或远程的多个互连处理系统间。可以理解代表性实施方式不限于上述的存储器且其他平台和存储器可以支持所描述的方法。
举例来说,合适的处理器包括通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心相关联的一个或一个以上微处理器、控制器、微控制器、专用集成电路(ASIC)、专用标准产品(ASSP);现场可编程门阵列(FPGA)电路、任何其它类型的集成电路(IC)和/或状态机。
虽然本发明已经根据通信系统进行了描述,但是可以预期,该系统可以在微处理器/通用计算机(未示出)上以软件实现。在某些实施例中,各种组件的功能中的一个或多个可以在控制通用计算机的软件中实现。
此外,尽管在此参考具体实施例示出和描述了本发明,但是本发明并不限于所示的细节。相反,在权利要求的等同范围内并且在不背离本发明的情况下,可以对细节进行各种修改。

Claims (18)

1.一种用于无线通信的方法,包括:
接收包括系统信息的广播消息;
基于所述系统信息,识别第一集合散列标识符(ID)和第一随机数,其中所述第一集合散列ID中的每个ID是使用至少所述第一随机数来单独散列的;
使用至少所述第一随机数来计算第二ID集合中的每个ID的第一散列值;
确定是否第二集合ID的至少一散列ID与第一集合散列ID的散列ID匹配;以及
基于确定所述第二集合ID的至少一散列ID与所述第一集合散列ID的散列ID匹配,发送请求消息。
2.根据权利要求1所述的方法,还包括:
基于确定所述第二集合ID中的至少一散列ID与所述第一集合ID中的散列ID匹配,使用至少第二随机数为所述第二集合ID中的与所述第一集合ID中的散列ID匹配的散列ID计算第二散列值。
3.根据权利要求2所述的方法,其中所述第二散列值是使用所述第二随机数和由网络指派的无线发射/接收单元(WTRU)ID来计算的。
4.根据权利要求3所述的方法,其中由所述网络指派的所述WTRU ID是小区无线电网络临时标识符(C-RNTI)。
5.根据权利要求2所述的方法,其中,所述请求消息是无线资源控制(RRC)消息,并且其中,所述RRC消息包括以下各项中的任意项:所述第二随机数的信息,以及至少由所述第二随机数散列的所述ID。
6.根据权利要求1所述的方法,其中,确定是否所述第二集合ID的至少一散列ID与所述第一集合散列ID的散列ID匹配包括:将所述第二集合ID的每个散列ID与所述第一集合散列ID的每个散列ID进行比较。
7.根据权利要求1所述的方法,其中,所述第一集合散列ID中的每个ID使用所述第一随机数和小区ID而被单独散列。
8.根据权利要求1所述的方法,其中,所述第一集合散列ID包括一个或多个散列封闭接入组(CAG)ID。
9.根据权利要求1所述的方法,其中,所述第二集合ID包括一个或多个预先配置的允许CAG ID。
10.根据权利要求1所述的方法,还包括:
基于所述系统信息来识别第二随机数;以及
使用至少所述第二随机数,为至少与所述第二集合ID中与所述第一集合散列ID中的散列ID匹配的散列ID相关联的ID,计算第二散列值。
11.根据权利要求1所述的方法,其中所述请求消息是注册请求消息,并且所述方法还包括:
接收包括允许CAG ID集合的注册响应消息;以及
用在所述注册响应消息中接收的所述允许CAG ID集合替换存储的允许CAG ID集合。
12.根据权利要求11所述的方法,其中,所述注册响应消息是注册接受消息或注册拒绝消息。
13.一种在无线发射/接收单元(WTRU)中实施的用于无线通信的方法,该方法包括:
接收第一消息,所述第一消息包括网络所支持的临时单个网络切片选择辅助信息(T-S-NSSAI)集合以及在注册过程期间由所述网络指派的无线发射/接收单元(WTRU)标识符(ID);
在接收到所述第一消息之后,使用由所述网络指派的所述WTRU ID和随机数来计算所请求的T-S-NSSAI集合的一个或多个散列值;以及
发送至少包括所述一个或多个散列值和所述随机数的第二消息。
14.根据权利要求13的方法,其中所述所请求的T-S-NSSAI集合包括所述网络支持的所述T-S-NSSAI集合中的一个或多个T-S-NSSAI。
15.根据权利要求13所述的方法,其中,所述第一消息是注册接受消息。
16.根据权利要求13所述的方法,其中,所述第二消息是无线资源控制(RRC)消息。
17.一种无线发射/接收单元(WTRU),该WTRU包括:
接收机,被配置为接收包括系统信息的广播消息;
处理器,其被配置为:
基于所述系统信息,识别第一集合散列标识符(ID)和第一随机数,其中所述第一集合散列ID中的每个ID是使用至少所述第一随机数来单独地散列的;
使用至少所述第一随机数来计算第二ID集合中的每个ID的第一散列值;以及
确定是否所述第二集合ID的至少一散列ID与所述第一集合散列ID的散列ID匹配;以及
发射机,其被配置成基于确定所述第二集合ID中的至少一散列ID与所述第一集合散列ID中的散列ID相匹配来发送请求消息。
18.一种无线发射/接收单元(WTRU),该WTRU包括实施根据权利要求1-16中任一项所述的方法的处理器、收发信机和存储器。
CN202080024632.5A 2019-03-29 2020-03-27 用于无线通信中的安全接入控制的方法和装置 Pending CN113632517A (zh)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201962826926P 2019-03-29 2019-03-29
US62/826,926 2019-03-29
US201962839553P 2019-04-26 2019-04-26
US62/839,553 2019-04-26
US201962861773P 2019-06-14 2019-06-14
US62/861,773 2019-06-14
PCT/US2020/025440 WO2020205609A1 (en) 2019-03-29 2020-03-27 Methods and apparatus for secure access control in wireless communications

Publications (1)

Publication Number Publication Date
CN113632517A true CN113632517A (zh) 2021-11-09

Family

ID=70293148

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080024632.5A Pending CN113632517A (zh) 2019-03-29 2020-03-27 用于无线通信中的安全接入控制的方法和装置

Country Status (6)

Country Link
US (2) US11968533B2 (zh)
EP (1) EP3949323A1 (zh)
JP (2) JP7428723B2 (zh)
CN (1) CN113632517A (zh)
BR (1) BR112021018291A2 (zh)
WO (1) WO2020205609A1 (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11197232B2 (en) * 2019-04-01 2021-12-07 Ofinno, Llc Location reporting handling
US12069529B2 (en) * 2019-06-14 2024-08-20 Nokia Technologies Oy Method and apparatus for providing network triggered mobility between a stand-alone non-public network and a public land mobile network
EP3984281B1 (en) 2019-06-14 2023-09-06 Samsung Electronics Co., Ltd. Method and system for handling of closed access group related procedure
US11503662B2 (en) 2019-06-14 2022-11-15 Samsung Electronics Co., Ltd. Method and system for handling of closed access group related procedure
KR20220024181A (ko) * 2019-06-24 2022-03-03 삼성전자주식회사 폐쇄형 액세스 그룹 정보를 관리하는 방법 및 장치
EP4005281A1 (en) * 2019-07-29 2022-06-01 Sony Group Corporation Communications device, infrastructure equipment, core network element and methods
KR20210020696A (ko) * 2019-08-16 2021-02-24 삼성전자주식회사 무선통신 시스템에서 액세스 제어, 관리 및 보호 방법 및 장치
JP2022547503A (ja) * 2019-09-26 2022-11-14 鴻穎創新有限公司 ノンパブリックネットワークにおいてセル(再)選択を実行するための方法及び装置
CN113692033B (zh) * 2019-09-30 2023-12-15 Oppo广东移动通信有限公司 信息传输方法和设备
WO2021087969A1 (en) * 2019-11-08 2021-05-14 Zte Corporation Methods and devices for protecting privacy of slice identity information
US11665632B2 (en) 2020-01-02 2023-05-30 Apple Inc. Non-public wireless communication networks
KR20210095458A (ko) * 2020-01-23 2021-08-02 삼성전자주식회사 무선통신시스템에서 보안을 제공하는 장치 및 방법
US11553376B2 (en) * 2020-03-09 2023-01-10 Qualcomm Incorporated Communication link selection for non-RSRP based association in wireless industrial internet-of-things
CN113055382B (zh) * 2021-03-12 2022-04-26 华能国际电力股份有限公司 一种基于零信任的主机口令管控方法
CN113613205B (zh) * 2021-07-11 2023-06-13 西北工业大学 一种适用于无线航空电子内部通信网络的入网机制
EP4409498A1 (en) * 2021-09-28 2024-08-07 Visa International Service Association Device security with one-way function
KR20230105957A (ko) * 2022-01-05 2023-07-12 삼성전자주식회사 제어 평면을 이용하여 credential을 UE에 프로비저닝 시 종단 보안 형성을 위한 방법 및 장치
WO2024167316A1 (ko) * 2023-02-10 2024-08-15 엘지전자 주식회사 연합 학습
CN118157875B (zh) * 2024-05-09 2024-07-05 陕西延长石油矿业有限责任公司 一种基于eap-tls协议的5g二次认证方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140331052A1 (en) * 2012-02-29 2014-11-06 Blackberry Limited Communicating an identity of a group shared secret to a server

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090265542A1 (en) 2008-04-18 2009-10-22 Amit Khetawat Home Node B System Architecture
CN104094665B (zh) 2012-02-02 2018-05-15 Lg电子株式会社 在无线lan系统中接入信道的方法和设备
EP2846597B1 (en) 2012-04-30 2017-09-27 LG Electronics Inc. Method and device for accessing channel in wireless lan system
KR102156233B1 (ko) 2012-10-02 2020-09-15 엘지전자 주식회사 무선 통신 시스템에서 반송파 집성 그룹을 지원하기 위한 방법 및 장치
KR20210082224A (ko) * 2018-10-31 2021-07-02 콘비다 와이어리스, 엘엘씨 새로운 라디오 차량 사이드링크 발견
US11877341B2 (en) * 2019-01-18 2024-01-16 Lg Electronics Inc. Method and apparatus for access control in wireless communication system
CN110536331B (zh) 2019-01-29 2023-09-12 中兴通讯股份有限公司 一种非公众网络的配置方法、装置、cu、du和基站
CN111526546B (zh) * 2019-02-03 2023-02-03 中兴通讯股份有限公司 小区切换方法及装置、用户处理方法及装置
EP3703406B1 (en) * 2019-02-27 2023-08-02 Samsung Electronics Co., Ltd. Methods and systems for mitigating denial of service (dos) attack in a wireless network
CN111726808B (zh) * 2019-03-21 2022-06-10 华为技术有限公司 通信方法和装置
US11490291B2 (en) * 2019-03-28 2022-11-01 Ofinno, Llc Handover for closed access group
CN110536293B (zh) 2019-08-15 2024-10-18 中兴通讯股份有限公司 访问闭合访问组的方法、装置和系统
KR20210088306A (ko) * 2020-01-06 2021-07-14 삼성전자주식회사 단말의 사설망 접속 제어 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140331052A1 (en) * 2012-02-29 2014-11-06 Blackberry Limited Communicating an identity of a group shared secret to a server

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
""S2-1904667 was3423_CR1136 to 23.501 Correction to NPN access for initial configuration and multiple IDs v0"", 3GPP TSG_SA\\WG2_ARCH *
""S3-190861-VLAN-CAGSoln"", 3GPP INBOX\\SA3 *
""S3-190995"", 3GPP INBOX\\SA3 *
LG ELECTRONICS: "S2-1903423 "Correction to NPN access for initial configuration and multiple IDs"", 3GPP TSG_SA\\WG2_ARCH, no. 2 *

Also Published As

Publication number Publication date
US11968533B2 (en) 2024-04-23
BR112021018291A2 (pt) 2021-11-23
JP2022527109A (ja) 2022-05-30
JP7428723B2 (ja) 2024-02-06
JP2024028627A (ja) 2024-03-04
US20220201482A1 (en) 2022-06-23
WO2020205609A1 (en) 2020-10-08
EP3949323A1 (en) 2022-02-09
US20240224035A1 (en) 2024-07-04

Similar Documents

Publication Publication Date Title
JP7428723B2 (ja) 無線通信におけるセキュアなアクセス制御のための方法および装置
CN110786031B (zh) 用于5g切片标识符的隐私保护的方法和系统
KR102699480B1 (ko) Pc5 통신을 이용하여 wtru들을 위한 프라이버시를 가능하게 하는 절차들
US20190394650A1 (en) Network access privacy
AU2015321927B2 (en) Serving network authentication
KR102434871B1 (ko) 제한된 발견을 위한 구조화된 근접 서비스 코드들을 보안화하는 방법 및 장치
CN108012264B (zh) 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案
US11877149B2 (en) Protection of initial non-access stratum protocol message in 5G systems
JP2022502908A (ja) Nasメッセージのセキュリティ保護のためのシステム及び方法
WO2018053271A1 (en) Unified authentication framework
CN113016202A (zh) 5g系统中的初始非接入层协议消息的保护
EP3453149B1 (en) Secure signaling before performing an authentication and key agreement
CN114846841A (zh) 使用wtru到wtru中继的直接发现和通信的方法和设备
US20240155335A1 (en) Methods and apparatuses for privacy enhancement through mac address masquerading
JP6651613B2 (ja) ワイヤレス通信
CN114788323A (zh) 基于5G ProSe服务的发现
KR20240073964A (ko) 데이터를 은닉하기 위한 방법, 아키텍처, 장치 및 시스템
US12081972B2 (en) Protection of sequence numbers in authentication and key agreement protocol
TW202437781A (zh) 用於wtru對wtru中繼器發現安全性及隱私之方法及設備
WO2024186894A1 (en) Methods and apparatus for wtru-to-wtru relay discovery security and privacy
CN118202680A (zh) 用于隐藏数据的方法、架构、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20230413

Address after: Delaware

Applicant after: INTERDIGITAL PATENT HOLDINGS, Inc.

Address before: Delaware

Applicant before: IDAC HOLDINGS, Inc.

TA01 Transfer of patent application right