CN115362692B - 一种通信方法、装置及系统 - Google Patents

一种通信方法、装置及系统 Download PDF

Info

Publication number
CN115362692B
CN115362692B CN202080099160.XA CN202080099160A CN115362692B CN 115362692 B CN115362692 B CN 115362692B CN 202080099160 A CN202080099160 A CN 202080099160A CN 115362692 B CN115362692 B CN 115362692B
Authority
CN
China
Prior art keywords
user plane
multicast service
drb
plane security
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202080099160.XA
Other languages
English (en)
Other versions
CN115362692A (zh
Inventor
吴义壮
崔洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN115362692A publication Critical patent/CN115362692A/zh
Application granted granted Critical
Publication of CN115362692B publication Critical patent/CN115362692B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/40Connection management for selective distribution or broadcast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/14Backbone network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种通信方法、装置及系统,该方法包括:接入网设备接收核心网设备发送的第一消息,第一消息中包括多播业务的信息以及多播业务对应的用户面安全策略;之后,接入网设备可根据多播业务的信息,为多播业务分配用于传输多播业务的第一DRB;接入网设备根据多播业务对应的用户面安全策略,确定第一DRB的第一用户面安全激活状态;接入网设备向第一终端设备发送第一RRC消息,第一RRC消息中包括用于指示第一DRB的第一用户面安全激活状态的第一指示信息。经过上述过程,终端设备和接入网设备分别配置了PDCP层实体安全之后,终端设备和接入网设备可根据PDCP层安全的配置,对多播业务的数据包进行用户面安全保护/解用户面安全保护。

Description

一种通信方法、装置及系统
技术领域
本申请涉及通信技术领域,尤其涉及一种通信方法、装置及系统。
背景技术
在目前的无线网络架构中,为了保护终端设备和接入网设备之间的用户面数据传送的安全,需要在终端设备和接入网设备之间激活用户面安全保护。用户面的安全保护是基于协议数据单元(protocol data unit,PDU)会话粒度执行控制的,包括加密保护和完整性保护,每一个PDU会话对应一个用户面安全策略。针对一个PDU会话的用户面安全策略可具体为:是否开启加密保护(必须开启、推荐开启、或不需要开启)以及是否开启完整性保护(必须开启、推荐开启或不需要开启)。
在目前的无线网络中,存在多种类型的业务。比如,单播业务和多播业务等。针对单播业务,接入网设备在与终端设备建立的PDU会话中分配/建立用于传输单播业务对应数据包的数据无线承载(data radio bearer,DRB)。一个PDU会话可以包括一个或者多个DRB,且所有的DRB的用户面安全策略都与该PDU会话的用户面安全策略相同。接入网设备与不同的终端设备之间会建立不同的PDU会话,建立的PDU会话上又包括用于传输不同业务数据包的DRB。为了保护终端设备和接入网设备之间的用户面数据传输安全,接入网设备与不同终端设备之间生成不同的用户面安全密钥(包含加密密钥、完整性保护密钥),所述用户面安全密钥用于保护接入网设备与终端设备之间的用户面数据传输。比如,接入网设备需要给终端设备1发送单播业务的数据包1,则接入网设备首先确定用于传输该数据包1的PDU会话1中的DRB1。之后,接入网设备根据PDU会话1对应的用户面安全策略(例如开启加密保护,不开启完整性保护),确定DRB1的用户面安全激活状态。在从核心网接收到发送给终端设备1的数据包1时,接入网设备根据DRB1的用户面安全激活状态对数据包1执行加密保护,且将加密保护后的数据包1发送给终端设备1。终端设备1接收到加密保护的数据包1后,根据DRB1的用户面安全激活状态对数据包1进行解密,得到明文的数据包1。
当前多播业务可以通过单播传输方式或者多播传输方式进行传输。针对单播传输方式,接入网设备可根据接收多播业务的终端设备数量,将从核心网节点接收到的数据包,复制多份。比如,接入网设备确定3个终端设备需接收该多播业务,则接入网设备可将从核心网节点接收的数据包,复制3份,分别为数据包1、数据包2和数据包3。接入网设备向不同的终端设备分别发送上述数据包1、数据包2和数据包3。针对多播传输方式,接入网设备仅发送一份数据包,需要多个终端设备均支持该数据包的接收与处理。针对多播业务,当前并没有定义如何进行用户面安全保护。
发明内容
本申请提供一种通信方法及装置,以实现对多播业务的用户面安全保护。
第一方面,本申请实施例提供一种通信方法,该方法包括:接入网设备接收核心网设备发送的第一消息,第一消息中包括多播业务的信息以及多播业务对应的用户面安全策略,所述多播业务对应的用户面安全策略用于指示是否开启用户面加密保护以及是否开启用户面完整性保护;之后,接入网设备可根据多播业务的信息,为多播业务分配用于传输多播业务的第一DRB;接入网设备根据多播业务对应的用户面安全策略,确定第一DRB的第一用户面安全激活状态;接入网设备向第一终端设备发送第一RRC消息,第一RRC消息中包括用于指示第一DRB的第一用户面安全激活状态的第一指示信息,第一用户面安全激活状态包括激活或不激活第一DRB的用户面安全保护。
通过上述方法,接入网设备可根据多播业务的用户面安全策略,确定传输多播业务DRB的用户面安全激活状态,且通过RRC消息将上述DRB的用户面安全激活状态指示给终端设备。上述过程,相当于终端设备和接入网设备分别配置了PDCP层实体安全的过程。后续,接入网设备可根据上述PDCP实体安全的配置,对多播业务的数据包进行用户面安全保护;而终端设备根据PDCP实体安全的配置,对多播业务的数据包进行解用户面安全保护,实现了对多播业务的用户面安全保护。
在一种可能的实现方式中,传输多播业务的第一DRB可仅有一个用户面安全激活状态;接入网设备可首先根据PDU会话的用户面安全策略,确定第一DRB的用户面安全激活状态。后续,接入网设备再根据多播业务对应的用户面安全策略,更新上述第一DRB的用户面安全激活状态。
通过上述方法,由于现有技术中,第一DRB的用户面安全激活状态即是根据PDU会话的用户面安全策略所确定的。可选地,接入网设备可在开启多播业务的组播传输方式时,再根据多播业务的用户面安全策略,更新第一DRB的用户面安全激活状态,与现有方案融合度高,便于改进。
可选地,后续,当接入网设备接入到多播业务对应的第一数据包时,可根据第一DRB的第一用户面安全激活状态,对第一数据包进行用户面安全保护,且将用户面安全保护后的第一数据包发送给第一终端设备。
在另一种可能的实现方式中,传输多播业务的第一DBR可包括两种用户面安全激活状态,分别为单播传输方式对应的第二用户面安全激活状态和多播传输方式对应的第一用户面安全激活状态。接入网设备可根据多播业务的用户面安全策略,确定上述第一DBR的第一用户面安全激活状态;根据PDU会话的用户面安全策略,确定上述第一DRB的第二用户面安全激活状态。
通过上述方法,分别与单播传输方式和多播传输方式设置不同的用户面安全激活状态。后续,针对单播传输方式和多播传输方式,可采用不同的用户面安全保护。
可选地,通过上述记载可知,上述第一DRB的第一用户面安全激活状态的指示信息可携带于上述第一RRC消息中,同样上述第一DRB的第二用户面安全激活状态的指示信息可携带于上述第一RRC消息中。或者,接入网设备可向第一终端设备发送第二RRC消息,第二RRC消息中可携带有第一DRB的第二用户面安全激活状态的指示信息。
后续,当接入网设备接收到多播业务对应的第一数据包时,接入网设备可判断传输上述第一数据包的传输方式;若确定使用单播传输方式,则使用第一DRB的第二用户面安全激活状态对第一数据包进行用户面安全保护;或者,若确定使用多播传输方式,则使用第一DRB的第一用户面安全激活状态对第一数据包进行用户面安全保护。可选地,第一终端设备可根据接收第一数据包的终端设备的数量和/或接收第一数据包的终端设备的位置,确定第一数据包的传输方式,不作限定。进一步,接入网设备还可向第一终端设备发送第三指示信息,第三指示信息用于指示上述单播传输方式或者多播传输方式。
可选地,当上述第一用户面安全激活状态为激活所述第一DRB的用户面安全保护时,,则上述第一RRC消息还可包括所述多播业务对应的第一安全算法和多播业务对应的第一密钥;其中,所述多播业务的第一安全算法包括加密算法和完整性保护算法中的至少一个,所述多播业务的第一密钥包括加密密钥和完整性保护密钥中的至少一个。
在一种可能的实现方式中,当第二终端设备加入到多播业务的接收时,接入网设备可向第二终端设备发送第三RRC消息,第三RRC消息中可携带有第一DRB的第一用户面安全激活状态的指示信息。
通过上述方法,可保证加入到多播业务接收的终端设备的DRB的用户面安全激活状态相同,后续,便用采用组播传输方式传输上述多播业务。
可选地,上述第三RRC消息中还可包括多播业务对应的PDCP计数值,或者,PDCP计数值对应的最重要部分对应的值。
可选地,上述第一RRC消息或第三RRC消息中还可包括多播业务对应的安全算法和多播业务对应的密钥。其中,多播业务对应的算法包括加密算法或完整性保护算法中的至少一个,多播业务的密钥包括加密密钥和完整性保护密钥中的至少一个。
第二方面,提供一种通信方法,该方法包括:终端设备接收接入网设备发送的第一RRC消息,第一RRC消息中包括用于传输多播业务的第一DRB的第一用户面安全激活状态的第一指示信息;终端设备可根据第一指示信息,确定第一DRB的第一用户面安全激活状态。
通过上述方法,终端设备侧根据上述第一指示信息,确定第一DRB的用户面安全激活状态的过程,即终端设备配置PDCP实体安全的过程。后续,终端设备可根据所配置的PDCP实体安全,对接入网设备发送的多播业务的第一数据包执行解用户面安全保护,实现了多播业务的传输。
可选地,上述第一DRB可包括一种用户面安全激活状态,或者,两种用户面安全激活状态。针对第一DRB包括两种用户面安全激活状态的情况,上述第一RRC还可携带有第一DRB的另一种(即第二种)用户面安全激活状态的第二指示信息。或者,终端设备可接收接入网设备发送的第二RRC消息,第二RRC消息中可携带有上述第二用户面安全激活状态的指示信息。
针对上述第一DBR仅包括一种用户面安全激活状态的情况,后续当接入网设备接收到核心网设备发送的多播业务的第一数据包之后,接入网设备可根据上述第一DRB的用户面安全激活状态对第一数据包解用户面安全保护。
针对上述第一DRB包括两种用户面安全激活状态的情况,在第一数据包采用多播传输方式的情况下,则终端设备根据第一DRB在多播传输方式下的用户面安全激活状态,对第一数据包进行解安全保护;或者,在第一数据包采用单播传输方式的情况,则终端设备根据第一DRB在单播传输方式下的用户面安全激活状态,对第一数据包进行解安全保护。可选地,终端设备接收接入网设备发送的第三指示信息,第三指示信息用于指示接入网设备采用单播传输方式或者多播传输方式发送第一数据包。
可选地,上述第一RRC消息中可包括多播业务对应的PDCP计数值,或者,PDCP计数值对应的最重要部分对应的值。
可选地,上述第一RRC消息中还包括多播业务对应的安全算法和多播业务对应的密钥,其中,多播业务对应的安全算法包括加密算法和完整性保护算法中的至少一个,多播业务对应的密钥包括加密密钥和完整性保护密钥中的至少一个。
第三方面,提供一种通信系统,包括:会话管理功能SMF网元,用于向接入网设备发送第一消息,第一消息包括多播业务的信息以及多播业务的用户面安全策略;接入网设备,用于根据多播业务的信息,为多播业务分配用于传输多播业务对应的数据包的第一数据无线承载DRB;接入网设备,还用于根据多播业务对应的用户面安全策略,确定第一DRB的第一用户面安全激活状态,第一用户面安全激活状态包括激活或者不激活第一DRB的用户面安全保护;接入网设备,还用于向第一终端设备发送第一无线资源控制RRC消息,第一RRC消息包括第一指示信息,第一指示信息用于指示第一DRB的第一用户面安全激活状态。
可选地,接入网设备根据多播业务的信息,为多播业务分配用于传输多播业务对应的数据包的第一DRB,包括:根据多播业务的信息,确定第一终端设备对应的协议数据单元PDU会话中的第二DRB为用于传输多播业务对应的数据包的第一DRB;接入网设备在接收核心网设备发送的第一消息之前,接入网设备还用于:根据PDU会话对应的用户面安全策略,确定第一DRB的用户面安全激活状态;
接入网设备根据多播业务的用户面安全策略,确定第一DRB的第一用户面安全激活状态,包括:根据多播业务对应的用户面安全策略,将第一DRB的用户面安全激活状态更新为第一用户面安全激活状态。
可选地,接入网设备根据多播业务的信息,为多播业务分配用于传输多播业务对应的数据包的第一DRB,包括:根据多播业务的信息,确定第一终端设备对应的PDU会话中的第二DRB为用于传输多播业务对应的数据包的第一DRB;接入网设备还用于:根据PDU会话对应的用户面安全策略,确定第一DRB的第二用户面安全激活状态;其中,第一用户面安全激活状态对应于第一DRB在多播传输方式下的用户面安全激活状态,第二用户面安全激活状态对应于第一DRB在单播传输方式下的用户面安全激活状态。
可选地,第一RRC消息还包括第二指示信息,第二指示信息用于指示第一DRB在单播传输方式下的用户面安全激活状态。
可选地,接入网设备还用于:向第一终端设备发送第二RRC消息,第二RRC消息包括第二指示信息,第二指示信息用于指示第一DRB在单播传输方式下的用户面安全激活状态。
可选地,接入网设备还用于:接收到多播业务对应的第一数据包;
根据第一DRB的第一用户面安全激活状态,对第一数据包进行安全保护;将安全保护后的第一数据包发送给第一终端设备。
可选地,接入网设备还用于:接收到多播业务对应的第一数据包;判断使用单播传输方式还是多播传输方式向第一终端设备发送第一数据包;在确定使用多播传输方式向第一终端设备发送第一数据包的情况下,根据第一DRB的第一用户面安全激活状态,对第一数据包进行安全保护;或者,在确定使用单播传输方式向第一终端设备发送第一数据包的情况下,根据第一DRB的第二用户面安全激活状态,对第一数据包进行安全保护;将安全保护后的第一数据包发送给第一终端设备。
可选地,接入网设备判断使用单播传输方式还是多播传输方式向第一终端设备发送第一数据包,包括:根据接收第一数据包的终端设备的数量和/或接收第一数据包的终端设备的位置,确定使用单播传输方式还是多播传输方式向第一终端设备发送第一数据包。
可选地,接入网设备还用于:向第一终端设备发送第三指示信息,第三指示信息用于指示接入网设备采用单播传输方式或者多播传输方式向第一终端设备发送安全保护后的第一数据包。
可选地,接入网设备还用于:接收核心网设备发送的第二消息,第二消息用于指示第二终端设备接收多播业务;根据第二消息,向第二终端设备发送第三RRC消息,第三RRC消息包含第四指示信息,第四指示信息用于指示第一DRB的第一用户面安全激活状态。
可选地,第三RRC消息中还包括多播业务对应的分组数据汇聚协议PDCP计数值或多播业务对应的PDCP计数值的最重要部分对应的值。
可选地,第一RRC消息或第三RRC消息中还包括多播业务对应的安全算法和多播业务对应的密钥;其中,多播业务对应的安全算法包括加密算法和完整性保护算法中至少一个,多播业务对应的密钥包括加密密钥和完整性保护密钥中的至少一个。
可选地,多播业务对应的用户面安全策略用于指示是否开启用户面加密保护以及是否开启用户面完整性保护。
可选地,SMF网元确定多播业务的用户面安全策略,包括:接收策略控制功能PCF网元发送的多播业务的用户面安全策略;或者,接收应用功能AF网元发送的第五指示信息,第五指示信息用于指示多播业务的应用层安全策略,或者,第五指示信息用于指示多播业务的应用层安全开启状态,或者,第五指示信息用于指示多播业务的安全需求;根据第五指示信息,确定多播业务的用户面安全策略;或者,根据多播业务的签约信息或者本地配置的多播业务的用户面安全策略,确定多播业务的用户面安全策略。
第四方面,本申请实施例还提供了一种通信装置,通信装置应用于接入网设备,有益效果可以参见第一方面的描述此处不再赘述。该装置具有实现上述第一方面的方法实例中行为的功能。功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,装置的结构中包括接收单元和处理单元,还可以包括发送单元,这些单元可以执行上述第一方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第五方面,本申请实施例还提供了一种通信装置,通信装置应用于终端设备,有益效果可以参见第二方面的描述此处不再赘述。该装置具有实现上述第二方面的方法实例中行为的功能。功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,装置的结构中包括接收单元和处理单元,还可以包括发送单元,这些单元可以执行上述第二方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第六方面,本申请实施例还提供了一种通信装置,通信装置应用于接入网设备,有益效果可以参见第一方面的描述此处不再赘述。通信装置的结构中包括处理器和存储器,处理器被配置为支持接入网设备执行上述第一方面方法中相应的功能。存储器与处理器耦合,其保存通信装置必要的程序指令和数据。通信装置的结构中还包括通信接口,用于与其他设备进行通信。
第七方面,本申请实施例还提供了一种通信装置,通信装置应用于终端设备,有益效果可以参见第二方面的描述此处不再赘述。通信装置的结构中包括处理器和存储器,处理器被配置为支持终端设备执行上述第二方面方法中相应的功能。存储器与处理器耦合,其保存通信装置必要的程序指令和数据。通信装置的结构中还包括通信接口,用于与其他设备进行通信。
第八方面,本申请还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面的方法。
第九方面,本申请还提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面的方法。
第十方面,本申请还提供一种计算机芯片,芯片与存储器相连,芯片用于读取并执行存储器中存储的软件程序,执行上述各方面的方法。
附图说明
图1为本申请实施例提供的点到多点传输方式的一示意图;
图2为本申请实施例提供的单播传输方式的一示意图;
图3为本申请实施例提供的多播传输方式的一示意图;
图4为本申请实施例提供的协议栈的一示意图;
图5为本申请实施例提供的加密保护的一示意图;
图6为本申请实施例提供的完整性保护的一示意图;
图7为本申请实施例提供的网络架构的一示意图;
图8至图12为本申请实施例提供的通信方法的流程示意图;
图13和图14为本申请实施例提供的PDCP层配置的示意图;
图15为本申请实施例提供的多播业务的数据包的一处理示意图;
图16为本申请实施例提供的装置的一结构示意图;
图17为本申请实施例提供的装置的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。其中,在本申请的描述中,除非另有说明,“/”表示前后关联的对象是一种“或”的关系,例如,A/B可以表示A或B;本申请中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。并且,在本申请的描述中,除非另有说明,“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。另外,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
此外,本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
下面将对本申请实施例涉及的名称或术语进行介绍:
一、多播业务
所述多播业务是为了实现从数据源向特定范围内多个用户同时传输数据的一种点到多点的业务。在3GPP网络中,如图1所示,存在向多个终端设备发送相同数据的需求,即点对多点的数据传输。所述点对多点的数据传输也可称为多播业务传输。
针对上述点对多点的数据传输,即上述多播业务传输,存在多种实现方式。在一种可能的实现方案中,可建立多个点对点的传输链路,通过单播传输方式实现上述点至多点的数据传输。例如,如图2所示,设定源端需要将相同的数据包发送给3个目的端,分别为目的端1、目的端2和目的端3。源端可建立3个单播传输链路,将数据包复制3份,分别通过相应的单播传输链路,以单播传输方式,将数据包传输到相应的目的端。在另一种可能的实现方式中,可建立一条被多个目的端共享的链路,即多播传输链路,通过多播传输方式实现点对多点的数据传输。例如,如图3所示,设定源端需要将相同的数据包发送给3个目的端,分别为目的端1、目的端2和目的端3。源端可与目的端1、目的端2与目的端3,之间建立一个多播传输链路。源端可通过上述多播传输链路,以多播传输方式,将数据包传输到目的端1、目的端2和目的端3。
二、用户面安全策略
用户面安全策略,包括用户面加密保护策略和用户面完整保护策略。用户面加密保护策略存在三种可能的值,分别为not needed、preferred和required,用户面完整性保护策略存在三种可能的值,分别为not needed、preferred和required。其中,not needed表示不需要开启,preferred表示可以开启也可以不开启,required表示必须开启。上述三种可能的值可以采用2比特(bit)来指示,例如00指示不需要开启,01指示可以开启可以不开启,11指示必须开启。用户面加密保护策略和用户面完整性保护策略具体采用何种方式对三种可能的值进行指示,在本申请实施例中不作限定。
用户面加密保护即保护数据在传输过程中的机密性(因此又可以被称作用户面机密性保护),机密性是指无法被直接看出真实内容。用户面完整性保护即保护数据在用户面传输过程中的完整性,完整性是指数据是原始的没有被窜改的。
用户面安全保护方法,指的是用户终端侧或基站侧的用户面加密保护是否开启和/或用户面完整性保护是否开启。
三、安全保护
安全保护,对于执行安全功能的节点而言,用户面安全算法和用户面安全密钥一起用于保护用户面数据。具体地,使用加密密钥和加密算法对用户面数据进行加密保护;使用完整性保护密钥和完整性保护算法对用户面数据进行完整性保护。本申请实施例不限定加密保护和完整性保护的顺序关系,即可以先对用户面数据进行加密保护,再做完整性保护;也可以先对用户面进行完整性保护,再对用户面数据进行加密保护。
四、解安全保护
解安全保护,对于执行安全功能的节点而言,用户面安全算法和用户面安全密钥一起用于获得原始的用户面数据。具体地,使用加密密钥和加密算法对加密的用户面数据进行解密;使用完整性保护密钥和完整性保护算法对用户面数据进行完整性验证。本发明实施例不限定解密和验证完整性保护的顺序。但需要理解的是,如果是用户面数据先被加密保护,再被完整性保护,则解安全保护是先验证完整性保护、再对加密后的用户面数据进行解密;如果用户面数据先被完整性保护,再被加密,则解安全保护的顺序为先解密加密后的数据,再进行完整性保护验证。
五、激活用户面安全
激活用户面安全,指的是在确定出用户面安全保护方法的情况下,可以开始配置用户面安全算法和用户面安全密钥来激活该用户面安全,即可以开始使用用户面安全保护方法对应的用户面安全算法和用户面安全保护方法对应的用户面安全密钥来对将要传输的用户面数据进行安全保护。例如,确定的用户面安全保护方法为开启用户面加密保护+不开启用户面完整性保护,用户面加密算法为加密算法A,用户面加密密钥为密钥K,则对于将要传输的用户面数据,采用加密算法A和密钥K对该用户面数据进行用户面加密保护。
六、协议栈
在一种示例中,如图4所示,终端设备和接入网设备之间的用户面协议栈,由下至上,依次包括:物理层(physical,PHY)层、媒体接入控制(media access control,MAC)层、无线链路控制(radio link control,RLC)层、分组数据汇聚协议(packet dataconvergence protocol,PDCP)层和业务数据适配协议(service data adapt protocol,SDAP)层。需要说明的是,在图4中,是以接入网设备为gNB,终端设备为UE为例进行说明的。
其中,SDAP层用于将服务质量流(Qos flow)上传输的数据映射至数据无线承载(data radio bearer,DRB)上传输。PDCP层用于执行用户面安全保护。比如,加密保护和完整性保护等。RLC层负责修复错误和流控。MAC层负责控制与连接物理层的物理介质。比如,在发送数据包的时候,MAC层可以事先判断是否可以发送该数据包,如果可以发送该数据包,则在该数据包加上一些控制信息,最终将该数据包以及控制信息以规定的格式发送给PHY层。PHY层用于为终端设备和接入网设备之间传输的比特或比特组提供服务。
在一示例中,如图5所示,PDCP层的加密保护的过程可为:发送端(Sender)将密钥(KEY)、计数值(COUNT)、承载(BEARER)、方向(DIRECTION)和长度(LENGTH)等参数,输入到加密保护算法(NEA),生成密钥流块(KEY STREAM BLOCK);发送端利用密钥流块,对待发送的纯文本块(PLAIN TEXT BLOCK)进行加密保护(如异或处理等),得到加密文本块(CIPHERTEXT BLOCK);发送端发送加密文本块。同理,接收端(Receiver)将密钥(KEY)、计数值(COUNT)、承载(BEARER)、方向(DIRECTION)和长度(LENGTH)等参数,输入到加密保护算法(NEA),生成密钥流块;接收端利用密钥流块对接收到的加密文本块进行解密(比如,异或处理等),得到纯文本块等。其中,密钥(KEY)可为加密保护的密钥,计数值(COUNT)可为PDCP计数值,承载(BEARER)可为一个承载标识,方向(DIRECTION)可为传输方向对应的值,例如,在下行传输中,方向(DIRECTION)的取值可为1,在上行传输中,方向DIRECTION的取值可为0,长度(LENGTH)可为密钥流长度等。可选地,加密保护也可称为机密性保护,加密保护算法也可称为机密性保护算法。
在一示例中,如图6所示,PDCP层的完整性保护的过程可为:发送端可将密钥(KEY)、计数值(COUNT)、方向(DIRECTION)、消息(MESSAGE)以及承载(BEARER)等参数,输入到完整性保护算法(NIA),得到消息认证码(MAC-I/NAS-MAC)。发送端将消息认证码和消息一起发送给接收端;同理,接收端可将密钥(KEY)、计数值(COUNT)、方向(DIRECTION)、消息(MESSAGE)以及承载(BEARER)等参数,输入到完整性保护算法(NIA),得到消息认证码,该消息认证码还可称为本地生成的消息认证码。接收端可将从发送端接收到的消息认证码与上述本地生成的消息认证码相比较,确定消息的数据完整性。比如,若接收到的消息认证码与本地生成的消息认证码相同,则认为消息的数据是完整的,未被篡改。否则,认为消息的数据是不完整的,可能被篡改。其中,密钥(KEY)可为完整性保护的密钥,计数值(COUNT)可为PDCP计数值,方向(DIRECTION)可为传输方向对应的值,例如,在下行传输中,方向(DIRECTION)的取值可为1,在上行传输中,方向DIRECTION的取值可为0,承载(BEARER)可为一个承载标识。
七、PDCP计数值(PDCPCOUNT)
PDCP实体可为每个多播业务的群组维护一个PDCP计数值。通过上述记载可知,终端设备在解密和完整性验证时,都需要获知上述PDCP计数值。因此,接入网设备与终端设备之间需要保证PDCP计数值相同。比如,在一种可能的实现中:
当UE1加入到多播业务的接收时,gNB可向UE1发送第一RRC消息,所述第一RRC消息可携带UE1中用于传输多播业务的DRB的用户面安全激活状态的指示信息。可选地,该第一RRC消息中还可携带有PDCP计数值。此时,PDCP计数值的取值可为0。后续,在UE1和gNB完成各自的PDCP层安全配置后,可进行多播业务的传输。此后,gNB每向UE1传输一个多播业务的数据包,则PDCP计数值加1。
在任意时刻,当gNB确定UE2加入与UE1相同的多播业务的接收时,gNB可根据上述传输多播业务的DRB配置,向UE2发送第二RRC消息,所述第二RRC消息中携带有所述多播业务的DRB的用户面安全激活状态的指示信息。可选地,该第二RRC消息还可携带有所述多播业务的DRB对应的PDCP计数值,或者,所述PDCP计数值的最重要部分(the mostsignificant parts)对应的值。例如,PDCP计数值可包括32位,上述PDCP计数值的最重要部分所对应的值,可以为PDCP计数值的最高位的n位所对应的值,所述n的取值可为25等,不作限定。
需要说明的是,在本申请的以下实施例中,针对非首个加入多播业务接收的终端设备,则该终端设备对应的RRC消息中可携带多播业务对应的PDCP计数值或PDCP计数值的最重要部分对应的值。如图7所示,为本申请实施例的网络架构示意图,包括接入网和核心网。
其中,接入网用于实现无线接入有关的功能,接入网设备是为终端设备提供接入的设备。接入网设备包括无线接入网(radio access network,RAN)设备和/或接入网(access network,AN)设备。RAN设备可以是第三代合作伙伴计划(3rd generationpartnership proiect,3GPP)中定义的接入网设备。AN设备可以是非3GPP(non-3GPP)定义的接入网设备。
RAN设备,主要负责空口侧的无线资源管理、服务质量(quality of service,QoS)管理、数据压缩和安全处理等。所述RAN设备可以包括各种形式的基站。例如,宏基站、微基站(小站)、中继站或接入点等。RAN设备包括但不限于:5G中的下一代基站(generationnodeB,gNB)、演进型节点B(evolved node B,eNB)、无线网络控制器(radio networkcontroller,RNC)、节点B(node B,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,home evolved nodeB,或homenode B,HNB)、基带单元(baseband unit,BBU)、收发点(transmitting and receivingpoint,TRP)、发射点(transmitting point,TP)、移动交换中心等。RAN设备还可以是云无线接入网络(cloud radio access network,CRAN)场景下的无线控制器、集中单元(centralized unit,CU),和/或分布单元(distributed unit,DU),或者RAN设备可以为中继站、接入点、车载设备、终端设备、可穿戴设备以及未来6G网络中的接入网设备或者未来演进的公用陆地移动通信网络(public land mobile network,PLMN)网络中的接入网设备等。
AN设备,用于使得终端设备与3GPP核心网之间可采用非3GPP技术互联互通。所述非3GPP技术包括但不限于:无线保真(wireless fidelity,WIFI)、全球微波互联接入(worldwide interoperability for microwave access,WiMAX)、码分多址(codedivision multiple access,CDMA)网络技术等。
其中,核心网设备可包括以下中的一个或多个网元:接入和移动管理功能(accessand mobility management function,AMF)网元、会话管理功能(session managementfunction,SMF网元)网元、用户面功能(user plane function,UPF网元)网元、策略控制功能(policy control function,PCF)网元、应用功能(application function,AF)网元、统一数据管理(unified data management,UDM)网元、认证服务器功能(authenticationserver function,AUSF)网元、网络切片选择功能(network slice selection function,NSSF)网元。
AMF网元:主要负责移动网络中的移动性管理,如用户位置更新、用户注册网络、用户切换等。SMF网元:主要负责移动网络中的会话管理,如会话建立、修改、释放。具体功能如为用户分配IP地址、选择提供报文转发功能的UPF网元等。UPF网元:主要负责用户数据的转发和接收。在下行传输中,UPF网元可以从数据网络(data network,DN)接收用户数据,通过接入网设备传输给终端设备;在上行传输中,UPF网元可以通过接入网设备从终端设备接收用户数据,向DN转发该用户数据。可选的,UPF网元中为终端设备提供服务的传输资源和调度功能可以由SMF网元管理控制。PCF网元:主要支持提供统一的策略框架来控制网络行为,提供策略规则给控制层网络功能,同时负责获取与策略决策相关的用户签约信息。AF网元:主要支持与3GPP核心网交互来提供服务,例如影响数据路由决策,策略控制功能或者向网络侧提供第三方的一些服务。UDM网元,主要用于生成认证信任状,用户标识处理(如存储和管理用户永久身份等),接入授权控制和签约数据管理等。AUSF网元,主要用于在终端设备接入网络时执行认证,包括接收安全锚点功能(security anchor function,SEAF)发送的鉴权请求,选择鉴权方法,以及向鉴权存储和处理功能(authentication repository andprocessing function,ARPF)请求鉴权向量等。NSSF网元,主要用于为终端设备选择网络切片实例,确定允许的网络切片选择辅助信息(network slice selection assistanceinformation,NSSAI)、配置NSSAI和确定服务UE的AMF集。
可选地,图7所示的网络架构中,还可包括:终端设备。终端设备可以简称为终端,是一种具有无线收发功能的设备,终端设备可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端设备、增强现实(augmented reality,AR)终端设备、工业控制(industrial control)中的无线终端设备、无人驾驶(self driving)中的无线终端设备、远程医疗(remote medical)中的无线终端设备、智能电网(smart grid)中的无线终端设备、运输安全(transportation safety)中的无线终端设备、智慧城市(smart city)中的无线终端设备、智慧家庭(smart home)中的无线终端设备,以及还可以包括用户设备(userequipment,UE)等。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiation protocol,SlP)电话、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来第五代(the 5thgeneration,5G)网络中的终端设备或者未来演进的公用陆地移动通信网络(public landmobile network,PLMN)中的终端设备等。终端设备有时也可以称为终端设备、用户设备(user equipment,UE)、接入终端设备、车载终端设备、工业控制终端设备、UE单元、UE站、移动站、移动台、远方站、远程终端设备、移动设备、UE终端设备、终端设备、无线通信设备、UE代理或UE装置等。终端设备也可以是固定的或者移动的。本申请实施例对此并不限定。作为示例而非限定,在本申请实施例中,终端设备可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备,是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称,如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上,或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备,更是通过软件支持以及数据交互、云端交互来实现强大功能的设备。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能,例如:智能手表或智能眼镜等,以及只专注于某一类应用功能,需要和其它设备如智能手机配合使用,如各类进行体征监测的智能手环、智能首饰等。在本申请中,终端设备可以是物联网(internet of things,IoT)系统中的终端,IoT是未来信息技术发展的重要组成部分,其主要技术特点是将物品通过通信技术与网络连接,从而实现人机互连,物物互连的智能化网络。本申请中的终端设备可以是机器类型通信(machine type communication,MTC)中的终端设备。本申请的终端设备可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元,车辆通过内置的所述车载模块、车载模组、车载部件、车载芯片或者车载单元可以实施本申请的方法。因此,本申请实施例可以应用于车联网,例如车辆外联(vehicle toeverything,V2X)、车间通信长期演进技术(long term evolution vehicle,LTE-V)、车到车(vehicle to vehicle,V2V)等。
可选地,在图7所示的网络架构中,还可包括:DN。DN可以是为用户提供数据业务服务的服务网络。例如,DN可以是lP多媒体业务(IP multi-media service)网络或互联网(internet)等。其中,终端设备可以建立从终端设备到DN的协议数据单元(protocol dataunit,PDU)会话,来访问DN。
需要说明的是,在不同的通信系统中,上述核心网中的网元可以有不同的名称。在上述图7所示的示意图中,是以第五代移动通信系统为例进行说明的,并不作为对本申请的限定。进一步,上述图7中的核心网网元仅为示意性说明,并不作为对本申请实施例的限定。比如,在图1所示的网络架构中,核心网网元还可包括:网络开放功能(network exposurefunction,NEF)、网络存储器功能(network repository function,NRF)、或业务控制点(service control point,SCP)等中的一个或多个网元等。
本申请实施例提供一种通信方法及装置,包括:接入网设备根据核心网设备发送的多播业务的用户面安全策略,确定用于传输多播业务的数据包的第一DRB的用户面安全激活状态,且向终端设备发送无线资源控制(radio resource control,RRC)消息,所述RRC消息中携带有上述第一DRB的用户面安全激活状态的指示信息。终端设备根据上述RRC消息的指示,确定终端设备中第一DRB的用户面安全激活状态。通过上述过程,接入网设备和终端设备可配置用于传输多播业务的PDCP层安全。当接入网设备接收到多播业务对应的数据时,接入网设备可利用上述PDCP层安全的配置对接收到的多播业务对应的数据包进行用户面安全保护,而终端设备可利用上述PDCP层安全的配置对多播业务对应的数据包进行解用户面安全保护。
其中,接入网设备确定用于传输多播业务的数据包的第一DRB的用户面安全激活状态具体的包含:接入网设备根据多播业务对应的用户面安全策略,确定第一DRB的用户面安全保护方法,所述用户面安全保护方法包含开启或者不开启用户面安全保护。或者所述用户面安全保护方法包含激活或者不激活用户面安全保护。进一步的,接入网设备根据确定的用户面安全保护方法,配置用户面安全算法和用户面安全密钥。所述用户面的安全保护包含加密保护和完整性保护中的至少一个。例如,接入网设备确定的用户面安全保护方法为开启用户面加密保护+不开启用户面完整性保护,则接入网设备配置PDCP实体的用户面加密算法为加密算法A,用户面加密密钥为密钥K。当接入网设备从核心网接收到要传输的用户面数据时,则接入网设备可采用加密算法A和密钥K对该用户面数据进行用户面加密保护。
请参见图8所示,为本申请实施例提供的通信方法的一流程示意图。在该流程示意图中,以核心网设备包括SMF网元、AMF网元、UPF网元等,接入网设备为gNB,终端设备为UE为例进行介绍,包括但不限于以下步骤:
可选地,S800,UE与网络建立PDU会话。
PDU会话建立过程可包括:UE通过gNB向AMF网元发送PDU会话建立请求;AMF网元在接收到该PDU会话建立请求时,向SMF网元发送该PDU会话建立请求中的会话建立请求相关的内容;SMF网元在接收到会话建立请求相关的内容时,可从统一数据管理(unified datamanagement,UDM)网元获取会话相关的签约信息,SMF网元可以从会话相关的签约信息获取该PDU会话的用户面安全策略,或者SMF网元从SMF网元的本地配置信息中获取该PDU会话的用户面安全策略;SMF网元通过AMF网元和gNB向UE发送PDU会话建立完成消息,该PDU会话建立完成消息包括该PDU会话的用户面安全策略。其中,SMF网元获取的用户面安全策略可以为UE的PDU会话的用户面安全策略,针对不同的PDU会话,用户面安全策略有所不同,不同的PDU会话可以采用不同的PDU会话标识进行区分。
可选地,S801,当UE加入到多播业务的接收时,SMF网元可确定多播业务的用户面安全策略。
在本申请实施例中,当UE加入到多播业务的接收时,SMF网元可通过多种方式得知UE加入了多播业务的接收。例如,在一种具体的实现方式中,当UE加入多播业务的接收时,可通过gNB向UPF网元发送因特网组管理协议(internet group management protocol,IGMP)加入(join)消息,UPF网元在接收到上述IGMP加入消息时,可向SMF网元发送用户面事件上报消息。而SMF网元在接收到所述用户面事件上报消息时,可确定此时UE加入到了多播业务的接收。上述示例仅为示意性说明,并不作为对本申请的限定。
在本申请实施例中,SMF网元可根据以下方式中的任一个,确定上述多播业务的用户面安全策略。
第一种方式,SMF网元可根据AF网元发送的第一指示信息,确定多播业务的用户面安全策略。
其中,上述第一指示信息可用于指示多播业务的应用层安全策略。例如,当上述第一指示信息所指示的多播业务的应用层安全策略为应用层加密保护为“required”,应用层完整性保护为“required”时,则所述SMF网元可确定所述多播业务的用户面安全策略为用户面加密保护为“not needed或者preferred”,用户面完整性保护为“not needed或者preferred”;或者,上述第一指示信息可用于指示上述多播业务的应用层安全开启状态,包括应用层加密保护开启或未开启,应用层完整性保护开启或未开启。SMF网元可根据上述多播业务的应用层安全开启状态,确定上述多播业务的用户面安全策略。或者,上述第一指示信息可指示上述多播业务的网络侧的安全需求或安全策略,SMF网元可根据上述多播业务的网络侧的安全需求或安全策略,确定多播业务的用户面安全策略。可选地,上述第一指示信息可携带于多播业务的安全信息中。
第二种方式,SMF网元根据上述多播业务的签约信息,确定多播业务的用户面安全策略。例如,SMF网元可根据多播业务的标识信息,从UDM网元中获取多播业务的签约信息,所述多播业务的签约信息中可包括多播业务的用户面安全策略等。其中,多播业务的标识信息可具体为多播业务的应用程序标识(application identity,APP ID)、多播业务的lP源地址、前缀或端口号等能够标识多播业务的标识信息。
第三种方式,SMF网元根据本地配置的多播业务的用户面安全策略,确定当前多播业务的用户面安全策略。比如,SMF网元本地可配置有多个多播业务的用户面安全策略。SMF网元可根据当前多播业务的标识,查询当前多播业务所对应的用户面安全策略。
第四种方式,SMF网元可通过PCF网元确定多播业务的用户面安全策略。例如,当UE加入到多播业务的接收时,PCF网元可感知到,PCF网元确定多播业务的用户面安全策略,且将多播业务的用户面安全策略通知给SMF网元。例如,在一种具体的实现方式中,当UE加入多播业务的接收时,多播业务对应的AF网元可向NEF网元发送多播业务信息提供(provision)消息。而NEF网元在接收到上述多播业务信息提供(provision)消息后,可向PCF网元转发上述多播业务信息提供(provision)消息。或者,当UE加入多播业务的接入时,多播业务对应的AF网元可直接向PCF网元发送上述多播业务信息提供(provision)消息等,不作限定。之后,PCF网元可获取多播业务的用户面安全策略,且将多播业务的用户面安全策略发送给SMF网元。可选地,上述多播业务信息提供(provision)消息中,可以携带有UE的标识,所述UE的标识可以为UE的外部标识、UE的PDU会话的IP地址或其他可以标识UE的信息等。
在上述第四种方式中,PCF网元可采用以下方式,确定多播业务的用户面安全策略。
方式4.1,PCF网元可接收AF网元发送的第一指示信息,PCF网元可根据第一指示信息,确定多播业务的用户面安全策略。关于PCF网元根据第一指示信息,确定多播业务的用户面安全策略的方式,与上述SMF网元的过程相似,可相互参见。
方式4.2,PCF网元可根据多播业务的签约信息,确定多播业务的用户面安全策略。与上述SMF网元的过程相似,可相互参见。
S802,SMF网元向gNB发送多播业务的信息以及所述多播业务对应的用户面安全策略。
在一种可能的实现方式中,SMF网元可通过AMF网元向gNB发送多播业务的信息以及所述多播业务对应的用户面安全策略。例如SMF网元可向AMF网元发送Namf_communication_N1N2messageTransfer消息,所述Namf_communication_N1N2messageTransfer消息中可包含N2 SM信息,N2 SM信息中可包含多播业务的信息以及所述多播业务对应的用户面安全策略。可选地,Namf_communication_N1N2messageTransfer消息中还可包含有UE的上下文标识(context Id)和/或UE的PDU会话标识,UE上下文标识用于标识AMF网元上存储的UE上下文。
AMF网元在接收到Namf_communication_N1N2messageTransfer消息时,可向gNB发送N2消息,N2消息中包含N2 SM信息。N2 SM消息中包含有UE的上下文标识,gNB可根据UE的上下文标识,获取gNB上存储的UE上下文。其中,UE的上下文标识,可以为RAN侧UE的下一代应用协议标识(next generation application protocol identity,NGAP ID)、AMF侧UE的NGAP ID等,不作限定。
其中,所述多播业务的信息可包括公共信息和/或服务质量配置文件(quality ofservice,QoSprofile)等信息。所述公共信息用于gNB确定当前业务是否属于多播业务。所述QoS配置文件用于gNB确定用于传输多播业务的DRB。
S803,gNB根据上述多播业务的信息,为所述多播业务分配用于传输所述多播业务对应的数据包的第一DRB。
其中,当gNB根据多播业务的信息确定本地无传输所述多播业务的DRB时,则gNB可建立第一DRB,所述第一DRB仅用于传输所述多播业务的数据,不用于传输其他业务的数据。具体的建立第一DRB包含分配一个PDCP实体,并对PDCP实体执行对应配置的过程。
S804,gNB根据多播业务的用户面安全策略,确定第一DRB的用户面安全激活状态,第一DRB的用户面安全激活状态包括激活或不激活所述第一DRB的用户面安全。
在本申请实施例中,gNB确定第一DRB的用户面安全激活状态,即gNB根据多播业务的用户面安全策略配置PDCP实体的安全的过程。具体的可以包含:gNB根据多播业务的用户面安全策略,确定第一DRB的用户面安全保护方法,所述用户面安全保护方法包含开启或不开启用户面安全保护,gNB可根据第一DRB的用户面安全保护方法,配置用户面安全算法和用户面安全密钥。所述用户面安全保护包含加密保护和完整性保护中的至少一个。例如,当上述多播业务的用户面安全策略为:加密保护为“required”,完整性保护为“not needed”。则gNB确定上述第一DRB的第一用户面安全激活状态的过程,包含:gNB确定第一DRB的用户面安全保护方法为激活加密保护+不激活完整性保护,进一步的,配置对应的加密密钥和对应的加密算法。当gNB接收到上述多播业务的数据包时,可采用上述配置的加密密钥和加密算法对上述多播业务的数据包进行加密保护。
S805,gNB向UE发送第一RRC消息,所述第一RRC消息中包括第一指示信息,所述第一指示信息用于指示所述第一DRB的第一用户面安全激活状态。
其中,第一指示信息可以包含加密保护指示和/或完整性保护指示,加密保护指示用于指示是否激活加密保护,完整性保护指示用于指示是否激活完整性保护。
例如,加密保护指示可以为“disabled”或“enabled”指示,“disabled”表明加密不开启,enabled表明加密开启;或者,加密保护指示为加密保护不开启指示,当包含该指示时,表明不开启加密保护。不包含该指示时,表明开启加密保护;或加密保护指示为加密保护开启指示,当包含该指示时,表明开启加密保护。不包含该指示时,表明不开启加密保护。
同理,完整性保护指示可以为“disabled”或“enabled”指示,“disabled”表明完整性保护不开启,enabled表明完整性保护开启;或者完整性保护指示为完整性保护不开启指示,当包含该指示时,表明不开启完整性保护。不包含该指示时,表明开启完整性保护;或完整性保护指示为完整性保护开启指示,当包含该指示时,表明开启完整性保护。不包含该指示时,表明不开启完整性保护。
可选地,所述第一RRC消息中还包括第一DRB的标识信息。
S806,终端设备根据上述第一RRC消息中携带的第一指示信息,确定上述第一DRB的第一用户面安全激活状态。
需要说明的是,在本申请实施例中,gNB根据多播业务的用户面安全策略,确定第一DRB的第一用户面安全激活状态的过程,即gNB根据多播业务的用户面安全策略配置PDCP实体安全的过程。UE根据第一RRC消息中携带的第一指示信息,确定第一DRB的第一用户面安全激活状态的过程,即UE根据第一指示信息配置PDCP实体安全的过程。无论是gNB还是UE,配置PDCP实体安全的过程,可包含将密钥和算法与PDCP实体关联的过程。例如,若第一DRB的第一用户面安全激活状态为激活加密保护,则可将加密密钥和加密算法与PDCP层实体关联或者使用加密密钥和加密算法配置PDCP实体。同理,若上述第一DRB的第一用户面安全激活状态为激活完整性保护,则可将完整性密钥和完整性算法与PDCP层实体关联或者使用完整性保护密钥和完整性算法配置PDCP实体。若上述第一DRB的第一用户面安全激活状态对应的安全保护方法为不激活加密保护和不激活完整性保护,则可以无需执行PDCP实体安全配置,即通过该PDCP的用户面数据包无需安全保护。具体的,如何实现不激活安全保护的方法,在此处不做限制。
在S806之后,gNB与UE之间可进行多播业务的传输,gNB可根据配置的PDCP实体安全,对多播业务对应的数据包进行用户面安全保护。相应的,UE在接收到上述多播业务的数据包之后,可根据配置的PDCP实体安全,对接收的多播业务的数据包进行解用户面安全保护。
当gNB接收到新的UEx加入所述多播业务接收的信息时,gNB可根据第一DRB的用户面安全状态向UEx发送第x RRC消息,所述第x RRC消息包含有用于指示第一DRB的用户面安全激活状态的指示信息。第x RRC消息还包含多播业务对应的PDCP计数值或者PDCP计数值最重要的部分对应的值。所述x的取值可为大于或等于2,小于或等于N的正整数,不作限定。例如,当x的取值为2时,当gNB接收到核心网设备(例如SMF网元或PCF网元)发送的用于指示UE2接收多播业务的第二消息时,gNB可向UE2发送第三RRC消息,所述第三RRC消息包含第四指示信息,所述第四指示信息用于指示所述第一DRB的第一用户面安全激活状态。
在本申请实施例中,上述图8所示流程中的第一DRB可包括一种用户面安全激活状态,即上述第一用户面安全激活状态。或者,上述第一DRB可包括两种用户面安全激活状态,分别为第一用户面安全激活状态和第二用户面安全激活状态,第一用户面安全激活状态对应于第一DRB在多播传输方式下的用户面安全激活状态,第二用户面安全激活状态对应于第一DRB在单播传输方式下的用户面安全激活状态。
针对上述第一DRB仅包括一种用户面安全激活状态,可包括以下两种实现方式:
第一种方式,UE与网络建立PDU会话。当gNB通过所述PDU会话修改流程接收到多播业务的信息时,根据上述PDU会话的用户面安全策略,确定第一DRB的用户面安全激活状态。所述第一DBR可以为在上述PDU会话中新建的DRB。gNB向UE发送第一RRC消息,该第一RRC消息中至少携带有上述第一DRB的用户面安全激活状态。在后续gNB开启多播业务的多播传输方式时,gNB根据多播业务的用户面安全策略,更新上述第一DRB的用户面安全激活状态。例如,gNB可向UE发送第二RRC消息,该第二RRC消息中至少携带有上述第一DRB更新的用户面安全激活状态。
如图9所示,提供一种通信方法的流程,该流程为上述第一种方式的一种示例。该流程不限于包括以下步骤:
可选地,S900,UE1、UE2至UEn与网络建立PDU会话。
S901:当UE1加入到多播业务的接收时,SMF网元确定多播业务的用户面安全策略。
S902:SMF网元向AMF网元发送第一请求消息,所述第一请求消息中携带有多播业务的配置信息和多播业务的关联信息。可选地,第一请求消息可为UE1的PDU会话管理消息。
其中,上述多播业务的配置信息中包括公共信息、多播业务的用户面安全策略信息,或者,服务质量配置文件(quality of service,QoS,profile)等信息中的至少一个。gNB可根据上述多播业务配置信息中所包括的公共信息,确定当前业务是否为多播业务。如果当前业务为多播业务,则gNB可将该多播业务关联到UPF网元至gNB之间的一个数据通道上,该数据通道可以为之前已经建立好的,或者,当前触发建立等,不作限定,所述数据通道还可称为共享隧道等。该数据通道为接收该多播业务的UE服务。
S903:AMF网元向gNB发送N2会话请求,所述N2会话请求中携带有多播业务的配置信息和关联信息。可选地,N2会话请求可为UE1的N2会话请求消息,该消息用于管理UE1的PDU会话建立、修改或者删除等。
S904:gNB向UE1发送第一RRC消息,第一RRC消息用于与UE1建立用于多播业务传输的第一DRB,第一RRC消息中至少包括第一DRB的标识信息和第一指示信息。其中,第一指示信息用于指示第一DRB的第一用户面安全激活状态,所述第一用户面安全激活状态是根据PDU会话的用户面安全策略所确定的。
可选地,S905:gNB向AMF网元发送N2会话响应。
可选地,S906:AMF网元向SMF网元发送第一响应消息。
S907:UE2至UEx加入多播业务的接收。针对UE2至UEx中的任一个UE,网络设备可按照上述S901至S906的方法,为每个UE配置用于传输多播业务的DRB的用户面安全激活状态。
S908:gNB确定是否开启该多播业务的多播传输方式。如果是,执行下行S909和S9010;否则结束流程。
在一种具体的实现中,gNB可根据接收多播业务的UE位置信息和/或数目,确定是否开启多播业务的多播传输方式。比如,接收多播业务的UE位于同一个小区,且UE数量为多个时,gNB可确定开启多播业务的多播传输方式,即后续采用多播传输方式进行多播业务的传输,执行下述S909和S910的步骤;否则,若接收多播业务的UE数少,且位于不同的小区,gNB可以确定不开启多播业务的多播传输方式,即后续采用单播传输方式进行多播业务的传输。
可选地,gNB在确定开启多播业务的多播传输方式时,gNB可根据多播业务的安全策略,确定传输多播业务的DRB的用户面安全激活状态。在一种具体的实现中,在开启多播传输方式时,gNB建立一个新的PDCP实体,所述PDCP实体用于传输所述多播业务。所述PDCP实体的安全激活状态为gNB根据多播业务的安全策略确定的。
S909:gNB向UE1发送第二RRC消息,所述第二RRC消息用于更新上述第一DRB的用户面安全激活状态。
其中,gNB可根据步骤S908中确定的用户面安全激活状态,更新上述第一DRB的用户面安全激活状态,上述第二RRC消息中可携带有上述第一DRB更新后的用户面安全激活状态的指示信息。UE1在接收到第二RRC消息后,可根据上述第二RRC消息中携带的指示信息,更新第一DRB的用户面安全激活状态。可选地,所述第二RRC消息中还可包括组播的标识信息(比如G-RNTI等),和/或,第一PDCP计数值和/或第一PDCP计数值的最重要的部分对应的值等。其中,第一PDCP计数值可以为多播业务的第一PDCP计数值,所述第一PDCP计数值或第一PDCP计数值的最重要的部分对应的值可用于确定下一个接收到的多播业务数据包的PDCP计数值。进一步的,对于激活安全保护的场景,第二RRC消息中还可包含对应的多播业务的安全保护算法和安全保护密钥。
S910:gNB向UE2发送第三RRC消息,所述第三RRC消息用于更新UE2中用于传输多播业务的DRB的用户面安全激活状态。
其中,gNB根据步骤S908中的确定的用户面安全激活状态,更新UE2中用于传输多播业务的DRB的用户面安全激活状态,上述第三RRC消息中可携带上述DRB更新后的用户面安全激活状态的指示信息。UE2在接收到上述第三RRC消息后,可根据第三RRC消息中携带的指示信息,更新UE2中用于传输多播业务的DRB的用户面安全激活状态。可选地,所述第三RRC消息中还可包括组播标识信息(比如G-RNTI等),和/或,第二PDCP计数值和/或第二PDCP计数值的最重要的部分对应的值等。其中第二PDCP计数值又可以为多播业务的第二PDCP计数值,所述第二PDCP计数值或第二PDCP计数值的最重要的部分用于确定下一个接收到的多播业务数据包的PDCP计数值。进一步的,对于激活安全保护的场景,第三RRC消息中包含对应的多播业务的安全保护算法和安全保护密钥。
在一种可选的实现方式中,在开启多播传输业务之后,gNB确定有新的UE加入到多播业务的接收时,对于这些新的UE,gNB可以直接根据步骤S908中的确定的用户面安全激活状态,向新的UE发送指示信息,所述指示信息用于指示用于传输多播业务的DRB的用户面安全激活状态。进一步的,gNB向UE发送多播业务的PDCP计数值或PDCP计数值的重要部分对应的值等。进一步的,对于激活安全保护的场景,gNB可向新的UE发送对应的多播业务的安全保护算法和安全保护密钥。
通过上述过程,可以看出,在开启多播业务的多播传输时,gNB可根据多播业务的用户面安全策略,更新各个UE的用户面安全激活状态,从而保证各个UE的用户面安全激活状态相同。在一种特定条件下,如果此时各个UE更新后的用户面安全激活状态为不激活加密保护+不激活完整性保护,则gNB在从核心网节点接收到多播业务的数据包之后,可不再对多播业务的数据包进行用户面安全保护,可以组播传输方式传输上述多播业务的数据包。
第二种方式,UE与网络建立PDU会话。当gNB接收到多播业务的信息时,在上述PDU会话中,新建一个DRB,该DRB用于多播业务的传输。在gNB侧,根据多播业务的用户面安全策略,确定上述新建DRB的用户面安全激活状态。gNB向UE发送RRC消息,该RRC消息中包括上述新建DRB的用户面安全激活状态的指示信息。UE根据上述新建DRB的用户面安全激活状态的指示信息,确定新建DRB的用户面安全激活状态。
如图10所示,提供一种通信方法的流程,该流程为上述第二种方式的一种示例。该流程不限于包括以下步骤:
可选地,S1000:UE1与网络设备建立PDU会话。
S1001:当UE1加入到多播业务的接收时,SMF网元确定多播业务的用户面安全策略。
S1002:SMF网元向AMF网元发送第一请求消息,所述第一请求消息中包括多播业务的配置信息和关联信息。
S1003:AMF网元向gNB发送N2会话请求,所述N2会话请求中包括多播业务的配置信息和关联信息。
S1004:gNB向UE发送第一RRC消息,该第一RRC消息中包括上述第一DRB的标识以及所述第一DRB的用户面安全激活状态,所述第一DRB的用户面安全激活状态是根据所述多播业务的用户面安全策略所确定。
可选地,S1005:gNB向AMF网元发送N2会话响应。
可选地,S1006:AMF网元向SMF网元发送第一响应消息。
当gNB接收到新的UE加入所述多播业务接收的消息时,gNB根据第一DRB的用户面安全激活状态,向新的UE发送第二RRC消息,所述第二RRC消息用于在新加入的UE上建立用于传输多播业务的DRB。所述RRC消息包含第一DRB的标识和第二指示信息,第二指示信息用于指示新加入UE中用于传输多播业务的DRB的用户面安全激活状态。可选地,所述第二RRC消息中还可包含第一PDCP计数值(count)和/或第一PDCP计数值的最重要的部分对应的值等。其中第一PDCP计数值又可以为多播业务的第一PDCP计数值,所述第一PDCP计数值或第一PDCP计数值的最重要的部分对应的值用于确定下一个接收到的多播业务数据包的PDCP计数值。进一步的,在安全保护激活时,第二RRC消息中包含对应的多播业务的安全保护算法和安全保护密钥。
如图11所示,提供一种通信方法的流程,该流程为上述第二种方式的另一种示例。该流程的主要应用场景为:当根据多播业务的用户面安全策略,所确定的用于传输多播业务的DRB的用户面安全激活状态为:激活加密保护或完整性保护中的至少一个。在本申请实施例中,将详细论述gNB为UE分配用户面安全保护算法和密钥的过程。该流程至少包括以下步骤:
可选地,S1100:UE1和UE2与网络设备建立PDU会话。
S1101:SMF网元确定多播业务的用户面安全策略。
S1102:SMF网元向AMF网元发送第一请求消息,所述第一请求消息中携带有多播业务的配置信息和关联信息。
S1103:AMF网元向gNB发送N2会话请求,所述N2会话请求中携带有多播业务的配置信息和关联信息。
S1104:gNB向UE1发送第一RRC消息,所述第一RRC消息用于在多播业务相关联的PDU会话中新建用于传输多播业务的第一DRB,第一RRC消息中至少包括上述第一DRB的标识,以及所述第一DRB的第一用户面全激活状态,所述第一DRB的第一用户面安全激活状态是根据多播业务的用户面安全策略所确定的。
在本申请实施例中,当gNB根据多播业务的用户面安全策略,确定第一DRB的第一用户面安全激活状态为激活加密保护或完整性保护中至少一个时。gNB需要确定UE1的加密算法、加密密钥、完整性算法或完整性密钥中的至少一个。一种可能的实现方式,可参见下述:
例如,所述gNB可确定UE1的安全上下文,所述安全上下文中可包括UE1所支持的安全能力(即UE1支持的安全算法,包含加密算法和完整性算法)。gNB可根据UE1支持的安全能力和gNB本地配置的安全算法级列表(包含完整性算法、加密算法,优先级信息(用于指示不同的安全算法的优先级)),选择第一加密算法和/或第一完整性算法。之后,gNB根据第一加密算法和第一KeNB-Group,确定第一加密密钥。gNB根据第一完整性算法和第一KeNB-Group,确定第一完整性密钥。此时,上述S1104的第一RRC消息中可包括:上述第一加密算法、第一加密密钥、第一完整性算法或第一完整性密钥中的至少一个。相应的,UE1在接收到上述S1104中的第一RRC消息之后,可根据上述第一RRC消息,确定第一加密算法、第一加密密钥、第一完整性算法或第一完整性密钥中的至少一个。UE1在接收到上述多播业务的数据包之后,可利用第一加密算法和第一加密密钥,对多播业务的数据包进行解加密保护。UE1利用第一完整性算法和第一完整性密钥,对多播业务的数据包进行完整性验证。
关于上述第一KeNB-Group可由gNB生成的,或者,gNB请求AMF网元生成的,不作限定。在本申请实施例中,主要论述gNB生成第一KeNB-Group的过程。比如,在一种具体实现方式中,gNB可根据UE1的密钥或随机数中的至少一个,生成第一KeNB-Group。例如,第一KeNB-Group满足以下公式:
第一KgNB_Group=KDF(KgNB/RAND,公共信息)
其中,KgNB表示所述UE1的密钥,RAND表示随机数,公共信息可表示所述多播业务的公共信息,多播业务的公共信息可包括以下中的一项或多项:1)多播业务的标识信息,如多播业务的临时移动组标识(temporary mobile group identity,TMGI)、第一业务的小组标识(group ID)、多播业务的组播地址或者其它能够标识多播业务的标识等。2)多播业务的传输组播组地址信息。3)多播业务公共通道的隧道信息等。
可选地,S1105:gNB向AMF网元发送N2会话响应。
可选地,S1106:AMF网元向SMF网元发送第一响应消息。
S1107:UE2加入多播业务的接收。
S1108:gNB向UE2发送第二RRC消息,该第二RRC消息用于在UE2的PDU会话中新建一个DRB,该DRB的用户面安全激活状态同样是根据多播业务的用户面安全策略所确定。此时,UE1中用于传输多播业务的DRB的用户面安全激活状态,与UE2中用于传输多播业务的DRB的用户面安全激活状态相同。所述第二RRC消息中可包括上述新建DRB的用户面安全激活状态的指示信息。UE2可根据上述第二RRC消息中携带的新建DRB的用户面安全激活状态的指示信息,确定上述新建DRB的用户面安全激活状态。
在本申请实施例中,在UE1加入多播业务的接收之后,若有其它终端设备加入多播业务的接收(例如UE2),则gNB可确定UE1和UE2是否作为相同的群组进行管理。若UE1和UE2可作为相同的群组进行管理。则可选地,在上述S1108中的第二RRC消息中可包括:第一加密算法、第一加密密钥、第一加密性算法、或第一加密密钥中的至少一个。若UE1和UE2不可以作为相同的群组进行管理。则gNB可根据UE2支持的能力和无线接入网本地配置的安全算法列表,重新为UE2分配第二加密算法和第二完整性算法。gNB根据第二加密算法和第二KgNB_Group,计算第二加密密钥。gNB根据第二完整性算法和第二KgNB_Group,计算第二完整性密钥。可以理解的是,上述第二KgNB_Group与UE1中所用的第一KgNB_Group可相同或不同,不作限定。此时,可选地,在上述S1108的第二RRC消息中可包括:第二加密算法、第二加密密钥、第二完整性算法、或第二完整性密钥中的至少一个。
关于上述gNB确定UE1和UE2,是否可作为相同的群组进行管理,包括但不限于以下方式:
第一种方式:gNB确定UE2的安全上下文,所述安全上下文中包括所述UE2所支持的安全算法列表。gNB判断UE2所支持的安全算法列表中是否包括为UE1所分配的第一加密算法和第一完整性算法。若UE2的安全算法列表中包括上述第一加密算法和第一完整性算法,则确定UE1和UE2可作为相同的群组进行管理;否则,确定UE1和UE2不可以作为相同的群组进行管理,并选择不同的安全算法。
第二种方式:gNB确定UE2的安全上下文,所述安全上下文中包括所述UE2所支持的安全算法列表,gNB根据UE2所支持的安全算法列表和本地存储的安全算法,选择第二加密算法和第二完整性算法。若上述第二加密算法和/或第二完整性算法与第一加密算法和/或第一完整性算法相同,则确定UE1和UE2可作为相同的群组进行管理;否则,确定UE1和UE2不可以作为相同的群组进行管理。
按照上述方法,若UE3也加入到多播业务的接收,当多播业务被分配给不同的多个群组时,不同的群组使用不同的安全算法,此时gNB可根据UE3的安全能力和选择的安全算法的优先级,由高至低进行匹配,确定UE3的加入的群组,并使用加入的群组对应的安全上下文包含的安全算法和对应的密钥。
示例的,通过上述记载可知,gNB为UE1分配第一加密算法和第一完整性算法,为UE2分配第二加密算法和第二完整性算法。在UE3加入多播业务的接收时,gNB可确定UE3的安全上下文,所述安全上下文中包括UE3所支持的安全算法列表。gNB判断所述UE3所支持的安全算法列表中是否包括上述第一加密算法和第一完整性算法,以及,是否包括上述第二加密算法和第二完整性算法。若上述UE3所支持的安全算法列表中仅包括上述第一加密算法和第一完整性算法,则可将上述UE3加入到UE1的群组中。若上述UE3所支持的安全算法列表中仅包括上述第二加密算法第二完整性算法,则可将上述UE3加入到UE2的群组中。若上述UE3所支持的安全算法列表中同时包括上述第一加密算法和第一完整性算法,以及第二加密算法和第二完整性算法,则gNB可根据不同算法的优先级,将UE3加入对应的群组中。比如,若第一加密算法和第一完整性算法,安全优先级高于第二加密算法和第二完整性算法,则可将UE3加入到UE1的群组内。若第二加密算法和第二完整性算法,安全优先级,高于第一加密算法和第一完整性算法,则可将UE3加入到UE2的群组内。或者,当UE3加入多播业务的接收时,gNB先执行算法选择,然后与已分配群组的算法进行比较确定加入哪一个群组。
通过上述示例,gNB将支持相同安全性算法的终端设备,划分为一个群组。在该群组内发送一个数据包,该数据包采用统一的安全性算法进行处理,属于该群组内的多个终端设备均支持该数据包的接收与解析。
如图12所示,提供一种通信方法的流程,该流程同样为上述第二种方式的一种示例。图12所示的流程,与上述图11所示流程的区别主要在于,在上述图11的流程中KgNB_Group是由gNB生成的,而在图12所示的流程中KgNB_Group是由gNB请求AMF网元生成的,该流程至少包括以下步骤:
可选地,S1200:UE1和UE2与网络建立PDU会话。
S1201:SMF网元确定多播业务的用户面安全策略。
S1202:SMF网元向AMF网元发送第一请求消息,所述第一请求消息中包括多播业务的配置信息和多播业务的关联信息。
S1203:AMF网元向gNB发送N2会话请求,所述N2会话请求中包括多播业务的配置信息和多播业务的关联信息。
S1204:gNB根据当前业务的配置信息,确定当前业务是否属于多播业务。如果属于多播业务,gNB根据SMF网元所指示的多播业务的用户面安全策略,确定传输多播业务DRB的用户面安全激活状态。且若传输多播业务的DRB的用户面安全激活状态为激活加密保护或完整性保护的至少一个时,所述gNB可执行下行S1205,请求AMF网元生成keNB_Group。
S1205:gNB向AMF网元发送N2会话响应,N2会话响应中包括安全指示信息,所述安全指示信息用于指示AMF网元生成keNB_Group。AMF网元生成keNB_Group的过程,与gNB生成keNB_Group的过程相类似,在此不再赘述。
可选地,S1206:AMF网元向SMF网元发送第一响应消息。
S1207:AMF网元向gNB发送N2消息,N2消息中包括keNB_Group。
S1208:gNB向UE1发送第一RRC消息,所述第一RRC消息用于在新建用于传输多播业务的第一DRB,所述第一RRC消息中可包括上述第一DRB的用户面安全激活状态的指示信息,所述第一DRB的用户面安全激活状态是根据多播业务的用户面安全策略所确定的。可选地,若上述第一DRB的用户面安全激活状态是激活加密保护或完整性保护中的至少一个,则上述所述第一RRC消息还可包括gNB为UE1所分配的第一完整性保护算法、第一完整性密钥、第一加密保护算法或第一加密密钥中的至少一个。可选地,所述RRC消息中还可包括PDCP计数值,或者,PDCP计数值的重要部分所对应的值等。
S1209:UE2加入多播业务的接收。
S1210:gNB向UE2发送第二RRC消息,所述第二RRC消息用于新建用于传输多播业务的第一DRB,所述第二RRC消息中可包括上述新建第一DRB的用户面安全激活状态的指示信息,所述新建第一DRB的用户面安全激活状态是根据多播业务的用户面安全策略所确定的。可选地,则上述新建第一DRB的用户面安全激活状态是激活加密保护或完整性保护中的至少一个,则上述RRC消息中还可包括gNB为UE2分配的第二完整性保护算法、第二完整性密钥、第二加密保护算法或第二加密密钥中的至少一个。可选的,所述RRC消息中还可包括PDCP计数值,或者,PDCP计数值的重要部分所对应的值等。
通过上述记载可知,UE1与UE2中用于传输多播业务的DRB的用户面安全激活状态相同。如果gNB为两者所分配的算法和密钥均相同,两者可作为一个多播群组进行管理,否则,两者作为不同的多播群组进行管理。gNB可在一个多播群组内,仅发送一个多播业务的数据包。关于后续UE继续加入多播业务的接收,为后续UE分配多播群组,以及用户面安全保护密钥与算法的过程,可参见上述图11所示实施的介绍。
以上介绍了,当上述图8流程中的第一DRB仅包括一种用户面安全激活状态时,gNB与UE间如何实现多播业务的传输。在以下将继续介绍,当上述图8流程中的第一DRB包括两种用户面安全激活状态,分别为多播传输方式对应的第一用户面安全激活状态,以及单播传输方式对应的第二用户面安全激活状态时,gNB与UE间如何实现多播业务的传输。
在本申请实施例中,UE与网络设备间建立PDU会话。当gNB通过所述PDU会话修改流程接收到多播业务的信息时,gNB为UE建立第一DRB,所述第一DRB用于传输所述多播业务。gNB为该第一DRB配置两种用户面安全激活状态。关于gNB配置两种用户面安全激活状态的过程,可包括以下两种方式:
第一种方式:gNB可根据多播业务的用户面安全策略,确定第一DRB第一用户面安全激活状态,所述第一用户面安全激活状态对应于所述第一DRB的多播传输方式下的用户面安全激活状态;gNB可根据PDU会话的用户面安全策略,确定第一DRB的第二用户面安全激活状态,所述第二用户面安全激活状态对应于所述第一DRB的单播传输方式下的用户在安全激活状态。
第二种方式:gNB可根据多播业务的用户面安全策略,确定第一DRB的第一用户面安全激活状态和第二用户面安全激活状态。此时,第一DRB的第一用户面安全激活状态和第二用户面安全激活状态相同。
在上述第一种方式或第二种方式之后,gNB可向UE发送第一RRC消息,所述第一RRC消息可携带有第一DRB的第一用户面安全激活状态的指示信息,以及第一DRB的第二用户面安全激活状态的指示信息。UE在接收到所述第一RRC消息时,可根据该RRC消息中携带的指示信息,为第一DRB配置第一用户面安全激活状态和第二用户面安全激活状态。或者,上述第一RRC消息中仅可携带有第一DRB的第一用户面安全激活状态的指示信息。在gNB确定开启多播业务的组播传输方式时,再向UE发送第二RRC消息,第二RRC消息中可携带有上述第一DRB的第二用户面安全激活状态的指示信息。
在本申请实施例中,gNB根据多播业务的用户面安全策略,确定第一DRB的第一用户面安全激活状态和第一DRB的第二用户面安全激活状态,或者,gNB根据多播业务的用户面安全策略,确定第一DRB的第一用户面安全激活状态,根据PDU会话的用户面安全策略,确定第一DRB的第二用户面安全激活状态的过程,即gNB根据多播业务的用户面安全策略,配置PDCP实体安全的过程。同理,UE根据上述第一RRC信令和/或第二RRC信令的指示信息,确定第一DRB的第一用户面安全激活状态和第二用户面安全激活状态的过程,可认为UE根据指示信息,配置PDCP实体安全的过程。gNB与UE均配置好各自的PDCP实体安全之后,后续gNB可根据PDCP实体安全的配置对多播业务的数据包进行用户面安全保护,UE对多播业务的数据包解用户面安全保护。
需要说明的是,针对上述第一种方式,由于多播传输方式与单播传输方式对应的用户面安全激活状态(即PDCP实体安全)不同,因此,上述多播业务的数据包中可能需要携带单播传输方式或多播传输方式的指示信息。或者,gNB需要额外发送当前多播业务数据包传输方式的指示信息。比如,在一种具体的实现中:
当gNB从UPF网元接收到上述多播业务的第一数据包之后。gNB可根据接收上述第一数据包的终端设备数量和/或接收上述第一数据包的终端设备位置,确定使用单播传输方式还是多播传输方式向终端设备发送第一数据包。其中,若确定使用单播传输方式,则gNB根据第一DRB的第二用户面安全激活状态,对第一数据包进行安全保护。或者,若确定使用多播传输方式,则gNB根据第一DRB的第一用户面安全激活状态,对第一数据包进行安全保护。由于第一数据包采用不同的传输方式,gNB将根据不同的用户面安全激活状态,对第一数据包进行用户面安全保护。因此,可选地,上述第一数据包中可包括第三指示信息,所述第三指示信息用于指示gNB采用单播传输方式或者多播传输方式发送经过安全保护的第一数据包。相应的,若上述第三指示信息用于指示gNB采用单播传输方式发送第一数据包,则UE可根据第一DRB的第二用户面安全激活状态,对第一数据包解用户面安全保护。或者,若上述第三指示信息用于指示gNB采用多播传输方式发送第一数据包,则UE可根据第一DRB的第一用户面安全激活状态,对第一数据包解用户面安全保护。若上述第三指示信息用于指示gNB采用多播传输方式发送第一数据包,则UE可根据第一DRB的第二用户面安全激活状态对第一数据包解用户面安全保护。
通过上述记载可知,在本申请实施例中,用于传输多播业务的第一DRB可包括一种用户面安全激活状态,该用户面安全激活状态既用于多播业务的单播传输方式的用户面安全保护,又用于多播业务的多播传输方式的用户面安全保护。或者,上述用于传输多播业务的第一DRB包括两种用户面安全激活状态,分别对应于单播传输方式的用户面安全保护和多播传输方式的用户面安全保护。
其中,如图13所示,当上述第一DRB包括两种用户面安全激活状态时,gNB侧或UE侧可维护两种不同的PDCP实体安全配置,分别单播传输方式对应的单播安全配置和多播传输方式对应的多播安全配置。其中,当gNB接收到多播业务的数据包之后,PDCP层可首先判断该多播业务对应数据包采用单播传输方式传输还是多播传输方式传输。若确定采用单播传输方式传输,则可根据该PDCP实体安全配置中的单播安全配置对多播业务数据包进行用户面安全保护。且PDCP层将用户面安全保护之后的数据包传输至RLC层中的单播处理单元。或者,若确定采用多播传输方式传输,则可根据PDCP实体安全配置中的多播安全配置对多播业务数据包进行用户面安全保护。且PDCP层将用户面安全保护之后的数据包传输至RLC层的多播处理单元。最后,多播业务的数据包再经过MAC层和PHY的处理,将多播业务的数据包传输到UE。由于针对单播传输方式的数据包和多播传输方式的数据包,gNB采用不同的PDCP实体安全配置进行用户面安全保护。因此,可选地,上述多播业务的数据包中可携带有单播传输方式的指示信息,或者,多播传输方式的指示信息。例如,1比特二进制数表示单播传输方式和多播传输方式。比如,用0表示单播传输方式,用1表示多播传输方式,反之亦可,不作限定。UE在接收到多播业务的数据包之后,若确定该多播业务的数据包采用单播传输方式进行传输,则UE可采用上述PDCP实体安会配置中的单播安全配置,对该多播业务的数据包解用户面安全保护。否则UE采用上述PDCP实体安全配置中的多播安全配置,对该多播业务的数据包解用户面安全保护。
其中,当上述第一DRB仅包括一种用户面安全激活状态时,gNB侧或UE侧可仅维护一种PDCP层配置,该PDCP层配置又可称为共享的PDCP实体安全配置。针对该情况,如图14所示,当PDCP层接收到多播业务对应的数据包之后,可利用PDCP实体安全配置中的统一安全配置对该多播业务的数据包进行用户面安全保护,判断该多播业务数据包的传输方式为单播传输方式还是多播传输方式。如果是单播传输方式,将用户面安全保护后的数据包传输至RLC层中的单播处理单元。或者,如果是多播传输方式,将用户面安全保护后的数据包传输至RLC层中的多播处理单元。最后,再经过MAC层和PHY层的处理,将多播业务的数据包发送给UE。UE在接收到该多播业务的数据包之后,可利用PDCP实体安全配置中的统一安全配置对该多播业务的数据包解用户面安全保护。需要说明的是,在图14的示例中,并不限定,PDCP层对多播业务的数据包执行用户面安全保护,和,判断该多播业务数据包的单播传输方式或多播传输方式的先后顺序。比如,在一种示例中,如图15所示,
gNB可通过UE1的PDU会话的传输隧道从UPF网元接收多播业务的数据包,或者,通过UE2的PDU会话的传输隧道从UPF网元接收多播业务的数据包,或者,通过一个共享的多播业务的传输隧道接收多播业务的数据包(在图15中并未示例出);之后,gNB可根据统一的PDCP实体安全配置,对多播业务的数据包进行用户面安全保护。判断当前多播业务的数据包采用多播传输方式还是单播传输方式。针对单播传输方式,gNB可发送多个数据包。比如,针对发送给UE1的数据包,gNB可对PDCP层处理后的数据包,依次经过UE1的RLC层、MAC层和PHY层进行处理,向UE1发送处理后的数据包。针对发送给UE2的数据包,gNB可对上述PDCP层处理后的数据包,依次经过UE2的RLC层、MAC层和PHY层进行处理,向UE2发送处理后的数据包。由于针对多播传输方式,gNB仅发送一个数据包。因此,gNB和UE侧均可维护一个针对多播传输方式的RLC层、MAC层和PHY层。gNB可对上述PDCP层处理后的数据包,依次经过多播传输方式的RLC层、MAC层和PHY层进行处理,且最终向UE1和UE2发送处理后的数据包。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述如图8所示的方法实施例中gNB执行的方法。相关特征可参见上述方法实施例,此处不再赘述。如图16所示,该装置包括通信单元1601和处理单元1602:
通信单元1601,用于接收核心网设备发送的第一消息,所述第一消息包括多播业务的信息以及多播业务对应的用户面安全策略;处理单元1602,用于根据所述多播业务的信息,为所述多播业务分配用于传输多播业务的数据包的第一DRB,根据多播业务对应的用户面安全策略,确定第一DRB的第一用户面安全激活状态,所述第一用户面安全激活状态包括激活或者不激活所述第一DRB的用户面安全保护;通信单元601,还用于向第一终端设备发送第一无线资源控制RRC消息,所述第一RRC消息包括第一指示信息,所述第一指示信息用于指示所述第一DRB的第一用户面安全激活状态。
可选地,处理单元1602根据所述多播业务的信息,为所述多播业务分配用于传输所述多播业务对应的数据包的第一DRB,包括:根据所述多播业务的信息,确定所述第一终端设备对应的协议数据单元PDU会话中的第二DRB为用于传输所述多播业务对应的数据包的第一DRB;处理单元1602,还用于:根据所述PDU会话对应的用户面安全策略,确定所述第一DRB的用户面安全激活状态;处理单元1602根据所述多播业务对应的用户面安全策略,确定所述第一DRB的第一用户面安全激活状态,包括:根据所述多播业务对应的用户面安全策略,将所述第一DRB的用户面安全激活状态更新为所述第一用户面安全激活状态。
可选地,处理单元1602根据所述多播业务的信息,为所述多播业务分配用于传输所述多播业务对应的数据包的第一DRB,包括:根据所述多播业务的信息,确定所述第一终端设备对应的PDU会话中的第二DRB为用于传输所述多播业务对应的数据包的第一DRB;处理单元1602,还用于:根据所述PDU会话对应的用户面安全策略,确定所述第一DRB的第二用户面安全激活状态;其中,所述第一用户面安全激活状态对应于所述第一DRB在多播传输方式下的用户面安全激活状态,所述第二用户面安全激活状态对应于所述第一DRB在单播传输方式下的用户面安全激活状态。
可选地,所述第一RRC消息还包括第二指示信息,所述第二指示信息用于指示所述第一DRB在单播传输方式下的用户面安全激活状态。
可选地,通信单元1601,还用于:向所述第一终端设备发送第二RRC消息,所述第二RRC消息包括第二指示信息,所述第二指示信息用于指示所述第一DRB在单播传输方式下的用户面安全激活状态。
可选地,处理单元1602,还用于:控制通信单元1601接收到所述多播业务对应的第一数据包,根据所述第一DRB的第一用户面安全激活状态,对所述第一数据包进行安全保护;控制通信单元1601将安全保护后的第一数据包发送给所述第一终端设备。
可选地,通信单元1601,还用于接收到所述多播业务对应的第一数据包;处理单元1602,还用于判断使用单播传输方式还是多播传输方式向所述第一终端设备发送所述第一数据包;在确定使用多播传输方式向所述第一终端设备发送所述第一数据包的情况下,根据所述第一DRB的第一用户面安全激活状态,对所述第一数据包进行安全保护;或者,在确定使用单播传输方式向所述第一终端设备发送所述第一数据包的情况下,根据所述第一DRB的第二用户面安全激活状态,对所述第一数据包进行安全保护;通信单元1601,还用于将安全保护后的第一数据包发送给所述第一终端设备。
可选地,处理单元1602判断使用单播传输方式还是多播传输方式向所述第一终端设备发送所述第一数据包,包括:根据接收所述第一数据包的终端设备的数量和/或接收所述第一数据包的终端设备的位置,确定使用单播传输方式还是多播传输方式向所述第一终端设备发送所述第一数据包。
可选地,通信单元1601,还用于:向所述第一终端设备发送第三指示信息,所述第三指示信息用于指示所述接入网设备采用单播传输方式或者多播传输方式发送经过安全保护后的所述第一数据包。
可选地,通信单元1601,还用于:接收核心网设备发送的第二消息,所述第二消息用于指示第二终端接收所述多播业务;处理单元1602,还用于:根据所述第二消息,向第二终端设备发送第三RRC消息,所述第三RRC消息包含所述第四指示信息,所述第四指示信息用于指示所述第一DRB的第一用户面安全激活状态。
可选地,所述第三RRC消息中还包括所述多播业务对应的分组数据汇聚协议PDCP计数值或所述多播业务对应的PDCP计数值的最重要部分对应的值。
可选地,所述第一RRC消息或所述第三RRC消息中还包括所述多播业务对应的安全算法和多播业务对应的密钥;其中,所述多播业务对应的安全算法包括加密算法和完整性保护算法中至少一个,所述多播业务对应的密钥包括加密密钥和完整性保护密钥中的至少一个。可选地,所述多播业务对应的用户面安全策略用于指示是否开启用户面加密保护以及是否开启用户面完整性保护。
基于与方法实施例同一发明构思,本申请实施例还提供一种通信装置,用于执行上述如图8所示的方法实施例中所述UE执行的方法。相关特征可参见上述方法实施例,此处不再赘述。仍可参照图16所示,该装置包括通信单元1601和处理单元1602:
在一种可能的实现方式中,通信单元1601,用于接收接入网设备发送的第一无线资源控制RRC消息,所述第一RRC消息包括第一指示信息,所述第一指示信息用于指示传输多播业务的第一数据无线承载DRB的第一用户面安全激活状态,所述第一用户面安全激活状态包括激活或者不激活所述第一DRB的用户面安全保护;处理单元1602,用于根据所述第一指示信息,确定所述第一DRB的第一用户面安全激活状态。
可选地,所述第一指示信息用于指示所述第一DRB在多播传输方式下的用户面安全激活状态;通信单元1601,还用于:接收所述接入网设备发送的第二RRC消息,所述第二RRC消息包括第二指示信息,所述第二指示信息用于指示所述第一DRB在单播传输方式下的用户面安全激活状态;处理单元1602,还用于:根据所述第二指示信息,确定所述第一DRB在单播传输方式下的用户面安全激活状态。
可选地,所述第一指示信息用于指示所述第一DRB在多播传输方式下的用户面安全激活状态;所述第一RRC消息中还包括第二指示信息;所述第二指示信息用于指示所述第一DRB在单播传输方式下的用户面安全激活状态;处理单元1602,还用于:根据所述第二指示信息,确定所述第一DRB在单播传输方式下的用户面安全激活状态。
可选地,通信单元1601,还用于:接收所述接入网设备发送的第一数据包;处理单元1602,还用于:根据所述第一DRB的第一用户面安全激活状态,对所述第一数据包进行解安全保护。
可选地,处理单元1602,还用于:在所述第一数据包采用多播传输方式的情况下,根据所述第一DRB在多播传输方式下的用户面安全激活状态,对所述第一数据包进行解安全保护;或者,在所述第一数据包采用单播传输方式的情况下,根据所述第一DRB在单播传输方式下的用户面安全激活状态,对所述第一数据包进行解安全保护。
可选地,通信单元1601,还用于:接收所述接入网设备发送的第三指示信息,所述第三指示信息用于指示所述接入网设备采用单播传输方式或者多播传输方式发送所述第一数据包。
可选地,第一RRC消息中还包括所述第一多播业务对应的第一PDCP计数值或所述第一多播业务对应的第一PDCP计数值的最重要部分对应的值。可选地,所述第一RRC消息中还包括所述多播业务对应的安全算法和多播业务对应的密钥,其中,所述多播业务对应的安全算法包括加密算法和完整性保护算法中的至少一个,所述多播业务对应的密钥包括加密密钥和完整性保护密钥中的至少一个。
在另一种可能的实现方式中,所述通信单元1601,用于接收接入网设备发送的第三无线资源控制RRC消息,所述第三RRC消息中包含第四指示信息,所述第四指示信息用于指示所述第一DRB的第一用户面安全激活状态;处理单元1602,用于根据所述第四指示信息,确定所述第一DRB的第一用户面安全激活状态。
可选地,所述第三RRC消息中还包括所述多播业务对应的PDCP计数值或所述多播业务对应的PDCP计数值的最重要部分对应的值。
可选地,所述第三RRC消息中还包括所述多播业务对应的安全算法和多播业务对应的密钥;其中,所述多播业务对应的安全算法包括加密算法和完整性保护算法中至少一个,所述多播业务对应的密钥包括加密密钥和完整性保护密钥中的至少一个。
可选地,所述多播业务对应的用户面安全策略用于指示是否开启用户面加密保护以及是否开启用户面完整性保护。
本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能单元可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是个人计算机,手机,或者网络设备等)或处理器(processor)执行本申请各个实施例该方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-onlymemory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请实施例中,所述基站和所述终端设备均可以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。
在一个简单的实施例中,本领域的技术人员可以想到所述接入网设备和终端设备可以采用图17所示的形式。
如图17所示的通信装置1700,包括至少一个处理器1701、存储器1702,可选地,还可以包括通信接口1703。
存储器1702可以是易失性存储器,例如随机存取存储器;存储器也可以是非易失性存储器,例如只读存储器,快闪存储器,硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1702是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1702可以是上述存储器的组合。
本申请实施例中不限定上述处理器1701以及存储器1702之间的具体连接介质。本申请实施例在图中以存储器1702和处理器1701之间通过总线1704连接,总线1704在图中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线1704可以分为地址总线、数据总线、控制总线等。为便于表示,图17中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器1701可以具有数据收发功能,能够与其他设备进行通信,在如图17装置中,也可以设置独立的数据收发模块,例如通信接口1703,用于收发数据;处理器1701在与其他设备进行通信时,可以通过通信接口1703进行数据传输。
当接入网设备采用图17所示的形式中,图17中的处理器1701可以通过调用存储器1702中存储的计算机执行指令,使得gNB可以执行上述任一方法实施例中所述gNB的功能。
具体的,图16中的通信单元1601和处理单元1602的功能/实现可以通过图17中的处理器1701调用存储器1702中存储的计算机程序指令来实现。或者,图16中的处理单元1602的功能/实现过程可以通过图17中的处理器1701调用存储器1702中存储的计算机执行指令来实现,图16中的通信单元1601的功能/实现可以通过图17中的通信接口1703来实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (38)

1.一种通信方法,其特征在于,包括:
接入网设备接收核心网设备发送的第一消息,所述第一消息包括多播业务的信息以及所述多播业务对应的用户面安全策略;
所述接入网设备根据所述多播业务的信息,为所述多播业务分配用于传输所述多播业务对应的数据包的第一数据无线承载DRB;
所述接入网设备根据所述多播业务对应的用户面安全策略,确定所述第一DRB的第一用户面安全激活状态,所述第一用户面安全激活状态包括激活或者不激活所述第一DRB的用户面安全保护;
所述接入网设备向第一终端设备发送第一无线资源控制RRC消息,所述第一RRC消息包括第一指示信息,所述第一指示信息用于指示所述第一DRB的第一用户面安全激活状态。
2.如权利要求1所述的方法,其特征在于,所述接入网设备根据所述多播业务的信息,为所述多播业务分配用于传输所述多播业务对应的数据包的第一DRB,包括:
所述接入网设备根据所述多播业务的信息,确定所述第一终端设备对应的协议数据单元PDU会话中的第二DRB为用于传输所述多播业务对应的数据包的第一DRB;
在所述接入网设备接收核心网设备发送的第一消息之前,所述方法还包括:
所述接入网设备根据所述PDU会话对应的用户面安全策略,确定所述第一DRB的用户面安全激活状态;
所述接入网设备根据所述多播业务对应的用户面安全策略,确定所述第一DRB的第一用户面安全激活状态,具体为:
所述接入网设备根据所述多播业务对应的用户面安全策略,将所述第一DRB的用户面安全激活状态更新为所述第一用户面安全激活状态。
3.如权利要求1所述的方法,其特征在于,所述接入网设备根据所述多播业务的信息,为所述多播业务分配用于传输所述多播业务对应的数据包的第一DRB,包括:
所述接入网设备根据所述多播业务的信息,确定所述第一终端设备对应的PDU会话中的第二DRB为用于传输所述多播业务对应的数据包的第一DRB;
所述方法还包括:
所述接入网设备根据所述PDU会话对应的用户面安全策略,确定所述第一DRB的第二用户面安全激活状态;其中,所述第一用户面安全激活状态对应于所述第一DRB在多播传输方式下的用户面安全激活状态,所述第二用户面安全激活状态对应于所述第一DRB在单播传输方式下的用户面安全激活状态。
4.如权利要求3所述的方法,其特征在于,所述第一RRC消息还包括第二指示信息,所述第二指示信息用于指示所述第一DRB在单播传输方式下的用户面安全激活状态。
5.如权利要求3所述的方法,其特征在于,所述方法还包括:
所述接入网设备向所述第一终端设备发送第二RRC消息,所述第二RRC消息包括第二指示信息,所述第二指示信息用于指示所述第一DRB在单播传输方式下的用户面安全激活状态。
6.如权利要求1或者2所述的方法,其特征在于,所述方法还包括:
所述接入网设备接收到所述多播业务对应的第一数据包;
所述接入网设备根据所述第一DRB的第一用户面安全激活状态,对所述第一数据包进行安全保护;
所述接入网设备将安全保护后的第一数据包发送给所述第一终端设备。
7.如权利要求3-5任一项所述的方法,其特征在于,所述方法还包括:
所述接入网设备接收到所述多播业务对应的第一数据包;
所述接入网设备判断使用单播传输方式还是多播传输方式向所述第一终端设备发送所述第一数据包;
在确定使用多播传输方式向所述第一终端设备发送所述第一数据包的情况下,所述接入网设备根据所述第一DRB的第一用户面安全激活状态,对所述第一数据包进行安全保护;或者,
在确定使用单播传输方式向所述第一终端设备发送所述第一数据包的情况下,所述接入网设备根据所述第一DRB的第二用户面安全激活状态,对所述第一数据包进行安全保护;
所述接入网设备将安全保护后的第一数据包发送给所述第一终端设备。
8.如权利要求7所述的方法,其特征在于,所述接入网设备判断使用单播传输方式还是多播传输方式向所述第一终端设备发送所述第一数据包,包括:
所述接入网设备根据接收所述第一数据包的终端设备的数量和/或接收所述第一数据包的终端设备的位置,确定使用单播传输方式还是多播传输方式向所述第一终端设备发送所述第一数据包。
9.如权利要求7或8所述的方法,其特征在于,所述方法还包括:
所述接入网设备向所述第一终端设备发送第三指示信息,所述第三指示信息用于指示所述接入网设备采用单播传输方式或者多播传输方式发送经过安全保护后的所述第一数据包。
10.如权利要求1所述的方法,其特征在于,还包括:
所述接入网设备接收核心网设备发送的第二消息,所述第二消息用于指示第二终端接收所述多播业务;
所述接入网设备根据所述第二消息,向第二终端设备发送第三RRC消息,所述第三RRC消息包含第四指示信息,所述第四指示信息用于指示所述第一DRB的第一用户面安全激活状态。
11.如权利要求10所述的方法,其特征在于,所述第三RRC消息中还包括所述多播业务对应的分组数据汇聚协议PDCP计数值或所述多播业务对应的PDCP计数值的最重要部分对应的值。
12.如权利要求10或11所述的方法,其特征在于,所述第一RRC消息或所述第三RRC消息中还包括所述多播业务对应的安全算法和多播业务对应的密钥;其中,所述多播业务对应的安全算法包括加密算法和完整性保护算法中至少一个,所述多播业务对应的密钥包括加密密钥和完整性保护密钥中的至少一个。
13.如权利要求1-12中任一所述的方法,其特征在于,所述多播业务对应的用户面安全策略用于指示是否开启用户面加密保护以及是否开启用户面完整性保护。
14.一种通信方法,其特征在于,包括:
终端设备接收接入网设备发送的第一无线资源控制RRC消息,所述第一RRC消息包括第一指示信息,所述第一指示信息用于指示传输多播业务的第一数据无线承载DRB的第一用户面安全激活状态,所述第一用户面安全激活状态包括激活或者不激活所述第一DRB的用户面安全保护;
所述终端设备根据所述第一指示信息,确定所述第一DRB的第一用户面安全激活状态。
15.如权利要求14所述的方法,其特征在于,所述第一指示信息用于指示所述第一DRB在多播传输方式下的用户面安全激活状态;
所述方法还包括:
所述终端设备接收所述接入网设备发送的第二RRC消息,所述第二RRC消息包括第二指示信息,所述第二指示信息用于指示所述第一DRB在单播传输方式下的用户面安全激活状态;
所述终端设备根据所述第二指示信息,确定所述第一DRB在单播传输方式下的用户面安全激活状态。
16.如权利要求14所述的方法,其特征在于,所述第一指示信息用于指示所述第一DRB在多播传输方式下的用户面安全激活状态;所述第一RRC消息中还包括第二指示信息;所述第二指示信息用于指示所述第一DRB在单播传输方式下的用户面安全激活状态;
所述方法还包括:
所述终端设备根据所述第二指示信息,确定所述第一DRB在单播传输方式下的用户面安全激活状态。
17.如权利要求14所述的方法,其特征在于,所述方法还包括:
所述终端设备接收所述接入网设备发送的第一数据包;
所述终端设备根据所述第一DRB的第一用户面安全激活状态,对所述第一数据包进行解安全保护。
18.如权利要求17所述的方法,其特征在于,所述方法还包括:
在所述第一数据包采用多播传输方式的情况下,所述终端设备根据所述第一DRB在多播传输方式下的用户面安全激活状态,对所述第一数据包进行解安全保护;或者,
在所述第一数据包采用单播传输方式的情况下,所述终端设备根据所述第一DRB在单播传输方式下的用户面安全激活状态,对所述第一数据包进行解安全保护。
19.如权利要求18所述的方法,其特征在于,所述方法还包括:
所述终端设备接收所述接入网设备发送的第三指示信息,所述第三指示信息用于指示所述接入网设备采用单播传输方式或者多播传输方式发送所述第一数据包。
20.如权利要求14-19任一项所述的方法,其特征在于,所述第一RRC消息中还包括所述多播业务对应的PDCP计数值或所述多播业务对应的PDCP计数值的最重要部分对应的值。
21.如权利要求14-20任一项所述的方法,其特征在于,所述第一RRC消息中还包括所述多播业务对应的安全算法和多播业务对应的密钥,其中,所述多播业务对应的安全算法包括加密算法和完整性保护算法中的至少一个,所述多播业务对应的密钥包括加密密钥和完整性保护密钥中的至少一个。
22.一种通信系统,其特征在于,包括:
会话管理功能SMF网元,用于向接入网设备发送第一消息,所述第一消息包括多播业务的信息以及所述多播业务的用户面安全策略;
所述接入网设备,用于根据所述多播业务的信息,为所述多播业务分配用于传输所述多播业务对应的数据包的第一数据无线承载DRB;
所述接入网设备,还用于根据所述多播业务对应的用户面安全策略,确定所述第一DRB的第一用户面安全激活状态,所述第一用户面安全激活状态包括激活或者不激活所述第一DRB的用户面安全保护;
所述接入网设备,还用于向第一终端设备发送第一无线资源控制RRC消息,所述第一RRC消息包括第一指示信息,所述第一指示信息用于指示所述第一DRB的第一用户面安全激活状态。
23.如权利要求22所述的系统,其特征在于,所述接入网设备根据所述多播业务的信息,为所述多播业务分配用于传输所述多播业务对应的数据包的第一DRB,包括:
根据所述多播业务的信息,确定所述第一终端设备对应的协议数据单元PDU会话中的第二DRB为用于传输所述多播业务对应的数据包的第一DRB;
所述接入网设备在接收核心网设备发送的第一消息之前,所述接入网设备还用于:
根据所述PDU会话对应的用户面安全策略,确定所述第一DRB的用户面安全激活状态;
所述接入网设备根据所述多播业务的用户面安全策略,确定所述第一DRB的第一用户面安全激活状态,包括:
根据所述多播业务对应的用户面安全策略,将所述第一DRB的用户面安全激活状态更新为所述第一用户面安全激活状态。
24.如权利要求22所述的系统,其特征在于,所述接入网设备根据所述多播业务的信息,为所述多播业务分配用于传输所述多播业务对应的数据包的第一DRB,包括:
根据所述多播业务的信息,确定所述第一终端设备对应的PDU会话中的第二DRB为用于传输所述多播业务对应的数据包的第一DRB;所述接入网设备还用于:
根据所述PDU会话对应的用户面安全策略,确定所述第一DRB的第二用户面安全激活状态;其中,所述第一用户面安全激活状态对应于所述第一DRB在多播传输方式下的用户面安全激活状态,所述第二用户面安全激活状态对应于所述第一DRB在单播传输方式下的用户面安全激活状态。
25.如权利要求24所述的系统,其特征在于,所述第一RRC消息还包括第二指示信息,所述第二指示信息用于指示所述第一DRB在单播传输方式下的用户面安全激活状态。
26.如权利要求24所述的系统,其特征在于,所述接入网设备还用于:
向所述第一终端设备发送第二RRC消息,所述第二RRC消息包括第二指示信息,所述第二指示信息用于指示所述第一DRB在单播传输方式下的用户面安全激活状态。
27.如权利要求22或23所述的系统,其特征在于,所述接入网设备还用于:
接收到所述多播业务对应的第一数据包;
根据所述第一DRB的第一用户面安全激活状态,对所述第一数据包进行安全保护;
将安全保护后的第一数据包发送给所述第一终端设备。
28.如权利要求24-26任一项所述的系统,其特征在于,所述接入网设备还用于:
接收到所述多播业务对应的第一数据包;
判断使用单播传输方式还是多播传输方式向所述第一终端设备发送所述第一数据包;
在确定使用多播传输方式向所述第一终端设备发送所述第一数据包的情况下,根据所述第一DRB的第一用户面安全激活状态,对所述第一数据包进行安全保护;或者,
在确定使用单播传输方式向所述第一终端设备发送所述第一数据包的情况下,根据所述第一DRB的第二用户面安全激活状态,对所述第一数据包进行安全保护;
将安全保护后的第一数据包发送给所述第一终端设备。
29.如权利要求28所述的系统,其特征在于,所述接入网设备判断使用单播传输方式还是多播传输方式向所述第一终端设备发送所述第一数据包,包括:
根据接收所述第一数据包的终端设备的数量和/或接收所述第一数据包的终端设备的位置,确定使用单播传输方式还是多播传输方式向所述第一终端设备发送所述第一数据包。
30.如权利要求28或29所述的系统,其特征在于,所述接入网设备还用于:
向所述第一终端设备发送第三指示信息,所述第三指示信息用于指示所述接入网设备采用单播传输方式或者多播传输方式向所述第一终端设备发送安全保护后的第一数据包。
31.如权利要求22所述的系统,其特征在于,所述接入网设备还用于:
接收核心网设备发送的第二消息,所述第二消息用于指示第二终端设备接收所述多播业务;
根据所述第二消息,向第二终端设备发送第三RRC消息,所述第三RRC消息包含第四指示信息,所述第四指示信息用于指示所述第一DRB的第一用户面安全激活状态。
32.如权利要求31所述的系统,其特征在于,所述第三RRC消息中还包括所述多播业务对应的分组数据汇聚协议PDCP计数值或所述多播业务对应的PDCP计数值的最重要部分对应的值。
33.如权利要求31或32所述的系统,其特征在于,所述第一RRC消息或所述第三RRC消息中还包括所述多播业务对应的安全算法和多播业务对应的密钥;其中,所述多播业务对应的安全算法包括加密算法和完整性保护算法中至少一个,所述多播业务对应的密钥包括加密密钥和完整性保护密钥中的至少一个。
34.如权利要求22-33任一项所述的系统,其特征在于,所述多播业务对应的用户面安全策略用于指示是否开启用户面加密保护以及是否开启用户面完整性保护。
35.如权利要求22-34任一项所述的系统,其特征在于,所述SMF网元确定所述多播业务的用户面安全策略,包括:
接收策略控制功能PCF网元发送的所述多播业务的用户面安全策略;或者,
接收应用功能AF网元发送的第五指示信息,所述第五指示信息用于指示所述多播业务的应用层安全策略,或者,所述第五指示信息用于指示所述多播业务的应用层安全开启状态,或者,所述第五指示信息用于指示所述多播业务的安全需求;
根据所述第五指示信息,确定所述多播业务的用户面安全策略;或者,
根据所述多播业务的签约信息或者本地配置的多播业务的用户面安全策略,确定所述多播业务的用户面安全策略。
36.一种通信装置,其特征在于,包括用于实现权利要求1至13任一项所述的方法的单元,或者,包括用于实现权利要求14至21任一项所述的方法的单元。
37.一种通信装置,其特征在于,包括处理器和存储器,所述存储器中存储有指令,所述处理器执行所述指令时,使得所述通信装置执行权利要求1至13任一项所述的方法,或者,使得所述通信装置执行权利要求14至21任一项所述的方法。
38.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行权利要求1至13任一项所述的方法,或者,使得计算机执行权利要求14至21任一项所述的方法。
CN202080099160.XA 2020-03-31 2020-03-31 一种通信方法、装置及系统 Active CN115362692B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/082635 WO2021196051A1 (zh) 2020-03-31 2020-03-31 一种通信方法、装置及系统

Publications (2)

Publication Number Publication Date
CN115362692A CN115362692A (zh) 2022-11-18
CN115362692B true CN115362692B (zh) 2024-03-26

Family

ID=77927271

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080099160.XA Active CN115362692B (zh) 2020-03-31 2020-03-31 一种通信方法、装置及系统

Country Status (2)

Country Link
CN (1) CN115362692B (zh)
WO (1) WO2021196051A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116419234A (zh) * 2021-12-31 2023-07-11 华为技术有限公司 通信方法及装置
CN114338231B (zh) * 2022-02-22 2023-10-31 浙江网商银行股份有限公司 策略处理方法及系统
CN115866588B (zh) * 2023-03-02 2023-05-19 四川创智联恒科技有限公司 一种安全激活消息并发方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104919834A (zh) * 2013-01-11 2015-09-16 Lg电子株式会社 用于在无线通信系统中应用安全信息的方法和设备
CN105557062A (zh) * 2013-07-03 2016-05-04 交互数字专利控股公司 用于接近服务的epc增强
CN110830993A (zh) * 2018-08-10 2020-02-21 华为技术有限公司 一种数据处理的方法和装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106162565B (zh) * 2015-04-09 2021-06-01 北京三星通信技术研究有限公司 传输组通信业务数据的方法、系统及装置
WO2017104980A1 (ko) * 2015-12-14 2017-06-22 엘지전자 주식회사 무선 통신 시스템에서 단말의 잠재적인 오동작을 방지하기 위한 동작 방법 및 이를 위한 장치
US10924912B2 (en) * 2017-01-06 2021-02-16 Lg Electronics Inc. Method for transmitting and receiving data through relay in wireless communication system and apparatus therefor
CN110831243B (zh) * 2018-08-13 2021-10-01 华为技术有限公司 一种用户面安全策略实现方法、装置及系统
CN110912854B (zh) * 2018-09-15 2021-03-23 华为技术有限公司 一种安全保护方法、设备及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104919834A (zh) * 2013-01-11 2015-09-16 Lg电子株式会社 用于在无线通信系统中应用安全信息的方法和设备
CN105557062A (zh) * 2013-07-03 2016-05-04 交互数字专利控股公司 用于接近服务的epc增强
CN110149621A (zh) * 2013-07-03 2019-08-20 交互数字专利控股公司 保护ProSe通信会话的方法和WTRU
CN110830993A (zh) * 2018-08-10 2020-02-21 华为技术有限公司 一种数据处理的方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
S3-194605 Notes from break out session on eV2X on 20.11.2019;NTT DOCOMO;3GPP TSG-SA3 Meeting #96 Ad-Hoc;全文 *

Also Published As

Publication number Publication date
CN115362692A (zh) 2022-11-18
WO2021196051A1 (zh) 2021-10-07

Similar Documents

Publication Publication Date Title
CN110830991B (zh) 安全会话方法和装置
US20200084631A1 (en) Key Configuration Method, Apparatus, and System
CN110121168B (zh) 安全协商方法及装置
CN115362692B (zh) 一种通信方法、装置及系统
US20210112406A1 (en) Communication method and communications apparatus
CN110365470B (zh) 一种密钥生成方法和相关装置
CN112351431B (zh) 一种安全保护方式确定方法及装置
CN110891269B (zh) 一种数据保护方法、设备及系统
CN110830993B (zh) 一种数据处理的方法、装置和计算机可读存储介质
EP3648521B1 (en) Resource configuration method and device
JP2020520171A (ja) QoS制御方法およびデバイス
CN109845389B (zh) 一种通信方法及装置
CN116325845A (zh) 一种安全通信方法、装置及系统
CN108702303B (zh) 一种为无线承载进行安全配置方法和设备
CN109391939B (zh) 密钥、参数发送方法及装置、用户面实体、控制面实体
CN116235524A (zh) 一种安全通信方法以及装置
EP4262258A1 (en) Method and apparatus for generating security context, and computer-readable storage medium
US20240080340A1 (en) Security for Groupcast Message in D2D Communication
CN112789896B (zh) 切换传输路径的方法及装置
EP4391614A1 (en) Communication method, apparatus and system
CN116420427A (zh) 用于侧链路中继情形中的ue上下文管理的系统和方法
CN113810903B (zh) 一种通信方法及装置
US20220393877A1 (en) Cryptographic Security Mechanism for Groupcast Communication
CN115776323A (zh) 实现卫星星间数据链路安全的方法及系统
CN115915114A (zh) 注册方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant