[go: up one dir, main page]

CN111052781A - 用于协商安全性算法和完整性算法的方法和设备 - Google Patents

用于协商安全性算法和完整性算法的方法和设备 Download PDF

Info

Publication number
CN111052781A
CN111052781A CN201880057489.2A CN201880057489A CN111052781A CN 111052781 A CN111052781 A CN 111052781A CN 201880057489 A CN201880057489 A CN 201880057489A CN 111052781 A CN111052781 A CN 111052781A
Authority
CN
China
Prior art keywords
algorithm
security
base station
integrity
user plane
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880057489.2A
Other languages
English (en)
Other versions
CN111052781B (zh
Inventor
艾买提·萧克·穆汉纳
曾信
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN111052781A publication Critical patent/CN111052781A/zh
Application granted granted Critical
Publication of CN111052781B publication Critical patent/CN111052781B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/02Data link layer protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/04Interfaces between hierarchically different network devices
    • H04W92/10Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开实施例提供了用于在无线通信系统中进行通信的技术。特别地,用户设备(UE)可以接收来自基站的安全命令消息,安全命令消息包括完整性保护算法的指示和加密算法的指示。第一安全命令消息可以触发UE与基站之间的无线资源控制(RRC)业务信令保护过程。UE向基站发送安全命令完成消息。安全命令完成消息可以触发分组数据单元(PDU)会话建立过程以建立UE与基站之间的PDU会话。

Description

用于协商安全性算法和完整性算法的方法和设备
相关申请的交叉引用
本申请要求于2017年9月8日提交的发明名称为“用于协商安全性算法和完整性算法的方法和设备”、申请号为62/556,053的美国临时申请的优先权,于2018年9月4日提交的发明名称为“用于协商安全性算法和完整性算法的方法和设备”、申请号为16/120,906的美国申请的优先权,以及于2017年10月30日提交的发明名称为“用于获得UE安全能力的方法和设备”、申请号为62/579,012的美国申请的优先权,其通过引用整体并入本文。
技术领域
本公开一般涉及用于无线通信的系统和方法,并且在特定实施例中涉及用于协商安全性算法和完整性算法的系统和方法。
背景技术
通常,现代无线网络包括用于防止未授权的第三方接入网络和/或操纵数据的多种安全功能。特别地,长期演进(long term evolution,LTE)网络提供了几种基本的安全功能,即:LTE鉴权、非接入层(non-access stratum,NAS)安全、以及接入层(access stratum,AS)安全。LTE鉴权功能确保用户是该用户尝试接入的网络(或网络服务)的授权用户。NAS安全功能和AS安全功能确保分别在NAS级别和AS级别通过无线接入网(radio accessnetwork,RAN)进行通信的控制数据和用户数据是安全的。
发明内容
本公开的实施例总体上实现了技术优点,本公开描述了用于协商控制面信令和用户面信令的安全性算法和完整性算法的系统和方法。
根据实施例,提供了一种用于在无线网络中建立安全通信的方法。该方法包括用户设备(user equipment,UE)接收来自基站的第一安全命令消息。该第一安全命令消息至少包括第一完整性保护算法的指示和第一加密算法的指示。第一安全命令消息触发UE与基站之间的无线资源控制(radio resource control,RRC)业务信令保护过程。该方法还包括UE向基站发送安全命令完成消息。该安全命令完成消息触发分组数据单元(packetdataunit,PDU)会话建立过程以建立UE和基站之间的PDU会话。在一个示例中,RRC业务信令保护过程包括根据第一完整性保护算法和第一加密算法协商RRC安全激活。可选地,在该示例或另一示例中,第一安全命令消息还包括第二完整性算法的指示和第二加密算法的指示。PDU会话建立过程还包括根据第二完整性算法和第二加密算法协商用于PDU会话的用户面安全算法。可选地,在任一上述示例中,或在另一示例中,该方法包括:响应于发送安全命令完成消息,UE接收来自基站的第二安全命令消息。第二安全命令消息包括第二完整性算法的指示和第二加密算法的指示。PDU会话建立过程还包括根据第二完整性算法和第二加密算法协商用于PDU会话的用户面安全算法。可选地,在任一上述示例中,或在另一示例中,该方法还包括:在后续的PDU会话建立期间,UE接收用于配置后续的PDU会话的数据无线承载(dataradio bearers,DRB)的RRC信令中的第三完整性算法的指示和第三加密算法的指示。后续的PDU会话具有相应的PDU建立过程,该相应的PDU建立过程包括根据第三完整性算法和第三加密算法协商用于后续的PDU会话的用户面安全算法。可选地,在任一上述示例中,或在另一示例中,该方法包括UE接收来自基站的安全策略命令,该安全策略命令指示用于PDU会话的用户面加密和用户面完整性保护的激活状态。该方法还包括UE根据安全策略命令激活用于PDU会话的用户面加密和用户面完整性保护。可选地,在任一上述示例中,或在另一示例中,该方法包括UE向接入管理功能(access management function,AMF)节点发送算法列表。该算法列表包括UE支持的完整性算法列表和加密算法列表。可选地,在任一上述示例中,或在另一示例中,第一安全命令消息使用RRC完整性密钥进行完整性保护。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息使用第一安全命令消息中指示的第一完整性保护算法进行完整性保护。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息指示RRC业务信令保护过程已经成功完成。可选地,在任一上述示例中,或在另一示例中,第一安全命令消息是接入层(access stratum,AS)安全模式命令(security modecommand,SMC)。可选地,在任一上述示例中,或在另一示例中,基站是下一代NodeB(gNB)或下一代增强型NodeB(enhanced NodeB,ng-eNB)。可选地,在任一上述示例中,或在另一示例中,无线网络是第五代(fifth generation,5G)独立(standalone,SA)或5G非独立(non-standalone,NSA)网络架构。可选地,在任一上述示例中,或在另一示例中,基站是支持与辅助节点(secondary node,SN)的双连接的主节点(master node,MN)。可选地,在任一上述示例中,或在另一示例中,PDU会话建立过程包括:UE在PDU会话中配置一个或多个DRB,以及UE根据第一完整性保护算法和第一加密算法协商用户面安全激活。可选地,在任一上述示例中,或在另一示例中,协商用户面安全激活是针对一个或多个DRB中的每个DRB分别协商。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息使用第一加密算法进行加密。
根据另一个实施例,提供了一种用于在无线网络中提供安全策略的方法。该方法包括基站向UE发送安全命令消息,该安全命令消息包括完整性算法的指示和加密算法的指示。该安全命令消息触发UE与基站之间的RRC业务信令保护过程。该方法还包括基站接收来自UE的安全命令完成消息。该安全命令完成消息触发PDU会话建立过程以建立UE和基站之间的PDU会话。在一个示例中,该方法还包括:基站接收用户面安全策略,该用户面安全策略指示与PDU会话相关的所有DRB的用户面加密和用户面完整性保护的激活状态。在该示例中,该方法还包括:基站向UE发送安全策略命令,该安全策略命令指示用于PDU会话的用户面加密和用户面完整性保护的激活状态。可选地,在该示例或另一示例中,在PDU会话建立过程中,基站接收来自会话管理功能(session management function,SMF)节点的用户面安全策略。可选地,在任一上述示例中,或在另一示例中,基站处的RRC下行加密在发送安全命令消息后开始。可选地,在任一上述示例中,或在另一示例中,该方法还包括:基站验证安全命令完成消息。在此示例中,基站处的RRC上行加密在接收并成功验证安全命令完成消息后开始。可选地,在任一上述示例中,或在另一示例中,该方法还包括:基站接收来自AMF节点的算法列表,该算法列表包括UE支持的完整性算法列表和加密算法列表。可选地,在任一上述示例中,或在另一示例中,该方法还包括:基站选择与存在于基站的配置列表中并由UE支持的最高优先级完整性算法对应的完整性算法。在该示例中,该方法还包括:基站选择与存在于基站的配置列表中并由UE支持的最高优先级加密算法对应的加密算法。可选地,在任一上述示例中,或在另一示例中,安全命令消息使用RRC完整性密钥进行完整性保护。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息使用安全命令消息中指示的完整性算法进行完整性保护。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息指示RRC业务信令保护过程已经成功完成。可选地,在任一上述示例中,或在另一示例中,安全命令消息是ASSMC。可选地,在任一上述示例中,或在另一示例中,基站是下一代NodeB(gNB)或下一代增强型NodeB(ng-eNB)。可选地,在任一上述示例中,或在另一示例中,无线网络是5GSA网络架构或5GNSA网络架构。可选地,在任一上述示例中,或在另一示例中,基站是支持与SN的双连接的MN。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息使用加密算法进行加密。
根据又一实施例,提供了一种UE。该UE包括非暂时性存储器和一个或多个处理器。该非暂时性存储器包括指令,并且该一个或多个处理器与该非暂时性存储器通信。上述一个或多个处理器执行指令以接收来自基站的第一安全命令消息,该第一安全命令消息包括第一完整性保护算法的指示和第一加密算法的指示。第一安全命令消息触发UE与基站之间的RRC业务信令保护过程。上述一个或多个处理器执行指令以向基站发送安全命令完成消息。该安全命令完成消息触发PDU会话建立过程以建立UE和基站之间的PDU会话。在一个示例中,RRC业务信令保护过程包括根据第一完整性保护算法和第一加密算法协商RRC安全激活。可选地,在该示例或另一示例中,第一安全命令消息还包括第二完整性算法的指示和第二加密算法的指示。PDU会话建立过程还包括根据第二完整性算法和第二加密算法协商用于PDU会话的用户面安全算法。
可选地,在任一上述示例中,或在另一示例中,响应于发送安全命令完成消息,上述一个或多个处理器执行指令以接收来自基站的第二安全命令消息。第二安全命令消息包括第二完整性算法的指示和第二加密算法的指示。PDU会话建立过程还包括根据第二完整性算法和第二加密算法协商用于PDU会话的用户面安全算法。可选地,在任一上述示例中,或在另一示例中,在后续的PDU会话建立期间,上述一个或多个处理器执行指令以接收用于配置后续的PDU会话的DRB的RRC信令中的第三完整性算法的指示和第三加密算法的指示。后续的PDU会话具有相应的PDU建立过程,该相应的PDU建立过程包括根据第三完整性算法和第三加密算法协商用于后续的PDU会话的用户面安全算法。可选地,在任一上述示例或另一示例中,上述一个或多个处理器执行指令以接收来自基站的安全策略命令,该安全策略命令指示用于PDU会话的用户面加密和用户面完整性保护的激活状态。上述一个或多个处理器执行指令以根据安全策略命令激活用于PDU会话的用户面加密和用户面完整性保护。可选地,在任一上述示例中,或在另一示例中,上述一个或多个处理器执行指令以向AMF节点发送算法列表。算法列表包括UE支持的完整性算法列表和加密算法列表。可选地,在任一上述示例中,或在另一示例中,第一安全命令消息使用RRC完整性密钥进行完整性保护。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息使用第一安全命令消息中指示的第一完整性保护算法进行完整性保护。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息指示RRC业务信令保护过程已经成功完成。可选地,在任一上述示例中,或在另一示例中,第一安全命令消息是ASSMC。
可选地,在任一上述示例中,或在另一示例中,基站是gNB或ng-eNB。可选地,在任一上述示例中,或在另一示例中,无线网络是5GSA网络架构或5GNSA网络架构。可选地,在任一上述示例中,或在另一示例中,基站是支持与SN的双连接的MN。可选地,在任一上述示例中,或在另一示例中,PDU会话建立过程包括:UE在PDU会话中配置一个或多个DRB,以及UE根据第一完整性保护算法和第一加密算法协商用户面安全激活。可选地,在任一上述示例中,或在另一示例中,协商用户面安全激活是针对一个或多个DRB中的每个DRB分别协商。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息使用第一加密算法进行加密。
根据又一实施例,提供了一种基站。基站包括非暂时性存储器和一个或多个处理器。该非暂时性存储器包括指令。该一个或多个处理器与该非暂时性存储器通信。上述一个或多个处理器执行指令以向UE发送安全命令消息,该安全命令消息包括完整性算法的指示和加密算法的指示,该安全命令消息触发基站与UE之间的RRC业务信令保护过程。上述一个或多个处理器执行指令以接收来自UE的安全命令完成消息,该安全命令完成消息触发PDU会话建立过程以建立基站与UE之间的PDU会话。在一个示例中,上述一个或多个处理器执行指令以接收用户面安全策略,该用户面安全策略指示与PDU会话相关的所有DRB的用户面加密和用户面完整性保护的激活状态。在该示例中,上述一个或多个处理器执行指令以向UE发送安全策略命令,该安全策略命令指示用于PDU会话的用户面加密和用户面完整性保护的激活状态。可选地,在该示例或另一示例中,在PDU会话建立过程中,基站接收来自SMF节点的用户面安全策略。可选地,在任一上述示例中,或在另一示例中,基站处的RRC下行加密在发送安全命令消息后开始。可选地,在任一上述示例中,或在另一示例中,上述一个或多个处理器执行指令以验证安全命令完成消息。在此示例中,基站处的RRC上行加密在接收并成功验证安全命令完成消息后开始。
可选地,在任一上述示例中,或在另一示例中,上述一个或多个处理器执行指令以接收来自AMF节点的算法列表,该算法列表包括UE支持的完整性算法列表和加密算法列表。可选地,在任一上述示例中,或在另一示例中,一个或多个处理器执行指令以选择与存在于基站的配置列表中并由UE支持的最高优先级完整性算法相对应的完整性算法。在该示例中,上述一个或多个处理器执行指令以选择与存在于基站的配置列表中并由UE支持的最高优先级加密算法相对应的加密算法。可选地,在任一上述示例中,或在另一示例中,安全命令消息使用RRC完整性密钥进行完整性保护。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息使用安全命令消息中指示的完整性算法进行完整性保护。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息指示RRC业务信令保护过程已经成功完成。可选地,在任一上述示例中,或在另一示例中,安全命令消息是ASSMC。可选地,在任一上述示例中,或在另一示例中,基站是gNB或ng-eNB。可选地,在任一上述示例中,或在另一示例中,无线网络是5GSA网络架构或5GNSA网络架构。可选地,在任一上述示例中,或在另一示例中,基站是支持与SN的双连接的MN。可选地,在任一上述示例中,或在另一示例中,安全命令完成消息使用加密算法进行加密。
附图说明
为了更完整地理解本公开及其优点,现参考以下结合附图的描述,其中:
图1是实施例无线通信网络的示图;
图2A是实施例4G网络架构的示图;
图2B是实施例5G网络架构的示图;
图3是基站中的用于协商完整性算法和加密算法的实施例操作的流程图;
图4是移动实体中的用于协商完整性算法和加密算法的实施例操作的流程图;
图5是基站和移动性实体之间的用于协商完整性算法和加密算法的实施例操作的流程图;
图6是基站和移动性实体之间的用于协商完整性算法和加密算法的另一实施例操作的流程图;
图7是基站与移动性实体之间的用于协商完整性算法和加密算法的又一实施例操作的流程图;
图8是移动性实体、基站、以及若干5G节点之间的用于协商完整性算法和加密算法的实施例操作的流程图;
图9是实施例非独立(non-standalone,NSA)网络架构的示图;
图10是实施例处理系统的示图;以及
图11是实施例收发器的示图。
具体实施方式
本公开提供了可在各种特定背景下实施的许多适用发明构思。特定实施例仅是特定配置的说明,并不限制所要求的实施例的保护范围。除非另外指出,否则不同实施例中的特征可以组合以形成其他实施例。针对其中一个实施例所描述的变化或修改也可以适用于其他实施例。此外,应当理解的是,在不脱离由所附权利要求定义的本公开的精神和范围的情况下,可以在本文中进行各种改变、替换、和变更。尽管主要在5G无线网络的背景中描述了本发明的各方面,但还应当理解的是,发明的各方面也可以适用于4G无线网络和3G无线网络。
在第四代(fourth generation,4G)网络架构中,用户设备(user equipment,UE)注册过程和用户面建立同时发生。在注册过程期间,一个承载(即默认承载)建立,并且移动性管理实体(mobility management entity,MME)负责UE和基站之间的会话管理以及安全性算法和完整性保护算法的认证/协商。此外,在接入层安全模式命令(security modecommand,SMC)过程中同时协商无线资源控制(radio resource control,RRC)业务和用户面业务的安全算法和启用。
本公开的实施例提供了用于安全地通信、协商、认证、激活、和建立第五代(fifthgeneration,5G)网络架构中的UE、基站、和各种控制实体之间的用于RRC业务和用户面业务的控制面和用户面完整性保护算法和加密算法的技术。与4G网络架构不同,在5G网络架构中,UE注册过程和用户面建立发生在不同的时间。控制面业务的安全策略的建立、认证、和激活与用户面业务分离并独立进行。5G新空口(new radio,NR)网络架构采用多个实体协商和建立非接入层(non-access stratum,NAS)和接入层(access stratum,AS)中的网络与UE之间的安全通信。4G中的单个节点(即4G MME或传统MME)的功能分布在这些多个实体(例如,会话管理功能(session management function,SMF)、接入管理功能(accessmanagement function,AMF)、安全锚功能(security anchor function,SEAF)等)上。例如,SEAF现负责UE身份认证并提供密钥材料以建立所有UE安全上下文。
本公开的各方面提供了基站与UE之间的实施例安全算法通信和协商过程。特别地,UE可以接收来自基站的接入层安全模式命令(access stratum security modecommand,AS-SMC),该AS-SMC指示用于完整性保护和/或加密的算法集。在一些实施例中,AS-SMC可以包括用于用户面业务和控制面业务的单个算法集。在一些实施例中,AS-SMC可以包括分别用于用户面业务和控制面业务的单独的算法集。在其他实施例中,AS-SMC消息可以是包括用于控制面业务的安全算法的AS-CP SMC消息。在这些实施例中,成功协商控制面业务安全之后,UE可以接收来自基站的AS-UP SMC消息,该AS-UP SMC消息包括用于用户面业务的安全算法。控制面业务和用户面业务安全协商完成后,UE可以根据指示的用户面安全算法接收单独的消息,该单独的消息指示分组数据单元(packet data unit,PDU)会话的用户面业务中的完整性保护和/或加密的激活。
在一些实施例中,所有PDU会话的加密和/或完整性保护的级别可以相同。UE可以接收消息以启用或激活与UE和基站之间协商的安全算法集相对应的特定安全策略(即,受完整性保护或被加密,或者不受完整性保护且未加密)。在一些实施例中,每个PDU会话可以实现不同级别的加密和/或完整性保护。在一个实施例中,AMF实体、SMF实体、和策略控制功能(policy control function,PCF)实体可以确定每个PDU会话的不同算法并与基站和UE通信。在这些实施例中,UE可以根据特定用户安全策略接收单独的消息,该单独的消息指示属于相应PDU会话的数据无线承载(data radio bearer,DRB)的用户安全策略的激活或启用。在一些实施例中,用于属于同一PDU会话的所有DRB的安全策略可以相同。
在其他实施例中,提供了用于在5G独立(standalone,SA)网络架构和非独立(non-standalone,NSA)网络架构中传送安全算法和协商过程的方法。作为示例,在具有4G核心网的5G NSA中,使用本公开实施例,主基站(master base station,MeNB)可以用于与UE建立控制面。然后,使用本公开实施例,代表5G基站(gNB)的MeNB可以与UE建立用户面。在这样的示例中,MeNB可以将一些用户面业务分流(offload)到gNB。gNB为核心4G网络内的5G接入过渡部署提供了额外的用户面带宽。由于5G中的UE注册过程是与UE PDU会话建立过程分离并独立完成的,并且网络架构具有其他变化,因此,提供用于在5G网络架构中协商安全性算法和完整性算法的过程是有利的。本文描述的实施例过程可以减少消息开销,并且为基站和UE之间的用户面安全策略的传送提供灵活性。另外,这些实施例可以为5G网络中的RRC业务和用户面业务以及具有某些5G基站部署的4G网络建立安全关联。以下对这些和其他细节进行更详细的讨论。
图1是用于传送数据的网络100的示图。网络100包括具有覆盖区域101的基站110、多个UE 120、和回程网络130。如图所示,基站110与UE 120建立上行连接(短划线)和/或下行连接(点虚线),这些连接用于携带从UE 120到基站110的数据,反之亦然。通过上行连接/下行连接传送的数据可以包括在多个UE 120之间传送的数据,以及通过回程网络130传送到/来自远端(未示出)的数据。本文所用的术语“基站”是指被配置为向网络提供无线接入的任意网络侧设备,例如增强型节点B(enhanced NodeB,eNodeB或eNB)、gNB、发送/接收点(transmit/receive point,TRP)、宏小区、毫微微小区、Wi-Fi接入点(access point,AP)、和其他支持无线功能的设备。基站可以根据一个或多个无线通信协议(例如,第五代新空口(5thgeneration new radio,5G NR)、LTE、高级LTE(LTE advanced,LTE-A)、高速消息接入(high speed message access,HSPA)、Wi-Fi 802.11a/b/g/n/ac等)提供无线接入。本文所使用的术语“UE”是指被配置为通过与基站建立无线连接来接入网络的任意用户侧设备,诸如移动实体(mobility entity,ME)、移动设备、移动台(mobile station,STA)、车辆、和其他支持无线功能的设备。在一些实施例中,网络100可以包括诸如中继器、低功率节点等的多种其他无线设备。可以理解的是,虽然通信系统可以采用能够与一个或多个UE通信的多个接入节点,但是为了简单起见,仅示出了一个接入节点和两个UE,并且可以设想更多的接入节点和UE。
图2A是用于在4G网络中传送数据的网络150的简化图。网络150包括与基站154(例如,eNB)通信的MME 152。基站154与UE 156通信。在网络150中,注册过程和用户面建立在UE附着网络(即,网络注册)期间同时发生。MME 152是处理会话管理的单个核心网节点或实体,其充当用于认证的接入安全管理实体(access security management entity,ASME)。MME 152也是为网络处理移动性和安全性并且为UE 156建立用户面的锚点(即负载)。
LTE认证和NAS安全协议依次执行,在此期间,在UE 156和服务网络150之间建立相互认证并生成NAS层加密密钥。特别地,UE 156向服务网络150中的MME 152发送国际移动用户标识(international mobile subscriber identity,IMSI)。然后,MME 152将IMSI发送到UE 156的归属网络中的归属用户(home subscriber,HSS),其生成演进分组系统(evolved packet system,EPS)认证向量。然后,EPS认证向量被传送到MME 152,其中,EPS认证向量用于根据认证和密钥协商(authentication and key agreement,AKA)过程认证UE 156并生成NAS层加密密钥。然后,使用NAS层加密密钥加密UE 156和MME 152之间交换的信令。
在UE注册和认证期间,eNB 154与UE 156协商AS安全性(即,空口安全性)。通常,MME 152、eNB 154、和UE 156均能够支持多种安全算法。但是,每个实体支持的算法列表可能会例如由于不同的制造商支持的算法不同而有所不同。因此,eNB 154可能不支持在MME152和UE 156之间协商的用于NAS通信的安全算法。因此,UE 156和eNB 154可能需要分别协商用于RRC业务和用户面业务的安全算法和安全参数。使用AS安全密钥的接入层提供了用于信令无线承载(signaling radio bearer,SRB)连接的控制面中的UE 156和eNB154之间的RRC消息的安全传送以及用于DRB连接的用户面中的互联网协议(internet protocol,IP)分组的安全传送。RRC消息使用RRC协议在UE 156和eNB 154之间传送控制消息以分配资源等。通常,与用户面业务相比,RRC业务对相关的增强安全性更严格。由于控制面信令控制UE 156的行为,因此提高了与eNB 154和UE 156之间的通信路径相关的安全性,以进一步确保可靠的通信。
在4G架构中,在UE注册或附着过程中建立了一个默认承载,该默认承载直接确保了附着过程结束时的用户面传输。eNB 154或类似实体在初始UE注册过程期间与UE 156协商控制面接入层算法和用户面接入层算法。在实施例中,eNB 154针对用户面协议和控制面协议协商加密算法和完整性保护算法。需要注意的是,为RRC业务选择的安全算法也是为用户面业务选择的安全算法。
eNB 154向UE 156发送指示完整性保护算法和加密算法的AS-SMC消息。eNB 154从算法列表中选择UE 156和eNB 154两者都支持的具有最高优先级的完整性保护算法和加密算法。UE 156支持的算法列表首先通过信号被发送到MME 152,然后被发送到eNB 154。AS-SMC受到完整性保护,并且可以使用UE 156和MME 152之间为eNB 154导出的密钥由UE 156进行认证。另外,AS-SMC过程同时激活RRC信令的安全性和用户面信令的安全性。换句话说,在AS-SMC过程完成时,UE 156具有与eNB 154之间的安全上下文、用于RRC完整性保护的密钥、用于RRC加密的密钥、以及用于用户面加密的密钥。在AS-SMC消息中包含加密算法和完整性保护算法指示UE 156对控制面业务的加密和完整性保护以及对用户面业务的加密的启用和要求。需要说明的是,在4G中,不支持用户面完整性保护。作为示例,如果eNB 154将128E-UTRAN加密算法1(128E-UTRAN encryption algorithm number1,128-EEA1)包括在AS-SMC消息中,则eNB 154指示UE 156使用128-EEA1算法并对RRC业务和用户面分组启用加密。
图2B是用于在5G网络中传送数据的网络160的示图。网络160包括多个安全实体,即,AMF162、SMF164、PCF166、若干5G基站168、172、174、以及多个UE 170、176。在图2B中,5G基站172作为5G辅基站(secondary 5G base station,gNB)174的主基站(master basestation,MgNB)。在一些实施例中,gNB 174可以用作在用户面业务中使用的附加数据分组通信路径,而MgNB 172可以在RRC业务和/或用户面业务中使用。在后续实施例中,本公开参考gNB 168,但是,实施例还可以包括在UE 176和MgNB 172之间建立控制面业务的情况,以及在UE 176、MgNB 172、和gNB174之间建立用户面业务的情况。可以向网络160、所示组件、和连接中添加或从其中删除其他组件,并且可以选择每个组件的数量以简化讨论。
与AMF 162并置的SEAF负责UE认证,并负责提供密钥材料以建立所有UE安全上下文。当从一个锚负载移动到下一锚负载(例如,附着的接入点改变)时,AMF 162负责管理UE注册会话以及核心网内的相关位置和移动性管理功能。SMF 164负责管理用户面PDU会话的建立和管理。
在第三代合作伙伴计划(third generation partnership project,3GPP)5G架构中,已经约定针对每个PDU会话确定用户面完整性保护和用户面加密。作为示例,在初始注册完成之后确定第一PDU会话建立。在一些实施例中,在第一PDU会话建立过程期间,完整性保护状态和/或加密可以由SMF 174确定并被传送至UE 170、UE176、gNB168、gNB 172、或类似实体。在一些实施例中,后续的PDU会话中,每个PDU会话可以具有不同的安全关联。因此,除了在5G中建立的其他实体之外,UE注册过程与PDU会话建立过程完全分离且独立。因此,5G网络架构中的控制面安全算法和用户面安全算法的协商不再像4G网络架构中的那样简单。
通常,UE能力包括UE无线能力和UE网络能力。UE无线能力应用在UE 170和gNB 168之间,并且主要体现在UE支持的接入层的接入层特性中。UE网络能力应用在UE 170和AMF162之间,其包括UE 170在NAS&AS中的安全能力,并且体现在NAS和AS支持的安全算法列表中。在5G中,非接入层安全性在UE 170和AMF 162之间关联。UE 170和AMF 162在注册过程中协商安全关联,该过程包括将UE 170支持的算法列表传送到AMF 162。作为示例,UE 170可以向网络160指示UE 170支持算法1至算法4。网络160可以支持算法0、算法1、和算法5,其中数字0是最高优先级。由于UE 170不支持算法0,所以UE 170和网络160都支持的下一优先级算法是算法1。因此,AMF 162向UE 170指示将使用哪种算法保护通过NAS协议进行的会话。
类似地,将在gNB 168和UE 170之间完成安全协商过程。当要建立AS安全上下文时,AMF 162向gNB 168发送UE安全能力。gNB 168从完整性算法列表和加密算法列表中选择UE 170和gNB 168都支持的最高优先级算法。
图3示出了用于协商完整性算法和加密算法的实施例操作的流程图180,该操作可以由5G基站(gNB)168执行。gNB 168配置有网络运营商优先考虑的所支持的安全算法的列表。在一些实施例中,安全算法列表包括完整性保护算法的单独列表和加密算法的单独列表。以下针对网络160描述的实施例并不是限制性的实例,且这些实施例可以应用于其他5G网络。在步骤182,gNB 168从AMF 162接收UE 170的5G安全能力,以建立AS安全上下文。gNB168从gNB 168的配置列表中选择同时存在于UE 5G安全能力中的最高优先级加密算法。另外,gNB 168从gNB 168的配置列表中选择同时存在于UE 5G安全能力中的最高优先级完整性保护算法。
在步骤184,gNB 168向UE 170发送AS-SMC消息,以指示所选择的用于完整性保护的完整性保护算法和所选择的用于加密的加密算法。AS-SMC消息本身使用RRC完整性密钥进行完整性保护。应当理解的是,在5G中,AS-SMC消息中的完整性保护算法的指示和加密算法的指示不同于用于用户面业务的完整性保护和加密的激活或启用。所指示的完整性保护算法和所指示的加密算法在被激活时可以分别用于用户面业务和RRC业务的完整性保护和加密。在一些实施例中,AS-SMC中指示的完整性保护算法和指示的加密算法可以分别用于RRC业务的完整性保护和加密。在一些实施例中,AS-SMC消息可以包括分别用于用户面业务和RRC业务的完整性保护和加密的单独指示。在一些实施例中,gNB 168可以发送单独的用户面消息和RRC AS-SMC消息以指示待使用的完整性保护算法和加密算法,该完整性保密算法和加密算法在被激活时分别用于用户面业务的完整性保护和加密。
在步骤186,响应于AS-SMC消息的发送,gNB 168可以从UE 170接收具有AS安全模式完成消息的回复。AS安全模式完成消息使用如AS-SMC消息中所指示的完整性保护算法和RRC完整性密钥进行完整性保护,并使用如AS-SMC消息中所指示的加密算法和加密密钥进行加密。在步骤188,gNB 168验证AS安全模式完成消息,并且如果该AS安全模式完成消息被成功验证,则gNB 168激活RRC安全关联。
图4示出了用于协商完整性算法和加密算法的实施例操作的流程图200,该操作可以由UE 170执行。以下针对网络160描述的实施例并不是限制性的实例,且这些实施例可以应用于其他5G网络。在步骤202,UE 170开始向网络160注册,这包括向AMF 162发送附着(ATTACH)消息或注册请求(Registration REQUEST)消息。gNB 168在AS-SMC过程中选择接入层加密算法和完整性保护算法。在被激活时,接入层加密算法和完整性保护算法向UE170指示UE 170将用于RRC业务和用户面业务的加密和完整性保护的类型。用户面加密和/或完整性保护的激活是针对每个PDU会话进行的,并在PDU会话建立期间启用。
在步骤204,UE 170向AMF 162传送UE 170的5G安全能力。5G安全能力包括LTE安全算法和NR安全算法。当要在gNB 168和UE 170之间建立AS安全上下文时,AMF 162向gNB 168发送5G安全能力。
在步骤206,UE 170接收来自gNB 168的AS-SMC消息,该AS-SMC消息指示gNB 168选择的用于完整性保护的完整性保护算法和用于加密的加密算法。在步骤208,UE 170向gNB168回复AS安全模式完成消息,该AS安全模式完成消息使用来自步骤206的AS-SMC消息中指示的所选择的完整性保护算法和RRC完整性密钥进行完整性保护。
在步骤210,在UE 170和gNB 168之间激活RRC安全关联。在步骤208中向gNB 168发送AS安全模式完成消息之后,激活UE 170处的RRC上行加密。另外,在接收并成功验证在步骤206中接收的AS-SMC消息之后,激活UE 170处的RRC上行解密。
在步骤212,UE 170可以接收为PDU会话激活用户面的通知。用户面完整性和加密的激活作为使用RRC连接重配置过程的DRB附加过程的一部分来完成,并且与步骤210中的RRC安全关联的激活分离。首先,SMF 164在PDU会话建立过程中向gNB 168发送用户面安全策略。用户面安全策略指示属于PDU会话的DRB的激活状态(启用或禁用)。用户面安全策略用于为属于PDU会话的所有DRB激活用户面加密和/或用户面完整性保护。在一些实施例中,UE 170可以从目标gNB接收切换命令(HANDOVER COMMAND)中的指示,指示将对PDU会话启用用户面完整性保护和/或加密。在步骤214,响应于接收到启用用户面完整性保护和/或加密,UE 170可以激活用户面业务保护。
在实施例中,SMF 164可以向UE 170和gNB 168传送特定PDU会话可以不被加密的信息。因此,UE 170和gNB 168可以忽略gNB 168在AS-SMC过程期间所选择的用户面加密算法,并且可以替代使用下一代(5G)加密算法No.1(NEAo)算法。NEAo算法指示PDU会话的用户面业务为空(NULL)或不加密。在一些实施例中,gNB 168可以在AS-SMC过程期间选择NEAo作为用户面加密算法。因此,UE 170可以认为这是在连接到gNB 168时对所有PDU会话使用NULL算法来支持用户面加密的指示。在实施例中,SMF 164可以向UE170和gNB 168传送特定PDU会话可以不受完整性保护的消息。因此,UE 170和gNB 168可以忽略在AS-SMC过程期间由gNB 168传送的完整性保护算法,并且可以不对该特定用户面PDU会话使用完整性保护。这类似于使用NIA-NULL算法。
图5示出了5G基站(gNB)254与UE 252之间的用于协商RRC完整性保护算法和加密算法的实施例操作的流程图250。在该实施例中,从gNB 254到UE 252的AS-SMC消息类似于4G中用于传送加密算法和完整性保护算法的AS-SMC消息。然而,在该实施例操作中,gNB254与UE 252之间的安全协商包括用于RRC业务的安全关联的协商和激活,而不包括用于用户面业务的安全关联的激活。
在步骤256,gNB 254开始RRC完整性保护过程以建立gNB 254和UE 252之间的安全关联。在步骤258,gNB 254向UE 252发送AS-SMC消息以开始安全算法的协商。AS-SMC消息包括签有(受完整性保护的)MAC-I签名的完整性保护算法和加密算法。完整性保护算法和加密算法在被激活时可以分别用于用户面业务和RRC业务的完整性保护和加密。AS-SMC消息使用RRC完整性密钥进行完整性保护。gNB 254接收来自AMF 162的RRC完整性密钥的根密钥(KgNB),以保护与UE 252之间的信令。UE 252在与AMF 162和SEAF的认证过程中导出相同的RRC完整性密钥。
在步骤260,向UE 252发送AS-SMC消息之后,gNB 254开始RRC下行加密。在步骤262,UE 252使用其导出的RRC完整性密钥来验证所接收的AS-SMC消息的完整性。UE 252对AS-SMC消息的成功验证表示传输实体(即gNB 254)拥有与UE 252相同的RRC完整性密钥。
在步骤264,UE 252成功验证AS-SMC消息的完整性之后,UE 252可以使用完整性保护以与gNB 254传送RRC业务。在步骤266,成功验证了AS-SMC消息之后,UE 252可以信任解密算法并基于解密算法导出加密密钥。
在步骤268,UE 252发送具有MAC-I签名的AS安全模式完成消息。该消息指示AS-SMC消息已被成功验证。AS安全模式完成消息使用AS-SMC消息中指示的加密算法进行加密,并使用AS-SMC消息中指示的完整性保护算法进行完整性保护。在该步骤完成时,UE 252和gNB 254已经成功地验证了所导出的用于RRC业务的完整性保护和加密密钥。在步骤270,发送AS安全模式完成消息之后,UE 252可以开始RRC上行加密。在步骤272,接收并成功验证来自UE 252的AS安全模式完成消息之后,gNB 254可以开始RRC上行解密。
在图5的实施例操作完成时,已经建立并激活了RRC业务的安全关联。但是,用户面安全激活尚未建立,因为在5G中,用户面业务的安全激活与控制面业务的安全激活分离。在一些实施例中,UE 252可以使用与步骤258中的AS-SMC消息中传送和协商的相同的加密算法和完整性保护算法进行用户面加密和用户面完整性保护。然后,UE 252可以基于AS-SMC消息中指示的安全算法导出加密安全密钥和完整性保护密钥。然而,用于PDU会话的用户面加密和完整性保护的激活和启用可以单独地发信号通知或指示给UE 252。安全关联的激活被移动至DRB的配置。在PDU会话建立期间,SMF 174将用于PDU会话的用户面安全策略提供给gNB 254。用户面安全策略指示是否要为属于PDU会话的所有数据无线承载(DRB)启用或禁用用户面完整性保护和/或用户面加密。在接收到用于PDU会话的用户面安全策略之后,gNB 254然后可以使用RRC信令为每个DRB激活用户面完整性保护和/或用户面加密。
图6示出了5G基站(gNB)304与UE 302之间的用于协商RRC完整性保护算法和加密算法的实施例操作的流程图300。在该实施例中,AS-SMC消息包括分别用于RRC业务(即,控制面(control plane,CP))和用于用户面(user plane,UP)业务的单独的完整性保护算法。与图5的实施例相比,图6的实施例中将用于RRC业务和用于用户面业务的安全算法的指示分离,可以有利于为用户面业务和RRC业务分别选择不同的算法提供额外的灵活性。
在步骤306,gNB 304开始RRC完整性保护过程以建立gNB 304和UE 302之间的安全关联。在步骤308,gNB 304向UE 302发送AS-SMC消息以开始协商安全算法。图6的实施例中的AS-SMC消息包括控制面完整性保护算法(CP-完整性算法)、控制面加密算法(CP-加密算法)、用户面完整性保护算法(UP-完整性算法)、以及用户面加密算法(UP-加密算法)。CP-完整性算法用于完整性保护gNB 304和UE 302之间的控制面业务(即RRC业务)。CP-加密算法用于加密gNB 304和UE 302之间的RRC业务。UP-完整性算法激活后用于完整性保护UE 302的用户面业务。UP-加密算法激活后用于加密UE 302的用户面业务。在一些实施例中,AS-SMC消息可以具有与4G中的AS-SMC消息相同的格式,但是具有新的指示以指示分别用于RRC业务和用户面业务的单独的安全指示符。在一些实施例中,AS-SMC消息可以是新类型的消息。在任一实施例中,用户面接收到上述消息包括用于RRC业务和用户面业务的单独算法的指示。作为示例,AS-SMC消息中的信息元素可以允许UE 302解析AS-SMC消息的结构,以确定AS-SMC消息内的不同安全算法指示。
在如先前所描述的在注册过程期间从AMF 162接收到UE 302支持的算法列表之后,gNB304选择每种算法。在一些实施例中,用于控制面业务的算法可以与为用户面业务选择的算法相同。在一些实施例中,用于控制面业务的算法可以与为用户面业务选择的算法不同。
在步骤310,在将AS-SMC消息传送给UE 302时,gNB 304开始RRC下行加密。在步骤312,UE 302使用RRC完整性密钥验证AS-SMC消息的完整性。UE 302成功验证AS-SMC消息则表示发送实体(即,gNB 304)拥有相同的RRC完整性密钥。在步骤314,在步骤312验证AS-SMC消息之后,UE 302可以在与gNB 304的RRC相关通信中使用AS-SMC消息中所指示的控制面完整性保护算法。另外,对AS-SMC消息的成功验证指示对控制面解密算法的信任,在步骤316,UE 302可以基于控制面解密算法导出加密密钥。
在步骤318,UE 302通过信号向gNB 352发送AS安全模式完成消息,该消息可以使用在步骤308中接收到的AS-SMC消息中所指示的CP-加密算法和CP-完整性算法分别进行加密和完整性保护。在步骤320,成功验证所导出的用于RRC业务的完整性保护和加密密钥之后,并在向gNB 304传送AS安全模式完成消息时,UE 302可以开始RRC上行加密。在步骤322,在接收并成功验证来自UE 302的AS安全模式完成消息之后,gNB 304可以开始RRC上行解密。
在图6的实施例操作完成时,RRC业务的安全关联已经建立。应当再次注意的是,在5G中,用户面安全激活是一个独立过程。虽然UE 302已经从gNB 304接收到UP-完整性算法和UP-加密算法,但是用于PDU会话的用户面策略是独立建立的。
图7示出了5G基站(gNB)354与UE 352之间的用于协商RRC完整性保护算法和加密算法的实施例操作的流程图350。在该实施例中,gNB 354在不同时间发送单独的AS-SMC消息(AS-CP SMC和AS-UP SMC)以指示待使用的完整性保护算法和加密算法,该完整性保护算法和加密算法在被激活时分别用于RRC业务和用户面业务。与图6的实施例相比,图7的实施例将用于RRC业务和用户面业务的安全算法的指示分离,可以有利于在指示安全算法时减少开销且同时保持灵活性。
在步骤356,gNB 354开始RRC完整性保护过程以建立gNB 354和UE 352之间的安全关联。在步骤358,gNB 354向UE 352发送AS-CP SMC消息以开始协商安全算法。图7的实施例中的AS-CP SMC消息包括CP-完整性算法和CP-加密算法。CP-完整性算法用于完整性保护gNB 354与UE 352之间的控制面业务(即RRC业务)。CP-加密算法用于加密gNB 354与UE 352之间的RRC业务。在一些实施例中,AS-CP SMC消息可以具有与4G中的AS-SMC消息相同的格式,但是AS-CP SMC消息具有新的指示,该新的指示指示AS-CP SMC消息中包括的完整性保护算法和加密算法被标记为用于控制面业务。在一些实施例中,AS-CP SMC消息可以是被标记为AS-CP SMC的新类型的消息。在任一示例中,用户面接收AS-CP SMC消息中的用于RRC业务的完整性保护算法和加密算法的指示。在从AMF 162接收到UE 352支持的算法列表之后,gNB 354选择AS-CP SMC消息中指示的CP-完整性算法和CP-加密算法。AMF 162可以在UE352向网络注册的过程中接收UE 352支持的算法列表。gNB 354根据gNB 354和UE 352支持的最高优先级算法来选择算法。
在步骤360,在将AS-CP SMC消息传送给UE 352时,gNB 354开始RRC下行加密。在步骤362,UE 352使用RRC完整性密钥来验证AS-CP SMC消息的完整性。UE 352成功验证AS-CPSMC消息则表示发送实体(即,gNB 354)拥有相同的RRC完整性密钥。在步骤364,在步骤362中验证AS-CP SMC消息之后,UE 352可以在与gNB 354的RRC相关通信中使用AS-CP SMC消息中所指示的控制面完整性保护算法。此外,对AS-CP SMC消息的成功验证指示对控制面解密算法的信任,在步骤366,UE 352基于控制面解密算法导出加密密钥。
在步骤368,UE 352通过信号向gNB 354发出AS-CP安全模式完成消息,该消息使用在步骤358中接收到的AS-CP SMC消息中指示的CP-加密算法和CP-完整性算法分别进行加密和完整性保护。在步骤370,成功验证所导出的用于RRC业务的控制面完整性保护和控制面加密密钥之后,并在向gNB 354传送AS-CP安全模式完成消息时,UE 352可以开始RRC上行加密。在步骤372,在接收并成功验证来自UE 352的AS-CP安全模式完成消息之后,gNB354可以开始RRC上行解密。在步骤390,在PDU会话的建立期间以及在与gNB 354建立了RRC业务的安全关联之后,UE 352可以建立用于用户面业务的安全关联。
在步骤374,UE 352可以接收来自gNB 354的单独的用户面特定AS-SMC(即,AS-UPSMC)消息。AS-UP SMC消息可以包括UP-完整性算法和UP-加密算法。UP-完整性算法激活后用于完整性保护UE 352的用户面业务。UP加密算法激活后用于加密UE 352的用户面业务。可以使用基于当前AMF密钥(KAMF)的RRC完整性密钥和控制面完整性算法对AS-UP SMC消息进行完整性保护。
在步骤376,gNB 354向UE 352发送AS-UP SMC消息之后,gNB 354可以可选地开始用户面(user plane,UP)下行加密。用户面下行业务的加密符合PDU会话的安全策略。在建立DRB之后,gNB 354处的用户面下行加密开始。
在步骤378,UE 352验证AS-UP SMC消息的完整性。UE 352成功验证AS-UP SMC消息则表示发送实体(即,gNB 354)拥有相同的完整性密钥。在步骤380,可选地,UE 352可以在用户面完整性保护算法和/或加密算法被激活时将这些算法用于用户面业务。AS-UP SMC消息的成功验证还指示对用户面解密算法的信任,在步骤382,UE 352基于用户面解密算法导出加密密钥。在建立DRB之后,UE 352处的用户面下行解密(加密)可以开始。
在步骤384,UE 352可以向gNB 354发送AS-UP安全模式完成消息,该AS-UP安全模式完成消息使用在步骤358中接收到的AS-CP SMC消息中指示的CP-完整性算法和AMF密钥(KAMF)进行完整性保护。在步骤386,成功验证所导出的用于用户面业务的用户面完整性保护和用户面加密密钥的之后,并在向gNB 354传送AS-UP安全模式完成消息之后,UE 352开始用户面上行加密。在建立DRB之后,UE 352处的用户面上行加密可以开始。在步骤388,接收并成功验证来自UE 352的AS-UP安全模式完成消息之后,gNB 354可以可选地开始用户面上行解密。在建立数据无线承载之后,gNB 354处的用户面上行解密可以开始。
在图7的实施例操作完成时,在gNB 354和UE 352之间对RRC业务和用户面业务的安全关联进行了协商。在PDU会话建立期间,可以单独指示用户面业务安全的激活。在一些实施例中,所有后续的PDU会话可以具有与原始AS-UP SMC消息中所指示的相同的用户面安全策略,并且不针对每个PDU会话重新协商用户安全策略。在这些实施例中,发送一次AS-UPSMC消息,可以使用与AS-UP SMC消息中指示的相同的加密算法和/或相同的完整性保护算法(在这些算法被激活时)来保护所有PDU会话。
然而,在一些实施例中,gNB 354可以发送第二或后续的AS-UP SMC消息,该消息具有用于第二或后续的PDU会话的不同的UP-完整性算法和/或UP-加密算法。在部分这些实施例中,后续的AS-UP SMC消息可以具有与第一AS-UP SMC消息中的第一算法所指示的相同的UP-完整性算法和/或UP-加密算法。发送具有不同算法的后续AS-UP SMC消息而无需向网络重新注册UE的能力为网络提供了额外的灵活性,使得各种PDU会话可以具有不同的相关用户面安全策略。在这些实施例中,在建立相应的PDU会话期间,gNB 354可以向UE 352通知相应的用户面加密算法和/或用户面完整性算法,以及是否要对PDU会话启用的加密和/或完整性保护。如前所述,在PDU会话建立过程中,由SMF决定是否对任何特定的PDU会话进行加密和/或完整性保护。该决定被传送给UE 352和gNB 354。在一些实施例中,gNB 354可以在DRB建立过程中使用RRC信令来与UE 352通信,以发信号通知或指示UE 352将对该特定PDU会话而启用PDU会话加密和/或完整性保护。
举例来说,UE向网络注册并建立RRC安全关联后,在第一PDU会话建立过程中指示的用户安全策略可以包括第一AS-UP SMC消息,该第一AS-UP SMC消息指示可以处理例如128比特密钥的加密算法和/或完整性保护算法。在激活AS-UP SMC消息中指示的用户安全策略之后,根据第一AS-UP SMC消息对用户面业务进行完整性保护和/或加密。在后续的PDU会话建立过程中,UE可以接收第二AS-UP SMC消息,该第二AS-UP SMC消息指示可以处理例如256比特密钥的加密算法和/或完整性保护算法。在激活第二AS-UP SMC消息中指示的第二用户安全策略之后,根据更高安全级别的第二AS-UP SMC消息对用户面业务进行完整性保护和/或加密。在一些实施例中,PDU会话的完成向UE表示期望在后续的PDU会话中有使用更新的算法集和安全关联的更新的安全策略。
在图5、图6和图7所示的实施例中,接入层安全模式命令(例如,AS-SMC、AS-CP SMC等)中的控制面完整性保护算法和/或加密算法的指示是对算法选择的指示,另外也是向UE指示将分别启用RRC业务所需要的RRC完整性保护和/或RRC加密。
图8示出了UE 402、5G基站(gNB)404、AMF实体406、SMF实体408、以及策略控制功能(policy control function,PCF)实体410之间的用于接入层UE注册以及RRC完整性保护算法和加密算法的协商的实施例操作的流程图400。PCF 410与SMF 408一起使用,以确定对特定PDU会话启用用户面完整性保护和/或加密。PCF 410包括具有与网络相关的可用服务和安全策略的数据库。SMF 408将安全策略传送至AMF 406,AMF 406进而将安全策略传送至gNB 404。在配置属于PDU会话的DRB时,gNB 404将安全策略传送至UE 402。在一些实施例中,用于第二PDU会话的安全策略可以具有不同的安全策略配置。在这样的实施例中,SMF408通过AMF 406和gNB 404向UE 402传送更新后的用户面安全策略。
在步骤412,gNB 404预先配置有与gNB 404相关的控制面安全能力的优先级列表(即,控制面完整性保护和加密)以及用户面安全能力的优先级列表(即,用户面完整性保护和加密)。
在步骤412,UE 402向AMF 406发送接入层注册请求,以开始UE 402的接入层认证过程。在步骤416,验证UE 402的真实性,并且在验证真实性后,在步骤418开始UE注册过程。
在步骤420,AMF 406向gNB 404传送N2消息以建立安全上下文。AMF 406传送与UE402相关的5G UE安全能力列表。在步骤422,gNB 404选择gNB 404和UE 402都支持的完整性保护算法和加密算法的最高优先级的算法集,以用于控制面业务(即RRC业务)。
在步骤424,gNB 404向UE 402传送AS-SMC消息以指示供UE 402用于RRC业务的所选的安全算法。AS-SMC消息可以是如图5、图6、或图7的实施例中所描述的AS-SMC消息。在一些实施例中,AS-SMC消息可以包括用于控制面业务和用户面业务的安全算法的指示,该指示使用单个算法指示两个算法集。在一些实施例中,AS-SMC消息可以包括用于RRC业务的安全算法的单独指示和用于用户面业务的安全算法的单独指示。在一些实施例中,AS-SMC消息可以是指示用于控制面业务的安全算法的控制面AS-CP SMC消息。
在步骤426,UE 402接收来自gNB 404的接入层注册接受消息。在步骤426完成时,对UE 402与gNB 404之间的控制面安全策略进行了协商,并且使用AS-SMC消息中所指示的安全算法保护RRC业务。
在步骤428,UE与AMF 406开始建立第一PDU会话。在步骤430,AMF 406向SMF 408发送具有PDU建立请求的会话管理(SM)消息请求。在步骤432,SMF 408获得服务质量(qualityof service,QoS)简档,并且在步骤434,SMF 408确定与第一PDU会话相关的安全策略。在步骤436,SMF 408以对会话管理(session management,SM)消息请求的应答和PDU会话建立接受消息来响应来自AMF 406的请求。
在步骤438,AMF 406通过N2通信发送第二消息,该第二消息向gNB 404指示用于第一PDU会话的用户安全策略。N2消息包括用户安全策略、会话标识符(session identifier)等。
在步骤440,启用在RRC注册过程中激活的符合安全策略的RRC信令,以协商和传送用于用户面业务的用户面安全算法(即,用户面完整性保护算法和用户面加密算法)。在一些实施例中,UE 402可以接收指示用户面安全算法的AS-UP SMC消息。在步骤442,AMF 406以PDU会话建立接受消息来响应来自步骤428的PDU会话建立请求。在步骤444,启动用户面的数据上行链路,并且数据业务的保护符合在PDU会话建立期间所指示的用户面安全策略。在一些实施例中,所有后续的PDU会话可以使用相同的用户面安全算法,但是,在部分这些实施例中,PDU会话可以启用或禁用完整性保护和/或加密。在一些实施例中,第二PDU建立过程类似于第一PDU会话建立过程,其可以包括与UE 402协商的AS-UP SMC消息,以指示用于第二PDU会话的第二安全算法集。类似地,在相应的PDU会话中传送用户面业务之前,后续的PDU会话也可以具有单独的PDU会话建立过程。
本公开实施例提供了用于协商用于5GSA网络架构和NSA网络架构的加密算法和完整性保护算法的机制。图9示出了演进分组系统(evolved packet system,EPS)中的NSA实施例网络架构的示图,该NSA网络架构具有连接至增强型MME(ehanced MME,eMME)504的传统MME 502。NSA网络还包括主eNB 508、辅SgNB 510、和UE 512。图9所示的特定配置是E-UTRAN新无线双连接(E-UTRAN new radio dual connectivity,EN-DC)选项3模式配置,该配置设有4G核心网,具有某些5G能力。UE 512具有4G和NR能力,且可以同时连接到LTE和5GNR。核心网是传统的LTE核心网。传统MME 502专用于与LTE基站(例如eNB,MeNB等)以及与eMME 504进行通信。
在示例实施例中,MeNB 508可以使用本公开实施例来为UE 512协商控制面业务。MeNB508使用LTE空中接口与UE 512协商安全算法。UE 512可以可选地具有连接到多个基站的能力,以进行用户面业务传输。MeNB 508可以将一些或全部用户面业务分流到SgNB 510。SgNB 510不具有与UE 512的控制面业务控制。在这样的示例中,MeNB 508为SgNB 510(代表SgNB 510)协商用户面业务以建立用户面且有利地使用SgNB 510提供的附加容量。在MeNB508和UE 512之间的安全关联建立期间,UE 512的5G安全能力可以与4G安全能力分开发送。这可以是一些运营商采用的部署案例,以逐步向现有网络添加5G接入。
图10示出了用于执行本文描述的方法的实施例处理系统600的框图,处理系统600可被安装在主机设备中。如图所示,处理系统600包括可以按照(或可以不按照)图10所示进行布置的处理器602、存储器604、以及接口606、608、610。处理器602可以是适于执行计算和/或其他处理相关任务的任何部件或部件的集合,并且存储器604可以是适于存储程序和/或指令以供处理器602执行的任何部件或部件的集合。在实施例中,存储器604包括非暂时性计算机可读介质。接口606、608、610可以是允许处理系统600与其他设备/部件和/或用户通信的任何部件或部件的集合。对于实施例,接口606、608、610中的一个或多个可以适于将来自处理器602的数据、控制、或管理消息传送到安装在主机设备和/或远程设备上的应用。作为另一实施例,接口606、608、610中的一个或多个可以适于允许用户或用户设备(例如,个人计算机(personal computer,PC)等)与处理系统600交互/通信。处理系统600可以包括未在图10中示出的附加部件,例如长期存储(例如,非易失性存储器等)。
在一些实施例中,处理系统600被包括在接入电信网络或作为电信网络的一部分的网络设备中。在一个实施例中,处理系统600位于无线或有线电信网络中的网络侧设备中,例如基站、中继站、调度器、控制器、网关、路由器、应用服务器、或电信网络中的任何其他设备。在其他实施例中,处理系统600位于接入无线或有线电信网络的的用户侧设备中,例如移动台、用户设备(user equipment,UE)、个人计算机(personal computer,PC)、平板电脑、可穿戴通信设备(例如,智能手表等)、具有无线能力的车辆、具有无线能力的步行者、具有无线能力的基础设施单元或适用于接入电信网络的任何其他设备。
在一些实施例中,接口606、608、610中的一个或多个接口将处理系统600连接至适于通过电信网络发送和接收信令的收发器。图11示出了适于通过电信网络发送和接收信令的收发器620的框图。收发器620可以安装在主设备中。如图所示,收发器620包括网络侧接口622、耦合器624、发射器626、接收器628、信号处理器630、和设备侧接口632。网络侧接口622可以包括适于通过无线或有线电信网络发送或接收信令的任何部件或部件的集合。耦合器624可以包括适于促进通过网络侧接口622进行双向通信的任何部件或部件的集合。发射器626可以包括适于将基带信号转换成适于通过网络侧接口622进行传输的调制载波信号的任何部件或部件的集合(例如,上变频器、功率放大器等)。接收器628可以包括适于将通过网络侧接口622接收的载波信号转换为基带信号的任何部件或部件的集合(例如,下变频器、低噪声放大器等)。信号处理器630可以包括适于将基带信号转换为适于通过设备侧接口632进行通信(反之亦然)的数据信号的任何部件或部件的集合。设备侧接口632可以包括适于在信号处理器630与主设备内的部件(例如,处理系统600、局域网(local areametworl,LAN)端口等)之间传送数据信号的任何部件或部件的集合。
收发器620可以通过任何类型的通信介质发送和接收信令。在一些实施例中,收发器620通过无线介质发送和接收信令。在一些实施例中,收发器620可以是适于根据诸如蜂窝协议(例如,LTE等)、无线局域网(wireless local area network,WLAN)协议(例如,Wi-Fi等)、或任何其他类型的无线协议(例如,蓝牙、近场通信(near field communication,NFC)等)的无线电信协议进行通信的无线收发器。在这些实施例中,网络侧接口622包括一个或多个天线/辐射元件。在一些实施例中,网络侧接口622可以包括单个天线、多个单独的天线、或用于多层通信的多天线阵列(例如,单输入多输出(single input multipleoutput,SIMO)、多输入单输出(multiple input single output,MISO)、多输入多输出(multiple input multiple output,MIMO)等)。在其他实施例中,收发器620通过诸如双绞线电缆、同轴电缆、光纤等有线介质发送和接收信令。特定的处理系统和/或收发器可以利用所示的所有部件,或者仅利用这些部件的子集,并且集成水平可以因设备而异。
尽管已经对说明书进行了详细的描述,但应当理解的是,在不脱离由所附权利要求定义的本公开的精神和范围的情况下,可以进行各种改变、替换、和变更。在各个附图中,相同的元件用相同的附图标记表示。此外,本公开的范围不限于本文所描述的特定实施例,本领域的普通技术人员将从本公开容易理解的是,当前存在或以后将要开发的过程、机器、制造、物质组成、装置、方法、或步骤可以与本文所述的相应实施方案执行基本相同的功能或实现相同的结果。因此,所附权利要求旨在将这些过程、机器、制造、物质组成、装置、方法、或步骤包括在其范围内。因此,说明书和附图应被仅视为由所附权利要求书所定义的本公开的说明,并且旨在涵盖落入本公开范围内的任何和所有修改、变型、组合、或等同物。

Claims (34)

1.一种用于在无线网络中建立安全通信的方法,所述方法包括:
用户设备(UE)接收来自基站的第一安全命令消息,所述第一安全命令消息包括第一完整性保护算法的指示和第一加密算法的指示,所述第一安全命令消息触发所述UE与所述基站之间的无线资源控制(RRC)业务信令保护过程;以及
所述UE向所述基站发送安全命令完成消息,所述安全命令完成消息触发分组数据单元(PDU)会话建立过程以建立所述UE与所述基站之间的PDU会话。
2.根据权利要求1所述的方法,其中,所述RRC业务信令保护过程包括根据所述第一完整性保护算法和所述第一加密算法协商RRC安全激活。
3.根据权利要求1或2所述的方法,其中,所述第一安全命令消息还包括第二完整性算法的指示和第二加密算法的指示,其中,所述PDU会话建立过程还包括根据所述第二完整性算法和所述第二加密算法协商用于所述PDU会话的用户面安全算法。
4.根据权利要求2所述的方法,还包括:响应于发送所述安全命令完成消息,所述UE接收来自所述基站的第二安全命令消息,所述第二安全命令消息包括第二完整性算法的指示和第二加密算法的指示,所述PDU会话建立过程还包括根据所述第二完整性算法和所述第二加密算法协商用于所述PDU会话的用户面安全算法。
5.根据权利要求1至4中任一项所述的方法,还包括:在后续的PDU会话建立期间,所述UE接收用于配置后续的PDU会话的数据无线承载(DRB)的RRC信令中的第三完整性算法的指示和第三加密算法的指示,所述后续的PDU会话具有相应的PDU建立过程,所述相应的PDU建立过程包括根据所述第三完整性算法和所述第三加密算法协商用于所述后续的PDU会话的用户面安全算法。
6.根据权利要求1所述的方法,还包括:
所述UE接收来自所述基站的安全策略命令,所述安全策略命令指示用于所述PDU会话的用户面加密和用户面完整性保护的激活状态;以及
所述UE根据所述安全策略命令激活用于所述PDU会话的用户面加密和用户面完整性保护。
7.根据权利要求1至6中任一项所述的方法,还包括所述UE向接入管理功能(AMF)节点发送算法列表,所述算法列表包括所述UE支持的完整性算法列表和加密算法列表。
8.根据权利要求1至7中任一项所述的方法,其中,所述第一安全命令消息使用RRC完整性密钥进行完整性保护。
9.根据权利要求1至8中任一项所述的方法,其中,所述安全命令完成消息使用所述第一安全命令消息中指示的所述第一完整性保护算法进行完整性保护。
10.根据权利要求1至9中任一项所述的方法,其中,所述安全命令完成消息指示所述RRC业务信令保护过程已经成功完成。
11.根据权利要求1至10中任一项所述的方法,其中,所述第一安全命令消息是接入层(AS)安全模式命令(SMC)。
12.根据权利要求1至11中任一项所述的方法,其中,所述基站是下一代NodeB(gNB)或下一代增强型NodeB(ng-eNB)。
13.根据权利要求12所述的方法,其中,所述基站是支持与辅节点(SN)的双连接的主节点(MN)。
14.根据权利要求1所述的方法,其中,所述无线网络是第五代(5G)独立(SA)网络架构或5G非独立(NSA)网络架构。
15.根据权利要求1所述的方法,其中,所述PDU会话建立过程包括:
所述UE在所述PDU会话中配置一个或多个数据无线承载(DRB);以及
所述UE根据所述第一完整性保护算法和所述第一加密算法协商用户面安全激活。
16.根据权利要求15所述的方法,其中,所述协商所述用户面安全激活是针对所述一个或多个DRB中的每个DRB分别协商。
17.根据权利要求1所述的方法,其中,所述安全命令完成消息使用所述第一加密算法进行加密。
18.一种用于在无线网络中提供安全策略的方法,所述方法包括:
基站向用户设备(UE)发送安全命令消息,所述安全命令消息包括完整性算法的指示和加密算法的指示,所述安全命令消息触发所述UE与所述基站之间的无线资源控制(RRC)业务信令保护过程;以及
所述基站接收来自所述UE的安全命令完成消息,所述安全命令完成消息触发分组数据单元(PDU)会话建立过程以建立所述UE与所述基站之间的PDU会话。
19.根据权利要求18所述的方法,还包括:
所述基站接收用户面安全策略,所述用户面安全策略指示与所述PDU会话相关的所有数据无线承载(DRB)的用户面加密和用户面完整性保护的激活状态;以及
所述基站向所述UE发送安全策略命令,所述安全策略命令指示用于所述PDU会话的用户面加密和用户面完整性保护的激活状态。
20.根据权利要求18或19所述的方法,其中,在所述PDU会话建立过程中,所述基站接收来自会话管理功能(SMF)节点的所述用户面安全策略。
21.根据权利要求18至20中任一项所述的方法,其中,所述基站处的RRC下行加密在发送所述安全命令消息后开始。
22.根据权利要求18至20中任一项所述的方法,还包括所述基站验证所述安全命令完成消息,其中,所述基站处的RRC上行加密在接收并成功验证所述安全命令完成消息后开始。
23.根据权利要求18所述的方法,还包括所述基站接收来自接入管理功能(AMF)节点的算法列表,所述算法列表包括所述UE支持的完整性算法列表和加密算法列表。
24.根据权利要求23所述的方法,还包括:
所述基站选择与存在于所述基站的配置列表中并由所述UE支持的最高优先级完整性算法对应的所述完整性算法;以及
所述基站选择与存在于所述基站的配置列表中并由所述UE支持的最高优先级加密算法对应的所述加密算法。
25.根据权利要求18所述的方法,其中,所述安全命令消息使用RRC完整性密钥进行完整性保护。
26.根据权利要求18所述的方法,其中,所述安全命令完成消息使用所述安全命令消息中指示的所述完整性算法进行完整性保护。
27.根据权利要求18所述的方法,其中,所述安全命令完成消息指示所述RRC业务信令保护过程已经成功完成。
28.根据权利要求18所述的方法,其中,所述安全命令消息是接入层(AS)安全模式命令(SMC)。
29.根据权利要求18所述的方法,其中,所述基站是下一代NodeB(gNB)或下一代增强型NodeB(ng-eNB)。
30.根据权利要求29所述的方法,其中,所述基站是支持与辅节点(SN)的双连接的主节点(MN)。
31.根据权利要求18所述的方法,其中,所述无线网络是第五代(5G)独立(SA)网络架构或5G非独立(NSA)网络架构。
32.根据权利要求18所述的方法,其中,所述安全命令完成消息使用所述加密算法进行加密。
33.一种用户设备(UE),包括:
非暂时性存储器,包括指令;以及
与所述非暂时性存储器通信的一个或多个处理器,其中,所述一个或多个处理器执行所述指令以:
接收来自基站的第一安全命令消息,所述第一安全命令消息包括第一完整性保护算法的指示和第一加密算法的指示,所述第一安全命令消息触发所述UE与所述基站之间的无线资源控制(RRC)业务信令保护过程;以及
向所述基站发送安全命令完成消息,所述安全命令完成消息触发分组数据单元(PDU)会话建立过程以建立所述UE与所述基站之间的PDU会话。
34.一种基站,包括:
非暂时性存储器,包括指令;以及
与所述非暂时性存储器通信的一个或多个处理器,其中,所述一个或多个处理器执行所述指令以:
向用户设备(UE)发送安全命令消息,所述安全命令消息包括完整性算法的指示和加密算法的指示,所述安全命令消息触发所述基站与所述UE之间的无线资源控制(RRC)业务信令保护过程;以及
接收来自所述UE的安全命令完成消息,所述安全命令完成消息触发分组数据单元(PDU)会话建立过程以建立所述基站与所述UE之间的PDU会话。
CN201880057489.2A 2017-09-08 2018-09-10 用于协商安全性算法和完整性算法的方法和设备 Active CN111052781B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201762556053P 2017-09-08 2017-09-08
US62/556,053 2017-09-08
US16/120,906 US11297502B2 (en) 2017-09-08 2018-09-04 Method and device for negotiating security and integrity algorithms
US16/120,906 2018-09-04
PCT/CN2018/104747 WO2019047942A1 (en) 2017-09-08 2018-09-10 METHOD AND DEVICE FOR NEGOTIATING SAFETY AND INTEGRITY ALGORITHMS

Publications (2)

Publication Number Publication Date
CN111052781A true CN111052781A (zh) 2020-04-21
CN111052781B CN111052781B (zh) 2021-10-15

Family

ID=65632014

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880057489.2A Active CN111052781B (zh) 2017-09-08 2018-09-10 用于协商安全性算法和完整性算法的方法和设备

Country Status (4)

Country Link
US (3) US11297502B2 (zh)
EP (1) EP3677007A4 (zh)
CN (1) CN111052781B (zh)
WO (1) WO2019047942A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114727288A (zh) * 2021-01-05 2022-07-08 中国移动通信有限公司研究院 As smc和nas smc融合方法、装置、设备及介质
CN115486203A (zh) * 2020-04-30 2022-12-16 苹果公司 较细粒度用户平面安全性策略配置
WO2023000139A1 (zh) * 2021-07-19 2023-01-26 北京小米移动软件有限公司 传输凭证的方法、装置、通信设备及存储介质
WO2023005929A1 (zh) * 2021-07-27 2023-02-02 华为技术有限公司 一种通信方法及装置
WO2023024540A1 (zh) * 2021-08-24 2023-03-02 华为技术有限公司 处理报文、获取sa信息的方法、装置、系统及介质

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109560929B (zh) * 2016-07-01 2020-06-16 华为技术有限公司 密钥配置及安全策略确定方法、装置
CN109699028B (zh) * 2017-10-23 2020-08-25 华为技术有限公司 一种生成密钥的方法、装置及系统
CN111641950B (zh) * 2017-11-08 2022-04-29 Oppo广东移动通信有限公司 完整性保护的控制方法、网络设备及计算机存储介质
CN110121168B (zh) * 2018-02-06 2021-09-21 华为技术有限公司 安全协商方法及装置
HUE064177T2 (hu) * 2018-04-04 2024-02-28 Zte Corp Technikák integritásvédelem kezelésére
CN110225517B (zh) * 2018-04-08 2020-07-14 华为技术有限公司 一种信息发送方法、装置、系统以及计算机可读存储介质
WO2019219667A1 (en) * 2018-05-14 2019-11-21 Telefonaktiebolaget Lm Ericsson (Publ) Master gnodebs and method of operating master gnodeb
CN110912854B (zh) * 2018-09-15 2021-03-23 华为技术有限公司 一种安全保护方法、设备及系统
US11962999B2 (en) * 2018-11-02 2024-04-16 Nec Corporation Method, UE, and network for providing KDF negotiation
CN111641944A (zh) * 2019-03-01 2020-09-08 华为技术有限公司 一种通信方法及设备
US11937140B2 (en) * 2019-10-02 2024-03-19 Apple Inc. Quality of service handling procedures
CN116963063A (zh) * 2019-10-02 2023-10-27 苹果公司 用户平面完整性保护处理过程
US12114159B2 (en) * 2019-10-03 2024-10-08 Telefonaktiebolaget Lm Ericsson (Publ) Security settings for user plane data sent over different accesses of a network
WO2021192628A1 (ja) * 2020-03-25 2021-09-30 ソニーグループ株式会社 ネットワーク制御装置、ネットワークの制御方法およびプログラム
WO2021195894A1 (zh) * 2020-03-30 2021-10-07 Oppo广东移动通信有限公司 完整性保护方法和通信设备
CN113784343B (zh) * 2020-05-22 2023-06-20 华为技术有限公司 保护通信的方法和装置
WO2021237753A1 (zh) * 2020-05-29 2021-12-02 华为技术有限公司 通信方法及装置
CN113810902B (zh) * 2020-05-30 2025-09-09 华为技术有限公司 一种确定用户面安全执行信息的方法、装置及系统
CN113455034B (zh) * 2020-07-30 2022-06-10 华为技术有限公司 一种通信方法及装置
WO2022029523A1 (en) * 2020-08-06 2022-02-10 Telefonaktiebolaget Lm Ericsson (Publ) Handling of user equipment in eps and 5gs supporting user plane integrity protection
CN114079915B (zh) * 2020-08-06 2024-11-22 华为技术有限公司 确定用户面安全算法的方法、系统及装置
US12081982B2 (en) * 2020-09-08 2024-09-03 Qualcomm Incorporated Optimization for an initial access stratum security mode command procedure
WO2022237699A1 (zh) * 2021-05-08 2022-11-17 华为技术有限公司 一种激活安全的方法及通信装置
EP4380211A4 (en) * 2021-07-28 2024-08-21 Beijing Xiaomi Mobile Software Co., Ltd. Communication method and apparatus, user equipment, base station, core network device, and storage medium
US11902260B2 (en) * 2021-08-02 2024-02-13 Cisco Technology, Inc. Securing control/user plane traffic
US20240040377A1 (en) * 2022-07-28 2024-02-01 Samsung Electronics Co., Ltd. Method and device for provision key for base station verification in wireless communication system
CN118104264A (zh) * 2022-09-26 2024-05-28 北京小米移动软件有限公司 一种多路径传输方法/装置/设备及存储介质
WO2024085597A1 (en) * 2022-10-17 2024-04-25 Samsung Electronics Co., Ltd. Method and apparatus for selecting selective security mode and flow management in a wireless communication system
GB2630989A (en) * 2023-06-16 2024-12-18 Nokia Technologies Oy Security algorithm selection in communication network environment
GB2637518A (en) * 2024-01-25 2025-07-30 Nokia Technologies Oy Partial user plane protection in mobile networks
WO2025161024A1 (zh) * 2024-02-04 2025-08-07 Oppo广东移动通信有限公司 无线通信方法及通信设备
WO2025161027A1 (zh) * 2024-02-04 2025-08-07 Oppo广东移动通信有限公司 无线通信方法及通信设备
WO2025177170A1 (en) * 2024-02-19 2025-08-28 Telefonaktiebolaget Lm Ericsson (Publ) Mobility when supporting aead algorithms in 3gpp system

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070153793A1 (en) * 2006-01-04 2007-07-05 Innovative Sonic Limited Method and apparatus of modifying integrity protection configuration in a mobile user equipment of a wireless communications system
CN101174943A (zh) * 2006-11-01 2008-05-07 华为技术有限公司 一种数据安全的同步方法及系统
CN102014520A (zh) * 2009-09-08 2011-04-13 杰脉通信技术(上海)有限公司 一种在ue侧确保rrc信令时序的方法
CN102487507A (zh) * 2010-12-01 2012-06-06 中兴通讯股份有限公司 一种实现完整性保护的方法及系统
CN104247328A (zh) * 2013-04-17 2014-12-24 华为技术有限公司 数据传输方法和装置

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE202005021930U1 (de) * 2005-08-01 2011-08-08 Corning Cable Systems Llc Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen
CN101378591B (zh) 2007-08-31 2010-10-27 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN103220674B (zh) 2007-09-03 2015-09-09 华为技术有限公司 一种终端移动时防止降质攻击的方法、系统及装置
CN101552982A (zh) 2008-04-01 2009-10-07 华为技术有限公司 检测降质攻击的方法及用户设备
CN101883346B (zh) * 2009-05-04 2015-05-20 中兴通讯股份有限公司 基于紧急呼叫的安全协商方法与装置
US20120159151A1 (en) * 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
CN102448058B (zh) * 2011-01-10 2014-04-30 华为技术有限公司 一种Un接口上的数据保护方法与装置
US9265087B2 (en) * 2011-03-31 2016-02-16 Lg Electronics Inc. Method for user equipment setting security with network in wireless communication system and apparatus for same
US9277398B2 (en) 2011-08-22 2016-03-01 Sharp Kabushiki Kaisha User equipment capability signaling
PT2807847T (pt) 2012-01-26 2020-12-15 Ericsson Telefon Ab L M Funcionamento de um nó de serviço numa rede
EP2982173B1 (en) * 2013-04-02 2018-05-02 LG Electronics Inc. Method for performing a cell change procedure in a wireless communication system and a device therefor
US9763151B2 (en) 2013-07-04 2017-09-12 Electronics And Telecommunications Research Institute Control method for supporting multiple connections in mobile communication system and apparatus for supporting multiple connections
US10172179B2 (en) * 2013-11-01 2019-01-01 Samsung Electronics Co., Ltd. Method and apparatus for reconfiguring a bearer
WO2015115959A1 (en) 2014-01-31 2015-08-06 Telefonaktiebolaget L M Ericsson (Publ) A method between two enbs to agree on radio resource configuration for a ue which supports dual connectivity between the enbs
US9801055B2 (en) 2015-03-30 2017-10-24 Qualcomm Incorporated Authentication and key agreement with perfect forward secrecy
WO2017039042A1 (ko) * 2015-09-04 2017-03-09 엘지전자(주) 무선 통신 시스템에서 단말의 데이터 송수신 방법 및 장치
EP4102871B1 (en) 2015-12-03 2025-02-05 Telefonaktiebolaget LM Ericsson (publ) Multi-rat security setup
US11296890B2 (en) 2016-01-13 2022-04-05 Telefonaktiebolaget Lm Ericsson (Publ) Integrity protection
EP3446515B1 (en) 2016-04-20 2020-12-02 Convida Wireless, LLC System information provisioning
WO2017200269A1 (ko) * 2016-05-16 2017-11-23 엘지전자(주) 무선 통신 시스템에서 착신 데이터 제어 방법 및 이를 위한 장치
US20180083972A1 (en) * 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system
EP3796741B1 (en) 2016-09-28 2025-08-20 Sony Group Corporation Telecommunications apparatus and methods for handling split radio bearers
CN106851856B (zh) 2016-12-23 2019-04-09 电信科学技术研究院有限公司 一种基于移动中继的无线通信建立方法及网络设备
CN109155949B (zh) * 2017-01-09 2021-06-11 Lg 电子株式会社 无线通信中在网络之间的互通方法及其装置
EP3603322B1 (en) * 2017-03-24 2023-08-16 Nokia Technologies Oy Handling of pdcp duplication and data recovery in new radio access technology
WO2018201506A1 (zh) * 2017-05-05 2018-11-08 华为技术有限公司 一种通信方法及相关装置
US11553388B2 (en) 2017-06-16 2023-01-10 Htc Corporation Device and method of handling mobility between long-term evolution network and fifth generation network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070153793A1 (en) * 2006-01-04 2007-07-05 Innovative Sonic Limited Method and apparatus of modifying integrity protection configuration in a mobile user equipment of a wireless communications system
CN101174943A (zh) * 2006-11-01 2008-05-07 华为技术有限公司 一种数据安全的同步方法及系统
CN102014520A (zh) * 2009-09-08 2011-04-13 杰脉通信技术(上海)有限公司 一种在ue侧确保rrc信令时序的方法
CN102487507A (zh) * 2010-12-01 2012-06-06 中兴通讯股份有限公司 一种实现完整性保护的方法及系统
CN104247328A (zh) * 2013-04-17 2014-12-24 华为技术有限公司 数据传输方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
3GPP: "《3rd Generation Partnership Project;Technical Specification Group Services and System Aspects;Study on the security aspects of the next generation system (Release 14)》", 21 August 2017 *
3GPP: "《SA WG2 Meeting #122bis S2-176118,TS 23.502:Procedures for CM-CONNECTED with RRC inactive state》", 25 August 2017 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115486203A (zh) * 2020-04-30 2022-12-16 苹果公司 较细粒度用户平面安全性策略配置
CN114727288A (zh) * 2021-01-05 2022-07-08 中国移动通信有限公司研究院 As smc和nas smc融合方法、装置、设备及介质
WO2023000139A1 (zh) * 2021-07-19 2023-01-26 北京小米移动软件有限公司 传输凭证的方法、装置、通信设备及存储介质
WO2023005929A1 (zh) * 2021-07-27 2023-02-02 华为技术有限公司 一种通信方法及装置
WO2023024540A1 (zh) * 2021-08-24 2023-03-02 华为技术有限公司 处理报文、获取sa信息的方法、装置、系统及介质

Also Published As

Publication number Publication date
WO2019047942A1 (en) 2019-03-14
US20190082325A1 (en) 2019-03-14
EP3677007A1 (en) 2020-07-08
US20220232384A1 (en) 2022-07-21
EP3677007A4 (en) 2020-07-08
US11895498B2 (en) 2024-02-06
CN111052781B (zh) 2021-10-15
US11297502B2 (en) 2022-04-05
US20220225100A1 (en) 2022-07-14

Similar Documents

Publication Publication Date Title
US11895498B2 (en) Method and device for negotiating security and integrity algorithms
US12267681B2 (en) Delegated data connection
US20230145044A1 (en) Secondary Authentication of a User Equipment
CN113411308B (zh) 一种通信方法、装置和存储介质
JP6304788B2 (ja) 無線ローカルエリアネットワークにおいてユーザ機器(ue)の通信をセキュアにする装置、システム及び方法
JP6912470B2 (ja) 複数の接続およびサービスコンテキストをサポートするためのセキュリティモデルを使用したワイヤレス通信のための方法および装置
EP3695636B1 (en) Method and apparatus for changing pdcp version
CN111316233A (zh) 用于获取ue安全能力的方法和设备
WO2020056433A2 (en) SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo)
US10911942B2 (en) Method and device for transmitting/receiving data using WLAN carrier
US9241273B2 (en) Methods, apparatuses and computer program products for configuration of signaling radio bearers
EP3562186B1 (en) Access control method and device
EP3119118B1 (en) Handling of cellular-wireless local area network aggregation
EP3311599B1 (en) Ultra dense network security architecture and method
KR20230146982A (ko) 무선 통신 시스템에서 단말 인증 방법 및 장치
WO2023213191A1 (zh) 安全保护方法及通信装置
WO2025031156A1 (zh) 通信方法和通信装置
CN119450460A (zh) 通信方法和通信装置
HK40010037A (zh) 对用户设备的辅认证

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant