Область техники, к которой относится изобретение
Настоящее изобретение относится к области технологий связи и, в частности, к способу защиты безопасности и устройству, и сетевому устройству доступа.
Уровень техники
В архитектуре с двойным соединением оконечное устройство может осуществлять доступ как к главной станции, так и к вторичной станции. В стандарте «Долгосрочное развитие» (long term evolution, LTE) архитектуры двойного соединения, и главная станция и вторичная станция являются усовершенствованными узлами NodeB (evolved NodeB, eNB или eNodeB) в сети 4-го поколения (4th generation, 4G). В этой архитектуре главная станция может быть представлена как главный eNodeB или MeNB, и вторичная станция может быть представлена как вторичный eNodeB или SeNB. Подобно LTE, сеть 5-го поколения (5th generation, 5G) также может поддерживать технологию двойного соединения. В архитектуре с двойным соединением в 5G сети и главная станция, и вторичная станция могут быть базовыми станциями следующего поколения (next generation node base station, gNB) в 5G сети. В качестве альтернативы главная станция является gNB в 5G сети и вторичная станция является eNB в 4G сети. В качестве альтернативы главная станция является eNB в 4G сети, и вторичная станция является gNB в 5G сети.
В архитектуре с двойным соединением сетевое устройство может передавать данные плоскости пользователя в оконечное устройство, используя главную станцию и вторичную станцию. В 4G сети, следует ли использовать защиту безопасности плоскости пользователя, является фиксированным аспектом. Следовательно, в LTE архитектуре двойного соединения определяется, следует ли использовать вторичную станцию для защиты безопасности плоскости пользователя. Однако в 5G сети при необходимости может быть использована защита безопасности плоскости пользователя. Следовательно, в архитектуре сети 5G двойного соединения, если в 5G сети по-прежнему используется 4G технология двойного соединения, защита безопасности плоскости пользователя не может быть применена надлежащим образом.
Раскрытие сущности изобретения
Настоящее изобретение обеспечивает способ защиты безопасности и устройство, и сетевое устройство доступа для решения технической задачи, заключающейся в том, что защита безопасности плоскости пользователя предшествующего уровня техники не может быть использована надлежащим образом.
Согласно первому аспекту вариант осуществления настоящего раскрытия обеспечивает способ защиты безопасности. Настоящий способ применяется к сценарию с двойным соединением. Сценарий включает в себя первое сетевое устройство доступа и второе сетевое устройство доступа, первое сетевое устройство доступа является вторичной станцией в двойном соединении, и второе сетевое устройство доступа является главной станцией в двойном соединении. Способ включает в себя:
прием первым сетевым устройством доступа первого сообщения от второго сетевого устройства доступа, где первое сообщение передает политику безопасности плоскости пользователя, и политика безопасности плоскости пользователя используется для указания типа защиты безопасности плоскости пользователя, которая должна быть инициирована первым сетевым устройством доступа; и затем определение первым сетевым устройством доступа алгоритма безопасности плоскости пользователя на основании политики безопасности плоскости пользователя, если первое сетевое устройство доступа может идентифицировать политику безопасности плоскости пользователя; или определение первым сетевым устройством доступа алгоритма безопасности плоскости пользователя на основании политики безопасности плоскости пользователя по умолчанию, если первое сетевое устройство доступа не может идентифицировать политику безопасности плоскости пользователя. В качестве варианта, первое сетевое устройство доступа может дополнительно определять ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя. Согласно этому способу, когда первое сетевое устройство доступа может идентифицировать политику безопасности плоскости пользователя из второго сетевого устройства доступа, первое сетевое устройство доступа может определять алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя из второго сетевого устройства доступа, чтобы использовать алгоритм безопасности плоскости пользователя, как требуется. Если первое сетевое устройство доступа не может идентифицировать политику безопасности плоскости пользователя из второго сетевого устройства доступа, первое сетевое устройство доступа может дополнительно определить алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя по умолчанию. Это обеспечивает безопасность данных плоскости пользователя, передаваемых между первым сетевым устройством доступа и оконечным устройством.
Первое сетевое устройство доступа может быть SN, и SN является вторичной станцией с двойным соединением или множественными соединениями. SN может быть 5G базовой станцией gNB или 4G базовой станцией eNB; или может быть non-3GPP технологией доступа, например, технологией доступа Wi-Fi или технологией доступа к фиксированной сети; или сетевой элемент, который имеет функцию шлюза и который относится к non-3GPP технологии доступа, например, N3IWF сетевой элемент в 5G сети, ePDG в 4G сети или FMIF, доступ к которому осуществляется 5G фиксированной сетью. еNB может быть дополнительно классифицирован на усовершенствованный eNB или исходный eNB. Усовершенствованный eNB также может называться обновленным eNB, и исходный eNB также может называться унаследованным eNB. Усовершенствованный eNB означает, что eNB может идентифицировать сигнализацию, которая может быть идентифицирована 5G gNB, а также имеет связанную функцию 5G gNB. Например, усовершенствованный eNB поддерживает интерфейс Xn и может идентифицировать весь контент интерфейса Xn. В качестве другого примера усовершенствованный eNB поддерживает защиту целостности плоскости пользователя и может идентифицировать политику безопасности.
Второе сетевое устройство доступа может быть MN, и MN является главной станцией (то есть, master station) с двойным соединением или множественным соединением. Функция второго сетевого устройства доступа может заключаться в определении, следует ли использовать режим двойного соединения или множественного соединения для обслуживания оконечного устройства для пересылки данных. MN дополнительно может быть станцией, которая однозначно взаимодействует с основным сетевым элементом плоскости управления. В качестве варианта, MN может быть 5G базовой станцией gNB, 4G базовой станцией LTE eNB или усовершенствованной 4G базовой станцией e-eNB или NR-eNB; или может быть non-3GPP технологией доступа, например, технологией доступа Wi-Fi или технологией доступа к фиксированной сети; или сетевой элемент, который имеет функцию шлюза и который относится к non-3GPP технологии доступа, например, сетевой элемент N3IWF в 5G сети, ePDG в 4G сети или FMIF, доступ к которому осуществляется 5G фиксированной сетью.
В возможной реализации, первое сообщение дополнительно передает информацию гранулярности, соответствующую политике безопасности плоскости пользователя. В этом случае, первое сетевое устройство доступа и второе сетевое устройство доступа выполняют защиту безопасности данных плоскости пользователя с одинаковой гранулярностью, используя один и тот же тип алгоритма безопасности плоскости пользователя. Следовательно, отсутствует случай, в котором оконечному устройству необходимо выполнить проверку безопасности данных плоскости пользователя с одинаковой гранулярностью с использованием различных типов алгоритмов безопасности плоскости пользователя, и сложность обработки оконечного устройства не увеличивается.
В качестве варианта, информация гранулярности, соответствующая политике безопасности плоскости пользователя, представляет гранулярность, на которой может использоваться политика безопасности плоскости пользователя. Информация гранулярности может быть любым одним или более из PDU идентификатора сеанса, QoS параметра (например, QFI), информации сегмента (например, идентификатор сегмента), 5-кортежной информации и информация DN.
В возможной реализации первое сетевое устройство доступа может дополнительно передавать второе сообщение второму сетевому устройству доступа, где второе сообщение является сообщением ответа для первого сообщения, второе сообщение передает первую информацию указания, и первая информация указания используется для указания типа защиты безопасности плоскости пользователя, которая должна быть инициирована оконечным устройством. Согласно этому способу, после определения алгоритма безопасности плоскости пользователя, первое сетевое устройство доступа уведомляет оконечное устройство о типе защиты безопасности плоскости пользователя, подлежащий инициированию, так что оконечное устройство и первое сетевое устройство доступа могут использовать один и то же тип защиты безопасности плоскости пользователя, и оконечное устройство может выполнять проверку безопасности данных плоскости пользователя, на которых выполняется защита безопасности, с использованием первого сетевого устройства доступа.
В качестве варианта, тип защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством, указанным первой информацией указания, может быть таким же или отличаться от типа защиты безопасности плоскости пользователя, подлежащий инициированию первым сетевым устройством доступа, указанный политикой безопасности плоскости пользователя. Если первое сетевое устройство доступа определяет алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя, то тип защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством, указанный первой информацией указания, будет таким же, как тип защиты безопасности плоскости пользователя, подлежащий инициированию первым сетевым устройством доступа, указанным политикой безопасности плоскости пользователя. Если первое сетевое устройство доступа не определяет алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя, то тип защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством, указанным первой информацией указания, отличается от типа защиты безопасности плоскости пользователя, подлежащий инициированию первым сетевым устройством доступа, указанным политикой безопасности плоскости пользователя.
В возможной реализации второе сообщение дополнительно передает один или оба из алгоритма безопасности плоскости пользователя, определенного первым сетевым устройством доступа, и информацию гранулярности, которая соответствует первой информации указания. Можно понять, что после приема второго сообщения второе сетевое устройство доступа может передать оконечному устройству один или оба из алгоритма безопасности плоскости пользователя, определенного первым сетевым устройством доступа, и информацию гранулярности, которая соответствует первой информации указания. Следовательно, оконечное устройство может сгенерировать ключ плоскости пользователя, используя тот же алгоритм безопасности плоскости пользователя, что и алгоритм первого сетевого устройства доступа, и выполнить проверку безопасности на принятых данных плоскости пользователя на основании информации гранулярности.
В возможной реализации первое сообщение дополнительно передает тип разгрузки двойного соединения, и тип разгрузки представляет собой разгрузку на основании вторичной станции или разгрузку на основании двух станций.
Разгрузка на основании вторичной станции означает, что защита безопасности выполняется с использованием ключа плоскости пользователя вторичной станции для данных плоскости пользователя, которые должны быть переданы UPF сетевым элементом на оконечное устройство. Разгрузка на основании двух станций означает, что защита безопасности выполняется с использованием плоскости пользователя главной станции для данных, пересылаемых главной станцией на оконечное устройство, и защита безопасности выполняется с использованием плоскости пользователя вторичной станции, на данных, переданных вторичной станцией на оконечное устройство.
В возможной реализации первое сетевое устройство доступа может дополнительно передавать третье сообщение на оконечное устройство, где третье сообщение передает вторую информацию указания, и вторая информация указания используется для указания типа защиты безопасности плоскости пользователя, инициируемый оконечным устройством. Согласно этому способу, первое сетевое устройство доступа может напрямую уведомлять оконечное устройство о типе защиты безопасности плоскости пользователя, подлежащем инициированию, при этом тип защиты безопасности плоскости пользователя, подлежащий инициированию, не требует пересылки вторым сетевым устройством доступа, тем самым, снижая объем служебной сигнализации. Дополнительно, оконечное устройство и первое сетевое устройство доступа обеспечивают один и тот же тип защиты безопасности плоскости пользователя, так что оконечное устройство может выполнять проверку безопасности для данных плоскости пользователя, на которых выполняется защита безопасности, с использованием первого сетевого устройства доступа.
В возможной реализации третье сообщение дополнительно передает один или оба из алгоритма безопасности плоскости пользователя, определенного первым сетевым устройством доступа, и информацию гранулярности, которая соответствует второй информации указания.
В возможной реализации тип разгрузки представляет собой разгрузку главной станции, и первое сетевое устройство доступа может принять четвертое сообщение из второго сетевого устройства доступа, где четвертое сообщение передает тип разгрузки. Разгрузка главной станции означает, что главная станция выполняет защиту данных плоскости пользователя, которые должны быть переданы UPF сетевым элементом на оконечное устройство. Согласно способу, второе сетевое устройство доступа может уведомить, используя четвертое сообщение, первое сетевое устройство доступа, что тип разгрузки является разгрузкой главной станции, так что первому сетевому устройству доступа не нужно определять алгоритм безопасности плоскости пользователя.
Согласно второму аспекту вариант осуществления настоящего раскрытия обеспечивает способ защиты безопасности. Этот способ применяется к сценарию с двойным соединением. Сценарий включает в себя первое сетевое устройство доступа и второе сетевое устройство доступа. Первое сетевое устройство доступа является вторичной станцией при двойном соединении, и второе сетевое устройство доступа является главной станцией при двойном соединении. Способ включает в себя:
получение вторым сетевым устройством доступа политики безопасности плоскости пользователя и передачу вторым сетевым устройством доступа первого сообщения первому сетевому устройству доступа, где первое сообщение передает политику безопасности плоскости пользователя. Политика безопасности плоскости пользователя используется для указания типа защиты безопасности плоскости пользователя, который подлежит инициированию вторым сетевым устройством доступа. Согласно способу, второе сетевое устройство доступа может указывать тип защиты безопасности плоскости пользователя, который подлежит инициированию первым сетевым устройством доступа, путем передачи первого сообщения в первое сетевое устройство доступа. Затем первое сетевое устройство доступа может определять алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя из второго сетевого устройства доступа, так что алгоритм безопасности плоскости пользователя инициируется, как требуется.
В возможной реализации первое сообщение дополнительно передает информацию гранулярности, соответствующую политике безопасности плоскости пользователя. В этом случае, первое сетевое устройство доступа и второе сетевое устройство доступа выполняют защиту данных плоскости пользователя с одинаковой гранулярностью, используя один и тот же тип алгоритма безопасности плоскости пользователя. Следовательно, не возникает случай, в котором оконечному устройству необходимо выполнить проверку безопасности для данных плоскости пользователя с одинаковой гранулярностью, с использованием различных типов алгоритмов безопасности плоскости пользователя, и сложность обработки оконечного устройства не увеличивается.
В возможной реализации первое сообщение дополнительно передает тип разгрузки двойного соединения, и тип разгрузки представляет собой разгрузку на основании вторичной станции или разгрузку на основании двух станций.
В возможной реализации второе сетевое устройство доступа может дополнительно принимать второе сообщение из первого сетевого устройства доступа, где второе сообщение является сообщением ответа для первого сообщения, второе сообщение передает первую информацию указания, и первая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию оконечным устройством.
В возможной реализации, после того, как второе сетевое устройство доступа принимает второе сообщение из первого сетевого устройства доступа, второе сетевое устройство доступа может передать третье сообщение на оконечное устройство, где третье сообщение передает вторую информацию указания, и вторая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию оконечным устройством. Согласно этому способу, после определения алгоритма безопасности плоскости пользователя первое сетевое устройство доступа уведомляет оконечное устройство о типе защиты безопасности плоскости пользователя, подлежащий инициированию, так что оконечное устройство и первое сетевое устройство доступа используют один и тот же тип защиты безопасности плоскости пользователя, и оконечное устройство может выполнять проверку безопасности данных плоскости пользователя, на которых выполняется защита безопасности, с использованием первого сетевого устройства доступа.
В возможной реализации, прежде чем второе сетевое устройство доступа передаст третье сообщение на оконечное устройство, второе сетевое устройство доступа определяет первую информацию указания как вторую информацию указания, если первая информация указания согласуется с политикой безопасности плоскости пользователя. В качестве альтернативы второе сетевое устройство доступа отклоняет доступ первого сетевого устройства доступа, если первая информация указания несовместима с политикой безопасности плоскости пользователя. Согласно этому способу, перед тем как уведомить оконечное устройство о типе защиты безопасности плоскости пользователя, подлежащнм инициированию, второе сетевое устройство доступа проверяет первую информацию указания, чтобы можно было гарантировать, что оконечное устройство и первое сетевое устройство доступа использует тот же тип защиты безопасности плоскости пользователя.
В возможной реализации, прежде чем второе сетевое устройство доступа передаст третье сообщение в оконечное устройство, второе сетевое устройство доступа проверяет, принята ли первая информация указания из первого сетевого устройства доступа, и определяет первую информацию указания как вторую информацию указания, если второе сетевое устройство доступа принимает первую информацию указания из первого сетевого устройства доступа; или определяет, на основании первого сообщения, является ли первое сетевое устройство доступа унаследованным eNB, если второе сетевое устройство доступа не принимает вторую информацию указания из первого сетевого устройства доступа, и проверяет политику безопасности плоскости пользователя, если первое сетевое устройство доступа является унаследованным eNB.
Если политика безопасности плоскости пользователя предоставляет защиту шифрования плоскости пользователя и не обеспечивает защиту целостности плоскости пользователя, второе сетевое устройство доступа генерирует вторую информацию указания на основании политики безопасности плоскости пользователя. Вторая информация указания используется, чтобы указать оконечному устройству использовать защиту шифрования плоскости пользователя, но не использовать защиту целостности плоскости пользователя.
В качестве альтернативы, если политика безопасности плоскости пользователя не предоставляет защиту шифрования плоскости пользователя, но обеспечивает защиту целостности плоскости пользователя, второе сетевое устройство доступа отклоняет доступ первого сетевого устройства доступа.
В качестве альтернативы, если политика безопасности плоскости пользователя не обеспечивает защиту шифрования плоскости пользователя, но обеспечивает защиту целостности плоскости пользователя, второе сетевое устройство доступа изменяет политику безопасности плоскости пользователя, чтобы предоставить защиту шифрования плоскости пользователя и не использовать защиту целостности плоскости пользователя, и дополнительно генерирует вторую информацию указания на основании измененной политики безопасности плоскости пользователя. Вторая информация указания используется для указания оконечному устройству инициировать защиту шифрования плоскости пользователя, но не инициировать защиту целостности плоскости пользователя.
В другой возможной реализации, прежде чем второе сетевое устройство доступа передаст третье сообщение в оконечное устройство, второе сетевое устройство доступа определяет, разрешено ли политике безопасности плоскости пользователя быть несовместимой с первой информацией указания.
Если второе сетевое устройство доступа позволяет политике безопасности плоскости пользователя быть несовместимой с первой информацией указания, второе сетевое устройство доступа использует первую информацию указания в качестве второй информации указания.
В качестве альтернативы, если второе сетевое устройство доступа не позволяет политике безопасности плоскости пользователя быть несовместимой с первой информацией указания, и второе сетевое устройство доступа определяет, что первая информация указания согласуется с политикой безопасности плоскости пользователя, второе сетевое устройство доступа использует первую информацию указания в качестве второй информации указания.
В качестве альтернативы, если второе сетевое устройство доступа не позволяет политике безопасности плоскости пользователя быть несовместимой с первой информацией указания, и второе сетевое устройство доступа определяет, что первая информация указания несовместима с политикой безопасности плоскости пользователя, второе сетевое устройство доступа отклоняет доступ первого сетевого устройства доступа.
В возможной реализации тип разгрузки является разгрузкой на основании вторичной станции, и после того, как второе сетевое устройство доступа принимает второе сообщение из первого сетевого устройства доступа, второе сетевое устройство доступа может использовать первую информацию указания в качестве второй информация указания.
В возможной реализации, прежде чем второе сетевое устройство доступа передаст первое сообщение первому сетевому устройству доступа, второе сетевое устройство доступа может определить, что тип разгрузки двойного соединения является разгрузкой на основании вторичной станции.
Согласно третьему аспекту вариант осуществления настоящего раскрытия обеспечивает способ защиты безопасности. Этот способ применяется к сценарию с двойным соединением. Сценарий включает в себя первое сетевое устройство доступа и второе сетевое устройство доступа. Первое сетевое устройство доступа является вторичной станцией в двойном соединении, и второе сетевое устройство доступа является главной станцией в двойном соединении. Способ включает в себя: передачу первым сетевым устройством доступа первого сообщения в основное сетевое устройство, где первое сообщение используется для запроса получения политики безопасности плоскости пользователя, политика безопасности плоскости пользователя используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию. Затем первое сетевое устройство доступа принимает второе сообщение из основного сетевого устройства, где второе сообщение передает политику безопасности плоскости пользователя, и первое сетевое устройство доступа определяет алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя. Согласно способу, первое сетевое устройство доступа может запросить получение политики безопасности плоскости пользователя из основного сетевого устройства, и затем определить алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя. Чтобы быть конкретным, первое сетевое устройство доступа определяет тип защиты безопасности плоскости пользователя, подлежащий инициированию, на основании политики безопасности плоскости пользователя вместо прямого использования фиксированного типа защиты безопасности плоскости пользователя, так что инициируется защита безопасности плоскости пользователя, как требуется.
В качестве варианта, первое сетевое устройство доступа является SN, второе сетевое устройство доступа является MN и основное сетевое устройство является SMF сетевой элемент.
Конкретная реализация, в которой первое сетевое устройство доступа передает первое сообщение основному сетевому устройству, выглядит следующим образом: первое сетевое устройство доступа передает первое сообщение в AMF сетевой элемент, и затем AMF сетевой элемент пересылает первое сообщение в SMF сетевой элемент.
Конкретная реализация, в которой основное сетевое устройство передает второе сообщение первому сетевому устройству доступа, выглядит следующим образом: SMF сетевой элемент передает второе сообщение в AMF сетевой элемент, и AMF сетевой элемент пересылает второе сообщение в первое сетевое устройство доступа.
В возможной реализации первое сетевое устройство доступа определяет ключ плоскости пользователя на основании алгоритма безопасности плоскости пользователя.
В возможной реализации, прежде чем первое сетевое устройство доступа передаст первое сообщение в основное сетевое устройство, первое сетевое устройство доступа принимает третье сообщение от второго сетевого устройства доступа, и третье сообщение передает информацию гранулярности защиты безопасности плоскости пользователя.
В качестве варианта, основное сетевое устройство может выбрать на основании информации гранулярности политику безопасности плоскости пользователя, соответствующую информации гранулярности. Другими словами, политика безопасности плоскости пользователя во втором сообщении является политикой безопасности плоскости пользователя, соответствующей информации гранулярности.
В возможной реализации, после того, как первое сетевое устройство доступа определяет алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя, первое сетевое устройство доступа может передавать информацию указания в оконечное устройство, и информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию оконечным устройством.
В качестве варианта, тип защиты безопасности плоскости пользователя, подлежащий инициированию первым сетевым устройством доступа, указанный политикой безопасности плоскости пользователя, является таким же, как тип защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством, указанный информацией указания, но способ указания политики безопасности плоскости пользователя и способ указания информации указания могут быть одинаковыми или могут быть разными.
Согласно четвертому аспекту вариант осуществления настоящего раскрытия обеспечивает способ защиты безопасности. Этот способ применяется к сценарию с двойным соединением. Сценарий включает в себя первое сетевое устройство доступа и второе сетевое устройство доступа, первое сетевое устройство доступа является вторичной станцией в двойном соединении, и второе сетевое устройство доступа является главной станцией в двойном соединении. Способ включает в себя: прием основным сетевым устройством первого сообщения из первого сетевого устройства доступа, где первое сообщение используется для запроса получения политики безопасности плоскости пользователя, и политика безопасности плоскости пользователя используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию; и затем передачу основным сетевым устройством политики безопасности плоскости пользователя в первое сетевое устройство доступа. Согласно этому способу, первое сетевое устройство доступа может запросить получение политики безопасности плоскости пользователя из основного сетевого устройства, и основное сетевое устройство может предоставить политику безопасности плоскости пользователя для первого сетевого устройства доступа, так что первое сетевое устройство может определять алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя. Другими словами, первое сетевое устройство доступа определяет тип защиты безопасности плоскости пользователя, подлежащий инициированию, на основании политики безопасности плоскости пользователя вместо прямого инициирования фиксированного типа защиты безопасности плоскости пользователя, чтобы была инициирована защита безопасности плоскости пользователя, как требуется.
В возможной реализации первое сообщение дополнительно передает информацию гранулярности, и основное сетевое устройство может определять политику безопасности плоскости пользователя на основании информации гранулярности и дополнительно передавать второе сообщение в первое сетевое устройство доступа, где второе сообщение передает политику безопасности плоскости пользователя, соответствующую информации гранулярности.
Согласно пятому аспекту вариант осуществления настоящего раскрытия обеспечивает способ защиты безопасности. Этот способ применяется к сценарию с двойным соединением. Сценарий включает в себя первое сетевое устройство доступа и второе сетевое устройство доступа, первое сетевое устройство доступа является вторичной станцией в двойном соединении, и второе сетевое устройство доступа является главной станцией в двойном соединении. Способ включает в себя: прием оконечным устройством информации указания из первого сетевого устройства доступа или второго сетевого устройства доступа, где информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством; и затем определение оконечным устройством алгоритма безопасности плоскости пользователя на основании информации указания. Согласно этому способу оконечное устройство может определять алгоритм безопасности плоскости пользователя на основании информации указания, так что оконечное устройство использует тот же алгоритм безопасности, что и алгоритм первого сетевого устройства доступа, и дополнительно может выполнять проверку безопасности на данных плоскости пользователя, на которых инициируется защита безопасности с использованием первого сетевого устройства доступа.
Согласно шестому аспекту вариант осуществления настоящего раскрытия обеспечивает устройство. Устройство имеет функцию реализации поведения первого сетевого устройства доступа в вышеупомянутых реализациях способа. Функция может быть реализована аппаратным обеспечением или может быть реализована аппаратным обеспечением, выполняющим соответствующее программное обеспечение. Аппаратное обеспечение или программное обеспечение включает в себя один или более модулей, соответствующих вышеуказанной функции. Например, устройство может быть первым сетевым устройством доступа или микросхемой в первом сетевом устройстве доступа.
В возможной реализации устройство является сетевым устройством доступа, и сетевое устройство доступа является первым сетевым устройством доступа. Первое сетевое устройство доступа включает в себя процессор, и процессор выполнен с возможностью поддерживать первое сетевое устройство доступа при выполнении соответствующих функций в вышеупомянутых способах. Кроме того, первое сетевое устройство доступа может дополнительно включать в себя передатчик и приемник. Передатчик и приемник выполнены с возможностью поддерживать связь между первым сетевым устройством доступа и оконечным устройством и связь между вторым сетевым устройством доступа и основным сетевым устройством. Кроме того, первое сетевое устройство доступа может дополнительно включать в себя память, и эта память выполнена с возможностью: быть подключенной к процессору и хранить программные инструкции и данные, необходимые для оконечного устройства.
Согласно седьмому аспекту вариант осуществления настоящего раскрытия обеспечивает устройство. Устройство имеет функцию реализации поведения второго сетевого устройства доступа в вышеупомянутых конструкциях способа. Функция может быть реализована аппаратным обеспечением или может быть реализована аппаратным обеспечением, выполняющим соответствующее программное обеспечение. Аппаратное обеспечение или программное обеспечение включает в себя один или более модулей, соответствующих вышеуказанной функции. Например, устройство может быть вторым сетевым устройством доступа или микросхемой во втором сетевом устройстве доступа.
В возможной реализации устройство является сетевым устройством доступа, и сетевое устройство доступа является вторым сетевым устройством доступа. Второе сетевое устройство доступа включает в себя процессор, и процессор выполнен с возможностью поддерживать второе сетевое устройство доступа в выполнении соответствующих функций в вышеупомянутых способах. Кроме того, второе сетевое устройство доступа может дополнительно включать в себя передатчик и приемник. Передатчик и приемник выполнены с возможностью поддерживать связь между вторым сетевым устройством доступа и оконечным устройством и связь между первым сетевым устройством доступа и основным сетевым устройством. Кроме того, второе сетевое устройство может дополнительно включать в себя память, и память выполнена с возможностью: быть подключенной к процессору и хранить программные инструкции и данные, необходимые для оконечного устройства.
Согласно восьмому аспекту вариант осуществления настоящего раскрытия обеспечивает устройство. Устройство имеет функцию реализации поведения основного сетевого устройства в вышеупомянутых конструкциях способов. Функция может быть реализована аппаратным обеспечением или может быть реализована аппаратным обеспечением, выполняющим соответствующее программное обеспечение. Аппаратное обеспечение или программное обеспечение включает в себя один или более модулей, соответствующих вышеуказанной функции. Например, устройство может быть основным сетевым устройством или может быть микросхемой в основном сетевом устройстве.
В возможной реализации устройство является основным сетевым устройством, и основное сетевое устройство включает в себя процессор. Процессор выполнен с возможностью поддерживать основное сетевое устройство при выполнении соответствующих функций в вышеупомянутых способах. Кроме того, основное сетевое устройство может дополнительно включать в себя передатчик и приемник. Передатчик и приемник выполнены с возможностью поддерживать связь между основным сетевым устройством и первым сетевым устройством доступа и связь между основным сетевым устройством и вторым сетевым устройством доступа. Кроме того, основное сетевое устройство может дополнительно включать в себя память, и эта память выполнена с возможностью: быть подключенной к процессору и хранить программные инструкции и данные, необходимые для оконечного устройства.
Согласно девятому аспекту вариант осуществления настоящего раскрытия обеспечивает устройство. Устройство имеет функцию реализации поведения оконечного устройства в вышеупомянутых реализациях способов. Функция может быть реализована аппаратным обеспечением или может быть реализована аппаратным обеспечением, выполняющим соответствующее программное обеспечение. Аппаратное обеспечение или программное обеспечение включает в себя один или более модулей, соответствующих вышеуказанной функции. Например, устройство может быть оконечным устройством или может быть микросхемой в оконечном устройстве.
В возможной реализации устройство представляет собой оконечное устройство, и оконечное устройство включает в себя процессор. Процессор выполнен с возможностью поддерживать оконечного устройства при выполнении соответствующих функций в вышеупомянутых способах. Кроме того, оконечное устройство может дополнительно включать в себя передатчик и приемник. Передатчик и приемник выполнены с возможностью поддерживать связь между оконечным устройством и первым сетевым устройством доступа и связь между оконечным устройством и вторым сетевым устройством доступа. Кроме того, оконечное устройство может дополнительно включать в себя память, и память выполнена с возможностью: быть подключенной к процессору и хранить программные инструкции и данные, необходимые для оконечного устройства.
Согласно десятому аспекту вариант осуществления настоящего раскрытия обеспечивает систему связи. Система включает в себя оконечное устройство, первое сетевое устройство доступа и второе сетевое устройство доступа в вышеупомянутых аспектах. В качестве варианта, система может дополнительно включать в себя основное сетевое устройство и оконечное устройство, первое сетевое устройство доступа и второе сетевое устройство доступа в вышеупомянутых аспектах.
Согласно одиннадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает компьютерный носитель данных, выполненный с возможностью хранить инструкцию компьютерного программного обеспечения, используемую вышеупомянутым первым сетевым устройством доступа. Инструкция компьютерного программного обеспечения включает в себя программу, предназначенную для выполнения первого и третьего аспектов.
Согласно двенадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает компьютерный носитель данных, выполненный с возможностью хранить инструкцию компьютерного программного обеспечения, используемую вышеупомянутым вторым сетевым устройством доступа. Инструкция компьютерного программного обеспечения включает в себя программу, предназначенную для выполнения второго аспекта.
Согласно тринадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает компьютерный носитель данных, выполненный с возможностью хранить инструкцию компьютерного программного обеспечения, используемую вышеупомянутым основным сетевым устройством. Инструкция компьютерного программного обеспечения включает в себя программу, предназначенную для выполнения четвертого аспекта.
Согласно четырнадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает компьютерный носитель данных, выполненный с возможностью хранить инструкции компьютерного программного обеспечения, используемую вышеупомянутым оконечным устройством. Инструкции компьютерного программного обеспечения включают в себя программу, предназначенную для выполнения пятого аспекта.
Согласно пятнадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает компьютерный программный продукт, включающий в себя инструкции. Когда компьютерный программный продукт выполняется на компьютере, компьютер выполняет способы согласно первому аспекту и третьему аспекту.
Согласно шестнадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает компьютерный программный продукт, включающий в себя инструкции. Когда компьютерный программный продукт выполняется на компьютере, компьютер выполняет способ в соответствии со вторым аспектом.
Согласно семнадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает компьютерный программный продукт, включающий в себя инструкции. Когда компьютерный программный продукт выполняется на компьютере, компьютер выполняет способ в соответствии с четвертым аспектом.
Согласно восемнадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает компьютерный программный продукт, включающий в себя инструкции. Когда компьютерный программный продукт выполняется на компьютере, компьютер выполняет способ в соответствии с пятым аспектом.
Согласно девятнадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает систему микросхем, применяемую к первому сетевому устройству доступа. Система микросхем включает в себя, по меньшей мере, один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и по меньшей мере один процессор соединены друг с другом линиями связи. По меньшей мере, одна память хранит инструкции. Инструкции выполняются процессором для выполнения операций первого сетевого устройства доступа в способах согласно первому аспекту и третьему аспекту.
Согласно двадцатому аспекту вариант осуществления настоящего раскрытия обеспечивает систему микросхем, применяемую ко второму сетевому устройству доступа. Система микросхем включает в себя, по меньшей мере, один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и по меньшей мере один процессор соединены друг с другом линиями связи. По меньшей мере, одна память хранит инструкции. Инструкции выполняются процессором для выполнения операций второго сетевого устройства доступа в способе согласно второму аспекту.
Согласно двадцать первому аспекту вариант осуществления настоящего раскрытия обеспечивает систему микросхем, применяемую к основному сетевому устройству, где система микросхем включает в себя по меньшей мере один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и, по меньшей мере, один процессор соединены друг с другом линиями связи. По меньшей мере, одна память хранит инструкции. Инструкции выполняются процессором для выполнения операций основного сетевого устройства в способе согласно четвертому аспекту.
Согласно двадцать второму аспекту вариант осуществления настоящего раскрытия обеспечивает систему микросхем, применяемую к оконечному устройству, где система микросхем включает в себя по меньшей мере один процессор, память и схему приемопередатчика. Память, схема приемопередатчика и по меньшей мере один процессор соединены друг с другом линиями связи. По меньшей мере, одна память хранит инструкции. Инструкции выполняются процессором для выполнения операций оконечного устройства в способе согласно пятому аспекту.
Согласно способу защиты безопасности, обеспечиваемому в вариантах осуществления настоящего раскрытия, второе сетевое устройство доступа может передавать политику безопасности плоскости пользователя первому сетевому устройству доступа, и затем первое сетевое устройство доступа может определять алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя. Чтобы быть конкретным, первое сетевое устройство доступа определяет тип защиты безопасности плоскости пользователя, подлежащий инициированию, на основании политики безопасности плоскости пользователя вместо прямой активации фиксированного типа защиты безопасности плоскости пользователя, так что используется защита плоскости пользователя как требуется.
Краткое описание чертежей
Фиг. 1 является схемой архитектуры LTE двойного соединения согласно варианту осуществления настоящего раскрытия;
Фиг. 2 является схемой архитектуры 5G двойного соединения согласно варианту осуществления настоящего раскрытия;
Фиг. 3 является схемой другой архитектуры 5G двойного соединения согласно варианту осуществления настоящего раскрытия;
Фиг. 4 является схемой еще одной архитектуры 5G двойного соединения согласно варианту осуществления настоящего раскрытия;
Фиг. 5 является блок-схемой алгоритма способа защиты безопасности согласно варианту осуществления настоящего раскрытия;
Фиг. 6 является блок-схемой алгоритма другого способа защиты безопасности согласно варианту осуществления настоящего раскрытия;
Фиг. 7 является блок-схемой алгоритма другого способа защиты безопасности согласно варианту осуществления настоящего раскрытия;
Фиг. 8 является блок-схемой алгоритма другого способа защиты безопасности согласно варианту осуществления настоящего раскрытия;
Фиг. 9 является блок-схемой алгоритма другого способа защиты безопасности согласно варианту осуществления настоящего раскрытия;
Фиг. 10 является блок-схемой алгоритма другого способа защиты безопасности согласно варианту осуществления настоящего раскрытия;
Фиг. 11 является схемой устройства согласно варианту осуществления настоящего раскрытия;
Фиг. 12 является схемой сетевого устройства доступа согласно варианту осуществления настоящего раскрытия;
Фиг. 13 является схемой другого устройства согласно варианту осуществления настоящего раскрытия; и
Фиг. 14 является схемой оконечного устройства согласно варианту осуществления настоящего раскрытия.
Описание вариантов осуществления
Далее настоящее изобретение подробно описывается со ссылкой на прилагаемые чертежи. Конкретный способ работы в вариантах осуществления способа может также применяться к варианту осуществления устройства или варианту осуществления системы. В описаниях настоящего раскрытия, если не указано иное, «по меньшей мере, один» означает один или более, и «множество» означает два или более. «/» означает «или». Например, A/B может представлять A или B. «и/или» в этой спецификации описывает только отношения ассоциации для описания связанных объектов и представляет, что могут существовать три отношения. Например, A и/или B могут представлять следующие три случая: существует только A, существуют и A, и B, и существует только B. А и В могут быть в единственном или множественном числе. «По меньшей мере, один (один фрагмент) из следующего» или аналогичное его выражение относится к любой комбинации этих элементов, включающую в себя любую комбинацию отдельных элементов (фрагментов) или множественных элементов (фрагментов). Например, по меньшей мере, один (один фрагмент) a, b и c может представлять: a, b, c, a и b, a и c, b и c, или a, b и c, где a, b и c может быть в единственном или множественном числе. Дополнительно, чтобы четко описать технические решения в вариантах осуществления настоящего раскрытия, в вариантах осуществления настоящего раскрытия используются такие термины, как «первый» и «второй», чтобы различать одинаковые элементы или аналогичные элементы, которые имеют в основном одинаковые функции и назначения. Специалист в данной области техники может понять, что такие термины, как «первый» и «второй», не предназначены для ограничения количества или последовательности выполнения; и такие термины, как «первый» и «второй», не указывают на определенное различие.
Сетевая архитектура и сценарий обслуживания, описанные в вариантах осуществления настоящего раскрытия, предназначены для более ясного описания технических решений в вариантах осуществления настоящего раскрытия и не представляют собой ограничения технических решений, представленных в вариантах осуществления настоящего раскрытия. Специалист в данной области техники может знать, что: с развитием сетевой архитектуры и появлением новых сценариев обслуживания технические решения, представленные в вариантах осуществления настоящего раскрытия, также применимы к аналогичным техническим задачам.
Следует отметить, что в настоящем изобретении слово «пример» или «например» используется для представления примера, иллюстрации или описания. Любой вариант осуществления или схема реализации, описанные как «пример» или «например» в настоящем изобретении, не следует объяснять как более предпочтительные или имеющие больше преимуществ, чем другой вариант осуществления или схема реализации. Точно, использование слов «пример», «например» и т.п. предназначено для представления связанной концепции определенным образом.
Следует отметить, что в настоящем изобретении «из (английский: of)», «соответствующий (английский: corresponding, relevant)» и «соответствующий (английский corresponding)» могут иногда использоваться взаимозаменяемо. Следует отметить, что последовательные значения используются, когда различия не подчеркиваются.
Перед тем, как технические решения настоящего раскрытия будут подробно описаны, для простоты понимания, сначала описывается сценарий, к которому применяются варианты осуществления настоящего раскрытия.
Как показано на фиг. 1, фиг. 1 является архитектурой с LTE двойным соединением (dual connectivity, DC). Архитектура включает в себя объект управления мобильностью (mobility management entity, MME), обслуживающий шлюз (serving gateway, SGW), MeNB, SeNB и оконечное устройство. На фиг. 1 сплошная линия представляет взаимодействие плоскости сигнализации, и пунктирная линия представляет взаимодействие плоскости пользователя.
Оконечное устройство в настоящем изобретении представляет собой устройство, имеющее функцию беспроводного приемопередатчика, и может быть развернуто на суше, включающее в себя внутреннее или наружное устройство, портативное устройство или установленное на транспортном средстве устройство. Его также можно развернуть на поверхности воды (например, на корабле) или в воздухе (например, на самолетах, воздушных шарах, спутниках и т.д.). Оконечное устройство может включать в себя различные типы устройства пользователя (user equipment, UE), мобильный телефон (mobile phone), планшет (pad), компьютер с функцией беспроводного приемопередатчика, беспроводную карту данных, оконечное устройство виртуальной реальности (virtual reality, VR), оконечное устройство с дополненной реальностью (augmented reality, AR), оконечное устройство связи машинного типа (machine type communication, MTC), оконечное устройство в промышленном управлении (industrial control), оконечное устройство в автономном режиме управления (self-driving), оконечное устройство в удаленной медицине (remote medical), оконечное устройство в интеллектуальной сети (smart grid), оконечное устройство в транспортной безопасности (transportation safety), оконечное устройство в системе «умный город» (smart city)), носимое устройство (например, умные часы, умный браслет или шагомер) и т. п. В системах, использующих разные технологии радиодоступа, названия устройств, имеющих аналогичные функции беспроводной связи, могут быть разными. Только для простоты описания в вариантах осуществления настоящего раскрытия вышеупомянутые устройства, имеющие функции связи беспроводного приемопередатчика, все вместе называются оконечными устройствами.
В частности, оконечное устройство хранит долгосрочный ключ и связанную с ним функцию. При выполнении двунаправленной аутентификации с помощью основного сетевого элемента (например, MME в 4G) оконечное устройство может проверять подлинность сети, используя долгосрочный ключ и связанную функцию.
MeNB является главной станцией в LTE DC архитектуре. Главная станция может выполнять взаимодействие сигнализации плоскости управления с MME или может выполнять взаимодействие данных плоскости пользователя с SGW.
SeNB является вторичной станцией в LTE DC архитектуре, и главная станция может определять, активировать ли вторичную станцию. Вторичная станция не выполняет сигнальное взаимодействие с MME. Следовательно, вторичная станция не может получить доступ к MME. Между вторичной станцией и главной станцией существует взаимодействие плоскости сигнализации и взаимодействие плоскости пользователя, и вторичная станция может дополнительно напрямую выполнять взаимодействие плоскости пользователя с SGW.
MME является основным сетевым элементом в 4G сети и, в основном, выполнен с возможностью осуществлять доступ к оконечному устройству, управлять мобильностью и управлять сеансом. В LTE DC архитектуре существует соединение плоскости управления между MME и главной станцией, и отсутствует соединение плоскости управления между MME и вторичной станцией.
SGW представляет собой сетевой элемент, выполненный с возможностью пересылать данные плоскости пользователя. В LTE DC архитектуре SGW может быть подключен только к главной станции или может быть подключен как к главной станции, так и к вторичной станции. Если SGW подключен только к главной станции, SGW передает данные плоскости пользователя в главную станцию, главная станция пересылает некоторые данные плоскости пользователя на вторичную станцию, и вторичная станция пересылает данные в оконечное устройство. Когда SGW подключен как к главной станции, так и к вторичной станции, SGW может передавать некоторые данные плоскости пользователя в главную станцию и передавать некоторые другие данные плоскости пользователя во вторичную станцию.
В дополнение к LTE DC архитектуре, показанной на фиг. 1, варианты осуществления настоящего раскрытия дополнительно обеспечивают три возможных 5G архитектуры двойного соединения:
Первая архитектура с 5G двойным соединением показана на фиг. 2. И главная, и вторичная станция являются 5G gNB сети. Главная станция может быть представлена как главный gNB или MgNB, и вторичная станция может быть представлена как вторичный gNB или SgNB.
Вторая архитектура с 5G двойным соединением показана на фиг. 3. Главная станция является 5G gNB сети, и главная станция может быть представлена как главный gNB или MgNB. Вторичная станция является eNB LTE сети, и вторичная станция может быть представлена как вторичный eNB или SeNB.
Третья архитектура с 5G двойным соединением показана на фиг. 4. Главная станция является eNB в LTE сети, и главная станция может быть представлена как главный eNB или MeNB. Вторичная станция является 5G gNB сети, и вторичная станция может быть представлена как второй gNB или SgNB.
eNB в архитектуре с 5G двойным соединением может быть исходным eNB в LTE сети и может упоминаться как унаследованный eNB. Унаследованный eNB не может идентифицировать случай, когда 5G модернизируется по сравнению с 4G, например, не может идентифицировать сигнализацию, специфичную для 5G.
В качестве альтернативы, eNB в архитектуре с 5G двойным соединением может быть усовершенствованным eNB, адаптированным к 5G сети, и может называться обновленным eNB. В качестве варианта, обновленный eNB может идентифицировать 5G формат сигнализации, но не может синхронно обновлять способ защиты безопасности. За исключением различий в спектре функции обновленного eNB и gNB одинаковы.
Следует отметить, что сплошные линии на фиг. 2, фиг. 3 и фиг. 4 все представляют взаимодействие плоскости сигнализации, и пунктирные линии представляют взаимодействие плоскости пользователя. В качестве варианта, на фиг. 2, может быть соединение плоскости сигнализации между SgNB и оконечным устройством, или может не быть соединение плоскости сигнализации. На фиг. 3, может быть соединение плоскости сигнализации между SeNB и оконечным устройством, или может не быть соединением плоскости сигнализации. На фиг. 4, может существовать соединение плоскости сигнализации между SgNB и оконечным устройством, или может не быть соединения плоскости сигнализации. Фиг. 2, фиг. 3 и фиг. 4 все используют пример, в котором существует соединение плоскости сигнализации между оконечным устройством и вторичной станцией для описания. Помимо главных и второстепенных станций, вышеупомянутые три архитектуры 5G двойного соединения также включают в себя следующие сетевые элементы:
Сетевой элемент функции управления доступом и мобильностью (access and mobility management function, AMF) является сетевым элементом, выполненный с возможностью управлять мобильностью и реализации другой функции, отличной от управления сеансом, в объекте управления мобильностью (mobility management entity, MME), например, такие функции, как законный перехват и авторизация доступа.
Сетевой элемент функции управления сеансом (session management function, SMF) выполнен с возможностью выделять ресурс сеанса плоскости пользователя.
Сетевой элемент функции плоскости пользователя (user plane function, UPF) является выходом для данных плоскости пользователя и выполнен с возможностью соединять с внешней сетью.
Оконечное устройство хранит долгосрочный ключ и связанную с ним функцию. Когда оконечное устройство выполняет взаимную аутентификацию с основным сетевым элементом (например, AMF сетевой элемент в 5G, сетевой элемент функции сервера аутентификации (authentication server function, AUSF), сетевой элемент принимающей функции привязки безопасности (security anchor function, SEAF) и т.п.), подлинность сети может быть проверена с помощью долгосрочного ключа и соответствующей функции.
В архитектуре с 5G двойным соединением данные плоскости пользователя UPF сетевого элемента необходимо передавать в оконечное устройство с использованием главной станции и вторичной станции. Этот вариант осуществления настоящего раскрытия обеспечивает три способа для передачи данных плоскости пользователя в оконечное устройство, то есть, три типа разгрузки. Каждому типу разгрузки может соответствовать один сценарий реализации.
Сценарий 1: тип разгрузки является разгрузкой главной станции, и может упоминаться как канал передачи основной группы сот (master cell group bearer, MCG). Особенностью разгрузки главной станции является то, что защита безопасности выполняется с использованием плоскости пользователя главной станции, то есть, UPF сетевой элемент передает данные плоскости пользователя в главную сеть доступа (master access network, MN). MN выполняет защиту безопасности данных плоскости пользователя, используя плоскость пользователя MN, и передает данные плоскости пользователя, которые должны быть переадресованы вторичной сетью доступа (secondary access network, SN) в SN. В этом сценарии данные плоскости пользователя, отправленные MN и SN в оконечное устройство, являются данными плоскости пользователя, для которых защита безопасности выполняется с использованием плоскости пользователя MN, и оконечное устройство выполняет проверку безопасности для принятых данных плоскости пользователя с использованием используя только плоскость пользователя MN.
Следует отметить, что MN является главной станцией с двойным соединением или множественным соединением. Функция MN может заключаться в определении, инициировать ли режим двойного соединения или режим множественного соединения для обслуживания оконечного устройства для пересылки данных. MN дополнительно может быть станцией, которая однозначно взаимодействует с основным сетевым элементом плоскости управления.
В качестве варианта, MN может быть 5G базовой станцией gNB, 4G базовой станцией LTE eNB или усовершенствованной 4G базовой станцией e-eNB или NR-eNB; или может быть технологией доступа проектом партнерства non-3 поколения (non-3rd generation partnership project, non-3GPP), например, технологией доступа Wi-Fi или технологией доступа к фиксированной сети; или сетевой элемент, который имеет функцию шлюза и который находится в non-3GPP технологии доступа, например, сетевой элемент с функцией взаимодействия non-3GPP (non-3GPP interworking function, N3IWF) в 5G сети, или усовершенствованный шлюз пакетных данных (evolved packaged data gateway, ePDG) в 4G сети или функция 5G фиксированного мобильного взаимодействия (FMIF) c доступом 5G фиксированной сетью.
SN может быть 5G базовой станцией gNB или 4G базовой станцией eNB. еNB может быть дополнительно классифицирована на усовершенствованный eNB или исходный eNB. Усовершенствованный eNB также может называться обновленным eNB, и исходный eNB также может называться унаследованным eNB. Усовершенствованный eNB означает, что eNB может идентифицировать сигнализацию, которая может быть идентифицирована 5G gNB, и также имеет связанную функцию 5G gNB. Например, усовершенствованный eNB поддерживает интерфейс Xn и может идентифицировать весь контент интерфейса Xn. В качестве другого примера усовершенствованный eNB поддерживает защиту целостности плоскости пользователя и может идентифицировать политику безопасности. SN также может быть технологией доступа проектом партнерства non-3 поколения (non-3rd generation partnership project, non-3GPP), например, технологией доступа Wi-Fi или технологией доступа к фиксированной сети; или сетевой элемент, который имеет функцию шлюза и который находится в non-3GPP технологии доступа, например, сетевой элемент с функцией взаимодействия non-3GPP (non-3GPP interworking function, N3IWF) в 5G сети, ePDG в 4G сети или FMIF с доступом 5G фиксированной сетью.
В качестве варианта, MN может пониматься, как общий термин главной станции (например, MgNB или MeNB), и SN может пониматься, как общий термин вторичной станции (например, SgNB или SeNB).
Сценарий 2: Тип разгрузки является разгрузкой на основании вторичной станции и может упоминаться как канал вторичной группы сот (secondary cell group bearer, SCG bearer). Особенностью разгрузки на основании вторичной станции является то, что защита безопасности выполняется с использованием плоскости пользователя вторичной станции, то есть, UPF сетевой элемент передает данные плоскости пользователя в SN. SN выполняет защиту безопасности данных плоскости пользователя, используя плоскость пользователя SN, и передает данные плоскости пользователя, которые должны быть переданы MN в оконечное устройство, в MN. В этом сценарии, данные плоскости пользователя, отправленные MN и SN в оконечное устройство, являются данными плоскости пользователя, для которых защита безопасности выполняется с использованием плоскости пользователя SN, и оконечное устройство выполняет проверку безопасности на принятых данных плоскости пользователя, используя только плоскость пользователя SN.
Сценарий 3: тип разгрузки представляет собой разгрузку на основании двух станций и может упоминаться как разделенный канал (SPLIT bearer). Особенностью разгрузки на основании двух станций является то, что защита безопасности выполняется с использованием плоскости пользователя MN для данных плоскости пользователя, отправленных MN в оконечное устройство, и защита безопасности выполняется с использованием плоскости пользователя SN на данных плоскости пользователя, отправленных SN в оконечное устройство. Во-первых, UPF сетевой элемент передает данные плоскости пользователя в MN. MN не выполняет защиту безопасности для некоторых данных плоскости пользователя, которые должны быть переданы SN в оконечное устройство, и передает данные плоскости пользователя в SN. В качестве альтернативы UPF сетевой элемент передает данные плоскости пользователя в SN, и SN не выполняет защиту безопасности для некоторых данных плоскости пользователя, которые должны быть переданы MN в оконечное устройство, и передает данные плоскости пользователя в MN. В качестве альтернативы UPF сетевой элемент передает данные плоскости пользователя, которые должны быть переданы MN оконечному устройству, в MN, и передает данные плоскости пользователя, которые должны быть переданы SN в оконечное устройство, в SN. Затем MN выполняет защиту безопасности некоторых данных плоскости пользователя, используя плоскость пользователя MN, и передает данные плоскости пользователя в оконечное устройство. SN выполняет защиту безопасности для некоторых других данных плоскости пользователя, используя плоскость пользователя SN, и передает данные другой плоскости пользователя в оконечное устройство. Соответственно, оконечное устройство выполняет проверку безопасности для данных плоскости пользователя из MN, используя плоскость пользователя MN, и выполняет проверку безопасности для данных плоскости пользователя из SN, используя плоскость пользователя SN.
Со ссылкой на фиг.1-фиг.4, вариант осуществления настоящего раскрытия обеспечивает способ защиты безопасности. Этот способ используется для инициирования безопасности плоскости пользователя, как требуется. В этом варианте осуществления настоящего раскрытия 5G сетевая архитектура используется только в качестве примера для описания того, как инициировать безопасность плоскости пользователя в соответствии с требованиями сетевой архитектуры с двойным или множественным соединением. Инициирование безопасности плоскости пользователя, как требуется, означает, что конкретный тип защиты безопасности плоскости пользователя определяется на основании информации, имеющей функцию указания. В настоящем изобретении для описания используется пример, в котором информация, имеющая функцию указания, является политикой безопасности плоскости пользователя. Способ может применяться к сценарию двойного соединения и может быть специально применен к процедуре установления двойного соединения. Сценарий двойного соединения включает в себя первое сетевое устройство доступа и второе сетевое устройство доступа. Первое сетевое устройство доступа является вторичной станцией в архитектурах с двойным соединением на фиг. 2 - фиг. 4 и далее именуется SN. Второе сетевое устройство доступа является главной станцией в архитектурах с двойным соединением на фиг. 2 - фиг. 4, и далее именуется MN.
В возможной реализации способ может применяться к вышеупомянутому сценарию 2 и сценарию 3. Как показано на фиг. 5, способ включает следующие этапы.
Этап 501: установить соединение управления радиоресурсами (radio resource control, RRC) между оконечным устройством и MN.
Этап 502: MN передает сообщение запроса доступа вторичной станции в SN. Соответственно, SN принимает сообщение запроса доступа вторичной станции из MN.
Сообщение запроса доступа вторичной станции передает корневой ключ, используемый SN, и возможности безопасности оконечного устройства. В качестве варианта, сообщение запроса доступа вторичной станции может дополнительно передавать любую одну или более политику безопасности плоскости пользователя, информацию гранулярности, соответствующую политике безопасности плоскости пользователя, и тип разгрузки. В качестве варианта, может существовать одна или более групп политик безопасности плоскости пользователя и информации гранулярности, которые соответствуют политикам безопасности плоскости пользователя. В качестве варианта, сообщение запроса доступа вторичной станции может дополнительно передавать информацию указания, указывающую, может ли SN не соответствовать политике безопасности плоскости пользователя.
Если SN является SgNB, сообщение запроса доступа является запросом добавления SgNB, корневой ключ SN является S-KgNB, и возможность безопасности оконечного устройства является возможностью безопасности 5G оконечного устройства.
Если SN является SeNB, сообщение запроса доступа представляет собой запрос добавления SeNB, корневой ключ SN является S-KeNB, и возможность безопасности оконечного устройства представляет собой возможности безопасности развитой системы пакетной передачи (evolved packet system, EPS) оконечного устройства.
Если SN является WLAN завершением (WT), сообщение запроса доступа является запросом добавления S-WT, корневой ключ SN является S-KWT, и возможность безопасности оконечного устройства является 5G возможностью безопасности оконечного устройства.
Возможности безопасности оконечного устройства включают в себя, по меньшей мере, алгоритм безопасности, поддерживаемый оконечным устройством, и алгоритм безопасности может быть любым симметричным алгоритмом или асимметричным алгоритмом, поддерживаемым 5G сетью или будущей сетью. Алгоритм безопасности, поддерживаемый оконечным устройством, включает в себя, по меньшей мере, алгоритм безопасности плоскости пользователя, который может использоваться для защиты безопасности плоскости пользователя.
Алгоритм безопасности плоскости пользователя является алгоритмом безопасности, используемым для безопасности плоскости пользователя. Если алгоритм безопасности используется для безопасности плоскости пользователя, алгоритм безопасности может быть алгоритмом безопасности плоскости пользователя. Алгоритм безопасности плоскости пользователя включает в себя один или оба из алгоритма шифрования плоскости пользователя и алгоритма безопасности целостности плоскости пользователя.
Политика безопасности плоскости пользователя используется для указания типа защиты безопасности плоскости пользователя, подлежащий инициированию посредством SN. Тип защиты безопасности плоскости пользователя включает в себя защиту шифрования плоскости пользователя и защиту целостности плоскости пользователя. Гранулярность защиты безопасности на уровне пользователя, которую необходимо инициировать, является информацией гранулярности, соответствующей политике безопасности. В частности, политика безопасности плоскости пользователя используется для указания, инициирует ли SN шифрование в плоскости пользователя и/или инициирует ли SN защиту целостности плоскости пользователя. Политика безопасности плоскости пользователя может быть отправлена SMF сетевым элементом в MN или может быть получена MN с использованием другого способа. Например, оператор может предварительно сконфигурировать политику безопасности плоскости пользователя для MN. MN может пересылать в SN без каких-либо изменений политику безопасности плоскости пользователя, отправленную SMF сетевым элементом в MN, или политику безопасности плоскости пользователя, предварительно сконфигурированную оператором, или может переслать политику безопасности плоскости пользователя, которая находится в другой форме, полученную после обработки. Функция политики безопасности плоскости пользователя в другой форме является такой же, как функция политики безопасности, отправляемой SMF сетевым элементом в MN. В этом варианте настоящего раскрытия предусмотрены следующие три способа указания:
Способ 1: указать, используя бит информации указания, инициированы ли защита шифрования плоскости пользователя и защита целостности плоскости пользователя.
Например, «01» указывает, что защита шифрования плоскости пользователя отключена, и защита целостности плоскости пользователя включена. «10» указывает, что защита шифрования плоскости пользователя включена, и защита целостности плоскости пользователя отключена. «11» указывает, что защита шифрования плоскости пользователя включена и включена защита целостности плоскости пользователя. «00» указывает, что защита шифрования плоскости пользователя отключена и защита целостности плоскости пользователя отключена.
Способ 2: указать, используя информацию алгоритма, инициирована ли защита шифрования плоскости пользователя и защита целостности плоскости пользователя.
Например, SN поддерживает восемь алгоритмов шифрования плоскости пользователя и восемь алгоритмов безопасности целостности плоскости пользователя. Идентификаторы восьми алгоритмов шифрования плоскости пользователя соответствуют соответственно EEA1 – EEA8, и IDs восьми алгоритмов безопасности целостности плоскости пользователя, соответственно, равны EIA1 – EIA8. Если политикой безопасности плоскости пользователя является «EEA1, EIA7», это означает, что SN необходимо инициировать защиту шифрования плоскости пользователя и защиту целостности плоскости пользователя, используемый алгоритм шифрования плоскости пользователя является EEA1 или алгоритм шифрования плоскости пользователя, аналогичный EEA1, и алгоритм безопасности целостности плоскости пользователя является EIA7 или алгоритм безопасности целостности плоскости пользователя подобен EIA7. Например, если EEA1 представляет 128-битный алгоритм шифрования плоскости пользователя, и EIA7 представляет 256-битный алгоритм безопасности целостности плоскости пользователя, если SN не может использовать EEA1, может использоваться другой 128-битный алгоритм шифрования плоскости пользователя или, если SN не может использовать EIA7, может использоваться другой 256-битный алгоритм безопасности целостности плоскости пользователя.
Дополнительно, в качестве варианта, EEA0 представляет, что защита шифрования плоскости пользователя не инициирована, а EIA0 представляет, что защита целостности плоскости пользователя не инициирована. В другом способе реализации, если политика безопасности плоскости пользователя содержит только один EEA, например EEA1, и не содержит никакого идентификатора EIA, политика безопасности плоскости пользователя используется для указания использования безопасности шифрования плоскости пользователя, но не для инициирования защиты целостности плоскости пользователя. Если политика безопасности плоскости пользователя содержит только один EIA, например EIA1, и не передает никакого идентификатора EEA, политика безопасности плоскости пользователя указывает не инициировать защиту шифрования плоскости пользователя, но инициировать защиту целостности плоскости пользователя.
Способ 3: указать, используя конкретный алгоритм, следует ли инициировать защиту шифрования плоскости пользователя и защиту целостности плоскости пользователя.
Следует отметить, что как способ 1, так и способ 2 описывают политику безопасности плоскости пользователя, принятую MN из SMF сетевого элемента, то есть, MN напрямую пересылает в SN политику безопасности плоскости пользователя, доставленную SMF сетевым элементом. Однако в способе 3, MN определяет алгоритм шифрования плоскости пользователя и/или алгоритм безопасности целостности плоскости пользователя на основании политики безопасности плоскости пользователя, предоставленной SMF сетевым элементом, и затем использует в качестве политики безопасности, отправленной в SN, алгоритм шифрования плоскости пользователя и/или алгоритм безопасности целостности плоскости пользователя, определенные на основании политики безопасности плоскости пользователя, которая доставляется SMF сетевым элементом.
Если политика безопасности плоскости пользователя, отправленная MN в SN, включает в себя алгоритм шифрования плоскости пользователя и алгоритм безопасности целостности плоскости пользователя, политика безопасности плоскости пользователя используется для указания SN инициировать защиту шифрования плоскости пользователя и защиту целостности плоскости пользователя и использовать алгоритм шифрования плоскости пользователя и алгоритм безопасности целостности плоскости пользователя в политике безопасности плоскости пользователя или аналогичный алгоритм.
Если политика безопасности плоскости пользователя, отправленная MN в SN, включает в себя только алгоритм шифрования плоскости пользователя, то политика безопасности плоскости пользователя используется для указания SN инициировать только защиту шифрования плоскости пользователя, но не инициировать только защиту целостности плоскости пользователя и использовать алгоритм шифрования плоскости пользователя в политике безопасности плоскости пользователя или алгоритм, аналогичный алгоритму шифрования плоскости пользователя.
Если политика безопасности плоскости пользователя, отправленная MN в SN, включает в себя только алгоритм безопасности целостности плоскости пользователя, политика безопасности плоскости пользователя используется для указания SN инициировать только защиту целостности плоскости пользователя, но не инициировать только защиту шифрования плоскости пользователя и использовать алгоритм безопасности целостности плоскости пользователя в политике безопасности плоскости пользователя или алгоритм, аналогичный алгоритму безопасности целостности плоскости пользователя. Информация гранулярности, соответствующая политике безопасности плоскости пользователя, представляет гранулярность, с которой может использоваться политика безопасности плоскости пользователя, и информация гранулярности может быть любым одним или несколькими из идентификатор сеанса блока пакетных данных (packet data unit, PDU), параметр качества обслуживания (quality of service, QoS), например, идентификатор потока обслуживания (quality of service flow identifier, QFI)), информация сегмента (например, a slice identifier), информация 5-кортежа и информация данных сети (data network, DN).
Очевидно, что, если информация гранулярности является идентификатором сеанса PDU, это означает, что политика безопасности плоскости пользователя применима к этому PDU сеансу. Если информация гранулярности представляет собой QFI, это означает, что политика безопасности плоскости пользователя применима к потоку QoS, соответствующему QFI. Если информация гранулярности представляет собой информацию 5-кортежа, это означает, что политика безопасности плоскости пользователя применима к потоку службы данных, соответствующему информации 5-кортежа. Если информация гранулярности является идентификатором сегмента, это означает, что политика безопасности плоскости пользователя применима к сегменту, соответствующему идентификатору сегмента. Если информация гранулярности является информацией DN, политика безопасности плоскости пользователя применима к DN, соответствующему информации DN. Если информация гранулярности представляет собой идентификационную информацию сегмента и идентификатор PDU сеанса, это означает, что политика безопасности плоскости пользователя применима к PDU сеансу в сегменте.
Следует отметить, что существует два возможных случая взаимосвязи между политикой безопасности плоскости пользователя и информацией гранулярности.
Случай 1: взаимосвязь между политикой безопасности плоскости пользователя и информацией гранулярности динамически изменяется. Например, каждый раз, когда SMF сетевой элемент устанавливает PDU сеанс, SMF сетевой элемент передает MN соответствие между политикой безопасности плоскости пользователя и информацией гранулярности. Можно понять, что в этом случае MN может передавать политику безопасности плоскости пользователя и информацию гранулярности, которые соответствуют выгружаемым данным плоскости пользователя, в SN, чтобы SN выполнял на основании политики безопасности плоскости пользователя и информация гранулярности защиту безопасности на выгружаемых данных плоскости пользователя. В качестве альтернативы MN передает множество политик безопасности плоскости пользователя и информацию гранулярности, соответствующую каждой из политик безопасности плоскости пользователя, в SN. Например, если между базовой станцией и оконечным устройством установлены три PDU сеанса, и каждый PDU сеанс соответствует одной политике безопасности плоскости пользователя, MN передает идентификаторы (то есть, информацию гранулярности) трех PDU сеансов и политику безопасности плоскости пользователя, соответствующую каждому из идентификаторов PDU сеанса, в SN.
Случай 2: взаимосвязь между политикой безопасности плоскости пользователя и информацией гранулярности фиксируется в пределах указанного периода времени. Например, информация гранулярности, соответствующая политике безопасности плоскости пользователя, является информацией DN, и оператор может сконфигурировать и доставить в указанный период времени с помощью системы управления сетью. Если конфигурация остается неизменной, политика безопасности плоскости пользователя применима к DN, соответствующему информации DN, в течение указанного периода времени. В качестве альтернативы указанный период времени может быть определен с помощью таймера. До истечения таймера соответствие между политикой безопасности плоскости пользователя и информацией гранулярности не меняется. Можно понять, что, если взаимосвязь между политикой безопасности плоскости пользователя и информацией гранулярности фиксирована в течение указанного периода времени, MN может передать фиксированную взаимосвязь между политикой безопасности плоскости пользователя и информацией гранулярности в SN.
Дополнительно, в варианте осуществления на фиг. 5, тип разгрузки является разгрузкой на основании вторичной станции или разгрузкой на основании двух станций.
Следует отметить, что, если SN является унаследованным eNB, SN может идентифицировать только связанную сигнализацию LTE сети и не может идентифицировать политику безопасности плоскости пользователя. В качестве варианта, SN может идентифицировать информацию гранулярности, соответствующую политике безопасности плоскости пользователя, чтобы установить тракт передачи к оконечному устройству на основании информации гранулярности, соответствующей политике безопасности плоскости пользователя.
LTE базовая станция использует интерфейс X2. Следовательно, унаследованный eNB подключается к MN с помощью интерфейса X2 или подключается к MN с помощью обновленного интерфейса Xn. Однако интерфейс Xn используется для взаимодействия между 5G базовыми станциями. Чтобы гарантировать, что способ безопасности, предусмотренный в этом варианте осуществления настоящего раскрытия, может поддерживать как режим двойного соединения, в котором SN является унаследованным eNB, так и архитектуру двойного соединения между 5G базовыми станциями, возможная реализация представляет собой: интерфейс Xn должен быть совместимым с контентом интерфейса X2, и интерфейс Xn дополнительно включает в себя новую функцию, отличную от производительности интерфейса X2. Политика безопасности плоскости пользователя, информация гранулярности, соответствующая политике безопасности плоскости пользователя, и тип разгрузки, которые отправляются MN в SN, должны быть переданы с использованием новой функции интерфейса Xn, отличной от производительности X2 интерфейс, но не может быть переданы с использованием совместимого контента интерфейса X2. Таким образом, унаследованный eNB обнаруживает, что известна вся сигнализация. Следует отметить, что в этом варианте осуществления настоящего раскрытия интерфейс Xn и интерфейс X2 используются в качестве примеров для описания. В качестве альтернативы интерфейс Xn может быть заменен другим новым интерфейсом в 5G сети, и интерфейс X2 может быть заменен унаследованным интерфейсом, который находится в LTE и не адаптирован к 5G сети.
В качестве варианта, после приема сообщения запроса доступа вторичной станции, часть контента в сообщении запроса доступа не может быть идентифицирована унаследованным eNB, и унаследованный eNB может удалить или зарезервировать неидентифицированную часть контента в сообщении. Другая часть контента в сообщении запроса доступа может быть идентифицирована и зарезервирована унаследованным eNB. В качестве варианта, часть или вся политика безопасности плоскости пользователя, информация гранулярности, соответствующая политике безопасности плоскости пользователя, и тип разгрузки помещаются в часть, которая может быть зарезервирована унаследованным eNB и которая находится в сообщении запроса доступа вторичной станции. Таким образом, в другом сценарии, например, в процессе хендовера обслуживающей базовой станции оконечного устройства, унаследованный eNB может продолжать передавать любую одну или более политик безопасности плоскости пользователя, при этом, информация гранулярности соответствует политике безопасности плоскости пользователя и типу разгрузки.
Например, если первые 16 бит в сообщении запроса доступа определенно хранятся унаследованным eNB, и только с первого по восьмой биты могут быть идентифицированы унаследованным eNB, политика безопасности плоскости пользователя, информация гранулярности, соответствующая политики безопасности плоскости пользователя, и тип разгрузки может передаваться в битах с девятого по шестнадцатый в сообщении запроса доступа.
Этап 503: SN определяет алгоритм безопасности плоскости пользователя.
В качестве варианта, SN может определять алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя. В качестве варианта, SN может дополнительно определять ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя.
В частности, в реализации, SN может определять на основании принятой возможности безопасности оконечного устройства и предварительно сконфигурированного списка приоритетов алгоритмов набор алгоритмов безопасности, которые поддерживаются оконечным устройством и имеют наивысший приоритет. Набор алгоритмов безопасности может использоваться как для безопасности плоскости сигнализации, так и безопасности плоскости пользователя. Алгоритмы безопасности, определенные SN, включают в себя, по меньшей мере, один алгоритм шифрования и один алгоритм безопасности целостности. После приема политики безопасности плоскости пользователя SN определяет алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя. Например, если политика безопасности плоскости пользователя дает указание инициировать защиту целостности плоскости пользователя, но не инициировать защиту шифрования плоскости пользователя, SN защищает данные плоскости пользователя с помощью определенного алгоритма безопасности целостности и не защищает данные плоскости пользователя, используя заданный алгоритм шифрования.
В другой реализации SN может определять, на основании политики безопасности плоскости пользователя, набор алгоритмов, используемых только для защиты безопасности плоскости пользователя. Например, SN выбирает алгоритм безопасности плоскости пользователя на основании возможностей безопасности оконечного устройства и предварительно сконфигурированного алгоритма безопасности или заранее сконфигурированного набора алгоритмов безопасности плоскости пользователя. Предварительно сконфигурированный алгоритм безопасности или набор предварительно сконфигурированных алгоритмов безопасности плоскости пользователя могут находиться в форме списка приоритетов, и предварительно сконфигурированный алгоритм или алгоритмы безопасности в предварительно сконфигурированном наборе алгоритмов безопасности плоскости пользователя сортируются в порядке убывания приоритетов. Предварительно сконфигурированный алгоритм безопасности плоскости пользователя, установленный в SN, включает в себя набор алгоритмов шифрования плоскости пользователя и набор алгоритмов безопасности целостности плоскости пользователя.
При приеме политики безопасности плоскости пользователя SN может выбрать алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя, возможностей безопасности оконечного устройства и предварительно сконфигурированного списка безопасности.
Например, если политика безопасности плоскости пользователя не передает конкретный алгоритм и используется только для указания типа алгоритма безопасности, который инициирован или нет, SN определяет, следует ли инициировать защиту шифрования плоскости пользователя, и защиту целостности плоскости пользователя на основании политики безопасности плоскости пользователя. Например, если политика безопасности плоскости пользователя дает указание инициировать защиту шифрования плоскости пользователя, но не инициировать защиту целостности плоскости пользователя, SN определяет алгоритм шифрования в плоскости пользователя на основании возможностей безопасности оконечного устройства и предварительно настроенного алгоритма шифрования или предварительно сконфигурированный алгоритм безопасности шифрования плоскости пользователя и определяет ключ шифрования плоскости пользователя на основании определенного алгоритма шифрования плоскости пользователя без необходимости определять алгоритм безопасности целостности плоскости пользователя и ключа безопасности целостности плоскости пользователя.
В качестве варианта, если плоскость пользователя и плоскость сигнализации совместно используют один набор алгоритмов безопасности, SN может определять, на основании политики безопасности плоскости пользователя, тип защиты безопасности плоскости пользователя, которую необходимо инициировать, и затем использовать в качестве алгоритма безопасности плоскости пользователя алгоритм безопасности плоскости сигнализации, соответствующий типу защиты безопасности плоскости пользователя, подлежащий инициированию. Например, если политика безопасности плоскости пользователя дает указание инициировать защиту шифрования плоскости пользователя, но не инициировать защиту целостности плоскости пользователя, SN может использовать алгоритм шифрования плоскости сигнализации и ключ шифрования плоскости сигнализации в качестве алгоритма шифрования плоскости пользователя и ключ шифрования плоскости пользователя.
В качестве варианта, если сообщение запроса доступа, принятое SN, передает информацию указания, указывающую, что SN должен соответствовать политике безопасности плоскости пользователя, SN должен определить алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя и определить ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя. Если SN не может выполнить защиту безопасности плоскости пользователя на основании политики безопасности (например, SN перегружен или SN не имеет аппаратных условий для выполнения безопасности шифрования плоскости пользователя или безопасности целостности плоскости пользователя), SN возвращает сообщение отклонения в MN. В качестве варианта, сообщение отклонения содержит значение причины отклонения.
Если сообщение запроса доступа, принятое SN, не передает информации указания, указывающей, может ли SN не соответствовать политике безопасности плоскости пользователя, SN по умолчанию выполняет защиту безопасности плоскости пользователя на основании политики безопасности плоскости пользователя. Если SN не может выполнить защиту безопасности плоскости пользователя на основании политики безопасности, SN может выбрать алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя по умолчанию и определить ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя. Политика безопасности плоскости пользователя по умолчанию может быть способом безопасности плоскости пользователя, предварительно сконфигурированным оператором или указанным в стандарте протокола. Например, политика безопасности плоскости пользователя по умолчанию, соответствующая унаследованному eNB, инициирует защиту шифрования плоскости пользователя и не инициирует защиту целостности плоскости пользователя. В другом примере для 5G N3IWF политика безопасности плоскости пользователя по умолчанию выполняет защиту данных плоскости пользователя с помощью безопасности интернет-протокола (internet protocol security, IPsec).
Этап 504: SN передает в MN сообщение подтверждения запроса доступа. Соответственно, MN принимает сообщение подтверждения запроса доступа от SN.
Если SN является SgNB, сообщение подтверждения запроса доступа является подтверждением запроса добавления SgNB. Если SN является SeNB, сообщение подтверждения запроса доступа является подтверждением запроса добавления SeNB. Если SN использует другой тип технологии доступа, сообщение подтверждения запроса доступа является сообщением ответа в соответствующей процедуре.
Сообщение подтверждения запроса доступа передает любой один или более из алгоритмов безопасности плоскости пользователя, выбранных SN, первую информацию указания, информацию гранулярности, соответствующую первой информации указания, и параметр генерирования ключа плоскости пользователя. Первая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством. Можно понять, что тип защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством, и который указывается первой информацией указания, является таким же, как тип защиты безопасности плоскости пользователя, инициированный посредством SN. В качестве варианта, тип, который является защитой безопасности плоскости пользователя, подлежащий инициированию оконечным устройством и который указывается первой информацией указания, может быть таким же или отличаться от типа, который представляет собой защиту безопасности плоскости пользователя, подлежащий инициированию посредством SN, и это указывается политикой безопасности плоскости пользователя. В частности, если SN инициирует защиту безопасности плоскости пользователя на основании политики безопасности плоскости пользователя, тип защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством, и который указывается в первой информации указания, совпадает с типом, который относится к защите безопасности плоскости пользователя, подлежащий инициированию посредством SN, и это указывается политикой безопасности плоскости пользователя; или, если SN не инициирует защиту безопасности плоскости пользователя на основании политики безопасности плоскости пользователя, то тип защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством и который указывается первой информацией указания, может отличаться от типа защиты безопасности плоскости пользователя, подлежащий инициированию посредством SN, и это указывается политикой безопасности плоскости пользователя.
В качестве варианта, если алгоритм безопасности плоскости сигнализации отличается от алгоритма безопасности плоскости пользователя, первая информация указания может быть алгоритмом безопасности плоскости пользователя, выбранным SN. Если алгоритм безопасности плоскости сигнализации такой же, как алгоритм безопасности плоскости пользователя, первая информация указания используется для указания оконечному устройству, следует ли инициировать защиту шифрования плоскости пользователя и защиту целостности плоскости пользователя. Например, если первая информация указания дает указание инициировать защиту шифрования плоскости пользователя и защиту целостности плоскости пользователя, то оконечное устройство может использовать алгоритм шифрования плоскости сигнализации в качестве алгоритма шифрования плоскости пользователя и использовать алгоритм безопасности целостности плоскости сигнализации в качестве алгоритма безопасности целостности плоскости пользователя.
В качестве варианта, если стандарт указывает, что SN не должен передавать первую информацию указания в MN или, если SN является унаследованным eNB, то SN не нужно передавать первую информацию указания и информацию гранулярности, соответствующую первой информации указания, в MN.
Этап 505: MN проверяет первую информацию указания.
В качестве варианта, этап 505 может не выполняться. Когда этап 505 не выполняется, MN определяет первую информацию указания как вторую информацию указания и выполняет этап 506. Это также можно понимать как то, что MN пересылает принятую первую информацию указания в оконечное устройство.
В качестве варианта, когда выполняется этап 505, если SN является унаследованным eNB, этап 505 может быть реализован следующим образом 1. Если SN является SgNB или обновленным eNB, этап 505 может быть реализован следующим образом 2.
Способ 1: MN проверяет, принята ли первая информация указания из SN. Если MN принимает первую информацию указания из SN, MN определяет первую информацию указания как вторую информацию указания. Если MN не принимает первую информацию указания из SN, MN определяет, является ли SN унаследованным eNB, на основании принятого сообщения подтверждения запроса доступа. В частности, если сообщение подтверждения запроса доступа не передает никакой информации, связанной с 5G, MN может определить, что SN является унаследованным eNB или, если сообщение подтверждения запроса доступа передает информацию указания, используемую для указания того, что SN является унаследованным eNB (например, битовая информация используется для указания, и если битовая информация равна 1, это указывает, что SN является унаследованным eNB), MN может определить, что SN является унаследованным eNB. Когда SN определен как унаследованный eNB, MN может проверить политику безопасности плоскости пользователя.
Если способ защиты безопасности плоскости пользователя, установленный по умолчанию унаследованным eNB, на основании текущей конфигурации оператора, инициирует защиту шифрования плоскости пользователя и не инициирует защиту целостности плоскости пользователя, политика безопасности плоскости пользователя инициирует защиту шифрования плоскости пользователя и не инициирует защиту целостности плоскости пользователя. Это указывает, что политика безопасности плоскости пользователя согласуется со способом защиты безопасности плоскости пользователя, установленным по умолчанию унаследованным eNB. В этом случае, MN может генерировать вторую информацию указания на основании политики безопасности плоскости пользователя, где вторая информация указания используется для указания оконечному устройству инициировать защиту шифрования плоскости пользователя, но не инициировать защиту целостности плоскости пользователя.
В качестве варианта, если MN определяет, что политика безопасности плоскости пользователя не инициирует защиту шифрования плоскости пользователя, но инициирует защиту целостности плоскости пользователя, MN может отклонить доступ SN. В качестве варианта, после отказа в доступе SN, MN может повторно выбрать базовую станцию в качестве вторичной станции.
В качестве альтернативы, если MN определяет, что политика безопасности плоскости пользователя не инициирует защиту шифрования плоскости пользователя и инициирует защиту целостности плоскости пользователя, MN может изменить политику безопасности плоскости пользователя, чтобы инициировать защиту шифрования плоскости пользователя и не инициировать защиту целостности плоскости пользователя и генерирует вторую информацию указания на основании измененной политики безопасности плоскости пользователя, так что тип защиты безопасности, инициированный оконечным устройством, согласовывается с типом защиты безопасности, инициированным SN. Вторая информация указания используется для указания оконечному устройству инициировать защиту шифрования плоскости пользователя, но не инициировать защиту целостности плоскости пользователя. Следует отметить, что эффективное время измененной политики безопасности плоскости пользователя является периодом времени, в течение которого осуществляется доступ SN, или до того, как SMF сетевой элемент доставит новую политику безопасности плоскости пользователя.
Способ 2: MN определяет, разрешено ли первой информации указания быть несовместимой с политикой безопасности плоскости пользователя. Если разрешена несовместимость первой информации указания с политикой безопасности плоскости пользователя, первая информация указания используется как вторая информация указания. Если не разрешено, MN определяет, согласуется ли принятая первая информация указания с политикой безопасности плоскости пользователя. Если принятая первая информация указания согласуется с политикой безопасности плоскости пользователя, MN использует первую информацию указания в качестве второй информации указания. В случае несогласованности MN отклоняет доступ SN. В качестве варианта, после отклонения доступа SN, MN может повторно выбрать базовую станцию в качестве вторичной станции, чтобы повторно установить процедуру двойного соединения.
Этап 506: MN передает сообщение запроса реконфигурации RRC соединения в оконечное устройство и, соответственно, оконечное устройство принимает сообщение запроса реконфигурации RRC соединения из MN.
Сообщение запроса реконфигурации RRC соединения передает вторую информацию указания, и вторая информация указания используется для указания типа защиты безопасности плоскости пользователя, которая должна быть активирована оконечным устройством.
Этап 507: оконечное устройство передает MN сообщение завершения реконфигурации RRC соединения. Соответственно, MN принимает сообщение завершения реконфигурации RRC соединения из оконечного устройства.
Сообщение завершения реконфигурации RRC соединения может быть ответом реконфигурации RRC соединения, и сообщение завершения реконфигурации RRC соединения передает вторую информацию указания и информацию гранулярности, соответствующую второй информации указания. В качестве варианта, сообщение завершения реконфигурации RRC соединения дополнительно содержит алгоритм безопасности плоскости пользователя, определенный SN, или алгоритм безопасности плоскости пользователя, определенный MN для оконечного устройства.
Следует отметить, что сообщение завершения реконфигурации RRC соединения может дополнительно передавать информацию, такую как параметр генерирования, используемый для генерирования ключа безопасности плоскости пользователя, и относиться к предшествующую уровню техники. Подробности здесь не описаны.
Этап 508: MN передает сообщение завершения конфигурации в SN. Соответственно, SN принимает сообщение завершения конфигурации из MN.
Если SN является SgNB, сообщение завершения конфигурации означает, что реконфигурация SgNB завершена.
Если SN является SeNB, сообщение завершения конфигурации является завершением реконфигурации SeNB.
Согласно способу, главная станция может передавать политику безопасности плоскости пользователя вторичной станции, так что вторичная станция определяет тип инициированной безопасности плоскости пользователя на основании политики безопасности плоскости пользователя, чтобы инициировать безопасность плоскости пользователя, как требуется. Дополнительно, SN может определять на основании политики безопасности ключ плоскости пользователя, который необходимо сгенерировать, и не нужно сначала генерировать плоскость пользователя, и затем определять, нужно ли использовать плоскость пользователя, тем самым, снижая накладные расходы на обработку SN.
В качестве варианта, со ссылкой на вариант осуществления на фиг. 5, в другой возможной реализации, если MN является унаследованным eNB, унаследованный eNB не может хранить политику безопасности плоскости пользователя. В этом случае сообщение запроса доступа вторичной станции, отправленное MN в SN, не передает политику безопасности плоскости пользователя, информацию гранулярности, соответствующую политике безопасности плоскости пользователя, или тип разгрузки. После приема сообщения запроса доступа из MN, SN выбирает инициирование типа защиты безопасности плоскости пользователя по умолчанию и определяет алгоритм безопасности плоскости пользователя и ключ плоскости пользователя, которые соответствуют типу защиты безопасности плоскости пользователя по умолчанию. Тип безопасности плоскости пользователя по умолчанию является защитой шифрования плоскости пользователя. Следует отметить, что SN может использовать инициирование безопасности шифрования плоскости пользователя и не инициирование безопасности целостности плоскости пользователя в качестве политики безопасности плоскости пользователя по умолчанию. Затем SN может передать выбранный алгоритм шифрования плоскости пользователя в оконечное устройство, используя MN, для реализации безопасности данных, передаваемых между SN и оконечным устройством.
Что касается процедуры, показанной на фиг. 5, нижеследующее отдельно описывает для каждого типа разгрузки способ безопасности, предусмотренный в вариантах осуществления настоящего раскрытия.
В возможном сценарии реализации, соответствующем вышеизложенному сценарию 1, если тип разгрузки является разгрузкой главной станции, на этапе 502 сообщение запроса доступа вторичной станции содержит тип разгрузки, корневой ключ SN и возможности безопасности оконечного устройства. Тип разгрузки является разгрузкой главной станции. После определения того, что тип разгрузки является разгрузкой главной станции, SN может определить, что главная станция может выполнять защиту данных плоскости пользователя из UPF сетевого элемента. Тогда SN не нужно определять алгоритм безопасности плоскости пользователя и ключ плоскости пользователя, которые используются для выполнения защиты безопасности данных плоскости пользователя из UPF сетевого элемента.
В качестве варианта, в возможной реализации сообщение запроса доступа вторичной станции не передает политику безопасности плоскости пользователя и/или информацию гранулярности, соответствующую политике безопасности плоскости пользователя.
В другой возможной реализации запрос доступа вторичной станции может передавать политику безопасности плоскости пользователя и информацию гранулярности, соответствующую политике безопасности плоскости пользователя. Таким образом, можно гарантировать, что сообщения сигнализации в процессе установления двойного соединения согласованы независимо от типа разгрузки. Дополнительно, когда тип разгрузки является разгрузкой главной станции, прием SN политики безопасности плоскости пользователя может дополнительно предотвратить следующий случай: в процессе разгрузки главной станции, когда MN меняет тип разгрузки из разгрузки главной станции для разгрузки на основании вторичной станции или двойной разгрузки по какой-либо причине, и MN не отправил или не повторно отправил политику безопасности плоскости пользователя в SN, SN может определить алгоритм безопасности плоскости пользователя на основании принятой политики безопасности плоскости пользователя, определить ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя, и дополнительно согласовать с оконечным устройством активировать защиту безопасности плоскости пользователя, которая инициируется посредством указания политики безопасности плоскости пользователя. Это обеспечивает безопасность данных плоскости пользователя после изменения типа разгрузки.
Следует отметить, что сообщение запроса доступа вторичной станции не передает политику безопасности плоскости пользователя или информацию гранулярности, соответствующую политике безопасности плоскости пользователя.
На этапе 503 SN может выбрать алгоритм безопасности плоскости пользователя на основании возможностей безопасности оконечного устройства и предварительно сконфигурированного набора алгоритмов безопасности плоскости пользователя и передать выбранный алгоритм безопасности плоскости пользователя в оконечное устройство, используя этап 504 и этап 506.
Очевидно, что в этом сценарии этап 505 не требуется выполнять, этап 504 не передает первую информацию указания, и этап 506 не передает информацию второго указания. На этапе 503 SN не нужно выбирать алгоритм безопасности плоскости пользователя. Соответственно, после завершения 5G процедуры установления двойного соединения оконечное устройство выполняет проверку безопасности данных плоскости пользователя, принятых из MN и SN, с использованием плоскости пользователя MN.
Следует отметить, что в отношении других этапов см. описания в варианте осуществления на фиг. 5, и подробности здесь снова не описываются.
В другом возможном сценарии реализации, соответствующем вышеизложенному сценарию 2, если тип разгрузки является разгрузкой на основании вторичной станции, на этапе 502 запрос доступа вторичной станции дополнительно передает тип разгрузки, и тип разгрузки является разгрузкой на основании вторичной станции.
На этапе 503 SN может определять, на основании политики безопасности плоскости пользователя, алгоритм безопасности плоскости пользователя и ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя. Для конкретного способа определения см. соответствующие описания на этапе 503.
В качестве варианта, на этапе 503 SN может дополнительно игнорировать принятую политику безопасности, выбрать инициирование типа защиты безопасности плоскости пользователя по умолчанию и определить алгоритм безопасности плоскости пользователя и ключ плоскости пользователя, которые соответствуют типу защиты безопасности плоскости пользователя по умолчанию.
На этапе 504 тип защиты безопасности плоскости пользователя, который должен быть активирован оконечным устройством, указанным первой информацией указания, является таким же, как тип защиты безопасности плоскости пользователя, инициированный посредством SN.
Очевидно, что в этом сценарии этап 505 не требуется, и вторая информация указания на этапе 506 является такой же, как первая информация указания на этапе 504. Соответственно, после завершения установления 5G процедуры двойного соединения оконечное устройство выполняет проверку безопасности данных плоскости пользователя, принятых из MN и SN, используя плоскость пользователя SN.
Следует отметить, что в отношении других этапов см. описания в варианте осуществления на фиг. 5, и подробности здесь снова не описываются.
В еще одном возможном сценарии реализации, соответствующем вышеизложенному сценарию 3, если тип разгрузки является разгрузкой на основании двух станций, на этапе 502 запрос доступа вторичной станции дополнительно передает тип разгрузки, и тип разгрузки является разгрузкой на основании двойной станции.
В качестве варианта, если SN определенно работает на основании политики безопасности плоскости пользователя по умолчанию, на этапе 504 сообщение подтверждения запроса доступа может не содержать первую информацию указания, и на этапе 505 MN генерирует вторую информацию указания на основании политики безопасности плоскости пользователя.
В качестве варианта, если SN не обязательно работает в соответствии с политикой безопасности плоскости пользователя по умолчанию, на этапе 504 сообщение подтверждения запроса доступа передает первую информацию указания, и этап 505 реализуется способом 2, описанным на этапе 505.
Соответственно, после завершения 5G процедуры установления двойного соединения оконечное устройство выполняет проверку безопасности данных плоскости пользователя, принятых из MN, с использованием плоскости пользователя MN, и выполняет проверку безопасности данных плоскости пользователя, принятых из SN. с использованием плоскости пользователя SN.
Следует отметить, что в отношении других этапов см. описания в варианте осуществления на фиг. 5, и подробности здесь снова не описываются.
Со ссылкой на фиг.1 - фиг.4, в другой возможной реализации способ может применяться к вышеупомянутому сценарию 2 и сценарию 3, и SN может дополнительно напрямую согласовывать алгоритм безопасности плоскости пользователя с оконечным устройством. Как показано на фиг. 6, способ включает в себя следующие этапы.
Этап 601: MN передает сообщение запроса доступа вторичной станции в SN. Соответственно, SN принимает сообщение запроса доступа вторичной станции из MN.
Этап 601 аналогичен этапу 502. Подробнее см. в связанных описаниях этапа 502. Подробности здесь снова не описываются.
Этап 602: оконечное устройство выполняет процедуру произвольного доступа с SN.
Этап 603: SN определяет, на основании политики безопасности плоскости пользователя, алгоритм безопасности плоскости пользователя и ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя.
Для способа определения посредством SN на основании политики безопасности плоскости пользователя, алгоритма безопасности плоскости пользователя и ключа плоскости пользователя, соответствующего алгоритму безопасности плоскости пользователя, см. соответствующие описания на этапе 503. Подробности не описываются. здесь снова.
Этап 604: SN передает сообщение запроса реконфигурации RRC соединения в оконечное устройство и, соответственно, оконечное устройство принимает сообщение запроса реконфигурации RRC соединения из SN.
Сообщение запроса реконфигурации RRC соединения передает любой один или более из алгоритмов безопасности плоскости пользователя, выбранных посредством SN, информацию первого указания и информацию гранулярности, соответствующую информации первого указания. Первая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством. Можно понять, что тип защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством, указанным первой информацией указания, является таким же, как тип защиты безопасности плоскости пользователя, инициированный SN.
В качестве варианта, после того, как SN определит алгоритм безопасности плоскости пользователя и до того, как SN передаст в оконечное устройство сообщение запроса реконфигурации RRC соединения, оконечное устройство и SN могут передать оконечному устройству алгоритм безопасности плоскости пользователя, определенный SN, используя процедуру команды режима безопасности (security mode command, SMC) уровня доступа (access stratum, AS). В качестве варианта, алгоритм безопасности плоскости пользователя, определенный SN, также применим к плоскости сигнализации. Другими словами, SN и оконечное устройство могут использовать алгоритм безопасности, который определяется SN и который передается в AS SMC в качестве алгоритма безопасности плоскости сигнализации, и использовать алгоритм безопасности, который определяется SN и который передается в AS SMC для алгоритма безопасности плоскости пользователя.
Этап 605: оконечное устройство передает сообщение завершения реконфигурации RRC соединения в SN. Соответственно, SN принимает сообщение завершения реконфигурации RRC соединения из оконечного устройства.
Сообщение завершения реконфигурации RRC соединения является ответом реконфигурации RRC соединения.
Этап 606: SN передает сообщение завершения конфигурации в MN. Соответственно, MN принимает сообщение завершения конфигурации из SN.
Что касается варианта осуществления, соответствующего фиг. 6, в еще одной возможной реализации способ может применяться к вышеупомянутому сценарию 2 и сценарию 3. SN может напрямую согласовывать алгоритм безопасности плоскости пользователя с оконечным устройством, и SN может получать политику безопасности плоскости пользователя из SMF. Как показано на фиг. 7, способ включает следующие этапы.
Этап 701: MN передает сообщение запроса доступа вторичной станции в SN. Соответственно, SN принимает сообщение запроса доступа вторичной станции из MN.
Сообщение запроса доступа вторичной станции не передает политику безопасности плоскости пользователя, но может передавать информацию гранулярности, соответствующую политике безопасности плоскости пользователя.
Для другой информации, передаваемой в сообщении запроса доступа вторичной станции, обратитесь к соответствующим описаниям на этапе 501. Подробности здесь снова не описываются.
В качестве варианта, когда MN не хранит политику безопасности плоскости пользователя или MN является унаследованным eNB, сообщение запроса доступа вторичной станции может не передавать политику безопасности плоскости пользователя.
Этап 702: оконечное устройство выполняет процедуру произвольного доступа с SN.
Этап 703: SN передает сообщение запроса политики безопасности плоскости пользователя в SMF сетевой элемент. Соответственно, SMF сетевой элемент принимает сообщение запроса политики безопасности плоскости пользователя из SN.
Сообщение запроса политики безопасности плоскости пользователя передает информацию гранулярности, соответствующую политике безопасности плоскости пользователя.
В качестве варианта, SN может передать сообщение запроса политики безопасности плоскости пользователя в AMF сетевой элемент, и затем AMF сетевой элемент пересылает сообщение запроса политики безопасности плоскости пользователя в SMF сетевой элемент.
Этап 704. SMF сетевой элемент передает сообщение ответа политики безопасности плоскости пользователя в SN. Соответственно, SN принимает сообщение ответа политики безопасности плоскости пользователя из SMF сетевого элемента.
Сообщение ответа политики безопасности плоскости пользователя передает политику безопасности плоскости пользователя, и политика безопасности плоскости пользователя является политикой безопасности плоскости пользователя, соответствующей информации гранулярности, передаваемой в сообщении запроса политики безопасности плоскости пользователя.
В качестве варианта, SMF сетевой элемент может передавать сообщение ответа политики безопасности плоскости пользователя в AMF сетевой элемент, и затем SMF сетевой элемент пересылает сообщение ответа политики безопасности плоскости пользователя в SN.
Этап 705: SN определяет, на основании политики безопасности плоскости пользователя, алгоритм безопасности плоскости пользователя и ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя.
Для способа определения посредством SN на основании политики безопасности плоскости пользователя, алгоритма безопасности плоскости пользователя и ключа плоскости пользователя, соответствующего алгоритму безопасности плоскости пользователя, см. соответствующие описания на этапе 503.
Этапы с 706 по 708 аналогичны этапам с 604 по 606, и подробности здесь снова не описываются.
Со ссылкой на вышеупомянутый вариант осуществления, описанный для конкретного сценария, вариант осуществления настоящего раскрытия обеспечивает способ защиты безопасности. Этот способ применяется к сценарию с двойным соединением. Сценарий двойного соединения включает в себя первое сетевое устройство доступа и второе сетевое устройство доступа. Первое сетевое устройство доступа является вторичной станцией двойного соединения, и второе сетевое устройство доступа является главной станцией двойного соединения. В качестве варианта, первое сетевое устройство доступа может быть SN в вышеприведенном варианте осуществления, и второе сетевое устройство доступа может быть MN в вышеупомянутом варианте осуществления, как показано на фиг. 8, способ включает следующие этапы.
Этап 801. Второе сетевое устройство доступа получает политику безопасности плоскости пользователя.
Политика безопасности плоскости пользователя используется для указания типа защиты безопасности плоскости пользователя, подлежащий инициированию первым сетевым устройством доступа. Связанные описания политики безопасности плоскости пользователя см. на этапе 502.
В качестве варианта, SMF сетевой элемент может передавать политику безопасности плоскости пользователя второму сетевому устройству доступа с использованием AMF сетевого элемента, так что второе сетевое устройство доступа получает политику безопасности плоскости пользователя.
Этап 802: второе сетевое устройство доступа передает первое сообщение первому сетевому устройству доступа. Соответственно, первое сетевое устройство доступа принимает первое сообщение из второго сетевого устройства доступа.
Первое сообщение передает политику безопасности плоскости пользователя и первую информацию гранулярности, и первая информация гранулярности представляет собой информацию гранулярности, соответствующую политике безопасности плоскости пользователя. В качестве варианта, первое сообщение дополнительно передает тип разгрузки, и тип разгрузки, переносимый в первом сообщении, может быть разгрузкой на основании вторичной станции или разгрузкой на основании двух станций.
В качестве варианта, первое сообщение может быть сообщением запроса доступа вторичной станции на этапе 502. Подробнее см. в предшествующих описаниях сообщения запроса доступа вторичной станции.
Этап 803. Если первое сетевое устройство доступа может идентифицировать политику безопасности плоскости пользователя, первое сетевое устройство доступа определяет алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя.
В качестве варианта, первое сетевое устройство доступа может дополнительно генерировать ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя.
Можно понять, что, если первое сетевое устройство доступа может идентифицировать тип защиты безопасности плоскости пользователя, подлежащий инициированию, это указывает, что первое сетевое устройство доступа является SgNB или обновленным eNB. Первое сетевое устройство доступа может определять на основании способа, описанного на этапе 503, алгоритм безопасности плоскости пользователя и ключ плоскости пользователя, соответствующие алгоритму безопасности плоскости пользователя.
Этап 804. Если первое сетевое устройство доступа не может идентифицировать политику безопасности плоскости пользователя, первое сетевое устройство доступа определяет алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя по умолчанию.
В качестве варианта, первое сетевое устройство доступа может дополнительно генерировать ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя.
Можно понять, что, если первое сетевое устройство доступа не может идентифицировать политику безопасности плоскости пользователя, это указывает, что первое сетевое устройство доступа является унаследованным eNB. В этом случае унаследованный eNB по умолчанию инициирует защиту шифрования плоскости пользователя и не инициирует защиту целостности плоскости пользователя на основании конфигурации оператора. Политика безопасности плоскости пользователя по умолчанию используется для указания первому сетевому устройству доступа инициировать защиту шифрования плоскости пользователя, но не инициировать защиту целостности плоскости пользователя.
Согласно способу защиты безопасности, предоставленному в этом варианте осуществления настоящего раскрытия, когда вторичная станция может идентифицировать политику безопасности плоскости пользователя из главной станции, вторичная станция может определять алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя из главной станции, инициировать алгоритм безопасности плоскости пользователя, как требуется. Если вторичная станция не может идентифицировать политику безопасности плоскости пользователя из главной станции, вторичная станция может дополнительно определить алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя по умолчанию, и это гарантирует безопасность данных плоскости пользователя, передаваемых между вторичной станцией и оконечным устройством.
Дополнительно, когда вторичная станция может идентифицировать политику безопасности плоскости пользователя из главной станции, главная станция и вторичная станция определяют алгоритм безопасности плоскости пользователя, используя одну и ту же политику безопасности плоскости пользователя, и алгоритм безопасности плоскости пользователя определяется главной станцией, и вторичная станция также применима с одинаковой гранулярностью. Когда используется разгрузка на основании двух станций, главная станция и вторичная станция выполняют защиту данных плоскости пользователя с одинаковой гранулярностью, используя один и тот же тип алгоритма безопасности плоскости пользователя. Следовательно, не возникает случай, в котором оконечному устройству необходимо выполнить проверку безопасности данных плоскости пользователя с одинаковой гранулярностью, с использованием различных типов алгоритмов безопасности плоскости пользователя, и сложность обработки оконечного устройства не увеличивается.
В качестве варианта, на основании варианта осуществления на фиг. 8, после определения алгоритма безопасности плоскости пользователя на основании политики безопасности плоскости пользователя из второго сетевого устройства доступа, первое сетевое устройство доступа дополнительно должно проинструктировать оконечное устройство использовать такой же тип защиты безопасности плоскости пользователя. Исходя из этого, в другой реализации вариантов осуществления настоящего раскрытия, как показано на фиг. 9, способ включает следующие этапы.
Этапы 901–903 идентичны этапам 801–803, и подробности здесь снова не описываются.
Этап 904. Первое сетевое устройство доступа передает второе сообщение второму сетевому устройству доступа. Соответственно, второе сетевое устройство доступа принимает второе сообщение из первого сетевого устройства доступа.
Второе сообщение является сообщением ответа на первое сообщение, второе сообщение передает первую информацию указания, и первая информация указания используется для указания типа защиты безопасности плоскости пользователя, который должен быть активирован оконечным устройством. Способ указания первой информации указания может быть любым из способов с 1 по 3 на этапе 502.
Следует отметить, что тип защиты безопасности плоскости пользователя, который должен быть активирован оконечным устройством, указанным первой информацией указания, является типом защиты безопасности плоскости пользователя, фактически инициированный первым сетевым устройством доступа. Поскольку первое сетевое устройство доступа может не определять алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя из второго сетевого устройства доступа, тип защиты безопасности плоскости пользователя, подлежащий инициированию первым сетевым устройством доступа, указан политикой безопасности плоскости пользователя, может отличаться от типа защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством, указанный первой информацией указания. В качестве варианта, если первое сетевое устройство доступа определяет алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя из второго сетевого устройства доступа, тип защиты безопасности плоскости пользователя, подлежащий инициированию первым сетевым устройством доступа, указанным политикой безопасности плоскости пользователя, является таким же, как и тип защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством, указанный первой информацией указания.
В качестве варианта, второе сообщение дополнительно передает один или оба из алгоритма безопасности плоскости пользователя, определенного первым сетевым устройством доступа и второй информацией гранулярности, и вторая информация гранулярности является информацией гранулярности, соответствующей первой информации указания.
Вторая информация гранулярности может быть такой же или отличаться от первой информации гранулярности. Например, базовая станция может ассоциировать вторую информацию гранулярности с первой информацией гранулярности. Например, вторая информация гранулярности может быть каналом ресурсов данных (data resource bearer, DRB) и может быть представлена идентификатором DRB. Первая информация гранулярности является идентификатором PDU сеанса, и множество идентификаторов DRB соответствует одному идентификатору PDU сеанса. В другом примере первая информация гранулярности представляет собой информацию QFI, вторая информация гранулярности является идентификатором DRB, и один идентификатор DRB может соответствовать множеству QFIs. В другом примере первая информация гранулярности является DRB, то есть, первое сообщение дополнительно передает идентификатор DRB, а вторая информация гранулярности по-прежнему является DRB. Однако первое сетевое устройство доступа может выбрать, в зависимости от типа разгрузки, выделить оконечному устройству новый идентификатор DRB. Другими словами, хотя и первая информация гранулярности, и вторая информация гранулярности являются DRB, первая информация гранулярности и вторая информация гранулярности соответствуют различным идентификаторам DRBs. В качестве альтернативы первое сетевое устройство доступа может продолжать использовать DRB ID в первом сообщении, которое передается вторым сетевым устройством доступа, то есть, DRB ID, соответствующий первой информации гранулярности, такой же, как DRB ID, соответствующий второй информации гранулярности.
Этап 905: второе сетевое устройство доступа передает третье сообщение в оконечное устройство. Соответственно, оконечное устройство принимает третье сообщение из второго сетевого устройства доступа.
Третье сообщение передает вторую информацию указания, и вторая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством. Способ указания второй информации указания может быть любым из способов с 1 по 3 на этапе 502.
Следует отметить, что способы указания, используемые первой информацией указания, второй информацией указания и политикой безопасности плоскости пользователя на этапе 801, могут быть одинаковыми, или могут быть одинаковыми через каждые два, или могут отличаться во всем. Например, все способы указания первой информации указания, второй информации указания и политики безопасности плоскости пользователя используют способ 2 на этапе 502. В качестве альтернативы способ указания политики безопасности плоскости пользователя является способ 2 на этапе 502, и способы указания как первой информации указания, так и второй информации указания представляют собой способ 1 на этапе 502. Альтернативно, способ указания политики безопасности плоскости пользователя представляет собой способ 1 на этапе 502, способ указания первой информации указания является способом 2 на этапе 502, и способ указания второй информации указания является способом 3 на этапе 502.
Перед передачей третьего сообщения в оконечное устройство второе сетевое устройство доступа должно определить вторую информацию указания.
В качестве варианта, если второе сетевое устройство доступа определило, что тип разгрузки является разгрузкой на основании вторичной станции, второе сетевое устройство доступа может использовать первую информацию указания в качестве второй информации указания, и также может быть понятно, что вторая сетевое устройство доступа пересылает принятую первую информацию указания в оконечное устройство. В качестве альтернативы, можно понять, что после обработки первой информации указания второе сетевое устройство доступа пересылает обработанную первую информацию указания (обработанная первая информация указания является второй информацией указания) в оконечное устройство. Другими словами, вторая информация указания и первая информация указания указывают один и тот же контент, но способы указания могут быть разными. Например, способом указания первой информации указания является способ 1 на этапе 502, а способом указания второй информации указания является способ 2 на этапе 502.
В качестве варианта, второе сетевое устройство доступа может проверить, разрешено ли первой информации указания быть несовместимой с политикой безопасности плоскости пользователя. Если не разрешено, второе сетевое устройство доступа дополнительно определяет, согласуется ли первая информация указания с политикой безопасности плоскости пользователя.
Если первая информация указания согласуется с политикой безопасности плоскости пользователя, второе сетевое устройство доступа определяет первую информацию указания как вторую информацию указания.
В качестве альтернативы, если первая информация указания несовместима с политикой безопасности плоскости пользователя, второе сетевое устройство доступа отклоняет доступ первого сетевого устройства доступа. В качестве варианта, после отказа в доступе к SN, MN может повторно выбрать базовую станцию в качестве вторичной станции.
Этап 906: оконечное устройство определяет алгоритм безопасности плоскости пользователя на основании второй информации указания.
В качестве варианта, оконечное устройство может дополнительно генерировать ключ плоскости пользователя на основании алгоритма безопасности плоскости пользователя, или оконечное устройство повторно использует сгенерированный ключ плоскости пользователя.
Например, если вторая информация указания дает указание инициировать защиту шифрования плоскости пользователя, но не инициировать защиту безопасности плоскости пользователя, оконечное устройство определяет алгоритм шифрования плоскости пользователя и генерирует ключ шифрования плоскости пользователя на основании алгоритма шифрования плоскости пользователя. Если оконечное устройство защищает один и тот же ключ плоскости пользователя, используемый всеми данными плоскости пользователя, и оконечное устройство ранее сгенерировало ключ плоскости пользователя для другой услуги, оконечному устройству необходимо только определить, чтобы выбрать повторно используемый ключ плоскости пользователя, на основании второй информации указания.
Например, если вторая информация указания представляет собой конкретный алгоритм шифрования плоскости пользователя и конкретный алгоритм безопасности целостности плоскости пользователя, оконечное устройство генерирует ключ шифрования плоскости пользователя на основании алгоритма шифрования плоскости пользователя, указанного второй информацией указания, и генерирует ключ безопасности целостности плоскости пользователя на основании алгоритма безопасности целостности плоскости пользователя, указанного второй информацией указания.
Согласно способу защиты безопасности, предоставленному в этом варианте осуществления настоящего раскрытия, после определения алгоритма безопасности плоскости пользователя первое сетевое устройство доступа дополнительно должно проинструктировать оконечное устройство инициировать такой же тип защиты безопасности плоскости пользователя и определить ключ плоскости пользователя с использованием алгоритма безопасности плоскости пользователя, такого же, как у первого сетевого устройства доступа. Следовательно, оконечное устройство может выполнять защиту безопасности для данных плоскости пользователя, для которых защита безопасности выполняется с использованием первого сетевого устройства доступа, и оконечное устройство может успешно выполнять проверку безопасности для принятых данных плоскости пользователя. При условии, что инициирована защита безопасности плоскости пользователя первого сетевого устройства доступа как требуется, гарантируется успешная проверка безопасности, выполняемая оконечным устройством на принятых данных плоскости пользователя.
В качестве варианта, на основании варианта осуществления на фиг. 8, в другой реализации вариантов осуществления настоящего раскрытия дополнительно предоставляется другой способ уведомления оконечного устройства о том, какой тип защиты безопасности плоскости пользователя должен быть инициирован. Как показано на фиг. 10, способ включает в себя следующие этапы.
Этапы 1001–1003 аналогичны этапам 801–803, и подробности здесь снова не описываются.
Этап 1004: Первое сетевое устройство доступа передает четвертое сообщение оконечному устройству и, соответственно, оконечное устройство принимает четвертое сообщение из первого сетевого устройства доступа.
Четвертое сообщение содержит вторую информацию указания, и вторая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащий инициированию оконечным устройством.
Следует отметить, что вторая информация указания является такая же, как первая информация указания, описанная в вышеупомянутом варианте осуществления. Можно понять, что первое сетевое устройство доступа непосредственно передает первую информацию указания, отправленную второму сетевому устройству доступа в вышеупомянутом варианте осуществления, в оконечное устройство.
В качестве варианта, четвертое сообщение дополнительно передает один или оба из алгоритма безопасности плоскости пользователя, определенного первым сетевым устройством доступа, и информацию гранулярности, соответствующую второй информации указания.
В качестве варианта, четвертое сообщение может передавать алгоритм безопасности, определенный первым сетевым устройством доступа, и алгоритм безопасности включает в себя, по меньшей мере, доступный алгоритм безопасности плоскости пользователя. В качестве альтернативы четвертое сообщение не содержит алгоритм безопасности, определенный первым сетевым устройством доступа. Перед передачей четвертого сообщения первое сетевое устройство доступа передает на оконечное устройство определенный алгоритм безопасности, используя другое сообщение, например, используя AS SMC сообщение.
Этап 1005: оконечное устройство определяет алгоритм безопасности плоскости пользователя на основании второй информации указания.
В качестве варианта, оконечное устройство может дополнительно сгенерировать ключ плоскости пользователя на основании алгоритма безопасности плоскости пользователя.
Например, если вторая информация указания инструктирует инициировать защиту шифрования плоскости пользователя, но не инициировать защиту безопасности плоскости пользователя, оконечное устройство определяет алгоритм шифрования плоскости пользователя и генерирует ключ шифрования плоскости пользователя на основании алгоритма шифрования плоскости пользователя.
Например, если вторая информация указания является конкретным алгоритмом шифрования плоскости пользователя и конкретным алгоритмом безопасности целостности плоскости пользователя, оконечное устройство генерирует ключ шифрования плоскости пользователя на основании алгоритма шифрования плоскости пользователя, указанного второй информацией указания, и генерирует ключ безопасности целостности плоскости пользователя на основании алгоритма безопасности целостности плоскости пользователя, указанного второй информацией указания.
Согласно способу защиты безопасности, предоставленному в этом варианте осуществления настоящего раскрытия, первое сетевое устройство доступа может напрямую передавать первую информацию указания в оконечное устройство без пересылки вторым сетевым устройством доступа, так что эффективность установления двойного соединения может быть повышена.
Вышеизложенное, в основном, описывает решения, обеспечиваемые в вариантах осуществления настоящего раскрытия, с точки зрения взаимодействия между первым сетевым устройством доступа, вторым сетевым устройством доступа и оконечным устройством. Можно понять, что для реализации вышеуказанных функций первое устройство сети доступа, второе сетевое устройство доступа и оконечное устройство включают в себя соответствующие аппаратные структуры и/или программные модули для выполнения этих функций. Что касается блоков и этапов алгоритма, описанных в вариантах осуществления, раскрытых в настоящем изобретении, варианты осуществления настоящего раскрытия могут быть реализованы в форме аппаратного или аппаратного обеспечения и компьютерного программного обеспечения. Выполнение функции аппаратным или аппаратным обеспечением, управляемым компьютерным программным обеспечением, зависит от конкретных приложений и проектных ограничений технических решений. Специалист в данной области техники может использовать различные способы для реализации описанных функций для каждого конкретного приложения, но не следует учитывать, что реализация выходит за рамки технических решений в вариантах осуществления настоящего раскрытия.
В вариантах осуществления настоящего раскрытия разделение функциональных блоков может выполняться на сетевом устройстве доступа, оконечном устройстве или т.п. на основании вышеупомянутых примеров способов. Например, каждый функциональный блок может быть получен путем разделения на основании соответствующей функции, или две или более функций могут быть интегрированы в один блок обработки. Интегрированный блок может быть реализован в виде аппаратных средств или может быть реализован в виде программного функционального блока. Следует отметить, что в вариантах осуществления настоящего раскрытия разделение на блоки является примером и представляет собой просто разделение логических функций. В реальной реализации может использоваться другой способ разделения.
Когда используется интегрированный блок, фиг. 11 является блок-схемой устройства согласно варианту осуществления настоящего раскрытия. Устройство может быть выполнено в виде программного обеспечения или может быть сетевым устройством доступа, или может быть микросхемой в сетевом устройстве доступа. Устройство 1100 включает в себя блок 1102 обработки и блок 1103 связи. Блок 1102 обработки выполнен с возможностью управлять и контролировать работой устройства 1100. Блок 1103 связи выполнен с возможностью поддерживать связь между устройством 1100 и другим сетевым элементом (например, оконечное устройство, другое сетевое устройство доступа или основной сетевой элемент).
В возможной реализации устройство 1100 может быть первым сетевым устройством доступа, описанным выше, или микросхемой в первом сетевом устройстве доступа. Блок 1102 обработки может поддерживать устройство 1100 в выполнении действия, выполняемого первым сетевым устройством доступа в вышеприведенном примере способа. Например, блок 1102 обработки выполнен с возможностью поддерживать устройства 1100 при выполнении этапа 503 на фиг. 5, этапа 603 на фиг. 6, этапа 705 на фиг. 7, этапа 803 и этапа 804 на фиг. 8, этапа 903 на фиг. 9, этапа 1003 на фиг. 10, и/или другой процесс, используемый для технологии, описанной в данном описании. Блок 1103 связи может поддерживать устройство 1100 в выполнении процесса связи между первым сетевым устройством доступа в вышеприведенном примере способа и другим устройством. Например, блок 1103 связи может поддерживать устройство 1100 при выполнении этапов 502, 504 и 508 на фиг. 5, этапов 601, 602, 604, 605 и 606 на фиг. 6, этапов 701-704 и 706-708 на фиг. 7, этапа 802 на фиг. 8, этапа 902 и этапа 904 на фиг. 9, а также этапов 1002 и 1004 на фиг. 10.
В другой возможной реализации устройство 1100 может быть вторым сетевым устройством доступа, описанным выше, или микросхемой во втором сетевом устройстве доступа. Блок 1102 обработки может поддерживать устройство 1100 в выполнении действия, выполняемого вторым сетевым устройством доступа в вышеупомянутом примере способа. Например, блок 1102 обработки выполнен с возможностью поддерживать устройство 1100 при выполнении этапа 505 на фиг. 5, этапа 801 на фиг. 8, этапа 901 на фиг. 9, этапа 1001 на фиг. 10, и/или другой процесс, используемый для технологии, описанной в данном описании. Блок 1103 связи может поддерживать устройство 1100 в выполнении процесса связи между вторым сетевым устройством доступа в вышеупомянутом примере способа и другим устройством. Например, блок 1103 связи может поддерживать устройство 1100 при выполнении этапов 501, 502, 504 и 506-508 на фиг. 5 этапов 601 и 606 на фиг. 6, этапов 701 и 708 на фиг. 7, этапа 802 на фиг. 8, этапов 902, 904 и 905 на фиг. 9 и этапа 1002 на фиг. 10.
Устройство 1100 может дополнительно включать в себя блок 1101 хранения, выполненный с возможностью хранить программный код и данные устройства 1100.
Блок 1102 обработки может быть процессором или контроллером, например, может быть центральным процессором (Central Processing Unit, CPU), процессором общего назначения, процессором цифровых сигналов (Digital Signal Processor, DSP), специализированной интегральной схемой (Application-Specific Integrated Circuit, ASIC), программируемой пользователем вентильной матрицей (Field Programmable Gate Array, FPGA) или другим программируемым логическим устройством, транзисторным логическим устройством, аппаратным компонентом или любой их комбинацией. Блок 1102 обработки может реализовывать или выполнять различные примерные логические блоки, модули и схемы, описанные со ссылкой на контент, раскрытый в настоящем изобретении. Альтернативно, процессор может быть комбинацией процессоров, реализующих вычислительную функцию, например, комбинацией одного или более микропроцессоров или комбинацией DSP и микропроцессора. Блок 1103 связи может быть интерфейсом связи, где интерфейс связи является общим термином. Во время конкретной реализации интерфейс связи может включать в себя множество интерфейсов. Например, когда устройство 1100 является первым сетевым устройством доступа, интерфейс связи может включать в себя интерфейс между первым сетевым устройством доступа и вторым сетевым устройством доступа, интерфейс между первым сетевым устройством доступа и оконечным устройством, интерфейс между первым сетевым устройством доступа и основным сетевым элементом и/или другим интерфейсом. В другом примере, когда устройство 1100 является вторым сетевым устройством доступа, интерфейс связи может включать в себя интерфейс между вторым сетевым устройством доступа и первым сетевым устройством доступа, интерфейс между вторым сетевым устройством доступа и оконечным устройством, интерфейс между вторым сетевым устройством доступа и основным сетевым элементом и/или другим интерфейсом. Блок 1101 хранения может быть памятью.
Когда блок 1102 обработки является процессором, блок 1103 связи является интерфейсом связи, и блок 1101 хранения является памятью, структура устройства 1100 в этом варианте осуществления настоящего раскрытия может быть структурой сетевого устройства доступа, показанное на фиг. 12.
Фиг. 12 является возможной структурной схемой сетевого устройства доступа в соответствии с вариантом осуществления настоящего раскрытия.
Как показано на фиг. 12, сетевое устройство 1200 доступа включает в себя процессор 1202, интерфейс 1203 связи и память 1201. В качестве варианта, сетевое устройство 1200 доступа может дополнительно включать в себя шину 1204. Интерфейс 1203 связи, процессор 1202 и память 1201 соединены друг с другом с помощью шины 1204. Шина 1204 может быть шиной PCI, шиной EISA и т.п. Шину 1204 можно разделить на адресную шину, шину данных, шину управления и тому подобное. Для простоты представления шина на фиг. 12 обозначается только одной толстой линией, но это не означает, что существует только одна шина или только один тип шины.
Сетевое устройство доступа на фиг. 12 может быть первым сетевым устройством доступа, описанным выше, или может быть вторым сетевым устройством доступа, описанным выше.
Когда используется интегрированный блок, фиг. 13 показывает схематическую блок-схему еще одного устройства согласно варианту осуществления настоящего раскрытия. Устройство 1300 может быть выполнено в форме программного обеспечения, или может быть оконечным устройством, или может быть микросхемой в оконечном устройстве. Устройство 1300 включает в себя блок 1302 обработки и блок 1303 связи. Блок 1302 обработки выполнен с возможностью управлять и контролировать работой устройства 1300. Например, блок 1302 обработки выполнен с возможностью поддерживать устройство 1300 при выполнении этапа 602 на фиг. 6, этапа 702 на фиг. 7, этапа 906 на фиг. 9, этапа 1005 на фиг. 10, и/или другой процесс, используемый для технологии, описанной в данном описании. Блок 1303 связи выполнен с возможностью поддерживать связь между устройством 1300 и другим сетевым элементом (например, первым сетевым устройством доступа или вторым сетевым устройством доступа). Например, блок 1303 связи выполнен с возможностью поддерживать устройство 1300 при выполнении этапов 501, 506 и 507 на фиг. 5 этапов 604 и 605 на фиг. 6, этапов 706 и 707 на фиг. 7, этап 905 на фиг. 9 и этап 1004 на фиг. 10. Устройство 1300 может дополнительно включать в себя блок 1301 памяти, выполненный с возможностью хранить программный код и данные устройства 1300.
Блок 1302 обработки может быть процессором или контроллером, например, может быть центральным процессором (Central Processing Unit, CPU), процессором общего назначения, процессором цифровых сигналов (Digital Signal Processor, DSP), специализированной интегральной схемой (специализированная интегральная схема, ASIC), программируемой пользователем вентильной матрицей (Field Programmable Gate Array, FPGA) или другим программируемым логическим устройством, транзисторным логическим устройством, аппаратным компонентом или любым их сочетанием. Блок 1302 обработки может реализовывать или выполнять различные примерные логические блоки, модули и схемы, описанные со ссылкой на контент, раскрытый в настоящем изобретении. Альтернативно, процессор может быть комбинацией процессоров, реализующих вычислительную функцию, например, комбинацией одного или более микропроцессоров или комбинацией DSP и микропроцессора. Блок 1303 связи может быть приемопередатчиком, схемой приемопередатчика, интерфейсом связи и т.п. Блок 1301 хранения может быть памятью.
Когда блок 1302 обработки является процессором, блок 1303 связи является приемопередатчиком и блок 1301 хранения является памятью, устройство 1300 в этом варианте осуществления настоящего раскрытия может быть оконечным устройством, показанным на фиг. 14.
Фиг. 14 является упрощенной схемой возможной структуры оконечного устройства согласно варианту осуществления настоящего раскрытия. Оконечное устройство 1400 включает в себя передатчик 1401, приемник 1402 и процессор 1403. Процессор 1403 также может быть контроллером и представлен как «контроллер/процессор 1403» на фиг. 14. В качестве варианта, оконечное устройство 1400 может дополнительно включать в себя процессор 1405 модема. Процессор 1405 модема может включать в себя кодер 1406, модулятор 1407, декодер 1408 и демодулятор 1409.
В примере передатчик 1401 обрабатывает (например, выполняет аналоговое преобразование, фильтрацию, усиление и преобразование с повышением частоты) выходную выборку и генерирует сигнал восходящей линии связи, где сигнал восходящей линии связи передается на базовую станцию в вышеупомянутых вариантах осуществления с использованием антенны. На нисходящей линии связи антенна принимает сигнал нисходящей линии связи, передаваемый базовой станцией в вышеупомянутых вариантах осуществления. Приемник 1402 обрабатывает (например, выполняет фильтрацию, усиление, преобразование с понижением частоты и оцифровку) сигнал, принимаемый из антенны, и предоставляет входную выборку. В процессоре 1405 модема кодер 1406 принимает служебные данные и сигнальное сообщение, которые должны быть переданы по восходящей линии связи, и обрабатывает (например, форматирует, кодирует и перемежает) служебные данные и сигнальное сообщение. Модулятор 1407 дополнительно обрабатывает (например, выполняет отображение символов и модуляцию) закодированные служебные данные и сигнальное сообщение и выдает выходной сигнал. Демодулятор 1409 обрабатывает (например, демодулирует) входную выборку и обеспечивает оценку символа. Декодер 1408 обрабатывает (например, устраняет перемежение и декодирует) оценку символа и предоставляет декодированные данные и сигнальное сообщение, которые отправляются в оконечное устройство 1400. Кодер 1406, модулятор 1407, демодулятор 1409 и декодер 1408 могут быть реализованы объединенным процессором 1405 модема. Эти блоки выполняют обработку на основании технологии радиодоступа (например, технологии доступа в LTE, 5G и другой развитой системе), используемой сетью радиодоступа. Следует отметить, что, когда оконечное устройство 1400 не включает в себя процессор 1405 модема, вышеупомянутые функции процессора 1405 модема также могут быть реализованы процессором 1403.
Процессор 1403 контролирует и управляет действием оконечного устройства 1400 и выполнен с возможностью выполнять процесс обработки, выполняемый оконечным устройством 1400 в вышеупомянутых вариантах осуществления настоящего раскрытия. Например, процессор 1403 дополнительно выполнен с возможностью выполнять процессы обработки оконечного устройства способами, показанными на фиг. 5 - фиг. 10 и/или другой процесс технических решений, описанных в настоящем изобретении.
Кроме того, оконечное устройство 1400 может дополнительно включать в себя память 1404. Память 1404 выполнена с возможностью хранить программный код и данные, которые используются для оконечного устройства 1400.
Этапы способа или алгоритма, описанные в сочетании с контентом, раскрытым в настоящем изобретении, могут быть реализованы аппаратным обеспечением или могут быть реализованы процессором путем выполнения программной инструкции. Программная инструкция может включать в себя соответствующий программный модуль. Программный модуль может храниться в оперативной памяти (Random Access Memory, RAM), флэш-памяти, постоянном запоминающем устройстве (Read-Only Memory, ROM), стираемой программируемой постоянной памяти (Erasable Programmable ROM, EPROM), электрически стираемое программируемое постоянное запоминающее устройство (Electrically EPROM, EEPROM), регистр, жесткий диск, мобильный жесткий диск, постоянное запоминающее устройство для компакт-дисков (CD-ROM) или любое другое хранилище среда хорошо известное в данной области техники. Например, носитель данных связан с процессором, так что процессор может считывать информацию с носителя данных или записывать информацию на носитель данных. Конечно, носитель данных также может быть компонентом процессора. Процессор и носитель данных могут быть расположены в ASIC. Кроме того, ASIC может располагаться в сетевом устройстве доступа или оконечном устройстве. Конечно, процессор и носитель данных могут быть установлены в сетевом устройстве доступа или оконечном устройстве как отдельные компоненты.
В нескольких вариантах осуществления, представленных в настоящем изобретении, следует понимать, что раскрытые система, устройство и способ могут быть реализованы другими способами. Например, описанный вариант осуществления устройства является просто примером. Например, разделение на блоки является просто разделением логических функций и может быть другим разделением в реальной реализации. Например, множество блоков или компонентов могут быть объединены или интегрированы в другую систему, или некоторые функции могут игнорироваться или не выполняться. Кроме того, отображаемые или обсуждаемые взаимные связи или прямые связи или коммуникационные соединения могут быть реализованы через некоторые интерфейсы. Непрямые связи или коммуникационные соединения между устройствами или блоками могут быть реализованы в электронной или других формах.
Блоки, описанные как отдельные части, могут быть или не могут быть физически разделенными, части, отображаемые как блоки, могут быть или могут не быть физическими блоками, могут быть расположены в одной позиции или могут быть распределены на множестве сетевых устройств. Некоторые или все блоки могут быть выбраны на основании фактических требований для достижения целей решений вариантов осуществления.
Дополнительно, функциональные блоки в вариантах осуществления настоящего раскрытия могут быть интегрированы в один блок обработки, или каждый из функциональных блоков может существовать независимо, или два или более блока интегрированы в один блок. Интегрированный блок может быть реализован в виде аппаратных средств или может быть реализован в виде аппаратных средств в дополнение к программному функциональному блоку.
Основываясь на вышеизложенном описании реализации, специалист в данной области техники может ясно понять, что настоящее изобретение может быть реализовано с помощью программного обеспечения в дополнение к необходимому универсальному оборудованию или только с помощью оборудования. В большинстве случаев предпочтительным способом реализации является первый. Основываясь на таком понимании, технические решения настоящего раскрытия, по существу, или его часть, вносящая вклад в предшествующий уровень техники, могут быть реализованы в форме компьютерного программного продукта. Компьютерный программный продукт хранится на читаемом носителе данных, таком как гибкий диск, жесткий диск или оптический диск компьютера, и включает в себя несколько инструкций для инструктирования компьютерного устройства (которым может быть персональный компьютер, сервер или сетевое устройство) для выполнения способов, описанных в вариантах осуществления настоящего раскрытия.
Приведенные выше описания являются просто конкретными реализациями настоящего раскрытия, но не предназначены для ограничения объема безопасности настоящего раскрытия. Любые изменения или замены в пределах технического объема, раскрытого в настоящем изобретении, должны находиться в рамках объема безопасности настоящего раскрытия. Следовательно, объем безопасности настоящего раскрытия должен соответствовать объему безопасности формулы изобретения.
Изобретение относится к беспроводной связи. Способ защиты безопасности включает в себя этапы: принимают, от второго сетевого устройства доступа, первым сетевым устройством доступа, сообщение, содержащее политику безопасности плоскости пользователя, которая используется для указания типа зашиты безопасности плоскости пользователя, подлежащего инициированию первым сетевым устройством доступа; определяют, на основании политики безопасности плоскости пользователя, алгоритм безопасности плоскости пользователя и ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя; или выбирают алгоритм безопасности плоскости пользователя по умолчанию и определяют ключ плоскости пользователя, соответствующий алгоритму безопасности плоскости пользователя по умолчанию. Технический результат заключается в обеспечении эффективного и гибкого способа передачи данных пользовательской плоскости в сетевой архитектуре с двойным подключением. 9 н. и 23 з. п. ф-лы, 14 ил.
1. Способ защиты безопасности, применяемый к сценарию двойного соединения, содержащему первое сетевое устройство доступа и второе сетевое устройство доступа, при этом первое сетевое устройство доступа является вторичной станцией в двойном соединении, второе сетевое устройство доступа является главной станцией в двойном соединении, содержащий этапы, на которых:
принимают, с помощью первого сетевого устройства доступа, первое сообщение от второго сетевого устройства доступа, причем первое сообщение содержит политику безопасности плоскости пользователя и политика безопасности плоскости пользователя используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию первым сетевым устройством доступа, при этом первое сообщение дополнительно несет тип разгрузки двойного соединения, представляющий собой разгрузку на основании вторичной станции или разгрузку на основании двух станций; и
определяют, с помощью первого сетевого устройства доступа, алгоритм безопасности плоскости пользователя на основании политики безопасности плоскости пользователя.
2. Способ защиты безопасности по п. 1, в котором первое сообщение дополнительно несет информацию гранулярности, соответствующую политике безопасности плоскости пользователя.
3. Способ защиты безопасности по п. 1 или 2, дополнительно содержащий этап, на котором:
передают, с помощью первого сетевого устройства доступа, второе сообщение во второе сетевое устройство доступа, при этом второе сообщение является сообщением ответа для первого сообщения, второе сообщение несет первую информацию указания, причем первая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию оконечным устройством.
4. Способ защиты безопасности по п. 3, в котором второе сообщение дополнительно несет один или оба из алгоритма безопасности плоскости пользователя, определенного первым сетевым устройством доступа, и информации гранулярности, соответствующей первой информации указания.
5. Способ защиты безопасности, применяемый к сценарию двойного соединения, содержащему первое сетевое устройство доступа и второе сетевое устройство доступа, причем первое сетевое устройство доступа является вторичной станцией с двойным соединением, второе сетевое устройство доступа является главной станцией с двойным соединением, содержащий этапы, на которых:
получают, с помощью второго сетевого устройства доступа, политику безопасности плоскости пользователя, используемую для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию вторым сетевым устройством доступа, при этом первое сообщение дополнительно несет тип разгрузки двойного соединения, представляющий собой разгрузку на основании вторичной станции или разгрузку на основании двух станций; и
передают, с помощью второго сетевого устройства доступа, первое сообщение первому сетевому устройству доступа, причем первое сообщение несет политику безопасности плоскости пользователя.
6. Способ защиты безопасности по п. 5, в котором первое сообщение дополнительно несет информацию гранулярности, соответствующую политике безопасности плоскости пользователя.
7. Способ защиты безопасности по п. 5 или 6, дополнительно содержащий этап, на котором:
принимают, с помощью второго сетевого устройства доступа, второе сообщение от первого сетевого устройства доступа, причем второе сообщение является сообщением ответа для первого сообщения, второе сообщение несет первую информацию указания и первая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию оконечным устройством.
8. Способ защиты безопасности по п. 7, дополнительно содержащий, после этапа приема, с помощью второго сетевого устройства доступа, второго сообщения от первого сетевого устройства доступа, этап, на котором:
передают, с помощью второго сетевого устройства доступа, третье сообщение на оконечное устройство, при этом третье сообщение несет вторую информацию указания, используемую для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию оконечным устройством.
9. Способ защиты безопасности по п. 8, дополнительно содержащий, перед этапом передачи, с помощью второго сетевого устройства доступа, третьего сообщения на оконечное устройство, этап, на котором:
определяют, с помощью второго сетевого устройства доступа, первую информацию указания в качестве второй информации указания, если первая информация указания согласуется с политикой безопасности плоскости пользователя.
10. Способ защиты безопасности по п. 8, дополнительно содержащий, перед этапом передачи, с помощью второго сетевого устройства доступа, третьего сообщения на оконечное устройство, этап, на котором:
отклоняют, с помощью второго сетевого устройства доступа, получение доступа первого сетевого устройства доступа, когда первая информация указания не согласована с политикой безопасности плоскости пользователя.
11. Сетевое устройство доступа, характеризующееся тем, что является первым сетевым устройством доступа, применяемым в сценарии двойного соединения, содержащем первое сетевое устройство доступа и второе сетевое устройство доступа, причем первое сетевое устройство доступа является вторичной станцией в двойном соединении, а второе сетевое устройство доступа является главной станцией в двойном соединении, содержащее:
блок связи, выполненный с возможностью приема первого сообщения от второго сетевого устройства доступа, причем первое сообщение несет политику безопасности плоскости пользователя и политика безопасности плоскости пользователя используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию первым сетевым устройством доступа, при этом первое сообщение дополнительно несет тип разгрузки двойного соединения, представляющий собой разгрузку на основании вторичной станции или разгрузку на основании двух станций; и
блок обработки, выполненный с возможностью определения алгоритма безопасности плоскости пользователя, на основании политики безопасности плоскости пользователя.
12. Сетевое устройство доступа по п. 11, в котором первое сообщение дополнительно несет информацию гранулярности, соответствующую политике безопасности плоскости пользователя.
13. Сетевое устройство доступа по п. 11 или 12, в котором
блок связи дополнительно выполнен с возможностью передачи второго сообщения второму сетевому устройству доступа, причем второе сообщение является сообщением ответа для первого сообщения, второе сообщение несет первую информацию указания, при этом первая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию оконечным устройством.
14. Сетевое устройство доступа по п. 13, в котором второе сообщение дополнительно несет один или оба из алгоритма безопасности плоскости пользователя, определенного блоком обработки, и информации гранулярности, соответствующей первой информации указания.
15. Сетевое устройство доступа, характеризующееся тем, что является вторым сетевым устройством доступа, применяемым в сценарии двойного соединения, содержащем первое сетевое устройство доступа и второе сетевое устройство доступа, причем первое сетевое устройство доступа является вторичной станцией в двойном соединении, а второе сетевое устройство доступа является главной станцией в двойном соединении, содержащее:
блок обработки, выполненный с возможностью получения политики безопасности плоскости пользователя, причем политика безопасности плоскости пользователя используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию вторым сетевым устройством доступа, при этом первое сообщение дополнительно несет тип разгрузки двойного соединения, представляющий собой разгрузку на основании вторичной станции или разгрузку на основании двух станций; и
блок связи, выполненный с возможностью передачи первого сообщения на первое сетевое устройство доступа, причем первое сообщение несет политику безопасности плоскости пользователя, полученную блоком обработки.
16. Сетевое устройство доступа по п. 15, в котором первое сообщение дополнительно несет информацию гранулярности, соответствующую политике безопасности плоскости пользователя.
17. Сетевое устройство доступа по п. 15 или 16, в котором блок связи дополнительно выполнен с возможностью приема второго сообщения от первого сетевого устройства доступа, причем второе сообщение является сообщением ответа для первого сообщения, второе сообщение несет первую информацию указания и первая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию оконечным устройством.
18. Сетевое устройство доступа по п. 17, в котором
блок связи дополнительно выполнен с возможностью передачи третьего сообщения на оконечное устройство, причем третье сообщение несет вторую информацию указания, используемую для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию оконечным устройством.
19. Сетевое устройство доступа по п. 18, в котором
блок обработки дополнительно выполнен с возможностью определения первой информации указания в качестве второй информации указания, когда первая информация указания, принятая блоком связи, согласована с политикой безопасности плоскости пользователя.
20. Сетевое устройство доступа по п. 18, в котором блок обработки дополнительно выполнен с возможностью отклонения доступа первого сетевого устройства доступа, когда первая информация указания, принятая блоком связи, не согласована с политикой безопасности плоскости пользователя.
21. Сетевое устройство доступа по п. 18, в котором
блок обработки дополнительно выполнен с возможностью использования первой информации указания, принятой блоком связи, в качестве второй информации указания, когда первое сообщение дополнительно несет тип разгрузки двойного соединения, и тип разгрузки является разгрузкой на основании вторичной станции.
22. Первое сетевое устройство доступа, содержащее:
по меньшей мере один процессор; и
память, соединенную с по меньшей мере одним процессором и хранящую программные инструкции, вызывающие, при исполнении указанным по меньшей мере одним процессором, выполнение первым сетевым устройством доступа способа защиты безопасности по любому из пп. 1-4.
23. Машиночитаемый носитель данных, хранящий инструкции, вызывающие, при исполнении устройством, выполнение устройством способа защиты безопасности по любому из пп. 1-4.
24. Второе сетевое устройство доступа, содержащее:
по меньшей мере один процессор; и
память, соединенную с по меньшей мере одним процессором и хранящую программные инструкции, вызывающие, при исполнении указанным по меньшей мере одним процессором, выполнение вторым сетевым устройством доступа способа защиты безопасности по любому из пп. 5-10.
25. Машиночитаемый носитель данных, хранящий инструкции, вызывающие, при исполнении устройством, выполнение устройством способа защиты безопасности по любому из пп. 5-10.
26. Система защиты безопасности связи, применяемая в сценарии двойного соединения, содержащая первое сетевое устройство доступа и второе сетевое устройство доступа, причем первое сетевое устройство доступа является вторичной станцией в сценарии двойного соединения, а второе устройство доступа сетевое устройство является главной станцией в сценарии двойного соединения; при этом
второе сетевое устройство доступа выполнено с возможностью получения политики безопасности плоскости пользователя, используемой для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию вторым сетевым устройством доступа; и передачи первого сообщения на первое сетевое устройство доступа, причем первое сообщение несет политику безопасности плоскости пользователя и тип разгрузки двойного соединения, причем тип разгрузки представляет собой разгрузку на основании вторичной станции или разгрузку на основании двух станций; а
первое сетевое устройство доступа выполнено с возможностью приема первого сообщения от второго сетевого устройства доступа и определения алгоритма безопасности плоскости пользователя на основании политики безопасности плоскости пользователя.
27. Система защиты безопасности связи по п. 26, в которой первое сетевое устройство доступа, в качестве альтернативы, выполнено с возможностью определения алгоритма безопасности плоскости пользователя, на основании политики безопасности плоскости пользователя по умолчанию, когда первое сетевое устройство доступа не может идентифицировать политику безопасности плоскости пользователя.
28. Система защиты безопасности связи по п. 26 или 27, в которой первое сетевое устройство доступа дополнительно выполнено с возможностью передачи второго сообщения второму сетевому устройству доступа, причем второе сообщение является сообщением ответа для первого сообщения, второе сообщение несет первую информацию указания и первая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию оконечным устройством; при этом
второе сетевое устройство доступа дополнительно выполнено с возможностью приема второго сообщения от первого сетевого устройства доступа.
29. Система защиты безопасности связи по п. 28, в которой второе сообщение дополнительно несет один или оба из алгоритма безопасности плоскости пользователя, определенного первым сетевым устройством доступа, и информации гранулярности, соответствующей первой информации указания.
30. Система защиты безопасности связи по п. 28 или 29, в которой первое сетевое устройство доступа дополнительно выполнено с возможностью передачи третьего сообщения на оконечное устройство, причем третье сообщение несет вторую информацию указания и вторая информация указания используется для указания типа защиты безопасности плоскости пользователя, подлежащего инициированию оконечным устройством.
31. Система защиты безопасности связи по п. 30, в которой третье сообщение дополнительно несет один или оба из алгоритма безопасности плоскости пользователя, определенного первым сетевым устройством доступа, и информации гранулярности, соответствующей второй информации указания.
32. Система защиты безопасности связи по п. 30 или 31, дополнительно содержащая оконечное устройство; при этом
оконечное устройство выполнено с возможностью приема третьего сообщения, переданного первым сетевым устройством доступа; и определения алгоритма безопасности плоскости пользователя на основании второй информации указания, переносимой в третьем сообщении.
NEC, Security mechanism for EN-DC (E-UTRAN - New Radio Dual Connectivity), 3GPP TSG-SA WG3 Meeting #87 (S3-171185), Ljubljana, Slovenia, 09.05.2017 (найден 21.04.2022), найден в Интернете https://www.3gpp.org/DynaReport/TDocExMtg--S3-87--32073.htm | |||
WO 2015037926 A1, 19.03.2015 | |||
WO 2015139434 A1, 24.09.2015 | |||
CN 106941700 A, 11.07.2017 | |||
US |
Авторы
Даты
2022-10-26—Публикация
2019-01-31—Подача