在核心网络中的网络功能处的系统信息保护技术方案

描述了用于无线通信的方法、系统和设备。可以在网络中的上游在更安全的位置处维护私钥。例如，当需要签名时，基站可以向核心网络内的签名功能发送签名请求，并且可以发送要被保护的系统信息(SI)。签名功能可以使用私钥来生成用于SI的签名并且将签名返回基站。基站可以向该基站的覆盖区域内的用户设备(UE)发送SI和签名。UE可以获得与私钥相对应的公钥，并且可以使用公钥来验证用于SI的签名是有效的并且来自基站。公钥以及因此签名可以对应于特定的跟踪区域。的跟踪区域。的跟踪区域。

【技术实现步骤摘要】
【国外来华专利技术】在核心网络中的网络功能处的系统信息保护
[0001]交叉引用
[0002]本专利申请要求享受以下申请的权益：由LEE等人于2019年10月11日提交的、名称为“SYSTEM INFORMATION PROTECTION AT A NETWORK FUNCTION IN THE CORE NETWORK”的美国临时专利申请No.62/914,335；以及由LEE等人于2020年10月8日提交的、名称为“SYSTEM INFORMATION PROTECTION AT A NETWORK FUNCTION IN THE CORE NETWORK”的美国专利申请No.17/066,014；上述申请被转让给本申请的受让人。


[0003]概括而言，下文涉及无线通信，并且更具体地，下文涉及在核心网络中的网络功能(NF)处的系统信息(SI)保护。

技术介绍

[0004]无线通信系统被广泛地部署以提供诸如语音、视频、分组数据、消息传送、广播等各种类型的通信内容。这些系统能够通过共享可用的系统资源(例如，时间、频率和功率)来支持与多个用户的通信。这样的多址系统的示例包括第四代(4G)系统(例如，长期演进(LTE)系统、改进的LTE(LTE
‑
A)系统或LTE
‑
A Pro系统)和第五代(5G)系统(其可以被称为新无线电(NR)系统)。这些系统可以采用诸如以下各项的技术：码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交频分多址(OFDMA)或者离散傅里叶变换扩频正交频分复用(DFT
‑
S
‑
OFDM)。无线多址通信系统可以包括一个或多个基站或一个或多个网络接入节点，每个基站或网络接入节点同时支持针对多个通信设备(其可以另外被称为用户设备(UE))的通信。
[0005]在一些无线通信系统中，网络实体可以利用一个或多个安全密钥来促进跨越网络的安全通信(例如，在UE和基站之间)。可以根据多个参数或密钥推导函数(KDF)来推导安全密钥。在建立和使用安全密钥之前，可以从基站向UE发送系统信息(SI)，以向UE提供关于系统和基站的信息，以使得能够进行后续通信(例如，用于建立用于安全通信的连接的信令)。然而，该SI在被发送给UE时可能不受保护(例如，SI是未被加密的)，使得攻击者有机会充当基站并且向UE提供虚假信息，从而影响UE与网络建立连接的能力(例如，作为拒绝服务(DoS)攻击的一部分)。

技术实现思路

[0006]所描述的技术涉及支持在核心网络中的网络功能(NF)处的系统信息(SI)保护的改进的方法、系统、设备和装置。概括而言，所描述的技术规定在网络节点处(例如，在核心网络中的软件中虚拟地实现的签名NF处)存储私钥
‑
公钥对，用户设备(UE)可以使用该私钥
‑
公钥对来验证已经由基站发送的SI消息(例如，SI块(SIB)、安全SIB、主信息块(MIB)等)的签名。在一些情况下，基站可以向网络节点(例如，核心网络节点)发送包括SI的签名请求，并且可以从网络节点接收签名响应，该签名响应包括基于SI而生成的签名(例如，对应
于公钥
‑
私钥对)。随后，基站可以发送包括SI和所生成的签名的SI消息(例如，经由广播消息)。在接收SI消息之前，可以在UE向网络注册时经由接入和移动性管理功能(AMF)向其提供由网络节点生成的一个或多个公钥。因此，当在UE处检测到并且接收到SI消息时，UE可以使用所提供的公钥来验证签名并且确定接收到的SI消息是由基站(例如，而不是黑客、攻击者、假基站等)发送的。
[0007]在一些情况下，基站可以向网络节点发送批量签名请求，其请求针对给定时间的多个签名(例如，基于时间的签名)。另外或替代地，批量签名请求可以包括新鲜度参数(例如，新近度参数、系统帧号(SFN)等)，其中签名是在网络节点处基于新鲜度参数来生成的(例如，基于所请求的SFN来提供签名)。在一些情况下，基站可以连续地从网络节点接收经更新的签名，或者当在基站处改变SI消息时可以请求新签名。另外，公钥可以包括与跟踪区域(例如，针对网络的公钥在其中有效的地理区域)相对应的密钥标识符(ID)。因此，当UE向网络注册时，网络节点可以向UE提供密钥ID和对应公钥的元组(例如，经由注册接受消息)，以使UE能够验证由基站广播的SI消息和签名以及密钥ID。因此，(例如，由网络节点、核心网络节点、签名NF等)提供给基站的签名消息也可以携带密钥ID，以使基站能够将密钥ID连同SI消息和签名一起广播。在一些情况下，可以向AMF提供与相邻跟踪区域相对应的多个公钥，使得如果UE进入新的跟踪区域，则UE可以验证SI消息，而不必须接收新的公钥。
[0008]描述了一种由基站进行无线通信的方法。所述方法可以包括：向网络节点发送包括SI的签名请求；从所述网络节点接收签名响应，所述签名响应包括基于所述SI而生成的签名；以及发送包括所述SI和所述签名的SI消息。
[0009]描述了一种用于由基站进行无线通信的装置。所述装置可以包括处理器、与所述处理器耦合的存储器、以及被存储在所述存储器中的指令。所述指令可以是可由所述处理器执行以使得所述装置进行以下操作：向网络节点发送包括SI的签名请求；从所述网络节点接收签名响应，所述签名响应包括基于所述SI而生成的签名；以及发送包括所述SI和所述签名的SI消息。
[0010]描述了另一种用于由基站进行无线通信的装置。所述装置可以包括用于进行以下操作的单元：向网络节点发送包括SI的签名请求；从所述网络节点接收签名响应，所述签名响应包括基于所述SI而生成的签名；以及发送包括所述SI和所述签名的SI消息。
[0011]描述了一种存储用于由基站进行无线通信的代码的非暂时性计算机可读介质。所述代码可以包括可由处理器执行以进行以下操作的指令：向网络节点发送包括SI的签名请求；从所述网络节点接收签名响应，所述签名响应包括基于所述SI而生成的签名；以及发送包括所述SI和所述签名的SI消息。
[0012]在本文描述的方法、装置和非暂时性计算机可读介质的一些示例中，发送所述签名请求可以包括用于以下项的操作、特征、单元或指令：发送包括所述SI和主信息的所述签名请求，其中，所述签名可以是基于所述SI和所述主信息来生成的。
[0013]本文描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于以下项的操作、特征、单元或指令：发送所述SI消息，所述SI消息指示与用于生成所述签名的第一私钥相对应的公钥的ID。
[0014]本文描述的方法、装置和非暂时性计算机可读介质的一些示例还可以包括用于以下各项的操作、特征、单元或指令：向所述网络节点发送包括经更新的SI的第二签名请求；
从所述网络节点接收签名响应，所述签名响应包括基于所述经更新的SI而生成的第二签名；以及发送包括所述经更新的SI和所述第二签名的SI消息。
[0015]本文描述的方法、装置和非暂时性计算机可本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于由基站进行无线通信的方法，包括：向网络节点发送包括系统信息的签名请求；从所述网络节点接收签名响应，所述签名响应包括至少部分地基于所述系统信息而生成的签名；以及发送包括所述系统信息和所述签名的系统信息消息。2.根据权利要求1所述的方法，其中，发送所述签名请求包括：发送包括所述系统信息和主信息的所述签名请求，其中，所述签名是至少部分地基于所述系统信息和所述主信息来生成的。3.根据权利要求1所述的方法，还包括：发送所述系统信息消息，所述系统信息消息指示与用于生成所述签名的第一私钥相对应的公钥的标识符。4.根据权利要求1所述的方法，还包括：向所述网络节点发送包括经更新的系统信息的第二签名请求；从所述网络节点接收签名响应，所述签名响应包括至少部分地基于所述经更新的系统信息而生成的第二签名；以及发送包括所述经更新的系统信息和所述第二签名的系统信息消息。5.根据权利要求1所述的方法，还包括：从用户设备(UE)接收注册请求；向提供接入和移动性管理功能(AMF)的网络节点发送所述注册请求；从所述网络节点接收注册响应，所述注册响应包括与用于生成所述签名的第一私钥相对应的第一公钥；以及向所述UE发送所述注册响应。6.根据权利要求5所述的方法，其中，发送所述注册响应包括：发送包括用于所述第一公钥的第一跟踪区域的所述注册响应。7.根据权利要求6所述的方法，其中，发送所述注册响应包括：发送所述注册响应，所述注册响应指示用于相对于所述第一跟踪区域而地理定位的第二跟踪区域的第二公钥，所述第二公钥与用于生成用于在所述第二跟踪区域内发送的第二系统信息的第二签名的第二私钥相对应。8.根据权利要求5所述的方法，其中，接收所述注册请求包括：从用户设备(UE)接收指示所述UE已经进入新的跟踪区域的移动性注册更新请求。9.根据权利要求1所述的方法，其中，发送所述签名请求包括：发送所述签名请求以请求针对时间范围和时间增量间隔的多个签名。10.根据权利要求9所述的方法，其中，接收所述签名响应包括：接收包括所述多个签名的所述签名响应。11.根据权利要求9所述的方法，其中，接收所述签名响应包括：接收多个签名响应，所述多个签名响应各自包括所述多个签名中的一个或多个签名的子集。12.根据权利要求11所述的方法，其中，所述子集中的每个子集与所述时间范围内的相应的时间增量间隔相对应。
13.根据权利要求1所述的方法，其中，发送所述签名请求包括：发送所述签名请求，所述签名请求指示子帧增量间隔并且请求与在起始子帧号和结束子帧号之间的子帧号范围相对应的多个签名。14.根据权利要求13所述的方法，其中，接收所述签名响应包括：接收包括所述多个签名的所述签名响应。15.根据权利要求13所述的方法，其中，接收所述签名响应包括：接收多个签名响应，所述多个签名响应各自包括所述多个签名中的一个或多个签名的...

【专利技术属性】
技术研发人员：S，
申请(专利权)人：高通股份有限公司，
类型：发明
国别省市：