Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6978586B2 - データ完全性保護方法および装置 - Google Patents
[go: Go Back, main page]

JP6978586B2 - データ完全性保護方法および装置 - Google Patents

データ完全性保護方法および装置 Download PDF

Info

Publication number
JP6978586B2
JP6978586B2 JP2020508031A JP2020508031A JP6978586B2 JP 6978586 B2 JP6978586 B2 JP 6978586B2 JP 2020508031 A JP2020508031 A JP 2020508031A JP 2020508031 A JP2020508031 A JP 2020508031A JP 6978586 B2 JP6978586 B2 JP 6978586B2
Authority
JP
Japan
Prior art keywords
integrity protection
message
session
indicator
drb
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020508031A
Other languages
English (en)
Other versions
JP2020530721A (ja
Inventor
崇 ▲婁▼
曲芳 黄
星 ▲劉▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2020530721A publication Critical patent/JP2020530721A/ja
Application granted granted Critical
Publication of JP6978586B2 publication Critical patent/JP6978586B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/102Route integrity, e.g. using trusted paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/14Mobility data transfer between corresponding nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本出願は、参照によりその全体が本明細書に組み込まれる、2017年8月11日に中国特許庁に出願され、「DATA INTEGRITY PROTECTION METHOD AND APPARATUS」と題する中国特許出願第201710686855.8号の優先権を主張するものである。
本出願は、通信技術に関し、詳細には、データ完全性保護方法および装置に関する。
通信技術の急速な発展に伴い、モバイル通信システムの情報セキュリティ問題がますます注目を集めている。ロングタームエボリューション(Long Term Evolution、LTE)システムが例として使用される。LTEシステムにおける完全性保護(Integrity Protection)機能の目的は、ユーザデータが改ざんされるのを防ぐことである。受信側が完全性チェックの失敗を発見すると、新しいキーを使用することによってユーザデータを保護するために、暗号化/復号キー(Key)更新手順がトリガされてもよい。
完全性保護機能は、完全性保護と完全性チェックとを含む。LTEの完全性保護機能は、パケットデータ収束プロトコル(Packet Data Convergence Protocol、PDCP)層において実装される。暗号化の前に、送信側は、PDCPプロトコルデータユニット(Protocol Data Unit、PDU)のヘッダ(header)とデータ部分の両方に対して完全性保護を実行する。具体的には、送信側は、上位プロトコル層によって構成された完全性保護アルゴリズムに従って、キー、COUNT値、無線ベアラ識別子、DIRECTION、メッセージ自体、およびメッセージの長さなどの少なくとも1つのパラメータを入力パラメータとして使用することによって、32ビットメッセージ認証コード(Message Authentication Code for Integrity、MAC-I)を計算し、32ビットメッセージ認証コードをPDCP PDUのMAC-Iフィールドに配置する。メッセージを受信した後、受信側は、同じ方法を使用することによって、メッセージに関する予想される認証コードXMAC-Iを計算し、XMAC-IをMAC-Iと比較することによって完全性チェックを実行する。MAC-IがXMAC-Iと等しい場合、受信側は、完全性チェックが成功したと判定し、MAC-IがXMAC-Iと等しくない場合、受信側は、完全性チェックが失敗したと判定する。
しかしながら、LTEシステムにおける完全性保護機能は、端末デバイスの粒度である。言い換えれば、端末デバイスは、すべてのデータに対して同じ完全性保護パラメータを使用し、柔軟性のない完全性保護を引き起こす。
本出願は、完全性保護がより柔軟であり、異なるサービスに対する同じユーザのセキュリティ要件を満たすように、セッションの粒度またはフローの粒度において完全性保護を実行するデータ完全性保護方法および装置を提供する。
本出願の第1の態様は、端末デバイスによって、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBとを取得するステップと、完全性保護アルゴリズムとキーとを使用することによってDRBのデータに対して完全性保護を実行するステップとを含む、データ完全性保護方法を提供する。完全性保護がより柔軟であり、異なるサービスに対する同じユーザのセキュリティ要件を満たすように、異なる完全性保護アルゴリズムおよびキーが異なるセッションに使用されることができる。
任意選択で、端末デバイスによって、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBとを取得するステップは、具体的には、端末デバイスによって、第1のメッセージを送信するステップであって、第1のメッセージがセッションを確立することを要求するために使用される、ステップ、ならびに、端末デバイスによって、第2のメッセージを受信するステップであって、第2のメッセージが、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む、ステップである。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含み、または、
第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む。
本出願の第2の態様は、端末デバイスによって、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBとを取得するステップと、完全性保護アルゴリズムとキーとを使用することによって、DRBのデータに対して完全性保護を実行するステップとを含む、データ完全性保護方法を提供する。完全性保護がより柔軟であり、異なるサービスに対する同じユーザのセキュリティ要件を満たすように、異なる完全性保護アルゴリズムおよびキーが異なるフローに使用されることもできる。
任意選択で、端末デバイスによって、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するデータ無線ベアラ(DRB)とを取得するステップは、具体的には、端末デバイスによって、第1のメッセージを送信するステップであって、第1のメッセージがセッションを確立することを要求するために使用され、セッションがフローに対応する、ステップ、ならびに、端末デバイスによって、第2のメッセージを受信するステップであって、第2のメッセージが、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む、ステップである。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含み、または、
第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む。
任意選択で、本出願の第1の態様および第2の態様において、方法は、端末デバイスによって、以下の情報、すなわち、
完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つを取得するステップをさらに含み、
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用され、
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用され、
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用され、
完全性保護対象の指標は、完全性保護の対象がユーザプレーンデータ、またはユーザプレーンデータおよび制御プレーンシグナリングであることを示すために使用される。
任意選択で、本出願の第1の態様および第2の態様において、DRBのデータは、DRBのSDAP層データパケット、またはDRBのPDCP層データパケットである。
DRBのデータがDRBのSDAP層データパケットである場合、方法は、端末デバイスによって、DRBのSDAP層データパケット内のフローの識別子をマークするステップをさらに含む。
本出願の第3の態様は、アクセスネットワークデバイスによって、端末デバイスによって送信された第1のメッセージを受信するステップであって、第1のメッセージがセッションを確立することを要求するために使用される、ステップと、アクセスネットワークデバイスによって、コアネットワークデバイスに第3のメッセージを送信するステップであって、第3のメッセージが第1のメッセージを含む、ステップと、アクセスネットワークデバイスによって、コアネットワークデバイスによって送信された第4のメッセージを受信するステップであって、第4のメッセージが、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBとを含む、ステップと、アクセスネットワークデバイスによって、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBとを記憶するステップと、アクセスネットワークデバイスによって、端末デバイスに第2のメッセージを送信するステップであって、第2のメッセージが、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む、ステップとを含む、データ完全性保護方法を提供する。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含み、または、第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む。
本出願の第4の態様は、アクセスネットワークデバイスによって、端末デバイスによって送信された第1のメッセージを受信するステップであって、第1のメッセージがセッションを確立することを要求するために使用される、ステップと、アクセスネットワークデバイスによって、コアネットワークデバイスに第3のメッセージを送信するステップであって、第3のメッセージが第1のメッセージを含む、ステップと、アクセスネットワークデバイスによって、コアネットワークデバイスによって送信された第4のメッセージを受信するステップであって、第4のメッセージが、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するデータ無線ベアラ(DRB)とを含み、セッションがフローに対応する、ステップと、アクセスネットワークデバイスによって、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBとを記憶するステップと、アクセスネットワークデバイスによって、端末デバイスに第2のメッセージを送信するステップであって、第2のメッセージが、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む、ステップとを含む、データ完全性保護方法を提供する。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含み、または、第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む。
任意選択で、本出願の第3の態様および第4の態様において、第3のメッセージまたは第2のメッセージは、以下の情報、すなわち、
完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つをさらに含み、
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用され、
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用され、
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用され、
完全性保護対象の指標は、完全性保護の対象がユーザプレーンデータ、またはユーザプレーンデータおよび制御プレーンシグナリングであることを示すために使用される。
任意選択で、本出願の第3の態様および第4の態様において、方法は、アクセスネットワークデバイスによって、完全性保護アルゴリズムとキーを使用することによって、DRBのデータに対して完全性保護を実行するステップをさらに含む。
任意選択で、本出願の第3の態様および第4の態様において、DRBのデータは、DRBのSDAP層データパケット、またはDRBのPDCP層データパケットである。
DRBのデータがDRBのSDAP層データパケットである場合、方法は、アクセスネットワークデバイスによって、DRBのSDAP層データパケット内のフローの識別子をマークするステップをさらに含む。
本出願の第5の態様は、コアネットワークデバイスによって、アクセスネットワークデバイスによって送信された第3のメッセージを受信するステップであって、第3のメッセージが第1のメッセージを含み、第1のメッセージがセッションを確立することを要求するために使用される、ステップと、コアネットワークデバイスによって、アクセスネットワークデバイスに第4のメッセージを送信するステップであって、第4のメッセージが、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するデータ無線ベアラ(DRB)とを含むか、または、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBとを含み、セッションがフローに対応する、ステップとを含む、データ完全性保護方法を提供する。
任意選択で、第4のメッセージは、以下の情報、すなわち、
完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つをさらに含み、
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用され、
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用され、
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用され、
完全性保護対象の指標は、完全性保護の対象がユーザプレーンデータ、またはユーザプレーンデータおよび制御プレーンシグナリングであることを示すために使用される。
任意選択で、方法は、コアネットワークデバイスによって、完全性保護アルゴリズムとキーとを使用することによって、DRBのデータに対して完全性保護を実行するステップをさらに含む。
任意選択で、DRBのデータは、DRBのSDAP層データパケット、またはDRBのPDCP層データパケットである。
DRBのデータがDRBのSDAP層データパケットである場合、方法は、コアネットワークデバイスによって、DRBのSDAP層データパケット内のフローの識別子をマークするステップをさらに含む。
本出願の第6の態様は、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するデータ無線ベアラ(DRB)とを取得するように構成された取得モジュールと、完全性保護アルゴリズムとキーとを使用することによってDRBのデータに対して完全性保護を実行するように構成された完全性保護モジュールとを含む、端末デバイスを提供する。
任意選択で、取得モジュールは、第1のメッセージを送信することであって、第1のメッセージがセッションを確立することを要求するために使用される、ことと、第2のメッセージを受信することであって、第2のメッセージが、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む、こととを行うように特に構成される。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含み、または、第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む。
本出願の第7の態様は、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するデータ無線ベアラ(DRB)とを取得するように構成された取得モジュールと、完全性保護アルゴリズムとキーとを使用することによってDRBのデータに対して完全性保護を実行するように構成された完全性保護モジュールとを含む、端末デバイスを提供する。
任意選択で、取得モジュールは、第1のメッセージを送信することであって、第1のメッセージがセッションを確立することを要求するために使用され、セッションがフローに対応する、ことと、第2のメッセージを受信することであって、第2のメッセージが、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む、こととを行うように特に構成される。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含み、または、第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む。
任意選択で、本出願の第6の態様および第7の態様において、取得モジュールは、以下の情報、すなわち、
完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つを取得するようにさらに構成され、
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用され、
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用され、
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用され、
完全性保護対象の指標は、完全性保護の対象がユーザプレーンデータ、またはユーザプレーンデータおよび制御プレーンシグナリングであることを示すために使用される。
任意選択で、本出願の第6の態様および第7の態様において、DRBのデータは、DRBのSDAP層データパケット、またはDRBのPDCP層データパケットである。
DRBのデータがDRBのSDAP層データパケットである場合、端末デバイスは、DRBのSDAP層データパケット内のフローの識別子をマークするように構成されたマーキングモジュールをさらに含む。
本出願の第8の態様は、
端末デバイスによって送信された第1のメッセージを受信するように構成された受信モジュールであって、第1のメッセージがセッションを確立することを要求するために使用される、受信モジュールと、
コアネットワークデバイスに第3のメッセージを送信するように構成された送信モジュールであって、第3のメッセージが第1のメッセージを含み、
受信モジュールが、コアネットワークデバイスによって送信された第4のメッセージを受信するようにさらに構成され、第4のメッセージが、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するデータ無線ベアラ(DRB)とを含む、送信モジュールと、
セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBとを記憶するように構成された記憶モジュールと
を含み、
送信モジュールが、端末デバイスに第2のメッセージを送信するようにさらに構成され、第2のメッセージが、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む、
アクセスネットワークデバイスを提供する。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含み、または、第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む。
本出願の第9の態様は、
端末デバイスによって送信された第1のメッセージを受信するように構成された受信モジュールであって、第1のメッセージがセッションを確立することを要求するために使用される、受信モジュールと、
コアネットワークデバイスに第3のメッセージを送信するように構成された送信モジュールであって、
第3のメッセージが第1のメッセージを含み、
受信モジュールが、コアネットワークデバイスによって送信された第4のメッセージを受信するようにさらに構成され、第4のメッセージが、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するデータ無線ベアラ(DRB)と、フローに対応するセッションとを含む、送信モジュールと、
フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBとを記憶するように構成された記憶モジュールと
を含み、
送信モジュールが、端末デバイスに第2のメッセージを送信するようにさらに構成され、第2のメッセージが、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む、アクセスネットワークデバイスを提供する。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含み、または、
第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む。
本出願の第8の態様および第9の態様において、第3のメッセージまたは第2のメッセージは、以下の情報、すなわち、
完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つをさらに含み、
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用され、
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用され、
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用され、
完全性保護対象の指標は、完全性保護の対象がユーザプレーンデータ、またはユーザプレーンデータおよび制御プレーンシグナリングであることを示すために使用される。
任意選択で、アクセスネットワークデバイスは、完全性保護アルゴリズムとキーを使用することによって、DRBのデータに対して完全性保護を実行するように構成された完全性保護モジュールをさらに含む。
任意選択で、DRBのデータは、DRBのSDAP層データパケット、またはDRBのPDCP層データパケットである。
DRBのデータがDRBのSDAP層データパケットである場合、アクセスネットワークデバイスは、DRBのSDAP層データパケット内のフローの識別子をマークするように構成されたマーキングモジュールをさらに含む。
本出願の第10の態様は、
アクセスネットワークデバイスによって送信された第3のメッセージを受信するように構成された受信モジュールであって、第3のメッセージが第1のメッセージを含み、第1のメッセージがセッションを確立することを要求するために使用される、受信モジュールと、
アクセスネットワークデバイスに第4のメッセージを送信するように構成された送信モジュールであって、第4のメッセージが、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するデータ無線ベアラ(DRB)とを含むか、または、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBとを含み、セッションがフローに対応する、送信モジュールと
を含む、コアネットワークデバイスを提供する。
任意選択で、第4のメッセージは、以下の情報、すなわち、
完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つをさらに含み、
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用され、
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用され、
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用され、
完全性保護対象の指標は、完全性保護の対象がユーザプレーンデータ、またはユーザプレーンデータおよび制御プレーンシグナリングであることを示すために使用される。
任意選択で、コアネットワークデバイスは、完全性保護アルゴリズムとキーを使用することによって、DRBのデータに対して完全性保護を実行するように構成された完全性保護モジュールをさらに含む。
任意選択で、DRBのデータは、DRBのSDAP層データパケット、またはDRBのPDCP層データパケットである。
DRBのデータがDRBのSDAP層データパケットである場合、コアネットワークデバイスは、DRBのSDAP層データパケット内のフローの識別子をマークするように構成されたマーキングモジュールをさらに含む。
本出願の第11の態様は、プロセッサと、メモリと、受信機と、送信機とを含む端末デバイスを提供し、メモリ、受信機、および送信機は、バスを使用することによってプロセッサに接続され、プロセッサと通信し、メモリは、コンピュータ実行可能命令を記憶するように構成され、プロセッサは、端末デバイスが第1の態様および第2の態様に従って提供される方法を実行するように、コンピュータ実行可能命令を実行するように構成される。
本出願の第12の態様は、プロセッサと、メモリと、受信機と、送信機とを含むアクセスネットワークデバイスを提供し、メモリ、受信機、および送信機は、バスを使用することによってプロセッサに接続され、プロセッサと通信し、メモリは、コンピュータ実行可能命令を記憶するように構成され、プロセッサは、アクセスネットワークデバイスが第3の態様および第4の態様に従って提供される方法を実行するように、コンピュータ実行可能命令を実行するように構成される。
本出願の第13の態様は、プロセッサと、メモリと、受信機と、送信機とを含むコアネットワークデバイスを提供し、メモリ、受信機、および送信機は、バスを使用することによってプロセッサに接続され、プロセッサと通信し、メモリは、コンピュータ実行可能命令を記憶するように構成され、プロセッサは、コアネットワークデバイスが第5の態様に従って提供される方法を実行するように、コンピュータ実行可能命令を実行するように構成される。
本出願の第14の態様は、コンピュータ可読媒体を提供し、コンピュータ可読媒体は、コンピュータ実行可能命令を含み、コンピュータ実行可能命令は、端末デバイスが本出願の第1の態様および第2の態様に従って提供される方法を実行することを可能にするために使用される。
本出願の第15の態様は、コンピュータ可読媒体を提供し、コンピュータ可読媒体は、コンピュータ実行可能命令を含み、コンピュータ実行可能命令は、アクセスネットワークデバイスが本出願の第3の態様および第4の態様に従って提供される方法を実行することを可能にするために使用される。
本出願の第16の態様は、コンピュータ可読媒体を提供し、コンピュータ可読媒体は、コンピュータ実行可能命令を含み、コンピュータ実行可能命令は、コアネットワークデバイスが本出願の第5の態様に従って提供される方法を実行することを可能にするために使用される。
本出願の第17の態様は、オンチップシステムを提供する。システムは、端末デバイスに適用されてもよく、オンチップシステムは、少なくとも1つの通信インターフェースと、少なくとも1つのプロセッサと、少なくとも1つのメモリとを含み、通信インターフェース、メモリ、およびプロセッサは、バスを使用することによって相互接続され、プロセッサは、本出願の第1の態様および第2の態様に従って提供される方法を実行するために、メモリ内に記憶された命令を呼び出す。
本出願の第18の態様は、オンチップシステムを提供する。システムは、アクセスネットワークデバイスに適用されてもよく、オンチップシステムは、少なくとも1つの通信インターフェースと、少なくとも1つのプロセッサと、少なくとも1つのメモリとを含み、通信インターフェース、メモリ、およびプロセッサは、バスを使用することによって相互接続され、プロセッサは、本出願の第3の態様および第4の態様に従って提供される方法を実行するために、メモリ内に記憶された命令を呼び出す。
本出願の第19の態様は、オンチップシステムを提供する。システムは、コアネットワークデバイスに適用されてもよく、オンチップシステムは、少なくとも1つの通信インターフェースと、少なくとも1つのプロセッサと、少なくとも1つのメモリとを含み、通信インターフェース、メモリ、およびプロセッサは、バスを使用することによって相互接続され、プロセッサは、本出願の第5の態様に従って提供される方法を実行するために、メモリ内に記憶された命令を呼び出す。
本出願の第20の態様は、プログラム製品を提供し、プログラム製品は、コンピュータプログラムを含み、コンピュータプログラムは、可読記憶媒体内に記憶され、端末デバイスの少なくとも1つのプロセッサは、端末デバイスが本出願の第1の態様および第2の態様に従って提供される方法を実施するように、コンピュータプログラムを実行する。
本出願の第21の態様は、プログラム製品を提供し、プログラム製品は、コンピュータプログラムを含み、コンピュータプログラムは、可読記憶媒体内に記憶され、アクセスネットワークデバイスの少なくとも1つのプロセッサは、アクセスネットワークデバイスが本出願の第3の態様および第4の態様に従って提供される方法を実施するように、コンピュータプログラムを実行する。
本出願の第22の態様は、プログラム製品を提供し、プログラム製品は、コンピュータプログラムを含み、コンピュータプログラムは、可読記憶媒体内に記憶され、コアネットワークデバイスの少なくとも1つのプロセッサは、コアネットワークデバイスが本出願の第5の態様に従って提供される方法を実施するように、コンピュータプログラムを実行する。
本出願は、データ完全性保護方法および装置を提供する。端末デバイスは、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBとを取得し、セッションに対応する完全性保護アルゴリズムとキーとを使用することによって、セッションに対応するDRBのデータに対して完全性保護を実行するか、または、端末デバイスは、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBとを取得し、フローに対応する完全性保護アルゴリズムとキーとを使用することによって、フローに対応するDRBのデータに対して完全性保護を実行する。1つのセッションは、複数のフローを含み、完全性保護がより柔軟であり、異なるサービスに対する同じユーザのセキュリティ要件を満たすように、異なる完全性保護アルゴリズムおよびキーが異なるセッションに使用されることができ、異なる完全性保護アルゴリズムおよびキーが異なるフローに使用されることもできる。
本出願に係るアプリケーションシナリオの概略アーキテクチャ図である。 本出願の実施形態1に係るデータ完全性保護方法のシグナリングフローチャートである。 5Gシステムのプロトコル層の概略図である。 本出願の実施形態2に係るデータ完全性保護方法のシグナリングフローチャートである。 完全性保護がPDCP層において実行されるときのMAC-Iの概略図である。 本出願の実施形態3に係る端末デバイスの概略構造図である。 本出願の実施形態5に係るアクセスネットワークデバイスの概略構造図である。 本出願の実施形態7に係るコアネットワークデバイスの概略構造図である。 本出願の実施形態8に係る端末デバイスの概略構造図である。 本出願の実施形態9に係るアクセスネットワークデバイスの概略構造図である。 本出願の実施形態10に係るコアネットワークデバイスの概略構造図である。
本出願は、複数のタイプの通信システムに適用されてもよいデータ完全性保護方法を提供する。通信システムは、ユニバーサル移動体通信システム(Universal Mobile Telecommunications System、UMTS)、符号分割多元接続(Code Division Multiple Access、CDMA)システム、広帯域符号分割多元接続(Wideband Code Division Multiple Access、WCDMA)システム、ワイヤレスローカルエリアネットワーク(Wireless Local Area Network、WLAN)、ロングタームエボリューション(Long Term Evolution、LTE)システム、または第5世代モバイル通信(5th-Generation、5G)システムであってもよい。
図1は、本出願に係るアプリケーションシナリオの概略アーキテクチャ図である。図1に示すように、5Gシステムは、(無線)アクセスネットワーク((Radio) Access Network、(R)AN)と、コアネットワーク(Core Network、CN)と、端末デバイスとを含んでもよい。RANは、端末デバイスのアクセスを担当する。複数の端末デバイスがRANのカバレッジエリア内に含まれる。RANとCNとの間のインターフェースは、NGインターフェースである。RANネットワーク要素間のインターフェースは、Xnインターフェースである。RANネットワーク要素と端末デバイスとの間のインターフェースは、無線インターフェースである。RANネットワーク要素は、UMTSシステムにおける基地局、CDMAシステムにおける基地局(Base Transceiver Station、BTS)、WCDMAシステムにおける基地局(NodeB、NB)、進化型基地局(evolved NodeB、eNB)、またはLTEシステムにおける中継局、WLANにおけるアクセスポイント(access point、AP)、5Gシステムにおける基地局(例えば、gNBまたは送信ポイント(Transmission Point、TRP))などであってもよい。5Gシステムは、新無線通信システム、新無線(New Radio)技術、または次世代モバイル通信システムとも呼ばれる。次世代モバイル通信システムにおいて、フロー(flow)ベースのサービス品質(Quality of Service、QoS)アーキテクチャが提唱されている。フローは、例えば、QoSフローである。QoSは、非アクセス層(Non-access stratum、NAS)層QoSおよびアクセス層(access stratum、AS)層QoSに分類される。NAS層QoSは、QoSフローレベルにある。QoSフローは、プロトコルデータユニット(Protocol Data Unit、PDU)セッション(session)におけるQoS識別の最小粒度であり、データパケットのセットである。同じ処理が、単一のQoSフロー内に含まれるデータパケットに対して実行される。
CNネットワーク要素は、アクセスおよびモビリティ管理機能(Access and Mobility Management Function、AMF)エンティティと、ユーザプレーン機能(User Plane Function、UPF)エンティティとを含む。AMFエンティティは、主に、モビリティ管理およびアクセス管理などのサービスを担当し、セッション管理機能を除いてLTEシステムにおけるモビリティ管理エンティティ(Mobility Management Entity、MME)の機能と同等である。UPFは、LTEシステムにおけるパケットデータネットワークゲートウェイ(Packet Data Network Gateway、P-GW)と同等であり、セッションおよびベアラ管理ならびにインターネットプロトコル(Internet Protocol、IP)アドレス割り振りなどの機能を担当する。UPFは、ダウンリンクQoSフローを生成し、UEは、アップリンクQoSフローを生成する。
任意選択で、CNネットワーク要素は、セッション管理機能(Session Management Function、SMF)エンティティと、認証サーバ機能(Authentication Server Function、AUSF)エンティティ/認証証明書リポジトリおよび処理機能(Authentication Credential Repository and Processing Function、ARPF)エンティティと、ポリシー制御機能(Policy Control Function、PCF)エンティティと、認証、許可、およびアカウンティング(Authentication, Authorization and Accounting、AAA)サーバとをさらに含んでもよい。
SMFエンティティは、主に、セッションを確立すること、セッションを修正すること、またはセッションを解放することを担当する。PCFエンティティは、主に、ネットワークに関するポリシーを提供することを担当する。AAAサーバは、主に、加入者識別モジュール(Subscriber Identification Module、SIM)カードを認証すること、SIMカードによって使用されうるサービスを許可すること、およびSIMカードによって使用されるネットワークリソースを記録することを担当する。AAAサーバは、オペレータによって提供されてもよく、またはサードパーティによって提供されてもよい。AUSFは、認証要求メッセージの終点であり、端末デバイスの長期セキュリティ証明書(long-term security credential)を取得するためにARPFエンティティと対話する。ARPFエンティティは、主に、端末デバイスの長期セキュリティ証明書(long-term security credential)を記憶することを担当する。
本出願における方法がLTEシステムに適用されるとき、AMFエンティティおよびSMFエンティティは、MMEで置き換えられてもよく、UPFエンティティは、LTEシステムにおけるP-GWエンティティおよびサービングゲートウェイ(Serving Gateway、S-GW)エンティティで置き換えられてもよく、AUSFエンティティおよびARPFエンティティは、ホーム加入者サーバ(Home Subscriber Server、HSS)で置き換えられてもよい。HSSは、サブスクリプション情報を記憶するように構成される。サブスクリプション情報は、SIMカードのサブスクリプション情報であってもよい。MMEは、シグナリング管理ネットワーク要素であり、NASシグナリングを暗号化すること、端末デバイスに一時的な識別情報を割り振ること、SGWおよびPGWなどのCNネットワーク要素を選択すること、ならびに、ローミング、トレース、およびセキュリティなどの機能を提供することを担当する。SGWは、eNB間のハンドオーバのためのモビリティアンカーであり、合法的傍受に関連する機能を提供する。PGWは、IPアドレス割り振り、ソリューション制御、課金ルールの実施、および合法的傍受などの機能を担当する。
本出願における端末デバイスは、ワイヤレス端末であってもよい。ワイヤレス端末は、音声および/またはデータの接続性をユーザに提供するデバイス、ワイヤレス接続機能を有するハンドヘルドデバイス、またはワイヤレスモデムに接続された別の処理デバイスであってもよい。ワイヤレス端末は、(R)ANを介して少なくとも1つのコアネットワークと通信してもよい。ワイヤレス端末は、携帯電話(または「セルラー」電話とも呼ばれる)などのモバイル端末、またはモバイル端末を有するコンピュータであってもよい。例えば、ワイヤレス端末は、音声および/またはデータを無線アクセスネットワークと交換する、ポータブル、ポケットサイズ、ハンドヘルド、コンピュータ内蔵、または車載のモバイル装置であってもよい。ワイヤレス端末は、加入者ユニット(Subscriber Unit)、加入者局(Subscriber Station)、移動局(Mobile Station)、移動局(Mobile Station)、リモート局(Remote Station)、アクセスポイント(Access Point)、リモート端末(Remote Terminal)、アクセス端末(Access Terminal)、ユーザ端末(User Terminal)、ユーザ機器(User Equipment、UE)、またはユーザエージェント(User Agent)とも呼ばれてもよい。これは、本明細書では限定されない。
図1に示す通信システムに基づいて、本出願において提供されるデータ完全性保護方法は、従来技術における柔軟性のない完全性保護の問題を解決することである。
以下は、本出願の技術的解決策、および本出願の技術的解決策がどのように使用されて前述の技術的問題を解決するかを詳述するために、特定の実施形態を使用する。以下のいくつかの特定の実施形態は、組み合わされてもよく、同じまたは同様の概念またはプロセスについて、いくつかの実施形態において繰り返し説明しない場合がある。以下は、添付図面を参照して本出願の実施形態を説明する。
図2は、本出願の実施形態1に係るデータ完全性保護方法のシグナリングフローチャートである。本実施形態における方法は、主に以下のステップを含んでもよい。
ステップS101:端末デバイスは、第1のメッセージをアクセスネットワークデバイスに送信する。
第1のメッセージは、セッションを確立することを要求するために使用される。セッションは、PDUセッションとも呼ばれる。第1のメッセージは、NASメッセージを搬送してもよい。NASメッセージは、セッションセットアップ要求メッセージを搬送する。セッションセットアップ要求メッセージは、確立されるべきセッションの識別子を含む。セッションセットアップ要求メッセージは、第1のメッセージに対応するL3プロトコルスタックを示すために使用されるプロトコル識別子(Protocol discriminator)をさらに含んでもよい。セッションセットアップ要求メッセージがNASメッセージを使用することによって搬送される場合、アクセスネットワークは、NASメッセージを第3のメッセージに追加し、第3のメッセージをコアネットワークデバイスに送信する。
例えば、第1のメッセージは、無線リソース制御(Radio Resource Control、RRC)メッセージ、メディアアクセス制御(Media Access Control、MAC)メッセージ、物理層メッセージなどであってもよい。RRCメッセージは、例えば、RRC接続セットアップ要求、RRC接続再セットアップ要求、RRC接続セットアップ完了メッセージなどである。MACメッセージは、例えば、MAC制御要素(Control Element、CE)である。物理層メッセージは、例えば、物理層シグナリングである。
ステップS102:アクセスネットワークデバイスは、第3のメッセージをコアネットワークデバイスに送信し、第3のメッセージは、第1のメッセージを含む。
第3のメッセージは、セッションを確立することを要求するために使用される。具体的には、第1のメッセージを受信した後、アクセスネットワークデバイスは、第1のメッセージ内のNASメッセージを第3のメッセージに追加し、第3のメッセージをコアネットワークデバイスに送信する。第3のメッセージは、RANとCNとの間のインターフェースメッセージである。
ステップS103:コアネットワークデバイスは、第4のメッセージをアクセスネットワークデバイスに送信し、第4のメッセージは、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するデータ無線ベアラ(Data Radio Bearer、DRB)とを含む。
第4のメッセージは、確立されるべきセッションのためのリソースを準備するようにアクセスネットワークデバイスに要求するために使用される。第4のメッセージは、UEのためのコンテキスト構成を確立するために使用されるUE初期コンテキストセットアップ要求メッセージであってもよく、または、第4のメッセージは、セッションのためのリソースを構成するために使用されるPDUセッションリソースセットアップ要求メッセージである。第4のメッセージは、セッション情報と、セッションに対応する完全性保護構成とを搬送する。セッション情報は、セッションの識別子と、セッションに対応するDRBとを含む。任意選択で、第4のメッセージは、NASメッセージを搬送し、セッションに対応する完全性保護構成は、NASメッセージにおいて搬送される。もちろん、セッションに対応する完全性保護構成は、NASメッセージにおいて搬送されなくてもよい。
第4のメッセージは、端末デバイスによって開始されたサービスを搬送するために、セッションのための1つ以上のDRBを確立するために使用される、少なくとも1つのプロトコル層の構成パラメータをさらに含む。図3は、5Gシステムのプロトコル層の概略図である。図3に示すように、上から下へ、端末デバイスおよびアクセスデバイスのプロトコル層は、順次に、サービスデータ集約プロトコル(Service Data Aggregation Protocol、SDAP)層、PDCP層、無線リンク制御(Radio Link Control、RLC)層、MAC層、および物理(Physical、PHY)層である。SDAP層は、LTEシステムに新たに追加されたプロトコル層である。SDAP層は、フロー(flow)からDRBへのマッピングを処理するために使用される。この実施形態において、1つの端末デバイスは、複数のセッションを確立してもよく、各セッションは、1つ以上のフローを含み、各フローは、1つ以上のDRBにマッピングされてもよく、フローは、例えば、QoSフローである。
例えば、少なくとも1つのプロトコル層の構成パラメータは、各層のプロトコルスタックのパラメータと、伝送モードと、論理チャネル構成と、スケジューリング関連のパラメータとを含む。伝送モードは、RLCトランスペアレント伝送モード、肯定応答モード、または非肯定応答モードであってもよい。論理チャネル構成は、例えば、論理チャネルの優先順位である。特定のコンテンツについて、LTEまたは5Gプロトコルを参照されたい。詳細については本明細書では説明しない。
この実施形態において、第4のメッセージにおいて搬送されるセッションに対応する完全性保護構成は、セッションに対応する完全性保護アルゴリズムおよびキーを含む。任意選択で、第4のメッセージは、セッションに対応する完全性保護アルゴリズムおよびキーを搬送しなくてもよく、セッションに対応する完全性保護アルゴリズムおよびキーは、別のメッセージを使用することによって搬送されるか、または、セッションに対応する完全性保護アルゴリズムおよびキーは、事前に構成される。第4のメッセージは、以下の情報、すなわち、完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つをさらに含んでもよい。同様に、完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの1つ以上は、第4のメッセージによって動的に示される代わりに、事前に構成されてもよい。
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用される。完全性保護は、RAN側において実施されるか、またはCN側において実施されるか、またはRAN側とCN側の両方において実施される、などであってもよい。したがって、完全性保護のためのネットワーク要素は、アクセスネットワークデバイスもしくはコアネットワークデバイスであってもよく、または、完全性保護は、アクセスネットワークデバイスとコアネットワークデバイスの両方において実行されてもよい。完全性保護位置がRAN側である場合、完全性保護機能は、RAN側におけるプロトコルスタックによって実行され、対応する端末デバイス側は、アクセス層において完全性保護機能を実行する。完全性保護位置がCN側である場合、完全性保護機能は、CN側におけるプロトコルスタックによって実行される必要があり、対応する端末デバイス側は、非アクセス層において完全性保護機能を実行する。完全性保護位置がRAN側とCN側の両方である場合、完全性保護機能は、RAN側とCN側の両方において実行される必要があり、ユーザの制御プレーンまたはデータプレーンの完全性保護は、2回実行される必要がある。
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用される。完全性保護に関するプロトコル層は、SDAP層、PDCP層、またはRLC層であってもよい。
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用される。完全性保護位置の有効化指標は、完全性保護位置の指標に関連付けられる。例えば、完全性保護位置の指標によって示される完全性保護位置がRAN側である場合、完全性保護位置の有効化指標は、完全性保護機能がRAN側において有効化または無効化されていることを示すために使用される。完全性保護位置の指標によって示される完全性保護位置がRAN側とCN側の両方である場合、完全性保護位置の有効化指標は、完全性保護機能がRAN側およびCN側において有効化または無効化されていることを個別に示すために使用される。
完全性保護対象の指標は、完全性保護の対象がユーザプレーン(User plane、UP)データ、またはユーザプレーンデータおよび制御プレーン(Control Plane、CP)シグナリングであることを示すために使用される。
同じまたは異なる完全性保護アルゴリズムおよびキーは異なるセッションに使用されることができる。完全性保護アルゴリズムおよびキーは、完全性保護位置に対応する。例えば、コアネットワークデバイスが1つの完全性保護位置(RAN側またはCN側)のみを示す場合、対応する完全性保護アルゴリズムおよびキーは、完全性保護位置においてのみ構成される。コアネットワークデバイスが2つの完全性保護位置(RAN側とCN側の両方)を示す場合、対応する完全性保護アルゴリズムおよびキーは、2つの完全性保護位置について構成される必要があり、2つの完全性保護位置に対応する保護アルゴリズムおよびキーは、同じでも異なっていてもよい。
1つの方法において、異なるセッションに使用されるべきキーは、ルートキー(root key)に基づく計算によって取得されてもよい。異なるセッションに対して取得されるキーは、異なっていても同じであってもよい。ルートキーは、SMC手順においてアクセスネットワークデバイスによって取得されるルートキーであってもよい。
別の方法において、異なるセッションに使用されるべきキーは、異なるルートキーに基づく計算によって取得されてもよい。例えば、第4のメッセージは、アクセスネットワークデバイスがルートキーに基づいてセッションに使用されるべきキーを計算するように、セッションに使用されるべきルートキーを示すか、または関連するパラメータを転送する。
この実施形態において、セッションに対応する完全性保護構成は、セッションに対応する完全性保護構成を示すために、第4のメッセージ内のPDUセッション情報リスト(PDU Session Resource Setup List)内に配置されてもよく、完全性保護構成に対応するセッション識別子が追加されて、第4のメッセージ内に個別に配置されてもよい。アクセスネットワークデバイスは、第4のメッセージからセッションに対応する完全性保護構成を学習し、セッションに対応するDRBの完全性保護構成をさらに学習する。表1は、第4のメッセージの概略構造図であり、表2は、PDUセッション情報リストの概略図であり、表3は、PDUセッションセットアップ要求転送(PDU Session Setup Request Transfer)の概略図である。表1に示す第4のメッセージは、例えば、そのプロトコルバージョン番号が0.1.0の第3世代パートナーシッププロジェクト(3rd Generation Partnership Project、3GPP)次世代(Next Generation、NG)RAN NGアプリケーションプロトコル(NG Application Protocol、NGAP)のセクション9.2.1.1におけるPDUセッションリソースセットアップ要求メッセージである。表2におけるPDUセッション情報リストは、例えば、そのプロトコルバージョン番号が0.1.0の3GPP NG RAN NGAPのセクション9.3.1.5におけるPDUセッション・リソース・セットアップ・リスト・メッセージである。
Figure 0006978586
Figure 0006978586
Figure 0006978586
表2および表3は、第4のメッセージにおけるセッションに対応する完全性保護構成の2つの可能な位置を示す。表2において、セッションに対応する完全性保護構成は、PDUセッションリソースセットアップリストにおいて搬送され、PDUセッションリソースセットアップリストは、1つ以上のセッションリソースセットアップ情報要素(information element、IE)を含む。各情報要素は、以下の情報、すなわち、セッション識別子、および単一ネットワークスライス選択支援情報のうちの少なくとも1つを保護する。ネットワークスライス選択支援情報は、セッションに対応するネットワークスライス識別子を示すために使用される。表3において、セッションに対応する完全性保護構成は、PDUセッションセットアップ要求転送において搬送され、PDUセッションセットアップ要求転送は、以下の情報、すなわち、1つ以上のセッションに対応する最大集約ビットレート、トランスポート層情報、セッションタイプ、QoSフローリソース情報リストなどのうちの少なくとも1つを含む。QoSフローリソース情報リストは、1つ以上のフローに対応する識別子、QoSフローレベルのQoSパラメータなどを含む。
ステップS104:アクセスネットワークデバイスは、第2のメッセージを端末デバイスに送信し、第2のメッセージは、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む。
第4のメッセージを受信した後、アクセスネットワークデバイスは、セッションに対応する完全性保護アルゴリズムおよびキーなどの、第4のメッセージにおいて搬送される完全性保護構成を記憶し、端末デバイスによって開始されたサービスを搬送するために、第4のメッセージにおいて搬送される少なくとも1つのプロトコル層の構成パラメータに基づいて端末デバイスのためのDRBを確立し、次いで、第2のメッセージを生成し、第2のメッセージを端末デバイスに送信する。第2のメッセージは、NASメッセージ、RRCメッセージ、MAC層メッセージ、または物理層メッセージであってもよい。第2のメッセージがRRCメッセージであるときに、RRCメッセージがNASメッセージを含まない場合、セッションの識別子、セッションに対応する完全性保護アルゴリズムおよびキー、ならびにセッションに対応するDRBの識別子は、すべて、RRCメッセージにおいて搬送され、または、RRCメッセージがNASメッセージを含む場合、前述のパラメータのすべてまたはいくつかは、RRCメッセージ内に含まれるNASメッセージにおいて搬送される。
この実施形態において、第2のメッセージは、セッションに対応する完全性保護アルゴリズムおよびキーを含む。任意選択で、第2のメッセージは、セッションに対応する完全性保護アルゴリズムおよびキーを搬送しなくてもよく、セッションに対応する完全性保護アルゴリズムおよびキーは、別のメッセージを使用することによって搬送されるか、または、セッションに対応する完全性保護アルゴリズムおよびキーは、事前に構成される。別の実施形態において、第2のメッセージは、以下の情報、すなわち、完全性保護アルゴリズムおよびキー、完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、ならびに完全性保護対象の指標のうちの少なくとも1つを含む。同様に、完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの1つ以上は、第2のメッセージを使用することによって動的に示される代わりに、事前に構成されてもよい。
第2のメッセージにおいて搬送される完全性保護構成は、第4のメッセージにおいて搬送される完全性保護構成とは同じであっても異なっていてもよい。例えば、第4のメッセージがセッションに使用されるべきルートキーを示す場合、第4のメッセージを受信した後、アクセスネットワークデバイスは、示されたルートキーに基づいて、セッションに使用されるべきキーを計算し、次いで、セッションに使用されるべきキーを第2のメッセージに追加する。
任意選択で、セッションに対応する完全性保護構成は、第2のメッセージ内のSDAP層構成パラメータにおいて搬送されてもよく、すなわち、完全性保護構成は、SDAP層構成パラメータとして使用される。代替的に、セッションに対応する完全性保護構成は、PDCP層構成パラメータにおいて搬送されてもよく、すなわち、完全性保護構成は、PDCP層構成パラメータとして使用される。第2のメッセージは、少なくとも1つのプロトコル層の構成パラメータを含む。SDAP層構成パラメータとPDCP層構成パラメータの両方が、第2のメッセージにおいて搬送されてもよく、または、構成パラメータのうちの1つが第2のメッセージにおいて搬送され、他方の構成メッセージは、第2のメッセージとは異なる別のメッセージにおいて搬送される。以下は、第2のメッセージにおける完全性保護構成のいくつかの可能な位置について説明する。例えば、第2のメッセージは、RRC接続再構成メッセージ(RRC Connection Reconfiguration message)である。RRC接続再構成メッセージは、例えば、そのプロトコルバージョン番号が13.0.0の3GPP進化型ユニバーサル地上無線アクセス(Evolved Universal Terrestrial Radio Access、E-UTRA)RRCプロトコルのセクション6.2.2における以下のRRC接続再構成メッセージである。
Figure 0006978586
前述の例では、セッションに対応する完全性保護構成の可能な位置1は、SDAP層構成パラメータであり、セッションに対応する完全性保護構成の可能な位置2は、PDCP層構成パラメータである。
任意選択で、ステップS104の後、アクセスネットワークデバイスは、第5のメッセージをコアネットワークデバイスに送信する。第5のメッセージは、コアネットワークデバイスによって送信された第4のメッセージの処理結果をフィードバックするために使用される。アクセスネットワークデバイスが端末デバイスのコンテキストを構成することに失敗した場合、第5のメッセージは、構成失敗をフィードバックするために使用され、失敗原因指標、すなわち、原因値を含む。第5のメッセージは、1つ以上のセッションに対してアクセスネットワークデバイスによって割り振られた無線インターフェースリソースを搬送するためにさらに使用され、例えば、アクセスネットワークデバイスの確立されたセッション情報リスト、および確立することができないQoSフローのリストを含む。
ステップS105:端末デバイスは、第2のメッセージの内容を記憶する。
端末デバイスは、セッションに対応する記憶された完全性保護構成に基づいて、セッションに対応するDRBのデータに対する完全性保護をその後に実行するために、第2のメッセージにおいて搬送されたセッションに対応する完全性保護構成を記憶する。セッションは、1つ以上のDRBに対応してもよい。セッションが複数のDRBに対応する場合、セッションに対応する複数のDRBに使用される完全性保護構成は、同じである。
具体的には、端末デバイスは、セッションに対応する完全性保護アルゴリズムおよびキーを使用することによって、セッションに対応するDRBのデータに対する完全性保護を実行する。DRBのデータは、DRBのSDAP層データパケットまたはPDCP層データパケットである。言い換えれば、端末デバイスは、SDAP層およびPDCP層において、DRBのデータに対する完全性保護を実行してもよい。SDAP層データパケットは、PDUとサービスデータユニット(service Data Unit、SDU)とを含み、PDCP層データパケットも、PDUとSDUとを含む。
端末デバイスが送信側であり、DRBのデータがPDCP層データパケットであることが例として使用される。端末デバイスは、完全性保護アルゴリズムに従って、キー、COUNT値、無線ベアラ識別子、DIRECTION、PDCP層データパケット自体、およびPDCP層データパケットの長さなどの少なくとも1つのパラメータを入力パラメータとして使用することによって32ビットMAC-Iを計算し、32ビットMAC-IをPDCP PDUのMAC-Iフィールドに配置する。PDCP層データパケットを受信した後、受信側(アクセスネットワークデバイスまたはコアネットワークデバイス)は、同じ方法を使用することによって、PDCP層データパケットに関する予想される認証コードXMAC-Iを計算し、XMAC-IとMAC-Iとを比較することによって完全性チェックを実行する。MAC-IがXMAC-Iと等しい場合、受信側は、完全性チェックが成功したと判定し、または、MAC-IがXMAC-Iと等しくない場合、受信側は、完全性チェックが失敗したと判定する。もちろん、端末デバイスもまた、受信側として機能してもよい。
この実施形態では、端末デバイスは、第2のメッセージを使用することによって、アクセスネットワークデバイスからセッションに対応する完全性保護アルゴリズムおよびキーを取得する。端末デバイスは、別の方法において、セッションに対応する完全性保護アルゴリズムおよびキーを代替的に取得してもよいことに留意されたい。例えば、セッションに対応する完全性保護アルゴリズムおよびキーは、端末デバイスにおいて事前に構成され、第2のメッセージは、セッション識別子のみを搬送する必要があり、端末デバイスは、セッション識別子に基づいて、セッションに対応する完全性保護アルゴリズムおよびキーを見つける。同様に、セッションの他の完全性保護構成、例えば、完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの1つ以上は、第2のメッセージを使用することによって動的に示されても、または、事前構成方法において端末デバイスに通知されてもよい。
この実施形態では、異なる完全性保護アルゴリズムおよびキーが異なるセッションに使用されることができ、完全性保護がより柔軟で、異なるサービスに対する同じユーザのセキュリティ要件を満たすように、端末デバイスは、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBとを取得し、セッションに対応する完全性保護アルゴリズムおよびキーを使用することによって、DRBのデータに対する完全性保護を実行する。
図4は、本出願の実施形態2に係るデータ完全性保護方法のシグナリングフローチャートである。実施形態1とは異なり、この実施形態の完全性保護は、フローの粒度である。図4に示すように、この実施形態の方法は、主に以下のステップを含む。
ステップS201:端末デバイスは、第1のメッセージをアクセスネットワークデバイスに送信する。
ステップS202:アクセスネットワークデバイスは、第3のメッセージをコアネットワークデバイスに送信し、第3のメッセージは、第1のメッセージを含む。
ステップS201およびステップS202の具体的な実装形態については、実施形態1の関連する説明を参照されたい。
ステップS203:コアネットワークデバイスは、第4のメッセージをアクセスネットワークデバイスに送信し、第4のメッセージは、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBとを含む。
実施形態1とは異なり、この実施形態では、第4のメッセージは、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBとを含む。フローは、確立することを要求するために第1のメッセージが使用されるセッションに対応する。1つのセッションは、複数のフローを含み、各フローは、複数のDRBにマッピングされてもよい。この実施形態において、同じまたは異なる完全性保護アルゴリズムおよびキーを、セッション内に含まれる複数のフローに使用することができる。
任意選択で、第4のメッセージは、フローに対応する完全性保護アルゴリズムおよびキーを搬送しなくてもよく、フローに対応する完全性保護アルゴリズムおよびキーは、別のメッセージを使用することによって搬送され、または、フローに対応する完全性保護アルゴリズムおよびキーは、事前に構成される。任意選択で、第4のメッセージは、以下の情報、すなわち、完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つをさらに含んでもよい。同様に、完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの1つ以上は、第4のメッセージを使用することによって動的に示される代わりに、事前に構成されてもよい。
この実施形態では、アクセスネットワークデバイスが第4のメッセージからフローの完全性保護構成を学習するように、フローの完全性保護構成は、フローに対応する完全性保護構成を示すために、第4のメッセージ内のQoSフローリソース情報リスト内に配置されてもよく、または、完全性保護構成に対応するフロー識別子が追加されて、例えば、PDUセッションリソース情報リスト内に配置されて、第4のメッセージ内に別個に配置されてもよい。第4のメッセージの構造については、前述の表1を参照されたい。PDUセッション情報リストについては、前述の表2を参照されたい。表4は、QoSフローリソース情報リストの概略図である。

Figure 0006978586
表4に示す例において、フローに対応する完全性保護構成は、QoSフローリソース情報リストにおいて搬送される。QoSフローリソース情報リストは、1つ以上のフローに対応する識別子、QoSフローレベルのQoSパラメータなどをさらに含む。
ステップS204:アクセスネットワークデバイスは、第2のメッセージを端末デバイスに送信し、第2のメッセージは、セッションの識別子と、フローの識別子と、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBの識別子とを含む。
第4のメッセージを受信した後、アクセスネットワークデバイスは、第4のメッセージにおいて搬送されたセッションの識別子と、フローの識別子と、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBの識別子とを記憶し、端末デバイスによって開始されたサービスを搬送するために、第4のメッセージにおいて搬送された少なくとも1つのプロトコル層の構成パラメータに基づいて端末デバイスのためのDRBを確立し、各フローに対応するDRBを決定し、次いで、第2のメッセージを生成し、第2のメッセージを端末デバイスに送信する。第2のメッセージは、NASメッセージ、RRCメッセージ、MAC層メッセージ、または物理層メッセージであってもよい。第2のメッセージがRRCメッセージであるときに、RRCメッセージがNASメッセージを含まない場合、セッションの識別子、フローの識別子、フローに対応する完全性保護アルゴリズムおよびキー、ならびにフローに対応するDRBの識別子は、すべて、RRCメッセージにおいて搬送され、または、RRCメッセージがNASメッセージを含む場合、前述のパラメータのすべてまたはいくつかは、RRCメッセージ内に含まれるNASメッセージにおいて搬送される。
この実施形態において、第2のメッセージは、フローに対応する完全性保護アルゴリズムおよびキーを含む。任意選択で、第2のメッセージは、フローに対応する完全性保護アルゴリズムおよびキーを搬送しなくてもよく、フローに対応する完全性保護アルゴリズムおよびキーは、別のメッセージを使用することによって搬送されるか、または、フローに対応する完全性保護アルゴリズムおよびキーは、事前に構成される。別の実施形態において、第2のメッセージは、以下の情報、すなわち、完全性保護アルゴリズムおよびキー、完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、ならびに完全性保護対象の指標のうちの少なくとも1つを含む。同様に、完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの1つ以上は、第2のメッセージを使用することによって動的に示される代わりに、事前に構成されてもよい。
第2のメッセージにおいて搬送されるフローに対応する完全性保護構成は、第4のメッセージにおいて搬送されるフローに対応する完全性保護構成とは同じであっても異なっていてもよい。例えば、第4のメッセージがフローに使用されるべきルートキーを示す場合、第4のメッセージを受信した後、アクセスネットワークデバイスは、示されたルートキーに基づいて、フローに使用されるべきキーを計算し、次いで、フローに使用されるべきキーを第2のメッセージに追加する。
任意選択で、フローに対応する完全性保護構成は、第2のメッセージ内のSDAP層構成パラメータにおいて搬送されてもよく、すなわち、フローに対応する完全性保護構成は、SDAP層構成パラメータとして使用される。代替的に、フローに対応する完全性保護構成は、PDCP層構成パラメータにおいて搬送されてもよく、すなわち、フローに対応する完全性保護構成は、PDCP層構成パラメータとして使用される。第2のメッセージは、少なくとも1つのプロトコル層の構成パラメータを含む。SDAP層構成パラメータとPDCP層構成パラメータの両方が、第2のメッセージにおいて搬送されてもよく、または、構成パラメータのうちの1つが第2のメッセージにおいて搬送され、他方の構成メッセージは、第2のメッセージとは異なる別のメッセージにおいて搬送される。
任意選択で、ステップS204の後、アクセスネットワークデバイスは、第5のメッセージをコアネットワークデバイスに送信する。第5のメッセージは、コアネットワークデバイスによって送信された第4のメッセージの処理結果をフィードバックするために使用される。アクセスネットワークデバイスが端末デバイスのコンテキストを構成することに失敗した場合、第5のメッセージは、構成失敗をフィードバックするために使用され、失敗原因指標、すなわち、原因値を含む。第5のメッセージは、1つ以上のセッションに対してアクセスネットワークデバイスによって割り振られた無線インターフェースリソースを搬送するためにさらに使用され、例えば、アクセスネットワークデバイスの確立されたセッション情報リスト、および確立することができないQoSフローのリストを含む。
ステップS205:端末デバイスは、第2のメッセージの内容を記憶する。
端末デバイスは、フローに対応する記憶された完全性保護構成に基づいて、フローに対応するDRBのデータに対する完全性保護をその後に実行するために、第2のメッセージにおいて搬送されたフローに対応する完全性保護構成を記憶する。フローは、1つ以上のDRBに対応してもよく、異なるフローに対応する完全性保護アルゴリズムおよびキーは、異なっていてもよい。
具体的には、端末デバイスは、フローに対応する完全性保護アルゴリズムおよびキーを使用することによって、フローに対応するDRBのデータに対する完全性保護を実行する。DRBのデータは、DRBのSDAP層データパケットまたはDRBのPDCP層データパケットである。言い換えれば、端末デバイスは、SDAP層およびPDCP層において、DRBのデータに対する完全性保護を実行してもよい。SDAP層データパケットは、PDUとSDUとを含み、PDCP層データパケットも、PDUとSDUとを含む。
完全性保護がPDCP層において実行される場合、PDCP層がフローを区別することができず、SDAP層のみがセッション内に含まれるフローを識別することができるので、PDCP層がフローの識別子に基づいて異なるフローを識別し、フローに対応する完全性保護アルゴリズムおよびキーに基づいて、フローに対応するデータパケットに対する完全性保護をさらに実行するように、SDAP層は、SDAP層データパケット内のフローの識別子をマークする必要がある。フローの識別子は、SDAP層データパケットのヘッダ内に配置されてもよく、または、SDAP層データパケットの特定のデータコンテンツ内に配置されてもよい。本出願では、具体的なフォーマットは、限定されない。
この実施形態では、端末デバイスは、第2のメッセージを使用することによって、アクセスネットワークデバイスからフローに対応する完全性保護アルゴリズムおよびキーを取得する。端末デバイスは、別の方法において、フローに対応する完全性保護アルゴリズムおよびキーを代替的に取得してもよいことに留意されたい。例えば、フローに対応する完全性保護アルゴリズムおよびキーは、端末デバイスにおいて事前に構成され、第2のメッセージは、セッション識別子およびフロー識別子のみを搬送する必要があり、端末デバイスは、セッション識別子およびフロー識別子に基づいて、フローに対応する完全性保護アルゴリズムおよびキーを見つける。同様に、フローの他の完全性保護構成、例えば、完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの1つ以上は、第2のメッセージを使用することによって動的に示されても、または、事前構成方法において端末デバイスに通知されてもよい。
この実施形態では、異なる完全性保護アルゴリズムおよびキーが異なるフローに使用されることができ、完全性保護がより柔軟で、異なるサービスに対する同じユーザのセキュリティ要件を満たすように、端末デバイスは、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBとを取得し、フローに対応する完全性保護アルゴリズムおよびキーを使用することによって、フローに対応するDRBのデータに対する完全性保護を実行する。
前述の実施形態では、送信側は、シーケンス番号付け、ヘッド圧縮、および暗号化などのプロセスのいずれか1つに続いてデータ完全性保護を実行してもよい。同様に、これは、受信側についても同じである。加えて、MAC-Iの位置およびサイズは柔軟に設定されることができる。図5は、完全性保護がPDCP層において実行されるときのMAC-Iの概略図である。図5に示すように、MAC-Iは、メッセージの最後の数バイトにおいて搬送されてもよい。
前述の実施形態において、受信側は、完全性チェックを実行し、メッセージの完全性チェックが失敗した場合、以下のいくつかの処理動作、すなわち、(1)RRC接続を再確立するようにRRCに指示すること、(2)メッセージを破棄すること、(3)メッセージを破棄し、RRC接続を再確立すること、および(4)完全性チェックの失敗の量が予め設定された値に達したときにRRC接続を再確立すること、のうちの任意の1つが実行されてもよい。
前述の実施形態における方法は、二重接続(Dual Connection、DC)シナリオまたはセルハンドオーバシナリオにおいて適用されてもよい。セルハンドオーバシナリオにおいて、端末デバイスがソース基地局からターゲット基地局にハンドオーバされる場合、ターゲット基地局がセッションに対応する完全性保護構成またはフローに対応する完全性保護構成に基づいて完全性保護を実行するように、端末デバイスは、セッションに対応する完全性保護構成、またはフローに対応する完全性保護構成をターゲット基地局に送信する必要がある。DCシナリオにおいて、完全性保護は、1つのノードのみにおいて実行されてもよく、または、完全性保護は、両方のノードにおいて実行されてもよい。二次ノードがセッションに対応する完全性保護構成またはフローに対応する完全性保護構成に基づいて完全性保護を実行することができるように、マスターノード(Master node、MN)は、セッションに対応する完全性保護構成またはフローに対応する完全性保護構成を二次ノード(Secondary node、SN)に送信する必要がある。
図6は、本出願の実施形態3に係る端末デバイスの概略構造図である。図6に示すように、この実施形態において提供される端末デバイスは、
セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するデータ無線ベアラ(DRB)とを取得するように構成された取得モジュール11と、
完全性保護アルゴリズムとキーとを使用することによって、DRBのデータに対する完全性保護を実行するように構成された完全性保護モジュール12と
を含む。
任意選択で、取得モジュール11は、第1のメッセージを送信することであって、第1のメッセージが、セッションを確立することを要求するために使用される、ことと、第2のメッセージを受信することであって、第2のメッセージが、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む、こととを行うように特に構成される。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含み、または、第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む。
任意選択で、取得モジュール11は、以下の情報、すなわち、
完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つを取得するようにさらに構成され、
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用され、
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用され、
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用され、
完全性保護対象の指標は、完全性保護の対象がユーザプレーンデータ、またはユーザプレーンデータおよび制御プレーンシグナリングであることを示すために使用される。
任意選択で、DRBのデータは、DRBのSDAP層データパケット、またはDRBのPDCP層データパケットである。DRBのデータがDRBのSDAP層データパケットである場合、端末デバイスは、DRBのSDAP層データパケット内のフローの識別子をマークするように構成されたマーキングモジュールをさらに含む。
この実施形態において提供される端末デバイスは、実施形態1における端末デバイスによって実行されるステップを実行するように構成されてもよく、具体的な実装形態および技術的効果は、それと同様である。詳細について、本明細書では再び説明しない。
本出願の実施形態4は、端末デバイスを提供する。端末デバイスの構造については、図6を参照されたい。この実施形態では、取得モジュール11は、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するデータ無線ベアラ(DRB)とを取得するように構成され、完全性保護モジュール12は、完全性保護アルゴリズムとキーとを使用することによって、DRBのデータに対する完全性保護を実行するように構成される。
任意選択で、取得モジュール11は、第1のメッセージを送信することであって、第1のメッセージがセッションを確立することを要求するために使用され、セッションがフローに対応する、ことと、第2のメッセージを受信することであって、第2のメッセージが、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む、こととを行うように特に構成される。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含み、または、第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む。
任意選択で、取得モジュール11は、以下の情報、すなわち、
完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つを取得するようにさらに構成され、
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用され、
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用され、
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用され、
完全性保護対象の指標は、完全性保護の対象がユーザプレーンデータ、またはユーザプレーンデータおよび制御プレーンシグナリングであることを示すために使用される。
任意選択で、DRBのデータは、DRBのSDAP層データパケット、またはDRBのPDCP層データパケットである。DRBのデータがDRBのSDAP層データパケットである場合、端末デバイスは、DRBのSDAP層データパケット内のフローの識別子をマークするように構成されたマーキングモジュールをさらに含む。
この実施形態において提供される端末デバイスは、実施形態2における端末デバイスによって実行されるステップを実行するように構成されてもよく、具体的な実装形態および技術的効果は、それと同様である。詳細について、本明細書では再び説明しない。
図7は、本出願の実施形態5に係るアクセスネットワークデバイスの概略構造図である。図7に示すように、この実施形態において提供されるアクセスネットワークデバイスは、
端末デバイスによって送信された第1のメッセージを受信するように構成された受信モジュール21であって、第1のメッセージがセッションを確立することを要求するために使用される、受信モジュール21と、
コアネットワークデバイスに第3のメッセージを送信するように構成された送信モジュール22であって、第3のメッセージが第1のメッセージを含み、
受信モジュール21が、コアネットワークデバイスによって送信された第4のメッセージを受信するようにさらに構成され、第4のメッセージが、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するデータ無線ベアラ(DRB)とを含む、送信モジュール22と、
セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBとを記憶するように構成された記憶モジュール23と
を含み、
送信モジュール22が、端末デバイスに第2のメッセージを送信するようにさらに構成され、第2のメッセージが、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含み、または、第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するDRBの識別子とを含む。
任意選択で、第3のメッセージまたは第2のメッセージは、以下の情報、すなわち、
完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つをさらに含み、
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用され、
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用され、
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用され、
完全性保護対象の指標は、完全性保護の対象がユーザプレーンデータ、またはユーザプレーンデータおよび制御プレーンシグナリングであることを示すために使用される。
任意選択で、アクセスネットワークデバイスは、完全性保護アルゴリズムとキーを使用することによって、DRBのデータに対して完全性保護を実行するように構成された完全性保護モジュール24をさらに含む。
任意選択で、DRBのデータは、DRBのSDAP層データパケット、またはDRBのPDCP層データパケットである。
DRBのデータがDRBのSDAP層データパケットである場合、アクセスネットワークデバイスは、DRBのSDAP層データパケット内のフローの識別子をマークするように構成されたマーキングモジュールをさらに含む。
本出願の実施形態6は、アクセスネットワークデバイスを提供する。アクセスネットワークデバイスの構造については、図7を参照されたい。この実施形態では、
受信モジュール21は、端末デバイスによって送信された第1のメッセージを受信するように構成され、第1のメッセージは、セッションを確立することを要求するために使用される。
送信モジュール22は、第3のメッセージをコアネットワークデバイスに送信するように構成され、第3のメッセージは、第1のメッセージを含む。
受信モジュール21は、コアネットワークデバイスによって送信された第4のメッセージを受信するようにさらに構成され、第4のメッセージは、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するデータ無線ベアラ(DRB)とを含み、セッションは、フローに対応する。
記憶モジュール23は、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBとを記憶するように構成される。
送信モジュール22は、端末デバイスに第2のメッセージを送信するようにさらに構成され、第2のメッセージは、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む。
任意選択で、第2のメッセージは、SDAP層構成を含み、SDAP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含み、または、第2のメッセージは、PDCP層構成を含み、PDCP層構成は、セッションの識別子と、フローの識別子と、フローに対応するDRBの識別子と、フローに対応する完全性保護アルゴリズムおよびキーとを含む。
任意選択で、第3のメッセージまたは第2のメッセージは、以下の情報、すなわち、
完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つをさらに含み、
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用され、
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用され、
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用され、
完全性保護対象の指標は、完全性保護の対象がユーザプレーンデータ、またはユーザプレーンデータおよび制御プレーンシグナリングであることを示すために使用される。
任意選択で、完全性保護モジュール24は、完全性保護アルゴリズムとキーを使用することによって、DRBのデータに対して完全性保護を実行するように構成される。
任意選択で、DRBのデータは、DRBのSDAP層データパケット、またはDRBのPDCP層データパケットである。
DRBのデータがDRBのSDAP層データパケットである場合、アクセスネットワークデバイスは、DRBのSDAP層データパケット内のフローの識別子をマークするように構成されたマーキングモジュールをさらに含む。
図8は、本出願の実施形態7に係るコアネットワークデバイスの概略構造図である。図8に示すように、この実施形態において提供されるコアネットワークデバイスは、
アクセスネットワークデバイスによって送信された第3のメッセージを受信するように構成された受信モジュール31であって、第3のメッセージが第1のメッセージを含み、第1のメッセージがセッションを確立することを要求するために使用される、受信モジュール31と、
アクセスネットワークデバイスに第4のメッセージを送信するように構成された送信モジュール32であって、第4のメッセージが、セッションに対応する完全性保護アルゴリズムおよびキーと、セッションに対応するデータ無線ベアラ(DRB)とを含むか、または、フローに対応する完全性保護アルゴリズムおよびキーと、フローに対応するDRBとを含み、セッションがフローに対応する、送信モジュール32と
を含む。
任意選択で、第4のメッセージは、以下の情報、すなわち、
完全性保護位置の指標、完全性保護プロトコル層の位置指標、完全性保護位置の有効化指標、および完全性保護対象の指標のうちの少なくとも1つをさらに含み、
完全性保護位置の指標は、完全性保護が実行されるネットワーク要素を示すために使用され、
完全性保護プロトコル層の位置指標は、完全性保護が実行されるプロトコル層を示すために使用され、
完全性保護位置の有効化指標は、完全性保護機能を有効化するかどうかを示すために使用され、
完全性保護対象の指標は、完全性保護の対象がユーザプレーンデータ、またはユーザプレーンデータおよび制御プレーンシグナリングであることを示すために使用される。
任意選択で、コアネットワークデバイスは、完全性保護アルゴリズムとキーを使用することによって、DRBのデータに対して完全性保護を実行するように構成された完全性保護モジュール33をさらに含む。
任意選択で、DRBのデータは、DRBのSDAP層データパケット、またはDRBのPDCP層データパケットである。
DRBのデータがDRBのSDAP層データパケットである場合、コアネットワークデバイスは、DRBのSDAP層データパケット内のフローの識別子をマークするように構成されたマーキングモジュールをさらに含む。
前述の装置の実施形態において、受信モジュールおよび送信モジュールは、トランシーバを使用することによって実装されてもよく、または、受信モジュールは、独立した受信機によって実装され、送信モジュールは、独立した送信機によって実装されることに留意すべきである。前述の実施形態における取得モジュール、完全性保護モジュール、およびマーキングモジュールは、データ処理機能を有するプロセッサによって実装されてもよい。
図9は、本出願の実施形態8に係る端末デバイスの概略構造図である。図9に示すように、この実施形態における端末デバイス400は、プロセッサ41と、メモリ42と、受信機43と、送信機44とを含み、メモリ42、受信機43、および送信機44は、バスを使用することによってプロセッサ41に接続され、プロセッサ41と通信し、メモリ42は、コンピュータ実行可能命令を記憶するように構成され、プロセッサ41は、端末デバイス400が実施形態1および実施形態2において提供される方法において端末デバイスによって実行されるステップを実行するように、コンピュータ実行可能命令を実行するように構成される。具体的な実装形態および技術的効果は、それと同様である。詳細について、本明細書では再び説明しない。
図10は、本出願の実施形態9に係るアクセスネットワークデバイスの概略構造図である。図10に示すように、この実施形態におけるアクセスネットワークデバイス500は、プロセッサ51と、メモリ52と、受信機53と、送信機54とを含み、メモリ52、受信機53、および送信機54は、バスを使用することによってプロセッサ51に接続され、プロセッサ51と通信し、メモリ52は、コンピュータ実行可能命令を記憶するように構成され、プロセッサ51は、アクセスネットワークデバイス500が実施形態1および実施形態2において提供される方法においてアクセスネットワークデバイスによって実行されるステップを実行するように、コンピュータ実行可能命令を実行するように構成される。具体的な実装形態および技術的効果は、それと同様である。詳細について、本明細書では再び説明しない。
図11は、本出願の実施形態10に係るコアネットワークデバイスの概略構造図である。図11に示すように、この実施形態におけるコアネットワークデバイス600は、プロセッサ61と、メモリ62と、受信機63と、送信機64とを含み、メモリ62、受信機63、および送信機64は、バスを使用することによってプロセッサ61に接続され、プロセッサ61と通信し、メモリ62は、コンピュータ実行可能命令を記憶するように構成され、プロセッサ61は、コアネットワークデバイス600が実施形態1および実施形態2において提供される方法においてコアネットワークデバイスによって実行されるステップを実行するように、コンピュータ実行可能命令を実行するように構成される。具体的な実装形態および技術的効果は、それと同様である。詳細について、本明細書では再び説明しない。
本出願の実施形態11は、コンピュータ可読媒体を提供し、コンピュータ可読媒体は、コンピュータ実行可能命令を含み、コンピュータ実行可能命令は、端末デバイスが、本出願の実施形態1および実施形態2において端末デバイスによって実行される方法のステップを実行することを可能にするために使用される。
本出願の実施形態12は、コンピュータ可読媒体を提供し、コンピュータ可読媒体は、コンピュータ実行可能命令を含み、コンピュータ実行可能命令は、アクセスネットワークデバイスが、本出願の実施形態1および実施形態2においてアクセスネットワークデバイスによって実行される方法のステップを実行することを可能にするために使用される。
本出願の実施形態13は、コンピュータ可読媒体を提供し、コンピュータ可読媒体は、コンピュータ実行可能命令を含み、コンピュータ実行可能命令は、コアネットワークデバイスが、本出願の実施形態1および実施形態2においてコアネットワークデバイスによって実行される方法のステップを実行することを可能にするために使用される。
本出願の実施形態14は、オンチップシステムを提供する。システムは、端末デバイスに適用されてもよく、オンチップシステムは、少なくとも1つの通信インターフェースと、少なくとも1つのプロセッサと、少なくとも1つのメモリとを含み、通信インターフェース、メモリ、およびプロセッサは、バスを使用することによって相互接続され、プロセッサは、本出願の実施形態1および実施形態2において端末デバイスによって実行される方法のステップを実行するために、メモリ内に記憶された命令を呼び出す。
本出願の実施形態15は、オンチップシステムを提供する。システムは、アクセスネットワークデバイスに適用されてもよく、オンチップシステムは、少なくとも1つの通信インターフェースと、少なくとも1つのプロセッサと、少なくとも1つのメモリとを含み、通信インターフェース、メモリ、およびプロセッサは、バスを使用することによって相互接続され、プロセッサは、本出願の実施形態1および実施形態2においてアクセスネットワークデバイスによって実行される方法のステップを実行するために、メモリ内に記憶された命令を呼び出す。
本出願の実施形態16は、オンチップシステムを提供する。システムは、コアネットワークデバイスに適用されてもよく、オンチップシステムは、少なくとも1つの通信インターフェースと、少なくとも1つのプロセッサと、少なくとも1つのメモリとを含み、通信インターフェース、メモリ、およびプロセッサは、バスを使用することによって相互接続され、プロセッサは、本出願の実施形態1および実施形態2においてコアネットワークデバイスによって実行される方法を実行するために、メモリ内に記憶された命令を呼び出す。
本出願の実施形態17は、プログラム製品を提供し、プログラム製品は、コンピュータプログラムを含み、コンピュータプログラムは、可読記憶媒体内に記憶され、端末デバイスの少なくとも1つのプロセッサは、端末デバイスが本出願の実施形態1および実施形態2において端末デバイスによって実行される方法のステップを実施するように、コンピュータプログラムを実行する。
本出願の実施形態18は、プログラム製品を提供し、プログラム製品は、コンピュータプログラムを含み、コンピュータプログラムは、可読記憶媒体内に記憶され、アクセスネットワークデバイスの少なくとも1つのプロセッサは、アクセスネットワークデバイスが本出願の実施形態1および実施形態2においてアクセスネットワークデバイスによって実行される方法のステップを実施するように、コンピュータプログラムを実行する。
本出願の実施形態19は、プログラム製品を提供し、プログラム製品は、コンピュータプログラムを含み、コンピュータプログラムは、可読記憶媒体内に記憶され、コアネットワークデバイスの少なくとも1つのプロセッサは、コアネットワークデバイスが本出願の実施形態1および実施形態2においてコアネットワークデバイスによって実行される方法のステップを実施するように、コンピュータプログラムを実行する。
本出願におけるプロセッサは、中央処理装置(CPU)、汎用プロセッサ、デジタル信号プロセッサ(DSP)、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)もしくは別のプログラム可能な論理デバイス、トランジスタ論理デバイス、ハードウェア構成要素、またはそれらの任意の組み合わせであってもよいことが理解されうる。プロセッサは、本出願で説明されている例示的な論理ブロック、モジュール、および回路を実装または実行してもよい。代替的には、プロセッサは、コンピューティング機能を実装するプロセッサの組み合わせ、例えば、1つ以上のマイクロプロセッサの組み合わせ、またはDSPとマイクロプロセッサの組み合わせであってもよい。
本出願におけるバスは、業界標準アーキテクチャ(Industry Standard Architecture、ISA)バス、周辺構成要素相互接続(Peripheral Component Interconnect、PCI)バス、拡張業界標準アーキテクチャ(Extended Industry Standard Architecture、EISA)バスなどであってもよい。バスは、アドレスバス、データバス、制御バスなどに分類されてもよい。表現の容易さのために、本出願の添付図面におけるバスは、1つのバスまたは1つのタイプのバスに限定されない。
本出願において提供されるいくつかの実施形態において、説明されている装置の実施形態は、単なる例である。例えば、モジュール分割は、単なる論理的機能分割であり、実際の実装形態においては他の分割であってもよい。例えば、複数のモジュールもしくは構成要素が組み合わされるか、もしくは別のシステムに統合されてもよく、または、いくつかの特徴が無視されるか、もしくは実行されてなくてもよい。加えて、表示または論じられている相互結合もしくは直接結合または通信接続は、いくつかのインターフェースを介して実装されてもよい。装置間またはモジュール間の間接結合または通信接続は、電気的、機械的、または他の形態において実装されてもよい。
別個の部分として説明されているユニットは、物理的に別個であってもなくてもよく、すなわち、1つの位置において配置されてもよく、または複数のネットワークユニット上に分散されてもよい。ユニットのうちのいくつかまたはすべては、実施形態の解決策の目的を達成するために、実際の要件に基づいて選択されてもよい。
11 取得モジュール
12 完全性保護モジュール
21 受信モジュール
22 送信モジュール
23 記憶モジュール
24 完全性保護モジュール
31 受信モジュール
32 送信モジュール
33 完全性保護モジュール
41 プロセッサ
42 メモリ
43 受信機
44 送信機
51 プロセッサ
52 メモリ
53 受信機
54 送信機
61 プロセッサ
62 メモリ
63 受信機
64 送信機
400 端末デバイス
500 アクセスネットワークデバイス
600 コアネットワークデバイス

Claims (45)

  1. 端末デバイスによって、第1のメッセージをアクセスネットワークデバイスに送信するステップであって、前記第1のメッセージがセッションを確立することを要求するために使用される、ステップと、
    前記端末デバイスによって、前記アクセスネットワークデバイスから第2のメッセージを受信するステップであって、前記第2のメッセージが、前記セッションの識別子と、前記セッションに対応するデータ無線ベアラ(DRB)の識別子とを備える、ステップと、
    前記端末デバイスによって、前記セッションに対応する完全性保護アルゴリズムとキーとを使用することによって前記DRBのデータに対して完全性保護を実行するステップであって、前記第2のメッセージは、前記完全性保護アルゴリズムと前記キーと備え、または、前記完全性保護アルゴリズムおよび前記キーは事前に構成される、ステップ
    を備えるデータ完全性保護方法。
  2. 前記第2のメッセージが、
    第1の指標をさらに備え、前記第1の指標が、完全性保護機能を有効にするかどうかを示すために使用される、請求項1に記載の方法。
  3. 前記第2のメッセージがパケットデータ収束プロトコル(PDCP)層構成を備え、前記PDCP層構成が前記第1の指標を備える、請求項2に記載の方法。
  4. 前記第2のメッセージは、完全性保護位置の指標を含み、前記完全性保護位置の前記指標は、完全性保護が実行されるネットワーク要素を示すために使用される、請求項1から3のいずれか一項に記載の方法。
  5. 前記完全性保護は、無線アクセスネットワーク(RAN)側において実行され、または、前記完全性保護は、コアネットワーク(CN)側で実行され、または、前記完全性保護は、RAN側およびCN側で実行される、請求項4に記載の方法。
  6. 前記第2のメッセージが、
    第2の指標をさらに備え、前記第2の指標が、完全性保護が実行されるプロトコル層を示すために使用される、請求項1から5のいずれか一項に記載の方法。
  7. 前記完全性保護の対象がユーザプレーンデータである、請求項1から6のいずれか一項に記載の方法。
  8. 前記第2のメッセージがSDAP層構成を備え、前記SDAP層構成が前記セッションの前記識別子を備え、前記SDAP層がフローからDRBへのマッピングを処理するために使用される、請求項1から7のいずれか一項に記載の方法。
  9. 前記DRBの前記データがPDCP層データパケットである、請求項1から8のいずれか一項に記載の方法。
  10. 前記セッションは1つ以上のDRBに対応し、前記セッションが複数のDRBに対応する場合、前記複数のDRBに使用される完全性保護構成は同じであり、完全性保護構成のそれぞれは、前記完全性保護アルゴリズムおよび前記キーを含む、請求項1から9のいずれか一項に記載の方法。
  11. 第1のメッセージをアクセスネットワークデバイスに送信するように構成されたユニットまたは手段であって、前記第1のメッセージがセッションを確立することを要求するために使用される、ユニットと、
    前記アクセスネットワークデバイスから第2のメッセージを受信するように構成されたユニットまたは手段であって、前記第2のメッセージが、前記セッションの識別子と、前記セッションに対応するデータ無線ベアラ(DRB)の識別子とを備える、ユニットと、
    全性保護アルゴリズムとキーとを使用することによって前記DRBのデータに対して完全性保護を実行するように構成されたユニットであって、前記第2のメッセージは、前記完全性保護アルゴリズムと前記キーと備え、または、前記完全性保護アルゴリズムおよび前記キーは事前に構成される、ユニット
    を備える通信装置。
  12. 前記第2のメッセージが、
    第1の指標をさらに備え、前記第1の指標が、完全性保護機能を有効にするかどうかを示すために使用される、請求項11に記載の装置。
  13. 前記第2のメッセージがパケットデータ収束プロトコル(PDCP)層構成を備え、前記PDCP層構成が前記第1の指標を備える、請求項12に記載の装置。
  14. 前記第2のメッセージは、完全性保護位置の指標を含み、前記完全性保護位置の前記指標は、完全性保護が実行されるネットワーク要素を示すために使用される、請求項11から13のいずれか一項に記載の装置。
  15. 前記完全性保護は、無線アクセスネットワーク(RAN)側において実行され、または、前記完全性保護は、コアネットワーク(CN)側で実行され、または、前記完全性保護は、RAN側およびCN側で実行される、請求項14に記載の装置。
  16. 前記第2のメッセージが、
    第2の指標をさらに備え、前記第2の指標が、完全性保護が実行されるプロトコル層を示すために使用される、請求項11から15のいずれか一項に記載の装置。
  17. 前記完全性保護の対象がユーザプレーンデータである、請求項11から16のいずれか一項に記載の装置。
  18. 前記第2のメッセージがSDAP層構成を備え、前記SDAP層構成が前記セッションの前記識別子を備え、前記SDAP層がフローからDRBへのマッピングを処理するために使用される、請求項11から17のいずれか一項に記載の装置。
  19. 前記DRBの前記データがPDCP層データパケットである、請求項11から18のいずれか一項に記載の装置。
  20. 前記セッションは1つ以上のDRBに対応し、前記セッションが複数のDRBに対応する場合、前記複数のDRBに使用される完全性保護構成は同じであり、完全性保護構成のそれぞれは、前記完全性保護アルゴリズムおよび前記キーを含む、請求項11から19のいずれか一項に記載の装置。
  21. メモリに接続され、請求項1から10のいずれか一項に記載の方法を実施するために前記メモリ内に記憶されたプログラムを読み出して実行するように構成されたプロセッサを備える通信装置。
  22. 請求項11から20のいずれか一項に記載の装置を備える端末デバイス。
  23. プログラムを備え、前記プログラムは、端末デバイスにおけるプロセッサによって呼び出されると、請求項1から10のいずれか一項に記載の方法を前記端末デバイスに実行させる、コンピュータ可読記憶媒体。
  24. アクセスネットワークデバイスによって、端末デバイスから第1のメッセージを受信するステップであって、前記第1のメッセージがセッションを確立することを要求するために使用される、ステップと、
    前記アクセスネットワークデバイスによって、第2のメッセージを前記端末デバイスに送信するステップであって、前記第2のメッセージが、前記セッションの識別子と、前記セッションに対応するデータ無線ベアラ(DRB)の識別子と、前記セッションに対応する完全性保護アルゴリズムおよびキーとを備え、前記完全性保護アルゴリズムおよび前記キーが前記DRBのデータに対して完全性保護を実行するために使用される、ステップと
    を備えるデータ完全性保護方法。
  25. 前記第2のメッセージが、
    第1の指標をさらに備え、前記第1の指標が、完全性保護機能を有効にするかどうかを示すために使用される、請求項24に記載の方法。
  26. コアネットワークデバイスから前記第1の指標を受信するステップをさらに備える、請求項25に記載の方法。
  27. 前記第2のメッセージがパケットデータ収束プロトコル(PDCP)層構成を備え、前記PDCP層構成が前記第1の指標を備える、請求項25または26に記載の方法。
  28. 前記第2のメッセージが、
    第2の指標をさらに備え、前記第2の指標が、完全性保護が実行されるプロトコル層を示すために使用される、請求項24から27のいずれか一項に記載の方法。
  29. 前記完全性保護の対象がユーザプレーンデータである、請求項24から28のいずれか一項に記載の方法。
  30. 前記第2のメッセージがSDAP層構成を備え、前記SDAP層構成が前記セッションの前記識別子を備え、前記SDAP層がフローからDRBへのマッピングを処理するために使用される、請求項24から29のいずれか一項に記載の方法。
  31. 端末デバイスから第1のメッセージを受信するように構成されたユニットであって、前記第1のメッセージがセッションを確立することを要求するために使用される、ユニットと、
    第2のメッセージを前記端末デバイスに送信するように構成されたユニットであって、前記第2のメッセージが、前記セッションの識別子と、前記セッションに対応するデータ無線ベアラ(DRB)の識別子と、前記セッションに対応する完全性保護アルゴリズムおよびキーとを備え、前記完全性保護アルゴリズムおよび前記キーが前記DRBのデータに対して完全性保護を実行するために使用される、ユニットと
    を備える通信装置。
  32. 前記第2のメッセージが、
    第1の指標をさらに備え、前記第1の指標が、完全性保護機能を有効にするかどうかを示すために使用される、請求項31に記載の装置。
  33. コアネットワークデバイスから前記第1の指標を受信するように構成されたユニットをさらに備える、請求項32に記載の装置。
  34. 前記第2のメッセージがパケットデータ収束プロトコル(PDCP)層構成を備え、前記PDCP層構成が前記第1の指標を備える、請求項32または33に記載の装置。
  35. 前記第2のメッセージが、
    第2の指標をさらに備え、前記第2の指標が、完全性保護が実行されるプロトコル層を示すために使用される、請求項31から34のいずれか一項に記載の装置。
  36. 前記完全性保護の対象がユーザプレーンデータである、請求項31から35のいずれか一項に記載の装置。
  37. 前記第2のメッセージがSDAP層構成を備え、前記SDAP層構成が前記セッションの前記識別子を備え、前記SDAP層がフローからDRBへのマッピングを処理するために使用される、請求項31から36のいずれか一項に記載の装置。
  38. メモリに接続され、請求項24から30のいずれか一項に記載の方法を実施するために前記メモリ内に記憶されたプログラムを読み出して実行するように構成されたプロセッサを備える通信装置。
  39. 請求項31から37のいずれか一項に記載の装置を備えるアクセスネットワークデバイス。
  40. プログラムを備え、前記プログラムは、アクセスネットワークデバイスにおけるプロセッサによって呼び出されると、請求項24から30のいずれか一項に記載の方法を前記アクセスネットワークデバイスに実行させる、コンピュータ可読記憶媒体。
  41. コアネットワークデバイスによってアクセスネットワークデバイスから、セッションを確立することを要求するために使用される情報を受信するステップと、
    前記コアネットワークデバイスによって前記アクセスネットワークデバイスに、前記セッションのためのリソースを準備するように前記アクセスネットワークデバイスに要求するために使用されるメッセージを送信するステップであって、前記メッセージが、前記セッションの識別子と第1の指標とを備え、前記第1の指標が、完全性保護機能を有効化するかどうかを示すために使用される、ステップと
    を備えるデータ完全性保護方法。
  42. アクセスネットワークデバイスから、セッションを確立することを要求するために使用される情報を受信するように構成されたユニットと、
    前記アクセスネットワークデバイスに、前記セッションのためのリソースを準備するように前記アクセスネットワークデバイスに要求するために使用されるメッセージを送信するように構成されたユニットであって、前記メッセージが、前記セッションの識別子と第1の指標とを備え、前記第1の指標が、完全性保護機能を有効化するかどうかを示すために使用される、ユニットと
    を備えるコアネットワークデバイス。
  43. メモリに接続され、請求項41に記載の方法を実施するために前記メモリ内に記憶されたプログラムを読み出して実行するように構成されたプロセッサを備えるコアネットワークデバイス。
  44. プログラムを備え、前記プログラムは、コアネットワークデバイスにおけるプロセッサによって呼び出されると、請求項41に記載の方法を前記コアネットワークデバイスに実行させる、コンピュータ可読記憶媒体。
  45. 請求項24から30のいずれか一項に記載の方法を実行するように構成されたアクセスネットワークデバイスと、請求項41に記載の方法を実行するように構成されたコアネットワークデバイスとを備える通信システム。
JP2020508031A 2017-08-11 2018-08-10 データ完全性保護方法および装置 Active JP6978586B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201710686855.8A CN109391603B (zh) 2017-08-11 2017-08-11 数据完整性保护方法和装置
CN201710686855.8 2017-08-11
PCT/CN2018/099916 WO2019029691A1 (zh) 2017-08-11 2018-08-10 数据完整性保护方法和装置

Publications (2)

Publication Number Publication Date
JP2020530721A JP2020530721A (ja) 2020-10-22
JP6978586B2 true JP6978586B2 (ja) 2021-12-08

Family

ID=64983156

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020508031A Active JP6978586B2 (ja) 2017-08-11 2018-08-10 データ完全性保護方法および装置

Country Status (8)

Country Link
US (2) US11025645B2 (ja)
EP (2) EP3585082B1 (ja)
JP (1) JP6978586B2 (ja)
KR (1) KR102282122B1 (ja)
CN (3) CN109218325B (ja)
AU (1) AU2018315349B2 (ja)
RU (1) RU2767778C2 (ja)
WO (1) WO2019029691A1 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2017439007A1 (en) * 2017-11-08 2020-05-28 Guangdong Oppo Mobile Telecommunications Corp., Ltd. Integrity protection control method, network device and computer storage medium
WO2020088819A1 (en) * 2018-11-01 2020-05-07 Telefonaktiebolaget Lm Ericsson (Publ) Handling of reestablishment failure ambiguity
CN113748695B (zh) * 2019-02-28 2023-11-10 瑞典爱立信有限公司 提供对紧急会话的管理的方法以及相关设备和节点
CN111669750B (zh) * 2019-03-07 2021-08-03 华为技术有限公司 一种pdu会话二次验证的方法及装置
GB2582827A (en) * 2019-04-05 2020-10-07 Nec Corp Communication system
CN111988782B (zh) * 2019-05-23 2022-04-12 华为技术有限公司 安全会话方法和装置
CN110366049B (zh) * 2019-08-05 2021-03-23 杭州当虹科技股份有限公司 一种流式视频完整性保护方法
CN113038604B (zh) * 2019-12-24 2023-03-21 中国电信股份有限公司 无线资源配置方法、装置和系统、基站
CN111163471B (zh) * 2019-12-26 2021-02-19 北京微智信业科技有限公司 业务数据完整性保护方法、装置、设备及存储介质
WO2021195894A1 (zh) * 2020-03-30 2021-10-07 Oppo广东移动通信有限公司 完整性保护方法和通信设备
WO2021196167A1 (zh) * 2020-04-03 2021-10-07 Oppo广东移动通信有限公司 信息处理方法、装置、设备及存储介质
EP4187963A4 (en) * 2020-08-10 2023-08-23 Huawei Technologies Co., Ltd. COMMUNICATION METHOD AND APPARATUS
CN114867020A (zh) * 2021-02-04 2022-08-05 维沃移动通信有限公司 完整性保护方法、装置及通信设备

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050086477A1 (en) * 2003-10-16 2005-04-21 Taiwan Semiconductor Manufacturing Co. Integrate PGP and Lotus Notes to encrypt / decrypt email
US7477749B2 (en) * 2004-05-12 2009-01-13 Nokia Corporation Integrity protection of streamed content
CN101001252A (zh) * 2006-06-25 2007-07-18 华为技术有限公司 一种注册方法和一种用户面安全算法的协商方法及装置
CN101222322B (zh) * 2008-01-24 2010-06-16 中兴通讯股份有限公司 一种超级移动宽带系统中安全能力协商的方法
KR101674947B1 (ko) * 2009-04-21 2016-11-10 엘지전자 주식회사 효율적인 보안 관련 처리
CN102036256B (zh) * 2009-09-28 2013-03-20 华为技术有限公司 数据传输方法、装置及系统
CN102098676B (zh) * 2010-01-04 2015-08-12 电信科学技术研究院 一种实现完整性保护的方法、装置和系统
KR101831448B1 (ko) * 2010-02-02 2018-02-26 엘지전자 주식회사 이동 통신 시스템에서 pdcp 기능을 선택적으로 적용하는 방법
CN101860863A (zh) * 2010-05-21 2010-10-13 中国科学院软件研究所 一种增强的加密及完整性保护方法
JP2012044325A (ja) * 2010-08-16 2012-03-01 Ntt Docomo Inc 移動通信方法及び無線基地局
US9226158B2 (en) * 2010-10-29 2015-12-29 Nokia Solutions And Networks Oy Security of user plane traffic between relay node and radio access network
CN102487507B (zh) * 2010-12-01 2016-01-20 中兴通讯股份有限公司 一种实现完整性保护的方法及系统
DK2649740T3 (en) * 2010-12-10 2015-03-23 Ericsson Telefon Ab L M ENABLE AND DISABLE INTEGRITY PROTECTION FOR DATA CARRIERS
CN102448058B (zh) * 2011-01-10 2014-04-30 华为技术有限公司 一种Un接口上的数据保护方法与装置
CN102595390B (zh) * 2011-01-18 2019-04-05 中兴通讯股份有限公司 一种安全模式的配置方法和终端
CN108566685B (zh) * 2012-06-08 2021-11-30 华为技术有限公司 基站、用户设备及通信方法
JP5993098B2 (ja) * 2013-01-11 2016-09-14 エルジー エレクトロニクス インコーポレイティド 無線通信システムにおけるセキュリティ情報を適用するための方法及び装置
WO2014201160A1 (en) * 2013-06-11 2014-12-18 Huawei Technologies Co., Ltd. System and method for coordinated remote control of network radio nodes and core network elements
WO2015037926A1 (en) * 2013-09-11 2015-03-19 Samsung Electronics Co., Ltd. Method and system to enable secure communication for inter-enb transmission
KR102272838B1 (ko) * 2014-11-11 2021-07-06 삼성전자주식회사 이동통신 네트워크를 통한 데이터 서비스 제공 방법 및 장치
CN105704753B (zh) * 2014-11-26 2018-09-07 电信科学技术研究院 一种进行数据传输的方法、系统和设备
WO2016159841A1 (en) * 2015-03-31 2016-10-06 Telefonaktiebolaget Lm Ericsson (Publ) Service continuity
WO2016162502A1 (en) * 2015-04-08 2016-10-13 Telefonaktiebolaget Lm Ericsson (Publ) Method, apparatus, and system for providing encryption or integrity protection in a wireless network
CN106797562B (zh) * 2015-08-13 2019-04-26 华为技术有限公司 一种消息保护的方法、相关设备以及系统
US10582522B2 (en) * 2015-09-04 2020-03-03 Lg Electronics Inc. Data transmission and reception method and device of terminal in wireless communication system
CN107027117A (zh) * 2016-02-02 2017-08-08 普天信息技术有限公司 一种动态生成根密钥的方法
EP3536095A1 (en) * 2016-11-04 2019-09-11 Telefonaktiebolaget LM Ericsson (publ) Reflective mapping of flows to radio bearers
EP3550876A4 (en) * 2016-12-29 2019-11-20 LG Electronics Inc. -1- METHOD AND APPARATUS FOR DRB ESTABLISHMENT
CN115278658B (zh) * 2017-01-30 2026-03-17 瑞典爱立信有限公司 针对用户平面数据的完整性保护的方法
US10123210B2 (en) * 2017-03-17 2018-11-06 Nokia Of America Corporation System and method for dynamic activation and deactivation of user plane integrity in wireless networks
KR102359746B1 (ko) * 2017-06-05 2022-02-10 삼성전자 주식회사 차세대 이동통신 시스템에서 인액티브 모드 단말이 데이터를 전송하는 방법 및 장치
KR102394123B1 (ko) * 2017-06-16 2022-05-04 삼성전자 주식회사 차세대 이동 통신 시스템에서 복수 개의 스케쥴링 요청을 전송하는 방법 및 장치
EP3435700B1 (en) * 2017-07-24 2020-09-16 ASUSTek Computer Inc. Method and apparatus for serving quality of service (qos) flow in a wireless communication system
EP3469830B1 (en) * 2017-08-10 2021-05-26 LG Electronics Inc. Method for performing a re-establishment of a pdcp entity associated with um rlc entity in wireless communication system and a device therefor

Also Published As

Publication number Publication date
RU2020110041A (ru) 2021-09-13
AU2018315349B2 (en) 2021-03-25
CN109218325A (zh) 2019-01-15
EP3585082A1 (en) 2019-12-25
BR112020002766A2 (pt) 2020-07-28
EP3934300C0 (en) 2024-12-04
AU2018315349A1 (en) 2020-03-19
WO2019029691A1 (zh) 2019-02-14
CN109391603A (zh) 2019-02-26
CN109391603B (zh) 2021-07-09
US20190372995A1 (en) 2019-12-05
CN110999347B (zh) 2025-06-17
KR20200036018A (ko) 2020-04-06
EP3585082B1 (en) 2021-05-26
CN109218325B (zh) 2020-03-10
US11025645B2 (en) 2021-06-01
EP3934300B1 (en) 2024-12-04
CN110999347A (zh) 2020-04-10
JP2020530721A (ja) 2020-10-22
US11818139B2 (en) 2023-11-14
KR102282122B1 (ko) 2021-07-26
EP3934300A1 (en) 2022-01-05
RU2020110041A3 (ja) 2021-10-15
EP3585082A4 (en) 2020-01-22
RU2767778C2 (ru) 2022-03-21
US20210352082A1 (en) 2021-11-11

Similar Documents

Publication Publication Date Title
JP6978586B2 (ja) データ完全性保護方法および装置
EP3820181B1 (en) Secure conversation method and device
JP5793812B2 (ja) データオフロードをトリガするための方法、ネットワーク側デバイス、ユーザ機器、およびネットワークシステム
CN106470419B (zh) 一种ue的接入、切换和加密控制的方法与设备
US11290926B2 (en) Discovering handover capabilities of a mobile communication network
CN109246696B (zh) 密钥处理方法以及相关装置
CN110505714A (zh) 多链接通信方法、设备和终端
JP6676781B2 (ja) 通信サービスを提供するための方法及び通信ネットワークコンポーネント
WO2021254172A1 (zh) 一种通信方法以及相关装置
CN106470397B (zh) WiFi网络中获取终端位置的方法、终端、LTE通信设备及系统
CN108605218B (zh) 通知方法、通知装置及系统
BR122025003875A2 (pt) Método de proteção de integridade de dados, aparelho de comunicação, dispositivo terminal, dispositivo de rede de acesso, dispositivo de núcleo de rede, mídia legível por computador, e sistema de comunicação
BR112020002766B1 (pt) Método de proteção de integridade de dados, aparelho de comunicação, dispositivo terminal, dispositivo de rede de acesso, dispositivo de núcleo de rede, mídia legível por computador, e sistema de comunicação
BR122025003875B1 (pt) Método de proteção de integridade de dados, aparelho de comunicação, dispositivo terminal, dispositivo de rede de acesso, dispositivo de núcleo de rede, mídia legível por computador, e sistema de comunicação
CN109525979B (zh) 一种上下文信息管理方法及装置
WO2023160390A1 (zh) 通信方法与装置
CN116235515A (zh) 对用于边缘计算的用户同意的安全保护

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200410

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210909

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211025

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211111

R150 Certificate of patent or registration of utility model

Ref document number: 6978586

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250