CN114727290A - 通信方法及其装置 - Google Patents
通信方法及其装置 Download PDFInfo
- Publication number
- CN114727290A CN114727290A CN202210193371.0A CN202210193371A CN114727290A CN 114727290 A CN114727290 A CN 114727290A CN 202210193371 A CN202210193371 A CN 202210193371A CN 114727290 A CN114727290 A CN 114727290A
- Authority
- CN
- China
- Prior art keywords
- user plane
- access network
- plane security
- target access
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/19—Connection re-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/27—Transitions between radio resource control [RRC] states
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Reduction Or Emphasis Of Bandwidth Of Signals (AREA)
- Radar Systems Or Details Thereof (AREA)
Abstract
本申请实施例提供一种通信方法及其装置,其中方法包括:目标接入网设备在接收到来自用户终端的RRC恢复消息之后,根据来自源接入网设备的上下文信息获取响应确定与该用户终端之间的第一用户面安全保护方法;确定与该用户终端之间的第一用户面安全密钥;在接收到来自该用户终端的第一上行用户面数据时,根据第一用户面安全密钥和第一用户面安全保护方法对第一上行用户面数据进行解用户面安全保护,得到上行用户面数据;发送该上行用户面数据。采用本申请实施例,可以确保inactive场景下的用户面安全,从而保证inactive场景下用户面数据传输的安全性。
Description
技术领域
本申请实施例涉及通信技术领域,具有涉及一种通信方法及其装置。
背景技术
随着通信技术的发展,第五代移动通信(5th-generation,5G)系统应运而生。在5G系统中除了沿用长期演进(long term evolution,LTE)系统中的用户面加密保护之外,还引入用户面完整性保护,用户面完整性保护即保护数据在用户面传输过程中的完整性。并且,5G系统中的用户面加密保护和用户面完整性保护按照是否需要来确定是否开启。
5G系统还提出一种区别于空闲(idle)态和连接(connected)态的新状态,inactive态,又称为去活动态、第三态、非激活态或去激活态等。在空闲态时,用户设备(user equipment,UE)、基站和核心网都进入空闲态,UE和基站之前使用的接入层(accessstratum,AS)安全上下文都会被删除,基站会将UE的上下文信息删除,UE的上下文信息包括UE使用的AS安全上下文。在连接时,UE、基站和核心网都处于连接态,此时UE和基站正在使用AS安全上下文。在inactive态下,UE连接的基站会保存UE的上下文信息,该上下文信息包括UE的接入层(access stratum,AS)安全上下文。对于核心网而言,即使UE处于inactive态,也认为UE还是处于连接态。因此在UE从连接态进入inactive态之后,基站也进入inactive态,但是核心网还是连接态。UE进入inactive态的好处在于,可以使UE快速恢复连接态,从而减少通信中断的时延。
inactive场景可以涉及两个过程:UE和基站可以从连接态进入inactive态,可以将该过程称为推迟(suspend)过程;UE和基站可以从inactive态进入连接态,可以将该过程称为恢复(resume)过程。
虽然5G系统引入用户面安全保护,即用户面加密保护和用户面完整性保护,但是该用户面安全保护适应于连接态,在inactive场景下,并没有涉及用户面安全保护,更没有涉及用户面按需安全保护。因此,如何确保inactive场景下的用户面安全是亟待解决的技术问题。
发明内容
本申请实施例提供一种通信方法及其装置,可以确保inactive场景下的用户面安全,从而保证inactive场景下用户面数据传输的安全性。
本申请实施例第一方面提供一种通信方法,包括:
目标接入网设备在接收到来自用户终端的无线资源控制(radio resourcecontrol,RRC)恢复消息之后,根据来自源接入网设备的上下文信息获取响应确定与该用户终端之间的第一用户面安全保护方法;确定与该用户终端之间的第一用户面安全密钥;在接收到来自该用户终端的第一上行用户面数据时,根据该第一用户面安全密钥和第一用户面安全保护方法对第一上行用户面数据进行解用户面安全保护,得到上行用户面数据;发送该上行用户面数据,具体向核心网中的用户面功能发送该上行用户面数据。
其中,目标接入网设备为用户终端从第三态进入连接态的过程中,将与用户终端建立RRC连接的接入网设备,源接入网设备为使用户终端从连接态进入第三态,向用户终端发送RRC释放消息的接入网设备,即为进入第三态之前,与用户终端建立过RRC连接的接入网设备。
本申请实施例第一方面,目标接入网设备接收到RRC恢复消息时,表明用户终端将从第三态进入连接态,将与目标接入网设备建立RRC连接,此时,目标接入网设备根据上下文信息获取响应所携带的信息确定第一用户面安全保护方法,确定第一用户面安全密钥,根据第一用户面安全保护方法以及第一用户面安全密钥对第一上行用户面数据进行解安全保护,对下行用户面数据进行用户面安全保护,以确保resume过程中用户面数据传输的安全性。
在一种可能的实现方式中,上述上下文信息获取响应包括该用户终端的用户面安全策略,目标接入网设备直接根据该用户面安全策略确定与该用户终端之间的第一用户面安全保护方法,具体可根据该用户面安全策略以及目标接入网设备的自身情况确定该第一用户面安全保护方法。目标接入网设备可根据第一用户面安全保护方法激活用户面安全,第一用户面安全保护方法是根据该用户面安全策略和自身情况确定的,那么激活的用户面安全不仅满足用户面安全策略的需求,还满足当前环境需求。
在一种可能的实现方式中,上述上下文信息获取响应包括该用户终端的用户面安全策略和第一指示信息,该第一指示信息用于指示该用户终端与源接入网设备从连接态进入第三态之前,所使用的第二用户面安全保护方法;目标接入网设备直接将该第一指示信息所指示的第二用户面安全保护方法确定为第一用户面安全保护方法,或在确定第二用户面安全保护方法可用的情况下,将第二用户面安全保护方法确定为第一用户面安全保护方法。第二用户面安全保护方法为从连接态进入第三态之前所使用的用户面安全保护方法,将该用户面安全保护方法作为目标接入网设备与用户终端之间的用户面安全保护方法,使得从连接态进入第三态之前与从第三态进入连接态之后,使用的用户面安全保护方法一致。
在一种可能的实现方式中,上述上下文信息获取响应包括该用户终端的用户面安全策略和第一指示信息,目标接入网设备在确定第二用户面安全保护方法不可用或不使用第二用户面安全保护方法的情况下,根据该用户面安全策略确定第一用户面安全保护方法,使得激活的用户面安全不仅满足用户面安全策略的需求,还满足当前环境需求。或者,在该情况下,目标接入网设备向用户终端发送RRC消息,该RRC消息用于触发用户终端重新建立与目标接入网设备之间的RRC连接,在建立RRC连接的过程中,目标接入网设备与用户终端重新协商用户面安全保护方法,以确定出第一用户面安全保护方法,这样可以最大限度的兼容现有技术。
在一种可能的实现方式中,目标接入网设备在激活用户安全之后,可将激活结果告知会话管理网元,以便会话管理网元获知所使用的第一用户面安全保护方法。
在一种可能的实现方式中,目标接入网设备在确定第一用户面安全保护方法之后,可根据该第一用户面安全保护方法确定与该用户终端之间的第一用户面安全密钥,以便目标接入网设备根据第一用户面安全保护方法和第一用户面安全密钥对第一上行用户面数据进行解用户面安全保护,对下行用户面数据进行用户面安全保护。
在一种可能的实现方式中,目标接入网设备可通过RRC恢复消息向用户终端发送第二指示信息,即将第二指示信息携带在RRC恢复消息中,该第二指示信息用于指示目标接入网设备确定的第一用户面安全保护方法,以便用户终端根据第二指示信息激活用户面安全。
若目标接入网设备根据第一指示信息确定第一用户面安全保护方法,在用户终端在suspend过程中保存有第一指示信息的情况下,上述RRC恢复消息可不携带第二指示信息,用户终端直接根据第一指示信息激活用户面安全。
目标接入网设备可在发送RRC恢复消息之前或之后或同时激活用户面安全。
本申请实施例第二方面提供一种目标接入网设备,该目标接入网设备具有实现第一方面提供方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一种可能实现的方式中,该目标接入网设备包括:收发单元和处理单元,处理单元,在收发单元接收到来自用户终端的RRC恢复消息之后,根据来自源接入网设备的上下文信息获取响应确定与该用户终端之间的第一用户面安全保护方法;确定与该用户终端之间的第一用户面安全密钥;在收发单元接收到来自该用户终端的第一上行用户面数据时,根据该第一用户面安全密钥和第一用户面安全保护方法对第一上行用户面数据进行解用户面安全保护,得到上行用户面数据;收发单元,用于发送该上行用户面数据,具体向核心网中的用户面功能发送该上行用户面数据。
在一种可能实现的方式中,该目标接入网设备包括:处理器、收发器和存储器,其中,收发器用于接收和发送信息,存储器中存储计算机程序,计算机程序包括程序指令,处理器通过总线与存储器和收发器连接,处理器执行存储器中存储的程序指令,以使该用户终端执行以下操作:在收发器接收到来自用户终端的无线资源控制(radio resourcecontrol,RRC)恢复消息之后,根据来自源接入网设备的上下文信息获取响应确定与该用户终端之间的第一用户面安全保护方法;确定与该用户终端之间的第一用户面安全密钥;在收发器接收到来自该用户终端的第一上行用户面数据时,根据该第一用户面安全密钥和第一用户面安全保护方法对第一上行用户面数据进行解用户面安全保护,得到上行用户面数据;控制收发器发送该上行用户面数据,具体向核心网中的用户面功能发送该上行用户面数据。
基于同一发明构思,由于该目标接入网设备解决问题的原理以及有益效果可以参见第一方面所述的方法以及所带来的有益效果,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
本申请实施例第三方面提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,计算机程序包括程序指令,程序指令当被处理器执行时使得处理器执行上述第一方面所述的方法。
本申请实施例第四方面提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
本申请实施例第五方面提供一种通信方法,包括:
用户终端在向目标接入网设备发送RRC恢复请求之后,确定与该目标接入网设备之间的第一用户面安全保护方法;确定与该目标接入网设备之间的第一用户面安全密钥;根据第一用户面安全保护方法和第一用户面安全密钥,对上行用户面数据进行用户面安全保护,得到第一上行用户面数据;向该目标接入网设备发送该第一用户面数据。
对于下行传输,用户终端在接收到来自该目标接入网设备的第一下行用户面数据时,根据第一用户面安全保护方法和第一用户面安全密钥,对第一下行用户面数据进行解用户面安全保护,获得下行用户面数据。
本申请实施例第五方面,用户终端在确定第一用户面安全保护方法以及第一用户面安全密钥之后,根据第一用户面安全保护方法和第一用户面安全密钥对上行用户面数据进行用户面安全保护,对下行用户面数据进行解用户面安全保护,以确保resume过程中用户面数据传输的安全性。
在一种可能的实现方式中,用户终端接收来自目标接入网设备的RRC恢复消息,该RRC恢复消息包括第二指示信息,该第二指示信息用于指示第一用户面安全保护方法,用户终端直接根据第二指示信息确定与目标接入网设备之间的第一用户面安全保护方法,以便根据第一用户面安全保护方法激活用户面安全。
在一种可能的实现方式中,用户终端在接收到携带第二指示信息的RRC恢复消息之后,释放RRC连接。用户终端可通过向目标接入网设备报错的方式,来释放RRC连接,也可由目标接入网设备主动发起释放RRC连接的流程或发起重新建立RRC连接的流程。
在一种可能的实现方式中,用户终端在接收到来自目标接入网设备的RRC释放消息之后,用户终端从连接态进入第三态,并保存第一指示信息,该第一指示信息用于指示用户终端和源接入网设备从连接态进入第三态之前,所使用的第二用户面安全保护方法。用户终端保存第一指示信,以便用户终端从连接态进入第三态之前,与从第三态进入连接态之后,使用相同的用户面安全保护方法。
在一种可能的实现方式中,在用户终端保存了第一指示信息的情况下,用户终端可直接将第一指示信息指示的第二用户面安全保护方法确定为第一用户面安全保护方法,以便用户终端从连接态进入第三态之前,与从第三态进入连接态之后,使用相同的用户面安全保护方法。
在一种可能的实现方式中,用户终端接收来自目标接入网设备的RRC恢复消息,该RRC恢复消息不包括第二指示信息,该第二指示信息用于指示目标接入网设备确定的用户面安全保护方法。RRC恢复消息不携带第二指示信息,默认用户终端和目标接入网设备根据第一指示信息确定第一用户面安全保护方法并激活用户面安全,在用户终端保存了第一指示信息的情况下,目标接入网设备无需告知用户终端,可节省信令开销。
在一种可能的实现方式中,用户终端在确定第一用户面安全保护方法的情况下,根据该第一用户面安全保护方法确定第一用户面安全密钥。可包括两种情况,一种是用户终端在发送RRC恢复请求之后,生成所有的用户面安全密钥,然后根据第一用户面安全保护方法从所有的用户面安全密钥中确定出第一用户面安全密钥;另一种是用户终端直接根据第一用户面安全保护方法确定第一用户面安全密钥。
在一种可能的实现方式中,用户终端在接收到来自目标接入网设备的RRC释放消息之后,保存第二用户面安全密钥,该第二用户面安全密钥为用户终端与源接入网设备从连接态进入第三态之前,所使用的用户面安全密钥。用户终端保存第二用户面安全密钥,以便用户终端在发送RRC恢复请求之后,可立即或快速使用第二用户面安全密钥和第二用户安全保护方法对上行用户面数据进行用户面安全保护。
在一种可能的实现方式中,在用户终端保存第二用户面安全密钥的情况下,在resume过程中确定第一用户面安全密钥之后,将第二用户面安全密钥删除,以避免用户终端不知道使用哪个用户面安全密钥。
在一种可能的实现方式中,用户终端在接收到来自目标接入网设备的RRC恢复消息之前,可激活用户面安全,向目标接入网设备发送第一上行用户面数据。该种方式下,用户终端可能使用第二用户面安全保护方法和第二用户面安全密钥对上行用户面数据进行用户面安全保护,使得用户终端在需要发送上行用户面数据时,可快速对用户面数据进行用户面安全保护。
在一种可能的实现方式中,用户终端在接收到来自目标接入网设备的RRC恢复消息之后,可激活用户面安全,向目标接入网设备发送第一上行用户面数据。该种方式下,用户终端可能使用新确定的用户安全保护方法和新确定的用户面安全密钥对上行用户面数据进行用户面安全保护。
本申请实施例第六方面提供一种用户终端,该用户终端具有实现第五方面提供方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一种可能实现的方式中,该用户终端包括:收发单元和处理单元,处理单元,用于在收发单元向目标接入网设备发送RRC恢复请求之后,确定与该目标接入网设备之间的第一用户面安全保护方法;确定与该目标接入网设备之间的第一用户面安全密钥;根据第一用户面安全保护方法和第一用户面安全密钥,对上行用户面数据进行用户面安全保护,得到第一上行用户面数据;收发单元,用于向该目标接入网设备发送该第一用户面数据。
在一种可能实现的方式中,该用户终端包括:处理器、收发器和存储器,其中,收发器用于接收和发送信息,存储器中存储计算机程序,计算机程序包括程序指令,处理器通过总线与存储器和收发器连接,处理器执行存储器中存储的程序指令,以使该用户终端执行以下操作:在控制收发器向目标接入网设备发送RRC恢复请求之后,确定与该目标接入网设备之间的第一用户面安全保护方法;确定与该目标接入网设备之间的第一用户面安全密钥;根据第一用户面安全保护方法和第一用户面安全密钥,对上行用户面数据进行用户面安全保护,得到第一上行用户面数据;控制收发器向该目标接入网设备发送该第一用户面数据。
基于同一发明构思,由于该用户终端解决问题的原理以及有益效果可以参见第五方面所述的方法以及所带来的有益效果,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
本申请实施例第七方面提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,计算机程序包括程序指令,程序指令当被处理器执行时使得处理器执行上述第五方面所述的方法。
本申请实施例第八方面提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第五方面所述的方法。
本申请实施例第九方面提供一种通信系统,包括第一方面提供的目标接入网设备以及第二方面提供的用户终端。
附图说明
为了更清楚地说明本申请实施例或背景技术中的技术方案,下面将对本申请实施例或背景技术中所需要使用的附图进行说明。
图1为用户面按需安全过程的流程示意图;
图2为目前suspend过程的流程示意图;
图3为目前resume过程的流程示意图;
图4为应用本申请实施例的网络架构示意图;
图5-1为本申请实施例一提供的通信方法的流程示意图;
图5-2为本申请实施例二提供的通信方法的流程示意图;
图6为本申请实施例三提供的通信方法的流程示意图;
图7-1为本申请实施例四提供的通信方法的流程示意图;
图7-2为本申请实施例五提供的通信方法的流程示意图;
图7-3为本申请实施例六提供的通信方法的流程示意图;
图8-1为本申请实施例七提供的通信方法的流程示意图;
图8-2为本申请实施例八提供的通信方法的流程示意图;
图9-1为本申请实施例九提供的通信方法的流程示意图;
图9-2为本申请实施例十提供的通信方法的流程示意图;
图10为本申请实施例提供的路径切换流程的示意图;
图11为本申请实施例提供的通信装置的逻辑结构示意图;
图12为本申请实施例提供的通信装置的实体结构简化示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。其中,在本申请的描述中,除非另有说明,“/”表示前后关联的对象是一种“或”的关系,例如,A/B可以表示A或B;本申请中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。并且,在本申请的描述中,除非另有说明,“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。另外,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
此外,本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
下面将对本申请实施例涉及的名称或术语进行介绍:
用户面安全策略,包括用户面加密保护策略和用户面完整性保护策略。用户面加密保护策略存在三种可能的值,分别为not needed、preferred和required,用户面完整性保护策略存在三种可能的值,分别为not needed、preferred和required。其中,not needed表示不需要开启,preferred表示可以开启也可以不开启,required表示必须开启。上述三种可能的值可以采用2比特(bit)来指示,例如00指示不需要开启,01指示可以开启可以不开启,11指示必须开启。用户面加密保护策略和用户面完整性保护策略具体采用何种方式对三种可能的值进行指示,在本申请实施例中不作限定。
用户面加密保护即保护数据在传输过程中的机密性(因此又可以被称作用户面机密性保护),机密性是指无法被直接看出真实内容。用户面完整性保护即保护数据在用户面传输过程中的完整性,完整性是指数据是原始的没有被窜改的。
用户面安全保护方法,指的是用户终端侧或基站侧的用户面加密保护是否开启和/或用户面完整性保护是否开启。
安全算法,可以包括用户面安全算法(即用户面使用的安全算法)和信令面安全算法(即信令面使用的安全算法)。用户面使用的安全算法用于保护用户面数据,可以包括用户面加密算法和用户面完整性算法。信令面使用的安全算法用于保护信令,可以包括信令面加密算法和信令面完整性算法。用户面使用的安全算法与信令面使用的安全算法可以相同,也可以不相同。相同的具体含义是,如果用户面完整性保护开启,则用户面使用的完整性算法和信令面使用的完整性算法相同;如果用户面加密保护开启,则用户面使用的加密算法和信令面使用的加密算法相同。信令面使用的安全算法和用户面使用的安全算法有不一样的即不同,例如用户面使用加密算法为加密算法A,信令面使用的加密算法为加密算法B,但是用户面和信令面都使用完整性算法C,此时用户面使用的安全算法和信令面使用的安全算法不相同。
安全密钥,可以包括用户面安全密钥和信令面安全密钥。其中,用户面安全密钥用于保护用户面数据,可以包括用户面加密密钥和用户面完整性保护密钥。信令面安全密钥用于保护信令,例如可以是保护无线资源控制(radio resource control,RRC)信令的密钥,即RRC密钥,RRC密钥可以包括RRC加密密钥和RRC完整性保护密钥。
安全保护,对于执行安全功能的节点而言,用户面/信令面安全算法和用户面/信令面安全密钥一起用于保护用户面数据。具体地,使用加密密钥和加密算法对用户面/信令面数据进行加密保护;使用完整性保护密钥和完整性保护算法对用户面/信令面数据进行完整性保护。本申请实施例不限定加密保护和完整性保护的顺序关系,即可以先对用户面/信令面数据进行加密保护,再做完整性保护;也可以先对用户面/信令面进行完整性保护,再对用户面/信令面数据进行加密保护。当然,用户面和信令面可以不使用相同的执行顺序。
解安全保护,对于执行安全功能的节点而言,用户面/信令面安全算法和用户面/信令面安全密钥一起用于获得原始的用户面数据。具体地,使用加密密钥和加密算法对加密的用户面/信令面数据进行解密;使用完整性保护密钥和完整性保护算法对用户面数据进行完整性保护验证。本发明实施例不限定解密和验证完整性保护的顺序。但需要理解的是,如果是用户面/信令面数据先被加密保护,再被完整性保护,则解安全保护是先验证完整性保护、再对加密后的用户面数据进行解密;如果用户面/信令面数据先被完整性保护,再被加密,则解安全保护的顺序为先解密加密后的数据,再进行完整性保护验证。
激活用户面/信令面安全,指的是在确定出用户面/信令面安全保护方法的情况下,可以开始使用用户面/信令面安全算法和用户面/信令面安全密钥来激活该用户面/信令面安全,即可以开始使用用户面/信令面安全保护方法、用户面/信令面安全算法和用户面/信令面安全密钥来对将要传输的用户面数据/信令进行安全保护。例如,确定的用户面安全保护方法为开启用户面加密保护+不开启用户面完整性保护,用户面加密算法为加密算法A,用户面加密密钥为密钥K,则对于将要传输的用户面数据,采用加密算法A和密钥K对该用户面数据进行用户面加密保护。激活用户面安全保护方法可以达到的效果是执行激活用户面安全的节点可以开始对用户面数据进行安全保护和开始对用户面数据进行解安全保护。需要理解的是,安全保护和解安全保护这两个动作可能是进一步分开激活的。比如基站在发送安全激活消息后,则基站激活解安全保护;基站再收到安全激活确认消息后,基站激活安全保护。
请参见图1,为用户面按需安全过程的流程示意图,可以包括如下步骤:
步骤101,UE向基站发送协议数据单元(protocol data unit,PDU)会话建立请求消息。相应的,基站接收来自UE的PDU会话建立请求消息。
其中,PDU会话建立请求消息包括PDU会话标识(identity,ID)、数据网络名称(data network name,DNN)和网络切片选择辅助信息(network slice select auxiliaryinformation,NSSAI)等信息。
步骤102,基站通过接入和移动性管理功能(access and mobility managementfunction,AMF)向会话管理功能(session management function,SMF)发送PDU会话建立请求。
具体的,基站先向AMF发送PDU会话建立请求,然后AMF向SMF发送PDU会话建立请求。图1中省略了基站与SMF之间的AMF。
步骤103,SMF获取用户面安全策略。
SMF可以从统一数据管理(unified data management,UDM)中获得用户面安全策略,也可以从SMF的本地配置信息中获得用户面安全策略。
其中,SMF获取的用户面安全策略为UE的用户面安全策略,具体可以为针对该PDU会话的用户面安全策略。
步骤104,SMF向基站发送用户面安全策略,即SMF将其获取的用户面安全策略发送至基站。相应的,基站接收来自SMF的用户面安全策略。
SMF将用户面安全策略发送给AMF,AMF可通过N2消息向基站发送用户面安全策略,即将用户面安全策略携带在N2消息中。
基站在接收到该用户面安全策略时,可对其进行保存。基站在保存该用户面安全策略时,还保存该用户面安全策略对应的PDU会话标识,即PDU会话ID。
步骤105,基站根据用户面安全策略激活用户面安全。
基站根据用户面安全策略激活基站与UE之间的用户面安全。例如,用户面安全策略所包括的用户面加密保护策略为required,用户面完整性保护策略为required,则基站开启用户面加密保护和用户面完整性保护,并采用用户面加密密钥、用户面完整性保护密钥以及用户面安全算法对与UE之间的用户面数据进行加密保护和完整性保护,或进行解密和验证。再例如,用户面安全策略所包括的用户面加密保护策略为required,用户面完整性保护策略为not needed,则基站开启用户面加密保护,不开启用户面完整性保护,并采用用户面加密密钥以及用户面安全算法对与UE之间的用户面数据进行加密保护或解密。
在用户面加密保护策略或用户面完整性保护策略是preferred的情况下,可选的,基站将用户面安全激活结果(security result)发送给SMF。若基站生成security result,则基站保存security result。
步骤106,基站向UE发送RRC连接重配置消息。相应的,UE接收来自基站的RRC连接重配置消息。
其中,RRC连接重配置消息包括用户面激活指示信息,该用户面激活指示信息包括用户面加密保护激活指示信息和/或用户面完整性保护激活指示信息,用户面加密保护激活指示信息用于指示是否开启用户面加密保护,用户面完整性保护激活指示信息用于指示是否开启用户面完整性保护。具体地,若用户面激活指示信息包括的用户面完整性保护激活指示信息为enable,不包括用户面加密保护激活指示信息,则UE可确定开启用户面加密保护,开启用户面完整性保护。若用户面激活指示信息包括的用户面加密保护激活指示信息为disable,不包括用户面完整性保护激活指示信息,则UE可确定不开启用户面加密保护,不开启用户面完整性保护。若用户面激活指示信息包括的用户面完整性保护激活指示信息为enable,用户面加密保护激活指示信息为disable,则UE可确定不开启用户面加密保护,开启用户面完整性保护。若用户面激活指示信息不包括用户面完整性保护激活指示信息,也不包括用户面加密保护激活指示信息,则UE可确定不开启用户面完整性保护,开启用户面加密保护。
步骤107,UE激活用户面安全。UE根据步骤6所携带的用户面激活指示信息激活UE与基站之间的用户面安全,以便对与基站之间的用户面数据进行安全保护或解安全保护。
步骤108,UE向基站发送RRC连接重配置确认(ack)消息。相应的,基站接收来自UE的RRC连接重配置确认消息。
在图1所示的流程中,在连接态场景下,基站从SMF获取用户面安全策略,激活与UE之间的用户面安全,向UE发送指示,以便UE根据指示激活与基站之间的用户面安全,从而保证UE与基站之间的用户面数据的机密性和完整性。
请参见图2,为目前suspend过程的流程示意图,可包括如下步骤:
步骤201,基站获取并保存UE的用户面安全策略。步骤201获取并保存的UE的用户面安全策略,可以为基站在建立PDU会话的过程中,从SMF获取的针对该PDU会话的用户面安全策略,即为图1所示流程中步骤104中传输的用户面安全策略。也可以为基站从切换流程中获得的。
可选的,基站还保存security result。security result的作用是,表示用户面安全策略中的用户面加密保护策略和/或用户面完整性保护策略为preferred的时候,是否执行了用户面安全策略(3GPP TS 38.413版本f30原文:indicates whether the securitypolicy indicated as"preferred"in the Security Indication IE is performed ornot.)。security result的生成和使用都是可选的:用户面安全策略中的用户面加密保护策略和/或用户面完整性保护策略为preferred的时候才需要生成;security result可选的在一些流程中使用,比如需要基站发送security result给SMF,或者在切换流程中发送给目标基站,因此security result保存是可选的。security result包括用户面完整性保护结果(integrity protection result)和用户面加密保护结果(confidentialityprotection result)。其值域为:ENUMERATED(performed,not performed,…)。其作用是指示当前的PDU连接有没有执行用户面加密保护和有没有执行用户面完整性保护。
步骤202,基站向UE发送RRC释放(release)消息。相应的,UE接收来自基站的RRC释放消息。
当基站和UE需要从连接态进入inactive态时,基站向UE发送RRC释放消息。RRC释放消息包括一个指示信息,该指示信息用于指示UE释放RRC连接,但不进入空闲态,而是进入inactive态。这个指示信息就是suspend配置信息。RRC释放消息还包括第三态无线网络临时标识(inactive-radio network temporary identifier,I-RNTI)和下一跳链路级数(next hop chaining counter parameter,NCC)值。I-RNTI用于在基站侧标识inactive态的UE,以便UE从inactive态进入连接态时,可以根据I-RNTI查找UE的上下文信息。NCC值用于在UE回到连接态的过程中生成新的KgNB*。
步骤203,基站在发送RRC释放消息之后,删除RRC加密密钥、用户面加密密钥和用户面完整性保护密钥,保存RRC完整性保护密钥。换言之,基站在发送RRC释放消息之后,删除用户面安全密钥和RRC加密密钥,只保存RRC完整性保护密钥。
同时,基站还保存RRC释放消息所包括的I-RNTI,以便UE从inactive进入连接态时,基站可以根据I-RNTI查找UE的上下文信息。基站也会保存用户面安全策略。可选的保存security result。
步骤204,UE在接收到RRC释放消息之后,对RRC释放消息的完整性保护进行验证,UE采用RRC完整性保护密钥对RRC释放消息进行验证,若验证成功,则UE存储RRC释放消息所包括的NCC值,并删除RRC加密密钥、用户面加密密钥和用户面完整性保护密钥,只保存RRC完整性保护密钥。换言之,UE在验证成功的情况下,删除用户面安全密钥和RRC加密密钥,只保存RRC完整性保护密钥。UE会根据NCC的值,确定是否保留当前使用的KgNB。具体确定方法与本申请实施例无关,因此在这里不做过多阐述。
同时,UE还保存RRC释放消息所包括的I-RNTI。
图2所示的目前suspend过程涉及对安全密钥的处理,在基站侧涉及用户面安全保护方法的处理并不是很清晰,security result的生成、使用和保存是可选的;在UE侧并未涉及对用户面安全保护方法的处理,并且该过程中基站和UE均删除了用户面加密密钥和用户面完整保护密钥。鉴于此,本申请实施例明确suspend过程中如何对用户面安全保护方法进行处理,具体可参见实施例一至实施例三。
请参见图3,为目前resume过程的流程示意图。UE在suspend过程所涉及的基站,与UE在resume过程中建立RRC连接的基站可能是同一个基站,也可能是不同的基站。图3以不同的基站为例,假设UE从连接态进入inactive态所涉及的基站是源基站,从inactive态进入连接态,与UE建立RRC连接的基站是目标基站。图3所述的流程可包括如下步骤:
步骤301,UE使用suspend过程所保存的RRC完整性保护密钥计算resume消息认证代码标识(message authentication code-identify,MAC-I)。
步骤302,UE向目标基站发送RRC恢复(resume)请求(request)。相应的,目标基站接收来自UE的RRC恢复请求。
其中,RRC恢复请求包括I-RNTI和resume MAC-I。I-RNTI可以是UE在suspend过程所保存的I-RNTI。
UE在发送RRC恢复请求之后,生成新的KgNB*,并用新的KgNB*生成RRC密钥,RRC密钥包括RRC加密密钥和RRC完整性保护密钥。可选的,UE还生成用户面安全密钥,用户面安全密钥包括用户面加密密钥和用户面完整性保护密钥。这里需要说明的是,现有技术中说明用户面安全密钥是可选生成,既没有说什么情况下生成,也没有说什么情况下使用。
步骤303,目标基站在接收到RRC恢复请求之后,发起Xn-应用层(applicationprotocol,AP)恢复(retrieve)流程,向源基站发送上下文信息获取请求,用于请求获取UE的上下文信息。相应的,源基站接收来自目标基站的上下文信息获取请求。Xn为基站之间的接口。
其中,上下文信息获取请求包括I-RNTI、resume MAC-I和目标小区标识(identity,ID)。I-RNTI和resume MAC-I为UE向目标基站发送的。目标小区标识为目标基站下的,将为UE提供服务的小区的标识。
源基站在接收到该上下文信息获取请求之后,根据I-RNTI查找UE的上下文信息,并利用suspend过程保存的RRC完整性保护密钥计算resume MAC-I,若源基站计算得到的resume MAC-I与UE发送的resume MAC-I相同,则源基站生成新的KgNB*。
步骤304,源基站向目标基站发送上下文信息获取响应。相应的,目标基站接收来自源基站的上下文信息获取响应。
其中,上下文信息获取响应包括源基站生成的新的KgNB*、与该KgNB*对应的NCC值、UE的5G安全能力、源小区使用的加密算法和完整性保护算法、用户面安全策略,以及可选的security result。
步骤305,若目标基站支持源小区使用的加密算法和完整性保护算法,则使用上下文信息获取响应所包括的KgNB*生成RRC密钥和用户面安全密钥。
其中,RRC密钥包括RRC加密密钥和RRC完整性保护密钥,用户面安全密钥包括用户面加密密钥和用户面完整性保护密钥。
步骤306,目标基站向UE发送RRC resume消息。相应的,UE接收来自目标基站的RRCresume消息。
其中,RRC resume消息被目标基站新生成的RRC密钥进行加密保护和完整性保护,即被新生成的RRC加密密钥和RRC完整性保护密钥进行加密保护和完整性保护。
步骤307,UE使用其新生成的RRC密钥验证RRC resume消息,即UE使用其在步骤302生成的RRC加密密钥和RRC完整性保护密钥对RRC resume消息进行解密和验证,若成功解码且验证成功,则UE删除suspend过程中保存的RRC完整性保护密钥。
步骤308,UE向目标基站发送RRC resume完成消息。相应的,目标基站接收来自UE的RRC resume完成消息。
UE采用其新生成的RRC密钥对RRC resume完成消息进行加密保护和完整性保护。
步骤309,目标基站与目标AMF进行路径切换(path switch)流程。
若UE从inactive态进入连接态,与UE建立RRC连接的基站是源基站,则可省略图3中的步骤303-步骤304,该种情况下可包括:UE直接向源基站发送RRC resume请求;源基站根据I-RNTI查找UE的上下文信息,并利用suspend过程保存的RRC完整性保护密钥计算resume MAC-I,若源基站计算得到的resume MAC-I与UE发送的resume MAC-I相同,则源基站生成新的KgNB*,根据新的KgNB*生成RRC密钥和用户面安全密钥;源基站采用新生成的RRC密钥对RRC resume消息进行加密保护和完整性保护,并向UE发送保护后的RRC resume消息;UE采用其新生成的RRC密钥对RRC resume消息进行解保护,向源基站发送RRC resume完成消息,该RRC resume完成消息被RRC密钥保护。
图3所示的目前resume过程虽然涉及了用户面安全密钥,但是并未涉及何时以及如何使用用户面安全密钥。鉴于此,本申请实施例明确resume过程中何时以及如何使用用户面安全密钥,以及何时发送用户面数据。
图2和图3的流程是3GPP标准TS 33.501版本F30的总结。更多细节可以进一步参考相关内容。
请参见图4,为应用本申请实施例的网络架构示意图,包括用户终端10和源接入网设备20。
其中,用户终端10可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备;还可以包括UE、用户单元(subscriber unit)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant,PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptop computer)、无绳电话(cordlessphone)或者无线本地环路(wireless local loop,WLL)台、机器类型通信(machine typecommunication,MTC)终端、UE,移动台(mobile station,MS),终端设备(terminal device)或者中继用户设备等。其中,中继用户设备例如可以是5G家庭网关(residential gateway,RG)。为方便描述,本申请实施例中,上面提到的设备统称为用户终端,用户终端以UE为例进行介绍。
接入网设备可以是长期演进(long term evolution,LTE)系统中的演进型基站节点(evolved Node Basestation,eNB或eNodeB),升级后的eNB,即下一代演进型基站节点(next generation eNodeB,ng-eNB),第五代移动通信(5th-generation,5G)系统中的下一代基站节点(next generation Node Basestation,gNB)等接入网设备,还可以是未来通信系统中的接入网设备。
应用在本申请实施例中,将用户终端10从连接态进入inactive态的suspend过程所涉及的基站作为源接入网设备20,源接入网设备20可以是图2中的基站。该基站可以是5G基站,也可以是4G基站,还可以是未来进一步演进的基站。若该基站是4G基站,那么前文所述的现有技术应该是4G对应的RRC suspend和RRC Resume流程。本申请实施例以5G基站为例进行介绍。若用户终端10从inactive态进入连接态,与用户终端10建立RRC连接的基站不为源接入网设备20,则图4所示的网络架构还包括目标接入网设备30,目标接入网设备30为用户终端10从inactive进入连接态,与用户终端10建立RRC连接的基站,该种情况下,源接入网设备20可以是图3中的源基站,目标接入网设备可以是图3中的目标基站。需要说明的是,源接入网设备、目标接入网设备这两个名词并不构成对本申请实施例的限定,例如源接入网设备也可以称为源基站或源接入网设备等,目标接入网设备也可以称为目标基站或目标接入网设备等。本申请实施例在介绍resume过程时,以suspend过程所涉及的接入网设备与在resume过程中与UE建立RRC连接的接入网设备为不同接入网设备为例,即以图4所示的网络架构包括用户终端、源接入网设备和目标接入网设备为例。
下面将对本申请实施例提供的通信方法进行具体阐述。实施例中各名称与权利要求书中各名称的对应关系可包括:权利要求书中的第一用户面安全保护方法即为实施例中的新的用户面安全保护方法,第二用户面安全保护方法即为实施例中的旧的用户面安全保护方法或第一指示信息所指示的用户面安全保护方法,第一用户面安全密钥即为实施例中的新的用户面安全密钥或要使用的用户面安全密钥,第二用户面安全密钥即为实施例中旧的用户面安全密钥或suspend过程保存的用户面安全密钥。
需要说明的是,本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例,具体实现中也可以是其他的名字,本申请实施例对此不作具体限定。
请参见图5-1,为本申请实施例一提供的通信方法的流程示意图,该实施例主要介绍suspend过程中如何处理用户面安全策略。图5-1所示实施例在图2所示流程示意的基础上,增加步骤505-1,源接入网设备保存第一指示信息。图5-1所示实施例可以包括但不限于如下步骤:
步骤501-1,源接入网设备获取并保存UE的用户面安全策略。
源接入网设备获取并保存UE的用户面安全策略,即源接入网设备处于连接态时,从SMF获取并保存的针对UE的用户面安全策略或者在切换流程中从其他基站获取的用户面安全策略。源接入网设备保存该用户面安全策略的好处在于,便于源接入网设备确定与UE之间的用户面安全保护方法。在源接入网设备未执行步骤505-1的情况下,源接入网设备可以根据该用户面安全策略确定与UE之间的用户面安全保护方法。
源接入网设备在保存该用户面安全策略时,还可以保存该用户面安全策略对应的粒度信息。粒度信息指的是用户面安全保护方法适用的范围。粒度信息可以是PDU会话ID,即不同PDU会话对应的用户面安全策略可以不同,还可以是无线承载标识(data radiobearer identity,DRB ID)、网络切片标识或数据网络名称等,例如不同的DRB对应的用户面安全策略可以不同。粒度信息还可以包括PDU会话ID、DRB ID、网络切片标识或数据网络名称等中的多种,例如包括PDU会话ID和DRB ID。需要说明的是,上述粒度信息与用户面安全策略绑定时,对应关系可以是一对一,也可以是一对多。例如一个PDU会话对应一个用户面安全策略,多个PDU会话可以对应同一个用户面安全策略。再例如,一个DRB ID对应一个用户面安全策略,多个DRB ID对应同一个用户面安全策略,目前一个PDU会话对应多个DRBID,该PDU会话对应的多个DRB ID可以对应同一个用户面安全策略,即该PDU会话对应的用户面安全策略。
源接入网设备保存用户面安全策略以及对应的粒度信息的好处在于,当源接入网设备从inactive态进入连接态时,在获知UE发送的上行用户面数据的粒度信息的情况下,源接入网设备可以根据该粒度信息确定对应的用户面安全策略,进而确定用户面安全保护方法,进而对该上行用户面数据进行解安全保护。
如果源接入网设备生成并使用了用户面安全激活结果(security result),则保存security result。
步骤502-1,源接入网设备向UE发送RRC释放消息。相应的,UE接收来自源接入网设备的RRC释放消息。
步骤503-1,源接入网设备在发送RRC释放消息之后,删除RRC加密密钥、用户面加密密钥和用户面完整性保护密钥,保存RRC完整性保护密钥;保存I-RNTI。
进一步的,源接入网设备去激活用户面安全。用户面安全的激活与去激活与用户面密钥是相关联的。因为源接入网设备删除了用户面安全密钥,因此源接入网设备要去激活用户面安全。具体的实施方法在这里不做限制。也就是说,也可能因为源接入网设备决定去激活用户面安全导致源接入网设备删除用户面安全密钥。
步骤504-1,UE在接收到RRC释放消息之后,对RRC释放消息的完整性保护进行验证,若验证成功,则UE存储NCC值,并删除RRC加密密钥、用户面加密密钥和用户面完整性保护密钥,保存RRC完整性保护密钥。
步骤502-1至步骤504-1的实现过程可参见图2所示流程中步骤202-步骤204的具体描述,在此不再赘述。
这里需要额外强调的是,UE去激活用户面安全。具体地,UE的用户面安全激活状态与UE的用户面安全密钥是绑定的。因为UE删除了用户面密钥,因此UE去激活用户面安全。具体的实施方法在这里不做限制。也就是说,也可能因为UE决定去激活用户面安全导致UE删除用户面安全密钥。
步骤505-1,源接入网设备保存第一指示信息,第一指示信息包括用户面安全激活方法指示信息和/或用户面安全保护方法指示信息。
其中,用户面安全激活方法指示信息用于指示是否开启用户面加密保护以及是否开启用户面完整性保护,为UE和源接入网设备处于连接态时,源接入网设备通过RRC消息发送给UE的,用于指示激活何种用户面安全保护方法,具体指示视源接入网设备和UE处于连接态时源接入网设备所激活的用户面安全保护方法而定。该用户面安全激活方法指示信息可以是图1步骤106中RRC连接重配置消息所携带的用户面激活指示信息。源接入网设备保存用户面安全激活方法指示信息,以便源接入网设备在resume过程中可以使用。
其中,用户面安全保护方法指示信息,指的是源接入网设备根据UE当前保护数据所使用的用户面安全保护方法新生成的指示信息,用于指示用户面加密保护是否开启以及用户面完整性保护是否开启。源接入网设备保存用户面安全保护方法指示信息,以便源接入网设备在resume过程中可以使用。
第一指示信息,还可以是security result的增强。在现有技术中,securityresult是可选生成,可选使用。其可能在用户面安全策略含有preferred的情况下才会生成。本申请实施例可以进一步规定不管用户面安全策略是否有preferred的,securityresult必须生成。其格式可以继续使用现有格式,也可以更新为ENUMERATED(enabled,disabled…)。
上述用户面安全激活方法指示信息和用户面安全保护方法指示信息,都可以指示源接入网设备在进入inactive态时,源接入网设备和UE在从连接态进入inactive态之前所使用的用户面安全保护方法。用户面安全激活方法指示信息是接入网设备传递给UE的指示信息,可以理解为UE不需要生成,只需要接收。该用户面安全激活方法指示信息在RRC消息中传递,具体在RRC连接重配置消息中传递(可参考步骤106)。而用户面安全保护方法指示信息不需要传递,是需要接入网设备和UE分别生成的一种指示信息。
源接入网设备保存第一指示信息的好处在于,可以确保源接入网设备在从连接态进入inactive态之前,与从连接态进入inactive态之后,所使用的用户面安全保护方法一致。
在一种可能的实现方式中,源接入网设备在保存第一指示信息时,还保存第一指示信息对应的粒度信息。粒度信息指的是用户面安全保护方法适用的范围。粒度信息可以是PDU会话ID,即不同PDU会话对应的第一指示信息可以不同,还可以是DRB ID、网络切片标识或数据网络名称等,例如不同的DRB对应的第一指示信息可以不同。粒度信息还可以包括PDU会话ID、DRB ID、网络切片标识或数据网络名称等中的多种,例如包括PDU会话ID和DRBID。
需要说明的是,上述粒度信息与第一指示信息绑定时,对应关系可以是一对一,也可以是一对多。例如一个PDU会话对应一个第一指示信息,多个PDU会话可以对应同一个第一指示信息。再例如,一个DRB ID对应一个第一指示信息,多个DRB ID对应同一个第一指示信息,目前一个PDU会话对应多个DRB ID,该PDU会话对应的多个DRB ID可以对应同一个第一指示信息,即该PDU会话对应的第一指示信息。
源接入网设备保存第一指示信息以及第一指示信息对应的粒度信息的好处在于,当源接入网设备从inactive态进入连接态时,在获知UE发送的上行用户面数据的粒度信息的情况下,源接入网设备可以根据该粒度信息确定对应的用户面安全保护方法,进而对该上行用户面数据进行解安全保护。
需要说明的是,步骤505-1可以在步骤503-1之后执行,也可以在步骤502-1与步骤503-1之间执行,还可以在执行步骤503-1的过程中执行。图5-1所示实施例以步骤505-1在步骤503-1之后执行为例进行介绍,并不构成对本申请实施例的限定。
在图5-1所示的实施例中,源接入网设备在发送RRC释放消息之后保存第一指示信息,可以确保源接入网设备在从连接态进入inactive态之前,与从连接态进入inactive态之后,所使用的用户面安全保护方法一致。还可以便于源接入网设备根据第一指示信息确定是否保存用户面安全密钥,具体将在图6所示的实施例中介绍。源接入网设备保存第一指示信息,而UE不保存第一指示信息,在UE发送RRC恢复请求消息后,源接入网设备可在确定用户面安全保护方法之后,通过第二指示信息将所确定的用户面安全保护方法告知UE。
进一步的,在用户面安全策略不包括preferred的情况下,即用户面加密保护策略不为preferred,或用户面完整性保护策略不为preferred,或用户面加密保护策略和用户面完整性保护策略均不为preferred,源接入网设备可只保存用户面安全策略,即只执行步骤501-1。在用户面安全策略包括preferred的情况下,即用户面加密保护策略为preferred,或用户面完整性保护策略为preferred,或用户面加密保护策略和用户面完整性保护策略均为preferred,源接入网设备需要保存用户面安全策略和第一指示信息,即执行步骤501-1和步骤505-1,这样便于在resume过程中,在接入网设备根据用户面安全策略包括preferred的情况下无法准确确定出与UE之间的用户面安全保护方法的情况下,可以根据第一指示信息确定出与UE之间用户面安全保护方法。其中,该接入网设备为UE恢复RRC连接的基站,可以为源接入网设备,也可以为目标接入网设备。
请参见图5-2,为本申请实施例二提供的通信方法的流程示意图,该实施例主要介绍suspend过程中如何处理用户面安全策略。图5-2所示实施例在图5-1所示实施例的基础上,增加步骤506-2,UE保存第一指示信息,换言之,图5-2所示实施例中,UE和源接入网设备均保存第一指示信息,而图5-1所示实施例只有源接入网设备保存第一指示信息。图5-2所示的实施例可以包括但不限于如下步骤:
步骤501-2,源接入网设备获取并保存UE的用户面安全策略。
步骤502-2,源接入网设备向UE发送RRC释放消息。相应的,UE接收来自源接入网设备的RRC释放消息。
步骤503-2,源接入网设备在发送RRC释放消息之后,删除RRC加密密钥、用户面加密密钥和用户面完整性保护密钥,保存RRC完整性保护密钥;保存I-RNTI。
步骤504-2,UE在接收到RRC释放消息之后,对RRC释放消息的完整性保护进行验证,若验证成功,则UE存储NCC值,并删除RRC加密密钥、用户面加密密钥和用户面完整性保护密钥,保存RRC完整性保护密钥。
步骤505-2,源接入网设备保存第一指示信息,第一指示信息包括用户面安全激活方法指示信息和/或用户面安全保护方法指示信息。
其中,步骤501-2和步骤505-2可参见图5-1所示实施例中步骤501-1和步骤505-1的具体描述,步骤502-2至步骤504-2的实现过程可参见图2所示流程中步骤202-步骤204的具体描述和图5-1所示流程中步骤502-1至步骤504-1的具体描述,在此不再赘述。
步骤506-2,UE保存第一指示信息,第一指示信息包括用户面安全激活方法指示信息和/或用户面安全保护方法指示信息。
其中,用户面安全激活方法指示信息,指的是UE与源接入网设备处于连接态时,源接入网设备在图1步骤106中所携带的用户面激活指示信息。例如,图1步骤106的RRC连接重配置消息包括用户面完整性保护激活指示信息为enable,不包括用户面加密保护激活指示信息,则UE可确定开启用户面加密保护,开启用户面完整性保护。在UE接收到RRC释放消息之后,UE记录用户面完整性保护为enable,该记录表示开启用户面完整性保护,同时开启用户面加密保护。该种情况下,UE所保存的用户面激活方法指示信息用于指示开启用户面加密保护和开启用户面完整性保护。再例如,图1步骤106的RRC连接重配置消息包括用户面加密保护激活指示信息为disable,不包括用户面完整性保护激活指示信息,则UE可确定不开启用户面加密保护,不开启用户面完整性保护。在UE接收到RRC释放消息之后,UE记录用户面完整性保护为disable,该记录表示不开启用户面完整性保护,不开启用户面加密保护。该种情况下,UE所保存的用户面激活方法指示信息用于指示不开启用户面加密保护和不开启用户面完整性保护。再例如,图1步骤106的RRC连接重配置消息包括用户面完整性保护激活指示信息为enable,用户面加密保护激活指示信息为disable,则UE可确定不开启用户面加密保护,开启用户面完整性保护。在UE接收到RRC释放消息之后,UE记录用户面完整性保护为enable,用户面加密保护为disable,该记录表示开启用户面完整性保护,不开启用户面加密保护。该种情况下,UE所保存的用户面激活方法指示信息用于指示不开启用户面加密保护和开启用户面完整性保护。
上述三个例子中,UE所记录的信息表示用户面安全激活方法指示信息,例如UE记录的信息为用户面完整性保护为enable,用户面加密保护为disable,所表示的用户面安全激活方法指示信息用于指示不开启用户面加密保护和开启用户面完整性保护。再例如,UE记录的信息为用户面加密保护为disabled,所表示的用户面安全激活方法指示信息用于指示用户面加密保护和用户面完整性保护都不开启。除了这种记录方式外,还可以采用两个比特来记录或表示用户面安全激活方法指示信息,例如“01”表示用户面加密保护开,用户面完整性保护关。具体UE如何记录以及用户面安全激活方法指示信息采用何种方式指示,在本申请实施例中不作限定。
用户面安全保护方法指示信息,指的是UE根据其当前保护数据所使用的用户面安全保护方法生成的指示信息,或UE根据其从连接态进入inactive态前保护数据所使用的用户面安全保护方法生成的指示信息。换言之,用户面安全保护方法指示信息,用于指示UE当前所使用的用户面安全保护方法,或指示UE从连接态进入inactive态前所使用的用户面安全保护方法。该用户面安全保护方法指示信息的具体表现形式,可以参考UE记录的信息表示用户面安全激活方法指示信息的保存形式。该指示信息可以通过显示的方法保存在源接入网设备侧;也可以通过保存DRB配置信息隐示的体现。即,第一指示信息可以是相关的DRB配置信息。接入网设备可以根据DRB配置信息知晓使用什么样的用户面安全保护方法。
UE保存第一指示信息的好处在于,可以确保UE在从连接态进入inactive态之前,与从连接态进入inactive态之后,所使用的用户面安全保护方法一致。
在一种可能的实现方式中,UE在保存第一指示信息时,还保存第一指示信息对应的粒度信息。该过程与步骤505-1中源接入网设备保存第一指示信息以及第一指示信息对应的粒度信息相同。UE保存第一指示信息以及第一指示信息对应的粒度信息的好处在于,当UE从inactive态进入连接态之后,在需要发送上行用户面数据时,可根据要发送的上行用户面数据的粒度信息确定其对应的用户面安全保护方法,然后根据该用户面安全保护方法对该上行用户面数据进行安全保护。
需要说明的是,步骤506-2可以在步骤504-2之后执行,也可以在步骤502-2与504-2之间执行,还可以在执行步骤504-2的过程中执行。图5-2所示实施例以步骤505-2在步骤504-2之后执行为例进行介绍,并不构成对本申请实施例的限定。
在图5-2所示的实施例中,UE和源接入网设备均保存第一指示信息,可以确保UE和源接入网设备在从连接态进入inactive态之前,与从连接态进入inactive态之后,所使用的用户面安全保护方法一致。还可以便于源接入网设备和UE根据第一指示信息确定是否保存用户面安全密钥,具体将在图6所示的实施例中介绍。
在UE和源接入网设备均保存第一指示信息的情况下,UE和源接入网设备可以采用不同方式保存用户面安全保护方法。意味着,步骤506-2与步骤505-2保存的第一指示信息可能相同,也可能不同。比如步骤506-2保存的是步骤106中的用户面激活指示信息,但步骤505-2中保存的是增强的security result。因此,本实施例的主要目的是说明UE侧也会保存一个具有与第一指示信息功能相同的指示信息。具体UE和源接入网设备保存的指示信息的内容,可能相同,也可能不同。本发明不做限定。例如,UE保存的是用户面安全激活方法指示信息,源接入网设备保存的是用户面安全保护方法指示信息。也可以采用相同方式保存用户面安全保护方法。
基于图5-2所示的实施例的另一种实现源接入网设备和UE保存用户面安全保护方法的实现方法为,源接入网设备和UE协商用户面安全保护方法。协商的用户面安全保护方法用于当UE和源接入网设备再次进入连接态或进入连接态的过程中,应该使用什么样的用户面安全保护方法。协商的用户面安全保护方法,可以与当前的用户面安全保护方法相同,也可以不同。
一种可行的实施方法为,步骤502-2中的RRC释放消息可以携带新的用户面安全激活方法指示信息和/或用途指示信息。该新的用户面安全激活方法指示信息指示UE再次进入连接态的时候应该使用什么样的用户面安全保护方法。该用途指示信息指示UE在什么情况下才可以使用步骤502-2中指示的用户面安全保护方法。在步骤502-2中没有新的用户面安全激活方法指示信息的情况下,UE可以使用进入inactive态前的用户面安全保护方法保护早期数据传送(early data transfer),或者UE可以使用从核心网获取的用户面安全保护方法保护早期数据传送。
其中,携带的新的用户面安全激活方法指示信息的具体内容可以参考用户面安全激活方法指示信息。用途指示信息可以指示该UE从inactive态进入连接态后,用户面安全保护方法是只可以用于保护早期数据传送,还是只可以用于在进入连接态后才可以用于保护传递用户面数据,还是既可以用于保护早期数据传送,又可以用于在进入连接态后才可以用于保护传递用户面数据。比如,可以用枚举型的消息格式传递这个信息。因此,步骤504-2和步骤506-2中,源接入网设备和UE分别只需要根据新协商的用户面安全保护方法确定保存第一指示信息。
图5-2所示实施例为UE和源接入网设备均保存了第一指示信息,在一种特殊的情况下,源接入网设备和UE均不保存第一指示信息,源接入网设备和UE从连接态进入inactive态的过程中,存在一种固定的用户面安全保护方法,那么接入网设备和UE从连接态进入inactive态时,可直接使用该固定的用户面安全保护方法。例如,固定的用户面安全保护方法为不开启用户面加密保护,开启用户面完整性保护。在这种方法下,源接入网设备可以保存从SMF获取的用户面安全策略,以便于UE回到连接态后,源接入网设备可根据用户面安全策略激活和UE之间的用户面安全。
请参见图6,为本申请实施例三提供的通信方法的流程示意图,该实施例主要介绍suspend过程中如何处理用户面安全策略。图6所示实施例在图2所示流程的基础上,增加源接入网设备和/或UE确定是否保存用户面安全密钥的步骤,换言之,图6所示实施例中需确定是否删除用户面加密密钥以及是否删除用户面完整性保护密钥,而图2所示流程中源接入网设备和UE直接删除用户面加密密钥和用户面完整性保护密钥。图6所示的实施例可以包括但不限于如下步骤:
步骤601,源接入网设备获取并保存UE的用户面安全策略。步骤601的实现过程可参见图5-1所示实施例中步骤501-1的具体描述,在此不再赘述。
步骤602,源接入网设备向UE发送RRC释放消息。相应的,UE接收来自源接入网设备的RRC释放消息。步骤602的实现过程可参见图2所示流程中步骤202的具体描述,在此不再赘述。
步骤603,源接入网设备在发送RRC释放消息之后,删除RRC加密密钥,保存RRC完整性保护密钥,保存I-RNTI。
步骤604,源接入网设备确定是否保存用户面安全密钥,即确定是否保存用户面加密密钥以及是否保存用户面完整性保护密钥。
源接入网设备可通过如下几种方式来确定是否保存用户面安全密钥。
方式一,若源接入网设备和UE通过resume消息进入连接态后,采用的是固定的用户面安全保护方法,则源接入网设备在suspend过程中,确定保存与其方法相对应的用户面安全密钥。固定的用户面安全保护方法可以是只做用户面完整性保护、或者只做用户面加密保护、或者既做用户面加密保护又做用户面完整性保护。相应的,源接入网设备采用只保存用户面完整性密钥,或者只保存用户面加密密钥,或者既保存用户面完整性密钥又保存用户面加密密钥。相应的,在UE通过RRC resume消息进入连接态后,源接入网设备只使用户面完整性保护、或者只使用用户面加密保护、或者既使用用户面加密保护又使用用户面完整性保护的密钥对收到的用户面消息进行解保护。
方式二,在源接入网设备只保存用户面安全策略的情况下,即按照图2所示流程执行的情况下,源接入网设备除了保存该用户面安全策略外,还保存当前使用的用户面安全密钥,以便源接入网设备在进入连接态后更好地确定用户面安全保护方法。这种方法好处在于,在该用户面安全策略所包括的用户面加密保护策略和用户面完整性保护策略均为preferred时,直接根据该用户面安全策略确定出之前使用的用户面安全保护方法存在困难,因此在保存该用户面安全策略的同时保存当前使用的用户面安全密钥,可以使源接入网设备知晓之前的用户面安全保护方法。源接入网设备当前使用的用户面安全密钥,指的是源接入网设备在发送RRC释放消息之前,源接入网设备和UE保护用户面安全所使用的用户面安全密钥。
方式三,在源接入网设备保存第一指示信息的情况下,即执行步骤505-1或步骤505-2的情况下,源接入网设备根据第一指示信息确定是否保存用户面安全密钥,即根据第一指示信息所指示的用户面安全保护方法确定是否保存用户面加密密钥以及是否保存用户面完整性保护密钥。例如,第一指示信息指示开启用户面加密保护,不开启用户面完整性保护,则源接入网设备保存用户面加密密钥,删除用户面完整性保护。
方式四,在源接入网设备保存了某个粒度信息相关的用户面资源的情况下,源接入网设备可根据该用户面资源对应的用户面安全保护方法确定是否保存用户面加密密钥以及是否保存用户面完整性保护密钥。
方式五,若源接入网设备与UE新协商了用户面安全保护方法,则源接入网设备可根据新协商的用户面安全保护方法,确定是否保存用户面加密密钥以及是否保存用户面完整性保护密钥。
因为源接入网设备保存了用户面安全密钥,因此源接入网设备会保留用户面安全激活方法的相关DRB配置信息。可以理解为源接入网设备将用户面安全激活方法的相关DRB配置信息和用户面安全密钥一起保存在源接入网设备。
步骤605,UE在接收到RRC释放消息之后,对RRC释放消息的完整性保护进行验证,若验证成功,则UE存储NCC值,并删除RRC加密密钥、保存RRC完整性保护密钥。
步骤606,UE确定是否保存用户面安全密钥,即确定是否保存用户面加密密钥以及是否保存用户面完整性保护密钥。
UE可通过如下几种方式来确定是否保存用户面安全密钥。
方式一,不管进入inactive态前使用何种用户面安全密钥,UE都保存该用户面安全密钥。在此方式下,UE会在RRC resume流程中重新激活用户面安全保护方法,新激活的用户面安全保护方法使用的用户面安全密钥可能与进入inactive态前的相同也可能不同。
方式二,UE可以确定只保存用户面加密密钥、或者只保存用户面完整性保护密钥、或者既保存用户面加密密钥又保存用户面完整性保护密钥。并且保存的内容与源接入网设备侧一致。例如,UE和源接入网设备均只保存用户面加密密钥。该方式下保存的用户面安全密钥可以用于保护早期数据传送。
方式三,UE可以根据当前的用户面安全保护方法确定需要保存的密钥。例如,若UE在进入inactive态前,只开启了用户面加密保护,则需要保存用户面加密密钥,用户面完整性保护密钥可以删除也可以保存;若只开启了用户面完整性保护,则需要保存用户面完整性保护密钥,用户面加密密钥可以保存也可以删除;若既开启了用户面完整性保护,又开启了用户面加密保护,则需要既保存用户面加密密钥,又保存用户面完整性保护密钥。
方式四,在UE保存第一指示信息的情况下,即执行步骤506-2的情况下,UE根据第一指示信息确定需要保存的用户面安全密钥。例如,第一指示信息指示只开启了用户面加密保护,则需要保存用户面加密密钥,用户面完整性保护密钥可以删除也可以保存;若用户面安全激活方法指示信息和/或用户面安全保护方法指示信息只开启了用户面完整性保护,则需要保存用户面完整性保护密钥,用户面加密密钥可以保存也可以删除;若用户面安全激活方法指示信息和/或用户面安全保护方法指示信息既开启了用户面完整性保护,又开启了用户面加密保护,则需要既保存用户面加密密钥,又保存用户面完整性保护密钥。
对于方式四,保存第一指示信息与确定是否保存用户面安全密钥可以同时执行;也可以先保存第一指示信息,再确定是否保存用户面安全密钥;还可以先确定是否保存用户面安全密钥,再保存第一指示信息。
若保存第一指示信息与确定是否保存用户安全密钥同时执行,则UE根据图1步骤106所携带的用户面激活指示信息,或根据当前所使用的用户面安全保护方法,或根据从连接态进入inactive态时所使用的用户面安全保护方法,确定是否保存用户面加密密钥以及是否保存用户面完整性保护密钥,同时生成并保存用户面安全激活指示信息和/或用户面安全保护方法指示信息。这里的同时,是指确定用户面安全密钥与生成并保存用户面安全激活指示信息和/或用户面安全保护方法指示信息无直接关系。
若先保存第一指示信息,再确定是否保存用户安全密钥,那么UE根据图1步骤106所携带的用户面激活指示信息生成并保存用户面安全激活指示信息;根据当前所使用的用户面安全保护方法,或根据从连接态进入inactive态时所使用的用户面安全保护方法生成并保存用户面安全保护方法指示信息;然后UE根据用户面安全激活指示信息和/或用户面安全保护方法指示信息确定是否保存用户面加密密钥以及是否保存用户面完整性保护密钥。可以看出,此时UE根据用户面安全保护方法生成并保存用户面安全保护方法指示信息确定需要保护的用户面安全密钥。
若先确定是否保存用户安全密钥,再保存第一指示信息,那么UE根据图1步骤106所携带的用户面激活指示信息,或根据当前所使用的用户面安全保护方法,或根据从连接态回到inactive态时所使用的用户面安全保护方法,确定是否保存用户面加密密钥以及是否保存用户面完整性保护密钥;然后再根据确定的保存的用户面安全密钥,进一步生成并保存用户面安全激活指示信息和/或用户面安全保护方法指示信息。可以看出,此时UE先确定需要保存的用户面安全密钥,再根据保存的密钥进一步生成并保存用户面安全保护方法指示信息确定需要保护的用户面安全密钥。
因为UE保存了用户面安全密钥,因此UE会保留用户面安全激活方法的相关DRB配置信息。可以理解为UE将用户面安全激活方法的相关DRB配置信息和用户面安全密钥一起保存在UE。
需要说明的是,本申请实施例不限定步骤605与步骤606执行的先后顺序,可以同时执行,也可以先执行步骤605再执行步骤606,还可以先执行步骤606再执行步骤605。
需要说明的是,源接入网设备与UE确定是否保存用户面安全密钥可以是同步的,即执行步骤604和步骤606,或不执行步骤604和步骤606。也可以是不同步的,即执行步骤604不执行步骤606,源接入网设备保存而UE不保存;或执行步骤606不执行步骤604,UE保存而源接入网设备不保存。不同步,更好的考虑UE和基站的后向兼容性,实现最小程度的改动。
在图6所示的实施例中,在suspend过程中,增加UE和/源接入网设备确定是否保存用户面安全密钥的步骤,以便在resume过程中,可以快速对用户面数据进行安全保护、解安全保护。
在图6所示的实施例中,是否保存用户面安全密钥的步骤可在图2的基础上增加,也可在图5-1或图5-2的基础上增加,例如UE根据保存的第一指示信息确定是否保存用户面安全密钥。
图5-1、图5-2以及图6所示的实施例针对suspend过程,下面将对resume过程进行介绍。本申请实施例中,在suspend过程中保存用户面安全密钥的情况下,将保存的用户面安全密钥称为旧的用户面安全密钥,将resume过程中生成的用户面安全密钥称为新的用户面安全密钥,将suspend过程中涉及的用户面安全保护方法称为旧的用户面安全保护方法,将resume过程中重新确定的用户面安全保护方法称为新的用户面安全保护方法。
请参见图7-1,为本申请实施例四提供的通信方法的流程示意图,该实施例主要介绍resume过程中如何对用户面数据进行安全保护。图7-1所示实施例基于图2所示流程,即在suspend过程中UE和源接入网设备均未保存第一指示信息。图7-1所示的实施例可以包括但不限于如下步骤:
步骤701-1,UE使用suspend过程所保存的RRC完整性保护密钥计算resume MAC-I。
步骤702-1,UE向目标接入网设备发送RRC恢复请求。相应的,目标基站接收来自UE的RRC恢复请求。
UE在发送RRC恢复请求之后,生成新的KgNB*,用新的KgNB*生成新的RRC密钥,新的RRC密钥包括新的RRC加密密钥和新的RRC完整性保护密钥。
一种可能的实现方式,UE在发送RRC恢复请求之后,没有生成用户面安全密钥,即图7-1所示,不生成用户面安全密钥。
另一种可能的实现方式,UE在发送RRC恢复请求之后,生成新的用户面安全密钥,具体将在图8-1所示的步骤802-1a进行介绍。
步骤701-1至步骤702-1的实现过程可参见图3所示实施例中步骤301至步骤302的具体描述,不过步骤702-1中只生成RRC密钥,未生成用户面安全密钥。
步骤703-1,目标接入网设备向源接入网设备发送上下文信息获取请求。相应的,源接入网设备接收来自目标接入网设备的上下文信息获取请求。
步骤704-1,源接入网设备向目标接入网设备发送上下文信息获取响应。相应的,目标接入网设备接收来自源接入网设备的上下文信息获取响应。
步骤703-1至步骤704-1的实现过程可参见图3所示实施例中步骤303至步骤304的具体描述。
步骤705-1,若目标接入网设备支持源小区使用的加密算法和完整性保护算法,则使用KgNB*生成新的RRC密钥(包括新的RRC加密密钥和RRC完整性保护密钥),根据用户面安全策略确定用户面安全保护方法,并根据该用户面安全保护方法确定要使用的用户面安全密钥。
目标接入网设备根据用户面安全策略以及自身情况,确定与UE之间的用户面安全保护方法。其中,自身情况可以包括但不限于是否支持开启用户面加密保护、是否支持开启用户面完整性保护、当前资源使用情况、当前负荷情况、UE当前支持的速率等。例如,用户面安全策略中用户面加密保护策略为required,用户面完整性保护为preferred,但是目标接入网设备不支持开启用户面完整性保护,则目标接入网设备确定的与UE之间的用户面安全保护方法为开启用户面加密保护,不开启用户面完整性保护。相应的,根据该用户面安全保护方法确定要使用的用户面安全密钥包括用户面加密密钥,不包括用户面完整性保护密钥。
目标接入网设备的确定用户面安全密钥可以先与用户面安全激活结合在一起,也可以分开。如果结合在一起,则目标接入网设备根据该用户面安全保护方法和KgNB*生成新的用户面安全密钥,使用新的用户面安全保护方法和新的用户面安全密钥激活用户面安全,新的用户面安全密钥即为要使用的用户面安全密钥。例如,第一指示信息所指示的用户面安全保护方法为开启用户面完整性保护,但是目标接入网设备不支持开启用户面完整性保护,那么重新确定的用户面安全保护方法包括不开启用户面完整性保护,相应的,新的用户面安全密钥不包括用户面完整性保护密钥。如果是分开的,则目标接入网设备可以在用户面安全激活之前或之后生成所有用户面安全密钥,再根据用户面安全激活方法确定要使用哪种用户面安全密钥。例如,如果用户面安全激活时只激活了用户面加密保护,没有激活用户面完整性保护,则目标接入网设备只使用用户面加密密钥,不使用用户面完整性保护密钥。此时用户面完整性保护密钥可以删除也可以保留,本申请实施例不做规定。目标接入网设备在确定用户面安全保护方法以及要使用的用户面安全密钥的情况下,可以使用该用户面安全保护方法、该用户面安全密钥以及用户面安全算法对上行用户面数据进行解安全保护,对下行用户面数据进行安全保护。
目标接入网设备在确定用户面安全保护方法之后,可使用该用户面安全保护方法激活用户面安全,可在向UE发送RRC恢复消息之前激活用户面安全,也可以在向UE发送RRC恢复消息之后激活用户面安全,例如在步骤706-1与步骤708-1之间激活用户面安全,或在步骤708-1之后激活用户面安全。
可选的,目标接入网设备在确定的用户面安全保护方法之后,向SMF发送用户面安全激活结果。该用户面安全激活结果,可以通过Pathswitch流程中的消息进行发送,也可以通过其他的流程的消息发送,比如通过切换请求确认传输(handover requestacknowledge transfer)消息。具体的承载消息本发明不做限制。
步骤706-1,目标接入网设备向UE发送RRC恢复消息,该RRC恢复消息包括第二指示信息。相应的,UE接收来自目标接入网设备的RRC恢复消息。
其中,第二指示信息用于指示目标接入网设备所确定的用户面安全保护方法,具体指示是否开启用户面加密保护以及是否开启用户面完整性保护,包括用户面加密保护激活指示信息和/或用户面完整性保护激活指示信息。在一种可能的实现方式中,例如,第二指示信息所包括的用户面完整性保护激活指示信息为enable,不包括用户面加密保护激活指示信息,那么用于指示开启用户面完整性保护,同时开启用户面加密保护。再例如,第二指示信息所包括的用户面完整性保护激活指示信息为disable,不包括用户面加密保护激活指示信息,那么用于指示不开启用户面完整性保护,不开启用户面加密保护。在另一种可能的实现方式中,例如,第二指示信息所包括的用户面完整性保护激活指示信息为enable,用户面加密保护激活指示信息为enable,那么用于指示开启用户面完整性保护,同时开启用户面加密保护。再例如,第二指示信息所包括的用户面完整性保护激活指示信息为disable,用户面加密保护激活指示信息为disable,那么用于指示不开启用户面完整性保护,不开启用户面加密保护。除了上述对第二指示信息的指示方式外,还可以采用两个比特来记录或表示第二指示信息,例如“01”表示用户面加密保护开,用户面完整性保护关。具体UE如何记录以及第二指示信息采用何种方式指示,在本申请实施例中不作限定。
目标接入网设备在RRC恢复消息中携带第二指示信息,以便UE根据第二指示信息激活用户面安全。
RRC恢复消息被目标接入网设备生成的新的RRC密钥进行加密保护和完整性保护,即进行信令面保护。
步骤707-1,UE根据第二指示信息激活用户面安全,并确定要使用的用户面安全密钥。
UE在接收到RRC恢复消息时,对RRC恢复消息的信令面安全进行验证,并在验证成功后,生成所有的用户面安全密钥,然后根据用户面安全激活情况或第二指示信息进一步确定使用哪种用户面安全密钥。该用户面安全激活情况指的是UE从连接态进入第三态之前如何激活用户面安全的。比如,UE生成用户面加密密钥和用户名完整性保护密钥,然后用户面安全激活结情况或第二指示信息指示的是开启用户面加密保护,关闭用户面完整性保护,那么UE只使用用户面加密密钥。用户面完整性保护密钥可以删除也可以保留,本申请实施例不做限定。UE也可以直接根据用户面安全激活情况或者第二指示信息确定要使用的用户面安全密钥。比如,用户面安全激活情况或者第二指示信息指示的是用户面加密开,用户面完整性保护关,则目标接入网设备只需要生成用户面加密密钥,不需要生成用户面完整性保护密钥。
若UE在发送RRC恢复请求之后,生成新的用户面安全密钥,即执行了步骤802-1a,则相应地需执行步骤807-1。
步骤708-1,UE向目标接入网设备发送RRC恢复完成消息。相应的,目标接入网设备接收来自UE的RRC恢复完成消息。
其中,RRC恢复完成消息被步骤702-1生成的RRC密钥进行加密保护和完整性保护,即进行信令面保护。
步骤709-1,UE向目标接入网设备发送第一上行用户面数据。相应的,目标接入网设备接收来自UE的第一上行用户面数据。
UE使用根据第二指示信息所确定的用户面安全保护方法、新的用户面安全密钥和用户面安全算法对上行用户面数据进行安全保护,得到第一上行用户面数据。换言之,第一上行用户面数据为被新的用户面安全密钥保护。这样,目标接入网设备在接收到第一上行用户面数据时,使用用户面安全保护方法、新的用户面安全密钥和用户面安全算法对第一上行用户面数据进行解安全保护,得到上行用户面数据。
其中,用户面安全算法可以是在suspend过程中保存的,也可以是UE和目标接入网设备在resume过程中协商的用户面安全算法,具体使用哪个过程中的用户面安全算法,图7-1所示的实施例以及后续实施例不作限定,后续实施例的介绍过程中省略了用户面安全算法,实际对上行用户面数据进行安全保护需要使用用户面安全保护方法、用户面安全密钥和用户面安全算法。其中,UE和目标接入网设备在resume过程中可以协商信令面安全算法和/或用户面安全算法,或者协商的安全算法既可以用于信令面,也可以用于用户面。
步骤709-1是上行传输,对于下行传输,目标接入网设备在接收到下行用户面数据时,使用用户面安全保护方法、新的用户面安全密钥以及用户面安全算法对下行用户面数据进行安全保护,得到第一下行用户面数据,向UE发送第一下行用户面数据。UE在接收到第一下行用户面数据时,使用用户面安全保护方法、新的用户面安全密钥以及用户面安全算法对第一下行用户面数据进行解安全保护,得到下行用户面数据。
在图7-1所示的实施例中,UE和源接入网设备在suspend过程均未保存第一指示信息,也未确定是否保存用户面安全密钥的情况下,目标接入网设备根据用户面安全策略确定用户面安全保护方法,生成新的用户面安全密钥,通过RRC恢复消息向UE发送第二指示信息,以便UE生成新的用户面安全密钥,并激活用户面安全。该实施例明确UE在接收到第二指示信息时,激活用户面安全,并发送上行用户面数据,目标接入网设备在接收到用户面安全策略之后,可激活用户面安全,从而保证resume过程中用户面数据传输的安全性。
可以理解的是,目标接入网设备根据用户面安全策略确定的用户面安全保护方法是新的用户面安全保护方法,与第一指示信息指示的用户面安全保护方法可能相同,可能不相同。在后续实施例的介绍过程中,将第一指示信息指示的用户面安全保护方法称为旧的用户面安全保护方法,将目标接入网设备不根据第一指示信息确定的用户面安全保护方法称为新的用户面安全保护方法。
请参见图7-2,为本申请实施例五提供的通信方法的流程示意图,该实施例主要介绍resume过程中如何对用户面数据进行安全保护。图7-2所示实施例基于图5-1所示实施例,即在suspend过程中源接入网设备保存了第一指示信息。也可以基于图2所示流程,即使源接入网设备未保存第一指示信息,源接入网设备也可以确定出第一指示信息,例如源接入网设备根据进入inactive态前用户面数据的保护方式确定用户面安全保护方法,进而确定第一指示信息。
图7-2所示的实施例可以包括但不限于如下步骤:
步骤701-2,UE使用suspend过程所保存的RRC完整性保护密钥计算resume MAC-I。
步骤702-2,UE向目标接入网设备发送RRC恢复请求。相应的,目标基站接收来自UE的RRC恢复请求。
UE在发送RRC恢复请求之后,生成新的KgNB*,用新的KgNB*生成新的RRC密钥,新的RRC密钥包括新的RRC加密密钥和新的RRC完整性保护密钥。
步骤701-2至步骤702-2的实现过程可参见图3所示实施例中步骤301至步骤302的具体描述,或参见步骤701-1至步骤702-1的具体描述。
步骤703-2,目标接入网设备向源接入网设备发送上下文信息获取请求。相应的,源接入网设备接收来自目标接入网设备的上下文信息获取请求。
步骤704-2,源接入网设备向目标接入网设备发送上下文信息获取响应。相应的,目标接入网设备接收来自源接入网设备的上下文信息获取响应。
步骤703-2至步骤704-2的实现过程可参见图3所示实施例中步骤303至步骤304的具体描述,不过步骤704-2中上下文信息获取响应除包括步骤304中上下文信息获取响应所包括的内容外,还包括第一指示信息,第一指示信息即为源接入网设备在图5-1所示实施例中步骤501-1所包括的指示信息。
在一种可能的实现方式中,源接入网设备可以判断是否要携带第一指示信息。例如,如果发生了基站变换,那么源接入网设备可以不发送第一指示信息。此时参考步骤304的描述。
步骤705-2,若目标接入网设备支持源小区使用的加密算法和完整性保护算法,则使用KgNB*生成新的RRC密钥(包括新的RRC加密密钥和RRC完整性保护密钥),确定要使用的用户面安全密钥。
在一种可能的实现方式中,目标接入网设备根据判断第一指示信息所指示的用户面安全保护方法是否可用,若不可用则目标接入网设备根据用户面安全策略重新确定与UE之间的用户面安全保护方法,并激活用户面安全;或者目标接入网设备通过发送RRC消息使UE和目标接入网设备重新建立RRC连接的方法重新确定与UE之间的用户面安全保护方法,并激活用户面安全。目标接入网设备向UE发送RRC消息,该RRC消息用于触发UE重新接入、重新建立PDU会话,以重新建立RRC连接。在重新建立RRC连接的过程中,目标接入网设备与UE可按照现有UE与基站协商用户面安全保护方法的方式协商用户面安全保护方法。换言之,重新建立RRC连接意味着UE要重新入网、重新建立PDU会话连接。因此可以重新协商用户面安全保护方法。这样做虽然降低了接入的效率,但是可以实现对现有技术最好的兼容。其中,目标接入网设备根据用户面安全策略重新确定用户面安全保护方法可参见步骤705-1中的描述。目标接入网设备根据激活的用户面安全确定要使用的用户面安全密钥。
在一种可能的实现方式中,目标接入网设备忽略第一指示信息,直接根据用户面安全策略确定用户面安全保护方法,并激活用户面安全。目标接入网设备根据激活的用户面安全确定要使用的用户面安全密钥。
在一种可能的实现方式中,如果源接入网设备经过判断没有携带第一指示信息,则目标接入网设备根据用户面安全策略确定用户面安全保护方法,并激活用户面安全。目标接入网设备根据激活的用户面安全确定要使用的用户面安全密钥。
在一种可能的实现方式中,目标接入网设备直接根据第一指示信息和KgNB*生成新的用户面安全密钥,使用第一指示信息所指示的用户面安全保护方法和新的用户面安全密钥激活用户面安全。由于图7-2针对图5-1,UE未保存第一指示信息,因此在该方式中,目标接入网设备通过在RRC恢复消息中携带第二指示信息来告知UE,以便UE确定用户面安全保护方法,并激活用户面安全。目标接入网设备可在向UE发送RRC恢复消息之前激活用户面安全,也可以在向UE发送RRC恢复消息之后激活用户面安全,例如在步骤706-2与步骤708-2之间激活用户面安全,或在步骤708-2之后激活用户面安全。
步骤706-2,目标接入网设备向UE发送RRC恢复消息,该RRC恢复消息包括第二指示信息。相应的,UE接收来自目标接入网设备的RRC恢复消息。
步骤707-2,UE根据第二指示信息激活用户面安全,并确定要使用的用户面安全密钥。
步骤708-2,UE向目标接入网设备发送RRC恢复完成消息。相应的,目标接入网设备接收来自UE的RRC恢复完成消息。
步骤706-2至步骤708-2的实现过程可参见图7-1中步骤706-1至步骤708-1的具体描述,在此不再赘述。
在图7-2所示的实施例中,源接入网设备在suspend过程中保存第一指示信息,而UE未保存第一指示信息的情况下,目标接入网设备在判断出第一指示信息所指示的用户面安全保护方法不可用时,根据用户面安全策略重新确定用户面安全保护方法并激活用户面安全;或目标接入网设备直接根据第一指示信息所指示的用户面安全保护方法激活用户面安全。该实施例明确UE在接收到第二指示信息时,激活用户面安全,并发送上行用户面数据,目标接入网设备在接收到用户面安全策略和第一指示信息之后,可激活用户面安全,从而保证resume过程中用户面数据传输的安全性。
请参见图7-3,为本申请实施例六提供的通信方法的流程示意图,该实施例主要介绍resume过程中如何对用户面数据进行安全保护。图7-3所示实施例基于图5-2所示实施例,即在suspend过程中源接入网设备和UE均保存第一指示信息。也可以基于图2所示流程,即使源接入网设备未保存第一指示信息,源接入网设备也可以确定出第一指示信息。图7-3所示的实施例可以包括但不限于如下步骤:
步骤701-3,UE使用suspend过程所保存的RRC完整性保护密钥计算resume MAC-I。
步骤702-3,UE向目标接入网设备发送RRC恢复请求。相应的,目标基站接收来自UE的RRC恢复请求。
UE在发送RRC恢复请求之后,生成新的KgNB*,用新的KgNB*生成RRC密钥,RRC密钥包括RRC加密密钥和RRC完整性保护密钥。
步骤701-3至步骤702-3的实现过程可参见图3所示实施例中步骤301至步骤302的具体描述,或参见步骤701-1至步骤702-1的具体描述。
步骤703-3,目标接入网设备向源接入网设备发送上下文信息获取请求。相应的,源接入网设备接收来自目标接入网设备的上下文信息获取请求。
步骤704-3,源接入网设备向目标接入网设备发送上下文信息获取响应。相应的,目标接入网设备接收来自源接入网设备的上下文信息获取响应。其中,上下文信息获取响应包括用户面安全策略和第一指示信息,具体可参见步骤704-2中对其的具体描述。
步骤705-3,若目标接入网设备支持源小区使用的加密算法和完整性保护算法,则使用KgNB*生成新的RRC密钥(包括新的RRC加密密钥和RRC完整性保护密钥),根据第一指示信息确定要使用的用户面安全密钥。其具过程可以参考步骤705-2中根据第一指示信息确定要使用的用户面安全密钥的具体描述。
目标接入网设备可在向UE发送RRC恢复消息之前激活用户面安全,也可以在向UE发送RRC恢复消息之后激活用户面安全,例如在步骤706-3与步骤708-3之间激活用户面安全,或在步骤708-3之后激活用户面安全。
步骤706-3,目标接入网设备向UE发送RRC恢复消息。相应的,UE接收来自目标接入网设备的RRC恢复消息。
步骤707-3,UE根据第一指示信息激活用户面安全,并确定要使用的用户面安全密钥。
UE在接收到RRC恢复消息时,对RRC恢复消息的信令面安全进行验证,并在验证成功后,生成所有的用户面安全密钥,然后根据用户面安全激活情况或第一指示信息进一步确定使用哪种用户面安全密钥。该用户面安全激活情况指的是UE从连接态进入第三态之前如何激活用户面安全的。比如,UE生成用户面加密密钥和用户名完整性保护密钥,然后用户面安全激活情况或第一指示信息指示的是开启用户面加密保护,关闭用户面完整性保护,那么UE只使用用户面加密密钥。用户面完整性保护密钥可以删除也可以保留,本申请实施例不做限定。UE也可以直接根据用户面安全激活情况或者第一指示信息确定要使用的用户面安全密钥。比如,用户面安全激活情况或者第一指示信息指示的是用户面加密开,用户面完整性保护关,则目标接入网设备只需要生成用户面加密密钥,不需要生成用户面完整性保护密钥。UE根据第一指示信息生成新的用户面安全密钥并激活用户面安全的步骤可在接收到RRC恢复消息之后执行,即步骤707-3在步骤706-3之后执行;也可在UE向目标接入网设备发送RRC恢复请求之后执行,即步骤707-3在步骤702-3之后执行。如果在步骤706-3之后执行,若步骤706-3中携带了第二指示信息,则UE需要释放RRC连接。这是因为如果步骤706-3携带了第二指示信息,那么意味着UE要根据第二指示信息重新确定用户面安全保护方法。重新确定用户面安全保护方法,可能导致UE无法继续使用之前的用户面安全保护方法,因此UE需要释放RRC连接。可选的,UE可以向目标接入网设备报告错误,使得目标接入网设备主动发起RRC连接释放或者发起RRC连接重建流程。
步骤708-3,UE向目标接入网设备发送RRC恢复完成消息。相应的,目标接入网设备接收来自UE的RRC恢复完成消息。
图7-3与图7-2的不同之处在于,步骤705-3中目标接入网设备直接根据第一指示信息生成新的用户面安全密钥,并激活用户面安全,由于UE保存有第一指示信息,那么目标接入网设备无需在RRC恢复消息中携带第二指示信息,使得UE和源接入网设备在从连接态进入inactive态之前,与从连接态进入inactive态之后,所使用的用户面安全保护方法一致,UE和源接入网设备可快速对用户面数据进行安全保护或解安全保护。
若目标接入网设备根据用户面安全策略确定新的用户面安全保护方法,则RRC恢复消息中需携带第二指示信息,用于指示目标接入网设备确定的用户面安全保护方法,UE根据第二指示信息确定用户面安全保护方法并激活相应的用户面安全。
在图7-3所示的实施例中,UE和源接入网设备在suspend过程均保存了第一指示信息,均可根据第一指示信息生成新的用户面安全密钥,UE可在接收到RRC恢复消息之前或之后生成新的用户面安全密钥并激活用户面安全,目标接入网设备可在发送RRC恢复消息之后生成新的用户面安全密钥并激活用户面安全,从而保证resume过程中用户面数据传输的安全性。
图7-1、图7-2以及图7-3中,UE在发送RRC恢复请求之后,并没有立即生成用户面安全密钥。下面图8-1至图8-2中,UE在发送RRC恢复请求之后,立即生成用户面安全密钥。
请参见图8-1,为本申请实施例七提供的通信方法的流程示意图,该实施例主要介绍resume过程中如何对用户面数据进行安全保护。图8-1所示实施例基于图5-1所示实施例,也可以基于图2所示流程。图7-2也是基于图5-1,不过图7-2步骤702-2中不生成用户面安全密钥,而图8-1步骤802-1中生成新的用户面安全密钥。图8-1所示的实施例可以包括但不限于如下步骤:
步骤801-1,UE使用suspend过程所保存的RRC完整性保护密钥计算resume MAC-I。
步骤802-1,UE向目标接入网设备发送RRC恢复请求。相应的,目标基站接收来自UE的RRC恢复请求。
UE在发送RRC恢复请求之后,生成新的KgNB*,用新的KgNB*生成新的RRC密钥,新的RRC密钥包括新的RRC加密密钥和新的RRC完整性保护密钥。UE在发送RRC恢复请求之后,还生成新的用户面安全密钥,将UE生成新的用户面安全密钥作为步骤802-1a。
在步骤802-1a中,UE生成的新的用户面安全密钥为用户面加密密钥,或用户面完整性保护密钥,或用户面加密密钥和用户面完整性保护密钥。可以理解的是,该新的用户面安全密钥为一种已经确定的用户面安全密钥。
在一种可能的实现方式中,UE直接根据新的KgNB*生成新的用户面安全密钥,即新的用户面加密密钥和新的用户面完整性保护密钥。该方式即为图3步骤302中可选的。
在一种可能的实现方式中,在图5-2所示实施例中UE和源接入网设备均保存第一指示信息的情况下,UE根据新的KgNB*,以及保存的第一指示信息,生成新的用户面安全密钥。此时生成的是新的用户面加密密钥和/或新的用户面完整性保护密钥。举例来说,第一指示信息指示不开启用户面加密保护,开启用户面完整性保护,那么UE根据新的KgNB*生成新的用户面完整性保护密钥,不必生成新的用户面加密密钥。
若UE在suspend过程中保存了用户面安全密钥,例如在图6所示实施例中UE确定保存用户面安全密钥,那么UE在生成新的用户面安全密钥的情况下,并且没有早期数据传送(early data transfer)发生的情况下,删除suspend过程所保存的用户面安全密钥。本申请实施例将suspend过程保存的用户面安全密钥称为旧的用户面安全密钥,将resume过程新生成的用户面安全密钥称为新的用户面安全密钥,那么在生成新的用户面安全密钥的情况下,并且没有早期数据传送发生的情况下,删除旧的用户面安全密钥。在有早期数据传送的情况下,则选取合适时机删除旧的用户面安全密钥。例如UE在接收到RRC恢复消息后删除,再例如UE在确定早期数据发送成功后删除。图8-1所示的实施例,不管UE在suspend过程是否保存旧的用户面安全密钥,在接收到RRC恢复消息之后都使用新的用户面安全密钥;或者UE在suspend过程未保存旧的用户面安全密钥,则使用新的用户面安全密钥保护和验证接收到RRC恢复消息之后的上下行用户面数据。
UE在生成新的用户面安全密钥的情况下,可以立即激活用户面安全,也可以不立即激活用户面安全,即激活用户面安全可以在步骤802-1a执行,也可以在步骤802-1a之后执行。立即激活的好处在于:用户面安全有利于UE可以立即发送上行用户面数据,并且上行用户面数据可以被新的用户面安全密钥进行安全保护。不立即激活的好处在于:UE可以确定resume过程中,在UE确定成功接入目标接入网设备或源接入网设备后再发送上行用户面数据。若UE没有确定接入成功就发送上行用户面数据,那么发送的上行用户面数据可能因为resume过程的不成功而需要再次发送。同时,若不立即激活,则UE无法立即发送上行用户面数据,或者发送的上行用户面数据是没有安全保护的。图8-1所示实施例以激活用户面安全在步骤806-1之后执行为例。
在步骤802-1a是否激活用户面安全,可以由UE根据是否需要立即发送上行用户面数据确定,例如,UE需要立即发送上行用户面数据,那么可以在生成新的用户面安全密钥之后,立即激活用户面安全。在步骤802-1a是否激活用户面安全,也可以由UE根据UE和接入网设备预先约定的流程激活。例如,根据标准规定,UE和接入网设备在接入网设备发送RRC恢复消息(即步骤806-1)之后,激活用户面安全,那么UE在生成新的用户面安全密钥之后,不立即激活用户面安全,即不在步骤802-1a激活用户面安全。换言之,该例中激活用户面安全与生成用户面安全密钥是解耦的。再例如,标准规定,UE可以在其发送RRC恢复请求之后或之前激活用户面安全,那么UE可以先激活用户面安全,再根据激活的用户面安全生成新的用户面安全密钥;或者UE先生成所有的用户面安全密钥,再根据需激活的用户面安全确定要使用的用户面安全密钥,即确定新的用户面安全密钥(此时步骤802-1a生成用户面加密密钥和用户面完整性保护密钥,然后UE在步骤807-1确定要使用哪个密钥,具体在图8-2所示实施例中介绍)。
在UE保存有旧的用户面安全密钥的情况下,在有早期数据传送的情况下,UE和接入网设备可能发生2次用户面安全激活。即发送早期数据前,UE先激活用户面安全,此时用户面安全保护方法可以是UE在进入inactive前的用户面安全保护方法(按需的用户面安全保护方法),也可以是标准规定好的固定的用户面安全保护方法(固定的用户面安全保护方法,比如只开启完整性保护)。接入网设备会与UE执行相同的处理,即当接入网设备收到早期数据时,先激活用户面安全,此时用户面安全保护方法可以是UE在进入inactive前的用户面安全保护方法(按需的用户面安全保护方法),也可以是标准规定好的固定的用户面安全保护方法(固定的用户面安全保护方法,比如只开启完整性保护)。在早期数据发送后,UE和接入网设备可以再次激活用户面安全。此时的激活的用户面安全用于UE和接入网设备进入连接态后使用。其用户面安全保护方法可以与第一次的相同,也可以不同。当然,一种可行的优化方法是,若接入网设备判断可以继续使用第一次激活的用户面安全保护方法,则接入网和UE继续使用之前的用户面安全保护方法。此时可以在步骤806-1中显示的告知,比如通过传递第二指示信息告知;也可以通过隐式的告知,即不传递任何指示信息,UE和接入网设备默认继续使用已经激活的用户面安全保护方法。在这种情况下,UE和接入网设备可以继续使用保存的旧的用户面安全密钥,也可以使用新生成的用户面安全密钥。使用旧的用户面安全密钥的好处是,不需要占用资源额外生成一个。使用新的用户面安全密钥的好处是,与现有用户面安全保护方法的兼容性好。
其中,UE激活用户面安全,指的是UE激活与目标接入网设备之间的用户面安全保护方法,可以开启使用该用户面安全保护方法对上行用户面数据进行安全保护。若不存在目标接入网设备,那么UE激活与源接入网设备之间的用户面安全保护方法。
步骤803-1,目标接入网设备向源接入网设备发送上下文信息获取请求。相应的,源接入网设备接收来自目标接入网设备的上下文信息获取请求。
步骤804-1,源接入网设备向目标接入网设备发送上下文信息获取响应。相应的,目标接入网设备接收来自源接入网设备的上下文信息获取响应。
步骤803-1至步骤804-1的实现过程可参见图3所示实施例中步骤303至步骤304的具体描述,不过步骤804-1中上下文信息获取响应除包括步骤304中上下文信息获取响应所包括的内容外,可选的还包括第一指示信息,该第一指示信息即为源接入网设备在图5-1所示实施例中步骤505-1所保存的指示信息。另一种可能实现的方式为,在第一指示信息生成的情况下,源接入网设备可以进一步判断是否发送第一指示信息。若源接入网设备将resume流程使用的安全上下文发给目标接入网设备,则不发送第一指示信息。
步骤805-1,若目标接入网设备支持源小区使用的加密算法和完整性保护算法,则使用KgNB*生成新的RRC密钥(包括新的RRC加密密钥和RRC完整性保护密钥),确定要使用的用户面安全密钥。
在一种可能的实现方式中,若上下文信息获取响应只包括用户面安全策略,则目标接入网设备根据用户面安全策略激活用户面安全,并根据激活的用户面安全确定要使用的用户面安全密钥,具体可参见图7-1中步骤705-1的描述。作为步骤705-1的一种可能实现方式的补充,图8-2中步骤807-2的描述也可以进行参考。
在一种可能的实现方式中,若上下文信息获取响应包括用户面安全策略和第一指示信息,则目标接入网设备可在判断出第一指示信息所指示的用户面安全保护方法不可用的情况下,根据用户面安全策略激活用户面安全,相应的,根据激活的用户面安全确定要使用的用户面安全密钥。目标接入网设备可在判断出第一指示信息所指示的用户面安全保护方法可用的情况下,根据第一指示信息激活用户面安全;相应的,目标接入网根据激活的用户面安全确定要使用的用户面安全密钥。具体可参见图7-1中步骤705-1的描述,或图8-2中步骤807-2的描述。或目标接入网设备直接根据第一指示信息确定要使用的用户面安全密钥。具体可参见图7-2中步骤705-2的描述。
特别的,若不存在目标接入网设备,即UE向源接入网设备发送RRC恢复请求,那么源接入网设备生成用户面安全密钥与激活用户面安全可能不同步,即源接入网设备可以先生成所有的用户面安全密钥,再根据要激活的用户面安全确定使用哪个用户面安全密钥。源接入网设备也可以确定继续使用保存的旧的用户面安全密钥,若继续使用旧的用户面安全密钥,那么源接入网设备可通过在RRC恢复消息中携带指示信息,该指示信息用于指示继续使用旧的用户面安全密钥。此时,UE不执行步骤802-1a,即不生成新的用户面安全密钥,或者执行802-1a,不过在步骤807-1中删除新的用户面安全密钥。
在另一种可能的实现方式中,若不存在目标接入网设备,则源接入网设备根据第一指示信息激活用户面安全。然后向UE发送第二指示信息。UE根据第二指示信息激活用户面安全,并确定使用哪种用户面安全密钥。
但是当存在目标接入网设备的情况下,UE和目标接入网设备只能使用新的用户面安全密钥。因此UE在接收到RRC恢复消息后,需确定是否存在目标接入网设备,若存在目标接入网设备,则UE需要删除保存的旧的用户面安全密钥,开始使用新的用户面安全密钥。因为目标接入网设备没有旧的用户面安全密钥,因此目标接入网设备只能使用新的用户面安全密钥。在这个情况下,源接入网设备删除旧的用户面安全密钥。源接入网设备删除旧的用户面安全密钥,例如可在步骤804-1之后删除。
步骤806-1,目标接入网设备向UE发送RRC恢复消息,该RRC恢复消息包括第二指示信息。相应的,UE接收来自目标接入网设备的RRC恢复消息。
步骤807-1,UE根据第二指示信息激活用户面安全。
与步骤707-1以及步骤707-2的不同之处在于,步骤807-1中直接根据第二指示信息激活用户面安全,即可以使用新的用户面安全密钥和第二指示信息所指示的用户面安全保护方法对上行用户面数据进行安全保护,对下行用户面数据进行解安全保护。在激活用户面安全后,因为步骤802-1a已经生成了新的用户面安全密钥,因此步骤807-1可根据用户面安全激活情况,直接使用新的用户面安全密钥即可。而步骤707-1以及步骤707-2为,根据第二指示信息确定与目标接入网设备之间的用户面安全保护方法,激活用户面安全。换言之,步骤707-1以及步骤707-2中,新的用户面安全密钥与第二指示信息相关,而步骤807-1中,新的用户面安全密钥与第二指示信息无关。
若UE保存有旧的用户面安全密钥,那么UE在使用新的用户面安全密钥激活用户面安全之后,删除旧的用户面安全密钥。
步骤808-1,UE向目标接入网设备发送RRC恢复完成消息。相应的,目标接入网设备接收来自UE的RRC恢复完成消息。
步骤809-1,UE向目标接入网设备发送第一上行用户面数据。相应的,目标接入网设备接收来自UE的第一上行用户面数据。
步骤808-1至步骤809-1的实现过程可参见步骤708-1至步骤709-1的具体描述。
在图8-1所示的实施例中,源接入网设备在suspend过程保存第一指示信息,而UE未保存第一指示信息的情况下,目标接入网设备在确定出用户面安全保护方法之后将其告知UE。该实施例明确UE在接收到第二指示信息时,激活用户面安全,并发送上行用户面数据,目标接入网设备在接收到用户面安全策略和第一指示信息之后,可激活用户面安全,从而保证resume过程中用户面数据传输的安全性。
若UE在suspend过程保存了第一指示信息,即图5-2所示实施例,那么在步骤802-1a中UE根据第一指示信息生成新的用户面安全密钥,在步骤805-1中目标接入网设备根据第一指示信息生成新的用户面安全密钥并激活用户面安全,在步骤806-1中RRC恢复消息不携带第二指示信息,在步骤808-1中UE根据第一指示信息激活用户面安全,步骤809-1中UE使用第一指示信息指示的用户面安全保护方法以及新的用户面安全密钥对上行用户面数据进行安全保护,得到第一上行用户面数据。
请参见图8-2,为本申请实施例八提供的通信方法的流程示意图,该实施例主要介绍resume过程中如何对用户面数据进行安全保护。图8-2所示实施例基于图5-1所示实施例,也可以基于图2所示流程。图8-2也是基于图5-1,不过图8-2步骤802-2a中生成所有的用户面安全密钥,而图8-1步骤802-1a中生成新的用户面安全密钥,一种确定的用户面安全密钥。图8-2所示实施例与图8-1所示实施例相同的部分可参见图8-1的具体描述。图8-2所示的实施例可以包括但不限于如下步骤:
步骤801-2,UE使用suspend过程所保存的RRC完整性保护密钥计算resume MAC-I。
步骤802-2,UE向目标接入网设备发送RRC恢复请求。相应的,目标基站接收来自UE的RRC恢复请求。
步骤802-2a,UE生成所有的用户面安全密钥,所有的用户面安全密钥包括用户面加密密钥和用户面完整性保护密钥,以便UE根据需要激活的用户面安全确定要使用的用户面安全密钥,即确定新的用户面安全密钥。UE可以在接收到RRC恢复消息之后,根据第二指示信息确定要使用的用户面安全密钥。UE也可以在UE保存第一指示信息的情况下,根据第一指示信息确定要使用的用户面安全密钥。图8-2所示实施例以UE在接收到RRC恢复消息之后,根据第二指示信息确定要使用的用户面安全密钥。
步骤803-2,目标接入网设备向源接入网设备发送上下文信息获取请求。相应的,源接入网设备接收来自目标接入网设备的上下文信息获取请求。
步骤804-2,源接入网设备向目标接入网设备发送上下文信息获取响应。相应的,目标接入网设备接收来自源接入网设备的上下文信息获取响应。
步骤805-2,若目标接入网设备支持源小区使用的加密算法和完整性保护算法,则使用KgNB*生成新的RRC密钥(包括新的RRC加密密钥和RRC完整性保护密钥),确定要使用的用户面安全密钥。步骤805-2的实现过程可参见步骤805-1的具体描述。
步骤806-2,目标接入网设备向UE发送RRC恢复消息,该RRC恢复消息包括第二指示信息。相应的,UE接收来自目标接入网设备的RRC恢复消息。
步骤807-2,UE根据第二指示信息确定要使用的用户面安全密钥并激活用户面安全。
UE根据第二指示信息从步骤802-2a生成的所有用户面安全密钥中确定要使用的用户面安全密钥。例如,第二指示信息指示开启用户面加密保护,不开启用户面完整性保护,步骤802-2a生成了用户面加密密钥和用户面完整性保护密钥,则确定的要使用的用户面安全密钥为用户面加密密钥。对于不使用的用户面安全密钥,可以删除也可以保留。
UE在确定新的用户面安全密钥之后,可以使用第二指示信息所指示的用户面安全保护方法和新的用户面安全密钥对上行用户面数据进行安全保护,对下行用户面数据进行解安全保护。
步骤808-2,UE向目标接入网设备发送RRC恢复完成消息。相应的,目标接入网设备接收来自UE的RRC恢复完成消息。
步骤809-2,UE向目标接入网设备发送第一上行用户面数据。相应的,目标接入网设备接收来自UE的第一上行用户面数据。
在图8-1所示的实施例中,源接入网设备在suspend过程保存第一指示信息,而UE未保存第一指示信息的情况下,UE先生成所有的用户面安全密钥,在接收到RRC恢复消息之后确定需要使用的用户面安全密钥并激活用户面安全;目标接入网设备在确定出用户面安全保护方法之后将其告知UE。该实施例明确UE在接收到第二指示信息时,激活用户面安全,并发送上行用户面数据,目标接入网设备在接收到用户面安全策略和第一指示信息之后,可激活用户面安全,从而保证resume过程中用户面数据传输的安全性。
若UE在suspend过程保存了第一指示信息,即图5-2所示实施例,那么在步骤805-2中目标接入网设备根据第一指示信息确定要使用的用户面安全密钥,在步骤806-2中RRC恢复消息不携带第二指示信息,在步骤807-2中UE根据第一指示信息确定需要使用的用户面安全密钥并激活用户面安全,步骤809-2中UE使用第一指示信息指示的用户面安全保护方法以及新的用户面安全密钥对上行用户面数据进行安全保护,得到第一上行用户面数据。
请参见图9-1,为本申请实施例九提供的通信方法的流程示意图,该实施例主要介绍resume过程中如何对用户面数据进行安全保护。图9-1所示实施例基于图5-1所示实施例,也可以基于图2所示流程。图9-1所示实施例与图8-1所示实施例相同的部分可参见图8-1的具体描述。图9-1所示的实施例可以包括但不限于如下步骤:
步骤901-1,UE使用suspend过程所保存的RRC完整性保护密钥计算resume MAC-I。
步骤902-1,UE向目标接入网设备发送RRC恢复请求。相应的,目标基站接收来自UE的RRC恢复请求。
步骤902-1a,UE生成新的用户面安全密钥并激活用户面安全。
步骤902-1b,UE向目标接入网设备发送第一上行用户面数据。相应的,目标接入网设备接收来自UE的第一上行用户面数据。
UE使用第一指示信息所指示的用户面安全保护方法和新的用户面安全密钥对上行用户面数据进行安全保护,得到第一上行用户面数据。换言之,UE使用旧的用户面安全保护方法和新的用户面安全密钥对上行用户面数据进行安全保护,得到第一上行用户面数据。
步骤903-1,目标接入网设备向源接入网设备发送上下文信息获取请求。相应的,源接入网设备接收来自目标接入网设备的上下文信息获取请求。
步骤904-1,源接入网设备向目标接入网设备发送上下文信息获取响应。相应的,目标接入网设备接收来自源接入网设备的上下文信息获取响应。
步骤905-1,若目标接入网设备支持源小区使用的加密算法和完整性保护算法,则使用KgNB*生成新的RRC密钥(包括新的RRC加密密钥和RRC完整性保护密钥),根据第一指示信息确定要使用的用户面安全密钥。
目标接入网设备根据第一指示信息激活用户面安全,根据激活的用户面安全确定要使用的用户面安全密钥。步骤905-1的实现过程可参见步骤705-3的具体描述。
步骤905-1a,目标接入网设备对第一上行用户面数据进行解安全保护,得到上行用户面数据。
目标接入网设备使用旧的用户面安全保护方法和新的用户面安全密钥对第一上行用户面数据进行解安全保护,得到上行用户面数据。
步骤905-1b,目标接入网设备向核心网发送上行用户面数据,具体向用户面功能(user plane function,UPF)发送上行用户面数据。
步骤905-1c,目标接入网设备确定不使用旧的用户面安全保护方法,根据用户面安全策略确定新的用户面安全保护方法。
目标接入网设备根据用户面安全策略确定新的用户面安全保护方法可参见图7-1中步骤705-1的具体描述。
步骤906-1,目标接入网设备向UE发送RRC恢复消息,该RRC恢复消息包括第二指示信息。相应的,UE接收来自目标接入网设备的RRC恢复消息。
其中,第二指示信息用于指示目标接入网设备确定的新的用户面安全保护方法。
步骤907-1,UE根据第二指示信息重新激活用户面安全。
UE使用新的用户面安全保护方法和新的用户面安全密钥重新激活用户面安全,即可以使用新的用户面安全保护方法和新的用户面安全密钥对上行用户面数据进行安全保护。
步骤908-1,UE向目标接入网设备发送RRC恢复完成消息。相应的,目标接入网设备接收来自UE的RRC恢复完成消息。
步骤909-1,UE向目标接入网设备发送第二上行用户面数据。相应的,目标接入网设备接收来自UE的第二上行用户面数据。
UE使用第二指示信息所指示的用户面安全保护方法和新的用户面安全密钥对上行用户面数据进行安全保护,即使用新的用户面安全保护方法和新的用户面安全密钥对上行用户面数据进行安全保护,得到第二上行用户面数据。
在图9-1所示的实施例中,存在两次用户面安全激活,一次是在UE发送RRC恢复请求之后,使用新的用户面安全密钥和旧的用户面安全保护方法,一次是在UE接收到第二指示信息之后,使用新的用户面安全密钥和新的用户面安全保护方法。若步骤905-1c中确定继续使用旧的用户面安全保护方法,则步骤706的RRC恢复消息中不携带第二指示信息,不执行步骤907-1和步骤909-1。
请参见图9-2,为本申请实施例十提供的通信方法的流程示意图,该实施例主要介绍resume过程中如何对用户面数据进行安全保护。图9-1所示实施例基于图6所示实施例,UE和源接入网设备保存用户面安全密钥,将suspend过程保存的用户面安全密钥称为旧的用户面安全密钥。图9-2所示的实施例可以包括但不限于如下步骤:
步骤901-2,UE使用suspend过程所保存的RRC完整性保护密钥计算resume MAC-I。
步骤902-2,UE向目标接入网设备发送RRC恢复请求。相应的,目标基站接收来自UE的RRC恢复请求。
步骤902-2a,UE向目标接入网设备发送第一上行用户面数据。相应的,目标接入网设备接收来自UE的第一上行用户面数据。
UE使用第一指示信息所指示的用户面安全保护方法和旧的用户面安全密钥对上行用户面数据进行安全保护,得到第一上行用户面数据。换言之,UE使用旧的用户面安全保护方法和旧的用户面安全密钥对上行用户面数据进行安全保护,得到第一上行用户面数据。
步骤903-2,目标接入网设备向源接入网设备发送上下文信息获取请求。相应的,源接入网设备接收来自目标接入网设备的上下文信息获取请求。
步骤904-2,源接入网设备向目标接入网设备发送上下文信息获取响应。相应的,目标接入网设备接收来自源接入网设备的上下文信息获取响应。
其中,上下文信息获取响应包括用户面安全策略和第一指示信息,还包括旧的用户面安全密钥。
步骤905-2a,目标接入网设备对第一上行用户面数据进行解安全保护,得到上行用户面数据。
目标接入网设备使用旧的用户面安全保护方法和旧的用户面安全密钥对第一上行用户面数据进行解安全保护,得到上行用户面数据。
步骤905-2b,目标接入网设备向核心网发送上行用户面数据,具体向UPF发送上行用户面数据。
步骤905-2,若目标接入网设备支持源小区使用的加密算法和完整性保护算法,则使用KgNB*生成新的RRC密钥(包括新的RRC加密密钥和RRC完整性保护密钥),确定要使用的用户面安全密钥。
步骤906-2,目标接入网设备向UE发送RRC恢复消息,该RRC恢复消息包括第二指示信息。相应的,UE接收来自目标接入网设备的RRC恢复消息。
步骤907-2,UE根据第二指示信息重新激活用户面安全,并确定要使用的用户面安全密钥。
UE在生成新的用户面安全密钥之后,删除旧的用户面安全密钥。
步骤908-2,UE向目标接入网设备发送RRC恢复完成消息。相应的,目标接入网设备接收来自UE的RRC恢复完成消息。
步骤905-2至步骤908-2的实现过程可参见图7-2所示实施例中步骤705-2至708-2的具体描述。
步骤909-2,UE向目标接入网设备发送第二上行用户面数据。相应的,目标接入网设备接收来自UE的第二上行用户面数据。
UE使用第二指示信息所指示的用户面安全保护方法和新的用户面安全密钥对上行用户面数据进行安全保护,即使用新的用户面安全保护方法和新的用户面安全密钥对上行用户面数据进行安全保护,得到第二上行用户面数据。
在图9-2所示的实施例中,存在两次用户面安全激活,一次是在UE发送RRC恢复请求之后,使用旧的用户面安全密钥和旧的用户面安全保护方法,一次是在UE接收到第二指示信息之后,使用新的用户面安全密钥和新的用户面安全保护方法。
请参见图10,为本申请实施例提供的路径切换流程的示意图,该路径切换流程可与实施例一至实施例十结合,以图7-1为例,该路径切换流程可在步骤704-1之后执行,也可在步骤704-1与步骤705-1之间执行,还可以在步骤709-1之后执行。
图10所示的实施例可以包括但不限于如下步骤:
步骤1001,目标接入网设备向AMF发送路径切换请求。相应的,AMF接收来自目标接入网设备的路径切换请求。
其中,路径切换请求可以是path switch request,路径切换请求包括用户面安全策略,该用户面安全策略为源接入网设备向目标接入网设备发送的。可选的,该路径切换请求还包括该用户面安全策略对应的粒度信息。
步骤1002,AMF向SMF发送会话管理(session management,SM)消息。相应的,SMF接收来自AMF的SM消息。
其中,该SM消息包括用户面安全策略,可选的,还包括该用户面安全策略对应的粒度信息。
步骤1001与步骤1002为目标接入网设备通过AMF向SMF发送用户面安全策略,可选的,发送该用户面安全策略对应的粒度信息。
步骤1003,SMF判断其保存的用户面安全策略与路径切换请求携带的用户面安全策略是否一致。
若切换请求包括用户面安全策略以及该用户面安全策略对应的粒度信息,那么SMF根据该粒度信息查找该粒度信息对应的用户面安全策略,并判断查找到的用户面安全策略与切换请求所携带用户面安全策略是否一致。
若切换请求不包括用户面安全策略对应的粒度信息,切换请求还可以包括UE的标识,SMF保存有UE的标识对应的用户面安全策略,SMF判断UE的标识对应的用户面安全策略与切换请求所携带用户面安全策略是否一致。
步骤1004,若不一致,则SMF向AMF发送SM确认(ack)消息。相应的,AMF接收来自SMF的SM确认消息。
其中,该SM确认消息包括SMF保存的用户面安全策略。
步骤1005,AMF向目标接入网设备发送路径切换响应。相应地,目标接入网设备接收来自AMF的路径切换响应。
其中,路径切换响应可以是path switch request,路径切换响应包括SMF保存的用户面安全策略。
步骤1004-步骤1005为SMF通过AMF向目标接入网设备发送SMF保存的用户面安全策略。
步骤1006,目标接入网设备重新确定用户面安全保护方法,与UE执行切换流程,该切换流程可以是intra-gNB-集中单元(centralized unit,CU)切换(handover,HO)流程,使得UE和目标接入网设备重新确定用户面安全保护方法并激活用户面安全。
若路径切换流程在步骤704-1之后执行,或在步骤704-1与步骤705-1之间执行,那么可不执行步骤1006,步骤705-1中根据从SMF获取的用户面安全策略确定用户面安全保护方法,这样可缩短时延。若路径切换流程在步骤709-1之后执行,那么需执行步骤1006,UE与目标接入网设备重新确定用户面安全保护方法,以纠正之前确定的用户面安全保护方法。
上述详细阐述了本申请实施例的方法,下面提供了本申请实施例的装置。
请参见图11,是本申请实施例提供的通信装置的逻辑结构示意图,该通信装置60可以包括收发单元601和处理单元602。该通信装置60可以是用户终端,也可以是目标接入网设备,还可以是源接入网设备。
针对该通信装置60为用户终端的情况:
处理单元602,用于在收发单元601向目标接入网设备发送RRC恢复请求之后,确定与该目标接入网设备之间的第一用户面安全保护方法;确定与该目标接入网设备之间的第一用户面安全密钥;根据第一用户面安全保护方法和第一用户面安全密钥,对上行用户面数据进行用户面安全保护,得到第一上行用户面数据;
收发单元601,用于向该目标接入网设备发送该第一用户面数据。
该通信装置60为用户终端时,可以实现实施例一至实施例十中UE的功能,该通信装置60中各个单元执行详细过程可以参见实施例一至实施例十中UE的执行步骤,此处不再赘述。
针对该通信装置60为目标接入网设备的情况:
处理单元602,在收发单元601接收到来自用户终端的RRC恢复消息之后,根据来自源接入网设备的上下文信息获取响应确定与该用户终端之间的第一用户面安全保护方法;确定与该用户终端之间的第一用户面安全密钥;在收发单元601接收到来自该用户终端的第一上行用户面数据时,根据该第一用户面安全密钥和第一用户面安全保护方法对第一上行用户面数据进行解用户面安全保护,得到上行用户面数据;
收发单元601,用于发送该上行用户面数据,具体向核心网中的用户面功能发送该上行用户面数据。
该通信装置60为目标接入网设备时,可以实现实施例一至实施例十中目标接入网设备的功能,该通信装置60中各个单元执行详细过程可以参见实施例一至实施例十中目标接入网设备的执行步骤,此处不再赘述。
该通信装置60为源接入网设备时,可以实现实施例一至实施例十中源接入网设备的功能,该通信装置60中各个单元执行详细过程可以参见实施例一至实施例十中源接入网设备的执行步骤,此处不再赘述。
请参见图12,是本申请实施例提供的通信装置的实体结构简化示意图。该通信装置70可以是用户终端,也可以是目标接入网设备,还可以是源接入网设备。
该通信装置70包括收发器701、处理器702和存储器703。收发器701、处理器702和存储器703可以通过总线704相互连接,也可以通过其它方式相连接。图11所示的收发单元601所实现的相关功能可以由收发器701来实现。图11所示的处理单元602所实现的相关功能可以通过一个或多个处理器702来实现。
存储器703包括但不限于是随机存储记忆体(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程只读存储器(erasable programmableread only memory,EPROM)、或便携式只读存储器(compact disc read-only memory,CD-ROM),该存储器703用于相关指令及数据。
收发器701用于发送数据和/或信令,以及接收数据和/或信令。
若该通信装置70是实施例一至实施例十中的UE,则收发器701可用于与源接入网设备和目标接入网设备进行通信,例如执行图7-2所示实施例中的步骤702-2、步骤706-2、步骤708-2以及步骤709-2。
若该通信装置70是实施例一至实施例十中的目标接入网设备,则收发器701可用于与UE、源接入网设备和AMF进行通信,例如执行图7-2所示实施例中的步骤702-2、步骤703-2、步骤704-2、步骤706-2、步骤708-2和步骤709-2。
若该通信装置70是实施例一至实施例十中的源接入网设备,则收发器701可用于与目标接入网设备和UE进行通信,例如执行图7-2所示实施例中的步骤703-2和步骤704-2。
处理器702可以包括是一个或多个处理器,例如包括一个或多个中央处理器(central processing unit,CPU),在处理器702是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
若该通信装置70是实施例一至实施例十中的UE,则处理器702可用于执行控制UE的操作,例如执行图7-2所示实施例中的步骤701-2和步骤707-2。
若该通信装置70是实施例一至实施例十中的目标接入网设备,则处理器702可用于执行控制目标接入网设备的操作,例如执行图7-2所示实施例中的步骤705-2。
若该通信装置70是实施例一至实施例十中的源接入网设备,则处理器702可用于执行控制源接入网设备的操作。
存储器703用于存储通信装置70的程序代码和数据。
关于处理器702和收发器701所执行的步骤,具体可参见实施例一至实施例十的描述,在此不再赘述。
可以理解的是,图12仅仅示出了通信装置的简化设计。在实际应用中,通信装置还可以分别包含必要的其他组件,包含但不限于任意数量的收发器、处理器、控制器、存储器、通信单元等,而所有可以实现本申请的设备都在本申请的保护范围之内。
本申请实施例还提供一种通信系统,可以包括用户终端和目标接入网设备,该用户终端和目标接入网设备可以用于实现实施例一至实施例十中UE和目标接入网设备的功能,具体可参见实施例一至实施例十中UE和目标接入网设备的具体实现过程。
该通信系统还可以包括源接入网设备,该源接入网设备可以用于实现实施例一至实施例十中源接入网设备的功能,具体可参见实施例一至实施例十中源接入网设备的具体实现过程。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,该流程可以由计算机程序来指令相关的硬件完成,该程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。而前述的存储介质包括:ROM或随机存储记忆体RAM、磁盘或者光盘等各种可存储程序代码的介质。因此,本申请又一实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
本申请又一实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
本领域普通技术人员可以意识到,结合本申请中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriberline,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
Claims (42)
1.一种通信方法,其特征在于,包括:
目标接入网设备在接收到来自用户终端的无线资源控制RRC恢复消息之后,根据来自源接入网设备的上下文信息获取响应中的信息确定与所述用户终端之间的第一用户面安全保护方法;所述第一用户面安全保护方法是指所述用户终端与所述目标接入设备的用户面加密保护是否开启和/或用户面完整性保护是否开启;
所述目标接入网设备确定与所述用户终端之间的第一用户面安全密钥;
所述目标接入网设备根据所述第一用户面安全保护方法以及所述第一用户面安全密钥,激活用户面安全。
2.根据权利要求1所述的方法,其特征在于,所述上下文信息获取响应包括所述用户终端的用户面安全策略;
所述目标接入网设备根据来自源接入网设备的上下文信息获取响应中的信息确定与所述用户终端之间的第一用户面安全保护方法,包括:
所述目标接入网设备根据来自源接入网设备的所述用户面安全策略,确定与所述用户终端之间的第一用户面安全保护方法。
3.根据权利要求1所述的方法,其特征在于,所述上下文信息获取响应包括第一指示信息,所述第一指示信息用于指示所述用户终端从连接态进入第三态之前,所述用户终端与所述源接入网设备所使用的第二用户面安全保护方法;所述第二用户面安全保护方法是指所述用户终端与所述源接入设备的用户面加密保护是否开启和/或用户面完整性保护是否开启;
所述目标接入网设备根据来自源接入网设备的上下文信息获取响应中的信息确定与所述用户终端之间的第一用户面安全保护方法,包括:
所述目标接入网设备根据来自源接入网设备的所述第一指示信息,将所述第二用户面安全保护方法确定为与所述用户终端之间的第一用户面安全保护方法。
4.根据权利要求1所述的方法,其特征在于,所述上下文信息获取响应包括第一指示信息,所述第一指示信息用于指示所述用户终端从连接态进入第三态之前,所述用户终端与所述源接入网设备所使用的第二用户面安全保护方法;
所述目标接入网设备根据来自源接入网设备的上下文信息获取响应中的信息确定与所述用户终端之间的第一用户面安全保护方法,包括:
所述目标接入网设备在确定出所述第二用户面安全保护方法不可用或不使用所述第二用户面安全保护方法时,所述目标接入网设备向所述用户终端发送RRC消息,所述RRC消息用于触发所述用户终端重新建立与所述目标接入网设备之间的RRC连接;
所述目标接入网设备在建立所述RRC连接的过程中,确定与所述用户终端之间的第一用户面安全保护方法。
5.根据权利要求3或4项所述的方法,其特征在于,所述方法还包括:
所述目标接入网设备确定是否支持所述第二用户面安全保护方法。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述目标接入网设备确定与所述用户终端之间的第一用户面安全密钥,包括:
所述目标接入网设备根据所述第一用户面安全保护方法确定与所述用户终端之间使用的第一用户面安全密钥。
7.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
所述目标接入网设备向所述用户终端发送RRC恢复消息,所述RRC恢复消息包括第二指示信息,所述第二指示信息用于指示所述第一用户面安全保护方法。
8.根据权利要求1-7任一所述的方法,其特征在于,所述上下文信息获取响应还包括所述源接入网设备的源小区使用的加密算法、完整性保护算法以及所述源接入网设备生成的新的接入层密钥KgNB*;所述目标接入网设备确定与所述用户终端之间的第一用户面安全密钥,包括:
在所述目标接入网设备支持所述加密算法和完整性保护算法的情况下,所述目标接入网设备根据所述第一用户面安全保护方法和所述KgNB*,确定与所述用户设备之间使用的所述第一用户面安全密钥。
9.根据权利要求1-8任一所述的方法,其特征在于,所述方法还包括:
所述目标接入网设备接收来自所述用户终端的第一上行用户面数据;
所述目标接入网设备根据所述第一用户面安全密钥和所述第一用户面安全保护方法,对所述第一上行用户面数据进行解用户面安全保护,得到上行用户面数据;
所述目标接入网设备发送所述上行用户面数据。
10.根据权利要求1-9任一所述的方法,其特征在于,所述上下文信息获取响应还包括所述用户终端的用户面安全策略,所述用户面安全策略包括用户面加密保护策略和用户面完整性保护策略。
11.根据权利要求10所述的方法,其特征在于,所述用户面安全策略为会话管理功能在所述用户终端创建协议数据单元PDU会话的时候从统一数据管理中获得或者是从所述会话管理功能的本地配置信息中获得。
12.根据权利要求1-11任一所述的方法,其特征在于,所述方法还包括:
所述目标接入网设备接收来自所述用户终端的所述RRC恢复消息,其中,所述RRC恢复请求包括非激活无线网络临时标识I-RNTI和消息认证代码标识MAC-I;
所述目标接入网设备向所述源接入网设备发送上下文信息获取请求,所述上下文信息获取请求包括所述I-RNTI、所述MAC-I以及目标小区的标识;其中,所述目标小区标识为所述目标接入网设备下的,将为所述用户终端提供服务的小区的标识;以及
所述目标接入网设备接收所述上下文信息获取响应。
13.一种通信方法,其特征在于,包括:
用户终端在向目标接入网设备发送无线资源控制RRC恢复请求之后,确定与所述目标接入网设备之间的第一用户面安全保护方法;所述第一用户面安全保护方法是指所述用户终端与所述目标接入设备的用户面加密保护是否开启和/或用户面完整性保护是否开启;
所述用户终端确定与所述目标接入网设备之间的第一用户面安全密钥;
所述用户终端根据所述第一用户面安全保护方法和所述第一用户面安全密钥,激活用户面安全。
14.根据权利要求13所述的方法,其特征在于,所述用户终端确定与所述目标接入网设备之间的第一用户面安全保护方法,包括:
所述用户终端接收来自所述目标接入网设备的RRC恢复消息,所述RRC恢复消息包括第二指示信息,所述第二指示信息用于指示所述第一用户面安全保护方法;
所述用户终端根据所述第二指示信息确定与所述目标接入网设备之间的第一用户面安全保护方法。
15.根据权利要求13所述的方法,其特征在于,所述方法还包括:
所述用户终端在接收到来自源接入网设备的RRC释放消息之后,保存第一指示信息,所述第一指示信息用于指示所述用户终端与源接入网设备从连接态进入第三态之前,所使用的第二用户面安全保护方法;所述第二用户面安全保护方法是指所述用户终端与所述源接入设备的用户面加密保护是否开启和/或用户面完整性保护是否开启。
16.根据权利要求15所述的方法,其特征在于,所述用户终端确定与所述目标接入网设备之间的第一用户面安全保护方法,包括:
所述用户终端将所述第一指示信息指示的所述第二用户面安全保护方法确定为与所述目标接入网设备之间的第一用户面安全保护方法。
17.根据权利要求15或16所述的方法,其特征在于,所述RRC释放消息包括指示信息、第三态无线网络临时标识和下一跳链路级数NCC值,其中,所述指示信息指示所述用户终端释放RRC连接,但不进入空闲态,而是进入非激活态;所述第三态无线网络临时标识用于在基站侧标识非激活态态的所述用户终端,所述NCC值用于在所述用户终端回到连接态的过程中生成新的接入层密钥KgNB*。
18.根据权利要求16或17所述方法,其特征在于,所述用户终端将所述第一指示信息指示的所述第二用户面安全保护方法确定为与所述目标接入网设备之间的第一用户面安全保护方法之前,还包括:
所述用户终端接收来自所述目标接入网设备的RRC恢复消息,所述RRC恢复消息不包括第二指示信息,所述第二指示信息用于指示所述目标接入网设备确定的用户面安全保护方法;
所述用户终端执行将所述第一指示信息指示的所述第二用户面安全保护方法确定为与所述目标接入网设备之间的第一用户面安全保护方法的步骤。
19.根据权利要求16或17所述的方法,其特征在于,在向目标接入网设备发送RRC恢复请求之后,所述方法还包括:
所述用户终端接收来自所述目标接入网设备的RRC恢复消息;
所述用户终端在向目标接入网设备发送RRC恢复请求之后,将所述第一指示信息指示的所述第二用户面安全保护方法确定为与所述目标接入网设备之间的第一用户面安全保护方法,包括:
所述用户终端在接收来自所述目标接入网设备的RRC恢复消息之后,将所述第一指示信息指示的所述第二用户面安全保护方法确定为与所述目标接入网设备之间的第一用户面安全保护方法。
20.根据权利要求13-19任一所述的方法,其特征在于,所述用户终端确定与所述目标接入网设备之间的第一用户面安全密钥,包括:
所述用户终端根据所述第一用户面安全保护方法,确定与所述目标接入网设备之间的第一用户面安全密钥。
21.根据权利要求13-20任一所述的方法,其特征在于,所述用户终端根据所述第一用户面安全保护方法和所述第一用户面安全密钥,激活用户面安全,包括:
所述用户终端根据所述第一用户面安全保护方法和所述第一用户面安全密钥对用户面数据进行安全保护或者解安全保护。
22.根据权利要求21所述的方法,其特征在于,所述用户终端根据所述第一用户面安全保护方法和所述第一用户面安全密钥对用户面数据进行安全保护,包括:
所述用户终端根据所述第一用户面安全保护方法和所述第一用户面安全密钥,对上行用户面数据进行用户面安全保护,得到第一上行用户面数据;
所述用户终端向所述目标接入网设备发送所述第一上行用户面数据。
23.一种通信系统,包括源接入网设备和目标接入网设备,其特征在于:目标接入网设备,用于接收来自用户终端的无线资源控制RRC恢复消息之后,向所述源接入网设备的上下文信息获取请求;接收上下文信息获取响应,并根据所述上下文信息获取响应中的信息确定与所述用户终端之间的第一用户面安全保护方法;所述第一用户面安全保护方法是指所述用户终端与所述目标接入设备的用户面加密保护是否开启和/或用户面完整性保护是否开启;确定与所述用户终端之间的第一用户面安全密钥;根据所述第一用户面安全保护方法以及所述第一用户面安全密钥,激活用户面安全;
所述源接入网设备,用于接收所述上下文信息获取请求,并向所述目标接入网设备发送所述上下文信息获取响应。
24.根据权利要求23所述的通信系统,其特征在于,所述上下文信息获取响应包括第一指示信息,所述第一指示信息用于指示所述用户终端从连接态进入第三态之前,所述用户终端与所述源接入网设备所使用的第二用户面安全保护方法;所述第二用户面安全保护方法是指所述用户终端与所述源接入设备的用户面加密保护是否开启和/或用户面完整性保护是否开启;
所述目标接入网设备,具体用于:根据所述第一指示信息,将所述第二用户面安全保护方法确定为与所述用户终端之间的第一用户面安全保护方法。
25.根据权利要求23所述的通信系统,其特征在于,所述上下文信息获取响应包括第一指示信息,所述第一指示信息用于指示所述用户终端从连接态进入第三态之前,所述用户终端与所述源接入网设备所使用的第二用户面安全保护方法;所述第二用户面安全保护方法是指所述用户终端与所述源接入设备的用户面加密保护是否开启和/或用户面完整性保护是否开启;
所述目标接入网设备,具体用于:在确定出所述第二用户面安全保护方法不可用或不使用所述第二用户面安全保护方法时,向所述用户终端发送RRC消息,所述RRC消息用于触发所述用户终端重新建立与所述目标接入网设备之间的RRC连接;在建立所述RRC连接的过程中,确定与所述用户终端之间的第一用户面安全保护方法。
26.根据权利要求23所述的通信系统,其特征在于,所述目标接入网设备,还用于:根据所述第一用户面安全保护方法确定与所述用户终端之间使用的第一用户面安全密钥。
27.根据权利要求23-26任一所述的通信系统,其特征在于,所述上下文信息获取响应还包括所述源接入网设备的源小区使用的加密算法、完整性保护算法以及所述源接入网设备生成的新的接入层密钥KgNB*;所述目标接入网设备,具体用于:在所述目标接入网设备支持所述加密算法和完整性保护算法的情况下,根据所述第一用户面安全保护方法和所述KgNB*,确定与所述用户设备之间使用的所述第一用户面安全密钥。
28.根据权利要求23-27任一所述的通信系统,其特征在于,所述上下文信息获取响应还包括所述用户终端的用户面安全策略,所述用户面安全策略包括用户面加密保护策略和用户面完整性保护策略。
29.根据权利要求28所述的通信系统,其特征在于,所述用户面安全策略为会话管理功能在所述用户终端创建协议数据单元PDU会话的时候从统一数据管理中获得或者是从所述会话管理功能的本地配置信息中获得。
30.根据权利要求24-29任一所述的通信系统,其特征在于,所述源接入网设备,还用于向所述用户终端发送RRC释放消息,其中,所述RRC释放消息包括指示信息、第三态无线网络临时标识和下一跳链路级数NCC值,其中,所述指示信息指示所述用户终端释放RRC连接,但不进入空闲态,而是进入非激活态;所述第三态无线网络临时标识用于在基站侧标识非激活态态的所述用户终端,所述NCC值用于在所述用户终端回到连接态的过程中生成新的接入层密钥KgNB*。
31.根据权利要求30所述的通信系统,其特征在于,所述源接入网设备,还用于在发送RRC释放消息之后,保存所述第一指示信息。
32.一种通信方法,其特征在于,包括:
目标接入网设备接收来自用户终端的无线资源控制RRC恢复消息之后,向所述源接入网设备的上下文信息获取请求;
所述源接入网设备接收所述上下文信息获取请求,并向所述目标接入网设备发送上下文信息获取响应;
所述述目标接入网设备根据所述上下文信息获取响应中的信息确定与所述用户终端之间的第一用户面安全保护方法;所述第一用户面安全保护方法是指所述用户终端与所述目标接入设备的用户面加密保护是否开启和/或用户面完整性保护是否开启;确定与所述用户终端之间的第一用户面安全密钥;根据所述第一用户面安全保护方法以及所述第一用户面安全密钥,激活用户面安全。
33.根据权利要求32所述的通信方法,其特征在于,所述上下文信息获取响应包括第一指示信息,所述第一指示信息用于指示所述用户终端从连接态进入第三态之前,所述用户终端与所述源接入网设备所使用的第二用户面安全保护方法;所述第二用户面安全保护方法是指所述用户终端与所述源接入设备的用户面加密保护是否开启和/或用户面完整性保护是否开启;所述述目标接入网设备根据所述上下文信息获取响应中的信息确定与所述用户终端之间的第一用户面安全保护方法,包括:
所述目标接入网设备根据所述第一指示信息,将所述第二用户面安全保护方法确定为与所述用户终端之间的第一用户面安全保护方法。
34.根据权利要求32所述的通信方法,其特征在于,所述上下文信息获取响应包括第一指示信息,所述第一指示信息用于指示所述用户终端从连接态进入第三态之前,所述用户终端与所述源接入网设备所使用的第二用户面安全保护方法;所述第二用户面安全保护方法是指所述用户终端与所述源接入设备的用户面加密保护是否开启和/或用户面完整性保护是否开启;所述述目标接入网设备根据所述上下文信息获取响应中的信息确定与所述用户终端之间的第一用户面安全保护方法,包括:
所述目标接入网设备在确定出所述第二用户面安全保护方法不可用或不使用所述第二用户面安全保护方法时,向所述用户终端发送RRC消息,所述RRC消息用于触发所述用户终端重新建立与所述目标接入网设备之间的RRC连接;在建立所述RRC连接的过程中,确定与所述用户终端之间的第一用户面安全保护方法。
35.根据权利要求32所述的通信方法,其特征在于,所述方法还包括:
所述目标接入网设备根据所述第一用户面安全保护方法确定与所述用户终端之间使用的第一用户面安全密钥。
36.根据权利要求32-35任一所述的通信方法,其特征在于,所述上下文信息获取响应还包括所述源接入网设备的源小区使用的加密算法、完整性保护算法以及所述源接入网设备生成的新的接入层密钥KgNB*;所述目标接入网设备确定与所述用户终端之间的第一用户面安全密钥,包括:在所述目标接入网设备支持所述加密算法和完整性保护算法的情况下,根据所述第一用户面安全保护方法和所述KgNB*,确定与所述用户设备之间使用的所述第一用户面安全密钥。
37.根据权利要求32-36任一所述的通信方法,其特征在于,所述上下文信息获取响应还包括所述用户终端的用户面安全策略,所述用户面安全策略包括用户面加密保护策略和用户面完整性保护策略。
38.根据权利要求37所述的通信方法,其特征在于,所述用户面安全策略为会话管理功能在所述用户终端创建协议数据单元PDU会话的时候从统一数据管理中获得或者是从所述会话管理功能的本地配置信息中获得。
39.根据权利要求33-38任一所述的通信方法,其特征在于,所述方法还包括:
所述源接入网设备向所述用户终端发送RRC释放消息,其中,所述RRC释放消息包括指示信息、第三态无线网络临时标识和下一跳链路级数NCC值,其中,所述指示信息指示所述用户终端释放RRC连接,但不进入空闲态,而是进入非激活态;所述第三态无线网络临时标识用于在基站侧标识非激活态态的所述用户终端,所述NCC值用于在所述用户终端回到连接态的过程中生成新的接入层密钥KgNB*。
40.根据权利要求39所述的通信方法,其特征在于,所述方法还包括:
所述源接入网设备在发送RRC释放消息之后,保存所述第一指示信息。
41.一种通信装置,其特征在于,所述通信装置包括处理器和存储器;
所述存储器用于存储计算机执行指令,当所述通信装置运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述通信装置执行如权利要求1-22中任意一项所述的通信方法。
42.一种计算机可读存储介质,其特征在于,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-22任一所述的通信方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210193371.0A CN114727290A (zh) | 2019-04-28 | 2019-04-28 | 通信方法及其装置 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910351464.XA CN111866857B (zh) | 2019-04-28 | 2019-04-28 | 通信方法及其装置 |
| CN202210193371.0A CN114727290A (zh) | 2019-04-28 | 2019-04-28 | 通信方法及其装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910351464.XA Division CN111866857B (zh) | 2019-04-28 | 2019-04-28 | 通信方法及其装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114727290A true CN114727290A (zh) | 2022-07-08 |
Family
ID=72965283
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910351464.XA Active CN111866857B (zh) | 2019-04-28 | 2019-04-28 | 通信方法及其装置 |
| CN202210193371.0A Pending CN114727290A (zh) | 2019-04-28 | 2019-04-28 | 通信方法及其装置 |
| CN202210187352.7A Active CN114727289B (zh) | 2019-04-28 | 2019-04-28 | 通信方法及其装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910351464.XA Active CN111866857B (zh) | 2019-04-28 | 2019-04-28 | 通信方法及其装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210187352.7A Active CN114727289B (zh) | 2019-04-28 | 2019-04-28 | 通信方法及其装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US11445365B2 (zh) |
| EP (2) | EP3965446B1 (zh) |
| JP (1) | JP7422167B2 (zh) |
| CN (3) | CN111866857B (zh) |
| AU (1) | AU2020264654B2 (zh) |
| WO (1) | WO2020221263A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021260256A1 (en) * | 2020-06-24 | 2021-12-30 | Nokia Technologies Oy | User equipment context duplication |
| CN114760623A (zh) * | 2021-01-10 | 2022-07-15 | 华为技术有限公司 | 安全策略处理方法以及通信设备 |
| CN115843438A (zh) * | 2021-07-19 | 2023-03-24 | 北京小米移动软件有限公司 | 一种通信方法、装置及设备 |
| CN115884170A (zh) * | 2021-09-29 | 2023-03-31 | 华为技术有限公司 | 通信方法及装置 |
| CN115334608B (zh) * | 2022-10-14 | 2023-03-31 | 武汉世炬信息技术有限公司 | 切换基站的方法及系统 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101626607B (zh) * | 2008-07-11 | 2012-06-27 | 普天信息技术研究院有限公司 | 无线通信系统中中继场景下终端切换的方法和系统 |
| CN102811468B (zh) * | 2011-06-01 | 2015-04-29 | 华为技术有限公司 | 中继切换安全保护方法、基站及中继系统 |
| EP3351031B1 (en) | 2015-09-14 | 2019-10-09 | Telefonaktiebolaget LM Ericsson (publ) | Radio access nodes and terminal devices in a communication network |
| US10728927B2 (en) * | 2016-11-11 | 2020-07-28 | FG Innovation Company Limited | Data packet delivery in RRC inactive state |
| US10849186B2 (en) | 2017-01-09 | 2020-11-24 | Huawei Technologies Co., Ltd. | System and methods for session management |
| US10595167B2 (en) * | 2017-01-12 | 2020-03-17 | Asustek Computer Inc. | Method and apparatus of handling interest indication in a wireless communication system |
| CN116782416A (zh) | 2017-02-03 | 2023-09-19 | 瑞典爱立信有限公司 | 无上下文取得的无线电资源控制恢复 |
| CN108632922B (zh) * | 2017-03-23 | 2022-07-19 | 中兴通讯股份有限公司 | 一种移动性管理方法及装置 |
| CN111182539B (zh) | 2017-03-24 | 2023-04-07 | 华为技术有限公司 | 通信方法与设备 |
| CN108924829B (zh) * | 2017-04-07 | 2022-05-24 | 中兴通讯股份有限公司 | 一种发送、处理上行数据和认证的方法及装置 |
| CN108966220B (zh) | 2017-07-28 | 2019-07-23 | 华为技术有限公司 | 一种密钥推演的方法及网络设备 |
| CN109586900B (zh) * | 2017-09-29 | 2020-08-07 | 华为技术有限公司 | 数据安全处理方法及装置 |
| CN109600804B (zh) * | 2017-09-30 | 2021-04-02 | 华为技术有限公司 | 一种安全保护的方法、装置和系统 |
| US10812973B2 (en) | 2017-10-19 | 2020-10-20 | Futurewei Technologies, Inc. | System and method for communicating with provisioned security protection |
| EP4333407A3 (en) * | 2018-01-05 | 2024-03-20 | Samsung Electronics Co., Ltd. | Method and device for improved communication performance in wireless communication system |
| JP7123152B2 (ja) * | 2018-03-26 | 2022-08-22 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Rrcインアクティブ状態における測定の一時停止/再開 |
| US10912031B2 (en) * | 2018-04-05 | 2021-02-02 | Samsung Electronics Co., Ltd. | Method and apparatus for operating protocol layer of terminal in inactive mode in next-generation mobile communication system |
| KR102168924B1 (ko) * | 2018-04-16 | 2020-10-22 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 해제 및 재-유보 시의 비활성 파라미터들의 핸들링 |
| KR102143023B1 (ko) * | 2018-04-16 | 2020-08-10 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 비활성 상태로부터의 rrc 재개를 위한 보안 핸들링 |
| US10499357B1 (en) * | 2018-08-09 | 2019-12-03 | Nec Corporation | Method and system for transmission of SUSI in the NAS procedure |
| US20230156820A1 (en) * | 2020-04-07 | 2023-05-18 | Google Llc | Data Communication In An Inactive State |
-
2019
- 2019-04-28 CN CN201910351464.XA patent/CN111866857B/zh active Active
- 2019-04-28 CN CN202210193371.0A patent/CN114727290A/zh active Pending
- 2019-04-28 CN CN202210187352.7A patent/CN114727289B/zh active Active
-
2020
- 2020-04-28 AU AU2020264654A patent/AU2020264654B2/en active Active
- 2020-04-28 EP EP20798176.2A patent/EP3965446B1/en active Active
- 2020-04-28 EP EP23190174.5A patent/EP4290906A3/en active Pending
- 2020-04-28 JP JP2021564192A patent/JP7422167B2/ja active Active
- 2020-04-28 WO PCT/CN2020/087600 patent/WO2020221263A1/zh unknown
-
2021
- 2021-10-28 US US17/513,021 patent/US11445365B2/en active Active
-
2022
- 2022-07-19 US US17/867,939 patent/US11882433B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN114727289A (zh) | 2022-07-08 |
| AU2020264654A1 (en) | 2021-12-23 |
| CN111866857B (zh) | 2022-03-08 |
| US20230007472A1 (en) | 2023-01-05 |
| US11445365B2 (en) | 2022-09-13 |
| EP4290906A3 (en) | 2024-02-28 |
| AU2020264654B2 (en) | 2023-07-06 |
| WO2020221263A1 (zh) | 2020-11-05 |
| EP4290906A2 (en) | 2023-12-13 |
| EP3965446A4 (en) | 2022-06-22 |
| EP3965446A1 (en) | 2022-03-09 |
| JP2022530788A (ja) | 2022-07-01 |
| CN114727289B (zh) | 2023-01-06 |
| US20220060888A1 (en) | 2022-02-24 |
| JP7422167B2 (ja) | 2024-01-25 |
| US11882433B2 (en) | 2024-01-23 |
| CN111866857A (zh) | 2020-10-30 |
| EP3965446B1 (en) | 2023-09-06 |
| EP3965446C0 (en) | 2023-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111866857B (zh) | 通信方法及其装置 | |
| CN108271125B (zh) | 数据发送、数据接收方法及装置 | |
| KR101147067B1 (ko) | 키 파생 방법, 장치 및 시스템 | |
| US11665535B2 (en) | Method, apparatus, and system for dual-connectivity communication | |
| CN108601051B (zh) | 一种切换控制方法及装置 | |
| US11558925B2 (en) | Notification method and device for execution of PDCP data recovery | |
| CN104918242B (zh) | 从基站密钥更新方法、从基站、终端及通信系统 | |
| CN109788544B (zh) | 一种层2处理方法、cu及du | |
| CN109819492B (zh) | 一种确定安全能力的方法和装置 | |
| US9155120B2 (en) | Call establishment | |
| JP2020504521A (ja) | 無線リソース制御接続の再確立 | |
| CN111194032B (zh) | 一种通信方法及其装置 | |
| EP4224748A1 (en) | Session establishment method and apparatus, access network device and storage medium | |
| CN109168161B (zh) | 安全模式激活方法、装置、系统和计算机存储介质 | |
| WO2018228444A1 (zh) | 连接管理方法、终端及无线接入网设备 | |
| CN112154682A (zh) | 密钥更新方法、设备和存储介质 | |
| CN107567059A (zh) | 一种切换请求应答消息的处理方法和装置 | |
| CN114071589A (zh) | 链路切换指示方法、设备、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |