CN115398967A - Sl单播中的安全性改进 - Google Patents
Sl单播中的安全性改进 Download PDFInfo
- Publication number
- CN115398967A CN115398967A CN202080099508.5A CN202080099508A CN115398967A CN 115398967 A CN115398967 A CN 115398967A CN 202080099508 A CN202080099508 A CN 202080099508A CN 115398967 A CN115398967 A CN 115398967A
- Authority
- CN
- China
- Prior art keywords
- pdcp
- count
- readable storage
- computer
- storage medium
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/30—Connection release
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
示例性实施方案涉及计算机可读存储介质、设备、集成电路和方法,其执行与第一用户装备(UE)相关的操作,该第一UE被配置有与第二UE的侧链路(SL)连接。该操作包括生成SL计数器检查请求,该SL计数器检查请求至少包括如由该第一UE确定的针对从该第一UE到该第二UE的数据传输的第一计数。该操作还包括将该请求传输到该第二UE,以及接收对该请求的计数器检查响应,该响应至少包括如由该第二UE确定的针对从该第一UE到该第二UE的数据传输的第二计数。该操作还包括确定该第一计数和该第二计数之间的第一差值,以及当该第一差值超过阈值时,释放与该第二UE的该SL连接。
Description
背景技术
用户装备(UE)可被配置有多个通信链路。例如,UE可通过下行链路从对应网络的小区接收信号,并且可通过上行链路将信号传输到对应网络的小区。UE还可被配置为经由侧链路(SL)与另外的UE通信。术语“侧链路”是指可用于设备到设备(D2D)通信的通信链路。因此,SL可在不使用小区的情况下促进UE与另外的UE之间的通信。各种安全性相关问题可在SL通信中出现。
发明内容
在一些示例性实施方案中,一种计算机可读存储介质包括指令集,该指令集在由处理器执行时致使该处理器执行操作。该计算机可读存储介质可体现在第一用户装备(UE)中,该第一UE被配置有与第二UE的侧链路(SL)连接。该操作包括生成SL计数器检查请求,该SL计数器检查请求至少包括如由该第一UE确定的针对从该第一UE到该第二UE的数据传输的第一计数。该操作还包括将该请求传输到该第二UE,以及接收对该请求的计数器检查响应,该响应至少包括如由该第二UE确定的针对从该第一UE到该第二UE的数据传输的第二计数。该操作还包括确定该第一计数和该第二计数之间的第一差值,以及当该第一差值超过阈值时,释放与该第二UE的该SL连接。
在另外的示例性实施方案中,一种计算机可读存储介质包括指令集,该指令集在由处理器执行时致使该处理器执行操作。该计算机可读存储介质可体现在第一用户装备(UE)中,该第一UE被配置有与第二UE的侧链路(SL)连接。该操作包括发起上层密钥更新。该操作还包括针对该SL连接中使用的数据无线电承载(DRB)重置该SL连接的报头压缩协议,并且丢弃所有存储的分组数据汇聚协议(PDCP)协议数据单元(PDU)和服务数据单元(SDU)。该操作还包括:将新加密算法和新完整性保护算法应用于该DRB,使用该新加密和完整性保护算法来生成更新的PDCP PDU,以及将该更新的PDCP PDU提交到下层。
在又一些另外的示例性实施方案中,一种计算机可读存储介质包括指令集,该指令集在由处理器执行时致使该处理器执行操作。该计算机可读存储介质可体现在第一用户装备(UE)中,该第一UE被配置有与第二UE的侧链路(SL)连接并且通过其中使用多个逻辑信道的分组数据汇聚协议(PDCP)复制进行操作,确定对应于主逻辑信道的主SL RLC实体,该主SL RLC实体具有主SL RLC标识符(ID)并且该主逻辑信道具有主逻辑信道ID。该操作包括向该第二UE传输对使用PDCP复制的指示和该主SL RLC ID,其中该第二UE使用对应于该主SL RLC ID的该主逻辑信道ID来解密来自该第一UE的传输。
附图说明
图1示出了根据各种示例性实施方案的示例性网络布置。
图2示出了根据各种示例性实施方案的示例性UE。
图3示出了根据各种示例性实施方案的用于在第一UE和第二UE之间的SL单播通信中实现计数检查过程的方法。
图4示出了根据各种示例性实施方案的用于在第一传输UE处进行PDCP重建的方法,该第一传输UE与第二接收UE进行SL通信。
图5示出了根据各种示例性实施方案的用于在图4的第二UE处进行PDCP重建的方法。
图6示出了根据各种示例性实施方案的用于配置主SL RLC实体以用于在使用PDCP复制时用作PDCP层中的安全算法的方法。
具体实施方式
参考以下描述及相关附图可进一步理解示例性实施方案,其中类似的元件具有相同的附图标号。示例性实施方案涉及在一个或多个用户装备(UE)处执行的用于解决侧链路(SL)单播通信的安全性相关问题的机制。如下文将详细描述的,各种问题可在当前SL单播通信中出现,包括“中间人”攻击的可能性、无法正确地密钥更新,以及难以确定安全算法的正确输入。
示例性实施方案是关于UE来描述的。然而,UE的使用仅仅是出于说明的目的而提供的。示例性实施方案可与被配置有用于与网络交换信息(例如,控制信息)和/或数据的硬件、软件和/或固件的任何电子部件一起使用。因此,本文所述的UE用于代表任何合适的电子设备。
