CN114556990A - 在核心网络中的网络功能处的系统信息保护 - Google Patents

在核心网络中的网络功能处的系统信息保护 Download PDF

Info

Publication number
CN114556990A
CN114556990A CN202080069207.8A CN202080069207A CN114556990A CN 114556990 A CN114556990 A CN 114556990A CN 202080069207 A CN202080069207 A CN 202080069207A CN 114556990 A CN114556990 A CN 114556990A
Authority
CN
China
Prior art keywords
signature
base station
response
system information
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080069207.8A
Other languages
English (en)
Inventor
S·B·李
G·B·霍恩
R·阿加瓦尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of CN114556990A publication Critical patent/CN114556990A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/104Location integrity, e.g. secure geotagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/10Access restriction or access information delivery, e.g. discovery data delivery using broadcasted information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • H04W48/12Access restriction or access information delivery, e.g. discovery data delivery using downlink control channel
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

描述了用于无线通信的方法、系统和设备。可以在网络中的上游在更安全的位置处维护私钥。例如,当需要签名时,基站可以向核心网络内的签名功能发送签名请求,并且可以发送要被保护的系统信息(SI)。签名功能可以使用私钥来生成用于SI的签名并且将签名返回基站。基站可以向该基站的覆盖区域内的用户设备(UE)发送SI和签名。UE可以获得与私钥相对应的公钥,并且可以使用公钥来验证用于SI的签名是有效的并且来自基站。公钥以及因此签名可以对应于特定的跟踪区域。

Description

在核心网络中的网络功能处的系统信息保护
交叉引用
本专利申请要求享受以下申请的权益:由LEE等人于2019年10月11日提交的、名称为“SYSTEM INFORMATION PROTECTION AT A NETWORK FUNCTION IN THE CORE NETWORK”的美国临时专利申请No.62/914,335;以及由LEE等人于2020年10月8日提交的、名称为“SYSTEM INFORMATION PROTECTION AT A NETWORK FUNCTION IN THE CORE NETWORK”的美国专利申请No.17/066,014;上述申请被转让给本申请的受让人。
技术领域
概括而言,下文涉及无线通信,并且更具体地,下文涉及在核心网络中的网络功能(NF)处的系统信息(SI)保护。
背景技术
无线通信系统被广泛地部署以提供诸如语音、视频、分组数据、消息传送、广播等各种类型的通信内容。这些系统能够通过共享可用的系统资源(例如,时间、频率和功率)来支持与多个用户的通信。这样的多址系统的示例包括第四代(4G)系统(例如,长期演进(LTE)系统、改进的LTE(LTE-A)系统或LTE-A Pro系统)和第五代(5G)系统(其可以被称为新无线电(NR)系统)。这些系统可以采用诸如以下各项的技术:码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交频分多址(OFDMA)或者离散傅里叶变换扩频正交频分复用(DFT-S-OFDM)。无线多址通信系统可以包括一个或多个基站或一个或多个网络接入节点,每个基站或网络接入节点同时支持针对多个通信设备(其可以另外被称为用户设备(UE))的通信。
在一些无线通信系统中,网络实体可以利用一个或多个安全密钥来促进跨越网络的安全通信(例如,在UE和基站之间)。可以根据多个参数或密钥推导函数(KDF)来推导安全密钥。在建立和使用安全密钥之前,可以从基站向UE发送系统信息(SI),以向UE提供关于系统和基站的信息,以使得能够进行后续通信(例如,用于建立用于安全通信的连接的信令)。然而,该SI在被发送给UE时可能不受保护(例如,SI是未被加密的),使得攻击者有机会充当基站并且向UE提供虚假信息,从而影响UE与网络建立连接的能力(例如,作为拒绝服务(DoS)攻击的一部分)。
发明内容
所描述的技术涉及支持在核心网络中的网络功能(NF)处的系统信息(SI)保护的改进的方法、系统、设备和装置。概括而言,所描述的技术规定在网络节点处(例如,在核心网络中的软件中虚拟地实现的签名NF处)存储私钥-公钥对,用户设备(UE)可以使用该私钥-公钥对来验证已经由基站发送的SI消息(例如,SI块(SIB)、安全SIB、主信息块(MIB)等)的签名。在一些情况下,基站可以向网络节点(例如,核心网络节点)发送包括SI的签名请求,并且可以从网络节点接收签名响应,该签名响应包括基于SI而生成的签名(例如,对应于公钥-私钥对)。随后,基站可以发送包括SI和所生成的签名的SI消息(例如,经由广播消息)。在接收SI消息之前,可以在UE向网络注册时经由接入和移动性管理功能(AMF)向其提供由网络节点生成的一个或多个公钥。因此,当在UE处检测到并且接收到SI消息时,UE可以使用所提供的公钥来验证签名并且确定接收到的SI消息是由基站(例如,而不是黑客、攻击者、假基站等)发送的。
在一些情况下,基站可以向网络节点发送批量签名请求,其请求针对给定时间的多个签名(例如,基于时间的签名)。另外或替代地,批量签名请求可以包括新鲜度参数(例如,新近度参数、系统帧号(SFN)等),其中签名是在网络节点处基于新鲜度参数来生成的(例如,基于所请求的SFN来提供签名)。在一些情况下,基站可以连续地从网络节点接收经更新的签名,或者当在基站处改变SI消息时可以请求新签名。另外,公钥可以包括与跟踪区域(例如,针对网络的公钥在其中有效的地理区域)相对应的密钥标识符(ID)。因此,当UE向网络注册时,网络节点可以向UE提供密钥ID和对应公钥的元组(例如,经由注册接受消息),以使UE能够验证由基站广播的SI消息和签名以及密钥ID。因此,(例如,由网络节点、核心网络节点、签名NF等)提供给基站的签名消息也可以携带密钥ID,以使基站能够将密钥ID连同SI消息和签名一起广播。在一些情况下,可以向AMF提供与相邻跟踪区域相对应的多个公钥,使得如果UE进入新的跟踪区域,则UE可以验证SI消息,而不必须接收新的公钥。
描述了一种由基站进行无线通信的方法。所述方法可以包括:向网络节点发送包括SI的签名请求;从所述网络节点接收签名响应,所述签名响应包括基于所述SI而生成的签名;以及发送包括所述SI和所述签名的SI消息。
描述了一种用于由基站进行无线通信的装置。所述装置可以包括处理器、与所述处理器耦合的存储器、以及被存储在所述存储器中的指令。所述指令可以是可由所述处理器执行以使得所述装置进行以下操作:向网络节点发送包括SI的签名请求;从所述网络节点接收签名响应,所述签名响应包括基于所述SI而生成的签名;以及发送包括所述SI和所述签名的SI消息。
描述了另一种用于由基站进行无线通信的装置。所述装置可以包括用于进行以下操作的单元:向网络节点发送包括SI的签名请求;从所述网络节点接收签名响应,所述签名响应包括基于所述SI而生成的签名;以及发送包括所述SI和所述签名的SI消息。
描述了一种存储用于由基站进行无线通信的代码的非暂时性计算机可读介质。所述代码可以包括可由处理器执行以进行以下操作的指令:向网络节点发送包括SI的签名请求;从所述网络节点接收签名响应,所述签名响应包括基于所述SI而生成的签名;以及发送包括所述SI和所述签名的SI消息。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,发送所述签名请求可以包括用于以下项的操作、特征、单元或指令:发送包括所述SI和主信息的所述签名请求,其中,所述签名可以是基于所述SI和所述主信息来生成的。
本文描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于以下项的操作、特征、单元或指令:发送所述SI消息,所述SI消息指示与用于生成所述签名的第一私钥相对应的公钥的ID。
本文描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于以下各项的操作、特征、单元或指令:向所述网络节点发送包括经更新的SI的第二签名请求;从所述网络节点接收签名响应,所述签名响应包括基于所述经更新的SI而生成的第二签名;以及发送包括所述经更新的SI和所述第二签名的SI消息。
本文描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于以下各项的操作、特征、单元或指令:从UE接收注册请求;向提供AMF的网络节点发送所述注册请求;从所述网络节点接收注册响应,所述注册响应包括与用于生成所述签名的第一私钥相对应的第一公钥;以及向所述UE发送所述注册响应。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,发送所述注册响应可以包括用于以下项的操作、特征、单元或指令:发送包括用于所述第一公钥的第一跟踪区域的所述注册响应。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,发送所述注册响应可以包括用于以下项的操作、特征、单元或指令:发送所述注册响应,所述注册响应指示用于可以相对于所述第一跟踪区域而地理定位的第二跟踪区域的第二公钥,所述第二公钥与用于生成用于在所述第二跟踪区域内发送的第二SI的第二签名的第二私钥相对应。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,接收所述注册请求可以包括用于以下项的操作、特征、单元或指令:从UE接收指示所述UE可能已经进入新的跟踪区域的移动性注册更新请求。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,发送所述签名请求可以包括用于以下项的操作、特征、单元或指令:发送所述签名请求以请求针对时间范围和时间增量间隔的签名集合。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,接收所述签名请求可以包括用于以下项的操作、特征、单元或指令:接收包括所述签名集合的所述签名响应。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,接收所述签名响应可以包括用于以下项的操作、特征、单元或指令:接收签名响应集合,每个签名响应包括所述签名集合中的一个或多个签名的子集。在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,所述子集中的每个子集与所述时间范围内的相应的时间增量间隔相对应。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,发送所述签名请求可以包括用于以下项的操作、特征、单元或指令:发送所述签名请求,所述签名请求指示子帧增量间隔并且请求与在起始子帧号和结束子帧号之间的子帧号范围相对应的签名集合。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,接收所述签名响应可以包括用于以下项的操作、特征、单元或指令:接收包括所述签名集合的所述签名响应。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,接收所述签名响应可以包括用于以下项的操作、特征、单元或指令:接收签名响应集合,每个签名响应包括所述签名集合中的一个或多个签名的子集。在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,所述子集中的每个子集与所述子帧号范围内的相应的子帧增量间隔相对应。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,发送所述签名请求可以包括用于以下项的操作、特征、单元或指令:发送包括新近度参数的所述签名请求。
本文描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于以下项的操作、特征、单元或指令:从所述网络节点接收所述签名响应,所述签名响应包括可以基于所述SI和所述新近度参数而生成的所述签名。在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,所述新近度参数可以是SFN。
描述了一种由网络节点进行无线通信的方法。所述方法可以包括:从基站接收包括SI的签名请求;以及向所述基站发送签名响应,所述签名响应包括基于所述SI而生成的签名。
描述了一种用于由网络节点进行无线通信的装置。所述装置可以包括处理器、与所述处理器耦合的存储器、以及被存储在所述存储器中的指令。所述指令可以是可由所述处理器执行以使得所述装置进行以下操作:从基站接收包括SI的签名请求;以及向所述基站发送签名响应,所述签名响应包括基于所述SI而生成的签名。
描述了另一种用于由网络节点进行无线通信的装置。所述装置可以包括用于进行以下操作的单元:从基站接收包括SI的签名请求;以及向所述基站发送签名响应,所述签名响应包括基于所述SI而生成的签名。
描述了一种存储用于由网络节点进行无线通信的代码的非暂时性计算机可读介质。所述代码可以包括可由处理器执行以进行以下操作的指令:从基站接收包括SI的签名请求;以及向所述基站发送签名响应,所述签名响应包括基于所述SI而生成的签名。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,接收所述签名请求可以包括用于以下项的操作、特征、单元或指令:接收包括所述SI和主信息的所述签名请求,其中,所述签名可以是基于所述SI和主信息来生成的。
本文描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于以下项的操作、特征、单元或指令:发送密钥ID消息,所述密钥ID消息指示与用于生成所述签名的第一私钥相对应的公钥的ID。
本文描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于以下项的操作、特征、单元或指令:从所述基站接收包括经更新的SI的第二签名请求;以及向所述基站发送签名响应,所述签名响应包括基于所述经更新的SI而生成的第二签名。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,接收所述签名请求可以包括用于以下项的操作、特征、单元或指令:接收请求针对时间范围和时间增量间隔的签名集合的所述签名请求。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,发送所述签名响应可以包括用于以下项的操作、特征、单元或指令:发送包括所述签名集合的所述签名响应。在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,发送所述签名响应可以包括用于以下项的操作、特征、单元或指令:发送签名响应集合,每个签名响应包括所述签名集合中的一个或多个签名的子集。在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,所述子集中的每个子集与所述时间范围内的相应的时间增量间隔相对应。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,接收所述签名请求可以包括用于以下项的操作、特征、单元或指令:接收所述签名请求,所述签名请求指示子帧增量间隔并且请求与在起始子帧号和结束子帧号之间的子帧号范围相对应的签名集合。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,接收所述签名响应可以包括用于以下项的操作、特征、单元或指令:接收包括所述签名集合的所述签名响应。在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,接收所述签名响应可以包括用于以下项的操作、特征、单元或指令:接收签名响应集合,每个签名响应包括所述签名集合中的一个或多个签名的子集。在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,所述子集中的每个子集与所述子帧号范围内的相应的子帧增量间隔相对应。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,接收所述签名请求可以包括用于以下项的操作、特征、单元或指令:接收包括新近度参数的所述签名请求。
本文描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于以下项的操作、特征、单元或指令:向所述基站发送所述签名响应,所述签名响应包括可以基于所述SI和所述新近度参数而生成的所述签名。在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,所述新近度参数可以是SFN。
描述了一种由UE进行无线通信的方法。所述方法可以包括:向核心网络节点发送注册请求;从所述核心网络节点接收包括第一公钥和第二公钥的注册响应,所述第一公钥与用于生成用于针对第一跟踪区域的第一SI的第一签名的第一私钥相对应,所述第二公钥与用于生成用于针对相对于所述第一跟踪区域而地理定位的第二跟踪区域的第二SI的第二签名的第二私钥相对应;以及监测包括所述第一SI和所述第一签名或包括所述第二SI和所述第二签名的SI消息。
描述了一种用于由UE进行无线通信的装置。所述装置可以包括处理器、与所述处理器耦合的存储器、以及被存储在所述存储器中的指令。所述指令可以是可由所述处理器执行以使得所述装置进行以下操作:向核心网络节点发送注册请求;从所述核心网络节点接收包括第一公钥和第二公钥的注册响应,所述第一公钥与用于生成用于针对第一跟踪区域的第一SI的第一签名的第一私钥相对应,所述第二公钥与用于生成用于针对相对于所述第一跟踪区域而地理定位的第二跟踪区域的第二SI的第二签名的第二私钥相对应;以及监测包括所述第一SI和所述第一签名或包括所述第二SI和所述第二签名的SI消息。
描述了另一种用于由UE进行无线通信的装置。所述装置可以包括用于进行以下操作的单元:向核心网络节点发送注册请求;从所述核心网络节点接收包括第一公钥和第二公钥的注册响应,所述第一公钥与用于生成用于针对第一跟踪区域的第一SI的第一签名的第一私钥相对应,所述第二公钥与用于生成用于针对相对于所述第一跟踪区域而地理定位的第二跟踪区域的第二SI的第二签名的第二私钥相对应;以及监测包括所述第一SI和所述第一签名或包括所述第二SI和所述第二签名的SI消息。
描述了一种存储用于由UE进行无线通信的代码的非暂时性计算机可读介质。所述代码可以包括可由处理器执行以进行以下操作的指令:向核心网络节点发送注册请求;从所述核心网络节点接收包括第一公钥和第二公钥的注册响应,所述第一公钥与用于生成用于针对第一跟踪区域的第一SI的第一签名的第一私钥相对应,所述第二公钥与用于生成用于针对相对于所述第一跟踪区域而地理定位的第二跟踪区域的第二SI的第二签名的第二私钥相对应;以及监测包括所述第一SI和所述第一签名或包括所述第二SI和所述第二签名的SI消息。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,监测所述SI消息可以包括用于以下项的操作、特征、单元或指令:接收包括所述第一SI和所述第一签名的所述SI消息。
本文描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于以下项的操作、特征、单元或指令:基于所述第一签名来验证所述第一SI;以及基于经验证的第一SI来与所述第一跟踪区域内的基站建立连接性。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,监测所述SI消息可以包括用于以下项的操作、特征、单元或指令:接收包括所述第二SI和所述第二签名的所述SI消息。
本文描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于以下项的操作、特征、单元或指令:基于所述第二签名来验证所述第二SI;以及基于经验证的第二SI来与所述第二跟踪区域内的基站建立连接性。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,监测所述SI消息可以包括用于以下项的操作、特征、单元或指令:接收所述SI消息,所述SI消息指示与用于生成所述第一签名的所述第一私钥相对应的所述第一公钥的ID。
在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中,发送所述注册请求可以包括用于以下项的操作、特征、单元或指令:发送移动性注册更新请求,所述移动性注册更新请求指示所述UE可能已经从所述第一跟踪区域移动到所述第二跟踪区域。
附图说明
图1示出了根据本公开内容的各方面的支持在核心网络中的网络功能(NF)处的系统信息(SI)保护的用于无线通信的系统的示例。
图2示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的小区认证的示例。
图3示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的过程流的示例。
图4和5示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的设备的框图。
图6示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的用户设备(UE)通信管理器的框图。
图7示出了根据本公开内容的各方面的包括支持在核心网络中的NF处的SI保护的设备的系统的图。
图8和9示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的设备的框图。
图10示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的基站通信管理器的框图。
图11示出了根据本公开内容的各方面的包括支持在核心网络中的NF处的SI保护的设备的系统的图。
图12和13示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的设备的框图。
图14示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的核心网络通信管理器的框图。
图15示出了根据本公开内容的各方面的包括支持在核心网络中的NF处的SI保护的设备的系统的图。
图16至23示出了说明根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的方法的流程图。
具体实施方式
在无线通信系统中,基站可以发送包含允许UE与基站建立连接性的信息的系统信息块(SIB)。SIB通常未被加密。作为拒绝服务(DoS)攻击的一部分,攻击者潜在地可能更改SIB中的系统信息(SI)。在一些情况下,私钥可以被分发到基站并且用于生成用于SIB的数字签名。然而,存在许多基站,并且黑客已经找到了从这些基站窃取私钥的方式。
如本文描述的,可以在网络中的上游在更安全的位置处维护私钥。例如,当需要签名时,基站可以向核心网络内的签名功能发送签名请求,并且可以发送要被保护的SI。签名功能可以使用私钥来生成用于SI的签名并且将签名返回给基站。基站将SI和签名发送给在基站的覆盖区域内的UE(例如,经由广播传输)。UE可以获得与私钥相对应的公钥,并且可以使用该公钥来验证用于SIB的签名是有效的并且来自基站(例如,否则SIB被丢弃)。公钥以及因此签名可以对应于特定的跟踪区域,并且网络可以向UE提供用于相邻跟踪区域的多个公钥。当UE从一个跟踪区域移动到相邻跟踪区域时,UE尝试验证用于该跟踪区域的SIB的签名。如果被验证,则UE可以尝试使用经验证的SIB来与相邻跟踪区域中的基站建立连接性。
首先在无线通信系统的背景下描述了本公开内容的各方面。另外,通过小区认证和过程流示出了本公开内容的各方面。进一步通过涉及在核心网络中的NF处的SI保护的装置图、系统图和流程图来示出并且参照这些图来描述本公开内容的各方面。
图1示出了根据本公开内容的各方面的支持核心网络中的NF处的SI保护的无线通信系统100的示例。无线通信系统100可以包括一个或多个基站105、一个或多个UE 115以及核心网络130。在一些示例中,无线通信系统100可以是长期演进(LTE)网络、改进的LTE(LTE-A)网络、LTE-A Pro网络或新无线电(NR)网络。在一些示例中,无线通信系统100可以支持增强型宽带通信、超可靠(例如,任务关键)通信、低时延通信或者与低成本且低复杂度设备的通信、或其任何组合。
基站105可以散布于整个地理区域中以形成无线通信系统100,并且可以是具有不同形式或具有不同能力的设备。基站105和UE 115可以经由一个或多个通信链路125无线地进行通信。每个基站105可以提供覆盖区域110,UE 115和基站105可以在覆盖区域110内建立一个或多个通信链路125。覆盖区域110可以是如下地理区域的示例:在该地理区域内,基站105和UE 115可以支持根据一种或多种无线电接入技术来传送信号。
UE 115可以散布于无线通信系统100的整个覆盖区域110中,并且每个UE 115在不同的时间处可能是静止的、或移动的、或两者。UE 115可以是具有不同形式或具有不同能力的设备。在图1中示出了一些示例UE 115。本文描述的UE 115能够与各种类型的设备进行通信,诸如其它UE 115、基站105或网络设备(例如,核心网络节点、中继设备、集成接入和回程(IAB)节点或其它网络设备),如图1所示。
基站105可以与核心网络130进行通信,或者彼此进行通信,或者进行上述两种操作。例如,基站105可以通过一个或多个回程链路132(例如,经由S1、N2、N3或其它接口)与核心网络130对接。基站105可以在回程链路120上(例如,经由X2、Xn或其它接口)上直接地(例如,直接在基站105之间)彼此进行通信,或者间接地(例如,经由核心网络130)彼此进行通信,或者进行上述两种操作。在一些示例中,回程链路120可以是或者包括一个或多个无线链路。
本文描述的基站105中的一者或多者可以包括或者可以被本领域技术人员称为基站收发机、无线电基站、接入点、无线电收发机、节点B、演进型节点B(eNB)、下一代节点B或千兆节点B(任一者可以被称为gNB)、家庭节点B、家庭演进型节点B、或某种其它适当的术语。
UE 115可以包括或者可以被称为移动设备、无线设备、远程设备、手持设备、或订户设备、或某种其它适当的术语,其中,“设备”还可以被称为单元、站、终端或客户端、以及其它示例。UE 115还可以包括或者可以被称为个人电子设备,诸如蜂窝电话、个人数字助理(PDA)、平板计算机、膝上型计算机或个人计算机。在一些示例中,UE 115可以包括或者被称为无线本地环路(WLL)站、物联网(IoT)设备、万物联网(IoE)设备、或机器类型通信(MTC)设备、以及其它示例,其可以是在诸如电器、或运载工具、仪表以及其它示例的各种物品中实现的。
本文描述的UE 115能够与各种类型的设备进行通信,诸如有时可以充当中继器的其它UE 115以及基站105和网络设备,其包括宏eNB或gNB、小型小区eNB或gNB、或中继基站以及其它示例,如图1所示。
UE 115和基站105可以在一个或多个载波上经由一个或多个通信链路125彼此无线地进行通信。术语“载波”可以指代具有用于支持通信链路125的定义的物理层结构的射频频谱资源集合。例如,用于通信链路125的载波可以包括射频频谱带的一部分(例如,带宽部分(BWP)),其是根据用于给定无线电接入技术(例如,LTE、LTE-A、LTE-A Pro、NR)的一个或多个物理层信道而被操作的。每个物理层信道可以携带获取信令(例如,同步信号、系统信息)、协调针对载波的操作的控制信令、用户数据、或其它信令。无线通信系统100可以支持使用载波聚合或多载波操作与UE 115的通信。根据载波聚合配置,UE 115可以被配置有多个下行链路分量载波和一个或多个上行链路分量载波。载波聚合可以与频分双工(FDD)分量载波和时分双工(TDD)分量载波两者一起使用。
在一些示例中(例如,在载波聚合配置中),载波还可以具有协调针对其它载波的操作的获取信令或控制信令。载波可以与频率信道(例如,演进型通用移动电信系统陆地无线电接入(E-UTRA)绝对射频信道号(EARFCN))相关联,并且可以根据信道栅格来放置以便被UE 115发现。可以在独立模式下操作载波(其中UE 115可以经由该载波进行初始获取和连接),或者可以在非独立模式下操作载波(其中使用(例如,相同或不同的无线电接入技术的)不同的载波来锚定连接)。
在无线通信系统100中示出的通信链路125可以包括从UE 115到基站105的上行链路传输、或者从基站105到UE 115的下行链路传输。载波可以携带下行链路或上行链路通信(例如,在FDD模式下)或者可以被配置为携带下行链路和上行链路通信(例如,在TDD模式下)。
载波可以与射频频谱的特定带宽相关联,并且在一些示例中,载波带宽可以被称为载波或无线通信系统100的“系统带宽”。例如,载波带宽可以是针对特定无线电接入技术的载波的多个确定带宽中的一个带宽(例如,1.4、3、5、10、15、20、40或80兆赫(MHz))。无线通信系统100的设备(例如,基站105、UE 115或两者)可以具有支持在特定载波带宽上的通信的硬件配置,或者可以可配置为支持在载波带宽集合中的一个载波带宽上的通信。在一些示例中,无线通信系统100可以包括支持经由与多个载波带宽相关联的载波的同时通信的基站105或UE 115。在一些示例中,每个被服务的UE 115可以被配置用于在载波带宽的部分(例如,子带、BWP)或全部上进行操作。
在载波上发送的信号波形可以由多个子载波构成(例如,使用诸如正交频分复用(OFDM)或离散傅里叶变换扩频OFDM(DFT-S-OFDM)之类的多载波调制(MCM)技术)。在采用MCM技术的系统中,资源元素可以由一个符号周期(例如,一个调制符号的持续时间)和一个子载波组成,其中,符号周期和子载波间隔是逆相关的。每个资源元素携带的比特的数量可以取决于调制方案(例如,调制方案的阶数、调制方案的编码速率、或两者)。因此,UE 115接收的资源元素越多并且调制方案的阶数越高,针对UE 115的数据速率就可以越高。无线通信资源可以指代射频频谱资源、时间资源和空间资源(例如,空间层或波束)的组合,并且对多个空间层的使用可以进一步增加用于与UE 115的通信的数据速率或数据完整性。
可以以基本时间单位(其可以例如是指为Ts=1/(Δfmax·Nf)秒的采样周期,其中,Δfmax可以表示最大支持的子载波间隔,并且Nf可以表示最大支持的离散傅里叶变换(DFT)大小)的倍数来表示用于基站105或UE 115的时间间隔。可以根据均具有指定持续时间(例如,10毫秒(ms))的无线电帧来组织通信资源的时间间隔。可以通过系统帧号(SFN)(例如,范围从0到1023)来标识每个无线电帧。
每个帧可以包括多个连续编号的子帧或时隙,并且每个子帧或时隙可以具有相同的持续时间。在一些示例中,帧可以(例如,在时域中)被划分成子帧,并且每个子帧可以被进一步划分成多个时隙。替代地,每个帧可以包括可变数量的时隙,并且时隙的数量可以取决于子载波间隔。每个时隙可以包括多个符号周期(例如,这取决于在每个符号周期前面添加的循环前缀的长度)。在一些无线通信系统100中,时隙可以被进一步划分成包含一个或多个符号的多个微时隙。排除循环前缀,每个符号周期可以包含一个或多个(例如,Nf个)采样周期。符号周期的持续时间可以取决于子载波间隔或操作频带。
子帧、时隙、微时隙或符号可以是无线通信系统100的最小调度单元(例如,在时域中),并且可以被称为传输时间间隔(TTI)。在一些示例中,TTI持续时间(例如,TTI中的符号周期的数量)可以是可变的。另外或替代地,可以动态地选择无线通信系统100的最小调度单元(例如,在缩短的TTI(sTTI)的突发中)。
可以根据各种技术在载波上对物理信道进行复用。例如,可以使用时分复用(TDM)技术、频分复用(FDM)技术或混合TDM-FDM技术中的一项或多项来在下行链路载波上对物理控制信道和物理数据信道进行复用。用于物理控制信道的控制区域(例如,控制资源集合(CORESET))可以由多个符号周期来定义,并且可以跨载波的系统带宽或系统带宽的子集来延伸。可以为UE 115的集合配置一个或多个控制区域(例如,CORESET)。例如,UE 115中的一者或多者可以根据一个或多个搜索空间集合而针对控制信息来监测或搜索控制区域,并且每个搜索空间集合可以包括在一个或多个聚合水平下以级联方式布置的一个或多个控制信道候选。用于控制信道候选的聚合水平可以指代与用于具有给定有效载荷大小的控制信息格式的编码信息相关联的控制信道资源(例如,控制信道元素(CCE))的数量。搜索空间集合可以包括被配置用于向多个UE 115发送控制信息的公共搜索空间集合和用于向特定UE115发送控制信息的特定于UE的搜索空间集合。
每个基站105可以经由一个或多个小区(例如,宏小区、小型小区、热点、或其它类型的小区、或其任何组合)来提供通信覆盖。术语“小区”可以指代用于(例如,在载波上)与基站105进行通信的逻辑通信实体,并且可以与用于区分相邻小区的标识符(例如,物理小区标识符(PCID)、虚拟小区标识符(VCID)或其它标识符)相关联。在一些示例中,小区还可以指代逻辑通信实体在其上进行操作的地理覆盖区域110或地理覆盖区域110的一部分(例如,扇区)。取决于各种因素(诸如基站105的能力),这样的小区的范围可以从较小的区域(例如,结构、结构的子集)到较大的区域。例如,小区可以是或包括建筑物、建筑物的子集、或者在地理覆盖区域110之间或与地理覆盖区域110重叠的外部空间、以及其它示例。
宏小区通常覆盖相对大的地理区域(例如,半径为若干千米),并且可以允许由具有与支持宏小区的网络提供商的服务订制的UE 115进行不受限制的接入。与宏小区相比,小型小区可以与较低功率的基站105相关联,并且小型小区可以在与宏小区相同或不同(例如,经许可、非许可)的频带中进行操作。小型小区可以向具有与网络提供商的服务订制的UE 115提供不受限制的接入,或者可以向具有与小型小区的关联的UE 115(例如,封闭用户组(CSG)中的UE 115、与住宅或办公室中的用户相关联的UE 115)提供受限制的接入。基站105可以支持一个或多个小区,并且还可以支持使用一个或多个分量载波来在一个或多个小区上进行通信。
在一些示例中,载波可以支持多个小区,并且可以根据可以为不同类型的设备提供接入的不同的协议类型(例如,MTC、窄带IoT(NB-IoT)、增强型移动宽带(eMBB))来配置不同的小区。
在一些示例中,基站105可以是可移动的,并且因此,提供针对移动的地理覆盖区域110的通信覆盖。在一些示例中,与不同的技术相关联的不同的地理覆盖区域110可以重叠,但是不同的地理覆盖区域110可以由同一基站105来支持。在其它示例中,与不同的技术相关联的重叠的地理覆盖区域110可以由不同的基站105来支持。无线通信系统100可以包括例如异构网络,其中不同类型的基站105使用相同或不同的无线电接入技术来提供针对各个地理覆盖区域110的覆盖。
无线通信系统100可以被配置为支持超可靠通信或低时延通信、或其各种组合。例如,无线通信系统100可以被配置为支持超可靠低时延通信(URLLC)或任务关键通信。UE115可以被设计为支持超可靠、低时延或关键功能(例如,任务关键功能)。超可靠通信可以包括私人通信或群组通信,并且可以由一个或多个任务关键服务(诸如任务关键一键通(MCPTT)、任务关键视频(MCVideo)或任务关键数据(MCData))支持。对任务关键功能的支持可以包括服务的优先化,并且任务关键服务可以用于公共安全或一般商业应用。术语超可靠、低时延、任务关键和超可靠低时延在本文中可以互换地使用。
在一些示例中,UE 115还能够在设备到设备(D2D)通信链路135上与其它UE 115直接进行通信(例如,使用对等(P2P)或D2D协议)。利用D2D通信的一个或多个UE 115可以在基站105的地理覆盖区域110内。这样的组中的其它UE 115可以在基站105的地理覆盖区域110之外,或者以其它方式无法从基站105接收传输。在一些示例中,经由D2D通信来进行通信的多组UE 115可以利用一到多(1:M)系统,其中,每个UE 115向组中的每个其它UE 115进行发送。在一些示例中,基站105促进对用于D2D通信的资源的调度。在其它情况下,D2D通信是在UE 115之间执行的,而不涉及基站105。
核心网络130可以提供用户认证、接入授权、跟踪、互联网协议(IP)连接性、以及其它接入、路由或移动性功能。核心网络130可以是演进分组核心(EPC)或5G核心(5GC),其可以包括管理接入和移动性的至少一个控制平面实体(例如,移动性管理实体(MME)、接入和移动性管理功能(AMF))以及将分组路由到外部网络或互连到外部网络的至少一个用户平面实体(例如,服务网关(S-GW)、分组数据网络(PDN)网关(P-GW)、或用户平面功能(UPF))。控制平面实体可以管理非接入层(NAS)功能,例如,针对由与核心网络130相关联的基站105服务的UE 115的移动性、认证和承载管理。用户IP分组可以通过用户平面实体来传输,用户平面实体可以提供IP地址分配以及其它功能。用户平面实体可以连接到网络运营商IP服务150。运营商IP服务150可以包括对互联网、内联网、IP多媒体子系统(IMS)或分组交换流服务的接入。
网络设备中的一些网络设备(例如,基站105)可以包括诸如接入网络实体140(其可以是接入节点控制器(ANC)的示例)之类的子组件。每个接入网络实体140可以通过一个或多个其它接入网络传输实体145(其可以被称为无线电头端、智能无线电头端或发送/接收点(TRP))来与UE 115进行通信。每个接入网络传输实体145可以包括一个或多个天线面板。在一些配置中,每个接入网络实体140或基站105的各种功能可以是跨越各个网络设备(例如,无线电头端和ANC)分布的或者合并到单个网络设备(例如,基站105)中。
无线通信系统100可以使用一个或多个频带(通常在300兆赫(MHz)到300千兆赫(GHz)的范围中)来操作。通常,从300MHz到3GHz的区域被称为特高频(UHF)区域或分米频带,因为波长范围在长度上从近似一分米到一米。UHF波可能被建筑物和环境特征阻挡或重定向,但是波可以足以穿透结构,以用于宏小区向位于室内的UE 115提供服务。与使用频谱的低于300MHz的高频(HF)或甚高频(VHF)部分的较小频率和较长的波的传输相比,UHF波的传输可以与较小的天线和较短的距离(例如,小于100千米)相关联。
无线通信系统100可以利用经许可和非许可射频频谱带两者。例如,无线通信系统100可以采用非许可频带(诸如5GHz工业、科学和医疗(ISM)频带)中的许可辅助接入(LAA)、LTE非许可(LTE-U)无线电接入技术或NR技术。当在非许可射频频谱带中操作时,设备(诸如基站105和UE 115)可以采用载波侦听进行冲突检测和避免。在一些示例中,非许可频带中的操作可以是基于结合在经许可频带(例如,LAA)中操作的分量载波的载波聚合配置。非许可频谱中的操作可以包括下行链路传输、上行链路传输、P2P传输、或D2D传输、以及其它示例。
基站105或UE 115可以被配备有多个天线,其可以用于采用诸如发射分集、接收分集、多输入多输出(MIMO)通信或波束成形之类的技术。基站105或UE 115的天线可以位于一个或多个天线阵列或天线面板(其可以支持MIMO操作或者发送或接收波束成形)内。例如,一个或多个基站天线或天线阵列可以共置于天线组件处,例如天线塔。在一些示例中,与基站105相关联的天线或天线阵列可以位于不同的地理位置上。基站105可以具有天线阵列,所述天线阵列具有基站105可以用来支持对与UE 115的通信的波束成形的多行和多列的天线端口。同样,UE 115可以具有可以支持各种MIMO或波束成形操作的一个或多个天线阵列。另外或替代地,天线面板可以支持针对经由天线端口发送的信号的射频波束成形。
波束成形(其还可以被称为空间滤波、定向发送或定向接收)是一种如下的信号处理技术:可以在发送设备或接收设备(例如,基站105、UE 115)处使用该技术,以沿着在发送设备和接收设备之间的空间路径来形成或引导天线波束(例如,发射波束、接收波束)。可以通过以下操作来实现波束成形:对经由天线阵列的天线元件传送的信号进行组合,使得在相对于天线阵列的特定朝向上传播的一些信号经历相长干涉,而其它信号经历相消干涉。对经由天线元件传送的信号的调整可以包括:发送设备或接收设备向经由与该设备相关联的天线元件携带的信号应用幅度偏移、相位偏移或两者。可以通过与特定朝向(例如,相对于发送设备或接收设备的天线阵列,或者相对于某个其它朝向)相关联的波束成形权重集合来定义与天线元件中的每个天线元件相关联的调整。
核心网络130可以包括若干实体(例如,功能),诸如AMF、会话管理功能(SMF)、用户平面功能(UPF)、NF和其它功能。核心网络的实体中的一个或多个实体可以用软件来虚拟地实现。在一些示例中,UE 115和基站105可以与核心网络130的实体(例如,MME或AMF)进行通信以建立用于通信的安全连接。AMF可以为UE 115和基站105提供接入和移动性管理服务。在一些示例中,AMF可以充当与UE 115和基站105的控制平面信令通信的主要点,使得UE115、基站105和核心网络130之间的大多数控制平面通信通过AMF传递。
在一些示例中,UE 115可以通过发送附着请求来发起与基站105的连接过程。基于附着请求,基站105可以促进通过核心网络130(例如,经由核心网络130的一个或多个实体)对UE 115的认证和/或授权。一旦被认证,UE 115可以基于被配置为安全地建立和维护UE115与核心网络130之间的连接性的非接入层(NAS)协议来与核心网络130进行通信。一个或多个核心网络节点(例如,AMF、MME、服务网关等)可以向基站105通知UE 115被认证并且被授权连接到无线通信系统100。此后,基站105可以与UE 115建立无线电资源控制(RRC)(例如,较高层)连接(例如,基于AS协议)。
为了建立RRC连接,基站105可以在执行接入层(AS)协议期间或在已经执行AS协议之后生成安全配置并且将其发送给UE 115。在一些示例中,可以在安全无线电信道(例如,安全RRC信道)上向UE 115发送安全配置,所述安全无线电信道可以是至少部分地基于与基站105和UE 115相关联的共享密钥来建立的。在一些示例中,共享密钥可以是gNB密钥(例如,KgNB)或eNB密钥(KeNB),其可以由核心网络节点(例如,在认证和密钥协商(AKA)过程期间或之后)发送给基站105和/或由UE 115推导出。
然后,基站105可以生成经编码的消息,其包括资源的分配,并且具体地包括为用于UE 115的上行链路控制信息分配的资源的共享模式。在一个示例中,可以基于共享密钥来对经编码的消息进行加密并且在安全RRC信道上将其提供给UE 115。在另一示例中,可以在物理下行链路控制信道(PDCCH)消息中对经编码的消息进行加密。可以使用加密密钥(例如,公钥)来对经加密的PDCCH消息进行加密。可以在RRC连接期间从基站105向UE 115发送加密密钥和/或可以在安全RRC信道上(例如,在建立RRC连接之后)发送加密密钥。使用安全RRC信道可以防止诸如干扰设备之类的其它设备拦截加密密钥。在一些示例中,加密密钥对于连接到或尝试连接到基站105的所有UE 115可以是公共的。在一些情况下,加密密钥可以由基站105或核心网络130随机地生成。在一些示例中,可以基于与基站105和UE 115相关联的共享密钥(诸如KgNB(或KeNB))来推导加密密钥。
在一些无线通信系统100(例如,LTE)中,归属用户服务器(HSS)可以生成接入安全管理实体(ASME)密钥(例如,KASME)并且用信号将其通知给MME。然后,MME可以利用KASME来推导初始KeNB。可以根据下一跳(NH)密钥来推导后续的KeNB,其中可以根据KASME和先前NH密钥或者根据用于初始NH密钥推导的KASME和KeNB来推导NH密钥。为了推导不同的密钥(例如,KeNB、NH密钥、完整性检查密钥、加密密钥等),UE 115、基站105或MME可以利用密钥推导函数(KDF),其中每个KDF可以包括输入S的某些参数,诸如功能码(FC)、参数0(P0)、参数0的长度(L0)、参数1(P1)、参数1的长度(L1)等。
在一些示例中,当根据具有UE 115和MME中的上行链路NAS计数的KASME来推导KeNB时,KDF参数可以包括FC值0x11、等于上行链路NAS计数的P0值和等于上行链路NAS计数的长度的L0值(例如,0x00 0x04)。另外,UE 115和MME可以利用256比特KASME作为输入密钥。UE115和MME可以在建立经加密保护的演进型通用移动电信系统陆地无线电接入网络(E-UTRAN)无线电承载时和/或在即时执行密钥改变时应用该KDF。
在一些示例中,当根据KASME推导NH密钥时,KDF参数可以包括FC值0x12、等于SYNC-输入的P0值、以及等于SYNC-输入的长度的L0值(例如,0x00 0x20)。SYNC-输入参数可以是用于初始NH密钥推导的新推导的KeNB或者用于后续NH密钥推导的先前NH密钥。通过该SYNC-输入参数,可以形成NH链,使得下一NH密钥可以是新的并且是根据先前NH密钥推导出的。另外,UE 115和MME可以利用256比特KASME作为输入密钥。
在如上所述地建立安全连接之前(例如,一旦在基站处建立了安全上下文,所有信令就都被加密并且受到完整性保护),基站105可以发送SIB,该SIB包含允许UE 115与基站105建立连接性的信息(例如,SI)。常规地,虽然SIB未被加密,但是一旦在基站105处建立了安全上下文,所有信令就都可以被加密并且受到完整性保护。然而,未被加密的SIB可能允许攻击者(例如,黑客)作为DoS攻击的一部分潜在地更改SIB中的SI。为了防止DoS攻击,私钥已经被分发给基站并且用于生成用于SIB的数字签名,以增强对假基站的安全性。例如,即使攻击者可以伪造SI,攻击者也无法与目标UE 115建立安全连接,因为验证将失败(例如,对于初始接入)或AS安全模式命令(SMC)将失败。然而,存在许多基站,并且黑客已经找到了从这些基站窃取私钥或引起其它类型的DoS的方式(例如,发送无保护的拒绝消息、干扰等)。
在一些情况下,基于公钥密码的解决方案可以防止各种类型的DoS攻击。然而,共享公钥可能不可扩展和/或可能难以用于广播消息保护。另外,基于不具有安全上下文,可能没有共享公钥在初始注册(例如,利用订制隐藏标识符(SUCI))之前是可用的。
在一些情况下,就UE对欺诈(rogue)基站105(例如,假基站105)的检测而言,从AS安全角度来看,对于RRC空闲模式,已经提出了用于验证或认证基站105的各种解决方案。例如,对于使用数字签名解决方案来减轻重放攻击(例如,DoS攻击)的SI验证,由于数字签名和时间戳参数,受保护SI的大小可能变得较大。另外或替代地,UE 115利用“系统查询”解决方案来验证基站105可以包括UE 115与网络进行通信(尽管处于RRC空闲状态或模式)。在一些情况下,UE 115可以使用最小化路测(MDT)来验证基站105,但是该MDT解决方案可能是被动的,而不是预防型的解决方案。因此,UE 115在处于RRC空闲状态时可能驻留在假基站(例如,假小区)上,从而导致可能的DoS或可用性攻击(例如,诸如公共安全警报、传入紧急呼叫、实时应用服务器推送服务、接近度服务等)。由于可以通过SIB向处于RRC空闲模式的UE115提供诸如地震和海啸警报系统(ETWS)之类的一些服务,因此可能有必要考虑并且确保UE 115接收到那些服务,如果UE 115驻留在假基站105(例如,欺诈基站105、欺诈eNB等)处情况将不是这样。
从RRC控制平面信令(例如,单播消息)的角度来看,可以在AS安全激活之前执行过程,包括RRC连接建立过程、UE身份获取过程、UE能力信息传输、下行链路/上行链路信息传输过程等。这些单播消息可能也需要保护。例如,在LTE网络上报告的黑客攻击一直是针对在AS安全激活之前在空中接口上发送的未受保护的初始消息,诸如附着拒绝消息(例如,演进型分组系统(EPS)移动性管理(EMM)错误码)、跟踪区域更新拒绝消息等。
图2示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的小区认证200的示例。在一些示例中,小区认证200可以实现无线通信系统100的各方面。小区认证200可以包括UE 115-a、基站105-a和基站105-b,它们可以分别是如上文参照图1描述的对应的UE 115和基站105的示例。另外,小区认证200可以包括AMF 205-a和AMF 205-b,它们可以是在核心网络的软件中虚拟地实现的功能。
小区认证200可以表示基于公钥密码的解决方案,该公钥密码用于验证或认证接收到的消息是否来自基站105。例如,可以将签名添加到SIB(例如,SIB1、安全SIB等),使得已经获取了SIB(例如,和/或MIB/SIB)的UE 115可以验证SI。在一些情况下,AMF 205可以向UE 115提供可以用于在注册期间验证SIB签名(例如,MIB/SIB签名)的公钥,其中该公钥在跟踪区域(例如,用于网络的地理位置区域)内是有效的。另外,基站105可以使用与公钥相关联的私钥来对SIB进行签名。因此,当UE 115进入新的跟踪区域时,UE 115可以在注册期间(例如,经由移动性注册更新)从AMF 205获得新的公钥。如图所示,小区认证200可以包括用于上述公钥加密认证过程的多个操作。
在210处,AMF 205-a可以被预先提供有一个或多个公钥(K-SIGPublic),其用于针对在AMF 205-a的控制下的所有跟踪区域指示(TAI)的分发。在215处,UE 115-a可以执行初始附着过程以与网络(例如,基站105-a、核心网络等)进行连接。
在220处,UE 115-a可以执行RRC连接以与基站105-a建立连接(例如,随机接入过程)。在225处,UE 115-a可以向AMF 205-a发送注册请求。在230处,作为响应,AMF 205-a可以向UE 115-a发送注册接受消息。在一些情况下,注册接受消息可以包括TAI的列表和用于TAI的对应公钥(例如,第一TAI(TAI-1)的第一K-SIGPublic、第二TAI(TAI-2)的第二K-SIGPublic、第三TAI(TAI-3)的第三K-SIGPublic等)。
在235处,UE 115-a可以转换到空闲模式(例如,RRC空闲模式)。在一些情况下,当处于空闲模式时,UE 115-a可能进入新的跟踪区域(例如,TAI-2)。因此,UE 115-a可以使用用于该跟踪区域的公钥(例如,TAI-2的第二K-SIGPublic)来验证在处于新跟踪区域中时接收到的SIB中的数字签名(DS),并且然后可以重新选择在该新跟踪区域中发送公钥的小区。
另外或替代地,在240处,当处于空闲模式时,UE 115-a可能进入不同的跟踪区域(例如,TAI-4)。在一些情况下,UE 115-a可以检测到该不同的跟踪区域(TAI-4)不在UE115-a在225和230处向网络注册的TAI的列表中。在执行小区重选之后,UE 115-a可以在驻留在不同的跟踪区域中的新小区(例如,基站105-b)上之前执行跟踪区域更新(TAU)过程。一旦执行了TAU,UE 115-a就可以获得该不同的跟踪区域(TAI-4)的公钥以及在AMF 205-b的控制下的TAI的列表。
例如,在245处,UE 115-a可以向AMF 205-b发送位置更新请求(例如,移动性注册更新)。随后在250处,AMF 205-b可以发送位置更新接受消息,其包括在AMF 205-b的控制下的TAI的列表和对应的公钥(例如,第四TAI(TAI-4)的第四K-SIGPublic、第五TAI(TAI-5)的第五K-SIGPublic、第六TAI(TAI-6)的第六K-SIGPublic等)。
在255处,基站105-b可以发送具有DS的SIB。在一些情况下,基站105-b可以经由RRC信令、广播传输等来发送SIB。
在260处,UE 115-a可以使用用于TAI-4的公钥(K-SIGPublic)来验证SIB中的DS,并且然后可以在验证来自基站105-b的SIB之后重新选择小区(例如,基站105-b)。因此,SIB可以由基站105-b(例如,网络)进行签名,其然后被发送给一个或多个UE 115(例如,包括UE115-a),并且UE 115-a可以基于用于与基站105-b相关联的跟踪区域的公钥来验证由基站105-b广播的SIB签名。
然而,AMF 205和跟踪区域内的所有基站105可以共享相同的私钥。因此,如果单个实体(例如,基站105)被攻击者(例如,黑客)损害,并且签名密钥(即,私钥)被暴露给攻击者,则整个系统安全(例如,在跟踪区域内)可能被损害。另外,考虑到基站可能部署在距用户/攻击者较近的地方(例如,由于较短的覆盖),因此可能不期望在多个基站之间共享单个密钥。可能期望比小区认证200更高效的技术。
图3示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的过程流300的示例。在一些示例中,过程流300可以实现无线通信系统100的各方面。过程流300可以包括UE 115-b和基站105-c,它们可以分别是如上文参照图1和2描述的对应的UE 115和基站105的示例。另外,过程流300可以包括AMF 305和签名NF 310,它们可以是在网络节点(诸如核心网络中的核心网络节点)的软件和/或硬件中虚拟地实现的功能。在一些情况下,签名NF 310可以与AMF 305和/或安全锚定功能(SEAF)共置。
在315处,网络节点可以生成一个或多个公钥(PK)-私钥(SK)对。该网络节点可以是签名功能节点,诸如签名NF 310、无线电接入网络(RAN)节点、应用功能(AF)节点、AMF、核心网络节点等。在一些情况下,公钥可以被称为验证密钥,并且私钥可以被称为签名密钥。另外,私钥可以本地保存在签名NF 310处。因此,基于将私钥本地保存在签名NF 310处,攻击者可能在取得私钥时更加困难,从而增强系统安全性。在一些情况下,签名NF 310可以具有多个具有对应密钥标识符(ID)的PK-SK对。
在320处,签名NF 310可以在跟踪区域(例如,其中PK有效的区域)内的AMF 305处提供一个或多个PK(例如,具有对应的密钥ID)。例如,AMF 305可以从签名NF 310接收用于跟踪区域的一个或多个公钥和密钥ID。
在325处,基站105-b可以将MIB和/或SIB作为签名(signature)请求(例如,签名(signing)请求)的一部分经由签名NF 310发送给核心网络。例如,基站105-b可以直接向签名NF 310发送签名请求。另外或替代地,基站105-b可以将签名请求经由AMF 305发送给核心网络和签名NF 310。在一些情况下,签名请求可以包括新近度参数(例如,新鲜度参数)。例如,新近度参数可以是可以用作用于签名生成的新鲜度参数的系统帧号(SFN)。因此,可能需要将SFN提供给签名NF 310。例如,签名请求和签名响应可以被转发给AMF 305。另外,签名请求和签名响应可以从AMF 305接收并且被转发给基站105-b。在一些情况下,可以经由另一核心网络功能(例如,AMF 305)来请求签名以及签名响应。
在330处,签名NF 310可以对MIB和/或SIB进行签名,并且可以将签名提供给基站105-c(例如,直接或间接地)。因此,基站105-c可以将签名添加到SIB消息(例如,SIB1或其它安全SIB)。在一些情况下,基站105-c可以向签名NF 310提供用于进行签名的主信息,并且签名NF 310可以生成并且提供用于MIB的签名。在一些示例中,基站105-c可以向签名NF310提供用于进行签名的主信息和系统信息两者,并且签名NF 310可以生成并且提供针对MIB和SIB生成的单个签名。在另一示例中,签名NF 310可以生成并且提供针对MIB和SIB生成的单独的签名。在335和340处,基站105-c和签名NF 310可以发送和接收通过AMF 305路由的签名请求和签名响应。
在345处,诸如AMF 305之类的网络节点(例如,RAN节点、应用功能(AF)节点、AMF、核心网络节点等)可以从UE 115-b接收注册请求。在一些情况下,AMF 305可以向UE 115-b发送包括公钥和密钥ID的注册响应(例如,NAS消息、注册接受等)。例如,注册响应可以包括其中PK有效的TAI列表。因此,UE 115-b可以在注册期间获得具有相关联的或对应的密钥ID的一个或多个PK。例如,当UE 115-b向网络注册时,网络节点(例如,AMF 305)可以向UE115-b提供密钥ID和对应的公钥的元组(例如,经由注册响应/接受消息),以使UE 115-b能够验证由基站发送(例如,广播)的SI消息和签名以及密钥ID。在一些情况下,注册可以是初始注册、移动性注册更新(例如,用于进入新的跟踪区域)等。
在350处,基站105-c可以发送包括SI和在330或340处接收的签名的SI消息。在一些情况下,SI消息可以包括与由UE 115-b用于签名验证的公钥相对应的密钥ID。例如,在330或340处(例如,由网络节点、签名NF等)提供给基站105-c的签名消息也可以携带密钥ID,以使基站105-c能够广播密钥ID以及SI和签名。因此,基站105-c可以广播SIB1,该SIB1包括基于系统信息而生成的签名。在一些示例中,基站105-c可以广播MIB消息,该MIB消息包括基于主信息而生成的签名。在一些示例中,基站105-c可以广播组合MIB/SIB消息,该组合MIB/SIB消息包括基于主信息和系统信息而生成的签名。在一些示例中,基站105-c可以广播组合MIB/SIB消息,该组合MIB/SIB消息包括基于主信息而生成的第一签名和基于系统信息而生成的第二签名。
在355处,UE 115-b可以使用与利用SI消息指示的跟踪区域相关联的PK(例如,在345处在注册期间接收的)来验证SI消息中的签名(例如,MIB/SIB签名)。因此,如果签名被验证(例如,UE 115-b确定基站105-c发送了SI消息),则UE 115-b可以利用在SIB消息中包括的系统信息(和/或在组合MIB/SIB消息中接收的主信息或包括根据本文描述的技术使用主信息生成的签名的单独MIB消息),可以与基站105-c(例如,基站105-c上的小区)同步并且建立连接。例如,UE 115-b可以在与基站105-c建立用于后续通信的安全连接之前读取所广播的SIB1并且验证SIB1签名。
在一些情况下,基站105-c可以请求批量签名。在一些示例中(例如,基于时间的签名请求),基站105-c可以请求针对给定时间间隔的N个签名(例如,以间隔T_int从T1到T2)。例如,基站105-c可以请求以时间间隔(例如,T_int、帧或子帧增量间隔等)从第一时间(例如,T1、第一帧或子帧等)到第二时间(例如,T2、第二帧或子帧等)的签名。因此,签名NF 310可以生成针对T1、T1+T_int、T1+2*T_int等的签名,直到达到T2为止。另外或替代地,当将新近度参数(例如,SFN、新鲜度参数)用于批量签名请求时,基站105-c可以请求以某一间隔(例如,SFN_int)从SFN_开始到SFN_结束的签名。例如,如果针对以二(2)的间隔从第一SFN(SFN1)到第999SFN(SFN999)请求签名,则签名NF 310可以生成500个签名(例如,针对SFN1、3、5…,直到999)。UE 115-b可以尝试使用接收到的公钥和用于SIB消息的子帧号来验证针对落在子帧号范围内的系统帧号接收到的SIB消息的签名,以确定接收到的SIB消息是否包括真实的系统信息。
另外或替代地,基站105-c可以向签名NF 310订制签名服务。例如,签名NF 310可以周期性地向订制基站105提供新签名。在一些情况下,当SI消息改变(例如,MIB和/或SIB被基站105或其它实体改变)时,基站105-c可以通过提供新的SI消息(例如,新MIB/SIB)来更新订制或请求新订制。SI消息可能不会经常改变并且是相对静态的。另外,可以基于订制来完成批量签名请求。因此,签名可以不在批量签名响应传输中发送,而是可以在每当基于订制生成签名时发送。
在一些情况下,AMF 305可以向UE 115-b提供一个或多个相邻跟踪区域的PK。另外,AMF 305于是可以在345处描述的注册期间将那些PK提供给UE 115-b。在一个示例中,在注册期间,AMF 305可以向UE 115-b提供服务跟踪区域的至少一个PK以及一个或多个相邻跟踪区域的一个或多个PK。这样,当UE 115-b从服务跟踪区域移动到相邻跟踪区域时,UE115-b可以使用先前从AMF 305接收到的密钥来验证在相邻跟踪区域中接收到的SI消息(例如,MIB/SIB)。替代地或另外,如果AMF 305没有存储相邻跟踪区域的PK并且将其提供给UE115-b,则UE 115-b在移动到相邻跟踪区域期间可以不验证签名。因此,攻击者然后能够利用这种没有验证相邻跟踪区域的签名的能力(例如,通过在SIB(例如,SIB1)中持续广播新的跟踪区域来在UE 115-b处发起DoS攻击)。
图4示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的设备405的框图400。设备405可以是如本文描述的UE 115的各方面的示例。设备405可以包括接收机410、UE通信管理器415和发射机420。设备405还可以包括处理器。这些组件中的每个组件可以彼此通信(例如,经由一个或多个总线)。
接收机410可以接收诸如分组、用户数据或者与各种信息信道(例如,控制信道、数据信道以及与在核心网络中的NF处的SI保护相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备405的其它组件。接收机410可以是参照图7描述的收发机720的各方面的示例。接收机410可以利用单个天线或一组天线。
UE通信管理器415可以向核心网络节点(例如,AMF)发送注册请求。另外,UE通信管理器415可以从核心网络节点接收包括第一公钥和第二公钥的注册响应,第一公钥与用于生成用于针对第一跟踪区域的第一SI的第一签名的第一私钥相对应,第二公钥与用于生成用于针对相对于第一跟踪区域而地理定位的第二跟踪区域的第二SI的第二签名的第二私钥相对应。随后,UE通信管理器415可以监测包括第一SI和第一签名或包括第二SI和第二签名的SI消息。UE通信管理器415可以是本文描述的UE通信管理器710的各方面的示例。
基于如本文描述的由UE通信管理器415执行的动作,UE 115可以减少从一个跟踪区域切换到另一跟踪区域时的时延。例如,通过生成用于对应的公钥私钥对和相关联的跟踪区域的多个签名(例如,第一签名和第二签名),如果UE 115从一个跟踪区域移动到下一跟踪区域,则UE 115可以立即验证用于下一跟踪区域的签名,而不是等待接收用于下一跟踪区域的公钥并且然后生成签名。另外,通过一次生成多个签名,UE 115可以通过在跟踪区域之间移动时(其中攻击者可能潜在地尝试在SIB中持续广播新的跟踪区域)使得预加载签名来阻止任何DOS攻击发生。因此,利用在该移动性场景期间预加载的签名,UE 115可以在陷入其中向UE 115发送新的跟踪区域(例如,DoS攻击)的无限循环之前验证或识别SIB是否真实。
UE通信管理器415或其子组件可以用硬件、由处理器执行的代码(例如,软件或固件)或其任何组合来实现。如果用由处理器执行的代码来实现,则UE通信管理器415或其子组件的功能可以由被设计为执行在本公开内容中描述的功能的通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件、或其任何组合来执行。
UE通信管理器415或其子组件可以在物理上位于各个位置处,包括被分布以使得由一个或多个物理组件在不同的物理位置处实现功能中的部分功能。在一些示例中,根据本公开内容的各个方面,UE通信管理器415或其子组件可以是分离且不同的组件。在一些示例中,根据本公开内容的各个方面,UE通信管理器415或其子组件可以与一个或多个其它硬件组件(包括但不限于输入/输出(I/O)组件、收发机、网络服务器、另一计算设备、在本公开内容中描述的一个或多个其它组件、或其组合)组合。
发射机420可以发送由设备405的其它组件所生成的信号。在一些示例中,发射机420可以与接收机410共置于收发机模块中。例如,发射机420可以是参照图7描述的收发机720的各方面的示例。发射机420可以利用单个天线或一组天线。
图5示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的设备505的框图500。设备505可以是如本文描述的设备405或UE 115的各方面的示例。设备505可以包括接收机510、UE通信管理器515和发射机535。设备505还可以包括处理器。这些组件中的每个组件可以彼此通信(例如,经由一个或多个总线)。
接收机510可以接收诸如分组、用户数据或者与各种信息信道(例如,控制信道、数据信道以及与在核心网络中的NF处的SI保护相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备505的其它组件。接收机510可以是参照图7描述的收发机720的各方面的示例。接收机510可以利用单个天线或一组天线。
UE通信管理器515可以是如本文描述的UE通信管理器415的各方面的示例。UE通信管理器515可以包括注册请求组件520、注册响应组件525和SI消息监测组件530。UE通信管理器515可以是本文描述的UE通信管理器710的各方面的示例。
注册请求组件520可以向核心网络节点(例如,AMF)发送注册请求。
注册响应组件525可以从核心网络节点接收包括第一公钥和第二公钥的注册响应,第一公钥与用于生成用于针对第一跟踪区域的第一SI的第一签名的第一私钥相对应,第二公钥与用于生成用于针对相对于第一跟踪区域而地理定位的第二跟踪区域的第二SI的第二签名的第二私钥相对应。
SI消息监测组件530可以监测包括第一SI和第一签名或包括第二SI和第二签名的SI消息。
基于接收到注册响应并且生成多个签名,UE 115的处理器(例如,控制接收机510、发射机535或如参照图7描述的收发机720)可以防止UE 115由于陷入如上所述的DoS攻击而消耗不必要的电池电量。另外,UE 115的处理器可以通过接收单个注册响应并且生成多个签名来减少信令开销,而不是针对每个注册响应生成单个签名,其中每个注册响应由UE115的处理器发送和处理。
发射机535可以发送由设备505的其它组件所生成的信号。在一些示例中,发射机535可以与接收机510共置于收发机模块中。例如,发射机535可以是参照图7描述的收发机720的各方面的示例。发射机535可以利用单个天线或一组天线。
图6示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的UE通信管理器605的框图600。UE通信管理器605可以是本文描述的UE通信管理器415、UE通信管理器515或UE通信管理器710的各方面的示例。UE通信管理器605可以包括注册请求组件610、注册响应组件615、SI消息监测组件620和SI验证组件625。这些模块中的每一个可以直接或间接地彼此通信(例如,经由一个或多个总线)。
注册请求组件610可以向核心网络节点(例如,AMF)发送注册请求。在一些示例中,注册请求组件610可以发送指示UE已经从第一跟踪区域移动到第二跟踪区域的移动性注册更新请求。
注册响应组件615可以从核心网络节点接收包括第一公钥和第二公钥的注册响应,第一公钥与用于生成用于针对第一跟踪区域的第一SI的第一签名的第一私钥相对应,第二公钥与用于生成用于针对相对于第一跟踪区域而地理定位的第二跟踪区域的第二SI的第二签名的第二私钥相对应。
SI消息监测组件620可以监测包括第一SI和第一签名或包括第二SI和第二签名的SI消息。在一些示例中,SI消息监测组件620可以接收SI消息,该SI消息指示与用于生成第一签名的第一私钥相对应的第一公钥的标识符(例如,密钥ID)。
SI验证组件625可以接收包括第一SI和第一签名的SI消息,并且可以基于第一签名来验证第一SI。在一些示例中,SI验证组件625可以基于经验证的第一SI来与第一跟踪区域内的基站建立连接性。另外或替代地,SI验证组件625可以接收包括第二SI和第二签名的SI消息,并且可以基于第二签名来验证第二SI。因此,SI验证组件625可以基于经验证的第二SI来与第二跟踪区域内的基站建立连接性。
图7示出了根据本公开内容的各方面的包括支持在核心网络中的NF处的SI保护的设备705的系统700的图。设备705可以是如本文描述的设备405、设备505或UE 115的示例或者包括设备405、设备505或UE 115的组件。设备705可以包括用于双向语音和数据通信的组件,包括用于发送和接收通信的组件,包括UE通信管理器710、I/O控制器715、收发机720、天线725、存储器730和处理器740。这些组件可以经由一个或多个总线(例如,总线745)来进行电子通信。
UE通信管理器710可以向核心网络节点(例如,AMF)发送注册请求。另外,UE通信管理器710可以从核心网络节点接收包括第一公钥和第二公钥的注册响应,第一公钥与用于生成用于针对第一跟踪区域的第一SI的第一签名的第一私钥相对应,第二公钥与用于生成用于针对相对于第一跟踪区域而地理定位的第二跟踪区域的第二SI的第二签名的第二私钥相对应。随后,UE通信管理器710可以监测包括第一SI和第一签名或包括第二SI和第二签名的SI消息。
I/O控制器715可以管理针对设备705的输入和输出信号。I/O控制器715还可以管理没有集成到设备705中的外围设备。在一些情况下,I/O控制器715可以表示到外部外围设备的物理连接或端口。在一些情况下,I/O控制器715可以利用诸如
Figure BDA0003574700950000161
Figure BDA0003574700950000162
之类的操作系统或另一种已知的操作系统。在其它情况下,I/O控制器715可以表示调制解调器、键盘、鼠标、触摸屏或类似设备或者与上述设备进行交互。在一些情况下,I/O控制器715可以被实现成处理器的一部分。在一些情况下,用户可以经由I/O控制器715或者经由I/O控制器715所控制的硬件组件来与设备705进行交互。
收发机720可以经由如上文描述的一个或多个天线、有线或无线链路来双向地进行通信。例如,收发机720可以表示无线收发机并且可以与另一个无线收发机双向地进行通信。收发机720还可以包括调制解调器,其用于调制分组并且将经调制的分组提供给天线以进行传输,以及解调从天线接收的分组。
在一些情况下,无线设备可以包括单个天线725。然而,在一些情况下,该设备可以具有一个以上的天线725,它们能够同时地发送或接收多个无线传输。
存储器730可以包括随机存取存储器(RAM)和只读存储器(ROM)。存储器730可以存储计算机可读、计算机可执行的代码735,代码735包括当被执行时使得处理器执行本文描述的各种功能的指令。在一些情况下,除此之外,存储器730还可以包含基本I/O系统(BIOS),其可以控制基本的硬件或软件操作,例如与外围组件或设备的交互。
处理器740可以包括智能硬件设备(例如,通用处理器、DSP、中央处理单元(CPU)、微控制器、ASIC、FPGA、可编程逻辑器件、分立门或晶体管逻辑组件、分立硬件组件、或其任何组合)。在一些情况下,处理器740可以被配置为使用存储器控制器来操作存储器阵列。在其它情况下,存储器控制器可以集成到处理器740中。处理器740可以被配置为执行在存储器(例如,存储器730)中存储的计算机可读指令以使得设备705执行各种功能(例如,支持在核心网络中的NF处的SI保护的功能或任务)。
代码735可以包括用于实现本公开内容的各方面的指令,包括用于支持无线通信的指令。代码735可以被存储在非暂时性计算机可读介质(例如,系统存储器或其它类型的存储器)中。在一些情况下,代码735可能不是可由处理器740直接执行的,但是可以使得计算机(例如,当被编译和被执行时)执行本文描述的功能。
图8示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的设备805的框图800。设备805可以是如本文描述的基站105的各方面的示例。设备805可以包括接收机810、基站通信管理器815和发射机820。设备805还可以包括处理器。这些组件中的每个组件可以彼此通信(例如,经由一个或多个总线)。
接收机810可以接收诸如分组、用户数据或者与各种信息信道(例如,控制信道、数据信道以及与在核心网络中的NF处的SI保护相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备805的其它组件。接收机810可以是参照图11描述的收发机1120的各方面的示例。接收机810可以利用单个天线或一组天线。
基站通信管理器815可以向网络节点(例如,签名NF、RAN节点、AF节点、AMF、核心网络节点等)发送包括SI的签名请求。在一些情况下,基站通信管理器815可以从网络节点接收签名响应,该签名响应包括基于SI而生成的签名。另外,基站通信管理器815可以发送(例如,广播)包括SI和签名的SI消息。基站通信管理器815可以是本文描述的基站通信管理器1110的各方面的示例。
基于如本文描述的由基站通信管理器815执行的动作,基站105可以通过从网络节点(例如,签名NF)取回签名响应来增强系统中的安全性。例如,签名响应可以包括在网络节点处生成的签名,而不是接收私钥并且本身对SI消息进行签名。通过从基站105手中接管签名生成,基站105可以不会被攻击者利用,因为基站105没有存储在基站105中的私钥的记录。
基站通信管理器815或其子组件可以用硬件、由处理器执行的代码(例如,软件或固件)或其任何组合来实现。如果用由处理器执行的代码来实现,则基站通信管理器815或其子组件的功能可以由被设计为执行在本公开内容中描述的功能的通用处理器、DSP、ASIC、FPGA或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件、或其任何组合来执行。
基站通信管理器815或其子组件可以在物理上位于各个位置处,包括被分布以使得由一个或多个物理组件在不同的物理位置处实现功能中的部分功能。在一些示例中,根据本公开内容的各个方面,基站通信管理器815或其子组件可以是分离且不同的组件。在一些示例中,根据本公开内容的各个方面,基站通信管理器815或其子组件可以与一个或多个其它硬件组件(包括但不限于I/O组件、收发机、网络服务器、另一计算设备、在本公开内容中描述的一个或多个其它组件、或其组合)组合。
发射机820可以发送由设备805的其它组件所生成的信号。在一些示例中,发射机820可以与接收机810共置于收发机模块中。例如,发射机820可以是参照图11描述的收发机1120的各方面的示例。发射机820可以利用单个天线或一组天线。
图9示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的设备905的框图900。设备905可以是如本文描述的设备805或基站105的各方面的示例。设备905可以包括接收机910、基站通信管理器915和发射机935。设备905还可以包括处理器。这些组件中的每个组件可以彼此通信(例如,经由一个或多个总线)。
接收机910可以接收诸如分组、用户数据或者与各种信息信道(例如,控制信道、数据信道以及与在核心网络中的NF处的SI保护相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备905的其它组件。接收机910可以是参照图11描述的收发机1120的各方面的示例。接收机910可以利用单个天线或一组天线。
基站通信管理器915可以是如本文描述的基站通信管理器815的各方面的示例。基站通信管理器915可以包括签名请求发射机920、签名响应接收机925和SI消息发射机930。基站通信管理器915可以是本文描述的基站通信管理器1110的各方面的示例。
签名请求发射机920可以向网络节点(例如,RAN节点、AF节点、AMF、核心网络节点、签名NF等)发送包括SI的签名请求。
签名响应接收机925可以从网络节点接收签名响应,该签名响应包括基于SI而生成的签名。
SI消息发射机930可以发送(例如,广播)包括SI和签名的SI消息。
发射机935可以发送由设备905的其它组件所生成的信号。在一些示例中,发射机935可以与接收机910共置于收发机模块中。例如,发射机935可以是参照图11描述的收发机1120的各方面的示例。发射机935可以利用单个天线或一组天线。
图10示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的基站通信管理器1005的框图1000。基站通信管理器1005可以是本文描述的基站通信管理器815、基站通信管理器915或基站通信管理器1110的各方面的示例。基站通信管理器1005可以包括签名请求发射机1010、签名响应接收机1015、SI消息发射机1020、SI更新组件1025、跟踪区域组件1030、批量签名请求组件1035和签名新鲜度组件1040。这些模块中的每一个可以直接或间接地彼此通信(例如,经由一个或多个总线)。
签名请求发射机1010可以向网络节点发送包括SI的签名请求。在一些示例中,签名请求发射机1010可以发送包括SI和主信息(例如,MIB/SIB)的签名请求,其中,签名是基于SI和主信息来生成的。另外或替代地,签名请求发射机1010可以发送签名请求以请求针对时间范围和时间增量间隔的签名集合(例如,批量签名请求)。
签名响应接收机1015可以从网络节点接收签名响应,该签名响应包括基于SI而生成的签名。在一些示例中,签名响应接收机1015可以接收包括签名集合的签名响应。另外或替代地,签名响应接收机1015可以接收签名响应集合,每个签名响应包括签名集合中的一个或多个签名的子集,其中,子集中的每个子集与时间范围内的相应的时间增量间隔相对应。
SI消息发射机1020可以发送包括SI和签名的SI消息。在一些示例中,SI消息发射机1020可以发送SI消息,该SI消息指示与用于生成签名的第一私钥相对应的公钥的标识符。
SI更新组件1025可以向网络节点发送包括经更新的SI的第二签名请求,并且可以从网络节点接收签名响应,该签名响应包括基于经更新的SI而生成的第二签名。在一些示例中,SI更新组件1025可以发送包括经更新的SI和第二签名的SI消息。
跟踪区域组件1030可以从UE接收注册请求,并且可以将注册请求发送到提供AMF的网络节点。在一些示例中,跟踪区域组件1030可以从网络节点接收注册响应,该注册响应包括与用于生成签名的第一私钥相对应的第一公钥;并且可以将注册响应发送给UE。在一些示例中,跟踪区域组件1030可以发送包括用于第一公钥的第一跟踪区域的注册响应。随后,跟踪区域组件1030可以发送注册响应,该注册响应指示用于相对于第一跟踪区域而地理定位的第二跟踪区域的第二公钥,第二公钥与用于生成用于在第二跟踪区域内发送的第二SI的第二签名的第二私钥相对应。在一些示例中,跟踪区域组件1030可以从UE接收指示UE已经进入新的跟踪区域的移动性注册更新请求。
批量签名请求组件1035可以发送签名请求,该签名请求指示子帧增量间隔并且请求与在起始子帧号和结束子帧号之间的子帧号范围相对应的签名集合。在一些示例中,批量签名请求组件1035可以接收包括签名集合的签名响应。另外或替代地,批量签名请求组件1035可以接收签名响应集合,每个签名响应包括签名集合中的一个或多个签名的子集。在一些情况下,子集中的每个子集与子帧号范围内的相应的子帧增量间隔相对应。
签名新鲜度组件1040可以发送包括新近度参数的签名请求。另外,签名新鲜度组件1040可以从网络节点接收签名响应,该签名响应包括基于SI和新近度参数而生成的签名。在一些情况下,新近度参数可以是SFN。
图11示出了根据本公开内容的各方面的包括支持在核心网络中的NF处的SI保护的设备1105的系统1100的图。设备1105可以是如本文描述的设备805、设备905或基站105的示例或者包括设备805、设备905或基站105的组件。设备1105可以包括用于双向语音和数据通信的组件,包括用于发送和接收通信的组件,包括基站通信管理器1110、网络通信管理器1115、收发机1120、天线1125、存储器1130、处理器1140和站间通信管理器1145。这些组件可以经由一个或多个总线(例如,总线1150)来进行电子通信。
基站通信管理器1110可以向网络节点(例如,核心网络节点、签名NF等)发送包括SI的签名请求。在一些情况下,基站通信管理器1110可以从网络节点接收签名响应,该签名响应包括基于SI而生成的签名。另外,基站通信管理器1110可以发送包括SI和签名的SI消息。
网络通信管理器1115可以管理与核心网络的通信(例如,经由一个或多个有线回程链路)。例如,网络通信管理器1115可以管理针对客户端设备(例如,一个或多个UE 115)的数据通信的传输。
收发机1120可以经由如上文描述的一个或多个天线、有线或无线链路来双向地进行通信。例如,收发机1120可以表示无线收发机并且可以与另一个无线收发机双向地进行通信。收发机1120还可以包括调制解调器,其用于调制分组并且将经调制的分组提供给天线以进行传输,以及解调从天线接收的分组。
在一些情况下,无线设备可以包括单个天线1125。然而,在一些情况下,该设备可以具有一个以上的天线1125,它们能够同时地发送或接收多个无线传输。
存储器1130可以包括RAM、ROM、或其组合。存储器1130可以存储计算机可读代码1135,代码1135包括当被处理器(例如,处理器1140)执行时使得设备执行本文描述的各种功能的指令。在一些情况下,除此之外,存储器1130还可以包含BIOS,其可以控制基本的硬件或软件操作,例如与外围组件或设备的交互。
处理器1140可以包括智能硬件设备(例如,通用处理器、DSP、CPU、微控制器、ASIC、FPGA、可编程逻辑器件、分立门或晶体管逻辑组件、分立硬件组件、或其任何组合)。在一些情况下,处理器1140可以被配置为使用存储器控制器来操作存储器阵列。在一些情况下,存储器控制器可以集成到处理器1140中。处理器1140可以被配置为执行在存储器(例如,存储器1130)中存储的计算机可读指令以使得设备1105执行各种功能(例如,支持在核心网络中的NF处的SI保护的功能或任务)。
站间通信管理器1145可以管理与其它基站105的通信,并且可以包括用于与其它基站105协作地控制与UE 115的通信的控制器或调度器。例如,站间通信管理器1145可以协调针对去往UE 115的传输的调度,以实现诸如波束成形或联合传输之类的各种干扰减轻技术。在一些示例中,站间通信管理器1145可以提供LTE/LTE-A无线通信网络技术内的X2接口,以提供基站105之间的通信。
代码1135可以包括用于实现本公开内容的各方面的指令,包括用于支持无线通信的指令。代码1135可以被存储在非暂时性计算机可读介质(例如,系统存储器或其它类型的存储器)中。在一些情况下,代码1135可能不是可由处理器1140直接执行的,但是可以使得计算机(例如,当被编译和被执行时)执行本文描述的功能。
图12示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的设备1205的框图1200。设备1205可以是如本文描述的网络节点(例如,网络实体,诸如核心网络节点)的各方面的示例。设备1205可以包括接收机1210、网络通信管理器1215和发射机1220。设备1205还可以包括处理器。这些组件中的每个组件可以彼此通信(例如,经由一个或多个总线)。
接收机1210可以接收诸如分组、用户数据或者与各种信息信道(例如,控制信道、数据信道以及与核心网络中的NF处的SI保护相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备1205的其它组件。接收机1210可以是参照图15描述的收发机1520的各方面的示例。接收机1210可以利用单个天线或一组天线。
网络通信管理器1215可以从基站接收包括SI的签名请求。另外,网络通信管理器1215可以向基站发送签名响应,该签名响应包括基于SI而生成的签名。网络通信管理器1215可以是本文描述的网络通信管理器1510的各方面的示例。
基于如本文描述的由网络通信管理器1215执行的动作,核心网络中的一个或多个功能(例如,签名NF、AMF等)可以增强系统中的安全性。例如,核心网络的功能可以将私钥信息存储在比基站105更高的上游处,其中攻击者不太可能能够侵入核心网络中以获取私钥信息。因此,核心网络的功能可以通过存储私钥信息以及发送基于私钥信息和SI消息而生成的签名来防止不同类型的DoS攻击。
网络通信管理器1215或其子组件可以用硬件、由处理器执行的代码(例如,软件或固件)或其任何组合来实现。如果用由处理器执行的代码来实现,则网络通信管理器1215或其子组件的功能可以由被设计为执行在本公开内容中描述的功能的通用处理器、DSP、ASIC、FPGA或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件、或其任何组合来执行。
网络通信管理器1215或其子组件可以在物理上位于各个位置处,包括被分布以使得由一个或多个物理组件在不同的物理位置处实现功能中的部分功能。在一些示例中,根据本公开内容的各个方面,网络通信管理器1215或其子组件可以是分离且不同的组件。在一些示例中,根据本公开内容的各个方面,网络通信管理器1215或其子组件可以与一个或多个其它硬件组件(包括但不限于I/O组件、收发机、网络服务器、另一计算设备、在本公开内容中描述的一个或多个其它组件、或其组合)组合。
发射机1220可以发送由设备1205的其它组件所生成的信号。在一些示例中,发射机1220可以与接收机1210共置于收发机模块中。例如,发射机1220可以是参照图15描述的收发机1520的各方面的示例。发射机1220可以利用单个天线或一组天线。
图13示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的设备1305的框图1300。设备1305可以是如本文描述的设备1205或网络实体的各方面的示例。设备1305可以包括接收机1310、网络通信管理器1315和发射机1330。设备1305还可以包括处理器。这些组件中的每个组件可以彼此通信(例如,经由一个或多个总线)。
接收机1310可以接收诸如分组、用户数据或者与各种信息信道(例如,控制信道、数据信道以及与在核心网络中的NF处的SI保护相关的信息等)相关联的控制信息之类的信息。可以将信息传递给设备1305的其它组件。接收机1310可以是参照图15描述的收发机1520的各方面的示例。接收机1310可以利用单个天线或一组天线。
网络通信管理器1315可以是如本文描述的网络通信管理器1215的各方面的示例。网络通信管理器1315可以包括签名请求接收机1320和签名响应发射机1325。网络通信管理器1315可以是本文描述的网络通信管理器1510的各方面的示例。
签名请求接收机1320可以从基站接收包括SI的签名请求。
签名响应发射机1325可以向基站发送签名响应,该签名响应包括基于SI而生成的签名。
发射机1330可以发送由设备1305的其它组件所生成的信号。在一些示例中,发射机1330可以与接收机1310共置于收发机模块中。例如,发射机1330可以是参照图15描述的收发机1520的各方面的示例。发射机1330可以利用单个天线或一组天线。
图14示出了根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的网络通信管理器1405的框图1400。网络通信管理器1405可以是本文描述的网络通信管理器1215、网络通信管理器1315或网络通信管理器1510的各方面的示例。网络通信管理器1405可以包括签名请求接收机1410、签名响应发射机1415、批量签名组件1420和签名新鲜度识别器1425。这些模块中的每一个可以直接或间接地彼此通信(例如,经由一个或多个总线)。
签名请求接收机1410可以从基站接收包括SI的签名请求。在一些示例中,签名请求接收机1410可以接收包括SI和主信息(例如,MIB/SIB)的签名请求,其中,签名是基于SI和主信息来生成的。另外或替代地,签名请求接收机1410可以从基站接收包括经更新的SI的第二签名请求。
签名响应发射机1415可以向基站发送签名响应,该签名响应包括基于SI而生成的签名。在一些示例中,签名响应发射机1415可以发送密钥标识符消息,该密钥标识符消息指示与用于生成签名的第一私钥相对应的公钥的标识符(例如,密钥ID)。在一些示例中,签名响应发射机1415可以向基站发送签名响应,该签名响应包括基于经更新的SI而生成的第二签名。
批量签名组件1420可以接收请求针对时间范围和时间增量间隔的签名集合的签名请求,并且可以发送包括签名集合的签名响应。另外或替代地,批量签名组件1420可以发送签名响应集合,每个签名响应包括签名集合中的一个或多个签名的子集,其中,子集中的每个子集与时间范围内的相应的时间增量间隔相对应。
在一些示例中,批量签名组件1420可以接收签名请求,该签名请求指示子帧增量间隔并且请求与在起始子帧号和结束子帧号之间的子帧号范围相对应的签名集合;并且可以接收包括签名集合的签名响应。另外或替代地,批量签名组件1420可以接收签名响应集合,每个签名响应包括签名集合中的一个或多个签名的子集,其中,子集中的每个子集与子帧号范围内的相应的子帧增量间隔相对应。
签名新鲜度识别器1425可以接收包括新近度参数的签名请求。在一些示例中,签名新鲜度识别器1425可以向基站发送签名响应,该签名响应包括基于SI和新近度参数而生成的签名。在一些情况下,新近度参数可以是SFN。
图15示出了根据本公开内容的各方面的包括支持在核心网络中的NF处的SI保护的设备1505的系统1500的图。设备1505可以是如本文描述的设备1205、设备1305或网络实体的示例或者包括设备1205、设备1305或网络实体的组件。设备1505可以包括用于双向语音和数据通信的组件,包括用于发送和接收通信的组件,包括网络通信管理器1510、I/O控制器1515、收发机1520、天线1525、存储器1530和处理器1535。这些组件可以经由一个或多个总线(例如,总线1545)来进行电子通信。
网络通信管理器1510可以从基站接收包括SI的签名请求,并且可以向基站发送签名响应,该签名响应包括基于SI而生成的签名。
I/O控制器1515可以管理针对设备1505的输入和输出信号。I/O控制器1515还可以管理没有集成到设备1505中的外围设备。在一些情况下,I/O控制器1515可以表示到外部外围设备的物理连接或端口。在一些情况下,I/O控制器1515可以利用诸如
Figure BDA0003574700950000211
Figure BDA0003574700950000212
之类的操作系统或另一种已知的操作系统。在其它情况下,I/O控制器1515可以表示调制解调器、键盘、鼠标、触摸屏或类似设备或者与上述设备进行交互。在一些情况下,I/O控制器1515可以被实现成处理器的一部分。在一些情况下,用户可以经由I/O控制器1515或者经由I/O控制器1515所控制的硬件组件来与设备1505进行交互。
收发机1520可以经由如上文描述的一个或多个天线、有线或无线链路来双向地进行通信。例如,收发机1520可以表示无线收发机并且可以与另一个无线收发机双向地进行通信。收发机1520还可以包括调制解调器,其用于调制分组并且将经调制的分组提供给天线以进行传输,以及解调从天线接收的分组。
在一些情况下,无线设备可以包括单个天线1525。然而,在一些情况下,该设备可以具有一个以上的天线1525,它们能够同时地发送或接收多个无线传输。
存储器1530可以包括RAM和ROM。存储器1530可以存储计算机可读、计算机可执行的代码1540,代码1540包括当被执行时使得处理器执行本文描述的各种功能的指令。在一些情况下,除此之外,存储器1530还可以包含BIOS,其可以控制基本的硬件或软件操作,例如与外围组件或设备的交互。
处理器1535可以包括智能硬件设备(例如,通用处理器、DSP、CPU、微控制器、ASIC、FPGA、可编程逻辑器件、分立门或晶体管逻辑组件、分立硬件组件、或其任何组合)。在一些情况下,处理器1535可以被配置为使用存储器控制器来操作存储器阵列。在其它情况下,存储器控制器可以集成到处理器1535中。处理器1535可以被配置为执行在存储器(例如,存储器1530)中存储的计算机可读指令以使得设备1505执行各种功能(例如,支持在核心网络中的NF处的SI保护的功能或任务)。
代码1540可以包括用于实现本公开内容的各方面的指令,包括用于支持无线通信的指令。代码1540可以被存储在非暂时性计算机可读介质(例如,系统存储器或其它类型的存储器)中。在一些情况下,代码1540可能不是可由处理器1535直接执行的,但是可以使得计算机(例如,当被编译和被执行时)执行本文描述的功能。
图16示出了说明根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的方法1600的流程图。方法1600的操作可以由如本文描述的基站105或其组件来实现。例如,方法1600的操作可以由如参照图8至11描述的基站通信管理器来执行。在一些示例中,基站可以执行指令集以控制基站的功能元件以执行下文描述的功能。另外或替代地,基站可以使用专用硬件来执行下文描述的功能的各方面。
在1605处,基站可以向网络节点发送包括SI的签名请求。可以根据本文描述的方法来执行1605的操作。在一些示例中,1605的操作的各方面可以由如参照图8至11描述的签名请求发射机来执行。
在1610处,基站可以从网络节点接收签名响应,该签名响应包括基于SI而生成的签名。可以根据本文描述的方法来执行1610的操作。在一些示例中,1610的操作的各方面可以由如参照图8至11描述的签名响应接收机来执行。
在1615处,基站可以发送包括SI和签名的SI消息。可以根据本文描述的方法来执行1615的操作。在一些示例中,1615的操作的各方面可以由如参照图8至11描述的SI消息发射机来执行。
图17示出了说明根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的方法1700的流程图。方法1700的操作可以由如本文描述的基站105或其组件来实现。例如,方法1700的操作可以由如参照图8至11描述的基站通信管理器来执行。在一些示例中,基站可以执行指令集以控制基站的功能元件以执行下文描述的功能。另外或替代地,基站可以使用专用硬件来执行下文描述的功能的各方面。
在1705处,基站可以向网络节点发送包括SI的签名请求。可以根据本文描述的方法来执行1705的操作。在一些示例中,1705的操作的各方面可以由如参照图8至11描述的签名请求发射机来执行。
在1710处,基站可以发送包括SI和主信息的签名请求,其中,签名是基于SI和主信息来生成的。可以根据本文描述的方法来执行1710的操作。在一些示例中,1710的操作的各方面可以由如参照图8至11描述的签名请求发射机来执行。
在1715处,基站可以从网络节点接收签名响应,该签名响应包括基于SI而生成的签名。可以根据本文描述的方法来执行1715的操作。在一些示例中,1715的操作的各方面可以由如参照图8至11描述的签名响应接收机来执行。
在1720处,基站可以发送包括SI和签名的SI消息。可以根据本文描述的方法来执行1720的操作。在一些示例中,1720的操作的各方面可以由如参照图8至11描述的SI消息发射机来执行。
图18示出了说明根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的方法1800的流程图。方法1800的操作可以由如本文描述的基站105或其组件来实现。例如,方法1800的操作可以由如参照图8至11描述的基站通信管理器来执行。在一些示例中,基站可以执行指令集以控制基站的功能元件以执行下文描述的功能。另外或替代地,基站可以使用专用硬件来执行下文描述的功能的各方面。
在1805处,基站可以向网络节点发送包括SI的签名请求。可以根据本文描述的方法来执行1805的操作。在一些示例中,1805的操作的各方面可以由如参照图8至11描述的签名请求发射机来执行。
在1810处,基站可以从网络节点接收签名响应,该签名响应包括基于SI而生成的签名。可以根据本文描述的方法来执行1810的操作。在一些示例中,1810的操作的各方面可以由如参照图8至11描述的签名响应接收机来执行。
在1815处,基站可以发送包括SI和签名的SI消息。可以根据本文描述的方法来执行1815的操作。在一些示例中,1815的操作的各方面可以由如参照图8至11描述的SI消息发射机来执行。
在1820处,基站可以发送SI消息,该SI消息指示与用于生成签名的第一私钥相对应的公钥的标识符。可以根据本文描述的方法来执行1820的操作。在一些示例中,1820的操作的各方面可以由如参照图8至11描述的SI消息发射机来执行。
图19示出了说明根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的方法1900的流程图。方法1900的操作可以由如本文描述的基站105或其组件来实现。例如,方法1900的操作可以由如参照图8至11描述的基站通信管理器来执行。在一些示例中,基站可以执行指令集以控制基站的功能元件以执行下文描述的功能。另外或替代地,基站可以使用专用硬件来执行下文描述的功能的各方面。
在1905处,基站可以向网络节点发送包括SI的签名请求。可以根据本文描述的方法来执行1905的操作。在一些示例中,1905的操作的各方面可以由如参照图8至11描述的签名请求发射机来执行。
在1910处,基站可以从网络节点接收签名响应,该签名响应包括基于SI而生成的签名。可以根据本文描述的方法来执行1910的操作。在一些示例中,1910的操作的各方面可以由如参照图8至11描述的签名响应接收机来执行。
在1915处,基站可以从UE接收注册请求。可以根据本文描述的方法来执行1915的操作。在一些示例中,1915的操作的各方面可以由如参照图8至11描述的跟踪区域组件来执行。
在1920处,基站可以向提供接入和移动性管理器功能(AMF)的网络节点(例如,核心网络节点)发送注册请求。可以根据本文描述的方法来执行1920的操作。在一些示例中,1920的操作的各方面可以由如参照图8至11描述的跟踪区域组件来执行。
在1925处,基站可以从网络节点接收注册响应,该注册响应包括与用于生成签名的第一私钥相对应的第一公钥。可以根据本文描述的方法来执行1925的操作。在一些示例中,1925的操作的各方面可以由如参照图8至11描述的跟踪区域组件来执行。
在1930处,基站可以向UE发送注册响应。可以根据本文描述的方法来执行1930的操作。在一些示例中,1930的操作的各方面可以由如参照图8至11描述的跟踪区域组件来执行。
在1935处,基站可以发送包括SI和签名的SI消息。可以根据本文描述的方法来执行1935的操作。在一些示例中,1935的操作的各方面可以由如参照图8至11描述的SI消息发射机来执行。
图20示出了说明根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的方法2000的流程图。方法2000的操作可以由如本文描述的网络实体或其组件来实现。例如,方法2000的操作可以由如参照图12至15描述的网络通信管理器来执行。在一些示例中,网络实体可以执行指令集以控制网络实体的功能元件以执行下文描述的功能。另外或替代地,网络实体可以使用专用硬件来执行下文描述的功能的各方面。
在2005处,网络实体可以从基站接收包括SI的签名请求。可以根据本文描述的方法来执行2005的操作。在一些示例中,2005的操作的各方面可以由如参照图12至15描述的签名请求接收机来执行。
在2010处,网络实体可以向基站发送签名响应,该签名响应包括基于SI而生成的签名。可以根据本文描述的方法来执行2010的操作。在一些示例中,2010的操作的各方面可以由如参照图12至15描述的签名响应发射机来执行。
图21示出了说明根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的方法2100的流程图。方法2100的操作可以由如本文描述的网络实体或其组件来实现。例如,方法2100的操作可以由如参照图12至15描述的网络通信管理器来执行。在一些示例中,网络实体可以执行指令集以控制网络实体的功能元件以执行下文描述的功能。另外或替代地,网络实体可以使用专用硬件来执行下文描述的功能的各方面。
在2105处,网络实体可以从基站接收包括SI的签名请求。可以根据本文描述的方法来执行2105的操作。在一些示例中,2105的操作的各方面可以由如参照图12至15描述的签名请求接收机来执行。
在2110处,网络实体可以向基站发送签名响应,该签名响应包括基于SI而生成的签名。可以根据本文描述的方法来执行2110的操作。在一些示例中,2110的操作的各方面可以由如参照图12至15描述的签名响应发射机来执行。
在2115处,网络实体可以从基站接收包括经更新的SI的第二签名请求。可以根据本文描述的方法来执行2115的操作。在一些示例中,2115的操作的各方面可以由如参照图12至15描述的签名请求接收机来执行。
在2120处,网络实体可以向基站发送签名响应,该签名响应包括基于经更新的SI而生成的第二签名。可以根据本文描述的方法来执行2120的操作。在一些示例中,2120的操作的各方面可以由如参照图12至15描述的签名响应发射机来执行。
图22示出了说明根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的方法2200的流程图。方法2200的操作可以由如本文描述的UE 115或其组件来实现。例如,方法2200的操作可以由如参照图4至7描述的UE通信管理器来执行。在一些示例中,UE可以执行指令集以控制UE的功能元件以执行下文描述的功能。另外或替代地,UE可以使用专用硬件来执行下文描述的功能的各方面。
在2205处,UE可以向核心网络节点发送注册请求。可以根据本文描述的方法来执行2205的操作。在一些示例中,2205的操作的各方面可以由如参照图4至7描述的注册请求组件来执行。
在2210处,UE可以从核心网络节点接收包括第一公钥和第二公钥的注册响应,第一公钥与用于生成用于针对第一跟踪区域的第一SI的第一签名的第一私钥相对应,第二公钥与用于生成用于针对相对于第一跟踪区域而地理定位的第二跟踪区域的第二SI的第二签名的第二私钥相对应。可以根据本文描述的方法来执行2210的操作。在一些示例中,2210的操作的各方面可以由如参照图4至7描述的注册响应组件来执行。
在2215处,UE可以监测包括第一SI和第一签名或包括第二SI和第二签名的SI消息。可以根据本文描述的方法来执行2215的操作。在一些示例中,2215的操作的各方面可以由如参照图4至7描述的SI消息监测组件来执行。
图23示出了说明根据本公开内容的各方面的支持在核心网络中的NF处的SI保护的方法2300的流程图。方法2300的操作可以由如本文描述的UE 115或其组件来实现。例如,方法2300的操作可以由如参照图4至7描述的UE通信管理器来执行。在一些示例中,UE可以执行指令集以控制UE的功能元件以执行下文描述的功能。另外或替代地,UE可以使用专用硬件来执行下文描述的功能的各方面。
在2305处,UE可以向核心网络节点发送注册请求。可以根据本文描述的方法来执行2305的操作。在一些示例中,2305的操作的各方面可以由如参照图4至7描述的注册请求组件来执行。
在2310处,UE可以从核心网络节点接收包括第一公钥和第二公钥的注册响应,第一公钥与用于生成用于针对第一跟踪区域的第一SI的第一签名的第一私钥相对应,第二公钥与用于生成用于针对相对于第一跟踪区域而地理定位的第二跟踪区域的第二SI的第二签名的第二私钥相对应。可以根据本文描述的方法来执行2310的操作。在一些示例中,2310的操作的各方面可以由如参照图4至7描述的注册响应组件来执行。
在2315处,UE可以监测包括第一SI和第一签名或包括第二SI和第二签名的SI消息。可以根据本文描述的方法来执行2315的操作。在一些示例中,2315的操作的各方面可以由如参照图4至7描述的SI消息监测组件来执行。
在2320处,UE可以发送指示UE已经从第一跟踪区域移动到第二跟踪区域的移动性注册更新请求。可以根据本文描述的方法来执行2320的操作。在一些示例中,2320的操作的各方面可以由如参照图4至7描述的注册请求组件来执行。
应当注意的是,本文描述的方法描述了可能的实现方式,并且操作和步骤可以被重新排列或者以其它方式修改,并且其它实现方式是可能的。此外,来自两种或更多种方法的各方面可以被组合。
虽然可能出于举例的目的,描述了LTE、LTE-A、LTE-A Pro或NR系统的各方面,并且可能在大部分的描述中使用了LTE、LTE-A、LTE-A Pro或NR术语,但是本文中描述的技术适用于LTE、LTE-A、LTE-A Pro或NR网络之外的范围。例如,所描述的技术可以适用于各种其它无线通信系统,诸如超移动宽带(UMB)、电气与电子工程师协会(IEEE)802.11(Wi-Fi)、IEEE802.16(WiMAX)、IEEE 802.20、闪速-OFDM、以及本文未明确提及的其它系统和无线电技术。
本文中描述的信息和信号可以使用各种不同的技术和方法中的任何一种来表示。例如,可能贯穿描述所提及的数据、指令、命令、信息、信号、比特、符号和码片可以由电压、电流、电磁波、磁场或粒子、光场或粒子或者其任何组合来表示。
可以利用被设计为执行本文所述功能的通用处理器、DSP、ASIC、CPU、FPGA或其它可编程逻辑器件、分立门或晶体管逻辑、分立硬件组件或者其任何组合来实现或执行结合本文的公开内容描述的各种说明性的框和组件。通用处理器可以是微处理器,但是在替代方式中,处理器可以是任何处理器、控制器、微控制器或者状态机。处理器还可以实现为计算设备的组合(例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器与DSP核的结合、或者任何其它这种配置)。
本文中所描述的功能可以用硬件、由处理器执行的软件、固件或其任何组合来实现。如果用由处理器执行的软件来实现,所述功能可以作为一个或多个指令或代码存储在计算机可读介质上或通过其进行发送。其它示例和实现方式在本公开内容和所附权利要求的范围之内。例如,由于软件的性质,本文描述的功能可以使用由处理器执行的软件、硬件、固件、硬接线或这些项中的任何项的组合来实现。实现功能的特征还可以在物理上位于各个位置处,包括被分布为使得功能中的各部分功能在不同的物理位置处实现。
计算机可读介质包括非暂时性计算机存储介质和通信介质二者,通信介质包括促进计算机程序从一个地方到另一个地方的传送的任何介质。非暂时性存储介质可以是可以由通用计算机或专用计算机访问的任何可用介质。举例来说而非进行限制,非暂时性计算机可读介质可以包括RAM、ROM、电可擦除可编程ROM(EEPROM)、闪速存储器、压缩光盘(CD)ROM或其它光盘存储、磁盘存储或其它磁存储设备、或可以用于以指令或数据结构的形式携带或存储期望的程序代码单元以及可以由通用或专用计算机、或通用或专用处理器访问的任何其它非暂时性介质。此外,任何连接适当地被称为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、数字用户线(DSL)或诸如红外线、无线电和微波之类的无线技术来从网站、服务器或其它远程源发送的,则同轴电缆、光纤光缆、双绞线、DSL或诸如红外线、无线电和微波之类的无线技术被包括在计算机可读介质的定义内。如本文中所使用的,磁盘和光盘包括CD、激光光盘、光盘、数字多功能光盘(DVD)、软盘和蓝光光盘,其中,磁盘通常磁性地复制数据,而光盘则利用激光来光学地复制数据。上文的组合也被包括在计算机可读介质的范围内。
如本文所使用的(包括在权利要求中),如项目列表(例如,以诸如“中的至少一个”或“中的一个或多个”之类的短语结束的项目列表)中所使用的“或”指示包含性列表,使得例如A、B或C中的至少一个的列表意指A或B或C或AB或AC或BC或ABC(即A和B和C)。此外,如本文所使用的,短语“基于”不应当被解释为对封闭的条件集合的引用。例如,在不脱离本公开内容的范围的情况下,被描述为“基于条件A”的示例步骤可以基于条件A和条件B两者。换句话说,如本文所使用的,应当以与解释短语“至少部分地基于”相同的方式来解释短语“基于”。
在附图中,相似的组件或特征可以具有相同的附图标记。此外,相同类型的各种组件可以通过在附图标记后跟随有破折号和第二标记进行区分,所述第二标记用于在相似组件之间进行区分。如果在说明书中仅使用了第一附图标记,则描述适用于具有相同的第一附图标记的相似组件中的任何一个组件,而不考虑第二附图标记或其它后续附图标记。
本文结合附图阐述的描述对示例配置进行了描述,而不表示可以实现或在权利要求的范围内的所有示例。本文所使用的术语“示例”意味着“用作示例、实例或说明”,而不是“优选的”或者“比其它示例有优势”。出于提供对所描述的技术的理解的目的,详细描述包括具体细节。然而,可以在没有这些具体细节的情况下实施这些技术。在一些实例中,结构和设备以框图的形式示出,以便避免使所描述的示例的概念模糊。
为使本领域技术人员能够实现或者使用本公开内容,提供了本文中的描述。对于本领域技术人员来说,对本公开内容的各种修改将是显而易见的,并且在不脱离本公开内容的范围的情况下,本文中定义的总体原理可以应用于其它变型。因此,本公开内容不限于本文中描述的示例和设计,而是被赋予与本文中公开的原理和新颖特征相一致的最广范围。

Claims (30)

1.一种用于由基站进行无线通信的方法,包括:
向网络节点发送包括系统信息的签名请求;
从所述网络节点接收签名响应,所述签名响应包括至少部分地基于所述系统信息而生成的签名;以及
发送包括所述系统信息和所述签名的系统信息消息。
2.根据权利要求1所述的方法,其中,发送所述签名请求包括:
发送包括所述系统信息和主信息的所述签名请求,其中,所述签名是至少部分地基于所述系统信息和所述主信息来生成的。
3.根据权利要求1所述的方法,还包括:
发送所述系统信息消息,所述系统信息消息指示与用于生成所述签名的第一私钥相对应的公钥的标识符。
4.根据权利要求1所述的方法,还包括:
向所述网络节点发送包括经更新的系统信息的第二签名请求;
从所述网络节点接收签名响应,所述签名响应包括至少部分地基于所述经更新的系统信息而生成的第二签名;以及
发送包括所述经更新的系统信息和所述第二签名的系统信息消息。
5.根据权利要求1所述的方法,还包括:
从用户设备(UE)接收注册请求;
向提供接入和移动性管理功能(AMF)的网络节点发送所述注册请求;
从所述网络节点接收注册响应,所述注册响应包括与用于生成所述签名的第一私钥相对应的第一公钥;以及
向所述UE发送所述注册响应。
6.根据权利要求5所述的方法,其中,发送所述注册响应包括:
发送包括用于所述第一公钥的第一跟踪区域的所述注册响应。
7.根据权利要求6所述的方法,其中,发送所述注册响应包括:
发送所述注册响应,所述注册响应指示用于相对于所述第一跟踪区域而地理定位的第二跟踪区域的第二公钥,所述第二公钥与用于生成用于在所述第二跟踪区域内发送的第二系统信息的第二签名的第二私钥相对应。
8.根据权利要求5所述的方法,其中,接收所述注册请求包括:
从用户设备(UE)接收指示所述UE已经进入新的跟踪区域的移动性注册更新请求。
9.根据权利要求1所述的方法,其中,发送所述签名请求包括:
发送所述签名请求以请求针对时间范围和时间增量间隔的多个签名。
10.根据权利要求9所述的方法,其中,接收所述签名响应包括:
接收包括所述多个签名的所述签名响应。
11.根据权利要求9所述的方法,其中,接收所述签名响应包括:
接收多个签名响应,所述多个签名响应各自包括所述多个签名中的一个或多个签名的子集。
12.根据权利要求11所述的方法,其中,所述子集中的每个子集与所述时间范围内的相应的时间增量间隔相对应。
13.根据权利要求1所述的方法,其中,发送所述签名请求包括:
发送所述签名请求,所述签名请求指示子帧增量间隔并且请求与在起始子帧号和结束子帧号之间的子帧号范围相对应的多个签名。
14.根据权利要求13所述的方法,其中,接收所述签名响应包括:
接收包括所述多个签名的所述签名响应。
15.根据权利要求13所述的方法,其中,接收所述签名响应包括:
接收多个签名响应,所述多个签名响应各自包括所述多个签名中的一个或多个签名的子集。
16.根据权利要求15所述的方法,其中,所述子集中的每个子集与所述子帧号范围内的相应的子帧增量间隔相对应。
17.根据权利要求1所述的方法,其中,发送所述签名请求包括:
发送包括新近度参数的所述签名请求。
18.根据权利要求17所述的方法,还包括:
从所述网络节点接收所述签名响应,所述签名响应包括至少部分地基于所述系统信息和所述新近度参数而生成的所述签名。
19.根据权利要求17所述的方法,其中,所述新近度参数是系统帧号。
20.一种用于由网络节点进行无线通信的方法,包括:
从基站接收包括系统信息的签名请求;以及
向所述基站发送签名响应,所述签名响应包括至少部分地基于所述系统信息而生成的签名。
21.根据权利要求20所述的方法,其中,接收所述签名请求包括:
接收包括所述系统信息和主信息的所述签名请求,其中,所述签名是至少部分地基于所述系统信息和所述主信息来生成的。
22.根据权利要求20所述的方法,还包括:
发送密钥标识符消息,所述密钥标识符消息指示与用于生成所述签名的第一私钥相对应的公钥的标识符。
23.根据权利要求20所述的方法,还包括:
从所述基站接收包括经更新的系统信息的第二签名请求;以及
向所述基站发送签名响应,所述签名响应包括至少部分地基于所述经更新的系统信息而生成的第二签名。
24.根据权利要求20所述的方法,其中,接收所述签名请求包括:
接收请求针对时间范围和时间增量间隔的多个签名的所述签名请求。
25.根据权利要求24所述的方法,其中,发送所述签名响应包括:
发送包括所述多个签名的所述签名响应。
26.根据权利要求24所述的方法,其中,发送所述签名响应包括:
发送多个签名响应,所述多个签名响应各自包括所述多个签名中的一个或多个签名的子集。
27.根据权利要求26所述的方法,其中,所述子集中的每个子集与所述时间范围内的相应的时间增量间隔相对应。
28.根据权利要求20所述的方法,其中,所述网络节点是核心网络节点、无线电接入网络(RAN)节点、应用功能节点、或签名功能节点。
29.一种用于由用户设备(UE)进行无线通信的方法,包括:
向核心网络节点发送注册请求;
从所述核心网络节点接收包括第一公钥和第二公钥的注册响应,所述第一公钥与用于生成用于针对第一跟踪区域的第一系统信息的第一签名的第一私钥相对应,所述第二公钥与用于生成用于针对相对于所述第一跟踪区域而地理定位的第二跟踪区域的第二系统信息的第二签名的第二私钥相对应;以及
监测包括所述第一系统信息和所述第一签名或包括所述第二系统信息和所述第二签名的系统信息消息。
30.一种用于由基站进行无线通信的装置,包括:
用于向网络节点发送包括系统信息的签名请求的单元;
用于从所述网络节点接收签名响应的单元,所述签名响应包括至少部分地基于所述系统信息而生成的签名;以及
用于发送包括所述系统信息和所述签名的系统信息消息的单元。
CN202080069207.8A 2019-10-11 2020-10-09 在核心网络中的网络功能处的系统信息保护 Pending CN114556990A (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201962914335P 2019-10-11 2019-10-11
US62/914,335 2019-10-11
US17/066,014 US20210111902A1 (en) 2019-10-11 2020-10-08 System information protection at a network function in the core network
US17/066,014 2020-10-08
PCT/US2020/055021 WO2021072223A1 (en) 2019-10-11 2020-10-09 System information protection at a network function in the core network

Publications (1)

Publication Number Publication Date
CN114556990A true CN114556990A (zh) 2022-05-27

Family

ID=75383527

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080069207.8A Pending CN114556990A (zh) 2019-10-11 2020-10-09 在核心网络中的网络功能处的系统信息保护

Country Status (7)

Country Link
US (1) US20210111902A1 (zh)
EP (1) EP4042735A1 (zh)
KR (1) KR20220082816A (zh)
CN (1) CN114556990A (zh)
BR (1) BR112022006377A2 (zh)
TW (1) TW202118259A (zh)
WO (1) WO2021072223A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117221884A (zh) * 2023-11-08 2023-12-12 深圳简谱技术有限公司 基站系统信息管理方法及系统

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102201017B1 (ko) * 2020-04-04 2021-01-11 김성훈 시스템 정보를 이용해서 검증을 수행하고 관련 동작을 기록하고 보고하는 단말의 통신 방법 및 장치
US20220086636A1 (en) * 2020-09-17 2022-03-17 T-Mobile Usa, Inc. Access point authentication based on a digital certificate
WO2024025391A1 (en) * 2022-07-28 2024-02-01 Samsung Electronics Co., Ltd. Method and device for provision key for base station verification in wireless communication system
CN117675213A (zh) * 2022-08-26 2024-03-08 维沃移动通信有限公司 系统信息传输方法、装置、终端、网络侧设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102611554A (zh) * 2011-01-25 2012-07-25 华为技术有限公司 实现数字签名的方法及设备
US20170126411A1 (en) * 2015-10-29 2017-05-04 At&T Intellectual Property I, L.P. Cryptographically signing an access point device broadcast message
WO2017176068A1 (en) * 2016-04-06 2017-10-12 Samsung Electronics Co., Ltd. System and method for validating authenticity of base station and/or information received from base station
WO2019088599A1 (ko) * 2017-10-31 2019-05-09 엘지전자 주식회사 무선 통신 시스템에서 홈 네트워크 키로 암호화된 데이터를 보호하기 위한 방법 및 이를 위한 장치

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5138712A (en) * 1989-10-02 1992-08-11 Sun Microsystems, Inc. Apparatus and method for licensing software on a network of computers
US5674003A (en) * 1995-04-28 1997-10-07 Andersen; David B. Mechanisms for accessing unique features of telephony networks from a protocol-Independent data transport interface
US6243467B1 (en) * 1998-07-23 2001-06-05 The United States Of America As Represented By The National Security Agency Method of elliptic curve cryptographic digital signature generation and verification using reduced base tau expansion in non-adjacent form
WO2001018636A1 (en) * 1999-09-09 2001-03-15 American Express Travel Related Services Company, Inc. System and method for authenticating a web page
US6775771B1 (en) * 1999-12-14 2004-08-10 International Business Machines Corporation Method and system for presentation and manipulation of PKCS authenticated-data objects
GB2359156B (en) * 2000-02-14 2004-10-13 Reuters Ltd Methods of computer programs for and apparatus for providing and accessing digital content
EP1143658A1 (en) * 2000-04-03 2001-10-10 Canal+ Technologies Société Anonyme Authentication of data transmitted in a digital transmission system
WO2002013445A2 (en) * 2000-08-04 2002-02-14 First Data Corporation Linking public key of device to information during manufacture
US20020146125A1 (en) * 2001-03-14 2002-10-10 Ahmet Eskicioglu CA system for broadcast DTV using multiple keys for different service providers and service areas
US20030031455A1 (en) * 2001-08-10 2003-02-13 Koninklijke Philips Electronics N.V. Automatic commercial skipping service
US7840812B1 (en) * 2002-05-24 2010-11-23 Access Systems Americas, Inc. Authentication of digital certificates used by portable computing devices
US7024559B1 (en) * 2002-06-28 2006-04-04 The United States Of America As Represented By The National Security Agency Method of elliptic curve digital signature using expansion in joint sparse form
US7225167B2 (en) * 2003-11-21 2007-05-29 International Business Machines Corporation Merchandise-integral transaction receipt and auditable product ownership trail
GB0329039D0 (en) * 2003-12-15 2004-01-14 Ncipher Corp Ltd Cryptographic security module method and apparatus
US7870383B2 (en) * 2006-02-09 2011-01-11 International Business Machines Corporation System, method and program to update certificates in a computer
KR101606313B1 (ko) * 2007-04-30 2016-03-24 인터디지탈 테크날러지 코포레이션 홈 노드 b에서의 이동성 절차 및 차별화된 과금
US20090077373A1 (en) * 2007-09-13 2009-03-19 Columbus Venture Capital S. A. R. L. System and method for providing verified information regarding a networked site
US8654661B2 (en) * 2009-05-04 2014-02-18 Industrial Technology Research Institute Method and apparatus for multicast and broadcast retransmission in wireless communication systems
US9961524B2 (en) * 2012-01-27 2018-05-01 Samsung Electronics Co., Ltd. Method and apparatus for efficient security management of disaster message in mobile communication system
DE102014212229A1 (de) * 2014-06-25 2015-12-31 Robert Bosch Gmbh Verfahren und Vorrichtung zum Authentifizieren eines Mobilgerätes
US9655039B2 (en) * 2015-06-26 2017-05-16 Qualcomm Incorporated Dynamic cell reselection to improve device-to-device communications
US9591685B2 (en) * 2015-07-21 2017-03-07 Qualcomm Incorporated Efficient application synchronization using out-of-band device-to-device communication
US20180124697A1 (en) * 2016-10-28 2018-05-03 Alcatel-Lucent Usa Inc. Verification of cell authenticity in a wireless network using an extended time stamp
US20190349765A1 (en) * 2017-01-30 2019-11-14 Intel IP Corporation Fake gnb/enb detection using identity-based authentication and encryption
EP3639544B1 (en) * 2017-06-16 2022-08-10 Motorola Mobility LLC Rogue unit detection information
US11533742B2 (en) * 2018-05-10 2022-12-20 Ipla Holdings Inc. Small data transmission with non-orthogonal multiple access
WO2020010515A1 (en) * 2018-07-10 2020-01-16 Apple Inc. Identity-based message integrity protection and verification for wireless communication
US10757572B2 (en) * 2018-11-01 2020-08-25 Qualcomm Incorporated Identity based signature in system information protection
US11528137B2 (en) * 2018-11-01 2022-12-13 Qualcomm Incorporated Identity-based encryption of a message associated with a connection procedure
WO2020106546A1 (en) * 2018-11-20 2020-05-28 Intel Corporation Mobile cellular networks authenticated access

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102611554A (zh) * 2011-01-25 2012-07-25 华为技术有限公司 实现数字签名的方法及设备
US20170126411A1 (en) * 2015-10-29 2017-05-04 At&T Intellectual Property I, L.P. Cryptographically signing an access point device broadcast message
WO2017176068A1 (en) * 2016-04-06 2017-10-12 Samsung Electronics Co., Ltd. System and method for validating authenticity of base station and/or information received from base station
WO2019088599A1 (ko) * 2017-10-31 2019-05-09 엘지전자 주식회사 무선 통신 시스템에서 홈 네트워크 키로 암호화된 데이터를 보호하기 위한 방법 및 이를 위한 장치

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
NOKIA, NOKIA SHANGHAI BELL: ""Updates to Solution#7 on Verification of Authenticity of the cell"", 《3GPP TSG-SA WG3 MEETING #96 S3-192585》, pages 1 - 7 *
SAMSUNG: ""Resolving Editor’s Note on provisioning of public keys to the UE"", 《3GPP TSG SA WG3 (SECURITY) ADHOC MEETING ON FS_NSA S3-161424》, pages 1 - 3 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117221884A (zh) * 2023-11-08 2023-12-12 深圳简谱技术有限公司 基站系统信息管理方法及系统
CN117221884B (zh) * 2023-11-08 2024-02-23 深圳简谱技术有限公司 基站系统信息管理方法及系统

Also Published As

Publication number Publication date
US20210111902A1 (en) 2021-04-15
BR112022006377A2 (pt) 2022-06-28
KR20220082816A (ko) 2022-06-17
WO2021072223A1 (en) 2021-04-15
EP4042735A1 (en) 2022-08-17
TW202118259A (zh) 2021-05-01

Similar Documents

Publication Publication Date Title
CN112166592B (zh) 用于单播交通工具到交通工具通信链路的标识符和密钥的转滚
CN110291804B (zh) 一种涉及会话管理授权令牌的无线通信方法及装置
CN112913268B (zh) 对网络切片选择辅助信息进行加密
US11070981B2 (en) Information protection to detect fake base stations
US20210345104A1 (en) Relay sidelink communications for secure link establishment
US20210111902A1 (en) System information protection at a network function in the core network
US10757572B2 (en) Identity based signature in system information protection
WO2015047856A1 (en) Network based provisioning of ue credentials for non-operator wireless deployments
US20230078345A1 (en) Secure multiparty computation for internet of things communications
US11463875B2 (en) Detection of system information modification using access stratum security mode command
CN113711565A (zh) 系统信息安全容器
US11729841B2 (en) Truncated identification indicators
US11765596B2 (en) Security procedure
US11546350B2 (en) Data provenance
US11516667B2 (en) Aggregate data provenance
CN116097687A (zh) 网络切片特定的认证和授权
WO2023039816A1 (en) Inter-message certificate and digest arrangements in wireless communications systems
WO2021232420A1 (en) Disabling dual connectivity at a multi-subscriber identity module user equipment
US20230069923A1 (en) Multiplexing secure physical uplink channels
US20240098671A1 (en) Timing and synchronization techniques for secure networks
WO2023133495A1 (en) Cell access for hiding network presence and operation
CN115769659A (zh) 用于回程节点的两步随机接入过程

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination