TW202249508A - Security handling of 5gs to epc reselection - Google Patents
Security handling of 5gs to epc reselection Download PDFInfo
- Publication number
- TW202249508A TW202249508A TW111117824A TW111117824A TW202249508A TW 202249508 A TW202249508 A TW 202249508A TW 111117824 A TW111117824 A TW 111117824A TW 111117824 A TW111117824 A TW 111117824A TW 202249508 A TW202249508 A TW 202249508A
- Authority
- TW
- Taiwan
- Prior art keywords
- security context
- tau request
- mapped
- network entity
- context
- Prior art date
Links
- 238000000034 method Methods 0.000 claims abstract description 202
- 238000004891 communication Methods 0.000 claims description 121
- 230000006870 function Effects 0.000 claims description 81
- 230000005540 biological transmission Effects 0.000 claims description 77
- 238000013507 mapping Methods 0.000 claims description 47
- 230000008859 change Effects 0.000 claims description 43
- 238000005516 engineering process Methods 0.000 claims description 29
- 230000000977 initiatory effect Effects 0.000 claims description 9
- 238000012545 processing Methods 0.000 description 193
- 210000004027 cell Anatomy 0.000 description 86
- 238000007726 management method Methods 0.000 description 37
- 238000004422 calculation algorithm Methods 0.000 description 36
- 238000010586 diagram Methods 0.000 description 28
- 238000012795 verification Methods 0.000 description 23
- 230000001413 cellular effect Effects 0.000 description 20
- 238000009795 derivation Methods 0.000 description 17
- 230000004044 response Effects 0.000 description 15
- 230000006855 networking Effects 0.000 description 9
- 230000011664 signaling Effects 0.000 description 9
- 238000003860 storage Methods 0.000 description 9
- 239000000969 carrier Substances 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000012937 correction Methods 0.000 description 6
- 238000005259 measurement Methods 0.000 description 6
- 238000001228 spectrum Methods 0.000 description 6
- 238000013473 artificial intelligence Methods 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 5
- 238000013523 data management Methods 0.000 description 4
- 230000006837 decompression Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000012913 prioritisation Methods 0.000 description 4
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 230000006835 compression Effects 0.000 description 3
- 238000007906 compression Methods 0.000 description 3
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 239000000872 buffer Substances 0.000 description 2
- 125000004122 cyclic group Chemical group 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000010363 phase shift Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 101100194706 Mus musculus Arhgap32 gene Proteins 0.000 description 1
- 101100194707 Xenopus laevis arhgap32 gene Proteins 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 210000001520 comb Anatomy 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 230000009474 immediate action Effects 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 210000002652 macrocyte Anatomy 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 239000003826 tablet Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Alarm Systems (AREA)
Abstract
Description
本專利申請案主張以下申請案的優先權:於2021年5月12日提出申請的並且名稱為「SECURITY HANDLING OF 5GS TO EPC RESELECTION」的美國臨時申請案第No. 63/187,784號;及於2022年5月11日提出申請的並且名稱為「SECURITY HANDLING OF 5GS TO EPC RESELECTION」的美國非臨時專利申請案第17/662,978號,上述申請案的全部內容經由引用方式明確地被併入本文中。This patent application claims priority to U.S. Provisional Application No. 63/187,784, filed May 12, 2021, and entitled "SECURITY HANDLING OF 5GS TO EPC RESELECTION"; and U.S. Nonprovisional Patent Application No. 17/662,978, filed May 11, 2009, and entitled "SECURITY HANDLING OF 5GS TO EPC RESELECTION," which is expressly incorporated herein by reference in its entirety.
概括而言,本案內容係關於通訊系統,並且更具體地,本案內容係關於在通訊系統中採用的安全特徵和安全機制。In general, this case concerns communication systems, and more specifically, it concerns security features and security mechanisms employed in communication systems.
無線通訊系統被廣泛地部署以提供諸如電話、視訊、資料、訊息傳遞和廣播的各種電訊服務。典型的無線通訊系統可以採用能夠經由共享可用的系統資源來支援與多個使用者的通訊的多工存取技術。此類多工存取技術的實例包括分碼多工存取(CDMA)系統、分時多工存取(TDMA)系統、分頻多工存取(FDMA)系統、正交分頻多工存取(OFDMA)系統、單載波分頻多工存取(SC-FDMA)系統和時分同步分碼多工存取(TD-SCDMA)系統。Wireless communication systems are widely deployed to provide various telecommunication services such as telephony, video, data, messaging and broadcasting. A typical wireless communication system may employ a multiple access technology capable of supporting communication with multiple users by sharing available system resources. Examples of such multiple access techniques include Code Division Multiple Access (CDMA) systems, Time Division Multiple Access (TDMA) systems, Frequency Division Multiple Access (FDMA) systems, Orthogonal Frequency Division Multiple Access Access (OFDMA) system, single carrier frequency division multiple access (SC-FDMA) system and time division synchronous code division multiple access (TD-SCDMA) system.
已經在各種電訊標準中採用這些多工存取技術,以提供使不同的無線設備能夠在城市、國家、地區以及甚至全球級別進行通訊的公共協定。實例電訊標準是5G新無線電(NR)。5G NR是由第三代合作夥伴(3GPP)發佈的連續行動寬頻進化的一部分,以滿足與延時、可靠性、安全性、可擴展性(例如,與物聯網路(IoT)一起)相關聯的新要求以及其他要求。5G NR 包括與增強型行動寬頻(eMBB)、大規模機器類型通訊(mMTC)和超可靠低時延通訊(URLLC)相關聯的服務。5G NR的一些態樣可以是基於4G長期進化(LTE)標準的。存在對5G NR技術的進一步改進的需求。這些改進亦可以適用於其他多工存取技術以及採用這些技術的電訊標準。These multiplexing access techniques have been adopted in various telecommunication standards to provide common protocols that enable different wireless devices to communicate at city, national, regional and even global levels. An example telecommunications standard is 5G New Radio (NR). 5G NR is part of the evolution of continuous mobile broadband released by the 3rd Generation Partnership Project (3GPP) to meet requirements associated with latency, reliability, security, scalability (e.g., together with Internet of Things (IoT)) New requirements and others. 5G NR includes services associated with enhanced mobile broadband (eMBB), massive machine-type communications (mMTC) and ultra-reliable low-latency communications (URLLC). Some aspects of 5G NR may be based on the 4G Long Term Evolution (LTE) standard. There is a need for further improvements in 5G NR technology. These improvements are also applicable to other multiplex access technologies and the telecommunication standards using these technologies.
下文提供了對一或多個態樣的簡要概述,以便提供對此類態樣的基本理解。該概述不是全部預期態樣的廣泛綜述。該概述既不標識全部態樣的關鍵或重要元素,亦不圖示任何或全部態樣的範疇。其唯一目的是以簡化形式提供一或多個態樣的一些概念,作為稍後提供的更詳細描述的前序。A brief overview of one or more aspects is provided below in order to provide a basic understanding of such aspects. This overview is not an extensive overview of all expected aspects. This summary neither identifies key or critical elements of all aspects nor does it delineate the scope of any or all aspects. Its sole purpose is to present some concepts of one or more aspects in a simplified form as a prelude to the more detailed description that is presented later.
在本案內容的一個態樣中,提供了一種用於無線通訊的方法、電腦可讀取媒體和裝置。一種裝置可以包括使用者設備(UE)。該實例裝置可以向第一網路實體發送第一追蹤區域更新(TAU)請求,第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符。該實例裝置亦可以向第一網路實體發送第二TAU請求,第二TAU請求包括第一資訊集合,第二TAU請求是使用第二上行鏈路計數進行完整性保護的。該實例裝置亦可以基於第一安全上下文以及第一上行鏈路計數或第二上行鏈路計數中的至少一項來推導映射安全上下文。另外,該實例裝置可以基於映射安全上下文來與第一網路實體進行通訊。In one aspect of the subject matter, a method, computer readable medium and apparatus for wireless communication are provided. An apparatus may include user equipment (UE). The example apparatus may send a first tracking area update (TAU) request to a first network entity, the first TAU request encoded using a first security context associated with a first radio access technology (RAT), the first The TAU request is integrity-protected using a first uplink count based on a first security context, and the first TAU request includes a first set of information including information mapped to the first network entity associated with the first network entity. Two RAT identifiers. The example apparatus may also send a second TAU request to the first network entity, the second TAU request includes the first set of information, and the second TAU request is integrity protected using a second uplink count. The example apparatus may also derive the mapped security context based on the first security context and at least one of the first uplink count or the second uplink count. Additionally, the example apparatus can communicate with the first network entity based on the mapped security context.
在本案內容的一個態樣中,提供了一種用於無線通訊的方法、電腦可讀取媒體和裝置。一種裝置可以包括UE。該實例裝置可以在執行從與第一RAT相關聯的第一細胞到連接到與不同於第一RAT的第二RAT相關聯的第二細胞的改變時向第一網路實體發送第一TAU請求,第一網路實體與第二RAT相關聯,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,並且第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的。該示例性裝置亦可以基於第一安全上下文、第一上行鏈路計數和第一映射安全上下文來推導第一完整性金鑰。另外,該實例裝置可以向第一網路實體發送第一TAU請求的重複,第一TAU請求的重複是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。該實例裝置亦可以基於第一安全上下文、第二上行鏈路計數和第二映射安全上下文來推導第二完整性金鑰。該實例裝置亦可以從第一網路實體接收下行鏈路傳輸。另外,該實例裝置可以使用第一完整性金鑰和第二完整性金鑰中的至少一項來對下行鏈路傳輸執行完整性檢查。當使用經推導的完整性金鑰對下行鏈路傳輸的完整性檢查成功時,該實例裝置亦可以設置UE的主安全金鑰,主安全金鑰是基於用於推導經推導的完整性金鑰的第一映射安全上下文或第二映射安全上下文來設置的。In one aspect of the subject matter, a method, computer readable medium and apparatus for wireless communication are provided. An apparatus may include a UE. The example apparatus may send a first TAU request to the first network entity when performing a change from a first cell associated with the first RAT to a connection to a second cell associated with a second RAT different from the first RAT , the first network entity is associated with the second RAT, the first TAU request is encoded using the first security context associated with the first RAT, and the first TAU request is based on the first security context to use the first uplink Link counts are integrity protected. The example apparatus may also derive a first integrity key based on the first security context, the first uplink count, and the first mapped security context. Additionally, the example apparatus can send a repetition of the first TAU request to the first network entity, the repetition of the first TAU request being integrity protected using a second uplink count different from the first uplink count. The example apparatus can also derive a second integrity key based on the first security context, the second uplink count, and the second mapped security context. The example apparatus can also receive downlink transmissions from the first network entity. Additionally, the example apparatus can perform an integrity check on the downlink transmission using at least one of the first integrity key and the second integrity key. When the integrity check of the downlink transmission using the derived integrity key is successful, the example apparatus may also set the UE's master security key based on the set by the first mapped security context or the second mapped security context.
在本案內容的另一態樣中,提供了一種用於無線通訊的方法、電腦可讀取媒體和裝置。一種裝置可以包括第一網路實體,諸如行動性管理實體(MME)。該實例裝置可以接收由UE產生的第一TAU請求,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符。該實例裝置亦可以基於第一TAU請求來輸出針對第二網路實體的第一上下文請求,第二網路實體與第一RAT相關聯。另外,該實例裝置可以基於第一上下文請求來接收第一映射安全上下文,第一映射安全上下文是從第一安全上下文和第一上行鏈路計數推導出的。該實例裝置亦可以接收第二TAU請求,第二TAU請求是使用第一安全上下文進行編碼的,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的,並且第二TAU請求包括第一資訊集合。該實例裝置亦可以基於第二TAU請求來輸出針對第二網路實體的第二上下文請求。該實例裝置亦可以基於第二上下文請求來接收第二映射安全上下文,第二映射安全上下文是從第一安全上下文和第二上行鏈路計數推導出的。此外,該實例裝置可以基於第二映射安全上下文來發送下行鏈路訊息。In another aspect of the present disclosure, a method, computer-readable medium, and apparatus for wireless communication are provided. An apparatus may include a first network entity, such as a mobility management entity (MME). The example apparatus may receive a first TAU request generated by a UE, the first TAU request is encoded using a first security context associated with a first RAT, and the first TAU request uses a first uplink based on the first security context The link count is integrity protected, and the first TAU request includes a first set of information including an identifier mapped to a second RAT associated with the first network entity. The example apparatus may also output a first context request for a second network entity, the second network entity being associated with the first RAT, based on the first TAU request. Additionally, the example apparatus can receive a first mapped security context based on the first context request, the first mapped security context being derived from the first security context and the first uplink count. The example apparatus may also receive a second TAU request, the second TAU request is encoded using the first security context, the second TAU request is integrity protected using a second uplink count different from the first uplink count , and the second TAU request includes the first set of information. The example apparatus may also output a second context request for the second network entity based on the second TAU request. The example apparatus can also receive a second mapped security context based on the second context request, the second mapped security context derived from the first security context and the second uplink count. Additionally, the example apparatus can send downlink messages based on the second mapped security context.
在本案內容的另一態樣中,提供了一種用於無線通訊的方法、電腦可讀取媒體和裝置。一種裝置可以包括第二網路實體,諸如存取和行動性管理功能單元(AMF)。該實例裝置可以接收第一上下文請求,第一上下文請求至少包括由UE產生的第一TAU請求,第一TAU請求是使用第一上行鏈路計數進行完整性保護的,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一RAT不同於與第一網路實體相關聯的第二RAT。當對第一TAU請求的第一完整性檢查成功時,該實例裝置亦可以推導第一映射安全上下文。該實例輸出用於第一網路實體的第一映射安全上下文。另外,該實例裝置可以接收第二上下文請求,第二上下文請求至少包括由UE產生的第二TAU請求,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。當對第二TAU請求的第二完整性檢查成功時,該實例裝置亦可以推導第二映射安全上下文。另外,該實例裝置可以輸出用於第一網路實體的第二映射安全上下文。In another aspect of the present disclosure, a method, computer-readable medium, and apparatus for wireless communication are provided. An apparatus may include a second network entity, such as an Access and Mobility Management Function (AMF). The example device may receive a first context request, the first context request includes at least a first TAU request generated by the UE, the first TAU request is integrity protected using a first uplink count, and the first TAU request is used with The first security context associated with the first RAT encodes that the first RAT is different from the second RAT associated with the first network entity. The example apparatus may also derive a first mapped security context when the first integrity check on the first TAU request is successful. The instance outputs a first mapped security context for the first network entity. Additionally, the example apparatus can receive a second context request comprising at least a second TAU request generated by the UE, the second TAU request being completed using a second uplink count different from the first uplink count sexual protection. The example apparatus may also derive a second mapped security context when the second integrity check on the second TAU request is successful. Additionally, the example apparatus can output a second mapped security context for the first network entity.
在本案內容的一個態樣中,提供了一種用於在第一網路實體(諸如MME)處進行無線通訊的方法、電腦可讀取媒體和裝置。一種實例裝置可以從UE接收第一TAU請求,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符。該實例裝置亦可以基於第一TAU請求來向第二網路實體發送第一上下文請求,第二網路實體與第一RAT相關聯。另外,該實例裝置可以基於第一上下文請求來從第二網路實體接收第一映射安全上下文,第一映射安全上下文是從第一安全上下文和第一上行鏈路計數推導出的。另外,該實例裝置可以從UE接收第二TAU請求,第二TAU請求是使用第一安全上下文進行編碼的,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的,並且第二TAU請求包括第一資訊集合。該實例裝置亦可以基於第二TAU請求來向第二網路實體發送第二上下文請求。該實例裝置亦可以基於第二上下文請求來從第二網路實體接收第二映射安全上下文,第二映射安全上下文是從第一安全上下文和第二上行鏈路計數推導出的。另外,該實例裝置可以基於第二映射安全上下文來向UE發送下行鏈路訊息。In one aspect of the subject matter, a method, computer-readable medium, and apparatus for wireless communication at a first network entity (such as an MME) are provided. An example apparatus may receive a first TAU request from a UE, the first TAU request encoded using a first security context associated with a first RAT, the first TAU request using a first uplink based on the first security context The count is integrity protected, and the first TAU request includes a first set of information including an identifier mapped to a second RAT associated with the first network entity. The example apparatus may also send a first context request to a second network entity associated with the first RAT based on the first TAU request. Additionally, the example apparatus can receive a first mapped security context from the second network entity based on the first context request, the first mapped security context being derived from the first security context and the first uplink count. Additionally, the example apparatus can receive a second TAU request from the UE, the second TAU request is encoded using the first security context, the second TAU request is made using a second uplink count different from the first uplink count Integrity protected, and the second TAU request includes the first set of information. The example apparatus may also send a second context request to the second network entity based on the second TAU request. The example apparatus can also receive a second mapped security context from the second network entity based on the second context request, the second mapped security context derived from the first security context and the second uplink count. Additionally, the example apparatus can send downlink messages to the UE based on the second mapped security context.
在本案內容的另一態樣中,提供了一種用於在第二網路實體(諸如AMF)處進行無線通訊的方法、電腦可讀取媒體和裝置。一種實例裝置可以從第一網路實體接收第一上下文請求,第一上下文請求至少包括由UE產生的第一TAU請求,第一TAU請求是使用第一上行鏈路計數進行完整性保護的,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一RAT不同於與第一網路實體相關聯的第二RAT。當對第一TAU請求的完整性檢查成功時,該實例裝置亦可以推導第一映射安全上下文。另外,該實例裝置可以向第一網路實體發送第一映射安全上下文。該實例裝置亦可以從第一網路實體接收第二上下文請求,第二上下文請求至少包括由UE產生的第二TAU請求,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。另外,當對第二TAU請求的完整性檢查成功時,該實例裝置可以推導第二映射安全上下文。該實例裝置亦可以向第一網路實體發送第二映射安全上下文。In another aspect of the subject matter, a method, computer-readable medium, and apparatus for wireless communication at a second network entity, such as an AMF, are provided. An example apparatus may receive a first context request from a first network entity, the first context request includes at least a first TAU request generated by a UE, the first TAU request is integrity-protected using a first uplink count, the first A TAU request is encoded using a first security context associated with a first RAT that is different from a second RAT associated with the first network entity. The example apparatus may also derive a first mapped security context when the integrity check of the first TAU request is successful. Additionally, the example apparatus may send the first mapped security context to the first network entity. The example apparatus may also receive a second context request from the first network entity, the second context request includes at least a second TAU request generated by the UE, the second TAU request uses a second uplink count different from the first uplink count Link counts are integrity protected. Additionally, the example apparatus may derive a second mapped security context when the integrity check of the second TAU request is successful. The example apparatus may also send the second mapped security context to the first network entity.
在本案內容的另一態樣中,提供了一種用於在UE處進行無線通訊的方法、電腦可讀取媒體和裝置。一種實例裝置可以向第一網路實體發送第一TAU請求,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符。該實例裝置亦可以基於第一安全上下文和第一上行鏈路計數來推導第一映射安全上下文。另外,該實例裝置可以向第一網路實體發送第二TAU請求,第二TAU請求是使用第一安全上下文進行編碼的,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的,並且第二TAU請求包括第一資訊集合。該實例裝置亦可以基於第一安全上下文和第二上行鏈路計數來推導第二映射安全上下文。另外,該實例裝置可以基於第二映射安全上下文來與第一網路實體進行通訊。In another aspect of the present disclosure, a method, computer-readable medium, and apparatus for wireless communication at a UE are provided. An example apparatus may send a first TAU request to a first network entity, the first TAU request is encoded using a first security context associated with a first RAT, the first TAU request is based on the first security context using a first An uplink count is integrity protected, and the first TAU request includes a first set of information including an identifier mapped to a second RAT associated with the first network entity. The example apparatus can also derive a first mapped security context based on the first security context and the first uplink count. Additionally, the example apparatus may send a second TAU request to the first network entity, the second TAU request is encoded using the first security context, the second TAU request is using a second uplink count different from the first uplink count The link count is integrity protected, and the second TAU request includes the first set of information. The example apparatus can also derive a second mapped security context based on the first security context and the second uplink count. Additionally, the example apparatus can communicate with the first network entity based on the second mapped security context.
在本案內容的另一態樣中,提供了一種用於在UE處進行無線通訊的方法、電腦可讀取媒體和裝置。一種實例裝置可以在執行從與第一RAT相關聯的第一細胞到連接到與不同於第一RAT的第二RAT相關聯的第二細胞的改變時向第一網路實體發送第一TAU請求,第一網路實體與第二RAT相關聯,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符。該實例裝置亦可以向第一網路實體發送第一TAU請求的重複,第一TAU請求的重複包括第一資訊集合,第一TAU請求的重複是使用第一上行鏈路計數進行完整性保護的。另外,該實例裝置可以基於第一安全上下文和第一上行鏈路計數來推導映射安全上下文。該實例裝置亦可以基於映射安全上下文來與第一網路實體進行通訊。In another aspect of the present disclosure, a method, computer-readable medium, and apparatus for wireless communication at a UE are provided. An example apparatus may send a first TAU request to a first network entity upon performing a change from a first cell associated with a first RAT to a connection to a second cell associated with a second RAT different from the first RAT , the first network entity is associated with the second RAT, the first TAU request is encoded using the first security context associated with the first RAT, the first TAU request is based on the first security context to use the first uplink Where the way count is integrity protected, the first TAU request includes a first set of information including an identifier mapped to a second RAT associated with the first network entity. The example apparatus may also send a repetition of a first TAU request to the first network entity, the repetition of the first TAU request includes a first set of information, the repetition of the first TAU request is integrity protected using a first uplink count . Additionally, the example apparatus can derive a mapped security context based on the first security context and the first uplink count. The example apparatus can also communicate with the first network entity based on the mapped security context.
在本案內容的另一態樣中,提供了一種用於在UE處進行無線通訊的方法、電腦可讀取媒體和裝置。一種實例裝置可以在執行從與第一RAT相關聯的第一細胞到連接到與不同於第一RAT的第二RAT相關聯的第二細胞的改變時向第一網路實體發送第一TAU請求,第一網路實體與第二RAT相關聯,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,並且第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的。該實例裝置亦可以基於第一安全上下文、第一上行鏈路計數和第一映射安全上下文來推導第一完整性金鑰。另外,該實例裝置可以向第一網路實體發送第一TAU請求的重複,第一TAU請求的重複是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。該實例裝置亦可以基於第一安全上下文、第二上行鏈路計數和第二映射安全上下文來推導第二完整性金鑰。另外,該實例裝置可以從第一網路實體接收下行鏈路傳輸。該實例裝置亦可以使用第一完整性金鑰和第二完整性金鑰中的至少一項來對下行鏈路傳輸執行完整性檢查。另外,當使用經推導的完整性金鑰對下行鏈路傳輸執行完整性檢查成功時,該實例裝置可以設置UE的主安全金鑰,主安全金鑰是基於相應的完整性金鑰來設置的。In another aspect of the present disclosure, a method, computer-readable medium, and apparatus for wireless communication at a UE are provided. An example apparatus may send a first TAU request to a first network entity upon performing a change from a first cell associated with a first RAT to a connection to a second cell associated with a second RAT different from the first RAT , the first network entity is associated with the second RAT, the first TAU request is encoded using the first security context associated with the first RAT, and the first TAU request is based on the first security context to use the first uplink Link counts are integrity protected. The example apparatus can also derive a first integrity key based on the first security context, the first uplink count, and the first mapped security context. Additionally, the example apparatus can send a repetition of the first TAU request to the first network entity, the repetition of the first TAU request being integrity protected using a second uplink count different from the first uplink count. The example apparatus can also derive a second integrity key based on the first security context, the second uplink count, and the second mapped security context. Additionally, the example apparatus can receive a downlink transmission from the first network entity. The example apparatus can also use at least one of the first integrity key and the second integrity key to perform integrity checks on downlink transmissions. In addition, when the integrity check of the downlink transmission using the derived integrity key is successful, the example apparatus may set the master security key of the UE, which is set based on the corresponding integrity key .
為了實現前述目的和相關目的,一或多個態樣包括下文中充分地描述以及在請求項中特別指出的特徵。下文的描述和附圖詳細闡述了一或多個態樣的某些說明性的特徵。然而,這些特徵指示在其中可以採用各個態樣的原理的各個方式中的僅一些方式。To the accomplishment of the foregoing and related ends, one or more aspects include the features hereinafter fully described and particularly pointed out in the claims. The description below and the annexed drawings set forth certain illustrative features of one or more aspects in detail. These features are indicative, however, of but a few of the various ways in which the principles of the various aspects may be employed.
在給定的地理區域中可以部署任意數量的無線網路。每個無線網路可以支援特定的無線電存取技術(RAT),並且可以在一或多個頻率上操作。在一些實例中,UE可以連接到與第一RAT(諸如5G)相關聯的第一細胞。第一細胞可能無法向UE提供支援。例如,在一些部署場景中,5G的覆蓋可能並不普遍。在其他實例中,第一RAT可能無法提供服務,例如,在其中經由第一RAT發起語音切換服務的語音切換。為了向UE提供支援,UE和第一RAT可以支援從第一RAT到第二RAT的重選,第二RAT可以關於服務向UE提供支援。例如,為了支援語音切換支援,UE和第一細胞可以支援回退程序,其中UE回退到與第二RAT相關聯的第二細胞。Any number of wireless networks can be deployed in a given geographic area. Each wireless network can support a specific radio access technology (RAT) and can operate on one or more frequencies. In some instances, a UE may connect to a first cell associated with a first RAT (such as 5G). The first cell may not be able to provide support to the UE. For example, in some deployment scenarios, 5G coverage may not be widespread. In other instances, the first RAT may not be able to provide a service, eg, a voice handover in which voice handover service is initiated via the first RAT. To provide support to the UE, the UE and the first RAT may support reselection from the first RAT to a second RAT, and the second RAT may provide support to the UE with respect to the service. For example, to support voice handover support, the UE and the first cell may support a fallback procedure in which the UE falls back to a second cell associated with a second RAT.
當UE從第一細胞回退到第二細胞時,UE可以執行重選程序。例如,UE可以執行5G到進化封包核心(EPC)重選程序。當UE執行重選程序時,UE可以發起TAU程序以在第二細胞和相關聯的第二RAT的追蹤區域內註冊自身。When the UE falls back from the first cell to the second cell, the UE may perform a reselection procedure. For example, UE may perform 5G to Evolved Packet Core (EPC) reselection procedure. When the UE performs the reselection procedure, the UE may initiate a TAU procedure to register itself within the tracking area of the second cell and the associated second RAT.
為了提供跨越無線通訊系統的通訊的安全性,可以對在無線通訊系統的設備之間交換的訊息進行完整性保護。完整性保護可以是基於包括一或多個安全金鑰的安全上下文的。在一些實例中,安全上下文可以包括用於認證、完整性保護和加密的一或多個安全參數,並且可以是經由金鑰集辨識符(KSI)可辨識的。在一些實例中,每種RAT可以與相應的安全上下文相關聯。為了促進從第一細胞到第二細胞的重選,相應的RAT的網路實體可以促進將與一種RAT關聯的第一安全上下文映射到與另一RAT關聯的第二安全上下文。例如,與5G相關聯的網路實體可以促進將5G安全上下文映射到EPC安全上下文。在一些實例中,將5G安全上下文映射到EPC安全上下文可以包括使用5G安全上下文來推導EPC安全上下文。EPC安全上下文可以使得UE能夠在從第一細胞切換到第二細胞之後與跟EPC網路相關聯的第二細胞進行通訊。In order to provide security for communications across the wireless communication system, messages exchanged between devices of the wireless communication system may be integrity protected. Integrity protection may be based on a security context that includes one or more security keys. In some examples, a security context may include one or more security parameters for authentication, integrity protection, and encryption, and may be identifiable via a key set identifier (KSI). In some instances, each RAT can be associated with a corresponding security context. To facilitate reselection from a first cell to a second cell, the network entity of the respective RAT may facilitate mapping a first security context associated with one RAT to a second security context associated with another RAT. For example, network entities associated with 5G can facilitate the mapping of 5G security contexts to EPC security contexts. In some examples, mapping the 5G security context to the EPC security context may include using the 5G security context to derive the EPC security context. The EPC security context may enable the UE to communicate with the second cell associated with the EPC network after switching from the first cell to the second cell.
在一些場景中,在UE與第二細胞建立連接並且發送TAU請求訊息之後,可能發生無線電鏈路失敗(RLF)。在此類實例中,UE可以重傳TAU請求訊息。然而,第一安全上下文到第二安全上下文的映射可能導致不一致,這可能導致通訊失敗。In some scenarios, a radio link failure (RLF) may occur after the UE establishes a connection with the second cell and sends a TAU request message. In such instances, the UE may retransmit the TAU request message. However, the mapping of the first security context to the second security context may result in inconsistencies, which may result in communication failures.
本文揭示的實例提供了用於在TAU請求訊息的重複的處理中移除不一致性的技術,如前述。在第一態樣中,所揭示的技術可以經由修改網路如何處理TAU請求訊息的重複來移除不一致性。在第二態樣中,所揭示的技術可以經由修改UE如何對TAU請求訊息進行完整性保護來移除不一致性。在協力廠商面中,所揭示的技術可以經由修改UE如何執行對訊息的完整性驗證來移除不一致性。Examples disclosed herein provide techniques for removing inconsistencies in the processing of iterations of TAU request messages, as described above. In a first aspect, the disclosed technique can remove inconsistencies by modifying how the network handles repetitions of TAU request messages. In a second aspect, the disclosed technique can remove the inconsistency by modifying how the UE integrity protects the TAU request message. On the third party side, the disclosed techniques can remove inconsistencies by modifying how UEs perform integrity verification of messages.
本文提供的各態樣可以使無線通訊系統的設備能夠在RLF和進化封包系統(EPS)TAU請求的重傳的情況下促進5GS到EPC重選的安全處理,以促進改進的行動性支援。Aspects provided herein may enable devices of wireless communication systems to facilitate secure handling of 5GS to EPC reselection in case of retransmission of RLF and Evolved Packet System (EPS) TAU requests to facilitate improved mobility support.
下文結合附圖闡述的實施方式描述了各個配置,而不表示在其中可以實踐本文所描述的概念的唯一配置。出於提供對各個概念的全面理解的目的,實施方式包括特定細節。然而,可以在沒有這些特定細節的情況下實踐這些概念。在一些實例中,以方塊圖的形式圖示公知的結構和部件,以便避免使此類概念模糊。The embodiments set forth below in conjunction with the figures describe various configurations and do not represent the only configurations in which the concepts described herein may be practiced. The embodiments include specific details for the purpose of providing a thorough understanding of various concepts. However, the concepts may be practiced without these specific details. In some instances, well-known structures and components are shown in block diagram form in order to avoid obscuring such concepts.
參考各種裝置和方法來提供電訊系統的若干態樣。這些裝置和方法在下文的實施方式中進行描述,以及在附圖中經由各個方塊、部件、電路、程序、演算法等(被統稱為「元素」)來示出。可以使用電子硬體、電腦軟體或者其任何組合來實現這些元素。此類元素是實現成硬體還是軟體,取決於特定應用和施加到整個系統上的設計約束。Several aspects of telecommunications systems are provided with reference to various devices and methods. These devices and methods are described in the following embodiments, and shown in the drawings through various blocks, components, circuits, programs, algorithms, etc. (collectively referred to as "elements"). These elements may be implemented using electronic hardware, computer software, or any combination thereof. Whether such elements are implemented as hardware or software depends upon the particular application and design constraints imposed on the overall system.
舉例而言,元素、或元素的任何部分或元素的任何組合可以實現為包括一或多個處理器的「處理系統」。處理器的實例包括微處理器、微控制器、圖形處理單元(GPU)、中央處理單元(CPU)、應用處理器、數位訊號處理器(DSP)、精簡指令集計算(RISC)處理器、片上系統(SoC)、基頻處理器、現場可程式設計閘陣列(FPGA)、可程式設計邏輯裝置(PLD)、狀態機、閘控邏輯、個別硬體電路以及被配置為執行遍及本案內容描述的各種功能的其他合適的硬體。處理系統中的一或多個處理器可以執行軟體。無論是被稱為軟體、韌體、中介軟體、微代碼、硬體描述語言或者其他名稱,軟體皆應當被廣泛地解釋為意指指令、指令集、代碼、程式碼片段、程式碼、程式、副程式、軟體部件、應用、軟體應用、套裝軟體、常式、子常式、物件、可執行檔、執行的執行緒、程序、函數或其任何組合。For example, an element, or any portion of an element, or any combination of elements may be implemented as a "processing system" including one or more processors. Examples of processors include microprocessors, microcontrollers, graphics processing units (GPUs), central processing units (CPUs), application processors, digital signal processors (DSPs), reduced instruction set computing (RISC) processors, on-chip System (SoC), baseband processor, field programmable gate array (FPGA), programmable logic device (PLD), state machine, gating logic, individual hardware circuits, and Other suitable hardware for various functions. One or more processors in the processing system may execute software. Whether referred to as software, firmware, middleware, microcode, hardware description language, or otherwise, software should be construed broadly to mean instructions, sets of instructions, code, code fragments, code, programs, A subroutine, software component, application, software application, package, routine, subroutine, object, executable, thread of execution, procedure, function, or any combination thereof.
