CN116615930A - 考虑在下一代无线通信系统中进行切换的对接入层进行基于公钥基础设施的认证的方法 - Google Patents

考虑在下一代无线通信系统中进行切换的对接入层进行基于公钥基础设施的认证的方法 Download PDF

Info

Publication number
CN116615930A
CN116615930A CN202180084058.7A CN202180084058A CN116615930A CN 116615930 A CN116615930 A CN 116615930A CN 202180084058 A CN202180084058 A CN 202180084058A CN 116615930 A CN116615930 A CN 116615930A
Authority
CN
China
Prior art keywords
target
handover
serving
authentication
ran
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180084058.7A
Other languages
English (en)
Inventor
诸东炫
郑丁寿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of CN116615930A publication Critical patent/CN116615930A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0083Determination of parameters used for hand-off, e.g. generation or modification of neighbour cell lists
    • H04W36/00835Determination of neighbour cell lists
    • H04W36/008357Determination of target cell based on access point [AP] properties, e.g. AP service capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0058Transmission of hand-off measurement information, e.g. measurement reports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开涉及用于支持比诸如LTE的4G通信系统更高数据传输速率的5G或6G通信系统。在根据本发明实施方式的无线通信系统中,在切换期间用于在接入层(AS)部分中进行互认证的服务基站的操作方法,包括以下步骤:从终端接收测量报告;基于测量报告,确定终端是否满足切换条件;如果终端满足切换条件,则确定切换时终端要连接到的目标基站与服务基站是否属于相同认证区域AA;向终端发送切换命令,所述切换命令根据目标基站与服务基站是否属于相同AA而被不同地配置。

Description

考虑在下一代无线通信系统中进行切换的对接入层进行基于 公钥基础设施的认证的方法
技术领域
本公开涉及一种在下一代移动通信系统中进行无线设备切换时在UE和BS之间执行基于公钥基础设施(PKI)的互认证的方法和装置。
背景技术
考虑到无线通信的代际发展,已经开发了主要用于针对人类服务的技术,诸如语音呼叫、多媒体服务和数据服务。随着5G(第五代)通信系统的商用,预期联网设备的数量将呈指数级增长。这些设备将越来越多地连接到通信网络。联网事物的示例可包括车辆,机器人,仪表板,家用电器,显示器,连接到各种基础设施、建筑机械和工厂设备的智能传感器。移动设备有望以各种形式进行演变,诸如增强现实眼镜、虚拟现实头戴式耳机和全息设备。为了通过在6G(第6代)时代连接数千亿设备和事物来提供各种服务,一直致力于开发改进型6G通信系统。出于这些原因,6G通信系统被称为超5G系统。
预计在2030年左右商用的6G通信系统将具有太(1,000千兆)级bps的峰值数据速率和小于100μsec的无线电时延,并且因此将比5G通信系统快50倍并且具有其1/10无线电时延。
为了实现这种高数据速率和超低时延,已经考虑在太赫兹频带(例如,95GHz至3THz频带)中实现6G通信系统。由于太赫兹频带的路径损耗和大气吸收预期比5G中引入的毫米波带中更严重,因此能够确保信号传输距离(即,覆盖)的技术将变得更加关键。作为确保覆盖的主要技术,需要开发送频(RF)元件、天线、具有比正交频分复用(OFDM)更佳覆盖范围的新颖波形、波束成形和大规模多输入多输出(MIMO)、全维度MIMO(FD-MIMO)、阵列天线以及诸如大规模天线的多天线传输技术。此外,对用于改善太赫兹波段信号覆盖范围的新技术,诸如基于超材料的透镜和天线、轨道角动量(OAM)和可重构智能表面(RIS)进行了讨论。
此外,为了提高频谱效率和整体网络性能,已经针对6G通信系统开发了以下技术:全双工技术,用于使上行链路传输和下行链路传输同时使用相同频率资源;综合利用卫星、高空平台站(HAPS)等的网络技术;改进型网络结构,用于支持移动基站等并实现网络运行优化和自动化等;基于频谱使用预测的通过避免碰撞的动态频谱共享技术;在无线通信中使用人工智能(AI),通过从开发6G的设计阶段利用AI并内化端到端AI支持功能来改进整个网络操作;以及下一代分布式计算技术,用于通过网络上可达的超高性能通信和计算资源(如移动边缘计算MEC、云等)来克服UE计算能力的限制。此外,通过设计要在6G通信系统中使用的新协议、开发用于实现基于硬件的安全环境和对数据的安全使用的机制、以及开发用于维护隐私的技术,试图加强设备之间的联网、优化网络、促进网络实体的软件化并且提高无线通信的开放性。
预期对超连接6G通信系统的研究和开发(包括人对机器(P2M)以及机器对机器(M2M)),将实现下一个超连接体验。特别地,有望通过6G通信系统来提供诸如真正沉浸式扩展现实(XR)、高保真度移动全息图和数字副本等的服务。此外,将通过6G通信系统来提供诸如安全性和可靠性增强的远程手术、工业自动化和紧急响应等的服务,使得这些技术可应用于诸如工业、医疗护理、汽车和家用电器等的各种领域。
发明内容
[技术问题]
本公开提供了一种在移动通信系统中进行切换期间在UE和BS之间在接入层(AS)部分中执行基于公钥基础设施(PKI)的认证的方法和装置。
[技术方案]
根据本公开的实施方式,一种操作服务基站(BS)的方法,该方法用于在无线通信系统中执行切换的情况下对接入层(AS)部分进行互认证,该方法包括:从用户设备(UE)接收测量报告;基于测量报告,识别UE是否切换条件;在UE满足切换条件的情况下,识别UE切换时所连接到的目标BS与服务BS是否属于相同认证区域(AA),以及向UE发送切换命令,该切换命令根据目标BS和服务BS是否属于相同AA而变化。
根据实施方式,在目标BS与服务BS属于相同AA的情况下,切换命令可包括AA内切换信息;以及在目标BS与服务BS不属于相同AA的情况下,切换命令可包括AA间切换信息。
根据实施方式,在发送了AA内切换信息的情况下,可不在UE与目标BS之间执行基于公钥基础设施(PKI)的互认证,并且可由UE针对目标BS执行密钥更新过程;以及在发送了AA间切换信息的情况下,可在UE与目标BS之间执行基于PKI的互认证。
根据实施方式,AA可以是由物理上或逻辑上相同的计算节点提供服务的一组小区。
根据实施方式,相同的计算节点可以是逻辑上或物理上相同的计算节点,逻辑上相同的计算节点可被实现为相同运营商的软件、具有相同权限的软件或执行相同过程的软件,并且物理上相同的计算节点可被实现为相同运营商的硬件、具有相同权限的硬件或相同硬件部件。
根据实施方式,在接收到AA间切换信息的情况下,UE可与服务BS彼此分离,然后可在UE和目标BS之间执行基于PKI的互认证。
根据另一实施方式,在发送了AA间切换信息的情况下,可在UE和目标BS之间执行基于PKI的互认证,并且服务BS可向目标BS转发基于PKI的认证分组。
根据另一实施方式,在发送了AA间切换信息的情况下,可在UE和目标BS之间执行基于PKI的互认证,服务BS可向网络实体发送基于PKI的认证分组,并且网络实体可向目标BS传送基于PKI的认证分组。
根据本公开的实施方式,一种操作用户设备(UE)的方法,该方法用于在无线通信系统中执行切换的情况下对接入层(AS)部分进行互认证,该方法包括:从服务BS接收切换命令,该切换命令根据UE切换时所连接的目标基站(BS)与服务BS是否属于相同认证区域(AA)而变化;以及基于包括在切换命令中的信息,确定是否与目标BS执行基于公钥基础设施(PKI)的互认证。
根据实施方式,在目标BS与服务BS属于相同AA的情况下,切换命令可包括AA内切换信息;以及在目标BS与服务BS不属于相同AA的情况下,切换命令可包括AA间切换信息。
根据实施方式,在接收到AA内切换信息的情况下,可不在UE与目标BS之间执行基于公钥基础设施(PKI)的互认证,并且由UE针对目标BS执行密钥更新过程,并且可由UE执行用于目标BS的密钥更新过程;以及在接收到AA间切换信息的情况下,可在UE和目标BS之间执行基于PKI的互认证。
根据实施方式,AA可以是由物理上或逻辑上相同的计算节点提供服务的一组小区。
根据实施方式,在接收到AA间切换信息的情况下,UE可与服务BS分离,然后可在UE和目标BS之间执行基于PKI的互认证。
根据另一实施方式,在接收到AA间切换信息的情况下,UE可与目标BS执行基于PKI的互认证,并且服务BS可向目标BS转发基于PKI的认证分组。
根据另一实施方式,在接收到AA间切换信息的情况下,UE可与目标BS执行基于PKI的互认证,服务BS可向网络实体发送基于PKI的认证分组,并且网络实体可向目标BS传送基于PKI的认证分组。
一种服务基站(BS),该BS在无线通信系统中执行切换的情况下支持对接入层(AS)部分进行互认证,该BS包括:收发器和控制器。控制器连接到收发器,并且被配置为控制收发器并执行控制以:从用户设备(UE)接收测量报告;基于测量报告,识别UE是否满足切换条件;在UE满足切换条件的情况下,识别UE切换时所连接到的目标BS与服务BS是否属于相同认证区域(AA);以及向UE发送切换命令,该切换命令根据目标BS与服务BS是否属于相同AA而变化。
一种用户设备(UE),该UE用于在无线通信系统中执行切换的情况下对接入层(AS)进行互认证部分的,该UE包括收发器和控制器。控制器连接到收发器,并且被配置为控制收发器进并执行控制以:接收切换命令,该切换命令根据UE切换时所连接的目标基站(BS)与服务BS是否属于相同认证区域(AA)来改变;以及基于切换命令中包括的信息,确定是否与目标BS执行基于公钥基础设施(PKI)的互认证。
本公开的实施方式提供了一种在移动通信系统中当无线设备在接入层(AS)部分中执行基于公钥基础设施(PKI)的认证时在切换中的无线设备和BS之间执行互认证的方法和装置。
当执行切换时,服务BS向UE发送命令。UE接收该信息并且在需要与目标BS进行认证时执行认证。UE完成与目标BS的认证,并且使用所生成的密钥作为用于在BS和UE之间引入加密密钥的密钥。
在该过程期间,服务BS可发送信息,包括指示当UE切换时是否需要与目标BS进行认证的信息。
UE可在切换命令之前执行与预定BS的认证。
服务BS可在切换之前向UE指示与预定BS的认证。
目标BS可响应于来自服务BS的认证请求或来自UE的认证请求,自行确定允许或拒绝认证。
[有益效果]
根据本公开,当在无线通信系统中UE从服务BS切换到另一BS时,通过基于公钥基础设施(PKI)的接入层(AS)部分认证可增强UE和BS之间无线通信的安全性。
附图说明
图1示出了根据本公开实施方式的LTE系统的结构。
图2示出了根据本公开实施方式的LTE系统中的无线电协议结构。
图3示出了根据本公开实施方式的下一代移动通信系统中的无线电协议结构。
图4示出了根据本公开实施方式的移动通信系统的结构的示例。
图5示出了根据本公开实施方式的用于在移动通信系统中管理多个BS的计算节点(CN)的结构的示例。
图6示出了根据本公开实施方式的BS通过SIB向UE广播AA信息的过程。
图7a和图7b示出了根据本公开实施方式的切换过程的示例。
图8a和图8b示出了根据本公开实施方式的UE切换中的认证过程。
图9a和图9b示出了根据本公开另一实施方式的UE切换中的认证过程。
图10a和图10b示出了根据本公开另一实施方式的UE切换中的认证过程。
图11a和图11b示出了根据本公开另一实施方式的UE切换中的认证过程。
图12a和图12b示出了根据本公开另一实施方式的UE切换中的认证过程。
图13a和图13b示出了根据本公开另一实施方式的UE切换中的认证过程。
图14a和图14b示出了根据本公开另一实施方式的UE切换中的认证过程。
图15示出了根据本公开实施方式的BS的切换命令过程。
图16示出了根据本公开实施方式的UE的切换过程。
图17示出了根据实施方式的当UE配置了与RAN的连接时执行基于PKI的认证的过程。
图18a和图18b示出了根据本公开实施方式的当UE与RAN执行基于PKI的认证时识别证书有效性的过程。
图19a和图19b示出了根据本公开另一实施方式的当UE与RAN执行基于PKI的认证时识别证书有效性的过程。
图20a和图20b示出了根据本公开另一实施方式的当UE与RAN执行基于PKI的认证时识别证书有效性的过程。
图21a和图21b示出了根据本公开另一实施方式的当UE与RAN执行基于PKI的认证时识别证书有效性的过程。
图22是示出根据本公开实施方式的UE装置和BS装置的框图。
具体实施方式
在下文中,将参考附图详细描述本公开的实施方式。
在描述本公开的实施方式时,将省略与本领域中熟知的技术内容相关且不直接与本公开相关联的描述。这种省略不必要的描述的目的在于防止混淆本公开的主要思想并且更清楚地传达该主要思想。
出于相同的原因,在附图中,一些元件可能被夸大、省略或示意性地示出。此外,每个元件的尺寸不完全反映实际尺寸。在附图中,相同或相应的元件具有相同的附图标记。
通过参考下面结合附图详细描述的实施方式,本公开的优点和特征以及实现它们的方式将是显而易见的。然而,本公开不限于以下阐述的实施方式,而是可以以各种不同的形式来实现。提供以下实施方式仅用于完全公开本公开,并且将本公开的范围告知本领域技术人员,并且本公开仅由所附权利要求的范围限定。在整个说明书中,相同或相似的附图标记表示相同或相似的元件。
这里,将会理解,流程图的每个块以及流程图中的块的组合可由计算机程序指令来实现。这些计算机程序指令可被提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器以产生机器,使得经由计算机或其它可编程数据处理装置的处理器执行的指令创建用于实现在一个或多个流程图块中指定的功能的装置。这些计算机程序指令还可存储在计算机可用或计算机可读存储器中,该计算机可用或计算机可读存储器可引导计算机或其它可编程数据处理装置以特定方式运行,使得存储在计算机可用或计算机可读存储器中的指令产生包括实现流程图框或框中指定的功能的指令装置的制品。计算机程序指令还可被加载到计算机或其它可编程数据处理装置上,以使得在计算机或其它可编程设备上执行一系列操作步骤,从而产生计算机实现的过程,使得在计算机或其它可编程设备上执行的指令提供用于实现在一个或多个流程图块中指定的功能的步骤。
此外,流程图的每个块可表示代码的模块、段或部分,其包括用于实现指定逻辑功能的一个或多个可执行指令。还应当注意,在一些替换实现中,在块中记录的功能可按顺序发生。例如,连续示出的两个块实际上可基本上同时执行,或者这些块有时可按照相反的顺序执行,这取决于所涉及的功能。
如本公开的实施方式中使用的,“单元”是指执行预定功能的软件元件或硬件元件,例如现场可编程门阵列(FPGA)或专用集成电路(ASIC)。然而,“单元”并不总是具有限于软件或硬件的含义。“单元”可被构造成存储在可寻址存储介质中或者执行一个或多个处理器。因此,“单元”包括,例如,软件元件、面向对象的软件元件、类元件或任务元件、进程、功能、属性、过程、子例程、程序代码的段、驱动器、固件、微代码、电路、数据、数据库、数据结构、表、阵列和参数。由“单元”提供的元件和功能可被组合成较小数量的元件或者“单元”,或者被划分成较大数量的元件或者“单元”。此外,元件和“单元”或可被实现为再现设备或安全多媒体卡内的一个或多个CPU。
在以下描述中,为了方便起见,示例性地使用用于标识接入节点的术语、涉及网络实体的术语、涉及消息的术语、涉及网络实体之间的接口的术语、涉及各种标识信息的术语等。因此,本公开不受以下使用的术语的限制,并且可使用涉及具有等同技术含义的主题的其它术语。
在下面的描述中,为了便于描述,将使用在5G、NR和LTE系统标准中定义的术语和名称来描述本公开。然而,本公开不受这些术语和名称的限制,并且可以以相同的方式应用于符合其它标准的系统。
也就是说,本公开的实施方式的以下详细描述将主要针对由3GPP定义的通信标准。然而,基于本领域的技术人员的确定,本公开的主要思想还可通过一些修改而应用于具有类似技术背景的其它通信系统,而不会显著偏离本公开的范围。
无线通信系统正在发展到宽带无线通信系统,其使用诸如3GPP的高速分组接入(HSPA)、LTE{长期演进或演进的通用陆地无线接入(E-UTRA)}、LTE-Advanced(LTE-A)、LTE-Pro、3GPP2的高速率分组数据(HRPD)、超移动宽带(UMB)、IEEE 802.16e等的通信标准,以及典型的基于语音的服务来提供高速和高质量分组数据服务。
作为宽带无线通信系统的典型示例,LTE系统在下行链路(DL)中采用正交频分复用(OFDM)方案,并且在上行链路(UL)中采用单载波频分多址(SC-FDMA)方案。上行链路指示用户设备(UE)(或移动台(MS))向基站(BS)(下一代基站(gNB)或eNode B(eNB))发送数据或控制信号的无线链路,下行链路指示基站向UE发送数据或控制信号的无线链路。上述多址方案通过为每个用户分配和操作用于发送数据或控制信息的时频资源来分离各个用户的数据或控制信息,以避免相互重叠,即建立正交性。
由于后LTE通信系统,即5G通信系统必须自由地反映用户、服务提供商等的各种需求,因此必须支持满足各种需求的服务。在5G通信系统中考虑的服务包括增强型移动宽带(eMBB)通信、海量机器类型通信(mMTC)、超可靠性低时延通信(URLLC)等。
eMBB旨在提供比现有LTE、LTE-A或LTE-Pro所支持的数据速率更高的数据速率。例如,在5G通信系统中,eMBB必须为单个基站在下行链路中提供20Gbps的峰值数据速率,在上行链路中提供10Gbps的峰值数据速率。此外,5G通信系统必须向UE提供增加的用户感知数据速率以及最大数据速率。为了满足这种要求,需要改进包括进一步增强的多输入多输出(MIMO)传输技术的发送/接收技术。此外,5G通信系统所需的数据速率可使用3GHz至6GHz或6GHz或更高的频带中大于20MHz的频率带宽来获得,而不是使用在LTE中使用的2GHz的频带中最多20MHz的传输带宽来发送信号。
此外,在5G通信系统中mMTC被认为支持诸如物联网(IoT)等的应用服务。为了有效地提供物联网,mMTC具有支持小区中的大量UE的连接,增强UE的覆盖,改善的电池时间,降低UE的成本等需求。由于物联网在提供给各种传感器和各种设备的同时提供通信功能,因此它必须支持小区中的大量UE(例如,1,000,000个UE/km2)。此外,因为UE可能位于诸如建筑物的地下室的影子区域(由于服务的特性,因此阴影区域没有被小区覆盖)中,支持mMTC的UE可能需要比由5G通信系统提供的其它服务的覆盖更宽的覆盖范围。因为很难频繁地替换UE的电池,支持mMTC的UE必须被配置成便宜的,并且需要非常长的电池寿命,例如10到15年。
最后,URLLC是一种基于蜂窝的关键任务的无线通信服务,可用于机器人或机器的远程控制、工业自动化、无人机、远程健康护理、紧急警报等。因此,URLLC必须提供具有超低时延和超高可靠性的通信。例如,支持URLLC的服务必须满足小于0.5ms的空中接口时延,并且还需要10-5或更低的分组差错率。因此,对于支持URLLC的服务,5G系统必须提供比其它服务的传输时间间隔(TTI)短的传输时间间隔,并且还需要在频带中分配大量资源的设计,以确保通信链路的可靠性。
5G通信系统中的三个服务,即,eMBB、URLLC和mMTC,可在单个系统中被复用和发送。在这种情况下,可在服务之间使用不同的发送/接收技术和发送/接收参数,以满足相应服务的不同要求。
此外,诸如移动全息图、虚拟现实和增强现实等的进一步发展的服务正在通信中出现。为了支持这些服务,在通信系统中正在研究诸如人工智能(AI)技术、传感技术、有线/无线通信和网络基础设施、服务接口技术和安全技术等的元件技术。
图1示出了根据本公开实施方式的LTE系统的结构。
图1示出了多个基站(BS)和用户设备(UE)移动并且在应用了本公开的实施方式的移动通信系统中改变所连接的BS的示例。
BSS 1-20和1-30可连接到一些相邻BS,并且还可连接到移动通信核心网(CN)1-40,例如演进分组核心(EPC)或5G核心网(5GC)。
BS 1-20和1-30的无线接入技术可以是LTE、NR、WiFi等,但不限于此。例如,BS 1-20和1-30可以是与无线接入技术无关的移动通信BS。
UE 1-10可连接到BS以接收移动通信服务,可根据UE 1-10的移动连接到不同的BS,并且可通过切换(HO或切换)过程连续地接收移动通信服务。在图1的示例中,已经连接到BS 1-20的UE 1-10可与BS 1-20断开,并且可连接到新的BS 1-30。
图2示出了根据本公开实施方式的LTE系统中的无线电协议结构。
参考图2,UE 2-100和LTE eNB 2-200分别包括LTE系统的无线电协议中的分组数据会聚协议(PDCP)2-110和2-210、无线电链路控制(RLC)2-120和2-220、媒体接入控制(MAC)2-130和2-230。无线电协议的元素可被称为层、实体或设备。
分组数据会聚协议(PDCP)2-110和2-210执行压缩/重构IP报头的操作。下面描述PDCP的主要功能。
-报头压缩和解压缩功能(报头压缩和解压缩:仅ROHC)
-用户数据传输功能(用户数据的传送)
顺序传递功能(RLC AM的PDCP重建过程的上层PDU的顺序传递)
-序列重新排列功能(对于DC中的分离的承载(仅支持RLC AM):用于发送的PDCPPDU路由和用于接收的PDCP PDU重新排序)
-重复检测功能(RLC AM的PDCP重建过程的低层服务数据单元(SDU)的重复检测)
-重传功能(切换时的PDCP SDU的重传(对于DC中的分离的承载),PDCP数据恢复过程的PDCP PDU的重传(对于RLC AM))
-加密和解密功能(加密和解密)
-基于定时器的SDU丢弃功能(上行链路中基于定时器的SDU丢弃)
-无线链路控制(RLC)2-120和2-220将PDCP分组数据单元(PDU)重新配置为适当的大小并执行ARQ操作。下面描述RLC的主要功能。
-数据传输功能(上层PDU的传送)
-ARQ功能(通过ARQ纠错(仅用于AM数据传输))
-级联、分段和重组功能(RLC SDU的级联、分段和重组(仅用于UM和AM数据传输))
-重新分段功能(RLC数据PDU的重新分段(仅用于AM数据传输))
-重新排序功能(RLC数据PDU的重新排序(仅用于UM和AM数据传输)
-复制检测功能(仅用于UM和AM数据传输))
-错误检测功能(协议错误检测(仅用于AM数据传输))
-RLC SDU删除功能(RLC SDU丢弃(仅用于UM和AM数据传输))
-RLC重建功能(RLC重建)
MAC 2-130和2-230与包括在一个UE中的各种RLC层设备连接,并且执行用于将RLCPDU复用到MAC PDU以及将RLC PDU从MAC PDU解复用的操作。MAC的主要功能将在下面描述。
-映射功能(逻辑信道和传输信道之间的映射)
-复用和解复用功能(将属于一个或不同逻辑信道的MAC SDU复用到传递至传输信道上的物理层的传输块/从从传输信道上的物理层传递的传输块(TB)解复用属于一个或不同逻辑信道的MAC SDU)
-调度信息报告功能(调度信息报告)
-HARQ功能(通过HARQ纠错)
-逻辑信道优先级控制功能(一个UE的逻辑信道之间的优先级处理)
-UE优先级控制功能(通过动态调度在UE之间进行优先级处理)
-MBMS服务识别功能(MBMS服务识别)
-传输格式选择功能(传输格式选择)
-填充功能(填充)
物理层2-140和2-240执行信道编码和调制高层数据的操作,以生成OFDM符号,并且通过无线电信道发送OFDM符号,或者解调和信道解码通过无线电信道接收的OFDM符号,并且将解调和信道解码的OFDM符号发送到高层。
图3示出了根据本公开实施方式的下一代移动通信系统中的无线电协议的结构。
参考图3,在下一代移动通信系统包括的无线电协议中,UE 3-100和NR gNB 3-200分别包括NR服务数据应用协议(SDAP)3-110和3-210、NR PDCP 3-120和3-220、NR RLC 3-130和3-230、以及NR MAC 3-140和3-240。无线电协议的元素可被称为层、实体或设备。
NR SDAP 3-110和3-210的主要功能可包括以下功能中的一些。
-用户数据传输功能(用户面数据的传送)
-映射上行链路和下行链路的QoS流和数据承载的功能(DL和UL两者的QoS流和DRB之间的映射)
-标记上行链路和下行链路的QoS流ID的功能(在DL和UL分组中标记QoS流ID)
-针对上行链路SDAP PDU的将反射QoS流映射到数据承载的功能(UL SDAP PDU的反射QoS流到DRB的映射)
对于SDAP层设备,UE可通过RRC消息接收关于是否将SDAP层设备的报头或SDAP层设备的功能用于每个PDCP层设备、每个承载或每个逻辑信道的配置。如果SDAP报头被配置,则SDAP报头的NAS反射QoS的1位指示符和AS反射QoS的1位指示符可指示UE更新或重新配置关于上行链路和下行链路中的QoS流和数据承载的映射的信息。SDAP报头可包括指示QoS的QoS流ID信息。QoS信息可用作数据处理优先级和调度信息,用于平滑地支持服务。
NR PDCP 3-120和3-220的主要功能可包括以下功能中的一些。
报头压缩和解压缩功能(报头压缩和解压缩:仅ROHC)
-用户数据传输功能(用户数据的传送)
-顺序传递功能(上层PDU的顺序传递)
-非顺序传递功能(上层PDU的无序传递)
-重新排序功能(用于接收的PDCP PDU重新排序)
-重复检测功能(低层SDU的重复检测)
-重传功能(PDCP SDU的重传)
-加密和解密功能(加密和解密)
-基于定时器的SDU丢弃功能(上行链路中基于定时器的SDU丢弃)
NR PDCP设备的重新排序功能是基于PDCP序列号(SN)顺序地重新排序由低层接收的PDCP PDU的功能,并且可包括顺序地将重新排序的数据传送到高层的功能,直接发送记录的数据而不考虑顺序的功能,记录由于重新排序而丢失的PDCP PDU的功能,向发送侧报告丢失的PDCP PDU的状态的功能,以及请求重发丢失的PDCP PDU的功能。
NR RLC 3-130和3-230的主要功能可包括以下功能中的一些。
-数据传输功能(上层PDU的传送)
-顺序传递功能(上层PDU的顺序传递)
-非顺序传递功能(上层PDU的无序传递)
-ARQ功能(通过ARQ纠错)
-级联、分段和重组功能(RLC SDU的级联、分段和重组)
-再分段功能(RLC数据PDU的再分段)
-重新排序功能(RLC数据PDU的重新排序)
-重复检测功能(重复检测)
-错误检测功能(协议错误检测)
-RLC SDU删除功能(RLC SDU丢弃)
-RLC重建功能(RLC重建)
NR RLC设备的顺序传递功能(顺序传递)是将从低层接收的PDCP PDU顺序地传送到高层的功能,并且当一个原始RLC SDU被分成多个RLC SDU然后被接收时可包括,重组和发送RLC SDU的功能,基于RLC序列号(SN)或PDCP SN对接收的RLC PDU重新排序的功能,记录由于重新排序而丢失的PDCP PDU的功能,向发送侧报告丢失的PDCP PDU的状态的功能,作出重发丢失的PDCP PDU的请求的功能(如果存在丢失的RLC SDU),在即使存在丢失的RLCSDU的情况下,如果预定定时器到期,仅顺序地将丢失的RLC SDU之前的RLC SDU传送到高层的功能,将在定时器开始之前所有接收到的RLC SDU顺序地传送到高层的功能,或者在即使存在丢失的RLC SDU的情况下,如果预定定时器到期,将直到该时间点接收到的所有RLCSDU顺序地传送到高层的功能。
此外,NR RLC设备可按照其接收顺序(根据到达顺序,与序列号或SN无关)顺序地处理RLC PDU,并且可将RLC PDU传送到PDCP设备,而不管其顺序(无序传送)。如果接收到的RLC SDU是段,则NR RLC设备可接收存储在缓存中或者将来将被接收的段,将这些段重新配置为一个完整的RLC PDU,处理RLC PDU,然后将其发送到PDCP设备。NR RLC层可不包括级联功能,并且该功能可由NR MAC层执行,或者可由NR MAC层的复用功能代替。
NR RLC设备的非顺序功能(无序传送)是将从低层接收的RLC SDU直接传送到高层而不管RLC SDU的顺序的功能,并且当一个原始RLC SDU被分成多个RLC SDU然后被接收时可包括,重组和发送RLC PDU的功能以及存储所接收的RLC PDU的RLC SN或PDCP SN、对RLCPDU进行重新排序、并记录丢失的RLC PDU的功能。
NR MAC 3-140和3-240可连接到在一个UE中配置的多个NR RLC层设备,并且NRMAC的主要功能可包括以下功能中的一些。
-映射功能(逻辑信道和传输信道之间的映射)
-复用和解复用功能(MAC SDU的复用/解复用)
-调度信息报告功能(调度信息报告)
-HARQ功能(通过HARQ纠错)
-逻辑信道优先级控制功能(一个UE的逻辑信道之间的优先级处理)
-UE优先级控制功能(通过动态调度在UE之间进行优先级处理)
-MBMS服务识别功能(MBMS服务识别)
-传输格式选择功能(传输格式选择)
-填充功能(填充)
NR PHY层3-150和3-250执行用于信道编码和调制高层数据的操作,以生成OFDM符号,并且通过无线电信道发送OFDM符号,或者解调和信道解码通过无线电信道接收的OFDM符号,并且将解调和信道解码的OFDM符号发送到高层。
图4示出了根据本公开实施方式的移动通信系统的结构的示例。
参考图4,基站(BS)4-200和4-300可被实现为与LTE、eNB、NR gNB、WiFi AP或无线接入技术无关的、连接到诸如演进的分组核心(EPC)或5G核心网(5GC)的移动通信核心网(CN)4-100的移动通信基站。
在图4中,BS 4-200和4-300可被配置成单个单元或者被划分成多个单元。以这种形式配置的BS支持各个划分的移动通信功能。
功能的例子包括PDCP/RLC/MAC/PHY/RF层,一个单元可支持多个功能,多个功能可由多个单元分布和支持,或者一个功能可由一个或多个划分的单元支持。
BS 4-200和4-300可通过诸如X2或Xn接口的BS间接口连接,并且BS 4-200和4-300以及CN 4-100通过诸如S1或NG接口的BS和核心网之间的接口连接。
本公开中提出的技术可应用于UE 4-100连接到BS 4-200和4-300中的一个并执行BS 4-200和4-300之间的切换的情况,而不管BS 4-200和4-300的内部配置。
在常规切换中,服务BS可基于由UE 4-100发送的测量信息根据内部策略来确定目标BS,并且将从目标BS接收的无线电配置信息发送到UE 4-100,以将UE 4-100连接到目标BS。通过该过程,UE 4-100可从服务BS切换到目标BS。
图5示出了根据本公开实施方式的用于在移动通信系统中管理多个BS的计算节点(CN)的结构的示例。
图5所示的CN可被实现为与LTE、eNB、NR、gNB、WiFi AP或无线接入技术无关的、连接到诸如演进型分组核心(EPC)或5G核心网(5GC)的移动通信核心网(CN)的移动通信基站。
在图5中,计算节点(CN)是管理一个或多个BS的单元。以这种形式配置的BS和CN分别支持各个移动通信功能。功能的示例包括RRC/PDCP/RLC/MAC/PHY/RF层。
相同的CN可以是逻辑上相同的CN或物理上相同的CN。逻辑上相同的CN可被实现为相同所有者(或运营商)的软件、具有相同权限的软件、或执行相同过程的软件。物理上相同的CN可被实现为相同所有者(或运营商)的硬件、具有相同权限的硬件、或相同的硬件部件。
一个CN管理一个或多个BS,并且当UE和BS之间的AS部分被认证时,一个CN由UE执行认证。由一个CN管理的一个或多个BS(或小区)的集可被称为认证区域(AA)。根据实施方式,AA可针对每个特定UE、场景或服务而被不同地配置。
根据实施方式,AA内的小区数量与CN数量之比可以是“1:n”(N是大于或等于1的自然数)。根据另一实施方式,AA内的小区数量与CN数量之比可以是“M:N”(M和N是大于或等于1的自然数)。
在本公开的实施方式中,当UE在由相同CN提供服务的AA内切换时,不需要与目标BS进行新的PKI认证。
例如,在图5中,CN1可与BS1到BS4一起划分和支持功能,并且可管理BS1到BS4。由CN1管理的BS是认证区域1(AA1)。
此外,在图5中,CN2可与BS5到BS8一起划分和支持功能,并且可管理BS5到BS8。由CN2管理的BS被称为认证区域2(AA2)。
图6示出了根据本公开实施方式的BS通过SIB向UE广播AA信息的过程。
在本公开的实施方式中,认证区域(AA)是由CN管理的一个或多个BS的集,并且BS可向UE通知要认证的区域。
在图6中,RAN 6-20可通过系统信息块(SIB)周期性地(或非周期性地)向UE 6-10传送到AA信息。
RAN 6-20可周期性地(使用定时器TAA 6-40)或非周期性地发送AA信息,并且当UE6-10接收到由RAN 6-20广播的AA信息时,UE 6-10应当知道相应RAN是否属于特定AA。通过该方法,UE 6-10不仅可通过服务BS的SIB而且还可通过相邻小区的SIB来接收AA信息。此外,通过该方法,在RRC非活动或RRC空闲状态以及RRC连接状态下,UE 6-10可根据需要通过由RAN 6-20发送的SIB来接收AA信息。
在操作6-30,RAN 6-20在SIB中配置指示发送用于发送AA信息的SIBx的位,并且广播该SIB。此后,在操作6-50,RAN 6-20可将AA信息插入SIBx并进行广播。
当接收到AA信息时,在操作6-80,UE 6-10可将AA信息与UE的当前AA进行比较,并且识别发送AA信息的RAN是否与服务BS属于相同AA。由RAN 6-20发送的AA信息可具有标识符,用于区分该AA信息是由另一RAN发送的AA,还是由相应RAN在该AA信息之前或之后发送的AA。
RAN 6-20可根据由UE 6-10和RAN 6-20预先确定的预定周期(TAA)来发送AA信息,而无需在用于发送AA信息的SIB中设置用于发送AA的SIBx位。
图7a和图7b示出了根据本公开实施方式的切换过程的示例。
根据图7a,在常规切换中,服务BS 7-120可基于UE 7-100发送的测量信息根据内部策略来确定目标BS 7-130,将从目标BS 7-130接收到的无线电配置信息发送到UE 7-100,并且将UE 7-100与目标BS 7-130连接。通过该过程,UE 7-100从服务BS 7-120切换到目标BS 7-130。下面描述图7的详细过程。
服务BS 7-120可向UE 7-100发送测量控制7-210。由服务BS 7-120提供的测量信息用于控制UE 7-100的移动性。此后,根据常规通信,执行数据通信(分组数据)7-220。
在测量操作7-230,UE 7-100可测量相邻BS小区的无线电信号强度,并且当测量控制7-210满足条件时,向服务BS 7-120发送测量报告7-240。
当接收到测量报告7-240时,服务BS 7-120可在操作7-250基于测量报告7-240来确定UE 7-100的切换。服务BS 7-120可向目标BS 7-130发送切换请求消息7-260,以向目标BS 7-130传送准备切换所需的信息。
目标BS 7-130可执行准入控制7-270以确定是否允许切换。在该过程期间,目标BS7-130配置用于将UE 7-100连接到目标BS 7-130所需的资源。
当HO准备完成时,目标BS 7-130可向服务BS 7-120发送切换请求Ack(确认)7-280,切换请求Ack 7-280包括用于将UE 7-100连接到目标BS 7-130所需的信息。切换请求Ack消息包括从目标BS 7-130接收到的无线电连接重新配置消息信息,并且服务BS 7-120可向UE 7-100发送RRC连接重新配置消息7-290,RRC连接重新配置消息7-290包括从目标BS7-130接收到的无线电连接重新配置消息信息。
当接收到包括切换所需参数的RRC连接重新配置消息7-290时,UE 7-100从先前的小区离开,并且执行同步7-300以接入新的小区。此外,在操作7-310和操作7-320,服务BS7-120向目标BS 7-130发送接收到的分组。目标BS 7-130从服务BS 7-120接收分组。
UE 7-100针对目标BS 7-130执行同步7-340,并且通过RACH接入目标BS 7-130。目标BS 7-130分配上行链路(UL)资源,并且通过TA进行响应。UE 7-100发送RRC连接重新配置完成7-360,,并且指示切换完成。
此后,在操作7-370,UE 7-100可通过目标BS 7-130接收分组数据。目标BS 7-130执行与网络(MME等)的路径改变7-380过程,以通知UE 7-100小区已经改变。当从网络接收到UE上下文释放消息时,服务BS 7-130执行UE上下文释放7-390。
然而,当执行图7所示的常规切换时,在UE和BS之间不执行直接认证。也就是说,在接入层(AS)部分中不存在直接认证。
在本公开的实施方式中,可避免由于AS部分未认证而导致在UE与BS之间进行的中间人(MITM)攻击。此外,在本公开的实施方式中,强无线电信号被发送到UE,从而可防止在UE和BS之间中继无线电信号的虚假基站(FBS)进行的中间人攻击。
在本公开的实施方式中,可防止由于AS部分未认证而导致对FBS的PHY/MAC/RRC控制面(CP)消息进行伪造。在本公开的实施方式中,可避免伪造SIB信息和向UE发送虚假灾难消息的攻击。
在本公开中,UE和BS执行基于公钥基础设施(PKI)的认证,从而使得能够与要通信的目标进行安全通信。通过本公开,BS和UE可通过BS/UE预先知道的密钥或通过认证生成的密钥对发送的消息进行加密/解密或数字签名来保护消息。
图8至图14示出了根据本公开实施方式的在切换场景中执行基于PKI的AS部分认证过程的过程,这与图7的切换过程不同。
图8a和图8b示出了根据本公开实施方式的UE切换中的认证过程。
在根据图8a的切换中,服务BS 8-120可基于UE 8-100发送的测量信息,根据内部策略来确定目标BS 8-130,将从目标BS 8-130接收到的无线电配置信息发送到UE 8-100,并且将UE 8-100连接到目标BS 8-13。
在图8a和图8b所示的实施方式中,服务BS 8-120可识别出服务BS属于与目标BS8-130相同的AA,并且允许通过现有的密钥推导来生成密钥,而无需进行基于PKI的认证。下面描述详细过程。
服务BS 8-120可向UE 8-100发送测量控制8-210。由服务BS 8-120提供的测量信息用于控制UE 8-100的移动性。此后,根据常规通信,执行数据通信(分组数据)8-220。
在测量操作8-230,UE 8-100可测量相邻BS小区的无线电信号强度,并且当测量控制8-210满足条件时,向服务BS 8-120发送测量报告8-240。当接收到测量报告8-240时,在操作8-250,服务BS 8-120确定是否切换UE 8-100并且识别出服务BS 8-120与目标BS 8-130是否属于相同AA。服务BS 8-120可向目标BS 8-130发送切换请求消息8-260,以向目标BS 8-130传送准备切换所需的信息。目标BS 8-130执行准入控制8-270以确定是否允许切换。在该过程期间,目标BS 8-130配置用于将UE 8-100连接到目标BS所需的资源。
当HO准备完成时,目标BS 8-130向服务BS 8-120发送切换请求Ack(确认)8-280,切换请求Ack 8-280包括用于将UE 8-100连接到目标BS 8-130所需的信息。切换请求Ack消息包括从目标BS 8-130接收到的无线电连接重新配置消息信息,并且服务BS 8-120向UE8-100发送RRC连接重新配置消息8-290,RRC连接重新配置消息8-290包括从目标BS 8-130接收到的无线电连接重新配置消息信息。
服务BS 8-120在RRC连接重配置消息8-290中配置AA内HO位,并且通知UE 8-100服务BS 8-120和目标BS 8-130属于相同的AA并且不需要PKI认证,以允许通过密钥推导生成UE 8-100与目标7-130之间的密钥。
当接收到包括切换所需参数和AA内HO位的RRC连接重新配置消息8-290时,UE 8-100从先前的小区离开,并且执行同步8-300以接入新的小区。此外,在操作8-310和8-320中,服务BS 8-120向目标BS 8-130发送接收到的分组。目标BS 8-130从服务BS 8-120接收分组。
UE 8-100针对目标BS 8-130执行同步8-340,并且通过RACH接入目标BS。目标BS8-130分配UL,并且通过TA进行响应。UE 8-100发送RRC连接重新配置完成8-360,并且指示切换完成。此后,在操作8-370中,UE 8-100可通过目标BS 8-130接收分组数据。目标BS 8-130在网络(MME等)中进行路径改变8-380,以通知UE已改变了小区。当从网络接收到UE上下文释放消息时,服务BS 8-120执行UE上下文释放8-390。
此后,UE 8-100和目标BS 8-130通过密钥推导由AA内切换来共享AS部分加密密钥。
图9a和9b示出了根据本公开另一实施方式的UE切换中的认证过程。
在根据图9a的切换中,服务BS 9-120可基于UE 9-100发送的测量信息,根据内部策略来确定目标BS 9-130,将从目标BS 9-130接收到的无线电配置信息发送到UE 9-100,并且将UE 9-100连接到目标BS 9-130。服务BS 9-120识别出服务BS属于与目标BS 9-130不同的AA,并且允许通过基于PKI的认证生成UE 9-100和目标BS 9-130之间的密钥。在图8中,计算节点(CN)是指基站、BS和要认证的目标,下面描述详细过程。
服务BS 9-120向UE 9-100发送测量控制9-210。由服务BS 9-120提供的测量信息用于控制UE 9-100的移动性。此后,根据常规通信,执行数据通信(分组数据)9-220。在测量操作9-230,UE 9-100测量相邻BS小区的无线电信号强度,并且当测量控制9-210满足条件时,向服务BS 9-120发送测量报告9-240。当接收到测量报告9-240时,在操作9-250,服务BS9-120确定对UE 9-100的切换,并且识别出服务BS 9-120是否与目标BS 9-130属于相同的AA。
服务BS 9-120可向目标BS 9-130发送切换请求消息9-260,以向目标BS 9-130传送准备切换所需的信息。目标BS 9-130执行准入控制9-270以确定是否允许切换。在该过程期间,目标BS 9-130配置用于将UE 9-100连接到目标BS 9-130所需的资源。当HO准备完成时,目标BS 9-130发送切换请求Ack(确认)9-280,切换请求Ack 9-280包括用于将UE 9-100连接到目标BS 9-130所需的信息。切换请求Ack消息包括从目标BS 9-130接收到的无线电连接重新配置消息信息,并且服务BS 9-120向UE 9-100发送RRC连接重新配置消息9-290,RRC连接重新配置消息9-290包括从目标BS 9-130接收到的无线电连接重新配置消息信息。
在操作9-290,服务BS 9-120在RRC连接重新配置消息9-290中配置AA间HO位,并且通知UE 9-100由于服务BS 9-120与目标BS 9-130属于不同的AA而需要PKI认证。根据实施方式,RRC连接重新配置消息9-290可包括指示非AA间HO位类型的AA间HO的信息,并且指示AA间HO的信息可指示服务BS 9-120与目标BS 9-130属于不同的AA。
当接收到包括切换所需参数和AA间HO位(或AA间HO信息)的RRC连接重新配置消息9-290时,UE 9-100从先前的小区离开,并且执行同步9-300以接入新的小区。此外,在操作9-310和9-320中,服务BS 9-120向目标BS 9-130发送接收到的分组。目标BS 9-130从服务BS 9-120接收分组。在操作9-330,目标BS 9-130可将缓冲分组从服务BS 9-120发送到AMF9-140。UE 9-100针对目标BS执行同步9-340,并且通过RACH接入目标BS 9-130。在操作9-350中,目标BS 9-130分配UL,并且通过TA进行响应。UE 9-100和目标BS 9-130执行基于PKI的认证,并且在图17至图21中示出了基于PKI的认证9-360的详细操作。
UE 9-100发送RRC连接重新配置完成9-370,并且指示切换完成。此后,在操作9-380,UE 9-100可通过目标BS 9-130接收分组数据。目标BS 9-130在网络(MME等)中进行路径改变9-390,以通知UE 9-100已被切换。当从网络接收到UE上下文释放消息时,服务BS 9-120执行UE上下文释放9-400。
此后,在基于PKI的认证之后,UE 9-100与目标BS 9-130通过使用所生成的密钥来共享AS部分加密密钥。
图10a和10b示出了根据本公开另一实施方式的UE切换中的认证过程。
在根据图10a的切换中,服务BS 10-120可基于UE 10-100发送的测量信息,根据内部策略来确定目标BS 10-130,将从目标BS 10-130接收到的无线电配置信息发送到UE 10-100,并且将UE 10-100连接到目标BS 10-130。服务BS 10-120识别出服务BS属于与目标BS10-130不同的AA,并且允许通过基于PKI的认证生成UE 10-100和目标BS 10-130之间的密钥。服务BS 10-120可转发消息传输以由UE 10-100对目标BS 10-130进行认证,并且减少作为切换过程期间的切换延迟时间的切换中断时间。计算节点(CN)是指基站、BS和要认证的目标,下面描述详细过程。
服务BS 10-120发送测量控制10-210。由服务BS 10-120提供的测量信息用于控制UE 10-100的移动性。此后,根据常规通信,执行数据通信(分组数据)10-220。在测量操作10-230,UE测量相邻BS小区的无线电信号强度,并且当测量控制10-210满足条件时,向服务BS 10-120发送测量报告10-240。当接收到测量报告10-240时,在操作10-250,服务BS 10-120通过适当的确定来决定对UE 10-100的切换,并且识别出服务BS 10-120是否属于与目标BS 10-130相同的AA。服务BS 10-120可向目标BS 10-130发送切换请求消息10-260,以向目标BS 10-130传送准备切换所需的信息。目标BS 10-130执行准入控制10-270以确定是否允许切换。在该过程期间,目标BS 10-130配置用于将UE 10-100连接到目标BS 10-130所需的资源。当HO准备完成时,目标BS 10-130发送切换请求Ack(确认)10-280,切换请求Ack10-280包括用于将UE 10-100连接到目标BS所需的信息。切换请求Ack消息包括从目标BS10-130接收到的无线电连接重新配置消息信息,并且服务BS 10-120向UE 10-100发送RRC连接重新配置消息10-290,RRC连接重新配置消息10-290包括从目标BS 10-130接收到的无线电连接重新配置消息信息。在操作10-290,服务BS 10-120在RRC连接重新配置消息10-290中配置AA间HO位(或AA间HO信息)以通知服务BS 10-200与目标BS 10-130属于不同的AA而需要PKI认证,并且配置PKI fwd位以通知与目标BS 10-130的认证可通过服务BS 10-120来执行。
当UE 10-100接收到包括切换所需参数和AA间HO位(或AA间HO信息)/PKI fwd位的RRC连接重新配置消息10-290时,UE 10-100与目标BS 10-130执行基于PIK的认证,并且在图17至图21中示出了详细操作10-300。在UE 10-100与目标BS 10-13之间执行认证的过程期间,在操作10-300,服务BS 10-120与目标BS 10-130可执行直接通信,并且服务BS 10-120可向目标BS 10-130传送认证消息。
UE 10-100从先前的小区离开,并且执行同步10-310以接入新的小区。此外,在操作10-320和10-330,服务BS 10-120向目标BS 10-130发送接收到的分组。目标BS 10-130从服务BS 10-120接收分组。在操作10-340,目标BS 10-130可向AMF 10-140发送从服务BS10-120接收到的缓存分组。
UE 10-100针对目标BS 10-130执行同步10-350,并且通过RACH接入目标BS。在操作10-360,目标BS 10-130分配UL,并且通过TA进行响应。UE 10-100发送RRC连接重新配置完成10-370,并且指示切换完成。此后,在操作10-380,UE 10-100可通过目标BS接收分组数据。目标BS 10-130在网络(MME等)中进行路径改变10-390,以通知UE 10-100已改变了小区。当从网络接收到UE上下文释放消息时,服务BS 10-120执行UE上下文释放10-390。
在基于PKI的认证之后,UE 10-100和目标BS 10-130通过使用所生成的密钥来共享AS部分加密密钥。
图11a和11b示出了根据本公开另一实施方式的UE切换中的认证过程。
在根据图11a的切换中,服务BS 11-120可基于UE 11-100发送的测量信息,根据内部策略来确定目标BS 11-130,将从目标BS 11-130接收到的无线电配置信息发送到UE 11-100,并且将UE 11-100连接到目标BS 11-130。服务BS 11-120识别出服务BS属于与目标BS11-130不同的AA,并且允许通过基于PKI的认证生成UE 11-100和目标BS 11-130之间的密钥。
在UE 11-100传输用于与目标BS进行认证的消息的过程期间,服务BS 11-120可通过AMF 11-140转发该消息。计算节点(CN)是指基站、BS和要认证的目标,下面描述详细过程。
服务BS 11-120发送测量控制11-210。由服务BS 11-120提供的测量信息用于控制UE 11-100的移动性。此后,根据常规通信,执行数据通信(分组数据)11-220。在测量操作11-230,UE 11-100测量相邻BS小区的无线电信号强度,并且当测量控制11-210满足条件时,向服务BS 11-120发送测量报告11-240。当接收到测量报告11-240时,在操作11-250,服务BS 11-120确定对UE 11-100的切换,并且识别出服务BS 11-120是否属于与目标BS 11-130相同的AA。
服务BS 11-120向目标BS 11-130发送切换请求消息11-260,以通过AMF 11-240向目标BS 11-130传送准备切换所需的信息。目标BS 11-130执行准入控制11-270以确定是否允许切换。在该过程期间,目标BS 11-130配置用于将UE 11-100连接到目标BS 11-130所需的资源。当HO准备完成时,目标BS 11-130发送切换请求Ack(确认)11-280,切换请求Ack11-280包括用于将UE 11-100连接到目标BS 11-130所需的信息。切换请求Ack消息包括从目标BS 11-130接收到的无线电连接重新配置消息信息,并且服务BS 11-120向UE 11-100发送RRC连接重新配置消息11-290,RRC连接重新配置消息11-290包括从目标BS 11-130接收到的无线电连接重新配置消息信息。在操作11-290,服务BS在RRC连接重新配置消息11-290中配置AA间HO位(或AA间HO信息)以通知服务BS 11-120与目标BS 11-130属于不同的AA而需要PKI认证,并且配置PKI fwd位以通知与目标BS 11-130的认证可通过服务BS 11-120来执行。
当UE 11-100接收到包括切换所需参数和AA间HO位(或AA间HO信息)/PKI fwd位的RRC连接重新配置消息11-290时,UE 11-100与目标BS 11-130执行基于PIK的认证,并且在图17至图21中示出了详细操作11-300。
在UE 11-100和目标BS 11-130之间执行认证的过程期间,服务BS 11-120与目标BS 11-130可执行直接通信,并且在操作11-300,服务BS 11-120可向目标BS 11-130传送认证消息。UE 11-100从先前的小区离开,并且执行同步11-310以接入新的小区。此外,在操作11-320和11-330,服务BS 11-120向目标BS发送接收到的分组。目标BS 11-130从服务BS11-120接收分组。UE 11-100针对目标BS 11-130执行同步11-350,并且通过RACH接入目标BS。在操作11-360,目标BS 11-130分配UL,并且通过TA进行响应。UE 11-100发送RRC连接重新配置完成11-370,并且指示切换完成。此后,在操作11-380,UE 11-100可通过目标BS 11-130接收分组数据。目标BS 11-130在网络(MME等)中进行路径改变11-390,以通知UE 11-100已被切换。当从网络接收到UE上下文释放消息时,服务BS 11-120执行UE上下文释放11-400。
在基于PKI的认证之后,UE 11-100与目标BS 11-130通过使用所生成的密钥来共享AS部分加密密钥。
图12a和12b示出了根据本公开另一实施方式的UE切换中的认证过程。
参考图12a,服务BS 12-120可将UE 12-100配置为允许其与另一BS进行认证。当从服务BS 12-120接收到允许其与另一BS进行认证的消息时,UE 12-100基于BS所发送的认证区域(AA)信息来识别需要认证的BS。
UE 12-100与AA不同于服务BS 12-120的BS执行认证。服务BS 12-120可转发用于UE 12-100认证目标BS 12-130的消息传输。计算节点(CN)是指基站、BS和要认证的目标,下面描述详细过程。
服务BS 12-120发送测量控制12-210。由服务BS 12-120提供的测量信息用于控制UE 12-100的移动性。此后,根据常规通信,执行数据通信(分组数据)12-220。在测量操作12-230,UE 12-100测量相邻BS小区的无线电信号强度,并且当测量控制12-210满足条件时,向服务BS 12-120发送测量报告12-235。
在操作12-240,服务BS 12-120确定是否允许UE 12-100与另一BS执行认证。在操作12-245,服务BS 12-120在RRC连接重新配置消息中设置用于允许UE 12-100与另一BS执行认证的位,并且将RRC连接重新配置消息发送到UE 12-100。在操作12-250,UE 12-100接收由BS发送的AA信息,并且识别BS是否属于与服务BS 12-120不同的AA。
UE 12-100和目标BS 12-120执行基于PKI的认证,并且在图17至图21中示出了详细操作12-255。在UE 12-100与目标BS 12-130之间执行认证的过程期间,在操作12-255,服务BS 12-120与目标BS 12-130可执行直接通信,并且服务BS 12-120可向目标BS 12-130传送认证消息。
UE 12-100在测量操作12-260测量相邻BS小区的无线电信号强度,并且当测量控制12-210满足条件时,向服务BS 12-120发送测量报告12-260。当接收到测量报告12-260时,服务BS 12-120在操作10-265中确定对UE 12-100的切换,并且识别出服务BS 12-120是否属于与目标BS 12-130相同的AA。
服务BS 12-120可向目标BS 12-130发送切换请求消息12-270,以向目标BS 12-130传送准备切换所需的信息。目标BS 12-130执行准入控制12-280以确定是否允许切换。在该过程期间,目标BS 12-130配置用于将UE 12-100连接到目标BS 12-130所需的资源。当HO准备完成时,目标BS 12-130发送切换请求Ack(确认)12-290,切换请求Ack 12-290包括用于将UE 12-100连接到目标BS 8-130所需的信息。切换请求Ack消息包括从目标BS 12-130接收到的无线电连接重新配置消息信息,并且服务BS 12-120向UE 12-100发送RRC连接重新配置消息12-300,RRC连接重新配置消息12-300包括从目标BS 12-130接收到的无线电连接重新配置消息信息。
在操作12-230,服务BS 12-120在RRC连接重新配置消息12-300中配置AA间HO位(或AA间HO信息)以通知服务BS 12-120与目标BS 12-130属于不同的AA而需要PKI认证,并且配置PKI fwd位以通知与目标BS 12-130的认证可通过服务BS 12-120来执行。当UE12-100接收到包括切换所需参数和AA间HO位(或AA间HO信息)/PKI fwd位的RRC连接重新配置消息12-200时,UE 12-100和目标BS 12-130可执行基于PKI的认证,但是如果在操作12-300预先执行了认证则不需要执行认证。
UE 12-100从先前的小区离开,并且执行同步12-310以接入新的小区。此外,在操作12-320和操作12-330,服务BS 12-120向目标BS 12-130发送接收到的分组。目标BS 12-130从服务BS 12-120接收分组。
UE 12-100针对目标BS 12-130执行同步12-350,并且通过RACH接入目标BS。在操作12-360,目标BS 12-130分配UL,并且通过TA进行响应。UE 12-100发送RRC连接重新配置完成12-370,并且指示切换完成。此后,在操作12-380,UE 12-100可通过目标BS 12-130接收分组数据。目标BS 12-130在网络(MME等)中进行路径改变12-390,以通知UE已被切换。当从网络接收到UE上下文释放消息时,服务BS 12-120执行UE上下文释放12-400。
在基于PKI的认证之后,UE 12-100和目标BS 12-130通过使用所生成的密钥来共享AS部分加密密钥。
图13a和13b示出了根据本公开另一实施方式的UE切换中的认证过程。
根据图13a,服务BS 13-120可将UE 13-100配置为允许其与另一BS进行认证。当从服务BS 13-120接收到允许其与另一BS进行认证的消息时,UE 13-100基于BS所发送的认证区域(AA)信息来识别需要认证的BS。UE 13-100与AA不同于服务BS 13-120的BS执行认证。在UE 13-100传输用于与目标BS 13-130进行认证的消息的过程期间,服务BS 13-120可通过AMF 13-140转发该消息。计算节点(CN)是指基站、BS和要认证的目标,下面描述详细过程。
服务BS 13-120发送测量控制13-210。由服务BS 13-120提供的测量信息用于控制UE 13-100的移动性。此后,根据常规通信,执行数据通信(分组数据)13-220。在测量操作13-230,UE 13-100测量相邻BS小区的无线电信号强度,并且当测量控制13-210满足条件时,向服务BS 13-120发送测量报告13-235。在操作13-240,确定是否允许UE 13-100与另一BS执行认证。在操作13-245,服务BS 13-120在RRC连接重新配置消息中设置用于允许UE13-100与另一BS执行认证的位,并且将RRC连接重新配置消息发送到UE 13-100。
在操作13-250,UE 13-100接收由BS发送的AA信息,并且识别BS是否属于与服务BS不同的AA。UE 13-100与目标BS 13-130执行基于PKI的认证,并且在图17至图21中示出了详细操作13-255。
在UE 13-100传输用于与目标BS 13-130进行认证的消息的过程期间,在操作13-255,服务BS 13-120可通过AMF 13-140转发该消息。在测量操作13-260,UE 13-100测量相邻BS小区的无线电信号强度,并且当测量控制13-210满足条件时,向服务BS 13-120发送测量报告13-260。当接收到测量报告13-260时,服务BS 13-120在操作10-265中确定对UE 13-100的切换,并且识别出服务BS 13-120是否属于与目标BS 13-130相同的AA。
服务BS 13-120可向目标BS 13-130发送切换请求消息13-270,以向目标BS 13-130传送准备切换所需的信息。目标BS 13-130执行准入控制13-280以确定是否允许切换。在该过程期间,目标BS 13-130配置用于将UE 13-100连接到目标BS 13-130所需的资源。当HO准备完成时,目标BS 13-130发送切换请求Ack(确认)13-290,切换请求Ack 13-290包括UE 13-100连接到目标BS 13-130所需的信息。切换请求Ack消息包括从目标BS 13-130接收到的无线电连接重新配置消息信息,并且服务BS 13-120向UE 13-100发送RRC连接重新配置消息13-300,RRC连接重新配置消息13-300包括从目标BS 13-130接收到的无线电连接重新配置消息信息。
服务BS 13-100在RRC连接重新配置消息13-300中配置AA间HO位(或AA间HO信息)以通知服务BS与目标BS属于不同的AA从而UE 13-100需要进行PKI认证,并且配置PKI fwd位以通知与目标BS 13-130的认证可通过服务BS 13-120来执行(在操作13-230)。当UE 13-100接收到包括切换所需参数和AA间HO位(或AA间HO信息)/PKI fwd位的RRC连接重新配置消息13-200时,UE 13-100与目标BS 13-130可执行基于PKI的认证,但是如果在操作13-300预先执行了认证则不需要执行认证。UE 13-100从先前的小区离开,并且执行同步13-310以接入新的小区。此外,在操作13-320和13-330,服务BS 13-120向目标BS 13-130发送接收到的分组。目标BS 13-130从服务BS 13-120接收分组。
UE 13-100针对目标BS执行同步13-350,并且通过RACH接入目标BS。在操作13-360,目标BS 13-130分配UL,并且通过TA进行响应。UE 13-100发送RRC连接重新配置完成13-370,并且指示切换完成。此后,在操作13-380,UE 13-100可通过目标BS接收分组数据。目标BS 13-130在网络(MME等)中进行路径改变13-390,以通知UE已被切换。当从网络接收到UE上下文释放消息时,服务BS 13-120执行UE上下文释放13-400。
在基于PKI的认证之后,UE 13-100和目标BS 13-130通过使用所生成的密钥来共享AS部分加密密钥。
图14a和14b示出了根据本公开另一实施方式的UE切换中的认证过程。
根据图14a,UE 14-100基于BS发送的认证区域(AA)信息来识别需要认证的BS。UE14-100与AA不同于服务BS 14-120的BS执行认证。计算节点(CN)是指基站、BS和要认证的目标,下面描述详细过程。
服务BS 14-120发送测量控制14-210。由服务BS 14-120提供的测量信息用于控制UE 14-100的移动性。此后,根据常规通信,执行数据通信(分组数据)14-220。在测量操作14-230,UE 14-100测量相邻BS小区的无线电信号强度,并且当测量控制14-210满足条件时,向服务BS 14-120发送测量报告14-235。在操作14-240中,UE 14-100确定是否允许与另一BS进行认证。在操作14-250,UE 14-100接收由BS发送的AA信息,并且识别BS是否属于与服务BS 14-120不同的AA。
UE 14-100和目标BS 14-130执行基于PKI的认证,并且在图17至图21中示出了详细操作14-255。在UE 14-100传输用于与目标BS14-130进行认证的消息的过程期间,在操作14-255,服务BS 14-120可通过AMF 14-140转发该消息。
在测量操作14-260,UE 14-100测量相邻BS小区的无线电信号强度,并且当测量控制14-210满足条件时,向服务BS 14-120发送测量报告14-260。当接收到测量报告14-260时,服务BS 14-120确定对1UE 14-100的切换,并且在操作14-265识别服务BS 14-120是否属于与目标BS 14-130相同的AA。服务BS 14-120可向目标BS 14-130发送切换请求消息14-270,以向目标BS 14-130传送准备切换所需的信息。目标BS 14-130执行准入控制14-280以确定是否允许切换。在该过程期间,目标BS 14-130配置用于将UE 14-100连接到目标BS14-130所需的资源。当HO准备完成时,目标BS 14-130发送切换请求Ack(确认)14-290,切换请求Ack 14-290包括UE 14-100连接到目标BS 14-130所需的信息。切换请求Ack消息包括从目标BS 14-130接收到的无线电连接重新配置消息信息,并且服务BS 14-120向UE 14-100发送RRC连接重新配置消息14-300,RRC连接重新配置消息14-300包括从目标BS 14-130接收到的无线电连接重新配置消息信息。
服务BS 14-120在RRC连接重新配置消息14-300中配置AA间HO位(或AA间HO信息)以通知服务BS 14-120与目标BS 14-130属于不同的AA从而UE 14-100需要进行PKI认证,并且配置PKI fwd位以通知与目标BS 14-130的认证可通过服务BS 14-120来执行(在操作14-230)。当UE 14-100接收到包括切换所需参数和AA间HO位(或AA间HO信息)/PKI fwd位的RRC连接重新配置消息14-200时,UE 14-100和目标BS 14-130可执行基于PKI的认证,但是如果在操作14-300中预先执行了认证则不需要执行认证。
UE 14-100从先前的小区离开,并且执行同步14-310以接入新的小区。此外,在操作14-320和14-330,服务BS 14-120向目标BS 14-130发送接收到的分组。目标BS 14-130从服务BS 14-120接收分组。UE 14-100针对目标BS 14-130执行同步14-350,并且通过RACH接入目标BS 14-130。在操作14-360,目标BS 14-130分配UL,并且通过TA进行响应。UE 14-100发送RRC连接重新配置完成14-370,并且指示切换完成。此后,在操作14-380,UE 14-100可通过目标BS接收分组数据。目标BS 14-130在网络(MME等)中进行路径改变14-390,以通知UE 14-100已改变了小区。当从网络接收到UE上下文释放消息时,服务BS 14-120执行UE上下文释放14-400。
在基于PKI的认证之后,UE 14-100和目标BS 14-130通过使用所生成的密钥来共享AS部分加密密钥。
图15示出了根据本公开实施方式的BS的切换命令过程。
参考图15,当从UE接收到测量报告15-110时,BS在操作15-120中识别是否满足切换条件。当在操作15-120中满足切换条件时,相应的BS在操作15-130中识别BS与要切换的BS是否属于相同AA。当BS属于相同AA时,在操作15-140,BS设置AA内切换位并向UE发送切换命令。当BS不属于相同AA时,在操作15-150,BS设置AA间切换位(或AA间HO信息)并发送切换命令。
图16示出了根据本公开实施方式的UE的切换过程。
参考图16,在操作16-110,UE识别是否从BS接收到切换命令。当接收到切换命令时,UE在操作16-120中识别AA内切换位(或AA内HO信息)。当存在AA内切换位(或AA内HO信息)时,在操作16-130中执行AA内切换。当不存在AA内切换位(或AA内HO信息)时或当存在AA间切换位(或AA间HO信息)时,在操作16-140中执行包括基于PKI的认证过程的AA间切换。
图17示出了根据本公开实施方式的当UE配置了与BS的连接时UE执行基于公钥基础设施(PKI)的认证的过程。
图17示出了本公开的UE与BS执行互认证的过程。
在图17中,在操作17-30,UE 17-10可先向RAN 17-15发送包括其自身6G标识符的认证请求消息以接入RAN 17-15。
在操作17-40,在从UE 17-10接收到认证请求消息之后,RAN 17-15可发送请求对RAN 17-15进行EAP-TLS(TLS启动)认证的消息(Auth-Req)。在操作17-40,RAN 17-15可将与相应认证标识符对应的6G密钥集标识符(6G_KSI)和用于防止安全特征从高版本降至低版本的架构间抗降维(an anti-bidding down between architectures,ABBA)参数插入到认证请求消息(Auth-Req)中,并且发送认证请求消息。
当从RAN 17-15接收到TLS启动信息时,在操作17-50,UE 17-10可向RAN 17-15发送包括TLS client_hello信息的认证响应消息(Auth-Resp)。TLS client_hello信息可以是随机值(或客户端种子值),用于防止未授权通信的人进行窃听。
当从UE 17-10接收到包括在认证响应消息(Auth-Resp)中的TLS client_hello信息时,在操作17-60,RAN 17-15可向UE 17-10发送包括TLS RAN_hello、TLS证书(RAN证书)、TLS RAN_key_exchange(临时会话密钥)、TLS certificate_request(是否请求UE证书)、TLS RAN_hello_done信息、6G KSI和ABBA中的至少一者的认证请求消息(Auth-Req)。TLSRAN_hello信息可包括随机值(或RAN种子值),用于防止未授权通信的人进行窃听。TLSRAN_key_exchange信息可包括用于防止中间人(MITM)的临时会话密钥(PreMasterSecret)。
此时,除非使用TLC紧急呼叫,否则RAN 17-15可设置certificate_request并验证UE证书。在操作17-70,UE 17-10可识别包括在RAN 17-15的认证请求消息(Auth-Req)中的RAN证书(TLS证书),并且执行RAN证书(TLS证书)是否是合法证书的认证。UE 17-10可识别RAN证书(TLS证书)的截止日期,检查RAN证书(TLS证书)的有效性,以及识别RAN证书(TLS证书)的内容。UE 17-10可通过检查是否存在取消证书发布、非法证书发布、证书错误、密钥泄露等来检查RAN证书(TLS证书)。
参考以下附图详细描述UE 17-10认证RAN证书的过程。
在识别出RAN 17-15的证书无误之后,在操作17-80,响应于识别,UE 17-10可向RAN发送包括TLS证书(UE证书)、TLS client_key_exchange(临时会话密钥)、TLScertificate_verify、TLS change_cipher_spec(可用的密码规范信息)和TLS结束信息中的至少一者的认证响应消息(Auth-Resp)。TLS client_key_exchange信息可包括用于防止中间人(MITM)的临时会话密钥(PreMasterSecret)。
根据实施方式,UE 17-10可通过RAN公钥对临时会话密钥(TLS client_key_exchange)进行加密,并且将会话密钥发送到RAN 17-15。
在接收到UE 17-10的证书之后,RAN 17-15在操作17-90识别UE 17-10的证书。RAN17-15可识别RAN证书(TLS证书)的截止日期,检查UE证书(TLS证书)的有效性,并且识别UE证书(TLS证书)的内容。RAN 17-15可通过检查是否存在取消证书发布、非法证书发布、证书错误、密钥泄露等来检查UE证书(TLS证书)的有效性。
RAN 17-15可识别UE 17-10的证书,从由UE 17-10发送的密码规范中选择出一个合适的规范,在TLS change_cipher_spec中指定相同的密码规范,并且在操作17-100向UE17-10发送包括TLS完成信息的认证请求消息(Auth-Req)。在操作17-100,身份验证请求消息(Auth-Req)可包括6G KSI和ABBA信息。
在操作17-110,UE 17-10可将认证响应消息(Auth-Resp)作为认证请求消息(Auth-Req)的响应消息发送到RAN 17-15。RAN 17-15可使用此时生成的EMSK中的最高有效256(128)位作为会话密钥(gNB密钥)。当生成EMSK时可使用伪随机函数(PRF),例如,可使用RFC4306通过包括第一随机值、第二随机值和临时会话密钥(PreMasterSecret)的参数来生成基于散列的RFC4306。认证响应消息(Auth-Resp)可包括EAP响应和EAP类型(EAP-TLS)。
在操作17-120,RAN 17-15可向UE 17-10发送EAP成功消息,EAP成功消息指示与UE17-10的认证正常(EAP成功)、包括6G-KSI和ABBA参数、并且引入gNB密钥。当接收到EAP成功消息时,如同RAN 17-15,UE 17-10可使用EMSK中的最高有效256(128)位作为会话密钥(gNB密钥)。
也就是说,UE 17-10可通过使用临时会话密钥(TLS client_key_exchange)和认证所需的信息来生成会话密钥。当生成EMSK时可使用伪随机函数(PRF),例如,可使用RFC4306通过包括第一随机值、第二随机值和临时会话密钥(PreMasterSecret)的参数来生成基于散列的RFC4306。RAN 17-15可通过使用临时会话密钥(TLS client_key_exchange)和认证所需的信息来生成会话密钥。根据实施方式,在生成会话密钥之后,RAN 17-15和UE17-10可讨论加密算法。
图18a和图18b示出了根据本公开实施方式的当UE与RAN执行基于PKI的认证时识别证书有效性的过程。
在图18a和图18b所示的实施方式中,提出了在互认证过程期间下载凭证撤销列表(CRL)并识别CRL是否包括相应RAN证书(或相应UE的证书)的操作。此时,由于UE 18-10不能执行通信因此不能向网络实体(例如,认证机构(CA)服务器)请求CRL,因此需要RAN 18-15向网络转发(或允许)UE 18-10的CRL请求消息的过程。
在操作18-30,UE 18-10可先向RAN 18-15发送包括自身6G标识符的认证请求消息以接入RAN 18-15。在从UE 18-10接收到认证请求消息之后,在操作18-40,RAN 18-15可向UE 18-10发送请求对RAN 18-15进行EAP-TLS认证(TLS启动)的消息(Auth-Req)。在操作18-40,RAN 18-15可将与相应认证标识符相对应的6G密钥集标识符(6G_KSI)和用于防止安全特征从高版本降至低版本的架构间抗降维(ABBA)参数插入到认证请求消息(Auth-Req)中,并且发送认证请求消息。
当从RAN 18-15接收到TLS启动信息时,在操作18-50,UE 18-10可向RAN 18-15发送包括TLS client_hello信息的认证响应消息(Auth-Resp)。
当从UE 18-10接收到包括在认证响应消息(Auth-Resp)中的TLS client_hello信息时,在操作18-60,RAN 18-15可向UE发送包括TLS RAN_hello、TLS证书(RAN证书)、TLSRAN_key_exchange、TLS certificate_request(是否请求UE证书)、TLS RAN_hello_done信息、6G KSI和ABBA参数中的至少一者的认证请求消息(Auth-Req)。
此时,除非使用TLS紧急呼叫,否则RAN 18-15可设置certificate_request并验证UE证书。UE 18-10应当验证包括在RAN 18-15的认证请求消息中的RAN证书。即使RAN证书是由CA合法签署,但由于之后RAN证书可能被撤销,因此UE 18-10需要额外确认。
因此,UE 18-10应当从包括RAN证书内容的CA或由CA指定用于证书验证的服务器接收记录RAN证书是否被撤销的凭证撤销列表(CRL)。
为了将CRL请求消息(CRL-req)传送到统一数据管理(UDM)18-30以接收用于RAN证书的CRL,在操作18-70,UE 18-10可将CRL请求消息(CRL-req(TLS证书撤销列表下载请求))发送到RAN 18-15。
当接收到CRL请求消息(CRL-req)时,由于UE 18-10尚未被认证,RAN 18-15应当基本上拒绝UE 18-10的NAS通信。然而,RAN 18-15可例外地允许CRL请求消息(CRL-req)的传输。在操作18-80,RAN 18-15可将相应的CRL请求消息(CRL-req(TLS证书撤销列表下载请求))转发到用作RAN证书CA的网络实体(NE),即这里的UDM 18-20。在该过程期间,UE 18-10可基于包括在分组中的消息(诸如UE的IP或当前信息),确定是否将相应的CRL请求消息(CRL-req)转发到RAN 18-15所知的用作CA的服务器。
在操作18-90,UDM 18-20可识别从UE 18-10接收到的CRL请求消息(CRL-Req),并且向RAN 18-15发送包括CRL信息的CRL响应消息(CRL-Resp(TLS证书撤销列表)),以发送UE18-10所请求的CRL信息。在操作18-100,RAN 18-15可将包括CRL信息的CRL响应消息(CRL-Resp(TLS证书撤销列表))转发到UE 18-10。
在操作18-110,UE 18-10可识别包括在RAN 18-15的认证请求消息中的RAN证书,并且识别RAN证书是否是合法证书。
在识别出RAN 18-15的证书无误之后,响应于在操作18-120的识别,UE 18-10可向RAN发送包括TLS证书(UE证书)、TLS client_key_exchange、TLS certificate_verify、TLSchange_cipher_spec(可用密码规范信息)和TLS结束信息中的至少一者的认证响应消息(Auth-Resp)。在接收到UE 18-10的证书之后,RAN 18-15可在操作18-130识别UE 18-10的证书。
根据实施方式,可在操作18-120和操作18-130之间执行从UDM 18-20接收UE证书的凭证撤销列表(CRL)的过程。
为了接收UE证书的CRL,RAN 18-15可将UE证书的CRL请求消息(CRL-req)发送到用作UE证书的CA的网络实体(NE),即这里的UDM 18-20。UDM 18-20可向RAN 18-15发送包括UE证书的CRL信息的CRL响应消息(CRL-Resp)。此后,RAN 18-15可识别UE证书的CRL信息,并且识别UE证书是否被撤销。
RAN 18-15可识别UE 18-10的证书,从由UE 18-10发送的密码规范中选择出一个合适的规范,在TLS change_cipher_spec中指定相同的密码规范,并且在操作18-140向UE18-10发送包括TLS完成信息的认证请求消息(Auth-Req)。认证请求消息还可包括6G KSI和ABBA信息。
在操作5-150,UE 8-10可向RAN 18-15发送空认证响应消息(Auth-Resp),作为对认证请求消息的响应消息。RAN 18-15使用此时生成的EMSK中的最高有效256(128)位作为gNB密钥。RAN 18-15可在操作18-160发送EAP成功消息,EAP成功消息指示与UE 18-10的认证正常(EAP成功)并且引入gNB密钥。当接收到EAP成功时,如同RAN 18-15,UE 18-10可使用EMSK中的最高有效256(128)位作为gNB密钥。
图19a和19b示出了根据本公开另一实施方式的当UE与RAN执行基于PKI的认证时识别证书的有效性的过程。
在图19a和19b所示的实施方式中,可在互认证过程期间通过在线证书状态协议(OCSP)来识别相应的证书(RAN证书或UE证书)是否被撤销。此时,由于UE 19-10不能执行通信因此不能向CA请求OCSP,因此RAN 19-15可执行允许UE 19-10的OSCP请求消息(OSCP-Req)的通信的过程。
在操作19-30,UE 19-10可先向RAN 19-15发送包括其自身6G标识符的认证请求消息以接入RAN 19-15。在从UE 19-10接收到认证请求消息之后,RAN 19-15可在操作19-40向UE 5-10发送请求对RAN 19-15进行EAP-TLS认证(TLS启动)的消息(Auth-Req)。
在操作19-40,RAN 19-15可将与相应认证的标识符对应的6G密钥集标识符(6G_KSI)和用于防止安全特征从高版本降至低版本的架构间抗降维(ABBA)参数插入到认证请求消息(Auth-Req)中。
当从RAN 19-15接收到TLS启动信息时,在操作19-50,UE 19-10可向RAN 19-15发送包括TLS client_hello信息的认证响应消息(Auth-Resp)。
当从UE 19-10接收到包括在认证响应消息(Auth-Resp)中的TLS RAN_hello消息时,在操作19-60,RAN 19-15可向UE 19-10发送包括TLS证书(RAN证书)、TLS RAN_key_exchange、TLS certificate_request(是否请求UE证书)、TLS RAN_hello_done信息、6GKSI和ABBA参数中的至少一者的认证请求消息(Auth-Req)。此时,除非使用TLC紧急呼叫,否则RAN 19-15可设置certificate_request并验证UE证书。
UE 19-10应当验证包括在RAN 19-15的认证请求消息中的RAN证书。即使RAN证书由CA合法地签署,但之后RAN证书可能被撤销,从而UE 19-10需要确认对RAN证书的撤销。UE19-10可向在线证书状态协议(OCSP)发出响应请求,OCSP是用于实时地识别包括在证书内容中的CA或者由CA指定用于验证证书的预定服务器中的相应RAN证书是否被撤销的协议。
为了实时识别相应RAN证书是否由UDM 19-20撤销,在操作19-70,UE 19-10可向RAN 19-15发送OSCP请求消息(OSCP-req(TLS证书状态请求))。
当从UE 19-10接收到OSCP请求消息(OSCP-req)时,由于UE 19-10尚未被认证,因此RAN 19-15应当基本上拒绝UE 19-10的NAS通信。然而,OSCP请求消息不对应于常规数据传输,因此RAN 19-15可例外地允许传输。
在操作19-80,RAN 19-15可将相应的OSCP请求消息(O-req(TLS证书状态请求))转发到用作RAN证书CA的NE,即这里的UDM 19-20。在该过程期间,UE 19-10可基于包括在分组中的消息(诸如UE的IP或当前信息),确定是否将相应的OSCP请求消息转发到RAN 19-15所知的用作CA的服务器。
在操作19-90,UDM 19-20可识别从UE 19-10接收到的OSCP请求消息,并且向RAN19-15发送包括UE 19-10所请求的RAN证书状态信息(TLS证书状态响应)的OSCP响应消息(OSCP-Resp)。在操作19-100,RAN 19-15可向UE 19-10重发相应的OSCP响应消息(OSCP-Resp(TLS证书状态响应))。
在操作19-110,UE 19-10识别包括在RAN 19-15的认证请求消息中的RAN证书,并且识别RAN证书是否是合法证书。
在识别出RAN 19-15的证书无误之后,在操作19-120中,UE 19-10可向RAN 19-15发送认证响应消息(Auth-Resp),该消息包括TLS证书(UE证书)、TLS client_key_exchange、TLS certificate_verify、TLS change_cipher_spec(可用的密码规范信息)和TLS结束信息中的至少一者。
根据实施方式,在操作19-120和操作19-130之间,可通过针对UE证书的在线证书状态协议(OCSP)来执行识别UE证书是否被撤销的过程。
为了实时识别UE证书是否由UDM 19-20撤销,RAN 19-15可将UE证书的OSCP请求消息(TLS证书状态请求)发送到用作RAN证书CA的NE,即这里的UDM 19-20。UDM 19-20可向RAN19-15发送包括RAN 19-15所请求的UE证书状态信息(TLS证书状态响应)的OSCP响应消息。此后,RAN 19-15可基于UE证书状态信息(TLS证书状态响应)来识别相应的UE证书是否被撤销。
在操作19-130,RAN 19-15接收UE 19-10的证书并且识别UE 19-10的证书。RAN19-15可识别UE 19-10的证书,从由UE 19-10发送的密码规范中选择出一个合适的规范,在TLS change_cipher_spec中指定相同的密码规范,并且在操作19-140中向UE 19-10发送包括TLS完成信息的认证请求消息(Auth-Req)。在操作19-140,认证响应消息可包括6G KSI和ABBA信息。在操作19-150,UE 19-10可向RAN发送空Auth-Resp消息作为其响应消息。RAN19-15使用此时生成的EMSK中的最高有效256(128)位作为gNB密钥。
在操作19-160,RAN 19-15可向UE 19-10发送的EAP成功消息,EAP成功消息指示与UE 19-10的认证正常(EAP成功)并且引入gNB密钥。当接收到EAP成功时,如同RAN 19-15,UE19-10可使用EMSK中的最高有效256(128)位作为gNB密钥。
图20a和图20b示出了根据本公开另一实施方式的当UE与RAN执行基于PKI的认证时识别证书有效性的过程。
在图20a和图20b所示的实施方式中,提出了在互认证过程期间下载凭证撤销列表(CRL)并识别CRL是否包括相应RAN证书的操作。此时,由于UE 20-10不能执行通信因此不能向网络实体(例如,认证机构(CA)服务器)请求CRL,因此需要RAN 20-15将UE 5-10的CRL请求消息向网络转发(或允许UE 5-10的CRL请求消息进入网络)的过程。
在图20a和图20b所示的实施方式中,在UE 20-10和RAN 20-15之间进行临时互认证之后,在操作20-140和操作20-150,UE 20-10和UDM 20-20直接发送和接收CRL请求/响应消息。
在操作20-30,UE 20-10可先向RAN 20-15发送包括其自身6G标识符的认证请求消息以接入RAN 20-15。
在从UE 20-10接收到认证请求消息之后,RAN 20-15可在操作20-40中向UE 20-10发送请求对RAN 20-15进行EAP-TLS验证(TLS启动)的消息(Auth-Req)。
在操作20-40,RAN 20-15可将与相应认证标识符对应的6G密钥集标识符(6G_KSI)和用于防止安全特征从高版本降至低版本的架构间抗降维(ABBA)参数插入到认证请求消息(Auth-Req)中,并且将认证请求消息发送到UE 20-10。
当从RAN 20-15接收到TLS启动信息时,在操作20-50,UE 20-10可向RAN 20-15发送包括TLS client_hello信息的认证响应消息(Auth-Resp)。
当从UE 20-10接收到包括在认证响应消息(Auth-Resp)中的TLS client_hello信息时,在操作20-60,RAN 20-15可向UE 20-10发送包括TLS RAN_hello、TLS证书(RAN证书)、TLS RAN_key_exchange、TLS certificate_request(是否请求UE证书)、TLS RAN_hello_done信息、6G KSI和ABBA参数中的至少一者的认证请求消息(Auth-Req)。
此时,除非使用TLC紧急呼叫,否则RAN 20-15可设置certificate_request并验证UE证书。UE 20-10应当验证包括在RAN 20-15的认证请求消息中的RAN证书。即使RAN证书由CA合法地签署,但之后RAN证书可能被撤销,因此需要UE 20-10进行确认。
因此,UE 20-10应当从包括RAN证书内容的CA或由CA指定用于证书验证的服务器接收记录RAN证书是否被撤销的凭证撤销列表(CRL)。然而,由于UE 20-10尚未被认证,因此不能执行AS和NAS通信。
在操作20-70,UE 20-10可仅利用RAN证书临时执行认证,而不验证证书是否被撤销。在识别出RAN的证书无误之后,在操作20-80,UE 20-10可响应于识别,向RAN 20-15发送包括TLS证书(UE证书)、TLS client_key_exchange、TLS certificate_verify、TLSchange_cipher_spec(可用的密码规范信息)和TLS结束信息中的至少一者的认证响应消息。
在操作20-90,RAN 20-15接收UE 20-10的证书并且识别UE 20-10的证书。RAN 20-15可识别UE 20-10的证书,从由UE 20-10发送的密码规范中选择出一个合适的规范,在TLSchange_cipher_spec中指定相同的密码规范,并且在操作20-100中发送包括TLS完成信息的认证请求消息。在操作20-100,认证请求消息还可包括6G KSI和ABBA信息。在操作20-110,UE 20-10可向RAN 20-15发送空Auth-Resp消息作为其响应消息。RAN 20-15使用此时生成的EMSK中的最高有效256(128)位作为gNB密钥。在操作20-120,RAN 20-15可向UE 20-10发送EAP成功消息,EAP成功消息指示与UE 20-10的认证正常(EAP成功)并且引入gNB密钥。当接收到EAP成功时,如同RAN 20-15,UE 20-10可使用EMSK中的最高有效256(128)位作为gNB密钥。
对于将来的NAS通信,在操作20-130,UE 20-10可在核心网和UE之间执行认证。
UE 20-10可在NAS通信之后验证临时认证的RAN证书是否被撤销。在操作20-140,UE 20-10可向UEM 20-20发送针对RAN证书的CRL请求消息((CRL-req))。在操作20-160,UDM20-20可识别从UE 20-10接收到的CRL请求消息((CRL-req)),并且将UE 20-10所请求的RAN证书的CRL信息发送到UE 20-10。
此后,在操作20-160,UE 20-10可识别在CRL中是否存在包括在RAN 20-15的认证请求消息中的RAN证书,并且识别RAN证书是否是合法证书。
根据实施方式,RAN 20-15可向UEM 20-20发送针对UE证书的CRL请求消息((CRL-req))。UDM 20-20可识别针对UE证书的CRL请求消息(CRL-Req),并且将RAN 20-15所请求的UE证书的CRL信息发送到RAN 20-15。
图21a和21b示出了根据本公开另一实施方式的当UE与RAN执行基于PKI的认证时识别证书有效性的过程。
在图21a和21b的实施方式中,在互认证过程中,UE 21-10需要通过在线证书状态协议(OCSP)识别相应RAN 21-15的证书是否被撤销。然而,由于UE 21-10不能执行通信因此不能向CA请求OCSP,因此UE 21-10可仅临时识别RAN证书,并且在将来NAS认证结束之后验证RAN证书是否被撤销。
在图21a和21b所示的实施方式中,在UE 21-10和UDM 21-20在UE 21-10和RAN 21-15之间进行临时互认证之后,在操作21-140和操作21-150,直接发送和接收OSCP请求/响应消息。
在操作21-30,UE 21-10可先向RAN 21-15发送包括其自身6G标识符的认证请求消息以接入RAN 21-15。
在从UE 21-10接收到认证请求消息之后,RAN 21-15向UE 21-10可在操作21-40发送请求对RAN 21-15进行EAP-TLS认证(TLS启动)的消息(Auth-Req)。在操作21-40,RAN 21-15可将与相应认证标识符对应的6G密钥集标识符(6G_KSI)和用于防止安全特征从高版本降至低版本的架构间抗降维(ABBA)参数插入到认证请求消息(Auth-Req)中,并且将认证请求消息发送到UE 21-10。
当从RAN 21-15接收到TLS启动信息时,在操作21-50,UE 21-10可向RAN 21-15发送包括TLS client_hello信息的认证响应消息(Auth-Resp)。
当从UE 21-10接收到包括在认证响应消息中的TLS client_hello信息时(Auth-Resp),在操作21-60,RAN 21-15可向UE 21-10发送包括TLS RAN_hello、TLS证书(RAN证书)、TLS RAN_key_exchange、TLS certificate_request(是否请求UE证书)、TLS RAN_hello_done信息、6G KSI和ABBA参数中的至少一者的认证请求消息(Auth-Req)。
此时,除非使用TLC紧急呼叫,否则RAN 21-15可设置certificate_request并验证UE证书。UE 21-10应当验证包括在RAN 21-15的认证请求消息中的RAN证书。
即使RAN证书由CA合法地签署,但之后RAN证书可能被撤销,因此UE 21-10需要确认对RAN证书的撤销。因此,UE 21-10应当从包括在证书内容中的CA或由CA指定用于证书验证的服务器实时地接收指示相应RAN证书是否撤销的OSCP。
然而,由于UE 21-10尚未被认证因此不能执行AS和NAS通信,因此在操作21-70,UE21-10可仅利用RAN证书临时执行认证,而不验证证书是否被撤销。
在识别出RAN 21-15的证书无误之后,在操作21-80,UE 21-10可响应于识别,向RAN 21-15发送包括TLS证书(UE证书)、TLS client_key_exchange、TLS certificate_verify、TLS change_cipher_spec(可用的密码规范信息)和TLS结束信息中的至少一者的认证响应消息。
在操作21-90,RAN 21-15接收UE 21-10的证书并识别UE 21-10的证书。RAN 21-15可识别UE的证书,从由UE 21-10发送的密码规范中选择出一个合适的规范,在TLS change_cipher_spec中指定相同的密码规范,并且在操作20-100中向UE 21-10发送包括TLS完成信息的认证请求消息(Auth-Req)。在操作21-100,认证响应消息可包括6G KSI和ABBA信息。
在操作21-110中,UE 21-10可向RAN 21-15发送空Auth-Resp消息作为响应消息。RAN 21-15使用此时生成的EMSK中的最高有效256(128)位作为gNB密钥。
在操作21-120,RAN 21-15可向UE 21-10发送EAP成功消息,EAP成功消息指示与UE21-10认证正常并且引入gNB密钥。当接收到EAP成功时,如同RAN 21-15,UE 21-10可使用EMSK中的最高有效256(128)位作为gNB密钥。
对于将来的NAS通信,在操作21-130,UE 21-10可在核心网和UE之间执行认证。UE21-10可在NAS通信之后验证临时认证的证书是否被撤销。为此,在操作21-140,UE 21-10可向UDM 21-20发送OSCP请求消息(OCSP-req)。在操作21-150,UDM 21-20可识别从UE 21-10接收到的OSCP请求消息(OCSP-Req),并且向UE 21-10发送包括UE 21-10所请求的OCSP信息的OSCP响应消息(OCSP-Resp)。
在操作21-160,UE 21-10基于OSCP响应消息识别RAN 21-15的证书是否被撤销,并且识别RAN证书是否是合法证书。
根据实施方式,RAN 21-15可向UEM 21-20发送针对UE证书的OSCP请求消息(OSCP-req)。UDM 21-20可识别UE证书的OSCP请求消息(OSCP-Req),并且将RAN 21-15所请求的UE证书的OSCP信息发送到RAN 21-15。
图22是示出根据本公开实施方式的UE装置和RAN装置的框图。
根据图22,UE 22-100包括收发器22-110、控制器22-120和存储单元22-130。然而,UE 22-100的元件不限于上述示例,并且UE 22-100可包括例如比所示元件更多或更少的元件。此外,收发器22-110、存储单元22-130和控制器22-120可以以一个芯片的形式实现。
收发器22-110可向RAN 22-140发送信号并从RAN 22-140接收信号。信号可包括控制信息和数据。为此,收发器22-110可包括用于上变频和放大发送信号的RF发送器,以及用于低噪声放大和下变频接收信号的RF接收器。然而,这仅是收发器22-110的实施方式,而且收发器22-110的元件不限于RF发送器和RF接收器。此外,收发器22-110可通过无线电信道接收信号,将信号输出到控制器22-120,并且通过无线电信道发送从控制器22-120输出的信号。此外,收发器22-110可分别包括用于第一无线电通信技术的RF收发器、以及用于第二无线电通信技术的RF收发器,其中一个收发器可根据第一无线电通信技术和第二无线电通信技术执行物理层处理。
存储单元22-130可存储UE 22-100操作所需的程序和数据。此外,存储单元22-130可存储包括在由UE 22-100发送和接收的信号中的控制信息或数据。存储单元22-130可由诸如ROM、RAM、硬盘、CD-ROM和DVD等的存储介质或存储介质的组合来配置。存储单元22-130的数量可以是多个。
控制器22-120可控制一系列过程,以允许UE 22-100根据本公开的实施方式进行操作。例如,控制器22-120可计算和确定通过收发器22-110从RAN 22-140接收到的信息。控制器22-120的数量可以是多个,并且控制器22-120可通过执行存储在存储单元22-130中的程序来执行控制UE 22-100元件的操作。
RAN 22-140包括收发器22-150、控制器22-160、连接器22-170和存储单元22-180。然而,RAN 22-140的元件不限于上述示例,并且RAN 22-150可包括例如比所示元件更多或更少的元件。此外,收发器22-150、存储单元22-180和控制器22-160可以以一个芯片的形式实现。
收发器22-150可向UE 22-100发送信号和从UE 22-100接收信号。信号可包括控制信息和数据。为此,收发器22-150可包括用于上变频和放大发送信号的RF发送器,以及用于低噪声放大和下变频接收信号的RF接收器。然而,这仅是收发器22-150的实施方式,而且收发器22-150的元件不限于RF发送器和RF接收器。此外,收发器22-150可通过无线电信道接收信号,将信号输出到控制器22-160,并且通过无线电信道发送从控制器22-160输出的信号。
控制器22-160可控制一系列过程,以允许RAN 22-140根据本公开的实施方式进行操作。例如,控制器22-160可生成要发送到UE 22-100的信息,并且通过收发器22-150将其发送到UE 22-100。控制器22-160的数量可以是多个,并且控制器22-160可通过执行存储在存储单元22-180中的程序来执行控制RAN 22-140元件的操作。
存储单元22-180可存储RAN操作所需的程序和数据。此外,存储单元22-180可存储包括在由RAN发送和接收的信号中的控制信息和数据。存储单元22-180可由诸如ROM、RAM、硬盘、CD-ROM和DVD等的存储介质或存储介质的组合来配置。存储单元22-140的数量可以是多个。
连接器22-170是用于连接RAN 22-140和核心网的设备,并且可执行用于将消息发送到物理层处理以进行消息发送和接收的操作和核心网,以及执行用于从核心网接收消息的操作。
根据在权利要求书中或本公开说明书中描述的各种实施方式的方法可通过硬件、软件或硬件和软件的组合来实现。
当所述方法由软件实现时,可提供用于存储一个或多个程序(软件模块)的计算机可读存储介质。存储在计算机可读存储介质中的一个或多个程序可被配置为由电子设备内的一个或多个处理器执行。至少一个程序可包括指令,该指令使电子设备执行如所附权利要求书所定义和/或本文所公开的根据本公开各种实施方式的方法。
程序(软件模块或软件)可存储在包括随机存取存储器和闪存的非易失性存储器、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、磁盘存储设备、光盘ROM(CD-ROM)、数字多功能盘(DVD)、或其它类型的光存储设备、或磁带盒。或者,这些存储器中的一些或全部的任何组合可形成存储程序的存储器。此外,多个这种存储器可被包括在电子设备中。
此外,程序可被存储在可附接存储设备中,这些存储设备可通过诸如因特网、内联网、局域网(LAN)、广域网(WLAN)和存储区域网(SAN)等的通信网络或其组合来接入电子设备。这种存储设备可经由外部端口接入电子设备。此外,通信网络上的单独存储设备可访问便携式电子设备。
在本公开的上述详细实施方式中,根据所呈现的详细实施方式,包括在本公开中的元件以单数或复数来表示。然而,为了描述的方便,单数形式或复数形式被适当地选择为所呈现的情况,并且本公开不受以单数或复数表示的元件的限制。因此,以复数表示的元件也可包括单个元件,或者以单数表示的元件也可包括多个元件。
尽管已经在本公开的详细描述中描述了具体实施方式,但显然可,在不脱离本公开范围的前提下对其进行各种修改和改变。因此,本公开的范围不应被限定为限于所述实施方式,而应当由所附权利要求及其等同形式来限定。

Claims (15)

1.一种操作服务基站BS的方法,所述方法用于在无线通信系统中执行切换的情况下对接入层AS部分进行互认证,所述方法包括:
从用户设备UE接收测量报告;
基于所述测量报告,识别所述UE是否满足切换条件;
在所述UE满足所述切换条件的情况下,识别所述UE为进行切换而连接到的目标BS与所述服务BS是否属于相同认证区域AA;以及
向所述UE发送切换命令,所述切换命令根据所述目标BS与所述服务BS是否属于相同AA而变化。
2.根据权利要求1所述的方法,其中,在所述目标BS与所述服务BS属于相同AA的情况下,所述切换命令包括AA内切换信息,以及
在所述目标BS与所述服务BS不属于相同AA的情况下,所述切换命令包括AA间切换信息。
3.根据权利要求2所述的方法,其中,在发送了所述AA内切换信息的情况下,不在所述UE与所述目标BS之间执行基于公钥基础设施PKI的互认证,并且由所述UE针对所述目标BS执行密钥更新过程,以及
在发送了所述AA间切换信息的情况下,在所述UE与所述目标BS之间执行所述基于PKI的互认证。
4.根据权利要求1所述的方法,其中,所述AA是由物理上或逻辑上相同的计算节点提供服务的一组小区。
5.根据权利要求4所述的方法,其中,所述相同的计算节点是逻辑上或物理上等同的计算节点,
所述逻辑上相同的计算节点被实现为相同运营商的软件、具有相同权限的软件或执行相同过程的软件,以及
所述物理上相同的计算节点被实现为相同运营商的硬件、具有相同权限的硬件或相同的硬件部件。
6.根据权利要求3所述的方法,其中,在接收到所述AA间切换信息的情况下,所述UE与所述服务BS彼此分离,然后在所述UE与所述目标BS之间执行所述基于PKI的互认证。
7.根据权利要求3所述的方法,其中,在发送了所述AA间切换信息的情况下,在所述UE与所述目标BS之间执行所述基于PKI的互认证,以及
所述服务BS向所述目标BS转发基于PKI的认证分组。
8.根据权利要求3所述的方法,其中,在发送了所述AA间切换信息的情况下,在所述UE与所述目标BS之间执行所述基于PKI的互认证,
所述服务BS向网络实体发送基于PKI的认证分组,以及
所述网络实体向所述目标BS传送所述基于PKI的认证分组。
9.一种操作用户设备UE的方法,用于在无线通信系统中执行切换的情况下对接入层AS部分进行互认证,所述方法包括:
从服务基站BS接收切换命令,所述切换命令根据所述UE为进行切换而连接到的目标BS与所述服务BS是否属于相同认证区域AA而变化;以及
基于所述切换命令中包括的信息,确定是否与所述目标BS执行基于公钥基础设施PKI的互认证。
10.根据权利要求1所述的方法,其中,在所述目标BS与所述服务BS属于相同AA的情况下,所述切换命令包括AA内切换信息,以及
在所述目标BS与所述服务BS不属于相同AA的情况下,所述切换命令包括AA间切换信息。
11.根据权利要求10所述的方法,其中,在接收到所述AA内切换信息的情况下,不在所述UE与所述目标BS之间执行基于公钥基础设施PKI的互认证,并且由所述UE针对所述目标BS执行密钥更新过程,以及
在接收到所述AA间切换信息的情况下,在所述UE与所述目标BS之间执行所述基于PKI的互认证。
12.根据权利要求9所述的方法,其中,所述AA是由物理上或逻辑上相同的计算节点提供服务的一组小区。
13.根据权利要求11所述的方法,其中,在接收到所述AA间切换信息的情况下,所述UE与所述服务BS分离,然后与所述目标BS执行所述基于PKI的互认证。
14.一种服务基站BS,所述BS在无线通信系统中执行切换的情况下支持对接入层AS部分进行互认证,所述BS包括:
收发器;以及
控制器,连接到所述收发器,并且所述控制器被配置为控制所述收发器并执行控制以:
从用户设备UE接收测量报告,
基于所述测量报告,识别所述UE是否满足所述切换条件,在所述UE满足所述切换条件的情况下,
识别所述UE为进行切换而连接到的目标BS与所述服务BS是否属于相同认证区域AA,以及
向所述UE发送切换命令,所述切换命令根据所述目标BS与所述服务BS是否属于相同AA而变化。
15.一种用户设备UE,所述UE用于在无线通信系统中执行切换的情况下对接入层AS部分进行互认证,所述UE包括:
收发器;以及
控制器,连接到所述收发器,并且所述控制器被配置为控制所述收发器并执行控制以:
从服务基站BS接收切换命令,所述切换命令根据所述UE为进行切换而连接到的目标BS与所述服务BS是否属于相同认证区域AA而变化,以及
基于所述切换命令中包括的信息,确定是否与所述目标BS执行基于公钥基础设施PKI的互认证。
CN202180084058.7A 2020-12-14 2021-12-13 考虑在下一代无线通信系统中进行切换的对接入层进行基于公钥基础设施的认证的方法 Pending CN116615930A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020200174228A KR20220084601A (ko) 2020-12-14 2020-12-14 차세대 이동 통신 시스템에서 ho를 고려한 pki기반 as 인증 방법
KR10-2020-0174228 2020-12-14
PCT/KR2021/018879 WO2022131719A1 (ko) 2020-12-14 2021-12-13 차세대 이동 통신 시스템에서 핸드오버를 고려한 공개 키 인프라스트럭쳐 기반 액세스 계층 인증 방법

Publications (1)

Publication Number Publication Date
CN116615930A true CN116615930A (zh) 2023-08-18

Family

ID=82059327

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180084058.7A Pending CN116615930A (zh) 2020-12-14 2021-12-13 考虑在下一代无线通信系统中进行切换的对接入层进行基于公钥基础设施的认证的方法

Country Status (5)

Country Link
US (1) US20230422106A1 (zh)
EP (1) EP4231708A4 (zh)
KR (1) KR20220084601A (zh)
CN (1) CN116615930A (zh)
WO (1) WO2022131719A1 (zh)

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10091648B2 (en) * 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
KR101531513B1 (ko) * 2008-02-04 2015-07-06 엘지전자 주식회사 랜덤 접속의 접속 지연 재개 방법
US20100172500A1 (en) * 2009-01-05 2010-07-08 Chih-Hsiang Wu Method of handling inter-system handover security in wireless communications system and related communication device
CN101925059B (zh) * 2009-06-12 2014-06-11 中兴通讯股份有限公司 一种切换的过程中密钥的生成方法及系统
CN107371155B (zh) * 2016-05-13 2021-08-31 华为技术有限公司 通信安全的处理方法、装置及系统
US10728756B2 (en) * 2016-09-23 2020-07-28 Qualcomm Incorporated Access stratum security for efficient packet processing
WO2018201381A1 (zh) * 2017-05-04 2018-11-08 华为技术有限公司 一种密钥生成方法及相关设备

Also Published As

Publication number Publication date
WO2022131719A1 (ko) 2022-06-23
KR20220084601A (ko) 2022-06-21
EP4231708A4 (en) 2024-04-17
US20230422106A1 (en) 2023-12-28
EP4231708A1 (en) 2023-08-23

Similar Documents

Publication Publication Date Title
US11395365B2 (en) Method and system for handling PDCP operation in wireless communication system
US11265759B2 (en) Methods and apparatuses for transmitting and receiving data in wireless communication system
CN111316714B (zh) 无线通信系统中的无线通信的方法和装置
US11553558B2 (en) Method and apparatus for accelerating ciphering and deciphering in wireless communication system
JP2021527990A (ja) 移動通信システムで効率的なパケット重複送信のための方法及び装置
CN115767629A (zh) 用于无线通信系统中的无线通信的方法和装置
US11503510B2 (en) Method and apparatus for resource management for conditional handover in wireless communication system
US11032702B2 (en) Method and apparatus for identifying security key in next generation mobile communication system
JP7378569B2 (ja) 非認識応答モード(um)データ無線ベアラ(drb)のためのロスレス送信
WO2014175091A1 (ja) 通信制御方法、ユーザ端末、セルラ基地局、及びアクセスポイント
WO2012146076A1 (zh) 数据传输方法、设备及系统
US20220167166A1 (en) Method and device for authenticating access stratum in next generation wireless communication system
CN111567095A (zh) 用于无线通信系统中的无线通信的方法和装置
EP4231708A1 (en) Method for authenticating access layer on basis of public key infrastructure in consideration of handover in next-generation wireless communication system
US20230086337A1 (en) Methods, infrastructure equipment and wireless communications networks
WO2015064475A1 (ja) 通信制御方法、認証サーバ及びユーザ端末
CN117376913A (zh) 一种被用于无线通信的方法和设备
CN112740731B (zh) 下一代移动通信系统中标识安全密钥的方法和装置
EP4297478A1 (en) Data segmentation method for accelerating data processing, and method and device for reporting reception state in next generation mobile communication system
US11641580B2 (en) Method and device used for wireless communication
US20240163673A1 (en) Method and device for applying integrity protection or verification procedure to enhance security in wireless communication system
CN118104265A (zh) 下一代移动通信系统中增强as层安全性的方法及装置
CN115278929A (zh) 一种被用于无线通信的方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination