CN115277035A - 切换场景下的安全配置方法和通信装置 - Google Patents

切换场景下的安全配置方法和通信装置 Download PDF

Info

Publication number
CN115277035A
CN115277035A CN202110489097.7A CN202110489097A CN115277035A CN 115277035 A CN115277035 A CN 115277035A CN 202110489097 A CN202110489097 A CN 202110489097A CN 115277035 A CN115277035 A CN 115277035A
Authority
CN
China
Prior art keywords
user plane
access network
network node
radio bearer
data radio
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110489097.7A
Other languages
English (en)
Inventor
吴义壮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202110489097.7A priority Critical patent/CN115277035A/zh
Priority to PCT/CN2022/081556 priority patent/WO2022227919A1/zh
Priority to EP22794396.6A priority patent/EP4319046A1/en
Publication of CN115277035A publication Critical patent/CN115277035A/zh
Priority to US18/495,995 priority patent/US20240056907A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0064Transmission or use of information for re-establishing the radio link of control information between different access points
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L5/00Arrangements affording multiple use of the transmission path
    • H04L5/003Arrangements for allocating sub-channels of the transmission path
    • H04L5/0053Allocation of signaling, i.e. of overhead other than pilot signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0055Transmission or use of information for re-establishing the radio link
    • H04W36/0069Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/08Reselecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/16Performing reselection for specific purposes
    • H04W36/18Performing reselection for specific purposes for allowing seamless reselection, e.g. soft reselection
    • H04W36/185Performing reselection for specific purposes for allowing seamless reselection, e.g. soft reselection using make before break

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供了一种切换场景下的安全配置方法和通信装置。该方法用于提高通信的安全性,包括:目标接入网节点接收包含第一信息的第一消息,该第一消息用于指示终端设备从源接入网节点切换至该目标接入网节点,该第一信息用于指示使用与该源接入网节点相同的数据无线承载的用户面安全配置;该目标接入网节点发送该第一消息的响应消息,该响应消息包括第二信息,该第二信息用于指示该目标接入网节点的第二数据无线承载的用户面安全配置,其中,该目标接入网节点的第二数据无线承载的用户面安全配置和该源接入节点的第一数据无线承载的用户面安全配置相同。

Description

切换场景下的安全配置方法和通信装置
技术领域
本申请涉及通信领域,并且更具体地,涉及一种切换场景下的安全配置方法和通信装置。
背景技术
在移动通信***中,为了满足切换过程中数据包传输的可靠性以及极低的切换中断时延,提出了基于双激活协议栈(dual activate protocol stack,DAPS)的切换流程。基于DAPS的切换中,源基站可以仅对其中一个或多个数据无线承载(data radio bearer,DRB)激活DAPS切换,针对激活DAPS切换的DRB,终端设备在接收到目标无线接入网(radioaccess network,RAN)节点指示资源释放请求之前,终端设备继续与源RAN节点和目标RAN节点同时进行数据包的传输,且源RAN节点和目标RAN节点可以传输相同的数据包。当源RAN节点和目标RAN节点可以传输相同的数据包时,目前***中的安全配置方式存在一定的漏洞,数据安全存在隐患。
发明内容
本申请实施例提供一种切换场景下的安全配置方法和通信装置,以期提高通信的安全性。
第一方面,提供了一种切换场景下的安全配置方法,该方法可以由接入网节点或配置于(或用于)接入网节点的模块(如芯片)执行,以下以该方法由接入网节点执行为例进行说明。
该方法包括:目标接入网节点接收第一消息,该第一消息用于指示终端设备从源接入网节点切换至该目标接入网节点,其中,第一消息包括第一信息,该第一信息用于指示使用与源接入网节点相同的数据无线承载的用户面安全配置;该目标接入网节点发送该第一消息的响应消息,该响应消息包括第二信息,该第二信息用于指示该目标接入网节点的第二数据无线承载的用户面安全配置,其中,该目标接入网节点的第二数据无线承载和该源接入节点的第一数据无线承载的用户面安全配置相同。
结合第一方面,在第一方面的某些实现方式中,该第二数据无线承载为该第一数据无线承载由源接入网节点切换至该目标接入网节点后的数据无线承载。
根据上述方案,目标接入网节点根据第一信息,确定对DRB采用的用户面安全配置与源RAN节点的DRB的用户面安全配置相同。能够减少目标接入网节点与源接入网节点在传输相同数据包时因数据无线承载的安全配置不同造成的安全隐患,提高数据传输的安全性。
结合第一方面,在第一方面的某些实现方式中,该第一信息包括该第一数据无线承载的标识信息和双激活协议栈切换指示,该双激活协议栈切换指示用于指示该第一数据无线承载使用双激活协议栈切换。
根据上述实现方式,源接入网节点具体可以通过双激活协议栈切换指示,既指示了第一数据无线承载使用双激活协议切换,又隐式的指示了DRB采用的用户面安全配置与源接入网节点的DRB的用户面安全配置相同,避免了在第一消息中增加新的信息开销。
结合第一方面,在第一方面的某些实现方式中,该第一消息包括该第一数据无线承载的用户面安全配置,该方法还包括:该目标接入网节点根据该双激活协议栈切换指示,确定该第二数据无线承载的用户面安全配置与该第一数据无线数据承载的用户面安全配置相同;该目标接入网节点根据该第一数据无线承载的用户面安全配置,配置该第二数据无线承载的用户面安全,或配置该第二数据无线承载对应的协议数据单元会话中的数据无线承载的用户面安全。
可选地,数据无线承载的用户面安全包括加密(ciphering)保护和/或完整性保护(integrity protection)。
可选地,第一数据无线承载的用户面安全配置包括第一数据无线承载的用户面安全被配置为开启状态或未开启状态,其中,开启状态还可以称为激活状态,未开启状态可以被称为未激活状态。
可选地,第一数据无线承载的用户面安全配置包含加密保护开启指示或加密保护不开启指示,和/或完整性保护开启指示或完整性保护不开启指示。其中,开启也可以称为激活,不开启也可以称为不激活。
根据上述实现方式,目标接入网节点具体可以根据第一数据无线承载的双激活协议栈切换指示确定对DRB采用的用户面安全配置与源接入网节点的DRB的用户面安全配置相同。在避免第一消息中增加新的信息开销的情况下,使得目标接入网节点与源接入网节点对双激活协议栈切换指示隐式指示使用与源接入网节点相同的数据无线承载的用户面安全配置达成共识。
结合第一方面,在第一方面的某些实现方式中,该第一信息包括用户面安全激活状态,该用户面安全激活状态用于指示该第一数据无线承载的用户面安全激活状态或该第一数据无线承载对应的协议数据单元会话的用户面安全激活状态。
可选地,该用户面激活状态包括用户面安全为开启状态或用户面安全为未开启状态。
作为示例非限定,该用户面激活状态为开启状态,可以包括加密保护为开启状态和/或完整性保护为开启状态;用户面安全激活状态为未开启状态,可以包括加密保护为未开启状态和/或完整性保护为未开启状态。其中,开启也可以称为激活,不开启也可以称为不激活。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:
该目标接入网节点根据该用户面安全激活状态,确定该第二数据无线承载的用户面安全配置。
根据上述实现方式,源接入网节点通过第一消息中包括用户面安全激活状态,既指示了第一DRB在源接入网节点中的用户面安全激活状态,使得目标接入网节点根据用户面安全激活状态确定第二DRB的用户面安全配置,实现了目标接入网节点对第二DRB使用的用户面安全配置与源接入网节点对第一DRB使用的用户面安全配置相同。
结合第一方面,在第一方面的某些实现方式中,该第一消息包括该第一数据无线承载的用户面安全配置,该方法还包括:该目标接入网节点将该第二数据无线承载的用户面安全配置与该第一数据无线承载的用户面安全配置比对,若比对的结果为不相同,则第二信息包括该第二数据无线承载的用户面安全配置,若比对的结果为相同,则第二信息指示对该第二数据无线承载使用与该第一数据无线承载相同的用户面安全配置。
结合第一方面,在第一方面的某些实现方式中,该第一消息包括第一用户面安全策略,该第一用户面安全策略为该第一数据无线承载的用户面安全策略,或者该第一用户面安全策略为该第一数据无线承载对应的协议数据单元会话的用户面安全策略。
可选地,第一用户安全策略可以包括用户面加密保护指示信息和/或用户面完整性保护指示信息。其中,用户面加密保护指示信息用于指示三种可能的值,分别为必需(required)开启、推荐(preferred)开启或不需要(not needed)开启用户面加密保护。用户面完整性保护指示信息用于指示三种可能的值,分别为必需(required)开启、推荐(preferred)开启或不需要(not needed)开启用户面完整性保护。
结合第一方面,在第一方面的某些实现方式中,该第一用户面安全策略指示推荐使用(或称为开启)安全保护。
根据上述实现方式,该第一用户面安全策略指示推荐使用安全保护的情况下,由于目标接入网节点确定的DRB的用户面安全配置可能与源接入网节点确定的用户面安全配置不同,目标接入网节点通过本申请提供的方案,根据该第一信息,确定对DRB采用的用户面安全配置与源接入网节点的DRB的用户面安全配置相同。
结合第一方面,在第一方面的某些实现方式中,该第二信息指示对该目标接入网节点的第二该数据无线承载使用与该源接入网节点的第一数据无线承载的相同的用户面安全配置,或者,该第二信息包括该第二数据无线承载的用户面安全配置。
根据上述实现方式,第二信息可以通过上述方式指示第二数据无线承载的用户面安全配置,以便终端设备通过源接入网节点获取到该第二信息后可以确定第二数据无线承载的用户面安全配置。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:在该目标接入网节点接收到来自该终端设备的无线资源控制(radio resource control,RRC)重配置完成消息后,该目标接入网节点根据第二用户面安全策略,更新该第二数据无线承载的用户面安全配置,其中,该第二用户面安全策略为该目标接入网节点的第二数据无线承载的用户面安全策略或该第二数据无线承载对应的协议数据单元会话的用户面安全策略。
根据上述实现方式,在终端设备完成由源接入网节点切换至目标接入节点后,目标接入网节点可以更新第二数据无线承载的用户面安全配置,以实现基于最新的策略保证数据安全。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:该目标接入网节点向该终端设备发送该目标接入网节点的第二数据无线承载更新后的用户面安全配置。
结合第一方面,在第一方面的某些实现方式中,该更新后的用户面安全配置承载在资源释放消息中。
结合第一方面,在第一方面的某些实现方式中,该第一消息来自该源接入网节点,该目标接入网节点发送该响应消息包括:该目标接入网节点向该源接入网节点发送该响应消息;或者,该第一消息来自核心网节点,该目标接入网节点发送该响应消息包括:该目标接入网节点向该核心网节点发送该响应消息。
第二方面,提供了一种切换场景下的安全配置方法,该方法可以由接入网节点或配置于(或用于)接入网节点的模块(如芯片)执行,以下以该方法由接入网节点执行为例进行说明。
该方法包括:源接入网节点发送第一消息,该第一消息用于指示终端设备从该源接入网节点切换至目标接入网节点,其中,第一消息包括第一信息,该第一信息用于指示使用与源接入网节点相同的数据无线承载的用户面安全配置;该源接入网节点接收该第一消息的响应消息,该响应消息包括第二信息,该第二信息用于指示该目标接入网节点的第二数据无线承载的用户面安全配置,其中,该目标接入网节点的第二数据无线承载和该源接入节点的第一数据无线承载的用户面安全配置相同。结合第二方面,在第二方面的某些实现方式中,该第二数据无线承载为该第一数据无线承载由源接入网节点切换至该目标接入网节点后的数据无线承载。
根据上述方案,源接入网节点可以通过第一信息,通知目标接入网节点使用与源接入网节点的DRB相同的用户面安全配置,使得目标接入网节点可以根据接收到的该第一信息使用与源接入网节点的DRB相同的用户面安全配置。能够减少目标接入网节点与源接入网节点在传输相同数据包时因数据无线承载的安全配置不同造成的安全隐患,提高数据传输的安全性。
结合第二方面,在第二方面的某些实现方式中,该方法还包括:该源接入网节点向该终端设备发送第二消息,该第二消息用于指示该终端设备从源接入网节点切换至目标接入网节点,该第二消息包括该第二信息。
根据上述实现方式,源接入网节点向终端设备转发来自目标接入网节点的第二信息,使得终端设备能够根据第二信息确定目标接入网节点采用的DRB的用户面安全配置,使得终端设备与目标接入网节点达成共识,以期保证数据传输的可靠性。
结合第二方面,在第二方面的某些实现方式中,该第一信息包括该第一数据无线承载的标识信息和双激活协议栈切换指示,该双激活协议栈切换指示用于指示该第一数据无线承载使用双激活协议栈切换。
根据上述实现方式,源接入网节点具体可以通过双激活协议栈切换指示,既指示了第一数据无线承载使用双激活协议切换,又隐式的指示了DRB采用的用户面安全配置与源接入网节点的DRB的用户面安全配置相同,避免了在第一消息中增加新的信息开销。
结合第二方面,在第二方面的某些实现方式中,该第一信息包括用户面安全激活状态,该用户面安全激活状态用于指示该第一数据无线承载的用户面安全激活状态或该第一数据无线承载对应的协议数据单元会话的用户面安全激活状态。
根据上述实现方式,源接入网节点通过第一消息中包括用户面安全激活状态,既指示了第一DRB在源接入网节点中的用户面安全激活状态,使得目标接入网节点根据用户面安全激活状态确定第二DRB的用户面安全配置,实现了目标接入网节点对第二DRB使用的用户面安全配置与源接入网节点对第一DRB使用的用户面安全配置相同。
结合第二方面,在第二方面的某些实现方式中,在确定该数据无线承载使用双激活协议栈切换的情况下,该源接入网节点确定该第一消息中包括该第一信息。
结合第二方面,在第二方面的某些实现方式中,该第一消息包括该第一数据无线承载的用户面安全配置,和/或,该第一消息包括该第一用户面安全策略,该第一用户面安全策略为该第一数据无线承载的用户面安全策略,或者该第一数据无线承载对应的协议数据单元会话的用户面安全策略。
结合第二方面,在第二方面的某些实现方式中,该第一用户面安全策略指示推荐使用安全保护。结合第二方面,在第二方面的某些实现方式中,该方法还包括:在该第一用户面安全策略指示推荐使用安全保护的情况下,该源接入网节点确定该第一消息中包括该第一信息,其中,该第一用户面安全策略为该第一数据无线承载的用户面安全策略,或者该第一该第一数据无线承载对应的协议数据单元会话的用户面安全策略。
根据上述实现方式,该第一用户面安全策略指示推荐使用安全保护的情况下,由于目标接入网节点确定的DRB的用户面安全配置可能与源接入网节点确定的用户面安全配置不同,源接入网节点通过本申请提供的方案,通过该第一信息,通知目标接入网节点使用与源接入网节点相同的DRB的用户面安全配置。
结合第二方面,在第二面的某些实现方式中,该第二信息指示对该目标接入网节点的第二该数据无线承载使用与该源接入网节点的第一数据无线承载的相同的用户面安全配置,或者,该第二信息包括该第二数据无线承载的用户面安全配置。
结合第二方面,在第二方面的某些实现方式中,该响应消息来自该目标接入网节点,该源接入网节点发送第一消息,包括:该源接入网节点向该目标接入网节点发送该第一消息;或者,该响应消息来自核心网节点,该源接入网节点发送第一消息,包括:该源接入网节点向该核心网节点发送该第一消息;
第三方面,提供了一种切换场景下的安全配置方法,该方法可以由终端设备或配置于(或用于)终端设备的模块(如芯片)执行,以下以该方法由终端设备执行为例进行说明。
该方法包括:终端设备接收来自源接入网设备的无线资源配置消息,该无线资源配置消息包括第二信息,该第二信息用于指示该目标接入网节点的第二数据无线承载的用户面安全配置,其中,该第二数据无线承载和该源接入节点的第一数据无线承载的用户面安全配置相同;该终端设备接收来自目标接入网节点的资源释放消息,该资源释放消息包括第三信息,该第三信息用于指示该目标接入网节点的该第二数据无线承载更新后的用户面安全配置。
结合第三方面,在第三方面的某些实现方式中,该第二数据无线承载为该第一数据无线承载由源接入网节点切换至该目标接入网节点后的数据无线承载。
根据上述方案,终端设备的切换过程中目标接入网节点与源接入网节点可以对DRB采用相同的用户面安全配置,能够减少目标接入网节点、源接入网节点向终端设备传输相同数据包时因数据无线承载的安全配置不同造成的安全隐患,提高数据传输的安全性。进一步地,在终端设备完成切换后可以通过资源释放消息获取更新后的用户面安全配置,以实现基于最新的策略保证数据安全。
结合第三方面,在第三方面的某些实现方式中,该第二信息指示对该目标接入网节点的第二该数据无线承载使用与该源接入网节点的第一数据无线承载的相同的用户面安全配置,或者,该第二信息包括该第二数据无线承载的用户面安全配置。
第四方面,提供了一种通信装置,一种设计中,该装置可以包括执行第一方面中所描述的方法/操作/步骤/动作所一一对应的模块,该模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种设计中,该装置包括:收发单元,用于接收第一消息,该第一消息用于指示终端设备从源接入网节点切换至目标接入网节点,其中,第一消息包括第一信息,该第一信息用于指示使用与源接入网节点相同的数据无线承载的用户面安全配置;处理单元,用于确定该目标接入网节点的第二数据无线承载的用户面安全配置和该源接入节点的第一数据无线承载的用户面安全配置相同;收发单元,用于该目标接入网节点发送该第一消息的响应消息,该响应消息包括第二信息,该第二信息用于指示该第二数据无线承载的用户面安全配置。
结合第四方面,在第四方面的某些实现方式中,该第二数据无线承载为该第一数据无线承载由源接入网节点切换至该目标接入网节点后的数据无线承载。
结合第四方面,在第四方面的某些实现方式中,该第一信息包括该第一数据无线承载的标识信息和双激活协议栈切换指示,该双激活协议栈切换指示用于指示该第一数据无线承载使用双激活协议栈切换。
结合第四方面,在第四方面的某些实现方式中,该第一消息包括该第一数据无线承载的用户面安全配置,以及,该处理单元还用于根据该双激活协议栈切换指示,确定该第二数据无线承载的用户面安全配置与该第一数据无线数据承载的用户面安全配置相同;该处理单元还用于根据该第一数据无线承载的用户面安全配置,配置该第二数据无线承载的用户面安全,或配置该第二数据无线承载对应的协议数据单元会话中的数据无线承载的用户面安全。
结合第四方面,在第四方面的某些实现方式中,该第一信息包括用户面安全激活状态,该用户面安全激活状态用于指示该第一数据无线承载的用户面安全激活状态或该第一数据无线承载对应的协议数据单元会话的用户面安全激活状态。
结合第四方面,在第四方面的某些实现方式中,该处理单元还用于根据该用户面安全激活状态,确定该第二数据无线承载的用户面安全配置。
结合第四方面,在第四方面的某些实现方式中,该第一消息包括该第一数据无线承载的用户面安全配置,以及,该处理单元还用于将该第二数据无线承载的用户面安全配置与该第一数据无线承载的用户面安全配置比对,若比对的结果为不相同,则第二信息包括该第二数据无线承载的用户面安全配置,若比对的结果为相同,则第二信息指示对该第二数据无线承载使用与该第一数据无线承载相同的用户面安全配置。
结合第四方面,在第四方面的某些实现方式中,该第一消息包括第一用户面安全策略,该第一用户面安全策略为该第一数据无线承载的用户面安全策略,或者该第一用户面安全策略为该第一数据无线承载对应的协议数据单元会话的用户面安全策略。
结合第四方面,在第四方面的某些实现方式中,该第一用户面安全策略指示推荐使用安全保护。
结合第四方面,在第四方面的某些实现方式中,该第二信息指示对该目标接入网节点的第二该数据无线承载使用与该源接入网节点的第一数据无线承载的相同的用户面安全配置,或者,该第二信息包括该第二数据无线承载的用户面安全配置。
结合第四方面,在第四方面的某些实现方式中,该处理单元还用于在该目标接入网节点接收到来自该终端设备的无线资源控制重配置完成消息后,根据第二用户面安全策略,更新该第二数据无线承载的用户面安全配置,其中,该第二用户面安全策略为该目标接入网节点的第二数据无线承载的用户面安全策略或该第二数据无线承载对应的协议数据单元会话的用户面安全策略。
结合第四方面,在第四方面的某些实现方式中,该收发单元还用于向该终端设备发送该目标接入网节点的第二数据无线承载更新后的用户面安全配置。
结合第四方面,在第四方面的某些实现方式中,该更新后的用户面安全配置承载在资源释放消息中。
结合第四方面,在第四方面的某些实现方式中,该第一消息来自该源接入网节点;该收发单元具体用于向该源接入网节点发送该响应消息,或者,该第一消息来自核心网节点,该收发单元具体用于向该核心网节点发送该响应消息。
第五方面,提供了一种通信装置,一种设计中,该装置可以包括执行第二方面中所描述的方法/操作/步骤/动作所一一对应的模块,该模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种设计中,该装置包括:处理单元,用于确定第一消息,该第一消息用于指示终端设备从源接入网节点切换至目标接入网节点,其中,第一消息包括第一信息,该第一信息用于指示使用与源接入网节点相同的数据无线承载的用户面安全配置;收发单元,用于发送第一消息;该收发单元还用于接收该第一消息的响应消息,该响应消息包括第二信息,该第二信息用于指示该目标接入网节点的第二数据无线承载的用户面安全配置,其中,该目标接入网节点的第二数据无线承载的用户面安全配置和该源接入节点的第一数据无线承载的用户面安全配置相同。
结合第五方面,在第五方面的某些实现方式中,该第二数据无线承载为该第一数据无线承载由源接入网节点切换至该目标接入网节点后的数据无线承载。
结合第五方面,在第五方面的某些实现方式中,该收发单元还用于向该终端设备发送第二消息,该第二消息用于指示该终端设备从源接入网节点切换至目标接入网节点,该第二消息包括该第二信息。
结合第五方面,在第五方面的某些实现方式中,该第一信息包括该第一数据无线承载的标识信息和双激活协议栈切换指示,该双激活协议栈切换指示用于指示该第一数据无线承载使用双激活协议栈切换。
结合第五方面,在第五方面的某些实现方式中,该第一信息包括用户面安全激活状态,该用户面安全激活状态用于指示该第一数据无线承载的用户面安全激活状态或该第一数据无线承载对应的协议数据单元会话的用户面安全激活状态。
结合第五方面,在第五方面的某些实现方式中,该处理单元还用于在确定该数据无线承载使用双激活协议栈切换的情况下,该源接入网节点确定该第一消息中包括该第一信息。
结合第五方面,在第五方面的某些实现方式中,该第一消息包括该第一数据无线承载的用户面安全配置,和/或,该第一消息包括该第一用户面安全策略,该第一用户面安全策略为该第一数据无线承载的用户面安全策略,或者该第一该第一数据无线承载对应的协议数据单元会话的用户面安全策略。
结合第五方面,在第五方面的某些实现方式中,该第一用户面安全策略指示推荐使用安全保护。
结合第五方面,在第五方面的某些实现方式中,该处理单元还用于在该第一用户面安全策略指示推荐使用安全保护的情况下,该源接入网节点确定该第一消息中包括该第一信息,其中,该第一用户面安全策略为该第一数据无线承载的用户面安全策略,或者该第一该第一数据无线承载对应的协议数据单元会话的用户面安全策略。
结合第五方面,在第五方面的某些实现方式中,该第二信息指示对该目标接入网节点的第二该数据无线承载使用与该源接入网节点的第一数据无线承载的相同的用户面安全配置,或者,
该第二信息包括该第二数据无线承载的用户面安全配置。
结合第五方面,在第五方面的某些实现方式中,该响应消息来自该目标接入网节点,该收发单元具体用于向该目标接入网节点发送该第一消息;或者,该响应消息来自核心网节点,该收发单元具体用于向该核心网节点发送该第一消息。
第六方面,提供了一种通信装置,一种设计中,该装置可以包括执行第三方面中所描述的方法/操作/步骤/动作所一一对应的模块,该模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种设计中,该装置包括:收发单元,用于接收来自源接入网设备的无线资源配置消息,该无线资源配置消息包括第二信息,该第二信息用于指示该目标接入网节点的第二数据无线承载的用户面安全配置,其中,该第二数据无线承载的用户面安全配置和该源接入节点的第一数据无线承载的用户面安全配置相同;处理单元,用于确定该第二数据无线承载和该源接入节点的第一数据无线承载的用户面安全配置相同;该收发单元还用于接收来自目标接入网节点的资源释放消息,该资源释放消息包括第三信息,该第三信息用于指示该目标接入网节点的该数据无线承载更新后的用户面安全配置。
结合第六方面,在第六方面的某些实现方式中,该第二信息指示对该目标接入网节点的第二该数据无线承载使用与该源接入网节点的第一数据无线承载的相同的用户面安全配置,或者,该第二信息包括该第二数据无线承载的用户面安全配置。
第七方面,提供了一种通信装置,包括处理器。该处理器可以实现上述第一方面以及第一方面中任一种可能实现方式中的方法。可选地,该通信装置还包括存储器,该处理器与该存储器耦合,可用于执行存储器中的指令,以实现上述第一方面以及第一方面中任一种可能实现方式中的方法。可选地,该通信装置还包括通信接口,处理器与通信接口耦合。本申请实施例中,通信接口可以是收发器、管脚、电路、总线、模块或其它类型的通信接口,不予限制。
在一种实现方式中,该通信装置为目标接入网节点。当该通信装置为目标接入网节点时,该通信接口可以是收发器,或,输入/输出接口。
在另一种实现方式中,该通信装置为配置于目标接入网节点中的芯片。当该通信装置为配置于目标接入网节点中的芯片时,该通信接口可以是输入/输出接口。
第八方面,提供了一种通信装置,包括处理器。该处理器可以实现上述第二方面以及第二方面中任一种可能实现方式中的方法。可选地,该通信装置还包括存储器,该处理器与该存储器耦合,可用于执行存储器中的指令,以实现上述第二方面以及第二方面中任一种可能实现方式中的方法。可选地,该通信装置还包括通信接口,处理器与通信接口耦合。本申请实施例中,通信接口可以是收发器、管脚、电路、总线、模块或其它类型的通信接口,不予限制。
在一种实现方式中,该通信装置为源接入网节点。当该通信装置为源接入网节点时,该通信接口可以是收发器,或,输入/输出接口。
在另一种实现方式中,该通信装置为配置于源接入网节点中的芯片。当该通信装置为配置于源接入网节点中的芯片时,该通信接口可以是输入/输出接口。
可选地,该收发器可以为收发电路。可选地,该输入/输出接口可以为输入/输出电路。
第九方面,提供了一种通信装置,包括处理器。该处理器可以实现上述第三方面以及第三方面中任一种可能实现方式中的方法。可选地,该通信装置还包括存储器,该处理器与该存储器耦合,可用于执行存储器中的指令,以实现上述第三方面以及第三方面中任一种可能实现方式中的方法。可选地,该通信装置还包括通信接口,处理器与通信接口耦合。本申请实施例中,通信接口可以是收发器、管脚、电路、总线、模块或其它类型的通信接口,不予限制。
在一种实现方式中,该通信装置为终端设备。当该通信装置为终端设备时,该通信接口可以是收发器,或,输入/输出接口。
在另一种实现方式中,该通信装置为配置于终端设备中的芯片。当该通信装置为配置于终端设备中的芯片时,该通信接口可以是输入/输出接口。
可选地,该收发器可以为收发电路。可选地,该输入/输出接口可以为输入/输出电路。
第十方面,提供了一种处理器,包括:输入电路、输出电路和处理电路。该处理电路用于通过该输入电路接收信号,并通过该输出电路发射信号,使得该处理器执行第一方面至第三方面以及第一方面至第三方面中任一种可能实现方式中的方法。
在具体实现过程中,上述处理器可以为一个或多个芯片,输入电路可以为输入管脚,输出电路可以为输出管脚,处理电路可以为晶体管、门电路、触发器和各种逻辑电路等。输入电路所接收的输入的信号可以是由例如但不限于接收器接收并输入的,输出电路所输出的信号可以是例如但不限于输出给发射器并由发射器发射的,且输入电路和输出电路可以是同一电路,该电路在不同的时刻分别用作输入电路和输出电路。本申请实施例对处理器及各种电路的具体实现方式不做限定。
第十一方面,提供了一种计算机程序产品,该计算机程序产品包括:计算机程序(也可以称为代码,或指令),当该计算机程序被运行时,使得计算机执行上述第一方面至第三方面以及第一方面至第三方面中任一种可能实现方式中的方法。
第十二方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序(也可以称为代码,或指令)当其在计算机上运行时,使得计算机执行上述第一方面至第三方面以及第一方面至第三方面中任一种可能实现方式中的方法。
第十三方面,提供了一种通信***,包括前述的终端设备、源接入网节点、目标接入网节点或核心网节点中的至少两种节点。
附图说明
图1是本申请实施例提供的通信***的一个示意性框图;
图1A是本申请实施例提供的通信***的另一个示意性框图;
图2是本申请实施例提供的用户面安全激活的示意性流程图;
图3是本申请实施例提供的使用DAPS切换的DRB数据包传输的示意图;
图4是本申请实施例提供的通信方法的一个示意性流程图;
图5是本申请实施例提供的基于Xn接口的切换场景下的安全配置方法的一个示意性流程图;
图6是本申请实施例提供的基于Xn接口的切换场景下的安全配置方法的另一个示意性流程图;
图7是本申请实施例提供的基于N2接口的切换场景下的安全配置方法的一个示意性流程图;
图8是本申请实施例提供的基于N2接口的切换场景下的安全配置方法的另一个示意性流程图;
图9是本申请实施例提供的的通信装置的一例的示意性框图;
图10是本申请实施例提供的的终端设备的一例的示意性结构图;
图11是本申请实施例提供的的接入网设备的一例的示意性结构图;
图12是本申请实施例提供的的通信设备的一例的示意性结构图。
具体实施方式
本申请实施例提供的技术方案可以应用于通信设备间的通信。通信设备间的通信可以包括:网络设备和终端设备间的通信、网络设备和网络设备间的通信、和/或终端设备和终端设备间的通信。在本申请实施例中,术语“通信”还可以描述为“传输”、“信息传输”、或“信号传输”等。传输可以包括发送和/或接收。以网络设备和终端设备间的通信为例描述本申请实施例的技术方案,本领域技术人员也可以将该技术方案用于进行其它调度实体和从属实体间的通信,例如宏基站和微基站之间的通信,例如第一终端设备和第二终端设备间的通信。其中,调度实体可以为从属实体分配无线资源,例如空口资源。空口资源包括以下资源中的一种或多种:时域资源、频域资源、码资源和空间资源。
在本申请实施例中,网络设备和终端设备间的通信包括:接入网设备向终端设备发送下行信号,和/或终端设备向接入网设备发送上行信号。其中,信号还可以被替换为信息或数据等。
本申请实施例涉及到的终端设备还可以称为终端。终端可以是一种具有无线收发功能的设备。终端可以被部署在陆地上,包括室内、室外、手持、和/或车载;也可以被部署在水面上(如轮船等);还可以被部署在空中(例如飞机、气球和卫星上等)。终端设备可以是用户设备(user equipment,UE)。UE包括具有无线通信功能的手持式设备、车载设备、可穿戴设备或计算设备。示例性地,UE可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑。终端设备还可以是虚拟现实(virtual reality,VR)终端设备、增强现实(augmentedreality,AR)终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city)中的无线终端、和/或智慧家庭(smart home)中的无线终端等等。
本申请实施例涉及到的接入网(radio access network,RAN)节点可以是RAN设备,包括基站(base station,BS),可以是一种部署在无线接入网中能够和终端设备进行无线通信的设备。基站可能有多种形式,比如宏基站、微基站、中继站或接入点等。本申请实施例涉及到的基站可以是5G***中的下一代接入网(next generation-RAN,NG-RAN)设备、长期演进(long term evolution,LTE)***中的基站或其它***中的基站,不做限制。其中,5G***中的NG-RAN设备还可以称为发送接收点(transmission reception point,TRP)或下一代节点B(generation Node B,gNB或gNodeB)。其中,基站可以是一体化的基站,也可以是分离成多个网元的基站,不予限制。例如,基站是集中式单元(centralized unit,CU)和分布式单元(distributed unit,DU)分离的基站,即基站包括CU和DU。
图1是适用于本申请实施例的***架构100的示意图。
5G核心网(5G core,5GC,或new generation core,NGC)包括如图1所示的接入和移动性管理功能(access and mobility management function,AMF)节点、会话管理功能(session management function,SMF)节点、用户面功能(user plane function,UPF)节点、鉴权服务器功能(authentication server function,AUSF)节点、策略控制功能(policy control function,PCF)节点、应用功能(application function,AF)节点、统一数据管理功能(unified data management,UDM)节点、网络切片选择功能(network sliceselection function,NSSF)节点等多个功能单元。
AMF节点主要负责移动性管理、接入管理等服务。SMF节点主要负责会话管理、终端设备地址管理和分配、动态主机配置协议功能、用户面功能的选择和控制等。UPF主要负责对外连接到数据网络(data network,DN)以及用户面的数据包路由转发、报文过滤、执行服务质量(quality of service,QoS)控制相关功能等。UDM主要负责存储网络中签约终端设备的签约数据、信任状(credential)和持久身份标识(SUPI,Subscriber PermanentIdentifier)等,提供的服务化接口为Nudm。这些数据可以被用于终端设备接入运营商网络的认证和授权。AUSF主要负责对终端设备的认证功能等。PCF节点主要负责为网络行为管理提供统一的策略框架、提供控制面功能的策略规则、获取与策略决策相关的注册信息等,提供的服务化接口为Npcf。需要说明的是,这些功能单元可以独立工作,也可以组合在一起实现某些控制功能,如实现对终端设备的接入鉴权、安全加密、位置注册等接入控制和移动性管理功能,以及用户面传输路径的建立、释放和更改等会话管理功能。
如图1所示,5GC中各功能单元之间可以通过下一代网络(next generation,NG)接口进行通信,如:UE可以通过NG接口1(简称N1)与AMF节点进行控制面消息的传输,RAN节点可以通过NG接口3(简称N3)与UPF建立用户面数据传输通道,RAN节点可以通过NG接口2(简称N2)与AMF节点建立控制面信令连接,UPF可以通过NG接口4(简称N4)与SMF节点进行信息交互,UPF可以通过NG接口6(简称N6)与数据网络DN交互用户面数据,AMF节点可以通过NG接口11(简称N11)与SMF节点进行信息交互,SMF节点可以通过NG接口7(简称N7)与PCF节点进行信息交互,AMF节点可以通过NG接口12(简称N12)与AUSF进行信息交互。需要说明的是,图1仅为示例性架构图,除图1中所示功能单元之外,该网络架构还可以包括其他功能单元。
进一步的,5G的***架构还可以使用服务化的接口。例如图1A所示,NSSF可以为UE选择一组网络切片实例,确定允许的切片选择协助信息(slice selection assistanceinformation,NSSAI)等,NSSF提供的服务化接口为Nnssf。网络能力开放功能(networkexposure function,NEF)可以开放网络能力和事件,从应用层功能(applicationfunction,AF)获取外部应用信息,以及将用于外部开放的信息存储在统一数据存储(unified data repository,UDR)中,NEF提供的服务化接口为Nnef。网络存储功能(network repository function,NRF)可以提供服务注册、发现和授权,并维护可用的网络功能(network function,NF)实例信息,该NRF提供的服务化接口为Nnrf接口。AUSF可以提供3GPP和非3GPP统一接入认证服务,AUSF提供的服务化接口为Nausf。网络切片认证与授权功能(network slice specific authentication and authorization function,NSSAAF)可以对UE接入特定切片进行认证和授权,防止非法UE接入切片访问服务或资源,NSSAAF提供的服务化接口为Nnssaaf。
在5G***中,两个RAN节点之间可以直接交互,通过Xn接口进行通信;或两个RAN节点之间不能直接交互,通过AMF进行通信,即通过N2接口间接交互。在无线接入场景下接入网(access network,AN)和无线接入网RAN这两个术语可以不做区分。
下面对本申请相关的技术或术语进行介绍。
一、DAPS切换(DAPS handover)
一种切换过程,允许终端设备在接收到用于指示切换的无线资源控制(radioresource control,RRC)消息后,保持与源接入网节点的连接直到成功接入到目标接入网节点释放源小区。
二、DAPS承载(DAPS bearer)
DAPS承载是指在DAPS切换过程中该承载的无线协议同时位于源基站和目标基站,即能够使用源基站的资源又能够使用目标基站的资源。
三、用户面安全策略
用户面安全策略,包括用户面加密保护指示信息和/或用户面完整性保护指示信息。用户面加密保护指示信息用于指示三种可能的值,分别为必需(required),推荐(preferred),或不需要(not needed),用户面完整性保护指示信息用于指示三种可能的值,分别为not needed、preferred和required。其中,not needed表示不需要激活用户面安全,preferred表示可以激活可以不激活用户面安全,required表示必须激活用户面安全。上述三种可能的值可以采用2比特(bit)来指示,例如00指示不需要激活,01指示可以激活可以不激活,11指示必须激活。用户面加密保护指示信息和用户面完整性保护指示信息具体采用何种方式对三种可能的值进行指示,在本申请实施例中不作限定。
四、用户面(user plane,UP)安全激活
下面以图2为例简要说明,一种协议数据单元(protocol data unit,PDU)会话建立过程中RAN激活UP安全的示例。如图2所示,UP安全激活过程包括但不限于以下步骤:
1.UE通过NG-RAN向AMF发送非接入层(non-access stratum,NAS)消息,该NAS消息中包含N1会话管理(session management,SM)容器,容器中包含PDU会话建立请求,请求中包含PDU会话标识(identifier,ID)等信息。
2.AMF根据NAS消息生成发送给SMF的PDU会话创建请求消息,该PDU会话创建请求消息对应服务化的消息可以为Nsmf_PDU会话_建立SM上下文请求(Nsmf_PDUSession_CreateSMContext request)消息。该消息中包含N1 SM容器。
3.若SMF能处理接收到的请求,则SMF向AMF发送响应消息。响应消息可以为Nsmf_PDU会话_创建SM上下文响应(Nsmf_PDUSession_CreateSMContext response)消息。
4.SMF获得用户面安全策略。
SMF可以从UDM中获得用户面安全策略,也可以从本地配置中获得用户面安全策略。用户面安全策略包含UP加密保护策略和/或UP完整性保护策略。
(1)UP加密保护策略可以是必需开启(Required),推荐开启(Preferred),或不需要开启(not needed)。
(2)UP完整性保护策略可以是必需开启(Required),推荐开启(Preferred),或不需要开启(not needed)。
5.SMF将确定的用户面安全策略发送AMF。
SMF可以通过Namf_通信_N1N2消息传递(Namf_Communication_N1N2MessageTransfer)将确定的用户面安全策略发送给AMF。
6.AMF进一步将UP安全策略发送给NG-RAN。
AMF可以通过N2 PDU会话请求将UP安全策略发送给NG-RAN。
7.NG-RAN根据收到的UP安全策略,激活用户面安全。
例如,如果收到的是加密保护策略指示必须开启(required),完整性保护策略指示必须开启(required),则NG-RAN开启UP加密保护和UP完整性保护,并采用UP加密密钥、UP完整性保护密钥以及UP安全算法对与UE之间的UP数据进行加密保护和完整性保护,以及进行解密和完整性验证。
再例如,UP安全策略所包括的UP加密保护策略指示必须开启(required),UP完整性保护策略指示不需要开启(not needed),则NG-RAN开启UP加密保护,不开启UP完整性保护,并采用UP加密密钥以及UP安全算法对与UE之间的UP数据进行加密保护或解密。
又例如,在UP加密保护策略或UP完整性保护策略是推荐开启(preferred)的情况下,NG-RAN可以确定开启UP加密或不开启UP加密;或开启UP完整性保护或不开启UP完整保护。这种情况下,NG-RAN可以将确定的UP激活结果发送给SMF。
8.NG-RAN向UE发送RRC连接重配置消息,该消息中包含UP安全激活指示信息。
该UP安全激活指示信息包括UP加密保护激活指示信息和/或UP完整性保护激活指示信息,UP加密保护激活指示信息用于指示是否开启UP加密保护,UP完整性保护激活指示信息用于指示是否开启UP完整性保护。
示例性地,当UP安全激活指示信息中不携带UP加密保护激活指示信息时,表示开启加密。当不开启加密时,UP安全激活指示信息中携带UP加密保护激活指示信息,该UP加密保护激活指示信息通知UE不开启加密保护。针对完整性保护,该UP安全激活指示信息中包括UP完整性保护激活指示信息,该UP完整性保护激活指示信息指示开启和不开启完整性保护。例如,该UP完整性保护激活指示信息可以通过指示使能(enabled)通知UE开启完整性保护,或者指示不使能(disable)通知UE不开启完整保护。
或者,NG-RAN还可以通过其他方式指示UE是否开启安全保护(加密保护和/或完整性保护),例如,RRC连接重配置消息中携带或不携带某个信息元素(information element,IE)来指示UE是否开启安全保护。也可以通过对IE设置不同的值来指示UE是否开启安全保护。本申请对此不做限定。
目前,针对PDU会话的每一个DRB,NG-RAN发送的该RRC连接重配置消息中包括每一个DRB分别对应的一个用户面安全激活指示信息。PDU会话中的每个DRB的用户面安全激活状态相同,可以包含开启或不开启。其中,开启又可以称为激活,不开启可以称为不激活等。
9.UE激活UP安全。
UE根据步骤8所携带的UP安全激活指示信息激活UE与基站之间的UP安全,以便对与基站之间传输的UP数据进行安全保护或解安全保护。具体的激活UP安全可以包含配置对应DRB的分组数据汇聚协议(packet data convergence protocol,PDCP)实体。
示例性地,若开启加密安全,则配置DRB的PDCP实体包含使用加密算法和密钥配置PDCP实体,使得数据包经过PDCP实体时,PDCP实体可以对数据包进行安全处理。
10.UE向NG-RAN发送RRC连接重配置确认(ACK)消息。相应的,NG-RAN接收来自UE的RRC连接重配置确认消息。
五、用户面安全激活状态
用户面安全激活状态指DRB的安全激活状态,若接入网设备确定激活DRB的安全保护,则该DRB的安全状态可以是开启状态(也可以称为激活状态);或者若接入网设备确定不激活DRB的安全保护,则该DRB的安全状态可以为不开启状态(也可以称为不激活状态或未激活状态)。该用户面安全激活状态可以包括加密保护激活状态和/或完整性保护激活状态。例如,加密保护激活状态可以为开启状态或不开启状态,完整性保护激活状态可以为开启状态或不开启状态。
六、用户面安全配置
用户面安全配置可以包括DRB开启或不开启用户面安全,DRB的UP安全配置也可以称为UP安全激活指示,终端设备和/或接入网节点可以根据DRB的用户面安全配置配置该DRB对应的PDCP实体,使得数据包经过PDCP实体时,PDCP实体可以对数据包进行安全处理。
目前,基于DAPS的切换中,源RAN节点可以对一个或多个DRB激活DAPS切换。无论是基于Xn的切换还是基于N2的切换,针对激活DAPS切换的DRB,终端设备在接收到来自目标RAN节点的资源释放请求之前,终端设备与源RAN节点直接保持连接,终端设备与源RAN节点和目标RAN节点同时进行数据包的传输,且源RAN节点和目标RAN节点可以与终端设备传输相同的数据包。例如图3所示,切换过程中,源RAN节点分配数据包的序列号(sequencenumber,SN),并将包含SN的数据包发送给目标RAN节点,目标RAN节点根据目标RAN节点确定的安全激活状态,配置DRB对应的PDCP实体后,来自源RAN节点的数据包经过该PDCP实体安全处理后,目标RAN节点将数据包发送给终端设备,同时源RAN节点根据源RAN节点确定的安全激活状态,配置DRB对应的PDCP实体后,将数据包经过该PDCP实体安全处理后发送给终端设备。其中,源RAN节点、目标RAN节点和终端设备可以分别配置物理(physical,PHY)层、媒体接入(media access control,MAC)层、无线链路控制(radio link control,RLC)层和PDCP层。源RAN节点的PDCP层可以称为主PDCP(master-PDCP,M-PDCP)层,目标RAN节点的PDCP层可以称为辅PDCP(secondary-PDCP,S-PDCP)。以及终端设备的PDCP层也可以分为处理来自源RAN节点数据包的M-PDCP和处理来自目标RAN节点的数据包的S-PDCP,但本申请不限于此。
目标RAN节点和源RAN节点确定的该DRB的UP安全激活状态,是两个RAN节点各自根据获取到的用户面安全策略确定的。然而,当用户面安全策略指示偏好开启(preferred)时,RAN节点可以开启UP安全保护也可以不开启UP安全保护,若其中一个RAN节点确定的安全激活状态为开启加密,而另一个RAN节点确定的安全激活状态为不开启加密保护。在DAPS场景下,源RAN节点和目标RAN节点传输相同的数据包时,攻击者可以将从源和目标RAN节点接收到的数据包进行异或操作,即将加密后的数据包与未加密的数据包进行异或操作,可以得到加密数据包的密钥流。使得攻击者更容易获取进一步的密钥信息,从而获取其他数据包的密文。目前DAPS方式下使用现有安全机制存在着安全隐患。
本申请提出了目标RAN节点根据指示,对目标RAN节点的DRB采用的用户面安全配置与源RAN节点的DRB的用户面安全配置相同。能够减小目标RAN节点与源RAN节点在传输相同数据包时的安全隐患,提高数据传输的安全性。
需要说明的是,本申请可以应用于双路传输相同数据的场景,应用场景包括但不限于双激活协议栈的数据传输方式。本申请实施例以DAPS为例进行说明,但本申请不限于此。
下面结合附图对本申请实施例提供的通信方法进行详细说明。
图4是本申请实施例提供的通信方法的一个示意性流程图。
S410,目标RAN节点接收消息A(即第一消息的一个示例),该消息A用于指示终端设备从源RAN节点切换至目标RAN节点,该消息A包括信息A(即第一信息的一个示例),该信息A用于指示使用与源RAN节点相同的DRB的UP安全配置。
例如,该消息A可以是切换请求消息,该切换请求消息用于请求将终端设备从源RAN节点切换至目标RAN节点。但申请不限于此。
其中,该DRB的UP安全配置是指是否开启UP安全保护的安全配置。可选地,该UP安全保护可以是UP加密保护和/或UP完整性保护。该DRB的UP安全配置可以是指是否开启UP加密保护和/或是否开启UP完整性保护。
例如,UP安全配置可以是开启UP加密保护,信息A指示切换到目标RAN节点的DRB维持该DRB在源RAN节点的UP加密保护状态,即若切换前该DRB开启了UP加密保护,则切换后的该DRB也开启UP加密保护。针对完整性保护,依旧使用现有的确定机制,例如目标RAN节点可以根据UP完整性保护策略确定是否开启完整性保护。但本申请不限于此。
该目标RAN节点根据消息A可以确定是否接受终端设备从源RAN节点切换至目标RAN节点,并根据该消息A中的信息A可以确定使用与源RAN节点的DRB的UP安全配置相同的UP安全配置。其中,目标RAN节点根据该信息A可以确定目标RAN节点的部分DRB使用与源RAN节点的DRB的UP安全配置相同的UP安全配置,或者目标RAN节点的全部DRB使用与源RAN节点的DRB的UP安全配置相同的UP安全配置,或者目标RAN节点。具体可以包括但不限于以下实施方式。
实施方式一,该信息A包括DAPS切换指示,该DAPS切换指示用于指示源RAN节点的DRB1使用DAPS切换。
可选地,该信息A包括DRB1的标识信息。
目标RAN节点根据该DAPS切换指示,确定目标RAN节点的DRB2(即第二数据无线承载的一个示例)使用与源RAN节点的DRB1(即第一数据无线承载的一个示例)的UP安全配置相同的UP安全配置。
其中,该DRB2为DRB1切换至目标RAN节点后的DRB,或者,DRB2为DRB1激活DAPS后在目标RAN节点的DRB,该DRB1和DRB2可以承载相同控制的数据包。或者说,DRB2为目标RAN节点中与DRB1对应的DRB。
作为示例非限定,DRB1在源接入网节点中的标识信息与DRB2在目标接入网节点中的标识信息相同。
也就是说,当PDU会话的一个或者多个DRB被激活DAPS切换,则目标RAN节点使用源接入网节点的对该一个或多个DRB的UP安全配置去配置目标接入网节点与UE之间与该一个或多个DRB的用户面安全。
该消息A中还包括DRB1的UP安全配置。目标RAN节点根据DRB1的UP安全配置,配置DRB2的PDCP实体。或者说,配置DRB2的PDCP实体的安全。
例如,目标RAN节点接收到消息A后,目标RAN节点根据该DAPS指示,可以确定DRB2的UP安全配置与DRB1的UP安全配置相同,并根据消息A中的DRB1的UP安全配置,配置目标RAN节点上DRB2的安全保护,即配置DRB2的PDCP实体,使得经过PDCP实体的数据包被安全保护(如加密处理、完整性保护处理等)。若DRB1的UP安全配置为开启UP安全保护,目标RAN节点配置开启DRB2的安全保护,即配置DRB2的PDCP实体,使得经过PDCP实体的数据包被安全保护(如加密处理、完整性保护处理等);若DRB1的UP安全配置为不开启安全保护,目标RAN节点配置不开启DRB2的UP安全保护,即经过DRB2的PDCP实体的数据包没有被安全保护。
需要说明的是,DRB的UP安全配置也可以称为UP安全激活指示,本申请对用于指示DRB的UP安全配置的名称不做限定。
应理解,本申请实施例以RAN节点和终端设备根据UP安全配置配置DRB2的PDCP实体为例进行说明,但本申请不限于此配置在其他的实体上,例如可以配置在NAS层实体以用于对数据进行安全处理。
可选地,该DRB1的UP安全配置包含在该消息A中的UE上下文信息中或UE上下文信息中的RRC上下文信息中。
其中,UE上下文信息可以包括UE安全能力、接入层(access stratum,AS)安全信息(如密钥KgNB*,安全保护算法)、PDU会话资源待建立列表、RRC上下文。密钥KgNB*用于生成信令面的安全密钥和/或用户面的安全密钥。RRC上下文可以包括UE无线相关能力和RRC重配置信息。但本申请不限于此。
可选地,该消息A中还包括UP安全策略1,该UP安全策略1用于指示该DRB1的UP安全策略,或者,该UP安全策略1用于指示该DRB1对应的PDU会话的UP安全策略。
可选地,该消息A中包括PDU会话待建立列表,该PDU会话待建立列表中包括该DRB1对应的PDU会话信息,该UP安全策略1包含在该PDU会话信息中。
在一种可选地实施方式中,目标RAN节点根据DAPS切换指示,确定对DRB2和/或与DRB2相关联的一个或多个DRB均使用与源RAN节点对DRB1的UP安全配置相同的UP安全配置。
其中,与DRB2相关联的一个或多个DRB可以是与DRB2属于同一PDU会话的DRB。即DRB2与一个或多个DRB通过对应的PDU会话的标识相关联。但本申请不限于此。
可选地,该消息A来自源RAN节点。其中,消息A可以是由源RAN节点发送给目标RAN节点的,或者,该消息A是由AMF节点发送给目标RAN节点的,且该消息A中包括AMF节点接收到的来自源RAN节点的透明容器(transparent container),该透明容器包括该DAPS指示。
透明容器还可以称为该透传信息(transparent information),即为源RAN节点通过AMF节点透传至目标RAN节点的信息。本申请对此不做限定。
实施方式二,该信息A包括UP安全激活状态,该UP安全激活状态为源RAN节点的DRB1的用户面安全激活状态或DRB1对应的PDU会话的用户面安全激活状态。
其中,源RAN节点获取DRB1(或DRB1对应的PDU会话)的UP安全激活状态包含从本地获取,如源RAN节点中本地存储有DRB1(或DRB1对应的PDU会话)的UP安全激活状态,则将存储的UP安全激活状态包含在消息A中。若本地未存储有DRB1(或DRB1对应的PDU会话)的UP安全激活状态,则源RAN节点可以根据本地的DRB1的安全配置确定UP安全激活状态,将确定的UP安全激活状态包含在消息A中。但本申请不限于此。
目标RAN节点根据该UP安全激活状态,确定目标RAN节点的DRB2使用与DRB1的UP安全配置相同的UP安全配置。
也就是说,当目标RAN节点确定消息A中包括一个DRB的UP安全激活状态或一个PDU会话的UP安全激活状态时,目标RAN节点根据该UP安全激活状态,确定对该DRB或对该PDU会话中的DRB使用与源RAN节点对该DRB采用的UP安全配置相同的UP安全配置。
一种实施方式中,目标RAN节点接收到该UP安全激活状态后,根据该UP安全激活状态确定DRB2的UP安全配置。
另一种实施方式中,目标RAN节点接收到该UP安全激活状态后,确定重用从源RAN节点接收到的DRB的UP安全配置。
例如,终端设备接收到消息A中DRB1或DRB1对应的PDU会话的UP安全激活状态,终端设备确定DRB2重用从源RAN节点接收到的DRB1的UP安全配置。但本申请不限于此。
可选地,该消息A中的UE上下文信息中或UE上下文中的PDU会话待建立资源列表中包括该UP安全激活状态。
根据上述实施方式,目标RAN节点根据该UP安全激活状态,确定DRB2的UP安全配置,能够保证目标RAN节点对DRB2采用的UP安全配置与源RAN节点对DRB1采用的UP安全配置相同。在一种可选地实施方式中,目标RAN节点根据消息A中的该DRB1或该DRB1对应的PDU会话的UP安全激活状态,确定对DRB2和/或与DRB2相关联的一个或多个DRB均使用与源RAN节点对DRB1的UP安全配置相同的UP安全配置。
其中,与DRB2相关联的一个或多个DRB可以是与DRB2属于同一PDU会话的DRB。即DRB2与一个或多个DRB通过对应的PDU会话的标识相关联。但本申请不限于此。
可选地,该消息A来自源RAN节点。其中,消息A可以是由源RAN节点发送给目标RAN节点的,或者,该消息A是由AMF节点发送给目标RAN节点的,且该消息A中包括AMF节点接收到的来自源RAN节点的透明容器,该透明容器包括该UP安全激活状态指示。
在一种实施方式中,源RAN节点确定该DRB1采用DAPS切换,则该消息A中包括信息A。
在另一种实施方式中,源RAN节点确定该DRB1采用DAPS切换,且该DRB1对应的PDU会话的UP安全策略指示推荐开启(例如,加密保护安全策略或完整性保护安全策略指示推荐开启),则源RAN节点确定消息A中包括信息A。
目标RAN节点根据信息A,确定该PDU会话中的DRB的UP安全配置。
需要说明的是,上述实施方式一、实施方式二仅为本申请实施例提供的两个示例,本申请不限于此,还可以包括其他实施方式。信息A可以直接指示目标网络设备的DRB2使用与DRB1相同的UP安全配置,也可以间接指示目标网络设备的DRB2使用与DRB1相同的UP安全配置,例如通过DAPS指示或UP安全激活状态。应理解,只要目标接入网节点根据消息A中的信息确定的目标接入网节点中的DRB的用户面安全配置与源接入网节点的DRB的用户面安全配置相同,该信息都可以认定为用于指示使用与源接入网节点相同的数据无线承载的用户面安全配置。均应落在本申请的保护范围内,在此不再一一举例。
S420,目标RAN节点发送消息A的响应消息,该响应消息包括信息B(即第二信息的一个示例),该信息B用于指示目标接入网节点的DRB2的UP安全配置。
其中,该DRB2的UP安全配置与DRB1的UP安全配置相同。该响应消息用于确认接受终端设备从源RAN节点切换至目标RAN节点。其中,该信息B指示目标RAN节点对DRB2的UP安全配置的方式包括但不限于以下方式:
方式1,该信息B指示目标RAN节点对DRB2使用与源RAN节点的DRB1相同的UP安全配置。
目标RAN节点通过信息B向终端设备指示目标RAN节点对DRB2使用的UP安全配置与源RAN节点的DRB1的UP安全配置相同。
例如,目标RAN节点通过偏移量或变量(Delta)的方式通知目标RAN节点对一个DRB的UP安全配置。比如在本示例中目标RAN节点将确定的DRB2的UP安全配置与消息A中的该DRB1的UP安全配置进行比较,若比较的结果为不相同,则目标RAN节点将确定的DRB2的UP安全配置信息通过响应消息发送给源RAN节点,并由源RAN节点通知终端设备。若比对的结果为相同,响应消息中不包括DRB2的UP安全配置,源RAN节点向终端设备发送的包括切换命令的RRC重配置消息中也不包括DRB2的UP安全配置,终端设备从源RAN节点未获取到DRB2的UP安全配置,则认为DRB2与DRB1的UP安全配置相同。又比如,若目标RAN节点确定DRB2重用源RAN节点的UP安全配置,则不包含该UP安全配置来指示UE重用DRB1的UP安全配置。
该示例中,由于目标RAN节点根据信息A,对DRB2采用了与源RAN节点对DRB1采用的UP安全配置相同的UP安全配置,不存在不同,因此,目标RAN节点可以通过信息B指示目标RAN节点对DRB1采用的UP安全配置与源RAN节点采用的UP安全配置相同,无需包括DRB2的UP安全配置。
可选地,目标RAN节点还可以根据Delta的方式确定DRB2的其他配置,例如安全保护算法等。若DRB2的一种配置与DRB1相应的配置相同,则信息B可以不包括该种配置,若DRB2的一种配置与DRB1相应的配置不同,则计算偏移量,信息B可以包括该偏移量。
再例如,该信息B为1比特的指示,该信息B指示“1”时表示目标RAN节点对DRB2采用的UP安全配置与源RAN节点对DRB1采用的UP安全配置相同,指示“0”时表示不相同。或者,该信息B的指示状态包括“真(true)”或“假(false)”,当信息B指示“真”时,表示目标RAN节点对DRB2采用的UP安全配置与源RAN节点对DRB1采用的UP安全配置相同,指示“假”时表示不相同。但本申请不限于此。
方式2,信息B包括DRB2的UP安全配置。
在S410中,目标RAN节点根据信息A,确定对DRB2采用与源RAN节点对DRB1采用的UP安全配置相同的UP安全配置后,生成与DRB1的UP安全配置相同的DRB2的UP安全配置。进一步的,目标RAN节点根据该UP安全配置,配置DRB2的PDCP实体。目标RAN节点通过信息B指示DRB2的UP安全配置。
该响应消息包括需要发送至终端设备的透明容器,该透明容器包括该信息B,当该透明容器通过响应消息传递至源RAN节点后,由源RAN节点转发给终端设备。终端设备可以根据该透明容器确定目标RAN节点对DRB2采用的UP安全配置与源RAN节点采用的UP安全配置相同,并配置相应的DRB的PDCP实体。其中,当该切换流程采用基于Xn的切换时,该响应消息可以是目标RAN节点发送给源RAN节点的消息,当该切换流程采用基于N2的切换时,该响应消息可以是目标RAN节点发送给核心网节点(如AMF节点)的消息,由核心网节点将该透明容器转发给源RAN节点。但本申请不限于此。
需要说明的是,对于未激活DAPS的DRB3,目标RAN节点可以根据PDU会话的UP安全策略确定是否激活该PDU会话的安全保护,并确定PDU会话中的DRB3的UP安全配置。目标RAN节点根据UP安全策略确定的DRB3的UP安全配置可以与源RAN节点相同也可以不同,本申请对此不做限定。目标RAN节点将未激活DAPS的DRB的配置包含在信息B中透传给终端设备。
可选地,在完成终端设备切换至目标RAN节点后,目标RAN节点根据DRB2的UP安全策略或根据DRB2对应的PDU会话的UP安全策略,更新DRB2的用户面安全配置。其中,该UP安全策略可以是承载在消息A中的UP安全策略,或者可以是来自SMF的。
例如,当前DRB1对应的PDU会话的UP安全激活状态为UP安全激活状态1,目标RAN节点可以根据消息A中的用户面安全策略或来自SMF的用户面安全策略,确定UP安全激活状态2,目标RAN节点可以根据该UP安全激活状态2,确定DRB2的更新后的UP安全配置。目标网络设备可以向终端设备发送DRB2的更新后的UP安全配置。DRB2的更新后的UP安全配置可以承载在目标RAN节点向终端设备发送的RRC消息中。
再例如,目标RAN节点在路径切换请求中接收到来自SMF的用户面安全策略,目标RAN更新本地的用户面安全策略(即来自源RAN的用户面安全策略)。若UE当前的用户面机密性和完整性保护激活状态与从SMF接收到的用户面安全策略不一致,目标RAN节点根据SMF发送的用户面安全策略更新DRB2的UP安全配置。目标RAN节点在确定消息A中的用户面安全策略与来自SMF的用户面安全策略相同的情况下,目标RAN在UE切换完成之后根据从源RAN节点接收到的用户面安全策略或根据从SMF接收到的用户面安全策略,更新DRB2的UP安全配置,并可以通过UP安全配置指示3通知终端设备。进一步,目标RAN在用户面安全策略指示加密保护和/或完整性保护为preferred时才重新评估是否更新DRB的安全配置。
再例如,目标RAN节点可以根据消息A中的用户面安全策略或来自SMF的用户面安全策略,确定UP安全激活状态2。在UP安全激活状态2与UP安全激活状态1不同的情况下,目标RAN节点更新DRB2的UP安全配置,并可以通过UP安全配置指示3通知终端设备。但本申请不限于此。
作为示例非限定,该DRB2的更新后的UP安全配置可以承载在目标RAN节点向终端设备发送的资源释放消息中。
可选地,上述完成终端设备切换至目标RAN节点后可以包括但不限于:
目标接入网设备接收到来自该终端设备的用于指示切换完成的指示后;或者,
目标接入网设备发送用于指示切换成功的指示后;或者,
目标接入网设备接收到用于指示序列号(SN)状态转移的指示后;或者,
目标接入网设备发送用于指示释放用户上下文的指示后;或者,
目标接入网设备向该终端设备发送用于指示资源释放的指示后。
根据上述方案,目标RAN节点对DRB采用的UP安全配置与源RAN节点的DRB的用户面安全配置相同。能够减小目标RAN节点与源RAN节点在传输相同数据包时的数据安全隐患,提高数据传输的安全性。
本申请提供的通信方法可以应用于包括但不限于基于Xn接口的切换过程中,也可以应用于基于N2切换的切换过程中。下面分别对本申请的通信方法应用于基于Xn接口的切换过程中以及应用于基于N2切换的切换过程中进行说明,应理解本申请并不限于此。
下面首先介绍本申请的通信方法应用于基于Xn接口的切换过程中的实施例。图5是本申请实施例提供的基于Xn接口的切换场景下的安全配置方法的一个示意性流程图。
需要说明的是,图5所示实施例与图4所示实施例中相同或相似的部分可以参考上述对图4实施例的描述,为了简要,在此不再赘述。
S501,源RAN节点向目标RAN节点发送切换请求消息(即第一消息的一个示例)。
相应地,目标RAN节点接收来自源RAN节点的该切换请求消息,该切换请求消息用于请求终端设备从源RAN节点切换至目标RAN节点。该切换请求消息中包括信息A。该信息A用于指示使用与源RAN节点的DRB的UP安全配置相同的UP安全配置。
一种实施方式中,该信息A为DAPS切换指示,该DAPS切换指示用于指示DRB1使用DAPS切换。
另一种实施方式中,该信息A为UP安全激活状态,该UP安全激活状态为DRB1的UP安全激活状态或DRB1对应的PDU会话的UP安全激活状态。
可选地,在源RAN节点确定DRB1使用DAPS切换的情况下,该切换请求消息中包括该UP安全激活状态。或者,在源RAN节点确定DRB1使用DAPS切换,且该DRB1的UP安全策略或DRB1对应的PDU会话的UP安全策略指示推荐开启UP安全保护的情况下,该切换请求消息中包括该UP安全激活状态。
可选地,在源RAN节点确定DRB1使用DAPS切换,且该DRB1的UP安全策略中的加密保护策略或DRB1对应的PDU会话的UP安全策略中的加密保护策略指示推荐开启UP加密保护的情况下,该切换请求消息中包括该UP加密保护的激活状态。针对完整性保护,依旧使用现有的确定机制。
可选地,该切换请求消息还包括KgNB*、PDU会话资源待建立列表信息和RRC上下文等信息,其中PDU会话资源待建立列表信息可以包括每个PDU会话对应的UP安全策策略。
S502,目标RAN节点根据信息A,确定目标RAN节点的DRB2的UP安全配置与源RAN节点对DRB1的UP安全配置相同。
一种实施方式中,该信息A为DAPS切换指示,目标RAN节点根据该DAPS切换指示,确定目标RAN节点对DRB2使用与源RAN节点对DRB1的UP安全配置相同的UP安全配置。
另一种实施方式中,该信息A为UP安全激活状态,目标RAN节点根据该UP安全激活状态,确定对DRB2采用的UP安全配置。由于基于同一UP安全激活状态确定的UP安全配置,因此,该DRB2的UP安全配置与源RAN节点对DRB1采用的UP安全配置相同。
目标RAN节点生成切换命令,该切换命令用于指示目标RAN节点对DRB2采用的UP安全配置。作为示例非限定,该切换命令可以包括信息B,或包含信息B的透明容器,该信息B可以通过如图4实施例中介绍的方式1(即指示目标RAN节点对DRB2使用与源RAN节点的DRB1相同的UP安全配置)或方式2(包括DRB2的UP安全配置),指示目标RAN节点对DRB2采用的UP安全配置与源RAN节点对DRB1采用的UP安全配置相同。
S503,目标RAN节点向源RAN节点发送切换响应确认消息,该切换响应确认消息中包括切换命令。
相应地,源RAN节点接收来自目标RAN节点的该切换响应确认消息。
S504,源RAN节点向终端设备发送RRC连接重配置消息,该RRC连接重配置消息中包括切换命令。
S505,终端设备根据切换命令确定目标RAN节点对DRB2采用的UP安全配置。
终端设备接收到切换命令后,根据该切换命令可以确定终端设备与目标RAN节点之间的DRB安全配置。进一步的,终端设备对与目标RAN节点之间的DRB进行配置。
S506,终端设备向目标RAN节点发送RRC重配置完成消息。
相应地,目标RAN节点接收来自终端设备的RRC重配置完成消息。
S507,目标RAN根据UP安全策略,确定是否更新DRB2的UP安全配置。
在目标RAN节点接收到来自终端设备的RRC重配置完成消息后,目标RAN节点根据切换请求消息中承载的或根据来自SMF的DRB2对应的PDU会话的UP安全策略,确定用户面安全激活状态2。
若该用户面安全激活状态2与DRB1对应的PDU会话当前的用户面安全激活状态1不同,目标RAN节点根据该用户面安全激活状态2,在S509中向终端设备发送更新后的DRB2的安全配置,即更新后的安全激活指示。
S508,目标RAN向终端设备发送更新后的DRB2的UP安全配置。
相应地,终端设备接收来自目标RAN的更新后的DRB2的安全配置。
S509,终端设备根据更新后的DRB2的安全配置(即更新后的安全激活指示),更新目标RAN的DRB2的UP安全配置。
例如,根据更新后的DRB2的安全配置,配置相应的DRB对应的PDCP实体。
图6是本申请实施例提供的基于Xn接口的切换场景下的安全配置方法的另一个示意性流程图。
需要说明的是,图6所示实施例与图4、图5所示实施例中相同或相似的部分可以参考上述对图4、图5实施例的描述,为了简要,在此不再赘述。
在本实施例中,UE通过源RAN(Source-RAN,S-RAN)节点与核心网建立连接,并传输上下行数据包。S-RAN节点可以根据UE的测量报告确定触发Xn切换流程,将UE切换至T-RAN节点(target-RAN,T-RAN),T-RAN节点基于本申请提供的方法,进行DRB的UP安全配置,从而提高数据传输的安全性。
S601,S-RAN节点从AMF节点获取移动性控制信息。
UE与核心网网元建立连接的过程中,或者UE与核心网网元执行位置区域更新流程中,S-RAN节点从AMF节点获取移动性控制信息,如漫游和访问限制信息。
S602,S-RAN节点配置UE的测量流程,UE可以根据测量配置执行上报。
S603,S-RAN节点根据测量报告和无线资源管理信息确定切换UE。
S604,S-RAN节点向T-RAN节点发送切换请求消息。
该切换请求消息中可以包括目标小区ID、全球唯一AMF标识(globally uniqueAMF identifier,GUAMI)、UE上下文信息、UE历史信息等。
其中,UE上下文信息可以包括UE安全能力、AS安全信息(如KgNB*)、PDU会话资源待建立列表、RRC上下文。
该PDU会话资源待建立信息可以包括PDU会话ID、单网络切片选择协助信息(single network slice selection assistance information,S-NSSAI)、PDU会话类型,该PDU会话的UP安全策略,源DRB到服务质量(quality of service,QoS)流(flow)的映射列表。
其中,UP安全策略包括完整性保护安全策略和机密性保护安全策略,完整性保护安全策略用于指示必须开启、推荐开启或不开启UP完整性保护,机密性保护安全策略用于指示必须开启、推荐开启或不开启UP加密保护。UP安全策略还可以包含最大完整性保护数据速率。
源DRB到QoS flow的映射列表可以包括DRB ID、QoS流ID(QoS flow ID,QFI)。其中,对于需要激活DAPS的DRB(s),源DRB到QoS flow的映射列表还包括DRB ID,QFI(s)和DAPS切换指示。其中,包括用于指示DRB1使用DAPS切换的DAPS切换指示。
可选地,该切换请求消息中包括UP安全激活状态,该UP安全激活状态用于指示该DRB1的UP安全激活状态或该DRB1对应的PDU会话的UP安全激活状态。
例如,在S-RAN节点确定DRB1使用DAPS切换的情况下,该切换请求消息中包括该UP安全激活状态,该UP安全激活状态用于指示DRB1的UP安全激活状态或该DRB1对应的PDU会话的UP安全激活状态。或者,在S-RAN节点确定DRB1使用DAPS切换,且该DRB1的UP安全策略或DRB1对应的PDU会话的UP安全策略指示推荐开启UP安全保护的情况下,该切换请求消息中包括该UP安全激活状态。
作为示例非限定,该UP安全激活状态具体承载在PDU会话资源待建立列表中该DRB1对应的PDU会话信息中。
RRC上下文可以包括UE无线相关能力和RRC重配置信息,RRC重配置信息中可以包含S-RAN节点的DRB的UP安全配置信息。
需要说明的是以上仅示出了切换请求消息可能包括的部分相关信息,切换请求消息还可以包括其他信息,本申请对此不做限定。
S605,T-RAN节点可以执行准入控制。
若T-RAN节点接收到切片信息,则执行切片准入控制,若一个PDU会话关联的切片为T-RAN节点不支持的切片,则T-RAN节点拒绝该PDU会话。
S606,T-RAN节点执行切换准备。其中,切换准备包括T-RAN节点对DRB2使用与S-RAN节点对DRB1相同的UP安全配置。
若步骤S604接收到了DAPS切换指示,T-RAN节点确定是否接受DAPS切换,同时向S-RAN节点指示确定的结果。若T-RAN节点接收DAPS切换,T-RAN节点对DRB2使用与S-RAN节点对DRB1相同的UP安全配置。
一种实施方式中,T-RAN节点根据DRB1的DAPS切换指示,确定对T-RAN节点的DRB2使用与S-RAN节点对DRB1相同的UP安全配置。
T-RAN节点可以根据切换请求消息中RRC上下文包含的DRB1的用户面安全配置,对T-RAN节点的DRB2进行配置,例如,配置DRB2对应的PDCP实体。可选的,该DRB1对应的PDU会话中的其他DRB也使用S-RAN节点中DRB相同的UP安全配置,UP安全配置包含是否开启DRB的加密保护和/或完整性保护。
另一种实施方式中,T-RAN节点根据切换请求消息中包括的DRB1(或具体为DRB1对应的PDU会话)的UP安全激活状态,确定对T-RAN节点的DRB2使用与S-RAN节点相同的UP安全配置。
例如,T-RAN节点根据该DRB1(或具体为DRB1对应的PDU会话)的UP安全激活状态,确定对DRB2采用的UP安全配置。但本申请不限于此。
对于没有激活DAPS的PDU会话,T-RAN节点根据PDU会话的UP安全策略确定是否激活PDU会话的安全保护,并确定PDU会话的DRB用户面安全配置。将更新后的DRB用户面安全配置包含在透明容器中发送给UE。
S607,T-RAN节点向S-RAN节点发送切换请求确定消息。
该切换请求确定消息中包含一个透明容器,该透明容器作为RRC消息通过S-RAN节点发送给UE。
T-RAN节点可以通过该透明容器指示目标RAN节点对DRB2采用的UP安全配置与源RAN节点对DRB1采用的UP安全配置相同,例如透明容器可以通过如图4实施例中介绍的方式1(即指示目标RAN节点对DRB2使用与源RAN节点的DRB1相同的UP安全配置)或方式2(包括DRB2的UP安全配置),指示目标RAN节点对DRB2采用的UP安全配置与源RAN节点对DRB1采用的UP安全配置相同。
S608、S-RAN节点向UE发送RRC连接重配置消息触发UE执行切换。
该RRC重配置消息中包含来自T-RAN节点的透明容器以及用于接入到目标小区(即T-RAN管理的小区)的信息。该目标小区的信息包括目标小区ID,目标小区的小区无线网络临时标识(cell-radio network temporary identifier,C-RNTI),T-RAN节点选择的安全算法的安全算法标识等。
UE根据来自T-RAN节点的透明容器确定T-RAN节点对DRB2采用的UP安全配置与S-RAN节点对DRB1采用的UP安全配置相同。并根据该透明容器配置T-RAN节点的DRB2的UP安全配置。
对于配置DAPS的DRB(s)(其中包括DRB1),S-RAN节点继续传输下行数据包,直到接收到T-RAN节点发送的切换成功消息(即S613中)。
S609,S-RAN节点传递已缓存数据和来自UPF的新数据。
S610,对于配置了DAPS的一个或多个DRB,S-RAN节点向T-RAN节点发送早期状态传输消息。
该早期状态传输消息中包含下行计数(count)值,用于指示S-RAN节点向T-RAN节点发送的第一个PDCP服务数据单元(service data unit,SDU)的PDCP数据网络(datanetwork,DN)和SDU的超帧号(hyper frame number,HFN)。
S-RAN节点继续分配下行数据包的SN直到S-RAN节点向T-RAN节点发送序列号(SN)状态传输消息(即S615中)。
S611,对于未配置DAPS的一个或多个DRB,S-RAN节点向T-RAN节点发送SN状态传输消息。
该SN状态传输消息用于传输上行PDCP SN接收状态和下行PDCP SN传输状态。
S612,S-RAN节点向T-RAN转发未配置DAPS的一个或多个DRB的数据,T-RAN缓存来自S-RAN的用户数据。
S613,UE从源小区分离同步到新的小区后向T-RAN节点发送RRC重配置完成消息。
UE向T-RAN节点发送RRC重配置完成消息(RRCReconfigurationComplete)消息完成RRC切换流程。
对于DAPS切换,UE继续保持与S-RAN节点小区的连接,直到接收到RRC重配置消息(RRCReconfiguration)消息。在接收到T-RAN节点的释放请求,UE释放源信令无线承载(signaling radio bearer,SRB)资源,源小区的安全配置。并停止与S-RAN节点之间的数据传输。
S614,针对DAPS切换,T-RAN节点向S-RAN节点发送切换成功消息,通知S-RAN节点UE已经成功接入目标小区。
S615,针对DAPS切换的一个或多个DRB,S-RAN节点向T-RAN节点发送SN状态传输消息。
S616,T-RAN节点向AMF节点发送路径切换请求消息。
T-RAN节点通过该路径切换请求消息触发5GC将下行数据路径切换到T-RAN节点。该路径切换请求消息中包括从S-RAN节点发送的用户面安全策略。
S617,5GC与T-RAN节点之间执行下行路径切换。
S618,AMF节点向T-RAN节点发送路径切换请求确定消息。
若T-RAN节点在S616中发送的用户面安全策略与SMF本地的UP安全策略不同,则该路径切换确定请求中还包含UP安全策略。
S619,T-RAN节点向S-RAN节点发送UE上下文释放消息。
T-RAN节点根据接收到的路径切换请求确定消息,向S-RAN节点发送UE上下文释放消息。S-RAN节点释放UE上下文关联的无线资源和控制面资源。
S620,T-RAN节点根据UP安全策略确定是否更新激活DAPS的PDU会话的UP安全激活状态。
若S618中没有接收到DRB2对应的PDU会话的UP安全策略,T-RAN节点根据从S-RAN节点接收到的DRB1对应的PDU会话的UP安全策略,确定是否更新DRB2对应的PDU会话的UP安全激活状态。若S618中接收到DRB2对应的PDU会话的UP安全策略,T-RAN节点根UP安全策略,确定是否更新激活DAPS切换的PDU会话的UP安全激活状态。
对于执行DAPS切换的DRB,如DRB2,T-RAN节点可以根据DRB2对应的PDU会话的UP安全策略,确定UP安全激活状态2。若该PDU会话当前的UP安全激活状态1不相同,T-RAN节点确定更新DRB2的UP安全配置。T-RAN节点根据UP安全激活状态2,确定对DRB2采用的UP安全配置,即更新后的UP安全配置(若DRB2的当前UP安全配置为UP安全配置1,则该更新后的DRB2的UP安全配置可以为UP安全配置2)。可选的,T-RAN节点同时更新PDU会话对应的其他的未激活DAPS切换的DRB的UP安全配置。
S621,T-RAN节点向终端设备发送资源释放消息,该资源释放消息包括UP安全激活指示。
该UP安全激活指示(即为前文所述的UP安全配置指示3)用于指示更新后的DRB2的安全配置。
需要说明的是,UP安全激活指示承载在资源释放消息中仅为一个示例,该UP安全激活指示还可以承载在T-RAN节点向终端设备发送的其他RRC消息中。本申请对此不做限定。
S622,终端设备根据该UP安全激活指示,更新DRB的UP安全配置。
UE接收到资源释放请求,释放源SRB资源,源小区的安全配置。且终端设备根据该UP安全激活指示,更新DRB的UP安全配置。
可选地,作为UP安全激活指示承载在资源释放消息中通知终端设备更新UP安全配置的一种替代方案,T-RAN可以触发一次RAN内部(intra-RAN)切换流程,以使终端设备更新DRB1的安全配置。
下面再介绍本申请的通信方法应用于基于N2接口的切换过程中的实施例。图7是本申请实施例提供的基于N2接口的切换场景下的安全配置方法的一个示意性流程图。
需要说明的是,图7所示实施例与图4所示实施例中相同或相似的部分可以参考上述对图4实施例的描述,为了简要,在此不再赘述。
S701,源RAN节点向AMF节点发送需要切换(handover required)消息。该需要切换消息中包括信息A。
其中,该需要切换消息中包括指示DRB1使用DAPS切换的DAPS切换指示。该信息A为该DAPS切换指示或UP安全激活状态。
可选地,该信息A为UP安全激活状态时,在源RAN节点确定DRB1使用DAPS切换的情况下,该切换请求消息中包括该UP安全激活状态,该UP安全激活状态用于指示DRB1的UP安全激活状态或DRB1对应的PDU会话的UP安全激活状态。或者,在源RAN节点确定DRB1使用DAPS切换,且该DRB1的UP安全策略或DRB1对应的PDU会话的UP安全策略指示推荐开启UP安全保护的情况下,该切换请求消息中包括该UP安全激活状态。
源RAN确定发起N2切换后向AMF节点发送handover required消息,该消息中还包含PDU会话资源列表和源RAN节点需要通过AMF节点透传至目标RAN节点的透明容器。该PDU会话资源建立列表中包括PDU会话ID,PDU会话对应的UP安全策略等。但本申请不限于此。
作为示例非限定,该PDU会话资源列表或该透明容器中包括信息A。
S702,AMF节点向目标RAN节点发送切换请求消息,该切换请求消息中包括信息A。
AMF节点与核心网节点交互后,AMF节点向目标RAN节点发送切换请求消息,切换请求消息中包含来自源RAN节点的透明容器和PDU会话资源建立列表。
S703,目标RAN节点根据信息A,确定DRB2的UP安全配置与源RAN节点对DRB1的UP安全配置相同。
一种实施方式中,该信息A为DAPS切换指示,目标RAN节点根据该DAPS切换指示,确定目标RAN节点对DRB2使用与源RAN节点对DRB1的UP安全配置相同的UP安全配置。
另一种实施方式中,信息A为UP安全激活状态,目标RAN节点根据UP安全激活状态,确定该DRB2的UP安全配置与源RAN节点对DRB1的UP安全配置相同。
S704,目标RAN节点向AMF节点发送切换请求确定消息,该切换请求确定消息中包括透传容器。
该切换请求确定消息中的透传容器为目标RAN节点透传至源RAN节点的透明容器。该透明容器用于指示目标RAN节点对DRB2采用的UP安全配置。
作为示例非限定,该透明容器可以通过如图4实施例中介绍的方式1(即指示目标RAN节点对DRB2使用与源RAN节点的DRB1相同的UP安全配置)或方式2(包括DRB2的UP安全配置),指示目标RAN节点对DRB2采用的UP安全配置与源RAN节点对DRB1采用的UP安全配置相同。
该切换请求确定消息中还可以包括PDU会话资源确认列表,用于指示接受切换的PDU会话。
S705,AMF节点向源RAN节点发送切换命令,该切换命令中包括来自目标RAN节点的透明容器。
该切换命令中还可以包括PDU会话资源切换列表。
图7实施例中的S706至S711与图5实施例中S504至S509依次对应,具体实施方式可以参考前文中对图5实施例中S505至S508的描述,为了简要,在此不再赘述。
图8是本申请实施例提供的基于N2接口的切换场景下的安全配置方法的另一个示意性流程图。
需要说明的是,图8所示实施例与图4、图7所示实施例中相同或相似的部分可以参考上述对图4、图7实施例的描述,为了简要,在此不再赘述。
在本实施例中,UE通过S-RAN节点与核心网建立连接,并传输上下行数据包。S-RAN节点可以根据UE的测量报告确定触发N2切换流程,将UE切换至S-RAN节点,并基于本申请提供的方法,进行DRB的UP安全配置,从而提高数据传输的安全性。
S801,S-RAN节点确定发起N2的切换流程。
S802,S-RAN节点向源AMF(source AMF,S-AMF)节点发送切换请求1。
其中,该切换请求1消息中包括指示DRB1使用DAPS切换的DAPS切换指示。该信息A为该DAPS切换指示或该信息A包括DRB1的UP安全激活状态。
可选地,该信息A包括UP安全激活状态时,在源RAN节点确定DRB1使用DAPS切换的情况下,该切换请求消息中包括该UP安全激活状态,该UP安全激活状态用于指示DRB1的UP安全激活状态。或者,在源RAN节点确定DRB1使用DAPS切换,且该DRB1的UP安全策略或DRB1对应的PDU会话的UP安全策略指示推荐开启UP安全保护的情况下,该切换请求消息中包括该UP安全激活状态。
源RAN节点确定发起N2切换后向S-AMF节点发送切换请求1消息,该消息中包含PDU会话资源列表和源RAN节点需要通过S-AMF节点透传至目标RAN节点的透明容器。该PDU会话资源列表中包括PDU会话ID,PDU会话对应的UP安全策略等。透明容器中可以包含RRC容器,PDU会话资源信息列表,目标小区标识。该PDU会话资源信息列表包含PDU会话ID,QoS flow信息列表和DRB与QoS flow映射列表。DRB与QoS flow映射列表中可以包含DRB ID、关联的QoS flow列表,可选地,还包括DAPS请求信息。等但本申请不限于此。
作为示例非限定,该PDU会话资源列表或该透明容器中包括信息A。
S803,若S-AMF节点不能为UE服务,S-AMF节点执行AMF节点选择流程,选择目标AMF(target-AMF,T-AMF)节点。
S804,若S-AMF节点执行了S803,则S-AMF节点向T-AMF节点发送Namf_通信_建立UE上下文请求。
该Namf_通信_建立UE上下文请求(Namf_Communication_CreatUEContextRequest)中包含N2信息和UE上下文信息。
其中,N2信息包含目标小区标识,PDU会话资源列表。UE上下文包含订阅永久标识(subscription permanent identifier,SUPI),接入类型对应的允许的NSSAI,PDU会话标识和对应的SMF信息以及S-NSSAI,PCF标识和数据网络名称(data network name,DNN)。
S805,T-AMF节点向SMF节点发送Nsmf_PDU会话_更新SM上下文请求。
该Nsmf_PDU会话_更新SM上下文请求(Nsmf_PDUSession_UpdateSMContextRequest)消息,包括PDU会话ID,目标小区的ID或T-RAN的ID。
S806,SMF节点根据目标小区的ID或T-RAN的ID,确定是否允许N2切换。SMF节点检测UPF节点选择规则,如果UE移出UPF节点的服务区,SMF节点选择一个新的中间UPF节点;
S807,SMF节点向PDU会话锚点(PDU session anchor)UPF(即UPF(PSA))节点发送N4会话修改请求消息。
如果SMF节点选择了一个新的中间UPF节点,SMF节点执行N4会话修改流程,向PDU会话的UPF(PSA))节点发送N4会话修改请求消息。
S808,UPF(PSA)节点向SMF节点发送N4会话修改响应消息。
S809,SMF节点向目标UPF(target-UPF,T-UPF)节点发送N4会话建立请求消息。
SMF节点与新选择的T-UPF节点执行N4会话建立流程,即向T-UPF节点发送N4会话建立请求消息。
S810,T-UPF节点向SMF节点发送N4会话建立响应消息。
S811,SMF节点向T-AMF节点发送Nsmf_PDU会话_更新SM上下文请求响应消息(Nsmf_PDUSession_UpdateSMContext Response)。
如果SMF节点接受PDU会话切换,该消息中包括N3 UP地址和上行(uplink,UL)CN推导标识和QoS参数;如果SMF节点不接受PDU会话切换,则该消息中包含一个不接受的原因值。
S812,T-AMF节点执行PDU切换响应管理。
T-AMF节点管理相关SMF节点发送的Nsmf_PDUSession_UpdateSMContextResponse消息。当T-AMF节点接收到所有的SMF节点发送的Nsmf_PDUSession_UpdateSMContext Response消息或者T-AMF节点最大等待时间超期,T-AMF继续执行N2切换流程。
S813,T-AMF节点向T-RAN节点发送切换请求2。
该切换请求2消息中包含N2移动性管理(mobility management,MM)信息,N2 SM信息,S-RAN节点透传至目标RAN节点的透明容器,该透明容器中包括信息A,切换限制列表,不接受的PDU会话列表。
T-RAN节点根据信息A,确定T-RAN节点的DRB2的UP安全配置与源RAN节点对DRB1的UP安全配置相同。该步骤可以参考前文对图7实施例中S703的描述,为了简要,在此不再赘述。
S814,T-RAN节点向T-AMF节点发送切换请求确认消息。
该切换请求确认消息中包含T-RAN节点到S-RAN节点的透明容器,该透明容器用于指示目标RAN节点对DRB2采用的UP安全配置。具体指示方式可以参考前文中的描述,为了简要,在此不再赘述。
该切换请求确认消息中还包括N2 SM响应列表、失败的PDU会话列表,T-RAN节点的SM N3传输信息列表。
S815,T-AMF节点向SMF节点发送Nsmf_PDU会话_更新SM上下文请求消息,
该消息中包括PDU会话标识,N2 SM响应,T-RAN SM N3传输信息列表。对于每一个N2 SM响应,T-AMF节点向SMF节点发送N2 SM响应;如果没有新的中间UPF节点,则SMF节点存储N3隧道信息。
S816,如果SMF节点在S806中选择了一个新的中间UPF节点,则SMF节点向该T-UPF节点发送N4会话修改请求消息。
该N4会话修改请求消息中包含T-RAN SM N3转发信息列表,可选分配下行(downlink,DL)转发隧道的指示。
S817,T-UPF节点向SMF节点发送的N4会话修改响应消息。
该N4会话修改响应消息中包含SM N3转发信息列表。
S818,SMF节点向源UPF(source UPF,S-UPF)节点发送N4会话修改请求消息。
该N4会话修改请求消息中包含T-RAN SM N3转发信息列表或者T-UPF SM N3转发信息列表,DL转发隧道的指示;
S819,S-UPF节点向SMF节点发送N4会话修改响应消息。
该N4会话修改响应消息中包含S-UPF SM N3转发信息列表;
S820,SMF节点向T-AMF节点发送包含N2 SM信息的Nsmf_PDU会话_更新SM上下文响应消息。
S821,T-AMF节点向S-AMF节点发送Namf_通信_建立UE上下文响应消息。
该消息中包含N2信息,PDU会话建立失败列表,N2 SM信息。
S822,N2切换执行阶段。
T-RAN节点在接收到UE的切换确定消息后,根据UP安全策略确定是否更新激活DAPS的PDU会话的UP安全激活状态。
对于执行DAPS切换的DRB,如DRB2,T-RAN节点可以根据DRB2对应的PDU会话的UP安全策略,确定UP安全激活状态2。若该PDU会话当前的UP安全激活状态1不相同,T-RAN节点确定更新DRB2的UP安全配置。T-RAN节点根据UP安全激活状态2,确定对DRB2采用的UP安全配置,即更新后的UP安全配置(若DRB1的当前UP安全配置为UP安全配置1,则该更新后的UP安全配置可以为UP安全配置2)。
可选地,UP安全激活指示承载在资源释放消息中发送给终端设备,或者,该UP安全激活指示可以承载在T-RAN节点向终端设备发送的其他RRC消息中。该UP安全激活指示用于指示UP安全配置2,即DRB2的更新后的安全配置。
终端设备接收到该UP安全激活指示后,根据该UP安全激活指示,更新DRB2的UP安全配置。
可选地,作为UP安全激活指示承载在资源释放消息中通知终端设备更新UP安全配置的一种替代方案,T-RAN节点可以触发一次RAN内部(intra-RAN)切换流程,以使终端设备更新DRB2的安全配置。
根据本申请实施例提供的方案,目标RAN节点对DRB采用与源RAN节点相同的DRB用户面安全配置。能够减小目标RAN节点与源RAN节点在传输相同数据包时的数据安全隐患,提高数据传输的安全性。
以上,结合图4至图8详细说明了本申请实施例提供的方法。以下,结合图9至图12详细说明本申请实施例提供的装置。为了实现上述本申请实施例提供的方法中的各功能,各网元可以包括硬件结构和/或软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行,取决于技术方案的特定应用和设计约束条件。
图9是本申请实施例提供的通信装置的示意性框图。如图9所示,该通信装置900可以包括收发单元920。
在一种可能的设计中,该通信装置900可对应于上文方法实施例中的终端设备,或者配置于(或用于)终端设备中的芯片,或者其他能够实现终端设备的方法的装置、模块、电路或单元等。
应理解,该通信装置900可对应于根据本申请实施例的方法400至800中的终端设备,该通信装置900可以包括用于执行图4至图8中的方法400至800中终端设备执行的方法的单元。并且,该通信装置900中的各单元和上述其他操作和/或功能分别为了实现图4至图8中的方法400至800的相应流程。
可选地,通信装置900还可以包括处理单元910,该处理单元910可以用于处理指令或者数据,以实现相应的操作。
还应理解,该通信装置900为配置于(或用于)终端设备中的芯片时,该通信装置900中的收发单元920可以为芯片的输入/输出接口或电路,该通信装置900中的处理单元910可以为芯片中的处理器。
可选地,通信装置900还可以包括存储单元930,该存储单元930可以用于存储指令或者数据,处理单元910可以执行该存储单元中存储的指令或者数据,以使该通信装置实现相应的操作。
应理解,该通信装置900中的收发单元920为可通过通信接口(如收发器或输入/输出接口)实现,例如可对应于图10中示出的终端设备1000中的收发器1010。该通信装置900中的处理单元910可通过至少一个处理器实现,例如可对应于图10中示出的终端设备1000中的处理器1020。该通信装置900中的处理单元910还可以通过至少一个逻辑电路实现。该通信装置900中的存储单元930可对应于图10中示出的终端设备1000中的存储器。
还应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
在另一种可能的设计中,该通信装置900可对应于上文方法实施例中的接入网节点,例如,或者配置于(或用于)接入网节点中的芯片,或者其他能够实现接入网节点的方法的装置、模块、电路或单元等。
应理解,该通信装置900可对应于根据本申请实施例的方法400至800中的源RAN节点或目标RAN节点,该通信装置900可以包括用于执行图4至图8中的方法400至800中源RAN节点或目标RAN节点执行的方法的单元。并且,该通信装置900中的各单元和上述其他操作和/或功能分别为了实现图4至图8中的方法400至800的相应流程。
可选地,通信装置900还可以包括处理单元910,该处理单元910可以用于处理指令或者数据,以实现相应的操作。
还应理解,该通信装置900为配置于(或用于)接入网设备中的芯片时,该通信装置900中的收发单元920可以为芯片的输入/输出接口或电路,该通信装置900中的处理单元910可以为芯片中的处理器。
可选地,通信装置900还可以包括存储单元930,该存储单元930可以用于存储指令或者数据,处理单元910可以执行该存储单元中存储的指令或者数据,以使该通信装置实现相应的操作。
应理解,该通信装置900为接入网设备时,该通信装置900中的收发单元920为可通过通信接口(如收发器或输入/输出接口)实现,例如可对应于图11中示出的接入网设备1100中的收发器1110。该通信装置900中的处理单元910可通过至少一个处理器实现,例如可对应于图11中示出的接入网设备1100中的处理器1120,该通信装置900中的处理单元910可通过至少一个逻辑电路实现。
还应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
在另一种可能的设计中,该通信装置900可对应于上文方法实施例中的AMF节点,例如,或者配置于(或用于)AMF节点中的芯片,或者其他能够实现AMF节点的方法的装置、模块、电路或单元等。
应理解,该通信装置900可对应于根据本申请实施例的方法400至800中的AMF节点,该通信装置900可以包括用于执行图4至图8中的方法400至800中AMF节点执行的方法的单元。并且,该通信装置900中的各单元和上述其他操作和/或功能分别为了实现图4至图8中的方法400至800的相应流程。
可选地,通信装置900还可以包括处理单元910,该处理单元910可以用于处理指令或者数据,以实现相应的操作。
还应理解,该通信装置900为配置于(或用于)AMF节点中的芯片时,该通信装置900中的收发单元920可以为芯片的输入/输出接口或电路,该通信装置900中的处理单元910可以为芯片中的处理器。
可选地,通信装置900还可以包括存储单元930,该存储单元930可以用于存储指令或者数据,处理单元910可以执行该存储单元中存储的指令或者数据,以使该通信装置实现相应的操作。
应理解,该通信装置900为AMF节点时,该通信装置900中的收发单元920为可通过通信接口(如收发器或输入/输出接口)实现,例如可对应于图12中示出的AMF节点1200中的收发器1210。该通信装置900中的处理单元910可通过至少一个处理器实现,例如可对应于图12中示出的AMF节点1200中的处理器1220,该通信装置900中的处理单元910可通过至少一个逻辑电路实现。
还应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
图10是本申请实施例提供的终端设备1000的结构示意图。该终端设备1000可应用于如图1所示的***中,执行上述方法实施例中终端设备的功能。如图所示,该终端设备1000包括处理器1020和收发器1010。可选地,该终端设备1000还包括存储器。其中,处理器1020、收发器1010和存储器之间可以通过内部连接通路互相通信,传递控制和/或数据信号。该存储器用于存储计算机程序,该处理器1020用于执行该存储器中的该计算机程序,以控制该收发器1010收发信号。
上述处理器1020可以和存储器可以合成一个处理装置,处理器1020用于执行存储器中存储的程序代码来实现上述功能。具体实现时,该存储器也可以集成在处理器1020中,或者独立于处理器1020。该处理器1020可以与图9中的处理单元对应。
上述收发器1010可以与图9中的收发单元对应。收发器1010可以包括接收器(或称接收机、接收电路)和发射器(或称发射机、发射电路)。其中,接收器用于接收信号,发射器用于发射信号。
应理解,图10所示的终端设备1000能够实现图4至图8所示方法实施例中涉及终端设备的过程。终端设备1000中的各个模块的操作和/或功能,分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
上述处理器1020可以用于执行前面方法实施例中描述的由终端设备内部实现的动作,而收发器1010可以用于执行前面方法实施例中描述的终端设备向网络设备发送或从网络设备接收的动作。具体请见前面方法实施例中的描述,此处不再赘述。
可选地,上述终端设备1000还可以包括电源,用于给终端设备中的各种器件或电路提供电源。
除此之外,为了使得终端设备的功能更加完善,该终端设备1000还可以包括输入输出装置,如包括输入单元、显示单元、音频电路、摄像头和传感器等中的一个或多个,所述音频电路还可以包括扬声器、麦克风等。
图11是本申请实施例提供的网络设备的结构示意图,该网络设备1100可应用于如图1所示的***中,执行上述方法实施例中接入网节点(例如,源RAN节点或目标RAN节点)的功能。
应理解,图11所示的网络设备1100能够实现图4至图8所示方法实施例中涉及的源RAN节点或目标RAN节点的各个过程。网络设备1100中的各个模块的操作和/或功能,分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
应理解,图11所示出的网络设备1100可以是eNB或gNB,可选地,网络设备包含中心单元(central unit,CU)、分布单元(distribute unit,DU)和有源天线单元(activeantenna unit,AAU)的网络设备等,可选地,CU可以具体分为CU-CP和CU-UP。本申请对于网络设备的具体架构不作限定。
应理解,图11所示出的网络设备1100可以是CU节点或CU-CP节点。
图12是本申请实施例提供的通信设备1200的结构示意图,该网络设备1200可应用于如图1所示的***中,执行上述方法实施例中AMF节点的功能。该通信设备1200可以包括收发器1210、处理器1220以及存储器1230。
应理解,图12所示的通信设备1200能够实现图4至图8所示方法实施例中涉及的AMF节点的各个过程。通信设备1200中的各个模块的操作和/或功能,分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
本申请实施例还提供了一种处理装置,包括处理器和(通信)接口;所述处理器用于执行上述任一方法实施例中的方法。
应理解,上述处理装置可以是一个或多个芯片。例如,该处理装置可以是现场可编程门阵列(field programmable gate array,FPGA),可以是专用集成芯片(applicationspecific integrated circuit,ASIC),还可以是***芯片(system on chip,SoC),还可以是中央处理器(central processor unit,CPU),还可以是网络处理器(networkprocessor,NP),还可以是数字信号处理电路(digital signal processor,DSP),还可以是微控制器(micro controller unit,MCU),还可以是可编程控制器(programmable logicdevice,PLD)或其他集成芯片。
根据本申请实施例提供的方法,本申请还提供一种计算机程序产品,该计算机程序产品包括:计算机程序代码,当该计算机程序代码由一个或多个处理器执行时,使得包括该处理器的装置执行图4至图8所示实施例中的方法。
本申请实施例提供的技术方案可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、终端设备、核心网设备、机器学习设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriberline,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,数字视频光盘(digital video disc,DVD))、或者半导体介质等。
根据本申请实施例提供的方法,本申请还提供一种计算机可读存储介质,该计算机可读存储介质存储有程序代码,当该程序代码由一个或多个处理器运行时,使得包括该处理器的装置执行图4至图8所示实施例中的方法。
根据本申请实施例提供的方法,本申请还提供一种***,其包括前述的一个或多个网络设备。还***还可以进一步包括前述的一个或多个终端设备。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (34)

1.一种切换场景下的安全配置方法,其特征在于,包括:
目标接入网节点接收第一消息,所述第一消息用于指示终端设备从源接入网节点切换至所述目标接入网节点,其中,所述第一消息包括第一信息,所述第一信息用于指示使用与所述源接入网节点相同的数据无线承载的用户面安全配置;
所述目标接入网节点发送所述第一消息的响应消息,所述响应消息包括第二信息,所述第二信息用于指示所述目标接入网节点的第二数据无线承载的用户面安全配置,其中,所述目标接入网节点的第二数据无线承载的用户面安全配置和所述源接入节点的第一数据无线承载的用户面安全配置相同。
2.根据权利要求1所述的方法,其特征在于,所述第二数据无线承载为所述第一数据无线承载由所述源接入网节点切换至所述目标接入网节点后的数据无线承载。
3.根据权利要求1或2所述的方法,其特征在于,所述第一信息包括所述第一数据无线承载的标识信息和双激活协议栈切换指示,所述双激活协议栈切换指示用于指示所述第一数据无线承载使用双激活协议栈切换。
4.根据权利要求3所述的方法,其特征在于,所述第一消息包括所述第一数据无线承载的用户面安全配置,所述方法还包括:
所述目标接入网节点根据所述双激活协议栈切换指示,确定所述第二数据无线承载的用户面安全配置与所述第一数据无线数据承载的用户面安全配置相同;
所述目标接入网节点根据所述第一数据无线承载的用户面安全配置,配置所述第二数据无线承载的用户面安全,或配置所述第二数据无线承载对应的协议数据单元会话中的数据无线承载的用户面安全。
5.根据权利要求1或2所述的方法,其特征在于,所述第一信息包括用户面安全激活状态,所述用户面安全激活状态用于指示所述第一数据无线承载的用户面安全激活状态或所述第一数据无线承载对应的协议数据单元会话的用户面安全激活状态。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述目标接入网节点根据所述用户面安全激活状态,确定所述第二数据无线承载的用户面安全配置。
7.根据权利要求6所述的方法,其特征在于,所述第一消息包括所述第一数据无线承载的用户面安全配置,所述方法还包括:
所述目标接入网节点将所述第二数据无线承载的用户面安全配置与所述第一数据无线承载的用户面安全配置比对,
若比对的结果为不相同,则所述第二信息包括所述第二数据无线承载的用户面安全配置,
若比对的结果为相同,则所述第二信息指示对所述第二数据无线承载使用与所述第一数据无线承载相同的用户面安全配置。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述第一消息包括第一用户面安全策略,所述第一用户面安全策略为所述第一数据无线承载的用户面安全策略,或者所述第一用户面安全策略为所述第一数据无线承载对应的协议数据单元会话的用户面安全策略。
9.根据权利要求8所述的方法,其特征在于,所述第一用户面安全策略指示推荐使用安全保护。
10.根据权利要求1至9中任一项所述的方法,其特征在于,
所述第二信息指示对所述目标接入网节点的第二所述数据无线承载使用与所述源接入网节点的第一数据无线承载的相同的用户面安全配置,或者,
所述第二信息包括所述第二数据无线承载的用户面安全配置。
11.根据权利要求1至10中任一项所述的方法,其特征在于,所述方法还包括:
在所述目标接入网节点接收到来自所述终端设备的无线资源控制重配置完成消息后,所述目标接入网节点根据第二用户面安全策略,更新所述第二数据无线承载的用户面安全配置,其中,所述第二用户面安全策略为所述目标接入网节点的第二数据无线承载的用户面安全策略或所述第二数据无线承载对应的协议数据单元会话的用户面安全策略。
12.根据权利要求1至11中任一项所述的方法,其特征在于,所述方法还包括:
所述目标接入网节点向所述终端设备发送所述目标接入网节点的第二数据无线承载更新后的用户面安全配置。
13.根据权利要求12所述的方法,其特征在于,所述更新后的用户面安全配置承载在资源释放消息中。
14.根据权利要求1至13中任一项所述的方法,其特征在于,
所述第一消息来自所述源接入网节点,所述目标接入网节点发送所述响应消息包括:所述目标接入网节点向所述源接入网节点发送所述响应消息,或者,
所述第一消息来自核心网节点,所述目标接入网节点发送所述响应消息包括:所述目标接入网节点向所述核心网节点发送所述响应消息。
15.一种切换场景下的安全配置方法,其特征在于,包括:
源接入网节点发送第一消息,所述第一消息用于指示终端设备从所述源接入网节点切换至目标接入网节点,其中,所述第一消息包括第一信息,所述第一信息用于指示使用与所述源接入网节点相同的数据无线承载的用户面安全配置;
所述源接入网节点接收所述第一消息的响应消息,所述响应消息包括第二信息,所述第二信息用于指示所述目标接入网节点的第二数据无线承载的用户面安全配置,其中,所述目标接入网节点的第二数据无线承载的用户面安全配置和所述源接入节点的第一数据无线承载的用户面安全配置相同。
16.根据权利要求15所述的方法,其特征在于,所述第二数据无线承载为所述第一数据无线承载由所述源接入网节点切换至所述目标接入网节点后的数据无线承载。
17.根据权利要求15或16所述的方法,其特征在于,所述方法还包括:
所述源接入网节点向所述终端设备发送第二消息,所述第二消息用于指示所述终端设备从所述源接入网节点切换至目标接入网节点,所述第二消息包括所述第二信息。
18.根据权利要求15至17中任一项所述的方法,其特征在于,所述第一信息包括所述第一数据无线承载的标识信息和双激活协议栈切换指示,所述双激活协议栈切换指示用于指示所述第一数据无线承载使用双激活协议栈切换。
19.根据权利要求15至17中任一项所述的方法,其特征在于,所述第一信息包括用户面安全激活状态,所述用户面安全激活状态用于指示所述第一数据无线承载的用户面安全激活状态或所述第一数据无线承载对应的协议数据单元会话的用户面安全激活状态。
20.根据权利要求19所述的方法,其特征在于,所述方法还包括:
在确定所述第一数据无线承载使用双激活协议栈切换的情况下,所述源接入网节点确定所述第一消息中包括所述第一信息。
21.根据权利要求15至20中任一项所述的方法,其特征在于,所述第一消息包括所述第一数据无线承载的用户面安全配置,和/或,所述第一消息包括所述第一用户面安全策略,所述第一用户面安全策略为所述第一数据无线承载的用户面安全策略,或者所述第一数据无线承载对应的协议数据单元会话的用户面安全策略。
22.根据权利要求21所述的方法,其特征在于,所述第一用户面安全策略指示推荐使用安全保护。
23.根据权利要求15至22中任一项所述的方法,其特征在于,所述方法还包括:
在所述第一用户面安全策略指示推荐使用安全保护的情况下,所述源接入网节点确定所述第一消息中包括所述第一信息,其中,所述第一用户面安全策略为所述第一数据无线承载的用户面安全策略,或者所述第一数据无线承载对应的协议数据单元会话的用户面安全策略。
24.根据权利要求15至23中任一项所述的方法,其特征在于,
所述第二信息指示对所述目标接入网节点的第二所述数据无线承载使用与所述源接入网节点的第一数据无线承载的相同的用户面安全配置,或者,
所述第二信息包括所述第二数据无线承载的用户面安全配置。
25.根据权利要求15至24中任一项所述的方法,其特征在于,
所述响应消息来自所述目标接入网节点,所述源接入网节点发送第一消息,包括:所述源接入网节点向所述目标接入网节点发送所述第一消息;或者,
所述响应消息来自核心网节点,所述源接入网节点发送第一消息,包括:所述源接入网节点向所述核心网节点发送所述第一消息。
26.一种切换场景下的安全配置方法,其特征在于,包括:
终端设备接收来自源接入网设备的无线资源配置消息,所述无线资源配置消息包括第二信息,所述第二信息用于指示所述目标接入网节点的第二数据无线承载的用户面安全配置,其中,所述第二数据无线承载的用户面安全配置和所述源接入节点的第一数据无线承载的用户面安全配置相同;
所述终端设备接收来自所述目标接入网节点的资源释放消息,所述资源释放消息包括第三信息,所述第三信息用于指示所述目标接入网节点的第二数据无线承载更新后的用户面安全配置。
27.根据权利要求26所述的方法,其特征在于,所述第二信息指示对所述目标接入网节点的第二所述数据无线承载使用与所述源接入网节点的第一数据无线承载的相同的用户面安全配置,或者,
所述第二信息包括所述第二数据无线承载的用户面安全配置。
28.一种通信装置,其特征在于,包括处理器和存储器,所述存储器和所述处理器耦合,所述处理器用于执行如权利要求1至14中任一项所述的方法。
29.一种通信装置,其特征在于,包括处理器和存储器,所述存储器和所述处理器耦合,所述处理器用于执行如权利要求15至25中任一项所述的方法。
30.一种通信装置,其特征在于,包括处理器和存储器,所述存储器和所述处理器耦合,所述处理器用于执行如权利要求26或27所述的方法。
31.根据权利要求30所述的装置,其特征在于,所述通信装置配置于终端设备,或所述通信装置为终端设备。
32.一种计算机可读存储介质,其特征在于,包括计算机程序,当其在计算机上运行时,使得所述计算机执行如权利要求1至27中任一项所述的方法。
33.一种芯片,其特征在于,包括至少一个处理器和通信接口,所述处理器利用所述通信接口,执行权利要求1至27中任一项所述的方法。
34.一种计算机程序产品,其特征在于,所述计算机程序产品包括:计算机程序,当所述计算机程序被运行时,使得计算机执行如权利要求1至27中任一项所述的方法。
CN202110489097.7A 2021-04-29 2021-04-29 切换场景下的安全配置方法和通信装置 Pending CN115277035A (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN202110489097.7A CN115277035A (zh) 2021-04-29 2021-04-29 切换场景下的安全配置方法和通信装置
PCT/CN2022/081556 WO2022227919A1 (zh) 2021-04-29 2022-03-17 切换场景下的安全配置方法和通信装置
EP22794396.6A EP4319046A1 (en) 2021-04-29 2022-03-17 Security configuration method and communication apparatus in switching scene
US18/495,995 US20240056907A1 (en) 2021-04-29 2023-10-27 Security configuration method in handover scenario and communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110489097.7A CN115277035A (zh) 2021-04-29 2021-04-29 切换场景下的安全配置方法和通信装置

Publications (1)

Publication Number Publication Date
CN115277035A true CN115277035A (zh) 2022-11-01

Family

ID=83745392

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110489097.7A Pending CN115277035A (zh) 2021-04-29 2021-04-29 切换场景下的安全配置方法和通信装置

Country Status (4)

Country Link
US (1) US20240056907A1 (zh)
EP (1) EP4319046A1 (zh)
CN (1) CN115277035A (zh)
WO (1) WO2022227919A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1937840B (zh) * 2005-09-19 2011-04-13 华为技术有限公司 一种移动终端切换过程中获得安全联盟信息的方法及装置
CN114500008A (zh) * 2017-09-30 2022-05-13 华为技术有限公司 通信方法、装置和***
CN110167018B (zh) * 2018-02-11 2021-12-10 华为技术有限公司 一种安全保护的方法、装置及接入网设备
CN110831007B (zh) * 2018-08-10 2021-09-17 华为技术有限公司 用户面完整性保护方法、装置及设备

Also Published As

Publication number Publication date
US20240056907A1 (en) 2024-02-15
WO2022227919A1 (zh) 2022-11-03
EP4319046A1 (en) 2024-02-07

Similar Documents

Publication Publication Date Title
CN108366401B (zh) 基站以及可在两基站间切换的通信装置
WO2019062996A1 (zh) 一种安全保护的方法、装置和***
WO2019184832A1 (zh) 一种密钥生成方法和相关装置
KR102164823B1 (ko) 통합 코어 망 서비스 이용방법과 이를 위한 통합 제어장치 및 그 시스템
US10812973B2 (en) System and method for communicating with provisioned security protection
CN112105065B (zh) 通信方法和通信装置
CN111641947B (zh) 密钥配置的方法、装置和终端
EP3629538B1 (en) Communication method and apparatus
CN108307456B (zh) 消息的识别方法和装置
WO2018166338A1 (zh) 一种秘钥更新方法及装置
WO2019219752A1 (en) Conditional connection and tunnel setup for small data transmission
WO2018202131A1 (zh) 通信方法、装置及***
CN113841366B (zh) 通信方法及装置
CN112019489B (zh) 验证方法及装置
CN111436078B (zh) 通信方法和网络设备
WO2021238813A1 (zh) 一种获取密钥的方法及装置
WO2022227919A1 (zh) 切换场景下的安全配置方法和通信装置
WO2021201729A1 (en) Faster release or resume for ue in inactive state
WO2023213209A1 (zh) 密钥管理方法及通信装置
CN110830996A (zh) 一种密钥更新方法、网络设备及终端
WO2024065765A1 (zh) 安全建立的方法、通信方法及装置
US20230156653A1 (en) Network requested registration procedure initiation
KR20230040361A (ko) 데이터 전송 방법 및 관련 장치
AU2022305545A1 (en) Communication mode switching method and related apparatus
CN115484565A (zh) 一种业务转移方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination