CN113711565A - 系统信息安全容器 - Google Patents
系统信息安全容器 Download PDFInfo
- Publication number
- CN113711565A CN113711565A CN202080029493.5A CN202080029493A CN113711565A CN 113711565 A CN113711565 A CN 113711565A CN 202080029493 A CN202080029493 A CN 202080029493A CN 113711565 A CN113711565 A CN 113711565A
- Authority
- CN
- China
- Prior art keywords
- system information
- base station
- signature
- security container
- sisc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/1016—IP multimedia subsystem [IMS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1069—Session establishment or de-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
描述了用于无线通信的方法、系统和设备。概括而言,所描述的技术提供以有限的信令和处理开销来高效地保护基站和UE之间的通信。如本文描述的,基站可以生成包括一个或多个系统信息块(SIB)的完整性信息的系统信息安全容器(SISC),并且基站可以向一个或多个UE发送(例如,广播)具有签名的SISC(例如,以保护SISC中的SIB的完整性信息)。一旦UE接收到SISC,UE就可以验证SISC的签名,识别SISC中包括的系统信息(例如,SIB的完整性信息中包括的系统信息),并且将系统信息应用于与基站的通信。
Description
本专利申请要求享受以下申请的权益:由LEE等人于2019年4月25日提交的、名称为“SYSTEM INFORMATION SECURITY CONTAINER”的美国临时专利申请No.62/838,513;以及由LEE等人于2020年4月22日提交的、名称为“SYSTEM INFORMATION SECURITY CONTAINER”的美国专利申请No.16/855,773,上述申请中的每一份申请被转让给本申请的受让人。
技术领域
概括而言,下文涉及无线通信,并且更具体地,下文涉及系统信息安全容器(SISC)。
背景技术
无线通信系统被广泛地部署以提供诸如语音、视频、分组数据、消息传送、广播等各种类型的通信内容。这些系统能够通过共享可用的系统资源(例如,时间、频率和功率)来支持与多个用户的通信。这样的多址系统的示例包括第四代(4G)系统(例如,长期演进(LTE)系统、改进的LTE(LTE-A)系统或LTE-A专业系统)和第五代(5G)系统(其可以被称为新无线电(NR)系统)。这些系统可以采用诸如以下各项的技术:码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交频分多址(OFDMA)或者离散傅里叶变换扩展OFDM(DFT-S-OFDM)。
无线多址通信系统可以包括多个基站或网络接入节点,每个基站或网络接入节点同时支持针对多个通信设备(其可以另外被称为用户设备(UE))的通信。在一些无线通信系统中,基站和UE之间的通信可以被保护以防止黑客和数据泄露。受保护的通信可以包括包含私有或机密信息的通信。然而,在一些情况下,一些类型的网络通信可能缺乏保护或安全性。由于无线网络中未受保护的通信可能受到攻击者的利用,这可能对无线网络有害,因此可能期望一种用于保护无线网络中安全敏感通信的技术的。
发明内容
所描述的技术涉及支持系统信息安全容器(SISC)的改进的方法、系统、设备和装置。概括而言,所描述的技术提供以有限的信令和处理开销高效地保护基站和用户设备(UE)之间的通信。如本文描述的,基站可以生成包括一个或多个系统信息块(SIB)的完整性信息的SISC,并且基站可以向一个或多个UE发送(例如,广播)具有签名的SISC(例如,以保护SISC中的SIB的完整性信息)。可以使用私有参数(例如,私钥或证书)来生成与SISC包括在一起的签名,使得UE能够确定SISC来自合法基站(例如,而不是假基站)。
一旦UE接收到SISC,UE就可以验证SISC的签名并且识别SISC中包括的系统信息(例如,SIB的完整性信息中包括的系统信息)。然后,UE可以将系统信息应用于与基站的通信(例如,在初始接入过程中接入基站)。由于SISC可以与签名一起被发送,因此SISC中包括的系统信息可以被保护。此外,由于SISC可以包括多个SIB的完整性信息,因此与保护SIB相关联的信令和处理开销可以被最小化(例如,与其中每个SIB被独立地保护的安全方案相比)。
描述了一种UE处的无线通信的方法。所述方法可以包括:接收对要由所述UE用于验证来自基站的系统信息传输的系统参数的指示;从所述基站接收包括一个或多个SIB的完整性信息的SISC;确定所述基站的小区身份;基于所述小区身份和所述系统参数来验证所述SISC的签名;基于所述验证来识别所述一个或多个SIB的所述完整性信息中包括的系统信息;以及将所述一个或多个系统信息块的所述完整性信息中包括的所述系统信息应用于与所述基站的通信。
描述了一种用于UE处的无线通信的装置。所述装置可以包括处理器、与所述处理器进行电子通信的存储器、以及被存储在所述存储器中的指令。所述指令可以可由所述处理器执行以使得所述装置进行以下操作:接收对要由所述UE用于验证来自基站的系统信息传输的系统参数的指示;从所述基站接收包括一个或多个SIB的完整性信息的SISC;确定所述基站的小区身份;基于所述小区身份和所述系统参数来验证所述SISC的签名;基于所述验证来识别所述一个或多个SIB的所述完整性信息中包括的系统信息;以及将所述一个或多个SIB的所述完整性信息中包括的所述系统信息应用于与所述基站的通信。
描述了另一种用于UE处的无线通信的装置。所述装置可以包括用于进行以下操作的单元:接收对要由所述UE用于验证来自基站的系统信息传输的系统参数的指示;从所述基站接收包括一个或多个SIB的完整性信息的SISC;确定所述基站的小区身份;基于所述小区身份和所述系统参数来验证所述SISC的签名;基于所述验证来识别所述一个或多个SIB的所述完整性信息中包括的系统信息;以及将所述一个或多个SIB的所述完整性信息中包括的所述系统信息应用于与所述基站的通信。
描述了一种存储用于UE处的无线通信的代码的非暂时性计算机可读介质。所述代码可以包括可由处理器执行以进行以下操作的指令:接收对要由所述UE用于验证来自基站的系统信息传输的系统参数的指示;从所述基站接收包括一个或多个SIB的完整性信息的SISC;确定所述基站的小区身份;基于所述小区身份和所述系统参数来验证所述SISC的签名;基于所述验证来识别所述一个或多个SIB的所述完整性信息中包括的系统信息;以及将所述一个或多个SIB的所述完整性信息中包括的所述系统信息应用于与所述基站的通信。
描述了一种基站处的无线通信的方法。所述方法可以包括:识别要向一个或多个UE广播的一个或多个SIB;生成包括所述一个或多个SIB的完整性信息的SISC;执行签名过程以将签名与所述SISC包括在一起,所述签名指示所述SISC与所述基站的小区身份相关联;以及向一个或多个UE广播与签名在一起的包括所述一个或多个SIB的所述完整性信息的所述SISC。
描述了一种用于基站处的无线通信的装置。所述装置可以包括处理器、与所述处理器进行电子通信的存储器、以及被存储在所述存储器中的指令。所述指令可以可由所述处理器执行以使得所述装置进行以下操作:识别要向一个或多个UE广播的一个或多个SIB;生成包括所述一个或多个SIB的完整性信息的SISC;执行签名过程以将签名与所述SISC包括在一起,所述签名指示所述SISC与所述基站的小区身份相关联;以及向一个或多个UE广播与签名在一起的包括所述一个或多个SIB的所述完整性信息的所述SISC。
描述了另一种用于基站处的无线通信的装置。所述装置可以包括用于进行以下操作的单元:识别要向一个或多个UE广播的一个或多个SIB;生成包括所述一个或多个SIB的完整性信息的SISC;执行签名过程以将签名与所述SISC包括在一起,所述签名指示所述SISC与所述基站的小区身份相关联;以及向一个或多个UE广播与签名在一起的包括所述一个或多个SIB的所述完整性信息的所述SISC。
描述了一种存储用于基站处的无线通信的代码的非暂时性计算机可读介质。所述代码可以包括可由处理器执行以进行以下操作的指令:识别要向一个或多个UE广播的一个或多个SIB;生成包括所述一个或多个SIB的完整性信息的SISC;执行签名过程以将签名与所述SISC包括在一起,所述签名指示所述SISC与所述基站的小区身份相关联;以及向一个或多个UE广播与签名在一起的包括所述一个或多个SIB的所述完整性信息的所述SISC。
附图说明
图1示出了根据本公开内容的各方面的支持系统信息安全容器(SISC)的无线通信系统的示例。
图2和3示出了过程流的示例。
图4示出了根据本公开内容的各方面的支持SISC的无线通信系统的示例。
图5-7示出了根据本公开内容的各方面的支持SISC的过程流的示例。
图8和9示出了根据本公开内容的各方面的支持SISC的设备的框图。
图10示出了根据本公开内容的各方面的支持SISC的通信管理器的框图。
图11示出了根据本公开内容的各方面的包括支持SISC的设备的系统的图。
图12和13示出了根据本公开内容的各方面的支持SISC的设备的框图。
图14示出了根据本公开内容的各方面的支持SISC的通信管理器的框图。
图15示出了根据本公开内容的各方面的包括支持SISC的设备的系统的图。
图16和17示出了说明根据本公开内容的各方面的支持SISC的方法的流程图。
具体实施方式
在一些无线通信系统中,基站和用户设备(UE)之间的通信可以被保护,以防止黑客攻击和数据泄露。受保护的通信可以包括包含私有或机密信息的通信。然而,在一些情况下,一些类型的网络通信可能缺乏保护或安全性。特别地,在UE和核心网络之间已经就安全算法达成一致之前发送的消息可能缺乏足够的保护。此外,用于建立用于UE和基站之间的通信的配置的消息(例如,接入层(AS)和非接入层(NAS)消息)也可能缺乏足够的保护。由于无线网络中未受保护的通信可能受到攻击者的利用,这可能对无线网络有害,因此保护无线网络中的安全敏感通信的技术可能是期望的。
因此,无线系统可以包括安全过程以保护UE和基站之间的通信,并且阻止(或试图阻止)攻击者或其它第三方获取私有信息。例如,无线系统可以支持用于保护系统信息传输的过程,所述系统信息传输可能在UE与核心网络之间就安全算法达成一致之前发生并且可以用于建立用于UE和基站之间的通信的配置。在一个示例中,无线系统可以支持基于证书的加密,其中基站可以使用从网络实体接收的证书对系统信息传输进行签名。在另一示例中,无线系统可以支持基于身份的加密,其中基站可以使用从网络实体接收的私钥对系统信息传输进行签名(例如,以生成基于身份的签名(IBS))。然而,在这两个示例中,基站可以被配置为单独地对每个系统信息传输进行签名,并且可以存在基站可以周期性地广播的若干系统信息块(SIB)。因此,与将每个SIB与签名一起广播相关联的信令开销可能是高的,并且与验证每个SIB相关联的处理开销也可能是高的。
如本文描述,无线通信系统可以支持用于以有限的信令和处理开销来保护基站和UE之间的通信的高效技术。特别地,基站可以生成包括一个或多个SIB的完整性信息的系统信息安全容器(SISC),而不是将每个SIB与签名一起发送以保护SIB免受攻击者的攻击,并且基站可以向一个或多个UE发送(例如,广播)具有签名的SISC(例如,以保护SISC中的SIB的完整性信息)。一旦UE接收到SISC,UE就可以验证SISC的签名并且识别SISC中包括的系统信息(例如,SIB的完整性信息中包括的系统信息)。然后,UE可以将系统信息应用于与基站的通信(例如,在初始接入过程中接入基站)。
在一些情况下,尽管UE可以验证整个SISC的签名,但是UE可以选择性地验证UE感兴趣或者被配置为在SISC中读取的SIB。具体地说,SISC可以包括用于多个SIB的完整性信息,但是UE可以验证用于UE感兴趣或被配置为读取的SIB子集的完整性信息(或者针对包括UE感兴趣或被配置为读取的SIB子集的SIB组生成的完整性信息)。例如,UE可以被配置为读取SIB X,并且SISC可以包含用于SIB X和SIB Y的完整性信息。因此,UE可以验证SISC签名并且检查SIB X的完整性信息(例如,因为UE可能没有兴趣或未被配置为读取SIB Y)。由于SISC可以与签名一起被发送,因此SISC中包括的系统信息可以被保护。此外,由于SISC可以包括多个SIB的完整性信息,因此与保护SIB相关联的信令和处理开销可以被最小化(例如,与其中每个SIB被独立地保护的安全方案相比)。
下面在无线通信系统的上下文中描述了上面介绍的本公开内容的各方面。然后描述了支持SISC的过程和信令交换的示例。进一步通过涉及SISC的装置图、系统图和流程图来示出并且参照这些图来描述本公开内容的各方面。
图1示出了根据本公开内容的各方面的支持SISC的无线通信系统100的示例。无线通信系统100包括基站105、UE 115以及核心网络130。在一些示例中,无线通信系统100可以是长期演进(LTE)网络、改进的LTE(LTE-A)网络、LTE-A专业网络或新无线电(NR)网络。在一些情况下,无线通信系统100可以支持增强型宽带通信、超可靠(例如,任务关键)通信、低时延通信或者与低成本且低复杂度设备的通信。
基站105可以经由一个或多个基站天线与UE 115无线地进行通信。本文描述的基站105可以包括或可以被本领域技术人员称为基站收发机、无线基站、接入点、无线收发机、节点B、演进型节点B(eNB)、下一代节点B或千兆节点B(任一项可以被称为gNB)、家庭节点B、家庭演进型节点B、或某种其它适当的术语。无线通信系统100可以包括不同类型的基站105(例如,宏小区基站或小型小区基站)。本文描述的UE 115能够与各种类型的基站105和网络设备(包括宏eNB、小型小区eNB、gNB、中继基站等)进行通信。
每个基站105可以与在其中支持与各个UE 115的通信的特定地理覆盖区域110相关联。每个基站105可以经由通信链路125为相应的地理覆盖区域110提供通信覆盖,并且在基站105和UE 115之间的通信链路125可以利用一个或多个载波。在无线通信系统100中示出的通信链路125可以包括:从UE 115到基站105的上行链路传输、或者从基站105到UE 115的下行链路传输。下行链路传输还可以被称为前向链路传输,而上行链路传输还可以被称为反向链路传输。
可以将针对基站105的地理覆盖区域110划分为扇区,所述扇区构成地理覆盖区域110的一部分,并且每个扇区可以与小区相关联。例如,每个基站105可以提供针对宏小区、小型小区、热点、或其它类型的小区、或其各种组合的通信覆盖。在一些示例中,基站105可以是可移动的,并且因此,提供针对移动的地理覆盖区域110的通信覆盖。在一些示例中,与不同的技术相关联的不同的地理覆盖区域110可以重叠,并且与不同的技术相关联的重叠的地理覆盖区域110可以由相同的基站105或不同的基站105来支持。无线通信系统100可以包括例如异构LTE/LTE-A/LTE-A专业或NR网络,其中不同类型的基站105提供针对各个地理覆盖区域110的覆盖。
术语“小区”可以指代用于与基站105的通信(例如,在载波上)的逻辑通信实体,并且可以与用于对经由相同或不同载波来操作的相邻小区进行区分的标识符(例如,物理小区标识符(PCID)、虚拟小区标识符(VCID))相关联。在一些示例中,载波可以支持多个小区,并且不同的小区可以是根据不同的协议类型(例如,机器类型通信(MTC)、窄带物联网(NB-IoT)、增强型移动宽带(eMBB)或其它协议类型)来配置的,所述不同的协议类型可以为不同类型的设备提供接入。在一些情况下,术语“小区”可以指代逻辑实体在其上进行操作的地理覆盖区域110的一部分(例如,扇区)。
术语“载波”可以指代具有用于支持在通信链路125上的通信的定义的物理层结构的射频频谱资源集合。例如,通信链路125的载波可以包括射频频谱带中的根据用于给定无线接入技术的物理层信道来操作的部分。每个物理层信道可以携带用户数据、控制信息或其它信令。载波可以与预定义的频率信道(例如,演进型通用移动电信系统陆地无线电接入(E-UTRA)绝对射频信道号(EARFCN))相关联,并且可以根据信道栅格来放置以便被UE 115发现。载波可以是下行链路或上行链路(例如,在FDD模式中),或者可以被配置为携带下行链路和上行链路通信(例如,在TDD模式中)。在一些示例中,在载波上发送的信号波形可以由多个子载波构成(例如,使用诸如正交频分复用(OFDM)或离散傅里叶变换扩展OFDM(DFT-S-OFDM)之类的多载波调制(MCM)技术)。
UE 115可以散布于整个无线通信系统100中,并且每个UE 115可以是静止的或移动的。UE 115还可以被称为移动设备、无线设备、远程设备、手持设备、或用户设备、或某种其它适当的术语,其中,“设备”还可以被称为单元、站、终端或客户端。UE 115还可以是个人电子设备,例如,蜂窝电话、个人数字助理(PDA)、平板计算机、膝上型计算机或个人计算机。在一些示例中,UE 115还可以指代无线本地环路(WLL)站、物联网(IoT)设备、万物联网(IoE)设备或MTC设备等,其可以是在诸如电器、运载工具、仪表等的各种物品中实现的。
基站105可以与核心网络130进行通信以及彼此进行通信。例如,基站105可以通过回程链路132(例如,经由S1、N2、N3或另一接口)与核心网络130对接。基站105可以在回程链路134上(例如,经由X2、Xn或其它接口)上直接地(例如,直接在基站105之间)或间接地(例如,经由核心网络130)彼此进行通信。
核心网络130可以提供用户认证、接入授权、跟踪、互联网协议(IP)连接、以及其它接入、路由或移动性功能。核心网络130可以是演进分组核心(EPC),其可以包括至少一个移动性管理实体(MME)、至少一个服务网关(S-GW)和至少一个分组数据网络(PDN)网关(P-GW)。MME可以管理非接入层(例如,控制平面)功能,例如,针对由与EPC相关联的基站105服务的UE 115的移动性、认证和承载管理。用户IP分组可以通过S-GW来传输,所述S-GW本身可以耦合到P-GW。P-GW可以提供IP地址分配以及其它功能。P-GW可以耦合到网络运营商IP服务。运营商IP服务可以包括对互联网、内联网、IP多媒体子系统(IMS)或分组交换(PS)流服务的接入。
网络设备中的至少一些网络设备(例如,基站105)可以包括诸如接入网络实体之类的子组件,其可以是接入节点控制器(ANC)的示例。每个接入网络实体可以通过多个其它接入网络传输实体(其可以被称为无线电头端、智能无线电头端或发送/接收点(TRP))来与UE 115进行通信。在一些配置中,每个接入网络实体或基站105的各种功能可以是跨越各个网络设备(例如,无线电头端和接入网络控制器)分布的或者合并到单个网络设备(例如,基站105)中。
无线通信系统100可以使用一个或多个频带(通常在300兆赫(MHz)到300千兆赫(GHz)的范围中)来操作。通常,从300MHz到3GHz的区域被称为特高频(UHF)区域或分米频带,因为波长范围在长度上从近似一分米到一米。UHF波可能被建筑物和环境特征阻挡或重定向。然而,波可以足以穿透结构,以用于宏小区向位于室内的UE 115提供服务。与使用频谱的低于300MHz的高频(HF)或甚高频(VHF)部分的较小频率和较长的波的传输相比,UHF波的传输可以与较小的天线和较短的距离(例如,小于100km)相关联。无线通信系统100还可以在使用从3GHz到30GHz的频带(还被称为厘米频带)的超高频(SHF)区域中操作。SHF区域包括诸如5GHz工业、科学和医疗(ISM)频带之类的频带,其可以由能够容忍来自其它用户的干扰的设备机会性地使用。
无线通信系统100还可以在频谱的极高频(EHF)区域(例如,从30GHz到300GHz)(还被称为毫米频带)中操作。在一些示例中,无线通信系统100可以支持UE 115与基站105之间的毫米波(mmW)通信,并且与UHF天线相比,相应设备的EHF天线可以甚至更小并且间隔得更紧密。在一些情况下,这可以促进在UE 115内使用天线阵列。然而,与SHF或UHF传输相比,EHF传输的传播可能遭受到甚至更大的大气衰减和更短的距离。可以跨越使用一个或多个不同的频率区域的传输来采用本文公开的技术,并且对跨越这些频率区域的频带的指定使用可以根据国家或管理机构而不同。
在一些情况下,无线通信系统100可以是根据分层协议栈来操作的基于分组的网络。在用户平面中,在承载或分组数据汇聚协议(PDCP)层处的通信可以是基于IP的。无线电链路控制(RLC)层可以执行分组分段和重组以在逻辑信道上进行通信。介质访问控制(MAC)层可以执行优先级处理和逻辑信道到传输信道的复用。MAC层还可以使用混合自动重传请求(HARQ)来提供在MAC层处的重传,以改善链路效率。在控制平面中,无线电资源控制(RRC)协议层可以提供在UE 115与基站105或核心网络130之间的RRC连接(其支持针对用户平面数据的无线承载)的建立、配置和维护。在物理层处,传输信道可以被映射到物理信道。
在无线通信系统100中,可以保护基站105和UE 115之间的通信,以防止黑客攻击和数据泄露。受保护的通信可以包括包含私有或机密信息的通信。然而,在一些情况下,无线系统中的一些类型的通信可能缺乏保护或安全性。具体地,在UE 115和核心网络130之间就安全算法达成一致之前发送的消息可能缺乏足够的保护。此外,用于在UE 115和基站105之间建立通信配置的消息(例如,AS和NAS消息)也可能缺乏足够的保护。
因此,假基站能够与UE 115进行通信,并且UE 115可能无法确定假基站不是无线网络中的合法基站105。在这种情况下,由UE 115发送到基站105的消息的内容可能被外部方和攻击者(例如,假基站的创建者)读取,并且这些外部方或攻击者可能发现关于UE 115或其用户的私有信息。此外,由于UE 115可能驻留在假基站而不是合法基站105上(例如,处于空闲状态),因此UE 115可能不具有对某些服务的接入或者可能被假基站拒绝接入某些服务(例如,公共安全警告、紧急来电、实时应用服务器推送服务、接近度服务等)。
图2示出了过程流200的示例,过程流200示出了在UE 115和合法基站105之间建立安全上下文之前在发送消息时可能发生的问题。图2示出了参与无线通信的UE 115-a和假基站205,它们可以是参照图1描述的对应设备的示例。未受保护的AS消息可能被攻击者(诸如假基站205)截获和利用。例如,在210处,UE 115-a可能向假基站205发送未受保护的AS消息,并且假基站205可以接收未受保护的AS消息并且从未受保护的AS消息中提取关于UE115-a的私有信息,诸如UE的能力及其标识符(例如,国际移动用户身份)。
在另一种情况下,假基站205可能对UE 115-a发起拒绝服务(DoS)攻击。例如,假基站205可以在由UE 115-a在210处发送的AS消息中接收跟踪区域更新(TAU)请求消息。在正常TAU请求中,UE 115-a可以向UE的服务网络通知UE的当前位置,以便促进针对UE 115-a的网络服务。然而,在该场景中,在215处,假基站205可以发送拒绝消息以拒绝来自UE 115-a的TAU请求,这可能导致UE 115-a考虑通用用户身份模块(USIM)对于演进分组系统(EPS)服务和非EPS服务无效,直到UE 115-a关机或包含USIM的通用集成电路卡(UICC)被移除。
此外,假基站205可以拒绝针对5G设备的某些服务(诸如第五代(5G)、第四代(4G)和第三代(3G)服务),从而有效地将可用服务选项降级为第二代(2G)服务。一旦降级,UE115-a就可能受到传统2G漏洞的影响。假基站205还可以拒绝任务关键服务,诸如公共安全警告、传入紧急呼叫、实时应用服务器推送服务、接近度服务等。此外,在一些示例中,在220处,假基站205可以广播被操纵(或假)的SIB。在这样的示例中,UE 115-a可能经由被操纵的SIB遇到被拒绝或降级的服务,因为被操纵的SIB可能拥有与合法SIB中包括的参数不同的参数。这些服务可以包括小区接入、小区重新选择、地震和海啸警报等。
图3示出了流程300的示例,该流程300示出了在UE 115和合法基站105之间建立安全上下文之前在发送消息时可能发生的其它问题。例如,过程流300可以示出“降级攻击(bidding-down attack)”的示例。图3描绘了参与无线通信的UE 115-b、假基站305和核心网络130-a,它们可以是参照图1描述的对应设备或实体的示例。如图3所示,核心网络130-a可以包括多个组件,其包括可以参与AS通信的控制平面功能310。在315处,UE 115-b可以以发送到假基站305的未受保护的AS消息的形式发起附着请求消息。未受保护的AS消息可能包含语音域偏好信息和UE的使用设置,其向假基站305通知UE的语音呼叫能力。
在320处,假基站305可以操纵未受保护的AS消息并且从未受保护的AS消息中移除这些能力。然后,假基站305可以例如将诸如“额外更新类型”之类的信息元素改变为例如“仅短消息服务(SMS)”。在325处,假基站305然后可以将经操纵的AS消息转发到UE的服务网络,即核心网络130-a。核心网络130-a可以接受经操纵的AS消息,并且使用该消息与UE115-b执行授权过程以完成连接过程。因此,在该场景下,核心网络130-a可能将UE 115-b的简档配置为使得其仅启用SMS和数据服务。然后,UE 115-b将无法发送或接收语音呼叫。在一些示例中,除了假基站305之外的无线设备可以用于降级攻击。
因此,如参照图2和3描述的,在UE 115和基站105之间执行认证和密钥协商或某个其它安全过程之前,网络通信可能缺乏保护或安全性。另外,当UE 115在先前的会话中已经执行了认证并且与基站105建立了NAS安全性时,UE 115可以转换到空闲状态。当从空闲状态转换到连接状态时,UE 115和基站105之间的通信可能受到损害。因此,外部方或攻击者可能发现关于UE 115或其用户的私有信息,或者甚至可能利用截获的信息,并禁用或降级针对UE 115的某些服务。
因此,无线通信系统100可以包括安全程序以阻止(或尝试阻止)攻击者或其它第三方获得私有信息。具体而言,无线通信系统100可以支持用于保护系统信息传输的过程,可能在UE 115和核心网络130之间就安全算法达成一致之前发生所述系统信息传输,其中系统信息可以用于建立用于UE 115和基站105之间的通信的配置。在一个示例中,无线通信系统100可以支持基于证书的加密,其中基站105可以使用从网络实体接收的证书来对系统信息传输进行签名。在另一示例中,无线通信系统100可以支持基于身份的加密,其中基站105可以使用从网络实体接收的私钥来对系统信息传输进行签名(例如,以生成基于身份的签名(IBS))。
然而,在上文描述的与基于证书的加密或基于身份的加密相关的两个示例中,基站105可以被配置为独立地对每个系统信息传输进行签名,并且可以存在基站105可以周期性地广播的多个系统信息块(SIB)。因此,与广播具有签名的SIB(例如,广播受保护的SIB)相关联的信令开销可能是高的,并且与在UE 115处验证每个SIB相关联的处理开销也可能是高的。如本文描述的,无线通信系统100可以支持用于以有限的信令和处理开销来保护基站105和UE 115之间的通信的高效技术。
应当理解,本文描述的技术不仅涉及保护系统信息传输,同时限制信令和处理开销。例如,本文描述的技术的各方面可以涉及从RRC控制平面信令(单播消息)的角度保护在AS安全激活之前发生的其它通信(例如,RRC连接建立过程中的通信、UE身份获取过程、UE能力信息传输以及下行链路或上行链路信息传输过程等)。保护这些单播消息也是合适的,因为LTE网络上报告的大多数黑客攻击都发生在未受保护的初始消息上,诸如附着拒绝消息(例如,演进分组系统(EPS)移动性管理(EMM)错误代码)、TAU拒绝消息等,这些初始消息是在AS安全激活之前通过空中接口发送的。
图4示出了根据本公开内容的各方面的支持SISC的无线通信系统400的示例。无线通信系统400包括基站105-a,其可以是参照图1-3描述的基站105(例如,合法基站)的示例。无线通信系统400还包括UE 115-c,其可以是参照图1-3描述的UE 115的示例。基站105-a可以为地理覆盖区域110-a提供通信覆盖,地理覆盖区域110-a可以是参照图1描述的地理覆盖区域110的示例。无线通信系统400可以实现无线通信系统100的各方面。例如,无线通信系统400可以支持用于以有限的信令和处理开销来保护基站105-a和UE 115-c之间的通信的高效技术。如本文描述的,主信息块(MIB)可以是系统信息的一种形式(例如,在LTE系统中使用),并且在一些情况下可以被描述为一种类型的SIB。
在图4的示例中,基站105-a可以识别要发送到UE 115-c的一个或多个SIB。使用本文描述的技术,为了限制与保护SIB相关联的信令开销和处理开销,基站105-a可以将SIB包装在SISC 410中,其中SISC 410可以被保护。具体地,基站105-a可以识别与一个或多个SIB相关联的完整性信息,并且基站105-a可以发送(例如,或广播)SISC 410,该SISC 410将与一个或多个SIB相关联的完整性信息与签名包括在一起(例如,特定于基站105-a的身份或基站105-a处的小区的身份的签名)。一旦UE 115-c接收到SISC,UE 115-c就可以验证SISC的签名,对SISC中的一个或多个SIB的完整性信息进行解码以识别系统信息(例如,一个或多个SIB中包括的系统信息),并且将系统信息应用于与基站105-a的通信。在一些情况下,在验证SISC的签名之后,UE 115-c可以解码SISC中的与UE 115-c感兴趣或想要读取的SIB相对应的SIB的完整性信息(例如,UE 115-c可以不解码SISC中的UE 115-c不感兴趣或不想读取的SIB的完整性信息)。
在一些方面中,一个或多个SIB的完整性信息可以是一个或多个SIB中的每个SIB的散列,并且可以在SISC 410-a中发送一个或多个SIB中的每个SIB的散列。在这样的方面中,SISC 410-a还可以包括SISC 410-a中所包括的一个或多个散列SIB的索引。例如,SISC410-a可以包括MIB索引、SIBX索引(例如,其中SIBX对应于SIB1、SIB2等中的任何一个)、SIBY索引(例如,其中SIBY对应于SIB1、SIB2等中的任何一个,并且不同于SIBX)以及其它SIB索引,并且SISC 410-a还可以包括MIB的散列、SIBX的散列、SIBY的散列以及其它SIB中的每个SIB的散列。因此,当UE 115-c接收到SISC 410-a时,UE 115-c可以首先识别SISC410-a中包括的散列SIB(例如,基于所指示的SIB索引),并且UE 115-c可以解码SISC 410-a中包括的散列SIB以识别散列SIB中包括的系统信息。UE 115-c然后可以将系统信息应用于与基站105-a的通信。
在其它方面(未示出)中,一个或多个SIB的完整性信息可以是SIB组的散列(例如,或多个SIB组的多个散列),并且可以在SISC 410-b中发送SIB组的散列。在这样的方面中,SISC 410-b还可以包括识别散列SIB组中的一个或多个SIB的组索引。例如,SISC 410-b可以包括与SIB1、SIB2和SIB3相对应的组索引,并且SISC 410-b还可以包括SIB1、SIB2和SIB3的散列(例如,SIB组的单个散列)。因此,当UE 115-c接收到SISC 410-b时,UE 115-c可以首先识别SISC 410-b中包括的散列SIB组(例如,基于所指示的组SIB索引),并且UE 115-c可以解码SISC 410-b中包括的散列SIB组以识别散列SIB组中包括的系统信息。如上所述,尽管图4示出了单个SIB组索引和单个散列SIB组,但是应当理解,SISC 410-b可以包括多个SIB组索引和多个散列SIB组(例如,组1的散列、组2的散列等)。UE 115-c然后可以将系统信息应用于与基站105-a的通信。在一些示例中,SIB组的定义可能是系统特定的。此外,散列计算中可能不包括高度动态的SIB(例如,可能频繁改变的SIB,诸如包括协调世界时(UTC)或用户帐户控制(UAC)信息的SIB)。例如,只有安全敏感的SIB可以被保护或进行散列并且被包括在SISC 410中。
在一些情况下,基站105-a可以在现有SIB传输(例如,无线通信系统400中已经建立的SIB传输)中发送包括一个或多个SIB的完整性信息的SISC 410。例如,基站105-a可以在SIB 1传输中发送SISC 410(例如,因为UE 115-c在连接到基站105-a时总是可以读取SIB1)。在其它情况下,基站105-a可以在单独的安全SIB传输(例如,与无线通信系统400中已经建立的SIB不同的安全SIB)中发送包括一个或多个SIB的完整性信息的SISC 410。此外,在一些实现中,为了防止来自假基站的重放攻击或使其最小化,可以在SISC的签名的生成中并入随机性或新鲜度参数。在这样的实现中,可以基于系统帧号(SFN)、超SFN(HSFN)、UTC值或其组合来确定随机性或新鲜度参数。下面参照图5-7描述用于生成SISC的签名的不同技术。然而,本文描述的与保护包括一个或多个SIB的完整性信息的SISC相关的技术可能不限于用于生成签名的以下技术(例如,还可以包括基于UE测量报告的保护)。
图5示出了根据本公开内容的各方面的过程流500中的基站处的SISC的基于证书的加密的示例。过程流500示出了由UE 115-d执行的技术的各方面,UE 115-d可以是参照图1-4描述的UE 115的示例。过程流500还示出了由基站105-b执行的技术的各方面,基站105-b可以是参照图1-4描述的基站105的示例。此外,过程流500示出了由接入和移动性管理功能(AMF)505执行的技术的各方面,AMF 505可以是本文描述的网络实体的示例。
在510处,AMF 505可以向基站105-b提供证书,该证书可以用于对由基站105-b发送的私有信息或消息进行加密。该证书可以由AMF 505基于基站105-b的身份或基站105-b处的小区的身份来生成。在515处,AMF 505可以向UE 115-d提供系统参数(例如,签名公钥),其可以由UE 115-d用于验证基站105-b的证书。在一些情况下,UE 115-d可以在注册过程期间获得或接收对SIB保护的指示(例如,发送的SIB可以被保护)以及系统参数。例如,UE115-d可以接收注册接受消息(例如,完整性保护消息),其可以包括对SIB保护的指示和AMF的系统参数。
在520处,基站105-b然后可以确定要用于生成SISC的签名的随机性参数,并且在525处,基站105-b可以生成SISC并且使用证书和随机性参数来生成要与SISC包括在一起的签名。在530处,基站105-b可以向UE 115-d发送SISC(例如,在SIB1或安全SIB中)。如参照图4描述的,SISC可以指代包含以下各项的消息:与一个或多个SIB相关联的完整性信息、对一个或多个SIB的指示(例如,SIB索引)和签名(例如,特定于基站105-b的身份或基站105-b的小区的身份的签名)。
在一些情况下,基站105-b还可以将其证书作为SIB的一部分或作为单独的SIB来发送(或广播)。因此,当UE 115-d接收到关于存在SIB保护的指示时,UE 115-d在驻留在小区(例如,基站105-b处的小区)上时应当验证SISC中包括的完整性信息(例如,SIB的散列)以及SISC的签名。即,在535处,UE 115-d可以读取SIB(例如,SIB1或安全SIB)以识别SISC,确定基站105-b的小区身份(例如,基于对SISC中包括的散列系统信息进行解码),使用AMF的系统参数和小区身份来验证基站105-b的证书,并且使用基站105-b的证书来验证SISC。
在成功验证签名之后,UE 115-d可以对SISC中的一个或多个SIB的完整性信息进行解码以识别系统信息(例如,一个或多个SIB中包括的系统信息),并且将系统信息应用于与基站105-b的通信。例如,在540处,UE115-d可以利用SISC内包含的系统信息(例如,在SISC内的散列SIB中)来发起与基站105-b的附着过程。替代地,如果UE 115-d未能验证SISC的签名(例如,由于与UE 115-d相关联的随机性参数不能与跟基站105-b相关联的随机性参数相匹配),则UE 115-d可以确定随机性参数已经潜在地被重放,并且可以在545处执行小区重新选择过程。
图6示出了根据本公开内容的各方面的过程流600中的基站处的SISC的基于身份的加密的示例。过程流600示出了由UE 115-e执行的技术的各方面,UE 115-e可以是参照图1-4描述的UE 115的示例。过程流600还示出了由基站105-c执行的技术的各方面,基站105-c可以是参照图1-4描述的基站105的示例。此外,过程流600示出了由AMF 605和安全锚功能(SEAF)(或公钥生成器(PKG))610(它们可以是本文描述的网络实体的示例)执行的技术的各方面。
在图6的示例中,诸如SEAF或PKG 610(例如,与SEAF共置的PKG)之类的网络实体可以识别供UE 115-e和基站105-c使用的一个或多个系统参数(公共参数)。一个或多个系统参数可以被索引,并且在615处,SEAF 610可以将一个或多个系统参数传递给AMF 605,AMF605然后可以向基站105-c提供一个或多个系统参数。类似地,在620处,PKG 610可以识别私有安全密钥并且将其发送到AMF 605,AMF 605随后可以向基站105-c提供私有安全密钥。在一些示例中,私有安全密钥是至少部分地基于与UE 115-e和基站105-c相关联的小区的小区身份的。此外,在625处,AMF 605还可以将从SEAF 610接收的一个或多个系统参数传递给UE 115-e。在一些情况下,UE 115-e可以在注册过程期间获得或接收对SIB保护的指示(例如,发送的SIB可以被保护)和一个或多个系统参数。例如,UE 115-e可以接收注册接受消息(例如,完整性保护消息),其可以包括对SIB保护的指示和AMF的一个或多个系统参数。
在630处,基站105-c然后可以确定要用于生成SISC的签名的随机性参数,并且在635处,基站105-c可以生成SISC并且使用私钥和随机性参数(例如,除了一个或多个系统参数之外)来生成要与SISC包括在一起的签名。即,基站105-c可以基于一个或多个系统参数、私钥和随机性参数来确定要与SISC包括在一起的签名。在640处,基站105-c可以向UE 115-e发送SISC(例如,在SIB1或安全SIB中)。如参照图4描述的,SISC可以指代包含以下各项的消息:与一个或多个SIB相关联的完整性信息、对一个或多个SIB的指示(例如,SIB索引)和签名(例如,特定于基站105-c的身份或基站105-c的小区的身份的签名)。
因此,当UE 115-e接收到关于存在SIB保护的指示时,UE 115-e在驻留在小区(例如,基站105-c处的小区)上时应当验证SISC中包括的完整性信息(例如,SIB的散列)以及SISC的签名。也就是说,在645处,UE115-e可以读取SIB(例如,SIB1或安全SIB)以识别SISC,确定基站105-c的小区身份(例如,基于对SISC中包括的散列系统信息进行解码),并且使用AMF(例如,在625处接收)的系统参数(例如,公钥)和小区身份来验证SISC。
在成功验证签名之后,UE 115-e可以对SISC中的一个或多个SIB的完整性信息进行解码以识别系统信息(例如,一个或多个SIB中包括的系统信息),并且将系统信息应用于与基站105-c的通信。例如,在650处,UE 115-e可以利用SISC内包含的系统信息(例如,在SISC内的散列SIB中)来发起与基站105-c的附着过程。替代地,如果UE 115-e未能验证SISC的签名(例如,由于与UE 115-e相关联的随机性参数与跟基站105-c相关联的随机性参数不匹配),则UE 115-e可以确定随机性参数已经潜在地被重放,并且可以在655处执行小区重新选择过程。
图7示出了根据本公开内容的各方面的过程流700中的AMF处的SISC的基于身份的加密的示例。过程流700示出了由UE 115-f执行的技术的各方面,UE 115-f可以是参照图1-4描述的UE 115的示例。过程流700还示出了由基站105-d执行的技术的各方面,基站105-d可以是参照图1-4描述的基站105的示例。此外,过程流700示出了由AMF 705执行的技术的各方面,AMF 705可以是本文描述的网络实体的示例。
在710处,AMF 705可以向UE 115-f提供系统参数,该系统参数可以用于验证来自基站105-d的受保护传输。在一些情况下,UE 115-f可以在注册过程期间获得或接收对SIB保护的指示(例如,发送的SIB可以被保护)和系统参数。例如,UE 115-f可以接收注册接受消息(例如,完整性保护消息),其可以包括对SIB保护的指示和AMF的系统参数。在715处,基站105-d然后可以生成用于传输到UE 115-f的SISC(例如,当新系统信息被创建并且准备好被签名时)。如参照图4描述的,SISC可以指代包含以下各项的消息:与一个或多个SIB相关联的完整性信息、对一个或多个SIB的指示(例如,SIB索引)和签名(例如,特定于基站105-d的身份或基站105-d处的小区的身份的签名)。
在720处,基站105-d然后可以将没有签名的SISC发送给AMF 705以进行签名(例如,作为针对签名的请求)。在725处,AMF 705可以生成用于SISC的签名并且对SISC进行签名(例如,将签名与SISC包括在一起)。在一些情况下,AMF 705可以基于确定的随机性参数(例如,AMF 705可以添加随机性参数)、AMF的私钥以及基站105-d或基站105-d处的小区的小区身份来生成或计算用于SISC的签名。在一些情况下,同一AMF集合、注册区域或跟踪区域中的AMF可以配置为使用相同的签名密钥。因为基站105-d可以将SISC发送给AMF 705以进行签名或请求AMF对SISC进行签名,所以AMF 705可以不必须向基站105-d(例如,和其它基站105)发出单独的证书,这可以限制与证书管理相关联的开销(例如,由于AMF 705可能不必须用信号向基站105通知证书)。此外,由于SIB的内容可能不频繁地改变,所以在用信号通知SISC用于AMF 705处的签名中涉及的通信可能不是实质性的(例如,如果SIB的内容没有改变,则签名可能不必须改变)。
在730处,AMF 705然后可以将SISC与签名一起发送给基站105-d,并且基站105-d可以将SISC与签名一起发送给UE 115-f(例如,在SIB1或安全SIB中)。如参照图4描述的,SISC可以指代包含以下各项的消息:与一个或多个SIB相关联的完整性信息、对一个或多个SIB的指示(例如,SIB索引)和签名(例如,特定于基站105-d的身份或基站105-d处的小区的身份的签名)。因此,当UE 115-f接收到关于存在SIB保护的指示时,UE 115-f在驻留在小区(例如,基站105-d处的小区)上时应当验证SISC中包括的完整性信息(例如,SIB的散列)以及SISC的签名。也就是说,在740处,UE 115-f可以读取SIB(例如,SIB1或安全SIB)以识别SISC,确定基站105-d的小区身份(例如,基于对SISC中包括的散列系统信息进行解码),并且使用AMF(例如,在710处接收)的系统参数(例如,公钥)和小区身份来验证SISC。
在成功验证签名之后,UE 115-f可以对SISC中的一个或多个SIB的完整性信息进行解码以识别系统信息(例如,一个或多个SIB中包括的系统信息),并且将系统信息应用于与基站105-d的通信。例如,在745处,UE115-e可以利用SISC内包含的系统信息(例如,在SISC内的散列SIB中)来发起与基站105-d的附着过程。替代地,如果UE 115-f未能验证SISC的签名(例如,由于与UE 115-f相关联的随机性参数与跟基站105-d相关联的随机性参数不匹配),则UE 115-e可以确定随机性参数已经潜在地被重放,并且可以在750处执行小区重新选择过程。
图8示出了根据本公开内容的各方面的支持SISC的设备805的框图800。设备805可以是如本文描述的UE 115的各方面的示例。设备805可以包括接收机810、通信管理器815和发射机820。设备805还可以包括处理器。这些组件中的每个组件可以相互通信(例如,经由一个或多个总线)。
接收机810可以接收诸如分组、用户数据或者与各种信息信道(例如,控制信道、数据信道以及与SISC相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备805的其它组件。接收机810可以是参照图11描述的收发机1120的各方面的示例。接收机810可以利用单个天线或一组天线。
通信管理器815可以进行以下操作:接收对要由UE用于验证来自基站的系统信息传输的系统参数的指示;从基站接收包括一个或多个SIB的完整性信息的SISC;确定基站的小区身份;基于小区身份和系统参数来验证SISC的签名;基于验证来识别一个或多个SIB的完整性信息中包括的系统信息;以及将一个或多个系统信息块的完整性信息中包括的系统信息应用于与基站的通信。通信管理器815可以是本文描述的通信管理器1110的各方面的示例。
通信管理器815或其子组件可以用硬件、由处理器执行的代码(例如,软件或固件)或其任意组合来实现。如果用由处理器执行的代码来实现,则通信管理器815或其子组件的功能可以由被设计为执行本公开内容中描述的功能的通用处理器、DSP、专用集成电路(ASIC)、FPGA或其它可编程逻辑器件、分立门或者晶体管逻辑、分立硬件组件或者其任意组合来执行。
通信管理器815或其子组件可以在物理上位于各个位置处,包括被分布以使得由一个或多个物理组件在不同的物理位置处实现功能中的部分功能。在一些示例中,根据本公开内容的各个方面,通信管理器815或其子组件可以是分离且不同的组件。在一些示例中,根据本公开内容的各个方面,通信管理器815或其子组件可以与一个或多个其它硬件组件(包括但不限于输入/输出(I/O)组件、收发机、网络服务器、另一计算设备、本公开内容中描述的一个或多个其它组件、或其组合)组合。
发射机820可以发送由设备805的其它组件所生成的信号。在一些示例中,发射机820可以与接收机810共置于收发机模块中。例如,发射机820可以是参照图11描述的收发机1120的各方面的示例。发射机820可以利用单个天线或一组天线。
图9示出了根据本公开内容的各方面的支持SISC的设备905的框图900。设备905可以是如本文描述的设备805或UE 115的各方面的示例。设备905可以包括接收机910、通信管理器915和发射机935。设备905还可以包括处理器。这些组件中的每个组件可以相互通信(例如,经由一个或多个总线)。
接收机910可以接收诸如分组、用户数据或者与各种信息信道(例如,控制信道、数据信道以及与SISC相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备905的其它组件。接收机910可以是参照图11描述的收发机1120的各方面的示例。接收机910可以利用单个天线或一组天线。
通信管理器915可以是如本文描述的通信管理器815的各方面的示例。通信管理器915可以包括签名验证管理器920、SISC管理器925和系统信息管理器930。通信管理器915可以是本文描述的通信管理器1110的各方面的示例。
签名验证管理器920可以接收对要由UE用于验证来自基站的系统信息传输的系统参数的指示。SISC管理器925可以从基站接收包括一个或多个SIB的完整性信息的SISC。签名验证管理器920可以确定基站的小区身份,并且基于小区身份和系统参数来验证SISC的签名。系统信息管理器930可以基于验证来识别一个或多个SIB的完整性信息中包括的系统信息,并且将一个或多个系统信息块的完整性信息中包括的系统信息应用于与基站的通信。
发射机935可以发送由设备905的其它组件所生成的信号。在一些示例中,发射机935可以与接收机910共置于收发机模块中。例如,发射机935可以是参照图11描述的收发机1120的各方面的示例。发射机935可以利用单个天线或一组天线。
图10示出了根据本公开内容的各方面的支持SISC的通信管理器1005的框图1000。通信管理器1005可以是本文描述的通信管理器815、通信管理器915或通信管理器1110的各方面的示例。通信管理器1005可以包括签名验证管理器1010、SISC管理器1015、系统信息管理器1020、证书管理器1025和注册管理器1030。这些模块中的每一个可以直接或间接地彼此通信(例如,经由一个或多个总线)。
签名验证管理器1010可以接收对要由UE用于验证来自基站的系统信息传输的系统参数的指示。SISC管理器1015可以从基站接收包括一个或多个SIB的完整性信息的SISC。在一些示例中,签名验证管理器1010可以确定基站的小区身份。在一些示例中,签名验证管理器1010可以基于小区身份和系统参数来验证SISC的签名。系统信息管理器1020可以基于验证来识别一个或多个SIB的完整性信息中包括的系统信息。在一些示例中,系统信息管理器1020可以将一个或多个系统信息块的完整性信息中包括的系统信息应用于与基站的通信。
在一些示例中,SISC包括一个或多个SIB的索引集合和对应的完整性信息,其中,完整性信息是一个或多个SIB的散列。在一些示例中,签名是在该集合上计算的,并且指示SISC与基站的小区身份相关联。在一些示例中,SISC管理器1015可以在SIB1传输中(例如,在SIB1传输的位置)接收SISC,SISC包括SIB1。在一些示例中,SISC管理器1015可以在安全SIB传输中接收SISC。在一些示例中,签名验证管理器1010可以确定用于生成SISC的签名的随机性参数,其中,验证SISC的签名还是基于随机性参数的。在一些示例中,签名验证管理器1010可以基于SFN、HSFN、UTC或其组合来确定随机性参数。
在一些示例中,签名验证管理器1010可以基于一个或多个SIB的完整性信息中包括的系统信息来确定基站的小区身份。在一些示例中,基站使用证书来对SISC进行签名。在这样的示例中,证书管理器1025可以基于系统参数和小区身份来验证证书,其中,系统参数包括公钥,并且签名验证管理器1010可以基于证书来验证SISC的签名。在一些示例中,基站使用私钥来对SISC进行签名,并且签名验证管理器1010可以基于小区身份和系统参数来验证SISC的签名,其中,系统参数包括公共参数。在一些示例中,网络实体使用私钥来对SISC进行签名,并且签名验证管理器1010可以基于小区身份和系统参数来验证SISC的签名,其中,系统参数包括公钥。
注册管理器1030可以在注册过程中接收对系统参数的指示。在一些情况下,一个或多个SIB的完整性信息包括一个或多个散列系统信息块。在一些示例中,系统信息管理器1020可以对一个或多个散列SIB进行解码以识别系统信息。在一些情况下,一个或多个SIB包括安全敏感SIB。
图11示出了根据本公开内容的各方面的包括支持SISC的设备1105的系统1100的图。设备1105可以是如本文描述的设备805、设备905或UE 115的示例或者包括设备805、设备905或UE 115的组件。设备1105可以包括用于双向语音和数据通信的组件,包括用于发送和接收通信的组件,包括通信管理器1110、I/O控制器1115、收发机1120、天线1125、存储器1130和处理器1140。这些组件可以经由一个或多个总线(例如,总线1145)来进行电子通信。
通信管理器1110可以进行以下操作:接收对要由UE用于验证来自基站的系统信息传输的系统参数的指示;从基站接收包括一个或多个SIB的完整性信息的SISC;确定基站的小区身份;基于小区身份和系统参数来验证SISC的签名;基于验证来识别一个或多个SIB的完整性信息中包括的系统信息;以及将一个或多个系统信息块的完整性信息中包括的系统信息应用于与基站的通信。
I/O控制器1115可以管理针对设备1105的输入和输出信号。I/O控制器1115还可以管理没有集成到设备1105中的外围设备。在一些情况下,I/O控制器1115可以表示到外部外围设备的物理连接或端口。在一些情况下,I/O控制器1115可以利用诸如
之类的操作系统或另一种已知的操作系统。在其它情况下,I/O控制器1115可以表示调制解调器、键盘、鼠标、触摸屏或类似设备或者与上述设备进行交互。在一些情况下,I/O控制器1115可以被实现成处理器的一部分。在一些情况下,用户可以经由I/O控制器1115或者经由I/O控制器1115所控制的硬件组件来与设备1105进行交互。
收发机1120可以经由如上文描述的一个或多个天线、有线或无线链路来双向地进行通信。例如,收发机1120可以表示无线收发机并且可以与另一个无线收发机双向地进行通信。收发机1120还可以包括调制解调器,其用于调制分组并且将经调制的分组提供给天线以进行传输,以及解调从天线接收的分组。
在一些情况下,无线设备可以包括单个天线1125。然而,在一些情况下,该设备可以具有一个以上的天线1125,它们能够同时地发送或接收多个无线传输。
存储器1130可以包括RAM和ROM。存储器1130可以存储计算机可读的、计算机可执行的代码1135,代码1135包括当被执行时使得处理器执行本文描述的各种功能的指令。在一些情况下,除此之外,存储器1130还可以包含BIOS,其可以控制基本的硬件或软件操作,例如与外围组件或设备的交互。
处理器1140可以包括智能硬件设备(例如,通用处理器、DSP、CPU、微控制器、ASIC、FPGA、可编程逻辑器件、分立门或者晶体管逻辑组件、分立硬件组件或者其任意组合)。在一些情况下,处理器1140可以被配置为使用存储器控制器来操作存储器阵列。在其它情况下,存储器控制器可以集成到处理器1140中。处理器1140可以被配置为执行存储器(例如,存储器1130)中存储的计算机可读指令以使得设备1105执行各种功能(例如,支持SISC的功能或任务)。
代码1135可以包括用于实现本公开内容的各方面的指令,包括用于支持无线通信的指令。代码1135可以被存储在非暂时性计算机可读介质(例如,系统存储器或其它类型的存储器)中。在一些情况下,代码1135可能不是可由处理器1140直接执行的,但是可以使得计算机(例如,当被编译和被执行时)执行本文描述的功能。
图12示出了根据本公开内容的各方面的支持SISC的设备1205的框图1200。设备1205可以是如本文描述的基站105的各方面的示例。设备1205可以包括接收机1210、通信管理器1215和发射机1220。设备1205还可以包括处理器。这些组件中的每个组件可以相互通信(例如,经由一个或多个总线)。
接收机1210可以接收诸如分组、用户数据或者与各种信息信道(例如,控制信道、数据信道以及与SISC相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备1205的其它组件。接收机1210可以是参照图15描述的收发机1520的各方面的示例。接收机1210可以利用单个天线或一组天线。
通信管理器1215可以进行以下操作:识别要向一个或多个UE广播的一个或多个SIB;生成包括一个或多个SIB的完整性信息的SISC;执行签名过程以将签名与SISC包括在一起,该签名指示SISC与基站的小区身份相关联;以及将包括一个或多个SIB的完整性信息的SISC与签名一起广播给一个或多个UE。通信管理器1215可以是本文描述的通信管理器1510的各方面的示例。
通信管理器1215或其子组件可以用硬件、由处理器执行的代码(例如,软件或固件)或其任意组合来实现。如果用由处理器执行的代码来实现,则通信管理器1215或其子组件的功能可以由被设计为执行本公开内容中描述的功能的通用处理器、DSP、专用集成电路(ASIC)、FPGA或其它可编程逻辑器件、分立门或者晶体管逻辑、分立硬件组件或者其任意组合来执行。
通信管理器1215或其子组件可以在物理上位于各个位置处,包括被分布以使得由一个或多个物理组件在不同的物理位置处实现功能中的部分功能。在一些示例中,根据本公开内容的各个方面,通信管理器1215或其子组件可以是分离且不同的组件。在一些示例中,根据本公开内容的各个方面,通信管理器1215或其子组件可以与一个或多个其它硬件组件(包括但不限于输入/输出(I/O)组件、收发机、网络服务器、另一计算设备、本公开内容中描述的一个或多个其它组件、或其组合)组合。
发射机1220可以发送由设备1205的其它组件所生成的信号。在一些示例中,发射机1220可以与接收机1210共置于收发机模块中。例如,发射机1220可以是参照图15描述的收发机1520的各方面的示例。发射机1220可以利用单个天线或一组天线。
图13示出了根据本公开内容的各方面的支持SISC的设备1305的框图1300。设备1305可以是如本文描述的设备1205或基站105的各方面的示例。设备1305可以包括接收机1310、通信管理器1315和发射机1335。设备1305还可以包括处理器。这些组件中的每个组件可以相互通信(例如,经由一个或多个总线)。
接收机1310可以接收诸如分组、用户数据或者与各种信息信道(例如,控制信道、数据信道以及与SISC相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备1305的其它组件。接收机1310可以是参照图15描述的收发机1520的各方面的示例。接收机1310可以利用单个天线或一组天线。
通信管理器1315可以是如本文描述的通信管理器1215的各方面的示例。通信管理器1315可以包括系统信息管理器1320、SISC管理器1325和签名管理器1330。通信管理器1315可以是本文描述的通信管理器1510的各方面的示例。
系统信息管理器1320可以识别要向一个或多个UE广播的一个或多个SIB。SISC管理器1325可以生成包括一个或多个SIB的完整性信息的SISC。签名管理器1330可以执行签名过程以将签名与SISC包括在一起。SISC管理器1325可以将包括一个或多个SIB的完整性信息的SISC与签名一起广播给一个或多个UE。
发射机1335可以发送由设备1305的其它组件所生成的信号。在一些示例中,发射机1335可以与接收机1310共置于收发机模块中。例如,发射机1335可以是参照图15描述的收发机1520的各方面的示例。发射机1335可以利用单个天线或一组天线。
图14示出了根据本公开内容的各方面的支持SISC的通信管理器1405的框图1400。通信管理器1405可以是本文描述的通信管理器1215、通信管理器1315或通信管理器1510的各方面的示例。通信管理器1405可以包括系统信息管理器1410、SISC管理器1415、签名管理器1420、证书管理器1425和私钥管理器1430。这些模块中的每一个可以直接或间接地彼此通信(例如,经由一个或多个总线)。
系统信息管理器1410可以识别要向一个或多个UE广播的一个或多个SIB。SISC管理器1415可以生成包括一个或多个SIB的完整性信息的SISC。签名管理器1420可以执行签名过程以将签名与SISC包括在一起。在一些示例中,SISC管理器1415可以将包括一个或多个SIB的完整性信息的SISC与签名一起广播给一个或多个UE。
在一些示例中,SISC包括对一个或多个SIB的索引的指示。在一些示例中,SISC管理器1415可以在SIB1传输中广播SISC,SISC包括SIB1。在一些示例中,SISC管理器1415可以在安全SIB传输中广播SISC。证书管理器1425可以接收对要用于对SISC进行签名的证书的指示,该证书与基站的小区身份相关联,并且签名管理器1420可以基于该证书来生成签名以与SISC包括在一起。在一些示例中,签名管理器1420可以确定随机性参数,其中,生成签名以与SISC包括在一起还是基于随机性参数的。在一些示例中,签名管理器1420可以基于SFN、HSFN、UTC或其组合来确定随机性参数。
私钥管理器1430可以接收对要用于对系统信息安全容器进行签名的私钥的指示,该私钥与基站的小区身份相关联。在一些示例中,签名管理器1420可以基于私钥来生成签名以与系统信息安全容器包括在一起。在一些示例中,签名管理器1420可以确定随机性参数,其中,生成签名以与系统信息安全容器包括在一起还是基于随机性参数和小区身份的。在一些示例中,签名管理器1420可以将SISC作为针对签名的请求发送到网络实体。在一些示例中,签名管理器1420可以从网络实体接收具有签名的SISC,其中,网络实体使用与基站的小区身份相关联的私钥来对SISC进行签名。在一些情况下,一个或多个SIB的完整性信息包括一个或多个散列SIB。在某些情况下,一个或多个SIB包括安全敏感SIB。
图15示出了根据本公开内容的各方面的包括支持SISC的设备1505的系统1500的图。设备1505可以是如本文描述的设备1205、设备1305或基站105的示例或者包括设备1205、设备1305或基站105的组件。设备1505可以包括用于双向语音和数据通信的组件,包括用于发送和接收通信的组件,包括通信管理器1510、网络通信管理器1515、收发机1520、天线1525、存储器1530、处理器1540和站间通信管理器1545。这些组件可以经由一个或多个总线(例如,总线1550)来进行电子通信。
通信管理器1510可以进行以下操作:识别要向一个或多个UE广播的一个或多个SIB;生成包括一个或多个SIB的完整性信息的SISC;执行签名过程以将签名与SISC包括在一起,该签名指示SISC与基站的小区身份相关联;以及将包括一个或多个SIB的完整性信息的SISC与签名一起广播给一个或多个UE。
网络通信管理器1515可以管理与核心网络的通信(例如,经由一个或多个有线回程链路)。例如,网络通信管理器1515可以管理针对客户端设备(例如,一个或多个UE 115)的数据通信的传输。
收发机1520可以经由如上文描述的一个或多个天线、有线或无线链路来双向地进行通信。例如,收发机1520可以表示无线收发机并且可以与另一个无线收发机双向地进行通信。收发机1520还可以包括调制解调器,其用于调制分组并且将经调制的分组提供给天线以进行传输,以及解调从天线接收的分组。
在一些情况下,无线设备可以包括单个天线1525。然而,在一些情况下,该设备可以具有一个以上的天线1525,它们能够同时地发送或接收多个无线传输。
存储器1530可以包括RAM、ROM或其组合。存储器1530可以存储计算机可读代码1535,计算机可读代码1535包括当被处理器(例如,处理器1540)执行时使得设备执行本文描述的各种功能的指令。在一些情况下,除此之外,存储器1530还可以包含BIOS,其可以控制基本的硬件或软件操作,例如与外围组件或设备的交互。
处理器1540可以包括智能硬件设备(例如,通用处理器、DSP、CPU、微控制器、ASIC、FPGA、可编程逻辑器件、分立门或者晶体管逻辑组件、分立硬件组件或者其任意组合)。在一些情况下,处理器1540可以被配置为使用存储器控制器来操作存储器阵列。在一些情况下,存储器控制器可以集成到处理器1540中。处理器1540可以被配置为执行存储器(例如,存储器1530)中存储的计算机可读指令以使得设备1505执行各种功能(例如,支持SISC的功能或任务)。
站间通信管理器1545可以管理与其它基站105的通信,并且可以包括用于与其它基站105协作地控制与UE 115的通信的控制器或调度器。例如,站间通信管理器1545可以协调针对去往UE 115的传输的调度,以实现诸如波束成形或联合传输之类的各种干扰减轻技术。在一些示例中,站间通信管理器1545可以提供LTE/LTE-A无线通信网络技术内的X2接口,以提供基站105之间的通信。
代码1535可以包括用于实现本公开内容的各方面的指令,包括用于支持无线通信的指令。代码1535可以被存储在非暂时性计算机可读介质(例如,系统存储器或其它类型的存储器)中。在一些情况下,代码1535可能不是可由处理器1540直接执行的,但是可以使得计算机(例如,当被编译和被执行时)执行本文描述的功能。
图16示出了说明根据本公开内容的各方面的支持SISC的方法1600的流程图。方法1600的操作可以由如本文描述的UE 115或其组件来实现。例如,方法1600的操作可以由如参照图8至11描述的通信管理器来执行。在一些示例中,UE可以执行指令集以控制UE的功能单元以执行下文描述的功能。另外或替代地,UE可以使用专用硬件来执行下文描述的功能的各方面。
在1605处,UE可以接收对要由UE用于验证来自基站的系统信息传输的系统参数的指示。可以根据本文描述的方法来执行1605的操作。在一些示例中,1605的操作的各方面可以由如参照图8至11描述的签名验证管理器来执行。
在1610处,UE可以从基站接收包括一个或多个SIB的完整性信息的SISC。可以根据本文描述的方法来执行1610的操作。在一些示例中,1610的操作的各方面可以由如参照图8至11描述的SISC管理器来执行。
在1615处,UE可以确定基站的小区身份。可以根据本文描述的方法来执行1615的操作。在一些示例中,1615的操作的各方面可以由如参照图8至11描述的签名验证管理器来执行。
在1620处,UE可以基于小区身份和系统参数来验证SISC的签名。可以根据本文描述的方法来执行1620的操作。在一些示例中,1620的操作的各方面可以由如参照图8至11描述的签名验证管理器来执行。
在1625处,UE可以基于验证来识别一个或多个SIB的完整性信息中包括的系统信息。可以根据本文描述的方法来执行1625的操作。在一些示例中,1625的操作的各方面可以由如参照图8至11描述的系统信息管理器来执行。
在1630处,UE可以将一个或多个系统信息块的完整性信息中包括的系统信息应用于与基站的通信。可以根据本文描述的方法来执行1630的操作。在一些示例中,1630的操作的各方面可以由如参照图8至11描述的系统信息管理器来执行。
图17示出了说明根据本公开内容的各方面的支持SISC的方法1700的流程图。方法1700的操作可以由如本文描述的基站105或其组件来实现。例如,方法1700的操作可以由如参照图12至15描述的通信管理器来执行。在一些示例中,基站可以执行指令集以控制基站的功能单元以执行下文描述的功能。另外或替代地,基站可以使用专用硬件来执行下文描述的功能的各方面。
在1705处,基站可以识别要向一个或多个UE广播的一个或多个SIB。
可以根据本文描述的方法来执行1705的操作。在一些示例中,1705的操作的各方面可以由如参照图12至15描述的系统信息管理器来执行。
在1710处,基站可以生成包括一个或多个SIB的完整性信息的SISC。
可以根据本文描述的方法来执行1710的操作。在一些示例中,1710的操作的各方面可以由如参照图12至15描述的SISC管理器来执行。
在1715处,基站可以执行签名过程以将签名与SISC包括在一起,该签名指示SISC与基站的小区身份相关联。可以根据本文描述的方法来执行1715的操作。在一些示例中,1715的操作的各方面可以由如参照图12至15描述的签名管理器来执行。
在1720处,基站可以将包括一个或多个SIB的完整性信息的SISC与签名一起广播给一个或多个UE。可以根据本文描述的方法来执行1720的操作。在一些示例中,1720的操作的各方面可以由如参照图12至15描述的SISC管理器来执行。
应当注意的是,本文描述的方法描述了可能的实现,并且操作和步骤可以被重新排列或者以其它方式修改,并且其它实现是可能的。此外,来自两种或更多种方法的各方面可以被组合。
本文描述的技术可以用于各种无线通信系统,诸如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交频分多址(OFDMA)、单载波频分多址(SC-FDMA)和其它系统。CDMA系统可以实现诸如CDMA 2000、通用陆地无线接入(UTRA)等的无线电技术。CDMA2000涵盖IS-2000、IS-95和IS-856标准。IS-2000版本通常可以被称为CDMA2000 1X、1X等。IS-856(TIA-856)通常被称为CDMA2000 1xEV-DO、高速分组数据(HRPD)等。UTRA包括宽带CDMA(W-CDMA)和CDMA的其它变型。TDMA系统可以实现诸如全球移动通信系统(GSM)之类的无线电技术。
OFDMA系统可以实现诸如超移动宽带(UMB)、演进型UTRA(E-UTRA)、电气与电子工程师协会(IEEE)802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、闪速-OFDM等的无线电技术。UTRA和E-UTRA是通用移动电信系统(UMTS)的一部分。LTE、LTE-A和LTE-A专业是UMTS的使用E-UTRA的版本。在来自名称为“第3代合作伙伴计划”(3GPP)的组织的文档中描述了UTRA、E-UTRA、UMTS、LTE、LTE-A、LTE-A专业、NR和GSM。在来自名称为“第3代合作伙伴计划2”(3GPP2)的组织的文档中描述了CDMA2000和UMB。本文中描述的技术可以用于本文提及的系统和无线电技术以及其它系统和无线电技术。虽然可能出于举例的目的,描述了LTE、LTE-A、LTE-A专业或NR系统的各方面,并且可能在大部分的描述中使用了LTE、LTE-A、LTE-A专业或NR术语,但是本文中描述的技术可以适用于LTE、LTE-A、LTE-A专业或NR应用之外的范围。
宏小区通常覆盖相对大的地理区域(例如,半径为若干千米),并且可以允许由具有与网络提供商的服务订制的UE进行不受限制的接入。相比于宏小区,小型小区可以与较低功率的基站相关联,并且小型小区可以在与宏小区相同或不同(例如,经许可、免许可等)的频带中操作。根据各个示例,小型小区可以包括微微小区、毫微微小区和微小区。例如,微微小区可以覆盖小的地理区域,并且可以允许由具有与网络提供商的服务订制的UE进行不受限制的接入。毫微微小区也可以覆盖小的地理区域(例如,住宅),并且可以提供由与该毫微微小区具有关联的UE(例如,封闭用户组(CSG)中的UE、针对住宅中的用户的UE等)进行的受限制的接入。针对宏小区的eNB可以被称为宏eNB。针对小型小区的eNB可以被称为小型小区eNB、微微eNB、毫微微eNB或家庭eNB。eNB可以支持一个或多个(例如,两个、三个、四个等)小区,以及还可以支持使用一个或多个分量载波的通信。
本文中描述的无线通信系统可以支持同步或异步操作。对于同步操作,基站可以具有相似的帧定时,并且来自不同基站的传输可以在时间上近似对准。对于异步操作,基站可以具有不同的帧定时,并且来自不同基站的传输可以不在时间上对准。本文中描述的技术可以用于同步或异步操作。
本文中描述的信息和信号可以使用各种不同的技术和方法中的任何一种来表示。例如,可能贯穿描述所提及的数据、指令、命令、信息、信号、比特、符号和码片可以由电压、电流、电磁波、磁场或粒子、光场或粒子或者其任何组合来表示。
可以利用被设计为执行本文所述功能的通用处理器、DSP、ASIC、FPGA或其它可编程逻辑器件、分立门或者晶体管逻辑、分立硬件组件或者其任何组合来实现或执行结合本文的公开内容描述的各种说明性的框和模块。通用处理器可以是微处理器,但是在替代方式中,处理器可以是任何常规的处理器、控制器、微控制器或者状态机。处理器还可以实现为计算设备的组合(例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器与DSP核的结合、或者任何其它这种配置)。
本文中所描述的功能可以用硬件、由处理器执行的软件、固件或其任何组合来实现。如果用由处理器执行的软件来实现,所述功能可以作为一个或多个指令或代码存储在计算机可读介质上或通过其进行发送。其它示例和实现在本公开内容和所附权利要求的范围之内。例如,由于软件的性质,本文描述的功能可以使用由处理器执行的软件、硬件、固件、硬接线或这些项中的任意项的组合来实现。实现功能的特征还可以在物理上位于各个位置处,包括被分布为使得功能中的各部分功能在不同的物理位置处实现。
计算机可读介质包括非暂时性计算机存储介质和通信介质二者,通信介质包括促进计算机程序从一个地方到另一个地方的传送的任何介质。非暂时性存储介质可以是能够由通用计算机或专用计算机访问的任何可用介质。通过举例而非限制的方式,非暂时性计算机可读介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程ROM(EEPROM)、闪速存储器、压缩光盘(CD)ROM或其它光盘存储、磁盘存储或其它磁存储设备、或能够用于以指令或数据结构的形式携带或存储期望的程序代码单元以及能够由通用或专用计算机、或通用或专用处理器访问的任何其它非暂时性介质。此外,任何连接适当地被称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线(DSL)或诸如红外线、无线电和微波之类的无线技术来从网站、服务器或其它远程源发送的,则同轴电缆、光纤光缆、双绞线、DSL或诸如红外线、无线电和微波之类的无线技术被包括在介质的定义内。如本文中所使用的,磁盘和光盘包括CD、激光光盘、光盘、数字多功能光盘(DVD)、软盘和蓝光光盘,其中,磁盘通常磁性地复制数据,而光盘则利用激光来光学地复制数据。上文的组合也被包括在计算机可读介质的范围内。
如本文所使用的(包括在权利要求中),如项目列表(例如,以诸如“中的至少一个”或“中的一个或多个”之类的短语结束的项目列表)中所使用的“或”指示包含性列表,使得例如A、B或C中的至少一个的列表意指A或B或C或AB或AC或BC或ABC(即A和B和C)。此外,如本文所使用的,短语“基于”不应当被解释为对封闭的条件集合的引用。例如,在不脱离本公开内容的范围的情况下,被描述为“基于条件A”的示例性步骤可以基于条件A和条件B两者。换句话说,如本文所使用的,应当以与解释短语“至少部分地基于”相同的方式来解释短语“基于”。
在附图中,相似的组件或特征可以具有相同的附图标记。此外,相同类型的各种组件可以通过在附图标记后跟随有破折号和第二标记进行区分,所述第二标记用于在相似组件之间进行区分。如果在说明书中仅使用了第一附图标记,则描述适用于具有相同的第一附图标记的相似组件中的任何一个组件,而不考虑第二附图标记或其它后续附图标记。
本文结合附图阐述的描述对示例配置进行了描述,而不表示可以实现或在权利要求的范围内的所有示例。本文所使用的术语“示例性”意味着“用作示例、实例或说明”,而不是“优选的”或者“比其它示例有优势”。出于提供对所描述的技术的理解的目的,详细描述包括具体细节。但是,可以在没有这些具体细节的情况下实施这些技术。在一些实例中,公知的结构和设备以框图的形式示出,以便避免使所描述的示例的概念模糊。
为使本领域技术人员能够实现或者使用本公开内容,提供了本文中的描述。对于本领域技术人员来说,对本公开内容的各种修改将是显而易见的,并且在不脱离本公开内容的范围的情况下,本文中定义的总体原理可以应用于其它变型。因此,本公开内容不限于本文中描述的示例和设计,而是被赋予与本文中公开的原理和新颖特征相一致的最广范围。
Claims (30)
1.一种用于用户设备(UE)处的无线通信的方法,包括:
接收对要由所述UE用于验证来自基站的系统信息传输的系统参数的指示;
从所述基站接收包括一个或多个系统信息块的完整性信息的系统信息安全容器;
确定所述基站的小区身份;
至少部分地基于所述小区身份和所述系统参数来验证所述系统信息安全容器的签名;
至少部分地基于所述验证来识别所述一个或多个系统信息块的所述完整性信息中包括的系统信息;以及
将所述一个或多个系统信息块的所述完整性信息中包括的所述系统信息应用于与所述基站的通信。
2.根据权利要求1所述的方法,其中,所述系统信息安全容器包括所述一个或多个系统信息块的索引的集合和对应的完整性信息,其中,所述完整性信息是所述一个或多个系统信息块的散列。
3.根据权利要求2所述的方法,其中,所述签名是在所述集合上计算的,并且指示所述系统信息安全容器与所述基站的所述小区身份相关联。
4.根据权利要求1所述的方法,其中,接收所述系统信息安全容器包括:
在系统信息块1(SIB1)传输中接收所述系统信息安全容器,所述系统信息安全容器包括所述SIB1。
5.根据权利要求1所述的方法,其中,接收所述系统信息安全容器包括:
在安全系统信息块传输中接收所述系统信息安全容器。
6.根据权利要求1所述的方法,还包括:
确定用于生成所述系统信息安全容器的所述签名的随机性参数,其中,验证所述系统信息安全容器的所述签名还是至少部分地基于所述随机性参数的。
7.根据权利要求6所述的方法,其中,确定所述随机性参数包括:
至少部分地基于系统帧号、超系统帧号、协调世界时或其组合来确定所述随机性参数。
8.根据权利要求1所述的方法,其中,确定所述小区身份包括:
至少部分地基于所述一个或多个系统信息块的所述完整性信息中包括的所述系统信息来确定所述基站的所述小区身份。
9.根据权利要求1所述的方法,其中,所述系统信息安全容器由所述基站使用证书进行签名,并且其中,验证所述系统信息安全容器的所述签名包括:
至少部分地基于所述系统参数和所述小区身份来验证所述证书,其中,所述系统参数包括公钥;以及
至少部分地基于所述证书来验证所述系统信息安全容器的所述签名。
10.根据权利要求1所述的方法,其中,所述系统信息安全容器由所述基站使用私钥进行签名,所述方法还包括:
至少部分地基于所述小区身份和所述系统参数来验证所述系统信息安全容器的所述签名,其中,所述系统参数包括公共参数。
11.根据权利要求1所述的方法,其中,所述系统信息安全容器由网络实体使用私钥进行签名,所述方法还包括:
至少部分地基于所述小区身份和所述系统参数来验证所述系统信息安全容器的所述签名,其中,所述系统参数包括公钥。
12.根据权利要求1所述的方法,其中,接收对所述系统参数的所述指示包括:
在注册过程中接收对所述系统参数的所述指示。
13.根据权利要求1所述的方法,其中,所述一个或多个系统信息块的所述完整性信息包括一个或多个散列系统信息块。
14.根据权利要求13所述的方法,其中,识别所述一个或多个系统信息块的所述完整性信息中包括的所述系统信息包括:
对所述一个或多个散列系统信息块进行解码以识别所述系统信息。
15.根据权利要求1所述的方法,其中,所述一个或多个系统信息块包括安全敏感系统信息块。
16.一种用于基站处的无线通信的方法,包括:
识别要向一个或多个用户设备(UE)广播的一个或多个系统信息块;
生成包括所述一个或多个系统信息块的完整性信息的系统信息安全容器;
执行签名过程以将签名与所述系统信息安全容器包括在一起,所述签名指示所述系统信息安全容器与所述基站的小区身份相关联;以及
向所述一个或多个UE广播与所述签名在一起的包括所述一个或多个系统信息块的所述完整性信息的所述系统信息安全容器。
17.根据权利要求16所述的方法,其中,所述系统信息安全容器包括对所述一个或多个系统信息块的索引的指示。
18.根据权利要求16所述的方法,其中,广播所述系统信息安全容器包括:
在系统信息块1(SIB1)传输中广播所述系统信息安全容器,所述系统信息安全容器包括所述SIB1。
19.根据权利要求16所述的方法,其中,广播所述系统信息安全容器包括:
在安全系统信息块传输中广播所述系统信息安全容器。
20.根据权利要求16所述的方法,其中,执行所述签名过程以将所述签名与所述系统信息安全容器包括在一起包括:
接收对要用于对所述系统信息安全容器进行签名的证书的指示,所述证书与所述基站的所述小区身份相关联;以及
至少部分地基于所述证书来生成所述签名以与所述系统信息安全容器包括在一起。
21.根据权利要求20所述的方法,还包括:
确定随机性参数,其中,生成所述签名以与所述系统信息安全容器包括在一起还是至少部分地基于所述随机性参数的。
22.根据权利要求21所述的方法,其中,确定所述随机性参数包括:
至少部分地基于系统帧号、超系统编号、协调世界时或其组合来确定所述随机性参数。
23.根据权利要求16所述的方法,其中,执行所述签名过程以将所述签名与所述系统信息安全容器包括在一起包括:
接收对要用于对所述系统信息安全容器进行签名的私钥的指示,所述私钥与所述基站的所述小区身份相关联;以及
至少部分地基于所述私钥来生成所述签名以与所述系统信息安全容器包括在一起。
24.根据权利要求23所述的方法,还包括:
确定随机性参数,其中,生成所述签名以与所述系统信息安全容器包括在一起还是至少部分地基于所述随机性参数和所述小区身份的。
25.根据权利要求24所述的方法,其中,确定所述随机性参数包括:
至少部分地基于系统帧号、超系统帧号、协调世界时或其组合来确定所述随机性参数。
26.根据权利要求16所述的方法,其中,执行所述签名过程以将所述签名与所述系统信息安全容器包括在一起包括:
将所述系统信息安全容器作为针对所述签名的请求发送给网络实体;以及
从所述网络实体接收具有所述签名的所述系统信息安全容器,其中,所述系统信息安全容器由所述网络实体使用与所述基站的所述小区身份相关联的私钥进行签名。
27.根据权利要求16所述的方法,其中,所述一个或多个系统信息块的所述完整性信息包括一个或多个散列系统信息块。
28.根据权利要求16所述的方法,其中,所述一个或多个系统信息块包括安全敏感系统信息块。
29.一种用于用户设备(UE)处的无线通信的装置,包括:
用于接收对要由所述UE用于验证来自基站的系统信息传输的系统参数的指示的单元;
用于从所述基站接收包括一个或多个系统信息块的完整性信息的系统信息安全容器的单元;
用于确定所述基站的小区身份的单元;
用于至少部分地基于所述小区身份和所述系统参数来验证所述系统信息安全容器的签名的单元;
用于至少部分地基于所述验证来识别所述一个或多个系统信息块的所述完整性信息中包括的系统信息的单元;以及
用于将所述一个或多个系统信息块的所述完整性信息中包括的所述系统信息应用于与所述基站的通信的单元。
30.一种用于基站处的无线通信的装置,包括:
用于识别要向一个或多个用户设备(UE)广播的一个或多个系统信息块的单元;
用于生成包括所述一个或多个系统信息块的完整性信息的系统信息安全容器的单元;
用于执行签名过程以将签名与所述系统信息安全容器包括在一起的单元,所述签名指示所述系统信息安全容器与所述基站的小区身份相关联;以及
用于向所述一个或多个UE广播与所述签名在一起的包括所述一个或多个系统信息块的所述完整性信息的所述系统信息安全容器的单元。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962838513P | 2019-04-25 | 2019-04-25 | |
| US62/838,513 | 2019-04-25 | ||
| US16/855,773 | 2020-04-22 | ||
| US16/855,773 US11284261B2 (en) | 2019-04-25 | 2020-04-22 | System information security container |
| PCT/US2020/029478 WO2020219647A1 (en) | 2019-04-25 | 2020-04-23 | System information security container |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113711565A true CN113711565A (zh) | 2021-11-26 |
| CN113711565B CN113711565B (zh) | 2023-07-18 |
Family
ID=72921785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080029493.5A Active CN113711565B (zh) | 2019-04-25 | 2020-04-23 | 系统信息安全容器 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11284261B2 (zh) |
| EP (1) | EP3959857A1 (zh) |
| CN (1) | CN113711565B (zh) |
| WO (1) | WO2020219647A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023102751A1 (zh) * | 2021-12-07 | 2023-06-15 | 北京小米移动软件有限公司 | 一种系统信息验证方法、装置及存储介质 |
| WO2023109546A1 (zh) * | 2021-12-13 | 2023-06-22 | 华为技术有限公司 | 传输消息签名的方法和装置 |
| WO2024098187A1 (en) * | 2022-11-07 | 2024-05-16 | Apple Inc. | Authenticating system information blocks using digital signatures |
| WO2024104082A1 (zh) * | 2022-11-16 | 2024-05-23 | 维沃移动通信有限公司 | 信息处理方法、装置及终端 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020222686A1 (en) * | 2019-04-29 | 2020-11-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, ue and nodes for handling system information protection |
| CN115442801A (zh) * | 2021-06-03 | 2022-12-06 | 华为技术有限公司 | 传输系统消息的方法和装置 |
| WO2024034987A1 (en) * | 2022-08-09 | 2024-02-15 | Samsung Electronics Co., Ltd. | A method and user equipment for determining false network node in wireless network |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101541007A (zh) * | 2000-06-13 | 2009-09-23 | 朗迅科技公司 | 验证用户署名身份模块的改进方法 |
| CN104919834A (zh) * | 2013-01-11 | 2015-09-16 | Lg电子株式会社 | 用于在无线通信系统中应用安全信息的方法和设备 |
| WO2018059676A1 (en) * | 2016-09-28 | 2018-04-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Validation of position indication |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014145996A1 (en) * | 2013-03-15 | 2014-09-18 | Mtd Products Inc | Autonomous mobile work system comprising a variable reflectivity base station |
| WO2017127421A1 (en) * | 2016-01-18 | 2017-07-27 | Qoscience, Inc. | Method and apparatus for the detection of distortion or corruption of cellular communication signals |
| EP3442159B1 (en) * | 2016-05-03 | 2021-02-03 | Huawei Technologies Co., Ltd. | Certificate notification method and device |
| JP6899439B2 (ja) * | 2016-12-30 | 2021-07-07 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | ユーザ機器および通信方法 |
| WO2019042540A1 (en) * | 2017-08-30 | 2019-03-07 | Telefonaktiebolaget Lm Ericsson (Publ) | RECONFIGURATION OF COMMUNICATION DEVICES |
| RU2747270C1 (ru) * | 2018-01-11 | 2021-05-04 | Телефонактиеболагет Лм Эрикссон (Пабл) | Способы и устройство для обновления системной информации |
| US10986602B2 (en) * | 2018-02-09 | 2021-04-20 | Intel Corporation | Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function |
| US10757572B2 (en) * | 2018-11-01 | 2020-08-25 | Qualcomm Incorporated | Identity based signature in system information protection |
| US10681536B1 (en) * | 2019-04-01 | 2020-06-09 | Wistron Neweb Corporation | Cellular device and method for determining operation mode thereof |
-
2020
- 2020-04-22 US US16/855,773 patent/US11284261B2/en active Active
- 2020-04-23 WO PCT/US2020/029478 patent/WO2020219647A1/en unknown
- 2020-04-23 CN CN202080029493.5A patent/CN113711565B/zh active Active
- 2020-04-23 EP EP20725364.2A patent/EP3959857A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101541007A (zh) * | 2000-06-13 | 2009-09-23 | 朗迅科技公司 | 验证用户署名身份模块的改进方法 |
| CN104919834A (zh) * | 2013-01-11 | 2015-09-16 | Lg电子株式会社 | 用于在无线通信系统中应用安全信息的方法和设备 |
| WO2018059676A1 (en) * | 2016-09-28 | 2018-04-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Validation of position indication |
Non-Patent Citations (1)
| Title |
|---|
| SOPHIA-ANTIPOLIS CEDEX: ""3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;Study on the security aspects of the next generation system (Release 14)"", 《3GPP》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023102751A1 (zh) * | 2021-12-07 | 2023-06-15 | 北京小米移动软件有限公司 | 一种系统信息验证方法、装置及存储介质 |
| WO2023109546A1 (zh) * | 2021-12-13 | 2023-06-22 | 华为技术有限公司 | 传输消息签名的方法和装置 |
| WO2024098187A1 (en) * | 2022-11-07 | 2024-05-16 | Apple Inc. | Authenticating system information blocks using digital signatures |
| WO2024104082A1 (zh) * | 2022-11-16 | 2024-05-23 | 维沃移动通信有限公司 | 信息处理方法、装置及终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200344611A1 (en) | 2020-10-29 |
| CN113711565B (zh) | 2023-07-18 |
| EP3959857A1 (en) | 2022-03-02 |
| WO2020219647A1 (en) | 2020-10-29 |
| US11284261B2 (en) | 2022-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110291804B (zh) | 一种涉及会话管理授权令牌的无线通信方法及装置 | |
| US10674360B2 (en) | Enhanced non-access stratum security | |
| CN113711565B (zh) | 系统信息安全容器 | |
| US11070981B2 (en) | Information protection to detect fake base stations | |
| CN112889056B (zh) | 系统信息保护中的基于标识的签名 | |
| CN112913268B (zh) | 对网络切片选择辅助信息进行加密 | |
| US10757754B2 (en) | Techniques for securing PDCP control PDU | |
| CN113728670B (zh) | 使用接入层安全性模式命令的系统信息修改的检测 | |
| CN114556990B (zh) | 在核心网络中的网络功能处的系统信息保护 | |
| US11528137B2 (en) | Identity-based encryption of a message associated with a connection procedure |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |