RU2767778C2 - Способ и устройство защиты целостности данных - Google Patents
Способ и устройство защиты целостности данных Download PDFInfo
- Publication number
- RU2767778C2 RU2767778C2 RU2020110041A RU2020110041A RU2767778C2 RU 2767778 C2 RU2767778 C2 RU 2767778C2 RU 2020110041 A RU2020110041 A RU 2020110041A RU 2020110041 A RU2020110041 A RU 2020110041A RU 2767778 C2 RU2767778 C2 RU 2767778C2
- Authority
- RU
- Russia
- Prior art keywords
- integrity protection
- message
- session
- drb
- indication
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000004891 communication Methods 0.000 claims abstract description 22
- 230000006870 function Effects 0.000 claims description 42
- 238000013507 mapping Methods 0.000 claims description 3
- 102100022734 Acyl carrier protein, mitochondrial Human genes 0.000 claims 6
- 101000678845 Homo sapiens Acyl carrier protein, mitochondrial Proteins 0.000 claims 6
- 230000000694 effects Effects 0.000 abstract description 6
- 239000000126 substance Substances 0.000 abstract 1
- 230000004913 activation Effects 0.000 description 38
- 238000010586 diagram Methods 0.000 description 22
- 238000004590 computer program Methods 0.000 description 18
- 230000011664 signaling Effects 0.000 description 18
- 238000012545 processing Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 230000007774 longterm Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- DJGAAPFSPWAYTJ-UHFFFAOYSA-M metamizole sodium Chemical compound [Na+].O=C1C(N(CS([O-])(=O)=O)C)=C(C)N(C)N1C1=CC=CC=C1 DJGAAPFSPWAYTJ-UHFFFAOYSA-M 0.000 description 3
- XHSQDZXAVJRBMX-UHFFFAOYSA-N 2-(5,6-dichlorobenzimidazol-1-yl)-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound OC1C(O)C(CO)OC1N1C2=CC(Cl)=C(Cl)C=C2N=C1 XHSQDZXAVJRBMX-UHFFFAOYSA-N 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/102—Route integrity, e.g. using trusted paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/14—Mobility data transfer between corresponding nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Изобретение относится к технологиям связи и, в частности, к способу и устройству защиты целостности данных. Технический результат заключается в уменьшении сложности операции защиты целостности для UE и RAN. Терминальное устройство получает алгоритм защиты целостности, ключ, соответствующий сеансу, и однонаправленный канал передачи данных (DRB), соответствующий сеансу, и выполняет, используя алгоритм защиты целостности и ключ, соответствующий сеансу, защиту целостности данных DRB, соответствующего сеансу. Разные алгоритмы и ключи защиты целостности могут использоваться для разных сеансов, и разные алгоритмы и ключи защиты целостности могут также использоваться для разных потоков. Таким образом, защита целостности становится более гибкой и соответствует требованиям безопасности одного и того же пользователя для различных услуг. 4 н. и 12 з.п. ф-лы, 11 ил., 4 табл.
Description
Перекрестная ссылка на родственную заявку
Данная заявка испрашивает приоритет по заявке на патент Китая № 201710686855.8, поданной в Китайское патентное ведомство 11 августа 2017 года и озаглавленной «DATA INTEGRITY PROTECTION METHOD AND APPARATUS», которая включена сюда во всей своей полноте путем ссылки.
Область техники, к которой относится изобретение
Настоящая заявка относится к технологиям связи и, в частности, к способу и устройству защиты целостности данных.
Уровень техники
С быстрым развитием технологий связи все большее внимание привлекает проблема информационной безопасности системы мобильной связи. В качестве примера используется система долгосрочного развития (Long Term Evolution, LTE). Задача функции защиты целостности (Integrity Protection) в системе LTE состоит в том, чтобы предотвратить несанкционированный доступ к пользовательским данным. Как только приемная сторона обнаруживает сбой проверки целостности, может быть запущена процедура обновления ключа (Key) шифрования/дешифрования, чтобы защитить пользовательские данные с помощью нового ключа.
Функция защиты целостности включает защиту целостности и проверку целостности. Функция защиты целостности LTE реализована на уровне протокола конвергенции пакетных данных (Packet Data Convergence Protocol, PDCP). Перед шифрованием передающая сторона выполняет защиту целостности как заголовка (header), так и части данных протокольного блока данных PDCP (Protocol Data Unit, PDU). В частности, передающая сторона вычисляет, в соответствии с алгоритмом защиты целостности, сконфигурированным верхним уровнем протокола, 32-битовый код аутентификации сообщения (Message Authentication Code for Integrity, MAC-I) с использованием по меньшей мере одного из параметров, таких как ключ, значение COUNT, идентификатор однонаправленного радиоканала (DIRECTION), непосредственно сообщение и длина сообщения в качестве входного параметра, и размещает 32-битовый код аутентификации сообщения в поле MAC-I PDU PDCP. После приема сообщения приемная сторона вычисляет, используя один и тот же способ, предполагаемый код аутентификации XMAC-I для сообщения и выполняет проверку целостности путем сравнения XMAC-I с MAC-I. Если MAC-I равен XMAC-I, приемная сторона определяет, что проверка целостности прошла успешно; или если MAC-I не равен XMAC-I, приемная сторона определяет, что проверка целостности завершилась неудачно.
Однако функция защиты целостности в системе LTE находится на уровне гранулярности терминального устройства. Другими словами, терминальное устройство использует один и тот же параметр защиты целостности для всех данных, что приводит к негибкой защите целостности.
Сущность изобретения
Настоящая заявка обеспечивает способ и устройство защиты целостности данных для выполнения защиты целостности на уровне детализации сеанса или на уровне детализации потока таким образом, чтобы защита целостности была более гибкой и удовлетворяла требованиям безопасности одного и того же пользователя для различных услуг.
Первый аспект настоящей заявки предусматривает способ защиты целостности данных, включающий в себя: получение, терминальным устройством, алгоритма защиты целостности, ключа, соответствующего сеансу, и DRB, соответствующего сеансу; и выполнение защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа. Разные алгоритмы защиты целостности и ключи могут использоваться для разных сеансов, поэтому защита целостности является более гибкой и соответствует требованиям безопасности одного и того же пользователя для различных услуг.
При необходимости получение, терминальным устройством, алгоритма защиты целостности, ключа, соответствующего сеансу, и DRB, соответствующего сеансу, представляет собой, в частности: отправку, терминальным устройством, первого сообщения, где первое сообщение используется для запроса на установление сеанса; и прием, терминальным устройством, второго сообщения, где второе сообщение включает в себя: идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу; или
второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
Второй аспект настоящей заявки предусматривает способ защиты целостности данных, включающий в себя: получение, терминальным устройством, алгоритма защиты целостности, ключа, соответствующего потоку, и DRB, соответствующего потоку; и выполнение защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа. Разные алгоритмы защиты целостности и ключи могут также использоваться для разных потоков таким образом, чтобы защита целостности являлась более гибкой и удовлетворяла требованиям безопасности одного и того же пользователя для различных услуг.
При необходимости получение, терминальным устройством, алгоритма защиты целостности, ключа, соответствующего потоку, и однонаправленного радиоканала передачи данных (DRB), соответствующего потоку, представляет собой, в частности: отправку, терминальным устройством, первого сообщения, где первое сообщение используется для запроса на установление сеанса, и сеанс соответствует потоку; и получение, терминальным устройством, второго сообщения, где второе сообщение включает в себя: идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку; или
второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
При необходимости в первом аспекте и во втором аспекте настоящей заявки способ дополнительно включает в себя: получение, терминальным устройством, по меньшей мере одной из следующих информаций:
указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности, причем
указание позиции защиты целостности используется для указания сетевого элемента, где выполняется защита целостности;
указание позиции протокольного уровня защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности;
указание активации позиции защиты целостности используется для указания, включить или нет функцию защиты целостности; и
указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя или данные плоскости пользователя и сигнализация плоскости управления.
При необходимости в первом аспекте и во втором аспекте настоящей заявки данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB.
Когда данные DRB представляют собой пакет данных уровня SDAP DRB, способ дополнительно включает в себя: маркировку, терминальным устройством, идентификатора потока в пакете данных уровня SDAP DRB.
Третий аспект настоящей заявки предусматривает способ защиты целостности данных, включающий в себя: прием, устройством сети доступа, первого сообщения, отправленного терминальным устройством, где первое сообщение используется для запроса на установление сеанса; отправку, устройством сети доступа, третьего сообщения в устройство базовой сети, где третье сообщение включает в себя первое сообщение; прием, устройством сети доступа, четвертого сообщения, отправленного устройством базовой сети, где четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий сеансу, и DRB, соответствующий сеансу; сохранение, устройством сети доступа, алгоритма защиты целостности, ключа, соответствующего сеансу, и DRB, соответствующего сеансу; и отправку, устройством сети доступа, второго сообщения в терминальное устройство, где второе сообщение включает в себя: идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу; или второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
Четвертый аспект настоящей заявки предусматривает способ защиты целостности данных, включающий в себя: прием, устройством сети доступа, первого сообщения, отправленного терминальным устройством, где первое сообщение используется для запроса на установление сеанса; отправку, устройством сети доступа, третьего сообщения в устройство базовой сети, где третье сообщение включает в себя первое сообщение; прием, устройством сети доступа, четвертого сообщения, отправленного устройством базовой сети, где четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий потоку, и однонаправленный радиоканал передачи данных (DRB), соответствующий потоку, и сеанс соответствует потоку; сохранение, устройством сети доступа, алгоритма защиты целостности, ключа, соответствующего потоку, и DRB, соответствующего потоку; и отправку, устройством сети доступа, второго сообщения в терминальное устройство, где второе сообщение включает в себя: идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку; или второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
При необходимости в третьем аспекте и четвертом аспекте настоящей заявки третье сообщение или второе сообщение дополнительно включает в себя по меньшей мере одну из следующих информаций:
указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности, причем
указание позиции защиты целостности используется для указания сетевого элемента, где выполняется защита целостности;
указание позиции протокольного уровня защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности;
указание активации позиции защиты целостности используется для указания, включить или нет функцию защиты целостности; и
указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя или данные плоскости пользователя и сигнализация плоскости управления.
При необходимости в третьем аспекте и четвертом аспекте настоящей заявки способ дополнительно включает в себя: выполнение, устройством сети доступа, защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа.
При необходимости в третьем аспекте и четвертом аспекте настоящей заявки данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB.
Когда данные DRB представляют собой пакет данных уровня SDAP DRB, способ дополнительно включает в себя: маркирование, устройством сети доступа, идентификатора потока в пакете данных уровня SDAP DRB.
Пятый аспект настоящей заявки предусматривает способ защиты целостности данных, включающий в себя: прием устройством базовой сети, третьего сообщения, отправленного устройством сети доступа, где третье сообщение включает в себя первое сообщение, и первое сообщение используется для запроса на установление сеанса; и отправку устройством базовой сети четвертого сообщения в устройство сети доступа, где четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий сеансу, и однонаправленный радиоканал передачи данных (DRB), соответствующий сеансу; или включает в себя алгоритм защиты целостности, ключ, соответствующий потоку, и DRB, соответствующий потоку, где сеанс соответствует потоку.
При необходимости четвертое сообщение дополнительно включает в себя по меньшей мере одну из следующих информаций:
указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности, где
указание позиции защиты целостности используется для указания сетевого элемента, где выполняется защита целостности;
указание позиции протокольного уровня защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности;
указание активации позиции защиты целостности используется для указания, включить или нет функцию защиты целостности; и
указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя или данные плоскости пользователя и сигнализация плоскости управления.
При необходимости способ дополнительно включает в себя: выполнение устройством базовой сети защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа.
При необходимости данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB.
Когда данные DRB представляют собой пакет данных уровня SDAP DRB, способ дополнительно включает в себя: маркировку устройством базовой сети идентификатора потока в пакете данных уровня SDAP DRB.
Шестой аспект настоящей заявки предусматривает терминальное устройство, включающее в себя: модуль получения, выполненный с возможностью получения алгоритма защиты целостности, ключа, соответствующего сеансу, и однонаправленного радиоканала передачи данных (DRB), соответствующего сеансу; и модуль защиты целостности, выполненный с возможностью выполнения защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа.
При необходимости модуль получения специально выполнен с возможностью: отправки первого сообщения, где первое сообщение используется для запроса на установление сеанса; и приема второго сообщения, где второе сообщение включает в себя: идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу; или второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
Седьмой аспект настоящей заявки предусматривает терминальное устройство, включающее в себя: модуль получения, выполненный с возможностью получения алгоритма защиты целостности, ключа, соответствующего сеансу, и однонаправленного радиоканала передачи данных (DRB), соответствующего потоку; и модуль защиты целостности, выполненный с возможностью выполнения защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа.
При необходимости модуль получения специально выполнен с возможностью: отправки первого сообщения, где первое сообщение используется для запроса на установление сеанса, и сеанс соответствует потоку; и приема второго сообщения, где второе сообщение включает в себя: идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку; или второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
При необходимости в шестом аспекте и седьмом аспекте настоящей заявки модуль получения дополнительно выполнен с возможностью: получения по меньшей мере одной из следующих информаций:
указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности, где
указание позиции защиты целостности используется для указания сетевого элемента, где выполняется защита целостности;
указание позиции протокольного уровня защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности;
указание активации позиции защиты целостности используется для указания, включить или нет функцию защиты целостности; и
указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя или данные плоскости пользователя и сигнализация плоскости управления.
При необходимости в шестом аспекте и седьмом аспекте настоящей заявки данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB.
Когда данные DRB представляют собой пакет данных уровня SDAP DRB, терминальное устройство дополнительно включает в себя: модуль маркировки, выполненный с возможностью маркировки идентификатора потока в пакете данных уровня SDAP DRB.
Восьмой аспект настоящей заявки предусматривает устройство сети доступа, включающее в себя:
модуль приема, выполненный с возможностью приема первого сообщения, отправленного терминальным устройством, где первое сообщение используется для запроса на установление сеанса;
модуль отправки, выполненный с возможностью отправки третьего сообщения в устройство базовой сети, где третье сообщение включает в себя первое сообщение, где
модуль приема дополнительно выполнен с возможностью приема четвертого сообщения, отправленного устройством базовой сети, где четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий сеансу, и однонаправленный радиоканал передачи данных (DRB), соответствующий сеансу; и
модуль хранения, выполненный с возможностью хранения алгоритма защиты целостности, ключа, соответствующего сеансу, и DRB, соответствующего сеансу, где
модуль отправки дополнительно выполнен с возможностью отправки второго сообщения в терминальное устройство, где второе сообщение включает в себя: идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу; или второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
Девятый аспект настоящей заявки предусматривает устройство сети доступа, включающее в себя:
модуль приема, выполненный с возможностью приема первого сообщения, отправленного терминальным устройством, где первое сообщение используется для запроса на установление сеанса;
модуль отправки, выполненный с возможностью отправки третьего сообщения в устройство базовой сети, где третье сообщение включает в себя первое сообщение, где
модуль приема дополнительно выполнен с возможностью приема четвертого сообщения, отправленного устройством базовой сети, где четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий потоку, и однонаправленный радиоканал передачи данных (DRB), соответствующий потоку, и сеанс соответствует потоку; и
модуль хранения, выполненный с возможностью хранения алгоритма защиты целостности, ключа, соответствующего потоку, и DRB, соответствующего потоку, где
модуль отправки дополнительно выполнен с возможностью отправки второго сообщения в терминальном устройстве, где второе сообщение включает в себя: идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку; или
второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
В восьмом аспекте и девятом аспекте настоящей заявки третье сообщение или второе сообщение дополнительно включает в себя по меньшей мере одну из следующих информаций:
указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности, где
указание позиции защиты целостности используется для указания сетевого элемента, где выполняется защита целостности;
указание позиции протокольного уровня защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности;
указание активации позиции защиты целостности используется для указания, включить или нет функцию защиты целостности; и
указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя или данные плоскости пользователя и сигнализация плоскости управления.
При необходимости устройство сети доступа дополнительно включает в себя: модуль защиты целостности, выполненный с возможностью выполнения защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа.
При необходимости данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB.
Когда данные DRB представляют собой пакет данных уровня SDAP DRB, устройство сети доступа дополнительно включает в себя: модуль маркировки, выполненный с возможностью маркировки идентификатора потока в пакете данных уровня SDAP DRB.
Десятый аспект настоящей заявки предусматривает устройство базовой сети, включающее в себя:
модуль приема, выполненный с возможностью приема третьего сообщения, отправленного устройством сети доступа, причем третье сообщение включает в себя первое сообщение, и первое сообщение используется для запроса на установление сеанса; и
модуль отправки, выполненный с возможностью отправки четвертого сообщения в устройство сети доступа, где четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий сеансу, и однонаправленный радиоканал передачи данных (DRB), соответствующий сеансу; или включает в себя алгоритм защиты целостности, ключ, соответствующий потоку, и DRB, соответствующий потоку, где сеанс соответствует потоку.
При необходимости четвертое сообщение дополнительно включает в себя по меньшей мере одну из следующих информаций:
указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности, где
указание позиции защиты целостности используется для указания сетевого элемента, где выполняется защита целостности;
указание позиции протокольного уровня защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности;
указание активации позиции защиты целостности используется для указания, включить или нет функцию защиты целостности; и
указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя или данные плоскости пользователя и сигнализация плоскости управления.
При необходимости устройство базовой сети дополнительно включает в себя: модуль защиты целостности, выполненный с возможностью выполнения защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа.
При необходимости данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB.
Когда данные DRB представляют собой пакет данных уровня SDAP DRB, устройство базовой сети дополнительно включает в себя: модуль маркировки, выполненный с возможностью маркировки идентификатора потока в пакете данных уровня SDAP DRB.
Одиннадцатый аспект настоящей заявки предусматривает терминальное устройство, включающее в себя: процессор, память, приемник и передатчик, где память, приемник и передатчик подключены к и взаимодействуют с процессором с использованием шины, память выполнена с возможностью хранения машиноисполняемой инструкции, и процессор выполнен с возможностью выполнения машиноисполняемой инструкции, поэтому терминальное устройство выполняет способы, предусмотренные в соответствии с первым аспектом и вторым аспектом.
Двенадцатый аспект настоящей заявки предусматривает устройство сети доступа, включающее в себя: процессор, память, приемник и передатчик, где память, приемник и передатчик подключены к и взаимодействуют с процессором с использованием шины, память выполнена с возможностью хранения машиноисполняемой инструкции, и процессор выполнен с возможностью выполнения машиноисполняемой инструкции, поэтому устройство сети доступа выполняет способы, предусмотренные в соответствии с третьим аспектом и четвертым аспектом.
Тринадцатый аспект настоящей заявки предусматривает устройство базовой сети, включающее в себя: процессор, память, приемник и передатчик, где память, приемник и передатчик подключены к и взаимодействуют с процессором с использованием шины, память выполнена с возможностью хранения машиноисполняемой инструкции, и процессор выполнен с возможностью выполнения машиноисполняемой инструкции, поэтому устройство базовой сети выполняет способ, предусмотренный в соответствии с пятым аспектом.
Четырнадцатый аспект настоящей заявки предусматривает машиночитаемый носитель, где машиночитаемый носитель включает в себя машиноисполняемую инструкцию, и машиноисполняемая инструкция используется для того, чтобы предоставить терминальному устройству возможность выполнять способы, предусмотренные в соответствии с первым аспектом и вторым аспектом настоящей заявки.
Пятнадцатый аспект настоящей заявки предусматривает машиночитаемый носитель, где машиночитаемый носитель включает в себя машиноисполняемую инструкцию, и машиноисполняемая инструкция используется для того, чтобы предоставить устройству сети доступа возможность выполнять способы, предусмотренные в соответствии с третьим аспектом и четвертым аспектом настоящей заявки.
Шестнадцатый аспект настоящей заявки предусматривает машиночитаемый носитель, где машиночитаемый носитель включает в себя машиноисполняемую инструкцию, и машиноисполняемая инструкция используется для того, чтобы предоставить устройству базовой сети возможность выполнять способ, предусмотренный в соответствии с пятыми аспектом настоящей заявки.
Семнадцатый аспект настоящей заявки предусматривает систему на кристалле. Система может быть применена к терминальному устройству, и система на кристалле включает в себя: по меньшей мере один интерфейс связи, по меньшей мере один процессор и по меньшей мере одну память, где интерфейс связи, память и процессор соединены между собой с использованием шины, и процессор вызывает инструкцию, хранящуюся в памяти, для выполнения способов, предусмотренных в соответствии с первым аспектом и вторым аспектом настоящей заявки.
Восемнадцатый аспект настоящей заявки предусматривает систему на кристалле. Система может быть применена к устройству сети доступа, и система на кристалле включает в себя: по меньшей мере один интерфейс связи, по меньшей мере один процессор и по меньшей мере одну память, где интерфейс связи, память и процессор соединены между собой с использованием шины, и процессор вызывает инструкцию, хранящуюся в памяти, для выполнения способов, предусмотренных в соответствии с третьим аспектом и четвертым аспектом настоящей заявки.
Девятнадцатым аспектом настоящей заявки является система на кристалле. Система может быть применена к устройству базовой сети, и система на кристалле включает в себя: по меньшей мере один интерфейс связи, по меньшей мере один процессор и по меньшей мере одну память, где интерфейс связи, память и процессор соединены между собой с использованием шины, и процессор вызывает инструкцию, хранящуюся в памяти, для выполнения способа, предусмотренного в соответствии с пятым аспектом настоящей заявки.
Двадцатый аспект настоящей заявки предусматривает программный продукт, где программный продукт включает в себя компьютерную программу, компьютерная программа хранится на машиночитаемом носителе информации, и по меньшей мере один процессор терминального устройства выполняет компьютерную программу таким образом, что терминальное устройство реализует способы, предусмотренные в соответствии с первым аспектом и вторым аспектом настоящей заявки.
Двадцать первый аспект настоящей заявки предусматривает программный продукт, где программный продукт включает в себя компьютерную программу, компьютерная программа хранится на машиночитаемом носителе информации, и по меньшей мере один процессор устройства сети доступа выполняет компьютерную программу таким образом, что устройство сети доступа реализует способы, предусмотренные в соответствии с третьим аспектом и четвертым аспектом настоящей заявки.
Двадцать второй аспект настоящей заявки предусматривает программный продукт, где программный продукт включает в себя компьютерную программу, компьютерная программа хранится на машиночитаемом носителе информации, и по меньшей мере один процессор устройства базовой сети выполняет компьютерную программу таким образом, что устройство базовой сети реализует способ, предусмотренный в соответствии с пятым аспектом настоящей заявки.
Настоящая заявка предусматривает способ и устройство защиты целостности данных. Терминальное устройство получает алгоритм защиты целостности, ключ, соответствующий сеансу, и DRB, соответствующий сеансу, и выполняет, используя алгоритм защиты целостности и ключ, соответствующий сеансу, защиту целостности данных DRB соответствующего сеансу; или терминальное устройство получает алгоритм защиты целостности, ключ, соответствующий потоку, и DRB, соответствующий потоку, и выполняет, используя алгоритм защиты целостности и ключ, соответствующий потоку, защиту целостности данных DRB, соответствующего потоку. Один сеанс включает в себя множество потоков, разные алгоритмы и ключи защиты целостности могут использоваться для разных сеансов, и разные алгоритмы и ключи защиты целостности могут также использоваться для разных потоков, поэтому защита целостности является более гибкой и соответствует требованиям безопасности одного того же самого пользователя для различных услуг.
Краткое описание чертежей
Фиг. 1 – упрощенная архитектурная схема сценария приложения согласно настоящей заявке;
фиг. 2 – блок-схема сигнализации способа защиты целостности данных согласно варианту 1 осуществления настоящей заявки;
фиг. 3 – упрощенная схема протокольных уровней системы 5G;
фиг. 4 – блок-схема сигнализации способа защиты целостности данных согласно варианту 2 осуществления настоящей заявки;
фиг. 5 – упрощенная схема MAC-I в случае, когда защита целостности выполняется на уровне PDCP;
фиг. 6 – схематичная структурная схема терминального устройства согласно варианту 3 осуществления настоящей заявки;
фиг. 7 – схематичная структурная схема устройства сети доступа согласно варианту 5 осуществления настоящей заявки;
фиг. 8 – схематичная структурная схема устройства базовой сети согласно варианту 7 осуществления настоящей заявки;
фиг. 9 – схематичная структурная схема терминального устройства согласно варианту 8 осуществления настоящей заявки;
фиг. 10 – схематичная структурная схема устройства сети доступа согласно варианту 9 осуществления настоящей заявки; и
фиг. 11 – схематичная структурная схема устройства базовой сети согласно варианту 10 осуществления настоящей заявки.
Подробное описание изобретения
Настоящая заявка предусматривает способ защиты целостности данных, который может применяться к множеству типов систем связи. Система связи может представлять собой универсальную систему мобильной связи (Universal Mobile Telecommunications System, UMTS), систему множественного доступа с кодовым разделением каналов (Code Division Multiple Access, CDMA), систему широкополосного множественного доступа с кодовым разделением каналов (Wideband Code Division Multiple Access, WCDMA), беспроводную локальная сеть (Wireless Local Area Network, WLAN), систему долгосрочного развития (Long Term Evolution, LTE) или систему мобильной связи пятого поколения ((5th-Generation, 5G).
На фиг. 1 показана схематичная архитектурная схема сценария приложения согласно настоящей заявке. Как показано на фиг. 1, система 5G может включать в себя: сеть (радио-) доступа ((Radio) Access Network, (R)AN), базовую сеть (Core Network, CN) и терминальное устройство. RAN отвечает за доступ к терминальному устройству. Множество терминальных устройств включено в зону покрытия RAN. Интерфейсом между RAN и CN является интерфейс NG. Интерфейсом между элементами сети RAN является интерфейс Xn. Интерфейсом между элементом сети RAN и терминальным устройством является радиоинтерфейс. Элементом сети RAN может быть базовая станция в системе UMTS, базовая станция (Base Transceiver Station, BTS) в системе CDMA, базовая станция (NodeB, NB) в системе WCDMA, развитая базовая станция (evolved NodeB, eNB) или ретрансляционная станция в системе LTE, точка доступа (access point, AP) в WLAN, базовая станция (например, gNB или точка передачи (Transmission Point, TRP)) в системе 5G или т.п. Система 5G также упоминается как новая система радиосвязи, технология "Новое радио" (New Radio) или система мобильной связи следующего поколения. В системе мобильной связи следующего поколения представлена архитектура качества обслуживания (Quality of Service, QoS) на основе потока (flow). Потоком является, например, поток QoS. QoS классифицируется по уровню QoS слоя без доступа (Non-access stratum, NAS) и уровню QoS со слоем доступа (access stratum, AS). Уровень QoS NAS находится на уровне потока QoS. Поток QoS представляет собой минимальную гранулярность для различения QoS в сеансе (session) протокольного блока данных Protocol Data Unit, PDU) и представляет собой набор пакетов данных. Такая же обработка выполняется для пакетов данных, которые включены в один поток QoS.
Элементы сети CN включают в себя объект функции управления доступом и мобильностью (Access and Mobility Management Function, AMF) и объект функции плоскости пользователя (User Plane Function, UPF). Объект AMF в основном отвечает за такие услуги, как управление мобильностью и управление доступом, и эквивалентен функциям объекта управления мобильностью (Mobility Management Entity, MME) в системе LTE, за исключением функции управления сеансом. UPF эквивалентен шлюзу сети пакетной передачи данных (Packet Data Network Gateway, P-GW) в системе LTE и отвечает за такие функции, как управление сеансом и однонаправленным каналом, а также выделение адреса Интернет-протокола (Internet Protocol, IP). UPF вырабатывает поток QoS нисходящей линии связи, и UE вырабатывает поток QoS восходящей линии связи.
При необходимости сетевые элементы CN могут дополнительно включать в себя объект функции управления сеансом (Session Management Function, SMF), объект сервера аутентификации (Authentication Server Function, AUSF)/объект функции хранилища учетных данных для аутентификации и обработки (Authentication Credential Repository and Processing Function, ARPF), объект функции управления политикой (Policy Control Function, PCF) и сервер аутентификации, авторизации и учета (Authentication, Authorization and Accounting, AAA).
Объект SMF в основном отвечает за установление сеанса, изменение сеанса или завершение сеанса. Объект PCF в основном отвечает за предоставление политики для сети. AAA-сервер в основном отвечает за аутентификацию карты модуля идентификации абонента (Subscriber Identification Module, SIM), авторизацию услуг, которые может использовать SIM-карта, и запись сетевого ресурса, используемого SIM-картой. Сервер AAA может быть предоставлен оператором или может быть предоставлен третьей стороной. AUSF является точкой окончания сообщения запроса аутентификации и взаимодействует с объектом ARPF, чтобы получить учетные данные долгосрочной безопасности (long-term security credential) терминального устройства. Объект ARPF в основном отвечает за хранение учетных данных долгосрочной безопасности (long-term security credential) терминального устройства.
Когда способ в настоящей заявке применяется в системе LTE, объект AMF и объект SMF могут быть заменены MME, объект UPF может быть заменен объектом P-GW и объектом обслуживающего шлюза (Serving Gateway, S-GW) в системе LTE, и объект AUSF и объект ARPF могут быть заменены домашним абонентским сервером (Home Subscriber Server, HSS). HSS выполнен с возможностью хранения информации о подписке. Информация о подписке может быть информацией о подписке SIM-карты. MME является элементом сети управления сигнализацией и отвечает за шифрование сигнализации NAS, выделение временного идентификатора для терминального устройства, выбор сетевых элементов CN, таких как SGW и PGW, и обеспечение таких функций, как роуминг, отслеживание и безопасность. SGW является привязкой мобильности для передачи обслуживания между eNB и обеспечивает функции, связанные с законным перехватом. PGW отвечает за такие функции, как выделение IP-адресов, контроль решений, применение правил начисления платы и законный перехват.
В настоящей заявке терминальное устройство может представлять собой беспроводной терминал. Беспроводной терминал может быть устройством, которое предоставляет пользователю возможность передачи голоса и/или данных, карманным устройством, имеющим функцию беспроводного соединения, или другим устройством обработки, подключенным к беспроводному модему. Беспроводной терминал может поддерживать связь по меньшей мере с одной базовой сетью через (R) AN. Беспроводной терминал может быть мобильным терминалом, таким как мобильный телефон (который также упоминается как «сотовый» телефон) или компьютер, который имеет мобильный терминал. Например, беспроводной терминал может быть портативным, карманным, переносным, встроенным в компьютер или мобильным устройством в транспортном средстве, которое осуществляет обмен голосовыми сообщениями и/или данными с сетью радиодоступа. Беспроводной терминал может также упоминаться как абонентское устройство (Subscriber Unit), абонентская станция (Subscriber Station), мобильная станция (Mobile Station), удаленная станция (Remote Station), точка доступа (Access Point), удаленный терминал (Remote Terminal), терминал доступа (Access Terminal), пользовательский терминал (User Terminal), пользовательское оборудование (User Equipment, UE) или пользовательский агент (User Agent). В данном документе это не является ограничением.
На основе системы связи, показанной на фиг. 1, способ защиты целостности данных, представленный в настоящей заявке, предназначен для решения проблемы уровня техники, связанной с негибкой защитой целостности.
Далее используются конкретные варианты осуществления для подробного описания технических решений настоящей заявки и того, как технические решения настоящей заявки используются для решения вышеупомянутой технической задачи. Несколько конкретных вариантов осуществления, приведенных ниже, можно объединить, и в некоторых вариантах осуществления одна и та же или аналогичная концепция или процесс не описываются повторно. Далее приводится описание вариантов осуществления настоящей заявки со ссылкой на сопроводительные чертежи.
На фиг. 2 показана блок-схема сигнализации способа защиты целостности данных согласно варианту 1 осуществления настоящей заявки. Способ в данном варианте осуществления может в основном включать в себя следующие этапы.
Этап S101: Терминальное устройство отправляет первое сообщение в устройство сети доступа.
Первое сообщение используется для запроса на установление сеанса. Сеанс также упоминается как сеанс PDU. Первое сообщение может содержать сообщение NAS. Сообщение NAS содержит сообщение с запросом на установление сеанса. Сообщение запроса на установление сеанса включает в себя идентификатор сеанса, который должен быть установлен. Сообщение запроса на установление сеанса может дополнительно включать в себя дискриминатор протокола (Protocol discriminator), используемый для указания стека протоколов L3, соответствующего первому сообщению. Если сообщение запроса на установление сеанса передается с использованием сообщения NAS, сеть доступа добавляет сообщение NAS к третьему сообщению и отправляет третье сообщение в устройство базовой сети.
Например, первое сообщение может быть сообщением управления радиоресурсами (Radio Resource Control, RRC), сообщением управления доступом к среде передачи данных (Media Access Control, MAC), сообщением физического уровня или тому подобным. Сообщение RRC представляет собой, например, запрос на установление RRC-соединения, запрос на повторное установление RRC-соединения, сообщение о завершении установления RRC-соединения и т.п. Сообщение MAC является, например, элементом управления MAC (Control Element, CE). Сообщение физического уровня представляет собой, например, сигнализацию физического уровня.
Этап S102: Устройство сети доступа отправляет третье сообщение в устройство базовой сети, где третье сообщение включает в себя первое сообщение.
Третье сообщение используется для запроса на установление сеанса. В частности, после приема первого сообщения устройство сети доступа добавляет сообщение NAS в первом сообщении к третьему сообщению и отправляет третье сообщение в устройство базовой сети. Третье сообщение является интерфейсным сообщением между RAN и CN.
Этап S103: Устройство базовой сети отправляет четвертое сообщение в устройство сети доступа, где четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий сеансу, и однонаправленный радиоканал передачи данных (Data Radio Bearer, DRB), соответствующий сеансу.
Четвертое сообщение используется для запроса устройства сети доступа на подготовку ресурса для сеанса, который должен быть установлен. Четвертое сообщение может быть сообщением запроса начальной настройки контекста UE, используемым для установления конфигурации контекста для UE; или четвертое сообщение является сообщением запроса на установление ресурса сеанса PDU, используемым для конфигурирования ресурса для сеанса. Четвертое сообщение несет в себе информацию о сеансе и конфигурацию защиты целостности, соответствующую сеансу. Информация о сеансе включает в себя идентификатор сеанса и DRB, соответствующий сеансу. При необходимости четвертое сообщение несет в себе сообщение NAS, и конфигурация защиты целостности, соответствующая сеансу, переносится в сообщении NAS. Разумеется, конфигурация защиты целостности, соответствующая сеансу, может не передаваться в сообщении NAS.
Четвертое сообщение дополнительно включает в себя параметр конфигурации по меньшей мере одного протокольного уровня, используемый для установления одного или нескольких DRB для сеанса, чтобы переносить услугу, инициированную терминальным устройством. На фиг. 3 показана упрощенная схема протокольных уровней системы 5G. Как показано на фиг. 3, сверху вниз, уровни протокола терминального устройства и устройства доступа последовательно представляют собой уровень протокола агрегации служебных данных (Service Data Aggregation Protocol, SDAP), уровень PDCP, уровень управления радиоканалом (Radio Link Control, RLC), уровень MAC и физический (Physical, PHY) уровень. Уровень SDAP представляет собой уровень протокола, вновь добавленный в систему LTE. Уровень SDAP используется для обработки отображения из потока (flow) в DRB. В данном варианте осуществления одно терминальное устройство может устанавливать множество сеансов, каждый сеанс включает в себя один или несколько потоков, каждый поток может отображаться в один или несколько DRB, и поток представляет собой, например, поток QoS.
Например, параметр конфигурации по меньшей мере одного протокольного уровня включает в себя параметр стека протоколов каждого уровня, режим передачи, конфигурацию логического канала и параметр, связанный с планированием. Режим передачи может быть режимом прозрачной передачи RLC, режимом подтверждения или режимом отсутствия подтверждения. Конфигурация логического канала представляет собой, например, приоритет логического канала. За конкретным содержанием обращайтесь к протоколам LTE или 5G. В данном документе подробности не описываются подробно.
В данном варианте осуществления конфигурация защиты целостности, соответствующая сеансу, переносимому в четвертом сообщении, включает в себя алгоритм защиты целостности и ключ, соответствующий сеансу. При необходимости четвертое сообщение не несет в себе алгоритм защиты целостности и ключ, соответствующий сеансу, и алгоритм защиты целостности и ключ, соответствующий сеансу, переносятся с использованием другого сообщения, или алгоритм защиты целостности и ключ, соответствующий сеансу, конфигурируются заранее. Четвертое сообщение может дополнительно включать в себя по меньшей мере одну из следующих информаций: указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности. Аналогичным образом, одно или более из: указания позиции защиты целостности, указания позиции протокольного уровня защиты целостности, указания активации позиции защиты целостности и указания объекта защиты целостности можно сконфигурировать заранее вместо динамического указания с помощью четвертого сообщения.
Указание позиции защиты целостности используется для указания элемента сети, где выполняется защита целостности. Защита целостности может быть реализована на стороне RAN, или на стороне CN, или как на стороне RAN, так и на стороне CN, или подобным образом. Таким образом, сетевой элемент для защиты целостности может быть устройством сети доступа или устройством базовой сети, или защита целостности может выполняться как на устройстве сети доступа, так и на устройстве базовой сети. Когда позиция защиты целостности находится на стороне RAN, функция защиты целостности выполняется стеком протоколов на стороне RAN, и соответствующая сторона терминального устройства выполняет функцию защиты целостности на слое доступа. Когда позицией защиты целостности является сторона CN, функция защиты целостности должна выполняться стеком протоколов на стороне CN, и соответствующая сторона терминального устройства выполняет функцию защиты целостности на слое без доступа. Когда позиция защиты целостности представляет собой как сторону RAN, так и сторону CN, функция защиты целостности должна выполняться как на стороне RAN, так и на стороне CN, и защита целостности плоскости управления или плоскости данных пользователя должна выполняться дважды.
Указание позиции уровня протокола для защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности. Уровень протокола для защиты целостности может быть уровнем SDAP, уровнем PDCP или уровнем RLC.
Указание активации позиции защиты целостности используется для указания, активировать или нет функцию защиты целостности. Указание активации позиции защиты целостности связано с указанием позиции защиты целостности. Например, если позиция защиты целостности, указанная посредством указания позиции защиты целостности, является стороной RAN, указание активации позиции защиты целостности используется для указания того, что функция защиты целостности включена или отключена на стороне RAN. Если позиция защиты целостности, указанная посредством указания позиции защиты целостности, является как стороной RAN, так и стороной CN, указание активации позиции защиты целостности используется для того, чтобы отдельно указать, что функция защиты целостности включена или отключена на стороне RAN и стороне CN.
Указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя (User plane, UP) или данные плоскости пользователя и плоскости управления (Control Plane, CP).
Для разных сеансов могут использоваться одинаковые или разные алгоритмы и ключи защиты целостности. Алгоритм защиты целостности и ключ соответствуют позиции защиты целостности. Например, если устройство базовой сети указывает только одну позицию защиты целостности (сторона RAN или сторона CN), соответствующие алгоритм защиты целостности и ключ конфигурируются только в позиции защиты целостности. Если устройство базовой сети указывает две позиции защиты целостности (как на стороне RAN, так и на стороне CN), для двух позиций защиты целостности необходимо сконфигурировать соответствующий алгоритм и ключ защиты целостности, и алгоритмы и ключи защиты, соответствующие двум позициям защиты целостности, могут быть одинаковыми или разными.
В одном способе ключи, которые будут использоваться для разных сеансов, могут быть получены путем вычисления на основе корневого ключа (root key). Ключи, полученные для разных сеансов, могут быть разными или одинаковыми. Корневой ключ может быть корневым ключом, полученным устройством сети доступа в процедуре SMC.
В другом способе ключи, которые будут использоваться для разных сеансов, могут быть получены путем вычисления на основе разных корневых ключей. Например, четвертое сообщение указывает корневой ключ, который должен использоваться для сеанса, или передает связанный с ним параметр, который позволяет устройству сети доступа вычислить, на основе корневого ключа, ключ, который будет использоваться для сеанса.
В данном варианте осуществления конфигурация защиты целостности, соответствующая сеансу, может быть размещена в списке настроек ресурсов сеанса PDU (PDU Session Resource Setup List) в четвертом сообщении, чтобы указать конфигурацию защиты целостности, соответствующую сеансу, или может быть размещена отдельно в четвертом сообщении с добавленным идентификатором сеанса, соответствующим конфигурации защиты целостности. Устройство сети доступа узнает о конфигурации защиты целостности, соответствующей сеансу, из четвертого сообщения и дополнительно узнает конфигурацию защиты целостности DRB, соответствующего сеансу. Таблица 1 представляет собой схематичную структурную схему четвертого сообщения, таблица 2 представляет собой схематичное представление списка с информацией о сеансах PDU, и таблица 3 представляет собой схематичное представление передачи запроса на установление сеанса PDU (PDU Session Setup Request Transfer). Четвертое сообщение, представленное в таблице 1, является, например, сообщением с запросом на установление ресурса сеанса PDU в разделе 9.2.1.1 протокола приложений NG RAN (NG Application Protocol, NGAP) следующего поколения (Next Generation, NG) проекта партнерства 3-го поколения (3rd Generation Partnership Project, 3GPP), имеющего номер версии протокола 0.1.0. Список с информацией о сеансе PDU в таблице 2 представляет собой, например, сообщение со списком настроек ресурса сеанса PDU в разделе 9.3.1.5 3GPP NG RAN NGAP с номером версии протокола 0.1.0.
Таблица 1
IE/название группы (Information element/Group name) | Наличие (Presence) | Диапазон (Range) | Тип IE и ссылка (Information element type and reference) | Описание семантики (Semantics description) | Критичность (Criticality) | Назначенная критичность (Assigned criticality) |
Тип сообщения (Message Type) | M (обязательно) | <ref> | Да | отклонить | ||
AMF UE NGAP ID | M (обязательно) | <ref> | Да | отклонить | ||
ID NGAP UE AMF | M (обязательно) | <ref> | Да | отклонить | ||
NAS PDU | FFS (для дальнейшего изучения, для дальнейшего изучения) | <ref> | Да | отклонить | ||
Список настроек ресурсов сеанса PDU (PDU Session Resource Setup List) | M (обязательно) | <ref> | Да | отклонить |
Таблица 2
IE/название группы (Information element/Group name) | Наличие (Presence) | Диапазон (Range) | Тип IE и ссылка (Information element type and reference) |
Описание семантики (Semantics description) | Критичность (Criticality) | Назначенная критичность (Assigned criticality) |
Список настроек ресурсов сеанса PDU (PDU Session Resource Setup List) | 1 | Да | отклонить | |||
> IE элементов настройки ресурса сеанса PDU (PDU Session Resource Setup Item Information Elements) | 1..<maxnoof PDUSessionResources> 1…<Максимальное количество ресурсов сеанса PDU> |
КАЖДЫЙ | отклонить | |||
>> ID сеанса PDU [FFS](ID сеанса PDU) | M (обязательно) | <ref> | - | |||
>> S-NSSAI (Информация о помощи выбора отдельного среза сети, Single Network Slice Selection Assistance Information) | O | <ref> | - | |||
>> Передача запроса на установление сеанса PDU (PDU Session Setup Request Transfer) | O (не обязательно) | <ref> | - | |||
>> Конфигурация защиты целостности (необязательная позиция 1) |
Таблица 3
IE/название группы (Information element/Group name) |
Наличие (Presence) | Диапазон (Range) | Тип IE и ссылка (Information element type and reference) | Описание семантики (Semantics description) | Критичность (Criticality) | Назначенная критичность (Assigned criticality) |
Передача запроса на установление сеанса PDU (PDU Session Setup Request Transfer) | 1 | Да | отклонить | |||
> Конфигурация защиты целостности (необязательная позиция 2) | ||||||
> Совокупная максимальная битовая скорость ресурсов сеансов PDU(PDU Session Resource Aggregated Maximum Bitrate) | M (обязательно) | <ref> | - | |||
>Информация транспортного уровня (Transport Layer Information) | M (обязательно) | <ref> | - | |||
> Тип сеанса PDU (PDU Session Type) | M (обязательно) | <ref> | - | |||
> Список параметров настройки потоков QoS (QoS Flows Setup List) | 1 | - | ||||
>> IE элемента настройки потоков QoS (QoS Flows Setup Item Information Elements) | 1..<maxnoofQoSFlows> | - | ||||
>>> Индикатор потока QoS (QoS Flow Indicator) | M (обязательно) | <ref> | КАЖДЫЙ | отклонить | ||
>>> Параметры QoS уровня потока QoS (QoS Flow Level QoS Parameters) | FFS | <ref> | КАЖДЫЙ | отклонить | ||
>>> Отражающая активация QoS (Reflective QoS Activation) | O (не обязательно) | <ref> | КАЖДЫЙ | отклонить |
В таблице 2 и таблице 3 представлены две возможные позиции конфигурации защиты целостности, соответствующей сеансу в четвертом сообщении. В таблице 2 конфигурация защиты целостности, соответствующая сеансу, переносится в списке настроек ресурса сеанса PDU, и список настроек ресурса сеанса PDU включает в себя один или более информационных элементов (information element, IE) настройки ресурса сеанса. Каждый информационный элемент защищает по меньшей мере одну из следующих информаций: идентификатор сеанса и информацию помощи в выборе одиночного среза сети. Информация помощи по выбору среза сети используется для указания идентификатора среза сети, соответствующего сеансу. В таблице 3 конфигурация защиты целостности, соответствующая сеансу, переносится в передаче запроса на установление сеанса PDU, и передача запроса на установление сеанса PDU включает в себя по меньшей мере одну из следующих информаций: максимальная совокупная битовая скорость, соответствующая одному или нескольким сеансам, информация транспортного уровня, тип сеанса, список с информацией о ресурсах потоков QoS и т.п. Список с информацией о ресурсах потоков QoS включает в себя идентификатор, соответствующий одному или нескольким потокам, параметр QoS уровня потока QoS и т.п.
Этап S104: Устройство сети доступа отправляет второе сообщение в терминальное устройство, где второе сообщение включает в себя: идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
После приема четвертого сообщения устройство сети доступа сохраняет конфигурацию защиты целостности, переносимую в четвертом сообщении, такую как алгоритм защиты целостности и ключ, соответствующий сеансу, устанавливает DRB для терминального устройства на основе параметра конфигурации по меньшей мере одного протокольного уровня, который переносится в четвертом сообщении, для переноса услуги, инициированной терминальным устройством, затем вырабатывает второе сообщение и отправляет второе сообщение в терминальное устройство. Второе сообщение может быть сообщением NAS, сообщением RRC, сообщением уровня MAC или сообщением физического уровня. Когда второе сообщение является сообщением RRC: если сообщение RRC не включает в себя сообщение NAS, все идентификаторы сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу, переносятся в сообщении RRC; или если сообщение RRC включает в себя сообщение NAS, все или некоторые из вышеупомянутых параметров переносятся в сообщении NAS, которое включено в сообщение RRC.
В данном варианте осуществления второе сообщение включает в себя алгоритм защиты целостности и ключ, соответствующий сеансу. При необходимости второе сообщение может не содержать алгоритм защиты целостности и ключ, соответствующий сеансу, и алгоритм защиты целостности и ключ, соответствующий сеансу, переносятся с использованием другого сообщения, или алгоритм защиты целостности и ключ, соответствующий сеансу, конфигурируются заранее. В другом варианте осуществления второе сообщение включает в себя по меньшей мере одну из следующих информаций: алгоритм защиты целостности, ключа, указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности. Аналогичным образом, одно или более из: указания позиции защиты целостности, указания позиции протокольного уровня защиты целостности, указания активации позиции защиты целостности и указания объекта защиты целостности можно сконфигурировать заранее вместо динамического указания с помощью второго сообщения.
Конфигурация защиты целостности, переносимая во втором сообщении, может совпадать или отличаться от конфигурации защиты целостности, переносимой в четвертом сообщении. Например, если четвертое сообщение указывает корневой ключ, который будет использоваться для сеанса, после приема четвертого сообщения устройство сети доступа вычисляет на основе указанного корневого ключа ключ, который будет использоваться для сеанса, и затем добавляет ключ, который будет использоваться для сеанса, во второе сообщение.
При необходимости конфигурация защиты целостности, соответствующая сеансу, может переноситься в параметре конфигурации уровня SDAP во втором сообщении, то есть конфигурация защиты целостности используется в качестве параметра конфигурации уровня SDAP. В качестве альтернативы, конфигурация защиты целостности, соответствующая сеансу, может переноситься в параметре конфигурации уровня PDCP, то есть конфигурация защиты целостности используется в качестве параметра конфигурации уровня PDCP. Второе сообщение включает в себя параметр конфигурации по меньшей мере одного протокольного уровня. Параметр конфигурации уровня SDAP и параметр конфигурации уровня PDCP могут одновременно переноситься во втором сообщении; или один из параметров конфигурации переносится во втором сообщении, и другое сообщение конфигурации переносится в другом сообщении, которое отличается от второго сообщения. Далее приводится описание нескольких возможных позиций конфигурации защиты целостности во втором сообщении. Например, второе сообщение является сообщением о реконфигурации RRC-соединения (RRC Connection Reconfiguration message). Сообщение о реконфигурации RRC-соединения представляет собой, например, следующее сообщение о реконфигурации RRC-соединения в разделе 6.2.2 протокола RRC развитого универсального наземного радиодоступа (Evolved Universal наземного радиодоступа, E-UTRA) 3GPP, номер версии протокола – 13.0.0.
В приведенном выше примере возможная позиция 1 конфигурации защиты целостности, соответствующей сеансу, является параметром конфигурации уровня SDAP, и возможная позиция 2 конфигурации защиты целостности, соответствующей сеансу, является параметром конфигурации уровня PDCP.
При необходимости, после этапа S104, устройство сети доступа отправляет пятое сообщение в устройство базовой сети. Пятое сообщение используется для передачи по каналу обратной связи результата обработки четвертого сообщения, отправленного устройством базовой сети. Если устройство сети доступа не может сконфигурировать контекст терминального устройства, пятое сообщение используется для передачи по каналу обратной связи информации об ошибке конфигурации и включает в себя указание причины ошибки, а именно значение причины. Пятое сообщение дополнительно используется для переноса ресурса радиоинтерфейса, выделенного устройством сети доступа для одного или нескольких сеансов, и включает в себя, например, список с информацией об установленных сеансах устройства сети доступа и список потоков QoS, которые не могут быть установлены.
Этап S105: Терминальное устройство сохраняет содержание второго сообщения.
Терминальное устройство сохраняет конфигурацию защиты целостности, соответствующую сеансу, переносимому во втором сообщении, чтобы впоследствии, на основании сохраненной конфигурации защиты целостности, соответствующей сеансу, выполнить защиту целостности данных DRB, соответствующего сеансу. Сеанс может соответствовать одному или нескольким DRB. Если сеанс соответствует множеству DRB, конфигурации защиты целостности, используемые для множества DRB, соответствующих сеансу, являются одинаковыми.
В частности, терминальное устройство выполняет, используя алгоритм защиты целостности и ключ, соответствующий сеансу, защиту целостности данных DRB, соответствующего сеансу. Данные DRB представляют собой пакет данных уровня SDAP или пакет данных уровня PDCP DRB. Другими словами, терминальное устройство может выполнять защиту целостности данных DRB на уровне SDAP и уровне PDCP. Пакеты данных уровня SDAP включают в себя PDU и блок служебных данных (service Data Unit, SDU), и пакеты данных уровня PDCP также включают в себя PDU и SDU.
То, что терминальное устройство является передающей стороной, и данные DRB представляют собой пакет данных уровня PDCP, используется в качестве примера. Терминальное устройство вычисляет, в соответствии с алгоритмом защиты целостности, 32-битовый MAC-I, используя по меньшей мере один из параметров, таких как ключ, значение COUNT, идентификатор однонаправленного радиоканала (DIRECTION), непосредственно пакет данных уровня PDCP и длина пакета данных уровня PDCP в качестве входного параметра, и размещает 32-битовый MAC-I в поле PDU PDCP. После приема пакета данных уровня PDCP приемная сторона (устройство сети доступа или устройство базовой сети), используя тот же способ, вычисляет предполагаемый код аутентификации XMAC-I для пакета данных уровня PDCP и выполняет проверку целостности путем сравнения XMAC-I с MAC-I. Если MAC-I равен XMAC-I, приемная сторона определяет, что проверка целостности прошла успешно; или если MAC-I не равен XMAC-I, приемная сторона определяет, что проверка целостности завершилась неудачно. Разумеется, терминальное устройство может также служить приемным концом.
В данном варианте осуществления терминальное устройство получает, используя второе сообщение, алгоритм защиты целостности и ключ, соответствующий сеансу, из устройства сети доступа. Следует отметить, что терминальное устройство может альтернативно, другим способом, получить алгоритм защиты целостности и ключ, соответствующий сеансу. Например, алгоритм защиты целостности и ключ, соответствующий сеансу, предварительно сконфигурированы в терминальном устройстве, второе сообщение должно нести в себе только идентификатор сеанса, и терминальное устройство находит, на основе идентификатора сеанса, алгоритм защиты целостности и ключ, соответствующий сеансу. Аналогичным образом, другие конфигурации защиты целостности сеанса, например, одно или более из: указания позиции защиты целостности, указания позиции протокольного уровня защиты целостности, указания активации позиции защиты целостности и указания объекта защиты целостности может динамически указываться с использованием второго сообщения или уведомляться терминальным устройством способом предварительного конфигурирования.
В данном варианте осуществления терминальное устройство получает алгоритм защиты целостности, ключ, соответствующий сеансу, и DRB, соответствующий сеансу, и выполняет, используя алгоритм защиты целостности и ключ, соответствующий сеансу, защиту целостности данных DRB, поэтому разные алгоритмы и ключи защиты целостности могут использоваться для разных сеансов, и защита целостности является более гибкой и соответствует требованиям безопасности одного и того же пользователя для различных услуг.
На фиг. 4 показана блок-схема сигнализации способа защиты целостности данных согласно варианту 2 осуществления настоящей заявки. В отличие от варианта 1 осуществления защита целостности в данном варианте осуществления имеет гранулярность потока. Как показано на фиг. 4, способ в данном варианте осуществления в основном включает в себя следующие этапы.
Этап S201: Терминальное устройство отправляет первое сообщение в устройство сети доступа.
Этап S202: Устройство сети доступа отправляет третье сообщение в устройство базовой сети, где третье сообщение включает в себя первое сообщение.
Для конкретных реализаций этапа S201 и этапа S202 следует обратиться к аналогичным описаниям, приведенным в варианте 1 осуществления.
Этап S203: Устройство базовой сети отправляет четвертое сообщение в устройство сети доступа, где четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий потоку, и DRB, соответствующий потоку.
В отличие от варианта 1 осуществления, в данном варианте осуществления четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий потоку, и DRB, соответствующий потоку. Поток соответствует сеансу, который использует первое сообщение для запроса на установление. Один сеанс включает в себя множество потоков, и каждый поток может отображаться в множество DRB. В данном варианте осуществления одинаковые или разные алгоритмы и ключи защиты целостности могут использоваться для множества потоков, включенных в сеанс.
При необходимости четвертое сообщение может не переносить алгоритм защиты целостности и ключ, соответствующий потоку, алгоритм защиты целостности и ключ, соответствующий потоку, переносятся с использованием другого сообщения, или алгоритм защиты целостности и ключ, соответствующий потоку конфигурируются заранее. При необходимости четвертое сообщение может дополнительно включать в себя по меньшей мере одну из следующих информаций: указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание защиты целостности объекта. Аналогичным образом, одно или более из: указания позиции защиты целостности, указания позиции протокольного уровня защиты целостности, указания активации позиции защиты целостности и указания объекта защиты целостности можно сконфигурировать заранее вместо динамического указания с помощью четвертого сообщения.
В данном варианте осуществления конфигурация защиты целостности потока может быть размещена в списке с информацией о ресурсах потоков QoS в четвертом сообщении, чтобы указать конфигурацию защиты целостности, соответствующую потоку, или может быть размещена отдельно в четвертом сообщении с идентификатором потока, соответствующим конфигурации защиты целостности, добавленной, например, размещенной в списке с информацией о ресурсах сеансов PDU, поэтому устройство сети доступа узнает о конфигурации защиты целостности потока из четвертого сообщения. Для уточнения структуры четвертого сообщения следует обратиться к предыдущей таблице 1. Для уточнения списка с информацией о сеансах PDU следует обратиться к предыдущей таблице 2. Таблица 4 представляет собой схематичное представление списка с информацией о ресурсах потоков QoS.
Таблица 4
IE/название группы (Information element/Group name) | Наличие (Presence) | Диапазон (Range) | Тип IE и ссылка (Information element type and reference) | Описание семантики (Semantics description) | Критичность (Criticality) |
Назначенная критичность (Assigned criticality) |
Передача запроса на установление сеанса PDU (PDU Session Setup Request Transfer) | 1 | Да | отклонить | |||
> Совокупная максимальная битовая скорость ресурсов сеансов PDU(PDU Session Resource Aggregated Maximum Bitrate) | M (обязательно) | <ref> | - | |||
>Информация транспортного уровня (Transport Layer Information) | M (обязательно) | <ref> | - | |||
> Тип сеанса PDU [FFS](PDU Session Type) | M (обязательно) | <ref> | eNote: IP, unstructured or Ethernet | - | ||
> Список параметров настройки потоков QoS (QoS Flows Setup List) | 1 | - | ||||
>> IE элемента настройки потоков QoS (QoS Flows Setup Item Information Elements) | 1..<maxnoofQoSFlows> | - | ||||
>>> Индикатор потока QoS (QoS Flow Indicator) | M (обязательно) | <ref> | КАЖДЫЙ | отклонить | ||
>>> Параметры QoS уровня потока QoS (QoS Flow Level QoS Parameters) | FFS | <ref> | КАЖДЫЙ | отклонить | ||
>>> Не обязательная позиция: конфигурация защиты целостности | ||||||
>>> Отражающая активация QoS [FFS](Reflective QoS Activation) | O (не обязательно) | <ref> | КАЖДЫЙ | отклонить |
В примере, представленном в таблице 4, конфигурация защиты целостности, соответствующая потоку, переносится в списке с информацией о ресурсах потоков QoS. Список с информацией о ресурсах потоков QoS дополнительно включает в себя идентификатор, соответствующий одному или нескольким потокам, параметр QoS уровня потока QoS и т.п.
Этап S204: Устройство сети доступа отправляет второе сообщение в терминальное устройство, где второе сообщение включает в себя: идентификатор сеанса, идентификатор потока, алгоритм защиты целостности, ключ, соответствующий потоку, и идентификатор DRB, соответствующего потоку.
После приема четвертого сообщения устройство сети доступа сохраняет идентификатор сеанса, идентификатор потока, алгоритм защиты целостности, ключ, соответствующий потоку, и идентификатор DRB, соответствующего потоку, которые переносятся в четвертом сообщении, устанавливает DRB для терминального устройства на основе параметра конфигурации по меньшей мере одного протокольного уровня, который переносится в четвертом сообщении, для переноса услуги, инициированной терминальным устройством, определяет DRB, соответствующий каждому потоку, затем вырабатывает второе сообщение и отправляет второе сообщение в терминальное устройство. Второе сообщение может быть сообщением NAS, сообщением RRC, сообщением уровня MAC или сообщением физического уровня. Когда второе сообщение является сообщением RRC: если сообщение RRC не включает в себя сообщение NAS, идентификатор сеанса, идентификатор потока, алгоритм защиты целостности, ключ, соответствующий потоку, и идентификатор DRB, соответствующего потоку переносятся все вместе в сообщении RRC; или если сообщение RRC включает в себя сообщение NAS, все или некоторые из вышеупомянутых параметров переносятся в сообщении NAS, которое включено в сообщение RRC.
В данном варианте осуществления второе сообщение включает в себя алгоритм защиты целостности и ключ, соответствующий потоку. При необходимости второе сообщение может не переносить алгоритм защиты целостности и ключ, соответствующий потоку, алгоритм защиты целостности и ключ, соответствующий потоку, переносятся с использованием другого сообщения, или алгоритм защиты целостности и ключ, соответствующий потоку, конфигурируются заранее. В другом варианте осуществления второе сообщение включает в себя по меньшей мере одну из следующих информаций: алгоритм защиты целостности и ключ, указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности. Аналогичным образом, одно или более из: указания позиции защиты целостности, указания позиции протокольного уровня защиты целостности, указания активации позиции защиты целостности и указания объекта защиты целостности можно сконфигурировать заранее вместо динамического указания с помощью второго сообщения.
Конфигурация защиты целостности, соответствующая потоку, переносимому во втором сообщении, может совпадать или отличаться от конфигурации защиты целостности, соответствующей потоку, переносимому в четвертом сообщении. Например, если четвертое сообщение указывает корневой ключ, который должен использоваться для потока, после приема четвертого сообщения устройство сети доступа вычисляет, на основе указанного корневого ключа, ключ, который будет использоваться для потока, и затем добавляет ключ, который будет использоваться для передачи второго сообщения.
При необходимости конфигурация защиты целостности, соответствующая потоку, может переноситься в параметре конфигурации уровня SDAP во втором сообщении, то есть конфигурация защиты целостности, соответствующая потоку, используется в качестве параметра конфигурации уровня SDAP. В качестве альтернативы, конфигурация защиты целостности, соответствующая потоку, может переноситься в параметре конфигурации уровня PDCP, то есть конфигурация защиты целостности, соответствующая потоку, используется в качестве параметра конфигурации уровня PDCP. Второе сообщение включает в себя параметр конфигурации по меньшей мере одного протокольного уровня. Параметр конфигурации уровня SDAP и параметр конфигурации уровня PDCP могут одновременно переноситься во втором сообщении; или один из параметров конфигурации переносится во втором сообщении, и другое сообщение конфигурации переносится в другом сообщении, которое отличается от второго сообщения.
При необходимости, после этапа S204, устройство сети доступа отправляет пятое сообщение в устройство базовой сети. Пятое сообщение используется для передачи по каналу обратной связи результата обработки четвертого сообщения, отправленного устройством базовой сети. Если устройство сети доступа не может сконфигурировать контекст терминального устройства, пятое сообщение используется для передачи по каналу обратной связи информации об ошибке конфигурации и включает в себя указание причины ошибки, а именно значение причины. Пятое сообщение дополнительно используется для переноса ресурса радиоинтерфейса, выделенного устройством сети доступа для одного или нескольких сеансов, и включает в себя, например, список с информацией об установленных сеансах устройства сети доступа и список потоков QoS, которые не могут быть установлены.
Этап S205: Терминальное устройство сохраняет содержание второго сообщения.
Терминальное устройство сохраняет конфигурацию защиты целостности, соответствующую потоку, переносимому во втором сообщении, для последующего выполнения на основе сохраненной конфигурации защиты целостности, соответствующей потоку, защиты целостности данных DRB, соответствующего потоку. Поток может соответствовать одному или нескольким DRB, и алгоритмы и ключи защиты целостности, соответствующие разным потокам, могут отличаться.
В частности, терминальное устройство выполняет, используя алгоритм защиты целостности и ключ, соответствующий потоку, защиту целостности данных DRB, соответствующего потоку. Данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB. Другими словами, терминальное устройство может выполнять защиту целостности данных DRB на уровне SDAP и уровне PDCP. Пакеты данных уровня SDAP включают в себя PDU и SDU, и пакеты данных уровня PDCP также включают в себя PDU и SDU.
Если защита целостности выполняется на уровне PDCP, так как уровень PDCP не может дифференцировать потоки, и только уровень SDAP может идентифицировать поток, включенный в сеанс, уровень SDAP должен отметить идентификатор потока в пакете данных уровня SDAP таким образом, чтобы уровень PDCP идентифицировал разные потоки на основе идентификаторов потоков и дополнительно выполнял, на основе алгоритма защиты целостности и ключа, соответствующего потоку, защиту целостности пакетов данных, соответствующих потоку. Идентификатор потока может быть размещен в заголовке пакета данных уровня SDAP или может быть размещен в специфическом содержании данных пакета данных уровня SDAP. Конкретный формат не ограничен в настоящей заявке.
В данном варианте осуществления терминальное устройство получает, используя второе сообщение, алгоритм защиты целостности и ключ, соответствующий потоку, из устройства сети доступа. Следует отметить, что терминальное устройство может альтернативно, другим способом, получить алгоритм защиты целостности и ключ, соответствующий потоку. Например, алгоритм защиты целостности и ключ, соответствующий потоку, предварительно сконфигурированы в терминальном устройстве, второе сообщение должно содержать только идентификатор сеанса и идентификатор потока, и терминальное устройство находит, на основе идентификатора сеанса и идентификатора потока, алгоритм защиты целостности и ключ, соответствующий потоку. Аналогичным образом, другие конфигурации защиты целостности потока, например, одно или более из: указания позиции защиты целостности, указания позиции протокольного уровня защиты целостности, указания активации позиции защиты целостности и указания объекта защиты целостности может динамически указываться с использованием второго сообщения или уведомляться терминальным устройством способом предварительного конфигурирования.
В данном варианте осуществления терминальное устройство получает алгоритм защиты целостности, ключ, соответствующий потоку, и DRB, соответствующий потоку, и выполняет, используя алгоритм защиты целостности и ключ, соответствующий потоку, защиту целостности данных DRB, соответствующего потоку, так что разные алгоритмы и ключи защиты целостности могут использоваться для разных потоков, и защита целостности является более гибкой и соответствует требованиям безопасности одного и того же пользователя для различных услуг.
В приведенных выше вариантах осуществления передающая сторона может выполнять защиту целостности данных после любого из процессов, таких как нумерация последовательностей, сжатие заголовков и шифрование. Соответственно, то же самое применимо и для приемной стороны. Кроме того, позиция и размер MAC-I могут быть установлены гибко. На фиг. 5 показана упрощенная схема MAC-I, когда защита целостности выполняется на уровне PDCP. Как показано на фиг. 5, MAC-I может переноситься в последних нескольких байтах сообщения.
В приведенных выше вариантах осуществления приемная сторона выполняет проверку целостности, и, если проверка целостности сообщения завершилась неудачно, может быть выполнена любая из следующих нескольких операций обработки: (1) инструктирование RRC повторно установить RRC-соединение; (2) отбрасывание сообщения; (3) отбрасывание сообщения и повторное установление RRC-соединения; и (4) повторное установление RRC-соединения, когда количество сбоев проверки целостности достигает заданного значения.
В вышеупомянутых вариантах осуществления способы могут применяться в сценарии с двойным подключением (Dual Connection, DC) или в сценарии передачи обслуживания соты. В сценарии передачи обслуживания соты, если терминальное устройство передается из базовой станции-источника в базовую станцию назначения, терминальное устройство должно отправлять конфигурацию защиты целостности, соответствующую сеансу, или конфигурацию защиты целостности, соответствующую потоку, в базовую станцию назначения, поэтому базовая станция назначения выполняет защиту целостности на основе конфигурации защиты целостности, соответствующей сеансу, или конфигурации защиты целостности, соответствующей потоку. В сценарии DC защита целостности может выполняться только в одном узле, или защита целостности может выполняться в обоих узлах. Главный узел (Master node, MN) должен отправлять конфигурацию защиты целостности, соответствующую сеансу, или конфигурацию защиты целостности, соответствующую потоку, во вторичный узел (Secondary node, SN) с тем, чтобы вторичный узел мог выполнить защиту целостности на основе конфигурации защиты целостности, соответствующей сеансу, или конфигурации защиты целостности, соответствующей потоку.
На фиг. 6 показана схематичная структурная схема терминального устройства согласно варианту 3 осуществления настоящей заявки. Как показано на фиг. 6, терминальное устройство, предусмотренное в данном варианте осуществления, включает в себя:
модуль 11 получения, выполненный с возможностью получения алгоритма защиты целостности, ключа, соответствующего сеансу, и однонаправленного радиоканала передачи данных (DRB), соответствующего сеансу; и
модуль 12 защиты целостности, выполненный с возможностью выполнения защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа.
При необходимости модуль 11 получения специально выполнен с возможностью: отправки первого сообщения, где первое сообщение используется для запроса на установление сеанса; и приема второго сообщения, где второе сообщение включает в себя: идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу; или второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
При необходимости модуль 11 получения дополнительно выполнен с возможностью получения по меньшей мере одной из следующих информаций:
указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности, где
указание позиции защиты целостности используется для указания сетевого элемента, где выполняется защита целостности;
указание позиции протокольного уровня защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности;
указание активации позиции защиты целостности используется для указания, включить или нет функцию защиты целостности; и
указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя или данные плоскости пользователя и сигнализация плоскости управления.
При необходимости данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB. Когда данные DRB представляют собой пакет данных уровня SDAP DRB, терминальное устройство дополнительно включает в себя: модуль маркировки, выполненный с возможностью маркировки идентификатора потока в пакете данных уровня SDAP DRB.
Терминальное устройство, предусмотренное в данном варианте осуществления, может быть выполнено с возможностью выполнения этапов, которые выполняются терминальным устройством в варианте 1 осуществления, и конкретная реализация и технический эффект аналогичны ему. В данном документе подробности повторно не описываются.
Вариант 4 осуществления настоящей заявки предусматривает терминальное устройство. Что касается конструкции терминального устройства, следует обратиться к фиг. 6. В данном варианте осуществления модуль 11 получения выполнен с возможностью получения алгоритма защиты целостности, ключа, соответствующего потоку, и однонаправленного радиоканала передачи данных (DRB), соответствующего потоку; и модуль 12 защиты целостности выполнен с возможностью выполнения защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа.
При необходимости модуль 11 получения специально выполнен с возможностью: отправки первого сообщения, где первое сообщение используется для запроса на установление сеанса, и сеанс соответствует потоку; и приема второго сообщения, где второе сообщение включает в себя: идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку; или второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
При необходимости модуль 11 получения дополнительно выполнен с возможностью получения по меньшей мере одной из следующих информаций:
указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности, где
указание позиции защиты целостности используется для указания сетевого элемента, где выполняется защита целостности;
указание позиции протокольного уровня защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности;
указание активации позиции защиты целостности используется для указания, включить или нет функцию защиты целостности; и
указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя или данные плоскости пользователя и сигнализация плоскости управления.
При необходимости данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB. Когда данные DRB представляют собой пакет данных уровня SDAP DRB, терминальное устройство дополнительно включает в себя: модуль маркировки, выполненный с возможностью маркировки идентификатора потока в пакете данных уровня SDAP DRB.
Терминальное устройство, предусмотренное в данном варианте осуществления, может быть выполнено с возможностью выполнения этапов, которые выполняются терминальным устройством в варианте 2 осуществления, и конкретная реализация и технический эффект аналогичны ему. В данном документе подробности повторно не описываются.
На фиг. 7 показана схематичная структурная схема устройства сети доступа согласно варианту 5 осуществления настоящей заявки. Как показано на фиг. 7, устройство сети доступа, предусмотренное в данном варианте осуществления, включает в себя:
модуль 21 приема, выполненный с возможностью приема первого сообщения, отправленного терминальным устройством, где первое сообщение используется для запроса на установление сеанса;
модуль 22 отправки, выполненный с возможностью отправки третьего сообщения в устройство базовой сети, где третье сообщение включает в себя первое сообщение, где
модуль 21 приема дополнительно выполнен с возможностью приема четвертого сообщения, отправленного устройством базовой сети, причем четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий сеансу, и однонаправленный радиоканал передачи данных (DRB), соответствующий сеансу; и
модуль 23 хранения, выполненный с возможностью хранения алгоритма защиты целостности, ключа, соответствующего сеансу, и DRB, соответствующего сеансу, где
модуль 22 отправки дополнительно выполнен с возможностью отправки второго сообщения в терминальное устройство, где второе сообщение включает в себя: идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу; или второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, алгоритм защиты целостности, ключ, соответствующий сеансу, и идентификатор DRB, соответствующего сеансу.
При необходимости третье сообщение или второе сообщение дополнительно включает в себя по меньшей мере одну из следующих информаций:
указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности, где
указание позиции защиты целостности используется для указания сетевого элемента, где выполняется защита целостности;
указание позиции протокольного уровня защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности;
указание активации позиции защиты целостности используется для указания, включить или нет функцию защиты целостности; и
указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя или данные плоскости пользователя и сигнализация плоскости управления.
При необходимости устройство сети доступа дополнительно включает в себя: модуль 24 защиты целостности, выполненный с возможностью выполнения защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа.
При необходимости данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB.
Когда данные DRB представляют собой пакет данных уровня SDAP DRB, устройство сети доступа дополнительно включает в себя: модуль маркировки, выполненный с возможностью маркировки идентификатора потока в пакете данных уровня SDAP DRB.
Вариант 6 осуществления настоящей заявки предусматривает устройство сети доступа. Структура устройства сети доступа представлена на фиг. 7. В данном варианте осуществления:
модуль 21 приема выполнен с возможностью приема первого сообщения, отправленного терминальным устройством, где первое сообщение используется для запроса на установление сеанса;
модуль 22 отправки выполнен с возможностью отправки третьего сообщения в устройство базовой сети, где третье сообщение включает в себя первое сообщение;
модуль 21 приема дополнительно выполнен с возможностью приема четвертого сообщения, отправленного устройством базовой сети, где четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий потоку, и однонаправленный радиоканал передачи данных (DRB), соответствующий потоку, и сеанс соответствует потоку;
модуль 23 хранения выполнен с возможностью хранения алгоритма защиты целостности, ключа, соответствующего потоку, и DRB, соответствующего потоку; и
модуль 22 отправки дополнительно выполнен с возможностью отправки второго сообщения в терминальное устройство, где второе сообщение включает в себя: идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
При необходимости второе сообщение включает в себя конфигурацию уровня SDAP, и конфигурация уровня SDAP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку; или второе сообщение включает в себя конфигурацию уровня PDCP, и конфигурация уровня PDCP включает в себя идентификатор сеанса, идентификатор потока, идентификатор DRB, соответствующего потоку, алгоритм защиты целостности и ключ, соответствующий потоку.
При необходимости третье сообщение или второе сообщение дополнительно включает в себя по меньшей мере одну из следующих информаций:
указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности, где
указание позиции защиты целостности используется для указания сетевого элемента, где выполняется защита целостности;
указание позиции протокольного уровня защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности;
указание активации позиции защиты целостности используется для указания, включить или нет функцию защиты целостности; и
указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя или данные плоскости пользователя и сигнализация плоскости управления.
При необходимости модуль 24 защиты целостности выполнен с возможностью выполнения защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа.
При необходимости данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB.
Когда данные DRB представляют собой пакет данных уровня SDAP DRB, устройство сети доступа дополнительно включает в себя: модуль маркировки, выполненный с возможностью маркировки идентификатора потока в пакете данных уровня SDAP DRB.
На фиг. 8 показана схематичная структурная схема устройства базовой сети согласно варианту 7 осуществления настоящей заявки. Как показано на фиг. 8, устройство базовой сети, предусмотренное в данном варианте осуществления, включает в себя:
модуль 31 приема, выполненный с возможностью приема третьего сообщения, отправленного устройством сети доступа, где третье сообщение включает в себя первое сообщение, и первое сообщение используется для запроса на установление сеанса; и
модуль 32 отправки, выполненный с возможностью отправки четвертого сообщения в устройство сети доступа, где четвертое сообщение включает в себя алгоритм защиты целостности, ключ, соответствующий сеансу, и однонаправленный радиоканал передачи данных (DRB), соответствующий сеансу; или включает в себя алгоритм защиты целостности, ключ, соответствующий потоку, и DRB, соответствующий потоку, где сеанс соответствует потоку.
При необходимости четвертое сообщение дополнительно включает в себя по меньшей мере одну из следующих информаций:
указание позиции защиты целостности, указание позиции протокольного уровня защиты целостности, указание активации позиции защиты целостности и указание объекта защиты целостности, где
указание позиции защиты целостности используется для указания сетевого элемента, где выполняется защита целостности;
указание позиции протокольного уровня защиты целостности используется для указания протокольного уровня, на котором выполняется защита целостности;
указание активации позиции защиты целостности используется для указания, включить или нет функцию защиты целостности; и
указание объекта защиты целостности используется для указания того, что объектом для защиты целостности являются данные плоскости пользователя или данные плоскости пользователя и сигнализация плоскости управления.
При необходимости устройство базовой сети дополнительно включает в себя: модуль 33 защиты целостности, выполненный с возможностью выполнения защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа.
При необходимости данные DRB представляют собой пакет данных уровня SDAP DRB или пакет данных уровня PDCP DRB.
Когда данные DRB представляют собой пакет данных уровня SDAP DRB, устройство базовой сети дополнительно включает в себя: модуль маркировки, выполненный с возможностью маркировки идентификатора потока в пакете данных уровня SDAP DRB.
Следует отметить, что в приведенных выше вариантах осуществления устройства модуль приема и модуль отправки могут быть реализованы с использованием приемопередатчика, или модуль приема может быть реализован с помощью независимого приемника, и модуль отправки может быть реализован с помощью независимого передатчика. Модуль получения, модуль защиты целостности и модуль маркировки в вышеупомянутых вариантах осуществления могут быть осуществлены с помощью процессора, имеющего функцию обработки данных.
На фиг. 9 показана схематичная структурная схема терминального устройства согласно варианту 8 осуществления настоящей заявки. Как показано на фиг. 9, терминальное устройство 400 в данном варианте осуществления включает в себя: процессор 41, память 42, приемник 43 и передатчик 44, где память 42, приемник 43 и передатчик 44 подключены к и взаимодействуют с процессором 41 используя шину, память 42 выполнена с возможностью хранения машиноисполняемой инструкции, и процессор 41 выполнен с возможностью выполнения машиноисполняемой инструкции, поэтому терминальное устройство 400 выполняет этапы, которые выполняются терминальным устройством в представленных способах в варианте 1 осуществления и варианте 2 осуществления. Конкретная реализация и технический эффект аналогичны им. В данном документе подробности повторно не описываются.
На фиг. 10 показана схематичная структурная схема устройства сети доступа согласно варианту 9 осуществления настоящей заявки. Как показано на фиг. 10, устройство 500 сети доступа в данном варианте осуществления включает в себя: процессор 51, память 52, приемник 53 и передатчик 54, где память 52, приемник 53 и передатчик 54 подключены к и взаимодействуют с процессором 51 с использованием шины, память 52 выполнена с возможностью хранения машиноисполняемой инструкции, и процессор 51 выполнен с возможностью выполнения машиноисполняемой инструкции, таким образом, устройство 500 сети доступа выполняет этапы, которые выполняются устройством сети доступа в способах, представленных в варианте 1 осуществления и варианте 2 осуществления. Конкретная реализация и технический эффект аналогичны им. В данном документе подробности повторно не описываются.
На фиг. 11 показана схематичная структурная схема устройства базовой сети согласно варианту 10 осуществления настоящей заявки. Как показано на фиг. 11, устройство 600 базовой сети в данном варианте осуществления включает в себя: процессор 61, память 62, приемник 63 и передатчик 64, где память 62, приемник 63 и передатчик 64 подключены к и взаимодействуют с процессором 61 с использованием шины, память 62 выполнена с возможностью хранения машиноисполняемой инструкции, и процессор 61 выполнен с возможностью выполнения машиноисполняемой инструкции, таким образом, устройство 600 базовой сети выполняет этапы, которые выполняются устройством базовой сети в способах, представленных в варианте 1 осуществления и варианте 2 осуществления. Конкретная реализация и технический эффект аналогичны им. В данном документе подробности повторно не описываются.
Вариант 11 осуществления настоящей заявки предусматривает машиночитаемый носитель, где машиночитаемый носитель включает в себя машиноисполняемую инструкцию, и машиноисполняемая инструкция используется для предоставления терминальному устройству возможности выполнять этапы способов, которые выполняются терминальным устройством в варианте 1 осуществления и варианте 2 осуществления настоящей заявки.
Вариант 12 осуществления настоящей заявки предусматривает машиночитаемый носитель, где машиночитаемый носитель включает в себя машиноисполняемую инструкцию, и машиноисполняемая инструкция используется для предоставления устройству сети доступа возможности выполнять этапы способов, которые выполняются устройством сети доступа в варианте 1 осуществления и варианте 2 осуществления настоящей заявки.
Вариант 13 осуществления настоящей заявки предусматривает машиночитаемый носитель, где машиночитаемый носитель включает в себя машиноисполняемую инструкцию, и машиноисполняемая инструкция используется для того, чтобы предоставить устройству базовой сети возможность выполнять этапы способов, которые выполняются устройством базовой сети в варианте 1 осуществления и варианте 2 осуществления настоящей заявки.
Вариант 14 осуществления настоящей заявки предусматривает систему на кристалле. Система может быть применена к терминальному устройству, и система на кристалле включает в себя: по меньшей мере один интерфейс связи, по меньшей мере один процессор и по меньшей мере одну память, где интерфейс связи, память и процессор соединены между собой с использованием шины, и процессор вызывает инструкцию, хранящуюся в памяти, для выполнения этапов способов, которые выполняются терминальным устройством в варианте 1 осуществления и варианте 2 осуществления настоящей заявки.
Вариант 15 осуществления настоящего изобретения предусматривает систему на кристалле. Система может быть применена к устройству сети доступа, и система на кристалле включает в себя: по меньшей мере один интерфейс связи, по меньшей мере один процессор и по меньшей мере одну память, где интерфейс связи, память и процессор соединены между собой с использованием шины, и процессор вызывает инструкцию, хранящуюся в памяти, для выполнения этапов способов, которые выполняются устройством сети доступа в варианте 1 осуществления и варианте 2 осуществления настоящей заявки.
Вариант 16 осуществления настоящего изобретения предусматривает систему на кристалле. Система может быть применена к устройству базовой сети, и система на кристалле включает в себя: по меньшей мере один интерфейс связи, по меньшей мере один процессор и по меньшей мере одну память, где интерфейс связи, память и процессор соединены между собой с использованием шины, и процессор вызывает инструкцию, хранящуюся в памяти, для выполнения способов, которые выполняются устройством базовой сети в варианте 1 осуществления и варианте 2 осуществления настоящей заявки.
Вариант 17 осуществления настоящей заявки предусматривает программный продукт, где программный продукт включает в себя компьютерную программу, компьютерная программа хранится на машиночитаемом носителе информации, и по меньшей мере один процессор терминального устройства выполняет компьютерную программу таким образом, что терминал устройство реализует этапы способов, которые выполняются терминальным устройством в варианте 1 осуществления и варианте 2 осуществления настоящей заявки.
Вариант 18 осуществления настоящей заявки предусматривает программный продукт, где программный продукт включает в себя компьютерную программу, компьютерная программа хранится на машиночитаемом носителе информации, и по меньшей мере один процессор устройства сети доступа выполняет компьютерную программу таким образом, что устройство сети доступа реализует этапы способов, которые выполняются устройством сети доступа в варианте 1 осуществления и варианте 2 осуществления настоящей заявки.
Вариант 19 осуществления настоящей заявки предусматривает программный продукт, где программный продукт включает в себя компьютерную программу, компьютерная программа хранится на машиночитаемом носителе информации, и по меньшей мере один процессор устройства базовой сети выполняет компьютерную программу таким образом, что устройство базовой сети реализует этапы способов, которые выполняются устройством базовой сети в варианте 1 осуществления и варианте 2 осуществления настоящей заявки.
Понятно, что в настоящей заявке процессор может представлять собой центральный процессор (CPU), процессор общего назначения, процессор цифровых сигналов (DSP), специализированную интегральную схему (ASIC), программируемую пользователем вентильную матрицу (FPGA) или другое программируемое логическое устройство, транзисторное логическое устройство, компонент аппаратных средств или любую их комбинацию. Процессор может осуществлять или исполнять логические блоки, модули и схемы, проиллюстрированные и описанные в настоящей заявке. В качестве альтернативы, процессор может представлять собой комбинацию процессоров, реализующих вычислительную функцию, например, комбинацию одного или нескольких микропроцессоров или комбинацию DSP и микропроцессора.
В настоящей заявке шиной может быть шина со стандартной промышленной архитектурой (Industry Standard Architecture, ISA), шина для подключения периферийных компонентов (Peripheral Component Interconnect, PCI), шина с расширенной архитектурой промышленного стандарта (Extended Industry Standard Architecture, EISA) или т.п. Шина может быть классифицирована на адресную шину, шину данных, шину управления и тому подобное. Для упрощения изложения шина на сопроводительных чертежах настоящей заявки не ограничена только одной шиной или шиной одного типа.
В нескольких вариантах осуществления, представленных в настоящей заявке, описанные варианты осуществления устройства являются всего лишь примерами. Например, разделение на модули является просто разделением на логические функции и в реальной реализации может быть другим разделением. Например, множество модулей или компонентов могут быть объединены или интегрированы в другую систему, или некоторые функции могут игнорироваться или не выполняться. Кроме того, показанные или обсужденные взаимные связи, или прямые связи или коммуникационные соединения могут быть реализованы с помощью некоторых интерфейсов. Косвенные связи или коммуникационные соединения между устройствами или модулями могут быть реализованы в электрической, механической или других формах.
Блоки, описанные как отдельные части, могут или не могут быть физически разделены, то есть могут находиться в одном месте или могут быть распределены по множеству сетевых блоков. Некоторые или все блоки могут быть выбраны на основе фактических требований для достижения целей решений вариантов осуществления.
Claims (26)
1. Способ защиты целостности данных, содержащий:
отправку, терминальным устройством, первого сообщения в устройство сети доступа, причем первое сообщение используется для запроса на установление сеанса протокольного блока данных (PDU);
прием, терминальным устройством, второго сообщения из устройства сети доступа, причем второе сообщение содержит идентификатор сеанса PDU, однонаправленный канал передачи данных (DRB), соответствующий сеансу PDU; и
выполнение, терминальным устройством, защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа, соответствующего сеансу PDU, в котором второе сообщение содержит алгоритм защиты целостности и ключ, соответствующий сеансу PDU, или алгоритм защиты целостности и ключ, соответствующий сеансу PDU, конфигурируются заранее, в котором объектом для защиты целостности являются данные плоскости пользователя.
2. Способ по п. 1, в котором второе сообщение дополнительно содержит:
первое указание, причем первое указание используется для указания, включить или нет функцию защиты целостности.
3. Способ по п. 2, в котором второе сообщение содержит конфигурацию уровня протокола конвергенции пакетных данных (PDCP), и конфигурация уровня PDCP содержит первое указание.
4. Способ по п. 1, в котором второе сообщение дополнительно содержит:
второе указание, причем второе указание используется для указания протокольного уровня, на котором выполняется защита целостности.
5. Способ по п. 1, в котором второе сообщение содержит конфигурацию уровня SDAP, конфигурация уровня SDAP содержит идентификатор сеанса, и уровень SDAP используется для обработки отображения из потока в DRB.
6. Способ по п. 1, в котором сеанс PDU соответствует одному или нескольким DRB, и, когда сеанс PDU соответствует множеству DRB, конфигурации защиты целостности, используемые для множества DRB, являются одинаковыми, в котором каждая из конфигураций защиты целостности включает алгоритм защиты целостности и ключ, соответствующий сеансу PDU.
7. Способ по п. 1, в котором данные DRB представляют собой пакет данных уровня PDCP.
8. Устройство связи, содержащее:
блок, выполненный с возможностью отправки первого сообщения в устройство сети доступа, причем первое сообщение используется для запроса на установление сеанса протокольного блока данных (PDU);
модуль или средство, выполненное с возможностью приема второго сообщения из устройства сети доступа, причем второе сообщение содержит идентификатор сеанса PDU, идентификатор однонаправленного радиоканала передачи данных (DRB), соответствующего сеансу PDU; и
блок, выполненный с возможностью выполнения защиты целостности данных DRB с использованием алгоритма защиты целостности и ключа, соответствующего сеансу PDU, в котором второе сообщение содержит алгоритм защиты целостности и ключ, соответствующий сеансу PDU, или алгоритм защиты целостности и ключ, соответствующий сеансу PDU, конфигурируются заранее, в котором объектом для защиты целостности являются данные плоскости пользователя.
9. Устройство по п. 8, в котором второе сообщение дополнительно содержит:
первое указание, причем первое указание используется для указания, включить или нет функцию защиты целостности.
10. Устройство по п. 9, в котором второе сообщение содержит конфигурацию уровня протокола конвергенции пакетных данных (PDCP), и конфигурация уровня PDCP содержит первое указание.
11. Устройство по п. 8, в котором второе сообщение дополнительно содержит:
второе указание, причем второе указание используется для указания протокольного уровня, на котором выполняется защита целостности.
12. Устройство по п. 8, в котором второе сообщение содержит конфигурацию уровня SDAP, конфигурация уровня SDAP содержит идентификатор сеанса, и уровень SDAP используется для обработки отображения из потока в DRB.
13. Устройство по п. 8, в котором сеанс PDU соответствует одному или нескольким DRB, и, когда сеанс PDU соответствует множеству DRB, конфигурации защиты целостности, используемые для множества DRB, являются одинаковыми, в котором каждая из конфигураций защиты целостности включает алгоритм защиты целостности и ключ, соответствующий сеансу PDU.
14. Устройство по п. 8, в котором данные DRB представляют собой пакет данных уровня PDCP.
15. Устройство связи, содержащее процессор, подключенный к памяти и выполненный с возможностью считывания и исполнения программы, хранящейся в памяти, для реализации способа по любому из пп. 1-7.
16. Машиночитаемый носитель, содержащий программу, где, при вызове программы процессором, программа используется для выполнения способа по любому из пп. 1-7.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710686855.8 | 2017-08-11 | ||
CN201710686855.8A CN109391603B (zh) | 2017-08-11 | 2017-08-11 | 数据完整性保护方法和装置 |
PCT/CN2018/099916 WO2019029691A1 (zh) | 2017-08-11 | 2018-08-10 | 数据完整性保护方法和装置 |
Publications (3)
Publication Number | Publication Date |
---|---|
RU2020110041A RU2020110041A (ru) | 2021-09-13 |
RU2020110041A3 RU2020110041A3 (ru) | 2021-10-15 |
RU2767778C2 true RU2767778C2 (ru) | 2022-03-21 |
Family
ID=64983156
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2020110041A RU2767778C2 (ru) | 2017-08-11 | 2018-08-10 | Способ и устройство защиты целостности данных |
Country Status (9)
Country | Link |
---|---|
US (2) | US11025645B2 (ru) |
EP (2) | EP3934300A1 (ru) |
JP (1) | JP6978586B2 (ru) |
KR (1) | KR102282122B1 (ru) |
CN (3) | CN109218325B (ru) |
AU (1) | AU2018315349B2 (ru) |
BR (1) | BR112020002766A2 (ru) |
RU (1) | RU2767778C2 (ru) |
WO (1) | WO2019029691A1 (ru) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
BR112020008401A2 (pt) * | 2017-11-08 | 2020-11-03 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | método para controlar uma proteção de integridade, dispositivo de rede e meio de armazenamento para computador |
CN113748695B (zh) * | 2019-02-28 | 2023-11-10 | 瑞典爱立信有限公司 | 提供对紧急会话的管理的方法以及相关设备和节点 |
CN111669750B (zh) * | 2019-03-07 | 2021-08-03 | 华为技术有限公司 | 一种pdu会话二次验证的方法及装置 |
GB2582827A (en) * | 2019-04-05 | 2020-10-07 | Nec Corp | Communication system |
CN111988782B (zh) * | 2019-05-23 | 2022-04-12 | 华为技术有限公司 | 安全会话方法和装置 |
CN110366049B (zh) * | 2019-08-05 | 2021-03-23 | 杭州当虹科技股份有限公司 | 一种流式视频完整性保护方法 |
CN113038604B (zh) * | 2019-12-24 | 2023-03-21 | 中国电信股份有限公司 | 无线资源配置方法、装置和系统、基站 |
CN111163471B (zh) * | 2019-12-26 | 2021-02-19 | 北京微智信业科技有限公司 | 业务数据完整性保护方法、装置、设备及存储介质 |
CN114930890A (zh) * | 2020-03-30 | 2022-08-19 | Oppo广东移动通信有限公司 | 完整性保护方法和通信设备 |
CN115004634B (zh) * | 2020-04-03 | 2023-12-19 | Oppo广东移动通信有限公司 | 信息处理方法、装置、设备及存储介质 |
CN116158111B (zh) * | 2020-08-10 | 2024-07-19 | 华为技术有限公司 | 一种通信的方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2405199C2 (ru) * | 2004-05-12 | 2010-11-27 | Нокиа Корпорейшн | Защита целостности потокового контента |
RU2550562C2 (ru) * | 2010-08-16 | 2015-05-10 | Нтт Докомо, Инк. | Способ и система мобильной связи и базовая радиостанция |
US20150163678A1 (en) * | 2011-01-10 | 2015-06-11 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for data protection on interface in communications system |
CN102487507B (zh) * | 2010-12-01 | 2016-01-20 | 中兴通讯股份有限公司 | 一种实现完整性保护的方法及系统 |
WO2016076628A2 (ko) * | 2014-11-11 | 2016-05-19 | 삼성전자 주식회사 | 이동통신 네트워크를 통한 데이터 서비스 제공 방법 및 장치 |
Family Cites Families (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050086477A1 (en) * | 2003-10-16 | 2005-04-21 | Taiwan Semiconductor Manufacturing Co. | Integrate PGP and Lotus Notes to encrypt / decrypt email |
CN101001252A (zh) * | 2006-06-25 | 2007-07-18 | 华为技术有限公司 | 一种注册方法和一种用户面安全算法的协商方法及装置 |
CN101222322B (zh) | 2008-01-24 | 2010-06-16 | 中兴通讯股份有限公司 | 一种超级移动宽带系统中安全能力协商的方法 |
KR101674947B1 (ko) * | 2009-04-21 | 2016-11-10 | 엘지전자 주식회사 | 효율적인 보안 관련 처리 |
CN102036256B (zh) * | 2009-09-28 | 2013-03-20 | 华为技术有限公司 | 数据传输方法、装置及系统 |
CN102098676B (zh) * | 2010-01-04 | 2015-08-12 | 电信科学技术研究院 | 一种实现完整性保护的方法、装置和系统 |
KR101831448B1 (ko) * | 2010-02-02 | 2018-02-26 | 엘지전자 주식회사 | 이동 통신 시스템에서 pdcp 기능을 선택적으로 적용하는 방법 |
CN101860863A (zh) * | 2010-05-21 | 2010-10-13 | 中国科学院软件研究所 | 一种增强的加密及完整性保护方法 |
WO2012055114A1 (en) * | 2010-10-29 | 2012-05-03 | Nokia Siemens Networks Oy | Security of user plane traffic between relay node and radio access network |
ES2530961T3 (es) * | 2010-12-10 | 2015-03-09 | Ericsson Telefon Ab L M | Habilitación e inhabilitación de la protección de la integridad para portadores de radio de datos |
CN102595390B (zh) * | 2011-01-18 | 2019-04-05 | 中兴通讯股份有限公司 | 一种安全模式的配置方法和终端 |
CN103609171B (zh) * | 2012-06-08 | 2018-04-10 | 华为技术有限公司 | 基站、用户设备及通信方法 |
KR101672663B1 (ko) * | 2013-01-11 | 2016-11-03 | 엘지전자 주식회사 | 무선 통신 시스템에서 보안 정보를 적용하기 위한 방법 및 장치 |
US9578593B2 (en) * | 2013-06-11 | 2017-02-21 | Futurewei Technologies, Inc. | System and method for coordinated remote control of network radio nodes and core network elements |
ES2890499T3 (es) * | 2013-09-11 | 2022-01-20 | Samsung Electronics Co Ltd | Procedimiento y sistema para posibilitar una comunicación segura para una transmisión inter-eNB |
CN105704753B (zh) * | 2014-11-26 | 2018-09-07 | 电信科学技术研究院 | 一种进行数据传输的方法、系统和设备 |
WO2016159841A1 (en) * | 2015-03-31 | 2016-10-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Service continuity |
US10454686B2 (en) * | 2015-04-08 | 2019-10-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network |
RU2697645C1 (ru) | 2015-08-13 | 2019-08-15 | Хуавэй Текнолоджиз Ко., Лтд. | Способ защиты сообщений и соответствующее устройство и система |
US10582522B2 (en) * | 2015-09-04 | 2020-03-03 | Lg Electronics Inc. | Data transmission and reception method and device of terminal in wireless communication system |
CN107027117A (zh) * | 2016-02-02 | 2017-08-08 | 普天信息技术有限公司 | 一种动态生成根密钥的方法 |
US20190075482A1 (en) * | 2016-11-04 | 2019-03-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Reflective mapping of flows to radio bearers |
EP3550876A4 (en) * | 2016-12-29 | 2019-11-20 | LG Electronics Inc. -1- | METHOD AND APPARATUS FOR DRB ESTABLISHMENT |
US11558745B2 (en) * | 2017-01-30 | 2023-01-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods for integrity protection of user plane data |
US10123210B2 (en) * | 2017-03-17 | 2018-11-06 | Nokia Of America Corporation | System and method for dynamic activation and deactivation of user plane integrity in wireless networks |
KR102359746B1 (ko) * | 2017-06-05 | 2022-02-10 | 삼성전자 주식회사 | 차세대 이동통신 시스템에서 인액티브 모드 단말이 데이터를 전송하는 방법 및 장치 |
KR102394123B1 (ko) * | 2017-06-16 | 2022-05-04 | 삼성전자 주식회사 | 차세대 이동 통신 시스템에서 복수 개의 스케쥴링 요청을 전송하는 방법 및 장치 |
US10798754B2 (en) * | 2017-07-24 | 2020-10-06 | Asustek Computer Inc. | Method and apparatus for serving quality of service (QOS) flow in a wireless communication system |
CA3028434C (en) * | 2017-08-10 | 2021-06-08 | Lg Electronics Inc. | Method for performing a re-establishment of a pdcp entity associated with um rlc entity in wireless communication system and a device therefor |
-
2017
- 2017-08-11 CN CN201811179111.8A patent/CN109218325B/zh active Active
- 2017-08-11 CN CN201710686855.8A patent/CN109391603B/zh active Active
-
2018
- 2018-08-10 KR KR1020207007086A patent/KR102282122B1/ko active IP Right Grant
- 2018-08-10 AU AU2018315349A patent/AU2018315349B2/en active Active
- 2018-08-10 EP EP21175743.0A patent/EP3934300A1/en active Pending
- 2018-08-10 JP JP2020508031A patent/JP6978586B2/ja active Active
- 2018-08-10 EP EP18844845.0A patent/EP3585082B1/en active Active
- 2018-08-10 CN CN201880051984.2A patent/CN110999347A/zh active Pending
- 2018-08-10 WO PCT/CN2018/099916 patent/WO2019029691A1/zh unknown
- 2018-08-10 RU RU2020110041A patent/RU2767778C2/ru active
- 2018-08-10 BR BR112020002766-9A patent/BR112020002766A2/pt unknown
-
2019
- 2019-08-14 US US16/540,695 patent/US11025645B2/en active Active
-
2021
- 2021-05-26 US US17/330,915 patent/US11818139B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2405199C2 (ru) * | 2004-05-12 | 2010-11-27 | Нокиа Корпорейшн | Защита целостности потокового контента |
RU2550562C2 (ru) * | 2010-08-16 | 2015-05-10 | Нтт Докомо, Инк. | Способ и система мобильной связи и базовая радиостанция |
CN102487507B (zh) * | 2010-12-01 | 2016-01-20 | 中兴通讯股份有限公司 | 一种实现完整性保护的方法及系统 |
US20150163678A1 (en) * | 2011-01-10 | 2015-06-11 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for data protection on interface in communications system |
WO2016076628A2 (ko) * | 2014-11-11 | 2016-05-19 | 삼성전자 주식회사 | 이동통신 네트워크를 통한 데이터 서비스 제공 방법 및 장치 |
Non-Patent Citations (2)
Title |
---|
3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study on the security aspects of the next generation system (Release 14), 3GPP TR 33.899 V1.2.0 (2017-06), S3-171583-V2-33899-120-RM [найдено онлайн], найдено 12.10.2021 в Интернет по адресу https://www.3gpp.org/ftp/tsg_sa/wg3_security/TSGS3_87_Ljubljana/Docs/. * |
Huawei, HiSilicon, Initiation of SDAP Entity, 3GPP TSG-RAN WG2 MeetingAdhoc#2, R2-1706789, Qingdao, China, 27th-29th June 2017 [найдено онлайн], найдено 12.10.2021 в Интернет по адресу https://www.3gpp.org/ftp/TSG_RAN/WG2_RL2/TSGR2_AHs/2017_06_NR/Docs/. * |
Also Published As
Publication number | Publication date |
---|---|
EP3585082B1 (en) | 2021-05-26 |
CN109218325B (zh) | 2020-03-10 |
BR112020002766A2 (pt) | 2020-07-28 |
CN110999347A (zh) | 2020-04-10 |
RU2020110041A3 (ru) | 2021-10-15 |
KR102282122B1 (ko) | 2021-07-26 |
US11025645B2 (en) | 2021-06-01 |
US20210352082A1 (en) | 2021-11-11 |
JP2020530721A (ja) | 2020-10-22 |
AU2018315349A1 (en) | 2020-03-19 |
CN109391603A (zh) | 2019-02-26 |
KR20200036018A (ko) | 2020-04-06 |
WO2019029691A1 (zh) | 2019-02-14 |
AU2018315349B2 (en) | 2021-03-25 |
RU2020110041A (ru) | 2021-09-13 |
CN109391603B (zh) | 2021-07-09 |
EP3585082A4 (en) | 2020-01-22 |
JP6978586B2 (ja) | 2021-12-08 |
US20190372995A1 (en) | 2019-12-05 |
US11818139B2 (en) | 2023-11-14 |
CN109218325A (zh) | 2019-01-15 |
EP3585082A1 (en) | 2019-12-25 |
EP3934300A1 (en) | 2022-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2767778C2 (ru) | Способ и устройство защиты целостности данных | |
US10972956B2 (en) | Enhanced handling on QoS flow description | |
US11006316B2 (en) | Header compression for ethernet frame | |
US11770865B2 (en) | Relay communication method and relay communications apparatus and system | |
US9420589B2 (en) | Radio resource management for dual priority access | |
KR20230160406A (ko) | Nas 메시지의 보안 보호를 위한 시스템 및 방법 | |
US11284458B2 (en) | Handling of mapped EPS bearer context with duplicate EPS bearer ID | |
CN111866908B (zh) | 一种通信系统和网络设备 | |
WO2015165051A1 (zh) | 数据传输方法及设备 | |
US11153925B2 (en) | Handling of QoS flow description without valid EPS bearer context |