ES2926848T3 - Métodos, aparatos, sistema y medio de almacenamiento legible por ordenador para obtener capacidades de seguridad del equipo del usuario - Google Patents

Métodos, aparatos, sistema y medio de almacenamiento legible por ordenador para obtener capacidades de seguridad del equipo del usuario Download PDF

Info

Publication number
ES2926848T3
ES2926848T3 ES18872268T ES18872268T ES2926848T3 ES 2926848 T3 ES2926848 T3 ES 2926848T3 ES 18872268 T ES18872268 T ES 18872268T ES 18872268 T ES18872268 T ES 18872268T ES 2926848 T3 ES2926848 T3 ES 2926848T3
Authority
ES
Spain
Prior art keywords
security capabilities
security
menb
message
capabilities
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES18872268T
Other languages
English (en)
Inventor
Ahmad Shawky Muhanna
He Li
Mazin Ali Al-Shalash
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2926848T3 publication Critical patent/ES2926848T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Se proporcionan un método y un aparato para entregar al equipo de usuario (UE) nuevas capacidades de seguridad de radio (NR) y el interfuncionamiento de la entidad de gestión de la movilidad. En las realizaciones, agregar las capacidades de seguridad de UE NR en un nuevo elemento de información sobre un estrato de no acceso (NAS) es compatible con una entidad de gestión de movilidad heredada y elimina cualquier potencial de ataque de oferta y es más ventajoso y sirve a la solución de seguridad. mejor. Siempre que el UE esté conectado a la evolución a largo plazo (LTE) y todas las capacidades de seguridad del UE, incluidas las capacidades de seguridad de LTE, se hayan reproducido correctamente y con éxito en el mensaje de comando de modo de seguridad (SMC) del NAS, el UE puede no considerar la ausencia del Capacidades de seguridad de UE NR en NAS SMC como una vulnerabilidad de seguridad. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Métodos, aparatos, sistema y medio de almacenamiento legible por ordenador para obtener capacidades de seguridad del equipo del usuario
Campo técnico
La presente descripción se refiere a tecnologías de comunicaciones inalámbricas, en particular, a un método y dispositivo para obtener capacidades de seguridad del equipo de usuario (UE).
Antecedentes
Con el desarrollo de las tecnologías de las comunicaciones y debido a la variedad de servicios, el tráfico de servicios de los usuarios aumenta y el requisito de velocidad de la red es más estricto. Para proporcionar una mejor experiencia de usuario, los operadores continúan mejorando las capacidades y funciones de los dispositivos de red y las soluciones de red. Una Red de Evolución a Largo Plazo (LTE) ha llevado al desarrollo de la red de radio de próxima generación, también conocida como red de quinta generación (5G). Sin embargo, los operadores de red no pueden cambiar de una vez la tecnología con la que trabajan. Por lo tanto, los equipos de red que admiten diferentes tecnologías de acceso de radio (RAT) pueden coexistir en la misma red.
El documento 3GPP S3-172372 publicado el 9 de octubre de 2017 describe posibles métodos de negociación de algoritmos para su uso entre un UE y SgNB en EDCE5 y propone un camino a seguir en las soluciones.
El documento 3GPP S3-172406 publicado el 9 de octubre de 2017 describe los requisitos para la selección de algoritmos que se utilizarán entre Ue y AMF, tal como el cifrado NAS y la protección de integridad NAS.
Resumen
La invención se define por las reivindicaciones adjuntas. Las modalidades y aspectos descritos de aquí en lo adelante que no están cubiertos por las reivindicaciones no se presentan como modalidades de la invención, sino como ejemplos útiles para comprender la invención.
En un aspecto, se proporciona un método para obtener nuevas capacidades de seguridad de tecnología de acceso por radio (NR) del UE. En el método, una estación base de destino de un traspaso X2 envía una indicación a la estación base de origen, la indicación indica un UE para enviar las capacidades de seguridad de NR del UE. La estación base de origen envía la indicación al UE en un mensaje de reconfiguración de conexión de control de recursos de radio. El UE envía al UE capacidades de seguridad de NR. Para mayor claridad, NR también puede referirse a "nueva radio" o "radio de próxima generación".
En otro aspecto, se proporciona un método para obtener capacidades de seguridad de radio de próxima generación (NR) del UE. En este método, en un traspaso X2 de un Nodo B evolucionado heredado (eNB) a un Nodo maestro evolucionado B (MeNB), el MeNB envía un mensaje de solicitud de cambio de trayectoria a una entidad de gestión de movilidad mejorada (MME) para solicitar las capacidades de seguridad de NR del UE. La MME mejorada envía las capacidades de seguridad de NR del UE al MeNB en el mensaje de acuse de recibo de cambio de trayectoria. En otro aspecto, se proporciona un método para obtener capacidades de seguridad de NR del UE. En este método, un UE puede activar una actualización del área de seguimiento (TAU) para enviar las capacidades de seguridad de NR del UE a un MeNB. El UE puede recibir una indicación en un traspaso X2 o en un traspaso S1, la indicación indica que se requiere una TAU para enviar las capacidades de seguridad de NR del UE. El X2 y el S1 son interfaces entre dispositivos de infraestructura de red.
En otro aspecto, se proporciona un método para obtener capacidades de seguridad en un traspaso. En el método, una estación base de destino recibe un mensaje de solicitud de traspaso desde una estación base de origen y envía un mensaje de acuse de recibo de solicitud de traspaso a la estación base de origen, el mensaje de acuse de recibo de solicitud de traspaso incluye una indicación que indica un equipo de usuario (UE) para enviar las capacidades de seguridad de radio de próxima generación (NR) del UE. La estación base de destino recibe las capacidades de seguridad de NR del UE desde el UE.
En una implementación, la estación base de destino recibe las capacidades de radio de NR del UE en el mensaje de solicitud de traspaso. Las capacidades de seguridad de NR del UE desde el UE pueden incluirse en un mensaje de reconfiguración completa de la conexión de control de recursos de radio.
Opcionalmente, las capacidades de seguridad de NR del UE desde el UE se incluyen en un mensaje de confirmación de traspaso.
En otra implementación de acuerdo con el aspecto y la implementación anteriores, la estación base de destino envía un mensaje secundario de solicitud de adición del Nodo B de próxima generación (SgNB) a un SgNB, en donde el mensaje de solicitud de adición secundario incluye las capacidades de seguridad de NR del UE.
En un aspecto, se proporciona un método para obtener capacidades de seguridad. En el método, un UE recibe una indicación en un traspaso, en donde la indicación indica enviar capacidades de seguridad de radio de próxima generación (NR) del Ue en un procedimiento de actualización del área de seguimiento. El UE envía un mensaje de solicitud de actualización del área de seguimiento a una estación base de destino del traspaso, en donde el mensaje de solicitud de actualización del área de seguimiento comprende las capacidades de seguridad de NR del UE.
En una implementación, la indicación se recibe en un mensaje de comando de traspaso en un traspaso S1. Alternativamente, la indicación se recibe en un mensaje de reconfiguración de conexión de control de recursos de radio en un traspaso X2.
En un aspecto de la presente descripción, se proporciona una estación base. La estación base comprende un receptor configurado para recibir un mensaje de solicitud de traspaso desde una estación base de origen; y un transmisor configurado para enviar un mensaje de acuse de recibo de solicitud de traspaso a la estación base de origen, el mensaje de acuse de recibo de solicitud de traspaso incluye una indicación que indica un equipo de usuario (UE) para enviar capacidades de seguridad de radio de próxima generación (NR) del UE. El receptor está además configurado para recibir las capacidades de seguridad de NR del UE desde el UE.
En una implementación, las capacidades de seguridad de NR del UE desde el UE se incluyen en un mensaje de reconfiguración de la conexión de control de recursos de radio completa.
En otra implementación, el transmisor se configura además para enviar un mensaje secundario de solicitud de adición del Nodo B de próxima generación (SgNB) a un SgNB, en donde el mensaje secundario de solicitud de adición incluye las capacidades de seguridad de NR del UE.
En un aspecto, se proporciona un método. En el método, una MME recibe un mensaje de solicitud de conexión enviado desde un UE, en donde el mensaje de solicitud de conexión comprende capacidades de seguridad del UE que incluyen capacidades de seguridad de radio de próxima generación (NR) del UE. La MME recupera las capacidades de seguridad del UE, excepto las capacidades de seguridad de NR del UE, y envía un mensaje de comando del modo de seguridad del estrato sin acceso (NAS) que comprende las capacidades de seguridad del UE, excepto las capacidades de seguridad de NR del UE. El UE recibe el mensaje de comando del modo de seguridad NAS y, mientras el UE está conectado a la red LTE, acepta las capacidades de seguridad del UE. El UE continúa el procedimiento de conexión.
En un aspecto, se proporciona una estación base. La estación base comprende un receptor para recibir un mensaje de solicitud de traspaso desde una estación base de origen, y un transmisor para transmitir un mensaje de acuse de recibo de solicitud de traspaso a la estación base de origen, el mensaje de acuse de recibo de solicitud de traspaso incluye una indicación que indica un equipo de usuario (UE) para enviar capacidades de seguridad de radio de próxima generación (NR) del UE, en donde la estación base recibe además capacidades de seguridad de NR del UE desde el UE.
En una implementación, la estación base recibe las capacidades de radio de NR del UE en el mensaje de solicitud de traspaso. Opcionalmente, las capacidades de seguridad de NR del UE desde el UE se incluyen en un mensaje de reconfiguración de la conexión de control de recursos de radio completa. Alternativamente, las capacidades de seguridad de NR del UE desde el UE se incluyen en un mensaje de confirmación de traspaso.
En los aspectos o implementaciones, durante un traspaso X2 desde un eNB al MeNB, si el MeNB recibe la capacidad de soporte de radio ENDC del UE, si el UE está autorizado para el servicio ENDC según la lista de restricciones, pero no recibe las capacidades de seguridad de NR del UE y las capacidades de radio de NR del UE, el MeNB no puede agregar SgNB hasta que se complete el traspaso X2. Hacer que el UE envíe sus capacidades de seguridad de NR en el mensaje de reconfiguración de la conexión RRC completa al MeNB de destino parece sencillo. Para evitar que el UE envíe sus capacidades de seguridad de NR durante cada traspaso X2, el MeNB incluye una bandera para que el UE envíe sus capacidades de seguridad de NR de UE. Al mismo tiempo, el MeNB no recibe las capacidades de seguridad de NR del UE ni las capacidades de radio de NR del UE, el MeNB deberá incluir una bandera al UE para enviar sus capacidades de seguridad de NR de UE en el mensaje de reconfiguración de la conexión RRC completa. Cuando el UE recibe esta bandera, el UE incluye sus capacidades de seguridad de NR en la reconfiguración de la conexión RRC completa enviada al MeNB de destino. Después de que el MeNB de destino recibe las capacidades de seguridad de nR del UE, pregunta al UE por sus capacidades de radio de NR y comienza a agregar el SgNB. Por lo tanto, funciona con la MME heredada sin necesidad de realizar ningún cambio en la MME heredada. El procedimiento de traspaso se cambia de forma limitada y solo impacta a los UE que admiten ENDC. Es aplicable al traspaso X2, al traspaso S1 o a la conexión inicial.
En un aspecto, se proporciona un método de comunicación. En el método, un UE transmite un mensaje de solicitud de conexión o un mensaje de solicitud de actualización de área de seguimiento a una entidad de gestión de la movilidad, el mensaje de solicitud de conexión o el mensaje de solicitud de TAU incluye capacidades de seguridad de UE que comprenden nuevas capacidades de seguridad de radio (NR) del UE. Si la entidad de gestión de movilidad no comprende las capacidades de seguridad de NR del UE, la entidad de gestión de movilidad puede reproducir las capacidades de seguridad del UE sin las capacidades de seguridad de NR de UE al UE en un mensaje de comando de modo de seguridad (SMC) del estrato sin acceso (NAS). Opcionalmente, la entidad de gestión de movilidad puede abandonar las capacidades de seguridad de NR del UE y no guarda las capacidades de seguridad de NR del UE en el contexto del UE. Cuando el UE recibe el mensaje SMC del NAS y las capacidades de seguridad de NR del UE no están incluidas en las capacidades de seguridad del UE reproducidas, el UE puede determinar que no se trata de una vulnerabilidad de seguridad, es decir, el UE puede determinar que no se ha producido ningún ataque de degradación del servicio incluso si no coinciden las capacidades de seguridad del UE comprendidas en el mensaje de solicitud de conexión (o mensaje de solicitud de TAU) y las capacidades de seguridad del UE reproducidas. Entonces, el UE puede continuar el procedimiento de conexión o el procedimiento de TAU. Por lo tanto, el UE puede conectarse a la entidad de gestión de la movilidad. Según la modalidad de la presente descripción, se garantiza que la red LTE heredada puede existir con una red LTE mejorada o la red de NR sin cambiar los elementos de la red heredada. Mientras tanto, también se pueden garantizar los requisitos de seguridad de la comunicación.
Opcionalmente, si la entidad de gestión de movilidad comprende las capacidades de seguridad de NR del UE, la entidad de gestión de movilidad puede enviar las capacidades de seguridad de NR del UE a un eNB, en el mensaje de configuración del contexto inicial S1. El eNB es una estación base a la que el UE envía el mensaje de solicitud de conexión o el mensaje de solicitud de TAU.
En una implementación, el UE puede enviar las capacidades de seguridad de NR del UE en un nuevo IE sobre NAS, por ejemplo, en un mensaje de solicitud de conexión o en el mensaje de solicitud de TAU. Es decir, las capacidades de seguridad de NR del UE pueden indicarse a la red utilizando un nuevo IE para que el soporte de los algoritmos UMTS/EPS y NR pueda evolucionar de forma independiente. Por lo tanto, por ejemplo, el UE puede enviar las capacidades de seguridad de NR del UE en un primer IE y enviar las capacidades de seguridad UMTS/LTE en un segundo IE que es diferente del primer IE. Incluir las capacidades de seguridad de UENR en un nuevo IE anula el ataque de degradación del servicio de forma natural. No se requieren requisitos ni características adicionales en la MME heredada para anular el ataque de degradación del servicio. Sin impacto en la interfaz S10. Es posible generar la misma condición en un MeNB en una conexión inicial, un traspaso X2 o un traspaso S1 que genere una única condición para que el MeNB tome una decisión.
En un aspecto, se proporciona un método de comunicación. En el método, un MeNB establece una conexión RRC con un UE y el MeNB obtiene capacidades de seguridad de NR de UE del UE. El MeNB determina que el UE admite la capacidad NR. El MeNB puede establecer uno o más DRB para el UE en un SgNB. El MeNB puede enviar las capacidades de seguridad de NR del UE asociadas con el UE en el procedimiento de adición de SgNB, y el MeNB recibe un mensaje de acuse de recibo de solicitud de adición de SgNB del SgNB. El SgNB puede asignar recursos y elige los algoritmos de cifrado e integridad, e incluye los algoritmos elegidos en el mensaje de acuse de recibo de solicitud de adición de SgNB. Por lo tanto, el UE puede obtener una velocidad de transmisión más rápida, el operador puede proporcionar una mejor experiencia de usuario a los usuarios después de que el UE conecte la red, el traspaso X2 o el traspaso S1.
En un aspecto, se proporciona un equipo de usuario. El equipo de usuario comprende una unidad de envío configurada para transmitir un mensaje de solicitud de conexión o un mensaje de solicitud de TAU a una entidad de gestión de la movilidad, en donde el mensaje de solicitud de conexión incluye capacidades de seguridad del UE que comprenden capacidades de seguridad de NR del UE. El equipo de usuario comprende además una unidad de recepción configurada para recibir un mensaje SMC del NAS de la entidad de gestión de la movilidad, el mensaje SMC del NAS incluye capacidades de seguridad del UE reproducidas sin incluir las capacidades de seguridad de NR del UE. El equipo de usuario comprende además una unidad de procesamiento configurada para determinar que no se ha producido ningún ataque de degradación del servicio con base en una falta de coincidencia de las capacidades de seguridad del UE comprendidas en el mensaje de solicitud de conexión o el mensaje de solicitud de TAU y las capacidades de seguridad del UE reproducidas, y se conectan a la entidad de gestión de la movilidad.
En un aspecto, se proporciona una estación base. La estación base comprende una unidad de procesamiento configurada para establecer una conexión RRC con un equipo de usuario y determina que el UE admite una capacidad NR. La estación base también comprende una unidad de recepción configurada para obtener capacidades de seguridad de NR de UE del UE. La estación base comprende además una unidad de envío configurada para transmitir un mensaje de solicitud de adición de SgNB a un SgNB, el mensaje de solicitud de adición de SgNB comprende las capacidades de seguridad de NR del UE. La unidad de recepción está además configurada para recibir un mensaje de acuse de recibo de solicitud de adición de SgNB desde el SgNB.
En un aspecto, se proporciona una entidad de gestión de la movilidad. La entidad de gestión de movilidad comprende una unidad para recibir un mensaje de solicitud de conexión o un mensaje de solicitud de TAU desde un equipo de usuario, el mensaje de solicitud de conexión o la solicitud de TAU comprende capacidades de seguridad del Ue que incluyen capacidades de seguridad de nueva radio (NR) del UE. La entidad de gestión de movilidad comprende además una unidad para reproducir las capacidades de seguridad del UE incluidas en el mensaje de solicitud de conexión o el mensaje de solicitud de TAU al UE, sin incluir las capacidades de seguridad de NR del UE las capacidades de seguridad del UE reproducidas.
En un aspecto, se proporciona una entidad de gestión de la movilidad. La entidad de gestión de movilidad comprende una unidad para recibir un mensaje de solicitud de conexión o un mensaje de solicitud de TAU desde un equipo de usuario, en donde el mensaje de solicitud de conexión comprende capacidades de seguridad del UE que incluyen capacidades de seguridad de nueva radio (NR) del UE. La entidad de gestión de movilidad comprende además una unidad para enviar las capacidades de seguridad de NR del UE a un (eNB) maestro evolucionado en un mensaje de configuración del contexto S1.
En un aspecto, se proporciona una estación base. La estación base comprende una unidad de envío configurada para enviar un mensaje de solicitud de cambio de trayectoria a una entidad de gestión de movilidad mejorada, en donde el mensaje de solicitud de cambio de trayectoria comprende una indicación para solicitar capacidades de seguridad de nueva radio (NR) del equipo de usuario (UE). La estación base comprende además una unidad de recepción configurada para un mensaje de acuse de recibo de solicitud de cambio de trayectoria desde la entidad de gestión de movilidad mejorada, en donde el mensaje de acuse de recibo de solicitud de cambio de trayectoria comprende las capacidades de seguridad de NR del UE.
En un aspecto, se proporciona un dispositivo de red. El dispositivo de red comprende una memoria no transitoria que almacena instrucciones; y uno o más procesadores en comunicación con la memoria no transitoria, en donde el uno o más procesadores ejecutan las instrucciones para realizar el método de acuerdo con el noveno aspecto y las posibles implementaciones correspondientes.
En un aspecto, se proporciona un medio legible por ordenador no transitorio. El medio legible por ordenador no transitorio está configurado para almacenar instrucciones de ordenador que, cuando se ejecutan por uno o más procesadores, hacen que uno o más procesadores realicen los métodos de acuerdo con el primer aspecto, noveno aspecto y anteriores implementaciones posibles.
En un aspecto, se proporciona un sistema de conjunto de chips. El sistema de conjunto de chips incluye al menos un procesador, utilizado para implementar la funcionalidad del dispositivo central anterior, el dispositivo distribuido o el nodo RAN. El sistema de conjunto de chips puede incluir además una memoria para almacenar datos e instrucciones de programa. El sistema de conjunto de chips puede estar compuesto por conjuntos de chips, y también puede estar compuesto por al menos uno de los conjuntos de chips y otro dispositivo discreto.
Breve descripción de los dibujos
Para una comprensión más completa de la presente descripción y las ventajas de la misma, ahora se hace referencia a las siguientes descripciones tomadas junto con el dibujo adjunto, en el cual:
La Figura 1 ilustra un diagrama simplificado de una red en una modalidad de la presente descripción;
La Figura 2 ilustra un diagrama de flujo de la conexión inicial del UE a un eNB heredado en una modalidad de la presente descripción;
La Figura 3 ilustra un diagrama de flujo de un traspaso X2 y una adición de gNB secundaria en una modalidad de la presente descripción;
La Figura 4 ilustra un diagrama de flujo de un traspaso X2 en una modalidad de la presente descripción;
La Figura 5 ilustra un diagrama de flujo de un traspaso S1 en una modalidad de la presente descripción;
La Figura 6 ilustra un diagrama de flujo de un procedimiento de TAU en una modalidad de la presente descripción;
La Figura 7 ilustra un diagrama de flujo de un método en una modalidad de la presente descripción;
La Figura 8A ilustra un diagrama de flujo de un método en una modalidad de la presente descripción;
La Figura 8B ilustra un diagrama de flujo de un método en una modalidad de la presente descripción;
La Figura 9 ilustra un diagrama de bloques simplificado de una estación base en una modalidad de la presente descripción;
La Figura 10 ilustra un diagrama de bloques simplificado de otra estación base en una modalidad de la presente descripción;
La Figura 11 ilustra un diagrama de bloques simplificado de un UE en una modalidad de la presente descripción; La Figura 12 ilustra un diagrama de bloques simplificado de un sistema de procesamiento en una modalidad de la presente descripción; y
La Figura 13 ilustra un diagrama de bloques simplificado del transceptor en una modalidad de la presente descripción.
Descripción de las modalidades
La estructura, fabricación y uso de las presentes modalidades se discuten en detalle a continuación. Las modalidades específicas discutidas son meramente ilustrativas de formas específicas de hacer y usar la descripción, y no limitan el alcance de la descripción.
Con el desarrollo de las tecnologías de telecomunicaciones, la red LTE se ha implementado ampliamente y también ha surgido una red de radio de próxima generación, o una red de nueva radio (NR), como una tecnología de radio más avanzada. Por lo tanto, la red LTE y la red de NR pueden coexistir. Para tener una evolución fluida de la red LTE a la red de NR, algunas estaciones base LTE, es decir, los eNB, pueden tener algunas funciones de la red de NR, por ejemplo, las estaciones base LTE pueden admitir capacidades de seguridad de NR del UE, interfuncionando con una estación base de la red de NR, la conectividad dual radioeléctrica de próxima generación E-UTRA (ENDC) con una estación base de la red de NR. Este tipo de eNB en la red LTE puede denominarse eNB mejorado. Por lo tanto, puede haber dos tipos de eNB en la red LTE, uno es un eNB heredado, que no puede admitir la función de la red de NR, tal como las capacidades de seguridad de NR del UE. El eNB heredado tampoco puede admitir el interfuncionamiento con la red de NR ni la conectividad dual con la estación base de la red de NR. Otro es el eNB mejorado.
El eNB heredado se puede conectar a una MME heredada. La MME heredada no admite algunas de las funciones, incluidas las funciones de seguridad, de la red de NR. Por ejemplo, es posible que la MME heredada no reconozca las capacidades de seguridad de NR del UE y que no admita el hash de mensajes de conexión. La MME heredada tampoco admite la conectividad dual con la estación base de la red de NR.
El eNB mejorado admite funciones que la MME heredada no admite. El eNB mejorado puede conectarse a una MME mejorada (eMME), que es una MME de la red LTE. El eNB mejorado puede admitir las características de seguridad de la red de NR. La eMME puede admitir las capacidades de seguridad de NR del UE y también puede admitir la conectividad dual con la red de NR.
En las modalidades de la presente descripción, la funcionalidad ENDC, que también se denomina característica ENDC o función ENDC, permite que un eNB mejorado solicite una estación base de la red de NR para proporcionar recursos de radio para un UE mientras mantiene la responsabilidad de ese UE. El UE está conectado al eNB mejorado que actúa como nodo maestro, es decir, el eNB maestro (MeNB) y la estación base de la red de NR que actúa como un nodo secundario. En una conectividad dual, el UE accede primero al nodo maestro. El nodo principal activa un procedimiento para agregar otro nodo como nodo secundario. El nodo secundario proporciona recursos de radio adicionales para el UE, pero no es el eNB maestro. El eNB mejorado está conectado a una red de núcleo de paquete evolucionado (EPC) y la estación base de la red de NR está conectada al eNB mejorado a través de una interfaz Xn.
En modalidades de la presente descripción, las capacidades de seguridad del UE incluyen una lista de algoritmos de protección de seguridad que admite el UE. Las capacidades de seguridad de NR del UE incluyen algoritmos de protección de la integridad y/o encriptación que el UE admite a través de la red de NR.
La Figura 1 es un diagrama de una red 10 de una modalidad de la presente descripción. La red 10 puede comprender un NB (gNB) de próxima generación 110, es decir, una estación base de la red de NR o red 5G, la estación base también se conoce como punto de recepción de transmisión (TRP). La red 10 también puede comprender un eNB mejorado 120 y una MME mejorada (eMME) 310 a la que se conecta el eNB mejorado 120. La red 10 puede comprender además al menos un eNB heredado, por ejemplo, el eNB heredado 130 y el eNB 140 heredado. Puede haber una interfaz X2 entre el eNB heredado 130 y el eNB 140 heredado. Tanto el eNB heredado 130 como el eNB 140 heredado pueden conectarse a al menos una MME heredada, por ejemplo, una MME heredada 320 en la Figura 1. En las modalidades de la presente descripción, un eNB que está conectado a una MME heredada y un eNB mejorado que está conectado a una MME mejorada pueden ubicarse en diferentes áreas de seguimiento (TA). Por ejemplo, el eNB heredado 130 y el eNB 140 heredado están ubicados en TA1, y el eNB mejorado está ubicado en TA2.
En modalidades de la presente descripción, al menos un terminal puede acceder a la red 10. Como se usa en la presente descripción, el término "terminal" se refiere a cualquier componente (o colección de componentes) capaz de establecer una conexión inalámbrica con una estación base, tal como un equipo de usuario (UE), una estación móvil (STA) y otros dispositivos inalámbricos habilitados. En algunas modalidades. Como se ilustra en la Figura 1, un UE 210 puede acceder al eNB heredado 130 a través de una interfaz aérea LTE. Alternativamente, el UE 210 también puede acceder al eNB mejorado 120.
En las modalidades de la presente descripción, el UE 210 puede admitir la funcionalidad ENDC y las capacidades de seguridad de NR del UE. El UE 210 también puede admitir capacidades de seguridad en otras RAT, por ejemplo, capacidades de seguridad de UE de segunda generación (2G) o red de acceso radioeléctrico GSM EDGE (GERAN), capacidades de seguridad de UE de tercera generación (3G) o sistema universal de telecomunicaciones móviles (UMTS), y capacidades de seguridad de UE de cuarta generación (4G) o LTE. Por lo tanto, el UE 210 puede establecer una conectividad dual con el eNB mejorado 120 y el gNB 110, el eNB mejorado 120 en el ENDC es un nodo maestro, es decir, un eNB maestro (MeNB), y el gNB 110 en el ENDC es un nodo secundario, es decir, el gNB secundario (SgNB). Por lo tanto, como se muestra en la Figura 1, el eNB mejorado 120 también está marcado como MeNB 120, el gNB también está marcado como SgNB 110.
En modalidades de la presente descripción, el término "red" puede intercambiarse con el término "sistema".
Opcionalmente, en modalidades de la presente descripción, la capacidad de radio de NR del UE puede incluirse como parte del elemento de información (IE) de la capacidad de radio del UE. Esto permite que un eNB heredado guarde la capacidad de radio de NR del UE sin necesidad de admitirla o comprenderla. También permite que una MME heredada almacene las capacidades de seguridad de NR del UE como parte del IE de la capacidad de radio del UE. La ventaja de esta forma de codificar la capacidad de radio de NR del UE es que durante un traspaso X2 o S1, un eNB mejorado de destino en un traspaso puede recibir la capacidad de radio del UE del eNB heredado de origen o a través de la eMME heredada. Además, dado que el MeNB admite la capacidad de radio de NR del UE, el MeNB puede comprender que el UE admite la radio de NR y usar eso para tomar su decisión durante un traspaso X2 o un traspaso S1. En algunos ejemplos, el traspaso X2 se refiere a que el UE traspasa desde un eNB de origen a un eNB de destino utilizando el control de interfaz X2 y el plano de usuario. El traspaso S1 se refiere a que el UE traspasa desde un eNB de origen a un eNB de destino utilizando la MME y el control de interfaz S1 y el plano de usuario.
Opcionalmente, en modalidades de la presente descripción, las capacidades de seguridad de NR del UE pueden no ser parte del IE de las capacidades de red o radio del Ue . Cuando el UE comunica sus capacidades de seguridad de NR, las capacidades de seguridad de NR del UE pueden ser un IE distinto del IE de la capacidad de red del UE. Esto puede hacer que cualquier MME heredada abandone el IE de las capacidades de seguridad de NR de UE y las capacidades de seguridad de NR del UE no se guarden dentro del contexto del UE. De esta forma, cuando la MME heredada envía el contexto del UE durante un traspaso S1, la eMME no puede recibir las capacidades de seguridad de NR del UE desde una MME heredada. Esto también significa que, si el MeNB recibe la capacidad de radio de NR del UE y no recibe las capacidades de seguridad de NR del UE durante un traspaso X2 o S1 desde el eNB heredado de origen o la MME heredada, se puede considerar como una indicación para que el MeNB no agregue el SgNB durante el traspaso X2 o S1.
En una modalidad de la presente descripción, como se ilustra en la Figura 1, el UE 210 puede conectarse al eNB heredado 130.
La Figura 2 ilustra un diagrama de flujo de una operación de modalidad en un procedimiento de conexión. Como se muestra en la Figura 2, en la etapa 201, el UE 210 envía un mensaje de solicitud de conexión al eNB heredado 130. El mensaje de solicitud de conexión incluye capacidades de seguridad de UE que incluyen capacidades de seguridad de NR. Opcionalmente, las capacidades de seguridad de NR del UE se añaden a un IE de la capacidad de red del UE del estrato sin acceso (NAS). Las capacidades de seguridad del UE pueden incluir además al menos una de las capacidades de seguridad 2G del UE o las capacidades de seguridad GERAN, las capacidades de seguridad 3G del UE o UMTS y las capacidades de seguridad 4G del UE o LTE.
En la etapa 202, el eNB heredado 130 envía el mensaje de solicitud de conexión a la MME heredada 320. El mensaje de solicitud de conexión enviado a la MME heredada 320 incluye las capacidades de seguridad del UE que incluyen las capacidades de seguridad de NR.
En la etapa 203, la MME heredada 320 envía un mensaje de comando de modo de seguridad (SMC) NAS al UE 210.
Dado que la MME heredada 320 no reconoce ni comprende las capacidades de seguridad de NR del UE incluidas en el mensaje de solicitud de conexión, la MME heredada 320 devuelve todas las capacidades de seguridad del UE hasta las capacidades de seguridad LTE en el mensaje de comando de modo de seguridad NAS (SMC del NAS), es decir, todas las capacidades de seguridad del UE, excepto las capacidades de seguridad de NR del UE, se devuelven en el mensaje SMC del NAS. Por ejemplo, si las capacidades de seguridad 2G del UE, las capacidades de seguridad 3G del UE, las capacidades de seguridad LTE del UE y las capacidades de seguridad de NR del UE están incluidas en el envío del mensaje de solicitud de conexión desde el eNB heredado 130 a la MME heredada 320. Debido a que la MME heredada 320 no puede reconocer las capacidades de seguridad de NR del UE, la MME heredada 320 envía las capacidades de seguridad 2G del UE, las capacidades de seguridad 3G del UE y las capacidades de seguridad lTe del UE en el mensaje SMC del NAS.
Por lo tanto, el UE 210 recibe el mensaje SMC del NAS sin incluir las capacidades de seguridad de NR del UE. En una modalidad de la presente descripción, el UE 210 puede establecer una bandera en un contexto de Sistema de Paquetes Evolucionado (EPS) del UE para indicar que las capacidades de seguridad de NR nunca se han protegido contra un ataque de degradación del servicio. Por ejemplo, la bandera podría establecerse como "Capacidades de seguridad de NR no protegidas".
Además, la MME heredada 320 puede enviar las capacidades de seguridad del UE al eNB heredado 130 en un mensaje de protocolo de aplicación S1 (S1AP).
En la conexión inicial al eNB heredado 130, el UE 210 está conectado a la interfaz aérea LTE y no necesita usar sus capacidades de seguridad de NR.
En el procedimiento de conexión inicial, si el UE 210 recibe capacidades de seguridad que incluyen todas las capacidades de seguridad del UE excepto las capacidades de seguridad de NR, el UE 210 no puede considerar esto como una vulnerabilidad de seguridad ni un posible ataque de degradación del servicio.
Sin embargo, en este caso, la MME heredada 320 puede guardar las capacidades de red del UE, incluidas las capacidades de seguridad de NR del UE en el contexto del EPS del UE, sin que las capacidades de seguridad de n R del UE se reproduzcan contra un ataque de degradación del servicio si la capacidad de seguridad de NR del UE está incluida en un mismo IE con otras capacidades de seguridad del UE, tales como las capacidades de seguridad 3G del UE o las capacidades de seguridad LTE del UE. Como se describió anteriormente, si la capacidad de seguridad de NR del UE no es parte del IE de la capacidad de radio o red del UE, es decir, si las capacidades de seguridad de NR del UE están en un IE diferente del IE que comprende las capacidades de seguridad 3G del UE o las capacidades de seguridad LTE del UE, la MME heredada 320 puede abandonar el IE de la capacidad de seguridad de NR del UE y las capacidades de seguridad de NR del UE no pueden guardarse dentro del contexto del UE.
En la presente descripción, un ataque de degradación del servicio se refiere a un ataque en el que un atacante reemplaza el algoritmo de alta seguridad con un algoritmo de baja seguridad al engañar a la red y degrada la seguridad entre el UE y el lado de la red. Por ejemplo, el ataque del tipo hombre en el medio intenta degradar el UE a un algoritmo de seguridad que es menor que la prioridad más alta que admiten el UE y la red. Esto puede obligar al UE a degradar un algoritmo que es más débil que el que admiten la red y el UE.
Para evitar el ataque de degradación del servicio, el elemento de red puede reproducir o confirmar las capacidades de seguridad de un UE. Por ejemplo, el elemento de red puede enviar las capacidades de seguridad obtenidas al UE para verificar si las capacidades de seguridad obtenidas son válidas y completas. Si no, el UE puede enviar las capacidades de seguridad válidas y completas al elemento de red.
En las modalidades de la presente descripción, siempre que el UE 210 esté conectado a la red LTE y todas las capacidades de seguridad del UE, incluidas las capacidades de seguridad de LTE, se hayan reproducido correctamente y con éxito en el mensaje SMC del NAS, el UE puede no considerar la ausencia de las capacidades de seguridad de NR del UE en el SMC del NAS como vulnerabilidad de seguridad.
En modalidades de la presente descripción, el UE 210 puede realizar un traspaso desde un eNB heredado 130 a un eNB mejorado 120. Por ejemplo, como se muestra en los escenarios de traspaso de la Figura 1, el UE 210 puede transferirse desde el eNB heredado 130 al eNB mejorado 120 usando la interfaz X2 o la interfaz S1.
En un traspaso del eNB heredado 130 al eNB mejorado 120, el eNB heredado 130 también puede denominarse eNB de origen o eNB heredado de origen. El eNB mejorado 120 también puede denominarse eNB de destino, eNB mejorado de destino o MeNB de destino. La MME heredada 320 también puede denominarse MME de origen o MME heredada de origen. La eMME 310 puede denominarse MME de destino o eMME de destino.
La Figura 3 es un diagrama para obtener las capacidades de seguridad de NR del UE en un traspaso X2 del eNB heredado 130 al eNB mejorado 120 de una modalidad de la presente descripción.
En la etapa 301, el UE 210 envía un informe de medición al eNB heredado 130.
En la etapa 302, el eNB heredado 130 envía un mensaje de solicitud de traspaso al MeNB 120.
El eNB heredado 130 decide activar un traspaso para el UE 210 con base en el informe de medición y enviar el mensaje de solicitud de traspaso al MeNB 120.
El eNB heredado 130 puede no tener un registro de las capacidades de seguridad de NR del UE ni las capacidades de la red del UE relacionadas con la red de NR.
Cuando el MeNB 120 recibe el mensaje de solicitud de traspaso del eNB heredado 130, el MeNB 120 no puede recibir las capacidades de seguridad de NR del UE ni las capacidades de la red del UE relacionadas con la red de NR. Por lo tanto, el MeNB 120 puede no saber si el UE 210 admite la red de NR o no.
Por lo tanto, el MeNB 120 no puede agregar un portador de radio de datos (DRB) al SgNB 110 cuando el MeNB 120 recibe el mensaje de solicitud de traspaso en el traspaso X2. En una modalidad de la presente descripción, durante un traspaso X2 de un eNB heredado 130 a un MeNB 120, el MeNB 120 no agregará un DRB a SgNB hasta que se complete el traspaso X2.
En la etapa 303, el MeNB 120 envía un mensaje de acuse de recibo de solicitud de traspaso al eNB heredado 130. Si el MeNB 120 no recibe las capacidades de seguridad de NR del UE del eNB heredado 130 en el mensaje de solicitud de traspaso, el mensaje de acuse de recibo de solicitud de traspaso incluye una indicación o una bandera para indicar al UE 210 que envíe las capacidades de seguridad de NR del UE.
En la etapa 304, el eNB heredado 130 envía un mensaje de reconfiguración de la conexión de control de recursos de radio (RRC) al UE 210. El mensaje de reconfiguración de conexión RRC también puede denominarse mensaje de solicitud de reconfiguración de conexión RRC. El mensaje de reconfiguración de conexión RRC incluye la indicación o bandera que indica que el UE 210 debe enviar las capacidades de seguridad de NR del UE.
En la etapa 305, el UE 210 envía un mensaje de reconfiguración de la conexión RRC completa al MeNB 120. El mensaje de reconfiguración de la conexión RRC completa incluye las capacidades de seguridad de NR del UE. Cabe señalar que las capacidades de seguridad del UE pueden representarse por información de indicación. Por lo tanto, el envío de capacidades de seguridad del UE en las modalidades de la presente descripción también se refiere al envío de información de indicación de las capacidades de seguridad del UE.
Además, en la modalidad de la presente descripción, después de que el MeNB 120 recibe el mensaje de reconfiguración de la conexión RRC completa enviado desde el UE 210, el MeNB de destino 120 obtiene las capacidades de seguridad de NR del UE. Como se muestra en la Figura 3, podría comprender además que el MeNB 120 podría agregar un DRB al SgNB 110.
En la etapa 306, el MeNB 120 envía un mensaje de solicitud de adición de SgNB al SgNB 110, el mensaje de solicitud de adición de SgNB comprende las capacidades de seguridad de NR del UE.
En la etapa 307, el SgNB 110 asigna recursos y elige los algoritmos de cifrado e integridad.
En la etapa 308, el SgNB 110 envía un mensaje de acuse de recibo de solicitud de adición de SgNB al MeNB 120 que indica la disponibilidad de los recursos solicitados y los identificadores para el(los) algoritmo(s) seleccionado(s) para servir un d Rb para el UE 210.
En la etapa 309, el MeNB 120 envía un mensaje de reconfiguración de conexión RRC al UE 210 para indicarle al UE 210 que configure el DRB para el SgNB 110.
En la etapa 310, el UE 210 envía el mensaje de reconfiguración RRC completa al MeNB 120. El UE 210 también activa el cifrado/descifrado elegido y la protección de integridad.
En la etapa 311, el MeNB 120 envía un mensaje completo de reconfiguración de SgNB al SgNB 110 para informar al SgNB 110 del resultado de la configuración.
Al recibir el mensaje de reconfiguración completa de SgNB, el SgNB 110 puede activar el cifrado/descifrado elegido y la protección de integridad con el UE 210. Si el SgNB 110 no activa el cifrado/descifrado y la protección de integridad con el UE 210 en esta etapa, el SgNB 110 puede activar el cifrado/descifrado y la protección de integridad al recibir una solicitud de acceso aleatorio del UE 210.
Por lo tanto, de acuerdo con la modalidad de la presente descripción, el MeNB puede obtener las capacidades de seguridad de NR del UE incluso si el eNB heredado de origen no tiene las capacidades de seguridad de NR del UE. Además, después de la finalización del traspaso del eNB heredado al MeNB, debido a que el MeNB ha obtenido las capacidades de seguridad de NR del UE, el MeNB puede activar el establecimiento de un ENDC para que el UE agregue el(los) DRB al SgNB. En consecuencia, el Ue puede obtener una velocidad de transmisión más rápida, el operador puede proporcionar una mejor experiencia de usuario a los usuarios.
Alternativamente, en una modalidad de la presente descripción, el MeNB 120 puede no enviar la indicación o la bandera para indicar al UE 210 que envíe las capacidades de seguridad de NR del UE al MeNB 120. Si una bandera que representa que las capacidades de seguridad de NR NO protegidas se han establecido en el contexto EPS del Ue en la conexión inicial del UE al eNB heredado, el UE 210 puede enviar las capacidades de seguridad de NR del UE en el mensaje de reconfiguración de la conexión RRC completa.
Hacer que el UE 210 envíe sus capacidades de seguridad de NR en el mensaje de reconfiguración RRC completa al MeNB 120 es directo y simple. Más particularmente, el MeNB 120 puede obtener las capacidades de seguridad de NR del UE con base en el procedimiento existente sin causar ningún impacto negativo. Además, se evita que el UE necesite enviar sus capacidades de seguridad de NR durante cada traspaso X2.
La Figura 4 es un diagrama de una operación de modalidad para el MeNB 120 para obtener las capacidades de seguridad de NR del UE en el traspaso X2 del eNB heredado 130 al MeNB 120. En esta modalidad, en lugar de que el UE envíe las capacidades de seguridad de NR del UE en el mensaje de reconfiguración de la conexión RRC completa, el MeNB 120 puede obtener las capacidades de seguridad de Nr del UE de la eMME 310.
En la etapa 401, el UE 210 envía un informe de medición al eNB heredado 130.
En la etapa 402, el eNB heredado 130 decide activar un traspaso al MeNB 120 para el UE 210 de acuerdo con el informe de medición y envía una solicitud de traspaso al MeNB 120.
En la etapa 403, el MeNB 120 envía un mensaje de acuse de recibo de solicitud de traspaso al eNB heredado 130. En la etapa 404, el eNB heredado 130 envía un mensaje de reconfiguración de conexión RRC al UE 210.
En la etapa 405, el UE 210 envía un mensaje de reconfiguración de la conexión RRC completa al MeNB 120.
En la etapa 406, el MeNB 120 envía un mensaje de cambio de trayectoria a la eMME 310. El mensaje de cambio de trayectoria incluye una indicación para solicitar las capacidades de seguridad de NR del UE desde la eMME 310. En la etapa 407, la eMME 310 envía un mensaje de acuse de recibo de cambio de trayectoria al MeNB 120. El mensaje de acuse de recibo de cambio de trayectoria comprende las capacidades de seguridad de NR del UE. En este caso, el MeNB 120 puede comenzar a agregar un DRB en el SgNB 110 tan pronto como reciba el mensaje de acuse de recibo de cambio de trayectoria de la eMME 310. El proceso de agregar el(los) DRB en el SgNB 110 puede hacer referencia a las etapas 306 a 311 como se describe en la modalidad proporcionada en la Figura 3. Alternativamente, dado que las capacidades de seguridad de NR del UE recibidas de la eMME no se han protegido contra ataques de degradación del servicio, el MeNB 120 puede reproducir las capacidades de seguridad de NR del UE o todas las capacidades de seguridad, incluidas las capacidades de seguridad de NR del UE en el mensaje de reconfiguración de conexión RRC usado para agregar el(los) DRB en el SgNB. Después de que el UE 210 recibe las capacidades de seguridad de NR del UE en el mensaje de reconfiguración de conexión RRC, el UE 210 compara las capacidades de seguridad de NR del UE recibidas con las capacidades de seguridad de NR del UE propias del UE para garantizar que no se ha realizado ningún ataque de degradación del servicio. Si las capacidades de seguridad de NR recibidas no son las mismas que las propias capacidades de seguridad de NR del UE propias del UE, el UE puede enviar sus propias capacidades de seguridad de NR en el mensaje de reconfiguración de la conexión RRC completa.
Alternativamente, el MeNB 120 puede reproducir las capacidades de seguridad de NR del UE o todas las capacidades de seguridad, incluidas las capacidades de seguridad de NR del UE en un procedimiento SMC de estrato de acceso (AS). El procedimiento SMC AS se puede utilizar para negociar los algoritmos de seguridad de NR entre el SgNB 110 y el UE 210 mientras se reproducen las capacidades de seguridad de NR del UE. En el procedimiento SMC AS, el MeNB 120 puede enviar las capacidades de seguridad de NR del UE o todas las capacidades de seguridad, incluidas las capacidades de seguridad de NR del UE en un mensaje SMC AS. El UE 210 compara las capacidades de seguridad de NR del UE recibidas con las capacidades de seguridad de NR del UE propias del UE para garantizar que no se ha realizado ningún ataque de degradación del servicio. Si las capacidades de seguridad de NR recibidas no son las mismas que las capacidades de seguridad de NR del UE propias del UE, el UE 210 puede enviar sus propias capacidades de seguridad de NR en un mensaje completo de modo de seguridad al MeNB 120.
La Figura 5 es un diagrama de una modalidad de una operación de modalidad para obtener las capacidades de seguridad de NR del UE en el traspaso S1 del eNB heredado 130 al MeNB 120.
En la etapa 501, el eNB heredado 130 envía un mensaje de traspaso requerido a la MME heredada 320.
El mensaje de traspaso requerido incluye la información necesaria de acuerdo con el traspaso S1, las capacidades de radio del UE y las capacidades de seguridad del UE.
En la etapa 502, la MME heredada 320 envía un contexto del UE en un mensaje de solicitud de ubicación de reenvío a la eMME 310. El contexto del UE no incluye las capacidades de seguridad de NR del UE.
En la etapa 503, la eMME 310 envía una solicitud de traspaso que incluye las capacidades de radio del UE y las capacidades de seguridad del UE sin las capacidades de seguridad de NR del UE al MeNB 120.
En la etapa 504, el MeNB 120 envía un acuse de recibo de solicitud de traspaso a la eMME 310.
En este momento, el MeNB 120 retrasa la adición de SgNB ya que las capacidades de seguridad de NR del UE no están presentes.
El MeNB 120 no recibe las capacidades de seguridad de NR del UE como parte del contexto del UE desde la eMME 310, o si el MeNB 120 obtiene que las capacidades de seguridad de NR del UE no se han protegido contra ataques de degradación del servicio, el MeNB 120 incluye una bandera o una indicación al UE 210 en el mensaje de acuse de recibo de solicitud de traspaso que se pasará al UE 210 para que el UE 210 envíe las capacidades de seguridad de NR del UE del UE 210. Como ejemplo, esta bandera o indicación puede ser "Capacidades de seguridad de NR del UE NO protegidas".
En la etapa 505: La eMME 310 envía un mensaje de respuesta de reubicación de reenvío a la MME heredada 320. La respuesta de reubicación de reenvío incluye la bandera o indicación recibida en el mensaje de acuse de recibo de solicitud de traspaso.
En la etapa 506: La MME heredada 320 envía un mensaje de comando de traspaso al eNB heredado 130.
El comando de traspaso incluye la bandera o indicación recibida en el mensaje de respuesta de reubicación de reenvío.
En la etapa 507: El eNB heredado 130 envía un mensaje de comando de traspaso al UE 210.
El comando de traspaso incluye la bandera o indicación para indicar al UE 210 que envíe las capacidades de seguridad de NR del UE.
En la etapa 508: El UE 210 envía un mensaje de confirmación de traspaso al MeNB 120, el mensaje de confirmación de traspaso incluye las capacidades de seguridad de NR del UE.
Opcionalmente, en el traspaso S1 del eNB heredado 130 al MeNB 120, el MeNB de destino 120 puede recibir la capacidad de seguridad del UE, incluidas las capacidades de seguridad de NR del UE, desde la eMME 310 en el mensaje de solicitud de traspaso. Las capacidades de seguridad de NR del UE recibidas desde la eMME 310 no están protegidas contra ataques de degradación del servicio. Dado que las capacidades de seguridad de NR del UE no se han protegido contra ataques de degradación del servicio y la MME heredada 320 no admite la funcionalidad ENDC ni las capacidades de seguridad de NR del UE, esto significa que el MeNB 120 no puede comenzar a agregar el(los) DRB en el SgNB 110 excepto hasta que se completa el traspaso S1 y el MeNB 120 recibe el mensaje de confirmación de traspaso desde el UE 210. Por lo tanto, en la modalidad de la presente descripción, durante un traspaso S1 de un eNB a un MeNB 120, el MeNB 120 no puede agregar el(los) DRB a SgNB hasta que se complete el traspaso S1.
Por lo tanto, si el UE 210 incluye las capacidades de seguridad de NR del UE en el mensaje de confirmación de traspaso al MeNB 120, el MeNB 120 puede comparar las capacidades de seguridad de NR del UE recibidas con las capacidades de seguridad de NR del UE recibidas desde la eMME 310. Si son diferentes, el MeNB 120 puede comenzar un procedimiento de reconfiguración de conexión RRC. Como se muestra en la Figura 5, en la etapa 509, el MeNB 120 envía un mensaje de solicitud de reconfiguración de conexión RRC al UE 210. El mensaje de solicitud de reconfiguración de conexión RRC incluye una indicación o una bandera para indicar al UE 210 que envíe las capacidades de seguridad de NR del UE.
En la etapa 510, el UE 210 envía un mensaje de reconfiguración de la conexión RRC completa al MeNB 120. El mensaje de reconfiguración de la conexión RRC completa incluye las capacidades de seguridad de NR del UE. Cabe señalar que las capacidades de seguridad del UE, incluidas las capacidades de seguridad de NR del UE, pueden representarse mediante información de indicación, por lo que enviar las capacidades de seguridad del UE en las modalidades de la presente descripción también se refiere al envío de la información de las capacidades de seguridad del UE.
Alternativamente, en una modalidad de la presente descripción, el MeNB 120 puede no enviar la indicación o bandera para indicar al UE 210 que envíe las capacidades de seguridad de NR del UE en el mensaje de acuse de recibo de solicitud de traspaso. Si se ha establecido una bandera "Capacidades de seguridad de NR NO protegidas" en el contexto EPS del UE en la conexión inicial del UE al eNB heredado, el UE 210 puede enviar sus capacidades de seguridad de NR de UE en el mensaje de confirmación de traspaso.
En una modalidad, después de que el MeNB 120 recibe el mensaje de confirmación de traspaso en el traspaso S1, el MeNB 120 puede comenzar el proceso de agregar el(los) DRB en el SgNB 110. En el proceso de agregar el(los) DRB/el(los) SRB, el MeNB 120 puede reproducir las capacidades de seguridad de NR del UE en el mensaje de reconfiguración de conexión RRC usado para agregar el(los) DRB en el SgNB 110. El MeNB 120 puede reproducir las capacidades de seguridad de NR del UE o todas las capacidades de seguridad, incluidas las capacidades de seguridad de NR del UE en el mensaje de reconfiguración de conexión RRC usado para agregar un DRB en el SgNB 110.
Después de que el UE 210 recibe las capacidades de seguridad de NR del UE en el mensaje de reconfiguración de conexión RRC, el UE 210 compara las capacidades de seguridad de NR del UE recibidas con las capacidades de seguridad de NR del UE propias del UE para garantizar que no se ha realizado ningún ataque de degradación del servicio. Si las capacidades de seguridad de NR recibidas son las mismas que las capacidades de seguridad de NR del UE propias del UE, el proceso de agregar el DRB podría continuar. Si las capacidades de seguridad de NR recibidas no son las mismas que las capacidades de seguridad de NR del UE propias del UE, el UE 210 puede enviar sus propias capacidades de seguridad de NR en el mensaje de reconfiguración de la conexión RRC completa.
Alternativamente, el MeNB 120 puede reproducir las capacidades de seguridad de NR del UE o todas las capacidades de seguridad, incluidas las capacidades de seguridad de NR del UE en un procedimiento SMC de estrato de acceso (AS). El procedimiento SMC AS se puede utilizar para negociar los algoritmos de seguridad de NR entre el SgNB 110 y el Ue 210 mientras se reproducen las capacidades de seguridad de NR del UE. En el procedimiento SMC AS, el MeNB 120 puede enviar las capacidades de seguridad de NR del UE o todas las capacidades de seguridad, incluidas las capacidades de seguridad de NR del UE en un mensaje SMC AS. El UE 210 compara las capacidades de seguridad de NR del UE recibidas con las capacidades de seguridad de NR del UE propias del UE para garantizar que no se ha realizado ningún ataque de degradación del servicio. Si las capacidades de seguridad de NR recibidas no son las mismas que las capacidades de seguridad de NR del UE propias del UE, el UE puede enviar sus propias capacidades de seguridad de NR en un mensaje completo de modo de seguridad al MeNB 120.
Una modalidad de la presente descripción proporciona otras soluciones para que el MeNB 120 obtenga las capacidades de seguridad de NR del UE. En esta modalidad, el MeNB 120 no puede obtener las capacidades de seguridad de NR del UE ni del UE 210 ni de la eMME 310 en el traspaso X2 o S1. El MeNB 120 puede obtener las capacidades de seguridad de NR del UE después de que se complete el traspaso X2 o S1.
Debido a que el eNB heredado 130 y el eNB mejorado 120 en las modalidades de la presente descripción pertenecen a diferentes TA, cuando el UE 210 traspasa el eNB heredado 130 al MeNB 120, el Ue 210 puede activar un procedimiento de TAU y enviar sus capacidades de seguridad de NR del UE a la eMME 310.
La Figura 6 es un diagrama de una modalidad de una operación de modalidad para activar el procedimiento de TAU. En la etapa 601, el UE 210 envía un mensaje de solicitud de TAU al MeNB 120, el mensaje de solicitud de TAU comprende las capacidades de seguridad de NR del UE.
En la etapa 602, el MeNB 120 envía el mensaje de solicitud de TAU a la eMME 310. El mensaje de solicitud de TAU comprende las capacidades de seguridad de NR del UE.
En la etapa 603, la eMME 310 envía un mensaje de aceptación de TAU al UE 210.
Cuando la eMME 310 recibe la solicitud de TAU y descubre que las capacidades de seguridad del UE recibidas desde el UE 210 en el mensaje de solicitud de TAU son diferentes de las capacidades de seguridad del UE de una MME 130 heredada, la eMME 130 reproduce las capacidades de seguridad del UE en el mensaje de aceptación de TAU al UE 210.
En la etapa 604, la eMME 130 entrega las capacidades de seguridad de NR del UE al MeNB 120.
La eMME 310 puede enviar las capacidades de seguridad del UE, incluidas las capacidades de seguridad de NR del UE, al MeNB 120 en un mensaje S1AP.
Alternativamente, para garantizar que el UE pueda activar el procedimiento de TAU inmediatamente tan pronto como finalice el traspaso X2 o S1, se puede enviar un activador o valor de causa o indicación de TAU al UE durante el procedimiento X2 o S1, el activador o valor de causa o la indicación de TAU indica que se requiere una TAU. Por ejemplo, el activador de TAU o el valor o indicación de la causa puede ser "TAU Requerida: Falta de Coincidencia de Capacidades de Seguridad del UE", o "TAU Requerida: Se requieren Capacidades de seguridad de NR del UE". Cabe señalar que esta indicación es solo un ejemplo, la presente descripción también incluye cualquier indicación, activación o valor de causa que indique que se requiere un procedimiento de TAU para enviar las capacidades de seguridad de NR del UE.
La Figura 7 es un diagrama de una modalidad de la presente descripción para activar un procedimiento de TAU. En esta modalidad, el activador o valor de causa o la indicación de TAU podría enviarse en el traspaso X2, de manera que un procedimiento de TAU pueda activarse inmediatamente cuando finaliza el traspaso X2.
En la etapa 701, el eNB heredado 130 envía un mensaje de solicitud de traspaso al MeNB 120.
En la etapa 702, el MeNB 120 envía un mensaje de acuse de recibo de solicitud de traspaso al eNB heredado 130. El mensaje de acuse de recibo de solicitud de traspaso puede incluir un activador o valor de causa o indicación de TAU, el activador o valor de causa o la indicación de TAU puede ser "TAU Requerida: Falta de Coincidencia de las Capacidades de Seguridad del UE".
En la etapa 703, el eNB heredado 130 envía un mensaje de reconfiguración de conexión RRC al UE 210.
El mensaje de reconfiguración de conexión RRC comprende el activador de TAU o el valor de la causa o la indicación puede ser "TAU Requerida: Falta de Coincidencia de las Capacidades de Seguridad del UE".
En la etapa 704, el UE 210 envía un mensaje de reconfiguración de la conexión RRC completa al MeNB 120.
En la etapa 705, el UE 210 activa el procedimiento de TAU para enviar las capacidades de seguridad de NR del UE al MeNB 120.
El proceso de envío de las capacidades de seguridad de NR del UE al activar el procedimiento de TAU puede referirse a la modalidad descrita en la Figura 6.
Alternativamente, el activador o valor de causa o la indicación para indicar que se requiere un procedimiento de TAU para enviar las capacidades de seguridad de NR del UE también podría incluirse en otro mensaje de enlace descendente enviado al UE en el procedimiento de traspaso X2.
La Figura 8 es un diagrama de una modalidad para activar un procedimiento de TAU. El activador o valor de causa o la indicación de TAU puede enviarse al UE en el traspaso S1.
En la etapa 801, el eNB heredado 130 envía un mensaje de traspaso requerido a la MME heredada 320. El mensaje de traspaso requerido incluye la información necesaria según el traspaso S1 actual, las capacidades de radio del UE y las capacidades de seguridad del UE.
En la etapa 802, la MME heredada 320 envía el contexto del UE en un mensaje de solicitud de ubicación de reenvío a la eMME 310. El contexto del UE no incluye las capacidades de seguridad de NR del UE.
En la etapa 803, la eMME 310 envía un mensaje de solicitud de traspaso que incluye las capacidades de radio del UE, las capacidades de seguridad del UE sin las capacidades de seguridad de NR al MeNB 120.
En la etapa 804, el MeNB 120 envía un mensaje de acuse de recibo de solicitud de traspaso a la eMME 310.
El MeNB 120 incluye una bandera o indicación o valor de causa para enviar al UE 210 en el mensaje de acuse de recibo de solicitud de traspaso. La bandera o indicación o valor de causa podría ser "TAU Requerida: Falta de Coincidencia de las Capacidades de Seguridad del UE" en el mensaje de acuse de recibo de la solicitud de traspaso.
En la etapa 805: La eMME 310 envía un mensaje de respuesta de reubicación de reenvío a la MME heredada 320. El mensaje de respuesta de reubicación de reenvío incluye la bandera o la indicación o valor de causa recibido en el mensaje de acuse de recibo de la solicitud de traspaso.
En la etapa 806: La MME heredada 320 envía un mensaje de comando de traspaso al eNB heredado 130.
El mensaje de comando de traspaso incluye la bandera o la indicación o valor de causa recibido en la respuesta de reubicación de reenvío.
En la etapa 807: El eNB heredado 130 envía un mensaje de comando de traspaso al UE 210.
El comando de traspaso incluye la bandera o indicación o valor de causa.
En la etapa 808: Cuando el UE 210 recibe el activador o valor de causa o la indicación, el UE 210 activa el procedimiento de TAU para enviar las capacidades de seguridad de NR del UE.
El proceso de envío de las capacidades de seguridad de NR del UE al activar el procedimiento de TAU puede referirse a la modalidad descrita en la Figura 6.
Alternativamente, el activador o valor de causa o la indicación para indicar que se requiere un procedimiento de TAU para enviar las capacidades de seguridad de NR del UE también podría incluirse en otro mensaje de enlace descendente enviado al UE en el procedimiento de traspaso S1.
De acuerdo con el procedimiento de TAU, el MeNB 120 puede recibir las capacidades de seguridad de NR del UE desde la eMME de una manera segura que no es vulnerable a un ataque de degradación del servicio.
Después de que el MeNB 120 recibe las capacidades de seguridad de NR del UE desde la MME, el MeNB 120 comienza a agregar el SgNB, es decir, agrega el(los) DRB/SRB al gNB. El proceso podría hacer referencia a las etapas 306 a 311 como se describe en la modalidad que se muestra en la Figura 3.
En modalidades de la presente descripción, cuando un UE traspasa un eNB heredado conectado a una MME heredada al MeNB 120 que está conectado a la eMME, se podría indicar la protección de las capacidades de seguridad de NR del UE para asegurarse de que la eMME sepa si las capacidades de seguridad de Nr del UE se han protegido contra ataques de degradación del servicio o no.
Dado que el UE incluye sus capacidades de seguridad de NR en el IE de la capacidad de red del UE definido actualmente, la MME heredada puede guardar las capacidades de seguridad de nR del UE en el contexto del EPS del UE sin comprender que existe. La MME heredada no puede indicar a la eMME si las capacidades de seguridad de NR del UE están protegidas contra ataques de degradación del servicio o no. Por lo tanto, en una modalidad, la ausencia de la indicación a la eMME de destino puede significar que las capacidades de seguridad de NR del UE no estaban protegidas contra ataques de degradación del servicio. Cuando la eMME transfiere un contexto EPS del UE con las capacidades de seguridad de NR del UE incluidas, puede indicar si las capacidades de seguridad de NR del UE se han protegido contra ataques de degradación del servicio o no.
Alternativamente, en una modalidad, la protección de las capacidades de seguridad de NR del UE podría indicarse al utilizar el mecanismo de intercambio de capacidades entre MME. Si la MME de origen no admite ni la función ENDC ni la característica del hash de conexión, y la eMME recibe un contexto EPS del UE con las capacidades de seguridad de NR UE incluidas, la eMME puede considerar que las capacidades de seguridad de NR del UE nunca se han protegido contra ataques de degradación del servicio.
La protección de las capacidades de seguridad de NR del UE podría indicarse para asegurarse de que la eMME sepa si las capacidades de seguridad de NR del UE se han protegido contra ataques de degradación del servicio o no. Es importante que el MeNB 120 evite un procedimiento innecesario para proteger las capacidades de seguridad de NR del UE.
Como se ilustra en la Figura 1, en una modalidad de la presente descripción, el UE puede conectarse al eNB mejorado. El UE envía un mensaje de solicitud de conexión al MeNB 120, el mensaje de solicitud de conexión puede incluir las capacidades de seguridad del UE, que incluyen las capacidades de seguridad de NR del UE. El UE también puede enviar un hash de solicitud de conexión al MeNB 120. Dado que el UE se conecta al MeNB 120 con la eMME, la eMME reconoce y comprende las capacidades de seguridad de NR del UE. La eMME puede admitir la función ENDC y la validación de hash de solicitud de conexión para evitar un ataque de degradación del servicio en las capacidades de seguridad de NR del UE.
La eMME admite la solicitud de conexión y el hash de solicitud de conexión, y reproduce las capacidades de seguridad del UE en el mensaje SMC del nAs y el hash de solicitud de conexión puede anular cualquier ataque de degradación del servicio contra las capacidades de seguridad de NR del UE. Además, la eMME puede entregar las capacidades de seguridad del UE al MeNB 120 en un mensaje S1AP.
De acuerdo con todas las modalidades de la presente descripción, cuando el UE está conectado a un eNB heredado que está conectado a una MME heredada, se proporciona un mecanismo para proteger las capacidades de seguridad de NR del UE. Además, cuando el UE traspasa del eNB heredado al MeNB 120 con la eMME, el MeNB 120 podría obtener las capacidades de seguridad de NR del UE, y las capacidades de seguridad de NR del UE podrían protegerse contra un ataque de degradación del servicio.
En las modalidades de la presente descripción, siempre que un UE esté conectado a una red LTE y todas las capacidades de seguridad del UE, incluidas las capacidades de seguridad de LTE, se hayan reproducido correctamente y con éxito en el SMC del NAS, el UE puede no considerar la ausencia de las capacidades de seguridad de Nr del UE en el SMC del NAS como vulnerabilidad de seguridad. Opcionalmente, el UE puede guardar una bandera en su contexto EPS del UE para indicar que las capacidades de seguridad de NR nunca se han protegido contra ataques de degradación del servicio. Las capacidades de seguridad del UE guardadas en el contexto del UE en una MME heredada incluyen las capacidades de seguridad de NR del UE que no se han asegurado contra ataques de degradación del servicio. Este contexto de UE se puede denominar "Contexto EPS heredado". El MeNB se puede conectar a una MME mejorada que admite las características de ENDC5 y admite la validación de hash de solicitud de conexión para evitar un ataque de degradación del servicio en las capacidades de seguridad de NR del UE. Durante un traspaso X2 de un eNB al MeNB, el MeNB no puede agregar el(los) DRB a un SgNB hasta que se complete el traspaso X2. Durante un traspaso S1 de un eNB al MeNB, el MeNB no agregará el(los) DRB a un SgNB hasta que se complete el traspaso S1.
En las modalidades de la presente descripción, se aplican algunas soluciones para indicar que las capacidades de seguridad de NR del UE no se han protegido:
En un ejemplo, una indicación clara puede provenir de una eMME de origen para indicar si las capacidades de seguridad de NR del UE se han protegido contra ataques de degradación del servicio o no. La ausencia de la indicación significa que las capacidades de seguridad de NR del UE no se han protegido contra ataques de degradación del servicio, es decir, las capacidades de seguridad de NR del UE se reciben desde una MME heredada.
Alternativamente, una solución podría utilizar el mecanismo de intercambio de capacidades entre MME. Si la MME de origen no admite ENDC5 ni la característica del hash de conexión y la eMME de destino recibe un contexto EPS del UE con las capacidades de seguridad de NR del UE incluidas, la eMME puede considerar las capacidades de seguridad de NR del UE, ya que nunca se han protegido contra ataques de degradación del servicio.
En modalidades de la presente descripción, a continuación, las soluciones pueden funcionar tanto para un traspaso X2 como para un S1.
Para un traspaso X2 de un eNB a un MeNB, el UE puede incluir sus capacidades de seguridad de NR en el mensaje de reconfiguración de la conexión RRC completa a un MeNB de destino. Para un traspaso S1, el UE puede incluir sus capacidades de seguridad de NR en el mensaje de confirmación de traspaso a un MeNB de destino. El UE envía sus capacidades de seguridad de NR del UE en un mensaje de reconfiguración de la conexión RRC completa para un traspaso X2 y en un mensaje de confirmación de traspaso para un traspaso S1 si el contexto EPS del UE tiene la bandera "Capacidades de seguridad de NR NO protegidas" activada. El UE envía sus capacidades de seguridad de NR del UE en un mensaje de reconfiguración de la conexión RRC completa para el traspaso X2 y en un mensaje de confirmación de traspaso para el traspaso S1 si el UE recibe una indicación "Capacidades de seguridad de NR del UE NO protegidas" del MeNB de destino.
Alternativamente, el MeNB de destino puede usar el procedimiento para agregar el(los) DRB al SgNB para reproducir las capacidades de seguridad de NR del UE. Esto se puede lograr si el MeNB de destino incluye las capacidades de seguridad de NR del UE en el mensaje de reconfiguración de conexión RRC enviado al UE. Si el UE recibe las capacidades de seguridad de NR del UE que son diferentes a las que admite el UE, el UE puede incluir sus capacidades de seguridad de NR del UE en el mensaje de reconfiguración de la conexión r Rc completa enviado al MeNB de destino. Si el MeNB de destino recibe las capacidades de seguridad de NR del UE en el mensaje de reconfiguración de la conexión RRC completa, el MeNB de destino puede renegociar la seguridad de SgNB con el UE.
En otro ejemplo, después de que se completa el traspaso X2, el UE puede activar un procedimiento de actualización del área de seguimiento y, por lo tanto, el UE puede incluir sus capacidades de seguridad, incluidas sus capacidades de seguridad de NR, en el mensaje de actualización de TA. Alternativamente, después de que se complete el traspaso de S1, el UE puede activar un procedimiento de actualización del área de seguimiento y, por lo tanto, el UE incluirá sus capacidades de seguridad, incluidas sus capacidades de seguridad de NR, en el mensaje de actualización de TA. De esta forma, el MeNB puede recibir las capacidades de seguridad de NR del UE desde la eMME de una manera segura que no es vulnerable a un ataque de degradación del servicio. El MeNB de destino puede agregar el(los) DRB al SgNB después de que se complete el procedimiento de TAU.
En modalidades de la presente descripción, a continuación, se proporcionan las soluciones.
Para la protección de las capacidades de seguridad de NR de un UE. En una configuración de contexto inicial, si durante el procedimiento de conexión del UE a la red LTE, el UE recibe todas las capacidades de seguridad del UE reproducidas en un mensaje SMC del NAS, excepto las capacidades de seguridad de NR del UE, el UE no puede considerar esto como un posible ataque de degradación del servicio y puede continuar con el procedimiento de conexión. Durante la conexión inicial del UE a un MeNB, la MME puede incluir las capacidades de seguridad de NR del UE en el mensaje de solicitud de configuración del contexto inicial y enviar el mensaje de solicitud de configuración del contexto inicial al MeNB.
Durante el procedimiento de conexión LTE del UE, si el UE recibe todas las capacidades de seguridad del UE reproducidas en un mensaje SMC del NAS, excepto las capacidades de seguridad de NR del UE, el UE puede establecer una bandera "Capacidades de seguridad de NR NO protegidas" en el contexto EPS del UE.
En un ejemplo, en un traspaso S1, la MME de destino puede incluir las capacidades de seguridad de NR del UE en el mensaje de solicitud de traspaso y enviar el mensaje de solicitud de traspaso al eNB de destino (MeNB) como se especifica en el documento 3GPP TS 36.413. Si el MeNB de destino no recibe las capacidades de seguridad de NR del UE del eNB de la MME de destino, es posible que el MeNB de destino no comience el proceso de agregar el SgNB hasta que se complete el traspaso x 2. Si el MeNB de destino no recibe las capacidades de seguridad de NR de UE como parte del contexto del UE de la MME de destino, o el MeNB de destino recibe las capacidades de seguridad de NR del UE con una bandera de que las capacidades de seguridad de NR del UE no se han protegido contra un ataque de degradación del servicio, el MeNB no puede comenzar a agregar el SgNB hasta que se complete el traspaso S1. Una vez que se completa el traspaso S1, el MeNB de destino puede usar las capacidades de seguridad de NR del UE que se reciben en la confirmación del traspaso cuando se agrega el SgNB.
En una modalidad de la presente descripción, si se establece la bandera "Capacidades de seguridad de NR NO protegidas" en el contexto EPS del UE, el UE puede enviar las capacidades de seguridad de NR del UE en el mensaje de confirmación de traspaso al MeNB de destino. Alternativamente, si la MME de destino recibe el contexto de seguridad EPS del UE de la MME de origen a través de la interfaz S10 sin una indicación de que las capacidades de seguridad de NR del UE se han protegido contra un ataque de degradación del servicio, la MME de destino puede actualizar el contexto EPS del UE con una bandera para indicar que las capacidades de seguridad de NR del UE no están protegidas. La MME puede indicar al MeNB si las capacidades de seguridad de NR del UE se han protegido contra un ataque de degradación del servicio o no en el mensaje de solicitud de traspaso. Si el MeNB de destino no recibe las capacidades de seguridad de NR del UE como parte del contexto del UE de la MME de destino o lo recibe con una bandera que indica que las capacidades de seguridad de NR del UE no se han protegido contra un ataque de degradación del servicio, el MeNB puede incluir una bandera "Capacidades de seguridad de NR del UE NO protegidas" en el mensaje de acuse de recibo de solicitud de traspaso que se pasará al UE. Si el UE recibe una indicación "capacidades de seguridad de NR del UE NO protegidas" en el mensaje de comando de traspaso, el UE puede incluir sus capacidades de seguridad de NR en el mensaje de confirmación de traspaso que se envía al MeNB de destino.
En un ejemplo de la presente descripción, si el eNB de origen admite las capacidades de seguridad de NR del UE, lo que significa que el eNB puede manejarlas o reconocerlas, el eNB de origen puede incluir las capacidades de seguridad de NR del UE en el mensaje de solicitud de traspaso al eNB de destino (MeNB). Si el MeNB de destino no recibe las capacidades de seguridad de NR del UE del eNB de origen, es posible que el MeNB de destino no comience el proceso de agregar el SgNB hasta que se complete el traspaso X2. Una vez que se completa el traspaso X2, el MeNB de destino puede usar las capacidades de seguridad de NR del UE recibidas en el mensaje de reconfiguración de la conexión RRC completa al agregar el SgNB.
En modalidades de la presente descripción, durante un traspaso X2, si la bandera "Capacidades de seguridad de NR NO protegidas" está establecido en el contexto EPS del UE, el UE puede enviar las capacidades de seguridad de NR del UE en el mensaje de reconfiguración de la conexión RRC completa al MeNB de destino. Alternativamente, si el MeNB de destino no recibe las capacidades de seguridad de NR del UE como parte del contexto del UE desde el eNB de origen en el mensaje de solicitud de traspaso, el MeNB puede establecer una bandera "Capacidades de seguridad de NR del UE NO protegidas" en el mensaje de acuse de recibo de la solicitud de traspaso. Esta bandera se pasará al UE. Durante un traspaso X2, si el UE recibe una indicación "Capacidades de seguridad de NR del UE NO protegidas" en el mensaje de reconfiguración de la conexión de RRC, el UE puede incluir sus capacidades de seguridad de NR en el mensaje de reconfiguración de la conexión RRC completa.
En modalidades de la presente descripción, a continuación, se proporcionan las soluciones. En la opción 3 de conectividad dual de ENDC, el nodo maestro es un eNB, es decir, el MeNB, que usa la interfaz aérea LTE, mientras que el nodo secundario es un NB de próxima generación (5G), es decir, el n B secundario (SgNB). La red central es una red EPC.
La implementación de la opción 3 de ENDC requiere cambios en una MME heredada para admitir la función ENDC. Una MME actualizada o mejorada se denomina eMME. Una MME que no admite la función ENDC ni el hash de solicitud de conexión se denomina MME heredada.
Cuando el UE se conecta inicialmente a un MeNB que está conectado a una eMME, la negociación actual de las capacidades de seguridad del UE funciona con base en los principios actuales de la red LTE y un protocolo NAS, y las capacidades de seguridad del UE siempre están protegidas contra ataques de degradación del servicio.
Sin embargo, el problema es que cuando el UE está conectado a un eNB heredado que está conectado a una MME heredada, no existe ningún mecanismo para proteger las capacidades de seguridad de NR del UE. Además, cuando el UE traspasa un/a eNB/MME heredada a un MeNB con una eMME, las capacidades de seguridad de NR del UE podrían haberse perdido o no haberse protegido contra ataques de degradación del servicio. Cuando el UE que admite la funcionalidad ENDC se conecta a un eNB heredado que está conectado a una MME heredada, no hay ningún mecanismo para proteger las capacidades de seguridad de NR del UE.
Las modalidades de la presente descripción proporcionan varias soluciones para abordar el problema de proteger la entrega de capacidades de seguridad de NR del UE al MeNB cuando el UE traspasa un/a eNB/MME heredada a un/a MeNB/eMME, y para proporcionar un mecanismo para garantizar la entrega segura de las capacidades de seguridad de NR del UE durante el traspaso del UE desde el/la eNB/MME heredada al MeNB que está conectado a una eMME. Esta solución utiliza los mecanismos existentes, pero al mismo tiempo garantiza una entrega segura de las capacidades de seguridad de NR del UE y protección contra ataques de degradación del servicio.
Las soluciones propuestas se basan en los mismos procedimientos para un traspaso X2 y S1 como se documenta en el documento 3Gp P TS 23.401.
En una conexión inicial del UE a un eNB heredado, un UE envía una solicitud de conexión. La solicitud de conexión incluye las capacidades de seguridad del UE, incluidas las capacidades de seguridad de NR del UE. Dado que el UE se conecta a un eNB heredado con una MME heredada, la MME heredada no puede reconocer ni comprender las capacidades de seguridad de NR del UE que posiblemente se envíen en el IE de la capacidad de red del UE. Por lo tanto, la MME heredada puede reproducir las capacidades de seguridad del UE hasta las capacidades de seguridad de LTE en un mensaje SMC del NAS. El UE puede recibir el mensaje SMC del NAS con capacidades de seguridad reproducidas que no incluyen las capacidades de seguridad de NR del UE. Además, la MME heredada puede enviar las capacidades de seguridad del UE al eNB en el mensaje S1AP sin las capacidades de seguridad de NR. El comportamiento del UE en este escenario no causa vulnerabilidades de seguridad y posiblemente un ataque de degradación del servicio porque el UE está conectado a una interfaz aérea LTE y no necesita usar sus capacidades de seguridad de NR. Si un atacante puede reemplazar las capacidades de seguridad del UE en el mensaje de solicitud de conexión al eliminar únicamente las capacidades de seguridad de NR del UE, este ataque no reducirá la seguridad del UE mientras esté conectado a la red LTE. Por lo tanto, si el UE recibe las capacidades de seguridad reproducidas que incluyen las capacidades de seguridad del UE excepto las capacidades de seguridad de NR del UE, el UE no considera esto como una vulnerabilidad de seguridad ni un posible ataque de degradación del servicio. En este caso, la MME heredada puede guardar todas las capacidades de red del UE, incluidas las capacidades de seguridad de NR del UE, en el contexto del EPS del UE sin que las capacidades de seguridad de Nr del UE se reproduzcan contra un ataque de degradación del servicio.
Por lo tanto, siempre que el UE esté conectado a la red LTE y las capacidades de seguridad del UE, incluidas las capacidades de seguridad de LTE, se hayan reproducido correctamente y con éxito en el mensaje del SMC del NAS, el UE puede no considerar la ausencia de capacidades de seguridad de NR del UE en el mensaje SMC del NAS como una vulnerabilidad de seguridad. El UE puede guardar una bandera en su contexto EPS del UE para indicar que las capacidades de seguridad de NR nunca se han protegido contra un ataque de degradación del servicio. Las capacidades de seguridad del UE guardadas en el contexto del UE en la MME heredada incluyen las capacidades de seguridad de NR del UE que no se han asegurado contra ataques de degradación del servicio. Este contexto se puede denominar "Contexto EPS heredado".
En un traspaso X2 de un eNB heredado a MeNB, un eNB heredado no tiene un registro de las capacidades de seguridad de NR del UE ni de las capacidades de red del UE relacionadas con la red de NR, ya que se trata de un eNB heredado. Cuando el MeNB recibe el mensaje de solicitud de traspaso de un eNB de origen, el MeNB de destino no recibe las capacidades de seguridad de NR del UE ni las capacidades de red del UE relacionadas con la red de NR. Por lo tanto, el MeNB no sabe si el UE admite NR o no. Esto significa que MeNB no puede agregar el(los) DRB a SgNB en este momento de X2 HO. Por lo tanto, durante un traspaso X2 de un eNB al MeNB, el MeNB no puede agregar el(los) DRB a un SgNB hasta que se complete el traspaso X2.
El UE puede incluir sus capacidades de seguridad de NR en un mensaje de reconfiguración de la conexión RRC completa enviado al MeNB de destino durante el traspaso. El MeNB de destino puede incluir una indicación en el mensaje de cambio de trayectoria a la eMME de destino para enviar capacidades de seguridad del UE en el mensaje de acuse de recibo de cambio de trayectoria.
En otra modalidad de la presente descripción, en un traspaso S1 de un eNB heredado a un MeNB, el MeNB de destino recibe la capacidad de seguridad del UE, incluidas las capacidades de seguridad de NR del UE, de la eMME de destino en el mensaje de solicitud de traspaso. Las capacidades de seguridad de NR del UE que se reciben de la eMME de destino nunca se han protegido contra ataques de degradación del servicio. Dado que las capacidades de seguridad de NR del UE nunca se han protegido contra ataques de degradación del servicio y la MME de origen no admite ENDC5 ni las capacidades de seguridad de NR del Ue (es decir, la MME de origen es una MME heredada), esto significa que el MeNB de destino no puede comenzar a agregar el(los) DRB en el SgNB excepto hasta que se complete el traspaso S1 y el MeNB de destino reciba el mensaje de confirmación de traspaso del UE. Por lo tanto, durante un traspaso S1 de un eNB a un MeNB, el MeNB no agrega el(los) DRB al SgNB hasta que se completa el traspaso S1.
En el mismo ejemplo, cuando un UE traspasa de un eNB heredado que está conectado a una MME heredada a un MeNB que está conectado a la eMME, puede haber un mecanismo para indicar a la eMME de destino si las capacidades de seguridad de NR del UE se han protegido contra ataques de degradación del servicio o no.
En un ejemplo, el UE incluye sus capacidades de seguridad de NR en el IE de la capacidad de red del UE existente en un mensaje de solicitud de conexión NAS.
El UE incluye las capacidades de seguridad de NR en el IE de la capacidad de red del UE en una solicitud de conexión. La MME heredada puede guardar las capacidades de seguridad de NR del UE en el contexto EPS del UE sin comprender que existe. La MME heredada no puede indicar a la eMME de destino que las capacidades de seguridad de NR están protegidas o NO. La ausencia de indicación a la eMME de destino significa que las capacidades de seguridad de NR del UE NO están protegidas. Cuando cualquier eMME transfiere un contexto EPS del UE con capacidades de seguridad de NR, la eMME indica si las capacidades de seguridad de NR del UE se han protegido contra ataques de degradación del servicio o no.
Alternativamente, si una MME de origen no admite ENDC5 ni el hash de conexión y una eMME de destino recibe el contexto del UE con las capacidades de seguridad de NR, la eMME puede considerar que las capacidades de seguridad de NR no estaban protegidas.
Ya sea en un traspaso X2 o S1, una vez que se completa el traspaso, el MeNB de destino puede usar el procedimiento para agregar el(los) DRB al SgNB para reproducir las capacidades de seguridad de NR del UE. Esto puede lograrse si el MeNB de destino incluye las capacidades de seguridad de NR del UE en el mensaje de solicitud de reconfiguración de conexión RRC enviado al UE. Si las capacidades de seguridad de NR del UE que recibe el UE son diferentes de las capacidades de seguridad de NR del UE, el UE puede incluir sus capacidades de seguridad de NR del UE en el mensaje de reconfiguración de la conexión RRC completa enviado al MeNB de destino. Si el MeNB de destino recibe las capacidades de seguridad de NR del UE en el mensaje de reconfiguración de la conexión RRC completa que es diferente de lo que ha enviado al UE, el MeNB de destino puede renegociar la seguridad de SgNB con el UE.
Tanto en el traspaso X2 como en el S1, una vez que se completa el traspaso, el UE puede activar un procedimiento de actualización del área de seguimiento y, por lo tanto, el UE puede incluir sus capacidades de seguridad, incluidas sus capacidades de seguridad de NR, en el mensaje TAU.
En algunos ejemplos, la capacidad de radio de NR del UE se agrega como parte del IE de la capacidad de radio del UE actual. Esto permite que el eNB heredado guarde la capacidad de radio de NR del UE sin la necesidad de admitirla o comprenderla. También permite que la MME heredada almacene la capacidad de seguridad de NR del UE como parte de la capacidad de Radio del UE. La ventaja de esta forma de codificar la capacidad de radio de NR del UE es que durante un traspaso X2 o S1, el MeNB puede recibir la capacidad de radio del UE desde el eNB heredado de origen o a través de la MME heredada. Dado que el MeNB admite la capacidad de radio de NR del UE, el MeNB puede comprender que el UE admite la radio de NR y la use para tomar su decisión durante el traspaso X2 o S1, como se explica en esta solución.
Alternativamente, las Capacidades de Seguridad de NR del UE no pueden agregarse como parte de las Capacidades de Red del UE. Cuando el UE comunica sus capacidades de seguridad de NR, las capacidades de seguridad de NR del UE pueden agregarse como un nuevo IE distinto del IE de la capacidad de red del UE. Esto puede hacer que cualquier MME heredada abandone el IE de las capacidades de seguridad de NR y no las guarde dentro del contexto del UE. De esta forma, durante el traspaso S1 y cuando la MME heredada envía el contexto del UE, la MME mejorada no recibe las capacidades de seguridad de NR del UE desde una MME heredada. Esto también significa que, si el MeNB recibe la capacidad de radio de NR del UE y no recibe las capacidades de seguridad de NR del UE durante el traspaso X2 o S1 desde el eNB heredado de origen o la MME, esto se considera una indicación para que el MeNB no agregue la SgNB durante este traspaso específico.
En modalidades de la presente descripción, el UE activa el procedimiento de TAU después de que se completa un traspaso X2 o S1 del eNB heredado al MeNB.
Cuando un operador actualiza su red para admitir la función ENDC, el operador se asegura de que el eNB y el MeNB heredados pertenezcan a diferentes áreas de seguimiento. De esta forma, cuando el UE traspasa del eNB heredado al MeNB, el UE puede activar el procedimiento de TAU y enviar sus capacidades de seguridad de NR del UE a la MME.
Alternativamente, identifique un activador o un valor de causa, por ejemplo, "TAU Requerida: Falta de Coincidencia de las Capacidades de seguridad del UE" que se puede enviar al UE durante el traspaso X2 o S1. Cuando el UE recibe dicha activación, el UE puede realizar el procedimiento de TAU después de que se completa el traspaso, es decir, después de que el UE envía un mensaje de reconfiguración de la conexión RRC completa en el traspaso X2, o después de que el UE envía un mensaje de confirmación de traspaso en el traspaso S1.
Cuando la eMME recibe el mensaje de TAU y descubre que hay una actualización de las capacidades de seguridad del UE que es diferente a la que se recibió de la MME heredada, es decir, las capacidades de seguridad de NR están presentes en el proceso del procedimiento de TAU y envía el mensaje de aceptación mientras reproduce las capacidades de seguridad del UE. Además, la eMME envía las capacidades de seguridad del UE, incluidas las capacidades de seguridad de NR del UE, al MeNB en el mensaje S1AP. Después de que el MeNB recibe las capacidades de seguridad de NR del UE desde la MME heredada, el MeNB comienza a agregar el SgNB, es decir, agrega el(los) DRB(s)/SRB al gNB.
La Figura 8B es un diagrama de la operación de una modalidad de un traspaso X2 desde el eNB heredado al MeNB y un procedimiento de adición de SgNB.
En la etapa 8B1, el eNB de origen 130 transmite un mensaje de solicitud de traspaso al eNB de destino 120. El mensaje de solicitud de traspaso puede incluir un contexto del UE. En algunas modalidades, el contexto del UE incluye las capacidades de radio de NR 5G del UE, pero no incluye las capacidades de seguridad de NR del UE. En la etapa 8B02, el eNB de destino 120 recibe el mensaje de solicitud de traspaso. Dado que el contexto del UE no comprende las capacidades de seguridad de NR del UE, el eNB de destino 120 sabe que el UE 120 es capaz de operar la red de NR. Por lo tanto, aunque el traspaso puede completarse, el eNB de destino 120 decide retrasar la adición de un DRB en el SgNB 110. El eNB de destino 120 transmite un mensaje de acuse de recibo de solicitud de traspaso al eNB de origen 130. El mensaje de acuse de recibo de solicitud de traspaso puede incluir un activador para activar un procedimiento de TAU. Opcionalmente, el mensaje de acuse de recibo de solicitud de traspaso puede comprender las capacidades de radio de NR. No se incluyen las capacidades de seguridad de NR.
En la etapa 8B03, el eNB de origen 130 transmite un mensaje de reconfiguración de conexión RRC al UE 210. Opcionalmente, el mensaje de reconfiguración de conexión RRC puede comprender la información recibida del eNB de destino 120. En algunas modalidades, el mensaje de reconfiguración de conexión RRC puede incluir una bandera o indicador que instruye al UE 210 para que realice una actualización del área de seguimiento al completarse el procedimiento de traspaso. En algunas modalidades, el mensaje de reconfiguración de conexión RRC también puede incluir información para establecer una asociación de seguridad con el eNB de destino 120. Por lo tanto, el UE 210 puede establecer una asociación de seguridad LTE con el eNB de destino 120. En consecuencia, el eNB de destino 120 puede establecer la misma asociación de seguridad con el UE 210 al completarse el procedimiento de traspaso.
En la etapa 8B04, el UE 210 y el eNB de destino 120 realizan un procedimiento de acceso aleatorio para asignar recursos para una comunicación entre el UE 210 y el eNB de destino 120.
En la etapa 8B05, el UE 210 transmite un mensaje de reconfiguración de la conexión RRC completa al eNB de destino 120.
En la etapa 8B06, el UE 210 transmite un mensaje de solicitud de TAU al eNB de destino 120. El mensaje de solicitud de TAU puede ser en respuesta a la bandera o indicador del eNB de destino 120 o en respuesta a la entrada en una nueva área de seguimiento. El mensaje de solicitud de actualización del área de seguimiento está protegido por la asociación de seguridad entre el UE 210 y el eNB de destino 120.
En la etapa 8B07, el eNB de destino 120 transmite la solicitud de TAU a la MME 310.
En la etapa 8B08, la MME 310 transmite un mensaje de aceptación de TAU al eNB de destino 120. El mensaje de aceptación de TAU puede incluir las capacidades de seguridad de NR del UE. En algunos ejemplos, el mensaje de aceptación de TAU incluye las capacidades de seguridad LTE del UE. El eNB de destino 120 recibe las capacidades de seguridad de NR del UE.
En la etapa 8B09, el eNB de destino 120 transmite un mensaje de aceptación de TAU al UE 210.
En la etapa 8B10, el eNB de destino 120 transmite un mensaje de solicitud de adición de SgNB al SgNB 110.
En la etapa 8B11, el SgNB 110 transmite un mensaje de acuse de recibo de solicitud de adición de SgNB al eNB de destino 120.
En la etapa 8B12, el UE 210 realiza un procedimiento de TAU con el SgNB 110.
En la etapa 8B13, el eNB de destino 120 transmite un mensaje de reconfiguración completa de SgNB al SgNB 110. En la etapa 8B13, el eNB de destino 120 transmite un mensaje de solicitud de cambio de trayectoria a la MME 310. En la etapa 8B14, la MME 310 transmite un mensaje de acuse de recibo de solicitud de cambio de trayectoria al eNB de destino 120.
En una modalidad de la adición de SgNB después de un traspaso S1 del eNB heredado al MeNB S1, el eNB heredado de origen envía un mensaje de traspaso requerido a la MME heredada de origen. Incluye la información necesaria según el traspaso S1 actual, las capacidades de radio del UE y las capacidades de seguridad del UE. La MME heredada de origen envía el contexto del UE en la solicitud de ubicación de reenvío a la MME de destino, el contexto del UE no incluye las capacidades de seguridad de NR del UE. La MME de destino envía un mensaje de solicitud de traspaso que incluye las capacidades de radio del UE, las capacidades de seguridad del UE sin incluir las capacidades de seguridad de NR. El MeNB retrasa la adición de SgNB ya que las capacidades de seguridad de NR del UE no están presentes. El MeNB puede incluir una bandera para enviarse al UE "TAU Requerida: Falta de Coincidencia de las capacidades de Seguridad del UE". El MeNB envía un mensaje de acuse de recibo de solicitud de traspaso a la MME de destino que continúa el proceso de traspaso S1 como en el documento 3GPP TS 23.401. Después de que el MeNB recibe el mensaje de confirmación de traspaso del UE y luego recibe las capacidades de seguridad de NR del UE desde la eMME durante el procedimiento de TAU, el MeNB comienza el proceso de agregar el SgNB
En combinación con las modalidades anteriores de la presente descripción, la presente descripción proporciona varias modalidades del aparato como se indica a continuación.
La Figura 9 es un diagrama de bloques de una modalidad de una estación base 90 en la presente descripción. La estación base 90 puede ser el MeNB 120 o el eNB heredado 130 como se describe en las modalidades anteriores para implementar los métodos correspondientes. La estación base 90 comprende al menos un procesador 910 y al menos una memoria 920, la estación base 90 también comprende al menos un transceptor 930, al menos una interfaz de red 940 y una o más antenas 950. El procesador 910, la memoria 920, el transceptor 930 y la interfaz de red pueden acoplarse entre sí. La antena 950 podría acoplarse al transceptor 930. La interfaz de red 940 se usa para acoplarse con otros aparatos de red. Por ejemplo, la estación base 90 podría conectarse a otra estación base y a un aparato de red central a través de la interfaz de red 940.
El procesador 910 puede incluir al menos cualquier tipo de: unidad central de procesamiento (CPU), procesador de señales digitales (DSP), circuito integrado específico de la aplicación (ASIC), unidad de microcontrolador (MCU) o matriz de puertas programables en campo (FPGA). El procesador 910 puede incluir múltiples procesadores o unidades de procesamiento en su interior. Los múltiples procesadores o unidades de procesamiento pueden integrarse en un chip o distribuirse en diferentes chips.
La memoria 920 puede acoplarse al procesador 910. La memoria 920 incluye un medio legible por ordenador no transitorio. La memoria 920 puede almacenar código de programa de ordenador para ejecutar los métodos proporcionados en las modalidades de la presente descripción bajo el control del procesador 910. El código del programa de ordenador ejecutado también puede considerarse como un programa de control del procesador 910. Por ejemplo, el procesador 910 se usa para ejecutar el código del programa de ordenador almacenado en la memoria 920 para realizar los métodos proporcionados en las modalidades de la presente descripción.
El transceptor 930 puede ser cualquier dispositivo para realizar la recepción y el envío de señales. El transceptor 930 puede incluir un transmisor (TX) y un receptor (RX).
Cuando la estación base 90 es el eNB heredado 130 en las modalidades anteriores, puede realizar las etapas correspondientes en diferentes métodos.
La Figura 10 es un diagrama de otra modalidad de una estación base 100 en la presente descripción. La estación base 100 incluye una unidad de envío 101 y una unidad de recepción 102. La estación base 100 puede incluir además una unidad de procesamiento 103. La estación base 100 puede ser un eNB heredado 130 o un MeNB 120 en las modalidades anteriores de la presente descripción. La unidad de envío 101 se usa para enviar un mensaje al UE 210 o a otra estación base o MME. La unidad de recepción 102 se usa para recibir un mensaje del UE 210 o de otra estación base o MME. La unidad de procesamiento 103 se usa para realizar algunas etapas en las modalidades anteriores, por ejemplo, etapas relacionadas con el eNB 130 o MeNB 120 heredado para realizar el procedimiento de conexión inicial, el traspaso X2 o el traspaso S1, o adición de SgNB, y así sucesivamente.
La Figura 11 es un diagrama de una modalidad del UE 210 en la presente descripción. El UE 210 puede incluir una unidad de envío 1110 y una unidad de recepción 1300, el UE 210 puede incluir además una unidad de procesamiento 1120. La unidad de envío 1100 puede usarse para enviar mensajes o información a una estación base como se hace referencia en las modalidades anteriores en el procedimiento de conexión inicial, traspaso X2 o traspaso S1, o adición de SgNB. La unidad de recepción 1200 puede usarse para recibir mensajes o información desde una estación base como se hace referencia en las modalidades anteriores en el procedimiento de conexión inicial, traspaso X2 o traspaso S1, o adición de SgNB. La unidad de procesamiento 300 se usa para realizar algunas etapas en las modalidades anteriores, por ejemplo, etapas relacionadas con el UE 210 para realizar el procedimiento de conexión inicial, el traspaso X2 o el traspaso S1, o adición de SgNB, y así sucesivamente.
La Figura 12 ilustra un diagrama de bloques de un sistema de procesamiento de la modalidad 600 para realizar los métodos descritos en la presente descripción, que pueden instalarse en un dispositivo anfitrión. Como se muestra, el sistema de procesamiento 1200 incluye un procesador 1204, una memoria 1206 y las interfaces 1210-1214, que pueden (o no) estar dispuestas como se muestra en la figura. El procesador 1204 puede ser cualquier componente o colección de componentes adaptados para realizar cálculos y/u otras tareas relacionadas con el procesamiento, y la memoria 1206 puede ser cualquier componente o colección de componentes adaptados para almacenar la programación y/o instrucciones para que las ejecute el procesador 1204. En una modalidad, la memoria 1206 incluye un medio legible por ordenador no transitorio. Las interfaces 1210, 1212, 1214 pueden ser cualquier componente o colección de componentes que permitan que el sistema de procesamiento 1200 se comunique con otros dispositivos/componentes y/o un usuario. Por ejemplo, una o más de las interfaces 1210, 1212, 1214 pueden adaptarse para comunicar mensajes de datos, control o gestión desde el procesador 1204 a aplicaciones instaladas en el dispositivo anfitrión y/o un dispositivo remoto. Como otro ejemplo, una o más de las interfaces 1210, 1212, 1214 pueden adaptarse para permitir que un usuario o dispositivo de usuario (por ejemplo, un ordenador personal (PC), etc.) interactúe/se comunique con el sistema de procesamiento 1200. El sistema de procesamiento 1200 puede incluir componentes adicionales no representados en la figura, tal como almacenamiento a largo plazo (por ejemplo, memoria no volátil, etc.).
En algunas modalidades, el sistema de procesamiento 1200 está incluido en un dispositivo de red que accede o de cualquier otra manera forma parte de una red de telecomunicaciones. En un ejemplo, el sistema de procesamiento 1200 está en un dispositivo del lado de la red en una red de telecomunicaciones alámbrica o inalámbrica, tal como una estación base, una estación repetidora, un programador, un controlador, una puerta de enlace, un enrutador, un servidor de aplicaciones o cualquier otro dispositivo de la red de telecomunicaciones. Por ejemplo, el eNB heredado 130, o MeNB, o la MME heredada 320, o la eMME 310 en las modalidades anteriores de la presente descripción. En otras modalidades, el sistema de procesamiento 1200 está en un dispositivo del lado del usuario que accede a una red de telecomunicaciones inalámbrica o alámbrica, tal como una estación móvil, un equipo de usuario (UE), un ordenador personal (PC), una tableta, un dispositivo de comunicaciones ponible (por ejemplo, un reloj inteligente, etc.), o cualquier otro dispositivo adaptado para acceder a una red de telecomunicaciones. Por ejemplo, podría ser el UE 210 en las modalidades anteriores de la presente descripción.
En algunas modalidades, una o más de las interfaces 1210, 1212, 1214 conectan el sistema de procesamiento 1200 a un transceptor adaptado para transmitir y recibir señales a través de la red de telecomunicaciones.
La Figura 13 ilustra un diagrama de bloques de un transceptor 1300 adaptado para transmitir y recibir señales a través de una red de telecomunicaciones. El transceptor 1300 puede instalarse en un dispositivo anfitrión. Como se muestra, el transceptor 1300 comprende una interfaz del lado de la red 1302, un acoplador 1304, un transmisor 1306, un receptor 1308, un procesador de señal 1310 y una interfaz del lado del dispositivo 1312. La interfaz del lado de la red 1302 puede incluir cualquier componente o colección de componentes adaptados para transmitir o recibir señales a través de una red de telecomunicaciones inalámbrica o alámbrica. El acoplador 1304 puede incluir cualquier componente o colección de componentes adaptados para facilitar la comunicación bidireccional a través de la interfaz del lado de la red 1302. El transmisor 1306 puede incluir cualquier componente o colección de componentes (por ejemplo, convertidor ascendente, amplificador de potencia, etc.) adaptado para convertir una señal de banda base en una señal portadora modulada adecuada para la transmisión a través de la interfaz del lado de la red 1302. El receptor 1308 puede incluir cualquier componente o colección de componentes (por ejemplo, convertidor descendente, amplificador de bajo ruido, etc.) adaptado para convertir una señal portadora recibida a través de la interfaz del lado de la red 1302 en una señal de banda base. El procesador de señales 1310 puede incluir cualquier componente o colección de componentes adaptados para convertir una señal de banda base en una señal de datos adecuada para la comunicación a través de la(s) interfaz(ces) del lado del dispositivo 1312, o viceversa. La(s) interfaz(ces) del lado del dispositivo 1312 pueden incluir cualquier componente o colección de componentes adaptados para comunicar señales de datos entre el procesador de señal 1310 y los componentes dentro del dispositivo anfitrión (por ejemplo, el sistema de procesamiento 1200, puertos de red de área local (LAN), etc.).
El transceptor 1300 puede transmitir y recibir señalización a través de cualquier tipo de medio de comunicación. En algunas modalidades, el transceptor 1300 transmite y recibe señalización a través de un medio inalámbrico. Por ejemplo, el transceptor 1300 puede ser un transceptor inalámbrico adaptado para comunicarse de acuerdo con un protocolo de telecomunicaciones inalámbricas, tal como un protocolo celular (por ejemplo, evolución a largo plazo (LTE), etc.), una red de área local inalámbrica (WLAN) (por ejemplo, Wi-Fi, etc.), o cualquier otro tipo de protocolo inalámbrico (por ejemplo, Bluetooth, comunicación de campo cercano (NFC), etc.). En tales modalidades, la interfaz del lado de la red 1302 comprende uno o más elementos de antena/radiación. Por ejemplo, la interfaz del lado de la red 1302 puede incluir una sola antena, múltiples antenas separadas o una matriz de múltiples antenas configurada para comunicación de múltiples capas, por ejemplo, entrada única salida múltiple (SIMO), entrada múltiple salida única (MISO), entrada múltiple salida múltiple (MIMO), etc. En otras modalidades, el transceptor 1300 transmite y recibe señalización a través de un medio alámbrico, por ejemplo, cable de par trenzado, cable coaxial, fibra óptica, etc. Los sistemas de procesamiento y/o transceptores específicos pueden utilizar todos los componentes que se muestran, o solo un subconjunto de los componentes, y los niveles de integración pueden variar de dispositivo a dispositivo.
Además, una modalidad de la presente descripción proporciona un medio de almacenamiento informático para almacenar software informático que comprende programas para ejecutar métodos de las modalidades anteriores. Una modalidad de la presente descripción proporciona un sistema de conjunto de chips, el sistema de conjunto de chips incluye un procesador, usado para implementar la funcionalidad del UE 210, eNB heredado 130, MeNB 120, eMME 310 o MME heredada 320. El sistema de conjunto de chips puede incluir además una memoria para almacenar datos e instrucciones de programa. El sistema de conjunto de chips puede estar compuesto por conjuntos de chips, y también puede estar compuesto por al menos uno de los conjuntos de chips y otro dispositivo discreto. Debe apreciarse que uno o más etapas de los métodos de modalidad proporcionados en la presente descripción pueden realizarse por unidades o módulos correspondientes. Por ejemplo, una señal puede transmitirse por una unidad de transmisión o un módulo de transmisión. Una señal puede recibirse por una unidad de recepción o un módulo de recepción. Una señal puede procesarse por una unidad de procesamiento o un módulo de procesamiento. Otras etapas pueden realizarse por otras unidades/módulos. Las respectivas unidades/módulos pueden ser hardware, software o una combinación de los mismos. Por ejemplo, una o más de las unidades/módulos pueden ser un circuito integrado, tales como matrices de puertas programables en campo (FPGA) o circuitos integrados de aplicación específica (ASIC).
Aunque la descripción se ha descrito en detalle, debe comprenderse que se pueden realizar varios cambios, sustituciones y alteraciones sin apartarse del alcance de esta descripción tal como se define en las reivindicaciones adjuntas. Además, no se pretende que el alcance de la descripción se limite a las modalidades particulares descritas en la presente descripción, ya que un experto en la técnica apreciará fácilmente a partir de esta descripción que los procesos, las máquinas, la fabricación, las composiciones de la materia, los medios, los métodos o las etapas, actualmente existentes o que se desarrollarán posteriormente, pueden realizar sustancialmente la misma función o lograr sustancialmente el mismo resultado que las modalidades correspondientes descritas en la presente descripción. En consecuencia, las reivindicaciones adjuntas pretenden incluir dentro de su alcance tales procesos, máquinas, fabricación, composiciones de materia, medios, métodos o etapas.

Claims (11)

REIVINDICACIONES
1. Un método para conectar, que comprende:
transmitir (201), por parte de un equipo de usuario, UE, que se conecta a una Red de Evolución a Largo Plazo, LTE, un mensaje de solicitud de conexión a una entidad de gestión de movilidad heredada en donde el mensaje de solicitud de conexión incluye capacidades de seguridad del UE que comprenden capacidades de seguridad de nueva radio, NR, del UE, capacidades de seguridad de segunda generación, 2G, del UE, capacidades de seguridad de tercera generación, 3G, del UE y capacidades de seguridad LTE del UE; recibir (203), por parte del UE, un estrato sin acceso, comando de modo de seguridad NAS, mensaje SMC de la entidad de gestión de movilidad heredada,
determinar, por parte del UE, que no ha ocurrido ningún ataque de degradación del servicio cuando las capacidades de seguridad 2G del UE, las capacidades de seguridad 3G del UE y las capacidades de seguridad LTE del UE se han reproducido correctamente y con éxito en el mensaje SMC del NAS, y el mensaje SMC del NAS no incluye las capacidades de seguridad de NR del UE; y
continuar, por parte del UE, el procedimiento de conexión.
2. El método de acuerdo con la reivindicación 1, en donde el método comprende, además:
verificar, por parte del UE, si las capacidades de seguridad 2G del UE, las capacidades de seguridad 3G del UE y las capacidades de seguridad LTE del UE se han reproducido correctamente y con éxito en el mensaje SMC del NAS.
3. El método de acuerdo con la reivindicación 1 o 2, en donde el mensaje de solicitud de conexión comprende un nuevo elemento de información para llevar las capacidades de seguridad de NR del UE.
4. El método de acuerdo con cualquiera de las reivindicaciones 1-3, en donde las capacidades de seguridad del UE incluyen una lista de algoritmos de protección de seguridad que admite el UE.
5. El método de acuerdo con una cualquiera de las reivindicaciones 1-4, en donde la entidad de gestión de movilidad heredada no reconoce ni comprende las capacidades de seguridad de NR del UE incluidas en el mensaje de solicitud de conexión.
6. Un equipo de usuario, UE, para conectarse a una Red de Evolución a Largo Plazo, LTE, que comprende:
medios para transmitir un mensaje de solicitud de conexión a una entidad de gestión de movilidad heredada, en donde el mensaje de solicitud de conexión incluye capacidades de seguridad del UE que comprenden capacidades de seguridad de nueva radio, NR, del equipo de usuario, UE, capacidades de seguridad de la segunda generación, 2G, del UE, capacidades de seguridad de tercera generación, 3G, del UE y capacidades de seguridad LTE del UE;
medios para recibir un estrato sin acceso, comando de modo de seguridad NAS, mensaje SMC de la entidad de gestión de movilidad heredada,
medios para determinar, por parte del UE, que no ha ocurrido ningún ataque de degradación del servicio cuando las capacidades de seguridad 2G del UE, las capacidades de seguridad 3G del UE y las capacidades de seguridad LTE del UE se han reproducido correctamente y con éxito en el mensaje SMC del NAS, y el mensaje SMC del NAS no incluye las capacidades de seguridad de NR del UE; y
medios para continuar con el procedimiento de conexión.
7. El aparato de acuerdo con la reivindicación 6, el aparato comprende, además:
medios para verificar que las capacidades de seguridad 2G del UE, las capacidades de seguridad 3G del UE y las capacidades de seguridad lTe del UE se han reproducido correctamente y con éxito en el mensaje SMC del NAS.
8. El aparato de acuerdo con la reivindicación 6 o 7, en donde el mensaje de solicitud de conexión comprende un nuevo elemento de información para transportar las capacidades de seguridad de NR del UE.
9. El aparato de acuerdo con cualquiera de las reivindicaciones 6-8, en donde las capacidades de seguridad del UE incluyen una lista de algoritmos de protección de seguridad que admite el aparato.
10. El aparato de acuerdo con cualquiera de las reivindicaciones 6-9, en donde la entidad de gestión de movilidad heredada no reconoce ni comprende las capacidades de seguridad de NR del UE incluidas en el mensaje de solicitud de conexión.
11. Un medio de almacenamiento legible por ordenador que comprende al menos una instrucción que, cuando es ejecutada por un ordenador, provoca que el ordenador lleve a cabo el método de acuerdo con cualquiera de las reivindicaciones de la 1 a la 5.
ES18872268T 2017-10-30 2018-10-30 Métodos, aparatos, sistema y medio de almacenamiento legible por ordenador para obtener capacidades de seguridad del equipo del usuario Active ES2926848T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201762579012P 2017-10-30 2017-10-30
PCT/US2018/058145 WO2019089543A1 (en) 2017-10-30 2018-10-30 Method and device for obtaining ue security capabilities

Publications (1)

Publication Number Publication Date
ES2926848T3 true ES2926848T3 (es) 2022-10-28

Family

ID=66332700

Family Applications (2)

Application Number Title Priority Date Filing Date
ES22188016T Active ES2973317T3 (es) 2017-10-30 2018-10-30 Método y dispositivo para obtener capacidades de seguridad del equipo de usuario
ES18872268T Active ES2926848T3 (es) 2017-10-30 2018-10-30 Métodos, aparatos, sistema y medio de almacenamiento legible por ordenador para obtener capacidades de seguridad del equipo del usuario

Family Applications Before (1)

Application Number Title Priority Date Filing Date
ES22188016T Active ES2973317T3 (es) 2017-10-30 2018-10-30 Método y dispositivo para obtener capacidades de seguridad del equipo de usuario

Country Status (5)

Country Link
US (2) US11418962B2 (es)
EP (3) EP4142215B1 (es)
CN (2) CN111316233A (es)
ES (2) ES2973317T3 (es)
WO (1) WO2019089543A1 (es)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102492562B1 (ko) * 2018-01-12 2023-01-27 삼성전자주식회사 네트워크 보안을 위한 장치 및 방법
US11356903B2 (en) * 2018-08-08 2022-06-07 Google Llc Device and method of configuring a handover
EP3841832A1 (en) * 2018-08-21 2021-06-30 Telefonaktiebolaget Lm Ericsson (Publ) Technique for preparing user equipment mobility
CN112087747A (zh) * 2019-06-14 2020-12-15 苹果公司 改善的rrc过程安全性
KR102279293B1 (ko) * 2020-08-07 2021-07-20 한국인터넷진흥원 비암호화 채널 탐지 방법 및 장치
CN114339845A (zh) * 2020-09-30 2022-04-12 北京小米移动软件有限公司 更新ue的nr能力方法、装置、用户设备及存储介质
US20230319921A1 (en) * 2020-10-13 2023-10-05 Peng Cheng Protocol stacks and bearer modeling for rsu assisted uu connectivity

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202005021930U1 (de) 2005-08-01 2011-08-08 Corning Cable Systems Llc Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen
JP2007184938A (ja) 2006-01-04 2007-07-19 Asustek Computer Inc 無線通信システムにおけるユーザー端の完全性保護設定方法及び装置
CN101174943A (zh) 2006-11-01 2008-05-07 华为技术有限公司 一种数据安全的同步方法及系统
CN101378591B (zh) 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN103220674B (zh) * 2007-09-03 2015-09-09 华为技术有限公司 一种终端移动时防止降质攻击的方法、系统及装置
CN101552982A (zh) * 2008-04-01 2009-10-07 华为技术有限公司 检测降质攻击的方法及用户设备
CN101883346B (zh) 2009-05-04 2015-05-20 中兴通讯股份有限公司 基于紧急呼叫的安全协商方法与装置
CN102014520B (zh) 2009-09-08 2013-06-26 杰脉通信技术(上海)有限公司 一种在ue侧确保rrc信令时序的方法
CN102487507B (zh) 2010-12-01 2016-01-20 中兴通讯股份有限公司 一种实现完整性保护的方法及系统
US20120159151A1 (en) 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
CN102448058B (zh) 2011-01-10 2014-04-30 华为技术有限公司 一种Un接口上的数据保护方法与装置
WO2012134218A2 (ko) 2011-03-31 2012-10-04 엘지전자 주식회사 무선 통신 시스템에서 단말이 네트워크와의 보안 설정 방법 및 이를 위한 장치
US9277398B2 (en) * 2011-08-22 2016-03-01 Sharp Kabushiki Kaisha User equipment capability signaling
EP2807847B1 (en) * 2012-01-26 2020-10-28 Telefonaktiebolaget LM Ericsson (publ) Operation of a serving node in a network
US10075881B2 (en) 2013-04-02 2018-09-11 Lg Electronics Inc. Method for performing a cell change procedure in a wireless communication system and a device therefor
WO2014169451A1 (zh) 2013-04-17 2014-10-23 华为技术有限公司 数据传输方法和装置
WO2015002466A2 (ko) * 2013-07-04 2015-01-08 한국전자통신연구원 이동 통신 시스템에서 복수 연결을 지원하기 위한 제어 방법 및 복수 연결 지원 장치
JP6445032B2 (ja) 2013-11-01 2018-12-26 サムスン エレクトロニクス カンパニー リミテッド ベアラを再構成する方法及び装置
US20170034866A1 (en) * 2014-01-31 2017-02-02 Telefonaktiebolaget Lm Ericsson (Publ) Method Between Two eNBs to Agree on Radio Resource Configuration for a UE Which Supports Dual Connectivity Between the eNBs
US9801055B2 (en) * 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
US10582522B2 (en) 2015-09-04 2020-03-03 Lg Electronics Inc. Data transmission and reception method and device of terminal in wireless communication system
CN108605224B (zh) * 2015-12-03 2022-02-22 瑞典爱立信有限公司 多rat接入层安全性
WO2017121528A1 (en) * 2016-01-13 2017-07-20 Telefonaktiebolaget Lm Ericsson (Publ) Integrity protection
CN109417746B (zh) * 2016-04-20 2021-06-08 康维达无线有限责任公司 系统信息提供和轻量连接信令
WO2017200269A1 (ko) 2016-05-16 2017-11-23 엘지전자(주) 무선 통신 시스템에서 착신 데이터 제어 방법 및 이를 위한 장치
US20180083972A1 (en) 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system
WO2018059866A1 (en) * 2016-09-28 2018-04-05 Sony Corporation Telecommunications apparatus and methods for handling split radio bearers
CN106851856B (zh) 2016-12-23 2019-04-09 电信科学技术研究院有限公司 一种基于移动中继的无线通信建立方法及网络设备
KR102241996B1 (ko) 2017-01-09 2021-04-19 엘지전자 주식회사 무선 통신 시스템에서 네트워크간 상호연동 방법 및 이를 위한 장치
CN110603896B (zh) 2017-03-24 2023-06-16 诺基亚技术有限公司 新型无线电接入技术中的pdcp重复和数据恢复的处理
WO2018201506A1 (zh) 2017-05-05 2018-11-08 华为技术有限公司 一种通信方法及相关装置
US11553388B2 (en) * 2017-06-16 2023-01-10 Htc Corporation Device and method of handling mobility between long-term evolution network and fifth generation network

Also Published As

Publication number Publication date
EP4366354A2 (en) 2024-05-08
EP3692439B1 (en) 2022-08-17
CN111316233A (zh) 2020-06-19
EP4142215B1 (en) 2024-02-14
EP4142215C0 (en) 2024-02-14
CN113382404B (zh) 2022-03-08
US11418962B2 (en) 2022-08-16
EP3692439A1 (en) 2020-08-12
CN113382404A (zh) 2021-09-10
ES2973317T3 (es) 2024-06-19
WO2019089543A1 (en) 2019-05-09
EP4142215A1 (en) 2023-03-01
US20220191701A1 (en) 2022-06-16
US20200178068A1 (en) 2020-06-04
EP3692439A4 (en) 2020-11-11

Similar Documents

Publication Publication Date Title
ES2926848T3 (es) Métodos, aparatos, sistema y medio de almacenamiento legible por ordenador para obtener capacidades de seguridad del equipo del usuario
KR102347524B1 (ko) 보안 보호를 위한 방법, 장치 및 시스템
ES2945959T3 (es) Métodos para un terminal y para el dispositivo de red Peer para la configuración y para la liberación de recursos de acceso aleatorio, el terminal relacionado y el dispositivo de red relacionado
CN111052781B (zh) 用于协商安全性算法和完整性算法的方法和设备
EP3869860B1 (en) Network switching method and apparatus
EP3820181A1 (en) Secure conversation method and device
KR102407695B1 (ko) 앵커 핸드오버 방법 및 장비
ES2714175T3 (es) Procedimiento de transmisión de datos, aparatos y sistema de comunicaciones
US11051215B2 (en) Switching method, terminal device, and network device
CN112399507A (zh) 用于传输数据的方法、终端设备和网络设备
WO2020056433A2 (en) SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo)
CN109936444B (zh) 一种密钥生成方法及装置
JP5815654B2 (ja) 移動無線通信装置及び無線通信方法
WO2020038545A1 (en) Negotiation of security features
CN112154682B (zh) 密钥更新方法、设备和存储介质
US20210352469A1 (en) User plane security
JP2022511577A (ja) 無線通信及び機器
WO2021101432A1 (en) Passing information in between ran nodes not fully understanding its entire content
WO2018152751A1 (zh) 一种配置pdcp实体的方法、接收装置和发送装置
KR20220076464A (ko) 무선 통신의 방법 및 단말 장치
WO2016181252A1 (en) Radio resource control connection re-establishment with default configuration