5GS至EPC重选的安全性处置
文献发布时间:2024-04-18 19:52:40
相关申请的交叉引用
本申请要求于2021年5月12日提交的题为“SECURITY HANDLING OF 5GS TO EPCRESELECTION(5GS至EPC重选的安全性处置)”的美国临时申请S/N.63/187,784以及于2022年5月11日提交的题为“SECURITY HANDLING OF 5GS TO EPC RESELECTION(5GS至EPC重选的安全性处置)”的美国非临时专利申请S.N.17/662,978的权益和优先权,这两篇申请通过援引全部明确纳入于此。
技术领域
本公开一般涉及通信系统,并且尤其涉及通信系统中采用的安全性特征和安全性机制。
引言
无线通信系统被广泛部署以提供诸如电话、视频、数据、消息接发、和广播等各种电信服务。典型的无线通信系统可采用能够通过共享可用系统资源来支持与多个用户通信的多址技术。此类多址技术的示例包括码分多址(CDMA)系统、时分多址(TDMA)系统、频分多址(FDMA)系统、正交频分多址(OFDMA)系统、单载波频分多址(SC-FDMA)系统、以及时分同步码分多址(TD-SCDMA)系统。
这些多址技术已经在各种电信标准中被采纳以提供使不同的无线设备能够在城市、国家、地区、以及甚至全球级别上进行通信的共同协议。示例电信标准是5G新无线电(NR)。5G NR是由第三代伙伴项目(3GPP)为满足与等待时间、可靠性、安全性、可缩放性(例如,与物联网(IoT))相关联的新要求以及其他要求所颁布的连续移动宽带演进的部分。5GNR包括与增强型移动宽带(eMBB)、大规模机器类型通信(mMTC)和超可靠低等待时间通信(URLLC)相关联的服务。5G NR的一些方面可以基于4G长期演进(LTE)标准。存在对5G NR技术的进一步改进的需求。这些改进还可适用于其他多址技术以及采用这些技术的电信标准。
简要概述
以下给出了一个或多个方面的简要概述以提供对此类方面的基本理解。该概述不是所有构想到的方面的详尽综览。该概述既非标识出所有方面的关键性或决定性要素亦非界定任何或所有方面的范围。其唯一目的是以简化形式给出一个或多个方面的一些概念以作为稍后给出的更详细描述之序言。
在本公开的一方面,提供了用于无线通信的方法、计算机可读介质和装置。装置可包括用户装备(UE)。该示例装置可向第一网络实体传送第一跟踪区域更新(TAU)请求,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符。该示例装置还可向第一网络实体传送第二TAU请求,第二TAU请求包括第一信息集合,第二TAU请求使用第二上行链路计数来被完整性保护。该示例装置还可基于第一安全上下文以及第一上行链路计数或第二上行链路计数中的至少一者来导出经映射安全上下文。附加地,该示例装置可基于经映射安全上下文来与第一网络实体进行通信。
在本公开的一方面,提供了用于无线通信的方法、计算机可读介质和装置。装置可包括UE。该示例装置可当执行从与第一RAT相关联的第一蜂窝小区到连接到与不同于第一RAT的第二RAT相关联的第二蜂窝小区的改变时向第一网络实体传送第一TAU请求,第一网络实体与第二RAT相关联,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,并且第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护。该示例装置还可基于第一安全上下文、第一上行链路计数和第一经映射安全上下文来导出第一完整性密钥。附加地,该示例装置可向第一网络实体传送第一TAU请求的重复,第一TAU请求的该重复使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。该示例装置还可基于第一安全上下文、第二上行链路计数和第二经映射安全上下文来导出第二完整性密钥。该示例装置还可从第一网络实体接收下行链路传输。附加地,该示例装置可使用第一完整性密钥和第二完整性密钥中的至少一者来对下行链路传输执行完整性检查。该示例装置还可当使用所导出的完整性密钥对下行链路传输的完整性检查成功时设置UE的主安全密钥,该主安全密钥基于被用于导出所导出的完整性密钥的第一经映射安全上下文或第二经映射安全上下文来设置。
在本公开的另一方面,提供了用于无线通信的方法、计算机可读介质和装置。装置可包括第一网络实体,诸如移动性管理实体(MME)。该示例装置可接收由UE生成的第一TAU请求,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符。该示例装置还可基于第一TAU请求来输出针对第二网络实体的第一上下文请求,第二网络实体与第一RAT相关联。附加地,该示例装置可基于第一上下文请求来接收第一经映射安全上下文,第一经映射安全上下文从第一安全上下文和第一上行链路计数导出。该示例装置还可接收第二TAU请求,第二TAU请求使用第一安全上下文来编码,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护,并且第二TAU请求包括第一信息集合。该示例装置还可基于第二TAU请求来输出针对第二网络实体的第二上下文请求。该示例装置还可基于第二上下文请求来接收第二经映射安全上下文,第二经映射安全上下文从第一安全上下文和第二上行链路计数导出。附加地,该示例装置可基于第二经映射安全上下文来传送下行链路消息。在本公开的另一方面,提供了用于无线通信的方法、计算机可读介质和装置。装置可包括第二网络实体,诸如接入和移动性管理功能(AMF)。该示例装置可接收第一上下文请求,第一上下文请求至少包括由UE生成的第一TAU请求,第一TAU请求使用第一上行链路计数来被完整性保护,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,第一RAT不同于与第一网络实体相关联的第二RAT。该示例装置还可当对第一TAU请求的第一完整性检查成功时导出第一经映射安全上下文。该示例装置可输出用于第一网络实体的第一经映射安全上下文。附加地,该示例装置可接收第二上下文请求,第二上下文请求至少包括由UE生成的第二TAU请求,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。该示例装置还可当对第二TAU请求的第二完整性检查成功时导出第二经映射安全上下文。附加地,该示例装置可输出用于第一网络实体的第二经映射安全上下文。
在本公开的一方面,提供了一种用于在第一网络实体(诸如MME)处进行无线通信的方法、计算机可读介质和装置。一种示例装置可从UE接收第一TAU请求,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符。该示例装置还可基于第一TAU请求来向第二网络实体传送第一上下文请求,第二网络实体与第一RAT相关联。附加地,该示例装置可基于第一上下文请求来从第二网络实体接收第一经映射安全上下文,第一经映射安全上下文从第一安全上下文和第一上行链路计数导出。此外,该示例装置可从UE接收第二TAU请求,第二TAU请求使用第一安全上下文来编码,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护,并且第二TAU请求包括第一信息集合。该示例装置还可基于第二TAU请求来向第二网络实体传送第二上下文请求。该示例装置还可基于第二上下文请求来从第二网络实体接收第二经映射安全上下文,第二经映射安全上下文从第一安全上下文和第二上行链路计数导出。附加地,该示例装置可基于第二经映射安全上下文来向UE传送下行链路消息。
在本公开的另一方面,提供了一种用于在第二网络实体(诸如AMF)处进行无线通信的方法、计算机可读介质和装置。一种示例装置可从第一网络实体接收第一上下文请求,第一上下文请求至少包括由UE生成的第一TAU请求,第一TAU请求使用第一上行链路计数来被完整性保护,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,第一RAT不同于与第一网络实体相关联的第二RAT。该示例装置还可当对第一TAU请求的完整性检查成功时导出第一经映射安全上下文。附加地,该示例装置可向第一网络实体传送第一经映射安全上下文。该示例装置还可从第一网络实体接收第二上下文请求,第二上下文请求包括至少由UE生成的第二TAU请求,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。附加地,该示例装置可当对第二TAU请求的完整性检查成功时导出第二经映射安全上下文。该示例装置还可向第一网络实体传送第二经映射安全上下文。
在本公开的另一方面,提供了一种用于在UE处进行无线通信的方法、计算机可读介质和装置。一种示例装置可向第一网络实体传送第一TAU请求,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符。该示例装置还可基于第一安全上下文和第一上行链路计数来导出第一经映射安全上下文。附加地,该示例装置可向第一网络实体传送第二TAU请求,第二TAU请求使用第一安全上下文来编码,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护,并且第二TAU请求包括第一信息集合。该示例装置还可基于第一安全上下文和第二上行链路计数来导出第二经映射安全上下文。附加地,该示例装置可基于第二经映射安全上下文来与第一网络实体进行通信。
在本公开的另一方面,提供了一种用于在UE处进行无线通信的方法、计算机可读介质和装置。一种示例装置可当执行从与第一RAT相关联的第一蜂窝小区到连接到与不同于第一RAT的第二RAT相关联的第二蜂窝小区的改变时向第一网络实体传送第一TAU请求,第一网络实体与第二RAT相关联,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符。该示例装置还可向第一网络实体传送第一TAU请求的重复,第一TAU请求的该重复包括第一信息集合,第一TAU请求的该重复使用第一上行链路计数来被完整性保护。附加地,该示例装置可基于第一安全上下文和第一上行链路计数来导出经映射安全上下文。该示例装置还可基于经映射安全上下文来与第一网络实体进行通信。
在本公开的另一方面,提供了一种用于在UE处进行无线通信的方法、计算机可读介质和装置。一种示例装置可当执行从与第一RAT相关联的第一蜂窝小区到连接到与不同于第一RAT的第二RAT相关联的第二蜂窝小区的改变时向第一网络实体传送第一TAU请求,第一网络实体与第二RAT相关联,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,并且第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护。该示例装置还可基于第一安全上下文、第一上行链路计数和第一经映射安全上下文来导出第一完整性密钥。附加地,该示例装置可向第一网络实体传送第一TAU请求的重复,第一TAU请求的该重复使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。该示例装置还可基于第一安全上下文、第二上行链路计数和第二经映射安全上下文来导出第二完整性密钥。附加地,该示例装置可从第一网络实体接收下行链路传输。该示例装置还可使用第一完整性密钥和第二完整性密钥中的至少一者来对下行链路传输执行完整性检查。附加地,该示例装置可当使用所导出的完整性密钥来对下行链路传输执行完整性检查成功时,设置UE的主安全密钥,该主安全密钥基于相应的完整性密钥来设置。
为了达成前述及相关目的,这一个或多个方面包括在下文充分描述并在权利要求中特别指出的特征。以下描述和附图详细阐述了这一个或多个方面的某些解说性特征。然而,这些特征仅指示可采用各个方面的原理的各种方式中的数种方式。
附图简述
图1是解说无线通信系统和接入网的示例的示图。
图2A是解说根据本公开的各个方面的第一帧的示例的示图。
图2B是解说根据本公开的各个方面的在子帧内的DL信道的示例的示图。
图2C是解说根据本公开的各个方面的第二帧的示例的示图。
图2D是解说根据本公开的各个方面的在子帧内的UL信道的示例的示图。
图3是解说接入网中的基站和用户装备(UE)的示例的示图。
图4是解说根据本文中所公开的教导的包括第一网络节点、第二网络节点、UE、演进型分组核心(EPC)和核心网(例如,5G核心(5GC))的无线通信系统和接入网的示例的示图。
图5描绘了根据本文中所公开的教导的不同的安全上下文的示例。
图6是根据本文中所公开的教导的描绘从第一RAT到第二RAT的空闲模式移动性的示例通信流。
图7是根据本文中所公开的教导的在UE处进行无线通信的方法的流程图。
图8是根据本文中所公开的教导的在UE处进行无线通信的方法的流程图。
图9是根据本文中所公开的教导的在UE处进行无线通信的方法的流程图。
图10是根据本文中所公开的教导的在UE处进行无线通信的方法的流程图。
图11是解说根据本文中所公开的教导的示例设备的硬件实现的示例的示图。
图12是根据本文中所公开的教导的在网络实体处进行无线通信的方法的流程图。
图13是根据本文中所公开的教导的在网络实体处进行无线通信的方法的流程图。
图14是根据本文中所公开的教导的在网络实体处进行无线通信的方法的流程图。
图15是根据本文中所公开的教导的在网络实体处进行无线通信的方法的流程图。
图16是解说用于示例网络实体的硬件实现的示例的示图。
图17是解说用于示例网络实体的硬件实现的示例的示图。
详细描述
在给定的地理区域中可部署任何数目的无线网络。每个无线网络可支持特定的无线电接入技术(RAT),并且可在一个或多个频率上操作。在一些示例中,UE可被连接到与第一RAT(诸如5G)相关联的第一蜂窝小区。第一蜂窝小区可能无法向UE提供支持。例如,5G的覆盖在某些部署场景中可能非无处不在。在其他示例中,第一RAT可能无法提供服务,诸如其中服务上语音在第一RAT上被发起的语音。为了向UE提供支持,该UE和第一RAT可支持从第一RAT到第二RAT的重选,第二RAT可向UE提供关于该服务的支持。例如,为了支持语音支持,UE和第一蜂窝小区可支持其中该UE回退到与第二RAT相关联的第二蜂窝小区的回退规程。
当UE从第一蜂窝小区回退到第二蜂窝小区时,该UE可执行重选规程。例如,UE可执行5G至演进型分组核心(EPC)重选规程。当UE执行重选规程时,该UE可发起TAU规程以在第二蜂窝小区和相关联的第二RAT的跟踪区域内注册其自身。
为了提供跨无线通信系统的通信的安全性,可对该无线通信系统的设备之间交换的消息进行完整性保护。完整性保护可基于包括一个或多个安全密钥的安全上下文。在一些示例中,安全上下文可包括用于认证、完整性保护和加密的一个或多个安全参数,并且可由密钥集标识符(KSI)来标识。在一些示例中,每个RAT可与相应安全上下文相关联。为了促成从第一蜂窝小区到第二蜂窝小区的重选,相应RAT的网络实体可促成将与一个RAT相关联的第一安全上下文映射到与另一个RAT相关联的第二安全上下文。例如,与5G相关联的网络实体可促成将5G安全上下文映射到EPC安全上下文。在一些示例中,将5G安全上下文映射到EPC安全上下文可包括使用5G安全上下文来导出EPC安全上下文。EPC安全上下文可使得UE能够在从第一蜂窝小区切换到第二蜂窝小区之后与关联于EPC网络的第二蜂窝小区进行通信。
在一些场景中,在UE与第二蜂窝小区建立连接并传送TAU请求消息之后,可能会发生无线电链路故障(RLF)。在此类示例中,UE可重传TAU请求消息。然而,第一安全上下文到第二安全上下文的映射可能导致不一致性,这可能导致通信失败。
本文所公开的示例提供了用于消除如上所述的TAU请求消息的重复的处置中的不一致性的技术。在第一方面,所公开的技术可通过修改网络如何处置TAU请求消息的重复来消除不一致性。在第二方面,所公开的技术可通过修改UE如何完整性保护TAU请求消息来消除不一致性。在第三方面,所公开的技术可通过修改UE如何执行消息的完整性验证来消除不一致性。
本文所呈现的各方面可使得无线通信系统的设备能够在RLF和演进型分组系统(EPS)TAU请求的重传的情形中促成5GS至EPC重选的安全性处置,从而促成改进的移动性支持。
以下结合附图阐述的详细描述了各种配置而不表示可实践本文所描述的概念的仅有配置。本详细描述包括具体细节以提供对各种概念的透彻理解。然而,可在没有这些具体细节的情况下实践这些概念。在一些实例中,以框图形式示出众所周知的结构和组件以便避免淡化此类概念。
参考各种装置和方法给出电信系统的若干方面。这些装置和方法在以下详细描述中进行描述并在附图中由各种框、组件、电路、过程、算法等(统称为“元素”)来解说。这些元素可使用电子硬件、计算机软件、或其任何组合来实现。此类元素是实现成硬件还是软件取决于具体应用和加诸于整体系统上的设计约束。
作为示例,元素、或元素的任何部分、或者元素的任何组合可被实现为包括一个或多个处理器的“处理系统”。处理器的示例包括:微处理器、微控制器、图形处理单元(GPU)、中央处理单元(CPU)、应用处理器、数字信号处理器(DSP)、精简指令集计算(RISC)处理器、片上系统(SoC)、基带处理器、现场可编程门阵列(FPGA)、可编程逻辑器件(PLD)、状态机、门控逻辑、分立的硬件电路以及其他配置成执行本公开中通篇描述的各种功能性的合适硬件。处理系统中的一个或多个处理器可以执行软件。软件(无论称为软件、固件、中间件、微代码、硬件描述语言或其他)应当被宽泛地解释成意为指令、指令集、代码、代码段、程序代码、程序、子程序、软件组件、应用、软件应用、软件包、例程、子例程、对象、可执行件、执行的线程、规程、函数或其任何组合。
相应地,在一个或多个示例方面、实现、和/或用例,所描述的功能可以在硬件、软件、或其任何组合中实现。如果在软件中实现,则各功能可作为一条或多条指令或代码存储或编码在计算机可读介质上。计算机可读介质包括计算机存储介质。存储介质可以是可由计算机访问的任何可用介质。作为示例,此类计算机可读介质可包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程ROM(EEPROM)、光盘存储、磁盘存储、其他磁性存储设备、这些类型的计算机可读介质的组合、或能够被用于存储可被计算机访问的指令或数据结构形式的计算机可执行代码的任何其他介质。
虽然在本申请中通过对一些示例的解说来描述各方面、实现、和/或用例,但在许多不同布置和场景中可产生附加的或不同的方面、实现、和/或用例。本文中所描述的各方面、实现、和/或用例可跨许多不同的平台类型、设备、系统、形状、大小、以及封装布置来实现。例如,各方面、实现、和/或用例可经由集成芯片实现和其他基于非模块组件的设备(例如,端用户设备、交通工具、通信设备、计算设备、工业装备、零售/购物设备、医疗设备、启用人工智能(AI)的设备等)来产生。虽然一些示例可以是或可以不是专门针对各用例或应用的,但可出现所描述示例的广泛适用性。各方面、实现、和/或用例的范围可从芯片级或模块组件至非模块、非芯片级实现,并进一步至纳入本文中一个或多个技术的聚集的、分布式或原始装备制造商(OEM)设备或系统。在一些实际环境中,纳入所描述的各方面和特征的设备还可包括用于实现和实践所要求保护并描述的各方面的附加组件和特征。例如,无线信号的传送和接收必需包括用于模拟和数字目的的数个组件(例如,硬件组件,包括天线、RF链、功率放大器、调制器、缓冲器、处理器、交织器、加法器/求和器等等)。本文中所描述的技术可以在各种大小、形状和构成的各种各样的设备、芯片级组件、系统、分布式布置、聚集的或分解式组件、端用户设备等等中实践。
通信系统(诸如5G NR系统)的部署可以按多种方式布置有各种组件或组成部件。在5G NR系统或网络中,网络节点、网络实体、网络的移动性元件、无线电接入网(RAN)节点、核心网节点、网络元件或网络设备(诸如基站(BS)、或执行基站功能性的一个或多个单元(或一个或多个组件)可以在聚集或分解式架构中实现。例如,BS(诸如节点B(NB)、演进型NB(eNB)、NR BS、5G NB、接入点(AP)、传送接收点(TRP)或蜂窝小区等)可以实现为聚集基站(也称为自立BS或单片BS)或分解式基站。
聚集式基站可被配置成利用物理上或逻辑上集成在单个RAN节点内的无线电协议栈。分解式基站可被配置成利用物理上或逻辑上分布在两个或更多个单元(诸如一个或多个中央或集中式单元(CU)、一个或多个分布式单元(DU)或一个或多个无线电单元(RU))之间的协议栈。在一些方面,CU可以在RAN节点内实现,并且一个或多个DU可以与CU共置,或者替换地,可以在地理上或虚拟地分布在一个或多个其他RAN节点中。DU可以被实现成与一个或多个RU通信。CU、DU和RU中的每一者可以被实现为虚拟单元,即虚拟中央单元(VCU)、虚拟分布式单元(VDU)或虚拟无线电单元(VRU)。
基站操作或网络设计可以考虑基站功能性的聚集特性。例如,分解式基站可以在集成接入回程(IAB)网络、开放式无线电接入网(O-RAN(诸如由O-RAN联盟倡议的网络配置))或虚拟化无线电接入网(vRAN,也称为云无线电接入网(C-RAN))中使用。分解可以包括跨各种物理位置处的两个或更多个单元上分布功能性,以及虚拟地分布至少一个单元的功能性,这可以实现网络设计的灵活性。分解式基站或分解式RAN架构的各个单元可以被配置用于与至少一个其他单元进行有线或无线通信。
图1是解说无线通信系统和接入网的示例的示图100。所解说的无线通信系统包括分解式基站架构。分解式基站架构可以包括一个或多个CU(例如,CU 110),其可以经由回程链路直接与核心网120通信,或者通过一个或多个分解式基站单元(诸如经由E2链路的近实时(Near-RT)RAN智能控制器(RIC)(例如,Near-RT RIC 125),或者与服务管理和编排(SMO)框架(例如,SMO框架105)相关联的非实时(Non-RT)RIC 115,或者两者)间接与核心网120通信。CU 110可经由相应中程链路(诸如F1接口)来与一个或多个DU(例如,DU 130)进行通信。DU 130可经由相应去程链路来与一个或多个RU(例如,RU 140)进行通信。RU 140可经由一个或多个射频(RF)接入链路来与相应UE(例如,UE 104)进行通信。在一些实现中,UE 104可由多个RU同时服务。
单元中的每一者(即,CU(例如,CU 110)、DU(例如,DU 130)、RU(例如,RU 140),以及近RT RIC(例如,近RT RIC 125)、非RT RIC(例如,非RT RIC 115)和SMO框架105)可以包括一个或多个接口或者耦合到一个或多个接口,该一个或多个接口被配置成经由有线或无线传输介质来接收或传送信号、数据或信息(统称为信号)。单元中的每一者或向这些单元的通信接口提供指令的相关联的处理器或控制器可被配置成经由传输介质与其他单元中的一者或多者进行通信。例如,这些单元可包括有线接口,该有线接口被配置成在有线传输介质上向其他单元中的一者或多者接收或传送信号。另外,这些单元可包括无线接口,该无线接口可包括接收机、发射机或收发机(诸如RF收发机),该接收机、发射机或收发机被配置成在无线传输介质上向其他单元中的一者或多者接收或传送信号,或两者。
在一些方面,CU 110可主存一个或多个更高层控制功能。此类控制功能可以包括无线电资源控制(RRC)、分组数据汇聚协议(PDCP)、服务数据适配协议(SDAP)等。每个控制功能可以实现成具有被配置成与由CU 110主存的其他控制功能传达信号的接口。CU 110可被配置成处置用户面功能性(即,中央单元-用户面(CU-UP))、控制面功能性(即,中央单元-控制面(CU-CP))或其组合。在一些实现中,CU 110可在逻辑上被拆分成一个或多个CU-UP单元和一个或多个CU-CP单元。当在O-RAN配置中实现时,CU-UP单元可经由接口(诸如E1接口)与CU-CP单元进行双向通信。根据需要,CU 110可以被实现成与DU 130通信,以用于网络控制和信令。
DU 130可以对应于包括一个或多个基站功能以控制一个或多个RU的操作的逻辑单元。在一些方面,DU 130可至少部分地取决于功能划分(诸如由3GPP定义的功能划分)来主存无线电链路控制(RLC)层、媒体接入控制(MAC)层和一个或多个高物理(PHY)层(诸如用于前向纠错(FEC)编码和解码、加扰、调制和解调等的模块)中的一者或多者。在一些方面,DU 130可进一步主存一个或多个低PHY层。每个层(或模块)可以实现成具有接口,该接口被配置成与由DU 130主存的其他层(和模块)或者与由CU 110主存的控制功能传达信号。
较低层功能性可由一个或多个RU实现。在一些部署中,由DU 140控制的RU 130可以至少部分地基于功能划分(诸如较低层的功能划分)来对应于主存RF处理功能或低PHY层功能(诸如执行快速傅立叶变换(FFT)、逆FFT(iFFT)、数字波束成形、物理随机接入信道(PRACH)提取和滤波等)或两者的逻辑节点。在此类架构中,RU 140可以被实现成处置与一个或多个UE(例如,UE 104)的空中(OTA)通信。在一些实现中,与RU 140的控制和用户面通信的实时和非实时方面可以由对应的DU来控制。在一些场景中,该配置可使得(诸)DU和CU110能够在基于云的RAN架构(诸如vRAN架构)中实现。
SMO框架105可被配置成支持非虚拟化和虚拟化网络元件的RAN部署和置备。对于非虚拟化网络元件,SMO框架105可以被配置成支持用于RAN覆盖要求的专用物理资源的部署,该RAN覆盖要求可以经由操作和维护接口(诸如O1接口)来管理。对于虚拟化网络元件,SMO框架105可被配置成与云计算平台(诸如开放云(O-Cloud)190)交互,以经由云计算平台接口(诸如O2接口)执行网络元件生命周期管理(诸如实例化虚拟化网络元件)。此类虚拟化网络元件可包括但不限于CU、DU、RU和近RT RIC。在一些实现中,SMO框架105可以经由O1接口与4G RAN的硬件方面(诸如开放式eNB(O-eNB)111)通信。另外,在一些实现中,SMO框架105可经由O1接口直接与一个或多个RU进行通信。SMO框架105还可包括被配置成支持SMO框架105的功能性的非RT RIC 115。
非RT RIC 115可被配置成包括逻辑功能,该逻辑功能实现RAN元素和资源、包括模型训练和更新的人工智能(AI)/机器学习(ML)(AI/ML)工作流、或者对近RT RIC 125中的应用/特征的基于策略的指导的非实时控制和优化。非RT RIC 115可被耦合到近RT RIC 125或与其通信(诸如经由A1接口)。近RT RIC 125可被配置成包括逻辑功能,该逻辑功能经由通过接口(诸如经由E2接口)的数据收集和动作实现RAN元件和资源的近实时控制和优化,该接口将一个或多个CU、一个或多个DU、或两者、以及O-eNB与近RT RIC 125连接。
在一些实现中,为了生成要部署在近RT RIC 125中的AI/ML模型,非RT RIC 115可以从外部服务器接收参数或外部丰富信息。此类信息可以由近RT RIC 125利用,并且可以在SMO框架105或非RT RIC 115处从非网络数据源或从网络功能接收。在一些示例中,非RTRIC 115或近RT RIC 125可被配置成调谐RAN行为或性能。例如,非RT RIC 115可以监控性能的长期趋势和模式,并且采用AI/ML模型来通过SMO框架105(诸如经由O1的重配置)或经由RAN管理策略(诸如A1策略)的创建来执行纠正动作。
CU 110、DU 130和RU 140中的至少一者可被称为基站102。因此,基站102可包括CU110、DU 130和RU 140中的一者或多者(每个组件用虚线指示以表示每个组件可被包括在基站102中或可不被包括在基站102中)。基站102为UE 104提供去往核心网120的接入点。基站102可包括宏蜂窝小区(高功率蜂窝基站)和/或小型蜂窝小区(低功率蜂窝基站)。小型蜂窝小区包括毫微微蜂窝小区、微微蜂窝小区、和微蜂窝小区。包括小型蜂窝小区和宏蜂窝小区两者的网络可被称为异构网络。异构网络还可包括归属演进型B节点(eNB)(HeNB),该HeNB可向被称为封闭订户群(CSG)的受限群提供服务。RU(例如,RU 104)与UE(例如,UE 104)之间的通信链路140可包括从UE 104到RU 140的上行链路(UL)(也称为反向链路)传输和/或从RU 140到UE 104的下行链路(DL)(也称为前向链路)传输。通信链路可使用多输入多输出(MIMO)天线技术,包括空间复用、波束成形和/或发射分集。这些通信链路可通过一个或多个载波。对于在每个方向上用于传输的总共至多达Yx MHz(x个分量载波)的载波聚集中分配的每个载波,基站102/UE 104可使用至多达Y MHz(例如,5、10、15、20、100、400MHz等)带宽的频谱。这些载波可以或者可以不彼此毗邻。载波的分配可以关于DL和UL是非对称的(例如,与UL相比可将更多或更少载波分配给DL)。分量载波可包括主分量载波以及一个或多个副分量载波。主分量载波可被称为主蜂窝小区(PCell),并且副分量载波可被称为副蜂窝小区(SCell)。
某些UE可使用设备到设备(D2D)通信(例如,D2D链路158)来彼此通信。D2D通信链路158可使用DL/UL无线广域网(WWAN)频谱。D2D通信链路158可使用一个或多个侧链路信道,诸如物理侧链路广播信道(PSBCH)、物理侧链路发现信道(PSDCH)、物理侧链路共享信道(PSSCH)、以及物理侧链路控制信道(PSCCH)。D2D通信可通过各种各样的无线D2D通信系统,诸如举例而言,蓝牙、以电气与电子工程师协会(IEEE)802.11标准为基础的Wi-Fi、LTE、或NR。
无线通信系统可进一步包括例如在5GHz无执照频谱等中经由通信链路154与UE104(也被称为Wi-Fi站(STA))进行通信的Wi-Fi AP 150。当在无执照频谱中通信时,UE104/Wi-Fi AP 150可在通信之前执行畅通信道评估(CCA)以确定该信道是否可用。
通常基于频率/波长来将电磁频谱细分成各种类、频带、信道等。在5G NR中,两个初始操作频带已被标识为频率范围指定FR1(410MHz–7.125GHz)和FR2(24.25GHz–52.6GHz)。尽管FR1的一部分大于6GHz,但在各种文档和文章中,FR1通常(可互换地)被称为“亚6GHz”频带。关于FR2有时会出现类似的命名问题,尽管不同于由国际电信联盟(ITU)标识为“毫米波”频带的极高频率(EHF)频带(30GHz–300GHz),但是FR2在各文档和文章中通常(可互换地)被称为“毫米波”频带。
FR1与FR2之间的频率通常被称为中频带频率。最近的5G NR研究已将这些中频带频率的操作频带标识为频率范围指定FR3(7.125GHz–24.25GHz)。落在FR3内的频带可以继承FR1特性和/或FR2特性,并且由此可有效地将FR1和/或FR2的特征扩展到中频带频率中。附加地,目前正在探索较高频带,以将5G NR操作扩展到52.6GHz以上。例如,三个较高操作频带已被标识为频率范围指定FR2-2(52.6GHz–71GHz)、FR4(71GHz–114.25GHz)和FR5(114.25GHz–300GHz)。这些较高频带中的每一者都落在EHF频带内。
考虑到以上各方面,除非特别另外声明,否则如果在本文中使用,术语“亚6GHz”等可广义地表示可小于6GHz、可在FR1内、或可包括中频带频率的频率。此外,除非特别另外声明,否则如果在本文中使用,术语“毫米波”等可广义地表示频率,其可包括中频带频率,可在FR2、FR4、FR2-2和/或FR5内,或可在EHF频带内。
基站102和UE 104可各自包括多个天线,诸如天线振子、天线面板和/或天线阵列以促成波束成形。基站102可在一个或多个传送方向上向UE 104传送经波束成形信号182。UE 104可在一个或多个接收方向上从基站102接收经波束成形信号。UE 104也可在一个或多个传送方向上向基站102传送经波束成形信号184。基站102可在一个或多个接收方向上从UE 104接收经波束成形信号。基站102/UE 104可执行波束训练以确定基站102/UE 104中的每一者的最佳接收方向和传送方向。基站102的传送方向和接收方向可以相同或可以不同。UE 104的传送方向和接收方向可以相同或可以不同。
基站102可包括和/或被称为gNB、B节点、eNB、接入点、基收发机站、无线电基站、无线电收发机、收发机功能、基本服务集(BSS)、扩展服务集(ESS)、传送接收点(TRP)、网络节点、网络实体、网络装备或某个其他合适术语。基站102可被实现为集成接入和回程(IAB)节点、中继节点、侧链路节点、具有基带单元(BBU)(包括CU和DU)和RU的聚集式(单片)基站,或者被实现为包括CU、DU和/或RU中的一者或多者的分解式基站。可包括分解式基站和/或聚集式基站的基站集合可被称为下一代(NG)RAN(NG-RAN)。
核心网120可包括接入和移动性管理功能(AMF)(例如,AMF 161)、会话管理功能(SMF)(例如,SMF 162)、用户面功能(UPF)(例如,UPF 163)、统一数据管理(UDM)(例如,UDM164)、一个或多个位置服务器168以及其他功能实体。AMF 161是处理UE 104与核心网120之间的信令的控制节点。AMF 161支持注册管理、连接管理、移动性管理和其他功能。SMF 162支持会话管理和其他功能。UPF 163支持分组路由、分组转发和其他功能。UDM 164支持认证和密钥协商(AKA)凭证的生成、用户标识处置、接入授权和订阅管理。一个或多个位置服务器168被解说为包括网关移动位置中心(GMLC)(例如,GMLC 165)和位置管理功能(LMF)(例如,LMF 166)。然而,通常,一个或多个位置服务器168可包括一个或多个位置/定位服务器,其可包括GMLC 165、LMF 166、定位确定实体(PDE)、服务移动位置中心(SMLC)、移动定位中心(MPC)等中的一者或多者。GMLC 165和LMF 166支持UE位置服务。GMLC 165为客户端/应用(例如,紧急服务)提供用于接入UE定位信息的接口。LMF 166经由AMF 161从NG-RAN和UE104接收测量和辅助信息,以计算UE 104的定位。NG-RAN可利用一种或多种定位方法来确定UE 104的定位。定位UE 104可涉及信号测量、定位估计和基于测量的可选速度计算。信号测量可由UE 104和/或服务基站(例如,基站102)进行。测得的信号可基于以下中的一者或多者:卫星定位系统(SPS)170(例如,全球导航卫星系统(GNSS)、全球定位系统(GPS)、非地面网络(NTN)或其他卫星定位/位置系统中的一者或多者)、LTE信号、无线局域网(WLAN)信号、蓝牙信号、地面信标系统(TBS)、基于传感器的信息(例如,气压传感器、运动传感器)、NR增强型蜂窝小区ID(NR E-CID)方法、NR信号(例如,多往返时间(多-RTT)、DL出发角(DL-AoD)、DL抵达时间差(DL-TDOA)、UL抵达时间差(UL-TDOA)和UL抵达角(UL-AoA)定位)和/或其他系统/信号/传感器。
UE的示例包括蜂窝电话、智能电话、会话发起协议(SIP)电话、膝上型设备、个人数字助理(PDA)、卫星无线电、全球定位系统、多媒体设备、视频设备、数字音频播放器(例如,MP3播放器)、相机、游戏控制台、平板设备、智能设备、可穿戴设备、交通工具、电表、气泵、大型或小型厨房电器、健康护理设备、植入物、传感器/致动器、显示器、或任何其他类似的功能设备。一些UE可被称为IoT设备(例如,停车计时器、油泵、烤箱、交通工具、心脏监视器等)。UE 104也可被称为站、移动站、订户站、移动单元、订户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手持机、用户代理、移动客户端、客户端、或某种其他合适的术语。在一些场景中,术语UE还可适用于一个或多个伴随设备,诸如在设备星座布置中。这些设备中的一个或多个设备可共同地接入网络和/或个体地接入网络。
再次参照图1,在某些方面,与基站处于通信的设备(诸如UE 104)可被配置成管理无线通信的一个或多个方面。例如,UE 104可包括UE安全性处置组件198,UE安全性处置组件198被配置成在RLF和EPS TAU请求的重传的情形中促成5GS至EPC重选的安全性处置。在某些方面中,UE安全性处置组件198可被配置成向第一网络实体传送第一TAU请求,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括映射到与第一网络实体相关联的第二RAT的标识符。上行链路计数可指示所传达的上行链路消息的数量。示例UE安全性处理组件198还可被配置成向第一网络实体传送第二TAU请求,第二TAU请求包括第一信息集合,第二TAU请求使用第二上行链路计数来被完整性保护。附加地,示例UE安全性处置组件198可被配置成基于第一安全上下文和第一上行链路计数或第二上行链路计数中的至少一者来导出经映射安全上下文。示例UE安全性处置组件198还可被配置成基于经映射安全上下文来与第一网络实体进行通信。
在另一方面,UE安全性处置组件198可被配置成当执行从与第一RAT相关联的第一蜂窝小区到连接到与不同于第一RAT的第二RAT相关联的第二蜂窝小区的改变时,向第一网络实体传送第一TAU请求,第一网络实体与第二RAT相关联,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,并且第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护。示例UE安全性处置组件198还可被配置成基于第一安全上下文、第一上行链路计数和第一经映射安全上下文来导出第一完整性密钥。完整性密钥可以是被用于对通信执行完整性检查的密钥。附加地,示例UE安全性处置组件198可被配置成向第一网络实体传送第一TAU请求的重复,第一TAU请求的重复使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。示例UE安全性处置组件198还可被配置成基于第一安全上下文、第二上行链路计数和第二经映射安全上下文来导出第二完整性密钥。附加地,示例UE安全性处置组件198可被配置成从第一网络实体接收下行链路传输。示例UE安全性处置组件198还可被配置成使用第一完整性密钥和第二完整性密钥中的至少一者来对下行链路传输执行完整性检查。完整性检查可使用完整性密钥来执行并且确认下行链路传输的完整性。附加地,示例UE安全性处置组件198可被配置成当使用所导出的完整性密钥来对下行链路传输的完整性检查成功时设置UE的主安全密钥,该主安全密钥基于被用于导出所导出的完整性密钥的第一经映射安全上下文或第二经映射安全上下文来设置。主安全密钥可以是被用于导出其他安全密钥的密钥。
在某些方面中,UE安全性处置组件198可被配置成向第一网络实体传送第一TAU请求。第一TAU请求可使用与第一RAT相关联的第一安全上下文来编码。第一TAU请求可使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求可包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符。示例UE安全性处置组件198还可被配置成基于第一安全上下文和第一上行链路计数来导出第一经映射安全上下文。示例UE安全性处置组件198还可被配置成向第一网络实体传送第二TAU请求。第二TAU请求可使用第一安全上下文来编码,第二TAU请求可使用不同于第一上行链路计数的第二上行链路计数来被完整性保护,并且第二TAU请求可包括第一信息集合。示例UE安全性处置组件198还可被配置成基于第一安全上下文和第二上行链路计数来导出第二经映射安全上下文。示例UE安全性处置组件198还可被配置成基于第二经映射安全上下文来与第一网络实体进行通信。
在另一方面,UE安全性处置组件198可被配置成当执行从与第一RAT相关联的第一蜂窝小区到连接到与不同于第一RAT的第二RAT相关联的第二蜂窝小区的改变时,向第一网络实体传送第一TAU请求。第一网络实体可与第二RAT相关联。第一TAU请求可使用与第一RAT相关联的第一安全上下文来编码,第一TAU请求可使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求可包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符。
示例UE安全性处置组件198还可被配置成向第一网络实体传送第一TAU请求的重复。第一TAU请求的重复可包括第一信息集合,第一TAU请求的重复可使用第一上行链路计数来被完整性保护。示例UE安全性处置组件198还可被配置成基于第一安全上下文和第一上行链路计数来导出经映射安全上下文。附加地,示例UE安全性处置组件198可被配置成基于经映射安全上下文来与第一网络实体进行通信。
在另一方面,UE安全性处置组件198可被配置成当执行从与第一RAT相关联的第一蜂窝小区到连接到与不同于第一RAT的第二RAT相关联的第二蜂窝小区的改变时,向第一网络实体传送第一TAU请求。第一网络实体可与第二RAT相关联。第一TAU请求可使用与第一RAT相关联的第一安全上下文来编码,并且第一TAU请求可使用基于第一安全上下文的第一上行链路计数来被完整性保护。示例UE安全性处置组件198还可被配置成基于第一安全上下文、第一上行链路计数和第一经映射安全上下文来导出第一完整性密钥。示例UE安全性处置组件198还可被配置成向第一网络实体传送第一TAU请求的重复。第一TAU请求的重复可使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。附加地,示例UE安全性处置组件198还可被配置成基于第一安全上下文、第二上行链路计数和第二经映射安全上下文来导出第二完整性密钥。示例UE安全性处置组件198还可被配置成从第一网络实体接收下行链路传输。示例UE安全性处置组件198还可被配置成使用第一完整性密钥和第二完整性密钥中的至少一者来对下行链路传输执行完整性检查。示例UE安全性处置组件198还可被配置成当使用所导出的完整性密钥来对下行链路传输的完整性检查成功时设置UE的主安全密钥。主安全密钥基于相应完整性密钥来设置。
在另一配置中,网络实体可被配置成通过在RLF和EPS TAU请求的重传的情形中促成5GS至EPC重选的安全性处置从而促成改进的移动性支持来管理无线通信的一个或多个方面。例如,网络实体可包括网络安全性处置组件199。网络安全性处置组件199的各个方面可由MME、AMF(例如,AMF 161)和/或基站(例如,基站102)来实现。
网络安全性处置组件199可被配置成接收由UE生成的第一TAU请求,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符。附加地,网络安全性处置组件199可被配置成基于第一TAU请求来输出对第二网络实体的第一上下文请求,第二网络实体与第一RAT相关联。网络安全性处置组件199还可被配置成基于第一上下文请求来接收第一经映射安全上下文,第一经映射安全上下文从第一安全上下文和第一上行链路计数导出。附加地,网络安全性处置组件199可被配置成接收第二TAU请求,第二TAU请求使用第一安全上下文来编码,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护,并且第二TAU请求包括第一信息集合。网络安全性处置组件199还可被配置成基于第二TAU请求来输出对第二网络实体的第二上下文请求。附加地,网络安全性处置组件199可被配置成基于第二上下文请求来接收第二经映射安全上下文,第二经映射安全上下文从第一安全上下文和第二上行链路计数导出。网络安全性处置组件199还可被配置成基于第二经映射安全上下文来传送下行链路消息。
在另一方面,网络安全性处置组件199可被配置成接收第一上下文请求,第一上下文请求至少包括由UE生成的第一TAU请求,第一TAU请求使用第一上行链路计数来被完整性保护,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,第一RAT不同于与第一网络实体相关联的第二RAT。附加地,网络安全性处置组件199可被配置成当对第一TAU请求的第一完整性检查成功时导出第一经映射安全上下文。网络安全性处置组件199还可被配置成输出用于第一网络实体的第一经映射安全上下文。附加地,网络安全性处置组件199可被配置成接收第二上下文请求,第二上下文请求至少包括由UE生成的第二TAU请求,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。网络安全性处置组件199还可被配置成当对第二TAU请求的第二完整性检查成功时导出第二经映射安全上下文。附加地,网络安全性处置组件199可被配置成输出用于第一网络实体的第二经映射安全上下文。
在某些方面,网络安全性处置组件199可被配置成从UE接收第一TAU请求。第一TAU请求可使用与第一RAT相关联的第一安全上下文来编码,第一TAU请求可使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求可包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符。示例网络安全性处置组件199还可被配置成基于第一TAU请求来向第二网络实体传送第一上下文请求。第二网络实体可与第一RAT相关联。示例网络安全性处置组件199还可被配置成基于第一上下文请求来从第二网络实体接收第一经映射安全上下文。第一经映射安全上下文可从第一安全上下文和第一上行链路计数导出。附加地,示例网络安全性处置组件199可被配置成从UE接收第二TAU请求。第二TAU请求可使用第一安全上下文来编码,第二TAU请求可使用不同于第一上行链路计数的第二上行链路计数来被完整性保护,并且第二TAU请求可包括第一信息集合。示例网络安全性处置组件199还可被配置成基于第二TAU请求来向第二网络实体传送第二上下文请求。附加地,示例网络安全性处置组件199可被配置成基于第二上下文请求来从第二网络实体接收第二经映射安全上下文。第二经映射安全上下文可从第一安全上下文和第二上行链路计数导出。示例网络安全性处置组件199还可被配置成基于第二经映射安全上下文来向UE传送下行链路消息。
在另一方面,网络安全性处置组件199可被配置成从第一网络实体接收第一上下文请求,第一上下文请求至少包括由UE生成的第一TAU请求。第一TAU请求可使用第一上行链路计数来被完整性保护,第一TAU请求可使用与第一RAT相关联的第一安全上下文来编码,第一RAT可不同于与第一网络实体相关联的第二RAT。示例网络安全性处置组件199还可被配置成当对第一TAU请求的完整性检查成功时导出第一经映射安全上下文。示例网络安全性处置组件199还可被配置成向第一网络实体传送第一经映射安全上下文。附加地,示例网络安全性处置组件199可被配置成从第一网络实体接收第二上下文请求。第二上下文请求可至少包括由UE生成的第二TAU请求,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。示例网络安全性处置组件199还可被配置成当对第二TAU请求的完整性检查成功时导出第二经映射安全上下文。示例网络安全性处置组件199还可被配置成向第一网络实体传送第二经映射安全上下文。
本文所呈现的各方面可使得无线通信系统的设备能够在RLF和EPS TAU请求的重传的情形中促成5GS至EPC重选的安全性处置,从而促成改进的移动性支持。
尽管以下描述提供了针对5G NR(并且具体地针对5G至EPC重选)的示例,但是本文所描述的概念可以适用于其他类似领域,诸如LTE、LTE-A、CDMA、GSM和/或其他无线技术,其中UE可执行从与第一RAT相关联的蜂窝小区到与第二RAT相关联的第二蜂窝小区的重选。
图2A是解说5G NR帧结构内的第一子帧的示例的示图200。图2B是解说5G NR子帧内的DL信道的示例的示图230。图2C是解说5G NR帧结构内的第二子帧的示例的示图250。图2D是解说5G NR子帧内的UL信道的示例的示图280。5G NR帧结构可以是频分双工(FDD)的,其中对于特定副载波集(载波系统带宽),该副载波集内的子帧专用于DL或UL;或者可以是时分双工(TDD)的,其中对于特定副载波集(载波系统带宽),该副载波集内的子帧专用于DL和UL两者。在由图2A、2C提供的示例中,5G/NR帧结构被假定为TDD,其中子帧4配置有时隙格式28(大部分是DL)其中D是DL,U是UL,并且F是供在DL/UL之间灵活使用的,且子帧3被配置有时隙格式1(全部是UL)。虽然子帧3、4分别被示为具有时隙格式1、28,但是任何特定子帧可被配置有各种可用时隙格式0-61中的任一者。时隙格式0、1分别是全DL、全UL。其他时隙格式2-61包括DL、UL、和灵活码元的混合。UE通过所接收到的时隙格式指示符(SFI)而被配置成具有时隙格式(通过DL控制信息(DCI)来动态地配置,或者通过无线电资源控制(RRC)信令来半静态地/静态地配置)。注意,以下描述也适用于为TDD的5G NR帧结构。
图2A-2D解说了帧结构,并且本公开的各方面可以适用于可能具有不同帧结构和/或不同信道的其他无线通信技术。一帧(10ms)可被划分成10个相等大小的子帧(1ms)。每个子帧可包括一个或多个时隙。子帧还可包括迷你时隙,其可包括7、4或2个码元。每个时隙可包括14或12个码元,这取决于循环前缀(CP)是正常的还是扩展的。对于正常CP,每个时隙可包括14个码元,而对于扩展CP,每个时隙可包括12个码元。DL上的码元可以是CP正交频分复用(OFDM)(CP-OFDM)码元。UL上的码元可以是CP-OFDM码元(对于高吞吐量场景)或离散傅立叶变换(DFT)扩展OFDM(DFT-s-OFDM)码元(也称为单载波频分多址(SC-FDMA)码元)(对于功率受限的场景;限于单流传输)。子帧内的时隙数目基于CP和参数设计。参数设计定义副载波间隔(SCS),并且实际上定义码元长度/历时,其等于1/SCS。
表1
对于正常CP(14个码元/时隙),不同参数设计μ0到4分别允许每子帧1、2、4、8和16个时隙。对于扩展CP,参数设计2允许每子帧4个时隙。相应地,对于正常CP和参数设计μ,存在14个码元/时隙和2
资源网格可被用于表示帧结构。每个时隙包括延伸12个连贯副载波的资源块(RB)(也称为物理RB(PRB))。资源网格被划分成多个资源元素(RE)。由每个RE携带的比特数取决于调制方案。
如图2A中解说的,一些RE携带用于UE的参考(导频)信号(RS)。RS可包括用于UE处的信道估计的解调RS(DM-RS)(对于一个特定配置指示为R,但其他DM-RS配置是可能的)和信道状态信息参考信号(CSI-RS)。RS还可包括波束测量RS(BRS)、波束精化RS(BRRS)和相位跟踪RS(PT-RS)。
图2B解说了帧的子帧内的各种DL信道的示例。物理下行链路控制信道(PDCCH)在一个或多个控制信道元素(CCE)(例如,1、2、4、8或16个CCE)内携带DCI,每个CCE包括6个RE群(REG),每个REG包括RB的OFDM码元中的12个连贯RE。一个BWP内的PDCCH可被称为控制资源集(CORESET)。UE被配置成在CORESET上的PDCCH监视时机期间在PDCCH搜索空间(例如,共用搜索空间、因UE而异的搜索空间)中监视PDCCH候选,其中PDCCH候选具有不同的DCI格式和不同的聚集水平。附加BWP可被定位在跨越信道带宽的更高和/或更低频率处。主同步信号(PSS)可在帧的特定子帧的码元2内。PSS由UE 104用于确定子帧/码元定时和物理层身份。副同步信号(SSS)可在帧的特定子帧的码元4内。SSS由UE用于确定物理层蜂窝小区身份群号和无线电帧定时。基于物理层身份和物理层蜂窝小区身份群号,UE可确定物理蜂窝小区标识符(PCI)。基于PCI,UE可确定DM-RS的位置。携带主信息块(MIB)的物理广播信道(PBCH)可以在逻辑上与PSS和SSS编群在一起以形成同步信号(SS)/PBCH块(也被称为SS块(SSB))。MIB提供系统带宽中的RB数目、以及系统帧号(SFN)。物理下行链路共享信道(PDSCH)携带用户数据、不通过PBCH传送的广播系统信息(诸如系统信息块(SIB))、以及寻呼消息。
如图2C中所解说的,一些RE携带用于基站处的信道估计的DM-RS(对于一个特定配置指示为R,但其他DM-RS配置是可能的)。UE可传送用于物理上行链路控制信道(PUCCH)的DM-RS和用于物理上行链路共享信道(PUSCH)的DM-RS。PUSCH DM-RS可在PUSCH的前一个或前两个码元中被传送。PUCCH DM-RS可取决于传送短PUCCH还是传送长PUCCH并取决于所使用的特定PUCCH格式而在不同配置中被传送。UE可传送探通参考信号(SRS)。SRS可在子帧的最后码元中被传送。SRS可具有梳齿结构,并且UE可在梳齿之一上传送SRS。SRS可由基站用于信道质量估计以在UL上启用取决于频率的调度。
图2D解说了帧的子帧内的各种UL信道的示例。PUCCH可位于如在一种配置中指示的位置。PUCCH携带上行链路控制信息(UCI),诸如调度请求、信道质量指示符(CQI)、预编码矩阵指示符(PMI)、秩指示符(RI)、以及混合自动重复请求(HARQ)确收(ACK)(HARQ-ACK)反馈(即,指示一个或多个ACK和/或否定ACK(NACK)的一个或多个HARQ ACK比特)。PUSCH携带数据,并且可附加地用于携带缓冲器状态报告(BSR)、功率净空报告(PHR)、和/或UCI。
图3是解说被配置成与第二无线设备交换无线通信的第一无线设备的示例的框图。在图3的所解说的示例中,第一无线设备可包括基站310,第二无线设备可包括UE 350,并且基站310可以在接入网中与UE 350处于通信。如图3中所示出的,基站310包括发射处理器(TX处理器316)、发射机318Tx、接收机318Rx、天线320、接收处理器(RX处理器370)、信道估计器374、控制器/处理器375和存储器376。示例UE 350包括天线352、发射机354Tx、接收机354Rx、RX处理器356、信道估计器358、控制器/处理器359、存储器360和TX处理器368。在其他示例中,基站310和/或UE 350可包括附加或替换组件。
在DL中,网际协议(IP)分组可被提供给控制器/处理器375。控制器/处理器375实现层3和层2功能性。层3包括无线电资源控制(RRC)层,并且层2包括服务数据适配协议(SDAP)层、分组数据汇聚协议(PDCP)层、无线电链路控制(RLC)层、以及媒体接入控制(MAC)层。控制器/处理器375提供与系统信息(例如,MIB、SIB)的广播、RRC连接控制(例如,RRC连接寻呼、RRC连接建立、RRC连接修改、以及RRC连接释放)、无线电接入技术(RAT)间移动性、以及UE测量报告的测量配置相关联的RRC层功能性;与报头压缩/解压缩、安全性(暗码化、暗码解译、完整性保护、完整性验证)、以及切换支持功能相关联的PDCP层功能性;与上层分组数据单元(PDU)的传递、通过ARQ的纠错、RLC服务数据单元(SDU)的级联、分段和重组、RLC数据PDU的重新分段、以及RLC数据PDU的重新排序相关联的RLC层功能性;以及与逻辑信道和传输信道之间的映射、将MAC SDU复用到传输块(TB)上、从TB解复用MAC SDU、调度信息报告、通过HARQ的纠错、优先级处置、以及逻辑信道优先级区分相关联的MAC层功能性。
TX处理器316和RX处理器370实现与各种信号处理功能相关联的层1功能性。包括物理(PHY)层的层1可包括传输信道上的检错、传输信道的前向纠错(FEC)译码/解码、交织、速率匹配、映射到物理信道上、物理信道的调制/解调、以及MIMO天线处理。TX处理器316基于各种调制方案(例如,二进制相移键控(BPSK)、正交相移键控(QPSK)、M相移键控(M-PSK)、M正交调幅(M-QAM))来处置至信号星座的映射。经译码和经调制的码元可随后被拆分成并行流。每个流可随后被映射到OFDM副载波、在时域和/或频域中与参考信号(例如,导频)复用、并且随后使用快速傅立叶逆变换(IFFT)组合到一起以产生携带时域OFDM码元流的物理信道。OFDM流被空间预编码以产生多个空间流。来自信道估计器374的信道估计可被用来确定编码和调制方案以及用于空间处理。信道估计可从由UE 350传送的参考信号和/或信道状况反馈推导出。每个空间流随后可经由分开的发射机(例如,发射机318Tx)被提供给天线320的不同的天线。每个发射机318Tx可用相应空间流来调制射频(RF)载波以供传输。
在UE 350,每个接收机354Rx通过天线352中的其相应天线来接收信号。每个接收机354Rx恢复出调制到RF载波上的信息并将该信息提供给RX处理器356。TX处理器368和RX处理器356实现与各种信号处理功能相关联的层1功能性。RX处理器356可对信息执行空间处理以恢复出以UE 350为目的地的任何空间流。如果有多个空间流以UE 350为目的地,则该多个空间流中的两者或更多者可由RX处理器356组合成单个OFDM码元流。RX处理器356随后使用快速傅立叶变换(FFT)将该OFDM码元流从时域变换到频域。频域信号对OFDM信号的每个副载波包括单独的OFDM码元流。通过确定最有可能由基站310传送的信号星座点来恢复和解调每个副载波上的码元、以及参考信号。这些软判决可基于由信道估计器358计算出的信道估计。这些软判决随后被解码和解交织以恢复出原始由基站310在物理信道上传送的数据和控制信号。这些数据和控制信号随后被提供给实现层3和层2功能性的控制器/处理器359。
控制器/处理器359可与存储程序代码和数据的存储器360相关联。存储器360可被称为计算机可读介质。在UL中,控制器/处理器359提供传输信道与逻辑信道之间的解复用、分组重组、暗码解译、报头解压缩以及控制信号处理以恢复出IP分组。控制器/处理器359还负责使用ACK和/或NACK协议进行检错以支持HARQ操作。
类似于结合由基站310进行的DL传输所描述的功能性,控制器/处理器359提供与系统信息(例如,MIB、SIB)捕获、RRC连接、以及测量报告相关联的RRC层功能性;与报头压缩/解压缩、以及安全性(暗码化、暗码解译、完整性保护、完整性验证)相关联的PDCP层功能性;与上层PDU的传递、通过ARQ的纠错、RLC SDU的级联、分段、以及重组、RLC数据PDU的重新分段、以及RLC数据PDU的重新排序相关联的RLC层功能性;以及与逻辑信道和传输信道之间的映射、将MAC SDU复用到TB上、从TB解复用MAC SDU、调度信息报告、通过HARQ的纠错、优先级处置、以及逻辑信道优先级区分相关联的MAC层功能性。
由信道估计器358从由基站310传送的参考信号或反馈推导出的信道估计可由TX处理器368用来选择恰适的编码和调制方案、以及促成空间处理。由TX处理器368生成的空间流可经由分开的发射机(例如,发射机354Tx)被提供给天线352中的不同的天线。每个发射机354Tx可用相应空间流来调制RF载波以供传输。
在基站310处以与结合UE 350处的接收机功能所描述的方式类似的方式来处理UL传输。每个接收机318Rx通过天线320中的其相应天线来接收信号。每个接收机318Rx恢复出调制到RF载波上的信息并将该信息提供给RX处理器370。
控制器/处理器375可与存储程序代码和数据的存储器376相关联。存储器376可被称为计算机可读介质。在UL中,控制器/处理器375提供传输信道与逻辑信道之间的解复用、分组重组、暗码解译、报头解压缩、控制信号处理以恢复出IP分组。控制器/处理器375还负责使用ACK和/或NACK协议进行检错以支持HARQ操作。
TX处理器368、RX处理器356和控制器/处理器359中的至少一者可被配置成执行与图1的UE安全性处置组件198结合的各方面。
TX处理器316、RX处理器370和控制器/处理器375中的至少一者可被配置成执行与图1的网络安全性处置组件199结合的各方面。
图4是解说如本文所呈现的包括第一网络节点402a、第二网络节点402b、UE 404、演进型分组核心(例如,EPC 410)和核心网430(例如,5G核心(5GC))的无线通信系统和接入网络400的示例的示图。第一网络节点402a和/或第二网络节点402b的各个方面(在本文可统称为“网络节点402a/402b”)可由图1的基站102和/或基站102的组件(诸如CU 110、DU130和/或RU 140)实现。UE 404的各方面可以由图1的UE 104来实现。
在图4的示例中,第一网络节点402a可被配置成用于4G LTE(统称为演进型通用移动电信系统(UMTS)地面无线电接入网(E-UTRAN)),并且可通过第一回程链路452(例如,S1接口)来与EPC 410对接。第二网络节点402b可被配置成用于5G NR(统称为下一代RAN(NG-RAN)),并且可通过第二回程链路454来与核心网430对接。除了其他功能,网络节点402a/402b还可执行以下功能中的一者或多者:用户数据的传递、无线电信道暗码化和暗码解译、完整性保护、报头压缩、移动性控制功能(例如,切换、双连通性)、蜂窝小区间干扰协调、连接建立和释放、负载平衡、非接入阶层(NAS)消息的分发、NAS节点选择、同步、无线电接入网(RAN)共享、多媒体广播多播服务(MBMS)、订户和装备追踪、RAN信息管理(RIM)、寻呼、定位、以及警报消息的递送。网络节点402a/402b可直接或间接地(例如,通过EPC 410或核心网430)在第三回程链路456(例如,X2接口)上彼此通信。第一回程链路452、第二回程链路454和第三回程链路456可以是有线的或无线的。
网络节点402a/402b可与UE 404进行无线通信。网络节点402a/402b中的每一者可为相应地理覆盖区域406提供通信覆盖。可能存在交叠的地理覆盖区域。在图4的示例中,网络节点402a/402b和UE 404之间的通信链路408可包括从UE 404到相应网络节点的上行链路(UL)(也称为反向链路)传输和/或从相应网络节点到UE 404的下行链路(DL)(也称为前向链路)传输。通信链路408可使用MIMO天线技术,包括空间复用、波束成形、和/或发射分集。这些通信链路可通过一个或多个载波。
EPC 410可包括移动性管理实体(例如,MME 412)、其他MME 414、服务网关416、多媒体广播多播服务(MBMS)网关(例如,MBMS GW 418)、广播多播服务中心(例如,BM-SC 420)和分组数据网络(PDN)网关(例如,PDN网关422)。MME 412可与归属订户服务器(例如,HSS424)处于通信。MME 412是处理UE 404与EPC 410之间的信令的控制节点。一般地,MME 412提供承载和连接管理。所有用户网际协议(IP)分组通过服务网关416来传递,服务网关166自身连接到PDN网关422。PDN网关422提供UE IP地址分配以及其他功能。PDN网关422和BM-SC 420连接到IP服务426。IP服务426可包括因特网、内联网、IP多媒体子系统(IMS)、PS流送服务、和/或其他IP服务。BM-SC 420可提供用于MBMS用户服务置备和递送的功能。BM-SC420可用作内容提供商MBMS传输的进入点、可用来授权和发起公共陆地移动网(PLMN)内的MBMS承载服务、并且可用来调度MBMS传输。MBMS GW 418可被用来向属于广播特定服务的多播广播单频网(MBSFN)区域的网络节点402a/402b分发MBMS话务,并且可负责会话管理(开始/停止)并负责收集eMBMS相关的收费信息。
核心网430可包括接入和移动性管理功能(例如,AMF 432)、其他AMF 434、会话管理功能(例如,SMF 436)、以及用户面功能(例如,UPF 438)。AMF 432可与统一数据管理(例如,UDM 440)处于通信。AMF 432是处理UE 404与核心网430之间的信令的控制节点。一般地,AMF 432提供QoS流和会话管理。所有用户IP分组通过UPF 438来传递。UPF 438提供UEIP地址分配以及其他功能。UPF 438连接到IP服务442。IP服务442可包括因特网、内联网、IP多媒体子系统(IMS)、分组交换(PS)流送(PSS)服务、和/或其他IP服务。
在图4的示例中,MME 412和/或AMF 432可被配置成通过在RLF和EPS TAU请求的重传的情形中促成5GS至EPC重选的安全性处置来促成改进的移动性支持来管理无线通信的一个或多个方面。例如,MME 412和/或AMF 432可被配置成促成从与第二网络节点402b相关联的5G网络到与第一网络节点402a相关联的EPS网络的切换。MME 412和/或AMF 432可包括网络安全性处置组件497。网络安全性处置组件497的各个方面可类似于图1和/或图3的网络安全性处置组件199。
非接入阶层(NAS)在无线电接口处形成UE和MME之间的控制面的最高阶层。作为NAS的一部分的协议提供对UE移动性的支持。NAS安全性是NAS为NAS协议提供服务的附加功能。例如,NAS安全性可提供NAS信令消息的完整性保护和加密。
用于认证、完整性保护和加密的安全参数可被称为安全上下文,并且由密钥集标识符(KSI)来标识。表示安全上下文的信息可被存储在UE和服务于该UE的网络(例如,服务网络)处。关于传达NAS信令消息,安全上下文可被称为“NAS安全上下文”,并且包括密钥、与该密钥相关联的密钥集标识符、UE安全能力(例如,对应于由该UE实现的加密和完整性算法的标识符集合)、上行链路NAS计数和下行链路NAS计数。当安全上下文被激活时,上行链路NAS计数和下行链路NAS计数可各自被设置为零,并且可在相应NAS消息被传达时顺序地递增。因此,上行链路NAS计数值可指示所传达上行链路NAS消息的数量,并且下行链路NAS计数值可指示与活跃安全上下文相关联的所传达下行链路NAS消息的数量。
当UE连接到5G网络时,5G安全上下文可包括由5G中的密钥集标识符(ngKSI)标识的5G NAS主安全密钥(K
图5描绘了不同的安全上下文的示例,如本文所呈现的。例如,图5包括第一安全上下文500、与5G网络相关联的第二安全上下文520以及与EPS网络相关联的第三安全上下文540。安全上下文包括可被用于对NAS信令进行完整性保护的数据,例如,当传送NAS消息和/或当接收NAS消息时。安全上下文数据可与对关联于相应RAN的NAS信令进行完整性保护相关联。例如,第二安全上下文520可包括用于传送5G NAS消息和/或验证5G NAS消息的5G安全上下文数据。第三安全上下文540可包括用于传送EPS NAS消息和/或验证EPS NAS消息的EPS安全上下文数据。
在图5的示例中,第一安全上下文500包括主安全密钥502和与主安全密钥502相关联的KSI 504。例如,KSI 504可指示主安全密钥502。第一安全上下文500还包括UE安全能力506,UE安全能力506可包括对应于由UE实现的加密和完整性算法的标识符集合。例如,UE安全能力506可包括完整性和加密密钥以及所选完整性和加密算法的关联标识符。第一安全上下文500还包括NAS计数对,该NAS计数对包括上行链路NAS计数508和下行链路NAS计数510。上行链路NAS计数508指示所传达上行链路NAS消息的数量,下行链路NAS计数510指示与活跃安全上下文相关联的所传达下行链路NAS消息的数量。当安全上下文被激活时,上行链路NAS计数508和下行链路NAS计数510可被设置为起始值(例如,可被设置为零)。在NAS计数值被设置为起始值之后,当相应NAS消息被传达时,该NAS计数值可递增。
如上所述,第二安全上下文520包括5G安全上下文数据,以促成对5GNAS消息进行完整性保护。例如,第二安全上下文520包括5G密钥522(K
第三安全上下文540包括EPS安全上下文数据,以促成对EPS NAS消息进行完整性保护。例如,第三安全上下文540包括EPS密钥542(K
安全上下文可与状态相关联,诸如“当前”状态或“非当前”状态。当前安全上下文是被激活的安全上下文。非当前安全上下文是并非当前安全上下文的安全上下文(例如,未被激活的安全上下文)。安全上下文可与类型相关联,诸如“原生”类型或“经映射”类型。原生安全上下文包括“完全原生”安全上下文或“部分原生”安全上下文。安全上下文在一时间可以是一种类型和一种状态。但是,特定安全上下文的类型可能会随着时间而改变。例如,部分原生安全上下文可转变为完全原生安全上下文。
原生安全上下文是具有密钥(例如,EPS密钥K
原生安全上下文可包括标识原生密钥的原生KSI。原生KSI可在主认证规程期间导出,并且可使得UE和网络可在不调用认证规程的情况下标识原生安全上下文成为可能。因此,原生KSI可允许在UE和网络之间的后续连接设立期间重用原生安全上下文,而不必执行认证规程。
原生安全上下文可以是部分原生安全上下文或完全原生安全上下文。部分原生安全上下文是包括具有相关联的密钥集标识符(例如,5G KSI 524或EPS KSI 544)的密钥(例如,5G密钥522或EPS密钥542)、UE安全能力和NAS计数对(例如,上行链路NAS计数值和下行链路NAS计数值)的安全上下文。部分原生安全上下文可由主认证创建,并且处于“非当前”状态。完全原生安全上下文是包括部分原生安全上下文的安全上下文数据并且还包括NAS完整性和加密密钥以及所选NAS完整性和加密算法的相关联密钥集标识符的安全上下文。完全原生安全上下文可能处于“当前”状态或“非当前”状态。
经映射安全上下文是其中密钥从与不同RAN相关联的密钥导出的安全上下文。例如,经映射5G安全上下文包括从EPS密钥(例如,EPS密钥542)导出的经映射5G密钥(K
经映射安全上下文可包括与从第二网络的原生密钥导出的经映射密钥相关联的第一网络的经映射KSI。例如,经映射5G安全上下文包括与从EPS网络的EPS密钥导出的经映射5G密钥相关联的经映射5G KSI。当导出经映射密钥时,经映射KSI可在UE和网络处生成。因此,经映射KSI可指示经映射密钥的使用。
在一些方面,在例如从第二网络到第一网络的重选期间(例如,5GS至EPS重选),UE和第一网络之间可能发生安全上下文失配。在部署中执行的5GS至EPS重选规程的数目可能很高,这是由于例如在部署场景中5G的非普遍覆盖。附加地,5G网络最初可能不支持IP多媒体子系统(IMS)语音呼叫。在此类场景中,例如,占驻在与5G网络相关联的蜂窝小区上的UE可被重定向到与EPS网络相关联的蜂窝小区,以尝试建立语音呼叫。
图6解说了网络节点602、UE 604、MME 606和AMF 608之间的示例通信流600,如本文所呈现的。在所解说的示例中,通信流600促成执行从5GS到EPS的空闲模式移动性。例如,UE 604可被连接到和/或占驻在与第一RAT(例如,5G网络)相关联的第一蜂窝小区上,并且可被重定向到与第二RAT(例如,EPS网络或LTE网络)相关联的第二蜂窝小区。在图6的示例中,MME 606可与EPS网络607相关联,并且AMF 608可与5G网络609相关联。示例通信流600可与在被重定向到第二蜂窝小区(例如,EPS网络607)之后执行跟踪区域更新(TAU)请求规程或与第二蜂窝小区的初始附连规程相关联。
网络节点602的各方面可由图1的基站102和/或基站102的组件(诸如CU、DU和/或RU)来实现。UE 604的各方面可以由图1的UE 104来实现。MME 606的各方面可由图4的MME412来实现。AMF 608的各方面可由图1的AMF 161、图4的AMF 432和/或其他AMF 434来实现。在图6的示例中,UE 604经由网络节点602与MME 606进行通信。例如,UE 604可传送由网络节点602接收的上行链路消息,然后网络节点602将该上行链路消息转发给MME 606。在下行链路方向上,MME 606可传送由网络节点602接收并且随后由网络节点602转发到UE 604的消息。
在图6的示例中,UE 604正在执行从5G网络609到EPS网络607的重选。因此,UE 604被配置成具有5G安全上下文690,诸如图5的第二安全上下文520,其是当前(或活跃)5G安全上下文。UE 604可基于当前5G安全上下文的5G安全上下文数据来导出经映射EPS安全上下文以促成与MME 606和EPS网络607的通信。
如图6中所示出的,UE 604传送由MME 606接收的第一TAU请求消息610。UE 604可传送第一TAU请求消息610以更新EPS网络607中UE 604的实际跟踪区域的注册。UE 604可经由EPS NAS消息来传送第一TAU请求消息610。因此,第一TAU请求消息610可包括与EPS网络607相关联的参数。
例如,第一TAU请求消息610包括经映射EPS全球唯一性临时UE身份(例如,经映射EPS GUTI 612)和UE 604的EPS安全能力,诸如图5的EPS UE安全能力546。经映射EPS GUTI612可从5G GUTI导出。当向5G网络609注册时,UE 604可被配置成具有5G GUTI。5G GUTI可指向存储与UE 604相关联的5G密钥的AMF。因此,经映射EPS GUTI 612可包含具有5G网络609中的UE 604的最新安全上下文的AMF的信息以及AMF中的UE的标识符。例如,经映射EPSGUTI 612可包含与AMF 608相关联的地址和与UE 604相关联的临时移动订阅标识符(例如,TMSI 613)。
UE 604可使用由用于导出经映射EPS GUTI 612的5G GUTI标识的5G安全上下文690来对第一TAU请求消息610进行完整性保护。例如,UE 604可计算用于第一TAU请求消息610的NAS消息认证码(例如,NAS-MAC 614)。UE 604可类似于计算用于5G NAS消息的NAS-MAC来计算NAS-MAC 614。用于第一TAU请求消息610的完整性保护的上行链路NAS计数可以是与5G上行链路NAS计数相同的值(例如,与图5的5G上行链路NAS计数528相同的值)。作为结果,跨通信系统的上行链路NAS计数值增加。第一TAU请求消息610可包括eKSI参数616,并且UE 604可在eKSI参数616中包括对应于5G安全上下文690的5G KSI(ngKSI)。
在图6的示例中,在传送第一TAU请求消息610之后,在618,UE 604可将5G安全上下文690的5G上行链路NAS计数增加1。
在620,MME 606可获得存储与UE 604相关联的5G安全上下文的AMF的AMF地址。例如,MME 606可使用第一TAU请求消息610的经映射EPS GUTI 612来获得AMF 608的AMF地址。
如图6中所示出的,MME 606可传送由AMF 608接收的上下文请求消息622。上下文请求消息622可包括第一TAU请求消息610的全部信息或信息的一部分。例如,上下文请求消息622可包括NAS-MAC 614和eKSI参数616。上下文请求消息622还可包括经映射EPS GUTI612。
在630,AMF 608可例如基于上下文请求消息622来标识与UE 604相关联的5G NAS安全上下文692。AMF 608可使用被包括在上下文请求消息622的eKSI参数616中的5G KSI来标识与UE 604相关联的5G NAS安全上下文692。
在632,AMF 608可使用5G NAS安全上下文692来验证第一TAU请求消息610。AMF608可验证第一TAU请求消息610,如同第一TAU请求消息610是5G NAS消息一样。如果AMF608成功地验证第一TAU请求消息610,则在634,AMF 608可生成经映射EPS安全上下文636。例如,AMF 608可使用5G NAS安全上下文692来导出经映射EPS安全上下文636。AMF 608可例如通过使用从第一TAU请求消息610导出的5G上行链路NAS计数从5G密钥(K
AMF 608可基于取自上下文请求消息622的5G KSI(ngKSI)的值来确定用于经映射EPS密钥(K
如图6中所示出的,AMF 608可输出由MME 606接收的上下文响应消息638。上下文响应消息638可包括经映射EPS安全上下文636。在一些示例中,AMF 608可在传送上下文响应消息638之后丢弃(或擦除)用于导出经映射EPS安全上下文636的5G NAS安全上下文692。在一些示例中,AMF 608可在传送上下文响应消息638之后发起定时器,并且在该定时器期满之后丢弃5GNAS安全上下文692。
在图6所解说的示例中,在640,UE 604可生成UE经映射EPS安全上下文642。例如,UE 604可以以类似于AMF 608导出经映射EPS安全上下文636的方式导出UE经映射EPS安全上下文642。UE 604可将EPS NAS算法设置为先前从AMF 608接收到的算法(例如,在连接建立规程或连接重建规程期间)。UE 604可激活UE经映射EPS安全上下文642以用于处理从MME606接收的EPS NAS消息。
在650,MME 606可将UE安全性算法与安全性算法信息694进行比较。MME 606可经由网络管理来被配置成具有安全性算法信息694。安全性算法信息694可包括允许使用的算法列表。安全性算法信息694中的算法可根据优先级来排序。MME 606可将被包括在上下文响应消息638的经映射EPS安全上下文636中的EPS NAS算法与安全性算法信息694进行比较。在650,MME 606可比较安全性算法以确定是否选择另一EPS NAS算法。如果MME 606确定要执行算法改变,则MME 606可从安全性算法信息694中选择具有最高优先级并且也可用于UE 604的EPS NAS算法。例如,MME 606可使用UE的UE安全能力(诸如图5的EPS UE安全能力546)来确定从安全性算法信息694中选择哪个EPS NAS算法。
如果MME 606确定要选择另一EPS NAS算法,则UE 604和MME 606可执行NAS安全性模式命令(SMC)规程(例如,NAS SMC规程660)以通过所选EPS NAS算法来导出新NAS密钥。在650,如果MME 606确定不执行算法改变,或者在MME 606和UE 604执行NAS SMC规程660之后,MME 606可输出由UE 604接收的TAU接受消息662。MME 606可经由EPS NAS消息来输出(例如,传送或传达)TAU接受消息662。
在664,UE 604可执行TAU接受消息662的完整性验证。例如,UE 604可使用UE经映射EPS安全上下文642的经映射EPS密钥(K
如上所述,UE 604可基于从与5G网络609相关联的第一蜂窝小区到与EPS网络607相关联的第二蜂窝小区的重选来发起图6的规程。然而,当UE 604和MME 606处的安全上下文可能不匹配时,可能会出现这种情况。
例如,在与关联于EPS网络607的第二蜂窝小区建立连接并且传送第一TAU请求消息610之后,UE 604可能经历无线电链路故障(RLF)。在此类示例中,UE 604可例如在与关联于EPS网络607的另一蜂窝小区建立新RRC连接之后或者在与第二蜂窝小区重建RRC连接之后重传第一TAU请求消息610。例如,UE 604可传送由MME 606接收的第二TAU请求消息670。第二TAU请求消息670可包括与第一TAU请求(例如,第一TAU请求消息610)相同的信息。
然而,当传送第二TAU请求消息670时,UE 604可使用经更新5G NAS上行链路计数值来对第二TAU请求消息670进行完整性保护。例如,用于对第一TAU请求消息610进行完整性保护的5G NAS上行链路计数值可以是5,并且用于对第二TAU请求消息670进行完整性保护的5G NAS上行链路计数值可以是6。
在一些示例中,在672,当MME 606接收到第二TAU请求消息670时,MME 606可被配置成比较第一TAU请求消息610和第二TAU请求消息670的内容。在一些示例中,当第一TAU请求消息610和第二TAU请求消息670的内容(例如,信息元素)相同时,MME 606可丢弃第二TAU请求消息670,并且基于第一TAU请求消息610来继续执行图6的TAU请求规程。在此类示例中,MME 606可抑制基于第二TAU请求消息670向AMF 608发送另一上下文请求消息。
可以理解,抑制发送另一上下文请求消息在MME间场景中可能是足够的,因为不会发生安全上下文映射。附加地,当执行从UMTS到EPS的重选时抑制发送另一上下文请求消息可能是足够的,因为依赖于NONCE_UE的新鲜度可被用于上下文映射。如本文所使用的,“NONCE_UE”指的是由UE生成的32位伪随机数,以促成UMTS到EPS安全映射的新鲜度。NONCE_UE可与现有安全密钥(诸如3G安全密钥)一起用作输入以计算经映射EPS密钥(K
然而,如图6的示例中所描述的,当执行5G至EPS重选时(例如,当执行从5G网络609到EPS网络607的重选时),AMF 608可使用与TAU请求消息相关联的5G NAS上行链路计数来生成经映射EPS安全上下文636(例如,在634)。例如,AMF 608可使用与第一TAU请求消息610相关联的5G NAS上行链路计数的值5来生成AMF 608通过上下文响应消息638来提供给MME606的经映射EPS安全上下文636。经映射EPS安全上下文636可包括基于5GNAS上行链路计数的MME EPS密钥(K
类似地,UE 604可使用与TAU请求消息相关联的相同5G NAS上行链路计数来生成UE经映射EPS安全上下文642(例如,在640)。例如,关于第一TAU请求消息610,在640,UE 604可生成包括第一UE EPS密钥(K
然而,在传送第二TAU请求消息670之后,在680,UE 604可生成新UE经映射EPS安全上下文682。新UE经映射EPS安全上下文682可至少部分地基于与第二TAU请求消息670相关联的5G NAS上行链路计数值。例如,新UE经映射EPS安全上下文682可基于与第二TAU请求消息670相关联的5GNAS上行链路计数值6。在此类示例中,新UE经映射EPS安全上下文682可包括第二UE EPS密钥(K
本文所公开的各示例提供了用于消除如上所述的TAU请求消息的重复的处置中的不一致性的技术。在第一方面,所公开的技术可通过修改MME 606如何处置TAU请求消息的重复来移除不一致性。在第二方面中,所公开的技术可通过修改UE 604如何执行对TAU请求消息的完整性保护来消除不一致性。在第三方面,所公开的技术可通过修改UE 604如何执行对EPS NAS消息的完整性验证来消除不一致性。
如上所述,当MME 606接收到第二TAU请求消息670时,当第一TAU请求消息610和第二TAU请求消息670的内容(例如,信息元素)相同时,MME 606可丢弃第二TAU请求消息670,并且抑制向AMF 608传送另一上下文请求消息。在第一示例方面,所公开的技术可通过修改MME如何处置TAU请求消息的重复来移除上述的不一致性。
例如,MME 606可被配置成当MME 606能够从TAU请求获得AMF地址时,确定是否要向AMF 608传送上下文请求消息。即,如在672所述,MME 606可基于MME 606是否能够获得AMF地址来确定是否要传送第二上下文请求消息674,而不是基于第一TAU请求消息610和第二TAU请求消息670包括相同内容(例如,相同信息元素)来抑制传送第二上下文请求消息。因此,如果第二TAU请求消息670包括包含AMF地址的经映射EPS GUTI(诸如经映射EPS GUTI612),则MME 606可确定要向AMF 608传送请求新经映射EPS安全上下文的第二上下文请求消息674。
在此类示例中,AMF 608可基于与被包括在第二上下文请求消息674中的第二TAU请求消息670相关联的5G NAS上行链路计数(例如,值6)来生成经映射EPS安全上下文636。作为结果,经映射EPS安全上下文636和新UE经映射EPS安全上下文682可基于相同的5G NAS上行链路计数(例如,值6)来导出,这可导致相应经映射EPS密钥K
在一些示例中,当MME 606从AMF 608接收经映射EPS安全上下文时,MME 606可被配置成更新其经映射安全上下文。例如,在一些场景中,MME 606可生成用于传送到UE 604的EPS NAS消息,并且可在所生成的EPS NAS消息中的一者或多者的传送处于待决时接收新经映射EPS安全上下文。在此类示例中,MME 606可被配置成丢弃使用较旧经映射EPS安全上下文来进行完整性保护的待决EPS NAS消息。
可以理解,只要MME 606能够获得用于传送第二上下文请求消息674的地址,MME606就可传送请求经映射EPS安全上下文的上下文请求消息。因此,在一些示例中,被包括在经映射EPS GUTI中的地址可对应于AMF(例如,AMF 608)。在其他示例中,被包括在第一TAU请求消息610和第二TAU请求消息670的经映射EPS GUTI中的地址可映射到MME。
在一些示例中,MME 606可在向UE 604传送TAU接受消息662之前接收具有相同信息元素的第二TAU请求消息670。在一些此类示例中,MME 606可将第二TAU请求消息670转发给AMF 608(例如,经由第二上下文请求消息674),如上所述。在其他示例中,MME 606可执行认证并且激活新原生EPS安全上下文以用于保护到UE 604的后续NAS消息。例如,MME 606可确定要执行与UE 604的NAS SMC规程660以使得MME 606和UE 604使用相同的EPS密钥(K
在一些示例中,MME 606可在向UE 604传送TAU接受消息662之后接收具有相同信息元素的第二TAU请求消息670。在一些此类示例中,MME 606可确定要执行认证并且激活新原生EPS安全上下文以用于保护到UE 604的后续NAS消息。例如,MME 606可确定要执行与UE604的NAS SMC规程660以使得MME 606和UE 604使用相同的EPS密钥(K
在一些示例中,MME 606可在传送TAU接受消息662之后以及在从UE 604接收TAU完成消息666之前接收具有相同信息元素的第二TAU请求消息670。对于除了在UE 604以单注册模式操作的情况下在空闲模式中从N1模式到S1模式的系统间变化之外的各方面,MME606可重新发送TAU接受消息662。在一些此类示例中,如果预期TAU完成消息666,MME 606可重启定时器(例如,T3450定时器)。对于在UE 604以单注册模式操作的情况中在空闲模式中从N1模式到S1模式的系统间变化的各方面,MME 606可向UE 604发起认证规程,随后执行安全模式控制规程(例如,NAS SMC规程660),以尝试使用新部分原生EPS安全上下文。如果新部分原生EPS安全上下文被成功使用,则MME 606可将该新部分原生EPS安全上下文设置为完全原生EPS安全上下文。MME 606还可使用(新)完全原生EPS安全上下文来重新发送TAU接受消息662,并且对TAU接受消息662的重新发送进行完整性保护。在一些示例中,MME 606还可重启T3450定时器。在此类示例中,与T3450定时器相关的重传计数器可不递增。
在一些示例中,MME 606可接收第一TAU请求消息610和第二TAU请求消息670,并且可能还未发送TAU接受消息662或TAU拒绝消息。如果第一TAU请求消息610和第二TAU请求消息670中信息元素中的一者或多者不同,则基于第一TAU请求消息610来发起的TAU规程可被中止,并且基于第二TAU请求消息670来发起的新TAU规程可进行(例如,可继续)。
如果第一TAU请求消息610和第二TAU请求消息670中的信息元素相同(例如,非不同),则对于除了在UE 604以单注册模式操作的情况下在空闲模式中从N1模式到S1模式的系统间变化的各方面,MME 606可继续先前发起的TAU规程(例如,基于第一TAU请求消息610)并且丢弃第二TAU请求消息670。即,MME 606可抑制基于第二TAU请求消息670向AMF608传送请求新经映射EPS安全上下文的第二上下文请求消息674。
对于在UE 604以单注册模式操作的情况下在空闲模式中从N1模式到S1模式的系统间变化的各方面,MME 606可将新TAU请求消息转发到AMF 608(例如,通过另一上下文请求消息),以运行完整性检查并且获得最新经映射EPS安全上下文以及继续进行先前的TAU规程。例如,MME 606可将第二TAU请求消息670转发给AMF 608(例如,通过第二上下文请求消息674)。作为示例,完整性检查可基于完整性密钥、上行链路计数、传输方向(例如,指示下行链路传输的下行链路方向的1比特指示符)和下行链路传输的有效载荷。AMF 608可验证第二TAU请求消息670(例如,在632)。AMF 608随后可基于第二TAU请求消息670来生成新经映射EPS安全上下文。例如,新经映射EPS安全上下文可至少部分地基于与第二TAU请求消息670相关联的5G NAS上行链路计数(例如,值6)。作为结果,被提供给MME 606的包括新MMEEPS密钥(例如,K
在一些示例中,代替将包含与第一TAU请求消息610相同的信息元素的第二TAU请求消息670转发到AMF 608,MME 606可确定要发起认证规程,随后是安全模式控制规程,以使用新部分原生EPS安全上下文。如果新部分原生EPS安全上下文被成功使用(例如,NASSMC规程660成功),则MME 606随后可将该新部分原生EPS安全上下文设置为完全原生EPS安全上下文,并且该完全原生EPS安全可被用于保护发送到UE 604的任何未来NAS消息,诸如TAU接受消息662。
如上所述,当UE 604传送第一TAU请求消息610和第二TAU请求消息670时,UE 604使用相应5G NAS上行链路计数来对相应TAU请求消息进行完整性保护。在第二示例方面,所公开的技术可通过修改UE 604如何执行对TAU请求消息的完整性保护来消除不一致性。例如,UE 604可被配置成在传送两个连贯的TAU请求消息(诸如第一TAU请求消息610和第一TAU请求消息的重复(例如,第二TAU请求消息670))时使用相同的5G NAS上行链路计数值。例如,在618,UE 604可跳过将5G安全上下文690的5G上行链路NAS计数递增1。
通过在不使5G NAS上行链路计数递增的情况下传送第一TAU请求消息610和第二TAU请求消息670,第一TAU请求消息610和第二TAU请求消息670可使用相同的5G NAS上行链路计数值来被完整性保护。作为结果,由AMF 608生成的经映射EPS安全上下文636(例如,在634)和由UE 604生成的新UE经映射EPS安全上下文682(例如,在680)可以是相同的。因此,对在UE 604处(例如,在664)接收到的后续NAS消息执行的完整性验证可能成功,并且UE604和与EPS网络607相关联的蜂窝小区之间的通信可能成功地继续。在一些示例中,在684,UE 604可基于新UE经映射EPS安全上下文682的导出(例如,在680)来将UE 604的安全上下文从UE经映射EPS安全上下文642更新为新UE经映射EPS安全上下文682。
即,由于5G NAS上行链路计数值对于第一TAU请求消息610和第二TAU请求消息670而言是相同的,因此相应TAU请求消息包含相同的内容(例如,相同的信息元素),并且各自使用相同的5G NAS上行链路计数值来被完整性保护。在一些示例中,如果MME 606接收到第一TAU请求消息610和第二TAU请求消息670,则MME 606可丢弃第二TAU请求消息670并且基于第一TAU请求消息610来继续TAU规程。在其中MME 606未接收到第一TAU请求消息610(例如,如果发生无线电链路故障并且网络节点602错过了包含RRC连接设立完成信息的一个或多个RLC分组)的其他示例中,但是MME 606确实接收到第二TAU请求消息670,MME 606可使用第二TAU请求消息670来执行图6的TAU规程(例如,向AMF 608请求经映射EPS安全上下文)。在任一场景中,经映射EPS密钥(K
在第三示例方面,所公开的技术可通过修改UE 604如何执行对EPS NAS消息的完整性验证来移除TAU请求消息的重复的处置中的不一致性。例如,UE 604可尝试基于不同的EPS密钥来执行完整性验证(例如,在664)。
例如,UE 604可基于5G密钥(K
UE 604还可基于5G密钥(K
当UE 604从MME 606接收到受完整性保护的EPS NAS消息(例如,TAU接受消息662)时,UE 604可尝试使用NAS完整性密钥(例如,NAS_IK1和NAS_IK2)来执行完整性验证(例如,在664)。如果NAS完整性密钥中的一者允许完整性验证通过,则UE 604选择相应NAS完整性密钥,并且基于该相应NAS完整性密钥来继续与关联于EPS网络607的蜂窝小区进行通信。例如,如果使用第一NAS完整性密钥(NAS_IK1)的完整性验证成功,则UE 604可将第一EPS密钥(K
可以理解,虽然以上描述提供了包括两个TAU请求消息的示例,但是其他示例可包括任何合适数量的TAU请求消息。例如,可能存在z个可能的NAS上行链路计数值(例如,x、x+1、x+2、…z)。如果完整性验证使用从使用5GNAS上行链路计数y的y EPS密钥(K
图7是无线通信方法的流程图700。该方法可由UE(例如,UE 104、UE 350、UE 404和/或图11的设备1104)来执行。该方法可通过在包括RLF和TAU请求消息的重传的示例中改进第一蜂窝小区到第二蜂窝小区重选的安全性处置来促成改进通信性能。
在702,UE向第一网络实体传送第一TAU请求,如结合图6的第一TAU请求消息610所描述的。第一TAU请求可使用与第一RAT相关联的第一安全上下文(诸如图6的5G安全上下文690)来编码。第一TAU请求可使用基于第一安全上下文的第一上行链路计数(诸如图5的5G上行链路NAS计数528)来被完整性保护。第一TAU请求可包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符,诸如图6的经映射EPS GUTI612。在702第一TAU请求的传送可由图11的设备1104的UE安全性处置组件198执行。
在一些示例中,当执行从与第一RAT相关联的第一蜂窝小区到连接到与第二RAT相关联的第二蜂窝小区的改变时,UE可传送第一TAU请求。例如,当执行5GS至EPS重选时,UE可传送第一TAU请求。第二RAT可不同于第一RAT,并且第一网络实体可与第二RAT相关联,如结合图6的MME 606、EPS网络607和5G网络609所描述的。
在704,UE向第一网络实体传送第二TAU请求,如结合图6的第二TAU请求消息670所描述的。第二TAU请求可包括第一信息集合,如结合图6的经映射EPS GUTI 612、NAS-MAC614和eKSI参数616所描述的。第二TAU请求可使用第二上行链路计数来被完整性保护。在704第二TAU请求的传送可由图11的设备1104的UE安全性处置组件198执行。
在706,UE基于第一安全上下文以及第一上行链路计数或第二上行链路计数中的至少一者来导出经映射安全上下文,如结合图6的UE经映射EPS安全上下文642和/或新UE经映射EPS安全上下文682所描述的。在706经映射安全上下文的导出可由图11的设备1104的UE安全性处置组件198执行。
在708,UE基于经映射安全上下文来与第一网络实体进行通信,如结合图6的TAU完成消息666所描述的。在714基于经映射安全上下文的通信可由图11的设备1104的UE安全性处置组件198执行。
图8是无线通信方法的流程图800。该方法可由UE(例如,UE 104、UE 350、UE 404和/或图11的设备1104)来执行。该方法可通过在包括RLF和TAU请求消息的重传的示例中改进第一蜂窝小区到第二蜂窝小区重选的安全性处置来促成改进通信性能。
在802,UE向第一网络实体传送第一TAU请求,如结合图6的第一TAU请求消息610所描述的。第一TAU请求可使用与第一RAT相关联的第一安全上下文(诸如图6的5G安全上下文690)来编码。第一TAU请求可使用基于第一安全上下文的第一上行链路计数(诸如图5的5G上行链路NAS计数528)来被完整性保护。第一TAU请求可包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符,诸如图6的经映射EPS GUTI612。在802第一TAU请求的传送可由图11的设备1104的UE安全性处置组件198执行。
在一些示例中,当执行从与第一RAT相关联的第一蜂窝小区到连接到与第二RAT相关联的第二蜂窝小区的改变时,UE可传送第一TAU请求。例如,当执行5GS至EPS重选时,UE可传送第一TAU请求。第二RAT可不同于第一RAT,并且第一网络实体可与第二RAT相关联,如结合图6的MME 606、EPS网络607和5G网络609所描述的。
在804,UE向第一网络实体传送第二TAU请求,如结合图6的第二TAU请求消息670所描述的。第二TAU请求可包括第一信息集合,如结合图6的经映射EPS GUTI 612、NAS-MAC614和eKSI参数616所描述的。第二TAU请求可使用第二上行链路计数来被完整性保护。在804第二TAU请求的传送可由图11的设备1104的UE安全性处置组件198执行。
在806,UE基于第一安全上下文以及第一上行链路计数或第二上行链路计数中的至少一者来导出经映射安全上下文,如结合图6的UE经映射EPS安全上下文642和/或新UE经映射EPS安全上下文682所描述的。在806经映射安全上下文的导出可由图11的设备1104的UE安全性处置组件198执行。
在814,UE基于经映射安全上下文来与第一网络实体进行通信,如结合图6的TAU完成消息666所描述的。在814基于经映射安全上下文的通信可由图11的设备1104的UE安全性处置组件198执行。
在一些示例中,在804的第二TAU请求可包括第一TAU请求的重复,并且第二上行链路计数可以是与第一上行链路计数相同的值,如结合图6的第二方面所描述的,其中UE 604通过修改UE 604如何执行对TAU请求消息的完整性保护来移除TAU请求的重复中的不一致性。在一些示例中,UE可基于无线电链路故障的发生来传送第二TAU请求。在一些示例中,经映射安全上下文可与第二RAT相关联。例如,经映射安全上下文可与图6的UE经映射EPS安全上下文642或新UE经映射EPS安全上下文682相关联。
在一些示例中,第二TAU请求可包括第一TAU请求的重复,并且在804的第二上行链路计数可不同于第一上行链路计数,并且经映射安全上下文可以是第一经映射安全上下文,如结合图6的UE经映射EPS安全上下文642所描述的。
在一些此类示例中,在808,UE可基于第一安全上下文和第一上行链路计数来导出第二经映射安全上下文,如结合图6的新UE经映射EPS安全上下文682所描述的。UE可使用第一安全上下文来编码第二TAU请求,并且第二TAU请求可使用第二上行链路计数来被完整性保护。例如,第一TAU请求可使用上行链路NAS计数值5来被完整性保护,并且第二TAU请求可使用上行链路NAS计数值6来被完整性保护。在808第二经映射安全上下文的导出可由图11的设备1104的UE安全性处置组件198执行。
在810,UE可基于导出第一经映射安全上下文来将UE的安全上下文从第二经映射安全上下文更新为第一经映射安全上下文,如结合图6的684所描述的。在810UE的安全上下文的更新可由图11的设备1104的UE安全性处置组件198执行。
在812,UE可在更新UE的安全上下文之后丢弃使用第二经映射安全上下文来被完整性保护的待决传输。在812待决传输的丢弃可由图11的设备1104的UE安全性处置组件198执行。
图9是无线通信方法的流程图900。该方法可由UE(例如,UE 104、UE 350、UE 404和/或图11的设备1104)来执行。该方法可通过在包括RLF和TAU请求消息的重传的示例中改进第一蜂窝小区到第二蜂窝小区重选的安全性处置来促成改进通信性能。
在902,当执行从与第一RAT相关联的第一蜂窝小区到连接到与不同于第一RAT的第二RAT相关联的第二蜂窝小区的改变时,UE向第一网络实体传送第一TAU请求,如结合图6的第一TAU请求消息610所描述的。第一网络实体可与第二RAT相关联,如结合图7的MME 606和EPS网络607所描述的。第一TAU请求可使用与第一RAT相关联的第一安全上下文(诸如图6的安全上下文690)来编码。第一TAU请求可使用基于第一安全上下文的第一上行链路计数来被完整性保护。在902第一TAU请求的传送可由图11的设备1104的UE安全性处置组件198执行。
在904,UE基于第一安全上下文、第一上行链路计数和第一经映射安全上下文来导出第一完整性密钥,如结合第一NAS完整性密钥(NAS_IK1)所描述的。例如,UE可基于与第一TAU请求消息610相关联的5G密钥(K
在906,UE向第一网络实体传送第一TAU请求的重复,如结合图6的第二TAU请求消息670所描述的。第一TAU请求的重复可使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。例如,第一TAU请求可使用上行链路NAS计数值5来被完整性保护,并且第二TAU请求可使用上行链路NAS计数值6来被完整性保护。在906第一TAU请求的重复的传送可由图11的设备1104的UE安全性处置组件198执行。
在908,UE基于第一安全上下文、第二上行链路计数和第二经映射安全上下文来导出第二完整性密钥,如结合来自第二EPS密钥(K
在910,UE从第一网络实体接收下行链路传输,如结合图6的TAU接受消息662所描述的。在910下行链路传输的接收可由图11的设备1104的UE安全性处置组件198执行。
在912,UE使用第一完整性密钥和第二完整性密钥中的至少一者来对下行链路传输执行完整性检查,如结合图6的664所描述的。在912完整性检查的执行可由图11的设备1104的UE安全性处置组件198来执行。
在914,当使用所导出的完整性密钥对下行链路传输的完整性检查成功时,UE设置该UE的主安全密钥。主安全密钥可基于被用于成功执行完整性检查的相应完整性密钥来设置。在914主安全密钥的设置可由图11的设备1104的UE安全性处置组件198执行。
图10是无线通信方法的流程图1000。该方法可由UE(例如,UE 104、UE 350、UE 404和/或图11的设备1104)来执行。该方法可通过在包括RLF和TAU请求消息的重传的示例中改进第一蜂窝小区到第二蜂窝小区重选的安全性处置来促成改进通信性能。
在1002,当执行从与第一RAT相关联的第一蜂窝小区到连接到与不同于第一RAT的第二RAT相关联的第二蜂窝小区的改变时,UE向第一网络实体传送第一TAU请求,如结合图6的第一TAU请求消息610所描述的。第一网络实体可与第二RAT相关联,如结合图7的MME 606和EPS网络607所描述的。第一TAU请求可使用与第一RAT相关联的第一安全上下文(诸如图6的安全上下文690)来编码。第一TAU请求可使用基于第一安全上下文的第一上行链路计数来被完整性保护。在1002第一TAU请求的传送可由图11的设备1104的UE安全性处置组件198执行。
在一些示例中,在1004,UE可基于第一安全上下文和第一上行链路计数来导出第一经映射安全上下文,如结合图6的UE经映射EPS安全上下文642所描述的。在1004第一经映射安全上下文的导出可由图11的设备1104的UE安全性处置组件198执行。
在1006,UE基于第一安全上下文、第一上行链路计数和第一经映射安全上下文来导出第一完整性密钥,如结合第一NAS完整性密钥(NAS_IK1)所描述的。例如,UE可基于与第一TAU请求消息610相关联的5G密钥(K
在1008,UE向第一网络实体传送第一TAU请求的重复,如结合图6的第二TAU请求消息670所描述的。第一TAU请求的重复可使用不同于第一上行链路计数的第二上行链路计数来被完整性地保护。例如,第一TAU请求可使用上行链路NAS计数值5来被完整性保护,并且第二TAU请求可使用上行链路NAS计数值6来被完整性保护。在1008第一TAU请求的重复的传送可由图11的设备1104的UE安全性处置组件198执行。
在1010,UE基于第一安全上下文、第二上行链路计数和第二经映射安全上下文来导出第二完整性密钥,如结合来自第二EPS密钥(K
在1012,UE从第一网络实体接收下行链路传输,如结合图6的TAU接受消息662所描述的。在1012下行链路传输的接收可由图11的设备1104的UE安全性处置组件198执行。
在1014,UE使用第一完整性密钥和第二完整性密钥中的至少一者来对下行链路传输执行完整性检查,如结合图6的664所描述的。在1014完整性检查的执行可由图11的设备1104的UE安全性处置组件198来执行。
在1016,当使用所导出的完整性密钥来对下行链路传输的完整性检查成功时,UE设置该UE的主安全密钥。主安全密钥可基于被用于成功执行完整性检查的相应完整性密钥来设置。在1016主安全密钥的设置可由图11的设备1104的UE安全性处置组件198执行。
在一些示例中,UE随后可在设置主安全密钥之后丢弃与其他导出的完整性密钥相关的信息。例如,在1016,UE可将主安全密钥设置为第一经映射安全上下文。在此类示例中,当使用第一完整性密钥对下行链路传输的完整性检查成功时,在1018,UE可擦除第二经映射安全上下文和使用第二经映射安全上下文导出的任何密钥。在1018第二经映射安全上下文的擦除可由图11的设备1104的UE安全性处置组件198执行。
在其他示例中,在1016,UE可将主安全密钥设置为第二经映射安全上下文。在此类示例中,当使用第二完整性密钥对下行链路传输的完整性检查成功时,在1020,UE可擦除第一经映射安全上下文和使用第一经映射安全上下文导出的任何密钥。在1020第一经映射安全上下文的擦除可由图11的设备1104的UE安全性处置组件198执行。
图11是解说设备1104的硬件实现的示例的示图1100。设备1104可以是UE、UE的组件,或者可实现UE功能性。在一些方面,设备1104可包括耦合到一个或多个收发机(例如,蜂窝RF收发机1122)的蜂窝基带处理器1124(也称为调制解调器)。蜂窝基带处理器1124可包括片上存储器1124′。在一些方面,设备1104可进一步包括一个或多个订户身份模块(SIM)卡1120和耦合到安全数字(SD)卡1108和屏幕1110的应用处理器1106。应用处理器1106可包括片上存储器1106′。在一些方面,设备1104可进一步包括蓝牙模块1112、WLAN模块1114、SPS模块1116(例如,GNSS模块)、一个或多个传感器模块1118(举例而言,气压传感器/高度计;诸如惯性管理单元(IMU)、陀螺仪和/或加速度计的(诸)运动传感器;光检测和测距(LIDAR)、无线电辅助检测和测距(雷达)、声音导航和测距(声纳)、磁力计、音频和/或用于定位的其他技术)、附加存储器模块1126、电源1130和/或照相机1132。蓝牙模块1112、WLAN模块1114和SPS模块1116可包括片上收发机(TRX)(或者在一些情形中,仅包括接收机(RX))。蓝牙模块1112、WLAN模块1114和SPS模块1116可包括它们自己的专用天线和/或利用一个或多个天线1180进行通信。蜂窝基带处理器1124通过(诸)收发机(例如,蜂窝RF收发机1122)经由一个或多个天线1180来与UE 104和/或与网络实体1102相关联的RU进行通信。蜂窝基带处理器1124和应用处理器1106可各自分别包括计算机可读介质/存储器,诸如片上存储器1124’和片上存储器1106’。附加存储器模块1126也可被认为是计算机可读介质/存储器。每个计算机可读介质/存储器(例如,片上存储器1124’、片上存储器1106’和/或附加存储器模块1126)可以是非瞬态的。蜂窝基带处理器1124和应用处理器1106各自负责一般性处理,包括对存储在计算机可读介质/存储器上的软件的执行。该软件在由蜂窝基带处理器1124/应用处理器1106执行时使蜂窝基带处理器1124/应用处理器1106执行上文所描述的各种功能。计算机可读介质/存储器还可被用于存储由蜂窝基带处理器1124/应用处理器1106在执行软件时操纵的数据。蜂窝基带处理器1124/应用处理器1106可以是UE 350的组件且可包括存储器360和/或以下至少一者:TX处理器368、RX处理器356和控制器/处理器359。在一种配置中,设备1104可以是处理器芯片(调制解调器和/或应用)并且仅包括蜂窝基带处理器1124和/或应用处理器1106,并且在另一配置中,设备1104可以是整个UE(例如,参见图3的350)并且包括设备1104的附加模块。
如上文所讨论的,UE安全性处置组件198被配置成:向第一网络实体传送第一跟踪区域更新(TAU)请求,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符;向第一网络实体传送第二TAU请求,第二TAU请求包括第一信息集合,第二TAU请求使用第二上行链路计数来被完整性保护;基于第一安全上下文以及第一上行链路计数或第二上行链路计数中的至少一者来导出经映射安全上下文;以及基于经映射安全上下文来与第一网络实体进行通信。
在另一方面,UE安全性处置组件198可被配置成当执行从与第一无线电接入技术(RAT)相关联的第一蜂窝小区到连接到与不同于第一RAT的第二RAT相关联的第二蜂窝小区的改变时向第一网络实体传送第一跟踪区域更新(TAU)请求,第一网络实体与第二RAT相关联,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,并且第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护;基于第一安全上下文、第一上行链路计数和第一经映射安全上下文来导出第一完整性密钥;向第一网络实体传送第一TAU请求的重复,第一TAU请求的该重复使用不同于第一上行链路计数的第二上行链路计数来被完整性保护;基于第一安全上下文、第二上行链路计数和第二经映射安全上下文来导出第二完整性密钥;从第一网络实体接收下行链路传输;使用第一完整性密钥和第二完整性密钥中的至少一者来对下行链路传输执行完整性检查;以及当使用所导出的完整性密钥来对下行链路传输的完整性检查成功时设置UE的主安全密钥,该主安全密钥基于被用于导出所导出的完整性密钥的第一经映射安全上下文或第二经映射安全上下文来设置。
UE安全性处置组件198可在蜂窝基带处理器1124、应用处理器1106或蜂窝基带处理器1124和应用处理器1106这两者中。UE安全性处置组件可以是专门配置成实施所陈述的过程/算法的一个或多个硬件组件、由配置成执行所陈述的过程/算法的一个或多个处理器实现、存储在计算机可读介质中以供由一个或多个处理器实现、或其某种组合。
如所示的,设备1104可包括为各种功能配置的各种组件。例如,UE安全性处置组件可包括执行图7、图8、图9和/或图10的流程图中的算法的每个框的一个或多个硬件组件。
在一种配置中,设备1104,并且尤其是蜂窝基带处理器1124和/或应用处理器1106包括用于以下操作的装置:向第一网络实体传送第一跟踪区域更新(TAU)请求,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符;向第一网络实体传送第二TAU请求,第二TAU请求包括第一信息集合,第二TAU请求使用第二上行链路计数来被完整性保护;基于第一安全上下文以及第一上行链路计数或第二上行链路计数中的至少一者来导出经映射安全上下文;以及基于经映射安全上下文来与第一网络实体进行通信。
在另一配置中,示例设备1104还包括用于以下操作的装置:当执行从与第一RAT相关联的第一蜂窝小区到连接到与第二RAT相关联的第二蜂窝小区的改变时传送第一TAU请求,第二RAT不同于第一RAT,第一网络实体与第二RAT相关联。
在另一配置中,第二TAU请求包括第一TAU请求的重复,并且第二上行链路计数与第一上行链路计数是相同的值。
在另一配置中,示例设备1104还包括用于基于无线电链路故障的发生来传送第二TAU请求的装置。
在另一配置中,经映射安全上下文与第二RAT相关联。
在另一配置中,第二上行链路计数不同于第一上行链路计数,并且经映射安全上下文是第一经映射安全上下文,并且示例设备1104还包括用于基于第一安全上下文和第一上行链路计数来导出第二经映射安全上下文的装置,第二TAU请求使用第一安全上下文来编码并且使用第二上行链路计数来被完整性保护,第一经映射安全上下文基于第一安全上下文和第二上行链路计数来导出。
在另一配置中,示例设备1104还包括用于以下操作的装置:基于导出第一经映射安全上下文来将UE的安全上下文从第二经映射安全上下文更新为第一经映射安全上下文;以及在更新UE的安全上下文之后丢弃使用第二经映射安全上下文来被完整性保护的待决传输。
在另一配置中,第二TAU请求包括第一TAU请求的重复。
在一种配置中,设备1104,并且尤其是蜂窝基带处理器1124和/或应用处理器1106包括用于以下操作的装置:当执行从与第一无线电接入技术(RAT)相关联的第一蜂窝小区到连接到与不同于第一RAT的第二RAT相关联的第二蜂窝小区的改变时向第一网络实体传送第一跟踪区域更新(TAU)请求,第一网络实体与第二RAT相关联,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,并且第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护;基于第一安全上下文、第一上行链路计数和第一经映射安全上下文来导出第一完整性密钥;向第一网络实体传送第一TAU请求的重复,第一TAU请求的该重复使用不同于第一上行链路计数的第二上行链路计数来被完整性保护;基于第一安全上下文、第二上行链路计数和第二经映射安全上下文来导出第二完整性密钥;从第一网络实体接收下行链路传输;使用第一完整性密钥和第二完整性密钥中的至少一者来对下行链路传输执行完整性检查;以及当使用所导出的完整性密钥来对下行链路传输的完整性检查成功时设置UE的主安全密钥,该主安全密钥基于被用于导出所导出的完整性密钥的第一经映射安全上下文或第二经映射安全上下文来设置。
在另一配置中,示例设备1104还包括用于以下操作的装置:当使用第一完整性密钥对下行链路传输的完整性检查成功时,擦除第二经映射安全上下文和使用第二经映射安全上下文来导出的任何密钥,其中主安全密钥包括第一经映射安全上下文。
在另一配置中,示例设备1104还包括用于以下操作的装置:当使用第二完整性密钥对下行链路传输的完整性检查成功时,擦除第一经映射安全上下文和使用第一经映射安全上下文来导出的任何密钥,其中主安全密钥包括第二经映射安全上下文。
在另一配置中,示例设备1104还包括用于基于第一安全上下文和第一上行链路计数来导出第一经映射安全上下文的装置。
装置可以是设备1104中被配置成执行由装置叙述的功能的UE安全性处置组件198。如前文所述,设备1104可包括TX处理器368、RX处理器356、以及控制器/处理器359。如此,在一种配置中,装置可以是被配置成执行由装置所叙述的功能的TX处理器368、RX处理器356、和/或控制器/处理器359。
图12是无线通信方法的流程图1200。该方法可由第一网络实体(例如,基站102、或基站102的组件、MME 412、AMF 432、图16的网络实体1602和/或图17的网络实体1760)执行。该方法可通过在包括RLF和TAU请求消息的重传的示例中改进第一蜂窝小区到第二蜂窝小区重选的安全性处置来促成改进通信性能。
第一网络实体可与UE和第二网络实体处于通信。在一些示例中,第一网络实体可包括MME(诸如图6的MME 606),并且第二网络实体可包括AMF,诸如图6的AMF 608。
在1202,第一网络实体获得由UE生成的第一TAU请求,如结合图6的第一TAU请求消息610所描述的。第一TAU请求可使用与第一RAT相关联的第一安全上下文(诸如图6的5G安全上下文690)来编码。第一TAU请求可使用基于第一安全上下文的第一上行链路计数(诸如与第一TAU请求消息610相关联的5G NAS上行链路计数)来被完整性保护。第一TAU请求可包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符,如结合图6的经映射EPS GUTI 612所描述的。在1202第一TAU请求的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1204,第一网络实体基于第一TAU请求来输出针对第二网络实体的第一上下文请求,如结合图6的上下文请求消息622和AMF 608所描述的。第二网络实体可与第一RAT相关联,诸如AMF 608与5G网络609相关联。在一些示例中,第一上下文请求可包括被映射到第二RAT的标识符,诸如图6的第一TAU请求消息610的经映射EPS GUTI 612。在一些示例中,第一TAU请求可使用第一上行链路计数来被完整性保护。在1204第一上下文请求的输出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在1206,第一网络实体基于第一上下文请求来获得第一经映射安全上下文,如结合图6的经映射EPS安全上下文636所描述的。第一经映射安全上下文可从第一安全上下文和第一上行链路计数中导出。在1206第一经映射安全上下文的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1208,第一网络实体获得第二TAU请求,如结合图6的第二TAU请求消息670所描述的。第二TAU请求可使用第一安全上下文来编码。第二TAU请求可使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。例如,第一TAU请求可使用上行链路NAS计数值5来被完整性保护,并且第二TAU请求可使用上行链路NAS计数值6来被完整性保护。第二TAU请求可包括第一信息集合,如结合图6的经映射EPS GUTI 612、NAS-MAC 614和eKSI参数616所描述的。在一些示例中,第二TAU请求可包括第一TAU请求的重复。在1208第二TAU请求的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1210,第一网络实体基于第二TAU请求来输出针对第二网络实体的第二上下文请求,如结合图6的第二上下文请求消息674所描述的。在1210第二上下文请求的输出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在1212,第一网络实体基于第二上下文请求来获得第二经映射安全上下文,第二经映射安全上下文从第一安全上下文和第二上行链路计数导出。获得第二经映射安全上下文的各方面可类似于获得第一映射安全上下文,如结合图6的经映射EPS安全上下文636所描述的。在1212第二经映射安全上下文的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1214,第一网络实体基于第二经映射安全上下文来输出下行链路消息,如结合图6的TAU接受消息662所描述的。在1214下行链路消息的输出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
图13是无线通信方法的流程图1300。该方法可由第一网络实体(例如,基站102、或基站102的组件、MME 412、AMF 432、图16的网络实体1602和/或图17的网络实体1760)执行。该方法可通过在包括RLF和TAU请求消息的重传的示例中改进第一蜂窝小区到第二蜂窝小区重选的安全性处置来促成改进通信性能。
第一网络实体可与UE和第二网络实体处于通信。在一些示例中,第一网络实体可包括MME(诸如图6的MME 606),并且第二网络实体可包括AMF,诸如图6的AMF 608。
在1302,第一网络实体获得由UE生成的第一TAU请求,如结合图6的第一TAU请求消息610所描述的。第一TAU请求可使用与第一RAT相关联的第一安全上下文(诸如图6的5G安全上下文690)来编码。第一TAU请求可使用基于第一安全上下文的第一上行链路计数(诸如与第一TAU请求消息610相关联的5G NAS上行链路计数)来被完整性保护。第一TAU请求可包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符,如结合图6的经映射EPS GUTI 612所描述的。在1302第一TAU请求的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在一些示例中,在1304,第一网络实体可基于被映射到第二RAT的标识符来导出第二网络实体的地址,如结合图6的620所描述的。在1304第二网络实体的地址的导出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在1306,第一网络实体基于第一TAU请求来输出针对第二网络实体的第一上下文请求,如结合图6的上下文请求消息622和AMF 608所描述的。第二网络实体可与第一RAT相关联,诸如AMF 608与5G网络609相关联。在一些示例中,第一上下文请求可包括被映射到第二RAT的标识符,诸如图6的第一TAU请求消息610的经映射EPS GUTI 612。在一些示例中,第一TAU请求可使用第一上行链路计数来被完整性保护。在1306第一上下文请求的输出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在1308,第一网络实体基于第一上下文请求来获得第一经映射安全上下文,如结合图6的经映射EPS安全上下文636所描述的。第一经映射安全上下文可从第一安全上下文和第一上行链路计数中导出。在1308第一经映射安全上下文的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1310,第一网络实体获得第二TAU请求,如结合图6的第二TAU请求消息670所描述的。第二TAU请求可使用第一安全上下文来编码。第二TAU请求可使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。例如,第一TAU请求可使用上行链路NAS计数值5来被完整性保护,并且第二TAU请求可使用上行链路NAS计数值6来被完整性保护。第二TAU请求可包括第一信息集合,如结合图6的经映射EPS GUTI 612、NAS-MAC 614和eKSI参数616所描述的。在一些示例中,第二TAU请求可包括第一TAU请求的重复。在1310第二TAU请求的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1312,第一网络实体基于第二TAU请求来输出针对第二网络实体的第二上下文请求,如结合图6的第二上下文请求消息674所描述的。在1312第二上下文请求的输出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在1314,第一网络实体基于第二上下文请求来获得第二经映射安全上下文,第二经映射安全上下文从第一安全上下文和第二上行链路计数导出。获得第二经映射安全上下文的各方面可类似于获得第一映射安全上下文,如结合图6的经映射EPS安全上下文636所描述的。在1314第二经映射安全上下文的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1316,第一网络实体基于第二经映射安全上下文来输出下行链路消息,如结合图6的TAU接受消息662所描述的。在1316下行链路消息的输出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在一些示例中,在1318,第一网络实体可基于获得第二经映射安全上下文来将第一网络实体的安全上下文从第一经映射安全上下文更新为第二经映射安全上下文。在1318第一网络实体的安全上下文的更新可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
附加地,在1320,第一网络实体可在更新第一网络实体的安全上下文之后丢弃使用第一经映射安全上下文来被完整性保护的待决下行链路传输。在1320待决下行链路传输的丢弃可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在一些示例中,第一网络实体可在于1316输出下行链路消息之后以及在获得响应于下行链路消息的上行链路消息之前在1310获得具有相同信息元素的第二TAU请求消息。例如,第一网络实体可在输出TAU接受消息662之后以及在获得TAU完成消息666之前获得第二TAU请求消息。
在第一网络实体并非基于从N1模式到S1模式的系统间变化而在1302获得第一TAU请求,UE被配置成以单注册模式操作,并且下行链路消息包括TAU接受消息的一些示例中,第一网络实体可重新发送该下行链路消息。在一些示例中,当TAU完成消息(诸如图6的TAU完成消息666)被预期来自UE时,第一网络实体可重启T3450定时器。第一网络实体还可跳过递增与T3450定时器相关的重传计数器。
在第一网络实体基于从N1模式到S1模式的系统间变化而在1302获得第一TAU请求,UE被配置成以单注册模式操作,并且下行链路消息包括TAU接受消息的一些示例中,第一网络实体可发起与UE的认证规程。第一网络实体还可执行安全模式控制规程以将新部分原生EPS安全上下文转换为当前的完全原生EPS安全上下文。例如,第一网络实体可执行与UE的NAS SMC规程660以将部分原生EPS安全上下文转换为完全原生EPS安全上下文以促成与UE传达EPS NAS消息。
在安全模式控制规程成功的一些示例中,第一网络实体可输出下行链路消息重复,该下行链路消息重复使用当前完全原生EPS安全上下文来被完整性保护。当TAU完成消息(诸如图6的TAU完成消息666)被预期来自UE时,第一网络实体也可重启T3450定时器。第一网络实体还可跳过递增与T3450定时器相关的重传计数器。
在第一网络实体并非基于从N1模式到S1模式的系统间变化而在1302获得第一TAU请求,并且UE被配置成以单注册模式操作的一些示例中,第一网络实体可基于第二TAU请求来跳过对TAU规程的发起。第一网络实体还可基于第一经映射安全上下文来对下行链路消息进行完整性保护。
在第一网络实体基于从N1模式到S1模式的系统间变化而在1302获得第一TAU请求,并且UE被配置成以单注册模式操作的一些示例中,第一网络实体可确定要发起第二TAU规程。例如,在1312,第一网络实体可向第二网络实体输出第二上下文请求。第一网络实体还可基于第二经映射安全上下文来对下行链路消息进行完整性保护。
在一些示例中,第一网络实体可接收TAU请求消息,并且可能还未发送TAU接受消息或TAU拒绝消息。如果TAU请求消息中的一个或多个信息元素不同,则基于第一TAU请求消息来发起的TAU规程可被中止,并且基于第二TAU请求消息来发起的TAU规程可进行(例如,可继续)。
如果TAU请求消息中的信息元素相同(例如,非不同),则对于除了在UE以单注册模式操作的情况下在空闲模式中从N1模式到S1模式的系统间变化之外的各方面,第一网络实体可继续先前发起的TAU规程(例如,基于第一TAU请求消息)并且丢弃第二TAU请求消息。即,第一网络实体可抑制基于第二TAU请求消息来向第二网络实体传送请求新经映射EPS安全上下文的第二上下文请求消息。
对于在UE以单注册模式操作的情况下在空闲模式中从N1模式到S1模式的系统间变化的各方面,第一网络实体可将新TAU请求消息转发到第二网络实体(例如,通过另一上下文请求消息)以运行完整性检查并且获得最新经映射EPS安全上下文以及继续进行先前的TAU规程。例如,第一网络实体可将第二TAU请求消息转发给第二网络实体(例如,通过第二上下文请求消息)。第二网络实体可验证第二TAU请求消息。第二网络实体随后可基于第二TAU请求消息来生成新经映射EPS安全上下文。例如,新经映射EPS安全上下文可至少部分地基于与第二TAU请求消息相关联的5G NAS上行链路计数值(例如,6)。作为结果,被提供给第一网络实体的包括新MME EPS密钥(例如,K
图14是无线通信方法的流程图1400。该方法可由第二网络实体(例如,基站102、或基站102的组件、MME 412、AMF 432、图16的网络实体1602和/或图17的网络实体1760)执行。该方法可通过在包括RLF和TAU请求消息的重传的示例中改进第一蜂窝小区到第二蜂窝小区重选的安全性处置来促成改进通信性能。
第二网络实体可与第一网络实体处于通信。在一些示例中,第一网络实体可包括MME(诸如图6的MME 606),并且第二网络实体可包括AMF,诸如图6的AMF 608。
在1402,第二网络实体获得第一上下文请求,第一上下文请求至少包括由UE生成的第一TAU请求,如结合图6的上下文请求消息622所描述的。第一TAU请求可使用与第一RAT相关联的第一安全上下文(诸如图6的5G安全上下文690)来编码。第一TAU请求可使用基于第一安全上下文的第一上行链路计数(诸如与第一TAU请求消息610相关联的5G NAS上行链路计数)来被完整性保护。第一RAT可不同于与第一网络实体相关联的第二RAT。例如,第一RAT可对应于5G网络609,并且与第一网络实体相关联的第二RAT可对应于与图6的MME 606相关联的EPS网络607。在1402第一上下文请求的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在1404,当对第一TAU请求的第一完整性检查成功时,第二网络实体导出第一经映射安全上下文,如结合图6的632、634和经映射EPS安全上下文636所描述的。在1404第一经映射安全上下文的导出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1406,第二网络实体输出用于第一网络实体的第一经映射安全上下文,如结合图6的经映射EPS安全上下文636和上下文响应消息638所描述的。在1406第一经映射安全上下文的输出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1408,第二网络实体获得第二上下文请求,第二上下文请求至少包括由UE生成的第二TAU请求,如结合图6的包括TAU请求的第二上下文请求消息674所描述的。第二TAU请求可使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。例如,第一TAU请求可使用上行链路NAS计数值5来被完整性保护,并且第二TAU请求可使用上行链路NAS计数值6来被完整性保护。在1408第二上下文请求的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在1410,当对第二TAU请求的第二完整性检查成功时,第二网络实体导出第二经映射安全上下文。导出第二经映射安全上下文的各方面可类似于第一经映射安全上下文的导出,如结合图6的632、634和经映射EPS安全上下文636所描述的。在1410第二经映射安全上下文的导出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1412,第二网络实体输出用于第一网络实体的第二经映射安全上下文。输出第二经映射安全上下文的各方面可类似于输出第一经映射安全上下文,如结合图6的经映射EPS安全上下文636和上下文响应消息638所描述的。在1412第二经映射安全上下文的输出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
图15是无线通信方法的流程图1500。该方法可由第二网络实体(例如,基站102、或基站102的组件、MME 412、AMF 432、图16的网络实体1602和/或图17的网络实体1760)执行。该方法可通过在包括RLF和TAU请求消息的重传的示例中改进第一蜂窝小区到第二蜂窝小区重选的安全性处置来促成改进通信性能。
第二网络实体可与第一网络实体处于通信。在一些示例中,第一网络实体可包括MME(诸如图6的MME 606),并且第二网络实体可包括AMF,诸如图6的AMF 608。
在1502,第二网络实体获得第一上下文请求,第一上下文请求至少包括由UE生成的第一TAU请求,如结合图6的上下文请求消息622所描述的。第一TAU请求可使用与第一RAT相关联的第一安全上下文(诸如图6的5G安全上下文690)来编码。第一TAU请求可使用基于第一安全上下文的第一上行链路计数(诸如与第一TAU请求消息610相关联的5G NAS上行链路计数)来被完整性保护。第一RAT可不同于与第一网络实体相关联的第二RAT。例如,第一RAT可对应于5G网络609,并且与第一网络实体相关联的第二RAT可对应于与图6的MME 606相关联的EPS网络607。在1502第一上下文请求的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在一些示例中,第一上下文请求可进一步包括被映射到第二RAT的标识符,诸如图6的示例经映射EPS GUTI 612。
在1504,当对第一TAU请求的第一完整性检查成功时,第二网络实体导出第一经映射安全上下文,如结合图6的632、634和经映射EPS安全上下文636所描述的。在1504第一经映射安全上下文的导出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在一些示例中,第二网络实体可基于第一安全上下文来对第一TAU请求执行第一完整性检查,如结合图6的632和5G NAS安全上下文692所描述的。
在1506,第二网络实体输出用于第一网络实体的第一经映射安全上下文,如结合图6的经映射EPS安全上下文636和上下文响应消息638所描述的。在1506第一经映射安全上下文的输出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在一些示例中,在1508,第二网络实体可在传送第一经映射安全上下文之后发起定时器。在1508定时器的发起可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在一些示例中,在1510,第二网络实体可在定时器期满后擦除第一经映射安全上下文。在1510第一经映射安全上下文的擦除可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1512,第二网络实体获得第二上下文请求,第二上下文请求至少包括由UE生成的第二TAU请求,如结合图6的包括TAU请求的第二上下文请求消息674所描述的。第二TAU请求可使用不同于第一上行链路计数的第二上行链路计数来被完整性保护。例如,第一TAU请求可使用上行链路NAS计数值5来被完整性保护,并且第二TAU请求可使用上行链路NAS计数值6来被完整性保护。在1512第二上下文请求的获得可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497执行。
在一些示例中,第二TAU请求可包括第一TAU请求的重复。
在1514,当对第二TAU请求的第二完整性检查成功时,第二网络实体导出第二经映射安全上下文。导出第二经映射安全上下文的各方面可类似于第一经映射安全上下文的导出,如结合图6的632、634和经映射EPS安全上下文636所描述的。在1514第二经映射安全上下文的导出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
在1516,第二网络实体输出用于第一网络实体的第二经映射安全上下文。输出第二经映射安全上下文的各方面可类似于输出第一经映射安全上下文,如结合图6的经映射EPS安全上下文636和上下文响应消息638所描述的。在1516第二经映射安全上下文的输出可由图16的网络实体1602的网络安全性处置组件199和/或图17的网络实体1760的网络安全性处置组件497来执行。
图16是解说用于网络实体1602的硬件实现的示例的示图1600。网络实体1602可以是BS、BS的组件,或者可实现BS功能性。网络实体1602可包括CU 1610、DU 1630或RU 1640中的至少一者。例如,取决于由网络安全性处置组件199处置的层功能性,网络实体1602可包括CU 1610;CU 1610和DU 1630两者;CU 1610、DU 1630和RU 1640中的每一者;DU 1630;DU1630和RU 1640两者;或者是RU 1640。CU 1610可包括CU处理器1612。CU处理器1612可包括片上存储器1612’。在一些方面,可进一步包括附加的存储器模块1614和通信接口1618。CU1610通过中程链路(诸如F1接口)与DU 1630进行通信。DU 1630可包括DU处理器1632。DU处理器1632可包括片上存储器1632’。在一些方面,DU 1630可进一步包括附加的存储器模块1634和通信接口1638。DU 1630通过去程链路来与RU 1640进行通信。RU 1640可包括RU处理器1642。RU处理器1642可包括片上存储器1642’。在一些方面,RU 1640可进一步包括附加的存储器模块1644、一个或多个收发机1646、天线1680和通信接口1648。RU 1640与UE 104进行通信。片上存储器(例如,片上存储器1612’、片上存储器1632’和/或片上存储器1642’)和/或附加存储器模块(例如,附加存储器模块1614、附加存储器模块1634和/或附加存储器模块1644)可各自被认为是计算机可读介质/存储器。每个计算机可读介质/存储器可以是非瞬态的。CU处理器1612、DU处理器1632、RU处理器1642中的每一者负责一般性处理,包括对存储在计算机可读介质/存储器上的软件的执行。该软件在由(诸)对应处理器执行时使(诸)处理器执行上文所描述的各种功能。计算机可读介质/存储器还可被用于存储由(诸)处理器在执行软件时操纵的数据。
如上文所讨论的,网络安全性处置组件199被配置成:接收由用户装备(UE)生成的第一跟踪区域更新(TAU)请求,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符;基于第一TAU请求来输出针对第二网络实体的第一上下文请求,第二网络实体与第一RAT相关联;基于第一上下文请求来接收第一经映射安全上下文,第一经映射安全上下文从第一安全上下文和第一上行链路计数导出;接收第二TAU请求,第二TAU请求使用第一安全上下文来编码,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护,并且第二TAU请求包括第一信息集合;基于第二TAU请求来输出针对第二网络实体的第二上下文请求;基于第二上下文请求来接收第二经映射安全上下文,第二经映射安全上下文从第一安全上下文和第二上行链路计数导出;以及基于第二经映射安全上下文来传送下行链路消息。
在另一方面,网络安全性处置组件199可被配置成接收第一上下文请求,第一上下文请求至少包括由用户装备(UE)生成的第一跟踪区域更新(TAU)请求,第一TAU请求使用第一上行链路计数来被完整性保护,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一RAT不同于与第一网络实体相关联的第二RAT;当对第一TAU请求的第一完整性检查成功时导出第一经映射安全上下文;输出用于第一网络实体的第一经映射安全上下文;接收第二上下文请求,第二上下文请求至少包括由UE生成的第二TAU请求,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护;当对第二TAU请求的第二完整性检查成功时导出第二经映射安全上下文;以及输出用于第一网络实体的第二经映射安全上下文。
网络安全性处置组件199可在CU 1610、DU 1630和RU 1640中的一者或多者的一个或多个处理器内。网络安全性处置组件199可以是专门配置成实施所陈述的过程/算法的一个或多个硬件组件、由配置成执行所陈述的过程/算法的一个或多个处理器实现、存储在计算机可读介质中以供由一个或多个处理器实现、或其某种组合。
在一种配置中,网络实体1602可以是第一网络实体并且包括用于以下操作的装置:获得由用户装备(UE)生成的第一跟踪区域更新(TAU)请求,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符;基于第一TAU请求来输出针对第二网络实体的第一上下文请求,第二网络实体与第一RAT相关联;基于第一上下文请求来获得第一经映射安全上下文,第一经映射安全上下文从第一安全上下文和第一上行链路计数导出;获得第二TAU请求,第二TAU请求使用第一安全上下文来编码,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护,并且第二TAU请求包括第一信息集合;基于第二TAU请求来输出针对第二网络实体的第二上下文请求;基于第二上下文请求来获得第二经映射安全上下文,第二经映射安全上下文从第一安全上下文和第二上行链路计数导出;以及基于第二经映射安全上下文来输出下行链路消息。
在另一配置中,第一上下文请求包括被映射到第二RAT的标识符,并且第一TAU请求使用第一上行链路计数来被完整性保护。
在另一配置中,示例网络实体1602还包括用于基于被映射到第二RAT的标识符来导出第二网络实体的地址的装置。
在另一配置中,示例网络实体1602还包括用于以下操作的装置:基于获得第二经映射安全上下文来将第一网络实体的安全上下文从第一经映射安全上下文更新为第二经映射安全上下文;以及在更新第一网络实体的安全上下文之后丢弃使用第一经映射安全上下文来被完整性保护的待决下行链路传输。
在另一配置中,第二TAU请求包括第一TAU请求的重复。
在另一配置中,第一TAU并非基于从N1模式到S1模式的系统间变化来获得,UE被配置成以单注册模式操作,并且下行链路消息包括TAU接受消息,并且示例网络实体1602还包括用于重新发送下行链路消息的装置。
在另一配置中,示例网络实体1602还包括用于以下操作的装置:当TAU完成消息被预期来自UE时重启T3450定时器;以及跳过与T3450定时器相关的重传计数器的递增。
在另一配置中,第一TAU请求基于从N1模式到S1模式的系统间变化来获得,UE被配置成以单注册模式操作,并且下行链路消息包括TAU接受消息,并且示例网络实体1602还包括用于以下操作的装置:发起认证规程;以及执行安全模式控制规程以转换新部分原生演进型分组系统(EPS)安全性。
在另一配置中,示例网络实体1602还包括用于以下操作的装置:在安全模式控制规程成功时输出下行链路消息重复,该下行链路消息重复使用当前完全原生EPS安全上下文来被完整性保护;当TAU完成消息被预期来自UE时重启T3450定时器;以及跳过与T3450定时器相关的重传计数器的递增。
在另一配置中,第一TAU请求并非基于从N1模式到S1模式的系统间变化来获得,UE被配置成以单注册模式操作,并且示例网络实体1602还包括用于以下操作的装置:基于第二TAU请求来跳过对TAU规程的发起;以及基于第一经映射安全上下文来对下行链路消息进行完整性保护。
在另一配置中,第一TAU请求基于从N1模式到S1模式的系统间变化来获得,UE被配置成在单注册模式下操作,并且示例网络实体1602还包括用于确定要发起第二TAU规程的装置,包括:向第二网络实体输出第二上下文请求;以及基于第二经映射安全上下文来对下行链路消息进行完整性保护。
在另一配置中,第一网络实体包括移动性管理实体(MME),并且第二网络实体包括接入和移动性管理功能(AMF)。
在一种配置中,网络实体1602可以是第二网络实体并且包括用于以下操作的装置:获得第一上下文请求,第一上下文请求至少包括由用户装备(UE)生成的第一跟踪区域更新(TAU)请求,第一TAU请求使用第一上行链路计数来被完整性保护,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一RAT不同于与第一网络实体相关联的第二RAT;当对第一TAU请求的第一完整性检查成功时导出第一经映射安全上下文;输出用于第一网络实体的第一经映射安全上下文;获得第二上下文请求,第二上下文请求至少包括由UE生成的第二TAU请求,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护;当对第二TAU请求的第二完整性检查成功时导出第二经映射安全上下文;以及输出用于第一网络实体的第二经映射安全上下文。
在另一配置中,第一上下文请求进一步包括被映射到第二RAT的标识符。
在另一配置中,第二TAU请求包括第一TAU请求的重复。
在另一配置中,示例网络实体1602还包括用于以下操作的装置:在输出第一经映射安全上下文之后发起定时器;以及在定时器期满后擦除第一经映射安全上下文。
在另一配置中,示例网络实体1602还包括用于基于第一安全上下文来对第一TAU请求执行第一完整性检查的装置。
在另一配置中,第一网络实体包括移动性管理实体(MME),并且第二网络实体包括接入和移动性管理功能(AMF)。
装置可以是网络实体1602中被配置成执行由装置叙述的功能的网络安全性处置组件199。如前文所述,网络实体1602可包括TX处理器316、RX处理器370、以及控制器/处理器375。如此,在一种配置中,装置可以是被配置成执行由装置所叙述的功能的TX处理器316、RX处理器370、和/或控制器/处理器375。
图17是解说用于网络实体1760的硬件实现的示例的示图1700。在一个示例中,网络实体1760可在核心网120内。网络实体1760可包括网络处理器1712。网络处理器1712可包括片上存储器1712’。在一些方面,网络实体1760可进一步包括附加的存储器模块1714。网络实体1760经由网络接口1780直接(例如,回程链路)或间接(例如,通过RIC)与CU 1702进行通信。片上存储器1712’和附加存储器模块1714可各自被认为是计算机可读介质/存储器。每个计算机可读介质/存储器可以是非瞬态的。网络处理器1712负责一般性处理,包括对存储在计算机可读介质/存储器上的软件的执行。该软件在由(诸)对应处理器执行时使(诸)处理器执行上文所描述的各种功能。计算机可读介质/存储器还可被用于存储由(诸)处理器在执行软件时操纵的数据。
如上文所讨论的,网络安全性处置组件497被配置成:接收由用户装备(UE)生成的第一跟踪区域更新(TAU)请求,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符;基于第一TAU请求来输出针对第二网络实体的第一上下文请求,第二网络实体与第一RAT相关联;基于第一上下文请求来接收第一经映射安全上下文,第一经映射安全上下文从第一安全上下文和第一上行链路计数导出;接收第二TAU请求,第二TAU请求使用第一安全上下文来编码,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护,并且第二TAU请求包括第一信息集合;基于第二TAU请求来输出针对第二网络实体的第二上下文请求;基于第二上下文请求来接收第二经映射安全上下文,第二经映射安全上下文从第一安全上下文和第二上行链路计数导出;以及基于第二经映射安全上下文来传送下行链路消息。
在另一方面,网络安全性处置组件497可被配置成接收第一上下文请求,第一上下文请求至少包括由用户装备(UE)生成的第一跟踪区域更新(TAU)请求,第一TAU请求使用第一上行链路计数来被完整性保护,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一RAT不同于与第一网络实体相关联的第二RAT;当对第一TAU请求的第一完整性检查成功时导出第一经映射安全上下文;输出用于第一网络实体的第一经映射安全上下文;接收第二上下文请求,第二上下文请求至少包括由UE生成的第二TAU请求,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护;当对第二TAU请求的第二完整性检查成功时导出第二经映射安全上下文;以及输出用于第一网络实体的第二经映射安全上下文。
网络安全性处置组件497可在网络处理器1712内。网络安全性处置组件497可以是专门配置成实施所陈述的过程/算法的一个或多个硬件组件、由配置成执行所陈述的过程/算法的一个或多个处理器实现、存储在计算机可读介质中以供由一个或多个处理器实现、或其某种组合。网络实体1760可包括为各种功能配置的各种组件。
在一种配置中,网络实体1760可以是第一网络实体并且包括用于以下操作的装置:获得由用户装备(UE)生成的第一跟踪区域更新(TAU)请求,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符;基于第一TAU请求来输出针对第二网络实体的第一上下文请求,第二网络实体与第一RAT相关联;基于第一上下文请求来获得第一经映射安全上下文,第一经映射安全上下文从第一安全上下文和第一上行链路计数导出;获得第二TAU请求,第二TAU请求使用第一安全上下文来编码,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护,并且第二TAU请求包括第一信息集合;基于第二TAU请求来输出针对第二网络实体的第二上下文请求;基于第二上下文请求来获得第二经映射安全上下文,第二经映射安全上下文从第一安全上下文和第二上行链路计数导出;以及基于第二经映射安全上下文来输出下行链路消息。
在另一配置中,第一上下文请求包括被映射到第二RAT的标识符,并且第一TAU请求使用第一上行链路计数来被完整性保护。
在另一配置中,示例网络实体1760还包括用于基于被映射到第二RAT的标识符来导出第二网络实体的地址的装置。
在另一配置中,示例网络实体1760还包括用于以下操作的装置:基于获得第二经映射安全上下文来将第一网络实体的安全上下文从第一经映射安全上下文更新为第二经映射安全上下文;以及在更新第一网络实体的安全上下文之后丢弃使用第一经映射安全上下文来被完整性保护的待决下行链路传输。
在另一配置中,第二TAU请求包括第一TAU请求的重复。
在另一配置中,第一TAU并非基于从N1模式到S1模式的系统间变化来获得,UE被配置成以单注册模式操作,并且下行链路消息包括TAU接受消息,并且示例网络实体1760还包括用于重新发送下行链路消息的装置。
在另一配置中,示例网络实体1760还包括用于以下操作的装置:当TAU完成消息被预期来自UE时重启T3450定时器;以及跳过与T3450定时器相关的重传计数器的递增。
在另一配置中,第一TAU请求基于从N1模式到S1模式的系统间变化来获得,UE被配置成以单注册模式操作,并且下行链路消息包括TAU接受消息,并且示例网络实体1760还包括用于以下操作的装置:发起认证规程;以及执行安全模式控制规程以转换新部分原生演进型分组系统(EPS)安全性。
在另一配置中,示例网络实体1760还包括用于以下操作的装置:在安全模式控制规程成功时输出下行链路消息重复,该下行链路消息重复使用当前完全原生EPS安全上下文来被完整性保护;当TAU完成消息被预期来自UE时重启T3450定时器;以及跳过与T3450定时器相关的重传计数器的递增。
在另一配置中,第一TAU请求并非基于从N1模式到S1模式的系统间变化来获得,UE被配置成以单注册模式操作,并且示例网络实体1760还包括用于以下操作的装置:基于第二TAU请求来跳过对TAU规程的发起;以及基于第一经映射安全上下文来对下行链路消息进行完整性保护。
在另一配置中,第一TAU请求基于从N1模式到S1模式的系统间变化来获得,UE被配置成在单注册模式下操作,并且示例网络实体1760还包括用于确定要发起第二TAU规程的装置,包括:向第二网络实体输出第二上下文请求;以及基于第二经映射安全上下文来对下行链路消息进行完整性保护。
在另一配置中,第一网络实体包括移动性管理实体(MME),并且第二网络实体包括接入和移动性管理功能(AMF)。
在一种配置中,网络实体1760可以是第二网络实体并且包括用于以下操作的装置:获得第一上下文请求,第一上下文请求至少包括由用户装备(UE)生成的第一跟踪区域更新(TAU)请求,第一TAU请求使用第一上行链路计数来被完整性保护,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一RAT不同于与第一网络实体相关联的第二RAT;当对第一TAU请求的第一完整性检查成功时导出第一经映射安全上下文;输出用于第一网络实体的第一经映射安全上下文;获得第二上下文请求,第二上下文请求至少包括由UE生成的第二TAU请求,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护;当对第二TAU请求的第二完整性检查成功时导出第二经映射安全上下文;以及输出用于第一网络实体的第二经映射安全上下文。
在另一配置中,第一上下文请求进一步包括被映射到第二RAT的标识符。
在另一配置中,第二TAU请求包括第一TAU请求的重复。
在另一配置中,示例网络实体1760还包括用于以下操作的装置:在输出第一经映射安全上下文之后发起定时器;以及在定时器期满后擦除第一经映射安全上下文。
在另一配置中,示例网络实体1760还包括用于基于第一安全上下文来对第一TAU请求执行第一完整性检查的装置。
在另一配置中,第一网络实体包括移动性管理实体(MME),并且第二网络实体包括接入和移动性管理功能(AMF)。
装置可以是网络实体1760中被配置成执行由装置叙述的功能的网络安全性处置组件497。如上文所描述的,网络实体1760可包括网络处理器1712。如此,在一种配置中,装置可以是被配置成执行由装置叙述的功能的网络处理器1712。
本文所公开的各示例提供了用于消除如上所述的TAU请求消息的重复的处置中的不一致性的技术。例如,所公开的技术可通过修改网络如何处置TAU请求消息的重复来移除不一致性。所公开的技术可附加地或替换地通过修改UE如何对TAU请求消息进行完整性保护来移除不一致性。附加地,所公开的技术可通过修改UE如何执行对消息的完整性验证来移除不一致性。
应理解,所公开的过程/流程图中的各个框的具体次序或层次是示例办法的解说。应理解,基于设计偏好,可以重新编排这些过程/流程图中的各个框的具体次序或层次。此外,一些框可被组合或被略去。所附方法权利要求以范例次序呈现各种框的要素,且并不限定于所呈现的具体次序或层次。
提供先前描述是为了使本领域任何技术人员均能够实践本文中所描述的各个方面。对这些方面的各种修改将容易为本领域技术人员所明白,并且在本文中所定义的普适原理可被应用于其他方面。因此,权利要求书不被限定于本文所描述的各方面,而是要根据与语言权利要求书一致的全部范围。对单数元素的引用不意指“有且只有一个”(除非专门如此声明),而是“一个或多个”。诸如“如果”、“当……时”和“同时”之类的术语并不意味着即时时间关系或反应。即,这些短语(例如,“当......时”)并不暗示响应于动作的发生或在动作的发生期间的立即动作,而仅暗示在满足条件的情况下将发生动作,而并不需要供动作发生的特定的或立即的时间约束。措辞“示例性”在本文中用于表示“用作示例、实例、或解说”。本文中描述为“示例性”的任何方面不必被解释为优于或胜过其他方面。除非特别另外声明,否则术语“一些/某个”指的是一个或多个。诸如“A、B或C中的至少一个”、“A、B或C中的一个或多个”、“A、B和C中的至少一个”、“A、B和C中的一个或多个”以及“A、B、C或其任何组合”之类的组合包括A、B和/或C的任何组合,并可包括多个A、多个B或多个C。具体而言,诸如“A、B或C中的至少一个”、“A、B或C中的一个或多个”、“A、B和C中的至少一个”、“A、B和C中的一个或多个”以及“A、B、C或其任何组合”之类的组合可以是仅有A、仅有B、仅有C、A和B、A和C、B和C,或者A和B和C,其中任何这种组合可包含A、B或C的一个或多个成员。集合应当被解读为元素集合,其中元素数量以一个或多个计。相应地,对于X集合,X将包括一个或多个元素。如果第一装备从第二装备接收数据或向第二装置传送数据,则可以在第一装备与第二装备之间直接接收/传送数据、或者通过一组装备在第一装备与第二装备之间间接地接收/传送数据。本公开通篇描述的各个方面的要素为本领域普通技术人员当前或今后所知的所有结构上和功能上的等效方案通过引述被明确纳入于此,且被权利要求所涵盖。此外,本文所公开的任何内容都不捐献于公众,无论此类公开内容是否明确记载在权利要求书中。措辞“模块”、“机制”、“元素”、“设备”等可以不是措辞“装置”的代替。如此,没有任何权利要求元素应被解释为装置加功能,除非该元素是使用短语“用于……的装置”来明确叙述的。
如本文所使用的,短语“基于”不应被解读为引述信息、一个或多个条件、一个或多个因素等的封闭集合。换言之,短语“基于A”(其中“A”可以是信息、条件、因素等)应被解读为“至少基于A”,除非特别不同地叙述。
以下方面仅是解说性的,并且可以与本文中所描述的其他方面或教导进行组合而没有限制。
方面1是一种在UE处进行无线通信的方法,该方法包括:向第一网络实体传送第一跟踪区域更新(TAU)请求,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符;向第一网络实体传送第二TAU请求,第二TAU请求包括第一信息集合,第二TAU请求使用第二上行链路计数来被完整性保护;基于第一安全上下文以及第一上行链路计数或第二上行链路计数中的至少一者来导出经映射安全上下文;以及基于经映射安全上下文来与第一网络实体进行通信。
方面2是方面1的方法,进一步包括:当执行从与第一RAT相关联的第一蜂窝小区到连接到与第二RAT相关联的第二蜂窝小区的改变时传送第一TAU请求,第二RAT不同于第一RAT,第一网络实体与第二RAT相关联。
方面3是方面1和2中任一者的方法,进一步包括第二TAU请求包括第一TAU请求的重复,并且第二上行链路计数与第一上行链路计数是相同的值。
方面4是方面1至3中任一者的方法,进一步包括:基于无线电链路故障的发生来传送第二TAU请求。
方面5是方面1和2中任一者的方法,进一步包括经映射安全上下文与第二RAT相关联。
方面6是方面1和2中任一者的方法,进一步包括第二上行链路计数不同于第一上行链路计数,并且经映射安全上下文是第一经映射安全上下文,该方法进一步包括:基于第一安全上下文和第一上行链路计数来导出第二经映射安全上下文,第二TAU请求使用第一安全上下文来编码并且使用第二上行链路计数来被完整性保护,第一经映射安全上下文基于第一安全上下文和第二上行链路计数来导出。
方面7是方面1和6中任一者的方法,进一步包括基于导出第一经映射安全上下文来将UE的安全上下文从第二经映射安全上下文更新为第一经映射安全上下文;以及在更新UE的安全上下文之后丢弃使用第二经映射安全上下文来被完整性保护的待决传输。
方面8是方面1、6和7中任一者的方法,进一步包括第二TAU请求包括第一TAU请求的重复。
方面9是一种用于在UE处进行无线通信的装置,其包括:至少一个处理器,该至少一个处理器耦合到存储器并且被配置成实现如方面1至8中的任一者。
在方面10,方面9的装置进一步包括耦合到该至少一个处理器的至少一个天线。
在方面11,方面9或10的装置进一步包括耦合到该至少一个处理器的收发机。
方面12是一种用于无线通信的设备,包括用于实现如方面1至8中任一者的装置。
在方面13,方面12的设备进一步包括耦合至该装置的至少一个天线以执行方面1至8中任一者的方法。
在方面14,方面12或13的设备进一步包括耦合至该装置的收发机以执行方面1至8中任一者的方法。
方面15是一种存储计算机可执行代码的非瞬态计算机可读存储介质,其中该代码在被执行时使处理器实现如方面1至8中的任一者。
方面16是一种在UE处进行无线通信的方法,该方法包括:当执行从与第一无线电接入技术(RAT)相关联的第一蜂窝小区到连接到与不同于第一RAT的第二RAT相关联的第二蜂窝小区的改变时向第一网络实体传送第一跟踪区域更新(TAU)请求,第一网络实体与第二RAT相关联,第一TAU请求使用与第一RAT相关联的第一安全上下文来编码,并且第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护;基于第一安全上下文、第一上行链路计数和第一经映射安全上下文来导出第一完整性密钥;向第一网络实体传送第一TAU请求的重复,第一TAU请求的该重复使用不同于第一上行链路计数的第二上行链路计数来被完整性保护;基于第一安全上下文、第二上行链路计数和第二经映射安全上下文来导出第二完整性密钥;从第一网络实体接收下行链路传输;使用第一完整性密钥和第二完整性密钥中的至少一者来对下行链路传输执行完整性检查;以及当使用所导出的完整性密钥对下行链路传输的完整性检查成功时设置UE的主安全密钥,该主安全密钥基于被用于导出所导出的完整性密钥的第一经映射安全上下文或第二经映射安全上下文来设置。
方面17是方面16的方法,进一步包括:当使用第一完整性密钥对下行链路传输的完整性检查成功时,擦除第二经映射安全上下文和使用第二经映射安全上下文来导出的任何密钥,其中主安全密钥包括第一经映射安全上下文。
方面18是方面16的方法,进一步包括:当使用第二完整性密钥对下行链路传输的完整性检查成功时,擦除第一经映射安全上下文和使用第一经映射安全上下文来导出的任何密钥,其中主安全密钥包括第二经映射安全上下文。
方面19是方面16至18中任一者的方法,进一步包括:基于第一安全上下文和第一上行链路计数来导出第一经映射安全上下文。
方面20是一种用于在UE处进行无线通信的装置,其包括:至少一个处理器,该至少一个处理器耦合到存储器并且被配置成实现如方面16至19中的任一者。
在方面21,方面20的装置进一步包括耦合到该至少一个处理器的至少一个天线。
在方面22,方面20或21的装置进一步包括耦合到该至少一个处理器的收发机。
方面23是一种用于无线通信的设备,包括用于实现如方面16至19中任一者的装置。
在方面24,方面23的设备进一步包括耦合至该装置的至少一个天线以执行方面16至19中任一者的方法。
在方面25,方面23或24的设备进一步包括耦合至该装置的收发机以执行方面16至19中任一者的方法。
方面26是一种存储计算机可执行代码的非瞬态计算机可读存储介质,其中该代码在被执行时使处理器实现如方面16至19中的任一者。
方面27是一种在第一网络实体处进行无线通信的方法,该方法包括:获得由用户装备(UE)生成的第一跟踪区域更新(TAU)请求,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一TAU请求使用基于第一安全上下文的第一上行链路计数来被完整性保护,并且第一TAU请求包括第一信息集合,第一信息集合包括被映射到与第一网络实体相关联的第二RAT的标识符;基于第一TAU请求来输出针对第二网络实体的第一上下文请求,第二网络实体与第一RAT相关联;基于第一上下文请求来获得第一经映射安全上下文,第一经映射安全上下文从第一安全上下文和第一上行链路计数导出;获得第二TAU请求,第二TAU请求使用第一安全上下文来编码,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护,并且第二TAU请求包括第一信息集合;基于第二TAU请求来输出针对第二网络实体的第二上下文请求;基于第二上下文请求来获得第二经映射安全上下文,第二经映射安全上下文从第一安全上下文和第二上行链路计数导出;以及基于第二经映射安全上下文来输出下行链路消息。
方面28是方面27的方法,进一步包括第一上下文请求包括被映射到第二RAT的标识符,并且第一TAU请求使用第一上行链路计数来被完整性保护。
方面29是方面27和28中任一者的方法,进一步包括基于被映射到第二RAT的标识符来导出第二网络实体的地址。
方面30是方面27至29中任一者的方法,进一步包括:基于获得第二经映射安全上下文来将第一网络实体的安全上下文从第一经映射安全上下文更新为第二经映射安全上下文;以及在更新第一网络实体的安全上下文之后丢弃使用第一经映射安全上下文来被完整性保护的待决下行链路传输。
方面31是方面27至30中任一者的方法,进一步包括第二TAU请求包括第一TAU请求的重复。
方面32是方面27至31中任一者的方法,进一步包括第一TAU请求并非基于从N1模式到S1模式的系统间变化来获得,UE被配置成以单注册模式操作,并且下行链路消息包括TAU接受消息,并且该方法进一步包括:重新发送下行链路消息。
方面33是方面27至32中任一者的方法,进一步包括:当TAU完成消息被预期来自UE时重启T3450定时器;以及跳过递增与T3450定时器相关的重传计数器。
方面34是方面27至31中任一者的方法,进一步包括第一TAU请求基于从N1模式到S1模式的系统间变化来获得,UE被配置成以单注册模式操作,并且下行链路消息包括TAU接受消息,并且该方法进一步包括:发起认证规程;以及执行安全模式控制规程以将新部分原生演进型分组系统(EPS)安全上下文转换成当前完全原生EPS安全上下文。
方面35是方面27和34中任一者的方法,进一步包括在安全模式控制规程成功时输出下行链路消息重复,该下行链路消息重复使用当前完全原生EPS安全上下文来被完整性保护;当TAU完成消息被预期来自UE时重启T3450定时器;以及跳过递增与T3450定时器相关的重传计数器。
方面36是方面27至31中任一者的方法,进一步包括第一TAU请求并非基于从N1模式到S1模式的系统间变化来获得,UE被配置成以单注册模式操作,并且该方法进一步包括:基于第二TAU请求来跳过对TAU规程的发起;以及基于第一经映射安全上下文来对下行链路消息进行完整性保护。
方面37是方面27至31中任一者的方法,进一步包括第一TAU请求基于从N1模式到S1模式的系统间变化来获得,UE被配置成以单注册模式操作,并且该方法进一步包括:确定要发起第二TAU规程,包括:向第二网络实体输出第二上下文请求;以及基于第二经映射安全上下文来完整性保护下行链路消息。
方面38是方面27至37中任一者的方法,进一步包括第一网络实体包括移动性管理实体(MME),并且第二网络实体包括接入和移动性管理功能(AMF)。
方面39是一种用于在UE处进行无线通信的装置,其包括:至少一个处理器,该至少一个处理器耦合到存储器并且被配置成实现如方面27至38中的任一者。
在方面40,方面39的装置进一步包括耦合到该至少一个处理器的至少一个天线。
在方面41,方面39或40的装置进一步包括耦合到该至少一个处理器的收发机。
方面42是一种用于无线通信的设备,包括用于实现如方面27至38中任一者的装置。
在方面43,方面42的设备进一步包括耦合至该装置的至少一个天线以执行方面27至38中任一者的方法。
在方面44,方面42或43的设备进一步包括耦合至该装置的收发机以执行方面27至38中任一者的方法。
方面45是一种存储计算机可执行代码的非瞬态计算机可读存储介质,其中该代码在被执行时使处理器实现如方面27至38中的任一者。
方面46是一种在第二网络实体处进行无线通信的方法,该方法包括获得第一上下文请求,第一上下文请求至少包括由用户装备(UE)生成的第一跟踪区域更新(TAU)请求,第一TAU请求使用第一上行链路计数来被完整性保护,第一TAU请求使用与第一无线电接入技术(RAT)相关联的第一安全上下文来编码,第一RAT不同于与第一网络实体相关联的第二RAT;当对第一TAU请求的第一完整性检查成功时导出第一经映射安全上下文;输出用于第一网络实体的第一经映射安全上下文;获得第二上下文请求,第二上下文请求至少包括由UE生成的第二TAU请求,第二TAU请求使用不同于第一上行链路计数的第二上行链路计数来被完整性保护;当对第二TAU请求的第二完整性检查成功时导出第二经映射安全上下文;以及输出用于第一网络实体的第二经映射安全上下文。
方面47是方面46的方法,进一步包括第一上下文请求进一步包括被映射到第二RAT的标识符。
方面48是方面46和47中任一者的方法,进一步包括第二TAU请求包括第一TAU请求的重复。
方面49是方面46至48中任一者的方法,进一步包括:在输出第一经映射安全上下文之后发起定时器;以及在定时器期满后擦除第一经映射安全上下文。
方面50是方面46至49中任一者的方法,进一步包括:基于第一安全上下文来对第一TAU请求执行第一完整性检查。
方面51是方面46至50中任一者的方法,进一步包括第一网络实体包括移动性管理实体(MME),并且第二网络实体包括接入和移动性管理功能(AMF)。
方面52是一种用于在UE处进行无线通信的装置,其包括:至少一个处理器,该至少一个处理器耦合到存储器并且被配置成实现如方面46至51中的任一者。
在方面53,方面52的装置进一步包括耦合到该至少一个处理器的至少一个天线。
在方面54,方面52或53的装置进一步包括耦合到该至少一个处理器的收发机。
方面55是一种用于无线通信的设备,包括用于实现如方面46至51中任一者的装置。
在方面56,方面55的设备进一步包括耦合至该装置的至少一个天线以执行方面46至51中任一者的方法。
在方面57,方面55或56的设备进一步包括耦合至该装置的收发机以执行方面46至51中任一者的方法。
方面58是一种存储计算机可执行代码的非瞬态计算机可读存储介质,其中该代码在被执行时使处理器实现如方面46至51中的任一者。
- 一种确定商品配送门店的方法、装置、设备及存储介质
- 一种基于人脸识别的门店客户管理方法及装置
- 一种人格预测方法及人格预测装置
- 一种门店渠道类型的预测方法及装置
- 一种基于联邦学习的门店销量预测方法及装置