CN114600507B - 一种业务安全传输方法及装置、终端设备、网络设备 - Google Patents

一种业务安全传输方法及装置、终端设备、网络设备 Download PDF

Info

Publication number
CN114600507B
CN114600507B CN202080075261.3A CN202080075261A CN114600507B CN 114600507 B CN114600507 B CN 114600507B CN 202080075261 A CN202080075261 A CN 202080075261A CN 114600507 B CN114600507 B CN 114600507B
Authority
CN
China
Prior art keywords
mbms service
mbms
key
identification
configuration information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202080075261.3A
Other languages
English (en)
Other versions
CN114600507A (zh
Inventor
王淑坤
许阳
卢前溪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Oppo Mobile Telecommunications Corp Ltd
Original Assignee
Guangdong Oppo Mobile Telecommunications Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Oppo Mobile Telecommunications Corp Ltd filed Critical Guangdong Oppo Mobile Telecommunications Corp Ltd
Publication of CN114600507A publication Critical patent/CN114600507A/zh
Application granted granted Critical
Publication of CN114600507B publication Critical patent/CN114600507B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/02Buffering or recovering information during reselection ; Modification of the traffic flow during hand-off

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例提供一种业务安全传输方法及装置、终端设备、网络设备,该方法包括:终端设备接收MBMS业务数据,其中,所述MBMS业务数据通过网络侧进行加密和/或完整性保护;所述终端设备对所述MBMS业务数据进行解密和/或完整性保护验证。

Description

一种业务安全传输方法及装置、终端设备、网络设备
技术领域
本申请实施例涉及移动通信技术领域,具体涉及一种业务安全传输方法及装置、终端设备、网络设备。
背景技术
多媒体广播多播服务(Multimedia Broadcast Multicast Service,MBMS)是一种通过共享网络资源从一个数据源向多个用户传送数据的技术,该技术在提供多媒体业务的同时能有效地利用网络资源,实现较高速率(如256kbps)的多媒体业务的广播和组播。
在新无线(New Radio,NR)系统中,很多场景需要支持组播和广播的业务需求,例如车联网中,工业互联网中等。所以在NR中引入MBMS是有必要的。NR中对于MBMS业务的传输具有很高的安全性要求,如何针对MBMS业务做安全传输需要明确。
发明内容
本申请实施例提供一种业务安全传输方法及装置、终端设备、网络设备。
本申请实施例提供的业务安全传输方法,包括:
终端设备接收MBMS业务数据,其中,所述MBMS业务数据通过网络侧进行加密和/或完整性保护;
所述终端设备对所述MBMS业务数据进行解密和/或完整性保护验证。
本申请实施例提供的业务安全传输方法,包括:
网络设备对MBMS业务数据进行加密和/或完整性保护,发送加密和/或完整性保护后的所述MBMS业务数据。
本申请实施例提供的业务安全传输装置,应用于终端设备,所述装置包括:
接收单元,用于接收MBMS业务数据,其中,所述MBMS业务数据通过网络侧进行加密和/或完整性保护;
处理单元,用于对所述MBMS业务数据进行解密和/或完整性保护验证。
本申请实施例提供的业务安全传输装置,应用于网络设备,所述装置包括:
处理单元,用于对MBMS业务数据进行加密和/或完整性保护;
发送单元,用于发送加密和/或完整性保护后的所述MBMS业务数据。
本申请实施例提供的终端设备,包括处理器和存储器。该存储器用于存储计算机程序,该处理器用于调用并运行该存储器中存储的计算机程序,执行上述的业务安全传输方法。
本申请实施例提供的网络设备,包括处理器和存储器。该存储器用于存储计算机程序,该处理器用于调用并运行该存储器中存储的计算机程序,执行上述的业务安全传输方法。
本申请实施例提供的芯片,用于实现上述的业务安全传输方法。
具体地,该芯片包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有该芯片的设备执行上述的业务安全传输方法。
本申请实施例提供的计算机可读存储介质,用于存储计算机程序,该计算机程序使得计算机执行上述的业务安全传输方法。
本申请实施例提供的计算机程序产品,包括计算机程序指令,该计算机程序指令使得计算机执行上述的业务安全传输方法。
本申请实施例提供的计算机程序,当其在计算机上运行时,使得计算机执行上述的业务安全传输方法。
通过上述技术方案,明确了网络侧对MBMS业务数据进行加密和/或完整性保护,也明确了终端设备对MBMS业务数据进行解密和/或完整性保护验证。从而使得NR系统支持MBMS业务的安全传输,使得MBMS业务的安全得以保障。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的限定。在附图中:
图1是本申请实施例提供的一种通信系统架构的示意图;
图2是本申请实施例提供的第一SIB相关配置的示意图;
图3是本申请实施例提供的PTM配置传输机制的示意图;
图4是本申请实施例提供的PTM信道及其映射图;
图5为本申请实施例提供的业务安全传输方法的流程示意图;
图6为本申请实施例提供的MBMS业务传输的架构图一;
图7为本申请实施例提供的MBMS业务传输的架构图二;
图8为本申请实施例提供的业务安全传输装置的结构组成示意图一;
图9为本申请实施例提供的业务安全传输装置的结构组成示意图二;
图10是本申请实施例提供的一种通信设备示意性结构图;
图11是本申请实施例的芯片的示意性结构图;
图12是本申请实施例提供的一种通信系统的示意性框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例的技术方案可以应用于各种通信系统,例如:长期演进(Long TermEvolution,LTE)系统、LTE频分双工(Frequency Division Duplex,FDD)系统、LTE时分双工(Time Division Duplex,TDD)系统、5G通信系统或未来的通信系统等。
示例性的,本申请实施例应用的通信系统100如图1所示。该通信系统100可以包括网络设备110,网络设备110可以是与终端120(或称为通信终端、终端)通信的设备。网络设备110可以为特定的地理区域提供通信覆盖,并且可以与位于该覆盖区域内的终端进行通信。例如,该网络设备110可以是LTE系统中的演进型基站(Evolutional Node B,eNB或eNodeB),或者是云无线接入网络(Cloud Radio Access Network,CRAN)中的无线控制器,或者该网络设备可以为移动交换中心、中继站、接入点、车载设备、可穿戴设备、集线器、交换机、网桥、路由器、5G网络中的网络侧设备或者未来通信系统中的网络设备等。
该通信系统100还包括位于网络设备110覆盖范围内的至少一个终端120。作为在此使用的“终端”包括但不限于经由有线线路连接,如经由公共交换电话网络(PublicSwitched Telephone Networks,PSTN)、数字用户线路(Digital Subscriber Line,DSL)、数字电缆、直接电缆连接;和/或经由另一数据/网络连接;和/或经由无线接口连接,如,经由针对蜂窝网络、无线局域网(Wireless Local Area Network,WLAN)、诸如手持数字视频广播(Digital Video Broadcasting-Handheld,DVB-H)网络的数字电视网络、卫星网络、AM-FM广播发送器连接;和/或经由另一终端的被设置成接收/发送通信信号的装置连接;和/或经由物联网(Internet of Things,IoT)设备连接。被设置成通过无线接口通信的终端可以被称为“无线通信终端”、“无线终端”或“移动终端”。移动终端的示例包括但不限于卫星或蜂窝电话;可以组合蜂窝无线电电话与数据处理、传真以及数据通信能力的个人通信系统(Personal Communications System,PCS)终端;可以包括无线电电话、寻呼机、因特网/内联网接入、Web浏览器、记事簿、日历以及/或全球定位系统(Global PositioningSystem,GPS)接收器的个人数字助理(Personal Digital Assistant,PDA);以及常规膝上型和/或掌上型接收器或包括无线电电话收发器的其它电子装置。终端可以指接入终端、用户设备(User Equipment,UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol,SIP)电话、无线本地环路(Wireless Local Loop,WLL)站、PDA、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端或者未来演进的PLMN中的终端等。
例如,终端120之间可以进行终端直连(Device to Device,D2D)通信。
例如,5G通信系统或5G网络还可以称为新无线系统或NR网络。
图1示例性地示出了一个网络设备和两个终端,例如,该通信系统100可以包括多个网络设备并且每个网络设备的覆盖范围内可以包括其它数量的终端,本申请实施例对此不做限定。
例如,该通信系统100还可以包括网络控制器、移动管理实体等其他网络实体,本申请实施例对此不作限定。
应理解,本申请实施例中网络/系统中具有通信功能的设备可称为通信设备。以图1示出的通信系统100为例,通信设备可包括具有通信功能的网络设备110和终端120,网络设备110和终端120可以为上文所述的具体设备,此处不再赘述;通信设备还可包括通信系统100中的其他设备,例如网络控制器、移动管理实体等其他网络实体,本申请实施例中对此不做限定。
应理解,本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
为便于理解本申请实施例的技术方案,以下对本申请实施例相关的技术方案进行说明。
随着人们对速率、延迟、高速移动性、能效的追求以及未来生活中业务的多样性、复杂性,为此第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)国际标准组织开始研发5G。5G的主要应用场景为:增强移动超宽带(enhanced Mobile Broadband,eMBB)、低时延高可靠通信(Ultra-Reliable Low-Latency Communications,URLLC)、大规模机器类通信(massive Machine-Type Communications,mMTC)。
一方面,eMBB仍然以用户获得多媒体内容、服务和数据为目标,其需求增长十分迅速。另一方面,由于eMBB可能部署在不同的场景中,例如室内,市区,农村等,其能力和需求的差别也比较大,所以不能一概而论,必须结合具体的部署场景详细分析。URLLC的典型应用包括:工业自动化,电力自动化,远程医疗操作(手术),交通安全保障等。mMTC的典型特点包括:高连接密度,小数据量,时延不敏感业务,模块的低成本和长使用寿命等。
在NR早期部署时,完整的NR覆盖很难获取,所以典型的网络覆盖是广域的LTE覆盖和NR的孤岛覆盖模式。而且大量的LTE部署在6GHz以下,可用于5G的6GHz以下频谱很少。所以NR必须研究6GHz以上的频谱应用,而高频段覆盖有限、信号衰落快。同时为了保护移动运营商前期在LTE投资,提出了LTE和NR之间紧耦合(tight interworking)的工作模式。
RRC状态
5G为了降低空口信令和快速恢复无线连接,快速恢复数据业务的目的,定义了一个新的无线资源控制(Radio Resource Control,RRC)状态,即RRC非激活(RRC_INACTIVE)状态。这种状态有别于RRC空闲(RRC_IDLE)状态和RRC激活(RRC_ACTIVE)状态。其中,
1)RRC_IDLE状态(简称为空闲(idle)态):移动性为基于UE的小区选择重选,寻呼由核心网(Core Network,CN)发起,寻呼区域由CN配置。基站侧不存在UE上下文,不存在RRC连接。
2)RRC_CONNECTED状态(简称为连接(connected)态):存在RRC连接,基站侧和UE侧存在UE上下文。网络侧知道UE的位置是具体小区级别的。移动性是网络侧控制的移动性。UE和基站之间可以传输单播数据。
3)RRC_INACTIVE状态(简称为非激活(inactive)态):移动性为基于UE的小区选择重选,存在CN-NR之间的连接,UE上下文存在某个基站上,寻呼由RAN触发,基于RAN的寻呼区域由RAN管理,网络侧知道UE的位置是基于RAN的寻呼区域级别的。
MBMS
3GPP版本6(Release 6,R6)中引入了MBMS,MBMS是一种通过共享网络资源从一个数据源向多个UE传送数据的技术,该技术在提供多媒体业务的同时能有效地利用网络资源,实现较高速率(如256kbps)的多媒体业务的广播和组播。
由于3GPP R6中的MBMS频谱效率较低,不足以有效地承载和支撑手机电视类型业务的运营。因此在LTE中,3GPP明确提出增强对下行高速MBMS业务的支持能力,并确定了对物理层和空中接口的设计要求。
3GPP R9将演进的MBMS(evolved MBMS,eMBMS)引入到LTE中。eMBMS提出了单频率网络(Single Frequency Network,SFN)的概念,即多媒体广播多播服务单频率网络(Multimedia Broadcast Multicast Service Single Frequency Network,MBSFN),MBSFN采用统一频率在所有小区同时发送业务数据,但是要保证小区间的同步。这种方式可以极大的提高小区整体信噪比分布,频谱效率也会相应的大幅提高。eMBMS基于IP多播协议实现业务的广播和多播。
在LTE或增强的LTE(LTE-Advanced,LTE-A)中,MBMS只有广播承载模式,没有多播承载模式。此外,MBMS业务的接收适用于空闲态或者连接态的UE。
3GPP R13中引入了单小区点对多点(Single Cell Point To Multiploint,SC-PTM)概念,SC-PTM基于MBMS网络架构。
MBMS引入了新的逻辑信道,包括单小区多播控制信道(Single Cell-MulticastControl Channel,SC-MCCH)和单小区多播传输信道(Single Cell-Multicast TransportChannel,SC-MTCH)。SC-MCCH和SC-MTCH被映射到下行共享信道(Downlink-SharedChannel,DL-SCH)上,进一步,DL-SCH被映射到物理下行共享信道(Physical DownlinkShared Channel,PDSCH)上,其中,SC-MCCH和SC-MTCH属于逻辑信道,DL-SCH属于传输信道,PDSCH属于物理信道。SC-MCCH和SC-MTCH不支持混合自动重传请求(Hybrid AutomaticRepeat Request,HARQ)操作。
MBMS引入了新的系统信息块(System Information Block,SIB)类型,即SIB20。具体地,通过SIB20来传输SC-MCCH的配置信息,一个小区只有一个SC-MCCH。SC-MCCH的配置信息包括:SC-MCCH的修改周期、SC-MCCH的重复周期、以及调度SC-MCCH的无线帧和子帧等信息。进一步,1)SC-MCCH的修改周期的边界满足SFN mod m=0,其中,SFN代表边界的系统帧号,m是SIB20中配置的SC-MCCH的修改周期(即sc-mcch-ModificationPeriod)。2)调度SC-MCCH的无线帧满足:SFN mod mcch-RepetitionPeriod=mcch-Offset,其中,SFN代表无线帧的系统帧号,mcch-RepetitionPeriod代表SC-MCCH的重复周期,mcch-Offset代表SC-MCCH的偏移量。3)调度SC-MCCH的子帧通过sc-mcch-Subframe指示。
SC-MCCH通过物理下行控制信道(Physical Downlink Control Channel,PDCCH)调度。一方面,引入新的无线网络临时标识(Radio Network Tempory Identity,RNTI),即单小区RNTI(Single Cell RNTI,SC-RNTI)来识别用于调度SC-MCCH的PDCCH(如SC-MCCHPDCCH),例如,SC-RNTI固定取值为FFFC。另一方面,引入新的RNTI,即单小区通知RNTI(Single Cell Notification RNTI,SC-N-RNTI)来识别用于指示SC-MCCH的变更通知的PDCCH(如通知PDCCH),例如,SC-N-RNTI固定取值为FFFB;进一步,可以用DCI 1C的8个比特(bit)中的一个bit来指示变更通知。在LTE中,SC-PTM的配置信息基于SIB20配置的SC-MCCH,然后SC-MCCH配置SC-MTCH,SC-MTCH用于传输业务数据。
具体地,SC-MCCH只传输一个消息(即SCPTMConfiguration),该消息用于配置SC-PTM的配置信息。SC-PTM的配置信息包括:临时移动组标识(Temporary Mobile GroupIdentity,TMGI)、会话标识(seession id)、组RNTI(Group RNTI,G-RNTI)、非连续接收(Discontinuous Reception,DRX)配置信息以及邻区的SC-PTM业务信息等。需要说明的是,R13中的SC-PTM不支持健壮性包头压缩(Robust Header Compression,ROHC)功能。
SC-PTM的下行非连续的接收是通过以下参数控制的:onDurationTimerSCPTM、drx-InactivityTimerSCPTM、SC-MTCH-SchedulingCycle、以及SC-MTCH-SchedulingOffset。
当满足[(SFN*10)+subframe number]modulo(SC-MTCH-SchedulingCycle)=SC-MTCH-SchedulingOffset时,启动定时器onDurationTimerSCPTM;
当接收到下行PDCCH调度时,启动定时器drx-InactivityTimerSCPTM;
只有当定时器onDurationTimerSCPTM或drx-InactivityTimerSCPTM运行时才接收下行SC-PTM业务。
SC-PTM业务连续性采用基于SIB15的MBMS业务连续性概念,即“SIB15+MBMSInterestIndication”方式。空闲态的UE的业务连续性基于频率优先级的概念。
在NR中,很多场景需要支持组播和广播的业务需求,例如车联网中,工业互联网中等。所以在NR中引入MBMS是有必要的。在NR的MBMS网络中,不存在广播多播服务中心(BM-SC)节点的存在。而NR中对于MBMS业务的传输具有很高的安全性要求,为此,提出了本申请实施例的以下技术方案。本申请实施例中的MBMS业务包括但不局限于多播业务、组播业务。
本申请实施例的技术方案中,定义一个新的SIB(称为第一SIB),参照图2,第一SIB包括第一MCCH的配置信息,这里,第一MCCH为MBMS业务的控制信道,换句话说,第一SIB用于配置NR MBMS的控制信道的配置信息,例如,NR MBMS的控制信道也可以叫做NR MCCH(即所述第一MCCH)。
进一步,第一MCCH用于承载第一信令,本申请实施例对第一信令的名称不做限定,如第一信令为信令A,所述第一信令包括至少一个第一MTCH的配置信息,这里,第一MTCH为MBMS业务的业务信道(也称为数据信道或传输信道),第一MTCH用于传输MBMS业务数据(如NR MBMS的业务数据)。换句话说,第一MCCH用于配置NR MBMS的业务信道的配置信息,例如,NR MBMS的业务信道也可以叫做NR MTCH(即所述第一MTCH)。
具体地,所述第一信令用于配置NR MBMS的业务信道、该业务信道对应的业务信息以及该业务信道对应的调度信息。进一步,例如,所述业务信道对应的业务信息,例如TMGI、session id等标识业务的标识信息。所述业务信道对应的调度信息,例如业务信道对应的MBMS业务数据被调度时使用的RNTI,例如G-RNTI、DRX配置信息等。
需要说明的是,第一MCCH和第一MTCH的传输都是基于PDCCH调度的。其中,用于调度第一MCCH的PDCCH使用的RNTI使用全网唯一标识,即是一个固定值。用于调度第一MTCH的PDCCH使用的RNTI通过第一MCCH进行配置。
需要说明的是,本申请实施例对所述第一SIB、所述第一MCCH和所述第一MTCH的命名不做限制。为便于描述,所述第一SIB也可以简称为SIB,所述第一MCCH也可以简称为MCCH,所述第一MTCH也可以简称为MTCH,参照图3,通过SIB配置用于调度MCCH的PDCCH(即MCCH PDCCH)以及通知PDCCH,其中,通过MCCH PDCCH携带的DCI调度用于传输MCCH的PDSCH(即MCCH PDSCH)。进一步,通过MCCH配置M个用于调度MTCH的PDCCH(即MTCH 1PDCCH、MTCH2PDCCH…MTCH M PDCCH),其中,MTCH n PDCCH携带的DCI调度用于传输MTCH n的PDSCH(即MTCH n PDSCH),n为大于等于1且小于等于M的整数。参照图4,MCCH和MTCH被映射到DL-SCH上,进一步,DL-SCH被映射到PDSCH上,其中,MCCH和MTCH属于逻辑信道,DL-SCH属于传输信道,PDSCH属于物理信道。
图5为本申请实施例提供的业务安全传输方法的流程示意图,如图5所示,所述业务安全传输方法包括以下步骤:
步骤501:终端设备接收MBMS业务数据,其中,所述MBMS业务数据通过网络侧进行加密和/或完整性保护。
步骤502:所述终端设备对所述MBMS业务数据进行解密和/或完整性保护验证。
本申请实施例中,网络设备对MBMS业务数据进行加密和/或完整性保护,发送加密和/或完整性保护后的所述MBMS业务数据。相应地,终端设备接收MBMS业务数据。在一示例性实施方式中,所述网络设备为基站,例如gNB。
本申请实施例中,网络设备如何对MBMS业务数据进行加密和/或完整性保护,以及终端设备如何对MBMS业务数据进行解密和/或完整性保护验证,可以通过以下方式来实现。
方式一
对于网络设备来说,所述网络设备为基站,所述基站通过分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)层对MBMS业务数据进行加密和/或完整性保护。即:终端设备接收到的所述MBMS业务数据通过基站的PDCP层进行加密和/或完整性保护。
这里,所述基站侧的秘钥、加密算法和完整性保护算法中的至少之一,是通过接入和移动性管理功能(Access and Mobility Management Function,AMF)或者会话管理功能(Session Management Function,SMF)配置的。具体实现时,所述基站从AMF或者SMF获取以下至少之一:秘钥、加密算法、完整性保护算法。其中,所述秘钥、加密算法和完整性保护算法中的至少之一,用于所述基站对MBMS业务数据进行加密和/或完整性保护。
对于终端设备来说,所述终端设备通过PDCP层对所述MBMS业务数据进行解密和/或完整性保护验证。
参照图6,在MBMS业务传输的协议栈中引入PDCP层,该PDCP层既存在于终端设备侧也存在于基站侧。进一步,所述终端设备侧和所述基站侧对于SDAP层的部署,可以有如下实现方式:
A)所述终端设备侧MBMS业务接收的承载不具有SDAP层,且所述基站侧MBMS业务发送的承载不具有SDAP层。
对于所述终端设备与所述基站之间传输的MBMS业务数据,属于一个MBMS PDU会话的MBMS业务数据均映射到一个逻辑信道,所述一个逻辑信道对应一个组调度标识信息。这里,所述逻辑信道是指MBMS业务数据传输的逻辑信道。所述组调度标识信息例如是G-RNTI。
B)所述终端设备侧MBMS业务接收的承载不具有SDAP层,且所述基站侧MBMS业务发送的承载具有SDAP层。
对于所述终端设备与所述基站之间传输的MBMS业务数据,属于一个MBMS PDU会话的MBMS业务数据映射到一个或者多个逻辑信道,所述一个或者多个逻辑信道中的每个逻辑信道均对应一个组调度标识信息。
其中,所述基站侧的SDAP层用于将属于一个MBMS PDU会话的所有服务质量(Qos)流映射到一个或者多个承载上,所述一个或者多个承载中的每个承载对应一个逻辑信道。这里,所述逻辑信道是指MBMS业务数据传输的逻辑信道,其中,每个逻辑信道对应一个组调度标识信息(如G-RNTI)。所述承载是指MBMS承载。
进一步,例如,所述一个MBMS PDU会话的会话标识、所述一个MBMS PDU会话关联的承载的数目、所述一个MBMS PDU会话关联的逻辑信道的数目、以及所述每个逻辑信道对应的组调度标识信息中的至少之一,通过网络侧进行配置。
方式二
对于网络设备来说,所述网络设备为用户平面功能(UPF,User Plane Function);所述UPF利用安全信息对MBMS业务数据进行加密和/或完整性保护;所述UPF对所述安全信息以及加密和/或完整性保护后的所述MBMS业务数据进行封装,并发送封装后的数据包。即:终端设备接收到的所述MBMS业务数据通过UPF利用安全信息进行加密和/或完整性保护,其中,所述安全信息和所述MBMS业务数据携带在所述UPF发送的数据包中。
这里,所述UPF侧的秘钥、加密算法和完整性保护算法中的至少之一,是通过AMF或者SMF配置的。具体实现时,所述UPF从AMF或者SMF获取以下至少之一:秘钥、加密算法、完整性保护算法。其中,所述秘钥、加密算法和完整性保护算法中的至少之一,用于所述UPF对MBMS业务数据进行加密和/或完整性保护。
对于终端设备来说,所述终端设备接收数据包,所述数据包包括所述安全信息和所述MBMS业务数据;所述终端设备从接收到的数据包中获取所述安全信息,利用所述安全信息对所述MBMS业务数据进行解密和/或完整性保护验证。
例如,上述方案中的所述安全信息包括以下至少之一:秘钥标识、安全算法标识、计数(COUNTER)、随机数字、MBMS业务标识、MBMS业务的接收组的组标识。
参照图7,在UPF中引入新的协议层来完成MBMS业务传输的安全处理。该新引入的协议层负责针对MBMS业务数据封装一个安全信息,UPF基于所述安全信息对MBMS业务数据进行加密和/或完整性保护。需要说明的是,UPF通过GTP隧道发送数据包,即UPF发送的数据包未GTP包,例如,该GTP包的内容包括:GTP包头、安全信息以及IP数据包。其中,GTP包头可以携带QoS流标识(QFI)。IP数据包承载了利用所述安全信息进行加密和/或完整性保护的MBMS业务数据。基站接收到UFP发送的GTP包后,剥离GTP包头,并发送安全信息和IP数据包。终端设备接收到安全信息和IP数据包后,利用所述安全信息对所述IP数据包进行解密和/或完整性保护验证。
在一示例性实施方式中,终端设备侧的MBMS业务接收的协议栈可以存在PDCP层,也可以不存在PDCP层。基站侧的MBMS业务发送的协议栈可以存在PDCP层,也可以不存在PDCP层。进一步,所述终端设备侧和所述基站侧对于SDAP层的部署,可以有如下实现方式:
A)所述终端设备侧MBMS业务接收的承载不具有SDAP层,且所述基站侧MBMS业务发送的承载不具有SDAP层。
对于所述终端设备与所述基站之间传输的MBMS业务数据,属于一个MBMS PDU会话的MBMS业务数据均映射到一个逻辑信道,所述一个逻辑信道对应一个组调度标识信息。这里,所述逻辑信道是指MBMS业务数据传输的逻辑信道。所述组调度标识信息例如是G-RNTI。
B)所述终端设备侧MBMS业务接收的承载不具有SDAP层,且所述基站侧MBMS业务发送的承载具有SDAP层。
对于所述终端设备与所述基站之间传输的MBMS业务数据,属于一个MBMS PDU会话的MBMS业务数据映射到一个或者多个逻辑信道,所述一个或者多个逻辑信道中的每个逻辑信道均对应一个组调度标识信息。
其中,所述基站侧的SDAP层用于将属于一个MBMS PDU会话的所有服务质量(Qos)流映射到一个或者多个承载上,所述一个或者多个承载中的每个承载对应一个逻辑信道。这里,所述逻辑信道是指MBMS业务数据传输的逻辑信道,其中,每个逻辑信道对应一个组调度标识信息(如G-RNTI)。所述承载是指MBMS承载。
进一步,例如,所述一个MBMS PDU会话的会话标识、所述一个MBMS PDU会话关联的承载的数目、所述一个MBMS PDU会话关联的逻辑信道的数目、以及所述每个逻辑信道对应的组调度标识信息中的至少之一,通过网络侧进行配置。
本申请实施例中,对于上述方式一或方式二来说,终端设备可以通过以下方式获取秘钥、加密算法和完整性保护算法中的至少之一。其中,所述秘钥、加密算法和完整性保护算法中的至少之一,用于所述终端设备对接收到的MBMS业务数据进行解密和/或完整性保护验证。
所述终端设备接收第一配置信息,所述第一配置信息用于确定以下至少之一:秘钥、加密算法、完整性保护算法。
I)在一实施方式中,所述第一配置信息携带在RRC信令中,所述RRC信令经过接入(AS)层进行加密和/或完整性保护。
具体地,网络侧在配置某个MBMS业务的同时,配置一个指示信息,该指示信息用于指示该MBMS业务进行了加密和/或完整性保护,终端设备需要进入连接态后通过RRC信令获取秘钥、加密算法和完整性保护算法中的至少之一。其中,该RRC信令经过AS层以per UE(即以UE为粒度)的方式进行加密和/或完整性保护。
II)在另一实施方式中,所述第一配置信息携带在非接入(NAS)信令中,所述NAS信令经过NAS层进行加密和/或完整性保护。
具体地,网络侧通过NAS消息配置某个MBMS业务的秘钥、加密算法和完整性保护算法中的至少之一。其中,该NAS信令经过NAS层以per UE的方式进行加密和/完整性保护。
III)在又一实施方式中,所述终端设备在向网络注册或鉴权MBMS业务的情况下,接收所述第一配置信息;其中,所述第一配置信息通过所述网络侧的应用层进行配置。
具体地,终端设备在注册和/或鉴权某个MBMS业务时,网络侧通过应用层配置该MBMS业务的秘钥、加密算法和完整性保护算法中的至少之一。
需要说明的是,终端设备通过上述方式获得的秘钥和/或加密算法和/或完整性保护算法,是具有安全保障的。
进一步,例如,所述第一配置信息携带第一指示信息和/或第二指示信息,所述第一指示信息用于指示所述第一配置信息的有效区域范围,所述第二指示信息用于指示第一配置信息的有效时间范围。
在一实施方式中,若所述终端设备位于所述第一指示信息所指示的有效区域范围以外,则所述终端设备确定所述第一配置信息无效;或者,若所述终端设备位于所述第一指示信息所指示的有效区域范围以内,则所述终端设备确定所述第一配置信息有效。例如,上述方案中的所述第一指示信息用于指示以下至少之一:小区列表、TA列表、RAN code列表、MBMS区域列表。
在一实施方式中,所述有效时间范围通过第一定时器确定;所述终端设备接收到所述第一配置信息后,启动所述第一定时器;若所述第一定时器超时,则所述终端设备确定所述第一配置信息无效;或者,若所述第一定时器未超时,则所述终端设备确定所述第一配置信息有效。
进一步,若所述终端设备确定所述第一配置信息无效,则所述终端设备重新获取所述第一配置信息。
例如:终端设备离开所述第一指示信息所指示的有效区域范围时,需要重新通过上述任意一种方式获取所述第一配置信息(即获取秘钥、加密算法和完整性保护算法中的至少之一)。如果终端设备在所述第一指示信息所指示的有效区域范围内移动,则终端设备继续使用所述第一配置信息(即继续使用最近获取的秘钥、加密算法和完整性保护算法中的至少之一)。
本申请实施例中涉及到的秘钥可以有如下两种实现方式:
1)所述秘钥包括以下至少之一:根秘钥、加密秘钥、完整性保护秘钥。或者,
2)所述秘钥包括根秘钥,所述根秘钥用于生成以下至少之一:加密秘钥、完整性保护秘钥。
进一步,所述根秘钥和以下至少一种参数用于生成所述加密秘钥和/或所述完整性保护秘钥:
MBMS业务的会话标识;
MBMS业务的TMGI;
MBMS业务的G-RNTI;
MBMS业务的秘钥标识;
计数(COUNTER);
MBMS业务的接收组的组标识;
MBMS业务的安全算法标识。
进一步,例如,所述根秘钥可以经过一次或者多次衍生生成以下至少之一:加密秘钥、完整性保护秘钥。
例如:根秘钥为K1,经过一次衍生得到的秘钥为k2=f1(k1),其中,f1为第一次衍生算法。经过两次衍生得到的秘钥为k3=f2(k2),其中,f2为第二次衍生算法,以此类推可以进行衍生多次。需要说明的是,衍生算法的输入不局限于根秘钥和/或上一次衍生的结果,还可以包括以上至少一种参数。
图8为本申请实施例提供的业务安全传输装置的结构组成示意图一,应用于终端设备,如图8所示,所述业务安全传输装置包括:
接收单元801,用于接收MBMS业务数据,其中,所述MBMS业务数据通过网络侧进行加密和/或完整性保护;
处理单元802,用于对所述MBMS业务数据进行解密和/或完整性保护验证。
在一示例性实施方式中,所述MBMS业务数据通过网络侧进行加密和/或完整性保护,包括:
所述MBMS业务数据通过基站的PDCP层进行加密和/或完整性保护。
在一示例性实施方式中,所述基站侧的秘钥、加密算法和完整性保护算法中的至少之一,是通过AMF或者SMF配置的。
在一示例性实施方式中,所述处理单元802,用于通过PDCP层对所述MBMS业务数据进行解密和/或完整性保护验证。
在一示例性实施方式中,所述MBMS业务数据通过网络侧进行加密和/或完整性保护,包括:
所述MBMS业务数据通过UPF利用安全信息进行加密和/或完整性保护,其中,所述安全信息和所述MBMS业务数据携带在所述UPF发送的数据包中。
在一示例性实施方式中,所述UPF侧的秘钥、加密算法和完整性保护算法中的至少之一,是通过AMF或者SMF配置的。
在一示例性实施方式中,所述接收单元801,用于接收数据包,所述数据包包括所述安全信息和所述MBMS业务数据;
所述处理单元802,用于从接收到的数据包中获取所述安全信息,利用所述安全信息对所述MBMS业务数据进行解密和/或完整性保护验证。
在一示例性实施方式中,所述安全信息包括以下至少之一:
秘钥标识、安全算法标识、计数COUNTER、随机数字、MBMS业务标识、MBMS业务的接收组的组标识。
在一示例性实施方式中,所述终端设备侧MBMS业务接收的承载不具有SDAP层,且所述基站侧MBMS业务发送的承载不具有SDAP层。
在一示例性实施方式中,对于所述终端设备与所述基站之间传输的MBMS业务数据,属于一个MBMS PDU会话的MBMS业务数据均映射到一个逻辑信道,所述一个逻辑信道对应一个组调度标识信息。
在一示例性实施方式中,所述终端设备侧MBMS业务接收的承载不具有SDAP层,且所述基站侧MBMS业务发送的承载具有SDAP层。
在一示例性实施方式中,对于所述终端设备与所述基站之间传输的MBMS业务数据,属于一个MBMS PDU会话的MBMS业务数据映射到一个或者多个逻辑信道,所述一个或者多个逻辑信道中的每个逻辑信道均对应一个组调度标识信息。
在一示例性实施方式中,所述基站侧的SDAP层用于将属于一个MBMS PDU会话的所有Qos流映射到一个或者多个承载上,所述一个或者多个承载中的每个承载对应一个逻辑信道。
在一示例性实施方式中,所述一个MBMS PDU会话的会话标识、所述一个MBMS PDU会话关联的承载的数目、所述一个MBMS PDU会话关联的逻辑信道的数目、以及所述每个逻辑信道对应的组调度标识信息中的至少之一,通过网络侧进行配置。
在一示例性实施方式中,所述接收单元801,还用于接收第一配置信息,所述第一配置信息用于确定以下至少之一:秘钥、加密算法、完整性保护算法。
在一示例性实施方式中,所述第一配置信息携带在RRC信令中,所述RRC信令经过AS层进行加密和/或完整性保护。
在一示例性实施方式中,所述第一配置信息携带在NAS信令中,所述NAS信令经过NAS层进行加密和/或完整性保护。
在一示例性实施方式中,所述终端设备在向网络注册或鉴权MBMS业务的情况下,所述接收单元接收所述第一配置信息;其中,所述第一配置信息通过所述网络侧的应用层进行配置。
在一示例性实施方式中,所述第一配置信息携带第一指示信息和/或第二指示信息,所述第一指示信息用于指示所述第一配置信息的有效区域范围,所述第二指示信息用于指示第一配置信息的有效时间范围。
在一示例性实施方式中,所述处理单元802,还用于若所述终端设备位于所述第一指示信息所指示的有效区域范围以外,则确定所述第一配置信息无效;或者,若所述终端设备位于所述第一指示信息所指示的有效区域范围以内,则确定所述第一配置信息有效。
在一示例性实施方式中,所述有效时间范围通过第一定时器确定;
所述处理单元802,还用于在接收到所述第一配置信息后,启动所述第一定时器;若所述第一定时器超时,则确定所述第一配置信息无效;或者,若所述第一定时器未超时,则确定所述第一配置信息有效。
在一示例性实施方式中,所述接收单元801,还用于若确定所述第一配置信息无效,则重新获取所述第一配置信息。
在一示例性实施方式中,所述第一指示信息用于指示以下至少之一:
小区列表、TA列表、RAN code列表、MBMS区域列表。
在一示例性实施方式中,所述秘钥包括以下至少之一:根秘钥、加密秘钥、完整性保护秘钥。
在一示例性实施方式中,所述秘钥包括根秘钥,所述根秘钥用于生成以下至少之一:加密秘钥、完整性保护秘钥。
在一示例性实施方式中,所述根秘钥和以下至少一种参数用于生成所述加密秘钥和/或所述完整性保护秘钥:
MBMS业务的会话标识;
MBMS业务的TMGI;
MBMS业务的G-RNTI;
MBMS业务的秘钥标识;
计数COUNTER;
MBMS业务的接收组的组标识;
MBMS业务的安全算法标识。
在一示例性实施方式中,所述根秘钥可以经过一次或者多次衍生生成以下至少之一:加密秘钥、完整性保护秘钥。
本领域技术人员应当理解,本申请实施例的上述业务安全传输装置的相关描述可以参照本申请实施例的业务安全传输方法的相关描述进行理解。
图9为本申请实施例提供的业务安全传输装置的结构组成示意图二,应用于网络设备,如图9所示,所述业务安全传输装置包括:
处理单元901,用于对MBMS业务数据进行加密和/或完整性保护;
发送单元902,用于发送加密和/或完整性保护后的所述MBMS业务数据。
在一示例性实施方式中,所述网络设备为基站;
所述处理单元901,用于通过PDCP层对MBMS业务数据进行加密和/或完整性保护。
在一示例性实施方式中,所述装置还包括:
获取单元903,用于从AMF或者SMF获取以下至少之一:秘钥、加密算法、完整性保护算法。
在一示例性实施方式中,所述网络设备为UPF;
所述处理单元901,用于利用安全信息对MBMS业务数据进行加密和/或完整性保护;对所述安全信息以及加密和/或完整性保护后的所述MBMS业务数据进行封装;
所述发送单元902,用于发送封装后的数据包。
在一示例性实施方式中,所述装置还包括:
获取单元903,用于从AMF或者SMF获取以下至少之一:秘钥、加密算法、完整性保护算法。
在一示例性实施方式中,所述安全信息包括以下至少之一:
秘钥标识、安全算法标识、计数COUNTER、随机数字、MBMS业务标识、MBMS业务的接收组的组标识。
在一示例性实施方式中,所述秘钥包括以下至少之一:根秘钥、加密秘钥、完整性保护秘钥。
在一示例性实施方式中,所述秘钥包括根秘钥,所述根秘钥用于生成以下至少之一:加密秘钥、完整性保护秘钥。
在一示例性实施方式中,所述根秘钥和以下至少一种参数用于生成所述加密秘钥和/或所述完整性保护秘钥:
MBMS业务的会话标识;
MBMS业务的TMGI;
MBMS业务的G-RNTI;
MBMS业务的秘钥标识;
计数COUNTER;
MBMS业务的接收组的组标识;
MBMS业务的安全算法标识。
在一示例性实施方式中,所述根秘钥可以经过一次或者多次衍生生成以下至少之一:加密秘钥、完整性保护秘钥。
本领域技术人员应当理解,本申请实施例的上述业务安全传输装置的相关描述可以参照本申请实施例的业务安全传输方法的相关描述进行理解。
图10是本申请实施例提供的一种通信设备1000示意性结构图。该通信设备可以是终端设备,也可以是网络设备,图10所示的通信设备1000包括处理器1010,处理器1010可以从存储器中调用并运行计算机程序,以实现本申请实施例中的方法。
例如,如图10所示,通信设备1000还可以包括存储器1020。其中,处理器1010可以从存储器1020中调用并运行计算机程序,以实现本申请实施例中的方法。
其中,存储器1020可以是独立于处理器1010的一个单独的器件,也可以集成在处理器1010中。
例如,如图10所示,通信设备1000还可以包括收发器1030,处理器1010可以控制该收发器1030与其他设备进行通信,具体地,可以向其他设备发送信息或数据,或接收其他设备发送的信息或数据。
其中,收发器1030可以包括发射机和接收机。收发器1030还可以进一步包括天线,天线的数量可以为一个或多个。
例如,该通信设备1000具体可为本申请实施例的网络设备,并且该通信设备1000可以实现本申请实施例的各个方法中由网络设备实现的相应流程,为了简洁,在此不再赘述。
例如,该通信设备1000具体可为本申请实施例的移动终端/终端设备,并且该通信设备1000可以实现本申请实施例的各个方法中由移动终端/终端设备实现的相应流程,为了简洁,在此不再赘述。
图11是本申请实施例的芯片的示意性结构图。图11所示的芯片1100包括处理器1110,处理器1110可以从存储器中调用并运行计算机程序,以实现本申请实施例中的方法。
例如,如图11所示,芯片1100还可以包括存储器1120。其中,处理器1110可以从存储器1120中调用并运行计算机程序,以实现本申请实施例中的方法。
其中,存储器1120可以是独立于处理器1110的一个单独的器件,也可以集成在处理器1110中。
例如,该芯片1100还可以包括输入接口1130。其中,处理器1110可以控制该输入接口1130与其他设备或芯片进行通信,具体地,可以获取其他设备或芯片发送的信息或数据。
例如,该芯片1100还可以包括输出接口1140。其中,处理器1110可以控制该输出接口1140与其他设备或芯片进行通信,具体地,可以向其他设备或芯片输出信息或数据。
例如,该芯片可应用于本申请实施例中的网络设备,并且该芯片可以实现本申请实施例的各个方法中由网络设备实现的相应流程,为了简洁,在此不再赘述。
例如,该芯片可应用于本申请实施例中的移动终端/终端设备,并且该芯片可以实现本申请实施例的各个方法中由移动终端/终端设备实现的相应流程,为了简洁,在此不再赘述。
应理解,本申请实施例提到的芯片还可以称为系统级芯片,系统芯片,芯片系统或片上系统芯片等。
图12是本申请实施例提供的一种通信系统1200的示意性框图。如图12所示,该通信系统1200包括终端设备1210和网络设备1220。
其中,该终端设备1210可以用于实现上述方法中由终端设备实现的相应的功能,以及该网络设备1220可以用于实现上述方法中由网络设备实现的相应的功能为了简洁,在此不再赘述。
应理解,本申请实施例的处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
应理解,上述存储器为示例性但不是限制性说明,例如,本申请实施例中的存储器还可以是静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synch link DRAM,SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)等等。也就是说,本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本申请实施例还提供了一种计算机可读存储介质,用于存储计算机程序。
例如,该计算机可读存储介质可应用于本申请实施例中的网络设备,并且该计算机程序使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程,为了简洁,在此不再赘述。
例如,该计算机可读存储介质可应用于本申请实施例中的移动终端/终端设备,并且该计算机程序使得计算机执行本申请实施例的各个方法中由移动终端/终端设备实现的相应流程,为了简洁,在此不再赘述。
本申请实施例还提供了一种计算机程序产品,包括计算机程序指令。
例如,该计算机程序产品可应用于本申请实施例中的网络设备,并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程,为了简洁,在此不再赘述。
例如,该计算机程序产品可应用于本申请实施例中的移动终端/终端设备,并且该计算机程序指令使得计算机执行本申请实施例的各个方法中由移动终端/终端设备实现的相应流程,为了简洁,在此不再赘述。
本申请实施例还提供了一种计算机程序。
例如,该计算机程序可应用于本申请实施例中的网络设备,当该计算机程序在计算机上运行时,使得计算机执行本申请实施例的各个方法中由网络设备实现的相应流程,为了简洁,在此不再赘述。
例如,该计算机程序可应用于本申请实施例中的移动终端/终端设备,当该计算机程序在计算机上运行时,使得计算机执行本申请实施例的各个方法中由移动终端/终端设备实现的相应流程,为了简洁,在此不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。

Claims (64)

1.一种业务安全传输方法,所述方法包括:
终端设备接收MBMS业务数据,其中,所述MBMS业务数据通过网络侧进行加密和/或完整性保护;
所述终端设备对所述MBMS业务数据进行解密和/或完整性保护验证;其中,
所述MBMS业务数据通过网络侧进行加密和/或完整性保护,包括:
所述MBMS业务数据通过UPF利用安全信息进行加密和/或完整性保护,其中,所述安全信息和所述MBMS业务数据携带在所述UPF发送的数据包中;
所述终端设备接收MBMS业务数据,包括:
所述终端设备接收所述UPF经由基站向所述终端设备发送的数据包,所述数据包包括所述安全信息和所述MBMS业务数据,所述基站的MBMS业务发送的协议栈不包括分组数据汇聚协议PDCP层;
所述终端设备对所述MBMS业务数据进行解密和/或完整性保护验证,包括:
所述终端设备从接收到的数据包中获取所述安全信息,利用所述安全信息对所述MBMS业务数据进行解密和/或完整性保护验证,其中,所述终端设备的MBMS业务接收的协议栈不包括所述PDCP层。
2.根据权利要求1所述的方法,其中,所述UPF侧的秘钥、加密算法和完整性保护算法中的至少之一,是通过AMF或者SMF配置的。
3.根据权利要求1所述的方法,其中,所述安全信息包括以下至少之一:
秘钥标识、安全算法标识、计数COUNTER、随机数字、MBMS业务标识、MBMS业务的接收组的组标识。
4.根据权利要求1至3中任一项所述的方法,其中,所述终端设备侧MBMS业务接收的承载不具有SDAP层,且所述基站侧MBMS业务发送的承载不具有SDAP层。
5.根据权利要求4所述的方法,其中,对于所述终端设备与所述基站之间传输的MBMS业务数据,属于一个MBMS PDU会话的MBMS业务数据均映射到一个逻辑信道,所述一个逻辑信道对应一个组调度标识信息。
6.根据权利要求1至3中任一项所述的方法,其中,所述终端设备侧MBMS业务接收的承载不具有SDAP层,且所述基站侧MBMS业务发送的承载具有SDAP层。
7.根据权利要求6所述的方法,其中,对于所述终端设备与所述基站之间传输的MBMS业务数据,属于一个MBMS PDU会话的MBMS业务数据映射到一个或者多个逻辑信道,所述一个或者多个逻辑信道中的每个逻辑信道均对应一个组调度标识信息。
8.根据权利要求7所述的方法,其中,所述基站侧的SDAP层用于将属于一个MBMS PDU会话的所有Qos流映射到一个或者多个承载上,所述一个或者多个承载中的每个承载对应一个逻辑信道。
9.根据权利要求7或8所述的方法,其中,所述一个MBMS PDU会话的会话标识、所述一个MBMS PDU会话关联的承载的数目、所述一个MBMS PDU会话关联的逻辑信道的数目、以及所述每个逻辑信道对应的组调度标识信息中的至少之一,通过网络侧进行配置。
10.根据权利要求1所述的方法,其中,所述方法还包括:
所述终端设备接收第一配置信息,所述第一配置信息用于确定以下至少之一:秘钥、加密算法、完整性保护算法。
11.根据权利要求10所述的方法,其中,所述第一配置信息携带在RRC信令中,所述RRC信令经过AS层进行加密和/或完整性保护。
12.根据权利要求10所述的方法,其中,所述第一配置信息携带在NAS信令中,所述NAS信令经过NAS层进行加密和/或完整性保护。
13.根据权利要求10所述的方法,其中,所述终端设备接收第一配置信息,包括:
所述终端设备在向网络注册或鉴权MBMS业务的情况下,接收所述第一配置信息;其中,所述第一配置信息通过所述网络侧的应用层进行配置。
14.根据权利要求10所述的方法,其中,所述第一配置信息携带第一指示信息和/或第二指示信息,所述第一指示信息用于指示所述第一配置信息的有效区域范围,所述第二指示信息用于指示第一配置信息的有效时间范围。
15.根据权利要求14所述的方法,其中,所述方法还包括:
若所述终端设备位于所述第一指示信息所指示的有效区域范围以外,则所述终端设备确定所述第一配置信息无效;或者,
若所述终端设备位于所述第一指示信息所指示的有效区域范围以内,则所述终端设备确定所述第一配置信息有效。
16.根据权利要求14所述的方法,其中,所述有效时间范围通过第一定时器确定;所述方法还包括:
所述终端设备接收到所述第一配置信息后,启动所述第一定时器;
若所述第一定时器超时,则所述终端设备确定所述第一配置信息无效;或者,
若所述第一定时器未超时,则所述终端设备确定所述第一配置信息有效。
17.根据权利要求15所述的方法,其中,所述方法还包括:
若所述终端设备确定所述第一配置信息无效,则所述终端设备重新获取所述第一配置信息。
18.根据权利要求14所述的方法,其中,所述第一指示信息用于指示以下至少之一:
小区列表、TA列表、RAN code列表、MBMS区域列表。
19.根据权利要求2、10至18中任一项所述的方法,其中,所述秘钥包括以下至少之一:根秘钥、加密秘钥、完整性保护秘钥。
20.根据权利要求2、10至18中任一项所述的方法,其中,所述秘钥包括根秘钥,所述根秘钥用于生成以下至少之一:加密秘钥、完整性保护秘钥。
21.根据权利要求20所述的方法,其中,所述根秘钥和以下至少一种参数用于生成所述加密秘钥和/或所述完整性保护秘钥:
MBMS业务的会话标识;
MBMS业务的TMGI;
MBMS业务的G-RNTI;
MBMS业务的秘钥标识;
计数COUNTER;
MBMS业务的接收组的组标识;
MBMS业务的安全算法标识。
22.根据权利要求20所述的方法,其中,所述根秘钥经过一次或者多次衍生生成以下至少之一:加密秘钥、完整性保护秘钥。
23.一种业务安全传输方法,所述方法包括:
网络设备对MBMS业务数据进行加密和/或完整性保护,发送加密和/或完整性保护后的所述MBMS业务数据;
其中,所述网络设备为UPF,所述网络设备对MBMS业务数据进行加密和/或完整性保护,包括:
所述UPF利用安全信息对MBMS业务数据进行加密和/或完整性保护;
所述UPF对所述安全信息以及加密和/或完整性保护后的所述MBMS业务数据进行封装,并经由基站向终端设备发送封装后的数据包,其中,所述基站的MBMS业务发送的协议栈不包括分组数据汇聚协议PDCP层,所述终端设备的MBMS业务接收的协议栈不包括所述PDCP层。
24.根据权利要求23所述的方法,其中,所述方法还包括:
所述UPF从AMF或者SMF获取以下至少之一:秘钥、加密算法、完整性保护算法。
25.根据权利要求23或24所述的方法,其中,所述安全信息包括以下至少之一:
秘钥标识、安全算法标识、计数COUNTER、随机数字、MBMS业务标识、MBMS业务的接收组的组标识。
26.根据权利要求24所述的方法,其中,所述秘钥包括以下至少之一:根秘钥、加密秘钥、完整性保护秘钥。
27.根据权利要求24所述的方法,其中,所述秘钥包括根秘钥,所述根秘钥用于生成以下至少之一:加密秘钥、完整性保护秘钥。
28.根据权利要求27所述的方法,其中,所述根秘钥和以下至少一种参数用于生成所述加密秘钥和/或所述完整性保护秘钥:
MBMS业务的会话标识;
MBMS业务的TMGI;
MBMS业务的G-RNTI;
MBMS业务的秘钥标识;
计数COUNTER;
MBMS业务的接收组的组标识;
MBMS业务的安全算法标识。
29.根据权利要求27或28所述的方法,其中,所述根秘钥经过一次或者多次衍生生成以下至少之一:加密秘钥、完整性保护秘钥。
30.一种业务安全传输装置,应用于终端设备,所述装置包括:
接收单元,用于接收MBMS业务数据,其中,所述MBMS业务数据通过网络侧进行加密和/或完整性保护;
处理单元,用于对所述MBMS业务数据进行解密和/或完整性保护验证;其中,
所述MBMS业务数据通过网络侧进行加密和/或完整性保护,包括:
所述MBMS业务数据通过UPF利用安全信息进行加密和/或完整性保护,其中,所述安全信息和所述MBMS业务数据携带在所述UPF发送的数据包中;
所述接收单元,用于接收所述UPF经由基站向所述终端设备发送的数据包,所述数据包包括所述安全信息和所述MBMS业务数据,所述基站的MBMS业务发送的协议栈不包括分组数据汇聚协议PDCP层;
所述处理单元,用于从接收到的数据包中获取所述安全信息,利用所述安全信息对所述MBMS业务数据进行解密和/或完整性保护验证,其中,所述终端设备的MBMS业务接收的协议栈不包括所述PDCP层。
31.根据权利要求30所述的装置,其中,所述UPF侧的秘钥、加密算法和完整性保护算法中的至少之一,是通过AMF或者SMF配置的。
32.根据权利要求30所述的装置,其中,所述安全信息包括以下至少之一:
秘钥标识、安全算法标识、计数COUNTER、随机数字、MBMS业务标识、MBMS业务的接收组的组标识。
33.根据权利要求30至32中任一项所述的装置,其中,所述终端设备侧MBMS业务接收的承载不具有SDAP层,且所述基站侧MBMS业务发送的承载不具有SDAP层。
34.根据权利要求33所述的装置,其中,对于所述终端设备与所述基站之间传输的MBMS业务数据,属于一个MBMS PDU会话的MBMS业务数据均映射到一个逻辑信道,所述一个逻辑信道对应一个组调度标识信息。
35.根据权利要求30至32中任一项所述的装置,其中,所述终端设备侧MBMS业务接收的承载不具有SDAP层,且所述基站侧MBMS业务发送的承载具有SDAP层。
36.根据权利要求35所述的装置,其中,对于所述终端设备与所述基站之间传输的MBMS业务数据,属于一个MBMS PDU会话的MBMS业务数据映射到一个或者多个逻辑信道,所述一个或者多个逻辑信道中的每个逻辑信道均对应一个组调度标识信息。
37.根据权利要求36所述的装置,其中,所述基站侧的SDAP层用于将属于一个MBMS PDU会话的所有Qos流映射到一个或者多个承载上,所述一个或者多个承载中的每个承载对应一个逻辑信道。
38.根据权利要求36或37所述的装置,其中,所述一个MBMS PDU会话的会话标识、所述一个MBMS PDU会话关联的承载的数目、所述一个MBMS PDU会话关联的逻辑信道的数目、以及所述每个逻辑信道对应的组调度标识信息中的至少之一,通过网络侧进行配置。
39.根据权利要求30所述的装置,其中,所述接收单元,还用于接收第一配置信息,所述第一配置信息用于确定以下至少之一:秘钥、加密算法、完整性保护算法。
40.根据权利要求39所述的装置,其中,所述第一配置信息携带在RRC信令中,所述RRC信令经过AS层进行加密和/或完整性保护。
41.根据权利要求39所述的装置,其中,所述第一配置信息携带在NAS信令中,所述NAS信令经过NAS层进行加密和/或完整性保护。
42.根据权利要求39所述的装置,其中,所述终端设备在向网络注册或鉴权MBMS业务的情况下,所述接收单元接收所述第一配置信息;其中,所述第一配置信息通过所述网络侧的应用层进行配置。
43.根据权利要求39所述的装置,其中,所述第一配置信息携带第一指示信息和/或第二指示信息,所述第一指示信息用于指示所述第一配置信息的有效区域范围,所述第二指示信息用于指示第一配置信息的有效时间范围。
44.根据权利要求43所述的装置,其中,所述处理单元,还用于若所述终端设备位于所述第一指示信息所指示的有效区域范围以外,则确定所述第一配置信息无效;或者,若所述终端设备位于所述第一指示信息所指示的有效区域范围以内,则确定所述第一配置信息有效。
45.根据权利要求43所述的装置,其中,所述有效时间范围通过第一定时器确定;
所述处理单元,还用于在接收到所述第一配置信息后,启动所述第一定时器;若所述第一定时器超时,则确定所述第一配置信息无效;或者,若所述第一定时器未超时,则确定所述第一配置信息有效。
46.根据权利要求44所述的装置,其中,所述接收单元,还用于若确定所述第一配置信息无效,则重新获取所述第一配置信息。
47.根据权利要求43所述的装置,其中,所述第一指示信息用于指示以下至少之一:
小区列表、TA列表、RAN code列表、MBMS区域列表。
48.根据权利要求31、39-47中任一项所述的装置,其中,所述秘钥包括以下至少之一:根秘钥、加密秘钥、完整性保护秘钥。
49.根据权利要求31、39-47中任一项所述的装置,其中,所述秘钥包括根秘钥,所述根秘钥用于生成以下至少之一:加密秘钥、完整性保护秘钥。
50.根据权利要求49所述的装置,其中,所述根秘钥和以下至少一种参数用于生成所述加密秘钥和/或所述完整性保护秘钥:
MBMS业务的会话标识;
MBMS业务的TMGI;
MBMS业务的G-RNTI;
MBMS业务的秘钥标识;
计数COUNTER;
MBMS业务的接收组的组标识;
MBMS业务的安全算法标识。
51.根据权利要求49所述的装置,其中,所述根秘钥经过一次或者多次衍生生成以下至少之一:加密秘钥、完整性保护秘钥。
52.一种业务安全传输装置,应用于网络设备,所述装置包括:
处理单元,用于对MBMS业务数据进行加密和/或完整性保护;
发送单元,用于发送加密和/或完整性保护后的所述MBMS业务数据;
其中,所述网络设备为UPF,所述处理单元,用于利用安全信息对MBMS业务数据进行加密和/或完整性保护;对所述安全信息以及加密和/或完整性保护后的所述MBMS业务数据进行封装;
所述发送单元,用于经由基站向终端设备发送封装后的数据包,其中,所述基站的MBMS业务发送的协议栈不包括分组数据汇聚协议PDCP层,所述终端设备的MBMS业务接收的协议栈不包括所述PDCP层。
53.根据权利要求52所述的装置,其中,所述装置还包括:
获取单元,用于从AMF或者SMF获取以下至少之一:秘钥、加密算法、完整性保护算法。
54.根据权利要求52或53所述的装置,其中,所述安全信息包括以下至少之一:
秘钥标识、安全算法标识、计数COUNTER、随机数字、MBMS业务标识、MBMS业务的接收组的组标识。
55.根据权利要求53所述的装置,其中,所述秘钥包括以下至少之一:根秘钥、加密秘钥、完整性保护秘钥。
56.根据权利要求53所述的装置,其中,所述秘钥包括根秘钥,所述根秘钥用于生成以下至少之一:加密秘钥、完整性保护秘钥。
57.根据权利要求56所述的装置,其中,所述根秘钥和以下至少一种参数用于生成所述加密秘钥和/或所述完整性保护秘钥:
MBMS业务的会话标识;
MBMS业务的TMGI;
MBMS业务的G-RNTI;
MBMS业务的秘钥标识;
计数COUNTER;
MBMS业务的接收组的组标识;
MBMS业务的安全算法标识。
58.根据权利要求56或57所述的装置,其中,所述根秘钥经过一次或者多次衍生生成以下至少之一:加密秘钥、完整性保护秘钥。
59.一种终端设备,包括:处理器和存储器,该存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,执行如权利要求1至22中任一项所述的方法。
60.一种网络设备,包括:处理器和存储器,该存储器用于存储计算机程序,所述处理器用于调用并运行所述存储器中存储的计算机程序,执行如权利要求23至29中任一项所述的方法。
61.一种芯片,包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有所述芯片的设备执行如权利要求1至22中任一项所述的方法。
62.一种芯片,包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有所述芯片的设备执行如权利要求23至29中任一项所述的方法。
63.一种计算机可读存储介质,用于存储计算机程序,所述计算机程序使得计算机执行如权利要求1至22中任一项所述的方法。
64.一种计算机可读存储介质,用于存储计算机程序,所述计算机程序使得计算机执行如权利要求23至29中任一项所述的方法。
CN202080075261.3A 2020-01-07 2020-01-07 一种业务安全传输方法及装置、终端设备、网络设备 Active CN114600507B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/070670 WO2021138801A1 (zh) 2020-01-07 2020-01-07 一种业务安全传输方法及装置、终端设备、网络设备

Publications (2)

Publication Number Publication Date
CN114600507A CN114600507A (zh) 2022-06-07
CN114600507B true CN114600507B (zh) 2023-08-29

Family

ID=76788533

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080075261.3A Active CN114600507B (zh) 2020-01-07 2020-01-07 一种业务安全传输方法及装置、终端设备、网络设备

Country Status (2)

Country Link
CN (1) CN114600507B (zh)
WO (1) WO2021138801A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115623483B (zh) * 2022-12-16 2023-04-18 深圳中宝新材科技有限公司 键合丝设备的工作信息的完整性保护方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101513011A (zh) * 2006-09-11 2009-08-19 西门子公司 用于向移动终端设备连续传输广播服务的加密数据的方法和系统
CN101729377A (zh) * 2008-10-30 2010-06-09 华为技术有限公司 超帧号的通知方法、装置和系统
WO2018227497A1 (zh) * 2017-06-15 2018-12-20 Oppo广东移动通信有限公司 数据处理方法及相关产品

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100871263B1 (ko) * 2004-01-20 2008-11-28 삼성전자주식회사 멀티미디어 방송캐스트/멀티캐스트 서비스를 지원하는 이동통신시스템에서 암호화에 따른 멀티미디어 방송캐스트/멀티캐스트 서비스 데이터 패킷 송/수신 방법
CN101136814B (zh) * 2006-08-28 2010-12-08 西门子(中国)有限公司 一种支持mbms业务的方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101513011A (zh) * 2006-09-11 2009-08-19 西门子公司 用于向移动终端设备连续传输广播服务的加密数据的方法和系统
CN101729377A (zh) * 2008-10-30 2010-06-09 华为技术有限公司 超帧号的通知方法、装置和系统
WO2018227497A1 (zh) * 2017-06-15 2018-12-20 Oppo广东移动通信有限公司 数据处理方法及相关产品

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Confidentiality protection of MBMS multicast data;Ericsson;3GPP TSG-SA3 #29 Tdoc S3-030366;第4部分 *

Also Published As

Publication number Publication date
WO2021138801A1 (zh) 2021-07-15
CN114600507A (zh) 2022-06-07

Similar Documents

Publication Publication Date Title
WO2021134316A1 (zh) 一种业务调度方法及装置、终端设备、网络设备
WO2021134298A1 (zh) 一种资源指示方法及装置、通信设备
WO2021056152A1 (zh) 一种信息配置方法及装置、终端设备、网络设备
CN114600473B (zh) 一种业务同步调度方法及装置、通信设备
CN113678500B (zh) 一种反馈资源配置方法及通信方法、装置、通信设备
WO2022006849A1 (zh) Mbs业务的tci状态管理方法及装置、终端设备
CN113647150B (zh) 一种信息配置方法及装置、终端设备、网络设备
CN114600507B (zh) 一种业务安全传输方法及装置、终端设备、网络设备
EP4243528A1 (en) Semi-persistent scheduling method and apparatus for mbs service, and terminal device and network device
WO2022141545A1 (zh) 一种mcch调度传输方法及装置、终端设备
CN113728683B (zh) 一种bwp配置方法及装置、终端设备、网络设备
CN116261877A (zh) 一种mbs业务的配置方法及装置、网络设备、终端设备
CN117441381A (zh) 一种通知信息变更的方法及装置、终端设备、网络设备
CN116261902A (zh) Mbs业务的配置方法及装置、终端设备、网络设备
CN113661746B (zh) 一种信息配置方法及装置、终端设备、网络设备
WO2022120749A1 (zh) 一种多播业务的调度方法及装置、终端设备、网络设备
WO2022165720A1 (zh) 提高mbs业务可靠性的方法及装置、终端设备、网络设备
WO2022021024A1 (zh) 一种bwp切换的方法及装置、终端设备
WO2022006882A1 (zh) Mbs业务的传输方法及装置、网络设备、终端设备
CN116097669A (zh) 一种mbs业务的管理方法及装置、终端设备、网络设备
CN116261884A (zh) 一种mbs配置变更的方法及装置、终端设备、网络设备
WO2021051316A1 (zh) 一种业务数据传输方法及装置、网络设备、终端设备
CN116569569A (zh) 提高mbs业务可靠性的方法及装置、终端设备、网络设备
CN116602043A (zh) 一种mbs寻呼方法及装置、网络设备、终端设备
CN116250259A (zh) 一种mbs业务的指示方法及装置、终端设备、网络设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant