CN115696385A - 用户面安全策略配置方法及相关设备 - Google Patents
用户面安全策略配置方法及相关设备 Download PDFInfo
- Publication number
- CN115696385A CN115696385A CN202110871422.6A CN202110871422A CN115696385A CN 115696385 A CN115696385 A CN 115696385A CN 202110871422 A CN202110871422 A CN 202110871422A CN 115696385 A CN115696385 A CN 115696385A
- Authority
- CN
- China
- Prior art keywords
- base station
- user plane
- core network
- security policy
- plane security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本公开实施例提供了一种用户面安全策略配置方法及相关设备。由第一基站执行的方法包括:在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,第一基站获取第二基站的用户面安全策略;第一基站将第二基站的用户面安全策略发送至核心网控制面实体,以便核心网控制面实体将第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;第一基站从所述核心网控制面实体接收所述核心网存储的用户面安全策略;第一基站将所述核心网存储的用户面安全策略发送至所述终端。
Description
技术领域
本公开涉及通信技术领域,具体而言,涉及一种用户面安全策略配置方法、第一基站、第二基站、终端、核心网控制面实体、核心网会话管理功能实体、电子设备和计算机可读存储介质。
背景技术
5G(5th Generation Mobile Communication Technology,第五代移动通信技术)作为下一代无线网络的主要技术,具有支持超宽带、大连接等技术特征。相比于4G状态,5G系统对于非NB-IoT(Narrow Band Internet of Things,窄带物联网)类终端支持了一种新的状态即非激活状态(inactive状态),在Rel-16之前的版本中,inactive状态如果有小数据(small data,SD)的发送需求,需要回到连接状态进行传输,这种方式导致了大量的信令消耗以及终端耗电。
在Rel-17阶段,3GPP(3rd Generation Partnership Project,第三代合作伙伴)在Rel-17中开展了Small Data Transmission(SDT,小数据传输)的研究工作,其目的是缩小终端在inactive时发送小数据的接入时延。
但是,由于不同基站对完整性保护的支持能力不一样,并且在inactive状态需要传输数据的需求,目前3GPP规范中支持上述需求时会存在如下问题:基站支持完整性保护能力的缺失对终端移动性产生负面影响;可能导致inactive状态更换锚点的错误。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解。
发明内容
本公开实施例提供一种用户面安全策略配置方法、第一基站、第二基站、终端、核心网控制面实体、核心网会话管理功能实体、电子设备和计算机可读存储介质,可为终端配置合适的用户面安全策略。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
本公开实施例提供一种用户面安全策略配置方法,所述方法包括:在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,所述第一基站获取第二基站的用户面安全策略;所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体,以便所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;所述第一基站从所述核心网控制面实体接收所述核心网存储的用户面安全策略;所述第一基站将所述核心网存储的用户面安全策略发送至所述终端。
本公开实施例提供一种用户面安全策略配置方法,所述方法包括:第二基站获取第一基站的用户面安全支持能力;所述第二基站根据所述第一基站的用户面安全支持能力,确定终端的传输锚点从所述第二基站重配置到第一基站;所述第二基站将第二基站的用户面安全策略传输至所述第一基站,以便所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体;其中,所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;所述第一基站还用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略,并将所述核心网存储的用户面安全策略发送至终端。
本公开实施例提供一种用户面安全策略配置方法,所述方法包括:终端向第一基站发送无线资源控制恢复请求消息,以便所述第一基站根据所述无线资源控制恢复请求消息确定所述终端需要在非激活状态时发送小数据;所述终端接收所述第一基站发送的核心网存储的用户面安全策略;其中,所述核心网存储的用户面安全策略是所述第一基站从核心网控制面实体接收的,在根据第一基站的用户面安全支持能力将所述终端的传输锚点从第二基站重配置到所述第一基站时,所述第一基站用于获取第二基站的用户面安全策略,将所述第二基站的用户面安全策略发送至所述核心网控制面实体,所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体;所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定所述核心网存储的用户面安全策略。
本公开实施例提供一种用户面安全策略配置方法,所述方法包括:在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,核心网控制面实体从所述第一基站接收第二基站的用户面安全策略;所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,以便所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;所述核心网控制面实体接收所述核心网会话管理功能实体返回的所述核心网存储的用户面安全策略;所述核心网控制面实体将所述核心网存储的用户面安全策略发送至所述第一基站,以便所述第一基站将所述核心网存储的用户面安全策略发送至所述终端。
本公开实施例提供一种用户面安全策略配置方法,所述方法包括:在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,核心网会话管理功能实体从核心网控制面实体接收第二基站的用户面安全策略;所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;所述核心网会话管理功能实体将所述核心网存储的用户面安全策略发送至所述核心网控制面实体,以便所述核心网控制面实体将所述核心网存储的用户面安全策略发送至第一基站,所述第一基站用于将所述核心网存储的用户面安全策略发送至终端。
本公开实施例提供一种第一基站,所述第一基站包括:第二基站用户面安全策略获取单元,用于在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到所述第一基站时,获取第二基站的用户面安全策略;第二基站用户面安全策略发送单元,用于将所述第二基站的用户面安全策略发送至核心网控制面实体,以便所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;核心网用户面安全策略接收单元,用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略;核心网用户面安全策略发送单元,用于将所述核心网存储的用户面安全策略发送至所述终端。
本公开实施例提供一种第二基站,所述第二基站包括:第一基站用户面安全支持能力获取单元,用于获取第一基站的用户面安全支持能力;终端传输锚点重配置单元,用于根据所述第一基站的用户面安全支持能力,确定终端的传输锚点从所述第二基站重配置到第一基站;第二基站用户面安全策略传输单元,用于将第二基站的用户面安全策略传输至所述第一基站,以便所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体;其中,所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;所述第一基站还用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略,并将所述核心网存储的用户面安全策略发送至终端。
本公开实施例提供一种终端,所述终端包括:无线资源控制恢复请求消息发送单元,用于向第一基站发送无线资源控制恢复请求消息,以便所述第一基站根据所述无线资源控制恢复请求消息确定所述终端需要在非激活状态时发送小数据;核心网用户面安全策略获得单元,用于接收所述第一基站发送的核心网存储的用户面安全策略;其中,所述核心网存储的用户面安全策略是所述第一基站从核心网控制面实体接收的,所述第一基站用于在根据第一基站的用户面安全支持能力将所述终端的传输锚点从第二基站重配置到所述第一基站时,获取第二基站的用户面安全策略,将所述第二基站的用户面安全策略发送至所述核心网控制面实体,所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体;所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定所述核心网存储的用户面安全策略。
本公开实施例提供一种核心网控制面实体,所述核心网控制面实体包括:第二基站用户面安全策略接收单元,用于在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,从所述第一基站接收第二基站的用户面安全策略;第二基站用户面安全策略转发单元,用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,以便所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;核心网用户面安全策略获取单元,用于接收所述核心网会话管理功能实体返回的所述核心网存储的用户面安全策略;核心网用户面安全策略传输单元,用于将所述核心网存储的用户面安全策略发送至所述第一基站,以便所述第一基站将所述核心网存储的用户面安全策略发送至所述终端。
本公开实施例提供一种核心网会话管理功能实体,所述核心网会话管理功能实体包括:第二基站用户面安全策略获得单元,用于在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,从核心网控制面实体接收第二基站的用户面安全策略;核心网用户面安全策略确定单元,用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;核心网用户面安全策略传递单元,用于将所述核心网存储的用户面安全策略发送至所述核心网控制面实体,以便所述核心网控制面实体将所述核心网存储的用户面安全策略发送至第一基站,所述第一基站用于将所述核心网存储的用户面安全策略发送至所述终端。
本公开实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上述实施例中所述的用户面安全策略配置方法。
本公开实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,配置为存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述实施例中所述的用户面安全策略配置方法。
在本公开的一些实施例所提供的技术方案中,一方面,在支持终端在inactive状态发送小数据时,针对目前现网中部署基站(这里以第一基站和第二基站为例)硬件上对于加密和完整性保护具有不同支持能力,本公开实施例在确定核心网存储的用户面安全策略时,考虑了第一基站的用户面安全支持能力,从而使得用户面安全策略可以在不同用户面安全支持能力的基站间(例如第一基站和第二基站之间)进行正确配置和传递;另一方面,通过第一基站在终端的传输锚点从第二基站重配置到所述第一基站时,通过获取第二基站的用户面安全策略,并将所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力发送至核心网控制面实体,从而使得所述核心网控制面实体能够将所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力发送至核心网会话管理功能实体,进一步地所述核心网会话管理功能实体可以根据所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力确定核心网存储的用户面安全策略,核心网会话管理功能将确定的核心网存储的用户面安全策略可以通过所述核心网控制面实体返回至所述第一基站,当第一基站接收到所述核心网存储的用户面安全策略之后,可以再将所述核心网存储的用户面安全策略发送至所述终端,即本公开实施例提出的方法通过配置用户面安全策略,并在合适的节点之间传递,可以为终端配置合适的用户面安全策略,同时还可避免错误的传输锚点选择,并避免由于第一基站和第二基站之间的用户面安全支持能力配置不同而带来的数据丢包。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出了根据本公开的一实施例的用户面安全策略配置方法的流程图;
图2示意性示出了从非激活状态到恢复的示意图;
图3示意性示出了Xn接口过程中检索UE(User Equipment,UE,下文中也可以称之为终端/用户设备,终端可以包括非NB-IoT类终端)上下文的过程示意图;
图4示意性示出了在SDT场景中锚点更换的过程示意图;
图5示意性示出了根据本公开的一实施例的通过Xn接口交互用户面安全配置能力的示意图;
图6示意性示出了根据本公开的一实施例的锚点重配置场景中的安全能力交互与验证的示意图;
图7示意性示出了根据本公开的一实施例的用户面安全策略配置方法的流程图;
图8示意性示出了根据本公开的一实施例的用户面安全策略配置方法的流程图;
图9示意性示出了根据本公开的一实施例的用户面安全策略配置方法的流程图;
图10示意性示出了根据本公开的一实施例的用户面安全策略配置方法的流程图;
图11示意性示出了根据本公开的一实施例的第一基站的框图;
图12示意性示出了根据本公开的一实施例的第二基站的框图;
图13示意性示出了根据本公开的一实施例的终端的框图;
图14示意性示出了根据本公开的一实施例的核心网控制面实体的框图;
图15示意性示出了根据本公开的一实施例的核心网会话管理功能实体的框图;
图16示意性示出了根据本公开的一实施例的电子设备的框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
特别地,根据本公开的实施例,下文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。
需要说明的是,本公开所示的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM(Erasable Programmable Read Only Memory,可擦除可编程只读存储器)或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF(RadioFrequency,射频)等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的方法、装置和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现如下述实施例中所述的方法。例如,所述的电子设备可以实现如图1或图5或图6或图7或图8或图9或图10所示的各个步骤。
首先,对本公开实施例中涉及的部分术语进行解释。
NR:New Radio,新空口。
RRC:Radio Resource Control,无线资源控制。
PDSCH:Physical Downlink Shared Channel,物理下行共享信道。
AMF:Access and Mobility Management Function,接入和移动性管理。
SMF:Session Management Function,会话管理功能。
PDCP:Packet Data Convergence Protocol,分组数据汇聚协议。
BSR:Buffer Status Report,缓存状态报告。
MAC:Medium Access Control,媒体接入控制。
PDU:Protocol Data Unit,协议数据单元。
RLC:Radio Link Control,无线链路层控制协议。
RAN:wireless access network,无线接入网。
NG-RAN:5G无线接入网。
RNA:RAN-based Notification Area,RAN侧通知区域。
SDAP:Service Data Adaptation Protocol,服务数据适配协议。
AMF:Access and Mobility Management Function,接入和移动性管理功能,是一种核心网控制面实体。
SMF:Session Management Function,会话管理功能,下文称之为核心网会话管理功能实体。
UMTS:Universal Mobile Telecommunications System,通用移动通信系统。
E-UTRA:Evolved-UMTS Terrestrial Radio Access,进化的UMTS陆地无线接入。
AS:application server,应用服务器。
DL:Down Link,下行链路。
UL:Up Link,上行链路。
RNTI:Radio Network Temporary Identifier,无线网络临时标识,是5G无线侧分配给UE的标识。
I-RNTI:无效RNTI。
CM:connection management,连接管理。
QoS:Quality of Service,服务质量。
Qos Flow:服务质量流。
gNB:向UE提供NR用户面和控制面协议终端的节点,并且经由NG接口连接到5GC。
NG-RAN节点:gNB或ng-eNB。
Xn:NG-RAN节点之间的网络接口。
5GC:5G Core,5G核心网。
图1示意性示出了根据本公开的一实施例的用户面安全策略配置方法的流程图。图1实施例提供的方法可以由第一基站执行。
如图1所示,本公开实施例提供的方法可以包括以下步骤。
在步骤S110中,在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到所述第一基站时,所述第一基站获取第二基站的用户面安全策略。
在示例性实施例中,所述方法还可以包括:接收网管发送的第一配置信息,所述第一配置信息包括用户面安全支持能力的目标交互方式;若所述目标交互方式为小区级交互,则所述第一基站将所述第一基站的用户面安全支持能力通过与所述第二基站之间的接口发送给所述第二基站;若所述目标交互方式为网管交互,则所述第一基站将所述第一基站的用户面安全支持能力通过所述网管发送给所述第二基站。
在示例性实施例中,所述第一基站的用户面安全支持能力可以包括以下一项或多项:是否支持完整性保护、完整性保护所支持的算法配置列表、完整性保护支持的最大的速率。
在示例性实施例中,所述方法还可以包括:所述第一基站接收所述第二基站发送的接口建立响应消息或接口配置更新响应消息,所述接口建立响应消息或所述接口配置更新响应消息携带所述第二基站的用户面安全支持能力;所述第一基站将所述第二基站的用户面安全支持能力保存到邻区列表信息中。
在示例性实施例中,所述第一基站获取第二基站的用户面安全策略,可以包括:所述第一基站接收所述终端发送的无线资源控制恢复请求消息和数据缓存请求消息;所述第一基站根据所述无线资源控制恢复请求消息确定所述终端需要在非激活状态时发送小数据,同时根据所述第一基站接收到的所述终端上报的数据缓存请求消息中指示的上行待传数据确定终端的待传信息量;所述第一基站将检索终端上下文请求消息发送至所述第二基站,以便所述第二基站根据所述第一基站的用户面安全支持能力确定所述终端的传输锚点从所述第二基站重配置到所述第一基站;所述第一基站接收所述第二基站发送的检索终端上下文响应消息,所述检索终端上下文响应消息携带所述第二基站的用户面安全策略。
在示例性实施例中,所述检索终端上下文请求消息可以包括如下信息中的一项或多项:用户标识信息、小数据传输的指示信息、上行缓存信息,其中,所述上行缓存信息用于标识所述第一基站的媒体接入控制层缓存的上行待传数据大小。上传待传数据大小根据终端的待传信息量确定。
在示例性实施例中,若所述目标交互方式为小区级交互;或者,未将所述第一基站的用户面安全支持能力通过所述网管或者与所述第二基站之间的接口发送给所述第二基站,则所述检索终端上下文请求消息还可以包括所述第一基站的用户面安全支持能力。
在示例性实施例中,所述第二基站的用户面安全策略可以包括以下信息中的一项或多项:完整性保护指示、保密保护指示、完整性保护支持的最大的速率。
在示例性实施例中,在根据第一基站的用户面安全支持能力将终端的传输锚点从所述第二基站重配置到所述第一基站时,所述检索终端上下文响应消息还可以包括以下信息中的一项或多项:服务数据适配协议SDAP/分组数据汇聚协议PDCP/无线链路层控制协议RLC层参数、安全算法配置信息、密钥配置信息。
在示例性实施例中,所述方法还可以包括:若所述检索终端上下文响应消息中携带SDAP/PDCP/RLC层参数、安全算法配置信息、密钥配置信息和所述第二基站的用户面安全策略,则所述第一基站根据所述检索终端上下文响应消息中携带的SDAP/PDCP/RLC层参数确定所述终端的协议层的层数;所述第一基站保存所述终端的安全算法配置信息、密钥配置信息和所述第二基站的用户面安全策略;根据SDAP/PDCP/RLC层参数对所述第一基站的媒体接入控制层缓存的所述上行待传数据进行处理;所述第一基站将处理后的所述上行待传数据发送至核心网用户面功能实体。
在示例性实施例中,若所述第二基站根据所述第一基站的用户面安全支持能力确定所述终端的传输锚点维持在所述第二基站,则所述检索终端上下文响应消息可以包括以下信息中的一项或多项:RLC层的配置信息、安全算法配置信息、上行通道地址。
在示例性实施例中,所述方法还可以包括:若接收到的所述检索终端上下文响应消息包括RLC层的配置信息和上行通道地址,则所述第一基站采用所述RLC层的配置信息处理所述第一基站的媒体接入控制层缓存的所述上行待传数据;所述第一基站将处理后的所述上行待传数据发送至所述上行通道地址。
在示例性实施例中,所述方法还可以包括:所述第一基站将下行通道地址发送至所述第二基站,以便所述第二基站将从核心网接收到的数据发送至所述下行通道地址。
在步骤S120中,所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体,以便所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略。
在示例性实施例中,所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体,可以包括:所述第一基站将所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力包含在路径倒换请求消息中;所述第一基站将所述路径倒换请求消息发送至所述核心网控制面实体。
其中,所述核心网控制面实体可以用于将所述终端的安全和承载配置信息发送至所述核心网会话管理功能实体。
所述核心网会话管理功能实体可以用于根据所述安全和承载配置信息生成第一安全反馈信息,并将所述第一安全反馈信息发送给所述核心网控制面实体。
所述核心网控制面实体还可以用于接收所述第一安全反馈信息,根据所述第一安全反馈信息生成第二安全反馈信息,并将所述第二安全反馈信息包含在路径倒换响应消息中,将所述路径倒换响应消息发送给所述第一基站。
在示例性实施例中,所述安全和承载配置信息可以包括如下信息中的一项或多项:用户标识信息、所述第二基站的用户面安全策略、所述第一基站的用户面安全支持能力、需要倒换路径的服务质量流的列表。
其中,所述需要倒换路径的服务质量流的列表可以包括服务质量流的标识以及相应的通道地址。
在示例性实施例中,所述第一安全反馈信息可以包括以下信息中的一项或多项:用户标识信息、所述核心网存储的用户面安全策略、第二基站的用户面安全策略是否保留,所述核心网存储的用户面安全策略包括以下信息中的一项或多项:是否支持完整性保护、完整性保护所支持的算法配置列表、完整性保护支持的最大的速率。
具体的,核心网存储的用户面安全策略包括但不限于如下信息中的一项或者多谢:
是否支持完整性保护:布尔类型或者枚举类型,为1时表示支持完整性保护;
NR系统中的完整性保护所支持的算法配置列表,包括如下128-NIA1,128-NIA2,128-NIA3,可选,仅当完整性保护列表为1时存在该列表;
NR系统中的完整性保护所支持的算法配置列表,包括如下EIA1-128,EIA2-128,EIA3-128,可选,仅当完整性保护列表为1时存在该列表;
完整性保护支持的最大的速率:枚举型,64kbps和不受限制。
在示例性实施例中,所述第二安全反馈信息可以包括以下信息中的一项或多项:所述第一安全反馈信息、用户的安全能力、用户的安全上下文。
在步骤S130中,所述第一基站从所述核心网控制面实体接收所述核心网存储的用户面安全策略。
在示例性实施例中,所述第一基站从所述核心网控制面实体接收所述核心网存储的用户面安全策略,可以包括:所述第一基站从所述核心网控制面实体接收所述路径倒换响应消息,所述路径倒换响应消息包括所述核心网存储的用户面安全策略、用户的安全能力、用户的安全上下文和第二基站的用户面安全策略是否保留。
在示例性实施例中,所述方法还可以包括:所述第一基站根据所述用户的安全上下文更新密钥;所述第一基站根据所述用户的安全能力以及所述核心网存储的用户面安全策略确定用户面加密和完整性保护是否激活以及相应的算法;若所述第二基站的用户面安全策略是否保留为保留,则所述第一基站保留所述第二基站的用户面安全策略;在切换和移动性过程中所述第一基站向目标实体提供所述第二基站的用户面安全策略。
在示例性实施例中,所述方法还可以包括:若所述第二基站的用户面安全策略是否保留为不保留,则所述第一基站删除所述第二基站的用户面安全策略;在切换和移动性过程中所述第一基站向所述目标实体提供所述核心网存储的用户面安全策略。
在步骤S140中,所述第一基站将所述核心网存储的用户面安全策略发送至所述终端。
在示例性实施例中,将所述核心网存储的用户面安全策略发送至所述终端,可以包括:若所述核心网存储的用户面安全策略与所述第二基站的用户面安全策略不一致,则所述第一基站向所述终端发送无线资源控制重配消息,以将所述核心网存储的用户面安全策略发送给所述终端。
在示例性实施例中,所述方法还可以包括:所述第一基站向所述第二基站发送终端上下文释放消息,以指示所述第二基站释放所述终端的上下文配置信息。
在示例性实施例中,所述方法还可以包括:在所述终端发送完数据后,所述第一基站向所述终端发送无线资源控制释放消息,以让所述终端回到非激活状态。
本公开实施方式提供的用户面安全策略配置方法,一方面,在支持终端在inactive状态发送小数据时,针对目前现网中部署基站(这里以第一基站和第二基站为例)硬件上对于加密和完整性保护具有不同支持能力,本公开实施例在确定核心网存储的用户面安全策略时,考虑了第一基站的用户面安全支持能力,从而使得用户面安全策略可以在不同用户面安全支持能力的基站间(例如第一基站和第二基站之间)进行正确配置和传递;另一方面,通过第一基站在终端的传输锚点从第二基站重配置到所述第一基站时,通过获取第二基站的用户面安全策略,并将所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力发送至核心网控制面实体,从而使得所述核心网控制面实体能够将所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力发送至核心网会话管理功能实体,进一步地所述核心网会话管理功能实体可以根据所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力确定核心网存储的用户面安全策略,核心网会话管理功能将确定的核心网存储的用户面安全策略可以通过所述核心网控制面实体返回至所述第一基站,当第一基站接收到所述核心网存储的用户面安全策略之后,可以再将所述核心网存储的用户面安全策略发送至所述终端,即本公开实施例提出的方法通过配置用户面安全策略,并在合适的节点之间传递,可以为终端配置合适的用户面安全策略,同时还可避免错误的传输锚点选择,并避免由于第一基站和第二基站之间的用户面安全支持能力配置不同而带来的数据丢包。
下面结合图2至图6对本公开实施例提供的方法进行举例说明,但本公开并不限定于此。
本公开实施例提供的方法,可以用于用户面安全策略的配置和节点间传递,属于无线通信领域,应用场景可包括但不限于5G/B5G(Beyond Fifth Generation,超5代移动通信系统)无线网。
Rel-16的版本中inactive状态的信令交互过程中,当前服务基站需要与锚点基站进行交互,以确定是否需要做锚点(也可以称之为传输锚点)的更换,当需要更换锚点时,锚点基站会将相关的UE的上下文以及安全信息发送给当前服务基站,相关的信令流程如图2所示。
如图2所示,图2中的gNB表示当前服务基站,上一服务gNB(Last Serving gNB)表示锚点基站。当UE处于RRC_INACTIVE CM-CONNECTED(UE in RRC_INACTIVE CM-CONNECTED,其中RRC_INACTIVE即上述inacitve状态,CM-CONNECTED为CM已连接态)状态时,即处于非激活状态时,可以执行如下步骤。
在步骤1中,UE向gNB发送RRCResumeRequest消息(即无线资源控制恢复请求消息)。
在步骤2中,gNB接收到UE发送的RRCResumeRequest消息之后,向Last ServinggNB发送RETRIEVE UE CONTEXT REQUEST消息(即检索终端上下文请求消息)。
在步骤3中,Last Serving gNB接收到gNB发送的RETRIEVE UE CONTEXT REQUEST消息之后,向gNB返回RETRIEVE UE CONTEXT RESPONSE消息(即检索终端上下文响应消息)。
在步骤4中,gNB接收到RETRIEVE UE CONTEXT RESPONSE消息之后,向UE发送RRCResume消息(即无线资源控制恢复消息)。
在步骤5中,UE接收到RRCResume消息后,进入RRC_CONNECTED CM-CONNECTED(UEin RRC_CONNECTED CM-CONNECTED,RRC_CONNECTED为无线资源控制已连接态)状态时,UE向gNB发送RRCResumeComplete消息(即无线资源控制完成消息)。
可选的,在步骤6中,gNB接收到RRCResumeComplete消息之后,向Last ServinggNB发送Xn-U ADDREDD INDICATION消息(即Xn-U地址指示消息)。
在步骤7中,gNB接收到RRCResumeComplete消息之后,向AMF发送PATH SWITCHREQUEST消息(路径倒换请求消息)。
在步骤8中,AMF接收到PATH SWITCH REQUEST消息之后,向gNB返回AMF发送PATHSWITCH RESPONSE消息(路径倒换响应消息)。
在步骤9中,gNB接收到PATH SWITCH RESPONSE消息之后,向Last Serving gNB发送UE CONTEXT RELEASE消息(即终端上下文释放消息)。
在目前的Retrieve UE Context Request/response(检索UE上下文请求/响应)过程中,如图3所示,仅会指示用户的安全性和完整性保护算法以及相关密钥,具体包括:
UE Security Capabilities,即UE安全能力:
NR Encryption Algorithms,NR加密算法;
NR Integrity Protection Algorithms,NR完整性保护算法;
E-UTRAEncryption Algorithms,E-UTRA加密算法;
E-UTRA Integrity Protection Algorithms,E-UTRA完整性保护算法。
AS Security Information,AS安全信息:
Key NG-RAN Star,关键5G无线接入层;
Next Hop Chaining Count,下一跳链计数。
由此可以看出,目前的Retrieve UE Context Request/response(检索UE上下文请求/响应)过程中没有用户面安全信息(User Plane Security Information)。
其中,图3中新NG-RAN节点向原NG-RAN节点发送检索UE上下文请求消息,原NG-RAN节点向新NG-RAN节点返回检索UE上下文响应消息,新NG-RAN节点类似图2中的gNB,原NG-RAN节点类似图2中的Last Serving gNB。
在Rel-17阶段,3GPP在Rel-17中开展了Small Data Transmission(SDT)的研究工作,其目的是缩小终端在inactive时发送小数据的接入时延,目前标准中已经确定支持基于RACH(Random Access Channel,随机接入信道)的数据包传输以及基于ConfigureGrant(配置授权)的数据包传输。一个典型的锚点重配场景的信令流程如图4所示。
如图4所示,当UE处于RRC_INACTIVE(UE in RRC_INACTIVE)状态时,即处于非激活状态时,可以执行如下步骤。
在步骤1中,UE向gNB发送RRCResumeRequest消息(即无线资源控制恢复请求消息)以及MACPDU包含数据(MACPDU containing data)。
gNB接收到RRCResumeRequest消息以及MACPDU containing data后,可选的,缓存该RLC PDU containing data(buffer the RLC PDU containing data)。
在步骤2中,gNB接收到UE发送的RRCResumeRequest消息之后,向Last ServinggNB发送RETRIEVE UE CONTEXT REQUEST消息。
在步骤3中,Last Serving gNB接收到gNB发送的RETRIEVE UE CONTEXT REQUEST消息之后,向gNB返回RETRIEVE UE CONTEXT RESPONSE消息。
在步骤4中,gNB接收到RETRIEVE UE CONTEXT RESPONSE消息之后,向LastServing gNB发送Xn-U ADDREDD INDICATION消息。
在步骤5中,gNB向AMF发送PATH SWITCH REQUEST消息。
在步骤6中,AMF接收到PATH SWITCH REQUEST消息之后,向gNB返回AMF发送PATHSWITCH RESPONSE消息。
在步骤7中,gNB接收到PATH SWITCH RESPONSE消息之后,向Last Serving gNB发送UE CONTEXT RELEASE消息。
可选的,在步骤8中,SDT子序列数据传输(SDT Subsequent Data transmission),例如gNB向UE发送DL Data,UE向gNB发送UL Data。
在步骤9中,gNB向UE发送RRCRelease消息。
在安全性的角度,与4G网络相同,5G网络也支持加密和完整性保护,以满足防止数据被篡改以及安全性的要求。根据TS33.501协议中的要求,与4G不同的是,控制面和用户面的安全性和完整性保护都是核心网控制面实体通过NG接口为基站进行单独配置,而4G网络里控制面和用户面的安全性是在安全性配置过程中同时进行配置的。并且在Rel-16版本时,仅支持64kbps的完整性保护,在Rel-17阶段支持了全速率的完整性保护能力,但是需要说明的是,并非所有基站都支持这个功能,这个需要基站侧的硬件能力支持,一些老的基站可能无法支持该能力。
当用户第一次接入到网络中时,核心网实体SMF/AMF会将用户面安全策略通过NG接口通知给基站侧,具体的内容包括:
Integrity Protection Indication:ENUMERATED(required,preferred,notneeded,…),完整性保护指示:枚举型(必需的,首选的,不需要的,…);
Confidentiality Protection Indication:ENUMERATED(required,preferred,not needed,…),保密保护指示:枚举型(必需的,首选的,不需要的,…);
Maximum Integrity Protected Data Rate,完整性保护支持的最大的速率。
这个策略信息会指示用户面中对于所有DRB(Data Radio Bearer,数据无线承载)的加密和/或完整性保护同时激活还是不激活。在Xn切换过程中,源侧需要将上述用户面安全性策略通过接口发送给目标小区。目标小区收到后,在切换过程中的路径倒换过程中,仍然需要把上述策略发送给SMF去进行验证,如果源侧发送的安全性策略和SMF储存的结果不一致,SMF需要通知AMF,并且需要在路径倒换请求消息中告诉目标小区策略发生改变。目标小区通过RRC重配消息通知给终端进行相关加密和完整性保护的更新。
针对由于不同基站对完整性保护的支持能力不一样,并且在inactive状态需要传输数据的需求,目前3GPP规范中支持上述需求时会存在如下问题:
一方面,基站支持完整性保护能力的缺失,对终端移动性产生负面影响:inactive状态时,锚点和新基站之间不交互用户面安全策略,因此新基站不支持源基站时可能与SMF下发的策略不一致,并导致后续切换过程中用户面安全策略被修改。此外由于锚点不提供任何安全策略配置信息,因此新基站无法在路径倒换请求中生成User Plane SecurityInformation(用户面安全信息)信息。因此SMF也不会提供任何验证后securityindication(安全指示)的反馈信息,由于缺少了相关信息,在后续的过程中上述信息也不会被保存到用户的安全上下文中。
另一方面,可能导致inactive状态更换锚点的错误:目前的retrieve UE contextrequest消息里并不携带任何目标侧的安全支持能力,而终端保持的安全性配置仍然是源侧锚点站的安全配置,因此,在发送上行待传数据的时候仍然采用的源侧锚点站的安全配置进行数据发送,因此目标侧的安全能力如果和终端发生不匹配,而源侧又做了锚点倒换,可能导致数据被丢弃。
基于上述需求和原因分析,目前的3GPP Rel-16的5G协议都无法满足需求,需要通过新的方式来进行增强以满足网络部署和优化的需求。
目前现网中部署的基站硬件上对于加密和完整性保护具有不同支持能力,为了支持终端在inactive状态发送小数据时,加密和完整性保护策略在不同能力基站间可以进行正确配置和传递,本公开实施例提出了一种配置用户面安全策略和节点间传递的方式,通过该方式可避免错误的锚点选择和完整性保护能力配置而带来的数据丢包,可为终端配置合适的安全性策略。
本公开实施例提出的方法,其主要思想是第一基站将第一基站的用户面安全支持能力发送给第二基站,第二基站根据第一基站的用户面安全支持能力确定用户的用户面和控制面传输锚点(简称为传输锚点或者锚点),并在改变传输锚点时,把核心网配置的用户面安全性策略(称之为核心网存储的用户面安全策略)发送给第一基站,第一基站确定自身的用户面安全性激活配置,并通过路径倒换请求消息将第二基站的用户面安全策略和第一基站的用户面安全支持能力发送给核心网控制面实体,核心网控制面实体将第二基站的用户面安全策略和第一基站的用户面安全支持能力发送给核心网会话管理功能实体,核心网会话管理功能实体根据第一基站的用户面安全支持能力确定第一基站的用户面安全配置,根据第一基站的用户面安全配置及第二基站的用户面安全策略确定是否保留第二基站的用户面安全策略,并通知给第一基站,第一基站保存并更新用户面安全配置策略,并再通知终端进行安全配置更新。
相关的信令流程如图5和图6所示,具体的步骤如下:
可选的,步骤1.网管为第一基站和第二基站分别配置用户面安全能力的交互方式,其中第一配置信息指示了用户面安全能力的目标交互方式,目标交互方式可以包括通过小区级交互、网管交互和用户级交互。
本公开实施例中,对于目标交互方式配置为小区级交互或网管交互时,第一基站可以将第一基站的用户面安全支持能力通过网管或者与第二基站之间的接口发送给第二基站。在目标交互方式配置为用户级交互时,不通过网管或者基站间的接口建立或者更新消息发送给第二基站。
例如,如图5所示,假设NG-RAN节点1(NG-RAN node1)表示第二基站,NG-RAN节点2(NG-RAN node2)表示第一基站,NG-RAN node1向NG-RAN node2发送XN设置请求(XN SETUPREQUEST)消息,该XN SETUP REQUEST消息告知要请求的是用户面安全能力(UP(UserPlane,用户面)Security Capability)/用户面安全支持能力,即请求第一基站的用户面安全支持能力。NG-RAN node2向NG-RAN node1返回XN设置响应(XN SETUP RESPONSE)消息,该XN SETUP RESPONSE消息携带所请求的UP Security Capability。
本公开实施例中,第一基站的用户面安全支持能力包括但不限于如下信息:
是否支持完整性保护:布尔类型或者枚举类型,为1时表示支持完整性保护;
NR系统中的完整性保护所支持的算法配置列表,包括如下128-NIA1,128-NIA2,128-NIA3,可选的,仅当完整性保护列表为1时存在该列表;
NR系统中的完整性保护所支持的算法配置列表,包括如下EIA1-128,EIA2-128,EIA3-128,可选的,仅当完整性保护列表为1时存在该列表;
完整性保护支持的最大的速率:枚举型,64kbps和不受限制。
可选的,步骤2.第二基站在收到第一基站发送的第一基站的用户面安全支持能力后,可以保存第一基站的用户面安全支持能力到邻区列表信息中。
步骤3.第二基站可以将自身的第二基站的用户面安全支持能力通过接口建立响应消息或者接口配置更新响应消息发送给第一基站。
步骤4.第一基站收到第二基站的用户面安全支持能力后,也可以保存第二基站的用户面安全支持能力到邻区列表信息中。
步骤5.第一基站(例如图6中的gNB)收到终端UE发送的RRCResumeRequest消息以及数据缓存请求消息后,确定终端需要在inactive状态时同步发送小数据,则在第一基站的MAC层缓存接收到的数据缓存请求消息,同时根据第一基站接收到的终端UE上报的数据缓存请求消息中指示的上行待传数据确定终端的待传信息量,第一基站生成Retrieve UEContext Request消息(检索终端上下文请求消息)并发送给第二基站,该Retrieve UEContext Request消息可以携带gNB即第一基站的UP Security Capability(用户面安全支持能力),Retrieve UE Context Request消息用于获取锚点站(这里假设为图6中的LastServing gNB,也称之为第二基站)的配置信息。
本公开实施例中,该Retrieve UE Context Request消息中可以包括但不限于如下信息之一或者组合:
用户标识信息:I-RNTI信息,如TS38.423协议中9.2.3.46节中定义I-RNTI信息;
SDT的指示信息:枚举或者布尔类型,为1时表示该消息主要用于SDT场景;
第一基站的用户面安全支持能力:仅当第一配置信息中为用户级交互,或者未于第二基站交互过程用户面安全支持能力时携带;
上行缓存信息:采用终端上报的BSR的信息,用于标识待传的上行待传数据大小。
本公开实施例中,若网管配置的第一配置信息中指示的目标交互方式为用户级交互,则该Retrieve UE Context Request消息中可以携带第一基站的用户面安全支持能力,即通过Retrieve UE Context Request消息将第一基站的用户面安全支持能力发送给第二基站,或者,虽然第一配置信息中指示的目标交互方式为小区级交互或网管交互,但没有执行上述步骤1和步骤2,也可以在该Retrieve UE Context Request消息中携带第一基站的用户面安全支持能力。
步骤6.第二基站收到RRCResumeRequest消息,根据SDT的指示信息确定终端是否有小数据传输并区分与传统inactive状态的区别。其中网络侧分配的资源里,除了信令还有数据部分的MAC CE(Control Element,控制元素),根据MAC CE头部,就知道同时有数据,从而可以将其与传统inactive状态的区别开来。同时根据第二基站本地储存或者RRCResumeRequest消息中携带的第一基站的用户面安全支持能力确定用户的上下文锚点(即传输锚点)是否需要重配置到第一基站。
本公开实施例中,具体的上下文锚点重配置方法可以为:如果第二基站为该终端开启了完整性保护但是第一基站不支持完整性保护,同时第一基站和第二基站位于同一RAN区域内,则锚点仍然维持在第二基站且终端完成传输后需要回到inactive状态;若第二基站为该终端开启了完整性保护但是第一基站不支持完整性保护,同时第一基站和第二基站不在同一个RAN区域,则锚点重新配置到第一基站并且让终端直接回到连接态;其余情况中锚点配置到第一基站,数据发送完后终端回到inactive状态。
步骤7.第二基站根据锚点的变更情况,可以把第二基站的用户面安全策略包括在生成的Retrieve UE Context Response消息中,即本公开实施例中的Retrieve UEContext Response消息中可以携带安全指示(Security Indication),并发送给第一基站。
本公开实施例中,Retrieve UE Context Response消息可以包括但不限于如下信息之一或者组合:
RLC层的配置信息:仅适用于锚点维持在第二基站时,包括RLC层相关协议栈参数;
SDAP/PDCP/RLC层参数:仅适用于锚点维持在第一基站时,包括相关协议栈参数;
安全算法配置信息:包括NR和E-UTRAN中加密和完整性保护所采用的算法列表,采用TS38.423协议中9.2.3.49节中定义的UE Security Capabilities(UE安全能力);
密钥配置信息:包括KNG-RAN*和NCC(Next Hop Chaining Count),仅适用于锚点维持在第一基站时,KNG-RAN*即上文的Key NG-RAN Star;
用户面安全策略,仅适用于锚点维持在第一基站时;
上行通道地址:仅当锚点位于第二基站时提供。
其中,Retrieve UE Context Response消息中携带的第二基站的用户面安全策略,可以包括但不限于如下信息:
Integrity Protection Indication:完整性保护指示,枚举类型,可以包括required、preferred、not needed等取值;
Confidentiality Protection Indication:保密保护指示,枚举类型,可以包括required、preferred、not needed等取值;
Maximum Integrity Protected Data Rate:完整性保护支持的最大的速率,枚举类型,取值可以为64kbps、不受限制。
步骤8.第一基站收到Retrieve UE Context Response消息后,根据Retrieve UEContext Response消息中RLC层的配置信息或SDAP/PDCP/RLC层参数确定用户的各个协议层的参数,对于锚点更换到第一基站的情况,保存该用户的安全算法配置信息、密钥配置信息和第二基站的用户面安全策略,并根据新的SDAP/PDCP/RLC配置对缓存的上行待传数据进行处理,即MAC处理完后,不往上RLC进行递交处理了,放在buffer中。收到新配置后,按照新的RLC等配置,让MAC层向上递交开始进行处理,并将上行待传数据发送至核心网用户面功能实体中。
对于锚点不变更到第一基站的情况,采用第二基站提交的RLC层的配置信息立即处理缓存到MAC层的上行待传数据,并根据上行通道地址转发上行待传数据。
可选的,步骤9.第一基站将下行通道地址通过Xn-U address消息发送给第二基站。
步骤10.第二基站接收到Xn-U address消息后,可以根据第一基站提供的下行通道地址,将从核心网接收到的数据发到该下行通道地址中。
步骤11.当第一基站变更为该用户的锚点后,把第二基站的用户面安全策略以及第一基站的用户面安全支持能力包含在Path Switch Request消息(即路径倒换请求消息)中,即本公开实施例提供的Path Switch Request消息携带上行安全能力和安全指示(UPSecurity Capability,Security Indication),并发送给核心网控制面实体(图6中的5GC)中。
步骤12.核心网控制面实体接收到Path Switch Request消息,把该用户的安全和承载配置信息发送给SMF进行验证并更改承载传输通道地址,因为锚点更换了,需要调整传输通道。
其中,安全和承载配置信息可以包括但不限于如下信息:
用户标识;
用户面安全策略:与Path Switch Request消息中的用户面安全策略一致;
第一基站的用户面安全支持能力;
需要倒换路径的Qos Flow的列表,包括QoS flow的标识以及相应的通道地址,即更改承载传输通道地址。
步骤13.SMF确定该用户面的新的安全策略,并根据验证结果作为第一安全反馈信息发送给核心网控制面实体。
本公开实施例中,第一安全反馈信息的产生方法可以为:当存储的用户面安全策略与提供的第二基站的用户面安全策略不一致时,采用SMF存储的用户面安全策略作为核心网存储的用户面安全策略(新的用户面安全策略),并且旧的第二基站的用户面安全策略不保留。如果存储的用户面安全策略与提供的第二基站的用户面安全策略一致,但是第一基站的用户面安全支持能力不满足,则生成一个新的用户面安全策略以适配第一基站的用户面安全支持能力,将该新的用户面安全策略作为核心网存储的用户面安全策略,并且旧的第二基站的用户面安全策略设置为保留。
其中第一安全反馈信息可以包括但不限于如下信息:
用户标识;
新的用户面安全策略;
旧的用户面安全策略是否保留:枚举类型或者布尔类型,为1的时候表示保留,否则表示不保留。
步骤14.核心网控制面实体通过Path Switch Response消息把第二安全反馈信息发送给第一基站,第二安全反馈信息携带用户面安全信息和安全指示保留(User PlaneSecurity Information,Security Indication Kept)。
其中第二安全反馈信息可以包括但不限于如下信息:
第一安全反馈信息;
用户的安全能力:NR Encryption Algorithms、NR Integrity ProtectionAlgorithms、E-UTRA Encryption Algorithms、E-UTRA Integrity ProtectionAlgorithms;
用户的安全上下文:用于产生加密和完整性保护算法的Next Hop ChainingCount和Next-Hop(NH)。
步骤15.第一基站接收到Path Switch Response消息后,根据用户的安全上下文更新密钥,并根据用户的安全能力以及新的用户面安全策略确定用户面加密和完整性保护是否激活以及相应的算法,如果旧的用户面安全策略是否保留设置为保留,则不删除第二基站的用户面安全策略,并在后续切换和移动性过程中向其他实体传输提供该第二基站的用户面安全策略;若旧的用户面安全策略是否保留设置为不保留,则删除第二基站的用户面安全策略,仅使用当前核心网提供的核心网存储的用户面安全策略,并在后续切换和移动性过程中向其他实体传输提供该核心网存储的用户面安全策略。
步骤16.如果新的用户面安全策略和第二基站提供的用户面安全策略不一致,则第一基站通过RRC重配消息给终端,使其应用新的用户面安全策略。否则不做任何操作。
步骤17.第一基站指示第二基站释放用户的上下文配置信息(如图6中,gNB向上一服务gNB发送UE上下文释放消息),并在用户数据发送结束后,第一基站通过向UE发送RRCRelease(无线资源控制释放)消息让终端回到inactive状态。
本公开实施方式提供的方法,一方面,解决了在inactive状态传输小数据时,因为锚点基站(例如重配置的第一基站)缺少当前驻留基站(例如第二基站)的用户面安全支持能力,导致的锚点选择错误而引起的数据丢包和安全性缺失等问题。另一方面,通过本公开实施例提供的方法可以让终端的用户面安全策略在inactive状态时仍然保持,不至于配置丢失,保证了后续终端的移动过程中其他基站可以正确的配置加密和完整性保护策略。此外,还可以解决部分基站对于完整性保护能力不足时,终端在该基站中正确配置核心网下发的完整性保护策略,增强了数据收发的安全性。同时,本公开实施例提供的方案对终端实现设计影响较小,有良好的后向兼容性和部署可行性。本公开实施例提供的方案是在现有协议上进行增强,没有引入新的协议过程,实现难度较低。
图7示意性示出了根据本公开的一实施例的用户面安全策略配置方法的流程图。图7实施例提供的方法可以由第二基站执行。
如图7所示,本公开实施例提供的方法可以包括以下步骤。
在步骤S710中,第二基站获取第一基站的用户面安全支持能力。
在示例性实施例中,第二基站获取第一基站的用户面安全支持能力,可以包括:第二基站通过网管或与所述第一基站之间的接口接收所述第一基站发送的所述第一基站的用户面安全支持能力;第二基站将所述第一基站的用户面安全支持能力保存到邻区列表信息中。
在步骤S720中,第二基站根据所述第一基站的用户面安全支持能力,确定终端的传输锚点从所述第二基站重配置到第一基站。
在示例性实施例中,第二基站根据所述第一基站的用户面安全支持能力,确定终端的传输锚点从所述第二基站重配置到第一基站,可以包括:若所述第二基站为所述终端开启完整性保护,根据所述第一基站的用户面安全支持能力确认所述第一基站不支持完整性保护,且所述第一基站和所述第二基站不位于同一个无线接入网侧通知区域内,则第二基站确定所述传输锚点重配置到所述第一基站,且让所述终端回到连接态;或者,若所述第二基站为所述终端开启完整性保护,根据所述第一基站的用户面安全支持能力确认所述第一基站支持完整性保护,且所述第一基站和所述第二基站位于同一个无线接入网侧通知区域内,则第二基站确定所述传输锚点重配置到所述第一基站且所述终端完成数据传输后回到非激活状态;或者,若所述第二基站没为所述终端开启完整性保护,根据所述第一基站的用户面安全支持能力确认所述第一基站支持或者不支持完整性保护,且所述第一基站和所述第二基站位于同一个无线接入网侧通知区域内,则第二基站确定所述传输锚点重配置到所述第一基站且所述终端完成数据传输后回到非激活状态。
在示例性实施例中,所述方法还可以包括:若所述第二基站为所述终端开启完整性保护,根据所述第一基站的用户面安全支持能力确认所述第一基站不支持完整性保护,且所述第一基站和所述第二基站位于同一个无线接入网侧通知区域内,则第二基站确定所述传输锚点位置在所述第二基站且所述终端完成数据传输后回到非激活状态。
在步骤S730中,第二基站将第二基站的用户面安全策略传输至所述第一基站,以便所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体。
其中,所述核心网控制面实体可以用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略。
所述第一基站还可以用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略,并将所述核心网存储的用户面安全策略发送至终端。
图7实施例提供的用户面安全策略配置方法的其他内容可参考上述其他实施例。
目前现网中部署的基站硬件上,对于加密和完整性保护具有不同支持能力,为了支持终端在inactive状态发送小数据时,加密和完整性保护策略在不同能力基站间可以正确配置和传递,本公开实施例提出的方法,可以进行用户面安全策略的配置和节点间传递,通过该方法可避免错误的锚点选择和完整性保护能力配置而带来的数据丢包,可为终端配置合适的用户面安全策略。
图8示意性示出了根据本公开的一实施例的用户面安全策略配置方法的流程图。图8实施例提供的方法可以由终端执行。
如图8所示,本公开实施例提供的方法可以包括以下步骤。
在步骤S810中,终端向第一基站发送无线资源控制恢复请求消息,以便所述第一基站根据所述无线资源控制恢复请求消息确定所述终端需要在非激活状态时发送小数据。
在步骤S820中,终端接收所述第一基站发送的核心网存储的用户面安全策略。
其中,所述核心网存储的用户面安全策略可以是所述第一基站从核心网控制面实体接收的,在根据第一基站的用户面安全支持能力将所述终端的传输锚点从第二基站重配置到所述第一基站时,所述第一基站可以用于获取第二基站的用户面安全策略,将所述第二基站的用户面安全策略发送至所述核心网控制面实体,所述核心网控制面实体可以用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体;所述核心网会话管理功能实体可以用于根据所述第二基站的用户面安全策略确定所述核心网存储的用户面安全策略。
图8实施例提供的用户面安全策略配置方法的其他内容可参考上述其他实施例。
图9示意性示出了根据本公开的一实施例的用户面安全策略配置方法的流程图。图9实施例提供的方法可以由核心网控制面实体执行。
如图9所示,本公开实施例提供的方法可以包括以下步骤。
在步骤S910中,在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,核心网控制面实体从第一基站接收第二基站的用户面安全策略。
在步骤S920中,所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,以便所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略。
在步骤S930中,所述核心网控制面实体接收所述核心网会话管理功能实体返回的所述核心网存储的用户面安全策略。
在步骤S940中,所述核心网控制面实体将所述核心网存储的用户面安全策略发送至所述第一基站,以便所述第一基站将所述核心网存储的用户面安全策略发送至终端。
图9实施例提供的用户面安全策略配置方法的其他内容可参考上述其他实施例。
图10示意性示出了根据本公开的一实施例的用户面安全策略配置方法的流程图。图10实施例提供的方法可以由核心网会话管理功能实体执行。
如图10所示,本公开实施例提供的方法可以包括以下步骤。
在步骤S1010中,在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,核心网会话管理功能实体从核心网控制面实体接收第二基站的用户面安全策略和第一基站的用户面安全支持能力。
在步骤S1020中,核心网会话管理功能实体根据所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力确定核心网存储的用户面安全策略。
在示例性实施例中,核心网会话管理功能实体根据所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力确定核心网存储的用户面安全策略,可以包括:若所述核心网会话管理功能实体存储的用户面安全策略与所述第二基站的用户面安全策略不一致,则核心网会话管理功能实体采用所述核心网会话管理功能实体存储的用户面安全策略作为所述核心网存储的用户面安全策略,且将第二基站的用户面安全策略是否保留设置为不保留;若所述核心网会话管理功能实体存储的用户面安全策略与所述第二基站的用户面安全策略一致,且所述第一基站的用户面安全支持能力不满足,则核心网会话管理功能实体生成适配所述第一基站的用户面安全支持能力的用户面安全策略作为所述核心网存储的用户面安全策略,且将所述第二基站的用户面安全策略是否保留设置为保留。
在步骤S1030中,核心网会话管理功能实体将所述核心网存储的用户面安全策略发送至所述核心网控制面实体,以便所述核心网控制面实体将所述核心网存储的用户面安全策略发送至第一基站,所述第一基站用于将所述核心网存储的用户面安全策略发送至终端。
图10实施例提供的用户面安全策略配置方法的其他内容可参考上述其他实施例。
图11示意性示出了根据本公开的一实施例的第一基站的框图。如图11所示,本公开实施方式提供的第一基站1100可以包括:第二基站用户面安全策略获取单元1110、第二基站用户面安全策略发送单元1120、核心网用户面安全策略接收单元1130以及核心网用户面安全策略发送单元1140。
其中,第二基站用户面安全策略获取单元1110可以用于在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到所述第一基站时,获取第二基站的用户面安全策略。
第二基站用户面安全策略发送单元1120可以用于将所述第二基站的用户面安全策略发送至核心网控制面实体,以便所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略。
核心网用户面安全策略接收单元1130可以用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略。
核心网用户面安全策略发送单元1140可以用于将所述核心网存储的用户面安全策略发送至所述终端。
本公开实施例提供的第一基站中的各个单元的具体实现可以参照上述用户面安全策略配置方法中的内容,在此不再赘述。
图12示意性示出了根据本公开的一实施例的第二基站的框图。如图12所示,本公开实施方式提供的第二基站1200可以包括:第一基站用户面安全支持能力获取单元1210、终端传输锚点重配置单元1220以及第二基站用户面安全策略传输单元1230。
其中,第一基站用户面安全支持能力获取单元1210可以用于获取第一基站的用户面安全支持能力。
终端传输锚点重配置单元1220可以用于根据所述第一基站的用户面安全支持能力,确定终端的传输锚点从所述第二基站重配置到第一基站。
第二基站用户面安全策略传输单元1230可以用于将第二基站的用户面安全策略传输至所述第一基站,以便所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体。
其中,所述核心网控制面实体可以用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略能力确定核心网存储的用户面安全策略。
所述第一基站还可以用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略,并将所述核心网存储的用户面安全策略发送至终端。
本公开实施例提供的第二基站中的各个单元的具体实现可以参照上述用户面安全策略配置方法中的内容,在此不再赘述。
图13示意性示出了根据本公开的一实施例的终端的框图。如图13所示,本公开实施方式提供的终端1300可以包括:无线资源控制恢复请求消息发送单元1310以及核心网用户面安全策略获得单元1320。
其中,无线资源控制恢复请求消息发送单元1310可以用于向第一基站发送无线资源控制恢复请求消息,以便所述第一基站根据所述无线资源控制恢复请求消息确定所述终端需要在非激活状态时发送小数据。
核心网用户面安全策略获得单元1320可以用于接收所述第一基站发送的核心网存储的用户面安全策略。
其中,所述核心网存储的用户面安全策略可以是所述第一基站从核心网控制面实体接收的,所述第一基站可以用于在根据第一基站的用户面安全支持能力将所述终端的传输锚点从第二基站重配置到所述第一基站时,获取第二基站的用户面安全策略,将所述第二基站的用户面安全策略发送至所述核心网控制面实体,所述核心网控制面实体可以用于将所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力发送至核心网会话管理功能实体;所述核心网会话管理功能实体可以用于根据所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力确定所述核心网存储的用户面安全策略。
本公开实施例提供的终端中的各个单元的具体实现可以参照上述用户面安全策略配置方法中的内容,在此不再赘述。
图14示意性示出了根据本公开的一实施例的核心网控制面实体的框图。如图14所示,本公开实施方式提供的核心网控制面实体1400可以包括:第二基站用户面安全策略接收单元1410、第二基站用户面安全策略转发单元1420、核心网用户面安全策略获取单元1430以及核心网用户面安全策略传输单元1440。
其中,第二基站用户面安全策略接收单元1410用于在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,从第一基站接收第二基站的用户面安全策略。
第二基站用户面安全策略转发单元1420用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,以便所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略。
核心网用户面安全策略获取单元1430用于接收所述核心网会话管理功能实体返回的所述核心网存储的用户面安全策略。
核心网用户面安全策略传输单元1440用于将所述核心网存储的用户面安全策略发送至所述第一基站,以便所述第一基站将所述核心网存储的用户面安全策略发送至终端。
本公开实施例提供的核心网控制面实体中的各个单元的具体实现可以参照上述用户面安全策略配置方法中的内容,在此不再赘述。
图15示意性示出了根据本公开的一实施例的核心网会话管理功能实体的框图。如图15所示,本公开实施方式提供的核心网会话管理功能实体1500可以包括:第二基站用户面安全策略获得单元1510、核心网用户面安全策略确定单元1520以及核心网用户面安全策略传递单元1530。
其中,第二基站用户面安全策略获得单元1510可以用于在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,从核心网控制面实体接收第二基站的用户面安全策略。
核心网用户面安全策略确定单元1520可以用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略。
核心网用户面安全策略传递单元1530可以用于将所述核心网存储的用户面安全策略发送至所述核心网控制面实体,以便所述核心网控制面实体将所述核心网存储的用户面安全策略发送至第一基站,所述第一基站用于将所述核心网存储的用户面安全策略发送至终端。
本公开实施例提供的核心网会话管理功能实体中的各个单元的具体实现可以参照上述用户面安全策略配置方法中的内容,在此不再赘述。
下面参考图16,其示出了适于用来实现本公开实施例的电子设备的结构示意图。图16示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。图16中的电子设备例如可以为第一基站和/或第二基站和/或终端和/或核心网控制面实体和/或核心网会话管理功能实体,但本公开并不限定于此。
参照图16,本公开实施例提供的电子设备可以包括:处理器101、通信接口102、存储器103和通信总线104。
其中处理器101、通信接口102和存储器103通过通信总线104完成相互间的通信。
可选的,通信接口102可以为通信模块的接口,如GSM(Global System for Mobilecommunications,全球移动通信系统)模块的接口。处理器101用于执行程序。存储器103用于存放程序。程序可以包括计算机程序,该计算机程序包括计算机操作指令。
处理器101可以是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本公开实施例的一个或多个集成电路。
存储器103可以包含高速RAM(random access memory,随机存取存储器)存储器,也可以还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
其中,程序可具体用于:在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,所述第一基站获取第二基站的用户面安全策略;所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体,以便所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;所述第一基站从所述核心网控制面实体接收所述核心网存储的用户面安全策略;所述第一基站将所述核心网存储的用户面安全策略发送至所述终端。
或者,程序可具体用于:第二基站获取第一基站的用户面安全支持能力;第二基站根据所述第一基站的用户面安全支持能力,确定终端的传输锚点从所述第二基站重配置到第一基站;第二基站将第二基站的用户面安全策略传输至所述第一基站,以便所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体;其中,所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;所述第一基站还用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略,并将所述核心网存储的用户面安全策略发送至终端。
或者,程序可具体用于:终端向第一基站发送无线资源控制恢复请求消息,以便所述第一基站根据所述无线资源控制恢复请求消息确定所述终端需要在非激活状态时发送小数据;接收所述第一基站发送的核心网存储的用户面安全策略;其中,所述核心网存储的用户面安全策略是所述第一基站从核心网控制面实体接收的,所述第一基站用于在根据第一基站的用户面安全支持能力将所述终端的传输锚点从第二基站重配置到所述第一基站时,获取第二基站的用户面安全策略,将所述第二基站的用户面安全策略发送至所述核心网控制面实体,所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体;所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定所述核心网存储的用户面安全策略。
或者,程序可具体用于:在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,从第一基站接收第二基站的用户面安全策略;将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,以便所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;接收所述核心网会话管理功能实体返回的所述核心网存储的用户面安全策略;将所述核心网存储的用户面安全策略发送至所述第一基站,以便所述第一基站将所述核心网存储的用户面安全策略发送至终端。
或者,程序可具体用于:在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,从核心网控制面实体接收第二基站的用户面安全策略;根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;将所述核心网存储的用户面安全策略发送至所述核心网控制面实体,以便所述核心网控制面实体将所述核心网存储的用户面安全策略发送至第一基站,所述第一基站用于将所述核心网存储的用户面安全策略发送至终端。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (37)
1.一种用户面安全策略配置方法,其特征在于,包括:
在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,所述第一基站获取第二基站的用户面安全策略;
所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体,以便所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;
所述第一基站从所述核心网控制面实体接收所述核心网存储的用户面安全策略;
所述第一基站将所述核心网存储的用户面安全策略发送至所述终端。
2.根据权利要求1所述的方法,其特征在于,还包括:
接收网管发送的第一配置信息,所述第一配置信息包括用户面安全支持能力的目标交互方式;
若所述目标交互方式为小区级交互,则所述第一基站将所述第一基站的用户面安全支持能力通过与所述第二基站之间的接口发送给所述第二基站;
若所述目标交互方式为网管交互,则所述第一基站将所述第一基站的用户面安全支持能力通过所述网管发送给所述第二基站。
3.根据权利要求1或2所述的方法,其特征在于,所述第一基站的用户面安全支持能力包括以下一项或多项:是否支持完整性保护、完整性保护所支持的算法配置列表、完整性保护支持的最大的速率。
4.根据权利要求1所述的方法,其特征在于,还包括:
所述第一基站接收所述第二基站发送的接口建立响应消息或接口配置更新响应消息,所述接口建立响应消息或所述接口配置更新响应消息携带所述第二基站的用户面安全支持能力;
所述第一基站将所述第二基站的用户面安全支持能力保存到邻区列表信息中。
5.根据权利要求2所述的方法,其特征在于,所述第一基站获取第二基站的用户面安全策略,包括:
所述第一基站接收所述终端发送的无线资源控制恢复请求消息和数据缓存请求消息;
所述第一基站根据所述无线资源控制恢复请求消息中携带的原因确定所述终端需要在非激活状态时发送小数据,同时根据所述第一基站接收到的所述终端上报的数据缓存请求消息中指示的上行待传数据确定终端的待传信息量;
所述第一基站将检索终端上下文请求消息发送至所述第二基站,以便所述第二基站根据所述第一基站的用户面安全支持能力确定所述终端的传输锚点从所述第二基站重配置到所述第一基站;
所述第一基站接收所述第二基站发送的检索终端上下文响应消息,所述检索终端上下文响应消息携带所述第二基站的用户面安全策略。
6.根据权利要求5所述的方法,其特征在于,所述检索终端上下文请求消息包括如下信息中的一项或多项:用户标识信息、小数据传输的指示信息、上行缓存信息,其中,所述上行缓存信息用于标识所述第一基站的媒体接入控制层缓存的上行待传数据大小。
7.根据权利要求6所述的方法,其特征在于,若所述目标交互方式为小区级交互;或者,未将所述第一基站的用户面安全支持能力通过所述网管或者与所述第二基站之间的接口发送给所述第二基站,则所述检索终端上下文请求消息还包括所述第一基站的用户面安全支持能力。
8.根据权利要求5所述的方法,其特征在于,所述第二基站的用户面安全策略包括以下信息中的一项或多项:完整性保护指示、保密保护指示、完整性保护支持的最大的速率。
9.根据权利要求5所述的方法,其特征在于,在根据第一基站的用户面安全支持能力将终端的传输锚点从所述第二基站重配置到所述第一基站时,所述检索终端上下文响应消息还包括以下信息中的一项或多项:服务数据适配协议SDAP/分组数据汇聚协议PDCP/无线链路层控制协议RLC层参数、安全算法配置信息、密钥配置信息。
10.根据权利要求5所述的方法,其特征在于,还包括:
若所述检索终端上下文响应消息中携带SDAP/PDCP/RLC层参数、安全算法配置信息、密钥配置信息和所述第二基站的用户面安全策略,则所述第一基站根据所述检索终端上下文响应消息中携带的SDAP/PDCP/RLC层参数确定所述终端的协议层的层数;
所述第一基站保存所述终端的安全算法配置信息、密钥配置信息和所述第二基站的用户面安全策略;
所述第一基站根据SDAP/PDCP/RLC层参数对所述第一基站的媒体接入控制层缓存的所述上行待传数据进行处理;
所述第一基站将处理后的所述上行待传数据发送至核心网用户面功能实体。
11.根据权利要求5所述的方法,其特征在于,若所述第二基站根据所述第一基站的用户面安全支持能力确定所述终端的传输锚点维持在所述第二基站,则所述检索终端上下文响应消息包括以下信息中的一项或多项:RLC层的配置信息、安全算法配置信息、上行通道地址。
12.根据权利要求5所述的方法,其特征在于,还包括:
若接收到的所述检索终端上下文响应消息包括RLC层的配置信息和上行通道地址,则所述第一基站采用所述RLC层的配置信息处理所述第一基站的媒体接入控制层缓存的所述上行待传数据;
所述第一基站将处理后的所述上行待传数据发送至所述上行通道地址。
13.根据权利要求1所述的方法,其特征在于,还包括:
所述第一基站将下行通道地址发送至所述第二基站,以便所述第二基站将从核心网接收到的数据发送至所述下行通道地址。
14.根据权利要求1所述的方法,其特征在于,所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体,包括:
所述第一基站将所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力包含在路径倒换请求消息中;
所述第一基站将所述路径倒换请求消息发送至所述核心网控制面实体;
其中,所述核心网控制面实体用于将所述终端的安全和承载配置信息发送至所述核心网会话管理功能实体;
所述核心网会话管理功能实体用于根据所述安全和承载配置信息生成第一安全反馈信息,并将所述第一安全反馈信息发送给所述核心网控制面实体;
所述核心网控制面实体还用于接收所述第一安全反馈信息,根据所述第一安全反馈信息生成第二安全反馈信息,并将所述第二安全反馈信息包含在路径倒换响应消息中,将所述路径倒换响应消息发送给所述第一基站。
15.根据权利要求14所述的方法,其特征在于,所述安全和承载配置信息包括如下信息中的一项或多项:用户标识信息、所述第二基站的用户面安全策略、所述第一基站的用户面安全支持能力、需要倒换路径的服务质量流的列表;
其中,所述需要倒换路径的服务质量流的列表包括服务质量流的标识以及相应的通道地址。
16.根据权利要求14所述的方法,其特征在于,所述第一安全反馈信息包括以下信息中的一项或多项:用户标识信息、所述核心网存储的用户面安全策略、第二基站的用户面安全策略是否保留,所述核心网存储的用户面安全策略包括以下信息中的一项或多项:是否支持完整性保护、完整性保护所支持的算法配置列表、完整性保护支持的最大的速率。
17.根据权利要求14所述的方法,其特征在于,所述第二安全反馈信息包括以下信息中的一项或多项:所述第一安全反馈信息、用户的安全能力、用户的安全上下文。
18.根据权利要求14所述的方法,其特征在于,所述第一基站从所述核心网控制面实体接收所述核心网存储的用户面安全策略,包括:
所述第一基站从所述核心网控制面实体接收所述路径倒换响应消息,所述路径倒换响应消息包括所述核心网存储的用户面安全策略、用户的安全能力、用户的安全上下文和第二基站的用户面安全策略是否保留;
其中,所述方法还包括:
所述第一基站根据所述用户的安全上下文更新密钥;
所述第一基站根据所述用户的安全能力以及所述核心网存储的用户面安全策略确定用户面加密和完整性保护是否激活以及相应的算法;
若所述第二基站的用户面安全策略是否保留为保留,则所述第一基站保留所述第二基站的用户面安全策略;
在切换和移动性过程中所述第一基站向目标实体提供所述第二基站的用户面安全策略。
19.根据权利要求18所述的方法,其特征在于,还包括:
若所述第二基站的用户面安全策略是否保留为不保留,则所述第一基站删除所述第二基站的用户面安全策略,并采用所述核心网存储的用户面安全策略;
在切换和移动性过程中所述第一基站向所述目标实体提供所述核心网存储的用户面安全策略。
20.根据权利要求1所述的方法,其特征在于,所述第一基站将所述核心网存储的用户面安全策略发送至所述终端,包括:
若所述核心网存储的用户面安全策略与所述第二基站的用户面安全策略不一致,则所述第一基站向所述终端发送无线资源控制重配消息,以将所述核心网存储的用户面安全策略发送给所述终端。
21.根据权利要求1所述的方法,其特征在于,还包括:
所述第一基站向所述第二基站发送终端上下文释放消息,以指示所述第二基站释放所述终端的上下文配置信息。
22.根据权利要求1所述的方法,其特征在于,还包括:
在所述终端发送完数据后,所述第一基站向所述终端发送无线资源控制释放消息,以让所述终端回到非激活状态。
23.一种用户面安全策略配置方法,其特征在于,包括:
第二基站获取第一基站的用户面安全支持能力;
所述第二基站根据所述第一基站的用户面安全支持能力,确定终端的传输锚点从所述第二基站重配置到第一基站;
所述第二基站将第二基站的用户面安全策略传输至所述第一基站,以便所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体;
其中,所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;
所述第一基站还用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略,并将所述核心网存储的用户面安全策略发送至终端。
24.根据权利要求23所述的方法,其特征在于,第二基站获取第一基站的用户面安全支持能力,包括:
所述第二基站通过网管或与所述第一基站之间的接口接收所述第一基站发送的所述第一基站的用户面安全支持能力;
所述第二基站将所述第一基站的用户面安全支持能力保存到邻区列表信息中。
25.根据权利要求23所述的方法,其特征在于,所述第二基站根据所述第一基站的用户面安全支持能力,确定终端的传输锚点从所述第二基站重配置到第一基站,包括:
若所述第二基站为所述终端开启完整性保护,根据所述第一基站的用户面安全支持能力确认所述第一基站不支持完整性保护,且所述第一基站和所述第二基站不位于同一个无线接入网侧通知区域内,则所述第二基站确定所述传输锚点重配置到所述第一基站,且让所述终端回到连接态;或者,
若所述第二基站为所述终端开启完整性保护,根据所述第一基站的用户面安全支持能力确认所述第一基站支持完整性保护,且所述第一基站和所述第二基站位于同一个无线接入网侧通知区域内,则所述第二基站确定所述传输锚点重配置到所述第一基站且所述终端完成数据传输后回到非激活状态;或者,
若所述第二基站没为所述终端开启完整性保护,根据所述第一基站的用户面安全支持能力确认所述第一基站支持或者不支持完整性保护,且所述第一基站和所述第二基站位于同一个无线接入网侧通知区域内,则所述第二基站确定所述传输锚点重配置到所述第一基站且所述终端完成数据传输后回到非激活状态。
26.根据权利要求25所述的方法,其特征在于,还包括:
若所述第二基站为所述终端开启完整性保护,根据所述第一基站的用户面安全支持能力确认所述第一基站不支持完整性保护,且所述第一基站和所述第二基站位于同一个无线接入网侧通知区域内,则所述第二基站确定所述传输锚点位置在所述第二基站且所述终端完成数据传输后回到非激活状态。
27.一种用户面安全策略配置方法,其特征在于,包括:
终端向第一基站发送无线资源控制恢复请求消息,以便所述第一基站根据所述无线资源控制恢复请求消息确定所述终端需要在非激活状态时发送小数据;
所述终端接收所述第一基站发送的核心网存储的用户面安全策略;
其中,所述核心网存储的用户面安全策略是所述第一基站从核心网控制面实体接收的,在根据第一基站的用户面安全支持能力将所述终端的传输锚点从第二基站重配置到所述第一基站时,所述第一基站用于获取第二基站的用户面安全策略,将所述第二基站的用户面安全策略发送至所述核心网控制面实体,所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体;所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定所述核心网存储的用户面安全策略。
28.一种用户面安全策略配置方法,其特征在于,包括:
在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,核心网控制面实体从所述第一基站接收第二基站的用户面安全策略;
所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,以便所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;
所述核心网控制面实体接收所述核心网会话管理功能实体返回的所述核心网存储的用户面安全策略;
所述核心网控制面实体将所述核心网存储的用户面安全策略发送至所述第一基站,以便所述第一基站将所述核心网存储的用户面安全策略发送至所述终端。
29.一种用户面安全策略配置方法,其特征在于,包括:
在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,核心网会话管理功能实体从核心网控制面实体接收第二基站的用户面安全策略;
所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;
所述核心网会话管理功能实体将所述核心网存储的用户面安全策略发送至所述核心网控制面实体,以便所述核心网控制面实体将所述核心网存储的用户面安全策略发送至第一基站,所述第一基站用于将所述核心网存储的用户面安全策略发送至终端。
30.根据权利要求29所述的方法,其特征在于,所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略,包括:
若所述核心网会话管理功能实体存储的用户面安全策略与所述第二基站的用户面安全策略不一致,则所述核心网会话管理功能实体采用所述核心网会话管理功能实体存储的用户面安全策略作为所述核心网存储的用户面安全策略,且将第二基站的用户面安全策略是否保留设置为不保留;
若所述核心网会话管理功能实体存储的用户面安全策略与所述第二基站的用户面安全策略一致,且所述第一基站的用户面安全支持能力不满足,则所述核心网会话管理功能实体生成适配所述第一基站的用户面安全支持能力的用户面安全策略作为所述核心网存储的用户面安全策略,且将所述第二基站的用户面安全策略是否保留设置为保留。
31.一种第一基站,其特征在于,包括:
第二基站用户面安全策略获取单元,用于在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到所述第一基站时,获取第二基站的用户面安全策略;
第二基站用户面安全策略发送单元,用于将所述第二基站的用户面安全策略发送至核心网控制面实体,以便所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;
核心网用户面安全策略接收单元,用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略;
核心网用户面安全策略发送单元,用于将所述核心网存储的用户面安全策略发送至所述终端。
32.一种第二基站,其特征在于,包括:
第一基站用户面安全支持能力获取单元,用于获取第一基站的用户面安全支持能力;
终端传输锚点重配置单元,用于根据所述第一基站的用户面安全支持能力,确定终端的传输锚点从所述第二基站重配置到第一基站;
第二基站用户面安全策略传输单元,用于将第二基站的用户面安全策略传输至所述第一基站,以便所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体;
其中,所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;
所述第一基站还用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略,并将所述核心网存储的用户面安全策略发送至终端。
33.一种终端,其特征在于,包括:
无线资源控制恢复请求消息发送单元,用于向第一基站发送无线资源控制恢复请求消息,以便所述第一基站根据所述无线资源控制恢复请求消息确定所述终端需要在非激活状态时发送小数据;
核心网用户面安全策略获得单元,用于接收所述第一基站发送的核心网存储的用户面安全策略;
其中,所述核心网存储的用户面安全策略是所述第一基站从核心网控制面实体接收的,所述第一基站用于在根据第一基站的用户面安全支持能力将所述终端的传输锚点从第二基站重配置到所述第一基站时,获取第二基站的用户面安全策略,将所述第二基站的用户面安全策略发送至所述核心网控制面实体,所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体;所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定所述核心网存储的用户面安全策略。
34.一种核心网控制面实体,其特征在于,包括:
第二基站用户面安全策略接收单元,用于在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,从所述第一基站接收第二基站的用户面安全策略;
第二基站用户面安全策略转发单元,用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体,以便所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;
核心网用户面安全策略获取单元,用于接收所述核心网会话管理功能实体返回的所述核心网存储的用户面安全策略;
核心网用户面安全策略传输单元,用于将所述核心网存储的用户面安全策略发送至所述第一基站,以便所述第一基站将所述核心网存储的用户面安全策略发送至所述终端。
35.一种核心网会话管理功能实体,其特征在于,包括:
第二基站用户面安全策略获得单元,用于在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时,从核心网控制面实体接收第二基站的用户面安全策略;
核心网用户面安全策略确定单元,用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略;
核心网用户面安全策略传递单元,用于将所述核心网存储的用户面安全策略发送至所述核心网控制面实体,以便所述核心网控制面实体将所述核心网存储的用户面安全策略发送至第一基站,所述第一基站用于将所述核心网存储的用户面安全策略发送至所述终端。
36.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,配置为存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至22中任一项所述的方法或者如权利要求23至26中任一项所述的方法或者如权利要求27所述的方法或者如权利要求28所述的方法或者如权利要求29至30中任一项所述的方法。
37.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至22中任一项所述的方法或者如权利要求23至26中任一项所述的方法或者如权利要求27所述的方法或者如权利要求28所述的方法或者如权利要求29至30中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110871422.6A CN115696385A (zh) | 2021-07-30 | 2021-07-30 | 用户面安全策略配置方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110871422.6A CN115696385A (zh) | 2021-07-30 | 2021-07-30 | 用户面安全策略配置方法及相关设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115696385A true CN115696385A (zh) | 2023-02-03 |
Family
ID=85057965
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110871422.6A Pending CN115696385A (zh) | 2021-07-30 | 2021-07-30 | 用户面安全策略配置方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115696385A (zh) |
-
2021
- 2021-07-30 CN CN202110871422.6A patent/CN115696385A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11930397B2 (en) | Session packet duplication | |
| CN110662270B (zh) | 通信方法及装置 | |
| US11240699B2 (en) | Insufficient resources in the UE during PDU session establishment procedure | |
| CN110351030B (zh) | 报文传输方法、装置和系统 | |
| US11533610B2 (en) | Key generation method and related apparatus | |
| CN108260162B (zh) | 一种5g系统的sdap层功能实现方法 | |
| CN111757405B (zh) | 一种会话处理方法及装置 | |
| KR20210134433A (ko) | 폐쇄형 네트워크에 대한 액세스를 지원하는 방법, ue, 기지국 및 판독가능 저장 매체 | |
| WO2019184651A1 (zh) | 一种通信方法及装置 | |
| CN110519807B (zh) | 一种通信方法及装置 | |
| CN109691168B (zh) | 一种处理控制信令的方法、设备及系统 | |
| CN113545098B (zh) | 传输组播业务的方法和装置 | |
| CN111654923A (zh) | 一种通信控制的方法及相关网元 | |
| CN113225784B (zh) | 消息的识别方法和装置 | |
| US20220232413A1 (en) | Method and device for configuring redundant protocol data unit session | |
| WO2019153928A1 (zh) | Rrc状态转换方法、终端、cu、du和计算机可读存储介质 | |
| WO2015188357A1 (zh) | 一种控制承载切换的设备和控制方法 | |
| CN111405625B (zh) | 一种切换方法、基站、通信系统及存储介质 | |
| US20210392704A1 (en) | Session setup method, session management functional entity, base station, and storage medium | |
| US10798557B2 (en) | Space-based long term evolution (LTE) communications architecture | |
| US20210345182A1 (en) | Communication method and network device | |
| US20230040140A1 (en) | Method by which relay communication ue efficiently supports remote ue in configuration update | |
| CN113473525B (zh) | 一种数据传输的方法及装置 | |
| WO2022188770A1 (zh) | 数据单元处理方法、装置、节点和存储介质 | |
| CN115696385A (zh) | 用户面安全策略配置方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |