较细粒度用户平面安全性策略配置制造技术

本发明专利技术涉及系统、装置、方法和程序产品，用以提供以下粒度级别下的用户平面(UP)安全性策略：按协议数据单元(PDU)会话内的数据无线电承载(DRB)或者按该PDU会话的一个或多个DRB内的服务质量(QoS)流。内的服务质量(QoS)流。内的服务质量(QoS)流。

【技术实现步骤摘要】
【国外来华专利技术】较细粒度用户平面安全性策略配置


[0001]本专利申请整体涉及无线通信系统，并且更具体地涉及用户平面通信流量的安全性保护。

技术介绍

[0002]无线移动通信技术使用各种标准和协议以在基站和无线移动设备之间传输数据。无线通信系统标准和协议可包括第3代合作伙伴计划(3GPP)长期演进(LTE)(例如，4G)或新空口(NR)(例如，5G)；电气和电子工程师协会(IEEE)802.16标准，该标准通常被行业组织称为全球微波接入互操作(WiMAX)；和用于无线局域网络(WLAN)的IEEE 802.11标准，该标准通常被行业组织称为Wi
‑
Fi。在LTE系统中的3GPP无线电接入网(RAN)中，基站可包括RAN节点诸如演进通用陆地无线电接入网(E
‑
UTRAN)节点B(也通常表示为演进节点B、增强型节点B、eNodeB或eNB)和/或E
‑
UTRAN中的无线电网络控制器(RNC)，该基站与被称为用户装备(UE)的无线通信设备进行通信。在第五代(5G)无线RAN中，RAN节点可包括5G节点、NR节点(也称为下一代节点B或g NodeB(gNB))。下一代eNB(ng
‑
eNB)是增强型4G eNB，该增强型4G eNB经由下一代(NG)接口连接到5C核心网，但仍然使用4G LTE空中接口来与5G UE进行通信。因此，gNB和ng
‑
eNB两者都使用面向5G核心的NG接口，但使用面向UE的不同无线电接口。gNB和ng
‑
eNB可以经由Xn接口链接在一起。
[0003]RAN使用无线电接入技术(RAT)在RAN节点与UE之间进行通信。RAN可包括全球移动通信系统(GSM)、增强型数据速率GSM演进(EDGE)RAN(GERAN)、通用陆地无线电接入网(UTRAN)和/或E
‑
UTRAN，该RNA通过核心网提供对通信服务的接入。RAN中的每个RAN根据特定3GPP RAT操作。例如，GERAN实现GSM和/或EDGE RAT，UTRAN实现通用移动通信系统(UMTS)RAT或其他3GPP RAT，E
‑
UTRAN实现LTE RAT，并且NG
‑
RAN实现5G RAT。在某些部署中，E
‑
UTRAN还可实施5G RAT。
附图说明
[0004]为了容易地识别对任何特定元件或动作的讨论，参考标号中的一个或多个最高有效数位是指首先引入该元件的附图编号。
[0005]图1示出了示出示例性PDU会话的框图。
[0006]图2示出了根据一个实施方案的PDU会话中的示例性UP策略配置的调用流程。
[0007]图3示出了根据一个实施方案的QoS流级别UP安全性策略的SMF配置的调用流程。
[0008]图4示出了根据一个实施方案的承载级别UP安全性策略的SMF配置的调用流程。
[0009]图5示出了根据一个实施方案的承载级别UP安全性策略的(R)AN配置的调用流程。
[0010]图6示出了根据一个实施方案的QoS流级别UP安全性策略的(R)AN配置的调用流程。
[0011]图7示出了根据某些实施方案的示例性的基于服务的架构。
[0012]图8示出了根据一个实施方案的基础设施装备。
[0013]图9示出了根据一个实施方案的平台。
[0014]图10示出了根据一个实施方案的示例性接口。
[0015]图11示出了根据一个实施方案的部件。
具体实施方式
[0016]5G通信系统包括UE与gNB之间的用户平面(UP)的完整性保护。完整性保护可能对资源有高要求，而并非所有UE都能够以全数据速率对其提供支持。因此，5G系统可以允许较精细级别的UP安全性策略配置，以确保那些能力受限UE可以实现UP IP。例如，如果UE指示每秒64千位(kbps)作为其最大数据速率用于受完整性保护的通信流量，则网络可以仅针对其中预期数据速率不超过64kbps极限的UP连接开启完整性保护。然而，当前的具体实施将相同的UP安全性策略应用于同一协议数据单元(PDU)会话中的每个数据无线电承载(DRB)。UP安全性策略指示是否针对属于PDU会话的DRB激活了UP保密性和/或UP完整性保护。响应于UP保密性和/或UP完整性保护被激活，gNB和UE可以生成或更新UP加密密钥和/或UP完整性保护密钥，并且针对相应的PDU会话激活UP加密和/或UP完整性保护。
[0017]举例来说，图1是示出由UE 104、gNB 106和5G核心网建立的PDU会话102的框图100。在LTE中，在承载级别实施服务质量(QoS)，并且存在针对DRB(UE到eNB)、S1
‑
U通用分组无线电服务(GPRS)隧道协议(GTP)
‑
U隧道(eNB到S
‑
GW)和S5
‑
U隧道(S
‑
GW到P
‑
GW)之间的演进分组系统(EPS)承载的一对一关系。在5G系统中，在QoS流级别实施QoS。在5G核心网中，如图1所示，用户平面网络功能(示出为UPF108)可以被配置用于在gNB 106与5GC之间传输数据。在5G系统中，在N3 GTP
‑
U隧道110与空中接口上的DRB(三个示例示出为DRB 112、DRB 114和DRB 116)之间存在一对多关系。DRB可以传输一个或多个QoS流(例如，QoS流118、QoS流120、QoS流122、QoS流124)。N3上的每个QoS流映射到单个GTP
‑
U隧道。gNB 106可将各个QoS流映射到一个或多个DRB。在例示的示例中，QoS流118被映射到112，QoS流120和QoS流122被映射到DRB 114，并且QoS流124被映射到DRB 116。因此，PDU会话102包括多个QoS流、若干DRB和单个N3 GTP
‑
U隧道。
[0018]在当前的5G系统中，UP安全性策略仅由网络决定并从会话管理功能(SMF)发送到gNB或ng
‑
eNB。例如，3GPP技术规范(TS)23.502和TS 33.501指示在PDU会话建立过程期间SMF向ng
‑
eNB/gNB提供针对PDU会话的UP安全性策略。根据接收到的UP安全性策略，ng
‑
eNB/gNB使用无线电资源控制(RRC)信令来按每个DRB激活UP保密性和/或UP完整性保护。即使ng
‑
eNB/gNB按DRB激活UP安全性策略，由于来自SMF的UP安全性策略在PDU会话粒度下，因此同一PDU会话中的每个DRB仍将具有相同的UP安全性策略。
[0019]如上所指出，UE可以具有两种不同种类的用户平面完整性保护(UP IP)能力数据速率：64kbps和全数据速率。在某些实施方案中，UE可以向网络发送UE能力消本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算机可读存储介质，所述计算机可读存储介质包括指令，所述指令当由基站的处理器执行时使所述处理器：执行与用户装备(UE)和无线通信系统的核心网的协议数据单元(PDU)会话建立过程；在所述PDU会话建立过程中，处理来自所述核心网的网络功能的用户平面(UP)安全性策略以确定所述UP安全性策略的粒度级别；针对所述UE生成无线电资源配置(RRC)连接重新配置消息，所述RRC连接重新配置消息包括基于所述UP安全性策略的所述粒度级别配置的UP完整性和加密指示；以及根据所述UP安全性策略将安全性保护应用于与所述UE的子集UP通信流量。2.根据权利要求1所述的计算机可读存储介质，其中至少部分地基于所述UP安全性策略的所述粒度级别，所述UP通信流量的一部分在没有所述安全性保护的情况下进行传送。3.根据权利要求1或权利要求2所述的计算机可读存储介质，其中确定所述UP安全性策略的所述粒度级别包括：确定来自所述网络功能的所述UP安全性策略是按PDU会话、按所述PDU会话内的数据无线电承载(DRB)，或按所述PDU会话的一个或多个DRB内的服务质量(QoS)流。4.根据权利要求3所述的计算机可读存储介质，其中所述指令进一步将所述处理器配置为：针对所述UE配置DRB级别UP安全性策略。5.根据权利要求4所述的计算机可读存储介质，其中所述指令进一步将所述处理器配置为：当来自所述网络功能的所述UP安全性策略是按PDU会话时，针对所述PDU会话的所述一个或多个DRB中的每一个DRB配置所述UP完整性和加密指示。6.根据权利要求4所述的计算机可读存储介质，其中所述指令进一步将所述处理器配置为：当来自所述网络功能的所述UP安全性策略是按所述PDU会话内的DRB时，利用第一UP完整性和加密指示配置第一DRB并且利用第二UP完整性和加密指示配置第二DRB。7.根据权利要求4所述的计算机可读存储介质，其中所述指令进一步将所述处理器配置为：当来自所述网络功能的所述UP安全性策略是按QoS流时，将每个QoS流映射到所述PDU会话的所述一个或多个DRB，以及利用第一UP完整性和加密指示配置第一DRB并且利用第二UP完整性和加密指示配置第二DRB。8.根据权利要求7所述的计算机可读存储介质，其中所述指令进一步将所述处理器配置为：根据来自所述网络功能的所述UP安全性策略，针对所述PDU会话的所述一个或多个DRB中的每一个DRB确定相应的UP安全性策略。9.根据权利要求3所述的计算机可读存储介质，其中所述指令进一步将所述处理器配置为：针对所述UE配置QoS流级别UP安全性策略。10.根据权利要求9所述的计算机可读存储介质，其中所述指令进一步将所述处理器配置为：当来自所述网络功能的所述UP安全性策略是按PDU会话时，将所述UP安全性策略的所述粒度级别从所述按PDU会话重新定义为所述QoS流级别，以及针对所述PDU会话的每个QoS流配置所述UP完整性和加密指示。11.根据权利要求9所述的计算机可读存储介质，其中所述指令进一步将所述处理器配置为：当来自所述网络功能的所述UP安全性策略是按所述PDU会话内的DRB时，
将所述一个或多个DRB中的每一个DRB映射到所述QoS流级别UP安全性策略；以及利用第一UP完整性和加密指示配置第一QoS流并且利用第二UP完整性和加密指示配置第二QoS流。12.根据权利要求11所述的计算机可读存储介质，其中所述指令进一步将所述处理器配置为：根据来自所述网络功能的所述UP安全性策略，根据来自所述网络功能的所述按DRB UP安全性策略针对每个QoS流确定相应的UP安全性策略。13.根据权利要求9所述的计算机可读存储介质，其中所述指令进一步将所述处理器配置为：当来自所述网络功能的所述UP安全性策略是按QoS流时，利用第一UP完整性和加密指示配置第一QoS流并且利用第二UP完整性和加密指示配置第二QoS流。14.根据权利要求1所述的计算机可读存储介质，其中处理来自所述网络功能的所述UP安全性策略包括：处理来自所述核心网的会话管理功能(SMF)的所述UP安全性策略。15.一种用于无线通信系统中的核心网的会话管理功能(SMF)的方法，所述方法包括：在协议数据单元(PDU)会话建立过程中，处理针对对应用户装备(UE)的会话管理订阅数据，所述会话管理订阅数据包括针对所述UE的PDU会话的用户平面(UP)安全性策略；至少部分地基于所述UE的针对受完整性保护的通信流量的最...

【专利技术属性】
技术研发人员：S，
申请(专利权)人：苹果公司，
类型：发明
国别省市：