ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ
[0001] Настоящая заявка относится к области технологий связи и, в частности, к способу защиты усеченного параметра и устройству.
УРОВЕНЬ ТЕХНИКИ
[0002] В настоящее время в некоторых процедурах (например, в процедуре повторного установления, англ. reestablishment procedure) терминал отправляет устройству доступа к сети сообщение управления радиоресурсами (radio resource control, RRC), которое несет временной идентификатор мобильного абонента эволюции системной архитектуры 5-го поколения (5th generation-system architecture evolution-temporary mobile subscriber identity, 5G-S-TMSI), чтобы устройство доступа к сети могло определить конкретную функцию управления доступом и мобильностью (access and mobility management function, AMF) на основе 5G-S-TMSI.
[0003] Однако, поскольку сообщение RRC имеет ограниченную длину, сообщение RRC может не нести полного 5G-S-TMSI. В этом случае терминалу необходимо усечь 5G-S-TMSI с помощью усеченного параметра, а затем сообщить об усеченном 5G-S-TMSI устройству доступа к сети с помощью сообщения RRC. После получения параметра, полученного после усечения (например, усеченного 5G-S-TMSI), устройство доступа к сети восстанавливает параметр, полученный после усечения, до полного параметра (например, полного 5G-S-TMSI).
[0004] В другом подобном сценарии терминалу также может потребоваться усекать некоторые другие конкретные параметры и выполнить подобную операцию, описанную выше.
[0005] Усеченный параметр, используемый терминалом, обычно настраивается на стороне сети. Контекст безопасности уровня доступа (access stratum, AS) не установлен между устройством доступа к сети и терминал использует функцию оптимизации системы 5-го поколения (5th generation system, 5GS) плоскости управления сотового интернета вещей (cellular internet of things, CIoT). Следовательно, устройство доступа к сети не может выполнять защиту безопасности AS в отношении усеченного параметра, а устройство доступа к сети может только отправить на терминал усеченный параметр без защиты безопасности AS. В этом случае усеченный параметр может быть изменен злоумышленником. Когда усеченный параметр изменен, терминал не может получить правильный усеченный параметр. В результате терминал не может получить доступ к сети.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
[0006] Настоящая заявка обеспечивает способ защиты усеченного параметра, устройство, считываемый компьютером носитель данных и микросхему для снижения риска безопасности усеченного параметра в процессе передачи.
[0007] В соответствии с первым аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию, при этом предварительно заданное условие включает в себя то, что терминал использует функцию оптимизации CIoT 5GS плоскости управления. Сетевой элемент управления мобильностью отправляет в терминал, когда терминал соответствует предварительно заданному условию, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя усеченный параметр, и усеченный параметр используется для усечения 5G-S-TMSI терминала.
[0008] На основе технического решения в настоящей заявке, когда терминал соответствует предварительно заданному условию, терминал является терминалом, который использует функцию оптимизации CIoT 5GS плоскости управления. Следовательно, сетевой элемент управления мобильностью отправляет на терминал сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, так что терминал получает усеченный параметр, в отношении которого выполняется защита безопасности NAS. Таким образом гарантируется, что усеченный параметр, полученный терминалом, не будет заменен или подделан, за счет чего избегается атака отказа в обслуживании, запущенная злоумышленником против терминала, и дополнительно гарантируется, что терминал может нормально получить доступ к сети.
[0009] В возможном исполнении усеченный параметр предварительно сохраняется в сетевом элементе управления мобильностью. Таким образом, сетевому элементу управления мобильностью не нужно получать усеченный параметр от другого устройства (например, устройства доступа к сети), за счет чего процедура упрощается.
[0010] В возможном исполнении способ дополнительно включает в себя: Сетевой элемент управления мобильностью принимает усеченный параметр, отправленный устройством доступа к сети. Можно понять, что сетевой элемент управления мобильностью получает усеченный параметр от устройства доступа к сети. Следовательно, сетевому элементу управления мобильностью не нужно предварительно конфигурировать усеченный параметр, тем самым уменьшая сложность конфигурации усеченного параметра.
[0011] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию, включает в себя: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.
[0012] В возможном исполнении предварительно заданное условие дополнительно включает в себя то, что терминал изначально зарегистрирован в сети. То, что сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию, включает в себя: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и зарегистрирован ли терминал изначально в сети. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминал изначально зарегистрирован в сети, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления или терминал изначально не зарегистрирован в сети, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.
[0013] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, зарегистрирован ли терминал изначально в сети, включает в себя: Сетевой элемент управления мобильностью определяет на основе типа регистрации, о котором сообщил терминал, что терминал изначально зарегистрирован в сети.
[0014] В возможном исполнении предварительно заданное условие дополнительно включает в себя то, что терминалу нужно обновить усеченный параметр. То, что сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию, включает в себя: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и нужно ли терминалу обновить усеченный параметр. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминалу нужно обновить усеченный параметр, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления или терминалу не нужно обновлять усеченный параметр, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.
[0015] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, нужно ли терминалу обновить усеченный параметр, включает в себя: Когда усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, отличается от усеченного параметра, который хранится в контексте терминала, сетевой элемент управления мобильностью определяет, что терминалу нужно обновить усеченный параметр.
[0016] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, нужно ли терминалу обновить усеченный параметр, включает в себя: После того как сетевой элемент управления мобильностью обновляет усеченный параметр, сетевой элемент управления мобильностью определяет, что терминалу нужно обновить усеченный параметр. В возможном исполнении то, что сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления, включает в себя: Если предпочтительное поведение сети, сообщаемое терминалом, указывает, что терминал предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления, и сетевой элемент управления мобильностью поддерживает функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.
[0017] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления, включает в себя: Если контекст терминала указывает, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.
[0018] В возможном исполнении то, что сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию, включает в себя: После того, как сетевой элемент управления мобильностью принимает сообщение запроса регистрации или сообщение запроса услуги терминала, сетевой элемент управления мобильностью определяет, соответствует ли терминал предварительно заданному условию.
[0019] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением о принятии услуги или сообщением о принятии регистрации.
[0020] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[0021] В возможном исполнении способ дополнительно включает в себя: Сетевой элемент управления мобильностью обновляет усеченный параметр на основе количества ID наборов AMF и/или количества указателей AMF. Альтернативно сетевой элемент управления мобильностью обновляет усеченный параметр в соответствии с инструкцией системы управления сетью. В качестве альтернативы сетевой элемент управления мобильностью принимает обновленный усеченный параметр, отправленный устройством доступа к сети.
[0022] Согласно второму аспекту предоставляется способ защиты усеченного параметра, который включает в себя: Терминал принимает сообщение NAS нисходящей линии связи, которое отправлено сетевым элементом управления мобильностью и в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя усеченный параметр, и усеченный параметр используется для усечения 5G-S-TMSI терминала. Терминал выполняет снятие защиты безопасности с сообщения NAS нисходящей линии связи. Терминал сохраняет усеченный параметр после успешного выполнения снятия защиты безопасности с сообщения NAS нисходящей линии связи.
[0023] На основе технического решения в настоящей заявке, поскольку усеченный параметр переносится в сообщении NAS нисходящей линии связи, для которого выполняется защита безопасности NAS, усеченный параметр также находится под защитой безопасности NAS. Таким образом гарантируется, что усеченный параметр не будет заменен или подделан, за счет чего избегается атака отказа в обслуживании, запущенная злоумышленником против терминала, и дополнительно гарантируется, что терминал может нормально получить доступ к сети.
[0024] В возможном исполнении то, что терминал сохраняет усеченный параметр, включает в себя: Уровень NAS терминала сохраняет усеченный параметр.
[0025] В возможном исполнении способ дополнительно включает в себя: Уровень NAS терминала отправляет усеченный параметр уровню RRC терминала. Уровень RRC терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.
[0026] В возможном исполнении способ дополнительно включает в себя: Уровень NAS терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.
[0027] В возможном исполнении то, что терминал сохраняет усеченный параметр, включает в себя: Уровень NAS терминала отправляет усеченный параметр уровню RRC терминала. Уровень RRC терминала сохраняет усеченный параметр.
[0028] В возможном исполнении способ дополнительно включает в себя: Уровень RRC терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.
[0029] В возможном исполнении способ дополнительно включает в себя: Уровень RRC терминала отправляет усеченный параметр уровню NAS терминала. Уровень NAS терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.
[0030] В возможном исполнении способ дополнительно включает в себя: Терминал отправляет сообщение запроса на повторное установление RRC устройству доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.
[0031] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением о принятии услуги или сообщением о принятии регистрации.
[0032] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[0033] В соответствии с третьим аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS. Устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS, где усеченный параметр используется для усечения 5G-S-TMSI терминала.
[0034] На основе технического решения в настоящей заявке устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS, чтобы сетевой элемент управления мобильностью выполнял защиту безопасности NAS в отношении усеченного параметра. Таким образом, предотвращается прямая отправка устройством доступа к сети усеченного параметра без защиты безопасности терминалу, и снижается риск безопасности усеченного параметра в процессе передачи.
[0035] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если информация указания возможностей терминала используется для указания того, что терминал поддерживает функцию оптимизации CIoT 5GS, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.
[0036] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если частота, используемая терминалом, совпадает с частотой, используемой устройством CIoT, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.
[0037] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если тип сообщения, отправленного терминалом, совпадает с типом сообщения, отправленного устройством CIoT, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.
[0038] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: После того, как устройство доступа к сети получает сообщение RRC восходящей линии связи, отправленное терминалом, устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS.
[0039] В возможном исполнении сообщение RRC восходящей линии связи является сообщением запроса установления RRC или сообщением завершения установления RRC.
[0040] В возможном исполнении то, что устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, включает в себя: Устройство доступа к сети отправляет начальное сообщение UE сетевому элементу управления мобильностью, где начальное сообщение UE включает в себя усеченный параметр.
[0041] В возможном исполнении усеченный параметр предварительно сохраняется в устройстве доступа к сети.
[0042] В возможном исполнении способ дополнительно включает в себя: Устройство доступа к сети принимает сообщение запроса на повторное установление RRC, отправленное терминалом, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.
[0043] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[0044] В соответствии с четвертым аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Сетевой элемент управления мобильностью обновляет усеченный параметр, при этом усеченный параметр используется для усечения 5G-S-TMSI. Сетевой элемент управления мобильностью ищет терминал, который использует функцию оптимизации CIoT 5GS плоскости управления. Сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, при этом сообщение NAS нисходящей линии связи включает в себя обновленный усеченный параметр.
[0045] На основе технического решения в настоящей заявке, в сценарии, в котором сетевой элемент управления мобильностью обновляет усеченный параметр, сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS. Поскольку обновленный усеченный параметр передается в сообщении NAS нисходящей линии связи, обновленный усеченный параметр не заменяется и не подделывается злоумышленником во время передачи по радиоинтерфейсу. Таким образом, терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, может своевременно получить правильный обновленный усеченный параметр, чтобы гарантировать, что терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, может нормально получить доступ к сети.
[0046] В возможном исполнении то, что сетевой элемент управления мобильностью, обновляющий усеченный параметр, включает в себя: Сетевой элемент управления мобильностью обновляет усеченный параметр на основе количества ID наборов AMF и/или количества указателей AMF. Альтернативно сетевой элемент управления мобильностью обновляет усеченный параметр в соответствии с инструкцией системы управления сетью. В качестве альтернативы сетевой элемент управления мобильностью принимает обновленный усеченный параметр, отправленный устройством доступа к сети.
[0047] В возможном исполнении то, что сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, включает в себя: Когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в подключенном состоянии, сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.
[0048] В возможном исполнении то, что сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, включает в себя: Когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, сетевой элемент управления мобильностью ожидает перехода терминала, который использует функцию оптимизации CIoT 5GS плоскости управления, в подключенное состояние. После того, как терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, переходит в подключенное состояние, а сетевой элемент управления мобильностью и терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, активируют безопасность NAS, сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.
[0049] В возможном исполнении то, что сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, включает в себя: Когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, сетевой элемент управления мобильностью предписывает, посредством поискового вызова, терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, перейти в подключенное состояние. После того, как терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, переходит в подключенное состояние, а сетевой элемент управления мобильностью и терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, активируют безопасность NAS, сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.
[0050] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением команды обновления конфигурации UE или сообщением о принятии услуги.
[0051] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[0052] В соответствии с пятым аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Сетевой элемент управления мобильностью принимает усеченный параметр, отправленный устройством доступа к сети, где усеченный параметр используется для усечения 5G-S-TMSI терминала. Сетевой элемент управления мобильностью выполняет вычисление целостности 5G-S-TMSI терминала на основе контекста безопасности NAS терминала, для формирования первого NAS MAC. Сетевой элемент управления мобильностью отправляет первый NAS MAC устройству доступа к сети.
[0053] На основе технического решения в настоящей заявке сетевой элемент управления мобильностью выполняет вычисление целостности усеченного параметра, чтобы получить первый NAS MAC, и отправляет первый NAS MAC устройству доступа к сети. Таким образом, устройство доступа к сети может отправить первый NAS MAC и усеченный параметр терминалу, чтобы гарантировать, что усеченный параметр не будет заменен или подделан злоумышленником в процессе передачи, тем самым снижая риск безопасности усеченного параметр в процессе передачи.
[0054] В возможном исполнении способ дополнительно включает в себя: Сетевой элемент управления мобильностью принимает информацию указания защиты и/или параметр актуальности, отправленный устройством доступа к сети, где информация указания защиты используется для указания сетевому элементу управления мобильностью выполнить защиту безопасности в отношении усеченного параметра, а параметр актуальности используется для вычисления целостности усеченного параметра.
[0055] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[0056] В соответствии с шестым аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, где усеченный параметр используется для усечения 5G-S-TMSI терминала. Устройство доступа к сети принимает первый NAS MAC, отправленный сетевым элементом управления мобильностью, где первый NAS MAC получается путем выполнения вычисления целостности усеченного параметра. Устройство доступа к сети отправляет терминалу первый NAS MAC и усеченный параметр.
[0057] Основываясь на техническом решении в настоящей заявке, устройство доступа к сети может отправить первый NAS MAC и усеченный параметр терминалу, чтобы гарантировать, что усеченный параметр не будет заменен или подделан злоумышленником в процессе передачи, тем самым уменьшая риск безопасности усеченного параметра в процессе передачи.
[0058] В возможном исполнении способ дополнительно включает в себя: Устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS. То, что устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, включает в себя: Устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS.
[0059] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если информация указания возможностей терминала используется для указания того, что терминал поддерживает функцию оптимизации CIoT 5GS, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.
[0060] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если частота, используемая терминалом, совпадает с частотой, используемой устройством CIoT, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.
[0061] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: Если тип сообщения, отправленного терминалом, совпадает с типом сообщения, отправленного устройством CIoT, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.
[0062] В возможном исполнении то, что устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS, включает в себя: После того, как устройство доступа к сети получает сообщение RRC восходящей линии связи, отправленное терминалом, устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS.
[0063] В возможном исполнении сообщение RRC восходящей линии связи является сообщением запроса установления RRC или сообщением завершения установления RRC.
[0064] В возможном исполнении способ дополнительно включает в себя: Устройство доступа к сети отправляет информацию указания защиты и/или параметр актуальности сетевому элементу управления мобильностью, где информация указания защиты используется для указания сетевому элементу управления мобильностью выполнять защиту безопасности в отношении усеченного параметра, а параметр актуальности используется для вычисления целостности усеченного параметра.
[0065] В возможном исполнении способ дополнительно включает в себя: Устройство доступа к сети принимает сообщение запроса на повторное установление RRC, отправленное терминалом, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.
[0066] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[0067] В соответствии с седьмым аспектом предоставляется способ защиты усеченного параметра, который включает в себя: Терминал принимает первый NAS MAC и усеченный параметр, отправленные устройством доступа к сети, где усеченный параметр используется для усечения 5G-S-TMSI терминала. Терминал выполняет вычисление целостности усеченного параметра на основе контекста безопасности NAS, для формирования второго NAS MAC. Терминал проверяет первый NAS MAC на основе второго NAS MAC. Терминал сохраняет усеченный параметр, если проверка первого NAS MAC прошла успешно.
[0068] На основании технического решения в настоящей заявке, поскольку терминал принимает первый NAS MAC и усеченный параметр, терминал может проверить целостность усеченного параметра путем проверки первого NAS MAC. При определении того, что усеченный параметр не заменен и не подделан, терминал сохраняет усеченный параметр для усечения 5G-S-TMSI на основе усеченного параметра в последующем процессе.
[0069] В возможном исполнении то, что терминал сохраняет усеченный параметр, включает в себя : Уровень RRC терминала сохраняет усеченный параметр.
[0070] В возможном исполнении способ дополнительно включает в себя: Уровень RRC терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.
[0071] В возможном исполнении способ дополнительно включает в себя: Уровень RRC терминала отправляет усеченный параметр уровню NAS терминала. Уровень NAS терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.
[0072] В возможном исполнении то, что терминал сохраняет усеченный параметр, включает в себя в себя: Уровень RRC терминала отправляет усеченный параметр уровню NAS терминала. Уровень NAS терминала сохраняет усеченный параметр.
[0073] В возможном исполнении способ дополнительно включает в себя: Уровень NAS терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.
[0074] В возможном исполнении способ дополнительно включает в себя: Уровень NAS терминала отправляет усеченный параметр уровню RRC терминала. Уровень RRC терминала усекает 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.
[0075] В возможном исполнении способ дополнительно включает в себя: Терминал отправляет сообщение запроса на повторное установление RRC в устройство доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.
[0076] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[0077] В соответствии с восьмым аспектом предоставляется устройство связи, которое включает в себя: модуль обработки, выполненный с возможностью определения того, соответствует ли терминал предварительно заданному условию, где предварительно заданное условие включает в себя то, что терминал использует функцию оптимизации CIoT 5GS плоскости управления; и модуль связи, выполненный с возможностью отправки терминалу, когда терминал соответствует предварительно заданному условию, сообщения NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя усеченный параметр, и усеченный параметр используется для усечения 5G-S-TMSI терминала.
[0078] В возможном исполнении устройство связи дополнительно включает в себя модуль хранения; и модуль хранения выполнен с возможностью сохранения усеченного параметра.
[0079] В возможном исполнении модуль связи дополнительно выполнен с возможностью приема усеченного параметра, отправленного устройством доступа к сети.
[0080] В возможном исполнении то, что модуль обработки выполнен с возможностью определения того, соответствует ли терминал предварительно заданному условию, включает в себя: определение того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления; и если терминал использует функцию оптимизации CIoT 5GS плоскости управления, определение того, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления, определение того, что терминал не соответствует предварительно заданному условию.
[0081] В возможном исполнении предварительно заданное условие дополнительно включает в себя то, что терминал изначально зарегистрирован в сети. То, что модуль обработки выполнен с возможностью определения того, соответствует ли терминал предварительно заданному условию, включает в себя: определение того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и был ли терминал изначально зарегистрирован в сети; и если терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминал изначально зарегистрирован в сети, определение того, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления или терминал изначально не зарегистрирован в сети, определение того, что терминал не соответствует предварительно заданному условию.
[0082] В возможном исполнении модуль обработки, в частности, выполнен с возможностью определения на основе типа регистрации, сообщаемого терминалом, того, что терминал изначально зарегистрирован в сети.
[0083] В возможном исполнении предварительно заданное условие дополнительно включает в себя то, что терминалу нужно обновить усеченный параметр. То, что модуль обработки выполнен с возможностью определения того, соответствует ли терминал предварительно заданному условию, включает в себя: определение того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и нужно ли терминалу обновить усеченный параметр; и если терминал использует функцию оптимизации CIoT 5GS плоскости управления, и терминалу нужно обновить усеченный параметр, определение того, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления или терминалу не нужно обновлять усеченный параметр, определение того, что терминал не соответствует предварительно заданному условию.
[0084] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: когда усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, отличается от усеченного параметра, который хранится в контексте терминала, определения того, что терминалу нужно обновить усеченный параметр.
[0085] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: после того, как сетевой элемент управления мобильностью обновит усеченный параметр, определения того, что терминалу нужно обновить усеченный параметр.
[0086] В возможном исполнении модуль обработки дополнительно выполнен с возможностью обновления усеченного параметра на основе количества ID наборов AMF и/или количества указателей AMF; или обновления усеченного параметра в соответствии с инструкцией системы управления сетью; или получения обновленного усеченного параметра, отправленного устройством доступа к сети.
[0087] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если предпочтительное поведение сети, о котором сообщает терминал, указывает, что терминал предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления, а сетевой элемент управления мобильностью поддерживает функцию оптимизации CIoT 5GS плоскости управления, определения того, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.
[0088] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если контекст терминала указывает, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, определения того, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.
[0089] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: после того, как модуль связи принимает сообщение запроса регистрации или сообщение запроса на обслуживание от терминала, определения того, соответствует ли терминал предварительно заданному условию.
[0090] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением о принятии услуги или сообщением о принятии регистрации.
[0091] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[0092] В возможном исполнении модуль обработки выполнен с возможностью обновления усеченного параметра на основе количества ID наборов AMF и/или количества указателей AMF.
[0093] В возможном исполнении модуль обработки выполнен с возможностью обновления усеченного параметра в соответствии с инструкцией системы управления сетью.
[0094] В возможном исполнении модуль связи дополнительно выполнен с возможностью приема обновленного усеченного параметра, отправленного устройством доступа к сети.
[0095] В соответствии с девятым аспектом предоставляется устройство связи, которое включает в себя: модуль связи, выполненный с возможностью приема сообщения NAS нисходящей линии связи, которое отправлено сетевым элементом управления мобильностью и на котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя усеченный параметр, и усеченный параметр используется для усечения 5G-S-TMSI терминала; модуль обработки, выполненный с возможностью выполнения снятия защиты безопасности с сообщения NAS нисходящей линии связи; и модуль хранения, выполненный с возможностью сохранения усеченного параметра после того, как модуль обработки успешно выполнит снятие защиты безопасности с сообщения NAS нисходящей линии связи.
[0096] В возможном исполнении модуль хранения выполнен с возможностью сохранения усеченного параметра, включающего в себя: сохранение посредством уровня NAS усеченного параметра.
[0097] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включающего в себя: отправку посредством уровня NAS усеченного параметра уровню RRC; и усечение посредством уровня RRC 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.
[0098] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включающего в себя: усечение посредством уровня NAS 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI; и отправку посредством уровня NAS усеченного 5G-S-TMSI уровню RRC.
[0099] В возможном исполнении модуль хранения выполнен с возможностью сохранения усеченного параметра, включающего в себя: отправку посредством уровня NAS усеченного параметра уровню RRC; и сохранение посредством уровня RRC усеченного параметра.
[00100] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включающего в себя: усечение посредством уровня RRC 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.
[00101] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включающего в себя: отправку посредством уровня RRC усеченного параметра уровню NAS; усечение посредством уровня NAS 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI; и отправку посредством уровня NAS усеченного 5G-S-TMSI уровню RRC.
[00102] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением о принятии услуги или сообщением о принятии регистрации.
[00103] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[00104] В возможном исполнении модуль связи дополнительно выполнен с возможностью отправки сообщения запроса на повторное установление RRC устройству доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.
[00105] В соответствии с десятым аспектом предоставляется устройство связи, которое включает в себя: модуль обработки, выполненный с возможностью определения того, поддерживает ли терминал функцию оптимизации CIoT 5GS; и модуль связи, выполненный с возможностью: отправки усеченного параметра сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS, где усеченный параметр используется для усечения 5G-S-TMSI терминала.
[00106] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если информация указания возможностей терминала используется для указания того, что терминал поддерживает функцию оптимизации CIoT 5GS, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.
[00107] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если частота, используемая терминалом, совпадает с частотой, используемой устройством CIoT, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.
[00108] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если тип сообщения, отправленного терминалом, совпадает с типом сообщения, отправленного устройством CIoT, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.
[00109] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: после того, как модуль связи получит сообщение RRC восходящей линии связи, отправленное терминалом, определения того, поддерживает ли терминал функцию оптимизации CIoT 5GS.
[00110] В возможном исполнении сообщение RRC восходящей линии связи является сообщением запроса установления RRC или сообщением завершения установления RRC.
[00111] В возможном исполнении модуль связи, в частности, выполнен с возможностью отправки начального сообщения UE сетевому элементу управления мобильностью, где начальное сообщение UE включает в себя усеченный параметр.
[00112] В возможном исполнении устройство связи дополнительно включает в себя модуль хранения; и модуль хранения выполнен с возможностью сохранения усеченного параметра.
[00113] В возможном исполнении модуль связи выполнен с возможностью приема сообщения запроса на повторное установление RRC, отправленного терминалом, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.
[00114] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[00115] В соответствии с одиннадцатым аспектом предоставляется устройство связи, которое включает в себя: модуль обработки, выполненный с возможностью: обновления усеченного параметра, где усеченный параметр используется для усечения 5G-S-TMSI; и поиска терминала, который использует функцию оптимизации CIoT 5GS плоскости управления; и модуль связи, выполненный с возможностью отправки на терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщения NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя обновленный усеченный параметр.
[00116] В возможном исполнении модуль обработки выполнен с возможностью обновления усеченного параметра на основе количества ID наборов AMF и/или количества указателей AMF; или обновления усеченного параметра в соответствии с инструкцией системы управления сетью; или получения обновленного усеченного параметра, отправленного устройством доступа к сети.
[00117] В возможном исполнении модуль связи, в частности, выполнен с возможностью: когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в подключенном состоянии, отправки сообщения NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.
[00118] В возможном исполнении модуль связи, в частности, выполнен с возможностью: когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, ожидания, пока терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, перейдет в подключенное состояние; и после того, как терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, переходит в подключенное состояние, и сетевой элемент управления мобильностью и терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, активируют безопасность NAS, отправки сообщения NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.
[00119] В возможном исполнении модуль связи, в частности, выполнен с возможностью: когда терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, предписания, посредством поискового вызова терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, перейти в подключенное состояние; и после того, как терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, переходит в подключенное состояние, а сетевой элемент управления мобильностью и терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, активируют безопасность NAS, отправки сообщения NAS нисходящей линии связи терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления.
[00120] В возможном исполнении сообщение NAS нисходящей линии связи является сообщением команды обновления конфигурации UE или сообщением о принятии услуги.
[00121] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI.
[00122] Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[00123] В соответствии с двенадцатым аспектом предоставляется устройство связи, которое включает в себя: модуль связи, выполненный с возможностью приема усеченного параметра, отправленного устройством доступа к сети, где усеченный параметр используется для усечения 5G-S-TMSI терминала; и модуль обработки, выполненный с возможностью выполнения вычисления целостности 5G-S-TMSI терминала на основе контекста безопасности NAS терминала, для формирования первого NAS MAC, где модуль связи дополнительно выполнен с возможностью отправки первого NAS MAC устройству доступа к сети.
[00124] В возможном исполнении модуль связи дополнительно выполнен с возможностью приема информации указания защиты и/или параметра актуальности, отправленного устройством доступа к сети, где информация указания защиты используется для указания сетевому элементу управления мобильностью выполнить защиту безопасности в отношении усеченного параметра, а параметр актуальности используется для вычисления целостности усеченного параметра.
[00125] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[00126] В соответствии с тринадцатым аспектом предоставляется устройство связи, которое включает в себя: модуль связи, выполненный с возможностью: отправки усеченного параметра сетевому элементу управления мобильностью, где усеченный параметр используется для усечения 5G-S-TMSI терминала ; приема первого NAS MAC, отправленного сетевым элементом управления мобильностью, где первый NAS MAC получается путем выполнения вычисления целостности усеченного параметра; и отправки первого NAS MAC и усеченного параметра терминалу.
[00127] В возможном исполнении устройство связи дополнительно включает в себя модуль обработки; модуль обработки выполнен с возможностью определения того, поддерживает ли терминал функцию оптимизации CIoT 5GS; и модуль связи, в частности, выполнен с возможностью отправки усеченного параметра сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS.
[00128] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если информация указания возможностей терминала используется для указания того, что терминал поддерживает функцию оптимизации CIoT 5GS, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.
[00129] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если частота, используемая терминалом, совпадает с частотой, используемой устройством CIoT, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.
[00130] В возможном исполнении модуль обработки, в частности, выполнен с возможностью: если тип сообщения, отправленного терминалом, совпадает с типом сообщения, отправленного устройством CIoT, определения того, что терминал поддерживает функцию оптимизации CIoT 5GS.
[00131] В возможном исполнении модуль связи дополнительно выполнен с возможностью приема сообщения RRC восходящей линии связи, отправленного терминалом; и модуль обработки, в частности, выполнен с возможностью: после того, как модуль связи получит сообщение RRC восходящей линии связи, отправленное терминалом, определения того, поддерживает ли терминал функцию оптимизации CIoT 5GS.
[00132] В возможном исполнении сообщение RRC восходящей линии связи является сообщением запроса установления RRC или сообщением завершения установления RRC.
[00133] В возможном исполнении модуль связи дополнительно выполнен с возможностью отправки информации указания защиты и/или параметра актуальности сетевому элементу управления мобильностью, где информация указания защиты используется для указания сетевому элементу управления мобильностью выполнять защиту безопасности в отношении усеченного параметра, а параметр актуальности используется для вычисления целостности усеченного параметра.
[00134] В возможном исполнении модуль связи дополнительно выполнен с возможностью приема сообщения запроса на повторное установление RRC, отправленного терминалом, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.
[00135] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[00136] В соответствии с четырнадцатым аспектом предоставляется устройство связи, которое включает в себя: модуль связи, выполненный с возможностью приема первого NAS MAC и усеченного параметра, которые отправляются устройством доступа к сети, где усеченный параметр используется для усечения 5G-S-TMSI терминала; модуль обработки, выполненный с возможностью: выполнения вычисления целостности усеченного параметра на основе контекста безопасности NAS для формирования второго NAS MAC; и проверки первого NAS MAC на основе второго NAS MAC; и модуль хранения, выполненный с возможностью сохранения усеченного параметра, если проверка первого NAS MAC прошла успешно.
[00137] В возможном исполнении модуль хранения выполнен с возможностью сохранения усеченного параметра, включая: сохранение посредством уровня RRC усеченного параметра.
[00138] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включая: усечение посредством уровня RRC 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.
[00139] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включая: отправку посредством уровня RRC усеченного параметра уровню NAS; усечение посредством уровня NAS 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI; и отправку посредством уровня NAS усеченного 5G-S-TMSI уровню RRC.
[00140] В возможном исполнении модуль хранения выполнен с возможностью сохранения усеченного параметра, включая: отправку посредством уровня RRC усеченного параметра уровню NAS; и сохранение посредством уровня NAS усеченного параметра.
[00141] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включая: усечение посредством уровня NAS 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI; и отправку посредством уровня NAS усеченного 5G-S-TMSI уровню RRC.
[00142] В возможном исполнении модуль обработки дополнительно выполнен с возможностью получения усеченного 5G-S-TMSI, включая: отправку посредством уровня NAS усеченного параметра уровню RRC; и усечение посредством уровня RRC 5G-S-TMSI терминала на основе усеченного параметра для получения усеченного 5G-S-TMSI.
[00143] В возможном исполнении модуль связи дополнительно выполнен с возможностью отправки сообщения запроса на повторное установление RRC устройству доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.
[00144] В возможном исполнении биты с первого по десятый в 5G-S-TMSI используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI. Усеченный параметр включает в себя первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, и второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[00145] В соответствии с пятнадцатым аспектом предоставляется устройство связи, которое включает в себя процессор и интерфейс связи. Процессор выполнен с возможностью выполнения инструкции компьютерной программы, так что устройство связи реализует способ защиты усеченного параметра согласно любому исполнению, предусмотренному в любом из аспектов с первого по седьмой.
[00146] Согласно шестнадцатому аспекту предоставлен считываемый компьютером носитель данных. Считываемый компьютером носитель хранит инструкцию, и когда инструкция выполняется на компьютере, компьютер получает возможность реализовать способ защиты усеченного параметра согласно любому исполнению, предусмотренному в любом из аспектов с первого по седьмой.
[00147] Согласно семнадцатому аспекту предоставляется компьютерный программный продукт. Компьютерный программный продукт включает в себя инструкцию, и когда компьютерный программный продукт запускается на компьютере, компьютер получает возможность реализовать способ защиты усеченного параметра согласно любому исполнению, предусмотренному в любом из аспектов с первого по седьмой.
[00148] Согласно восемнадцатому аспекту предоставляется микросхема. Микросхема включает в себя процессор, и когда процессор выполняет инструкцию компьютерной программы, микросхема получает возможность реализовать способ защиты усеченного параметра согласно любому исполнению от первого аспекта до седьмого аспекта.
[00149] Согласно девятнадцатому аспекту предоставляется система связи. Система связи включает в себя сетевой элемент управления мобильностью и устройство доступа к сети. Сетевой элемент управления мобильностью выполнен с возможностью выполнения способа защиты усеченного параметра в любом исполнении первого аспекта. Устройство доступа к сети выполнено с возможностью выполнения способа защиты усеченного параметра в любом исполнении третьего аспекта.
[00150] В соответствии с двадцатым аспектом предоставляется система связи. Система связи включает в себя сетевой элемент управления мобильностью и устройство доступа к сети. Сетевой элемент управления мобильностью выполнен с возможностью выполнения способа защиты усеченного параметра согласно любому исполнению пятого аспекта. Устройство доступа к сети выполнено с возможностью выполнения способа защиты усеченного параметра согласно любому исполнению шестого аспекта.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[00151] Фиг. 1 представляет собой схематическую диаграмму процесса шифрования/дешифрования;
[00152] Фиг. 2 представляет собой схематическую диаграмму вычисления MAC передатчиком;
[00153] Фиг. 3 представляет собой схематическую диаграмму вычисления MAC приемником;
[00154] Фиг. 4 представляет собой схематическую диаграмму процедуры конфигурации усеченных параметров согласно известной технологии;
[00155] Фиг. 5 представляет собой схематическую структурную диаграмму сети 5G в соответствии с вариантом осуществления настоящей заявки;
[00156] Фиг. 6 представляет собой схематическую диаграмму стека протоколов согласно варианту осуществления настоящей заявки;
[00157] Фиг. Фиг. 7 представляет собой схематическую структурную диаграмму аппаратуры в соответствии с вариантом осуществления настоящей заявки;
[00158] Фиг. 8 представляет собой блок-схему последовательности операций способа защиты усеченного параметра согласно варианту осуществления настоящей заявки;
[00159] Фиг. 9 представляет собой еще одну блок-схему последовательности операций способа защиты усеченного параметра согласно варианту осуществления настоящей заявки;
[00160] Фиг. 10 представляет собой еще одну блок-схему последовательности операций способа защиты усеченного параметра согласно варианту осуществления настоящей заявки;
[00161] Фиг. 11 представляет собой еще одну блок-схему последовательности операций способа защиты усеченного параметра согласно варианту осуществления настоящей заявки;
[00162] Фиг. 12 представляет собой еще одну блок-схему последовательности операций способа защиты усеченного параметра согласно варианту осуществления настоящей заявки;
[00163] Фиг. Фиг. 13 представляет собой схематическую структурную диаграмму терминала в соответствии с вариантом осуществления настоящей заявки;
[00164] Фиг. Фиг. 14 представляет собой схематическую структурную диаграмму устройства доступа к сети согласно варианту осуществления настоящей заявки; и
[00165] Фиг. 15 представляет собой схематическую структурную диаграмму сетевого элемента управления мобильностью согласно варианту осуществления настоящей заявки.
Описание вариантов осуществления
[00166] В описании настоящей заявки, если не указано иное, «/» означает «или». Например, A/B может представлять A или B. Термин «и/или» в настоящем описании описывает только отношение ассоциации для ассоциированных объектов и означает, что могут существовать три отношения. Например, A и/или B может представлять следующие три случая: Существует только A, существуют как A, так и B, и существует только B. Кроме того, «по меньшей мере один» означает один или более, а «множество» означает два или более. Такие слова, как «первый» и «второй», не ограничивают количество и последовательность выполнения, а такие слова, как «первый» и «второй», не указывают на определенную разницу.
[00167] Следует отметить, что в настоящей заявке такие слова, как «пример» или «например», используются для представления примера, иллюстрации или описания. Любой вариант осуществления или схему проектирования, которые описаны как «пример» или «например» в данной заявке, не следует интерпретировать как более предпочтительный или имеющий больше преимуществ, чем другой вариант осуществления или схема проектирования. В частности, использование таких слов, как «пример» или «например», предназначено для представления связанной концепции определенным образом.
[00168] В описаниях настоящей заявки «указание» может включать в себя прямое указание и косвенное указание или может включать в себя явное указание и неявное указание. Информация, указанная частью информации (первая информация указания, описанная ниже), упоминается как подлежащая указания информация. В конкретном процессе реализации существует множество способов указания информации, подлежащей указанию. Например, подлежащая указанию информация может быть указана непосредственно, где указана сама подлежащая указанию информация, индекс подлежащей указанию информации и т.п. В другом примере подлежащая указанию информация может быть косвенно указана посредством указания другой информации, и существует ассоциативное отношение между другой информацией и подлежащей указанию информацией. В другом примере может быть указана только часть подлежащей указанию информации, а другая часть подлежащей указанию информации уже известна или предварительно согласована. Кроме того, конкретная информация также может быть указана с использованием заранее согласованной (например, предусмотренной в протоколе) последовательности размещения различных частей информации, чтобы до некоторой степени уменьшить служебные данные указания.
[00169] Чтобы облегчить понимание технических решений настоящей заявки, нижеследующее сначала кратко описывает термины, используемые в настоящей заявке.
[00170] 1. Шифрование/дешифрование
[00171] Шифрование/дешифрование защищает конфиденциальность данных во время передачи. (Поэтому шифрование/дешифрование также можно назвать защитой конфиденциальности.) Конфиденциальность означает, что фактическое содержимое не может быть просмотрено напрямую. Защита шифрованием может быть реализована путем шифрования данных с использованием ключа и алгоритма шифрования. Для конкретного способа защиты шифрованием см. соответствующие описания в разделе 8.2 в 3GPP TS 33.401 f50 или в разделе 6.4.4 в 33.501 f50. Подробности здесь повторно не приводятся.
[00172] Например, как показано на фиг. 1, процесс шифрования на передающей стороне может быть следующим: Передающая сторона может вводить параметры, такие как счетчик (count), длина (length), несущий канал (bearer) и направление (direction) в NEA, чтобы определить ключевой поток (keystream). Затем передающая сторона определяет зашифрованный текст (ciphertext) на основе ключевого потока и открытого текста (plaintext).
[00173] Например, как показано на фиг. 1, процесс дешифрования на принимающей стороне может быть следующим: Принимающая сторона может вводить параметры, такие как число, длина, несущий канал и направление, в NEA для определения ключевого потока. Затем принимающая сторона определяет открытый текст на основе ключевого потока и зашифрованного текста.
[00174] 2. Защита/проверка целостности
[00175] Защита/проверка целостности используется для определения того, изменяется ли содержание сообщения во время передачи, а также может использоваться для аутентификации идентичности для определения источника сообщения. Для проверки целостности и защиты требуется код аутентификации сообщения ( message authentication code, MAC). Конкретный способ проверки целостности и защиты см. в соответствующих описаниях в разделе 8.1 проекта партнерства 3-го поколения (3rd generation partnership project, 3GPP) TS 33.401 f50 или в разделе 6.4.3 документа 33.501 f50. Подробности здесь повторно не приводятся.
[00176] MAC может использоваться для проверки того, изменяется ли содержимое сообщения во время передачи. Кроме того, MAC может использоваться для аутентификации личности, чтобы определить источник сообщения.
[00177] Как показано на фиг. 2, передающая сторона вводит параметры, такие как ключ (key), счетчик (count), длину (length), несущий канал (bearer), сообщение (message) и направление (direction) в развитую пакетную систему. алгоритм целостности (evolved packet system integrity algorithm, EIA), для получения кода аутентификации сообщения для целостности (message authentication code integrity, MAC-I) или NAS-MAC.
[00178] Как показано на фиг. 3, принимающая сторона вводит параметры, такие как ключ защиты целостности, количество, длину, несущий канал, сообщение и направление в EIA, чтобы получить ожидаемый код аутентификации сообщения для целостности (excepted message authentication code integrity, XMAC-I) или ожидаемый код аутентификации сообщения уровня без доступа (excepted non-access stratum message authentication code, XNAS-MAC).
[00179] Принимающая сторона может сравнить полученный MAC-I с XMAC-I, сформированным принимающей стороной, чтобы проверить, завершено ли сообщение. Если MAC-I совпадает с XMAC-I, принимающая сторона определяет, что проверка принятого MAC-I прошла успешно, и принимающая сторона может определить, что сообщение, отправленное передающей стороной, завершено. Если MAC-I отличается от XMAC-I, принимающая сторона может определить, что проверка полученного MAC-I не удалась, и принимающая сторона может определить, что сообщение, отправленное передающей стороной, является неполным.
[00180] 3. Контекст безопасности
[00181] Контекст безопасности относится к информации, которая может использоваться для реализации защиты безопасности (например, шифрования/дешифрования и/или защиты/проверки целостности) данных.
[00182] Контекст безопасности может включать в себя один или несколько из следующих элементов: корневой ключ, ключ шифрования, ключ защиты целостности, определенный параметр (например, счетчик NAS), идентификатор набора ключей (key set identifier, KSI), параметры безопасности. алгоритм, индикатор безопасности (например, индикатор, указывающий, включено ли шифрование, индикатор, указывающий, включена ли защита целостности, индикатор, указывающий срок действия ключа или длину ключа) и т.п.
[00183] Ключ шифрования является параметром, вводимым передающей стороной, когда передающая сторона шифрует открытый текст на основе алгоритма шифрования для формирования зашифрованного текста. Если используется способ симметричного шифрования, ключ шифрования и ключ дешифрования совпадают. Принимающая сторона может расшифровать зашифрованный текст на основе того же алгоритма шифрования и ключа шифрования. Другими словами, передающая сторона и принимающая сторона могут выполнять шифрование и дешифрование на основе одного и того же ключа.
[00184] Ключ защиты целостности является параметром, вводимым передающей стороной, когда передающая сторона выполняет защиту целостности открытого текста или зашифрованного текста на основе алгоритма защиты целостности. Принимающая сторона может выполнять на основе того же алгоритма защиты целостности и ключа защиты целостности проверку целостности данных, для которых выполняется защита целостности.
[00185] Конкретный параметр (например, счетчик NAS) является параметром, вводимым передающей стороной, когда передающая сторона выполняет защиту от повторного использования открытого текста или зашифрованного текста на основе алгоритма защиты от повторного использования. Принимающая сторона может выполнять на основе того же алгоритма защиты от повторного использования проверку против повторного использования данных, для которых выполняется защита от повторного использования.
[00186] Алгоритм безопасности используется для защиты безопасности данных, например, алгоритм шифрования, алгоритм дешифрования и алгоритм защиты целостности.
[00187] В вариантах осуществления настоящей заявки контекст безопасности может включать в себя контекст безопасности NAS и контекст безопасности AS. Можно понять, что контекст безопасности NAS используется для защиты информации, передаваемой между терминалом и базовой сетью. Контекст безопасности AS используется для защиты информации, передаваемой между терминалом и базовой станцией.
[00188] 4. Активация безопасности NAS
[00189] Активация безопасности NAS включает в себя активацию защиты целостности NAS и активацию защиты шифрованием NAS.
[00190] Активация защиты целостности NAS: После активации защиты целостности NAS необходимо использовать ключ целостности NAS и алгоритм защиты целостности NAS в текущем контексте безопасности для защиты целостности последующих сообщений NAS восходящей линии связи/нисходящей линии связи. Все сообщения без защиты целостности NAS не принимаются и должны быть отброшены, за исключением некоторых специальных сообщений NAS, таких как запрос на присоединение, запрос на обновление области местоположения, запрос на обслуживание, запрос на обслуживание плоскости управления, запрос аутентификации и запрос идентификации. Например, после того, как пользовательское оборудование активирует защиту целостности NAS, каждый раз, когда пользовательское оборудование отправляет сообщение NAS восходящей линии связи, пользовательское оборудование выполняет защиту целостности сообщения NAS восходящей линии связи на основе ключа целостности NAS и алгоритма защиты целостности NAS в текущем контексте безопасности; каждый раз, когда пользовательское оборудование принимает сообщение NAS нисходящей линии связи, пользовательское оборудование выполняет проверку целостности сообщения NAS нисходящей линии связи на основе ключа целостности NAS и алгоритма защиты целостности NAS в текущем контексте безопасности. Например, после того, как сетевой элемент управления мобильностью активирует защиту целостности NAS, каждый раз, когда сетевой элемент управления мобильностью получает сообщение NAS восходящей линии связи, сетевой элемент управления мобильностью выполняет проверку целостности сообщения NAS восходящей линии связи на основе ключа целостности NAS и алгоритма защиты целостности NAS в текущем контексте безопасности; каждый раз, когда сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи, сетевой элемент управления мобильностью выполняет защиту целостности сообщения NAS нисходящей линии связи на основе ключа целостности NAS и алгоритма защиты целостности NAS в текущем контексте безопасности.
[00191] Активация защиты шифрованием NAS: После активации защиты шифрованием NAS необходимо использовать ключ шифрования NAS и алгоритм шифрования NAS в текущем контексте безопасности для защиты шифрованием последующих сообщений NAS восходящей линии связи/нисходящей линии связи. Все сообщения без защиты шифрованием NAS не принимаются и должны быть удалены. Например, после того, как пользовательское оборудование активирует защиту шифрованием NAS, каждый раз, когда пользовательское оборудование отправляет сообщение NAS восходящей линии связи, пользовательское оборудование выполняет защиту шифрованием сообщения NAS восходящей линии связи на основе ключа шифрования NAS и алгоритма шифрования NAS в текущем контексте безопасности; каждый раз, когда пользовательское оборудование принимает сообщение NAS нисходящей линии связи, пользовательское оборудование расшифровывает сообщение NAS нисходящей линии связи на основе ключа шифрования NAS и алгоритма шифрования NAS в текущем контексте безопасности. Например, после того как сетевой элемент управления мобильностью активирует защиту целостности NAS, каждый раз, когда сетевой элемент управления мобильностью получает сообщение NAS восходящей линии связи, пользовательское оборудование расшифровывает сообщение NAS восходящей линии связи на основе ключа шифрования NAS и алгоритма шифрования NAS в текущем контексте безопасности; каждый раз, когда сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи, сетевой элемент управления мобильностью выполняет защиту шифрованием сообщения NAS нисходящей линии связи на основе ключа шифрования NAS и алгоритма шифрования NAS в текущем контексте безопасности.
[00192] 5. 5G-S-TMSI
[00193] Глобально уникальный временный идентификатор 5-го поколения (5th generation-globally unique temporary identity, 5G-GUTI) назначается AMF терминалу.
[00194] Структура 5G-GUTI выглядит следующим образом: 5G-GUTI = + +<AMF region ID> +<AMF set ID> +<AMF pointer> + <5G-TMSI>.
[00195] Мобильный код страны (mobile country code, MCC) представляет собой трехзначное десятичное число и используется для идентификации страны.
[00196] Код мобильной сети (mobile network Code) представляет собой 2- или 3-значное десятичное число и используется для идентификации сети оператора связи в стране.
[00197] ID области AMF занимает восемь бит и используется для идентификации группы наборов AMF (set).
[00198] ID набора AMF занимает 10 бит и используется для идентификации группы AMF. Группа AMF поддерживает один и тот же сетевой сегмент.
[00199] Указатель AMF (pointer) занимает шесть бит и используется для идентификации AMF.
[00200] Временный идентификатор мобильного абонента 5-го поколения (5th generation-temporary mobile subscriber identity, 5G-TMSI) занимает 32 бита и используется для идентификации AMF.
[00201] 5G-S-TMSI - это 48 младших битов 5G-GUTI. Структура 5G-S-TMSI выглядит следующим образом: 5G-S-TMSI =<AMF set ID> +<AMF pointer> + <5G-TMSI>.
[00202] Другими словами, 5G-S-TMSI включает в себя 48 битов, где биты с первого по десятый используются для указания ID набора AMF, биты с одиннадцатого по шестнадцатый используются для указания указателя AMF, и биты с семнадцатого по сорок восьмой используются для указания 5G-TMSI.
[00203] 6. Усеченный параметр
[00204] Этот параметр используется для усечения 5G-S-TMSI.
[00205] Например, усеченный параметр может включать в себя первый усеченный параметр и второй усеченный параметр. Первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI. Второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
[00206] Для простоты описания первый усеченный параметр обозначается как n, и второй усеченный параметр обозначается как m ниже.
[00207] Следует отметить, что усеченный 5G-S-TMSI =<усеченный ID набора AMF> + <усеченный указатель AMF> +<усеченный 5G-TMSI> .
[00208] Усеченный ID набора AMF включает в себя последние n бит в исходном ID набора AMF.
[00209] Усеченный указатель AMF включает в себя последние m бит исходного указателя AMF.
[00210] Усеченный 5G-TMSI включает в себя последние 40-n-m бит в исходном 5G-TMSI.
[00211] Например, 5G-TMSI=<0000001010 (10 бит)><000110 (6 бит)><000100... 10 (32 бита)>. Предполагая, что n=5 и m=3, усеченный 5G-TMSI=<01010 (5 бит)><110 (3 бита)><000100... 10 (32 бита)>.
[00212] Следует отметить, что после получения усеченного 5G-TMSI устройство доступа к сети может восстановить усеченный 5G-TMSI до полного 5G-TMSI путем добавления нулей.
[00213] Вышеизложенное описывает термины, используемые в вариантах осуществления настоящей заявки, и подробности далее повторно не описываются.
[00214] Терминалы CIoT (такие как счетчики электроэнергии), которые не часто передают небольшие пакеты, требуют долговечности батареи. Например, для этого типа терминалов требуется, чтобы аккумулятор можно было использовать в течение 10 лет. Чтобы удовлетворить требования к долговечности батареи, функция оптимизации CIoT 5GS разработана в технологии 5G. Функция, по которой терминал периодически отправляет отчеты об измерениях, удаляется с помощью функции оптимизации CIoT 5GS. Следовательно, исходная базовая станция не может получить данные сигнала, чтобы указать терминалу выполнить процедуру передачи обслуживания. В этом случае терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, не может быть передан во время движения на другую базовую станцию с помощью процедуры передачи обслуживания, как обычный терминал. Поэтому для терминала, который использует функцию оптимизации CIoT 5GS плоскости управления, вводится процедура повторного установления, чтобы обеспечить непрерывность сеанса во время движения терминала.
[00215] В процедуре повторного установления сообщение RRC, о котором сообщает терминал, должно нести 5G-S-TMSI терминала, чтобы устройство доступа к сети могло определить конкретный AMF на основе 5G-S-TMSI, а AMF мог найти контекст безопасности терминала на основе 5G-S-TMSI. Однако, поскольку сообщение RRC имеет ограниченную длину, а длина 5G-S-TMSI превышает максимальную длину сообщения RRC, сообщение RRC не может нести полный 5G-S-TMSI. Следовательно, терминал должен усекать 5G-S-TMSI, используя усеченный параметр, чтобы сообщение RRC несло усеченный 5G-S-TMSI.
[00216] Как показано на фиг. 4, согласно известной технологии процедура, в которой устройство доступа к сети конфигурирует усеченный параметр для терминала, включает в себя следующие этапы.
[00217] S10. Устройство доступа к сети предварительно конфигурирует m и n.
[00218] S11. Терминал и сторона сети выполняют процедуру регистрации.
[00219] S12. Устройство доступа к сети отправляет сообщение реконфигурации RRC терминалу, где сообщение реконфигурации RRC включает в себя m и n.
[00220] S13. Терминал сохраняет m и n.
[00221] S14. Терминал получает усеченный 5G-S-TMSI на основе m, n и 5G-S-TMSI.
[00222] Необязательно, условие для выполнения этапа S14 терминалом может заключаться в том, что инициирована процедура повторного установления.
[00223] S15. Терминал отправляет сообщение запроса на повторное установление RRC в устройство доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI.
[00224] Следует отметить, что сообщение запроса на повторное установление RRC может нести максимум 67 битов (bit) информации. По меньшей мере 27 битов в сообщении запроса на повторное установление RRC должны быть зарезервированы для параметров, отличных от 5G-S-TMSI. Следовательно, усеченный 5G-S-TMSI, передаваемый в сообщении запроса на повторное установление RRC, не может превышать 40 бит.
[00225] S16. Устройство доступа к сети восстанавливает 5G-S-TMSI на основе m, n и усеченного 5G-S-TMSI.
[00226] В процедуре, показанной на фиг. 4 контекст безопасности AS не устанавливается между устройством доступа к сети и терминалом, который использует функцию оптимизации CIoT 5GS плоскости управления. Следовательно, защита безопасности AS не выполняется для сообщения RRC, отправленного устройством доступа к сети терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления. Следовательно, усеченный параметр, передаваемый в сообщении RRC, имеет риск подделки злоумышленником.
[00227] Чтобы снизить риск безопасности усеченного параметра в процессе передачи, варианты осуществления настоящей заявки предоставляют способ защиты усеченного параметра и устройства. Конкретное содержание способа и устройства см. в следующих описаниях.
[00228] Технические решения, представленные в вариантах осуществления настоящей заявки, могут применяться к различным системам связи, например, системе связи 5G, системе будущего развития или множеству конвергентных систем связи. Технические решения, представленные в настоящей заявке, могут быть применены к множеству сценариев приложений, например, межмашинному взаимодействию (machine to machine, M2M), макро-микросвязи, усовершенствованной мобильной широкополосной связи (enhanced mobile broadband, eMBB), сверхнадежной связи с малой задержкой (ultra reliable & low latency communication, uRLLC) и массовой связи машинного типа (massive machine type communication, mMTC). Эти сценарии могут включать в себя, помимо прочего, сценарий связи между устройствами связи, сценарий связи между сетевыми устройствами, сценарий связи между сетевым устройством и устройством связи и т.п. Далее приведены описания с использованием примера, в котором технические решения применяются к сценарию, в котором сетевое устройство взаимодействует с терминалом.
[00229] Кроме того, сетевая архитектура и сценарий обслуживания, описанные в вариантах осуществления настоящей заявки, предназначены для более четкого описания технических решений в вариантах осуществления настоящей заявки и не налагают ограничения на технические решения, предусмотренные в вариантах осуществления настоящего изобретения. Специалист в данной области техники может узнать, что по мере развития сетевых архитектур и появления новых сценариев обслуживания технические решения, представленные в вариантах осуществления настоящей заявки, также применимы к аналогичным техническим проблемам.
[00230] Фиг. 5 показана архитектура сети 5G, к которой применимы технические решения, представленные в вариантах осуществления настоящей заявки. Сеть 5G может включать в себя терминал, сеть радиодоступа (radio access network, RAN) или сеть доступа (access network, AN) (где RAN и AN совместно именуются (R)AN ниже), базовая сеть (core network, CN) и сеть передачи данных (data network, DN).
[00231] Терминал может иметь функцию беспроводного приемопередатчика. Терминал может иметь разные названия, например, пользовательское оборудование (user equipment, UE), терминал доступа, терминальный блок, терминальная станция, мобильная станция, мобильная консоль, удаленная станция, удаленный терминал, мобильное устройство, устройство беспроводной связи, терминальный агент или терминальное устройство. Терминал может быть развернут на суше, включая внутреннее устройство, наружное устройство, портативное устройство или устройство, установленное на транспортном средстве, или может быть развернут на поверхности воды (например, на корабле), или может быть развернут в воздухе (например, на самолете, воздушном шаре или спутнике). Терминал включает в себя портативное устройство, устройство, устанавливаемое на транспортном средстве, носимое устройство или вычислительное устройство, которое имеет функцию беспроводной связи. Например, терминал может быть мобильным телефоном (mobile phone), планшетным компьютером или компьютером, имеющим функцию беспроводного приемопередатчика. В качестве альтернативы терминальное устройство может быть терминальным устройством виртуальной реальности (virtual reality, VR), терминальным устройством дополненной реальности (AR), беспроводным терминалом в промышленном управлении, беспроводным терминалом в автономном вождении, беспроводным терминалом в телемедицине, беспроводным терминалом в интеллектуальной сети, беспроводным терминалом в умном городе (smart city), беспроводным терминалом в умном доме (smart home) и т.п. В вариантах осуществления настоящей заявки устройством для реализации функции терминала может быть терминал или может быть устройство, которое может поддерживать терминал при реализации функции, например, микросхемная система. В вариантах осуществления настоящей заявки микросхемная система может включать в себя микросхему или может включать в себя микросхему и другой дискретный компонент. В вариантах осуществления настоящей заявки пример, в котором устройством для реализации функции терминала является терминал, используется для описания технических решений, предусмотренных в вариантах осуществления настоящей заявки.
[00232] В вариантах осуществления настоящей заявки терминал может быть терминалом, который использует функцию оптимизации CIoT 5GS плоскости управления. Терминал, который использует функцию оптимизации CIoT 5GS, передает данные абонента восходящей линии связи и нисходящей линии связи между терминалом и SMF, используя полезную нагрузку (payload) сообщения NAS, без необходимости устанавливать сеанс PDU для соединения плоскости пользователя. Терминал, который использует функцию оптимизации CIoT 5GS, и AMF обеспечивают защиту целостности и шифрование данных абонента с использованием контекста безопасности NAS.
[00233] Следует отметить, что оптимизация плоскости управления CIoT 5GS также может обозначаться как оптимизация плоскости управления CIoT 5GS. В вариантах осуществления настоящей заявки это не ограничено.
[00234] Устройство доступа к сети также может упоминаться как базовая станция. Могут быть базовые станции в различных формах, например, макробазовая станция, микробазовая станция (также называемая малой сотой), ретрансляционная станция и точка доступа. В частности, базовая станция может быть точкой доступа (access point, AP) в беспроводной локальной сети (Wireless Local Area Network, WLAN), базовой приемопередающей станцией (Base Transceiver Station, BTS) в глобальной системе мобильной связи (Global System for Mobile Communications, GSM) или множественном доступе с кодовым разделением каналов (Code Division Multiple Access, CDMA), NodeB (NodeB, NB) в широкополосном множественном доступе с кодовым разделением каналов (Wideband Code Division Multiple Access, WCDMA), eNB, ретрансляционной станцией, точкой доступа, устройством, устанавливаемым на транспортном средстве, или носимым устройством в LTE, узлом NodeB следующего поколения (the next generation node B, gNB) в будущей сети 5G, базовой станцией в будущей развитой наземной мобильной сети общего пользования (public land mobile network, PLMN) и т.п.
[00235] Базовая станция обычно включает в себя блок основной полосы частот (baseband unit, BBU), удаленный блок радиосвязи (remote radio unit, RRU), антенну и фидер, используемый для соединения RRU и антенны. BBU сконфигурирован так, чтобы отвечать за модуляцию сигнала. RRU сконфигурирован так, чтобы отвечать за обработку радиочастот. Антенна сконфигурирована так, чтобы отвечать за преобразование между пилотной волной в кабеле и пространственной волной в воздухе. С одной стороны, распределенная базовая станция значительно сокращает длину фидера между RRU и антенной, тем самым уменьшая потери сигнала и снижая стоимость фидера. С другой стороны, RRU и антенна относительно малы и могут быть установлены в любом месте, что делает планирование сети более гибким. RRU может быть размещен удаленно. Кроме того, все BBU могут быть централизованы и размещены в центральном офисе (central office, CO). Таким централизованным способом можно значительно сократить количество аппаратных базовых станций, снизить энергопотребление вспомогательных устройств, особенно кондиционеров, и значительно сократить выбросы углекислого газа. Кроме того, после интеграции распределенных BBU в пул базовых полос BBU можно управлять и планировать BBU унифицированным образом, а ресурсы можно распределять более гибко. В этом режиме все физические базовые станции превращаются в виртуальные базовые станции. Все виртуальные базовые станции обмениваются информацией, такой как данные, отправленные и полученные пользователями, и качеством канала в пуле основной полосы частот BBU, и взаимодействуют друг с другом для реализации совместного планирования.
[00236] В некоторых развертываниях базовая станция может включать в себя централизованное устройство (centralized unit, CU) и распределенное устройство (distributed unit, DU). Базовая станция может дополнительно включать в себя активный антенный блок (active antenna unit, AAU). CU реализует некоторые функции базовой станции, а DU - некоторые функции базовой станции. Например, CU отвечает за обработку протокола и услуги не в реальном времени, а также реализует функции уровня RRC и уровня протокола конвергенции пакетных данных (packet data convergence protocol, PDCP). DU отвечает за обработку протокола физического уровня и услуги в реальном времени, а также реализует функции уровня управления радиоканалом (radio link control, сокращенно RLC), уровня управления доступом к среде (media access control, MAC) и физический (physical, PHY) уровень. AAU реализует некоторые функции обработки физического уровня, обработку радиочастот и функцию, связанную с активной антенной. Информация на уровне RRC в конечном итоге становится информацией на уровне PHY или преобразуется из информации на уровне PHY. Следовательно, в этой архитектуре сигнализация более высокого уровня, например сигнализация RRC или сигнализация PDCP, также может рассматриваться как передаваемая DU или посылаемая DU и AAU. Можно понять, что в вариантах осуществления настоящей заявки устройство доступа к сети может быть устройством, включающим в себя один или более из узлов CU, узла DU и узла AAU. Кроме того, CU может быть классифицирован как сетевое устройство в RAN, или CU может быть классифицирован как сетевое устройство в базовой сети (core network, CN). Это не ограничено здесь.
[00237] В возможном исполнении для базовой станции плоскость управления (control plane, CP) и плоскость пользователя (user plane, UP) CU могут быть дополнительно разделены и реализованы с использованием разных объектов. Другими словами, CU можно разделить на CU-CP и CU-UP.
[00238] Базовая сеть включает в себя множество элементов базовой сети (или называемых сетевыми элементами сетевой функции), например сетевой элемент функции управления доступом и мобильностью (access and mobility management function, AMF), функцию управления сеансом (session management function, SMF) сетевой элемент, сетевой элемент функции управления политикой (policy control function, PCF), сетевой элемент функции плоскости пользователя (user plane function, UPF), сетевой элемент функции приложения (application function), сетевой элемент функции сервера аутентификации (authentication server function, AUSF) и сетевой элемент унифицированного управления данными (unified data management, UDM).
[00239] Кроме того, базовая сеть может дополнительно включать в себя некоторые сетевые элементы, не показанные на фиг. 5, например, сетевой элемент функции привязки безопасности (security anchor function, SEAF) и хранилище учетных данных аутентификации и функция обработки (authentication credential repository and processing function, ARPF). Детали не описаны здесь в вариантах осуществления настоящей заявки.
[00240] Сетевой элемент AMF в основном отвечает за обработку управления мобильностью, например, такие функции, как управление доступом, управление мобильностью, присоединение и отсоединение, а также выбор SMF. Когда сетевой элемент AMF предоставляет услугу для сеанса в терминале, сетевой элемент AMF предоставляет ресурс хранения плоскости управления для сеанса для хранения идентификатора сеанса, идентификатора SMF, связанного с идентификатором сеанса, и т.п.
[00241] Терминал взаимодействует с AMF, используя интерфейс следующего поколения (Next Generation, N) 1 (сокращенно N1), устройство RAN взаимодействует с AMF, используя интерфейс N2 (сокращенно N2), устройство RAN взаимодействует с UPF с помощью интерфейса N3 (сокращенно N3), а UPF связывается с DN с помощью интерфейса N6 (сокращенно N6).
[00242] Сетевые элементы плоскости управления, такие как AMF, SMF, UDM, AUSF или PCF, также могут взаимодействовать друг с другом с помощью сервисно-ориентированных интерфейсов. Например, как показано на фиг. 5, сервис-ориентированный интерфейс, предоставляемый извне AMF, может быть Namf, сервис-ориентированный интерфейс, внешне предоставляемый SMF, может быть Nsmf, сервис-ориентированный интерфейс, внешне предоставляемый UDM, может быть Nudm, сервис-ориентированный интерфейс, внешний обеспечиваемый PCF, может быть Npcf, а сервисно-ориентированный интерфейс, предоставляемый извне AUSF, может быть Nausf. Подробности здесь не описаны.
[00243] Фиг. 6 представляет собой схематическую диаграмму стека протоколов согласно варианту осуществления настоящей заявки. Как показано на фиг. 6, стек протоколов терминала включает в себя, по меньшей мере, уровень отсутствия доступа, уровень RRC, уровень протокола конвергенции пакетных данных (packet data convergence protocol, PDCP), уровень управления радиоканалом (radio link control, RLC), уровень управления доступом к среде (media access control, MAC) и физический уровень (PHY-уровень). Уровень RRC, уровень PDCP, уровень RLC, уровень MAC и уровень PHY принадлежат к уровню с доступом.
[00244] Уровень без доступа представляет собой функциональный уровень между терминалом и базовой сетью и используется для поддержки сигнализации и передачи данных между терминалом и сетевым элементом (например, сетевым элементом управления мобильностью) базовой сети.
[00245] Уровень RRC используется для поддержки таких функций, как управление радиоресурсами и управление соединением RRC.
[00246] Для определений и функций других уровней протокола, таких как уровень PDCP и уровень RLC, обратитесь к описаниям в известной технологии. Подробности здесь не описаны.
[00247] Необязательно, все устройства, упомянутые в вариантах осуществления настоящей заявки, такие как терминал, сетевой элемент управления мобильностью и устройство доступа к сети, могут быть реализованы устройством, показанным на фиг. 7.
[00248] Как показано на фиг. 7, устройство 100 включает в себя по меньшей мере один процессор 101, линию 102 связи, память 103 и по меньшей мере один интерфейс 104 связи.
[00249] Процессор 101 может быть центральным процессором общего назначения (central processing unit, CPU), микропроцессором, специализированной интегральной схемой (application-specific integrated circuit, ASIC) или одной или несколькими интегральными схемами, выполненными с возможностью управления выполнением программ решений настоящей заявки.
[00250] Линия 102 связи выполнена с возможностью передачи информации между вышеупомянутыми компонентами.
[00251] Интерфейс 104 связи выполнен с возможностью связи с другим устройством или сетью связи, такой как Ethernet, сетью радиодоступа (radio access network, RAN) или беспроводной локальной сетью (wireless local area networks, WLAN) через любое устройство. например трансивер.
[00252] Память 103 может быть постоянной памятью (read-only memory, ROM) или другим типом статического запоминающего устройства, которое может хранить статическую информацию и инструкции, оперативной памятью (random access memory, RAM) или другим типом динамического запоминающего устройства, которое может хранить информацию и инструкции, или может быть электрически стираемой программируемой постоянной памятью (electrically erasable programmable read-only memory, EEPROM), постоянной памятью на компакт-диске (compact disc read-only memory, CD-ROM) или другим накопителем на компакт-дисках, накопителем на оптических дисках (включая компакт-диск, лазерный диск, оптический диск, цифровой универсальный диск, оптический диск Blu-ray и т.п.), носителем данных на магнитном диске или другим магнитным запоминающим устройством, или любым другим носителем, который можно использовать для переноса или хранения программного кода в форме инструкции или структуры данных и к которому может получить доступ компьютер. Однако память этим не ограничивается. Память может существовать независимо и связана с процессором через линию 102 связи. Альтернативно, память может быть интегрирована с процессором.
[00253] Память 103 выполнена с возможностью сохранения исполняемой компьютером инструкции для выполнения решений настоящей заявки, а процессор 101 управляет выполнением исполняемой компьютером инструкции. Процессор 101 выполнен с возможностью выполнения исполняемой компьютером инструкции, хранящейся в памяти 103, для реализации технических решений, предусмотренных в вариантах осуществления настоящей заявки.
[00254] Необязательно исполняемая вычислительная инструкция в вариантах осуществления настоящей заявки также может упоминаться как программный код приложения. Это конкретно не ограничено в вариантах осуществления настоящей заявки.
[00255] Во время конкретной реализации, в варианте осуществления процессор 101 может включать в себя один или несколько процессоров (CPU), например, CPU 0 и CPU 1 на фиг. 7.
[00256] Во время конкретной реализации в варианте осуществления устройство 100 может включать в себя множество процессоров, например, процессор 101 и процессор 107 на фиг. 7. Каждый из процессоров может быть одноядерным (однопроцессорным) процессором или многоядерным (многопроцессорным) процессором. Процессор здесь может быть одним или несколькими устройствами, схемами и/или процессорными ядрами, выполненными с возможностью обработки данных (например, инструкции компьютерной программы).
[00257] Во время конкретной реализации в варианте осуществления устройство 100 может дополнительно включать в себя устройство 105 вывода и устройство 106 ввода. Устройство 105 вывода взаимодействует с процессором 101 и может отображать информацию множеством способов. Например, устройство 105 вывода может быть жидкокристаллическим дисплеем (liquid crystal display, LCD), устройством отображения на светоизлучающих диодах (light emitting diode, LED), устройством отображения на электронно-лучевой трубке (cathode ray tube, CRT) или проектором (projector). Устройство 106 ввода связывается с процессором 101 и может принимать ввод от пользователя множеством способов. Например, устройство 106 ввода может быть мышью, клавиатурой, устройством с сенсорным экраном или сенсорным устройством.
[00258] Ниже подробно описаны технические решения, представленные в настоящей заявке, со ссылкой на прилагаемые чертежи настоящего описания.
[00259] Чтобы снизить риск безопасности усеченного параметра в процессе передачи, настоящая заявка предоставляет следующие три варианта осуществления.
[00260] Вариант осуществления 1 и вариант осуществления 3 могут применяться к сценарию, в котором терминал осуществляет доступ к сети, а вариант осуществления 2 применяется к сценарию, в котором AMF обновляет усеченный параметр для терминала, обслуживаемого AMF. Следует отметить, что технические признаки, включенные в следующие три варианта осуществления, относятся друг к другу, и эти три варианта осуществления могут быть объединены друг с другом. Например, когда терминал X, который использует функцию оптимизации CIoT 5GS плоскости управления, зарегистрирован в сети, выполнение решения в варианте осуществления 1 может быть инициировано для безопасного получения усеченного параметра. Впоследствии AMF на стороне сети также активно обновляет усеченный параметр терминала X в соответствии со способом, описанным в варианте осуществления 2.
Вариант 1 осуществления:
[00261] Фиг. 8 показывает способ защиты усеченного параметра согласно варианту осуществления настоящей заявки. Способ включает в себя следующие этапы.
[00262] S101. Сетевой элемент управления мобильностью определяет, соответствует ли терминал, осуществляющий доступ к сети, предварительно заданному условию.
[00263] В сети 5G сетевым элементом управления мобильностью может быть AMF. В будущей развитой системе сетевым элементом управления мобильностью может быть оконечная точка безопасности NAS, аналогичная AMF. Здесь представлено общее описание, а подробности ниже не описываются.
[00264] В этом варианте осуществления настоящей заявки предварительно заданное условие включает в себя, по меньшей мере, то, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.
[00265] Необязательно предварительно заданное условие включает в себя следующие случаи:
[00266] Случай 1: Предварительно заданное условие заключается в том, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.
[00267] На основании случая 1 этап S101 может быть конкретно реализован следующим образом: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.
[00268] В этом варианте осуществления настоящей заявки то, что сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления, включает в себя следующие реализации:
[00269] Реализация 1: Сетевой элемент управления мобильностью определяет на основе предпочтительного поведения сети (preferred network behavior), о котором сообщает терминал, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления.
[00270] Предпочтительное поведение сети может передаваться в сообщении запроса регистрации, отправленном терминалом. Предпочтительное поведение сети используется для указания сетевой функции, поддерживаемой терминалом. Другими словами, предпочтительное поведение сети используется для указания сетевой функции, которую предпочитает использовать терминал. Например, предпочтительное поведение сети может указывать, поддерживает ли терминал функцию оптимизации CIoT 5GS плоскости управления, поддерживает ли функцию оптимизации CIoT 5GS плоскости пользователя, передачу данных N3, сжатие заголовка и т.п.
[00271] В частности, если предпочтительное поведение сети, сообщаемое терминалом, указывает, что терминал предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления, а сетевой элемент управления мобильностью поддерживает функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью может определить что терминал использует функцию оптимизации CIoT 5GS плоскости управления.
[00272] Альтернативно, если предпочтительное поведение сети, о котором сообщил терминал, указывает, что терминал предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления, но сетевой элемент управления мобильностью не поддерживает функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью может определить что терминал не использует функцию оптимизации CIoT 5GS плоскости управления.
[00273] В качестве альтернативы, если предпочтительное поведение сети, о котором сообщил терминал, указывает, что терминал не предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал не использует функцию оптимизации CIoT 5GS плоскости управления.
[00274] Реализация 2: Сетевой элемент управления мобильностью определяет на основе контекста терминала, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления.
[00275] В частности, когда контекст терминала указывает, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал использует функцию оптимизации CIoT 5GS плоскости управления. Альтернативно, когда контекст терминала указывает, что терминал не использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью определяет, что терминал не использует функцию оптимизации CIoT 5GS плоскости управления.
[00276] Следует отметить, что если терминал использует функцию оптимизации CIoT 5GS плоскости управления, между терминалом и устройством доступа к сети не устанавливается контекст безопасности AS. Следовательно, усеченный параметр не может быть передан способом, используемым согласно известной технологии, чтобы предотвратить замену усеченного параметра злоумышленником. На основании этого сетевому элементу управления мобильностью необходимо выполнить следующий этап S102.
[00277] Случай 2: Предварительно заданное условие заключается в том, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, и терминал изначально зарегистрирован в сети.
[00278] На основании случая 2 этап S101 может быть конкретно реализован следующим образом: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и зарегистрирован ли терминал изначально в сети. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминал изначально зарегистрирован в сети, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления или терминал изначально не зарегистрирован в сети, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.
[00279] В этом варианте осуществления настоящей заявки сетевой элемент управления мобильностью определяет на основе типа регистрации, о котором сообщил терминал, был ли терминал изначально зарегистрирован в сети.
[00280] Тип регистрации терминала может быть перенесен в сообщение запроса регистрации, отправленное терминалом. Тип регистрации терминала включает в себя первоначальную регистрацию, регистрацию обновления мобильности, периодическое обновление регистрации и экстренную регистрацию.
[00281] Конкретно, когда тип регистрации терминала является начальной регистрацией, сетевой элемент управления мобильностью может определить, что терминал изначально зарегистрирован в сети. Альтернативно, когда типом регистрации терминала является регистрация обновления мобильности, периодическое обновление регистрации или экстренная регистрация, сетевой элемент управления мобильностью может определить, что терминал изначально не зарегистрирован в сети.
[00282] Необязательно, в процедуре регистрации предварительно заданное условие может быть предварительно заданным условием в случае 2.
[00283] Следует отметить, что усеченный параметр меняется не часто. Следовательно, стороне сети не нужно посылать терминалу усеченный параметр в каждой процедуре регистрации терминала. Следовательно, для терминала, который использует функцию оптимизации CIoT 5GS плоскости управления, если терминал изначально зарегистрирован в сети, сетевой элемент управления мобильностью выполняет следующий этап S102, чтобы гарантировать, что терминал получает правильный усеченный параметр; если терминал изначально не зарегистрирован в сети, это указывает, что терминал сохраняет усеченный параметр, и сетевой элемент управления мобильностью может решить не выполнять следующий этап S102, чтобы уменьшить накладные расходы на сигнализацию.
[00284] Случай 3: Предварительно заданное условие заключается в том, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, и терминалу нужно обновить усеченный параметр.
[00285] На основе случая 3 этап S101 может быть конкретно реализован следующим образом: Сетевой элемент управления мобильностью определяет, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и нужно ли терминалу обновить усеченный параметр. Если терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминалу нужно обновить усеченный параметр, сетевой элемент управления мобильностью определяет, что терминал соответствует предварительно заданному условию; или если терминал не использует функцию оптимизации CIoT 5GS плоскости управления, или терминалу не нужно обновлять усеченный параметр, сетевой элемент управления мобильностью определяет, что терминал не соответствует предварительно заданному условию.
[00286] В этом варианте осуществления настоящей заявки то, что сетевой элемент управления мобильностью определяет, нужно ли терминалу обновить усеченный параметр, включает в себя одну из следующих реализаций:
[00287] Реализация 1: Сетевой элемент управления мобильностью определяет, является ли усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, таким же, как усеченный параметр, который хранится в контексте терминала, чтобы определить, нужно ли терминалу обновить усеченный параметр.
[00288] Следует отметить, что сетевой элемент управления мобильностью сохраняет в контексте терминала усеченный параметр, используемый терминалом в настоящее время. То есть усеченный параметр, сохраненный в контексте терминала, является усеченным параметром, используемым в настоящее время терминалом.
[00289] Когда усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, отличается от усеченного параметра, сохраненного в контексте терминала, сетевой элемент управления мобильностью может определить, что терминалу нужно обновить усеченный параметр. Альтернативно, когда усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, совпадает с усеченным параметром, сохраненным в контексте терминала, сетевой элемент управления мобильностью может определить, что терминалу не нужно обновлять усеченный параметр.
[00290] Реализация 2: Сетевой элемент управления мобильностью определяет, находится ли текущее время в пределах предварительно заданного периода времени, чтобы определить, нужно ли терминалу обновить усеченный параметр.
[00291] Момент начала предварительно заданного периода времени представляет собой момент, в который сетевой элемент управления мобильностью определяет, что усеченный параметр обновлен, и продолжительность предварительно заданного периода времени является предварительно заданной продолжительностью. Например, предварительно заданная продолжительность может составлять одну минуту или может составлять 10 минут.
[00292] Необязательно, предварительно заданная продолжительность больше временного интервала периодического обновления регистрации.
[00293] Например, предварительно заданная продолжительность может более чем в два раза превышать временной интервал периодического обновления регистрации.
[00294] Следует отметить, что сторона сети может настроить временной интервал периодического обновления регистрации для терминала, например, 10 минут. После того, как время ожидания терминала превышает временной интервал, терминал активно инициирует запрос регистрации, так что сторона сети знает, что терминал все еще находится в сети. Следовательно, если сторона сети устанавливает предварительно заданную продолжительность более чем в два раза больше временного интервала периодического обновления регистрации в пределах предварительно заданной продолжительности, сетевой элемент управления мобильностью может гарантировать, что все онлайн-терминалы могут обновить усеченный параметр.
[00295] То есть, когда текущее время находится в пределах предварительно заданного периода времени, сетевой элемент управления мобильностью определяет, что терминалу нужно обновить усеченный параметр. Когда текущее время не находится в пределах предварительно заданного периода времени, сетевой элемент управления мобильностью определяет, что терминалу не нужно обновлять усеченный параметр.
[00296] Необязательно, в сценарии, в котором усеченный параметр обновляется, предварительно заданное условие может быть предварительно заданным условием в случае 3.
[00297] Следует отметить, что для способа обновления усеченного параметра сетевым элементом управления мобильностью обратитесь к следующему описанию этапа S401. Подробности здесь не описаны.
[00298] Следует отметить, что независимо от того, сохраняет ли терминал усеченный параметр, когда сторона сети обновляет усеченный параметр, сторона сети должна отправить обновленный усеченный параметр терминалу, чтобы предотвратить получение терминалом неправильного усеченного 5G-S-TMSI с помощью усеченного параметра, который был до обновления. Следовательно, для терминала, который использует функцию оптимизации CIoT 5GS плоскости управления, когда сетевой элемент управления мобильностью определяет, что терминалу нужно обновить усеченный параметр, сетевой элемент управления мобильностью выполняет следующий шаг S102, чтобы гарантировать, что терминал может получить последний усеченный параметр, тем самым гарантируя, что терминал может нормально получить доступ к сети; когда сетевой элемент управления мобильностью определяет, что терминалу не нужно обновлять усеченный параметр, сетевой элемент управления мобильностью может не выполнять следующий этап S102 для уменьшения накладных расходов на сигнализацию.
[00299] Следует отметить, что вышеприведенные случаи с 1 по 3 являются просто примерами предварительно заданных условий, и этот вариант осуществления данной заявки не ограничивается ими.
[00300] S102. Сетевой элемент управления мобильностью отправляет терминалу, когда терминал соответствует предварительно заданному условию, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, где сообщение NAS нисходящей линии связи включает в себя усеченный параметр.
[00301] Необязательно сетевой элемент управления мобильностью может предварительно сохранить усеченный параметр, или сетевой элемент управления мобильностью может получить усеченный параметр от устройства доступа к сети.
[00302] Защита безопасности NAS включает в себя как минимум защиту целостности. Необязательно защита безопасности NAS дополнительно включает в себя защиту шифрованием.
[00303] Можно понять, что поскольку защита безопасности NAS выполняется для сообщения NAS нисходящей линии связи, защита безопасности NAS также выполняется для усеченного параметра в сообщении NAS нисходящей линии связи, так что может быть обеспечена безопасность усеченного параметра.
[00304] Следует отметить, что сообщение NAS нисходящей линии связи может быть новой сигнализацией, или сигнализация в существующей процедуре может быть повторно использована.
[00305] Например, в процедуре регистрации сообщение NAS нисходящей линии связи может быть сообщением о принятии регистрации (registration accept).
[00306] В качестве другого примера, в процедуре запроса услуги сообщение NAS нисходящей линии связи может быть сообщением о принятии услуги (servers accept).
[00307] S103. Терминал выполняет снятие защиты безопасности с NAS нисходящей линии связи.
[00308] Когда защита безопасности NAS, выполняемая для сообщения NAS нисходящей линии связи, является защитой целостности, снятие защиты безопасности является проверкой целостности. В качестве альтернативы, когда защита целостности и защита шифрованием выполняются для сообщения NAS нисходящей линии связи, снятие защиты безопасности представляет собой проверку целостности и расшифровку.
[00309] S104. Терминал сохраняет усеченный параметр после успешного выполнения снятия защиты безопасности с сообщения NAS нисходящей линии связи.
[00310] В возможной реализации, после того как уровень NAS терминала успешно выполняет снятие защиты безопасности с безопасности в сообщении NAS нисходящей линии связи, уровень NAS терминала сохраняет усеченный параметр.
[00311] В другой возможной реализации после того, как уровень NAS терминала успешно снимает защиту безопасности с сообщения NAS нисходящей линии связи, уровень NAS терминала отправляет усеченный параметр уровню RRC терминала, и уровень RRC терминала сохраняет усеченный параметр.
[00312] На основе технического решения, показанного на фиг. 8, поскольку предварительно заданное условие включает в себя, по меньшей мере, то, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, то, что терминал соответствует предварительно заданному условию, указывает, что терминал использует функцию оптимизации CIoT 5GS плоскости управления. При определении того, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, сетевой элемент управления мобильностью отправляет терминалу сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, чтобы гарантировать, что защита безопасности NAS выполняется для усеченного параметра в процессе передачи. Таким образом гарантируется, что усеченный параметр не будет заменен или подделан, за счет чего избегается атака отказа в обслуживании, запущенная злоумышленником против терминала, и дополнительно гарантируется, что терминал может нормально получить доступ к сети.
[00313] Далее описывается техническое решение, показанное на фиг. 8 со ссылкой на конкретные сценарии применения.
[00314] Сценарий 1: Сетевой элемент управления мобильностью предварительно сохраняет усеченный параметр.
[00315] На основе сценария 1 на фиг. 9 показывает способ защиты усеченного параметра согласно варианту осуществления настоящей заявки. Способ включает в себя следующие этапы.
[00316] S200. Сетевой элемент управления мобильностью предварительно сохраняет усеченный параметр.
[00317] Необязательно, оператор может сконфигурировать усеченный параметр для сетевого элемента управления мобильностью, используя систему управления сетью, чтобы сетевой элемент управления мобильностью мог предварительно сохранить усеченный параметр.
[00318] В возможном исполнении усеченный параметр может иметь степень детализации PLMN или может иметь степень детализации региона. То есть усеченный параметр, сконфигурированный в системе управления сетью, может быть применим ко всей сети PLMN или только к региону.
[00319] Конкретная реализация того, как сетевой элемент управления мобильностью предварительно конфигурирует усеченный параметр, не ограничена в этом варианте осуществления настоящей заявки.
[00320] S201. Терминал отправляет сообщение NAS восходящей линии связи сетевому элементу управления мобильностью, так что сетевой элемент управления мобильностью принимает сообщение NAS восходящей линии связи, отправленное терминалом.
[00321] Например, сообщение NAS восходящей линии связи может быть сообщением запроса регистрации, сообщением запроса на обслуживание и т.п. Это не ограничено в этом варианте осуществления настоящей заявки.
[00322] Следует отметить, что сообщение запроса регистрации может включать в себя тип регистрации (5GS registration type) и предпочтительное поведение сети.
[00323] S202. Терминал и сетевой элемент управления мобильностью активируют безопасность NAS.
[00324] Например, сообщение NAS восходящей линии связи представляет собой сообщение запроса регистрации. После того, как сетевой элемент управления мобильностью принимает сообщение запроса регистрации, сетевой элемент управления мобильностью выполняет процедуру аутентификации и согласования ключей (authentication and key agreement, AKA) для терминала. Затем, после успешной аутентификации, сетевой элемент управления мобильностью и терминал активируют контекст безопасности NAS между терминалом и сетевым элементом управления мобильностью с помощью процедуры команды режима безопасности NAS (security mode command, SMC).
[00325] Например, сообщение NAS восходящей линии связи является сообщением запроса на обслуживание. После того, как сетевой элемент управления мобильностью принимает сообщение запроса на обслуживание, сетевой элемент управления мобильностью выполняет проверку целостности сообщения запроса на обслуживание. После успешной проверки целостности сообщения запроса на обслуживание сетевой элемент управления мобильностью активирует контекст безопасности NAS между терминалом и сетевым элементом управления мобильностью.
[00326] S203-S206 аналогичны этапам S101-S104. Для их конкретных описаний обратитесь к варианту осуществления, показанному на фиг. 8. Подробности здесь повторно не приводятся.
[00327] Необязательно, когда сообщение NAS восходящей линии связи представляет собой сообщение запроса регистрации, сообщение NAS нисходящей линии связи представляет собой сообщение о принятии регистрации.
[00328] Необязательно, когда сообщение NAS восходящей линии связи представляет собой сообщение запроса на обслуживание, сообщение NAS нисходящей линии связи является сообщением о принятии услуги.
[00329] На основе варианта осуществления, показанного на фиг. 9, в некоторых процедурах, например, в процедуре регистрации или процедуре запроса услуги, сетевой элемент управления мобильностью может активно определять, соответствует ли терминал предварительно заданному условию. Сетевой элемент управления мобильностью отправляет в терминал, когда терминал соответствует предварительно заданному условию, усеченный параметр, в отношении которого выполняется защита безопасности NAS, так что терминал может использовать усеченный параметр в последующей процедуре.
[00330] Сценарий 2: Устройство доступа к сети предварительно сохраняет усеченный параметр.
[00331] На основе сценария 2 на фиг. 10 показывает способ защиты усеченного параметра согласно варианту осуществления настоящей заявки. Способ включает в себя следующие этапы.
[00332] S300. Устройство доступа к сети предварительно сохраняет усеченный параметр.
[00333] Следует отметить, что устройство доступа к сети обычно предварительно конфигурирует усеченный параметр, так что устройство доступа к сети восстанавливает полный 5G-S-TMSI на основе усеченного параметра и усеченного 5G-S-TMSI.
[00334] Дополнительно оператор может настроить усеченный параметр для устройства доступа к сети с помощью системы управления сетью, чтобы устройство доступа к сети могло предварительно сохранить усеченный параметр.
[00335] В возможном исполнении усеченный параметр может иметь степень детализации PLMN или может иметь степень детализации региона. То есть усеченный параметр, сконфигурированный в системе управления сетью, может быть применим ко всей сети PLMN или только к региону.
[00336] Конкретная реализация того, как устройство доступа к сети предварительно конфигурирует усеченный параметр, не ограничена в этом варианте осуществления настоящей заявки.
[00337] S301. Терминал отправляет сообщение RRC восходящей линии связи в устройство доступа к сети.
[00338] Например, сообщение RRC восходящей линии связи может быть сообщением запроса установления RRC или сообщением завершения установления RRC. Это не ограничено в этом варианте осуществления настоящей заявки.
[00339] Необязательно, в дополнение к сообщению RRC восходящей линии связи, терминал может дополнительно отправить сообщение NAS восходящей линии связи устройству доступа к сети, так что устройство доступа к сети пересылает сообщение NAS восходящей линии связи сетевому элементу управления мобильностью. Например, сообщение NAS восходящей линии связи может быть сообщением запроса регистрации или сообщением запроса на обслуживание. Это не ограничено в этом варианте осуществления настоящей заявки.
[00340] В возможном исполнении сообщение NAS восходящей линии связи может использоваться в качестве полезной нагрузки сообщения RRC восходящей линии связи. Например, сообщение RRC восходящей линии связи включает в себя контейнер NAS (container), а контейнер NAS включает в себя сообщение NAS восходящей линии связи. Таким образом, терминал отправляет сообщение RRC восходящей линии связи устройству доступа к сети для передачи сообщения RRC восходящей линии связи и сообщения NAS восходящей линии связи вместе стороне сети.
[00341] В другом возможном исполнении терминал отдельно отправляет сообщение NAS восходящей линии связи и сообщение RRC восходящей линии связи в устройство доступа к сети.
[00342] S302. Устройство доступа к сети определяет, поддерживает ли терминал функцию оптимизации CIoT 5GS.
[00343] Функция оптимизации CIoT 5GS включает в себя функцию оптимизации CIoT 5GS в плоскости пользователя и/или функцию оптимизации CIoT 5GS в плоскости управления.
[00344] То есть терминал поддерживает функцию оптимизации CIoT 5GS, что указывает на то, что терминал может поддерживать функцию оптимизации CIoT 5GS плоскости пользователя и/или функцию оптимизации CIoT 5GS плоскости управления.
[00345] Необязательно, на этапе S302 используется по меньшей мере одна из следующих реализаций:
[00346] Реализация 1: Когда сообщение RRC восходящей линии связи включает в себя указание возможностей, устройство доступа к сети определяет на основе указания возможностей, поддерживает ли терминал функцию оптимизации CIoT 5GS. В частности, если указание возможностей используется для указания того, что терминал поддерживает функцию оптимизации CIoT 5GS, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.
[00347] Дополнительно, если указание возможности не указывает, что терминал поддерживает функцию оптимизации CIoT 5GS, устройство доступа к сети определяет, что терминал не поддерживает функцию оптимизации CIoT 5GS.
[00348] Реализация 2: Устройство доступа к сети определяет на основе частоты доступа терминала, поддерживает ли терминал функцию оптимизации CIoT 5GS. В частности, если частота, используемая устройством CIoT, является частотой доступа терминала, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.
[00349] Дополнительно, если частота, используемая терминалом, не является частотой для доступа устройства CIoT, устройство доступа к сети определяет, что терминал не поддерживает функцию оптимизации CIoT 5GS.
[00350] Реализация 3: Устройство доступа к сети определяет на основе типа сообщения, отправленного терминалом, поддерживает ли терминал функцию оптимизации CIoT 5GS. В частности, если тип сообщения, отправленного терминалом, совпадает с типом сообщения, предназначенного для устройства CIoT, устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS.
[00351] При необходимости, если тип сообщения, отправленного терминалом, отличается от типа сообщения, предназначенного для устройства CIoT, устройство доступа к сети определяет, что терминал не поддерживает функцию оптимизации CIoT 5GS.
[00352] Можно понять, что реализации с 1 по 3 являются просто примерами конкретных реализаций этапа S302. В реальном применении Реализация 1, Реализация 2 и/или Реализация 3 могут использоваться в комбинации.
[00353] Следует отметить, что если устройство доступа к сети определяет, что терминал поддерживает функцию оптимизации CIoT 5GS, устройство доступа к сети выполняет следующий этап S303.
[00354] S303. Устройство доступа к сети отправляет сообщение N2 сетевому элементу управления мобильностью, так что сетевой элемент управления мобильностью принимает сообщение N2, отправленное устройством доступа к сети.
[00355] Сообщение N2 включает в себя усеченный параметр.
[00356] Необязательно, сообщение N2 может быть начальным сообщением UE (Initial UE message).
[00357] Необязательно, когда терминал далее отправляет сообщение NAS восходящей линии связи устройству доступа к сети, сообщение N2 несет сообщение NAS восходящей линии связи.
[00358] S304-S307 аналогичны этапам S101-S104. Для их конкретных описаний обратитесь к варианту осуществления, показанному на фиг. 8. Подробности здесь повторно не приводятся.
[00359] На основе варианта осуществления, показанного на фиг. 10, когда устройство доступа к сети сохраняет усеченный параметр, устройство доступа к сети определяет, поддерживает ли терминал, к которому осуществляется доступ, функцию оптимизации CIoT 5GS. Затем устройство доступа к сети отправляет усеченный параметр сетевому элементу управления мобильностью, когда терминал поддерживает функцию оптимизации CIoT 5GS, чтобы в последующей процедуре сетевой элемент управления мобильностью мог отправить терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, усеченный параметр, по которому выполняется защита безопасности NAS. В предыдущем процессе сетевой элемент управления мобильностью может получить усеченный параметр от устройства доступа к сети. Следовательно, сетевому элементу управления мобильностью не нужно предварительно конфигурировать усеченный параметр, тем самым уменьшая сложность конфигурации усеченного параметра.
Вариант 2 осуществления:
[00360] Фиг. 11 показывает способ защиты усеченного параметра согласно варианту осуществления настоящей заявки. Способ включает в себя следующие этапы.
[00361] S401. Сетевой элемент управления мобильностью обновляет усеченный параметр.
[00362] Необязательно, этап S401 может включать в себя одну из следующих реализаций:
[00363] Реализация 1: Сетевой элемент управления мобильностью обновляет усеченный параметр на основе количества ID наборов AMF и/или количества указателей AMF.
[00364] Например, если ID набора AMF и/или указатель AMF, которые усечены на основе текущего усеченного параметра, не могут представлять все выделенные сетевые элементы управления мобильностью, сетевой элемент управления мобильностью должен скорректировать усеченный параметр.
[00365] Например, для текущего усеченного параметра значение n равно 5, а значение m равно 3. В этом случае усеченный ID набора AMF имеет только пять битов, и общее количество наборов AMF, которые могут быть указаны с помощью усеченного ID набора AMF, составляет 32; усеченный указатель AMF имеет только три бита, и общее количество указателей, которые могут быть указаны усеченным указателем AMF, равно 8. Если текущее количество наборов AMF равно 14, а текущее количество указателей равно 9, сетевому элементу управления мобильностью необходимо обновить усеченный параметр. Необязательно, для обновленного усеченного параметра n может быть скорректировано до 4, а m может быть скорректировано до 4. Таким образом, общее количество наборов AMF, которые могут быть указаны усеченным ID набора AMF, составляет 16, а общее количество указателей, которые могут быть указаны усеченным указателем AMF, равно 16.
[00366] Реализация 2: Сетевой элемент управления мобильностью обновляет усеченный параметр в соответствии с инструкцией системы управления сетью.
[00367] Необязательно, система управления сетью может быть системой эксплуатации, администрирования и обслуживания (operation administration and maintenance, OAM).
[00368] Реализация 3: Сетевой элемент управления мобильностью принимает обновленный усеченный параметр, отправленный устройством доступа к сети.
[00369] Следует отметить, что устройство доступа к сети может обновлять усеченный параметр в соответствии с инструкцией системы управления сетью.
[00370] S402. Сетевой элемент управления мобильностью ищет терминал, который использует функцию оптимизации CIoT 5GS плоскости управления.
[00371] В возможной реализации сетевой элемент управления мобильностью сохраняет контекст терминала и контекст терминала включает в себя информацию указания, указывающую, использует ли соответствующий терминал функцию оптимизации CIoT 5GS плоскости управления. Сетевой элемент управления мобильностью определяет на основе контекстов множества терминалов, которые хранятся в сетевом элементе управления мобильностью, терминал, который использует функцию оптимизации CIoT 5GS плоскости управления.
[00372] Понятно, что может быть один или несколько терминалов, использующих функцию оптимизации CIoT 5GS плоскости управления.
[00373] S403. Сетевой элемент управления мобильностью отправляет терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS.
[00374] Сообщение NAS нисходящей линии связи включает в себя обновленный усеченный параметр.
[00375] Для любого терминала, который использует функцию оптимизации CIoT 5GS плоскости управления, то, что сетевой элемент управления мобильностью отправляет сообщение NAS нисходящей линии связи терминалу, включает в себя одну из следующих реализаций:
[00376] Реализация 1: Если терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в подключенном состоянии (CONNECTED), сетевой элемент управления мобильностью может напрямую отправить терминалу, который использует функцию оптимизации CIoT 5GS плоскости управления, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS.
[00377] Необязательно, на основе реализации 1, сообщение NAS нисходящей линии связи может быть сообщением команды обновления конфигурации UE (UE Configuration Update Command).
[00378] Реализация 2: Если терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, сетевой элемент управления мобильностью ожидает, пока терминал перейдет в подключенное состояние. После того, как терминал переходит в подключенное состояние и активируется безопасность NAS, сетевой элемент управления мобильностью отправляет терминалу сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS.
[00379] В этом варианте осуществления настоящей заявки неподключенное состояние может быть состоянием бездействия (idle) или неактивным (inactive) состоянием RRC.
[00380] Следует отметить, что терминал, находящийся в неподключенном состоянии, может активно инициировать сообщение запроса на обслуживание, чтобы войти в подключенное состояние.
[00381] Необязательно, на основе Реализации 2, сообщение NAS нисходящей линии связи может быть сообщением о принятии услуги или управляющим сообщением обновления конфигурации UE.
[00382] Реализация 3: Если терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, находится в неподключенном состоянии, сетевой элемент управления мобильностью осуществляет поисковый вызов в отношении терминала для предписания терминалу перейти в подключенное состояние. После того, как терминал переходит в подключенное состояние и безопасность NAS активирована, сетевой элемент управления мобильностью отправляет терминалу сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS.
[00383] Необязательно, на основе реализации 3, сообщение NAS нисходящей линии связи может быть сообщением о принятии услуги или сообщением команды обновления конфигурации UE (UE Configuration Update Command).
[00384] Следует отметить, что когда терминал находится в неподключенном состоянии, терминалу не нужно усекать 5G-S-TMSI. Поэтому терминалу в неподключенном состоянии нет необходимости сразу обновлять усеченный параметр. В этом случае сетевой элемент управления мобильностью обновляет усеченный параметр для терминала после того, как терминал восстановлен в подключенное состояние, чтобы предотвратить одновременную отправку сетевым элементом управления мобильностью терминалу большого количества сигналов NAS, тем самым избегая перегруженности сигнализацией.
[00385] Кроме того, на основе Реализации 3 сетевой элемент управления мобильностью не «пробуждает» активно терминал, который находится в неподключенном состоянии, что помогает снизить энергопотребление терминала.
[00386] S404 и S405 аналогичны этапам S103 и S104. Для их конкретных описаний обратитесь к варианту осуществления, показанному на фиг. 8. Подробности здесь повторно не приводятся.
[00387] На основе технического решения, показанного на фиг. 11, после обновления усеченного параметра сетевой элемент управления мобильностью активно отправляет обновленный усеченный параметр, на котором выполняется защита безопасности NAS, на терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, чтобы терминал мог получить обновленный усеченный параметр. Это позволяет избежать случая, когда терминал не может нормально получить доступ к сети, потому что терминал использует неправильный усеченный параметр.
Вариант 3 осуществления:
[00388] Фиг. 12 показывает способ защиты усеченного параметра согласно варианту осуществления настоящей заявки. Способ включает в себя следующие этапы.
[00389] S500-S503 аналогичны этапам S300-S303. Для их конкретных описаний обратитесь к варианту осуществления, показанному на фиг. 10. Подробности здесь повторно не приводятся.
[00390] Необязательно, в дополнение к усеченному параметру, устройство доступа к сети может дополнительно отправить сетевому элементу управления мобильностью параметр актуальности и/или информацию указания защиты.
[00391] Параметр актуальности используется для вычисления целостности усеченного параметра и параметр актуальности используется для обеспечения того, чтобы NAS MAC, сформированные два раза, были разными. Например, параметр актуальности может быть счетчиком PDCP нисходящей линии связи (count).
[00392] Информация указания защиты используется для указания сетевому элементу управления мобильностью выполнять защиту безопасности в отношении усеченного параметра.
[00393] S504. Сетевой элемент управления мобильностью выполняет вычисление целостности усеченного параметра на основе контекста безопасности NAS, для формирования первого NAS MAC.
[00394] В возможной реализации, когда сетевой элемент управления мобильностью принимает усеченный параметр, сетевой элемент управления мобильностью выполняет вычисление целостности усеченного параметра, для формирования первого NAS MAC.
[00395] В другой возможной реализации, когда сетевой элемент управления мобильностью принимает усеченный параметр и информацию указания защиты, сетевой элемент управления мобильностью выполняет вычисление целостности усеченного параметра, для формирования первого NAS MAC. Когда сетевой элемент управления мобильностью принимает усеченный параметр, но не принимает информацию инструкции защиты, сетевой элемент управления мобильностью не выполняет вычисление целостности усеченного параметра.
[00396] При необходимости сетевой элемент управления мобильностью формирует первый NAS MAC на основе ключа защиты целостности, усеченного параметра и алгоритма защиты целостности.
[00397] Необязательно, когда устройство доступа к сети отправляет параметр актуальности сетевому элементу управления мобильностью, сетевой элемент управления мобильностью формирует первый NAS MAC на основе ключа защиты целостности, усеченного параметра, алгоритма защиты целостности и параметра актуальности.
[00398] S505. Сетевой элемент управления мобильностью отправляет первый NAS MAC устройству доступа к сети, так что устройство доступа к сети принимает первый NAS MAC, отправленный сетевым элементом управления мобильностью.
[00399] S506. Устройство доступа к сети отправляет усеченный параметр и первый NAS MAC терминалу, так что терминал принимает усеченный параметр и первый NAS MAC, отправленные устройством доступа к сети.
[00400] Усеченный параметр и первый NAS MAC могут переноситься в сообщении RRC нисходящей линии связи.
[00401] Необязательно, сообщение RRC нисходящей линии связи дополнительно несет указание параметра актуальности, и указание параметра актуальности может представлять собой несколько битов счетчика PDCP нисходящей линии связи.
[00402] Например, сообщение RRC нисходящей линии связи может быть сообщением реконфигурации RRC. Это не ограничено в этом варианте осуществления настоящей заявки.
[00403] S507. Терминал выполняет вычисление целостности усеченного параметра на основе контекста безопасности NAS, для формирования второго NAS MAC.
[00404] Дополнительно терминал формирует второй NAS MAC на основе ключа защиты целостности, усеченного параметра и алгоритма защиты целостности.
[00405] Необязательно, когда терминал дополнительно принимает указание параметра актуальности, отправленную устройством доступа к сети, терминал формирует второй NAS MAC на основе ключа защиты целостности, усеченного параметра, параметра актуальности и алгоритма защиты целостности.
[00406] Следует отметить, что после того, как терминал принимает указание параметра актуальности, терминал может получить параметр актуальности на основе указания параметра актуальности. Например, терминал восстанавливает полный PDCP COUNT нисходящей линии связи на основе некоторых битов PDCP COUNT нисходящей линии связи.
[00407] S508. Терминал проверяет первый NAS MAC на основе второго NAS MAC.
[00408] В возможной реализации терминал определяет, является ли второй NAS MAC таким же, как первый NAS MAC. Если первый NAS MAC совпадает со вторым NAS MAC, терминал определяет, что проверка первого NAS MAC прошла успешно. Если первый NAS MAC отличается от второго NAS MAC, терминал определяет, что проверка первого NAS MAC не удалась.
[00409] S509. Терминал сохраняет усеченный параметр после успешной проверки первого NAS MAC.
[00410] В возможной реализации после успешной проверки первого NAS MAC уровень RRC терминала сохраняет усеченный параметр.
[00411] В другой возможной реализации, после успешной проверки первого NAS MAC, уровень RRC терминала отправляет усеченный параметр уровню NAS терминала. Затем уровень NAS терминала сохраняет усеченный параметр.
[00412] На основе технического решения, показанного на фиг. 12, когда устройству доступа к сети необходимо отправить усеченный параметр терминалу, устройство доступа к сети сначала отправляет усеченный параметр сетевому элементу управления мобильностью, чтобы получить первый NAS MAC, соответствующий усеченному параметру. Затем устройство доступа к сети отправляет терминалу усеченный параметр и первый NAS MAC. Таким образом, с помощью первого NAS MAC терминал может проверить, не изменен ли усеченный параметр злоумышленником, тем самым гарантируя целостность усеченного параметра. Когда терминал получает правильный усеченный параметр, терминал обычно может получить доступ к сети.
[00413] Когда происходит сбой радиоканала (radio link failure, RLF), терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, может инициировать процедуру повторного установления соединения RRC. В процедуре повторного установления RRC-соединения терминал должен отправить сообщение запроса на повторное установление RRC (RRC Reestablishment Request) целевому устройству доступа к сети, а сообщение запроса на повторное установление RRC несет усеченный 5G-S-TMSI.
[00414] Следовательно, UE необходимо получить усеченный 5G-S-TMSI в процедуре повторного установления RRC-соединения.
[00415] Необязательно, что терминал получает усеченный 5G-S-TMSI, включает в себя одну из следующих реализаций:
[00416] Реализация 1: Когда уровень RRC терминала отвечает за сохранение усеченного параметра, когда терминалу необходимо использовать усеченный 5G-S-TMSI, уровень RRC терминала усекает 5G-S-TMSI на основе усеченного параметра, чтобы получить усеченный 5G-S-TMSI.
[00417] Реализация 2: Когда уровень RRC терминала отвечает за сохранение усеченного параметра, когда терминалу необходимо использовать усеченный 5G-S-TMSI, уровень RRC терминала отправляет усеченный параметр уровню NAS терминала. Уровень NAS терминала усекает 5G-S-TMSI на основе усеченного параметра для получения усеченного 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.
[00418] Реализация 3: Когда уровень NAS терминала отвечает за сохранение усеченного параметра, когда терминалу необходимо использовать усеченный 5G-S-TMSI, уровень NAS терминала усекает 5G-S-TMSI на основе усеченного параметра, чтобы получить усеченный 5G-S-TMSI. Уровень NAS терминала отправляет усеченный 5G-S-TMSI уровню RRC терминала.
[00419] Реализация 4: Когда уровень NAS терминала отвечает за сохранение усеченного параметра, когда терминалу необходимо использовать усеченный 5G-S-TMSI, уровень NAS терминала отправляет усеченный параметр уровню RRC терминала. Затем уровень RRC терминала усекает 5G-S-TMSI на основе усеченного параметра, чтобы получить усеченный 5G-S-TMSI.
[00420] Можно понять, что усеченный параметр, хранящийся в терминале, получен терминалом с использованием технического решения, показанного на любой из фиг. 8 по фиг. 12.
[00421] Далее подробно описывается процедура повторного установления соединения RRC для терминала, который использует функцию оптимизации CIoT 5GS плоскости управления.
[00422] Терминал, который использует функцию оптимизации CIoT 5GS плоскости управления, не имеет доступного контекста безопасности AS. Следовательно, для защиты процедуры повторного установления уровень AS терминала предписывает уровню NAS предоставлять UL_NAS_MAC и XDL_NAS_MAC. UL_NAS_MAC указывает, что терминал запрашивает повторное установление RRC-соединения, а XDL_NAS_MAC используется для указания того, что терминал находится в соединении с реальной сетью.
[00423] Следует отметить, что терминал устанавливает Key в ключ целостности (KNASint), устанавливает счетчик в значение счетчика NAS восходящей линии связи, устанавливает DIRECTION в 0 и устанавливает Message в идентификатор целевой соты (ID соты) и полное сообщение запроса на повторное установление RRC, которое исключает младший значащий бит (LSB) счетчика NAS и UL_NAS_MAC. Затем терминал вводит эти параметры (например, ключ и сообщение) в используемый в настоящее время алгоритм целостности для формирования NAS MAC.
[00424] Первые 16 бит NAS MAC образуют UL_NAS_MAC, а последние 16 бит NAS MAC формируют XDL_NAS_MAC.
[00425] Затем терминал отправляет сообщение запроса на повторное установление RRC целевому устройству доступа к сети, где сообщение запроса на повторное установление RRC включает в себя усеченный 5G-S-TMSI и пять младших значащих битов счетчика NAS. Младшие значащие биты счетчика NAS используются для расчета NAS MAC.
[00426] Целевое устройство доступа к сети восстанавливает полный 5G-S-TMSI на основе усеченного 5G-S-TMSI в сообщении запроса на повторное установление RRC и локально сконфигурированного усеченного параметра (m и n). Целевое устройство доступа к сети может определить на основе полного 5G-S-TMSI сетевой элемент управления мобильностью, обслуживающий терминал. Кроме того, целевое устройство доступа к сети отправляет 5G-S-TMSI, ID целевой соты и все сообщение запроса на повторное установление RRC, за исключением усеченного 5G-S-TMSI, сетевому элементу управления мобильностью.
[00427] Сетевой элемент управления мобильностью оценивает полный счетчик NAS восходящей линии связи, используя LSB счетчика NAS, связанного с идентификатором соединения NAS «0×01». Затем сетевой элемент управления мобильностью использует предполагаемое количество NAS восходящей линии связи для вычисления XNAS-MAC.
[00428] Сетевой элемент управления мобильностью сравнивает, совпадают ли первые 16 бит UL_NAS_MAC с битами XNAS-MAC. Когда первые 16 бит UL_NAS_MAC совпадают с битами XNAS-MAC, сетевой элемент управления мобильностью определяет, что реальный терминал отправляет сообщение запроса на повторное установление RRC.
[00429] Затем сетевой элемент управления мобильностью отправляет сообщение указания установления соединения (connection establishment indication) целевому устройству доступа к сети, где сообщение указания установления соединения включает в себя DL_NAS_MAC. Следует отметить, что DL_NAS_MAC - это последние 16 бит XNAS-MAC.
[00430] Устройство доступа к сети посылает терминалу сообщение повторного установления RRC (RRC Reestablishment), где сообщение повторного установления RRC включает в себя DL_NAS_MAC.
[00431] Терминал проверяет, совпадает ли полученный DL_NAS_MAC с XDL_NAS_MAC. Если DL_NAS_MAC и XDL_NAS_MAC совпадают, терминал завершает процедуру повторного установления RRC-соединения.
[00432] Вышеизложенное в основном описывает решения, предусмотренные в вариантах осуществления настоящей заявки, с точки зрения взаимодействия между сетевыми элементами. Можно понять, что для реализации вышеизложенных функций каждый сетевой элемент, например терминал, устройство доступа к сети и сетевой элемент управления мобильностью, включает в себя соответствующую аппаратную структуру или программный модуль для выполнения каждой функции или их комбинацию. Специалисту в данной области техники должно быть понятно, что блоки, алгоритмы и этапы в примерах, описанных со ссылкой на варианты осуществления, раскрытые в данном описании, могут быть реализованы аппаратными средствами или комбинацией аппаратных средств и компьютерного программного обеспечения в данной заявке. Выполняется ли функция аппаратным обеспечением или аппаратным обеспечением, управляемым компьютерным программным обеспечением, зависит от конкретных применений и конструктивных ограничений технических решений. Специалист в данной области может использовать различные способы для реализации описанных функций для каждого конкретного применения, но не следует считать, что такая реализация выходит за рамки объема данной заявки.
[00433] В вариантах осуществления настоящей заявки функциональные модули устройства доступа к сети, сетевого элемента управления мобильностью и терминала могут быть получены путем разделения на основе приведенных выше примеров способов. Например, каждый функциональный модуль может быть получен посредством разделения на основе каждой соответствующей функции, или две или более функции могут быть интегрированы в один модуль обработки. Интегрированный модуль может быть реализован в виде аппаратного обеспечения или может быть реализован в виде программного функционального модуля. Следует отметить, что в этом варианте осуществления настоящей заявки разделение на модули является примером и представляет собой просто логическое разделение функций. При фактической реализации может использоваться другой способ разделения. Пример, в котором каждый функциональный модуль получается путем разделения на основе каждой соответствующей функции, используется ниже для описания.
[00434] Фиг. Фиг. 13 является схематической структурной диаграммой терминала в соответствии с вариантом осуществления настоящей заявки. Как показано на фиг. 13, терминал включает в себя модуль 201 связи, модуль 202 обработки и модуль 203 хранения. Модуль 201 связи выполнен с возможностью поддержки терминала при выполнении этапа S102 на фиг. 8, этапы S201 и S204 на фиг. 9, этапы S301 и S305 на фиг. 10, этап S403 на фиг. 11, этапы S501 и S506 на фиг. 12, и/или другую операцию связи, которая должна быть выполнена терминалом в вариантах осуществления настоящей заявки. Модуль 202 обработки выполнен с возможностью поддержки терминала при выполнении этапа S103 на фиг. 8, этапы S202 и S205 на фиг. 9, шаг S306 на фиг. 10, этап S404 на фиг. 11, этапы S507 и S508 на фиг. 12, и/или другую операцию обработки, которая должна быть выполнена терминалом в вариантах осуществления настоящей заявки. Модуль 203 хранения выполнен с возможностью поддержки терминала при выполнении этапа S104 на фиг. 8, шаг S206 на фиг. 9, этап S307 на фиг. 10, этап S405 на фиг. 11, этап S509 на фиг. 12, и/или другую операцию сохранения, которая должна выполняться терминалом в вариантах осуществления настоящей заявки.
[00435] В примере со ссылкой на устройство, показанное на фиг. 7, модуль 202 обработки на ФИГ. 13 может быть реализован процессором 101 на фиг. 7 модуль связи 201 на фиг. 13, может быть реализован интерфейсом 104 связи на фиг. 7, и модуль 203 хранения на ФИГ. 13, может быть реализована памятью 103 на фиг. 7. В вариантах осуществления настоящей заявки это не ограничено.
[00436] Фиг. 14 представляет собой схематическую структурную диаграмму устройства доступа к сети согласно варианту осуществления настоящей заявки. Как показано на фиг. 14, устройство доступа к сети включает в себя модуль 301 связи, модуль 302 обработки и модуль 303 хранения. Модуль 301 связи выполнен с возможностью поддержки устройства доступа к сети при выполнении этапов S301 и S303 на фиг. 10, этапы S501, S503, S505 и S506 на фиг. 12, и/или другую операцию связи, которая должна выполняться устройством доступа к сети в вариантах осуществления настоящей заявки. Модуль 302 обработки выполнен с возможностью поддержки устройства доступа к сети при выполнении этапа S302 на фиг. 10, этап S502 на фиг. 12, и/или другую операцию обработки, которая должна выполняться устройством доступа к сети в вариантах осуществления настоящей заявки. Модуль 303 хранения выполнен с возможностью поддержки устройства доступа к сети при выполнении этапа S300 на фиг. 10, этап S500 на фиг. 12, и/или другую операцию сохранения, которая должна выполняться устройством доступа к сети в вариантах осуществления настоящей заявки.
[00437] В примере со ссылкой на устройство, показанное на фиг. 7, модуль 302 обработки на ФИГ. 14 может быть реализован процессором 101 на фиг. 7 модуль связи 301 на фиг. 14, может быть реализован интерфейсом 104 связи на фиг. 7, и модуль 303 хранения на ФИГ. 14, может быть реализована памятью 103 на фиг. 7. В вариантах осуществления настоящей заявки это не ограничено.
[00438] Фиг. 15 представляет собой схематическую структурную диаграмму сетевого элемента управления мобильностью согласно варианту осуществления настоящей заявки. Как показано на фиг. 15 сетевой элемент управления мобильностью включает в себя модуль 401 связи, модуль 402 обработки и модуль 403 хранения. Модуль 401 связи выполнен с возможностью поддержки сетевого элемента управления мобильностью при выполнении этапа S102 на фиг. 8, этапы S201 и S204 на фиг. 9, этапы S303 и S305 на фиг. 10, этап S403 на фиг. 11, этапы S503 и S505 на фиг. 12, и/или другую операцию связи, которая должна выполняться сетевым элементом управления мобильностью в вариантах осуществления настоящей заявки. Модуль 402 обработки выполнен с возможностью поддержки сетевого элемента управления мобильностью при выполнении этапа S101 на фиг. 8, этапы S202 и S203 на фиг. 9, шаг S304 на фиг. 10, этапы S401 и S402 на фиг. 11, этап S504 на фиг. 12, и/или другую операцию обработки, которая должна быть выполнена сетевым элементом управления мобильностью в вариантах осуществления настоящей заявки. Модуль 403 хранения выполнен с возможностью поддержки сетевого элемента управления мобильностью при выполнении этапа S200 на фиг. 9, и/или другую операцию сохранения, которая должна выполняться сетевым элементом управления мобильностью в вариантах осуществления настоящей заявки.
[00439] В примере со ссылкой на устройство, показанное на фиг. 7, модуль 402 обработки на ФИГ. 15 может быть реализован процессором 101 на фиг. 7 модуль связи 401 на фиг. 15, может быть реализован интерфейсом 104 связи на фиг. 7, и модуль 403 хранения на ФИГ. 15, может быть реализована памятью 103 на фиг. 7. В вариантах осуществления настоящей заявки это не ограничено.
[00440] Вариант осуществления данной заявки дополнительно обеспечивает считываемый компьютером носитель данных. Считываемый компьютером носитель хранит инструкцию, и когда считываемый компьютером носитель данных работает на компьютере, компьютер получает возможность выполнять способ защиты усеченного параметра, предусмотренный в вариантах осуществления настоящей заявки.
[00441] Вариант осуществления настоящей заявки дополнительно предоставляет компьютерный программный продукт, включающий в себя компьютерную инструкцию. Когда компьютерный программный продукт запускается на компьютере, компьютер получает возможность выполнять способ защиты усеченного параметра, предусмотренный в вариантах осуществления настоящей заявки.
[00442] Вариант осуществления настоящей заявки обеспечивает микросхему. Чип включает в себя процессор. При выполнении инструкции процессор позволяет микросхеме выполнять способ защиты усеченного параметра, предусмотренный в вариантах осуществления настоящей заявки.
[00443] Следует понимать, что компьютерная инструкция может быть сохранена на считываемом компьютером носителе данных или может быть передана с считываемого компьютером носителя данных на другой считываемый компьютером носитель данных. Например, компьютерная инструкция может быть передана с веб-сайта, компьютера, сервера или центра обработки данных на другой веб-сайт, компьютер, сервер или центр обработки данных по проводному (например, коаксиальному кабелю, оптоволоконному кабелю или цифровому абонентскому устройству) или беспроводным (например, инфракрасным, радио или микроволновым) способом. Считываемый компьютером носитель данных может быть любым используемым носителем, доступным для компьютера, или устройством хранения данных, таким как сервер или центр обработки данных, объединяющим один или несколько используемых носителей. Используемым носителем может быть магнитный носитель (например, гибкий диск, жесткий диск или магнитная лента), оптический носитель, полупроводниковый носитель (например, твердотельный накопитель) и т.п.
[00444] Приведенные выше описания реализаций позволяют специалисту в данной области техники ясно понять, что в целях удобного и краткого описания разделение только на вышеупомянутые функциональные модули используется в качестве примера для иллюстрации. В реальном применении вышеупомянутые функции могут быть назначены различным функциональным модулям для реализации на основе требования, то есть внутренняя структура устройства разделена на различные функциональные модули для реализации всех или некоторых функций, описанных выше.
[00445] Следует понимать, что в нескольких вариантах осуществления, представленных в настоящей заявке, раскрытые устройства и способы могут быть реализованы другими способами. Например, описанные варианты осуществления устройства являются просто примерами. Например, разделение на модули или блоки - это просто логическое функциональное разделение. В реальной реализации может быть другой способ разделения. Например, множество блоков или компонентов могут быть объединены или могут быть интегрированы в другое устройство, или некоторые функции могут быть проигнорированы или не реализованы. Кроме того, отображаемые или обсуждаемые взаимные связи или прямые связи или коммуникационные соединения могут быть реализованы через некоторые интерфейсы. Косвенные связи или коммуникационные соединения между устройствами или блоками могут быть реализованы в электрической форме, механической форме или другой форме.
[00446] Блоки, описанные как отдельные компоненты, могут быть или не быть физически отдельными, а компоненты, отображаемые как блоки, могут быть одним или несколькими физическими блоками, то есть могут быть расположены в одном месте или могут быть распределены по множеству разных мест. Некоторые или все блоки могут быть выбраны на основе фактических требований для достижения целей решений в упомянутых вариантах осуществления.
[00447] Кроме того, функциональные блоки в вариантах осуществления настоящей заявки могут быть интегрированы в один блок обработки, или каждый из блоков может существовать отдельно физически, или два или более блоков интегрируются в один блок. блок. Интегрированный блок может быть реализован в виде аппаратных средств или может быть реализован в виде функционального блока программного обеспечения.
[00448] Когда интегрированный блок реализуется в виде функционального блока программного обеспечения и продается или используется как независимый продукт, интегрированный блок может храниться на читаемом носителе данных. Исходя из такого понимания, технические решения в вариантах осуществления настоящей заявки по существу или часть, вносящая вклад в существующую технологию, или все или некоторые из технических решений могут быть реализованы в форме программного продукта. Программный продукт хранится на носителе данных и включает в себя несколько инструкций для указания устройству (которым может быть однокристальный микрокомпьютер, микросхема и т.п.) или процессору (processor) выполнить все или некоторые из шагов программы. способы, описанные в вариантах осуществления данной заявки.
[00449] Вышеприведенное описание представляет собой лишь конкретные реализации данной заявки, но оно не предназначено для ограничения объема охраны данной заявки.
Любое изменение или замена в пределах объема, раскрытого в настоящей заявке, будет попадать в объем правовой охраны настоящей заявки. Следовательно, объем охраны настоящей заявки должен соответствовать объему охраны формулы изобретения.
Группа изобретений относится к технике беспроводной связи. Технический результат заключается в повышении безопасности передачи информации. Сетевой элемент управления мобильностью определяет, соответствует ли терминал, осуществляющий доступ к сети, предварительно заданному условию, где предварительно заданное условие включает в себя то, что терминал использует функцию оптимизации CIoT 5GS плоскости управления. Сетевой элемент управления мобильностью отправляет терминалу, когда терминал соответствует предварительно заданному условию, сообщение NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, при этом сообщение NAS нисходящей линии связи включает в себя усеченный параметр 5G-S-TMSI. 10 н. и 29 з.п. ф-лы, 15 ил.
1. Способ защиты усеченного параметра, при этом способ характеризуется тем, что содержит:
определение сетевым элементом управления мобильностью того, соответствует ли терминал предварительно заданному условию; и
отправку сетевым элементом управления мобильностью терминалу, когда терминал соответствует предварительно заданному условию, сообщения уровня (NAS) без доступа нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, при этом сообщение NAS нисходящей линии связи содержит усеченный параметр и усеченный параметр используется для усечения временного идентификатора (5G-S-TMSI) мобильного абонента эволюции системной архитектуры 5-го поколения терминала.
2. Способ по п. 1, в котором усеченный параметр предварительно сохраняется в сетевом элементе управления мобильностью.
3. Способ по п. 1, в котором предварительно заданное условие содержит то, что терминал использует функцию оптимизации системы (5GS) сотового интернета вещей (CIoT) 5-го поколения плоскости управления, а определение сетевым элементом управления мобильностью того, соответствует ли терминал предварительно заданному условию, содержит:
определение посредством сетевого элемента управления мобильностью того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления; и
определение посредством сетевого элемента управления мобильностью, когда терминал использует функцию оптимизации CIoT 5GS плоскости управления, того, что терминал соответствует предварительно заданному условию.
4. Способ по п. 1 или 2, в котором предварительно заданное условие дополнительно содержит то, что терминал изначально зарегистрирован в сети; и
определение сетевым элементом управления мобильностью того, соответствует ли терминал предварительно заданному условию, содержит:
определение посредством сетевого элемента управления мобильностью того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и зарегистрирован ли терминал изначально в сети; и,
если терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминал изначально зарегистрирован в сети, определение посредством сетевого элемента управления мобильностью того, что терминал соответствует предварительно заданному условию; или,
если терминал не использует функцию оптимизации CIoT 5GS плоскости управления или терминал изначально не зарегистрирован в сети, определение посредством сетевого элемента управления мобильностью того, что терминал не соответствует предварительно заданному условию.
5. Способ по п. 4, в котором определение сетевым элементом управления мобильностью того, зарегистрирован ли терминал изначально в сети, содержит
определение сетевым элементом управления мобильностью на основании типа регистрации, о котором сообщил терминал, того, что терминал изначально зарегистрирован в сети.
6. Способ по п. 1 или 2, в котором предварительно заданное условие содержит то, что терминал использует функцию оптимизации системы (5GS) сотового интернета вещей (CIoT) 5-го поколения плоскости управления и терминалу нужно обновить усеченный параметр; и
определение сетевым элементом управления мобильностью того, соответствует ли терминал предварительно заданному условию, содержит:
определение посредством сетевого элемента управления мобильностью того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и нужно ли терминалу обновить усеченный параметр; и
определение посредством сетевого элемента управления мобильностью, когда терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминалу нужно обновить усеченный параметр, того, что терминал соответствует предварительно заданному условию.
7. Способ по п. 6, в котором определение посредством сетевого элемента управления мобильностью того, нужно ли терминалу обновить усеченный параметр, содержит:
когда усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, отличается от усеченного параметра, который хранится в контексте терминала, определение посредством сетевого элемента управления мобильностью того, что терминалу нужно обновить усеченный параметр.
8. Способ по п. 6, в котором определение посредством сетевого элемента управления мобильностью того, нужно ли терминалу обновить усеченный параметр, содержит:
после того, как сетевой элемент управления мобильностью обновляет усеченный параметр, определение посредством сетевого элемента управления мобильностью того, что терминалу нужно обновить усеченный параметр.
9. Способ по любому из пп. 3-8, в котором определение сетевым элементом управления мобильностью того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления, содержит:
кода предпочтительное поведение сети, сообщаемое терминалом, указывает, что терминал предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления, и сетевой элемент управления мобильностью поддерживает функцию оптимизации CIoT 5GS плоскости управления, определение посредством сетевого элемента управления мобильностью того, что терминал использует функцию оптимизации CIoT 5GS плоскости управления.
10. Способ по любому из п. 1-9, дополнительно содержащий
прием посредством сетевого элемента управления мобильностью сообщения запроса регистрации от терминала до определения того, соответствует ли терминал предварительно заданному условию.
11. Способ по любому из пп. 1-10, в котором сообщение NAS нисходящей линии связи представляет собой сообщение о принятии услуги или сообщение о принятии регистрации.
12. Способ по любому из пп. 1-11, в котором биты с первого по десятый в 5G-S-TMSI используются для указания ID набора функций управления доступа и мобильностью (AMF), биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI; и
усеченный параметр содержит первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, а второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
13. Способ защиты усеченного параметра, характеризующийся тем, что содержит:
прием устройством связи от сетевого элемента управления мобильностью сообщения NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, при этом сообщение NAS нисходящей линии связи содержит усеченный параметр и усеченный параметр используется для усечения 5G-S-TMSI устройства связи;
выполнение устройством связи снятия защиты безопасности с сообщения NAS нисходящей линии связи; и
сохранение устройством связи усеченного параметра после успешного выполнения снятия защиты безопасности с сообщения NAS нисходящей линии связи.
14. Способ по п. 13, в котором сохранение устройством связи усеченного параметра содержит
сохранение посредством уровня NAS устройства связи усеченного параметра.
15. Способ по п. 14, при этом способ дополнительно содержит:
отправку посредством уровня NAS устройства связи усеченного параметра уровню (RRC) управления радиоресурсами устройства связи; и
усечение посредством уровня RRC устройства связи 5G-S-TMSI устройства связи на основе усеченного параметра для получения усеченного 5G-S-TMSI.
16. Способ по п. 15, при этом способ дополнительно содержит
отправку устройством связи сообщения запроса на повторное установление RRC устройству доступа к сети, при этом сообщение запроса на повторное установление RRC содержит усеченный 5G-S-TMSI.
17. Способ по любому из пп. 13-16, в котором сообщение NAS нисходящей линии связи представляет собой сообщение о принятии услуги или сообщение о принятии регистрации.
18. Способ по любому из пп. 13-17, в котором биты с первого по десятый в 5G-S-TMSI используются для указания ID набора функций управления доступа и мобильностью (AMF), биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI; и
усеченный параметр содержит первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, а второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
19. Устройство связи, характеризующееся тем, что содержит:
по меньшей мере один процессор; и
память, соединенную с процессором и содержащую программные инструкции, хранящиеся в памяти, которые, при их выполнении посредством упомянутого по меньшей мере одного процессора, предписывают устройству связи осуществлять:
определение того, соответствует ли терминал предварительно заданному условию; и
отправку терминалу, когда терминал соответствует предварительно заданному условию, сообщения уровня (NAS) без доступа нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, при этом сообщение NAS нисходящей линии связи содержит усеченный параметр, и усеченный параметр используется для усечения временного идентификатора (5G-S-TMSI) мобильного абонента эволюции системной архитектуры 5-го поколения терминала.
20. Устройство связи по п. 19, в котором усеченный параметр предварительно сохраняется в сетевом элементе управления мобильностью.
21. Устройство связи по п. 19 или 20, в котором предварительно заданное условие содержит то, что терминал использует функцию оптимизации системы (5GS) сотового интернета вещей (CIoT) 5-го поколения плоскости управления и программные инструкции дополнительно предписывают устройству связи осуществлять:
определение того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления; и
определение того, что терминал соответствует предварительно заданному условию, когда терминал использует функцию оптимизации CIoT 5GS плоскости управления.
22. Устройство связи по п. 19 или 20, в котором предварительно заданное условие содержит то, что терминал использует функцию оптимизации системы (5GS) сотового интернета вещей (CIoT) 5-го поколения плоскости управления и терминалу нужно обновить усеченный параметр, и программные инструкции дополнительно предписывают устройству связи осуществлять:
определение того, использует ли терминал функцию оптимизации CIoT 5GS плоскости управления и нужно ли терминалу обновить усеченный параметр; и
определение того, что терминал соответствует предварительно заданному условию, когда терминал использует функцию оптимизации CIoT 5GS плоскости управления и терминалу нужно обновить усеченный параметр.
23. Устройство связи по п. 22, в котором определение того, нужно ли терминалу обновить усеченный параметр, содержит:
когда усеченный параметр, сконфигурированный в сетевом элементе управления мобильностью, отличается от усеченного параметра, который хранится в контексте терминала, определение того, что терминалу нужно обновить усеченный параметр.
24. Устройство связи по п. 21 или 22, отличающееся тем, что программные инструкции дополнительно предписывают устройству связи осуществлять определение того, что терминал использует функцию оптимизации CIoT 5GS плоскости управления, когда предпочтительное поведение сети, сообщаемое терминалом, указывает, что терминал предпочитает использовать функцию оптимизации CIoT 5GS плоскости управления и устройство связи поддерживает функцию оптимизации CIoT 5GS плоскости управления.
25. Устройство связи по любому из пп. 19-24, в котором программные инструкции дополнительно предписывают устройству связи осуществлять прием сообщения запроса регистрации от терминала до определения того, соответствует ли терминал предварительно заданному условию.
26. Устройство связи по любому из пп. 19-25, в котором сообщение NAS нисходящей линии связи является сообщением о принятии услуги или сообщением о принятии регистрации.
27. Устройство связи по любому из пп. 19-26, в котором биты с первого по десятый в 5G-S-TMSI используются для указания ID набора функций управления доступа и мобильностью (AMF), биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI; и
усеченный параметр содержит первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, а второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
28. Устройство связи, характеризующееся тем, что содержит:
по меньшей мере один процессор; и
память, соединенную с процессором и содержащую программные инструкции, хранящиеся в памяти, которые, при их выполнении посредством упомянутого по меньшей мере одного процессора, предписывают устройству связи осуществлять:
прием от сетевого элемента управления мобильностью сообщения NAS нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS, при этом сообщение NAS нисходящей линии связи содержит усеченный параметр и усеченный параметр используется для усечения 5G-S-TMSI устройства связи;
выполнение снятия защиты безопасности с сообщения NAS нисходящей линии связи; и
сохранение усеченного параметра после успешного выполнения снятия защиты безопасности с сообщения NAS нисходящей линии связи.
29. Устройство связи по п. 28, в котором программные инструкции дополнительно предписывают устройству связи осуществлять сохранение, посредством уровня NAS устройства связи, усеченный параметр.
30. Устройство связи по п. 29, в котором программные инструкции дополнительно предписывают устройству связи осуществлять:
отправку посредством уровня NAS устройства связи усеченного параметра уровню (RRC) управления радиоресурсами терминала; и
усечение посредством уровня RRC устройства связи 5G-S-TMSI устройства связи на основе усеченного параметра для получения усеченного 5G-S-TMSI.
31. Устройство связи по п. 30, в котором программные инструкции дополнительно предписывают устройству связи осуществлять: отправку сообщения запроса на повторное установление RRC устройству доступа к сети, при этом сообщение запроса на повторное установление RRC содержит усеченный 5G-S-TMSI.
32. Устройство связи по любому из пп. 28, 29, в котором сообщение NAS нисходящей линии связи является сообщением о принятии услуги или сообщением о принятии регистрации.
33. Устройство связи по любому из пп. 28, 29, в котором биты с первого по десятый в 5G-S-TMSI используются для указания ID набора функций управления доступа и мобильностью (AMF), биты с одиннадцатого по шестнадцатый в 5G-S-TMSI используются для указания указателя AMF и биты с семнадцатого по сорок восьмой в 5G-S-TMSI используются для указания 5G-TMSI; и
усеченный параметр содержит первый усеченный параметр и второй усеченный параметр, первый усеченный параметр используется для усечения ID набора AMF и 5G-TMSI, а второй усеченный параметр используется для усечения указателя AMF и 5G-TMSI.
34. Считываемый компьютером носитель данных, при этом на считываемом компьютером носителе данных хранится инструкция и, когда инструкция выполняется на компьютере, компьютер может выполнять способ защиты усеченного параметра по любому из пп. 1-12.
35. Считываемый компьютером носитель данных, при этом на считываемом компьютером носителе данных хранится инструкция и, когда инструкция выполняется на компьютере, компьютер может выполнять способ защиты параметра усечения по любому из пп. 13-18.
36. Микросхема, содержащая процессор, при этом, когда процессор выполняет инструкцию компьютерной программы, микросхема получает возможность выполнять способ защиты усеченного параметра по любому из пп. 1-12.
37. Микросхема, содержащая процессор, при этом, когда процессор выполняет инструкцию компьютерной программы, микросхема получает возможность выполнять способ защиты параметра усечения по любому из пп. 13-18.
38. Способ защиты усеченного параметра, при этом способ применим для системы связи, которая содержит сетевой элемент управления мобильностью и терминал, при этом способ содержит:
определение сетевым элементом управления мобильностью того, соответствует ли терминал предварительно заданному условию;
когда терминал соответствует предварительно заданному условию, отправку сетевым элементом управления мобильностью терминалу сообщения уровня (NAS) без доступа нисходящей линии связи, в котором защита безопасности NAS выполняется с использованием контекста безопасности NAS,
при этом сообщение NAS нисходящей линии связи содержит усеченный параметр и усеченный параметр используется для усечения временного идентификатора (5G-S-TMSI) мобильного абонента эволюции системной архитектуры 5-го поколения терминала;
выполнение терминалом снятия защиты безопасности с сообщения NAS нисходящей линии связи; и
сохранение терминалом усеченного параметра после успешного выполнения снятия защиты безопасности с сообщения NAS нисходящей линии связи.
39. Система связи, содержащая
устройство связи по любому из пп. 19-27 и устройство связи по любому из пп. 28-33.
| EP 3565373 A1, 06.11.2019 | |||
| Аппарат для очищения воды при помощи химических реактивов | 1917 |
|
SU2A1 |
| WO 2018236819 A1, 27.12.2018 | |||
| WO 2019193538 A1, 10.10.2019 | |||
| WO 2019183834 A1, 03.10.2019 | |||
| US 20190254094 A1, 15.08.2019 | |||
| WO 2018169743 A1, 20.09.2018 | |||
| НАЗНАЧЕНИЕ ВРЕМЕННОГО ИДЕНТИФИКАТОРА АБОНЕНТСКОГО ОБОРУДОВАНИЯ РЕТРАНСЛЯЦИОННЫМ УЗЛОМ, УПРАВЛЯЕМЫМ БАЗОВОЙ СТАНЦИЕЙ | 2008 |
|
RU2451429C2 |
