CN115298662A - 5g虚拟ran中的选择性用户平面保护 - Google Patents
5g虚拟ran中的选择性用户平面保护 Download PDFInfo
- Publication number
- CN115298662A CN115298662A CN202080098595.2A CN202080098595A CN115298662A CN 115298662 A CN115298662 A CN 115298662A CN 202080098595 A CN202080098595 A CN 202080098595A CN 115298662 A CN115298662 A CN 115298662A
- Authority
- CN
- China
- Prior art keywords
- gnb
- pdu
- sent
- pdus
- seg
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了用于5G虚拟RAN中的选择性用户平面保护的系统和方法。由gNB中央单元(gNB‑CU)执行的用于与gNB分布式单元(gNB‑DU)通信的方法包括:如果要向gNB‑DU发送的PDU原本未被加密,则确定是否选择性地加密PDU。响应于确定选择性地加密,该方法包括加密要向gNB‑DU发送的PDU。响应于确定不选择性地加密,该方法包括通过要向gNB‑DU发送的PDU。以这种方式,在最小化性能影响的同时提供附加安全。在一些实施例中,与对所有PDU应用通用保护相比,这在gNB‑CU‑UP侧提供了更低的开销。此外,时延开销受到限制,因为安全会话建立和握手仅限于gNB‑CU‑UP–SEG域,而不是gNB‑CU‑UP到gNB‑DU。
Description
技术领域
本公开涉及虚拟无线电接入网(RAN)节点。
背景技术
期望建立可行的解决方案,以保证来自所有类型环境的设备之间的无处不在的连接。必须考虑资源优化和效率、可扩展性和可伸缩性以及成本效率。第五代(5G)电信网络的广泛设计组件和当前趋势正在对无线电接入网(RAN)和核心网络组件进行虚拟化和云化,以适应所有类型利益相关者(例如,移动运营商)的广泛需求。这些产品的变体是虚拟网络功能(VNF)包,以提供与物理网络功能(PNF)相同的功能。运营商减少运营费用(OPEX)和/或资本支出(CAPEX)的策略包括拥有自己的数据中心或租赁其上可以部署RAN或核心网络VNF的云资源。
可部署在云平台上的虚拟RAN(vRAN)变体已经得到了极大的推动。任何vRAN包中的关键特征是安全组件,以确保为在自己或第三方云基础设施上部署vRAN的任何移动运营商提供高水平的保证。尽管第三代合作伙伴计划(3GPP)针对5G电信网络建立了一组安全要求,但有时需要附加安全解决方案来应对特定于每个基础设施的新威胁模型。因此,需要用于5Gv RAN中的保护的改进系统和方法。
发明内容
提供了用于第五代(5G)虚拟无线电接入网(RAN)中的选择性用户平面保护的系统和方法。在一些实施例中,由gNB中央单元(gNB-CU)执行的用于与gNB分布式单元(gNB-DU)通信的方法包括:如果协议数据单元(PDU)原本未被加密,则确定是否选择性地加密要向gNB-DU发送的PDU。响应于确定选择性地加密要向gNB-DU发送的PDU,该方法包括加密要向gNB-DU发送的PDU。响应于确定不选择性地加密要向gNB-DU发送的PDU,该方法包括通过要向gNB-DU发送的PDU。该方法还包括发送要向gNB-DU发送的PDU。以这种方式,在最小化性能影响的同时提供附加安全。在一些实施例中,与对所有PDU应用通用保护相比,这在gNB-CU-用户平面(gNB-CU-UP)侧提供了更低的开销。此外,时延开销受到限制,因为安全会话建立和握手仅限于gNB-CU-U–SEG域,而不是gNB-CU-UP到gNB-DU。
在一些实施例中,发送要向gNB-DU发送的PDU包括:将PDU发送到互联网协议安全(IPsec)安全网关(SEG),以传输给gNB-DU。
在一些实施例中,gNB-CU包括第一复用器(MUX),并且将PDU发送到IPsec SEG包括将PDU从第一MUX发送到IPsec SEG中的第二MUX。
在一些实施例中,确定是否选择性地加密要向gNB-DU发送的PDU包括:如果由以下组成的组中的一个或多个成立时,则确定选择性地加密PDU:PDU包括“类型=0”和“用户数据存在标志=0”;以及PDU包括:“类型=0”;“用户数据存在标志=1”;以及PDU是分组数据汇聚协议(PDCP)控制PDU。
在一些实施例中,该方法还包括确定从gNB-DU接收的PDU是否被选择性地加密。响应于确定所接收的PDU被选择性地加密,解密要向gNB-CU发送的所接收的PDU。
在一些实施例中,所接收的PDU是从IPsec SEG接收的。
在一些实施例中,从IPsec SEG接收所接收的PDU包括由第一MUX从IPsec SEG中的第二MUX接收所接收的PDU。
在一些实施例中,安全会话被建立在gNB-CU与IPsec SEG之间。在一些实施例中,当由以下组成的组中的一个发生时,建立gNB-CU与IPsec SEG之间的安全会话:在gNB-CU中创建的第一PDCP实例;按需;在从gNB-CU发信号通知时;在设立gNB-CU用户平面(gNB-CU-UP)与gNB-CU控制平面(gNB-CU-CP)之间的接口E1时;在设立gNB-CU和gNB-DU之间的接口F1时;以及在创建gNB-CU-UP时。
在一些实施例中,加密要向gNB-DU发送的PDU包括使用对称加密密钥来加密PDU。
在一些实施例中,加密PDU使用第一加密密钥,并且解密所接收的PDU使用第二加密密钥,其中第一加密密钥不同于第二加密密钥。
在一些实施例中,gNB-CU在第一容器中操作。在一些实施例中,第一MUX在第一容器中操作。在一些实施例中,第一MUX在第二容器中操作,并且第一容器和第二容器在同一Pod中操作。
在一些实施例中,由IPsec SEG执行的用于促进gNB-DU与gNB-CU之间的通信的方法包括:如果PDU原本未被加密,则确定是否选择性地加密要从gNB-DU向gNB-CU发送的PDU。响应于确定选择性地加密要向gNB-CU发送的PDU,该方法包括加密要向gNB-CU发送的PDU。响应于确定不选择性地加密要向gNB-CU发送的PDU,该方法包括通过要向gNB-CU发送的PDU。该方法还包括向gNB-CU发送PDU。
附图说明
并入本说明书中并且形成其一部分的附图示出了本公开的若干方面,并且与描述一起用于解释本公开的原理。
图1示出了表示为由核心网络功能(NF)组成的5G网络架构的无线通信系统,其中任何两个NF之间的交互由点对点参考点/接口表示;
图2示出了5G网络架构,其在控制平面中NF之间使用基于服务的接口,而不是图1的5G网络架构中使用的点对点参考点/接口;
图3示出了根据本公开的一些实施例的用于放置构成RAN的各种实体并实现它们之间的协作的灵活方案;
图4示出了根据本公开的一些实施例的用于F1的安全架构;
图5示出了根据本公开的一些实施例的gNB-分布式单元(gNB-DU)向gNB中央单元(gNB-CU)发送下行链路(DL)数据传送状态;
图6示出了根据本公开的一些实施例的由gNB-CU执行的用于与gNB-DU通信的方法;
图7示出了根据本公开的一些实施例的由互联网协议安全(IPsec)安全网关(SEG)执行的用于促进gNB-DU与gNB-CU之间的通信的方法;
图8和图9示出了根据本公开的一些实施例的F1-U并将其扩展到分组数据汇聚协议(PDCP)实体;
图10示出了根据本公开的一些实施例的F1-U传输层;
图11示出了根据本公开的一些实施例的实现PDCP和F1-U终止的gNB-CU-用户平面(gNB-CU-UP)协议栈;
图12示出了根据本公开的一些实施例的PDCP控制PDU格式;
图13示出了根据本公开的一些实施例的数据报传输层安全(DTLS)1.3密文(报头包括)结构;
图14示出了根据本公开的一些实施例的蜂窝通信网络的一个示例;
图15是根据本公开的一些实施例的无线电接入节点的示意性框图;
图16是示出了根据本公开的一些实施例的图15的无线电接入节点的虚拟化实施例的示意性框图;
图17是根据本公开的一些其他实施例的图15的无线电接入节点的示意性框图;
图18是根据本公开的一些实施例的用户设备装置(UE)的示意性框图;
图19是根据本公开的一些其他实施例的图18的UE的示意性框图;
图20示出了根据本公开的一些实施例的经由中间网络连接到主机计算机的电信网络;
图21是根据本公开的一些实施例的通过部分无线连接经由基站与UE通信的主机计算机的通用框图;
图22是示出了根据本公开的一个实施例的在通信系统中实现的方法的流程图;
图23是示出了根据本公开的一个实施例的在通信系统中实现的方法的流程图;
图24是示出了根据本公开的一个实施例的在通信系统中实现的方法的流程图;以及
图25是示出了根据本公开的一个实施例的在通信系统中实现的方法的流程图。
具体实施方式
下面阐述的实施例呈现使本领域技术人员实践实施例的信息并且示出实践实施例的最佳模式。在根据附图阅读以下描述以后,本领域技术人员将理解本公开的构思并且将认识到本文未具体给出的这些构思的应用。应当理解的是,这些构思和应用落入本公开的范围内。
无线电节点:如本文所使用的,“无线电节点”是无线电接入节点或无线通信设备。
无线电接入节点:如本文所使用的,“无线电接入节点”或“无线电网络节点”或“无线电接入网节点”是进行操作以无线地发送和/或接收信号的蜂窝通信网络的无线电接入网(RAN)中的任何节点。无线电接入节点的一些示例包括但不限于:基站(例如,第三代合作伙伴计划(3GPP)第五代(5G)NR网络中的新无线电(NR)基站(gNB)或3GPP长期演进(LTE)网络中的增强或演进节点B(eNB))、高功率或宏基站、低功率基站(例如,微基站、微微基站、家庭eNB等)、中继节点、实现基站的部分功能的网络节点或实现gNB分布式单元(gNB-DU)的网络节点或实现一些其他类型无线电接入节点的部分功能的网络节点。
核心网络节点:如本文所使用的,“核心网络节点”是核心网络中的任何类型的节点或实现核心网络功能的任何节点。核心网络节点的一些示例包括例如移动性管理实体(MME)、分组数据网络网关(P-GW)、服务能力暴露功能(SCEF)、归属订户服务器(HSS)等。核心网络节点的一些其他示例包括实现接入和移动性功能(AMF)、UPF、会话管理功能(SMF)、认证服务器功能(AUSF)、网络切片选择功能(NSSF)、网络暴露功能(NEF)、网络功能(NF)存储库功能(NRF)、策略控制功能(PCF)、统一数据管理(UDM)等的节点。
通信设备:如本文所使用的,“通信设备”是可以访问接入网络的任何类型的设备。通信设备的一些示例包括但不限于:移动电话、智能电话、传感器设备、仪表、车辆、家用电器、医疗设备、媒体播放器、相机或任何类型的消费者电子设备(例如但不限于:电视、收音机、照明装置、平板计算机、膝上型计算机或个人计算机(PC))。通信设备可以是能够经由无线或有线连接传送语音和/或数据的便携式、手持式、计算机包含式、或车辆安装式移动设备。
无线通讯设备:一种类型的通信设备是无线通信设备,其可以是可访问无线网络(例如,蜂窝网络)(即,由无线网络服务)的任何类型的无线设备。无线通信设备的一些示例包括但不限于:3GPP网络中的用户设备装置(UE)、机器类型通信(MTC)设备和物联网(IoT)设备。这种无线通信设备可以是或可以集成到移动电话、智能电话、传感器设备、仪表、车辆、家用电器、医疗设备、媒体播放器、相机或任何类型的消费者电子设备(例如但不限于:电视、收音机、照明装置、平板计算机、膝上型计算机或PC)。无线通信设备可以是能够经由无线连接传送语音和/或数据的便携式、手持式、计算机包含式、或车辆安装式移动设备。
网络节点:本文中所使用的,“网络节点”是作为蜂窝通信网络/系统的无线电接入网或核心网络的一部分的任何节点。
注意,本文给出的描述侧重于3GPP蜂窝通信系统,并且因此经常使用3GPP术语或与3GPP术语类似的术语。然而,本文公开的构思不限于3GPP系统。
注意,在本文的描述中,可能提及术语“小区”;然而,特别是对于5G NR概念,可以使用波束代替小区,因此,重要的是要注意,本文描述的概念同样适用于小区和波束二者。
可部署在云平台上的虚拟RAN(vRAN)变体已经得到了极大的推动。任何vRAN包中的关键特征是安全组件,以确保为在自己或第三方云基础设施上部署vRAN的任何移动运营商提供高水平的保证。尽管3GPP针对5G电信网络建立了一组安全要求,包括对5G gNB分割架构中新引入接口的要求,但有时需要附加安全解决方案来应对特定于每个基础设施的新威胁模型。
事实上,新的云范式影响针对PNF建立的传统威胁模型。除了恶意的最终用户之外,针对虚拟化环境的威胁模型还包括两种新型威胁代理:(1)配置在同一物理基础设施中的租户;以及(2)可能不同于运营商(例如,公共云提供商)的云提供商本身。一些运营商并不完全信任虚拟环境,以至于他们期望即使在数据中心内也保护所有通信。因此,有时需要附加安全机制来配合云上的vRAN VNF部署。期望任何安全解决方案最小地影响操作级别的功能和性能。因此,需要用于5Gv RAN中的保护的改进系统和方法。
vRAN架构的描述与3GPP(TS 38.401)相关,然后是在vRAN部署在第三方平台(3PP)云平台上的情况下的公共安全架构的高级视图。
图1示出了表示为由核心网络功能(NF)组成的5G网络架构的无线通信系统,其中任何两个NF之间的交互由点对点参考点/接口表示。图1可以被视为图14的系统1400的一个特定实现。
从接入侧看,图1中所示的5G网络架构包括连接到RAN或接入网(AN)以及接入和移动性管理功能(AMF)的多个用户设备(UE)。通常,(R)AN包括基站,例如,演进型节点B(eNB)或NR基站(gNB)等。从核心网络侧看,图1所示的5G核心NF包括网络切片选择功能(NSSF)、认证服务器功能(AUSF)、统一数据管理(UDM)、AMF、会话管理功能(SMF)、策略控制功能(PCF)和应用功能(AF)。
在规范标准化中,5G网络架构的参考点表示用于形成详细的呼叫流程。N1参考点被定义为在UE与AMF之间承载信令。用于AN和AMF之间以及AN和UPF之间连接的参考点分别被定义为N2和N3。在AMF和SMF之间存在参考点N11,这意味着SMF至少部分地由AMF控制。SMF和UPF使用N4,以便可以使用SMF生成的控制信号设置UPF以及UPF可以将其状态报告给SMF。分别地,N9是不同UPF之间的连接的参考点,N14是不同AMF之间连接的参考点。由于PCF分别将策略应用于AMF和SMF,因此定义了N15和N7。AMF需要N12来执行对UE的认证。定义N8和N10是因为AMF和SMF需要UE的订户数据。
5G核心网络旨在分离用户平面和控制平面。在网络中,用户平面承载用户业务,而控制平面承载信令。在图1中,UPF在用户平面中,并且所有其他NF,即AMF、SMF、PCF、AF、AUSF和UDM都在控制平面中。分离用户平面和控制平面确保能够独立缩放每个平面资源。它还允许UPF以分布式方式与控制平面功能分开部署。在该架构中,UPF可以非常靠近UE部署以针对需要低延时的一些应用缩短UE和数据网络之间的往返时间(RTT)。
核心5G网络架构由模块化功能组成。例如,AMF和SMF是控制平面中的独立功能。分离的AMF和SMF允许独立的演化和缩放。其他控制平面功能(如PCF和AUSF)可以分开,如图1所示。模块化功能设计使5G核心网络能够灵活地支持各种服务。
每个NF直接与另一个NF交互。可以使用中间功能将消息从一个NF路由到另一个NF。在控制平面中,两个NF之间的一组交互被定义为服务,以便可以重用它。此服务实现对模块化的支持。用户平面支持诸如不同UPF之间的转发操作之类的交互。
在图2中描绘了由3GPP(TS 23.501)定义的5G系统架构。图2示出了5G网络架构,其在控制平面中NF之间使用基于服务的接口,而不是图1的5G网络架构中使用的点对点参考点/接口。然而,上面参考图1描述的NF对应于图2中所示的NF。NF提供给其他授权NF的服务等可以通过基于服务的接口暴露给授权的NF。在图2中,基于服务的接口用字母“N”后跟NF的名称来表示,例如,AMF的基于服务的接口是Namf,SMF的基于服务的接口是Nsmf,等等。图2中的网络暴露功能(NEF)和网络功能(NF)存储库功能(NRF)未示出在上面讨论的图1中。然而,应该澄清的是,尽管在图1中没有明确示出,图1中描绘的所有NF可以根据需要与图2的NEF和NRF交互。
可以以下面的方式描述图1和2中所示的NF的一些性质。AMF提供基于UE的认证、授权、移动性管理等。即使使用多种接入技术的UE基本上与单个AMF连接,因为AMF独立于接入技术。SMF负责会话管理并为UE分配互联网协议(IP)地址。它还选择和控制UPF以进行数据传输。如果UE具有多个会话,则可以将不同的SMF分配给每个会话以单独管理它们并且可能提供每个会话不同的功能。AF向负责策略控制的PCF提供有关分组流的信息,以支持服务质量(QoS)。根据这些信息,PCF确定有关移动性和会话管理的策略,以使AMF和SMF正常运行。AUSF支持对UE的认证功能等,因此存储用于UE的认证等的数据,而UDM存储UE的订阅数据。不是5G核心网络的一部分的数据网络(DN)提供互联网接入或运营商服务等。
NF可以实现为专用硬件上的网络元件,实现为在专用硬件上运行的软件实例,或者实现为在适当的平台(例如,云基础设施)上实例化的虚拟化功能。
在图2的RAN域的一些实施例中,新gNB(TS 38.300)提供了vRAN——一种产品,该产品旨在:(1)提供传统RAN益处,并且附加地,减轻核心网络信令(例如,将移动性信令保持在RAN中);(2)提供云通用益处(资源池、具有地理冗余改进可靠性),同时减少资本支出和运营支出(CAPEX/OPEX),实现多租户、韧性、确定的计算性能,以及构成新商业模式的基础。
在一些实施例中,vRAN符合图3中的3GPP高级架构,图3示出了用于放置构成RAN的各种实体并实现它们之间的协作的灵活方案。需要协议栈中的严格同步和严格时延的部分更接近无线电环境(更接近最终用户);例如,3GPP gNB-DU,实现PHY/MAC/RLC堆栈层(TS38.401)。具有无线电异步功能(分组处理功能(PPF)和无线电控制功能(RCF))的部分,其分别对应于3GPP gNB-CU-用户平面(gNB-CU-UP)和gNB-CU-控制平面(gNB-CU-CP),可以被虚拟化(例如,在中央办公室中);它们分别实现分组数据汇聚协议(PDCP)/IP和PDCP/RRC堆栈层。
在图3中,存在gNB-DU池,其可以通过IP网络连接到gNB-CU(gNB-CU-UP和gNB-CU-CP)池。在发起时,在gNB-DU与gNB-CU之间设立持久连接。不同的用户设备(UE)数据流被映射到这些持久连接内的数据无线电承载(DRB)。
F1是将CU与DU连接的逻辑接口。3GPP TS 38.401文档指定F1端接在gNB-CU和gNB-DU中。F1功能在TS 38.470v.15.5.0中进行了详细描述,并且更具体地,第5.2节用于F1-C(接口管理、系统信息、UE上下文管理、RRC消息传输、寻呼等),并且第5.3节用于F1-U(用户数据(即DRB数据)的传输,以及流控制功能)。在TS 38.472和TS 38.473中针对F1-C指定了协议栈和协议本身(即,F1AP)。对于F1-U,TS 38.475指定了协议栈(即,GTP-U中的F1-U)。最终,在TS 38.425中指定了在F1-U接口上使用的用户平面协议(“NR用户平面协议”,澄清:“NR用户平面协议功能可以驻留在端接X2-U(用于EN-DC)或Xn-U或F1-U接口的节点中。”)。如本文所使用的,术语F1-U和NR-U可互换使用。
在TS 38.474v15.2.0中:传输承载由通用分组无线电服务隧道协议(GTP-U)隧道端点ID(TEID)(TS 29.281)和IP地址(源TEID、目的地TEID、源IP地址、目的地IP地址)标识。因此,可以通过观察这些标识符来绘制承载的分布。
基于通过其传输的信息的性质,在TS 33.501中F1接口已规定了特定安全要求。本文再现了有关F1的安全要求和安全机制二者(TS33.501(v15.4.0))。
5.3.9gNB F1接口的要求
下面给出的要求适用于具有使用在TS 38.470[31]中定义的F1接口的分割DU-CU实现的gNB。可以在给定DU与其CU之间的F1接口上发送信令业务(即,在TS 38.470[31]中定义的F1-C接口管理业务和在TS 38.472[32]中定义的F1-C信令承载二者)和用户平面数据。
-F1-C接口应支持机密性、完整性和重放保护。
-在CU-DU链路上承载的所有管理业务都应具有完整性、机密性和重放保护。
-gNB应支持针对用户平面的gNB DU-CUF1-U接口[33]上的机密性、完整性和重放保护。
-F1-C以及CU-DU链路上承载的管理业务应独立于F1-U业务受到保护。
注意:上述要求允许对F1-U进行与CU-DU上的所有其他业务(例如,F1-C上的业务)不同的保护(包括针对F1-U关闭或打开完整性和/或加密)。
9.8.2F1接口的安全机制
F1接口将gNB-CU连接到gNB-DU。它包括针对控制平面的F1-C和针对用户平面的F1-U。
为了保护F1-U接口上的业务,应如本文档的子条款9.1.2所指定的支持IPsec封装安全有效载荷(ESP)和基于IKEv2证书的认证,具有机密性、完整性和重放保护。
为了保护F1-C接口上的业务,应如本文档的子条款9.1.2所指定的支持IPsec ESP和基于IKEv2证书的认证,具有机密性、完整性和重放保护。
IPsec在gNB-DU和gNB-CU上实现是强制性的。在gNB-CU侧,可以使用SEG来端接IPsec隧道。
除了IPsec之外,对于F1-C接口,也应如RFC 6083[58]中所指定的支持数据报传输层安全(DTLS),以提供完整性保护、重放保护和机密性保护。用于DTLS实现和使用的安全配置文件应遵循TS33.310[5]附件E中给出的规定。
注释1:经由DTLS使用传输层安全并不排除根据TS 33.210[3]中指定的网络域安全(NDS)/IP使用网络层保护。事实上,IPsec具有提供拓扑隐藏的优点。
注释2:使用加密解决方案来保护F1是运营商的决定。如果gNB已被放置在物理安全环境中,则“安全环境”包括gNB旁边的其他节点和链路。
注释3:RFC 6083[58]中记录了流控制传输协议(SCTP)上的DTLS的安全考虑。
综上所述,F1-C可以受益于双重保护(DTLS和IPsec),而F1-U可以关闭加密。后者的原因很简单:F1-U PDU携带受PDCP(TS 38.323)加密保护的PDCP PDU。尽管如此,IPsec仍然是F1-U的常用解决方案,特别是考虑到在隧道模式下的IPsec提供网络拓扑隐藏。此外,IPsec安全网关(SEG)服务通常用于CU站点,即vRAN域(参见图3)。
在一些实施例中,vRAN被开发为要在多租户环境中提供并部署的VNF包。更准确地,vRAN中央单元(gNB-CU功能,即gNB-CU-UP和gNB-CU-CP)作为虚拟机和/或容器提供。在一些实施例中,这导致容器化vRAN。
图4示出了根据本公开的一些实施例的用于F1的安全架构。F1在vRAN部署中通常依赖以下保护:
对于F1-C:在图4中,针对CU-CP与DU之间的F1-C接口建立DTLS会话(例如,以保护信令无线电承载、DU管理等)。此外,所有F1-C被封装在从vRAN SEG到DU站点的IPsec隧道中。采用IPsec SEG的益处是:(1)SEG提供网络拓扑隐藏;(2)此外,在CU VNF向外扩展时,IPsec隧道没有倍增,因此IPsec管理仍然相对简单。相反,在CU-CP服务中结束的IPsec隧道(例如,容器Pod)将导致在每个新的CU-CP服务实例时在DU站点内添加新的IPsec隧道。如本文所使用的,“Pod”是指一组容器,其可以像在同一执行环境中一样操作。在一些实施例中,可以将Pod中的容器作为=单元进行管理。在一些实施例中,Pod中的一个或多个容器专用于充当代理,或充当封装在该Pod中的虚拟功能的任何其他“助手”。在一些实施例中,Pod中的容器共享存储和/或网络资源。在一些实施例中,Pod中的容器是共址的、被共同调度和/或在共享上下文中运行。在一些实施例中,Pod中的容器可以被视为好像它们在同一物理机或虚拟机上执行。示例容器基础设施管理是KubernetesTM,其使用术语“Pod”,“Pod”是容器的最小可管理单元。然而,本公开不限于此。
对于F1-U:GTP-U/UDP/IP上的F1-U PDU被封装在SEG与DU之间的IPsec隧道中。在SEG–gNB-CU-UP网络段上,加密被关闭。原因是因为F1-U PDU主要是数据无线电承载(DRB)中的PDCP数据PDU,其通过加密受到PDCP保护。
鉴于容器技术的众多优点,预计运营商更喜欢容器化的vRAN部署。这些vRAN部署将可能发生在许多类型的环境中,包括不可信、半可信和/或多租户环境。因此,gNB-CU-UP域被包含在通过IPsec SEG保护的边界中。
DRB业务可以由GTP-U TEID和GTP-U隧道的IP地址来标识(TS38.474)。每个NR用户平面协议实例仅与一个数据无线电承载相关联。每个GTP隧道存在一个NR用户平面实例。当设立GTP隧道时,设立新的NR用户平面实例(参见TS 38.425)。根据TS 38.323(PDCP规范):“每个无线电承载(SRB0除外)与一个PDCP实体相关联”。这就是为什么在多租户环境中,IPsec SEG是合适的:隐藏GTP/IP报头,使得IPsec分组不向外部观察者提供有意义的信息,即后者既无法区分DRB也无法将DRB映射到IP分组。
然而,不是所有F1-U PDU都受到PDCP保护。存在若干种类型的F1-U PDU,其在下行链路或上行链路中携带与用户PDCP数据PDU不同的数据。例如,在TS 38.323第4.3.2节中,CU(gNB-CU-UP)中的PDCP期望来自(gNB-DU中的)无线电链路控制(RLC)实体的以下服务:“确认的数据传输服务,包括成功传送PDCP PDU的指示”。TS38.322第4.3.1和5.2.3.1.1节确认这些RLC到PDCP的指示,对于处于AM模式的DRB(作为来自UE的RLC状态PDU的结果,RLC实体应“向上层发送成功传送RLC服务数据单元的指示”)。这些RLC到PDCP的“指示”未受到特别保护。
作为另一示例,TS 38.425定义了具有若干NR PDU类型的NR-U协议,示例是从“对应节点”(与托管NR PDCP的节点交互以进行流控制的节点)到“托管NR PDCP实体的节点”(即如图5所示,从gNB-DU到gNB-CU)的“下行链路数据传送状态”[DL DATA DELIVERYSTATUS]。关于图5,DL数据传送状态可以被捎带(piggybacked)在“相关数据无线电承载的上行链路用户数据”(TS 38.425第5.4.2.1节)上。
作为另一示例,其他类型的非PDCP保护数据也是从UE PDCP实体到CU(gNB-CU-UP)PDCP实体的PDCP控制PDU(TS 38.323)。
此外,仅通过观察DL数据传送状态F1-U PDU似乎可以获得对UE行为的一些见解。根据TS 38.425:“一旦对应节点检测到由UE针对对应数据无线电承载进行的成功随机接入信道(RACH)接入,对应节点应向托管NR PDCP实体的节点发送初始DL数据传送状态帧。”换言之,检测到成功UE RACH接入的DU发送该F1-U PDU。
同样根据TS 38.425:“当DL数据传送状态帧是最后的DL状态报告时,该帧还应包括最终帧指示。当接收到这种指示时,托管NR PDCP实体的节点认为在对应节点与UE之间预期不再发送UL或DL数据。”换言之,这种F1-U PDU可以指示该DRB上UE的数据的终止。
此外,在B.Cheng和S.Moore,“Securing Robust Header Compression(ROHC)”,MILCOM 2013-2013IEEE Military Communications Conference,San Diego,CA,2013,pp.1383-1390中,作者利用ROHC反馈证明了对ROHC的三(3)次攻击。在TS 38.323v15.5.0(PDCP)中,据说仅支持ROHC压缩。因此,具有ROHC反馈的PDCP控制PDU可以从额外保护中受益。
回顾一下,云威胁模型包括威胁代理中的其他租户和/或云提供商。因此,仅依靠图4中的安全架构仍将允许(特许的)观察者/攻击者/恶意方对SEG–gNB-CU-UP网络段的访问,即访问有助于深入了解UE行为或特性的网络数据。
更直接的解决方案是结束gNB-CU-UP服务实例中的IPsec隧道。缺点将是:(1)在gNB-CU-UP向外扩展时,IPsec隧道倍增;以及(2)所有F1-U PDU(包括受PDCP保护的F1-UPDU)的加密/解密造成的开销。
或者,另一直接解决方案是建立从DU到gNB-CU-UP的传输层安全(TLS)会话,就像F1-C的情况一样。已经讨论了用于与控制平面数据(广播控制信道(BCCH)、物理控制信道(PCCH)、SRB0和SRB1)进行映射的TLS会话的思想。
除了真正的时延开销之外,通过传输层安全(TLS)握手(从CU到DU),还存在加密所有业务(包括受PDCP保护的PDU)的开销。另一缺点将是TLS需要传输控制协议,其在F1-U(NR-U)传输堆栈规范中不存在。DTLS或TLS会话(对于gNB-CU-UP与DU之间的所有DRB,其是单独的或唯一的)将意味着对gNB-CU-UP和DU堆栈和实现的重要修改,这对于制造商没有吸引力。
总体而言,这些解决方案将显著影响F1-U接口上的性能,包括gNB-CU-UP的性能。因此,需要用于5Gv RAN中的保护的改进系统和方法。
提供了用于第五代(5G)虚拟无线电接入网(RAN)中的选择性用户平面保护的系统和方法。图6示出了由gNB中央单元(gNB-CU)执行的用于与gNB分布式单元(gNB-DU)通信的方法。该方法包括:如果要向gNB-DU发送的协议数据单元(PDU)原本未被加密,则确定是否选择性地加密该PDU(步骤600)。响应于确定选择性地加密要向gNB-DU发送的PDU,该方法包括加密要向gNB-DU发送的PDU(步骤602)。响应于确定不选择性地加密要向gNB-DU发送的PDU,该方法包括通过要向gNB-DU发送的PDU(步骤604)。该方法还包括发送要向gNB-DU发送的PDU(步骤606)。以这种方式,在最小化性能影响的同时提供附加安全。在一些实施例中,与对所有PDU应用通用保护相比,这在gNB-CU-UP侧提供了更低的开销。此外,时延开销受到限制,因为安全会话建立和握手仅限于gNB-CU-UP–SEG域,而不是gNB-CU-UP到gNB-DU。在一些实施例中,gNB-CU可选地确定从gNB-DU接收的PDU是否被选择性地加密(步骤608)。响应于确定所接收的PDU被选择性地加密,gNB-CU解密所接收的要向gNB-CU发送的PDU(步骤610)。
图7示出了由互联网协议安全(IPsec)安全网关(SEG)执行的用于促进gNB分布式单元(gNB-DU)与gNB中央单元(gNB-CU)之间的通信的方法。该方法包括:如果协议数据单元(PDU)原本未被加密,则确定是否选择性地加密要从gNB-DU向gNB-CU发送的PDU(步骤700)。响应于确定选择性地加密要向gNB-CU发送的PDU,该方法包括加密要向gNB-CU发送的PDU(步骤702)。响应于确定不选择性地加密要向gNB-CU发送的PDU,该方法包括通过要向gNB-CU发送的PDU(步骤704)。该方法还包括向gNB-CU发送PDU(步骤706)。在一些实施例中,IPsec SEG可选地确定从gNB-CU接收的PDU是否被选择性地加密(步骤708)。响应于确定所接收的PDU被选择性地加密,IPsec SEG解密要向gNB-DU发送的所接收的PDU(步骤710)。
关于图4并且为了促进理解本公开的一些实施例,gNB-CU-UP和SEG被认为是单独容器Pod中的服务。使用数据报传输层安全(DTLS)作为示例,结合图8和图9讨论附加细节。在一些实施例中,在所示网络段上使用DTLS不会用DTLS代替协议栈。相反,这些实施例使用类似于DTLS的加密方案和有效载荷格式。在一些实施例中,这使得该方法能够摆脱密钥交换。例如,在一些实施例中,假设密码材料已经被共享。
在一些实施例中,复用器(MUX)微服务在gNB-CU-UP Pod中被实例化,以在受PDCP保护的PDU与不受PDCP保护的PDU之间进行区分。该MUX可以被视为针对gNB-CU-UP服务的代理。
在一些实施例中,在下行链路(DL)中,MUX通过加密(例如,DTLS)进一步保护“要保护”标识的PDU(即,默认情况下不受PDCP保护的PDU)。在一些实施例中,在上行链路(UL)中,MUX对受例如DTLS保护的PDU应用解密。
在一些实施例中,MUX微服务也在SEG Pod中被实例化,以便镜像gNB-CU-UP MUX的操作。在一些实施例中,该SEG MUX表示另一DTLS端点并且在UL中,MUX将DTLS保护应用于不受PDCP保护的PDU。在DL中,MUX解密由gNB-CU-UP MUX使用DTLS加密的PDU。
在一些实施例中,F1-U(NR-U)没有端接在PDCP实体中。F1-U端接在gNB-CU-UP和gNB-DU中。图8和图9示出了F1-U并将其扩展到PDCP实体,因为F1-U PDU(例如,NR-U PDU)主要携带PDCP数据PDU。更准确地,存在下行链路/上行链路NR PDCP PDU。根据TS 38.425,例如在下行链路中,当“用户数据存在标志”被设置为1时,NR DL用户数据帧传输PDCP PDU(数据或控制)。
在一些实施例中,选择性地保护在SEG–gNB-CU-UP网络段上不受PDCP保护的F1-UPDU有效载荷具有以下优点:
gNB-CU-UP性能影响被最小化:鉴于大部分业务由PDCP数据PDU表示,与通过从gNB-CU-UP到gNB-DU的IPsec或(D)TLS对所有PDCP PDU应用通用保护相比,我们的解决方案意味着gNB-CU-UP侧的更低开销;以及
时延开销受到限制:安全会话建立和握手仅限于gNB-CU-UP–SEG域,而不是gNB-CU-UP到gNB-DU。
即使在PDU丢失或乱序时,使用DTLS方案或类似系统也实现解密,即该方案允许对单独记录进行独立解密。
图4和图8中示出了vRAN常见部署。该安全设置的主要缺点涉及以下事实:仅NR-UPDU的子集携带受PDCP保护的有效载荷(即,NR-U PDCP数据PDU)。
作为非限制性示例,以下NR-U PDU不会受益于SEG–gNB-CU-UP网络段上的PDCP保护:
1)“类型=0”并且“用户数据存在标志=0”的NR-U PDU(在任何方向上);
2)“类型=0”并且“用户数据存在标志=1”并且PDCP PDU是PDCP控制PDU(即D/C比特=0(即,PDCP控制PDU))的NR-U PDU(在任何方向上);以及
3)“类型=1”或“类型=2”的NR-U PDU(即,DL数据传送状态和辅助信息数据类型的NR PDU)(从gNB-DU到gNB-CU)。
图10示出了F1-U传输层(TS 38.474)。综上所述,在“无线电侧”,图11示出了实现PDCP和F1-U端接的gNB-CU-UP协议栈。
本公开的一些实施例侧重于PDCP控制PDU保护。一些实施例考虑在PDCP与NR-U层之间在gNB-CU-UP侧添加保护(加密)层(参见图11),在SEG中具有对应物,使得:仅PDCP控制PDU受到保护;以及PDCP数据PDU是直通的。在一些实施例中,在图9中所谓的复用器(MUX)服务中实现该保护层。下面详细描述其功能和操作。
在一些实施例中,MUX是VNF并且被实现为要在vRAN包中传送的应用。MUX最终在gNB-CU-UP和IPsec SEG Pod内的容器中被实例化(在图9中)。在一些实施例中,这允许在gNB-CU-UP(客户端)站点与SEG(服务器)Pod之间建立安全(例如,DTLS)会话。在一些实施例中,可以在gNB-CU-UP中创建的第一PDCP实例时、按需、在从gNB-CU-CP发信号通知时、在E1或F1设立过程时触发该会话建立,或者直接在gNB-CU-UP新实例创建时触发该会话建立(参见下文,以获得更多细节)。在一些实施例中,当gnB-CU-UP(图9)扩充时,整个Pod(即,“椭圆”,包括与它们一起出现的MUX)扩充。在这些实施例中,Pod包含以下中的至少一项:用于应用的两个容器(例如,PDCP容器)以及专用于应用到外部的通信的容器(即,MUX)。在一些实施例中,当gNB-CU-CP扩充时,仅添加PDCP容器而不添加对应的MUX。
在一些实施例中,这允许重用该(DTLS)会话的导出器值(即,类似于https://tools.ietf.org/html/rfc8446#section-7.5)以导出对称会话密钥用于加密和解密,并在TRANF-1和TRANF-2(如下所述)中使用这个(这些)密钥。在一些实施例中,每个方向都存在会话密钥,即,用于UL和DL的单独密钥。
此外,在一些实施例中,MUX充当SEG与gNB-CU-UP之间业务的代理。
一旦建立DTLS会话,MUX就强制执行接入控制策略,其是PDCP控制PDU上的关联数据的认证加密(AEAD)。因此,MUX对已被PDCP加密的PDCP数据PDU起到直通功能的作用。PDCP数据PDU的D/C比特=1(参见图12),而控制PDU的D/C比特=0。
鉴于图12中的该PDCP控制PDU格式(来自TS 38.323v15.5.0第6.2.3节),对于控制PDU,D/C比特=0,在本公开的一些实施例中,DTLS 1.3报头类型是合适的。图13示出了根据本公开的一些实施例的DTLS 1.3密文(报头包括)结构。
DTLS 1.3报头中的第一比特也被设置为0,MUX的主要功能还包括以下转换:
1)TRANSF-1:通过加密将明文PDCP控制PDU转换为格式化为匹配DTLS 1.3格式的密文。
TRANSF-2:通过解密将预期为DTLS 1.3格式化的密文转换为明文,其将是PDCPPDU控制PDU。
在下行链路中,当/仅当NR-U报头包含“类型=0”和“用户数据存在标志=1”并且有效载荷(即,作为PDCP PDU的用户数据)的第一比特被设置为0时,由MUX代理的NR-U PDU经受转换(1)和/或转换(2)。
预期MUX代理格式化为NR-U PDU的分组。在一些实施例中,MUX对下行链路数据的操作如下:
在gNB-CU-UP站点处:如果NR-U PDU具有“类型=0”和“用户数据存在标志=1”并且有效载荷(用户PDCP PDU)的第一比特被设置为0(即,PDCP PDU是D/C比特=0的PDCP控制PDU),则:应用TRANSF-1,并用被格式化为如图13所示的结果密文来替换初始NR-U PDU中的PDCP PDU(对应于“用户数据存在标志”)。然后转发NR-U PDU。
如果PDU不满足该要求,则转发NR-U PDU(直通)。
在SEG站点处:如果NR-U PDU具有“类型=0”和“用户数据存在标志=1”并且NR-U有效载荷的第一比特被设置为0,则:应用TRANSF-2以导出表示D/C比特=0的PDCP PDU的明文,并用所获得的明文替换NR-U有效载荷(对应于“用户数据存在标志”)。然后转发NR-UPDU。
如果PDU不满足该要求,则转发NR-U PDU(直通)。
上行链路中的操作镜像下行链路中的操作。在SEG站点处:如果NR-U PDU具有“类型=0”和“用户数据存在标志=1”并且有效载荷(用户PDCP PDU)的第一比特被设置为0(即,PDCP PDU是D/C比特=0的PDCP控制PDU),则:应用TRANSF-1,并用被格式化为如图13所示的结果密文来替换初始NR-U PDU中的PDCP PDU(对应于“用户数据存在标志”)。然后转发NR-U PDU。
如果PDU不满足该要求,则转发NR-U PDU(直通)。
在gNB-CU-UP站点处:如果NR-U PDU具有“类型=0”和“用户数据存在标志=1”并且NR-U有效载荷的第一比特被设置为0,则:应用TRANSF-2以导出表示D/C比特=0的PDCPPDU的明文,并用所获得的明文替换NR-U有效载荷(对应于“用户数据存在标志”)。然后转发NR-U PDU。
如果PDU不满足该要求,则转发NR-U PDU(直通)。
在一些实施例中,作为与gNB-CU-UP和SEG操作有关的服务,在携带用户(UE)数据的任何F1-U/NR-U PDU之前完成MUX实例化和设立。在gNB-CU-UP和/或SEG站点(例如,Pod)上实例化MUX服务意味着首先与DTLS会话握手以导出该导出器值。MUX实例化的典型设立可以如下:
1)触发的接收(例如,gNB-CU-UP实例化、F1设立过程、E1设立过程等);
2)MUX服务发现(在gNB-CU-UP与SEG之间)。可以依赖服务注册技术、专用服务发现组件、IPv6机制等;
3)在gNB-CU-UP MUX与SEG MUX之间进行DTLS握手,以导出该导出器值,作为导出前述TRANSF-1和TRANSF-2所需的对称会话密钥的输入。
本公开的实施例产生的一些优点和性能增益包括以下一个或多个:重用标准PDU格式;限制开销,时延(新操作最终仅在gNB-CU-UP与SEG之间)和资源(选择性地仅处理通过对相同比特进行简单查找而标识的NR-U有效载荷)二者;与用于所有DRB的导出器(而不是每个承载单独一个)建立唯一的DTLS 1.3会话;易于实现(我们预计我们的方案可以在如服务网格的容器技术中容易采用或实现,其中可以通过首先参数化报头检查过滤器用MUX的角色来增强服务网格代理)。
图14示出了可以实现本公开的实施例的蜂窝通信系统1400的一个示例。在本文描述的实施例中,蜂窝通信系统1400是包括NR RAN的5G系统(5GS)。在该示例中,RAN包括在5GNR中被称为gNB(例如,与5G核心(5GC)连接的LTE RAN节点,其被称为gn-eNB)的基站1402-1和1402-2,基站1402-1和1402-2控制对应的(宏)小区1404-1和1404-2。基站1402-1和1402-2在本文中被通常统称为基站1402,且分别地称为基站1402。同样,宏小区1404-1和1404-2在本文中通常被统称为宏小区1404,且分别地称为宏小区1404。RAN还可以包括控制对应小小区1408-1至1408-4的多个低功率节点1406-1至1406-4。低功率节点1406-1至1406-4可以是小型基站(比如,微微或毫微微基站)或远程无线电头端(RRH)等。值得注意的是,尽管未示出,但可以备选地由基站1402提供一个或多个小小区1408-1至1408-4。低功率节点1406-1至1406-4在本文中被通常统称为低功率节点1406,且分别地称为低功率节点1406。同样,小小区1408-1至1408-4在本文中被通常统称为小小区1408,且分别地称为小小区1408。蜂窝通信系统1400还包括核心网络1410,其在5GS中被称为5G核心(5GC)。基站1402(以及可选的低功率节点1406)连接到核心网络1410。
基站1402和低功率节点1406向对应小区1404和1408中的无线通信设备1412-1至1412-5提供服务。无线通信设备1412-1至1412-5在本文中通常被统称为无线通信设备1412,且分别地称为无线通信设备1412。在以下描述中,无线通信设备1412通常为UE,但本公开不限于此。
图15是根据本公开的一些实施例的无线电接入节点1500的示意性框图。可选特征由虚线框表示。无线电接入节点1500可以是例如基站1402或1406或实现本文描述的基站1402或gNB的全部或部分功能的网络节点。如所示,无线电接入节点1500包括控制系统1502,控制系统1502包括一个或多个处理器1504(例如,中央处理单元(CPU)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)等)、存储器1506和网络接口1508。一个或多个处理器1504在本文中也被称为处理电路。此外,无线电接入节点1500可以包括一个或多个无线电单元1510,每个无线电单元1510包括与一个或多个天线1516耦接的一个或多个发射机1512和一个或多个接收机1514。无线电单元1510可以被称为无线电接口电路或者是无线电接口电路的一部分。在一些实施例中,无线电单元1510在控制系统1502的外部,并且经由例如有线连接(例如,光缆)连接到控制系统1502。然而,在一些其它实施例中,无线电单元1510和可能的天线1516与控制系统1502集成在一起。一个或多个处理器1504用于提供如本文所述的无线电接入节点1500的一个或多个功能。在一些实施例中,所述功能以例如存储器1506中存储的并由一个或多个处理器1504执行的软件来实现。
图16是示出了根据本公开的一些实施例的无线电接入节点1500的虚拟化实施例的示意性框图。该讨论同样适用于其它类型的网络节点。此外,其它类型的网络节点可以具有类似的虚拟化架构。同样,可选特征由虚线框表示。
如本文所使用的,“虚拟化的”无线电接入节点是(例如,经由在网络中的物理处理节点上执行的虚拟机)无线电接入节点1500的功能的至少一部分被实现为虚拟组件的无线电接入节点1500的实现。如图所示,在该示例中,无线电接入节点1500可以包括控制系统1502和/或一个或多个无线电单元1510,如上所述。控制系统1502可以经由例如光缆等连接到无线电单元1510。无线电接入节点1500包括一个或多个处理节点1600,处理节点1600与网络1602耦接或被包括在网络1602中而作为网络1602的一部分。如果存在,控制系统1502或无线电单元经由网络1602连接到处理节点1600。每个处理节点1600包括一个或多个处理器1604(例如,CPU、ASIC、FPGA等)、存储器1606和网络接口1608。
在该示例中,本文所述的无线电接入节点1500的功能1610在一个或多个处理节点1600处实现,或以任何期望的方式分布在一个或多个处理节点1600和控制系统1502和/或无线电单元1510上。在一些特定实施例中,本文所述的无线电接入节点1500的功能1610中的一些或所有功能被实现为由在由处理节点1600托管的虚拟环境中实现的一个或多个虚拟机执行的虚拟组件。如本领域普通技术人员将认识到的那样,为了执行期望功能1610中的至少一些,使用处理节点1600和控制系统1502之间的附加信令或通信。值得注意的是,在一些实施例中,可以不包括控制系统1502,在这种情况下,无线电单元1510经由适当的网络接口直接与处理节点1600通信。
在一些实施例中,提供了包括指令的计算机程序,该指令在由至少一个处理器执行时使得至少一个处理器执行无线电接入节点1500或根据本文所述的任何实施例的虚拟环境中的实现无线电接入节点1500的功能1610的一个或多个功能的节点(例如,处理节点1600)的功能。在一些实施例中,提供了包括上述计算机程序产品的载体。该载体是电子信号、光信号、无线电信号或计算机可读存储介质(例如,诸如存储器的非暂时性计算机可读介质)之一。
图17是根据本公开的一些其它实施例的无线电接入节点1500的示意性框图。无线电接入节点1500包括一个或多个模块1700,模块1700中的每个模块是以软件实现的。一个或多个模块1700提供本文所述的无线电接入节点1500的功能。该讨论同样适用于图16的处理节点1600,其中模块1700可以在处理节点1600中的一个处实现或分布在多个处理节点1600上和/或分布在处理节点1600和控制系统1502上。
图18是根据本公开的一些实施例的无线通信设备1800的示意性框图。如图所示,无线通信设备1800包括一个或多个处理器1802(例如,CPU、ASIC、FPGA等)、存储器1804以及一个或多个收发机1806,每个收发机1806包括与一个或多个天线1812耦接的一个或多个发射机1808和一个或多个接收机1810。如本领域普通技术人员将理解的是,收发机1806包括连接到天线1812的无线电前端电路,该无线电前端电路被配置为调节在天线1812和处理器1802之间传送的信号。处理器1802在本文中也被称为处理电路。收发机1806在本文中也被称为无线电电路。在一些实施例中,上述无线通信设备1800的功能可以完全或部分地以例如存储在存储器1804中并由处理器1802执行的软件实现。注意,无线通信设备1800可以包括图18中未示出的附加组件,例如,一个或多个用户接口组件(例如,包括显示器、按钮、触摸屏、麦克风、扬声器等的输入/输出接口,和/或允许将信息输入到无线通信设备1800和/或允许从无线通信设备1800输出信息的任何其他组件)、电源(例如,电池和关联的电源电路)等。
在一些实施例中,提供了一种包括指令的计算机程序,当指令由至少一个处理器执行时使得该至少一个处理器执行根据本文中所描述的任何实施例的无线通信设备1800的功能。在一些实施例中,提供了包括上述计算机程序产品的载体。该载体是电子信号、光信号、无线电信号或计算机可读存储介质(例如,诸如存储器的非暂时性计算机可读介质)之一。
图19是根据本公开的一些其他实施例的无线通信设备1800的示意性框图。无线通信设备1800包括一个或多个模块1900,模块1900中的每一个以软件实现。一个或多个模块1900提供本文描述的无线通信设备1800的功能。
参考图20,根据实施例,通信系统包括电信网络2000(例如,3GPP类型的蜂窝网络),电信网络2000包括接入网2002(例如,RAN)和核心网络2004。接入网2002包括多个基站2006A、2006B、2006C(例如节点B、eNB、gNB或其他类型的无线电接入点(AP)),每个基站定义对应的覆盖区域2008A、2008B、2008C。每个基站2006A、2006B、2006C通过有线或无线连接2010可连接到核心网络2004。位于覆盖区域2008C中的第一UE 2012被配置为以无线方式连接到对应基站2006C或被对应基站2006C寻呼。覆盖区域2008A中的第二UE 2014以无线方式可连接到对应基站2006A。虽然在该示例中示出了多个UE 2012、2014,但所公开的实施例同等地适用于唯一的UE处于覆盖区域中或者唯一的UE正连接到对应基站2006的情形。
电信网络2000自身连接到主机计算机2016,主机计算机2016可以以独立服务器、云实现的服务器、分布式服务器的硬件和/或软件来实现,或者被实现为服务器集群中的处理资源。主机计算机2016可以处于服务提供商的所有或控制之下,或者可以由服务提供商或代表服务提供商来操作。电信网络2000与主机计算机2016之间的连接2018和2020可以直接从核心网络2004延伸到主机计算机2016,或者可以经由可选的中间网络2022进行。中间网络2022可以是公共、私有或承载网络中的一个或多于一个的组合;中间网络2022(若存在)可以是骨干网或互联网;具体地,中间网络2022可以包括两个或更多个子网络(未示出)。
图20的通信系统作为整体实现了所连接的UE 2012、2014与主机计算机2016之间的连接。该连接可被描述为过顶(Over-the-Top,OTT)连接2024。主机计算机2016和所连接的UE 2012、2014被配置为使用接入网2002、核心网络2004、任何中间网络2022和可能的其他基础设施(未示出)作为中介,经由OTT连接2024来传送数据和/或信令。在OTT连接2024所经过的参与通信设备未意识到上行链路和下行链路通信的路由的意义上,OTT连接2024可以是透明的。例如,可以不向基站2006通知或者可以无需向基站2006通知具有源自主机计算机2016的要向所连接的UE 2012转发(例如,移交)的数据的输入下行链路通信的过去的路由。类似地,基站2006无需意识到源自UE 2012向主机计算机2016的输出上行链路通信的未来的路由。
现将参考图21来描述根据实施例的在先前段落中所讨论的UE、基站和主机计算机的示例实现方式。在通信系统2100中,主机计算机2102包括硬件2104,硬件2104包括通信接口2106,通信接口2106被配置为建立和维护与通信系统2100的不同通信设备的接口的有线或无线连接。主机计算机2102还包括处理电路2108,其可以具有存储和/或处理能力。具体地,处理电路2108可以包括适用于执行指令的一个或多个可编程处理器、ASIC、FPGA或它们的组合(未示出)。主机计算机2102还包括软件2110,其被存储在主机计算机2102中或可由主机计算机2102访问并且可由处理电路2108来执行。软件2110包括主机应用2112。主机应用2112可操作为向远程用户(例如,UE 2114)提供服务,UE 2114经由在UE 2114和主机计算机2102处端接的OTT连接2116来连接。在向远程用户提供服务时,主机应用2112可以提供使用OTT连接2116来发送的用户数据。
通信系统2100还包括在电信系统中提供的基站2118,基站2118包括使其能够与主机计算机2102和与UE 2114进行通信的硬件2120。硬件2120可以包括:通信接口2122,其用于建立和维护与通信系统2100的不同通信设备的接口的有线或无线连接;以及无线电接口2124,其用于至少建立和维护与位于基站2118所服务的覆盖区域(图21中未示出)中的UE2114的无线连接2126。通信接口2122可以被配置为促进到主机计算机2102的连接2128。连接2128可以是直接的,或者它可以经过电信系统的核心网络(图21中未示出)和/或经过电信系统外部的一个或多个中间网络。在所示实施例中,基站2118的硬件2120还包括处理电路2130,处理电路2130可以包括适用于执行指令的一个或多个可编程处理器、ASIC、FPGA或它们的组合(未示出)。基站2118还具有内部存储的或经由外部连接可访问的软件2132。
通信系统2100还包括已经提及的UE 2114。UE 2114的硬件2134可以包括无线电接口2136,其被配置为建立和维护与服务于UE 2114当前所在的覆盖区域的基站的无线连接2126。UE 2114的硬件2134还包括处理电路2138,其可以包括适用于执行指令的一个或多个可编程处理器、ASIC、FPGA或它们的组合(未示出)。UE 2114还包括软件2140,其被存储在UE2114中或可由UE 2114访问并可由处理电路2138执行。软件2140包括客户端应用2142。客户端应用2142可操作为在主机计算机2102的支持下经由UE 2114向人类或非人类用户提供服务。在主机计算机2102中,执行的主机应用2112可以经由端接在UE2114和主机计算机2102处的OTT连接2116与执行客户端应用2142进行通信。在向用户提供服务时,客户端应用2142可以从主机应用2112接收请求数据,并响应于请求数据来提供用户数据。OTT连接2116可以传送请求数据和用户数据二者。客户端应用2142可以与用户进行交互,以生成其提供的用户数据。
注意,图21中所示的主机计算机2102、基站2118和UE 2114可以分别与图20的主机计算机2016、基站2006A、2006B、2006C之一和UE 2012、2014之一相似或相同。也就是说,这些实体的内部工作可以如图21所示,并且独立地,周围网络拓扑可以是图20的网络拓扑。
在图21中,已经抽象地绘制OTT连接2116,以示出经由基站2118在主机计算机2102与UE 2114之间的通信,而没有明确地提到任何中间设备以及经由这些设备的消息的精确路由。网络基础设施可以确定该路由,该路由可以被配置为向UE 2114隐藏或向操作主机计算机2102的服务提供商隐藏或向这二者隐藏。在OTT连接2116活动时,网络基础设施还可以(例如,基于负载均衡考虑或网络的重新配置)做出其动态地改变路由的决策。
UE 2114与基站2118之间的无线连接2126根据贯穿本公开所描述的实施例的教导。各种实施例中的一个或多个实施例改进了使用OTT连接2116向UE 2114提供的OTT服务的性能,其中无线连接2126形成OTT连接2116中的最后一段。更准确地,这些实施例的教导可以改进例如安全性,并从而提供诸如减少的用户等待时间、宽松的文件大小限制、更好的响应性、延长的电池寿命等的益处。
出于监视一个或多个实施例改进的数据速率、时延和其他因素的目的,可以提供测量过程。还可以存在用于响应于测量结果的变化而重新配置主机计算机2102与UE 2114之间的OTT连接2116的可选网络功能。用于重新配置OTT连接2116的测量过程和/或网络功能可以以主机计算机2102的软件2110和硬件2104或以UE 2114的软件2140和硬件2134或以这二者来实现。在一些实施例中,传感器(未示出)可被部署在OTT连接2116经过的通信设备中或与OTT连接2116经过的通信设备相关联地来部署;传感器可以通过提供以上例示的监视量的值或提供软件2110、2140可以用来计算或估计监视量的其他物理量的值来参与测量过程。对OTT连接2116的重新配置可以包括消息格式、重传设置、优选路由等;该重新配置不需要影响基站2118,并且其对于基站2118来说可以是未知的或不可感知的。这种过程和功能在本领域中可以是已知的和已被实践的。在特定实施例中,测量可以涉及促进主机计算机2102对吞吐量、传播时间、时延等的测量的专有UE信令。该测量可以如下实现:软件2110和2140在其监视传播时间、差错等的同时使得能够使用OTT连接2116来发送消息(具体地,空消息或“假”消息)。
图22是示出了根据一个实施例的在通信系统中实现的方法的流程图。该通信系统包括主机计算机、基站和UE,其可以是参考图20和图21描述的主机计算机、基站和UE。为了本公开的简明,在本部分中将仅包括对图22的图引用。在步骤2200中,主机计算机提供用户数据。在步骤2200的子步骤2202(其可以是可选的)中,主机计算机通过执行主机应用来提供用户数据。在步骤2204中,主机计算机发起向UE的携带用户数据的传输。在步骤2206(其可以是可选的)中,根据贯穿本公开所描述的实施例的教导,基站向UE发送在主机计算机发起的传输中所携带的用户数据。在步骤2208(其也可以是可选的)中,UE执行与主机计算机所执行的主机应用相关联的客户端应用。
图23是示出了根据一个实施例的在通信系统中实现的方法的流程图。该通信系统包括主机计算机、基站和UE,其可以是参考图20和图21描述的主机计算机、基站和UE。为了本公开的简明,在本部分中将仅包括对图23的图引用。在方法的步骤2300中,主机计算机提供用户数据。在可选子步骤(未示出)中,主机计算机通过执行主机应用来提供用户数据。在步骤2302中,主机计算机发起向UE的携带用户数据的传输。根据贯穿本公开描述的实施例的教导,该传输可以经由基站。在步骤2304(其可以是可选的)中,UE接收传输中所携带的用户数据。
图24是示出了根据一个实施例的在通信系统中实现的方法的流程图。该通信系统包括主机计算机、基站和UE,其可以是参照图20和图21描述的主机计算机、基站和UE。为了本公开的简明,在本部分中将仅包括对图24的图引用。在步骤2400(其可以是可选的)中,UE接收由主机计算机所提供的输入数据。附加地或备选地,在步骤2402(其可以是可选的)中,UE提供用户数据。在步骤2400的子步骤2404(其可以是可选的)中,UE通过执行客户端应用来提供用户数据。在步骤2402的子步骤2406(其可以是可选的)中,UE执行客户端应用,该客户端应用回应于接收到的主机计算机提供的输入数据来提供用户数据。在提供用户数据时,所执行的客户端应用还可以考虑从用户接收的用户输入。无论提供用户数据的具体方式如何,UE在子步骤2408(其可以是可选的)中都发起用户数据向主机计算机的传输。在方法的步骤2410中,根据贯穿本公开描述的实施例的教导,主机计算机接收从UE发送的用户数据。
图25是示出了根据一个实施例的在通信系统中实现的方法的流程图。该通信系统包括主机计算机、基站和UE,其可以是参考图20和图21描述的主机计算机、基站和UE。为了本公开的简明,在本部分中将仅包括对图25的图引用。在步骤2500(其可以是可选的)中,根据贯穿本公开描述的实施例的教导,基站从UE接收用户数据。在步骤2502(其可以是可选的)中,基站发起接收到的用户数据向主机计算机的传输。在步骤2504(其可以是可选的)中,主机计算机接收由基站所发起的传输中所携带的用户数据。
可以通过一个或多个虚拟装置的一个或多个功能单元或模块来执行本文公开的任何适合的步骤、方法、特征、功能或益处。每个虚拟装置可以包括多个这些功能单元。这些功能单元可以通过处理电路实现,处理电路可以包括一个或多个微处理器或微控制器以及其他数字硬件(可以包括DSP、专用数字逻辑等)。处理电路可以被配置为执行存储在存储器中的程序代码,该存储器可以包括一种或多种类型的存储器,例如ROM、RAM、高速缓冲存储器、闪存设备、光存储设备等。存储在存储器中的程序代码包括用于执行一个或多个电信和/或数据通信协议的程序指令以及用于执行本文所述的一种或多种技术的指令。在一些实现中,处理电路可用于使相应功能单元根据本公开的一个或一个实施例执行对应功能。
虽然附图中的过程示出了本公开的某些实施例执行的特定操作顺序,但应当理解,这种顺序是示例性的(例如,备选实施例可以以不同的顺序执行操作、组合某些操作、重叠某些操作等)。
在本公开中可以使用以下缩写中的至少一些。如果缩略语之间存在不一致,则应优先考虑上面如何使用它。如果在下面多次列出,则首次列出应优先于任何后续列出。
·3GPP 第三代合作伙伴计划
·3PP 第三方平台
·5G 第五代
·5GC 第五代核心
·5GS 第五代系统
·AEAD 关联数据的认证加密
·AF 应用功能
·AMF 接入和移动性功能
·AN 接入网
·AP 接入点
·ASIC 专用集成电路
·AUSF 认证服务器功能
·BCCH 广播控制信道
·BSC 基站控制器
·BTS 基站收发信台
·CAPEX 资本支出
·CPU 中央处理单元
·DL 下行链路
·DN 数据网络
·DRB 数据无线电承载
·DSP 数字信号处理器
·DTLS 数据报传输层安全
·eNB 增强或演进型节点B
·ESP 封装安全有效荷载
·FPGA 现场可编程门阵列
·Ghz 千兆赫兹
·gNB 新无线电基站
·gNB-CU 新无线电基站中央单元
·gNB-CU-CP 新无线电基站中央单元控制平面
·gNB-CU-UP 新无线电基站中央单元用户平面
·gNB-DU 新无线电基站分布式单元
·GPRS 通用分组无线电服务
·GSM 全球移动通信系统
·GTP-U GPRS隧道协议
·HSS 归属订户服务
·IoT 物联网
·IP 互联网协议
·Ipsec 互联网协议安全
·LTE 长期演进
·MME 移动性管理实体
·MTC 机器类型通信
·MUX 复用器
·NDS 网络域安全
·NEF 网络暴露功能
·NF 网络功能
·NR 新无线电
·NRF 网络功能存储库功能
·NSSF 网络切片选择功能
·OPEX 运营费用
·OTT 过顶
·PC 个人计算机
·PCCH 物理控制信道
·PCF 策略控制功能
·PDCP 分组数据汇聚协议
·PDU 协议数据单元
·P-GW 分组数据网络网关
·PNF 物理网络功能
·QoS 服务质量
·RAM 随机存取存储器
·RAN 无线电接入网
·RAT 无线电接入技术
·RF 射频
·RLC 无线电链路控制
·RNC 无线电网络控制器
·ROHC 鲁棒报头压缩
·ROM 只读存储器
·RRC 无线电资源控制
·RRH 远程无线电头端
·RRU 远程无线电单元
·RTT 往返时间
·SCEF 服务能力暴露功能
·SCTP 流控制传输协议
·SEG 安全网关
·SMF 会话管理功能
·TEID 隧道端点ID
·TLS 传输层安全
·UDM 统一数据管理
·UE 用户设备
·USB 通用串行总线
·VNF 虚拟网络功能
·vRAN 虚拟无线电接入网
·VOIP 网际协议语音
·WCDMA 宽带码分多址
·WiMAX 全球微波接入互操作性
本领域技术人员将认识到对本公开的实施例的改进和修改。所有这些改进和修改被认为落入本文公开的构思的范围内。
Claims (30)
1.一种由gNB中央单元gNB-CU执行的用于与gNB分布式单元gNB-DU通信的方法,所述方法包括:
如果要向所述gNB-DU发送的协议数据单元PDU原本未被加密,则确定(600)是否选择性地加密所述PDU;
响应于确定选择性地加密要向所述gNB-DU发送的所述PDU,加密(602)要向所述gNB-DU发送的所述PDU;
响应于确定不选择性地加密要向所述gNB-DU发送的所述PDU,通过(604)要向所述gNB-DU发送的所述PDU;
发送(606)要向所述gNB-DU发送的所述PDU。
2.根据权利要求1所述的方法,其中,发送要向所述gNB-DU发送的所述PDU包括:
将所述PDU发送到互联网协议安全IPsec安全网关SEG,以传输给所述gNB-DU。
3.根据权利要求2所述的方法,其中:
所述gNB-CU包括第一复用器MUX,以及;
将所述PDU发送到所述IPsec SEG包括将所述PDU从所述第一MUX发送到所述IPsec SEG中的第二MUX。
4.根据权利要求1至3中任一项所述的方法,其中:
确定是否选择性地加密要向所述gNB-DU发送的所述PDU包括:如果由以下组成的组中的一个或多个成立时,则确定选择性地加密所述PDU:
所述PDU包括“类型=0”和“用户数据存在标志=0”;以及
所述PDU包括:“类型=0”;“用户数据存在标志=1”;以及所述PDU是分组数据汇聚协议PDCP控制PDU。
5.根据权利要求1至4中任一项所述的方法,其中:
确定(608)从所述gNB-DU接收的PDU是否被选择性地加密;
响应于确定所接收的PDU被选择性地加密,解密(610)要向所述gNB-CU发送的所接收的PDU。
6.根据权利要求2至5中任一项所述的方法,其中,所接收的PDU是从所述IPsec SEG接收的。
7.根据权利要求6所述的方法,其中:
从所述IPsec SEG接收所接收的PDU包括:由所述第一MUX从所述IPsec SEG中的所述第二MUX接收所接收的PDU。
8.根据权利要求2至7中任一项所述的方法,其中,安全会话被建立在所述gNB-CU与所述IPsec SEG之间。
9.根据权利要求8所述的方法,其中,所述gNB-CU与所述IPsec SEG之间的所述安全会话是在由以下组成的组中的一个发生时建立的:
在所述gNB-CU中创建的第一PDCP实例;
按需;
在从所述gNB-CU发信号通知时;
在设立gNB-CU用户平面gNB-CU-UP与gNB-CU控制平面gNB-CU-CP之间的接口E1时;
在设立所述gNB-CU与所述gNB-DU之间的接口F1时;以及
在创建所述gNB-CU-UP时。
10.根据权利要求1至9中任一项所述的方法,其中,加密要向所述gNB-DU发送的所述PDU包括:使用对称加密密钥来加密所述PDU。
11.根据权利要求5至10中任一项所述的方法,其中,加密所述PDU使用第一加密密钥,并且解密所接收的PDU使用第二加密密钥,其中,所述第一加密密钥不同于所述第二加密密钥。
12.根据权利要求1至11中任一项所述的方法,其中,所述gNB-CU在第一容器中操作。
13.根据权利要求12所述的方法,其中,所述第一MUX在所述第一容器中操作。
14.根据权利要求13所述的方法,其中:
所述第一MUX在第二容器中操作;以及
所述第一容器和所述第二容器在同一pod中操作。
15.一种由互联网协议安全IPsec安全网关SEG执行的用于促进gNB分布式单元gNB-DU与gNB中央单元gNB-CU之间的通信的方法,所述方法包括:
如果要从所述gNB-DU向所述gNB-CU发送的协议数据单元PDU原本未被加密,则确定(700)是否选择性地加密所述PDU;
响应于确定选择性地加密要向所述gNB-CU发送的所述PDU,加密(702)要向所述gNB-CU发送的所述PDU;
响应于确定不选择性地加密要向所述gNB-CU发送的所述PDU,通过(704)要向所述gNB-CU发送的所述PDU;以及
向所述gNB-CU发送(706)所述PDU。
16.根据权利要求15所述的方法,其中:
所述IPsec SEG包括第一复用器MUX,以及;
向所述gNB-CU发送所述PDU包括:将所述PDU从所述第一MUX发送到所述gNB-CU中的第二MUX。
17.根据权利要求15或16中任一项所述的方法,其中:
确定是否选择性地加密要向所述gNB-CU发送的所述PDU包括:如果由以下组成的组中的一个或多个成立时,则确定选择性地加密所述PDU:
所述PDU是无线电链路控制RLC到分组数据汇聚协议PDCP指示;
所述PDU包括“类型=0”和“用户数据存在标志=0”;
所述PDU包括:“类型=0”;“用户数据存在标志=1”;以及所述PDU是PDCP控制PDU;
所述PDU是PDCP控制PDU;
所述PDU是下行链路DL数据传送状态指示;以及
所述PDU是辅助信息数据指示。
18.根据权利要求15至17中任一项所述的方法,其中:
确定(708)从所述gNB-CU接收的PDU是否被选择性地加密;
响应于确定所接收的PDU被选择性地加密,解密(710)要向所述gNB-DU发送的所接收的PDU。
19.根据权利要求18所述的方法,其中:
从所述gNB-CU接收所接收的PDU包括:由所述第一MUX从所述gNB-CU中的所述第二MUX接收所接收的PDU。
20.根据权利要求15至19中任一项所述的方法,其中,安全会话被建立在所述gNB-CU与所述IPsec SEG之间。
21.根据权利要求20所述的方法,其中,所述gNB-CU与所述IPsec SEG之间的所述安全会话是在由以下组成的组中的一个发生时建立的:
在所述gNB-CU中创建的第一PDCP实例;
按需;
在从所述gNB-CU发信号通知时;
在设立gNB-CU用户平面gNB-CU-UP与gNB-CU控制平面gNB-CU-CP之间的接口E1时;
在设立所述gNB-CU与所述gNB-DU之间的接口F1时;以及
在创建所述gNB-CU-UP时。
22.根据权利要求15至21中任一项所述的方法,其中,加密要向所述gNB-CU发送的所述PDU包括:使用对称加密密钥来加密所述PDU。
23.根据权利要求18至22中任一项所述的方法,其中,加密所述PDU使用第一加密密钥,并且解密所接收的PDU使用第二加密密钥,其中,所述第一加密密钥不同于所述第二加密密钥。
24.根据权利要求15至23中任一项所述的方法,其中,所述IPsec SEG在第一容器中操作。
25.根据权利要求24所述的方法,其中,所述第一MUX在所述第一容器中操作。
26.根据权利要求24所述的方法,其中:
所述第一MUX在第二容器中操作;以及
所述第一容器和所述第二容器在同一pod中操作。
27.一种用于实现gNB中央单元gNB-CU以用于与gNB分布式单元gNB-DU通信的处理节点(1600),所述处理节点(1600)包括:
一个或多个处理器(1604);以及
存储器(1606),包括指令,所述指令使所述处理节点(1600):
如果要向所述gNB-DU发送的协议数据单元PDU原本未被加密,则确定是否选择性地加密所述PDU;
响应于确定选择性地加密要向所述gNB-DU发送的所述PDU,加密要向所述gNB-DU发送的所述PDU;
响应于确定不选择性地加密要向所述gNB-DU发送的所述PDU,通过要向所述gNB-DU发送的所述PDU;
发送要向所述gNB-DU发送的所述PDU。
28.根据权利要求27所述的处理节点(1600),其中,所述指令还使所述处理节点(1600)执行根据权利要求2至14中任一项所述的方法。
29.一种用于实现互联网协议安全IPsec安全网关SEG以用于促进gNB分布式单元gNB-DU与gNB中央单元gNB-CU之间的通信的处理节点(1600),所述处理节点(1600)包括:
一个或多个处理器(1604);以及
存储器(1606),包括指令,所述指令使所述处理节点(1600):
如果要从所述gNB-DU向所述gNB-CU发送的协议数据单元PDU原本未被加密,则确定是否选择性地加密所述PDU;
响应于确定选择性地加密要向所述gNB-CU发送的所述PDU,加密要向所述gNB-CU发送的所述PDU;
响应于确定不选择性地加密要向所述gNB-CU发送的所述PDU,通过要向所述gNB-CU发送的所述PDU;以及
向所述gNB-CU发送所述PDU。
30.根据权利要求29所述的处理节点(1600),其中,所述指令还使所述处理节点(1600)执行根据权利要求16至26中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2020/052482 WO2021186215A1 (en) | 2020-03-18 | 2020-03-18 | Selective user plane protection in 5g virtual ran |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115298662A true CN115298662A (zh) | 2022-11-04 |
Family
ID=70154852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080098595.2A Pending CN115298662A (zh) | 2020-03-18 | 2020-03-18 | 5g虚拟ran中的选择性用户平面保护 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230179996A1 (zh) |
| EP (1) | EP4121873A1 (zh) |
| CN (1) | CN115298662A (zh) |
| WO (1) | WO2021186215A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11956150B1 (en) * | 2021-05-24 | 2024-04-09 | T-Mobile Innovations Llc | Programmable networking device for packet processing and security |
| PL4250672T3 (pl) * | 2022-03-25 | 2024-07-15 | Deutsche Telekom Ag | Sposób używania albo stosowania informacji o strategii wyboru trasy urządzenia użytkownika podczas obsługiwania urządzenia użytkownika podłączonego do sieci telekomunikacyjnej, urządzenie użytkownika, system albo sieć telekomunikacyjna, nośnik czytelny dla komputera i produkt w postaci programu komputerowego |
| EP4612875A4 (en) * | 2022-11-28 | 2025-11-26 | Huawei Tech Co Ltd | SYSTEMS AND PROCESSES ASSOCIATED WITH A DIVIDED RAN ARCHITECTURE AND SECURITY MODE FOR A FUTURE X-CENTRIC SERVICE NETWORK |
| WO2024162953A1 (en) * | 2023-01-31 | 2024-08-08 | Rakuten Mobile, Inc. | System and method for managing network elements of open radio access network (oran) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150117349A1 (en) * | 2012-05-04 | 2015-04-30 | Parallel Limited | Optimizing mobile network bandwidth |
| CN109845300A (zh) * | 2017-06-17 | 2019-06-04 | Lg 电子株式会社 | 无线通信系统中支持用于cu-cp和cu-up的分离的安全性的方法和装置 |
| CN110417708A (zh) * | 2018-04-26 | 2019-11-05 | 上海华为技术有限公司 | 一种信息传输方法以及相关设备 |
| US20200084618A1 (en) * | 2018-01-11 | 2020-03-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Optimized PDCP Handling in Integrated Access Backhaul (IAB) Networks |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102011825B1 (ko) * | 2016-04-27 | 2019-08-19 | 엘지전자 주식회사 | 데이터 유닛을 수신하는 방법 및 장치 |
| US11039309B2 (en) * | 2018-02-15 | 2021-06-15 | Huawei Technologies Co., Ltd. | User plane security for disaggregated RAN nodes |
| EP3756336B1 (en) * | 2018-02-20 | 2021-09-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Small data user plane transmission for cellular internet of things (ciot) |
| EP3847791B1 (en) * | 2018-09-04 | 2025-08-13 | Telefonaktiebolaget LM Ericsson (publ) | Signalling storm mitigation in a secured radio access network |
| US10798638B2 (en) * | 2019-02-15 | 2020-10-06 | Netsia, Inc. | Apparatus and method for controller and slice-based security gateway for 5G |
-
2020
- 2020-03-18 CN CN202080098595.2A patent/CN115298662A/zh active Pending
- 2020-03-18 WO PCT/IB2020/052482 patent/WO2021186215A1/en not_active Ceased
- 2020-03-18 US US17/911,682 patent/US20230179996A1/en active Pending
- 2020-03-18 EP EP20716580.4A patent/EP4121873A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150117349A1 (en) * | 2012-05-04 | 2015-04-30 | Parallel Limited | Optimizing mobile network bandwidth |
| CN109845300A (zh) * | 2017-06-17 | 2019-06-04 | Lg 电子株式会社 | 无线通信系统中支持用于cu-cp和cu-up的分离的安全性的方法和装置 |
| EP3570577A2 (en) * | 2017-06-17 | 2019-11-20 | LG Electronics Inc. -1- | Method and apparatus for supporting security for separation of cu-cp and cu-up in wireless communication system |
| US20200084618A1 (en) * | 2018-01-11 | 2020-03-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Optimized PDCP Handling in Integrated Access Backhaul (IAB) Networks |
| CN110417708A (zh) * | 2018-04-26 | 2019-11-05 | 上海华为技术有限公司 | 一种信息传输方法以及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4121873A1 (en) | 2023-01-25 |
| US20230179996A1 (en) | 2023-06-08 |
| WO2021186215A1 (en) | 2021-09-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
| US11729619B2 (en) | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts | |
| KR102246671B1 (ko) | 제5세대 코어 네트워크에 대한 비-3gpp 액세스를 위한 사용자 평면 모델 | |
| EP4154602B1 (en) | Sidelink adaptation protocol for remote ue connectivity | |
| JP6304788B2 (ja) | 無線ローカルエリアネットワークにおいてユーザ機器(ue)の通信をセキュアにする装置、システム及び方法 | |
| JP7662133B2 (ja) | 第6世代(6g)システムアーキテクチャ及び機能 | |
| CN108012264A (zh) | 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案 | |
| US20240179516A1 (en) | Secure communication method and communication apparatus | |
| KR20120135310A (ko) | 통신 시스템의 보안 릴레이 노드 | |
| CN115298662A (zh) | 5g虚拟ran中的选择性用户平面保护 | |
| WO2015170764A1 (ja) | 通信システム、ユーザ端末及び通信制御方法 | |
| WO2023224915A1 (en) | Security for distributed non-access stratum protocol in a mobile system | |
| CN114205814B (zh) | 一种数据传输方法、装置、系统、电子设备及存储介质 | |
| KR20190000781A (ko) | 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법 | |
| US20240357423A1 (en) | Methods and apparatus for reducing communications delay | |
| CN113645621B (zh) | 一种安全通信方法及装置 | |
| WO2025153074A1 (zh) | 一种安全通信方法、装置和通信系统 | |
| WO2024171084A1 (en) | Method and apparatus for generating qos (quality of service) rules for packet communication | |
| CN120151885A (zh) | 传输目标业务的方法、装置、设备以及可读存储介质 | |
| CN120456350A (zh) | 通信方法和相关装置 | |
| CN119450459A (zh) | 通信方法和通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |