用于在无线通信系统中提供安全性的装置和方法与流程

1.本公开涉及一种用于在无线通信系统中提供安全性的装置和方法。具体地，本公开涉及一种用于在无线通信系统中通过使用nas消息来提供安全性的装置和方法。


背景技术：

2.为了在第四代(4g)通信系统的商业化之后满足关于无线数据业务的日益增长的需求，已经努力开发增强的第五代(5g)通信系统或预5g通信系统。为此，5g通信系统或预5g通信系统被称为超4g网络通信系统或后长期演进(lte)系统。由第三代合作伙伴计划(3gpp)定义的5g通信系统被称为新无线电(nr)系统。
3.为了实现高数据速率，考虑在超高频(毫米波(mmwave))频带(例如，60ghz频带)中实现5g通信系统。为了减小无线电波的路径损耗和增加无线电波在超高频带中的传输距离，将诸如波束成形、大量多输入多输出(mimo)、全维mimo(fd-mimo)、阵列天线、模拟波束成形和大规模天线系统等技术应用于无线电波发射/接收。
4.此外，为了改进系统的网络，对于5g通信系统，正在进行诸如演进小小区、高级小小区、云无线电接入网络(云ran)、超密集网络、设备到设备(d2d)通信、无线回程、移动网络、协作通信、协作多点(comp)和接收干扰消除等技术的开发。此外，对于5g通信系统，已经开发诸如混合频移键控(fsk)和正交幅度调制(qam)(fqam)和滑动窗口叠加编码(swsc)的高级编码调制(acm)技术，以及诸如滤波器组多载波(fbmc)、非正交多址(noma)和稀疏编码多址(scma)的高级接入技术。
5.本公开涉及一种用于在无线通信系统中提供安全性的装置和方法。


技术实现要素：

6.技术问题
7.本公开涉及一种用于在无线通信系统中提供安全性的装置和方法。
8.解决方案
9.根据本公开的实施例，用户设备(ue)可以向接入和移动性管理功能(amf)发送注册请求消息，响应于从amf接收到注册拒绝消息，向移动性管理实体(mme)发送连接请求，并且从mme接收连接接受，其中，当amf和ue具有安全上下文时，安全保护注册拒绝消息可以由amf发送到ue，来自ue的注册请求可以从amf重定向给mme，并且当amf和ue中的至少一个不具有安全上下文信息时，连接请求可以包括安全验证信息。
10.有益效果
11.根据本公开的实施例，可以在无线通信系统中增强安全性。
附图说明
12.图1是根据本公开的实施例的用于描述无线通信系统中的结构的图；
13.图2是根据本公开的实施例的用于描述通过在第五代(5g)网络环境中使用nas消
息来执行通信的过程的流程图；
14.图3是根据本公开的实施例的用于描述通过在5g网络环境中使用nas消息来执行通信的过程的流程图；
15.图4是示出了根据本公开的实施例的用户设备(ue)的配置的图；
16.图5是示出了根据本公开的实施例的网络实体的配置的图。
具体实施方式
17.根据本公开的实施例，用于在无线通信系统中执行通信的用户设备(ue)包括：收发器；以及至少一个处理器，被配置为：通过收发器向接入和移动性管理功能(amf)发送注册请求；响应于ue不被允许进入闭合接入组，通过收发器从amf接收注册拒绝消息；获取包括在所接收的注册拒绝消息中的闭合接入组(cag)信息。
18.根据本公开的实施例，在用于在无线通信系统中执行通信的ue中，注册拒绝消息可以包括代码值，所述代码值指示不允许ue进入cag是拒绝注册的原因。
19.根据本公开的实施例，在用于在无线通信系统中执行通信的ue中，至少一个处理器进一步被配置为用包括在所接收的注册拒绝消息中的cag信息来更新存储在ue中的cag信息。
20.根据本公开的实施例，在用于在无线通信系统中执行通信的ue中，所获取的cag信息可以包括与允许ue的cag有关的信息。
21.根据本公开的实施例，在用于在无线通信系统中执行通信的ue中，所获取的cag信息可以包括与不允许ue的cag有关的信息。
22.根据本公开的实施例，用于在无线通信系统中执行通信的接入和移动性管理功能(amf)包括：收发器；以及至少一个处理器，被配置为：通过收发器从用户设备(ue)接收注册请求消息；识别是否允许ue进入cag；响应于不允许ue进入cag，通过收发器向ue发送注册拒绝消息，注册拒绝消息包括cag信息。
23.根据本公开的实施例，在用于无线通信系统中执行通信的amf中，注册拒绝消息可以包括代码值，所述代码值指示不允许ue进入cag是拒绝注册的原因。
24.根据本公开的实施例，在用于无线通信系统中执行通信的amf中，利用包括在所接收的注册拒绝消息中的cag信息来更新存储在ue中的cag信息。
25.根据本公开的实施例，在用于无线通信系统中执行通信的amf中，所获取的cag信息可以包括与允许所述ue的cag有关的信息。
26.根据本公开的实施例，在用于无线通信系统中执行通信的amf中，所获取的cag信息可以包括与不允许所述ue的cag有关的信息。
27.本公开的模式
28.在下文中，将参考附图详细描述本公开的实施例。在以下对实施例的描述中，省略了对本领域中公知的且不直接与本公开相关的技术的描述。这是为了防止不必要的描述使本公开的主题模糊，并进一步清楚地描述本公开的要点。
29.出于相同的原因，为了清楚起见，在附图中可以放大、省略或示意性地示出部件。此外，每个部件的尺寸并不完全反映实际尺寸。在每个附图中，相同或对应的部件被呈现为相同的附图标记。
30.参考下面参考附图详细描述的本公开的实施例，本公开的优点和特征以及实现它们的方法将变得显而易见。然而，本公开可以以许多不同的形式来体现，并且不应被解释为限于本文所述的实施例。相反，提供这些实施例使得本公开将是透彻和完整的，并且将本公开的概念完全传达给本领域普通技术人员。本公开的范围仅在权利要求中限定。在整个说明书中，相同的部件用相同的附图标记表示。
31.在这点上，将理解，流程图或过程流程图中的块的组合可以由计算机程序指令来执行。
32.此外，流程图的每个块可以表示代码的模块、段或部分，代码包括用于实现指定逻辑功能的一个或多个可执行指令。还应当注意，在一些替换实施方式中，在块中记录的功能可以不按顺序发生。例如，连续示出的两个块实际上可以基本上同时执行，或者这些块有时可以根据相应的功能以相反的顺序执行。
33.在本实施例中使用的术语“单元”或“机/器”是指执行一些功能的软件或硬件部件，例如现场可编程门阵列(fpga)或专用集成电路(asic)。然而，术语“单元”或“机/器”不限于软件或硬件。术语“单元”或“机/器”可以被配置在可寻址存储介质中，或者可以被配置为再现一个或多个处理器。因此，例如，术语“单元”或“机/器”可以指诸如软件部件、面向对象的软件部件、类部件和任务部件的部件，并且可以包括进程、函数、属性、过程、子例程、程序代码段、驱动器、固件、微代码、电路、数据、数据库、数据结构、表、阵列或变量。在部件和“单元”或“机/器”中提供的功能可以组合成更少的部件和“单元”或“机/器”，可以进一步分成另外的部件和“单元”或“机/器”。此外，部件和“单元”或“机/器”可以被实现为操作设备或安全多媒体卡中的一个或多个中央处理单元(cpu)。此外，根据一个实施例，“单元”或“机/器”可以包括一个或多个处理器。
34.这里，用于标识接入节点的术语、用于指代网络实体的术语或用于指代网络功能的术语、用于指代消息的术语、用于指代网络实体之间的接口的术语、用于指代各种类型的标识信息的术语等是为了便于解释的示例。因此，本公开不限于下面将描述的术语，并且可以使用指示具有相同技术含义的对象的其它术语。
35.在下面的描述中，为了便于描述，可以使用在第三代合作伙伴计划(3gpp)长期演进(lte)标准中定义的术语和名称，或者基于在3gpp lte标准中定义的术语和名称而修改的术语和名称。然而，本公开不限于上述术语和名称，并且可以等同地应用于符合其他标准的系统。在本公开中，为了便于描述，enode b(enb)可以与gnode b(gnb)互换地使用。也就是说，被描述为enb的基站(bs)可以表示gnb。在本公开中，术语“终端”可以指各种无线通信设备以及移动电话、窄带因特网(nb-iot)设备和传感器。
36.尽管本公开的实施例将主要集中于由3gpp定义的通信标准，但是本公开的主题也可适用于具有类似技术背景且具有微小变化的其它通信系统，而不显著偏离本公开的范围，本公开的范围可以由本公开所属领域的普通技术人员确定。
37.在5g或新无线电(nr)系统中，实体被分成接入和移动性管理功能(amf)和会话管理功能(smf)，amf是用于管理终端的移动性的管理实体，smf是用于管理会话的实体。为此，与移动性管理实体(mme)执行移动性管理和会话管理两者的第四代(4g)lte通信系统不同，在5g或nr系统中，用于执行移动性管理的实体和用于执行会话管理的实体是分开的，因此，可以改变终端与网络实体之间的通信方法和通信管理方法。
38.在5g或nr系统中，对于终端通过非3gpp接入来接入网络的情况，通过非3gpp互通功能(n3iwf)，移动性管理可以由amf执行，并且会话管理可以由smf执行。而且，amf可以处理与安全相关的信息，这是移动性管理中的一个重要元素。
39.如上所述，在4g lte系统中，mme负责移动性管理和会话管理。5g或nr系统可以支持非独立架构，其中通过共同使用4g lte系统的网络实体来执行通信。
40.本公开提供了一种增强安全性并有效地执行通信的方法和装置。
41.图1是根据本公开的实施例的用于描述无线通信系统中的结构的图。
42.参照图1，5g或nr核心网络可以包括诸如用户平面功能(upf)131、smf 121、amf 111、5g无线电接入网(ran)103、用户数据管理(udm)151和策略控制功能(pcf)161的网络功能(nf)。
43.此外，为了认证对应于这些nf的实体，5g或nr核心网络可以包括诸如认证服务器功能(ausf)141以及认证、授权和计费(aaa)171的实体。
44.当用户设备(ue)(或终端)101-1通过3gpp接入执行通信时，ue 101-1可以通过5g ran(或bs)103或103-2接入5g核心网。此外，当ue 101-1通过非3gpp接入执行通信时，存在n3iwf，并且会话管理可以由ue、非3gpp接入、n3iwf和smf来控制，并且移动性管理可以由ue、非3gpp接入、n3iwf和amf来控制。
45.在5g或nr系统中，用于执行移动性管理和会话管理的实体可以被分成amf 111和smf 121。此外，5g或nr系统可以支持用于执行仅与5g或nr实体的通信的独立部署结构，以及共同使用4g实体和5g或nr实体的非独立部署结构。
46.如图1所示，当ue与网络通信时，由enb执行控制并且使用核心网络的5g实体的部署是可能的。在这种情况下，ue和amf之间的移动性管理、以及ue和smf之间的会话管理可以在非接入层(nas)中执行，所述非接入层可以是层3。此外，可以在ue和enb之间发送与接入层(as)相关的消息，所述接入层是层2。因此，当ue 101-1接入5g ran 103和enb 181中的每一个时，需要生成和管理安全上下文的方法。因此，在本公开中，将描述适用于这种部署情况的安全上下文和协议交换的生成和管理。
47.尽管假设本公开所基于的通信网络是5g网络或4g lte网络，但是当将相同的概念应用于本领域普通技术人员可以理解的范围内的其它系统时，可以应用本公开。
48.参照图1，根据一个实施例，当ue 101-1向amf 111发送注册请求消息但amf 111不执行注册时，对于相应的注册过程，可以在4glte的mme 183而不是amf 111处处理连接请求过程。在这种重定向的情况下，重定向不受安全保护的信息，这可能导致安全问题。此外，在这种情况下，例如安全保护所需的安全模式命令过程的安全保护过程，可能还没有发生，因此，可能无法有效地执行安全保护。因此，本公开旨在解决这些问题。
49.图2是根据本公开的实施例的用于描述通过在5g网络环境中使用nas消息来执行通信的过程的流程图。
50.本公开的一个实施例是解决由于与注册相关的消息不受安全保护而发生的安全问题。
51.根据实施例，当ue向amf发送注册请求消息但amf不执行注册时，对于相应的注册过程，可以相对于4g lte的mme而不是amf执行连接请求过程。在这种重定向的情况下，重定向不受安全保护的信息，这可能导致安全问题。此外，在这种情况下，例如安全保护所需的
安全模式命令过程的安全保护过程，可能还没有发生，因此，可能无法有效地执行安全保护。因此，本公开旨在解决这些问题。
52.在操作211中，ue可以向amf发送注册请求消息。
53.在操作213中，amf可以向ue发送注册拒绝消息。
54.例如，当amf不能接受ue的注册时，amf可以向ue发送注册拒绝消息。
55.注册拒绝消息可以包括表1中列出的至少一条信息。
56.[表1]注册拒绝消息
[0057][0058][0059]
注册拒绝消息可以如下发送。
[0060]
根据第一实施例，在ue和网络具有安全上下文的情况下，amf可以处理要被安全保护的注册拒绝消息，并向ue发送注册拒绝消息。根据一个实施例，注册拒绝消息还可以是完整性保护的、加密的(编码的)、或者完整性保护和加密的，然后被发送。
[0061]
当接收到安全保护消息时，具有安全上下文的ue可以将这种注册请求重定向到lte网络，并且在操作221中，可以向mme发送连接请求消息。
[0062]
根据第二实施例，在ue和网络不具有安全上下文的情况下，当接收到注册拒绝消息并且向lte网络重定向注册请求时，ue可以发送包括安全验证信息的连接请求消息，使得
mme可以验证ue是否有效。
[0063]
根据第三实施例(第一实施例的修改)，在ue和网络具有安全上下文的情况下，当ue在操作211中向amf发送注册请求消息时，ue可以将消息路由所需的信息作为明文发送，即未加密的信息，并且在需要安全性的信息的情况下，为了增强安全性，ue可以对nas消息容器进行加密(编码)。整个nas消息包含在nas消息容器中并被发送。因此，当amf向ue发送注册拒绝时，在存在安全上下文的情况下，注册拒绝中的信息元素(ie)(例如，t3346值、t3502值、eap消息和被拒绝的nssai信息)中的至少一个可以通过使用安全上下文来加密并发送。
[0064]
根据第四实施例(第二实施例的修改)，在ue或网络不具有安全上下文的情况下，在由ue向amf发送的注册请求中，用于最小路由的信息可以作为明文ie被发送，即未加密的信息。此外，因为注册请求消息不安全，所以ue和amf可以在发送安全模式命令消息的过程之后具有安全上下文。也就是说，在ue接收到由amf发送给ue的安全模式命令之后，整个初始nas消息可以被包括在nas消息容器ie中并被发送，而nas消息容器ie被包括在要由ue发送给amf的安全模式完成消息中并被发送。安全模式完成消息可以被加密。因此，在安全模式完成消息被发送之前，注册接受作为对注册请求的响应，或者根据本公开的实施例，注册接受作为注册拒绝消息，注册接受可以不被加密。因此，根据一个实施例，当amf要向ue发送注册拒绝消息时，还可以加载和发送安全验证所需的信息，使得ue可以在稍后的时间使用该信息进行lte中的安全验证。
[0065]
在操作221中，ue可以向mme发送连接请求消息。
[0066]
在操作223中，mme可以向ue发送连接接受消息。
[0067]
图3是根据本公开的实施例的用于描述通过在5g网络环境中使用nas消息来执行通信的过程的流程图。
[0068]
在操作311中，ue可以向amf发送注册请求消息。
[0069]
然而，当ue不属于对应的网络、ue不能接入对应的闭合接入组cag时，amf需要通知ue不允许ue接入cag。cag是闭合接入组，因此，可以通过识别cag是否是ue可以接入的网络来执行接入控制。
[0070]
在操作313，amf可以向ue发送注册拒绝消息。
[0071]
注册拒绝消息可以包括下表2中列出的至少一条信息。
[0072]
根据实施例，为了通知ue不允许ue接入特定cag，amf可以向ue发送关于cag不被允许的信息。
[0073]
根据另一个实施例，amf还可以向ue通知与允许ue的cag相关的信息，并且允许ue尝试利用该信息进行接入。
[0074]
[表2]注册拒绝消息
[0075][0076]
图4是示出了根据本公开的实施例的ue的配置的图。
[0077]
如图4所示，本公开的ue可以包括收发器410、存储器420和处理器430。ue的处理器430、收发器410和存储器420可以根据ue的上述通信方法操作。然而，ue的部件不限于上述示例。例如，ue可以包括比上述部件更多的部件，或者可以包括比上述部件更少的部件。此外，处理器430、收发器410和存储器420可以在单个芯片中实现。
[0078]
收发器410是ue发射器和ue接收器的集合术语，并且可以向bs或网络实体发送信号或从bs或网络实体接收信号。发送到bs或从bs接收的信号可以包括控制信息和数据。为此，收发器410可以包括用于上变频要发射的信号的频率、并放大该信号的rf发射器，以及用于低噪声放大所接收的信号、并下变频所接收的信号的频率的rf接收器。然而，这仅仅是收发器410的示例，并且收发器410的部件不限于rf发射器和rf接收器。
[0079]
此外，收发器410可以包括有线/无线收发器，并且可以包括用于发送或接收信号的各种部件。
[0080]
此外，收发器410可以通过无线信道接收信号，将所接收的信号输出到处理器430，
并通过无线信道发送从处理器430输出的信号。
[0081]
此外，收发器410可以接收通信信号并将该通信信号输出到处理器，并且可以通过有线/无线网络将从处理器输出的信号发送到网络实体。
[0082]
存储器420可以存储ue的操作所需的程序和数据。此外，存储器420可以存储包括在ue获取的信号中的控制信息或数据。存储器420可以包括例如只读存储器(rom)、随机存取存储器(ram)、硬盘、光盘(cd)-rom和数字通用盘(dvd)的存储介质，或存储介质的组合。
[0083]
处理器430可以控制用于ue操作的一系列过程，以根据本公开的上述实施例进行操作。处理器430可以包括至少一个或多个处理器。例如，处理器430可以包括用于执行通信控制的通信处理器(cp)和用于控制诸如应用程序的更高层的应用处理器(ap)。
[0084]
图5是示出了根据本公开的实施例的网络实体的配置的图。
[0085]
如图5所示，本公开的网络实体可以包括收发器510、存储器520和处理器530。网络实体的处理器530、收发器510和存储器520可以根据网络实体的上述通信方法操作。然而，网络实体的部件不限于上述示例。例如，网络实体可以包括比前述部件更多的部件，或者可以包括比前述部件更少的部件。此外，收发器510、存储器520和处理器530可以在单个芯片中实现。如上所述，网络实体可以包括诸如amf、smf、pcf、网络曝光功能(nef)、udm和upf之类的nf。此外，网络实体可以包括bs。
[0086]
收发器510是网络实体的接收器和网络实体的发射器的集合术语，并且可以向ue或另一网络实体发送信号或从ue或另一网络实体接收信号。在这种情况下，发送或接收的信号可以包括控制信息和数据。为此，收发器510可以包括用于上变频要发射的信号的频率、并放大该信号的rf发射器，以及用于低噪声放大所接收的信号、并下变频所接收的信号的频率的rf接收器。然而，这仅仅是收发器510的示例，并且收发器510的部件不限于rf发射器和rf接收器。收发器510可以包括有线/无线收发器，并且可以包括用于发送或接收信号的各种部件。
[0087]
此外，收发器510可以通过通信信道(例如，无线信道)接收信号并将该信号输出到处理器530，并且可以通过无线信道发送从处理器530输出的信号。
[0088]
此外，收发器510可以接收通信信号并将该通信信号输出到处理器，并且可以通过有线/无线网络将从处理器输出的信号发送到ue或网络实体。
[0089]
存储器520可以存储网络实体的操作所需的程序和数据。此外，存储器520可以存储包括在由网络实体获取的信号中的控制信息或数据。存储器520可以包括例如rom、ram、硬盘、cd-rom和dvd的存储介质，或存储介质的组合。
[0090]
处理器530可以控制用于网络实体操作的一系列过程，以根据本公开的上述实施例进行操作。处理器530可以包括至少一个或多个处理器。根据本公开的权利要求或本文描述的实施例的方法可以被实现为硬件、软件、或硬件和软件的组合。
[0091]
当方法被实现为软件时，可以提供其中存储有一个或多个程序(软件模块)的计算机可读记录介质。存储在计算机可读存储介质中的一个或多个程序被配置为由电子设备中的一个或多个处理器执行。一个或多个程序包括指令，指令使电子设备执行根据本公开的权利要求书或本文描述的实施例的方法。
[0092]
程序(例如，软件模块或软件)可以存储在ram、非易失性存储器(包括闪存、rom、电可擦除可编程只读存储器(eeprom)、磁盘存储设备、cd-rom、dvd、其它类型的光学存储设
备、或磁带)中。或者，程序可存储在包括上述存储介质中的一些或全部的任何组合的存储器中。此外，每个存储器可以包括多个存储器。
[0093]
程序还可以存储在可通过通信网络访问的可连接存储设备中，通信网络诸如因特网、内联网、局域网(lan)、广域网(wan)、或存储区域网(san)、或其组合。存储设备可以通过外部端口访问执行本公开的实施例的设备。此外，通信网络上的单独存储设备可以访问执行本公开的实施例的设备。
[0094]
在本公开的上述实施例中，根据本公开的实施例，包含在本公开中的部件以单数或复数形式表示。然而，为了描述的方便，适当地选择单数或复数形式，并且本公开不限于此。因此，以复数形式表达的部件也可被配置为单一部件，并且以单数形式表达的部件也可被配置为复数部件。
[0095]
尽管已经在本公开的详细描述中描述了具体实施例，但是可以在不脱离本公开的范围的情况下进行各种修改。因此，本公开的范围不应限于本公开的上述实施例，而应由所附权利要求及其等同物来确定。