相應地,在一或多個實例態樣、實現及/或用例中,可以在硬體、軟體或者其任何組合中實現所描述的功能。若在軟體中實現,則功能可以作為一或多個指令或代碼來在電腦可讀取媒體上進行儲存或者編碼。電腦可讀取媒體包括電腦儲存媒體。儲存媒體可以是可以由電腦存取的任何可用媒體。舉例而言,此類電腦可讀取媒體可以包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、電子可抹除可程式設計ROM(EEPROM)、光碟記憶體、磁碟記憶體、其他磁存放裝置、上述類型的電腦可讀取媒體的組合、或者能夠用於以指令或資料結構的形式儲存能夠由電腦存取的電腦可執行代碼的任何其他媒體。Accordingly, in one or more example aspects, implementations, and/or use cases, the described functionality may be implemented in hardware, software, or any combination thereof. If implemented in software, the functions may be stored or encoded as one or more instructions or code on a computer-readable medium. Computer-readable media includes computer storage media. A storage media may be any available media that can be accessed by a computer. Such computer readable media may include, for example, random access memory (RAM), read only memory (ROM), electronically erasable programmable ROM (EEPROM), optical disk memory, disk memory , other magnetic storage devices, combinations of computer-readable media of the above types, or any other medium that can be used to store computer-executable code in the form of instructions or data structures that can be accessed by a computer.
儘管在本案中經由對一些實例的說明來描述態樣、實現及/或用例,但是在許多不同的佈置和場景中可能產生額外或不同的態樣、實現及/或用例。在本文中描述的態樣、實現及/或用例可以跨越許多不同的平臺類型、設備、系統、形狀、尺寸、封裝佈置來實現。例如,實現及/或使用可以經由整合晶片實現和其他基於非模組部件的設備(例如,終端使用者裝置、車輛、通訊設備、計算設備、工業設備、零售/購買設備、醫療設備、啟用人工智慧(AI)的設備等等)而產生。儘管一些實例可能是或可能不是專門針對用例或應用,但是可以存在所描述的實例的各種各樣的適用範疇。態樣、實現及/或用例可以具有從晶片級或模組化部件到非模組化、非晶片級實現的範疇,並且進一步到併入本文的一或多個技術的聚合式、分散式或原始設備製造商(OEM)設備或系統。在一些實際設置中,併入所描述的態樣和特徵的設備亦可以包括用於所要求保護並且描述的態樣的實現和實施的額外部件和特徵。例如,無線訊號的發送和接收必要地包括用於類比和數位目的的多個部件(例如,包括天線、RF鏈、功率放大器、調制器、緩衝器、處理器、交錯器、加法器/相加器等的硬體部件)。在本文中描述的技術可以在具有不同尺寸、形狀和構造的各種設備、晶片級部件、系統、分散式佈置、聚合式或分解式部件、終端使用者裝置等中實施。Although aspects, implementations and/or use cases are described in this case by way of illustration of a few examples, additional or different aspects, implementations and/or use cases may arise in many different arrangements and scenarios. Aspects, implementations and/or use cases described herein may be realized across many different platform types, devices, systems, shapes, sizes, packaging arrangements. For example, implementation and/or use may be implemented via integrated chip implementations and other non-modular component-based devices (e.g., end-user devices, vehicles, communications equipment, computing equipment, industrial equipment, retail/purchasing equipment, medical equipment, artificial intelligence-enabled Intelligent (AI) devices, etc.) are generated. While some examples may or may not be specific to use cases or applications, there may be a wide variety of scopes of applicability for the described examples. Aspects, implementations, and/or use cases may range from wafer-level or modular components to non-modular, non-wafer-level implementations, and further to aggregated, distributed, or Original Equipment Manufacturer (OEM) equipment or systems. In some practical arrangements, devices incorporating the described aspects and features may also include additional components and features for the implementation and implementation of the claimed and described aspects. For example, the transmission and reception of wireless signals necessarily includes multiple components for both analog and digital purposes (including, for example, antennas, RF chains, power amplifiers, modulators, buffers, processors, interleavers, adders/addition hardware components such as controllers). The techniques described herein may be implemented in a variety of devices, wafer-level components, systems, distributed arrangements, aggregated or disaggregated components, end-user devices, etc., having different sizes, shapes, and configurations.
通訊系統(例如,5G NR系統)的部署可以用各種部件或組成部分以多種方式進行佈置。在5G NR系統或網路中,網路節點、網路實體、網路的移動部件、無線電存取網路(RAN)節點、核心網路節點、網路部件或網路設備(諸如基地台(BS)或執行基地台功能的一或多個單元(或一或多個部件))可以在聚合式或分解式架構中實現。例如,BS(諸如節點B(NB)、進化型NB(eNB)、NR BS、5G NB、存取點(AP)、發送接收點(TRP)或細胞等)可以被實現為聚合式基地台(亦被稱為獨立BS或單片BS)或分解式基地台。Deployment of communication systems (eg, 5G NR systems) can be arranged in a variety of ways with various components or components. In a 5G NR system or network, network nodes, network entities, mobile parts of the network, radio access network (RAN) nodes, core network nodes, network components or network equipment (such as base stations ( BS) or one or more units (or one or more components) performing base station functions) can be implemented in a converged or disaggregated architecture. For example, a BS such as Node B (NB), Evolved NB (eNB), NR BS, 5G NB, Access Point (AP), Transceiver Point (TRP) or cell, etc.) can be implemented as an aggregated base station ( Also known as independent BS or single-chip BS) or decomposed base station.
聚合式基地台可以被配置為利用實體上或邏輯上整合在單個RAN節點內的無線電協定堆疊。分解式基地台可以被配置為利用實體上或邏輯上分佈在兩個或兩個以上單元(諸如一或多個中央或集中式單元(CU)、一或多個分散式單元(DU)或一或多個無線電單元(RU))之間的協定堆疊。在一些態樣中,可以在RAN節點內實現CU,並且一或多個DU可以與CU共置,或者替代地,可以在地理上或虛擬地分佈在一或多個其他RAN節點中。DU可以被實現為與一或多個RU進行通訊。CU、DU和RU中的每一者可以被實現為虛擬單元,即虛擬中央單元(VCU)、虛擬分散式單元(VDU)或虛擬無線電單元(VRU)。Converged base stations can be configured to utilize radio protocol stacks that are physically or logically integrated within a single RAN node. Disaggregated base stations may be configured to utilize physical or logical distribution over two or more units such as one or more central or centralized units (CUs), one or more distributed units (DUs) or a or multiple radio units (RUs)) stacking agreement. In some aspects, a CU may be implemented within a RAN node, and one or more DUs may be co-located with the CU, or alternatively, may be geographically or virtually distributed among one or more other RAN nodes. A DU may be implemented to communicate with one or more RUs. Each of the CU, DU and RU may be implemented as a virtual unit, namely a virtual central unit (VCU), a virtual distributed unit (VDU), or a virtual radio unit (VRU).
基地台操作或網路設計可以考慮基地台功能的聚合特性。例如,可以在整合存取回載(IAB)網路、開放無線電存取網路(O-RAN(諸如由O-RAN聯盟贊助的網路配置))或虛擬無線電存取網路(vRAN,亦被稱為雲端無線電存取網路(C-RAN))中利用分解式基地台。分解可以包括在各個實體位置跨越兩個或兩個以上單元分配功能,以及虛擬地分配用於至少一個單元的功能,這可以實現網路設計的靈活性。分解式基地台的各個單元或分解式RAN架構可以被配置用於與至少一個其他單元進行有線或無線通訊。Base station operations or network design may take into account the aggregation nature of base station functions. For example, it can be implemented in Integrated Access Backhaul (IAB) networks, Open Radio Access Networks (O-RAN (such as network configurations sponsored by the O-RAN Alliance)) or Virtual Radio Access Networks (vRAN, also Known as Cloud Radio Access Network (C-RAN)) utilizes disaggregated base stations. Decomposition may include allocating functionality across two or more elements at various physical locations, as well as virtually allocating functionality for at least one element, which may enable flexibility in network design. Each element of the disaggregated base station or the disaggregated RAN architecture may be configured for wired or wireless communication with at least one other element.
圖1是示出無線通訊系統和存取網路的實例的圖100。所示的無線通訊系統包括分解式基地台架構。分解式基地台架構可以包括一或多個CU(例如CU 110),其可以經由回載鏈路直接與核心網路120進行通訊,或者經由一或多個分解式基地台單元(諸如經由E2鏈路的近即時(近RT)RAN智慧控制器(RIC)(例如,近RT RIC 125)、或與服務管理和編排(SMO)框架(例如,SMO框架105)相關聯的非即時(非RT)RIC 115、或兩者)間接與核心網路1220進行通訊。CU 110可以經由諸如F1介面之類的相應的中程鏈路與一或多個DU(例如,DU 130)進行通訊。DU 130可以經由相應的前程鏈路與一或多個RU(例如,RU 140)進行通訊。RU 140可以經由一或多個射頻(RF)存取鏈路與相應的UE(例如,UE 104)進行通訊。在一些實現中,UE 104可以同時由多個RU服務。1 is a diagram 100 illustrating an example of a wireless communication system and access network. The wireless communication system shown includes a disaggregated base station architecture. The disaggregated base station architecture may include one or more CUs (e.g., CU 110), which may communicate directly with the
單元(亦即,CU(例如,CU 110)、DU(例如,DU 130)、RU(例如,RU 140)以及近RT RIC(例如,近RT RIC 125)、非RT RIC(例如,非RT RIC 115)之每一者單元可以包括一或多個介面或者耦合到一或多個介面,該一或多個介面被配置為經由有線或無線傳輸媒體接收或發送訊號、資料或資訊(統稱為訊號)。單元之每一者單元或向單元的通訊介面提供指令的相關聯的處理器或控制器可以被配置為經由傳輸媒體與其他單元中的一或多個單元進行通訊。例如,單元可以包括有線介面,該有線介面被配置為在有線傳輸媒體上接收訊號或將訊號發送到其他單元中的一或多個其他單元。另外,單元可以包括無線介面,該無線介面可以包括接收器、發射器或收發機(諸如RF收發機),該接收器、發射器或收發機被配置為在無線傳輸媒體上接收訊號或將訊號發送到其他單元中的一或多個其他單元、或兩者。Units (i.e., CU (e.g., CU 110), DU (e.g., DU 130), RU (e.g., RU 140) and near RT RIC (e.g., near RT RIC 125), non-RT RIC (e.g., non-RT RIC 115) each unit may include or be coupled to one or more interfaces configured to receive or transmit signals, data or information via wired or wireless transmission media (collectively referred to as signal ). Each of the units or an associated processor or controller that provides instructions to the unit's communication interface may be configured to communicate with one or more of the other units via a transmission medium. For example, a unit may include A wired interface configured to receive or send signals to one or more other units in other units over a wired transmission medium. Additionally, a unit may include a wireless interface, which may include a receiver, transmitter Or a transceiver (such as an RF transceiver) configured to receive signals or transmit signals to one or more of the other units, or both, over a wireless transmission medium.
在一些態樣中,CU 110可以託管一或多個較高層控制功能。此類控制功能可以包括無線電資源控制(RRC)、封包資料彙聚協定(PDCP)、服務資料適配協定(SDAP)等。每個控制功能可以利用被配置為與由CU 110託管的其他控制功能傳送訊號的介面來實現。CU 110可以被配置為處理使用者平面功能(亦即,中央單元-使用者平面(CU-UP))、控制平面功能(亦即,中央單元-控制平面(CU-CP))或其組合。在一些實現中,CU 110可以在邏輯上被拆分為一或多個CU-UP單元和一或多個CU-CP單元。CU-UP單元可以經由介面(例如當在O-RAN配置中實現時,經由E1介面)與CU-CP單元進行雙向通訊。必要時,CU 110可以被實現為針對網路控制和訊號傳遞來與DU 130進行通訊。In some aspects,
DU 130可以對應於邏輯單元,該邏輯單元包括一或多個基地台功能以控制一或多個RU的操作。在一些態樣中,DU 130可以至少部分地根據功能拆分(諸如3GPP定義的功能拆分)來託管無線電鏈路控制(RLC)層、媒體存取控制(MAC)層和一或多個高實體(PHY)層(諸如用於前向糾錯(FEC)編碼和解碼、加擾、調制、解調等的模組)中的一者或多者。在一些態樣中,DU 130亦可以託管一或多個低PHY層。每個層(或模組)可以利用被配置為與由DU 130託管的其他層(和模組)或由CU 110託管的控制功能傳送訊號的介面來實現。
較低層功能可以由一或多個RU實現。在一些部署中,至少部分地基於功能拆分(諸如較低層功能拆分),由DU 130控制的RU 140可以對應於託管RF處理功能或低PHY層功能(例如執行快速傅立葉轉換(FFT)、逆FFT(iFFT)、數位波束成形、實體隨機存取通道(PRACH)提取和濾波等)或兩者的邏輯節點。在此類架構中,可以實現RU 140以處理與一或多個UE(例如,UE 104)的空中(OTA)通訊。在一些實現中,與RU 140的控制和使用者平面通訊的即時和非即時態樣可以由對應的DU控制。在一些場景中,該配置可以使得DU和CU 110能夠在基於雲端的RAN架構(諸如vRAN架構)中實現。Lower layer functions may be implemented by one or more RUs. In some deployments, based at least in part on a functional split (such as lower layer functional split),
SMO框架105可以被配置為支援非虛擬化和虛擬化網路元素的RAN部署和供應。對於非虛擬化網路元素,SMO框架105可以被配置為支援針對RAN覆蓋要求的專用實體資源的部署,其可以經由操作和維護介面(諸如O1介面)進行管理。對於虛擬化網路元素,SMO框架105可以被配置為與雲端計算平臺(諸如開放雲端(O-cloud)190)互動,以經由雲端計算平臺介面(諸如O2介面)執行網路元素生命週期管理(例如,以產生實體虛擬化網路元素)。此類虛擬化網路元素可以包括但不限於CU、DU、RU和近RT RIC。在一些實現中,SMO框架105可以經由O1介面與4G RAN的硬體態樣(諸如開放eNB(O-eNB)111)進行通訊。另外,在一些實現中,SMO框架105可以經由O1介面直接與一或多個RU進行通訊。SMO框架105亦可以包括被配置為支援SMO框架105的功能的非RT RIC 115。The
非RT RIC 115可以被配置為包括邏輯功能,該邏輯功能實現對RAN元素和資源的非即時控制和最佳化、人工智慧(AI)/機器學習(ML)(AI/ML)工作流(包括模型訓練和更新)、或近RT RIC 125中的應用/特徵的基於策略的指導。非RT RIC 115可以耦合到近RT RIC 125或與之進行通訊(例如,經由A1介面)。近RT RIC 125可以被配置為包括邏輯功能,該邏輯功能經由將一或多個CU、一或多個DU或兩者以及O-eNB與近RT RIC 125連接的介面(例如,經由E2介面)上的資料收集和動作來實現對RAN元素和資源的近即時控制和最佳化。The
在一些實現中,為了產生要在近RT RIC 125中部署的AI/ML模型,非RT RIC 115可以從外部伺服器接收參數或外部豐富資訊。此類資訊可以由近RT RIC 125利用,並且可以在SMO框架105或非RT RIC 115處從非網路資料來源或網路功能接收。在一些實例中,非RT RIC 115或近RT RIC 125可以被配置為調諧RAN行為或效能。例如,非RT RIC 115可以監測效能的長期趨勢和模式,並且經由SMO框架105(例如,經由O1的重新配置)或經由建立RAN管理策略(諸如A1策略),採用AI/ML模型來執行糾正動作。In some implementations, the
CU 110、DU 130和RU 140中的至少一者可以被稱為基地台102。因此,基地台102可以包括CU 110、DU 130和RU 140中的一者或多者(用虛線指示每個部件,以表示每個部件可以被包括在基地台102中或者可以不被包括在基地台102中)。基地台102為UE 104提供到核心網路120的存取點。基地台102可以包括巨集細胞(高功率蜂巢基地台)及/或小型細胞(低功率蜂巢基地台)。小型細胞包括毫微微細胞、微微細胞和微細胞。包括小型細胞和巨集細胞兩者的網路可以被稱為異質網路。異質網路亦可以包括家庭進化型節點B(eNB)(HeNB),HeNB可以向被稱為封閉用戶群組(CSG)的受限制組提供服務。在RU(例如,RU 140)與UE(例如,UE 104)之間的通訊鏈路可以包括從UE 104到RU 140的上行鏈路(UL)(亦被稱為反向鏈路)傳輸及/或從RU 140到UE 104的下行鏈路(DL)(亦被稱為前向鏈路)傳輸。通訊鏈路可以使用多輸入多輸出(MIMO)天線技術,其包括空間多工、波束成形及/或發射分集。通訊鏈路可以是經由一或多個載波的。基地台102/UE 104可以使用在用於每個方向上的傳輸的總共多達
YxMHz(
x個分量載波)的載波聚合中分配的、每載波多達
YMHz(例如,5、10、15、20、100、400等MHz)頻寬的頻譜。載波可以彼此相鄰或者可以彼此不相鄰。對載波的分配可以是關於DL和UL不對稱的(例如,比UL相比,針對DL可以分配更多或更少的載波)。分量載波可以包括主分量載波和一或多個輔分量載波。主分量載波可以被稱為主細胞(PCell),以及輔分量載波可以被稱為輔細胞(SCell)。
At least one of
某些UE可以使用設備到設備(D2D)通訊鏈路(例如,D2D通訊鏈路158)彼此通訊。D2D通訊鏈路158可以使用DL/UL無線廣域網路(WWAN)頻譜。D2D通訊鏈路158可以使用一或多個側行鏈路通道,諸如實體側行鏈路廣播通道(PSBCH)、實體側行鏈路發現通道(PSDCH)、實體側行鏈路共享通道(PSSCH)以及實體側行鏈路控制通道(PSCCH)。D2D通訊可以經由各種各樣的無線D2D通訊系統,諸如例如,藍芽、基於電氣與電子工程師協會(IEEE)802.11標準的Wi-Fi、LTE或者NR。Certain UEs may communicate with each other using a device-to-device (D2D) communication link (eg, D2D communication link 158 ). The
無線通訊系統亦可以包括在例如5 GHz免許可頻譜等中經由通訊鏈路154來與UE 104(亦被稱為Wi-Fi站(STA))相通訊的Wi-Fi AP 150。當在免許可頻譜中通訊時,UE 104/Wi-Fi AP 150可以在通訊之前執行閒置通道評估(CCA)以便決定通道是否可用。The wireless communication system may also include a Wi-
電磁頻譜通常基於頻率/波長而被細分為各種類別、頻帶、通道等。在5G NR 中,兩個初始操作頻帶已經被標識為頻率範圍名稱FR1(410 MHz - 7.125 GHz)和FR2(24.25 GHz - 52.6 GHz。儘管FR1的一部分大於6 GHz,但是在各種文件和文章中,FR1通常(可互換地)被稱為「低於6 GHz」頻帶。關於FR2有時會出現類似的命名問題,儘管它與極高頻(EHF)頻帶(30 GHz - 300 GHz)不同,但是在文件和文章中通常(可互換地)被稱為「毫米波」頻帶,EHF頻帶被國際電訊聯盟(ITU)標識為「毫米波」頻帶。The electromagnetic spectrum is typically subdivided into various categories, bands, channels, etc. based on frequency/wavelength. In 5G NR, two initial operating frequency bands have been identified as the frequency range designations FR1 (410 MHz - 7.125 GHz) and FR2 (24.25 GHz - 52.6 GHz. Although part of FR1 is greater than 6 GHz, in various documents and articles, FR1 is often (interchangeably) referred to as the "sub-6 GHz" band. Similar nomenclature issues sometimes arise with regard to FR2, although it is distinct from the Extremely High Frequency (EHF) band (30 GHz - 300 GHz), but in Commonly (interchangeably) referred to in documents and articles as the "mmWave" band, the EHF band is identified as the "mmWave" band by the International Telecommunication Union (ITU).
FR1與FR2之間的頻率通常被稱為中頻帶頻率。最近的5G NR研究已將這些中頻帶頻率的操作頻帶標識為頻率範圍名稱FR3(7.125 GHz–24.25 GHz)。落在FR3內的頻帶可以繼承FR1特性及/或FR2特性,並且因此可以有效地將FR1及/或FR2的特性擴展到中頻帶頻率。另外,目前正在探索更高的頻帶,以將5G NR操作擴展到52.6 GHz以上。例如,三個更高的操作頻帶已經被標識為頻率範圍名稱FR2-2(52.6 GHz–71 GHz)、FR4(71 GHz–114.25 GHz)和FR5(114.25 GHz–300 GHz)。這些較高頻帶中的每一個皆落在EHF頻帶內。The frequencies between FR1 and FR2 are often referred to as mid-band frequencies. Recent 5G NR studies have identified the operating band for these mid-band frequencies as the frequency range designation FR3 (7.125 GHz–24.25 GHz). Frequency bands falling within FR3 can inherit FR1 characteristics and/or FR2 characteristics, and thus can effectively extend the characteristics of FR1 and/or FR2 to mid-band frequencies. Additionally, higher frequency bands are currently being explored to extend 5G NR operation beyond 52.6 GHz. For example, three higher operating frequency bands have been identified as frequency range designations FR2-2 (52.6 GHz–71 GHz), FR4 (71 GHz–114.25 GHz) and FR5 (114.25 GHz–300 GHz). Each of these higher frequency bands falls within the EHF frequency band.
考慮到以上態樣,除非另有具體說明,否則若在本文中使用術語「低於6 GHz」等,則其可以廣義地表示可以小於6 GHz、可以在FR1內、或可以包括中頻帶頻率的頻率。此外,除非另有具體說明,否則若在本文中使用術語「毫米波」等,則其可以廣義地表示可以包括中頻帶頻率、可以在FR2、FR4、FR2-2及/或FR5內、或可以在EHF頻帶內的頻率。With the above in mind, unless specifically stated otherwise, if the term "below 6 GHz", etc. is used herein, it can broadly mean frequencies that may be less than 6 GHz, may be within FR1, or may include mid-band frequencies. frequency. In addition, unless specifically stated otherwise, if the term "millimeter wave" and the like are used herein, it may broadly mean that it may include mid-band frequencies, may be within FR2, FR4, FR2-2, and/or FR5, or may Frequencies within the EHF band.
基地台102和UE 104可以各自包括複數個天線(諸如天線元件、天線面板及/或天線陣列)以促進波束成形。基地台102可以在一或多個發送方向上向UE 104發送波束成形訊號182。UE 104可以在一或多個接收方向上從基地台102接收波束成形訊號。UE 104亦可以在一或多個發送方向上向基地台102發送波束成形訊號184。基地台104可以在一或多個接收方向上從UE 104接收波束成形訊號。基地台102/UE 104可以執行波束訓練以決定針對基地台102 / UE 104中的每一者的最佳接收和發送方向。用於基地台102的發送方向和接收方向可以是相同的或者可以是不相同的。用於UE 104的發送方向和接收方向可以是相同的或者可以是不相同的。
基地台102可以包括及/或被稱為gNB、節點B、eNB、存取點、基地台收發機站、無線電基地台、無線電收發機、收發機功能、基本服務集(BSS)、擴展服務集(ESS)、發送接收點(TRP)、網路節點、網路實體、網路設備或某種其他合適的術語。基地台102可以被實現為整合存取和回載(IAB)節點、中繼節點、側行鏈路節點、具有基頻單元(BBU)(包括CU和DU)和RU的聚合式(單片)基地台,或者被實現為包括CU、DU及/或RU中的一者或多者的分解式基地台。可以包括分解式基地台及/或聚合式基地台的基地台集合可以被稱為下一代(NG)RAN(NG-RAN)。A
核心網路120可以包括存取和行動性管理功能單元(AMF)(例如,AMF 161)、通信期管理功能單元(SMF)(例如,SMF 162)、使用者平面功能單元(UPF)(例如,UPF 163)、統一資料管理(UDM)(例如,UDM 164)、一或多個位置伺服器168和其他功能實體。AMF 161是處理UE 104和核心網路120之間的訊號傳遞的控制節點。AMF 161支援註冊管理、連接管理、行動性管理和其他功能。SMF 162支援通信期管理和其他功能。UPF 163支援封包路由、封包轉發和其他功能。UDM 164支援驗證和金鑰協定(AKA)憑證的產生、使用者標識處理、存取授權和訂制管理。一或多個位置伺服器168被示為包括閘道行動位置中心(GMLC)(例如,GMLC 165)和位置管理功能單元(LMF)(例如,LMF 166)。然而,通常,一或多個位置伺服器168可以包括一或多個位置/定位伺服器,其可以包括GMLC 165、LMF 166、位置決定實體(PDE)、服務行動位置中心(SMLC)、行動定位中心(MPC)等中的一者或多者。GMLC 165和LMF 166支援UE定位服務。GMLC 165為客戶端/應用(例如,緊急服務)提供用於存取UE定位資訊的介面。LMF 166經由AMF 161從NG-RAN和UE 104接收量測和輔助資訊,以計算UE 104的位置。NG-RAN可以利用一或多個定位方法來決定UE 104的位置。定位UE 104可以涉及訊號量測、位置估計和基於量測的可選速度計算。可以由UE 104及/或服務基地台(例如,基地台102)進行訊號量測。量測的訊號可以是基於以下各項中的一項或多項的:衛星定位系統(SPS)170(例如,全球導航衛星系統(GNSS)、全球定位系統(GPS)、非地面網路(NTN)或其他衛星位置/定位系統中的一者或多者)、LTE訊號、無線區域網路(WLAN)訊號、藍芽訊號、地面信標系統(TBS)、基於感測器的資訊(例如,氣壓感測器、運動感測器)、NR增強型細胞ID(NR E-CID)方法、NR訊號(例如,多往返時間(多RTT)、DL發射角(DL-AoD)、DL到達時間差(DL-TDOA)、UL到達時間差(UL-TDOA)和UL到達角(UL-AoA)定位)及/或其他系統/訊號/感測器。The
UE的實例包括蜂巢式電話、智慧型電話、對話啟動協定(SIP)電話、膝上型電腦、個人數位助理(PDA)、衛星無線電單元、全球定位系統、多媒體設備、視訊設備、數位音訊播放機(例如,MP3播放機)、攝像機、遊戲控制台、平板電腦、智慧設備、可穿戴設備、運載工具、電錶、氣泵、大型或小型廚房電器、醫療保健設備、植入物、感測器/致動器、顯示器、或者任何其他類似功能的設備。UE中的一些UE可以被稱為IoT設備(例如,停車計費表、氣泵、烤箱、運載工具、心臟監護儀等)。UE 104亦可以稱為站、行動站、用戶站、行動單元、用戶單元、無線單元、遠端單元、行動設備、無線設備、無線通訊設備、遠端設備、行動用戶站、存取終端、行動終端、無線終端、遠端終端機、手持設備、使用者代理、行動服務客戶端、客戶端或者某種其他適當的術語。在一些場景中,術語UE亦可以應用於一或多個同伴設備,諸如在設備群集佈置中。這些設備中的一或多個設備可以共同存取網路及/或單獨存取網路。Examples of UEs include cellular phones, smart phones, Session Initiation Protocol (SIP) phones, laptops, personal digital assistants (PDAs), satellite radio units, global positioning systems, multimedia equipment, video equipment, digital audio players (e.g., MP3 players), video cameras, game consoles, tablets, smart devices, wearables, vehicles, electric meters, air pumps, large or small kitchen appliances, healthcare equipment, implants, sensors/genetics drives, monitors, or any other similarly functional device. Some of the UEs may be referred to as IoT devices (eg, parking meters, gas pumps, ovens, vehicles, heart monitors, etc.).
再次參照圖1,在某些態樣中,與基地台進行通訊的設備(諸如UE 104)可以被配置為管理無線通訊的一或多個態樣。例如,UE 104可以包括UE安全處理部件198,其被配置為在RLF和EPS TAU請求的重傳的情況下促進5GS到EPC重選的安全處理。在某些態樣中,UE安全處理部件198可以被配置為向第一網路實體發送第一TAU請求,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符。上行鏈路計數可以指示傳送的上行鏈路訊息的數量。實例UE安全處理部件198亦可以被配置為向第一網路實體發送第二TAU請求,第二TAU請求包括第一資訊集合,第二TAU請求是使用第二上行鏈路計數進行完整性保護的。另外,實例UE安全處理部件198可以被配置為基於第一安全上下文以及第一上行鏈路計數或第二上行鏈路計數中的至少一項來推導映射安全上下文。實例UE安全處理部件198亦可以被配置為基於映射安全上下文來與第一網路實體進行通訊。Referring again to FIG. 1 , in some aspects, a device in communication with a base station, such as
在另一態樣中,UE安全處理部件198可以被配置為在執行從與第一RAT相關聯的第一細胞到連接到與不同於第一RAT的第二RAT相關聯的第二細胞的改變時向第一網路實體發送第一TAU請求,第一網路實體與第二RAT相關聯,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,並且第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的。實例UE安全處理部件198亦可以被配置為基於第一安全上下文、第一上行鏈路計數和第一映射安全上下文來推導第一完整性金鑰。完整性金鑰可以是用於對通訊執行完整性檢查的金鑰。另外,實例UE安全處理部件198可以被被配置為向第一網路實體發送第一TAU請求的重複,第一TAU請求的重複是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。實例UE安全處理部件198亦可以被配置為基於第一安全上下文、第二上行鏈路計數和第二映射安全上下文來推導第二完整性金鑰。另外,實例UE安全處理部件198可以被配置為從第一網路實體接收下行鏈路傳輸。實例UE安全處理部件198亦可以被配置為使用第一完整性金鑰和第二完整性金鑰中的至少一項來對下行鏈路傳輸執行完整性檢查。完整性檢查可以是使用完整性金鑰來執行的並且確認下行鏈路傳輸的完整性。另外,實例UE安全處理部件198可以被配置為在使用經推導的完整性金鑰對下行鏈路傳輸的完整性檢查成功時設置UE的主安全金鑰,主安全金鑰是基於用於推導經推導的完整性金鑰的第一映射安全上下文或第二映射安全上下文來設置的。主安全金鑰可以是用於推導其他安全金鑰的金鑰。In another aspect, UE
在某些態樣中,UE安全處理部件198可以被配置為向第一網路實體發送第一TAU請求。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文進行編碼的。第一TAU請求可以是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求可以包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符。實例UE安全處理部件198亦可以被配置為基於第一安全上下文和第一上行鏈路計數來推導第一映射安全上下文。實例UE安全處理部件198亦可以被配置為向第一網路實體發送第二TAU請求。第二TAU請求可以是使用第一安全上下文進行編碼的,第二TAU請求可以是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的,並且第二TAU請求可以包括第一資訊集合。實例UE安全處理部件198亦可以被配置為基於第一安全上下文和第二上行鏈路計數來推導第二映射安全上下文。實例UE安全處理部件198亦可以配置為基於第二映射安全上下文來與第一網路實體進行通訊。In some aspects, the UE
在另一態樣中,UE安全處理部件198可以被配置為在執行從與第一RAT相關聯的第一細胞到連接到與不同於第一RAT的第二RAT相關聯的第二細胞的改變時向第一網路實體發送第一TAU請求。第一網路實體可以與第二RAT相關聯。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一TAU請求可以是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求可以包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符。In another aspect, UE
實例UE安全處理部件198亦可以被配置為向第一網路實體發送第一TAU請求的重複。第一TAU請求的重複可以包括第一資訊集合,第一TAU請求的重複可以是使用第一上行鏈路計數進行完整性保護的。實例UE安全處理部件198亦可以被配置為基於第一安全上下文和第一上行鏈路計數來推導映射安全上下文。另外,實例UE安全處理部件198可以被配置為基於映射安全上下文來與第一網路實體進行通訊。The example UE
在另一態樣中,UE安全處理部件198可以被配置為在執行從與第一RAT相關聯的第一細胞到連接到與不同於第一RAT的第二RAT相關聯的第二細胞的改變時向第一網路實體發送第一TAU請求。第一網路實體可以與第二RAT相關聯。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文進行編碼的,並且第一TAU請求可以是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的。實例UE安全處理部件198亦可以被配置為基於第一安全上下文、第一上行鏈路計數和第一映射安全上下文來推導第一完整性金鑰。實例UE安全處理部件198亦可以被配置為向第一網路實體發送第一TAU請求的重複。第一TAU請求的重複可以是使用不同於第一上行鏈路計數的第二上行鏈路計數來進行完整性保護的。另外,實例UE安全處理部件198亦可以被配置為基於第一安全上下文、第二上行鏈路計數和第二映射安全上下文來推導第二完整性金鑰。實例UE安全處理部件198亦可以被配置為從第一網路實體接收下行鏈路傳輸。實例UE安全處理部件198亦可以被配置為使用第一完整性金鑰和第二完整性金鑰中的至少一項來對下行鏈路傳輸執行完整性檢查。實例UE安全處理部件198亦可以被配置為在使用經推導的完整性金鑰對下行鏈路傳輸執行完整性檢查成功時設置UE的主安全金鑰。主安全金鑰是基於相應的完整性金鑰來設置的。In another aspect, UE
在另一配置中,網路實體可以被配置為經由在RLF和EPS TAU請求的重傳的情況下促進5GS到EPC重選的安全處理來管理無線通訊的一或多個態樣,以促進改進的行動性支援。例如,網路實體可以包括網路安全處理部件199。網路安全處理部件199的各態樣可以由MME、AMF(例如,AMF 161)及/或基地台(例如,基地台102)來實現。In another configuration, the network entity may be configured to manage one or more aspects of wireless communication to facilitate improved mobility support. For example, a network entity may include a network
網路安全處理部件199可以被配置為接收由UE產生的第一TAU請求,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符。另外,網路安全處理部件199可以被配置為基於第一TAU請求來輸出針對第二網路實體的第一上下文請求,第二網路實體與第一RAT相關聯。網路安全處理部件199亦可以被配置為基於第一上下文請求來接收第一映射安全上下文,第一映射安全上下文是從第一安全上下文和第一上行鏈路計數推導出的。另外,網路安全處理部件199可以被配置為接收第二TAU請求,第二TAU請求是使用第一安全上下文進行編碼的,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的,並且第二TAU請求包括第一資訊集合。網路安全處理部件199亦可以被配置為基於第二TAU請求來輸出針對第二網路實體的第二上下文請求。另外,網路安全處理部件199可以被配置為基於第二上下文請求來接收第二映射安全上下文,第二映射安全上下文是從第一安全上下文和第二上行鏈路計數推導出的。網路安全處理部件199亦可以被配置為基於第二映射安全上下文來發送下行鏈路訊息。The network
在另一態樣中,網路安全處理部件199可以被配置為接收第一上下文請求,第一上下文請求至少包括由UE產生的第一TAU請求,第一TAU請求是使用第一上行鏈路計數進行完整性保護的,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一RAT不同於與第一網路實體相關聯的第二RAT。另外,網路安全處理部件199可以被配置為在對第一TAU請求的第一完整性檢查成功時推導第一映射安全上下文。網路安全處理部件199亦可以被配置為輸出用於第一網路實體的第一映射安全上下文。另外,網路安全處理部件199可以被配置為接收第二上下文請求,第二上下文請求至少包括由UE產生的第二TAU請求,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。網路安全處理部件199亦可以被配置為在對第二TAU請求的第二完整性檢查成功時推導第二映射安全上下文。另外,網路安全處理部件199可以被配置為輸出用於第一網路實體的第二映射安全上下文。In another aspect, the network
在某些態樣中,網路安全處理部件199可以被配置為從UE接收第一TAU請求。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一TAU請求可以是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符。實例網路安全處理部件199亦可以被配置為基於第一TAU請求來向第二網路實體發送第一上下文請求。第二網路實體可以與第一RAT相關聯。實例網路安全處理部件199亦可以被配置為基於第一上下文請求來從第二網路實體接收第一映射安全上下文。第一映射安全上下文可以是從第一安全上下文和第一上行鏈路計數推導出的。另外,實例網路安全處理部件199可以被配置為從UE接收第二TAU請求。第二TAU請求可以是使用第一安全上下文進行編碼的,第二TAU請求可以是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的,並且第二TAU請求包括第一資訊集合。實例網路安全處理部件199亦可以被配置為基於第二TAU請求來向第二網路實體發送第二上下文請求。另外,實例網路安全處理部件199可以被配置為基於第二上下文請求來從第二網路實體接收第二映射安全上下文。第二映射安全上下文可以是從第一安全上下文和第二上行鏈路計數推導出的。實例網路安全處理部件199亦可以被配置為基於第二映射安全上下文來向UE發送下行鏈路訊息。In some aspects, the network
在另一態樣中,網路安全處理部件199可以被配置為從第一網路實體接收第一上下文請求,第一上下文請求至少包括由UE產生的第一TAU請求。第一TAU請求可以是使用第一上行鏈路計數進行完整性保護的,第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文進行編碼的,第一RAT可以不同於與第一網路實體相關聯的第二RAT。實例網路安全處理部件199亦可以被配置為在對第一TAU請求的完整性檢查成功時推導第一映射安全上下文。實例網路安全處理部件199亦可以被配置為向第一網路實體發送第一映射安全上下文。另外,實例網路安全處理部件199可以被配置為從第一網路實體接收第二上下文請求。第二上下文請求可以至少包括由UE產生的第二TAU請求,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數來進行完整性保護的。實例網路安全處理部件199亦可以被配置為在對第二TAU請求的完整性檢查成功時推導第二映射安全上下文。實例網路安全處理部件199亦可以被配置為向第一網路實體發送第二映射安全上下文。In another aspect, the network
本文所提供的各態樣可以使無線通訊系統的設備能夠在RLF和EPS TAU請求的重傳的情況下促進5GS到EPC重選的安全處理,以促進改進的行動性支援。Aspects provided herein may enable devices of wireless communication systems to facilitate secure handling of 5GS to EPC reselection in case of retransmission of RLF and EPS TAU requests to facilitate improved mobility support.
儘管以下描述提供了針對5G NR(具體而言,針對5G到EPC重選)的實例,但本文描述的概念可以適用於其他類似領域,諸如LTE、LTE-A、CDMA、GSM及/或其他無線技術,其中UE可以執行從與第一RAT相關聯的細胞到與第二RAT相關聯的第二細胞的重選。Although the following description provides examples for 5G NR (specifically, for 5G to EPC reselection), the concepts described herein can be applied to other similar areas, such as LTE, LTE-A, CDMA, GSM and/or other wireless A technique wherein the UE may perform reselection from a cell associated with a first RAT to a second cell associated with a second RAT.
圖2A是示出在5G NR訊框結構內的第一子訊框的實例的示意圖200。圖2B是示出在5G NR子訊框內的DL通道的實例的示意圖230。圖2C是示出在5G NR訊框結構內的第二子訊框的實例的示意圖250。圖2D是示出在5G NR子訊框內的UL通道的實例的示意圖280。5G NR訊框結構可以是分頻雙工(FDD)(其中針對特定的次載波集合(載波系統頻寬),在次載波集合內的子訊框專用於DL或UL),或者可以是分時雙工(TDD)(其中針對特定的次載波集合(載波系統頻寬),在次載波集合內的子訊框專用於DL和UL二者)。在經由圖2A、2C所提供的實例中,5G NR訊框結構被假設為TDD,其中子訊框4被配置有時槽格式28(其中大多數為DL),其中D是DL,U是UL,並且F是可在DL/UL之間靈活使用的,並且子訊框3被被配置有時槽格式1(其中全部為UL)。儘管子訊框3、4分別被示為具有時槽格式1、28,但是任何特定子訊框可以被配置有各種可用的時槽格式0-61中的任何時槽格式。時槽格式0、1分別是全DL、全UL。其他時槽格式2-61包括DL、UL和靈活符號的混合。UE經由所接收的時槽格式指示符(SFI)而被配置為具有時槽格式(經由DL控制資訊(DCI)動態地配置,或者經由無線電資源控制(RRC)訊號傳遞半靜態地/靜態地配置)。要注意的是,以下描述亦適用於作為TDD的5G NR訊框結構。FIG. 2A is a schematic diagram 200 illustrating an example of a first subframe within a 5G NR frame structure. FIG. 2B is a schematic diagram 230 illustrating an example of DL channels within a 5G NR subframe. FIG. 2C is a schematic diagram 250 illustrating an example of a second subframe within a 5G NR frame structure. 2D is a schematic diagram 280 showing an example of UL channels within a 5G NR subframe. The 5G NR frame structure may be Frequency Division Duplex (FDD) (wherein for a specific set of subcarriers (carrier system bandwidth), The subframes in the subcarrier set are dedicated to DL or UL), or can be time division duplex (TDD) (where for a specific subcarrier set (carrier system bandwidth), the subframes in the subcarrier set dedicated to both DL and UL). In the example provided via Figures 2A, 2C, the 5G NR frame structure is assumed to be TDD, where
圖2A-2D圖示訊框結構,並且本案內容的各態樣可以適用於其他無線通訊技術,其可以具有不同的訊框結構及/或不同的通道。訊框(10 ms)可以被劃分為10個大小相等的子訊框(1 ms)。每個子訊框可以包括一或多個時槽。子訊框亦可以包括微時槽,微時槽可以包括7、4或2個符號。每個時槽可以包括14或12個符號,取決於循環字首(CP)是普通還是擴展。對於普通CP,每個時槽可以包括14個符號,以及對於擴展CP,每個時槽可以包括12個符號。在DL上的符號可以是CP正交分頻多工(OFDM)(CP-OFDM)符號。在UL上的符號可以是CP-OFDM符號(用於高輸送量場景)或者離散傅裡葉變換(DFT)展頻OFDM(DFT-s-OFDM)符號(亦被稱為單載波分頻多工存取(SC-FDMA)符號)(用於功率受限場景;限於單個串流傳輸)。在子訊框內的時槽數量可以是基於CP和數字方案(numerology)的。數字方案定義次載波間隔(SCS),並且實際上定義符號長度/持續時間(其可以等於1/SCS)。
對於普通CP(14個符號/時槽),不同的數字方案µ 0至4允許每子訊框分別有1、2、4、8和16個時槽。對於擴展CP,數字方案2允許每子訊框有4個時槽。相應地,對於普通CP和數字方案µ,存在14個符號/時槽和2
µ個時槽/子訊框。如表1所示,次載波間隔可以等於
,其中
是數字方案0至4。因此,數字方案µ=0具有15 kHz的次載波間隔,並且數字方案µ=4具有240 kHz的次載波間隔。符號長度/持續時間是與次載波間隔逆相關的。圖2A-2D提供普通CP(具有每時槽14個符號)以及數字方案µ=2(具有每子訊框4個時槽)的實例。時槽持續時間是0.25 ms,次載波間隔是60 kHz,並且符號持續時間近似為16.67 µs。在訊框集合內,可以存在分頻多工的一或多個不同的頻寬部分(BWP)(參見圖2B)。每個BWP可以具有特定的數字方案和CP(普通或擴展)。
For a normal CP (14 symbols/slot), the different number schemes µ 0 to 4 allow 1, 2, 4, 8 and 16 slots per subframe, respectively. For extended CPs,
資源網格可以用於表示訊框結構。每個時槽包括資源區塊(RB)(亦被稱為實體RB(PRB)),PRB包括12個連續的次載波。資源網格被劃分為多個資源元素(RE)。由每個RE攜帶的位元數量取決於調制方案。A resource grid can be used to represent the frame structure. Each slot includes a resource block (RB) (also called a physical RB (PRB)), and a PRB includes 12 consecutive subcarriers. A resource grid is divided into resource elements (REs). The number of bits carried by each RE depends on the modulation scheme.
如在圖2A中所示出的,RE中的一些RE攜帶針對UE的參考(引導頻)訊號(RS)。RS可以包括用於在UE處的通道估計的解調RS(DM-RS)(針對一種特定配置被指示成R x,但是其他DM-RS配置是可能的)以及通道狀態資訊參考訊號(CSI-RS)。RS亦可以包括波束量測RS(BRS)、波束細化RS(BRRS)以及相位追蹤RS(PT-RS)。 As shown in FIG. 2A, some of the REs carry a reference (pilot) signal (RS) for the UE. The RS may include a demodulation RS (DM-RS) for channel estimation at the UE (indicated as Rx for one particular configuration, but other DM-RS configurations are possible) and a channel state information reference signal (CSI- RS). RS may also include beam-squaring RS (BRS), beam-refining RS (BRRS), and phase-tracking RS (PT-RS).
圖2B示出在訊框的子訊框內的各種DL通道的實例。實體下行鏈路控制通道(PDCCH)在一或多個控制通道元素(CCE)(例如,1、2、4、8或16個CCE)內攜帶DCI,每個CCE包括六個RE組(REG),每個REG包括在一個OFDM符號中的四個連續的RE。在一個BWP內的PDCCH可以被稱為控制資源集合(CORESET)。UE被配置為在CORESET上的PDCCH監測時機期間在PDCCH搜尋空間(例如,公共搜尋空間、UE特定搜尋空間)中監測PDCCH候選,其中PDCCH候選具有不同的DCI格式和不同的聚合水平。額外的BWP可以跨越通道頻寬位於較大及/或較低的頻率處。主要同步訊號(PSS)可以在訊框的特定子訊框的符號2內。PSS被UE 104用來決定子訊框/符號定時和實體層標識。輔同步訊號(SSS)可以在訊框的特定子訊框的符號4內。SSS被UE用來決定實體層細胞標識組號和無線訊框定時。基於實體層標識和實體層細胞標識組號,UE可以決定實體細胞辨識符(PCI)。基於PCI,UE可以決定DM-RS的位置。攜帶主資訊區塊(MIB)的實體廣播通道(PBCH)可以在邏輯上與PSS和SSS封包在一起,以形成同步訊號(SS)/PBCH塊(亦被稱為SS塊(SSB))。MIB提供在系統頻寬中的RB的數量和系統訊框號(SFN)。實體下行鏈路共享通道(PDSCH)攜帶使用者資料、不是經由PBCH發送的廣播系統資訊(諸如系統資訊區塊(SIB))以及傳呼訊息。FIG. 2B shows examples of various DL channels within subframes of a frame. A physical downlink control channel (PDCCH) carries DCI within one or more control channel elements (CCEs) (for example, 1, 2, 4, 8 or 16 CCEs), each CCE comprising six RE groups (REGs) , each REG includes four consecutive REs in one OFDM symbol. A PDCCH within one BWP may be called a control resource set (CORESET). The UE is configured to monitor PDCCH candidates in a PDCCH search space (eg, common search space, UE-specific search space) during PDCCH monitoring occasions on CORESET, where the PDCCH candidates have different DCI formats and different aggregation levels. Additional BWPs may be located at higher and/or lower frequencies across the channel bandwidth. The Primary Synchronization Signal (PSS) may be within
如在圖2C中所示出的,RE中的一些RE攜帶用於在基地台處的通道估計的DM-RS(針對一種特定配置被指示成R,但是其他DM-RS配置是可能的)。UE可以發送針對實體上行鏈路控制通道(PUCCH)的DM-RS和針對實體上行鏈路共享通道(PUSCH)的DM-RS。可以在PUSCH的前一個或兩個符號中發送PUSCH DM-RS。可以根據發送了短PUCCH還是長PUCCH並且根據所使用的特定PUCCH格式,來以不同的配置發送PUCCH DM-RS。UE可以發送探測參考訊號(SRS)。SRS可以是在子訊框的最後一個符號中發送的。SRS可以具有梳結構,並且UE可以在該梳中的一個梳上發送SRS。SRS可以由基地台用於通道品質估計,以實現在UL上的頻率相關的排程。As shown in Figure 2C, some of the REs carry DM-RSs (indicated as R for one particular configuration, but other DM-RS configurations are possible) for channel estimation at the base station. The UE may transmit a DM-RS for a physical uplink control channel (PUCCH) and a DM-RS for a physical uplink shared channel (PUSCH). PUSCH DM-RS may be sent in the first one or two symbols of PUSCH. The PUCCH DM-RS may be transmitted in different configurations depending on whether a short or long PUCCH is transmitted and depending on the specific PUCCH format used. The UE may send a sounding reference signal (SRS). SRS may be sent in the last symbol of a subframe. The SRS may have a comb structure, and the UE may transmit the SRS on one of the combs. SRS can be used by the base station for channel quality estimation for frequency-dependent scheduling on the UL.
圖2D示出在訊框的子訊框內的各種UL通道的實例。可以如在一種配置中所指示地來定位PUCCH。PUCCH攜帶上行鏈路控制資訊(UCI),諸如排程請求、通道品質指示符(CQI)、預編碼矩陣指示符(PMI)、秩指示符(RI)和混合自動重傳請求(HARQ)確認(ACK)(HARQ-ACK)回饋(亦即,指示一或多個ACK及/或否定ACK(NACK)的一或多個HARQ ACK位元)。PUSCH攜帶資料,並且可以另外用於攜帶緩衝器狀態報告(BSR)、功率餘量報告(PHR)及/或UCI。FIG. 2D shows examples of various UL channels within a subframe of a frame. The PUCCH may be located as indicated in one configuration. PUCCH carries uplink control information (UCI), such as scheduling request, channel quality indicator (CQI), precoding matrix indicator (PMI), rank indicator (RI) and hybrid automatic repeat request (HARQ) acknowledgment ( ACK) (HARQ-ACK) feedback (ie, one or more HARQ ACK bits indicating one or more ACK and/or negative ACK (NACK)). The PUSCH carries data and may additionally be used to carry Buffer Status Reports (BSRs), Power Headroom Reports (PHRs) and/or UCIs.
圖3是示出被配置為與第二無線設備交換無線通訊的第一無線設備的實例的方塊圖。在圖3的所示實例中,第一無線設備可以包括基地台310,第二無線設備可以包括UE 350,並且基地台310可以在存取網路中與UE 350進行通訊。如圖3所示,基地台310包括發送處理器(TX處理器316)、發射器318Tx、接收器318Rx、天線320、接收處理器(RX處理器370)、通道估計器374、控制器/處理器375和記憶體376。實例UE 350包括天線352、發射器354Tx、接收器354Rx、RX處理器356、通道估計器358、控制器/處理器359、記憶體360和TX處理器368。在其他實例中,基地台310及/或UE 350可以包括額外或替代部件。3 is a block diagram illustrating an example of a first wireless device configured to exchange wireless communications with a second wireless device. In the example shown in FIG. 3, the first wireless device may include a
在DL中,可以將網際網路協定(IP)封包提供給控制器/處理器375。控制器/處理器375實現層3和層2功能。層3包括無線電資源控制(RRC)層,以及層2包括服務資料適配協定(SDAP)層、封包資料彙聚協定(PDCP)層、無線電鏈路控制(RLC)層和媒體存取控制(MAC)層。控制器/處理器375提供:與以下各項相關聯的RRC層功能:系統資訊(例如,MIB、SIB)的廣播、RRC連接控制(例如,RRC連接傳呼、RRC連接建立、RRC連接修改、以及RRC連接釋放)、無線電存取技術(RAT)間行動性、以及用於UE量測報告的量測配置;與以下各項相關聯的PDCP層功能:標頭壓縮/解壓縮、安全性(加密、解密、完整性保護、完整性驗證)、以及切換支援功能;與以下各項相關聯的RLC層功能:上層封包資料單元(PDU)的傳輸、經由ARQ的糾錯、RLC服務資料單元(SDU)的串接、分段和重組、RLC資料PDU的重新分段、以及RLC資料PDU的重新排序;及與以下各項相關聯的MAC層功能:在邏輯通道與傳輸通道之間的映射、MAC SDU到傳輸塊(TB)上的多工、MAC SDU從TB的解多工、排程資訊報告、經由HARQ的糾錯、優先順序處置、以及邏輯通道優先化。In DL, Internet Protocol (IP) packets may be provided to the controller/
TX處理器316和RX處理器370實現與各種訊號處理功能相關聯的層1功能。包括實體(PHY)層的層1可以包括對傳輸通道的錯誤偵測、對傳輸通道的前向糾錯(FEC)編碼/解碼、交錯、速率匹配、到實體通道上的映射、對實體通道的調制/解調、以及MIMO天線處理。TX處理器316基於各種調制方案(例如,二進位移相鍵控(BPSK)、正交移相鍵控(QPSK)、M相-移相鍵控(M-PSK)、M階正交幅度調制(M-QAM)),來處理到訊號群集的映射。經編碼和調制的符號隨後可以被分成並行的串流。每個串流可以接著被映射到OFDM次載波、在時域及/或頻域中與參考訊號(例如,引導頻)進行多工處理,以及隨後使用快速傅立葉逆變換(IFFT)組合在一起,以產生攜帶時域OFDM符號串流的實體通道。OFDM串流被空間預編碼以產生多個空間串流。來自通道估計器374的通道估計可以用於決定編碼和調制方案以及用於空間處理。通道估計可以根據由UE 350發送的參考訊號及/或通道狀況回饋來推導。每個空間串流可以接著經由單獨的發射器(例如,發射器318Tx)被提供給天線320中的不同天線。每個發射器318 Tx可以利用相應的空間串流來對RF載波進行調制以用於傳輸。
在UE 350處,每個接收器354 Rx經由其天線352中的相應天線來接收訊號。每個接收器354 Rx對調制到RF載波上的資訊進行恢復並將資訊提供給RX處理器356。TX處理器368和RX處理器356實現與各種訊號處理功能相關聯的層1功能。RX處理器356可以對資訊執行空間處理以恢復以UE 350為目的地的任何空間串流。若多個空間串流以UE 350為目的地,則多個空間串流中的兩個或兩個以上空間串流可以由RX處理器356組合成單個OFDM符號串流。RX處理器356隨後使用快速傅立葉轉換(FFT)來將OFDM符號串流從時域轉換到頻域。頻域訊號包括針對OFDM訊號的每個次載波的單獨的OFDM符號串流。經由決定由基地台 310發送的最有可能的訊號群集點,來對在每個次載波上的符號以及參考訊號進行恢復和解調。這些軟決策可以基於由通道估計器358計算出的通道估計。隨後,對軟決策進行解碼和解交錯來恢復由基地台310最初在實體通道上發送的資料和控制訊號。隨後將資料和控制訊號提供給控制器/處理器359,控制器/處理器359實現層3和層2功能。At
控制器/處理器359可以與儲存程式碼和資料的記憶體360相關聯。記憶體360可以被稱為電腦可讀取媒體。在UL中,控制器/處理器359提供在傳輸通道與邏輯通道之間的解多工、封包重組、解密、標頭解壓縮和控制訊號處理,以恢復IP封包。控制器/處理器359亦負責使用ACK及/或NACK協定的錯誤偵測以支援HARQ操作。Controller/
與結合由基地台310進行的DL傳輸所描述的功能類似,控制器/處理器359提供:與以下各項相關聯的RRC層功能:系統資訊(例如,MIB、SIB)獲取、RRC連接和量測報告;與以下各項相關聯的PDCP層功能:標頭壓縮/解壓縮和安全性(加密、解密、完整性保護、完整性驗證);與以下各項相關聯的RLC層功能:上層PDU的傳送、經由ARQ的糾錯、RLC SDU的串接、分段和重組、RLC資料PDU的重新分段和RLC資料PDU的重新排序;及與以下各項相關聯的MAC層功能:在邏輯通道與傳輸通道之間的映射、MAC SDU到TB上的多工、對MAC SDU從TB的解多工、排程資訊報告、經由HARQ的糾錯、優先順序處理和邏輯通道優先化。Similar to the functionality described in connection with DL transmissions by the
由通道估計器358根據由基地台310發送的參考訊號或回饋推導出的通道估計可以由TX處理器368用於選擇適當的編碼和調制方案,以及用於促進空間處理。可以經由單獨的發射器(例如,發射器354Tx)來將由TX處理器368產生的空間串流提供給天線352中的不同天線。每個發射器354Tx可以利用相應的空間串流來對RF載波進行調制以用於傳輸。The channel estimate derived by
UL傳輸在基地台310處是以與結合在UE 350處的接收器功能所描述的方式類似的方式來處理的。每個接收器318Rx經由其天線320中的相應天線來接收訊號。每個接收器318Rx對調制到RF載波上的資訊進行恢復並且將資訊提供給RX處理器370。UL transmissions are handled at the
控制器/處理器375可以與儲存程式碼和資料的記憶體376相關聯。記憶體376可以被稱為電腦可讀取媒體。在UL中,控制器/處理器375提供在傳輸通道與邏輯通道之間的解多工、封包重組、解密、標頭解壓縮、控制訊號處理,以恢復IP封包。控制器/處理器375亦負責使用ACK及/或NACK協定的錯誤偵測以支援HARQ操作。Controller/
TX處理器368、RX處理器356和控制器/處理器359中的至少一者可以被配置為執行與圖1的UE安全處理部件198有關的各態樣。At least one of
TX處理器316、RX處理器370和控制器/處理器375中的至少一者可以被配置為執行與圖1的網路安全處理部件199有關的各態樣。At least one of
圖4是示出無線通訊系統和存取網路400的實例的圖,存取網路400包括第一網路節點402a、第二網路節點402b、UE 404、進化封包核心(例如,EPC 410)和核心網路430(例如,5G核心(5GC)),如本文提供的。第一網路節點402a及/或第二網路節點402b(它們在本文中被統稱為「網路節點402a/402b」)的各態樣可以由圖1的基地台102及/或基地台102的部件(諸如CU 110、DU 130及/或RU 140)來實現。UE 404的各態樣可以由圖1的UE 104來實現。4 is a diagram illustrating an example of a wireless communication system and an
在圖4的實例中,第一網路節點402a可以被配置用於4G LTE(被統稱為進化型通用行動電訊系統(UMTS)地面無線電存取網路(E-UTRAN)),並且可以經由第一回載鏈路452(例如,S1介面)與EPC 410對接。第二網路節點402b可以被配置用於5G NR(被統稱為下一代RAN(NG-RAN)),並且可以經由第二回載鏈路454與核心網路430對接。除了其他功能之外,網路節點402a/402b亦可以執行以下功能中的一或多個功能:使用者資料的傳輸、無線電通道加密和解密、完整性保護、標頭壓縮、行動性控制功能(例如,切換、雙重連接)、細胞間干擾協調、連接建立和釋放、負載平衡、針對非存取層(NAS)訊息的分發、NAS節點選擇、同步、無線電存取網路(RAN)共享、多媒體廣播多播服務(MBMS)、用戶和設備追蹤、RAN資訊管理(RIM)、傳呼、定位、以及警告訊息的傳送。網路節點402a/402b可以經由第三回載鏈路456(例如,X2介面)來直接或間接地(例如,經由EPC 410或核心網路430)相互通訊。第一回載鏈路452、第二回載鏈路454和第三回載鏈路456可以是有線或無線的。In the example of FIG. 4, the
網路節點402a/402b可以與UE 404進行無線通訊。網路節點402a/402b中的每一者可以為相應的地理覆蓋區域406提供通訊覆蓋。可能存在重疊的地理覆蓋區域。在圖4的實例中,網路節點402a/402b和UE 404之間的通訊鏈路408可以包括從UE 404到相應的網路節點的上行鏈路(UL)(亦被稱為反向鏈路)傳輸及/或從相應的網路節點到UE 404的下行鏈路(DL)(亦被稱為前向鏈路)傳輸。通訊鏈路408可以使用MIMO天線技術,包括空間多工、波束成形及/或發射分集。通訊鏈路可以是經由一或多個載波的。The
EPC 410可以包括行動性管理實體(例如,MME 412)、其他MME 414、服務閘道416、多媒體廣播多播服務(MBMS)閘道(例如,MBMS GW 418)、廣播多播服務中心(例如,BM-SC 420)、以及封包資料網路(PDN)閘道(例如,PDN閘道422)。MME 412可以與歸屬用戶伺服器(例如,HSS 424)相通訊。MME 412是處理在UE 404和EPC 410之間的訊號傳遞的控制節點。通常,MME 412提供承載和連接管理。所有使用者網際網路協定(IP)封包經由服務閘道416來傳輸,該服務閘道416本身連接到PDN閘道422。PDN閘道422提供UE IP位址分配以及其他功能。PDN閘道422和BM-SC 420連接到IP服務426。IP服務426可以包括網際網路、網內網路、IP多媒體子系統(IMS)、PS流服務及/或其他IP服務。BM-SC 420可以提供針對MBMS使用者服務供應和傳送的功能。BM-SC 420可以充當用於內容提供者MBMS傳輸的入口點,可以用於在公共陸地移動網路(PLMN)內授權和發起MBMS承載服務,並且可以用於排程MBMS傳輸。MBMS GW 418可以用於向屬於廣播特定服務的多播廣播單頻網路(MBSFN)區域的網路節點402a/402b分發MBMS傳輸量,並且可以負責通信期管理(開始/停止)和收集與eMBMS相關的計費資訊。
核心網路430可以包括存取和行動性管理功能單元(例如,AMF 432)、其他AMF 434、通信期管理功能單元(例如,SMF 436)和使用者平面功能單元(例如,UPF 438)。AMF 432可以與統一資料管理單元(例如,UDM 440)相通訊。AMF 432是處理在UE 404和核心網路430之間的訊號傳遞的控制節點。通常,AMF 432提供QoS流和通信期管理。所有使用者IP封包經由UPF 438來傳輸。UPF 195提供UE IP位址分配以及其他功能。UPF 438連接到IP服務442。IP服務442可以包括網際網路、網內網路、IP多媒體子系統(IMS)、封包交換(PS)流(PSS)服務及/或其他IP服務。
在圖4的實例中,MME 412及/或AMF 432可以被配置為經由在RLF和EPS TAU請求的重傳的情況下促進5GS到EPC重選的安全處理來管理無線通訊的一或多個態樣,以促進改進的行動性支援。例如,MME 412及/或AMF 432可以被配置為促進從與第二網路節點402b相關聯的5G網路到與第一網路節點402a相關聯的EPS網路的切換。MME 412及/或AMF 432可以包括網路安全處理部件497。網路安全處理部件497的各態樣可以類似於圖1及/或圖3的網路安全處理部件199。In the example of FIG. 4 ,
非存取層(NAS)在無線電介面處的UE和MME之間形成控制平面的最高層。作為NAS一部分的協定提供對UE的行動性的支援。NAS安全是NAS向NAS協定提供服務的額外功能。例如,NAS安全可以提供NAS訊號傳遞訊息的完整性保護和加密。The Non-Access Stratum (NAS) forms the highest layer of the control plane between the UE and the MME at the radio interface. Protocols that are part of the NAS provide support for UE mobility. NAS security is an additional function that NAS provides to the NAS protocol. For example, NAS security can provide integrity protection and encryption of NAS signaling messages.
用於認證、完整性保護和加密的安全參數可以被稱為安全上下文並且由金鑰集辨識符(KSI)標識。表示安全上下文的資訊可以被儲存在UE和服務於UE的網路(例如,服務網路)處。關於傳送NAS訊號傳遞訊息,安全上下文可以被稱為「NAS安全上下文」,並且包括金鑰、與金鑰相關聯的金鑰集辨識符、UE安全能力(例如,與由UE實現的加密和完整性演算法相對應的辨識符集合)、上行鏈路NAS計數和下行鏈路NAS計數。當啟動安全上下文時,上行鏈路NAS計數和下行鏈路NAS計數可以各自被設置為零,並且可以在傳送相應的NAS訊息時順序遞增。因此,上行鏈路NAS計數值可以指示傳送的上行鏈路NAS訊息的數量,並且下行鏈路NAS計數值可以指示與活動安全上下文相關聯的傳送的下行鏈路NAS訊息的數量。Security parameters used for authentication, integrity protection, and encryption may be referred to as security contexts and are identified by Key Set Identifiers (KSIs). Information representing the security context may be stored at the UE and at a network serving the UE (eg, a serving network). With respect to the transmission of NAS signaling messages, the security context may be referred to as a "NAS security context" and includes keys, keyset identifiers associated with keys, UE security capabilities (e.g., related to encryption and integrity set of identifiers corresponding to the algorithm), the uplink NAS count and the downlink NAS count. The uplink NAS count and the downlink NAS count may each be set to zero when the security context is activated, and may be sequentially incremented when the corresponding NAS messages are transmitted. Accordingly, the uplink NAS count value may indicate the number of uplink NAS messages transmitted, and the downlink NAS count value may indicate the number of transmitted downlink NAS messages associated with the active security context.
當UE連接到5G網路時,5G安全上下文可以包括5G NAS主安全金鑰(K AMF),其由5G中的金鑰集辨識符(ngKSI)標識。5G NAS主安全金鑰亦可以被稱為「5G NAS金鑰」或「5G主安全金鑰」。當UE連接到EPS網路時,EPS安全上下文可以包括由EPS的金鑰集辨識符(eKSI)標識的EPS-NAS主安全金鑰(K ASME)。EPS NAS主安全金鑰在本文中亦可以被稱為「EPS NAS金鑰」或「EPS主安全金鑰」。 When a UE is connected to a 5G network, the 5G security context may include a 5G NAS Master Security Key (K AMF ), which is identified by a Key Set Identifier (ngKSI) in 5G. The 5G NAS master security key can also be called "5G NAS key" or "5G master security key". When the UE is connected to the EPS network, the EPS security context may include the EPS-NAS Master Security Key (K ASME ) identified by the EPS Key Set Identifier (eKSI). The EPS NAS master security key may also be referred to as "EPS NAS key" or "EPS master security key" herein.
圖5圖示了如本文提供的不同安全上下文的實例。例如,圖5包括第一安全上下文500、與5G網路相關聯的第二安全上下文520和與EPS網路相關聯的第三安全上下文540。安全上下文包括可以用於對NAS訊號傳遞進行完整性保護的資料,例如,當發送NAS訊息時及/或當接收NAS訊息時。安全上下文資料可以與對與相應的RAN相關聯的NAS訊號傳遞進行完整性保護相關聯。例如,第二安全上下文520可以包括用於發送5G NAS訊息及/或驗證5G NAS訊息的5G安全上下文資料。第三安全上下文540可以包括用於發送EPS NAS訊息及/或驗證EPS NAS訊息的EPS安全上下文資料。Figure 5 illustrates examples of different security contexts as provided herein. For example, FIG. 5 includes a
在圖5的實例中,第一安全上下文500包括主安全金鑰502和與主安全金鑰502相關聯的KSI 504。例如,KSI 504可以指示主安全金鑰502。第一安全上下文500亦包括UE安全能力506,其可以包括與由UE實現的加密和完整性演算法相對應的辨識符集合。例如,UE安全能力506可以包括完整性和加密金鑰以及所選完整性和加密演算法的相關聯的辨識符。第一安全上下文500亦包括NAS計數對,其包括上行鏈路NAS計數508和下行鏈路NAS計數510。上行鏈路NAS計數508指示傳送的上行鏈路NAS訊息的數量,並且下行鏈路NAS計數510指示傳送的與活動安全上下文相關聯的下行鏈路NAS訊息的數量。當啟動安全上下文時,上行鏈路NAS計數508和下行鏈路NAS計數510可以被設置為起始值(例如,可以被設置為零)。在將NAS計數值設置為起始值之後,當傳送相應的NAS訊息時,可以遞增NAS計數值。In the example of FIG. 5 , a
如前述,第二安全上下文520包括5G安全上下文資料,以促進對5G NAS訊息進行完整性保護。例如,第二安全上下文520包括5G金鑰522(K
AMF)、5G KSI 524(ngKSI)、5G UE安全能力526、5G上行鏈路NAS計數528和5G下行鏈路NAS計數530。第二安全上下文520的5G安全上下文資料可以類似於第一安全上下文500的安全上下文資料,但是可以被配置用於5G網路。
As mentioned above, the
第三安全上下文540包括EPS安全上下文資料,以促進對EPS NAS訊息進行完整性保護。例如,第三安全上下文540包括EPS金鑰542(K
ASME)、EPS KSI 544(eKSI)、EPS UE安全能力546、EPS上行鏈路NAS計數548和EPS下行鏈路NAS計數550。第三安全上下文540的EPS安全上下文資料可以類似於第一安全上下文500的安全上下文資料,但是可以被配置用於EPS網路。
The
安全上下文可以與狀態(諸如「當前」狀態或「非當前」狀態)相關聯。當前安全上下文是啟動的安全上下文。非當前安全上下文是非當前的安全上下文(例如,未啟動的安全上下文)。安全上下文可以與類型(諸如「本機」類型或「映射」類型)相關聯。本機安全上下文包括「完整本機」安全上下文或「部分本機」安全上下文。安全上下文在某個時間可以具有一種類型和一種狀態。然而,特定安全上下文的類型可能隨著時間而改變。例如,部分本機安全上下文可以轉換為完整本機安全上下文。A security context can be associated with a state, such as a "current" state or a "non-current" state. The current security context is the launched security context. A non-current security context is a security context that is not current (for example, one that has not been started). A security context can be associated with a type such as a "native" type or a "mapped" type. Native security contexts include "full native" or "partial native" security contexts. A security context can have one type and one state at a time. However, the type of a particular security context may change over time. For example, a partial native security context can be converted to a full native security context.
本機安全上下文是具有金鑰(例如,EPS金鑰K ASME或5G金鑰K AMF)的安全上下文,該金鑰由主認證程序建立並且由本機金鑰集辨識符(例如,本機eKSI或本機ngKSI)標識。例如,主認證程序可以啟用UE和網路之間的相互認證,並且提供可以在後續安全程序中在UE和網路之間使用的金鑰材料。當UE向網路註冊時,UE和網路可以執行主認證程序,並且當主認證程序成功時,可以產生本機安全上下文。UE可以儲存本機安全上下文的副本,並且網路可以在網路實體處(例如,在MME及/或AMF處)儲存與UE相關聯的本機安全上下文的副本。 A native security context is a security context with a key (e.g., EPS key K ASME or 5G key K AMF ) established by the master authenticator and identified by a native keyset identifier (e.g., native eKSI or Native ngKSI) identity. For example, a master authentication procedure may enable mutual authentication between the UE and the network and provide keying material that may be used between the UE and the network in subsequent security procedures. When the UE registers with the network, the UE and the network can perform a primary authentication procedure, and when the primary authentication procedure is successful, a native security context can be generated. The UE may store a copy of the native security context, and the network may store a copy of the native security context associated with the UE at a network entity (eg, at the MME and/or AMF).
本機安全上下文可以包括標識本機金鑰的本機KSI。本機KSI可以是在主認證程序期間推導的,並且可以使得UE和網路可能在不調用認證程序的情況下辨識本機安全上下文。因此,本機KSI可以允許在UE和網路之間的後續連接設置期間重用本機安全上下文,而無需執行認證程序。A native security context may include a native KSI identifying a native key. The native KSI may be derived during the main authentication procedure and may make it possible for the UE and the network to recognize the native security context without invoking the authentication procedure. Thus, the native KSI may allow re-use of the native security context during subsequent connection setup between the UE and the network without performing an authentication procedure.
本機安全上下文可以是部分本機安全上下文或完整本機安全上下文。部分本機安全上下文是包括金鑰(例如,5G金鑰522或EPS金鑰542)和相關聯的金鑰集辨識符(例如,5G KSI 524或EPS KSI 544)、UE安全能力和NAS計數對(例如,上行鏈路NAS計數值和下行鏈路NAS計數值)的安全上下文。部分本機安全上下文可以由主認證建立,並且處於「非當前」狀態。完整本機安全上下文是一種安全上下文,其包括部分本機安全上下文的安全上下文資料並且亦包括NAS完整性和加密金鑰以及所選NAS完整性和加密演算法的相關聯的金鑰集辨識符。完整本機安全上下文可以處於「當前」狀態或「非當前」狀態。A native security context can be a partial native security context or a full native security context. Part of the native security context is a key (e.g.,
映射安全上下文是一種安全上下文,其金鑰是從與不同RAN關聯的金鑰推導的。例如,映射5G安全上下文包括從EPS金鑰(例如,EPS金鑰542)推導的映射5G金鑰(K AMF)。映射EPS安全上下文包括從5G金鑰(例如,5G金鑰522)推導的映射EPS金鑰(K ASME)。 A mapped security context is a security context whose keys are derived from keys associated with different RANs. For example, the mapped 5G security context includes a mapped 5G key (K AMF ) derived from an EPS key (eg, EPS key 542 ). The mapped EPS security context includes a mapped EPS key (K ASME ) derived from a 5G key (eg, 5G key 522 ).
映射安全上下文可以包括與從第二網路的本機金鑰推導的映射金鑰相關聯的第一網路的映射KSI。例如,映射5G安全上下文包括與從EPS網路的EPS金鑰推導的映射5G金鑰相關聯的映射5G KSI。當推導映射金鑰時,可以在UE和網路處產生映射KSI。因此,映射KSI可以指示映射金鑰的使用。The mapped security context may include the mapped KSI of the first network associated with the mapped key derived from the native key of the second network. For example, the mapped 5G security context includes a mapped 5G KSI associated with a mapped 5G key derived from an EPS key of the EPS network. The Map KSI may be generated at the UE and the network when the Map Key is derived. Thus, the map KSI may indicate the use of the map key.
在一些態樣中,在例如從第二網路到第一網路的重選(例如,5GS到EPS重選)期間,在UE和第一網路之間可能發生安全上下文失配。由於例如部署場景中5G的非普遍覆蓋,在部署中執行的5G到EPS重選程序的數量可能很高。另外,5G網路最初可能不支援IP多媒體子系統(IMS)語音撥叫。在此類場景中,例如,可以將常駐在與5G網路相關聯的細胞上的UE重定向到與EPS網路相關聯的細胞,以嘗試建立語音撥叫。In some aspects, a security context mismatch may occur between the UE and the first network, eg, during reselection from the second network to the first network (eg, 5GS to EPS reselection). Due to, for example, non-universal coverage of 5G in a deployment scenario, the number of 5G-to-EPS reselection procedures performed in a deployment may be high. In addition, 5G networks may not initially support IP Multimedia Subsystem (IMS) voice calling. In such scenarios, for example, a UE residing on a cell associated with a 5G network may be redirected to a cell associated with an EPS network to attempt to establish a voice call.
圖6圖示如本文提供的網路節點602、UE 604、MME 606和AMF 608之間的實例通訊流600。在所示的實例中,通訊流600促進執行從5GS到EPS的閒置模式行動性。例如,UE 604可以連接到與第一RAT相關聯的第一細胞(例如,5G網路)及/或常駐在其上,並且可以重定向到與第二RAT相關聯的第二細胞(例如,EPS網路或LTE網路)。在圖6的實例中,MME 606可以與EPS網路607相關聯,並且AMF 608可以與5G網路609相關聯。實例通訊流600可以與在被重定向到第二細胞(例如,EPS網路607)之後執行追蹤區域更新(TAU)請求程序或與第二細胞的初始連接程序相關聯。6 illustrates an
網路節點602的各態樣可以由圖1的基地台102及/或基地台102的部件(諸如CU、DU及/或RU)來實現。UE 604的各態樣可以由圖1的UE 104來實現。MME 606的各態樣可以由圖4的MME 412來實現。AMF 608的各態樣可以由圖1的AMF 161、圖4的AMF 432及/或其他AMF 434來實現。在圖6的實例中,UE 604經由網路節點602與MME 606進行通訊。例如,UE 604可以發送由網路節點602接收的上行鏈路訊息,隨後,網路節點602將上行鏈路訊息轉發給MME 606。在下行鏈路方向上,MME 606可以發送由網路節點602接收並且隨後由網路節點602轉發給UE 604的訊息。Various aspects of the network node 602 may be implemented by the
在圖6的實例中,UE 604正在執行從5G網路609到EPS網路607的重選。因此,UE 604被配置有5G安全上下文690,諸如圖5的第二安全上下文520,亦即,當前(或活動)5G安全上下文。UE 604可以基於當前5G安全上下文的5G安全上下文資料來推導映射EPS安全上下文,以促進與MME 606和EPS網路607的通訊。In the example of FIG. 6 ,
如圖6所示,UE 604發送由MME 606接收的第一TAU請求訊息610。UE 604可以發送第一TAU請求訊息610以更新UE 604在EPS網路607中的實際追蹤區域的註冊。UE 604可以經由EPS NAS訊息發送第一TAU請求訊息610。因此,第一TAU請求訊息610可以包括與EPS網路607相關聯的參數。As shown in FIG. 6 ,
例如,第一TAU請求訊息610包括UE 604的映射EPS全域唯一臨時UE身份(例如,映射EPS GUTI 612)和EPS安全能力,諸如圖5的EPS UE安全能力546。映射EPS GUTI 612可以是從5G GUTI推導的。當向5G網路609註冊時,UE 604可以被配置有5G GUTI。5G GUTI可以指向在其中儲存與UE 604相關聯的5G金鑰的AMF。因此,映射EPS GUTI 612可以包含具有5G網路609中的UE 604的最新安全上下文的AMF的資訊和AMF內的UE的辨識符。例如,映射EPS GUTI 612可以包含與AMF 608相關聯的位址和與UE 604相關聯的臨時行動訂制辨識符(例如,TMSI 613)。For example, the first
UE 604可以使用由用於推導映射EPS GUTI 612的5G GUTI標識的5G安全上下文690來對第一TAU請求訊息610進行完整性保護。例如,UE 604可以計算用於第一TAU請求訊息610的NAS訊息認證碼(例如,NAS-MAC 614)。UE 604可以計算NAS-MAC 614,類似於計算用於5G NAS訊息的NAS-MAC。用於第一TAU請求訊息610的完整性保護的上行鏈路NAS計數可以是與5G上行鏈路NAS計數相同的值(例如,與圖5的5G上行鏈路NAS計數528相同的值)。因此,跨越通訊系統的上行鏈路NAS計數值增加。第一TAU請求訊息610可以包括eKSI參數616,並且UE 604可以包括與eKSI參數616中的5G安全上下文690相對應的5G KSI(ngKSI)。The
在圖6的實例中,在發送第一TAU請求訊息610之後,UE 604可以在618處將5G安全上下文690的5G上行鏈路NAS計數遞增一。In the example of FIG. 6, after sending the first
在620處,MME 606可以獲得儲存與UE 604相關聯的5G安全上下文的AMF的AMF位址。例如,MME 606可以使用第一TAU請求訊息610的映射EPS GUTI 612來獲得AMF 608的AMF位址。At 620,
如圖6所示,MME 606可以發送由AMF 608接收的上下文請求訊息622。上下文請求訊息622可以包括第一TAU請求訊息610的所有資訊或資訊的一部分。例如,上下文請求訊息622可以包括NAS-MAC 614和eKSI參數616。上下文請求訊息622亦可以包括映射EPS GUTI 612。As shown in FIG. 6 ,
在630處,AMF 608可以例如基於上下文請求訊息622來辨識與UE 604相關聯的5G NAS安全上下文692。AMF 608可以使用上下文請求訊息622的eKSI參數616中包括的5G KSI來辨識與UE 604相關聯的5G NAS安全上下文692。At 630 , AMF 608 can identify a 5G
在632處,AMF 608可以使用5G NAS安全上下文692來驗證第一TAU請求訊息610。AMF 608可以驗證第一TAU請求訊息610,就像第一TAU請求訊息610是5G NAS訊息一樣。若AMF 608成功驗證第一TAU請求訊息610,則AMF 608可以在634處產生映射EPS安全上下文636。例如,AMF 608可以使用5G NAS安全上下文692來推導映射EPS安全上下文636。AMF 608可以例如經由使用從第一TAU請求訊息610推導的5G上行鏈路NAS計數從5G金鑰(K
AMF)推導映射EPS金鑰(K
ASME’),來推導映射EPS安全上下文636。例如,UE 604可以使用5G上行鏈路NAS計數來對第一TAU請求訊息610進行完整性保護。當AMF 608辨識UE 604的5G NAS安全上下文692並且驗證第一TAU請求訊息610時,AMF 608可以具有決定5G上行鏈路NAS計數的能力。
At 632 , AMF 608 may authenticate first
AMF 608可以基於從上下文請求訊息622的5G KSI(ngKSI)中獲取的值來決定映射EPS金鑰(K
ASME’)的映射EPS KSI(eKSI)。映射EPS安全上下文636中的EPS上行鏈路和下行鏈路NAS計數值可以分別被設置為5G NAS安全上下文692的上行鏈路和下行鏈路NAS計數值。AMF 608可以將EPS NAS演算法設置為先前指示給UE 604的EPS NAS演算法(例如,在連接建立程序或連接重建程序期間)。
The AMF 608 may determine the mapped EPS KSI (eKSI) for the mapped EPS key (K ASME ′) based on the value obtained from the 5G KSI (ngKSI) of the
如圖6所示,AMF 608可以輸出由MME 606接收的上下文回應訊息638。上下文回應訊息638可以包括映射EPS安全上下文636。在一些實例中,AMF 608可以在發送上下文回應訊息638之後丟棄(或擦除)用於推導映射EPS安全上下文636的5G NAS安全上下文692。在一些實例中,AMF 608可以在發送上下文回應訊息638之後啟動計時器,並且在計時器到期之後丟棄5G NAS安全上下文692。As shown in FIG. 6 , AMF 608 may output a
在圖6的所示實例中,UE 604可以在640處產生UE映射EPS安全上下文642。例如,UE 604可以以類似於AMF 608推導映射EPS安全上下文636的方式來推導UE映射EPS安全上下文642。UE 604可以將EPS NAS演算法設置為先前從AMF 608接收到的EPS NAS演算法(例如,在連接建立程序或連接重建程序期間)。UE 604可以啟動UE映射EPS安全上下文642,以用於處理從MME 606接收的EPS NAS訊息。In the illustrated example of FIG. 6 ,
在650處,MME 606可以將UE安全演算法與安全演算法資訊694進行比較。可以經由網路管理將MME 606配置有安全演算法資訊694。安全演算法資訊694可以包括允許使用的演算法清單。可以根據優先順序對安全演算法資訊694中的演算法進行排序。MME 606可以將上下文回應訊息638的映射EPS安全上下文636中包括的EPS NAS演算法與安全演算法資訊694進行比較。在650處,MME 606可以比較安全演算法以決定是否選擇另一EPS NAS演算法。若MME 606決定執行演算法改變,則MME 606可以從具有最高優先順序並且可用於UE 604的安全演算法資訊694中選擇EPS NAS演算法。例如,MME 606可以使用UE的UE安全能力(諸如圖5的EPS UE安全能力546)來決定從安全演算法資訊694中選擇哪種EPS-NAS演算法。At 650, the
若MME 606決定選擇另一EPS NAS演算法,則UE 604和MME 606可以執行NAS安全模式命令(SMC)程序(例如,NAS SMC程序660),以利用所選擇的EPS NAS演算法來推導新的NAS金鑰。若在650處,MME 606決定不執行演算法改變,或者在MME 606和UE 604執行NAS SMC程序660之後,MME 606可以輸出由UE 604接收的TAU接受訊息662。MME 606可以經由EPS NAS訊息輸出(例如,發送或傳送)TAU接受訊息662。If
在664處,UE 604可以執行TAU接受訊息662的完整性驗證。例如,UE 604可以使用UE映射EPS安全上下文642的映射EPS金鑰(K
ASME’)來執行TAU接受訊息662的完整性驗證。若完整性驗證成功,則UE 604可以發送由MME 606接收的TAU完成訊息666。若完整性驗證失敗,則UE 604可以丟棄TAU完成訊息666。
At 664,
如前述,UE 604可以基於從與5G網路609相關聯的第一細胞到與EPS網路607相關聯的第二細胞的重選來發起圖6的程序。然而,當UE 604和MME 606處的安全上下文可能不匹配時,可能出現這種情況。As before,
例如,在與跟EPS網路607相關聯的第二細胞建立連接並且發送第一TAU請求訊息610之後,UE 604可能經歷無線電鏈路失敗(RLF)。在此類實例中,UE 604可以例如在與跟EPS網路607相關聯的另一細胞建立新的RRC連接之後或者在與第二細胞重新建立RRC連接之後,重傳第一TAU請求訊息610。例如,UE 604可以發送由MME 606接收的第二TAU請求訊息670。第二TAU請求訊息670可以包括與第一TAU請求相同的資訊(例如,第一TAU請求訊息610)。For example, after establishing a connection with a second cell associated with the
然而,當發送第二TAU請求訊息670時,UE 604可以使用更新的5G NAS上行鏈路計數值來對第二TAU請求訊息670進行完整性保護。例如,用於對第一TAU請求訊息610進行完整性保護的5G NAS上行鏈路計數值可以是五,並且用於對第二TAU請求訊息670進行完整性保護的5G NAS上行鏈路計數值可以是六。However, when sending the second
在一些實例中,當MME 606接收到第二TAU請求訊息670時,MME 606可以被配置為在672處比較第一TAU請求訊息610和第二TAU請求訊息670的內容。在一些實例中,當第一TAU請求訊息610和第二TAU請求訊息670的內容(例如,資訊元素)相同時,MME 606可以丟棄第二TAU請求訊息670,並且基於第一TAU請求訊息610繼續執行圖6的TAU請求程序。在此類實例中,MME 606可以基於第二TAU請求訊息670來避免向AMF 608發送另一上下文請求訊息。In some examples, when the
可以理解,在MME間場景中,避免發送另一上下文請求訊息可能是足夠的,因為可能不會發生安全上下文映射。另外,當執行從UMTS到EPS的重選時,避免發送另一上下文請求訊息是足夠的,因為取決於NONCE_UE的新鮮度可以用於上下文映射。如本文所使用的,「NONCE_UE」是指由UE產生的32位元偽亂數,以促進UMTS到EPS安全映射的新鮮度。NONCE_UE可以與諸如3G安全金鑰之類的現有安全金鑰一起用作輸入,以計算映射EPS金鑰(K ASME’)。 It will be appreciated that in an inter-MME scenario, it may be sufficient to avoid sending another context request message, since security context mapping may not take place. Also, when performing reselection from UMTS to EPS, it is sufficient to avoid sending another context request message, since freshness depending on NONCE_UE can be used for context mapping. As used herein, "NONCE_UE" refers to a 32-bit pseudo-noise number generated by the UE to facilitate freshness of the UMTS-to-EPS security mapping. NONCE_UE can be used as input together with an existing security key such as a 3G security key to compute a mapped EPS key (K ASME ').
然而,如圖6的實例中描述的,當執行5G到EPS重選時(例如,當執行從5G網路609到EPS網路607的重選時),AMF 608可以使用與TAU請求訊息相關聯的5G NAS上行鏈路計數來產生映射EPS安全上下文636(例如,在634處)。例如,AMF 608可以使用與第一TAU請求訊息610相關聯的5G NAS上行鏈路計數的值五來產生映射EPS安全上下文636,AMF 608經由上下文回應訊息638將映射EPS安全上下文636提供給MME 606。映射EPS安全上下文636可以包括基於5G NAS上行鏈路計數的MME EPS金鑰(K
ASME’_MME)。因此,可以基於5G NAS上行鏈路計數值五來將MME 606配置有MME EPS金鑰(K
ASME’_MME)。
However, as described in the example of FIG. 6, when performing 5G to EPS reselection (for example, when performing reselection from
類似地,UE 604可以使用與TAU請求訊息相關聯的相同的5G NAS上行鏈路計數來產生UE映射EPS安全上下文642(例如,在640處)。例如,關於第一TAU請求訊息610,UE 604可以在640處產生包括第一UE EPS金鑰(K
ASME’_UE)的UE映射EPS安全上下文642。
Similarly,
然而,在發送第二TAU請求訊息670之後,UE 604可以在680處產生新的UE映射EPS安全上下文682。新的UE映射EPS安全上下文682可以是至少部分地基於與第二TAU請求訊息670相關聯的5G NAS上行鏈路計數值的。例如,新的UE映射EPS安全上下文682可以是基於與第二TAU請求訊息670相關聯的5G NAS上行鏈路計數值六的。在此類實例中,新的UE映射EPS安全上下文682可以包括第二UE EPS金鑰(K
ASME’_UE2)。可以理解,由於映射EPS安全上下文636和新的UE映射EPS安全上下文682可以各自是分別使用不同的5G NAS上行鏈路計數值在AMF 608和UE 604處推導的,因此MME 606處的MME EPS金鑰(K
ASME’_MME)和第二UE EPS金鑰(K
ASME’_UE2)亦可能不同。因此,由於映射EPS金鑰keys K
ASME’_MME、K
ASME’_UE2不同,因此UE 604可以丟棄從MME 606接收的EPS NAS訊息。亦即,由於UE 604和MME 606正在使用不匹配的映射EPS安全上下文和映射EPS金鑰,因此UE 604可能會由於完整性計算的不一致而丟棄或拒絕來自MME 606的EPS NAS訊息(例如,TAU接受訊息662及/或與NAS SMC程序660相關聯的訊息)。此類場景可能導致服務中斷及/或通話中斷。
However, after sending the second
本文揭示的實例提供了用於在TAU請求訊息的重複的處理中移除不一致性的技術,如前述。在第一態樣中,所揭示的技術可以經由修改MME 606如何處理TAU請求訊息的重複來移除不一致性。在第二態樣中,所揭示的技術可以經由修改UE 604如何執行TAU請求訊息的完整性保護來移除不一致性。在協力廠商面中,所揭示的技術可以經由修改UE 604如何執行對訊息的完整性驗證來移除不一致性。Examples disclosed herein provide techniques for removing inconsistencies in the processing of iterations of TAU request messages, as described above. In a first aspect, the disclosed techniques can remove inconsistencies by modifying how
如前述,當MME 606接收到第二TAU請求訊息670時,當第一TAU請求訊息610和第二TAU請求訊息670的內容(例如,資訊元素)相同時,MME 606可以丟棄第二TAU請求訊息670,並且避免向AMF 608發送另一上下文請求訊息。在第一實例態樣中,所揭示的技術可以經由修改MME如何處理TAU請求訊息的重複來移除上述不一致性。As mentioned above, when the
例如,MME 606可以被配置為:當MME 606能夠從TAU請求獲得AMF位址時,決定是否向AMF 608發送上下文請求訊息。亦即,MME 606可以基於MME 606是否能夠獲得AMF位址來決定是否發送第二上下文請求訊息674,而不是基於第一TAU請求訊息610和第二TAU請求訊息670包括相同的內容(例如,相同的資訊元素)來避免發送第二上下文請求訊息,如672處描述的。因此,若第二TAU請求訊息670包括具有AMF位址的映射EPS-GUTI(諸如映射EPS GUTI 612),則MME 606可以決定向AMF 608發送第二上下文請求訊息674,其請求新的映射EPS安全上下文。For example, the
在此類實例中,AMF 608可以基於與第二上下文請求訊息674中包括的第二TAU請求訊息670相關聯的5G NAS上行鏈路計數(例如,值六)來產生映射EPS安全上下文636。因此,可以基於相同的5G NAS上行鏈路計數(例如,值六)來推導映射EPS安全上下文636和新的UE映射EPS安全上下文682,這可能導致相應的映射EPS金鑰K
ASME’_MME、K
ASME’_UE2亦相同。在一些實例中,在684處,UE 604可以基於新UE映射的EPS安全上下文682的推導(例如,在680處)來將UE 604的安全上下文從UE映射EPS安全上下文642更新為新的UE映射EPS安全上下文682。
In such instances, AMF 608 may generate mapped
在一些實例中,當MME 606從AMF 608接收到映射EPS安全上下文時,MME 606可以被配置為更新其映射安全上下文。例如,在一些場景中,MME 606可以產生用於發送到UE 604的EPS NAS訊息,並且可以在一或多個產生的EPS-NAS訊息的發送掛起時接收新的映射EPS安全上下文。在此類實例中,MME 606可以被配置為丟棄使用較舊的映射EPS安全上下文進行完整性保護的掛起EPS NAS訊息。In some instances, when
可以理解,只要MME 606能夠獲得用於發送第二上下文請求訊息674的位址,MME 606就可以發送請求映射EPS安全上下文的上下文請求訊息。因此,在一些實例中,映射EPS GUTI中包括的位址可以對應於AMF(例如,AMF 608)。在其他實例中,在第一TAU請求訊息610和第二TAU請求訊息670的映射EPS GUTI中包括的位址可以映射到MME。It can be understood that as long as the
在一些實例中,MME 606可以在向UE 604發送TAU接受訊息662之前,接收具有相同資訊元素的第二TAU請求訊息670。在一些此類實例中,MME 606可以將第二TAU請求訊息670轉發給AMF 608(例如,經由第二上下文請求訊息674),如前述。在其他實例中,MME 606可以執行認證並且啟動新的本機EPS安全上下文,以用於保護到UE 604的後續NAS訊息。例如,MME 606可以決定與UE 604執行NAS SMC程序660,以便MME 606和UE 604正在使用相同的EPS金鑰(K
ASME)來執行EPS NAS訊息的完整性驗證。
In some examples,
在一些實例中,MME 606可以在向UE 604發送TAU接受訊息662之後,接收具有相同資訊元素的第二TAU請求訊息670。在一些此類實例中,MME 606可以決定執行認證並且啟動新的本機EPS安全上下文,以用於保護到UE 604的後續NAS訊息。例如,MME 606可以決定與UE 604執行NAS SMC程序660,以便MME 606和UE 604正在使用相同的EPS金鑰(K
ASME)來執行EPS NAS訊息的完整性驗證。
In some examples,
在一些實例中,MME 606可以在發送TAU接受訊息662之後並且在從UE 604接收TAU完成訊息666之前,接收具有相同資訊元素的第二TAU請求訊息670。對於除了在UE 604在單一註冊模式下操作的情況下在閒置模式下從N1模式到S1模式的系統間改變之外的各態樣,MME 606可以重新發送TAU接受訊息662。在一些此類實例中,若預期TAU完成訊息666,則MME 606可以重新啟動計時器(例如,T3450計時器)。對於在UE 604在單一註冊模式下操作的情況下在閒置模式下從N1模式到S1模式的系統間改變的各態樣,MME 606可以發起與UE 604的認證程序,接下來執行安全模式控制程序(例如,NAS SMC程序660),以嘗試使用新的部分本機EPS安全上下文。若新的部分本機EPS安全上下文被成功使用,則MME 606可以將新的部分本機EPS安全上下文設置為完整本機EPS安全上下文。MME 606亦可以重新發送TAU接受訊息662,並且使用(新的)完整本機EPS安全上下文來對TAU接受訊息662的重新發送進行完整性保護。在一些實例中,MME 606亦可以重新啟動T3450計時器。在此類實例中,與T3450計時器相關的重傳計數器可能不遞增。In some examples,
在一些實例中,MME 606可以接收第一TAU請求訊息610和第二TAU請求訊息670,並且可能尚未發送TAU接受訊息662或TAU拒絕訊息。若第一TAU請求訊息610和第二TAU請求訊息670中的一或多個資訊元素不同,則可以中止基於第一TAU請求訊息610發起的TAU程序,並且基於第二TAU請求訊息670發起的新TAU程序可以進行(例如,可以繼續)。In some examples,
若第一TAU請求訊息610和第二TAU請求訊息670中的資訊元素相同(例如,沒有區別),則對於除了在UE 604在單一註冊模式下操作的情況下在閒置模式下從N1模式到S1模式的系統間改變之外的各態樣,MME 606可以繼續先前發起的TAU程序(例如,基於第一TAU請求訊息610),並且丟棄第二TAU請求訊息670。亦即,MME 606可以基於第二TAU請求訊息670來避免向AMF 608發送請求新的映射EPS安全上下文的第二上下文請求訊息674。If the information elements in the first
對於在UE 604在單一註冊模式下操作的情況下在閒置模式下從N1模式到S1模式的系統間改變的各態樣,MME 606可以將新的TAU請求訊息轉發給AMF 608(例如,經由另一上下文請求訊息),以執行完整性檢查並且獲得最新的映射EPS安全上下文,並且繼續先前的TAU程序。例如,MME 606可以將第二TAU請求訊息670轉發給AMF 608(例如,經由第二上下文請求訊息674)。作為一個實例,完整性檢查可以是基於完整性金鑰、上行鏈路計數、傳輸方向(例如,指示下行鏈路傳輸的下行鏈路方向的1位元指示符)和下行鏈路傳輸的有效載荷的。AMF 608可以驗證第二TAU請求訊息670(例如,在632處)。隨後,AMF 608可以基於第二TAU請求訊息670來產生新的映射EPS安全上下文。例如,新的映射EPS安全上下文可以是至少部分地基於與第二TAU請求訊息670相關聯的5G NAS上行鏈路計數(例如,值六)的。因此,提供給MME 606的包括新的MME EPS金鑰(例如,K
ASME’_MME)的映射EPS安全上下文636可以與包括新的UE EPS金鑰(K
ASME’_UE2)的新的UE映射EPS安全上下文682相同。因此,當MME 606使用新的MME EPS金鑰(例如,K
ASME’_MME)來對後續NAS訊息(例如,TAU接受訊息662)進行完整性保護時,UE 604可以在664處對後續接收的NAS訊息(例如,TAU接受訊息662)成功地執行完整性驗證。在一些實例中,在684處,UE 604可以基於新的UE映射EPS安全上下文682的推導(例如,在680處)來將UE 604的安全上下文從映射EPS安全上下文642更新為新的UE映射EPS安全上下文682。
For aspects of an intersystem change from N1 mode to S1 mode in idle mode with
在一些實例中,MME 606可以決定發起認證程序,之後跟有安全模式控制程序,以使用新的部分本機EPS安全上下文,而不是將包含與第一TAU請求訊息610相同的資訊元素的第二TAU請求訊息670轉發給AMF 608。若成功地使用了新的部分本機EPS安全上下文(例如,NAS SMC程序660成功),則MME 606可以將新的部分本機EPS安全上下文設置為完整本機EPS安全上下文,並且完整本機EPS安全可以用於保護發送到UE 604的任何未來NAS訊息,諸如TAU接受訊息662。In some instances, the
如前述,當UE 604發送第一TAU請求訊息610和第二TAU請求訊息670時,UE 604使用相應的5G NAS上行鏈路計數來對相應的TAU請求訊息進行完整性保護。在第二實例態樣中,所揭示的技術可以經由修改UE 604如何執行TAU請求訊息的完整性保護來移除不一致性。例如,UE 604可以被配置為在發送兩個連續的TAU請求訊息(諸如第一TAU請求訊息610和第一TAU請求訊息的重複(例如,第二TAU請求訊息670))時使用相同的5G NAS上行鏈路計數值。例如,在618處,UE 604可以跳過將5G安全上下文690的5G上行鏈路NAS計數遞增一。As mentioned above, when the
經由在不遞增5G NAS上行鏈路計數的情況下發送第一TAU請求訊息610和第二TAU請求訊息670,可以使用相同的5G NAS上行鏈路計數值來對第一TAU請求訊息610和第二TAU請求訊息670進行完整性保護。因此,由AMF 608產生的映射EPS安全上下文636(例如,在634處)和由UE 604產生的新UE映射EPS安全上下文682(例如,在680處)可以相同。因此,對在UE 604處接收的後續NAS訊息執行的完整性驗證(例如,在664處)可以成功,並且UE 604和與EPS網路607相關聯的細胞之間的通訊可以成功地繼續進行。在一些實例中,在684處,UE 604可以基於新的UE映射EPS安全上下文682的推導(例如,在680處)來將UE 604的安全上下文從UE映射EPS安全上下文642更新為新的UE映射EPS安全上下文682。By sending the first
亦即,由於第一TAU請求訊息610和第二TAU請求訊息670的5G NAS上行鏈路計數值相同,因此相應的TAU請求訊息包含相同的內容(例如,相同的資訊元素),並且各自是使用相同的5G NAS上行鏈路計數值進行完整性保護的。在一些實例中,若MME 606接收到第一TAU請求訊息610和第二TAU請求訊息670,則MME 606可以基於第一TAU請求訊息610來丟棄第二TAU請求訊息670並且繼續TAU程序。在MME 606未接收到第一TAU請求訊息610(例如,若發生無線電鏈路失敗並且網路節點602錯過了包含RRC連接設置完成資訊的一或多個RLC封包)但MME 606接收到第二TAU請求訊息670的其他實例中,MME 606可以使用第二TAU請求訊息670來執行圖6的TAU程序(例如,以從AMF 608請求映射EPS安全上下文)。在任一場景中,映射EPS金鑰(K
ASME’_MME、K
ASME’_UE2)是相同的,並且因此,UE 604和與EPS網路607相關聯的細胞之間的通訊可以成功地繼續進行。
That is, since the 5G NAS uplink count value of the first
在第三實例態樣中,所揭示的技術可以經由修改UE 604如何執行EPS NAS訊息的完整性驗證來移除TAU請求訊息的重複的處理中的不一致性。例如,UE 604可以嘗試基於不同的EPS金鑰來執行完整性驗證(例如,在664處)。In a third example aspect, the disclosed techniques can remove inconsistencies in the processing of repetitions of TAU request messages by modifying how
例如,UE 604可以基於5G金鑰(K
AMF)和與第一TAU請求訊息610相關聯的5G NAS上行鏈路計數(例如,值五)來推導UE映射EPS安全上下文642的第一EPS金鑰(K
ASME’1)。隨後,UE 604可以從第一EPS金鑰(K
ASME’1)推導第一NAS完整性金鑰(NAS_IK1)。
For example, the
UE 604亦可以基於5G金鑰(K
AMF)和與第二TAU請求訊息670相關聯的5G NAS上行鏈路計數(例如,值六)來推導新的UE映射EPS安全上下文682的第二EPS金鑰(K
ASME’2)。隨後,UE 604可以從第二EPS金鑰(K
ASME’2)推導第二NAS完整性金鑰(NAS_IK2)。
The
當UE 604從MME 606接收到EPS NAS完整性保護訊息(例如,TAU接受訊息662)時,UE 604可以嘗試使用NAS完整性金鑰(例如,NAS_IK1和NAS_IK2)執行完整性驗證(例如,在664處)。若NAS完整性金鑰之一允許經由完整性驗證,則UE 604選擇相應的NAS完整性金鑰,並且繼續基於相應的NAS完整性金鑰來與跟EPS網路607相關聯的細胞進行通訊。例如,若使用第一NAS完整性金鑰(NAS_IK1)的完整性驗證成功,則UE 604可以將第一EPS金鑰(K
ASME’1)設置為EPS金鑰(K
ASME)。UE 604亦可以擦除第二EPS金鑰(K
ASME’2)和從第二EPS金鑰(K
ASME’2)推導的任何其他金鑰。類似地,若使用第二NAS完整性金鑰(NAS_IK2)的完整性驗證成功,則UE 604可以將第二EPS金鑰(K
ASME’2)設置為EPS金鑰(K
ASME)。UE 604亦可以擦除第一EPS金鑰(K
ASME’1)和從第一EPS金鑰(K
ASME’1)推導的任何其他金鑰。若使用兩個NAS完整性金鑰(NAS_IK1、NAS_IK2)執行完整性驗證失敗(例如,兩個NAS完整性金鑰均未成功執行完整性驗證),則UE 604可以丟棄EPS NAS訊息。
When
可以理解,儘管上述描述提供了包括兩個TAU請求訊息的實例,但是其他實例可以包括任意適當數量的TAU請求訊息。例如,可能存在z個可能的NAS上行鏈路計數值(例如,x、x+1、x+2、…z)。若使用NAS完整性金鑰(NAS_IK_y)成功完成完整性驗證,該NAS完整性金鑰是使用5G NAS上行鏈路計數y從y EPS金鑰(K
ASME’y)推導的,其中y是可能的z個NAS上行鏈路計數值(例如,x、x+1、x+2、…z)之一,則UE 604可以將y EPS金鑰(K
ASME’y)設置為EPS金鑰(K
ASME),並且擦除所有其他EPS金鑰(K
ASME’)及其相應地推導的金鑰。
It is understood that although the above description provides an example including two TAU request messages, other examples may include any suitable number of TAU request messages. For example, there may be z possible NAS uplink count values (eg, x, x+1, x+2, . . . z). In case of successful integrity verification using the NAS Integrity Key (NAS_IK_y), which is derived from the y EPS Key (K ASME'y ) using the 5G NAS Uplink Count y, where y is possible One of z NAS uplink count values (eg, x, x+1, x+2, ... z), then
圖7是無線通訊的方法的流程圖700。該方法可以由UE(例如,UE 104、UE 350、UE 404及/或圖11的裝置1104)來執行。在包括RLF和TAU請求訊息的重傳的實例中,該方法可以經由改進第一細胞到第二細胞重選的安全處理來促進提高通訊效能。FIG. 7 is a
在702處,UE向第一網路實體發送第一TAU請求,如結合圖6的第一TAU請求訊息610描述的。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文(諸如圖6的5G安全上下文690)進行編碼的。第一TAU請求可以是基於第一安全上下文使用第一上行鏈路計數(諸如圖5的5G上行鏈路NAS計數528)來進行完整性保護的。第一TAU請求可以包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符,諸如圖6的映射EPS GUTI 612。在702處的第一TAU請求的發送可以由圖11的裝置1104的UE安全處理部件198來執行。At 702, the UE sends a first TAU request to a first network entity, as described in connection with the first
在一些實例中,當執行從與第一RAT相關聯的第一細胞到連接到與第二RAT相關聯的第二細胞的改變時,UE可以發送第一TAU請求。例如,UE可以在執行5GS到EPS重選時發送第一TAU請求。第二RAT可以不同於第一RAT,並且第一網路實體可以與第二RAT相關聯,如結合圖6的MME 606、EPS網路607和5G網路609描述的。In some examples, the UE may send a first TAU request when performing a change from a first cell associated with a first RAT to connect to a second cell associated with a second RAT. For example, the UE may send the first TAU request when performing 5GS to EPS reselection. The second RAT may be different from the first RAT, and the first network entity may be associated with the second RAT, as described in connection with
在704處,UE向第一網路實體發送第二TAU請求,如結合圖6的第二TAU請求訊息670描述的。第二TAU請求可以包括第一資訊集合,如結合圖6的映射EPS GUTI 612、NAS-MAC 614和eKSI參數616描述的。第二TAU請求可以是使用第二上行鏈路計數來進行完整性保護的。在704處的第二TAU請求的發送可以由圖11的裝置1104的UE安全處理部件198來執行。At 704, the UE sends a second TAU request to the first network entity, as described in connection with the second
在706處,UE基於第一安全上下文和第一上行鏈路計數或第二上行鏈路計數中的至少一項來推導映射安全上下文,如結合圖6的UE映射EPS安全上下文642及/或新的UE映射EPS安全上下文682描述的。在706處的映射安全上下文的推導可以由圖11的裝置1104的UE安全處理部件198來執行。At 706, the UE derives the mapped security context based on the first security context and at least one of the first uplink count or the second uplink count, such as in conjunction with the UE mapped
在708處,UE基於映射安全上下文來與第一網路實體進行通訊,如結合圖6的TAU完成訊息666描述的。在714處基於映射安全上下文進行通訊可以由圖11的裝置1104的UE安全處理部件198來執行。At 708, the UE communicates with the first network entity based on the mapped security context, as described in connection with the TAU
圖8是無線通訊的方法的流程圖800。該方法可以由UE(例如,UE 104、UE 350、UE 404及/或圖11的裝置1104)來執行。在包括RLF和TAU請求訊息的重傳的實例中,該方法可以經由改進第一細胞到第二細胞重選的安全處理來促進提高通訊效能。FIG. 8 is a
在802處,UE向第一網路實體發送第一TAU請求,如結合圖6的第一TAU請求訊息610描述的。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文(諸如圖6的5G安全上下文690)進行編碼的。第一TAU請求可以是基於第一安全上下文使用第一上行鏈路計數(諸如圖5的5G上行鏈路NAS計數528)來進行完整性保護的。第一TAU請求可以包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符,諸如圖6的映射EPS GUTI 612。在802處的第一TAU請求的發送可以由圖11的裝置1104的UE安全處理部件198來執行。At 802, the UE sends a first TAU request to a first network entity, as described in connection with the first
在一些實例中,當執行從與第一RAT相關聯的第一細胞到連接到與第二RAT相關聯的第二細胞的改變時,UE可以發送第一TAU請求。例如,UE可以在執行5GS到EPS重選時發送第一TAU請求。第二RAT可以不同於第一RAT,並且第一網路實體可以與第二RAT相關聯,如結合圖6的MME 606、EPS網路607和5G網路609描述的。In some examples, the UE may send a first TAU request when performing a change from a first cell associated with a first RAT to connect to a second cell associated with a second RAT. For example, the UE may send the first TAU request when performing 5GS to EPS reselection. The second RAT may be different from the first RAT, and the first network entity may be associated with the second RAT, as described in connection with
在804處,UE向第一網路實體發送第二TAU請求,如結合圖6的第二TAU請求訊息670描述的。第二TAU請求可以包括第一資訊集合,如結合圖6的映射EPS GUTI 612、NAS-MAC 614和eKSI參數616描述的。第二TAU請求可以是使用第二上行鏈路計數來進行完整性保護的。在804處的第二TAU請求的發送可以由圖11的裝置1104的UE安全處理部件198來執行。At 804, the UE sends a second TAU request to the first network entity, as described in connection with the second
在806處,UE基於第一安全上下文和第一上行鏈路計數或第二上行鏈路計數中的至少一項來推導映射安全上下文,如結合圖6的UE映射EPS安全上下文642及/或新的UE映射EPS安全上下文682描述的。在806處的映射安全上下文的推導可以由圖11的裝置1104的UE安全處理部件198來執行。At 806, the UE derives a mapping security context based on the first security context and at least one of the first uplink count or the second uplink count, such as in conjunction with the UE mapping
在814,UE基於映射安全上下文來與第一網路實體進行通訊,如結合圖6的TAU完成訊息666描述的。在814處基於映射安全上下文進行通訊可以由圖11的裝置1104的UE安全處理部件198來執行。At 814, the UE communicates with the first network entity based on the mapped security context, as described in connection with the TAU
在一些實例中,在804處的第二TAU請求可以包括第一TAU請求的重複,並且第二上行鏈路計數可以是與第一上行鏈路計數相同的值,如結合圖6的第二態樣描述的,其中UE 604經由修改UE 604如何執行TAU請求訊息的完整性保護來移除TAU請求的重複中的不一致性。在一些實例中,UE可以基於無線鏈路失敗的發生來發送第二TAU請求。在一些實例中,映射安全上下文可以與第二RAT相關聯。例如,映射安全上下文可以與圖6的UE映射的EPS安全上下文642或新的UE映射EPS安全上下文682相關聯。In some examples, the second TAU request at 804 may include a repetition of the first TAU request, and the second uplink count may be the same value as the first uplink count, as described in connection with the second state of FIG. As described above, where the
在一些實例中,第二TAU請求可以包括第一TAU請求的重複,並且在804處的第二上行鏈路計數可以不同於第一上行鏈路計數,並且映射安全上下文可以是第一映射安全上下文,如結合圖6的UE映射EPS安全上下文642描述的。In some examples, the second TAU request may include a repetition of the first TAU request, and the second uplink count at 804 may be different than the first uplink count, and the mapped security context may be the first mapped security context , as described in connection with the UE mapping
在一些此類實例中,UE可以在808處基於第一安全上下文和第一上行鏈路計數來推導第二映射安全上下文,如結合圖6的新的UE映射EPS安全上下文682描述的。UE可以使用第一安全上下文對第二TAU請求進行編碼,並且第二TAU請求可以是使用第二上行鏈路計數進行完整性保護的。例如,第一TAU請求可以是使用上行鏈路NAS計數值五進行完整性保護的,並且第二TAU請求可以是使用上行鏈路NAS計數值六進行完整性保護的。在808處的第二映射安全上下文的推導可以由圖11的裝置1104的UE安全處理部件198來執行。In some such examples, the UE may derive a second mapped security context at 808 based on the first security context and the first uplink count, as described in connection with new UE mapped
在810處,UE可以基於推導第一映射安全上下文來將UE的安全上下文從第二映射安全上下文更新為第一映射安全上下文,如結合圖6的684描述的。在810處的UE的安全上下文的更新可以由圖11的裝置1104的UE安全處理部件198來執行。At 810, the UE may update the UE's security context from the second mapped security context to the first mapped security context based on deriving the first mapped security context, as described in connection with 684 of FIG. 6 . The updating of the security context of the UE at 810 may be performed by the UE
在812處,UE可以在更新UE的安全上下文之後丟棄使用第二映射安全上下文進行保護完整性的掛起傳輸。在812處的掛起傳輸的丟棄可以由圖11的裝置1104的UE安全處理部件198來執行。At 812, the UE may discard pending transmissions using the second mapped security context for integrity protection after updating the UE's security context. The discarding of the pending transmission at 812 may be performed by the UE
圖9是無線通訊的方法的流程圖900。該方法可以由UE(例如,UE 104、UE 350、UE 404及/或圖11的裝置1104)來執行。在包括RLF和TAU請求訊息的重傳的實例中,該方法可以經由改進第一細胞到第二細胞重選的安全處理來促進提高通訊效能。FIG. 9 is a
在902處,當執行從與第一RAT相關聯的第一細胞到連接到與不同於第一RAT的第二RAT相關聯的第二細胞的改變時,UE向第一網路實體發送第一TAU請求,如結合圖6的第一TAU請求訊息610描述的。第一網路實體可以與第二RAT相關聯,如結合圖7的MME 606和EPS網路607描述的。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文(諸如圖6的安全上下文690)進行編碼的。第一TAU請求可以是基於第一安全上下文使用第一上行鏈路計數進行完整性保護的。在902處的第一TAU請求的發送可以由圖11的裝置1104的UE安全處理部件198來執行。At 902, when performing a change from a first cell associated with a first RAT to a second cell associated with a second RAT different from the first RAT, the UE sends a first network entity a first The TAU request is as described in connection with the first
在904處,UE基於第一安全上下文、第一上行鏈路計數和第一映射安全上下文來推導第一完整性金鑰,如結合第一NAS完整性金鑰(NAS_IK1)描述的。例如,UE可以基於與第一TAU請求訊息610相關聯的5G金鑰(K
AMF)和5G NAS上行鏈路計數(例如,值五)來推導UE映射EPS安全上下文642的第一EPS金鑰(K
ASME’1)。隨後,UE可以從第一EPS金鑰(K
ASME’1)推導第一NAS完整性金鑰(NAS_IK1)。在904處的第一完整性金鑰的推導可以由圖11的裝置1104的UE安全處理部件198來執行。
At 904, the UE derives a first integrity key based on the first security context, the first uplink count, and the first mapped security context, as described in connection with the first NAS integrity key (NAS_IK1 ). For example, the UE may derive the first EPS key ( K ASME '1). Subsequently, the UE may derive a first NAS integrity key (NAS_IK1 ) from the first EPS key (K ASME '1). The derivation of the first integrity key at 904 may be performed by the UE
在906處,UE向第一網路實體發送第一TAU請求的重複,如結合圖6的第二TAU請求訊息670描述的。第一TAU請求的重複可以是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。例如,第一TAU請求可以是使用上行鏈路NAS計數值五進行完整性保護的,並且第二TAU請求可以是使用上行鏈路NAS計數值六進行完整性保護的。在906處的第一TAU請求的重複的發送可以由圖11的裝置1104的UE安全處理部件198來執行。At 906, the UE sends a repetition of the first TAU request to the first network entity, as described in connection with the second
在908處,UE基於第一安全上下文、第二上行鏈路計數和第二映射安全上下文來推導第二完整性金鑰,如結合來自第二EPS金鑰(K
ASME’2)的第二NAS完整性金鑰(NAS_IK2)描述的。例如,UE可以基於與第二TAU請求訊息670相關聯的5G金鑰(K
AMF)和5G NAS上行鏈路計數(例如,六)來推導新的UE映射EPS安全上下文682的第二EPS金鑰(K
ASME’2)。隨後,UE可以從第二EPS金鑰(K
ASME’2)推導第二NAS完整性金鑰(NAS_IK2)。在908處的第二完整性金鑰的推導可以由圖11的裝置1104的UE安全處理部件198來執行。
At 908, the UE derives a second integrity key based on the first security context, the second uplink count and the second mapped security context, such as in combination with a second NAS from a second EPS key (K ASME '2) Integrity Key (NAS_IK2) described. For example, the UE may derive a second EPS key for the new UE-mapped
在910處,UE從第一網路實體接收下行鏈路傳輸,如結合圖6的TAU接受訊息662描述的。在910處的下行鏈路傳輸的接收可以由圖11的裝置1104的UE安全處理部件198來執行。At 910, the UE receives a downlink transmission from a first network entity, as described in connection with TAU accept
在912處,UE使用第一完整性金鑰和第二完整性金鑰中的至少一項來對下行鏈路傳輸執行完整性檢查,如結合圖6的664描述的。在912處的完整性檢查的執行可以由圖11的裝置1104的UE安全處理部件198來執行。At 912 , the UE performs an integrity check on the downlink transmission using at least one of the first integrity key and the second integrity key, as described in connection with 664 of FIG. 6 . The performance of the integrity check at 912 may be performed by the UE
在914處,當使用推導的完整性金鑰對下行鏈路傳輸的完整性檢查成功時,UE設置UE的主安全金鑰。主安全金鑰可以是基於用於成功地執行完整性檢查的相應的完整性金鑰來設置的。在914處的主安全金鑰的設置可以由圖11的裝置1104的UE安全處理部件198來執行。At 914, when the integrity check of the downlink transmission using the derived integrity key is successful, the UE sets the UE's master security key. The master security key may be set based on the corresponding integrity key used to successfully perform the integrity check. The setting of the master security key at 914 may be performed by the UE
圖10是無線通訊的方法的流程圖1000。該方法可以由UE(例如,UE 104、UE 350、UE 404及/或圖11的裝置1104)來執行。在包括RLF和TAU請求訊息的重傳的實例中,該方法可以經由改進第一細胞到第二細胞重選的安全處理來促進提高通訊效能。FIG. 10 is a
在1002處,當執行從與第一RAT相關聯的第一細胞到連接到與不同於第一RAT的第二RAT相關聯的第二細胞的改變時,UE向第一網路實體發送第一TAU請求,如結合圖6的第一TAU請求訊息610描述的。第一網路實體可以與第二RAT相關聯,如結合圖7的MME 606和EPS網路607描述的。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文(諸如圖6的安全上下文690)進行編碼的。第一TAU請求可以是基於第一安全上下文使用第一上行鏈路計數進行完整性保護的。在1002處的第一TAU請求的發送可以由圖11的裝置1104的UE安全處理部件198來執行。At 1002, when performing a change from a first cell associated with a first RAT to a second cell associated with a second RAT different from the first RAT, the UE sends a first The TAU request is as described in connection with the first
在一些實例中,UE可以在1004處基於第一安全上下文和第一上行鏈路計數來推導第一映射安全上下文,如結合圖6的UE映射EPS安全上下文642描述的。在1004處的第一映射安全上下文的推導可以由圖11的裝置1104的UE安全處理部件198來執行。In some examples, the UE may derive a first mapped security context at 1004 based on the first security context and the first uplink count, as described in connection with UE mapped
在1006處,UE基於第一安全上下文、第一上行鏈路計數和第一映射安全上下文來推導第一完整性金鑰,如結合第一NAS完整性金鑰(NAS_IK1)描述的。例如,UE可以基於與第一TAU請求訊息610相關聯的5G金鑰(K
AMF)和5G NAS上行鏈路計數(例如,值五)來推導UE映射EPS安全上下文642的第一EPS金鑰(K
ASME’1)。隨後,UE可以從第一EPS金鑰(K
ASME’1)推導第一NAS完整性金鑰(NAS_IK1)。在1006處的第一完整性金鑰的推導可以由圖11的裝置1104的UE安全處理部件198來執行。
At 1006, the UE derives a first integrity key based on the first security context, the first uplink count, and the first mapped security context, as described in connection with the first NAS integrity key (NAS_IK1 ). For example, the UE may derive the first EPS key ( K ASME '1). Subsequently, the UE may derive a first NAS integrity key (NAS_IK1 ) from the first EPS key (K ASME '1). The derivation of the first integrity key at 1006 may be performed by the UE
在1008處,UE向第一網路實體發送第一TAU請求的重複,如結合圖6的第二TAU請求訊息670描述的。第一TAU請求的重複可以是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。例如,第一TAU請求可以是使用上行鏈路NAS計數值五進行完整性保護的,並且第二TAU請求可以是使用上行鏈路NAS計數值六進行完整性保護的。在1008處的第一TAU請求的重複的發送可以由圖11的裝置1104的UE安全處理部件198來執行。At 1008, the UE sends a repetition of the first TAU request to the first network entity, as described in connection with the second
在1010處,UE基於第一安全上下文、第二上行鏈路計數和第二映射安全上下文來推導第二完整性金鑰,如結合來自第二EPS金鑰(K
ASME’2)的第二NAS完整性金鑰(NAS_IK2)描述的。例如,UE可以基於與第二TAU請求訊息670相關聯的5G金鑰(K
AMF)和5G NAS上行鏈路計數(例如,六)來推導新的UE映射EPS安全上下文682的第二EPS金鑰(K
ASME’2)。隨後,UE可以從第二EPS金鑰(K
ASME’2)推導第二NAS完整性金鑰(NAS_IK2)。在1010處的第二完整性金鑰的推導可以由圖11的裝置1104的UE安全處理部件198來執行。
At 1010, the UE derives a second integrity key based on the first security context, the second uplink count and the second mapped security context, such as in combination with a second NAS from a second EPS key (K ASME '2) Integrity Key (NAS_IK2) described. For example, the UE may derive a second EPS key for the new UE-mapped
在1012處,UE從第一網路實體接收下行鏈路傳輸,如結合圖6的TAU接受訊息662描述的。在1012處的下行鏈路傳輸的接收可以由圖11的裝置1104的UE安全處理部件198來執行。At 1012, the UE receives a downlink transmission from the first network entity, as described in connection with the TAU accept
在1014處,UE使用第一完整性金鑰和第二完整性金鑰中的至少一項來對下行鏈路傳輸執行完整性檢查,如結合圖6的664描述的。在1014處的完整性檢查的執行可以由圖11的裝置1104的UE安全處理部件198來執行。At 1014, the UE performs an integrity check on the downlink transmission using at least one of the first integrity key and the second integrity key, as described in connection with 664 of FIG. 6 . The performance of the integrity check at 1014 may be performed by the UE
在1016處,當使用推導的完整性金鑰對下行鏈路傳輸的完整性檢查成功時,UE設置UE的主安全金鑰。主安全金鑰可以是基於用於成功地執行完整性檢查的相應的完整性金鑰來設置的。在1016處的主安全金鑰的設置可以由圖11的裝置1104的UE安全處理部件198來執行。At 1016, when the integrity check of the downlink transmission using the derived integrity key is successful, the UE sets the UE's master security key. The master security key may be set based on the corresponding integrity key used to successfully perform the integrity check. The setting of the master security key at 1016 may be performed by the UE
在一些實例中,UE可以在設置主安全金鑰之後丟棄與其他推導的完整性金鑰相關的資訊。例如,UE可以在1016處將主安全金鑰設置為第一映射安全上下文。在此類實例中,當使用第一完整性金鑰對下行鏈路傳輸的完整性檢查成功時,UE可以在1018處擦除第二映射安全上下文和使用第二映射安全上下文推導的任何金鑰。在1018處的第二映射安全上下文的擦除可以由圖11的裝置1104的UE安全處理部件198來執行。In some instances, the UE may discard information related to other derived integrity keys after setting the master security key. For example, the UE may set the master security key as the first mapped security context at 1016. In such instances, when the integrity check of the downlink transmission using the first integrity key succeeds, the UE may erase the second mapped security context and any keys derived using the second mapped security context at 1018 . The erasing of the second mapped security context at 1018 may be performed by the UE
在其他實例中,UE可以在1016處將主安全金鑰設置為第二映射安全上下文。在此類實例中,當使用第二完整性金鑰對下行鏈路傳輸的完整性檢查成功時,UE可以在1020處擦除第一映射安全上下文和使用第一映射安全上下文推導的任何金鑰。在1020處的第一映射安全上下文的擦除可以由圖11的裝置1104的UE安全處理部件198來執行。In other examples, the UE may set the master security key as the second mapped security context at 1016 . In such instances, when the integrity check of the downlink transmission using the second integrity key is successful, the UE may erase the first mapped security context and any keys derived using the first mapped security context at 1020 . The erasing of the first mapped security context at 1020 may be performed by the UE
圖11是示出針對裝置1104的硬體實現的實例的圖1100。裝置1104可以是UE、UE的部件,或者可以實現UE功能。在一些態樣中,裝置2304可以包括耦合到一或多個收發機(例如,蜂巢RF收發機1122)的蜂巢基頻處理器1124(亦被稱為數據機)。蜂巢基頻處理器1124可以包括片上記憶體1124’。在一些態樣中,裝置1104亦可以包括一或多個用戶身份模組(SIM)卡1120和耦合到安全數位(SD)卡1108和螢幕1110的應用處理器1106。應用處理器1106可以包括片上記憶體1106’。在一些態樣中,裝置1104亦可以包括藍芽模組1112、WLAN模組1114、SPS模組1116(例如,GNSS模組)、一或多個感測器模組1118(例如,氣壓感測器/高度計;運動感測器,諸如慣性管理單元(IMU)、陀螺儀及/或加速計);光探測和測距(LIDAR)、無線電輔助探測和測距(雷達)、聲音導航和測距(SONAR)、磁強計、音訊及/或用於定位的其他技術)、額外記憶體模組1126、電源1130及/或相機1132。藍芽模組1112、WLAN模組1114和SPS模組1116可以包括片上收發機(TRX)(或在一些情況下,僅包括接收器(RX))。藍芽模組1112、WLAN模組1114和SPS模組1116可以包括其自己的專用天線及/或利用一或多個天線1180進行通訊。蜂巢基頻處理器1124經由收發機(例如,蜂巢RF收發機1122)經由一或多個天線1180與UE 104及/或與網路實體1102相關聯的RU進行通訊。蜂巢基頻處理器1124和應用處理器1106可以各自分別包括電腦可讀取媒體/記憶體,諸如片上記憶體1124’和片上記憶體1106’。額外記憶體模組1126亦可以被視為電腦可讀取媒體/記憶體。每個電腦可讀取媒體/記憶體(例如,片上記憶體1124’、片上記憶體1106’及/或額外記憶體模組1126)可以是非暫時性的。蜂巢基頻處理器1124和應用處理器1106各自負責一般處理,包括執行儲存在電腦可讀取媒體/記憶體上的軟體。該軟體在由蜂巢基頻處理器1124/應用處理器1106執行時,使得蜂巢基頻處理器1124/應用處理器1106執行前述的各種功能。電腦可讀取媒體/記憶體亦可以用於儲存在執行軟體時由蜂巢基頻處理器1124/應用處理器1106操縱的資料。蜂巢基頻處理器1124/應用處理器1106可以是UE 350的部件,並且可以包括記憶體360及/或TX處理器368、RX處理器356和控制器/處理器3511中的至少一者。在一種配置中,裝置1104可以是處理器晶片(數據機及/或應用),並且僅包括蜂巢基頻處理器1124及/或應用處理器1106,並且在另一種配置中,裝置1104可以是整個UE(例如,參見圖3的350),並且包括裝置1104的額外模組。FIG. 11 is a diagram 1100 illustrating an example of a hardware implementation for an
如前述,UE安全處理部件198被配置為:向第一網路實體發送第一追蹤區域更新(TAU)請求,第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符;向第一網路實體發送第二TAU請求,第二TAU請求包括第一資訊集合,第二TAU請求是使用第二上行鏈路計數進行完整性保護的;基於第一安全上下文以及第一上行鏈路計數或第二上行鏈路計數中的至少一項來推導映射安全上下文;及基於映射安全上下文來與第一網路實體進行通訊。As mentioned above, the UE
在另一態樣中,UE安全處理部件198可以被配置為:當執行從與第一無線電存取技術(RAT)相關聯的第一細胞到連接到與不同於第一RAT的第二RAT相關聯的第二細胞的改變時,向第一網路實體發送第一追蹤區域更新(TAU)請求,第一網路實體與第二RAT相關聯,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,並且第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的;基於第一安全上下文、第一上行鏈路計數和第一映射安全上下文來推導第一完整性金鑰;向第一網路實體發送第一TAU請求的重複,第一TAU請求的重複是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的;基於第一安全上下文、第二上行鏈路計數和第二映射安全上下文來推導第二完整性金鑰;從第一網路實體接收下行鏈路傳輸;使用第一完整性金鑰和第二完整性金鑰中的至少一項來對下行鏈路傳輸執行完整性檢查;及當使用經推導的完整性金鑰對下行鏈路傳輸的完整性檢查成功時,設置UE的主安全金鑰,主安全金鑰是基於用於推導經推導的完整性金鑰的第一映射安全上下文或第二映射安全上下文來設置的。In another aspect, the UE security processing component 198 may be configured to: when performing a connection from a first cell associated with a first radio access technology (RAT) to a second RAT different from the first RAT When the associated second cell changes, a first Tracking Area Update (TAU) request is sent to the first network entity, the first network entity is associated with the second RAT, and the first TAU request is made using the and the first TAU request is integrity-protected using the first uplink count based on the first security context; based on the first security context, the first uplink count, and the first mapping security context to derive the first integrity key; send a repetition of the first TAU request to the first network entity, the repetition of the first TAU request is completed using a second uplink count different from the first uplink count permanently protected; derive a second integrity key based on the first security context, the second uplink count, and the second mapped security context; receive a downlink transmission from the first network entity; use the first integrity key and at least one of the second integrity key to perform an integrity check on the downlink transmission; and when the integrity check on the downlink transmission using the derived integrity key succeeds, setting the primary security of the UE The key, the master security key, is set based on either the first mapped security context or the second mapped security context used to derive the derived integrity key.
UE安全處理部件198可以在蜂巢基頻處理器1124內、在應用處理器1106內或者在蜂巢基頻處理器1124和應用處理器1106兩者內。UE安全處理部件可以是專門被配置為執行所述程序/演算法的一或多個硬體部件,由被配置為執行該程序/演算法的一或多個處理器來實現,儲存在電腦可讀取媒體內用於由一或多個處理器來實現,或其某種組合。UE
如圖所示,裝置1104可以包括被配置用於各種功能的各種部件。例如,UE安全處理部件可以包括執行圖7、圖8、圖9及/或圖10的流程圖中的演算法的每個方塊的一或多個硬體部件。As shown,
在一種配置中,裝置1104(具體而言,蜂巢基頻處理器1124及/或應用處理器1106)包括用於進行以下操作的單元:向第一網路實體發送第一追蹤區域更新(TAU)請求,第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符;向第一網路實體發送第二TAU請求,第二TAU請求包括第一資訊集合,第二TAU請求是使用第二上行鏈路計數進行完整性保護的;基於第一安全上下文以及第一上行鏈路計數或第二上行鏈路計數中的至少一項來推導映射安全上下文;及基於映射安全上下文來與第一網路實體進行通訊。In one configuration, the device 1104 (specifically, the
在另一配置中,實例裝置1104亦包括:用於在執行從與第一RAT相關聯的第一細胞到連接到與第二RAT相關聯的第二細胞的改變時發送第一TAU請求的單元,第二RAT不同於第一RAT,第一網路實體與第二RAT相關聯。In another configuration, the example means 1104 also includes means for sending a first TAU request when performing a change from a first cell associated with a first RAT to a connection to a second cell associated with a second RAT , the second RAT is different from the first RAT, and the first network entity is associated with the second RAT.
在另一配置中,第二TAU請求包括第一TAU請求的重複,並且第二上行鏈路計數具有與第一上行鏈路計數相同的值。In another configuration, the second TAU request includes a repetition of the first TAU request, and the second uplink count has the same value as the first uplink count.
在另一配置中,實例裝置1104亦包括用於基於無線電鏈路失敗的發生來發送第二TAU請求的單元。In another configuration, the
在另一配置中,映射安全上下文與第二RAT相關聯。In another configuration, the mapped security context is associated with the second RAT.
在另一配置中,第二上行鏈路計數不同於第一上行鏈路計數,並且映射安全上下文是第一映射安全上下文,並且實例裝置1104亦包括用於基於第一安全上下文和第一上行鏈路計數來推導第二映射安全上下文的單元,第二TAU請求是使用第一安全上下文進行編碼的並且使用第二上行鏈路計數進行完整性保護的,並且第一映射安全上下文是基於第一安全上下文和第二上行鏈路計數來推導的。In another configuration, the second uplink count is different from the first uplink count, and the mapped security context is the first mapped security context, and the example means 1104 also includes a way count to derive the unit of the second mapped security context, the second TAU request is encoded using the first security context and integrity protected using the second uplink count, and the first mapped security context is based on the first security context context and the second uplink count is derived.
在另一配置中,實例裝置1104亦包括用於進行以下操作的單元:基於推導第一映射安全上下文來將UE的安全上下文從第二映射安全上下文更新為第一映射安全上下文;及在更新UE的安全上下文之後,丟棄使用第二映射安全上下文進行完整性保護的掛起傳輸。In another configuration, the
在另一配置中,第二TAU請求包括第一TAU請求的重複。In another configuration, the second TAU request includes a repetition of the first TAU request.
在一種配置中,裝置1104(具體而言,蜂巢基頻處理器1124及/或應用處理器1106)包括用於進行以下操作的單元:當執行從與第一無線電存取技術(RAT)相關聯的第一細胞到連接到與不同於第一RAT的第二RAT相關聯的第二細胞的改變時,向第一網路實體發送第一追蹤區域更新(TAU)請求,第一網路實體與第二RAT相關聯,第一TAU請求是使用與第一RAT相關聯的第一安全上下文進行編碼的,並且第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的;基於第一安全上下文、第一上行鏈路計數和第一映射安全上下文來推導第一完整性金鑰;向第一網路實體發送第一TAU請求的重複,第一TAU請求的重複是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的;基於第一安全上下文、第二上行鏈路計數和第二映射安全上下文來推導第二完整性金鑰;從第一網路實體接收下行鏈路傳輸;使用第一完整性金鑰和第二完整性金鑰中的至少一項來對下行鏈路傳輸執行完整性檢查;及當使用經推導的完整性金鑰對下行鏈路傳輸的完整性檢查成功時,設置UE的主安全金鑰,主安全金鑰是基於用於推導經推導的完整性金鑰的第一映射安全上下文或第二映射安全上下文來設置的。In one configuration, the device 1104 (specifically, the cellular baseband processor 1124 and/or the applications processor 1106) includes means for: when executing When the first cell changes to a second cell associated with a second RAT different from the first RAT, a first tracking area update (TAU) request is sent to the first network entity, the first network entity communicates with A second RAT is associated, the first TAU request is encoded using a first security context associated with the first RAT, and the first TAU request is integrity protected using a first uplink count based on the first security context of; derive a first integrity key based on the first security context, the first uplink count, and the first mapped security context; send a repetition of the first TAU request to the first network entity, the repetition of the first TAU request is Integrity protected using a second uplink count different from the first uplink count; deriving a second integrity key based on the first security context, the second uplink count, and the second mapped security context; from The first network entity receives the downlink transmission; performs an integrity check on the downlink transmission using at least one of the first integrity key and the second integrity key; and when using the derived integrity key When the integrity check of the downlink transmission of the key pair is successful, the master security key of the UE is set, the master security key is based on the first mapping security context or the second mapping security context used to derive the derived integrity key set.