还参照侧链路(SL)描述了示例性实施方案。术语“侧链路”通常是指UE与另外的UE之间的通信链路。SL提供直接的设备到设备(D2D)通信,其中UE与另外的UE之间经由侧链路交换的信息和/或数据不通过小区。在一些配置中,单个侧链路提供UE与另外的UE之间的双向数据通信。在其他配置中,单个侧链路提供UE与另外的UE之间的单向数据通信,但信令可在两个方向上传输。术语“单播”是指一对一(即D2D)设备通信并且通常可指双向通信或单向通信。各种实施方案可应用于如下所指示的一种或两种通信形式。
长期演进(LTE)和5G新空口(NR)标准两者均支持SL通信。在一些配置中,网络可向UE提供指示如何建立、维护和/或利用SL的信息。因此,在通过SL交换的信息和/或数据不通过小区时,UE和网络可交换与SL相关联的信息。在其他配置中,SL不受网络的控制。在任一种配置中,第一UE和第二UE仍可执行同步过程、发现过程并交换对应于SL的控制信息。
可在SL单播通信中出现的第一问题是发生分组插入攻击的可能性,特别是在车辆对万物(V2X)传输中。当SL单播安全性被禁用时,可能发生“中间人”类型攻击,其中攻击设备记录、中继和/或改变通信设备之间的通信。
根据示例性实施方案的第一方面,实现SL计数器检查过程,特别是作为针对诸如当SL单播安全性被禁用时的情况的备用安全过程。如下面将进一步详细描述的,第一UE可发送SL计数器检查请求,该SL计数器检查请求指示发送到UE2和/或从其接收的数据传输的计数。UE2可通过针对发送到UE1和/或从其接收的数据传输的对应计数进行响应。当确定超过阈值的相应计数之间的不匹配时,指示潜在的“中间人”已经损坏UE之间的SL连接,并且释放连接,并且将安全性问题报告给网络。
可在SL单播通信中出现的第二问题是当前SL分组数据汇聚协议(PDCP)不支持PDCP重建。PDCP重建是当上层执行密钥更新时的过程,例如,生成用于对加密消息进行解密的新密钥集合。
根据示例性实施方案的第二方面,定义了供UE在上层密钥更新后执行重建过程的功能。如将在下文进一步详细描述的,向PDCP实体提供更新的加密和完整性保护算法,将算法应用于相关无线电承载,并且针对SL通信链路生成更新的PDCP数据PDU。
可在SL单播传输中出现的第三问题是逻辑信道ID用作密钥流计算的输入而不是承载ID,从而在使用PDCP复制时引起复杂化。PDCP复制是一种机制,其中多个(即至少两个)逻辑信道被映射到单个SL无线电承载。当使用SL PDCP复制时,多个逻辑信道ID中的哪一者要用于SL RB尚不清楚。尽管在3GPP Rel-16中不支持PDCP复制,但PDCP复制可在未来版本中启用并且需要用于支持方案的机制。
根据示例性实施方案的第三方面,当使用SL PDCP复制时,配置主SL RLC实体(等于逻辑信道),主RLC实体的ID将用作PDCP层中的安全算法的输入。
图1示出了根据各种示例性实施方案的示例性网络布置100。示例性网络布置100包括UE 110、112。本领域的技术人员将理解,UE 110、112可以是被配置为经由网络进行通信的电子部件的任何类型,例如,联网汽车、移动电话、平板电脑、智能电话、平板手机、嵌入式设备、可穿戴设备、物联网(IoT)设备等的部件。
在整个说明书中,术语“UE 110”、“UE”和“传输设备”能够互换使用。另外,术语“UE112”、“另外的UE”和“接收设备”也能够互换使用。还应当理解,实际网络布置可包括由任何数量的用户使用的任何数量的UE。因此,具有两个UE 110、112的示例只被提供用于说明的目的。
UE 110、112可与一个或多个网络直接通信。在网络配置100的示例中,UE 110、112可与之无线通信的网络是5G NR无线电接入网(5G NR-RAN)120、LTE无线电接入网(LTE-RAN)122和无线局域网(WLAN)124。这些类型的网络支持车联万物(V2X)和/或侧链路通信。然而,UE 110也可与其他类型的网络通信,并且UE 110也可通过有线连接与网络通信。因此,UE 110、112可包括与5G NR-RAN 120通信的5G NR芯片组、与LTE-RAN 122通信的LTE芯片组以及与WLAN 124通信的ISM芯片组。
5G NR-RAN 120和LTE-RAN 122可以是可由蜂窝提供商(例如,Verizon、AT&T、Sprint、T-Mobile等)部署的蜂窝网络的部分。这些网络120、122可包括例如被配置为从配备有适当蜂窝芯片组的UE发送和接收流量的小区或基站(NodeB、eNodeB、HeNB、eNBS、gNB、gNodeB、宏蜂窝基站、微蜂窝基站、小蜂窝基站、毫微微蜂窝基站等)。WLAN 124可包括任何类型的无线局域网(WiFi、热点、IEEE 802.11x网络等)。
UE 110、112可经由gNB 120A连接至5G NR-RAN。gNB 120A可被配置有必要的硬件(例如,天线阵列)、软件和/或固件以执行大规模多输入多输出(MIMO)功能。大规模MIMO可指被配置为生成用于多个UE的多个波束的基站。对单个gNB 120A的参考仅仅是为了进行示意性的说明。示例性实施方案可应用于任何适当数量的gNB。UE 110、112也可经由eNB 122A连接至LTE-RAN 122。
本领域技术人员将理解,可以为UE 110、112执行任何相关联的过程来连接至5GNR-RAN 120和LTE-RAN 122。例如,如上文所论述的,可以使5G NR-RAN 120和LTE-RAN 122与特定的蜂窝提供商相关联,在该蜂窝提供商处,UE 110、112和/或其用户具有合约和凭据信息(例如,存储在SIM卡上)。在检测到5G NR-RAN 120的存在时,UE 110、112可传输对应凭据信息以便与5G NR-RAN 120相关联。更具体地讲,UE 110、112可与特定基站(例如,5G NR-RAN 120的gNB 120A、LTE-RAN 122的eNB 122A)相关联。
UE 110、112还可使用侧链路彼此直接通信。该侧链路是直接D2D通信链路。因此,直接传输到另一个端点(例如,UE 110或UE 112)的信息和/或数据不通过小区(例如,gNB120A、eNB 122A)。在一些实施方案中,UE 110、112可从小区接收关于如何建立、维护和/或利用侧链路的信息。因此,网络(例如,5G NR-RAN 120、LTE-RAN 122)可控制侧链路。在其他实施方案中,UE 110、112可控制侧链路。不管如何控制侧链路,UE 110、112可同时维护到当前预占的小区(例如,gNB 120A、eNB 122A)的下行链路/上行链路以及到另一个UE的侧链路。
除网络120、122和124之外,网络布置100还包括蜂窝核心网130、互联网140、IP多媒体子系统(IMS)150和网络服务主干160。蜂窝核心网130可被视为管理蜂窝网络的操作和流量的部件的互连集合。蜂窝核心网130还管理在蜂窝网络与互联网140之间流动的流量。IMS 150通常可被描述为用于使用IP协议将多媒体服务递送至UE 110的架构。IMS 150可与蜂窝核心网130和互联网140通信以将多媒体服务提供至UE 110。网络服务主干160与互联网140和蜂窝核心网130直接或间接通信。网络服务主干160可通常被描述为一组部件(例如,服务器、网络存储布置等),其实施一套可用于扩展UE 110与各种网络通信的功能的服务。
图2示出了根据各种示例性实施方案的示例性UE 110。将参照图1的网络布置100来描述UE 110。UE 110可包括处理器205、存储器布置210、显示设备215、输入/输出(I/O)设备220、收发器225以及其他部件230。其他部件230可包括例如SIM卡、嵌入式SIM(eSIM)、音频输入设备、音频输出设备、功率源、数据采集设备、用于将UE 110电连接至其他电子设备的端口等。图2中所示的UE 110还可表示UE 112。
处理器205可被配置为执行UE 110的多个引擎。例如,引擎可包括计数器检查引擎235、PDCP重建引擎240和安全算法输入确定引擎245。如下文将描述的,计数器检查引擎235可操作以发起和/或响应于用于比较SL通信中的两个UE之间的数据传输计数的计数器检查请求。PDCP重建引擎240可通过更新的加密和/或完整性保护算法发起PDCP重建和/或刷新PDCP PDU/SDU。安全算法输入确定引擎245可将多个SL RLC实体中的一者识别为主实体,并且向第二UE指示所述主实体和/或使用主SL逻辑信道ID(对应于主SL RLC实体)以解密传输。
上述引擎各自作为由处理器205执行的应用程序(例如,程序)仅是示例性的。与引擎相关联的功能也可被表示为UE 110的独立整合部件,或者可为耦接到UE 110的模块化部件,例如,具有或不具有固件的集成电路。例如,集成电路可包括用于接收信号的输入电路和用于处理信号和其他信息的处理电路。引擎也可被体现为一个应用程序或分开的多个应用程序。此外,在一些UE中,针对处理器205描述的功能性在两个或更多个处理器诸如基带处理器和应用处理器之间分担。可以按照UE的这些或其他配置中的任何配置实施示例性实施方案。
存储器布置210可以是被配置为存储与由UE 110所执行的操作相关的数据的硬件组件。显示设备215可以是被配置为向用户显示数据的硬件组件,而I/O设备220可以是使得用户能够进行输入的硬件组件。显示设备215和I/O设备220可以是独立的部件或者可被集成在一起(诸如触摸屏)。收发器225可以是被配置为与5G NR-RAN 120、WLAN 122等建立连接的硬件组件。因此,收发器225可以在多个不同的频率或信道(例如,连续频率组)上工作。
如上所述,第一示例性实施方案涉及检测在经由SL通信的两个UE之间的“中间人”(即攻击设备)。下面描述的示例性计数器检查机制(其中对两个UE之间的数据传输进行计数)可在确定相应计数之间的不匹配时指示存在攻击设备。
图3示出了用于在第一UE(例如,UE 110)与第二UE(例如,UE 112)之间的SL单播通信中实现计数检查过程的方法300。如下所述,示例性过程可在单向通信或双向通信中使用。可以各种间隔执行如本文所述的计数检查过程。例如,可针对每个消息交换执行计数检查,可周期性地(例如,每X秒)执行计数检查,可基于事件(例如,每Y个通信)执行计数检查等。
在305中,第一UE和第二UE中的任一者通过生成SL计数器检查请求来发起计数器检查过程。计数器检查请求包括信息元素(IE),该信息元素包括用于指示在两个方向中的第一方向(例如,从第一UE到第二UE)上的数据传输的计数的第一计数,以及用于指示在两个方向中的第二方向(例如,从第二UE到第一UE)上的数据传输的计数的第二计数。在一些示例性实施方案中,IE还可包括数据传输的无线电承载(RB)标识符(RB ID)和/或逻辑信道ID中的一者或两者。在一些示例性实施方案中,可针对每个RB或逻辑信道使用单独计数器,因此当使用多个RB和/或逻辑信道时,可针对RB ID和/或逻辑信道ID中的每一者列出针对上述传输方向的计数器。例如,如果认为在第一UE与第二UE之间建立两个RB(例如,RB1和RB2),则请求IE可包括RB和对应计数器的列表(例如,RB1[Tx-RB1计数器,Rx-RB1计数器]、RB2[Tx-RB2计数器,Rx-RB2计数器])。在310中,第一UE向第二UE传输(即发信号通知)计数器检查请求。
在315中,在接收到计数器检查请求时,第二UE针对每个SL数据无线电承载(DRB)生成对计数器检查请求的响应。以下描述提供了与已建立的DRB相关的操作的示例。下面将提供未建立的DRB的示例性操作。对于已建立的DRB,如果针对给定传输方向不存在计数,例如因为DRB是仅针对另一方向配置的单向承载,则针对对应于未使用方向的IE假设计数值为零。对于未包括在请求中的已建立的DRB,第二UE可通过包括针对SL RB ID的IE而在响应中包括针对DRB中的每一者设置的计数器,其中计数器被设置为TX_NEXT-1和RX_NEXT-1的值。如果对于特定SL RB的至少一个方向,计数的最高有效位不同于请求消息中指示的值,则SL RB被包括在具有SL RB ID和/或SL逻辑信道ID的响应中,其中计数器被设置为TX_NEXT-1和RX_NEXT-1的值。
对于未建立的每个DRB,第二UE在响应中包括未建立的SL DRB ID,其中计数集的最高有效位被设置成等于请求消息中的对应值并且最低有效位被设置为零。在320中,第二UE向第一UE传输(即发信号通知)计数器检查请求。
在325中,在接收到计数器检查响应时,第一UE确定是否存在计数器不匹配。第一UE确定针对SL DRB中的每一者的第一UE的计数和第二UE的计数之间的差值并且将差值与阈值进行比较。阈值可由RRC信令(SIB或专用信令)中的NW配置,在网络提供商和UE提供商之间预配置,或者由UE具体实施决定(例如,基于在UE上执行的应用程序、基于UE的类型等)。在一些示例性实施方案中,阈值可为恒定的。在其他示例性实施方案中,可根据SL DRB的特性(诸如数据速率)来缩放阈值,例如,较高的数据速率将允许较高的阈值。
在330中,当确定存在计数器不匹配时,声明计数器不匹配并且可由第一UE释放连接。例如,第一UE可向第二UE发送RRCReleaseSidelink或RRCReconfigurationFailureSidelink消息,其指示原因值为“计数器不匹配”或“安全性问题”。如果第一UE或第二UE中的任一者处于与网络(例如,5G RAN 120)的RRC连接状态,则UE可向网络报告SLUEinformation,其指示释放/故障原因是“计数器不匹配”或“安全性问题”。以此方式,5G RAN 120可理解可能已经存在经由侧链路连接的对UE的攻击。
当单播安全性被关闭时,可采用上述机制,或者即使当单播安全性被开启时,也可将上述机制用作备用安全措施。计数器不匹配确定可指示拦截SL通信中的两个UE之间的传输或在SL通信中的两个UE之间插入恶意传输的攻击设备的存在。示例性计数机制允许UE进行保护以防止此类恶意攻击。
如上所述,示例性实施方案的第二方面涉及在SL通信中的两个UE之间的PDCP实体重建。PDCP层支持安全功能(例如,完整性、加密和报头压缩)并在RLC层的顶部上运行。当安全密钥刷新时,执行PDCP的重建。PDCP的重建可以是当上层执行密钥更新时执行的过程。
通常,密钥更新确保了使用新鲜的会话密钥(KNPR-sess)并且还可刷新KNPR。SL通信中的任一UE可在针对PDCP承载的计数器通过当前密钥进行重复之前的任何时间对连接进行密钥更新。
图4示出了用于在第一传输UE处进行PDCP重建的方法400,该第一传输UE与第二接收UE进行SL通信。如上所述,SL通信中的任一UE可对连接进行密钥更新。因此,方法400可由已经建立SL连接的UE 110或UE 112执行。
在405中,在第一UE处发起上层密钥更新。在410中,重置第一UE处的PDCP实体的各个方面。例如,对于确认(AM)的DRB和未确认(UM)的DRB两者,可重置SL的报头压缩协议,使得建立单向(U模式)中的初始的初始化和刷新(IR)状态。对于所有UM DRB和信令无线电承载(SRB),TX_NEXT可被设置为初始值。对于SRB,可丢弃所有存储的PDCP服务数据单元(SDU)和协议数据单元(PDU)。
在415中,将新加密算法和新完整性保护算法应用于DRB。在PDCP实体密钥更新过程期间由上层提供新算法。
在420中,使用新加密和完整性保护算法来生成PDCP数据PDU。具体地,对于UMDRB,针对已经与PDCP序列编号(SN)相关联的每个PDCP SDU(但针对其的对应PDU先前未提交到下层),执行PDCP SDU的报头压缩,使用与PDCP SDU相关联的计数值来执行完整性保护和加密,并且将所得PDCP数据PDU提交到下层。
对于AM DRB(来自针对其的对应PDCP数据PDU的成功递送未由下层确认的第一PDCP SDU),在重建发起之前,针对已经与PDCP SN相关联的所有PDCP SDU,按照与PDCP SDU相关联的COUNT值的升序执行传输或重传。类似于上文讨论的UM DRB,执行这些PDCP SDU中的每一者的报头压缩,使用与PDCP SDU相关联的计数值来执行完整性保护和加密,并且将所得PDCP数据PDU提交到下层。
前述方法400重建用于SL连接的下层并且结束针对第一UE的方法。图5示出了用于在第二UE处进行PDCP重建的方法500。在505中,由于下层的重建,接收UE处理从下层接收的PDCP数据PDU。
在510中,丢弃所存储的PDCP SDU和PDCP PDU。在515中,对于具有t重新排序运行的SRB和UM DRB,停止并重置t重新排序。在520中,对于UM DRB,执行报头解压缩,并且按照相关联的COUNT值的升序将所有存储的PDCP SDU递送到上层。在525中,对于AM DRB,如果未配置drb-ContinueROHC,则对于所有存储的PDCP SDU执行报头解压缩。
在530中,对于UM DRB和AM DRB,重置侧链路的报头压缩协议并且启动U模式中的NC状态。在535中,对于UM DRB和SRB,将RX_NEXT和RX_DELIV设置为初始值。在540中,应用加密算法以及密钥和完整性保护算法以及在PDCP重建过程期间由上层提供的密钥。
因此,执行方法400和500将导致密钥更新过程在具有侧链路连接的UE之间完成。
如上所述,示例性实施方案的第三方面涉及PDCP复制场景,其中使用多个逻辑RLC实体(因此使用多个逻辑信道),并且哪个逻辑信道ID将用作PDCP层处的安全算法的输入尚不清楚。
图6示出了用于配置主SL RLC实体以用于在使用PDCP复制时用作PDCP层中的安全算法的方法600。
在605中,通过PDCP复制进行操作的第一传输UE确定主SL RLC实体作为承载PDCP控制PDU的实体。在PDCP复制中,多个信道中的仅一者承载PDCP控制PDU。在610中,第一UE通过RRCReconfigurationSidelink消息向第二接收UE指示PDCP复制用于一个SL RB以及主SLRLC实体的身份。
在615中,第二UE使用对应于主SL RLC实体的主SL逻辑信道ID来解密传输和IP检查。
因此,在方法600的完成时,SL连接中的两个UE将理解哪个逻辑信道ID将用于SL承载。应当理解,方法600可应用于适用于RAT内PDCP复制的基于载波聚合(CA)的PDCP复制。此外,方法600可应用于适用于RAT间PDCP复制(例如,NR SL和LTE SL)的基于双连接性(DC)的PDCP复制。
以下提供了示例性实施方案的第一方面的示例。
第一示例包括由第一用户装备(UE)执行的方法,该第一UE被配置有与第二UE的侧链路(SL)连接。该方法包括:生成SL计数器检查请求,该SL计数器检查请求至少包括如由该第一UE确定的针对从该第一UE到该第二UE的数据传输的第一计数;将该请求传输到该第二UE;接收对该请求的计数器检查响应,该响应至少包括如由该第二UE确定的针对从该第一UE到该第二UE的数据传输的第二计数;确定该第一计数和该第二计数之间的第一差值;以及当该第一差值超过阈值时,释放与该第二UE的该SL连接。
第二示例包括具有收发器和处理器的第一用户装备(UE)。该收发器被配置为经由侧链路(SL)连接来连接到第二UE。该处理器被配置为:生成SL计数器检查请求,该SL计数器检查请求至少包括如由该第一UE确定的针对从该第一UE到该第二UE的数据传输的第一计数;接收对该请求的计数器检查响应,该响应至少包括如由该第二UE确定的针对从该第一UE到该第二UE的数据传输的第二计数;确定该第一计数和该第二计数之间的第一差值;以及当该第一差值超过阈值时,释放与该第二UE的该SL连接。
第三示例包括由第一用户装备(UE)执行的方法,该第一UE被配置有与第二UE的侧链路(SL)连接。该方法包括:从该第二UE接收SL计数器检查请求,该请求至少包括如由该第二UE确定的针对从该第二UE到该第一UE的数据传输的第一计数;生成对该请求的计数器检查响应,该响应至少包括如由该第一UE确定的针对从该第二UE到该第一UE的数据传输的第二计数;将该响应传输到该第二UE;以及接收来自该第二UE的释放该SL连接的消息,其中该消息包括释放该SL连接的原因。
该第三示例还包括当该请求不包括无线电承载(RB)识别(ID)时,生成包括针对该SL连接上的数据传输建立的RB的RB ID的响应。
该第三示例还包括当接收到释放该SL连接的消息并且该第一UE处于与蜂窝网络的RRC连接状态时,向该蜂窝网络报告该SL连接的释放,包括该消息中包括的原因。
第四示例包括具有收发器和处理器的第一用户装备(UE)。该收发器被配置为经由侧链路(SL)连接来连接到第二UE。该处理器被配置为:从该第二UE接收SL计数器检查请求,该请求至少包括如由该第二UE确定的针对从该第二UE到该第一UE的数据传输的第一计数;生成对该请求的计数器检查响应,该响应至少包括如由该第一UE确定的针对从该第二UE到该第一UE的数据传输的第二计数;以及接收来自该第二UE的释放该SL连接的消息,其中该消息包括释放该SL连接的原因。
以下提供了示例性实施方案的第二方面的示例。
第五示例包括由第一用户装备(UE)执行的方法,该第一UE被配置有与第二UE的侧链路(SL)连接。该方法包括:发起上层密钥更新;针对该SL连接中使用的数据无线电承载(DRB)重置该SL连接的报头压缩协议,并且丢弃所有存储的分组数据汇聚协议(PDCP)协议数据单元(PDU)和服务数据单元(SDU);将新加密算法和新完整性保护算法应用于该DRB;使用该新加密和完整性保护算法来生成更新的PDCP PDU;以及将该更新的PDCP PDU提交到下层。
第六示例包括具有收发器和处理器的第一用户装备(UE)。该收发器被配置为经由侧链路(SL)连接来连接到第二UE。该处理器被配置为:发起上层密钥更新;针对该SL连接中使用的数据无线电承载(DRB)重置该SL连接的报头压缩协议,并且丢弃所有存储的分组数据汇聚协议(PDCP)协议数据单元(PDU)和服务数据单元(SDU);将新加密算法和新完整性保护算法应用于该DRB;使用该新加密和完整性保护算法来生成更新的PDCP PDU;以及将该更新的PDCP PDU提交到下层。
第七示例包括由第一用户装备执行的方法,该第一用户装备被配置有与第二UE的侧链路(SL)连接。该方法包括:从该第二UE接收密钥更新请求;从下层接收更新的分组数据汇聚协议(PDCP)协议数据单元(PDU);丢弃所有存储的PDCP PDU和服务数据单元(SDU);对该更新的PDCP PDU执行报头压缩;以及将新加密算法和新完整性保护算法应用于该SL连接中使用的数据无线电承载(DRB)。
第八示例包括具有收发器和处理器的第一用户装备(UE)。该收发器被配置为经由侧链路(SL)连接来连接到第二UE。该处理器被配置为:从该第二UE接收密钥更新请求;从下层接收更新的分组数据汇聚协议(PDCP)协议数据单元(PDU);丢弃所有存储的PDCP PDU和服务数据单元(SDU);对该更新的PDCP PDU执行报头压缩;以及将新加密算法和新完整性保护算法应用于该SL连接中使用的数据无线电承载(DRB)。
以下提供了示例性实施方案的第三方面的示例。
第九示例包括由第一用户装备(UE)执行的方法,该第一UE被配置有与第二UE的侧链路(SL)连接并且通过其中使用多个逻辑信道的分组数据汇聚协议(PDCP)复制进行操作。该方法包括:确定对应于主逻辑信道的主SL RLC实体,该主SL RLC实体具有主SL RLC标识符(ID)并且该主逻辑信道具有主逻辑信道ID;以及向该第二UE传输对使用PDCP复制的指示和该主SL RLC ID,其中该第二UE使用对应于该主SL RLC ID的该主逻辑信道ID来解密来自该第一UE的传输。
第十示例包括具有收发器和处理器的第一用户装备(UE),该UE被配置为通过其中使用多个逻辑信道的分组数据汇聚协议(PDCP)复制进行操作。该收发器被配置为经由侧链路(SL)连接来连接到第二UE。该处理器被配置为确定对应于主逻辑信道的主SL RLC实体,该主SL RLC实体具有主SL RLC标识符(ID)并且该主逻辑信道具有主逻辑信道ID,其中该收发器被进一步配置为向该第二UE传输对使用PDCP复制的指示和该主SL RLC ID,其中该第二UE使用对应于该主SL RLC ID的该主逻辑信道ID来解密来自该第一UE的传输。
第十一示例包括由第一用户装备(UE)执行的方法,该第一UE被配置有与第二UE的侧链路(SL)连接并且通过其中使用多个逻辑信道的分组数据汇聚协议(PDCP)复制进行操作。该方法包括:接收对使用PDCP复制的指示和主SL RLC ID,以及使用对应于该主SL RLCID的主逻辑信道ID来解密来自该第一UE的传输。
第十二示例包括具有收发器和处理器的第一用户装备(UE),该UE被配置为通过其中使用多个逻辑信道的分组数据汇聚协议(PDCP)复制进行操作。该收发器被配置为经由侧链路(SL)连接来连接到第二UE。该处理器被配置为接收对使用PDCP复制的指示和主SL RLCID,以及使用对应于该主SL RLC ID的主逻辑信道ID来解密来自该第一UE的传输。
本领域的技术人员将理解,可以任何合适的软件配置或硬件配置或它们的组合来实现上文所述的示例性实施方案。用于实现示例性实施方案的示例性硬件平台可包括例如具有兼容操作系统的基于Intel x86的平台、Windows OS、Mac平台和MAC OS、具有操作系统诸如iOS、Android等的移动设备。在其他示例中,上述方法的示例性实施方案可被体现为包括存储在非暂态计算机可读存储介质上的代码行的程序,在进行编译时,该程序可在处理器或微处理器上执行。
尽管本专利申请描述了各自具有不同特征的各种实施方案的各种组合,本领域的技术人员将会理解,一个实施方案的任何特征均可以任何未被公开否定的方式与其他实施方案的特征或者在功能上或逻辑上不与本发明所公开的实施方案的设备的操作或所述功能不一致的特征相组合。
众所周知,使用个人可识别信息应遵循公认为满足或超过维护用户隐私的行业或政府要求的隐私政策和做法。具体地,应管理和处理个人可识别信息数据,以使无意或未经授权的访问或使用的风险最小化,并应当向用户明确说明授权使用的性质。
对本领域的技术人员而言将显而易见的是,可在不脱离本公开的实质或范围的前提下对本公开进行各种修改。因此,本公开旨在涵盖本公开的修改形式和变型形式,但前提是这些修改形式和变型形式在所附权利要求及其等同形式的范围内。
Claims (19)
1.一种计算机可读存储介质,所述计算机可读存储介质包括指令集,其中所述指令集在由处理器执行时致使所述处理器执行操作,包括:
在被配置有与第二用户装备(UE)的侧链路(SL)连接的第一UE处:
生成SL计数器检查请求,所述SL计数器检查请求至少包括如由所述第一UE确定的针对从所述第一UE到所述第二UE的数据传输的第一计数;
将所述请求传输到所述第二UE;
接收对所述请求的计数器检查响应,所述响应至少包括如由所述第二UE确定的针对从所述第一UE到所述第二UE的数据传输的第二计数;
确定所述第一计数和所述第二计数之间的第一差值;以及
当所述第一差值超过阈值时,释放与所述第二UE的所述SL连接。
2.根据权利要求1所述的计算机可读存储介质,其中所述请求包括如由所述第一UE确定的针对从所述第二UE到所述第一UE的数据传输的第三计数,并且所述响应包括如由所述第二UE确定的针对从所述第二UE到所述第一UE的数据传输的第四计数,所述操作还包括:
确定所述第三计数和所述第四计数之间的第二差值;以及
当所述第二差值超过所述阈值时,释放与所述第二UE的所述SL连接。
3.根据权利要求1所述的计算机可读存储介质,其中所述请求包括第一无线电承载标识符(RB ID)或第一逻辑信道ID中的一者,所述第一计数对应于所述第一RB ID或所述第一逻辑信道ID中的所述一者上的数据传输。
4.根据权利要求3所述的计算机可读存储介质,其中所述请求包括第二RB ID或第二逻辑信道ID中的一者,其中所述请求包括针对所述第二RB ID或所述第二逻辑信道中的所述一者上的数据传输的第五计数。
5.根据权利要求1所述的计算机可读存储介质,其中,所述操作还包括:
当所述第一UE释放与所述第二UE的所述SL连接并且处于与蜂窝网络的RRC连接状态时,向所述蜂窝网络报告所述SL连接的所述释放。
6.根据权利要求1所述的计算机可读存储介质,其中释放与所述第二UE的所述SL包括向所述第二UE发送指示所述释放的原因的消息。
7.根据权利要求1所述的计算机可读存储介质,其中所述阈值是以下中的一者:(i)由蜂窝网络配置的,(ii)预配置的,或(iii)由所述第一UE基于所述第一UE的特性或在所述第一UE上执行的应用程序确定的。
8.根据权利要求1所述的计算机可读存储介质,其中所述阈值至少基于所述SL连接上的数据速率。
9.根据权利要求2所述的计算机可读存储介质,其中当SL连接为单向时,所述第一计数或所述第三计数中的一者被设置为0。
10.根据权利要求1所述的计算机可读存储介质,其中所述第一计数和所述第二计数包括至少一个最高有效位和至少一个较低有效位。
11.一种计算机可读存储介质,所述计算机可读存储介质包括指令集,其中所述指令集在由处理器执行时致使所述处理器执行操作,包括:
在被配置有与第二用户装备(UE)的侧链路(SL)连接的第一UE处:
发起上层密钥更新;
针对所述SL连接中使用的数据无线电承载(DRB)重置所述SL连接的报头压缩协议,并且丢弃所有存储的分组数据汇聚协议(PDCP)协议数据单元(PDU)和服务数据单元(SDU);
将新加密算法和新完整性保护算法应用于所述DRB;
使用所述新加密和完整性保护算法来生成更新的PDCP PDU;以及
将所更新的PDCP PDU提交到下层。
12.根据权利要求11所述的计算机可读存储介质,其中所述新加密算法和所述新完整性保护算法在所述上层密钥更新期间由上层提供。
13.根据权利要求11所述的计算机可读存储介质,其中针对确认(AM)的DRB和未确认(UM)的DRB重置所述报头压缩协议。
14.根据权利要求13所述的计算机可读存储介质,其中对于所述UMDRB,针对与PDCP序列编号(SN)相关联的每个PDCP SDU执行所述重置、应用、生成和提交,针对所述PDCP SDU的对应PDU尚未被提交到所述下层。
15.根据权利要求13所述的计算机可读存储介质,其中对于所述AMDRB,针对每个PDCPSDU执行所述重置、应用、生成和提交,针对所述PDCP SDU的对应PDCP数据PDU的成功递送尚未由所述下层确认。
16.根据权利要求11所述的计算机可读存储介质,其中在针对PDCP承载的计数器以当前密钥进行重复之前执行所述操作。
17.一种计算机可读存储介质,所述计算机可读存储介质包括指令集,其中所述指令集在由处理器执行时致使所述处理器执行操作,包括:
在被配置有与第二用户装备(UE)的侧链路(SL)连接并且通过其中使用多个逻辑信道的分组数据汇聚协议(PDCP)复制进行操作的第一UE处:
确定对应于主逻辑信道的主SL RLC实体,所述主SL RLC实体具有主SL RLC标识符(ID)并且所述主逻辑信道具有主逻辑信道ID;以及
向所述第二UE传输对使用PDCP复制的指示和所述主SL RLCID,
其中所述第二UE使用对应于所述主SL RLC ID的所述主逻辑信道ID来解密来自所述第一UE的传输。
18.根据权利要求17所述的计算机可读存储介质,其中所述PDCP复制基于以载波聚合(CA)状态进行操作的第一UE。
19.根据权利要求17所述的计算机可读存储介质,其中所述PDCP复制基于以双连接(DC)状态操作的第一UE。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2020/083775 WO2021203301A1 (en) | 2020-04-08 | 2020-04-08 | Security improvements in sl unicast |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115398967A true CN115398967A (zh) | 2022-11-25 |
Family
ID=78022637
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080099508.5A Pending CN115398967A (zh) | 2020-04-08 | 2020-04-08 | Sl单播中的安全性改进 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20230345236A1 (zh) |
EP (2) | EP4304218A3 (zh) |
JP (2) | JP7397217B2 (zh) |
KR (1) | KR20220150948A (zh) |
CN (1) | CN115398967A (zh) |
BR (1) | BR112022020273A2 (zh) |
WO (1) | WO2021203301A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4072181A1 (en) * | 2021-04-09 | 2022-10-12 | Nokia Technologies Oy | Counter measures for attacking messages |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI110651B (fi) * | 2000-02-22 | 2003-02-28 | Nokia Corp | Menetelmä siirretyn datan määrän tarkastamiseksi |
CN103906049B (zh) * | 2012-12-28 | 2019-09-24 | 北京三星通信技术研究有限公司 | 一种同步辅小区和ue之间加密信息的方法 |
JP6102383B2 (ja) * | 2013-03-18 | 2017-03-29 | 富士通株式会社 | 情報処理システム、情報処理装置、データ転送装置及び情報処理システムの制御方法 |
US10075881B2 (en) * | 2013-04-02 | 2018-09-11 | Lg Electronics Inc. | Method for performing a cell change procedure in a wireless communication system and a device therefor |
GB2522665A (en) | 2014-01-31 | 2015-08-05 | Nec Corp | Communication system |
CN104936170B (zh) * | 2014-03-21 | 2019-01-18 | 华为技术有限公司 | 检测中间人攻击的方法与装置 |
WO2017138977A1 (en) * | 2016-02-12 | 2017-08-17 | Intel IP Corporation | Systems and methods for reducing interruptions in data transmissions due to handover operations |
CN110139322A (zh) * | 2018-02-08 | 2019-08-16 | 电信科学技术研究院有限公司 | 一种数据传输方法及终端 |
WO2020017807A1 (en) * | 2018-07-19 | 2020-01-23 | Lg Electronics Inc. | Method and apparatus for transmitting pdcp status report in wireless communication system |
CN110784904A (zh) * | 2018-07-31 | 2020-02-11 | 夏普株式会社 | 接入控制方法及用户设备 |
CN114222271A (zh) * | 2019-06-17 | 2022-03-22 | 腾讯科技(深圳)有限公司 | 用于车辆通信的副链路监测方法、装置、介质及电子设备 |
-
2020
- 2020-04-08 EP EP23212124.4A patent/EP4304218A3/en active Pending
- 2020-04-08 KR KR1020227034692A patent/KR20220150948A/ko unknown
- 2020-04-08 US US17/995,369 patent/US20230345236A1/en active Pending
- 2020-04-08 WO PCT/CN2020/083775 patent/WO2021203301A1/en unknown
- 2020-04-08 BR BR112022020273A patent/BR112022020273A2/pt unknown
- 2020-04-08 JP JP2022561070A patent/JP7397217B2/ja active Active
- 2020-04-08 CN CN202080099508.5A patent/CN115398967A/zh active Pending
- 2020-04-08 EP EP20930202.5A patent/EP4115647A4/en active Pending
-
2023
- 2023-11-30 JP JP2023202649A patent/JP2024026229A/ja active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2021203301A1 (en) | 2021-10-14 |
BR112022020273A2 (pt) | 2022-12-06 |
JP2023521350A (ja) | 2023-05-24 |
JP2024026229A (ja) | 2024-02-28 |
KR20220150948A (ko) | 2022-11-11 |
EP4304218A3 (en) | 2024-04-10 |
US20230345236A1 (en) | 2023-10-26 |
EP4304218A2 (en) | 2024-01-10 |
JP7397217B2 (ja) | 2023-12-12 |
EP4115647A1 (en) | 2023-01-11 |
EP4115647A4 (en) | 2023-04-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10582522B2 (en) | Data transmission and reception method and device of terminal in wireless communication system | |
EP3592097B1 (en) | Radio link failure handling method and related product | |
US11818139B2 (en) | Data integrity protection method and apparatus | |
TWI422242B (zh) | 處理資料傳遞之中繼站及控制資料傳遞的相關方法 | |
CN104737572A (zh) | 对扩展的发现范围的基于邻近的服务发现提供完整性保护的方法和装置 | |
US11582214B2 (en) | Updating security key | |
CN110731091A (zh) | 用户设备的无线电链路恢复 | |
TW201911824A (zh) | 處理承載型態改變的裝置及方法 | |
JP2024026229A (ja) | Slユニキャストにおけるセキュリティの改善 | |
EP2846570B1 (en) | Methods of handling data transmission and reception in device to device communication in wireless communication systems | |
US20220345883A1 (en) | Security key updates in dual connectivity | |
US9565661B2 (en) | Methods and apparatuses for signaling radio bearer transmission in a heterogenous network | |
EP4128993A1 (en) | Data communication in an inactive state | |
CN116491138A (zh) | 针对多个无线连接的nas计数 | |
CN116508345A (zh) | L2中继中的流量之间的区分 | |
US20240154834A1 (en) | MRB Deactivation and Activation | |
US20240224117A1 (en) | Differentiation Between Traffic in L2 Relay | |
US20230269053A1 (en) | Data Transfer during Mobility in Layer 2 Relay | |
CN117223388A (zh) | 用于scg激活/去活的承载重新配置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |