用于验证设备类别的无线设备和网络节点以及无线通信系统中的相应方法与流程

1.本发明涉及一种用于支持在无线通信系统中验证一个或多个设备类别的方法和无线设备，以及一种方法和网络节点。本发明还涉及一种包括无线设备和网络节点的系统以及计算机程序。


背景技术：

2.随着网络社会对巨大流量或极低延迟或两者的需求的不断增加，移动网络需要不断发展以满足需求。例如，下一代移动网络联盟定义了5g网络(第5代移动网络或第5代无线系统)的要求，5g网络是至少在数据速率、同时连接数和频谱效率方面超过当前4g的新网络。随着无线设备的增加及其在简单和廉价应用中的使用，网络的安全性变得越来越重要。
3.目前，在3gpp中，存在基于网络和无线设备(例如，用户设备ue)之间的共享秘密来维护安全性的良好机制。安全系统基于sim(订户标识模块)，sim充当放置在可拆卸或嵌入式sim卡上的安全模块，sim卡可用于建立安全连接和识别无线设备。安全连接通常由对无线设备进行认证的核心网络建立。认证的结果是核心网络和无线设备二者都生成要用于无线设备和核心网络之间以及无线设备和无线电接入网络(ran)之间的所有活动模式通信的密钥。
4.对于空闲模式操作，存在问题，因为无线设备依赖于传输的广播消息来保持对网络节点等的跟踪。
5.在寻呼中，无线设备将基站识别为网络的节点并侦听寻呼消息。因此，如果无线设备在寻呼消息中被寻址，则无线设备向核心网络节点发送寻呼响应，该寻呼响应于是允许核心网络节点传递下行链路数据，该下行链路数据例如可以包括使无线设备执行诸如发送测量报告之类的特定动作的触发。如果例如通过虚假基站向无线设备发送虚假广播消息，则可能出现问题。
6.另一方面，无线设备也可能给网络带来安全风险，因为无线设备可能会受到损害，这通常不易被网络检测到，尤其是在较早阶段，例如在随机接入(ra)过程中。
7.受损无线设备对拥有受损无线设备的最终用户以及网络和其他用户都是一种安全威胁。
8.无线设备通常被分为包含无线电功能的一个部分和运行系统应用和最终用户应用的应用部分。传统上通过保持这种分离来增加安全性。然而，可以预见的是：在未来，低成本的无线设备(例如，iot设备)，特别是用于简单应用(例如，家用电器)的低成本的无线设备，由于硬件架构的成本削减可能不太安全。
9.但是，即使这种类型的分离阻止了受损应用影响例如无线设备中的无线电功能，多种类型的攻击也可能被发起。例如，有可能激活无线设备中的麦克风、相机或其他传感器。
10.由于网络中的大量无线设备，可以联合使用这些设备来进行dns类型的攻击。这种
攻击可以以若干方式触发，例如使用虚假基站、虚假系统信息等。但是它也可以在应用层触发，例如通过以协调方式触发应用中的更新功能以使系统过载。
11.通过触发无线电服务中支持的其他功能，也可以使受损无线设备行为异常。已知的此类攻击的一种类型是：通过将电话应用作为攻击目标，可以触发无线设备开始执行紧急prach。这在目前无法禁止，即，即使无线电功能没有受到损害，也可能触发该行为。已经提出，因此应该例如通过使用受损的无线设备的全球黑名单使得有可能控制该行为。
12.现有解决方案的一个问题是：需要在随机接入之上的大量信令来检测无线设备是受到损害的还是属于应该被允许接入系统的用户。这意味着：如果系统由于例如假装是高优先级用户的例如受损iot设备例如在ra过程中发送不正确的信息而受到攻击，这通常在ra过程之后的用户验证才会被检测到，其需要大量的空中信令和核心网络中的信令。在某些情况下，如果受损设备伪装成高优先级设备，也可以为其分配高优先级资源，从而在短时间内阻止这些资源用于高优先级用户或低优先级用户的预期用途。
13.因此，期望提供方法、无线设备、网络节点、系统和计算机程序以允许快速找出是否应该允许无线设备接入网络。即，希望避免在低优先级用户的无线设备或具有错误安全级别的无线设备上浪费大量信令。


技术实现要素：

14.在独立权利要求中定义了合适的方法、网络节点、无线设备、系统和计算机程序。在从属权利要求中定义了有利的实施例。
15.在一个实施例中，提供了一种由无线通信系统的无线设备执行的用于支持验证设备类别的方法。该方法包括以下步骤：从网络节点接收包括随机比特序列的验证消息，并且通过使用分配给设备类别的验证函数根据随机比特序列计算验证签名。该方法还包括在随机接入过程的上行链路消息中向网络节点发送所计算出的验证签名的步骤。备选地，向网络节点发送所计算出的验证签名在随机接入过程之后的第一上行链路消息中执行。这允许在网络节点处使用验证签名来验证无线设备的类别。设备类别与由一组无线设备共享的安全级别或优先级相关联。因此，可以执行对设备类别的可靠且快速的验证。具体地，可以减少网络中的信令。
16.在一个实施例中，提供了一种例如由无线通信系统的一个或多个网络节点执行的用于验证设备类别的方法。该方法包括以下步骤：向无线设备发送包括随机比特序列的验证消息，并且在随机接入过程的上行链路消息中从无线设备接收验证签名。备选地，从无线设备接收验证签名在随机接入过程之后的第一上行链路消息中执行。该方法还包括以下步骤：使用分配给设备类别的验证函数根据随机比特序列计算计算比较签名，并且如果所计算出的比较签名和所接收到的验证签名相匹配，则验证无线设备属于分配给验证函数的设备类别。设备类别与由一组无线设备共享的安全级别或优先级相关联。因此，可以执行对设备类别的可靠且快速的验证。具体地，可以减少网络中的信令。
17.在一个实施例中，提供了一种用于支持验证设备类别的无线通信系统的无线设备。无线设备适于执行以下步骤：从网络节点接收包括随机比特序列的验证消息，并且通过使用分配给设备类别的验证函数根据随机比特序列计算验证签名。该方法还包括在随机接入过程的上行链路消息中向网络节点发送所计算出的验证签名的步骤。备选地，向网络节
点发送所计算出的验证签名在随机接入过程之后的第一上行链路消息中执行。这允许在网络节点处使用验证签名来验证无线设备的类别。设备类别与由一组无线设备共享的安全级别或优先级相关联。
18.因此，可以执行对设备类别的可靠且快速的验证。具体地，可以减少网络中的信令。
19.在一个实施例中，提供了一种用于验证设备类别的无线通信系统的网络节点。该网络节点适用于执行以下步骤：
20.向无线设备发送包括随机比特序列的验证消息，并且在随机接入过程的上行链路消息中从无线设备接收验证签名。备选地，从无线设备接收验证签名在随机接入之后的第一上行链路消息中执行。该方法还包括以下步骤：使用分配给设备类别的验证函数根据随机比特序列计算比较签名，并且如果所计算出的比较签名和所接收到的验证签名相匹配，则验证无线设备属于分配给验证函数的设备类别。设备类别与由一组无线设备共享的安全级别或优先级相关联。因此，可以执行对设备类别的可靠且快速的验证。具体地，可以减少网络中的信令。
21.在另一实施例中，提供了一种包括网络节点和无线设备的系统，网络节点包括其功能单元，例如，发射器、控制器和接收器，无线设备包括其功能单元，例如，接收器、控制器和发射器。
22.在另一实施例中，提供了一种包括指令的计算机程序，该指令被配置为当在处理器上执行时使处理器执行上述方法。
23.此外，在从属权利要求中公开了本发明的有利实施例。
附图说明
24.图1示出了随机接入过程的操作。
25.图2示出了根据实施例的在无线节点中用于支持验证设备类别的方法的操作。
26.图3示出了根据实施例的在无线通信系统中(特别是在系统的一个或多个网络节点中)用于验证设备类别的方法的操作。
27.图4说明了从消息导出验证签名的概念。
28.图5示出了根据实施例的无线通信系统中的网络节点和无线设备之间的通信方案中的信令。
29.图6示出了根据实施例的无线通信系统中的网络节点和无线设备之间的另一通信方案中的信令。
30.图7示出了根据实施例的无线设备的单元。
31.图8示出了根据实施例的网络节点的单元。
32.图9示出了不同的网络节点可以如何执行图3的操作。
具体实施方式
33.参考附图描述本发明的其他实施例。应当注意以下描述仅包含示例，并且不应视为限制本发明。
34.在下文中，相似或相同的附图标记指示相似或相同的单元或操作。
35.随机接入(ra)是无线设备通过在随机接入资源(例如，rach)上发送随机接入前导码来发起与无线系统的网络节点(或更具体地与节点提供的小区)进行通信的过程。在该随机接入过程中，交换关于系统、同步和无线设备的信息，参见图1。在随机接入过程之后，诸如图1中的ue 130之类的无线设备可以开始经由诸如基站110之类的网络节点与核心网络进行通信，并且识别自身并发起与核心网络的安全连接。
36.在争用随机接入过程的情况下，在接入小区时使用的随机接入过程或物理随机接入过程可以包括四个后续消息。这四个消息涉及在无线通信系统中使用下行链路信道或上行链路信道的从无线设备/网络节点到网络节点/无线设备的接入相关信息的确定和传输。在无争用随机接入过程的情况下，如下详述的第一消息和第二消息可以足以提供无线设备到网络节点的随机接入。
37.第一步骤132包括在特定物理上行链路信道(这里称为物理随机接入信道prach)上传输前导码。该步骤也可以被称为第一消息、消息1或rach过程消息1的传输，由122指示。前导码从无线设备传输给无线通信系统的网络节点。更具体地，前导码在时隙的可配置子集(rach时隙)内传输，其针对给定的rach配置周期重复自身，并由网络节点110检测，如112中指示。
38.下一步骤114包括在下行链路传输中(例如通过使用物理下行链路控制信道pdcch或物理下行链路共享信道pdsch)从网络节点向无线通信系统的无线设备传输随机接入响应rar。该步骤也可以被称为第二消息、消息2或rach过程消息2的传输，由124指示。随机接入响应指示对前导码的接收/检测。此外，在134中由无线设备接收和解码的随机接入响应还通过提供时间对准命令基于所接收到的前导码的定时来调整无线设备的传输定时。此外，随机接入响应可以包含指示无线设备在随机接入过程的下一步中可以使用的资源(或上行链路资源)的调度许可。此外，随机接入响应可以包含临时标识符tc
‑
rnti，其用于无线通信网络的一个或多个网络节点和无线设备之间的进一步通信。
39.步骤136包括在上行链路传输中从无线设备到网络节点的无线设备相关信息的传输。该步骤也可以被称为第三消息、消息3或rach过程消息3的传输，由126指示。具体地，第三消息可以使用上行链路共享信道资源(ul
‑
sch资源)传输，并在116中被接收和解码。这些资源可以在随机接入过程的随机接入响应中指示。此外，第三消息可以包括设备标识，也称为设备标识符。该设备标识可以在随机接入过程的第四步骤处使用。设备标识符可以是核心网络标识符。此外，如果无线通信系统处于rrc_connected(rrc连接)状态或rrc_inactive(rrc非活动)状态，则给定小区内的设备的已分配唯一标识c
‑
rnti为设备标识。
40.步骤118包括在下行链路传输中从网络节点向无线设备传输第四消息。该步骤也可以被称为消息4、rach过程消息4或争用解决消息的传输，由128指示。具体地，第四消息可以使用下行链路共享信道资源(dl
‑
sch资源)传输，并在138中被接收和解码。此外，如果已经在小区内分配了设备的唯一标识，则网络节点可以使用该唯一标识在物理下行链路控制信道pdcch上发送第四消息。另一方面，如果尚未分配唯一标识，即，如果设备没有有效的c
‑
rnti，则可以使用在随机接入响应中接收到的临时标识符tc
‑
rnti，在dl
‑
sch上发送争用解决消息。
41.在无线设备接收到第四消息之后，无线设备将在第三消息中向网络节点发送的设备标识与在第四步骤中接收到的唯一标识或临时标识符进行比较。如果设备标识与唯一标
识或临时标识符匹配，则认为随机接入信道过程成功；这是ra过程的结束。如果对应的标识符不匹配，则认为随机接入过程失败并可以重复随机接入过程。
42.上述随机接入过程通常在无线通信系统中对无线设备进行认证之前(例如，在与核心网络连接之前)执行。然而，如果认证指示不允许设备连接到核心网络，例如，如果设备受损并伪装成高优先级设备，则会浪费大量信令。因此，希望在早期阶段获得(有利地在随机接入过程中已经获得)关于设备类别(例如，设备的优先级或安全级别)的可靠指示，以便能够快速决定是需要在设备和网络之间进行进一步的消息交换，还是应立即拒绝设备。
43.本发明的一个方面是通过为设备类别分配例如包括密钥的验证函数来使能对设备类别的验证。例如，在典型的用例中，该类别与具有比例如iot设备更高并且可能甚至比常规增强型移动宽带(embb)ue更高的安全要求(安全级别)的一组无线设备相关联。这可以例如针对公共安全或用于关键服务的ue。在另一示例中，作为安全级别的补充或替代，一组无线设备可以具有更高的优先级，例如，针对这些无线设备保留一定的带宽，或者在接入网络时它们被优先考虑。
44.图2示出了用于支持验证设备类别的方法的流程图。该方法的操作(在下文中也称为步骤)可以由无线通信系统的无线设备(例如，ue或iot设备)来执行。例如，图2中描述的功能也可以构成设备中的功能单元，这稍后将参照图7进行讨论。在流程图的参考符号中，步骤被表示为“s”，后跟步骤编号。
45.本文描述的无线设备可以是任何类型的终端，如用户设备、移动电话或其他类型的终端，例如，智能手机、平板电脑、笔记本电脑、个人数字助理(pda)、可穿戴设备等。最值得注意的是，无线设备不限于此，并且可以是任何可无线控制的智能设备，包括现代厨房电器、室内气候控制设备、家庭娱乐设备等，其可以连接到无线网络，如在物联网中。
46.从图2中可以看出，方法200包括在无线通信系统的无线设备中执行的用于支持验证设备类别的三个步骤210、220和230。无线通信系统优选地是网络节点和连接到充当随机接入网络ran的特定网络节点的无线设备的系统。为了获得对网络的接入，使用上述随机接入过程，在所述上述随机接入过程中通过使用无线通信系统中的上行链路资源或下行链路资源在无线通信系统中的网络节点和无线设备之间传输消息，或者换言之，在与核心网络建立安全连接之前，在网络节点和无线设备之间交换下行链路和上行链路信息。
47.详细地，该方法包括步骤210，在该步骤处，从网络节点接收包括随机比特序列的验证消息。在该方法中随机比特序列被用作验证字符串/序列，并且可以是任意随机比特序列，例如，比特串等。随机比特序列具有支持检查是否为设备分配了正确且有效的验证函数的功能。因此，可以将其理解为测试数据，如图4中的数据b，该数据是网络节点和无线设备(在接收到该数据之后)已知的，使得在下一步骤中讨论的计算签名可被用于检查是否为设备类别分配了由设备应用的验证函数。随机比特序列也可以是种子，例如用于取决于例如子帧号或随机接入时机生成伪随机比特序列。
48.包括随机比特序列的验证消息可被包括在在随机接入过程之前(即，在时间上早于随机接入过程)传输的广播消息中。备选地，验证消息可被包括在随机接入过程中使用的下行链路消息中。该下行链路消息可以是包括四个消息的随机接入过程(如上面图1所示的随机接入过程)中的第二消息。备选地，该下行链路消息是包括在无线设备和网络节点之间交换至少四个连续消息的随机接入过程的第四消息。
49.在步骤220处，通过使用分配给设备类别的验证函数根据随机比特序列计算验证签名。验证函数允许阻止第三方发送正确的签名。即，在没有分配给特定设备类别的有效验证函数的情况下，无法生成针对该设备类别的正确签名。
50.验证函数可以包括哈希函数。可以使用哈希函数至少对随机比特序列进行哈希处理来计算验证签名。在无线设备和网络节点中使用的哈希函数应该相同。在图4的过程410中讨论了对数据(例如，随机比特序列)进行哈希处理的示例。对随机比特序列进行哈希处理允许减少随机比特序列的长度。因此，减少了要传输的数据，例如，要发送的消息的长度。
51.此外，验证函数可以附加地包括加密函数。此外，计算验证签名的步骤还可以包括使用密钥对至少哈希处理后的随机比特序列进行加密。图4讨论了加密哈希处理后的数据(例如，哈希处理后的随机比特序列)的示例。在加密哈希处理后的随机比特序列时使用的密钥可以是私钥或公钥，从而增加了在执行对无线设备的类别的验证时的安全性。此外，密钥或密钥的类型(例如，其是私钥还是公钥)可以与无线设备的类别相关联，从而在验证无线设备的类别时允许进一步的灵活性。
52.在步骤230处，验证签名于是从无线设备传输给网络节点。该传输使用上行链路消息(例如，随机接入过程的上行链路消息，诸如包括四个消息的随机接入过程中的第三消息)来执行。图1示出了这种随机接入过程的示例，而图6示出了更多细节。在随机接入过程的第三消息中传输验证签名允许快速验证无线设备的类别，从而在类别未被验证的情况下通过在早期阶段终止随机接入过程节省了传输资源。
53.备选地，如果随机接入请求被认为是随机接入过程的第一消息，则该上行链路消息可以是随机接入过程之后的第一上行链路消息，即，第五消息。更多细节如图5所示。在第五消息中传输验证签名允许节省随机接入过程中的传输资源，因为附加数据是在随机接入过程完成之后传输的。
54.将签名转发给网络节点允许使用网络节点处的验证签名来验证设备类别。具体地，这种验证因此是在识别无线设备的标识并在网络中对其进行认证之前执行的。
55.此外，如稍后参照图9说明的，该验证不是必须由发送验证消息的网络节点910来执行，而是可以由不同的网络节点920来执行。这允许提高配置灵活性，从而使专用网络节点配置成为可能，例如使一个专用网络节点被配置为有效地执行验证，而网络的其余节点仅用于将所接收到的验证签名传输给所述一个网络节点。因此，专用的、简化的和更有效的网络通信处理是可能的。
56.从图3中可以看出，方法300包括在无线通信系统中执行的用于支持验证设备类别的四个步骤310、320、330和340。优选地，该方法由形成无线通信系统的网络节点中的至少一个网络节点执行，但也可以由两个或更多个网络节点执行。为了获得对网络的接入，使用上述包括四个消息的随机接入过程。
57.详细地，方法300包括步骤310，其中，包括随机比特序列的验证消息从网络节点发送给无线设备。验证消息和随机比特序列与上面参照图2所讨论的相同，并且由无线设备接收。
58.如上所述，无线设备计算验证签名，该验证签名稍后在步骤320处由网络节点在随机接入过程的上行链路消息中或在随机接入过程之后的第一上行链路消息中从无线设备接收。上面讨论了有关消息的详细信息。
59.在步骤330处，使用分配给设备类别的验证函数在网络节点处根据随机比特序列计算比较签名。在图4的过程420中讨论了计算比较签名的示例。比较签名可以从相同的随机比特序列并使用与在无线设备中使用的验证函数相对应的验证函数来计算。例如，如果验证函数彼此不对应，例如，网络节点处的验证函数不包括与无线设备的验证函数的加密函数相对应的解密函数，无法执行验证，这指示无线设备受损(这应该会导致验证不匹配，如下图4所示)。类似地，如果网络节点和无线设备中的哈希函数不同，则应该会出现不匹配。这允许提高通信系统的安全性，因为可以轻松地且可靠地检测到受损的无线设备(比具有特定的分配的类别)。
60.从步骤320和330，应该清楚的是，步骤330也可以在步骤320之前，因为这些步骤不应该限于特定顺序。
61.在步骤340处，基于使用所计算出的比较签名和所接收到的验证签名的比较来验证无线设备属于分配给验证函数的设备类别。图4讨论了验证无线设备属于分配给验证函数的设备类别的示例。如下图4所示，失配是表明无线设备(尤其是其类别和/或验证函数)已被某种篡改的强指示。因此，验证可以通过检查设备类别来进行，其给出可靠指标，并且由于向设备类别分配验证函数而不容易被伪造。本文使用的验证可以识别设备类别并验证无线设备确实属于该设备类别。
62.必须注意，包括在网络节点的验证函数中的哈希函数可以与包括在无线设备的验证函数中的哈希函数相同。因此，如果仅使用相同的哈希函数而不使用加密，则在计算比较签名时使用的验证函数可以与无线设备中使用的验证函数相同。
63.在上述两种方法中，设备类别与由一组无线设备共享的安全级别或优先级相关联。即，一组无线设备可以被定义为网络运营商的所有ue(订阅类别)，即，mbb ue、iot ue、公共安全ue、urllc ue、黄金订阅ue等。安全级别或优先级可以指示用于公共安全相关操作的无线设备或用于关键服务的无线设备。例如，可以设置优先级，使得在紧急情况下不具有该优先级的普通用户被阻止使用特定频谱。此外，可以对安全切片(slice)的接入进行监管，即，高安全性用户在核心网络中具有单独的处理，使得安全切片对于安全服务是独占的。
64.从图4中可以看出，图4的上部410示出了在无线设备处从数据(例如，优选地至少包括随机比特序列的消息b)推导出验证签名e(h(b))的可能方式。此外，图4的下部420示出了在无线通信系统中的网络节点处验证该签名的可能方式。
65.当从消息b导出验证签名时，可以将上述图2和图3的方法中讨论的随机比特序列用作消息b。
66.消息b或其内容也可以被称为验证字符串。无线设备首先使用哈希函数根据消息b计算哈希值h(b)。为此，使用公知的哈希函数或专门设计的哈希函数。换言之，验证函数包括哈希函数，并且计算验证签名的步骤包括使用哈希函数对至少随机比特序列进行哈希处理。
67.随后，无线设备使用公知的加密函数或专门设计的加密函数以及加密密钥、密钥、私钥、公钥或适合对哈希处理后的随机比特序列进行加密的任何其他信息来对哈希值进行加密。在图4的示例中，使用了私钥。由此获得的加密哈希值也可以被称为消息的验证签名或签名。换言之，验证函数还包括加密函数，并且计算验证签名的步骤还包括使用密钥(例
如，私钥)对至少哈希处理后的随机比特序列进行加密的步骤。
68.图4的过程420可以用于在网络节点处验证签名。
69.首先，网络节点接收在过程410中导出并从无线设备发送的验证签名e(h(b))。更详细地，如上所述，该过程包括以下步骤：在随机接入过程的上行链路消息中或在随机接入过程之后的第一上行链路消息中从无线设备接收验证签名。
70.此外，网络节点使用哈希函数根据消息计算哈希值。该消息可以是消息b中的随机比特序列。换言之，网络节点使用分配给设备类别的网络节点验证函数根据随机比特序列计算比较签名。更具体地，网络节点验证函数可以包括哈希函数，并且计算比较签名可以包括使用哈希函数对至少随机比特序列进行哈希处理。在这方面，在计算比较签名的上下文中，验证函数也可以被称为比较签名生成函数、比较生成函数、签名生成函数等。该消息可以与在如以上过程410中描述的在从消息b导出验证签名时使用的消息b相同。哈希函数可以与在如以上过程410中描述的在从消息b导出验证签名时使用的哈希函数相同。
71.过程420中的验证函数还可以包括解密函数，其用于对所接收到的验证签名进行解密。然后，可以验证设备类别，即，如果所计算出的比较签名与解密后的验证签名匹配，则可以验证无线设备属于分配给验证函数的设备类别。
72.更详细地，网络节点使用密钥对验证签名e(h(b))进行解密。密钥可以被称为密码密钥、解密密钥、加密密钥、私钥、公钥或适合于对验证签名进行解密的任何其他信息。在图4的示例中，使用公钥，其与过程410中使用的私钥一起形成密钥对。由此，网络节点在过程420中计算解密后的验证签名h’(b)。
73.备选地，可以在过程420中使用私钥，并且可以在过程410中使用公钥。这些密钥可以一起形成密钥对，从而允许在验证无线设备的类别时提高安全性。
74.在下文中，网络节点将比较签名与解密后的验证签名进行比较。如果比较签名和解密签名匹配，则网络节点确定无线设备属于分配给在对验证签名进行解密时使用的验证函数的设备类别。
75.上面已经讨论了关于加密的具体示例。可以使用共享秘密进行加密，即，发射器和接收器都知道一些东西，其使它们能够加密/解密或使用私钥和公钥，其中，私钥保密，而公钥可被分发给一组用户，类似于图4。私钥和公钥方法都可被用于使私钥的所有者能够加密消息，然后任何拥有公钥的人都可以对这些消息进行解密。它还可以用于使任何拥有公钥的人能够加密消息，其只能由拥有私钥的人读取。
76.如本文所定义的，使用签名是一种使用公钥/私钥加密和共享的(可能是秘密的)哈希函数的组合的方法。
77.备选地，代替使用哈希函数进行哈希处理，可以使用校验和方案来计算固定长度数据串，类似于哈希处理后的随机比特序列。即，在获取固定长度数据串时，可以使用具有与哈希函数或校验和函数类似特性的任何函数。
78.图5描绘了在随机接入过程中使用的携带了在验证无线设备的设备类别时所需的各种信息的消息的可能配置。
79.这些信息可以是随机比特序列(验证字符串)、比特指示符、验证指示符、验证签名。用于传输的消息可以是在上述随机接入过程中使用的适合于携带这些信息的任何消息。这些消息可以被称为随机接入过程的消息1、消息2、消息3和消息4。此外，使用的消息可
以是在随机接入过程之前使用的任何消息(例如，广播消息)，或者紧接在随机接入过程之后使用的消息(例如，“消息5”)。
80.图5提供了一个具体示例，其中，验证消息可被分配在随机接入过程中使用的四个消息中。换言之，图5提供了一个具体示例，其中，消息携带或包括随机比特序列(验证字符串)。
81.在该示例中，可以应用上述随机接入过程。例如，在无线设备和网络节点之间发送和接收随机接入过程的第一消息520和第二消息530。
82.在随机接入过程的第三消息540中发送验证指示符。第三消息是随机接入过程中使用的上行链路消息。验证指示符指示无线设备支持对设备类别的验证。在随机接入过程的第四消息550中发送随机比特序列，也称为验证字符串。第四消息是在上面参照图3描述的随机接入过程中使用的下行链路消息。随机接入过程包括在无线设备和网络节点之间交换至少四个连续消息。验证签名是560中根据随机比特序列计算出的，如可从上面描述图4细节的描述中推导出来。在图5的示例中，计算出的验证签名在随机接入过程之后的第一上行链路消息570中从无线设备传输给网络节点。该消息可以被称为“消息5”、第五消息或者任何其他可以涵盖在随机接入过程完成之后立即发送的该消息的含义的表达。
83.备选地，验证字符串(即，随机比特序列)可被包括在在随机接入过程之前发送的广播消息中的验证消息中，如消息510所示。可以从网络节点向无线设备发送广播消息。无线设备可以接收广播消息。即，在该备选方案中，包括随机比特序列(验证字符串)的验证消息可被包括在广播消息中或者可以构成广播消息。
84.图6描绘了在随机接入过程中使用的携带了在验证无线设备的设备类别时所需的各种信息的消息配置的另一种可能性。
85.这些信息可以是随机比特序列(验证字符串)、比特指示符、验证指示符、验证签名。用于传输的消息可以是在上述随机接入过程中使用的适合于携带这些信息的任何消息。此外，使用的消息可以是在随机接入过程之前使用的任何消息(例如，广播消息)，或者紧接在随机接入过程之后使用的消息(例如，“消息5”)。
86.图6提供了一个具体示例，其中，验证消息可被分配在随机接入过程中使用的消息中。换言之，图6提供了一个具体示例，其中，消息可以携带或包括随机比特序列，分别为验证字符串。
87.在该示例中，可以应用上述随机接入过程。例如，在无线设备和网络节点之间发送随机接入过程的第一消息620和第二消息630以及第三消息660。
88.在随机接入过程的第一消息620中发送验证指示符。在随机接入过程的第二消息630中发送随机比特序列，也称为验证字符串。验证签名是以上面描述图4时描述的方式根据随机位序列640计算出的。在640中，在无线设备处根据验证字符串(随机比特序列)计算验证签名。计算出的验证签名在随机接入过程的第三消息660中从无线设备传输给网络节点。随机接入过程可以是如上所述的随机接入过程。
89.可选地，格式指示符可被包括在随机接入过程的消息2中。该格式指示符(上面也称为比特指示符)是用于随机接入过程的消息3的指示符，其确定无线设备在向网络节点发送包括验证签名的消息3时应使用的特定格式。基于指示消息3格式的格式指示符，在650中无线设备可以在应用上述消息配置时确定随机接入过程的消息3的格式。
90.备选地，在610中，验证字符串(例如，随机比特序列)可以在在随机接入过程之前发送的广播消息中发送，类似于图5。
91.在一个实施例中，网络将验证函数(例如，密钥和/或哈希函数(密钥/哈希))分配给与优先级或安全相关的设备类别中的无线设备类别，所述无线设备例如是用户设备(ue)。备选地，所有无线设备都使用相同的验证函数，但例如当无线设备通过加密和完整性保护的非接入层nas信令首次连接到网络时，被提供(分配)有与无线设备保存的设备类别相关联的不同的长期(半静态)种子。
92.然后，网络节点接收来自无线设备的随机接入尝试。网络节点例如专门在随机接入消息4中或通过广播消息向所述无线设备发送验证字符串，如参照图5所述。如果已经分配了密钥或哈希中的任何一个，则无线设备根据已经为该设备分配的密钥和/或哈希函数来计算验证签名(密钥/哈希)。无线设备将计算出的验证签名包括在随机接入消息5中，如图5所示。网络节点在来自所述无线设备的消息5中接收验证签名。根据验证消息对无线设备进行分类，即，如果验证消息对应于所述设备类别，则密钥/哈希将所述无线设备分类为属于与优先级或安全性相关的所述对应类别。
93.在一些实施例中，无线设备类别与网络切片相关联，即，连接到切片的无线设备被赋予用于该切片的密钥和/或哈希函数。在一些实施例中，无线设备类别是网络运营商的所有无线设备。在一些实施例中，无线设备类别是订阅类别，即，mbb ue、物联网(iot)ue、公共安全ue、超可靠低延迟通信(urllc)ue、黄金订阅ue等。
94.在一些实施例中，无线设备密钥是私钥，而网络节点密钥是公钥，如图4所述，其中，公共因此限于无线设备的安全类别，即，它不是“公共的”，而是如上所述就用于生成签名的加密密钥而言的公共密钥。
95.对无线设备的验证在建立核心网络连接之前完成，以减少开销和时间。技术人员意识到，网络可以在随机接入过程的消息2中包括验证字符串、随机比特序列，从而允许无线设备在随机接入过程的消息3中包括验证签名。然而，由于争用解决发生在随机接入过程的消息4中，因此在随机接入过程的消息3中未检测到的无线设备中浪费了在争用解决之前计算验证签名所花费的处理。还要注意的是，即使网络决定在随机接入过程的消息2中提供验证字符串(随机比特序列)，无线没备也可以决定在随机接入过程的消息5中提供验证签名。
96.在一些实施例中，验证函数或者在制造时作为设备的一部分分配，或者在订阅配置过程中作为sim/usim的一部分分配，或者从已存储在sim/usim上的任何现有认证算法导出。
97.在一些其他实施例中，如果可以使用多个验证函数集中的一个来执行对无线设备的验证，则将要使用的实际验证函数作为初始nas信令交换的一部分或备选地作为下行链路rrc消息(例如，随机接入过程的消息2或消息4)的一部分被指示给无线设备。
98.从开销的角度来看，如果上述方法和操作中的任何一种被经常使用，则可以在广播消息中发送验证字符串(随机比特序列)。如果这些操作很少使用，则可以使用专用信令。因此，在一个实施例中，验证消息被包括在可以动态开启的广播消息中。当需要许多消息5验证时，可以开启广播消息。
99.在另一实施例中，可以使用利用上述类别验证的对高优先级无线设备的优先接
入。
100.例如，在随机接入过程中，网络通常不知道无线设备的类别，除非这是通过随机接入前导码来识别的。对于该实施例，不需要前导码标识，并且因此可以通过例如不分割可用前导码来节省开销，但该实施例在使用前导码标识的情况下也有效。
101.包括至少一个网络节点的网络在本实施例中的作用是，其具有在对验证签名进行验证时执行计算所使用的函数集。这里，在网络中执行的一个或多个操作取决于部署的验证函数的类型。在第一实施例中，包括至少一个网络节点的网络针对所有部署的设备类别计算验证签名。然后，网络将从无线设备接收到的验证签名与该验证签名集进行比较。在一个实施例中，如果在计算所有可能的验证签名之前找到了匹配，则网络停止计算。
102.在另一实施例中，操作与上述实施例中的相同，并且另外使用私钥/公钥，并且网络使用所有无线设备类别的私钥对所接收到的签名进行解码或者直到找到匹配为止。
103.如果无线设备匹配所述类别之一，换言之，如果设备的类别被验证，(其中之一可以是对分配了验证函数的所有无线设备的补集，例如，传统ue)，这可被用于确定该无线设备的接入过程；一种接入过程可以是不允许接入网络。
104.在另一实施例中，应用上述随机接入过程的消息3或消息5中的验证签名的有条件使用。无线设备并不总是发送包括验证签名的随机接入过程的消息3或消息5。这样做可以避免增加随机接入过程的消息3或消息5的大小，或者避免在计算验证签名上花费不必要的处理。在该实施例中，无线设备仅使用特定类型的验证消息，该验证消息被配置为使得随机接入优先。这种方法可以应用于当例如低延迟服务需要发送数据或先前的随机接入尝试失败时等等。在一个实施例中，无线设备可以选择，如果路径增益低和/或链路预算适合较小的消息3，则不在随机接入过程的消息3中包括验证签名。
105.在又一实施例中，广播消息包括在验证设备类别时向无线设备发送的验证消息。广播消息可被包括在传统广播消息之一中，例如，公知的广播消息，例如，寻呼消息，无线电资源控制中使用的广播系统信息，物理广播信道(pbch)、广播信道(bch)、广播控制信道(bcch)中的传输。在另一实施例中，包括验证签名的广播消息可以是上述传统广播消息的扩展。在又一实施例中，包括验证签名的广播消息可以是条件广播消息。
106.在另一实施例中，广播消息以禁止信息为条件。例如，如果由网络的网络节点提供的小区由于过载而被禁止用于一般随机接入，则包括在网络中的从网络节点发送的禁止指示符向无线设备发送指示包含验证字符串(随机比特序列)的附加广播消息可用的信号，其中，验证字符串将用于上述随机接入过程。
107.在另一实施例中，将验证字符串专门传输给无线设备以验证无线设备的设备类别。在本实施例中，验证消息被包括在上述随机接入过程的消息2中，如图6所示。消息2可以附加额外的数据容器，例如，物理下行链路共享信道pdsch。在实施例中，该附加取决于随机接入过程中对随机接入前导码的选择。传统无线设备通常被配置为接收随机接入过程的消息2，该消息不包括包含验证字符串(随机比特序列)的验证消息。如果验证字符串(随机比特序列)在附加的数据容器(例如，pdsch)中传输，则这将被传统无线设备忽略。
108.在实施例中，验证消息被包括作为由传统无线设备执行的随机接入过程的消息2的扩展。在另一实施例中，上述随机接入过程的消息2的格式由包括至少一个网络节点的网络动态地调整。这基于网络是否希望无线设备提供验证签名。在另一实施例中，验证字符串
(随机比特序列)被包括在广播消息中。
109.在另一实施例中，无线设备被配置为基于接收到比特指示符来发送验证签名。比特指示符由上述随机接入过程的消息4或消息2中的比特或代码点发送。比特指示符指示网络节点请求无线设备发射计算出的验证签名。
110.另一实施例涉及用于消息的资源选择基于认证消息的情况。随机接入信道rach过载攻击的一个问题是，上述随机接入过程的消息1、3的资源可能过载。验证消息可被用于生成用于传输消息的物理资源。因此，可以通过在广播消息中传输的验证字符串(随机比特序列)中对验证消息进行编码来选择随机接入资源，即，上述随机接入过程的消息1。在又一实施例中，用于传输上述随机接入过程的第三消息(消息3)的资源被编码到验证字符串(随机比特序列)中，以用于作为广播消息的一部分被包括在验证消息中或被包括在上述随机接入过程的第二消息(消息2)中的验证字符串(随机比特序列)。
111.上述实施例的优点在于，关于设备是否正试图欺骗成为优先设备类别的成员的检测需要少得多的信令。因此，可以更快地识别优先的高安全性设备并赋予其对系统的接入权。
112.因此，当系统受到受损iot ue的攻击时，可以大大提高关键服务的性能。
113.图7描绘了示出了设备的可能的单独功能单元的无线设备700的配置。这里，无线设备700包括接收器710、控制器720和发射器730。这些单元(在下文中也可以被称为模块)适于执行多种功能，特别是所描述方法的步骤/功能，例如图2所示。关于这些单元/模块的功能细节，请参考以上说明以避免不必要的重复。
114.更详细地，图7示出了被配置为支持验证设备类别的没备700的单元。接收器710被配置为从网络节点接收包括随机比特序列的验证消息。控制器720被配置为通过使用分配给设备类别的验证函数根据随机比特序列计算验证签名。发射器730被配置为在随机接入过程的上行链路消息中或在随机接入过程之后的第一上行链路消息中将所计算出的验证签名发送给网络节点，以便允许在网络节点处使用验证签名来验证设备类别。具体地，控制器720可以是在处理器上运行的一个或多个有形单元或软件功能。
115.在一个实施例中，无线设备可以具有包括处理器和存储器的配置，所述存储器包含可由所述处理器执行的指令，由此所述无线设备可操作以执行上述方法的步骤，具体如步骤210、220和230。
116.图8描绘了示出了节点的可能的单独功能单元的网络节点800的配置。这里，节点800包括发射器810、控制器830和接收器820。这些单元适于执行多种功能，特别是所描述方法的步骤/功能，例如图3所示。关于这些单元/模块的功能细节，请参考以上说明以避免不必要的重复。
117.更详细地，图8图示了被配置用于验证设备类别的节点800的单元。发射器810被配置为向无线设备发送包括随机比特序列的验证消息。接收器820被配置为在随机接入过程的上行链路消息中或在随机接入过程之后的第一上行链路消息中从无线设备接收验证签名。控制器被配置为使用分配给设备类别的验证函数例如通过计算模块启动根据所发送的随机比特序列计算比较签名。控制器还被配置为例如通过验证模块来启动：基于使用所计算出的比较签名和所接收到的验证签名的比较，验证无线设备属于分配给验证函数的设备类别。具体地，控制器830可以是在处理器上运行的一个或多个有形单元或软件功能。
118.在一个实施例中，网络节点800可以具有包括处理器和存储器的配置，所述存储器包含可由所述处理器执行的指令，由此所述节点可操作以执行上述方法的步骤，具体如步骤410、420、430和440。
119.上述处理器可以启动或执行上述功能中的至少一些，特别是在方法的步骤中讨论的功能。
120.因此，通过上述方法实现的相同优点也可以由设备和网络节点实现。无线设备700和网络节点800可以形成无线通信系统。
121.具体地，接收器和发射器可以被实现为收发器以便接收/发送消息。
122.本领域技术人员可以理解，无线设备700和网络节点800可以包括总线、处理单元、主存储器、rom、存储设备、由输入设备和输出设备组成的i/o接口、以及通信接口(例如，收发器)。总线可以包括允许组件之间通信的路径。处理单元可以包括处理器、微处理器或处理逻辑，其可以解释和执行指令并且可以形成控制器的主要部分，例如，控制器720、830。主存储器可以包括ram或其他类型的动态存储设备，其可以存储信息和供处理单元执行的软件指令。
123.无线设备和网络节点可以执行本文描述的特定操作或过程。它们可以响应于处理单元执行包含在计算机可读介质中的软件指令来执行这些操作。计算机可读介质可以被定义为物理或逻辑存储设备。例如，逻辑存储器设备可以包括单个物理存储器设备内的或分布在多个物理存储器设备之间的存储空间。
124.包含在主存储器中的软件指令当在处理器上执行时，可以使包括处理器的处理单元来使处理器执行本文描述的操作或处理。备选地，可以使用硬连线电路来代替软件指令或与软件指令相结合，以实现本文描述的过程和/或操作。因此，本文描述的实现不限于硬件和软件的任何具体组合。
125.根据本发明的不同实施例的包括单元、设备、节点和系统的物理实体可以包括或存储计算机程序，该计算机程序包括软件指令，使得当在物理实体上执行计算机程序时执行根据本发明实施例的步骤和操作，即，使处理装置执行操作。具体地，本发明的实施例还涉及用于执行根据本发明实施例的操作/步骤的计算机程序，并且涉及存储用于执行上述方法的计算机程序的任一计算机可读介质。
126.如果使用了术语控制器，不对该单元可以如何分布以及这些单元可以如何聚合进行限制。即，组成单元可以分布在不同的软件和硬件组件或用于实现预期功能的其他单元中。还可以聚合多个不同的单元以提供预期功能。
127.此外，网络节点800的功能可以分布在几个网络节点上，如描绘两个节点的图9所示。例如，网络节点910可以从无线设备940接收和向无线设备940发送消息，并且经由通信信道930将所接收到的信息转发给网络节点920。此外，设备940偶尔也可以直接与节点920通信，如950所示。图9中的节点和设备形成系统900。
128.此外，设备的单元或节点或系统可以用硬件、软件、现场可编程门阵列(fpga)、专用集成电路(asic)、固件等实现。
129.将对本领域技术人员显而易见的是，在不脱离本发明的范围和精神的前提下，可以对本发明的实体和方法以及本发明的构建做出各种修改和变体。
130.已经关于在所有方面旨在说明而非限制的特定实施例和示例描述了本发明。本领
域技术人员将理解，硬件、软件和/或固件的许多不同组合将适合于实践本发明。
131.此外，通过考虑本文公开的发明的说明书和实践，本发明的其他实现对于本领域技术人员是显而易见的。说明书和示例旨在仅被认为是示例性的，其中下面列出了上述示例中使用的缩写。为此，应该理解，本发明方面可以少于单个前述公开的实现或配置的所有特征。因此，本发明的真实范围和精神由所附权利要求所指示。