在另一配置中,實例裝置1104亦包括用於在使用第一完整性金鑰對下行鏈路傳輸的完整性檢查成功時,擦除第二映射安全上下文和使用第二映射安全上下文推導的任何金鑰的單元,其中主安全金鑰包括第一映射安全上下文。In another configuration, the example means 1104 also includes means for erasing the second mapped security context and any information derived using the second mapped security context when the integrity check of the downlink transmission using the first integrity key succeeds. A unit of keys, wherein the master security key includes a first mapped security context.
在另一配置中,實例裝置1104亦包括用於在使用第二完整性金鑰對下行鏈路傳輸的完整性檢查成功時,擦除第一映射安全上下文和使用第一映射安全上下文推導的任何金鑰的單元,其中主安全金鑰包括第二映射安全上下文。In another configuration, the example means 1104 also includes means for erasing the first mapped security context and any information derived using the first mapped security context when the integrity check of the downlink transmission using the second integrity key succeeds. A unit of keys, wherein the master security key includes a second mapped security context.
在另一配置中,實例裝置1104亦包括用於基於第一安全上下文和第一上行鏈路計數來推導第一映射安全上下文的單元。In another configuration, the
該單元可以是裝置1104的被配置為執行由該單元記載的功能的UE安全處理部件198。如前述,裝置1104可以包括TX處理器368、RX處理器356和控制器/處理器359。因此,在一種配置中,該單元可以是被配置為執行由該單元記載的功能的TX處理器368、RX處理器356及/或控制器/處理器359。The unit may be the UE
圖12是無線通訊的方法的流程圖1200。該方法可以由第一網路實體(例如,基地台102或基地台102的部件、MME 412、AMF 432、圖16的網路實體1602及/或圖17的網路實體1760)來執行。在包括RLF和TAU請求訊息的重傳的實例中,該方法可以經由改進第一細胞到第二細胞重選的安全處理來促進提高通訊效能。FIG. 12 is a
第一網路實體可以與UE和第二網路實體相通訊。在一些實例中,第一網路實體可以包括MME,諸如圖6的MME 606,並且第二網路實體可以包括AMF,諸如圖6的AMF 608。The first network entity can communicate with the UE and the second network entity. In some examples, the first network entity may include an MME, such as
在1202處,第一網路實體獲得由UE產生的第一TAU請求,如結合圖6的第一TAU請求訊息610描述的。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文(諸如圖6的5G安全上下文690)進行編碼的。第一TAU請求可以是基於第一安全上下文使用第一上行鏈路計數(諸如與第一TAU請求訊息610相關聯的5G NAS上行鏈路計數)來進行完整性保護的。第一TAU請求可以包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符,如結合圖6的映射EPS GUTI 612描述的。在1202處的第一TAU請求的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1202, the first network entity obtains a first TAU request generated by the UE, as described in connection with the first
在1204處,第一網路實體基於第一TAU請求來輸出針對第二網路實體的第一上下文請求,如結合圖6的上下文請求訊息622和AMF 608描述的。第二網路實體可以與第一RAT相關聯,例如AMF 608與5G網路609相關聯。在一些實例中,第一上下文請求可以包括映射到第二RAT的辨識符,諸如圖6的第一TAU請求訊息610的映射EPS GUTI 612。在一些實例中,第一TAU請求可以是使用第一上行鏈路計數進行完整性保護的。在1204處的第一上下文請求的輸出可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1204, the first network entity outputs a first context request for the second network entity based on the first TAU request, as described in connection with
在1206處,第一網路實體基於第一上下文請求來獲得第一映射安全上下文,如結合圖6的映射EPS安全上下文636描述的。第一映射安全上下文可以是從第一安全上下文和第一上行鏈路計數推導的。在1206處的第一映射安全上下文的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1206, the first networking entity obtains a first mapped security context based on the first context request, as described in connection with mapped
在1208處,第一網路實體獲得第二TAU請求,如結合圖6的第二TAU請求訊息670描述的。第二TAU請求可以是使用第一安全上下文進行編碼的。第二TAU請求可以是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。例如,第一TAU請求可以是使用上行鏈路NAS計數值五進行完整性保護的,並且第二TAU請求可以是使用上行鏈路NAS計數值六進行完整性保護的。第二TAU請求可以包括第一資訊集合,如結合圖6的映射EPS GUTI 612、NAS MAC 614和eKSI參數616描述的。在一些實例中,第二TAU請求可以包括第一TAU請求的重複。在1208處的第二TAU請求的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1208, the first network entity obtains a second TAU request, as described in connection with the second
在1210處,第一網路實體基於第二TAU請求來輸出針對第二網路實體的第二上下文請求,如結合圖6的第二上下文請求訊息674描述的。在1210處的第二上下文請求的輸出可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1210, the first network entity outputs a second context request for the second network entity based on the second TAU request, as described in connection with the second context request message 674 of FIG. 6 . The output of the second context request at 1210 may be performed by the network
在1212處,第一網路實體基於第二上下文請求來獲得第二映射安全上下文,第二映射安全上下文是從第一安全上下文和第二上行鏈路計數推導出的。獲得第二映射安全上下文的各態樣可以類似於獲得第一映射安全上下文,如結合圖6的映射EPS安全上下文636描述的。在1212處的第二映射安全上下文的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1212, the first network entity obtains a second mapped security context based on the second context request, the second mapped security context being derived from the first security context and the second uplink count. Aspects of obtaining the second mapped security context may be similar to obtaining the first mapped security context, as described in connection with mapped
在1214處,第一網路實體基於第二映射安全上下文來輸出下行鏈路訊息,如結合圖6的TAU接受訊息662描述的。在1214處的下行鏈路訊息的輸出可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1214, the first network entity outputs a downlink message based on the second mapped security context, as described in connection with TAU accept
圖13是無線通訊的方法的流程圖1300。該方法可以由第一網路實體(例如,基地台102或基地台102的部件、MME 412、AMF 432、圖16的網路實體1602及/或圖17的網路實體1760)來執行。在包括RLF和TAU請求訊息的重傳的實例中,該方法可以經由改進第一細胞到第二細胞重選的安全處理來促進提高通訊效能。FIG. 13 is a
第一網路實體可以與UE和第二網路實體相通訊。在一些實例中,第一網路實體可以包括MME,諸如圖6的MME 606,並且第二網路實體可以包括AMF,諸如圖6的AMF 608。The first network entity can communicate with the UE and the second network entity. In some examples, the first network entity may include an MME, such as
在1302處,第一網路實體獲得由UE產生的第一TAU請求,如結合圖6的第一TAU請求訊息610描述的。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文(諸如圖6的5G安全上下文690)進行編碼的。第一TAU請求可以是基於第一安全上下文使用第一上行鏈路計數(諸如與第一TAU請求訊息610相關聯的5G NAS上行鏈路計數)來進行完整性保護的。第一TAU請求可以包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符,如結合圖6的映射EPS GUTI 612描述的。在1302處的第一TAU請求的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1302, the first network entity obtains a first TAU request generated by the UE, as described in connection with the first
在一些實例中,在1304處,第一網路實體可以基於映射到第二RAT的辨識符來推導第二網路實體的位址,如結合圖6的620描述的。在1304處的第二網路實體的位址的推導可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。In some examples, at 1304, the first network entity may derive the address of the second network entity based on the identifier mapped to the second RAT, as described in connection with 620 of FIG. 6 . The derivation of the address of the second network entity at 1304 may be performed by the network
在1306處,第一網路實體基於第一TAU請求來輸出針對第二網路實體的第一上下文請求,如結合圖6的上下文請求訊息622和AMF 608描述的。第二網路實體可以與第一RAT相關聯,例如AMF 608與5G網路609相關聯。在一些實例中,第一上下文請求可以包括映射到第二RAT的辨識符,諸如圖6的第一TAU請求訊息610的映射EPS GUTI 612。在一些實例中,第一TAU請求可以是使用第一上行鏈路計數進行完整性保護的。在1306處的第一上下文請求的輸出可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1306, the first network entity outputs a first context request for the second network entity based on the first TAU request, as described in connection with
在1308處,第一網路實體基於第一上下文請求來獲得第一映射安全上下文,如結合圖6的映射EPS安全上下文636描述的。第一映射安全上下文可以是從第一安全上下文和第一上行鏈路計數推導的。在1308處的第一映射安全上下文的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1308, the first networking entity obtains a first mapped security context based on the first context request, as described in connection with mapped
在1310處,第一網路實體獲得第二TAU請求,如結合圖6的第二TAU請求訊息670描述的。第二TAU請求可以是使用第一安全上下文進行編碼的。第二TAU請求可以是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。例如,第一TAU請求可以是使用上行鏈路NAS計數值五進行完整性保護的,並且第二TAU請求可以是使用上行鏈路NAS計數值六進行完整性保護的。第二TAU請求可以包括第一資訊集合,如結合圖6的映射EPS GUTI 612、NAS MAC 614和eKSI參數616描述的。在一些實例中,第二TAU請求可以包括第一TAU請求的重複。在1310處的第二TAU請求的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1310, the first network entity obtains a second TAU request, as described in connection with the second
在1312處,第一網路實體基於第二TAU請求來輸出針對第二網路實體的第二上下文請求,如結合圖6的第二上下文請求訊息674描述的。在1312處的第二上下文請求的輸出可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1312, the first network entity outputs a second context request for the second network entity based on the second TAU request, as described in connection with the second context request message 674 of FIG. 6 . The output of the second context request at 1312 may be performed by the network
在1314處,第一網路實體基於第二上下文請求來獲得第二映射安全上下文,第二映射安全上下文是從第一安全上下文和第二上行鏈路計數推導出的。獲得第二映射安全上下文的各態樣可以類似於獲得第一映射安全上下文,如結合圖6的映射EPS安全上下文636描述的。在1314處的第二映射安全上下文的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1314, the first network entity obtains a second mapped security context based on the second context request, the second mapped security context being derived from the first security context and the second uplink count. Aspects of obtaining the second mapped security context may be similar to obtaining the first mapped security context, as described in connection with mapped
在1316處,第一網路實體基於第二映射安全上下文來輸出下行鏈路訊息,如結合圖6的TAU接受訊息662描述的。在1316處的下行鏈路訊息的輸出可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1316, the first network entity outputs a downlink message based on the second mapped security context, as described in connection with TAU accept
在一些實例中,在1318處,第一網路實體可以基於獲得第二映射安全上下文來將第一網路實體的安全上下文從第一映射安全上下文更新為第二映射安全上下文。在1318處的第一網路實體的安全上下文的更新可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。In some examples, at 1318, the first networking entity may update the security context of the first networking entity from the first mapped security context to the second mapped security context based on obtaining the second mapped security context. The updating of the security context of the first network entity at 1318 may be performed by the network
另外,在1320處,在更新第一網路實體的安全上下文之後,第一網路實體可以丟棄使用第一映射安全上下文進行完整性保護的掛起下行鏈路傳輸。在1320處的掛起下行鏈路傳輸的丟棄可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。Additionally, at 1320, after updating the security context of the first network entity, the first network entity may discard pending downlink transmissions that were integrity protected using the first mapped security context. The discarding of the pending downlink transmission at 1320 may be performed by the network
在一些實例中,第一網路實體可以在1316處輸出下行鏈路訊息之後並且在獲得回應於下行鏈路訊息的上行鏈路訊息之前,在1310處獲得具有相同資訊元素的第二TAU請求訊息。例如,第一網路實體可以在輸出TAU接受訊息662之後並且在獲得TAU完成訊息666之前獲得第二TAU請求訊息。In some examples, the first network entity may obtain a second TAU request message with the same information elements at 1310 after outputting the downlink message at 1316 and before obtaining an uplink message in response to the downlink message . For example, the first network entity may obtain the second TAU request message after outputting the TAU accept
在第一網路實體獲得第一TAU請求的一些實例中,在1302處,基於從N1模式到S1模式的非系統間改變,UE被配置為在單一註冊模式下操作,並且下行鏈路訊息包括TAU接受訊息,第一網路實體可以重新發送下行鏈路訊息。在一些實例中,當預期來自UE的TAU完成訊息(諸如圖6的TAU完成訊息666)時,第一網路實體可以重新開機T3450計時器。第一網路實體亦可以跳過遞增與T3450計時器相關的重傳計數器。In some instances where the first network entity obtains the first TAU request, at 1302, based on a non-intersystem change from N1 mode to S1 mode, the UE is configured to operate in single registration mode, and the downlink message includes The TAU accepts the message, and the first network entity can resend the downlink message. In some instances, the first network entity may restart the T3450 timer in anticipation of a TAU complete message from the UE, such as the TAU
在第一網路實體獲得第一TAU請求的一些實例中,在1302處,基於從N1模式到S1模式的系統間改變,UE被配置為在單一註冊模式下操作,並且下行鏈路訊息包括TAU接受訊息,第一網路實體可以發起與UE的認證程序。第一網路實體亦可以執行安全模式控制程序,以將新的部分本機EPS安全上下文轉換為當前完整本機EPS安全上下文。例如,第一網路實體可以與UE執行NAS SMC程序660,以將部分本機EPS安全上下文轉換為完整本機EPS安全上下文,以促進與UE傳送EPS NAS訊息。In some instances where the first network entity obtains the first TAU request, at 1302, based on an intersystem change from N1 mode to S1 mode, the UE is configured to operate in single registration mode and the downlink message includes the TAU Receiving the message, the first network entity may initiate an authentication procedure with the UE. The first network entity may also execute a security mode control program to convert the new partial native EPS security context into the current full native EPS security context. For example, the first network entity may execute the
在安全模式控制程序成功的一些實例中,第一網路實體可以輸出下行鏈路訊息重複,下行鏈路訊息重複是使用當前完整本機EPS安全上下文進行完整性保護的。當預期來自UE的TAU完成訊息(諸如圖6的TAU完成訊息666)時,第一網路實體亦可以重新開機T3450計時器。第一網路實體亦可以跳過遞增與T3450計時器相關的重傳計數器。In some instances where the security mode control procedure is successful, the first network entity may output a downlink message repetition that is integrity protected using the current full local EPS security context. The first network entity may also restart the T3450 timer when expecting a TAU complete message from the UE, such as the TAU
在第一網路實體在1302處基於從N1模式到S1模式的非系統間變化獲得第一TAU請求並且UE被配置為在單一註冊模式下操作的一些實例中,第一網路實體可以基於第二TAU請求來跳過TAU程序的發起。第一網路實體亦可以基於第一映射安全上下文來對下行鏈路訊息進行完整性保護。In some instances where the first network entity obtains the first TAU request based on a non-intersystem change from N1 mode to S1 mode at 1302 and the UE is configured to operate in single registration mode, the first network entity may base Two TAU requests to skip the initiation of the TAU procedure. The first network entity may also perform integrity protection on the downlink message based on the first mapped security context.
在第一網路實體在1302處基於從N1模式到S1模式的系統間變化獲得第一TAU請求並且UE被配置為在單一註冊模式下操作的一些實例中,第一網路實體可以決定發起第二TAU程序。例如,在1312處,第一網路實體可以向第二網路實體輸出第二上下文請求。第一網路實體亦可以基於第二映射安全上下文來對下行鏈路訊息進行完整性保護。In some instances where the first network entity obtains the first TAU request based on the intersystem change from N1 mode to S1 mode at 1302 and the UE is configured to operate in single registration mode, the first network entity may decide to initiate the first TAU request Two TAU programs. For example, at 1312, the first networking entity may output a second context request to the second networking entity. The first network entity may also perform integrity protection on the downlink message based on the second mapped security context.
在一些實例中,第一網路實體可能接收到TAU請求訊息,並且可能尚未發送TAU接受訊息或TAU拒絕訊息。若TAU請求訊息中的一或多個資訊元素不同,則可以中止基於第一TAU請求訊息發起的TAU程序並且基於第二TAU請求訊息發起的TAU程序進行(例如,可以繼續)。In some instances, the first network entity may have received a TAU request message, and may not have sent a TAU accept message or a TAU reject message. If one or more information elements in the TAU request messages are different, the TAU procedure initiated based on the first TAU request message may be terminated and the TAU procedure initiated based on the second TAU request message may proceed (eg, may continue).
若TAU請求訊息中的資訊元素相同(例如,沒有區別),則對於除了在UE在單一註冊模式下操作的情況下在閒置模式下從N1模式到S1模式的系統間改變之外的各態樣,第一網路實體可以繼續先前發起的TAU程序(例如,基於第一TAU請求訊息),並且丟棄第二TAU請求訊息。亦即,第一網路實體可以基於第二TAU請求訊息來避免向第二網路實體發送請求新的映射EPS安全上下文的第二上下文請求訊息。If the information elements in the TAU request message are the same (e.g., no difference), then for each aspect except the intersystem change from N1 mode to S1 mode in idle mode with the UE operating in single registration mode , the first network entity may continue the previously initiated TAU procedure (eg, based on the first TAU request message), and discard the second TAU request message. That is, the first network entity may avoid sending the second context request message requesting a new mapped EPS security context to the second network entity based on the second TAU request message.
對於在UE在單一註冊模式下操作的情況下在閒置模式下從N1模式到S1模式的系統間改變的各態樣,第一網路實體可以將新的TAU請求訊息轉發給第二網路實體(例如,經由另一上下文請求訊息),以執行完整性檢查並且獲得最新的映射EPS安全上下文,並且繼續先前的TAU程序。例如,第一網路實體可以將第二TAU請求訊息轉發給第二網路實體(例如,經由第二上下文請求訊息)。第二網路實體可以驗證第二TAU請求訊息。隨後,第二網路實體可以基於第二TAU請求訊息來產生新的映射EPS安全上下文。例如,新的映射EPS安全上下文可以是至少部分地基於與第二TAU請求訊息相關聯的5G NAS上行鏈路計數值(例如,六)的。因此,提供給第一網路實體的包括新的MME EPS金鑰(例如,K
ASME’_MME)的映射EPS安全上下文可以與包括新的UE EPS金鑰(K
ASME’_UE2)的新的UE映射EPS安全上下文相同。因此,當第一網路實體使用新的MME EPS金鑰(例如,K
ASME’_MME)來對後續NAS訊息(例如,TAU接受訊息)進行完整性保護時,UE可以對後續接收的NAS訊息(例如,TAU接受訊息)成功地執行完整性驗證。在一些實例中,UE可以基於新的映射EPS安全上下文的推導來將UE的安全上下文從映射EPS安全上下文642更新為新的UE映射EPS安全上下文。
For aspects of intersystem change from N1 mode to S1 mode in idle mode with UE operating in single registration mode, the first network entity may forward a new TAU request message to the second network entity (eg, via another context request message) to perform an integrity check and obtain the latest mapped EPS security context and continue with the previous TAU procedure. For example, the first network entity may forward the second TAU request message to the second network entity (eg, via the second context request message). The second network entity may verify the second TAU request message. Subsequently, the second network entity may generate a new mapped EPS security context based on the second TAU request message. For example, the new mapped EPS security context may be based at least in part on a 5G NAS uplink count value (eg, six) associated with the second TAU request message. Therefore, the mapped EPS security context provided to the first network entity including the new MME EPS key (eg K ASME'_MME ) can be mapped with the new UE including the new UE EPS key (K ASME'_UE2 ) EPS security context is the same. Therefore, when the first network entity uses the new MME EPS key (for example, K ASME '_MME) to perform integrity protection on the subsequent NAS message (for example, the TAU acceptance message), the UE can perform integrity protection on the subsequent received NAS message ( For example, TAU accepts message) successfully performs integrity verification. In some examples, the UE may update the UE's security context from the mapped
圖14是無線通訊的方法的流程圖1400。該方法可以由第二網路實體(例如,基地台102或基地台102的部件、MME 412、AMF 432、圖16的網路實體1602及/或圖17的網路實體1760)來執行。在包括RLF和TAU請求訊息的重傳的實例中,該方法可以經由改進第一細胞到第二細胞重選的安全處理來促進提高通訊效能。FIG. 14 is a
第二網路實體可以與第一網路實體相通訊。在一些實例中,第一網路實體可以包括MME,諸如圖6的MME 606,並且第二網路實體可以包括AMF,諸如圖6的AMF 608。The second network entity can communicate with the first network entity. In some examples, the first network entity may include an MME, such as
在1402處,第二網路實體獲得第一上下文請求,第一上下文請求至少包括由UE產生的第一TAU請求,如結合圖6的上下文請求訊息622描述的。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文(諸如圖6的5G安全上下文690)進行編碼的。第一TAU請求可以是基於第一安全上下文使用第一上行鏈路計數(諸如與第一TAU請求訊息610相關聯的5G NAS上行鏈路計數)來進行完整性保護的。第一RAT可以不同於與第一網路實體相關聯的第二RAT。例如,第一RAT可以對應於5G網路609,並且與第一網路實體相關聯的第二RAT可以對應於與圖6的MME 606相關聯的EPS網路607。在1402處的第一上下文請求的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1402, the second network entity obtains a first context request, the first context request includes at least the first TAU request generated by the UE, as described in connection with the
在1404處,當對第一TAU請求的第一完整性檢查成功時,第二網路實體推導第一映射安全上下文,如結合圖6的632、634和映射EPS安全上下文636描述的。在1404處的第一映射安全上下文的推導可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1404, when the first integrity check of the first TAU request is successful, the second network entity derives a first mapped security context, as described in connection with 632, 634 and mapped
在1406處,第二網路實體輸出針對第一網路實體的第一映射安全上下文,如結合圖6的映射EPS安全上下文636和上下文回應訊息638描述的。在1406處的第一映射安全上下文的輸出可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1406, the second network entity outputs the first mapped security context for the first network entity, as described in connection with mapped
在1408處,第二網路實體獲得第二上下文請求,第二上下文請求至少包括由UE產生的第二TAU請求,如結合圖6的包括TAU請求的第二上下文請求訊息674描述的。第二TAU請求可以是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。例如,第一TAU請求可以是使用上行鏈路NAS計數值五進行完整性保護的,並且第二TAU請求可以是使用上行鏈路NAS計數值六進行完整性保護的。在1408處的第二上下文請求的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1408, the second network entity obtains a second context request including at least a second TAU request generated by the UE, as described in connection with the second context request message 674 including the TAU request in FIG. 6 . The second TAU request may be integrity protected using a second uplink count different from the first uplink count. For example, a first TAU request may be integrity protected using an uplink NAS count value of five, and a second TAU request may be integrity protected using an uplink NAS count value of six. The obtaining of the second context request at 1408 may be performed by the network
在1410處,當對第二TAU請求的第二完整性檢查成功時,第二網路實體推導第二映射安全上下文。推導第二映射安全上下文的各態樣可以類似於匯出第一映射安全上下文,如結合圖6的632、634和映射EPS安全上下文636描述的。在1410處的第二映射安全上下文的推導可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1410, the second network entity derives a second mapped security context when the second integrity check on the second TAU request is successful. Aspects of deriving the second mapped security context may be similar to exporting the first mapped security context, as described in connection with 632 , 634 and mapped
在1412處,第二網路實體輸出針對第一網路實體的第二映射安全上下文。輸出第二映射安全上下文的各態樣可以類似於輸出第一映射安全上下文,如結合圖6的映射EPS安全上下文636和上下文回應訊息638描述的。在1412處的第二映射安全上下文的輸出可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1412, the second network entity outputs a second mapped security context for the first network entity. Aspects of outputting the second mapped security context may be similar to outputting the first mapped security context, as described in connection with mapped
圖15是無線通訊的方法的流程圖1500。該方法可以由第二網路實體(例如,基地台102或基地台102的部件、MME 412、AMF 432、圖16的網路實體1602及/或圖17的網路實體1760)來執行。在包括RLF和TAU請求訊息的重傳的實例中,該方法可以經由改進第一細胞到第二細胞重選的安全處理來促進提高通訊效能。FIG. 15 is a
第二網路實體可以與第一網路實體相通訊。在一些實例中,第一網路實體可以包括MME,諸如圖6的MME 606,並且第二網路實體可以包括AMF,諸如圖6的AMF 608。The second network entity can communicate with the first network entity. In some examples, the first network entity may include an MME, such as
在1502處,第二網路實體獲得第一上下文請求,第一上下文請求至少包括由UE產生的第一TAU請求,如結合圖6的上下文請求訊息622描述的。第一TAU請求可以是使用與第一RAT相關聯的第一安全上下文(諸如圖6的5G安全上下文690)進行編碼的。第一TAU請求可以是基於第一安全上下文使用第一上行鏈路計數(諸如與第一TAU請求訊息610相關聯的5G NAS上行鏈路計數)來進行完整性保護的。第一RAT可以不同於與第一網路實體相關聯的第二RAT。例如,第一RAT可以對應於5G網路609,並且與第一網路實體相關聯的第二RAT可以對應於與圖6的MME 606相關聯的EPS網路607。在1502處的第一上下文請求的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1502, the second network entity obtains a first context request, the first context request includes at least the first TAU request generated by the UE, as described in connection with the
在一些實例中,第一上下文請求亦可以包括映射到第二RAT的辨識符,諸如圖6的實例映射EPS GUTI 612。In some examples, the first context request may also include an identifier mapped to a second RAT, such as the example mapped
在1504處,當對第一TAU請求的第一完整性檢查成功時,第二網路實體推導第一映射安全上下文,如結合圖6的632、634和映射EPS安全上下文636描述的。在1504處的第一映射安全上下文的推導可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1504, when the first integrity check of the first TAU request is successful, the second network entity derives a first mapped security context, as described in connection with 632, 634 and mapped
在一些實例中,第二網路實體可以基於第一安全上下文來對第一TAU請求執行第一完整性檢查,如結合圖6的632和5G NAS安全上下文692描述的。In some examples, the second network entity may perform a first integrity check on the first TAU request based on the first security context, as described in connection with 632 and 5G
在1506處,第二網路實體輸出針對第一網路實體的第一映射安全上下文,如結合圖6的映射EPS安全上下文636和上下文回應訊息638描述的。在1506處的第一映射安全上下文的輸出可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1506, the second network entity outputs the first mapped security context for the first network entity, as described in connection with mapped
在一些實例中,在1508處,第二網路實體可以在發送第一映射安全上下文之後啟動計時器。在1508處的計時器的啟動可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。In some examples, at 1508, the second networking entity can start a timer after sending the first mapped security context. The starting of the timer at 1508 may be performed by the network
在一些實例中,在1510處,第二網路實體可以在計時器到期之後擦除第一映射安全上下文。在1510處的第一映射安全上下文的擦除可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。In some examples, at 1510, the second networking entity may erase the first mapped security context after expiration of a timer. The erasing of the first mapped security context at 1510 may be performed by the network
在1512處,第二網路實體獲得第二上下文請求,第二上下文請求至少包括由UE產生的第二TAU請求,如結合圖6的包括TAU請求的第二上下文請求訊息674描述的。第二TAU請求可以是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的。例如,第一TAU請求可以是使用上行鏈路NAS計數值五進行完整性保護的,並且第二TAU請求可以是使用上行鏈路NAS計數值六進行完整性保護的。在1512處的第二上下文請求的獲得可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1512, the second network entity obtains a second context request including at least a second TAU request generated by the UE, as described in connection with the second context request message 674 including the TAU request of FIG. 6 . The second TAU request may be integrity protected using a second uplink count different from the first uplink count. For example, a first TAU request may be integrity protected using an uplink NAS count value of five, and a second TAU request may be integrity protected using an uplink NAS count value of six. The obtaining of the second context request at 1512 may be performed by the network
在一些實例中,第二個TAU請求可以包括第一TAU請求的重複。In some instances, the second TAU request may include a repetition of the first TAU request.
在1514處,當對第二TAU請求的第二完整性檢查成功時,第二網路實體推導第二映射安全上下文。推導第二映射安全上下文的各態樣可以類似於匯出第一映射安全上下文,如結合圖6的632、634和映射EPS安全上下文636描述的。在1514處的第二映射安全上下文的推導可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1514, the second network entity derives a second mapped security context when the second integrity check on the second TAU request is successful. Aspects of deriving the second mapped security context may be similar to exporting the first mapped security context, as described in connection with 632 , 634 and mapped
在1516處,第二網路實體輸出針對第一網路實體的第二映射安全上下文。輸出第二映射安全上下文的各態樣可以類似於輸出第一映射安全上下文,如結合圖6的映射EPS安全上下文636和上下文回應訊息638描述的。在1516處的第二映射安全上下文的輸出可以由圖16的網路實體1602的網路安全處理部件199及/或圖17的網路實體1760的網路安全處理部件497來執行。At 1516, the second network entity outputs the second mapped security context for the first network entity. Aspects of outputting the second mapped security context may be similar to outputting the first mapped security context, as described in connection with mapped
圖16是示出針對網路實體1602的硬體實現的實例的圖1600。網路實體1602可以是BS、BS的部件,或者可以實現BS功能。網路實體1602可以包括CU 1610、DU 1630或RU 1640中的至少一者。例如,根據由網路安全處理部件199處理的層功能,網路實體1602可以包括CU 1610;CU 1610和DU 1630兩者;CU 1610、DU 1630和RU 1640中的每一者;DU 1630;DU 1630和RU 1640;或RU 1640。CU 1610可以包括CU處理器1612。CU處理器1612可以包括片上記憶體1612’。在一些態樣中,亦可以包括額外記憶體模組1614和通訊介面1618。CU 1610經由中程鏈路(諸如F1介面)與DU 1630進行通訊。DU 1630可以包括DU處理器1632。DU處理器1632可以包括片上記憶體1632’。在一些態樣中,DU 1630亦可以包括額外記憶體模組1634和通訊介面1638。DU 1630經由前程鏈路與RU 1640進行通訊。RU 1640可以包括RU處理器1642。RU處理器1642可以包括片上記憶體1642’。在一些態樣中,RU 1640亦可以包括額外記憶體模組1644、一或多個收發機1646、天線1680和通訊介面1648。RU 1640與UE 104進行通訊。片上記憶體(例如,片上記憶體1612’、片上記憶體1632’及/或片上記憶體1642’)及/或額外記憶體模組(例如,額外記憶體模組1614、額外記憶體模組1634及/或額外記憶體模組1644)可以各自被視為電腦可讀取媒體/記憶體。每個電腦可讀取媒體/記憶體可以是非暫時的。CU處理器1612、DU處理器1632、RU處理器1642中的每一者負責一般處理,包括執行儲存在電腦可讀取媒體/記憶體上的軟體。軟體在由對應的處理器執行時使得處理器執行上文描述的各種功能。電腦可讀取媒體/記憶體亦可以用於儲存在執行軟體時由處理器操縱的資料。FIG. 16 is a diagram 1600 illustrating an example of a hardware implementation for a
如前述,網路安全處理部件199被配置為:接收由使用者設備(UE)產生的第一追蹤區域更新(TAU)請求,第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符;基於第一TAU請求來輸出針對第二網路實體的第一上下文請求,第二網路實體與第一RAT相關聯;基於第一上下文請求來接收第一映射安全上下文,第一映射安全上下文是從第一安全上下文和第一上行鏈路計數推導出的;接收第二TAU請求,第二TAU請求是使用第一安全上下文進行編碼的,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的,並且第二TAU請求包括第一資訊集合;基於第二TAU請求來輸出針對第二網路實體的第二上下文請求;基於第二上下文請求來接收第二映射安全上下文,第二映射安全上下文是從第一安全上下文和第二上行鏈路計數推導出的;及基於第二映射安全上下文來發送下行鏈路訊息。As mentioned above, the network security processing component 199 is configured to: receive a first tracking area update (TAU) request generated by the user equipment (UE), the first TAU request is related to the first radio access technology (RAT) The first security context of the connection is encoded, the first TAU request is integrity protected using a first uplink count based on the first security context, and the first TAU request includes a first set of information, the first set of information includes Mapping to an identifier of a second RAT associated with the first network entity; outputting a first context request for the second network entity based on the first TAU request, the second network entity being associated with the first RAT; based on The first context request to receive a first mapped security context, the first mapped security context is derived from the first security context and the first uplink count; receive a second TAU request, the second TAU request is to use the first security context Encoded, the second TAU request is integrity protected using a second uplink count different from the first uplink count, and the second TAU request includes the first set of information; based on the second TAU request output for A second context request by a second network entity; receiving a second mapped security context based on the second context request, the second mapped security context being derived from the first security context and the second uplink count; and based on the second Map security context to send downlink messages.
在另一態樣中,網路安全處理部件199可以被配置為:接收第一上下文請求,第一上下文請求至少包括由使用者設備(UE)產生的第一追蹤區域更新(TAU)請求,第一TAU請求是使用第一上行鏈路計數進行完整性保護的,第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,第一RAT不同於與第一網路實體相關聯的第二RAT;當對第一TAU請求的第一完整性檢查成功時,推導第一映射安全上下文;輸出用於第一網路實體的第一映射安全上下文;接收第二上下文請求,第二上下文請求至少包括由UE產生的第二TAU請求,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的;當對第二TAU請求的第二完整性檢查成功時,推導第二映射安全上下文;及輸出用於第一網路實體的第二映射安全上下文。In another aspect, the network
網路安全處理部件199可以在CU 1610、DU 1630和RU 1640中的一者或多者的一或多個處理器內。網路安全處理部件199可以是專門被配置為執行所述程序/演算法的一或多個硬體部件,由被配置為執行所述程序/演算法的一或多個處理器來實現,儲存在電腦可讀取媒體內用於由一或多個處理器來實現,或其某種組合。Network
在一種配置中,網路實體1602可以是第一網路實體,並且包括用於進行以下操作的單元:獲得由使用者設備(UE)產生的第一追蹤區域更新(TAU)請求,第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符;基於第一TAU請求來輸出針對第二網路實體的第一上下文請求,第二網路實體與第一RAT相關聯;基於第一上下文請求來獲得第一映射安全上下文,第一映射安全上下文是從第一安全上下文和第一上行鏈路計數推導出的;獲得第二TAU請求,第二TAU請求是使用第一安全上下文進行編碼的,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的,並且第二TAU請求包括第一資訊集合;基於第二TAU請求來輸出針對第二網路實體的第二上下文請求;基於第二上下文請求來獲得第二映射安全上下文,第二映射安全上下文是從第一安全上下文和第二上行鏈路計數推導出的;及基於第二映射安全上下文來輸出下行鏈路訊息。In one configuration, the network entity 1602 may be a first network entity, and includes means for: obtaining a first tracking area update (TAU) request generated by a user equipment (UE), the first TAU The request is encoded using a first security context associated with a first radio access technology (RAT), the first TAU request is integrity protected using a first uplink count based on the first security context, and the first a TAU request including a first set of information including an identifier mapped to a second RAT associated with the first network entity; outputting a first context request for the second network entity based on the first TAU request , the second network entity is associated with the first RAT; based on the first context request to obtain a first mapped security context, the first mapped security context is derived from the first security context and the first uplink count; obtain the first Two TAU requests, the second TAU request is encoded using a first security context, the second TAU request is integrity protected using a second uplink count different from the first uplink count, and the second TAU request including a first set of information; outputting a second context request for a second network entity based on a second TAU request; obtaining a second mapped security context based on the second context request, the second mapped security context is obtained from the first security context and the second uplink count is derived; and outputting the downlink message based on the second mapped security context.
在另一配置中,第一上下文請求包括映射到第二RAT的辨識符,並且第一TAU請求是使用第一上行鏈路計數進行完整性保護的。In another configuration, the first context request includes an identifier mapped to the second RAT, and the first TAU request is integrity protected using the first uplink count.
在另一配置中,實例網路實體1602亦包括用於基於映射到第二RAT的辨識符來推導第二網路實體的位址的單元。In another configuration, the
在另一配置中,實例網路實體1602亦包括用於進行以下操作的單元:基於獲得第二映射安全上下文來將第一網路實體的安全上下文從第一映射安全上下文更新為第二映射安全上下文;及在更新第一網路實體的安全上下文之後,丟棄使用第一映射安全上下文進行完整性保護的掛起下行鏈路傳輸。In another configuration, the
在另一配置中,第二TAU請求包括第一TAU請求的重複。In another configuration, the second TAU request includes a repetition of the first TAU request.
在另一配置中,第一TAU請求是基於從N1模式到S1模式的非系統間改變來獲得的,UE被配置為在單一註冊模式下操作,並且下行鏈路訊息包括TAU接受訊息,並且實例網路實體1602亦包括用於重新發送下行鏈路訊息的單元。In another configuration, the first TAU request is obtained based on a non-intersystem change from N1 mode to S1 mode, the UE is configured to operate in single registration mode, and the downlink message includes a TAU accept message, and the instance The
在另一配置中,實例網路實體1602亦包括用於進行以下操作的單元:在預期來自UE的TAU完成訊息時重新開機T3450計時器;及跳過遞增與T3450計時器相關的重傳計數器。In another configuration, the
在另一種配置中,第一TAU請求是基於從N1模式到S1模式的系統間改變來獲得的,UE被配置為在單一註冊模式下操作,並且下行鏈路訊息包括TAU接受訊息,並且實例網路實體1602亦包括用於進行以下操作的單元:發起認證程序;及執行安全模式控制程序以轉換新的部分本機進化封包系統(EPS)安全性。In another configuration, the first TAU request is obtained based on an intersystem change from N1 mode to S1 mode, the UE is configured to operate in single registration mode, and the downlink message includes a TAU accept message, and the instance network The
在另一配置中,實例網路實體1602亦包括用於進行以下操作的單元:當安全模式控制程序成功時,輸出下行鏈路訊息重複,下行鏈路訊息重複是使用當前完整本機EPS安全上下文進行完整性保護的;當預期來自UE的TAU完成訊息時,重新開機T3450計時器;及跳過遞增與T3450計時器相關的重傳計數器。In another configuration, the
在另一配置中,第一TAU請求是基於從N1模式到S1模式的非系統間改變來獲得的,UE被配置為在單一註冊模式下操作,並且實例網路實體1602亦包括用於進行以下操作的單元:基於第二TAU請求來跳過TAU程序的發起;及基於第一映射安全上下文來對下行鏈路訊息進行完整性保護。In another configuration, the first TAU request is obtained based on a non-intersystem change from N1 mode to S1 mode, the UE is configured to operate in single registration mode, and the
在另一配置中,第一TAU請求是基於從N1模式到S1模式的系統間改變來獲得的,UE被配置為在單一註冊模式下操作,並且實例網路實體1602亦包括用於進行以下操作的單元:決定發起第二TAU程序,包括:將第二上下文請求輸出到第二網路實體;及基於第二映射安全上下文來對下行鏈路訊息進行完整性保護。In another configuration, the first TAU request is obtained based on an intersystem change from N1 mode to S1 mode, the UE is configured to operate in single registration mode, and the
在另一配置中,第一網路實體包括行動性管理實體(MME),並且第二網路實體包括存取和行動性管理功能單元(AMF)。In another configuration, the first network entity includes a mobility management entity (MME) and the second network entity includes an access and mobility management function (AMF).
在一種配置中,網路實體1602可以是第二網路實體,並且包括用於進行以下操作的單元:獲得第一上下文請求,第一上下文請求至少包括由使用者設備(UE)產生的第一追蹤區域更新(TAU)請求,第一TAU請求是使用第一上行鏈路計數進行完整性保護的,第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,第一RAT不同於與第一網路實體相關聯的第二RAT;當對第一TAU請求的第一完整性檢查成功時,推導第一映射安全上下文;輸出用於第一網路實體的第一映射安全上下文;獲得第二上下文請求,第二上下文請求至少包括由UE產生的第二TAU請求,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的;當對第二TAU請求的第二完整性檢查成功時,推導第二映射安全上下文;及輸出用於第一網路實體的第二映射安全上下文。In one configuration, the
在另一配置中,第一上下文請求亦包括映射到第二RAT的辨識符。In another configuration, the first context request also includes an identifier mapped to the second RAT.
在另一配置中,第二TAU請求包括第一TAU請求的重複。In another configuration, the second TAU request includes a repetition of the first TAU request.
在另一配置中,實例網路實體1602亦包括用於進行以下操作的單元:在輸出第一映射安全上下文之後啟動計時器;及在計時器到期之後擦除第一映射安全上下文。In another configuration, the
在另一配置中,實例網路實體1602亦包括用於基於第一安全上下文來對第一TAU請求執行第一完整性檢查的單元。In another configuration, the
在另一配置中,第一網路實體包括行動性管理實體(MME),並且第二網路實體包括存取和行動性管理功能單元(AMF)。In another configuration, the first network entity includes a mobility management entity (MME) and the second network entity includes an access and mobility management function (AMF).
該單元可以是網路實體1602的被配置為執行由該單元記載的功能的網路安全處理部件199。如前述,網路實體1602可以包括TX處理器316、RX處理器370和控制器/處理器375。因此,在一種配置中,該單元可以是被配置為執行由該單元記載的功能的TX處理器316、RX處理器370及/或控制器/處理器375。The element may be a network
圖17是示出針對網路實體1760的硬體實現的實例的圖1700。在一個實例中,網路實體1760可以位於核心網路120內。網路實體1760可以包括網路處理器1712。網路處理器1712可以包括片上記憶體1712’。在一些態樣中,網路實體1760亦可以包括額外記憶體模組1714。網路實體1760經由網路介面1780直接(例如,回載鏈路)或間接(例如,經由RIC)與CU 1702進行通訊。片上記憶體1712’和額外記憶體模組1714可以各自被視為電腦可讀取媒體/記憶體。每個電腦可讀取媒體/記憶體可以是非暫時的。網路處理器1712負責一般處理,包括執行儲存在電腦可讀取媒體/記憶體上的軟體。軟體在由對應的處理器執行時使得處理器執行上文描述的各種功能。電腦可讀取媒體/記憶體亦可以用於儲存在執行軟體時由處理器操縱的資料。FIG. 17 is a diagram 1700 illustrating an example of a hardware implementation for a
如前述,網路安全處理部件497被配置為:接收由使用者設備(UE)產生的第一追蹤區域更新(TAU)請求,第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符;基於第一TAU請求來輸出針對第二網路實體的第一上下文請求,第二網路實體與第一RAT相關聯;基於第一上下文請求來接收第一映射安全上下文,第一映射安全上下文是從第一安全上下文和第一上行鏈路計數推導出的;接收第二TAU請求,第二TAU請求是使用第一安全上下文進行編碼的,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的,並且第二TAU請求包括第一資訊集合;基於第二TAU請求來輸出針對第二網路實體的第二上下文請求;基於第二上下文請求來接收第二映射安全上下文,第二映射安全上下文是從第一安全上下文和第二上行鏈路計數推導出的;及基於第二映射安全上下文來發送下行鏈路訊息。As mentioned above, the network security processing component 497 is configured to: receive the first tracking area update (TAU) request generated by the user equipment (UE), the first TAU request is related to the first radio access technology (RAT) The first security context of the connection is encoded, the first TAU request is integrity protected using a first uplink count based on the first security context, and the first TAU request includes a first set of information, the first set of information includes Mapping to an identifier of a second RAT associated with the first network entity; outputting a first context request for the second network entity based on the first TAU request, the second network entity being associated with the first RAT; based on The first context request to receive a first mapped security context, the first mapped security context is derived from the first security context and the first uplink count; receive a second TAU request, the second TAU request is to use the first security context Encoded, the second TAU request is integrity protected using a second uplink count different from the first uplink count, and the second TAU request includes the first set of information; based on the second TAU request output for A second context request by a second network entity; receiving a second mapped security context based on the second context request, the second mapped security context being derived from the first security context and the second uplink count; and based on the second Map security context to send downlink messages.
在另一態樣中,網路安全處理部件497可以被配置為:接收第一上下文請求,第一上下文請求至少包括由使用者設備(UE)產生的第一追蹤區域更新(TAU)請求,第一TAU請求是使用第一上行鏈路計數進行完整性保護的,第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,第一RAT不同於與第一網路實體相關聯的第二RAT;當對第一TAU請求的第一完整性檢查成功時,推導第一映射安全上下文;輸出用於第一網路實體的第一映射安全上下文;接收第二上下文請求,第二上下文請求至少包括由UE產生的第二TAU請求,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的;當對第二TAU請求的第二完整性檢查成功時,推導第二映射安全上下文;及輸出用於第一網路實體的第二映射安全上下文。In another aspect, the network
網路安全處理部件497可以在網路處理器1712內。網路安全處理部件497可以是專門被配置為執行所述程序/演算法的一或多個硬體部件,由被配置為執行所述程序/演算法的一或多個處理器來實現,儲存在電腦可讀取媒體內用於由一或多個處理器來實現,或其某種組合。網路實體1760可以包括被配置用於各種功能的各種部件。The network
在一種配置中,網路實體1760可以是第一網路實體,並且包括用於進行以下操作的單元:獲得由使用者設備(UE)產生的第一追蹤區域更新(TAU)請求,第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,第一TAU請求是基於第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且第一TAU請求包括第一資訊集合,第一資訊集合包括映射到與第一網路實體相關聯的第二RAT的辨識符;基於第一TAU請求來輸出針對第二網路實體的第一上下文請求,第二網路實體與第一RAT相關聯;基於第一上下文請求來獲得第一映射安全上下文,第一映射安全上下文是從第一安全上下文和第一上行鏈路計數推導出的;獲得第二TAU請求,第二TAU請求是使用第一安全上下文進行編碼的,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的,並且第二TAU請求包括第一資訊集合;基於第二TAU請求來輸出針對第二網路實體的第二上下文請求;基於第二上下文請求來獲得第二映射安全上下文,第二映射安全上下文是從第一安全上下文和第二上行鏈路計數推導出的;及基於第二映射安全上下文來輸出下行鏈路訊息。In one configuration, the network entity 1760 may be a first network entity, and includes means for: obtaining a first tracking area update (TAU) request generated by a user equipment (UE), the first TAU The request is encoded using a first security context associated with a first radio access technology (RAT), the first TAU request is integrity protected using a first uplink count based on the first security context, and the first a TAU request including a first set of information including an identifier mapped to a second RAT associated with the first network entity; outputting a first context request for the second network entity based on the first TAU request , the second network entity is associated with the first RAT; based on the first context request to obtain a first mapped security context, the first mapped security context is derived from the first security context and the first uplink count; obtain the first Two TAU requests, the second TAU request is encoded using a first security context, the second TAU request is integrity protected using a second uplink count different from the first uplink count, and the second TAU request including a first set of information; outputting a second context request for a second network entity based on a second TAU request; obtaining a second mapped security context based on the second context request, the second mapped security context is obtained from the first security context and the second uplink count is derived; and outputting the downlink message based on the second mapped security context.
在另一配置中,第一上下文請求包括映射到第二RAT的辨識符,並且第一TAU請求是使用第一上行鏈路計數進行完整性保護的。In another configuration, the first context request includes an identifier mapped to the second RAT, and the first TAU request is integrity protected using the first uplink count.
在另一配置中,實例網路實體1760亦包括用於基於映射到第二RAT的辨識符來推導第二網路實體的位址的單元。In another configuration, the
在另一配置中,實例網路實體1760亦包括用於進行以下操作的單元:基於獲得第二映射安全上下文來將第一網路實體的安全上下文從第一映射安全上下文更新為第二映射安全上下文;及在更新第一網路實體的安全上下文之後,丟棄使用第一映射安全上下文進行完整性保護的掛起下行鏈路傳輸。In another configuration, the
在另一配置中,第二TAU請求包括第一TAU請求的重複。In another configuration, the second TAU request includes a repetition of the first TAU request.
在另一配置中,第一TAU請求是基於從N1模式到S1模式的非系統間改變來獲得的,UE被配置為在單一註冊模式下操作,並且下行鏈路訊息包括TAU接受訊息,並且實例網路實體1760亦包括用於重新發送下行鏈路訊息的單元。In another configuration, the first TAU request is obtained based on a non-intersystem change from N1 mode to S1 mode, the UE is configured to operate in single registration mode, and the downlink message includes a TAU accept message, and the
在另一配置中,實例網路實體1760亦包括用於進行以下操作的單元:在預期來自UE的TAU完成訊息時重新開機T3450計時器;及跳過遞增與T3450計時器相關的重傳計數器。In another configuration, the
在另一種配置中,第一TAU請求是基於從N1模式到S1模式的系統間改變來獲得的,UE被配置為在單一註冊模式下操作,並且下行鏈路訊息包括TAU接受訊息,並且實例網路實體1760亦包括用於進行以下操作的單元:發起認證程序;及執行安全模式控制程序以轉換新的部分本機進化封包系統(EPS)安全性。In another configuration, the first TAU request is obtained based on an intersystem change from N1 mode to S1 mode, the UE is configured to operate in single registration mode, and the downlink message includes a TAU accept message, and the instance network The
在另一配置中,實例網路實體1760亦包括用於進行以下操作的單元:當安全模式控制程序成功時,輸出下行鏈路訊息重複,下行鏈路訊息重複是使用當前完整本機EPS安全上下文進行完整性保護的;當預期來自UE的TAU完成訊息時,重新開機T3450計時器;及跳過遞增與T3450計時器相關的重傳計數器。In another configuration, the
在另一配置中,第一TAU請求是基於從N1模式到S1模式的非系統間改變來獲得的,UE被配置為在單一註冊模式下操作,並且實例網路實體1760亦包括用於進行以下操作的單元:基於第二TAU請求來跳過TAU程序的發起;及基於第一映射安全上下文來對下行鏈路訊息進行完整性保護。In another configuration, the first TAU request is obtained based on a non-intersystem change from N1 mode to S1 mode, the UE is configured to operate in single registration mode, and the
在另一配置中,第一TAU請求是基於從N1模式到S1模式的系統間改變來獲得的,UE被配置為在單一註冊模式下操作,並且實例網路實體1760亦包括用於進行以下操作的單元:決定發起第二TAU程序,包括:將第二上下文請求輸出到第二網路實體;及基於第二映射安全上下文來對下行鏈路訊息進行完整性保護。In another configuration, the first TAU request is obtained based on an intersystem change from N1 mode to S1 mode, the UE is configured to operate in single registration mode, and the
在另一配置中,第一網路實體包括行動性管理實體(MME),並且第二網路實體包括存取和行動性管理功能單元(AMF)。In another configuration, the first network entity includes a mobility management entity (MME) and the second network entity includes an access and mobility management function (AMF).
在一種配置中,網路實體1760可以是第二網路實體,並且包括用於進行以下操作的單元:獲得第一上下文請求,第一上下文請求至少包括由使用者設備(UE)產生的第一追蹤區域更新(TAU)請求,第一TAU請求是使用第一上行鏈路計數進行完整性保護的,第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,第一RAT不同於與第一網路實體相關聯的第二RAT;當對第一TAU請求的第一完整性檢查成功時,推導第一映射安全上下文;輸出用於第一網路實體的第一映射安全上下文;獲得第二上下文請求,第二上下文請求至少包括由UE產生的第二TAU請求,第二TAU請求是使用不同於第一上行鏈路計數的第二上行鏈路計數進行完整性保護的;當對第二TAU請求的第二完整性檢查成功時,推導第二映射安全上下文;及輸出用於第一網路實體的第二映射安全上下文。In one configuration, the
在另一配置中,第一上下文請求亦包括映射到第二RAT的辨識符。In another configuration, the first context request also includes an identifier mapped to the second RAT.
在另一配置中,第二TAU請求包括第一TAU請求的重複。In another configuration, the second TAU request includes a repetition of the first TAU request.
在另一配置中,實例網路實體1760亦包括用於進行以下操作的單元:在輸出第一映射安全上下文之後啟動計時器;及在計時器到期之後擦除第一映射安全上下文。In another configuration, the
在另一配置中,實例網路實體1760亦包括用於基於第一安全上下文來對第一TAU請求執行第一完整性檢查的單元。In another configuration, the
在另一配置中,第一網路實體包括行動性管理實體(MME),並且第二網路實體包括存取和行動性管理功能單元(AMF)。In another configuration, the first network entity includes a mobility management entity (MME) and the second network entity includes an access and mobility management function (AMF).
該單元可以是網路實體1760的被配置為執行由該單元記載的功能的網路安全處理部件497。如前述,網路實體1760可以包括網路處理器1712。因此,在一種配置中,該單元可以是被配置為執行由該單元記載的功能的網路處理器1712。The element may be a network
本文揭示的實例提供了用於移除TAU請求訊息的重複的處理中的不一致性的技術,如前述。例如,所揭示的技術可以經由修改網路如何處理TAU請求訊息的重複來移除不一致性。另外或替代地,所揭示的技術可以經由修改UE如何對TAU請求訊息進行完整性保護來移除不一致性。另外,所揭示的技術可以經由修改UE如何執行訊息的完整性驗證來移除不一致性。Examples disclosed herein provide techniques for removing inconsistencies in the processing of duplicates of TAU request messages, as described above. For example, the disclosed techniques can remove inconsistencies by modifying how the network handles repetitions of TAU request messages. Additionally or alternatively, the disclosed techniques may remove inconsistencies by modifying how UEs integrity protect TAU request messages. Additionally, the disclosed techniques can remove inconsistencies by modifying how UEs perform integrity verification of messages.
應理解的是,所揭示的程序/流程圖中的方塊的特定次序或層次是對實例方法的說明。應理解的是,基於設計偏好,可以重新排列程序/流程圖中的方塊的特定次序或層次。此外,可以合併或省略一些方塊。所附的方法請求項以實例次序提供了各個方塊的元素,而並不限於所提供的特定次序或層次。It is understood that the specific order or hierarchy of blocks in the disclosed procedures/flow diagrams is an illustration of example approaches. Based upon design preferences, it is understood that the specific order or hierarchy of blocks in the procedures/flow diagrams may be rearranged. Also, some blocks may be combined or omitted. The accompanying method claims present elements of the various blocks in an example order, and are not limited to the specific order or hierarchy presented.
提供前面的描述以使得本發明所屬領域中任何具有通常知識者能夠實施本文描述的各個態樣。對這些態樣的各種修改對於本領域技藝人士而言將是顯而易見的,以及本文所定義的通用原理可以應用到其他態樣。因此,請求項並不限於本文描述的各態樣,而是被賦予與文字請求項相一致的全部範疇,除非明確地聲明如此,否則提及單數形式的元素並不意指「一個且僅一個」,而是「一或多個」。諸如「若」、「當……時」和「在……的同時」之類的術語不意味著直接的時間關係或反應。亦即,這些短語(例如,「當……時」)並不意味著回應於動作的發生或在該動作發生期間的立即動作,而僅意味著若滿足條件,則該動作將發生,但不要求針對該動作發生的特定或立即的時間約束。本文使用詞語「示例性的」以意味著「用作實例、例子或說明」。本文中被描述為「示例性的」任何態樣不一定被解釋為優選於其他態樣或者比其他態樣有優勢。除非另有明確聲明,否則術語「一些」代表一或多個。諸如「A、B或C中的至少一個」、「A、B或C中的一或多個」、「A、B和C中的至少一個」、「A、B和C中的一或多個」、以及「A、B、C或其任何組合」之類的組合包括A、B及/或C的任何組合,並且可以包括多倍的A、多倍的B或多倍的C。具體地,諸如「A、B或C中的至少一個」、「A、B、或C中的一或多個」、「A、B和C中的至少一個」、「A、B和C中的一或多個」、以及「A、B、C或其任何組合」之類的組合可以是僅A、僅B、僅C、A和B、A和C、B和C、或A和B和C,其中任何此類組合可以包含A、B或C中的一或多個成員或數個成員。集合應當被解釋為元素集合,其中元素數量為一或多個。因此,對於X的集合,X將包括一或多個元素。若第一裝置從第二裝置接收資料或向第二裝置發送資料,則可以在第一裝置和第二裝置之間直接接收/發送資料,或者經由裝置集合在第一裝置和第二裝置之間間接接收/發送資料。貫穿本案內容描述的各個態樣的元素的所有的結構和功能均等物以引用方式明確地併入本文中,以及由請求項包含,這些結構和功能均等物對於本發明所屬領域中具有普通技術者是已知或者是稍後將知的。此外,本文中沒有任何揭示的內容是奉獻給公眾的,不管此類揭示內容是否明確被記載在請求項中。詞語「模組」、「機制」、「元素」、「設備」等等可以不是詞語「單元」的替代。因而,沒有請求項元素要被解釋為單元加功能,除非該元素是明確地使用短語「用於……的單元」來記載的。The preceding description is provided to enable any person having ordinary knowledge in the art to which the invention pertains to practice the various aspects described herein. Various modifications to these aspects will be readily apparent to those skilled in the art, and the generic principles defined herein may be applied to other aspects. Accordingly, the claims are not limited to the aspects described herein, but are given the full scope consistent with the literal claims, and reference to an element in the singular does not mean "one and only one" unless expressly so stated. , but "one or more". Terms such as "if", "when" and "at the same time" do not imply a direct temporal relationship or response. That is, these phrases (e.g., "when") do not imply immediate action in response to or during the occurrence of the action, but only that the action will occur if the conditions are met, but No specific or immediate time constraint is required for this action to occur. The word "exemplary" is used herein to mean "serving as an example, instance, or illustration." Any aspect described herein as "exemplary" is not necessarily to be construed as preferred or advantageous over other aspects. Unless expressly stated otherwise, the term "some" means one or more. Such as "at least one of A, B or C", "one or more of A, B or C", "at least one of A, B and C", "one or more of A, B and C ", and "A, B, C, or any combination thereof" include any combination of A, B, and/or C, and may include multiples of A, multiples of B, or multiples of C. Specifically, such as "at least one of A, B, or C", "one or more of A, B, or C", "at least one of A, B, and C", "among A, B, and C Combinations such as "one or more of", and "A, B, C or any combination thereof" may be only A, only B, only C, A and B, A and C, B and C, or A and B and C, wherein any such combination may comprise one or more members or several members of A, B or C. A collection shall be interpreted as a collection of elements, where the number of elements is one or more. Thus, for a set of X, X will consist of one or more elements. If the first device receives data from the second device or sends data to the second device, the data can be received/sent directly between the first device and the second device, or between the first device and the second device via device aggregation Receive/send data indirectly. All structural and functional equivalents to the elements of the various aspects described throughout this disclosure are expressly incorporated herein by reference, and encompassed by the claims, which are known to those of ordinary skill in the art to which this invention pertains is known or will be known later. Furthermore, no disclosure herein is dedicated to the public, whether or not such disclosure is expressly recited in the claims. The words "module", "mechanism", "element", "device", etc. may not be substituted for the word "unit". Thus, no claim element is to be construed as means-plus-function unless the element is explicitly recited using the phrase "means for".
如本文所使用的,短語「基於」不應當被解釋為對封閉資訊集合、一或多個條件、一或多個因素等的引用。換句話說,除非另有明確說明,否則短語「基於A」(其中「A」可以是資訊、條件、因素等)應當被解釋為「至少基於A」。As used herein, the phrase "based on" should not be interpreted as a reference to a closed set of information, one or more conditions, one or more factors, or the like. In other words, the phrase "based on A" (where "A" can be information, conditions, factors, etc.) should be construed as "based at least on A" unless expressly stated otherwise.
以下態樣僅是說明性的,並且可以與本文描述的其他態樣或教導相結合,但不限於此。The following aspects are illustrative only and may be combined with other aspects or teachings described herein, but are not limited thereto.
態樣1是一種UE處的無線通訊的方法,包括:向第一網路實體發送第一追蹤區域更新(TAU)請求,該第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,該第一TAU請求是基於該第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且該第一TAU請求包括第一資訊集合,該第一資訊集合包括映射到與該第一網路實體相關聯的第二RAT的辨識符;向該第一網路實體發送第二TAU請求,該第二TAU請求包括該第一資訊集合,該第二TAU請求是使用第二上行鏈路計數進行完整性保護的;基於該第一安全上下文以及該第一上行鏈路計數或該第二上行鏈路計數中的至少一項來推導映射安全上下文;及基於該映射安全上下文來與該第一網路實體進行通訊。
態樣2是根據態樣1之方法,亦包括:當執行從與該第一RAT相關聯的第一細胞到連接到與該第二RAT相關聯的第二細胞的改變時發送該第一TAU請求,該第二RAT不同於該第一RAT,該第一網路實體與該第二RAT相關聯。
態樣3是根據態樣1和2中任一項所述的方法,亦包括:該第二TAU請求包括該第一TAU請求的重複,並且該第二上行鏈路計數是與該第一上行鏈路計數相同的值。
態樣4是根據態樣1到3中任一項所述的方法,亦包括:基於無線電鏈路失敗的發生來發送該第二TAU請求。
態樣5是根據態樣1和2中任一項所述的方法,亦包括:該映射安全上下文與該第二RAT相關聯。
態樣6是根據態樣1和2中任一項所述的方法,亦包括:該第二上行鏈路計數不同於該第一上行鏈路計數,並且該映射安全上下文是第一映射安全上下文,該方法亦包括:基於該第一安全上下文和該第一上行鏈路計數來推導第二映射安全上下文,該第二TAU請求是使用該第一安全上下文進行編碼的並且使用該第二上行鏈路計數進行完整性保護的,該第一映射安全上下文是基於該第一安全上下文和該第二上行鏈路計數來推導的。
態樣7是根據態樣1和6中任一項所述的方法,亦包括:基於推導該第一映射安全上下文來將該UE的安全上下文從該第二映射安全上下文更新為該第一映射安全上下文;及在更新該UE的安全上下文之後,丟棄使用該第二映射安全上下文進行完整性保護的掛起傳輸。
態樣8是根據態樣1、6和7中任一項所述的方法,亦包括:該第二TAU請求包括該第一TAU請求的重複。
態樣9是一種用於UE處的無線通訊的裝置,包括:至少一個處理器,其耦合到記憶體並且被配置為實現態樣1到8中任一項。
在態樣10中,根據態樣9之裝置亦包括:耦合到該至少一個處理器的至少一個天線。In
在態樣11中,根據態樣9或10之裝置亦包括:耦合到該至少一個處理器的收發機。In
態樣12是一種用於無線通訊的裝置,包括用於實現態樣1到8中任一項的單元。
在態樣13中,根據態樣12之裝置亦包括:至少一個天線,其耦合到用於執行根據態樣1到8中任一項所述的方法的單元。In
在態樣14中,根據態樣12或13之裝置亦包括:收發機,其耦合到用於執行根據態樣1到8中任一項所述的方法的單元。In aspect 14, the apparatus according to
態樣15是一種儲存電腦可執行代碼的非暫時性電腦可讀取儲存媒體,其中該代碼在被執行時使得處理器實現態樣1到8中任一項。Aspect 15 is a non-transitory computer-readable storage medium storing computer-executable code, wherein the code, when executed, causes a processor to implement any one of aspects 1-8.
態樣16是一種UE處的無線通訊的方法,包括:當執行從與第一無線電存取技術(RAT)相關聯的第一細胞到連接到與不同於該第一RAT的第二RAT相關聯的第二細胞的改變時,向第一網路實體發送第一追蹤區域更新(TAU)請求,該第一網路實體與該第二RAT相關聯,該第一TAU請求是使用與該第一RAT相關聯的第一安全上下文進行編碼的,並且該第一TAU請求是基於該第一安全上下文來使用第一上行鏈路計數進行完整性保護的;基於該第一安全上下文、該第一上行鏈路計數和第一映射安全上下文來推導第一完整性金鑰;向該第一網路實體發送該第一TAU請求的重複,該第一TAU請求的該重複是使用不同於該第一上行鏈路計數的第二上行鏈路計數進行完整性保護的;基於該第一安全上下文、該第二上行鏈路計數和第二映射安全上下文來推導第二完整性金鑰;從該第一網路實體接收下行鏈路傳輸;使用該第一完整性金鑰和該第二完整性金鑰中的至少一項來對該下行鏈路傳輸執行完整性檢查;及當使用經推導的完整性金鑰對該下行鏈路傳輸的該完整性檢查成功時,設置該UE的主安全金鑰,該主安全金鑰是基於用於推導該經推導的完整性金鑰的該第一映射安全上下文或該第二映射安全上下文來設置的。Aspect 16 is a method of wireless communication at a UE, comprising: when performing a connection from a first cell associated with a first radio access technology (RAT) to a cell associated with a second RAT different from the first RAT When the second cell of the RAT changes, a first Tracking Area Update (TAU) request is sent to the first network entity associated with the second RAT, the first TAU request using the The first security context associated with the RAT is encoded, and the first TAU request is integrity protected using the first uplink count based on the first security context; based on the first security context, the first uplink link count and the first mapped security context to derive a first integrity key; send a repetition of the first TAU request to the first network entity, the repetition of the first TAU request is using a method different from the first uplink A second uplink count of the link count is integrity protected; a second integrity key is derived based on the first security context, the second uplink count, and a second mapped security context; from the first network A road entity receives a downlink transmission; uses at least one of the first integrity key and the second integrity key to perform an integrity check on the downlink transmission; and when using the derived integrity key When the integrity check of the downlink transmission is successful, the UE's master security key is set, the master security key is based on the first mapping security context used to derive the derived integrity key or The second mapping security context is set.
態樣17是根據態樣16之方法,亦包括:當使用該第一完整性金鑰對該下行鏈路傳輸的該完整性檢查成功時,擦除該第二映射安全上下文和使用該第二映射安全上下文推導的任何金鑰,其中該主安全金鑰包括該第一映射安全上下文。
態樣18是根據態樣16之方法,亦包括:當使用該第二完整性金鑰對該下行鏈路傳輸的該完整性檢查成功時,擦除該第一映射安全上下文和使用該第一映射安全上下文推導的任何金鑰,其中該主安全金鑰包括該第二映射安全上下文。Aspect 18 is the method according to aspect 16, further comprising: when the integrity check of the downlink transmission using the second integrity key succeeds, erasing the first mapped security context and using the first any key derived from the mapping security context, wherein the master security key includes the second mapping security context.
態樣19是根據態樣16到18中任一項所述的方法,亦包括:基於該第一安全上下文和該第一上行鏈路計數來推導該第一映射安全上下文。Aspect 19 is the method according to any one of aspects 16 to 18, further comprising: deriving the first mapped security context based on the first security context and the first uplink count.
態樣20是一種用於UE處的無線通訊的裝置,包括:至少一個處理器,其耦合到記憶體並且被配置為實現態樣16到19中任一項。Aspect 20 is an apparatus for wireless communication at a UE, comprising: at least one processor coupled to a memory and configured to implement any one of aspects 16-19.
在態樣21中,根據態樣20之裝置亦包括:耦合到該至少一個處理器的至少一個天線。In aspect 21, the apparatus according to aspect 20 also includes at least one antenna coupled to the at least one processor.
在態樣22中,根據態樣20或21之裝置亦包括:耦合到該至少一個處理器的收發機。In aspect 22, the apparatus according to aspect 20 or 21 also includes: a transceiver coupled to the at least one processor.
態樣23是一種用於無線通訊的裝置,包括用於實現態樣16到19中任一項的單元。Aspect 23 is a device for wireless communication, including a unit for realizing any one of aspects 16 to 19.
在態樣24中,根據態樣23之裝置亦包括:至少一個天線,其耦合到用於執行根據態樣16到19中任一項所述的方法的單元。In aspect 24, the apparatus according to aspect 23 also comprises at least one antenna coupled to the means for performing the method according to any one of aspects 16-19.
在態樣25中,根據態樣23或24之裝置亦包括:收發機,其耦合到用於執行根據態樣16到19中任一項所述的方法的單元。In aspect 25, the apparatus according to aspect 23 or 24 also comprises a transceiver coupled to the means for performing the method according to any one of aspects 16-19.
態樣26是一種儲存電腦可執行代碼的非暫時性電腦可讀取儲存媒體,其中該代碼在被執行時使得處理器實現態樣16到19中任一項。Aspect 26 is a non-transitory computer-readable storage medium storing computer-executable code, wherein the code, when executed, causes a processor to implement any of aspects 16-19.
態樣27是一種第一網路實體處的無線通訊的方法,包括:獲得由使用者設備(UE)產生的第一追蹤區域更新(TAU)請求,該第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,該第一TAU請求是基於該第一安全上下文來使用第一上行鏈路計數進行完整性保護的,並且該第一TAU請求包括第一資訊集合,該第一資訊集合包括映射到與該第一網路實體相關聯的第二RAT的辨識符;基於該第一TAU請求來輸出針對第二網路實體的第一上下文請求,該第二網路實體與該第一RAT相關聯;基於該第一上下文請求來獲得第一映射安全上下文,該第一映射安全上下文是從該第一安全上下文和該第一上行鏈路計數推導出的;獲得第二TAU請求,該第二TAU請求是使用該第一安全上下文進行編碼的,該第二TAU請求是使用不同於該第一上行鏈路計數的第二上行鏈路計數進行完整性保護的,並且該第二TAU請求包括該第一資訊集合;基於該第二TAU請求來輸出針對該第二網路實體的第二上下文請求;基於該第二上下文請求來獲得第二映射安全上下文,該第二映射安全上下文是從該第一安全上下文和該第二上行鏈路計數推導出的;及基於該第二映射安全上下文來輸出下行鏈路訊息。Aspect 27 is a method of wireless communication at a first network entity, comprising: obtaining a first tracking area update (TAU) request generated by a user equipment (UE), the first TAU request using a first radio The first security context associated with the access technology (RAT), the first TAU request is based on the first security context to use the first uplink count for integrity protection, and the first TAU request includes a first set of information including an identifier mapped to a second RAT associated with the first network entity; outputting a first context request for the second network entity based on the first TAU request, the second network entity is associated with the first RAT; obtaining a first mapped security context based on the first context request, the first mapped security context derived from the first security context and the first uplink count out; obtain a second TAU request, the second TAU request is encoded using the first security context, the second TAU request is completed using a second uplink count different from the first uplink count protected, and the second TAU request includes the first set of information; output a second context request for the second network entity based on the second TAU request; obtain a second mapping security based on the second context request context, the second mapped security context is derived from the first security context and the second uplink count; and outputting downlink messages based on the second mapped security context.
態樣28是根據態樣27之方法,亦包括:該第一上下文請求包括映射到該第二RAT的該辨識符,並且該第一TAU請求是使用該第一上行鏈路計數進行完整性保護的。Aspect 28 is the method according to aspect 27, further comprising: the first context request includes the identifier mapped to the second RAT, and the first TAU request is integrity protected using the first uplink count of.
態樣29是根據態樣27和28中任一項所述的方法,亦包括:基於映射到該第二RAT的該辨識符來推導該第二網路實體的位址。Aspect 29 is the method according to any one of aspects 27 and 28, further comprising: deriving an address of the second network entity based on the identifier mapped to the second RAT.
態樣30是根據態樣27到29中任一項所述的方法,亦包括:基於獲得該第二映射安全上下文來將該第一網路實體的安全上下文從該第一映射安全上下文更新為該第二映射安全上下文;及在更新該第一網路實體的該安全上下文之後,丟棄使用該第一映射安全上下文進行完整性保護的掛起下行鏈路傳輸。Aspect 30 is the method according to any one of aspects 27 to 29, further comprising: updating the security context of the first network entity from the first mapped security context to the second mapped security context; and discarding pending downlink transmissions using the first mapped security context for integrity protection after updating the security context of the first network entity.
態樣31是根據態樣27到30中任一項所述的方法,亦包括:該第二TAU請求包括該第一TAU請求的重複。Aspect 31 is the method according to any one of aspects 27 to 30, further comprising: the second TAU request includes a repetition of the first TAU request.
態樣32是根據態樣27到31中任一項所述的方法,亦包括:該第一TAU請求是基於從N1模式到S1模式的非系統間改變來獲得的,該UE被配置為在單一註冊模式下操作,並且該下行鏈路訊息包括TAU接受訊息,並且該方法亦包括:重新發送該下行鏈路訊息。Aspect 32 is the method according to any one of aspects 27 to 31, and also includes: the first TAU request is obtained based on a non-intersystem change from N1 mode to S1 mode, and the UE is configured to Operates in a single registration mode, and the downlink message includes a TAU accept message, and the method also includes: resending the downlink message.
態樣33是根據態樣27到32中任一項所述的方法,亦包括:在預期來自該UE的TAU完成訊息時重新開機T3450計時器;及跳過遞增與該T3450計時器相關的重傳計數器。Aspect 33 is the method according to any one of aspects 27 to 32, further comprising: restarting a T3450 timer in anticipation of a TAU complete message from the UE; and skip incrementing a restart associated with the T3450 timer pass counter.
態樣34是根據態樣27到31中任一項所述的方法,亦包括:該第一TAU請求是基於從N1模式到S1模式的系統間改變來獲得的,該UE被配置為在單一註冊模式下操作,並且該下行鏈路訊息包括TAU接受訊息,並且該方法亦包括:發起認證程序;及執行安全模式控制程序以將新的部分本機進化封包系統(EPS)安全上下文轉換為當前完整本機EPS安全上下文。Aspect 34 is the method according to any one of aspects 27 to 31, and also includes: the first TAU request is obtained based on an intersystem change from N1 mode to S1 mode, and the UE is configured to operate in a single operating in registration mode, and the downlink message includes a TAU accept message, and the method also includes: initiating an authentication procedure; and executing a security mode control procedure to convert the new partial native Evolved Packet System (EPS) security context to the current Full native EPS security context.
態樣35是根據態樣27和34中任一項所述的方法,亦包括:當該安全模式控制程序成功時,輸出下行鏈路訊息重複,該下行鏈路訊息重複是使用該當前完整本機EPS安全上下文進行完整性保護的;當預期來自該UE的TAU完成訊息時,重新開機T3450計時器;及跳過遞增與該T3450計時器相關的重傳計數器。Aspect 35 is the method according to any one of aspects 27 and 34, further comprising: when the security mode control procedure is successful, outputting a downlink message repetition, the downlink message repetition using the current full version Integrity protection of the UE's EPS security context; restarting a T3450 timer when expecting a TAU completion message from the UE; and skip incrementing a retransmission counter associated with the T3450 timer.
態樣36是根據態樣27到31中任一項所述的方法,亦包括:該第一TAU請求是基於從N1模式到S1模式的非系統間改變來獲得的,該UE被配置為在單一註冊模式下操作,並且該方法亦包括:基於該第二TAU請求來跳過TAU程序的發起;及基於該第一映射安全上下文來對該下行鏈路訊息進行完整性保護。Aspect 36 is the method according to any one of aspects 27 to 31, further comprising: the first TAU request is obtained based on a non-intersystem change from N1 mode to S1 mode, and the UE is configured to Operating in a single registration mode, and the method also includes: skipping initiation of a TAU procedure based on the second TAU request; and integrity protecting the downlink message based on the first mapped security context.
態樣37是根據態樣27到31中任一項所述的方法,亦包括:該第一TAU請求是基於從N1模式到S1模式的系統間改變來獲得的,該UE被配置為在單一註冊模式下操作,並且該方法亦包括:決定發起第二TAU程序,包括:將該第二上下文請求輸出到該第二網路實體;及基於該第二映射安全上下文來對該下行鏈路訊息進行完整性保護。Aspect 37 is the method according to any one of aspects 27 to 31, and also includes: the first TAU request is obtained based on an inter-system change from N1 mode to S1 mode, and the UE is configured to operate in a single operating in a registration mode, and the method also includes: deciding to initiate a second TAU procedure, including: outputting the second context request to the second network entity; and sending the downlink message based on the second mapped security context Integrity protection.
態樣38是根據態樣27到37中任一項所述的方法,亦包括:該第一網路實體包括行動性管理實體(MME),並且該第二網路實體包括存取和行動性管理功能單元(AMF)。Aspect 38 is the method of any one of aspects 27 to 37, further comprising: the first network entity includes a mobility management entity (MME), and the second network entity includes an access and mobility Administrative Function Unit (AMF).
態樣39是一種用於UE處的無線通訊的裝置,包括:至少一個處理器,其耦合到記憶體並且被配置為實現態樣27到38中任一項。Aspect 39 is an apparatus for wireless communication at a UE, comprising: at least one processor coupled to a memory and configured to implement any one of aspects 27 to 38.
在態樣40中,根據態樣39之裝置亦包括:耦合到該至少一個處理器的至少一個天線。In aspect 40, the apparatus according to aspect 39 also includes at least one antenna coupled to the at least one processor.
在態樣41中,根據態樣39或40之裝置亦包括:耦合到該至少一個處理器的收發機。In aspect 41, the apparatus according to aspect 39 or 40 also includes: a transceiver coupled to the at least one processor.
態樣42是一種用於無線通訊的裝置,包括用於實現態樣27到38中任一項的單元。Aspect 42 is a device for wireless communication, including a unit for realizing any one of aspects 27 to 38.
在態樣43中,根據態樣42之裝置亦包括:至少一個天線,其耦合到用於執行根據態樣27到38中任一項所述的方法的單元。In aspect 43, the apparatus according to aspect 42 also comprises at least one antenna coupled to the means for performing the method according to any one of aspects 27-38.
在態樣44中,根據態樣42或43之裝置亦包括:收發機,其耦合到用於執行根據態樣27到38中任一項所述的方法的單元。In aspect 44, the apparatus according to aspect 42 or 43 also comprises a transceiver coupled to the means for performing the method according to any one of aspects 27-38.
態樣45是一種儲存電腦可執行代碼的非暫時性電腦可讀取儲存媒體,其中該代碼在被執行時使得處理器實現態樣27到38中任一項。Aspect 45 is a non-transitory computer-readable storage medium storing computer-executable code, wherein the code, when executed, causes a processor to implement any of aspects 27-38.
態樣46是一種第二網路實體處的無線通訊的方法,包括:獲得第一上下文請求,該第一上下文請求至少包括由使用者設備(UE)產生的第一追蹤區域更新(TAU)請求,該第一TAU請求是使用第一上行鏈路計數進行完整性保護的,該第一TAU請求是使用與第一無線電存取技術(RAT)相關聯的第一安全上下文進行編碼的,該第一RAT不同於與第一網路實體相關聯的第二RAT;當對該第一TAU請求的第一完整性檢查成功時,推導第一映射安全上下文;輸出用於該第一網路實體的該第一映射安全上下文;獲得第二上下文請求,該第二上下文請求至少包括由該UE產生的第二TAU請求,該第二TAU請求是使用不同於該第一上行鏈路計數的第二上行鏈路計數進行完整性保護的;當對該第二TAU請求的第二完整性檢查成功時,推導第二映射安全上下文;及輸出用於該第一網路實體的該第二映射安全上下文。Aspect 46 is a method of wireless communication at a second network entity, comprising: obtaining a first context request, the first context request including at least a first tracking area update (TAU) request generated by a user equipment (UE) , the first TAU request is integrity protected using a first uplink count, the first TAU request is encoded using a first security context associated with a first radio access technology (RAT), the first TAU request A RAT is different from a second RAT associated with the first network entity; when a first integrity check of the first TAU request is successful, deriving a first mapped security context; outputting a security context for the first network entity The first mapping security context; obtaining a second context request, the second context request including at least a second TAU request generated by the UE, the second TAU request using a second uplink different from the first uplink count link count integrity protected; deriving a second mapped security context when the second integrity check of the second TAU request is successful; and outputting the second mapped security context for the first network entity.
態樣47是根據態樣46之方法,亦包括:該第一上下文請求亦包括映射到該第二RAT的辨識符。Aspect 47 is the method according to aspect 46, further comprising: the first context request also includes an identifier mapped to the second RAT.
態樣48是根據態樣46和47中任一項所述的方法,亦包括:該第二TAU請求包括該第一TAU請求的重複。Aspect 48 is the method according to any one of aspects 46 and 47, further comprising: the second TAU request includes a repetition of the first TAU request.
態樣49是根據態樣46到48中任一項所述的方法,亦包括:在輸出該第一映射安全上下文之後啟動計時器;及在該計時器到期之後擦除該第一映射安全上下文。Aspect 49 is the method of any one of aspects 46 to 48, further comprising: starting a timer after outputting the first mapped security context; and erasing the first mapped security context after the timer expires. context.
態樣50是根據態樣46到49中任一項所述的方法,亦包括:基於該第一安全上下文來對該第一TAU請求執行該第一完整性檢查。Aspect 50 is the method of any one of aspects 46 to 49, further comprising: performing the first integrity check on the first TAU request based on the first security context.
態樣51是根據態樣46到50中任一項所述的方法,亦包括:該第一網路實體包括行動性管理實體(MME),並且該第二網路實體包括存取和行動性管理功能單元(AMF)。Aspect 51 is the method of any one of aspects 46 to 50, further comprising the first network entity comprising a mobility management entity (MME), and the second network entity comprising an access and mobility Administrative Function Unit (AMF).
態樣52是一種用於UE處的無線通訊的裝置,包括:至少一個處理器,其耦合到記憶體並且被配置為實現態樣46到51中任一項。Aspect 52 is an apparatus for wireless communication at a UE, comprising: at least one processor coupled to a memory and configured to implement any one of aspects 46 to 51 .
在態樣53中,根據態樣52之裝置亦包括:耦合到該至少一個處理器的至少一個天線。In aspect 53, the apparatus according to aspect 52 also includes at least one antenna coupled to the at least one processor.
在態樣54中,根據態樣52或53之裝置亦包括:耦合到該至少一個處理器的收發機。In aspect 54, the apparatus according to aspect 52 or 53 also includes: a transceiver coupled to the at least one processor.
態樣55是一種用於無線通訊的裝置,包括用於實現態樣46到51中任一項的單元。Aspect 55 is a device for wireless communication, including a unit for realizing any one of aspects 46 to 51.
在態樣56中,根據態樣55之裝置亦包括:至少一個天線,其耦合到用於執行根據態樣46到51中任一項所述的方法的單元。In aspect 56, the apparatus according to aspect 55 also comprises at least one antenna coupled to the means for performing the method according to any one of aspects 46-51.
在態樣57中,根據態樣55或56之裝置亦包括:收發機,其耦合到用於執行根據態樣46到51中任一項所述的方法的單元。In aspect 57, the apparatus according to aspect 55 or 56 also includes a transceiver coupled to the means for performing the method according to any one of aspects 46-51.
態樣58是一種儲存電腦可執行代碼的非暫時性電腦可讀取儲存媒體,其中該代碼在被執行時使得處理器實現態樣46到51中任一項。Aspect 58 is a non-transitory computer-readable storage medium storing computer-executable code, wherein the code, when executed, causes a processor to implement any of aspects 46-51.
100:圖 102:基地台 104:UE 105:SMO框架 110:中央或集中式單元(CU) 111:開放eNB(O-eNB) 115:非RT RIC 120:核心網路 125:近RT RIC 130:分散式單元(DU) 140:無線電單元(RU) 150:Wi-Fi AP 154:通訊鏈路 158:D2D通訊鏈路 161:存取和行動性管理功能單元(AMF) 162:通信期管理功能單元(SMF) 163:使用者平面功能單元(UPF) 164:統一資料管理(UDM) 165:閘道行動位置中心(GMLC) 166:位置管理功能單元(LMF) 168:位置伺服器 182:波束成形訊號 184:波束成形訊號 190:開放雲端 198:UE安全處理部件 199:網路安全處理部件 200:示意圖 230:示意圖 250:示意圖 280:示意圖 310:基地台 316:TX處理器 318Rx:接收器 318Tx:發射器 320:天線 350:UE 352:天線 354Rx:接收器 354Tx:發射器 356:RX處理器 358:通道估計器 359:控制器/處理器 360:記憶體 368:TX處理器 370:RX處理器 374:通道估計器 375:控制器/處理器 376:記憶體 400:無線通訊系統和存取網路 402a:第一網路節點 402b:第二網路節點 404:UE 406:地理覆蓋區域 408:通訊鏈路 410:進化封包核心 412:行動性管理實體(MME) 414:MME 416:服務閘道 418:多媒體廣播多播服務(MBMS)閘道 420:廣播多播服務中心(BM-SC) 422:封包資料網路(PDN)閘道 424:歸屬用戶伺服器 426:IP服務 430:核心網路 432:存取和行動性管理功能單元(AMF) 434:AMF 436:通信期管理功能單元(SMF) 438:使用者平面功能單元(UPF) 440:統一資料管理單元(UDM) 442:IP服務 452:第一回載鏈路 454:第二回載鏈路 456:第三回載鏈路 497:網路安全處理部件 500:第一安全上下文 502:主安全金鑰 504:KSI 506:UE安全能力 508:上行鏈路NAS計數 510:下行鏈路NAS計數 520:第二安全上下文 522:5G金鑰 524:5G KSI 526:5G UE安全能力 528:5G上行鏈路NAS計數 530:5G下行鏈路NAS計數 540:第三安全上下文 542:EPS金鑰 544:EPS KSI 546:EPS UE安全能力 548:EPS上行鏈路NAS計數 550:EPS下行鏈路NAS計 600:實例通訊流 602:網路節點 604:UE 606:MME 607:EPS網路 608:AMF 609:5G網路 610:第一TAU請求訊息 612:映射EPS GUTI 613:臨時行動訂制辨識符(TMSI) 614:NAS-MAC 616:eKSI參數 618:程序 620:程序 622:上下文請求訊息 630:程序 632:程序 634:程序 636:映射EPS安全上下文 638:上下文回應訊息 640:程序 642:UE映射EPS安全上下文 650:程序 660:NAS SMC程序 662:TAU接受訊息 664:程序 666:TAU完成訊息 670:第二TAU請求訊息 672:程序 674:程序 680:程序 682:程序 684:程序 690:程序 692:程序 694:程序 700:流程圖 702:方塊 704:方塊 706:方塊 708:方塊 800:流程圖 802:方塊 804:方塊 806:方塊 808:方塊 810:方塊 812:方塊 814:方塊 900:流程圖 902:方塊 904:方塊 906:方塊 908:方塊 910:方塊 912:方塊 914:方塊 1000:流程圖 1002:方塊 1004:方塊 1006:方塊 1008:方塊 1010:方塊 1012:方塊 1014:方塊 1016:方塊 1018:方塊 1020:方塊 1100:圖 1102:網路實體 1104:裝置 1106:應用處理器 1106':片上記憶體 1108:安全數位(SD)卡 1110:螢幕 1112:藍芽模組 1114:WLAN模組 1116:SPS模組 1118:感測器模組 1120:用戶身份模組(SIM)卡 1122:蜂巢RF收發機 1124:蜂巢基頻處理器 1124':片上記憶體 1126:記憶體模組 1130:電源 1132:相機 1180:天線 1200:流程圖 1202:方塊 1204:方塊 1206:方塊 1208:方塊 1210:方塊 1212:方塊 1214:方塊 1300:流程圖 1302:方塊 1304:方塊 1306:方塊 1308:方塊 1310:方塊 1312:方塊 1314:方塊 1316:方塊 1318:方塊 1320:方塊 1400:流程圖 1402:方塊 1404:方塊 1406:方塊 1408:方塊 1410:方塊 1412:方塊 1500:流程圖 1502:方塊 1504:方塊 1506:方塊 1508:方塊 1510:方塊 1512:方塊 1514:方塊 1516:方塊 1600:圖 1602:網路實體 1610:CU 1612:CU處理器 1612':片上記憶體 1614:額外記憶體模組 1618:通訊介面 1630:DU 1632:DU處理器 1632':片上記憶體 1634:記憶體模組 1638:通訊介面 1640:RU 1642:RU處理器 1642':片上記憶體 1644:記憶體模組 1646:收發機 1648:通訊介面 1680:天線 1700:圖 1702:中央或集中式單元(CU) 1712:網路處理器 1712':片上記憶體 1714:記憶體模組 1760:網路實體 1780:網路介面 A1:介面 E2:介面 F1:介面 O1:介面 O2:介面 100: figure 102: base station 104:UE 105: SMO framework 110: Central or Centralized Unit (CU) 111: Open eNB (O-eNB) 115: Non-RT RIC 120: Core network 125:near RT RIC 130: Distributed Unit (DU) 140: Radio Unit (RU) 150:Wi-Fi AP 154: Communication link 158: D2D communication link 161: Access and Mobility Management Function (AMF) 162: Communication Period Management Function Unit (SMF) 163: User Plane Function Unit (UPF) 164: Unified Data Management (UDM) 165: Gateway Operations Location Center (GMLC) 166: Location Management Function Unit (LMF) 168:Position server 182: Beamforming signal 184: Beamforming signal 190:Open Cloud 198: UE security processing component 199:Network security processing unit 200: Schematic diagram 230: schematic diagram 250: Schematic diagram 280: Schematic diagram 310: base station 316:TX processor 318Rx: Receiver 318Tx: Transmitter 320: Antenna 350:UE 352: Antenna 354Rx: Receiver 354Tx: Transmitter 356: RX processor 358: Channel Estimator 359: Controller/Processor 360: Memory 368:TX processor 370: RX processor 374: Channel Estimator 375: Controller/Processor 376: memory 400: Wireless communication system and access network 402a: the first network node 402b: second network node 404:UE 406: Geographic coverage area 408: Communication link 410: Evolution Packet Core 412: Mobility Management Entity (MME) 414: MME 416: Service Gateway 418: Multimedia Broadcast Multicast Service (MBMS) Gateway 420: Broadcast Multicast Service Center (BM-SC) 422: Packet Data Network (PDN) Gateway 424: Belonging to user server 426: IP service 430: core network 432: Access and Mobility Management Function (AMF) 434:AMF 436: Communication Period Management Function Unit (SMF) 438: User Plane Function Unit (UPF) 440: Unified Data Management Unit (UDM) 442: IP service 452: The first backload link 454: The second backload link 456: The third return link 497:Network security processing unit 500: First Security Context 502: Master security key 504: KSI 506: UE Security Capabilities 508: Uplink NAS count 510: Downlink NAS count 520: Second security context 522:5G key 524:5G KSI 526: 5G UE Security Capabilities 528: 5G uplink NAS count 530: 5G downlink NAS count 540: The third security context 542: EPS key 544: EPS KSI 546:EPS UE security capability 548: EPS uplink NAS count 550: EPS downlink NAS meter 600: instance communication flow 602: Network node 604:UE 606: MME 607: EPS network 608:AMF 609: 5G network 610: The first TAU request message 612:Mapping EPS GUTI 613:Temporary Mobile Subscription Identifier (TMSI) 614:NAS-MAC 616: eKSI parameters 618: procedure 620: procedure 622: Context Request Message 630: procedure 632: program 634: program 636: Map EPS security context 638: Context response message 640: program 642: UE maps EPS security context 650: program 660:NAS SMC program 662: TAU accepts the message 664: program 666: TAU completion message 670: The second TAU request message 672: procedure 674: program 680: procedure 682: procedure 684: procedure 690: procedure 692: procedure 694: program 700: Flowchart 702: block 704: block 706: cube 708: cube 800: flow chart 802: block 804: block 806: cube 808: cube 810: block 812: cube 814: cube 900: flow chart 902: block 904: block 906: block 908: block 910: block 912: cube 914: block 1000: flow chart 1002: block 1004: block 1006: block 1008: block 1010: block 1012: block 1014: block 1016: block 1018: block 1020: block 1100: Figure 1102: network entity 1104: device 1106: application processor 1106': On-chip memory 1108: Secure Digital (SD) card 1110: screen 1112:Bluetooth module 1114: WLAN module 1116:SPS module 1118: Sensor module 1120: Subscriber Identity Module (SIM) card 1122: Cellular RF Transceiver 1124: Honeycomb baseband processor 1124': On-chip memory 1126:Memory module 1130: power supply 1132: camera 1180:antenna 1200: flow chart 1202: block 1204: block 1206: block 1208: block 1210: block 1212: block 1214: block 1300: flow chart 1302: block 1304: block 1306: cube 1308: cube 1310: block 1312: block 1314: block 1316: block 1318: block 1320: block 1400: flow chart 1402: block 1404: block 1406: cube 1408: cube 1410: block 1412: cube 1500: Flowchart 1502: block 1504: block 1506: block 1508: cube 1510: block 1512: block 1514: block 1516: block 1600: Figure 1602: Network entity 1610:CU 1612: CU processor 1612': On-chip memory 1614:Extra Memory Module 1618: communication interface 1630:DU 1632: DU processor 1632': On-chip memory 1634:Memory module 1638: communication interface 1640:RU 1642: RU processor 1642': On-chip memory 1644:Memory module 1646: Transceiver 1648: communication interface 1680: Antenna 1700: Figure 1702: Central or Centralized Unit (CU) 1712: network processor 1712': On-chip memory 1714: Memory module 1760: Network entity 1780: Network interface A1: Interface E2: interface F1: interface O1: interface O2: interface
圖1是示出無線通訊系統和存取網路的實例的圖。FIG. 1 is a diagram showing an example of a wireless communication system and an access network.
圖2A是示出根據本案內容的各個態樣的第一訊框的實例的圖。FIG. 2A is a diagram illustrating an example of a first frame according to various aspects of the present disclosure.
圖2B是示出根據本案內容的各個態樣的子訊框內的DL通道的實例的圖。2B is a diagram illustrating an example of DL channels within a subframe according to various aspects of the present disclosure.
圖2C是示出根據本案內容的各個態樣的第二訊框的實例的圖。FIG. 2C is a diagram illustrating an example of a second frame according to various aspects of the present disclosure.
圖2D是示出根據本案內容的各個態樣的子訊框內的UL通道的實例的圖。FIG. 2D is a diagram illustrating examples of UL lanes within a subframe according to various aspects of the present disclosure.
圖3是示出在存取網路中的基地台和使用者設備(UE)的實例的圖。FIG. 3 is a diagram showing examples of base stations and user equipment (UE) in an access network.
圖4是示出根據本文揭示的教導的無線通訊系統和包括第一網路節點、第二網路節點、UE、進化封包核心(EPC)和核心網路(例如,5G核心(5GC))的存取網路的實例的圖。4 is a diagram illustrating a wireless communication system and including a first network node, a second network node, a UE, an evolved packet core (EPC) and a core network (e.g., a 5G core (5GC)) according to the teachings disclosed herein A diagram of an instance of the access network.
圖5圖示了根據本文揭示的教導的不同安全上下文的實例。Figure 5 illustrates examples of different security contexts according to the teachings disclosed herein.
圖6是圖示根據本文揭示的教導的從第一RAT到第二RAT的閒置模式行動性的實例通訊流。6 is an example communication flow illustrating idle mode mobility from a first RAT to a second RAT in accordance with the teachings disclosed herein.
圖7是根據本文揭示的教導的UE處的無線通訊的方法的流程圖。7 is a flowchart of a method of wireless communication at a UE according to the teachings disclosed herein.
圖8是根據本文揭示的教導的UE處的無線通訊的方法的流程圖。8 is a flowchart of a method of wireless communication at a UE according to the teachings disclosed herein.
圖9是根據本文揭示的教導的UE處的無線通訊的方法的流程圖。9 is a flowchart of a method of wireless communication at a UE according to the teachings disclosed herein.
圖10是根據本文揭示的教導的UE處的無線通訊的方法的流程圖。10 is a flowchart of a method of wireless communication at a UE according to the teachings disclosed herein.
圖11是示出根據本文揭示的教導的針對實例裝置的硬體實現的實例的圖。11 is a diagram illustrating an example of a hardware implementation for an example device in accordance with the teachings disclosed herein.
圖12是根據本文揭示的教導的網路實體處的無線通訊的方法的流程圖。12 is a flowchart of a method of wireless communication at a network entity according to the teachings disclosed herein.
圖13是根據本文揭示的教導的網路實體處的無線通訊的方法的流程圖。13 is a flowchart of a method of wireless communication at a network entity according to the teachings disclosed herein.
圖14是根據本文揭示的教導的網路實體處的無線通訊的方法的流程圖。14 is a flowchart of a method of wireless communication at a network entity according to the teachings disclosed herein.
圖15是根據本文揭示的教導的網路實體處的無線通訊的方法的流程圖。15 is a flowchart of a method of wireless communication at a network entity according to the teachings disclosed herein.
圖16是示出針對實例網路實體的硬體實現的實例的圖。16 is a diagram illustrating an example of a hardware implementation for an example network entity.
圖17是示出針對實例網路實體的硬體實現的實例的圖。17 is a diagram illustrating an example of a hardware implementation for an example network entity.
國內寄存資訊(請依寄存機構、日期、號碼順序註記) 無 國外寄存資訊(請依寄存國家、機構、日期、號碼順序註記) 無 Domestic deposit information (please note in order of depositor, date, and number) none Overseas storage information (please note in order of storage country, institution, date, and number) none
600:實例通訊流 600: instance communication flow
602:網路節點 602: Network node
604:UE 604:UE
606:MME 606: MME
607:EPS網路 607: EPS network
608:AMF 608:AMF
609:5G網路 609: 5G network
610:第一TAU請求訊息 610: The first TAU request message
612:映射EPS GUTI 612:Mapping EPS GUTI
613:臨時行動訂制辨識符(TMSI) 613:Temporary Mobile Subscription Identifier (TMSI)
614:NAS-MAC 614:NAS-MAC
616:eKSI參數 616: eKSI parameters
618:程序 618: procedure
620:程序 620: procedure
622:上下文請求訊息 622: Context Request Message
630:程序 630: program
632:程序 632: program
634:程序 634: program
636:映射EPS安全上下文 636: Map EPS security context
638:上下文回應訊息 638: Context response message
640:程序 640: program
642:UE映射EPS安全上下文 642: UE maps EPS security context
650:程序 650: program
660:NAS SMC程序 660:NAS SMC program
662:TAU接受訊息 662: TAU accepts the message
664:程序 664: program
666:TAU完成訊息 666: TAU completion message
670:第二TAU請求訊息 670: The second TAU request message
672:程序 672: procedure
674:程序 674: procedure
680:程序 680: procedure
682:程序 682: procedure
684:程序 684: procedure
690:程序 690: procedure
692:程序 692: procedure
694:程序 694: program
Claims (30)
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US202163187784P | 2021-05-12 | 2021-05-12 | |
US63/187,784 | 2021-05-12 | ||
US17/662,978 US20220369176A1 (en) | 2021-05-12 | 2022-05-11 | Security handling of 5gs to epc reselection |
US17/662,978 | 2022-05-11 |
Publications (1)
Publication Number | Publication Date |
---|---|
TW202249508A true TW202249508A (en) | 2022-12-16 |
Family
ID=82163404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW111117824A TW202249508A (en) | 2021-05-12 | 2022-05-12 | Security handling of 5gs to epc reselection |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP4338451A1 (en) |
JP (1) | JP2024519200A (en) |
KR (1) | KR20240007908A (en) |
TW (1) | TW202249508A (en) |
WO (1) | WO2022241144A1 (en) |
-
2022
- 2022-05-12 KR KR1020237038281A patent/KR20240007908A/en unknown
- 2022-05-12 WO PCT/US2022/029035 patent/WO2022241144A1/en active Application Filing
- 2022-05-12 JP JP2023565953A patent/JP2024519200A/en active Pending
- 2022-05-12 TW TW111117824A patent/TW202249508A/en unknown
- 2022-05-12 EP EP22733260.8A patent/EP4338451A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4338451A1 (en) | 2024-03-20 |
KR20240007908A (en) | 2024-01-17 |
WO2022241144A1 (en) | 2022-11-17 |
JP2024519200A (en) | 2024-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TW202310664A (en) | Ims voice support in network using eps fallback and having 4g coverage holes | |
US20240204916A1 (en) | Adaptively disabling re-transmission based on experienced delay | |
US20240154931A1 (en) | Domain name system query handling for an edge application service | |
TW202249522A (en) | Srs resource set and beam order association for multi-beam pusch | |
JP2024533963A (en) | Signaling support for various timing cases in an IAB node | |
TW202249508A (en) | Security handling of 5gs to epc reselection | |
US20220369176A1 (en) | Security handling of 5gs to epc reselection | |
US20240292481A1 (en) | Techniques to indicate repetition of messages | |
US20240284283A1 (en) | Radio resource control messaging and layer 1/layer 2 triggered mobility | |
US20240147325A1 (en) | Pdu set information forwarding during mobility events | |
US11757694B1 (en) | Hybrid reference signal design and transmission of PHY signals | |
US20240283718A1 (en) | Fast call recovery based on uplink radio link monitor | |
WO2024007186A1 (en) | Techniques to facilitate avoiding rrc re-establishment | |
US20230403610A1 (en) | Multiplexing of multiple handover commands | |
US20240179554A1 (en) | Nw assistance for measurement and mobility enhancement | |
US20240049251A1 (en) | Dynamic pdcch skipping for extended reality | |
US20240196448A1 (en) | Enhancement of user equipment location for non-3gpp access | |
US20240163718A1 (en) | Radio access network enhancements for multiple description coding | |
WO2024021046A1 (en) | Method and apparatus of mobile-terminated small data transmission (mt-sdt) | |
US20240155456A1 (en) | Determination of l2 reset in lower layer mobility | |
US20230076119A1 (en) | Multiple tb configuration in multi-pdsch grant | |
US20230396357A1 (en) | Indication of network condition at a remote ue | |
US20240267778A1 (en) | Uplink pdu sets and reflective qos in radio access networks | |
US20240306142A1 (en) | Uu based v2n2v sidelink communications | |
CN117322025A (en) | Security handling for 5GS to EPC reselection |